ES2938009T3 - Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño - Google Patents

Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño Download PDF

Info

Publication number
ES2938009T3
ES2938009T3 ES19805326T ES19805326T ES2938009T3 ES 2938009 T3 ES2938009 T3 ES 2938009T3 ES 19805326 T ES19805326 T ES 19805326T ES 19805326 T ES19805326 T ES 19805326T ES 2938009 T3 ES2938009 T3 ES 2938009T3
Authority
ES
Spain
Prior art keywords
server
imsi
mobile device
key
container
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19805326T
Other languages
English (en)
Inventor
Marc Lamberton
Eric Bretagne
Aline Gouget
Sylvain Morandi
Arnaud Schwartz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS France SAS
Original Assignee
Thales DIS France SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales DIS France SAS filed Critical Thales DIS France SAS
Application granted granted Critical
Publication of ES2938009T3 publication Critical patent/ES2938009T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/42Security arrangements using identity modules using virtual identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Abstract

La presente invención se refiere a un método para conectar de manera segura un dispositivo móvil (MD) que tiene un contenedor de credenciales (CC) a un servidor (SV) mientras se usa un protocolo que tiene restricciones de codificación de tamaño de datos que evita el uso de cifrado tradicional, comprendiendo dicho método una inicialización fase utilizando un mismo rango de IMSI efímeras (RG1 (IMSI)) almacenadas en un lote de contenedores de credenciales (CC) de dispositivos móviles (MD) y una clave maestra de grupo asociada (MK11) compartida por el servidor (SV) y el lote de contenedores de credenciales (CC) de dispositivos móviles (MD) que tienen el mismo rango de IMSI efímeros (RG1 (IMSI)) para iniciar la sesión segura utilizando un valor aleatorio del servidor (Rnd),dicha fase de inicialización utiliza una carga útil limitada en un primer mensaje de dispositivo móvil (MD) al servidor (SV) (ATTR (rIMSI)_1) para enviar un rIMSI elegido aleatoriamente entre el rango de IMSI (RG1 (IMSI)) para habilitar el servidor (SV) para generar claves para iniciar una fase de comunicación segura y luego usar claves individuales (SK12c, SK12i) almacenadas en el contenedor de credenciales (CC) del dispositivo móvil (MD) y recuperadas por el servidor (SV) con un identificador del contenedor de credenciales (CCId) también se envía utilizando una carga útil limitada en un mensaje de dispositivo móvil (MD) a servidor (SV) (AUTF (rIMSI, AUTS)_3) y con una clave maestra de individualización (MK12) propiedad del servidor (SV).SK12i) almacenado en el contenedor de credenciales (CC) del dispositivo móvil (MD) y recuperado por el servidor (SV) con un identificador del contenedor de credenciales (CCId) también enviado utilizando una carga útil limitada en un dispositivo móvil (MD) al servidor (SV) mensaje (AUTF(rIMSI, AUTS)_3) y con una clave maestra de individualización (MK12) propiedad del servidor (SV).SK12i) almacenado en el contenedor de credenciales (CC) del dispositivo móvil (MD) y recuperado por el servidor (SV) con un identificador del contenedor de credenciales (CCId) también enviado utilizando una carga útil limitada en un dispositivo móvil (MD) al servidor (SV) mensaje (AUTF(rIMSI, AUTS)_3) y con una clave maestra de individualización (MK12) propiedad del servidor (SV). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño Campo de la invención
La presente invención se refiere a un método para acoplar de forma segura un dispositivo móvil que tiene un contenedor de credenciales a un servidor mientras se utiliza un protocolo que tiene restricciones de codificación de tamaño de datos que impiden el uso de un cifrado tradicional, comprendiendo dichas restricciones al menos:
- una restricción relacionada con el número de carga útil de datos en cada intercambio, específicamente en la dirección dispositivo móvil a servidor,
- una restricción relacionada con la asimetría del tamaño de la carga útil de datos en el sentido servidor a dispositivo móvil y en dirección dispositivo móvil a servidor, y
- una restricción relacionada con la imposibilidad de cifrar algunos datos en la carga útil de datos.
La invención también se refiere a un dispositivo móvil y a un servidor en los que se implementa dicho método.
La invención se refiere a cualquier dispositivo de consumidor y de máquina a máquina (M2M) con acceso celular: 2G, 3G, 4G/LTE, NB-IOT y, probablemente, la red de radio 5G para cualquier servicio de telecomunicación relevante. Se refiere a dispositivos que utilizan o una tarjeta UICC o una tarjeta eUICC (incorporada) o una tarjeta iUICC (integrada) o una tarjeta softSim como contenedor de credenciales.
Antecedentes de la invención
Los mensajes de señalización intercambiados entre un dispositivo móvil y la red no siempre están encriptados. El protocolo de estrato sin acceso (NAS) no se encripta antes de que el dispositivo se acople y sea autenticado, e incluso después del acoplamiento, los mensajes de señalización se transportan en mensajes de liberación en la red básica (protocolo MAP para 3G) o en la red básica EPS (protocolo Diameter para 4G/LTE). Se señala aquí que también podría encriptarse dicho intercambio, de forma típica en intercambios 5G. Sin embargo, las restricciones en los mensajes aún estarán presentes en dichos protocolos de acoplamiento rápido. Cuando los mensajes de señalización se utilizan para transmitir datos confidenciales tales como una identidad internacional de abonado móvil (IMSI), un código de producto óptico (OPC), una información de operador de red móvil (ORM) o cualquier dato a nivel de aplicación, es necesario garantizar los intercambios de datos y, en particular, encriptar los datos confidenciales. El OPC se emplea tradicionalmente para obtener una autenticación en el ORM temporal. Es una constante secreta y cifrada OP, como se define en el siguiente documento: ETSI TS 135208 V6.0.0 (2004-12).
Como los intercambios de datos a menudo se superponen a los mensajes de autenticación Milenage, en tal protocolo, por ejemplo, en el protocolo Easy Connect, existen restricciones de codificación de tamaño de datos que impiden el uso de los esquemas de cifrado tradicionales que se emplean en internet. Es necesario definir un esquema de cifrado nuevo que proporcione un buen nivel de seguridad y tenga en cuenta las restricciones específicas de tales protocolos de autenticación rápida como el Easy Connect.
En la actualidad existen varias formas de proporcionar un canal seguro para la comunicación con tarjetas UICC, eUICC e iUICC. Por ejemplo, los mecanismos definidos en la norma ETSI TS 102 225. No obstante, no existe ningún mecanismo que sea capaz de proporcionar un buen nivel de seguridad, que incluya la privacidad, integridad y autenticidad de datos y se ajuste a las restricciones de tamaño de datos de los protocolos como Easy Connect. US20217041733 A1 se refiere a un método para proporcionar un abonado en una red celular, que comprende recibir una solicitud de inicialización para acceder a una red en nombre de un abonado vinculado a una unidad de suscripción, en una plataforma de admisión de un operador de red asociado al abonado, indicando la solicitud de inicialización una identidad de abonado; y asignar los derechos de acceso limitados al abonado a la red, estando configurados los derechos de acceso limitados para la comunicación entre el abonado y un gestor de suscripción, para la reconfiguración de la información de identidad asociada al abonado.
Como recordatorio, un diálogo Easy Connect es un intercambio de cargas útiles de datos:
- Servidor a móvil: carga útil de 32 bytes (de la cual, algunos bits/bytes no se pueden cifrar).
- Móvil a servidor: carga útil de 14 bytes-- Servidor a móvil: carga útil de 32 bytes
No existe forma hoy en día de proporcionar una sesión segura con ese pequeño número de bytes y un número reducido de mensajes intercambiados.
Además, en la técnica serían deseables otras soluciones alternativas y ventajosas.
Resumen de la invención
La presente invención tiene como objeto proponer una solución que permita proteger cualquier mecanismo de autenticación que tenga cargas útiles limitadas y asimétricas por definición del protocolo de autenticación.
La presente invención está definida por las reivindicaciones independientes adjuntas. En su sentido más amplio, como método que comprende una fase de inicialización que emplea un mismo intervalo de identidades IMSI efímeras almacenadas en un lote de contenedores de credenciales de dispositivos móviles y una clave maestra de grupo asociada compartida por el servidor y el lote de contenedores de credenciales de los dispositivos móviles que tienen el mismo intervalo de identidades IMSI efímeras para iniciar la sesión segura utilizando además un valor aleatorio de servidor, utilizando dicha fase de inicialización una carga útil limitada en un primer mensaje de dispositivo móvil a servidor para enviar una identidad IMSI elegida de forma aleatoria de entre el intervalo de identidades IMSI para permitir que el servidor genere claves para iniciar una fase de comunicación segura y, a continuación, utilizar unas claves individuales almacenadas en el contenedor de credenciales del dispositivo móvil y recuperadas por el servidor con un identificador del contenedor de credenciales enviado también utilizando una carga útil limitada en un mensaje de dispositivo móvil a servidor y con una clave maestra de individualización propiedad del servidor.
El uso original de un intervalo compartido de identidades IMSI por parte de un lote de contenedores de credenciales de los dispositivos móviles asociados a una clave maestra de grupo combinado con claves individuales derivadas de un identificador del contenedor de credenciales del dispositivo móvil permite realizar una comprobación de seguridad de la autenticidad del servidor y del contenedor de credenciales del dispositivo móvil. El identificador del CC puede ser, por ejemplo, el identificador EID, si el CC es una tarjeta eUICC, o el identificador ICCID, si el CC es una tarjeta UICC. La invención permite satisfacer los siguientes criterios de seguridad:
- privacidad de datos: los datos personales como el identificador de tarjeta UICC de móvil no pueden ser leídos en claro por una entidad de terceros;
- integridad: los datos intercambiados no pueden ser modificados por una entidad tercera;
- autenticación: se garantiza a ambos extremos del diálogo de autenticación rápida que se autentica a su equivalente;
- confidencialidad: los datos secretos se encriptan para impedir que sean interceptados por una entidad tercera. - antirreproducibilidad: una secuencia completa de protocolo anterior no puede reproducirse debido a que el valor aleatorio de servidor y la selección aleatoria de identidad IMSI que sirve para proteger la tarjeta UICC es fácilmente atacada por un hacker que simule ser el servidor.
Esta solución permite reducir la cantidad de datos encriptados procedentes del servidor, ya que como únicamente se envían los parámetros necesarios para que la autenticación sea efectiva, y para reducir al máximo los datos enviados por el móvil, puesto que el móvil solo debe enviar una identidad IMSI elegida de forma aleatoria y un identificador encriptado.
La solución no requiere modificaciones de la norma 3GPP/GSMA y permite garantizar la privacidad, integridad, autenticidad y confidencialidad de los datos para cargas útiles de datos superpuestos a los mensajes de señalización estándar.
La solución consiste en utilizar una clave de grupo para iniciar la sesión segura y luego cambiar a utilizar claves individuales para continuar la sesión segura tan pronto como se identifique el cliente de sesión.
De hecho, la invención emplea criptografía simétrica para ahorrar en recursos criptográficos en la tarjeta UICC (o eUICC o iUICC) móvil y es adecuada para abordar las fuertes restricciones en los tamaños de carga útil. La criptografía simétrica requiere que el móvil y el servidor compartan dos tipos de claves secretas, como se define en la invención. Según una característica adicional, la recuperación de claves individuales por parte del servidor se hace con un identificador del dispositivo móvil que también se envía durante la fase de inicialización en un mensaje de dispositivo móvil a servidor de carga útil limitada.
Tal recuperación puede permitir la doble comprobación del dispositivo móvil y del contenedor de credenciales del dispositivo móvil.
Según una realización ventajosa, el método comprende una fase de provisión que comprende las etapas de, en el lado del dispositivo móvil:
- recibir y almacenar el intervalo de identidades IMSI efímeras en el contenedor de credenciales,
- recibir y almacenar, en el contenedor de credenciales, la clave maestra de grupo compartida por el contenedor de credenciales y el servidor, que es idéntica para cada contenedor de credenciales que tenga el mismo intervalo de identidades IMSI efímeras, y las dos claves individuales derivadas utilizando un identificador del contenedor de credenciales del dispositivo móvil y una clave maestra de individualización propiedad del servidor, denominadas clave de cifrado individual y clave de integridad individual.
Esta fase de provisión se realiza de forma típica en el momento de la personalización del contenedor de credenciales del dispositivo móvil. Proporciona al contenedor de credenciales del dispositivo móvil todos los datos necesarios para implementar la invención.
Según una implementación ventajosa, la fase de inicialización comprende las etapas, en el lado del dispositivo móvil, cuando se requiere un acoplamiento, de:
- enviar, en un primer mensaje según el protocolo, al menos una solicitud de acoplamiento al servidor que porta un valor de IMSI obtenido de forma aleatoria del intervalo previamente almacenado de identidades IMSI efímeras,
- recibir, en un segundo mensaje según el protocolo firmado utilizando una clave de integridad derivada obtenida, en el lado del servidor, utilizando la clave maestra de grupo y el valor recibido de identidad IMSI elegido de forma aleatoria, una solicitud de autenticación que procede del servidor, comprendiendo dicha solicitud de autenticación parámetros que permiten establecer una sesión única utilizando el valor de identidad IMSI elegido de forma aleatoria y un valor aleatorio de servidor,
- enviar, en un tercer mensaje según el protocolo firmado utilizando una clave de integridad derivada, en el contenedor de credenciales, utilizando la clave maestra de grupo y el valor de identidad IMSI elegida de forma aleatoria, un identificador de contenedor de credenciales de móvil encriptado utilizando el valor aleatorio de servidor, el valor de identidad IMSI elegida de forma aleatoria y una clave de cifrado derivada utilizando la clave maestra de grupo y el valor de identidad IMSI elegida de forma aleatoria,
- recibir, en un cuarto mensaje según el protocolo firmado utilizando la clave de integridad individual, un comando y parámetros que han de personalizarse para permitir una suscripción temporal encriptada utilizando la clave de cifrado individual,
cifrándose mensajes posteriores del protocolo en la fase de comunicación segura con la clave de cifrado individual y firmándose con la clave de integridad individual.
Normalmente se utiliza el modo AES CTR para encriptar el identificador de contenedor de credenciales de móvil. En este modo se utilizan la parte MSIN de la identidad IMSI elegida de forma aleatoria (rIMSI) y el valor aleatorio del servidor RND como su número de un solo uso (nonce) para cifrar los datos. Para la aplicación del modo AES-CTR se utilizan la misma clave y el mismo número de un solo uso y, por definición del modo AES-CTR, se incrementa un contador CTR. De hecho, se realiza la misma operación criptográfica, donde solo se incrementa el contador, y el resultado se somete a una operación XO exclusiva (XOR) con los mensajes.
Esas etapas pueden implementarse fácilmente en el propio protocolo con el formato de un mensaje de solicitud de autenticación o de un mensaje de fallo de autenticación. La primera etapa es una solicitud de acoplamiento que se origina en el propio dispositivo móvil, ya que la invención tiene como objeto una situación en la que el dispositivo móvil necesita acoplarse a un servidor.
La presente invención también se refiere a un dispositivo móvil que tiene un contenedor de credenciales y está adaptado para acoplarse a un servidor mientras se utiliza un protocolo que tiene restricciones de codificación de tamaño de datos que impiden el uso de un cifrado tradicional, comprendiendo dichas restricciones al menos:
- una restricción relacionada con el número de carga útil de datos en cada intercambio, específicamente en el sentido dispositivo móvil a servidor,
- una restricción relacionada con la asimetría del tamaño de la carga útil de datos en el sentido servidor a dispositivo móvil y en el sentido dispositivo móvil a servidor, y
- una restricción relacionada con la imposibilidad de cifrar algunos datos en la carga útil de datos,
almacenando dicho depósito de credenciales:
- un intervalo de identidades IMSI efímeras compartidas con un lote de dispositivos móviles, - una clave maestra de grupo asociada compartida con el servidor y con el lote de dispositivos móviles que tienen el mismo intervalo de identidades IMSI efímeras,
- dos claves individuales, una clave de integridad individual y una clave de cifrado individual, utilizándose el intervalo de identidades IMSI efímeras y la clave maestra de grupo asociada para iniciar una sesión segura con el servidor, utilizando dicha fase de inicialización una carga útil limitada en un primer mensaje de dispositivo móvil a servidor para enviar una identidad IMSI elegida de forma aleatoria de entre el intervalo de identidades IMSI para permitir que el servidor genere claves para iniciar una fase de comunicación segura,
y sirviendo las dos claves individuales durante la fase de comunicación segura en la que el servidor recupera las claves individuales utilizando un identificador del contenedor de credenciales del dispositivo móvil enviado utilizando una carga útil limitada en un mensaje de dispositivo móvil a servidor y una clave maestra de individualización propiedad del servidor.
De forma ventajosa, dicho dispositivo móvil está adaptado para implementar las siguientes etapas:
- enviar, en un primer mensaje según el protocolo, al menos una solicitud de acoplamiento al servidor que porta un valor de IMSI obtenido de forma aleatoria del intervalo previamente almacenado de identidades IMSI efímeras, - recibir, en un segundo mensaje según el protocolo firmado utilizando una clave de integridad derivada obtenida, en el lado del servidor, utilizando la clave maestra de grupo y el valor recibido de identidad IMSI elegida de forma aleatoria, una solicitud de autenticación que procede del servidor, comprendiendo dicha solicitud de autenticación parámetros que permiten establecer una sesión única utilizando el valor de identidad IMSI elegida de forma aleatoria y un valor aleatorio de servidor,
- enviar, en un tercer mensaje según el protocolo firmado utilizando una clave de integridad derivada, en el contenedor de credenciales, utilizando la clave maestra de grupo y el valor de identidad IMSI elegida de forma aleatoria, un identificador de contenedor de credenciales de móvil encriptado utilizando una clave de cifrado derivada utilizando la clave maestra de grupo y el valor de identidad IMSI elegida de forma aleatoria,
- recibir, en un cuarto mensaje según el protocolo firmado utilizando la clave de integridad individual, un comando y parámetros que han de personalizarse para permitir una suscripción temporal encriptada utilizando la clave de cifrado individual,
- cifrándose mensajes posteriores del protocolo en la fase de comunicación segura con la clave de cifrado individual y firmándose con la clave de integridad individual.
Por último, la invención se refiere a un servidor adaptado para acoplar un dispositivo móvil que tiene un contenedor de credenciales mientras se utiliza un protocolo que tiene restricciones de codificación de tamaño de datos que impiden el uso de un cifrado tradicional, comprendiendo dichas restricciones al menos:
- una restricción relacionada con el número de carga útil de datos en cada intercambio, específicamente en el sentido dispositivo móvil a servidor,
- una restricción relacionada con la asimetría del tamaño de la carga útil de datos en el sentido servidor a dispositivo móvil y en el sentido dispositivo móvil a servidor, y
- una restricción relacionada con la imposibilidad de cifrar algunos datos en la carga útil de datos, almacenando dicho servidor al menos:
- un cierto número de claves maestras de grupo para el número dado de lotes de contenedores de credenciales del dispositivo móvil que comparten el mismo intervalo de identidades IMSI efímeras y previstas para acoplarse al servidor, siendo dicha clave maestra de grupo compartida por el servidor y por todos los contenedores de credenciales del dispositivo móvil del lote correspondiente,
- el mismo cierto número de claves maestras de individualización para el número dado de lotes de contenedores de credenciales del dispositivo móvil que comparten el mismo intervalo de identidades IMSI efímeras y previstas para ser acopladas al servidor, utilizándose dicha clave maestra de individualización para personalizar cada contenedor de credenciales del dispositivo móvil con dos claves individuales, una clave de integridad individual y una clave de cifrado individual, derivadas de la clave maestra de individualización del lote correspondiente y de un identificador del contenedor de credenciales del dispositivo móvil,
un módulo de determinación de grupo adaptado para determinar un grupo con una identidad IMSI recibida elegida de forma aleatoria de entre una del intervalo de identidades IMSI efímeras compartidas por un lote de dispositivos móviles,
un módulo de derivación adaptado para calcular las claves de integridad y de cifrado a partir de una primera clave maestra de grupo y de una identidad IMSI elegida de forma aleatoria recibida del contenedor de credenciales del dispositivo móvil del lote correspondiente y para calcular unas claves de integridad y de cifrado individuales a partir de una segunda clave maestra de grupo y de un identificador del contenedor de credenciales del dispositivo móvil,
utilizándose el intervalo de identidades IMSI efímeras y la clave maestra de grupo asociada para iniciar una sesión segura con el contenedor de credenciales del dispositivo móvil en una fase de inicialización que utiliza una carga útil limitada en un primer mensaje de dispositivo móvil a servidor para enviar una identidad IMSI elegida de forma aleatoria de entre el intervalo de identidades IMSI para permitir que el servidor genere claves para iniciar una fase de comunicación segura utilizando las dos claves individuales. El contador AES-CTR también se almacena para el modo “ mensajes posteriores” .
La invención se aplica, entre otros, a protocolos como los descritos en las solicitudes de patente publicadas WO2018141895, WO2018141896 y WO2018141897 y en las solicitudes de patente no publicadas EP18306134.0, EP17306942.8, EP18305159.8 y EP18305191.1.
Para lograr los objetivos anteriores y relacionados, una o más realizaciones comprenden las características descritas completamente a continuación en el presente documento y particularmente indicadas en las reivindicaciones.
Breve descripción de las figuras
La siguiente descripción y los dibujos adjuntos exponen en detalle ciertos aspectos ilustrativos y son indicativos de tan solo algunas de las diversas maneras en las que pueden emplearse los principios de las realizaciones. Otras ventajas y características novedosas resultarán evidentes a partir de la siguiente descripción detallada cuando se considere junto con los dibujos y se pretende que las realizaciones descritas incluyan todos tales aspectos y sus equivalentes.
• La figura 1 representa esquemáticamente un intercambio de carga útil limitado a utilizarse para la implementación de la invención;
• la figura 2A muestra con más detalle la primera parte del diagrama de flujo que se muestra en la figura 1;
• la figura 2B muestra con más detalle la segunda parte del diagrama de flujo que se muestra en la figura 1; y
• la figura 3 muestra esquemáticamente las entidades de la invención y como se implica en el método de la invención.
Descripción detallada de las realizaciones de la invención
Para una comprensión más completa de la invención, ahora se describirá la invención en detalle con referencia al dibujo adjunto. La descripción detallada ilustrará y describirá lo que se considera que es una realización preferida de la invención. De hecho, debe entenderse que pueden realizarse fácilmente diversas modificaciones y cambios en la forma o en el detalle sin salirse del ámbito de la invención. Por lo tanto, se pretende que la invención no se limite a la forma y detalle exactos mostrados y descritos en la presente memoria ni a nada menos que la totalidad de la invención descrita en la presente memoria y como se reivindica más adelante en la presente memoria. Los mismos elementos se han designado con los mismos números de referencia en los distintos dibujos. Para mayor claridad, únicamente se han mostrado en los dibujos, y se describirán, aquellos elementos y etapas que resultan útiles para la comprensión de la presente invención.
La figura 1 muestra esquemáticamente un diagrama de flujo de los intercambios en una red RD entre un contenedor de credenciales CC de un dispositivo móvil DM y un servidor SV a utilizar en la implementación del método de la invención. En las secciones que siguen, CC designa el contenedor de credenciales de móvil independientemente de la tecnología que se utilice: UICC, o eUICC, o iUICC, o softSim.
Estos intercambios son del tipo que tiene una carga útil limitada y una carga útil asimétrica dependiendo del sentido móvil a servidor o servidor a móvil. En general, la carga útil es más reducida para los mensajes de móvil a servidor.
Normalmente, un diálogo Easy Connect incluye un mensaje de acoplamiento inicial ATTR(IMSI)_1 que porta una identidad IMSI seguido de tres intercambios de carga útil de datos: una solicitud de autenticación AUTR(RND, AUTN)_2 del servidor SV al CC de móvil, un mensaje de fallo de autenticación AUF(AUTS)_3 del CC de móvil al servidor SV y, por último, otro mensaje de solicitud de autenticación AUTR(RND, AUTN)_4.
El primer mensaje tiene una carga útil limitada de 14 bytes ya utilizada en el protocolo Easy Connect que no deja o deja poca carga útil para otros fines. Los mensajes de servidor a móvil tienen, por ejemplo, en el protocolo Easy Connect, una carga útil de 32 bytes, de los cuales algunos bits/bytes no pueden utilizarse o no pueden cifrarse.
La figura 3 muestra esquemáticamente un dispositivo móvil DM y un servidor SV que implementan la invención.
El dispositivo móvil DM comprende un contenedor de credenciales CC que almacena un intervalo de identidades IMSI efímeras RGj(IMSI). Este intervalo RGj(IMSI) de identidades elegida de forma aleatorias rIMSI está asociado a un grupo de contenedores de credenciales/tarjetas de dispositivo móvil CC que comparten una misma primera clave maestra de grupo, aquí MK1j. La primera clave maestra de grupo MK1j es, por tanto, la misma para cada tarjeta UICC de móvil que utiliza el mismo intervalo de identidades IMSI efímeras RGj(IMSI). En la figura 1, j=1.
Como se muestra en la figura 1, el contenedor de credenciales CC también almacena dos claves individuales, una clave de cifrado SK12c y una clave de integridad SK12i. El proceso de personalización de la tarjeta UICC de móvil que pertenece al grupo j calcula y, por tanto, almacena en cada tarjeta: MKj1, SKj2c y SKj2i.
El servidor SV comprende, o está conectado a, una memoria MEM que almacena tantas primeras claves maestras de grupo MKj1 como grupos de dispositivo móvil DM a los que se pretende que se conecte.
También almacena una tabla de claves maestras de individualización MKj2, siendo en la práctica tales claves maestras de individualización unas segundas claves maestras de grupo que son gestionadas por el servidor SV. A partir de cada clave MKj2 y una identidad de tarjeta UICC de móvil, normalmente un identificador EID o ICCID, el servidor SV puede derivar SKj2c, la clave de cifrado individual, y SKj2i, la clave de integridad individual, que son específicas de cada tarjeta UICC de móvil.
La figura 2 muestra con más detalle la implementación de la invención.
La figura 2A muestra los dos primeros intercambios de la invención que permiten establecer una sesión cifrada o un diálogo, con un nivel razonable de seguridad, incluidas privacidad, integridad, autenticidad, confidencialidad y antirreproducibilidad de datos.
El mensaje de acoplamiento ATTR(IMSI)_1 del protocolo del móvil DM al servidor SV tiene una carga útil de 0 bytes y solo porta un valor de IMSI de móvil. En la invención, esta identidad IMSI es un valor de IMSI aleatorio rIMSI obtenido del intervalo de identidades IMSI efímeras RGj(IMSI) cargado previamente en el CC de móvil en una etapa PR0.
A continuación, el servidor SV envía un mensaje de solicitud de autenticación de carga útil de 32 bytes AUTR(rIMSI)_1 al CC del dispositivo móvil CC(DM). Entre la carga útil de 32 bytes, algunos bytes, por ejemplo, los bytes 0 y 21, no son libres. En la tecnología Easy Connect, el byte 0 identifica el comando Easy Connect C y el byte 21 debe seguir la codificación de campo de gestión de autenticación (AMF) según la norma 3GPP TS 33.102.
En una etapa PR1, el servidor SV realiza un procesamiento para construir un mensaje de solicitud de autenticación AUTR(RND, AUTN)_2 en respuesta a la solicitud de acoplamiento ATTR(rIMSI)_1.
El mensaje de solicitud de autenticación AUTR(RND, AUTH)_2 comprende dos partes: una parte aleatoria RND y una parte de autenticación AUTN.
Durante la etapa de procesamiento PR1, el servidor SV obtiene el intervalo de identidades IMSI RG1(IMSI) de la identidad elegida de forma aleatoria rIMSI. Puede asignarse entonces al CC(DM) un número HSS-MSIN. Esto puede hacerse posteriormente o el número HSS-MSIN se utiliza únicamente para “ mensajes posteriores” y, por tanto, se asigna en el último momento antes de que sea necesario. Por lo tanto, el intervalo de identidades IMSI efímeras permite primero que el servidor SV identifique la clave maestra de grupo MK11.
A continuación, genera un valor aleatorio de HSS Rnd y genera un valor aleatorio de 8 bytes para el código CMAC de firma del mensaje de solicitud de autenticación AUTR(RND, AUTN)_2.
Utilizando la identidad elegida de forma aleatoria rIMSI como se recibe, el servidor SV obtiene una clave de cifrado SK11 c a partir de la clave maestra MK11 para calcular una firma CMAC.
De forma típica, la derivación es la siguiente: SK11c/SK11i=SP800-108 (MK11, context=rIMSI, label=label1, PRF=AES-CMAC), siendo label1 una constante predefinida. Esta derivación corresponde a la definición definida en la publicación especial NIST SP800-108 de octubre de 2009, de Lily Chen: Recommendation for Key Derivation Using Pseudorandom Functions.
A continuación, el servidor SV calcula un código CMAC de firma utilizando la clave de integridad SK11 i: CMAC(SK11 i) (01 y ... y relleno).
A continuación, el mensaje de solicitud de autenticación AUTR(RND, AUTH)_2 se formatea en una primera parte RND y en un segundo AUTN. Este mensaje no se cifra salvo si el protocolo lo requiere. Esto no es así actualmente, pero puede serlo en estándar 5G.
En el ejemplo mostrado, la primera parte RND contiene el comando Easy Connect C, unos parámetros IX (un byte) y una parte del valor aleatorio de HSS Rnd (5 y 3 bytes compartidos en las dos partes RND y AUTN). La segunda parte AUTN comprende otra parte del valor aleatorio de servidor Rnd, el campo AMF y la firma CMAC en 4 bytes. La carga útil CU comprende parámetros que permiten establecer una sesión única utilizando la identidad elegida de forma aleatoria rIMSI y el valor aleatorio de servidor Rnd. En el ejemplo de Easy Connect de la figura 2A, la carga útil CU está dividida en tres partes, de 9 bytes en la parte RND y de 3 y 5 bytes en la parte AUTN. La carga útil está firmada con un CMAC. Esto permite autenticar el servidor utilizando un CMAC.
Mientras recibe el mensaje de solicitud de autenticación AUTR(RND, AUTN)_2, la tarjeta UICC de móvil también convierte la primera clave maestra de grupo MK11 en una clave de cifrado SK11c y en una clave de integridad SK11 i: SK11 c/SK11 i = SP800-108 (MK11, context=rIMSI, label=label1, PRF=AES-CMAC), siendo label1 una constante fija.
A continuación, calcula y comprueba el código CMAC recibido utilizando la clave SK11 i y comprueba que la identidad rIMSI recibida en la carga útil es la identidad rIMSI enviada desde la solicitud de acoplamiento ATTR(rIMSI)_1.
Como se ilustra en la figura 2B, el CC de móvil prepara entonces un mensaje de fallo de autenticación de móvil a servidor específico AUTF(rIMSI,AUTS)_3 que tiene una carga útil limitada, aquí 14 bytes, donde el byte 0 no se cifrará, ya que define el comando de Easy Connect. Esta carga útil contendrá un identificador CCId de la tarjeta UICC de móvil. Para garantizar la privacidad de datos, la identidad de tarjeta UICC de móvil CCId se encriptará a efectos de confidencialidad y el comando completo se firmará a efectos de integridad y de autenticidad. Esta figura muestra una posible implementación para el tercer cifrado de mensajes que contiene un código CMAC para comprobar la integridad de datos y la autenticidad del móvil/tarjeta UICC que envía la carga útil de AUTS.
Por lo tanto, la tarjeta UICC de móvil procede a realizar un cifrado del identificador CCId de la tarjeta UICC de móvil utilizando la clave de cifrado SK11c y el MSIN correspondiente al de la identidad IMSI efímera elegida de forma aleatoria: Cifra [CID_10]SK11c=AES-CTR (SK11c, Nonce=MSIN II Random, CTR=0x000081). RANDOM es el valor aleatorio de servidor Rnd enviado en la etapa anterior.
A continuación, se calcula una firma CMAC en el identificador cifrado. En caso necesario, el resultado se trunca con respecto a la carga disponible: CMAC = 2 primeros bytes del código AES-CMAC (SK11 i) (0x81 ) I [CID_10]SK11c I 0x00).
Por lo tanto, el mensaje de fallo de autenticación AUTF(rIMSI, AUTN)_3 devuelto por la tarjeta UICC de móvil comprende un primer byte con un comando de respuesta Rsp, el identificador cifrado de la tarjeta UICC en 10 bytes CCId, un byte libre reservado para un uso futuro establecido en 0x00 y el código CMAC en dos bytes. Los datos encriptados se ilustran en negrita en las figuras.
Después de recibir este último mensaje de fallo de autenticación AUTF(rIMSI, AUTN)_3, el servidor SV utiliza la clave de integridad SK11 i derivada para comprobar el código CMAC y la clave de cifrado SK11c derivada para descifrar el código CID identificado por tarjeta UICC en 10 bytes. Utilizando el identificador de CC CCId recibido y desencriptado del CC y reglas de negocio internas, el servidor SV puede asignar una identidad IMSI temporal t-IMSI y otros parámetros de suscripción.
A continuación, el servidor SV prepara un nuevo mensaje de solicitud de autenticación AUTR(RND, AUTN)_4 que tiene una carga útil de 32 bytes, donde, de nuevo, los bytes 0 y 21 no están libres, como ya se indicó en el caso del segundo mensaje.
El servidor SV utiliza la segunda clave maestra de grupo MK2 y el identificador CCId desencriptado del CC para derivar dos claves SK12c y Cs12i individuales: SK12c/SK12i = SP800-108 (MK2[IX0], context=CID_16, label=label2, PRF=AES-CMAC), donde IX0 se utiliza para seleccionar la clave maestra de grupo MK2 a utilizar.
A continuación, el servidor SV cifra, utilizando la función AES-CTR, con un número de un solo uso compuesto por el número MSIN de la identidad rIMSI y el valor aleatorio de servidor Rnd, la carga útil CU y un tiempo de espera y un índice dividido en tres partes de carga útil de 10 bytes en la parte RND del mensaje CU1 y de 6 y 9 bytes en la parte AUTN de los mensajes CU2 y CU3.
A continuación, calcula una firma CMAC que se inserta en los dos últimos bytes de la parte RND del mensaje de solicitud de autenticación: CMAC = 2 bytes de orden superior de AES-CMAC (SK12i) [Rnd I [Cmd] I [Data]SK12c].
El valor aleatorio Rnd es, de hecho, lo que se denomina número aleatorio de baliza: SHA256 de eIMSI I timeWindow I an-internal-group-secret. Por lo tanto, al final es un valor determinítico desde el punto de vista del servidor, pero a cualquier otra entidad le parecerá un número perfectamente aleatorio. Esto se utiliza para resolver el siguiente problema: cuando un contenedor de credenciales, normalmente una tarjeta, y un diálogo de servidor van juntos, el mismo mensaje puede repetirse a través de varios conmutadores. Por lo tanto, esto significa que la tarjeta recibirá el mismo comando PROVIDE EID varias veces y responderá varias veces, sin saber cuál pasará. Lo mismo pasa en el lado del servidor. Recibirá varias respuestas PROVIDE EID y ordenará varias veces un comando IMSI SWITCH. Por lo tanto, es deseable correlacionar fácilmente los mensajes en el lado del servidor para evitar la asignación de identidades IMSI que no van a utilizarse.
Al añadir la tarjeta el valor aleatorio Rnd a su código CMAC en la respuesta PROVIDE EID, esto es una forma de hacerlo sin estado. El servidor probará con varios valores aleatorios, el del intervalo de tiempo actual, luego el anterior, etc., para validar el código CMAC. Cuando encuentre/si encuentra el valor aleatorio, entonces esto querrá decir que el dispositivo y el servidor se han puesto de acuerdo en la parte principal del número de un solo uso de AES-CTR. El valor aleatorio Rnd actúa como algún tipo de correlador de conversación, y el servidor no necesita mantener un estado. El servidor súnicamente necesita analizar el mensaje entrante.
Entonces, el mensaje devuelto contiene por tanto un código CMAC para comprobar la integridad de los datos y la autenticidad del servidor que envía la carga útil RAND/AUTN.
Esta carga útil contiene el comando y los parámetros que van a personalizarse para permitir una suscripción temporal. Los parámetros se encriptan y el comando completo se firma, ya que, a estas alturas, la tarjeta/móvil ha sido identificada por el servidor.
Las claves SK2ji y SK2jc individuales permiten por tanto descargar de forma segura datos secretos como credenciales de suscripción en la tarjeta UICC de móvil.
Una vez que se recibe el segundo mensaje de solicitud de autenticación AUTR(RND, AUTN)_2 en la tarjeta UICC de móvil, el CC utiliza las claves SK12c y SK12i individuales y extrae 30 bytes de la parte encriptada del mensaje recibido:
[Data]SK12c de RND[2-13], AUTN [0...5], RND[1] y AUTN [7...15].
La tarjeta UICC de móvil calcula y comprueba que CMAC = 2 bytes de orden superior de AES-CMAC (SK12i) [Rnd II [Cmd] I [Data]SK12c]. Desencripta [Data]SK12c y deriva una clave de clave de comunicación temporal t-Ci de MK13[IX1]: t-Ki = SP800-108 (MK13[IX1], context=t-IMSI-Info, label=label3, PRF=AES-CMAC). El contexto puede comprender la identidad t-IMSI temporal y algunos otros metadatos. Aquí se utiliza una tercera clave maestra MK13 en la función de derivación para calcular una clave Ci temporal asociada a la identidad t-IMSI. De hecho, hay varios valores MK13: se utiliza uno cada vez. IX1 es un índice que puede cambiarse para utilizar otro si la MK13 anterior ha quedado comprometida.
El CC de móvil cambia entonces la identidad IMSI de la tarjeta a t-IMSI, la clave CI a t-CI y los parámetros de suscripción relevantes, incluido al menos un código OPC transmitido en la carga útil del mensaje.
En la invención, dos claves secretas SKj1c y SKj1i se derivan de la primera clave maestra de grupo MKj1 utilizando una etiqueta, que es una constante predefinida, y una identidad IMSI efímera elegida de forma aleatoria seleccionada por la tarjeta mientras crea el mensaje de acoplamiento. Estas claves permiten la autenticación mutua entre tarjeta UICC de móvil y el servidor SV y garantizan la privacidad del identificador de tarjeta UICC de móvil CID. Por ejemplo, se utiliza el algoritmo de derivación estándar: a Es NIST SP800-108(MKj1, nonce=rIMSI, label1). El uso de la identidad rIMSI elegida de forma aleatoria permite tanto al servidor SV como a la tarjeta/CC de móvil derivar las mismas claves secretas SKj1c y SKj 1 i dedicadas relacionadas con una sesión identificada mediante esta identidad rIMSI elegida de forma aleatoria y transmitida. En consecuencia, las claves SKj 1 derivadas cambian cada vez que hay una nueva identidad elegida de forma aleatoria rIMSI. Esto permite reducir el riesgo de que las claves SKj1 queden comprometidas.
Las etiquetas se eligen durante el tiempo de alta digital en el sistema de la invención para un lote de contenedores de credenciales. Tales etiquetas son del tipo descrito en la especificación NIST: una cadena que identifica la finalidad del material de generación de claves derivado, que se codifica como una cadena binaria. El método de codificación para la etiqueta se define en un contexto más amplio, por ejemplo, en el protocolo que utiliza una función KDF. Generalmente se eligen aleatoriamente con, de forma general, una restricción de tamaño, aquí de 6 bytes.
El servidor deriva otras dos claves secretas SKj2c y SKj2i a partir de la segunda clave maestra de grupo MKj2 utilizando una etiqueta2, que también es una constante predefinida, y el identificador de tarjeta CID, que puede ser un identificador EID o un identificador ICCID, como se conoce gracias a la publicación especial NIST SP800-108: “ Recommendation for Key Derivation Using Pseudorandom Functions” , transferidos en la carga útil del segundo mensaje de solicitud de autenticación por el servidor SV. La tarjeta UICC de móvil se personaliza con estas claves derivadas. Por ejemplo, se utiliza el algoritmo de derivación estándar: AES NIST SP800-108(MKj2, context=EID (o ICCID), label=label2, PRF=AES-CMAC). El uso de esa variable nonce permite tanto al servidor SV como a la tarjeta/CC de móvil compartir unas claves SKj2c y SKj2i únicas. En caso de que la clave SKj2i o SKj2c quede comprometida, esto solo afectaría a una tarjeta/CC de móvil.
La clave SKjlc se utiliza para encriptar las cargas útiles del segundo mensaje de solicitud de autenticación que viene del servidor SV. La clave SKj2c se utiliza para encriptar la carga útil del último mensaje al que ha respondido el CC de móvil y se ha enviado al servidor SV. Las cargas útiles a encriptar no son un bloque de cifrado normal porque los tamaños de carga útil son inferiores o no son múltiplos del tamaño de bloque de cifrado clásico (128 bits en el estándar AES) y no hay suficientes bytes disponibles para agregar relleno. Por ejemplo, el primer mensaje de solicitud de autenticación enviado por el servidor SV requiere 10 bytes encriptados y el segundo mensaje de solicitud de autenticación enviado por el servidor SV requiere entre 27 y 29 bytes encriptados. El tamaño de carga útil no puede cambiarse porque viene impuesto por el protocolo de autenticación de la red de señalización.
La invención utiliza cualquier algoritmo de cifrado que pueda cifrar un número arbitrario de byte sin relleno. Por ejemplo, la invención puede utilizar la función AES-CTR con un aleatorio de UICC (IMSI) y un valor aleatorio de servidor como el número de un solo uso para generar un bloque de contador. Además, el valor de contador está dedicado para cada mensaje para evitar ataques conocidos debido al uso de la función AES-CTR.
La clave SKj1i se utiliza para comprobar la integridad de las cargas útiles del primer mensaje de solicitud de autenticación enviado por el servidor SV y del mensaje de fallo de autenticación enviado por el móvil, es decir, el primer mensaje mostrado en la figura 2B. La clave SKj2i se utiliza para comprobar la integridad de la carga útil del segundo mensaje de solicitud de autenticación enviado por el servidor, por lo tanto, el cuarto mensaje del mecanismo mostrado en las figuras 2A y 2B. Para comprobar la integridad, la invención calcula un código de autenticación de mensaje (MAC) de la carga útil encriptada mediante la clave de integridad (SKi1i y SKj2i, respectivamente). Por ejemplo, la invención puede utilizar el algoritmo AES-CMAC. Si se encadenan varios diálogos a través de una identidad IMSI común, todos los mensajes de los diálogos posteriores se cifran con la clave SKj2c y se firman con la clave SKj2i, lo cual garantiza una protección máxima.
En la tabla que sigue se resumen los métodos de cifrado para cada mensaje del diálogo entre la tarjeta UICC de móvil CC y el servidor SV.
Figure imgf000010_0001
En la descripción detallada anterior se hace referencia a los dibujos adjuntos, que muestran, a modo de ilustración, realizaciones específicas en las que puede ponerse en práctica la invención. Estas realizaciones se describen con detalle suficiente para permitir que los expertos en la técnica pongan en práctica la invención. La descripción detallada anterior, por lo tanto, no debe tomarse en un sentido limitativo, y el alcance de la presente invención está definido únicamente por las reivindicaciones adjuntas, debidamente interpretadas, junto con el rango completo de equivalentes a los que tienen derecho las reivindicaciones. Los expertos en la técnica pueden realizar muchas alteraciones y modificaciones sin apartarse del ámbito de la invención. Por lo tanto, debe entenderse que la realización ilustrada se ha expuesto únicamente a modo de ejemplo y que no debe tomarse como limitativa de la invención como se define en las siguientes reivindicaciones y sus diversas realizaciones.

Claims (1)

  1. REIVINDICACIONES
    Método para acoplar de forma segura un dispositivo móvil (DM) que tiene un contenedor de credenciales (CC) a un servidor (SV) mientras se utiliza un protocolo que tiene restricciones de codificación de tamaño de datos que impiden el uso de un cifrado tradicional, comprendiendo dichas restricciones al menos:
    - una restricción relacionada con el número de carga útil de datos en cada intercambio, específicamente en la dirección dispositivo móvil (DM) a servidor (SV),
    - una restricción relacionada con la asimetría del tamaño de la carga útil de datos en la dirección servidor (SV) a dispositivo móvil (DM) y en la dirección dispositivo móvil (DM) a servidor (SV), y - una restricción relacionada con la imposibilidad de cifrar algunos datos en la carga útil de datos,
    comprendiendo dicho método una fase de inicialización que emplea un mismo intervalo de identidades IMSI efímeras [RG1 (IMSI)] almacenadas en un lote de contenedores de credenciales (CC) de dispositivos móviles (DM) y una clave maestra de grupo (MK11) asociada compartida por el servidor (SV) y el lote de contenedores de credenciales (CC) de los dispositivos móviles (DM) que tienen el mismo intervalo de identidades IMSI efímeras [RG1(IMSI)] para iniciar la sesión segura utilizando además un valor aleatorio de servidor (RND), utilizando dicha fase de inicialización una carga útil limitada en un primer mensaje de dispositivo móvil (DM) a servidor (SV) [ATTR(rlMSI)_1 ] para enviar una identidad IMSI elegida de forma aleatoria de entre el intervalo de identidades IMSI [RG1(IMSI)] para permitir que el servidor (SV) genere claves para iniciar una fase de comunicación segura y, a continuación, utilizar unas claves (SK12c, SK12i) individuales almacenadas en el contenedor de credenciales (CC) del dispositivo móvil (DM) y recuperadas por el servidor (SV) con un identificador del contenedor de credenciales (CCId) enviado también utilizando una carga útil limitada en un mensaje de dispositivo móvil (DM) a servidor (SV) [AUTF(rlMSI, AUTS)_3] y con una clave maestra de individualización (MK12) propiedad del servidor (SV).
    Método según la reivindicación 1, en donde la recuperación de las claves individuales (SK12c, SK12i) por parte del servidor (SV) se hace con un identificador del dispositivo móvil (DM) que también se envía durante la fase de inicialización en un mensaje de dispositivo móvil (DM) a servidor (SV) [ATTR(rlMSI)_1] de carga útil limitada.
    Método según la reivindicación 1, que comprende una fase de provisión que comprende las etapas, en el lado del dispositivo móvil, de:
    - recibir y almacenar el intervalo de identidades IMSI efímeras [RG1(IMSI)] en el contenedor de credenciales (CC),
    - recibir y almacenar, en el contenedor de credenciales (CC), la clave maestra de grupo (CM11) compartida por el contenedor de credenciales (CC) y el servidor (SV), que es idéntica para cada contenedor de credenciales (CC) que tenga el mismo intervalo de identidades IMSI efímeras (RG1(IMSI), y las dos claves (SK12c, SK12i) individuales derivadas utilizando un identificador del contenedor de credenciales (CC) del dispositivo móvil (DM) y una clave maestra de individualización (CM12) propiedad del servidor (SV), denominadas clave de cifrado (SKc) individual y clave de integridad (SKi) individual.
    Método según la reivindicación 3, en donde la fase de inicialización comprende las etapas de, en el lado del dispositivo móvil (DM), cuando se requiere un acoplamiento:
    - enviar, en un primer mensaje [ATTR(rlMSI)_1] según el protocolo, al menos una solicitud de acoplamiento al servidor (SV) que porta un valor de IMSI (rlMSI) tomado aleatoriamente del intervalo previamente almacenado de identidades IMSI efímeras [RG1(IMSI)],
    - recibir, en un segundo mensaje [AUTR(RND,AUTN)_2] según el protocolo firmado utilizando una clave de integridad (SK11 i) derivada obtenida, en el lado del servidor (SV), utilizando la clave maestra de grupo (MK11) y el valor de identidad IMSI elegida de forma aleatoria (rIMSI) recibido, una solicitud de autenticación que procede del servidor (SV), comprendiendo dicha solicitud de autenticación parámetros que permiten establecer una sesión única utilizando el valor de identidad IMSI elegida de forma aleatoria (rlMSI) y un valor aleatorio de servidor (Rnd),
    - enviar, en un tercer mensaje [AUTF(rlMSI, AUTS)_3] según el protocolo firmado utilizando una clave de integridad (SK11 i) derivada, en el contenedor de credenciales (CC), utilizando la clave maestra de grupo (MK11) y el valor de identidad IMSI elegida de forma aleatoria (rIMSI), un identificador de contenedor de credenciales (CCId) encriptado utilizando una clave de cifrado (SK11 c) derivada utilizando la clave maestra de grupo (MK11) y el valor de identidad IMSI elegida de forma aleatoria (rIMSI),
    - recibir, en un cuarto mensaje (AUTR(RND,AUTN)_4) según el protocolo firmado utilizando la clave de integridad (SK12i) individual, un comando y parámetros que se personalizarán para permitir una suscripción temporal encriptado utilizando la clave de cifrado (SK12c) individual,
    cifrándose mensajes posteriores del protocolo en la fase de comunicación segura con la clave de cifrado (SK12c) individual y firmándose con la clave de integridad (SK12i) individual.
    Dispositivo móvil (DM) que tiene un contenedor de credenciales (CC) y está adaptado para acoplarse a un servidor (SV) mientras se utiliza un protocolo que tiene restricciones de codificación de tamaño de datos que impiden utilizar un cifrado tradicional, comprendiendo dichas restricciones al menos:
    - una restricción relacionada con el número de carga útil de datos en cada intercambio, específicamente en la dirección dispositivo móvil (DM) a servidor (SV),
    - una restricción relacionada con la asimetría del tamaño de la carga útil de datos en la dirección servidor (SV) a dispositivo móvil (DM) y en la dirección dispositivo móvil (DM) a servidor (SV), y - una restricción relacionada con la imposibilidad de cifrar algunos datos en la carga útil de datos, almacenando dicho depósito de credenciales:
    - un intervalo de identidades IMSI efímeras RG1(IMSI) compartidas con un lote de dispositivos móviles (DM),
    - una clave maestra de grupo (MK11) asociada compartida con el servidor (SV) y con el lote de dispositivos móviles (DM) que tienen el mismo intervalo de identidades IMSI efímeras [RG1 (IMSI)],
    - dos claves individuales, una clave de integridad (SK12i) individual y una clave de cifrado (SK12c) individual,
    utilizándose el intervalo de identidades IMSI efímeras [RG1(IMSI)] y la clave maestra de grupo (MK11) asociada para iniciar una sesión segura con el servidor (SV) mientras se utiliza además un valor aleatorio de servidor (Rnd), utilizando dicha fase de inicialización una carga útil limitada en un primer mensaje de dispositivo móvil (DM) a servidor (SV) [ATTR(rlMSI)_1] para enviar una identidad IMSI elegida de forma aleatoria (rIMSI) de entre el intervalo de identidades IMSI [RG1(IMSI)] para permitir que el servidor (SV) genere claves para iniciar una fase de comunicación segura,
    y sirviendo las dos claves (SK12i, SK12c) individuales durante la fase de comunicación segura en la que el servidor (SV) recupera las claves (SK12i, SK12c) individuales utilizando un identificador (CCId) del contenedor de credenciales (CC) del dispositivo móvil (DM) enviado utilizando una carga útil limitada en un mensaje de dispositivo móvil (DM) a servidor (SV) [AUTF(rlMSI,AUTS)_3] y una clave maestra de individualización (MK12) propiedad del servidor (SV).
    Dispositivo móvil (DM) según la reivindicación 5, estando dicho dispositivo móvil (DM) adaptado para implementar las siguientes etapas:
    - enviar, en un primer mensaje [ATTR(rlMSI)_1] según el protocolo, al menos una solicitud de acoplamiento al servidor (SV) que porta un valor de IMSI (rlMSI) obtenido de forma aleatoria del intervalo previamente almacenado de identidades IMSI efímeras [RG1(IMSI)],
    - recibir, en un segundo mensaje [AUTR(RND,AUTN)_2] según el protocolo firmado utilizando una clave de integridad (SK11 i) derivada obtenida, en el lado del servidor (SV), utilizando la clave maestra de grupo (MK11) y el valor recibido de identidad IMSI elegida de forma aleatoria (rIMSI), una solicitud de autenticación que procede del servidor (SV), comprendiendo dicha solicitud de autenticación parámetros que permiten establecer una sesión única utilizando el valor de identidad IMSI elegida de forma aleatoria (rlMSI) y un valor aleatorio de servidor (RND)
    - enviar, en un tercer mensaje [AUTF(rlMSI,AUTS)_3] según el protocolo firmado utilizando una clave de integridad (SK11 i) derivada, en el contenedor de credenciales (CC), utilizando la clave maestra de grupo (MK11) y el valor de identidad IMSI elegida de forma aleatoria (rIMSI), un identificador de contenedor de credenciales (CC) (CCId) encriptado utilizando una clave de cifrado (SK11 c) derivada utilizando la clave maestra de grupo (MK11) y el valor de identidad IMSI elegida de forma aleatoria (rIMSI),
    - recibir, en un cuarto mensaje [AUTR(RND,AUTN)_4] según el protocolo firmado utilizando la clave de integridad (SK12i) individual, un comando y parámetros que se personalizarán para permitir una suscripción temporal encriptada utilizando la clave de cifrado (SK12c) individual,
    - cifrándose mensajes posteriores del protocolo en la fase de comunicación segura con la clave de cifrado (SK12c) individual y firmándose con la clave de integridad (SK12i) individual.
    Servidor (SV) adaptado para acoplar un dispositivo móvil (DM) que tiene un contenedor de credenciales (CC) mientras se utiliza un protocolo que tiene restricciones de codificación de tamaño de datos que impiden el uso de un cifrado tradicional, comprendiendo dichas restricciones al menos:
    - una restricción relacionada con el número de carga útil de datos en cada intercambio, específicamente en la dirección dispositivo móvil (DM) a servidor (SV),
    - una restricción relacionada con la asimetría del tamaño de la carga útil de datos en la dirección servidor (SV) a dispositivo móvil (DM) y en la dirección dispositivo móvil (DM) a servidor (SV), y - una restricción relacionada con la imposibilidad de cifrar algunos datos en la carga útil de datos, almacenando dicho servidor al menos:
    - un número dado de claves maestras de grupo (CM1j) para el número dado de lotes de contenedores de credenciales (CC) del dispositivo móvil que comparten el mismo intervalo de identidades IMSI efímeras [RGj(IMSI)] y que se pretenden acoplar al servidor (SV), siendo dicha clave maestra de grupo (CM1j) compartida por el servidor (SV) y por todos los contenedores de credenciales (CC) del dispositivo móvil del lote correspondiente, - el mismo número dado de claves maestras de individualización (CM2j) para el número dado de lotes de contenedores de credenciales (CC) del dispositivo móvil que comparten el mismo intervalo de identidades IMSI efímeras [RGj(IMSI)] y que se pretenden acoplar al servidor (SV), utilizándose dicha clave maestra de individualización (MK2j) para personalizar cada contenedor de credenciales (CC) del dispositivo móvil con dos claves individuales, una clave de integridad (SK2ji) individual y una clave de cifrado (SK2jc) individual, derivadas de la clave maestra de individualización (MK2j) del lote correspondiente y de un identificador del contenedor de credenciales del dispositivo móvil (CCId),
    un módulo de determinación de grupo adaptado para determinar un grupo (j) con una identidad IMSI (rIMSI) recibida elegida de forma aleatoria de entre una del intervalo de identidades IMSI efímeras compartidas por un lote de dispositivos móviles (CC),
    un módulo de derivación adaptado para calcular las claves de integridad y de cifrado (SK1ji, SK1jc) a partir de una primera clave maestra de grupo (CM1j) y de una identidad IMSI elegida de forma aleatoria (rIMSI) recibida del contenedor de credenciales (CC) del dispositivo móvil del lote correspondiente y para calcular unas claves de integridad y de cifrado (SK2ji, SK2c) individuales a partir de una segunda clave maestra de grupo (MK2j) y de un identificador del contenedor de credenciales del dispositivo móvil (CCId), utilizándose el intervalo de identidades IMSI efímeras [RGj(IMSI)] y la clave maestra de grupo (MK1j) asociada para iniciar, mientras se utiliza además un valor aleatorio de servidor (RND), una sesión segura con el contenedor de credenciales (CC) del dispositivo móvil en una fase de inicialización que utiliza una carga útil limitada en un primer mensaje de dispositivo móvil (DM) a servidor (SV) [ATTR(rlMSI)_1] para enviar una identidad IMSI elegida de forma aleatoria (rIMSI) de entre el intervalo de identidades IMSI [RGj(IMSI)] para permitir que el servidor (SV) genere claves para iniciar una fase de comunicación segura utilizando las dos claves (SK2ji, SK2jc) individuales.
ES19805326T 2018-12-03 2019-11-21 Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño Active ES2938009T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18306602.6A EP3664486A1 (en) 2018-12-03 2018-12-03 Method and apparatuses for ensuring secure attachment in size constrained authentication protocols
PCT/EP2019/082139 WO2020079287A1 (en) 2018-12-03 2019-11-21 Method and apparatuses for ensuring secure attachment in size constrained authentication protocols

Publications (1)

Publication Number Publication Date
ES2938009T3 true ES2938009T3 (es) 2023-04-03

Family

ID=65628485

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19805326T Active ES2938009T3 (es) 2018-12-03 2019-11-21 Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño

Country Status (8)

Country Link
US (1) US20220104013A1 (es)
EP (2) EP3664486A1 (es)
JP (1) JP7174156B2 (es)
KR (1) KR102425273B1 (es)
CN (1) CN113228720A (es)
BR (1) BR112021008827A2 (es)
ES (1) ES2938009T3 (es)
WO (1) WO2020079287A1 (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112586018B (zh) * 2018-08-20 2023-02-21 中兴通讯股份有限公司 用于配置完整性信息的方法和设备
EP3972308A1 (en) * 2020-09-17 2022-03-23 Thales DIS France SA A method for sending a message from a remote server to a terminal
EP3975498A1 (en) * 2020-09-28 2022-03-30 Tata Consultancy Services Limited Method and system for sequencing asset segments of privacy policy
SE2251044A1 (en) * 2022-09-08 2024-03-09 Atlastica Ab Methods, apparatuses, and a network for providing connectivity to a wireless device

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002313444A1 (en) * 2002-07-17 2004-02-02 Wuhan Fiberhome Networks Co., Ltd. Multiple service ring with capabilities of transmitting and switching data, video and voice
BRPI0414609A (pt) * 2003-09-23 2006-11-07 Atc Tech Llc métodos para coordenar comunicações de uma estação móvel com um sistema de comunicações móveis via satélite e um sistema de comunicações móveis terrestre, e para coordenar comunicações de uma estação móvel, e, sistema de comunicações
US7839401B2 (en) * 2007-05-10 2010-11-23 International Business Machines Corporation Management of enterprise systems and applications using three-dimensional visualization technology
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
US8904183B2 (en) * 2010-03-25 2014-12-02 GM Global Technology Operations LLC Efficient technique to achieve non-repudiation and resilience to DoS attacks in wireless networks
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
GB2525205B (en) * 2014-04-15 2020-12-16 Vodafone Ip Licensing Ltd Provisioning a network subscription
US9174733B1 (en) * 2014-08-28 2015-11-03 Google Inc. Payload-release device and operation thereof
US10237729B2 (en) * 2015-03-05 2019-03-19 Qualcomm Incorporated Identity privacy in wireless networks
WO2017078699A1 (en) * 2015-11-04 2017-05-11 Halliburton Energy Services, Inc. Downhole payload release containers, method and system of using the same
US10382206B2 (en) * 2016-03-10 2019-08-13 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
EP3451722B1 (en) * 2016-04-27 2021-08-18 Nec Corporation Key derivation when network slicing is applied
EP3358867A1 (en) 2017-02-03 2018-08-08 Gemalto Sa Method for managing communication between a server and a user equipment
EP3358871A1 (en) * 2017-02-03 2018-08-08 Gemalto Sa A method for an euicc embedded into a machine type communication device to trigger the download of a subscription profile

Also Published As

Publication number Publication date
EP3892022B1 (en) 2022-12-28
KR20210082248A (ko) 2021-07-02
JP2022513134A (ja) 2022-02-07
KR102425273B1 (ko) 2022-07-27
EP3664486A1 (en) 2020-06-10
CN113228720A (zh) 2021-08-06
WO2020079287A1 (en) 2020-04-23
EP3892022A1 (en) 2021-10-13
US20220104013A1 (en) 2022-03-31
JP7174156B2 (ja) 2022-11-17
BR112021008827A2 (pt) 2021-08-17

Similar Documents

Publication Publication Date Title
ES2885499T3 (es) Identificador oculto de suscripción
ES2938009T3 (es) Método y aparatos para garantizar un acoplamiento seguro en protocolos de autenticación con restricciones de tamaño
ES2943681T3 (es) Métodos que proporcionan seguridad para múltiples conexiones de NAS utilizando contajes independientes y nodos de red y terminales inalámbricos relacionados
CN109155775B (zh) 一种移动设备、网络节点及其方法
EP4074087A1 (en) Method for authenticating a secure element at the level of an authentication server, corresponding secure element and authentication server