FI113331B - Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker - Google Patents

Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker Download PDF

Info

Publication number
FI113331B
FI113331B FI992258A FI19992258A FI113331B FI 113331 B FI113331 B FI 113331B FI 992258 A FI992258 A FI 992258A FI 19992258 A FI19992258 A FI 19992258A FI 113331 B FI113331 B FI 113331B
Authority
FI
Finland
Prior art keywords
input
authentication
rand
response
subscriber
Prior art date
Application number
FI992258A
Other languages
Finnish (fi)
Swedish (sv)
Other versions
FI19992258A (en
Inventor
Lauri Paatero
Janne Rantala
Original Assignee
Setec Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Setec Oy filed Critical Setec Oy
Priority to FI992258A priority Critical patent/FI113331B/en
Priority to FI992595A priority patent/FI113146B/en
Priority to PCT/FI2000/000907 priority patent/WO2001030104A1/en
Priority to DE60034054T priority patent/DE60034054T2/en
Priority to CN00814588A priority patent/CN1382357A/en
Priority to EP00969608A priority patent/EP1224827B1/en
Priority to AT00969608T priority patent/ATE357828T1/en
Priority to AU79280/00A priority patent/AU7928000A/en
Priority to JP2001531331A priority patent/JP2003512792A/en
Publication of FI19992258A publication Critical patent/FI19992258A/en
Priority to US10/126,741 priority patent/US20020180583A1/en
Application granted granted Critical
Publication of FI113331B publication Critical patent/FI113331B/en

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

The authenticating message comprising an input generated by external attacker, is received in the subscriber station. The correctness of the input is then checked by computing a message authentication code by utilizing the input and checking algorithm. The authentication message is identified of being generated by external attacker if the input is incorrect on the basis of message authentication code. Independent claims are also included for the following: (a) Telecommunication system; (b) Subscriber identity module card; (c) Authentication center; (d) Subscriber station

Description

113331113331

Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite.A method for processing an authentication message, a telephone system, a telephone system authentication center, and a telephone system subscriber unit.

5 Tämä keksintö liittyy tilaajalaitteen autentikointiin, jossa tilaajalait teeseen tallennetun tilaajalaitekohtaisen salaisen avaimen perusteella varmistetaan tilaajalaitteen identiteetti.The present invention relates to authentication of a subscriber device, whereby the identity of the subscriber device is verified on the basis of a subscriber device specific secret key stored in the subscriber device.

Keksintö liittyy ensisijaisesti GSM-matkaviestinjärjestelmän (Global System for Mobile Communications) kaltaiseen tilaajalaitteen autentikointiin. 10 On kuitenkin huomattava, että keksintöä voidaan soveltaa myös muissa yhteyksissä, vaikka keksintöä seuraavassa selostetaan ensisijaisesti GSM-järjes-telmään viittaamalla.The invention relates primarily to authentication of a subscriber device such as the Global System for Mobile Communications (GSM). It should be noted, however, that the invention may also be applied in other contexts, although the following will be described primarily with reference to the GSM system.

Ennestään tunnetaan WO-julkaisusta 98/49855 ratkaisu tilaajalaitteen autentikoimiseksi, jossa tilaajalaitteelle lähetetään verkosta autentikointiin 15 käytettävän syötteen lisäksi tilaajalaitteen lähettämän satunnaisluvun perusteella laskettu vaste. Tämän ylimääräisen vasteen perusteella tilaajalaite voi autentikoida verkon. Tämän tunnetun ratkaisun heikkous on kuitenkin se, että sen toteuttaminen edellyttää, että käytössä on tilaajalaite joka kykenee lähettämään satunnaisluvun verkolle sekä käsittelemään verkon lähettämän ylimää-tV> 20 räisen syötteen. Tähän eivät kykene esimerkiksi GSM-järjestelmän tekniikan .* ! tason mukaiset matkaviestimet.From WO 98/49855, a prior art solution for authentication of a subscriber device is known, in which a response calculated on the basis of a random number transmitted by the subscriber device is sent to the subscriber device in addition to the input for authentication 15 from the network. Based on this additional response, the UE can authenticate the network. The disadvantage of this known solution, however, is that its implementation requires the use of a subscriber device capable of transmitting a random number to the network and of handling an extra tV> 20 input transmitted by the network. For example, GSM system technology is not capable of doing this. *! level-based mobile devices.

t « » ; GSM-järjestelmässä tilaajalaitteen autentikointi perustuu haaste- » » » '· vastaus menettelyyn. Autentikointia varten tilaajalaitteen SIM-kortille (Sub- scriber Identity Module) on tallennettu tilaajalaitekohtainen salainen avain Ki v ·' 25 sekä autentikointialgoritmi A3. Kyseisen tilaajalaitteen tilaajalaitekohtainen sa- lainen avain Ki ja vastaava autentikointialgoritmi A3 on tallennettu myös GSM-verkon autentikointikeskukseen. Autentikoinnin suorittamiseksi autentikointi-keskukseen järjestetty satunnaislukugeneraattori tuottaa aluksi satunnaisluvun, jonka se syöttää syötteenä laskimelle. Laskin laskee tämän jälkeen sa-30 tunnaisluvun, autentikointialgoritmin A3 ja salaisen avaimen Ki perusteella vasteen SRES. Tämän jälkeen autentikointikeskus lähettää satunnaisluvun sekä vasteen SRES varsinaisen autentikoinnin suorittavalle verkkoelementille, . : joka GSM-järjestelmän tapauksessa on VLR-rekisteri (Visitor Location Regis- *! ter).t «»; In a GSM system, authentication of a subscriber unit is based on a challenge »» »'· response procedure. For authentication, the subscriber identity module (SIM) of the subscriber unit is stored with a subscriber device specific secret key Ki v · 25 and the authentication algorithm A3. The subscriber-specific secret key Ki and corresponding authentication algorithm A3 of said subscriber device are also stored in the GSM network authentication center. To perform the authentication, the random number generator provided in the authentication center initially produces a random number which it inputs as input to the calculator. The calculator then calculates the response SRES based on the sa-30 identifier, the authentication algorithm A3, and the secret key Ki. The authentication center then sends a random number and a response to the network element performing the actual authentication SRES,. : which is a VLR (Visitor Location Register *! ter) for the GSM system.

< · · 2 113331<· · 2 113331

Vierailijarekisteri lähettää vastaanottamansa satunnaisluvun edelleen autentikoitavalle tilaajalaitteelle. Tilaajalaite käsittää laskimen, joka vastaanotetun satunnaisluvun, tilaajalaitteen salaisen avaimen Ki ja autentikoin-tialgoritmin A3 perusteella laskee vasteen SRES, jonka tilaajalaite lähettää 5 VLR-rekisterille. VLR-rekisteri vertaa tällöin autentikointikeskuksen lähettämää vastetta tilaajalaitteen lähettämään vasteeseen. Koska tilaajalaitteen muistiin tallennettu salainen avain Ki on tilaajalaitekohtainen, on olemassa yksi ainoa tilaajalaite, joka kykenee tuottamaan oikean vasteen sille lähetettyyn syötteeseen. Mikäli tilaajalaitteen ja autentikointikeskuksen vasteet vastaavat toisiaan, 10 on tilaajalaite näin ollen autentikoitu.The visitor location register forwards the received random number to the subscriber station to be authenticated. The UE comprises a calculator which, based on the received random number, the UE secret key Ki and the authentication algorithm A3, calculates the response SRES transmitted by the UE to the VLR register. The VLR register then compares the response transmitted by the authentication center with the response transmitted by the subscriber unit. Since the secret key Ki stored in the UE's memory is specific to the UE, there is a single UE that is capable of providing the correct response to the input sent to it. If the responses of the UE and the authentication center are similar, the UE is thus authenticated.

Edellä selostetun tunnetun autentikointimenettelyn heikkous on se, että ulkopuolinen hyökkääjä, joka haluaa selvittää tilaajalaitteeseen tallennetun salaisen avaimen, voi tilastollisin keinoin yrittää selvittää salaisen avaimen syöttämällä toistuvasti tilaajalaitteelle (tai tilaajalaitteen SIM-kortille) erilaisia 15 syötteitä ja seuraamalla mitä vasteita tilaajalaitteelta välittyy. Toistamalla kyseinen toimenpide riittävän monta kertaa ja tilastoimalla sekä syötteet että vasteet, saattaa salainen avain Ki paljastua tilastoon kertyneiden tietojen perusteella. Mikäli ulkopuolinen hyökkääjä saa selville salaisen avaimen, voi hän kloonata tilaajalaitteen (tai SIM-kortin) valmistamalla toisen tilaajalaitteen, jolla 20 on identtinen salainen avain, jolloin kyseisellä kloonatulla tilaajalaitteella voi- ,* ;* daan esimerkiksi soittaa puheluita, joiden laskutus kohdistuu alkuperäisen ti- » · laajalaitteen omistajalle.A disadvantage of the known authentication procedure described above is that an outside attacker who wishes to retrieve a secret key stored in the UE may, by statistical means, attempt to resolve the UI by repeatedly entering various inputs to the UE (or SIM of the UE) and monitoring the response from the subscriber. By repeating this process many times and stating both feeds and responses, the secret key Ki may be revealed based on the accumulated data. If an outside attacker discovers a secret key, he can clone the subscriber unit (or SIM card) by making another subscriber unit having an identical secret key, such that the cloned subscriber unit can, for example, make calls charged to the original subscriber. »· To the broadcaster.

i Tämän keksinnön tarkoitus on ratkaista edellä mainittu ongelma, ja \*·! saada aikaan ratkaisu, jonka ansiosta ulkopuolisen hyökkääjän on entistä vai- ν' ·’ 25 keampaa sada selville tilaajalaitteen salainen avain. Tämä päämäärä saavute- taan keksinnön mukaisella menetelmällä autentikointiviestin käsittelemiseksi autentikoitavassa laitteessa, jossa menetelmässä vastaanotetaan autentikoin-v tiviesti, johon sisältyy syöte. Keksinnön mukaiselle menetelmälle on tunnus- omaista, että menetelmässä: tarkistetaan syötteen oikeellisuus laskemalla tar-30 kistusarvo syötteen ja tarkistusalgoritmin avulla, ja lasketaan vaste autentikoin-tialgoritmin, syötteen ja salaisen avaimen avulla ja lähetetään mainittu vaste edelleen autentikoitavalta laitteelta, jos syöte tarkistusarvon perusteella on oikein.The object of the present invention is to solve the above problem, and \ * ·! to provide a solution that allows the outside attacker to discover the secret key of the subscriber unit. This object is achieved by the method of the invention for processing an authentication message in a device to be authenticated, wherein the method comprises receiving an authentication message including an input. The method according to the invention is characterized in that the method: verifies the correctness of the input by calculating a check value using the input and a check algorithm, and calculates the response using the authentication algorithm, input and secret key and forwarding said response from the device to be authenticated. .

, Keksinnön kohteena on lisäksi puhelinjärjestelmä, jossa keksinnön * · 35 mukaista menetelmää voidaan hyödyntää. Keksinnön mukaiseen puhelinjär- 3 113331 jestelmään kuuluu ainakin yksi tilaajalaite, joka käsittää laskimen ja muistin, johon on tallennettu tilaajalaitekohtainen salainen avain, ja autentikointivälinei-tä mainitun tilaajalaitteen autentikoimiseksi, joihin autentikointivälineisiin kuuluu satunnaisgeneraattori, laskin sekä muisti, johon on tallennettu mainitun 5 ainakin yhden tilaajalaitteen tilaajalaitekohtainen salainen avain, jotka autenti-kointivälineet on järjestetty laskemaan vasteen syötteen, autentikointialgorit-min sekä autentikointivälineiden muistiin tallennetun tilaajalaitekohtaisen salaisen avaimen perusteella, lähettämään mainitun syötteen mainitulle tilaajalaitteelle, ja osoittamaan, että tilaajalaite on autentikoitu, mikäli autentikointiväli-10 neet vastaanottavat tilaajalaitteelta vasteen, joka vastaa autentikointivälineiden laskemaa vastetta. Keksinnön mukaiselle puhelinjärjestelmälle on tunnusomaista, että autentikointivälineet on järjestetty laskemaan mainitun syötteen satunnaislukugeneraattorin tuottaman satunnaisluvun ja ensimmäisen algoritmin avulla, ja että tilaajalaite on järjestetty tarkistamaan sen vastaanottaman 15 syötteen oikeellisuuden laskemalla tarkistusarvon syötteen ja tarkistusalgorit-min avulla, ja laskemaan vasteen, jonka tilaajalaite lähettää autentikointiväli-neille, hyödyntämällä autentikointialgoritmia, mainittua tilaajalaitteen muistiin tallennettua salaista avainta ja syötettä, mikäli syöte tarkistusarvon perusteella on oikein.The invention further relates to a telephone system in which the method according to the invention can be utilized. The telephone system according to the invention comprises at least one subscriber device comprising a calculator and a memory storing a subscriber device specific secret key and an authentication means for authenticating said subscriber device, the authentication means including a random generator, a calculator and a memory containing at least one subscriber. a subscriber-specific secret key, the authentication means being arranged to compute the response based on the input, the authentication algorithm and the subscriber-device-specific secret key stored in the authentication means memory to send said input to said subscriber device, and to indicate that the subscriber device corresponds to the response calculated by the authentication means. The telephone system according to the invention is characterized in that the authentication means are arranged to compute said input by a random number generated by a random number generator and a first algorithm, and that the subscriber device is arranged to check the accuracy of the received 15 input by calculating a check value by an input and a check algorithm, for them, utilizing the authentication algorithm, said secret key and input stored in the subscriber terminal's memory if the input based on the check value is correct.

>v> 20 Keksinnön kohteena on lisäksi puhelinjärjestelmän autentikointikes- kus, joka käsittää satunnaislukugeneraattorin, laskimen, sekä muistin, johon • * · ; on tallennettu tilaajalaitteiden tilaajalaitekohtaiset salaiset avaimet, ja joka tuot- ’· '· taa määrätyn tilaajalaitteen autentikointiin tarvittavan syötteen ja vasteen, jol- :: loin autentikointikeskus on vasteen tuottamiseksi järjestetty hakemaan muistis- v · 25 ta autentikoitavan tilaajalaitteen salaisen avaimen, ja laskemaan vasteen :T: muistista haetun salaisen avaimen, mainitun syötteen sekä autentikointialgo- ritmin avulla. Keksinnön mukaiselle autentikointikeskukselle on tunnusomaista, että autentikointikeskus on järjestetty tuottamaan mainitun syötteen satunnais-·. lukugeneraattorin tuottaman satunnaisluvun sekä ensimmäisen algoritmin 30 avulla.The invention further relates to an authentication center for a telephone system comprising a random number generator, a calculator, and a memory to which • * ·; a subscriber-device-specific secret key is stored, which provides the · · · input and response needed to authenticate a particular subscriber device, wherein the authentication center is configured to retrieve a secret key of the subscriber device to authenticate and compute the response: T: With the help of a secret key retrieved from memory, said input, and an authentication algorithm. The authentication center according to the invention is characterized in that the authentication center is arranged to produce said input randomly. by the random number generated by the read generator and by the first algorithm 30.

Keksinnön kohteena on vielä edelleen puhelinjärjestelmän tilaajalai- te, joka tilaajalaitteen autentikoimiseksi käsittää: muistin, johon on tallennettu , : salainen avain, välineitä syötteen vastaanottamiseksi, ja laskimen. Keksinnön \ mukaiselle tilaajalaitteelle on tunnusomaista, että tilaajalaite on järjestetty tar- ; · 35 kistamaan syötteen oikeellisuuden laskemalla tarkistusarvon syötteen ja tarkis- 4 113331 tusalgoritmin avulla, ja että laskin on järjestetty laskemaan vasteen, jonka tilaajalaite lähettää edelleen, hyödyntämällä autentikointialgoritmia, mainittua salaista avainta ja syötettä, mikäli syöte on tarkistusarvon perusteella oikein, i Keksintö perustuu siihen ajatukseen, että kun tilaajalaitteen autenti- 5 koinnissa käytetään syötteenä satunnaisluvun sijasta jotakin sellaista syötettä, jonka oikeellisuuden tilaajalaite kykenee tarkistamaan, saadaan aikaan ratkaisu joka entisestään vaikeuttaa tilaajalaitekohtaisen salaisen avaimen selvittämistä. Ainoastaan siinä tapauksessa, että tilaajalaitteen suorittama tarkistus osoittaa, että syöte on oikea, tuottaa tilaajalaite vasteen sen muistiin tallenne-10 tun salaisen avaimen sekä autentikointialgoritmin avulla. Salaisen avaimen selvittäminen on näin ollen entistä vaikeampaa, koska ulkopuolinen hyökkääjä ei tiedä miten hänen tulisi valita syöte, jotta tilaajalaitteen suorittama tarkistus osoittaisi, että syöte on oikein. Sitävastoin esimerkiksi puhelinjärjestelmän au-tentikointikeskuksessa on tieto tilaajalaitteen käyttämästä tarkistustoimenpi-15 teistä, jolloin autentikointikeskus kykenee tuottamaan sellaisen tilaajalaitteelle lähetettävän syötteen, joka tilaajalaitteen suorittaman tarkistuksen perusteella on oikein.The invention still further relates to a subscriber unit of a telephone system comprising, for authenticating a subscriber unit,: a memory stored therein: a secret key, means for receiving an input, and a calculator. The subscriber device according to the invention is characterized in that the subscriber device is arranged in a specific manner; · 35 to verify the correctness of the input by calculating a check value by means of an input and a check algorithm, and that the calculator is arranged to calculate the response transmitted by the UE using the authentication algorithm, said secret key and input if the input is correct based on the check value. that using an input that is authenticated by a subscriber device rather than a random number as an input in the authentication of the subscriber device provides a solution that further complicates the discovery of the secret key specific to the subscriber device. Only if the check performed by the subscriber unit indicates that the input is correct, the subscriber unit generates a response by means of a secret key stored in its memory and an authentication algorithm. Therefore, finding a secret key is even more difficult because the outside attacker does not know how to select the input so that the UE will verify that the input is correct. In contrast, for example, the telephone system authentication center has information on the verification procedures used by the subscriber unit, whereby the authentication center is able to produce an input to the subscriber unit which is correct based on the verification performed by the subscriber unit.

Keksinnön mukaisen ratkaisun merkittävimmät edut ovat näin ollen, että ulkopuolisen hyökkääjän on entistä vaikeampaa selvittää määrätyn tilaaja- ,Vt 20 laitteen autentikoinnissa käytettävä salainen avain, ja että keksintöä voidaan • · · .* .* soveltaa jo olemissa olevissa järjestelmissä hyvin pienin muutoksin. Esimer- • t · ; kiksi GSM-järjestelmässä keksintö voidaan suoraan ottaa käyttöön järjestel- *; '·' män autentikointikeskuksessa, jolloin uudet puhelimet voidaan alusta lähtien : i varustaa SIM-korteilla, jotka kykenevät suorittamaan keksinnön mukaisen 25 syötteen tarkistuksen. Vanhojen puhelimien SIM-kortteja ei ole pakko vaihtaa, ν': koska vanhat SIM-kortit kykenevät käsittelemään syötettä, jonka keksinnön mukaisesti toimiva autentikointikeskus on tuottanut. Vanhat puhelimet oletta-j. vat, että syöte on satunnaisluku, jota ne autentikoinnin yhteydessä käsittelevät kuten ennenkin.The major advantages of the solution according to the invention are thus that it is even more difficult for an outside attacker to find out the secret key used to authenticate a particular subscriber, Vt 20 device, and that the invention can be applied to existing systems with very small changes. Examples •; why, in a GSM system, the invention can be directly implemented in a system; In the Authentication Center, new phones can, from the outset, be equipped with SIM cards capable of performing the input check of the invention. Old phones SIM cards do not have to be replaced, ν ': because old SIM cards are capable of handling the input provided by the authentication center operating according to the invention. Old phones assume-j. They say that the feed is a random number, which they handle as they did with authentication.

30 Eräässä keksinnön edullisessa suoritusmuodossa tilaajalaite laskee ja lähettää edelleen satunnaisen vasteen, mikäli se havaitsee, että sen vas-, .· taanottama syöte on väärin. Satunnainen vaste voi olla laskettu jollakin toisella r algoritmilla kuin autentikointialgoritmilla. Vaihtoehtoisesti satunnainen vaste voi olla laskettu autentikointialgoritmilla, mutta tilaajalaitteen salaisen avaimen 35 sijasta on laskennassa käytetty jotakin toista "valeavainta", tai vaihtoehtoisesti 113331 ) ! ! 5 f satunnainen vaste voi muodostua satunnaisgeneraattorin tuottamasta satunnaisluvusta. Tärkeää on kuitenkin se, että satunnainen vaste näyttää todelli-! seita vasteelta, eli ulkopuolinen hyökkääjä ei esimerkiksi vasteen pituuden pe rusteella tiedä, että kyseessä ei ole todellinen autentikointialgoritmilla ja salai-5 sella avaimelle laskettu vaste.In a preferred embodiment of the invention, the subscriber unit calculates and forwards a random response if it detects that its received input is incorrect. The random response may be computed by an algorithm other than the authentication algorithm. Alternatively, the random response may be computed using an authentication algorithm, but another "false" key is used instead of the subscriber's secret key 35, or alternatively 113331)! ! The 5 f random response may consist of a random number generated by a random generator. What's important, though, is that the random response looks real! for example, based on the length of the response, it does not know that this is not a true response calculated by the authentication algorithm and the secret key.

Keksinnön mukaisen menetelmän, järjestelmän ja tilaajalaitteen edulliset suoritusmuodot ilmenevät oheisista epäitsenäisistä patenttivaatimuksista 2-4, 6-8 ja 11-13.Preferred embodiments of the method, system and subscriber device according to the invention are disclosed in the appended dependent claims 2-4, 6-8 and 11-13.

Keksintöä selostetaan seuraavassa esimerkinomaisesti lähemmin 10 viittaamalla oheisiin kuvioihin, joista: kuvio 1 esittää lohkokaaviota keksinnön mukaisen järjestelmän ensimmäisestä edullisesta suoritusmuodosta, kuvio 2 havainnollistaa tilaajalaitteen autentikoinnissa hyödynnettävää syötettä, ja 15 kuvio 3 esittää vuokaaviota keksinnön mukaisen menetelmän en simmäisestä edullisesta suoritusmuodosta.The invention will now be described, by way of example, in more detail 10 with reference to the accompanying figures, of which: Figure 1 is a block diagram of a first preferred embodiment of a system according to the invention, Figure 2 illustrates an input for authentication of a subscriber device;

Kuvio 1 esittää lohkokaaviota keksinnön mukaisen järjestelmän ensimmäisestä edullisesta suoritusmuodosta. Kuvion 1 järjestelmä voi olla esimerkiksi GSM-järjestelmä.Figure 1 is a block diagram of a first preferred embodiment of a system according to the invention. The system of Figure 1 may be, for example, a GSM system.

.·*. 20 Kuvion 1 tapauksessa suurin osa järjestelmän autentikointivälineis- .* ! tä on järjestetty erityiseen autentikointikeskukseen AC, joka GSM-järjestelmän ; yhteydessä voi sijaita esimerkiksi HLR-rekisterin (Home Location Register) yhteydessä. GSM-järjestelmässä tilaajalaitteen autentikointi tapahtuu VLR-*· ·: rekisterin toimesta siten, että VLR-rekisteri vastaanottaa autentikointikeskuk- : 25 seita AC syötteen RAND sekä vasteen SRES, joiden avulla se kykenee suorit- • # * v : tamaan tilaajalaitteen MS autentikoinnin.. · *. In the case of Figure 1, most system authentication means *! it is arranged in a special authentication center AC, which GSM system; may be located in connection with, for example, the Home Location Register (HLR). In the GSM system, the VLR authentication is performed by the VLR * · · register so that the VLR register receives the AC input RAND and the SRES response by which it is able to perform the authentication of the subscriber station MS.

Kuvion 1 autentikointikeskukseen AC kuuluu satunnaislukugene- ··· raattori 1, joka tuottaa satunnaisluvun RND laskimelle 2. Laskin 2 laskee sa- 1 »»* ···. tunnaisluvun RND ja ensimmäisen ennalta määrätyn algoritmin g perusteella • . 30 tarkistusarvon MAC (Message Autentication Code). Tämän jälkeen laskin 2 muodostaa satunnaisluvusta RND ja tarkistusarvosta MAC syötteen RAND. Syöte RAND on näin ollen kuvion 1 esimerkkitapauksessa kaksiosainen. Syö-., j tettä on havainnollistettu kuviossa 2.The authentication center AC of Figure 1 includes a random number generator ···, which produces a random number RND for calculator 2. Calculator 2 calculates 1 · »* ···. based on RND and first predefined algorithm g. 30 check value MAC (Message Authentication Code). Thereafter, calculator 2 generates a random number RND and a check value MAC input RAND. The input RAND is thus two-part in the example case of Figure 1. The input is illustrated in Figure 2.

.···. Autentikointikeskukseen AC kuuluu muisti 4, johon on tallennettu 35 kaikkien niiden tilaajalaitteiden salainen avain, joiden tilaajalaitteiden autenti- 6 113331 kointiin kyseinen autentikointikeskus osallistuu. Käytännössä autentikointikes-kus voi olla operaattorikohtainen, jolloin sen muistiin on tallennettu kaikki kyseisen operaattorin tilaajalaitteiden salaiset avaimet. Kuvion 1 tapauksessa muistiin on tallennettu matkaviestimestä muodostuvan tilaajalaitteen MS salai-5 nen avain Ki. Autentikointikeskus syöttää muistista 4 haetun salaisen avaimen Ki sekä laskimen 2 tuottaman syötteen RAND laskimelle 3.. ···. The Authentication Center AC includes a memory 4, in which 35 secret keys of all the subscriber devices to which the authentication center is involved are stored. In practice, the authentication center may be operator-specific, whereby all secret keys of the subscriber devices of that operator are stored in its memory. In the case of Fig. 1, the secret key Ki of the mobile subscriber station MS is stored in the memory. The Authentication Center supplies the secret key Ki retrieved from the memory 4 and the input RAND generated by the calculator 2 to the calculator 3.

Laskin 3 laskee salaisen avaimen Ki, syötteen RAND ja autentikoin-tialgoritmin A3 perusteella vasteen SRES. Syötteen RAND ja vasteen SRES autentikointikeskus lähettää VLR-rekisterille.Calculator 3 calculates the response SRES based on the secret key Ki, the input RAND, and the authentication algorithm A3. The RAND input and the SRES response are sent to the VLR by the authentication center.

10 Tilaajalaitteen MS autentikoimiseksi VLR-rekisteri lähettää sen au- tentikointikeskukselta vastaanottaman syötteen RAND tilaajalaitteelle MS. Au-tentikointikeskukselta vastaanotetun vasteen VLR-rekisteri sitävastoin tallentaa muistiin siten, että sen on vertailuelimen 10 käytettävissä.10 To authenticate the subscriber station MS, the VLR register transmits the RAND input it receives from the authentication center to the subscriber station MS. Conversely, the response received from the Authentication Center is stored in memory by the VLR register so that it is available to the comparator 10.

Tilaajalaitteen MS vastaanottama syöte RAND kulkeutuu sen SIM-15 kortilla sijaitsevalle laskimelle 5. Laskin 5 laskee tällöin syötteen ennalta määrätyn osan ja tarkistusalgoritmin f avulla tarkistusarvon. Kuvion 1 suoritusmuodossa oletetaan, että autentikointikeskuksen AC tuottaman syötteen RAND rakenne on kuvion 2 kaltainen, eli syöte muodostuu satunnaislukugeneraattorin 1 tuottamasta satunnaisluvusta RND sekä algoritmilla g(RND) lasketusta #^ 20 tarkistusarvosta MAC. Tilaajalaitteen tarkistusalgoritmi f hakee tällöin syöttees- ; tä RAND sen ensimmäisen osan RND, jonka jälkeen se laskee tarkistusarvonThe input RAND received by the subscriber station MS is transmitted to the calculator 5 on its SIM-15 card. The calculator 5 then calculates a check value by means of a predetermined part of the input and a checking algorithm f. In the embodiment of Figure 1, the structure of the input RAND generated by the authentication center AC is assumed to be similar to Figure 2, i.e., the input consists of a random number RND generated by a random number generator 1 and a check value MAC of # ^ 20 calculated by algorithm g (RND). The subscriber unit check algorithm f then fetches in the input; RAND the first part RND after which it calculates a check value

I I II I I

; MAC vastaavalla tavalla kuin autentikointikeskuksen laskin 2, eli algoritmilla · g(RND). Lasketun tarkistusarvon MAC laskin 5 syöttää vertailuyksikölle 6. Ver- tailuyksikkö vertaa tämän jälkeen laskimen 5 laskemaa tarkistusarvoa MAC :: : 25 syötteeseen RAND sisältyvään tarkistusarvoon MAC. Mikäli vertailuyksikkö 6 havaitsee, että laskimen laskema tarkistusarvo vastaa syötteen jäljelle jäävää osaa MAC, osoittaa vertailuyksikkö 6 ohjausyksikölle 7, että syöte RAND on oikein.; MAC in the same way as Authentication Center Calculator 2, i.e., algorithm · g (RND). The calculated check value MAC calculator 5 supplies the reference unit 6. The comparison unit then compares the check value MAC ::: calculated by the calculator 5 with the check value MAC included in the RAND input. If the comparison unit 6 detects that the check value calculated by the calculator corresponds to the remainder of the input MAC, the comparison unit 6 indicates to the control unit 7 that the RAND input is correct.

·. Mikäli ohjausyksikkö 7 havaitsee, että syöte on oikein aktivoi se las- \ 30 kimen 8 laskemaan vasteen syötteelle RAND. Vasteen SRES laskin 8 laskee syötteen RAND, muistiin 9 tallennetun tilaajalaitekohtaisen salaisen avaimen .· Ki sekä autentikointialgoritmin A3 perusteella. Kyseessä on näin ollen sama j algoritmi A3 ja samat parametrit, joita myös autentikointikeskuksen laskin 3 on • ·! käyttänyt. Näin ollen tilaajalaite MS tuottaa VLR-rekisterille välitettävän vas- 35 teen SRES, joka vastaa autentikointikeskuksen välittämää vastetta SRES.·. If the control unit 7 detects that the input is correct, it activates the calculator 8 to calculate the response to the input RAND. The response SRES calculator 8 calculates the RAND input, the subscriber device specific secret key stored in the memory 9. · Ki and based on the authentication algorithm A3. So it is the same j algorithm A3 and the same parameters that the Authentication Center calculator 3 is • ·! used. Thus, the subscriber station MS produces a SRES response to be transmitted to the VLR, which corresponds to the SRES response transmitted by the authentication center.

7 1133317, 113331

Kun VLR-rekisterin vertailuyksikkö 10 vertailun jälkeen havaitsee, että vasteet ovat identtiset, toteaa se, että tilaajalaite MS on autentikoitu.When the VLR register comparison unit 10, after comparing, detects that the responses are identical, it finds that the subscriber station MS is authenticated.

Mikäli vertailuyksikkö 6 sitävastoin osoittaa ohjausyksikölle 7, että syöte RAND ei ole oikein on kyseessä mitä todennäköisimmin ulkopuolisen 5 hyökkääjän syöttämä syöte. Tällöin ohjausyksikkö keskeyttää tilaajalaitteen autentikointiprosessin siten, että tilaajalaite ei välitä vastetta. Vaihtoehtoisesti ohjausyksikkö 7 voi tällaisessa tapauksessa aktivoida satunnaisen vasteen välittämisen edelleen. Satunnaisella vasteella tarkoitetaan tässä yhteydessä mitä tahansa oikealta näyttävää vastetta. Tällainen satunnainen vaste voi muodos-10 tua esimerkiksi satunnaisluvusta tai jollakin algoritmilla lasketusta vasteesta. Pääasia on, että vastetta ei lasketa autentikointialgoritmilla A3, salaisella avaimella Ki ja syötteellä RAND. Mikäli näin tehtäisiin, niin ulkopuoliselle hyökkääjälle välittyisi todellinen vaste hänen syöttämään syötteeseen, mikä saattaisi auttaa salaisen avaimen selittämistä. Jos sitävastoin ulkopuoliselle hyök-15 kääjälle syötetään oikealta näyttävä (eli mm. vasteen pituuden tulee vastata todellisen vasteen pituutta) satunnainen vaste, niin ulkopuolinen hyökkääjä ei tiedä että kyseessä on virheellinen vaste.If, on the other hand, the reference unit 6 indicates to the control unit 7 that the RAND input is incorrect, this is most likely the input from an outside attacker. In this case, the control unit interrupts the authentication process of the UE so that the UE does not transmit the response. Alternatively, the control unit 7 may in such a case activate further the random response transmission. Random response in this context means any response that looks right. Such a random response may be formed, for example, by a random number or a response calculated by some algorithm. The main thing is that the response is not calculated with the authentication algorithm A3, the secret key Ki and the input RAND. Doing so would give the outside attacker a real response to the feed he was entering, which could help explain the secret key. Conversely, if an external attacker is provided with a random response that looks right (i.e., the length of the response should correspond to the length of the actual response), then the external attacker will not know that this is an incorrect response.

Kuvion 1 järjestelmä on sikäli edullinen, että siinä esitettyä keksinnön mukaista autentikointikeskusta voidaan käyttää myös jo olemassa olevien, >v> 20 eli vanhojen tilaajalaitteiden yhteydessä. Tämä on mahdollista kun syöte II) ; RAND valitaan siten, että sen pituus vastaa vanhoille tilaajalaitteille syötettä- • * » ; vää syötettä. Vanhat tilaajalaitteet eivät luonnollisesti kykene tarkistamaan on-The system of Fig. 1 is advantageous in that the authentication center according to the invention disclosed therein can also be used in connection with existing subscriber terminals> v> 20. This is possible with feed II); The RAND is selected so that its length corresponds to the input to the old subscriber equipment; * * »; wrong feed. Obviously, old subscriber devices are unable to check on-

* I I* I I

*· ” ko vaste RAND oikein, mutta ne kykenevät laskemaan myös tällaisesta tarkis- · :: tusarvo sisältävästä syötteestä vasteen SRES.* · 'Correctly responds to RAND, but they can also compute a SRES response from such a feed with a check value.

I I II I I

v ·’ 25 Kuvion 1 lohkokaaviossa esitetyt lohkot voivat muodostua elektronini’: sista piireistä, tai vaihtoehtoisesti yksi tai useampi lohko voidaan toteuttaa tie tokoneohjelman avulla. Näin ollen esimerkiksi tilaajalaitteessa tai autentikointi- · keskuksessa ei esimerkiksi tarvita kahta eri laskinta, vaan laskimet voidaan ,·*·. toteuttaa sinänsä tunnetusti esimerkiksi yhdellä prosessorilla ja tietokoneoh- 30 jelmalla.The blocks shown in the block diagram of Figure 1 may consist of electronic circuits, or alternatively, one or more blocks may be implemented by a computer program. Thus, for example, in a subscriber unit or authentication center, two different calculators are not needed, but calculators can be used, · * ·. known per se, for example, with a single processor and a computer program.

: Kuvio 2 havainnollistaa tilaajalaitteen autentikoinnissa hyödynnettä vää syötettä. Esimerkiksi kuvion 1 järjestelmässä laskin 2 voi tuottaa tällaisen . : syötteen satunnaisluvun RND ja algoritmin g välityksellä. GSM-järjestelmässä \ sovellettuna syötteen RAND kokonaispituus on 16 tavua. Tällöin satunnaislu- 35 vun RND pituus voi keksinnön mukaisesti olla esimerkiksi 8-14 tavua. Satun- 8 113331 naisluvun ja algoritmin g perusteella lasketun tarkistusarvon MAC pituus voi vastaavasti olla 2-8 tavua.Figure 2 illustrates an input utilizing authentication in a UE. For example, in the system of Figure 1, calculator 2 can produce such. : via the random number RND of the feed and algorithm g. When used in the GSM system, \ the total length of the RAND input is 16 bytes. Thus, according to the invention, the random number RND can be, for example, 8-14 bytes. The MAC length of the check value calculated based on the random number 111131 female number and the algorithm g may be 2-8 bytes, respectively.

Kun keksinnön mukainen tilaajalaite vastaanottaa kuvion 2 kaltaisen syötteen laskee se tarkistusalgoritmin ja syötteen ennalta määrätyn osan, 5 eli syötteen satunnaisluvun RND, avulla tarkistusarvon. Mikäli tilaajalaitteen laskema tarkistusarvo vastaa syötteen jäljelle jäävää osaa, eli tarkistusarvoa MAC, niin tilaajalaite toteaa syötteen olevan oikein.When a subscriber device according to the invention receives an input such as that shown in FIG. 2, it calculates a hash value using a control algorithm and a predetermined portion of the input, 5, i.e. a random number RND of the input. If the check value calculated by the UE corresponds to the remaining part of the input, i.e. the check value MAC, then the UE determines that the input is correct.

Kuvio 3 esittää vuokaaviota keksinnön mukaisen menetelmän ensimmäisestä edullisesta suoritusmuodosta. Kuvion 3 vuokaaviota voidaan 10 hyödyntää esimerkiksi kuvion 1 tilaajalaitteessa autentikointiviestin käsittelemisessä.Figure 3 shows a flow chart of a first preferred embodiment of the method according to the invention. The flow chart of Figure 3 can be utilized, for example, in the subscriber device of Figure 1 to process an authentication message.

Kuvion 3 lohkossa A vastaanotetaan autentikointiviesti, johon sisältyy syöte RAND. Lohkossa B lasketaan tarkistusarvo syötteen RAND ja ennalta määrätyn tarkistusalgoritmin mukaisesti. Käytettävä tarkistusalgoritmi tulee 15 olle valittu sellaisella tavalla, että laskennan tuloksen perusteella voidaan päätellä onko syöte oikein vai ei. Eräs mahdollisuus tällaisen tarkistuksen suorittamiseksi on se, että etukäteen on sovittu, että syöte RAND on aina kaksiosainen (kuvion 2 esittämällä tavalla), jolloin se muodostuu satunnaisluvusta RND, sekä ennalta määrätyllä tarkistusalgoritmilla lasketusta tarkistusarvosta tV# 20 MAC. Tällöin lohkossa B voidaan syötteestä RAND hakea tarkistusarvon laskentaan käytettävä osa RND. Kun tarkistusarvo on laskettu tarkistetaan loh-:; kossa C vastaanko syötteestä jäljelle jäävä osa MAC laskettua tarkistusarvoa.In block A of Figure 3, an authentication message including the RAND input is received. In block B, a check value is calculated according to the RAND input and a predefined check algorithm. The check algorithm to be used will be selected in such a way that the result of the calculation can be used to determine whether the input is correct or not. One possibility for performing such a check is that it has been agreed in advance that the input RAND is always bipartite (as shown in Figure 2), consisting of a random number RND, and a check value tV # 20 calculated by a predetermined check algorithm. Then, in block B, the portion RND used for calculating the check value can be retrieved from the RAND input. When the check value is calculated, the check is blocked:; in C, whether the remaining part of the input receives the calculated check value of the MAC.

'· '· Mikäli lohkossa C todetaan, että syöte on lasketun tarkistusarvon * · *.*: perusteella oikein, niin lohkossa D lasketaan vaste SRES, joka lähetetään : ·' 25 edelleen. Vasteen laskenta suoritetaan ennalta määrätyn autentikointialgorit- min A3, salaisen avaimen Ki ja syötteen RAND perusteella.'·' · If it is found in block C that the input is correct based on the calculated check value * · *. *: Then block D calculates the response SRES which is transmitted: · '25. Response calculation is performed based on a predetermined authentication algorithm A3, secret key Ki and input RAND.

Mikäli lohkossa C sitävastoin havaitaan, että syöte RAND ei ole tar-kistusarvon perusteella oikein, niin syöte RAND on todennäköisesti lähtöisin ·. ulkopuoliselta hyökkääjältä, joka yrittää selvittää autentikoinnissa käytettävää 30 salaista avainta. Keksinnön mukaisesti tällöin on olemassa kaksi vaihtoehtois-: ta tapaa edetä.Conversely, if it is found in block C that the RAND input is not correct based on the check value, then the RAND input is likely to come from ·. from an outside attacker trying to determine the 30 secret keys used for authentication. According to the invention, there are two alternative ways to proceed.

.Ensimmäistä vaihtoehtoa kuvaa nuoli E, eli autentikointiviestin käsit- » . : tely keskeytetään. Tällöin autentikointiviestiin ei lähetetä mitään vastetta. Ul- ·*! kopuolinen hyökkääjä ei näin ollen saa mitään vastetta syötteeseen, jolloin.The first alternative is represented by arrow E, which means ». : pausing. In this case, no response is sent to the authentication message. Ul- · *! thus, the cop attacker receives no response to the feed, in which case

> I I> I I

9 113331 hän ei pysty tilastoimaan syötteitä ja vasteita, eikä käyttämään tällaista tilastoa salaisen avaimen selvittämiseen.9 113331 he is unable to compile feeds and responses nor to use such statistics to determine the secret key.

Toinen vaihtoehto on esitetty lohkossa F, eli syötteeseen RAND tuotetaan satunnainen vaste, joka lähetetään edelleen. Satunnaiseksi vas-5 teeksi kelpaa mikä tahansa vaste, joka näyttää todelliselta vasteelta, ja jota ei ole laskettu vastaavasti kuin todellinen vaste (vertaa lohko D). Näin ollen satunnainen vaste voidaan tuottaa suoraan satunnaislukugeneraattorilla, tai se voidaan laskea syötteestä jonkin tarkoitukseen sopivan algoritmin ja syötteen avulla. Ulkopuoliselle hyökkääjälle välittyy näin ollen vaste, joka on virheelli-10 nen, mutta tätä ulkopuolinen hyökkääjä ei tiedä.Another alternative is shown in block F, i.e. a random response is provided to the RAND input, which is forwarded. A random response is any response that looks like a true response and is not calculated similarly to the actual response (compare block D). Thus, the random response can be generated directly by the random number generator, or calculated from the input by some suitable algorithm and input. The outside attacker thus receives a response that is false but is not known to the outside attacker.

On ymmärrettävä, että edellä oleva selitys ja siihen liittyvät kuviot on ainoastaan tarkoitettu havainnollistamaan esillä olevaa keksintöä. Alan ammattimiehelle tulevat olemaan ilmeisiä erilaiset keksinnön variaatiot ja muunnelmat ilman että poiketaan oheisissa patenttivaatimuksissa esitetyn keksin-15 nön suojapiiristä ja hengestä.It is to be understood that the foregoing description and the accompanying figures are merely intended to illustrate the present invention. Various variations and modifications of the invention will be apparent to those skilled in the art without departing from the scope and spirit of the invention set forth in the appended claims.

• » · • I 1• »· • I 1

* I* I

tl» • i · • · · • « · • · ·tl »• i · • · ·« «• •.

I I II I I

» · · I · » • » · * lii» » t»· · I ·» • »· * lii» »t

Claims (13)

113331113331 1. Menetelmä autentikointiviestin käsittelemiseksi autentikoitavassa laitteessa, jossa menetelmässä vastaanotetaan autentikointiviesti, johon sisältyy syöte, tunnettu 5 siitä, että menetelmässä: tarkistetaan syötteen oikeellisuus laskemalla tarkistusarvo syötteen ja tarkistusalgoritmin avulla, ja lasketaan vaste autentikointialgoritmin, syötteen ja salaisen avaimen avulla ja lähetetään mainittu vaste edelleen autentikoitavalta laitteelta, jos 10 syöte tarkistusarvon perusteella on oikein.A method for processing an authentication message in an apparatus to be authenticated, the method of receiving an authentication message including an input, characterized in that the method: verifies the correctness of the input by calculating a check value using the input and a check algorithm; from the device if the 10 input based on the check value is correct. 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että menetelmässä tuotetaan ja lähetetään edelleen satunnainen vaste, jos syöte tarkistusarvon perusteella on väärin.Method according to claim 1, characterized in that the method generates and transmits a random response if the input based on the check value is incorrect. 3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, 15 että mainittu satunnainen vaste on satunnaisluku.A method according to claim 2, characterized in that said random response is a random number. 4. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että mainittu satunnainen vaste lasketaan syötteen ja ennalta määrätyn algoritmin avulla.A method according to claim 2, characterized in that said random response is calculated by an input and a predetermined algorithm. 5. Puhelinjärjestelmä, johon kuuluu: 20 ainakin yksi tilaajalaite (MS), joka käsittää laskimen (8) ja muistin ; (9), johon on tallennettu tilaajalaitekohtainen (MS) salainen avain (Ki), ja V j autentikointivälineitä (1, 3, 4, VLR) mainitun tilaajalaitteen autenti- » 1 I ; koimiseksi, joihin autentikointivälineisiin kuuluu satunnaisgeneraattori (1), las- ί kin (3) sekä muisti (4), johon on tallennettu mainitun ainakin yhden tilaajalait- : · 25 teen (MS) tilaajalaitekohtainen salainen avain (Ki), jotka autentikointivälineet : on järjestetty - laskemaan vasteen (SRES) syötteen (RAND), autentikointialgo- j. ritmin (A3) sekä autentikointivälineiden muistiin (4) tallennetun tilaajalaitekoh- » \ täisen salaisen avaimen (Ki) perusteella, ’;*t 30 - lähettämään mainitun syötteen (RAND) mainitulle tilaajalaitteelle (MS), ja » ► - osoittamaan, että tilaajalaite (MS) on autentikoitu, mikäli autenti- . : kointivälineet (VLR) vastaanottavat tilaajalaitteelta (MS) vasteen (SRES), joka • \ vastaa autentikointivälineiden laskemaa vastetta (SRES), tunnettu siitä, ’ »· 113331 että autentikointivälineet on jäljestetty laskemaan mainitun syötteen (RAND) satunnaislukugeneraattorin (1) tuottaman satunnaisluvun (RND) ja ensimmäisen algoritmin (g) avulla, ja että tilaajalaite (MS) on järjestetty: 5. tarkistamaan sen vastaanottaman syötteen (RAND) oikeellisuuden laskemalla tarkistusarvon (MAC) syötteen (RAND) ja tarkistusalgoritmin (f) avulla, ja - laskemaan vasteen, jonka tilaajalaite (MS) lähettää autentikointi-välineille (VLR), hyödyntämällä autentikointialgoritmia (A3), mainittua tilaaja-10 laitteen (MS) muistiin (9) tallennettua salaista avainta (Ki) ja syötettä (RAND), mikäli syöte (RAND) tarkistusarvon (MAC) perusteella on oikein.A telephone system comprising: at least one subscriber unit (MS) comprising a calculator (8) and a memory; (9) storing a subscriber unit specific (MS) secret key (Ki) and Vj authentication means (1, 3, 4, VLR) for authenticating said subscriber unit; authentication means including a random generator (1), a laser (3) and a memory (4) storing a subscriber-specific secret key (Ki) of said at least one subscriber device (MS), the authentication means: - compute a response (SRES) input (RAND), an authentication init. based on a rhythm (A3) and a subscriber device specific secret key (Ki) stored in the memory (4) of the authentication means, '; * t 30 - send said input (RAND) to said subscriber device (MS), and »► - indicate that the subscriber device ( MS) is authenticated if authenticated. : the authentication means (VLR) receives a response (SRES) from the subscriber unit (MS) which corresponds to the response (SRES) calculated by the authentication means, characterized in that the authentication means are tracked to compute a random number generator (1) produced by said input (RAND) RND) and the first algorithm (g), and that the subscriber unit (MS) is arranged to: 5. verify the correctness of the input (RAND) it receives by calculating a check value (MAC) using the input (RAND) and a checking algorithm (f), and transmitted by the subscriber unit (MS) to the authentication means (VLR) utilizing the authentication algorithm (A3), said secret key (Ki) and input (RAND) stored in the memory (9) of the subscriber unit (MS) if the input (RAND) MAC) basis is correct. 6. Patenttivaatimuksen 5 mukainen järjestelmä, tunnettu siitä, että tilaajalaite (MS) on järjestetty laskemaan satunnaisen vasteen, jonka tilaajalaite (MS) lähettää autentikointivälineille (VLR), mikäli syöte tarkistusarvon 15 (MAC) perusteella on väärin.System according to claim 5, characterized in that the subscriber unit (MS) is arranged to calculate a random response transmitted by the subscriber unit (MS) to the authentication means (VLR) if the input based on the check value 15 (MAC) is incorrect. 7. Patenttivaatimuksen 5 mukainen järjestelmä, tunnettu siitä, että tilaajalaite (MS) ei lähetä vastetta autentikointivälineille, mikäli syöte (RAND) tarkistusarvon perusteella on väärin.System according to claim 5, characterized in that the subscriber station (MS) does not send a response to the authentication means if the input (RAND) based on the check value is incorrect. 8. Jonkin patenttivaatimuksen 5-7 mukainen järjestelmä, t u n - . . 20 nettu siitä, että mainittu järjestelmä on matkaviestinjärjestelmä, edullisesti GSM-järjestelmä.A system according to any one of claims 5 to 7, characterized by. . 20, said system being a mobile communication system, preferably a GSM system. 9. Puhelinjärjestelmän autentikointikeskus (AC), joka käsittää: • ·: satunnaislukugeneraattorin (1), laskimen (3), sekä • ·' 25 muistin (4), johon on tallennettu tilaajalaitteiden tilaajalaitekohtaiset salaiset avaimet, ja joka tuottaa määrätyn tilaajalaitteen (MS) autentikointiin tarvitta-van syötteen (RAND) ja vasteen (SRES), jolloin autentikointikeskus on vas- • ·. teen tuottamiseksi järjestetty: ’ 30 hakemaan muistista (4) autentikoitavan tilaajalaitteen (MS) salaisen avaimen (Ki), ja laskemaan vasteen (SRES) muistista (4) haetun salaisen avaimen . : (Ki), mainitun syötteen (RAND) sekä autentikointialgoritmin (A3) avulla, t u n - ’ · · [ nettu siitä, että autentikointikeskus on järjestetty tuottamaan mainitun syöt- 113331 teen (RAND) satunnaislukugeneraattorin (1) tuottaman satunnaisluvun (RND) sekä ensimmäisen algoritmin (g) avulla.A telephone system authentication center (AC), comprising: • ·: a random number generator (1), a calculator (3), and • · 25 memory (4) storing a subscriber device specific secret key and providing a specific subscriber unit (MS). input (RAND) and response (SRES) required for authentication, whereby the authentication center is • ·. arranged to produce: 30 to retrieve from the memory (4) the secret key (Ki) of the subscriber station (MS) to be authenticated and to calculate the secret key retrieved from the memory (4) of the response (SRES). : (Ki), by means of said input (RAND) and an authentication algorithm (A3), characterized in that the authentication center is arranged to produce a random number (RND) generated by said input (RAND) random number generator (1) and a first algorithm (g). 10. Puhelinjärjestelmän tilaajalaite (MS), joka tilaajalaitteen autenti-koimiseksi käsittää: 5 muistin (9), johon on tallennettu salainen avain (Ki), välineitä syötteen (RAND) vastaanottamiseksi, ja laskimen (5, 8), t u n n e 11 u siitä, että tilaajalaite on järjestetty tarkistamaan syötteen oikeellisuuden laskemalla tarkistusarvon (MAC) syötteen (RAND) ja tarkistusalgoritmin (f) 10 avulla, ja että laskin (8) on järjestetty laskemaan vasteen (SRES), jonka tilaajalaite (MS) lähettää edelleen, hyödyntämällä autentikointialgoritmia (A3), mainittua salaista avainta (Ki) ja syötettä (RAND), mikäli syöte on tarkistusarvon (MAC) perusteella oikein.A telephone system subscriber unit (MS) comprising, for authenticating a subscriber unit,: 5 a memory (9) in which a secret key (Ki) is stored, means for receiving an input (RAND), and a calculator (5, 8), that the subscriber unit is configured to check the validity of the input by calculating the check value (MAC) by means of the input (RAND) and the check algorithm (f) 10, and that the calculator (8) is arranged to calculate the response (SRES) transmitted by the subscriber unit (MS) ), said secret key (Ki) and input (RAND) if the input is correct based on the hash value (MAC). 11. Patenttivaatimuksen 10 mukainen tilaajalaite, tunnettu sii tä, että tilaajalaite on järjestetty tarkistamaan syötteen oikeellisuuden laskemalla tarkistusarvon syötteen (RAND) ennalta määrätyn osan (RND) perusteella ja vertaamalla mainittua tarkistusarvoa (MAC) syötteen jäljelle jäävään osaan (MAC), jolloin syöte (RAND) on oikein mikäli syötteen jäljelle jäävä osa ^. 20 (MAC) vastaa tarkistusarvoa (MAC).11. A subscriber device according to claim 10, characterized in that the subscriber device is arranged to check the correctness of the input by calculating a check value based on a predetermined part (RND) of the input (RAND) and comparing said check value (MAC) to the remaining part of the input (MAC). ) is correct if the rest of the feed ^. 20 (MAC) corresponds to a check value (MAC). 12. Patenttivaatimuksen 10 tai 11 mukainen tilaajalaite, tunnet- • · · ; tu siitä, että mainittu tilaajalaite (MS) on matkaviestinjärjestelmän, edullisesti : . i, GSM-järjestelmän tilaajalaite, ja että muisti (9) ja/tai laskin (5, 8) on järjestetty » ♦ . * i matkaviestimeen irrotettavasi! kiinnitetylle SIM-kortille. : 25A subscriber device according to claim 10 or 11, characterized by a · · ·; indicating that said subscriber unit (MS) is a mobile communication system, preferably:. i, a subscriber unit of the GSM system, and that the memory (9) and / or the calculator (5, 8) are provided »♦. * i detachable for mobile! SIM card attached. : 25 13. Jonkin patenttivaatimuksen 10-12 mukainen tilaajalaite, t u n - nettu siitä, että laskin (8) on järjestetty laskemaan satunnaisen vasteen, jonka tilaajalaite (MS) lähettää edelleen, mikäli syöte (RAND) tarkistusarvon :. (MAC) perusteella on väärin. * 113331A subscriber unit according to any one of claims 10 to 12, characterized in that the calculator (8) is arranged to calculate a random response which is transmitted by the subscriber unit (MS) if the input (RAND) has a check value:. (MAC) based is wrong. * 113331
FI992258A 1999-10-19 1999-10-19 Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker FI113331B (en)

Priority Applications (10)

Application Number Priority Date Filing Date Title
FI992258A FI113331B (en) 1999-10-19 1999-10-19 Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker
FI992595A FI113146B (en) 1999-10-19 1999-12-02 Authentication Message Processing Method, Telephone System, Authentication Center, Subscriber Unit, and SIM Card
DE60034054T DE60034054T2 (en) 1999-10-19 2000-10-18 AUTHENTICATION OF A PARTNER STATION
CN00814588A CN1382357A (en) 1999-10-19 2000-10-18 Authentication of subscriber station
PCT/FI2000/000907 WO2001030104A1 (en) 1999-10-19 2000-10-18 Authentication of subscriber station
EP00969608A EP1224827B1 (en) 1999-10-19 2000-10-18 Authentication of subscriber station
AT00969608T ATE357828T1 (en) 1999-10-19 2000-10-18 AUTHENTICATION OF A SUBSCRIBER STATION
AU79280/00A AU7928000A (en) 1999-10-19 2000-10-18 Authentication of subscriber station
JP2001531331A JP2003512792A (en) 1999-10-19 2000-10-18 Authentication of subscriber stations
US10/126,741 US20020180583A1 (en) 1999-10-19 2002-04-19 Authentication of subscriber station

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992258A FI113331B (en) 1999-10-19 1999-10-19 Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker
FI992258 1999-10-19

Publications (2)

Publication Number Publication Date
FI19992258A FI19992258A (en) 2001-04-20
FI113331B true FI113331B (en) 2004-03-31

Family

ID=8555470

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992258A FI113331B (en) 1999-10-19 1999-10-19 Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker

Country Status (1)

Country Link
FI (1) FI113331B (en)

Also Published As

Publication number Publication date
FI19992258A (en) 2001-04-20

Similar Documents

Publication Publication Date Title
US8141137B2 (en) Authentication vector generation device, subscriber identity module, mobile communication system, authentication vector generation method, calculation method, and subscriber authentication method
EP1768426B1 (en) Method for transmitting information
KR101485230B1 (en) Secure multi-uim authentication and key exchange
US20080095361A1 (en) Security-Enhanced Key Exchange
CN102318386B (en) To the certification based on service of network
US6393270B1 (en) Network authentication method for over the air activation
CN106717042B (en) Method and device for providing a subscription profile on a mobile terminal
JP2005223900A (en) Service restriction setting device of mobile communication terminal equipment and its method
KR20010112618A (en) An improved method for an authentication of a user subscription identity module
KR20100063784A (en) Method of establishing authentication keys and secure wireless communication
KR100985397B1 (en) Apparatus and method for discriminating of valid mobile subscriber identity in mobile communication terminal
EP2158722A2 (en) Field programing of a mobile station with subscriber identification and related information
EP1680940B1 (en) Method of user authentication
CN103581154A (en) Authentication method and device in system of Internet of Things
US20020180583A1 (en) Authentication of subscriber station
EP2617218A1 (en) Authentication in a wireless access network
US7650139B2 (en) Method for ensuring security of subscriber card
WO2000024218A1 (en) A method and a system for authentication
KR101377879B1 (en) Smart card security feature profile in home subscriber server
FI113331B (en) Authentication message identifying method for mobile communication, involves checking correctness of input and having detected to be incorrect, the message is identified to have generated by external attacker
CN113709729B (en) Data processing method, device, network equipment and terminal
CN109787998B (en) Data processing method and device, smart card, terminal equipment and server
US8635443B2 (en) Method, device and mobile terminal for challenge handshake authentication protocol authentication
CN108076460B (en) Method and terminal for authentication
KR20090048713A (en) Communication terminal and method for protecting information thereof

Legal Events

Date Code Title Description
MM Patent lapsed