FI113331B - Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite - Google Patents

Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite Download PDF

Info

Publication number
FI113331B
FI113331B FI992258A FI19992258A FI113331B FI 113331 B FI113331 B FI 113331B FI 992258 A FI992258 A FI 992258A FI 19992258 A FI19992258 A FI 19992258A FI 113331 B FI113331 B FI 113331B
Authority
FI
Finland
Prior art keywords
input
authentication
rand
response
subscriber
Prior art date
Application number
FI992258A
Other languages
English (en)
Swedish (sv)
Other versions
FI19992258A (fi
Inventor
Lauri Paatero
Janne Rantala
Original Assignee
Setec Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Setec Oy filed Critical Setec Oy
Priority to FI992258A priority Critical patent/FI113331B/fi
Priority to FI992595A priority patent/FI113146B/fi
Priority to PCT/FI2000/000907 priority patent/WO2001030104A1/en
Priority to AU79280/00A priority patent/AU7928000A/en
Priority to EP00969608A priority patent/EP1224827B1/en
Priority to CN00814588A priority patent/CN1382357A/zh
Priority to JP2001531331A priority patent/JP2003512792A/ja
Priority to AT00969608T priority patent/ATE357828T1/de
Priority to DE60034054T priority patent/DE60034054T2/de
Publication of FI19992258A publication Critical patent/FI19992258A/fi
Priority to US10/126,741 priority patent/US20020180583A1/en
Application granted granted Critical
Publication of FI113331B publication Critical patent/FI113331B/fi

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

113331
Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite.
5 Tämä keksintö liittyy tilaajalaitteen autentikointiin, jossa tilaajalait teeseen tallennetun tilaajalaitekohtaisen salaisen avaimen perusteella varmistetaan tilaajalaitteen identiteetti.
Keksintö liittyy ensisijaisesti GSM-matkaviestinjärjestelmän (Global System for Mobile Communications) kaltaiseen tilaajalaitteen autentikointiin. 10 On kuitenkin huomattava, että keksintöä voidaan soveltaa myös muissa yhteyksissä, vaikka keksintöä seuraavassa selostetaan ensisijaisesti GSM-järjes-telmään viittaamalla.
Ennestään tunnetaan WO-julkaisusta 98/49855 ratkaisu tilaajalaitteen autentikoimiseksi, jossa tilaajalaitteelle lähetetään verkosta autentikointiin 15 käytettävän syötteen lisäksi tilaajalaitteen lähettämän satunnaisluvun perusteella laskettu vaste. Tämän ylimääräisen vasteen perusteella tilaajalaite voi autentikoida verkon. Tämän tunnetun ratkaisun heikkous on kuitenkin se, että sen toteuttaminen edellyttää, että käytössä on tilaajalaite joka kykenee lähettämään satunnaisluvun verkolle sekä käsittelemään verkon lähettämän ylimää-tV> 20 räisen syötteen. Tähän eivät kykene esimerkiksi GSM-järjestelmän tekniikan .* ! tason mukaiset matkaviestimet.
t « » ; GSM-järjestelmässä tilaajalaitteen autentikointi perustuu haaste- » » » '· vastaus menettelyyn. Autentikointia varten tilaajalaitteen SIM-kortille (Sub- scriber Identity Module) on tallennettu tilaajalaitekohtainen salainen avain Ki v ·' 25 sekä autentikointialgoritmi A3. Kyseisen tilaajalaitteen tilaajalaitekohtainen sa- lainen avain Ki ja vastaava autentikointialgoritmi A3 on tallennettu myös GSM-verkon autentikointikeskukseen. Autentikoinnin suorittamiseksi autentikointi-keskukseen järjestetty satunnaislukugeneraattori tuottaa aluksi satunnaisluvun, jonka se syöttää syötteenä laskimelle. Laskin laskee tämän jälkeen sa-30 tunnaisluvun, autentikointialgoritmin A3 ja salaisen avaimen Ki perusteella vasteen SRES. Tämän jälkeen autentikointikeskus lähettää satunnaisluvun sekä vasteen SRES varsinaisen autentikoinnin suorittavalle verkkoelementille, . : joka GSM-järjestelmän tapauksessa on VLR-rekisteri (Visitor Location Regis- *! ter).
< · · 2 113331
Vierailijarekisteri lähettää vastaanottamansa satunnaisluvun edelleen autentikoitavalle tilaajalaitteelle. Tilaajalaite käsittää laskimen, joka vastaanotetun satunnaisluvun, tilaajalaitteen salaisen avaimen Ki ja autentikoin-tialgoritmin A3 perusteella laskee vasteen SRES, jonka tilaajalaite lähettää 5 VLR-rekisterille. VLR-rekisteri vertaa tällöin autentikointikeskuksen lähettämää vastetta tilaajalaitteen lähettämään vasteeseen. Koska tilaajalaitteen muistiin tallennettu salainen avain Ki on tilaajalaitekohtainen, on olemassa yksi ainoa tilaajalaite, joka kykenee tuottamaan oikean vasteen sille lähetettyyn syötteeseen. Mikäli tilaajalaitteen ja autentikointikeskuksen vasteet vastaavat toisiaan, 10 on tilaajalaite näin ollen autentikoitu.
Edellä selostetun tunnetun autentikointimenettelyn heikkous on se, että ulkopuolinen hyökkääjä, joka haluaa selvittää tilaajalaitteeseen tallennetun salaisen avaimen, voi tilastollisin keinoin yrittää selvittää salaisen avaimen syöttämällä toistuvasti tilaajalaitteelle (tai tilaajalaitteen SIM-kortille) erilaisia 15 syötteitä ja seuraamalla mitä vasteita tilaajalaitteelta välittyy. Toistamalla kyseinen toimenpide riittävän monta kertaa ja tilastoimalla sekä syötteet että vasteet, saattaa salainen avain Ki paljastua tilastoon kertyneiden tietojen perusteella. Mikäli ulkopuolinen hyökkääjä saa selville salaisen avaimen, voi hän kloonata tilaajalaitteen (tai SIM-kortin) valmistamalla toisen tilaajalaitteen, jolla 20 on identtinen salainen avain, jolloin kyseisellä kloonatulla tilaajalaitteella voi- ,* ;* daan esimerkiksi soittaa puheluita, joiden laskutus kohdistuu alkuperäisen ti- » · laajalaitteen omistajalle.
i Tämän keksinnön tarkoitus on ratkaista edellä mainittu ongelma, ja \*·! saada aikaan ratkaisu, jonka ansiosta ulkopuolisen hyökkääjän on entistä vai- ν' ·’ 25 keampaa sada selville tilaajalaitteen salainen avain. Tämä päämäärä saavute- taan keksinnön mukaisella menetelmällä autentikointiviestin käsittelemiseksi autentikoitavassa laitteessa, jossa menetelmässä vastaanotetaan autentikoin-v tiviesti, johon sisältyy syöte. Keksinnön mukaiselle menetelmälle on tunnus- omaista, että menetelmässä: tarkistetaan syötteen oikeellisuus laskemalla tar-30 kistusarvo syötteen ja tarkistusalgoritmin avulla, ja lasketaan vaste autentikoin-tialgoritmin, syötteen ja salaisen avaimen avulla ja lähetetään mainittu vaste edelleen autentikoitavalta laitteelta, jos syöte tarkistusarvon perusteella on oikein.
, Keksinnön kohteena on lisäksi puhelinjärjestelmä, jossa keksinnön * · 35 mukaista menetelmää voidaan hyödyntää. Keksinnön mukaiseen puhelinjär- 3 113331 jestelmään kuuluu ainakin yksi tilaajalaite, joka käsittää laskimen ja muistin, johon on tallennettu tilaajalaitekohtainen salainen avain, ja autentikointivälinei-tä mainitun tilaajalaitteen autentikoimiseksi, joihin autentikointivälineisiin kuuluu satunnaisgeneraattori, laskin sekä muisti, johon on tallennettu mainitun 5 ainakin yhden tilaajalaitteen tilaajalaitekohtainen salainen avain, jotka autenti-kointivälineet on järjestetty laskemaan vasteen syötteen, autentikointialgorit-min sekä autentikointivälineiden muistiin tallennetun tilaajalaitekohtaisen salaisen avaimen perusteella, lähettämään mainitun syötteen mainitulle tilaajalaitteelle, ja osoittamaan, että tilaajalaite on autentikoitu, mikäli autentikointiväli-10 neet vastaanottavat tilaajalaitteelta vasteen, joka vastaa autentikointivälineiden laskemaa vastetta. Keksinnön mukaiselle puhelinjärjestelmälle on tunnusomaista, että autentikointivälineet on järjestetty laskemaan mainitun syötteen satunnaislukugeneraattorin tuottaman satunnaisluvun ja ensimmäisen algoritmin avulla, ja että tilaajalaite on järjestetty tarkistamaan sen vastaanottaman 15 syötteen oikeellisuuden laskemalla tarkistusarvon syötteen ja tarkistusalgorit-min avulla, ja laskemaan vasteen, jonka tilaajalaite lähettää autentikointiväli-neille, hyödyntämällä autentikointialgoritmia, mainittua tilaajalaitteen muistiin tallennettua salaista avainta ja syötettä, mikäli syöte tarkistusarvon perusteella on oikein.
>v> 20 Keksinnön kohteena on lisäksi puhelinjärjestelmän autentikointikes- kus, joka käsittää satunnaislukugeneraattorin, laskimen, sekä muistin, johon • * · ; on tallennettu tilaajalaitteiden tilaajalaitekohtaiset salaiset avaimet, ja joka tuot- ’· '· taa määrätyn tilaajalaitteen autentikointiin tarvittavan syötteen ja vasteen, jol- :: loin autentikointikeskus on vasteen tuottamiseksi järjestetty hakemaan muistis- v · 25 ta autentikoitavan tilaajalaitteen salaisen avaimen, ja laskemaan vasteen :T: muistista haetun salaisen avaimen, mainitun syötteen sekä autentikointialgo- ritmin avulla. Keksinnön mukaiselle autentikointikeskukselle on tunnusomaista, että autentikointikeskus on järjestetty tuottamaan mainitun syötteen satunnais-·. lukugeneraattorin tuottaman satunnaisluvun sekä ensimmäisen algoritmin 30 avulla.
Keksinnön kohteena on vielä edelleen puhelinjärjestelmän tilaajalai- te, joka tilaajalaitteen autentikoimiseksi käsittää: muistin, johon on tallennettu , : salainen avain, välineitä syötteen vastaanottamiseksi, ja laskimen. Keksinnön \ mukaiselle tilaajalaitteelle on tunnusomaista, että tilaajalaite on järjestetty tar- ; · 35 kistamaan syötteen oikeellisuuden laskemalla tarkistusarvon syötteen ja tarkis- 4 113331 tusalgoritmin avulla, ja että laskin on järjestetty laskemaan vasteen, jonka tilaajalaite lähettää edelleen, hyödyntämällä autentikointialgoritmia, mainittua salaista avainta ja syötettä, mikäli syöte on tarkistusarvon perusteella oikein, i Keksintö perustuu siihen ajatukseen, että kun tilaajalaitteen autenti- 5 koinnissa käytetään syötteenä satunnaisluvun sijasta jotakin sellaista syötettä, jonka oikeellisuuden tilaajalaite kykenee tarkistamaan, saadaan aikaan ratkaisu joka entisestään vaikeuttaa tilaajalaitekohtaisen salaisen avaimen selvittämistä. Ainoastaan siinä tapauksessa, että tilaajalaitteen suorittama tarkistus osoittaa, että syöte on oikea, tuottaa tilaajalaite vasteen sen muistiin tallenne-10 tun salaisen avaimen sekä autentikointialgoritmin avulla. Salaisen avaimen selvittäminen on näin ollen entistä vaikeampaa, koska ulkopuolinen hyökkääjä ei tiedä miten hänen tulisi valita syöte, jotta tilaajalaitteen suorittama tarkistus osoittaisi, että syöte on oikein. Sitävastoin esimerkiksi puhelinjärjestelmän au-tentikointikeskuksessa on tieto tilaajalaitteen käyttämästä tarkistustoimenpi-15 teistä, jolloin autentikointikeskus kykenee tuottamaan sellaisen tilaajalaitteelle lähetettävän syötteen, joka tilaajalaitteen suorittaman tarkistuksen perusteella on oikein.
Keksinnön mukaisen ratkaisun merkittävimmät edut ovat näin ollen, että ulkopuolisen hyökkääjän on entistä vaikeampaa selvittää määrätyn tilaaja- ,Vt 20 laitteen autentikoinnissa käytettävä salainen avain, ja että keksintöä voidaan • · · .* .* soveltaa jo olemissa olevissa järjestelmissä hyvin pienin muutoksin. Esimer- • t · ; kiksi GSM-järjestelmässä keksintö voidaan suoraan ottaa käyttöön järjestel- *; '·' män autentikointikeskuksessa, jolloin uudet puhelimet voidaan alusta lähtien : i varustaa SIM-korteilla, jotka kykenevät suorittamaan keksinnön mukaisen 25 syötteen tarkistuksen. Vanhojen puhelimien SIM-kortteja ei ole pakko vaihtaa, ν': koska vanhat SIM-kortit kykenevät käsittelemään syötettä, jonka keksinnön mukaisesti toimiva autentikointikeskus on tuottanut. Vanhat puhelimet oletta-j. vat, että syöte on satunnaisluku, jota ne autentikoinnin yhteydessä käsittelevät kuten ennenkin.
30 Eräässä keksinnön edullisessa suoritusmuodossa tilaajalaite laskee ja lähettää edelleen satunnaisen vasteen, mikäli se havaitsee, että sen vas-, .· taanottama syöte on väärin. Satunnainen vaste voi olla laskettu jollakin toisella r algoritmilla kuin autentikointialgoritmilla. Vaihtoehtoisesti satunnainen vaste voi olla laskettu autentikointialgoritmilla, mutta tilaajalaitteen salaisen avaimen 35 sijasta on laskennassa käytetty jotakin toista "valeavainta", tai vaihtoehtoisesti 113331 ) ! ! 5 f satunnainen vaste voi muodostua satunnaisgeneraattorin tuottamasta satunnaisluvusta. Tärkeää on kuitenkin se, että satunnainen vaste näyttää todelli-! seita vasteelta, eli ulkopuolinen hyökkääjä ei esimerkiksi vasteen pituuden pe rusteella tiedä, että kyseessä ei ole todellinen autentikointialgoritmilla ja salai-5 sella avaimelle laskettu vaste.
Keksinnön mukaisen menetelmän, järjestelmän ja tilaajalaitteen edulliset suoritusmuodot ilmenevät oheisista epäitsenäisistä patenttivaatimuksista 2-4, 6-8 ja 11-13.
Keksintöä selostetaan seuraavassa esimerkinomaisesti lähemmin 10 viittaamalla oheisiin kuvioihin, joista: kuvio 1 esittää lohkokaaviota keksinnön mukaisen järjestelmän ensimmäisestä edullisesta suoritusmuodosta, kuvio 2 havainnollistaa tilaajalaitteen autentikoinnissa hyödynnettävää syötettä, ja 15 kuvio 3 esittää vuokaaviota keksinnön mukaisen menetelmän en simmäisestä edullisesta suoritusmuodosta.
Kuvio 1 esittää lohkokaaviota keksinnön mukaisen järjestelmän ensimmäisestä edullisesta suoritusmuodosta. Kuvion 1 järjestelmä voi olla esimerkiksi GSM-järjestelmä.
.·*. 20 Kuvion 1 tapauksessa suurin osa järjestelmän autentikointivälineis- .* ! tä on järjestetty erityiseen autentikointikeskukseen AC, joka GSM-järjestelmän ; yhteydessä voi sijaita esimerkiksi HLR-rekisterin (Home Location Register) yhteydessä. GSM-järjestelmässä tilaajalaitteen autentikointi tapahtuu VLR-*· ·: rekisterin toimesta siten, että VLR-rekisteri vastaanottaa autentikointikeskuk- : 25 seita AC syötteen RAND sekä vasteen SRES, joiden avulla se kykenee suorit- • # * v : tamaan tilaajalaitteen MS autentikoinnin.
Kuvion 1 autentikointikeskukseen AC kuuluu satunnaislukugene- ··· raattori 1, joka tuottaa satunnaisluvun RND laskimelle 2. Laskin 2 laskee sa- 1 »»* ···. tunnaisluvun RND ja ensimmäisen ennalta määrätyn algoritmin g perusteella • . 30 tarkistusarvon MAC (Message Autentication Code). Tämän jälkeen laskin 2 muodostaa satunnaisluvusta RND ja tarkistusarvosta MAC syötteen RAND. Syöte RAND on näin ollen kuvion 1 esimerkkitapauksessa kaksiosainen. Syö-., j tettä on havainnollistettu kuviossa 2.
.···. Autentikointikeskukseen AC kuuluu muisti 4, johon on tallennettu 35 kaikkien niiden tilaajalaitteiden salainen avain, joiden tilaajalaitteiden autenti- 6 113331 kointiin kyseinen autentikointikeskus osallistuu. Käytännössä autentikointikes-kus voi olla operaattorikohtainen, jolloin sen muistiin on tallennettu kaikki kyseisen operaattorin tilaajalaitteiden salaiset avaimet. Kuvion 1 tapauksessa muistiin on tallennettu matkaviestimestä muodostuvan tilaajalaitteen MS salai-5 nen avain Ki. Autentikointikeskus syöttää muistista 4 haetun salaisen avaimen Ki sekä laskimen 2 tuottaman syötteen RAND laskimelle 3.
Laskin 3 laskee salaisen avaimen Ki, syötteen RAND ja autentikoin-tialgoritmin A3 perusteella vasteen SRES. Syötteen RAND ja vasteen SRES autentikointikeskus lähettää VLR-rekisterille.
10 Tilaajalaitteen MS autentikoimiseksi VLR-rekisteri lähettää sen au- tentikointikeskukselta vastaanottaman syötteen RAND tilaajalaitteelle MS. Au-tentikointikeskukselta vastaanotetun vasteen VLR-rekisteri sitävastoin tallentaa muistiin siten, että sen on vertailuelimen 10 käytettävissä.
Tilaajalaitteen MS vastaanottama syöte RAND kulkeutuu sen SIM-15 kortilla sijaitsevalle laskimelle 5. Laskin 5 laskee tällöin syötteen ennalta määrätyn osan ja tarkistusalgoritmin f avulla tarkistusarvon. Kuvion 1 suoritusmuodossa oletetaan, että autentikointikeskuksen AC tuottaman syötteen RAND rakenne on kuvion 2 kaltainen, eli syöte muodostuu satunnaislukugeneraattorin 1 tuottamasta satunnaisluvusta RND sekä algoritmilla g(RND) lasketusta #^ 20 tarkistusarvosta MAC. Tilaajalaitteen tarkistusalgoritmi f hakee tällöin syöttees- ; tä RAND sen ensimmäisen osan RND, jonka jälkeen se laskee tarkistusarvon
I I I
; MAC vastaavalla tavalla kuin autentikointikeskuksen laskin 2, eli algoritmilla · g(RND). Lasketun tarkistusarvon MAC laskin 5 syöttää vertailuyksikölle 6. Ver- tailuyksikkö vertaa tämän jälkeen laskimen 5 laskemaa tarkistusarvoa MAC :: : 25 syötteeseen RAND sisältyvään tarkistusarvoon MAC. Mikäli vertailuyksikkö 6 havaitsee, että laskimen laskema tarkistusarvo vastaa syötteen jäljelle jäävää osaa MAC, osoittaa vertailuyksikkö 6 ohjausyksikölle 7, että syöte RAND on oikein.
·. Mikäli ohjausyksikkö 7 havaitsee, että syöte on oikein aktivoi se las- \ 30 kimen 8 laskemaan vasteen syötteelle RAND. Vasteen SRES laskin 8 laskee syötteen RAND, muistiin 9 tallennetun tilaajalaitekohtaisen salaisen avaimen .· Ki sekä autentikointialgoritmin A3 perusteella. Kyseessä on näin ollen sama j algoritmi A3 ja samat parametrit, joita myös autentikointikeskuksen laskin 3 on • ·! käyttänyt. Näin ollen tilaajalaite MS tuottaa VLR-rekisterille välitettävän vas- 35 teen SRES, joka vastaa autentikointikeskuksen välittämää vastetta SRES.
7 113331
Kun VLR-rekisterin vertailuyksikkö 10 vertailun jälkeen havaitsee, että vasteet ovat identtiset, toteaa se, että tilaajalaite MS on autentikoitu.
Mikäli vertailuyksikkö 6 sitävastoin osoittaa ohjausyksikölle 7, että syöte RAND ei ole oikein on kyseessä mitä todennäköisimmin ulkopuolisen 5 hyökkääjän syöttämä syöte. Tällöin ohjausyksikkö keskeyttää tilaajalaitteen autentikointiprosessin siten, että tilaajalaite ei välitä vastetta. Vaihtoehtoisesti ohjausyksikkö 7 voi tällaisessa tapauksessa aktivoida satunnaisen vasteen välittämisen edelleen. Satunnaisella vasteella tarkoitetaan tässä yhteydessä mitä tahansa oikealta näyttävää vastetta. Tällainen satunnainen vaste voi muodos-10 tua esimerkiksi satunnaisluvusta tai jollakin algoritmilla lasketusta vasteesta. Pääasia on, että vastetta ei lasketa autentikointialgoritmilla A3, salaisella avaimella Ki ja syötteellä RAND. Mikäli näin tehtäisiin, niin ulkopuoliselle hyökkääjälle välittyisi todellinen vaste hänen syöttämään syötteeseen, mikä saattaisi auttaa salaisen avaimen selittämistä. Jos sitävastoin ulkopuoliselle hyök-15 kääjälle syötetään oikealta näyttävä (eli mm. vasteen pituuden tulee vastata todellisen vasteen pituutta) satunnainen vaste, niin ulkopuolinen hyökkääjä ei tiedä että kyseessä on virheellinen vaste.
Kuvion 1 järjestelmä on sikäli edullinen, että siinä esitettyä keksinnön mukaista autentikointikeskusta voidaan käyttää myös jo olemassa olevien, >v> 20 eli vanhojen tilaajalaitteiden yhteydessä. Tämä on mahdollista kun syöte II) ; RAND valitaan siten, että sen pituus vastaa vanhoille tilaajalaitteille syötettä- • * » ; vää syötettä. Vanhat tilaajalaitteet eivät luonnollisesti kykene tarkistamaan on-
* I I
*· ” ko vaste RAND oikein, mutta ne kykenevät laskemaan myös tällaisesta tarkis- · :: tusarvo sisältävästä syötteestä vasteen SRES.
I I I
v ·’ 25 Kuvion 1 lohkokaaviossa esitetyt lohkot voivat muodostua elektronini’: sista piireistä, tai vaihtoehtoisesti yksi tai useampi lohko voidaan toteuttaa tie tokoneohjelman avulla. Näin ollen esimerkiksi tilaajalaitteessa tai autentikointi- · keskuksessa ei esimerkiksi tarvita kahta eri laskinta, vaan laskimet voidaan ,·*·. toteuttaa sinänsä tunnetusti esimerkiksi yhdellä prosessorilla ja tietokoneoh- 30 jelmalla.
: Kuvio 2 havainnollistaa tilaajalaitteen autentikoinnissa hyödynnettä vää syötettä. Esimerkiksi kuvion 1 järjestelmässä laskin 2 voi tuottaa tällaisen . : syötteen satunnaisluvun RND ja algoritmin g välityksellä. GSM-järjestelmässä \ sovellettuna syötteen RAND kokonaispituus on 16 tavua. Tällöin satunnaislu- 35 vun RND pituus voi keksinnön mukaisesti olla esimerkiksi 8-14 tavua. Satun- 8 113331 naisluvun ja algoritmin g perusteella lasketun tarkistusarvon MAC pituus voi vastaavasti olla 2-8 tavua.
Kun keksinnön mukainen tilaajalaite vastaanottaa kuvion 2 kaltaisen syötteen laskee se tarkistusalgoritmin ja syötteen ennalta määrätyn osan, 5 eli syötteen satunnaisluvun RND, avulla tarkistusarvon. Mikäli tilaajalaitteen laskema tarkistusarvo vastaa syötteen jäljelle jäävää osaa, eli tarkistusarvoa MAC, niin tilaajalaite toteaa syötteen olevan oikein.
Kuvio 3 esittää vuokaaviota keksinnön mukaisen menetelmän ensimmäisestä edullisesta suoritusmuodosta. Kuvion 3 vuokaaviota voidaan 10 hyödyntää esimerkiksi kuvion 1 tilaajalaitteessa autentikointiviestin käsittelemisessä.
Kuvion 3 lohkossa A vastaanotetaan autentikointiviesti, johon sisältyy syöte RAND. Lohkossa B lasketaan tarkistusarvo syötteen RAND ja ennalta määrätyn tarkistusalgoritmin mukaisesti. Käytettävä tarkistusalgoritmi tulee 15 olle valittu sellaisella tavalla, että laskennan tuloksen perusteella voidaan päätellä onko syöte oikein vai ei. Eräs mahdollisuus tällaisen tarkistuksen suorittamiseksi on se, että etukäteen on sovittu, että syöte RAND on aina kaksiosainen (kuvion 2 esittämällä tavalla), jolloin se muodostuu satunnaisluvusta RND, sekä ennalta määrätyllä tarkistusalgoritmilla lasketusta tarkistusarvosta tV# 20 MAC. Tällöin lohkossa B voidaan syötteestä RAND hakea tarkistusarvon laskentaan käytettävä osa RND. Kun tarkistusarvo on laskettu tarkistetaan loh-:; kossa C vastaanko syötteestä jäljelle jäävä osa MAC laskettua tarkistusarvoa.
'· '· Mikäli lohkossa C todetaan, että syöte on lasketun tarkistusarvon * · *.*: perusteella oikein, niin lohkossa D lasketaan vaste SRES, joka lähetetään : ·' 25 edelleen. Vasteen laskenta suoritetaan ennalta määrätyn autentikointialgorit- min A3, salaisen avaimen Ki ja syötteen RAND perusteella.
Mikäli lohkossa C sitävastoin havaitaan, että syöte RAND ei ole tar-kistusarvon perusteella oikein, niin syöte RAND on todennäköisesti lähtöisin ·. ulkopuoliselta hyökkääjältä, joka yrittää selvittää autentikoinnissa käytettävää 30 salaista avainta. Keksinnön mukaisesti tällöin on olemassa kaksi vaihtoehtois-: ta tapaa edetä.
.Ensimmäistä vaihtoehtoa kuvaa nuoli E, eli autentikointiviestin käsit- » . : tely keskeytetään. Tällöin autentikointiviestiin ei lähetetä mitään vastetta. Ul- ·*! kopuolinen hyökkääjä ei näin ollen saa mitään vastetta syötteeseen, jolloin
> I I
9 113331 hän ei pysty tilastoimaan syötteitä ja vasteita, eikä käyttämään tällaista tilastoa salaisen avaimen selvittämiseen.
Toinen vaihtoehto on esitetty lohkossa F, eli syötteeseen RAND tuotetaan satunnainen vaste, joka lähetetään edelleen. Satunnaiseksi vas-5 teeksi kelpaa mikä tahansa vaste, joka näyttää todelliselta vasteelta, ja jota ei ole laskettu vastaavasti kuin todellinen vaste (vertaa lohko D). Näin ollen satunnainen vaste voidaan tuottaa suoraan satunnaislukugeneraattorilla, tai se voidaan laskea syötteestä jonkin tarkoitukseen sopivan algoritmin ja syötteen avulla. Ulkopuoliselle hyökkääjälle välittyy näin ollen vaste, joka on virheelli-10 nen, mutta tätä ulkopuolinen hyökkääjä ei tiedä.
On ymmärrettävä, että edellä oleva selitys ja siihen liittyvät kuviot on ainoastaan tarkoitettu havainnollistamaan esillä olevaa keksintöä. Alan ammattimiehelle tulevat olemaan ilmeisiä erilaiset keksinnön variaatiot ja muunnelmat ilman että poiketaan oheisissa patenttivaatimuksissa esitetyn keksin-15 nön suojapiiristä ja hengestä.
• » · • I 1
* I
tl» • i · • · · • « · • · ·
I I I
» · · I · » • » · * lii» » t

Claims (13)

113331
1. Menetelmä autentikointiviestin käsittelemiseksi autentikoitavassa laitteessa, jossa menetelmässä vastaanotetaan autentikointiviesti, johon sisältyy syöte, tunnettu 5 siitä, että menetelmässä: tarkistetaan syötteen oikeellisuus laskemalla tarkistusarvo syötteen ja tarkistusalgoritmin avulla, ja lasketaan vaste autentikointialgoritmin, syötteen ja salaisen avaimen avulla ja lähetetään mainittu vaste edelleen autentikoitavalta laitteelta, jos 10 syöte tarkistusarvon perusteella on oikein.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että menetelmässä tuotetaan ja lähetetään edelleen satunnainen vaste, jos syöte tarkistusarvon perusteella on väärin.
3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, 15 että mainittu satunnainen vaste on satunnaisluku.
4. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että mainittu satunnainen vaste lasketaan syötteen ja ennalta määrätyn algoritmin avulla.
5. Puhelinjärjestelmä, johon kuuluu: 20 ainakin yksi tilaajalaite (MS), joka käsittää laskimen (8) ja muistin ; (9), johon on tallennettu tilaajalaitekohtainen (MS) salainen avain (Ki), ja V j autentikointivälineitä (1, 3, 4, VLR) mainitun tilaajalaitteen autenti- » 1 I ; koimiseksi, joihin autentikointivälineisiin kuuluu satunnaisgeneraattori (1), las- ί kin (3) sekä muisti (4), johon on tallennettu mainitun ainakin yhden tilaajalait- : · 25 teen (MS) tilaajalaitekohtainen salainen avain (Ki), jotka autentikointivälineet : on järjestetty - laskemaan vasteen (SRES) syötteen (RAND), autentikointialgo- j. ritmin (A3) sekä autentikointivälineiden muistiin (4) tallennetun tilaajalaitekoh- » \ täisen salaisen avaimen (Ki) perusteella, ’;*t 30 - lähettämään mainitun syötteen (RAND) mainitulle tilaajalaitteelle (MS), ja » ► - osoittamaan, että tilaajalaite (MS) on autentikoitu, mikäli autenti- . : kointivälineet (VLR) vastaanottavat tilaajalaitteelta (MS) vasteen (SRES), joka • \ vastaa autentikointivälineiden laskemaa vastetta (SRES), tunnettu siitä, ’ »· 113331 että autentikointivälineet on jäljestetty laskemaan mainitun syötteen (RAND) satunnaislukugeneraattorin (1) tuottaman satunnaisluvun (RND) ja ensimmäisen algoritmin (g) avulla, ja että tilaajalaite (MS) on järjestetty: 5. tarkistamaan sen vastaanottaman syötteen (RAND) oikeellisuuden laskemalla tarkistusarvon (MAC) syötteen (RAND) ja tarkistusalgoritmin (f) avulla, ja - laskemaan vasteen, jonka tilaajalaite (MS) lähettää autentikointi-välineille (VLR), hyödyntämällä autentikointialgoritmia (A3), mainittua tilaaja-10 laitteen (MS) muistiin (9) tallennettua salaista avainta (Ki) ja syötettä (RAND), mikäli syöte (RAND) tarkistusarvon (MAC) perusteella on oikein.
6. Patenttivaatimuksen 5 mukainen järjestelmä, tunnettu siitä, että tilaajalaite (MS) on järjestetty laskemaan satunnaisen vasteen, jonka tilaajalaite (MS) lähettää autentikointivälineille (VLR), mikäli syöte tarkistusarvon 15 (MAC) perusteella on väärin.
7. Patenttivaatimuksen 5 mukainen järjestelmä, tunnettu siitä, että tilaajalaite (MS) ei lähetä vastetta autentikointivälineille, mikäli syöte (RAND) tarkistusarvon perusteella on väärin.
8. Jonkin patenttivaatimuksen 5-7 mukainen järjestelmä, t u n - . . 20 nettu siitä, että mainittu järjestelmä on matkaviestinjärjestelmä, edullisesti GSM-järjestelmä.
9. Puhelinjärjestelmän autentikointikeskus (AC), joka käsittää: • ·: satunnaislukugeneraattorin (1), laskimen (3), sekä • ·' 25 muistin (4), johon on tallennettu tilaajalaitteiden tilaajalaitekohtaiset salaiset avaimet, ja joka tuottaa määrätyn tilaajalaitteen (MS) autentikointiin tarvitta-van syötteen (RAND) ja vasteen (SRES), jolloin autentikointikeskus on vas- • ·. teen tuottamiseksi järjestetty: ’ 30 hakemaan muistista (4) autentikoitavan tilaajalaitteen (MS) salaisen avaimen (Ki), ja laskemaan vasteen (SRES) muistista (4) haetun salaisen avaimen . : (Ki), mainitun syötteen (RAND) sekä autentikointialgoritmin (A3) avulla, t u n - ’ · · [ nettu siitä, että autentikointikeskus on järjestetty tuottamaan mainitun syöt- 113331 teen (RAND) satunnaislukugeneraattorin (1) tuottaman satunnaisluvun (RND) sekä ensimmäisen algoritmin (g) avulla.
10. Puhelinjärjestelmän tilaajalaite (MS), joka tilaajalaitteen autenti-koimiseksi käsittää: 5 muistin (9), johon on tallennettu salainen avain (Ki), välineitä syötteen (RAND) vastaanottamiseksi, ja laskimen (5, 8), t u n n e 11 u siitä, että tilaajalaite on järjestetty tarkistamaan syötteen oikeellisuuden laskemalla tarkistusarvon (MAC) syötteen (RAND) ja tarkistusalgoritmin (f) 10 avulla, ja että laskin (8) on järjestetty laskemaan vasteen (SRES), jonka tilaajalaite (MS) lähettää edelleen, hyödyntämällä autentikointialgoritmia (A3), mainittua salaista avainta (Ki) ja syötettä (RAND), mikäli syöte on tarkistusarvon (MAC) perusteella oikein.
11. Patenttivaatimuksen 10 mukainen tilaajalaite, tunnettu sii tä, että tilaajalaite on järjestetty tarkistamaan syötteen oikeellisuuden laskemalla tarkistusarvon syötteen (RAND) ennalta määrätyn osan (RND) perusteella ja vertaamalla mainittua tarkistusarvoa (MAC) syötteen jäljelle jäävään osaan (MAC), jolloin syöte (RAND) on oikein mikäli syötteen jäljelle jäävä osa ^. 20 (MAC) vastaa tarkistusarvoa (MAC).
12. Patenttivaatimuksen 10 tai 11 mukainen tilaajalaite, tunnet- • · · ; tu siitä, että mainittu tilaajalaite (MS) on matkaviestinjärjestelmän, edullisesti : . i, GSM-järjestelmän tilaajalaite, ja että muisti (9) ja/tai laskin (5, 8) on järjestetty » ♦ . * i matkaviestimeen irrotettavasi! kiinnitetylle SIM-kortille. : 25
13. Jonkin patenttivaatimuksen 10-12 mukainen tilaajalaite, t u n - nettu siitä, että laskin (8) on järjestetty laskemaan satunnaisen vasteen, jonka tilaajalaite (MS) lähettää edelleen, mikäli syöte (RAND) tarkistusarvon :. (MAC) perusteella on väärin. * 113331
FI992258A 1999-10-19 1999-10-19 Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite FI113331B (fi)

Priority Applications (10)

Application Number Priority Date Filing Date Title
FI992258A FI113331B (fi) 1999-10-19 1999-10-19 Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite
FI992595A FI113146B (fi) 1999-10-19 1999-12-02 Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, autentikointikeskus, tilaajalaite ja SIM-kortti
AU79280/00A AU7928000A (en) 1999-10-19 2000-10-18 Authentication of subscriber station
EP00969608A EP1224827B1 (en) 1999-10-19 2000-10-18 Authentication of subscriber station
PCT/FI2000/000907 WO2001030104A1 (en) 1999-10-19 2000-10-18 Authentication of subscriber station
CN00814588A CN1382357A (zh) 1999-10-19 2000-10-18 用户站的验证
JP2001531331A JP2003512792A (ja) 1999-10-19 2000-10-18 加入者ステーションの認証
AT00969608T ATE357828T1 (de) 1999-10-19 2000-10-18 Authentifizierung einer teilnehmerstation
DE60034054T DE60034054T2 (de) 1999-10-19 2000-10-18 Authentifizierung einer teilnehmerstation
US10/126,741 US20020180583A1 (en) 1999-10-19 2002-04-19 Authentication of subscriber station

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992258A FI113331B (fi) 1999-10-19 1999-10-19 Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite
FI992258 1999-10-19

Publications (2)

Publication Number Publication Date
FI19992258A FI19992258A (fi) 2001-04-20
FI113331B true FI113331B (fi) 2004-03-31

Family

ID=8555470

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992258A FI113331B (fi) 1999-10-19 1999-10-19 Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite

Country Status (1)

Country Link
FI (1) FI113331B (fi)

Also Published As

Publication number Publication date
FI19992258A (fi) 2001-04-20

Similar Documents

Publication Publication Date Title
US8141137B2 (en) Authentication vector generation device, subscriber identity module, mobile communication system, authentication vector generation method, calculation method, and subscriber authentication method
EP1768426B1 (en) Method for transmitting information
KR101485230B1 (ko) 안전한 멀티 uim 인증 및 키 교환
US20080095361A1 (en) Security-Enhanced Key Exchange
US6393270B1 (en) Network authentication method for over the air activation
JP2005223900A (ja) 移動通信端末機の使用制限設定装置及びその方法
CN102318386A (zh) 向网络的基于服务的认证
KR20010112618A (ko) 이동 단말기 인증 방법
KR20100063784A (ko) 인증 키 및 안전한 무선 통신 확립 방법
KR100985397B1 (ko) 이동통신 단말기에서 이동 가입 식별자의 유효성 판단 방법및 장치
KR20180093132A (ko) 이동 단말기 상에 가입자 정보를 제공하기 위한 방법 및 장치들
EP2158722A2 (en) Field programing of a mobile station with subscriber identification and related information
EP1680940B1 (en) Method of user authentication
CN103581154A (zh) 物联网***中的鉴权方法和装置
US20020180583A1 (en) Authentication of subscriber station
EP2617218A1 (en) Authentication in a wireless access network
US7650139B2 (en) Method for ensuring security of subscriber card
WO2000024218A1 (en) A method and a system for authentication
KR101377879B1 (ko) 홈 가입자 서버에서의 스마트 카드 보안 피처 프로파일
FI113331B (fi) Menetelmä autentikointiviestin käsittelemiseksi, puhelinjärjestelmä, puhelinjärjestelmän autentikointikeskus sekä puhelinjärjestelmän tilaajalaite
CN108076460B (zh) 一种进行鉴权的方法及终端
CN113709729B (zh) 数据处理方法、装置、网络设备及终端
CN109787998B (zh) 数据处理方法、装置、智能卡、终端设备和服务器
US8635443B2 (en) Method, device and mobile terminal for challenge handshake authentication protocol authentication
KR20090048713A (ko) 통신 단말기 및 그의 정보 보안 방법

Legal Events

Date Code Title Description
MM Patent lapsed