+

WO2002102103A2 - Authentication method - Google Patents

Authentication method Download PDF

Info

Publication number
WO2002102103A2
WO2002102103A2 PCT/EP2002/006397 EP0206397W WO02102103A2 WO 2002102103 A2 WO2002102103 A2 WO 2002102103A2 EP 0206397 W EP0206397 W EP 0206397W WO 02102103 A2 WO02102103 A2 WO 02102103A2
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
parameter
rand
subscriber identification
key
Prior art date
Application number
PCT/EP2002/006397
Other languages
German (de)
French (fr)
Other versions
WO2002102103A3 (en
Inventor
Harald Vater
Markus Bockes
Ulrich Heckmanns
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to AU2002345028A priority Critical patent/AU2002345028A1/en
Priority to EP02743179A priority patent/EP1400142A2/en
Publication of WO2002102103A2 publication Critical patent/WO2002102103A2/en
Publication of WO2002102103A3 publication Critical patent/WO2002102103A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Definitions

  • the present invention relates to a method for generating an authentication response parameter for authenticating a subscriber identification unit in a network at a service provider. Furthermore, the invention relates to an authentication method for a network using such a method for generating the authentication response parameter, a subscriber identification unit and an authentication center for carrying out the method, and a computer program with corresponding program code means to carry out the method by means of a computer.
  • One goal is the authentication and thus the access control of the individual subscriber to the service offered, for example in the case of the mobile radio network the establishment of a connection to another telephone subscriber.
  • Another main goal is the protection of the transmitted information itself.
  • the purpose of authentication is to verify the identity and authenticity of a communication partner. It is sufficient if one-sided authentication is carried out, that is, if the network or the service provider can determine the authenticity of the subscriber or the terminal or a subscriber identification unit located therein, which is located, for example, on a chip card.
  • the two communication participants must have a shared secret that is checked using an authentication method. This can be, for example, a password or the like.
  • an authentication method can be, for example, a password or the like.
  • a dynamic method for authentication is designed in such a way that it is protected against an attack by re-importing recorded data from previous sessions, since a different data basis is used for each individual authentication.
  • the network or the service provider sends a specific request parameter (challenge) to the subscriber identification unit, which is encrypted in the subscriber identification unit with a secret authentication key that is only known to the subscriber identification unit and the network or the service provider is.
  • the encryption result is then sent back in a second step and compared by the network or the service provider with a response parameter (response) generated in parallel from the sent request parameter and the common key.
  • This principle is referred to as the so-called “challenge and response principle”. It is the usual principle of authentication in the chip card area. As a rule, a random number is generated as the request parameter is not intended to limit the use of a random number as a query parameter.
  • the transmission of data between the terminal and the network or the service provider is preferably secured by a suitable message and encryption, with a new key being used here for each connection.
  • a suitable message and encryption with a new key being used here for each connection.
  • the request parameter (or the random number) which the network or the service provider sends to the subscriber identification unit, which is initially used for the authentication is additionally used to provide a (temporary) message coding key for encrypting the transmitted data produce.
  • GSM Global System for Mobile Communications
  • a GSM mobile radio network is made up of several Base Station Systems (BSS), which are managed by a Mobile Switching Center (MSC), which has a so-called Authentication Center (AUC) as a special component.
  • BSS Base Station Systems
  • MSC Mobile Switching Center
  • AUC Authentication Center
  • the AUC is a special security entity that has the necessary keys and algorithms for the authentication of the mobile radio devices or the subscriber identification units located therein.
  • a mobile radio device essentially consists of the actual device itself, which has the radio part, a coding / decoding unit (codec) for processing, in particular for encrypting and decrypting the transmitted data, a keyboard, a display and other customary components.
  • codec coding / decoding unit
  • Another essential component of the mobile radio device is a subscriber identification unit, which is called SIM (Subscriber Identity Module) in the GSM system.
  • SIM Subscriber Identity Module
  • the SIM is usually located on a chip card, which is inserted into the actual device. The mobile device can only be used when the SIM is inserted.
  • SIM Subscriber authentication Key
  • IMSI International Mobile Subscriber Identity
  • Ki Subscriber authentication Key
  • the authentication center (AUC) of the respective mobile radio network has a database in which the identification numbers (IMSI) are stored together with the assigned authentication keys (Ki).
  • a mobile radio device hereinafter also referred to as a mobile station
  • the IMSI is first transmitted to the mobile radio network by the mobile station or SIM.
  • the mobile station is thus clearly identified in the mobile radio network.
  • a randomly generated number (generally referred to as RAND or RND) is transmitted from the mobile radio network to the mobile station.
  • Both the SIM of the mobile station and the authentication center generate an authentication response parameter (generally called Signed Response; SRES) from this random number by means of a defined algorithm, which is called "A3" in the GSM system, using the SIM's secret individual authentication key Ki
  • SRES Signed Response
  • the random number has a length of 128 bits
  • the authentication key usually has a length of 128 bits
  • the result of the authentication response parameter SRES generated with the A3 algorithm is 32 bits in the current standard is transmitted from the SIM to the mobile network, where the response with the authentication response generated in parallel by the Authentication Center AUC parameter is compared. If there is a match, it can be assumed that the SIM has the correct key Ki. It is therefore authenticated.
  • both the SIM and the Authentication Center AUC have a so-called A8 algorithm.
  • a message coding key (cipher key; Kc; length: 64 bits) is generated from the random number, again using the authentication key Ki of the respective SIM.
  • Kc cipher key
  • This message coding key Kc is used to encrypt the (voice) data to be transmitted during the connection between the mobile station and the mobile radio network and thus to protect it against eavesdropping.
  • the message coding key Kc is consequently generated anew with each authentication process depending on the random number RAND, which considerably increases the security of the transmission against eavesdropping.
  • the encryption unit located in the codec of the mobile radio device is able to encrypt or decrypt the voice data in real time with the message coding key Kc using a so-called A8 algorithm.
  • the transmitted data is encrypted or decrypted accordingly in the mobile radio network using the identical key generated in parallel there.
  • a so-called “triplet” of three parameters - the random number (RAND), the derived authentication response parameter (SRES) and the message coding key (Kc) - is required for each new registration of a mobile station in a mobile radio network, only the Random number is sent from the mobile network to the mobile station and this the authentication response parameters ter sends back.
  • Each triplet (RAND, SRES, Kc) is used only once and then discarded.
  • triplets are usually generated by the authentication center AUC for each subscriber of the associated mobile radio network at a specific point in time and stored in a special security parameter file. Since these three parameters (RAND, SRES, Kc) are completely sufficient to authenticate a specific SIM and establish an encrypted connection, there is thus the possibility of external GSM networks from
  • an authentication center can provide various service providers or different independent servers with a number of triplets for a specific subscriber identification unit, with which they are then able to authenticate a specific subscriber identification unit and to exchange encrypted data.
  • closed, secured networks e.g. B. ATM networks are used.
  • a special A3 algorithm for generating an authentication response parameter for authenticating a subscriber identification unit in a GSM network is described in WO 97/15161. According to the method mentioned there, it is provided that the 128-bit random number is first converted into a 152-bit parameter using a special algorithm. This input parameter is fed to a so-called CAVE algorithm, which generates an 18-bit output parameter from it. This 18-bit output parameter is then converted into a 32-bit authentication response parameter.
  • the method described there has the purpose of making the CA VE algorithm used in American mobile radio standards usable for the GSM standard. However, the method has the disadvantage that the entire algorithm is fixed and can only be varied with great effort.
  • the invention is therefore based on the object of providing a corresponding method for generating the authentication response parameter, which can be individually and easily changed at low cost. Furthermore, there is the task of a corresponding authentication method as well as a subscriber identification unit and a to provide the centralization center for carrying out the method.
  • the method for generating the authentication response parameter from the request parameter is individualized in that an individual modification parameter assigned to the respective service provider is used in the calculation in at least one method step.
  • an additional parameter is introduced which is used at a specific point in the algorithm.
  • the change in this modification parameter consequently also means a change in the algorithm. In this way it is possible to provide individual authentication methods for a large number of different service providers, which are just as secure and fast as the methods carried out with the unchanged algorithm.
  • the modification parameter can be generated, for example, with a random number generator. This can be carried out, for example, by a manufacturer of the subscriber identification units, in particular a chip card manufacturer, who generally also identifies the identification number. mern and generated the authentication keys for the individual subscriber identification units in a secure environment and implemented in the subscriber identification units. Likewise, the modification parameter from the manufacturer of the subscriber identification units, just like the algorithm, the identification numbers and the authentication key for the subscriber identification units, can be transmitted to the authentication center in a secure manner on the one hand and stored in a secure environment on the other.
  • the modification parameter can be included, for example, by logically linking it to the request parameter before encryption. Of course, it is also possible to link the modification parameter with an intermediate result in the course of the method or to use the modification parameter several times within the procedure.
  • the request parameter is broken down into at least two parts and the parts are used in the calculation in different procedural steps. This results in additional mixing of the request parameter.
  • an output or intermediate result is used to calculate the message coding key when calculating the authentication response parameter. In this way, the overall algorithm for generating the Encryption result more complicated and therefore more secure without additional effort.
  • An authentication method for a network has the following method steps. First, a query parameter, preferably a random number (in the following, a random number is again assumed as a query parameter without restricting the invention). This can be done either in an authentication center or in a separate random generator. This random number is then transmitted over the network to a subscriber identification unit of a user's terminal. The authentication response parameter and possibly the message coding key are then generated in the subscriber identification unit using the previously explained method according to the invention. This authentication response parameter is transmitted back to the network and is compared there with the authentication response parameter determined in parallel by the authentication center using the same authentication key. If the two parameters match, the subscriber or the corresponding subscriber identification unit is regarded as identified.
  • a query parameter preferably a random number (in the following, a random number is again assumed as a query parameter without restricting the invention). This can be done either in an authentication center or in a separate random generator.
  • This random number is then transmitted over the network to a subscriber identification unit of a user's terminal.
  • a subscriber identification unit must first have storage means in which an individual authentication key assigned to the respective subscriber identification unit and a modification parameter assigned to the service provider are stored.
  • the memory means can be completely separate memories, but also memory areas within an overall memory. It makes sense for this to be a non-volatile memory.
  • the subscriber identification unit must have means for generating an authentication response parameter from a random number using the method according to the invention.
  • This can be a special hardware circuit which, for example, executes the algorithm directly in binary.
  • Such a special hardware structure of the circuit is complex, but very powerful in terms of computing speed. In the simpler case, it can be a CPU, for example in a microcontroller, in which the method is implemented in software in the form of a computer program with suitable program code means.
  • such a subscriber identification unit can be a chip card, for example a SIM card in the case of the GSM system.
  • An authentication center according to the invention in a network must accordingly have storage means with a database of different authentication devices assigned to the individual subscriber identification units. key and with a modification parameter assigned to the respective service provider.
  • this authentication center also requires means for generating an authentication response parameter from a random number using the method according to the invention.
  • the method can be implemented either by setting up a special circuit or by a computer with a suitable software program.
  • the authentication center is the usual AUC.
  • Other networks can be an independent authentication center, which takes over the authentication as a service provider for various service providers and has corresponding, particularly secure zones for storing the various keys.
  • individual service providers can have their own authentication center, each of which communicates via the Internet with a subscriber identification unit located on the subscriber's terminal.
  • the subscriber identification unit for example within a chip card, and accordingly to integrate a chip card reader on the terminal, for example a PC, with which the subscriber identification unit is accessed.
  • authentication in mobile radio networks is a main area of application of the method according to the invention. Another area of application is authentication against certain service providers on the Internet. Of course, authentication also comes with this This method in other networks, for example in networks of ATMs or other systems, such as access control systems or the like, in question.
  • Figure 1 is a schematic representation of the sequence of the inventive method according to a first embodiment.
  • FIG. 2 shows a schematic illustration of the sequence of the method according to the invention in accordance with a second exemplary embodiment
  • Fig. 3 is a schematic representation of the sequence of the inventive method according to a third embodiment.
  • FIG. 1 A relatively simple version of the method according to the invention is shown in FIG.
  • the random number RAND is first linked to the modification parameter AM (Algorithm Modifier).
  • this link is an XOR (exclusive OR) i
  • Such an XOR operation corresponds to a bit-wise addition of the two binary numbers, the combinations 1 + 1 and 0 + 0 each giving 0 and exclusively the combination 1 + 0 and 0 + 1 each giving 1.
  • a modification parameter 000 ... 0 therefore does not change the basic algorithm.
  • 000 ... 0 is set to different bit sequences defined for each service provider, the data for each service provider network can be individually encrypted while maintaining the same basic algorithm.
  • the modification parameter AM has the same bit length as the random number RAND.
  • the modification parameter AM in the exemplary embodiment according to FIG. 1, like the random number RAND, has the length of 128 bits.
  • Encryption method encrypted using the individual authentication key Ki of the subscriber identification unit is a so-called symmetrical encryption method that is used relatively frequently in the chip card area (that is, the same key is used for encryption and decryption).
  • the key length is usually 64 bits, although in the DES method, however, every eighth bit is usually a parity bit, which is only used to control the other bits in the key and therefore not significant for the result. If a 128-bit key Ki is used, which does not contain any parity bits (for example keys in the GSM system), every eighth bit is simply ignored in the encryption provided.
  • the DES encryption process is considered to be extremely secure. The only promising attack against such a system to date is a very complex search for the key by trial and error, which requires enormous computing capacity.
  • the triple DES method is therefore used, in which three DES operations with alternating encryption and decryption are connected in series.
  • three different keys can also be used.
  • the authentication key Ki consists of 128 bits, the 64 most significant bits (msb) forming a first key Kl, which is used for encryption within the triple DES method, and the lower-order 64 bits (least significant bits; lsb) of Ki form the second key K2, which is used for the decryption within the Triple-DES method.
  • OUTS RE S The result of the combination of the random number RAND and the modification parameter AM encoded in this way is referred to in FIG. 1 as OUTS RE S.
  • This result OUTSRES has the same bit length as the input parameters, ie 128 bits in the present exemplary embodiment.
  • the authentication response parameter SRES only has a bit length of 32 bits. Therefore, only the low-order 32 bits of the encryption result OUTSRES are used as authentication response parameters SRES.
  • the DES is operated in the so-called CBC mode (cipher block chaining). If the input parameters are only 64 bits long, work in non-chained DES mode.
  • the random number RAND is first divided into a higher value part R ⁇ and a lower value part R2 of the same bit length broken down.
  • the parts R ⁇ and R2 are each 64 bits long when using the method according to the GSM standard.
  • the modification parameter AM also has a length of 64 bits.
  • the linking result is then encrypted using a triple DES method using the authentication key Ki of the subscriber identification unit.
  • the encryption result T ⁇ obtained therefrom which in turn has a length of 64 bits, is first linked in a further method step with the higher-value portion R1 of the random number RAND, and this linking result is repeated using the authentication key Ki with a triple DES method encrypted.
  • the authentication response parameter SRES is only obtained from this double-encrypted method, in which the random number RAND has been mixed together.
  • only the least significant 32 bits of the last encryption result OUTSRES, also called T2 in FIG. 2 are used as authentication response parameters SRES.
  • FIG. 3 shows a further embodiment of the method according to FIG. 2, in which a message coding key Kc is simultaneously generated from the random number RAND.
  • the encryption result T2 obtained according to the method in FIG. 2 is again linked to the low-value part R2 of the random number RAND by means of an XOR operation.
  • Link result is then again using the authentication key Ki encrypted with a triple DES method.
  • the message coding key Kc is then obtained from the encryption result Out ⁇ c.
  • Either the message coding key Kc consists of the 54 most significant bits of the encryption result Out ⁇ c and the ten least significant bits of the message coding key Kc are set to 0, or the entire encryption result Out ⁇ c is used unchanged as the message coding key Kc.
  • flag bit is set as an indicator (not shown) and this flag bit is automatically queried before the message coding key Kc is output. If the flag bit is 0, if the last bits of Out ⁇ c are automatically set to 0, if the flag bit is 1, Out ⁇ c remains unchanged.
  • AM modification parameter (Algorithm Modifier) Ki authentication key ⁇ first encryption result
  • SIM Subscriber Identity Module subscriber identification unit in the GSM system
  • BSS Base Station System BSS Base Station System
  • AUC Authentication Center authentication center in the GSM system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The invention relates to a method for producing an authentication response parameter SRES for authenticating a subscriber identification unit in a network, especially GSM-network, in a service provider. The authentication response parameter SRES is calculated by using an individual authentication key Ki from a question parameter RAND, allocated to said subscriber identification unit . A modifying parameter AM associated with the service provider is used in at least one step of the inventive method during calculation.

Description

Authentisierungsverfahren authentication method
Die vorliegende Erfindung betrifft ein Verfahren zur Erzeugung eines Au- thentisierungsantwortparameters zur Authentisierung einer Teilnehmeridentifizierungseinheit in einem Netzwerk bei einem Dienstanbieter (Provider). Darüber hinaus betrifft die Erfindung ein Authentisierungsverfahren für ein Netzwerk unter Verwendung eines solchen Verfahrens zur Erzeugung des Authentisierungsantwortparameters, eine Teilnehmeridentifizie- rungseinheit und eine Authentisierungszentrale zur Durchführung des Verfahrens sowie ein Computerprogramm mit entsprechenden Programmcode- Mitteln, um das Verfahren mittels eines Computers auszuführen.The present invention relates to a method for generating an authentication response parameter for authenticating a subscriber identification unit in a network at a service provider. Furthermore, the invention relates to an authentication method for a network using such a method for generating the authentication response parameter, a subscriber identification unit and an authentication center for carrying out the method, and a computer program with corresponding program code means to carry out the method by means of a computer.
In Mobilfunknetzen wird bekanntermaßen die Mobilität der Teilnehmer da- durch erreicht, dass die einzelnen Netzbetreiber jeweils ein möglichst weit verbreitetes, engmaschiges Netz von Basisstationen zur Verfügung stellen, über welche der einzelne Teilnehmer mit Hilfe seines Endgeräts bzw. Mobilfunkgerätes mit dem Mobilfunknetz kommunizieren kann. Aufgrund dieser Funkschnittstellen ist das gesamte System relativ empfindlich gegenüber Missbrauch des Netzes durch unauthorisierte Benutzer und gegenüber Lauschangriffen auf die übertragenen Informationen, da in der Regel von jedem beliebigen Ort die Möglichkeit besteht, die Funksignale abzuhören oder zu übermitteln, ohne dass ein direkter mechanischer Eingriff in das Mobilfunknetz, beispielsweise ein Anklemmen von Kabeln etc., nötig ist. Die gleiche Problematik stellt sich auch in anderen Netzwerken, wie beispielsweise dem Internet, in denen auf relativ leicht für die Öffentlichkeit zugänglichem Wege Daten ausgetauscht werden, und in denen der Zugang zu vielen Diensten oder Datenbereichen im Prinzip ohne mechanische Eingriffe leicht und oftmals unbemerkt möglich ist.In mobile radio networks, it is known that the mobility of the subscribers is achieved by the individual network operators each providing the most widespread, close-knit network of base stations via which the individual subscriber can communicate with the mobile radio network using his terminal or mobile radio device. Due to these radio interfaces, the entire system is relatively sensitive to misuse of the network by unauthorized users and eavesdropping on the transmitted information, since it is usually possible to listen to or transmit the radio signals from any location without any direct mechanical intervention the mobile network, for example connecting cables etc., is necessary. The same problem arises in other networks, such as the Internet, in which data is exchanged in a relatively easy way for the public, and in which access to many services or data areas is in principle easily and often unnoticed possible without mechanical intervention.
Aus diesem Grunde sind insbesondere in derartigen, leicht zugänglichen Netzwerken besondere Maßnahmen erforderlich, um sowohl die Nutzer des Netzes bzw. des Dienstes im Netz als auch den Dienstanbieter gegen solche unerwünschten Eingriffe zu schützen. Hierbei stehen zwei Hauptsicherheitsziele im Vordergrund:For this reason, special measures are required in particular in such easily accessible networks in order to protect both the users of the network or the service in the network and the service provider against such undesired interventions. There are two main security objectives in the foreground:
Ein Ziel ist die Authentifizierung und somit die Zugangskontrolle des ein- zelnen Teilnehmers zum angebotenen Dienst, beispielsweise beim Mobil- funkήetz der Aufbau einer Verbindung zu einem anderen Fernsprechteilnehmer. Ein weiteres Hauptziel ist der Schutz der übertragenen Informationen an sich.One goal is the authentication and thus the access control of the individual subscriber to the service offered, for example in the case of the mobile radio network the establishment of a connection to another telephone subscriber. Another main goal is the protection of the transmitted information itself.
Der Zweck einer Authentisierung ist die Überprüfung der Identität und Authentizität eines Kommunikationspartners. Dabei reicht es aus, wenn eine einseitige Authentisierung durchgeführt wird, das heißt, wenn das Netzwerk bzw. der Dienstanbieter die Authentizität des Teilnehmers bzw. des Endgeräts bzw. einer darin befindlichen Teilnehmeridentifizierungseinheit, welche sich beispielsweise auf einer Chipkarte befindet, feststellen kann. Die beiden Kommunikationsteilnehmer müssen zur Authentisierung ein gemeinsames Geheimnis besitzen, das mit Hilfe eines Authentisierungsverfah- rens überprüft wird. Hierbei kann es sich beispielsweise um ein Passwort oder dergleichen handeln. Sinnvollerweise wird zur Authentisierung jedoch ein dynamisches Verfahren verwendet. Ein solches dynamisches Verfahren ist so aufgebaut, dass es vor einem Angriff durch Wiedereinspielen von aufgezeichneten Daten aus früheren Sitzungen geschützt ist, da für jede einzelne Authentisierung eine unterschiedliche Datengrundlage verwendet wird. Dies ist z.B. möglich, indem in einem ersten Schritt das Netzwerk bzw. der Dienstanbieter an die Teilnehmeridentifizierungseinheit einen bestimmten Anfrageparameter (challenge) sendet, welcher in der Teilnehmeridentifizierungseinheit mit einem geheimen Authentisierungsschlüssel verschlüsselt wird, der nur der Teilnehmeridentifizierungseinheit und dem Netzwerk bzw. dem Dienstanbieter bekannt ist. Das Verschlüsselungsergebnis wird dann in einem zweiten Schritt zurückgesendet und vom Netzwerk bzw. vom Dienstanbieter mit einem aus dem gesendeten Anfrageparameter und dem gemeinsamen Schlüssel parallel erzeugten Antwortparameter (respon- se) verglichen. Dieses Prinzip wird als sogenanntes „challenge and response- Prinzip" bezeichnet. Es ist das übliche Prinzip der Authentisierung im Chipkartenbereich. Als Anfrageparameter wird in der Regel eine Zufallszahl generiert. Im Folgenden wird daher auch von einer Zufallszahl als Anfrageparameter ausgegangen, wobei dies die Erfindung nicht auf die Verwendung einer Zufallszahl als Anfrageparameter einschränken soll.The purpose of authentication is to verify the identity and authenticity of a communication partner. It is sufficient if one-sided authentication is carried out, that is, if the network or the service provider can determine the authenticity of the subscriber or the terminal or a subscriber identification unit located therein, which is located, for example, on a chip card. For authentication, the two communication participants must have a shared secret that is checked using an authentication method. This can be, for example, a password or the like. However, it makes sense to use a dynamic method for authentication. Such a dynamic method is designed in such a way that it is protected against an attack by re-importing recorded data from previous sessions, since a different data basis is used for each individual authentication. This is possible, for example, in that in a first step the network or the service provider sends a specific request parameter (challenge) to the subscriber identification unit, which is encrypted in the subscriber identification unit with a secret authentication key that is only known to the subscriber identification unit and the network or the service provider is. The encryption result is then sent back in a second step and compared by the network or the service provider with a response parameter (response) generated in parallel from the sent request parameter and the common key. This principle is referred to as the so-called “challenge and response principle”. It is the usual principle of authentication in the chip card area. As a rule, a random number is generated as the request parameter is not intended to limit the use of a random number as a query parameter.
Nach durchgeführter Authentisierung werden die Informationen übertragen, die gegen Angriffe geschützt werden müssen. Die Sicherung der übertragenen Daten zwischen dem Endgerät und dem Netzwerk bzw. dem Dienstanbieter geschieht vorzugsweise durch eine geeignete Nachrichten- , Verschlüsselung, wobei sinnvollerweise auch hier für jede Verbindung ein neuer Schlüssel verwendet wird. Dies ist z. B. dadurch möglich, dass der zunächst für die Authentisierung verwendete Anfrageparameter (bzw. die Zufallszahl), welchen das Netzwerk bzw. der Dienstanbieter an die Teil- nehmeridentifizierungseinheit sendet, zusätzlich dazu verwendet wird, einen (temporären) Nachrichtencodierungsschlüssel zur Verschlüsselung der übersendeten Daten zu erzeugen. Das zuvor beschriebene Prinzip der Teilnehmerauthentisierung und Nachrichtenverschlüsselung wird nachfolgend detailliert am Beispiel des unter dem Begriff GSM (Global System for Mobile Communications) bekannten Standards für Mobiltelefone erläutert. Es wird jedoch noch einmal darauf hingewiesen, dass die Erfindung nicht auf die Anwendung in Mobilfunknetzen, insbesondere nach diesem Standard, beschränkt ist.After authentication has been carried out, the information that must be protected against attacks is transmitted. The transmission of data between the terminal and the network or the service provider is preferably secured by a suitable message and encryption, with a new key being used here for each connection. This is e.g. This is possible, for example, in that the request parameter (or the random number) which the network or the service provider sends to the subscriber identification unit, which is initially used for the authentication, is additionally used to provide a (temporary) message coding key for encrypting the transmitted data produce. The principle of subscriber authentication and message encryption described above is explained in detail below using the example of the standard for mobile phones known as GSM (Global System for Mobile Communications). However, it is pointed out once again that the invention is not restricted to use in mobile radio networks, in particular according to this standard.
Ein GSM-Mobilfunknetz ist aus mehreren Base Station Systemen (BSS) aufgebaut, die von einem Mobile Switching Center (MSC) verwaltet werden, welches als besondere Komponente ein sogenanntes Authentisierungszen- trum (Authentication Center; AUC) besitzt. Das AUC ist eine besondere Si- cherheitsinstanz, welche über die notwendigen Schlüssel und Algorithmen für die Authentisierung der Mobilfunkgeräte bzw. der darin befindlichen Teilnehmeridentifizierungseinheiten verfügt.A GSM mobile radio network is made up of several Base Station Systems (BSS), which are managed by a Mobile Switching Center (MSC), which has a so-called Authentication Center (AUC) as a special component. The AUC is a special security entity that has the necessary keys and algorithms for the authentication of the mobile radio devices or the subscriber identification units located therein.
Das Gegenstück zu den Base Station Systemen (BSS) bilden die individuellen Mobilfunkgeräte. Ein Mobilfunkgerät besteht im Wesentlichen aus dem eigentlichen Gerät an sich, welches das Funkteil, eine Codier-/ Decodiereinheit (Codec) zur Aufbereitung, insbesondere zur Ver- und Entschlüsselung der übermittelten Daten, eine Tastatur, ein Display und weitere übliche Komponenten aufweist. Ein weiterer wesentlicher Bestandteil des Mobilfunkgeräts ist eine Teilnehmer identif izierungseinheit, welche im GSM-System SIM (Subscriber Identity Module) genannt wird. Üblicherweise befindet sich das SIM auf einer Chipkarte, welche in das eigentliche Gerät eingesetzt wird. Erst mit eingesetztem SIM ist das Mobilfunkgerät einsatzfähig.The counterpart to the Base Station Systems (BSS) are the individual mobile devices. A mobile radio device essentially consists of the actual device itself, which has the radio part, a coding / decoding unit (codec) for processing, in particular for encrypting and decrypting the transmitted data, a keyboard, a display and other customary components. Another essential component of the mobile radio device is a subscriber identification unit, which is called SIM (Subscriber Identity Module) in the GSM system. The SIM is usually located on a chip card, which is inserted into the actual device. The mobile device can only be used when the SIM is inserted.
Jedem SIM ist von Haus aus eine im gesamten GSM-System einzigartige Nummer, die sogenannte IMSI (International Mobile Subscriber Identity), sowie eine geheime Nummer, der sogenannte Authentisierungsschlüssel (Subscriber authentication Key; Ki), zugeordnet. Diese Daten und insbesondere der Authentisierungsschlüssel (Ki) sind in dem SIM in einem besonders geschützten Bereich abgespeichert.Each SIM is inherently a unique number in the entire GSM system, the so-called IMSI (International Mobile Subscriber Identity), as well as a secret number, the so-called authentication key (Subscriber authentication Key; Ki). This data and in particular the authentication key (Ki) are stored in the SIM in a specially protected area.
Auf der anderen Seite weist das Authentication Center (AUC) des jeweiligen Mobilfunknetzes eine Datenbank auf, in der die Identifizierungsnummern (IMSI) gemeinsam mit den zugeordneten Authentisierungsschlüsseln (Ki) hinterlegt sind.On the other hand, the authentication center (AUC) of the respective mobile radio network has a database in which the identification numbers (IMSI) are stored together with the assigned authentication keys (Ki).
Wird ein Mobilfunkgerät (im Folgenden auch Mobilstation genannt) in einem Mobilfunknetz eingebucht, so wird von der Mobilstation bzw. dem SIM zunächst die IMSI an das Mobilfunknetz übermittelt. Damit ist die Mobilstation im Mobilfunknetz eindeutig identifiziert. Zur Authentisierung wird vom Mobilfunknetz an die Mobilstation eine zufällig erzeugte Zahl (allgemein mit RAND oder RND bezeichnet) übermittelt.If a mobile radio device (hereinafter also referred to as a mobile station) is booked into a mobile radio network, the IMSI is first transmitted to the mobile radio network by the mobile station or SIM. The mobile station is thus clearly identified in the mobile radio network. For authentication, a randomly generated number (generally referred to as RAND or RND) is transmitted from the mobile radio network to the mobile station.
Sowohl das SIM der Mobilstation als auch das Authentication Center erzeugen aus dieser Zufallszahl mittels eines festgelegten Algorithmus, der im GSM-System „A3" genannt wird, unter Verwendung des geheimen individuellen Authentisierungsschlüssels Ki des SIM einen Authentisierungsant- wortparameter (allgemein Signed Response genannt; SRES). Nach dem derzeitigen Standard hat die Zufallszahl eine Länge von 128 Bit. Ebenso hat der Authentifizierungsschlüssel üblicherweise eine Länge von 128 Bit. Das Er- gebnis der mit dem Algorithmus A3 erzeugten Authentisierungsantwortpa- rameters SRES ist im derzeitigen Standard 32 Bit lang. Der SRES wird vom SIM an das Mobilfunknetz übermittelt, wo die Antwort mit dem vom Authentication Center AUC parallel erzeugten Authentisierungsantwort- parameter verglichen wird. Bei Übereinstimmung kann davon ausgegangen werden, dass das SIM den richtigen Schlüssel Ki besitzt. Es ist somit authen- tisiert.Both the SIM of the mobile station and the authentication center generate an authentication response parameter (generally called Signed Response; SRES) from this random number by means of a defined algorithm, which is called "A3" in the GSM system, using the SIM's secret individual authentication key Ki According to the current standard, the random number has a length of 128 bits, and the authentication key usually has a length of 128 bits, and the result of the authentication response parameter SRES generated with the A3 algorithm is 32 bits in the current standard is transmitted from the SIM to the mobile network, where the response with the authentication response generated in parallel by the Authentication Center AUC parameter is compared. If there is a match, it can be assumed that the SIM has the correct key Ki. It is therefore authenticated.
Weiterhin weisen sowohl das SIM als auch das Authentication Center AUC einen sogenannten A8- Algorithmus auf. In diesem A8- Algorithmus wird aus der Zufallszahl, wiederum unter Verwendung des Authentisierungs- schlüssels Ki der jeweiligen SIM, ein Nachrichtencodierungsschlüssel (ciphe- ring Key; Kc; Länge: 64 bit) erzeugt. Dieser Nachrichtencodierungsschlüssel Kc dient dazu, die während der Verbindung zu übermittelnden (Sprach- )Daten zwischen Mobilstation und Mobilfunknetz zu verschlüsseln und somit gegen ein Abhören zu sichern. Der Nachrichtencodierungsschlüssel Kc wird folglich bei jedem Authentisierungsvorgang abhängig von der Zufallszahl RAND neu erzeugt, was die Sicherheit der Übermittlung gegen Abhö- ren erheblich erhöht. Die im Codec des Mobilfunkgeräts befindliche Verschlüsselungseinheit ist in der Lage, die Sprachdaten in Echtzeit mit dem Nachrichtencodierungsschlüssel Kc unter Nutzung eines sogenannten A8- Algorithmus ver- bzw. zu entschlüsseln. Auf der anderen Seite werden im Mobilfunknetz mit dem dort parallel erzeugten identischen Schlüssel die übermittelten Daten entsprechend ver- bzw. entschlüsselt.Furthermore, both the SIM and the Authentication Center AUC have a so-called A8 algorithm. In this A8 algorithm, a message coding key (cipher key; Kc; length: 64 bits) is generated from the random number, again using the authentication key Ki of the respective SIM. This message coding key Kc is used to encrypt the (voice) data to be transmitted during the connection between the mobile station and the mobile radio network and thus to protect it against eavesdropping. The message coding key Kc is consequently generated anew with each authentication process depending on the random number RAND, which considerably increases the security of the transmission against eavesdropping. The encryption unit located in the codec of the mobile radio device is able to encrypt or decrypt the voice data in real time with the message coding key Kc using a so-called A8 algorithm. On the other hand, the transmitted data is encrypted or decrypted accordingly in the mobile radio network using the identical key generated in parallel there.
Zur Authentisierung und Sicherung wird also bei jeder Neueinbuchung einer Mobilstation in ein Mobilfunknetz ein sogenanntes „Triplet" von drei Parametern - der Zufallszahl (RAND), dem daraus abgeleiteten Authentisie- rungsantwortparameter (SRES) und dem Nachrichtencodierungsschlüssel (Kc) - benötigt, wobei lediglich die Zufallszahl vom Mobilfunknetz an die Mobilstation gesendet wird und diese den Authentisierungsantwortparame- ter zurücksendet. Jedes Triplet (RAND, SRES, Kc) wird nur einmal benützt und dann verworfen.For authentication and security, a so-called "triplet" of three parameters - the random number (RAND), the derived authentication response parameter (SRES) and the message coding key (Kc) - is required for each new registration of a mobile station in a mobile radio network, only the Random number is sent from the mobile network to the mobile station and this the authentication response parameters ter sends back. Each triplet (RAND, SRES, Kc) is used only once and then discarded.
Zur Einsparung von Rechen- und Übermittlungszeiten für die Triplets wer- den üblicherweise zu einem bestimmten Zeitpunkt vom Authentisierungs- - Zentrum AUC für jeden Teilnehmer des zugehörigen Mobilfunknetzes mehrere Triplets erzeugt und in einem speziellen Sicherheitsparameter-File gespeichert. Da diese drei Parameter (RAND, SRES, Kc) völlig ausreichen, um ein bestimmtes SIM zu authentisieren und eine verschlüsselte Verbindung aufzubauen, besteht somit die Möglichkeit, fremden GSM-Netzen vomIn order to save computing and transmission times for the triplets, a number of triplets are usually generated by the authentication center AUC for each subscriber of the associated mobile radio network at a specific point in time and stored in a special security parameter file. Since these three parameters (RAND, SRES, Kc) are completely sufficient to authenticate a specific SIM and establish an encrypted connection, there is thus the possibility of external GSM networks from
Heimatnetz ein bestimmtes Triplet zur Verfügung zu stellen, ohne dass der geheime Authentisierungsschlüssel (Ki) oder der in der Regel geheime Algorithmus herausgegeben werden muß, welche üblicherweise in speziellen Sicherheitseinrichtungen innerhalb des Authentication Center aufbewahrt werden. Somit ist eine einfache Möglichkeit gegeben, dass sich ein Teilnehmer eines Mobilfunknetzes, beim sogenannten „Roaming", in einem fremden Netz als Gast einbuchen kann.To make a certain triplet available to the home network without having to release the secret authentication key (Ki) or the usually secret algorithm, which are usually stored in special security devices within the authentication center. There is thus a simple possibility for a subscriber of a mobile radio network, in so-called “roaming”, to log in as a guest in an external network.
Aufgrund der Authentisierungsmöglichkeit mittels lediglich dreier tempo- rarer Parameter ohne eine Herausgabe der streng geheimzuhaltendenDue to the possibility of authentication by means of only three temporary parameters without the strictly confidential being given out
Schlüssel bzw. Codier- Algorithmen, ist ein solches Verfahren auch gut zur Verwendung im Internet oder anderen öffentlich zugänglichen Netzwerken geeignet. Auch hier kann beispielsweise von einer Authentisierungszentrale verschiedenen Dienstanbietern oder auch verschiedenen unabhängigen Ser- vern eine Anzahl von Triplets für eine bestimmte Teilnehmeridentifizierungseinheit zur Verfügung gestellt werden, mit denen diese dann in der Lage sind, eine bestimmte Teilnehmeridentifizierungseinheit zu authentisieren und verschlüsselt Daten auszutauschen. Darüber hinaus kann das Ver- f ahren aber auch zur zusätzlichen Sicherung in abgeschlossenen, gesicherten Netzwerken, z. B. Geldautomatennetzen, eingesetzt werden.Key or coding algorithms, such a method is also well suited for use on the Internet or other publicly accessible networks. Here too, for example, an authentication center can provide various service providers or different independent servers with a number of triplets for a specific subscriber identification unit, with which they are then able to authenticate a specific subscriber identification unit and to exchange encrypted data. In addition, the but also lead to additional security in closed, secured networks, e.g. B. ATM networks are used.
Ein spezieller A3- Algorithmus zur Erzeugung eines Authentisierungsant- wortparameters zur Authentisierung einer Teilnehmeridentifizierungseinheit in einem GSM-Netz ist in der WO 97/15161 beschrieben. Nach dem dort genannten Verfahren ist vorgesehen, die 128 Bit lange Zufallszahl mit einem speziellen Algorithmus zunächst in einen 152 Bit langen Parameter umzuwandeln. Dieser Eingangsparameter wird einem sogenannten CAVE- Algorithmus zugeführt, welcher daraus einen 18 Bit langen Ausgangsparameter erzeugt. Dieser 18 Bit lange Ausgangsparameter wird dann in einen 32 Bit langen Authentisierungsantwortparameter umgewandelt. Das dort beschriebene Verfahren hat den Zweck, den in amerikanischen Mobilfunkstandards verwendeten CA VE- Algorithmus für den GSM-Standard nutzbar zu machen. Das Verfahren hat jedoch den Nachteil, dass der gesamte Algorithmus festgelegt ist und nur mit großem Aufwand variiert werden kann.A special A3 algorithm for generating an authentication response parameter for authenticating a subscriber identification unit in a GSM network is described in WO 97/15161. According to the method mentioned there, it is provided that the 128-bit random number is first converted into a 152-bit parameter using a special algorithm. This input parameter is fed to a so-called CAVE algorithm, which generates an 18-bit output parameter from it. This 18-bit output parameter is then converted into a 32-bit authentication response parameter. The method described there has the purpose of making the CA VE algorithm used in American mobile radio standards usable for the GSM standard. However, the method has the disadvantage that the entire algorithm is fixed and can only be varied with great effort.
Wie bereits oben beschrieben, ist es wünschenswert, wenn nicht nur die individuellen Authentisierungsschlüssel Ki der einzelnen Teilnehmeridentifi- zierungseinheiten eines Mobilfunknetzes geheimgehalten werden, sondern auch der Algorithmus individualisiert wird, um so eine höhere Sicherheit zu erreichenAs already described above, it is desirable if not only the individual authentication keys Ki of the individual subscriber identification units of a mobile radio network are kept secret, but also the algorithm is individualized in order to achieve higher security
Der Erfindung liegt daher die Aufgabe zugrunde, ein entsprechendes Ver- fahren zur Erzeugung des Authentisierungsantwortparameters zur Verfügung zu stellen, welches einfach und kostengünstig individuell veränderbar ist. Des Weiteren stellt sich die Aufgabe, ein entsprechendes Authentisie- rungsverfahren sowie eine Teilnehmeridentifizierungseinheit und eine Au- thentisierungszentrale zur Durchführung des Verfahrens zur Verfügung zu stellen.The invention is therefore based on the object of providing a corresponding method for generating the authentication response parameter, which can be individually and easily changed at low cost. Furthermore, there is the task of a corresponding authentication method as well as a subscriber identification unit and a to provide the centralization center for carrying out the method.
Diese Aufgabe wird durch ein Verfahren zur Erzeugung eines Authentisie- rungsantwortparameters gemäß Anspruch 1, ein Authentisierungsverfahren gemäß Anspruch 5, eine Teilnehmeridentifizierungseinheit gemäß Anspruch 7 und eine Authentisierungszentrale gemäß Anspruch 9 gelöst. In den abhängigen Ansprüchen sind vorteilhafte Ausgestaltungen der Erfindung angegeben.This object is achieved by a method for generating an authentication response parameter according to claim 1, an authentication method according to claim 5, a subscriber identification unit according to claim 7 and an authentication center according to claim 9. Advantageous refinements of the invention are specified in the dependent claims.
Erfindungsgemäß wird das Verfahren zur Erzeugung des Authentisierungs- antwortparameters aus dem Anfrageparameter, vorzugsweise einer Zufallszahl, dadurch individualisiert, dass in mindestens einem Verfahrensschritt bei der Berechnung ein dem jeweiligen Dienstanbieter zugeordneter indivi- dueller Modifizierungsparameter verwendet wird. Das heißt, es wird wie bei einem Schlüssel ein zusätzlicher Parameter eingeführt, welcher an einer bestimmten Stelle innerhalb des Algorithmus genutzt wird. Die Veränderung dieses Modifizierungsparameters bedeutet folglich gleichzeitig eine Veränderung des Algorithmus. Auf diese Weise ist es möglich, auch für eine Großzahl von verschiedenen Dienstanbietern jeweils individuelle Authentisierungsverfahren zur Verfügung zu stellen, die genauso sicher und schnell sind wie die mit dem unveränderten Algorithmus durchgeführten Verfahren.According to the invention, the method for generating the authentication response parameter from the request parameter, preferably a random number, is individualized in that an individual modification parameter assigned to the respective service provider is used in the calculation in at least one method step. This means that, like a key, an additional parameter is introduced which is used at a specific point in the algorithm. The change in this modification parameter consequently also means a change in the algorithm. In this way it is possible to provide individual authentication methods for a large number of different service providers, which are just as secure and fast as the methods carried out with the unchanged algorithm.
Der Modifizierungsparameter kann beispielsweise mit einem Zufallszahlgenerator erzeugt werden. Dies kann zum Beispiel von einem Hersteller der Teilnehmeridentifizierungseinheiten, insbesondere Chipkartenhersteller, durchgeführt werden, welcher in der Regel auch die Identif izierungsnum- mern und die Authentisierungsschlüssel für die einzelnen Teilnehmeridentifizierungseinheiten in gesicherter Umgebung erzeugt und in die Teilnehmeridentifizierungseinheiten implementiert. Ebenso kann der Modifizierungsparameter vom Hersteller der Teilnehmeridentifizierungseinheiten, genau wie der Algorithmus, die Identifizierungsnummern und die Authentisierungsschlüssel für die Teilnehmeridentifizierungseinheiten, zum einen auf sicherem Wege an das Authentisierungszentrum übermittelt werden und zum anderen in gesicherter Umgebung hinterlegt werden.The modification parameter can be generated, for example, with a random number generator. This can be carried out, for example, by a manufacturer of the subscriber identification units, in particular a chip card manufacturer, who generally also identifies the identification number. mern and generated the authentication keys for the individual subscriber identification units in a secure environment and implemented in the subscriber identification units. Likewise, the modification parameter from the manufacturer of the subscriber identification units, just like the algorithm, the identification numbers and the authentication key for the subscriber identification units, can be transmitted to the authentication center in a secure manner on the one hand and stored in a secure environment on the other.
Bei dem Verfahren können übliche Verschlüsselungsverfahren wie beispielsweise das weiter unten noch näher erläuterte Triple-DES- Verfahren verwendet werden. Diese Verfahren bieten derzeit eine größtmögliche Sicherheit. Der Modifizierungsparameter kann beispielsweise dadurch einbezogen werden, dass er vor der Verschlüsselung logisch mit dem Anfragepa- rameter verknüpft wird. Selbstverständlich ist es auch möglich, den Modifizierungsparameter mit einem Zwischenergebnis im Ablauf des Verfahrens zu verknüpfen oder den Modifizierungsparameter mehrfach innerhalb des Verfanrensablaufs zu verwenden.Conventional encryption methods such as, for example, the triple DES method explained in more detail below can be used in the method. These methods currently offer the greatest possible security. The modification parameter can be included, for example, by logically linking it to the request parameter before encryption. Of course, it is also possible to link the modification parameter with an intermediate result in the course of the method or to use the modification parameter several times within the procedure.
Zur weiteren Erhöhung der Sicherheit wird der Anfrageparameter in mindestens zwei Anteile zerlegt und die Anteile in unterschiedlichen Verfahrensschritten bei der Berechnung verwendet. Hierdurch wird eine zusätzliche Durchmischung des Anfrageparameters erreicht.To further increase security, the request parameter is broken down into at least two parts and the parts are used in the calculation in different procedural steps. This results in additional mixing of the request parameter.
In einer bevorzugten Ausführungsvariante des Verfahrens wird bei der Berechnung, des Authentisierungsantwortparameters ein Ausgangs- oder Zwischenergebnis zur Berechnung des Nachrichtencodierungsschlüssels verwendet. Auf diese Weise wird der Gesamtalgorithmus zur Erzeugung des Verschlüsselungsergebnisses ohne zusätzlichen Aufwand komplizierter und somit sicherer.In a preferred embodiment variant of the method, an output or intermediate result is used to calculate the message coding key when calculating the authentication response parameter. In this way, the overall algorithm for generating the Encryption result more complicated and therefore more secure without additional effort.
Ein erfindungsgemäßes Authentisierungsverfahren für ein Netzwerk weist folgende Verfahrensschritte auf. Es wird zunächst ein Anfrageparameter, vorzugsweise eine Zufallszahl (im Folgenden wird ohne Einschränkung der Erfindung wieder von einer Zufallszahl als Anfrageparameter ausgegangen), generiert. Dies kann entweder in einer Authentisierungszentrale oder auch in einem separaten Zufallsgenerator geschehen. Diese Zufallszahl wird dann über das Netzwerk an eine Teilnehmeridentifizierungseinheit eines Endgeräts des Benutzers übermittelt. In der Teilnehmeridentifizierungseinheit wird dann mit dem zuvor erläuterten erfindungsgemäßen Verfahren der Authentisierungsantwortparameter und ggf. der Nachrichtencodierungsschlüssel erzeugt. Dieser Authentisierungsantwortparameter wird an das Netzwerk zurückübermittelt und dort mit dem von der Authentisierungszentrale unter Verwendung desselben Authentisierungsschlüssels parallel ermittelten Authentisierungsantwortparameter verglichen. Bei Übereinstimmung der beiden Parameter gilt der Teilnehmer bzw. die entsprechende Teilnehmeridentifizierungseinheit als identifiziert.An authentication method according to the invention for a network has the following method steps. First, a query parameter, preferably a random number (in the following, a random number is again assumed as a query parameter without restricting the invention). This can be done either in an authentication center or in a separate random generator. This random number is then transmitted over the network to a subscriber identification unit of a user's terminal. The authentication response parameter and possibly the message coding key are then generated in the subscriber identification unit using the previously explained method according to the invention. This authentication response parameter is transmitted back to the network and is compared there with the authentication response parameter determined in parallel by the authentication center using the same authentication key. If the two parameters match, the subscriber or the corresponding subscriber identification unit is regarded as identified.
Eine erfindungsgemäße Teilnehmeridentifizierungseinheit muss zunächst Speichermittel aufweisen, in denen ein der jeweiligen Teilnehmeridentifizierungseinheit zugeordneter individueller Authentisierungsschlüssel und ein dem Dienstanbieter zugeordneter Modifizierungsparameter gespeichert sind. Bei den Speichermitteln kann es sich um völlig separate Speicher, aber auch um Speicherbereiche innerhalb eines Gesamtspeichers handeln. Es handelt sich sinnvollerweise hierbei um einen nichtflüchtigen Speicher. Des Weiteren muss die Teilnehrneridentifizierungseinheit Mittel zur Erzeugung eines Authentisierungsantwortparameters aus einer Zufallszahl nach dem erfindungsgemäßen Verfahren aufweisen. Hierbei kann es sich um eine spezielle Hardware-Schaltung handeln, welche beispielsweise direkt binär den Algorithmus ausführt. Ein solch spezieller hardwaremäßiger Aufbau der Schaltung ist zwar aufwendig aber dafür sehr leistungsfähig, was die Rechengeschwindigkeit betrifft. Im einfacheren Fall kann es sich um eine CPU handeln, beispielsweise in einem Microcontroller, in welchem das Verfahren softwaremäßig in Form eines Computerprogramms mit geeigneten Programmcode-Mitteln implementiert ist. Insbesondere kann es sich bei einer solchen Teilnehmeridentifizierungseinheit um eine Chipkarte, zum Beispiel im Fall des GSM-Systems um eine SIM-Card handeln.A subscriber identification unit according to the invention must first have storage means in which an individual authentication key assigned to the respective subscriber identification unit and a modification parameter assigned to the service provider are stored. The memory means can be completely separate memories, but also memory areas within an overall memory. It makes sense for this to be a non-volatile memory. Furthermore, the subscriber identification unit must have means for generating an authentication response parameter from a random number using the method according to the invention. This can be a special hardware circuit which, for example, executes the algorithm directly in binary. Such a special hardware structure of the circuit is complex, but very powerful in terms of computing speed. In the simpler case, it can be a CPU, for example in a microcontroller, in which the method is implemented in software in the form of a computer program with suitable program code means. In particular, such a subscriber identification unit can be a chip card, for example a SIM card in the case of the GSM system.
Es versteht sich von selbst, dass, wenn die jeweilige Teilnehmeridenti- fizierungseinheit zur Nutzung von Diensten verschiedener Dienstanbieter berechtigt, entsprechend mehrere Modifizierungsparameter gespeichert sind. Hierdurch zeigt sich ein weiterer Vorteil der Erfindung, da zur Nutzung einer Teilnehmeridentifizierungseinheit für verschiedene Dienstanbieter nicht zwangsläufig mehrere komplette Algorithmen in der Teilnehmeri- dentifizierungseinheit implementiert werden müssen, sondern lediglich ein Grundalgorithmus, der durch die gespeicherten Modifizierungsparameter dienstanbieterspezifisch individualisiert wird. Insbesondere bei der Verwendung von Chipkarten als Teilnehmeridentif izierungseinheiten ist dies wegen der beschränkten Kapazität der Chips von großem Vorteil.It goes without saying that if the respective subscriber identification unit authorizes the use of services from different service providers, several modification parameters are stored accordingly. This shows another advantage of the invention, since in order to use a subscriber identification unit for different service providers, it is not necessary to implement several complete algorithms in the subscriber identification unit, but rather only a basic algorithm that is individualized by the stored modification parameters in a service provider-specific manner. This is of great advantage in particular when using chip cards as subscriber identification units because of the limited capacity of the chips.
Eine erfindungsgemäße Authentisierungszentrale in einem Netzwerk muss dementsprechend Speichermittel mit einer Datenbasis aus verschiedenen, den einzelnen Teilnehmeridentifizierungseinheiten zugeordneten Authenti- sierungsschlüsseln und mit einem dem jeweiligen Dienstanbieter zugeordneten Modifizierungsparameter aufweisen. Darüber hinaus benötigt auch diese Authentisierungszentrale Mittel zur Erzeugung eines Authentisie- rungsantwortparameters aus einer Zufallszahl nach dem erfindungsgemä- ßen Verfahren. Auch hier ist eine Realisierung des Verfahrens wahlweise durch Aufbau einer speziellen Schaltung oder durch einen Computer mit einem geeigneten Software-Programm möglich.An authentication center according to the invention in a network must accordingly have storage means with a database of different authentication devices assigned to the individual subscriber identification units. key and with a modification parameter assigned to the respective service provider. In addition, this authentication center also requires means for generating an authentication response parameter from a random number using the method according to the invention. Here too, the method can be implemented either by setting up a special circuit or by a computer with a suitable software program.
Bei einem Mobilfunknetz handelt es sich bei der Authentisierungszentrale um die übliche AUC.In the case of a mobile radio network, the authentication center is the usual AUC.
Bei anderen Netzwerken, beispielsweise im Internet, kann es sich um eine unabhängige Authentisierungszentrale handeln, welche als Dienstleister für verschiedene Dienstanbieter die Authentisierung übernimmt und entspre- chende, besonders gesicherte Zonen zur Speicherung der verschiedenen Schlüssel aufweist. Im Prinzip ist es aber auch möglich, dass einzelne Dienstanbieter ihre eigene Authentisierungszentrale besitzen, die jeweils über das Internet mit einer am Endgerät des Teilnehmers befindlichen Teilnehmeridentifizierungseinheit kommuniziert. Auch in einem solchen Fall bietet es sich an, die Teilnehmeridentifizierungseinheit beispielsweise innerhalb einer Chipkarte anzuordnen und dementsprechend am Endgerät, beispielsweise einem PC, ein Chipkarten-Lesegerät zu integrieren, mit dem auf die Teilnehmeridentifizierungseinheit zugegriffen wird.Other networks, for example on the Internet, can be an independent authentication center, which takes over the authentication as a service provider for various service providers and has corresponding, particularly secure zones for storing the various keys. In principle, however, it is also possible for individual service providers to have their own authentication center, each of which communicates via the Internet with a subscriber identification unit located on the subscriber's terminal. In such a case, too, it makes sense to arrange the subscriber identification unit, for example within a chip card, and accordingly to integrate a chip card reader on the terminal, for example a PC, with which the subscriber identification unit is accessed.
Wie bereits anfangs erwähnt, ist die Authentisierung in Mobilfunknetzen ein Haupteinsatzgebiet des erfindungsgemäßen Verfahrens. Ein weiteres Einsatzgebiet ist die Authentisierung gegenüber bestimmten Dienstanbietern im Internet. Ebenso kommt selbstverständlich eine Authentisierung mit die- sem Verfahren in anderen Netzwerken, beispielsweise in Netzwerken von Geldautomaten oder anderen Systemen, wie Zugangskontrollsystemen oder dergleichen, in Frage.As already mentioned at the beginning, authentication in mobile radio networks is a main area of application of the method according to the invention. Another area of application is authentication against certain service providers on the Internet. Of course, authentication also comes with this This method in other networks, for example in networks of ATMs or other systems, such as access control systems or the like, in question.
Die Erfindung wird im Folgenden unter Hinweis auf die beigefügten Zeichnungen anhand von verschiedenen Ausführungsbeispielen näher erläutert. Die dort dargestellten Merkmale und auch die bereits oben beschriebenen Merkmale können nicht nur in den genannten Kombinationen, sondern auch einzeln oder in anderen Kombinationen erfindungswesentlich sein. Es zei- gen:The invention is explained in more detail below with reference to the accompanying drawings using various exemplary embodiments. The features shown there and also the features already described above can be essential to the invention not only in the combinations mentioned, but also individually or in other combinations. Show it:
Fig. 1 eine schematische Darstellung des Ablaufs des erfindungsgemässen Verfahrens gemäß einem ersten Ausführungsbeispiel;Figure 1 is a schematic representation of the sequence of the inventive method according to a first embodiment.
Fig. 2 eine schematische Darstellung des Ablaufs des erfindungsgemäßen Verfahrens gemäß einem zweiten Ausführungsbeispiel;2 shows a schematic illustration of the sequence of the method according to the invention in accordance with a second exemplary embodiment;
Fig. 3 eine schematische Darstellung des Ablaufs des erfindungsgemäßen Verfahrens gemäß einem dritten Ausführungsbeispiel.Fig. 3 is a schematic representation of the sequence of the inventive method according to a third embodiment.
In den in den Figuren dargestellten Ausführungsbeispielen wird der Einfachheit halber wieder von einer Verwendung des erfindungsgemäßen Verfahrens zur Authentisierung in einem Mobilfunknetz ausgegangen.For the sake of simplicity, the exemplary embodiments shown in the figures again assume the use of the method according to the invention for authentication in a mobile radio network.
In Figur 1 ist eine relativ einfache Version des erfindungsgemäßen Verfahrens dargestellt. Hierbei wird die Zufallszahl RAND zunächst mit dem Modifizierungsparameter AM (Algorithm Modifier) verknüpft. Bei dieser Verknüpfung handelt es sich im vorliegenden Fall um eine XOR (exclusive OR) iA relatively simple version of the method according to the invention is shown in FIG. The random number RAND is first linked to the modification parameter AM (Algorithm Modifier). In the present case, this link is an XOR (exclusive OR) i
- 15 -- 15 -
-Verknüpfung. Es kann aber auch eine andere beliebige logische Verknüpfung gewählt werden.-Shortcut. Any other logical link can also be selected.
Eine solche XOR- Verknüpfung entspricht einer bitweisen Addition der bei- den Binärzahlen, wobei die Kombinationen 1 + 1 sowie 0 + 0 jeweils 0 ergeben und ausschließlich die Kombination 1 + 0 sowie 0 + 1 jeweils 1 ergeben. Dies hat zur Folge, dass eine XOR- Verknüpfung einer beliebigen Bitfolge mit einer Bitfolge aus lauter Nullen die Bitfolge nicht verändert. Ein Modifizierungsparameter 000...0 ändert daher den Grundalgorithmus nicht. Indem der Modifizierungsparameter AM auf Wunsch der Dienstanbieter vonSuch an XOR operation corresponds to a bit-wise addition of the two binary numbers, the combinations 1 + 1 and 0 + 0 each giving 0 and exclusively the combination 1 + 0 and 0 + 1 each giving 1. The consequence of this is that an XOR combination of any bit sequence with a bit sequence consisting of all zeros does not change the bit sequence. A modification parameter 000 ... 0 therefore does not change the basic algorithm. By modifying the AM at the request of the service providers of
000...0 auf für jeden Dienstanbieter definierte unterschiedliche Bitfolgen gesetzt wird, können die Daten für jedes Dienstanbieternetz unter Beibehaltung des selben Grundalgorithmus individuell verschlüsselt werden.000 ... 0 is set to different bit sequences defined for each service provider, the data for each service provider network can be individually encrypted while maintaining the same basic algorithm.
Der Modifizierungsparameter AM hat die gleiche Bitlänge wie die Zufallszahl RAND. Im GSM-System hat folglich der Modifizierungsparameter AM in dem Ausführungsbeispiel gemäß Figur 1, genau wie die Zufallszahl RAND, die Länge von 128 Bit.The modification parameter AM has the same bit length as the random number RAND. In the GSM system, the modification parameter AM in the exemplary embodiment according to FIG. 1, like the random number RAND, has the length of 128 bits.
Das Verknüpfungsergebnis wird dann mittels des Triple-DES-The link result is then by means of the triple DES
Verschlüsselungsverfahrens unter Verwendung des individuellen Authenti- sierungsschlüssels Ki der Teilnehmeridentifizierungseinheit verschlüsselt. Bei dem einfachen DES- Verfahren handelt es sich um ein im Chipkartenbereich relativ häufig benutztes, sogenanntes symmetrisches Verschlüsse- lungsverfahren (Das heißt, es wird der gleiche Schlüssel für die Ver- und Entschlüsselung verwendet). Die Schlüssellänge beträgt in der Regel 64 Bit, wobei im DES- Verfahren allerdings üblicherweise jedes achte Bit ein Paritätsbit ist, welches lediglich zur Kontrolle der übrigen Bits im Schlüssel dient und daher nicht signifikant für das Ergebnis ist. Bei der Verwendung eines 128-Bit-Schlüssels Ki, welcher keine Paritätsbits enthält (zum Beispiel Schlüssel im GSM-System) wird bei der vorgesehenen Verschlüsselung jedes achte Bit einfach ignoriert. Das DES-Verschlüsselungsverfahren gilt als äu- ßerst sicher. Der einzige bisher erfolgversprechende Angriff gegen ein solches System ist eine sehr aufwendige Suche nach dem Schlüssel durch Ausprobieren, wobei eine enorme Rechenkapazität erforderlich ist.Encryption method encrypted using the individual authentication key Ki of the subscriber identification unit. The simple DES method is a so-called symmetrical encryption method that is used relatively frequently in the chip card area (that is, the same key is used for encryption and decryption). The key length is usually 64 bits, although in the DES method, however, every eighth bit is usually a parity bit, which is only used to control the other bits in the key and therefore not significant for the result. If a 128-bit key Ki is used, which does not contain any parity bits (for example keys in the GSM system), every eighth bit is simply ignored in the encryption provided. The DES encryption process is considered to be extremely secure. The only promising attack against such a system to date is a very complex search for the key by trial and error, which requires enormous computing capacity.
Zur Verhinderung eines solchen direkten Angriffs wird daher das Triple- DES- Verfahren verwendet, bei dem drei DES-Operationen mit abwechselnder Ver- und Entschlüsselung hintereinander geschaltet werden. Das heißt, es wird zunächst ein Klartext, im vorliegenden Fall das Verknüpfungsergebnis der Zufallszahl RAND und des Modifizierungsparameters AM in einem DES- Verfahren mit einem ersten Schlüssel verschlüsselt, dann mit einem zweiten Schlüssel wieder in einem DES- Verfahren entschlüsselt und schließlich wieder erneut verschlüsselt, wobei im vorliegenden Fall für die zweite Verschlüsselung wiederum der gleiche Schlüssel verwendet wird, wie bei der ersten Verschlüsselung. Selbstverständlich können auch drei unterschiedliche Schlüssel verwendet werden. Im vorliegenden Fall besteht der Authentisierungsschlüssel Ki aus 128 Bit, wobei die 64 höherwertigen Bits (most significant bits; msb) einen ersten Schlüssel Kl bilden, welcher für die Verschlüsselung innerhalb des Triple-DES- Verfahrens verwendet wird, und die niederwertigeren 64 Bit (least significant bits; lsb) von Ki den zweiten Schlüssel K2 bilden, welcher für die Entschlüsselung innerhalb des Triple- DES- Verfahrens verwendet wird.To prevent such a direct attack, the triple DES method is therefore used, in which three DES operations with alternating encryption and decryption are connected in series. This means that first a plain text, in the present case the combination result of the random number RAND and the modification parameter AM is encrypted in a DES method with a first key, then decrypted with a second key in a DES method and finally encrypted again, in which case the same key is used for the second encryption as for the first encryption. Of course, three different keys can also be used. In the present case, the authentication key Ki consists of 128 bits, the 64 most significant bits (msb) forming a first key Kl, which is used for encryption within the triple DES method, and the lower-order 64 bits (least significant bits; lsb) of Ki form the second key K2, which is used for the decryption within the Triple-DES method.
Mathematisch lässt sich dies durch die Schreibweise 3-DESκι(C) = DESκι(DES-i K2(DESκι(C)))Mathematically this can be done by the spelling 3-DESκι (C) = DESκι (DES- i K2 (DESκι (C)))
darstellen, wobei DESκι(C) die einfache DES- Verschlüsselung eines 64 bit- Klartextes C mit dem Schlüssel Kl und DES_1κ2(C) eine entsprechende Ent- schlüsselung mit dem Schlüssel K2 bedeutet.represent, where DESκι (C) the simple DES encryption of a 64-bit plain text C with the key Kl and DES _1 κ2 (C) means a corresponding decryption with the key K2.
Auf die weiteren genauen Einzelheiten des DES- Verfahrens bzw. des Triple- DES- Verfahrens soll hier nicht eingegangen werden. Es handelt sich hierbei zwar um die bevorzugte Form des Verschlüsselungsverfahrens innerhalb des erfindungsgemäßen Verfahrens. Es kann aber auch ein beliebiges anderes geeignetes Verschlüsselungsverfahren anstelle des Triple-DES- Verf ahrens verwendet werden.The further precise details of the DES process and the Triple DES process will not be discussed here. Although this is the preferred form of the encryption method within the method according to the invention. However, any other suitable encryption method can also be used instead of the triple DES method.
Das auf diese Weise verschlüsselte Verknüpfungsergebnis der Zufallszahl RAND und des Modifizierungsparameters AM wird in Figur 1 als OUTSRES bezeichnet. Dieses Ergebnis OUTSRES hat die gleiche Bitlänge wie die Eingangsparameter, d.h. im vorliegenden Ausführungsbeispiel 128 Bit. Im GSM-Standard weist der Authentisierungsantwortparameter SRES jedoch lediglich eine Bitlänge von 32 Bit auf. Daher werden von dem Verschlüsse- lungsergebnis OUTSRES lediglich die niederwertigen 32 Bit als Authentisie- rungsantwortparameter SRES verwendet. Im Falle von 128 Bit- Eingangsparametern wird der DES im sogenannten CBC-Mode (cipher block chaining) betrieben. Wenn die Eingangsparameter lediglich eine Länge von 64 Bit aufweisen, im nicht verketteten DES-Modus gearbeitet.The result of the combination of the random number RAND and the modification parameter AM encoded in this way is referred to in FIG. 1 as OUTS RE S. This result OUTSRES has the same bit length as the input parameters, ie 128 bits in the present exemplary embodiment. In the GSM standard, however, the authentication response parameter SRES only has a bit length of 32 bits. Therefore, only the low-order 32 bits of the encryption result OUTSRES are used as authentication response parameters SRES. In the case of 128 bit input parameters, the DES is operated in the so-called CBC mode (cipher block chaining). If the input parameters are only 64 bits long, work in non-chained DES mode.
In dem in Figur 2 dargestellten Ausführungsbeispiel wird ein etwas komplizierteres Verfahren verwendet. Hierbei wird die Zufallszahl RAND zunächst in einen höherwertigen Anteil R^ und einen niederwertigeren Anteil R2 gleicher Bitlänge zerlegt. Das heißt, die Anteile R^ und R2 sind bei einer Verwendung des Verfahrens nach der GSM-Norm jeweils 64 Bit lang. Dementsprechend hat auch der Modifizierungsparameter AM eine Länge von 64 Bit. Auch bei diesem Verfahren erfolgt, wie bei dem Verfahren gemäß Figur 1, zunächst eine logische XOR- Verknüpfung der Zufallszahl RAND und des Modifizierungsparameters AM.In the exemplary embodiment shown in FIG. 2, a somewhat more complicated method is used. Here, the random number RAND is first divided into a higher value part R ^ and a lower value part R2 of the same bit length broken down. This means that the parts R ^ and R2 are each 64 bits long when using the method according to the GSM standard. Accordingly, the modification parameter AM also has a length of 64 bits. In this method, too, as in the method according to FIG. 1, there is first a logical XOR combination of the random number RAND and the modification parameter AM.
Auch in diesem zweiten Ausführungsbeispiel erfolgt dann eine Verschlüsselung des Verknüpfungsergebnisses mit einem Triple-DES- Verfahren unter Verwendung des Authentisierungsschlüssels Ki der Teilnehmeridentifizierungseinheit. Das hieraus gewonnene Verschlüsselungsergebnis T\, welches wiederum eine Länge von 64 Bit aufweist, wird zunächst in einem weiteren Verfahrensschritt mit dem höherwertigen Anteil Rl der Zufallszahl RAND verknüpft und dieses Verknüpfungsergebnis wird erneut unter Verwen- düng des Authentisierungsschlüssels Ki mit einem Triple-DES- Verfahren verschlüsselt. Erst aus diesem doppelt verschlüsselten Verfahren, bei welchem die Zufallszahl RAND durcheinandergemischt worden ist, wird schließlich der Authentisierungsantwortparameter SRES gewonnen. Wie im ersten Ausführungsbeispiel werden auch hier vom letzten Verschlüsse- lungsergebnis OUTSRES, in Figur 2 auch T2 genannt, lediglich die niederwer- tigsten 32 Bit als Authentisierungsantwortparameter SRES verwendet.In this second exemplary embodiment too, the linking result is then encrypted using a triple DES method using the authentication key Ki of the subscriber identification unit. The encryption result T \ obtained therefrom, which in turn has a length of 64 bits, is first linked in a further method step with the higher-value portion R1 of the random number RAND, and this linking result is repeated using the authentication key Ki with a triple DES method encrypted. The authentication response parameter SRES is only obtained from this double-encrypted method, in which the random number RAND has been mixed together. As in the first exemplary embodiment, only the least significant 32 bits of the last encryption result OUTSRES, also called T2 in FIG. 2, are used as authentication response parameters SRES.
Figur 3 zeigt eine, weitere Ausgestaltung des Verfahrens gemäß Figur 2, bei dem gleichzeitig ein Nachrichtencodierungsschlüssel Kc aus der Zufallszahl RAND erzeugt wird. Hierzu wird das gemäß dem Verfahren in Figur 2 gewonnene Verschlüsselungsergebnis T2 erneut mittels einer XOR-Operation mit dem niederwertigen Anteil R2 der Zufallszahl RAND verknüpft. DiesesFIG. 3 shows a further embodiment of the method according to FIG. 2, in which a message coding key Kc is simultaneously generated from the random number RAND. For this purpose, the encryption result T2 obtained according to the method in FIG. 2 is again linked to the low-value part R2 of the random number RAND by means of an XOR operation. This
Verknüpfungsergebnis wird dann erneut mittels des Authentisierungs- schlüssels Ki mit einem Triple-DES- Verfahren verschlüsselt. Aus dem Verschlüsselungsergebnis Outκc wird dann der Nachrichtencodierungsschlüssel Kc gewonnen.Link result is then again using the authentication key Ki encrypted with a triple DES method. The message coding key Kc is then obtained from the encryption result Outκc.
In dem dargestellten Ausführungsbeispiel sind zwei verschiedene Möglichkeiten angedeutet. Entweder besteht der Nachrichtencodierungsschlüssel Kc aus den 54 höherwertigen Bits des Verschlüsselungsergebnisses Outκc und die zehn niederwertigsten Bits des Nachrichtencodierungsschlüssel Kc werden auf 0 gesetzt, oder es wird das gesamte Verschlüsselungsergebnis Outκc unverändert als Nachrichtencodierungsschlüssel Kc verwendet.In the exemplary embodiment shown, two different possibilities are indicated. Either the message coding key Kc consists of the 54 most significant bits of the encryption result Outκc and the ten least significant bits of the message coding key Kc are set to 0, or the entire encryption result Outκc is used unchanged as the message coding key Kc.
In einer Ausführungsform des Verfahrens ist konkret vorgesehen, dass lediglich ein sogenanntes „Flag-Bit" als Indikator gesetzt wird (nicht dargestellt) und vor Ausgabe des Nachrichtencodierungsschlüssels Kc automa- tisch dieses Flag-Bit abgefragt wird. Ist das Flag-Bit gleich 0, werden automatisch die letzten Bits von Outκc gleich 0 gesetzt, ist das Flag-Bit dagegen 1, bleibt Outκc unverändert.In one embodiment of the method it is specifically provided that only a so-called "flag bit" is set as an indicator (not shown) and this flag bit is automatically queried before the message coding key Kc is output. If the flag bit is 0, if the last bits of Outκc are automatically set to 0, if the flag bit is 1, Outκc remains unchanged.
Selbstverständlich ist es ebenso möglich, die letzten zehn Bits definiert auf 1 zu setzen oder auch eine längere oder kürzere Anzahl von Endbits auf einen bestimmten vorgegebenen Wert zu setzen. Die genauen Spezifikationen hängen von deri Erfordernissen des Dienstanbieters ab bzw. hängen davon ab, ob innerhalb des Informationsverschlüsselungsverfahrens zwischen Endgerät und Netzwerk bzw. Dienstanbieter ein Schlüssel mit einer bekann- ten Anzahl an sogenannten Tail-Bits benötigt wird. Einige Verschlüsselungsverfahren benötigen bekannte Tail-Bits, um am Ende eines Blocks bzw. vor Beginn eines neuen Blocks den Codierer in einen bekannten Zustand zu setzen. Das in Figur 3 dargestellte Verfahren verknüpft daher, in der Notation der GSM-Norm, auf günstige Weise den A3- Algorithmus für die Erzeugung des Authentisierungsanwortparameters SRES mit dem A8- Algorithmus für die Erzeugung des Nachrichtencodierungsschlüssels Kc, sodass der A8- Algorithmus sicher aufgebaut ist, andererseits aber ein Großteil des Rechenaufwands ohnehin bereits für den A3- Algorithmus genutzt wurde, und somit anders als bei vollständig getrennten parallelen Algorithmen, der Berechnungsaufwand gering ist. Of course, it is also possible to set the last ten bits to 1 in a defined manner or to set a longer or shorter number of end bits to a certain predetermined value. The exact specifications depend on the requirements of the service provider or depend on whether a key with a known number of so-called tail bits is required within the information encryption process between the terminal and the network or service provider. Some encryption methods require known tail bits in order to set the encoder to a known state at the end of a block or before the start of a new block. The method shown in FIG. 3 therefore, in the notation of the GSM standard, advantageously combines the A3 algorithm for the generation of the authentication response parameter SRES with the A8 algorithm for the generation of the message coding key Kc, so that the A8 algorithm is set up securely , on the other hand, however, a large part of the computing effort was already used for the A3 algorithm, and thus, unlike in the case of completely separate parallel algorithms, the calculation effort is low.
Aus Gründen der Übersichtlichkeit werden im Folgenden noch einmal alle verwendeten Abkürzungen sowie die in den Figuren genutzten Bezugszeichen aufgelistet:For the sake of clarity, all abbreviations used and the reference symbols used in the figures are listed again below:
RAND Zufallszahl (random number) Rl höherwertiger Anteil von RANDRAND random number Rl higher value portion of RAND
R2 niederwertiger Anteil von RANDR2 low value portion of RAND
AM Modifizierungsparameter (Algorithm Modifier) Ki Authentisierungsschlüssel (authentication Key) Υ erstes VerschlüsselungsergebnisAM modification parameter (Algorithm Modifier) Ki authentication key Υ first encryption result
T2 zweites VerschlüsselungsergebnisT2 second encryption result
SRES Authentisierungsantwortparameter (Signed Response)SRES Authentication Response Parameters (Signed Response)
Kc Nachrichtencodierungsschlüssel (ciphering Key)Kc ciphering key
OutsREs Verschlüsselungsendergebnis Outκc VerschlüsselungsendergebnisOutsREs encryption result Outκc encryption result
DES Data Encryption Standard (Verschlüsselungsverfahren)DES Data Encryption Standard (encryption method)
Kl höherwertiger Anteil von Ki K2 niederwertiger Anteil von KiKl higher value part of Ki K2 lower value part of Ki
XOR „exclusive OR"-Verknüpfung msb höherwertigstes Bit (most significant bit) lsb niederwertigstes Bit (least significant bit)XOR "exclusive OR" combination msb most significant bit (lsb significant bit) lsb least significant bit (least significant bit)
GSM Global System for Mobile CommunicationsGSM Global System for Mobile Communications
SIM Subscriber Identity Module (Teilnehmeridentifizierungseinheit im GSM-System) BSS Base Station SystemSIM Subscriber Identity Module (subscriber identification unit in the GSM system) BSS Base Station System
MSC Mobile Switching CenterMSC Mobile Switching Center
AUC Authentication Center (Authentisierungszentrale im GSM-System) AUC Authentication Center (authentication center in the GSM system)

Claims

Patentansprüche: claims:
1. Verfahren zur Erzeugung eines Authentisierungsantwortparameters1. Method for generating an authentication response parameter
(SRES) zur Authentisierung einer Teilnehmeridentifizierungseinheit in einem Netzwerk bei einem Dienstanbieter, bei dem der Authentisie- rungsantwortparameter (SRES) unter Verwendung eines der Teilnehmeridentifizierungseinheit zugeordneten individuellen Authentisierungsschlüssels (Ki) aus einem Anfrageparameter (RAND) berechnet wird, dadurch gekennzeichnet, dass in mindestens einem Verfahrensschritt bei der Berechnung ein dem Dienstanbieter zugeordneter Modifizierungsparameter (AM) verwendet wird.(SRES) for authenticating a subscriber identification unit in a network at a service provider, in which the authentication response parameter (SRES) is calculated from a request parameter (RAND) using an individual authentication key (Ki) assigned to the subscriber identification unit, characterized in that in at least one Method step in the calculation of a modification parameter (AM) assigned to the service provider is used.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Anfra- . geparameter (RAND) in mindestens zwei Anteile (Rj, R2) zerlegt wird, und die Anteile (R^, R2) in unterschiedlichen Verfahrensschritten bei der2. The method according to claim 1, characterized in that the request. parameter (RAND) is broken down into at least two parts (Rj, R2), and the parts (R ^, R2) in different process steps in the
Berechnung verwendet werden.Calculation can be used.
3. Verfahren nach Anspruch 2, gekennzeichnet durch folgende Schritte:3. The method according to claim 2, characterized by the following steps:
- Zerlegung des Anfrageparameters (RAND) in einen höherwertigen- Decomposition of the request parameter (RAND) into a higher value
Anteil (R3J und einen niederwertigen Anteil (R2) gleicher Bitlänge,Component (R3J and a low-value component (R2) of the same bit length,
- in einem ersten Verknüpfungsschritt, Verknüpfung des niederwertigen Anteils (R2) des Anfrageparameters (RAND) mit dem Modifizie- rungsparameter (AM), - Verschlüsselung eines Verknüpfungsergebnisses des ersten Verknüpfungsschritts unter Verwendung des Authentisierungsschlüssels (Kl) zu einem ersten Verschlüsselungsergebnis (Ti),in a first linking step, linking the low-value part (R2) of the request parameter (RAND) with the modification parameter (AM), Encryption of a linking result of the first linking step using the authentication key (Kl) to a first encryption result (Ti),
- in einem zweiten Verknüpfungsschritt, Verknüpfung des ersten Verschlüsselungsergebnis ( i) mit dem höherwertigen Anteil (R^) des- In a second linking step, linking the first encryption result (i) with the higher value portion (R ^) of the
Anfrageparameters (RAND),Request parameters (RAND),
- Verschlüsselung eines Verknüpfungsergebnisses des zweiten Ver- knüpfungsschritts vorhergehenden Schritts unter Verwendung des- Encryption of a linking result of the second linking step preceding the step using the
Authentisierungsschlüssels (Ki) zu einem zweiten Verschlüsselungsergebnis (T2), undAuthentication key (Ki) to a second encryption result (T2), and
- Ermittlung des Authentisierungsantwortparameters (SRES) aus dem zweiten Verschlüsselungsergebnis (T2).- Determination of the authentication response parameter (SRES) from the second encryption result (T2).
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Verschlüsselung mindestens eines Verknüpfungsergebnisses in einem Triple-DES- Verfahren erfolgt.4. The method according to any one of claims 1 to 3, characterized in that the encryption of at least one link result is carried out in a triple DES method.
5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass das zweite Verschlüsselungsergebnis (T2) mit dem niederwertigen Anteil (R2) des Anfrageparameters (RAND) verknüpft wird und ein dabei erhaltenes Verknüpfungsergebnis unter Verwendung des Authentisie- rungsschlüssels (Ki) verschlüsselt wird und aus einem daraus erhaltenen dritten Verschlüsselungsergebnis (Outκc) ein Nachrichtencodierungsschlüssel (Kc) gewonnen wird. 5. The method according to claim 3 or 4, characterized in that the second encryption result (T2) is linked to the low-order portion (R2) of the request parameter (RAND) and a result of the linkage obtained is encrypted using the authentication key (Ki) and a message coding key (Kc) is obtained from a third encryption result (Outκc) obtained therefrom.
6. Authentisierungsverfahren für ein Netzwerk mit folgenden Verfahrensschritten:6. Authentication procedure for a network with the following procedure steps:
- Generierung eines Anfrageparameters (RAND),- Generation of a request parameter (RAND),
- Übermittlung dieses Anfrageparameters (RAND) vom Netzwerk an eine Teilnehmeridentifizierungseinheit eines Endgeräts,Transmission of this request parameter (RAND) from the network to a subscriber identification unit of a terminal,
- Erzeugung eines Authentisierungsantwortparameters (SRES) aus dem Anfrageparameter (RAND) unter Verwendung eines Authentisierungsschlüssels (Ki) der Teilnehmeridentifizierungseinheit,Generation of an authentication response parameter (SRES) from the request parameter (RAND) using an authentication key (Ki) of the subscriber identification unit,
- Übermittlung des Authentisierungsantwortparameters (SRES) von der Teilnehmeridentifizierungseinheit an das Netzwerk, undTransmission of the authentication response parameter (SRES) from the subscriber identification unit to the network, and
- Vergleich des von der Teilnehmeridentifizierungseinheit erhaltenen Authentisierungsantwortparameters (SRES) mit einem von einer Authentisierungszentrale unter Verwendung des Authentisierungs- schlüsseis (Ki) aus dem Anfrageparameter (RAND) ermittelten Au- thentisierungsantwortparameters (SRES), dadurch gekennzeichnet, dass der Authentisierungsantwortparameter (SRES) mittels eines Verfahrens gemäß einem der Ansprüche 1 bis 4 aus dem Anfrageparameter (RAND) erzeugt wird.- Comparison of the authentication response parameter (SRES) obtained from the subscriber identification unit with an authentication response parameter (SRES) determined by an authentication center using the authentication key (Ki) from the request parameter (RAND), characterized in that the authentication response parameter (SRES) by means of a Method according to one of claims 1 to 4 is generated from the request parameter (RAND).
7. Authentisierungsverfahren nach Anspruch 6, dadurch gekennzeichnet, dass von der Teilnehmeridentifizierungseinheit und von der Authentisierungszentrale nach einem Verfahren gemäß Anspruch 5 ein Nachrich- tencodierungsschlüssel (Kc) erzeugt wird, welcher zur Verschlüsselung von zu übermittelnden Daten zwischen Endgerät und Netzwerk dient.7. Authentication method according to claim 6, characterized in that a message from the subscriber identification unit and from the authentication center according to a method according to claim 5. tencoding key (Kc) is generated, which is used to encrypt data to be transmitted between the terminal and the network.
8. Teilnehmeridentifizierungseinheit mit Speichermitteln, in denen ein der Teilnehmeridentifizierungseinheit zugeordneter individueller Authentisierungsschlüssel (Ki) und ein einem Dienstanbieter zugeordneter Modifizierungsparameter (AM) gespeichert sind, und mit Mitteln zur Erzeugung eines Authentisierungsantwortparameter (SRES) aus einem Anfrageparameter (RAND) nach einem Verfahren gemäß einem der Ansprü- ehe 1 bis 4.8. Subscriber identification unit with storage means in which an individual authentication key (Ki) assigned to the subscriber identification unit and a modification parameter (AM) assigned to a service provider are stored, and with means for generating an authentication response parameter (SRES) from a request parameter (RAND) according to a method according to one claims 1 to 4.
9. Teilnehmeridentifizierungseinheit nach Anspruch 8, gekennzeichnet durch Mittel zur Erzeugung eines Nachrichtencodierungsschlüssels (Kc) nach einem Verfahren gemäß Anspruch 5.9. subscriber identification unit according to claim 8, characterized by means for generating a message coding key (Kc) according to a method according to claim 5.
10. Authentisierungszentrale für ein Netzwerk mit Speichermitteln; in denen einzelnen Teilnehmeridentifizierungseinheiten zugeordnete, individuelle Authentisierungsschlüssel (Ki) und ein einem Dienstanbieter zugeordneter Modifizierungsparameter (AM) gespeichert sind, und mit Mitteln zur Erzeugung eines Authentisierungsantwortparameters10. Authentication center for a network with storage means; in which individual authentication keys (Ki) assigned to individual subscriber identification units and a modification parameter (AM) assigned to a service provider are stored, and with means for generating an authentication response parameter
(SRES) aus einem Anfrageparameter (RAND) nach einem Verfahren gemäß einem der Ansprüche 1 bis 4.(SRES) from a request parameter (RAND) according to a method according to one of claims 1 to 4.
11. Authentisierungszentrale nach Anspruch 9, gekennzeichnet durch Mit- tel zur Erzeugung eines Nachrichtencodierungsschlüssels (Kc) nach einem Verfahren gemäß Anspruch 5. 11. Authentication center according to claim 9, characterized by means for generating a message coding key (Kc) according to a method according to claim 5.
2. Computerprogramm mit Programmcode-Mitteln, um alle Schritte gemäß einem der Ansprüche 1 bis 5 durchzuführen, wenn das Programm auf einem Computer ausgeführt wird. 2. Computer program with program code means to carry out all steps according to one of claims 1 to 5 when the program is executed on a computer.
PCT/EP2002/006397 2001-06-12 2002-06-11 Authentication method WO2002102103A2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
AU2002345028A AU2002345028A1 (en) 2001-06-12 2002-06-11 Authentication method
EP02743179A EP1400142A2 (en) 2001-06-12 2002-06-11 Authentication method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10128300A DE10128300A1 (en) 2001-06-12 2001-06-12 authentication method
DE10128300.8 2001-06-12

Publications (2)

Publication Number Publication Date
WO2002102103A2 true WO2002102103A2 (en) 2002-12-19
WO2002102103A3 WO2002102103A3 (en) 2003-12-11

Family

ID=7687916

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2002/006397 WO2002102103A2 (en) 2001-06-12 2002-06-11 Authentication method

Country Status (4)

Country Link
EP (1) EP1400142A2 (en)
AU (1) AU2002345028A1 (en)
DE (1) DE10128300A1 (en)
WO (1) WO2002102103A2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8611536B2 (en) * 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
CN105722085A (en) * 2016-03-28 2016-06-29 宇龙计算机通信科技(深圳)有限公司 Pseudo base station identification method, pseudo base station identification apparatus, and terminal
CN107959935A (en) * 2017-11-09 2018-04-24 广德宝达精密电路有限公司 A kind of new pseudo-base station identification equipment
US11115185B2 (en) * 2019-03-22 2021-09-07 Rosemount Aerospace Inc. Highly secure WAIC baseband signal transmission with byte displacement approach

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1005244A1 (en) 1998-11-25 2000-05-31 ICO Services Ltd. Connection authentication in a mobile network

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5594795A (en) * 1994-07-05 1997-01-14 Ericsson Inc. Method and apparatus for key transforms to discriminate between different networks
FI109864B (en) * 2000-03-30 2002-10-15 Nokia Corp Subscriber authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1005244A1 (en) 1998-11-25 2000-05-31 ICO Services Ltd. Connection authentication in a mobile network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8611536B2 (en) * 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
CN105722085A (en) * 2016-03-28 2016-06-29 宇龙计算机通信科技(深圳)有限公司 Pseudo base station identification method, pseudo base station identification apparatus, and terminal
WO2017166419A1 (en) * 2016-03-28 2017-10-05 宇龙计算机通信科技(深圳)有限公司 Method of identifying false base station, device identifying false base station, and terminal
CN107959935A (en) * 2017-11-09 2018-04-24 广德宝达精密电路有限公司 A kind of new pseudo-base station identification equipment
US11115185B2 (en) * 2019-03-22 2021-09-07 Rosemount Aerospace Inc. Highly secure WAIC baseband signal transmission with byte displacement approach

Also Published As

Publication number Publication date
AU2002345028A1 (en) 2002-12-23
EP1400142A2 (en) 2004-03-24
WO2002102103A3 (en) 2003-12-11
DE10128300A1 (en) 2003-01-09

Similar Documents

Publication Publication Date Title
DE60314402T2 (en) SYSTEM AND METHOD FOR STORING AND RECEIVING CRYPTOGRAPHIC SECRETS FROM DIFFERENT CUSTOM END USERS IN A NETWORK
DE69921039T2 (en) A method of creating a key using radio communication and a password protocol
DE69727641T2 (en) Method for sending a secure message in a telecommunication system
DE69525912T2 (en) NOTIFICATION PROCEDURE IN A COMMUNICATION SYSTEM
DE69706867T2 (en) DEVICE FOR RECOVERING A SECRET KEY
DE69534012T2 (en) Authentication method for mobile communication
DE69018452T2 (en) Telephone system for the remote loading of telephone subscription data from an autonomous station.
DE69925920T2 (en) SAFE PROCESSING FOR THE AUTHENTICATION OF A WIRELESS COMMUNICATION DEVICE
DE60302276T2 (en) Method for remotely changing a communication password
EP0872076B1 (en) Process for the computer-controlled exchange of cryptographic keys between a first and a second computer unit
DE60028900T2 (en) Automatic resynchronization of Geiheim synchronization information
DE69518521T2 (en) METHOD AND DEVICE FOR KEY CONVERSION TO DIFFERENTIATE BETWEEN DIFFERENT NETWORKS
EP1080557B1 (en) Method and arrangement for the computer-aided exchange of cryptographic keys between a first computer unit and a second computer unit
DE602004012233T2 (en) Method of providing a signing key for digital signing, verification or encryption of data
CH656761A5 (en) DATA TRANSMISSION SYSTEM THAT HAS AN ENCRYPTION / DECRYLING DEVICE AT EACH END OF AT LEAST ONE DATA CONNECTION.
EP0477180A1 (en) ALLOCATION OF CODES IN OPEN COMMUNICATION NETWORKS ACCORDING TO DEGREES OF SECURITY.
DE60037390T2 (en) AUTHENTICATION IN A MOBILE COMMUNICATION SYSTEM
DE10026326B4 (en) A method of cryptographically verifying a physical entity in an open wireless telecommunications network
DE112012000971B4 (en) data encryption
DE60116195T2 (en) Device and method for concealing input parameters
DE10393847T5 (en) Method and apparatus for finding shared confidential information without affecting non-shared confidential information
WO1998048389A2 (en) Method for mutual authentication between two units
DE10124427A1 (en) Communication device authentication method compares hash values of transmission and reception devices provided using hash value algorithm
EP0923826B1 (en) Device and method for the cryptographic processing of a digital data stream presenting any number of data
DE60224391T2 (en) Secure access to a subscriber module

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SD SE SG SI SK SL TJ TM TN TR TT TZ UA UG US UZ VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2002743179

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2002743179

Country of ref document: EP

REG Reference to national code

Ref country code: DE

Ref legal event code: 8642

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载