专利名称:提供无线电话网络中的鉴别的方法
技术领域:
本发明涉及到在数字蜂窝式无线电话网中移动无线电话单元与路由子系统,通常称之为固定网之间提供鉴别的方法。更具体地说,本发明的方法通过在可从终端上取下、称为SIM芯片卡(用户身份模块)的含微处理器的卡或模块与无线电话网鉴别中心之间的无线接口提高了鉴别安全性。
GSM数字式无线电话网主要包括多个移动无线电话终端MS和一固定网,其中信令、控制、数据和语音信息按
图1所示进行循环。
例如,网络RR就包括一些主要实体的表示,通过这些实体能够转移供处于位置区中移动无线电话终端MS的SIM卡使用的数据。与交换网络RTC的至少一个自路由交换中心CAA相连接的移动服务交换中心MSC管理着访问包括MS终端等移动终端的通信,这些移动终端在任何给定时间都处在由MSC交换中心所服务的位置区。访问位置寄存器VLR与交换中心MSC相连接并且包含在位置区内定位之移动终端的使用识别码和简档等特性。与移动交换中心MSC相连接的基站控制器BSC主要管理信道对移动终端的分配。与控制器BSC相连接的基站BTS覆盖着MS终端在任何给定时刻所处的无线电话单元。
无线电话网RR还包括一标识位置寄存器(home location register)HLR,标识位置寄存器HLR与鉴别中心AUC合作并通过无线电话网RR的信令网络与移动服务交换中心相连接。
HLR寄存器像VLR寄存器一样,基本上是一数据库,对每个MS终端它都包含有插入该终端之SIM卡,换句话说,拥有该SIM卡之用户的国际识别码(IMSI国际移动用户识别码)、目录号码、用户的用户简档表、以及在任意给定时间该移动终端所连接的VLR寄存器的号码。在位置区之间进行转移时这一号码要更新。
在终端接通或小区间转移时,与终端进行任何通信之前鉴别中心AUC都要提供对用户的鉴别。鉴别中心还保证了在介于终端MS与在任意给定时间与之连接的基站BTS之间的无线接口中进行转移之数据的机密性。为此,鉴别中心AUC按照GSM标准来管理用于确定密钥的鉴别算法A3和算法A8,有时候这两种算法组合成一单一算法A3A8。这些算法也存在于移动终端MS的SIM卡中。鉴别中心AUC还存储专门分配给用户的密钥Ki。这个密钥对应于用户在其预订服务时存储在标识位置寄存器HLR内的用户的IMSI识别码。
为了能够识别用户,必须对移动无线电话终端MS进行鉴别。鉴别中心不是鉴别实际的移动终端MS,而是鉴别它所含的SIM卡。此卡包含有分配给用户的密钥Ki并且借助鉴别算法A3可检验它所知道的密钥而不用对其加以显示。如图2所示,固定网把随机数RAND发送至SIM卡并要求它利用鉴别算法根据密钥和随机数计算出结果。此结果以签名应答SRES的形式发回至固定网。
对于想要建立记入到SIM卡持卡人帐户的无线电话通信的恶意人来说,预期随机数的数值是极其困难的。不知道密钥,恶意人就不能伪造出应答。随机数的长度防止了“攻击者”把目录中随机数-签名应答配对的所有数值存入到它的存储器。
然而,在最近几代移动无线电话中使用的一些新技术却使得能够通过无线电话网络下载程序并运行它们。像使用个人计算机通过因特网那样的方式一样,不幸的是也能够不知不觉地下载病毒和欺骗程序。如从图3能够看到的那样,下载到用户移动无线电话的欺骗程序有可能,例如,允许用户的无线电话MS将签名的应答SRES2不是发至无线电话网而是根据第二个无线电话所发出的鉴别请求发送至第二个移动无线电话MS2(属于恶意人的无线电话)。第二个无线电话在鉴别请求期间将签名应答SRES2(届时得到的)发回至无线电话网,这样恶意人就能够使用第二个无线电话使通话通过用户的帐号。
此外,从使得他/她能够在周末打免费电话中得到好处的恶意用户例如就能受到诱惑而使用同样方法将如此通话办法“再转类”给第三人或同伙。
因此可以认为用户的SIM卡已经被“虚拟地克隆了”。
本发明的目的是对所提供的上述鉴别方法的缺点给出一种解决办法,特别是使所述的攻击变得无效而又不用修改无线电话网的硬件。
为此,给出了通信网络中在第一实体与第二实体间进行鉴别的方法,其包括的步骤是将分别存储在第一实体和第二实体中的鉴别密钥以及由第二实体产生并传输的随机数分别用存储在第一实体和第二实体中的第一组全同算法应用到第一实体;及在第二实体中将由存储在第一实体中之第一算法所产生并传输给第二实体的应答与由存储在第二实体中之第一算法所产生的应答结果加以比较。所述方法的特征在于将随机数应用于第一算法的步骤是通过变换该随机数以便得到可应用于第一算法的变换了的随机数的预先步骤来进行的,所述的预先变换步骤包括将随机数以及先前鉴别的应答结果应用于分别存储在第一实体和第二实体中的两个全同算法;及所述方法还包括将第一算法所产生的应答分别存储进第一实体和第二实体的步骤。
根据本发明方法的一个优选实施方案,第一实体和第二实体分别为无线电话网内的无线电话终端和固定网。将随机数以及先前鉴别的应答结果应用于第二组算法的步骤使得能够抵御如上所述“虚拟克隆”攻击SIM卡的任何风险。由用户的无线电话发送至恶意人的无线电话的应答结果不允许使后者被网络鉴别为是用户的无线电话。恶意人无线电话所传递的应答结果取决于与提交给移动无线电话先前鉴别要求相对应的签名的应答,而由鉴别中心计算出的应答结果则由与固定网所做出的用户最新鉴别相对应的最新应答结果所决定。发自恶意人无线电话的鉴别请求遭到了网络的拒绝。
本发明还涉及到识别模块,如用户身份模块,在第一实体中如移动无线电话终端,识别模块的特征在于,它包括根据本发明存储至少一个第二算法的装置;存储对先前鉴别之应答结果的装置;及实施至少应用于第二算法和第一算法步骤的装置。
通过阅读下述说明并查看其附图,其他特性和优点会变得显而易见,附图中图1是数字蜂窝式无线电话网的示意图;图2表示出根据现有技术无线电话鉴别中的步骤;图3表示出使“攻击者”能够虚拟克隆用户身份卡的步骤;图4表示出根据本发明提供鉴别的方法中的步骤;及图5表示通过实施根据本发明所提供之鉴别方法“虚拟克隆”攻击失效的情况。
下面在GSM无线电话网RR的情况下说明本发明的方法,该网络已在图1中给出,其只是在鉴别中心AUC以及移动无线电话终端的SIM卡中增加了软件修改了硬件。
在随后的说明中,固定网VLR/HLR-AUC被看成是通过无线接口IR,包括基站BTS、基站控制器BSC、含访问地址寄存器VLR的交换中心MSC以及HLR-AUC对等与移动无线电话终端MS相连接的实体链。图1还表示出,移动无线电话终端MS包括有含微处理器的模块,如SIM芯片卡。SIM芯片卡基本上包括只该存储器ROM、非易失性EEPROM存储器、及RAM存储器。只读存储器ROM也称为程序存储器,其通常包括操作系统和应用算法。非易失性EEPROM存储器其主要包含表示持卡人使用情况、电话号码簿、秘密代码或鉴别密钥以及程序和算法等特性的全部数据。RAM存储器用来处理由操作系统主要在卡与装卡的移动无线电话终端间进行交换时所使用的数据。
图2表示出移动无线电话终端MS与固定网之间正在进行鉴别的方法中的主要步骤。无线电话终端开机时,在拨打电话之前或甚至在小区间转移期间,无线电话网VLR/HLR-AUC根据用户识别码为IMSI的移动无线电话MS的发射E11将鉴别请求E12发送至移动无线电话终端。鉴别请求伴随有随机数RAND从固定网至移动无线电话终端MS的传输。在步骤E13,后者命令SIM卡对固定网的鉴别请求发出一个签名的应答SRES。在步骤14,通过鉴别算法AA产生这个签名应答,由固定网发送的鉴别密钥Ki和随机数RAND就应用于鉴别算法AA。密钥Ki事先存储在芯片卡中并在用户使用开始时已分配。终端接收由该卡所发出的应答SRES并在步骤15将其再传输给固定网。在步骤16,固定网VLR/HLR-AUC使用存储在鉴别中心与用户IMSI相对应的算法AA来产生出对密钥Ki应答RSRES的结果。在步骤17,由鉴别中心AUC将应答结果RSRES与由移动无线电话终端MS发回的签名应答SRES加以比较。如果应答结果RSRES与签名应答SRES相符,用户的鉴别请求得到满足,于是用户能够使用该终端打电话。不然,鉴别申请没有得到满足,用户就不能够使用该移动无线电话。
图3表示出对用户SIM卡的“虚拟克隆”攻击。如前面所阐述的那样,移动无线电话中所使用的新技术使得有可能将程序通过无线电话网下载到无线电话上。恶意人或“攻击者”想要使用第二移动无线电话MS2拨打电话而用户的帐户却没有让后者了解这点。
利用下载到用户无线电话MS上的欺骗程序,恶意人使得用户的无线电话能够对不是由网络发出而是由第二移动无线电话发出的鉴别请求作出响应。用户的移动无线电话MS是遵照步骤E111-E117合法鉴别的。第二移动无线电话MS2向固定网VLR2/HLR-AUC请求对用户帐户的鉴别E121。第二移动无线电话MS2将用户的IMSI发送至所述的固定网VLR2/HLR-AUC,后者通过在步骤E122向前者发送随机数RAND2再要求前者提供鉴别。恶意人的无线电话MS2向第一移动无线电话MS提交鉴别请求E123,并向其发送先前由固定网传输的随机数RAND2。用户的移动无线电话MS要求SIM卡在步骤E124以存储在SIM卡中的密钥Ki和随机数RAND2作为输入数据使用SIM卡的鉴别算法AA来产生出签名应答SRES2。无线电话MS在步骤E125接收应答SRES2并在步骤E126再将其发送至恶意人的移动无线电话MS2。后者在步骤E127将签名应答SRES2发送至固定网VLR2/HLR-AUC。
同时,固定网VLR2/HLR-AUC在步骤E131通过把随机数RAND2和用户的鉴别密钥Ki应用到鉴别中心AUC中的鉴别算法AA而产生出应答结果RSRES2。应答结果RSRES2等于签名应答SRES2。因此在步骤E132固定网就鉴别出第二移动无线电话MS2是为用户所有。这样恶意人就能够使用用户的帐户利用他/她自己的无线电话来打电话。
为了解决关于图3所述攻击而引起的问题,本发明的方法通过增加如图4所示的步骤E24和步骤E27已经对关于图2所述的鉴别方法进行了修改,步骤E24在由移动无线电话MS之SIM卡所进行的签名应答SRESn计算步骤E25之前,步骤E27在由鉴别中心AUC所进行的应答结果RSRENn计算步骤E28之前。图4说明了根据本发明所提供的鉴别方法,其中,在固定网VLR/HLR-AUC在步骤E21接收到用户的IMSI之后,它就在步骤E22向移动无线电话MS提交鉴别请求。在步骤E23,无线电话MS要求SIM卡根据存储在SIM卡中的鉴别密钥Ki以及随机数RANDn计算出签名应答。在计算签名应答SRESn之前,SIM卡在步骤E24将与移动无线电话MS先前鉴别请求相对应的随机数RANDn和签名应答SRESn-1应用到存储在SIM卡中的第二变换算法AT。随机数RANDn的变换结果TRANDn在步骤E25应用到存储在SIM卡中的鉴别算法AA。这样算出的应答SRESn存储在(图4中未示出此步骤)SIM卡中以便在下一鉴别期间使用。所述的应答SRESn由移动无线电话MS在步骤E26发回至固定网VLR/HLR-AUC。另一方面,固定网VLR/HLR-AUC在步骤E28借助于存储在鉴别中心AUC的鉴别算法AA计算出应答结果RSRESn,在此鉴别算法AA中应用了用户密钥Ki以及从也存储在鉴别中心AUC中的变换算法AT得到的随机数TRANDn,在鉴别算法AA中还应用了在步骤E22传输给移动无线电话MS的随机数RANDn以及对应于先前鉴别请求的应答结果RSRESn-1。这样计算出的新应答结果存储在(图4中未示出此步骤)鉴别中心AUC以便在下一鉴别期间使用。鉴别中心AUC在步骤E29将所述的应答结果RSRESn与移动无线电话MS在步骤E26所传输的签名应答SRESn加以比较。如果应答结果RSRESn与签名应答SRESn相一致,用户的鉴别就得到满足,用户能够使用移动无线电话MS打电话。否则,鉴别失败并且用户就不能使用他/她的移动无线电话MS打电话。
在第一种鉴别的情况下,不可能分别地使用来自先前鉴别的应答和应答结果。于是按惯例建立的具有某一数值的数就与随机数一起应用到变换算法。在优选的选择方案中,这个数的数值为零。
为了检测其是否是第一鉴别,SIM卡可以使用例如由固定网VLR/HLR-AUC通过无线电话终端MS传输给它的随机数的数值。例如,随机数的最高位为零值就可以表示它是第一鉴别。最高位为非零值时就告诉SIM卡,其至少是第二鉴别。还可以使用其他配置和技术解决办法来处理第一鉴别的特定情况。
变换算法AT的性质可能对根据本发明所提供的鉴别方法的安全性有影响。因而,最好通过所谓单向函数来实施变换算法。这种函数使得能够非常易于计算TRANDn=AT(RANDn,SRESn-1),但在已知TRANDn和算法AT时却特别难于计算数RANDn和SRESn-1。
另外,最好使用所谓无碰撞函数来建立变换算法AT。这种函数在AT(RAND1,SRES1)等于AT(RAND2,SRES2)的情况下不易求出配对(RAND1,SRES1)和(RAND2,SRES2)。
在优选的选择方案中,利用既满足单向函数特性又满足无碰撞函数特性的散列函数来建立变换算法。举例来说,所用的散列函数为1995年4月17日FIPS标准(联邦信息处理标准)180-1所规定的SHA-1算法(Secure Hash Algorithm-Version 1)。于是设置了截断变换随机数的步骤。作为这种情况的实例,可以保留128个最高位以便遵守GSM中所用算法AA的技术要求。
图4中所提出的对鉴别方法的修改使得SIM卡的“虚拟克隆”攻击,即先前在图2中示出的攻击完全失效。
下面关于图5所述明的情况涉及的是根据本发明所提供的鉴别方法按步骤E211-E216经合法鉴别的用户以及配备有能够将用户IMSI在步骤E221传送至固定网VLR2/HLR-AUC且不为用户所知的第二无线电话MS2的恶意人。利用先前下载到用户移动无线电话MS上的欺骗程序,无线电话MS在步骤E223从用户接受了由第二移动无线电话MS2所发送的鉴别请求。第二移动无线电话MS2使用在步骤E222由固定网VLR2/HLR-AUC向移动无线电话MS2传输的随机数RANDm作为其数据。在步骤E224,用户的无线电话MS请求用户的SIM卡产生签名应答SRESm。在步骤E225,SIM卡将随机数RANDm和与先前鉴别相对应的签名应答SRESn应用到变换算法AT。这样得到的随机数TRANDm以及鉴别密钥Ki在步骤E226再应用到SIM卡的鉴别算法AA以便建立签名应答SRESm。在步骤E227,用户的移动无线电话MS将该签名应答SRESm发回至第二移动无线电话MS2并在步骤E228将其传送给固定网VLR2/HLR-AUC。另一方面,固定网VLR/HLR-AUC通过鉴别中心AUC在步骤E231建立应答结果RSRESm并在步骤E233将其与签名应答SRESm加以比较。在步骤E232后得到应答结果RSRESm,其包括将随机数RANDm以及用户先前合法鉴别请求后存储在鉴别中心的签名应答SRESm-1应用到存储在该鉴别中心AUC的变换算法AT。这样得到的随机数TRANDm在步骤E231与用户密钥鉴别Ki一起应用到存储在鉴别中心AUC的鉴别算法AA。得到的应答结果在步骤E233与第二移动无线电话MS2传输的签名应答SRESm进行比较。显然比较失败了,因而恶意人就不能够利用用户的帐户打电话。
因而根据本发明所提供的鉴别方法很好地阻止了对用户SIM卡的所谓“虚拟克隆”攻击。
虽然对本发明是根据其关于无线电话网在移动无线电话终端与固定网之间的一些优选实施方案而进行说明的,但是根据本发明所提供的鉴别方法却能够在具有两个实体的任何电信网络中实施,这两个实体中一个需对另外一个进行鉴别,其中每个实体都可以是一组预先确定并连接的实体。
权利要求
1.通信网(RR)中提供在第一实体(MS)与第二实体(VLR,HLR,AUC)之间的鉴别的方法,该方法包括以下步骤将分别存储在第一实体和第二实体中的鉴别密钥(Ki)以及由第二实体(VLR,HLR,AUC)产生并从第二实体传输来(E22)的随机数(RANDn)分别用存储在第一实体和第二实体中的第一组全同算法(从)应用到第一实体(MS),在第二实体(VLR,HLR,AUC)中将由存储在第一实体(MS)中之第一算法(从)所产生(E25)并传输至(E26)第二实体(VLR,HLR,AUC)的应答(SRESn)与由存储在第二实体中之第一算法所产生(E28)的应答结果(RSRESn)进行比较,其特征在于,把随机数(RANDn)应用到(E14,E15)第一算法(AA)的步骤是通过将所述的随机数加以变换以得到应用到第一算法(AA)的变换随机数(TRANDn)的先前步骤来进行的,所述的先前变换步骤包括把随机数(RANDn)及先前鉴别的应答结果(SRESn-1,RSRESn-1)应用(E24,E27)到分别存储在第一实体和第二实体中的第二组算法(AT),并且,所述方法还包括把由第一算法(从)所产生的应答(SRESn,RSERSn)分别存储到第一实体和第二实体的步骤。
2.根据权利要求1的方法,其特征在于,利用第二算法(AT)对随机数(RANDn)进行变换的先前步骤(E24,E27)执行所谓单向无碰撞函数。
3.根据权利要求2的方法,其特征在于,所谓的单向无碰撞函数为散列函数。
4.根据前述权利要求中任何一个权利要求的方法,其特征在于,第一实体(MS)与第二实体(VLR,HLR,AUC)之间的鉴别在其位置和数值先前已按惯例建立的至少一位呈现第一鉴别的特征的情况下就被认为是该第一实体(MS)的第一鉴别。
5.根据权利要求4的方法,其特征在于,在第一鉴别期间,所述先前变换步骤包括将随机数(RANDn)以及代替先前鉴别的应答结果(SRESn-1,RSRESn-1)一个数应用(E24,E27)到第二算法(AT),该数的数值按惯例设定。
6.根据权利要求5的方法,其特征在于,在第一鉴别期间与随机数(RANDn)一起应用(E24,E27)到变换算法(AT)的这个数的数值是零。
7.根据前述权利要求中任何一个权利要求的方法,其特征在于,第一实体和第二实体分别为蜂窝式无线电话网中的移动无线电话终端(MS)和固定网(VLR,HLR,AUC)。
8.第一实体(MS)中的识别码模块(SIM),其特征在于,该识别码模块(SIM)包括至少存储第二算法(AT)和至少由第一算法(AA)所建立的签名应答(SRESn-1)的装置(ROM,EEPROM,RAM)以实施至少应用(E25,E26)根据权利要求1-7的第一和第二算法(AA,AT)的步骤。
全文摘要
本发明涉及到提供无线电话网中的鉴别方法。本发明的方法提高了在电信网两个单元之间,特别是移动终端(MS)和固定网之间,例如蜂窝式无线电话网中位置寄存器(VLR,HLR)和鉴别中心(AUC)之间进行鉴别的安全性。根据本发明,在产生签名应答(SRESn)之前,SIM卡首先应用包括对网络所传输的随机数位使用变换算法(AT)进行变换的预备步骤,这样就把经该步骤变换后的随机数位(RAND)间接地应用(E24,E27)到鉴别算法(从)以便得到签名应答。此外,SIM卡还把所产生的应答(SRESn)存储起来供下一鉴别请求使用。
文档编号H04L9/32GK1890919SQ200480035933
公开日2007年1月3日 申请日期2004年10月1日 优先权日2003年10月2日
发明者P·吉拉尔, C·布西耶 申请人:格姆普拉斯公司