专利名称:用初始非保密通信传送敏感信息的方法
诸相关的申请和本主题申请同时提出的下列诸申请都涉及本主题申请,因此将它们整体地作为参考文献和本主题申请结合在一起由本主题申请的发明者提出的申请号未知,标题为“用于两个方面验证的方法和密钥共识”的申请;由本主题申请的发明者提出的申请号未知,标题为“用于在一个无线通信系统中更新秘密共享数据的方法”的申请;由本主题申请的发明者提出的申请号未知,标题为“用于在一个无线系统中对无线的通信进行保密的方法”的申请;由本主题申请的发明者和Adam Berenzweig提出的申请号未知,标题为“用无线的通信与口令协议建立一个密钥的方法和口令协议”的申请。
本发明涉及一个用初始非保密通信传送敏感信息的方法。
某种初始非保密通信,如无线的通信,与通信的诸初始保密形式如诸专用的通信信道相比较,常常提供很大的通信灵活性和效率。遗憾的是,因为如诸无线的通信信道的通信是初始非保密,所以一位攻击者能够有害地破坏在两个方面之间的通信。
在一个无线通信系统中,典型地人们将由诸移动电话机用户购得的常称为诸移动电话机的诸手机拿到一位网络服务供应商处,并将诸长密钥和诸参数输入手机以便激活网络服务。服务供应商的网络也保留一个对于移动电话机的诸长密钥和诸参数的复制件,并将它们与移动电话机结合起来。如众所周知的,在这些长密钥和参数的基础上,能够在网络和移动电话机之间无线保密地传送信息。
另一方面,用户通过一条保密的通信信道(例如一条陆上通信线路或邮件)接收诸长密钥,并且必须手工地将这些代码输入移动电话机。
因为和无线不同,我们通过一条保密的通信信道或在网络服务供应商处实施诸长密钥和诸参数的传送,所以传送对于诸无线的攻击是保密的。然而,这种保密地传送信息的方法给移动电话机用户设置了某些负担和限制。优先地,诸移动电话机用户应该能够购买他们的诸手机,然后从任何服务供应商得到服务,而不用实际上将诸手机拿到网络服务供应商所在地或手工地输入诸长代码。远距离地激活移动电话机和向移动电话机提供服务的能力是诸北美无线标准的一部分,并称为“提供无线的服务”(OTASP)。
现在,北美蜂窝式标准IS41-C规定了一个为通过一条初始非保密的通信信道在两方面之间建立一个秘密密钥(即,为了传送敏感信息)用已知的迪菲-赫尔曼(DH)密钥共识的OTASP协议。
图1说明在IS41-C中使用的DH密钥共识对为在一台移动电话机和一个网络之间建立一个秘密密钥的应用。即,图1以一种为了清楚起见的简化方式表示根据DH密钥共识在一个网络10和一台移动电话机20之间的通信。如此中所用的,术语网络涉及诸验证中心,诸本地寄存器,诸访问地寄存器,诸移动式交换中心和由一位网络服务供应商操作的诸基站。
网络10产生一个随机数RN,并计算(g∧RN模p)。如图1所示,网络10将一个512位的素数p,由素数p产生的群的生成元g并(g∧RN模p)发送给移动电话机20。接着,移动电话机20产生一个随机数RM,计算(g∧RM模p),并将(g∧RM模p)发送给网络10。
移动电话机20使从网络10接收的(g∧RN模p)增加到功率RM以便得到(g∧RMRN模p)。网络10使从移动电话机20接收的(g∧RM模p)增加到功率RN以便也得到(g∧RMRN模p)。移动电话机20和网络10两者得到同一个结果,并建立起至少64个有效位作为长期密钥,该长期密钥称为A-密钥。A-密钥起着一个根密钥的作用,为了驱动用于使移动电话机20和网络10之间的通信实现保密的诸其它密钥。
用DH密钥交换遇到的诸问题中的一个是不对它进行验证并对一个在中间的人的攻击很敏感。例如,在上述的移动电话机-网络的两个方面的例子中,一位攻击者能够假冒网络10,然后又假冒接入网络10的移动电话机20。这样一来,当A-密钥在移动电话机20和网络10之间转播诸消息,以便满足诸验证要求时,攻击者能够选择并知道A-密钥。DH密钥交换对诸脱机式字典攻击也很敏感。
另一个用初始非保密的通信传送敏感信息的协议是Carroll-Frankel-Tsiounis(CFT)密钥分发协议(请见Carroll等人的“用于诸慢计算装置的有效的密钥分发对诸无线系统快速地实现无线的激活”,IEEE Symposium on Security and privacy,1998年5月)。CFT密钥分发协议依靠一个方面具有认证当局(CA)的公开密钥的假设。为了讨论的目的,我们将在网络10和移动电话机20之间无线的通信的环境中对这个协议进行详细的描述。
一个认证当局(CA)是一个有它自己的特殊密钥的值得信任的机构。较具体地说,认证当局(CA)有一个公开密钥PKCA和一个秘密的解密密钥dkCA。例如,一位网络服务供应商来到认证当局(CA)要求认证当局(CA)签署他们的公开密钥PKnet。即,认证当局(CA)对公开密钥PKnet与其它信息一起进行散列(hash),并产生一个对于网络的等于ENCdkCA(h(PKnet+其它信息))的一个认证,ENCdkCA(h(PKnet+其它信息))是用一个加密/解密算法ENC和作为解密密钥的dkCA对PKnet和其它信息的散列进行的解密。然后,一个知道PKCA的一方能够对认证进行加密,以便得到PKnet和其它信息的散列。另一信息代表网络要用它的公开密钥传送的任何其它信息。
现在我们将对于图2描述CFT密钥分发协议。图2以一个为了清楚起见的简化形式表示根据CFT密钥分发协议在网络10和移动电话机20之间的通信。如图所示,网络10将它的公开密钥PKnet,其它信息和认证发送给移动电话机20。移动电话机20用认证当局(CA)的公开密钥PKCA,从认证得到公开密钥PKnet加其它信息的散列(hash)。移动电话机20也对公开密钥PKnet加从网络10不受限制(in the clear)地接收到的其它信息实施散列。
然后,如果散列的结果与从认证得到的结果相匹配,则移动电话机20检验公开密钥PKnet的真实性。在检验了公开密钥PKnet的真实性后,移动电话机20用一个配置在那里的随机数发生器产生一个第一个随机数作为一个会话密钥SK并产生一个第二个随机数AP用于诸检验的目的。移动电话机20根据一个加密/解密算法ENC用公开密钥PKnet对会话密钥SK和随机数AP进行加密。表达式ENCPKnet(SK,AP)代表这种加密,并将加密结果发送给网络10。
网络10用解密密钥dknet,结合公开密钥PKnet对移动电话机20的输出进行解码,以便得到会话密钥SK和随机数AP。如一位熟练的技术人员将认识到的,保密性要求只有网络10知道解密密钥dknet。下面,网络10根据加密/解密算法ENC用会话密钥SK对A-密钥,上面讨论的根密钥和随机数AP进行加密,并将加密结果发送给移动电话机20。
移动电话机20用会话密钥SK对网络10的输出进行解密,以便得到A-密钥和随机数AP。然后,移动电话机20检验从网络10的输出解密得到的随机数AP是否与原来由移动电话机20发送给网络10的随机数AP相匹配。如果是,则与一位攻击者不同,作为A-密钥已经来自网络10,移动电话机20接受A-密钥,并遵照任何已知的通信协议(例如,IS41-C);其中话音通信最终用从A-密钥导出的诸密钥通过加密而不是验证进行。作为在激活过程中的下一个步骤,在移动电话机20和网络10之间建立一个加密的话音信道,网络服务供应商要求来自移动电话机用户的授权信息(例如,用于付款的信用卡信息)。如果接受授权信息,则对网络10验证移动电话机用户,并在将来向移动电话机用户提供服务。
如果用同一个手机对OTASP重复A-密钥,则CFT协议是不保密的。假设一台移动电话机20用它的序号接入用于OTASP的网络。在这一点上攻击者阻断接入。下面,攻击者采集一个随机会话密钥SK和一个随机数AP,并用被阻断的移动电话机的序号将它们发送给网络。网络用攻击者恢复的加密的A-密钥作出响应,然后攻击者使连接失败。现在攻击者具有用于那个移动电话机的A-密钥。如果合法的移动电话机再次用它自己的会话密钥SK和随机数AP接入网络,则网络再次将同一个A-密钥传送给移动电话机,用来自移动电话机的会话密钥SK对它进行加密。现在移动电话机将有A-密钥,在加密话音信道上的用户将给出授权信息;于是成功地完成了服务供应。遗憾的是,攻击者已经有了A-密钥,以后他也能用A-密钥进行诸欺骗性的呼叫。
一个阻断这种攻击的方法是必须使网络对每个OTASP尝试产生一个不同的A-密钥,即便每个OTASP尝试都来自同一个移动电话机。CFT的诸创始人隐含地假定了这一点,但是因为一个密钥分发协议不应该要求这样一个限制,所以必须使这一点很明显。如果加上了这种限制,则网络不做如用一个伪随机函数(PRF)将一个A-密钥和一台移动电话机结合起来或诸其它的类似的方案的诸事情。
其次,一个拒绝业务攻击的温和的形式用CFT协议是可能的。一位攻击者在整个协议中用另一个id(识别)号数代替移动电话机的真实的id号数。协议将是成功的但是网络将不激活真实的移动电话机的id号数。于是,拒绝用户的接入系统的以后的诸尝试。因为用在通信中的移动电话机的id号数不是由移动电话机发送给网络的会话密钥SK和随机数AP的公开密钥加密的一部分,所以这种攻击是可能的。
在根据本发明的用非保密通信传送敏感信息的方法中,一个第一方接收一个第二方的一个公开密钥,并产生一个加密结果。通过用公开密钥对至少一个的第一个随机数实施密钥加密产生加密结果。然后第一方将加密结果发送给第二方,第二方对加密结果进行解密以便得到第一个随机数。然后通过一个用第一个随机数建立的第一条加密和验证了的通信信道,将授权信息从第一方发送给第二方。如果第二方接受授权信息,则进一步通过一个用第一个随机数建立的第二条加密和验证了的通信信道,将敏感信息从第二方发送给第一方。
在对无线工业的应用中,一个在一个无线系统中的网络起着第一方的作用,而一台移动电话机起着第二方的作用。在这种应用中,将一个如一个A-密钥那样的根密钥作为敏感信息传送出去。
与诸现有协议不同,根据本发明的方法直到已经接受授权信息后才允许传送敏感信息。而且,通过对第一方的识别符附加地实施密钥加密,能够避免一个对业务攻击的拒绝。
从下面给出的详细描述和仅仅为了说明而给出的所附的诸图,我们将对本发明有较充分的认识,其中在诸不同的图中,相同的参照数字标记相同的对应部分,其中图1表示根据迪菲-赫尔曼密钥协议在一个网络和一台移动电话机之间的通信;图2表示根据Carroll-Frankel-Tsiounis密钥分发协议在一个网络和一台移动电话机之间的通信;图3表示根据本发明的协议在一个网络和一台移动电话机之间的通信。
我们将在将用初始非保密通信传送敏感信息的方法用于一个A-密钥在一个网络10和一台移动电话机20之间无线的通信的情形中,对该方法进行描述。我们应该懂得本发明能应用于在诸方面(不仅是一台移动电话机和一个网络,并且不仅是无线的通信)之间任何信息(不仅是一个A-密钥)的通信。例如,根据本发明的方法能应用于通过因特网在诸方面之间的通信。然而,为了清楚起见,我们将在将根据本发明的方法应用于一个A-密钥在网络10和移动电话机20之间无线的通信的情形中,对该方法进行描述。
图3表示根据本发明的协议在网络10和移动电话机20之间的通信。如图所示,网络10将它的公开密钥PKnet,其它信息和对移动电话机20的认证发送出去。移动电话机20用CA的公开密钥PKCA得到公开密钥PKnet加来自认证的其它信息的散列。即,将由CA使用的诸加密/解密和散列算法和CA的公开密钥预先存储在移动电话机20中,并且移动电话机20用加密/解密算法和CA的公开密钥PKCA对认证进行加密,以便得到公开密钥PKnet和任何其它信息的散列。移动电话机20也用散列算法对公开密钥PKnet加从网络10不受限制地接收到的其它信息进行散列。
然后如果散列的结果与从认证得到的结果相匹配,则移动电话机20检验公开密钥PKnet的真实性。
在已经检验了公开密钥PKnet的真实性后,移动电话机20用配置在那里的一个随机数发生器产生一个随机数作为一个会话密钥SK。移动电话机20根据已知的加密/解密算法ENC用PKnet对会话密钥SK和移动电话机20的识别号数ID进行加密,并将加密的结果发送给网络10。优先地,加密/解密算法ENC是已知的RSA算法。除了指出不同的地方外,在本申请说明书中描述的所有的加密和解密都是根据RSA算法实施的。然而,一位熟练的技术人员将认识到可以用诸其它的加密/解密算法,如Rabin(拉宾)算法以及多于一种的算法。
网络10用解密密钥dknet与公开密钥PKnet一起对移动电话机20的输出进行解密,以便得到会话密钥SK和移动电话机20的识别号数ID。网络10用会话密钥SK作为一个根密钥(A-密钥),根据任何已知的协议如IS41-C在它本身和移动电话机20之间建立一条加密的话音信道。而且,用任何已知的消息验证算法如HMAC算法对该话音信道进行消息验证。
网络服务供应商通过加密的话音信道请求来自移动电话机用户的授权信息(例如,用于付款的信用卡信息)。如果接受授权信息,则协议继续下去。然而,如果不接受授权信息,则协议终止。
一旦接受了授权信息,则网络10用为了加密的任何已知的协议如在IS41-C中的协议和为了消息验证的任何已知的协议如HMAC对移动电话机20建立起一条加密和消息验证了的控制信道。在这些协议中,将会话密钥SK用作一个根密钥或A-密钥。
优先地,如由本主题申请的一位发明者同时提出的标题为“用于两个方面验证的方法”和“对通过一条非保密通信信道的信息传送进行保护的方法”的两个申请中的一个中公开的那样,对用于加密的协议,如IS41-C协议进行修改以便实施验证。在这里,我们将同时提出的标题为“用于两个方面验证的方法”和“对通过一条非保密通信信道的信息传送进行保护的方法”的两个申请整体地作为参考文献和本主题申请结合起来。
此外,代替分别建立的验证和加密了的话音信道和验证和加密了的控制信道,我们同时建立这两个信道。作为一个进一步可供选择的方案,我们不是必须通过一条话音信道来传送授权信息,作为又一个可供选择的方案,我们用同一条加密和验证了的通信信道既传送授权信息又传送敏感信息。
网络10通过验证和加密了的控制信道将一个A-密钥发送给移动电话机20。而且,网络10用从移动电话机接收的ID将这个A-密钥和移动电话机20关联起来,并将对每个OTASP尝试发出同一个A-密钥。然后,在新发送的A-密钥的基础上重新形成在移动电话机20和网络10之间的通信。
和CFT密钥分发协议不同,在根据本发明的协议的一个实施例中,网络通过识别号数将一个特别的A-密钥和一台移动电话机20结合起来,而且网络不需要对于每个OTASP用一个随机地建立的A-密钥。此外,因为根据本发明的协议直到接收到用户的授权信息后才建立A-密钥,所以协议如上面讨论的那样能抵抗诸在中间的人的攻击。又,将移动电话机的id对网络进行加密,防止拒绝业务攻击。
我们已经如此地描述了本发明,显然我们可以用许多不同的方式对本发明进行改变。我们不认为这些改变偏离本发明的精神和范围,我们有意将所有这些改变都包括在下面的权利要求书的范围内。
权利要求
1.一种用初始非保密通信将敏感信息传送给一个第一方的方法,它包括(a)在所述的第一方处接收一个第二方的一个公开密钥;(b)通过用所述的公开密钥对至少一个的第一个随机数实施密钥加密产生一个加密的结果;(c)将所述的加密结果从所述的第一方传送给所述的第二方;(d)通过一个用所述的第一个随机数建立起来的第一条加密和验证了的通信信道将授权信息传送给所述的第二方;和(e)通过一个用所述的第一个随机数建立起来的第二条加密和验证了的通信信道从所述的第二方接收敏感信息。
2.权利要求1的方法,其中所述的步骤(a)与所述的公开密钥一起接收所述的公开密钥的一个认证;并进一步包括,(f)在所述的认证的基础上检验所述的公开密钥。
3.权利要求1的方法,其中所述的步骤(b)通过用所述的公开密钥对所述的第一个随机数和对于所述的第一方的一个识别符实施密钥加密,产生所述的加密的结果。
4.权利要求1的方法,所述的第一和第二条加密和验证了的通信信道是同一条信道。
5.权利要求1的方法,其中所述的步骤(d)包括(d1)用所述的第一个随机数建立所述的第一和第二条加密和验证了的通信信道;和(d2)通过所述的第一条加密和验证了的通信信道将授权信息发送给所述的第二方。
6.权利要求1的方法,其中所述的第一方是在一个无线通信系统中的一台移动电话机和所述的第二方是在一个无线通信系统中的一个网络。
7.权利要求6的方法,其中所述的步骤(e)从所述的网络接收一个根密钥,作为所述的敏感信息。
8.权利要求6的方法,其中所述的第一条加密和验证了的通信信道是一条话音信道。
9.权利要求1的方法,在所述的步骤(b)之前,进一步包括(f)至少产生所述的第一个随机数。
10.一种用初始非保密通信信道将来自一个第一方的敏感信息传送出去的方法,它包括(a)输出所述的第一方的一个公开密钥;(b)在所述的第一方处接收来自一个第二方的一个加密结果,所述的加密结果是一个用所述的第一方的所述的公开密钥,对至少一个的第一个随机数实施密钥加密产生的结果;(c)对所述的加密结果进行解密,以便得到所述的第一个随机数;(d)通过一个用所述的第一个随机数建立起来的第一条加密和验证了的通信信道从所述的第二方接收授权信息;和(e)如果所述的授权信息是可接受的,则传送给通过一个用所述的第一个随机数建立起来的第二条加密和验证了的通信信道将敏感信息传送给所述的第二方。
11.权利要求10的方法,其中所述的步骤(a)与所述的公开密钥一起输出所述的公开密钥的一个认证。
12.权利要求10的方法,其中所述的第一和第二条加密和验证了的通信信道是同一条信道。
13.权利要求10的方法,其中所述的步骤(d)包括(d1)用所述的第一个随机数建立所述的第一和第二条加密和验证了的通信信道;和(d2)通过所述的第一条加密和验证了的通信信道从所述的第二方接收授权信息。
14.权利要求10的方法,其中所述的第一方是在一个无线通信系统中的一个网络和所述的第二方是在一个无线通信系统中的一台移动电话机。
15.权利要求14的方法,其中所述的加密结果是一个用所述的第一方的所述的公开密钥,对所述的第一个随机数和对于所述的移动电话机的一个识别符实施密钥加密的结果;所述的步骤(c)对所述的加密结果进行解密,以便得到所述的第一个随机数和对于所述的移动电话机的所述的识别符;和所述的步骤(e)将一个根密钥作为所述的敏感信息传送给所述的移动电话机;并进一步包括,(f)将所述的根密钥和对于所述的移动电话机的所述的识别符结合起来。
16.权利要求14的方法,其中所述的步骤(e)将一个根密钥作为所述的敏感信息传送给所述的移动电话机。
17.权利要求14的方法,其中所述的第一条加密和验证了的通信信道是一条话音信道。
全文摘要
在用非保密通信传送敏感信息的方法中,一个第一方接收一个第二方的一个公开密钥,通过用公开密钥对至少一个的第一个随机数实施密钥加密产生一个加密结果,并通过一条非保密的通信信道将加密结果发送给第二方。第二方对加密结果进行解密以便得到第一个随机数。然后通过一个用第一个随机数建立起来的第一条加密和验证了的通信信道从第一方将授权信息发送给第二方。
文档编号H04L9/32GK1249636SQ9911026
公开日2000年4月5日 申请日期1999年7月29日 优先权日1998年7月31日
发明者萨瓦·帕特尔 申请人:朗迅科技公司