专利名称:在无线系统中加密无线通信的方法
与本申请同时提交的下列各申请是与本申请的主题相关的,并以这些申请的整体援引于此以资参考,这些申请是发明人为本申请的发明人、申请号未定的、名称为METHOD FOR TWO PARTYAUTHENTICATION AND KEY AGREEMENT的申请;发明人为本申请的发明人、申请号未定的、名称为METHOD FOR UPDATINGSECRET SHARED DATA IN A WIRELESS COMMUNICATIONSYSTEM的申请;发明人为本申请的发明人、申请号未定的、名称为METHOD FOR TRANSFERRING SENSITIVE INFORMATIONUSING INTIALLY UNSECURED COMMUNICATION的申请;和发明人为本申请的发明人和Adam Berenzweig、申请号未定的、名称为METHOD FOR ESTABLISHING A KEY USING OVER-THE-AIR COMMUNICATION AND PASSWORD PROTOCOL ANDPASSWORD PROTOCOL的申请。
本发明涉及一种用于在无线系统中加密无线通信的方法。
在无线通信系统中,一般被移动用户购买的经常称为移动台的手机人网要到网络服务提供商处,和将长的密钥和各参数输入到该手机以启动服务。服务提供商的网络还保持和与该移动台用于该移动台的长密钥和各参数的联系。众所周知,基于这些长密钥和各参数,信息可以在网络和移动台之间无线保密地进行传递。
另外一种情况下,与电话/陆地线路一样,用户通过加密的通信信道从服务提供商接收长(long)密钥,和一般必须输入这些码到该移动台中。
因为长密钥和参数的传送是经电话/陆地线路或在与无线方式不同的网络提供商的方式执行的,这种传送在防备无线攻击是保密的。但是,这种保密传送信息的方法对移动用户来说增加了某些负担和限制。最好是,移动用户将能够购买他的手机,然后从任何服务提供商获得服务,而不必须实地带着手机到提供商的地点或者必须手动地和无差错地输入长密钥到移动台中。远端启动和装备移动台的能力是北美无线标准的一部分,和被称为“无线装备”(OTASP)。
当前,北美蜂窝标准IS41-C规范了OTASP协议,该协议利用公知的Diffe-Hellban(HD)密钥协定建立两方之间的加密密钥。
图1表示建立移动台20和IS41-C中使用的网络10之间的加密密钥的HD密钥协定的应用。即,图1以简化以便清楚的方式表示按照HD密钥协定在网络10和移动台20之间的通信。按照在这里的使用,术语网络是指;认证中心、原始位置寄存器、正在访问位置寄存器、移动通信交换中心、和由网络服务提供商操作的基站。
网络10产生随机数RN,和计算(模pg∧RN)。如图1所示,网络10发送512比特素数p、由素数p产生的群的生成元g、和(模pg∧RN)到移动台20。接下来,移动台20产生随机数RM,计算(模pg∧RM),和发送(模pg∧RM)到网络10。
移动台20将从网络10接收到的(模pg∧RN)提高到功率RM以得到(模pg∧RMRN)。网络10将从网络20接收到的(模pg∧RM)提高到功率RN以得到(模pg∧RMRN)。移动台20和网络10得到同样的结果,并且建立64个最低有效位作为被称作A密钥的长存密钥的或根密钥。A密钥作为用于得到在移动台20和网络10之间的保密通信中使用的其它密钥的根密钥。
利用HD密钥交换的问题之一是对人在中间的攻击(man-in-the-middle attack)的未经认证和敏感的问题。例如,在上述移动通信网的双方的例子中,一个攻击者可以假冒网络10和然后再对网络假冒移动台20。这种方式的攻击者可以选择和知道A密钥,按照A密钥它在移动台20和网络10之间中继消息,满足认证的要求。该HD密钥交换还对号码簿攻击敏感。
按照本发明的在无线系统中用于加密无线通信的方法哑装OTASP呼叫作为正常系统接入来挫败攻击。按照本发明,移动台发送系统接入请求和与系统接入请求相关的哑数据到网络。网络响应该系统接入请求和哑数据发送包含第一数据部分的第一数据流到移动台。移动台从该第一比特流中提取该第一数据部分和发送包含第二数据部分的第二比特流到网络。网络从第二数据流中提取第二数据部分。
移动台和网络两者基于第一数据部分和第二数据部分产生一个密钥,和利用该密钥建立第一加密的和经认证的通信信道。然后,移动台通过第一加密的和经认证的通信信道传送授权信息到网络。如果被接受,则建立第二加密的和经认证的通信信道。通过第二加密的和经认证的通信信道,然后网络发送诸如根或A密钥之类的机密信息到移动台。
监视按照本发明的移动台和网络之间通信的一个攻击者可能认为该通信作为一种正常的系统接入,和可能发动一次攻击失败。但是,如果发动攻击,攻击者必须中断相当数量的系统接入,找到哑装的OTASP呼叫。这种否定许多移动用户的服务使得定位和停止一个攻击者相当容易。
从下面给出的详细描述和各个附图使得本发明变得更全面的被理解,这些描述和附图仅以说明的方式给出的,其中相同的标号在各个附图中代表对应的部件,和其中图1表示按照本发明的Diffe-Hellban密钥协定网络和移动台之间的通信;和图2表示按照本发明的实施例在网络和移动用户之间的通信。
按照本发明的系统和方法通过哑装作为正常系统接入,保护移动台20和网络10之间无线的信息传送。仅为了讨论的目的,按照本发明的系统和方法将相对于通过哑装作为呼叫方接入系统的传送来描述A密钥的传送。
正如前面所描述的那样,在服务提供期间,移动台20和网络10需要建立A密钥,以便以后的加密通信。按照本发明在这个初始化处理期间,诸如当移动台20首次被启动时,移动台20产生一个随机数DID作为对移动台20的哑识别数,和产生另外的随机数DMIN作为对移动台20的哑电话号码。然后,如图2所示,移动台20通过一个接入信道发送始发呼叫请求、哑识别数DID和哑电话号码DMIN到网络10。图2表示按照本发明的一个实施例网络10和移动台20之间的通信。
因为哑识别数DID和哑电话号码DMIN是哑数值,网络10不能识别哑识别数DID和哑电话号码DMIN作为合法的号码。这种情况可能由于差错或因为移动台进行尝试建立一个哑装OTASP而发生。网络10通过话音信道发送一个第一比特流到移动台20继续“假装”该呼叫正常。该第一比特流可以是预定的和预先存储的的比特流或随机产生的比特流,但是,是从加密的话音信道中的比特流无法区分的。然而,网络10在第一比特流的第一预定位置发送(模pg∧RN),它是由移动台20和网络10双方预先存储的。
移动台20从第一比特流中提取(模pg∧RN),和产生随机数RM。移动台20计算(模pg∧RM),和还计算(模pg∧RN)∧RM,它等于(模pg∧RNRM)。移动台20选择(模pg∧RNRM),它的一个散列、或它的一部分作为对话密钥SK。移动台20还通过话音信道发送第二比特流到网络10。第二比特流可以是一个预定的和预先存储的比特流或者随机产生的比特流,但是无法区别于加密信道中的其他比特流。然而,移动台在第二比特流的第二预定位置发送(模pg∧RM),它是由移动台20和网络10两者预先存储的。该第一和第二预定位置可以是相同的或是不同的。
网络10从第二比特流中提取(模pg∧RM),和计算(模pg∧RN)∧RN,它等于(模pg∧RNRM)。网络10选择(模pg∧RNRM),它的一个散列、或它的一部分作为对话密钥SK。和按照移动台20所作的方式一样。因此,网络10和移动台20已经建立起相同的对话密钥SK。
接下来,在预定是时间周期以后(例如,10秒),按照诸如IS41-C之类的公知的协议利用对话密钥SK作为根密钥(A密钥),对网络10和移动台20之间通过话音信道的通信进行加密。再有,话音信道是利用诸如HMAC之类的算法的公知消息认证算法进行认证的消息。
然后,移动用户将授权信息(例如,用于计费的信用卡号,等)通过加密和认证的话音信道传送到网络。一旦授权信息已经被网络10检验,网络10通过控制信道发送A密钥到移动台20,这个信道是按与话音信道一样的方式加密和认证的。
在加密和认证的A密钥传送完成后,网络10和移动台20基于A密钥具体形成通信。
最好是,诸如IS41-C协议之类用于加密的协议被进行简化,和公开在由同一发明人同时提交的两件申请之一执行认证,这件申请的名称为“METHOD FOR TWO PARTY AUTHENTICATION ANDMETHOD FOR PROTECTING TRANSFER OF INFORMATIONOVER AN UNSECURED COMMUNICATION CHANNEL”。由本发明人同时提交的申请的名称为“METHOD FOR TWO PARTYAUTHENTICATION AND METHOD FOR PROTECTINGTRANSFER OF INFORMATION OVER AN UNSECUREDCOMMUNICATION CHANNEL”。两者都援引在这里供参考。
一个监视网络10和移动台20之间通信的攻击者可能识别呼叫请求,和接着相信一次呼叫基于通过话音信道上的数据传送已经在进行。因为第一和第二比特流不传送可识别的话音信息,攻击者必须假设话音信道是加密的。但是,在网络10产生对话密钥SK后直至一个预定的时间周期不将话音信道变为加密的。
对于攻击者按照人在中间的仅有的方法是与正在进行的各呼叫一起进行的,和希望该各呼叫之一是上面描述的OTASP呼叫。为了具有找到OTASP呼叫的任何明显的概率,攻击者不得不中断大多数呼叫,因为OTASP呼叫是一个罕见的事件。但是,始发呼叫是经常的。因此,如果攻击者正在中断大多数呼叫,使得服务被拒绝,这样变得容易发现攻击者。这样对发现攻击的来源和对移动用户恢复服务也是更重要。
上面讨论的本发明的实施例假设移动台20和网络10每个都存储一个预定的素数p和预定的p的生成元g。作为一种代替方案,素数p和生成元g利用任何用于安全发送素数p和生成元g的公知技术被安全地从一方发送到另一方。
本发明从而已经进行了描述,但显而易见本发明可以被按多种方法进行变化。这些变化并不被视为脱离了本发明的精神和范围,和所有这些修改都将被包括在下列权利要求书的范围内。
权利要求
1.一种利用网络加密无线通信的方法,包括(a)发送系统接入请求和与所述系统接入请求相关的哑数据到网络;(b)从所述网络接收包含第一数据部分的第一比特流;(c)从所述第一比特流中提取所述第一数据部分;(d)发送第二比特流到所述网络,所述第二比特流包含第二数据部分;(e)基于所述提取的第一数据部分和第二数据部分产生一个密钥;(f)利用所述密钥建立第一加密的通信信道。
2.权利要求1的方法,其中所述步骤(c)从在所述第一比特流的第一预定位置提取所述第一数据部分。
3.权利要求1的方法,其中所述步骤(d)在所述第二比特流中的第一预定位置发送所述第二数据部分。
4.权利要求1的方法,其中所述第一数据部分代表(模pg∧RN),其中p是一个素数,g是由所述素数p产生的一个群的生成元且RN是第一随机数;和所述第二数据部分代表(模pg∧RM),其中RM是第二随机数。
5.权利要求4的方法,其中所述步骤(e)产生所述密钥作为(模pg∧RNRM)。
6.权利要求1的方法,其中所述步骤(f)建立所述第一加密通信信道作为利用所述密钥的加密和认证的通信信道。
7.权利要求1的方法,还包括(g)利用所述密钥建立第二加密的通信信道;和(h)通过所述第二加密的通信信道传送授权信息到所述网络;和其中在所述步骤(h)后,如果所述网络接受所述授权信息,则所述步骤(f)被执行。
8.权利要求7的方法,其中所述步骤(f)利用所述密钥,建立所述第一加密的通信信道作为加密和认证通信信道;和所述步骤(g)利用所述密钥,建立所述第二加密的通信信道作为加密和认证通信信道。
9.权利要求7的方法,其中所述第二加密通信信道是话音信道。
10.权利要求1的方法,其中所述步骤(a)发送始发呼叫请求作为所述系统接入请求。
11.权利要求1的方法,还包括(g)通过所述第一加密通信信道从所述网络接收机密信息。
12.权利要求11的方法,其中所述机密信息是根密钥。
13.一种利用网络加密无线通信的方法,包括(a)从所述移动台接收系统接入请求和与所述系统接入请求相关的哑数据;(b)响应于所述系统接入请求和所述哑数据,发送包含第一数据部分的第一比特流到所述移动台;(c)从所述移动台接收第二比特流,所述第二比特流包含第二数据部分;(d)从所述第二比特流提取所述第二数据部分;(e)基于所述提取的第二数据部分和第一数据部分产生一个密钥;(f)利用所述密钥建立第一加密的通信信道。
14.权利要求13的方法,其中所述步骤(d)从在所述第二比特流中的第一预定位置提取所述第二数据部分。
15.权利要求13的方法,其中所述步骤(b)在所述第一比特流中的第一预定位置发送所述第一数据部分。
16.权利要求13的方法,其中所述第一数据部分代表(模pg∧RN),其中p是一个素数,g是由所述素数p产生的一个群的生成元且RN是第一随机数;和所述第二数据部分代表(模pg∧RM),其中RM是第二随机数。
17.权利要求16的方法,其中所述步骤(e)产生所述密钥为(模pg RNRM)。
18.权利要求13的方法,其中所述步骤(f)建立所述第一加密通信信道作为加密和认证的通信信道。
19.权利要求13的方法,还包括(g)利用所述密钥建立第二加密的通信信道;和(h)通过所述的第二加密的通信信道从所述移动台接收授权信息;和其中如果所述授权信息被接受,则所述步骤(f)建立所述第一加密的通信信道。
20.权利要求19的方法,其中所述步骤(f)利用所述密钥,建立所述第一加密的通信信道作为加密和认证通信信道;和所述步骤(g)利用所述密钥,建立所述第二加密的通信信道作为加密和认证通信信道。
21.权利要求19的方法,其中所述第二加密通信信道是话音信道。
22.权利要求13的方法,其中所述步骤(a)接收始发呼叫请求作为所述系统接入请求。
23.权利要求13的方法,还包括(g)通过所述第一加密通信信道,发送机密信息到所述移动台。
24.权利要求23的方法,其中所述机密信息是根密钥。
全文摘要
在无线通信的方法中,移动台发送系统接入请求和与系统接入请求相关的哑数据到网络。网络响应系统接入请求和哑数据发送包含第一数据部分的第一数据流。移动台提取从第一数据流中提取第一数据部分和发送第二比特流到网络。第二比特流包含第二数据部分。移动台和网络基于第一数据部分和第二数据部分产生一个密钥和利用密钥共同建立第一加密和认证的通信信道。然后,移动台通过该第一加密和认证的通信信道传送授权信息到网络。如果被接受,则建立第二加密和认证的通信信道。
文档编号H04L9/08GK1249637SQ9911026
公开日2000年4月5日 申请日期1999年7月29日 优先权日1998年7月31日
发明者萨瓦·帕特尔 申请人:朗迅科技公司