BRPI0010408B1 - método para verificação de integridade de mensagens transmitidas durante uma conexão entre uma primeira parte e uma segunda parte - Google Patents
método para verificação de integridade de mensagens transmitidas durante uma conexão entre uma primeira parte e uma segunda parte Download PDFInfo
- Publication number
- BRPI0010408B1 BRPI0010408B1 BRPI0010408A BR0010408A BRPI0010408B1 BR PI0010408 B1 BRPI0010408 B1 BR PI0010408B1 BR PI0010408 A BRPI0010408 A BR PI0010408A BR 0010408 A BR0010408 A BR 0010408A BR PI0010408 B1 BRPI0010408 B1 BR PI0010408B1
- Authority
- BR
- Brazil
- Prior art keywords
- value
- message
- mobile station
- network
- connection
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Details Of Aerials (AREA)
- Small-Scale Networks (AREA)
Abstract
"método para verificação de integridade de mensagens transmitidas durante uma conexão entre uma primeira parte e uma segunda parte". a invenção é dirigida a um método para verificação de integridade de mensagens entre uma estação móvel e a rede celular. dois parâmetros de variação de tempo são usados no cálculo de mac, um dos quais é gerado pela estação móvel e o outro pela rede. o parâmetro especificado pela rede é usado em uma sessão apenas e é transmitido para a estação móvel no começo da conexão. o parâmetro especificado pela estação móvel é armazenado na estação móvel entre as conexões a fim de permitir que a estação móvel use um parâmetro diferente na conexão seguinte. o parâmetro especificado pela estação móvel é transmitido para a rede no começo da conexão.
Description
"MÉTODO PARA VERIFICAÇÃO DE INTEGRIDADE DE MENSAGENS TRANSMITIDAS DURANTE UMA CONEXÃO ENTRE UMA PRIMEIRA PARTE E UMA SEGUNDA PARTE".
Campo da Invenção A invenção é dirigida a um método para verificar a integridade de mensagens entre uma estação móvel e a rede celular. Particularmente, a invenção é dirigida a um método tal como descrito no preâmbulo da Reivindicação 1.
Descrição da Técnica Anterior Toda telecomunicação está sujeita ao problema de como se certificar de que a informação recebida é enviada por um remetente autorizado e não por alguém que está tentando se mascarar como o remetente. 0 problema é evidente em sistemas de telecomunicações celulares, onde a interface aérea apresenta uma plataforma excelente para escutar às escondidas e substituir os conteúdos de uma transmissão pelo uso de níveis de transmissão mais elevados, mesmo de uma distância. Uma solução básica para esse problema é a autenticação das partes de comunicação. Um processo de autenticação tem como objetivo descobrir e verificar a identidade de ambas as partes da comunicação, de modo que cada parte recebe informação a cerca da identidade da outra parte e pode confiar na identidade em um grau suficiente. A autenticação é realizada, tipicamente, em um procedimento específico no começo da conexão. Contudo, isso deixa espaço para manipulação, inserção e cancelamento não autorizados de mensagens subseqüentes. Desse modo, há uma necessidade de autenticação separada de cada mensagem transmitida. A última tarefa pode ser feita anexando um código de autenticação de mensagem (MAC) à mensagem no fim da transmissão e verificando o valor de MAC no final do recebimento.
Um MAC é, tipicamente, um grupo de bits relativamente curto, que depende de alguma maneira especificada da mensagem que ele protege e de uma chave secreta conhecida pelo remetente e pelo receptor da mensagem. A chave secreta é gerada e combinada tipicamente em relação com o procedimento de autenticação no começo da conexão. Em alguns casos o algoritmo que é usado para calcular o MAC baseado na chave secreta e a mensagem também é secreta, mas esse não é usualmente o caso. 0 processo de autenticação de mensagens simples freqüentemente é chamado proteção de integridade. Para proteger a integridade de sinalização, a parte de transmissão computa um valor de MAC com base na mensagem a ser enviada e a chave secreta usando o algoritmo especificado e envia a mensagem com o valor de MAC. A parte que recebe recomputa um valor de MAC baseado na mensagem e a chave secreta de acordo com o algoritmo especificado, e compara o MAC recebido e o MAC calculado. Se os dois valores de MAC correspondem, o receptor pode confiar que a mensagem está intacta e enviada pela parte suposta. Pode-se notar na passagem que proteção de integridade não inclui, usualmente, proteção de confidencialidade das mensagens transmitidas.
Esquemas de proteção de integridade não são completamente perfeitos. Uma terceira parte pode tentar manipular e ser bem sucedido na manipulação de uma mensagem transmitida entre uma primeira e uma segunda parte. Há dois métodos alternativos principais para forjar um valor de MAC para uma mensagem modificada ou novas mensagens, a saber, pela obtenção da chave secreta primeiro e tentando diretamente, sem a chave secreta. A chave secreta pode ser obtida por uma terceira parte basicamente de duas maneiras: por meio da computação de todas as chaves possíveis até que uma chave seja encontrada, que corresponde aos dados de pares observados de mensagem - MAC ou por outro modo de rompimento do algoritmo para produção de valores de MAC; ou - por meio de captura direta de uma chave secreta armazenada ou transmitida.
As partes originais da comunicação podem impedir uma terceira parte de obter a chave secreta por meio do uso de um algoritmo que é criptograficamente forte e que usa uma chave secreta forte o bastante para impedir a busca exaustiva de todas as chaves e usando outros meios de segurança para transmissão e armazenagem de chaves secretas.
Uma terceira parte pode tentar interromper a mensagem entre as duas partes sem uma chave secreta basicamente adivinhando o valor correto de MAC ou pela reprodução de alguma mensagem anterior transmitida entre as duas partes, mensagem para a qual o MAC correto é conhecido da transmissão original. A adivinhação correta do valor de MAC pode ser impedida pelo uso de valores longos de MAC. 0 valor de MAC deve ser longo o bastante para reduzir a probabilidade de adivinhação correta para um nível suficientemente baixo comparado com o benefício ganho por uma falsificação bem sucedida. Por exemplo, o uso de um valor de MAC de 32 bits reduz a probabilidade de uma adivinhação correta para 1/ 4 294 967 296, que é pequeno o bastante para a maioria das aplicações. A obtenção de um valor de MAC correto usando o ataque com a reprodução de uma mensagem anterior pode ser impedido pela introdução de um parâmetro variável para o cálculo dos valores de MAC. Por exemplo, um valor de marcação de tempo, um número em seqüência, ou um número randômico podem ser usados como uma entrada adicional para o algoritmo de MAC em adição à chaves secreta de integridade e à mensagem. A presente invenção está associada com esse método básico. No seguinte, os métodos da técnica anterior são descritos em mais detalhes.
Quando do uso de um valor de marcação de tempo, cada parte que se comunica precisa ter um acesso a um relógio confiável a fim de ser capaz de calcular o MAC da mesma maneira. 0 problema com essa abordagem é a necessidade do relógio confiável. Os relógios de ambas as partes devem ser muito exatos e estar muito precisamente na hora. Contudo, essa condição é inaceitável em sistemas de telecomunicações celulares: ambas as partes, isto é, a estação móvel (MS) e a rede não têm acesso a um relógio, que seja bastante confiável.
Quando do uso de números em seqüência, cada parte tem que manter a trilha daqueles números em seqüência que já foram usados e não são mais aceitáveis. A maneira mais fácil de implementar isso é armazena o número mais alto da seqüência usado nos cálculos de MAC até agora. Essa abordagem tem a desvantagem de que entre as conexões cada parte deve manter informação de estado, que está sincronizada pelo menos em algum nível. Isso é, elas precisam armazenar o número de seqüência mais alto usado até agora. Isso requer o uso de uma base de dados grande no lado da rede.
Um outra abordagem é incluir um número randômico em cada mensagem, que o outro lado deve usar no cálculo de MAC, quando enviando uma mensagem no momento seguinte, para a qual autenticação de MAC é requerida. Essa abordagem tem a mesma desvantagem que a anterior, isto é, entra as conexões cada parte deve manter informação de estado, o que requer o uso de uma base de dados grande no lado da rede. US 5,475,763 de Kaufman et al. (1995) descreve um sistema de assinatura, tal como um sistema DSS ou El Gamai, envolvendo o uso de número secreto a longo prazo e um número secreto por mensagem gera o número secreto por· mensagem sem o uso de um gerador de número randômico ou armazenamento não volátil. O número secreto por mensagem é gerado pela aplicação de uma função hash unidirecional para uma combinação do número secreto a longo prazo e a própria mensagem.
Sumário da Invenção Um objetivo da invenção é realizar um método para verificação da integridade, o qual evita os problemas associados com a técnica anterior. Um outro objetivo da invenção é proporcionar um método para verificação da integridade que não requer armazenagem de informação de estado no lado da rede.
Os objetivos são alcançados pelo uso de dois parâmetros de variação de tempo no cálculo de MAC, um dos quais é gerado pela estação móvel e o outro pela rede. 0 parâmetro especificado pela rede é usado em uma sessão apenas e é transmitido para a estação móvel no começo da conexão. O parâmetro especificado pela estação móvel é armazenado na estação móvel entre as conexões, a fim de permitir que a estação móvel use um parâmetro diferente na conexão seguinte. 0 parâmetro especificado pela estação móvel é transmitido para a rede no começo da conexão. O método de acordo com a invenção é caracterizado pelo que é especificado na parte caracterizante da reivindicação independente do método. As reivindicações dependentes descrevem outras concretizações vantajosas da invenção.
De acordo com a invenção, ambas as partes especificam um parâmetro variável a ser usado na geração de valores de MAC. No lado da rede em uma rede móvel, toda informação de estado a cerca do usuário particular pode ser descartada após a conexão ser liberada. De acordo com a invenção, um número em seqüência e um valor especificado pela rede, tal como um número pseudo-randômico, são usados no cálculo do valor de MAC. No começo da conexão, a estação móvel determina o valor inicial usado para a contagem da seqüência e transmite o valor para a rede. Além do valor inicial, um valor de contador é usado. O valor inicial e o valor de contador são concatenados, adicionados ou combinados de alguma outra maneira para produzir o parâmetro a ser usado no cálculo do valor de MAC de uma mensagem. Uma maneira de combinar os dois valores é usando o valor inicial como o valor de partida do contador, o que corresponde à adição do valor do contador e do valor inicial. A invenção não limita que valores do contador são usados no método da invenção. Um valor adequado é, por exemplo, o número da unidade de dados de protocolo (PDU) do protocolo de controle de enlace de rádio (RLC), isto é, o número de PDU de RLC. Outro valor adequado é o uso de um contador, que é incrementado em intervalos fixos, por exemplo, a cada 10 milissegundos. De preferência, um contador tal como o contador de PDU de RLC, que já está presente nas estações móveis e na rede é usado em um método de acordo com a invenção. Ainda, também contadores associados com a criptografia de dados através da interface de rádio podem ser usados em um método de acordo com a invenção, Ainda, a invenção não limite qual valor inicial é usado no método da invenção. Por exemplo, o número de hiper-quadro corrente no momento de iniciar a conexão pode ser usado como o valor inicial. Ainda, os valores do contador não precisam ser transmitidos após a transmissão do valor inicial, uma vez que ambos os lados da conexão podem atualizar os contadores da mesma maneira durante a conexão, preservando a sincronização. De preferência, quando uma conexão é liberada, a estação móvel armazena em sua memória o valor inicial usado na conexão ou pelo menos os bits mais significativos do valor inicial, o que permite que a estação móvel use um valor inicial diferente no momento seguinte. A estação móvel pode salvar a informação, por exemplo, no cartão SIM (Módulo de Identidade de Assinante) ou outro dispositivo de memória, para permitir que a estação móvel use um valor previamente armazenado no cartão de SIM da estação móvel na especificação do valor inicial. A rede especifica o número randômico ou, na prática, um número pseudo-randômico, no começo da conexão. O número randômico é específico da sessão, isto é, ele não precisa ser mudado dentro de uma conexão ou transmitido para a estação móvel mais de uma vez no começo da conexão e nem precisa ser armazenado na rede entre conexões. Vantajosamente, o elemento de rede que gera o número randômico e se encarrega da geração do valor de MAC e verificação de mensagens recebidas e valores de MAC é o controlador de rede de rádio (RNC). Contudo, a invenção não está limitada àquele, uma vez que essas funções podem ser realizadas em muitos outros elementos da rede, igualmente. 0 uso de RNC é vantajoso, uma vez que naquele caso a rede núcleo do sistema de telecomunicação celular não precisa participar na verificação da integridade de mensagens simples e uma vez que as mensagens de rede de acesso de rádio também precisam ser protegidas pela verificação da integridade. A invenção permite que ambos os lados da conexão realizem a verificação da integridade. Uma vez que a rede especifica um valor randômico no começo da conexão, uma estação móvel de uma parte hostil não pode realizar com sucesso um ataque por reprodução tocando novamente uma mensagem gravada de uma conexão anterior. Uma vez que a estação móvel especifica o valor inicial para a conexão, ataques por reprodução a partir de um elemento de rede bogus operado por uma parte hostil não serão bem sucedidos.
Breve Descrição das Figuras A invenção é descrita em mais detalhes a seguir com referência aos desenhos anexos, dos quais: Figura 1 - ilustra uma concretização vantajosa da invenção;
Figura 2 - ilustra um método de acordo com uma concretização vantajosa da invenção; e Figura 3 - ilustra sinalização de acordo com uma concretização vantajosa da invenção.
Os mesmos números de referência são usados para entidades similares nas Figuras.
Descrição Detalhada da Invenção A Figura 1 ilustra uma maneira de calcular o valor de MAC de acordo com a invenção. IK é a chave secreta de integridade, que é gerada durante um procedimento de autenticação de estação móvel no começo de uma conexão. Como a mesma chave de IK é usada para autenticar muitas mensagens possivelmente mesmo durante muitas conexões consecutivas, parâmetros de variação de tempo são necessários para evitar ataques hostis durante a conexão. Para aquela finalidade, um valor de contagem CONTAGEM e um valor randômico RANDÔMICO são usados no cálculo de MAC, igualmente. De acordo com a invenção, uma mensagem 1 e os valores de IK, CONTAGEM e RANDÔMICO são introduzidos em um mecanismo de cálculo 10, que calcula um valor de MAC de acordo com as entradas e o algoritmo de autenticação particular. Notamos aqui que a invenção não está limitada a qualquer maneira especifica de calcular o valor de MAC a partir das entradas ilustradas na Figura 1. A invenção não está limitada a quaisquer extensões específicas dos valores de entrada. Por exemplo, para o sistema celular de UMTS (Sistema de Telecomunicações Móveis Universal) extensões adequadas são 128 bits para o valor de IK, 32 bits para o valor CONTAGEM, 32 bits para o valor RANDÔMICO e 16 bits para o valor de MAC. Contudo, outras extensões poderiam ser usadas mesmo para o sistema de UMTS e outras entradas podem ser usadas além daqueles valores.
Se um novo valor de IK é gerado em um processo de autenticação no começo da conexão corrente, a estação móvel pode reajustar o valor inicial de CONTAGEM, uma vez que o novo valor de IK proporciona segurança contra ataques por reprodução. 0 armazenamento do valor inicial ou de uma parte do mesmo para uso com a conexão seguinte é necessário, uma vez que o valor de IK poderia não mudar, quando a conexão seguinte for estabelecida. Isso é muito provável, por exemplo, quando do uso de uma estação móvel com mau funcionamento no sistema de UMTS, uma vez que a estação móvel pode ter múltiplas conexões simultâneas de vários tipos e estabelecer e liberar novas conexões durante uma única sessão de comunicação. A rede não realiza, necessariamente, autenticação completa para cada nova conexão, pelo que a estação móvel nem sempre receberá um novo valor de IK para cada nova conexão. Contudo, quando a IK é mudada, a estação móvel pode reajustar os valores iniciais de CONTAGEM sem perigo de comprometer a segurança. A Figura 2 ilustra um método de acordo com uma concretização vantajosa da invenção. A Figura 2 ilustra um método para verificação da integridade de uma mensagem transmitida durante uma conexão ente uma rede de telecomunicação celular e uma estação móvel.
Na primeira etapa 50, a parte transmissora calcula o valor de autenticação (MAC) das mensagens com base na mensagem, um primeiro valor especificado pela rede, o referido primeiro valor sendo válido para uma conexão apenas, um segundo valor especificado pelo menos em parte pela rede e um terceiro valor especificado pelo menos parcialmente pela estação móvel. De preferência, o referido primeiro valor é um valor pseudo-randômico, tal como o valor RANDÔMICO descrito previamente. Ainda, o referido terceiro valor é, de preferência, um valor de contador, tal como o valor CONTAGEM descrito previamente, valor esse que é incrementado durante a conexão. Por exemplo, o valor de PDU de RLC pode ser usado para geração do valor de CONTAGEM. Conforme descrito previamente, a estação móvel especifica um valor inicial para o valor de contador no começo da conexão. 0 valor inicial pode ser usado como um valor de partida para um contador produzindo os valores CONTAGEM, ou o valor inicial pode ser combinado com algum outro valor de contador, tal como o valor de PDU de RLC para produzir o referido terceiro valor.
Na etapa seguinte 52, a mensagem é transmitida da parte transmissora para a parte receptora, que calcula um segundo valor de MAC, conforme descrito previamente, e compara o valor de MAC recebido e o valor de MAC calculado na etapa 56. Se for verificado que eles são iguais, a mensagem é aceita na etapa 58 e, se for verificado que eles são desiguais, a mensagem é rejeitada na etapa 60. No caso de mensagens de ligação superior, as etapas de cálculo 54 e de comparação 56 podem ser realizadas, vantajosamente, por um controlador de rede de rádio na rede de telecomunicação celular. O método da Figura 2 é usado para verificar a integridade de pelo menos algumas mensagens de ligação superior e de ligação inferior. A Figura 3 ilustra um exemplo de como iniciar uma conexão de acordo com uma concretização vantajosa da invenção. A Figura 3 mostra uma solução vantajosa para o problema de como permutar dois valores iniciais para fins de verificação de integridade. Notamos aqui que a seqüência de sinalização mostrada na Figura 3 não está de modo algum limitada à passagem apenas dos valores de CONTAGEM e RANDÔMICO descritos previamente. A sinalização de acordo com a Figura 3 pode ser usada para permutação de quaisquer duas chaves no começo de uma conexão. A Figura 3 mostra como uma sinalização exemplificativa associada com uma chamada originada de telefone móvel, mas correspondendo Às seqüências de sinalização pode ser usada também em outras situações, tais como no estabelecimento de uma chamada de terminal móvel ou em um procedimento de resposta a envio de radiolocalização. A Figura 3 mostra um exemplo particular de um método de acordo com a invenção. A idéia central na Figura 3 é que o RNC armazena a mensagem ou mensagens recebidas da estação móvel e autenticadas com um valor de MAC até o momento, quando ele é capaz de verificar o valor de MAC da(s) mensagem(ns). Se mais tarde for verificado que um ou todos os valores de MAC são falsos, a rede pode, então, decidir se descartará a conexão iniciada. A Figura 3 ilustra a sinalização entre uma estação móvel MS 20, um controlador de rede de rádio RNC 30 e uma rede de núcleos CN 4 0 em uma situação, em que a estação móvel inicia uma conexão. A Figura 3 ilustra a sinalização usando terminologia do sistema de UMTS. Na primeira etapa 100, a estação móvel envia a mensagem de solicitação de conexão inicial RRC SETUP REQ para a rede. Após o recebimento da mensagem de solicitação de conexão, o RNC gera o valor RANDÔMICO, após o que o RNC replica através do envio 105 de uma mensagem de reconhecimento ACK para a estação móvel. 0 RNC especifica o valor RANDÔMICO para a estação móvel através da anexação do valor como um parâmetro para a mensagem de ACK, que é mostrado na Figura 3 pelo rótulo RANDÔMICO que aparece sob a seta 105. Após o recebimento do reconhecimento e do valor RANDÔMICO, a estação móvel precisa enviar o valor CONTAGEM inicial para a rede. Isso pode ser realizado basicamente de duas maneiras: pela definição de uma nova mensagem para aquela finalidade, por exemplo, no nível de RRC, ou pela anexação do valor CONTAGEM como um parâmetro para uma mensagem existente. A seta 110 denota a abordagem anterior, isto é, denota uma mensagem definida especificamente para transmissão do valor CONTAGEM. A seta 115 denota a abordagem posterior, isto é, a anexação do valor CONTAGEM como um parâmetro para uma mensagem existente. No exemplo da Figura 3, a mensagem existente é uma mensagem de CM SERV REQ. Ainda, também um número de identificação de chave de IK pode ser transmitido como um parâmetro para a mensagem. Durante um processo de autenticação em que uma IK é gerada, a cada IK é atribuído um número de identificação, depois do que a MS e a rede podem se referir à IK simplesmente pelo uso do número de identificação.
No exemplo da Figura 3, a estação móvel envia uma mensagem de solicitada de serviço de marca de classe CM SERV REQ para a rede, especificando um identificador temporário TMSI e um identificador de classe de capacidade CM2 para a rede. Se uma mensagem específica não foi usada para transportar o valor inicial CONTAGEM para a rede, o valor inicial de CONTAGEM é passado para a rede como um outro parâmetro para a mensagem de CM SERV REQ. Ainda, a estação móvel transmite um valor de MAC calculado com base nos valores de CONTAGEM e RANDÔMICO e um valor de IK recebido e armazenado durante uma conexão prévia. Com o recebimento da mensagem, o RNC remove e armazena o valor de MAC da mensagem bem como o valor CONTAGEM possivelmente existente e avança 12 0 o resto da mensagem para a rede de núcleos. O RNC armazena toda a mensagem para uso posterior, que será descrito mais tarde. De acordo com as especificações de UMTS, a rede de núcleos pode realizar um procedimento de autenticação nesse estágio, o qual é representado pelas setas 125 e 130 na Figura 3, correspondendo às mensagens de solicitação de autenticação AUTH REQ e de resposta de autenticação AUTH RSP. A etapa seguinte depende de se a rede tem um valor de IK para a estação móvel ou não. Se a rede realizou a autenticação nas etapas 125 e 130, a rede o valor de IK determinado na autenticação. Alternativamente, a rede pode ter um valor de IK antigo armazenado em relação com a conexão anterior. O valor de IK é armazenado nos registradores da rede de núcleos. Se a rede tem um valor de IK, o método continua na etapa 125; se não, na etapa 150. Isso é representado pela etapa 132 e a seta tracejada associada na Figura 3.
Na etapa 135, a rede de núcleos envia uma mensagem de modo de criptografia CIPH MODE para o RNC, anexando a chave de criptografia CK e o valor de IK como parâmetros para a mensagem. Com essa mensagem, a CN fornece o valor de IK para o RNC, que previamente não foi percebido do valor de IK, se o procedimento de autenticação não foi realizado nas etapas 125 e 130. Nesse estágio, o RNC é capaz de verificar a mensagem de CM SERV REQ armazenada na etapa 115, uma vez que ele agora tem os valores CONTAGEM, de RANDÔMICO e de IK necessários para o cálculo do valor de MAC da mensagem. O RNC calcula um valor de MAC e o compara 137 com o valor de MAC previamente armazenado na etapa 115. Se houver correspondência, o método continua na etapa 140. Se eles não corresponderem, o método continua na etapa 160.
Na etapa 140, o RNC envia para a MS uma mensagem de CIPHERING COMMAND para iniciar a criptografia, à qual a MS responde 145 através do envio de uma mensagem de resposta de criptografia CIPHERING RSP de volta para o RNC. Após o que, a comunicação continua normalmente e a continuação não está representada na Figura 3.
Na etapa 150, a rede realiza um processo de autenticação, que é representado pelas setas 150 e 155 na Figura 3, correspondendo às mensagens de solicitação de autenticação AUTH REQ e resposta de autenticação AUTH RSP. Após o que, a rede de núcleos informa ao RNC a respeito da nova IK (não mostrada).
Nesse estágio, o RNC precisa ter certeza de que a MS é a correta e pode calcular os valores de MAC, conseqüentemente. O RNC pode realizar, por exemplo, um procedimento de solicitação de marca de classe ou algum outro procedimento adequado para aquele efeito. Isto é, RNC envia 160 uma mensagem de solicitação de marca de classe CLASSMARK REQ para a MS, que responde através do envio 165 de uma mensagem de resposta RSP de volta para o RNC, anexando a informação de marca de classe CM2 como um parâmetro para a mensagem e o valor de MAC calculado no final da mensagem. Agora, o RNC pode, mais uma vez, verificar o MAC e, se parte não hostil tiver reproduzido qualquer uma das mensagens anteriores, os valores de MAC calculados pelo RNC e a MS corresponderá, uma vez que os três valores chaves IK, RANDÔMICO e CONTAGEM são agora conhecidos da Ms e do RNC. Após o recebimento da mensagem de resposta de marca de classe RSP, o RNC envia 170 a informação de marca de classe em uma mensagem de CLASSMARK para a rede de núcleos, conforme requerido pelas especificações de UMTS.
Embora na descrição anterior a rede fosse descrita para especificar um número randômico a ser usado como o parâmetro variável especificado pela rede, também outros valores randômicos podem ser usados. Por exemplo, embora sendo um exemplo menos vantajoso de uma concretização da invenção, a rede pode usar um valor de contador e armazenar o valor de contador em um registrador central a fim de ser capaz de usar um valor diferente durante a conexão seguinte. Naturalmente, essa concretização tem a desvantagem da carga de armazenagem dos valores dos usuários a serem usados nas conexões seguintes.
Nos exemplos anteriores, a invenção foi descrita em relação a um sistema de telecomunicações celulares. A invenção pode ser muito vantajosamente usada nesse sistema, uma vez que ela requer muito poucas mensagens e, desse modo, usa apenas uma quantidade diminuta de recursos valiosos de interface aérea. Contudo, a invenção pode ser aplicada também em outros sistemas de comunicação. A invenção tem diversas vantagens. Por exemplo, de acordo com as concretizações mais vantajosas não há necessidade de manter a informação de estado sincronizada entre conexões diferentes. Isto é, essas concretizações não requerem que a rede armazene qualquer informação de contador para efetuar a verificação de integridade, o que é uma vantagem considerável, uma vez que essa armazenagem terá que ser efetuada em um registrador central, tal como o VLR (Registrador de Localização de Visitante) ou o HLR (Registrador de Localização Doméstica). De acordo com essas concretizações mais vantajosas, toda informação de estado a cerca da conexão pode ser descartada no lado da rede em uma rede móvel, após a conexão ser liberada. A invenção permite que a verificação de integridade seja realizada por um elemento de rede fora da rede de núcleos, tal como o RNC no caso do sistema celular de UMTS. A invenção não especifica qualquer limite para o número de valores usados no cálculo dos valores de MAC. Quaisquer outros valores além daqueles descritos, por exemplo, em relação com a Figura 1 podem ser usados, igualmente. Ainda, a invenção não limita que mensagens sejam submetidas à verificação de integridade: todas as mensagens, um certo grupo de mensagens ou mensagens selecionadas de alguma outra maneira. O nome de uma dada entidade funcional, tal como o controlador de rede de rádio, é, freqüentemente, diferente no contexto de sistemas de telecomunicações celulares diferentes. Por exemplo, no sistema de GSM, a entidade funcional correspondente a um controlador de rede de rádio (RNC) é o controlador de estação base (BSC). Portanto, o termo controlador de rede de rádio é destinado a cobrir todas as entidades funcionais correspondentes, independente do termo usado para a entidade nos sistemas de telecomunicações celulares particular. Ainda, os vários nomes de mensagens, como o nome da mensagem de RRC SSETUP REQ é destinado a serem exemplos apenas, e a invenção não está limitada ao uso dos nomes de mensagens citados nesta especificação.
Em vista da descrição precedente, será evidente para uma pessoa habilitada na técnica que várias modificações podem ser feitas dentro do escopo da invenção. Embora uma concretização preferida da invenção tenha sido descrita em detalhes, será evidente que muitas modificações e variações na mesma são possíveis, todas as quais estão dentro do verdadeiro conceito inventivo e escopo da invenção.
Claims (7)
1. Método para verificação de integridade de mensagens transmitidas durante uma conexão entre uma primeira parte e uma segunda parte, em que o método para um valor de autenticação é calculado para uma mensagem e transmitido com a mensagem, CARACTERIZADO pelo fato de que o método compreende etapas, em que o valor de autenticação da mensagem é calculado (50) com base: - na mensagem; - em um primeiro valor especificado pela primeira parte, o primeiro valor sendo válido para uma conexão apenas; - em um segundo valor pelo menos parcialmente especificado pela primeira parte; e em um terceiro valor pelo menos parcialmente especificado pela segunda parte.
2. Método, de acordo com a reivindicação 1, CARACTERI ZADO pelo fato de que a primeira parte é uma rede de telecomunicação celular e a segunda parte é uma estação móvel (20).
3. Método, de acordo com a reivindicação 1, CARACTERI ZADO pelo fato de que o primeiro valor é um valor pseudo-randômico.
4. Método, de acordo com a reivindicação 2, CARACTERI ZADO pelo fato de que a estação móvel (20) especifica um valor inicial para o terceiro valor.
5. Método, de acordo com a reivindicação 2, CARACTERIZADO pelo fato de que a estação móvel (20) especifica um valor inicial que é combinado com um valor de contador para a produção de um terceiro valor.
6. Método, de acordo com a reivindicação 4, CARACTERI ZADO pelo fato de que a estação móvel (20) usa um valor previamente armazenado no cartão SIM da estação móvel na especificação do valor inicial.
7. Método, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a rede de telecomunicação celular é uma rede UMTS e o primeiro valor é especificado por um controlador de rede de rádio (30).
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI991088A FI112315B (fi) | 1999-05-11 | 1999-05-11 | Integriteetin suojausmenetelmä radioverkkosignalointia varten |
| PCT/FI2000/000421 WO2000069206A1 (en) | 1999-05-11 | 2000-05-11 | Integrity protection method for radio network signaling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BR0010408A BR0010408A (pt) | 2002-02-13 |
| BRPI0010408B1 true BRPI0010408B1 (pt) | 2015-09-08 |
Family
ID=8554651
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0010408A BRPI0010408B1 (pt) | 1999-05-11 | 2000-05-11 | método para verificação de integridade de mensagens transmitidas durante uma conexão entre uma primeira parte e uma segunda parte |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US7246242B1 (pt) |
| EP (1) | EP1180315B1 (pt) |
| JP (2) | JP2002544735A (pt) |
| CN (1) | CN1134200C (pt) |
| AT (1) | ATE231674T1 (pt) |
| AU (1) | AU4409000A (pt) |
| BR (1) | BRPI0010408B1 (pt) |
| CA (1) | CA2371365C (pt) |
| DE (1) | DE60001277T2 (pt) |
| ES (1) | ES2191620T3 (pt) |
| FI (1) | FI112315B (pt) |
| WO (1) | WO2000069206A1 (pt) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI112418B (fi) | 2000-02-01 | 2003-11-28 | Nokia Corp | Menetelmä datan eheyden tarkastamiseksi, järjestelmä ja matkaviestin |
| GB0004178D0 (en) | 2000-02-22 | 2000-04-12 | Nokia Networks Oy | Integrity check in a communication system |
| FI112753B (fi) | 2000-04-10 | 2003-12-31 | Nokia Corp | Menetelmä ja järjestely synkronoinnin säilyttämiseksi tiedonsiirtoyhteyden resetoinnin yhteydessä |
| FI111423B (fi) | 2000-11-28 | 2003-07-15 | Nokia Corp | Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi |
| WO2002045449A1 (en) | 2000-11-28 | 2002-06-06 | Nokia Corporation | System and method for authentication of a roaming subscriber |
| US20030007642A1 (en) * | 2001-07-05 | 2003-01-09 | Jiang Sam Shiaw-Shiang | Local suspend function and reset procedure in a wireless communications system |
| US20050216758A1 (en) * | 2004-03-24 | 2005-09-29 | Matusz Pawel O | Frame authentication for a wireless network |
| US7693286B2 (en) | 2004-07-14 | 2010-04-06 | Intel Corporation | Method of delivering direct proof private keys in signed groups to devices using a distribution CD |
| US7697691B2 (en) | 2004-07-14 | 2010-04-13 | Intel Corporation | Method of delivering Direct Proof private keys to devices using an on-line service |
| US7792303B2 (en) | 2004-07-14 | 2010-09-07 | Intel Corporation | Method of delivering direct proof private keys to devices using a distribution CD |
| CN100370874C (zh) * | 2004-07-16 | 2008-02-20 | 华为技术有限公司 | 一种解决无线资源控制过程配置失败的方法 |
| US8924728B2 (en) | 2004-11-30 | 2014-12-30 | Intel Corporation | Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information |
| GB2429607B (en) * | 2005-08-26 | 2010-02-10 | Samsung Electronics Co Ltd | Improvements in mobile telecommunication security |
| US7699233B2 (en) * | 2005-11-02 | 2010-04-20 | Nokia Corporation | Method for issuer and chip specific diversification |
| US7752441B2 (en) | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
| CN101390431B (zh) * | 2006-03-20 | 2015-06-17 | 高通股份有限公司 | 用户装备与无线网络之间的扩展能力传递 |
| CN101155026B (zh) * | 2006-09-29 | 2010-12-08 | 华为技术有限公司 | 通信安全性保护方法和装置 |
| WO2011134906A1 (en) * | 2010-04-26 | 2011-11-03 | Research In Motion Limited | Apparatus and method for implementing a security mode configuration in a wireless communication device |
| PL3360303T3 (pl) | 2015-10-05 | 2020-06-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Komunikacja bezprzewodowa |
| GB2584147B (en) * | 2019-05-24 | 2021-10-20 | F Secure Corp | Method for integrity protection in a computer network |
| US20240259795A1 (en) * | 2021-07-16 | 2024-08-01 | Qualcomm Incorporated | Secret key verification in wireless communication |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5239294A (en) | 1989-07-12 | 1993-08-24 | Motorola, Inc. | Method and apparatus for authenication and protection of subscribers in telecommunication systems |
| JP2723415B2 (ja) | 1992-02-04 | 1998-03-09 | 日本電信電話株式会社 | 認証方法 |
| US5369705A (en) * | 1992-06-03 | 1994-11-29 | International Business Machines Corporation | Multi-party secure session/conference |
| DE69330070T2 (de) * | 1992-12-30 | 2001-11-08 | Telstra Corp. Ltd., Melbourne | Verfahren und einrichtung zur erzeugung einer chiffriersequenz |
| US5369707A (en) * | 1993-01-27 | 1994-11-29 | Tecsec Incorporated | Secure network method and apparatus |
| WO1994021066A1 (en) * | 1993-03-05 | 1994-09-15 | Telstra Corporation Limited | A method and apparatus for generating a digital message authentication code |
| US5757913A (en) | 1993-04-23 | 1998-05-26 | International Business Machines Corporation | Method and apparatus for data authentication in a data communication environment |
| US5475763A (en) * | 1993-07-01 | 1995-12-12 | Digital Equipment Corp., Patent Law Group | Method of deriving a per-message signature for a DSS or El Gamal encryption system |
| JP3053527B2 (ja) * | 1993-07-30 | 2000-06-19 | インターナショナル・ビジネス・マシーンズ・コーポレイション | パスワードを有効化する方法及び装置、パスワードを生成し且つ予備的に有効化する方法及び装置、認証コードを使用して資源のアクセスを制御する方法及び装置 |
| ATE174579T1 (de) | 1994-10-31 | 1999-01-15 | Cytec Tech Corp | Verfahren zum koagulieren und entfärben von abwässern |
| SE505353C2 (sv) | 1995-10-31 | 1997-08-11 | Nordbanken Ab | Förfarande och anordning vid datakommunikation |
| EP0798673A1 (en) * | 1996-03-29 | 1997-10-01 | Koninklijke KPN N.V. | Method of securely loading commands in a smart card |
| JP3729940B2 (ja) | 1996-07-16 | 2005-12-21 | 富士通株式会社 | 認証方法 |
| JP3434150B2 (ja) | 1996-09-09 | 2003-08-04 | シャープ株式会社 | 通信装置 |
| US5757919A (en) * | 1996-12-12 | 1998-05-26 | Intel Corporation | Cryptographically protected paging subsystem |
| US6078568A (en) * | 1997-02-25 | 2000-06-20 | Telefonaktiebolaget Lm Ericsson | Multiple access communication network with dynamic access control |
| JPH10304432A (ja) | 1997-04-30 | 1998-11-13 | Matsushita Electric Works Ltd | 所在場所管理システム |
| FI113119B (fi) | 1997-09-15 | 2004-02-27 | Nokia Corp | Menetelmä tietoliikenneverkkojen lähetysten turvaamiseksi |
| US6918035B1 (en) * | 1998-07-31 | 2005-07-12 | Lucent Technologies Inc. | Method for two-party authentication and key agreement |
| US6591364B1 (en) * | 1998-08-28 | 2003-07-08 | Lucent Technologies Inc. | Method for establishing session key agreement |
-
1999
- 1999-05-11 FI FI991088A patent/FI112315B/fi not_active IP Right Cessation
-
2000
- 2000-05-11 US US10/009,658 patent/US7246242B1/en not_active Expired - Lifetime
- 2000-05-11 WO PCT/FI2000/000421 patent/WO2000069206A1/en not_active Ceased
- 2000-05-11 EP EP00925334A patent/EP1180315B1/en not_active Expired - Lifetime
- 2000-05-11 BR BRPI0010408A patent/BRPI0010408B1/pt not_active IP Right Cessation
- 2000-05-11 DE DE60001277T patent/DE60001277T2/de not_active Expired - Lifetime
- 2000-05-11 JP JP2000617681A patent/JP2002544735A/ja not_active Withdrawn
- 2000-05-11 AU AU44090/00A patent/AU4409000A/en not_active Abandoned
- 2000-05-11 ES ES00925334T patent/ES2191620T3/es not_active Expired - Lifetime
- 2000-05-11 AT AT00925334T patent/ATE231674T1/de not_active IP Right Cessation
- 2000-05-11 CA CA002371365A patent/CA2371365C/en not_active Expired - Lifetime
- 2000-05-11 CN CNB008073724A patent/CN1134200C/zh not_active Expired - Lifetime
-
2004
- 2004-03-03 JP JP2004058623A patent/JP2004222313A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| BR0010408A (pt) | 2002-02-13 |
| JP2002544735A (ja) | 2002-12-24 |
| CN1350761A (zh) | 2002-05-22 |
| FI991088L (fi) | 2000-11-12 |
| ATE231674T1 (de) | 2003-02-15 |
| EP1180315B1 (en) | 2003-01-22 |
| EP1180315A1 (en) | 2002-02-20 |
| DE60001277T2 (de) | 2003-07-24 |
| AU4409000A (en) | 2000-11-21 |
| WO2000069206A1 (en) | 2000-11-16 |
| CA2371365A1 (en) | 2000-11-16 |
| FI112315B (fi) | 2003-11-14 |
| US7246242B1 (en) | 2007-07-17 |
| CA2371365C (en) | 2006-02-14 |
| CN1134200C (zh) | 2004-01-07 |
| ES2191620T3 (es) | 2003-09-16 |
| JP2004222313A (ja) | 2004-08-05 |
| FI991088A0 (fi) | 1999-05-11 |
| DE60001277D1 (de) | 2003-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BRPI0010408B1 (pt) | método para verificação de integridade de mensagens transmitidas durante uma conexão entre uma primeira parte e uma segunda parte | |
| EP0977452B1 (en) | Method for updating secret shared data in a wireless communication system | |
| US7773973B2 (en) | Method for authentication between a mobile station and a network | |
| EP0998095B1 (en) | Method for two party authentication and key agreement | |
| ES2584862T3 (es) | Autenticación en comunicación de datos | |
| EP2702741B1 (en) | Authenticating a device in a network | |
| US10187794B2 (en) | Integrity check in a communication system | |
| US9065641B2 (en) | Method and device for updating a key | |
| CN101116284B (zh) | 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统 | |
| CA2277758A1 (en) | Method for securing over-the-air communication in a wireless system | |
| EP1603361B1 (en) | A self-synchronizing authentication and key agreement protocol | |
| TW200527877A (en) | Method and application for authentication of a wireless communication using an expiration marker | |
| CN104219650A (zh) | 发送用户身份认证信息的方法及用户设备 | |
| FI107367B (fi) | Tiedonsiirron osapuolien oikeellisuuden tarkistaminen tietoliikenneverkossa |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B25A | Requested transfer of rights approved |
Owner name: NOKIA CORPORATION (FI) Free format text: TRANSFERIDO POR INCORPORACAO DE: NOKIA NETWORKS OY |
|
| B25A | Requested transfer of rights approved |
Owner name: QUALCOMM INCORPORATED (US) Free format text: TRANSFERIDO DE: NOKIA CORPORATION |
|
| B15K | Others concerning applications: alteration of classification |
Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04Q 7/38 , H04L 9/32 Ipc: G09C 1/00 (2006.01), H04L 9/32 (2006.01), H04W 12/ |
|
| B07A | Application suspended after technical examination (opinion) [chapter 7.1 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 08/09/2015, OBSERVADAS AS CONDICOES LEGAIS. |
|
| B21A | Patent or certificate of addition expired [chapter 21.1 patent gazette] |
Free format text: PATENTE EXTINTA EM 08/09/2025 |