Захищене самонастроювання для безпровідного зв’язку

1. Спосіб аутентифікації успадкованого мобільного термінала для підтримання зв'язку з функцією мережного додатка, що містить етапи, на яких: формують запит аутентифікації у функції сервера самонастроювання, причому запит аутентифікації включає в себе перше випадкове число як перший параметр, відкритий ключ, оснований щонайменше частково на першому випадковому числі, і підпис, оснований щонайменше частково на першому випадковому числі, відкритому ключі і приватному ключі; відправляють запит аутентифікації на успадкований мобільний термінал, при цьому успадкований мобільний термінал може перевіряти походження запиту аутентифікації на основі попередньо отриманого цифрового сертифіката сервера самонастроювання, асоціативно зв'язаного з функцією сервера самонастроювання; приймають відповідь аутентифікації у функції сервера самонастроювання, який включає в себе друге випадкове число і другий параметр, обчислений за допомогою копії приватного ключа, сформованого в успадкованому мобільному терміналі, на основі щонайменше частково першого випадкового числа і раніше спільно використовуваного секретного ключа, збереженого в модулі 2 (19) 1 3 91846 4 кації повідомлення, який використовується функобчислення взаємно аутентифікованого ключа у цією сервера самонастроювання для перевірки функції сервера самонастроювання на основі походження відповіді аутентифікації. копії приватного ключа, який також обчислюється 8. Спосіб за п. 1, що додатково містить етап, на в успадкованому мобільному терміналі на основі якому: приватного ключа; і відправляють ключ взаємної аутентифікації з відправлення взаємно аутентифікованого ключа з функції сервера самонастроювання в запитуючу функції сервера самонастроювання в запитуючу функцію мережного додатка, так що успадковафункцію мережного додатка, так що успадкований мобільний термінал і функція мережного доний мобільний термінал і функція мережного додатка спільно використовують четвертий ключ датка спільно використовують взаємно аутентидля забезпечення захисту зв'язки між ними. фікований ключ. 9. Мережний пристрій, що містить: 12. Мережний пристрій за п. 9, у якому схема обінтерфейс зв'язку для підтримання зв'язку з безробки додатково виконана з можливістю реалізапровідними успадкованими мобільними термінації функції сервера самонастроювання, щоб аулами; і тентифікувати успадкований мобільний термінал схему обробки, приєднану до інтерфейсу зв'язку і за допомогою виконану з можливістю реалізації функції сервера порівняння першого параметра, прийнятого у самонастроювання, щоб аутентифікувати успадвідповіді аутентифікації, з першим параметром, кований мобільний термінал за допомогою розрахованим функцією сервера самонастроюформування запиту аутентифікації у функції сервання, при цьому відповідь аутентифікації вважавера самонастроювання, причому запит аутенється такою, що відбулася з успадкованого мобітифікації включає в себе перше випадкове число льного термінала, якщо обидва перших як перший параметр, відкритий ключ, оснований параметри однакові. щонайменше частково на першому випадковому 13. Мережний пристрій для реалізації функції числі, і підпис, оснований щонайменше частково сервера самонастроювання, щоб аутентифікувана першому випадковому числі, відкритому ключі ти успадкований мобільний термінал, що містить: і приватному ключі; засіб для формування запиту аутентифікації на відправлення запиту аутентифікації на успадкооснові випадкового числа, причому запит аутенваний мобільний термінал, при цьому успадковатифікації включає в себе перше випадкове число ний мобільний термінал може перевіряти похояк перший параметр, відкритий ключ, оснований дження запиту аутентифікації на основі щонайменше частково на першому випадковому попередньо отриманого цифрового сертифіката числі, і підпис, оснований щонайменше частково сервера самонастроювання, асоціативно зв'язана першому випадковому числі, відкритому ключі ного з функцією сервера самонастроювання, і приватному ключі; прийому відповіді аутентифікації у функції сервезасіб для відправлення запиту аутентифікації на ра самонастроювання, причому відповідь аутенуспадкований мобільний термінал, при цьому тифікації включає в себе друге випадкове число і успадкований мобільний термінал може перевіпараметр, обчислений за допомогою копії приваряти походження запиту аутентифікації на основі тного ключа, сформованого в успадкованому попередньо отриманого цифрового сертифіката мобільному терміналі, на основі щонайменше сервера самонастроювання, асоціативно зв'язачастково першого випадкового числа в раніше ного з функцією сервера самонастроювання; спільно використовуваного секретного ключа, засіб для приймання відповіді аутентифікації з збереженого в модулі ідентифікації абонента в успадкованого мобільного термінала, причому успадкованому мобільному терміналі, відповідь аутентифікації включає в себе друге перевірки того, чи породжений запит аутентифівипадкове число і параметр, обчислений за докації в успадкованому мобільному терміналі, за помогою копії приватного ключа, сформованого в допомогою повторного обчислення першого пауспадкованому мобільному терміналі, на основі раметра у функції сервера самонастроювання на щонайменше частково першого випадкового чисоснові другого ключа, наданого функції сервера ла і раніше спільно використовуваного секретносамонастроювання; і го ключа, збереженого в модулі ідентифікації формування взаємно аутентифікованого ключа у абонента в успадкованому мобільному терміналі; функції сервера самонастроювання на основі засіб для формування взаємно аутентифікованощонайменше частково першого випадкового чисго ключа у функції сервера самонастроювання на ла, другого випадкового числа і приватного клюоснові щонайменше частково першого випадкоча. вого числа, другого випадкового числа і приват10. Мережний пристрій за п. 9, у якому успадконого ключа; ваний модуль ідентифікації абонента є одним з засіб для визначення того, чи породжена відпомодуля визначення абонента (SIM) глобальної відь аутентифікації з успадкованого мобільного системи мобільного зв'язку (GSM) або модуля термінала. аутентифікації CDMA2000. 14. Мережний пристрій за п. 13, у якому засіб для 11. Мережний пристрій за п. 9, у якому схема обвизначення того, чи породжена відповідь аутенробки виконана з можливістю реалізації функції тифікації з успадкованого мобільного термінала, сервера самонастроювання, щоб аутентифікувавключає в себе копію приватного ключа, використи успадкований мобільний термінал за допомотовувану для перевірки першого параметра відгою повіді аутентифікації, при цьому копія приватного ключа виводиться з раніше спільно використову 5 91846 6 ваного секретного ключа і випадкового числа, і формування взаємно аутентифікованого ключа в інших параметрів, переданих у межах запиту аууспадкованому мобільному терміналі на основі тентифікації і відповіді аутентифікації. щонайменше частково першого випадкового чис15. Спосіб аутентифікації функції мережного дола, другого випадкового числа і приватного клюдатка для підтримання зв'язку з успадкованим ча; мобільним терміналом, що містить етапи, на перевірки того, чи відбувається запит аутентифіяких: кації з функції сервера самонастроювання, на приймають запит аутентифікації в успадкованому основі попередньо отриманого цифрового сермобільному терміналі, причому запит аутентифітифіката сервера самонастроювання, асоціативкації включає в себе перше випадкове число як но зв'язаного з функцією сервера самонастроюперший параметр, відкритий ключ, оснований вання, і щонайменше частково на першому випадковому посилання відповіді аутентифікації у функцію числі, і підпис, оснований щонайменше частково сервера самонастроювання, причому відповідь на першому випадковому числі, відкритому ключі аутентифікації включає в себе друге випадкове і приватному ключі; число і другий параметр, обчислений за допомоформують взаємно аутентифікований ключ в усгою копії приватного ключа, сформованого в успадкованому мобільному терміналі, оснований падкованому мобільному терміналі, на основі щонайменше частково на першому випадковому щонайменше частково першого випадкового чисчислі, другому випадковому числі і приватному ла і раніше спільно використовуваного секретноключі; го ключа, збереженого в модулі ідентифікації перевіряють, чи виникає запит аутентифікації у абонента в успадкованому мобільному терміналі. функції сервера самонастроювання, на основі 20. Успадкований мобільний термінал за п. 19, попередньо отриманого цифрового сертифіката що додатково містить: сервера самонастроювання, асоціативно зв'язамодуль ідентифікації абонента, приєднаний до ного з функцією сервера самонастроювання; і схеми обробки, причому модуль ідентифікації посилають відповідь аутентифікації у функцію абонента призначений для зберігання раніше сервера самонастроювання, причому відповідь спільно використовуваного секретного ключа й аутентифікації включає в себе друге випадкове алгоритму. число і другий параметр, обчислений за допомо21. Успадкований мобільний термінал за п. 20, у гою копії приватного ключа, сформованого в усякому модуль аутентифікації абонента формує падкованому мобільному терміналі, на основі приватний ключ на основі випадкового числа, щонайменше частково першого випадкового чисраніше використовуваного секретного ключа і ла і раніше спільно використовуваного секретноалгоритму. го ключа, збереженого в модулі ідентифікації 22. Успадкований мобільний термінал за п. 20, у абонента в успадкованому мобільному терміналі. якому модуль ідентифікації абонента є модулем 16. Спосіб за п. 15, що додатково містить етап, на визначення абонента (SIM), сумісним із протокоякому: лом глобальної системи мобільного зв'язку надають приватний ключ із модуля ідентифікації (GSM). абонента в успадкований мобільний термінал у 23. Успадкований мобільний термінал за п. 19, у відповідь на прийом випадкового числа, прийняякому раніше спільно використовуваний секреттого в запиті аутентифікації. ний ключ також застосовується для надання ус17. Спосіб за п. 16, у якому перший ключ формупадкованому мобільному терміналу можливості ють із використанням додаткових параметрів, встановлювати зв'язок через успадковану безпереданих у запиті і відповіді аутентифікації. провідну мережу. 18. Спосіб за п. 15, у якому модуль ідентифікації 24. Успадкований мобільний термінал, що місабонента є одним з модуля визначення абонента тить: (SIM) глобальної системи мобільного зв'язку засіб для приймання запиту аутентифікації в ус(GSM) або модуля аутентифікації CDMA1500. падкованому мобільному терміналі, причому за19. Успадкований мобільний термінал, що міспит аутентифікації включає в себе перше випадтить: кове число як перший параметр, відкритий ключ, інтерфейс безпровідного зв'язку для підтримання оснований щонайменше частково на першому зв'язку з функцією сервера самонастроювання; і випадковому числі, і підпис, оснований щонаймесхему обробки, виконану з можливістю керування нше частково на першому випадковому числі, успадкованим протоколом зв'язку і аутентифікації відкритому ключі і приватному ключі; успадкованого мобільного термінала за протокозасіб для формування взаємно аутентифікованолом запиту-відповіді з функцією сервера самонаго ключа в успадкованому мобільному терміналі строювання за допомогою на основі щонайменше частково першого випадприймання запиту аутентифікації в успадкованокового числа, другого випадкового числа і приваму мобільному терміналі, причому запит аутентного ключа; тифікації включає в себе перше випадкове число засіб для перевірки того, чи відбувається запит як перший параметр, відкритий ключ, оснований аутентифікації з функції сервера самонастроющонайменше частково на першому випадковому вання на основі попередньо отриманого цифрочислі, і підпис, оснований щонайменше частково вого сертифіката сервера самонастроювання, на першому випадковому числі, відкритому ключі асоціативно зв'язаного з функцією сервера самоі приватному ключі; настроювання; і 7 91846 8 засіб для посилання відповіді аутентифікації у основі щонайменше частково першого випадкофункцію сервера самонастроювання, причому вого числа і раніше спільно використовуваного відповідь аутентифікації включає в себе друге секретного ключа, збереженого в модулі ідентивипадкове число і другий параметр, обчислений фікації абонента в успадкованому мобільному за допомогою копії приватного ключа, сформоватерміналі. ного в успадкованому мобільному терміналі, на Дана заявка на патент запитує пріоритет за попередньою заявкою № 60/650,358 на видачу патенту США, озаглавленою "Secure Bootstrapped Keys in GSM" ("Захищені самонастроювані ключі в GSM"), поданою 4 лютого 2005 p., і попередньою заявкою № 60/654,133 на видачу патенту США, озаглавленою "Secure Bootstrapping with CAVE" ("Захищене самонастроювання за допомогою CAVE"), поданою 18 лютого 2005 p., причому права на обидві попередні заявки належать заявнику даного винаходу і, отже, явним чином включені в матеріали даної заявки за допомогою посилання. Галузь техніки, до якої належить винахід Даний винахід загалом належить до систем і способів для організації захисту безпровідного зв'язку. Більш точно, одна з ознак винаходу передбачає новітню схему узгодження аутентифікації і ключів для пристроїв, підтримуючих успадковані механізми мережної аутентифікації, для того щоб надавати ключі забезпечення захисту додатків за допомогою використання успадкованих безпровідних механізмів узгодження аутентифікації і ключів. Рівень техніки Один з типів стільникової технології для безпровідного зв'язку визначений протоколом глобальної системи мобільного зв'язку (GSM), який працює в безпровідних телефонних мережах другого покоління (2G). GSM додатково розширюється більш новими мережами, такими як загальна служба пакетної радіопередачі (GPRS), також відомими як мережі 2.5 G, які пропонують засновані але контенті мережі Інтернет і пакетні служби даних для мереж GSM. GSM і GPRS використовуються для багатьох типів безпровідного зв'язку, який включає в себе голосові дані, дані перегляду мережі Інтернет, електронної пошти і аудіовізуальні дані. GSM об'єднує в собі різні механізми забезпечення захисту для захисту контенту, що передається через такі системи. Постачальники і користувачі послуг однаково покладаються на ці механізми забезпечення захисту заради конфіденційності свого обміну інформацією і захисту своїх даних, а постачальники послуг використовують ці механізми забезпечення захисту для аутентифікації своїх абонентів з метою виставлення рахунків. Ці механізми забезпечення захисту типово діють, аутентифікуючи мобільні термінали користувача по відношенню до мережі, а подальші передачі можуть шифруватися. Однак, заходи забезпечення захисту GSM вразливі для атак третьою стороною внаслідок недоліків в протоколах забезпечення захисту GSM, таких як атаки псевдо базових станцій, що є результатом відсутності мережної аутентифікації, можливості повторного відтворення протоколів забезпечення захисту і недоліків в алгоритмах шифрування GSM. Ці недоліки забезпечення захисту долалися при розвитку протоколів забезпечення захисту в стандартах безпровідного зв'язку третього покоління (3G). Зокрема, протокол узгодження аутентифікації і ключів (АКА), розроблений для універсальної системи мобільних телекомунікацій (UMTS), включає в себе такі ознаки, як послідовний номер і код аутентифікації повідомлення (МАС), який запобігає атакам псевдо базових станцій, до яких сприйнятлива GSM. Таким чином, рухомі абоненти, які використовують модуль ідентичності обслуговування користувача (USIM) UMTS для мережної аутентифікації, не сприйнятливі до атак, направлених проти користувачів модуля визначення абонента (SIM). Основні частини стандартизації 3G також продовжують розвивати основоположну архітектуру аутентифікації (GAA), наприклад, в документі Проекту партнерства третього покоління, 33.220 званому "Основоположна архітектура аутентифікації (GAA) 3GPP", для основоположної архітектури самонастроювання. Ця архітектура покладається на протокол АКА 3G для встановлення ключів між користувацьким обладнанням (UE) рухомого абонента і новою серверною сутністю, відомою як функція сервера самонастроювання (BSF). З цих ключів, додаткові ключі можуть виводитися і надаватися за допомогою BSF в різні функції мережних додатків (NAF), як спосіб встановлення ключів забезпечення захисту, які спільно використовуються між NAF і відповідним UE. Технології, що знаходяться в процесі розробки, покладаються на способи узгодження аутентифікації і ключів 3G, такі як підтримувані в універсальному модулі визначення абонента (USIM) UMTS, з їх невід'ємними удосконаленнями забезпечення захисту в порівнянні з успадкованими системами 2G або більш ранніми, такими як GSM. Наприклад, основоположна архітектура аутентифікації (GAA) і основоположна архітектура самонастроювання (GBA) специфіковані для мереж 3G і надбудовують інфраструктуру забезпечення захисту мереж мобільного зв'язку 3G (тобто, засноване на USIM забезпечення захисту) для надання захищеної взаємної аутентифікації між мобільним користувацьким обладнанням і мережним сервером, який сприяє мережним додаткам і/або службам. Однак, ці технології взаємної аутентифікації (наприклад, GAA і GBA) не доступні раніше розробленим системам зв'язку (наприклад, 2G), таким як, наприклад, протоколи узгодження аутентифікації і ключів (АКА) GSM. Ці протоколи GSM сприйнятливі до атак з повторенням пакетів, тому атакуючий може змушувати повторне використання ключів і, можливо, використовувати недоліки в деяких контекстах для виявлення ключів і, відпові 9 91846 10 дно, підривання забезпечення захисту. Таким чиоснові RAND, SRES, і/або Кс, які вона одержує з ном, необхідний спосіб для самонастроювання HLR), щоб пересвідчитися, що один або більше ключів забезпечення захисту додатків узгодженпараметрів, прийняті у відповіді аутентифікації, є ням аутентифікації і ключів GSM таким чином, щоб тими ж. не бути сприйнятливим до атак з повторенням У тих випадках, коли повідомлення були аутепакетів, а ключі не могли легко виявлятися. нтифіковані, BSF і МТ далі можуть обчислювати Таким чином, існує потреба в створенні техноключі забезпечення захисту додатку на основі логій, за допомогою яких основоположна архітекRAND, SRES, Кс і/або додаткових параметрів, які тура аутентифікації (GAA), специфікована для могли бути передані між BSF і МТ. Зазначимо, що мереж 3G, може бути розширена для підтримання ключі SRES і Кс, які упізнаються BSF і МТ незалеуспадкованих систем (наприклад, систем 2G або жно, не передаються між ними. Ключі забезпеченбільш ранніх). Це могло б дати абонентам з приня захисту додатку можуть відправлятися з функції строями GSM або іншими, що містять модулі висервера самонастроювання в запитуючу функцію значення абонента (SIM), можливість забезпечумережного додатку, так що мобільний термінал і ватися ключами для використання в додатках і/або функція мережного додатку спільно використовуслужбах мережі мобільного зв'язку без вимоги зають ключі забезпечення захисту додатку і можуть міни їх SIMS на USIM UMTS. Більше того, такий використовувати їх для захищеного зв'язку між спосіб не повинен привносити недоліки в основоними. положну архітектуру аутентифікації внаслідок слаНаданий спосіб для аутентифікації успадковабих місць самої аутентифікації GSM. ного мобільного термінала для підтримання зв'язСуть винаходу ку з функцією мережного додатку, який включає: Спосіб взаємної аутентифікації передбачений (а) формування запиту аутентифікації в функції для захищеного узгодження ключів забезпечення сервера самонастроювання, (b) відправлення зазахисту додатків з мобільними терміналами, підтпиту аутентифікації на мобільний термінал, при римуючими успадковані модулі визначення абонецьому мобільний термінал може перевіряти похонта (наприклад, SIM GSM і R-UIM CDMA2000, які дження запиту аутентифікації на основі попередне підтримують механізми АКА 3G). Обмін ключаньо одержаного сертифіката сервера самонастми запиту-відповіді реалізовується між функцією роювання, асоціативно зв'язаного з функцією сервера самонастроювання (BSF) і мобільним сервера самонастроювання, (с) прийом відповіді терміналом (МТ). BSF приймає з реєстру вихідного аутентифікації в функції сервера самонастроюположення (HLR) параметри мережної аутентифівання, яка включає в себе перший параметр, обкації, відповідні цьому мобільному терміналу (начислений за допомогою першого ключа, сформоприклад, RAND (випадкове число), SRES (значенваного в мобільному терміналі, (d) перевірку, чи ня відгуку), Кс GSM) і формує запит походить відповідь аутентифікації з мобільного аутентифікації, який включає в себе RAND, і відптермінала, за допомогою повторного обчислення равляє його на МТ згідно з механізмом аутентифіпершого параметра в функції сервера самонасткованого сервером відкритого ключа. Цей запит роювання на основі другого ключа, що надається аутентифікації може включати в себе додаткові функції сервера самонастроювання, і (e) порівнянпараметри, такі як випадкові числа, інформація ня першого параметра, прийнятого у відповіді ауідентичності, відмітки часу, послідовні номери і тентифікації, з першим параметром, повторно обвідкриті ключі Діфі-Хелмана. численим функцією сервера самонастроювання. МТ приймає запит аутентифікації і визначає, Відповідь аутентифікації вважається такою, що чи походить він з BSF, на основі сертифіката сервиникла з мобільного термінала, якщо обидва певера самонастроювання. МТ формулює відповідь рших параметри однакові. на запит аутентифікації на основі ключів, виведеПерший ключ може бути одержаний з модуля них із запиту аутентифікації (наприклад, випадкоідентифікації абонента, який може бути або модувого числа) і раніше спільно використовуваного лем визначення абонента (SIM) глобальної систесекретного ключа (наприклад, в SIM GSM). Тобто, ми мобільного зв'язку (GSM), або модулем аутенSIM в МТ може виводити секретні ключі (напритифікації CDMA2000, що зберігається в клад, SRES і Кс), використовувані функцією сермобільному терміналі. Другий ключ може бути вера самонастроювання, на основі випадкового одержаний з реєстру вихідного положення, з можчисла RAND, прийнятого в запиті аутентифікації, і ливістю обміну інформацією приєднаного до фунраніше спільно використовуваного секретного кції сервера самонастроювання. Перший і другий ключа, збереженого в SIM. Відповідь аутентифікаключі можуть формуватися на основі однакових ції може включати в себе додаткові параметри, захищених алгоритмів і раніше спільно використотакі як зашифровані випадкові числа, інформація вуваного ключа, відомого модулю ідентифікації ідентичності, відмітки часу, послідовні номери і абонента в мобільному терміналі і мережній базі відкриті ключі Діфі-Хелмана. BSF приймає відподаних, з можливістю обміну інформацією приєднавідь аутентифікації і визначає, чи походить вона з ної до функції сервера самонастроювання. Запит МТ. Механізм запиту-відповіді використовує мехааутентифікації може включати в себе випадкове нізми відкритого ключа для перевірки походження число як параметр, а випадкове число і раніше запиту, а раніше спільно використовувані секретні спільно використовуваний секретний ключ, що ключі для перевірки походження відповіді. Напризберігається в модулі ідентифікації абонента в клад, BSF може незалежно повторно розраховувамобільному терміналі, використовуються модулем ти один або більше параметрів у відповіді аутенідентифікації абонента для формування першого тифікації (наприклад, з використанням або на ключа, який використовується для обчислення 11 91846 12 першого параметра у відповіді аутентифікації. ково може бути сконфігурована для реалізації фуДругий ключ, що надається в функцію сервера нкції сервера самонастроювання, щоб аутентифісамонастроювання, може формуватися на основі кувати мобільний термінал за допомогою (а) обчикопії раніше спільно використовуваного секретного слення четвертого ключа в функції сервера ключа, яка зберігається поза мобільним термінасамонастроювання на основі другого ключа, який лом, і випадкового числа в запиті аутентифікації. також обчислюється в мобільному терміналі на Перший параметр відповіді аутентифікації може основі першого ключа, і (b) відправлення четвервключати в себе код аутентифікації повідомлення, того ключа з функції сервера самонастроювання в обчислений за допомогою першого ключа і викозапитуючу функцію мережного додатку, так що ристовуваний функцією сервера самонастроюванмобільний термінал і функція мережного додатку ня для перевірки походження відповіді аутентифіспільно використовують четвертий ключ. Схема кації. обробки додатково може бути сконфігурована для У деяких реалізаціях, третій ключ може форреалізації функції сервера самонастроювання, муватися в функції сервера самонастроювання на щоб аутентифікувати мобільний термінал, порівоснові другого ключа; перший параметр повторно нюючи перший параметр, прийнятий у відповіді обчислюється в функції сервера самонастроюванаутентифікації, з першим параметром, обчисленя з використанням третього ключа. ним функцією сервера самонастроювання, при Крім того, спосіб може додатково включати в цьому відповідь аутентифікації вважається такою, себе (а) обчислення четвертого ключа в функції що виникла з мобільного термінала, якщо обидва сервера самонастроювання на основі другого перших параметри однакові. ключа, який також незалежно обчислюється мобіЩе один інший аспект передбачає спосіб для льним терміналом з використанням першого клюаутентифікації успадкованого мобільного термінача, і (b) відправлення четвертого ключа з функції ла для підтримання зв'язку з функцією мережного сервера самонастроювання в запитуючу функцію додатку, який включає: (а) прийом запиту аутенмережного додатку, так що мобільний термінал і тифікації в мобільному терміналі, який включає в функція мережного додатку спільно використовусебе випадкове число, (b) перевірку, чи виникає ють четвертий ключ для забезпечення захисту запит аутентифікації в функції сервера самонастзв'язку між ними. роювання, на основі попередньо одержаного серЩе одна ознака передбачає мережний притифіката сервера самонастроювання, асоціативно стрій, який містить: (а) інтерфейс зв'язку для підтзв'язаного з функцією сервера самонастроювання, римання зв'язку з безпровідними мобільними тер(с) формування відповіді аутентифікації на основі міналами, і (b) схему обробки, приєднану до першого ключа, сформованого успадкованим моінтерфейсу зв'язку і виконану з можливістю реалідулем ідентифікації абонента в мобільному термізації функції сервера самонастроювання, щоб ауналі, і (d) надання першого ключа з модуля ідентентифікувати мобільний термінал. Схема обробки тифікації абонента в мобільний термінал у може аутентифікувати мобільний термінал за довідповідь на прийом випадкового числа, прийнятопомогою (а) формування запиту аутентифікації, го в запиті аутентифікації. Спосіб додатково може який включає в себе випадкове число, (b) відправвключати в себе формування першого ключа в лення запиту аутентифікації на мобільний термімодулі ідентифікації абонента з використанням нал, при цьому мобільний термінал може перевівипадкового числа, раніше використовуваного ряти походження запиту аутентифікації на основі секретного ключа і алгоритму. Раніше спільно випопередньо одержаного сертифіката сервера сакористовуваний секретний ключ і алгоритм обидва монастроювання, асоціативно зв'язаного з функцізберігаються в модулі ідентифікації абонента і єю сервера самонастроювання, (с) прийому відпомережній базі даних, з можливістю обміну інфорвіді аутентифікації від мобільного термінала, мацією приєднаній до функції сервера самонаствідповідь аутентифікації включає в себе перший роювання. У деяких реалізаціях, перший ключ мопараметр, обчислений за допомогою першого же формуватися з використанням додаткових ключа на основі випадкового числа, раніше спільпараметрів, що передаються в запиті і відповіді но використовуваного секретного ключа і алгоритаутентифікації. му, при цьому раніше спільно використовуваний Спосіб додатково може включати в себе обчисекретний ключ і алгоритм відомі модулю ідентислення третього ключа в мобільному терміналі на фікації абонента в мобільному терміналі і мережоснові першого ключа. Третій ключ також може ній базі даних, з можливістю обміну інформацією незалежно обчислюватися в функції сервера саприєднаної до функції сервера самонастроювання, монастроювання на основі другого ключа, що на(d) обчислення другого параметра в функції сердається в функцію сервера самонастроювання вера самонастроювання на основі другого ключа, мережною базою даних. Третій ключ відправлящо надається на сервер самонастроювання мереється з функції сервера самонастроювання в запижною базою даних, і (e) порівняння першого паратуючу функцію мережного додатку, так що мобільметра і другого параметра, при цьому відповідь ний термінал і функція мережного додатку спільно аутентифікації вважається такою, що виникла з використовують третій ключ. мобільного термінала, якщо перший і другий паЩе одна ознака передбачає мобільний терміраметр однакові. У деяких реалізаціях, модуль нал, який містить: (а) інтерфейс безпровідного ідентифікації абонента може бути одним з модуля зв'язку для підтримання зв'язку з функцією сервевизначення абонента (SIM) глобальної системи ра самонастроювання, (b) модуль ідентифікації мобільного зв'язку (GSM) або модуля аутентифіабонента для зберігання раніше спільно викорискації CDMA2000. Крім того, схема обробки додаттовуваного секретного ключа і алгоритму, і (с) 13 91846 14 схему обробки, виконану з можливістю керування сумісним мобільним терміналом і функцією сервеуспадкованим протоколом зв'язку і аутентифікації ра самонастроювання для захищеної аутентифімобільного термінала по протоколу запитукації один одного для функцій мережних додатків відповіді з функцією сервера самонастроювання. згідно з однією з реалізацій. Схема обробки може працювати за допомогою (а) Докладний опис прийому запиту аутентифікації, який включає в У подальшому описі, специфічні деталі надані, себе випадкове число, з функції сервера самонасщоб забезпечити вичерпне розуміння варіантів троювання, (b) визначення, чи походить запит ауздійснення. Однак, рядовому фахівцеві в даній тентифікації з функції сервера самонастроювання, галузі техніки буде зрозуміло, що варіанти здійсна основі попередньо одержаного сертифіката нення можуть бути здійснені на практиці без цих сервера самонастроювання, асоціативно зв'язаноспецифічних деталей. Наприклад, схеми можуть го з функцією сервера самонастроювання, і (с) показуватися на структурних схемах, для того щоб формування відповіді аутентифікації, що включає не ховати варіанти здійснення в зайвих подробив себе перший параметр, обчислений за допомоцях. У інших випадках, широко відомі схеми, консгою першого ключа, при цьому перший ключ фортрукції і технології можуть не показуватися детамується з випадкового числа, раніше спільно вильно, для того щоб не затіняти варіанти користовуваного секретного ключа і алгоритму. здійснення. Додатково, схема обробки може (а) формувати До того ж зазначено, що варіанти здійснення третій ключ, виведений на основі першого ключа і можуть описуватися у вигляді послідовності опеінших параметрів, що передаються в запиті і відрацій, яка зображена як блок-схема алгоритму повіді аутентифікації, і (b) формувати код аутенпослідовності операцій способу, схеми послідовтифікації повідомлення, обчислений з використанності операцій, схеми конструкції або структурної ням третього ключа. Код аутентифікації схеми. Незважаючи на те, що блок-схема алгориповідомлення може бути включений у відповідь тму послідовності операцій способу може описувааутентифікації серверу самонастроювання. Моти операції у вигляді багатостадійної послідовності дуль аутентифікації абонента може формувати операцій, багато які з операцій можуть виконуваперший ключ на основі випадкового числа, раніше тися паралельно або одночасно. У доповнення, використовуваного секретного ключа і алгоритму. порядок операцій може бути перекомпонований. Модуль ідентифікації абонента може бути моПослідовність операцій припиняється, коли заведулем визначення абонента (SIM), сумісним з проршуються її операції. Послідовність операцій може токолом глобальної системи мобільного зв'язку відповідати способу, функції, процедурі, стандарт(GSM). Раніше спільно використовуваний секретній підпрограмі, підпрограмі і т. п. Коли послідовний ключ також може застосовуватися для наданність операцій відповідає функції, її закінчення ня мобільному терміналу можливості встановленвідповідає поверненню функції у породжуючу фуння зв'язку через успадковану безпровідну мережу. кцію або головну функцію. Короткий опис креслень Більше того, запам'ятовуючий носій може Фіг. 1 - структурна схема, що ілюструє систему представляти один або більше пристроїв для збезв'язку, в якій сервер самонастроювання і успадрігання даних, в тому числі постійний запам'ятокований мобільний термінал можуть взаємно аувуючий пристрій (ПЗП, ROM), оперативний запатентифікувати один одний згідно з однією з реалім'ятовуючий пристрій (ОЗП, RAM), запам'ятовуючі зацій. носії на магнітних дисках, оптичні запам'ятовуючі Фіг. 2 - структурна схема, що ілюструє мобільносії, пристрої флеш-пам'яті і/або інші машиночиний термінал, реалізований з можливістю викотані носії для зберігання інформації. Термін "манання взаємної аутентифікації з функцією сервера шиночитаний носій" включає в себе, але не як обсамонастроювання в мережі зв'язку згідно з однією меження, портативні або стаціонарні з реалізацій. запам'ятовуючі пристрої, оптичні запам'ятовуючі Фіг. 3 - структурна схема, що ілюструє мережпристрої, безпровідні канали і різні інші носії, які ний пристрій, реалізований з можливістю виконандопускають зберігання, утримування або перененя функції сервера самонастроювання для аутенсення команд(и) і/або даних. тифікації мобільної станції згідно з однією з Крім того, варіанти здійснення можуть бути реалізацій. реалізовані апаратними засобами, програмним Фіг. 4 ілюструє спосіб виконання механізму зазабезпеченням, програмно-апаратними засобами, питу-відповіді, який взаємно аутентифікує успадміжплатформеним програмним забезпеченням, кований мобільний термінал і функцію сервера мікропрограмою або їх комбінацією. Коли реалізосамонастроювання згідно з однією з реалізацій. ваний в програмному забезпеченні, міжплатфорФіг. 5 ілюструє загальний спосіб аутентифікації меному програмному забезпеченні або мікропрогмобільного термінала з використанням функції рамі, програмний код або сегменти коду для сервера самонастроювання і аутентифікації функвиконання необхідних задач можуть зберігатися на ції сервера згідно з однією з реалізацій. машиночитаному носії, такому як запам'ятовуючий Фіг. 6 ілюструє спосіб виконання протоколу заносій або інший запам'ятовуючий пристрій(ої). питу-відповіді між GSM-сумісним мобільним терміПроцесор може виконувати необхідні задачі. Сегналом і функцією сервера самонастроювання для мент коду може представляти процедуру, функзахищеної аутентифікації один одного для функцій цію, підпрограму, програму, стандартну програму, мережних додатків згідно з однією з реалізацій. стандартну підпрограму, модуль, пакет програмноФіг. 7 ілюструє альтернативний спосіб викого забезпечення, клас або будь-яку комбінацію нання протоколу запиту-відповіді між GSMкоманд, структур даних або операторів програми. 15 91846 16 Сегмент коду може бути пов'язаний з іншим сегМТ в HLR мережі, щоб відшукувати інформацію ментом коду або апаратною схемою за допомогою про МТ 102. пересилання і/або прийому інформації, даних, арМТ 102 може бути успадкованим пристроєм гументів, параметрів або вмісту пам'яті. Інформабезпровідного зв'язку, який здійснює реєстрацію ція, аргументи, параметри, дані і т. п. можуть пеабо з'єднується з постачальником послуг з викориреправлятися, пересилатися або передаватися станням попередньо визначеного протоколу (начерез відповідний засіб, в тому числі спільне викоприклад, попереднього 3G протоколу), для того ристання пам'яті, пересилання повідомлень, перещоб здійснювати зв'язок по мережі 100. У деяких дачу маркера, мережну передачу і т. п. реалізаціях, ця послідовність операцій реєстрації з У подальшому описі визначена термінологія постачальником послуг може включати в себе аувикористовується для опису певних ознак одного тентифікацію МТ 102 за допомогою використання або більше варіантів здійснення винаходу. Наприраніше спільно використовуваного секретного клад, терміни "мобільний термінал", "користувацьключа (наприклад, збереженого в SIM GSM, модуке обладнання", "безпровідний пристрій" і " безлі аутентифїкації CDMA або іншому успадкованопровідний мобільний пристрій" використовуються му модулі). Наприклад, МТ 102 може містити в собі взаємозамінно для вказівки посиланням на мобіGSM-сумісний SIM або СDМА2000-сумісний мольні телефони, пейджери, безпровідні модеми, дуль аутентифїкації, щоб дати МТ 102 можливість персональні цифрові секретарі, персональні інфопрацювати в мережах GSM або CDM2000 і надати рмаційні системи (РІМ), кишенькові комп'ютери, йому можливість аутентифікуватися мережею для дорожні комп'ютери і/або інші мобільні комуніказв'язку по ефіру. ційні/обчислювальні пристрої, які підтримують Як тільки МТ 102 аутентифікований постачазв'язок, щонайменше частково, через стільникову льником послуг для зв'язку через мережу, один з мережу. Термін "успадкований" використовується аспектів винаходу додає ще один рівень аутентидля вказівки посиланням на мережі, протоколи фїкації, щоб ввести в дію захищені мережні додаті/або мобільні пристрої, які є попередніми 3G, прики. Цей механізм додаткової аутентифїкації є неводять в дію попередній 3G протокол або застосозалежним від мережного односпрямованого вують GSM-сумісний SIM або CDMA-сумісні моканалу або механізму аутентифїкації односпрямодуль аутентифікації або модуль аутентифікації ваного каналу, що лежить в основі. Додатковий MN-AAA. Додатково, термін "модуль ідентифікації рівень аутентифїкації використовує існуючі ключі, абонента" використовується для вказівки посив SIM або модулі аутентифїкації, разом з новітнім ланням на GSM-сумісний модуль визначення абопротоколом для створення ключів, які є незалежнента (SIM), CDMA-сумісні модуль аутентифікації ними від служб забезпечення безпеки мережі або або модуль аутентифікації MN-AAA, або будь-який односпрямованого каналу. Цей новий механізм інший модуль, що типово включається в мобільний аутентифїкації передбачає ключі для аутентифїтермінал для ідентифікації мобільного термінала кації або інші предмети, що спільно використовупо відношенню до безпровідної мережі. ються між МТ 102 і окремою NAF 108, поширювані Одна з ознак передбачає спосіб для розшидо NAF через BSF 106. NAF 108 може бути додатрення основоположної архітектури аутентифікації ком, який працює на зв'язаному з мережею придля підтримання успадкованих систем, так що строї, таким як, наприклад, додатки комерційних абоненти, що мають модуль визначення абонента транзакцій і/або засновані на місцеположенні слу(SIM) GSM, можуть забезпечуватися ключами для жби. використання в мобільних додатках без вимоги Коли МТ 102 вже готовий почати використання заміни SIM на 3G, UMTS-сумісний модуль ідентичмережного додатку, він ініціює зв'язок з NAF 108 ності обслуговування користувача (USIM). по комунікаційній лінії 110 зв'язку. Якщо МТ і NAF Фіг. 1 - структурна схема, що ілюструє систему ще не готові спільно використовувати належні зв'язку, в якій сервер самонастроювання і успадключі, то NAF 108 робить запит на ключі аутентикований мобільний термінал можуть взаємно ауфікації через інтерфейс 112 в BFS 106. Якщо це тентифікувати один одний згідно з однією з реаліще не зроблене, МТ 102 і BSF 106 узгоджують зацій. Мережна архітектура 100, така як GSMключі з МТ 102 через лінію 114 зв'язку аутентифісумісна або СDМА2000-сумісна система зв'язку, кації. включає в себе мобільний термінал 102 (МТ), реОбмін ключем Діфі-Хелмана може застосовуєстр 104 вихідного положення (HLR), функцію 106 ватися як частина послідовності операцій узгосервера самонастроювання (BSF) і щонайменше дження ключів між МТ 102 і BSF 106. Обмін клюодну функцію 108 мережного додатку (NAF). HLR чами Діфі-Хелмана є криптографічним 104 і BSF 106 можуть базуватися на одному або протоколом, який надає двом сторонам, які раніше більше мережних пристроях і/або серверах, які є не мали відомостей одна про одну, можливість частиною інфраструктури мережної архітектури спільно встановлювати спільно використовуваний 100.HLR 104 включає в себе базу даних, яка міссекретний ключ по незахищеному каналу зв'язку. У тить в собі інформацію про мобільного абонента одному із застосувань, цей спільно використовудля власника безпровідного каналу зв'язку, яка ваний секретний ключ потім може використовувавключає в себе міжнародний розпізнавальний код тися для шифрування подальших обмінів інфорабонента мобільного зв'язку для кожного МТ 102, мацією з використанням шифру з симетричним що належить абоненту. IMSI є унікальним номеключем. ром, який асоціативно зв'язаний з МТ 102 в мереОднак, без чогось ще, традиційні алгоритми жі. IMSI також зберігається в модулі визначення обміну ключем Діфі-Хелмана сприйнятливі до атак абонента (SIM) кожного МТ 102 і відправляється з "посередником", які підривають забезпечення 17 91846 18 захисту по цьому алгоритму. Це заслуговує особпідтримання зв'язку з безпровідною мережею, і ливої уваги в тих випадках, коли інформація обміпристрій 304 пам'яті. Схема 302 обробки може нюється через безпровідне середовище для викобути сконфігурована для виконання функції сервенання комерційних і/або конфіденційних ра самонастроювання нарівні з підтриманням клютранзакцій між МТ 102 і NAF 108. чів і/або інших параметрів для реалізації обміну Одна з ознак винаходу передбачає протокол, ключем Діфі-Хелмана з МТ. Наприклад, схема 302 який дає BSF 106 і МТ 102 можливість узгоджуваобробки може бути сконфігурована для виконання ти відкритий або спільно використовуваний ключ частини або всіх способів, проілюстрованих на фіг. чином, який не сприйнятливий до властивих GSM 4, 5, 6 і 7. і/або CDMA2000 недоліків. Зокрема, МТ 102 споФіг. 4 ілюструє спосіб виконання механізму зачатку забезпечується цифровим сертифікатом для питу-відповіді, який взаємно аутентифікує мобільаутентифікації BSF 106. Це надає передачам інний термінал, що містить успадкований SIM, і фунформації з ВSF 106 на МТ 102 можливість цифрокцію сервера самонастроювання згідно з однією з вим чином підписуватися або переноситися в ауреалізацій. Цей механізм запиту - відповіді викотентифікованому сервером каналі, відповідно, ристовує механізми відкритого ключа для перевірнадаючи МТ 102 можливість переконуватися, що ки походження запиту і раніше спільно використоключі або параметри, прийняті під час послідовновувані секретні ключі для перевірки походження сті операцій аутентифікації, є такими, що надховідповіді. дять від BSF 106, а не від іншої сутності, що роФункція сервера самонастроювання (BSF) фобить атаку з "посередником" або з повторенням рмує запит аутентифікації і відправляє його на пакетів. Таким чином, даний спосіб може застосомобільний термінал (МТ) відповідно до механізму вуватися для розширення схеми аутентифікації 402 аутентифікованого сервером публічного клюосновоположної архітектури самонастроювання ча. Запит аутентифікації може включати в себе 3G до протоколів, інших, ніж АКА UMTS, які самі по випадкове число (наприклад, RAND) і виводиться собі не дістають користь з мережної аутентифіказ раніше спільно використовуваного секретного ції. ключа (наприклад, Кі), відомого мережній базі даФіг. 2 - структурна схема, що ілюструє мобільних і модулю ідентифікації абонента в МТ. Наприний термінал 200 (МТ), виконаний з можливістю клад, раніше спільно використовуваний секретний виконання взаємної аутентифікації з функцією ключ Кі і випадкове число (наприклад, RAND) мосервера самонастроювання, що діє в мережі зв'язжуть використовуватися для формування секретку. МТ 200 включає в себе схему 202 обробки (наних ключів (наприклад, SRES і Кс), які використоприклад, процесор), приєднану до інтерфейсу 202 вуються для формування параметрів запиту зв'язку для підтримання зв'язку з безпровідною аутентифікації. Запит аутентифікації також може мережею, і карту 204 модуля визначення абонента включати в себе додаткові параметри, такі як від(SIM). Схема 202 обробки може бути сконфігуромітка часу, інші випадкові числа, інформація іденвана для виконання частини або всіх способів, тичності, відкритий ключ Діфі-Хелмана і т. п., і відпроілюстрованих на фіг. 4, 5, 6 і 7. SIM 204 може правляється по підписаному цифровим підписом містити в собі секретний ключ Кі, реалізацію алгоі/або аутентифікованому сервером каналу. ритмів узгодження аутентифікації і ключів GSM МТ приймає запит аутентифікації і перевіряє, (тобто алгоритмів А3/А8 GSM), і вставлена в МТ чи походить він з BSF, на основі сертифіката 404 102, який утримує відкритий ключ або цифровий сервера самонастроювання. Такий сертифікат сертифікат сервера відкритого ключа, відповідного сервера самонастроювання (наприклад, відкритий приватному ключу в BSF 106. Зокрема, SIM 204 ключ) міг бути наданий МТ і BSF при початковому може бути стандартною успадкованою смартнастроюванні, автономній роботі і/або під час покартою, виконаною з можливістю використання в передньої послідовності операцій. МТ формулює мережі GSM. Відкритий ключ або сертифікат сервідповідь на запит аутентифікації на основі ключів, вера можуть відповідати відкритому ключу RSA, виведених і/або наданих модулем ідентифікації або також можуть використовуватися інші техноабонента в МТ 406. Ці секретні ключі можуть форлогії з відкритим ключем, що дають можливість муватися модулем ідентифікації абонента на осцифрових підписів, наприклад, DSA (алгоритм нові випадкового числа, прийнятого в запиті аутецифрового підпису). BSF 106 і МТ 102 також монтифікації, і раніше спільно використовуваного жуть спільно використовувати попередньо визнасекретного ключа, що зберігається в модулі іденчену породжуючу функцію Ρ циклічної групи, такої тифікації абонента. Наприклад, випадкове число як мультиплікативна група кінцевого поля або точ(наприклад, RAND), прийняте в запиті аутентифіка на еліптичній кривій, яка надає їм можливість кації, і раніше спільно використовуваний секретний використовувати обмін ключем Діфі-Хелмана. У ключ (наприклад, Кі), що зберігається в модулі альтернативних варіантах здійснення, МТ 200 моідентифікації абонента МТ, можуть використовуваже включати в себе CDMA2000-сумісний модуль тися для формування ключів (наприклад, SRES і аутентифікації замість SIM 204. Кс), які використовуються для формування параФіг. 3 - структурна схема, що ілюструє мережметрів відповіді аутентифікації. Додатково, в дений пристрій, виконаний з можливістю виконання яких реалізаціях, МТ також може використовувати функції сервера самонастроювання (BSF) для аудодаткові параметри (наприклад, відмітку часу, тентифікації мобільної станції (МТ) згідно з одним інші випадкові числа, інформацію ідентичності, з аспектів винаходу. Мережний пристрій 300 вклювідкритий ключ Діфі-Хелмана) для розрахунку чає в себе схему 302 обробки (наприклад, процеключів, що використовуються для формулювання сор), приєднану до інтерфейсу 306 зв'язку для відповіді аутентифікації. 19 91846 20 BSF приймає відповідь аутентифікації і переабо цифрового сертифіката сервера BSF, які були віряє, чи походить вона з МТ, на основі секретних надані в МТ. Якщо запит аутентифікації не прихоключів (наприклад, SRES і Кс), незалежно одердить з очікуваної BSF, то послідовність операцій жаних функцією 408 сервера самонастроювання. завершується. Інакше, відповідь аутентифікації на Наприклад, BSF може використовувати секретні запит формулюється на основі секретного ключа, ключі (наприклад, SRES і Кс), сформовані мережнаданого SIM МТ 510. Наприклад, МТ пересилає ною базою даних на основі випадкового числа випадкове число RAND в SIM (в МТ), який розраRAND і раніше спільно використовуваного секретховує один або більше секретних ключів (SRES і ного ключа (наприклад, Кі). Таким чином, сертифіКс) з використанням раніше спільно використовукат сервера самонастроювання використовується ваного секретного ключа Кі і випадкового числа МТ для перевірки походження запиту, нарівні з RAND за допомогою алгоритмів A3 і А8. Секретні тим, що ключі (наприклад, SRES і Кс) використоключі SRES і Кс потім надаються в МТ для формувуються BSF для перевірки походження відповіді. лювання відповіді аутентифікації. У одній з реаліЦе гарантує, що ніякі атаки третьою стороною не зацій, секретні ключі SRES і Кс можуть використомають місця. вуватися для обчислення коду аутентифікації Виходячи з перевірки і незалежних розрахунків повідомлення або виведення, або шифрування ключів (наприклад, SRES і Кс), може обчислюваодного або більше параметрів, які відправляються тися спільно використовуваний ключ МТ і BSF. У як частина відповіді аутентифікації. мобільному терміналі і сервері самонастроювання Відповідь аутентифікації відправляється з МТ може формуватися ключ додатку, який сервер в BSF 512. BSF потім перевіряє походження відпосамонастроювання може надавати в запитуючу віді аутентифікації на основі незалежно одержанофункцію мережного додатку, щоб дати можливість го секретного ключа 514. Наприклад, SRES і Кс, захищеного зв'язку між мобільним терміналом і одержані з HLR (в трійці, відповідній випадковому функцією 410 мережного додатку. Наприклад, спічислу RAND і раніше спільно використовуваному льно використовуваний ключ або ключ додатку, секретному ключу Кі), можуть використовуватися виведений зі спільно використовуваного ключа, для підтвердження дійсності одного або більше можуть відправлятися за допомогою BSF в запипараметрів у відповіді аутентифікації з МТ. Напритуючу функцію мережного додатку (NAF), так що клад, BSF може незалежно розраховувати код NAF і МТ спільно використовують ключ, який може аутентифікації повідомлення (або інший параметр використовуватися для захищеного зв'язку між у відповіді аутентифікації) з використанням випадNAF і МТ. кового числа RAND, SRES і/або Кс, прийнятих з Фіг. 5 ілюструє спосіб аутентифікації мобільноHLR. Якщо параметри (наприклад, код аутентифіго термінала з використанням функції сервера кації повідомлення), розраховані МТ і BSF, співпасамонастроювання і аутентифікації функції серведають, то походження відповіді аутентифікації підра згідно з одним з варіантів здійснення винаходу. тверджене. Цей спосіб може бути реалізований, коли функції У альтернативній реалізації, МТ може розрамережного додатку потрібно узгодити ключі з моховувати третій ключ з використанням одного або більним терміналом (МТ) до запуску транзакції більше секретних ключів (SRES і Кс, одержаних з мережного додатку. Наприклад, узгодження аутенSIM) і інших параметрів (одержаних із запиту або тифікації і ключів (АКА) GSM засновані на протовідповіді аутентифікації або з SIM). Цей третій колі запиту-відповіді. Секретний ключ Кі, а також ключ потім використовується для формулювання два алгоритми A3 і А8 зберігаються в модулі вивідповіді аутентифікації (наприклад, обчислення значення абонента (SIM) всередині МТ, а також коду аутентифікації повідомлення). BSF також мореєстрі вихідного положення (HLR)/центрі аутенже розраховувати такий же ключ, оскільки їй відомі тифікації (AuC). SIM сконструйований захищеним такі ж ключі і/або параметри, як і МТ. Таким чином, від невмілого поводження і містить в собі секретні BSF може перевіряти, чи походить відповідь аутедані і алгоритми, які не можуть легко зчитуватися нтифікації з МТ. користувачем. Як тільки відповідь аутентифікації перевірена, Запит ключа формується і відправляється з BSF і МТ незалежно обчислюють спільно викорисМТ, який містить всередині успадкований SIM, в товуваний ключ на основі одного або більше клюфункцію 502 сервера самонастроювання (BSF). чів і/або параметрів (наприклад, SRES, Кс і/або BSF одержує інформацію аутентифікації для МТ з інших параметрів), відомих обом, BSF і МТ 516. мережних HLR або AuC 504. Наприклад, HLR/AuC Цей спільно використовуваний ключ потім може вибирає 128-бітове випадкове RAND запиту, яке надаватися запитуючій NAF для встановлення вводиться, разом з Кі, в два алгоритми A3 і А8 для захищеного зв'язку або транзакцій між МТ і NAF видачі 32-бітового вихідного SRES і 64-бітового 518. вихідного Кс, відповідно. Трійки (RAND, SRES, Kc), МТ аутентифікує передачі з BSF за допомогою відповідні SIM запитуючого МТ, потім надаються в механізму відкритого ключа. BSF запитує МТ з BSF для аутентифікації SIM всередині запитуючовипадковим числом RAND і встановлює, що він го МТ. BSF потім запитує МТ з випадковим числом озброєний відповідними секретними ключами RAND (сформованим за допомогою HLR) і іншими SRES і/або Кс, для того щоб аутентифікувати пепараметрами 506. редачі з МТ. Таким чином, BSF і МТ взаємно аутеМТ перевіряє, чи походить запит аутентифікантифікуються для того, щоб спільно використовуції з BSF, на основі сертифіката 508 сервера савати інформацію, з якої можуть виводитися ключі монастроювання. Наприклад, ця перевірка може для цілей самонастроювання. виконуватися з використанням відкритого ключа 21 91846 22 Фіг. 6 ілюструє спосіб виконання протоколу за(Ру, МАС) 616 в BSF 604. Ця відповідь 616 може питу-відповіді між GSM-сумісним мобільним термідодатково розширятися, щоб включати в себе інші налом 608 і функцією 604 сервера самонастроюпараметри, по яких обчислюється МАС, такі як вання для захищеної аутентифікації один одного ідентифікатор транзакції. для функцій мережних додатків згідно з однією з BSF 604 приймає Ру і перевіряє МАС з викориреалізацій. Узгодження аутентифікації і ключів станням SRES і Кс, які вона приймала в трійці ау(АКА) GSM засновані на протоколі запитутентифікації з HLR 602. Якщо МАС є коректним, це відповіді. Для того, щоб здійснювати самонастропідтверджує, що МТ 606 озброєний коректною SIM ювання на основі успадкованого SIM, HLR/AuC і 608, і повідомлення 618 підтвердження може відпSIM виконують подібні розрахунки на основі існуюравлятися в МТ 606. чого секретного ключа Кі і алгоритмів A3 і А8 GSM. У цьому варіанті здійснення, МТ 606 і BSF 604 У протоколі GSM, секретний ключ Кі і алгоритм(и) виконали взаємно аутентифікований обмін ключем A3 і А8 аутентифікації зберігаються в смарт-карті Діфі-Хелмана і узгоджують ключ Рху, який вони модуля визначення абонента (SIM), а також HLR обчислюють відповідно. Ключ для подальшого 602 мережі. SIM 608 сконструйований захищеним зв'язку потім може обчислюватися, наприклад, як від невмілого поводження і містить в собі дані і хеш-функція від Рху, можливо з урахуванням додаалгоритми, які не можуть легко зчитуватися користкової інформації, відомої обом, МТ і BSF, такої як тувачем. Типово, секретний ключ Кі і алгоритм(и) інформація ідентичності, RAND, SRES і Кс. У виA3 і А8 аутентифікації використовуються для встападку, де мають місце розрахунки Діфі-Хелмана, новлення обслуговування по ефіру з мережею. або результуючий ключ зберігається швидше на У одному з варіантів здійснення, запит на клюМТ 606, ніж в SIM 608, цей ключ Рху і результуючий чі аутентифікації може ініціюватися МТ 606, який узгоджений ключ повинні видалятися, якщо SIM витягує свій асоціативно зв'язаний міжнародний 608 знімається з МТ, або МТ заживлюється з вирозпізнавальний код 600 абонента мобільного користанням іншого SIM 608. зв'язку (IMSI) зі свого SIM 608 і відправляє його в Зазначимо, що цей протокол захищає проти функцію 604 сервера самонастроювання (BSF). традиційних недоліків, що виникають з GSM, при BSF 604 відправляє IMSI 600 в HLR 602, де він умові, що МТ 606 не підтримує алгоритм А5/2. Алможе перевіряти, чи належить IMSI 600 МТ, який горитм А5/2 надає можливість майже миттєвого приєднується до мережі. HLR 602 може керуватипереривання протоколу GSM, яке може підірвати ся постачальником послуг для абонента, SIM якого протокол, наведений вище. Однак, алгоритм А5/2 міститься в МТ 606. HLR 602 вибирає, наприклад, виводиться з ладу в специфікаціях випуску 6 128-бітове випадкове RAND запиту і, разом з ра3GPP. ніше спільно використовуваним секретним ключем Відмітимо, крім того, що посередник, який наКі, використовує їх як вхідні дані для двох алгоримагається атакувати протокол, не може змінювати тмів A3 і А8, щоб видавати 32-бітовий підписаний початковий запит (RAND, Px, SIG), внаслідок SIG, SRES відповіді і 64-бітовий вихідний секретний тому атакуючий не може вставити свою власну Pz ключ Кс конфіденційності, відповідно. HLR 602 або використовувати інше RAND. У кращому випотім видає трійки (RAND, SRES, Кс) в BSF 604, падку, він міг би повторювати ці повідомлення, але відповідні IMSI 600 ідентичності з SIM 608. BSF він не може імітувати BSF, оскільки будь-який по604 формує випадковий секретний показник χ і втор є рівноцінним використанню скороминущого обчислює відкритий ключ Рх Діфі-Хелмана, де Ρ Діфі-Хелмана. Навпаки, якщо BSF гарантує, що породжуюча функція циклічної групи, надана равикористовуване RAND є новим, від одного виконіше обом, BSF 604 і МТ 606, такої як мультиплікаристання цього протоколу до наступного, і гарантивна група кінцевого поля або адитивна група тує, що відповідь (Ру, МАС) приймається за коротеліптичної кривої. BSF 602 потім відправляє трійку кий період часу, то атакуючий не має шансу (RAND, Px, SIG) 610 в МТ 606, де SIG - цифровий вивести SRES і Кс завдяки іншому засобу, такому підпис, обчислений з використанням приватного як запитування з RAND в типовому сценарії GSM і ключа RSA BSF 604. Повідомлення 610 може доатака алгоритму А5/1 для витягання ключів. датково розширятися, щоб включати в себе інші Фіг. 7 ілюструє альтернативний спосіб викоаутентифіковані сервером параметри, такі як іденнання протоколу запиту-відповіді між успадковатифікатор транзакції. ним мобільним терміналом (МТ) 706, підтримуюМТ 606 приймає трійку (RAND, Px, SIG) 610 і чим GSM-сумісний модуль 708 визначення використовує цифровий сертифікат BSF 604 для абонента (SIM), і функцією 704 сервера самонастперевірки SIG. Передбачається, що МТ 606 повироювання (BSF) для захищеної аутентифікації нен забезпечуватися цифровим сертифікатом для один одного і узгодження ключа для функцій менадання йому можливості аутентифікувати дані, режних додатків (NAF) згідно з однією з реалізацій. що передаються з BSF 604. Якщо дані вважаються Подібно способу за фіг. 6, запит на ключі аутентитакими, що виникли в BSF, МТ 606 формує випадфікації може ініціюватися МТ 706, який відправляє кове число у і обчислює Ру. МТ 606 також пересисвій асоціативно зв'язаний IMSI 700 з його SIM 708 лає RAND 612 в SIM 608, який повертає пару в BSF 704. BSF 704 відправляє IMSI 700 в HLR (SRES, Кс) 614, сформовану на основі RAND і Кі, в 702, де він може перевіряти, чи належить IMSI 700 МТ 606. Якщо SIM 608 є аутентичним, то він повиМТ, який приєднується до мережі. HLR 702 потім нен формувати такі ж SRES і Кс, як формувалися вибирає і видає трійки (RAND, SRES, Кс) в BSF за допомогою HLR 602. МТ 606 потім обчислює 704, відповідні IMSI 700 ідентичності з SIM 708. код МАС аутентифікації повідомлення у Ру, забезНаприклад, RAND може бути 128-бітовим випадпеченої ключами SRES і Кс, і відправляє відповідь ковим числом, а Кі є раніше спільно використову 23 91846 24 ваним секретним ключем Кі цілісності, і вони викотовувався для забезпечення захисту мережних ристовуються для двох алгоритмів A3 і А8, які видодатків. У одній з реалізацій, раніше спільно видають підписану відповідь SRES (наприклад, 32користовуваний ключ може формуватися з викобітове число) і секретний ключ Кс конфіденційності ристанням алгоритму аутентифікованого Діфі(наприклад, 64-бітове число), відповідно. ПередХелмана, де відкритий параметр Рх, наданий BSF, бачається, що МТ 706 повинен забезпечуватися аутентифікується за допомогою механізму цифровідкритим ключем або цифровим сертифікатом, вого підпису з відкритим ключем (наприклад, серщо дає йому можливість аутентифікувати дані, тифіката сервера самонастроювання, відомого передані з BSF 704. МТ), тоді як параметр Ру, наданий МТ, аутентифіBSF 704 приймає трійку (RAND, SRES, Кс) з кується додаванням коду аутентифікації повідомHLR 702. BSF 704 потім обчислює цифровий підлення, забезпеченого ключами таких даних як пис SIG по RAND (і, можливо, інші параметри, такі SMEKEY (ключ шифрування повідомлення сигнаяк відмітка часу, послідовний номер, випадкове лізації) з CAVE (алгоритму аутентифікації стільнипочаткове число або інформація ідентичності) з ка і шифрування голосу) або аутентифікатора MNвикористанням заснованого на відкритому ключі AAA (аутентифікації, авторизації і обліку мобільномеханізму, який дає МТ 706 можливість аутентифіго вузла). Передбачається, що МТ забезпечений кувати джерело даних, прийнятих з BSF 704. BSF відкритим ключем або цифровим сертифікатом, 704 відправляє RAND і SIG 710 в МТ 706. По приякий дає йому можливість аутентифікувати підпийому (RAND, SIG) 710, МТ 706 перевіряє SIG з сані цифровим підписом повідомлення з BSF, a використанням цифрового сертифіката з BSF 704. раніше спільно використовуваний секретний ключ Якщо дані вважаються такими, що походять з BSF Кі і IMSI ідентифікатора коду аутентифікації відомі 704, МТ 706 відправляє RAND 712 в SIM 708 для обом, модулю коду аутентифікації і HLR. витягання відповідних параметрів SRES і Кс. ТобФахівці в даній галузі техніки будуть брати до то, SIM 708 формує пару SRES і Кс за допомогою уваги, що цей підхід рівним чином застосовується використання раніше спільно використовуваного в обставинах, при яких аутентифікація односпрясекретного ключа Кі і RAND як вхідні дані в алгомованого каналу заснована на CAVE, і знову проритми A3 і А8, якими він був забезпечений. МТ 706 понує перевагу, що ці операції самонастроювання потім може формувати ключ PSK, шифрування можуть виконуватися з використанням симетричPSK по заснованому на відкритому ключі алгоритних і RSA-операцій на всьому протязі, і, таким чиму, і застосовувати код МАС аутентифікації повіном, можуть пропонувати перевагу реалізації над домлення до результату. Додаткові параметри, протоколами, що вимагають підтримки, обох, Діфітакі як часова відмітка, послідовний номер, випадХелмана і RSA. кове початкове число або інформація ідентичності Один або більше компонентів і функцій, проіможуть бути включені у відповідь. МАС може бути люстрованих на фіг. 1, 2 і/або 3, можуть бути пезаснований на функції або алгоритмі (відомим рекомпоновані і/або об'єднані в одиночний компообом, МТ 706 і BSF 704), які можуть враховувати нент або втілені в декількох компонентах, не Кс і SRES як вхідні параметри, і використовується виходячи за рамки винаходу. Додаткові елементи для підтвердження BSF 704, що МТ 706 має кореабо компоненти також можуть додаватися, не виктний SIM 708. Зазначимо, що операції заснованоходячи за рамки винаходу. Апаратура, пристрої го на відкритому ключі шифрування даних і МАС, і/або компоненти, проілюстровані на фіг. 1, 2 і/або забезпечених ключами SRES і Кс, можуть викону3, можуть бути сконфігуровані для виконання споватися в будь-якому порядку. МТ 706 потім відпсобів, ознак або етапів, проілюстрованих на фіг. 4, равляє (зашифрований PSK, МАС) 716 в BSF 704, 5, 6 і/або 7. яка перевіряє, що МТ 706 озброєний коректними Потрібно зазначити, що вищевикладені варіаSRES і Кс, перевіряючи МАС. Ця перевірка МАС нти здійснення є усього лише прикладами і не поробиться за допомогою використання SRES і Кс, винні тлумачитися як такі, що обмежують винахід. прийнятих BSF 704 з HLR 702, для повторного Опис варіантів здійснення розуміється як ілюстрарозрахунку МАС і порівняння його з МАС, прийнятивний і не повинен обмежувати об'єм формули тим з МТ 706. Якщо МАС вважається коректним, винаходу. По суті, представлені доктрини можуть PSK вважається таким, що походить з МТ 706 і без великих зусиль застосовуватися до інших тиSIM 708, і підтвердження або квітирування 718 пів пристроїв, і багато які альтернативи, модифівідправляється на МТ 706. Таким чином, PSK узкації і варіанти будуть очевидні фахівцям в даній годжується між МТ 706 і BSF 704, або додаткові галузі техніки. виведення ключів можуть проводитися з викорисПерелік посилальних позицій танням PSK, Kc, SRES, інформації ідентичності і, 102 Мобільний термінал (МТ) можливо, інших параметрів. 104 Реєстр вихідного положення (HLR) Механізм запиту-відповіді, проілюстрований на 106 Функція сервера самонастроювання (BSF) фіг. 6 і 7 для заснованих на GSM мобільних термі108 Функція мережного додатку (NAF) налів, також може бути реалізований на інших ти110 Комунікаційна лінія зв'язку мобільний припах мобільних терміналів. Наприклад, винахід мострій-додаток же бути працездатний в CDMA2000-сумісній 112 Лінія зв'язку запиту аутентифікації мережі і мобільному терміналі (МТ). При такій ре114 Лінія зв'язку аутентифікації алізації, CDMA2000-сумісний мобільний термінал 200 Мобільний термінал містить в собі модуль аутентифікації cdma2000, 202, 302 Схема обробки UIM або RUIM для узгодження раніше спільно ви204 SIM користовуваного секретного ключа, який викорис206 Інтерфейс(и) зв'язку 25 91846 26 300 Мережний пристрій 510 Формулювання відповіді аутентифікації на 304 Пристрій пам'яті запит в мобільному терміналі, яка включає в себе 306 Інтерфейс(и) зв'язку перший параметр, обчислений за допомогою пер402 Формування запиту аутентифікації в фуншого ключа, сформованого в мобільному термінакції самонастроювання і відправлення його на молі на основі секретного ключа, наданого модулем більний термінал з використанням механізму ауідентифікації абонента мобільного термінала. тентифікованого сервером відкритого ключа. 512 Відправлення відповіді аутентифікації в 404 Прийом запиту аутентифікації в мобільнофункцію серверасамонастроювання. му терміналі і перевірка, чи походить запит з фун514 Перевірка походження відповіді аутентикції сервера самонастроювання, на основі сертифікації в функції сервера самонастроювання за фіката сервера самонастроювання. допомогою незалежного обчислення першого па406 Формулювання відповіді на запит аутенраметра на основі другого ключа, наданого функції тифікації в мобільному терміналі на основі секретсервера самонастроювання. них ключів, наданих модулем ідентифікації абоне516 Обчислення спільно використовуваного нта в мобільному терміналі. ключа в функції сервера самонастроювання і мо408 Прийом відповіді аутентифікації в функції більному терміналі на основі одного або більше сервера самонастроювання і перевірка, чи похоключіві/або параметрів, відомих обом, функції див він з мобільного термінала, на основі секретсервера самонастроювання і мобільному термінаних ключів, незалежно одержаних функцією серлу. вера самонастроювання. 518 Відправлення спільно використовуваного 410 Формування ключа додатку в мобільному ключа з функції сервера самонастроювання в затерміналі і сервері самонастроювання, який серпитуючу функцію мережного додатку, так що мобівер самонастроювання може надавати запитуючій льний термінал і функція мережного додатку спіфункції мережного додатку, щоб дати можливість льно використовують спільно використовуваний захищеного зв'язку між мобільним терміналом і ключ. функцією мережного додатку. 600 Ідентифікатор IMSI 502 Формування і відправлення запиту на 602, 702 HLR ключ аутентифікації з мобільного термінала в фун604, 704 BSF кцію сервера самонастроювання. 606, 706 Мобільний термінал 504 Одержання інформації аутентифікації для 608, 708 SIM мобільного термінала з реєстру вихідного поло610 (RAND, Px, SIG) ження мережі. 612, 712 (RAND) 506 Відправлення запиту аутентифікації з фу614, 714 (SRES,Kc) нкції сервера самонастроювання на мобільний 618 Підтвердження термінал, що включає в себе випадкове число 700 (Підтвердження MSI) RAND. 710 (RAND, SIG) 508 Перевірка, чи походить запит аутентифі716 Зашифрований PSK, MAC кації з очікуваної функції сервера самонастрою718 Підтвердження вання, на підставі попередньо одержаного сертифіката сервера самонастроювання. 27 91846 28 29 91846 30 31 91846 32 33 Комп’ютерна верстка В. Мацело 91846 Підписне 34 Тираж 26 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601