CN102318386B - 向网络的基于服务的认证 - Google Patents
向网络的基于服务的认证 Download PDFInfo
- Publication number
- CN102318386B CN102318386B CN200980156676.7A CN200980156676A CN102318386B CN 102318386 B CN102318386 B CN 102318386B CN 200980156676 A CN200980156676 A CN 200980156676A CN 102318386 B CN102318386 B CN 102318386B
- Authority
- CN
- China
- Prior art keywords
- network
- communication channel
- service
- module
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 104
- 230000004044 response Effects 0.000 claims abstract description 102
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000004846 x-ray emission Methods 0.000 claims description 43
- 230000006870 function Effects 0.000 claims description 19
- 239000003607 modifier Substances 0.000 claims description 6
- 238000007620 mathematical function Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 12
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述一种用于向网络的基于服务的终端认证的方法和系统,其中终端包括多个通信接口,每个通信接口允许终端建立与网络的预定通信信道。该方法包括以下步骤:发送针对向网络服务的接入的服务请求;响应于服务请求从网络接收认证请求;标识通过其接收到认证请求的通信信道;并且向网络发送认证响应RES,其中认证响应依赖于标识的通信信道。
Description
技术领域
本发明涉及一种向网络的基于服务的认证并且具体地但是并不专门地涉及一种用于向网络的基于服务的终端认证的方法和系统和一种用于在这样的系统中使用的服务接口模块。
背景技术
新一代移动设备比如智能电话经由开放网络连接来提供越来越增强的计算功能。这样的移动设备例如能够接收电子邮件、通过近程连接而相互共享软件、下载和执行来自因特网的软件、在远程控制下进行自动化呼叫和动作。因此类似于个人计算机,在建立移动设备到网络之间的连接时涉及到的移动设备以及具体地为软件部件易受恶意代码(恶意软件)的攻击。通常,恶意软件企图滥用移动设备或者简单地破坏移动设备的合法使用。
通常,恶意软件利用如下认证过程中的安全缺陷,该认证过程为订户提供向网络的接入。例如GSM认证和密钥协议(AKA)仅向网络认证移动设备但是倒过来不行。GSM
AKA因此易受所谓的错误基站攻击,其中黑客冒充有效基站。在UMTS AKA中通过使用相互认证来减轻部分这些威胁,其中移动设备必须向拜访者位置寄存器(VLR)认证本身并且VLR必须向移动设备认证本身。GSM AKA中的安全威胁的概况和UMTS AKA抵抗大量这些威胁的方式在ETSI
TS 33.900中被描述。
根据TS 33.900判断,UMTS AKA仍然易受安全攻击。例如UMTS AKA易受所谓的中间人攻击,其中攻击者的移动设备可以使用来自受害者的(U)SIM的认证信息以便获得向网络的接入。这样的中间人攻击如同连接由受害者建立一样允许网络接入。由于网络不能区分合法情形和这样的攻击,所以恶意软件允许以受害者为代价建立呼叫,由此引起大量损害。
发明内容
本发明的目的在于减少或者消除现有技术中已知的至少一个弊端并且在本发明的第一方面中提供一种用于向网络的基于服务的终端认证的方法。该终端包括用于允许终端建立与网络的通信信道的一个或者多个通信接口。该方法包括以下步骤:发送针对向网络服务的接入的服务请求;响应于服务请求从网络接收认证请求;标识通过其接收到认证请求的通信信道;并且向网络发送认证响应RES,其中认证响应依赖于标识的通信信道。
该方法允许网络确定通过哪个通信信道向网络发送认证信息。可以通过标识通过其接收认证请求的通信接口来容易实现通信信道的确定。这样的基于服务的认证方法有效地防止滥用认证信息,例如中间人攻击,其中攻击者使用来自受害者(U)SIM的认证信息以便获得向网络的接入。
另外,该方法与所有或者至少多数现有和提出的AKA兼容。它仅需确定通过其接收请求的通信信道以及将关于通信信道的信息安全插入到响应中。
在一个实施例中,该方法还包括以下步骤:确定与标识的通信信道关联的服务代码;基于服务代码和认证请求中的信息来计算响应RES,由此将关于通过其接收到认证请求的通信信道的标识的信息优选密码地安全包括到响应中。
在终端的标识模块的响应中安全插入关于通过哪个其向网络发送认证信息的通信信道的信息。因此恶意软件不可能或者至少很难检测和/或修改服务信道信息。
在另一实施例中,在该方法中使用的终端包括标识模块和服务接口(SI)模块,该SI优选被实施为受信任硬件模块,被配置成与标识模块安全通信并且标识通过其接收到认证请求的通信信道。
通过使用服务接口模块作为终端中的受信任硬件模块,实现一种用于向网络发送关于通信信道标识的信息的很安全和可靠的方法。优选地,服务接口模块被配置成从网络接收所有传入认证信号。因此,所有认证请求将经由服务接口模块向终端的标识模块进行路由。
在又一实施例中,认证请求包括认证信息(优选为随机挑战RAND),并且该方法还包括以下步骤:基于标识的通信信道,修改认证信息;优选使用电信标准的认证和密钥协议(AKA)来基于修改的认证信息生成认证响应RES。
在一个实施例中,认证请求包括认证信息(优选为随机挑战RAND),并且该方法还包括以下步骤:优选基于电信标准的认证和密钥协议(AKA)生成认证响应RES;优选使用单向函数来基于标识的通信信道修改认证参数RES。
这一实施例允许通过使用与标识模块安全通信的服务接口模块而对该方法的简单和安全的实施。标识通信信道和安全插入关于标识的通信信道的信息可以在服务接口模块中进行,使得无需修改标识模块。这一实施因此与现有标识模块兼容。
在另一实施例中,该方法还包括以下步骤:终端经由预定通信信道向网络发送服务请求;网络基于向网络发送服务请求的通信信道类型而生成预期服务代码XSC;基于预期服务代码XSC确定预期响应XRES。
在一个实施例中,该方法还包括以下步骤:比较预期响应XRES与终端向网络发送的认证响应RES;并且如果RES不等于XRES则确定终端处于不受信任状态。
因此,该方法在它需要如下网络节点的意义上仅需在现有网络中的简单修改,该网络节点被配置成标识网络通过其接收服务请求的通信信道并且提取在终端响应中加密的关于通信信道的信息。
在一个实施例中,终端包括2G或者3G型无线电接口、蓝牙无线电接口、WLAN接口、数字增强无绳(DECT)无线电接口或者以太网数据接口。
在又一方面中,本发明涉及一种用于在终端中使用的服务接口模块,该服务接口模块被优选配置成安全处理向和从终端中的标识模块发送的所有认证信息,其中服务接口模块包括:接收器,用于经由终端的通信接口之一从网络接收认证信号;信道标识器,用于优选通过提供与标识的通信信道关联的服务代码来标识通过其接收认证信号的通信信道;接口,用于建立在该模块与终端的标识模块之间的安全通信信道。
在用于实施该方法的终端中需要的所有功能可以简单地位于与标识模块安全通信的一个受信任硬件模块中。
在一个实施例中,服务接口模块还包括用于基于标识的通信信道来修改标识模块的认证响应的修改器或者用于向标识模块发送关于标识的通信信道的信息的发送器或者用于修改从网络接收的认证请求的修改器。
在另一方面中,本发明涉及一种用于建立与如上文所述的服务接口模块的安全通信信道的标识模块,优选为智能卡。安全通信信道可以例如由攻击者不能干扰的在服务接口模块与标识模块之间的用密码术保护的链路或者直接硬件链路构成。所述标识模块包括:计算器,用于在接收认证请求时优选根据GSM
AKA、3GPP AKA或者IMS
AKA计算响应RES;以及可选地,修改器,用于使用关于标识的通信信道的信息来基于预定数学函数修改所述响应RES。
在又一方面中,本发明涉及一种用于接入网络服务的终端(优选为移动设备),其中终端被配置成响应于认证请求向网络发送修改的响应RES’,其中该修改依赖于终端通过其接收到认证请求的通信信道的类型。
在一个实施例中,终端包括根据如所述的服务接口模块并且可选地包括如上文所述的标识模块。
在又一方面中,本发明涉及一种用于向网络的基于服务的终端认证的网络节点,其中网络节点被配置成响应于接收认证数据请求而生成修改的预期响应XRES’,其中预期响应XRES的修改依赖于向网络发送认证数据响应的通信信道类型。
在一个实施例中,网络节点包括:用于从终端接收服务请求的接收器;生成器,用于基于向网络发送服务请求的通信信道类型而生成预期服务代码XSC;用于生成预期响应XRES的生成器或者用于优选根据GSM AKA、3GPP AKA或者IMS AKA从另一网络节点接收预期响应XRES的接收器;以及修改器,用于使用预期服务代码XSC作为输入参数来基于预定数学函数(优选为单向函数)修改预期响应XRES。
在一个实施例中,网络节点还包括:用于从终端接收响应RES的接收器;用于比较响应RES与修改的预期响应XRES’的比较器。
在又一方面中,本发明涉及一种用于向网络的基于服务的认证的系统,该系统包括:终端,配置成响应于认证请求而向网络发送修改的响应RES’,其中该修改依赖于终端接收到认证请求的通信信道类型;以及网络节点,配置成响应于接收认证数据请求而生成修改的预期响应XRES’并且配置成比较RES’与XRES’,其中预期响应XRES的修改依赖于向网络发送认证数据响应的通信信道类型。
本发明也涉及一种计算机程序产品,该计算机程序产品包括配置用于在运行于终端(优选为移动设备)的存储器中时执行如上文所述的方法步骤的软件代码部分。
参照将示意地示出根据本发明的实施例的附图,将进一步说明本发明。将理解,本发明不以任何方式限于这些具体实施例。
附图说明
图1描绘了根据本发明一个实施例的系统的示意表示。
图2图示了GSM认证过程和UMTS认证过程的示意流程图。
图3描绘了根据本发明一个实施例的服务接口模块。
图4描绘了根据本发明一个实施例的流程图。
图5图示了通过使用本发明来防止欺诈认证过程。
具体实施方式
图1图示了根据本发明一个实施例的通信系统100的示意表示。该系统包括连接到通信网络104的终端102。在一个实施例中,该网络可以是2G型(例如GSM)移动网络,该移动网络包括充当接入节点的基站收发台(BTS)106。BSC经由基站控制器(BSC)108连接到例如拜访网络(VN)的移动切换中心(MSC)110。MSC链接到拜访位置寄存器(VLR)112,该VLR是存储用户有关数据并且执行安全功能的数据库。MSC还链接到位于归属网络(HN)(其中终端102的用户具有与网络运营商的预订)中的归属位置寄存器(HLR)114。HLR 114存储用户有关数据(例如预订有关数据)并且与MSC/VLR 110共同操作以保持对终端位置的跟踪。HLR连接到认证中心(AuC)116。认证中心(AuC)(除了别的以外还)包括用于计算在认证过程中使用的认证参数的算法。对于各订户,AuC存储秘密认证密钥K,该密钥也存储在位于终端中的例如(U)SIM卡等的关联标识模块中。
备选地,图1中的网络也可以描绘包括3G网元的3G型(例如UMTS)移动网络。在该情况下,该网络可以包括经由无线电网络控制器(RNC)108连接到服务GPRS支持节点(SGSN)110的无线电基站(Node-B)106。SGSN以与在如上文所述的2G型网络中类似的方式还连接到VLR 112和AuC/HLR 114、116。
在又一实施例中,通信网络104可以包括比如代理-CSCF(P-CSCF)、询问-CSCF(I-CSCF)、服务-CSCF(S-CSCF)和归宿订户服务器(HSS)之类的一组呼叫/会话控制功能(CSCF)的形式的基于IMS的网元。在更多实施例中,通信网络可以包括3GPP
LTE或者3GPP SAE网元。
终端102可以是个人计算机或者移动设备,比如智能电话、个人数字助理(PDA)、膝上型或者能够通过一个或者多个网络提供服务的任何其它移动通信设备。该终端包括服务接口(SI)模块118、操作系统(OS)126和标识模块120。
SI模块118充当向有线和无线网络服务的中心接入点并且出于该目的而包括多个服务接口。例如对于无线服务,它包括与RF模块例如2G或者3G无线电卡的接口,该RF模块包括连接到一个或者多个天线的RF接收器。图1描绘了一种示例实施方式,其中无线电卡模块119提供与基站106的无线电联络。无线电卡的RF接口能够根据各种使用许可频率频带的无线技术(例如用于GSM服务的TDMA或者用于UMTS服务的W-CDMA)来接收和/或发送RF信号。无线电卡必须具有与SI模块的安全接口。除了与RF模块的接口之外,SI模块还可以包括与其它无线接口模块的多个接口,例如使用非许可频率频带的无线接口模块比如用于WLAN服务的IEEE 802.11接口、用于蓝牙服务的IEEE
802.15.1接口、如在ETS 300 175中描述的DECT接口等。
SI模块也可以包括与一个或者多个有线接口模块的接口,例如允许SI模块使用有线以太网通信信道来连接到网络的以太网接口。SI模块中的接入和配置(AC)管理器管理对与网络的接入节点或者——在近程连接比如蓝牙的情况下——与另一终端的通信信道的建立。它确定在与由终端请求的网络服务关联的具体有线或者无线技术和/或协议下的正确操作参数。另外,SI模块被配置成在向网络中的服务标识单元(STU)124发送的数据中安全包括关于所用接口的信息。下文更具体地说明在SI模块118与SIU 124之间的交互。
终端的操作系统(OS)包括管理移动设备的资源(例如中央处理单元(CPU)、用于存储程序指令和数据的存储器以及输入/输出(I/O)设备比如无线电模块)的内核。另外,OS包括应用编程接口(API),应用程序122可以通过所述API接入由OS所给予的服务。OS可以包括用于经由接口模块之一建立有线或者无线连接的API。
通常可拆卸的标识模块120可以是用于在适合于2G型网络服务(GSM)或者3G型网络服务(UMTS)的移动设备中使用的UICC(通用集成电路卡)。为此,UICC可以包括订户标识模块(SIM)应用(包括SIM功能)和/或UMTS订户标识模块(USIM)应用(包括USIM功能)。将理解,标识模块并不限于SIM和/或USIM应用。在更多实施例中,标识模块可以是用于根据如例如在ETSI技术规范TS
33.203中描述的基于IMS的预定AKA来认证和接入基于IMS的服务的IP多媒体子系统SIM(ISIM)或者用于根据如例如在RFC4187中描述的基于EAP的预定AKA来认证和接入网络的基于可扩展认证协议(EAP)的SIM。
标识模块可以包括处理器、一个或者多个存储器部件例如ROM、RAM和/或EEPROM以及I/O电路。出于认证目的,UICC包括秘密服务订户认证密钥K和一个或者多个算法,该算法用于在接收随机挑战时计算包括一个或者多个认证参数的响应。
图2(a)图示了标识模块中的SIM模块可以使用的标准GSM认证过程的示意流程图。在GSM标准中,MSC响应于源于终端的对网络服务的服务请求而向AuC/HLR发起针对认证数据的请求(步骤202)。在AuC/HLR的随机数生成器生成向GSM A3/A8算法输入的随机值RAND,所述算法生成预期响应XRES和密码密钥KC。向MSC返回三元组{RAND,XRES,KC}(步骤204),该MSC随后向终端的SIM卡转发RAND值(步骤206)。对应计算由终端(通常由完整性模块)执行,该终端向MSC返回计算的响应RES(步骤208)。通过比较RES与XRES,MSC可以向网络认证终端。
在标准UMTS认证过程中执行与GSM过程类似的步骤。然而为了提高安全性而使用附加参数和一组八个函数f0-f5、f1*、f2*。图2(b)图示了可以与标识模块中的USIM应用一起使用的UMTS认证过程的示意流程图。响应于来自SGSN/VLR的针对认证数据的请求(步骤210),AuC/HRL生成随机数RAND(使用函数f0)和新鲜的序列号SQN。AuC/HRL提供秘密认证密钥K(存储于AuC和USIM中,但是从未直接交换)和运营商具体认证管理域AMF。向五个对称加密函数f1-f5中馈送这四个参数从而导致五个新参数:消息认证代码(MAC)、预期响应(XRES)、加密密钥(CK)、完整性密钥(IK)和匿名密钥(AK)。将序列号SQN单独加密成SQN1。
AuC/HRL向SGSN/VLR返回认证矢量(AV)中的这些参数{AUTN,RAND,XRES,CK,IK}(步骤212),其中认证令牌AUTN为三元组{SQN1,AMF,MAC}。随后,SGSN/VLR向移动设备转发包括RAND和AUTN的认证和加密请求(步骤214)。使用RAND和AUTN,USIM除了别的以外还计算响应RES,该响应RES发送回到SGSN(步骤216)并且与如从AuC/HLR接收的XRES比较。
用于加密和完整性校验的密钥具有有限寿命以防止企图通过强力(brute force)长持续时间监视攻击来打破密码或者完整性保护。在到期时,利用在终端与网络之间的重新认证来生成新的一组加密和完整性密钥。
在通过引用结合于此的ETSI标准GSM 02.09和GSM 03.20中具体描述了GSM AKA并且在通过引用结合于此的ETSI技术规范TS 33.102中具体描述了UMTS AKA。
图3描绘了根据本发明一个优选实施例的SI模块。SI模块300位于终端322中并且包括优选通过一个或者多个安全通信信道而连接到关联接口模块320a-320e的多个接口302a-302e。接口模块位于终端中并且用于建立与网络316的网络连接。SI模块被配置成生成服务代码(SC),该SC标识用来建立有线或者无线通信信道的具体服务接口。为此,SI模块中的AC管理器304可以使用查找表306,该查找表包括由移动终端支持的不同服务接口类型和关联服务代码。可以以处理器和例如包括查找表配置数据的一个或者多个存储器模块的形式实施AC管理器。
优选以由接口302a-302e之一接收的针对网络服务的所有传入认证请求将经由SI模块向连接到SI模块的UICC集中路由这样的方式配置终端的硬件。这样的硬件架构保证关于终端接收请求的通信信道来标识所有传入认证请求。另外,SI模块被配置成向安全通信信道308提供连接到SI模块的UICC 310。因此优选以一个或者多个受信任硬件部件的形式实施SI模块。
如果例如终端322经由SI模块的3G RF接口模块320c和3G接口302c接收网络信号例如3G信号,则根据无线空中接口的技术规范将信号转译成数字信号。随后,包括认证请求的数字信号经由SI模块发送到UICC 310。另外,AC管理器304使用查找表306来标识与3G RF接口302c关联的服务代码。服务代码由SI模块用来向网络提供关于认证请求起源的信息。
UICC根据电信标准的AKA(例如如关于图2描述的GSM AKA或者UMTS AKA)处理认证请求并且然后向SI模块返回响应RES。随后,SI模块使用存储于SI模块的安全存储器312中的预定数学算法以便将在服务代码中体现的信息安全包括到从UICC接收的响应RES中。优选地,数学算法f是易于计算但是不可能或者很难反转的所谓的单向函数。适当的单向函数可以是利用SC的安全散列运算。将服务代码插入到响应中允许SI模块以恶意软件无法或者至少很难修改的方式向网络316通知通过其从网络接收认证请求的通信信道(蓝牙314a、WLAN
314b、3G 314c、以太网314d等)。
为了网络提取信道信息,网络(优选为SGSN/VLR或者等效网络节点比如MSC/VLR)包括服务标识单元(SIU)。SIU包括与SI模块使用的函数f相同的函数f。另外,SIU被配置成确定通过什么类型的通信信道接收服务请求。
如图3中所描绘的SI模块的架构的优点在于(U)SIM的规范无需改变。该实施方式简单并且仅需在终端中安装SI模块和在网络中安装SIU。另外,该架构与未包括SI模式或者SIU的常规设备即终端和网络节点(例如SGSN/VLR或者MCS/VLR)向后兼容。
将关于图4给出关于SIU运行的更具体说明。
图4描绘了UMTS网络与包括如关于图1和图3所述的USIM和SI模块的终端之间的过程流400。该过程由从网络请求UMTS服务的终端应用开始。该请求触发RF接口模块在终端与请求的UMTS网络的接入节点之间建立无线UMTS通信信道。随后经由无线通信信道向SGSN/VLR发送服务请求(步骤402)。
然后,SGSN/VLR中的SIU确定通过哪个服务接口(UMTS、GSM、WiFi、蓝牙等)与终端建立过联络。基于标识的服务接口信息,确定预期服务代码XSC(步骤404)。SIU可以通过从存储于SI模块的安全存储器中的查找表——与由终端中的SI模块使用的查找表基本上相同——取回与标识的服务接口(在这一情况下为UMTS服务)关联的服务代码来确定XSC。
响应于服务请求,SGSN/VLR向网络的AuC/HLR发送认证数据请求(步骤406)。AuC/HLR生成向SGSN/VLR发送回(步骤408)的UMTS认证矢量AV。随后经由无线通信信道在认证和加密请求中向终端发送RAND和AUTN(步骤410)。当终端的RF接口模块接收包括请求的无线电信号时,将信号转换成数字信号。AC管理器标识与由SI模块用来与RF模块通信的接口关联的服务代码(步骤412)。随后向USIM转发包括RAND和AUTN的数字信号(步骤414),该USIM例如使用UMTS AKA的f1-f5算法来计算响应RES。然后,USIM向SI模块发送回响应RES(步骤416)。
SI模块使用SC和单向函数f来确定修改的响应RES’=f(RES, SC)(步骤418),因此安全插入与通过其接收过请求的通信信道有关的信息。这样,响应RES’变成特定于它所针对的服务。随后经由RF接口向网络中的SGSN/VLR发送回响应RES’(步骤420)用于与预期响应XRES’比较(步骤422)。SIU可以使用单向函数f来确定预期响应XRES’,其中基于作为输入参数的UMTS AKA和SC来确定预期响应XRES:XRES’=f(XRES, SC)。
随后进行在终端响应RES’与预期响应XRES’之间的比较。如果RES’等于XRES’,则这为网络提供如下指示:终端经由网络所预期的通信信道接收到认证请求。在该情况下批准向网络的接入。
如果RES’不等于XRES’,则向网络提供如下指示:终端经由与网络所预期的通信信道不同的通信信道接收到认证请求。这可以向网络提供如下指示:终端可能受到恶意软件破坏。
注意本发明并不限于如关于图3和图4描述的实施例。在又一实施例中,UICC(而不是SI模块)包括用于将服务代码信息安全插入到响应中的单向函数f。
在AC管理器已选择正确SC之后,代码被插入到包括请求的数字信号中并且被发送到标识模块以供进一步处理(例如解密密钥的认证和/或计算)。因此,在这一变型中,SI模块向标识模块发送的数字信号包括经由哪个服务接口(并且因此经由哪个通信信道)接收信号的信息。用于向标识模块发送服务代码的更多变型可以例如包括在单独信号中向标识模块发送服务代码。
在一个实施例中,(U)SIM可以基于服务代码SC修改认证请求中的认证信息(例如随机挑战RAND)并且随后基于电信标准的认证和密钥协议(AKA)计算响应RES。例如在GSM服务的情况下,SIM可以执行以下步骤:RAND’=f(RAND, SC)和RES’=A3(RAND’, KC)。在另一变型中,SIM首先基于RAND计算响应RES并且然后基于SC修改RES:RES=A3(RAND, KC)和RES’=f(RES, SC)。在UMTS服务的情况下,使用UMTS AKA的f1-f5算法而不是GSM AKA的A3算法。
根据在USIM中实施的具体方案,包括由终端中的USIM使用的数学函数f的SIU可以确定RAND’=f(RAND, XSC)并且将这个值发送到AuC/HLR以使用RAND’作为输入参数之一基于UMTS AKA确定预期响应XRES’。备选地,AuC/HRL可以首先使用RAND作为输入参数之一基于UMTS AKA确定XRES并且将这个值发送到SIU以确定预期响应XRES’=f(XRES, XSC)。
图5代表图示了可以如何使用本发明来防止欺诈认证过程的简化示意图。在这一方案中,攻击者的第一终端502远程连接到受害者的受感染第二终端504并且随后请求和使用来自受害者的(U)SIM 506的认证信息以获得向网络510的接入。
第二终端504中的恶意软件允许攻击者502的终端产生与受害者的受感染终端的第一通信信道512,例如蓝牙连接。其它类型的连接(比如WiFi连接或者有线连接比如以太网连接)也可以是可能。在连接到受害者之后,攻击者通过经由第二通信信道541向AuC/HRL发送服务请求来开始向网络的认证过程。作为响应,攻击者将接收除了别的以外还包括RAND和AUTN的认证请求。攻击者使用与受害者的(U)SIM的蓝牙连接向受害者转发该请求而不是对该请求作出响应。
常规U(SIM)不能区分源于不同通信信道(例如UMTS、GSM、WiFi、蓝牙等)的请求。在该情况下,U(SIM)通过计算正确响应RES来对该请求作出响应,该正确响应RES随后经由蓝牙连接(即请求来自于的通信连接)发送到网络。攻击者可以使用这一RES以向网络成功认证本身。使用这一机制,攻击者能够正确应答来自网络的每个后续认证和加密请求。
然而如果图5中的网络510和受感染终端504被配置为如关于图1描述的根据本发明的通信系统,则SI模块508能够区分源于不同来源的请求。在该情况下,网络510将基于攻击者的请求来确定预期服务代码XSC。由于攻击者经由第二通信信道514请求过UMTS服务,所以网络将把XSC设置成与UMTS服务对应的服务代码。类似地,受感染终端的SI模块508将使用与蓝牙通信信道512对应的服务代码来修改RES。这个修改的RES’经由蓝牙连接发送到网络,该网络然后将确定由网络基于XSC计算的XRES’与RES’不匹配,因为用来向网络发送针对UMTS服务的请求的通信信道不同于终端通过其接收到认证请求的通信信道。在该情况下,网络可以采取适当动作。
在一个实施例中,网络可以针对位于网络的服务节点中的查找表中可用的每个服务代码来计算预期响应值(XRES’’, XRES’’’等)。如果与特定服务代码关联的XRES’值与RES’匹配,则可以确定由终端接收的请求的来源。
这一信息可以由网络用来采取适当动作。它可以例如不提供向网络的接入或者提供向网络的有限接入或者可以将移动设备置于单独隔离或者孤立网络中以便向订户的移动设备提供补救服务。如果响应RES’既不等于XRES’也不等于其它预期响应,则认证过程已失败。
将理解本发明也可以与IMS AKA(3GPP
TS 33.203)一起使用、在通用引导(GBA)应用(参见3GPP
TS 33.220、33.222、33.223)中使用或者在WLAN交互工作应用中与EAP AKA和/或EAP SIM一起使用。它也可以在向移动网络的通用接入解决方案(参见3GPP TS 43.318)中使用。
另外将理解,关于任一实施例描述的任何特征可以独自或者与描述的其它特征组合使用并且也可以与任何其它实施例的一个或者多个特征或者任何其它实施例的任何组合进行组合使用。另外也可以采用上文未描述的等效和修改而不脱离在所附权利要求中限定的本发明的范围。
Claims (18)
1.一种用于向网络的基于服务的终端认证的方法,所述终端包括用于建立与所述网络的通信信道的一个或者多个通信接口,所述方法包括以下步骤:
- 发送针对向网络服务的接入的服务请求;
- 响应于所述服务请求从所述网络接收认证请求;
- 标识通过其接收到所述认证请求的所述通信信道;并且
- 确定与标识的通信信道关联的服务代码;以及
- 向所述网络发送认证响应RES,其中所述认证响应依赖于标识的通信信道,其中基于所述认证请求中的信息和所确定的服务代码来计算所述响应RES,由此将关于所标识的通过其接收到所述认证请求的通信信道的信息安全包括到所述响应中。
2.根据权利要求1所述的方法,其中所述终端包括标识模块和服务接口SI模块,所述SI实施为受信任硬件模块,配置成与所述标识模块安全通信并且标识通过其接收到所述认证请求的所述通信信道。
3.根据权利要求1或2所述的方法,其中所述认证请求包括认证信息,所述方法还包括以下步骤:
- 基于标识的通信信道来修改所述认证信息;
- 使用电信标准的认证和密钥协议(AKA),基于修改的认证信息而生成认证响应RES。
4.根据权利要求3所述的方法,其中所述认证信息为随机挑战RAND。
5.根据权利要求1或2所述的方法,其中所述认证请求包括认证信息,所述方法还包括以下步骤:
- 基于电信标准的认证和密钥协议(AKA)来生成认证响应RES;
- 使用单向函数,基于标识的通信信道来修改所述认证响应RES。
6.根据权利要求5所述的方法,其中所述认证信息为随机挑战RAND。
7.根据权利要求1所述的方法,所述方法还包括以下步骤:
- 所述终端经由预定通信信道向所述网络发送服务请求;
- 所述网络基于向所述网络发送所述服务请求的通信信道的类型而生成预期服务代码XSC;
- 基于预期服务代码XSC来确定预期响应XRES。
8.根据权利要求7所述的方法,所述方法还包括以下步骤:
- 比较所述预期响应XRES与所述终端向所述网络发送的所述认证响应RES;并且
- 如果RES不等于XRES,则确定所述终端处于不受信任状态。
9.根据权利要求1所述的方法,其中所述终端包括2G或者3G型无线电接口、蓝牙无线电接口、WLAN接口、数字增强无绳(DECT)无线电接口或者以太网数据接口。
10.一种用于在终端中使用的服务接口模块,配置成安全处理向和从所述终端中的标识模块发送的所有认证信息,所述服务接口模块包括:
- 接收器,用于经由所述终端的通信接口之一从网络接收认证请求;
- 信道标识器,用于通过提供与标识的通信信道关联的服务代码来标识通过其接收到所述认证请求的所述通信信道;
- 信道接口,用于建立在所述模块与所述终端的标识模块之间的安全通信信道;以及
- 用于向所述网络发送认证响应RES的发送器,其中所述认证响应依赖于所标识的通信信道,其中基于所述认证请求中的信息以及所述服务代码计算所述响应RES,由此将关于所标识的通过其接收到所述认证请求的所述通信信道的信息安全包括到所述响应中。
11.根据权利要求10所述的服务接口模块,所述模块还包括:
- 用于基于标识的通信信道来修改所述标识模块的认证响应的修改器,或者用于向所述标识模块发送关于标识的通信信道的信息的装置,或者用于修改从所述网络接收的所述认证请求的装置。
12.一种标识模块,用于建立与如权利要求8或者9所述的服务接口模块的安全通信信道,所述标识模块包括:计算器,用于在接收认证请求时根据GSM AKA、3GPP AKA或者IMS AKA来计算响应RES;以及修改器,用于使用关于标识的通信信道的信息而基于预定数学函数来修改所述响应RES。
13.根据权利要求12所述的标识模块,其中,所述标识模块为智能卡。
14.一种用于接入网络服务的终端,所述终端被配置成包括:
- 用于从所述网络接收认证请求的模块;
- 用于确定与所述终端经由其接收到所述认证请求的通信信道的类型关联的服务代码的模块;以及
- 用于响应于认证请求而向所述网络发送修改的响应RES’的模块,其中所述修改依赖于确定的服务代码。
15.根据权利要求14所述的用于接入网络服务的终端,其中,所述终端为移动设备。
16.一种用于向网络的基于服务的终端认证的网络节点,所述网络节点被配置成包括:
- 用于接收认证请求的模块;
- 用于确定与所述网络经由其接收到所述认证请求的通信信道的类型关联的预期服务代码的模块;以及
用于作为响应而生成修改的预期响应XRES’的模块,其中预期响应XRES的修改依赖于确定的预期服务代码,所述网络节点还被配置成从终端接收响应RES,所述网络节点还包括用于比较所述响应RES与所述修改的预期响应XRES’的比较器,其中RES根据权利要求1所述的方法进行计算。
17.一种用于向网络的基于服务的终端认证的系统,包括:
- 终端,配置成从所述网络接收认证请求、确定与所述终端经由其接收所述认证请求的通信信道的类型关联的服务代码并且响应于所述认证请求而向所述网络发送修改的响应RES’,其中所述修改依赖于确定的服务代码;
- 网络节点,配置成接收认证请求并且确定与所述网络经由其接收到所述认证请求的通信信道的类型关联的预期服务代码;并且配置成响应于接收到所述认证请求而生成修改的预期响应XRES’,其中所述预期响应依赖于确定的预期服务代码;并且配置成比较RES’与XRES’。
18.一种用于向网络的基于服务的终端认证的装置,所述终端包括用于建立与所述网络的通信信道的一个或者多个通信接口,所述装置包括:
- 用以发送针对向网络服务的接入的服务请求的单元;
- 用以响应于所述服务请求从所述网络接收认证请求的单元;
- 用以标识通过其接收到所述认证请求的所述通信信道的单元;
- 用以确定与标识的通信信道关联的服务代码的单元;以及
- 用以向所述网络发送认证响应RES的单元,其中所述认证响应依赖于标识的通信信道,其中基于所述认证请求中的信息和所述服务代码来计算所述响应RES,由此将关于通过其接收到所述认证请求的所述通信信道的标识的信息安全包括到所述响应中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08021705 | 2008-12-15 | ||
| EP08021705.2 | 2008-12-15 | ||
| PCT/EP2009/067201 WO2010069962A1 (en) | 2008-12-15 | 2009-12-15 | Service-based authentication to a network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102318386A CN102318386A (zh) | 2012-01-11 |
| CN102318386B true CN102318386B (zh) | 2016-11-23 |
Family
ID=40627479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980156676.7A Active CN102318386B (zh) | 2008-12-15 | 2009-12-15 | 向网络的基于服务的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8881235B2 (zh) |
| EP (1) | EP2377337B1 (zh) |
| CN (1) | CN102318386B (zh) |
| WO (1) | WO2010069962A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469459B (zh) * | 2010-11-05 | 2014-12-10 | 中国移动通信集团公司 | 一种中继节点的设备完整性检测方法、系统和装置 |
| US9143937B2 (en) * | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
| US8837741B2 (en) | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| CN103428696B (zh) * | 2012-05-22 | 2017-04-19 | 中兴通讯股份有限公司 | 实现虚拟sim卡的方法、系统及相关设备 |
| US9537663B2 (en) | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| US20140153722A1 (en) * | 2012-12-03 | 2014-06-05 | Semyon Mizikovsky | Restricting use of mobile subscriptions to authorized mobile devices |
| US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
| US9208300B2 (en) | 2013-10-23 | 2015-12-08 | At&T Intellectual Property I, Lp | Apparatus and method for secure authentication of a communication device |
| US9240994B2 (en) | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
| US9313660B2 (en) | 2013-11-01 | 2016-04-12 | At&T Intellectual Property I, Lp | Apparatus and method for secure provisioning of a communication device |
| CN103874068B (zh) * | 2014-03-20 | 2018-04-20 | 工业和信息化部电信研究院 | 一种识别伪基站的方法和装置 |
| CA2938918C (en) * | 2014-04-17 | 2018-06-12 | Mitel Mobility Inc. | Gsm a3/a8 authentication in an ims network |
| US10142834B2 (en) * | 2015-01-29 | 2018-11-27 | Motorola Mobility Llc | Method and apparatus for operating a user client wireless communication device on a wireless wide area network |
| EP4021103A1 (en) | 2017-05-05 | 2022-06-29 | Samsung Electronics Co., Ltd. | Methods and systems for performing paging operations in a 5g network |
| US11647392B1 (en) | 2021-12-16 | 2023-05-09 | Bank Of America Corporation | Systems and methods for context-aware mobile application session protection |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1259835A (zh) * | 1998-10-09 | 2000-07-12 | 英马尔塞特有限公司 | 信道分配方法和装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6874030B1 (en) * | 2000-11-13 | 2005-03-29 | Cisco Technology, Inc. | PPP domain name and L2TP tunnel selection configuration override |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| WO2004032557A1 (en) * | 2002-10-07 | 2004-04-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Security and privacy enhancements for security devices |
| US7904715B2 (en) * | 2004-04-09 | 2011-03-08 | Alcatel-Lucent Usa Inc. | Method for authenticating dual-mode access terminals |
| US8379854B2 (en) * | 2007-10-09 | 2013-02-19 | Alcatel Lucent | Secure wireless communication |
-
2009
- 2009-12-15 WO PCT/EP2009/067201 patent/WO2010069962A1/en active Application Filing
- 2009-12-15 EP EP09796688.1A patent/EP2377337B1/en active Active
- 2009-12-15 CN CN200980156676.7A patent/CN102318386B/zh active Active
- 2009-12-15 US US13/139,433 patent/US8881235B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1259835A (zh) * | 1998-10-09 | 2000-07-12 | 英马尔塞特有限公司 | 信道分配方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8881235B2 (en) | 2014-11-04 |
| EP2377337A1 (en) | 2011-10-19 |
| US20110296494A1 (en) | 2011-12-01 |
| EP2377337B1 (en) | 2017-09-06 |
| WO2010069962A1 (en) | 2010-06-24 |
| CN102318386A (zh) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| US9332575B2 (en) | Method and apparatus for enabling connectivity in a communication network | |
| EP2395780B1 (en) | Authenticity verification of authentication messages | |
| US8353011B2 (en) | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| US8122250B2 (en) | Authentication in data communication | |
| EP3657835B1 (en) | Access method of user equipment, user equipment and computer-readable storage medium | |
| KR100755394B1 (ko) | Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법 | |
| EP2932676B1 (en) | Authenticating public land mobile networks to mobile stations | |
| US8819765B2 (en) | Security policy distribution to communication terminals | |
| KR20130089651A (ko) | 로밍 네트워크 내의 액세스 단말 아이덴티티의 인증 | |
| KR20070112260A (ko) | Sim/uicc 키 설정을 위한 네트워크 지원 단말기 | |
| US8087069B2 (en) | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) | |
| WO2013185709A1 (zh) | 一种呼叫认证方法、设备和系统 | |
| CN101228769B (zh) | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 | |
| MX2007015841A (es) | Aparato, metodo y producto de programa de computadora que proporciona identidades de nodo movil en conjunto con preferencias de autenticacion en arquitectura de arranque generico. | |
| HK1164019A (zh) | 向网络的基於服务的认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1164019 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1164019 Country of ref document: HK |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20210423 Address after: Holland Hague Patentee after: KONINKLIJKE KPN N.V. Address before: Holland Hague Patentee before: KONINKLIJKE KPN N.V. Patentee before: NEDERLANDSE ORGANISATIE VOOR TOEGEPAST-NATUURWETENSCHAPPELIJK ONDERZOEK TNO |
|
| TR01 | Transfer of patent right |