SECUENCIA INICIAL SEGURA PARA COMUNICACIONES INALÁMBRICAS.

Un procedimiento para la autenticación de una función de servidor de secuencia inicial (106,

604, 704) en un terminal móvil (102, 200, 606, 706) que soporta un módulo de identificación de abonado (204, 608, 708) heredado, que comprende: - el aprovisionamiento del terminal móvil con un certificado digital asociado con la función de servidor de secuencia inicial; - la recepción (404) de una interpelación de autenticación en el terminal móvil que incluye un número aleatorio; - la autenticación, en el terminal móvil, de la función de servidor de secuencia inicial en base al certificado digital asociado con la función de servidor de secuencia inicial; - que se provea con una primera clave secreta por el módulo de identificación de abonado heredado en respuesta al paso de un número aleatorio recibido en la interpelación de autenticación al módulo de identificación de abonado heredado; - la formulación (510) de una respuesta de autenticación basada en la primera clave secreta proporcionada por el módulo de identificación de abonado heredado al terminal móvil

Antecedentes

Campo

La presente invención se refiere en general a sistemas y procedimientos para asegurar las comunicaciones inalámbricas. Más específicamente, una característica de la invención proporciona un esquema novedoso de autenticación y conformidad de claves para dispositivos que soportan mecanismos de autenticación de red heredados, para proporcionar claves de seguridad de la aplicación aprovechando la autenticación inalámbrica heredada y los mecanismos de conformidad de clases.

Antecedentes

Un tipo de tecnología celular para las comunicaciones inalámbricas se define mediante el protocolo del Sistema Global para Móviles (GSM), que funciona en redes de telefonía inalámbrica de la segunda generación (2G). El GSM se extiende además mediante redes más nuevas, tal como el Servicio de Paquetes de Radio General (GPRS), también conocidas como redes 2.5G, que ofrecen contenido de Internet y servicios de datos basados en paquetes para redes GSM. El GSM y el GPRS se usan para muchos tipos de comunicaciones inalámbricas que incluyen datos de voz, navegación por Internet, e-mail y multimedia. El GSM incorpora varios mecanismos de seguridad para proteger el contenido comunicado a través de tales sistemas. Los proveedores de servicios y asimismo los usuarios confían en estos mecanismos de seguridad para la privacidad de sus comunicaciones y la protección de sus datos y los proveedores de servicios usan estas medidas de seguridad para autenticar a sus abonados con finalidades de facturación. Estos mecanismos de seguridad funcionan típicamente mediante la autenticación de los terminales móviles del usuario en la red y pudiendo cifrar las transmisiones posteriores. Sin embargo, las medidas de seguridad GSM son vulnerables al ataque por terceras partes, debido a la debilidad de los protocolos de seguridad GSM, tal como ataques de estaciones base falsas que surgen de una carencia de autenticación de red, la posibilidad de repetición de los protocolos de seguridad y la debilidad en los algoritmos de cifrado GSM.

Estas debilidades de seguridad se acometieron en el desarrollo de los protocolos de seguridad de las normas de comunicación inalámbrica de la tercera generación (3G). En particular el protocolo de Autenticación y Conformidad de Claves (AKA) desarrollado para el Sistema Universal de Telecomunicaciones Móviles (UMTS) incluye características tales como un número de secuencia y un Código de Autenticación de Mensajes (MAC) que impiden los ataques de estaciones base falsas a las que es susceptible el GSM. Por ello los abonados de móviles que usan un módulo de identidad de servicio de usuario UMTS (USIM) para autenticación de la red no son vulnerables a los ataques planteados contra usuarios de un módulo de identidad de abonado GSM (SIM).

Las entidades de normalización 3G están desarrollando también una Arquitectura de Autenticación Genérica (GAA), por ejemplo, en el documento del proyecto de asociación para la tercera generación 3GPP 33.220 Arquitectura de Autenticación Genérica (GAA), para una arquitectura de la secuencia inicial genérica. Esta arquitectura descansa en el protocolo AKA 3G para establecer claves entre un equipo de usuario (UE) de un abonado móvil y una nueva entidad de servidor conocida como Función de Servidor de Secuencia Inicial (BSF). A partir de estas claves se pueden deducir y proporcionar por la BSF claves adicionales a varias Funciones de Aplicación de Red (NAF), como una forma de establecer las claves de seguridad compartidas entre las NAF y el UE apropiado.

Las técnicas bajo desarrollo descansan en la autenticación 3G y en los procedimientos de conformidad de claves, tal como los soportados en un Módulo de Identidad de Abonado Universal UMTS (USIM), con sus mejoras de seguridad inherentes comparadas con 2G o sistemas heredados anteriores tal como el GSM. Por ejemplo, la Arquitectura de Autenticación Genérica (GAA) y la Arquitectura de Secuencia Inicial Genérica (GBA) se especifican para las redes 3G y se construyen sobre la infraestructura de seguridad de las redes móviles 3G (es decir, la seguridad basada en USIM) para proporcionar una autenticación mutua segura entre el equipo de usuario móvil y el servidor de red que facilite las aplicaciones y/o servicios de red.

Sin embargo, estas técnicas de autenticación mutua (por ejemplo, GAA y GBA) no están disponibles para sistemas de comunicaciones desarrollados anteriormente (por ejemplo, 2G), tal como los protocolos de autenticación y conformidad de claves (AKA) de GSM, por ejemplo. Estos protocolos GSM son susceptibles ante ataques por repetición de modo que un atacante puede forzar la reutilización de claves y posiblemente explotar las debilidades en algunos contextos para revelar las claves y con ello debilitar la seguridad. Por ello, se necesita un procedimiento para claves de seguridad para la aplicación de secuencia inicial a partir de la autenticación y conformidad de claves GSM de tal manera que no sea susceptible a ataques por repetición y las claves no se puedan revelar fácilmente.

Por ello, hay una necesidad de establecer técnicas mediante las que se pueda extender la Arquitectura de Autenticación Genérica (GAA), especificada para redes 3G, para dar soporte a sistemas heredados (por ejemplo, sistemas 2G o anteriores). Esto permitiría a los abonados con dispositivos GSM u otros, que tengan Módulos de Identidad de Abonado (SIM), ser provistos con claves para su uso en aplicaciones de redes móviles y/o servicios sin que necesiten la sustitución de sus SIM por las USIM de UMTS. Más aún, tal procedimiento no debería introducir

40

45

50

55

debilidades en la arquitectura de autenticación genérica debidas a las vulnerabilidades de la autenticación GSM en sí.

El documento US 2004/0015692 describe un procedimiento de autenticación en una red de comunicaciones móviles que comprende el medio de autenticación de abonado en una entidad de red y la autenticación de la entidad de red respecto al medio de identificación del abonado.

Sumario

De acuerdo con la invención se proporciona el procedimiento de la reivindicación 1.

De acuerdo con la invención se proporciona también el terminal móvil de la reivindicación 12.

De acuerdo con la invención se proporciona también el medio que pueda leer una máquina de la reivindicación 29.

De acuerdo con la invención se proporciona también el producto de software de la reivindicación 30.

Se describe un procedimiento de autenticación mutua para acordar con seguridad las claves de seguridad de la aplicación con terminales móviles que soporten módulos de identidad de abonado heredados (por ejemplo, SIM de GSM y R-UIM de CDMA2000, que no soporten mecanismos AKA de 3G). Se implementa un intercambio de claves interpelación-respuesta entre la función del servidor de secuencia inicial (BSF) y el terminal móvil (MT). La BSF recibe unos parámetros de autenticación de la red del Registrador de Localización Local (HLR) que corresponden a este terminal móvil (por ejemplo RAND de GSM, SRES, Kc) y genera una interpelación de autenticación que involucra al RAND y la envía al MT bajo el mecanismo de clave pública autenticada por el servidor. Esta interpelación de autenticación puede incluir parámetros adicionales tal como un número aleatorio, información de identidad, marcados de tiempo, números de secuencia y claves públicas de Diffie-Hellman.

El MT recibe la interpelación de autenticación y determina si se ha originado desde la BSF en base a un certificado del servidor de la secuencia inicial. El MT había formulado una respuesta a la interpelación de autenticación en base a las claves deducidas de la interpelación de autenticación (por ejemplo, un número aleatorio) y a una clave secreta precompartida (por ejemplo, en el SIM de GSM). Esto es, el SIM en el MT puede deducir claves secretas (por ejemplo SRES y Kc) usadas por la función de servidor de secuencia inicial en base al número aleatorio RAND recibido en la interpelación de autenticación y a la clave secreta precompartida almacenada en el SIM. La respuesta de autenticación puede incluir parámetros adicionales tales como una información de identidad de número aleatorio cifrado, marcados de tiempo, números de secuencia y claves públicas de Diffie-Hellman. La BSF recibe la respuesta de autenticación y determina si se originó desde el MT. El mecanismo de respuesta a la interpelación hace uso de los mecanismos... [Seguir leyendo]

1. Un procedimiento para la autenticación de una función de servidor de secuencia inicial (106, 604, 704) en un terminal móvil (102, 200, 606, 706) que soporta un módulo de identificación de abonado (204, 608, 708) heredado, que comprende:

- el aprovisionamiento del terminal móvil con un certificado digital asociado con la función de servidor de secuencia inicial; -la recepción (404) de una interpelación de autenticación en el terminal móvil que incluye un número aleatorio; -la autenticación, en el terminal móvil, de la función de servidor de secuencia inicial en base al certificado digital asociado con la función de servidor de secuencia inicial;

- que se provea con una primera clave secreta por el módulo de identificación de abonado heredado en respuesta al paso de un número aleatorio recibido en la interpelación de autenticación al módulo de identificación de abonado heredado;

- la formulación (510) de una respuesta de autenticación basada en la primera clave secreta proporcionada por el módulo de identificación de abonado heredado al terminal móvil.

2. El procedimiento de la reivindicación 1, que comprende además el envío de la respuesta de autenticación a la función de servidor de secuencia inicial para permitir a la función de servidor de secuencia inicial autenticar al terminal móvil.

3. El procedimiento de la reivindicación 1 o la reivindicación 2, en el que dicho aprovisionamiento permite que se realicen las comunicaciones desde la función de servidor de secuencia inicial al terminal móvil en un canal autenticado por el servidor.

4. El procedimiento de la reivindicación 1, 2 ó 3, que comprende además: el cálculo de una primera clave secreta en el módulo de identificación de abonado heredado usando el número aleatorio, una clave secreta precompartida y un algoritmo en el que la clave secreta precompartida y el algoritmo están ambos almacenados en el módulo de identificación de abonado heredado.

5. El procedimiento de cualquier reivindicación precedente, en el que la interpelación de autenticación recibida comprende además parámetros adicionales.

6. El procedimiento de la reivindicación 5, en el que la primera clave secreta se calcula usando los parámetros adicionales recibidos en la interpelación de autenticación.

7. El procedimiento de la reivindicación 2, que comprende además:

el cálculo de una clave adicional en el terminal móvil en base a la primera clave secreta, en el que la clave adicional se calcula también independientemente en la función de servidor de secuencia inicial (106, 604, 704) en base a una segunda clave secreta proporcionada a la función de servidor de secuencia inicial por una base de datos (104, 602, 702) de red, en el que la clave adicional se envía desde la función de servidor de secuencia inicial a una función de aplicación de red (108) solicitante de modo que el terminal móvil (102, 200, 606, 706) y la función de aplicación de red compartan la clave adicional.

8. El procedimiento de la reivindicación 7, en el que la clave adicional es una clave de aplicación, siendo deducida la clave de aplicación a partir de la clave compartida que se calcula en base a la primera clave secreta.

9. El procedimiento de cualquier reivindicación precedente, en el que el módulo de identificación de abonado (204, 608, 708) es o bien un Módulo de Identidad de Abonado, SIM; del Sistema Global para Móviles, GSM, o bien un Módulo de Autenticación del CDMA2000.

10. El procedimiento de cualquier reivindicación precedente en el que la interpelación de autenticación al terminal móvil se envía a través de un canal autenticado por el servidor.

11. El procedimiento de cualquier reivindicación precedente, en el que la interpelación de autenticación al terminal móvil incluye información de identidad.

12. Un terminal móvil (102, 200, 606, 706) que soporta un módulo de identificación de abonado (204, 608, 708) heredado, que comprende:

medios para recibir y almacenar un certificado digital asociado con una función de servidor de secuencia inicial (106, 604, 704); medios para recibir una interpelación de autenticación desde una función de servidor de secuencia inicial en el terminal móvil que incluye un número aleatorio; medios para la autenticación de la función de servidor de secuencia inicial en base al certificado digital asociado con la función de servidor de secuencia inicial;

medios para recibir una primera clave secreta desde el módulo de identificación de abonado heredado en respuesta al paso de un número aleatorio recibido en la interpelación de autenticación al módulo de identificación de abonado heredado y medios para formular una respuesta de autenticación a la interpelación de autenticación basada en la primera clave secreta proporcionada por el módulo de identificación de abonado heredado al terminal móvil.

13. El terminal móvil de la reivindicación 12, que comprende además medios para el envío de la respuesta de autenticación a la función de servidor de secuencia inicial.

14. El terminal móvil de la reivindicación 12 o la reivindicación 13, que comprende además:

medios para el cálculo de la primera clave secreta en base a una clave secreta precompartida y a un algoritmo almacenados en el módulo de identificación de abonado heredado y al número aleatorio recibido en la interpelación de autenticación

15. El terminal móvil de la reivindicación 14, en el que la primera clave secreta se basa además en otros parámetros transmitidos en la interpelación de autenticación.

16. El terminal móvil de la reivindicación 14 o la reivindicación 15, que comprende además medios para el cálculo de un código de autenticación de mensajes usando la primera clave secreta y para la inclusión del código de autenticación de mensajes en la respuesta de autenticación.

17. El terminal móvil de cualquiera de las reivindicaciones 8 a 16 que comprende además:

una interfaz de comunicaciones inalámbrica para comunicarse con la función de servidor de secuencia inicial y un circuito de procesamiento (202, 204) configurado para funcionar con un protocolo de comunicación heredado y autenticar el terminal móvil en un protocolo de respuesta a la interpelación con la función de servidor de secuencia inicial.

18. El terminal móvil de la reivindicación 10, en el que el circuito de procesamiento se configura para generar una clave adicional en base a la primera clave secreta.

19. El terminal móvil de la reivindicación 18, en el que la clave adicional se basa además en otros parámetros transmitidos en la interpelación de autenticación.

20. El terminal móvil de la reivindicación 18 o 19, en el que la clave adicional es una clave de aplicación que se basa en una clave compartida, siendo calculada la clave compartida mediante el uso de la primera clave secreta.

21. El terminal móvil de la reivindicación 18, 19 ó 20, en el que el circuito de procesamiento se configura además para generar un código de autenticación de mensajes.

22. El terminal móvil de la reivindicación 21, en el que la respuesta de autenticación incluye el código de autenticación de mensajes calculado usando la clave adicional.

23. El terminal móvil de cualquiera de las reivindicaciones 17 a 22, en el que el módulo de identificación de abonado heredado esta conectado al circuito de procesamiento y

el módulo de identificación de abonado heredado es para el almacenamiento de una clave secreta precompartida y un algoritmo.

24. El terminal móvil de la reivindicación 23 en el que el módulo de identificación de abonado heredado genera la primera clave secreta en base al número aleatorio, la clave secreta precompartida y el algoritmo.

25. El terminal móvil de la reivindicación 23 o la reivindicación 24, en el que el módulo de identificación de abonado heredado es un módulo de identidad de abonado de acuerdo con el protocolo del Sistema Global para Móviles, GSM.

26. El terminal móvil de la reivindicación 14, en el que la clave secreta precompartida se emplea también para permitir al terminal móvil establecer comunicaciones a través de una red inalámbrica heredada.

27. El terminal móvil de cualquiera de las reivindicaciones 12 a 26, en el que la interpelación de autenticación al terminal móvil se envía a través de un canal autenticado por el servidor.

28. El terminal móvil de cualquiera de las reivindicaciones 12 a 18, en el que la interpelación de autenticación al terminal móvil incluye información de identidad.

29. Un medio que pueda leer una máquina que lleve un producto de software que comprende segmentos de código que, cuando se ejecutan por un procesador, realiza el procedimiento de cualquiera de las reivindicaciones 1 a 11.

30. Un producto de software que comprende segmentos de código que, cuando se ejecutan por un procesador, realiza el procedimiento de cualquiera de las reivindicaciones 1-11.