專利名稱：數(shù)據(jù)通信中的認證方法以及用于其實現(xiàn)的智能卡的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)通信中的認證。本發(fā)明尤其涉及但不限于對彼此通過諸如因特網(wǎng)之類的網(wǎng)絡(luò)進行通信的移動站和網(wǎng)絡(luò)服務(wù)器的認證。
說明本發(fā)明的示例是包括移動通信網(wǎng)絡(luò)和移動站的移動通信系統(tǒng)示例。在這個示例中，網(wǎng)絡(luò)在移動站的認證之后向該移動站提供服務(wù)。移動站包括諸如USIM卡的便攜式模塊、并包括能夠與網(wǎng)絡(luò)進行通信并能夠與便攜式模塊進行通信的移動設(shè)備(手持機)。
背景技術(shù)：
當前的第三代(3G)標準(具體為TS 31.102和TS 33.102)定義了3G網(wǎng)絡(luò)中在USIM卡和認證中心(AuC)之間的認證協(xié)議(被稱為AKA協(xié)議，指的是認證密鑰協(xié)定)。
在這個構(gòu)架中，卡發(fā)送由幾個數(shù)據(jù)字段構(gòu)成的所謂的認證請求，這幾個數(shù)據(jù)字段為-隨機挑戰(zhàn)(random challenge)(RAND)；-序列號(SQN)或者隱蔽的序列號(SQNAK)-消息認證碼(MAC)，AK是匿名密鑰，符號是位“異或”，MAC是消息認證碼，SQN是序列號，其可以根據(jù)其值指示正在進行的請求是否是重申的請求。
當接收到這些數(shù)據(jù)字段時，卡計算SQN(如果需要)，檢查MAC并從SQN檢查還沒有發(fā)送相同的請求。
為了計算SQN(如果需要)，USIM-用函數(shù)f5(RAND，K)計算匿名密鑰AK-最后通過(SQNAK)AK＝SQN來重新得到序列號SQN。
f5是用于計算AK的密鑰生成函數(shù)。
K是卡和服務(wù)器之間共享的長期私密密鑰。
然后，該卡還使用RAND、K、SQN、附加管理字段(AMF)以及認證函數(shù)f1來生成期望的消息認證碼XMAC。
然后，該卡比較XMAC和包括在認證請求中的MAC。如果它們不同，該卡向手持機發(fā)送回去具有起因指示的用戶認證拒絕消息，并且該卡放棄正在進行的認證過程。在這個情況中，AuC可以啟動面向客戶的新的識別和認證過程。
該卡還驗證所接收的序列號SQN是否在正確的范圍中。SQN不可能差別超過存儲在該卡中的SQN的預(yù)定量。如果該卡認為序列碼不在正確的范圍中，則其向AuC發(fā)送回去同步失敗消息，并放棄正在進行的過程。
這樣的認證過程例如在EP-A-1 156 694中公開了。在上面引用的用于參考的標準中可以發(fā)現(xiàn)關(guān)于這些步驟的更多細節(jié)和說明。
從整個請求數(shù)據(jù)以及與請求實體相同的認證密鑰中計算MAC代碼(以及因此的XMAC)。其作用是確保該請求數(shù)據(jù)在傳送期間沒有被篡改，并且還向卡保證請求實體實際擁有與該卡相同的認證密鑰。
當該卡檢查從服務(wù)器接收的數(shù)據(jù)的完整性和真實性時，該卡用涉及要被檢查的數(shù)據(jù)連同認證密鑰K一起的機制來計算所述XMAC。然后，攻擊者可以通過向該卡發(fā)送具有戰(zhàn)略選擇的數(shù)據(jù)的認證請求來強迫使用認證密鑰。通過諸如側(cè)信道(side-channel)和擾亂攻擊之類的各種方法，揭露了信息，這導(dǎo)致了認證密鑰的部分或全部公開。
為了可利用，大多數(shù)攻擊者需要給定量的認證請求，其取決于用于計算XMAC的算法力量。對于這些測試中的每一個，攻擊者必須提供啞MAC(因為它不知道密鑰的實際值)。
在已知的系統(tǒng)中，諸如在上面引用的文獻EP-A-1 156 694中公開的一個中，當涉嫌竄改檢測時，即每當MAC和XMAC不匹配的時，都建議向請求實體發(fā)送回去要求重新傳送所述消息的消息，然后再次檢查重新接收的消息是否正確，并中斷否定的過程。然而，在這個文獻中公開的系統(tǒng)不提供用于保持跟蹤這樣的事件連續(xù)性的任何手段，因此沒有什么可以防止攻擊者在放棄了給定的認證過程之后，重申另一個相同的過程，或者一系列的其它相同過程，直到他可以欺騙該系統(tǒng)以存取被保護的數(shù)據(jù)為止。

發(fā)明內(nèi)容
本發(fā)明的目的是限制連續(xù)攻擊USIM卡的數(shù)目，特別是通過限制在其上執(zhí)行的重申認證數(shù)目。
本發(fā)明提出了一種諸如在上面引用的EP-A-1 156 694中公開的方法，即用于在包括通過網(wǎng)絡(luò)相互進行通信的第一實體和第二實體的系統(tǒng)中使用的認證方法，其中所述第一實體適于認證所述第二實體以及從所述第二實體接收的數(shù)據(jù)，并且其中第一和第二實體二者存儲相同的私密密鑰，所述方法包括以下步驟-通過所述第一實體接收消息認證碼和其它參數(shù)，所述消息認證碼是所述第二私密密鑰和所述其它參數(shù)的函數(shù)；-通過所述第一實體從已經(jīng)被接收的所述其它參數(shù)和從存儲在所述第一實體中的所述私密密鑰中計算期望碼；-通過所述第一實體比較所述已接收的消息認證碼和所述期望碼；以及-如果已接收的消息認證碼和所述期望碼不匹配，則放棄認證。
根據(jù)本發(fā)明，還提供了以下步驟-每當已接收的消息認證碼和所述期望碼在由所述第一實體進行的比較中是不匹配時，在所述第一實體中更新失敗計數(shù)器。
換言之，本發(fā)明包括在USIM卡內(nèi)提供取決于MAC和XMAC之間的比較結(jié)果而更新的失敗計數(shù)器，以便將連續(xù)錯誤嘗試的數(shù)目限制到最大量，在該最大量之上就認為密鑰K不安全。
以這個方式，控制了惡意連續(xù)攻擊的數(shù)目。
根據(jù)優(yōu)選實施例，本發(fā)明的方法還可以包括以下步驟-在啟動認證之前，通過所述第一實體預(yù)先檢查失敗計數(shù)器，-通過所述第一實體從包括在所述其它參數(shù)中的序列號中確定所述消息認證碼和其它參數(shù)是否已經(jīng)被所述第一實體接收；并且如果所述序列號指示所述消息認證碼和其它參數(shù)已經(jīng)被所述第一實體接收，則放棄認證而不更新所述失敗計數(shù)器，-如果(i)所接收的消息認證碼和所述期望碼相匹配并且(ii)所述序列號指示所述消息認證碼和其它參數(shù)還沒有被所述第一實體所接收，則將所述失敗計數(shù)器復(fù)位到初始值。
本發(fā)明還包含了一種適于認證遠程實體以及從其接收的數(shù)據(jù)的智能卡，所述智能卡包括-存儲器，其存儲認證算法以及包括私密密鑰的認證和加密密鑰，其中的私密密鑰與存儲在所述遠程實體中的對應(yīng)密鑰相同；-用于從所述遠程實體接收消息認證碼和其它參數(shù)的裝置；-用于從所述其它參數(shù)和從所述私密密鑰中計算期望碼的裝置；-用于比較已接收的消息認證碼和所述期望碼的裝置；以及-如果已接收的消息認證碼和所述期望碼不匹配就放棄認證的裝置。
根據(jù)本發(fā)明，所述智能卡還包括-失敗計數(shù)器，適于存儲中止發(fā)生的數(shù)目；以及-用于每當所述比較裝置指示所述消息認證碼和所述期望碼不匹配時就更新所述失敗計數(shù)器的裝置。
因此，得益于內(nèi)置的失敗計數(shù)器以及從卡內(nèi)控制這個計數(shù)器的更新的事實，該卡成為可抗篡改、更安全的設(shè)備。


本發(fā)明的上述和其它目的、方面以及優(yōu)點將通過下面結(jié)合附圖對本發(fā)明的優(yōu)選實施例的詳細描述而得到更好的理解。
圖1說明了可將本發(fā)明應(yīng)用于此的數(shù)據(jù)處理系統(tǒng)的示例；圖2是認證失敗計數(shù)器管理算法的示例。
具體實施例方式
圖1說明了包括通過諸如因特網(wǎng)或者私有網(wǎng)絡(luò)之類的網(wǎng)絡(luò)NET與服務(wù)器SERV進行通信的用戶設(shè)備的系統(tǒng)。
該用戶設(shè)備包括兩部分移動設(shè)備ME和用戶標識模塊CARD。移動設(shè)備ME是用于用戶設(shè)備和服務(wù)器SERV之間的無線電通信的無線電終端。在這個例子中，卡CARD是USIM智能卡，其持有用戶標識、執(zhí)行認證算法、并存儲認證和加密密鑰以及終端需要的用戶信息。
服務(wù)器SERV適于在成功地認證移動站之后向該移動站提供服務(wù)。
根據(jù)本發(fā)明，卡中的計數(shù)器控制該卡中止的認證過程的數(shù)目。優(yōu)選地，該計數(shù)器連續(xù)地對已中止的認證過程進行計數(shù)。
圖2是說明本發(fā)明的認證算法，其包括幾個步驟S1-S16。
在第一步驟(S1)中，卡接收認證請求。
在第二步驟(S2)中，在檢查MAC之前，該卡檢查失敗計數(shù)器
-如果計數(shù)器為零(S3、S12)，其認為密鑰不安全并不再繼續(xù)。在這個情況中，該卡返回安全錯誤消息(步驟S14)。在步驟S14之后，終止認證過程(S15)。
-否則(S3、S4)，其可以使用密鑰并驗證(S5)提供數(shù)據(jù)的MAC；○如果卡期望的值與在請求中提供的值不匹配，則卡遞減錯誤計數(shù)器(S13)，并發(fā)送安全錯誤通知到ME。
○否則，它檢查請求的SQN(S6)，以確保它沒有處理先前已經(jīng)發(fā)送的請求■如果SQN看起來不是新的(S7、S10)，則卡如AKA中定義的那樣通過網(wǎng)絡(luò)向回發(fā)送重新同步標記(S10)。在步驟S10之后，終止進程(S11)；■否則，如果SQN看起來為有效的(S7、S8)，則在這個示例中，卡重置錯誤計數(shù)器到其最大值(S8)。此后，卡可以發(fā)送肯定認證結(jié)果(S9)。步驟S16是認證過程的結(jié)束。
一旦錯誤計數(shù)器達到零，則不能再使用所述認證密鑰。這樣，其僅僅允許小量的連續(xù)錯誤。上述的攻擊者需要導(dǎo)致MAC驗證錯誤的嘗試。由于計數(shù)器限制了嘗試的數(shù)目，所以可以阻遏所述攻擊。
例如，讓我們假設(shè)計數(shù)器的最大值是3，并假設(shè)計數(shù)器的初始值是1。這六個接下來的連續(xù)認證說明了幾個可能的場景。
第一個認證計數(shù)器＞0，正確的MAC，有效的SQN計數(shù)器的初始值1-接收認證請求(S1)-由于計數(shù)器絕對為正(S3)，所以執(zhí)行MAC驗證(S4)。
-由于MAC正確(S5)，所以執(zhí)行SQN驗證(S6)-由于SQN有效(S7)，所以將計數(shù)器復(fù)位到其最大值，即3(S8)。
-返回認證結(jié)果(S9)計數(shù)器的最后值3第二個認證計數(shù)器＞0，不正確的MAC計數(shù)器的初始值3
-接收認證請求(S1)-由于計數(shù)器絕對為正(S3)，所以執(zhí)行MAC驗證(S4)。
-由于MAC不正確(S5)，所以遞減計數(shù)器。計數(shù)器的新值是2(S13)-返回安全錯誤(S14)計數(shù)器的最后值2第三個認證計數(shù)器＞0，正確的MAC，無效的SQN計數(shù)器的初始值2-接收認證請求(S1)-由于計數(shù)器絕對為正(S3)，所以執(zhí)行MAC驗證(S4)。
-由于MAC正確(S5)，所以執(zhí)行SQN驗證(S6)-由于SQN無效(S7)，所以發(fā)送重新同步標記。沒有改變計數(shù)器。其剩余值等于2。
計數(shù)器的最后值2第四個認證計數(shù)器＞0，不正確的MAC計數(shù)器的初始值2-接收認證請求(S1)-由于計數(shù)器絕對為正(S3)，所以執(zhí)行MAC驗證(S4)。
-由于MAC不正確(S5)，所以遞減計數(shù)器。計數(shù)器的新值是1(S13)-返回安全錯誤(S14)計數(shù)器的最后值1第五個認證計數(shù)器＞0，不正確的MAC計數(shù)器的初始值1-接收認證請求(S1)-由于計數(shù)器絕對為正(S3)，所以執(zhí)行MAC驗證(S4)。
-由于MAC不正確(S5)，所以遞減計數(shù)器。計數(shù)器的新值是0(S13)-返回安全錯誤(S14)計數(shù)器的最后值0
第六個認證計數(shù)器＞0，不正確的MAC計數(shù)器的初始值0-接收認證請求(S1)-由于計數(shù)器等于0(S3)，所以阻止了密鑰(S12)。
-返回安全錯誤(S14)計數(shù)器的最后值0本發(fā)明的主要優(yōu)點是-將連續(xù)不正確MAC的存在數(shù)目限制為計數(shù)器的最大值(見上面的認證#2、4、5、6)；-由于可以將計數(shù)器重置為其最大值，所以沒有限制認證的總數(shù)(見上面的認證#1)；-由于SQN不一定無效，所以正確認證請求的重申沒有重置計數(shù)器，并且，計數(shù)器將保持不變(見上面的認證#3)；-由于沒有遞減所述計數(shù)器，所以與SQN檢查相關(guān)聯(lián)的問題沒有鎖定卡的風險。(見上面的認證#3)可以構(gòu)思的幾個變更-給出計數(shù)器的值僅僅作為示例；-計數(shù)器管理可以不同計數(shù)器可以被遞增而不是被遞減，其可以通過遞增任何值來改變，可以將其與不是0的任何值比較等；-計數(shù)器可以對認證請求的總數(shù)進行計數(shù)；-計數(shù)器可以對不正確MAC的數(shù)目進行計數(shù)而沒有將其重置為其最大值的可能性；-只要MAC正確，就可以重置計數(shù)器(即，沒有任何諸如SQN有效性的進一步檢查)；-即使MAC正確且SQN無效，也可以遞減計數(shù)器。
權(quán)利要求
1.一種用于在包括通過網(wǎng)絡(luò)(NET)相互進行通信的第一實體(CARD)和第二實體(SERVER)的系統(tǒng)中使用的認證方法，其中所述第一實體適于認證所述第二實體以及從所述第二實體接收的數(shù)據(jù)，并且其中第一和第二實體二者存儲相同的私密密鑰(K)，所述認證方法包括以下步驟-由所述第一實體接收消息認證碼(MAC)和其它參數(shù)(RAND、SQN、AMF、......)，所述消息認證碼(MAC)是所述私密密鑰(K)和所述其它參數(shù)(RAND、SQN、AMF、......)的函數(shù)；-由所述第一實體從已經(jīng)接收的所述其它參數(shù)以及從存儲在所述第一實體中的所述私密密鑰(K)中計算期望碼(XMAC)；-由所述第一實體比較已接收的消息認證碼(MAC)和所述期望碼(XMAC)；以及-如果已接收的消息認證碼(MAC)和所述期望碼不匹配(XMAC)，則中止認證。所述方法的特征在于以下的步驟-每當已接收的消息認證碼(MAC)和所述期望碼(XMAC)在由所述第一實體進行的比較中不匹配時，在所述第一實體中更新失敗計數(shù)器。
2.如權(quán)利要求1所述的方法，還包括步驟-在啟動認證之前，由所述第一實體預(yù)先檢查失敗計數(shù)器。
3.如權(quán)利要求1所述的方法，還包括步驟-由所述第一實體根據(jù)包括在所述其它參數(shù)中的序列號(SQN)，確定所述消息認證碼(MAC)和其它參數(shù)(RAND、SQN、AMF、......)是否已經(jīng)被所述第一實體接收了；以及-如果所述序列號(SQN)指示所述消息認證碼(MAC)和其它參數(shù)(RAND、SQN、AMF、......)已經(jīng)被所述第一實體接收了，則中止認證而不更新所述失敗計數(shù)器。
4.根據(jù)權(quán)利要求3的方法，還包括步驟-如果(i)已接收的消息認證碼和所述期望碼相匹配并且(ii)所述序列號(SQN)指示所述消息認證碼(MAC)和其它參數(shù)(RAND、SQN、AMF、......)還沒有被所述第一實體所接收，則將所述失敗計數(shù)器重置到其初始值。
5.一種適于認證遠程實體(SERV)和從其接收的數(shù)據(jù)的智能卡(CARD)，所述智能卡包括-存儲器，其存儲認證算法以及包括私密密鑰(K)的認證和加密密鑰，其中所述私密密鑰與存儲在所述遠程實體中的對應(yīng)密鑰相同；-用于從所述遠程實體接收消息認證碼(MAC)和其它參數(shù)(RAND、SQN、AMF、......)的裝置；-用于從所述其它參數(shù)和從所述私密密鑰(K)中計算期望碼(XMAC)的裝置；-用于比較已接收的消息認證碼(MAC)和所述期望碼(XMAC)的裝置；以及-如果已接收的消息認證碼(MAC)和所述期望碼(XMAC)不匹配就中止認證的裝置。所述智能卡的特征在于還包括-失敗計數(shù)器，適于存儲中止發(fā)生的數(shù)目；以及-用于每當所述比較裝置指示所述消息認證碼(MAC)和所述期望碼(XMAC)不匹配時就更新所述失敗計數(shù)器的裝置。
全文摘要
本發(fā)明提出了一種用于在包括網(wǎng)絡(luò)中的第一實體和第二實體的系統(tǒng)中使用的認證方法，其中所述第一實體適于認證所述第二實體以及從其接收的數(shù)據(jù)，所述第一和第二實體二者存儲相同的私密密鑰。該方法在諸如USIM卡的智能卡中實現(xiàn)，該智能卡包括存儲認證算法和密鑰的存儲器；用于接收消息認證碼和其它參數(shù)的裝置；用于從所述其它參數(shù)和從所述私密密鑰計算期望碼的裝置；用于比較所述已接收的消息認證碼和所述期望碼的裝置；以及如果已接收的消息認證碼和期望碼不匹配就中止認證的裝置。該智能卡還包括失敗計數(shù)器，適于存儲中止發(fā)生的數(shù)目；以及用于每當所述比較裝置指示所述消息認證碼和所述期望代碼不匹配時就更新所述失敗計數(shù)器的裝置。得益于內(nèi)置的失敗計數(shù)器以及從卡內(nèi)控制這個計數(shù)器的更新的事實，該卡變?yōu)榭梢钥勾鄹囊苑乐狗磸?fù)欺騙認證嘗試。
文檔編號H04L29/06GK1864387SQ200480029136
公開日2006年11月15日 申請日期2004年8月30日 優(yōu)先權(quán)日2003年9月9日
發(fā)明者埃迪·伯納德, 斯蒂法妮·薩爾加多 申請人:雅斯拓股份有限公司