BUNDESREPUBU^^^'
PRIORITY DOCUMENT
SUBMITTED
OR
TRANSMITTEDINCOMPLIANCE
WITHRULE
17.1(a)OR
(b)9/673658
Bescheinigung
DieGiesecke
&
DevrientGmbH
indung unterderBezeichnung
Munchen/Deutschland hat eine
Patentanmei-
•Verfahren zurAuthentisierung einerChipkarte
—> ^
Nachrichteniibertragungs-Netzwerks"
am
7. Mai 1998 beim DeutschenPatent- und Markenamteingereicht.
Die angehefteten Stiicke sind eine richtige lichen Unteriagen dieserPatentanmeldung
undgenaueWiedergabederursprung-
n
tcchen Patent-und Markenamtvoriaufig d.eSymboie DieAnmeldung hatim Deutschen P
^^^ mg ^
emalten.H
04 L undG
07 F der InternationalPatentklass.f.k
MQnchen, den 2. Juni 1999
Deutsche*Patent-und Markenamt DerPrasident
ImAuftrag
I, Aktenzeichen: 19820422J.
Seilaf
A9161
06.90 11/98
BEST AVAILABLE COPY
•• • I *
-2-
gewahlte„ZufalIszahlen" nach
dem
standardisiertenProtokoll andieSIM- Karteubermitteltwerden und
daraus,nach mehrfachenAuthentisierungs- versuchen, derGeheimschliissel derChipkarte ermitteltwird.1stzusatzlich derAlgorithmus derKarte bekannt,konnen
nachErmittlungdesgeheimen 5 SchltisselswesentlicheFunktionselemente der Kartesimuliertbzw. dupli-ziertwerden.
Esistdeshalb
Auf
gabe der Erfindung, einsicheresVerfahrenztirAuthenti- sierungeiner ChipkarteineinemNachrichtensystem anzugeben,beidem, 10wie
beispielsweiseim GSM-Netz
ublich,eineRuckmeldung
liber dasAu-
thentisierungsergebnisandie teilnehmende Chipkarte nichterfolgt.
DieseAufgabe wirdgemafi derErfindungausgehend
von
denMerkmalen
desOberbegriffs desAnspruchs 1 durch diekennzeichnendenMerkmale
des 15Anspruchs
1 gelost.Vorteilhafte Ausgestaltungen der Erfindungsind in
den
abhangigenAn-
spriichenangegeben.
20 Die Erfindungsieht vor, zur Bildungder Authentisierungsnachrichtsowohl aus
dem
geheimenSchliissel alsauchaus dervom Netzwerk
ubertragenen Zufallszahljeweils wenigstens zweiTeilezubilden, wobei einerderTeilederubertragenenZufallszahl
und
einerodermehrere Teiledesgeheimen
Schliissels mittels eines ein-odermehrstufigen, vorzugsweisesymmetri- 25 schenBerechnungsalgorithmusverschliisseltwerden.
Zur Ausgabe
einerAuthentisierungsnachrichtwirdein auswahlbarerTeildesnach
dem Au-
thentisierungsalgorithmusberechnetenErgebnisses andas
Netzwerk
uber- tragen.Einevorteilhafte AusgestaltungderErfindungsieht vor, dafiindergleichen Art
und
Weise auchderKanalkodierungsschlussel erzeugt wird, d.h.auch dortist,beispielsweisebei einerZweiteilung desSchliisselsund
derZufalls-zahl vorgesehen, daJSentweder der ersteoder der zweiteTeil der ubertrage-
nen
ZufaUszahlmitdem
erstenund/oder
zweitenTeildes geheimenSchliis- selsmiteinemein-oder mehrstufigen Algorithmusverkniipftwerden, urn einen Kanalkodierungsschlussel zuerhalten.Vorzugsweisewerden
furdie BildungderAuthentisierungsnachrichtmid
desKanalkodierungsschltissels jeweilsverschiedeneTeiledervom
NetzwerkerhaltenenZufallszahl ver-wendet.
Eine weiterevorteilhafte AusgestaltungderErfindungsiehtvor,dafi derin der Karte abgelegtegeheimeSchliisselsowie die Zufallszahl,welche
vom
Netzwerk
an dieKarte gesendet wird, in gleichlangeTeileaufgeteiltwer- den.Damit kann
inbeidenFallender gleicheBerechnungsalgorithmusver-wendet
werden.Die Aufteilung derZufallszahlbzw. des geheimenSchliis- selskann
inderWeiseerfolgen, dafieineeinfacheTeilung"inder Mitte" er- folgtodersichiiberlappende Teilbereicheentstehen. Ebenso isteineTeilung denkbar, inderdieSumme
dereinzelnenTeilekleinerist alsdieBit-Lange derZufallszahlbzw. des geheimenSchliissels. GemafieinerweiterenVarian- tekonnen
nach einemvorbestimmtenMusteroderpseudozufalligjeweils einevorgegebene Anzahlvon
BitsderZufallszahlbzw. des geheimenSchliisselszujeweilseinemSchliissel-bzw.Zufallszahlenteil
zusammenge-
fafitwerden.
AlsweiterevorteilhafteAusgestaltung der Erfindung
konnen
alsBerech- nungsalgorithmenzur Authentisierungsowie zurKanalkodierungDES- Algorithmen verwendetwerden.-4-
Eine anderevorteilhafteVariante der Erfindungsiehtvor,dafi zurBerech-
nung
der Authentifizierungsparameterund
derKanalkodierungsschliissel der vorzugsweiseeinstufigeIDEA-Algorithmus verwendetwird.5 Alternativ
konnen
zurBerechnungder Authentifizierungsparameterund
der Kanalkodierungsschlussel Komprimierungsalgorithmen, vorzugsweise kryptografische Komprimierungsalgorithmen verwendet werden, deren Ausgabewerte eine geringere
Lange
als dieEingabeparameter aufweiseni10
Zur Erhohung
derSicherheitistesvorteilhaft,einen mindestenszweistufi-gen
Berechnungsalgorithmus zu verwenden, wobei sichein Triple-DES- Algorithmus alsbesonderssicher erweist. Bei diesem Algorithmus wirdzu- nachstmiteinemerstenTeil desSchliisselsund
einemTeil derZufallszahl verschliisselt, anschliefiend wirdeine Entschliisselungdes Ergebnissesmit 15dem
zweitenTeildesSchliisselsvorgenommen,
urnschliefilichwiedermitdem
erstenTeildesSchliisselseine weitere Berechnungauszufiihren. Bei der letztenVerschliisselungmitdem
erstenTeildesSchliisselskann
invorteil- hafterWeise, insbesonderebei einer Schliisselaufteilung in dreiSchliisseltei- le, einneuer, dritter Schliisselverwendetwerden.20
Eine weiterevorteilhafteAusgestaltung der Erfindung ergibtsich,
wenn
dieAuswahl
deserstenoder zweitenTeilsderZufallszahlfurdie Authentisie-rung
bzw. dieBerechnungderKanalkodierungim
Wechsel erfolgt,wobei dieserWechselzufalligbzw. pseudozufalligausgefiihrtwirdund
dieAus- 25wahl
inder Karteund im Netzwerk
aufdie gleicheWeiseerfolgt.Im
folgendenwird dieErfindunganHand
derFiguren 1 bis3 naherbe- schrieben.# cm
-5-
Fig. 1 zeigt
den
Ablaufderkryptographischen FunktionendesSIM im GSM-
Netz.
Fig. 2 zeigteinBlockschaltbildderTripleDES-Verschlusselung.
5
Fig. 3 zeigt Beispielefiir die Aufteilung desgeheimenSchlxisselsbzw. der Zufallszahl
Bei
dem
inFig. 1 dargestelltenAblaufwirdvorausgesetzt,dafideriibliche, 10 vorhergehendeVorgang
der PIN-Verifizierung abgeschlossenist.Im An-
schlufi daranwird
von
dermobilenEinheit, inder sich die KarteSIM
befin- det, eineNachrichtandasNetzwerk
gesendet,welche eineIMSI-(internationalmobilesubscriberidentity)Informationbzw. eine
TMSI-
(temporary mobilesubscriberidentity)Information enthalt/Aus der IMSI 15 bzw.TMSI
wirdim
Netzwerk nacheinervorgegebenenFunktion odermit-tels einerTabelle eingeheimerSchliisselKibestimmt. DerselbeSchlussel ist auchinder Chipkarte
SIM
ineinemnichtzuganglichenSpeicherbereich ab- gelegt. Der geheimeSchlusselwirdfiir diespatereVerifizienmg desAu-
thentisierungsvorgangesbenotigt.
20
Das Netzwerk
initiiertsodannden
Authentisierimgsvorgang,indem
es eineZuf
allszahlRAND
berechnetund
dieseiiberdieLuftschnittstellean die ChipkarteSIM
iibertragt.25 Inder Chipkartewird daraufhinmittels eines Authentisierungsalgorithmus aus
dem
geheimenSchlusselKiund
derZufallszahlRAND
einAuthentisie- rungsparameterSRES
gebildet,der iiberdieLuftschnittstellewiederum
an dasNetzwerk
ubertragen wird. ErfindtmgsgemaCwerden
hierbeiaus derZuf
allszahlRAND
mindestenszweiZufallszahlenRANDi und RAND2
ab--6-
geleitet. DieZufallszahlen
RANDi und RAND2 konnen
durchTeilungoder eineAuswahl
aus derZufallszahlRAND
bzw. durcheinenBerechnungsal- gorithmusgewonnen
werden.5 DieAuthentisierungerfolgt
im
AusfiihrungsbeispielnachFig.1 miteinem zweistufigen Algorithmus. Dabeiwird,wieinFig.1 angedeutet, zunachst der erste TeilderZufallszahlRANDi
miteinemerstenTeilKidesebenfalls inzwei
Teile aufgeteiltenSchliissels Kiverschliisselt. DasErgebnisdieser ersten Stufewird
anschliefiend in einerzweitenStufemitdem
zweitenTeil des10 Schliissels
K2
verschliisselt.Selbstverstandlichkann
zur Berechnungmitdem
Authentisiemngsalgorithmus zunachstauchder zweiteTeil derZufallszahl
RAND2
verwendetund
dieReihenfolge derVerwendung
dererstenund
zweitenSchlusselteileKiund
K2verandertwerden.15
Im Netzwerk
wird wahrenddessenaufdieselbeWeise wieinder Karte mit- tels des Authentisierungsalgorithmusund
der ZufallszahlRAND (RANDi, RAND2)
sowiedem
geheimenSchliisselKi (Ki,K
2) ebenfalls einAuthentisie- rungsparameterSRES' gebildet.Der
Parameter SRES'wirdim Netzwerk
so-)
dann
mitdem von
der Karte erhaltenenAuthentisierungsparameterSRES
20 verglichen.
Stimmen
beide Authentisienmgsparameter SRES'und SRES
iiberein, wirdder Authentisierungsvorgangerfolgreichabgeschlossen.
Stiixunen dieAuthentisierungsparameternichtiiberein, giltdie Karte des Teilnehmersals nichtauthentisiert.EsseiandieserStelle angemerkt,dafi zur Bildung
von SRES
bzw. SRES' auch nurTeile ausdem
durchdie Verschliis- 25 selungerhaltenen Ergebnisses verwendetwerden
konnen.In dergleichenWeise wiedieErzeugungder Authentisierungsparameter erfolgtinder Karte
und im Netzwerk
dieGenerierungeinesSchliissels Kc fur Kanalkodierungfur dieDaten-und
Sprachubertragung.Vorzugsweise*.
-8-
DieFigur3azeigteinenSchliisselKibzw. eine Zufallszahl
RAND
miteinerLange von
128bit.Inder Figur3bist eineAufteilunginzweigleiche TeileKi
und
K2(RANDi,
5RAND2)
dargestellt,wobei dieAufteilung mittigerfolgtTeil1 enthaltbit1 bisbit 64,Teil2 enthaltbit65bis bit128.InFigur3cisteinexiberlappende Aufteilungangegebenund
in derFigur3disteine Aufteilungdargestellt,bei derjeweilsdieungeradzahligenbitsdem
Teil1und
die geradzahligenbitsdem
Teil2zugeordnetsind. Figur 3ezeigtschliefilicheine Aufteilung,bei 10 der dieSumme
derBinarstellenderTeile 1und
2kleineristals die Binarstel-lendesAusgangsschltisselsbzw. der Ausgangszufallszahl.
Verfahren zur AuthentisierungeinerChipkarte (SIM)ineinemNetz-
werk
zurNachrichteniibertragung,vorzugsweiseineinemGSM-
Netzwerk,bei
dem
ineinerChipkarte (SIM) einAlgorithmussowie eingeheimerSchliisselgespeichertsind,wobeizur Authentisierung- zunachst
vom Netzwerk
odereinerNetzwerkkomponente
eineZu-fallszahl
(RAND)
andie Chipkarteiibertragenwird,-in der Chipkarte darausmittels desAlgorithmus
und
des geheimen Schlussels(Ki)einAntwortsignal (SRES) erzeugtund
andasNetzwerk
bzw. dieNetzwerkkomponente
iibermitteltwird,dadurchgekennzeichnet,dafi
-zur Bildungeines Authentisierungsparameters dergeheimeSchliis- sel (Ki) sowiedieZufallszahl
(RAND)
in jeweilswenigstens zweiTelle (Ki, K2;RANDi, RAND
2) aufgeteiltwerden,- einerderTeile
(RANDi, RAND2)
deriibertragenen Zufallszahl(RAND)
mitHilfe eines oder mehrererTeile (Ki,K2) desgeheimen
Schlussels (Ki) mittels einesein- odermehrstufigen,vorzugsweise symmetrischenAlgorithmus verschliisseltwerden,
und
- einevorgegebene Anzahl
von
Bitsausdem
Verschliisselungsergeb- nisausgewahltund
alsSignalantwort (SRES)andasNetzwerk
iiber- tragen wird.Verfahrennach
Anspruch
1, dadurchgekennzeichnet, dafi derge-heime
Schliissel (Ki)und/
oderdieZufallszahl(RAND)
inzweiTeile aufgeteiltwerden.Verfahrennach
Anspruch
1 oder2,dadurchgekennzeichnet, dafiein Teil deriibertragenenZufallszahl(RAND)
sowieeinund/
oderweite- reTeiledes geheimenSchlussels (Ki) zurBerechnungeinesKanalko-dierungsschliissels (Id)mittels einesein- oder mehrstufigen Algo- rithmusverwendet werden, wobei zumindesteinTeildesBerech- nungsergebnissesalsKanalkodierungsschliissel (Kc)verwendetwird.
Verfahrennach einemderAnspriiche1 bis 3,dadurchgekennzeich-
net, dafiderSchliissel (Ki) sowiedie Zufallszahl
(RAND)
inzweigleichlange Teile (Ki,K2/
RANDi, RAND2)
aufgeteiltwerden.Verfahrennach einemderAnspriiche 1 bis4,dadurchgekennzeich- net, dafizurBerechnungderAuthentifizierungsparameter (SRES, SRES')
und/oder
des Kanalkodierungsschliissels (Kc) DES-Algorithmen verwendetwerden.
Verfahrennach einemder Anspriiche1 bis4, dadurchgekennzeich-
net, dafizurBerechnungderAuthentisierungsparameter(SRES, SRES')
und/oder
des Kanalkodierungsschliissels (Kc) der, vorzugs- weise einstufige, IDEA-Algorithmus verwendetwird.Verfahrennach einemderAnspriiche 1 bis4, dadurchgekennzeich-
net, dafi zur BerechnungderAuthentisierungsparameter (SRES, SRES')
und/
oderdes Kanalkodiemngsschliissels (Kc) einKomprimie- rungsalgorithmusverwendetwird, dessenAusgabewerteinegeringe- reLange alsderEingabeparameter aufweistVerfahrennach einemderAnspriiche1 bis 7,dadurchgekemizeich-
net, dafidieBerechnungineinemmindestenszweistufigenAlgorith-
mus
erfolgt.Verfahrennach einemder Anspriiche1 bis8,dadurchgekennzeich-
net, dafi als Verschlusselxingsalgorithmus ein Triple-DES-Algorithmic verwendetwird,bei
dem
zunachst mitdem
erstenTeil (Ki) desSchliissels (Ki) verschliisselt,anschliefiend mit
dem
zweitenTeil (K2) desSchliissels(Ki) entschliisseltund
darauf wieder mitdem
ersten Teil (Ki) odereinemdrittenTeildesSchliissels (Ki)verschliisseltwird.Verfahrennach einemder Anspriiche1 bis 9,dadurchgekennzeich-
net, dafieine
Auswahl
des erstenoder zweitenTeils derZufallszahl(RAND) im
zufalligenoderpseudozufalligenWechselinder Karteund im Netzwerk
in gleicher Weise erfolgt.Zusammenfassung
Die ErfindungbetriffteinVerfahren zur AuthentisierungeinerChipkarte 5 (SIM) in
einem Netzwerk
zur Nachrichtenubertragung, vorzugsweiseinei-nem GSM-Netzwerk,
beidem
ineinerChipkarte (SIM)eingegebenenfalls geheimer Algorithmus sowieeingeheimerSchlussel gespeichertist,wobei zurAuthentisierung zunachstvom
NetzwerkodereinerNetzwerkkompo-
nente eineZuf
allszahlandie Chipkarteiibertragenwird,inderChipkarte 10 mittels des Algorithmus,derZuf
allszahlund
des geheimenSchlussels ein Antwortsignal erzeugt wird, dasandasNetzwerk
bzw. dieNetzwerkkom-
ponenteubermittelt wird,um
dortdieAuthentizitatderKartezuuberprti- fen. Gemafi der Erfindungwirdzur Bildungder Authentisierungsnachrichtsowohl
dergeheimeSchlussel alsauchdievom Netzwerk
ubertrageneZu- 15 fallszahl in jeweilswenigstenszweiTeileaufgeteilt,wobeieinTeil deriiber-tragenenZufallszahl
und
einodermehrereTeile desgeheimenSchlussels mittels einesein-odermehrstufigen,vorzugsweise symmetrischenBerech-mmgsalgorithmus
verschliisseltwerden. ZurAusgabe
einerAuthentisie- xxmgsantwort wird einauswahlbarerTeildes Verschliisselungsergebnisses 20an
dasNetzwerk
iibertragen.••
• • • •
••••• •••••
SIM
Ki
RANDi
|K
2Ki
K
2RAND
2 i 1„
Fig.l
Luftschnittstelle
IMSI
Netzwerk
Ki=f(IMSI)=Ki+K2
Ki
K
2RANDi
i I SRES'Ki
K
2RAND
2 1 I KcRANDi
IFig. 2
K
2 KiSRES
64bit 32bit
•
• • • %
•••• :
##*
-2-
bi b2 b&3 b64 b65 b66 b67 bl26 bl27 bl28
Fig.3a
Ki/RAND
bi b3 b63 b64
— Ki/RANDi
Fig.3b
Fig.3c
b65 b66 b67 bl27 bl28
bi b2 b3 b79 bso
b48 b49 b50 bl27 bl28
K2/RAND2
— K1/RAND1
K2/RAND2
bi ba b5 bl25 bl27
— K1/RAND1
b2 b4 be bl26 bl28
K2/RAND2
Fig.
3d
bi b2 ba b47 b48
— .K1/RAND1
bso bsi b82 bl27 bl28
K2/RAND2
Fig.3e
This Page
isInserted by IFW Indexing and Scanning Operations and
isnot part of the Official Record
Defective images within this
document
are accurate representationsofthe originaldocuments submitted
by
the applicant.Defects
in theimages
includebut
are not limited to theitems checked:
BLACK BORDERS
IMAGE CUT OFF AT
TOP,BOTTOM OR SIDES
FADED TEXT OR DRAWING
BLURRED OR ILLEGIBLE TEXT OR DRAWING SKEWED/SLANTED IMAGES
COLOR OR BLACK AND WHITE PHOTOGRAPHS GRAY SCALE DOCUMENTS
OTHER:
IMAGES ARE BEST AVAILABLE COPY.
As rescanning these documents will not correct the image problems checked, please do not report these problems to the IFW Image Problem Mailbox.
BEST AVAILABLE IMAGES
REFERENCE(S) OR
EXHIBIT(S)SUBMITTED ARE POOR QUALITY
INES