9/ BEST AVAILABLE COPY PRIORITY DOCUMENT SUBMITTED OR TRANSMITTED IN. am 7. Mai 1998 beim Deutschen Patent- und

BUNDESREPUBU^^^'

PRIORITY DOCUMENT

SUBMITTED

OR

TRANSMITTED^IN

COMPLIANCE

^WITH

RULE

^17.1(a)

^OR

^(b)

9/673658

Bescheinigung

DieGiesecke

&

^Devrient

GmbH

ⁱⁿ

dung unterderBezeichnung

Munchen/Deutschland ^{hat eine}

Patentanmei-

•Verfahren zurAuthentisierung ^einerChipkarte

—> ^

Nachrichteniibertragungs-Netzwerks"

am

^{7. Mai 1998 beim Deutschen}

Patent- und Markenamteingereicht.

Die angehefteten Stiicke sind eine ^richtige lichen Unteriagen dieserPatentanmeldung

undgenaueWiedergabederursprung-

n

tcchen ^Patent-und Markenamt^{voriaufig d.e}

Symboie DieAnmeldung ^hatim Deutschen P

^^^ ^mg ^

^emalten.

H

04 L und

G

⁰⁷ F der International

Patentklass.f.k

MQnchen, den ^{2. Juni} 1999

Deutsche*^Patent-und Markenamt Der^Prasident

Im^Auftrag

I, Aktenzeichen: 19820422J.

Seilaf

A9161

06.90 11/98

BEST AVAILABLE COPY

•• • I *

-2-

gewahlte„ZufalIszahlen" nach

dem

standardisiertenProtokoll andieSIM- Karteubermittelt

werden und

daraus,nach mehrfachenAuthentisierungs- versuchen, derGeheimschliissel derChipkarte ermitteltwird.1stzusatzlich derAlgorithmus derKarte bekannt,

konnen

nachErmittlungdesgeheimen 5 SchltisselswesentlicheFunktionselemente der Kartesimuliertbzw. dupli-

ziertwerden.

Esistdeshalb

Auf

gabe der Erfindung, einsicheresVerfahrenztirAuthenti- sierungeiner ChipkarteineinemNachrichtensystem anzugeben,beidem, 10

wie

beispielsweise

im GSM-Netz

ublich,eine

Ruckmeldung

liber das

Au-

thentisierungsergebnisandie teilnehmende Chipkarte nichterfolgt.

DieseAufgabe wirdgemafi derErfindungausgehend

von

den

Merkmalen

desOberbegriffs desAnspruchs 1 durch diekennzeichnenden

Merkmale

des 15

Anspruchs

1 gelost.

Vorteilhafte Ausgestaltungen der Erfindungsind in

den

abhangigen

An-

spriichenangegeben.

20 Die Erfindungsieht vor, zur Bildungder Authentisierungsnachrichtsowohl aus

dem

geheimenSchliissel alsauchaus der

vom ^Netzwerk

ubertragenen Zufallszahljeweils wenigstens zweiTeilezubilden, wobei einerderTeile

derubertragenenZufallszahl

und

einerodermehrere Teiledes

geheimen

Schliissels mittels eines ein-odermehrstufigen, vorzugsweisesymmetri- 25 schenBerechnungsalgorithmusverschliisseltwerden.

Zur Ausgabe

einer

Authentisierungsnachrichtwirdein auswahlbarerTeildesnach

dem Au-

thentisierungsalgorithmusberechnetenErgebnisses andas

Netzwerk

uber- tragen.

Einevorteilhafte Ausgestaltung_derErfindungsieht vor, dafiindergleichen Art

und

Weise auchderKanalkodierungsschlussel erzeugt wird, d.h.auch dortist,beispielsweise_{bei einer}Zweiteilung desSchliissels

und

derZufalls-

zahl vorgesehen, daJSentweder der ersteoder der zweiteTeil der ubertrage-

nen

ZufaUszahlmit

dem

ersten

und/oder

zweitenTeildes geheimenSchliis- selsmiteinemein-oder mehrstufigen Algorithmusverkniipftwerden, urn einen Kanalkodierungsschlussel zuerhalten.Vorzugsweise

werden

furdie BildungderAuthentisierungsnachricht

mid

desKanalkodierungsschltissels jeweilsverschiedeneTeileder

vom

NetzwerkerhaltenenZufallszahl ver-

wendet.

Eine weiterevorteilhafte AusgestaltungderErfindungsiehtvor,dafi derin der Karte _abgelegtegeheimeSchliisselsowie die Zufallszahl,welche

vom

Netzwerk

an dieKarte gesendet wird, in gleichlangeTeileaufgeteiltwer- den.

Damit kann

inbeidenFallender gleicheBerechnungsalgorithmusver-

wendet

werden.Die Aufteilung derZufallszahlbzw. des geheimenSchliis- sels

kann

inderWeiseerfolgen, dafieineeinfacheTeilung"inder Mitte" er- folgtodersichiiberlappende Teilbereicheentstehen. Ebenso ^isteineTeilung denkbar, inderdie

Summe

dereinzelnenTeilekleinerist alsdieBit-Lange derZufallszahlbzw. des geheimenSchliissels. GemafieinerweiterenVarian- te

konnen

nach einemvorbestimmtenMusteroderpseudozufalligjeweils einevorgegebene Anzahl

von

BitsderZufallszahlbzw. des geheimen

SchliisselszujeweilseinemSchliissel-bzw.Zufallszahlenteil

zusammenge-

fafitwerden.

AlsweiterevorteilhafteAusgestaltung der Erfindung

konnen

^alsBerech- nungsalgorithmenzur Authentisierungsowie zurKanalkodierungDES- Algorithmen verwendetwerden.

-4-

Eine anderevorteilhafteVariante der Erfindung^siehtvor,dafi zurBerech-

nung

der Authentifizierungsparameter

und

derKanalkodierungsschliissel der vorzugsweiseeinstufigeIDEA-Algorithmus verwendetwird.

5 Alternativ

konnen

zurBerechnungder Authentifizierungsparameter

und

der Kanalkodierungsschlussel Komprimierungsalgorithmen, vorzugsweise kryptografische Komprimierungsalgorithmen verwendet werden, ^deren Ausgabewerte eine geringere

Lange

als dieEingabeparameter aufweiseni

10

Zur Erhohung

derSicherheitistesvorteilhaft,einen mindestenszweistufi-

gen

Berechnungsalgorithmus zu verwenden, wobei sichein Triple-DES- Algorithmus alsbesonderssicher erweist. Bei diesem Algorithmus wird^zu- nachstmiteinemerstenTeil desSchliissels

und

einemTeil derZufallszahl verschliisselt, anschliefiend wirdeine Entschliisselungdes Ergebnissesmit 15

dem

zweitenTeildesSchliissels

vorgenommen,

urnschliefilichwiedermit

dem

^{erstenTeildes}Schliisselseine weitere Berechnungauszufiihren. Bei der letztenVerschliisselungmit

dem

erstenTeildesSchliissels

kann

invorteil- hafterWeise, insbesonderebei einer Schliisselaufteilung in dreiSchliisseltei- le, einneuer, dritter Schliisselverwendetwerden.

20

Eine weiterevorteilhafteAusgestaltung der Erfindung ^ergibtsich,

wenn

die

Auswahl

deserstenoder zweitenTeilsderZufallszahlfurdie Authentisie-

rung

bzw. dieBerechnungderKanalkodierung

im

Wechsel ^erfolgt,wobei dieserWechselzufalligbzw. pseudozufalligausgefiihrtwird

und

dieAus- 25

wahl

inder Karte

und im Netzwerk

aufdie gleicheWeiseerfolgt.

Im

^folgendenwird dieErfindungan

Hand

derFiguren 1 bis3 naherbe- schrieben.

# cm

-5-

Fig. 1 zeigt

den

^Ablaufderkryptographischen Funktionendes

SIM im GSM-

Netz.

Fig. 2 zeigteinBlockschaltbildderTripleDES-Verschlusselung.

5

Fig. 3 zeigt Beispielefiir die Aufteilung desgeheimenSchlxisselsbzw. der Zufallszahl

Bei

dem

inFig. 1 dargestelltenAblaufwirdvorausgesetzt,dafider^iibliche, 10 vorhergehende

Vorgang

der PIN-Verifizierung abgeschlossen^ist.

Im An-

schlufi daranwird

von

dermobilen^Einheit, inder sich die Karte

SIM

befin- det, eineNachrichtandas

Netzwerk

gesendet,welche eineIMSI-

(internationalmobilesubscriberidentity)Informationbzw. eine

TMSI-

(temporary mobilesubscriberidentity)Information enthalt/Aus der IMSI 15 bzw.

TMSI

wird

im

Netzwerk nacheinervorgegebenenFunktion odermit-

tels einerTabelle eingeheimerSchliisselKibestimmt. Derselbe^{Schlussel ist} auchinder Chipkarte

SIM

ineinemnichtzuganglichenSpeicherbereich ab- gelegt. Der geheimeSchlusselwirdfiir diespatereVerifizienmg des

Au-

thentisierungsvorgangesbenotigt.

20

Das Netzwerk

^initiiertsodann

den

Authentisierimgsvorgang,

indem

es eine

Zuf

^allszahl

RAND

^berechnet

^und

^{dieseiiberdieLuf}tschnittstellean die Chipkarte

SIM

iibertragt.

25 Inder Chipkartewird daraufhinmittels eines Authentisierungsalgorithmus aus

dem

geheimenSchlusselKi

und

derZuf^allszahl

RAND

^einAuthentisie- rungsparameter

SRES

gebildet,der iiberdieLuftschnittstelle

wiederum

an das

Netzwerk

ubertragen wird. ErfindtmgsgemaC

werden

^{hierbeiaus der}

Zuf

allszahl

RAND

^{mindestenszwei}Zufallszahlen

RANDi und RAND2

^ab-

-6-

geleitet. DieZufallszahlen

RANDi ^und RAND2 konnen

durchTeilungoder eine

Auswahl

aus derZufallszahl

RAND

bzw. durcheinenBerechnungsal- gorithmus

gewonnen

werden.

5 DieAuthentisierungerfolgt

im

AusfiihrungsbeispielnachFig.1 miteinem zweistufigen Algorithmus. Dabeiwird,wieinFig.1 angedeutet, zunachst der erste TeilderZufallszahl

RANDi

miteinemerstenTeilKidesebenfalls in

zwei

Teile aufgeteiltenSchliissels Kiverschliisselt. DasErgebnisdieser ersten Stufe

wird

anschliefiend in einerzweitenStufemit

dem

^{zweitenTeil des}

10 Schliissels

K2

verschliisselt.Selbstverstandlich

kann

zur Berechnungmit

dem

Authentisiemngsalgorithmus zunachstauchder zweiteTeil derZufallszahl

RAND2

verwendet

und

dieReihenfolge der

Verwendung

derersten

und

zweitenSchlusselteileKi

und

K2verandertwerden.

15

Im Netzwerk

wird wahrenddessenaufdieselbeWeise wieinder Karte mit- tels des Authentisierungsalgorithmus

und

der Zufallszahl

RAND (RANDi, RAND2)

^sowie

dem

^{geheimenSchliisselKi (Ki,}

K

2) ebenfalls einAuthentisie- rungsparameterSRES' gebildet.

Der

Parameter SRES'wird

im Netzwerk

so-

)

dann

mit

dem von

der Karte erhaltenenAuthentisierungsparameter

SRES

20 verglichen.

Stimmen

beide Authentisienmgsparameter SRES'

und SRES

iiberein, wirdder Authentisierungsvorgangerfolgreichabgeschlossen.

Stiixunen dieAuthentisierungsparameternichtiiberein, giltdie Karte des Teilnehmersals nichtauthentisiert.EsseiandieserStelle angemerkt,dafi zur Bildung

von SRES

bzw. SRES' auch nur^{Teile aus}

dem

durchdie Verschliis- 25 selungerhaltenen Ergebnisses verwendet

werden

konnen.

In dergleichenWeise wiedieErzeugungder Authentisierungsparameter erfolgtinder Karte

und im Netzwerk

dieGenerierungeinesSchliissels Kc fur Kanalkodierungfur dieDaten-

und

Sprachubertragung.Vorzugsweise

*.

-8-

DieFigur3azeigteinenSchliisselKibzw. eine Zufallszahl

RAND

miteiner

Lange von

128bit.

Inder Figur3b^ist eineAufteilunginzweigleiche TeileKi

und

K2

(RANDi,

5

RAND2)

dargestellt,wobei dieAufteilung mittigerfolgtTeil1 enthaltbit1 bisbit 64,Teil2 enthaltbit65bis bit128.InFigur3cisteinexiberlappende Aufteilungangegeben

und

in derFigur3disteine Aufteilungdargestellt,bei derjeweilsdieungeradzahligenbits

dem

^Teil1

und

die geradzahligenbits

dem

^Teil2zugeordnetsind. Figur 3ezeigtschliefilicheine Aufteilung,bei 10 der die

Summe

^derBinarstellenderTeile 1

und

2kleiner^istals die Binarstel-

lendesAusgangsschltisselsbzw. der Ausgangszufallszahl.

Verfahren zur AuthentisierungeinerChipkarte (SIM)ineinemNetz-

werk

zurNachrichteniibertragung,vorzugsweiseineinem

GSM-

Netzwerk,bei

dem

ineinerChipkarte (SIM) einAlgorithmussowie eingeheimerSchliisselgespeichertsind,wobeizur Authentisierung

- zunachst

vom Netzwerk

odereiner

Netzwerkkomponente

eineZu-

fallszahl

(RAND)

andie Chipkarteiibertragenwird,

-in der Chipkarte darausmittels desAlgorithmus

und

des geheimen Schlussels(Ki)einAntwortsignal (SRES) erzeugt

und

andas

Netzwerk

bzw. die

Netzwerkkomponente

iibermitteltwird,

dadurchgekennzeichnet,dafi

-zur Bildungeines Authentisierungsparameters dergeheimeSchliis- sel (Ki) sowiedieZufallszahl

(RAND)

in jeweilswenigstens zweiTelle (Ki, K2;

RANDi, RAND

2) aufgeteiltwerden,

- einerderTeile

(RANDi, RAND2)

deriibertragenen Zufallszahl

(RAND)

mitHilfe eines oder mehrererTeile (Ki,K2) des

geheimen

Schlussels (Ki) mittels einesein- odermehrstufigen,vorzugsweise symmetrischenAlgorithmus verschliisseltwerden,

und

- einevorgegebene Anzahl

von

Bitsaus

dem

Verschliisselungsergeb- nisausgewahlt

und

alsSignalantwort (SRES)andas

Netzwerk

iiber- tragen wird.

Verfahrennach

Anspruch

1, dadurchgekennzeichnet, dafi derge-

heime

Schliissel (Ki)

und/

oderdieZufallszahl

(RAND)

inzweiTeile aufgeteiltwerden.

Verfahrennach

Anspruch

1 oder2,dadurchgekennzeichnet, dafiein Teil deriibertragenenZufallszahl

(RAND)

sowieein

und/

oderweite- reTeiledes geheimenSchlussels (Ki) zurBerechnungeinesKanalko-

dierungsschliissels _(Id)mittels einesein- oder mehrstufigen Algo- rithmusverwendet werden, wobei zumindesteinTeildesBerech- nungsergebnissesalsKanalkodierungsschliissel _(Kc)verwendetwird.

Verfahrennach einemderAnspriiche1 bis 3,dadurchgekennzeich-

net, dafiderSchliissel (Ki) sowiedie Zufallszahl

(RAND)

inzwei

gleichlange Teile (Ki,K2/

RANDi, RAND2)

aufgeteiltwerden.

Verfahrennach einemderAnspriiche 1 bis4,dadurchgekennzeich- net, dafizurBerechnungderAuthentifizierungsparameter (SRES, SRES')

und/oder

des Kanalkodierungsschliissels _(Kc) DES-

Algorithmen verwendetwerden.

Verfahrennach einemder Anspriiche1 bis4, dadurchgekennzeich-

net, dafizurBerechnungderAuthentisierungsparameter(SRES, SRES')

und/oder

des Kanalkodierungsschliissels (Kc) der, vorzugs- weise einstufige, IDEA-Algorithmus verwendetwird.

Verfahrennach einemderAnspriiche 1 bis4, dadurchgekennzeich-

net, dafi zur BerechnungderAuthentisierungsparameter (SRES, SRES')

und/

oderdes Kanalkodiemngsschliissels (Kc) einKomprimie- rungsalgorithmusverwendetwird, dessenAusgabewerteinegeringe- reLange alsderEingabeparameter aufweist

Verfahrennach einemderAnspriiche1 bis 7,dadurchgekemizeich-

net, dafidieBerechnungineinemmindestenszweistufigenAlgorith-

mus

erfolgt.

Verfahrennach einemder Anspriiche1 bis8,dadurchgekennzeich-

net, dafi als Verschlusselxingsalgorithmus ein Triple-DES-Algorithmic verwendetwird,bei

dem

zunachst mit

dem

ersten_{Teil (Ki)} des

Schliissels (Ki) verschliisselt,anschliefiend mit

dem

zweiten_{Teil (K2)} desSchliissels(Ki) entschliisselt

und

darauf wieder mit

dem

ersten Teil (Ki) odereinemdrittenTeildesSchliissels (Ki)verschliisseltwird.

Verfahrennach einemder Anspriiche1 bis 9,dadurchgekennzeich-

net, dafieine

Auswahl

des erstenoder zweitenTeils derZufallszahl

(RAND) im

zufalligenoderpseudozufalligenWechselinder Karte

und im Netzwerk

in gleicher Weise erfolgt.

Zusammenfassung

Die ErfindungbetriffteinVerfahren zur Authentisierung_einerChipkarte 5 (SIM) in

einem Netzwerk

zur Nachrichtenubertragung, vorzugsweiseinei-

nem GSM-Netzwerk,

bei

dem

ineinerChipkarte (SIM)eingegebenenfalls geheimer Algorithmus sowieeingeheimerSchlussel gespeichertist,wobei zurAuthentisierung zunachst

vom

Netzwerkodereiner

Netzwerkkompo-

nente eine

Zuf

allszahlandie Chipkarteiibertragenwird,inderChipkarte 10 mittels des Algorithmus,der

Zuf

allszahl

und

des geheimenSchlussels ein Antwortsignal erzeugt wird, dasandas

Netzwerk

bzw. die

Netzwerkkom-

ponenteubermittelt wird,

um

dortdieAuthentizitatderKartezuuberprti- fen. Gemafi der Erfindungwirdzur Bildungder Authentisierungsnachricht

sowohl

dergeheimeSchlussel alsauchdie

vom Netzwerk

ubertrageneZu- 15 ^fallszahl in jeweilswenigstenszweiTeileaufgeteilt,wobeieinTeil deriiber-

tragenenZufallszahl

und

einodermehrereTeile desgeheimenSchlussels mittels einesein-odermehrstufigen,vorzugsweise symmetrischenBerech-

mmgsalgorithmus

verschliisseltwerden. Zur

Ausgabe

einerAuthentisie- xxmgsantwort wird einauswahlbarerTeildes Verschliisselungsergebnisses 20

an

das

Netzwerk

iibertragen.

••

• • • •

••••• •••••

SIM

Ki

RANDi

|

K

2

Ki

K

2

RAND

2 i 1

„

Fig.l

Luftschnittstelle

IMSI

Netzwerk

Ki=f(IMSI)=Ki+K2

Ki

K

2

RANDi

i I SRES'

Ki

K

2

RAND

2 1 I Kc

RANDi

I

Fig. 2

K

2 Ki

SRES

64bit 32bit

•

• • • %

•••• _:

##^*

-2-

bi b2 b&3 b64 b65 b66 b67 bl26 bl27 bl28

Fig.3a

Ki/RAND

bi b3 b63 b64

— Ki/RANDi

Fig.3b

Fig.3c

b65 b66 b67 bl27 bl28

bi b2 b3 b79 bso

b48 b49 b50 bl27 bl28

K2/RAND2

— K1/RAND1

K2/RAND2

bi ba b5 bl25 bl27

— K1/RAND1

b2 b4 be bl26 bl28

K2/RAND2

Fig.

3d

bi b2 ba b47 b48

— .K1/RAND1

bso bsi b82 _{bl27 bl28}

K2/RAND2

Fig.3e

This Page

^is

Inserted by IFW Indexing and Scanning Operations and

is

not part of the Official Record

Defective images within this

document

are accurate representationsofthe original

documents submitted

by

the applicant.

Defects

in the

images

include

but

are not limited to the

items checked:

BLACK BORDERS

IMAGE CUT OFF AT

TOP,

BOTTOM OR SIDES

FADED TEXT OR DRAWING

BLURRED OR ILLEGIBLE TEXT OR DRAWING SKEWED/SLANTED IMAGES

COLOR OR BLACK AND WHITE PHOTOGRAPHS GRAY SCALE DOCUMENTS

OTHER:

IMAGES ARE BEST AVAILABLE COPY.

As rescanning these documents will not correct the image problems checked, please do not report these problems to the IFW Image Problem Mailbox.

BEST AVAILABLE IMAGES

REFERENCE(S) OR

EXHIBIT(S)

SUBMITTED ARE POOR QUALITY

INES

OR MARKS ON ORIGINAL DOCUMENT

THIS -PAGE BLA^K

^(uspto)