[发明专利]在消息传输网内鉴别智能卡的方法

说明书

本发明涉及在消息网内鉴别智能卡的方法，最适合根据权利要求1的前序部分的GSM网。

在GSM网络中，熟知的事实是：为了使用智能卡(用户标识模块，SIM)，用户通常必须首先依靠个人识别号(PIN)将自己确认为合法的用户。出于避免违章操作的目的，通常提供关于PIN输入的差错计数器，以防止在试错超过最大容许次数之后再次使用该卡。

一种更好的与系统有关的安全措施是通过与移动网作比较来鉴别该卡。不可从外面访问的密钥以及同样不能从外部访问的算法存储在该卡中。为了鉴别，由网络或网络部件产生一个随机数并传输到该卡。然后该卡根据该卡中现有的算法，从该随机数和密钥计算出一个要传输到该网络的响应。在该网络中分析该响应，并且当结果是肯定的时候，允许访问该网络。相应的程序在有关的GSM说明书中介绍。

如上所述地被保护的网络牵涉这样的危险：针对用于鉴别的算法的攻击，容许该网络在一个计算机中，例如，通过诸如选择将要根据标准化协议传输到SIM中的“随机数”和据此确定该智能卡的密钥，在几次鉴别尝试之后进行仿真。如果该卡的算法是已知的，则该卡的基本功能部分能够在确定密钥之后被仿真或复制。

因此本发明的问题是陈述用于在消息系统中鉴别智能卡的可靠方法，其中没有任何关于预定的智能卡(subscribing smart card)的鉴别结果的确认，例如象在GSM中惯用的那样。

根据本发明，从权利要求1的前序部分出发，通过权利要求1的特征部分解决该问题。

本发明的优选实施例陈述在独立的权利要求中。

本发明准备通过从由网络传输的密钥和随机数构造至少两个部分来构造鉴别消息，被传输的随机数的各部分之一和该密钥的各部分之一或多个部分根据一或多步法，最好是对称算法进行加密。为了输出鉴别消息，将传输根据该鉴别算法运算的结果的可选部分到网络。

本发明的一个优选实施例是为了以同样的方式产生信道编码密钥而准备的。在那里也假设：例如，如果密钥和随机数被分成两部分，则被传输的随机数的第一或第二部分与利用一或多步算法的密钥的第一和/或第二部分链接，以获得信道编码密钥。在每种情况下，最好使用为了构造鉴别消息和信道编码密钥而从网上获得的随机数的不同部分。

本发明的进一步优选的实施例假设密钥存储在该卡中，并且由该网络发送到该卡的随机数被分成等长度的两段。这允许在这两种情况下使用同一算法。该随机数或密钥能够通过直接“在中间”分开或通过建立叠加部分区域来拆分。还可以得到这样的拆分：它的各部分总和小于该随机数或密钥的位长度。根据进一步的变换，该随机数或密钥的已知位数能根据预定的方案或伪随机地合并到一个密钥或随机数的部分中。

象本发明的进一步的优选实施例那样，可以使用DES算法作为鉴别和信道编码的算法。

本发明的例一个有利的变形是为最好使用用于计算鉴别参数和信道编码密钥的一步IDEA算法而准备的。

还可以使用压缩算法计算鉴别参数和信道编码密钥，这里的压缩算法最好是输出值的长度小于输入参数长度的加密压缩算法。

为了增强安全性，最好使用至少两步的算法，因此认为三步DES算法是特别安全的。用该算法首先用该密钥的第一部分以及该随机数的一部分加密，然后用该密钥的第二部分对该结果执行解密，最后再利用该密钥的第一部分进行进一步的计算。为了用该密钥的第一部分作最后加密，可以方便地使用一个新的第三密钥，特别在该密钥拆分成三个密钥部分时尤其如此。

本发明的进一步的优选实施例导致：如果随机数的第一或第二部分的选择交替地对鉴别和信道编码的计算实行，则该交替随机地或伪随机地执行，而且该选择在该卡和该网络中以同样的方式实行。

以下将通过参考图1-3更详细地描述本发明。

图1表示在GSM网的SIM的加密操作的次序。

图2表示三步DES加密的方框图。

图3表示密钥和随机数的拆分的例子。

图1所述的次序假定了PIN的验证的通常和前序处理已经完成。因此，卡SIM所在的移动单元发送给网络一条含有IMSI(国际移动用户标识)信息或TMSI(临时移动用户标识)信息的消息。密钥Ki根据已知的函数或一个表，从该网络中的IMSI或TMSI确定。同样的密要还存储在该智能卡SIM的一个不可访问的存储空间中。密钥是鉴别处理的后续验证所要求的。

该网络通过计算随机数RAND并且经由空气界面(air interface)将其传榆到智能卡SIM来初始化鉴别处理。