用无线通信与口令协议建立一个密钥的方法和口令协议.pdf

用无线通信与口令协议 建立一个密钥的方法和口令协议
    诸相关的申请

    和本主题申请同时提出的下列诸申请都涉及本主题申请，因此将它们整体地作为参考文献和本主题申请结合在一起：由本主题申请的诸发明者之一提出的申请号未知，标题为“用于双方验证的方法和密钥协议”的申请；由本主题申请的诸发明者之一提出的申请号未知，标题为“用于在一个无线通信系统中更新秘密共享数据的方法”的申请；由本主题申请的诸发明者之一提出的申请号未知，标题为“用初始非保密通信传送敏感信息的方法”的申请；和由本主题申请的诸发明者之一提出地申请号未知，标题为“用于在一个无线系统中使无线的通信实现保密的方法”的申请。

    本发明涉及一个口令协议和一种用无线的通信建立一个密钥的方法，并在一个实施例中涉及口令协议。

    在一个无线通信系统中，典型地人们将由诸移动电话机用户购得的常称为诸移动电话机的诸手机拿到一位网络服务供应商处，并将诸长密钥和诸参数输入手机以便激活网络服务。服务供应商的网络也保留一个对于移动电话机的诸长密钥和诸参数的复制件，并将它们与移动电话机结合起来。如众所周知的，在这些长密钥和参数的基础上，能够在网络和移动电话机之间无线保密地传送信息。

    另一方面，用户通过一条保密的通信信道如一条电话机/陆上通信线路，从服务供应商接收诸长密钥，并且必须手工地将诸代码输入移动电话机。

    因为和无线不同，我们通过一条电话机/陆上通信线路或在网络服务供应商处实施诸长密钥和诸参数的传送，所以传送对于诸无线的攻击是保密的。然而，这种保密地传送信息的方法给移动电话机用户设置了某些负担和限制。优先地，诸移动电话机用户应该能够购买他们的诸手机，然后从任何服务供应商得到服务，而不用实际上将诸手机拿到网络服务供应商所在地或必须手工地及无差错地将诸长密钥输入移动电话机。远距离地激活移动电话机和向移动电话机提供服务的能力是诸北美无线标准的一部分，并称为“无线的服务供应”(OTASP)。

    现在，北美蜂窝式标准IS41-C规定了为在两方面之间建立一个秘密密钥用一个著名的迪菲-赫尔曼(DH)密钥协议的OTASP协议。图1说明在IS41-C中使用的DH密钥协议对为在一台移动电话机20和一个网络10之间建立一个秘密密钥的应用。即，图1以一种为了清楚起见的简化方式表示根据DH密钥协议在一个网络10和一台移动电话机20之间的通信。如此中所用的，术语网络涉及诸验证中心，诸本地寄存器，诸访问地寄存器，诸移动式交换中心和由一位网络服务供应商操作的诸基站。

    网络10产生一个随机数RN，并计算(g^RN模p)。如图1所示，网络10将一个512位的素数p，由素数p产生的群的生成元g和(g^RN模p)发送给移动电话机20。接着，移动电话机20产生一个随机数RN，计算(g^RM模p)，并将(g^RM模p)发送给网络10。

    移动电话机20使从网络10接收的(g^RN模p)增加到功率RM以便得到(g^RM RN模p)。网络10使从移动电话机20接收的(g^RM模p)增加到功率RN以便也得到(g^RM RN模p)。移动电话机20和网络10两者得到同一个结果，并建立起至少64个有效位作为长期密钥，该长期密钥称为A-密钥。A-密钥起着一个根密钥的作用，为了驱动用于使移动电话机20和网络10之间的通信实现保密的诸其它密钥。

    用DH密钥交换引起的诸问题中的一个是不对它进行验证并对一个在中间的人的攻击很敏感。例如，在上述的移动电话机网络的两个方面的例子中，一位攻击者能够假冒网络10，然后又假冒接入网络10的移动电话机20。这样一来，当A-密钥在移动电话机20和网络10之间转播诸消息，以便满足诸验证要求时，攻击者能够选择并知道A-密钥。DH密钥交换对诸脱机字典攻击也很敏感。

    另一个用于保护信息如A-密钥的无线传送的著名协议是迪菲-赫尔曼加密密钥交换(DH-EKE)。DH-EKE是一个用于交换信息的以口令为基础的协议，DH-EKE假定在无线传送前，移动电话机用户和网络服务供应商两者都已经建立起一个口令。与对于图1讨论的DH密钥交换系统不同，DH-EKE对诸在中间的人的攻击和诸脱机字典攻击实施防护。

    我们将对于图2描述DH-EKE，图2说明根据DH-EKE协议在移动电话机20和网络10之间的通信。如图所示，移动电话机20将一个512位的素数p和生成元g与根据一个用口令P的加密/解密算法ENC进行加密的(g^RM模p)一起发送给网络10，该口令P对于移动电话机用户和网络10是已知的并作为加密密钥。我们将这种计算表示为ENCP(g^RM模p)。网络10用口令P对(g^RM模p)进行解密，并计算(g^RM模p)^RN，它等于(g^RMRN模p)。网络10选择(g^RMRN模p)，这个值的一个散列(hash)，或它的某个部分作为一个会话密钥SK。

    然后网络10将根据用口令P的ENC加密的(g^RN模p)和一个根据用会话密钥SK的ENC加密的随机数RN′发送给移动电话机20。移动电话机20用口令P对(g^RN模p)进行解密，并计算(g^RN模p)^RM，它等于(g^RMRN模p)。然后，动电话机20选择(g^RMRN模p)，它的散列，或它的一部分作为会话密钥SK，如网络10所做的那样。然后，移动电话机20用会话密钥SK对RN′进行解密。

    下面，移动电话机20产生一个随机数RM′，根据用会话密钥SK的ENC对诸随机数RM′和RN′进行加密，并将诸加密随机数RN′和RM′发送给网络10。网络10用会话密钥SK对诸随机数RN′和RM′进行解密，并确定RN′的解密型式是否等于原来发送给移动电话机20的RN′的型式。当RN′的解密的型式等于原来发送给移动电话机20的RN′的型式时，网络10对会话密钥SK进行检验。

    然后网络10将根据用会话密钥SK的ENC进行加密的随机数RM′发送给移动电话机20。移动电话机20用会话密钥SK对随机数RM′进行解密，并确定RM′的计算得到的型式是否等于原来发送给网络10的RM′的型式。当RM′的解密的型式等于原来发送给网络10的RM′的型式时，移动电话机20对会话密钥SK进行检验。

    一旦网络10和移动电话机20已经对会话密钥SK进行了检验，则将会话密钥SK用作A-密钥，并用A-密钥重新形成移动电话机20和网络10之间的通信。

    当DH-EKE协议消除在中间的人的攻击和线外式的字典攻击时，信息仍然可能发生泄漏，并且一位攻击者可能恢复口令P。

    在口令协议中，诸正在通信的方面交换诸计算结果，这些计算结果每个都包括一个指数，以便产生一个密钥。在产生诸计算结果时，每一方都将口令加到他们各自的指数上。如果由一方预先发送的授权信息对于另一方是可接受的，则这个另一方使用根据口令协议建立的密钥。通过一条保密的通信信道将授权信息发送出去。通过将口令加到各个指数上，较少地泄漏有关口令的信息，并且计算变得更加有效。

    我们也将保密的通信信道用在诸其它的实施例中，以便检验一个关于在诸方面之间发送的至少一个的计算结果的散列。然而，与口令协议不同，诸计算结不包括口令。如果检验了散列，则用在诸方面之间发送的诸计算结果建立一个密钥。这种检验过程提供了一个在建立密钥前的对保密性的度量。

    本发明有包括其中诸方面是一位移动电话机用户和一个网络的无线工业在内的许多应用。

    从下面给出的详细描述和仅仅为了说明而给出的所附的诸图，我们将对本发明有较充分的认识，其中在诸不同的图中，相同的参照数字标记相同的对应部分，其中：

    图1表示根据迪菲-赫尔曼密钥协议在一个网络和一台移动电话机之间的通信；

    图2表示根据迪菲-赫尔曼加密密钥交换协议在一个网络和一台移动电话机之间的通信；

    图3表示根据本发明的一个第一个实施例，通过一条电话机/陆上通信线路在一个网络和一台移动电话机用户之间的通信。

    图4表示根据本发明的一个第二个实施例，通过一条电话机/陆上通信线路在一个网络和一台移动电话机用户之间的通信。

    图5表示根据本发明的一个第三个实施例，通过一条电话机/陆上通信线路在一个网络和一台移动电话机用户之间的通信。

    我们将对根据本发明的用无线的通信建立一个密钥的系统和方法，当将它们应用于一个无线系统时进行描述。即，我们将对用一条电话机/陆上通信线路30和根据一个实施例的一个口令协议两者在一台移动电话机20和一个网络10之间建立一个密钥的过程进行描述。

    图3说明根据本发明的一个第一个实施例通过一条电话机/陆上通信线路30和移动电话机20在(1)网络供应商和网络10，一起称为网络10和(2)一位移动电话机用户之间的通信。如图3所示，通过一条电话机/陆上通信线路30，一位移动电话机用户向网络10提供授权信息(例如，用于付款的信用卡信息)。如果网络10接受授权信息，则网络10通过电话机/陆上通信线路30向移动电话机用户提供一个四(4)个数字的口令P。然而，口令P应该可以多于或少于四个数字。

    然后移动电话机用户将这个短口令P输入到移动电话机20作为一个激活程序的一部分。移动电话机20用一个随机数发生器产生一个随机数RM，并用一个预先存储的512位的素数和由素数p产生的群的生成元g计算(g^RM+P)模p)。

    移动电话机20将素数p和生成元g与(g^RM+P)模p)一起发送给网络10。因为(g^RM+P)模P)等于(g^RM模p)+(P模p)和网络10知道口令P，所以网络10计算(P模p)并从(g^RM+P)模p)提取(g^RM模P)。在产生一个随机数RN后，网络10计算(g^RM模p)^RN，它等于(g^RMRN模p)。网络10选择(g^RMRN模p)，它的散列，或它的一部分作为一个会话密钥SK。例如，如果被编入IS41协议中，我们将选择(g^RMRN模p)的64个最低有效位作为一个会话密钥SK。

    然后网络10计算(g^RN+P)模p)，并将它发送给移动电话机20。移动电话机20，在提取(g^RN模p)后，计算(g^RN模p)^RM，它等于(g^RMRN模p)。移动电话机20用与网络10相同的方式选择(g^RMRN模p)，它的散列，或它的一部分作为一个会话密钥SK。例如，如果被编入IS41协议中，我们将选择(g^RMRN模p)的64个最低有效位作为一个会话密钥SK。

    一旦网络10和移动电话机20有了会话密钥SK，则将会话密钥SK用作A-密钥，并用A-密钥重新形成在移动电话机20和网络10之间的通信。

    上面讨论的根据本发明的无线的交换用一个口令协议(即，在图3中(g^RM+P)模p)和((g^RN+P)模p)的诸传送)，它不会泄漏信息到DH-EKE协议泄漏信息的程度。而且，因为移去口令的作用不会显示任何东西，所以这个口令协议是保密的。RM和RN是诸均匀的随机数。因为由取幂模p引起的置换，将它们增加到g，然后减少模p也导致诸均匀的随机数。所以，将一个P模p加到那个数上不会改变结果的均匀性和随机性。所有的数看起来都是等同的，移去诸其它口令的诸作用也产生看起来等同的诸数，所以不存在信息的泄漏。一位熟练的技术人员也将估计到上面讨论的口令协议不限于对信息的无线的交换的应用中。例如，我们能将这个口令协议应用于整体验证和会话密钥协议。

    现在我们将对于图4描述本发明的一个第二个实施例。图4说明表示根据本发明的一个第二个实施例，通过电话机/陆上通信线路30和移动电话机20在一个网络10和一位移动电话机用户之间的通信。如图4所示，通过电话机/陆上通信线路30，一位移动电话机用户向网络10提供授权信息。如果网络10接受授权信息，则当移动电话机20发出一个初始化请求作为移动电话机的初始化过程的一部分时，初始化过程继续进行下去。

    例如，移动电话机20产生一个随机数RM，计算(g^RM模p)，并将一个初始化请求与(g^RM模p)一起发送给网络10。

    网络10产生一个随机数RN并将(g^RN模p)发送给移动电话机20。

    移动电话机20和网络10两者执行h((g^RN模p)，(g^RM模p))的运算，它是一个用著名的保密散列算法(SHA)对(g^RN模p)和(g^RM模p)进行的集体(collective)散列。然而，我们应该注意到能够用任何的散列算法。移动电话机20显示出散列的诸结果，并且移动电话机用户通过电话机/陆上通信线路30将散列的诸数字发送给网络10。

    如果网络发现在由移动电话机用户提供的诸数字和由网络10实施的散列之间的一个匹配，则对通信进行了检验，作为(g^RMRN模p)，它的散列或它的一部分建立起A-密钥。即，移动电话机20将如此地建立起A-密钥，但是如果检验了散列，则网络10只是将这个A-密钥和移动电话机20关联起来。

    作为一个可供选择的方案，或第三个实施例，移动电话机20将足够的信息(例如，移动电话机的识别号数等)和授权信息一起提供给网络10，使得网络10能够与移动电话机20相联系并将(g^RN模p)作为一个初始通信发送出去。

    这个第三个实施例受到一个生日攻击，即，需要将由一位在中间的人进行的许多尝试中的一半用于攻击这个协议，而不是人们最初所假定的那样。然后，根据第三个实施例的一个可供选择的方案，如果将散列改变成h((g^RM模p)，(g^RN模p)，(g^RMRN模p))，则因为攻击者必须与诸散列一起进行求幂，大大放慢了攻击。

    作为第三个实施例的另一个可供选择的方案，为对在移动电话机20和网络10之间的通信进行检验而实施的散列包括移动电话机20的识别号数。

    根据第三个实施例的一个进一步的修改(即，本发明的一个第四个实施例)，移动电话机20直到从网络10接收到(g^RN模p)后才将(g^RM模p)发送给网络10，如图4所示。在第三个实施例中，在中间的人的攻击者既能见到(g^RM模p)又能见到(g^RN模p)，这样就能利用生日攻击。根据这个第四个实施例，攻击者必须在移动电话机20用一个(g^RM模p)作出响应前受一个(g^RN模p)约束。这使攻击者的诸自由度减少一个。

    图5说明根据本发明的一个第五个实施例，通过电话机/陆上通信线路30和移动电话机20在网络10和移动电话机用户之间的通信。如图5所示，通过电话机/陆上通信线路30，一位移动电话机用户向网络10提供授权信息。如上面所讨论的，移动电话机20将足够的信息(例如，移动电话机的识别符等)与授权信息一起供给网络10，使得网络10能够与移动电话机20进行初始联系。如果网络10接受授权信息，则初始化过程将继续进行下去。

    通过移动电话机20和网络10中的一个将一个初始化请求发送给另一方，初始化过程继续进行下去。

    例如，如果移动电话机20发送初始化请求，则网络10产生一个随机数RN，计算(g^RN模p)和(g^RN模p)的散列，并将h(g^RN模p)发送给移动电话机20。移动电话机20产生一个随机数RM，计算(g^RM模p)，并将(g^RM模p)发送给网络10。网络10又将(g^RN模p)发送给移动电话机20。

    下面，移动电话机20计算接收到的(g^RN模p)的散列，并核实这个计算得到的h(g^RN模p)的型式是否等于最初从网络10接收到的型式。如果经过核实是，则初始化过程继续进行下去。

    即，移动电话机20和网络10两者都执行h((g^RM模p)，h(g^RN模p))。移动电话机20显示出散列的诸结果，移动电话机用户通过电话机/陆上通信线路30将散列的诸数字发送给网络10。

    如果网络10发现一个与由网络10实施的散列的匹配，则对通信进行了检验，建立起A-密钥作为(g^RMRN模p)，它的散列或它的一部分。即，移动电话机20将如此地建立起A-密钥，但是如果检验了散列，则网络10只是将这个A-密钥和移动电话机20关联起来。

    如上面所讨论的，代替移动电话机20发送初始化请求，网络10发送初始化请求。如果网络10发送初始化请求，则移动电话机20产生一个随机数RM，计算(g^RM模p)，计算(g^RM模p)的散列，并将h(g^RM模p)发送给网络10。网络10又产生一个随机数RN，计算(g^RN模p)，并将(g^RN模p)发送给移动电话机20。

    移动电话机20将(g^RM模p)发送给网络10，网络10计算(g^RM模p)的散列。然后，网络10核实这个计算得到的h(g^RM模p)的型式是否等于最初从移动电话机20接收到的型式。如果相等，则初始化过程继续进行下去。

    即，移动电话机20和网络10两者都执行h((g^RN模p)，h(g^RM模p))。移动电话机20显示出散列的诸结果，移动电话机用户通过电话机/陆上通信线路30将散列的诸数字发送给网络10。

    如果网络10发现一个和由网络10实施的散列的匹配，则对通信进行检验，建立起A-密钥作为(g^RMRN模p)，它的散列或它的一部分。即，移动电话机20将如此地建立起A-密钥，但是如果检验了散列，则网络10只是将这个A-密钥和移动电话机20关联起来。

    作为一个进一步可供选择的方案，为对在移动电话机20和网络10之间的通信进行检验而实施的最后的散列包括移动电话机20的识别号数。

    因为当作为一个网络10起作用时一位在中间的人的攻击者在他看到诸移动电话机用户的指数前必须受他正在(通过散列)使用的指数的约束，所以一位在中间的人的攻击者不能用一个生日型攻击。类似地，攻击者，当作为移动电话机20起作用时，必须在显示出与散列关联的网络的指数值前受该指数约束。

    在本发明的一些实施例中，我们假定素数p和生成元g是固定的并预先存储在移动电话机20中。然而，如果不是那种情形，则攻击者能用g’和p’代替g和p，这将允许攻击者有效地计算离散对数。如果g和p也是无线发送的，则为了由攻击者终止g和p的代替，也应将g和p用作散列计算h(g，p，(g^RM模p)，(g^RN模p))的一部分。

    而且，尽管我们用一条电话机/陆上通信线路30描述每个实施例，诸其它型式的保密通信能够代替电话机/陆上通信线路30。例如，一个预先激活的移动电话机能够代替电话机/陆上通信线路。另一方面，但是较不保密，能够通过一条话音信道在移动电话机20和网络10之间实现诸电话机/陆上通信线路的通信，而余下的通信将通过一条在移动电话机20和网络10之间的控制信道实现。

    我们已经如此地描述了本发明，显然我们可以用许多不同的方式对本发明进行改变。我们不认为这些改变偏离本发明的精神和范围，我们有意将所有这些改变都包括在下面的权利要求书的范围内。