专利名称:用于建立安全关联的方法和设备的制作方法
技术领域:
本发明涉及用于在客户终端和服务节点之间建立安全关联以便交付 推送-类型服务的方法和设备,并且特别的但不是必须的,涉及采用通
用引导(Generic Bootstrapping)架构的方法和i殳备。
背景技术:
为了帮助实现向用户终端提供服务,诸如3G网络的移动网络经常将 需要在客户终端(即移动终端)和提供服务的基于网络的服务节点之间 建立安全的通信信道或"安全关联,,。在3GPP技术规范TS 33.220中 讨论了通用引导架构(GBA),其提供了一种机制,从而可以向网络认 证功能(服务节点)认证客户终端(UE)并且获得安全会话密钥在客户 终端和网络认证功能之间使用。图1示出了用于这个架构的简单网络模 型。该机制在已知的认证和密钥协商(AKA)过程[3GPP TS 33. 102]上 引导,AKA允许在密钥K的基础上向客户端的归属网络的引导服务器功 能(BSF)认证客户终端,该密钥K在该客户终端的USIM和订户的归属 网络的归属订户系统(HSS)之间共享。AKA过程进一步建立会话密钥, 从该会话密钥导出随后在客户终端和网络应用功能(MF)之间应用的 密钥。当客户终端和NAF希望从BSF获取会话密钥时,MF发送事务标 识符给BSF,该事务标识符包含BSF用于识别该客户终端的索引和它转 发给MF的合适密钥。
依照GBA机制,UE通过向BSF发送包含用户身份的请求来启动密钥生 成过程。该请求还包含NAF的身份。BSF从归属订户系统(HSS)检索认 证向量,每个i人证向量包括随机数RAND、期望的响应XRES、加密密码 (cipher key) CK、完整性密钥IK和认证令牌AUTN。 BSF通过连接该 认证向量中包含的CK和IK生成密钥材料KS。 BSF生成NAI格式的密钥 标识符B-TID,其通过base64编码RAND值并且将该编码的值与BSF月l 务器名组合实现,即
base64编码(RAND) @BSF—月良务器_域—名
BSF保留与事务标识符B-TID和NAF身份关联的密钥KS。BSF将B-TID
和AUTN发送给UE,该客户终端的USINH吏用共享密钥K检验值AUTN并 且向BSF返回期待结果XRES的摘要。该USIM还使用密钥K和值RAND (从B-TID恢复)生成密钥材料KS。
接下来完成这个过程,UE将所接收的B-TID传送给NAF。 NAF和BSF 彼此认证,并且NAF将所接收的B-TID连同它自己的身份发送给BSF。 BSF使用该B-TID和NAF的身份定位正确的密钥KS,并且使用KS生成 NAF密钥。在NAF密钥的生成中还使用其它信息,诸如NAF身份。将所 生成的NAF密钥返回NAF。类似的,该UE能够使用它已经生成的密钥 KS生成NAF密钥。
在GBA机制已经第一次运行之后,倘若该密钥还没有过期,随后的在 该UE和相同或不同的NAF之间建立安全关联的请求可以使用已经建立 的密钥材料KS。但是,这将仍然需要UE通过将它的B-TID发送给NAF 来启动建立安全关联的请求。
发明内容
存在希望允许NAF启动建立与UE的安全关联的情况。例如,可能考 虑推送类型的服务,该服务向先前注册过服务的用户交付新闻、运动和 金融等信息。实现这个服务的典型的操作过程可以是服务供应商向UE 发送SMS消息,该消息请求用户打开安全连接。但是,存在许多与这个 ;漢型相关的威胁,因为SMS可能由未授权方利用、发送、重放等。如果 已存在安全关联,或服务节点在发送实际服务数据前可以启动一个安全 关联,则安全过程可以基于该安全关联并且可以减轻大部分问题。
依照本发明的第一方面,提供了一种在第一节点和第二节点之间建立 安全关联以便从第一节点向第二节点推送信息的方法,其中第二节点和 密钥生成功能共享基本秘、密(base secret),该方法包括
从笫一节点向密钥生成功能发送生成和提供服务密钥的请求,该 请求包含第一和第二节点的身份;
在密钥生成功能上使用该第一节点的身份、基本秘密和附加信息 生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节 占.
'"、j
将所述附加信息和所述第一节点的身份从第一节点转发给第二节 点;和
在第二节点上,使用所接收到的附加信息、第一用户身份和该基 本秘密生成所述服务密钥。
将理解,所述密钥生成功能可以是独立节点或可以是分布式服务器。
在采用通用引导架构的3G网络的情况下,引导服务器功能和归属订户 服务器可以 一起提供密钥生成功能,其中引导服务器功能与所述服务节 点和归属订户服务器通信。在2G网络的情况下,密钥生成功能可以是 引导服务器功能和AuC服务器的组合。
在采用通用引导架构的3G网络的例子中,服务节点包括网络应用功 能。在密钥生成功能上生成服务密钥的步骤包括以下步骤 '使用所述基本秘密生成密钥材料KS;和 使用所述密钥材料KS、服务节点的身份和所述附加信息生成服务密钥。
在客户端上生成服务密钥的步骤也包括这两个步骤。
在密钥取务器上生成服务密钥的所迷步骤可以利用由服务节点发送 给客户端的那些值之外的值。客户端可以从密钥服务器获取这些其它值 中的某一些。
所述附加信息可以包括以下中的一项或多项
随机值;
时间戳;
序列号;
其它标识符
在通用引导架构的例子中,所述随机值是RAND参数并且在B-TID中 被携带。
所述附加信息可以包括NAI格式的事务标识符,并且包括编码的随机 值。
所述附加信息可以在消息中从所述服务节点转发给所述客户端,该消 息还包含服务数据,该服务数据利用服务密钥加密,其中该客户端一旦 已经生成服务密钥,就能够解密该加密的数椐。
在本发明的一个实施例中,密钥生成功能向服务节点发送网络认证 值。服务节点将这个值与所述附加信息一起转发给客户端。客户端使用 基本秘密和该认证值来认证密钥生成功能。只有密钥生成功能得以认 证,客户端才生成和使用该服务密钥。
在本发明的替代实施例中,客户端在已经从服务节点接收到所述附加 信息之后从密钥生成功能请求认证值。只有当客户端已经认证了密钥生 成功能,才生成和使用服务密钥。
该终端可以包括用于从服务节点接收消息认证代码的装置,该终端包 括用于从所述密钥生成信息中的至少一部分生成一个或多个认证密钥 并且使用该认证密钥来认证该消息认证代码的装置。该生成装置可以是
USIM/ISIM。
所述服务密钥可以是用于第二节点的Diffie-Hellman密钥,所述方 法进一步包括向第一节点提供用于该第一节点的Diffie-Hellman密钥 并且将该用于第一节点的Diffie-Hellman密钥发送给第二节点的步骤, 所迷安全关联在这两个Diff ie-Hellman密钥的基础上建立。
依照本发明的第二方面,提供了经由安全通信链路向客户端交付推送 服务的服务节点,该服务节点包括
用于向密钥生成功能发送生成和提供服务密钥的请求的装置,该 请求标识了该客户端和服务节点;
用于从密钥生成功能接收服务密钥以及所述附加信息的装置; 用于将所述附加信息转发给客户端的装置;和 用于通过使用服务密钥加密和/或完整保护服务信息并且将该加密 和/或保护的信息发送给客户端的装置。
在通用引导架构的例子中,所述附加信息包括包含RAND值的B-TID。 所述用于转发的装置还配置用于将所述服务节点的身份转发给客户端。 依照本发明的第三方面,提供了一种用于接收由服务节点交付的推送
服务的客户终端,该客户终端包括
用于存储与密钥生成功能共享的秘密的存储装置;
用于从所述服务节点接收密钥生成信息的装置;
用于使用所迷共享的秘密和所述密钥生成信息生成服务密钥的装
置;和
用于使用所述服务密钥来解密和/或检验与服务节点的通信的完整 性的装置。
依照本发明的第四方面,提供了一种密钥生成功能,该密钥生成功能 用于建立客户端和服务节点之间的安全关联以便从该服务节点向客户
端推送信息,该密钥服务器包括
用于存储与所述客户端共享的秘密的存储装置;
用于从所述服务节点接收生成和提供服务密钥的请求的装置,该 请求标识了客户端和服务节点;和
用于使用该客户端和服务节点的身份、基本秘密以及附加信息生 成服务密钥并且将该服务密钥与所述附加信息一起发送给该服务节点 的装置。
依照本发明的第五方面,提供了一种在第一和第二客户端之间建立安 全关联以便从第一客户端向第二客户端推送信息的方法,其中该第一和 第二客户端分别具有与第一和第二密钥服务器的信赖关系并且与它们
各自的密钥服务器共享秘密,该方法包括
从第一客户端经由第一密钥服务器向第二密钥服务器发送生成和
提供服务密钥的请求,该请求标识了该第一和第二节点;
在第二密钥服务器上使用第一节点的身份、基本秘密和附加信息 生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节 点;
从第一节点将所述附加信息转发给第二节点;和
在第二节点上,使用所接收到的附加信息和基本秘密生成所述服
务密钥。
依照本发明的第六方面,提供了一种保护节点不受重放攻击的方法, 该方法包括
在引导服务器功能上生成服务密钥;
将该服务密钥与生成该服务密钥所需的信息一起提供给第 一节点; 从第一节点向第二节点发送密钥生成消息,该消息包括所述信息、
重放阻止值和在包括重放阻止值的消息体上计算的消息认证代码,该重 放阻止值针对该过程的每 一 次运行增大或减小;
在所述第二节点上接收所述密钥生成消息并且存储其中包含的重 放阻止值;和
在第二节点上,每次接收到密钥生成消息,检验所述消息认证代 码,确定该消息中包含的重放阻止值是否已经在该第二节点上存储,并 且如果已经存储则拒绝该消息。
本发明这个方面的实施例允许第二节点基于先前关于有效的GBA过程 发送给第二节点的消息来拒绝重放攻击。如果攻击者仅仅将所述重放阻
止值增加为先前未使用过的值,则第二节点将基于不正确的MAC值检测 到该变化,并且从而检测到攻击。再次重申,第一节点可以是NAF服务 器,并且第二节点是客户端,或者第一和第二节点都可以是客户端。将 理解本发明的第一到第五方面的特征可以与第六方面的特征组合,反之 亦然。
图1示出了用于通用引导架构的简单网络模型;
图2到7示出了与在客户端(UE)和NAF之间建立安全关联的相应过 程相关联的信令流;和
图8和9示出了与在一对客户端(UEa和UEJ之间建立安全关联的相 应过程相关联的信令流。
具体实施例方式
已经参考图1描述了用于3G网络的通用引导架构(GBA),其示出了 不同实体之间的接口 (l)a, Ub, Zn和Zh)。应记得所述描述是相对高 水平概括的,并且虽然采用相同的一般功能性,实际实施可能"看起来" 不相同。例如,有可能出现如下情况,当BSF接收到来自NAF的服务密 钥请求(如下面将描述的)时,该接收BSF必须执行地址解析步骤来识 别该NAF或客户端(UE)的"服务"BSF,并且如果该接收BSF不是服务 BSF,则该请求被转发给该服务BSF。
本讨论是关于为客户端提供推送服务。通常,客户端将已经向服务供 应商预注册,但是由服务供应商主动推送特定信息。在这种情况下,服 务供应商和客户端还没有彼此建立的安全关联(安全关联通常是短期 的)并且必须建立一个安全关联。
这里提出的第一解决方案采用MF向BSF要求MF (或服务)密钥的 方法。BSF向NAF返回NAF密钥以及客户端事务标识符(B-TID )和相应 的网络认证值(AUTN)。如上所述,B-TID包含编码的RAND值(作为 NAI前缀),该编码的RAND值可以由客户端用来导出基本密钥(KS)。 NAF现在可以组成包含B-TID、 AUTN和包含NAF身份(客户端需要它来 导出MF密钥)的其它数椐的消息,并且将这个消息发送给客户端。这 个消息可以是只触发SA (即服务密钥的共享)的建立的消息或者它可以
包含利用该服务密钥加密的服务数据(即有用负荷数据)。在两种情况
下,值B-TID、 AUTN和客户端生成KS所需的其它数据都以明文发送, 但是利用消息认证代码"签名"。注意,SA中的一个(或多个)密钥使 用在该HSS和UE之间共享的密钥导出,并且AUTN包含在该消息中。因 此不可能"欺骗"消息,即使用于完整保护该消息的密钥从意图建立的 该SA导出也是如此。
当客户端接收到该消息时,它检索B-TID的RAND部分(通过反向编 码)和AUTN并且将它们应用到USIM/ISIM以便导出基本密钥KS。然后 它使用所述其它数据来导出NAF密钥并且使用MAC检验所接收的消息。
图2示出了与这个过程相关联的信令交换。
为了阻止NAF对(客户端所需的)所述其它数据的操作,BSF可以使 用KS的书f生物(derivative)对该数据签名。这对于例如阻止NAF扩 展密钥的生命期可能很重要。
上面提出的解决方案允许MF向客户端推送在两方之间建立安全关联 所需的信息。因而客户端不必建立与BSF的连接来执行这些任务。这表 现了时间极有效的解决方案。但是,它要求NAF将所有来自BSF的保护 形式的密钥相关信息(密钥生命期,附加信息等)中继到UE。 B-TID和 该其它数据可能包括大数据结构。这在该数据量能够结合在客户端和 NAF之间使用的消息结构中的情况下可能有问题,例如该数据结构是SMS 的情况。
为了减少在NAF和客户端之间建立安全关联所需交换的数据量,可以 通过从BSF发送给NAF的数椐中省略AUTN值来修改上述的解决方案。 NAF现在组成包含B-TID和终端导出NAF密钥所需的其它必需数据(包 括该NAF身份)的消息并且将其发送给客户端。再次重申,这个消息可 以是只触发安全关联的建立的消息,或者它可以包含加密的有用负荷数 据。
当客户端接收到来自NAF的消息,它连接到向其发送B-TID的BSF, 认证自身并且请求为了导出与该B-T ID相关联的密钥材料所必需的剩余 信息,即例如AUTN。在已经接收到这个信息之后,它导出服务(NAF) 密钥并且检验该消息的完整性。因为客户端必须连接到BSF,它能够同
时得到与密钥材料相关的所有信息,即附加信息、密钥生命期等,从而 减少必须从NAF传送到客户端的"管理,,信息的量。 图3示出了假定KS的生成场景的与这个过程相关联的信令交换(即 与图2类f以)。
在一些环境下可能不希望向NAF暴露值RAND。这可以通过使用实际 RAND值的引用(或有效的RAND, RANDe )形成B-TID来避免,这样NAF 只看到引用值。随后有效的RAND (RANDe)必须与AUTN —起从BSF信号 通知客户端。图4示出了这个修改了的过程。
参考图3和4描述的解决方案的主要优点是BSF将具有进一步的机会 控制客户端中的密钥生成。客户端需要AUTN来导出密钥。另一方面, 客户端将必须连接到BSF并且通过Ub接口向需要GBA协议的新变型的 BSF认证自身。
图3和图4的解决方案的一个威胁是攻击者可能生成一批消息(意图 包含有效的B-TID)并且将它们发送到不同的客户端以便发起据绝服务 (DoS)攻击。因为客户端没有措施认证该消息(即AUTN),它们将连 接BSF以试图认证所接收到的消息。如果没有抵抗,这样的攻击将消耗 在BSF的部分上相当多的资源。为了使这样的DoS攻击更困难,期望使 得客户端能够立即检查由NAF推送的消息的MAC以便验证该消息,而不 是必须连接到BSF。为了实现这一点,客户端必须能够导出用于该消息 的MACing的密钥。由于AUTN没有在所述推送消息中发送给客户端,这 个导出过程必须只基于B-TID中的RAND (或导出值,图4)。
一种解决方案是在BSF使用B-TID中的RAND(或导出值)来导出两个 密钥Ck,和Ik,。该BSF随后使用这些密钥导出MAC密钥,并且将该 MAC密钥发送给MF。这个完整性密钥应优选还依赖于NAF身份。在该 完整性密钥的导出过程中使用导出MAF密钥所需的其它必需信息的"指 紋"是实现这一点而无须将所有信息发送给UE的一种方式。MF在要发 送给客户端的数椐的至少一部分上计算第二 (短)MAC,并且在发送给 客户端的消息中包含MAC。在客户端,USIM/ISIM使用AKA算法来生成 Ck,和Ik,并且从而生成第二MAC密钥,并且客户端随后可以检验该消 息。可替代的,BSF可以给NAF提供密钥Ck,和Ik,,以使得NAF能够 自身生成第二MAC密钥。这不停止旧消息的重放(尽管这可以利用时间
戳定址),但是它确实阻止攻击者生成随机消息。
在图5的信令图所示的替代解决方案中,BSF响应于对给定用户的推 送密钥的"F请求没有生成NAF密钥和将其自身发送给NAF。而是,BSF
发送基于NAF-密钥(或基于相关共享秘密Ks的一些其它值)的 Diff ie-Hellman公共值gw ,和与涉及的各方的身份相关的数据以及 密钥的计划用途。NAF现在可以选择它自己的秘密值RAND,并且将用于 该秘密值的相应的公共Diffie-Hellman值g,添加到发送给UE的信 息。两方随后都可以导出共有的共享密钥,S-Key=g,,^。该S-Key 用于加密MAC。应注意,Diffie-Hellman才几制可以在不同类型的组上实 施。这里^组是Zp时我们使用标准符号并且生成所使用的元素标记为 g。
依照图6的信令图所示的另一个替代解决方案,当NAF请求给定用户 的推送密钥时,BSF不包括标准的NAF密钥但是导出另外依赖于 UE-identity和NAF—identity两者(除了任何其它数据)的密钥。这样 的密钥在该图中标记为"NAF-UE-Key"。为了保证从BSF向NAF交付密 钥的安全,在给BSF的消息中BSF包含使用该NAF—UE密钥计算的MAC。
上述讨论已经考虑了本发明向用户和服务节点提供服务相关密钥的 应用。本发明的另一个应用涉及向客户终端提供密钥以便允许一个客户 终端以安全方式向对等的客户终端推送消息,也就是说对等的(p2p) 密钥管理。
依照一种解决方案,发起UE即UE、采用通常图7所示的方法。这个方 法依赖于BSFA和BSFB之间显式的信赖关系。发起方首先利用它的归属网 络的BS^执行标准的GBA过程,以便获得基本密钥KSA。 uea随后使用该 基本密钥导出与UE,希望向其推送消息的另一方ueb联系的RAND。这可 以以与导出NAF密钥相同的方式完成。uea执行的第二动作是为ueb请求 密钥信息。这个请求包含两个客户端的身份,其被发送给BSFA, BSFa将 该请求转发给ueb的归属网络中的BSF即BSFb。
BSFb經由BSFa向UEa返回UEb的Diffie-Hellman公共值,即gwj聊。 它还返回B-TID (包含用于生成NAF密钥的RAND值)、AUTN和所需的 其它数据。发起方UEa随后形成消息,该消息包含它的公共 Diffie-Hellman值、g細。、和接收者导出KSB、相关MF密钥并且从而 导出会话密钥g ^*ww—~所需的信息。UEA当然能够导出相同的会话密钥
图8中示出了替代的p2p密钥管理解决方案,该方案要求BSFB生成与 对等方共享的密钥。发起方UEA的第一个动作是为另 一方UEa请求密钥。 该请求被发送给发起方的BSF,, BSh将该请求转发给接收方的BSFb。发
起方在该请求中包括它的身份以及接收方的身份,并且BSFB导出要共享 的密钥,即NAF一UE-Key。随后将所导出的密钥与B-TID、 AUTN等一起交 付给UEA。
利用这个机制,接收方的确接收发送者所宣称的身份的隐式验证,因 为在NAF_UE-Key导出过程中使用了这个身份。如上所迷,如果BSFB包 括覆盖所有数据的基于"NAF—Key,,的MAC,则接收方还可以得到显式的 认证。
本领域的技术人员将理解在不偏离本发明的范围的前提下可以对上 述实施例进行各种修改。例如,虽然上述的解决方案是关于GBA,本发
明对于其中从服务供应商推送信息并且服务供应商和客户端不共享共 有秘密的架构具有一般适用性。在并行实施多种解决方案的另一种修改 中,发送给BSF的认证请求包含表明NAF/UE应该采用哪种解决方案的 选择器。
权利要求
1.一种在第一节点和第二节点之间建立安全关联以便从第一节点向第二节点推送信息的方法,其中第二节点和密钥生成功能共享基本秘密,该方法包括·从第一节点向密钥生成功能发送生成和提供服务密钥的请求,该请求包含第一和第二节点的身份;·在密钥生成功能上使用该第一节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节点;·将所述附加信息和所述第一节点的身份从第一节点转发给第二节点;和·在第二节点上,使用所接收到的附加信息、第一用户身份和该基本秘密生成所述服务密钥。
2. 根据权利要求1或2所述的方法,其中所述第一节点是服务节点 并且所述第二节点是客户端。
3. 根据权利要求2所述的方法,其中所述客户端是釆用通用引导架 构的3G网络的客户终端,所述服务节点包括网络应用功能并且所述密 钥生成功能包括引导服务器功能。
4. 根据权利要求3所述的方法,其中所迷密钥生成功能进一步包括 归属订户系统或归属位置注册器/认证中心,所述基本秘密对该归属订 户系统或HE/认证中心已知或可访问。
5. 根据权利要求3或4所述的方法,所迷在密钥生成功能上生成服务密钥的步骤包括以下步骤 使用所述基本秘密生成密钥材料KS;和 使用所述密钥材料KS、服务节点的身份和所述附加信息生成服 务密钥。
6. 根据权利要求3所述的方法,所述在客户端上生成所述服务密钥 的步骤包括 使用所述基本秘密生成密钥材料KS;和 使用所述密钥材料KS和所述附加信息生成服务密钥。
7. 根据权利要求6所述的方法,其中所述基本秘密存储在客户端的 ISIM/USIM中,并且所述生成密钥材料KS的步骤在该ISIM/USIM内执行。
8. 根据前面任何一个权利要求所述的方法,所述在密钥生成功能上 生成服务密钥的步骤利用了由服务节点发送给客户端的那些值之外的 值。
9. 根椐权利要求8所述的方法,其中那些其它值中的至少某一些由 客户端从密钥生成功能获得。
10. 根据前面任何一个权利要求所述的方法,其中所述附加信息包括 以下中的一个或多个事务标识符;和 网络认证值。
11. 根据权利要求1到9中任何一个权利要求所述的方法,其中所述 附加信息包括NAI格式的事务标识符,该事务标识符包括由密钥生成功 能生成的编码的随机值,该编码的随机值用于生成服务密钥。
12. 根据权利要求2所述的方法,其中所述附加信息包括NAI格式的 事务标识符,该事务标识符包括指向由密钥生成功能生成并且在密钥生 成功能上存储的随机值的指针,该随机值用于生成服务密钥,该方法包 括从客户端向密钥生成功能发送包含所述指针的请求,并且向该客户端 返回该随机值以使得客户端能够生成服务密钥。
13. 根据权利要求2所述的方法,其中密钥生成功能向服务节点发送 网络认证值并且服务节点将这个值与所述附加信息一起转发给客户端, 客户端使用所述基本秘密和该认证值来认证密钥生成功能。
14. 根据权利要求2所述的方法,包括在客户端已经从服务节点接收 到所述附加信息之后从客户端向密钥生成功能发送对认证值的请求,在 客户端接收该认证值,并且在这个值的基础上批准从服务节点接收到的 安全关联请求。
15. 根据权利要求2所述的方法,其中在还包含服务数据的消息中从 服务节点向客户端转发所述附加信息,该服务数据利用服务密钥加密和 /或完整性保护,其中客户端一旦已经生成服务密钥就能够解密该加密 的数据。
16. 根据前面任何一个权利要求所述的方法,其中所述在密钥生成功 能上生成服务密钥的步骤包括使用第二节点的身份。
17. 根据前面任何一个权利要求所述的方法,其中所述服务密钥是第 二节点的Diffie-Hellman密钥,该方法进一步包括向第一节点提供该 第 一 节点的Diffie-Hellman密钥,并且将该第 一 节点的 Diffie-Hell歸n密钥发送给第二节点的步骤,所述安全关联在这两个 Diffie-Hellman密钥的基础上建立。
18. 根据权利要求l所述的方法,其中所述第一和第二节点分别是第 一和第二客户端。
19. 根据权利要求18所述的方法,其中所述密钥生成功能包括与所 述第二客户端具有信赖关系的密钥服务器,并且经由与所述第 一客户端具有信赖关系的第二密钥服务器将所述生成和提供服务密钥的请求发 送给所述密钥服务器。
20. 根据权利要求19所述的方法,包括从所述第一节点向所述第二 节点发送由所述第一节点获得的服务密钥,并且在该第一和第二节点上 使用所述服务密钥导出会话密钥。
21. 根据权利要求18所述的方法,其中所述从第一节点向第二节点转发所述附加信息并且在该第二节点上使用接收到的附加信息和基本 秘密生成所述服务密钥的步骤构成Diffie-Hellman交换过程的一部分。
22. —种经由安全通信链路向客户端交付推送服务的服务节点,该服 务节点包括 用于向密钥生成功能发送生成和提供服务密钥的请求的装置, 该请求标识了该客户端和服务节点; 用于从密钥生成功能接收服务密钥以及所述附加信息的装置; 用于将所述附加信息转发给客户端的装置;以及 用于通过使用服务密钥加密和/或完整保护服务信息并且将该加 密/保护的信息发送给客户端的装置。
23. —种用于接收由服务节点交付的推送服务的客户终端,该客户终 端包括 用于存储与密钥生成功能共享的秘密的存储装置; 用于从所述服务节点接收密钥生成信息的装置; 用于使用所述共享的秘密和所述密钥生成信息生成服务密钥的 装置;以及 用于使用所述服务密钥来解密和/或检验与服务节点的通信的完 整性的装置。
24. 4財居权利要求23所述的终端,并且包括用于从服务节点接收消息 认证代码的装置,该终端包括用于从密钥生成信息的至少 一部分生成一 个或多个认证密钥并且使用该认证密钥来认证该消息认证代码的装置。
25. 才M居权利要求23所述的终端,其中所述用于生成一个或多个认证 密钥的装置包括USIM/ISIM。
26. —种密钥生成功能,用于建立客户端和服务节点之间的安全关联 以便从该服务节点向客户端推送信息,该密钥服务器包括 用于存储与所述客户端共享的秘密的存储装置; 用于从所述服务节点接收生成和提供服务密钥的请求的装置,该请求标识了客户端和服务节点;和 用于使用该服务节点的身份、基本秘密以及附加信息生成服务密钥并且将该服务密钥与所述附加信息一起发送给该服务节点的装置。
27. —种在第一和第二客户端之间建立安全关联以便从第一客户端向 第二客户端推送信息的方法,其中该第一和第二客户端分别具有与第一和第二密钥服务器的信赖关系并且与它们各自的密钥服务器共享秘密, 该方法包才舌 从第一客户端经由第一密钥服务器向第二密钥服务器发送生成 和提供服务密钥的请求,该请求标识了该第一和笫二节点; 在第二密钥服务器上使用第一节点的身份、基本秘密和附加信 息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给笫一节 点; 从第一节点将所述附加信息转发给第二节点;和 在第二节点上,使用所接收到的附加信息和基本秘密生成所述服 务密钥。
28. —种保护节点不受重放攻击的方法,该方法包括 在引导服务器功能上生成服务密钥;将该服务密钥与生成该服务密钥所需的信息一起提供给笫一节点; 从第 一节点向第二节点发送密钥生成消息,该消息包括所述信息、重放阻止值和在包括重放阻止值的消息体上计算的消息认证代码,该重放阻止值针对该过程的每一次运行增大或减小;在所述第二节点上接收所述密钥生成消息并且存储其中包含的重放阻止值;和在第二节点上,每次接收到密钥生成消息,检验所述消息认证代 码,确定该消息中包含的重放阻止值是否已经在该第二节点上存储,并 且如果已经存储则拒绝该消息。
全文摘要
一种在服务节点(NAF)和客户端(UE)之间建立安全关联以便从服务节点向客户端推送信息的方法,其中客户端和密钥服务器(BSF)共享基本秘密。该方法包括从服务节点向密钥服务器发送生成和提供服务密钥的请求,该请求标识服务节点和客户端;在密钥服务器上使用该客户端和服务节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给服务节点;将所述附加信息从服务节点转发给客户端;和在客户端上使用所接收到的附加信息和该基本密钥生成所述服务密钥。可以使用类似的方法提供p2p密钥管理。
文档编号H04L29/08GK101366263SQ200680037869
公开日2009年2月11日 申请日期2006年10月10日 优先权日2005年10月13日
发明者K·诺尔曼, R·布洛姆 申请人:艾利森电话股份有限公司