用于安全分组传输的加密方法

专利名称：用于安全分组传输的加密方法
技术领域：
本发明涉及无线系统中的安全和鉴别(authentication),尤其涉及 适于发送和接收分组数据的无线系统。
背景技术：
诸如第三代或更高版本的无线系统之类的现代无线系统被适配成 以每秒数百乃至数千千比特的传输速率来发送和接收分组数椐。作为说 明，图l示出一种被称作"UMTS"的笫三代无线系统的高层体系结构， 其中UMTS指"通用移动电信系统"。从该图可以看到，移动用户终端 10通过空中接口与基站20进行通信。在本上下文中，基站20也可以净皮 称为"节点B"。基站20与回程(backhaul)网络30进行通信，并且 该网络包括无线电网络控制器(RNC) 40、鉴别中心(AuC) 50、移动 交换中心(MSC) 60以及单元(element) 70，如所示，单元70合并了 SGSN和GGSN的功能。
RNC对与之连接的一组基站进行控制。其功能是管理无线电资源。 例如，它对呼叫的建立和拆除(tear-down)以及语音和数据业务的处理 进行控制。它还对小区之间的硬切换和软切换进行管理。
AuC对尝试登录网络的每个用户进行鉴别。更具体地，AuC对位于 正在进入的用户终端中的SIM卡进行鉴别。对每个订户而言，在该订户 与AuC之间共享唯一秘密密钥。AuC通过向正在进入的订户发送随机 数来对其进行质询(challenge)，其中将对所述随机数进行混编(hash) 或是利用共享密钥对其进行加密，并且结果被返回给AuC。如果已经返 回的结果与AuC自己进行相同运算得到的结果匹配，则将允许用户进入 网络。此外，在AuC与用户之间共享的秘密信息还被用于创建密码密钥 (ciphering key) CK，当用户和基站通过无线电彼此通信时，所述密码 密钥CK将会提供安全性。
在这方面，应该注意的是，根据其他标准，例如根据某些北美CDMA 标准，作为用户终端工作的蜂窝电话不包含SIM卡。取而代之的是，制 造商在蜂窝电话硬件中写上(inscribe)电子序列号(ESN)。此外，无
4线运营商可以通过移动标识号(MIN)来识别蜂窝电话。ESN和MIN 可以被一起用于标识，并且可以在用于鉴别和安全的过程中使用。此外 还应该注意的是，根据某些标准，包括关于3GPP2的某些北美标准，与 AuC的这些功能类似的功能可以由被称作"AAA服务器"的网络部件 来执行，其中"AAA"代表的是鉴别、授权和计帐(accounting)。
再次转到

图1, MSC是电话交换体，特别地，对于在其服务区域内 漫游的用户来说，其支持电路交换呼叫和移动性管理。能够将数据以数 字编码的形式从有线网络直接递送到MSC。从该图可以看到，MSC连 接到公共交换电话网络(PSTN) 。 AuC则间接地通过MSC来执行其鉴 别功能。
SGSN ("服务GPRS支持节点")对用户终端在其服务区域内的 位置进行追踪，支持记账(billing)和安全功能，将下行链路分组隧道 传送(tunnel)到RNC,并且对来自RNC的上行链路分组进行拆封 (detunnel)。分组的隧道传送和拆封是依照GPRS隧道协议(GTP)来 进行的，其中该协议尤其使得移动用户到处移动的同时保持与互联网的 连接成为可能。
GGSN ("网关GPRS支持节点")相对于外部分组数据网络充当 IP路由器。如在图中看到的，例如，GGSN连接到"IP网络"。GGSN 还支持安全和记账功能。根据GTP, GGSN可以在外部分组网络上传输 的普通IP分组与在UMTS核心网络内隧道传送的GTP分组之间进行转 换。虽然用户有可能到处移动，但对外部分组网络来说，它似乎是固定 于GGSN的。
在这方面，应该注意的是，根据其他标准，例如某些北美CDMA 标准，RNC连接到PDSN而不是SGSN。 PDSN又连接到归属代理(HA )。 此外，用于在PDSN与RNC之间以及到达基站的通信的隧道协议不涉 及GTP。其他系统和标准，例如基于IEEE 802.16的WiMAX系统，使 用由连接到接入网关(GW)的基站构成的不同分层结构。总的来说， 功能是相似的，不过在细节上存在差别。
通常，基站位于暴露的位置，因此，对于抵抗物理侵入而言相对不 安全。另一方面，RNC、 MSC、 SGSN和GGSN通常位于中心局，其中， 能够保护敏感的网络信息以防被窃听、篡改、破坏和盗窃。
因此，安全相关功能的执行被局限于这些通常在物理上安全的网络
5部件，而基站只用于转发加密数据，而不对加密消息进行解码。由于假 设在物理上安全的网络部件是通过同样安全的网络互连的，所以在这些 网络部件之间通常没有另外建立安全隧道的强制要求。
目前业已提出了各种先进体系结构，在某些网络部件处，这些技术
可能引起更多暴露和较低物理安全性。例如，诸如BSR(基站路由器) 体系结构之类的平面IP体系结构将RNC、 SGSN和GGSN的大部分功 能整合到基站中。(另 一个版本的BSR体系结构涉及SAE/LTE体系结 构，而不是UMTS体系结构。在这种第二类型的BSR中，eNB、 MME 和UPE被整合到基站中。先前的缩略语分别代表的是"增强型节点B"， "移动性管理实体"以及"用户平面实体")。
因此，例如，图2示出了与BSR卯进行无线电通信的移动用户80, 所述BSR90又连接到包括AuClOO、 SIP服务器110、 IP网络以及PSTN 的回程网络。从图中可以看到，IP网络将BSR连接到AuC和SIP服务 器。SIP("会话发起协议")是用于VoIP( "IP语音(Voice over IP)") 以及包含了多种媒体的其他类型的交互式用户会话的互联网信令协议。 在该图中，SIP服务器块意在表示用于VoIP等的所有支持功能。
在BSR和类似体系结构中，与加密和其他安全性相关的功能乃至密 钥和其他敏感信息都可以驻留于物理上暴露的位置。此外，BSR可能通
过易受窃听和篡改攻击的公共IP网络来进行外部连接。由于这种暴露的 增加，所以需要用于对抗恶意活动的新安全措施(safeguard)。
然而，由于无法保证回程网络的物理保护，所期望的是使新的安全 措施至少部分基于逻辑(logically based)。另一方面，基于逻辑的新安 全措施可能面临反对，这是因为，例如它与某些无线标准不兼容，或者 因为在符合无线标准时与互联网标准不兼容。
由此，尤其需要的是这样的对抗恶意攻击的安全措施，其中所述安 全措施是端到端有效的，也就是说，在无线用户终端与IP网络节点之间 或者在经由IP网络连接的两个无线用户终端之间，此外，所述安全措施 能够在不对现有IP标准做出重大改变的情况下实施。
发明概述
我们开发了这样的安全措施。相应地，我们的发明包括在通过链 路互连的节点网络中，在用A和B表示的两个末端节点之间传送分组p。根据第一广义实例，使用现有的逐跳安全关联(security association) 来建立端到端密钥。在这个方面，"端到端"发送信息指的是在任何一 对网络实体之间发送信息，其中存在着从一种类型的网络或协议到另一 种类型的网络或协议的转变，从一个订户网络到另一个订户网络的转 变，或从一个服务提供者到另一个服务提供者的转变，或者用户终端位 于其中，或其中对于该消息而言存在着任何其他类型的端点。
例如，A与B建立端到端密钥分组加密密钥(PEK)。建立该密钥 所需要的信息是通过使用现有的逐跳安全关联而在A与B之间安全传送 的。密钥PEK是分组特定的。分组p是利用密钥PEK来加密的并且被 从A传送到B。
在特定实例中，密钥PEK在A生成并且通过网络传送到B。 在其他特定实例中，A与B建立会话。"会话"是指用于在具有始 端和末端的时段中在具有不同IP地址的实体之间交换数据分组的双方 协议。A和B这二者都获得至少一个会话密钥SEK。例如，A可以创建 会话密钥SEK,并且将其发送到B。然后，A和B中的每一个使用已知 算法而至少根据会话密钥SEK以及根据分组p的独特(unique)属性独 立地创建分组特定加密密钥PEK。使用现有的逐跳安全关联将会话密钥 安全地从A发送到B。
在从A到B的网络路径中至少有一跳可以在一对共享完整性密钥的 节点之间发生。例如，A可以是与其服务基站收发节点(base transceiver node)共享完整性密钥的无线用户终端。同样，B也可以是与其服务基 站收发节点共享完整性密钥的无线用户终端。"基站收发节点"指的是 基站、节点B、基站收发站、BSR、或是具有相似功能的任何其他无线 网络部件。
第二广义实例涉及一种方法，其中分组特定加密密钥PEK被用于对 分组p进行加密。在两个节点中的每一个节点处，使用这两个节点所共 享的完整性密钥来独立地计算密钥PEK的签名。所述签名纟皮从两个节点 之一发送到与分组p相关联的另一个节点。接收节点使用签名来验证 (verify)分组p。
在这方面，"验证"分组指的是验证分组始发者是否拥有PEK。应 该注意的是，从这个意义上讲，分组的验证未必能保证分组未受诸如篡 改之类的非授权修改。
7在特定实例中，共享完整性密钥的节点是无线用户终端以及为其提 供服务的基站收发节点。
在特定实例中，通过网络将分组p是从第一无线用户A发送到笫二 无线用户B。用户A和为其提供服务的基站收发节点使用密钥PEK的 签名来验证分组p的真实性，并且对于用户B以及为其提供服务的基站 收发节点同样如此。
附图简述
图l是现有技术的UMTS系统的体系结构的高层框图。 图2是使用BSR的无线系统的高层框图。
图3是其中两个移动用户终端通过相应BSR彼此连接的高层框图， 其中所述BSR通过IP网络经由多跳彼此进行通信。
的流程图。
图5是起始用户(initiating user)向目标用户发送分组的示例性过 程的流程图。
图6是目标用户和为其提供服务的BSR对起始用户发送的分组进 行鉴别的示例性过程的流程图。
图7是可以与如下所描述的某些方法结合使用的分组格式的示意
出于例证目的，我们将描述其中在UMTS网络环境中应用我们的新 方法的实例。然而应该注意的是，所描述的方法在应用上更为广泛。例 如，它们可以被应用在符合大范围标准中任何一个的无线服务的环境 中，并且GSM和UMTS标准仅仅是两个例子。此外，它们可以;故应用 在其中接入技术是有线线路的环境中，以及其中接入技术是无线的环境 中。更进一步，我们的方法可以有效应用在各种类型的服务环境中，例 如可以包括常规的无线服务以及诸如IP语音(VoIP)之类的应用级服 务。更进一步，我们的方法可以提供的安全性增强可以与作为硬件实体 的接入终端之间的安全性相关，或者它们也可以同样有利地与用户之间 _即与那些被识别为服务订户的个人之间的安全性相关。如上所述，UMTS网络中的鉴别中心(AuC)对位于尝试签约进入 (sign on)网络的订户终端中的SIM卡进行鉴别。该鉴别过程依赖于在 订户与AuC之间共享的安全密钥。更特别地，在订户的SIM卡内存储 了被称为"根密钥"的静态密钥，并且所述静态密钥还净皮存储在无线网 络内。在典型的UMTS网络中，根密钥被存储在AuC中，但是也可以 净皮存储在其他网络部件中，例如归属位置寄存器(HLR)。用户终端和 网络均在本地根据根密钥生成密码密钥CK以及完整性密钥IK。应该注 意的是，其他各种无线标准-例如用于GSM、 TDMA和CDMA系统的 无线标准描述了用于鉴别和安全的类似过程。
在例示情形中，如图3所示，用户终端120通过与BSR130的无线 电通信来如上所述的那样向网络鉴别其自身。然后，终端120与用户终 端140建立会话，所述用户终端140是由BSR150来服务的。用以建立 会话的过程通常是根据公知标准来实施的，由此在这里没有必要对其进 行详细描述。在宽带无线环境中，这样的标准的实例可以是3GPP和 3GPP2标准，以及IEEE 802.16 WiMax标准。
在图中，供BSR彼此通信的IP网络由三个服务器161、 162、 163 来表示。该图仅仅是为了教学目的而提供的，并且不应该被理解为对IP 网络中的节点或服务器的数量或用户或BSR的数量的限制，或在其他方 面进行限制。
有利的是，通过加密来保护用户终端120与BSR130之间的通信。 如上所解释的，例如，在UMTS系统中，通常将通过使用密码密钥CK 来对通信进行加密并且通过使用另外的密钥IK来确保在用户终端与 BSR之间交换的消息的完整性以保护这样的通信。由无线用户终端和为 其提供服务的BSR组成的其他节点对同样将具有自己的密码密钥和完 整性密钥。因此，例如，终端120与BSR130之间的链路在图中被示为 通过密钥171来保护，更常见的是，所述密钥可以是密钥矢量。同样， 终端140与BSR 150之间的链路通过密钥172来保护。
供BSR 130和BSR 150通信的IP网络或其他网络还可以使用加密 来保护通过其发送的消息。例如，目前存在着各种IETF标准，这些标 准描述了出于此目的而使用加密。例如，在IETF标准文档中描述的IPSec (因特网安全)体系结构包括诸如封装安全有效载荷(ESP)之类的用 于对分组有效载荷内的数据进行加密的协议。
9通常，每一跳都将通过不同的密码密钥来保护。因此，举例来说，
图3示出了通过密钥173 176中的相应密钥来保护的IP网络的每个链 路。
对诸如图3的用户终端120和140之类的网络节点之间的通信来说， 通常有利的是使用如上所述的逐跳安全措施。我们现在将会进一步描述 安全措施，所述安全措施提供了用于在网络中的暴露点处对抗窃听和篡 改的增强保护。
转到图4中所描述的过程，可以看到的是，现在被命名为"用户A" 的起始用户希望与现在被命名为"用户B"的目标用户建立会话。 一般 地说，起始节点和目标节点可以是网络中的任何节点，而不限于无线用 户终端等。在块180,根据公知方法来建立会话。在块190，如上所述， 在用户A与其服务BSR (现在被命名为"BSR-A")之间建立密码密钥 CKA,bsr-A和完整性密钥IKa，bsr-a。应该注意的是，在这个方面，仅仅是 出于例证目的而非限制目的而在BSR网络的环境中描述该过程，并且在 各种类型的通信网络中都可以发现其有益应用。
如块200所指示的那样，现在产生会话密钥SEK并且在用户A与 BSR-A之间交换该会话密钥SEK。 一般地说，所述会话密钥可以是两个 或更多密钥的矢量。例如，密钥矢量可以包括用于对会话进行加密的一 个或多个密钥，以及用于对分组进行鉴别的一个或多个密钥。为了简单 起见，我们将会提及单个会话密钥SEK，但是应该记住的是，实际上， 两个或更多密钥的矢量可以,皮^使用。
会话密钥SEK通常将由用户A产生并且在用户A和BSR-A之间建 立的密码密钥的保护之下被传送到BSR-A。但是，其他的方案同样是可 行的。例如，BSR-A可以产生密钥并将其发送到用户A,或者第三方可 以将密钥分发给用户A和BSR-A这二者，或者用户A和BSR-A均可以 使用预先安排的算法和共享数据片而在本地计算密钥。在任何情况下， 用于产生会话密钥的算法都是公知的，并且在这里没有必要对其进行详 细描述。例如，在3GPP和3GPP2标准中描述了适当的算法。 一个特定 实例由3GPP2标准中所描述的增强型加密算法(ECA)提供。
如图4的块210和220所示，会话密钥是在逐跳加密的保护之下被 转发到BSR-B和用户B的。也就是，在每一跳上，会话密钥都是通过 根据该跳端点之间的安全关联所提供的密码密钥来保护的。由此，在每一个中间节点处都可以对会话密钥进行解密，例如图3的节点161-163
中的每一个，然后，根据当前节点与下一节点之间的安全关联对会话密
钥进行重新加密。在从BSR-B到用户B的最后一跳上，通常将使用在
用户B向网络鉴别其自身时建立的密码密钥来对会话密钥进行加密。
转到图5，在块230处可以看到，用户A现在生成将被传送到用户
B的分组。对将被传送的每个这样的分组来说，用户A计算特定于该分
组而不是其他分组的分组加密密钥PEK。例如，可以根据包含会话密钥
和分组的独特属性的输入来计算密钥PEK。可以使用的分组的一个属性
是序号或者同步计数器值。因此，例如，通过在计数器值与会话密钥之
间执行诸如XOR (异或)之类的逻辑运算，可以生成密钥PEK。如果
存在多个会话密钥，则可以特别指定使用一个会话密钥来生成密钥
PEK。可以看到的是，每个分组的密钥PEK都将在BSR-A、 BSR-B以及
用户B处以逻辑方式计算得到。
如图5的块240所示，用户A还会计算密钥PEK的签名，我们将 该签名表示为SIGNATURE (签名)k，ra(PEK)。当然，在签名计算中还
可以包含其他输入，例如随机数、密码加密同步参数、订户简档(profile) ID(SPID)等等。特别地，在这里还可以包含未必保密但却依赖于时间 的参数。
如块250所指示的，用户A向与相应分组相关联的BSR-A发送签
名。所述签名可以被附于分组，例如作为首部的一部分。可替换地，签
名可以作为带外传输来发送，例如在控制信道中发送。如块260所指示 的，BSR-A独立地执行SIGNATURE、腿* (PEK)的本地计算。
如上所述，可以使用在所涉及的两个节点之间共享的完整性密钥来
计算SIGNATURE^,JPEK),在本实例中，所述完整性密钥是在用户A与 BSR-A之间共享的完整性密钥。签名SIGNATURE^咖a(PEK)通常将比PEK
更短。例如，它可以是密码加密压缩或散列函数的结果。这样的函数可
以将PEK连同为正当(rightfully)共享PEK知识的实体所知的其他参
量(随机现时(nonce)和计数器值) 一起作为输入。这样的函数在本
领域中是公知的，并且在这里无需对其进行详细描述。在本上下文中有
用的函数的一个例子是安全散列函数l(SHA-l ),其中该函数是在正TF
的HMAC标准中使用的。
诸如SIGNATUREK (PEK)之类的签名的用途是验证给定链路上的
11分组的发送方不但拥有分组，而且还拥有密钥PEK以及用于创建签名的 密钥。当然，在这里也可以计算更大数据块的签名，例如分组有效载荷。 但是，PEK签名是有利的，这是因为它提供了有效的分组验证，且同时 明显减少了对用户终端和BSR处的计算资源的需求。
在上述示例性网络中，给定链路可以是从用户A到BSR-A的链路， 或者如所示，可以是从BSR-B到用户B的链路。由于这些链路使用无 线电，所以，它们特别容易受到将伪造分组注入会话或是将旧分组重新 注入会话的攻击，例如在其已经被修改之后。由于PEK没有被传送，所 以它不能被攻击者截取。取而代之，攻击者必须对其进行计算，但是这 只能在会话代码被截取这种可能性不大的情况下结合其他信息来进行。 因此，在链路接收端可以检测并拒绝那些侵入的(interl叩ing)分组。 相应地，如块270所指示的，只有在本地计算的SIGNATURE^腿a(PEK)的
值与从用户A接收的值相匹配时，BSR-A才会认为该分组是可信的。如 果接受了分组，则如块280所指示的，BSR-A将分组通过网络转发到 BSR-B。处于该分组穿过网络所选取的路径上的每一对相邻节点可以共 享唯一的密码密钥。相应地，在每一跳之后可以对分组进行解密，并且 在下 一跳之前使用新密钥来进行重新加密。
通常，分组的内容将不能被所有中间节点访问，这是因为已经由用 户A通过使用密钥PEK对其进行了加密。换言之，即使通过网络分发 密钥PEK (直接地或是通过分发诸如SEK之类的输入来生成PEK)， 也能够拒绝中间节点了解PEK。例如，在BSR-A与BSR-B之间可以建 立安全的IPSec隧道，或者BSR-A和BSR-B可以共享中心安全服务器。 通过这些或类似的手段，很容易完成安全密钥分发。当然，IPSec隧道 等还可以被用于安全传输会话的所有分组。然而，如果这种对密码加密 协议的密集使用为中间节点处的计算资源带来过度的负担。例如，可以 通过针对每个会话只使用一次单独用于密钥分发的IPSec隧道来避免这 种负担。
如上所述的对中心安全服务器或IPSec隧道的使用是使用现有逐跳 安全关联进行密钥分发的一个实例。在这点上，值得注意的是，在完成 密钥分发之后，在属于有关会话的分组进行路由中无需涉及中心安全服 务器。因此，仅仅对中心安全服务器进行有限的使用。
现在将注意力转到图6所示的步骤序列，所述步骤序列开始于块290，其中由BSR-B接收分组。分组通常是以利用密码密钥而加密的形
式到来，其中所述密码密钥是由BSR-B与在先节点共享。相应地，如块
300所指示的，BSR-B对照该密码密钥来对分组进行解密。
如块300进 一 步指示的那样，BSR-B独立地执行 signaturekb3srb(pek)的本地计算。通常，该计算将与
SIGNATURE^腿JPEK)的计算类似。然而，BSR-B与用户B之间的完整性
密钥将^f皮用作输入，以替代BSR-A与用户A之间的完整性密钥。
在块310,BSR-B使用其与用户B共享的密码密钥来重新加密分组，
并且将其转发到用户B。如块320所指示的，BSR-B还通过先前参考签 名 SIGNATURE^皿a (PEK)所论述的带内或带夕卜传输将
SIGNATURE^腿B(PEK)发送到与分组相关联的用户B。在块330， BSR-B
对分组进行解密，并且执行对SIGNATUREKwbr B (PEK)的独立的本地计算。
如果在本地计算的值与BSR-B发送的值相匹配，则将认为该分组是已验 证的，即，被验证为是由拥有PEK的实体发起的分组。
如上所述，在第一跳的起始和末端节点以及最后一跳的起始和末端 节点处，可以对每个分组的PEK进行本地计算。会话密钥将作为用于计 算PEK的输入来使用。会话密钥是使用现有的逐跳安全关联以加密形式 通过网络来传送的。
然而，在其他实例中，会话密钥是可选的，并且PEK是使用逐跳加 密通过网络来转发的。例如，用户A (作为起始节点的实例)利用PEK 来对分组或者至少分组有效栽荷进行加密。用户A还使用其与BSR-A (作为第一跳的末端节点的实例)共享的密码密钥对PEK进行加密，并 且使用其与BSR-A共享的完整性密钥来对PEK进行签名。如在上文中 参考签名SIGNATURE^^(PEK)所描述的那样，经过加密的PEK及其签
名被从用户A发送到与分组相关联的BSR-A。
参考图7,例如，分组400包括IP首部410、有效栽荷420以及PEK 字段430。利用PEK对有效载荷420是进行端到端加密。
使用逐跳加密通过网络将PEK连同分组从BSR-A发送到BSR-B。 由此，在每个中间节点处都可以对PEK进行解密和重新加密，但在中间 节点不对分组进行解密。在典型的分组中，字段420中的有效载荷的长 度可以是1500字节，而字段430中的已加密PEK的长度则可以仅仅是 128比特。因此非常清楚的是，如果仅仅对PEK进行解密和重新加密将会节省大量的计算资源。
在图7的实例中，在第一跳-也就是从用户A到BSR-A的跳上， 利用密码密钥CKA,BSR.A对PEK字段430的内容进行加密。在从BSR-A 到BSR-B的路径的每一跳上，例如，利用有关的IPSec密钥来对字段430 的内容进行加密。因此，如果存在两个或更多这样的跳，则可以使用 IPSec关联链来保护PEK。
在BSR-B,使用BSR-B与用户B共享的密码密钥CKB，BSR.B来对PEK 进行加密，并且使用BSR-B与用户B共享的完整性密钥来对其进行签 名。经过加密的PEK在字段430中从BSR-B发送到用户B,并且PEK 签名被从BSR-B发送到与分组相关联的用户B。
如果将要通过网络来转发SEK,则所述转发可以由各种可能技术中 的任何一种来执行。根据一种这样的技术，所发送的新会话的第一业务 分组至少其有效栽荷是利用有关PEK来加密的。当用户A将分组发送 到BSR-A时，它会附加SEK，其中所述SEK是通过用户A与BSR-A共 享的密码密钥来加密的。BSR-A对SEK进行解密，并且使用现有安全 关联将其分发到BSR-B。当BSR-B向用户B发送分组时，它会附加SEK， 其中所述SEK是通过用户B与BSR-B共享的密码密钥来加密的。
根据各种可替换技术之一，SEK是在呼叫建立过程中通过使用有关 协议来分发的。例如，SEK可以与用于建立VoIP呼叫或是例如基于IMS (IP多媒体子系统)的服务的SIP (会话发起协议)消息一起被分发。
1权利要求
1. 一种方法，包括建立端到端密钥以用于通过网络将分组从第一端点安全传输到第二端点；以及将分组从第一端点传送到第二端点；其中建立端到端密钥包括在两个或更多逐跳安全关联的保护下通过网络将信息从第一端点传送到第二端点。
2. 根据权利要求1所述的方法，其中端到端密钥是分組特定加密 密钥，并且建立端到端密钥包括将会话加密密钥从第一端点传送到第二 端点，以使得能够根据会话加密密钥和分组特定信息来计算分组特定加 密密钥。
3. 根据权利要求1所述的方法，其中建立端到端密钥包括将信 息作为业务分组的一部分通过网络进行传送。
4. 根据权利要求1所述的方法，其中端到端密钥是分组特定加密 密钥，并且所述方法进一步包括使用与位于第一和第二端点中间的网络节点共享的完整性密钥来 计算分组特定加密密钥的签名；经由中间节点将分组从第一端点传送到第二端点；以及 将签名传送到与所传送的分组相关联的中间节点。
5. —种要在网络节点处执行的方法，包括在与网络的在先节点的安全关联的保护下，从所述在先节点接收会 话加密密钥；从所述在先节点接收被转发的分组，其中所述被转发的分组具有利 用分组特定加密密钥而加密的有效栽荷部分；以及在本地根据包含会话加密密钥和特定于被转发分组的信息的输入 来计算分组特定加密密钥。
6. 根据权利要求5所述的方法，进一步包括使用在本地计算的 分组特定加密密钥来对分组进行解密。
7. 根椐权利要求5所述的方法，进一步包括使用与另一个网络 节点共享的完整性密钥来在本地计算分组特定加密密钥的签名。
8. 根据权利要求7所述的方法，其中完整性密钥是与所述在先节 点共享的，并且所述方法进一步包括将在本地计算的分组特定加密密钥签名与关联于分组的接收的分组特定加密密钥签名相比较，由此验证 分组。
9. 根据权利要求7所述的方法，其中完整性密钥是与后续网络节 点共享的，并且所述方法进一步包括将分组转发到后续节点；以及将在本地计算的分组特定加密密钥签名传送到与分组相关联的后 续节点，由此向后续节点验证所述分组。
10. —种用于在网络中处理分组的方法，其中所述网络包括共享完 整性密钥的笫一节点和第二节点，所述方法包括将分组从第 一节点传送到第二节点，以使得至少所述分组的有效载 荷部分是利用分组特定加密密钥来加密的；计算将被用于验证分组的分组特定加密密钥的签名，其中所述签名 计算是通过使用完整性密钥来执行的；以及将分组特定加密密钥签名传送到与分组相关联的第二节点。
11. 一种用于在网络中处理分组的方法，其中所述网络包括共享完 整性密钥的笫一节点和第二节点，所述方法包括，在第二节点处从第一节点接收分组，以使得至少所述分组的有效栽荷部分是利用 分组特定加密密钥来加密的；从第 一 节点接收分组特定加密密钥的签名；计算分组特定加密密钥的签名，其中所述计算是使用完整性密钥来 执行的；将所计算的密钥签名与所接收的密钥签名相比较；以及 如果所计算的密钥签名与所接收的密钥签名相一致，则认为所述分组是已验证的。
12. 根据权利要求11所述的方法，进一步包括使用分组特定加 密密钥来对分组进行解密。
13. 根据权利要求11所述的方法，进一步包括如果认为分组是 已验证的，则将分组转发到目的地。
全文摘要
本发明提供了用于在网络端点(120，140)之间安全传送分组的方法。在一个方面中，提供了一种通过使用现有的逐跳安全关联来建立端到端密钥的方法。在第二方面中，提供了一种使用分组特定加密密钥PEK来加密分组p的方法。在两个节点中每一个节点处使用这两个节点所共享的完整性密钥来独立地计算密钥PEK的签名。所述签名被从这两个节点中的一个节点发送到与分组p相关联的另一个节点。接收节点使用所述签名来验证分组p是由拥有PEK的实体发起的。
文档编号H04L9/08GK101455025SQ200780019415
公开日2009年6月10日 申请日期2007年5月17日 优先权日2006年5月26日
发明者G·S·森达拉姆, S·帕特尔 申请人:卢森特技术有限公司