专利名称:用于网络元件的密钥管理的制作方法
技术领域:
本发明总的涉及通信系统中的密钥管理,并且特别地涉及用于在这样的系统中的网络基础设施元件的网域间密钥管理。
背景通信环境或系统通常可以被视为包括多个独立的通信网域。每个这样的网域可以为连接到其的用户提供到它的服务的接入。为了提供通信环境内和穿过不同域的移动性,通常期望在属于不同域的网络元件(NE)之间建立通信,尤其是安全的通信。在两个网络元件之间的这样的安全域间通信的典型例子是在两个电信或网络运营商的安全网关(SEG)之间的安全通信隧道。
为了在不同的网域的网络元件之间提供安全的通信,密钥管理/密钥交换协议通常被用于建立NE间通信所需要的安全参数。在现有技术中存在不同类型的密钥管理协议,并且它们通常可以被划分成两类分别为对称密钥和公开密钥协议。大体上,前者依赖于在各方之间共享的秘密密钥和基于这种密钥的密码技术。后者利用每方一对密钥(一个秘密密钥和一个公开密钥),可信赖的第三方“证实”该公开密钥和公开密钥密码学技术。
在支持用于3G移动网络运营商的网域安全(NDS)/互联网协议(IP)演进的可行性研究中[1],公开了一种用于安全的SEG间通信的全网状对称解决方案。在[1]的公开中,每个SEG与它希望与其(安全地)通信的每个外部SEG,即,每个属于另一个网域的SEG,共享长期秘密密钥。如果每个域接入到一个SEG并且n是在容纳域的通信环境中的SEG总数,如果每个SEG能够与所有其它SEG安全地通信,则分发给SEG并存储在每个SEG中的长期密钥数将总计为 因此,预共享的秘密密钥数可能非常大并且依赖于网域中活动SEG的数目快速增长(以n2增长)。此外,预期每个网域可以具有一个以上的通信NE或SEG,并且SEG/NE需要与其它网域中相当大数目的其它SEG/NE通信。而且添加新的SEG到现有的网域需要密钥分发、管理和存储形式的巨大工作量。此外,如果单个SEG被破坏或者被攻击,则不得不更新不同网域中的所有SEG并且必须在其间分发新的长期秘密密钥。
在[1]中简要提到的另一个可能的解决方案是采用所有网域共同的、安全地通信的可信第三方,通常被称作密钥分发中心(KDC)。在这种情况下,KDC同它与其具有服务协定(agreement)的每一个网域共享一个秘密密钥。为了在不同网域的两个NE或SEG之间建立安全的通信,KDC给需要通信的各方分发新鲜秘密(通常与共享秘密不同)。该解决方案在现有技术中的典型例子是基于Kerberos的密钥管理协议。然而,缺点在于它通常难以找到可以担当KDC的适当的可信第三方,尤其是在运营商间通信的情况下。此外,需要增加的管理工作以安排用于该可信第三方解决方案的共同信任。KDC也可能是单个的破坏点,如果它的安全被危及,则使用它的服务的所有网域都受到威胁。
根据[1]、也在[2]中讨论的优选密钥协定协议是利用基于公开密钥基础设施(PKI)的方法,由此SEG或NE共享它们的公开密钥。文档[1]公开了没有Bridge认证机构(CA)PKI或带有Bridge CA PKI的基于证书的解决方案,其也在[2]中进一步讨论。在任一个解决方案中,其NE或SEG要通信的每个运营商必须签署另一方的根证书。然后这些证书在每个通信SEG中安全地配置。
PKI协议的主要缺点是建立PKI基础设施的(初始)成本非常大。而且,证书的废除需要手动管理并且必须总是执行废除核查(证书是一个凭证,其一直有效,除非返回它被废除的证实),这需要运营商的证书废除列表(CRL)之间的在线通信。此外,PKI解决方案中涉及的密码操作较昂贵。
概述本发明克服了现有技术安排中的这些和其它缺点。
本发明的一个总目的是提供在通信系统或环境中不同网域的两个网络元件之间共享的秘密。
本发明的具体目的是以简单、可能部分手动的方式执行在两个网络元件之间共享的秘密的提供。
本发明的另一个目的是使能在属于不同网域的网络元件之间的安全通信。
而本发明的另一个目的是减少使能在属于不同网域的网络元件之间的安全通信所需要的长期秘密密钥数。
本发明的再一个目的是通过重新使用现有网络基础设施和功能性,提供在不同网域的两个网络元件之间共享的秘密。
本发明的还一个目的是避免引入任何可能的单点故障,对其的损害可能使得所有的域间通信不安全。
这些和其它目的由通过附属专利权利要求定义的本发明满足。
简要地,本发明涉及建立在属于不同网络或网域(ND)的两个网络元件(NE)之间共享的对称秘密或会话密钥,该网络或者网域通常由不同的网络运营商或者服务供应商管理。然后该共享的会话密钥使网络元件能彼此安全地通信。这样的网络元件可以是需要与另一个网域的相应收费节点联系的收费节点。类似地,必须在不同网域的两个安全网关(网络元件)之间建立安全的信道。另一个例子可以是在访问的网域的代理呼叫状态控制功能(P-CSCF)与归属域的询问CSCF或服务CSCF之间的通信、服务网关通用分组无线系统(GPRS)支持节点(SGSN)和网关GPRS支持节点(GGSN)之间的业务。而在另一个例子中,通信网络元件可以是归属位置寄存器(HLR)和访问位置寄存器(VLR)或者,通常任何形式的域间信令,例如,使用七号信令系统(SS7)。
本发明的会话密钥建立规程基于包括需要通信的网络元件的网域共享一个(长期)秘密密钥,以下表示为主密钥。该主密钥优选地(安全地)保持在网域的中央密钥存储器或储存库中。该域还包括密码装置或密码密钥管理中心(KMC)或连接到或者与密钥存储器相关联的模块。该KMC包括用于执行密钥管理以及可能依靠存储器中的密钥的鉴权的功能性和算法。在本发明的一个优选实施例中,KMC组成或包括各个网域的鉴权、授权和记帐(AAA)服务器节点。
密钥建立规程通常以网域A(NDa)中的网络元件(NEa)从它的相关联ND内KMC(AAAa)请求安全参数开始。该请求通常伴随着或者包括网络元件NEa想要与其通信的网域B(NDb)中的外部网络元件(NEb)的标识符,或者该外部网络元件NEb的网域NDb的标识符。刚一接收到该请求,AAAa就产生新鲜标记(freshness token),其可以是或者包括随机询问、时间戳和/或序列号。此外,AAAa基于接收到的标识符从相关联的密钥储存库中识别相关的主密钥,并且通过使用密码函数,通常,用识别的主密钥和产生的新鲜标记作为输入参数来产生会话密钥,。
产生的新鲜标记和会话密钥然后优选安全地被提供给网络元件NEa,其将新鲜标记转发给外部网络元件NEb。该外部网络元件NEb反过来将接收到的标记转发到它相关联的KMC(AAAb),优选地伴随着网络元件NEa的标识符或网络元件NEa的网域NDa的标识符。与上面类似,AAAb从它相关联的密钥存储器识别(同一个)正确的主密钥,并且通过使用与另一个网域NDa的AAAa相同的密码函数的实例和该识别的主密钥及接收的新鲜标记用作输入参数来产生会话密钥的(等同的)拷贝。
会话密钥的拷贝然后优选安全地被提供给网络元件NEb。这两个网络元件NEa和NEb现在共享一个秘密对称会话密钥。该密钥可以被直接采用以使能网络元件之间的安全通信。例如,会话密钥可以被直接用在互联网协议安全(IPsec)协议和算法中。替代地,会话密钥可以被用于运行例如互联网密钥交换(IKE)和协商安全关联(SA)。
在本发明的一个优选实施例中,会话密钥建立借助于在AAA服务器节点(KMC)中提供的鉴权和密钥协定(AKA)算法及协议,优选地使用询问-响应(challenge-response)方案来执行。然后有可能将密钥建立连接到鉴权规程,在那里通信网络元件可能被鉴权。在这种情况下,除了新鲜标记(在询问-响应方案情况下通常是随机询问)和会话密钥以外,AAAa还基于主密钥和随机询问计算预期的响应。该预期的响应然后连同其它安全参数(会话密钥、随机询问)一起被(安全地)提供给网络元件NEa。刚一接收到随机询问(新鲜标记),另一个网域NDb的AAAb就除了产生会话密钥的拷贝以外,还基于询问和主密钥产生响应。该响应然后经由它相关联的网络元件NEb被发送到网络元件NEa,其将接收到的响应与先前从它相关联的密码装置AAAa提供的预期响应值相比较。如果它们正确地匹配,则网络元件NEa鉴权网络元件NEb并且将会话密钥建立视为成功的。
为了提高安全性并且允许两个网域(域的KMC)都影响会话密钥的产生,询问-响应方案可以在相反方向上重复(交织)。共享的产生的会话密钥则可以是在两个方向上产生的密钥的函数。类似地,在各个方向上的询问和/或响应可以相互依赖。
每个网域的密钥存储器容纳与其它域共享的主密钥。根据本发明,该存储器只需要保留每个网域对一个长期主密钥。换句话说,网域与第一外部网域共享第一主密钥并且与第二外部域共享第二主密钥,等等。与基本上只需要在密钥存储器被损害时交换的这些长期主密钥相反,产生的会话密钥的寿命相对短得多。因此,会话密钥通常只在网络元件之间的通信会话期间,或者有时只在这样的会话的一部分期间有效。而且,如果第一域的密钥存储器被损害,则仅仅到那个特定域的通信可能受到威胁,即,其它网域,例如第二和第三域,仍然可以安全地在之间通信。
本发明使用的秘密主密钥可以以多种不同的方式在网域(域的密钥储存库)之间(安全地)交换,例如,通过使用Diffie-Hellman(迪菲-赫尔曼)协议,其甚至可以在运营商员工职员之间手动实现,由此提供Diffie-Hellman交换的鉴权。因此,在两个NE之间会话密钥的建立的最敏感部分可以手动地执行,以通过运营商或供应商员工之间的个人联系/交换来确保真实性。
本发明便于添加网络元件到现有网域/在现有网域中废除网络元件。基本上,当添加新的网络元件时,在该新的网络元件和容纳密码装置的节点之间建立安全的信道。这是配置问题并且通常可以结合建立到新的网络元件的操作和维护信道来完成。类似地,当一个网络元件被废除时,密码装置简单地从它的可用网络元件数据库中删除该网络元件。贮藏在该网络元件中的任何(会话)密钥进一步被擦除。
此外,如果密钥储存库被攻击,则密钥储存库中的主密钥(以及存储在其它网域的储存库中的主密钥的相应拷贝)被简单地更新,例如通过重新执行上面提到的Diffie-Hellman或类似的协定协议。实际上,为了提供“后向”安全性,主密钥可以以自举方式被用于间歇地或有规律地更新或在域间交换新主密钥。这具有在给定时刻域密钥存储器的内容不包括较老的密钥的优点。依赖于会话密钥的寿命,一些或所有网络元件可能需要从临时存储的会话密钥被清洗(flush)。这将与在背景部分中讨论的全网状对称解决方案相比较。在这样的解决方案中,如果单个的网络元件被攻击,则在所有网域中的所有网络元件的密钥(常常数十或数百密钥和网络元件)可能需要被替换。然而,通过采用本发明,如果一个网络元件被攻击,不需要执行密钥替换,尽管如果该网络元件当前正在与另一个外部网络元件进行通信,可能必须产生和提供新的会话密钥。
本发明提供了下列优点-减少了需要在网域间分发和存储在网域中的长期秘密密钥数;-通过使用AAA服务器节点和它的AKA算法,提供了现有网络基础设施和功能性的再利用,显著地降低了实现在网络元件之间的密钥建立的成本;
-比基于PKI的协议计算效率高;-在建立共享的会话密钥中提供了重放保护和新鲜度;-提供了网络元件和网域的容易废除;以及-提供了网络元件到现有网域的容易添加性。
在阅读本发明的实施例的以下描述后,将理解本发明提供的其它优点。
附图简述本发明连同它的其它目的和优点可以通过参考以下描述以及附图被最佳理解,其中
图1是利用根据本发明的三个网域图示的通信系统的概观;图2是根据本发明的通信系统的实施例的图示;图3是根据本发明的会话密钥建立的实施例的示意图;图4是根据本发明的会话密钥建立的另一个实施例的示意图;图5是根据本发明的会话密钥建立的再一个实施例的示意图;图6是延续图5的会话密钥建立的示意图;图7是根据本发明的主密钥协定的实施例的示意图;图8是根据本发明的(密码)密钥管理中心(KMC)的实施例的框图;图9是图8的KMC的鉴权和加密钥(keying)单元的实施例的框图;以及图10是根据本发明的网络元件的实施例的框图。
详述贯穿所有图,相同的参考字符将用于相应的或类似的元件。
本发明涉及用于在通信系统或环境中,在不同的网络或网域的两个网络元件之间建立共享的秘密密钥的密钥管理。本发明还使能基于建立的和共享的秘密密钥在两个网络元件之间的安全通信。
为了便于理解本发明,在本描述中,网络涉及多个连接的或关联的计算机和/或具有通信装置并且在其间互连的网络节点。网域或管理网域是由特定的公安部门支配、由网络管理员定义的(通常一部分)网络。下面,本发明将参考在不同网域的两个网络元件之间建立共享秘密来描述。然而,如本领域的技术人员理解的,所述两个网络元件可以替代地属于不同的管理网域和/或网络,和/或一个以及相同网络的两个域。而且,网络间的通信则被称为(如果没有另外指出)网域间的通信。
参考图1,示意图示了通信系统1或环境。在该图中,通信系统1包括三个独立的网域(ND),分别表示为100;200和300。每个这样的网域100;200;300由网络运营商或服务供应商管理,并且提供服务给连接到网域100;200;300的、并且可能与网络运营商具有服务协定例如预订的用户。在典型的例子中,每个网络运营商管理一个网域100;200;300,例如,网域100由第一网络运营商管理;第二运营商管理网域200等等。然而,单个运营商有可能管理通信系统1中的网域100;200;300的两个或更多个。
网域100;200;300通常包括多个网络元件(NE)或节点NEa1、NEa2;NEb;NEC1、NEC2、NEC3,所述网络元件或节点能够进行与相同域的网络元件的以及还与其它外部网域的网络元件的通信,后一种情况是本发明尤其感兴趣的。这样的网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3可以是需要联系另一个网域的相应收费节点的收费节点。类似地,必须在不同的网域的两个安全网关(SEG)(或网络元件)之间建立安全的信道。另一个例子可以是在访问的网域的代理呼叫状态控制功能(P-CSCF)和归属域的询问CSCF或服务CSCF之间的通信、服务网关通用分组无线系统(GPRS)支持节点(SGSN)和网关GPRS支持节点(GGSN)之间的业务。而在另一个例子中,通信网络元件可以是归属位置寄存器(HLR)和访问位置寄存器(VLR),或者通常任何形式的域间信令,例如使用七号信令系统(SS7)。
网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3通常固定排列并且组成各个网域100;200;300的基础设施的一部分,以允许供应不同的服务给连接到网域100;200;300的用尸。
除了多个网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3之外,网域100;200;300还包括密码装置或(密码)密钥管理中心(KMC)或模块120;220;320以及相关联的中央密钥储存库或密钥分发中心140;240;340。KMC120;220;320提供在密钥储存库140;240;340中管理和存储的密钥,执行密码功能,例如,通过使用这些密钥的加密和解密和用于网域100;200;300以及它的网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3的鉴权。
在通信系统1中,每个网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3可以被配置用于进行与其它网域中的所有或一些网络元件的通信。例如,网络元件NEa1可以与网域200的网络元件NEb以及网域300的所有网络元件NEC1、NEC2、NEC3通信。然而,网络元件替代地可以只被允许与有限个外部网络元件通信。
网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3还优选地借助于安全信道与各个网域100;200;300的KMC120;220;320连接。使用这样的安全信道,KMC120;220;320可以提供密钥和其它敏感信息到它的关联网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3。这样的安全信道的典型例子是在网络元件NEa1、NEa2;NEb;NEC1、NEC2、NEC3和KMC120;220;320之间的操作和管理(O&M)信道。
下面,进一步在图2的通信系统1中图示,KMC将由网域100;200的鉴权、授权和记帐(AAA)服务器节点120;220而实例化。AAA服务器节点120;220除了鉴权功能,例如,通过使用鉴权和密钥协定(AKA)功能性或协议以外,典型地还包括用于产生和管理在关联的密钥储存库140;240中提供的密钥的功能性和算法。
替代图1,网域100;200可以包括一个或几个专门用于处理与外部通信网络元件的通信的通信网络元件SEGa;SEGb。在图2中,这样的专用网络元件通过适于相互通信的两个安全网关SEGa;SEGb来示范。在这种情况下,通信所需要的任何协议然后可以被容纳在每个网域中的仅仅一个或几个网络元件中,而不是该域的所有网络元件中。不适于域间通信的两个网络元件NEa1、NEa2;NEb之间的任何通信然后通过图2的安全网关SEGa;SEGb以代理方式进行。使用指定的SEG是有利的,因为安全处理只需要在SEG(SEGa;SEGb)中实现,其然后用作其它网络元件NEa1、NEa2;NEb的“安全代理”。
根据本发明,其网络元件将要通信的网域共享秘密对称密钥,以下表示为主密钥。例如,回来参考图1,网域100与网域200共享主密钥(KAB),并且与域300共享另一个主密钥(KAC)。类似地,网域200和域300共享主密钥(KBC)。这些主密钥是长期共享密钥,它们优选地在各个域100;200;300的密钥储存库140;240;340处被集中地安全保持。该主密钥建立的步骤在下面进一步讨论。
一旦不同网域的两个网络元件彼此安全地通信,各个域的KMC就产生对称秘密或会话密钥,并且优选安全地(依赖于域内安全是密码形式还是物理上受保护的链路的形式)将它提供给它的关联网络元件。NE间通信然后可以基于现在出现在网络元件中的会话密钥安全地执行。下面更详细地讨论会话密钥的产生。
图3示意地图示了建立由两个网域的两个网络元件(NEa,NEb)共享的会话密钥的方法。网域的KMC或AAA服务器(AAAa,AAAb)具有预先共享的主密钥(KAB)(步骤S1)。此外,各个AAA服务器节点优选地具有朝向它的关联网络元件的安全(可信)域内信道。
当NEa和NEb需要通信时,NEb可能任选地通过发送它的标识符或它的网域的标识符(IDb)到NEa来触发通信(步骤S2)。替代地,NEa本身触发通信。
NEa发出对于与NEb的通信的安全参数的请求到AAAa。该请求伴随有标识符IDb(步骤S3)。
响应于该请求,AAAa产生或获得新鲜标记(FRESH)。此外,相关的预先共享主密钥KAB基于接收的标识符IDb被识别,并且通常从关联的密钥储存库中被提供。一旦获得正确的主密钥KAB,AAAa就基于产生的新鲜标记FRESH、主密钥KAB以及一些密码函数(g)产生或计算会话密钥(K)。任选地,诸如网络元件和/或域的标识符Ida,IDb的附加信息可以在该计算中使用。
然后会话密钥K和新鲜标记FRESH优选地通过使用安全信道被(安全地)发送到NEa(步骤S4)。
NEa从接收到的安全参数中提取会话密钥K并且将新鲜标记FRESH转发到NEb,可能伴随有它的标识符或者它的网域的标识符(IDa)(步骤S5)。
NEb将新鲜标记FRESH连同从NEa接收或者从别处获得的标识符IDa一起转发给它关联的密码KMC或AAAb(步骤S6)。
类似于AAAa,AAAb基于获得的标识符IDa从它的存储器,例如,在关联的密钥储存库中,识别并提供相关的预先共享主密钥KAB。而且,通过使用与AAAa相同的密码函数g的实例,以主密钥KAB和新鲜标记FRESH作为输入参数,AAAb产生会话密钥K的拷贝。
现在产生的会话密钥(的拷贝)优选安全地被发送到NEb(步骤S7)。
在这点上,网络元件NEa和NEb共享一个秘密对称会话密钥K。该密钥可能被直接采用用于使能网络元件之间的安全通信(步骤S8)。例如,会话密钥可以被直接用在互联网协议安全(IPsec)协议和算法中。替代地,会话密钥可被用于例如运行互联网密钥交换(IKE)和协商安全关联(SA)。
通过采用本发明以上确定的方法,提供了用于会话密钥的产生的重放保护和新鲜度。如上面简要提到的,用于计算会话密钥的密码函数也可以包括除了主密钥和新鲜标记以外的其它信息作为输入参数。例如,标识符IDa和/或IDb可能是到函数的附加输入。
产生会话密钥所需要的新鲜标记可以由网域的AAA服务器节点或由包括通信网络元件的连接到其上的某其它单元或节点产生。新鲜标记可以是时间戳,例如与从网络元件接收对安全参数的请求的时间相关联的时间戳、可能与鉴权标记相关联的序列号和/或随机询问。
会话密钥的建立可能伴随着通信网络元件的鉴权,例如通过使用询问-响应方案。在这种情况下,AAA服务器节点可以重新使用常规用于鉴权的AKA算法以及在网络运营商的AAA服务器和用户移动单元之间,或者更确切地是在AAA服务器和身份模块,例如安排在移动单元中的用户身份模块(SIM)之间的密钥协定。
图4示意图示了通过使用询问-响应规程,根据本发明的会话密钥建立。
相应于图3,AAAa和AAAb预先共享秘密主密钥KAB(步骤S10)。网络元件之间的通信可以任选地由提供它的标识符或它的域标识符IDb到NEa的NEb触发(步骤S11)。NEa发送通常包括标识符IDb的、对于安全参数的请求到AAAa(步骤S12)。
刚一接收到请求,类似于图3,AAAa就基于提供的标识符IDb识别相关主密钥KAB。此外,AAAa产生鉴权矢量(AV)。在本实施例中,AV由安全和鉴权参数的五元组(quintuple)。以由AAAa或别处产生的随机询问(RAND)和通常组成图3的新鲜标记的鉴权标记(AUTN)开始。鉴权标记AUTN可以是例如(简单的)计数器或某些密码学上受保护的信息,诸如基于主密钥KAB使用密钥被鉴权的信息。而且,通过对询问RAND和主密钥KAB使用密码函数(f)来产生预期的响应(XRES)。密码密钥(cipher key,Ck)和完整性密钥(integrity key,Ik)也基于主密钥KAB和询问RAND以及可能作为分别到密码函数f1和f2的输入的其它任选信息来产生。在本实施例中,Ck和/或Ik被用作会话密钥。对于五元组AV的产生的更多信息,参考[3],用主密钥(或从其导出的密钥)作为[3]中算法的初始秘密。
产生的五元组AV然后被(安全地)发送到NEa(步骤S13)。
NEa从接收到的安全参数AV中提取随机询问RAND和鉴权标记AUTN,并且将它们,可能连同它的标识符或者它的域的标识符IDa一起转发到NEb(步骤S14)。
刚一接收到参数,NEb就将它们转发到它的关联AAAb服务器节点(步骤S15)。
AAAb基于接收到的标识符IDa从它的存储器识别并取回正确的主密钥KAB,并且检查鉴权标记AUTN是否是对的。如果标记AUTN由AAAa通过使用它的主密钥KAB的实例在密码上保护,则AAAb将识别和提供的主密钥KAB用于鉴权目的。而且,通过使用与AAAa相同的函数f,f1,f2的实例,AAAb产生响应(RES)和密码Ck以及完整性Ik密钥。
然后响应RES和会话密钥(Ck,Ik)优选安全地被发送到NEb(步骤S16)。
网络元件NEb将接收到的响应RES转发到NEa(步骤S17),其现在可以通过将接收到的响应RES与先前从AAAa提供的五元组AV中预期的响应值XRES相比较来鉴权NEb。如果它们正确匹配,则NEa鉴权NEb并且认为会话密钥建立成功。
NEa和NEb现在可以访问密钥Ck和Ik,其可以被用作会话密钥,例如,用于进行网络元件之间的安全通信(步骤S18),如结合图3讨论的。
因此,在本发明的本实施例中,AAA服务器节点和它的AKA功能性及协议被重新用于为网络元件建立会话密钥并且使能在不同网域的这样的元件之间的安全通信。与AAA服务器节点在鉴权移动电话和其它移动单元的SIM中的常规角色相比,本发明的AAA节点将具有两种角色。首先是正常AAA服务器的角色(图4中的AAAa)和SIM的角色(图4中的AAAb)。在该上下文中,NEa可被视为相应于AAA代理以及NEb被视为“移动电话”。然而,NEb和AAAb用作两个独立的网络元件或节点,而移动电话和SIM是一个完整的移动单元。
为了提高安全性并且允许两个网域(域的AAA)都影响会话密钥的产生,图4的询问-响应方案可以在相反方向上重复。因此共享的产生的会话密钥可以是在两个方向上产生的密钥的函数。
图5和6示意图示了用于根据本发明的双询问-响应规程的可能解决方案。步骤S20、S21和S22相应于图3的步骤S1、S2和S3(图4的步骤S10、S11和S12)并且不再进一步讨论。
刚一从关联的网络元件NEa接收到对于安全参数的请求,AAAa就产生或获得第一随机询问(RANDa)和第一鉴权标记(AUTNa)。而且,AAAa基于接收到的NEb或NDb关联的标识符IDb识别正确的主密钥KAB。通过使用密码函数f并且以识别的主密钥KAB和提供的第一随机询问RANDa作为输入参数,计算第一预期响应(XRESb)。相应地,服务器节点AAAa的密码装置分别借助于主密钥gxy、随机询问RANDa和密码函数f1和f2产生第一预密码密钥(Cka)和第一预完整性密钥(Ika)。这些密钥Cka,Ika然后被存储在服务器节点中,或者在别处提供的关联的可访问存储器中用于以后的使用。
安全参数然后(安全地)作为包括第一鉴权标记AUTNa、随机询问RANDa和预期的响应XRESb的三元组鉴权矢量被发送到网络元件NEa(步骤S23)。
网络元件NEa从鉴权矢量中提取并去除第一预期响应XRESb。AV的剩余部分(即,AUTNa、RANDa)然后可能伴随着它的域标识符它的标识符IDa一起被发送到网络元件NEb(步骤S24)。
网络元件NEb将鉴权矢量和标识符IDa转发到它的关联AAAb服务器节点(步骤S25)。
AAAb基于接收的标识符IDa从它的存储器识别并取回正确的主密钥KAB,并且调查第一鉴权标记AUTNa是否正确。通过使用与AAAa相同的函数f,f1,f2的实例,AAAb产生第一响应(RESb)以及第一预密码Cka和预完整性Ika密钥。AAAb还从它的网域NDb中的一些其它单元产生或获得第二随机询问(RANDb)和第二鉴权标记(AUTNb)。然后通过使用函数f以及主密钥KAB和第二随机询问RANDb和第一响应RESb的级联,计算第二预期响应(XRESa)。本发明预期可以使用一些其它函数来代替级联,例如异或OR(XOR)和/或散列函数。提供的第二随机询问RANDb也被使用,分别连同主密钥KAB和密码函数f1和f2,用于产生第二预密码密钥(Ckb)和第二预完整性密钥(Ikb)。最后,由密码密钥Ck和/或完整性密钥Ik表示的会话密钥分别基于第一和第二预密码密钥Cka,Ckb以及第一和第二预完整性密钥Ika,Ikb以及一些函数(h)产生。
继续到图6,包括第二鉴权标记AUTNb、第二随机询问RANDb、第一响应RESb、第二预期响应XRESa以及密码Ck和完整性Ik密钥的鉴权矢量优选安全地被发送到网络元件NEb(步骤S26)。
网络元件NEb从该矢量提取密码Ck和完整性Ik密钥(会话密钥)以及第二预期响应XRESa,矢量的剩余部分然后可能伴随NEb或NDb标识符IDb一起被转发到网络元件NEa(步骤S27)。
网络元件从鉴权矢量提取第一响应RESb,并且将它与先前从AAAa接收到的第一预期响应XRESb相比较。如果它们相对应或者匹配,则网络元件NEa视为网络元件NEb被成功鉴权并且将从NEb接收到的鉴权矢量转发到AAAa(步骤S28)。
AAAa基于接收到的NEb或NDb标识符IDb识别正确的主密钥gxy,并且验证第二鉴权标记AUTNb。然后使用函数f并且以主密钥KAB以及接收到的第二随机询问RANDb和第一预期响应XRESb(或第一响应RESb)的级联作为输入参数,计算第二响应(RESa)。该第一预期响应XRESb可以从AAAa服务器节点中的存储器或者关联存储器获得。然后AAAa在存储器中具有先前输入的预期响应XRESb,例如,结合刚一从网络元件NEa接收到对于安全参数的请求就产生它,参见图5。替代地,第一预期响应XRESb或第一响应RESb可以从网络元件NEa与在步骤S28中发送的鉴权矢量一起被提供。AAAa也有可能借助于从存储器或者从网络元件NEa提供的第一随机询问RANDa重新计算第一预期响应XRESb。
此外,借助于分别作为函数f1和f2的输入参数的主密钥KAB和接收的第二随机询问RANDb,AAAa产生第二预密码密钥Ckb和预完整性密钥Ikb。这些计算的密钥与先前产生并存储的第一预密码密钥Cka和预完整性密钥Ika一起被用于产生会话密钥(密码密钥Ck和/或完整性密钥Ik)。
产生的第二响应RESa和密码Ck及完整性Ik密钥然后优选安全地被提供给网络元件NEa(步骤S29)。
网络元件NEa提取密钥(Ck,Ik)并将第二响应RESa转发到网络元件NEb(步骤S30)。
网络元件NEb将该第二响应RESa与早先从它的关联AAAb服务器节点接收到的第二预期响应XRESa相比较。如果它们相对应,则网络元件NEb已经鉴权网络元件NEa并且认为会话密钥建立成功。现在共享的秘密密码密钥Ck和/或完整性密钥Ik可以被用作会话密钥,例如用于进行网络元件之间的安全通信(步骤S31),如结合图3讨论的。
以上讨论并且结合图5和6的双询问-响应规程应当仅仅被看作根据本发明基于这种重复询问-响应的会话密钥建立的一个例子。在另一个实施例中,第二预期响应和第二响应可以利用第一和第二随机询问的级联、XOR和/或散列作为输入参数,而不是,或者作为对第二随机询问和第一响应/预期响应的级联、XOR和/或散列的补充来计算。而且,AAAb可以对第二随机询问和第一及第二完整性密钥(或第一和第二密码密钥)的XOR值使用消息鉴权码(MAC)函数。来自MAC函数的输出(m’=MAC[(Ika XOR Ikb),RANDb])然后可以(通过步骤S26、S27和S28)被提供给AAAa。AAAa然后使用相同的MAC函数的实例,用于计算相应的输出(m=MAC[(Ika XOR Ikb),RANDb])。AAAa然后验证计算的输出m相应于接收到的输出m’。
根据本发明产生的会话密钥可被用于在整个通信会话的持续期间密码保护两个网络元件之间的业务,然后当通信结束时该会话密钥被丢弃。替代地,在其期间会话密钥有效的寿命可能比通信会话的持续时间短。例如,密钥可以仅仅被用于发起安全的NE间信道,其中例如从会话密钥导出的一些其它密钥被用于实际加密和解密在网络元件之间发送的信息。替代地,会话密钥可被用于仅仅发送一定量的数据,在此之后必须执行新密钥建立或其部分。在任一种情况下,会话密钥的整个寿命可以例如在IkE期间在网络元件或域之间协商,并且可以在这样的保密协商中确定。
通常,相比较而言,会话密钥的寿命或有效时间比两个网域之间共享的长期秘密主密钥的相应寿命要短得多。而通常新的秘密会话密钥被产生用于每个通信会话,或者每个会话产生几次,相同的主密钥优选地被用于几个这样的通信会话。实际上,主密钥只在各自域中主密钥被保持于其中的存储器(密钥储存库)被破坏时才不得不交换。然而,在一些应用中,从安全观点看,在网域中间歇地,例如一年一次地更新主密钥可能是有利的。实际上,为了提供“后向”安全,主密钥可以以自举方式使用,以规律性地或者间歇地更新或在域间交换新的主密钥。这具有密钥储存库的内容在给定时刻不包括较老密钥的优点。
在通信系统中,在网域之间主密钥的协定和共享可以以各种方式实现。然而,一个普遍的误解常常是关于对称主密钥的协定需要复杂的(非常高的)安全规程。根据本发明可被采用的主密钥的密钥协定协议的典型例子是Diffie-Hellman(DH)协定协议。该协议允许鲁棒且安全的主密钥ND间建立。
图7示意地图示了用于根据本发明的主密钥建立的Diffie-Hellman规程。在图中,两个网域将共享一个共同的主密钥。这两个网域,或者域的AAA服务器节点,每个产生一个秘密密钥,在图7中,为AAAa产生x以及为AAAb产生y。然后秘密密钥被安全地存储在例如各自域的密钥储存库中的防篡改存储器中。秘密x;y优选地绝不应离开该安全的存储器。此外,计算秘密x;y的相应公开值,分别表示为gx和gy。这里,gx和gy指在适当的有限群中的幂运算(即,重复的群运算)。更多的信息参考[4]。该密钥产生和计算可以提前于实际的主密钥协定在任意时刻完成。
在主密钥建立的时刻,例如,在两个网域的运营商之间签署漫游协定时,计算的公开值gx;gy被交换(步骤S40和S41)。该公开值交换优选地以鉴权的方式执行,例如,通过运营商的代表交换软盘,每个软盘包括一个产生的秘密x;y的DH公开值gx;gy。替代地,这些值可以以易于光字符识别(OCR)的方式打印在纸上。而另一种方法是使用致密闪光记录卡,通用串行总线(USB)存储设备等等,或者文档[5]的教义。
各个网域的AAA服务器然后可以基于交换的公开值gx;gy和各自存储的秘密x;y产生共同共享的秘密密钥(主密钥)gxy。通过采用以上描述并在图7中图示的规程,(在有关Diffie-Hellman问题的通常难处理的假设下)绝对不存在暴露主密钥gxy的风险,即使是在两张软盘都被对手“嗅探到”的情况下也没有。交换的真实性由各自的运营商代表从视觉上验证。因此,会话密钥建立的最敏感部分可以手动执行并且确保真实性。
如果ND运营商愿意废除例如他与另一个网域的漫游协定以便于他的网络元件应不再能够与该另一ND运营商的网络元件安全地通信,则与该外部网域共享的主密钥仅仅从密钥存储器或储存库中删除。此外,每次网络元件从它的AAA服务器节点请求包括会话密钥的安全参数时,它给出对相应的网络元件和运营商的废除状态的自动检查。
而且,如果任何密钥储存库被攻击,密钥储存库中的主密钥(以及存储在其它网域的储存库中的主密钥的相应拷贝)例如通过重新执行以上讨论的Diffie-Hellman协定协议而被简单地更新。依赖于会话密钥的寿命,一些或所有网络元件可能需要从临时存储的会话密钥中被清洗。这应与在背景部分中讨论的全网状对称解决方案相比。在这样的解决方案中,如果单个网络元件被攻击,则在所有网域中的所有网络元件的密钥(常常数十或数百个密钥及网络元件)可能需要被替换。然而,根据本发明,如果一个网络元件被攻击,不必执行密钥替换,尽管可能如果该网络元件当前正在与另一个外部网络元件通信,则必须产生和提供一个新的会话密钥。而且,简要地返回图1,如果网域100的密钥存储器140被损害,则仅仅当到该特定域100的通信可能受到威胁,即,其它网域,例如域200和域300仍然可以安全地在之间通信。
当一个新的网络元件添加到现有的网域时,基本上唯一需要的措施是在该新的网络元件和AAA节点之间的优选安全的信道的建立。这是配置的问题。不再需要密钥的其它分发或证书。类似地,当一个网络元件从网域废除时,AAA节点仅仅从它的、它到其具有(安全的)信道的可用网络元件的数据库中删除该网络元件(用于在AAA和该网络元件之间的安全信道的密钥)。在网络元件中贮藏的任何(会话)密钥进一步被删除。
图8是与密钥储存库40关联图示的、根据本发明的(密码)密钥管理中心(KMC)或模块(AAA服务器)20的示意框图。KMC20通常包括用于管理与外部单元、节点和元件的通信的输入和输出(I/O)单元22。具体地,I/O单元22适于从关联的网络元件接收对于可能包括NE或ND标识符的安全参数的请求,适于(安全地)发送请求的安全参数(包括会话密钥)到请求网络元件以及从ND内网络元件接收新鲜标记。KMC20还包括鉴权和加密钥单元30,通常包括AKA功能,用于执行密钥管理以及可能鉴权。KMC20的单元22,30可被提供为软件、硬件或其组合。它们可以例如在网域的网络节点中一起被实现。替代地,在不同的网络节点中提供一些单元的分布式实现也是可能的。
KMC20包括、被连接到或关联于网域的(中央)密钥储存库或存储器40。储存库40通常包括用于产生DH公开值和主密钥的一组秘密(x1,x2,...)。在第一实施例中,仅仅一个秘密被用于产生与其它网域共享的需要的主密钥。然而,一个秘密优选地只用于产生一个主密钥。换句话说,如果一个网域要与两个其它网域共享主密钥,它优选地产生两个不同的秘密(x1,x2),其中第一(x1)被用于计算与第一域共享的主密钥,并且另一个秘密(x2)被用于产生与第二域共享的主密钥。
储存库40还包括一组它与之共享主密钥的相关网域的标识符(IDb,IDc,...)所关联的主密钥(gx1,y1,gx2,z1,...)(或更一般地,例如通过散列每个Diffie-Hellman值获得的主密钥的表示)。标识符和主密钥关联允许基于标识符的信息识别正确的主密钥。
优选地,用于在KMC20和它的关联网络元件之间的安全通信的一组秘密密钥(S1,S2,...)还被存储在储存库40中。然后相关秘密密钥的相应拷贝也被存储在网络元件中。为AAA节点和所有它关联的网络元件之间的安全通信使用同一个秘密密钥可以是可能的。然而,可能优选只为一组网络元件或单个网络元件使用一个秘密。
密钥储存库40可以被提供为通信域中的独立节点并且(安全地)连接到KMC20。替代地,储存库40和KMC20可以在一个以及相同的网络节点中实现。分布式实现也是可能的,其中不同的密钥组被提供在不同的节点中,例如,主密钥(gx1,y1,gx2,z1,...)被提供在一个节点中,用于产生主密钥的秘密(x1,x2,...)被提供在第二节点中,并且用于与网络元件的安全通信的秘密(S1,S2,...)被提供在第三节点,例如AAA服务器节点中。然而,在本发明中,为了清晰起见,即使在分离的节点中实现,KMC(AAA服务器节点)20和密钥储存库40也被看作网域中的一个逻辑单元。在任一种情况下,密钥存储器40优选地是防篡改的,以使得它更难于破坏。此外,秘密和密钥优选地,应当优选不让安全的环境处于无保护状态。
图9是更详细地图示图8的鉴权和加密钥单元30的框图。鉴权和加密钥单元30通常包括新鲜标记发生器32。依赖于在本发明的会话密钥建立规程中采用的新鲜标记的类型,发生器32可以被实现为随机询问发生器、序列号计数器、时间戳单元等等。替代地,该标记发生器32可以在网域的其它地方,包括在网络元件中被提供。而且,单元30可能任选地包括用于借助于来自发生器32的新鲜标记以及来自密钥存储器的主密钥产生预期响应或响应的密码功能性34。密钥管理器36也在鉴权和加密钥单元中实现。管理器36具体包括用于产生密钥、包括产生主密钥、产生用于产生主密钥的秘密、产生DH公开值以及产生或计算会话密钥的功能性38。具体地,在会话密钥产生情况下,密钥发生器38可以使用单个密码功能。替代地,可以为每个网域使用唯一的密码函数以便于每个网域对共享一个唯一的函数。密钥管理器36还通常这样通过发送密钥储存库清洗命令到网络元件和密钥存储器来管理密钥储存库中以及可能关联网络元件中的密钥删除和替换或者更新。
鉴权和加密钥单元30的单元32、34、36、38可以被提供为软件、硬件或其组合。它们可以一起例如在网域的网络节点中实现。替代地,在不同网络节点中提供一些单元的分布式实现也是可能的。
图10是根据本发明的网络元件或节点10的示意框图。网络元件10包括用于与关联的AAA服务器节点(KMC)以及与其它网域的外部网络元件通信的I/O单元12。密钥存储器14也优选地安排在网络元件中,用于(临时)存储会话密钥(K)。与AAA服务器共享并且用于与之的安全通信的秘密密钥(S1)也可以被容纳在存储器14中。密钥存储器14优选地是防篡改的,以使得它更难于被对手攻击或破坏。任选地,比较单元16可以被提供在网络元件10中,用于将从AAA服务器接收到的鉴权矢量(安全参数)中的预期响应与来自外部网络元件的响应相比较。基于由单元16执行的比较,网络元件10可以鉴权它想要与其安全通信的外部网络元件。尽管没有在图中图示,但是可以在网络元件中实现一个密钥管理器,用于当会话密钥的寿命已经期满时删除它们和/或刚一从AAA服务器节点接收到密钥清洗命令就清洗该密钥存储器14。
网络元件10的单元12、16可以被提供为软件、硬件或其组合。
本领域的技术人员将会理解可以对本发明进行各种修改和变化而不脱离由附属权利要求定义的其范围。
参考文献1 3GPP TR 33.810 V6.0.0,3rdGeneration Partnership Project;Technical Specification Group Services and System Aspects;3G Security;Network Domain Security/Authentication Framework(NDS/AF);Feasibility study to support NDS/IP evolution,(第三代合作计划;技术规范群服务和系统方面;3G安全;网域安全/鉴权框架(NDS/AF);对支持NDS/IP发展的可行性研究)2002年12月.
2 3GPP TS 33.310 V0.30,3rdGeneration Partnership Project;Technical Specification Group Services and System Aspects;NetworkDomain Security;Authentication Framework,(第三代合作计划;技术规范群服务和系统方面;网域安全;鉴权框架)2003年5月.
3 3GPP TS 33.102 V5.2.0,3rdGeneration Partnership Project;Technical Specification Group Services and System Aspects;3G Security;Security architecture,(第三代合作计划;技术规范群服务和系统方面;3G安全;安全结构)2003年6月.
4 A.J.Menezes,P.C.van Oorschot and S.C.Vanstone,“Handbook ofApplied Cryptography(应用密码学手册)”,CRC出版社,1996年。
5 ISO/IEC 9798-6,“Information technology,Security techniques,Entity authentication,Part 6Mechanism using manual data transfer(信息技术,安全技术,实体鉴权,第6部分使用手工数据传送的机制)”,工作草案,2003年4月
权利要求
1.一种建立在第一网域(100)的第一网络元件(NEa)和第二网域(200)的第二网络元件(NEb)之间共享的会话密钥(K)的方法,所述第一网域(100)包括第一密码装置(120)并且与包括第二密码装置(220)的所述第二网域(200)共享秘密密钥(KAB),所述方法包括步骤-所述第一密码装置(120)产生一个新鲜标记(FRESH);-所述第一密码装置(120)基于所述共享的秘密密钥(KAB)以及所述产生的新鲜标记(FRESH)而产生所述会话密钥(K);-将所述会话密钥(K)提供给所述第一网络元件(NEa);-将所述新鲜标记(FRESH)提供给所述第二密码装置(220);-所述第二密码装置(220)基于所述共享的秘密密钥(KAB)以及所述提供的新鲜标记(FRESH)而产生所述会话密钥(K)的拷贝;并且-将所述会话密钥(K)的所述拷贝提供给所述第二网络元件(NEb)。
2.一种使能在第一网域(100)的第一网络元件(NEa)和第二网域(200)的第二网络元件(NEb)之间的安全通信的方法,所述第一网域(100)包括第一密码装置(120)并且与包括第二密码装置(220)的所述第二网域(200)共享秘密密钥(KAB),所述方法包括步骤-所述第一密码装置(120)产生一个新鲜标记(FRESH);-所述第一密码装置(120)基于所述共享的秘密密钥(KAB)以及所述产生的新鲜标记(FRESH)而产生所述会话密钥(K);-将所述会话密钥(K)提供给所述第一网络元件(NEa);-将所述新鲜标记(FRESH)提供给所述第二密码装置(220);-所述第二密码装置(220)基于所述共享的秘密密钥(KAB)以及所述提供的新鲜标记(FRESH)而产生所述会话密钥(K)的拷贝;-将所述会话密钥(K)的所述拷贝提供给所述第二网络元件(NEb);并且-所述第一网络元件(NEa)和所述第二网络元件(NEb)基于所述会话密钥(K)以及所述会话密钥(K)的所述拷贝而安全地通信。
3.根据权利要求1或2所述的方法,其中所述会话密钥提供步骤包括安全地将所述会话密钥(K)提供给所述第一网络元件(NEa)的步骤,并且所述会话密钥拷贝提供步骤包括安全地将所述会话密钥(K)的所述拷贝提供给所述第二网络元件(NEb)的步骤。
4.根据权利要求1到3的任意一项所述的方法,其中所述新鲜标记(FRESH)包括随机询问(RAND)并且所述方法包括步骤-所述第一密码装置(120)基于所述共享的秘密密钥(KAB)以及所述随机询问(RAND)而产生预期响应(XRES);-将所述预期响应(XRES)提供给所述第一网络元件(NEa);-所述第二密码装置(220)基于所述共享的秘密密钥(KAB)以及所述提供的随机询问(RAND)而产生响应(RES);-将所述响应(RES)提供给所述第一网络元件(NEa);-所述第一网络元件(NEa)基于所述预期响应(XRES)和所述响应(RES)之间的比较来鉴权所述第二网络元件(NEb)。
5.根据权利要求4所述的方法,其中所述第一密码装置(120)包括用于产生所述随机询问(RAND)、所述预期响应(XRES)以及所述会话密钥(K)的鉴权和密钥协定(AKA)算法(30),并且所述第二密码装置(220)包括用于产生所述响应(RES)以及所述会话密钥(K)的所述拷贝的AKA算法(30)。
6.根据权利要求1到5的任意一项所述的方法,还包括步骤-所述第一网络元件(NEa)将与所述第二网域(200)相关联的标识符(IDb)提供给所述第一密码装置(120);并且-所述第二网络元件(NEb)将与所述第一网域(100)相关联的标识符(IDa)提供给所述第二密码装置(220)。
7.根据权利要求6所述的方法,其中所述会话密钥(K)以及所述会话密钥(K)的所述拷贝基于与所述第一网域(100)相关联的所述标识符(IDa)和与所述第二网域(200)相关联的所述标识符(IDb)中的至少一个而产生。
8.根据权利要求6或7所述的方法,还包括步骤-所述第一密码装置(120)基于与所述第二网域(200)相关联的所述标识符(IDb)识别所述共享的秘密密钥(KAB);并且-所述第二密码装置(220)基于与所述第一网域(100)相关联的所述标识符(IDa)识别所述共享的秘密密钥(KAB)。
9.根据权利要求1到8的任意一项所述的方法,其中所述第一密码装置(120)是在所述第一网域(100)的网络节点中提供的鉴权、授权和记帐(AAA)服务器并且所述第二密码装置(220)是在所述第二网域(200)的网络节点中提供的AAA服务器。
10.根据权利要求1到9的任意一项所述的方法,其中所述第一网域(100)与包括第三密码装置(320)和至少一个第三网络元件(NEC1、NEC2、NEC3)的第三网域(300)共享第二秘密密钥(KAC)。
11.根据权利要求1到10的任意一项所述的方法,其中所述第一网域(100)由第一通信网络运营商管理并且所述第二网域(200)由第二不同的通信网络运营商管理。
12.根据权利要求1到11的任意一项所述的方法,还包括步骤通过使在所述第一网域(100)和所述第二网域(200)之间的密钥协定基于所述共享秘密(KAB),而间歇地将所述共享秘密(KAB)替换成新的共享秘密。
13.一种建立在第一网域(100)的第一网络元件(NEa)和第二网域(200)的第二网络元件(NEb)之间共享的会话密钥(K)的系统,所述第一网域(100)与所述第二网域(200)共享秘密密钥(KAB),所述第一网域(100)包括-用于产生新鲜标记(FRESH)以及用于基于所述共享的秘密密钥(KAB)和所述产生的新鲜标记(FRESH)产生会话密钥(K)的第一密码装置(120);-用于将所述会话密钥(K)从所述第一密码装置(120)提供给所述第一网络元件(NEa)的装置(22);以及-用于将所述新鲜标记(FRESH)提供给所述第二网域(200)的装置(22),所述第二网域(200)包括-用于基于所述共享的秘密密钥(KAB)和所述提供的新鲜标记(FRESH)产生所述会话密钥(K)的拷贝的第二密码装置(220);以及-用于将所述会话密钥(K)的所述拷贝从所述第二密码装置(220)提供给所述第二网络元件(NEb)的装置(22)。
14.一种使能在第一网域(100)的第一网络元件(NEa)和第二网域(200)的第二网络元件(NEb)之间的安全通信的系统,所述第一网域(100)与所述第二网域(200)共享秘密密钥(KAB),所述第一网域(100)包括-用于产生新鲜标记(FRESH)以及用于基于所述共享的秘密密钥(KAB)和所述产生的新鲜标记(FRESH)产生会话密钥(K)的第一密码装置(120);-用于将所述会话密钥(K)从所述第一密码装置(120)提供给所述第一网络元件(NEa)的装置(22);以及-用于将所述新鲜标记(FRESH)提供给所述第二网域(200)的装置(22),所述第二网域(200)包括-用于基于所述共享的秘密密钥(KAB)和所述提供的新鲜标记(FRESH)产生所述会话密钥(K)的拷贝的第二密码装置(220);以及-用于将所述会话密钥(K)的所述拷贝从所述第二密码装置(220)提供给所述第二网络元件(NEb)的装置(22),所述第一网络元件(NEa)包括用于基于所述会话密钥(K)实行与所述第二网络元件(NEb)的安全通信的装置(12),并且所述第二网络元件(NEb)包括用于基于所述会话密钥(K)的所述拷贝实行与所述第一网络元件(NEa)的安全通信的装置(12)。
15.根据权利要求13或14所述的系统,其中所述会话密钥提供装置(22)适于安全地将所述会话密钥(K)从所述第一密码装置(120)提供给所述第一网络元件(NEa),并且所述会话密钥拷贝提供装置(22)适于安全地将所述会话密钥(K)的所述拷贝从所述第二密码装置(220)提供给所述第二网络元件(NEb)。
16.根据权利要求13到15的任意一项所述的系统,其中所述新鲜标记(FRESH)包括随机询问(RAND)并且所述第一密码装置(120)包括用于基于所述共享的秘密密钥(KAB)和所述随机询问(RAND)产生预期响应(XRES)的装置(34)并且所述第二密码装置(220)包括用于基于所述共享的秘密密钥(KAB)和所述随机询问(RAND)产生响应(RES)的装置(34),所述第一网域(100)包括用于将所述预期响应(XRES)提供给所述第一网络元件(NEa)的装置(22)并且所述第二网域(200)包括用于将所述响应(RES)提供给所述第一网络元件(NEa)的装置(22),其中所述第一网络元件(NEa)包括用于基于在所述预期响应(XRES)和所述响应(RES)之间的比较来鉴权所述第二网络元件(NEb)的装置(16)。
17.根据权利要求16所述的系统,其中所述第一密码装置(120)包括用于产生所述随机询问(RAND)、所述预期响应(XRES)以及所述会话密钥(K)的鉴权和密钥协定(AKA)算法(30),并且所述第二密码装置(220)包括用于产生所述响应(RES)和所述会话密钥(K)的所述拷贝的AKA算法(30)。
18.根据权利要求13到17的任意一项所述的系统,其中所述第一密码装置(120)是在所述第一网域(100)的网络节点中提供的鉴权、授权和记帐(AAA)服务器,并且所述第二密码装置(220)是在所述第二网域(200)的网络节点中提供的AAA服务器。
19.根据权利要求13到18的任意一项所述的系统,还包括带有第三密码装置(320)和至少一个第三网络元件(NEC1、NEC2、NEC3)的第三网域(300),所述第一网域(100)和所述第三网域(300)共享第二秘密密钥(KAC)。
20.根据权利要求13到19的任意一项所述的系统,其中所述第一网域(100)由第一通信网络运营商管理并且所述第二网域(200)由第二不同的通信网络运营商管理。
21.根据权利要求13到20的任意一项所述的系统,还包括用于间歇地将所述共享秘密(KAB)替换成新的共享秘密的装置(36),所述共享秘密替换装置(36)适于基于使用所述共享秘密(KAB)、在所述第一网域(100)和所述第二网域(200)之间的密钥协定,而替换所述共享秘密(KAB)。
22.一种网域(100)包括-第一网络元件(NEa),适于与外部网域(200)的第二网络元件(NEb)通信,所述网域(100)和所述外部网域(200)共享秘密密钥(KAB);-用于产生新鲜标记(FRESH)以及用于基于所述共享的秘密密钥(KAB)以及所述产生的新鲜标记(FRESH)来产生会话密钥(K)的密码装置(20);-用于将所述会话密钥(K)从所述密码装置(20)提供给所述第一网络元件(NEa)的装置(22);以及-用于将所述新鲜标记(FRESH)提供给所述外部网域(200)的装置(22),其中所述外部网域(200)包括用于基于所述共享的秘密密钥(KAB)以及所述提供的新鲜标记(FRESH)为所述第二网络元件(NEb)产生所述会话密钥(K)的拷贝的装置(20)。
23.根据权利要求22所述的网域,其中所述会话密钥提供装置(22)适于安全地将所述会话密钥(K)从所述密码装置(20)提供给所述第一网络元件(NEa)。
24.根据权利要求22或23所述的网域,其中所述新鲜标记(FRESH)包括随机询问(RAND)并且所述密码装置(20)包括用于基于所述共享的秘密密钥(KAB)和所述随机询问(RAND)产生预期响应(XRES)的装置(34)并且所述外部网域(200)包括用于基于所述共享的秘密密钥(KAB)和所述随机询问(RAND)产生响应(RES)的装置(34),所述网域(100)包括用于将所述预期响应(XRES)提供给所述第一网络元件(NEa)的装置(22)并且所述外部网域(200)包括用于将所述响应(RES)提供给所述第一网络元件(NEa)的装置(22),其中所述第一网络元件(NEa)包括用于基于在所述预期响应(XRES)和所述响应(RES)之间的比较来鉴权所述第二网络元件(NEb)的装置(16)。
25.根据权利要求22到24的任意一项所述的网域,其中所述密码装置(20)是在所述网域(100)的网络节点中提供的鉴权、授权和记帐(AAA)服务器。
26.一种网域(200)包括-第一网络元件(NEb),适于与外部网域(100)的第二网络元件(NEa)通信,所述网域(200)和所述外部网域(100)共享秘密密钥(KAB);-用于基于所述共享的秘密密钥(KAB)以及从所述外部网域(100)提供的新鲜标记(FRESH)来产生会话密钥(K)的密码装置(20);以及-用于将所述会话密钥(K)从所述密码装置(20)提供给所述第一网络元件(NEb)的装置(22),其中所述外部网域(100)包括用于产生所述新鲜标记(FRESH)以及用于基于所述共享的秘密密钥(KAB)以及所述产生的新鲜标记(FRESH)为所述第二网络元件(NEa)产生所述会话密钥(K)的拷贝的装置(20)。
27.根据权利要求26所述的网域,其中所述会话密钥提供装置(22)适于安全地将所述会话密钥(K)从所述密码装置(20)提供给所述第一网络元件(NEb)。
28.根据权利要求26或27所述的网域,其中所述新鲜标记(FRESH)包括随机询问(RAND)并且所述密码装置(20)包括用于基于所述共享的秘密密钥(KAB)和所述随机询问(RAND)产生响应(RES)的装置(34)并且所述外部网域(100)包括用于基于所述共享的秘密密钥(KAB)和所述随机询问(RAND)产生预期响应(XRES)的装置(34)以及用于将所述预期响应(XRES)提供给所述第二网络元件(NEa)的装置(22),所述网域(200)包括用于将所述响应(RES)提供给所述第二网络元件(NEa)的装置(22),其中所述响应(RES)和所述预期响应(XRES)使能所述第二网络元件(NEa)鉴权所述第一网络元件(NEb)。
29.根据权利要求26到28的任意一项所述的网域,其中所述密码装置(20)是在所述网域(200)的网络节点中提供的鉴权、授权和记帐(AAA)服务器。
全文摘要
本发明提供了在属于不同网域(NDa、NDb)的两个网络元件(NEa、NEb)之间共享的秘密会话密钥的建立。第一网域(NDa)的第一网络元件(NEa)从关联的密钥管理中心(KMC)(AAAa)请求安全参数。刚一接收到请求,KMC(AAAa)就产生新鲜标记(FRESH)并且基于这个标记(FRESH)和与第二网域(NDb)共享的主密钥(KAB)来计算会话密钥(K)。安全参数被(安全地)提供给网络元件(NEa),其提取会话密钥(K)并且通过第二网络元件(NEb)将新鲜标记(FRESH)转发给第二域(NDb)的KMC(AAAb)。基于标记(FRESH)和共享的主密钥(KAB),KMC(AAAb)产生会话密钥(K)的拷贝,其被(安全地)提供给第二网络元件(NEb)。现在两个网络元件(NEa、NEb)已经共享会话密钥(K),以使它们能彼此安全地通信。
文档编号H04L9/08GK1914848SQ200480041617
公开日2007年2月14日 申请日期2004年2月11日 优先权日2004年2月11日
发明者R·布洛姆, M·纳斯隆德, E·卡拉拉, F·林霍尔姆, K·诺尔曼 申请人:艾利森电话股份有限公司