专利名称:密钥材料的交换的制作方法
技术领域:
本发明涉及具体地在通信网中的密钥材料(key material)的管理。
缩写表
AAALAAA本地
ACS接入控制服务器
AP接入点
CT上下文传送
KDC密钥分布中心
ME移动设备
MT移动终端
SA保密机关
SK会话密钥
UE用户设备
背景技术:
通信系统是使在诸如用户终端设备那样的两个或多个实体和/或 网络实体和与通信系统相关的其它节点之间能够进行通信的设施。通
信可包括例如话音、电子邮件(email)、文本消息、数据、多媒体等等 的通信。
通信可以由固定线路和/或无线通信接口提供。无线通信系统的特 点在于,它们为系统的用户提供移动性。提供无线通信的通信系统的 例子是公共地面移动网(PLMN)。固定线路系统的例子是公共交换电话 网(PSTN)。
蜂窝电信系统是基于无线接入实体和/或无线服务区域的使用的通信系统。接入实体典型地被称为小区。蜂窝电信标准的例子包括诸
如GSM(全球移动通信系统)、GPRS(通用分组无线服务)、AMPS(美国 移动电话系统)、DAMPS(数字AMPS)、 WCDMA(宽带码分多址)、 UMTS(通用移动电信系统)、和CDMA 2000(码分多址2000)那样的标准。
无线L AN(WL AN)技术的到来促使使用WL AN技术作为无线通信 网的基础或它的一部分。例如,WLAN网络可以按照某些当前的规划 用作为蜂窝通信系统的接入网。已知的基于WLAN的设计典型地使用 从固定的IPv4或IPv6网络获知的解决方案或被修改为适合于无线运行 的实际要求。类似地,已规划使用许多其它类型的、到本地接入节点 的本地连接,诸如蓝牙、红外、或甚至电缆连接。因此,移动终端能 够按照网络和连接模式的本地可利用性,通过诸如固定线路、短距离 无线电链路或红外链路或中长距离的无线电链路那样的多种物理连接 很好地连接到通信网。
当前,对于在移动终端与接入节点之间的连接安排安全性是非常 感兴趣的领域。已经提出各种不同的解决方案,但在现有技术中仍旧 有许多剩余的问题。
例如,众所周知,把一个会话密钥分布到多个接入节点和移动终 端。这种解决方案具有缺点,如果这些接入节点之一的安全性被突破, 则攻击者有可能能够通过使用从突破的接入节点得到的会话密钥破坏 在移动终端与通信系统之间的通信的安全性。
某些已知的解决方案的一个缺点在于,需要通信网的安全节点参 加切换过程,以便提供会话密钥给移动终端和该移动终端试图连接到 的接入节点。这产生安全节点需要能够快速应答以免减慢切换过程的 要求。因为密钥的生成可能是处理器密集的,特别是需要高安全级别 时,所以这个要求可能是沉重的负担。在其中有大量移动终端和接入 节点的环境下,由于频繁的切换,这个要求可能是特别沉重的。需要 一种不需要安全节点参加到切换过程的解决方案。
一个用于提供会话密钥给移动终端和接入节点的已知的解决方案是让安全节点发送会话密钥到移动终端,然后它把会话密钥提供到接
入节点,如果需要的话。这具有如下缺点移动终端需要存储会话密 钥,并把它们传送到接入节点,这增加贮存和信令要求。
在接入节点之间安排鉴权也是一个问题。 一个已知的解决方案是 在接入节点之间安排预先共享的密钥,接入节点需要互相通信,和例 如使用IPSec技术来保证连接的安全性和鉴权该连接。这样的解决方案 具有缺点这些预先共享的密钥需要安装到接入节点,它们增加复杂 性和信令。
用于导出在通信方之间的密码分开的会话密钥的非对称密码 (cryptography)的使用也是已知的。例如,如果移动终端和接入节 点二者具有公共和秘密密钥对,则它们可以根据它们的密钥对协商会
话密钥。这样的协商和密钥导出过程对于具有低的处理能力的设备是 沉重的。需要一种提供用于在移动终端和接入节点之间的通信的密码 分开的会话密钥而在切换过程期间不用同步的非对称密钥导出和在切 换过程期间不用与安全节点的同步信令的解决方案。
在切换过程期间,即其中移动终端把正在进行的连接从一个接入 节点转移到另 一个接入节点的过程,与正在进行的通信会话相关的信 息的交换需要被安排在两个接入节点之间。这个信息常常被称为会话 上下文。这种信息交换应当被加密和整体性保护,以防止被恶意的或 欺骗的接入节点窃听和攻击。为此,接入节点需要用于加密和解密会 话上下文数据和相关的信令的密钥。 一个可能的解决方案是建立在预 期需要互相之间进行通信的每对接入节点之间的安全关联,但是如果 接入节点数目是大的话,这可能是沉重的管理负担。
发明内容
本发明的实施例的目的是克服一个或几个以上的问题。 按照本发明的一方面,提供了用于通信网的移动终端的方法。该 方法包括以下步骤接收来自安全节点的密钥,至少根据密钥导出会 话密钥,以及用会话密钥加密消息的至少一部分以发送消息到接入节可以部分根据从接入节点接收的信息被执行会话密钥的导出。 按照本发明的第二方面,提供了用于通信网的接入节点的方法。该方法至少包括以下步骤接收会话上下文信息,从接收的会话上下 文信息中提取会话密钥,用与在通信网的接入节点与安全节点之间的 安全关联相关的密钥解密会话密钥,以及用会话密钥加密消息的至少 一部分以发送消息到移动终端。该方法还可包括如下步骤接收公共会话保护密钥,用与在通信 网的接入节点与安全节点之间的安全关联相关的密钥解密公共会话保 护密钥,以及用公共会话保护密钥解密从另 一个接入节点接收的消息 的至少一部分。该方法还可包括如下步骤用会话密钥解密接入节点会话密钥, 以及用解密的接入节点会话密钥解密从另 一个接入节点接收的另 一个 消息的至少一部分。按照本发明的第三方面,提供了用于通信网的安全网络单元的方 法。方法包括以下步骤建立与第一接入节点的第一安全关联,建立 与第二接入节点的第二安全关联,生成用于在第一接入节点与移动终 端之间的通信的第一会话密钥,生成用于在第二接入节点与移动终端 之间的通信的第二会话密钥,以及用与第一安全关联相关的密钥加密 第一会话密钥,用与第二安全关联相关的密钥加密第二会话密钥,以 及把第一和第二密钥发送到第一接入节点。该方法还可包括如下步骤生成与移动终端相关的公共会话保护 密钥,用与第一安全关联相关的密钥加密公共会话保护密钥以产生第 一加密的公共会话保护密钥,用与第二安全关联相关的密钥加密公共 会话保护密钥以产生第二加密的公共会话保护密钥,以及把第一加密 的公共会话保护密钥发送到第 一接入节点。第二加密的公共会话保护密钥可以由安全节点发送到第一接入节 点,或例如到第二接入节点。按照本发明的第四方面,提供了用于通信网的移动终端。移动终端至少包括用于接收来自安全节点的密钥的装置,用于至少根据密钥 导出会话密钥的装置,以及用于用所导出的会话密钥加密消息的至少 一部分以发送消息到接入节点的装置。用于导出会话密钥的装置可被配置成至少部分根据从接入节点接 收的信息导出会话密钥。有利地,这些装置可以通过使用在移动终端的处理器上执行的软 件程序代码装置被实施。按照本发明的另一个方面,提供了用于通信网的接入节点。接入 节点包括用于接收会话上下文信息的装置、用于从接收的会话上下文 信息中提取会话密钥的装置、用于用与在通信网的接入节点与安全节 点之间的安全关联相关的密钥解密会话密钥的装置、以及用于用会话 密钥加密消息的至少一部分以发送消息到移动终端的装置。接入节点还可包括用于接收加密的公共会话保护密钥的装置、用 于用与在通信网的接入节点与安全节点之间的安全关联相关的密钥解 密接收的公共会话保护密钥的装置,以及用于用解密的公共会话保护 密钥解密从另一个接入节点接收的至少一部分消息的装置。接入节点还可包括用于用与接入节点与移动终端相关的会话密钥 解密接收的公共会话保护密钥的装置。有利地,这些装置可以通过使用在接入节点的处理器上执行的软 件程序代码装置被实施。按照本发明的再一方面,提供了用于通信网的安全节点。安全节点至少包括用于建立与接入节点的安全关联的装置、用于生成用于 在接入节点与移动终端之间的通信的会话密钥的装置、用于用与所建 立的与接入节点的安全关联相关的密钥加密生成的会话密钥的装置、 以及用于把加密的会话密钥发送到接入节点的装置。安全节点还可包括用于生成与移动终端相关的公共会话保护密钥 的装置、用于用与安全关联相关的密钥加密所生成的公共会话保护密 钥的装置、以及用于把加密的公共会话保护密钥发送到接入节点的装 置。有利地,这些装置可以通过使用在安全节点的处理器上执行的软 件程序代码装置被实施。按照本发明的又一方面,提供了用于在通信网中在第一接入节点与第二接入节点之间进行切换的方法。该方法至少包括以下步骤由 第二接入节点接收来自移动终端的切换请求,由第二接入节点发送会 话上下文请求到第一接入节点,把会话上下文信息从第一接入节点发 送到第二接入节点,由第二接入节点从接收的会话上下文信息中提取 加密的会话密钥,用与在通信网的第二接入节点与安全节点之间的安 全关联相关的密钥解密加密的会话密钥,用解密的会话密钥加密至少 一部分消息以发送消息到移动终端,以及把消息发送到移动终端。本发明还提供用于移动终端的软件程序产品。该软件程序产品包 括用于实行覆盖用于移动终端的方法的独立方法权利要求的步骤的计 算机软件代码装置。本发明还提供用于接入节点的软件程序产品。该软件程序产品包 括用于实行覆盖用于接入节点的方法的独立方法权利要求的步骤的计 算机软件代码装置。本发明还提供用于安全节点的软件程序产品。该软件程序产品包 括用于实行覆盖安全节点的独立方法权利要求的步骤的计算机软件代 码装置。这些软件程序产品以不同的方式被提供,诸如软件源代码或汇编 的目标代码或可执行的代码。软件程序产品可以被提供在诸如在磁盘 或光盘那样的不同类型的媒体上,或在诸如快闪存储器那样的固态存 储器中。
现在通过参考附图,作为例子描述本发明的实施例,其中 图l显示安全节点、接入节点、和移动终端,以及 图2显示按照本发明的实施例的、在移动终端、接入节点与安全节 点之间的信令。
具体实施方式
图l显示网络结构的例子作为本发明的各种实施例的说明基础。图1显示通信网100,具有安全节点30和多个接入节点20,以及与通信网 100的接入节点20通信的移动终端10。在图l上,在移动终端与接入节 点之间的通信作为例子被显示为无线通信。通信网1 OO还包括许多其它 节点,以及可以被连接到一个或多个另外的网络(诸如核心网络或其它 类型的通信网),但为了简明起见,这样的其它节点和网络在图l上未 示出。安全节点可以是分开的节点,或是还包括其它功能的节点的一 部分。网络可包括一个以上的安全节点。通信网可以利用连接到移动 终端的无线或固定连接。通信网可以利用连接到移动终端的许多不同 类型的无线连接,诸如WLAN、蓝牙、GSM、或CDMA连接,或例如 遵循3GPP标准的连接。以下的说明描述由安全节点、接入节点和移动终端执行的密钥导 出和信令。安全节点是创建用于通信的密钥的通信网络节点,并且也 可以包括其它功能。在用于无线通信网的某些技术规范中,安全节点 的功能可以是密钥分布中心(KDC)的功能的一部分。接入节点可以是 无线接入点、基站、或例如是可以由移动终端通过有线连接接入到的 接入路由器。移动终端可以是蜂窝电话、WLAN(无线局域网)终端、 有线终端、或例如是具有许多这些能力的组合设备。下面,我们描述按照本发明的实施例,在切换过程期间会话密钥 材料的生成和传输。在本说明中,假设移动终端和安全节点以前已建 立安全关联(SA—MT)。根据这个安全关联,它们共享密钥,该密钥在 下面称为RK(根密钥)。还假设安全节点以前已建立与多个接入节点 (AP1, AP2,…APn)的安全关联(SA—AP1,SA—AP2,…SA—APn)。在安全 节点与移动终端之间的安全关联以及在安全节点与接入节点之间的安 全关联可以是基于对称或非对称密码密钥。安全节点从用于一定的数目的接入节点(APl,…,APn)的根密钥用 预定的密钥导出函数(KDF)导出会话密钥(SK—AP1, ..., SK—APn)。加密步骤还可包括执行用于所创建的材料的整体性保护的附加步骤。然后,每个会话密钥SK^APi用与相应的SA—APi相关的密钥被加密(或可 选地,还保护整体性),并以如下方式对其命名至少相应的接入节点 APi可以识别它。安全节点把这个材料发送到正在与移动终端通信的当前的接入节 点。用SA—APi密钥加密的会话密钥被存储在当前的接入节点上(例如, 在会话上下文信息结构SC^AP中)。'当移动终端执行从第 一接入节点APx到第二接入节点APy的切换 时,与通信会话相关的信息,即会话上下文SC—AP,从第一接入节点 APx被发送到第二接入节点APy。第二接入节点APy从该信息(会话上 下文)中找到会话密钥(SK),该会话密钥是用与在APy与安全节点之间 的安全关联SA—APy相关的密钥对它进行加密的,并解密该会话密钥。 移动终端知道第二接入节点APy的识别号(identity)以及通过使用同一 个预定的函数和根密钥作为安全节点导出会话密钥(SK一APy)。这个导 出可以是基于例如根密钥,至少第二接入节点APy的识别号信息的一 部分,和在移动终端与接入节点APy之间交换的信息(该信息例如可包 括特殊部分(nonce))。移动终端和第二接入节点APy现在具有会话密钥 SK,该会话密钥SK是与在移动终端与第 一接入节点APx之间的通信中 使用的会话密钥密码分开的。接入节点APy和移动终端还可以根据会 话密钥SK导出多个密钥。如果第二接入节点APy不能在由第 一接入节点APx发送的材料中 找到为其导出的会话密钥,则它可以从安全节点请求新的会话上下文 材料,然后该安全节点导出新的会话上下文,并把它发送到笫二接入 节点APy。在另一个实施例中,第一接入节点APx在观察到当前的会 话上下文没有包含用于相邻的接入节点一诸如第二接入节点APy—的 会话密钥时,可以从安全节点请求新的会话上下文材料。如果接入节 点APx知道相邻的接入节点的识别号的话,这是可能的。这样的对于 新的会话上下文材料的早先的请求,在移动终端实际上以后正巧执行 到第二接入节点APy的切换的情形下,将最小化时间和信令。在本发明的另一个实施例中,用于接入节点的会话密钥被生成, 而不用参考根密钥。会话密钥可以有利地是密码分开的密钥。安全节 点可以以许多不同的方式生成密钥,以及本发明不限于任何具体的方 式,原因在于本领域技术人员可以容易地设计出生成密钥的不同方式。 在本实施例中,会话密钥由安全节点发送到移动终端。会话密钥可以 有利地由安全节点使用与在安全节点与移动终端之间的安全关联(SA—MT)相关的密钥而被加密。在本实施例中,移动终端不导出与第 二接入节点APy—起使用的会话密钥,而是从由安全节点发送的信息 中提取会话密钥。移动终端可以根据第二接入节点APy的识别号信息 从多个密钥中提取正确的密钥。在移动终端知道会话上下文包含用于哪些接入节点的密钥的情形 下(例如,在会话密钥在安全节点中被导出和被发送到移动终端的情形 下),它知道哪些接入节点具有用于与它进行通信的会话密钥。在MT 联系不具有用于与移动终端通信的会话密钥的接入节点APz的情形 下,移动终端可以把该情形通知安全节点,此后安全节点可以为移动 终端和接入节点APz创建新的会话上下文材料,并把新的会话上下文 材料发送给它们。在本发明的再一个实施例中,安全节点把对于会话密钥的导出所 需要的信息发送到移动终端。这个信息通过使用与在安全节点与移动 终端之间的安全关联(SA—MT)相关的密钥被有利地加密。信息可包括 例如要素数值(salt value),或任何其它信息。如果在建立在安全节点 与移动终端之间的安全关联期间没有协商或传送这样的根密钥的话, 信息还可包括用于导出会话密钥的根密钥。在再一个实施例中,对于会话密钥的导出所需要的信息可包括要 为其导出密钥的每个接入节点的接入节点特定的特殊部分,会话密钥 的导出限于该特殊部分。该特殊部分可以短于具有适当的安全级别的 会话密钥,由此用于相应的会话密钥的导出的特殊部分一而不是会话 密钥本身一的传输减少了所需要的贮存和信令的量。在本发明的实施例中,接入节点可以把在会话密钥导出时使用的信息发送到移动终端。例如,这样的信息可以是特殊部分。有利地,在会话上下文中的、意欲由特定的接入节点使用的加密 的密钥是与该接入节点的识别号相关的。这个标识允许接入节点从会 话上下文信息中找出和提取它所需要的密钥信息。在接入节点没有在 单个消息中发送所有的上下文信息的情形下,这个标识还允许该接入 节点选择哪个密钥信息首先被发送到第二接入节点。在本发明的实施例中,密钥不与接入节点识别号相关联,但可以 通过它们在会话上下文信息中的排序而与多个接入节点的每个相关 联。这种排序例如可以是基于接入节点识别号的数字或字母排序,或 某些其它预定的排序方案。在本发明的再一个实施例中,在每个接入节点与安全节点之间的 信任关系被使用来保护和验证在接入节点之间的通信。在本实施例中, 安全节点为移动终端创建公共会话保护密钥,并把该公共会话保护密 钥发送到多个接入节点。有利地,安全节点在传输之前加密公共会话保护密钥。有利地,安全节点使用用于在移动终端与接入节点APn之 间的通信的会话密钥SK—APn ,来加密被发送到APn的公共会话保护密 钥的拷贝,这样,仅仅该接入节点APn能够解密该公共会话保护密钥。 这个公共会话保护密钥可被使用来签名和/或加密与在两个接入节点 之间交换会话上下文信息相关的会话上下文信息和/或消息的至少一 个部分。然后每个接入节点可以通过使用公共会话保护密钥解密和/ 或检验接收的会话上下文信息和/或消息的签名。安全节点可以把例如 在会话上下文中的公共会话保护密钥的加密的拷贝传送到一个接入节 点,在该情形下,公共会话保护密钥的加密的拷贝连同会话上下文信 息的其余部分一起传播到其它接入节点。安全节点也可以把公共会话 保护密钥的每个加密的拷贝直接传送到相应的接入节点。本实施例具有优点不需要保持和管理在接入节点之间的分开的 安全关联,这是因为在接入节点之间的鉴权重用了在安全节点与接入 节点之间的安全关联。在其中会话密钥SK—APn被使用来加密公共会 话保护密钥的这样的情形下,有附加的优点,即,会话上下文受限于移动终端和接入节点APn二者。在需要由安全节点为其生成会话密钥的接入节点的数目是大的情 形下,在会话上下文中的信息量可以是大的。在本发明的另一个实施 例中,安全节点可以指定会话密钥给一个以上的接入节点。这具有安 全级别稍微降低的缺点,但具有会话上下文尺寸是较小的优点。本发 明不限于分配会话密钥给一个以上的接入节点的任何特定的方式。这 种分配例如可以以随机方式或按照预定的算法完成。在本发明的实施例中,通过使安全节点创建用于在接入节点与它 的相邻接入节点的每一个之间的成对通信的密钥,并使用这些密钥用 于保护通信而保护在两个接入节点之间的通信。本实施例提供比起以 前描述的、使用公共会话保护密钥的实施.例更高的安全级别。在本实 施例中,安全节点准备用于在接入节点与多个它的相邻接入节点的每 一个之间的通信的接入节点会话密钥。例如,如果接入节点AP1具有 两个接近的邻居,AP2和AP3,则安全节点可以准备一个接入节点会 话密钥(SK—API—AP2)用于保护在AP1和AP2之间的通信,以及另 一个 接入节点会话密钥(SK一AP 1_AP3)用于保护在AP1和AP3之间的通 信。安全节点然后优选地用与在安全节点和接入节点AP1之间的安全 关联相关的密钥加密这些接入节点会话密钥以传送到接入节点AP1。 有利地,安全节点也可以用接入节点AP1为了与移动终端通信而需要 的会话密钥SK—MT—AP1加密这些密钥。这个第二加密也将密钥与移 动终端的识别号结合在一起。在再一个实施例中,安全节点创建这样的成对密钥,用于由每个 相关的接入节点进行的解密。继续讨论前一段落中的前一例子,在本 实施例中的安全节点创建接入节点会话密钥SK—AP2一AP1用于保护在 AP2与AP1之间的通信,和创建接入节点会话密钥SK^AP2一AP3用于保 护在AP2与AP3之间的通信,并用与在安全节点和接入节点AP2之间的 安全关联相关的密钥加密这两个接入节点会话密钥以传输到接入节点 AP2。可选地,安全节点也可以用接入节点AP2为了与移动终端通信 而需要的会话密钥SK^MT—AP2加密这些密钥。而且,在本例中,安全节点对于AP3执行同样的操作,即,生成接入节点会话密钥 SK—AP32—AP1和SK—AP3—AP2,并且以相同的方式加密它们。有利地, 安全节点把这个加密的密钥材料插入在当前的会话上下文中,然后密 钥在其中传播到需要它们的接入节点。安全节点为其创建所有这些密 钥的接入节点的数目和识别号是取决于特定网络的结构和所涉及的网 络节点的处理和贮存能力的实施细节。因此,本发明不限于为其产生 这些密钥的接入节点的任何特定的数目。图2显示按照本发明的实施例的信令。图2显示在移动终端 (MT)IO、第一接入节点(AP1)20、第二接入节点(AP2)20,、和安全节点 (SN)30之间的信令。在步骤201,安全节点生成用于在移动终端与接入节点之间的通信 的会话密钥,即,用于在移动终端与第一接入节点AP1之间的通信的 一个密钥SK—MT—AP l,和用于在移动终端与第二接入节点AP2之间的 通信的一个密钥SK^MT—AP2。安全节点还加密所创建的密钥,以使 得每个会话密钥只能由所想要的接收者接入节点解密。这例如是如在 本说明书中在前面描述的那样,通过使用与在安全节点和第一接入节 点AP1之间的安全关联相关的密钥加密SK一MT—AP1和使用与在安全 节点和第二接入节点AP2之间的安全关联相关的密钥加密 SK—MT—AP2而完成。安全节点把加密的密钥插入在会话上下文信息 中以传输到第一接入节点AP1。如在本说明书中在前面描述的那样, 安全节点还可以生成和加密诸如用于保护在接入节点之间的通信的密 钥那样的其它密钥,并把它包括在上下文信息中。在步骤202,安全节点把会话上下文信息发送到第一接入节点。步 骤201和202可以在切换变为必须之前,即在任何切换动作恰好开始之 前的相当长的时间内发生。可以以许多不同的方式执行切换过程。图2仅仅显示一个例子,其 中切换由当前工作的接入节点根据由移动终端发送的测量报告命令进 行切换。然而,诸如本领域技术人员知道的,切换可以以许多其它方 式被触发,并且与切换相关的信令可以以许多不同的方式进行。在步骤205,移动终端发送相关接收的、相邻的接入节点的信号电 平的测量报告到第一接入节点AP1。结果,在步骤210,第一接入节点 发送用于发起切换的命令到移动终端。在步骤215,移动终端把确认消 息发回到第一接入节点,以便表示移动终端已接收到切换命令和正在 发起切换。在步骤220,移动终端例如以在本说明书中在前面描述的那样的方 式之一导出用于与第二接入节点通信的会话密钥SK_MT_AP2。在本 发明的其它实施例中,移动终端可以以不同的方式一例如通过从由安 全节点以前发送给它的信息中提取会话密钥 一 进行的。在步骤225,移动终端把对于切换的请求发送到第二接入节点 AP2。移动终端用会话密钥SK^MT—AP2签名和/或加密请求消息的至 少一部分,以便保护通信。在本例中,移动终端还用会话密钥 SK—MT—AP1签名和/或加密请求消息的至少 一部分,以便保护通信。在步骤235 ,第二接入节点AP2把对于上下文信息的请求发送到第 一接入节点AP1。在这个请求中,第二接入节点可以转发在步骤225从 移动终端接收的、签名和/或加密的信息。这样的信息可包括例如AP1、 AP2和移动终端的识别号以及其它信息段,并且第一接入节点可以通 过在步骤240检验签名和/或解密信息而验证该请求是从来自移动终端 的切换请求得到的合法请求。在步骤245,第 一接入节点把会话上下文(包括相关AP2的信息的、 该会话上下文的至少一部分)发送到第二接入节点AP2。在步骤250, 第二接入节点例如通过使用如在前面描述的公共会话保护密钥检验该 消息是有效的。在步骤250,第二接入节点AP2还从接收的上下文信息 中提取会话密钥SK—MT—AP2,并如前面描述的那样解密该密钥。首先仅仅把一部分会话上下文发送到AP2 ,即与AP2有关的那部 分会话上下文,然后以后再发送会话上下文信息的其余部分,具有优 点AP2可以快速地处理会话上下文的有关部分,和继续快速处理分 组业务,而不再会使接收和处理会话上下文信息的其余部分延迟这些 活动的继续进行。在步骤252,第二接入节点AP2解密和/或检验在步骤225从移动终 端接收的信息的签名,这些信息至少部分是用会话密钥SK—MT_AP2 加密和/或签名的。在步骤255,第二接入节点把关于已接收到会话上下文的确认发送 到第一接入节点。在步骤260,第二接入节点把用SK—MT—AP2密钥签名和/或加密的 切换确认发送到移动终端。此后,移动终端可以继续与第二接入节点 通信,以及如果在第一接入节点处有任何等待发送到移动终端的緩存 的数据,则第一接入节点可以把这些数据发送到第二接入节点,然后 第二接入节点把它们转发到移动终端。在步骤270,移动终端加密和/或检验切换确认消息的签名。本发明具有许多优点。例如,本发明提供用于在接入节点之间的 通信的密码分开的会话密钥,而不需要在移动终端从一个接入节点到 另一个接入节点的切换期间与安全节点同步地通信。而且,不需要进 行非对称密码操作来在切换期间创建密码分开的会话密钥。因为安全节点不需要牵涉到切换,所以由于对于安全节点的性能 没有严格的实时要求而使得系统变为更加可缩放。本发明还具有优点,移动终端不必发送会话密钥到接入节点,因 此减少信令。本发明还减少在切换期间的信令量,这是因为在大多数 情形下,在切换期间不需要专用于密钥导出的信令。本发明的实施例还允许接入节点鉴权接入节点,而不需要在接入 节点之间建立安全关联,或不需要把接入节点专用证书或密钥安装在 接入节点中以进行在接入节点之间的鉴权。本发明还去除在切换之前把会话密钥分布到多个接入节点的需 要。接入节点在发送会话上下文信息时仅仅在需要时才接收会话密钥。在其中用于在移动终端和接入节点之间通信的会话密钥从根密钥 (RK)得出的实施例中,移动终端不需要存储这些会话密钥,因此节省 贮存空间。另 一 个优点是,本发明使得源接入节点能够在多个分组中发送会话上下文。这在接入节点之间的传输路径的MTU(最大传输单元)小于 包括整个会话上下文的单个分组的最终的尺寸的情形下是大的优点。 再一个优点是,源AP也可以选择首先只发送相关目标AP的条目,而 不是整个会话上下文。这里还应当指出,虽然以上描述了本发明的示例性实施例,但可 以对于所公开的解决方案作出数种变体和修改,而不背离如在所附权 利要求中规定的本发明的范围。
权利要求
1.一种用于通信网的移动终端的方法,所述方法包括以下步骤接收来自安全节点的密钥;至少根据该密钥导出会话密钥;以及用该会话密钥加密消息的至少一部分以将该消息发送到接入节点。
2. 按照权利要求l的方法,其中所述会话密钥的导出是部分根据 从接入节点接收的信息执行的。
3. —种用于通信网的接入节点的方法,所述方法至少包括以下步骤接收会话上下文信息;从该会话上下文信息中提取会话密钥;用与在通信网的接入节点与安全节点之间的安全关联相关的密钥 解密该会话密钥;以及用该会话密钥加密消息的至少 一部分以将该消息发送到移动终。
4. 按照权利要求3的方法,还包括以下步骤 接收^^共会话保护密钥;用与在该通信网的该接入节点与该安全节点之间的安全关联相关 的该密钥解密该公共会话保护密钥;以及用该公共会话保护密钥解密从另一个接入节点接收的另一个消息 的至少一部分。
5. 按照权利要求3的方法,还包括以下步骤 用该会话密钥解密接入节点会话密钥;以及 用解密的接入节点会话密钥解密从另一个接入节点接收的另一个消息的至少一部分。
6. —种用于通信网的安全网络单元的方法,所述方法包括以下步膿.建立与第 一接入节点的第 一安全关联; 建立与第二接入节点的第二安全关联;生成用于在该第 一接入节点与移动终端之间的通信的第 一会话密钥;生成用于在该第二接入节点与该移动终端之间的通信的第二会话 密钥;用与该第一安全关联相关的第一密钥加密该第一会话密钥; 用与该第二安全关联相关的第二密钥加密该第二会话密钥;以及把该第一和第二密钥发送到该第一接入节点。
7. 按照权利要求6的方法,还包括以下步骤 生成与移动终端相关的公共会话保护密钥; 用与该第一安全关联相关的第一密钥加密该公共会话保护密钥以产生第一加密的公共会话保护密钥;用与该第二安全关联相关的第二密钥加密该公共会话保护密钥以 产生第二加密的公共会话保护密钥;以及把该第一加密的公共会话保护密钥发送到该第一接入节点。
8. 按照权利要求7的方法,还包括以下步骤把该第二加密的公共会话保护密钥发送到该第 一接入节点。
9. 按照权利要求7的方法,还包括以下步骤把该第二加密的公共会话保护密钥发送到该第二接入节点。
10. —种用于通信网的移动终端,所述移动终端包括 接收装置,用于接收来自安全节点的密钥; 导出装置,用于至少根据该密钥导出会话密钥;以及 加密装置,用于用该会话密钥加密消息的至少一部分以将消息发送到接入节点。
11. 按照权利要求10的移动终端,其中用于导出会话密钥的导出装置被配置成至少部分根据从该接入节 点接收的信息而导出该会话密钥。
12. —种用于通信网的接入节点,所述接入节点包括第一接收装置,用于接收会话上下文信息; 提取装置,用于从该会话上下文信息中提取会话密钥; 第一解密装置,用于用与在通信网的接入节点与安全节点之间的安全关联相关的密钥解密该会话密钥;以及加密装置,用于用该会话密钥加密消息的至少一部分以将该消息发送到移动终端。
13. 按照权利要求12的接入节点,还包括 第二接收装置,用于接收加密的公共会话保护密钥; 第二解密装置,用于用与在该通信网的该接入节点与该安全节点之间的安全关联相关的该密钥解密接收的公共会话保护密钥;以及第三解密装置,用于用解密的公共会话保护密钥解密从另一个接 入节点接收的消息的至少一部分。
14. 按照权利要求12的接入节点,还包括第二解密装置,用于用与该接入节点与该移动终端相关的另一个 会话密钥解密接收的公共会话保护密钥。
15. —种用于通信网的安全节点,所述安全节点包括 建立装置,用于建立与接入节点的安全关联; 第一生成装置,用于生成用于在该接入节点与移动终端之间的通信的会话密钥;第一加密装置,用于用与该接入节点的安全关联相关的密钥加密 该会话密钥;以及第一发送装置,用于把该会话密钥发送到该接入节点。
16. 按照权利要求15的安全节点,还包括第二生成装置,用于生成与该移动终端相关的公共会话保护密钥; 第二加密装置,用于用与安全关联相关的该密钥加密所生成的公 共会话保护密钥;以及第二发送装置,用于把加密的公共会话保护密钥发送到该接入节点。
17. —种用于在通信网中的第 一接入节点与第二接入节点之间进行切换的方法,所述方法包括以下步骤由第二接入节点接收来自移动终端的切换请求;由第二接入节点发送会话上下文请求到第 一接入节点;把会话上下文信息从该第 一接入节点发送到该第二接入节点;由该第二接入节点从该会话上下文信息中提取会话密钥;用与在该通信网的该第二接入节点与安全节点之间的安全关联相关的密钥解密该会话密钥;用该会话密钥加密消息的至少 一部分以将该消息发送到该移动终端;以及把该消息发送到该移动终端。
18. —种用于移动终端的软件程序产品,包括用于执行权利要求l 的各步骤的计算机软件代码装置。
19. 一种用于通信网的接入节点的软件程序产品,包括用于执行 权利要求3的各步骤的计算机软件代码装置。
20. —种用于通信网的安全节点的软件程序产品,包括用于执行 权利要求6的各步骤的计算机软件代码装置。
全文摘要
通信网管理密钥材料。一种方法生成会话密钥并把会话密钥从安全节点提供到接入节点,以便在切换过程期间进一步传播,而不需要安全节点参加到切换过程中。
文档编号H04LGK101228766SQ200680012486
公开日2008年7月23日 申请日期2006年4月10日 优先权日2005年4月15日
发明者但福博, 劳里·塔卡拉 申请人:斯比德航海有限公司