用于传递密钥信息的方法和设备的制作方法

专利名称：用于传递密钥信息的方法和设备的制作方法
技术领域：
本发明涉及一种用于传递密钥信息的方法和设备，并且具体地但尽 管不是必要的还涉及一种用于传递应用相关的密钥信息的方法及设 备。本发明具体地但尽管不是必要的适用于在通信系统中密钥信息的 分配，该通信系统包括方便用户设备无线接入的通用移动通信系统网 络。
背景技术：
第三代伙伴计划(3GPP)作为一个协作协议而成立，召集了若干标 准机构，目的是标准化全球适用的技术规范，用于基于演进的GSM核 心网络和无线接入技术通用陆地无线接入(UTRA)的第三代移动系统。
3GPP已经规定了称为认证和密钥协商(AKA)的协议，用于在通用移 动电信系统(UMTS)网络中执行认证和会话密钥分配。UMTS AKA在3GPP TS. 33. 102中进行规定并且是基于挑战-响应的机制，该机制使用了对 称加密技术。AKA通常运行在頭TS服务识别模块(USIM)中，该才莫块 位于智能卡类似设备上(以下称作通用集成电路卡或UICC),该设备 还提供了共享密钥的禁篡改存储。AKA在用户设备(UE-其中UE是指移 动台(MS)和USIM的结合体)向它的归属网络进行登记和重新登记时 运行。AKA可应用于2G网络(即GSM)，在这种情况下，UICC将#:提 供有USIM和用户识别模块(SIM)应用。此外，有可能下一代体系结 构(包括目前正在标准化的长期演进体系结构)将使用AKA或基于AKA 的安全协i义。
UMTS AKA的主要目标之一是提供保护用户设备(UE )和执行点(EP ) 之间的链路上的数据，其中接入政策在UMTS接入网络中实施。在电路 交换连接例如语音呼叫的情况中，这个EP将在无线网络控制器(RNC) 内，并且在分组交换连接的情况中，它将在服务网关支持节点(SGSN) 内。在GSM网络的情况下，EP将在基站收发站(BTS)中。在LTE网络 中，EP可以例如在用户层面实体(UPE)中，对于单个连接来说可能存 在多个EP。通过向接入网络传递密钥材料，AKA达到适当的安全水平，该密钥材料是使用在UE上的USIM和归属位置寄存器(HLR) /认证中 心(AuC)之间的共享密钥K生成的。使用IP多媒体子系统功能性增 强的HLR/AUC被称作归属用户服务器(HSS)。考虑分组交换接入网络，与AKA相关联的信令如图1中所示，其中 该过程由UE (USIM和ME的结合体)发起，UE向接入网络中的SGSN发 送附连请求(attach request) 。 SGSN然后从UE的归属网络中的HSS 请求认证矢量(AV)，归属网络进而又从认证中心(AuC)请求AV。虽 然图1仅示出了分组交换域，但是应当理解所访问的位置寄存器(VLR ) 将执行对应电路交换域中的SGSN功能的功能。其中在下面的讨论中称 作"SGSN",应当理解VLR将在电路交换域中提供相当的功能性。两个密钥产生于UMTS AKA运行，即密码本(CK)和完整密钥(IK )。 CK和IK在HSS上在HSS和UE的USIM之间共享的秘密的基础上产生， 以及随才几值RAND。通过应用适当的函数到共享秘密和随才几值，HSS也 产生预期的结果XRES。密钥，连同RAND值、XRES和认证令牌(AUTN ) 一起，由HSS发送到SGSN。 SGSN转发RAND和AUTN值到UE,在UE中 它们^皮传递到USIM。 SGSN还传送密钥CK和IK到SGSN中的扭j亍功能。 USIM认证HSS,并且因此使用AUTN值验证归属网络和EP之间的真实 关系。USIM还使用RAND值和共享的秘密产生密钥CK和IK。在密钥CK 和IK的基础上，可以在SGSN内的EP和UE之间建立安全隧道。这保 护了在接入网络尤其是空中接口上的通信。USIM还使用共享的秘密和 RAND值产生结果RES,并将它返回到SGSN。 SGSN比4支RES与XRES,如 果两者一致，则允许业务量流经安全隧道。提供特定应用(即服务)给UE,往往会要求该UE向应用服务器认证 并且要求在UE和应用服务器之间建立安全通道，通过安全通道可以进 行业务或者应用程序的传递。例如，我们可能想到移动TV业务的传递， 其中媒体应当仅被传递到已经订阅(并且支付)该业务的用户。3GPP技术规范TS 33. 220规定了所谓的通用引导架构(GBA ) 。 GBA 提供了一种机制，由此客户终端(UE)可以向网络认证功能(MF)即 服务节点或服务供应商认证-并且保护用于UE和NAF之间所得到的会 话密钥(Ks_NAF),保护会话密钥是基于在重新运行AKA程序期间得 到的密钥CK和IK (这个程序应当有别于在登记或重新登记UE时运行 的初始AKA过程)。引导服务器功能(BSF)被引入到UE的归属网络，并且AKA重新运行在UE和BSF之间。GBA体系结构的简单网络模型在图2的示意图中示出。当UE知道需 要引导程序时，它会使用HTTP分类AKA程序(RFC 3310)先执行引导 认证。密钥CK和IK将在UE和BSF之间达成一致(同样地，这些密钥 必须区别于在登记或重新登记时达成一致的并且用于保护无线电链路 的密钥)。BSF也向UE提供唯一的引导交易标识符(B-TID)。当UE 和MF希望从BSF获取会话密钥时，UE向NAF传递B-TID，而NAF然 后转发B-TID给BSF。 B-TID包含其中BSF识别UE并得到适当NAF特 定密钥Us-NAF)所使用的标记。MF特定密钥然后被转发给NAF。密 钥材料的寿命根据BSF的本地政策而设定。AKA和GBA都可以被使用来提供安全性给那些所谓的IP多媒体核心 网子系统(IMS)并且在IMS中。IMS是由第三代伙伴计划(3GPP)规 定的技术，用来通过移动通信网络提供IP多媒体业务(3GPP TS 22. 228, TS 23. 228, TS 24. 229, TS 29. 228, TS 29, 229, TS 29. 328和TS 29. 329 版本5和版本6) 。 IMS提供密钥特征来通过业务的综合和互动来丰富 终端用户的个人对个人的通信体-睑。IMS允许新的丰富的个人对个人 (客户机-对-客户机)以及个人对内容(客户机对服务器)的在基于 IP网络上的通信。IMS使用会话发起协议(SIP)来建立和控制用户终 端(或用户终端和应用服务器)之间的呼叫或会话。通过SIP信令执 行的该会话描述协议(SDP)用来描述和协商会话的媒体部分。虽然SIP 作为用户到用户协议而被创建，但是IMS允许运营商和服务提供商来 控制用户接入业务和相应地向用户收取费用。图3示意性地示出了在GPRS/PS接入网络的情况下IMS如何适应移 动网络体系结构。呼叫/会话控制功能(CSCF)作为SIP代理与IMS进 行操作。3GPP体系结构定义三种类型的CSCF:代理CSCF ( P-CSCF )， 这是IMS内用于SIP终端的第一联系点；服务CSCF ( S-CSCF),其向 用户提供用户订阅的业务；以及询问CSCF(I-CSCF),其作用是要识 别正确的S-CSCF并且向那个S-CSCF转发通过P-CSCF从SIP终端接收 的请求。用户在IMS中使用指定的SIP登记方法进行登记。这是用于附连到 IMS并且向它宣布SIP用户识别可以达到的地址的一种才几制。在3GPP 中，当SIP终端执行登记时，IMS认证该用户，并且/人一组可用S-CSCF中分配一个S-CSCF给该用户。虽然用于分配S-CSCF的标准不由3GPP 所规定，但是这些可以包括负载共享和服务要求。应当指出，分配 S-CSCF是控制(并且收费)用户接入到基于IMS的业务的关键。运营 商可以提供一种机制，用于防止直接的用户到用户的SIP会话，该会 话否则将绕过S-CSCF。
在登记过程中，I-CSCF的责任是如果S - CSCF尚未被选中的话则选 择S-CSCF。 I-CSCF从归属网络的归属用户服务器(HSS)接收所需的 S-CSCF能力，并且基于所接收的能力选择适当的S-CSCF。应当指出， 在用户由另一方呼叫并且用户目前还没有被分配S-CSCF的情况下，也 由I-CSCF为用户执行S-CSCF分配。当已登记的用户随后发出会话请 求给IMS时，P-CSCF能够基于在登记过程中从S-CSCF接收的信息转发 该请求给所选定的S-CSCF。
每个IMS用户拥有一个或更多的私有用户标识。私有标识由归属网 络运营商分配，并且由IMS使用，例如用于登记、授权、管理和计费 目的。这种标识采取网络接入标识符(NAI )的形式，如RFC 2486 [14] 中所规定的。有可能国际移动订户标识(IMSI)的表示被包含在NAI 中用于私有标识。除了私有用户标识之外，每个IMS用户将具有一个 或多个公共用户标识。 一个/多个公共用户标识由任何用户使用来请求 与其他用户的通信。用户可能例如在名片上包括公共用户标识(但不 包括私有用户标识)。
IMS认证程序在图4中在;f艮高的层上进行了描述。在UE中，AKA由 IP多媒体服务识别才莫块(ISIM)所处理。AKA协议执行用户设备(UE) 向S-CSCF的认证，反之亦然，并且类似于上面描述的AKA过程。认证 向量(AV)由S-CSCF得到并且通过I-CSCF净皮传递给P-CSCF。图5示 出了 GBA可能如何被映射到IMS体系结构，使用在S-CSCF和位于S-CSCF 和UE之间的P-CSCF上实现的BSF功能性。EP存在于P-CSCF中。这在 ETSI TISPAN工作组建议07-TD-17中有所考虑。

发明内容
如上所述，GBA执行AKA程序的重新运行，以便建立新鲜的密钥材料 (CK, IK),这些新鲜的密钥材料进而又可以用来生成应用/服务特定 (NAF)密钥。这增加到会话建立时间，浪费带宽，并要求在UE上和在网络内规定和执行两个不同程序。这将有效地实施一种才几制，由此在初始AKA程序中产生的密钥材料可以由GBA程序重新使用，从而避 免了需要重新运行AKA。当然可能使用初始密钥材料产生应用/服务特定(NAF)密钥。不过， 如从图1明显可见，初始密钥材料可用于EP。 EP将因此能够使用所推 导的密钥材料解密在UE和应用/服务提供商之间交换的业务量，还模 仿UE到应用/服务提供商。虽然在许多情况下，EP将是值得信赖的节 点(该节点值得UE的归属域信赖)，这将并非总是如此(例如，在"漫 游"的环境下)，并且不能假设信赖。这在IMS情况下同样如此(见 图4 ),其中初始密钥材料可用于P-CSCF，其又不一定受到归属(IMS) 网络的信赖。本发明的一个目的是提供用于传递应用/服务密钥的程序，该程序可 以提供用于保护用户设备和接入网络之间的业务量以及那些用于应用 /服务传递的业务量的密钥之间的严格密钥分离。根据本发明的第一方面，提供了一种用于传递一个或多个应用密钥 到应用服务器以保护应用服务器和用户设备之间交换的数据的方法， 该用户i殳备通过接入域接入通信网络，该方法包4舌在用户设备和归属域之间运行认证和密钥协商程序，以便使密钥材 料可用于用户设备以及可用于接入执行点，并且使用所述密钥材料的 至少 一部分来保护用户设备和接入执行点之间的通信隧道；使用所述密钥材料的至少一部分在归属域内推导一个或多个应用密 钥，提供所述一个(或多个)应用密钥给所述应用服务器，并且在用 户设备上推导相同的一个(或多个)应用密钥，其中所述接入执行点不能推导或接入所述一个(或多个)应用密钥。这里所使用的术语"用户设备"并不限于任何特定协议或网络体系 结构。用户设备可以是用户终端和订户识别模块卡的组合，或可以只 是用户终端。该发明的功能可以仅在用户终端上执行，或可以在用户 终端和订户识别才莫块卡的组合上执行。优选地，所述认证和密钥协商程序的运行发生在用户设备向归属域 登记或重新登记时。这样的好处是，仅要求单轮运行程序，以便登记 订户并且从而建立接入保护，并且建立可以从其推导应用密钥的密钥 材料。通过所述接入执行点的域接入由接入执行点控制器控制。在用户设
备和归属域之间运行认证和密钥协商程序的所述步骤包括从归属域 向接入纟丸行点控制器发送认证向量，该认证向量包括随机值、以及从 随机值推导的第二密码本和完整密钥，并且转发该随机值给用户设备。 用户设备应用第 一 密钥推导函数到随机值以产生最初密码本(primary cipher key)和完整密钥，并且应用第二密钥推导函数到最初密码本 和完整密钥以生成所述第二密码本和完整密钥。由接入执行点控制器 将所述第二密码本和完整密钥传送到接入执行点，由此可以在所述第 二密码本和完整密钥的基础上在接入执行点和用户设备之间建立安全
隧道。在这种情况下，所述密钥材料包括随机值和第二密码本以及完
整密钥。
优选地，所述一个(或多个)应用密钥在用户设备上和在归属域上 使用所述最初密码本和完整密钥的一个或者两者推导。
在本发明的一个实施例中，所述密钥材料包括第一和第二随机值和 可从第一随机值推导的第一密码本和完整密钥，该方法包括从接入 执行点控制器转发随机值到用户设备，该用户设备应用第 一 密钥推导
函数到第一随机值以产生第一密码本和完整密钥，因此能够在所述第 一密码本和完整密钥的基础上在接入执行点和用户设备之间建立安全
隧道。1
在用户设备上和在归属域内使用所述第二随机值推导所述 一 个(或 多个)应用密钥。
所述方法包括从第二随机值推导所述第二密码本和完整密钥，然后 应用密钥推导函数到第二密码本和完整密钥以生成一个(或多个)应 用密钥。
所述在归属域内和在用户设备上推导一个或多个应用密钥的所述步 骤包括使用在归属域和用户设备之间共享的秘密来从所述密钥材料的 至少一部分推导一个(或多个)应用服务密钥。。
通过应用密钥推导函数到密码本和完整密钥以及应用到服务节点标 识符来推导所述一个(或多个)应用服务密钥。
所述接入执行点在IP多媒体子系统(IMS)的代理呼叫会话控制功 能(P-CSCF)内提供。所述接入执行点控制器提供在代理呼叫会话控 制功能内。在归属域内，服务呼叫会话控制功能(S-CSCF)连同归属订户服务器一起负责处理所述认证和密钥协商程序。
所述接入执行点和接入执行点控制器可在2G或3G网络的服务GPRS 支持节点(SGSN)内。对于电路交换域，接入执行点可以在无线网络 控制器中，所述接入执行点控制器在访问位置寄存器中。
在其中接入网络包括长期演进(LTE)接入网络的情况中，所述接入 执行点可以是用户层面实体(UPE) /移动性管理实体(MME) / e节点 B，虽然所述接入执行点控制器是匿E。应当看到，这只是在3GPP中暂 时决定的。
用户证书管理服务器可以插在归属订户服务器和接入执行点控制器 之间。这个服务器的作用是推导所述第二密码本和完整密钥，并且一 经请求提供应用密钥给应用服务器。
根据本发明的第二方面，提供了一种基于网络的设备，用于传递一 个或多个应用密钥给应用服务器，用于保护应用服务器和用户设备之 间交换的数据，该用户设备通过接入域接入通信网络，该设备包括
用于使用所述用户设备运行认证和密钥协商程序的装置，以便使密 钥材料可用于用户设备以及可用于接入执行点，由此所述密钥材料的 至少 一部分可用于以保护用户设备和接入执行点之间的通信隧道；
用于使用所述密钥材料的至少一部分推导一个或多个应用密钥；以 及将所述一个(或多个)应用密钥提供给所述应用服务器的装置，该 密钥材料允许用户设备也推导一个(或多个)应用密钥，但不允许所 述接入执行点推导该一个(或多个)密钥。
根据本发明的第三方面，提供了 一种用于通过接入域来接入通信网 络的用户设备，该用户设备包括
用于使用归属域运行认证和密钥协商程序的装置，以便使密钥材料 可用于用户设备以及可用于接入执行点，并且使用所述密钥材料的至 少一部分用于保护用户设备和接入执行点之间的通信隧道；以及
用于使用所述密钥材料的至少一部分来推导一个或多个应用密钥； 以及用于使用所述应用密钥来保护与应用服务器的通信隧道的装置。
根据本发明的第四方面，提供了一种用于向应用服务器传递一个或 多个应用密钥用以保护应用服务器和用户设备之间交换的数据的方 法，该用户设备通过接入域接入通信网络，该方法包括
在用户设备和归属域之间运行认证和密钥协商程序，以便使密钥材料可用于用户设备以及可用于接入执行点，并且使用所述密钥材料的
至少 一部分来保护用户设备和接入执行点之间的通信隧道；
使用所述密钥材料的至少一部分在所述接入执行点上推导一个或多 个应用密钥，提供所述一个(或多个)应用密钥给所述应用服务器， 并且在用户设备上推导相同的一个(或多个)应用密钥。 本发明的其他方面在所附权利要求中限定。


图1示出了在用户设备和归属域之间通过接入网络引导的分组域中 与认证和密钥协商程序相关联的信令； 图2示意性地示出了 GBA体系结构；
图3示意性地示出了在蜂窝电信网络中的IP多媒体子系统体系结 构；
图4示出了用于用户设备的IMS认证程序；
图5示意性地示出了通用GBA体系结构，以及映射到IMS的GBA体 系结构；
图6示出了根据本发明的第一实施例用于建立在UE和IMS的NAF之
间共享的密钥信息的过程；
图7示出了根据本发明的第二实施例用于建立在UE和IMS的NAF之
间共享的密钥信息的过程；
图8是示出了在IMS的P-CSCF上执行BSF功能性的框图；图9示出了根据本发明的又一个实施例用于建立在UE和IMS的NAF
之间共享的密钥信息的过程；
图10示出了根据本发明的又一个实施例用于建立在UE和IMS的NAF
之间共享的密钥信息的过程；
图11示意性示出了结合SAE/LTE接入网的3G网络；
图12示出了在图11的网络中用于初始密钥建立的过程，其中认证
由归属网络委托给所访问的网络；并且
图13示出了图11的网络中用于初始密钥建立的过程，其中认证使
用归属网络执行。
具体实施方式
该AKA和GBA协议上面已经参考图1至5进行了描述，两者都在2G/3G 核心网络接入和IMS接入域的环境下。 一种允许执行GBA而不需要重 新运行AKA的机制现在将进行描述，首先在IMS的环境下，然后在 SAE/LTE增强3G网络的环境下。
如上文已参考图4进行描述的，安全的IPsec隧道可以在用户设备 (UE)和P-CSCF之间在密码本和完整密钥CK、 IK的基础上建立。现 在考虑的情况如下，其中S-CSCF得到另外的密钥CK'和IK',如下所 示
CK' = KDF(CK， P — CSCF—ID) IK' = KDF(IK， P—CSCF一ID)
其中KDF是密钥推导函数(例如，如为GBA所定义的)。不是提供 CK和IK给P-CSCF,而是S-CSCF提供所得到的密钥CK'和IK '作为密 钥用于IPsec隧道。不过，由S-CSCF向UE通过P-CSCF提供的RAND 值保持生成最初密钥CK和IK所使用的RAND值。因此，使用函数KDF、 所得到的密钥CK'和IK', UE能够产生CK和IK。
图6中示出了具体过程的步骤
.UE向S-CSCF发送SIP登记。
.S-CSCF从HSS取出认证向量，AV = (RAND， CK， IK， XRES， AUTN)。
S-CSCF分别从CK和IK使用一些KDF得到两个新密钥CK'和IK', 例^口 ，
= KDF(CK, P-CSCF-ID) 『=KDF (IK, P一CSCF一ID)。
S-CSCF创建新的特定AV' = (RAND， CK'， IK'， XRES， AUTN)给 P-CSCF。
.P-CSCF接收AV'并且转发RAND/AUTN给UE (这个步骤在图4中使 用圆圏1标记)。
.UE接收RAND/AUTN并且通过ISIM运行此元组。这个才喿作的结果是， 该UE/人ISIM取回CK和IK。 UE现在应用如S-CSCF^f吏用的同一KDF来 计算CK'和ir。这个步骤在图中用圆圏2标记。
UE和P-CSCF基于CK'和IK'建立IPsec隧道。
在该图中使用圆圈3标记的步骤中，UE为它希望与之通信的特定 NAF得到业务特定密钥Ks—NAF。这通过应用KDF (其潜在地与前面4吏用的那个相同)到CK和IK以及NAF — ID来完成。可选地，Ks—NAF可以 通过应用KDF到密钥CK〃和IK〃以及NAF-ID来得到，其中例如
CK〃 -KDF(CK， <某些GBA ID〉，〈其它参数〉)
IK'' =KDF(IK， <某些GBA ID>，〈其它参数〉)。
用于获取CK''和IK〃的原因在于，NAF可能想要为在UE和自身之间 使用的安全性协议拥有单独的完整密钥和密码本。NAF可以然后直接使 用CK〃和IK〃。 <某些GBA ID 〉参数是这样的ID，该ID用于识别增 强的GBA系统(例如，字符串"eGBA ，，，或字符串"eGBA @ operator.com"),并且^皮使用以将所产生的密钥绑定到这个特定密 钥分配系统并且避免潜在的密钥沖突。
.随后UE联系NAF和向NAF提供能够唯一地识别从IMS登记中得到 的CK/IK的标识。这个标识(在GBA中)；故称作B-TID，并且在AKA程 序期间从BSF被提供给UE,也就是说，它在IMS登记程序期间(当AKA 运行时)由S-CSCF提供。
.MF联系S-CSCF并且请求对应给定B-TID的Ks—NAF。
.S-CSCF以与UE相同的方式从CK和IK中推导Ks—NAF。
S-CSCF向NAF返回Ks-NAF,例如，Ks_NAF=KDF( CK'' ， IK" , NAF_ID， <其他参数> )。
.UE和NAF现在可以基于Ks—NAF建立安全连接。
实施这个过程将需要修改S-CSCF,也许更重要的是，修改UE，甚至 其中某些UE不需要利用由GBA过程提供的附加功能性。虽然这可能只 是涉及对传统UE的软件升级，更新可能^艮麻烦。这个问题通过实施替 代过程来避免。这涉及到包括在初始IMS AKA交换中的第二 RAND/AUTN 对(即RAND'和AUTr )。这样一来，UE与S-CSCF可以建立两组共享 密钥(CK， IK，和Cr , IK')。第一密钥组用来建立P-CSCF和UE之 间的IPsec隧道，而第二组可以用来为IMS应用服务器推导密钥。这 个可选过程在图7中描绘出。如果UE是一个传统UE,而其不支持增强 的GBA功能，它将仅仅不看或忽略RAND，和AUT『值，并且将仅正常 处理RAND和AUTN。
具体过程步骤如下 .UE向S-CSCF发送SIP登记。
.S-CSCF从HSS取出认证向量，AV = (RAND， CK， IK, XRES, AUTN)和AV' = (RAND'， CK'， IK'， XRES', AUTN')。 .S-CSCF发送AV和AV'给P-CSCF。
P-CSCF接收AV和AV'并且转发RAND/AUTN和RAND/AUTN'给UE(这 个步骤在图5中使用圆圏1标记)。
.UE接收RAND/AUTN和RAND' /AUTN'并且通过ISIM运行RAND/AUTN。 这个操作的结果是，该UE从ISIM取回CK和IK。 UE使用CK和IK来 建立与P-CSCF的IPsec隧道。UE通过ISIM运行RAND' /AUTN'并且作 为结果从ISIM取回CK'和IK'。这个步骤在图中^皮标记为圆圏2。
在该图中使用圈圏3标记的步骤中，UE为它希望与之通信的特定 NAF获取业务特定密钥Ks-NAF。这通过应用KDF到CF和IF以及NAF_ID 来咒成。
-UE联系NAF并且向NAF提供唯一识别从IMS登记中得到的CK'/IK' 的标识(例如，B-TID)。
.MF联系S-CSCF并且请求对应给定B-TID的Ks—NAF。
.S-CSCF从CK'和IK'以UE所4故的同一方式获取Ks—NAF。 S-CSCF 返回Ks-MF给MF。
.UE和NAF现在可以建立基于Ks_NAF的安全连接。 虽然可选方法为增强的功能性能够工作也需要改变S-CSCF,但是 RAND' /AUTN'可以这样一种方式^皮包括在最初的IMS AKA交换中，即传 统UE仍然可以在网络中起作用，即建立与P-CSCF的安全隧道。举例 来说，RANDVAUTN'可以存在于新的SIP才艮头中，将不#:传统UE所认 出(因而忽略不计)。当然，传统UE仍然将无法接入应用服务器，该 应用服务器需要来自RANDVAUTr对的密钥。
在又一个替代过程中， 一个(或多个)应用服务密钥通过遵循常规 的IMS AKA过程来推导，即如图4中所示的，并且使用KDF后处理所 产生的密钥CK/IK。这通过包括附加的自变量到仅对S-CSCF和UE是已 知的KDF中，即共享密钥来实现。P-CSCF将再次无法推导一个(或多 个)应用服务密钥。举例来说，部分(或全部)的KDF可以作为软SIM 在UE中实施或作为新的或现有的SIM应用在由UE接入的智能卡中实 施。KDF可以例如包含常规的SIM卡应用作为子功能。从网络的角度来 看，共享的秘密可以被存储在认证中心(AuC)中-它有可能潜在地是 用于推导认证向量所使用的同一个共享的秘密。这将要求，有可能从AuC请求通过特定函数(该函数可能是AuC的一部分或者它可能由 S-CSCF所提供)运行某一给定RAND的结果。共享的秘密也可以存储在 任何其他数据库中，该数据库响应查询来计算来自S-CSCF的给定RAND 上的函数。
如果在前一段落中描述的密钥推导步骤在定期的IMS登记之后做出， 则该解决方案将不会影响传统UE,但传统UE当然会无法推导一个(或 多个)应用服务密钥。不过，由于需要在UE上和在IMS中发生重大改 变，这个可选过程不一定是最优的。
S-CSCF可能会基于在登记期间接收的公共用户标识限制应用服务密 钥的使用。S-CSCF可以为此重新使用当前的IMS订阅处理机制。当用 户向IMS登记时，用户可以登记一个或多个7>共标识，其中有些可能 被列为禁止(不准，有限的使用情况除外)。通过比较从应用服务器 (它请求AS密钥到应用服务器)接收的标识与被禁止的标识，S-CSCF 也可以保护禁止标识将不会由增强的GBA所使用。当然，S-CSCF可以 为给定用户或公共用户标识应用本地政策来允许或拒绝增强的GBA功 能，不管用户是否接入其他服务。
上面所描述的方法假设条件是，应用服务器(NAF)知道S-CSCF的 标识，并且能够与S-CSCF进行通信。当应用服务器位于与S-CSCF相 同的网络时是这样的情况。不过，也可能不是如此，应用服务器可能 例如位于与P-CSCF相同的访问网络中。在这种情况下，P-CSCF可能具 有面向所访问的网络中的AS的BSF功能性。这在图8中被示出。在所 访问的网络中的AS必须能够确定是否联系P-CSCF或本地S-CSCF (用 于非漫游用户)以获取AS密钥。该AS可以基于由UE给定的SIP URI/IMPU或B-TID ( B-TID包含UE的归属运营商的名字)来喉文出这一 判定。UE的归属运营商可以通过选择是否分配GBA密钥(CK和IK)给 P-CSCF来决定是否允许漫游到所访问的AS。图9显示了这种情况下的 信息流图。在这个第一种情况下，第二密钥(CK"， IK")的推导可以 在P-CSCF内本地地做出。首先，推导CK'和IF以保护UE和P-CSCF 之间的IPsec隧道
CK' = KDF(CK， UE_ID)
IF = KDF(IK， UE_ID) 其次，CK"和IK"纟皮推导CK" = KDF(CK, GBA-ID， <其它参数>)
IK'1 = KDF(IK， GBA-ID,〈其它参数〉) CK"和IK"用于(使用AS-SERV-ID)推导AS密钥。
在单独quintet用于接入安全性和GBA的情况下，该过程在图10中 被详述。请注意，在这种情况下，CK"和IK"被分配给P-CSCF,以便它 能够为所访问的网络中的不同本地AS推导应用服务(AS)密钥。
在IMS中实施该发明的程序可以提供一个或多个以下优点
减少执行的复杂度和UE、应用服务器和HSS所要求的接口数量，因 为GBA本身并不需要建立服务密钥。
在可以建立安全的IMS业务之前减少需要的往返数量。
各个业务的密钥之间的严格的密钥隔离。
加密隔离接入保护密钥与服务密钥。
由IMS系统更严格的政策控制其他应用服务。
IMS接入与服务接入的相关。
避免需要额外的基础设施元件或额外接口 ，以允许应用服务接入。 对应用服务透明(因为Zn接口不受影响)。
发明程序的应用并不限于IMS。图11示意性地示出了使用如当前设 想的系统体系结构演进/长期演进(SAE/LTE)接入网络增强的3G网络 的系统组成部分。传统网络中的用户认证在分组交换域中由SGSN处理 并且在电路交换域中由VLR处理。从迁移的角度来看，重要的是，SGSN /VLR不应该必须实施任何新特征。因此，在接口 "B"和"C"上的协 议维持不变。B接口因此与HLR和SGSN/VLR之间的目前接口相同。新 接入网络中的认证是由认证管理服务器(AMS)处理，该服务器还分发 密钥给需要它们的那些网络实体。在如图所示的例子结构中，对于每 个使用新接入网络的UE来说，对于用户层面(UP)数据保护来说以及 对于两种类型的控制平面(CP1, CP2)数据保护来说需要密钥。
用户信任管理服务器(UCMS)是一个新的实体，位于HLR/AuC和AMS 之间，并且位于HLR/AuC和传统SGSN/VLR之间。该UCMS ^M亍BSF类 似功能，当所建议的新功能将要使用时，建立一个基本密钥并且使用 这个密钥来推导接入网络实体AMS和VLR所需要的密钥。UCMS中的该 BSF类似功能也将执行面向NAF的Zn接口 ，用于在稍后阶段建立NAF 和UE之间的服务密钥(除非一些中间实体代表该UCMS提供Zn接口 )。该UCMS区别使用传统SIM认证和当使用新的增强的USIM ( "XSIM") 时的情况。当使用XSIM时，来自AMS或者SGSN/VLR的用于AV的请求 触发BSF类似功能性。另一方面，当使用传统SIM时，UCMS作为透明 实体并且仅仅转发AMS SGSN/VLR和HLR/AuC之间的请求和响应。
考虑这样一种情况，其中认证请求是由UCMS收到。该UCMS确定该 请求涉及XSIM。使用XSIM可以例如从订户的IMSI识别出，如果使用 了特定范围的IMSI的话，或者它可能在来自HLR/AuC的响应中以某种 其它方式被显示，例如在AV的编码中。该UCMS以类似其中BSF将处 理正常的GBA交易的方式来处理AV。该UCMS在AV中从CK和IK形成 密钥Ks,即用于某些单向函数f、g和h的CK' =f(CK, IK)， IK' = g (CK， IK)并且Ks = h(CK， IK)，其中f! =g! =h。 UCMS存储Ks和相关的B-TID， 并且然后推导另外的加密密钥CF和完整密钥IK'。该UCMS转发向量 (RAND， AUTN， CK'， IK'， XRES )给AMS或SGSN/VLR。如上文所述参 考IMS情况所描述的，AMS或SGSN/VLR转发RAND和AUTN给UE。
在终端侧，RAND和AUTN被输入到XSIM中，XSIM执行GBA得到CK 和IK,随后得到CK'和IK/ ,以及用于在接入网络中进行保护的任何其 他所需的密钥。CK'和IK'(以及任何其他所需的密钥)；故传递给ME。 Ks被存储在XSIM中，并且在UE想要利用任何基于GBA的服务的情况 下是进一步推导NAF特定密钥的基础，再次如上文所述参考IMS情况 所描述的。USIM产生RES并且返回这个RES给AMS/VLR,来3全证这个 值是否匹配XRES。如果是的话，则AMS/VLR传送密钥CK'和IK'到EP。
应当理解，UE将接收到与当前UMTS网络相同类型的信息，即RAND、 AUTN,并且ME和XSIM之间的接口将使用REL-6接口用于发送RAND、 AUTN和接收作为 一个子集的结果。这意味着，具有能够这一机制的XSIM 的REL-6将仍然起作用。
图12中的信令流图示出了在UE已通知网络它希望执行认证和密钥 建立之后的过程。在UE已经附连到网络的情况下，该网络可能按照同 样的信令流图启动重新认证程序。
更具体地考虑过程步骤
AMS或SGSN/VLR可以通知UCMS i人证过程的结果。这个信令没有显示 在图12,但可能需要，如果归属网络想要保持用户行踪记录的话(这 在下面将进一步论述)。如果关于订户的当前附连的信息保持在HLR中，则当它收到来自AMS或SGSN/VLR的信息时UCMS可以更新HLR。
上述过程可以通过允许AuC/HLR推导CK'和来修改，这个实体发 送扩展的AV ( eAV)给UCMS,并且其包含CK', IK'和Ks。 AMS/VLR也 有可能为CK'和IK'而不是为UCMS执行密钥推导。不过，这已暗示 AMS/VLR也可以推导Ks和从它推导的所有MF特定密钥。在特定信任 模型下，这是可以接受的。
可以预料，结合UCMS实体的网络体系结构将必须与不结合UCMS实 体的体系结构共存一段时间。在这样一个迁移阶段期间，对于网络来 说向XSIM发送表示是否应当执行新的密钥推导的通知可能是有利的。 有几种方法可以做到这一点。其中可以做到这一点的两种方法是
1、 AuC总是在RAND中设置特定比特为0 (称作LSB)。如果应当使 用新的密钥推导的话，UCMS中的BSF功能设置LSB为1，并且如果传 统密钥推导应当执行的话，则设置它为0。当XSIM收到(RAND, AUTN) 时它检查LSB来看看应当执行哪些密钥推导，如有必要则重置LSB为0, 并且继续。然而，这种做法的问题在于拥有"黑客入侵"电话的恶意 用户可以在传送RAND、AUTN给XSIM之前i殳置RAND的LSB为0。该XSIM 会返回实际的CK/ IK给MS。用户不〗又可以接入网络，他也可以推导 CK'和IK ',并且因此NAF—keys ^皮使用来保护任何月良务。
2、 第二种方法是指定，例如基于偶数序列号的所有AV被用于新的 密钥推导程序，以及基于奇数序列号的所有AV应当用于旧的密钥推导 程序。这个方法的好处在于，序列号是受到在AuC和XSIM之间共享的 密钥K保护的整数。因此，攻击者无法执行类似在方案1中所识别的 攻击。然而缺点是，对于只使用新的或仅旧的密钥推导的XSIM来说， 一半的序列号空间将被浪费。
在其中订户认证总是由归属网络执行的情况下，在所访问的网络中 的AMS或SGSN/VLR可以被用来作为归属网络中的UCMS和UE之间的中 继。这工作起来4艮像可扩展认证协议(EAP ) AKA,其中AMS或SGSN/VLR 承担传送经过认证器的任务，即它只中继认证业务量。当UE由UCMS 认证时，UCMS传送仅仅密钥CK'和IK'给AMS或SGSN/VLR。 UCMS也有 可能推导用于所访问的网络的特定密钥，例如，CK' =KDF ("visitedJW—賴e " , CK )和IK' = KDF ( "vi s i ted_NW—name ，，， IK)。这在图13中示出。当然，Cr和IK'可以与RAND和AUTN值一起早些发送。
在认证发生在所访问的网络中的情况下，BSF将简单地如正常地向所 访问的网络中的AMS或SGSN/VLR讲话，(见图12 )。当然必不可少的 是，在UCMS和AMS或SGSN/VLR之间的信令受到才几密地保护。
上面所述的IMS和接入冲莫型可以;故结合，因为位于S-CSCF和UCMS 中的BSF类似功能是相同的。在这种情况下，传统的S-CSCF并不需要 修改。不过，不是运行其面向HSS的常规接口 ，而是它将面向UCMS运 行。普通的UCMS功能可以作为单独的实体实施在HSS中，或可以与BSF 相结合。
本领域的技术人员应当理解，可以对上面所描述的实施例做出各种 修改而不背离本发明的范围。举例来说，不是提供增强的US IM(即XS IM ) 来实施新的功能性，而是这可以实施在增强的MS中，其中Ks和B-TID 被存储在ME中，并且ME执行密钥推导。
权利要求
1、一种用于传递一个或多个应用密钥到应用服务器以保护应用服务器和用户设备之间交换的数据的方法，该用户设备通过接入域接入通信网络，该方法包括在用户设备和归属域之间运行认证和密钥协商程序，以便使密钥材料可用于用户设备以及可用于接入执行点，并且使用所述密钥材料的至少一部分来保护用户设备和接入执行点之间的通信隧道；使用所述密钥材料的至少一部分在归属域内推导一个或多个应用密钥，提供所述一个(或多个)应用密钥给所述应用服务器，并且在用户设备上推导相同的一个(或多个)应用密钥，其中所述接入执行点不能推导或接入所述一个(或多个)应用密钥。
2、 根据权利要求1所述的方法，其中所述认证和密钥协商程序的运 行发生在用户设备向归属域登记或重新登记时。
3、 根据权利要求1或2所述的方法，其中通过所述接入执行点的域 接入由接入执行点控制器控制，在用户设备和归属域之间运行认证和 密钥协商程序的所述步骤包括从归属域向接入执行点控制器发送认证向量，该认证向量包括随机 值、以及从随机值推导的第二密码本和完整密钥，并且转发该随机值 给用户设备；从接入执行点控制器传送第二密码本和完整密钥到接入执行点；以及在用户设备处，应用第 一 密钥推导函数到随机值以产生最初密码本 和完整密钥，并且应用第二密钥推导函数到最初密码本和完整密钥以 生成所述第二密码本和完整密钥，由此可以在所述第二密码本和完整密钥的基础上在接入执行点和用 户设备之间建立安全隧道。
4、 根据权利要求3所述的方法，包括在用户设备上和在归属域上使 用所述最初密码本和完整密钥的一个或两者推导所述一个(或多个) 应用密钥。
5、 根据权利要求1或2所述的方法，其中通过所述接入执行点的域 接入由接入执行点控制器控制，所述密钥材料包括第 一和第二随机值 和可从第一随机值推导的最初密码本和完整密钥，该方法包括从接入执行点控制器转发随机值到用户设备，该用户设备应用第一 密钥推导函数到第一随机值以产生最初密码本和完整密钥，因此可以 在所述最初密码本和完整密钥的基础上在接入执行点和用户设备之间 建立安全隧道。
6、 根据权利要求5所述的方法，包括在用户设备上和在归属域内使 用所述第二随机值推导所述一个(或多个)应用密钥。
7、 根据权利要求6所述的方法，包括从第二随机值推导所述第二密 码本和完整密钥，然后应用密钥推导函数到第二密码本和完整密钥以 生成一个(或多个)应用密钥。
8、 根据权利要求5至7的任何一项所述的方法，其中所述在归属域 内和在用户设备上推导一个或多个应用密钥的所述步骤包括使用在归 属域和用户设备之间共享的秘密来推导一个(或多个)应用密钥。
9、 根据以上任何一项权利要求所述的方法，包括通过应用密钥推导 函数到密码本和完整密钥以及应用到服务节点标识符来推导所述一个(或多个)应用密钥。
10、 根据以上任何一项权利要求所述的方法，其中所述接入执行点 在IP多媒体子系统的代理呼叫会话控制功能内。
11、 根据当从属于权利要求3至8的任何一项时的权利要求10所述 的方法，其中所述接入执行点控制器提供在代理呼叫会话控制功能内， 并且在归属域内，服务呼叫会话控制功能连同归属订户服务器一起负 责处理所述认证和密钥协商程序。
12、 根据权利要求1至9的任何一项所述的方法，其中所述接入执 行点在UTMS接入域的服务GPRS支持节点内。
13、 根据当从属于权利要求3至8的任何一项时的权利要求12所述 的方法，其中所述接入执行点控制器提供在应用GPRS支持节点内。
14、 根据权利要求1至9的任何一项所述的方法，其中所述接入执 行点在UTMS接入域的无线网络控制器内。
15、 根据当从属于权利要求3至8的任何一项时的权利要求14所述 的方法，其中所迷接入执行点控制器提供在访问位置寄存器内。
16、 根据权利要求1至9的任何一项所述的方法，其中所述接入域 包括长期演进(LTE)接入域，其中所述接入冲丸行点是UPE/MME/eNodeB。
17、 根据当从属于权利要求3至8的任何一项时的权利要求16所述的方法，其中所述接入执行点控制器提供在醒E内。
18、 根据权利要求16或17所述的方法，包括将用户证书管理服务 器插在归属域的归属用户服务器和接入执行点控制器之间，这个服务 器确定第二密码本和完整密钥，并且一经请求提供应用密钥给应用服 务器。
19、 一种基于网络的设备，用于传递一个或多个应用密钥给应用服 务器，用于保护应用服务器和用户设备之间交换的数据，该用户设备 通过4妻入域接入通信网络，该i殳备包4舌用于使用所述用户设备运行认证和密钥协商程序的装置，以便使密 钥材料可用于用户设备以及可用于接入执行点，由此所述密钥材料的 至少 一部分可用于以保护用户设备和接入执行点之间的通信隧道；用于使用所述密钥材料的至少一部分推导一个或多个应用密钥；以 及将所述一个(或多个)应用密钥提供给所述应用服务器的装置，该 密钥材料允许用户设备也推导一个(或多个)应用密钥，但不允许所 述接入执行点推导该一个(或多个)密钥。
20、 一种用于通过接入域来接入通信网络的用户设备，该用户设备 包括用于使用归属域运行认证和密钥协商程序的装置，以便使密钥材料可用于用户设备以及可用于接入执行点，并且使用所述密钥材料的至 少一部分用于保护用户设备和接入执行点之间的通信隧道；以及用于使用所述密钥材料的至少一部分来推导一个或多个应用密钥；
21、 一种用于向应用服务器传递一个或多个应用密钥用以保护应用 服务器和用户设备之间交换的数据的方法，该用户设备通过接入域接 入通4言网症各，该方法包4舌在用户设备和归属域之间运行认证和密钥协商程序，以便使密钥材 料可用于用户设备以及可用于接入执行点，并且使用所述密钥材料的 至少 一部分来保护用户设备和接入执行点之间的通信隧道；使用所述密钥材料的至少一部分在所述接入执行点上推导一个或多 个应用密钥，提供所述一个(或多个)应用密钥给所述应用服务器， 并且在用户设备上推导相同的一个(或多个)应用密钥。
22、 一种用于保护通过IP多媒体子系统网络在用户设备和应用服务器之间的通信的方法，该方法包括在用户设备和IP多媒体子系统网络的服务呼叫状态控制功能之间运 行认证和密钥协商程序，以便使得密钥材料可用于用户设备以及可用 于代理呼叫状态控制功能，并且使用所述密钥材料的至少 一部分用于 保护用户设备和代理呼叫状态控制功能之间的通信隧道；以及使用所述密钥材料的至少一部分在服务呼叫状态控制功能上推导至 少一个应用服务密钥，提供所述一个(或多个)应用服务密钥给所述 应用服务器，并且在用户设备上推导相同的一个(或多个)应用服务 密钥，其中所述代理呼叫状态控制功能不能推导所述一个(或多个) 应用服务密钥。
23、 根据权利要求22所述的方法，其中所述密钥材料包括随机值、 以及从随机值推导的第二密码本和完整密钥，该方法包括从服务呼叫 状态控制功能提供这些值给代理呼叫状态控制功能，代理呼叫状态控 制功能转发随机值给用户设备，并且用户设备应用第 一 密钥推导函数 到随机值以产生第一密码本和完整密钥，并应用第二密钥推导函数到 第一密码本和完整密钥以生成所述第二密码本和完整密钥，由此安全隧道能够在所述第二密码本和完整密钥的基础上在代理呼叫状态控制 功能和用户设备之间建立。
24、 根据权利要求23所述的方法，其中从随机值和从在用户设备和 服务呼叫状态控制功能或者耦合到服务呼叫状态控制功能的节点之间 共享的秘密推导所述第二密码本和完整密钥。
25、 根据权利要求23或24所述的方法，包括在用户设备和服务呼 叫状态控制功能处使用所述第一密码本和完整密钥中的一个或两者来 推导所述一个(或多个)应用服务密钥。
26、 根据权利要求22所述的方法，其中所述密钥材料包括第一和第 二随机值以及可从笫 一随机值推导的第 一密码本和完整密钥，该方法 包括从代理呼叫状态控制功能转发随机值到用户设备，该用户设备应 用第一密钥推导函数到第一随机值以产生第一密码本和完整密钥，因 此安全隧道能够在所述第一密码本和完整密钥的基础上在代理呼叫状 态控制功能和用户设备之间建立。。
27、 根据权利要求26所述的方法，其中所述一个(或多个)应用服 务密钥在用户设备和在服务呼叫状态控制功能处使用所述第二随机值推导。
28、 根据权利要求27所述的方法，包括从第二随机值推导第二密码 本和完整密钥，然后应用密钥推导函数到第二密码本和完整密钥以产 生一个(或多个)应用服务密钥。
29、 根据权利要求22所述的方法，在服务呼叫状态控制功能处和在 用户设备处推导一个或多个应用服务密钥的步骤包括使用在服务呼叫 状态控制功能或者耦合到服务呼叫状态控制功能的节点与用户设备之 间共享的秘密来从所述密钥材料的至少一部分推导一个(或多个)应 用服务密钥。
30、 根据权利要求22至29的任何一项所述的方法，其中所述一个 (或多个)应用服务密钥是通过应用密钥推导函数到密码本和完整密钥以及到应用节点标识符来推导。
31、 一种用于通过IP多媒体子系统建立与应用服务器的安全通信链 路的用户设备，该方法包括用于使用IP多媒体子系统网络的服务呼叫状态控制功能运行认证和 密钥协商程序，以便使密钥材料可用于用户设备以及可用于代理呼叫 状态控制功能，并且用于使用所述密钥材料的至少 一 部分以保护用户 设备和代理呼叫状态控制功能之间的通信隧道的装置；用于使用所述密钥材料的至少一部分推导至少一个应用服务密钥的 装置，其中代理呼叫状态控制功能不能推导所述一个(或多个)应用 服务密钥；以及用于使用所述一个(或多个)应用服务密钥建立与所述应用服务器 的安全通信链路的装置。
32、 一种用于保护通过IP多媒体子系统网络在用户设备和应用服务 器之间的通信的方法，该方法包括在用户设备和IP多媒体子系统网络的服务呼叫状态控制功能之间运 行认证和密钥协商程序，以便使得密钥材料可用于用户设备以及可用 于代理呼叫状态控制功能，并且使用所述密钥材料的至少 一 部分用于 保护用户设备和代理呼叫状态控制功能之间的通信隧道；以及使用所述密钥材料的至少一部分在代理呼叫状态控制功能上推导至 少一个应用服务密钥，提供所述一个(或多个)应用服务密钥给所述 应用服务器，并且在用户设备上推导相同的一个(或多个)应用服务密钥，由此促进了用户设备和所述应用服务器之间的安全通信。
33、 一种用于IP多媒体子系统中的代理呼叫状态控制功能节点，该 节点包括用于使用用户设备和服务呼叫状态控制功能运行认证和密钥协商程 序，以便使密钥材料可用于用户设备以及可用于代理呼叫状态控制功 能，并且使用所述密钥材料的至少一部分保护用户设备和代理呼叫状 态控制功能之间的通信隧道的装置；以及用于使用所述密钥材料的至少一部分在代理呼叫状态控制功能处推 导至少一个应用服务密钥，并且用于提供所述一个(或多个)应用服 务密钥给所述应用服务器以提供用户设备与应用服务器之间的安全通 信的装置。
34、 一种用于保护通过IP多媒体子系统网络在用户设备和应用服务 器之间的通信的方法，该方法包括当应用服务器位于用户设备的归属网络中时，使用权利要求1所述 的方法来保护用户设备和应用服务器之间的通信；并且当应用服务器位于所访问的网络中时，使用权利要求10所述的方法 来保护用户设备和应用服务器之间的通信。
全文摘要
一种用于传递一个或多个应用密钥到应用服务器以保护应用服务器和用户设备之间交换的数据的方法，该用户设备通过接入域接入通信网络。该方法包括在用户设备和归属域之间运行认证和密钥协商程序，以便使密钥材料可用于用户设备以及可用于接入执行点。使用所述密钥材料的至少一部分来保护用户设备和接入执行点之间的通信隧道，并且使用所述密钥材料的至少一部分在归属域内推导一个或多个应用密钥。提供所述一个(或多个)应用密钥给所述应用服务器，并且在用户设备上推导相同的一个(或多个)应用密钥，其中所述接入执行点不能推导或接入所述一个(或多个)应用密钥。
文档编号H04W12/02GK101322428SQ200680045009
公开日2008年12月10日 申请日期2006年7月11日 优先权日2005年12月1日
发明者F·林德霍尔姆, K·诺尔曼, R·布洛姆 申请人:艾利森电话股份有限公司