提供接入待定的密钥的方法和系统的制作方法

专利名称：提供接入待定的密钥的方法和系统的制作方法
提供接入特定的密钥的方法和系统
本发明涉及为了保护在移动终端设备和接入网络的节点之间的数 据传输而提供接入特定的密钥的方法和系统。
具有TCP/IP协议的因特网为移动领域提供用于研发更高协议的 平台。由于因特网协议的普遍流行，因此以相应的协议扩展可以为移 动领域开启更大的应用范围。可是传统的因特网协议最初不是为移动 应用而设计的。在传统的分组交换中，在静止的计算机之间交换数据 分组，这些计算机并不改变其网络地址而且也不在不同的子网络之间 进行转移。在具有移动终端设备或者计算机的无线网络中移动计算机 MS (MobileStation)经常接入在不同的网络中。DHCP (Dynamic Host Configuration Protocol)能够借助于相应的服务器把IP 地址和另外的配置参数动态分配给网络中的计算机。接入到网络中的 计算机通过DHCP协议自动分配空余IP地址。如果移动计算机初始化 DHCP，则其必须仅仅在支持关于DHCP协议配置的本地网络的传输范 围内。在DHCP协议中动态地址分配是可能的，也就是说在确定的时间 内自动分配空余IP地址。在运行该段时间之后必须通过移动计算机 MS重新提出请求或者另外分配IP地址。
移动计算机MS可以利用DHCP接入网络而不必进行手动配置。作 为前提条件必须仅仅提供一个DHCP服务器。移动计算机MS可以利用 本地网络的这种业务并且例如可以利用中央存储的文件。可是如果一
个移动计算机自身提供了这样的业务，则移动计算机不可能发现可能 的业务用户，因为在每一个移动计算机接入的网络中改变其IP地址。 如果在当前的TCP连接中改变IP地址，则可能发生同样的事情。这 导致连接中断。因此在移动IP的情况下，给移动计算机MS分配一个 IP地址，该移动计算机也把该IP地址保留在另外的网络中。在传统 的IP网络变换的情况下必须相应地对IP地址进行适配调整。在IP 地址变换的情况下，IP配置机理与传统的自动配置机理的持续的适配 调整会中断当前连接。MIP协议(RFC2002、 RFC2977、 RFC3344、 RFC3846、 RFC3957、 RFC3775、 RFC3776、 RFC4285 )支持移动终 端设备MS的移动性。在传统的IP协议中如果移动终端设备变换其IP
5子网络，则移动终端设备MS每一次必须对其IP地址进行适配调整， 因此对移动终端设备MS寻址的数据分组必须选择正确的路径。为了保 持当前的TCP连接，移动终端设备MS必须保持其IP地址，因为地址 变换必然会导致连接中断。MIP协议能够在两个地址、也就是一个永 久的本地地址和一个第二个临时的管理地址之间的透明连接。管理地 址(Care-Of-Adresse)是以下这样一种》也址通过该i也址当前可以 联系到移动终端设备MS 。
只要移动终端设备MS不停留在最初的本地网络中，本地代理 (Home Agent) HA是移动终端i殳备MS的一个代理。经常告知本地 代理移动计算机MS的当前停留位置。本地代理HA通常是在移动终端 设备的本地网络中的路由器的元件。如果移动终端设备MS位于其本地 网络的外部，则本地代理HA提供一种功能，因此可以通知移动终端设 备MS。然后本地代理HA把向移动终端设备MS寻址的数据分组传递到 移动终端设备MS的当前子网络中。
外部代理(Foreign Agent) FA位于移动终端设备MS所移动到 的子网络中。外部代理FA把到达的数据分组传递给移动终端设备MS 或移动计算机MS。外部代理FA位于一种所谓的外部网络(Visited Network)。外部代理FA同样通常是路由器的元件。外部代理FA在 移动终端设备MS和其本地代理HA之间为所有管理的移动数据分组选 择路由。外部代理FA打开由本地代理HA发送的隧道IP数据分组并 且把其数据传递给移动终端设备MS 。
移动终端设备MS的本地地址是一个这才羊的地址利用该地址可以 永久地联系到移动终端设备MS。本地地址有同本地代理HA —样的地 址前缀。管理地址是这样的IP地址移动终端设备MS在外部网络中 应用该地址。
本地代理HA管理所谓的移动连接表(MBT: Mobility Binding Table)。在该表中的条目用于移动终端设备MS的两个地址(亦即 本地地址和管理地址)彼此相互对应并相应地对数据分组重新进行路 由。
MBT表包含关于本地地址、管理地址和关于这个时间间隔i兌明的 条目，在该时间间隔内对应关系是有效的(lifetime)。

图1示出了按照现有技术的移动连接表MBT的实例。外部代理FA包含一个访问者列表(VL: VisitorList)，其包 含关于移动终端设备MS的信息，该移动终端设备刚好位于外部代理 FA的IP网络中。
图2示出了按照现有技术的这种访问者列表。
因此移动计算机MS可以接入一个网络，其首先必须询问其是位 于其本地网络还是外部网络中。移动终端设备MS附加必须询问哪一 个计算机位于本地代理或者外部代理的子网络中。通过所谓的代理发 现确定这些信息。
通过后面的登记移动终端设备MS可以把其当前所在位置告知其 本地代理HA。为此移动计算机或者移动终端设备MS给本地代理发送 当前的管理地址。为了进行登记，移动计算机MS把登记需求或者登记 请求发送给本地代理。本地代理HA在其表中记录管理地址并以登记应 答答复。为此当然存在安全问题。因为原则上每个计算机都可以给本 地代理HA发送登记请求，可以简单地欺骗本地代理，计算机移动到另 外的网络中。这样，外部计算机就可能接收移动计算机或者移动终端 设备MS的所有数据分组，而发送者对此一无所知。为了避免上述情况， 移动计算机MS和本地代理HA拥有一个公共的密钥。如果移动计算MS 返回到其本地网络中，则其在其本地代理HA中取消登记，因为移动计 算机MS从现在起自己就可以接收所有数据分组。移动无线网络此外必 须具有如下安全特性。信息仅仅对于所希望的通信伙伴开放，也就是 说不允许不希望的窃听者对所传输的数据进行存取。移动无线网络因 此必须具有机密性(Confidentiality)。此外必须具有真实性 (Authenticity)。真实性允许一个通信伙伴毫无疑问地确定是 否真的要建立到所希望的通信伙伴的通信或者是否一个外人冒充了通 信伙伴。可以对每个消息或每个连接进行验证。如果在连接的基础上 进行验证，则仅仅在通信伙伴的对话(Session)开始时一次验明。 当然对于另外的对话过程以此为出发点，即后面消息此外来自相应的 发送者。即使如果确定通信伙伴的一致性，也就是说验证了通信伙伴， 也可能出现这样的情况，即该通信伙伴不允许访问所有资源或者不允 许使用该网络的所有业务。在这种情况下相应的授权是以前面的通信 伙伴验证为前提条件的。
在移动数据网络中消息必须跨越空中接口上的较长距离并因此对
7于可能的攻击者来说容易实现。因此在移动和无线数据网络中安全方 面问题特别重要。在数据网络中提高安全性的主要方法是加密技术。 通过加密能够通过非安全的通信路径、例如通过空中接口传输数据， 无授权的第三方不能存取数据。为了加密数据、也就是所谓借助于加 密算法把明文转变为密码文本。已加密的文本可以经过非安全的数据 传输信道传输，接下来译码或者解密。
作为i午多令人期待的无线接入4支术，WiMax ( Worldwide Interoperability for Microwave Access )建议作为新的标准， 其用于IEEE 802 .16的无线传输。以WiMax能够以每秒超过100Mbit 的数据传输率管理直到50km的发射台。
图3示出了用于WiMax无线网络的参照模式。 一个移动终端设备 MS位于接入网络(ASN: Access Serving Network)的范围内。 该接入网络ASN通过至少一个访问网络(Visited Connectivity Service Network VCSN )或者中间网络与本地网络HCSN (Home Connectivity Service Network)连接。不同网络通过接口或者 参考点R彼此连接。移动站MS的本地代理HA位于本地网络(HCSN) 中或位于访问网络(VCSN)之一中。
WiMax支持移动IP的两个实现变体，即 一个所谓的客户MIP (CMIP)(在这种情况下移动站MS自己实现MIP客户功能)和代理 MIP ( PMIP )(在这种情况下通过WiMax接入网络ASN实现MIP客 户功能)。为此在ASN中预先规定的功能性称作代理移动节点(PMN) 或PMIP客户。由此MIP也可以与本身不支持MIP的移动站MS —起 使用。
图4示出了如果本地代理HA位于访问网络VCSN中按照现有技术 在代理MIP (PMIP)的情况下的连接建立。
当在移动终端设备MS和一个基站BS之间建立无线连接之后首先 实现接入验证。借助于所谓的 AAA服务器(AAA : Authentification、 Authorization、 Accounting)实现验证、 授权和结账功能。在移动终端设备MS和本地网络(HAAA)的AAA服 务器之间交换验证消息，借助于该验证消息获得本地代理HA的地址和 验证密钥。在本地网络中的验证服务器包含用户的特征数据。AAA服 务器包含一个验证询问消息，其包含移动终端设备的用户身份。AAA服务器在成功的接入验证之后产生一个MSK密钥(MSK: Master Session Key)用于保护在移动终端设备MS和接入网络ASN的基站 BS之间的通信链路。该MSK密钥由本地网络的AAA服务器经过中间 网络CSN传输给接入网络ASN。
在接入验证之后，正如在图4中看到的，配置在接入网络ASN中 的DHCP代理服务器。如果IP地址和主机配置已经包含在AAA应答消 息中，则在DHCP代理服务器中下载全部信息。
在成功验证和授权之后移动站或者移动终端设备MS发送一个 DHCP发现消息并且进行IP地址分配。
如果一个移动终端设备MS接入网络中，则该移动终端设备MS必 须询问其是位于本地网络中还是位于外部网络中。此外移动终端设 备MS必须询问哪一个计算机位于本地代理或外部代理的各自网络 中。通过所谓的代理发现来确定这些信息。存在两种形式的代理发现， 即所谓的4气理广告(Agent Advertisement)和代理请求(Agent Solicitation)。
在代理广告的情况下，代理(也就是说本地或外部代理)周期性 地给子网络的所有计算机或者移动终端设备发送广播消息。每个在确 定时间间隔监听广播消息的计算机如此可以识别在各自子网络内的代 理。
如果重新激活移动终端设备MS，则其实际上一般不等待下一个代 理广告。移动终端设备MS必须立即了解，其刚好位于哪一个子网络中。 在所谓的代理请求的情况下，移动终端设备MS因此给各自网络的所有 计算机发送一个请求，执行代理广告。通过代理请求可以迫使移动终 端设备MS自身立刻识別代理，如此显著缩短等待时间。如果没有代理 广告，例如在包丢失或网络变换的情况下，则当然也执行代理请求。 借助于所述代理发现移动终端设备MS还可以确定其是位于其本地网 络中还是位于外部网络中。根据在代理广告消息内部的分组信息移动 终端设备MS识别其本地代理。如果移动终端设备MS从一个外部网络 得到消息包，则其可以附加确定其是否从最后的广告起改变其位置。 如果移动终端设备MS没有接收到广告消息，则移动终端设备MS首先 以此为出发点，即其位于本地网络中并且本地代理HA被干扰。移动 终端设备然后尝试与网络的路由器进行联系，以便确认这种猜测。如果移动终端设备MS并不处于其本地网络中，则其接下来尝试，联系 DHCP服务器并且获得子网络的地址。如果成功，则移动终端设备MS 把这个地址用作所谓的并置管理地址 (Colocated Care-Of-Adresse)并且与本地代理HA进行联系。并置管理地址是 在外部网络中分配移动终端设备MS的地址，该地址也被传送给本地代 理HA。
应该区分基于网络的移动管理(PMIP)和基于终端设备的移动管 理(CMIP)。在基于终端设备的移动管理CMIP中终端设备支持移动 IP (MIP)。
图4示出了在传统的基于网络的移动管理(PMIP)的情况下的连 接建立，而图5示出了在传统的基于终端设备的移动管理(CMIP)的 情况下的连接建立。
当在移动终端设备MS和网络之间建立连接时本地网络的验i正月艮 务器(H-AAA )在成功验证用户之后发送一个验证确认消息 (SUCCESS)。该验证确认消息告知验证客户，成功结束用户验证。
在代理MIP或者基于网络的移动管理(PMIP)的情况下移动终端 设备不支持移动IP或者在移动终端设备MS中没有激活相应的MIP软 件。
与此相对照，在客户MIP (CMIP)的情况下或者在基于终端设备 的移动管理的情况下支持各自的终端设备或者移动站MS的移动IP。
在代理MIP中移动终端设备MS仅仅识别一个由DHCP分配的IP 地址。移动终端设备不知道移动终端设备MS的管理地址，而是PMIP 客户、外部代理FA和本地代理HA知晓该移动终端设备MS的管理地 址。与此相对照，在客户MIP中移动终端设备MS识别其两个IP地址， 也就是说不仅识别本地地址而且也识别管理地址。
正如在图4、 5中可以看出的，在IP地址分配之后进行MIP登记。 在MIP登记时本地代理HA发送关于移动终端设备MS的当前位置的信 息。为了进行登记，移动终端设备MS或者相应的PMIP客户给本地代 理HA发送一个包含当前的管理地址的登记请求。本地代理HA在由其 管理的表中记录管理地址并且以登记应答(Registration Reply) 进行答复。因为原则上每个计算机都可以给本地代理HA发送登记请 求， 一个计算机或移动终端设备MS移动到另外的网络中，可能很简单地欺骗本地代理HA。为了避免欺骗，不仅移动终端设备MS而且本地 代理HA拥有一个公共的密钥，也就是一个所谓的移动IP密钥 (MIP-KEY)。
在代理MIP (PMIP)中，由PMIP客户在接入网络ASN内部通过 外部代理FA给本地代理HA传输登记请求(MIPRRQ)。本地代理HA 能够从所属的验证服务器H-AAA为用户分配一个密钥并且与MIP登记 应答(MIP Registration Reply) —起传输这个密钥，正如在图4 中示出的。
在基于终端设备的移动管理(CMIP)的情况下，登记询问消息 (MIPRRQ)直接从移动终端设备MS经过外部代理FA指向本地代理 HA,正如在图5中示出的。
在WiMax接入网络中，除了移动IP (CMIP)外还使用代理移动 IP (PMIP)，以便能够进行针对客户的移动管理，该客户本身不具有 移动IP客户功能。对于PMIP，在接入网络中设置一个代理移动IP 客户，其代表客户发送MIP信令。该移动协议在WiMax中用于在两个 接入网络ASN或者在两个网络供应商NAP之间切换。对此所属的 WiMax 本地代理有选择地位于一个WiMax本地网络HCSN中或位于访 问的WiMax网络(VCSN )中。在WiMax的情况下，以此为出发点， 即本地AAA服务器位于本地网络HCSN中，其识别与用户共享的长 期加密密钥以及另外的用户参数。
在进行登记时，WiMax本地代理在WiMax本地AAA服务器中询问 安全参数，例如临时的加密密钥。这是必须的，因此仅仅被授权的客 户在本地代理中可以进行登记并且为了保护MIP信令。作为验证和密 钥说明协议(Schliisselvereinbarungsprotokoll)的一部分、 移动终端设备以验证服务器执行该协议、移动终端设备也可以推导这 些安全参数。对此在WiMax接入网络中从所谓的EMSK密钥 (Extended Master Session Key)中推导并提供AMSK或者移动 IP根密钥(MIP-RK)。接下来从这个移动IP根密钥中推导出另外密 钥用于保护在移动节点或者外部代理FA和本地代理HA之间的不同通 信链路。对此分别通过用于客户移动IP情况和代理移动IP情况的自 身密钥4,导不同的移动IP变体、比如移动IP V6和移动IP V4。
在传统的WiMax接入网络中不支持交互工作或者与其他形式网络
11的合作。
图6示出了按照现有技术的在WiMax接入网络和3GPP本地网络 之间的合作。正如从图6中可以看出的，在WiMax接入网络中设置一 个验证代理服务器(AAA-转接)，其具有一个交互工作单元I而作为 到3GPP本地网络的接口。验证服务器在与3GPP网络交互工作的情况 下承担密钥产生和密钥推导的任务，这在网络申请的范围内是必需的， 以便为用户或者移动终端设备激活代理移动IP。在代理移动IP的情 况下一个代理移动IP客户位于WiMax本地网络WiMax-CSN的ASN 网关或者验证代理服务器中。该WiMax本地网络WiMax-CSN与3GPP 网络连接，正如在图6中可以看出的。在代理移动IP的情况下，交互 工作单元I而因此能够在网络申请时为了保护在代理移动IP客户和 本地网络之间的链路而产生一个移动IP密钥(MIP-Key)。对此代理 移动IP客户最好位于ASN网关中并因此形成接入网络结构的一部分。 因此在代理移动IP的情况下不必改变3GPP验证服务器或者3GPP服 务器不必满足WiMax接入网络的技术条件。
但是在客户代理移动IP的情况下不支持在WiMax接入网络和 3GPP本地网络之间的交互工作。目前不存在适合的协议，以便把安全 参数传递给客户或者移动终端设备。其原因在于移动终端设备在传 统的优选措施下从验证协议和密钥说明协议中推导出安全参数。
因此本发明的技术问题是建立为了保护在移动终端设备和接入 网络的节点之间的数据传输而提供接入特定的密钥的方法和系统，如 果本地网络的验证服务器不支持移动管理，则也使客户IP(CMIP)成 为可能。
本发明建立了为保护在移动终端设备和接入网络的节点之间的数 据传输而提供接入特定的密钥的方法，其中在验证移动终端设备时验 证服务器产生一个对话密钥，从中推导出基本密钥并传输给交互工作 代理服务器，其从传输的基本密钥中推导出接入特定的密钥并且提供 给接入网络的节点。
在本发明方的一个优选实施形式中通过MSK (Master Session Key)密钥或通过EMSK (Extended Master Session Key)密钥 形成对话密钥。
在本发明的方法中因此考虑本地主机对话密钥(MSK或者EMSK),
12其出于安全原因不允许抛弃本地网络的验证服务器(AAA)，以便从中 推导出伪密钥或者基本密钥，其接下来传输给交互工作代理服务器， 其中交互工作代理服务器从接收的基本密钥中根据预先规定的密钥体 系推导出所需的接入特定的密钥并且为接入网络的每个节点提供这种 接入特定的密钥。
在本发明方法的一个实施形式中验证服务器位于移动终端设备的 本地网络中。
在本发明方法的一个实施形式中借助于预先规定的第一推导函数 从对话密钥中推导出基本密钥。
主要通过HMAC國SHA1推导函数、HMAC-SHA256 4#导函数、 HMAC-MD5推导函数、SHA1推导函数、SHA-256推导函数或MD5推 导函数形成第一推导函数。
在本发明方法的一个优选实施形式中依赖于对话密钥和字符串 (String)实现基本密钥的推导。
在本发明方法的一个实施形式中借助于EAP协议实现在验证服务 器中验证移动终端设备。
在本发明方法的另一个实施形式中借助于UMTS-AKA协i5C实现在 验证服务器中验证移动终端设备。
在本发明方法的一个替代实施形式中借助于HTTP-Digest-AKA 协议实现在验证服务器中验证移动终端设备。
在本发明方法的另一个实施形式中借助于Diameter协议或 Radius协议实现在验证服务器和交互工作代理服务器之间的数据传 输。
在本发明方法的一个优选实施形式中通过WiMax网络形成接入网络。
在本发明方法的一个优选实施形式中通过3GPP网络形成本地网络。
在本发明方法的一个优选实施形式中通过交互工作代理服务器借 助于第二推导函数从传输的基本密钥中推导出移动IP根密钥。
对此主要通过HMAC-SHA1推导函数、HMAC-SHA256推导函数、
HMAC-MD5推导函数、SHA1推导函数、SHA-256推导函数或MD5推
导函数形成第二推导函数。在本发明方法的一个优选实施形式中借助于第三推导函数从已推 导出的移动IP根密钥中推导出用于保护在移动终端设备和接入网络 的节点之间数据传输的接入特定的密钥。
第三推导函数主要涉及HMAC-SHA1推导函数、HMAC-SHA256推 导函数、HMAC-MD5推导函数、SHA1推导函数、SHA-256推导函数或 MD5推导函数。
在本发明方法的一个实施形式中对于在接入网络的节点和移动终 端设备之间的不同传输链路分别推导出 一个所属的接入特定的密钥。
在本发明方法的一个实施形式中移动终端设备在验证时同样产生 对话密钥并且从中推导出该接入特定的密钥。
此外本发明建立用于提供基本密钥的验证服务器，从基本密钥中 可以推导出用于保护在移动终端设备和接入网络的节点之间数据传输 链路的接入特定的密钥，其中验证服务器在验证移动终端设备时产生 一个对话密钥，从中借助于推导函数推导出基本密钥并且提供给交互 工作代理服务器。
此外本发明建立一个用于提供接入特定的密钥的交互工作代理服 务器，该接入特定的密钥用于保护在移动终端设备和接入网络的节点 之间进行的数据传输，其中交互工作代理服务器从由验证服务器传输 的基本密钥中推导出接入特定的密钥并提供给接入网络的节点。
此外本发明建立具有多个接入网络和移动终端设备的至少一个本 地网络的数据传输系统，其中本地网络的验证服务器在验证移动终端 设备时产生对话密钥并从中推导出公共基本密钥，其被传输给接入网 络，接入网络分别具有交互工作代理服务器，其从传输的基本密钥中 推导出至少一个接入特定的密钥，该接入特定的密钥分别预先规定用 于保护在移动终端设备和各自接入网络的节点之间的数据传输链路。
此外参考用于阐述本发明特征的附图描述为了保护在移动终端设 备和接入网络的节点之间数据传输而提供接入特定的密钥的本发明方 法和本发明系统的优选实施例。
图示
图 1: 按照现有技术的移动申请表 (MobilitStsanmeldungstabelle);
图2:按照现有技术的访问者列表；图3:用于WiMax无线网络的参考模型；
图4:按照现有技术的在代理移动IP(PMIP)情况下的连接建立； 图5:按照现有技术的在客户MIP (CMIP)情况下的连接建立； 图6:用于描述按照现有4支术、在WiMax接入网络和3GPP网络
之间合作的方框图7:具有提供接入特定的密钥的本发明系统的可能实施形式的方
框图8:描述提供接入特定的密钥的本发明方法的可能实施形式的信 号示意图9:描述提供接入特定的密钥的本发明方法的可能实施形式的另 外信号示意图。
图7示出了一个网络结构，其中可以采用本发明提供接入特定的 密钥的方法。移动终端设备1 (MS = Mobile Station)经过接口 Rl连接在接入网纟备2 (ASN=Access Service Network)上。接入 网络2经过接口 R3连接在访问网络3 ( VCSN = Visited Connectivity Service Network)上。这个访问网络3在其一,J 经过接口 R5与本地网络4 ( HCSN - Home Connectivity Service Network)进行连接。
如果移动终端设备1从第一个接入网络2移动到第二接入网络 2、，则在第一和第二接入网络之间实现切换(Handover )。这种切换 (Handover )在WiMax技术规范中称作"宏移动管理"或也称作"R3 移动，，或者"互相ASN移动，，。该访问网络3和本地网络4分别连接 在接入业务供应商(ASP)的网络或连接在因特网上。
每个接入网络2包含多个基站6，其自身方面经过接口 R6连接在 ASN网关节点上。在图6中示出的ASN网关节点5包含一个验证服务 器5A、 一个MIP外部代理5B和可选的一个PMIP客户5C以及可选的 一个交互工作代理单元7。在每个访问网络3中存在一个AAA服务器 3A，正如在图6中示出的。在本地网络4中同样存在一个验证服务器 4A以及一个本地代理4B。在一个可能的替换实施形式中在本地网络4 中存在交互工作单元7。
在移动终端设备1 一侧区分两种情况。移动终端设备1本身支持 移动IP并且具有一个自己的CMIP客户或移动终端设备1不支持移动IP并且需要在接入网络2的网关节点5中的PMIP客户5C。
图8示出了用于阐述本发明方法的可能实施形式的信号图，其中 交互工作单元7在第一实施形式中位于接入网络2中或在一个替换实 施形式中位于本地网络4中。在本发明方法中，提供用于保护在移动 终端设备1和接入网络2的任意节点之间进行的数据传输的接入特定 的密钥，其中在验证移动终端设备1时，位于移动终端设备1的本地 网络4中的验证服务器4A产生一个对话密钥并且从这个对话密钥中推 导出一个基本密钥，该基本密钥被传输给交互工作代理服务器7,正如 在图7中示出的。交互工作代理服务器7从接收的基本密钥中借助于 推导函数推导出所需的接入特定的密钥并且提供该接入特定的密钥用 于接入网络2的各自节点。从中要推导出传输的基本密钥的对话密钥 在一个实施形式中是MSK( Master Session Key )或EMSK( Extended Master Session Key)密钥。正如在图8中示出的，验证服务器 4A借助于HMAC-SHA1推导函数从扩展主对话密钥EMSK中推导出一 个伪EMSK密钥或一个/>共的基本密钥。在一个替换实施形式中通过 HMAC-SHA256推导函数、HMAC-MD5推导函数、SHA1推导函数、 SHA256推导函数或MD5推导函数形成该推导函数。已推导出的基本 密钥或者伪密钥在EAP成功消息与主对话密钥ESK—起传输给交互工 作单元7，其例如形成为交互工作代理服务器。
在本发明方法的一个可能实施形式中依赖于对话密钥MSK和/或 EMSK并且附加从符号串、也就是说根据变体之一推导出基本密钥或者 伪密钥
PEMSK-H (MSK， EMSK,"String") PEMSK=H (MSK,"String") PEMSK=H (EMSK,"String")。
在这个在图8中示出的实施形式中借助于EAP数据传输协议验证 移动终端设备1。在一个替换实施形式中在验证服务器4A中借助于 UMTS-AKA协i义或借助于HTTP-Digest-AKA协i义验i正移动终端i殳备。 最好借助于Diameter协议或Radius协议实现在验证服务器4A和交 互工作代理服务器7之间的数据传输。
已推导出的基本密钥或者伪密钥在密钥体系中是中间级。该基本 密钥可以作为公共基本密钥也转送给不同的、预先规定在不同的接入网络3中的交互工作代理服务器7。接入网络2例如是WiMax网络。 验证服务器4A所处的本地网络4例如是3GPP网络。
正如在图8中看出的，交互工作代理服务器7 —旦获得传输的基 本密钥，就借助于第二推导函数形成移动IP根密钥IMP-RK。第二推 导函数可能同样涉及HMAC-SHA1推导函数、HMAC-SHA256推导函数、 HMAC-MD5推导函数、SHA1推导函数、SHA-256推导函数或MD5推 导函数。在另一个实施形式中也可以采用另外的推导函数或者密钥推 导函数KDF。从如此推导出的移动IP根密钥MIP-RK中可以根据密钥 体系推导出用于保护在移动终端设备1和接入网络2的节点之间数据 传输的另外接入特定的密钥。第三推导函数例如涉及HMAC-SHA1推导 函数、HMAC-SHA256推导函数、HMAC-MD5推导函数、SHA1推导函 数、SHA-256推导函数或涉及MD5推导函数。
应用移动IP根密钥MIP-RK,以便从中产生应用密钥或者接入特 定的密钥，例如
MN-ha-MIP4=h (MIP-RK，"String" IhA-IP) MN-HA-CMIP6=H (MIP-RK，"String" |HA-IP ) MN-FA=H (MIP-RK,"String" |FA-IP) FA-H=H (MIP-RK，"String" | FA-IPl HA-IPl NONCE )。 符号"I"代表字符号串的级联。 对此还可以如下1參改密钥推导，即为PMIPV4和CMIPV4 4,导出 独立的密钥。例如
MN-HA-CMIP4=H (MIP-RK，"CMIP4MNHA" |HA-IP ) MN-HA-PMIP4-H (MIP-RK,"PMIP4MAHA" |HA-IP) 对于在接入网络2的节点和移动终端设备1之间的每一个不同的 数据传输链路以这种方式分别从移动IP根密钥中推导出一个所属的 接入特定的密钥，移动IP根密钥自身从传输的基本密钥中推导出。
在本发明方法中，在用户的基于EAP的网络申请范围内如此扩展 目前的密钥推导，即交互工作代理服务器7给接入网络提供适合的 CMIP密钥，其同样也可以用于PMIP。在本发明方法中借助于适当的 密钥推导函数KDF通过验证服务器从MSK和/或EMSK和/或另外的输 入、例如符号串中推导出基本密钥或者伪密钥。
图9示出了用于阐述基于本发明方法的原理的信号图。在验证移动终端设备1时，借助于验证和密钥说明协议、例如基于Radius或 Diameter的EPA在第一网络中的安全服务器或者验证服务器4A在临 时的加密密钥TKS、例如主对话密钥MSK或者EMSK的基础上产生基 本密钥或者伪密钥PTSK或者临时的伪加密密钥。接下来把利用推导函 数推导出的伪密钥传输给例如位于第二网络中的交互工作代理服务器 7，其中在其一侧为每个应用服务器或者节点8、 9从另外的推导函数 中推导出一个接入特定的密钥。接下来每个应用服务器8、 9从交互工 作代理服务器7获得为其推导的接入特定的密钥。接下来借助于所传 输的密钥对在终端设备l和各自应用服务器8、 9之间的数据传输链路 以加密方式进4于保护。
利用本发明方法，验证服务器(例如WLAN服务器或3GPP服务器) 能够用于WiMax接入网络，其中验证服务器不必提供所期待的WiMax 接入网络的CMIP/PMIP功能，而是仅仅为了必须扩展功能，从对话密 钥中推导出基本密钥。本发明方法此外提供这样的优点，即在WiMax 接入网络中也支持CMIP并且因此避免了关于宏移动的各种限制。在本 发明的方法中，WiMax网络除了设置交互工作代理服务器7之外不需 要另外的改变或修改。移动终端设备l、验证服务器以及交互工作代理 服务器7知道使用哪个基本密钥或者伪密钥。由此能够在WiMax网络 内部支持不同的MIP密钥(Bootstrapping-Varianten)。在本发 明方法中把例如来自3GPP网络的密钥材料转变为WiMax网络的密钥 材料，其中WiMax网络可以使用已形成的密钥而不必进行适配调整。
在本发明的一个实施形式中，在WiMax网络外部(例如在3GPP 网络)中建立了根据本发明的验证功能。本发明方法使未来的 WiMax-3GPP交互工作成为可能而不必由此受到WiMax网络的限制。 本发明方法的另外优点在于对于任意应用很容易扩展在不同网络之 间以及为移动应用提供密钥的交互工作。在本发明方法中交互工作代 理服务器7只需了解必须提供哪一种应用特定的密钥以及怎样推导 出这些密钥。因此在本发明方法中不需要本地验证服务器为所有接入 的不同网络分别产生一个所需的密钥。与此相应在本发明方法中不同 网络比较筒单地灵活接入本地网络。
在本发明方法中移动终端设备1在验证时同样产生对话密钥并且 以相同的方式推导出接入特定的密钥。
权利要求
1. 提供用于保护在移动终端设备(1)和接入网络(2)的节点之间的数据传输的接入特定的密钥的方法，其中在验证这个移动终端设备(1)时验证服务器(4A)产生对话密钥，从该对话密钥中产生基本密钥并传输给交互工作代理服务器(7)，该交互工作代理服务器(7)从传输的基本密钥中推导出接入特定的密钥并提供给该接入网络(2)的节点。
2. 按照权利要求1所述的方法，其中通过MSK (Master SessionKey )密钥或通过EMSK ( ExtendedMaster SessionKey ) 密钥形成对话密钥。
3. 按照权利要求1所述的方法，其中所述验证服务器(4A)位 于移动终端设备的本地网络中。
4. 按照权利要求1所述的方法，其中从对话密钥中借助于预先 规定的第一推导函数推导出基本密钥。
5. 按照权利要求4所述的方法，其中通过HMAC-SHA1推导函 数、HMAC-SHA256推导函数、HMAC-MD5推导函数、SHA1推导函数、 SHA-256推导函数或MD5推导函数形成第一推导函数。
6. 按照权利要求1所述的方法，其中依赖于对话密钥和符号串 (String)推导出基本密钥。
7. 按照权利要求1所述的方法，其中在验证服务器中借助于 EAP协i义验证移动终端i殳备。
8. 按照权利要求1所述的方法，其中在验证服务器中借助于 UMTS - AKA协i义验i正移动终端i殳备。
9. 按照权利要求1所述的方法，其中在验证服务器中借助于 HTTP-Digest-AKA协i义验i正移动终端i殳备。
10. 按照权利要求1所述的方法，其中借助于Diameter协议或 Radius协议实现在验证服务器和交互工作代理服务器之间的数据传 输。
11. 按照权利要求1所述的方法，其中通过WiMax网络形成接入 网络。
12. 按照权利要求1所述的方法，其中通过3GPP网络形成本地 网络。
13. 按照权利要求1所述的方法，其中通过交互工作代理服务器 借助于第二推导函数从传输的基本密钥中推导出移动IP根密钥。
14. 按照权利要求13所述的方法，其中通过HMAC-SHA1推导函 数、HMAC-SHA256推导函数、HMAC-MD5推导函数、SHA1推导函数、 SHA-256推导函数或MD5推导函数形成第二推导函数。
15. 按照权利要求14所述的方法，其中借助于第三推导函数从 已推导出的移动IP根密钥中推导出用于保护在移动终端设备和接入 网络的节点之间数据传输的接入特定的密钥。
16. 按照权利要求15所述的方法，其中通过HMAC-SHA1推导函 数、HMAC-SHA256推导函数、HMAC-MD5推导函数、SHA1推导函数、 SHA-256推导函数或MD5推导函数形成第三推导函数。
17. 按照权利要求1所述的方法，其中为在接入网络(2)的节 点和移动终端设备(1)之间的不同数据传输链路分别推导出所属的接 入特定的密钥。
18. 按照权利要求1所述的方法，其中移动终端设备(1)在验 证时同样产生对话密钥并从中推导出接入特定的密钥。
19. 用于提供基本密钥的验证服务器(4A)，从该基本密钥中可 以推导出用于保护在移动终端设备(1)和接入网络(2)的节点之间 数据传输链路的接入特定的密钥，其中验证服务器(4A)在验证移动 终端设备(1 )时产生对话密钥并从中借助于推导函数推导出基本密钥 并提供给交互工作代理服务器(7)。
20. 按照权利要求19所述的验证服务器，其中通过HMAC-SHA1 推导函数、HMAC-SHA256推导函数、HMAC-MD5推导函数、SHA1推 导函数、SHA-256推导函数或MD5推导函数形成推导函数。
21. 按照权利要求19所述的验证服务器，其中验证服务器(4A) 设置在移动终端设备(1)的本地网络(4)中。
22. 提供用于保护在移动终端设备(1)和接入网络(2)的节点 之间数据传输的接入特定的密钥的交互工作代理服务器(7)，其中交 互工作代理服务器(7)从由验证服务器(4A)传输的基本密钥中推导 出接入特定的密钥并提供给接入网络(2)的节点。
23. 按照权利要求22所述的交互工作代理服务器，其中交互工 作代理服务器(7)设置在接入网络(2)中。
24. 按照权利要求22所述的交互工作代理服务器，其中交互工 作代理服务器(7)设置在移动终端设备(1)的本地网络(4)中。
25. 具有多个接入网络(2)和移动终端设备(1)的至少一个本 地网络(4)的数据传输系统，其中本地网络(4)的验证服务器(4A) 在验证移动终端设备(1 )时产生对话密钥并从中推导出公共的基本密 钥，该基本密钥被传输给接入网络(2)，该接入网络(2)分别具有 交互工作代理服务器(7)，该交互工作代理服务器(7)从传输的基 本密钥中推导出至少一个接入特定的密钥，该传输的基本密钥分别被 设置用来保护在移动终端设备(1)和各自接入网络(2)的节点之间 的数据传输链路。
26. 按照权利要求25所述的数据传输系统，其中通过交互工作 代理服务器(7)从传输的基本密钥中为接入网络(2)的每个节点推 导出所属的接入特定的密钥。
全文摘要
提供用于保护在移动终端设备(1)和接入网络(2)的节点之间数据传输的接入特定的密钥的方法，其中在验证移动终端设备(1)时验证服务器(4A)产生对话密钥，从该对话密钥中推导出基本密钥并传输给交互工作代理服务器(7)，其从传输的基本密钥中推导出接入特定的密钥并提供给接入网络(2)的节点。
文档编号H04W12/06GK101502078SQ200780030180
公开日2009年8月5日 申请日期2007年8月9日 优先权日2006年8月14日
发明者D·克罗塞尔伯格, G·霍恩, R·法尔克 申请人:西门子公司