专利名称:提供对称密钥以便保护密钥管理协议的方法
技术领域:
本发明涉及一种用于提供对称密钥以便保护密钥管理助、议的方法。
本发明的技术领域涉及用户装置和供应商装置之间的媒体数据的保护或者
加密,其中所述用户装置例如是个人计算机,所述供应商装置例如是业务提供
商或者供应商的媒体服务器。
背景技术:
在当前采用的基于SIP/RTP的EP承载语音系统(例如IP多媒体子系统 (MS))中,通常没有采取任何保护媒体数据的措施。这在通常提供第二层加密 的移动无线电网络(诸如UMTS或者GPRS网络)中可能是合理的。但是在固 网情况下通常不存在这种基本的第二层加密,因此在此必须采用自己的机制。 这是更加迫切的,因为例如MS也;W越多地在固网情况下f棘用,而不仅仅 在原先研制所针对的移动网络环境中被采用。
一种用于保护媒体数据的可能方案在于在两个通信伙伴之间进行端到端的 加密。然而在此碰到了各种困难,例如密钥管理、合法侦听、代码转换等。 因而,更好的变型方案看来是端到中心的方案,其中仅在终端设备和供应商装 置(例如媒体代理)之间进行这种保护。
在端到端安全隋况下,信令端点和媒体安全端点是相同的,而在端到中心 情况下,它们是不同的。RFC3711定义了 RTP的配置文件、即安全RTP(SRTP), 以便保护RTP流。SRTP可以被用于保护端至IJ端连接中的媒体通信,也就是说, 两个通信用户之间的完整路径。RTP也可以被用于端到中心连接。
发明内容
本发明的任务在于,在4顿适当的安全协议(如SRTP)在完整性和机密性 方面保护供应商装置和用户装置之间的媒体数据。
然而,这种安全协议必须配备适当的主密钥,用以导出会话密钥和加密上 下文。在RFC3711的第3.2章节中,对加密上下文的一个例子进行了说明。在 用户装置和供应商装置(例如媒体代理)之间的通信开始之前,在用户装置和和加密上下文不可用。因此必须设置提供主密钥和加密上
下文的装置。为此可以采用密钥管理协议。用于SRTP的密钥管理协议的一个 例子是MKEY。在RRC 3830中对MKEY进行了说明。在用户装置和网络的 适当的服务器之间执行密钥管理协议。适当的服务器不必是媒体代理。替代地, 该服务器也可以与SIP代理相同。然而,密钥管理协议本身必须受到保护。
因此本发明的另一个任务在于保护用于在用户装置和供应商装置之间加密 地传输媒体 的协议(如SRTP)的密钥管理协议。
另外一个任务在于向用户装置和相应的供应商,提供对称密钥,以便保 护用于在用户装置和供应商装置之间加密地传输媒体数据的协议的密钥管理协 议。
根据本发明,所提出的这些任务中的至少一个ffiil具有权利要求1的特征 的方法和/或Mil具有权利要求15的特征的方法来解决。
因此建议一种用于提供对称密钥以便保护密钥管理协议的方法,借助所述 密钥管理协议生成在用户装置和供应商装置之间加密地传输媒体数据的协议的 加密材料(kiyptographischesMaterial),其中该方法具有以下步骤
-向用户装置和供应商装置提供第一对称密钥,所述第一对称密钥在控制层 的网络协议的基于对称密钥的安全机制中被用于在所述用户装置和所述供应商 装置之间KZJI信会话;
-由供应商装置提供第一时变参数;
-将由所述供应商装置提供的第一时变参数传输给所述用户装置;
-由所述供应商装置借助预定函数至少根据所提供的第一时变参数和所提供 的第一对称密钥计算用于保护密钥管理协议的第二对称密钥;以及
-由所述用户装置借助所述预定函数至少根据所传输的第一时变参数和所提 供的第一对称密钥计算所i^第二对称密钥。
另外还建议一种用于加密用户装置和供应商装置之间的媒体数据的方法, 该方法具有以下步骤
-借助上面所述的用于提供对称密钥以便保护密钥管理协议的方法分别向用 户装置和供应商装置提供对称密钥;
-由所述用户装置或者所述供应商装置根据对称密钥来加密媒体数据;
-由所述用户装置或者所述服务商装置发送加密后的媒体数据;-由所述供应商,或者所述用户装置接收加密后的媒体数据;以及 -由所述供应商装置或者所述用户装置借助所提供的对称密钥来解密所接收 的媒体数据。
有利地,本发明提供一种保护密钥管理协议的可能性,《昔助所述密钥管理 协议生成用于在用户装置和供应商装置之间加密地传输媒体数据的协议(如
SRTP)的加密材料。有利地,M可简单操作的对称加密方法利用对称密钥来
确保对密钥管理协议的保护。
由从属t又利要求以及参考附图的说明得到本发明的有利的实施方案和改进 方案。
根据本发明的一个,实施方案,用于加密地传输媒体数据的协议被构造
为安全实时传输协议(SRTP)。
根据另一优选实施方案,该密钥管理协议被构造为多媒体互联网密钥协议 (MKEY)。
根据另一优选实施方案,安全机制被构造为鉴权协议和/或完整性协议 (Authentifizierungs- und/oder IntegrMtsprotokoll )、尤其是HTTP摘要协议 (HTTP-Digest-Protokoll)。
根据另一优选实施方案,用于建立通信连接的网络协议被构造为会话发起 协议(SIP)。
根据另一优选实施方案,加密材料具有主密钥,用于导出会话密钥和加密 上下文。
根据另一,实施方案,密钥管理协议在控制层中和/或在媒体层中被采用。
根据本发明的一个,5,方案,上面所述的方法还具有以下步骤 -由用户装置生成第二时变参数;
-将所生成的第二时变参数^^ 述用户装置传输给所述供应商装置; -由供应商装置根据所提供的第一对称密钥、所提供的第一时变参数以及由
所述用户装置传输的第二时变参数计算所述第二对称密钥;以及
-由所述用户,根据所提供的第一对称密钥、由所述供应商装置传输的第
一时变参数以及所生成的第二时变参数计算所述第二对称密钥。
根据另一,改进方案,分别由用户装置和供应商装置从第一时变参数导
出第三时变参数,分别由所述用户装置和所述供应商装置根据该第三时变参数计算第二对称密钥。
根据另一优选实施方案,第一时变参数被构造为只用一次的数字(Nonce) 和/或第二时变参数被构造为客户端定义的Nonce (CNonce)和/或第三时变参数 被构造为HTTP摘要协议的Nonce计数。
根据另一优选实 案,预定函数鋤多被划分为第一子函数和第二子函数, 其中第一子函数至少具有作为输入参数的第一对称密钥和第一时变参数,而第 二子函数至少具有作为输入参数的第一子函数的结果和第二时变参数。
根据另一优选实施方案,用户装置和供应商装置至少部分地构成IP多媒体 子系统(MS)。
根据另一优选实施方案,IP多媒体子系统(MS)的供应商装置具有 -代理功能单元,其与所述用户,耦合;禾口/或 -询问功能单元,其与所述代理功能单元耦合;禾口/或 -服务器功能单元,其与所述询问功能单元耦合;和/或 -归属用户月艮务器单元,其与服务器功能单元耦合并且至少存储所述第一对 称密钥。
根据另一 实 案,在用户装置和服务器功能单元之间执行HTTP摘 要协议。
根据另一tti^实施方案,在用户装置和归属用户月艮务器单元之间执行HTTP 摘要协议。
根据另一优选实施方案,由服务器功能单元执1于第一子函数,将第一子函 数的结果从所述服务器功能单元传输给代理功能单元,所述代理功能单元接收 第二时变参数并且所述代理功能单元执行所述第二子函数。
根据另一优选实施方案,由归属用户服务器单元执行第一子函数,所述归 属用户服务器单元经由所述询问功能单元将第一子函数的结果传输给代理功能 单元,所述代理功能单元接收第二时变参数并且所述代理功能单元执行所述第 二子函数。
根据另一优选实施方案,用户装置具有向供应商装置进行的基于SIP的订阅。
下面,借助在示意图中说明的实施例进一步阐述本发明。图1示出基于SIP的通信架构的示意方框图,本发明方法可应用于该通信架
构;
图2示出本发明方法的第一实施例的示意性流程亂 图3示出本发明方法的第二实施例的示意性流程图; 图4示出IMS架构的示意方框图,本发明方法可应用于该IMS架构; 图5示出本发明方法的被应用于根据图4的IMS架构的第三实施例的示意流 程图;以及
图6示出本发明方法的被应用于根据图4的IMS架构的第四实施例的示意流 程图。
具体实施例方式
在所有图中,只要未加以另外说明,相同或者功能相同的元件及单元就配 备有相同的附图标记。
图1示出基于SIP的通信架构SKA的示意方框图,本发明方法可应用于该 通信架构。
根据图1的基于SIP的通信架构SKA M第一用户装置UE1 、第一供应商 装置PE1、第二供应商装置PE2和第二用户装置UE2构成。在此,第一用户装 置UE1与第一供应商装置PE1耦合。第二用户装置UE2与第二供应商装置PE2 耦合。另外,第一供应商装置PE1和第二供应商装置PE2耦合。第一供应商装 置PE1和第二供应商装置PE2之间的耦合可以iM:网络、尤其是互联网构成。
供应商装置PE1、 PE2具有数据库DB1、 DB2, SIP代理功能单元SP1 、 SP2以及媒体代理功能单元MP1、 MP2。
尤其是在用户装置UE1和SIP功能单元SP1之间执行会话发起协议SIP。 为了清楚起见,未示出第二用户,UE2和第二供应商装置PE2的相应图示。
在第一用户装置UE1和媒体代理功能单元MP1之间执行安全实时协议 SRTP。
在图2中示出了本发明方法的第一实施例的示意流程图,本发明方法用于 提供用于保护密钥管理协议的对称密钥NK,利用所述密钥管理协议,可以为用 于在用户装置UE1和供应商装置PE1之间加密地传输媒体f^MD的协议生成 加密材料。下面借助图2中的方框图参考根据图1的架构来说明本发明方法。 根据图2的本发明方法的第一实施例具有下歹陟骤Sl至S5:方法步^聚S1:
向用户^SUE1和供应商装置PE1提供第一对称密钥DK。 i亥第一对称密 钥DK在控制层的网络协议的基于对称密钥的安全机制中被用于在用户, UE1和供应商,PE1之间M:通信会话。
方法步骤S2:
由供应商装置PE1提供第一时变参数Nonce。 方法步骤S3:
将所提供的第一 时变参数Nonce从供应商體PE1传输给用户装置UE1 。 方法步骤S4:
由供应商装置PE1为了保护密钥管理协议而借助预定函数F至少根据所提 供的第一对称密钥DK和所提供的第一时变参数Nonce来计算第二对称密钥 NK(NK = F(DK, Nonce》。
方法步骤S5:
由用户装置UE1借助预定函数F至少根据所提供的第一对称密钥DK和所 传输的第一时变参数Nonce来计算第二对称密钥NK(NK = F (DK, Nonce))。
也可以以相反顺序执行方法步骤S4和S5。优选地,只有当用户装置UE1 被鉴权时,供应商錢PE1才计算密钥NK。
因此,该对称密钥NK对于供应商,PE1和用户装置UE1来说都是已知的。
在图3中示出了本发明方法的第二实施例。根据图3的第二实施例具有方 法步骤Tl至T7。在此,根据图3的方法步骤Tl至T3相当于根据图2的方法 步骤S1至S3。为了清楚起见,舍弃对其的重新描述。因此根据图3的第二实 施例具有相当于根据图2的方法步骤Sl至S3的方法步骤Tl至T3、以及下列 方法步骤T4至T7:
方法步骤T4:
由用户装置UE1生成第二时变参数CNonce。 方法步骤T5:
将所生成的第二时变参数CNonce从用户,UE1传输给供应商装置PE1 。 方法步骤T6:
由供应商装置PE1根据所提供的第一对称密钥DK、所提供的第一时变参数Nonce以及由用户装置UE1传输的第二时变参数CNonce来计算第二对称密钥 NK (NK = F(DK^ Nonce, CNonce))o
方法步骤T7:
由用户,UE1根据所提供的第一对称密钥DK、由供应商装置PE1传输 的第一时变参数Nonce以及所生成的第二时变参数CNonce来计算第二对称密 钥NK (NK = F PK, Nonce, CNonce))。
也可以以相R)顿自行方法步骤T6和T7。优选i也只有当用户^aUEl被 鉴权时,供应商装置PE1才计算密钥NK。对于本发明方法,在此尤其是对于 根据图2和图3的实施例,可以有禾哋实现下列实施方案。
用于加密地传输媒体数据MD的协议可以被构造为安全实时传输协议 (SRTP )。密钥管理协议可以被构造为多媒体互联网密钥协议 (Multimedia-Intemet-Keying, MKEY)。安全机制可以是鉴权协i义和/或完整性协 议,在此尤其是HTTP摘要协议。用于建M信连接的网络协议可以是会i舌发 起协议(SIP)。另外,加密材料可以具有主密钥,用于导出会话密钥和加密上 下文。
地在控制层中和/鹏媒体层中采用密钥管理协议。尤其还可以分别由 用户装置UE1和供应商装置PE1从第一时变参数Nonce导出第三时变参数 Nonce-Count。根据该第三时变参数Nonce-Count,可以分别由用户装置UE1和 供应商装置PE1计算第二对称密钥NK。尤,RFC 2618和RFC 3261中对 HTTP摘要鉴权进行了说明,根据本发明,HTTP摘要鉴权tra地被用作安全机 制。优选地将第一时变参数构造为只用一次的数字(Number-Used-Once , Nonce)。第二时变参数尤其是客户端定义的Nonce (Client-Defined-Nonce , CNonce)。第三时变参数优选地被构造为HTTP摘要协议的Nonce计数 (Nonce-Count)。
下面对本发明在IMS架构中的采用进fri兑明。为此,在图4中示出了这种 MS架构MS的示意性方框图。在此,将HTTP摘要协议作为安全机制用于会 话发起协议SIP。例如在无线一键通(Push-To-Ta!k-over-Cellular,PoC)[OMAPoC 版本l]中或者在ETSITISPAN规范ETSITS 183033中可以找到作为鉴权机制的 HTTP摘要的例子。将HTTP摘要用于MS架构的另一个例子是分组线缆 (Packet-Cable)规范PKT-SP-33.203。根据图4的IP多媒体子系统IMS的供应商装置PE1具有代理功能单元
P-CSCF、询问功能单元I-CSCF、服务器功能单元S-CSCF以及归属用户服务器 单元HSS。代理功能单元P-CSCF与用户,UE1耦合。询问功能单元I-CSCF 与代理功能单元P-CSCF耦合,服务器功能单元S-CSCF与询问功能单元I-CSCF 耦合,并且归属用户服务器单元HSS与服务器功能单元S-CSCF耦合。另外, 归属用户服务器单元 地存储第一对称密钥DK。
因此如果在IMS架构IMS中i顿HTTP摘要,那么用户装置UE1和归属 用户服务器单元HSS分别配备有对称密钥DK,用以通过HTTP摘要进行鉴权。 在会i舌发起期间,用户装置UE1向P-CSCF发送未授权的第一 SIP注册消息, P《SCF将第一 SIP注册消息转发给S-CSCF。 S-CSCF向HSS请求用户标识 (Nutzeridentifizierung)或者订阅数据(Subscriptionsdaten)。在此,两种替代方 案是可能的
替代方案1: S-CSCF从HSS获得密钥DK。 S-CSCF存储密钥DK,以便借 助下一注册消息对用户装置UE1进行鉴权。S-CSCF终止HTTP摘要协议。
替代方案2: HSS不将密钥DK发送给S-CSCF。 HSS自己终止HTTP摘要 协议,并且计算对于所i顿的协i姊说所需的所有消息。
下面两个例子针对上面阐述的两个替代方案示出本发明的两个不同实施方案。
例子1:在没有CNonce的情况下^ffl Nonce
针对替代方案1: S-CSCF在使用第一密钥DK和第一时变参数Nonce的情 况下生成第二密钥NK,并且在SIP401未授权消息中将第二密钥NK发送至 P-CSCF。在用户装置UE1接收到该消息之后,该用户装置UE1同样以类似方 式在使用第一密钥DK和时变参数Nonce的情况下生成第二密钥NK。然而, P-CSCF已经从该消息中将密钥NK去除,否则该密钥在从P-CSCF至用户装置 l正l的途中将旨^多容易地被监听。因此,第二密钥NK对于用户装置UE1和 P"CSCF来说是已知的。
针对替代方案2: HSS在使用第一密钥DK和第一时变参数Nonce的情况 下借助预定函数F生成第二密钥NK,并且在MS消息中将所生成的第二密钥 NK发送至S-CSCF, S-CSCF将第二密钥NK在SIIM01未授权消息中转发至 P-CSCF。在用户,UE1接收到该消息之后,该用户装置UE1同样以相同方式在〗顿第一密钥DK和Nonce的情况下生麟二密钥NK。然而,P-CSCF已 经从该消息中将密钥NK去除,否则该密钥在从P-CSCF至用户装置UE1的途 中将肖濒容易地, 听。因此向第一用户體UE1和P《SCF提供了第二密钥 NK。
例子2:使用Nonce和CNonce
针对靴方案l: S-CSCF在使用DK、 Nonce和CNonce作为预定函数F的 输入参数的情况下生成NK。但是,NK不能在401消息中从S-CSCF被发送给 P-CSCF,这是因为在该时刻在S-CSCF中Cnonce不可用。然而可以在 SEP-200-OK消息中发送NK (参见图5中的消息9)。用户装置UE1同样可以在 DK、 Nonce和Cnonce的情况下借助预定函数F来生成NK。然而,P-CSCF 己经从该消息中将密钥NK去除,否则该密钥在从P-CSCF至用户^gUEl的 途中将能够容易地!鹏听。因此,用户装置UE1和P-CSCF拥有第二密钥NK。
ttiMk,预定函数F可以被划分为第一子函数F1和第二子函数F2。在此, 第一子函数Fl至少具有作为输入参数的第一对称密钥DK和第一时变参数 Nonce,而第二子函数F2至少具有作为输入参数的第一子函数Fl (DK, Nonce) 的结果和第二时变参数CNonce。然后,可以将第一子函数(DK, Nonce)的结 莉在401消息中]从S-CSCF发送到P-CSCF,并且P-CSCF可以根据所述结果 以及所侦听到的CNonce计算NK。如果P-CSCF接收到或者侦听到HTTP摘要 报头,那么这是可能的。
针对替代方案2: HSS执行第一子函数Fl ,并且计算其结果Fl (Nonce, DK),并将该结果Fl (Nonce, DK)在IMS消息中发送给S-CSCF。 S-CSCF 然后可以在SIP-200-OK消息中将第二密钥NK (NK = F2 (CNonce, Fl(Nonce, DK)))转发到P-CSCF。在用户,UE1接收到该消息之后,用户装置UE1于是 同样可以在使用Nonce和DK的情况下生成第二密钥NK。然而,P-CSCF己经 从该消息中将密钥NK去除,否则该密钥在从P-CSCF至用户装置UE1的途中 将育滩容易地被监听。因此,用户装置UE1和P-CSCF拥有同一个第二密钥NK。
作为一种,方案,可以将第一子函数Fl (Nonce, DK)的结果在401消 息中从S-CSCF发送到P-CSCF,并且P-CSCF可以根据所述结果以及所侦听到 的CNonce计算第二密钥NK。
为此,图5示出根据具有替代方案1的例子1的本发明方法的示意流程图:1. 用户装置UE1将初始SIP注册请求发送到P《SCF的地址,该地址在MS 架构MS中被预先配置。该请求包括授权报头,该授权报头具有私有用户身份 鮮I。
2. P-CSCW每接收到的消息经由I-CSCF转发到S-CSCF。为了清楚起见,在 图5禾卩6中未示出I-CSCF。
3. 在接收到SIP注册请粒后,S-CSCF通腿同IMPI—起发送Cx多媒 体鉴权请求(Cx-Multimedia-Auth-Request) MAR来传输HSS的鉴权数据。为 此请参考3GPP TS 29.229 。
4. HSS以多媒体鉴权应答(Multimedia-Auth-Antwort) MAA进行回答,该 应答包含用于HTTP摘要的第一密钥DK。
5. S-CSCF借助预定函数F在使用DK和Nonce作为输入参数的情况下生成 第二密钥NK。 S-CSCF借助SnMOl未授权消息经由I-CSCF指示P-CSCF:"已 经请求了 HTTP摘要鉴权。"SHMOl未授权消息包括具有Nonce的WWW鉴权 报头(WWW-Authenticate-Header)。另夕卜,将第二密钥NK传输到P-CSCF,以
便可以执行密钥管理协议。
6. P-CSCF可以存储第二密钥NK,并且将SHM01未授权消息转送到用户 装置UE1,然而在没有第二密钥NK的情况下。只要注册过程没有成功地结束, P-CSCF就不允许使用所存储的第二密钥NK (自根据图5的步骤9起可以使用 NK)。
7. 用户装置UE1在^il所存储的第一密钥DK和所接收的Nonce的情况下 计算摘要值Digest。用户,UE1将包括授权报头(Authonsiemngs-Header)的 第二 SIP注册请求发送到P-CSCF,所述授权报头具有IMPI和所计算的摘要值 Digest 。
8. P-CSCF将接收到的消息经由I-CSCF转发给S-CSCF。
9. 在S-CSCF接收到该消息之后,其在使用作为摘要密钥的所存储的密钥 DK (该密钥DK是S-CSCF预先从HSS接收到的)和Nonce的情况下重fH十 算摘要值Digest。 S-CSCF将所计算的摘要值Digest与从用户装置UE1接收的 摘要值Digest进行比较。如果两者一致,那么舰将SIP-200-OK消息发送给用 户装置UE1来成功地结束注册。当200OK消息经过P-CSCF时,P-CSCF同样 可以认为注册过程成功完成并且从此开始可以使用其在步骤6中所存储的第二密钥NK。
10. 如果例如用户装置UE1希望进行加密会话,那么它可以将加密的主密钥 enc (MK)在SIP邀请消息(SIP-Invite-Nachricht,参见根据图5的消息10)中 传输给P-CSCF。借助第二对称密钥NK将主密钥MK加密为加密的主密钥enc (MK)。在第二密钥NK对于P-CSCF而言是己知的之后,P-CSCF可以对接收 到的加密的主密钥enc (MK)进^t 密。
11. M31将第二SIP-0K消息发送回用户装置UE1来确认会话的发起。 自图5中的步骤10起,fflii用户體UEl执行^i舌的繊。替代地,也可
以i!5i供应商,PEl (在此尤其,过P-CSCF)发起^i舌。
图6示出具有替代方案2的例子1的本发明方法的示意流程图。根据图6 的第四实施例与根据图5的第三实施例的不同在于步骤4。图6中的步骤4与图 5中的步骤4有如下不同之处,即,根据图6, HSS仅发送第二密钥NK而不直 接发送第一密钥DK。另外,还将期望的摘要值Digest发送到S-CSCF。
尽管之前借助优选实施例说明了本发明,然而本发明不限于这些实施例, 而是會滩以多种方式加以改变。例如可设想的是,将密钥NK首先在200OK消 息中从S-CSCF发送到P-CSCF。另外可设想的是,将本发明应用于非MS架构。 在这种非MS架构中,SIP代理可以直接配备有第一对称密钥DK,因此无需从 库接收第一密钥DK或者将第二密钥NK从S-CSCF/HSS传输到P-CSCF。
权利要求
1. 一种用于提供对称密钥(NK)以便保护密钥管理协议的方法,借助所述密钥管理协议生成用于在用户装置(UE1)和供应商装置(PE1)之间加密地传输媒体数据(MD)的协议的加密材料,该方法具有以下步骤(a)向所述用户装置(UE1)和所述供应商装置(PE1)提供第一对称密钥(DK),所述第一对称密钥在控制层的网络协议的基于对称密钥的安全机制中被用于在所述用户装置(UE1)和所述供应商装置(PE1)之间建立通信会话;(b)由所述供应商装置(PE1)提供第一时变参数(Nonce);(c)将由所述供应商装置(PE1)提供的所述第一时变参数(Nonce)传输给所述用户装置(UE1);(d)由所述供应商装置(PE1)借助预定函数(F)至少根据所提供的第一时变参数(Nonce)和所提供的第一对称密钥(DK)计算用于保护所述密钥管理协议的第二对称密钥(NK);以及(e)由所述用户装置(UE1)借助所述预定函数(F)至少根据所传输的第一时变参数(Nonce)和所提供的第一对称密钥(DK)计算所述第二对称密钥(NK)。
2. 根据权利要求1所述的方法,其特征在于,所述用于加密地传输媒体数据(MD)的协议被构造为安全实时传输协议 (SRTP);禾口/或所述密钥管理协议被构造为多媒体互联网密钥协议(MKEY);禾口/或 所述安全机制被构造为鉴权协议和/殺整性协议、尤其是HTTP摘要协议; 禾口/或用于粒通信连接的网络协议被构造为^i舌发起协议(SIP);和/或 所述加密材料具有主密钥,用于导出会话密钥和加密上下文。
3. 根据权利要求1或2所述的方法,其特征在于,所述密钥管理协议在控制层中和/鹏媒体层中!棘用。
4. 根据权利要求l、或权利要求2或3之一所述的方法,其特征在于, 所述方法还具有以下步骤-由所述用户装置(UEl)生成第二时变参数(CNonce); -将所生成的第二时变参数(CNonce)从所述用户装置(UEl)传输给所述供应商装置(PE1);-由所述供应商装置(PEl滩据所提供的第一对称密钥(DK;K所提供的第一时 变参数(Nonce)以及由所述用户装置(UEl)传输的第二时变参数(CNonce)计算所 述第二对称密钥(NK);以及-由所述用户,(UEl)根据所提供的第一对称密钥pK)、由所述供应商装 置(PEl)传输的第一时变参数(Nonce)以及所生成的第二时变参数(CNonce)计算 所述第二对称密钥(NK)。
5. 根据权利要求l、或权利要求2至4之一所述的方法,其特征在于, 分别由所述用户装置(UE1)和所述供应商装置(PE1)从所述第一时变参数(Nonce)导出第三时变参数(Nonce-Count),分别由所述用户装置(UEl)和所述供应 商装置(PE1)根据所述第三时变参数计算所述第二对称密钥(NK)。
6. 根据权利要求5所述的方法,其特征在于,所述第一时变参数(Nonce)被构造为只用一次的数字(Nonce;)禾口/^^述第二 时变参数被构造为客户端定义的Nonce (CNonce)和/或所述第三时变参数被构造 为HTTP摘要协议的Nonce计数。
7. 根据权利要求4至6之一所述的方法,其特征在于, 所述预定函数(F)育,被划分为第一子函数(F1)和第二子函数(F2),其中所述第一子函数(Fl)至少具有作为输入参数的所述第一对称密钥pK)和所述第一时 变参数(Nonce),而所述第二子函数(F2)至少具有作为输入参数的所述第一子函 数的结果(Fl(DK,Nonce))和所述第二时变参数(CNonce)。
8. 根据权利要求l、或权利要求2至7之一所述的方法,其特征在于, 所述用户装置(UE1)和所述供应商,(PE1)至少部分地构成IP多媒体子系统(歸)。
9. 根据权利要求8所述的方法,其特征在于,所述IP多媒体子系统(IMS) 的所述供应商體(PE1)具有-代理功能单元(P-CSCF),其与所述用户體(UE1)耦合;和/或 -询问功能单元(I-CSCF),其与所述代理功能单元(P-CSCF)耦合;和/或 -服务器功能单元(S-CSCF),其与所述询问功能单元(I-CSCF)耦合;和/或 -归属用户服务器单元(HSS),其与所述服务器功能单元(S-CSCF)耦合并且至 少存储所述第一对称密钥(DK)。
10. 根据权利要求9所述的方法,其特征在于,在所述用户装置(UE1)和所述服务器功能单元(S-CSCF)之间执行所述HTTP摘要协议。
11. 根据权禾腰求9所述的方法,其特征在于,在所述用户装置(UE1)和所述归属用户服务器单元(HSS)之间执行所述 HTTP摘要协议。
12. 根据权利要求10所述的方法,其特征在于,由所述服务器功能单元(S-CSCF)执行所述第一子函数(F1),将所述第一子函 数的结果(Fl(DK,Nonce》从所述服务器功能单元(S-CSCF)传输给所述代理功能 单元(P-CSCF),所述代理功能单元(P-CSCF)接收所述第二时变参数(CNonce)并 且所述代理功能单元(P-CSCF)执行所述第二子函数(F2)。
13. 根据权利要求ll所述的方法,其特征在于,由所述归属用户服务器单元(HSS)执行所述第一子函数(F1),将所述第一子 函数(Fl)的结果(FlpK,Nonce))从所述归属用户月艮务器单元(HSS)传输给所述代 理功能单元(P-CSCF),所述代理功能单元(P"CSCF)接收所述第二时变参数 (CNonce)并且所述代理功能单元(P-CSCF)执行所述第二子函数(F2)。
14. 根据权利要求1 、或权利要求2至13之一所述的方法,其特征在于, 所述用户装置(UE1)具有向所述供应商装置(PE1)进行的基于SIP的订阅。
15. —种用于加密在用户装置(UE1)和供应商装置(PE1)之间的媒体数据(MCO的方法,具有以下步骤-借助根据权利要求1、或者权利要求2至14中的一个或多个所述的方法, 分别向所述用户装置(UE1)和所述供应商,(PE1)提供对称密钥(NK);-由所述用户装置(UEl)或者所述供应商装置(PEl)根据^f提供的对称密钥(NK)来加密所述媒体娜,; -发送加密后的媒体 (>0);-由所述供应商装置(PEl)或所述用户装置(UEl)接收所述加密后的媒体数 据;以及-由所述供应商體0^1)^^ 述用户體(1;£1)借助所提供的对称密钥,) 来解密所接收的媒体数据(MD)。
全文摘要
本发明涉及一种用于提供对称密钥以便保护密钥管理协议的方法,借助所述密钥管理协议生成用于在用户装置和供应商装置之间加密地传输媒体数据的协议的加密材料,该方法具有以下步骤向用户装置和供应商装置提供第一对称密钥,所述第一对称密钥在控制层的网络协议的基于对称密钥的安全机制中被用于在所述用户装置和所述供应商装置之间建立通信会话;由所述供应商装置提供第一时变参数;将由所述供应商装置提供的所述第一时变参数传输给所述用户装置;由所述供应商装置借助预定函数至少根据所提供的第一时变参数和所提供的第一对称密钥计算用于保护密钥管理协议的第二对称密钥;以及由所述用户装置借助该预定函数至少根据所传输的第一时变参数和所提供的第一对称密钥计算所述第二对称密钥。
文档编号H04L9/08GK101536399SQ200780035953
公开日2009年9月16日 申请日期2007年9月24日 优先权日2006年9月28日
发明者G·霍恩, S·蒂鲁文加达姆, W·巴克 申请人:西门子公司