专利名称::通信网络中的密码密钥管理的制作方法
技术领域:
:本发明涉及通信网络中的安全通信。更具体来说,并且不是作为限制,本发明针对用于对于用户终端、接入网和核心网的不同组合管理密码密钥的系统和方法。
背景技术:
:图1是第三代合作伙伴项目(3GPP)目前定义的演进分组核心网(EPC)和演进UTRAN无线接入网(E-UTRAN)的当前3G网络的演进的简化框图。整个演进系统(EPC和E-UTRAN)称作演进分组系统(EPS)10。对于本发明是重要的功能实体的EPS架构的节点包括移动性管理实体(固E)11和增强节点B(eNodeB或eNB)12。为了完整性(但不是本发明必须的),需要注意,还存在两种网关节点,即服务网关13和分组数据网络(PDN)网关14。画E11与服务GPRS服务节点(SGSN)15的控制平面相似,并且执行用户认证、端接非接入层(NAS)信令安全性等。为了便于本描述,eNB12可看作在逻辑上分为两个部分。首先,用户平面实体(UPE)16与SGSN和RNC的用户平面相似,并且端接UP(用户平面)安全性。与本发明相干的UPE功能性可在eNB中或者在网络中的其它位置实现。eNB的另一个逻辑部分是端接无线资源控制(RRC)安全性17的实体。归属用户服务器(HSS)18存储用户档案信息。EPS架构10必须与"传统"(3GPPRel6)核心网设备及关联的无线接入网、如GSM/EDGE无线接入网(GERAN)19和UMTS陆地无线接入网(UTRAN)20有效且安全地交互工作。"有效地"表示切换是无缝的,以及"安全地,,表示一个接入网中的安全性泄露没有扩散到其它接入网(高于后向兼容的需求所支配的)。假定EPS架构将使用用户设备(UE)21中的Re18类型的用户标识模块(SIM)机制作为安全性的基础。目前仅对于EPS^L定使用R99+USIM,但在一个实施例中,SIM可以是"扩展"用户标识模块/UMTS用户标识模块(SIM/USIM),以下表示为xSIM。术语"Rel6"表示3GPP版本6或更早的设备。术语"Rel8"在本文中用于表示已经变为"知道EPS"、因而能与EPS架构交互工作的任何UMTS/GSM核心网设备和EPS节点。例如,Rel6SGSN被认为无法切换到EPS节点,因为它没有实现必要的协议。但是,Rel8SGSN被认为能够通过实现所谓的S3和S4接口来进行这种操作。在3GPP中一般商定,使EPS架构中的安全通信满足下列要求是合乎需要的-增强xSIM在被部署时必须与UTRAN/GERAN使用的USIM后向兼容,并且密钥必须与初始i人i正发生的位置(GERAN、UTRAN或E-UTRAN)无关;认证参数将具有相同格式;以及诸如此类。-该解决方案必须对于下列各项的所有八种组合起作用-Rel6或Re18UE-xSIM或USIM-Rel6或Re18SGSN。不要求该解决方案与Rel6UE和eNB/E-UTRAN的组合配合工作,仅仅因为Rel6UE不支持E-UTRAN的无线接口。-该解决方案必须对于涉及Rel8EPSUE的所有组合以及xSIM/USIM和Rel6SGSN、Rel8SGSN或EPC醒E的六种配置的任一种起作用。-该解决方案必须在没有Rel6RAN或CN设备的任何升级的情况7下起作用。但是允许Rel8CN设备中的新功能。-如果初始附连和切换(H/0)在Rel8环境(SGSN和EPC画E)中发生,则必须支持在UTRAN/GERAN网络与E-UTRAN网络之间移动时的密钥分离。(密钥分离表示一个密钥的暴露不影响另一个密钥。)-EPS架构将支持UP、NAS和RRC密钥的密钥分离。-E-UTRANeNodeB密钥的暴露将具有有限的影响(在空闲到活动转变时重新建立的RRC安全性)。作为附加要求,如果增强xSIM可提供在接入认证时推导的"主密钥"则是有益的,它即使在接入密钥暴露时也可在应用层上安全地使用。类似地,如果xSIM可支持高于128位的有效密钥大小将是合乎需要的。不存在满足所有上述要求的现有解决方案。不能采用与用于GSM/UMTS交互工作的相似的原理,因为它们没有提供所需的安全性等级。虽然GSM和UMTS规定有效的交互工作解决方案,但是它们没有提供接入之间的密钥分离,因此GSM的泄露在某种程度上影响UMTS安全性。例如,GSM/UMTS所提供的密钥不能在应用层上无泄露风险地再使用。另外,GSM或者UMTS均没有提供超过128位安全性。本领域所需的是用于对于用户终端、接入网和核心网的不同组合管理密码密钥的有效且安全的系统和方法。系统和方法应当满足所有3GPPEPS要求。本发明提供这种系统和方法,并且为以后引入满足附加要求的xSINH故好准备。
发明内容本发明针对用于对于用户终端、接入网和核心网的不同组合管理密码密钥的认证服务器以及系统和方法。本发明具有优于现有技术解决方案的优点,因为它满足上述所有3GPPEPS要求。它主要通过提供接入网之间的密钥分离来实现。在一个方面,本发明针对一种在认证服务器中用于向第一接入网中的给定认证者节点分发认证数据的方法。给定认证者节点是不同接入网中的不同类型的多个认证者节点其中之一。认证者节点认证移动终端的多个不同版本中使用的标识模块的不同版本。该方法包括以下步骤在认证服务器中生成主密钥;由主密钥以密码方式推导不同的认证数据;以及有选择地向认证者节点提供推导的认证数据。密钥分离过程对于认证者节点类型和标识模块版本的每个不同组合推导不同的认证数据,包括变换的密钥。然后,该方法有选择地向给定认证者节点提供对于给定认证者节点类型和由给定认证者节点所认证的标识模块的版本的组合所推导的认证数据。在另一个方面,本发明针对一种用于向第一接入网中的给定认证者节点分发认证数据的认证服务器,其中给定认证者节点是不同接入网中的不同类型的多个认证者节点其中之一。认证者节点认证移动终端的多个不同版本中使用的标识模块的不同版本。认证服务器包括用于生成主密钥的部件;用于对于认证者节点类型和标识模块版本的每个不同组合以密码方式由主密钥推导不同认证数据的密钥分离部件;以及用于向给定认证者节点提供对于给定认证者节点类型和由给定认证者节点所认证的标识模块的版本的组合所推导的认证数据的部件。在另一个方面,本发明针对一种用于从认证服务器接收认证数据并且认证移动终端的认证者节点。认证者节点包括用于接收认证数据并且存储作为认证数据的部分的第一密钥的部件;用于以密码方式由第一密钥推导第二密钥的第一密钥分离部件;以及用于认证移动终端的认证部件。认证者节点还包括用于向不同类型的多个其它认证者节点传送第二密钥的部件;用于以密码方式由第一密钥推导第三密钥的第二密钥分离部件;以及用于向安全处理节点传送第三密钥的部件,其中安全处理节点利用第三密钥与移动终端进行通信。在另一个方面,本发明针对一种用于在认证服务器与不同接入网中的第一、第二和第三类型的多个认证者节点之间共享认证数据的系统。认证者节点认证移动终端的多个不同版本中使用的标识模块的不同版本。该系统在认证服务器中包括用于生成主密钥的部件;用于对于认证者节点类型和标识模块版本的每个不同组合以密码方式由主密钥推导不同变换的密钥的第一密钥分离部件;以及用于向给定类型的认证者节点提供对于认证者节点的给定类型和由给定认证者节点所认证的标识模块的版本的组合所推导的变换的密钥的部件。该系统在多个认证者节点的每个中包括用于从另一个认证者节点接收对于认证数据的请求的部件;以及用于向请求认证者节点传输变换的密钥的部件。在一个实施例中,第一、第二和第三类型的认证者节点是版本6服务GPRS服务节点(Re16SGSN)、版本8服务GPRS服务节点(Re18SGSN)和EPC移动性管理实体(MME)。各Rel8SGSN和MME包括用于在向请求认证者节点传输以密码方式处理的变换的密钥之前以密码方式处理变换的密钥的部件。下面将通过参照附图示出优选实施例来详细描述本发明的基本特征,附图中图1(现有技术)是3GPP目前定义的包括演进分组核心网(EPC)和演进UTRAN(E-UTRAN)无线接入网的演进分组系统(EPS)架构的系统架构的筒化框图2是示出一个示范实施例中的本发明的基本原理的简化框图;图3是示出主密钥(Mk)如何存储在变换编码器实体(TCE)中以及如何实现密钥分离的简化框图4是示出利用xSIM的Re18UE的初始认证的简化框图;图5是示出利用xSIM的Re16UE的初始认证的简化框图;图6是示出利用USIM的Re16UE的初始认证的简化框图;图7是示出利用USIM的Re18UE的初始认证的简化框10图8是示出不同系统之间的认证向量(AV)的传输的简化框图;以及图9是示出从源到目标系统传输上下文时以及使传输的密钥由目标系统立即使用而无需显式重新认证的情况下的接入间上下文传输的处理的简化框图。具体实施例方式本发明针对用于对于用户终端、接入网和核心网的不同组合管理密码密钥的认证服务器以及系统和方法。本发明主要通过在接入网之间提供密钥分离来满足上述所有3GPPEPS要求。这通过首先引入用于在认证过程中推导密钥的主密钥(Mk)来实现。在不同接入类型之间的切换期间,当UE改变接入时在相应接入网中保存密钥的两个节点之间传递Mk或变换的Mk。Mk的变换经由单向函数来执行,并且具有如下作用如果Mk以某种方式被泄露,则不可能自动获得对先前使用的主密钥的访问。Mk从不直接使用,而是仅用于推导直接用于保护接入链路的密钥。图2是示出一个示范实施例中的本发明的基本原理的简化框图。在这个示例中,UE21接入Rel8UTRAN22和E-UTRAN网络23。将Mk24从接近归属用户子系统(HSS)18的称作变换编码器实体(TCE)25的功能传播给UTRAN和E-UTRAN网络。TCE是逻辑功能,它在一个实施例中可与HSS共处。Mk对于各接入类型可以不同。在Rel8UTRAN中,采用函数f1来变换Mk,并且与UE共享f1(Mk)26,而对于E-UTRAN,采用函数f2来变换Mk,并且与UE共享f2(Mk)27。在一个实施例中,fl等于f2,而在另一个实施例中,fl和f2是不同的函数。TCE25使用认证和密钥协商(AKA)28来生成UE的认证数据。除了密钥分离之外,该系统还使应用服务器以及运行于UE上的应用能够获得和利用特殊应用密钥。该应用密钥可由TCE或HSS来推导/存储。图3是示出主密钥(Mk)24如何存储在TCE25中以及如何实现密钥分离的简化框图。图中的事件流程如下1.网络l32中的节点A131向TCE25请求认证向量(AV)。2.TCE使用单向函数(UE21已知的)或者标识映射来变换AV中的Mk,以便获得Sl=f(Mk)33。TCE存储待用作密钥的Mk,它可用来对于UE推导应用层的其它密钥。3.TCE向节点A1发送S1。4.节点Al相对UE运行AKA,以及UE本地推导Mk和Sl。节点Al由Sl推导必要的业务保护密钥,并将其转发给要求它们的节点。这在图3中由fl函数来表示。UE也推导对应密钥。5.随后,UE21执行到接入类型2(网络2)34的切换。然后,节点Al将单向函数G应用于密钥Sl,并向节点A236发送结果S1*=G(S1)35。UE同样地使用G函数来变换Sl。6.节点A2和UE推导保护新接入网中的业务所需的必要密钥。如果网络2属于与网络1不同类型的接入网,则节点A2和UE可执行不同于节点A1所执行的其它密钥推导。这在图中由函数f2来表示。如果两个网络属于相同类型,则fl等于f2,并且G将确保不同网络上所使用的密钥是不同的。如果两个网络不同,则fl和f2可照原样推导密码分离的密钥,并且G可通过标识映射来实现。但是要注意,G增加特征如果S1;陂泄露,则不可能恢复任何过去加密的业务。只有将来的业务被泄露。如果UE21切换到又一个网络,则重复进行步骤5和6。下面将进行描述,密钥推导和变换必须非常仔细地设计,以允许与传统系统的后向兼容性。本文将在UTRANRel6、UTRANRel8和E-UTRAN的上下文中描述本发明,但是应当理解,这个描述只是本发明的一个示例。存在要考虑的两组"安全数据"。认证向量(AV)包含尚未使用的安全数据和密钥。在初始认证时将AV从HSS传输给SGSN或MME(注12意,SGSN或MME可位于被访问网络中),以及在每个后续认证时"消耗"一个AV。在认证时,最近认证UE的醒E或SGSN中存储的未使用AV可由认证实体来请求,然后再被传输。本发明中的AV具有与UMTS的(RAND,XRES,AUTN,"密钥")相似的格式。在UMTS中,"密钥"只是Ck、lk,但此后该密钥材料将称作"S"。为了便于本发明,安全上下文包含当前"活动的"密钥。安全上下文还可包含不是本发明必须的其它数据。为了允许切换而无需显式(重新)认证,将安全上下文从源传输给目标系统。为了捕获对于不同接入的密钥使用的问题,利用以下定义-如果其密钥材料(S)已经或者能稍后直接(没有进一步密码保障)用作[Ck,lk](UTRAN)或Kc(GERAN),则安全上下文/AV称作"脏(Dirty)"。注意,能够(但不推荐)在E-UTRAN中使用脏上下文。-如果[Ck,lk]或Kc或者E-UTRAN中的对应密钥已经/将要通过应用安全密码"调整(tweaking)"函数由其密钥材料(S)推导,则安全上下文/AV称作"净(Clean)"。为了描述完整解决方案,必须专注于三个问题1.在初始认证时AV如何生成以及从HSS传送给SGSN/醒E(图4-7和表l)。2.(未使用)AV在切换时如何传输和变换(图8和表2)。3.当前使用的安全上下文在切换时如何传输和变换(图9)。做出与认证和密钥协商(AKA)过程有关的以下假设-Rel8UE将知道它是否对Rel6SGSN、Rel8SGSN还是对MME执行AKA。如果AKA相对Re16SGSN来执行,则安全上下文将为脏;否则安全上下文将为净。这个过程与UE必须知道是执行UMTSAKA(Rel99十SGSN)还是GSMAKA(Rel98—SGSN)时的当前GSM/UMTS交互工作相似。画Rel6UE将无法区分Re18SGSN与Re16SGSN。隱HSS将知道SIM(xSIM或USIM)版本。假定这种知识可传输给HSS附近的网络节点(例如从IMSI或显式信令)。将信息传递到Rel8SGSN/MME或者在它们之间传递也是必要的。陽SGSN/醒E将知道UE的AKA能力。这种信息被认为(当前)在网络附连时从UE所发送的级别标志(classmark)信息和/或来自HSS的信息中进行检索。注意,Rel6SGSN将仅识别Rel8UE能够进行Rel6UMTSAKA。-xSIM将具有两个逻辑1/0接口,告知xSIM它是否用作"真正的"Rel8xSIM或者它是否用于传统Rel6UE中,因而需要模拟USIM。相反,Rel8UE能被认为能够分区xSIM与USIM。通过上述净/脏的定义,本发明满足下列各项誦如果对(EPS)MME执行AKA,则Rel8UE必须在使用,并且能对xSIM和USIM建立净上下文。-如果对Rel8SGSN执行AKA,则上下文将为净或脏,取决于UE能力(Rel8或Re16)。-如果对Rel6SGSN执行AKA,则上下文将始终为脏。在xSIM的情况下,它将会知道这是否发生,并且可采取措施,如下所述。下面是对于源/目标接入系统之间的上下文传输的假设(或者上述的结果)-在Rel6SGSN中处理的安全上下文(根据定义)为"脏,,。腸在切换时,源醒E或Rel8SGSN将知道(由于它们能被认为包含新的功能性)安全上下文是传输给Re16SGSN、Rel8SGSN还是固E目标。由源系统进行的上下文变换将取决于该情况。-在切换时,目标MME或Rel8SGSN将相似地知道安全上下文是来自Rel6SGSN、Rel8SGSN还是MME源。-只有Rel8SGSN源才能执行到目标E-UTRAN系统的切换,并且向固E传输安全上下文,因为要求新的信令(Re16SGSN中不存在)。誦MME和Rel8SGSN能指明安全上下文在它们之间传递时是"净,,还是"脏"(通过显式信令)。这是"最佳"情况,因为源和目标系统14都能支持新的功能性。画Rel8能确定切换是在Re18SGSN与醒E之间,因为UE知道无线技术改变。还可存在添加的显式信令,但可能不必要。对于Rel6SGSN与Rel8SGSN之间的切换不能假定同样的情况,因为UE仍然在UTRAN中。在一个实施例,本发明通过使UE能够确定切换是否在Rel6SGSN与Rel8SGSN之间的新信令得到进一步改进。在以下描述中,标号F1、F2和G表示将256位映射到256位的适当密码函数。应当注意,位长度可具有与256位不同(更长或更短)的长度,但是256位是3GPPSA3中的当前工作假设。由这些密钥位能推导附加密钥。F3是用于将256位映射到一组(总共)六个256位字符串的函数。(第六字符串的存在取决于接入技术是否实现用户平面完整性,对于E-UTRAN情况不是这样。)(备选地,F3可使用一组六个不同函数来实现。)虽然F函数适用于(未使用)AV,但是G函数适用于活动安全上下文。注意,对于安全上下文还使用F2和F3,下面进行描述。在图4-7中,安全上下文和AV由密钥Sl、S2和S表示,因为它们是密钥推导所影响的唯一参数。引入(至少)四级密钥的分级结构,其中"较低"密钥由"较高"密钥推导。当使用xSIM时,以下所有方面均适用國K是内部xSIM/HSS密钥。曙S在AKA时由K推导,并且可被认为是从未暴露于HPLMN或xSIM外部的"超密钥"。S的功能与初始3GPP通用引导架构(GBA)过程所创建的密钥相似。誦Sl是使用Fl由S推导的"主会话密钥,,,并且由Rel8SGSN和EPS固E用于推导会话密钥。-S2是使用F2由Sl推导的会话密钥。-对于E-UTRAN,需要总共六个业务密钥(UP、NAS和RRC的完整性/保密性密钥)。这些其它密钥通过函数F3由S2推导。-对于Rel6/Re18UMTS,S2对应于Rel8或Rel6中使用的两个业务密钥(Ck、lk)。在终端侧,如果在Rel8UE中使用USIM而不是xSIM,则UE仍然能"模拟"较低密钥(与UMTSUE模拟SIM的USIM功能性的方式相似)。但是,如果UE是Re16UE,则它不能。在这种情况下,S只是USIM直接输出的CkIIlk,下面进行描述。类似地,在网络侧,在一些情况下,上述密钥分级结构由于不支持函数F1、F2和F3的某些传统系统而将"崩溃"。更具体来说,这是由于以下事实Fl、F2和F3能被认为是Re16系统中的"不重要"函数(例如,F2(x)=x,标识)。Rel8UE/xSIM必须适应这种情况。因此,存在必须考虑的兼容性的许多情况。以下附图示出在(初始)认证时对于网络侧的三种情况(Rel6、Rel8或MME)的SIM/UE组合的四种可能变化的密钥/AV处理的逐个情况描述。首先描述其它一些标号。TCE25可以是小中介层,它保存应用密钥(或主密钥)S,与GBA引导过程中的Ks相似。TCE还根据UE中的SIM的类型来执行必要的密钥推导。TCE可在HSS18中实现或者实现为独立实体。由于TCE不知道UE21的发布版本,所以它必须完全根据xSIM/USIM版本发送其数据。在以上论述中,区分Rel6和Rel8网络。还存在需要与EPS互操作的Rel7网络。这时,从安全观点来看,/人Rel6到Rel7没有主要变化,但Rel7尚未完全定义。因此,如果3GPPRel7没有引入如上所述的任何新的密钥管理功能性,则任何Rel73GPP网络完全如以上论述中Rel6网络那样与EPS交互工作。另一方面,如果Rel7引入对于Rel8所釆取的新的密钥管理功能性,则Rel7网络完全如上述Re18那样与EPS交互工作。总之,与EPS交互工作的Rel7网络将作为Rel6或者作为Rel8网络来处理,取决于引入什么新的密钥管理功能性。同样的情况适用于以下论述。术语"Rel8前(Pre-Rel8),,在本文中用于表示没有引入对Rel8节点所采取的新的密钥管理功能性的Rel6节点或Rel7节点。图中标记为"脏"和"净"的框表示上下文/AV是净还是脏,如以上所定义。在Rel6SGSN的情况下,没有告知上下文/AV是否净的显式"标志"(因为它始终为脏),但是这种信息能由Rel8SGSN隐式推论,因为它从Rel6SGSN接收到上下文/AV。为了简洁起见,附图仅示出将密钥S2传输给RNC/eNodeB。要注意,还使用F函数将S2处理成业务密钥(GERAN的Kc、UTRAN的CK/1K以及E-UTRAN的UP/NAS/RRC密钥)。由于保护的端点在EPS中对于业务的不同类型是不同的,因此,处理可优选地在MME中执行,并且发送给保护端点(eNodeB),或者eNodeB能在给定S2时自行推导UP/RRC密钥。对于UMTS,CK和1K能分别当作S2的第一和第二半。首先描述对于作为HSS/SGSN/MME中的AV的组成部分的密钥以及对于(初始)认证时密钥SIM/UE的处理。应当注意,图4-7示出显式认证。稍后论述通过上下文传输所实现的隐式认证。图4是示出利用xSIM的Rel8UE41的初始认证的简化框图。由于该UE能区分Rel6SGSN42、Rel8SGSN43和薩E44,所以它跟踪安全上下文是脏还是净(即,网络是否具有SGSN/腦E中存储的Sl密钥)。如果UE与Rel6SGSN42通信,则UE将上下文标记为脏。如果UE与Rel8SGSN43或画E44通话,则UE将上下文标记为净。注意,UE始终使用S2(或者较低的F3推导密钥)来保护业务。这允许在SGSN/MME之间传输AV。图5是示出利用xSIM的Rel6UE51的初始认证的简化框图。由于该UE是Rel6,所以它不能切换到E-UTRAN网络。因此,在Re18SGSN43中保持净上下文(但原则上是可能的)没有好处,并且MME44不需要被考虑。Rel8SGSN必须能够区别UE具有xSIM还是USIM,以便能够确定应当应用F2函数(在本例中为应用),还是不应用(参见图6)。这种信息能与AV—起从TCE25传递。因此,万一将要进行增强xSIM的提供,则各AV在SGSN之间传递时必须携带这种信息。当然,只要仅使用USIM,则不需要这种信息。图6是示出利用USIM的Rel6UE52的初始认证的简化框图。TCE25透明地工作(即,功能性与常失见Re16网络中相同)。Rel8SGSN43同样不需要维护净上下文,并且MME44不需要被考虑,因为UE不能切换到E-UTRAN网络。图7是示出利用USIM的Rel8UE53的初始认证的简化框图。在这种情况下,重要的是要注意到,UE能与SGSN和固E附连。当Rel8UE实现了围绕它的执行必要的密钥推导的包装器功能性时,这是能够用USIM实现的。UE53中的包装器功能性执行以下动作-与Rel6SGSN42通信时,包装器功能性不执行额外功能,而只是将上下文标记为脏。画与Rel8SGSN43或醒E44通信时,包装器功能性计算S1=F1(S)和S2-F2(S1),存储S1,并且将上下文标记为净。S2用于通过使用F3来推导业务保护密钥。图4-7示出了根据本发明的教导的(初始)认证的处理。以下说明描述切换情况以及不同系统之间的上下文/AV取/传输。首先来看AV取,AV可在SGSN和,E的不同版本之间传输。传输取决于SIM版本和目标/源系统版本。具体来说,对于Rel8SGSN和MME,AV在从TCE传输时必须被标记为USIM或xSIMAV。下表1示出在AV中将哪一个密钥从TCE提供给SGSN/薩E。SGSN/画E中的AV中存储的AV密钥(从TCE接收时)<table>tableseeoriginaldocumentpage18</column></row><table>表l随后来看AV传输,下表2示出源和目标SGSN/函E在传输AV时所执行的操作。表2中的标号的说明画AVk是AV中携带的密钥(AVk可等于S、S1或S2)。-S位是指明大体上对其生成AV的SIM的类型的位(或值)。从Rel6SGSN传输时,这种信息不可用,因此S位则由Rel8SGSN设置成"未知"。S位仅在支持增强xSIM时才是必要的。-D位是脏位。如果设置了D位,则表示AVk必须不再被变换。-Tx表示传输。<table>tableseeoriginaldocumentpage19</column></row><table><table>tableseeoriginaldocumentpage20</column></row><table>固E到醒ETx(AVk-src,S-bit,D-bit)AV=(AVk-src,S-bit,D-bit)画E到SGSNRe16在优选实施例中不允许(如果MME不知道S而UE具有USIM,则不可能)。。固E到SGSNRe18Tx(AVk—src,S-bit,D-bit)AV=(AVk—src,S-bit,D-bit)表2图8是示出不同系统之间的认证向量(AV)的传输的简化框图。如果在Rel8SGSN43中存在净AV,则可将它变换成脏AV(参见上表2)并发送给Rel6SGSN42。注意,可以能够允许Re16SGSN从函E44取AV,但是要进行这种操作,固E必须知道密钥S(在UE具有USIM的情况下)。在另一个实施例中,不允许Rel6SGSN从Rel8实体取AV。在这种情况下,如果UE具有USIM,则Rel8SGSN可接收SI(与画E完全相似)。其中密钥建立失败可能发生的一个假设示例是当用户执行以下操作时1.使用Re18UE和USIM向MME进行认证。MME从TCE下载包含SI的一批AV。212.随后,用户关闭Rel8UE,将USIM移动到Rel6UE,并且设法向Rel6SGSN进行认证。3.Rel6或Rel8SGSN可从醒E而不是从TCE取AV,然后询问UE。4.认证将会成功,但是SGSN和UE将保存不同的安全上下文(链路保护密钥)。SGSN将保存S2,而UE将保存S。注意,在检测密钥的差异中可能有困难。为了防止这种情况发生,能去除将AV从函E传输给SGSN的能力。这是合理的解决方案,因为仍然可通过传输活动的"安全上下文"(密钥),以及需要时稍后将新的AV从HSS/TCE下载到SGSN,来支持无缝切换。在这种情况下只是刷新(flush)醒E中的未使用AV。上述问题是对于在不能更新"传统"版本的情况下允许SIM、UE版本和网络版本的所有可能组合的期望的副作用。修正Re18SGSN的该情况的另一种可能的方式例如是引入从Re18UE到SGSN的新信令,它告知UE中使用的SIM(USIM/xSIM)的类型。这可采用级别标志信息或其它信令来实现。如果Rel8SGSN没有接收到这个信令,则SGSN可推断UE是Re16UE以及将出现失败。图9是示出从源到目标系统传输上下文时以及使传输的密钥由目标系统立即使用而无需显式重新认证的情况下的接入间上下文传输的处理的简化框图。为此使用函数"G"。对于仍然是净的上下文(即醒E和Rel8SGSN之间/之内传输),始终将G应用于S1密钥,以便保持"净性"。不处理已经为脏的上下文。换言之,对于脏上下文,按原样传递S2密钥。注意,在一些情况下,可以能够处理脏上下文,但是这样做不提供任何明显的额外保护。到Rel6SGSN的传输从不通过G来处理,但是原则上能够通过引入新信令来进行这种操作。在Rel8/Rel6切换时需要这个信令,以便告知UE执行相似处理。否贝寸,UE不会知道该传输,并且将使用错误的密钥。Fl、F2、F3和G是密码函H。它们全部能通过例如高级加密标准(AES)、SHA256算法等标准构建块来实现。Fl、F2、F3和G应当至少是(强)单向函数,并且应当优选地是伪随机函数。此外,F3需要EPS网络产生总共六个密钥。这可使用例如密钥-F3(Sl,<标签>)等的"标签"来进行,其中标签对于不同的密钥具有不同的值。在这种情况下,F3应当是伪随机函数。优选地还使函数F3与密钥将与其配合使用的算法的"ID"相关。如果UE在Re18SGSN与醒E之间"兵乓",则注意G可应用数次。G则应当优选地具有在反复时不退化的性质。实现这个方面的一种方式是进一步假定G是伪随机置换。则可具有例如target—system_S1=G(source一system一S1,c,…)其中c是在每次"乒"或"乓"时增加的计数器。还可包含例如系统ID等的其它输入。对于Rel6/Re18切换还可进行若干增强。首先,引入从Rel8SGSN到Rel8UE的新信令,其告知UE正在切换到Rel6SGSN或者从Re16SGSN切换。然后,能通过在Rel6/Re18SGSN切换时也应用G,如上所述进一步改进该解决方案。由于UE这时通过显式信令知道这种情况,所以UE和Re18SGSN能如完全同步中所要求地来应用函数G。虽然已经通过附图示出以及通过以上详细描述说明了本发明的优选实施例,但是能理解,本发明并不局限于所公开的实施例,而是在不脱离本发明的范围的情况下,能够进行许多重新配置、修改和替换。此外,虽然描述集中于E-UTRAN与UTRAN网络之间的交互工作,但是密钥分离的原理同样可适用(以及可用于)E-UTRAN与任何非3GPP接入技术(例如CDMA2000、IEEE802.11、802.16等)之间或者任何两个非3GPP网络之间的交互工作。本说明书考虑属于所附权利要求所定义的本发明的范围的全部修改。2权利要求1.一种在认证服务器(25)中用于向给定认证者节点(42,43,44)分发认证数据的方法,所述给定认证者节点是不同类型的多个认证者节点之一,其中所述认证者节点认证移动终端的多个不同版本(41,51,52,53)中使用的标识模块的不同版本,所述方法包括以下步骤在所述认证服务器(25)中生成主密钥(S);利用密钥分离过程以密码方式由所述主密钥推导不同的认证数据,其中对于认证者节点类型和标识模块版本的每个不同组合推导不同的变换的密钥(S1,S2);以及有选择地向所述给定认证者节点提供认证数据,所述认证数据对于所述给定认证者节点类型和所述标识模块的版本的组合而推导,所述标识模块的版本由所述给定认证者节点认证。2.如权利要求1所述的方法,其中,所述多个认证者节点包括版本8服务GPRS服务节点(Rel8SGSN)、版本8前SGSN(Rel8前SGSN)和EPS移动性管理实体(MME)。3.如权利要求2所述的方法,其中,所述终端的版本包括3GPP版本8用户设备(Re18UE)和Rel8前UE。4.如权利要求3所述的方法,其中,所述标识模块包括UMTS用户标识模块(USIM)和扩展SIM/USIM(xSIM)。5.如权利要求4所述的方法,其中,向所述给定认证者节点提供所推导的认证数据的步骤包括向所述给定认证者节点发送指明正被认证的各移动终端中正使用的标识模块的版本的信息。6.—种用于向给定认证者节点(42,43,44)分发认证数据的认证服务器(25),所述给定认证者节点是不同类型的多个认证者节点之一,其中所述认证者节点认证移动终端的多个不同版本(41,51,52,53)中使用的标识模块的不同版本,所述认证服务器包括用于生成主密钥(S)的部件;用于对于认证者节点类型和标识模块版本的每个不同组合以密码方式由所述主密钥推导不同的认证数据(S1,S2)的密钥分离部件;以及用于向所述给定认证者节点提供认证数据的部件,所述认证数据对于所述给定认证者节点类型和所述标识模块的版本的组合而推导,所述标识模块的版本由所述给定认证者节点认证。7.如权利要求6所述的认证服务器,其中,所述密钥分离部件包括用于对于认证者节点类型和标识模块版本的每个不同组合以密码方式由所述主密钥推导不同的变换的密钥的部件。8.如权利要求7所述的认证服务器,其中,所述多个认证者节点包括版本8服务GPRS服务节点(Rel8SGSN)、版本8前SGSN(Re18前SGSN)和EPS移动性管理实体(固E)。9.如权利要求8所述的认证服务器,其中,所述标识模块包括UMTS用户标识模块(USIM)和扩展SIM/USIM(xSIM)。10.—种用于从认证服务器(25)接收认证数据并且认证移动终端(53)的认证者节点(43,44),所述认证者节点包括用于接收所述认证数据并且存储第一密钥(S,Sl)的部件,所述第一密钥是所述认证数据的部分;用于以密码方式由所述第一密钥(S,S1)推导第二密钥(S2)的第一密钥分离部件;用于认证所述移动终端(53)的认证部件(44);用于向不同类型的多个其它认证者节点传送所述第二密钥(S2)的部件;用于以密码方式由所述第一密钥推导第三密钥的第二密钥分离部件(G);以及用于向安全处理节点(12)传送所述第三密钥的部件,所述安全处理节点利用所述第三密钥与所述移动终端进行通信。11.如权利要求10所述的认证者节点,其中,所述第一密钥分离部件适合对于3GPP版本8服务GPRS服务节点(Re18SGSN)、版本8前SGSN(Rel8前SGSN)和EPS移动性管理实体(固E)以密码方式推导不同的第二密钥。12.如权利要求11所述的认证者节点,其中,用于向所述多个其它认证者节点传送所述第二密钥的部件还发送指明当其它认证者节点是Rel8SGSN或固E时所述第二密钥可能已经泄露的程度的信自13.如权利要求10所述的认证者节点,其中,用于向所述多个其它认证者节点传送所述第二密钥的部件还发送指明所述移动终端中正使用的标识模块的版本的信息,由此实现所述其它认证者节点与所述移动终端之间的密钥分离功能的同步。14.一种用于在认证服务器(25)与不同接入网(22,23)中的第一、第二、第三类型的多个认证者节点(42,43,44)之间共享认证数据的系统,其中,所述认证者节点认证移动终端的多个不同版本(41,51,52,53)中使用的标识模块的不同版本,所述系统包括在所述认证服务器中用于生成主密钥(S)的部件;用于对于认证者节点类型和标识模块版本的每个不同组合以密码方式由所述主密钥推导不同的变换的密钥(S,Sl,S2)的第一密钥分离部件;以及用于向给定类型的认证者节点提供所述变换的密钥(S,Sl,S2)的部件,所述变换的密钥对于所述认证者节点的给定类型和所述标识模块的版本的组合而推导,所述标识模块的版本由所述给定认证者节点认证;以及在所述多个认证者节点的每个中用于从另一个认证者节点接收对于认证数据的请求的部件;以及用于向请求认证者节点传输所述变换的密钥的部件。15.如权利要求14所述的系统,其中,所述认证者节点的第一、第二和第三类型是3GPP版本8服务GPRS服务节点(Re18SGSN)、版本8前SGSN(Rel8前SGSN)和EPS移动性管理实体(醒E)。16.如权利要求15所述的系统,其中,各Rel8SGSN和薩E包括用于在向请求认证者节点传输以密码方式处理的变换的密钥之前以密码方式处理所述变换的密钥的第二密钥分离部件。17.如权利要求16所述的系统,其中,各Rel8SGSN和MME包括用于在向与所述移动终端安全通信的安全处理节点传输所述第一密钥之前对所述第一密钥进行处理的第三密钥分离部件。18.如权利要求16所述的系统,其中,各Rel8SGSN和MME还包括用于维护与所接收认证数据关联的标记的部件,所述标记包含关于所述认证数据的源的信息。19.如权利要求18所述的系统,其中,所述认证者节点适合于对于3GPP版本8服务GPRS服务节点(Re18SGSN)、版本8前SGSN(Re18前SGSN)和EPS移动性管理实体(固E)以密码方式推导不同的变换的密钥。20.如权利要求19所述的系统,其中,所述认证者节点中用于向所述请求认证者节点传输所述变换的密钥的部件还发送指明当所述请求认证者节点是Re18SGSN或醒E时所述变换的密钥可能已经泄露的程度的信息。21.如权利要求14所述的系统,其中,所述认证者节点中用于向所述请求认证者节点传输所述变换的密钥的部件还发送指明正被认证的移动终端中正使用的标识模块的版本的信息。22.如权利要求14所述的系统,其中,所述认证服务器中用于向所述认证者节点提供所述变换的密钥的部件还发送指明对其推导所述变换的密钥的标识模块的版本的信息。全文摘要用于对于用户终端、接入网和核心网的不同组合管理密钥的认证服务器以及系统和方法。变换编码器实体TCE(25)创建用于在认证过程中推导密钥的主密钥Mk。在不同接入类型之间的切换期间,当用户设备UE终端(41,51,52,53)改变接入时在相应接入网中保存密钥的两个认证者节点(42,43,44)之间传递Mk或变换的Mk。Mk的变换经由单向函数来执行,并且具有如下作用如果Mk以某种方式被泄露,则不可能自动获得对先前使用的主密钥的访问权。根据认证者节点的类型以及变换的密钥将与其配合使用的UE/标识模块的类型来执行变换。Mk从不直接使用,而是仅用于推导直接用于保护接入链路的密钥。文档编号H04L9/08GK101523797SQ200780038382公开日2009年9月2日申请日期2007年10月11日优先权日2006年10月18日发明者K·诺尔曼,M·纳斯伦,R·布洛姆申请人:艾利森电话股份有限公司