专利名称:用于电信网络中的安全通信的方法和装置的制作方法
技术领域:
本发明涉及在电信网络中使得通信安全。
背景技术:
电信网络(诸如,因特网)经由共用基础设施来在不同网络实体(诸如,网络服务器或电子消息传送服务器)之间传送数据。例如,本发明可以应用于网络实体到服务平台的安全接入。例如,本发明还可以应用于“原始消息”从一个网络实体到一个或多个其它网络实体的传送;这里,将“原始消息”理解为意指任何信息的集合,例如,电子邮件、或VoIP (“因特网协议上的语音”或“IP上的语音”的英语单词首字母)呼叫发起请求。一般而言,附接(attach)到“派发(dispatching)”域并且连接到“传送”域的“派发客户端”将原始消息发送到附接到“接受(recipient)”域并且连接到“接收”域的“接受客户端”(在本发明的上下文中,当实体具有到网络域的服务链路和/或逻辑和/或管控(administrative)链路时,将该实体称作“附接”到该网络域;在电子邮件的情况下,该逻辑地址对应于“电子邮件”地址)。传送域可以或者可以不相异于派发域,并且接收域可以或者可以不相异于接受域;例如,当传送域将由连接到该传送域、但是没有附接到传送域的移动派发客户端所传送的消息中继到接受客户端时,在各域之间的此相异性是有用的。如公知的,电 信网络经历针对商业、行政、或个人目标的攻击。当今经常出现的攻击在于,向最大可能数量的接受者发送他们并没有要求的、非期望的消息,诸如用于电子邮件的“垃圾邮件(spam)”或者用于因特网上电话呼叫的“垃圾电话(spit)”。在最广泛的意思中采用形容词“非期望的”,并且该词同样地适用于消息的派发者的身份,并且适用于消息的内容,该消息的派发者可以是真实的或者伪造的。尤其是,垃圾邮件/垃圾电话攻击的可能性基于以下因素-在因特网上使用的协议的弱点,诸如,SMTP(“简单邮件转移协议”)协议,其最经常地用于电子邮件转移,并且没有显著合并用于对电子邮件的发送者进行验证的功能;-计算机的功率的增加,其可以在非常短的时段上自动成批地发送非期望消息;以及- 有权访问因特网的网络的数目上的增加、和这些网络之间的连接性上的增加,其向攻击者呈现了非常大数量的目标,所述攻击者可以躲避在相对宽松的(permissive)网络之后或者躲避在目标网络的法定或管控范围之外。此外,“transmitting, fr”类型的传送域不易于确定由连接到此传送域的移动派发客户端提供的useridispatchinR. fr类型的地址是否是有效的,即是否实际上在"expediteur. fr”域中分配了该客户端的地址、以及该客户端是否具有从这个地址发送消息的权利事实上,传送域不管理身份,即“dispatching.fr”类型的逻辑地址。攻击者经常使用这个监视难题,以在虚假的身份之下,从攻击者有权访问的域、或者经由位于合法域中的被侵占(corrupt)的机器来传送消息。例如,由攻击者创建的因特网域“domain, fr”完全可以用于在主叫身份+332abcdefghidomain. fr的情况下传送VoIP呼叫,即使该订户号码“+332abcdefgh”事实上例如是被分配到域“orange, fr”的。面对这种攻击,通过主叫域来添加数字签名的事实(参照IETF的文献RFC4474)是无效的,因为即使这向接受者保证该呼叫事实上源自于“domain, fr”,其也无法向该接受者保证在这个域中实际上注册了该主叫号码。对于这个监视难题的一个解决方案在于,在传送域中阻止其原始地址没有附接到传送域的任何消息的派发,但是,这个解决方案尤其对于VoIP服务的移动性而言极为有限,该VoIP服务允许移动终端使用第三方中继站(诸如,传送域),以设立电话呼叫。这个情形引起了以下问题,即寻找允许接受域确保已经在传送该消息的域中执行了充分检查的手段。在本发明的上下文中,“交易(transaction)”将指代所有的协议交换,所述协议交换允许在会话的持续时间中在两个网络实体A和B之间设立共享秘密(secret)或“首要会话密钥(key)”。该交易对应于会话初始化阶段,该会话能够比该交易持续长得多的时间。在描述的某些部分中,可以将术语交易和会话认为是彼此等效的。出于简化的目的,还将首要会话密钥称作A与B之间的“会话密钥”,而与可能向其应用的推导(derivation)或多样化操作无关。例如,可以将该会话密钥用于推导其他秘密密钥,以在实体A与B之间设立安全连接(TLS、IPSec等)。作为另一示例,该会话密钥可以保证由实体A (派发客户端)发送到实体B (接受客户端)的原始消息的机密性或完整性;新的交易对应于从派发客户端发送到一个或多个接受客户端的每一个新的原始消息;相反地,例如,不将(例如,由于网络问题而导致的)协议步骤的重复认为是新的交易。
原则上,显然,一个网络实体可以借助于PKI (“公共密钥基础设施”)来验证另一网络实体。然而,如公知的是,PKI基础设施难以实现和使用。替换地,某些方法(诸如,迪菲-赫尔曼(Diffie-Hellman)算法)约定了两个实体在它们之间的原始消息的任意交换之前共同地确定会话密钥。然而,这种算法自身上没有向实体A给予与它与之如此建立会话密钥的实体B的身份有关的任何保证。替换地,在包括小数量的用户的网络(诸如,对等网络)中,可能约定了用于每对有关实体的共享秘密密钥的“手动”安装(例如,通过现场探访)。然而,这种安装不适合于包括大数量的用户的网络。安全通信协议还已知为名称“IPACF (参见由C. -H. Wu等人编著的标题为“UsingIdentity-Based Privacy-Protected Access Control Filter(IPACF)to Against DenialofService Attacks and Protect User Privacy,,的文章,http: //portal, acm. ors/citation. cfm id=1404806, 2007年)。该协议目的在于一种结构,该结构包括全部都可以按照安全的方式而与单一实体B进行通信的一组实体A ;在实践中,实体A是客户端,而单一实体B是接入控制实体或服务器。在B与每一个实体A之间存在不同的共享秘密。IPACF协议包括三个阶段允许实现共享秘密的初始配置阶段、在设立新会话期间的验证阶段、和最终的安全通信阶段自身。在此安全通信阶段期间,实体A发送包含用户标识符(其是共享秘密和帧编号的函数)以及过滤值(其同样是共享秘密和帧编号的函数)的帧。实体B在给定时间,与用于所有实体A的所有可能标识符相关地检查所接收到的标识符是否是有效的;当必要时,实体B检查用于所标识的实体A的过滤值。相同的原理适用于当B向A发送帧时。针对每个所接收到的帧,实体A和实体B更新它们的标识符和过滤值。IPACF协议相对于通过淹没(flooding)进行的攻击提供了有效保护,这是由于与有效标识符和过滤值不相关联的、由A或B所接收到的任何帧被拒绝。该检查对于接收机而言是简单的事情,这是由于它涉及与预先计算的值进行比较。此外,该协议相对于重放(replay)提供了有效保护,这是由于标识符和过滤值随着每帧而改变。 然而,IPACF协议具有某些缺点。首先,该机制对于帧丢失敏感,这是由于A所传送的每一帧必须具有B所传送的对应帧;这个缺点在非连接模式中的传输协议的情况下尤其麻烦,其中信令分组可以按照任何顺序而到达,并且可能的是,所述信令分组可能在途中丢失。其次,该机制在以下意义中是“非对称的”,即每个实体A仅仅能够和它与之具有共享秘密的实体B进行通信,因而,不可能设想两个用户实体A之间的直接安全通信。很好地适用于包括大数量用户的网络的“对称”机制涉及实现信任(trust)中心,其通常被称为“密钥分发中心”。期望利用这个安全通信服务的每个网络实体A向密钥分发中心进行预订,并且结果是,在预定持续时间中或在预定交易中,获得在A和与密钥分发中心相关联的授权服务器S之间共享的秘密密钥Ksa。有利地,当在密钥分发中心的参与下在逐交易的基础上使得通信安全的情况下,对于此服务的订户不需要存储与其它订户有关的秘密或证书。此外,根据需要,该密钥分发中心可以按照安全的方式来将秘密密钥传送到置于其控制之下的支持实体(存储器、网关等),或者传送到法定实体,以用于截取某些通信。由于密钥分发中心是订户所有秘密密钥的储藏库(r印ository),所以显然必须的是,有力地防止它遭受恶意侵入(hostile intrusion),但是,这并不呈现出特定的难题。由 P. Battistello 编著的标题为 “IDDR-CEP:1n ter-Domain and DoS-ResistentCall Establishment Protocol”的文章(其被提交以用于IPTCo_2010会议)公开了一种在预订了该服务的两个实体A与B之间的这种类型的安全通信协议。该IDDR-CEP协议实质上包括以下步骤a)该实体A向授权服务器S发送授权请求,其中,该实体A作为标识符IDa的持有者来标识它自身并且验证它自身;b)实体A向授权服务器S宣告其用于与某一实体B进行通信的意图;授权服务器S确定它与该实体B共享的秘密密钥Ksb ;c)授权服务器S生成会话密钥,所述会话密钥尤if是所述秘密密钥Ksb的单向函数,并且还是向所述交易分配的整数N的函数,该整数N被称作交易编号;然后,授权服务器S向实体A发送所述会话密钥尤;f ;d)该授权服务器S还生成“过滤值” IDTRn,其是按照不可逆的方式而至少取决于所述交易编号N的函数;e)该授权服务器S向该实体B供应以下元素,该元素至少包括所述过滤值IDTRn ;f )该实体B检查在所述步骤e)期间所接收到的过滤值IDTRn出现在由该实体B所预先计算的并且与交易编号的至少一个所预测的值相关联的值的集合内,然后,该实体B根据其来推断出该交易编号N的当前值;以及g)该实体B生成会话密钥。
然后,实体A可以完成与实体B的交易。例如,如果实体B是服务提供商,则实体A将能够请求特定的服务,并且通过与实体B交換借助于会话密钥欠彡5所加密的数据来获得它。作为另ー示例,如果实体B正在等待来自实体A的文档,则实体A将能够向实体B发送原始消息,该原始消息伴随有此原始消息的“MAC”代码,该“MAC”代码是借助于会话密钥炎而获得的(在此方面必须牢记的是,在传统的方式中,“消息验证代码”或英文中的“MAC”是短值,一般为几十个比持,它是根据在消息中包含的数据并且根据在该消息的发射机和接收机之间共享的秘密密钥、使用密码算法所推断出的;通过发送伴随有其验证代码的消息,发射机允许接收机检查出这些数据并非源自于不同的实体,并且在它们的传送和接收之间尚未受到变更)。因而,充分利用了“密钥分发中心”类型的安全通信方法的前述优点。尤其是,在预订了安全通信服务的任何实体寻址到另一预订实体之前,施加关于该实体的真实性的检查,以便向该另ー实体提供安全保证。而且,根据IDDR-CEP协议,实体B在上面的步骤e)期间从授权服务器S接收过滤值IDTRn。而且,实体B计算用于交易编号的至少ー个值N的过滤值IDTRn,此值被预测为根据预定算法而紧接在使用于前ー交易中的值之后。当授权服务器S在短时段上对于相同的实体B已经授权了多次交易时,可能出现的是,在所述步骤e)期间向此实体B发送的元素没有按照该算法所规定的交易编号N的顺序而到达它。为了解决这个问题,IDDR-CEP协议约定了,优选地,实体B对于整数N的多个值的预定序列而预先计算过滤值IDTRn,并且在接收到某一过滤值IDTRn以后,实体B通过在IDTRn值的此集合中进行扫描,来标识所接收到的过滤值所对应的交易编号N。必须注意的是,IDTRn的值是按照不可逆的方式而至少取决于该整数N的函数,使得不可能通过对此函数求逆、而根据IDTRn的值来计算整数N的值,也不可能通过获知全部或部分的先前值IDTRu (j彡0)而计算值IDTRN+i (i>0)中的任何ー个。由于这些措施,所以有利地防止预订了安全通信服务的实体遭受通过淹没或通过重放进行的攻击。事实上,当实体B识别出所接收到的并且被视为表现有效过滤值IDTRn的值没有显现在预先计算的值的所述集合内时,它会容易地(即,利用很少的计算操作)检测到这种攻击(攻击者具有极小的机会能够猜出由给定实体B在给定时间可接受的交易编号N的值,使得此攻击者无法计算出IDTRn的可接受值,即使是使得其中过滤值IDTRn是N的函数的方式成为公共的)。而且,有利地,IDDR-CEP协议中协议消息的(在比特数目上的)尺寸很小。事实上,一方面,授权服务器S或实体A都不必向实体B发送会话密钥[jf。而且,在上面步骤e)期间从授权服务器S向实体B传送过滤值IDTRn也不需要任何大尺寸的(多个)消息,这是由于过滤值IDTRn可以是适度尺寸(典型地,几个字节)的函数,同时在密码方面提供了良好的安全性。因此,IDDR-CEP协议约定了授权服务器S的实现。然而,在许多实践情况下,期望具有多个授权服务器Si (其中,i = 1,2,...,p),而不是単一的授权服务器。例如,这可以涉及-冗余需求;实体Si和B典型地属于相同的域或网络,并且将实体Si的数目限制为几个単位,使得确保在故障情况下的负载共享或冗余;和/或-服务需求实体Si和B典型地全部都属于不同的域;例如,实体B是域“orange,fr”的入局代理服务器(incoming proxy),而姆个实体Si是能够向域orange, fr传送消息的第三方域的出局代理服务器(outgoing proxy)o然而,为了能够实现多个授权服务器的此目的,必须能够解决整个系列的问题-实体B必须获知哪ー个授权服务器Si管理当前的交易,这是因为如在IDDR-CEP协议中一祥,非常期望实体A的验证成为授权服务器的职责;结果是,为了防止它自身遭受通过身份窃取(identity theft)进行的攻击,B必须能够验证该授权服务器,即按照安全的方式来验证(该组的P个服务器之中的)它;-除了在特定情况(一小组授权服务器属于相同的域)下之外,必须阻止该组中的任何一个验证服务器发现由该组任何其他授权服务器所使用的秘密元素;-非常期望对任何数目k个不同的授权服务器Si进行授权,以管理全部都具有交易编号N的k次交易,以便避免该组的授权服务器Si被迫按照以下方式来协调它们自身,该方式即针对该组中的所有服务器,只可能存在与给定交易编号N相关联的単一可能交易;然而,然后借助于安全性,并且针对法定缘由(查封(seizure)),必须的是,由不同授权服务器管理的具有相同交易编号N的两次交易不能够生成相同的会话密钥;-非常期望协议消息的尺寸充分小,以允许使用(例如,与SIP信令协议相关联的)非连接的传输模式,其中信令消息的标定尺寸防止插入大尺寸的数据;以及-如果对大数量的实体Si(例如,几百个)进行授权,以管理涉及相同实体B的交易,则非常期望该协议容易地适应扩展(“可伸縮性”)。
发明内容
因此,本发明涉及一种用于电信网络中的安全通信的方法,所述网络包括被称为授权服务器的一组服务器Si (其中,i = 1,2,...,p,并且p是严格的正整数)。针对所述网络的实体A与实体B之间的交易,该方法包括以下步骤a)该实体A向授权服务器Si之ー发送授权请求,在该授权请求中,该实体A作为标识符A的持有者来标识它自身并且验证它自身;b)该实体A向所述授权服务器Si宣告它的用于与该实体B进行通信的意图;该授权服务器Si确定它与该实体B共享的独特秘密密钥KSiB ;c )该授权服务器Si生成会话密钥,所述会话密钥[彡〗是所述独特秘密密钥KSiB的单向函数,并且还是向所述交易分配的整数N的函数,该整数N被称作交易编号;该授权服务器Si向该实体A发送所述会话密钥尤;d)该授权服务器Si还生成过滤值IDTRn,该过滤值是按照不可逆的方式而至少取决于所述交易编号N的函数;它然后生成交易标识符IDTRn, Si,该交易标识符是所述过滤值IDTRn、所述独特秘密密钥KSiB、和该授权服务器Si的标识符IDsi的函数;e)该授权服务器Si向该实体B供应以下元素,所述元素至少包括所述交易标识符IDTRn, Si ;f)使用在所述步骤e)期间接收到的交易标识符IDTRN,Si,所述实体B
-在由该实体B所预先计算的并且与该交易编号的至少ー个所预测的值相关联的过滤值的集合内标识当前的过滤值IDTRn,并且-获得授权服务器标识符IDsi,并且根据它来推断出对应的独特秘密密钥KSiB;以及g)该实体B生成会话密钥Kfsi。清楚的是,步骤b)并非必须发生在步骤a)之后。类似地,步骤d)并非必须发生在步骤c)之后。将注意到,本发明应用于任何数目的授权服务器(包括単独的ー个),但是当授权服务器的数目P高时,它是特别有利的。 还将注意到,可以通过任何已知的验证手段来评估实体A的真实性。此外,该评估可以通过对与授权服务器Si不同的验证服务器进行预先寻址来执行。还将注意到,在实践中,并且针对密码分离需求,它不必是将用于对实体A与B之
间的交换进行加密的(首要)会话密钥尺,而是相反地,当适当时,它可以是根据Ijfs所
推导出的ー个或多个密钥。出于简化目的,在本文献中将不系统地解释根据首要密钥所推导出的密钥,但是根据现有技术的推导或多祥化操作将是隐含的,尽管相同的共享秘密用于实现多个密码函数。根据本发明,因此,授权服务器Si针对具有某ー实体B作为接受者的新交易确定
交易编号N。然后,授权服务器Si向实体A供应会话密钥Ijf5v。如在IDDR-CEP协议中一祥,
实体B自身具有用于计算该会话密钥的部件;根据本发明,实体B使用独特的秘密密钥KSiB、以及当前交易编号N来这么做,实体B在接收到直接地或者经由不同实体而源自于授权服务器Si的“交易标识符” IDTRn, Si之后确定该当前交易编号N的值,该不同实体有利地可以是实体A (參照下面详细描述的实施例)。每个授权服务器Si根据预定的算法(下面将给出其示例)来确定与给定实体B相关的相继交易编号N。实体B预先计算用于交易编号N的至少ー个值的“过滤值”IDTRn。由干与IDDR-CEP协议中相同的原因,实体B优选地预先计算用于交易编号N (在本发明的上下文中,将其称作“交易窗ロ”)的多个所预测值的过滤值IDTRn。在此方面将注意到,对于授权服务器Si来说,它们不需要管理任何交易窗ロ。还将注意到,根据所述算法,由给定授权服务器Si针对给定实体B所使用的交易编号序列与由相同授权服务器Si针对不同的实体B所使用的交易编号序列无关(除非通过特定安排);結果,由各个实体B所使用的交易窗ロ彼此独立(除非通过特定安排)。交易标识符IDTRN,Si是过滤值IDTRn、独特秘密密钥KSiB、和该授权服务器Si的标识符IDsi的函数。如下面将详细解释的,在接收到交易标识符IDTRn,Si之后,实体B通过在与当前交易窗ロ相关联的全部所述预先计算的过滤值中进行扫描来获得当前过滤值idtrn。然后,实体B根据其而推断出标识符IDSi。将注意到,与IDDR-CEP协议相反地,不是按照未加密形式、而是按照或多或少被部分掩蔽(參照下面的示例实施例)的形式来向实体B传送过滤值IDTRn,以便防止(除了与当前授权服务器Si不同的被侵占授权服务器之外的)攻击者能够基于交易标识符IDTRn, Si和过滤值IDTRn而获得授权服务器Si的标识符IDsi。然后,当实体B识别出以下情况时,它可以容易地(即,利用少量计算操作)检测到攻击:-所接收到的交易标识符IDTRN,Si的值与所预先计算的过滤值IDTRn中的任何值都不相符;或者-所推断出的值IDsi不是该组中的任何授权服务器的标识符,或者-该授权服务器Si已经针对该实体B而授权了具有相同编号N的先前交易。因此,本发明有利地提供了(虽然利用了不同的手段,但是如IDDR-CEP协议一祥地,)预订了安全通信服务的实体对于通过淹没或重放进行的攻击的卓越防护。本发明还維持了与小尺寸协议消息相关的IDDR-CEP属性。事实上,一方面,授权
服务器Si或实体A都不必向实体B发送会话密钥欠;另一方面,在上面步骤e)期间、交
易标识符IDTRN,Si到实体B的(直接或间接)传送不需要任何(多个)大尺寸的消息,这是由于交易标识符IDTRn,Si可以是适度尺寸(典型地,几十个字节)的函数,同时在密码方面提供了良好的安全性。根据特定特性,该实体B在所述步骤f)期间,检查所述所接收到的交易标识符IDTRN;Si的值与该独特秘密密钥KSiB —致。由于这些措施,实体B可以验证被视为已经授权当前交易的授权服务器Si。根据其他特定特性,所述授权服务器使用对于所述组中的所有授权服务器共同的算法,以便确定与 给定实体B相关的相继交易编号N。由于这些措施,每个实体B仅仅管理単一的交易窗ロ(如上面所定义的),而与所述组中授权服务器的数目无关。因此,充分简化了实体B的管理任务,并且在授权服务器的数目P高时更加如此。在这些情形下,该组中的授权服务器与任何给定实体B共享共同的交易窗ロ。这些授权服务器可以以ー接收速度而先验地接收以下请求,该请求用于要求授权与此实体B进行通信,该接收速度根据授权服务器的不同而完全相异。因此,将优选地提供以下同步机制,其意欲保证在正常操作条件之下,由各个授权服务器所确定的交易编号N落入到由实体B所管理的交易窗ロ内,并且相反地,由实体B所管理的交易窗ロ与具有最高交易速度的授权服务器Si相应地“滑动(slide)”。根据第一变体(下面将把其称作“基于时钟的同歩”),由任何给定授权服务器Si在给定时间td针对给定实体B所确定的交易编号N是该时间td和參考编号Nb的预定函数,该參考编号Nb的值是由实体B与该组中的所有授权服务器所共享的秘密。由于这些措施,按照根据本发明方法的步骤e),由实体B在给定时间td管理的交易窗ロ的宽度必须仅仅反映实体B接收授权服务器Si已经向它供应的元素的对应时间仁处的不确定性。该不确定性一方面源于这些元素的(如所陈述的,直接或间接的)传送延迟,而另一方面,源于实体B和授权服务器Si的相应内部时钟的同步上的技术限制。总而言之,该不确定性(并因此,该交易窗ロ的宽度)通常非常微小(insubstantial),使得实体B必须预先计算的过滤值的数目有利地很小。优选地,借助于预定的单向函数而周期性地更新參考编号Nb的值。于是,该第一变体实质上具有被称作“前向保密(Forward Secrecy)”的属性,根据该属性,秘密(私有密钥或共享密钥)的长期破解(compromising)—定不允许攻击者在此破解以前重构该会话密钥。可能检查出,即使在攻击者是被侵占授权服务器时,在此实例中情况也是如此。事实上,如果攻击者成功地破解了授权服务器Si,则他将有权访问其独特秘密密钥KSiB,并且有权访问交易编号N的当前值,这允许他计算与由该被侵占授权服务器Si所
管理的当前交易以及一直到随后的交易相关联的会话密钥。然而,由于借助于单向函
数来进行參考编号Nb的更新,所以该攻击者将无法访问在该最后更新以前的交易编号N的值。因此,根据用于更新參考编号Nb而选定的时段,可能调整由该系统提供的安全性,即其中在破解情况下、无法确保“前向保密”属性的先前持续时间。根据第二变体(下面将把其称作“基于网络消息的同歩”),由任何给定授权服务器Si针对给定实体B所确定的交易编号N是先前交易编号的预定排序函数,并且每当授权服务器Si针对实体B确定出属于一系列预定值的交易编号的值时,此授权服务器Si向实体B发送同步消息。由于这些措施,于是,从该组中的每个授权服务器接收这种类型的同步消息的实体B可以根据由具有最高交易速度的授权服务器Si所确定的最后交易编号N来调整其交易窗ロ。而且,该实体B可以向该组中的所有授权服务器发送同步消息,使得结果是,具有最慢交易速度的授权服务器可以更新它们的当前交易编号。在此第二变体中,交易编号N的序列可以简单地是自然整数的升序,但是将优选地选定单向函数,以用于所述排序函数;事实上,于是,该第二变体将有利地具有上述“前向保密”属性。根据其他特定特性,对在上面的步骤e)期间向该实体B发送的所述元素中的全部或部分元素在它们的完整性上进行保护。由于这些措施,防止这些元素遭受任何侵占;这种类型的侵占将导致交易在大多数情况下失败。尤其是,可以借助于MAC代码来实现此完整性保护。根据更加特定的特性,借助于所述会话密钥尺或根据此会话密钥所推导出的密钥,来实现该完整性保护。借助于这些措施,实体B将能够确信已经向它发送了包括有效交易标识符IDTRN,Si的元素的实体确实具有与当前交易相关联的会话密钥
权利要求
1.一种用于电信网络中的安全通信的方法,所述网络包括被称为授权服务器的一组服务器Si (其中,i = 1,2,...,p,并且P是严格的正整数),针对所述网络的实体A与实体B 之间的交易,所述方法包括以下步骤a)该实体A向授权服务器Si之一发送授权请求(REQ),在该授权请求中,该实体A作为标识符IDa的持有者来标识它自身并且验证它自身;b)该实体A向所述授权服务器Si宣告它的用于与该实体B进行通信的意图;该授权服务器Si确定它与该实体B共享的独特秘密密钥KSiB ;c)该授权服务器Si生成会话密钥尤,所述会话密钥尤^是所述独特秘密密钥KSiB 的单向函数,并且还是向所述交易分配的整数N的函数,该整数N被称作交易编号;该授权服务器Si向该实体A发送所述会话密钥夂;d)该授权服务器Si还生成过滤值IDTRn,该过滤值是按照不可逆的方式而至少取决于所述交易编号N的函数;它然后生成交易标识符IDTRn, Si,该交易标识符是所述过滤值 IDTRn、所述独特秘密密钥KSiB、和该授权服务器Si的标识符IDsi的函数;e)该授权服务器Si向该实体B供应以下元素,所述元素至少包括所述交易标识符 IDTRn, Si ;f)使用在所述步骤e)期间接收到的交易标识符IDTRN,Si,所述实体B:-在由该实体B所预先计算的并且与该交易编号的至少一个所预测的值相关联的过滤值的集合内,标识当前的过滤值IDTRn,并且-获得授权服务器标识符IDSi,并且根据它来推断出对应的独特秘密密钥KSiB ;以及g)该实体B生成会话密钥。
2.根据权利要求1的用于安全通信的方法,其特征在于,该实体B在所述步骤f)期间, 检查出该授权服务器Si还没有针对该实体B而授权具有相同编号N的先前交易。
3.根据权利要求1或权利要求2的用于安全通信的方法,其特征在于,该实体B在所述步骤f)期间,检查出所述所接收到的交易标识符IDTRN,Si的值与该独特秘密密钥KSiB —致。
4.根据权利要求1到3中任一项的用于安全通信的方法,其特征在于,所述授权服务器使用对于所述组中的所有授权服务器共同的算法,以便确定与给定实体B相关的相继交易编号N。
5.根据权利要求4的用于安全通信的方法,其特征在于,由任何给定授权服务器Si在给定时间td针对给定实体B所确定的交易编号N是该时间td和参考编号Nb的预定函数, 该参考编号Nb的值是由实体B与该组中的所有授权服务器Si所共享的秘 密。
6.根据权利要求4的用于安全通信的方法,其特征在于,由任何给定授权服务器Si针对给定实体B所确定的交易编号N是先前交易编号的预定排序函数,并且每当该授权服务器31针对该实体B确定出属于一系列预定值的交易编号的值时,该授权服务器Si就向该实体B发送同步消息。
7.根据权利要求1到6中任一项的用于安全通信的方法,其特征在于,在所述步骤e) 期间该授权服务器Si向该实体B供应的所述元素还包括纖(W-:CKfSi,该数据取决于该交易编号N、并且借助于密码函数来推断,该密码函数取决于以下秘密密钥KsiUhedt,该秘密密钥KsiUkk是根据所述秘密密钥KSiB、从所述授权请求(REQ)所获得的元素集合、和可选的交易编号N所推导出的。
8.根据权利要求1到7中任一项的用于安全通信的方法,其特征在于,该实体A向该实体B供应该实体A的所述标识符IDa、或所推导出的标识符ID’ A。
9.根据权利要求7和权利要求8的用于安全通信的方法,其特征在于 -根据其来推断出所述数据(’///:'(7^^.的元素的所述集合包括该实体A的标识符IDa或所述所推导出的标识符ID’ A,以及 -在所述步骤f)期间,该实体B借助于所述秘密密钥KSiB, check,来检查在一方面的根据权利要求7所接收到的数据与另一方面的根据权利要求8所接收到的包括该标识符IDa或所推导出的标识符ID’A的所述元素之间的一致性。
10.一种被称作授权服务器的装置,用于在实体A与实体B之间的交易期间使得电信网络中的通信安全,该装置包括用于执行以下操作的部件 -对持有标识符IDa的实体A进行标识和验证, -确定所述授权服务器Si (其中,i = 1,2,...,p,并且P是严格的正整数)与实体B共享的独特秘密密钥KSiB,该实体A宣告它的用于与该实体B进行通信的意图, -生成会话密钥尤,并且将它发送到该实体A,所述会话密钥是所述独特秘密密钥KSiB的单向函数,并且还是向所述交易分配的整数N的函数,该整数N被称作交易编号,-生成过滤值IDTRn,该过滤值是按照不可逆的方式而至少取决于所述交易编号N的函数, -生成交易标识符IDTRn,Si,该交易标识符是所述过滤值IDTRn、所述独特秘密密钥KSiB、和该授权服务器Si的标识符IDsi的函数,以及 -向所述实体B供应至少包括所述交易标识符IDTRN,Si的元素。
11.一种被称作实体B的装置,用于电信网络中的安全通信,其特征在于,该装置包括在涉及所述实体B和实体A的交易期间、用于执行以下操作的部件 -接收至少包括由授权服务器Si (其中,i = 1,2,...,p,并且P是严格的正整数)生成的交易标识符IDTRN,Si的元素,所述交易标识符IDTRN,Si是过滤值IDTRn、该实体B与所述授权服务器Si所共享的独特秘密密钥KSiB、和该授权服务器Si的标识符IDsi的函数,并且所述过滤值IDTRn是按照不可逆的方式而至少取决于向所述交易分配的整数N的函数,该整数N被称作交易编号, -借助于所述交易标识符IDTRN,Si, 在由该实体B所预先计算的、并且与该交易编号的至少一个所预测的值相关联的过滤值的集合内,标识当前的过滤值IDTRn,并且 获得授权服务器标识符IDsi,并且根据它来推断出对应的独特秘密密钥1(,;以及 生成会话密钥,该会话密钥一方面是所述交易编号N的函数,并且另一方面是所述独特秘密密钥KSiB的单向函数。
12.根据权利要求11的用于安全通信的装置,其特征在于,它还包括对应表格,用于将该交易编号的至少一个所预测的值与相关联的预先计算的过滤值进行相关。
13.一种被称作实体A的装置,用于电信网络中的安全通信,该装置包括在涉及所述实体A和实体B的交易期间、用于执行以下操作的部件-作为标识符IDa的持有者来相对于授权服务器Si (其中,i = 1,2,. . .,p,并且P是严格的正整数)标识它自身并且验证它自身,-向所述授权服务器Si宣告它的用于与某一实体B进行通信的意图,-从该授权服务器Si接收会话密钥,所述会话密钥是由该授权服务器Si与所述实体B共享的独特秘密密钥KSiB的单向函数,并且还是向所述交易分配的整数N的函数,该整数N被称作交易编号,-从该授权服务器Si接收交易标识符IDTRN,Si,所述交易标识符IDTRN,Si是过滤值 IDTRn、所述独特秘密密钥KSiB、和该授权服务器Si的标识符IDsi的函数,并且所述过滤值 IDTRn是按照不可逆的方式而至少取决于所述交易编号N的函数,以及 -向该实体B发送至少包括所述交易标识符IDTRN,Si的元素。
14.一种不可移动的、或者部分地或完全地可移动的数据存储部件,包括用于实现根据权利要求1到9中任一项的用于安全通信的方法的步骤的计算机程序代码指令。
15.一种可从通信网络上下载的、和/或在计算机可读取的介质上存储的、和/或可由微处理器运行的计算机程序,意欲安装在根据权利要求10到13中任一项的安全通信装置中,其特征在于,该计算机程序包括用于当通过所述装置的处理部件来执行该计算机程序时、实现根据权利要求1到9中任一项的用于安全通信的方法的步骤的指令。
全文摘要
本发明涉及一种用于电信网络中的安全通信的方法,所述网络包括被称为授权服务器的一组服务器Si(其中,/=1,2,…,p,并且p是严格的正整数)。针对所述网络的实体A与实体B之间的交易,所述方法包括以下步骤a)实体A向授权服务器Si之一发送授权请求,其中,实体A作为标识符IDA的持有者来标识它自身并且验证它自身;b)实体A向所述授权服务器Si宣告它的用于与实体B进行通信的意图,并且该授权服务器Si确定它与所述实体B共享的独特秘密密钥KSiB;c)该授权服务器Si生成会话密钥并且向实体A发送所述会话密钥d)该授权服务器Si生成交易标识符IDTRN,Si;e)该授权服务器Si向实体B转发以下元素,所述元素至少包括所述交易标识符IDTRN,Si;f)使用所述交易标识符IDTRN,Si,所述实体B核查该交易的有效性,以及g)实体B生成会话密钥
文档编号H04L9/08GK103039033SQ201180037708
公开日2013年4月10日 申请日期2011年5月26日 优先权日2010年5月31日
发明者P.巴蒂斯特洛 申请人:法国电信公司