CN100584116C - 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统 - Google Patents

Abstract

在应用鉴权密钥材料(312)的情况下，分别由移动无线电终端设备(103)和归属通信网的计算机(108，109)形成第一加密密钥(318)和第二加密密钥(322)。将所述第一加密密钥(318)传送给被访问的通信网的计算机(113)，并且将所述第二加密密钥(322)传送给应用服务器计算机(106，107)。

Description

在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统

本发明涉及一种用于在移动无线电系统中形成和分配加密密钥的方法以及一种移动无线电系统。

在通用移动电信系统(UMTS，Universal MobileTelecommunications System)的范围内，发展基于因特网的多媒体业务，以便提高UMTS移动无线电系统的可使用性，并且开拓另外的应用领域。

在3GPP(第三代合作项目(3rd Generation PartnershipProject))中，在UMTS版本5架构中说明的所谓基于IP的多媒体子系统(IMS，IP-based Multimedia Subsystem)已经被标准化为移动无线电系统的基于因特网的多媒体业务的平台。

当为了使用基于因特网的多媒体业务，移动无线电用户的移动无线电终端设备在具有IMS的移动无线电系统中的通信网中登记时，这样按照在[1]中说明的根据IMS鉴权和密钥一致协议(IMS-AKA协议，IMS-Authentication and Key-Agreement-Protocol)的3GPP标准针对移动无线电终端设备执行鉴权。

根据IMS-AKA协议，移动无线电终端设备和移动无线电终端设备当前位于其范围中的通信网相互鉴权，并且产生两个加密密钥，即所谓的完整性密钥和所谓的传输密钥。根据UMTS版本5，采用完整性密钥，以保护移动无线电终端设备和被访问的通信网(VisitedNetwork)的计算机之间的IMS信令。被访问的通信网的计算机被设立为呼叫状态控制功能计算机(CSCF计算机，Call State ControlFunction-Computer)并且被称为代理CSCF计算机(P-CSCF计算机，Proxy-CSCF-Computer)。规定传输密钥用于加密、也就是说用于保护所交换数据的机密性。

除了在应用完整性密钥的情况下保护纯IMS信令消息以外可以规定，在提供基于IP的业务的范围内，应该以秘密地方式在应用服务器计算机和移动无线电终端设备之间交换附加的电子消息。

在本说明书的范围内，网络侧的应用服务器计算机尤其是根据在应用层(OSI层7)上规定的、优选为多媒体的业务来提供业务并且根据层7协议、也就是应用层协议通信的计算机。例如，应用服务器计算机可被配置为HTTP(超文本传输协议，Hypertext TransferProtocol)服务器计算机，并根据HTTP协议与移动无线电终端设备进行通信。

除了IMS的基本功能性之外，应用服务器计算机例如被用于管理网络侧的用户调节和被用于存储和管理关于移动无线电系统用户的简档数据。

移动用户(尤其是IMS移动无线电系统的移动用户)和通信网中的应用HTTP协议的应用服务器计算机之间的这种应用的例子是：

·呈现服务器上的访问列表，利用所述访问列表可能使用关于移动无线电系统内的移动无线电终端设备的当前位置的位置信息(例如GPS数据)，

·聊天应用的好友列表、也就是针对聊天应用所允许的用户的列表，

·群管理业务，以及

·电子多媒体会议的调节。

作为这种应用的另一例子是，在应用IMS系统的情况下在移动无线电终端设备之间和组播业务中心之间建立组播连接。

为了确保在移动无线电终端设备和应用服务器计算机之间应用的协议加密，例如在鉴权、数据完整性和/或数据机密性方面必须保护其消息。

根据具体的使用情形和所应用的应用层协议，例如

·针对HTTP安全协议HTTP摘要、TLS协议(传输层安全协议，Transport Layer Security Protocol)或者WTLS(无线传输层安全协议，Wireless Transport Layer Security Protocol)以及，

·针对组播通信连接MIKEY(多媒体因特网键接，MultimediaInternet KEYing)的密钥分配，

应用不同的安全协议，以确保应用层协议，。

在所有加密的应用层协议中，必要的是，所参加的通信伙伴、尤其是移动无线电终端设备和应用服务器计算机(也就是通信网中的应用服务器计算机)具有秘密的密钥材料(也就是具有秘密的密钥)，所述秘密的密钥材料在开始发送第一所确保的电子消息时就已经可供使用。

在IMS的情况下，密钥基础设施基于在IMS注册范围内、也就是在[1]中说明的鉴权和密钥交换协议的范围内用于鉴权IMS用户的对称密钥。

如在[1]中所说明的那样，移动无线电终端设备在针对在其归属通信网(Home Network)处的IMS通信会议的IMS中在为此装设的计算机处注册，该计算机也被称为S-CSCF计算机(服务呼叫状态控制功能计算机，Serving Call State Control Function-Computer)。

在应用被访问的通信网中的本地代理计算机(上述P-CSCF计算机)的情况下完成通信，该被访问的通信网表示移动无线电终端设备的并且因此移动用户的第一IMS接触点。

在所谓的HSS计算机(归属用户服务器计算机，Home SubscriberServer-Computer)参加的情况下，在移动无线电终端设备和S-CSCF计算机之间完成根据[1]的鉴权。在鉴权的范围内，在移动无线电终端设备中和在HSS计算机中产生完整性密钥和传输密钥，并且以加密确保的方式将该完整性密钥和传输密钥传输给S-CSCF计算机。

由该S-CSCF计算机将完整性密钥加密确保地传输到P-CSCF计算机。下述与IMS相关的信令消息的完整性保护和真实性局部地在移动无线电终端设备和P-CSCF计算机之间得到保证并基于完整性密钥。根据UMTS版本5，目前不应用传输密钥，可是却计划，在UMTS标准的未来版本(版本6和以后的标准)中针对所传输的数据的机密性的附加保护采用传输密钥。

当针对确保不同于用于IMS信令的应用使用传输密钥和完整性密钥时，得出问题，该传输密钥和完整性密钥作为会议密钥从IMS-AKA鉴权和密钥产生中形成。

移动无线电终端设备和归属通信网(换句话说，用户和归属通信网运营商)被看作是相互值得信任的。

但是，被访问的通信网(在漫游情况下；在非漫游情况下，这对应于归属通信网)得到完整性密钥和传输密钥。如果应用服务器计算机同样将可能得到完整性密钥和传输密钥，那么应用服务器计算机理论上可能能够丧失移动无线电终端设备和被访问的通信网之间的IMS信令的安全性。相反当移动无线电终端设备和应用服务器计算机之间的通信直接以完整性密钥或者传输密钥为基础时，被访问的通信网、也就是被访问的通信网的计算机可能能够丧失该通信的安全性。

针对移动无线电终端设备想同时与多个应用服务器计算机通信的情况也值得的、常常甚至必要的是，不可能从各自的应用服务器计算机得到的加密密钥中推断出另一个应用服务器计算机得到的加密密钥。

为了解决上述问题，可能的方法是，不仅在归属通信网中而且在用户的移动无线电终端设备中从完整性密钥和/或传输密钥中进行新加密密钥的推导。在用于密钥推导的加密函数不允许合理推断出针对应用服务器计算机的完整性密钥和/或传输密钥的前提下，应用服务器计算机得到推导出的加密密钥、也即既不认识完整性密钥也不认识传输密钥。

在这种方法中得出的问题是，必需不能由被访问的通信网的计算机理解的密钥推导函数。将例如完整性密钥或者传输密钥用作输入参数而将在根据[1]完成鉴权的范围内产生的随机参数用作随机值的所谓的密钥哈希(Keyed Hash)同样可由被访问的通信网中的计算机来计算。

为了推导密钥而可能在用户的移动无线电终端设备和归属通信网之间约定的新随机参数将能够只通过在现有的通信或者安全协议上改变、也就是通过例如在IMS-AKA协议上或者在S-CSCF计算机和HSS计算机之间的通信中的改变来达到。

但是，应该避免这种改变，因为不可以简单的方式执行现存的通信标准或者安全标准的修改，并且因此是极其昂贵的。

在[2]中能找到关于在UMTS标准版本5中规定的安全机制的概述。

在[3]和[4]中说明了在IMS-AKA协议的范围内应用的消息鉴权功能和密钥产生函数。此外，在[4]中还说明了称为Rijndael函数的块密码加密函数。

在[5]中能找到关于各种密钥推导函数的概述。

在[6]中说明了另一种密钥推导方法。

该问题以本发明为基础，提高移动无线电系统中的加密安全性。

通过具有独立权利要求所述特征的用于在移动无线电系统中形成和分配加密密钥的方法和通过具有独立权利要求所述特征的移动无线电系统来解决该问题。

用于在移动无线电系统中形成和分配加密密钥的方法以具有移动无线电终端设备、第一计算机(优选地被访问的通信网的计算机、归属通信网的计算机)以及至少一个第二计算机(优选地被设立为应用服务器计算机)的至少一个移动无线电系统为出发点。所述至少一个移动无线电终端设备优选地位于被访问的通信网的范围内，并且相对归属通信网和被访问的通信网已进行了鉴权。在这点上应说明的是，被访问的通信网和归属通信网可以是相同的。在鉴权的范围中已形成在移动无线电终端设备中和在归属通信网的计算机中可供使用并被存储的鉴权密钥材料。在该方法中，在应用鉴权密钥材料的情况下，分别由移动无线电终端设备和归属通信网的计算机形成第一加密密钥和第二加密密钥。这样，所述第一密钥和所述第二密钥分别在移动无线电终端设备中和在归属通信网的计算机中可供使用并被存储。

所述第一和第二计算机可替换地两者均被设立为应用服务器计算机。

归属通信网的计算机(可替换地移动无线电终端设备)优选地将所述第一加密密钥传送给第一计算机，优选地因此传送给被访问的通信网的计算机。此外，归属通信网的计算机(可替换地移动无线电终端设备)优选地将所述第二加密密钥传送给第二计算机、优选地应用服务器计算机。

移动无线电系统具有至少一个移动无线电终端设备，其中存储有鉴权密钥材料作为在移动无线电终端设备和移动无线电终端设备的归属通信网的计算机之间的鉴权结果。此外，移动无线电系统具有第一计算机(优选地被访问的通信网的计算机)以及归属通信网的计算机。在归属通信网的计算机中鉴权密钥材料同样作为在归属通信网处的移动无线电终端设备的鉴权结果来存储。此外，在移动无线电系统中装设至少一个第二计算机、优选地设立为应用服务器计算机。移动无线电终端设备位于被访问的通信网中。所述移动无线电终端设备和归属通信网的计算机分别具有密码单元，以在应用鉴权密钥材料的情况下分别形成第一加密密钥和第二加密密钥。此外，被访问的通信网的计算机还具有存储器，以存储由移动无线电终端设备或者由归属通信网的计算机传送给该计算机的第一加密密钥。此外，应用服务器计算机还具有存储器，以存储由移动无线电终端设备或者归属通信网的计算机传输给该应用服务器计算机的第二加密密钥。

显然，在这里本发明可以被看为，在鉴权范围内形成的鉴权密钥材料不是直接和完全地被传送给应用服务器计算机和被访问的通信网的计算机，而是从至少一部分鉴权密钥材料中推导出会议密钥，所述会议密钥在移动无线电终端设备和应用服务器计算机或被访问的通信网的计算机之间的稍后的通信的范围中例如被用于加密待确保的数据。因此，出于从被访问的通信网中的计算机方面的攻击在移动无线电终端设备和各自的应用服务器计算机之间的通信范围内确保加密的安全性，并且此外确保在移动无线电终端设备和被访问的通信网的计算机之间的通信以防从应用服务器计算机方面攻击，因为应用服务器计算机和被访问的通信网的计算机分别具有密钥，该密钥不适于推断出各自其他的密钥并且因此实现利用其他实体的各自的密钥来加密的数据的解密。

按照本发明，达到增强的加密的安全性，而不必改变在UMTS范围内标准化的通信协议。

本发明的优选的扩展方案由从属权利要求得出。

本发明的下述改进方案不仅涉及用于在移动无线电系统中形成和分配加密密钥的方法而且涉及移动无线电系统。

根据本发明的改进方案，在借助密钥推导函数应用的情况下形成所述第一加密密钥和所述第二加密密钥。

根据本发明的另一个改进方案规定，这样形成所述第一加密密钥和所述第二加密密钥，使得

·不可能从所述第一加密密钥中推断出所述第二加密密钥，

·不可能从所述第二加密密钥中推断出所述第一加密密钥，以及

·不可能从所述第一加密密钥或者所述第二加密密钥中推断出鉴权密钥材料。

例如针对移动无线电系统作为优选地具有基于IP的多媒体子系统的、基于3GPP标准的移动无线电系统的情况，所述鉴权密钥材料可具有至少两个加密密钥、更确切地说完整性密钥和传输密钥。

在这种情况下，优选地从所述传输密钥中推导出所述第一加密密钥和所述第二加密密钥。

换句话说，这意味着，根据本发明的该改进方案，在移动无线电终端设备中和在归属通信网的计算机中从所述传输密钥中推导出其他加密密钥。

与直接为了确保IMS信令的完整性根据[1]的归属通信网传送给被访问的通信网的计算机、优选地P-CSCF计算机的完整性密钥相反，根据本发明，归属通信网的计算机、优选地S-CSCF计算机不传达传输密钥本身。相反，该传输密钥被用于，通过采用适当的密钥推导函数来推导出一个或者多个新密钥，其中所述推导函数优选地基于伪随机函数。当第一加密密钥针对保护所传输的数据的机密性必要时，借助于所述密钥推导函数形成的第一推导出的密钥作为第一加密密钥由S-CSCF计算机传送给P-CSCF计算机。

在移动无线电系统中，原则上可规定任意数量的通信网和移动无线电终端设备以及任意数量的应用服务器计算机。

在多个应用服务器计算机中，根据本发明的改进方案规定，在应用鉴权密钥材料的情况下，分别由移动无线电终端设备和归属通信网的计算机针对每个附加的应用服务器计算机形成附加的加密密钥。所述各自的附加的加密密钥被(优选地由归属通信网的计算机)传送给所属的应用服务器计算机。

在这种情况下，有利的是，借助于相同的密钥推导函数、但在应用适当的不同输入参数的情况下产生多个或大量加密密钥。通过应用适当的输入参数、优选地高质量的随机数，针对所述密钥推导功率确保，推导出的密钥的接收机、例如应用服务器计算机或者被访问的通信网的计算机不能推断回基础密钥(即传输密钥)，一般不能推断回鉴权密钥材料。

这种输入参数不仅对于移动无线电终端设备而且对于归属通信网的计算机是已知参数，诸如根据IMS-AKA协议从分别当前的鉴权中得出的参数。借助于第二加密密钥，为保护除了IMS信令之外的其他消息、例如为了保护在所述移动无线电终端设备和安排为呈现服务器计算机的应用服务器计算机之间规定的HTTP消息或者在所述移动无线电终端设备和组播业务中心计算机之间根据MIKEY协议安排的消息从所述传输密钥中推导出。

按照本发明规定，在需要时，从所述传输密钥、一般从所述鉴权密钥材料中推导出任意数量的其他加密密钥。

原则上，用于推导加密密钥的每种任意适当的加密方法可被用作密钥推导方法，例如在[5]中说明的方法、可替换地在[3]和[4]中说明的根据MILENAGE的密钥推导方法的变型。

如果为了形成多个作为会议密钥的加密密钥而应用相同的密钥推导函数，那么不仅在移动无线电终端设备中而且在归属通信网的计算机中仅仅需要实施加密的密钥推导函数。

本发明的另一优点在于，移动无线电终端设备的用户针对接入IMS和关于此提供的电子业务必须只进行一次鉴权。针对接入基于IMS的应用或业务，其他鉴权不再必需。

此外，按照本发明，避免改变现存的标准化协议，例如不必改变在[1]中说明的鉴权协议IMS-AKA或者用于在S-CSCF计算机和HSS计算机之间的通信的协议，因为不必在分别参加的计算机之间交换附加的参数。

通过应用传输密钥(而不应用完整性密钥)作为用于密钥推导的基础密钥，另外还避免，在应用所述标准的各种版本(UMTS-3GPP版本5和UMTS-3GPP版本6等)之间的密钥时形成将可能导致过高的标准化和完整性花费的差别。

此外，按照本发明，能够如此设计密钥推导，以致该密钥只针对在移动无线电终端设备和一定的网络单元之间的安全关系可应用，而针对其他安全关系不可应用，并且不允许推断出其他安全关系，尤其是不允许确定在其他安全关系的范围内应用的加密密钥。

此外，可能如此设计密钥推导，以致移动无线电终端设备和S-CSCF计算机单独从传输密钥、从根据IMS-AKA通信协议从分别当前的鉴权中得出的参数、以及应用服务器计算机的身份中计算推导出的密钥。

这具有下列附加优点，即可以由针对其他应用服务器计算机的密钥独立地计算针对一定的应用服务器计算机的推导出的密钥。当没有必要同时计算针对应用服务器计算机的推导出的加密密钥时，尤其是在这种情况下，这具有更大的意义，因为用户在不同的时刻和有时甚至根本不会接触各种应用服务器计算机。

根据本发明的另一改进方案，将至少一个事先形成的加密密钥用作密钥推导函数的附加参数。换句话说，这意味着一个或者多个事先形成的并因此可供使用的加密密钥被用作密钥推导函数的输入值，并且因此被用作用于形成随后的加密密钥的基础。

因此，通过本发明明显地解决问题，基于移动无线电系统中现有的IMS安全基础设施，针对基于IMS的应用或业务而保护在移动无线电终端设备和应用服务器计算机之间的附加通信，所述应用或业务不是通过IMS移动无线电系统的迄今的安全性来获得的。

这种通信可以例如以HTTP协议和MIKEY协议、一般以OSI层7(也就是应用层)的每个通信协议为基础。

为了确保所述通信，所说明的机制产生由在根据[1]的IMS鉴权范围内形成的完整性密钥和/或传输密钥推导出的会议密钥。尤其是解决以下问题，即各种网络实体、如应用服务器计算机和P-CSCF计算机得到不允许推断出其他加密密钥的不同密钥，以致网络实体、也就是被访问的通信网的计算机也不会损害用户与另一个网络实体、也就是与通信网的另一个计算机交换的消息的机密性。

另外，按照本发明应用能够仅利用一个密钥推导函数针对不同的应用产生相互独立的加密密钥的机制。因此，避免了实施多个这种密钥推导函数的花费。

另外，如上所述，避免用户、也就是移动无线电终端设备的多次鉴权。

因此，在这里显然本发明可被看作，以达到上述优点的这种方式，从在IMS注册的范围内产生的传输密钥中推导出其他加密密钥，该其他加密密钥可被用于在移动无线电终端设备和P-CSCF计算机之间的消息之间的加密以及被用于在移动无线电终端设备和应用服务器计算机之间的安全关系。

在图中示出本发明的实施例，并且下面对其进行更详细的描述。

其中：

图1示出根据本发明实施例的移动无线电系统的框图；

图2示出消息流图，其中根据本发明实施例说明了形成和分配加密密钥的消息流；以及

图3示出其中根据本发明实施例说明了加密密钥的形成的框图。

即使在下面的实施例中出于简单表示的原因实施例仅仅示出一个移动无线电终端设备、一个归属通信网以及一个被访问的通信网络，但本发明也可以应用任意数量的移动无线电终端设备和通信网。

图1中所示的移动无线电系统100是按照UMTS标准版本5设立的。

根据优选实施例的移动无线电系统100具有归属通信网101、被访问的通信网102、移动无线电终端设备103以及位于其他通信网104、105中的应用服务器计算机106、107。

下面，只是简短地说明根据UMTS标准版本5所述的移动无线电系统100的针对本发明相关的元件。

在归属通信网101中装设归属用户服务器计算机(HSS-计算机)108。在该HSS-计算机中存储有表征每个分配给归属网络101的移动无线电设备103和该移动无线电终端设备103的拥有者的数据、例如用户业务简档。

服务呼叫状态控制功能计算机(S-CSCF计算机)109借助于第一通信连接110与HSS-计算机108耦合。

CSCF-计算机不仅分组交换地而且还线路交换地控制整个呼叫管理。CSCF-计算机的其他几个任务是计费管理(Billing)、地址管理和提供用于释放特定的预定业务和节点的释放机构。

借助于第二通信连接111，询问CSCF计算机(I-CSCF计算机，Interrogating-CSCF-Computer)112与S-CSCF计算机109耦合。在位于归属通信网101中的I-CSCF计算机112中存储有分别负责的HSS-计算机108的IP地址，以致在开始对移动无线电终端设备103进行鉴权时在归属通信网101处能够确定针对该鉴权的主管的HSS-计算机108。I-CSCF计算机112明显地形成被访问的通信网102到归属通信网101的“通信接口”。

在被访问的通信网102中装设代理-CSCF计算机(P-CSCF计算机)113，其与相应地在被访问的通信网102中存在的基站共同提供空中接口，以建立到位于将P-CSCF计算机113分配给的范围内的移动无线电终端设备103的无线电连接114。

该P-CSCF计算机113通过无线电连接或者固定网通信连接115经任意数量的其他通信网与归属通信网101的I-CSCF计算机112相连接。

此外，根据该实施例借助于其他无线电连接或者固定网通信连接116、117，其他通信网104、105中的应用服务器计算机106、107与归属通信网101的S-CSCF计算机109耦合。借助于附加的无线电连接或者固定网通信连接118、119，应用服务器计算机106、107与移动无线电终端设备103耦合。

根据该实施例，单个计算机分别具有微处理器、一个或者多个存储器以及相应的通信接口，以致能够在单个计算机和移动无线电终端设备103之间交换电子消息。

此外，这样设立计算机和移动无线电终端设备103，使得能够执行下述方法步骤，并且能够形成、编码或解码和发送或接收下述电子消息。

为了形成电子消息，根据该实施例至少部分地应用会话初始协议(SIP，Session Initiation Protocol)。

为了移动无线电终端设备103能够使用由应用服务器计算机106、107提供的业务，必要的是在移动无线电终端设备103和归属通信网101之间进行并且成功执行相互的鉴权。

在开始用于鉴权和用于形成以及分配在信令范围内和在交换加密电子消息的范围内应用的加密密钥的方法时，由移动无线电终端设备103将SIP注册消息201发送给P-CSCF计算机113，如在图2中的消息流图200中所示的那样。在接收该SIP注册消息201之后，由P-CSCF计算机113将该SIP注册消息201转交给发送SIP注册消息201的移动无线电终端设备103的归属通信网101中的I-CSCF计算机112。该I-CSCF计算机112同样转交该SIP注册消息201、更确切地说转交给归属通信网101的所属的S-CSCF计算机109。

在得到该SIP注册消息201之后，S-CSCF计算机109检查，发送S IP注册消息201的移动无线电终端设备103是否已经在S-CSCF计算机109中注册。如果不是这种情况，那么S-CSCF计算机109经第一通信连接110将Cx-鉴权数据请求消息202发送给HSS-计算机108，利用该Cx-鉴权数据请求消息S-CSCF计算机109在HSS-计算机108处针对移动无线电终端设备103请求新的鉴权数据。

响应于Cx-鉴权数据请求消息202，在HSS-计算机108中以下述方式产生一组或者多组鉴权数据，并且在鉴权数据消息203中被传输给S-CSCF计算机109。

在可替换的实施方案中，鉴权数据由S-CSCF计算机109本身产生。

由HSS-计算机108、可替换地由分配给HSS-计算机108的鉴权中心计算机的一台计算机产生连续的序列号SQN302(步骤301)。

此外，在附加步骤(步骤303)中形成随机数RAND 304。

此外，将预定的所谓的鉴权管理范围(AuthenticationManagement Field)AMF 305用作下述操作的输入参数。

此外，在下述操作的范围内，应用只为HSS-计算机108(在可替换的实施方案中为S-CSCF计算机109)和移动无线电终端设备103已知的秘密密钥K 306。

在这点上应说明，也可以在S-CSCF计算机109或者在归属通信网101中的可比较的网络元件中完成下述鉴权向量AV的形成，在该情况下，在各自的计算单元中可使用上述量。

在应用秘密密钥K 306、鉴权管理范围AMF 305、序列号SQN 302和随机数RAND 304的情况下，借助于诸如在[3]和[4]中所述的第一消息鉴权函数f1 307根据下列规则形成消息鉴权代码MAC(MessageAuthentication Code)308：

MAC＝f1_K(SQN|RAND|AMF).                           (1)

在本说明书的范围内，符号“|”体现位于符号左侧或者右侧的量的级联。

下面应用的消息鉴权函数f1和f2以及密钥产生函数f3、f4、f5在[3]和[4]中被说明。

在应用秘密密钥K 306和随机数RAND 304的情况下，借助于第二消息鉴权函数f2 309形成期望的应答值XRES 310：

XRES＝f2_K(RAND).                                  (2)

在应用秘密密钥K 306和随机数RAND 304的情况下，借助于第一密钥产生函数f3 311根据下列规则形成传输密钥CK 312：

CK＝f3_K(RAND).                                   (3)

此外，在应用第二密钥产生函数f4 313的情况下和在应用秘密密钥K 306和随机数RAND 304的情况下，根据下列规则形成完整性密钥IK 314：

IK＝f4_K(RAND).                                   (4)

在同样应用秘密密钥K306和随机数RAND 304的情况下，借助于第三密钥产生函数f5315根据下列规则计算匿名密钥AK 316：

AK＝f5_K(RAND).                                   (5)

此外，由HSS-计算机108根据下列规则形成鉴权标记AUTN320：

$\mathrm{AUTN}\stackrel{\·}{=}\mathrm{SQN}\⊕\mathrm{AK}\left|\mathrm{AMF}\right|\mathrm{MAC}---\left(6\right)$

将上述所计算的值、也就是鉴权标记AUTN、期望的应答值XRES310、传输密钥CK 312和完整性密钥IK 314传输给S-CSCF计算机109。

按照本发明，在应用密钥推导函数f 317的情况下从S-CSCF计算机109中的传输密钥CK 312中在应用下述输入参数318的情况下按照以下方式形成第一推导出的密钥CK1 319。

根据本发明第一实施例，将例如基于方法HMAC-SHA1的伪随机函数PRF用作密钥推导函数f 317。该密钥推导函数f 317基本上是根据[6]的章节5.5中规定的密钥推导方法而构造的。

因此，根据下列规则形成第一推导出的密钥CK1：

CK1＝f_K(CK|Par1|random)，                        (7)

其中输入参数Par1是可选的，并且其中random是例如根据下列规则形成的适当的随机材料：

random＝RAND|AUTN|XRES，                         (8)

其中在根据[1]的鉴权方法期间将RAND|AUTN作为下述的鉴权请求消息204传送给移动无线电终端设备103。

为了在期望的应答值XRES的位置上形成随机值random，移动无线电终端设备103应用由其形成的应答值RES。

在根据[1]的下述方法的范围内，从值RES中推导出的值由移动无线电终端设备103作为鉴权应答传送给S-CSCF计算机109。

在这点上应说明，可以在S-CSCF计算机109中、或者在归属通信网101中的可比较的适当网络元件中完成推导出的加密密钥的形成。

此外，根据下列规则，由S-CSCF计算机109形成S-CSCF计算机109请求的鉴权向量AV 321：

AV＝RAND|XRES|CK1|IK|AUTN.                       (9)

S-CSCF计算机109将SIP鉴权请求消息204传送给I-CSCF计算机112，并且该I-CSCF计算机112将该SIP鉴权请求消息204转交给被访问的通信网102的P-CSCF计算机113。在该SIP鉴权请求消息204中包含随机数RAND 306、鉴权标记320以及完整性密钥IK。与根据[1]的鉴权方法相反，按照本发明不包含传输密钥CK，并因此被访问的通信网中的P-CSCF计算机也不将其传送给用户。代替以上所述，在SIP鉴权请求消息204中包含有第一推导出的密钥CK1。

在应用消息鉴权函数f1和f2以及密钥产生函数f3、f4和f5的情况下，在移动无线电终端设备103中同样形成上述量，并且用于鉴权被访问的通信网102。为此，在移动无线电终端设备103中同样实施上述函数f1、f2、f3、f4和f5。

此外，移动无线电终端设备103当然具有秘密密钥K和随机数RAND 306。此外，对于用于在应用密钥推导函数317的情况下形成推导出的密钥的参数Pari的下述附加说明在移动无线电终端设备103中同样可使用。

在转交鉴权请求消息204之前，P-CSCF计算机113仍存储完整性密钥IK 314以及第一推导出的密钥CK1，将其从鉴权请求消息204中去除并将减少的鉴权请求消息205传送给移动无线电终端设备103。

因此，完整性密钥IK 314在P-CSCF计算机113中而不是在移动无线电终端设备103中可使用。

在移动无线电终端设备103中应用的情况下，在应用秘密密钥K306和在移动无线电终端设备103中可使用的随机数RAND 304的情况下、在应用第五和第三密钥产生函数f5315的情况下已形成匿名密钥AK 316。

在应用鉴权标记302的第一字段的情况下，在形成第一字段(SQNAK)的内容的情况下形成与匿名密钥AK 316的异或连接，并且作为结果，移动无线电终端设备103得到序列号SQN 302。

在应用序列号、包含在鉴权标记320中的鉴权管理范围AMF 305、随机数RAND 304、秘密密钥K 306和第一消息鉴权函数f1 307的情况下形成终端设备消息鉴权代码，该终端设备消息鉴权代码与包含在鉴权标记320中的消息鉴权代码MAC 308比较。

如果这两个值彼此一致，则归属通信网102的鉴权相对移动无线电终端设备103是成功的，并且移动无线电终端设备在应用随机数RAND 304、秘密密钥K 306和第二消息鉴权函数f2 309的情况下计算应答值RES并将SIP鉴权应答消息206中的从RES中推导出的应答值发送给P-CSCF计算机113，如[1]中所述。

应说明，移动无线电终端设备103此外在应用第一密钥产生函数f3 311和秘密密钥K 306的情况下计算传输密钥312，以及在应用第二密钥产生函数f4 313和秘密密钥K 306的情况下计算完整性密钥IK 314。

由P-CSCF计算机113将鉴权应答消息206转交给I-CSCF计算机112，并且由该I-CSCF计算机112转交给S-CSCF计算机109。

通过将从RES中推导出的应答值与以类似的方式从期望的应答XRES中推导出的值进行比较，S-CSCF计算机109更新(neuen)或者HSS-计算机108检查该从RES中推导出的应答值。在上述两个值一致时，相对S-CSCF计算机109鉴权移动无线电终端设备103成功。

从现在起，根据规则(8)也可以在移动无线电终端设备103中形成值random，并且紧接着根据规则(7)形成第一推导出的密钥CK1。

由S-CSCF计算机109将鉴权确认消息207传送给I-CSCF计算机112，并且由该I-CSCF计算机112转交给P-CSCF计算机113。

将鉴权确认消息208传送给移动无线电终端设备103，以确认成功的相互鉴权。

此外，由S-CSCF计算机109通过重新应用密钥推导函数f 317和可选地在应用附加的输入参数Par2的情况下，根据下列规则形成第二推导出的密钥CK2 322：

CK2＝f_K(CK，CK1|Par2|random).                    (10)

在密钥消息209中，将该第二推导出的密钥CK2322传输给在将来加密的范围内应用该第二推导出的密钥CK2 322的应用服务器计算机106。

在移动无线电终端设备103中，以如在S-CSCF计算机109中相应的方式同样形成第二推导出的密钥CK2 322。

如果在与附加的应用服务器计算机通信的范围内，附加的密钥材料、也就是附加的推导出的密钥是必要的，那么根据下述规则形成附加的推导出的密钥CKi(i＝1、...、n，n表示所形成的推导出的密钥的数量)323、324，原则上形成任意数量的附加推导出的密钥，并且将其传送给各自的应用服务器计算机：

CKi＝f_K(CK，CKi|Pari|random).                    (11)

在这种情况下，Pari(i＝1、...、n)可以表示各自的应用服务器计算机106、107的身份、例如IP地址。

此外，各自的参数Pari还可能包含关于应用密钥的其他信息，例如关于用于加密或者完整性保护的信息、关于消息流的方向(离开移动无线电终端设备103或者进入移动无线电终端设备103)的信息，针对该消息流应采用密钥。

在完整性密钥IK 314和传输密钥CK 312在移动无线电终端设备103中和在S-CSCF计算机109中可使用之后，如此多次执行密钥推导函数f 317，直到针对所有待确保的应用都存在必需的加密密钥为止。这不仅在移动无线电终端设备103中而且在S-CSCF计算机109中如上述那样完成。

随后，例如用于保护IMS消息本身的P-CSCF计算机113的推导出的密钥(第一推导出的密钥CK1 318)和其他推导出的密钥322、323、324可供分别待确保的应用使用，或针对该分别待确保的应用适当地采用。

可替换地，可通过级联单个所产生的推导出的密钥CK1、CK2、CKi、CKn 318、322、323、324来产生密钥序列。当推导出的密钥在其长度上与所应用的确保方法的请求不对应时，或者当例如针对一个应用必需两个单向密钥时，这是有利的。

在这种情况下，根据下列规则得出推导出的密钥：

KEYMAT＝CK1|CK2|...|CKi|...                     (12)

于是，从左开始并相继从该密钥序列KEYMAT中得知针对各种应用必需的加密密钥。

下面，给出用于形成推导出的密钥318、322、323、324的可替换的实施例。

下列实施例类似于在[3]和[4]中所述的方法MILENAGE。

random是适当的随机材料，random例如根据规则(8)形成。为了形成随机值random，采用根据上述实施例的方法。此外假设，ASi-ID表示应用服务器计算机ASi(i＝1，2，...，n)的身份、例如IP地址。h是哈希函数，诸如SHA-1。利用E表示具有分别为128比特长的输入值、输出值和密钥的适当的块密码加密函数。当输入值是x，密钥是k和输出值是y时，根据下列规则确定输出值y：

y＝E[x]_k·                                   (13)

适当的块密码加密函数的例子是诸如在[4]中说明的所谓Rijndae1方法。

根据下列规则，从应用服务器计算机身份和传输密钥CK 312中推导出128比特值x_i：

$x_i=\mathrm{ASi}-\mathrm{ID}\⊕E{[\mathrm{ASi}-\mathrm{ID}]}_{\mathrm{CK}}.---\left(14\right)$

根据下列规则，计算长度为128比特的中间值TEMP：

$\mathrm{TEMP}=E{[\mathrm{random}\⊕x_i]}_{\mathrm{CK}}.---\left(15\right)$

现在如下计算各自的推导出的密钥CKi：

$\mathrm{CKi}(r,c)=E{[\mathrm{rot}(\mathrm{TEMP}\⊕x_i,r)\⊕c]}_{\mathrm{CK}}{\⊕x}_i,---\left(16\right)$

其中r和c是诸如在[4]中说明的适当的可预定的常数。

同样如[4]中所述，按照本发明可能通过适当选择其他常数r和c推导出针对相同的应用服务器计算机的其他的密钥CKi(r，c)。

根据类似于根据RSA PKCS#5的密钥推导方法的本发明的可替换的实施例，再次应用以如按照第一实施例那样相同的方式确定的随机值random。

如根据第二实施例，ASi-ID再次是应用服务器计算机ASi(i＝1，2，...，n)的身份。h再次是哈希函数、诸如SHA1，以及利用PRF表示伪随机函数。

计算下列值：

x_o＝h(“P-CSCF计算机的密码密钥”)            (17)

x_i＝h(ASi-ID).i＝1，...，n                         (18)

随后，根据下列规则计算推导出的密钥CKi(i＝0，1，2，...，n)：

CKi＝F(CK，random，c，i)＝U₁(i)\XOR U₂(i)\XOR...\XOR U_c(i)

                                                   (19)

其中c是适当的、适当可预定的整数，和

U₁(i)＝PRF(CK，random|x_i)                          (20)

U₂(i)＝PRF(CK，U₁(i))                              (21)

...

U_c(i)＝PRF(CK，U_c-1(i)).                           (22)

根据另一可替换的实施方案规定，将根据第一实施例和第二实施例的行为方式在以下意义上相互组合。

首先，针对应用服务器计算机ASi计算推导出的密钥CKi，如在第二实施例中所述。随后，应用根据第一实施例所述的行为方式，以便通过从根据第二实施例所述的方法中得到的分别推导出的密钥CKi代替第一实施例中的传输密钥CK 312来得到针对应用服务器计算机ASi的其他密钥材料。

于是，针对附加推导出的密钥得出：

CKi1＝f(CKi，random)                              (23)

CKi2＝f(CKi，CKi1|random)                         (24)

CKi3＝f(CKi，CKi2|random)                         (25)

等。

从现在起，不仅在移动无线电终端设备103中、在P-CSCF计算机113中以及在应用服务器计算机106、107中存在用于在必需的应用的范围中加密各自的消息的所有密钥，而P-CSCF计算机113不可推断出应用服务器计算机106、107中的密钥CKi 318、322、323、324以及反之亦然，即应用服务器计算机106、107不可推断出在P-CSCF计算机113中存储和应用的密钥材料。

以后，在应用推导出的密钥318、322、323、324的情况下，完成待传输的有用数据的加密。

在本文献中，引用以下公开物：

[1]3Gpp TS 33.203 V5.3.0-Technical Specification，3rd Gen-eration Partnership Project，Technical SpecificationGroup Services and System Aspects，3G Security，Accesssecurity for IP-based services(Release 5)

[2]G.Horn，D.K.Müller：Security for IP multi-media services in the 3GPP third generation mobile sys-tem，Proceedings of the Third International NetworkingConference INC`2002，Seiten 503 bis 512，Plymouth，UK，16.-18.Juli 2002

[3]3GPP TS 35.205 V5.0.0-Technical Specification，3rd Gen-eration Partnership Project，Technical SpecificationGroup Services and System Aspects，3G Security，Specifi-cation of the MILENAGE Algorithm Set：An example algo-rithm set for the 3GPP authentication and key generationfunctions f1，f1^＊，f2，f3，f4，f5 and f5^＊，Document 1：General(Release 5)

[4]3GPP TS 35.206 V5.0.0-Technical Specification，3rd Gen-eration Partnership Project，Technical SpecificationGroup Services and System Aspects，3G Security，Specifi-cation of the MILENAGE Algorithm Set：An example algo-rithm set for the 3GPP authentication and key generationfunctions f1，f1^＊，f2，f3，f4，f5 and f5^＊，Document 2：Algorithm Specification(Release 5)

[5]IST-2000-25350-SHAMAN，D13-WP1 contribution，Finaltechnical report comprising the complete technical re-sults，specification and conclusion，Kapitel 4.7，Seiten114 bis 122，November 2002

[6]D.Harkins und D.Carrel，The Internet Key Exchange(IKE)，RFC 2409，Seiten 17 bis 19，November 1998

Claims (15)

1.用于在移动无线电系统(100)中形成和分配加密密钥(318，322)的方法，所述移动无线电系统(100)具有第一计算机(113)、归属通信网的计算机(109)、第二计算机(106，107)以及至少一个移动无线电终端设备(103)，其中所述移动无线电终端设备(103)和所述归属通信网的计算机(109)包含作为鉴权的结果的鉴权密钥材料(312，314)，

其特征在于，

●在应用所述鉴权密钥材料(312)的情况下，分别由所述移动无线电终端设备(103)和所述归属通信网的计算机(109)形成第一加密密钥(318)和第二加密密钥(322)，

●所述第一加密密钥(318)被传送给所述第一计算机(113)，以及

●所述第二加密密钥(322)被传送给所述第二计算机(106)，

●所述第一加密密钥(318)和所述第二加密密钥(322)被形成来使得

○从所述第一加密密钥(318)中不可能推断出所述第二加密密钥(322)，

○从所述第二加密密钥(322)中不可能推断出所述第一加密密钥(318)，

○从所述第一加密密钥(318)或者所述第二加密密钥(322)中不可能推断出所述鉴权密钥材料(312，314)，

●分别在所述移动无线电终端设备与所述第一计算机或者与所述第二计算机之间的通信过程中使用所述第一加密密钥或者所述第二加密密钥。

2.按照权利要求1所述的方法，

●其中所述第一计算机(113)是被访问的通信网的计算机，其中所述移动无线电终端设备(103)位于所述被访问的通信网(102)中，以及

●其中所述第二计算机是应用服务器计算机(106，107)。

3.按照权利要求1所述的方法，

●其中所述第一计算机(113)是第一应用服务器计算机(106)以及

●其中所述第二计算机是第二应用服务器计算机(107)。

4.按照权利要求1至3之一所述的方法，

其中在应用至少一个密钥推导函数(317)的情况下，形成所述第一加密密钥(318)和所述第二加密密钥(322)。

5.按照权利要求1至3之一所述的方法，

其中所述鉴权密钥材料(312，314)具有至少两个加密密钥。

6.按照权利要求1至3之一所述的方法，

其中所述移动无线电系统(100)被安排为基于3GPP标准的移动无线电系统。

7.按照权利要求6所述的方法，

其中所述移动无线电系统(100)具有IP多媒体子系统。

8.按照权利要求1至3之一所述的方法，

其中所述鉴权密钥材料(312，314)具有完整性密钥(314)和传输密钥(312)。

9.按照权利要求8所述的方法，

其中从所述传输密钥(312)中推导出所述第一加密密钥(318)和所述第二加密密钥(322)。

10.按照权利要求1至3之一所述的方法，

其中在应用鉴权密钥材料(312，314)的情况下，分别由所述移动无线电终端设备(103)和所述归属通信网的计算机(109)针对附加的应用服务器计算机(107)形成附加的加密密钥(323，324)，并且所述附加的加密密钥(323，324)被传送给各自的应用服务器计算机(107)。

11.按照权利要求1至3之一所述的方法，

其中应用相同的密钥推导函数，用于形成所述加密密钥(318，322，323，324)。

12.按照权利要求11所述的方法，

其中应用所述密钥推导函数(317)的不同的附加输入参数(319)，用于形成所述加密密钥(318，322，323，324)。

13.按照权利要求12所述的方法，

其中将已经在鉴权过程中形成的参数用作所述密钥推导函数(317)的附加输入参数(319)。

14.按照权利要求13所述的方法，

其中将至少一个事先形成的加密密钥(318，322，323，324)用作所述密钥推导函数的附加输入参数。

15.移动无线电系统(100)

●具有至少一个移动无线电终端设备(103)，其中存储有作为鉴权的结果的鉴权密钥材料(312，314)，

●具有第一计算机(113)，

●具有归属通信网的计算机(109)，其中存储有所述作为鉴权的结果的鉴权密钥材料(312，314)，

●具有至少一个第二计算机(106，107)，

其特征在于，

●所述移动无线电终端设备(103)和所述归属通信网的计算机(109)分别具有密码单元，以在应用所述鉴权密钥材料(312，314)的情况下形成第一加密密钥(318)和第二加密密钥(322)，其中所述第一加密密钥(318)和所述第二加密密钥(322)被形成来使得

-从所述第一加密密钥(318)中不可能推断出所述第二加密密钥(322)，

-从所述第二加密密钥(322)中不可能推断出所述第一加密密钥(318)，

-从所述第一加密密钥(318)或者所述第二加密密钥(322)中不可能推断出所述鉴权密钥材料(312，314)，

●所述第一计算机(113)具有存储器，用于存储所述第一加密密钥(318)，以及

●所述第二计算机(106，107)具有存储器，用于存储所述第二加密密钥(322)，

●所述第一加密密钥或者所述第二加密密钥分别被用于所述移动无线电终端设备与所述第一计算机或者与所述第二计算机之间的通信过程中。

Images