CN101366263A - 用于建立安全关联的方法和设备 - Google Patents

用于建立安全关联的方法和设备 Download PDF

Info

Publication number
CN101366263A
CN101366263A CNA2006800378697A CN200680037869A CN101366263A CN 101366263 A CN101366263 A CN 101366263A CN A2006800378697 A CNA2006800378697 A CN A2006800378697A CN 200680037869 A CN200680037869 A CN 200680037869A CN 101366263 A CN101366263 A CN 101366263A
Authority
CN
China
Prior art keywords
key
service
client
node
additional information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006800378697A
Other languages
English (en)
Other versions
CN101366263B (zh
Inventor
R·布洛姆
K·诺尔曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US11/305,329 external-priority patent/US8122240B2/en
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN101366263A publication Critical patent/CN101366263A/zh
Application granted granted Critical
Publication of CN101366263B publication Critical patent/CN101366263B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种在服务节点(NAF)和客户端(UE)之间建立安全关联以便从服务节点向客户端推送信息的方法,其中客户端和密钥服务器(BSF)共享基本秘密。该方法包括:从服务节点向密钥服务器发送生成和提供服务密钥的请求,该请求标识服务节点和客户端;在密钥服务器上使用该客户端和服务节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给服务节点;将所述附加信息从服务节点转发给客户端;和在客户端上使用所接收到的附加信息和该基本密钥生成所述服务密钥。可以使用类似的方法提供p2p密钥管理。

Description

用于建立安全关联的方法和设备
技术领域
本发明涉及用于在客户终端和服务节点之间建立安全关联以便交付推送-类型服务的方法和设备,并且特别的但不是必须的,涉及采用通用引导(Generic Bootstrapping)架构的方法和设备。
背景技术
为了帮助实现向用户终端提供服务,诸如3G网络的移动网络经常将需要在客户终端(即移动终端)和提供服务的基于网络的服务节点之间建立安全的通信信道或“安全关联”。在3GPP技术规范TS33.220中讨论了通用引导架构(GBA),其提供了一种机制,从而可以向网络认证功能(服务节点)认证客户终端(UE)并且获得安全会话密钥在客户终端和网络认证功能之间使用。图1示出了用于这个架构的简单网络模型。该机制在已知的认证和密钥协商(AKA)过程[3GPP TS 33.102]上引导,AKA允许在密钥K的基础上向客户端的归属网络的引导服务器功能(BSF)认证客户终端,该密钥K在该客户终端的USIM和订户的归属网络的归属订户系统(HSS)之间共享。AKA过程进一步建立会话密钥,从该会话密钥导出随后在客户终端和网络应用功能(NAF)之间应用的密钥。当客户终端和NAF希望从BSF获取会话密钥时,NAF发送事务标识符给BSF,该事务标识符包含BSF用于识别该客户终端的索引和它转发给NAF的合适密钥。
依照GBA机制,UE通过向BSF发送包含用户身份的请求来启动密钥生成过程。该请求还包含NAF的身份。BSF从归属订户系统(HSS)检索认证向量,每个认证向量包括随机数RAND、期望的响应XRES、加密密码(cipher key)CK、完整性密钥IK和认证令牌AUTN。BSF通过连接该认证向量中包含的CK和IK生成密钥材料KS。BSF生成NAI格式的密钥标识符B-TID,其通过base64编码RAND值并且将该编码的值与BSF服务器名组合实现,即
base64编码(RAND)@BSF_服务器_域_名
BSF保留与事务标识符B-TID和NAF身份关联的密钥KS。BSF将B-TID和AUTN发送给UE,该客户终端的USIM使用共享密钥K检验值AUTN并且向BSF返回期待结果XRES的摘要。该USIM还使用密钥K和值RAND(从B-TID恢复)生成密钥材料KS。
接下来完成这个过程,UE将所接收的B-TID传送给NAF。NAF和BSF彼此认证,并且NAF将所接收的B-TID连同它自己的身份发送给BSF。BSF使用该B-TID和NAF的身份定位正确的密钥KS,并且使用KS生成NAF密钥。在NAF密钥的生成中还使用其它信息,诸如NAF身份。将所生成的NAF密钥返回NAF。类似的,该UE能够使用它已经生成的密钥KS生成NAF密钥。
在GBA机制已经第一次运行之后,倘若该密钥还没有过期,随后的在该UE和相同或不同的NAF之间建立安全关联的请求可以使用已经建立的密钥材料KS。但是,这将仍然需要UE通过将它的B-TID发送给NAF来启动建立安全关联的请求。
发明内容
存在希望允许NAF启动建立与UE的安全关联的情况。例如,可能考虑推送类型的服务,该服务向先前注册过服务的用户交付新闻、运动和金融等信息。实现这个服务的典型的操作过程可以是服务供应商向UE发送SMS消息,该消息请求用户打开安全连接。但是,存在许多与这个模型相关的威胁,因为SMS可能由未授权方利用、发送、重放等。如果已存在安全关联,或服务节点在发送实际服务数据前可以启动一个安全关联,则安全过程可以基于该安全关联并且可以减轻大部分问题。
依照本发明的第一方面,提供了一种在第一节点和第二节点之间建立安全关联以便从第一节点向第二节点推送信息的方法,其中第二节点和密钥生成功能共享基本秘密(base secret),该方法包括:
从第一节点向密钥生成功能发送生成和提供服务密钥的请求,该请求包含第一和第二节点的身份;
在密钥生成功能上使用该第一节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节点;
将所述附加信息和所述第一节点的身份从第一节点转发给第二节点;和
在第二节点上,使用所接收到的附加信息、第一用户身份和该基本秘密生成所述服务密钥。
将理解,所述密钥生成功能可以是独立节点或可以是分布式服务器。在采用通用引导架构的3G网络的情况下,引导服务器功能和归属订户服务器可以一起提供密钥生成功能,其中引导服务器功能与所述服务节点和归属订户服务器通信。在2G网络的情况下,密钥生成功能可以是引导服务器功能和AuC服务器的组合。
在采用通用引导架构的3G网络的例子中,服务节点包括网络应用功能。在密钥生成功能上生成服务密钥的步骤包括以下步骤:
使用所述基本秘密生成密钥材料KS;和
使用所述密钥材料KS、服务节点的身份和所述附加信息生成服务密钥。
在客户端上生成服务密钥的步骤也包括这两个步骤。
在密钥服务器上生成服务密钥的所述步骤可以利用由服务节点发送给客户端的那些值之外的值。客户端可以从密钥服务器获取这些其它值中的某一些。
所述附加信息可以包括以下中的一项或多项:
随机值;
时间戳;
序列号;
其它标识符
在通用引导架构的例子中,所述随机值是RAND参数并且在B-TID中被携带。
所述附加信息可以包括NAI格式的事务标识符,并且包括编码的随机值。
所述附加信息可以在消息中从所述服务节点转发给所述客户端,该消息还包含服务数据,该服务数据利用服务密钥加密,其中该客户端一旦已经生成服务密钥,就能够解密该加密的数据。
在本发明的一个实施例中,密钥生成功能向服务节点发送网络认证值。服务节点将这个值与所述附加信息一起转发给客户端。客户端使用基本秘密和该认证值来认证密钥生成功能。只有密钥生成功能得以认证,客户端才生成和使用该服务密钥。
在本发明的替代实施例中,客户端在已经从服务节点接收到所述附加信息之后从密钥生成功能请求认证值。只有当客户端已经认证了密钥生成功能,才生成和使用服务密钥。
该终端可以包括用于从服务节点接收消息认证代码的装置,该终端包括用于从所述密钥生成信息中的至少一部分生成一个或多个认证密钥并且使用该认证密钥来认证该消息认证代码的装置。该生成装置可以是USIM/ISIM。
所述服务密钥可以是用于第二节点的Diffie-Hellman密钥,所述方法进一步包括向第一节点提供用于该第一节点的Diffie-Hellman密钥并且将该用于第一节点的Diffie-Hellman密钥发送给第二节点的步骤,所述安全关联在这两个Diffie-Hellman密钥的基础上建立。
依照本发明的第二方面,提供了经由安全通信链路向客户端交付推送服务的服务节点,该服务节点包括:
用于向密钥生成功能发送生成和提供服务密钥的请求的装置,该请求标识了该客户端和服务节点;
用于从密钥生成功能接收服务密钥以及所述附加信息的装置;
用于将所述附加信息转发给客户端的装置;和
用于通过使用服务密钥加密和/或完整保护服务信息并且将该加密和/或保护的信息发送给客户端的装置。
在通用引导架构的例子中,所述附加信息包括包含RAND值的B-TID。所述用于转发的装置还配置用于将所述服务节点的身份转发给客户端。
依照本发明的第三方面,提供了一种用于接收由服务节点交付的推送服务的客户终端,该客户终端包括:
用于存储与密钥生成功能共享的秘密的存储装置;
用于从所述服务节点接收密钥生成信息的装置;
用于使用所述共享的秘密和所述密钥生成信息生成服务密钥的装置;和
用于使用所述服务密钥来解密和/或检验与服务节点的通信的完整性的装置。
依照本发明的第四方面,提供了一种密钥生成功能,该密钥生成功能用于建立客户端和服务节点之间的安全关联以便从该服务节点向客户端推送信息,该密钥服务器包括:
用于存储与所述客户端共享的秘密的存储装置;
用于从所述服务节点接收生成和提供服务密钥的请求的装置,该请求标识了客户端和服务节点;和
用于使用该客户端和服务节点的身份、基本秘密以及附加信息生成服务密钥并且将该服务密钥与所述附加信息一起发送给该服务节点的装置。
依照本发明的第五方面,提供了一种在第一和第二客户端之间建立安全关联以便从第一客户端向第二客户端推送信息的方法,其中该第一和第二客户端分别具有与第一和第二密钥服务器的信赖关系并且与它们各自的密钥服务器共享秘密,该方法包括:
从第一客户端经由第一密钥服务器向第二密钥服务器发送生成和提供服务密钥的请求,该请求标识了该第一和第二节点;
在第二密钥服务器上使用第一节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节点;
从第一节点将所述附加信息转发给第二节点;和
在第二节点上,使用所接收到的附加信息和基本秘密生成所述服务密钥。
依照本发明的第六方面,提供了一种保护节点不受重放攻击的方法,该方法包括:
在引导服务器功能上生成服务密钥;
将该服务密钥与生成该服务密钥所需的信息一起提供给第一节点;
从第一节点向第二节点发送密钥生成消息,该消息包括所述信息、重放阻止值和在包括重放阻止值的消息体上计算的消息认证代码,该重放阻止值针对该过程的每一次运行增大或减小;
在所述第二节点上接收所述密钥生成消息并且存储其中包含的重放阻止值;和
在第二节点上,每次接收到密钥生成消息,检验所述消息认证代码,确定该消息中包含的重放阻止值是否已经在该第二节点上存储,并且如果已经存储则拒绝该消息。
本发明这个方面的实施例允许第二节点基于先前关于有效的GBA过程发送给第二节点的消息来拒绝重放攻击。如果攻击者仅仅将所述重放阻止值增加为先前未使用过的值,则第二节点将基于不正确的MAC值检测到该变化,并且从而检测到攻击。再次重申,第一节点可以是NAF服务器,并且第二节点是客户端,或者第一和第二节点都可以是客户端。将理解本发明的第一到第五方面的特征可以与第六方面的特征组合,反之亦然。
附图说明
图1示出了用于通用引导架构的简单网络模型;
图2到7示出了与在客户端(UE)和NAF之间建立安全关联的相应过程相关联的信令流;和
图8和9示出了与在一对客户端(UEA和UEB)之间建立安全关联的相应过程相关联的信令流。
具体实施方式
已经参考图1描述了用于3G网络的通用引导架构(GBA),其示出了不同实体之间的接口(Ua,Ub,Zn和Zh)。应记得所述描述是相对高水平概括的,并且虽然采用相同的一般功能性,实际实施可能“看起来”不相同。例如,有可能出现如下情况,当BSF接收到来自NAF的服务密钥请求(如下面将描述的)时,该接收BSF必须执行地址解析步骤来识别该NAF或客户端(UE)的“服务”BSF,并且如果该接收BSF不是服务BSF,则该请求被转发给该服务BSF。
本讨论是关于为客户端提供推送服务。通常,客户端将已经向服务供应商预注册,但是由服务供应商主动推送特定信息。在这种情况下,服务供应商和客户端还没有彼此建立的安全关联(安全关联通常是短期的)并且必须建立一个安全关联。
这里提出的第一解决方案采用NAF向BSF要求NAF(或服务)密钥的方法。BSF向NAF返回NAF密钥以及客户端事务标识符(B-TID)和相应的网络认证值(AUTN)。如上所述,B-TID包含编码的RAND值(作为NAI前缀),该编码的RAND值可以由客户端用来导出基本密钥(KS)。NAF现在可以组成包含B-TID、AUTN和包含NAF身份(客户端需要它来导出NAF密钥)的其它数据的消息,并且将这个消息发送给客户端。这个消息可以是只触发SA(即服务密钥的共享)的建立的消息或者它可以包含利用该服务密钥加密的服务数据(即有用负荷数据)。在两种情况下,值B-TID、AUTN和客户端生成KS所需的其它数据都以明文发送,但是利用消息认证代码“签名”。注意,SA中的一个(或多个)密钥使用在该HSS和UE之间共享的密钥导出,并且AUTN包含在该消息中。因此不可能“欺骗”消息,即使用于完整保护该消息的密钥从意图建立的该SA导出也是如此。
当客户端接收到该消息时,它检索B-TID的RAND部分(通过反向编码)和AUTN并且将它们应用到USIM/ISIM以便导出基本密钥KS。然后它使用所述其它数据来导出NAF密钥并且使用MAC检验所接收的消息。
图2示出了与这个过程相关联的信令交换。
为了阻止NAF对(客户端所需的)所述其它数据的操作,BSF可以使用KS的衍生物(derivative)对该数据签名。这对于例如阻止NAF扩展密钥的生命期可能很重要。
上面提出的解决方案允许NAF向客户端推送在两方之间建立安全关联所需的信息。因而客户端不必建立与BSF的连接来执行这些任务。这表现了时间极有效的解决方案。但是,它要求NAF将所有来自BSF的保护形式的密钥相关信息(密钥生命期,附加信息等)中继到UE。B-TID和该其它数据可能包括大数据结构。这在该数据量能够结合在客户端和NAF之间使用的消息结构中的情况下可能有问题,例如该数据结构是SMS的情况。
为了减少在NAF和客户端之间建立安全关联所需交换的数据量,可以通过从BSF发送给NAF的数据中省略AUTN值来修改上述的解决方案。NAF现在组成包含B-TID和终端导出NAF密钥所需的其它必需数据(包括该NAF身份)的消息并且将其发送给客户端。再次重申,这个消息可以是只触发安全关联的建立的消息,或者它可以包含加密的有用负荷数据。
当客户端接收到来自NAF的消息,它连接到向其发送B-TID的BSF,认证自身并且请求为了导出与该B-TID相关联的密钥材料所必需的剩余信息,即例如AUTN。在已经接收到这个信息之后,它导出服务(NAF)密钥并且检验该消息的完整性。因为客户端必须连接到BSF,它能够同时得到与密钥材料相关的所有信息,即附加信息、密钥生命期等,从而减少必须从NAF传送到客户端的“管理”信息的量。
图3示出了假定KS的生成场景的与这个过程相关联的信令交换(即与图2类似)。
在一些环境下可能不希望向NAF暴露值RAND。这可以通过使用实际RAND值的引用(或有效的RAND,RANDe)形成B-TID来避免,这样NAF只看到引用值。随后有效的RAND(RANDe)必须与AUTN一起从BSF信号通知客户端。图4示出了这个修改了的过程。
参考图3和4描述的解决方案的主要优点是BSF将具有进一步的机会控制客户端中的密钥生成。客户端需要AUTN来导出密钥。另一方面,客户端将必须连接到BSF并且通过Ub接口向需要GBA协议的新变型的BSF认证自身。
图3和图4的解决方案的一个威胁是攻击者可能生成一批消息(意图包含有效的B-TID)并且将它们发送到不同的客户端以便发起据绝服务(DoS)攻击。因为客户端没有措施认证该消息(即AUTN),它们将连接BSF以试图认证所接收到的消息。如果没有抵抗,这样的攻击将消耗在BSF的部分上相当多的资源。为了使这样的DoS攻击更困难,期望使得客户端能够立即检查由NAF推送的消息的MAC以便验证该消息,而不是必须连接到BSF。为了实现这一点,客户端必须能够导出用于该消息的MACing的密钥。由于AUTN没有在所述推送消息中发送给客户端,这个导出过程必须只基于B-TID中的RAND(或导出值,图4)。
一种解决方案是在BSF使用B-TID中的RAND(或导出值)来导出两个密钥Ck’和Ik’。该BSF随后使用这些密钥导出MAC密钥,并且将该MAC密钥发送给NAF。这个完整性密钥应优选还依赖于NAF身份。在该完整性密钥的导出过程中使用导出MAF密钥所需的其它必需信息的“指纹”是实现这一点而无须将所有信息发送给UE的一种方式。NAF在要发送给客户端的数据的至少一部分上计算第二(短)MAC,并且在发送给客户端的消息中包含MAC。在客户端,USIM/ISIM使用AKA算法来生成Ck’和Ik’并且从而生成第二MAC密钥,并且客户端随后可以检验该消息。可替代的,BSF可以给NAF提供密钥Ck’和Ik’,以使得NAF能够自身生成第二MAC密钥。这不停止旧消息的重放(尽管这可以利用时间戳定址),但是它确实阻止攻击者生成随机消息。
在图5的信令图所示的替代解决方案中,BSF响应于对给定用户的推送密钥的NAF请求没有生成NAF密钥和将其自身发送给NAF。而是,BSF发送基于NAF-密钥(或基于相关共享秘密Ks的一些其它值)的Diffie-Hellman公共值gNAFKey,和与涉及的各方的身份相关的数据以及密钥的计划用途。NAF现在可以选择它自己的秘密值RAND,并且将用于该秘密值的相应的公共Diffie-Hellman值gRAND添加到发送给UB的信息。两方随后都可以导出共有的共享密钥,S_Key=gRAND*NAFKey。该S_Key用于加密MAC。应注意,Diffie-Hellman机制可以在不同类型的组上实施。这里当组是Zp时我们使用标准符号并且生成所使用的元素标记为g。
依照图6的信令图所示的另一个替代解决方案,当NAF请求给定用户的推送密钥时,BSF不包括标准的NAF密钥但是导出另外依赖于UE_identity和NAF_identity两者(除了任何其它数据)的密钥。这样的密钥在该图中标记为“NAF_UE_Key”。为了保证从BSF向NAF交付密钥的安全,在给BSF的消息中BSF包含使用该NAF_UE密钥计算的MAC。
上述讨论已经考虑了本发明向用户和服务节点提供服务相关密钥的应用。本发明的另一个应用涉及向客户终端提供密钥以便允许一个客户终端以安全方式向对等的客户终端推送消息,也就是说对等的(p2p)密钥管理。
依照一种解决方案,发起UE即UEA采用通常图7所示的方法。这个方法依赖于BSFA和BSFB之间显式的信赖关系。发起方首先利用它的归属网络的BSFA执行标准的GBA过程,以便获得基本密钥KSA。UEA随后使用该基本密钥导出与UEA希望向其推送消息的另一方UEB联系的RAND。这可以以与导出NAF密钥相同的方式完成。UEA执行的第二动作是为UEB请求密钥信息。这个请求包含两个客户端的身份,其被发送给BSFA,BSFA将该请求转发给UEB的归属网络中的BSF即BSFB
BSFB经由BSFA向UEA返回UEB的Diffie-Hellman公共值,即gNAFKey。它还返回B-TID(包含用于生成NAF密钥的RAND值)、AUTN和所需的其它数据。发起方UEA随后形成消息,该消息包含它的公共Diffie-Hellman值、gRAND、和接收者导出KSB、相关NAF密钥并且从而导出会话密钥gRAND*NAF_Key所需的信息。UEA当然能够导出相同的会话密钥。
图8中示出了替代的p2p密钥管理解决方案,该方案要求BSFB生成与对等方共享的密钥。发起方UEA的第一个动作是为另一方UEB请求密钥。该请求被发送给发起方的BSFA,BSFA将该请求转发给接收方的BSFB。发起方在该请求中包括它的身份以及接收方的身份,并且BSFB导出要共享的密钥,即NAF_UE_Key。随后将所导出的密钥与B-TID、AUTN等一起交付给UEA
利用这个机制,接收方的确接收发送者所宣称的身份的隐式验证,因为在NAF_UE_Key导出过程中使用了这个身份。如上所述,如果BSFB包括覆盖所有数据的基于“NAF_Key”的MAC,则接收方还可以得到显式的认证。
本领域的技术人员将理解在不偏离本发明的范围的前提下可以对上述实施例进行各种修改。例如,虽然上述的解决方案是关于GBA,本发明对于其中从服务供应商推送信息并且服务供应商和客户端不共享共有秘密的架构具有一般适用性。在并行实施多种解决方案的另一种修改中,发送给BSF的认证请求包含表明NAF/UE应该采用哪种解决方案的选择器。

Claims (28)

1.一种在第一节点和第二节点之间建立安全关联以便从第一节点向第二节点推送信息的方法,其中第二节点和密钥生成功能共享基本秘密,该方法包括:
·从第一节点向密钥生成功能发送生成和提供服务密钥的请求,该请求包含第一和第二节点的身份;
·在密钥生成功能上使用该第一节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节点;
·将所述附加信息和所述第一节点的身份从第一节点转发给第二节点;和
·在第二节点上,使用所接收到的附加信息、第一用户身份和该基本秘密生成所述服务密钥。
2.根据权利要求1或2所述的方法,其中所述第一节点是服务节点并且所述第二节点是客户端。
3.根据权利要求2所述的方法,其中所述客户端是采用通用引导架构的3G网络的客户终端,所述服务节点包括网络应用功能并且所述密钥生成功能包括引导服务器功能。
4.根据权利要求3所述的方法,其中所述密钥生成功能进一步包括归属订户系统或归属位置注册器/认证中心,所述基本秘密对该归属订户系统或HE/认证中心已知或可访问。
5.根据权利要求3或4所述的方法,所述在密钥生成功能上生成服务密钥的步骤包括以下步骤:
·使用所述基本秘密生成密钥材料KS;和
·使用所述密钥材料KS、服务节点的身份和所述附加信息生成服务密钥。
6.根据权利要求3所述的方法,所述在客户端上生成所述服务密钥的步骤包括:
·使用所述基本秘密生成密钥材料KS;和
·使用所述密钥材料KS和所述附加信息生成服务密钥。
7.根据权利要求6所述的方法,其中所述基本秘密存储在客户端的ISIM/USIM中,并且所述生成密钥材料KS的步骤在该ISIM/USIM内执行。
8.根据前面任何一个权利要求所述的方法,所述在密钥生成功能上生成服务密钥的步骤利用了由服务节点发送给客户端的那些值之外的值。
9.根据权利要求8所述的方法,其中那些其它值中的至少某一些由客户端从密钥生成功能获得。
10.根据前面任何一个权利要求所述的方法,其中所述附加信息包括以下中的一个或多个:
事务标识符;和
网络认证值。
11.根据权利要求1到9中任何一个权利要求所述的方法,其中所述附加信息包括NAI格式的事务标识符,该事务标识符包括由密钥生成功能生成的编码的随机值,该编码的随机值用于生成服务密钥。
12.根据权利要求2所述的方法,其中所述附加信息包括NAI格式的事务标识符,该事务标识符包括指向由密钥生成功能生成并且在密钥生成功能上存储的随机值的指针,该随机值用于生成服务密钥,该方法包括从客户端向密钥生成功能发送包含所述指针的请求,并且向该客户端返回该随机值以使得客户端能够生成服务密钥。
13.根据权利要求2所述的方法,其中密钥生成功能向服务节点发送网络认证值并且服务节点将这个值与所述附加信息一起转发给客户端,客户端使用所述基本秘密和该认证值来认证密钥生成功能。
14.根据权利要求2所述的方法,包括在客户端已经从服务节点接收到所述附加信息之后从客户端向密钥生成功能发送对认证值的请求,在客户端接收该认证值,并且在这个值的基础上批准从服务节点接收到的安全关联请求。
15.根据权利要求2所述的方法,其中在还包含服务数据的消息中从服务节点向客户端转发所述附加信息,该服务数据利用服务密钥加密和/或完整性保护,其中客户端一旦已经生成服务密钥就能够解密该加密的数据。
16.根据前面任何一个权利要求所述的方法,其中所述在密钥生成功能上生成服务密钥的步骤包括使用第二节点的身份。
17.根据前面任何一个权利要求所述的方法,其中所述服务密钥是第二节点的Diffie-Hellman密钥,该方法进一步包括向第一节点提供该第一节点的Diffie-Hellman密钥,并且将该第一节点的Diffie-Hellman密钥发送给第二节点的步骤,所述安全关联在这两个Diffie-Hellman密钥的基础上建立。
18.根据权利要求1所述的方法,其中所述第一和第二节点分别是第一和第二客户端。
19.根据权利要求18所述的方法,其中所述密钥生成功能包括与所述第二客户端具有信赖关系的密钥服务器,并且经由与所述第一客户端具有信赖关系的第二密钥服务器将所述生成和提供服务密钥的请求发送给所述密钥服务器。
20.根据权利要求19所述的方法,包括从所述第一节点向所述第二节点发送由所述第一节点获得的服务密钥,并且在该第一和第二节点上使用所述服务密钥导出会话密钥。
21.根据权利要求18所述的方法,其中所述从第一节点向第二节点转发所述附加信息并且在该第二节点上使用接收到的附加信息和基本秘密生成所述服务密钥的步骤构成Diffie-Hellman交换过程的一部分。
22.一种经由安全通信链路向客户端交付推送服务的服务节点,该服务节点包括:
·用于向密钥生成功能发送生成和提供服务密钥的请求的装置,该请求标识了该客户端和服务节点;
·用于从密钥生成功能接收服务密钥以及所述附加信息的装置;
·用于将所述附加信息转发给客户端的装置;以及
·用于通过使用服务密钥加密和/或完整保护服务信息并且将该加密/保护的信息发送给客户端的装置。
23.一种用于接收由服务节点交付的推送服务的客户终端,该客户终端包括:
·用于存储与密钥生成功能共享的秘密的存储装置;
·用于从所述服务节点接收密钥生成信息的装置;
·用于使用所述共享的秘密和所述密钥生成信息生成服务密钥的装置;以及
·用于使用所述服务密钥来解密和/或检验与服务节点的通信的完整性的装置。
24.根据权利要求23所述的终端,并且包括用于从服务节点接收消息认证代码的装置,该终端包括用于从密钥生成信息的至少一部分生成一个或多个认证密钥并且使用该认证密钥来认证该消息认证代码的装置。
25.根据权利要求23所述的终端,其中所述用于生成一个或多个认证密钥的装置包括USIM/ISIM。
26.一种密钥生成功能,用于建立客户端和服务节点之间的安全关联以便从该服务节点向客户端推送信息,该密钥服务器包括:
·用于存储与所述客户端共享的秘密的存储装置;
·用于从所述服务节点接收生成和提供服务密钥的请求的装置,该请求标识了客户端和服务节点;和
·用于使用该服务节点的身份、基本秘密以及附加信息生成服务密钥并且将该服务密钥与所述附加信息一起发送给该服务节点的装置。
27.一种在第一和第二客户端之间建立安全关联以便从第一客户端向第二客户端推送信息的方法,其中该第一和第二客户端分别具有与第一和第二密钥服务器的信赖关系并且与它们各自的密钥服务器共享秘密,该方法包括:
·从第一客户端经由第一密钥服务器向第二密钥服务器发送生成和提供服务密钥的请求,该请求标识了该第一和第二节点;
·在第二密钥服务器上使用第一节点的身份、基本秘密和附加信息生成服务密钥,并且将该服务密钥与所述附加信息一起发送给第一节点;
·从第一节点将所述附加信息转发给第二节点;和
在第二节点上,使用所接收到的附加信息和基本秘密生成所述服务密钥。
28.一种保护节点不受重放攻击的方法,该方法包括:
在引导服务器功能上生成服务密钥;
将该服务密钥与生成该服务密钥所需的信息一起提供给第一节点;
从第一节点向第二节点发送密钥生成消息,该消息包括所述信息、重放阻止值和在包括重放阻止值的消息体上计算的消息认证代码,该重放阻止值针对该过程的每一次运行增大或减小;
在所述第二节点上接收所述密钥生成消息并且存储其中包含的重放阻止值;和
在第二节点上,每次接收到密钥生成消息,检验所述消息认证代码,确定该消息中包含的重放阻止值是否已经在该第二节点上存储,并且如果已经存储则拒绝该消息。
CN2006800378697A 2005-10-13 2006-10-10 用于建立安全关联的方法和设备 Active CN101366263B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US11/248,589 2005-10-13
US11/248,589 US20070086590A1 (en) 2005-10-13 2005-10-13 Method and apparatus for establishing a security association
US11/305,329 2005-12-19
US11/305,329 US8122240B2 (en) 2005-10-13 2005-12-19 Method and apparatus for establishing a security association
PCT/EP2006/067225 WO2007042512A2 (en) 2005-10-13 2006-10-10 Method and apparatus for establishing a security association

Publications (2)

Publication Number Publication Date
CN101366263A true CN101366263A (zh) 2009-02-11
CN101366263B CN101366263B (zh) 2012-06-27

Family

ID=37948163

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800378697A Active CN101366263B (zh) 2005-10-13 2006-10-10 用于建立安全关联的方法和设备

Country Status (3)

Country Link
US (1) US20070086590A1 (zh)
CN (1) CN101366263B (zh)
ZA (1) ZA200803088B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090513B (zh) * 2006-06-13 2012-05-23 华为技术有限公司 一种获取业务密钥的方法
CN101902733B (zh) * 2009-06-01 2013-06-12 中国移动通信集团公司 一种发送gba初始化请求的方法、系统及设备
CN103188229A (zh) * 2011-12-30 2013-07-03 上海贝尔股份有限公司 用于安全内容访问的方法和设备
CN103563419A (zh) * 2011-03-31 2014-02-05 奥林奇公司 针对移动电信网络中的终端来实现通用引导架构类型的安全关联
CN104272645A (zh) * 2012-04-23 2015-01-07 Abb技术有限公司 工业自动化和控制装置用户访问
CN106487501A (zh) * 2015-08-27 2017-03-08 华为技术有限公司 密钥分发和接收方法、密钥管理中心、第一和第二网元
CN107409305A (zh) * 2015-02-27 2017-11-28 瑞典爱立信有限公司 通信设备与网络设备之间的通信安全设置
CN111404933A (zh) * 2020-03-16 2020-07-10 维沃移动通信有限公司 鉴权方法、电子设备及鉴权服务器

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122240B2 (en) 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
KR100834629B1 (ko) * 2005-11-14 2008-06-02 삼성전자주식회사 통신 시스템에서 인터넷 프로토콜 기반의 서비스를 제공하는 시스템 및 방법
US8522025B2 (en) * 2006-03-28 2013-08-27 Nokia Corporation Authenticating an application
US20070248232A1 (en) * 2006-04-10 2007-10-25 Honeywell International Inc. Cryptographic key sharing method
US8984279B2 (en) 2006-12-07 2015-03-17 Core Wireless Licensing S.A.R.L. System for user-friendly access control setup using a protected setup
CN101378313B (zh) * 2007-08-31 2014-02-19 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
US9729529B2 (en) * 2008-12-31 2017-08-08 Google Technology Holdings LLC Device and method for providing bootstrapped application authentication
CN102869015B (zh) 2011-07-04 2017-12-15 中兴通讯股份有限公司 一种mtc设备触发的方法和系统
US8619986B2 (en) 2011-07-21 2013-12-31 Patton Protection Systems LLC Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier
AP3955A (en) * 2011-10-31 2016-12-22 Nokia Corp Security mechanism for external code
FR2992811A1 (fr) * 2012-07-02 2014-01-03 France Telecom Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
DE102013100756B3 (de) * 2013-01-25 2014-06-18 Daniel Hugenroth Verfahren und Vorrichtung zur Authentifizierung eines Nutzers
US10417437B2 (en) * 2015-09-28 2019-09-17 Xmedius Solutions Inc. Maintaining data security in a network device
CN111770087A (zh) * 2020-06-29 2020-10-13 深圳市网心科技有限公司 一种服务节点验证方法及相关设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
KR100610317B1 (ko) * 2004-01-06 2006-08-09 삼성전자주식회사 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법
US8726023B2 (en) * 2005-02-03 2014-05-13 Nokia Corporation Authentication using GAA functionality for unidirectional network connections
US20070042754A1 (en) * 2005-07-29 2007-02-22 Bajikar Sundeep M Security parameter provisioning in an open platform using 3G security infrastructure
US8122240B2 (en) * 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101090513B (zh) * 2006-06-13 2012-05-23 华为技术有限公司 一种获取业务密钥的方法
CN101902733B (zh) * 2009-06-01 2013-06-12 中国移动通信集团公司 一种发送gba初始化请求的方法、系统及设备
CN103563419A (zh) * 2011-03-31 2014-02-05 奥林奇公司 针对移动电信网络中的终端来实现通用引导架构类型的安全关联
CN103188229A (zh) * 2011-12-30 2013-07-03 上海贝尔股份有限公司 用于安全内容访问的方法和设备
CN104272645A (zh) * 2012-04-23 2015-01-07 Abb技术有限公司 工业自动化和控制装置用户访问
CN107409305A (zh) * 2015-02-27 2017-11-28 瑞典爱立信有限公司 通信设备与网络设备之间的通信安全设置
CN106487501A (zh) * 2015-08-27 2017-03-08 华为技术有限公司 密钥分发和接收方法、密钥管理中心、第一和第二网元
US10826688B2 (en) 2015-08-27 2020-11-03 Huawei Technologies Co., Ltd. Key distribution and receiving method, key management center, first network element, and second network element
CN111404933A (zh) * 2020-03-16 2020-07-10 维沃移动通信有限公司 鉴权方法、电子设备及鉴权服务器
CN111404933B (zh) * 2020-03-16 2022-04-15 维沃移动通信有限公司 鉴权方法、电子设备及鉴权服务器

Also Published As

Publication number Publication date
ZA200803088B (en) 2009-10-28
US20070086590A1 (en) 2007-04-19
CN101366263B (zh) 2012-06-27

Similar Documents

Publication Publication Date Title
CN101366263B (zh) 用于建立安全关联的方法和设备
EP1949651B1 (en) Method and apparatus for establishing a security association
CN101116284B (zh) 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统
US7676041B2 (en) Method for creating and distributing cryptographic keys in a mobile radio system and corresponding mobile radio system
US8245039B2 (en) Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization
Saxena et al. EasySMS: A protocol for end-to-end secure transmission of SMS
EP2347613B1 (en) Authentication in a communication network
CN101677269B (zh) 密钥传输的方法及系统
CN102315937A (zh) 无线通信装置和服务器之间数据的安全交易系统和方法
Nyamtiga et al. Enhanced security model for mobile banking systems in Tanzania
CN101039181B (zh) 防止通用鉴权框架中服务功能实体受攻击的方法
KR102567737B1 (ko) 보안 메시지 서비스 제공 방법 및 이를 위한 장치
Leu et al. Improving security level of LTE authentication and key agreement procedure
Tohidi et al. Lightweight authentication scheme for smart grid using Merkle hash tree and lossless compression hybrid method
Chen et al. A secure end-to-end mobile chat scheme
CN117240486A (zh) 一种认证方法和通信装置
US8769280B2 (en) Authentication apparatus and method for non-real-time IPTV system
Caragata et al. Confidential initial identification and other improvements for UMTS security
Sabeela et al. Secure SMS: Advanced Version of Cyber SMS
KR100968523B1 (ko) 세션키 분배 방법, 단말 및 그 방법을 실행하는 프로그램이기록된 기록매체
Shoniregun TM Daniel Caragata m.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant