CN101455025A

CN101455025A - 用于安全分组传输的加密方法

Info

Publication number: CN101455025A
Application number: CNA2007800194151A
Authority: CN
Inventors: S·帕特尔; G·S·森达拉姆
Original assignee: Lucent Technologies Inc
Current assignee: Nokia of America Corp
Priority date: 2006-05-26
Filing date: 2007-05-17
Publication date: 2009-06-10
Anticipated expiration: 2027-05-17
Also published as: WO2007139794A8; KR101231483B1; JP2014161027A; KR20080112414A; KR20100092989A; EP2039054A2; WO2007139794A2; CN101455025B; US20070277035A1; JP2012178853A; EP2039054B1; WO2007139794A3; JP2009538567A; US8583929B2

Abstract

本发明提供了用于在网络端点(120，140)之间安全传送分组的方法。在一个方面中，提供了一种通过使用现有的逐跳安全关联来建立端到端密钥的方法。在第二方面中，提供了一种使用分组特定加密密钥PEK来加密分组p的方法。在两个节点中每一个节点处使用这两个节点所共享的完整性密钥来独立地计算密钥PEK的签名。所述签名被从这两个节点中的一个节点发送到与分组p相关联的另一个节点。接收节点使用所述签名来验证分组p是由拥有PEK的实体发起的。

Description

用于安全分组传输的加密方法

发明领域

本发明涉及无线系统中的安全和鉴别(authentication)，尤其涉及适于发送和接收分组数据的无线系统。

背景技术

诸如第三代或更高版本的无线系统之类的现代无线系统被适配成以每秒数百乃至数千千比特的传输速率来发送和接收分组数据。作为说明，图1示出一种被称作“UMTS”的第三代无线系统的高层体系结构，其中UMTS指“通用移动电信系统”。从该图可以看到，移动用户终端10通过空中接口与基站20进行通信。在本上下文中，基站20也可以被称为“节点B”。基站20与回程(backhaul)网络30进行通信，并且该网络包括无线电网络控制器(RNC)40、鉴别中心(AuC)50、移动交换中心(MSC)60以及单元(element)70，如所示，单元70合并了SGSN和GGSN的功能。

RNC对与之连接的一组基站进行控制。其功能是管理无线电资源。例如，它对呼叫的建立和拆除(tear-down)以及语音和数据业务的处理进行控制。它还对小区之间的硬切换和软切换进行管理。

AuC对尝试登录网络的每个用户进行鉴别。更具体地，AuC对位于正在进入的用户终端中的SIM卡进行鉴别。对每个订户而言，在该订户与AuC之间共享唯一秘密密钥。AuC通过向正在进入的订户发送随机数来对其进行质询(challenge)，其中将对所述随机数进行混编(hash)或是利用共享密钥对其进行加密，并且结果被返回给AuC。如果已经返回的结果与AuC自己进行相同运算得到的结果匹配，则将允许用户进入网络。此外，在AuC与用户之间共享的秘密信息还被用于创建密码密钥(ciphering key)CK，当用户和基站通过无线电彼此通信时，所述密码密钥CK将会提供安全性。

在这方面，应该注意的是，根据其他标准，例如根据某些北美CDMA标准，作为用户终端工作的蜂窝电话不包含SIM卡。取而代之的是，制造商在蜂窝电话硬件中写上(inscribe)电子序列号(ESN)。此外，无线运营商可以通过移动标识号(MIN)来识别蜂窝电话。ESN和MIN可以被一起用于标识，并且可以在用于鉴别和安全的过程中使用。此外还应该注意的是，根据某些标准，包括关于3GPP2的某些北美标准，与AuC的这些功能类似的功能可以由被称作“AAA服务器”的网络部件来执行，其中“AAA”代表的是鉴别、授权和计帐(accounting)。

再次转到图1，MSC是电话交换体，特别地，对于在其服务区域内漫游的用户来说，其支持电路交换呼叫和移动性管理。能够将数据以数字编码的形式从有线网络直接递送到MSC。从该图可以看到，MSC连接到公共交换电话网络(PSTN)。AuC则间接地通过MSC来执行其鉴别功能。

SGSN(“服务GPRS支持节点”)对用户终端在其服务区域内的位置进行追踪，支持记账(billing)和安全功能，将下行链路分组隧道传送(tunnel)到RNC，并且对来自RNC的上行链路分组进行拆封(detunnel)。分组的隧道传送和拆封是依照GPRS隧道协议(GTP)来进行的，其中该协议尤其使得移动用户到处移动的同时保持与互联网的连接成为可能。

GGSN(“网关GPRS支持节点”)相对于外部分组数据网络充当IP路由器。如在图中看到的，例如，GGSN连接到“IP网络”。GGSN还支持安全和记账功能。根据GTP，GGSN可以在外部分组网络上传输的普通IP分组与在UMTS核心网络内隧道传送的GTP分组之间进行转换。虽然用户有可能到处移动，但对外部分组网络来说，它似乎是固定于GGSN的。

在这方面，应该注意的是，根据其他标准，例如某些北美CDMA标准，RNC连接到PDSN而不是SGSN。PDSN又连接到归属代理(HA)。此外，用于在PDSN与RNC之间以及到达基站的通信的隧道协议不涉及GTP。其他系统和标准，例如基于IEEE 802.16的WiMAX系统，使用由连接到接入网关(GW)的基站构成的不同分层结构。总的来说，功能是相似的，不过在细节上存在差别。

通常，基站位于暴露的位置，因此，对于抵抗物理侵入而言相对不安全。另一方面，RNC、MSC、SGSN和GGSN通常位于中心局，其中，能够保护敏感的网络信息以防被窃听、篡改、破坏和盗窃。

因此，安全相关功能的执行被局限于这些通常在物理上安全的网络部件，而基站只用于转发加密数据，而不对加密消息进行解码。由于假设在物理上安全的网络部件是通过同样安全的网络互连的，所以在这些网络部件之间通常没有另外建立安全隧道的强制要求。

目前业已提出了各种先进体系结构，在某些网络部件处，这些技术可能引起更多暴露和较低物理安全性。例如，诸如BSR(基站路由器)体系结构之类的平面IP体系结构将RNC、SGSN和GGSN的大部分功能整合到基站中。(另一个版本的BSR体系结构涉及SAE/LTE体系结构，而不是UMTS体系结构。在这种第二类型的BSR中，eNB、MME和UPE被整合到基站中。先前的缩略语分别代表的是“增强型节点B”，“移动性管理实体”以及“用户平面实体”)。

因此，例如，图2示出了与BSR90进行无线电通信的移动用户80，所述BSR 90又连接到包括AuC100、SIP服务器110、IP网络以及PSTN的回程网络。从图中可以看到，IP网络将BSR连接到AuC和SIP服务器。SIP(“会话发起协议”)是用于VoIP(“IP语音(Voice over IP)”)以及包含了多种媒体的其他类型的交互式用户会话的互联网信令协议。在该图中，SIP服务器块意在表示用于VoIP等的所有支持功能。

在BSR和类似体系结构中，与加密和其他安全性相关的功能乃至密钥和其他敏感信息都可以驻留于物理上暴露的位置。此外，BSR可能通过易受窃听和篡改攻击的公共IP网络来进行外部连接。由于这种暴露的增加，所以需要用于对抗恶意活动的新安全措施(safeguard)。

然而，由于无法保证回程网络的物理保护，所期望的是使新的安全措施至少部分基于逻辑(logically based)。另一方面，基于逻辑的新安全措施可能面临反对，这是因为，例如它与某些无线标准不兼容，或者因为在符合无线标准时与互联网标准不兼容。

由此，尤其需要的是这样的对抗恶意攻击的安全措施，其中所述安全措施是端到端有效的，也就是说，在无线用户终端与IP网络节点之间或者在经由IP网络连接的两个无线用户终端之间，此外，所述安全措施能够在不对现有IP标准做出重大改变的情况下实施。

发明概述

我们开发了这样的安全措施。相应地，我们的发明包括：在通过链路互连的节点网络中，在用A和B表示的两个末端节点之间传送分组p。

根据第一广义实例，使用现有的逐跳安全关联(security association)来建立端到端密钥。在这个方面，“端到端”发送信息指的是在任何一对网络实体之间发送信息，其中存在着从一种类型的网络或协议到另一种类型的网络或协议的转变，从一个订户网络到另一个订户网络的转变，或从一个服务提供者到另一个服务提供者的转变，或者用户终端位于其中，或其中对于该消息而言存在着任何其他类型的端点。

例如，A与B建立端到端密钥分组加密密钥(PEK)。建立该密钥所需要的信息是通过使用现有的逐跳安全关联而在A与B之间安全传送的。密钥PEK是分组特定的。分组p是利用密钥PEK来加密的并且被从A传送到B。

在特定实例中，密钥PEK在A生成并且通过网络传送到B。

在其他特定实例中，A与B建立会话。“会话”是指用于在具有始端和末端的时段中在具有不同IP地址的实体之间交换数据分组的双方协议。A和B这二者都获得至少一个会话密钥SEK。例如，A可以创建会话密钥SEK，并且将其发送到B。然后，A和B中的每一个使用已知算法而至少根据会话密钥SEK以及根据分组p的独特(unique)属性独立地创建分组特定加密密钥PEK。使用现有的逐跳安全关联将会话密钥安全地从A发送到B。

在从A到B的网络路径中至少有一跳可以在一对共享完整性密钥的节点之间发生。例如，A可以是与其服务基站收发节点(base transceivernode)共享完整性密钥的无线用户终端。同样，B也可以是与其服务基站收发节点共享完整性密钥的无线用户终端。“基站收发节点”指的是基站、节点B、基站收发站、BSR、或是具有相似功能的任何其他无线网络部件。

第二广义实例涉及一种方法，其中分组特定加密密钥PEK被用于对分组p进行加密。在两个节点中的每一个节点处，使用这两个节点所共享的完整性密钥来独立地计算密钥PEK的签名。所述签名被从两个节点之一发送到与分组p相关联的另一个节点。接收节点使用签名来验证(verify)分组p。

在这方面，“验证”分组指的是验证分组始发者是否拥有PEK。应该注意的是，从这个意义上讲，分组的验证未必能保证分组未受诸如篡改之类的非授权修改。

在特定实例中，共享完整性密钥的节点是无线用户终端以及为其提供服务的基站收发节点。

在特定实例中，通过网络将分组p是从第一无线用户A发送到第二无线用户B。用户A和为其提供服务的基站收发节点使用密钥PEK的签名来验证分组p的真实性，并且对于用户B以及为其提供服务的基站收发节点同样如此。

附图简述

图1是现有技术的UMTS系统的体系结构的高层框图。

图2是使用BSR的无线系统的高层框图。

图3是其中两个移动用户终端通过相应BSR彼此连接的高层框图，其中所述BSR通过IP网络经由多跳彼此进行通信。

图4是用户发起会话并且将会话代码分发给目标用户的示例性过程的流程图。

图5是起始用户(initiating user)向目标用户发送分组的示例性过程的流程图。

图6是目标用户和为其提供服务的BSR对起始用户发送的分组进行鉴别的示例性过程的流程图。

图7是可以与如下所描述的某些方法结合使用的分组格式的示意图。

详细描述

出于例证目的，我们将描述其中在UMTS网络环境中应用我们的新方法的实例。然而应该注意的是，所描述的方法在应用上更为广泛。例如，它们可以被应用在符合大范围标准中任何一个的无线服务的环境中，并且GSM和UMTS标准仅仅是两个例子。此外，它们可以被应用在其中接入技术是有线线路的环境中，以及其中接入技术是无线的环境中。更进一步，我们的方法可以有效应用在各种类型的服务环境中，例如可以包括常规的无线服务以及诸如IP语音(VoIP)之类的应用级服务。更进一步，我们的方法可以提供的安全性增强可以与作为硬件实体的接入终端之间的安全性相关，或者它们也可以同样有利地与用户之间-即与那些被识别为服务订户的个人之间的安全性相关。

如上所述，UMTS网络中的鉴别中心(AuC)对位于尝试签约进入(sign on)网络的订户终端中的SIM卡进行鉴别。该鉴别过程依赖于在订户与AuC之间共享的安全密钥。更特别地，在订户的SIM卡内存储了被称为“根密钥”的静态密钥，并且所述静态密钥还被存储在无线网络内。在典型的UMTS网络中，根密钥被存储在AuC中，但是也可以被存储在其他网络部件中，例如归属位置寄存器(HLR)。用户终端和网络均在本地根据根密钥生成密码密钥CK以及完整性密钥IK。应该注意的是，其他各种无线标准-例如用于GSM、TDMA和CDMA系统的无线标准描述了用于鉴别和安全的类似过程。

在例示情形中，如图3所示，用户终端120通过与BSR 130的无线电通信来如上所述的那样向网络鉴别其自身。然后，终端120与用户终端140建立会话，所述用户终端140是由BSR 150来服务的。用以建立会话的过程通常是根据公知标准来实施的，由此在这里没有必要对其进行详细描述。在宽带无线环境中，这样的标准的实例可以是3GPP和3GPP2标准，以及IEEE 802.16WiMax标准。

在图中，供BSR彼此通信的IP网络由三个服务器161、162、163来表示。该图仅仅是为了教学目的而提供的，并且不应该被理解为对IP网络中的节点或服务器的数量或用户或BSR的数量的限制，或在其他方面进行限制。

有利的是，通过加密来保护用户终端120与BSR 130之间的通信。如上所解释的，例如，在UMTS系统中，通常将通过使用密码密钥CK来对通信进行加密并且通过使用另外的密钥IK来确保在用户终端与BSR之间交换的消息的完整性以保护这样的通信。由无线用户终端和为其提供服务的BSR组成的其他节点对同样将具有自己的密码密钥和完整性密钥。因此，例如，终端120与BSR 130之间的链路在图中被示为通过密钥171来保护，更常见的是，所述密钥可以是密钥矢量。同样，终端140与BSR150之间的链路通过密钥172来保护。

供BSR 130和BSR 150通信的IP网络或其他网络还可以使用加密来保护通过其发送的消息。例如，目前存在着各种IETF标准，这些标准描述了出于此目的而使用加密。例如，在IETF标准文档中描述的IPSec(因特网安全)体系结构包括诸如封装安全有效载荷(ESP)之类的用于对分组有效载荷内的数据进行加密的协议。

通常，每一跳都将通过不同的密码密钥来保护。因此，举例来说，图3示出了通过密钥173～176中的相应密钥来保护的IP网络的每个链路。

对诸如图3的用户终端120和140之类的网络节点之间的通信来说，通常有利的是使用如上所述的逐跳安全措施。我们现在将会进一步描述安全措施，所述安全措施提供了用于在网络中的暴露点处对抗窃听和篡改的增强保护。

转到图4中所描述的过程，可以看到的是，现在被命名为“用户A”的起始用户希望与现在被命名为“用户B”的目标用户建立会话。一般地说，起始节点和目标节点可以是网络中的任何节点，而不限于无线用户终端等。在块180，根据公知方法来建立会话。在块190，如上所述，在用户A与其服务BSR(现在被命名为“BSR-A”)之间建立密码密钥CK_A，BSR-A和完整性密钥IK_A，BSR-A。应该注意的是，在这个方面，仅仅是出于例证目的而非限制目的而在BSR网络的环境中描述该过程，并且在各种类型的通信网络中都可以发现其有益应用。

如块200所指示的那样，现在产生会话密钥SEK并且在用户A与BSR-A之间交换该会话密钥SEK。一般地说，所述会话密钥可以是两个或更多密钥的矢量。例如，密钥矢量可以包括用于对会话进行加密的一个或多个密钥，以及用于对分组进行鉴别的一个或多个密钥。为了简单起见，我们将会提及单个会话密钥SEK，但是应该记住的是，实际上，两个或更多密钥的矢量可以被使用。

会话密钥SEK通常将由用户A产生并且在用户A和BSR-A之间建立的密码密钥的保护之下被传送到BSR-A。但是，其他的方案同样是可行的。例如，BSR-A可以产生密钥并将其发送到用户A，或者第三方可以将密钥分发给用户A和BSR-A这二者，或者用户A和BSR-A均可以使用预先安排的算法和共享数据片而在本地计算密钥。在任何情况下，用于产生会话密钥的算法都是公知的，并且在这里没有必要对其进行详细描述。例如，在3GPP和3GPP2标准中描述了适当的算法。一个特定实例由3GPP2标准中所描述的增强型加密算法(ECA)提供。

如图4的块210和220所示，会话密钥是在逐跳加密的保护之下被转发到BSR-B和用户B的。也就是，在每一跳上，会话密钥都是通过根据该跳端点之间的安全关联所提供的密码密钥来保护的。由此，在每一个中间节点处都可以对会话密钥进行解密，例如图3的节点161～163中的每一个，然后，根据当前节点与下一节点之间的安全关联对会话密钥进行重新加密。在从BSR-B到用户B的最后一跳上，通常将使用在用户B向网络鉴别其自身时建立的密码密钥来对会话密钥进行加密。

转到图5，在块230处可以看到，用户A现在生成将被传送到用户B的分组。对将被传送的每个这样的分组来说，用户A计算特定于该分组而不是其他分组的分组加密密钥PEK。例如，可以根据包含会话密钥和分组的独特属性的输入来计算密钥PEK。可以使用的分组的一个属性是序号或者同步计数器值。因此，例如，通过在计数器值与会话密钥之间执行诸如XOR(异或)之类的逻辑运算，可以生成密钥PEK。如果存在多个会话密钥，则可以特别指定使用一个会话密钥来生成密钥PEK。可以看到的是，每个分组的密钥PEK都将在BSR-A、BSR-B以及用户B处以逻辑方式计算得到。

如图5的块240所示，用户A还会计算密钥PEK的签名，我们将该签名表示为SIGNATURE

。当然，在签名计算中还可以包含其他输入，例如随机数、密码加密同步参数、订户简档(profile)ID(SPID)等等。特别地，在这里还可以包含未必保密但却依赖于时间的参数。

如块250所指示的，用户A向与相应分组相关联的BSR-A发送签名。所述签名可以被附于分组，例如作为首部的一部分。可替换地，签名可以作为带外传输来发送，例如在控制信道中发送。如块260所指示的，BSR-A独立地执行

的本地计算。

如上所述，可以使用在所涉及的两个节点之间共享的完整性密钥来计算

在本实例中，所述完整性密钥是在用户A与BSR-A之间共享的完整性密钥。签名

通常将比PEK更短。例如，它可以是密码加密压缩或散列函数的结果。这样的函数可以将PEK连同为正当(rightfully)共享PEK知识的实体所知的其他参量(随机现时(nonce)和计数器值)一起作为输入。这样的函数在本领域中是公知的，并且在这里无需对其进行详细描述。在本上下文中有用的函数的一个例子是安全散列函数1(SHA-1)，其中该函数是在IETF的HMAC标准中使用的。

诸如

之类的签名的用途是验证给定链路上的分组的发送方不但拥有分组，而且还拥有密钥PEK以及用于创建签名的密钥。当然，在这里也可以计算更大数据块的签名，例如分组有效载荷。但是，PEK签名是有利的，这是因为它提供了有效的分组验证，且同时明显减少了对用户终端和BSR处的计算资源的需求。

在上述示例性网络中，给定链路可以是从用户A到BSR-A的链路，或者如所示，可以是从BSR-B到用户B的链路。由于这些链路使用无线电，所以，它们特别容易受到将伪造分组注入会话或是将旧分组重新注入会话的攻击，例如在其已经被修改之后。由于PEK没有被传送，所以它不能被攻击者截取。取而代之，攻击者必须对其进行计算，但是这只能在会话代码被截取这种可能性不大的情况下结合其他信息来进行。因此，在链路接收端可以检测并拒绝那些侵入的(interloping)分组。相应地，如块270所指示的，只有在本地计算的

的值与从用户A接收的值相匹配时，BSR-A才会认为该分组是可信的。如果接受了分组，则如块280所指示的，BSR-A将分组通过网络转发到BSR-B。处于该分组穿过网络所选取的路径上的每一对相邻节点可以共享唯一的密码密钥。相应地，在每一跳之后可以对分组进行解密，并且在下一跳之前使用新密钥来进行重新加密。

通常，分组的内容将不能被所有中间节点访问，这是因为已经由用户A通过使用密钥PEK对其进行了加密。换言之，即使通过网络分发密钥PEK(直接地或是通过分发诸如SEK之类的输入来生成PEK)，也能够拒绝中间节点了解PEK。例如，在BSR-A与BSR-B之间可以建立安全的IPSec隧道，或者BSR-A和BSR-B可以共享中心安全服务器。通过这些或类似的手段，很容易完成安全密钥分发。当然，IPSec隧道等还可以被用于安全传输会话的所有分组。然而，如果这种对密码加密协议的密集使用为中间节点处的计算资源带来过度的负担。例如，可以通过针对每个会话只使用一次单独用于密钥分发的IPSec隧道来避免这种负担。

如上所述的对中心安全服务器或IPSec隧道的使用是使用现有逐跳安全关联进行密钥分发的一个实例。在这点上，值得注意的是，在完成密钥分发之后，在属于有关会话的分组进行路由中无需涉及中心安全服务器。因此，仅仅对中心安全服务器进行有限的使用。

现在将注意力转到图6所示的步骤序列，所述步骤序列开始于块290，其中由BSR-B接收分组。分组通常是以利用密码密钥而加密的形式到来，其中所述密码密钥是由BSR-B与在先节点共享。相应地，如块300所指示的，BSR-B对照该密码密钥来对分组进行解密。

如块300进一步指示的那样，BSR-B独立地执行的本地计算。通常，该计算将与

的计算类似。然而，BSR-B与用户B之间的完整性密钥将被用作输入，以替代BSR-A与用户A之间的完整性密钥。

在块310，BSR-B使用其与用户B共享的密码密钥来重新加密分组，并且将其转发到用户B。如块320所指示的，BSR-B还通过先前参考签名所论述的带内或带外传输将

发送到与分组相关联的用户B。在块330，BSR-B对分组进行解密，并且执行对

的独立的本地计算。如果在本地计算的值与BSR-B发送的值相匹配，则将认为该分组是已验证的，即，被验证为是由拥有PEK的实体发起的分组。

如上所述，在第一跳的起始和末端节点以及最后一跳的起始和末端节点处，可以对每个分组的PEK进行本地计算。会话密钥将作为用于计算PEK的输入来使用。会话密钥是使用现有的逐跳安全关联以加密形式通过网络来传送的。

然而，在其他实例中，会话密钥是可选的，并且PEK是使用逐跳加密通过网络来转发的。例如，用户A(作为起始节点的实例)利用PEK来对分组或者至少分组有效载荷进行加密。用户A还使用其与BSR-A(作为第一跳的末端节点的实例)共享的密码密钥对PEK进行加密，并且使用其与BSR-A共享的完整性密钥来对PEK进行签名。如在上文中参考签名

所描述的那样，经过加密的PEK及其签名被从用户A发送到与分组相关联的BSR-A。

参考图7，例如，分组400包括IP首部410、有效载荷420以及PEK字段430。利用PEK对有效载荷420是进行端到端加密。

使用逐跳加密通过网络将PEK连同分组从BSR-A发送到BSR-B。由此，在每个中间节点处都可以对PEK进行解密和重新加密，但在中间节点不对分组进行解密。在典型的分组中，字段420中的有效载荷的长度可以是1500字节，而字段430中的已加密PEK的长度则可以仅仅是128比特。因此非常清楚的是，如果仅仅对PEK进行解密和重新加密将会节省大量的计算资源。

在图7的实例中，在第一跳-也就是从用户A到BSR-A的跳上，利用密码密钥CK_A，BSR-A对PEK字段430的内容进行加密。在从BSR-A到BSR-B的路径的每一跳上，例如，利用有关的IPSec密钥来对字段430的内容进行加密。因此，如果存在两个或更多这样的跳，则可以使用IPSec关联链来保护PEK。

在BSR-B，使用BSR-B与用户B共享的密码密钥CK_B，BSR-B来对PEK进行加密，并且使用BSR-B与用户B共享的完整性密钥来对其进行签名。经过加密的PEK在字段430中从BSR-B发送到用户B，并且PEK签名被从BSR-B发送到与分组相关联的用户B。

如果将要通过网络来转发SEK，则所述转发可以由各种可能技术中的任何一种来执行。根据一种这样的技术，所发送的新会话的第一业务分组至少其有效载荷是利用有关PEK来加密的。当用户A将分组发送到BSR-A时，它会附加SEK，其中所述SEK是通过用户A与BSR-A共享的密码密钥来加密的。BSR-A对SEK进行解密，并且使用现有安全关联将其分发到BSR-B。当BSR-B向用户B发送分组时，它会附加SEK，其中所述SEK是通过用户B与BSR-B共享的密码密钥来加密的。

根据各种可替换技术之一，SEK是在呼叫建立过程中通过使用有关协议来分发的。例如，SEK可以与用于建立VoIP呼叫或是例如基于IMS(IP多媒体子系统)的服务的SIP(会话发起协议)消息一起被分发。

Claims

1.一种方法，包括：

建立端到端密钥以用于通过网络将分组从第一端点安全传输到第二端点；以及

将分组从第一端点传送到第二端点；

其中建立端到端密钥包括：在两个或更多逐跳安全关联的保护下通过网络将信息从第一端点传送到第二端点。

2.根据权利要求1所述的方法，其中端到端密钥是分组特定加密密钥，并且建立端到端密钥包括将会话加密密钥从第一端点传送到第二端点，以使得能够根据会话加密密钥和分组特定信息来计算分组特定加密密钥。

3.根据权利要求1所述的方法，其中建立端到端密钥包括：将信息作为业务分组的一部分通过网络进行传送。

4.根据权利要求1所述的方法，其中端到端密钥是分组特定加密密钥，并且所述方法进一步包括：

使用与位于第一和第二端点中间的网络节点共享的完整性密钥来计算分组特定加密密钥的签名；

经由中间节点将分组从第一端点传送到第二端点；以及

将签名传送到与所传送的分组相关联的中间节点。

5.一种要在网络节点处执行的方法，包括：

在与网络的在先节点的安全关联的保护下，从所述在先节点接收会话加密密钥；

从所述在先节点接收被转发的分组，其中所述被转发的分组具有利用分组特定加密密钥而加密的有效载荷部分；以及

在本地根据包含会话加密密钥和特定于被转发分组的信息的输入来计算分组特定加密密钥。

6.根据权利要求5所述的方法，进一步包括：使用在本地计算的分组特定加密密钥来对分组进行解密。

7.根据权利要求5所述的方法，进一步包括：使用与另一个网络节点共享的完整性密钥来在本地计算分组特定加密密钥的签名。

8.根据权利要求7所述的方法，其中完整性密钥是与所述在先节点共享的，并且所述方法进一步包括：将在本地计算的分组特定加密密钥签名与关联于分组的接收的分组特定加密密钥签名相比较，由此验证分组。

9.根据权利要求7所述的方法，其中完整性密钥是与后续网络节点共享的，并且所述方法进一步包括：

将分组转发到后续节点；以及

将在本地计算的分组特定加密密钥签名传送到与分组相关联的后续节点，由此向后续节点验证所述分组。

10.一种用于在网络中处理分组的方法，其中所述网络包括共享完整性密钥的第一节点和第二节点，所述方法包括：

将分组从第一节点传送到第二节点，以使得至少所述分组的有效载荷部分是利用分组特定加密密钥来加密的；

计算将被用于验证分组的分组特定加密密钥的签名，其中所述签名计算是通过使用完整性密钥来执行的；以及

将分组特定加密密钥签名传送到与分组相关联的第二节点。

11.一种用于在网络中处理分组的方法，其中所述网络包括共享完整性密钥的第一节点和第二节点，所述方法包括，在第二节点处：

从第一节点接收分组，以使得至少所述分组的有效载荷部分是利用分组特定加密密钥来加密的；

从第一节点接收分组特定加密密钥的签名；

计算分组特定加密密钥的签名，其中所述计算是使用完整性密钥来执行的；

将所计算的密钥签名与所接收的密钥签名相比较；以及

如果所计算的密钥签名与所接收的密钥签名相一致，则认为所述分组是已验证的。

12.根据权利要求11所述的方法，进一步包括：使用分组特定加密密钥来对分组进行解密。

13.根据权利要求11所述的方法，进一步包括：如果认为分组是已验证的，则将分组转发到目的地。