CN102754386A - 用于多媒体通信系统中的安全通信的分级密钥管理 - Google Patents
用于多媒体通信系统中的安全通信的分级密钥管理 Download PDFInfo
- Publication number
- CN102754386A CN102754386A CN2011800058685A CN201180005868A CN102754386A CN 102754386 A CN102754386 A CN 102754386A CN 2011800058685 A CN2011800058685 A CN 2011800058685A CN 201180005868 A CN201180005868 A CN 201180005868A CN 102754386 A CN102754386 A CN 102754386A
- Authority
- CN
- China
- Prior art keywords
- computing equipment
- equipment
- kms
- security association
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行一种方法,其包括以下步骤:从第一计算设备和第二计算设备中的一个接收请求;以及响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。第一计算设备、第二计算设备和第三计算设备包括密钥管理分级结构的至少一部分,其中第一计算设备和第二计算设备在该分级结构的低级别,第三计算设备在该分级结构的高级别。
Description
技术领域
本发明通常涉及通信安全,更具体地,涉及在诸如多媒体通信系统的媒体平面的环境中的安全通信中使用的密钥管理协议。
背景技术
在传统的多媒体通信系统中提供的现有的多媒体应用并不充分地支持媒体平面中的安全。在诸如因特网协议(IP)多媒体子系统(IMS)的传统多媒体通信系统中的现有的安全建议根据基于令牌的对称密钥方法;并使用潜在地创建和分发密钥的密钥管理服务进行管理。3GPP(第三代伙伴计划)技术规范(TS)33.328和33.828论述了现有的用于IMS媒体平面加密的建议,其公开的内容在此被结合作为参考。
如在RFC 3830中所公开的,多媒体因特网密钥(MIKEY)是基于预共享密钥的媒体安全协议的一个例子,其公开的内容在此被结合作为参考。
一种尝试的MIKEY协议的改进被称为MIKEY-TICKET,并在国际专利公开号为No.WO2009/070075的专利申请中公开,其公开的内容在此被结合作为参考。MIKEY-TICKET是如在TS 33.328和TS 33.828中公开的Rel-9 IMS媒体平面安全的一部分。MIKEY-TICKET方案使用一个或多个密钥管理服务(KMS),其向用户设备发布证书(凭据)和密钥生成信息,以用于与另一个用户设备建立会话密钥。然后,该会话密钥被用户设备用于相互进行通信。当使用两个KMS时(对于每个用户设备有一个KMS),这两个KMS不仅必须与它们正在服务的用户设备建立安全关联,而且这两个KMS还必须在彼此之间有预先存在的一对一安全关联,以便MIKEY-TICKET协议工作。这并不总是优选或可能的,特别是当每个KMS属于不同的管理域时。
因此,需要一种改进的密钥管理方案,其用于在诸如多媒体通信系统的媒体平面的环境中的安全通信。
发明内容
本发明的原理提供一种或多种分级密钥管理方法,用于在例如诸如多媒体通信系统的媒体平面的环境中进行安全通信。
作为本发明一个示例性方面,在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行一种方法,其包括以下步骤:从第一计算设备和第二计算设备中的一个接收请求;以及响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。
第一计算设备、第二计算设备和第三计算设备包括密钥管理分级结构的至少一部分,其中第一计算设备和第二计算设备在该分级结构的低级别,第三计算设备在该分级结构的高级别。
在一个示例性实施例中,由第三计算设备执行的帮助步骤还包括:向第一计算设备发送数据项和加密信息。
然后,第一计算设备将数据项发送到第二计算设备。第一计算设备还根据从第三计算设备接收的加密信息计算密钥,并使用所计算的密钥以保护一个或多个消息传输到第二计算设备。可选择地,当第一计算设备从第三计算设备接收的加密信息是预先计算的密钥时,第一计算设备使用该预先计算的密钥以保护一个或多个消息传输到第二计算设备。
然后,第二计算设备向第三计算设备发送数据项。
然后,响应于从第二计算设备接收数据项,第三计算设备向第二计算设备发送与被发送到第一计算设备的相同的加密信息。
在一个例子中,第二计算设备可根据从第三计算设备接收的加密信息来计算密钥,并使用所计算的密钥以保护一个或多个消息传输到第一计算设备。在另一个例子中,当第二计算设备从第三计算设备接收的加密信息是预先计算的密钥时,第二计算设备使用该预先计算的密钥以保护一个或多个消息传输到第一计算设备。
在一个实施例中,第一计算设备、第二计算设备和第三计算设备每一个是密钥管理服务,数据项包括凭据或证书。
另外,根据示例性的方法,一旦在第一计算设备与第二计算设备之间建立安全关联,则在第一用户装置与第二用户装置之间建立会话密钥和安全关联。
另外,第一计算设备可由与管理第二计算设备的管理域不同的管理域进行管理。
应当知道,尽管本发明的原理主要适用于因特网协议多媒体子系统的环境,但本发明并不意味着限于此。即,本发明的原理通常应用于任何合适的期望提供密钥管理特性的通信系统。
根据以下结合附图阅读的本发明的示例性实施例的详细说明,本发明的这些和其它目的、特征和优点会变得明显。
附图说明
图1A表示使用单个密钥管理服务的密钥管理体系和方法;
图1B表示使用两个密钥管理服务的密钥管理体系和方法;
图2A表示根据本发明的实施例的分级密钥管理体系和方法;
图2B表示根据本发明的实施例的分级密钥管理消息传送协议;
图3表示适合于实现根据本发明的实施例的一个或多个方法和协议的通信系统和计算设备的一部分的通用硬件体系。
具体实施方式
在此所使用的短语“多媒体通信系统”通常被定义为任何能够传送两种或更多种类型的媒体的通信系统,其中媒体包括但不限于基于文本的数据、基于图形的数据、基于语音的数据和基于视频的数据。
在此所使用的短语“媒体平面”通常被定义为多媒体通信系统的一种或多种类型的媒体在呼叫会话的两方或多方之间进行交换的功能部分。这与“控制平面”相对,“控制平面”是多媒体通信系统的执行呼叫协商/调度以便建立呼叫会话的功能部分。可使用本发明的技术的媒体平面应用的例子包括但不限于基于IP的语音(VoIP)、即时消息(IM)、视频/音频IM和视频共享。应当理解,媒体平面包含应用层业务。
在此所使用的术语“密钥”通常被定义为加密协议或方法的输入,用于诸如但不限于实体认证、私密性、消息完整性等。
短语“安全关联”通常被定义为两个或更多个实体之间的关系,它基于为了认证关系中的一个或多个实体和/或加密、解密、验证等而生成的某些加密或安全数据(例如一个或多个密钥)。
短语“管理域”通常被定义为由指定管理机构管理的诸如主机和路由器的网络单元和互连网络的集合。
短语“用户设备”通常被定义为通信设备或客户机设备,其可由一方(用户)使用以参与在此描述的方法,并可包括但不限于蜂窝电话、智能电话、桌上型电话、个人数字助理、膝上型计算机、个人计算机等。
短语“密钥管理服务”通常被定义为加密系统中提供有关生成、交换、存储、保护、使用、审阅和替换加密密钥的功能的逻辑单元。例如,密钥管理服务可以通过一个或多个服务器实现。
短语“凭据”或“证书”通常被定义为一个信息,其由发布KMS进行完整性保护,并可包括元数据、参与方的身份、创建时间、有效性时间、序列号、所允许的通信使用的类型等中的一个或多个。该凭据还可包括一个或多个密钥或需要进行私密性保护的其它信息。
如上所述,用于IMS媒体安全的密钥分发的MIKEY-TICKET方法需要一个或多个密钥管理服务(KMS)以与通信网络中的一个或多个设备(即用户设备(UE))具有安全关联。在正在建立密钥的UE属于不同的管理域和不同的KMS的情况下,要求这些KMS在彼此之间具有预先存在的一对一安全关联。
在某些实现中,这种要求不可能被满足。例如,这样的网络结构是两个或更多个KMS,其属于两个或更多个管理域,并且彼此之间都不具有预先存在的安全关联。因此,现有的方案需要在KMS之间预先存在一对一的安全关联,使得最终的密钥管理方案相当不灵活并耗费资源。另外,任何额外KMS的添加(即用于漫游)都需要添加与任意现有的KMS的预先存在的安全关联。
图1A描述使用单个密钥管理服务(KMS)的密钥管理体系和方法。具体地,这是MIKEY-TICKET方法的一种形式。如方法100所示,用户设备102-I(发起者)寻求发起与用户设备102-R(应答者)的通信会话。
根据MIKEY-TICKET方法,假定KMS 104能够与用户设备102-I建立共享密钥(安全通信),并响应于密钥请求(步骤1),向用户提供密钥生成信息105和凭据106(步骤2)以响应密钥请求。然后,用户设备102-I在用于通信的请求中向用户设备102-R发送该凭据106(步骤3)。
用户设备102-R具有与KMS 104(服务用户设备102-I的同一个KMS)的预先建立的安全通信,向KMS 104提供凭据106(步骤4)。作为响应,KMS 104向用户设备102-R返回(步骤5)密钥生成信息105(KMS在步骤2中向用户设备102-I发送的相同的密钥生成信息)。根据密钥生成信息105,用户设备102-I和用户设备102-R都生成在多媒体通信中使用的公共会话密钥。用户设备102-R发送响应(步骤6)以完成会话密钥建立过程。应当指出,相对于密钥生成信息,KMS可以向用户设备发送已经计算了的公共会话密钥。
图1B描述使用多个密钥管理服务(KMS)的密钥管理体系和方法,例如,在该情形中是两个。这是MIKEY-TICKET方法的另一种形式。如方法110所示,用户设备102-I再次寻求发起与用户设备102-R的通信会话。图1B中的步骤1至6与图1A中描述的本质上相同。在此仅有的不同是现在有两个KMS,即,服务用户设备102-I的KMS 104-I,服务用户设备102-R的KMS 104-R。在图1B中示出的附加步骤2a表示根据现有的MIKEY-TICKET方法,在两个KMS之间必须有预先存在的一对一安全关联以用于协议进行工作的要求。即,如果在发起者在步骤1中启动协议之前,与KMS 104-I不存在这种一对一的安全关联,则KMS-R将不能够在步骤4和5中解决来自102-R的请求。然而,如上所述,这可能不是优选的或者实际上可能是被禁止的,特别是当KMS 104-I属于与KMS 104-R不同的管理域时。
为了解决现有方法的这些和其它缺陷,本发明的示例性原理提供了一种分级密钥管理方案,其包括实现分级安全关联和信任模型以简化向KMS提供安全关联,以及在用MIKEY-TICKET密钥分发方法或某些其它密钥分发方法部署KMS时向操作者提供灵活性。这样,属于两个或多个不同管理域的两个或更多个低层次KMS可与高层次KMS具有预先存在的安全关联。因此,本发明的方案允许MIKEY-TICKEY方法等通过引入多级别的KMS分级结构并允许在多媒体通信系统的不同网络(并因此是不同的管理域)(即通信系统的网络运营商部分和通信系统的企业部分)中灵活地部署密钥分发功能来改进。
图2A表示根据本发明的实施例的分级密钥管理体系和方法。应当理解,图2A中的用户设备202-I(发起者)和202-R(应答者)分别与图1A和1B中的用户设备102-I和用户设备102-R相同或相似,并且除了特别指出之外,以相同或相似的方式起作用。另外,就用户设备而言,KMS 204-I和KMS 204-R分别与KMS 104-I和KMS 104-R相同或相似,并且除了特别指出之外,以相同或相似的方式起作用。然而,KMS 204-I/KMS 204-R与KMS 104-I/KMS 104-R之间的重要不同在于,在图2A中的发起请求(步骤1)开始时,KMS 204-I和KMS 204-R在它们之间不具有存在的安全关联(信任)。然而,根据本发明的实施例,在KMS 204-I与KMS 204-0之间以及在KMS 204-R与KMS 204-0之间有分级安全关联。即,根据本发明的实施例,在分级结构的级别B处的KMS不被要求彼此之间具有预先存在的一对一安全关联,因为在级别B(低层次级别)处的每个单独的KMS与在级别A(高层次级别)处的KMS具有或建立了安全关联。然而,假定发起者UE(202-I)与其KMS-I(204-I)具有或建立了安全关联,响应者UE(202-R)与KMS-R(204-R)具有或建立了安全关联。
应当理解,虽然图2A示出了两个级别的分级结构,其中两个KMS在低级别,一个KMS在高级别,但本发明的原理考虑了具有超过两个级别并且在每个级别处有超过图2A所示的指定数量的KMS的分级结构。因此,在指定级别添加KMS并不要求所添加的KMS与在同一级别的每个其它KMS都建立安全关联,而是仅要求所添加的KMS与高层次KMS建立安全关联系。
因此,在图2A表示的实施例中,发生下面的步骤。注意在下面:用户设备202-I被称为“发起者UE”或“发起者”或“I”;用户设备202-R被称为“应答者UE”或“应答者”或“R”;KMS 204-I被称为“KMS I”;KMS 204-R被称为“KMS R”,KMS 204-0被称为“KMS0”。还应当指出,除非在此公开的改进的方法特别指出或修正,标准MIKEY_TICKET技术可用于消息传输。
步骤1.发起者UE向KMS I发送包含应答者的身份的REQUEST_INIT消息。
步骤2.KMS I用包含会话密钥205(或者如上所述,用于生成会话密钥的密钥生成消息)和凭据206的REQUEST_RESP消息回复发起者。
步骤3.发起者将从KMS I接收的包含凭据206的TRANSFER_INIT消息发送到应答者。
步骤4.应答者在RESOLVE_INIT消息中将从发起者接收的凭据206转发到KMS R。
步骤5.KMS I向KMS0发送REQUEST_INIT_KMS消息。
步骤6.KMS0用REQUEST_RESP_KMS消息中的KMS间凭据208和KMS间密钥209(或者用于生成KMS间密钥的密钥生成信息)响应KMS I。
步骤7.KMS I在TRANSFER_INIT_KMS消息中将从KMS0接收的KMS间凭据208传送到KMS R。在该消息中,KMS I还向KMS R传送会话密钥205(或密钥生成信息)。
步骤8.KMS R在RESOLVE_INIT_KMS消息中将从KMS I接收的KMS间凭据208转发到KMS0。
步骤9.KMS0用RESOLVE_RESP_KMS消息中的KMS间密钥209响应KMS R。
步骤10.KMS R通过向KMS I发送TRANSFER_RESP_KMS消息来确认它收到KMS间密钥209,从而完成密钥交换。此时,KMS I与KMSR之间的安全关联被建立。
步骤11.KMS R向应答者发送具有会话密钥205的RESOLVE_RESP消息。
步骤12.应答者通过向发起者发送TRANSFER_RESP消息,来完成密钥交换。
应当指出,密钥205是I与R之间实际的媒体会话所需要的会话密钥;KMS I向KMS R发送密钥205,KMS R向R发送密钥205。密钥209是在由I发起通信会话之后允许KMS I与KMS R建立安全关联的密钥,从而缓解KMS I和KMS R具有预先存在的一对一安全关联的要求。应当指出,没有媒体受到该KMS间密钥的保护,仅仅是KMS I与KMS R之间的信令。
图2B表示与在图2A的上下文中描述的相同的步骤,但示出在分级密钥管理消息传送协议220中的实际消息排序。因此,概括来说,KMS I和KMS彼此不具有安全关联(SA),但KMS I和KMS R与KMS0具有SA。密钥交换由UE I发起;它向KMS I发送请求以安全地连接与KSM R相关联的UE R。KMS I和KMS R彼此必须建立SA。为了实现这个,KMSI和KMS R使用KMS0,KMS I和KMS R都与其有预先配置的SA。应当指出,KMS I与KMS R之间的SA被认为是一旦KMS R在步骤10中向KMS I发送确认消息就被建立。还应当指出,KMS I向KMS R转发(在步骤7)先前提供给UE I(步骤2)的会话密钥。之后,KMS R可在步骤11中向UE R转发会话密钥。现在,UE I和UE R都具有会话密钥和安全关系,并且可以交换被密钥保护的媒体。
以上在图2A和2B的上下文中描述的实施例的可选实施例是KMS R向KMS0发送REQUEST_INIT_KMS消息并在REQUEST_RESP_KMS消息中接收KMS间凭据208和KMS间密钥209(或用于生成KMS间密钥的密钥生成信息)的方法。在REQUEST_INIT_KMS和REQUEST_RESP_KMS消息之后是TRANSFER和RESOLVE消息(即,KMS R向KMS I发送TRANSFER_INIT_KMS消息,KMS I接着与KMS0交换RESOLVE_INIT_KMS/RESOLVE_RESP_KMS消息,然后向KMSR返回TRANSFER_RESP_KMS消息)。
应当理解,尽管上面的实施例在MIKEY-TICKET密钥分发方法的上下文中示例性地描述了本发明的分级密钥管理方案,但这种方案并不限于MIKEY-TICKET协议。即,本发明的这种分级密钥管理服务体系和方法可以在通信系统中的任何其它合适的密钥管理情形中实现。
另外,应当指出,在此描述的本发明的分级KMS体系允许在水平方向上扩展(即,在同一级别上添加更多的KMS)以及在垂直方向上扩展(即,增加分级结构的级别),而无需改变基本协议。
因此,作为本发明的一个示例性方面,在通信系统中,其中第一计算设备(例如KMS I)被配置为对第一用户装置(例如UE I)执行密钥管理功能(例如服务),第二计算设备(例如KMS R)被配置为对第二用户装置(例如UE R)执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备(例如KMS0)被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行一种方法,其包括以下步骤:从第一计算设备接收请求(例如步骤5);以及响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联(步骤6至10),以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。应当指出,在可选的实施例中,第三计算设备可以从第二计算设备接收请求,因此,第二计算设备(而不是第一计算设备)发起KMS间安全关联的建立。
第一计算设备、第二计算设备和第三计算设备包括密钥管理分级结构的至少一部分,其中第一计算设备和第二计算设备在该分级结构的低级别(例如,级别B),而第三计算设备在该分级结构的高级别(例如,级别A)。
在一个示例性实施例中,由第三计算设备(例如KMS0)执行的帮助步骤还包括:向第一计算设备(例如KMS I)发送数据项(例如凭据208)和加密信息(密钥或密钥生成信息209)。然后,第一计算设备将数据项发送到第二计算设备(例如KMS R)。第二计算设备然后将数据项发送到第三计算设备。响应于从第二计算设备接收数据项,第三计算设备将与被发送到第一计算设备的相同的加密信息发送到第二计算设备。然后,第二计算设备向第一计算设备发送响应。另外,一旦在第一计算设备与第二计算设备之间建立安全关联,则在第一用户装置(例如UE I)与第二用户装置(例如UE R)之间建立会话密钥和安全关联。
现在最后参照图3,表示适合于根据本发明实现两个实体之间的密钥管理协议的通信系统环境和计算设备的通用硬件体系300。尽管图3仅示出了用于两个实体A和B的计算设备,但应当理解,其它实体可具有相同的配置。因此,根据以上描述的密钥管理协议,两个实体A和B可以是在图2A和2B中示出的任何两个实体,即:发起者202-I和应答者202-R;KMS与发起者和应答者中的任一个;KMS分级结构中的任意两个KMS等。因此,为了简化起见,在图3中未示出可参与本发明的协议的所有计算设备(通信设备和服务器)。
如图所示,标记为302的A的计算设备和标记为304的B的计算设备通过网络306连接。网络可以是设备能够通过它们进行通信的任何网络,例如,在上述的实施例中,网络306可包括公共可接入的广域通信网络,诸如由网络运营商(例如,Verizon、AT&T、Sprint)运营的蜂窝通信网络。网络306还可包括专用企业网。然而,本发明并不限于特定类型的网络。通常,设备可以是客户机设备。可由各方使用以参与在此描述的协议的客户机设备的例子包括但不限于蜂窝电话、智能电话、桌上型电话、个人数字助理、膝上型计算机、个人计算机等。然而,这些设备中的一个或多个可以是服务器。因此,应当理解,本发明的通信协议并不限于计算设备分别是客户机和服务器的情形,相反可适用于任何形式的计算设备。
正如本领域的普通技术人员容易知道的,服务器和客户机可被实现为在计算机程序代码的控制下运行的编程计算机。计算机程序代码可存储在计算机可读存储媒体(例如存储器)中,并且代码可由计算机的处理器执行。对于本发明的公开内容,本领域的普通技术人员容易生成适当的计算机程序代码以实现在此描述的协议。
但是,图3通常表示通过网络进行通信的每个计算机系统的示例性体系。如图所示,设备302包括I/O设备308-A、处理器310-A和存储器312-A。设备304包括I/O设备308-B、处理器310-B和存储器312-B。应当理解,在此所使用的术语“处理器”意在包括一个或多个处理设备,包括中央处理单元(CPU)或其它处理电路,包括但不限于一个或多个信号处理器、一个或多个集成电路等。另外,在此所使用的术语“存储器”意在包括与处理器或CPU相关联的存储器,诸如RAM、ROM、固定存储设备(例如硬盘)或可移动存储设备(例如,磁盘或CDROM)。另外,在此所使用的术语“I/O设备”意在包括用于向处理单元输入数据的一个或多个输入设备(例如键盘、鼠标)以及用于提供与处理单元相关联的结果的一个或多个输出设备(例如,CRT显示器)。
因此,用于执行在此描述的本发明的方法的软件指令或代码可存储在一个或多个相关联的存储器设备上,例如ROM、固定或可移动的存储器,并且当准备利用时,由CPU加载到RAM中并执行。
尽管在此已经参照附图描述了本发明的示例性实施例,但应当理解,本发明并不限于这些特定实施例,在不脱离本发明的范围或精神的情况下,本领域的普通技术人员可以进行各种其它改变和修改。
Claims (10)
1.一种方法,包括:
在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行以下步骤:
从第一计算设备和第二计算设备中的一个接收请求;以及
响应于该请求,帮助在第一计算设备和第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置和第二用户装置之间建立安全关联。
2.如权利要求1所述的方法,其中,第一计算设备、第二计算设备和第三计算设备包括密钥管理分级结构的至少一部分,其中第一计算设备和第二计算设备在所述分级结构的低级别,第三计算设备在所述分级结构的高级别。
3.如权利要求1所述的方法,其中,由第三计算设备执行的帮助步骤还包括:向第一计算设备发送数据项和加密信息。
4.如权利要求3所述的方法,其中,第一计算设备向第二计算设备发送所述数据项,第二计算设备向第三计算设备发送所述数据项。
5.如权利要求4所述的方法,其中,响应于从第二计算设备接收所述数据项,第三计算设备向第二计算设备发送与被发送到第一计算设备的相同的加密信息。
6.如权利要求1所述的方法,其中,一旦在第一计算设备与第二计算设备之间建立安全关联,则在第一用户装置与第二用户装置之间建立会话密钥和安全关联。
7.如权利要求1所述的方法,其中,通信系统包括因特网协议多媒体子系统。
8.如权利要求1所述的方法,其中,第一计算设备由与管理第二计算设备的管理域不同的管理域管理。
9.一种装置,包括:
在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备包括:
存储器;以及
至少一个处理器,其连接到所述存储器,并被配置为:
从第一计算设备和第二计算设备中的一个接收请求;以及
响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。
10.一种产品,包括:
在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联;处理器可读存储媒体存储一个或多个软件程序,该软件程序在由与第三计算设备相关联的处理器执行时执行以下步骤:
从第一计算设备和第二计算设备中的一个接收请求;以及
响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/687,515 US8625787B2 (en) | 2010-01-14 | 2010-01-14 | Hierarchical key management for secure communications in multimedia communication system |
| US12/687,515 | 2010-01-14 | ||
| PCT/US2011/020686 WO2011087989A1 (en) | 2010-01-14 | 2011-01-10 | Hierarchical key management for secure communications in multimedia communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102754386A true CN102754386A (zh) | 2012-10-24 |
| CN102754386B CN102754386B (zh) | 2017-02-15 |
Family
ID=43607739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180005868.5A Active CN102754386B (zh) | 2010-01-14 | 2011-01-10 | 用于多媒体通信系统中的安全通信的分级密钥管理 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8625787B2 (zh) |
| EP (1) | EP2524469B1 (zh) |
| JP (1) | JP5575922B2 (zh) |
| KR (1) | KR101523132B1 (zh) |
| CN (1) | CN102754386B (zh) |
| WO (1) | WO2011087989A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105340310A (zh) * | 2013-06-28 | 2016-02-17 | 日本电气株式会社 | 基于邻近服务通信中的安全群组创建 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8527759B2 (en) * | 2008-05-23 | 2013-09-03 | Telefonaktiebolaget L M Ericsson (Publ) | IMS user equipment, control method thereof, host device, and control method thereof |
| US8625787B2 (en) | 2010-01-14 | 2014-01-07 | Alcatel Lucent | Hierarchical key management for secure communications in multimedia communication system |
| CN103119976B (zh) * | 2010-09-15 | 2016-11-02 | 瑞典爱立信有限公司 | 通信网络中经由中间单元发送受保护数据 |
| CN102904861B (zh) * | 2011-07-28 | 2017-10-03 | 中兴通讯股份有限公司 | 一种基于isakmp的扩展认证方法及系统 |
| WO2013104072A1 (en) * | 2012-01-12 | 2013-07-18 | Research In Motion Limited | System and method of lawful access to secure communications |
| CA2860989C (en) | 2012-01-12 | 2021-11-30 | Michael Eoin Buckley | System and method of lawful access to secure communications |
| EP2803165B1 (en) * | 2012-01-12 | 2019-04-24 | BlackBerry Limited | System and method of lawful access to secure communications |
| US9521644B2 (en) | 2012-01-31 | 2016-12-13 | Qualcomm Incorporated | Methods and apparatus for providing network-assisted end-to-end paging between LTE devices |
| US9240881B2 (en) * | 2012-04-30 | 2016-01-19 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
| JP2015015674A (ja) * | 2013-07-08 | 2015-01-22 | 日本電気株式会社 | 通信システム、鍵供給装置、通信方法及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050125684A1 (en) * | 2002-03-18 | 2005-06-09 | Schmidt Colin M. | Session key distribution methods using a hierarchy of key servers |
| US20080095070A1 (en) * | 2005-12-05 | 2008-04-24 | Chan Tat K | Accessing an IP multimedia subsystem via a wireless local area network |
| WO2009070075A1 (en) * | 2007-11-30 | 2009-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Key management for secure communication |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6606706B1 (en) * | 1999-02-08 | 2003-08-12 | Nortel Networks Limited | Hierarchical multicast traffic security system in an internetwork |
| JP2003174441A (ja) * | 2001-12-05 | 2003-06-20 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ暗号化方法,コンテンツ復号化方法,コンテンツ暗号化装置およびコンテンツ復号化装置 |
| JP2004254178A (ja) * | 2003-02-21 | 2004-09-09 | Mitsubishi Electric Corp | 暗号通信用鍵配送システム |
| JP4614744B2 (ja) * | 2003-11-28 | 2011-01-19 | パナソニック株式会社 | 管理装置、端末装置及び著作権保護システム |
| US8625787B2 (en) | 2010-01-14 | 2014-01-07 | Alcatel Lucent | Hierarchical key management for secure communications in multimedia communication system |
-
2010
- 2010-01-14 US US12/687,515 patent/US8625787B2/en active Active
-
2011
- 2011-01-10 CN CN201180005868.5A patent/CN102754386B/zh active Active
- 2011-01-10 KR KR1020127018186A patent/KR101523132B1/ko active IP Right Grant
- 2011-01-10 JP JP2012548991A patent/JP5575922B2/ja active Active
- 2011-01-10 WO PCT/US2011/020686 patent/WO2011087989A1/en active Application Filing
- 2011-01-10 EP EP11701320.1A patent/EP2524469B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050125684A1 (en) * | 2002-03-18 | 2005-06-09 | Schmidt Colin M. | Session key distribution methods using a hierarchy of key servers |
| US20080095070A1 (en) * | 2005-12-05 | 2008-04-24 | Chan Tat K | Accessing an IP multimedia subsystem via a wireless local area network |
| WO2009070075A1 (en) * | 2007-11-30 | 2009-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Key management for secure communication |
Non-Patent Citations (1)
| Title |
|---|
| NETWORK WORKING GROUP: "MIKEY-TICKET: An Additional Mode of Key Distribution in Multimedia Internet KEYing (MIKEY)", 《IETF》, 19 October 2009 (2009-10-19) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105340310A (zh) * | 2013-06-28 | 2016-02-17 | 日本电气株式会社 | 基于邻近服务通信中的安全群组创建 |
| CN108990063A (zh) * | 2013-06-28 | 2018-12-11 | 日本电气株式会社 | 通信系统、网络和用户设备及其通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110170694A1 (en) | 2011-07-14 |
| US8625787B2 (en) | 2014-01-07 |
| JP2013517688A (ja) | 2013-05-16 |
| CN102754386B (zh) | 2017-02-15 |
| WO2011087989A1 (en) | 2011-07-21 |
| KR101523132B1 (ko) | 2015-05-26 |
| JP5575922B2 (ja) | 2014-08-20 |
| EP2524469B1 (en) | 2019-07-03 |
| KR20120104336A (ko) | 2012-09-20 |
| EP2524469A1 (en) | 2012-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102754386A (zh) | 用于多媒体通信系统中的安全通信的分级密钥管理 | |
| CN102195957B (zh) | 一种资源共享方法、装置及系统 | |
| CN102160357B (zh) | 通信网络中的密钥管理 | |
| EP2767029B1 (en) | Secure communication | |
| CN103795692A (zh) | 开放授权方法、系统与认证授权服务器 | |
| JP2013517688A5 (zh) | ||
| EP2909964A1 (en) | Method and apparatus for providing secure communications based on trust evaluations in a distributed manner | |
| US11375065B2 (en) | Control information for public switched telephone network (PSTN) using blockchain system | |
| US10158993B2 (en) | Wireless communications | |
| CN114338618A (zh) | 多方通话的方法、系统、会议服务器以及电子设备 | |
| CN104753872A (zh) | 认证方法、认证平台、业务平台、网元及系统 | |
| CN110610418B (zh) | 基于区块链的交易状态查询方法、系统、设备及存储介质 | |
| Razaque et al. | Secure and quality-of-service-supported service-oriented architecture for mobile cloud handoff process | |
| KR102269753B1 (ko) | 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치 | |
| CN101364866A (zh) | 一种基于多个密钥分配中心的实体密话建立系统及其方法 | |
| CN113420336B (zh) | 一种分布式预言机实现方法及系统 | |
| CN112615721B (zh) | 一种基于区块链的空间信息网络的访问接入认证以及权限管理控制流程方法 | |
| CN112906032B (zh) | 基于cp-abe与区块链的文件安全传输方法、系统及介质 | |
| CN111581673B (zh) | 一种sap电子签章方法及系统 | |
| CN104717235B (zh) | 一种虚拟机资源检测方法 | |
| KR102601748B1 (ko) | 보안 그룹 통화를 위한 장치 및 방법 | |
| CN114222290A (zh) | 通信方法、装置、设备及存储介质 | |
| WO2024012529A1 (zh) | 密钥管理方法、装置、设备及存储介质 | |
| WO2022032525A1 (zh) | 一种组密钥分发方法及装置 | |
| KR20110029694A (ko) | Ims망에서 보안 관리 서비스 제공 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |