用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法

摘要

一种用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法。本发明的任务在于通过合适的措施改善用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法，使得该通信的安全水平得以提高，而且经过改善的方法在此叠加在现有的方法上。为了解决该任务，根据本发明在用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法中，从验证和密钥推导协议中确定至少一个第一参数。此外第二通信用户以机密方式将附加参数传送给第一通信用户，使得该传送的机密性与验证和密钥推导协议无关地得到保证。最后从第一参数和附加参数中确定安全密钥。

说明书

技术领域

本发明涉及一种用于协商至少一个第一通信用户和第二通信用户 之间的安全密钥以保护通信连接的安全的方法以及计算机程序产品。

背景技术

对于第三代移动无线系统来说，由3GPP规范公开了一种方法， 根据该方法从用户和网络运营商之间的长期安全关系中推导出用户和 通信网络设备之间的短期安全关系。该长期的安全关系基于长期保密 的密文密钥，该密文密钥存储在用户的安全模块即所谓的UMTS-SIM 卡(技术上更确切的说法：在UICC卡上的USIM应用)以及存储在 网络运营商的验证中心。从该长期的密钥中通过所谓的GBA方法 (GBA＝Generic Bootstrapping Architecture，通用自引导架构)推导 出短期的密钥Ks，其中在终端设备(UE＝User Equipment，用户设 备)、通信网络中的计算单元(BSF＝Bootstrapping Server Function， 自引导服务器功能)以及通信网络用户系统(HSS＝Home Substriber Server，家庭预定服务器)之间交换消息。为了保护用户的移动通信终 端设备和另一个通信网络设备(NAF＝Network Application Function， 网络应用功能)之间的通信，在将另一个密钥推导功能用作Ks_NAF 的条件下采用该短期密钥。在3G TS 33.220中规定的GBA方法基于 UMTS AKA协议(AKA＝Authentication and Key Agreement，验证和 密钥协商)。该协议规定在3G TS 33.220中，并强制地成为在用户那 里具有USIM应用的前提。UMTS AKA协议在此以安全的方式产生分 别具有长度128位的会话密钥CK和IK。如在TS33.220中规定的，从 会话密钥CK和IK中推导出用于保护用户的移动通信终端设备和通信 网络设备之间的通信的短期密钥。

但是按照UMTS标准的移动通信终端设备的推广还远不如按照 GSM标准的移动通信终端设备的推广那样先进。因此即使是每个GSM 移动无线电话中使用的SIM卡也比仍然很少遇到的UMTS-SIM卡更 为广泛。但是对于GSM网络运营商来说很感兴趣的是为GSM用户提 供移动通信终端设备和通信网络设备之间的安全连接。因此名称为2G GBA的当前标准化项目的目标是，定义用于保护通信的相应于GBA 的方法，该方法采用SIM卡或者UICC卡上的SIM应用以及GSM协 议来代替UMTS-SIM卡和UMTS AKA协议。

紧跟该项目的原因是，期待未来的2G GBA方法不必为了移动通 信终端设备与通信网络设备的安全通信的目的来建立与用户之间的新 的长期安全关系。因此应当避免必须向用户分配新的UMTS-SIM 卡，这总是为网络运营商带来很高的成本。因此应当在UICC卡上继 续使用用户那里现有的SIM卡或SIM应用，由此可以利用用户和网络 运营商之间业已存在的关系。

在此的问题是，GSM AKA协议提供的安全性明显比UMTS AKA 协议更低。此外通过GSM AKA协议产生的会话密钥对于很多目的来 说显得太短(最大为64位)。此外该会话密钥由不安全的算法使用， 例如GSM加密算法A5/1和A5/2。因此存在这些会话密钥被攻击者了 解以及由此2G GBA方法的安全性可能完全丧失的危险。

发明内容

因此本发明要解决的技术问题是，采用GSM AKA协议和SIM通 过尽可能少的修改来扩大由第三代移动无线系统公知的GBA方法，使 得相对于GSM AKA协议来说在移动通信终端设备和通信网络设备通 信时的安全水平得到进一步提高。

本发明的另一个要解决的技术问题是通过合适的措施改善用于协 商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信 连接的安全的方法，使得该通信的安全水平得以提高，而且经过改善 的方法在此叠加在现有的方法上。

根据本发明，该技术问题通过具有在权利要求1和20中给出的特 征的方法和计算机程序产品来解决。本发明的优选扩展在从属权利要 求中给出。

根据本发明，在用于协商至少一个第一通信用户和第二通信用户 之间的安全密钥以保护通信连接的安全的方法中，从验证和密钥推导 协议中确定至少一个第一参数。此外第二通信用户以机密方式将附加 参数传送给第一通信用户，使得该传送的机密性与验证和密钥推导协 议无关地得到保证。最后从第一参数和附加参数中确定安全密钥。

根据本发明的实施方式，所述附加参数是随机数，或者是随机数 与其它数据组成的序列。

根据本发明的另一实施方式，包含在附加参数中的随机数是确定 第一参数的验证和密钥推导协议的组成部分。

根据本发明的另一实施方式，第一通信用户实施为通信终端设 备，第二通信用户实施为通信网络设备。

根据本发明的优选扩展，第二通信用户相对于第一通信用户通过 具有公开密钥的证书得到验证。

根据本发明的优选扩展，第一通信用户相对于第二通信用户通过 推导出第一参数的验证和密钥推导协议得到验证。

根据本发明的优选扩展，第一通信用户相对于第二通信用户借助 专门管理通信网络的用户的第三通信用户得到验证。

根据本发明的优选变形，第一通信用户实施为按照3GPP移动无 线规范的用户设备，第二通信用户实施为按照3G TS 33.220移动无线 规范的自引导服务器功能(Bootstrapping Server Function)，第三通 信用户实施为按照3G TS 33.220移动无线规范的家庭预定系统。

根据本发明的优选变形，为了秘密地传送附加参数，作为安全协 议采用按照RFC 2246规范的传输层安全协议，或者具有按照RFC 3546 规范的扩展的传输层安全协议。

根据本发明的优选变形，所述验证和密钥推导协议用于按照3G TS 43.020移动无线规范确定所述第一参数。

根据本发明的优选变形，以合适的方式用按照RFC 3310规范为 HTTP摘要AKA(HTTP Digest AKA)(验证和密钥协商)定义的字 段来传送用于确定第一参数的所述验证和密钥推导协议的参数。

根据本发明的另一实施方式，按照TS 33.220规范来进行所述参数 的传输。

根据本发明的另一实施方式，以合适的方式用按照RFC3310规范 为HTTP摘要AKA(验证和密钥协商)定义的字段来传送所述附加参 数。

根据本发明的另一实施方式，所述字段包括“RAND(边界)”和 “服务器专用数据”。

在执行本发明的用于协商至少一个第一通信用户和第二通信用户 之间的安全密钥以保护通信连接的安全的计算机程序产品时，从验证 和密钥推导协议中确定至少一个第一参数。此外第二通信用户以机密 方式将附加参数传送给第一通信用户，使得该传送的机密性与验证和 密钥推导协议无关地得到保证。当控制程序在程序执行控制设备中执 行时，从第一参数和附加参数中确定安全密钥。

附图说明

下面借助附图详细解释实施例。

图1示出参与自引导方法的实体的示意性网络模型以及在实体之 间使用的参考点，

图2示意性示出具有2G验证向量的自引导方法。

具体实施方式

在用户设备(UE)101和网络应用功能(NAF)103之间的通信可 以开始之前，UE和NAF首先必须就是否想要执行按照通用自引导架 构(GBA)的过程达成共识。在第一步骤中，UE101开始与NAF103 通过参考点Ua102进行通信而无需任何GBA相关参数。如果NAF需 要使用通过GBA方法获得的密钥，但是通过UE的查询不包含GBA 相关参数，则NAF用自引导初始化消息应答。

如果UE101希望与NAF103互动，并且知道将进行自引导过程， 则UE101首先应当进行自引导验证。但是UE应当仅在已经从NAF获 得了关于必要的自引导初始化的消息或者获得了要进行自引导重新协 商的请求之后，或者仅在UE中的密钥Ks的运行时间结束之后才进行 自引导验证。

为此UE201通过参考点Ub105(参见图1)向自引导服务器功能 (BSF)202发送HTTPS请求204。该引起初始化的HTTPS请求和 UE与BSF之间的其它所有通信都通过受保护的传输层安全(TLS)信 道发送出去。在建立该TLS信道时，UE通过由BSF提供的证书来验 证BSF。UE在此检查“REALM”属性是否包含与在BSF提供的证书 中包含的相同的完全合格域名(Fully Qualified Domain Name， FQDN)。

BSF202通过参考点Zh(参见图1，104)向家庭预定系统(HSS) 请求验证向量和GBA用户安全设置(GUSS)205。HSS通过Zh参考 点返回GBA用户安全设置(GUSS)的完整集合以及2G验证向量(AV ＝RAND，SRES，Kc)205。通过AV类型，BSF知道UE配备了2G SIM。BSF将3G验证向量(RAND，Kc，SRES)转换为伪3G验证 向量的参数RAND_UMTS、RES_UMTS和AUTN_UMTS。在此不需要转换为 3G验证向量的会话密钥CK和IK：

-RAND_UMTS＝RAND

-RES_UMTS＝KDF(密钥，“3GPP-GBA-RES”‖SRES)，缩减为 128位

-AUTN_UMTS＝KDF(密钥，“3GPP-GBA-AUTN”‖RAND)，缩 减为128位，其中密钥＝Kc‖Kc‖RAND，KDF是在TS33.220的附件B 中规定的密钥推导功能。在此“缩减为128位”意思是，从KDF的256 个输出位中选择号码为1至127的128位。

BSF还必须选择随机数“Ks输入”，并在HTTP摘要AKA的字 段“aka-nonce(aka目前)”中设置服务器专用数据＝Ks输入。

为了请求UE自我验证，BSF在“401”消息206中向UE传递服 务器专用数据(即Ks输入)RAND_UMTS和AUTN_UMTS。

UE从该消息中提取出RAND并计算对应的Kc和SRES值207。 接着，UE从这些值中计算出伪3G验证向量参数RAND_UMTS、RES_UMTS和AUTN_UMTS。UE将所计算的AUTN_UMTS与BSF所获得的对应值相比 较。如果这些值不一致，则UE中断所述过程。

UE向BSF208发送具有摘要AKA应答的另一个HTTP请求，其 中将RES_UMTS用作密码。

BSF通过验证摘要AKA应答209来验证UE。如果该验证是错误 的，则BSF不应当在后续通信中继续使用该验证向量。

BSF通过计算Ks＝KDF(密钥‖Ks输入，“3GPP-GBA-Ks”‖SRES) 来产生密钥材料Ks210。自引导事务标识符(B-TID)值应当用NAI 格式通过引入对基站64编码的RAND_UMTS值以及BSF服务器名产生， 如Base64encode(RAND_UMTS)@BSF_Servers_Domain_Name。

BSF将200 OK消息连同B-TID一起发送给UE211，以确认验证 已进行。此外，BSF还在200 OK消息中传送密钥Ks的运行时间。

UE按照与BSF212相同的方式产生密钥材料Ks。

UE和BSF都将密钥材料Ks用于推导密钥材料Ks_NAF，以保护 参考点Ua。Ks_NAF通过Ks_NAF＝KDF(Ks，密钥推导参数)来计算， 其中KDF是在附件B中规定的密钥推导功能，而且密钥推导参数由用 户IMPI、NAF_ID和RAND_UMTS组成。NAF_ID由NAF的全DNS 名组成。为了保证在UE和BSF中基于NAF名进行一致的密钥推导， 应当满足下面三个前提条件中的至少一个：

1.NAF在DNS中仅以一个域名(FQDN)公知，因此不应当有两 个不同的域名指向NAF的IP地址。这通过管理措施来实现。

2.NAF的每个DNS项都指向不同的IP地址。NAF对所有这些 IP地址进行应答。每个IP地址通过NAF配置与对应的FQDN关联。 NAF可以借助该IP地址识别出应当将哪个FQDN用于密钥推导。

3.参考点Ua使用将主机名一起传送给NAF的协议。这迫使NAF 检查该主机名的有效性，以便在与UE的所有通信中都使用该名称，如 果设置了UE的话，并且将该名称传送给BSF，以保证密钥材料Ks_NAF 的正确推导。

UE和BSF应当将密钥Ks连同所属的B-TID一起存储，直到密钥 Ks的运行时间结束为止或者直到更新密钥Ks为止。

如果密钥Ks_NA是为对应的密钥推导参数NAF_ID存在的，则 UE和NAF可以通过参考点Ua开始安全的通信。

目前对这样的2G GBA方法公知有两种解决方案，它们在相关标 准化组3GPP SA3的Nokia文献S3-050053和Qualcomm文献S3-050097 中介绍。

Nokia文献S3-050053解决了短期GSM会话密钥Kc的问题，其中 该文献对2G GBA方法的一个实例使用GSM AKA协议的多个实例， 即所谓的GSM三元组(GSM Triplets)。由此获得多个会话密钥Kc， 然后将这些会话密钥组合成足够长的短期密钥。GSM AKA协议在此用 于用户相对于网络的验证、网络相对于用户的验证以及用于协商会话 密钥。作为GSM AKA协议的载体协议，采用按照RFC3310规范的 HTTP摘要AKA协议，其中通过转换功能适当匹配GSM AKA协议的 参数。

Qualcomm文献S3-050097采用Diffie Hellman方法来用于会话密 钥的协商。网络相对于用户的验证基于通过Diffie Hellman方法的参数 来使用证书和数字签名。GSM AKA协议只用于用户相对于网络的验 证，其中GSM密钥Kc用于通过Diffie Hellman方法的参数来形成消 息验证代码(MAC)。

相应地，本发明根据该实施例按照以下方式来解决上述问题：

本发明的方法采用按照规范RFC3310的HTTP摘要AKA协议作 为GSM AKA协议的载体协议，其中GSM AKA协议的参数通过合适 的转换功能得到匹配。在此每个2G GBA实例只使用GSM AKA协议 的一个实例。此外，在移动通信终端设备和BSF之间建立按照RFC2246 规范的传输层安全连接(TLS)。在该TLS连接中启动强大的加密。 BSF相对于移动通信终端设备的验证在建立TLS连接时基于证书地进 行。但是移动通信终端设备在建立TLS连接时没有经过验证。移动通 信终端设备相对于BSF的验证是通过采用嵌入HTTP摘要AKA协议 中的GSM AKA来进行的。

由此给出以下有利效果：短期密钥的安全性根据本发明的方法既 基于GSM的安全性又基于TLS的安全性。仅当两个方法GSM和TLS 都在具体的使用环境中崩溃，或者可以对GSM进行难以进行的攻击， 使得GSM方法在这里描述的自引导方法运行期间崩溃时，该安全性才 会丧失。

在通过密钥推导功能计算短期密钥时使用从GSM协议获得的参 数Kc和SRES(签名响应)和随机数，它们通过TLS加密保护地作为 HTTP摘要AKA协议的一部分从BSF秘密地传送给移动通信设备。这 些随机数例如可以在按照RFC3310规范的字段“AKA-NONCE”中， 既作为Challenge RAND也作为“服务器专用数据”的一部分传输。

通过本发明方法所提出的措施，尤其是给出以下优点：

-为了找到所推导出的短期密钥，攻击者必须既找到GSM参数 Kc和SRES，又找到秘密地通过TLS传输的随机数，也就是说攻击者 必须既攻击GSM方法又攻击TLS方法的使用。由此明显提高了抵制 攻击的安全性。

-相对于在S3-050053中的建议，所推导出的短期密钥的有效长度 通过采用随机数Ks输入作为附加参数的一部分而得到了显著提高，该 附加参数不是GSM AKA的组成部分。由此再次提高了抵制攻击的安 全性。

-每个2G GBA实例只需要采用唯一的一个GSM AKA实例。与 S3-050053中的建议相比，这导致GSM验证中心上的负荷明显降低。

-对于S3-050053中的建议的安全性，通常需要可靠地防止攻击者 每次重新在另一个明文中使用在2G GBA中采用的GSM三元组。本来 由此例如可以通过攻击加密算法A5/1或A5/2确定参数Kc和SRES， 并由此确定2G GBA的短期密钥。但是这在实践中是非常难以实现的。 相反，对在此所述的方法的攻击仅在攻击者在2G GBA的协议运行过 程中能确定GSM参数Kc和SRES时才可以。但是根据目前的知识水 平这在几秒的时间内仅对算法A5/2才可以，但是该算法不再被允许用 于支持2G GBA的终端设备。因此所提出的方法不仅明显比S3-050053 中的建议更实用，而且还提高了安全性。

-相对于S3-050097中的建议的另一个优点是：本发明的安全性基 于多个独立的因素。尤其是UE还可以通过比较所计算的和所接收的 AUTN_UMTS来验证BSF。相反，Qualcomm建议的安全性只是基于借助 证书对BSF的安全验证。

文献：

3G S3-050053参见

ftp://ftp.3gpp.org/TSG_SA/WG3_Security/TSGS3_37_Sophia/Docs/ 3G S3-050097参见

ftp://ftp.3gpp.org/TSG_SA/WG3_Security/TSGS3_37_Sophia/Docs/ 3G TS 33.220 v6.4.0参见fttp://ftp.3gpp.org/Specs/

3G TS 33.102 v6.3.0参见fttp:/ftp.3gpp.org/Specs/

3G TS 43.020 v6.1.0参见fttp://ftp.3gpp.org/Specs/

RFC 3310参见http://www.ietf.org/rfc.html

RFC 2246参见http://www.ietf.org/rfc.html