ES2320659T3 - Procedimiento para formar y distribuir claves criptograficas en un sistema de telefonia movil y sistema de telefonia movil. - Google Patents

Procedimiento para formar y distribuir claves criptograficas en un sistema de telefonia movil y sistema de telefonia movil. Download PDF

Info

Publication number
ES2320659T3
ES2320659T3 ES04712042T ES04712042T ES2320659T3 ES 2320659 T3 ES2320659 T3 ES 2320659T3 ES 04712042 T ES04712042 T ES 04712042T ES 04712042 T ES04712042 T ES 04712042T ES 2320659 T3 ES2320659 T3 ES 2320659T3
Authority
ES
Spain
Prior art keywords
key
computer
cryptographic
authentication
cryptographic key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES04712042T
Other languages
English (en)
Inventor
Gunther Horn
Dirk Kroselberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Application granted granted Critical
Publication of ES2320659T3 publication Critical patent/ES2320659T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procedimiento para formar y distribuir claves criptográficas (318, 322) en un sistema de telefonía móvil (100) que presenta al menos un aparato terminal de telefonía móvil (103), un primer ordenador (113), un ordenador de una red de comunicaciones de lugar de origen (109), así como un segundo ordenador (106, 107), conteniendo el aparato terminal de telefonía móvil (103) y el ordenador de la red de comunicaciones del lugar de origen (109), como resultado de una autentificación, material de claves de autentificación (313, 314), caracterizado porque el aparato terminal de telefonía móvil (103) y el ordenador de la red de comunicaciones del lugar de origen (109) forman en cada caso, utilizando el material de claves de autentificación (312), una primera clave criptográfica (318) y una segunda clave criptográfica (322), la primera clave criptográfica (318) se transmite al primer ordenador (113) y la segunda clave criptográfica (322) se transmite al segundo ordenador (106), la primera clave criptográfica (318) y la segunda clave criptográfica (322) están formadas tal que a partir de la primera clave criptográfica (318) no puede sacarse ninguna conclusión relativa a la segunda clave criptográfica (322), a partir de la segunda clave criptográfica (322) no puede sacarse ninguna conclusión relativa a la primera clave criptográfica (318), a partir de la primera clave criptográfica (318) o de la segunda (322) clave criptográfica no puede sacarse ninguna conclusión relativa al material de claves de autentificación (312, 314), la primera y la segunda claves criptográfica se utilizan en el marco de la comunicación entre el aparato terminal de telefonía móvil y el primer o bien segundo ordenador.

Description

Procedimiento para formar y distribuir claves criptográficas en un sistema de telefonía móvil y sistema de telefonía móvil.
La invención se refiere a un procedimiento para formar y distribuir claves criptográficas en un sistema de telefonía móvil, así como a un sistema de telefonía móvil.
En el marco del Universal Mobile Telecommunications System (UMTS, sistema universal de telecomunicaciones móviles) se desarrollan servicios multimedia basados en Internet, para mejorar las posibilidades de utilización del sistema de telefonía móvil UMTS y abrir campos de aplicación adicionales.
Como una plataforma para servicios multimedia basados en Internet para un sistema de telefonía móvil, se estandarizó en el 3GPP (3rd Generation Partnership Project, proyecto de partenariado de la tercera generación) un llamado IP-based Multimedia Subsystem (IMS), subsistema multimedia basado en IP, que se describe en UMTS versión 5 - Arquitectura.
Cuando un aparato terminal de telefonía móvil de un abonado de telefonía móvil se anuncia en una red de comunicaciones en un sistema de telefonía móvil con IMS, para utilizar servicios multimedia basados en Internet, entonces se realiza para el aparato terminal de telefonía móvil una autentificación según el estándar 3GPP descrito en [1] correspondiente al IMS-Authentication and Key-Agreement-Protocol, protocolo de autentificación IMS y acuerdo sobre claves (protocolo IMS-AKA).
Según el protocolo IMS-AKA, se autentifican mutuamente el aparato terminal de telefonía móvil y la red de comunicaciones en cuya zona se encuentra en ese momento el aparato terminal de telefonía móvil y se generan dos claves criptográficas, la llamada clave de integridad y la llamada clave de transmisión. La clave de integridad se utiliza según UMTS, versión 5, para proteger la señalización IMS entre el aparato terminal de telefonía móvil y un ordenador de la red de comunicaciones visitada (Visited Network). El ordenador de la red de comunicaciones visitada está equipado como Call State Control Function-Computer (CSCF-computer) u ordenador de la función de control del estado de las llamadas y se le denomina Proxy-CSCF-Computer (P-CSCF-Computer). La clave de transmisión está prevista para la codificación, es decir, para la protección de la confidencialidad de los datos intercambiados.
Adicionalmente a la protección de los mensajes de señalización IMS puros utilizando la clave de integridad, puede estar previsto que entre un ordenador servidor de aplicaciones y el aparato terminal de telefonía móvil se deban intercambiar mensajes electrónicos adicionales de manera confidencial en el marco de la puesta a disposición de servicios basados en IP.
Un ordenador servidor de aplicaciones en el lado de la red es en el marco de esta descripción en particular un ordenador que ofrece servicios correspondientes a servicios previstos en la capa de aplicación (capa OSI 7), preferiblemente multimedia, y que comunica según un protocolo de la capa 7, es decir, un protocolo de la capa de aplicación. Por ejemplo puede estar equipado el ordenador servidor de aplicaciones como un ordenador servidor HTPP (Hypertext Transfer Protocol, protocolo de transferencia de hipertexto) y comunicar con el aparato terminal de telefonía móvil según el protocolo HTTP.
Más allá de la funcionalidad básica del IMS, se utilizan ordenadores servidores de aplicaciones, por ejemplo para la administración de ajustes de usuario por el lado de la red y para la memorización y gestión de datos de perfiles relativos a los abonados del sistema de telefonía móvil.
Ejemplos de tales aplicaciones entre usuarios móviles (en particular los de un sistema de telefonía móvil IMS) y ordenadores servidores de aplicaciones en la red de comunicaciones que utilizan el protocolo HTTP son:
\bullet
Listas de acceso en servidores de presencia (Presence Server) con los que es posible utilizar información de posición sobre la posición actual de un aparato terminal de telefonía móvil dentro del sistema de telefonía móvil (por ejemplo datos GPS),
\bullet
Listas Buddy de aplicaciones Chat, es decir, listas de abonados admitidos para una aplicación Chat,
\bullet
Servicios de gestión de grupos, así como
\bullet
Ajustes para conferencias electrónicas multimedia.
Como ejemplo adicional de una tal aplicación merece mencionarse que los enlaces multicast (multidifusión) se establecen entre un aparato terminal de telefonía móvil y entre un centro de servicios multicast, utilizando un sistema IMS.
Para asegurar criptográficamente los protocolos utilizados entre el aparato terminal de telefonía móvil y el ordenador servidor de aplicaciones, deben estar protegidos los correspondientes mensajes, por ejemplo en cuanto a autentificación, integridad de datos y/o confidencialidad de los datos.
En función del escenario de utilización concreto y del protocolo de la capa de aplicación utilizado, se usan distintos protocolos de seguridad para asegurar el protocolo de la capa de aplicación, por ejemplo
\bullet
para el HTTP el protocolo de seguridad HTTP-Digest (compendio HTTP), el protocolo TLS (Transport Layer Security Protocol, protocolo de seguridad de la capa de transporte) o WTLS (Wireless Transport Layer Security Protocol, protocolo de seguridad de la capa de transporte inalámbrico), así como
\bullet
para la distribución de claves en enlaces de comunicaciones multicast MIKEY (Multimedia Internet KEYing, gestión de claves multimedia en Internet).
\vskip1.000000\baselineskip
En todos los protocolos criptográficos de la capa de aplicación es necesario que los interlocutores de comunicación que participan, en particular el aparato terminal de telefonía móvil y el ordenador servidor de aplicaciones, es decir, el ordenador servidor de aplicaciones en la red de comunicaciones, dispongan de un material secreto de claves, es decir, de claves secretas, que ya está disponible al comienzo del envío del primer mensaje electrónico asegurado.
En el caso del IMS, se basa la infraestructura de claves en claves simétricas, que se utilizan para la autentificación de los usuarios IMS en el marco del registro IMS, es decir, en el marco del protocolo de autentificación e intercambio de claves descrito en [1].
Tal como se describe en [1], se registra un aparato terminal de telefonía móvil en el IMS para una sesión de comunicación IMS en su red de comunicaciones de lugar de origen (Home Network) en el ordenador previsto para ello, que también se denomina S-SCSF-Computer (Serving Call State Control Function-Computer, ordenador servidor de la función de control del estado de las llamadas).
La comunicación se realiza utilizando un ordenador local Proxy, el ordenador P-CSCF antes descrito, en la red de comunicaciones visitada, que representa el primer punto de contacto IMS para el aparato terminal de telefonía móvil y con ello para el abonado móvil.
La autentificación según [1] se realiza entre el aparato terminal de telefonía móvil y el ordenador S-CSCF con la participación de un llamado ordenador HSS (Home Subscriber Server-Computer, ordenador servidor del abonado de lugar de origen). En el marco de la autentificación se generan en el aparato terminal de telefonía móvil y en el ordenador HSS la clave de integridad y la clave de transmisión y se transmiten de forma criptográficamente asegurada al ordenador S-CSCF.
El ordenador S-CSCF transmite la clave de integridad criptográficamente asegurada al ordenador P-CSCF. La protección de integridad y la autenticidad de los siguientes mensajes de señalización referidos a IMS, queda garantizada localmente entre el aparato terminal de telefonía móvil y el ordenador P-CSCF y se basa en la clave de integridad. Según UMTS versión 5, no se utiliza actualmente, pero está planificado, introducir en futuras versiones del estándar UMTS (versión 6 y estándares siguientes) la clave de transmisión para la protección adicional de la confidencialidad de los datos transmitidos.
Resulta un problema cuando se utiliza la clave de transmisión y la clave de integridad que se forman como claves de sesión procedentes de una autentificación IMS-AKA y generación de claves, también para el aseguramiento de otras aplicaciones distintas de la señalización IMS.
El aparato terminal de telefonía móvil y la red de comunicaciones del lugar de origen, dicho de otra forma, el usuario y el operador de la red de comunicaciones del lugar de origen, se consideran como dignos de confianza mutuamente.
Desde luego, recibe la red de comunicaciones visitada (en el caso de roaming; en el caso de no-roaming esto corresponde a la red de comunicaciones del lugar de origen) la clave de integridad y la clave de transmisión. Si recibiese un ordenador servidor de aplicaciones igualmente la clave de integridad y la clave de transmisión, entonces el ordenador servidor de aplicaciones estaría teóricamente en condiciones de comprometer la seguridad de la señalización IMS entre el aparato terminal de telefonía móvil y la red de comunicaciones visitada. A la inversa, estaría la red de comunicaciones visitada, es decir, un ordenador de la red de comunicaciones visitada, en condiciones de comprometer la seguridad de la comunicación entre el aparato terminal de telefonía móvil y el ordenador servidor de aplicaciones cuando la misma se basase directamente en la clave de integridad o en la clave de transmisión.
También para el caso de que un aparato terminal de telefonía móvil desease comunicar simultáneamente con varios ordenadores servidores de aplicaciones, sería deseable, y a menudo incluso necesario, que no fuese posible obtener a partir de la clave criptográfica, que recibe el correspondiente ordenador servidor de aplicaciones, conclusiones relativas a la clave criptográfica que recibe otro ordenador servidor de aplicaciones.
Un principio posible para resolver el problema antes descrito es que tanto en la red de comunicaciones del lugar de origen como también en el aparato terminal de telefonía móvil del usuario se realice una derivación de una nueva clave criptográfica a partir de la clave de integridad y/o de la clave de transmisión. Un ordenador servidor de aplicaciones obtiene la clave criptográfica derivada y no conoce la clave de integridad ni la clave de transmisión, bajo la hipótesis de que la función criptográfica utilizada para la derivación de la clave no permita conclusiones razonables relativas a la clave de identidad y/o a la clave de transmisión para el ordenador servidor de aplicaciones.
El problema que resulta aplicando este principio es que se necesita una función de derivación de claves, que no ha de ser realizada por el ordenador de la red de comunicaciones visitada. Un llamado Keyed-Hash (hash codificado), que utiliza por ejemplo como parámetro de entrada la clave de integración o la clave de transmisión y como valor aleatorio el parámetro aleatorio generado en el marco de la autentificación realizada según [1], puede ser calculado igualmente por el ordenador en la red de comunicaciones visitada.
Un nuevo parámetro aleatorio que hubiera sido acordado entre el aparato terminal de telefonía móvil del usuario y la red de comunicación del lugar de origen a fin de derivar la clave, sólo se lograría mediante una modificación de los protocolos de comunicaciones y seguridad existentes, es decir, mediante una modificación por ejemplo en el protocolo IMS-AKA o en la comunicación entre el ordenador S-CSCF y el ordenador HSS.
No obstante, una tal modificación debe evitarse, ya que una modificación de los estándares de comunicación o de los estándares de seguridad existentes no puede realizarse de manera sencilla, siendo muy costosa.
Una visión general de los mecanismos de seguridad previstos en el estándar UMTS versión 5, puede encontrarse en [2].
Las funciones de autentificación de mensajes y las funciones de generación de claves utilizadas en el marco del protocolo IMS-AKA se describen en [3] y [4]. Además se describe en [4] una función de codificación de bloques denominada función de Rijndael.
Una visión general de las distintas funciones de derivación de claves puede encontrarse en [5].
Otro procedimiento de derivación de claves se describe en [6].
Por el documento EP 1 156 694 A1 se conoce un aparato de comunicaciones por radio, así como un procedimiento para la comunicación por radio, que permiten a un aparato móvil garantizar una función de codificación así como de integridad en las capas de transmisión de datos dos o más elevadas. Para ello presenta el aparato terminal móvil una unidad de procesamiento de codificación o bien de integridad que está conectada entre una unidad de control de comunicaciones por radio y una unidad de conexión. Entonces realiza la unidad de procesamiento de integridad de la codificación sólo un procesamiento de la codificación con los llamados datos transparentes, como por ejemplo datos de voz, que se transmiten entre la unidad de conexión y la unidad de comunicaciones por radio. Además, realiza la unidad de procesamiento de integridad de codificación una codificación y/o un procesamiento de integridad con datos no transparentes, que se transmiten hacia y desde el equipo de control de comunicaciones por radio.
La invención tiene como problema básico aumentar la seguridad criptográfica en un sistema de telefonía móvil.
El problema se resuelve mediante el procedimiento para formar y distribuir claves criptográficas en un sistema de telefonía móvil y mediante el sistema telefonía móvil con las características según las reivindicaciones independientes.
Un procedimiento para formar y distribuir claves criptográficas en un sistema telefonía móvil se basa en al menos un sistema de telefonía móvil con un aparato terminal de telefonía móvil, un primer ordenador, preferiblemente un ordenador de una red de comunicaciones visitada (Visited Network), así como al menos un segundo ordenador, preferiblemente equipado como ordenador servidor de aplicaciones. El aparato terminal de telefonía móvil, de los que al menos hay uno, se encuentra preferiblemente en la zona de la red de comunicaciones visitada y se ha autentificado respecto a la red de comunicaciones del lugar de origen y a la red de comunicaciones visitada. Es de señalar en este contexto que la red de comunicaciones visitada y la red de comunicaciones del lugar de origen pueden ser idénticas. En el marco de la autentificación se constituyó material de claves de autentificación, que está disponible y memorizado en el aparato terminal de telefonía móvil y en el ordenador de la red de comunicaciones de lugar de origen. En el procedimiento forman el aparato terminal de telefonía móvil y el ordenador de la red de comunicaciones del lugar de origen, en cada caso utilizando el material de claves de autentificación, una primera clave criptográfica y una segunda clave criptográfica. De esta manera se encuentran en el aparato terminal de telefonía móvil y en el ordenador de la red de comunicaciones de lugar de origen en cada caso la primera clave y la segunda clave disponibles y memorizadas.
Alternativamente, el primer y el segundo ordenador pueden estar equipados ambos como ordenador servidor de aplicaciones.
La primera clave criptográfica se transmite, preferiblemente desde el ordenador de la red de comunicaciones del lugar de origen (alternativamente desde el aparato terminal de telefonía móvil), al primer ordenador, preferiblemente por lo tanto al ordenador de la red de comunicaciones visitada. Además, se transmite la segunda clave criptográfica al segundo ordenador, preferiblemente al ordenador servidor de aplicaciones, preferiblemente desde el ordenador de la red de comunicaciones del lugar de origen, y alternativamente desde el aparato terminal de telefonía móvil.
Un sistema de telefonía móvil presenta al menos un aparato terminal de telefonía móvil en el que está memorizado, como resultado de una autentificación entre el aparato terminal de telefonía móvil y un ordenador de una red de comunicaciones del lugar de origen del aparato terminal de telefonía móvil, material de claves de autentificación. Además, presenta el sistema de telefonía móvil un primer ordenador, preferiblemente un ordenador de una red de comunicaciones visitada, así como un ordenador de la red de comunicaciones del lugar de origen. En el ordenador de la red de comunicaciones del lugar de origen está memorizado material de claves de autentificación, igualmente como resultado de la autentificación del aparato terminal de telefonía móvil en la red de comunicaciones del lugar de origen. Además, está previsto en el sistema de telefonía móvil al menos un segundo ordenador, preferiblemente equipado como ordenador servidor de aplicaciones. El aparato terminal de telefonía móvil se encuentra en la red de comunicaciones visitada. El aparato terminal de telefonía móvil y el ordenador de la red de comunicaciones del lugar de origen presentan respectivas unidades criptográficas para la correspondiente formación de una primera clave criptográfica y de una segunda clave criptográfica utilizando el material de claves de autentificación. El ordenador de la red de comunicaciones visitada presenta además una memoria para memorizar la primera clave criptográfica, que se ha transmitido al ordenador desde el aparato terminal de telefonía móvil o desde el ordenador de la red de comunicaciones del lugar de origen. Además, presenta el ordenador servidor de aplicaciones una memoria para memorizar la segunda clave criptográfica que ha sido transmitida al ordenador servidor de aplicaciones desde el aparato terminal de telefonía móvil o el ordenador de la red de comunicaciones del lugar de origen.
Evidentemente puede considerarse que la invención consiste en que el material de claves de autentificación formado en el marco de la autentificación no se transmite directa y completamente a los ordenadores servidores de aplicaciones y al ordenador de la red de comunicaciones visitada, sino que a partir de al menos una parte del material de claves de autentificación se derivan claves de sesión, que se utilizan en el marco de la comunicación posterior entre el aparato terminal de telefonía móvil y los ordenadores servidores de aplicaciones o bien el ordenador de la red de comunicaciones visitada, por ejemplo para la codificación de datos a asegurar. De esta manera queda garantizada la seguridad criptográfica en el marco de la comunicación entre el aparato terminal de telefonía móvil y el correspondiente ordenador servidor de aplicaciones frente a un ataque por parte del ordenador en la red de comunicaciones visitada y además queda asegurada la comunicación entre el aparato terminal de telefonía móvil y el ordenador de la red de comunicaciones visitada frente a ataques por parte del ordenador servidor de aplicaciones, ya que el ordenador servidor de aplicaciones y el ordenador de la red de comunicaciones visitada tienen respectivas claves, que no son adecuadas para sacar conclusiones respecto a la otra clave en cada caso y con ello permitir una decodificación de los datos codificados con la clave correspondiente de la otra instancia.
La seguridad criptográfica aumentada se logra en el marco de la invención sin que sea necesario modificar el protocolo estandarizado en el marco de la UMTS.
Perfeccionamientos preferentes de la invención resultan de las reivindicaciones subordinadas.
Las siguientes configuraciones de la invención se refieren tanto al procedimiento para formar y distribuir claves criptográficas en un sistema de telefonía móvil como también al sistema de telefonía móvil.
La primera clave criptográfica y la segunda clave criptográfica se forman según una configuración de la invención utilizando una función de derivación de claves.
Según la invención está previsto que la primera clave criptográfica y la segunda clave criptográfica se formen tal que
\bullet
a partir de la primera clave criptográfica no sea posible ninguna conclusión relativa a la segunda clave criptográfica,
\bullet
a partir de la segunda clave criptográfica no sea posible ninguna conclusión relativa a la primera clave criptográfica, y
\bullet
a partir de la primera clave criptográfica o de la segunda clave criptográfica no sea posible ninguna conclusión relativa al material de claves de autentificación.
El material de claves de autentificación puede presentar al menos dos claves criptográficas por ejemplo para el caso de que el sistema de telefonía móvil esté configurado como un sistema de telefonía móvil basado en el estándar 3GPP, que ventajosamente presenta un subsistema multimedia basado en IP, a saber, una clave de integridad y una clave de transmisión.
En este caso se derivan preferiblemente la primera clave criptográfica y la segunda clave criptográfica de la clave de transmisión.
Dicho de otra manera, esto significa que según esta configuración de la invención, en el aparato terminal de telefonía móvil y en el ordenador de la red de comunicaciones de lugar de origen se derivan otras claves criptográficas a partir de la clave de transmisión.
Contrariamente a la clave de integridad, que transmite la red de comunicaciones de lugar de origen según [1] directamente para asegurar la integridad de la señalización IMS al ordenador de la red de comunicaciones visitada, preferiblemente a un ordenador P-CSCF, no se retransmite la propia clave de transmisión según la invención desde el ordenador de la red de comunicaciones de lugar de origen, preferiblemente desde el ordenador S-CSCF. Por el contrario, la clave de transmisión se utiliza para derivar una o varias nuevas claves utilizando una función de derivación de claves adecuada, basándose la función de derivación preferiblemente en una función pseudoaleatoria. La primera clave derivada formada mediante la función de derivación de claves se transmite como primera clave criptográfica desde el ordenador S-CSCF al ordenador P-CSCF cuando la primera clave criptográfica se necesita para proteger la confidencialidad de los datos transmitidos.
En el sistema de telefonía móvil puede estar prevista básicamente cualquier cantidad de redes de comunicaciones y aparatos terminales de telefonía móvil, así como cualquier cantidad de ordenadores servidores de aplicaciones.
En un conjunto de ordenadores servidores de aplicaciones está previsto, según una configuración de la invención, que el aparato terminal de telefonía móvil y el ordenador de la red de comunicaciones del lugar de origen formen para cada ordenador servidor de aplicaciones adicional, utilizando en cada caso el material de claves de autentificación, una clave criptográfica adicional. La correspondiente clave criptográfica adicional se transmite - preferiblemente desde el ordenador de la red de comunicaciones de lugar de origen - al correspondiente ordenador servidor de aplicaciones.
En este caso es ventajoso generar el conjunto o bien las múltiples claves criptográficas mediante la misma función de derivación de claves, pero utilizando parámetros de entrada adecuados distintos. Utilizando parámetros de entrada adecuados, preferiblemente un número aleatorio cualitativamente de alta calidad, queda asegurado para la función de derivación de claves que el receptor de la clave derivada, por ejemplo un ordenador servidor de aplicaciones o el ordenador de la red de comunicaciones visitada, no está en condiciones de deducir de retorno la clave básica, es decir, la clave de transmisión, en general en base al material de claves de autentificación.
Tales parámetros de entrada pueden ser tanto parámetros conocidos al aparato terminal de telefonía móvil como también al ordenador de la red de comunicaciones de lugar de origen, como por ejemplo los parámetros que resultan de la autentificación actual en cada momento según el protocolo IMS-AKA. Mediante la segunda clave criptográfica se realiza la derivación a partir de la clave de transmisión entre el aparato terminal de telefonía móvil y un ordenador del centro de servicio multicast, para la protección de otros mensajes más allá de la señalización IMS, por ejemplo para la protección de mensajes HTTP que están previstos entre el aparato terminal de telefonía móvil y un ordenador servidor de aplicaciones configurado como ordenador servidor de presencia o de mensajes configurados según el protocolo MIKEY.
Está previsto según la invención derivar en caso necesario cualquier cantidad de otras claves criptográficas a partir de la clave de transmisión, en general a partir del material de claves de autentificación.
Como procedimiento de derivación de claves puede utilizarse básicamente cualquier procedimiento criptográfico adecuado para derivar una clave criptográfica, por ejemplo los procedimientos descritos en [5] y alternativamente una variante del procedimiento de derivación de claves descrito en [3] y [4] según MILENAGE.
Si se utiliza para la formación de múltiples claves criptográficas como claves de sesión la misma función de derivación de claves, entonces se necesita tanto en el aparato terminal de telefonía móvil como también en el ordenador de la red de comunicaciones de lugar de origen solamente implementar una función criptográfica de derivación de claves.
Una ventaja adicional de la invención ha de considerarse que es que un usuario de un aparato terminal de telefonía móvil sólo tiene que autentificarse una vez para el acceso al IMS y a los servicios electrónicos ofrecidos a su través. Para el acceso a las aplicaciones o servicios basados en IMS no son necesarias más autentificaciones adicionales.
Además se evitan en el marco de la invención modificaciones en protocolos estandarizados existentes, por ejemplo no necesitan modificarse el protocolo de autentificación IMS-AKA descrito en [1] o el protocolo para la comunicación entre el ordenador S-CSCF y el ordenador HSS, ya que no tiene que intercambiarse ningún parámetro adicional entre ambos ordenadores participantes.
Mediante la utilización de la clave de transmisión (y no de la clave de integridad) como clave básica para la derivación de las claves, se evita adicionalmente que resulten diferencias en la utilización de la clave entre distintas versiones del estándar (UMTS-3GPP versión 5 y UMTS-3GPP versión 6, etc), que darían lugar a costes más elevados de la estandarización e integración.
Además, se posibilita en el marco de la invención configurar la derivación de claves tal que la clave sólo pueda utilizarse para las relaciones de seguridad entre el aparato terminal de telefonía móvil y una determinada unidad de red y no para otras relaciones de seguridad y no permite ninguna conclusión para otras relaciones de seguridad, en particular no permite averiguar las claves criptográficas utilizadas en el marco de otras relaciones de seguridad.
Además, es posible configurar la derivación de las claves tal que el aparato terminal de telefonía móvil y el ordenador S-CSCF calculan la clave derivada sólo a partir de la clave de transmisión, a partir de parámetros que resultan en base a la autentificación actual en cada momento según el protocolo de comunicaciones IMS-AKA, así como de la identidad del ordenador servidor de aplicaciones.
\global\parskip0.900000\baselineskip
Esto tiene la ventaja adicional de que la clave derivada para un determinado ordenador servidor de aplicaciones puede calcularse independientemente de las claves para otros ordenadores servidores de aplicaciones. Esto es de especial importancia en particular en el caso de que no se dé simultáneamente la necesidad de calcular claves criptográficas derivadas para ordenadores servidores de aplicaciones, ya que el usuario toma contacto con distintos ordenadores servidores de aplicaciones en distintos instantes y con algunos incluso no toma contacto.
Como parámetros adicionales para la función de derivación de claves, se utiliza según otra configuración de la invención al menos una de las claves criptográficas previamente formadas. Dicho de otra manera, esto significa que una o varias claves criptográficas previamente formadas y con ello disponibles se utilizan como valores de entrada para la función de derivación de claves y con ello sirven como base para la formación de las siguientes claves criptográficas.
Mediante la invención se resuelve así claramente el problema de proteger sobre la base de una infraestructura de seguridad IMS existente en un sistema de telefonía móvil una comunicación adicional entre el aparato terminal de telefonía móvil y los ordenadores servidores de aplicaciones para aplicaciones o servicios basados en IMS no incluidos en la seguridad ya existente del sistema de telefonía móvil IMS.
Una tal comunicación puede basarse por ejemplo en el protocolo HTTP y el protocolo MIKEY, en general en cualquier protocolo de comunicaciones de la capa OSI 7, es decir, de la capa de aplicación.
Para asegurar la comunicación, genera el mecanismo descrito claves de sesión que se derivan de la clave de integridad y/o clave de transmisión formadas en el marco de una autentificación IMS según [1]. En particular se resuelve el problema de que diversas instancias de la red como ordenadores servidores de aplicaciones y ordenadores P-CSCF reciban distintas claves, que no permitan conclusiones relativas a otras claves criptográficas, con lo que tampoco una instancia de red, es decir, un ordenador de una red de comunicaciones visitada, puede infringir la confidencialidad de los mensajes que el usuario intercambia con otra instancia de red, es decir, con otro ordenador de una red de comunicaciones.
Adicionalmente se utiliza en el marco de la invención un mecanismo que posibilita con sólo una función de derivación de claves generar claves criptográficas independientes entre sí para distintas aplicaciones. Con ello se evita el coste de implementar varias de tales funciones de derivación de claves.
Adicionalmente, tal como antes se ha descrito, se evitan autentificaciones múltiples del usuario, es decir, del aparato terminal de telefonía móvil.
Evidentemente puede considerarse así que la invención consiste en que a partir de la clave de transmisión generada en el marco del registro IMS pueden derivarse otras claves criptográficas que pueden utilizarse para la codificación entre mensajes que tienen lugar entre el aparato terminal de telefonía móvil y el ordenador P-CSCF, así como para las relaciones de seguridad entre el aparato terminal de telefonía móvil y los ordenadores del servidor de aplicaciones, de tal manera que se logren las ventajas antes descritas.
En las figuras se representan ejemplos de ejecución de la invención y se describirán a continuación más en detalle.
Se muestra en
figura 1 un diagrama de bloques de un sistema de telefonía móvil según un ejemplo de ejecución de la invención;
figura 2 un diagrama de flujo de mensajes en el que se representa el flujo de mensajes de la formación y distribución de claves criptográficas según un ejemplo de ejecución de la invención; y
figura 3 un diagrama de bloques en el que se representa la formación de claves criptográficas según un ejemplo de ejecución de la invención.
Aún cuando en el siguiente ejemplo de ejecución por razones de simplicidad de la representación sólo se representa un aparato terminal de telefonía móvil, una red de comunicaciones de lugar de origen, así como una red de comunicaciones visitada, la invención puede aplicarse sobre cualquier cantidad de aparatos terminales de telefonía móvil y redes de comunicaciones.
El sistema de telefonía móvil 100 representado en la figura 1 está equipado según el estándar UMTS versión 5.
El sistema de telefonía móvil 100 según el ejemplo de ejecución preferente presenta una red de comunicaciones de lugar de origen 101 (Home Network), una red de comunicaciones visitada 102 (Visited Network), un aparato terminal de telefonía móvil 103, así como ordenadores servidores de aplicaciones 106, 107, que se encuentran en otras redes de comunicaciones 104, 105.
A continuación sólo se describirán los elementos del sistema de telefonía móvil 100 relevantes para la invención según el estándar UMTS versión 5.
En la red de comunicaciones del lugar de origen 101 está previsto un ordenador Home Subscriber Server (ordenador HSS o servidor del abonado de lugar de origen) 108. En el ordenador HSS están memorizados datos que caracterizan a cada aparato de telefonía móvil 103 asociado a la red del lugar de origen 101 y al poseedor del aparato terminal de telefonía móvil 103, por ejemplo un perfil de servicios de usuario.
\global\parskip1.000000\baselineskip
Con el ordenador HSS 108 está acoplado un ordenador Serving Call State Control Function o de función de control del estado de las llamadas (ordenador S-CSCF) 109 mediante un primer enlace de comunicaciones 110.
Toda la gestión de llamadas, tanto con conmutación por paquetes como también con conmutación por línea, es controlada por un ordenador CSCF. Algunas otras tareas de los ordenadores CSCF son la gestión de facturaciones (billing), la gestión de direcciones y la puesta a disposición de mecanismos de activación para activar servicios y nodos especialmente predeterminados.
Mediante un segundo enlace de comunicaciones 111 está acoplado un ordenador Interrogating-CSCF (ordenador interrogante I-CSCF) 112 con el ordenador S-CSCF 109. En el ordenador I-CSCF 112, que se encuentra en la red de comunicaciones de lugar de origen 101, está memorizada la dirección IP del ordenador HSS 108 responsable en cada caso, con lo que al comienzo de la autentificación de un aparato terminal de telefonía móvil 103 en la red de comunicaciones del lugar de origen 101, es posible averiguar el ordenador HSS 108 competente para la autentificación. El ordenador I-CSCF 112 constituye evidentemente la "interfaz de comunicación" de la red de comunicaciones visitada 102 con la red de comunicaciones de lugar de origen 101.
En la red de comunicaciones visitada 102 está previsto un ordenador Proxy-CSCF (ordenador P-CSCF) 113, que juntamente con las estaciones de base correspondientemente existentes en la red de comunicaciones visitada 102, pone a disposición una interfaz de aire para establecer un enlace por radio 114 con el aparato terminal de telefonía móvil 103 que se encuentra en la zona asignada al ordenador P-CSCF 113.
El ordenador P-CSCF 113 está unido a través de un enlace de radio o de un enlace de comunicaciones de red fija 115 a través de una cantidad cualquiera de otras redes de comunicaciones con el ordenador I-CSCF 112 del área de comunicaciones del lugar de origen 101.
Además, están acoplados con el ordenador S-CSCF 109 de la red de comunicaciones del lugar de origen 101 los ordenadores servidores de aplicaciones 106, 107 en las otras redes de comunicaciones 104, 105, según este ejemplo de ejecución mediante otros enlaces de radio o enlaces de comunicaciones de red fija 116, 117. Mediante enlaces de radio adicionales o un enlace de comunicaciones de red fija 118, 119, están acoplados los ordenadores servidores de aplicaciones 106, 107 con el aparato terminal de telefonía móvil 103.
Según este ejemplo de ejecución presentan los distintos ordenadores respectivos microprocesadores, una o varias memorias, así como las correspondientes interfaces de comunicación, con lo que resulta posible un intercambio de mensajes electrónicos entre los distintos ordenadores y el aparato terminal de telefonía móvil 103.
Los ordenadores y el aparato terminal de telefonía móvil 103 están además equipados tal que pueden realizarse las etapas del proceso descritas a continuación y pueden formarse, codificarse o bien decodificarse y enviarse o bien recibirse los mensajes electrónicos descritos a continuación.
Para formar los mensajes electrónicos, se utiliza según este ejemplo de ejecución, al menos parcialmente, el Session Initiation Protocol (SIP, protocolo de iniciación de sesión).
Para que un aparato terminal de telefonía móvil 103 pueda utilizar un servicio puesto a disposición por un ordenador servidor de aplicaciones 106, 107, es necesario que tenga lugar y se realice con éxito una autentificación mutua entre el aparato terminal de telefonía móvil 103 y la red de comunicaciones de lugar de origen 101.
Al comienzo del procedimiento de autentificación y para formar y distribuir claves criptográficas que se utilizan en el marco de la señalización y en el marco del intercambio de mensajes electrónicos codificados, envía el aparato terminal de telefonía móvil 103, tal como se representa en el diagrama de flujo de mensajes 200 en la figura 2, un mensaje de registro SIP 201 al ordenador P-CSCF 113. El mensaje de registro SIP 201 se retransmite, tras la recepción en el ordenador P-CSCF 113, al ordenador I-CSCF 112 en la red de comunicaciones del lugar de origen 101 del aparato terminal de telefonía móvil 103 que envía el mensaje de registro SIP 201. El ordenador I-CSCF 112 retransmite igualmente el mensaje de registro SIP 201, y precisamente al ordenador S-CSCF correspondiente 109 de la red de comunicaciones de lugar de origen 101.
Tras recibir el mensaje de registro SIP 201, comprueba el ordenador S-CSCF 109 si el aparato terminal de telefonía móvil 103 que envía el mensaje de registro SIP 201 está registrado ya o no lo está en el ordenador S-CSCF 109. Si no es éste el caso, envía entonces el ordenador S-CSCF 109 a través del primer enlace de comunicaciones 110 un mensaje de solicitud de datos de autentificación Cx al ordenador HSS 108, con el que el ordenador S-CSCF 109 solicita al ordenador HSS 108 para el aparato terminal de telefonía móvil 103 nuevos datos de autentificación.
En el ordenador HSS 108 se generan, como reacción al mensaje de solicitud de datos de autentificación Cx 202, uno o varios bloques de datos de autentificación de la manera descrita a continuación y se transmiten en un mensaje de datos de autentificación 203 al ordenador S-CSCF 109.
En una forma constructiva alternativa, genera el propio ordenador S-CSCF 109 los datos de autentificación.
El ordenador HSS 108, alternativamente un ordenador de un ordenador de un centro de autentificación asociado al ordenador HSS 108, genera un número secuencial consecutivo SQN 302 (etapa 301).
Además, se forma en una etapa adicional (etapa 303) un número aleatorio RAND 304.
Además se utiliza como parámetro de entrada para las operaciones descritas a continuación un llamado Authentication Management Field (campo de gestión de autentificación) AMF 305.
Además, se utiliza una clave secreta K 306 conocida solamente por el ordenador HSS 108 (en la forma constructiva alternativa por el ordenador S-CSCF 109) y el aparato terminal de telefonía móvil 103 en el marco de las operaciones que se describen a continuación.
En este contexto hay que señalar que la formación de un vector de autentificación AV que se describe a continuación también puede realizarse en el ordenador S-CSCF 109 o en un elemento de red comparable en la red de comunicaciones de lugar de origen 101, en cuyo caso están disponibles las magnitudes antes descritas en la correspondiente unidad de ordenador.
Utilizando la clave secreta K 306, el campo de gestión de autentificación AMF 305, el número secuencial SQN 302 y el número aleatorio RAND 304, se genera mediante una primera función de autentificación de mensajes f1 307, tal como la que se describe por ejemplo (307) en [3] y [4], un Message Authentication Code (código de autentificación de mensaje) MAC 308, según la siguiente norma:
(1)MAC = fl_{K}(SQN | RAND | AMF)
El símbolo "|" simboliza en el marco de esta descripción una concatenación de las magnitudes que se encuentran a la izquierda y a la derecha respectivamente del símbolo.
Las funciones de autentificación de mensajes f1 y f2 utilizadas a continuación, así como las funciones de generación de claves f3, f4, f5, se describen en [3] y [4].
Mediante una segunda función de autentificación de mensajes f2 309, se forma, utilizando la clave secreta K 306 y el número aleatorio RAND 304, un valor de respuesta esperado XRES 310:
(2)XRES = f2_{K}(RAND).
Mediante una primera función de generación de claves f3 311, se forma, utilizando la clave secreta K 306 y el número aleatorio RAND 304, una clave de transmisión CK 312 según la siguiente norma:
(3)CK = f3_{K}(RAND).
Además, utilizando una segunda función de generación de claves f4 313 y utilizando la clave secreta K 306 y el número aleatorio RAND 304, se forma una clave de integridad IK 314 según la siguiente norma:
(4)IK = f4_{K}(RAND).
Mediante una tercera función de generación de claves f5 315, se calcula, utilizando igualmente la clave secreta K 306 y el número aleatorio RAND 304, una clave de anonimato AK 316, según la siguiente norma:
(5)AK = f5_{K}(RAND).
El ordenador HSS 108 forma además un token de autentificación AUTN 320 según la siguiente norma:
(6)AUTN = SQN\oplusAK | AMF | MAC
Los valores calculados antes descritos, es decir, el token de autentificación AUTN, el valor de respuesta esperado XRES 310, la clave de transmisión CK 312 y la clave de integridad IK 314, se trasmiten al ordenador S-CSCF 109.
En el marco de la invención se forma, utilizando una función de derivación de claves f 317, a partir de la clave de transmisión CK 312 en el ordenador S-CSCF 109, utilizando parámetros de entrada 318 que se describen en lo que sigue, una primera clave derivada CK1 319 de la siguiente manera.
Como función de derivación de claves f 317 se utiliza, según un primer ejemplo de ejecución de la invención, una función pseudoaleatoria PRF, que por ejemplo se basa en el procedimiento HMAC-SHA1. La función de derivación de claves f 317 está configurada esencialmente según el procedimiento de derivación de claves especificado en [6] bajo el capítulo 5.5.
Así se forma la primera clave derivada CK1 según la siguiente norma:
(7)CK1 = fK(CK | Parl | random),
siendo opcional el parámetro de entrada Par1 y formándose material aleatorio adecuado random, por ejemplo según la siguiente norma:
(8)random = RAND | AUTN | XRES,
transmitiéndose RAND|AUTN al aparato terminal de telefonía móvil 103 durante el procedimiento de autentificación según [1] como un mensaje de solicitud de autentificación 204 que se describe a continuación.
El aparato terminal de telefonía móvil 103 utiliza, para formar el valor aleatorio random, en lugar del valor de respuesta esperado XRES, el valor de respuesta RES formado por él mismo.
Un valor derivado del valor RES se transmite en el marco del procedimiento descrito a continuación según [1] desde el aparato terminal de telefonía móvil 103 como respuesta de autentificación al ordenador S-CSCF 109.
Es de señalar en este contexto que la formación de la clave criptográfica derivada puede realizarse en el ordenador S-CSCF 109 o bien en un elemento de red adecuado comparable en la red de comunicaciones de lugar de origen 101.
Además, el ordenador S-CSCF 109 forma, según la siguiente norma, el vector de autentificación solicitado AV 321 mediante el ordenador S-CSCF 109:
(9)AV = RAND | XRES | CK1 | IK | AUTN.
Desde el ordenador S-CSCF 109 se transmite el mensaje de solicitud de autentificación SIP 204 al ordenador I-CSCF 112 y desde éste al ordenador P-CSCF 113 de la red de comunicaciones visitada 102. En el mensaje de solicitud de autentificación SIP 204 están incluidos el número aleatorio RAND 306, el token de autentificación 320, así como la clave de integridad IK. Contrariamente al procedimiento de autentificación según [1], no está contenida según la invención la clave de transmisión CK, y con ello no se transmite tampoco al ordenador P-CSCF en la red de comunicaciones visitada a un usuario. En lugar de ello, está incluida en el mensaje de solicitud de autentificación 204 la primera clave derivada CK1.
En el aparato terminal de telefonía móvil 103 se forman, utilizando las funciones de autentificación de mensajes f1 y f2, así como la función de generación de claves f3, f4 y f5, igualmente las magnitudes antes descritas y se utilizan para la autentificación de la red de comunicaciones visitada 102. Para ello se implementan las funciones f1, f2, f3, f4 y f5 igualmente en el aparato terminal de telefonía móvil 103.
Además, dispone el aparato terminal de telefonía móvil 103 evidentemente de una clave secreta K y del número aleatorio RAND 306. Además, están disponibles igualmente en el aparato terminal de telefonía móvil 103 las indicaciones adicionales descritas a continuación relativas a los parámetros Pari para la formación de la clave derivada utilizando la función de derivación de claves 317.
Antes de retransmitir el mensaje de solicitud de autentificación 204, memoriza el ordenador P-CSCF 113 la clave de integración IK 314, así como la primera clave derivada CK1, elimina ésta del mensaje de solicitud de autentificación 204 y transmite un mensaje de solicitud de autentificación reducido 205 al aparato terminal de telefonía móvil 103.
Con ello la clave de integridad IK 314 está disponible en el ordenador P-CSCF 113, pero no en el aparato terminal de telefonía móvil 103.
Utilizando el aparato terminal de telefonía móvil 103, se formó, utilizando la clave secreta K 306 y el número aleatorio RAND 304, disponible en el aparato terminal de telefonía móvil 103, utilizando la quinta y la tercera función de generación de claves f5 315, la clave de anonimato AK 316.
Utilizando el primer campo del token de autentificación 320, se forma, formando el contenido del primer campo (SQN \oplus AK), una combinación EXCLUSIV-ODER ("O" exclusivo) con la clave de anonimato AK 316 y como resultado recibe el aparato terminal de telefonía móvil 103 el número secuencial SQN 302.
\newpage
Utilizando el número secuencial, el Authentication Management Field (campo de gestión de autentificación) AMF 305, contenido en el token de autentificación 320, el número aleatorio RAND 304, la clave secreta K 306 y la primera función de autentificación de mensajes f1 307, se forma un código de autentificación del mensaje del aparato terminal, que se compara con el Message Authentication Code (código de autentificación de mensajes) MAC 308 contenido en el token de autentificación 320.
Si coinciden estos dos valores entre sí, entonces ha tenido éxito la autentificación de la red de comunicaciones del lugar de origen 102 respecto al aparato terminal de telefonía móvil 103 y el aparato terminal de telefonía móvil 103 calcula un valor de respuesta RES utilizando el número aleatorio RAND 304, la clave secreta K 306 y la segunda función de autentificación de mensajes f2 309 y envía un valor de respuesta derivado de RES en un mensaje de respuesta de autentificación SIP 206 al ordenador P-CSCF 113, tal como se describe en [1].
Es de señalar que el aparato terminal de telefonía móvil 103 calcula, utilizando además la primera función de generación de claves f3 311 y la clave secreta K 306, la clave de transmisión 312, así como utilizando la segunda función de generación de claves f4 313 y la clave secreta K 306, la clave de integridad IK 314.
El ordenador P-CSCF 113 retransmite el mensaje de respuesta de autentificación 206 al ordenador I-CSCF 112 y éste al ordenador S-CSCF 109.
El ordenador S-CSCF 109 o el ordenador HSS 108 comprueban el valor de respuesta derivado del RES, comparando éste con el valor derivado de manera análoga de la respuesta esperada XRES. Cuando coinciden ambos valores, ha tenido éxito la autentificación del aparato terminal de telefonía móvil 103 frente al ordenador S-CSCF 109.
Ahora puede formarse también en el aparato terminal de telefonía móvil 103 según la norma (8) el valor random y a continuación la primera clave derivada CK1 según la norma (7).
El ordenador S-CSCF 109 transmite un mensaje de confirmación de autentificación 207 al ordenador I-CSCF 112 y éste lo retransmite al ordenador P-CSCF 113.
El mensaje de confirmación de autentificación 208 se transmite al aparato terminal de telefonía móvil 103 para confirmar la autentificación mutua con éxito.
Además, el ordenador S-CSCF 109 forma, utilizando nuevamente la función de derivación de claves f 317 y opcionalmente utilizando un parámetro de entrada adicional Par2, una segunda clave derivada CK2 322 según la siguiente norma:
(10)CK2 = f_{K}(CK, CK1 | Par2 | random).
La segunda clave derivada CK2 322 se transmite en un mensaje codificado 209 al ordenador servidor de aplicaciones 106, que en el marco de la futura codificación utiliza la segunda clave derivada CK2 322.
En el aparato terminal de telefonía móvil 103 se forma de la manera correspondiente, al igual que en el ordenador S-CSCF 109, igualmente la segunda clave derivada CK2 322.
Si en el marco de la comunicación con ordenadores servidores de aplicaciones adicionales es necesario material de claves adicional, es decir, claves derivadas adicionales, entonces se forman claves derivadas adicionales CKi (i = 1, ..., n, designando n la cantidad de claves derivadas formadas) 323, 324, básicamente una cantidad cualquiera de claves derivadas adicionalmente según la presente norma y se transmiten al correspondiente ordenador servidor de aplicaciones:
(11)CKi = f_{K}(CK, CKi | Pari | random).
En este caso puede representar Pari (i = 1, ..., n) la identidad, por ejemplo la dirección IP, del correspondiente ordenador servidor de aplicaciones 106, 107.
El correspondiente parámetro Pari puede además contener otras informaciones sobre la utilización de la clave, por ejemplo informaciones sobre la utilización para la codificación o para la protección de la integridad, informaciones sobre la dirección del flujo de mensajes (desde el aparato terminal de telefonía móvil 103 o hacía el aparato terminal de telefonía móvil 103) para el que debe utilizarse la clave.
Una vez que la clave de integridad IK 314 y la clave de transmisión CK 312 están disponibles en el aparato terminal de telefonía móvil 103 y en el ordenador S-CSCF 109, se ejecuta la función de derivación de claves f 317 tantas veces como sea necesario hasta que para todas las aplicaciones a asegurar se disponga de las claves criptográficas que se necesitan. Esto tiene lugar, tal como antes se ha descrito, tanto en el aparato terminal de telefonía móvil 103 como también en el ordenador S-CSCF 109.
\newpage
A continuación pone a disposición por ejemplo el ordenador P-CSCF 113 las claves derivadas (primera clave derivada CK1 318) para la protección de los propios mensajes IMS y las demás claves derivadas 322, 323, 324, a disposición de la correspondiente aplicación a asegurar o bien se utilizan de manera adecuada para la misma.
Alternativamente puede generarse una secuencia de claves mediante concatenación de las distintas claves derivadas generadas CK1, CK2, CKi, CKn 318, 322, 323, 324. Esto es ventajoso cuando la clave derivada no corresponde en cuanto a su longitud a las exigencias del procedimiento de aseguramiento utilizado o cuando por ejemplo se necesitan dos claves unidireccionales para una aplicación.
En este caso resulta una clave derivada según la siguiente norma:
(12)KEYMAT = CK1 | CK2 | ... | CKi | ...
De esta secuencia de claves KEYMAT se toman, comenzando desde la izquierda y consecutivamente, las claves criptográficas necesarias para las distintas aplicaciones.
A continuación se indican ejemplos de ejecución alternativos para formar las claves derivadas 318, 322, 323, 324.
El siguiente ejemplo de ejecución es similar al procedimiento MILENAGE descrito en [3] y [4].
Partamos de material aleatorio random adecuado formado por ejemplo según la norma (8). Para formar el valor aleatorio random se utiliza el procedimiento según el ejemplo de ejecución antes descrito. Además, se supone que ASi-ID designa la identidad, por ejemplo la dirección IP, del ordenador servidor de aplicaciones, siendo en ASi i = 1, 2, ..., n. Partamos de que h es una función Hash como por ejemplo SHA-1. Bajo E se designa una función de codificación en bloques adecuada con valores de entrada, valores de salida y claves, en cada caso de una longitud de 128 bits. Cuando el valor de entrada es x, la clave es k y el valor de salida es y, entonces se calcula el valor de salida y según la siguiente norma:
(13)y = E[x]_{k}.
Un ejemplo de una función de codificación en bloques adecuada es el llamado procedimiento de Rijndael, tal como por ejemplo se describe en [4].
Un valor de 128 bits x_{i} se deriva de la identidad del ordenador servidor de aplicaciones y de la clave de transmisión CK 312 según la siguiente norma:
(14)x_{i} = ASi-ID \oplus E[ASi-ID]_{CK}.
Un valor intermedio TEMP de la longitud 128 bits se calcula según la siguiente norma:
(15)TEMP = E[random \oplus x_{i}]_{CK}.
La correspondiente clave derivada CKi se calcula ahora como sigue:
(16)CKi(r,c) = E[rot(TEMP \oplus x_{i},r) \oplus c]_{CK} \oplus xi,
siendo r y c constantes adecuadas que pueden predeterminarse, tal como se describe por ejemplo en [4].
Tal como se describe igualmente en [4], es posible en el marco de la invención, mediante la elección adecuada de otras constantes r y c, derivar otras claves CKi(r,c) para el mismo ordenador servidor de aplicaciones.
Según un ejemplo de ejecución alternativo de la invención que se apoya en el procedimiento de derivación de claves según RSA PKCS#5, se utiliza de nuevo el valor aleatorio random, que se calcula tal como se hacía según el primer ejemplo de ejecución.
De nuevo, al igual que en el segundo ejemplo de ejecución, sea ASi-ID la identidad del ordenador servidor de aplicaciones ASi para i = 1, 2, ..., n. De nuevo, sea h una función Hash como por ejemplo SHA1 y designando de PRF una función pseudoaleatoria.
Se calculan los siguientes valores:
(17)x0 = h("clave de codificación para ordenador P-CSCF"),
xi = h (ASi-ID) {}\hskip1.5cm para i = 1, ..., n
(18)
A continuación se calculan las claves derivadas CKi según la siguiente norma para i = 0, 1, 2, ..., n:
(19)CKi = F(CK, random, c, i) = U_{1}(i)\XOR U_{2}(i)\XOR...\XOR Uc(i)
siendo c un número entero adecuado, que puede predeterminarse convenientemente y
U_{1}(i) = PRF(CK, random | x_{i})
(20)
U_{2}(i) = PRF(CK, U_{1}(i))
(21)
\vskip1.000000\baselineskip
\quad
. . .
\vskip1.000000\baselineskip
U_{c}(i) = PRF(CK, U_{c-1}(i).
(22)
Según otra forma constructiva alternativa, está previsto combinar las formas de proceder según el primer ejemplo de ejecución y el segundo ejemplo de ejecución entre sí en el siguiente sentido.
Se calcula primeramente una clave derivada CKi para el ordenador servidor de aplicaciones ASi, tal como se ha descrito en el segundo ejemplo de ejecución. A continuación se utiliza la forma de proceder según el primer ejemplo de ejecución para obtener material de claves adicional para el ordenador servidor de aplicaciones ASi, sustituyendo la clave de transmisión CK 312 en el primer ejemplo de ejecución por la correspondiente clave derivada CKi, que se ha obtenido por el procedimiento correspondiente al segundo ejemplo de ejecución.
Entonces resultan para las claves adicionalmente derivadas:
CKi1 = f(CKi, random)
(23)
CKi2 = f(CKi, CKi1 | random)
(24)
CKi3 = f(CKi, CKi2 | random)
(25)
etc.
Ahora se tienen todas las existentes para la codificación de los correspondientes mensajes en el marco de las aplicaciones necesarias, tanto en el aparato terminal de telefonía móvil 103, en el ordenador P-CSCF 113, como en el ordenador servidor de aplicaciones 106, 107, sin que pueda obtener el ordenador P-CSCF 113 conclusiones relativas a las claves derivadas CKi 318, 322, 323, 324 en los ordenadores servidores de aplicaciones 106, 107 y a la inversa, sin que los ordenadores servidores de aplicaciones 106, 107 puedan obtener conclusiones sobre el material de claves memorizado y utilizado en el ordenador P-CSCF 113.
Utilizando la clave derivada 318, 322, 323, 324 se realiza a continuación la codificación de los datos de usuario a transmitir.
En estos documentos se citan las siguientes publicaciones:
[1]
3GPP TS 33.203 V5.3.0 - Technical Specification, 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Access security for IP-based services (Release 5). (Especificación técnica, Proyecto de partenariado de la tercera generación, Especificación técnica Grupo servicios y aspectos del sistema, Seguridad de la 3G, Seguridad de acceso para servicios basados en IP (versión 5))
[2]
G. Horn, D. Kröselberg, K. Müller : Security for IP multimedia services in the 3GPP third generation mobile system, Proceedings of the Third International Networking Conference INC'2002 (Seguridad para servicios multimedia de IP en el sistema móvil de la tercera generación 3GPP, Actas de la Tercera Conferencia Internacional de Networking INC'2002), paginas 503 a 512, Plymouth, Reino Unido, 16-18 julio 2002
[3]
3GPP TS 35.205 V5.0.0- Technical Specification, 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Specification of the MILENAGE Algorithm Set: An example algorithm set for the 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 y f5*, Document 1: General (Release 5) (Especificación técnica, Proyecto de partenariado de la tercera generación, Especificación técnica Grupo servicios y aspectos del sistema, Seguridad de la 3G, Especificación del conjunto de algoritmos MILENAGE: Un ejemplo de un conjunto de algoritmos para las funciones de autentificación y generación de claves f1, f1*, f2, f3, f4, f5 y f5* de la 3GPP, Documento 1: General (versión 5)).
[4]
3GPP TS 35.206 V5.0.0- Technical Specification, 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Specification of the MILENAGE Algorithm Set: An example algorithm set for the 3GPP authentication and key generation functions f1, f1*, f2, f3, f4 and f5*, Document 2: Algorithm Specification (Release 5) (Especificación técnica, Proyecto de partenariado de la tercera generación, Especificación técnica Grupo servicios y aspectos del sistema, Seguridad de la 3G, Especificación del conjunto de algoritmos MILENAGE: Un ejemplo de conjunto de algoritmos para las funciones de autentificación y generación de claves f1, f1*, f2, f3, f4, f5 y f5* de la 3GPP Documento 2: (Especificación de algoritmos (versión 5).
[5]
IST-2000-25350 - SHAMAN, D13 - WP1 contribution, Final technical report comprising the complete technical results, specification an conclusion, (Contribución, Informe técnico final, incluyendo los resultados técnicos completos, especificación y conclusión), capítulo 4.7, páginas 114 a 122, Noviembre 2002.
[6]
D. Harkins und D. Carrel, The Internet Key Exchange (IKE) (El intercambio clave de Internet), RFC 2409, páginas 17 a 19, Noviembre 1998.

Claims (15)

1. Procedimiento para formar y distribuir claves criptográficas (318, 322) en un sistema de telefonía móvil (100) que presenta al menos un aparato terminal de telefonía móvil (103), un primer ordenador (113), un ordenador de una red de comunicaciones de lugar de origen (109), así como un segundo ordenador (106, 107), conteniendo el aparato terminal de telefonía móvil (103) y el ordenador de la red de comunicaciones del lugar de origen (109), como resultado de una autentificación, material de claves de autentificación (313, 314),
caracterizado porque el aparato terminal de telefonía móvil (103) y el ordenador de la red de comunicaciones del lugar de origen (109) forman en cada caso, utilizando el material de claves de autentificación (312), una primera clave criptográfica (318) y una segunda clave criptográfica (322),
\bullet
la primera clave criptográfica (318) se transmite al primer ordenador (113) y
\bullet
la segunda clave criptográfica (322) se transmite al segundo ordenador (106),
\bullet
la primera clave criptográfica (318) y la segunda clave criptográfica (322) están formadas tal que
\bullet
a partir de la primera clave criptográfica (318) no puede sacarse ninguna conclusión relativa a la segunda clave criptográfica (322),
\bullet
a partir de la segunda clave criptográfica (322) no puede sacarse ninguna conclusión relativa a la primera clave criptográfica (318),
\bullet
a partir de la primera clave criptográfica (318) o de la segunda (322) clave criptográfica no puede sacarse ninguna conclusión relativa al material de claves de autentificación (312, 314),
\bullet
la primera y la segunda claves criptográfica se utilizan en el marco de la comunicación entre el aparato terminal de telefonía móvil y el primer o bien segundo ordenador.
2. Procedimiento según la reivindicación 1,
\bullet
en el que el primer ordenador (113) es un ordenador de una red de comunicaciones visitada, encontrándose el aparato terminal de telefonía móvil (103) en la red de comunicaciones visitada (102), y
\bullet
en el que el segundo ordenador es un ordenador servidor de aplicaciones (106, 107).
3. Procedimiento según la reivindicación 1,
\bullet
en el que el primer ordenador (113) es un primer ordenador servidor de aplicaciones (106) y
\bullet
en el que el segundo ordenador es un segundo ordenador servidor de aplicaciones (107).
4. Procedimiento según una de las reivindicaciones 1 a 3,
en el que la primera clave criptográfica (318) y la segunda clave criptográfica (322) se forman utilizando al menos una función de derivación de claves (317).
5. Procedimiento según una de las reivindicaciones 1 a 4,
en el que el material de claves de autentificación (312, 314) presenta al menos dos claves criptográficas.
6. Procedimiento según una de las reivindicaciones 1 a 5,
en el que el sistema de telefonía móvil (100) está configurado como un sistema de telefonía móvil basado en el estándar 3GPP.
7. Procedimiento según la reivindicación 6,
en el que el sistema de telefonía móvil (100) presenta un subsistema multimedia IP.
8. Procedimiento según una de las reivindicaciones 1 a 7,
en el que el material de claves de autentificación (312, 314) presenta una clave de integridad (314) y una clave de transmisión (312).
\newpage
9. Procedimiento según la reivindicación 8,
en el que la primera clave criptográfica (318) y la segunda clave criptográfica (322) se derivan de la clave de transmisión (312).
10. Procedimiento según una de las reivindicaciones 1 a 9,
en el que el aparato terminal de telefonía móvil (103) y el ordenador de la red de comunicaciones del lugar de origen (109) forman, para ordenadores servidores de aplicaciones adicionales (107), en cada caso utilizando el material de claves de autentificación (313, 314), claves criptográficas adicionales (323, 324) y se transmiten a los correspondientes ordenadores servidores de aplicación (107).
11. Procedimiento según una de las reivindicaciones 1 a 10, en el que para formar la clave criptográfica (318, 322, 323, 324) se utiliza la misma función de derivación de claves.
12. Procedimiento según una de las reivindicaciones 1 a 11,
en el que para formar la clave criptográfica (318, 322, 323, 324) se utilizan distintos parámetros de entrada adicionales (319) para la función de derivación de claves (317).
13. Procedimiento según la reivindicación 12,
en el que como parámetros de entrada adicionales (319) para la función de derivación de claves (317) se utilizan parámetros que se han formado en el marco de la autentificación.
14. Procedimiento según la reivindicación 13,
en el que como parámetros de entrada adicionales para la función de derivación de claves se utiliza al menos una de las claves criptográficas previamente formadas (318, 322, 323, 324).
15. Sistema de telefonía móvil (100)
\bullet
con al menos un aparato terminal de telefonía móvil (103), en el que como resultado de una autentificación está memorizado material de claves de autentificación (312, 314),
\bullet
con un primer ordenador (113),
\bullet
con un ordenador de una red de comunicaciones de lugar de origen (109) en el que como resultado de una autentificación está memorizado el material de claves de autentificación (312, 314),
\bullet
con al menos un segundo ordenador (106, 107),
\hskip0,6cmcaracterizado porque
el aparato terminal de telefonía móvil (103) y el ordenador de la red de comunicaciones del lugar de origen (109) presentan respectivas unidades de encriptamiento para formar una primera clave criptográfica (318) y una segunda clave criptográfica (322) utilizando el material de claves de autentificación (312, 314), estando formadas la primera clave criptográfica (318) y la segunda clave criptográfica (322) tal que
-
a partir de la primera clave criptográfica (318) no es posible sacar ninguna conclusión relativa a la segunda clave criptográfica (322),
-
a partir de la segunda clave criptográfica (322) no es posible sacar ninguna conclusión relativa a la primera clave criptográfica (318),
-
a partir de la primera clave criptográfica (318) o de la segunda clave criptográfica (322) no es posible sacar ninguna conclusión relativa al material de claves de autentificación (312, 314),
\bullet
el primer ordenador (113) presenta una memoria para memorizar la primera clave criptográfica (318) y
\bullet
el segundo ordenador (106, 107) presenta una memoria para memorizar la segunda clave criptográfica (322)
\bullet
la primera o bien la segunda clave criptográfica se utilizan en el marco de la comunicación entre el aparato terminal de telefonía móvil y el primer o bien segundo ordenador.
ES04712042T 2003-02-20 2004-02-18 Procedimiento para formar y distribuir claves criptograficas en un sistema de telefonia movil y sistema de telefonia movil. Expired - Lifetime ES2320659T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10307403 2003-02-20
DE10307403A DE10307403B4 (de) 2003-02-20 2003-02-20 Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem

Publications (1)

Publication Number Publication Date
ES2320659T3 true ES2320659T3 (es) 2009-05-27

Family

ID=32841766

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04712042T Expired - Lifetime ES2320659T3 (es) 2003-02-20 2004-02-18 Procedimiento para formar y distribuir claves criptograficas en un sistema de telefonia movil y sistema de telefonia movil.

Country Status (14)

Country Link
US (1) US7676041B2 (es)
EP (1) EP1595420B1 (es)
JP (1) JP4284324B2 (es)
KR (1) KR101050335B1 (es)
CN (1) CN100584116C (es)
AT (1) ATE421231T1 (es)
AU (1) AU2004214376B2 (es)
BR (1) BRPI0407702B1 (es)
DE (2) DE10307403B4 (es)
ES (1) ES2320659T3 (es)
MX (1) MXPA05008896A (es)
RU (1) RU2335866C2 (es)
WO (1) WO2004075584A1 (es)
ZA (1) ZA200505960B (es)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1626598A1 (en) * 2004-06-21 2006-02-15 Axalto SA Method for securing an authentication and key agreement protocol
US20060046690A1 (en) * 2004-09-02 2006-03-02 Rose Gregory G Pseudo-secret key generation in a communications system
JP2006163951A (ja) * 2004-12-08 2006-06-22 Kobe Univ ディジタルコンテンツ管理システム、及びその管理方法
KR100675836B1 (ko) * 2004-12-10 2007-01-29 한국전자통신연구원 Epon 구간내에서의 링크 보안을 위한 인증 방법
GB2421874B (en) 2004-12-31 2008-04-09 Motorola Inc Mobile station, system, network processor and method for use in mobile communications
CN100574185C (zh) * 2005-01-07 2009-12-23 华为技术有限公司 在ip多媒体业务子系统网络中保障媒体流安全性的方法
CN1870808A (zh) * 2005-05-28 2006-11-29 华为技术有限公司 一种密钥更新方法
KR100730708B1 (ko) * 2005-08-02 2007-06-21 노키아 코포레이션 암호화된 어플리케이션 설치를 위한 구조
US20070117563A1 (en) * 2005-10-28 2007-05-24 Interdigital Technology Corporation Call setup procedure in an evolved third generation radio access network
KR101158155B1 (ko) * 2005-11-10 2012-06-19 삼성전자주식회사 휴대 방송 시스템에서 암호화 정보 송수신 방법 및 그에따른 시스템
US8774414B2 (en) 2005-11-10 2014-07-08 Samsung Electronics Co., Ltd. Method and apparatus for transmitting/receiving encryption information in a mobile broadcast system
CN1964524B (zh) * 2005-11-11 2011-04-06 上海贝尔阿尔卡特股份有限公司 基于mbms安全机制的bcast服务的业务保护和内容保护系统
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
FR2895177B1 (fr) * 2005-12-20 2008-06-13 Eads Telecom Soc Par Actions S Partage d'un element secret
EP1978707B2 (en) * 2006-01-26 2017-01-18 Huawei Technologies Co., Ltd. A method and system for generating and acquiring the rights object and the rights issuing center
DE102006006071A1 (de) * 2006-02-09 2007-08-16 Siemens Ag Verfahren zum Übertragen von Mediendaten, Netzwerkanordnung mit Computerprogrammprodukt
WO2007109994A1 (en) * 2006-03-25 2007-10-04 Huawei Technologies Co., Ltd. Method and apparatus for generating sequence number of encryption key in network
CN101056169B (zh) * 2006-04-14 2011-07-20 华为技术有限公司 提高无线通信系统组播业务安全的方法及系统
DE102006018645B4 (de) 2006-04-21 2008-07-24 Nokia Siemens Networks Gmbh & Co.Kg Verfahren, Vorrichtungen und Computerprogrammprodukt zum Ver- und Entschlüsseln von Mediendaten
ATE524909T1 (de) * 2006-05-17 2011-09-15 Deutsche Telekom Ag Verfahren und einrichtungen zur bereicherung von sprachanrufen und semantische kombination mehrerer dienstsitzungen in einer virtuell kombinierten dienstsitzung
JP4296191B2 (ja) * 2006-07-26 2009-07-15 株式会社東芝 サーバ装置、端末装置、通信方法、通信プログラムおよび通信システム
WO2008020015A1 (en) * 2006-08-17 2008-02-21 Nokia Siemens Networks Gmbh & Co. Kg Secure transport of messages in the ip multimedia subsystem
CN1913437B (zh) * 2006-08-25 2011-01-05 华为技术有限公司 初始会话协议应用网络及建立安全通道的装置和方法
DE102006046017B4 (de) 2006-09-28 2010-01-14 Siemens Ag Verfahren zum Bereitstellen eines symmetrischen Schlüssels zum Sichern eines Schlüssel-Management-Protokolls
EP3761598B1 (en) * 2006-10-20 2023-12-20 Nokia Technologies Oy Generating keys for protection in next generation mobile networks
RU2330382C1 (ru) * 2006-11-29 2008-07-27 Корпорация "САМСУНГ ЭЛЕКТРОНИКС Ко., Лтд." Схема предварительного распределения ключей для кластерных сетей и способ ее функционирования
RU2344559C2 (ru) * 2007-02-22 2009-01-20 Корпорация "САМСУНГ ЭЛЕКТРОНИКС Ко., Лтд." Система робастного управления ключами и способ ее функционирования
US8265593B2 (en) * 2007-08-27 2012-09-11 Alcatel Lucent Method and system of communication using extended sequence number
FI20075776A7 (fi) * 2007-10-31 2009-05-01 Cassidian Finland Oy Päästä-päähän salattu viestintä
US9232390B2 (en) * 2007-12-11 2016-01-05 Telefonaktiebolaget L M Ericsson (Publ) Methods and apparatuses generating a radio base station key in a cellular radio system
WO2009146729A1 (en) * 2008-06-06 2009-12-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key generation
WO2010028681A1 (en) * 2008-09-09 2010-03-18 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a communication network
US8886164B2 (en) * 2008-11-26 2014-11-11 Qualcomm Incorporated Method and apparatus to perform secure registration of femto access points
US8181030B2 (en) * 2008-12-02 2012-05-15 Electronics And Telecommunications Research Institute Bundle authentication system and method
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
US9729529B2 (en) * 2008-12-31 2017-08-08 Google Technology Holdings LLC Device and method for providing bootstrapped application authentication
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
KR20130003616A (ko) * 2011-06-30 2013-01-09 한국전자통신연구원 세션 키 및 클러스터 키 생성 방법 및 그 장치
JP2014192612A (ja) 2013-03-26 2014-10-06 Toshiba Corp 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
CN104253806B (zh) * 2013-06-29 2017-11-17 华为终端有限公司 鉴权方法、客户端及服务器
US10942992B2 (en) * 2014-10-23 2021-03-09 Level 3 Communications, Llc Identification token in a collaboration conferencing system
US9596230B2 (en) 2014-10-23 2017-03-14 Level 3 Communications, Llc Conferencing intelligence engine in a collaboration conferencing system
US10320722B2 (en) 2014-10-23 2019-06-11 Level 3 Communications, Llc Subscription/notification of a conference in a collaboration conferencing system
JP6534913B2 (ja) * 2015-11-06 2019-06-26 日立オートモティブシステムズ株式会社 情報処理装置および不正メッセージ検知方法
FR3045188B1 (fr) * 2015-12-14 2017-12-22 Sagemcom Broadband Sas Procede de securisation d'un enregistrement de contenu multimedia dans un support de stockage
CN105978692A (zh) * 2016-04-18 2016-09-28 南京邮电大学 一种3gpp认证与密钥协商协议的实现方法
JP6441390B2 (ja) * 2017-01-26 2018-12-19 株式会社東芝 生成装置、暗号化装置、復号装置、生成方法、暗号化方法、復号方法およびプログラム
AT519476B1 (de) * 2017-04-05 2018-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erstellung und Verteilung von kryptographischen Schlüsseln
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6526509B1 (en) * 1995-05-19 2003-02-25 Siemens Aktiengesellschaft Method for interchange of cryptographic codes between a first computer unit and a second computer unit
DE19539700C1 (de) * 1995-10-25 1996-11-28 Siemens Ag Sicherheitschip
WO1999000958A1 (en) 1997-06-26 1999-01-07 British Telecommunications Plc Data communications
US5978475A (en) * 1997-07-18 1999-11-02 Counterpane Internet Security, Inc. Event auditing system
US6128391A (en) * 1997-09-22 2000-10-03 Visa International Service Association Method and apparatus for asymetric key management in a cryptographic system
US6233703B1 (en) 1997-12-31 2001-05-15 Triconex Corporation Automatic generation of evaluation order for a function block diagram and detection of any associated errors
EP1026641B1 (en) * 1999-02-01 2013-04-24 International Business Machines Corporation Method and system for establishing a trustworthy connection between a user and a terminal
US6240188B1 (en) * 1999-07-06 2001-05-29 Matsushita Electric Industrial Co., Ltd. Distributed group key management scheme for secure many-to-many communication
EP1075123A1 (en) * 1999-08-06 2001-02-07 Lucent Technologies Inc. Dynamic home agent system for wireless communication systems
WO2001049058A1 (en) * 1999-12-27 2001-07-05 Mitsubishi Denki Kabushiki Kaisha Radio communication device and radio communication method
US7020773B1 (en) * 2000-07-17 2006-03-28 Citrix Systems, Inc. Strong mutual authentication of devices
US7107248B1 (en) * 2000-09-11 2006-09-12 Nokia Corporation System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure
US6876747B1 (en) * 2000-09-29 2005-04-05 Nokia Networks Oy Method and system for security mobility between different cellular systems
EP1209934A1 (en) 2000-11-27 2002-05-29 Siemens Aktiengesellschaft Method and apparatus to counter the rogue shell threat by means of local key derivation
US6857075B2 (en) * 2000-12-11 2005-02-15 Lucent Technologies Inc. Key conversion system and method
US7069435B2 (en) * 2000-12-19 2006-06-27 Tricipher, Inc. System and method for authentication in a crypto-system utilizing symmetric and asymmetric crypto-keys
US6879690B2 (en) * 2001-02-21 2005-04-12 Nokia Corporation Method and system for delegation of security procedures to a visited domain
JP2002271312A (ja) * 2001-03-14 2002-09-20 Hitachi Ltd 公開鍵管理方法
US20020146127A1 (en) * 2001-04-05 2002-10-10 Marcus Wong System and method for providing secure communications between wireless units using a common key
US20030021416A1 (en) * 2001-07-26 2003-01-30 International Business Machines Corporation Encrypting a messaging session with a symmetric key
US7389412B2 (en) * 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
US20030031151A1 (en) * 2001-08-10 2003-02-13 Mukesh Sharma System and method for secure roaming in wireless local area networks
CN100592731C (zh) * 2001-12-07 2010-02-24 艾利森电话股份有限公司 端到端加密数据电信的合法侦听
US7240366B2 (en) * 2002-05-17 2007-07-03 Microsoft Corporation End-to-end authentication of session initiation protocol messages using certificates
US7480384B2 (en) * 2003-02-10 2009-01-20 International Business Machines Corporation Method for distributing and authenticating public keys using random numbers and Diffie-Hellman public keys

Also Published As

Publication number Publication date
EP1595420A1 (de) 2005-11-16
DE10307403A1 (de) 2004-09-09
BRPI0407702B1 (pt) 2017-05-09
BRPI0407702A (pt) 2006-02-14
ZA200505960B (en) 2013-05-29
AU2004214376B2 (en) 2009-09-03
DE10307403B4 (de) 2008-01-24
CN1751533A (zh) 2006-03-22
RU2335866C2 (ru) 2008-10-10
JP2006518121A (ja) 2006-08-03
DE502004008867D1 (de) 2009-03-05
RU2005129254A (ru) 2006-04-10
JP4284324B2 (ja) 2009-06-24
EP1595420B1 (de) 2009-01-14
AU2004214376A1 (en) 2004-09-02
ATE421231T1 (de) 2009-01-15
KR101050335B1 (ko) 2011-07-19
KR20050107420A (ko) 2005-11-11
MXPA05008896A (es) 2005-10-18
CN100584116C (zh) 2010-01-20
WO2004075584A1 (de) 2004-09-02
US7676041B2 (en) 2010-03-09
US20060171541A1 (en) 2006-08-03

Similar Documents

Publication Publication Date Title
ES2320659T3 (es) Procedimiento para formar y distribuir claves criptograficas en un sistema de telefonia movil y sistema de telefonia movil.
ES2706540T3 (es) Sistema de credenciales de equipos de usuario
ES2414616T3 (es) Comunicación inalámbrica segura
ES2526703T3 (es) Seguridad de comunicación
CN100592731C (zh) 端到端加密数据电信的合法侦听
ES2424474T3 (es) Método y aparato para establecer una asociación de seguridad
EP1757148B1 (en) Security in a mobile communications system
ES2389250T3 (es) Un método para autenticar un terminal de usuario en un subsistema multimedia IP
US20110191842A1 (en) Authentication in a Communication Network
US8230218B2 (en) Mobile station authentication in tetra networks
CN100550731C (zh) 一种固网用户到ip多媒体子系统的接入安全系统和方法
ES2358055T3 (es) Procedimiento, dispositivo y producto de programa de computadora para codificar y decodificar datos de medios.
CN101197673B (zh) 固定网络接入ims双向认证及密钥分发方法
CN101483870A (zh) 跨平台的移动通信安全体系的实现方法
Bersani et al. RFC 4764: The EAP-PSK Protocol: A Pre-Shared Key Extensible Authentication Protocol (EAP) Method
Oh et al. Strong authentication and key agreement protocol in UMTS