基于IMS的多媒体广播和多播服务中的安全密钥管理方法技术

用于管理用户设备UE、诸如SCF/NAF的认证节点、以及诸如BM‑SC或AS的服务节点之间的共享安全密钥的系统、方法、和节点。SCF/NAF从SCF/NAF管理的FQDN空间中向各BM‑SC分配诸如完全合格域名FQDN的不同的SCF/NAF标识符。然后，SCF/NAF将这些分配的FQDN与连接的BM‑SC以及与不同的服务本地地关联。该网络在预期服务的服务描述中向UE发送正确的FQDN，并且UE能够使用该FQDN来得出安全密钥。当UE请求预期服务时，SCF/NAF能够将服务标识符与正确FQDN及关联的BM‑SC相关联。SCF/NAF使用FQDN从引导服务器获得安全密钥，并且将其发送到关联的BM‑SC。因此，UE和关联的BM‑SC共享特定安全密钥。

【技术实现步骤摘要】
【专利说明】基于IMS的多媒体广播和多播服务(MBMS)中的安全密钥管理相关申请本申请要求2009年4月I日提交的美国临时申请N0.61/165809的权益。
一般来说，本专利技术涉及通信网络，并且具体来说，涉及用于管理基于IP多媒体子系统(IMS)的多媒体广播/多播服务(MBMS)用户服务中的共享安全密钥的系统、方法和网络节点。
技术介绍
在若干第三代合作伙伴项目(3GPP)技术规范中描述与本专利技术相关的现有规程。它们包括:-3GPP TS 33.220 v8.5.0 Technical Specificat1n Group Servicesand System Aspects (技术规范组服务和系统方面)；Generic Authenticat1nArchitecture (GAA) ；Generic bootstrapping architecture (—般鉴权架构(GAA);—般引导架构(GBA))(发布版8);-3GPP TS 33.222 v8.0.0 Technical Specificat1n Group Servicesand System Aspects (技术规范组服务和系统方面)；Generic Authenticat1nArchitecture (GAA) ；Access to network applicat1n funct1ns using HypertextTransfer Protocol over Transport Layer Security (HTTPS)(—般鉴权架构(GAA);使用超文本传输协议在传输层安全性(HTTPS)上接入网络应用功能)(发布版8)；-3GPP TS 33.246 v8.2.0 Technical Specificat1n Group Services andSystem Aspects (技术规范组服务和系统方面);3G Security ；Security of MultimediaBroadcast/Multicast Service (MBMS) (3G安全性；多媒体广播/多播业务(MBMS)的安全性)(发布版8);以及-3GPP TS 26.237 ν8.0.0 Technical Specificat1n Group Services andSystem Aspects (技术规范组服务和系统方面);IP Multimedia Subsystem (IMS) basedPaeket Switched Streaming (PSS) and Multimedia Broadcast/Multicast Service (MBMS)User Service Protocols (基于IP多媒体子系统(MS)的分组交换流动(PSS)和多媒体广播/多播业务(MBMS)用户服务；协议)(发布版8)。图1是来自TS 33.222的高级参考模型，示出使用引导服务的网络应用功能(NAF) ο网络实体在3GPP TS 33.220中定义，3GPP TS 33.220规定通用引导架构(GBA)，其中移动通信装置(例如，用户设备(UE)Il)和引导服务器功能性(BSF) 12通过Ub参考点来运行HTTP digest AKA，并且因此建立共享密钥Ks。共享密钥Ks稍后用于得出NAF特定密钥(称作Ks—NAF密钥)，以便保密UE与NAF 13之间通过Ua参考点的通信。NAF通过Zn参考点来取回NAF特定密钥。3GPP TS 33.222条款6规定NAF 13中的认证代理(AP)的使用。AP与TS 33.220中规定的GBA架构兼容。当AP用于这种架构时，AP通过充当NAF来减轻(relieve)应用服务器(AS)的安全任务。图2是来自TS 33.222的高级参考模型，示出认证代理(AP) 15的环境和参考点。TS 33.222假定UE 11与NAF 13中的AP 15之间的使用传输层安全性(TLS)。当HTTPS请求预计送往AP之后的应用服务器(AS)16a-16n时，AP端接TLS隧道17，从BSF 12取回NAF密钥(Ks_NAF)，并且执行UE认证。AP作为代理将从UE接收的HTTP请求送往一个或多个AS。当AP将请求从UE转发给AS时，AP可添加订户识别码的断言，供AS使用。TS 33.222中为NAF密钥的使用定义的规程的问题在于，UE 11和AS 16a_16n没有共享任何密钥资料，即使可能存在会需要这种共享密钥资料的情况。AP 15充当TS33.222中的NAF 13。因此，NAF密钥(Ks_NAF)按照TS 33.220中规定的密钥推导规则是AP特定的，并且是UE不知道的。图3是来自TS 26.237的高级参考模型，示出用于密钥共享的当前解决方案。NAF密钥与AS配合使用的上面定义的这个问题也可适用于TS 26.237中定义的网络实体。在这种情况下，服务控制功能(SCF) 21充当NAF/AP的修改变体(并且因而标记为SCF/NAF)，并且MBMS广播/多播服务中心?1^0 22充当45(并且因而标记为81-5(:/^5)。与图2的AS相似，BM-SC/AS需要与UE 11的共享密钥，以便能够通过单播或广播信道将受保护MIKEY密钥管理消息从BM-SC/AS直接发送到UE。应当注意，TS 26.237没有提到与TS 33.222的AP 15和AS 16的这种类比。TS26.237中的设定与TS 33.222中不是精确相同的；例如，不一定使用UE 11与SCF 21之间的TLS隧道。但是，类似问题仍然保持不变。在TS 26.237中，引入了一种解决方案，其中SCF 21将它自己的NAF密钥(Ks_NAF)发送到BM-SC 22。BM-SC使用Ks_NAF作为MUK (MBMS用户密钥)，这用于保护从BM-SC到UE 11的MIKEY密钥管理消息。图3的步骤1_6按照当前GBA规范，而步骤7描述向BM-SC发送Ks_NAF以及订户的被断言识别码。只要仅一个BM-SC 22连接到SCF 21 (并且只要SCF能够假定对BM-SC的足够置信，使得BM-SC不会误用SCF特定NAF密钥)，则TS26.237中的当前解决方案正常工作。当两个或更多BM-SC附连到SCF时，则出现问题。这是因为，按照当前解决方案，SCF将它自己的Ks_NAF发送到BM-SC，并且因此SCF会将同一 Ks_NAF发送到所有连接的BM-SC。将同一密钥给予若干节点不是良好的安全实践。这会引起同一 Ks_NAF密钥在UE 11与所有相关联的BM-SC之间使用的情况。这会揭开诸如BM-SC对UE相互模仿的威胁。图4是示出在现有基于MS的MBMS登记过程期间在多种网络实体之间发送的消息的消息流程图。该图基于如下前提:按照3GPP TS33.203向MS登记和认证了 UE 11 ；UE与服务调度功能(SSF)(未示出)进行了通信并且接收到如3GPP TS 26.237定义的可用服务的列表；UE如3GPP TS 33.220所定义运行了与BSF 12的GBA引导；以及网络接口采用3GPP TS 33.210中定义的网络域安全性(NDS/IP)来保护。该过程如本文档来自技高网...

【技术保护点】
一种在通信网络中用于管理安全密钥的方法，其中，所述安全密钥在通信装置、认证节点、以及向所述通信装置提供服务的多个服务节点之间共享，所述方法包括下列步骤：所述认证节点向每个服务节点分配完全合格域名（FQDN），其中，每个分配的FQDN彼此不同且不同于所述服务节点已经具有的任何其他FQDN；所述认证节点将所述多个服务节点的每个提供的服务与分配到每个服务节点的所述FQDN本地地关联，其中，对于所述通信装置所预期的服务，分配给提供所述预期的服务的所述服务节点的FQDN被包括在被发送到所述通信装置的服务描述中，以使能所述通信装置基于已知信息来得出安全密钥；所述认证节点从所述通信装置接收所述预期服务的请求中的服务标识符；所述认证节点将所述预期服务的所述服务标识符与提供所述预期服务的所述服务节点以及与分配给提供所述预期服务的所述服务节点的所述FQDN相关联；所述认证节点使用分配给提供所述预期服务的所述服务节点的所述FQDN来得出由所述通信装置得出的所述安全密钥，或者从与所述通信装置通信的引导服务器获得所述安全密钥；以及所述认证节点从所关联的服务节点发送所述安全密钥，所述关联的服务节点利用所述安全密钥来保护与所述通信装置的通信；其中，当所述通信装置向不同服务节点请求其它服务时，得出不同的安全密钥，供所述通信装置与每个不同服务节点之间使用。...

【技术特征摘要】
...

【专利技术属性】
技术研发人员：V莱托弗塔，F林德霍尔姆，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE