在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行一种方法,其包括以下步骤:从第一计算设备和第二计算设备中的一个接收请求;以及响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。第一计算设备、第二计算设备和第三计算设备包括密钥管理分级结构的至少一部分,其中第一计算设备和第二计算设备在该分级结构的低级别,第三计算设备在该分级结构的高级别。
【技术实现步骤摘要】
【国外来华专利技术】用于多媒体通信系统中的安全通信的分级密钥管理
本专利技术通常涉及通信安全,更具体地,涉及在诸如多媒体通信系统的媒体平面的环境中的安全通信中使用的密钥管理协议。
技术介绍
在传统的多媒体通信系统中提供的现有的多媒体应用并不充分地支持媒体平面中的安全。在诸如因特网协议(IP)多媒体子系统(IMS)的传统多媒体通信系统中的现有的安全建议根据基于令牌的对称密钥方法;并使用潜在地创建和分发密钥的密钥管理服务进行管理。3GPP(第三代伙伴计划)技术规范(TS)33.328和33.828论述了现有的用于IMS媒体平面加密的建议,其公开的内容在此被结合作为参考。如在RFC3830中所公开的,多媒体因特网密钥(MIKEY)是基于预共享密钥的媒体安全协议的一个例子,其公开的内容在此被结合作为参考。一种尝试的MIKEY协议的改进被称为MIKEY-TICKET,并在国际专利公开号为No.WO2009/070075的专利申请中公开,其公开的内容在此被结合作为参考。MIKEY-TICKET是如在TS33.328和TS33.828中公开的Rel-9IMS媒体平面安全的一部分。MIKEY-TICKET方案使用一个或多个密钥管理服务(KMS),其向用户设备发布证书(凭据)和密钥生成信息,以用于与另一个用户设备建立会话密钥。然后,该会话密钥被用户设备用于相互进行通信。当使用两个KMS时(对于每个用户设备有一个KMS),这两个KMS不仅必须与它们正在服务的用户设备建立安全关联,而且这两个KMS还必须在彼此之间有预先存在的一对一安全关联,以便MIKEY-TICKET协议工作。这并不总是优选或可能的,特别是当每个KMS属于不同的管理域时。因此,需要一种改进的密钥管理方案,其用于在诸如多媒体通信系统的媒体平面的环境中的安全通信。
技术实现思路
本专利技术的原理提供一种或多种分级密钥管理方法,用于在例如诸如多媒体通信系统的媒体平面的环境中进行安全通信。作为本专利技术一个示例性方面,在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行一种方法,其包括以下步骤:从第一计算设备和第二计算设备中的一个接收请求;以及响应于该请求,帮助在第一计算设备与第二计算设备之间建立安全关联,以致第一计算设备和第二计算设备接着能够帮助在第一用户装置与第二用户装置之间建立安全关联。第一计算设备、第二计算设备和第三计算设备包括密钥管理分级结构的至少一部分,其中第一计算设备和第二计算设备在该分级结构的低级别,第三计算设备在该分级结构的高级别。在一个示例性实施例中,由第三计算设备执行的帮助步骤还包括:向第一计算设备发送数据项和加密信息。然后,第一计算设备将数据项发送到第二计算设备。第一计算设备还根据从第三计算设备接收的加密信息计算密钥,并使用所计算的密钥以保护一个或多个消息传输到第二计算设备。可选择地,当第一计算设备从第三计算设备接收的加密信息是预先计算的密钥时,第一计算设备使用该预先计算的密钥以保护一个或多个消息传输到第二计算设备。然后,第二计算设备向第三计算设备发送数据项。然后,响应于从第二计算设备接收数据项,第三计算设备向第二计算设备发送与被发送到第一计算设备的相同的加密信息。在一个例子中,第二计算设备可根据从第三计算设备接收的加密信息来计算密钥,并使用所计算的密钥以保护一个或多个消息传输到第一计算设备。在另一个例子中,当第二计算设备从第三计算设备接收的加密信息是预先计算的密钥时,第二计算设备使用该预先计算的密钥以保护一个或多个消息传输到第一计算设备。在一个实施例中,第一计算设备、第二计算设备和第三计算设备每一个是密钥管理服务,数据项包括凭据或证书。另外,根据示例性的方法,一旦在第一计算设备与第二计算设备之间建立安全关联,则在第一用户装置与第二用户装置之间建立会话密钥和安全关联。另外,第一计算设备可由与管理第二计算设备的管理域不同的管理域进行管理。应当知道,尽管本专利技术的原理主要适用于因特网协议多媒体子系统的环境,但本专利技术并不意味着限于此。即,本专利技术的原理通常应用于任何合适的期望提供密钥管理特性的通信系统。根据以下结合附图阅读的本专利技术的示例性实施例的详细说明,本专利技术的这些和其它目的、特征和优点会变得明显。附图说明图1A表示使用单个密钥管理服务的密钥管理体系和方法;图1B表示使用两个密钥管理服务的密钥管理体系和方法;图2A表示根据本专利技术的实施例的分级密钥管理体系和方法;图2B表示根据本专利技术的实施例的分级密钥管理消息传送协议;图3表示适合于实现根据本专利技术的实施例的一个或多个方法和协议的通信系统和计算设备的一部分的通用硬件体系。具体实施方式在此所使用的短语“多媒体通信系统”通常被定义为任何能够传送两种或更多种类型的媒体的通信系统,其中媒体包括但不限于基于文本的数据、基于图形的数据、基于语音的数据和基于视频的数据。在此所使用的短语“媒体平面”通常被定义为多媒体通信系统的一种或多种类型的媒体在呼叫会话的两方或多方之间进行交换的功能部分。这与“控制平面”相对,“控制平面”是多媒体通信系统的执行呼叫协商/调度以便建立呼叫会话的功能部分。可使用本专利技术的技术的媒体平面应用的例子包括但不限于基于IP的语音(VoIP)、即时消息(IM)、视频/音频IM和视频共享。应当理解,媒体平面包含应用层业务。在此所使用的术语“密钥”通常被定义为加密协议或方法的输入,用于诸如但不限于实体认证、私密性、消息完整性等。短语“安全关联”通常被定义为两个或更多个实体之间的关系,它基于为了认证关系中的一个或多个实体和/或加密、解密、验证等而生成的某些加密或安全数据(例如一个或多个密钥)。短语“管理域”通常被定义为由指定管理机构管理的诸如主机和路由器的网络单元和互连网络的集合。短语“用户设备”通常被定义为通信设备或客户机设备,其可由一方(用户)使用以参与在此描述的方法,并可包括但不限于蜂窝电话、智能电话、桌上型电话、个人数字助理、膝上型计算机、个人计算机等。短语“密钥管理服务”通常被定义为加密系统中提供有关生成、交换、存储、保护、使用、审阅和替换加密密钥的功能的逻辑单元。例如,密钥管理服务可以通过一个或多个服务器实现。短语“凭据”或“证书”通常被定义为一个信息,其由发布KMS进行完整性保护,并可包括元数据、参与方的身份、创建时间、有效性时间、序列号、所允许的通信使用的类型等中的一个或多个。该凭据还可包括一个或多个密钥或需要进行私密性保护的其它信息。如上所述,用于IMS媒体安全的密钥分发的MIKEY-TICKET方法需要一个或多个密钥管理服务(KMS)以与通信网络中的一个或多个设备(即用户设备(UE))具有安全关联。在正在建立密钥的UE属于不同的管理域和不同的KMS的情况下,要求这些KMS在彼此之间具有预先存在的一对一安全关联。在某些实现中,这种要求不可能被满足。例如,这样的网络结构是两个或更多个KMS,其属于两个本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.01.14 US 12/687,5151.一种用于分级密钥管理的方法,包括:在通信系统中,其中第一计算设备被配置为对于第一用户装置执行密钥管理功能,第二计算设备被配置为对于第二用户装置执行密钥管理功能,其中第一用户装置寻求发起与第二用户装置的通信,其中第一计算设备和第二计算设备彼此之间不具有预先存在的安全关联,第三计算设备被配置为执行密钥管理功能,并与第一计算设备具有预先存在的安全关联,与第二计算设备具有预先存在的安全关联,第三计算设备执行以下步骤:从第一计算设备和第二计算设备中的一个接收请求;响应于该请求,在第一计算设备和第二计算设备之间建立第一安全关联,以致第一计算设备和第二计算设备接着在第一用户装置和第二用户装置之间建立不同于所述第一安全关联的第二安全关联;以及向第一计算设备发送加密信息和包括凭据或证书的数据项;其中,第一计算设备和第二计算设备在密钥管理分级结构的低级别,第三计算设备在所述分级结构的高级别。2.如权利要求1所述的方法,其中,第一计算设备向第二计算设备发送所述数据项,第二计算设备向第三计算设备发送所述数据项。3.如权利要求2所述的方法,其中,响应于从第二计算设备接收所述数据项,第三计算设备向第二计算设备发送与被发送到第一计算设备的相同的加密信息。4.如权利要求1所述的方法,其中,一旦在第一计算设备与第二计算设备之间建立所述第一安全关联,则在第一用户装置与第二用户装置之间建立会话密钥和所述第二安全关联。5.如权利要求1所述的方法,其中,通信系统包括因特网协议多媒体子系统。6.如权利要求1所述的方法,其中,第一计算设备由与管理第二计算设备的管理域不同的管理域管理。7.一种用于分级密钥管理的装置,包括:在通信系统中,其中第一计算设备被配置为对于第一...
【专利技术属性】
技术研发人员:A·布鲁斯洛夫斯基,V·卡库莱夫,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。