对加密通信的合法监听的制作方法

xiaoxiao2020-9-10  3

对加密通信的合法监听的制作方法
【专利摘要】一种向执法机构(LEA)提供对发送节点与接收节点之间的加密通信的接入的方法。密钥管理服务器(KMS)功能存储被用来加密数据库处的通信的密码信息。该密码信息与被用来标识该发送节点与该接收节点之间的该加密通信的标识符相关联。该KMS接收源自LEA用于合法监听的请求,该请求包括用于合法监听的目标的标识。该KMS使用该目标标识来确定该标识符,并且从该数据库取回与该标识符相关联的该密码信息。该密码信息能够被用来解密该加密通信。该KMS然后将从该密码信息得到的信息或者解密的通信发送给该LEA。这有利地允许LEA不论在用于LI的许可令发出之前或之后该加密通信是否开始而获得该通信的解密版本。
【专利说明】对加密通信的合法监听

【技术领域】
[0001] 本发明涉及对加密通信的合法监听的领域。

【背景技术】
[0002] 合法监听(LI)允许执法机构(LEA)获得通信网络数据以用于分析或收集证据的 目的。该数据通常包括信令的细节,诸如被叫方和呼叫方,并且在一些实例中是该呼叫本身 的内容。
[0003] 诸如3GPP IP多媒体子系统(MS)的通信服务提供便利的基于IP的通信服务。为 了创建值得信赖的服务,这些服务有时提供通信会话的安全性(加密和完整性/真实性)。 为了使得这种安全性成为可能,如果必要的密钥管理被包括在这些服务中则是有益的,免 去了用户手动配置密钥等的麻烦。这些密钥管理服务的示例是基于Kerberos的系统,其中 所谓的密钥管理服务器(KMS)将加密钥的材料提供给用户。3GPP MS(TR33. 328,通过引用 包括在本文中)部署了类似Kerberos的密钥管理服务器概念(MIKEY-Ticket,RFC6043),尽 管复杂和先进得多。将意识到,密钥管理服务能够被使用在任何类型的通信网络中。通过 仅示例的方式,下列描述集中于3GPP MS网络。在MS背景中,通信服务是基于RTP并且 使用SRTP(IETF RFC3711)来保护(例如,加密),并且因此下列描述讨论RTP和SRTP。然 而,将意识到,类似的过程可以应用至其他安全协议,诸如TLS、IPsec、等等,并且还被用来 保护非RTP通信(例如,HTTP、MSRP、等等)。
[0004] 高层级上的基于Kerberos的系统如图1中所图示的而工作。在图1中,(x)y表示 由某个密钥y保护(例如,加密)的信息元素 X。通过一些手段,诸如带外通信,密钥管理服 务器(KMS) 1与Alice 2和Bob3分别共享密钥K_A、K_B。KMS 1还具有另一个密钥Γ (或 者用于生成这种密钥Γ的装置)。类似Kerberos的协议使用"票据"的概念,用来承载密 码数据,诸如密钥、随机数、密码算法、等等。下列编号对应于图1的编号:
[0005] S1.希望与Bob 3通信的Alice 2将票据请求发送给KMS 1,通常包含Alice 2和 Bob 3的标识。
[0006] S2. KMS 1生成随机密钥K,并且使用Alice密钥K_A和某种其他密钥Γ (其可以 是或者可以不是Bob的密钥K_B)来加密它。密钥K的这个第二副本意图用于Bob 3。KMS 1将这两个加密的密钥返回给Alice 2。Bob的副本通常被编码为"票据",该"票据"可以 包括其他信息(例如,如上面所例示的信息)。
[0007] S3. Alice 2能够(使用K_A)来解密她的K的副本,并且将该票据转发给Bob 3。
[0008] S4. Bob 3要求KMS 1 "解析"该票据。这通常包括KMS 1 (使用Γ )来解密K并 且使用K_B将它重加密。
[0009] S5. K的重加密副本从KMS1被发送给Bob3。
[0010] S6. Bob 3现在能够(使用K_B)来解密K,并且现在密钥K在Alice 2与Bob 3之 间共享,Alice 2和Bob 3可以使用它来交换被保护的(例如,被加密的)数据。
[0011] 注意,一些Kerberos变型使用Γ =K_B。在这些情形中,消息S4和S5可以被省 略,因为Bob 3然后能够使用他已经知道的K_B在本地解析该票据。
[0012] 应当注意,由Bob 3使用的KMS 1和由Alice 2使用的KMS 1可以是两个单独的 KMS。如果它们是不同的KMS,则它们必须将它们的数据同步以用于系统来工作。具体地,当 Bob 3的KMS接收到消息S4 ( "票据解析")时,Bob 3的KMS将联系Alice 2的KMS (假设 Alice的KMS的下落,例如IP地址、URL等,被编码在该票据中)并且要求关于K的相关信 息。KMS间的通信通常还使用IPSec或类似的协议来加密,使得KMS之间的K的安全传送成 为可能。
[0013] 基于上面所描述的Kerberos原理,3GPP密钥管理系统如下地工作。使用HTTP来 运送消息,但是可以使用其他协议(例如,使用会话发起协议SIP,RFC 3261)。图2中示出 了一种示例网络架构和信令,并且下列编号对应于图2的编码。
[0014] 初始地,自举阶段(未示出)发生,其中Alice 2和KMS 1获得共享的密钥K_A。 这能够通过带外手段或者通过使用3GPP GBA(TS33. 220)等来完成。类似地,如图1中所示 出的,Bob 3和KMS 1也获得共享的密钥K_B。
[0015] S7.希望与Bob 3通信的Alice 2将(被保护的,例如经认证的)针对"票据"的 请求发送给KMS 1。这个消息可以包含和与Bob 3的通信会话有关的信息以及对于安全性 (算法、随机数RAND_A、等等)是必要的参数。
[0016] S8. KMS 1核查该请求被授权并且如果是则生成密钥K_KMS_AB。
[0017] S9.使用K_A来保护(例如,加密)该密钥并且返回给Alice 2。该密钥还被编码 在票据中,目标用于Bob 3,即这个票据包含由某种密钥Γ加密的K_KMS_AB的副本,类似于 图1中所示出的副本。Alice 2能够使用K_A来解密并且恢复K_KMS_AB。
[0018] S10. Alice 2将该票据(并且可能有其他参数,例如随机数)经由会话设立信令 (例如SIP)而传送给Bob 3。
[0019] Sll. Bob 3将该票据转发给KMS 1,要求该KMS"解析该票据"。这个消息可以包含 进一步的密码参数,诸如由Bob 3所选择的随机数RAND_B。
[0020] S12.解析该票据(以与图1中所示出的方式类似的方式)意味着KMS 1使用Γ 来抽取(解密)K_KMS_AB并且使用K_B将它重加密。
[0021] S13.响应被发送回,该响应包括K_KMS_AB,由K_B加密。Bob3现在能够解密并且 恢复 K_KMS_AB。
[0022] S14. Bob现在可以生成响应(例如,被编码在SIP消息中)以发送回给Alice 2。 这可以包含Bob 3的随机数RAND_B并且可能包含其他参数。
[0023] 在此刻,Alice 2和Bob 3共享K_KMS_AB和其他参数,例如,随机数、密码算法、等 等。一般而言,原始票据中所包括的任何信息现在能够被假设由Alice 2和Bob 3所共享。 特别地,Alice 2和Bob 3能够,通过例如从K_KMS_AB得到SRTP加密密钥并且类似地配置 SRTP中的其他参数(例如,加密算法、加盐法(salt)等),以使用K_KMS_AB作为基础来保 护SRTP通信。这更详细地描述在TS33. 328和RFC6043 (MIKEY_TICKET,定义票据处置的细 节)中。
[0024] 当密钥管理服务(诸如上面所描述的那些)被提供作为服务(例如,由MS运营 商)时,在大多数情况中,对于执法机构来说能够执行合法监听(LI)以便防止/解决犯罪、 恐怖主义等是规章的要求。注意,这里LI意味着对于LEA基于许可令(warrant)来"窃听" 与用于LI的目标有关的通信的能力。因为该通信是加密的,所以仅获得对加密的通信的访 问是不够的。LEA还需要对被用来加密/解密该通信的密钥的访问。一般而言,LEA将需 要对解密该业务所需要的所有数据/信息的访问,并且通常是MS运营商的责任来递送这 个信息。备选地,取决于具体的国家规章,頂S运营商可以解密并且将未加密的业务递送给 LEA。但是,IMS运营商需要对解密参数的知识。
[0025] 例如,假定Alice 2正在与另一方Bob 3进行MS呼叫(或者一般地是某种数据 /通信传送)。进一步假定LEA发出了许可令以对涉及Alice 2的通信执行LI。现在有两 种情况要考虑。在当MS运营商接收到LI许可令时的时间点,情况可能是以下之一:
[0026] L Alice 2没有(与Bob 3或其他任何人的)当前进行中的通信会话,或者,
[0027] 2. Alice 2已经开始了(例如,与Bob 3的)呼叫。
[0028] 在任一种情况中,要求是LI应该能够立即开始。在情况1中,这相当简单。每当 Alice 2发起呼叫时,A将联系KMS 1并且KMS 1 (或者运营商的网络中的某个其他实体) 可能已经被配置为将(多个)密钥和其他信息递送给LEA。类似地,在设立用于A的通信中 所涉及的其他节点(SIP服务器、媒体网关、等等),能够被配置为将必要的参数"保存"并且 "转发"给LEA,包括(加密的)业务。情况1能够由已经知道的方法来覆盖。然而,在情况 2中,这将不起作用。
[0029] 当前,标准的MS网络在它们通常不保存呼叫设立期间所使用的参数的意义上, 本质上是"无状态的"。相应地,因此当前不可能实现对于已经开始的呼叫/会话的LI :必 要的参数可能不再是可得到的。基于Kerberos的解决方案,例如类似由3GPP所定义的解 决方案,原理上可以保存先前被递送给Alice 2(和Bob 3)的密钥K_KMS_AB的副本。当LI 许可令稍后到来时,KMS 1然后能够将该密钥递送给LEA。然而,这对于LI是不够的,因为该 密钥单独不足以解密该媒体。具体地,在任何安全协议(诸如31^1\1'1^、1?5此、等等)中, 所涉及的各方(Alice和Bob)不直接使用由KMS 1所递送的密钥。具体地,他们将基于来 自KMS的密钥以及由Alice 2和Bob 3没有网络控制地(伪)随机地选择的"随机数"(上 面称为"RAND"),来得到次级密钥。在图2中所示出的IMS示例中,会话密钥可能采用诸如 以下的形式:
[0030] K_session_AB = KDF(K_KMS_AB, RAND_A, RAND_B, · · · ·)
[0031] 其中
[0032] K_session_AB :Alice 2与Bob 3之间的会话密钥(例如与SRTP -起使用)
[0033] KDF :密钥派生函数(例如,基于HMAC_SHA256)
[0034] K_KMS_AB :从 KMS 递送给 Alice 2 和 Bob 3 的密钥
[0035] RAND_A :由A1 ice 2所选择的随机数
[0036] RAND_B :由Bob 3所选择的随机数。
[0037] 随机数RAND_A、RAND_B通常在会话设立期间(例如,被包括在SIP信令中,对应于 图2的消息S10和S14)在Alice 2与Bob 3之间被发送。
[0038] 因此,LEA将需要被给予K_会话_AB,K_会话_AB除了 K_KMS_AB之外还需要知道 (至少)RAND_A和RAND_B。所需要的其他参数可以包括进一步的随机数(例如,在SRTP的 情况中,需要所谓的"加盐法"来解密业务)、需要其他信息来指定用于加密算法的初始化矢 量(IV)、以及加密算法:Alice 2和Bob 3可以从所允许的/所支持的算法集合中选择使用 哪种算法。因此需要Alice 2和Bob 3先前选择了哪种算法的知识,以由LEA或别处解密 该通信。
[0039] 在 3GPP 稿件 SA3LI12_017 (ftp://ftp. 3gpp. org/TSG_SA/WG3_Security/TSGS3_ LI/2012_44_Barcelona/SA3LI12_017. zip)中提议了对上面的"呼叫中监听"问题的解决方 案。在这个所提议的解决方案中,KMS与Alice2不仅共享1(_4,而且共享第二密钥,这里记 为K_A'。接着,该解决方案提议Alice 2不随机地选择RAND_A,而是选择为K_A'和新随机 数N_A的(伪随机)函数,例如RAND_A = F (K_A',N_A)。
[0040] 这将使得例如KMS 1能够重新生成RAND_A,如果它被给予对N_A的访问。为了解 决这一点,该解决方案提议N_A被包括在Alice 2与Bob 3之间所发送的每个SRTP媒体分 组中(作为分组头部的一部分,例如SRTP主密钥标识符(MKI)字段)。类似地,Bob3也被 假设为具有与KMS共享的第二密钥K_B',根据该第二密钥K_B',它使用随机数N_B生成它 的RAND_B。因此,随机数N_B也需要被包括在每个SRTP分组中。
[0041] 如果LI请求在Alice 2与Bob 3之间的呼叫(或会话)中到达IMS运营商,则具 有对媒体平面SRTP分组的访问的某个实体能够从分组中抽取N_A、N_B值。将这个信息与 K_A1P K_B'(在KMS处可得到)组合,通过首先得到狀冊_八和RAND_B值,并且从它们以及 密钥K_KMS_AB (也从KMS获得)来得到对应于K_会话_AB的密钥,使得能够得到由Alice 2和Bob 3所使用的密钥。这种解决方案具有若干缺点:
[0042] ?它在Alice 2(和Bob 3)与KMS 1之间施加了第二共享的密钥,添加至密钥管理 开销/复杂度。
[0043] ?它对客户端实施方式施加了约束:它们需要使用预定义的方法来生成RAND-值。 这可能降低安全级别。对3GPP的另一稿件S3-120175证明了,如果结合一种特定的密钥管 理方案来使用,则类似的方法将减小安全性。
[0044] ?带宽开销大。每个SRTP分组必须包括至少N_A和N_B。对于安全性,这些值应 当每个都具有大约16个八位组,导致每分组的32个八位组的开销。对于通常的音频SRTP 分组大小,这意味着50-100%的开销。
[0045] ?该解决方案是不完整的,因为它不解决如何取回其他必要的参数,例如,前述的 SRTP加盐法、密码算法、等等。归因于将甚至更多的信息编码在每个分组中的需求,不清楚 用以还取回这些值的需求是否将进一步增加带宽开销。
[0046] 在专利申请US 2007/0297418中,公开了一种用于合法监听的方法。类似前述的 SA3LI12_017,这种方法基于网络保持由用户使用的密钥的副本。但是一个区别是这个公开 内容教导了网络(间歇地)从这些用户请求这些密钥。如此,它将在原理上允许呼叫中监 听。然而,这种方法存在若干缺点。首先,网络将需要或多或少经常地为密钥而轮询用户, 不允许用户根据它们经受监听的密钥请求来推断,因为LI解决方案具有用户必须不能这 样做的服务要求。其次,该解决方案仅解决了对于密钥和非密码数据(诸如CODEC信息) 的需要,但是没有处置对于LI是必要的其他密码参数。


【发明内容】

[0047] 本发明的目的是提供一种方法和装置,该方法和装置允许甚至在呼叫或会话已经 开始之后对通信网络中的加密通信的合法监听。根据第一方面,提供了一种向执法机构 (LEA)提供对发送节点与接收节点之间的加密通信的接入的方法。密钥管理服务器(KMS) 功能存储被用来加密数据库处的通信的密码信息。该密码信息与被用来标识该发送节点与 该接收节点之间的该加密通信的标识符相关联。该KMS接收源自LEA用于合法监听的请求, 该请求包括用于合法监听的目标的标识。该KMS使用该目标标识来确定该标识符,并且从 该数据库取回与该标识符相关联的该密码信息。该密码信息能够被用来解密该加密通信。 该KMS然后将从该密码信息得到的信息或者解密的通信发送给该LEA。这有利地允许LEA 不论在用于LI的许可令发出之前或之后该加密通信是否开始而获得该通信的解密版本。
[0048] 作为一个选项,KMS功能从发送节点接收针对票据的请求:该请求包含与该发送 节点有关的密码信息。该KMS生成将由该发送节点使用的第一密钥、票据,并且该KMS将该 第一密钥和与该标识符相关联的发送节点密码信息存储在该数据库中。该KMS将该第一密 钥和票据和与该标识符有关的信息发送给该发送节点。该KMS从该接收节点接收请求,该 请求消息包括该票据、与该标识符有关的信息和与该接收节点有关的进一步的密码信息。 该KMS然后生成将由该接收节点使用的第二密钥、和与该数据库中的该标识符相关联的接 收节点密码信息。该第二密钥然后被发送给该接收节点。
[0049] 在一个可选的实施例中,KMS功能提供在多于一个KMS中。在这种情况中,生成该 第二密钥的步骤包括这些KMS中的至少两个KMS之间的信息交换。这允许该方法在该发送 节点和接收节点由不同的KMS服务时被实施。
[0050] 使用时间戳、当前时间的隐含知识、与该会话相关联的序列号、票据标识符、密钥 标识符、以及会话标识符中的至少任一项来可选地得到该标识符。
[0051] 作为一个选项,使用该发送节点和接收节点中的至少一个节点的标识来得到该标 识符。
[0052] 根据第二方面,提供了一种在发送节点与接收节点之间建立加密通信的方法。该 发送节点将针对票据的请求发送给KMS,该请求包含与该发送节点有关的密码信息。该发送 节点从该KMS接收密钥和与标识符相关联的信息,该标识符由该KMS可用于标识与该通信 有关并且存储在数据库处的密码信息。该发送节点将该票据和标识符发送给该接收节点, 以与该接收节点建立加密的通信会话。从与该标识符相关联的该信息得到的第二信息被包 括在该加密通信中发送给该接收节点的分组中。这有利地允许LEA不论在用于LI的许可 令发出之前或之后该加密通信是否开始而获得该通信的解密版本。
[0053] 根据第三方面,提供了一种在发送节点与接收节点之间建立加密通信的方法。该 接收节点从该发送节点接收建立该加密通信的请求。该请求包括票据和与标识符相关联的 信息,该标识符由KMS功能可用于标识与该通信有关并且存储在数据库处的密码信息。该 接收节点将该请求消息发送给该KMS,该请求消息包括与该标识符相关联的该信息和与该 接收节点有关的进一步的密码信息。该接收节点从该KMS接收将由该接收节点使用并且存 储在数据库处的第二密钥。从与该标识符相关联的该信息得到的第二信息被包括在该加密 通信中发送的分组中。
[0054] 作为一个选项,该接收节点进一步向该发送节点发送与生成该第二密钥有关的信 息,以在该发送节点与接收节点之间建立该加密通信。
[0055] 在一个可选的实施例中,在该加密通信中,在安全实时传输协议MKI头部字段、实 时传输协议扩展头部、认证标签、安全实时传输协议头部中的附加字段、实时传输协议头部 中的附加字段中的任一项中,并且作为实时传输协议头部中的贡献源的列表中的附加贡献 源,发送从与该标识符相关联的该信息得到的该第二信息。
[0056] 根据第四方面,提供了一种提供对发送节点与接收节点之间的加密通信的合法监 听的方法。合法监听(LI)节点接收与该加密通信有关的分组,这些分组包括与标识符相关 联的信息,该标识符与被用来加密该通信并且存储在KMS中的密码信息相关联。请求被发 送给KMS,该请求包括与该标识符相关联的该信息。该LI节点接收与该标识符相关联的该 密码信息或者该加密通信的解密版本,并且将与该标识符相关联的该密码信息和/或该加 密通信的解密版本发送给LEA,该LEA能够因此不论在用于LI的许可令发出之前或之后该 加密通信是否开始而获得该通信的解密版本。
[0057] 根据第五方面,提供了一种被提供具有处理功能的KMS,该处理功能用于在数据库 处存储被用来加密发送节点与接收节点之间的通信的密码信息,该密码信息与标识符相关 联。接收器被提供用于接收源自LEA针对合法监听的请求,该请求包括用于合法监听的目 标的标识。该处理功能被配置为使用该目标标识来确定该标识符,并且从该数据库取回与 该标识符相关联的该密码信息,该密码信息可用来解密该加密通信。发射器被提供用于将 该密码信息发送给该LEA。
[0058] 作为一个选项,该接收器被布置为从该发送节点接收针对票据的请求,该请求包 含与该发送节点有关的密码信息。在这种情况中,KMS进一步包括生成功能,该生成功能用 于生成将由该发送节点使用的第一密钥,该密钥和发送节点密码信息与该数据库中的该标 识符相关联。该发射器进一步被布置为将该密钥、该票据和与该标识符有关的信息发送给 该发送节点。该接收器进一步被布置为从该接收节点接收请求,该请求消息包括该票据、与 该标识符有关的信息和与该接收节点有关的进一步的密码信息。该生成功能进一步被布置 为生成将由该接收节点使用的第二密钥,该第二密钥和接收节点密码信息与该数据库中的 该标识符相关联。该发射器进一步被布置为将该第二密钥发送给该接收节点。
[0059] 根据第六方面,提供了一种用于使用在通信网络中的发送节点。该发送节点被提 供具有发射器,该发射器用于向KMS发送针对票据的请求,该请求包含与该发送节点有关 的密码信息。接收器被提供用于从KMS接收密钥、票据和与标识符相关联的信息,该标识符 由该KMS可用来标识与该通信有关并且存储在数据库处的密码信息。该发射器进一步被布 置为向该接收节点发送该票据和与该标识符相关联的信息,以建立与该接收节点的加密通 信会话。处理器被提供,该处理器被布置为将从与该标识符相关联的该信息得到的第二信 息包括在该加密通信中发送给该接收节点的分组中。
[0060] 根据第七方面,提供了一种用于从发送节点接收加密通信的接收节点。该接收节 点被提供具有接收器,该接收器用于从该发送节点接收建立该加密通信的请求,该请求包 括票据和与标识符相关联的信息,该标识符由KMS函数可用来标识与该通信有关并且存储 在数据库处的密码信息。发射器被提供用于向该KMS功能发送请求消息,该请求消息包括 该票据、与该标识符相关联的信息和与该接收节点有关的进一步的密码信息。该接收器被 布置为从该KMS功能接收将由该接收节点使用并且存储在数据库处的第二密钥。处理器被 提供,该处理器被布置为将从与该标识符相关联的该信息得到的第二信息包括在该加密通 信中发送的分组中。
[0061] 作为一个选项,该发射器进一步被布置为向该发送节点发送与该第二密钥的生成 有关的信息,以建立该加密通信。
[0062] 根据第八方面,提供了一种用于使用在通信网络中的LI节点。该LI节点被提供 具有接收器,该接收器用于接收和发送节点与接收节点之间的加密通信有关的分组,这些 分组包括与标识符相关联的信息,该标识符与用来加密该通信的密码信息相关联。发射器 被提供用于向KMS发送提供用于加密通信的加密信息的请求,该请求包括与该标识符相关 联的信息。该接收器被布置为接收与该标识符相关联的密码信息和该加密通信的解密版本 中的任一项。该发射器进一步被布置为将与该标识符相关联的该密码信息和/或该加密通 信的该解密版本发送给LEA。
[0063] 根据第九方面,提供了一种包括计算机可读代码装置的计算机程序,该计算机可 读代码装置当运行在计算机设备上时,促使该计算机设备执行上面所描述的方法中的任一 种方法。还提供了一种计算机程序产品,该计算机程序产品包括计算机可读介质和如上面 所描述的计算机程序,其中该计算机程序被存储在该计算机可读介质上。

【专利附图】

【附图说明】
[0064] 图1在框图中不意性地图不了允许一方将加密数据发送给另一方的Kerberos原 理。
[0065] 图2在框图中示意性地图示了用于3GPP密钥管理解决方案的网络架构和信令; [0066] 图3在框图中示意性地图示了根据本发明的一个实施例的用于3GPP密钥管理解 决方案的网络架构和信令;
[0067] 图4图示了 SRTP数据分组格式;
[0068] 图5是示出了根据本发明的一个实施例的设立会话的信令的信令图;
[0069] 图6在框图中示意性地图示了根据本发明的一个实施例的用于建立合法监听的 网络架构和信令;
[0070] 图7是一个信令图,该信令图示出了在一个实施例中设立会话的信令,在该实施 例中,订户使用根据本发明的进一步实施例的不同的密钥管理服务器;
[0071] 图8在框图中示意性地图示了根据本发明的一个实施例的密钥管理服务器;
[0072] 图9在框图中示意性地图示了根据本发明的一个实施例的发送节点;
[0073] 图10在框图中示意性地图示了根据本发明的一个实施例的接收节点;以及
[0074] 图11在框图中示意性地图示了根据本发明的一个实施例的合法监听节点。

【具体实施方式】
[0075] 下列描述将发送节点称为Alice并且将接收节点称为Bob。更一般地,该发送节点 在由本发明所解决的使用情况中能够考虑为"通信-发起"节点并且该接收节点能够考虑 为"通信-响应"节点。注意,例如,如果Alice参与某个组通信场景,例如,音频/视频多 方会议,则"接收节点"还能够是一组接收器。本发明还覆盖分支场景,例如,当Alice将邀 请指向一组接收器并且其中该组中的任何单个成员可以响应("接听")该呼叫。例如,如 果该呼叫指向*@corporate. com并且其中任何属于该域corporate, com的授权用户可以响 应。
[0076] KMS1通过从承载票据的消息存储参数的功能而被扩展,从而KMS1能够稍后(如果 需要,例如由于LI)取回必要的/相关的LI参数。注意,稿件SA3LI12_017隐含地假设了 该KMS已经存储了对应于K_KMS_AB的密钥。如上面所提到的,MS网络本质上可以是无状 态的,并且尽可能地维持这种性质因此是合意的。然而,KMS 1必须维持状态,即使没有任 何LI要求。KMS 1必须至少保持与Alice 2和Bob 3共享的密钥〇(_八和1(_8)的副本,如 所提到的,从GBA(3GPP TS33. 220)过程来获得与Alice 2和Bob 3共享的密钥的副本。因 为这种密码状态如此已经存在,所以添加其他参数来实现会话中LI的对这种状态的轻微 拓展看起来是可接受的。然而,注意,将这个额外的LI状态信息保持在KMS 1中仅是若干 可能的实施例中的一个实施例。如下面更详细讨论的,在KMS之外的分离服务器可以保持 这种状态。
[0077] 参考图3,示出了图示了本发明的一个实施例的示例信令。下列编号对应于图3的 编号:
[0078] S15.希望与Bob 3通信的Alice 2向KMS 1发送针对票据的(被保护的,例如经 认证的)请求。这个消息可以包含与会话有关的信息和对于安全性是必要的参数(算法、 随机数RAND_A、等等)。
[0079] S16.KMS 1核查该请求被授权,并且如果是则生成密钥K_KMS_AB。另外,KMS 1指 配与该票据相关联的ID(这可以或者可以不与如RFC 6043中所定义的TICKET ID有关)。 这个ID被使用作为进入数据库的索弓|。KMS 1存储K_KMS_AB和其他相关数据,例如RAND_ A,并且将该数据与该索引ID (或者从该ID得到的索引)相关联。
[0080] S17.该密钥使用K_A被保护(例如,被加密)并且返回给Alice 2。该密钥还被 编码在目标用于Bob 3的票据中,即这个票据包含由某个密钥Γ加密的K_KMS_AB的副本。 该消息还包含该ID (或者从该ID能够得到的某个其他值)。该ID可以是该票据的参数字 段。Alice 2能够使用K_A解密并且恢复K_KMS_AB。Alice 2还抽取并且存储ID用于稍 后使用。Alice 2还可以通过其他手段(例如在另一个消息中)来接收该ID(或者从该ID 能够得到的某个其他值),只要她能够将它与步骤S16中所提到的数据相关联。能够从其得 到该ID的值可以例如是,时间戳、当前时间的隐含知识、该会话中所使用的协议中所承载 的序列号、在与该会话相关联的某种其他协议中所承载的会话标识符、前述的来自RFC6043 的 TICKET ID、等等。
[0081] S18. Alice 2将该票据(以及可能有其他参数,例如随机数)经由会话设立信令 (例如SIP)传送给Bob 3。另外,该ID还被编码在该消息中。
[0082] S19.Bob 3将该票据和该ID转发给KMS 1,要求KMS 1解析该票据。解析票据包 括验证它的有效性并且核查Bob获得与该票据相关联的该密钥的权限。这个消息可以包含 进一步的密码信息,诸如由Bob 3选择的随机数RAND_B。它还可以包括如下的值,Bob 3和 KMS 1能够从该值计算出RAND_B。这样的值可以是,为了这个目的而添加的明确的或隐含 的序列号或者来自被重用的另一种协议的已有的序列号、时间戳、对于该会话(与对Bob 3 是唯一的事物(例如他的以ΝΑΙ格式的标识)相结合地使用)是唯一的某个其他值。其他 示例能够被设想到。
[0083] S20.为了解析该票据,KMS 1使用Κ'来抽取(解密)K_KMS_AB,验证该票据是有 效的并且允许由Bob解析,并且使用K_B来将它重加密。KMS 1还通过相关的参数(例如 RAND_B)来更新由ID (或者和从该ID可得到的索引)编索引的数据库条目。取决于哪个值 被Bob 3包括在步骤19中,KMS 1可能必须执行计算来得到该值,以插入在由ID编索引的 条目中。一旦首先需要最终值,KMS 1还可以选择将从Bob 3接收的(多个)值直接插入 到该表格中,并且执行必要的计算。
[0084] S21.包含由K_B加密的K_KMS_AB的响应被发送回。Bob 3能够解密并且恢复K_ KMS_AB。如果ID被承载在这个消息中,则Bob 3还抽取并且记录该ID。如果该消息没有承 载该ID,则由于与步骤S17中所给出的相同原因,Bob相应地以某种其他方式来得到该ID。 该ID可以例如已经以加密形式在消息S18中,在该情况中,Bob 3仅能够在从KMS接收到 该响应之后抽取它。
[0085] S22. Bob 3现在可以生成响应以发送回给Alice 2。这可以包含Bob 3的随机数 RAND_B并且可能包含其他参数。如果RAND_B能够从所述数据得到,则Bob 3可能需要对 他从KMS所接收的数据执行一些计算,以能够产生例如RAND_B。例如,KMS 1可以返回时间 戳,Bob 3将与他与KMS 1所共享的密钥一起使用该时间戳来得到RAND_B。关键点是KMS 1具有与Bob 3将得到什么值并且发送给Alice 2有关的完全信息。
[0086] 在此刻,SRTP分组能够开始在Alice 2与Bob 3之间流动。在每个分组中,Alice 2和Bob 3包括了允许KMS 1恢复该ID的对该ID或者从该ID得到的信息的编码。在一 个优选的实施例中,SRTP MKI头部字段被用来承载这种编码。对于将该ID编码在SRTP分 组中,其他选项也是可能的。示例包括将该ID承载在RTP-扩展头部中、将它承载在认证标 签的一部分中、向RTP或SRTP头部添加新字段、将它添加作为RTP头部的末尾处的共享源 (CSRC字段)的列表中的贡献源。
[0087] 现在注意,如果LI命令出现在会话中期,则上面所描述的过程向KMS1提供对所有 相关参数(包括RAND等)的访问。注意,该ID(以及它的编码)能够相当短,因为它仅需 要在KMS 1处唯一地标识数据库条目。事实上,KMS 1可以利用扩展的索引:
[0088] ID = (ID_Alice, ID_B〇b, ID_AB)
[0089] 并且使用它来将它的数据库编索引。通过添加 Alice 2和Bob 3自己的标识,ID_ AB仅需要在每对通信实体中是唯一的,例如单个八位组通常将是足够的。Alice 2和Bob 3 然后仅需要将ID_AB包括/编码在媒体/SRTP分组中。因为ID_AB不被使用在任何密钥派 生中,所以使用短ID_AB没有安全性影响(不像前述的SA3LI12_017)。还注意,客户端实施 方式可以使用任何方法来生成RAND-值,因为它不取决于ID。如果SRTP MKI字段被用来编 码ID_AB,则它能够以这样的方式被使用:以便通过使用ID_AB作为要使用哪个密钥的标识 符,来与已有的客户端SRTP实施方式完全向后兼容,因为ID_AB是密钥标识符。
[0090] 对于如上面所示出的构建了该ID的参数来说,有可能通过散列函数来运行,该散 列函数的输出可以或者可以不被截位。该结果可以被使用作为ID,能够为了所有的实践目 的而统计唯一地制作该ID。例如,使用比方说SHA256的输出的80个最右边的比特,将最有 可能为将需要呼叫中监听的所有呼叫产生唯一的值。
[0091] 如所注意到的,例如,如果Alice 2和Bob 3使用不同的IMS操作,则由Bob 3使 用的KMS和由Alice 2使用的KMS可以是两个单独的KMS。如果它们是单独的,则它们必须 将它们的数据同步以用于系统来工作。然而,这种同步不仅需要用于LI目的。如果Alice 2和Bob 3的KMS是不同的,则当Bob 3在步骤S19中要求解析票据时,Bob的KMS将(作 为处理的一部分,步骤S20)需要与原始发出该票据的Alice 2的KMS通信。如果需要,KMS 能够交换与LI相关的参数(例如密钥、RAND-值、等等)来确保它们具有相同的信息。这 意味着,如果这两个KMS/MS操作属于独立的法定管辖,则这些管辖中的任一个管辖的LEA 将能够独立地执行LI,而没有跨不同域传送与作为合法监听的目标的订户有关的附加信息 的需要。
[0092] 上面的描述在任何类型的分组交换网络的背景中描述了本发明的一般实施例。下 列描述在3GPP MS网络的背景中描述具体的实施方式。本领域的技术人员将认识到,类似 Kerberos的密钥管理服务被部署在其中的任何设定,都能够利用相同的解决方案。仅有的 区别在于,哪些协议被用来传送密钥/票据(MIKEY_票据、HTTP、UDP、等等)以及哪种安全 性协议被用来保护Alice 2与Bob 3之间的通信61^1\?51(-1'1^、1?5此、等等)。这仅仅是 消息格式/传送的问题。不同的选择对于安全性协议的影响在于,哪些参数被需要来执行 LI,即解密。这些参数在一些实施例中可以包括下列各项中的任一项或所有项:
[0093] ?由KMS 1所提供的密钥(即对应于上面的K_KMS_AB),
[0094] ?被用来得到密钥的随机数/RAND (即上面的RAND_A等),
[0095] ?被使用在安全性协议中的随机数/加盐值(例如SRTP加盐值),
[0096] ?所选择的密码算法,
[0097] ?计数器或者其他同步信息(例如SRTP翻转计数器、R0C)。
[0098] 在下列描述中,术语"密码LI信息"(CLII)被用来指代对于LEA(和/或IMS运营 商)解密加密的数据是必要的参数。这可以包括上面的示例中的任何示例。在本发明的一 个实施例中,被用来标识CLII的标识(称为ID)被编码在SRTP MKI字段中。将意识到,可 以使用备选的机制,并且这仅通过示例的方式而被使用。例如,如果除了 SRTP之外的安全 性协议被使用,则将意识到,不同的特定于协议的字段可以被使用。例如,在IPSec的情况 中,SPI-字段或某种其他IP头部(扩展)字段可以被使用。
[0099] 参考本文的图4,图示了根据IETF RFC3711的SRTP数据分组。如所提到的,其他 协议将具有类似的数据字段,例如IPSec安全性参数索引(SPI)字段。SRTP分组4包括RTP 头部5和RTP有效载荷6。有效载荷6通常被加密并且头部5和有效载荷6通常被认证。 MKI字段7也可能存在(使用是可选的),并且被用来告知Alice/Bob当分组4被接收时使 用哪个密钥来处理分组4。每个SRTP会话具有相关联的密码上下文,包括密钥、算法以及对 于Alice/Bob处理所接收的分组是必要的其他参数。因此,一般而言,Alice2和Bob3可以 具有多个这种上下文,并且每个上下文可以进一步具有若干密钥。Alice 2和Bob 3将使用 IP地址和(UDP)端口号来取回正确的密码上下文(如在RFC3711中所描述的)。给定了上 下文,MKI 7然后被用来确定使用(该密码上下文内的)哪个密钥。例如,假设密码上下文 具有两个密钥K_AB1、K_AB2。Alice 2和Bob 3以某种方式同意将K_AB1与MKI_AB1相关 联,并且将K_AB2与MKI_AB2相关联。当Alice 2将加密分组发送给Bob 3时,取决于她用 哪个密钥来处理(加密)该分组,她将MKI_AB1或MKI_AB2包括在该分组的MKI字段7中。 Bob3因此能够通过检查MKI字段7来推断使用MKI_AB1还是MKI_AB2来处理(解密)。
[0100] MKI字段7可以是短的,仅一个或两个字节。它仅需要在该密码上下文内是唯一 的。特别地,如果MKI对于用于Alice 2与Bob 3之间的所有SRTP会话都是唯一的,这将 是足够的,并且通常将仅存在小数目的这种会话。
[0101] 当MIKEY-TICKET被使用时,票据能够承载关于MKI 7的信息(或者一般而言, SPI-类型的信息)。MS运营商网络中的节点(例如KMS1)将因此具有对这些票据的MKI 字段7的访问。
[0102] 有效地,KMS将使用(标识_A、标识_B、MKI)作为用于该CLII的标识符/索引,而 这个标识符、该MKI的仅一部分被包括在Alice 2与Bob 3之间所发送的分组中。
[0103] 参考图5,图示有会话设立信令(根据3GPP TR33. 328而适配)。下列编号对应于 图5的步骤:
[0104] S23.当KMS 1从Alice 2接收到REQUEST_INIT( "票据请求")时,该请求将(根 据当前的3GPP/IETF规范)包括与CLII有关的信息,例如RAND-值(随机数)、将被使用在 SRTP中的密码算法、等等。根据本发明,KMS 1存储这个CLII。KMS 1还生成将在响应中被 返回的密钥(对应于K_KMS_AB)。KMS 1还将这个密钥(以及由KMS所生成的其他与CLII 有关的信息,例如进一步的随机数、计数器、等等,如果适用的话)保存作为"CLII包"的一 部分。因为来自Alice 2的该消息包含用于Alice 2和Bob 3的标识符,所以一个实施例 使用这一对标识符作为索引或CLII标识符的一部分,KMS 1通过该索引或CLII标识符来 引用这个CLII包。KMS 1还紧邻对于CLII标识符的MKI (或者对应值)。如果Alice 2没 有指定MKI-值,则KMS 1可以代表Alice 2来选择MKI并且将它包括在响应中。
[0105] S24. KMS 1 将 REQUEST_RESP 发送给 Alice 2。在接收到该 REQUEST_RESP 之后的 某个点处,Alice 2利用从KMS 1所接收的信息来填充她的SRTP密码上下文的数据库。这 包括密钥K_KMS_AB和MKI。Alice 2根据标准SRTP定义而将该密钥K_KMS_AB与这个MKI 相关联。
[0106] S25. Alice 2将TRANSFER_INIT发送给Bob 3。这个消息包括Bob 3的票据,该票 据包括MKI、其他参数,诸如RAND_A、算法、以及K_KMS_AB的(加密的)副本,在这个示例中, 使用SIP信令而使该副本对Bob 3是可用的。
[0107] S26. Bob 3 将 RES0LVE_INIT 发送给 KMS 1。当 KMS 1 接收到该 RES0LVE_INIT 时, 它将查找如由CLII标识符编索引的条目(即发起者和响应者的标识以及如从所接收的消 息/票据抽取的MKI)。KMS 1将任何相关的进一步与CLII有关的参数(例如,由Bob 3所 提供的RAND_B和/或由KMS 1它自己所选择/提供的RAND,等等),并且通过由该CLII标 识符编索引的这些值来更新该CLII信息。
[0108] S27.KMS 1将所解析的票据(包括MKI)返回给Bob 3。Bob 3现在类似地填充他 的将K_KMS_AB与该MKI相关联的密码上下文的数据库。
[0109] S28.Bob 3 将 TRANSFER_RESP 发送给 Alice 2。
[0110] 在某个稍后的时间点处,将在Alice 2与Bob 3之间发送SRTP分组。这些分组 (默认是所有分组,但是可选地仅一些分组)将包括MKI字段。注意,对于Alice 2和Bob 3,MKI只是根据标准SRTP过程来处置的主密钥标识符。当由KMS 1使用作为CLII标识符 (的一部分)时,它们没有MKI的扩展"语义"的知识(它们也不需要具有这种知识)。
[0111] 现在考虑如下的情形,在Alice 2与Bob 3之间的SRTP通信已经开始之后,LEA发 出针对LI的请求。该过程图示在图6中,并且下列编号对应于图6的编号。
[0112] S29. LEA 9将针对LI的请求发送给由MS运营商11操作的LI功能10。该请求 包括LI目标的标识符(在这个示例中,目标是Alice2)。
[0113] S30. MS运营商11将所接收的标识符转换为某种内部使用的标识符,记为目标_ ID,用于目标2(确切地说这如何完成在本发明的范围之外),即当如上面所讨论的请求票 据时由Alice 2使用的标识符。
[0114] S31. MS运营商的LI功能10确定Alice 2是否具有至少一个进行中的呼叫/会 话。这可以例如通过查阅呼叫控制服务器(SIP服务器)、媒体处置节点/网络、数据库(例 如HSS)等来完成。用于它的确切机制在本发明的范围之外。如果没有检测到进行中的会 话,则可以采取一些LI-准备动作(在本描述的范围之外)。如果检测到进行中的会话,该 过程在步骤S32继续。
[0115] S32.KMS 1被联系并且被请求提供与Alice 2相关联的CLII。
[0116] S33.KMS 1使用所供应的标识来执行对它的数据库的查找。例如,它可以搜寻表 格(Target_ID, *,*)、(*,Target_ID, *)的CLII标识符,表示分别代替其他方标识符和 MKI的"通配符"。备选地,如果MKI和/或Alice通信放的标识符以某种方式已经是知道 的,这些值可以明确地被包括在CLII查找中。
[0117] S34.KMS 1为Alice 2针对(所有的)进行中的会话取回CLII并且将它们返回给 运营商的LI功能10,包括允许CLII与有关会话之间的相关性的信息。例如,在其中Alice 2涉及多于一个会话中的情况中,每个会话具有不同的会话密钥和其他密码参数,存在能够 将CLII的每个集合与该有关会话相联系的需求,以确保LEA能够将正确的密钥与正确的会 话相匹配。这更详细地描述在下文中。
[0118] S35.运营商的LI功能110向LEA 9提供CLII (或者从其得到的信息)。
[0119] S36.通过从某个媒体平面节点(例如,SGSN、媒体网关(MGw)、会话边界网 关(SBG)、媒体资源功能(MRF)、等等)转发与监听目标有关的业务,还使得去往/来自 Alice(目标)的(加密的)业务对LEA 9是可用的。
[0120] 如步骤S34的具体实施例,不是将所有的CLII信息提供给LEA 9,运营商的LI功 能1〇(和/或KMS 1)可以检查该目标的一些SRTP分组,特别是MKI字段,并且取回/得到 必要的密钥并且仅将密钥(以及可能有其他所选择的相关参数)提供给LEA 9。
[0121] 取决于国家规章,作为对步骤S35和S36的进一步备选机制,LI功能10可以使用 CLII以及在步骤S34中所接收的相关信息,来解密媒体并且将未加密的媒体发送给LEA 9。
[0122] 尽管在步骤S31中所提到的LI-准备动作在本描述的范围之外,但是建议了这种 LI-准备动作的一个示例。在步骤S31中,LI功能10可以指令或预配置KMS 1为针对由 Alice所做出的每个随后的密钥/票据REQUEST_INIT来根据步骤S33和S34运行。这将实 现,对于在该LI请求由LI功能10接收的时候还没有发起的呼叫/会话,也使用完全相同 的对LI的处置。
[0123] 注意,本发明不论LI目标是通信的发起者还是响应者(Alice 2或Bob 3)都工作 良好。已经详细讨论了发起者的情况。如果LI目标是响应者(Bob 3)则存在两种情况要 考虑:
[0124] 如果Alice 2和Bob 3使用相同的KMS/MS运营商,则不存在区别。然而,如果 Bob 3具有单独的KMS,可能在另一个管辖中,Bob的KMS使用在由Alice 2的KMS所创建 的票据中所编码的信息,将能够向Bob 3提供用以得到共享密钥K_KMS_AB的所有必要的信 息,以及对于进一步的密钥派生是必要的所有其他参数,例如由Alice 2所选择的RAND-值 等。Bob 3和/或Bob 3的KMS可以进一步选择这些参数(例如,进一步的RAND-值),并 且这些参数对Bob 3的KMS也是已知的。因此,在Bob的KMS处可用的信息(可能部分地 通过与发起者的KMS的通信来获得)将使得Bob 3的KMS能够创建并且存储CLII信息的 完整集合,因此能够如上面所描述的使得该CLII信息的完整集合(如果接收到LI许可令 /当接收到LI许可令时)对本地管辖的LEA是可用的。
[0125] 如上面所提到的,该过程稍微增加了作为KMS 1中的状态而保持的信息量。如果 这是有问题的(例如,由于KMS 1中的存储器约束),则单独的节点/服务器可以维持这个 状态。KMS 1将仍然被包括在如所描述的票据处理中,但是存储将单独地完成。KMS 1将因 此具有接口来与这个存储节点通信,并且将(从票据抽取的和/或本地生成的)CLII信息 发送给这个节点以用于存储。已经接收到用于LI的许可令后,运营商的LI功能10然后可 以替代地从这个存储节点获得该CLII信息。
[0126] 图7(根据3GPP TR33.328而适配)示出了其中Alice 2具有KMSKMS_I 12并且 Bob 3具有单独的KMS KMS_R 13的情况。如上面所注意到的,KMS_R 13将通过与KMS_I 12 的通信获得所有必要信息,以使得Bob 3能够得到与Alice/KMS_I 12相同的密钥和其他 密码参数的集合。结果,KMS_R 13将能够维持与由KMS_I 12所持有的CLII相同(或者同 等)CLII的副本。
[0127] 当KMS如图7中所示出的是分离的,并且LI许可令在KMS_I 12的管辖中发出时, 出现了一个问题(已经描述过LI在KMS_R 13的管辖中的情况)。
[0128] 注意,Bob 3和/或KMS_R 13在来自Bob 3的RES0LVE_INIT消息时(或者之后), 可以选择进一步的CLII-基本参数(例如RAND-值)。例如,如果KMS_R 13在与KMS_I 12 的通信完成之后应当选择某个参数,这个参数对KMS_I 12将不是已知的,如果LI许可令在 KMS_I 12的管辖中发出,则这将是一个问题。对这一点的可能解决方案包括:
[0129] 1.要求KMS_I 12将(在"响应者侧"所选择的/所生成的)任何附加的CLII-相 关信息都转发给KMS_R 13,以及将RES0LVE_INIT消息传送给KMS_I 12。特别地,要求KMS_ R 13在这个通信之后不选择任何进一步的CLII参数。KMS_I 12的CLII因此由从KMS_R 13所接收的CLII-相关信息所更新。
[0130] 2.在通向KMS_I 12的连接处或者在通向KMS_I 12的连接中,抽取从Bob 3到 Alice 2的最终RES0LVE_INIT中所包括的任何附加的CLII-相关信息。这个消息将通过 Alice 2的域/管辖来传递。KMS_I 12将具有从这个消息解密/抽取信息所需要的所有信 息。毕竟,Alice 2必须能够解码这个消息,并且KMS_I 12也具有对用于这个目的的所有 相关信息/密钥的访问。在这个抽取之后,KMS_I 12的CLII相应地被更新。
[0131] 注意,在任一种情况中,没有与作为LI的目标的订户有关的信息在两个域之间被 传送。在域之间交换的信息不论LI是否被激活都被交换,从而不可能检测到该通信正在被 监听。
[0132] 在两个或更多会话中涉及用于LI的目标的场合,如上面在步骤S34中所提到的, 正确的CLII必须与正确的会话相关。首先,该LI目标的IP地址被假定是已知的。例如, 该目标将在为传入的MS呼叫提供可达性的SIP服务器中注册,并且因此这些服务器将无 论如何需要知道用户标识与IP地址之间的映射,而不论呼叫是否被加密。本发明的一部分 是使用MKI (或者等效的)字段作为用于标识相关联的CLII的基础。因为MKI承载在媒体 分组中,所以发起者/响应者的标识的附加知识能够在原理上被用来标识正确的CLII。如 果MKI由KMS 1所指配,则KMS 1能够确保(具有用户标识符的)MKI为每个媒体会话唯一 地标识CLII。然而,如果用户负责指配MKI,则可能发生Alice 1和/或Bob 2偶然地(或 者甚至故意地)为两个不同会话选择抵触的MKI,由此使得CLII标识模糊不清。因为不太 可能任意两个用户都参与多于小数目的会话,所以网络和/或LEA可以简单地尝试所有可 能的CLII并且它们之一将是正确的那个。另一个选项是,使票据(MIKEY-票据,RFC6043, 规定了这种标识符)的标识被使用作为CLII标识符(的一部分)。如上面所讨论的,这个 票据ID (或者根据其能够得到该票据ID的信息)能够被包括在MKI字段中。
[0133] 参考图8,图示有KMS 8。该KMS可以包括处理功能14和CLII存储15,或者这些 可以被提供在单独的节点中。如上面所描述的,处理功能14被用于与CLII存储15中的 CLII相关联的ID。为了清楚,图示了单个收发器16,尽管将意识到它在物理上可以是由若 干发射器和接收器来具体化的。收发器16被布置为从LI 10接收请求,该请求包括用于合 法监听的目标的标识。作为结果,处理功能14使用该目标标识来确定ID,并且从CLII存储 15取回该CLII。收发器16然后将该CLII发送给LEA 9 (或者LI 10)。LEA然后可以使用 CLII来解密所转发的业务S36b。备选地,解密在媒体平面节点或LI10处进行,从而所转发 的业务S36b在它到达LEA时已经被解密。
[0134] KMS还被提供具有用于生成密码材料的密码生成功能17和用于生成并解析票据 的票据处理功能18,以及密钥存贮器20。用于生成密码材料的密码生成功能17和用于生 成并解析票据的票据处理功能18可以由单个处理器19来实施,或者由不同的处理器来实 施。KMS1还可以被提供具有采用计算机可读介质的形式的存储器21。存储器21可以被用 来存储程序22,当由处理器19运行时,程序22促使KMS如上面所描述的来运行。
[0135] 参考本文的图9,图示有发送器节点2。再次地,为了清楚,图示了单个收发器23, 但是将意识到它可以具体化为多个发射器和接收器。收发器23被布置为,将针对票据的 请求发送给KMS 1,该请求包含与该发送器节点有关的密码信息。收发器23进一步被布置 为,从KMS 1接收响应,该响应包括密钥、票据、以及与ID相关联的信息。该收发器还被布 置为,向接收器3发送该票据以及与ID标识符相关联的信息,以建立加密的通信会话。处 理器24被提供,其被布置为将与该ID相关联的信息包括在该加密通信中发送给接收器3 的分组中。采用计算机可读介质的形式的存储器25可以被提供。它能够被用来存储程序 26,当由处理器24执行时,程序26促使该节点如所描述的运行。存储器25还可以被用来 存储与ID27有关的信息。
[0136] 注意,该发送器节点可能不知道它正在使用与分组中的ID相关联的信息。这可 能是例如其中KMS 1提供将被使用在MKI字段中的信息的情况。然而,它可能是非SRTP 协议被使用,诸如IPSec。通常,使用照顾到"密钥"与"SPI"之间的关联性的IKE协议来 创建IPSec密钥。在上面所描述的方法被应用在IPSec环境中的场合,IKE协议将以类似 Kerberos的协议来替代(例如,如IETF RFC4430中所描述的,或者直接与IPSec -起使用 Kerberos)。由还没有被IKE创建的SPI "填充" IPSec SA数据库的机制,是发送器(和接 收器)将需要执行的新功能。
[0137] 参考文本的图10,图示有接收器节点3。为了清楚,图示了单个收发器28,但是将 意识到它可以具体化为多个发射器和接收器。收发器28被布置为,接收建立与发送器2的 加密通信的请求。该请求包括票据和与ID相关联的信息。收发器28被布置为向KMS 1发 送请求消息,该请求消息包括该票据、与该ID相关联的消息、以及与接收器3有关的进一步 的密码信息。收发器28进一步被布置为,从KMS1功能接收将由接收器3使用的第二密钥。 收发器28还可以被布置为,将与第二密钥的生成有关的密码信息(例如,随机数)发送给 发送器2,以建立加密的通信会话。处理器29被布置为包括该加密通信中所发送的分组中 的标识符相关联的信息。采用计算机可读介质的形式的存储器30可以被提供。它能够被 用来存储程序31,当由处理器27执行时,程序31促使该接收器节点如所描述的运行。存储 器30还可以被用来存储与ID27有关的信息。
[0138] 参考本文的图11,图示有LI节点10。为了清楚,图示了单个收发器33,但是将意 识到它可以具体化为多个发射器和接收器。收发器33接收和Alice 2与Bob 3之间的加 密通信有关的分组。这些分组包括与ID相关联的信息。该收发器将请求发送给KMS 1,该 请求包括与该ID相关联的信息。该收发器还被布置为,从KMS 1功能接收CLII。收发器 33然后被布置为,将该CLII或者该加密通信的解密版本发送给LEA 9。备选地,收发器33 被布置为,将该CLII传输给媒体平面节点,并且指令该媒体平面节点使用该CLII来解密 Alice2与Bob 3之间的通信,并且将它转发给LEA 9。处理器34被提供用于处理信令。采 用计算机可读介质的形式的存储器35可以被提供。它能够被用来存储程序36,当由处理器 34执行时,程序36促使LI节点如所描述的运行。
[0139] LI节点10可以将该CLII直接发送给LEA 9以用于LEA执行解密。备选地,LI节 点10它自己可以使用CLII来执行解密,并且将解密的通信发送给LEA 9。在一个备选实施 例中,LI节点10可以将该CLII发送给媒体平面节点,该媒体平面节点执行对该加密通信 的解密并且将该解密的通信发送给LEA 9。
[0140] 在其中该ID独立于票据信息的实施例中,可以通过仅对KMS 1是已知的密钥来保 护该票据信息。这防止了在票据信令消息中Alice 2和/或Bob 3对该ID的篡改。如果 这种保护不存在,仍然存在能够被采用来使得该解决方案更加鲁棒的动作。例如,当KMS 1 从Bob 3接收到解析请求时,它可以验证ID是有效的(即,它"存在")以及它与相同双方 Alice 2和Bob 3相联系。Alice 2和Bob 3可能将不正确的MKI值插入到SRTP分组中。 这意味着,KMS 1可能不能够取回正确的密钥。作为一个选项,KMS 1然后可以返回与该目 标相关联的所有CLII,并且LI节点10 (或者LEA 9)可以尝试所有的这些密钥。
[0141] 本发明提供了没有安全性退化的并且对客户端透明的、具有最小带宽开销的呼叫 中/会话中的合法监听。
[0142] 本领域的技术人员将意识到,不偏离本发明的范围,可以对上面所描述的实施例 做出各种修改。
[0143] 下列缩写已经使用在上面的描述中:
[0144] 3GPP 第3代伙伴计划
[0145] CLII 密码LI信息
[0146] HSS 归属订户服务器
[0147] HTTP 超文本传送协议
[0148] IMS IP多媒体子系统
[0149] IPSec 因特网协议安全性
[0150] LEA 执法机构
[0151] LI 合法监听
[0152] MKI 主密钥标识符
[0153] MSRP 消息会话中继协议
[0154] NAI 网络接入标识符
[0155] RTP 实时传输协议
[0156] SIP 会话发起协议
[0157] SPI 安全性参数索引
[0158] R0C 翻转计数器
[0159] SRTP 安全实时传输协议
[0160] TLS 传输层安全性
[0161] PSK-TLS 具有预共享的(多个)密钥的传输层安全性
[0162] UDP 用户数据报协议
【权利要求】
1. 一种向执法机构提供对发送节点(2)与接收节点(3)之间的加密通信的接入的方 法,所述方法包括,在密钥管理服务器功能(1)处: 在数据库处存储(S16, S20)被用来加密所述通信的密码信息,所述密码信息与被用来 标识所述发送节点(2)与所述接收节点(3)之间的所述加密通信的标识符相关联; 接收(S32)源自执法机构(9)的针对合法监听的请求,所述请求包括用于合法监听的 目标的标识; 使用(S33)所述目标标识来确定所述标识符,并且从所述数据区取回与所述标识符相 关联的所述密码信息,所述密码信息可用来解密所述加密通信;以及 将从所述密码信息得到的信息和解密的通信中的一项发送(S34)给所述执法机构。
2. 根据权利要求1所述的方法,所述方法包括,在所述密钥管理服务器功能(1)处: 从所述发送节点(2)接收(S15)针对票据的请求,所述请求包含与所述发送节点(2) 有关的密码信息; 生成(S16)将由所述发送节点使用的第一密钥、票据,并且存储所述第一密钥和与所 述数据库中的所述标识符相关联的发送节点密码信息; 将所述第一密钥和票据以及与所述标识符有关的信息发送(S17)给所述发送节点 ⑵; 从所述接收节点(3)接收(S19)请求,请求消息包括所述票据、与所述标识符有关的信 息以及与所述接收节点有关的进一步的密码信息; 生成(S20)将由所述接收节点使用的第二密钥、以及与所述数据库中的所述标识符相 关联的接收节点密码信息; 将所述第二密钥发送(S21)给所述接收节点(3)。
3. 根据权利要求1或2所述的方法,其中所述密钥管理服务器功能被提供在多于一个 密钥管理服务器中,并且其中生成所述第二密钥的步骤包括所述多于一个密钥管理服务器 中的至少两个密钥管理服务器之间的信息交换。
4. 根据权利要求1、2或3所述的方法,其中使用时间戳、当前时间的隐含知识、与会话 相关联的序列号、票据标识符、密钥标识符、以及会话标识符中的至少任一项来得到所述标 识符。
5. 根据权利要求1至4中任一项所述的方法,其中使用所述发送节点与所述接收节点 中的至少一个节点的标识来得到所述标识符。
6. -种在发送节点(2)与接收节点(3)之间建立加密通信的方法,所述方法包括,在所 述发送节点(2)处: 向密钥管理服务器发送针对票据的请求,所述请求包含与所述发送节点(2)有关的密 码息; 从所述密钥管理服务器接收密钥和与标识符相关联的信息,所述标识符由所述密钥管 理服务器可用于标识与所述通信有关并且存储在数据库处的密码信息; 向所述接收节点发送所述票据和标识符,以与所述接收节点建立加密的通信会话;以 及 将从与所述标识符相关联的所述信息得到的第二信息包括在所述加密通信中发送给 所述接收节点的分组中。
7. -种在发送节点(2)与接收节点(3)之间建立加密通信的方法,所述方法包括,在所 述接收节点(3)处: 从发送节点接收建立所述加密通信的请求,所述请求包括票据和与标识符相关联的信 息,所述标识符由密钥管理服务器功能可用于标识与所述通信有关并且存储在数据库处的 密码信息; 向所述密钥管理服务器功能发送请求消息,所述请求消息包括与所述标识符相关联的 所述信息和与所述接收节点有关的进一步的密码信息; 从所述密钥管理服务器功能接收将由所述接收节点使用并且存储在数据库处的第二 密钥;以及 将从与所述标识符相关联的所述信息得到的第二信息包括在所述加密通信中发送的 分组中。
8. 根据权利要求7所述的方法,其中所述接收节点进一步向所述发送节点发送与生成 所述第二密钥有关的信息,以在所述发送节点与所述接收节点之间建立所述加密通信。
9. 根据权利要求7或8所述的方法,其中在所述加密通信中,在安全实时传输协议MKI 头部字段、实时传输协议扩展头部、认证标签、安全实时传输协议头部中的附加字段、实时 传输协议头部中的附加字段中的任一项中,并且作为实时传输协议头部中的贡献源的列表 中的附加贡献源,发送从与所述标识符相关联的所述信息得到的所述第二信息。
10. -种提供对发送节点与接收节点之间的加密通信的合法监听的方法,所述方法包 括,在合法监听节点处: 接收与所述加密通信有关的分组,所述分组包括与标识符相关联的信息,所述标识符 与被用来加密所述通信并且存储在密钥管理服务器中的密码信息相关联; 向密钥管理服务器发送请求,所述请求包括与所述标识符相关联的所述信息; 接收与所述标识符相关联的所述密码信息和所述加密通信的解密版本中的任一项;以 及 将与所述标识符相关联的所述密码信息和/或所述加密通信的所述解密版本发送给 执法机构。
11. 一种密钥管理服务器KMS (1),用于使用在通信网络中,所述KMS包括: 处理功能(14),用于在数据库(15)处存储被用来加密发送节点(2)与接收节点(3)之 间的通信的密码信息,所述密码信息与标识符相关联; 接收器(16),用于接收源自执法机构的针对合法监听的请求,所述请求包括用于合法 监听的目标的标识; 其中所述处理功能(14)被配置为使用所述目标标识来确定所述标识符,并且从所述 数据库取回与所述标识符相关联的所述密码信息,所述密码信息可用来解密所述加密通 信;以及 发射器(16),用于将所述密码信息发送给所述执法机构。
12. 根据权利要求11所述的KMS(l),其中所述接收器被布置为从所述发送节点接收针 对票据的请求,所述请求包含与所述发送节点有关的密码信息,所述KMS进一步包括: 生成功能(17),用于生成将由所述发送节点使用的第一密钥,所述密钥和发送节点密 码信息与所述数据库中的所述标识符相关联; 所述发射器(16)进一步被布置为将所述密钥、所述票据和与所述标识符有关的信息 发送给所述发送节点; 所述接收器进一步被布置为从所述接收节点接收请求,请求消息包括所述票据、与所 述标识符有关的信息和与所述接收节点有关的进一步的密码信息; 所述生成功能(17)进一步被布置为生成将由所述接收节点使用的第二密钥,所述第 二密钥和接收节点密码信息与所述数据库中的所述标识符相关联; 所述发射器进一步被布置为将所述第二密钥发送给所述接收节点。
13. -种用于使用在通信网络中的发送节点(2),所述发送节点包括: 发射器(21),用于向密钥管理服务器(1)发送针对票据的请求,所述请求包含与所述 发送节点有关的密码信息; 接收器,用于从所述密钥管理服务器接收密钥、票据和与标识符相关联的信息,所述 标识符由所述密钥管理服务器可用来标识与所述通信有关并且存储在数据库处的密码信 息; 所述发射器进一步被布置为向所述接收节点发送所述票据和与所述标识符相关联的 信息,以建立与所述接收节点的加密通信会话;以及 处理器(22),被布置为将从与所述标识符相关联的所述信息得到的第二信息包括在所 述加密通信中发送给所述接收节点的分组中。
14. 一种用于从发送节点(2)接收加密通信的接收节点(3),所述接收节点包括: 接收器(26),用于从所述发送节点接收建立所述加密通信的请求,所述请求包括票据 和与标识符相关联的信息,所述标识符由密钥管理服务器功能可用来标识与所述通信有关 并且存储在数据库处的密码信息; 发射器,用于向所述密钥管理服务器功能发送请求消息,所述请求消息包括所述票据、 与所述标识符相关联的信息和与所述接收节点有关的进一步的密码信息; 所述接收器被进一步布置为从所述密钥管理服务器功能接收将由所述接收节点使用 并且存储在数据库处的第二密钥;以及 处理器(27),被布置为将从与所述标识符相关联的所述信息得到的第二信息包括在所 述加密通信中发送的分组中。
15. 根据权利要求14所述的接收节点(3),其中所述发射器进一步被布置为向所述发 送节点发送与所述第二密钥的生成有关的信息,以建立所述加密通信。
16. -种用于使用在通信网络中的合法监听节点(10),所述合法监听节点包括: 接收器(31),用于接收和发送节点与接收节点之间的加密通信有关的分组,所述分组 包括与标识符相关联的信息,所述标识符与用来加密所述通信的密码信息相关联; 发射器,用于向密钥管理服务器发送提供用于加密通信的加密信息的请求,所述请求 包括与所述标识符相关联的信息; 所述接收器被进一步布置为接收与所述标识符相关联的所述密码信息和所述加密通 信的解密版本中的任一项;以及 所述发射器进一步被布置为将与所述标识符相关联的所述密码信息和/或所述加密 通信的所述解密版本发送给执法机构。
17. -种包括计算机可读代码装置的计算机程序,所述计算机可读代码装置当运行在 计算机设备上时,促使所述计算机设备执行根据权利要求1至10中任一项所述的方法。
18. -种计算机程序产品,所述计算机程序产品包括计算机可读介质和根据权利要求 17所述的计算机程序,其中所述计算机程序被存储在所述计算机可读介质上。
【文档编号】H04L29/06GK104094574SQ201280069260
【公开日】2014年10月8日 申请日期:2012年4月27日 优先权日:2012年2月7日
【发明者】M·纳斯伦德, M·约维诺, K·诺曼 申请人:瑞典爱立信有限公司

最新回复(0)