專利名稱:用于電信網(wǎng)絡(luò)中的安全通信的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在電信網(wǎng)絡(luò)中使得通信安全�����。
背景技術(shù):
電信網(wǎng)絡(luò)(諸如����,因特網(wǎng))經(jīng)由共用基礎(chǔ)設(shè)施來在不同網(wǎng)絡(luò)實體(諸如,網(wǎng)絡(luò)服務(wù)器或電子消息傳送服務(wù)器)之間傳送數(shù)據(jù)��。例如�,本發(fā)明可以應(yīng)用于網(wǎng)絡(luò)實體到服務(wù)平臺的安全接入。例如��,本發(fā)明還可以應(yīng)用于“原始消息”從一個網(wǎng)絡(luò)實體到一個或多個其它網(wǎng)絡(luò)實體的傳送��;這里����,將“原始消息”理解為意指任何信息的集合,例如��,電子郵件�����、或VoIP (“因特網(wǎng)協(xié)議上的語音”或“IP上的語音”的英語單詞首字母)呼叫發(fā)起請求。一般而言���,附接(attach)到“派發(fā)(dispatching)”域并且連接到“傳送”域的“派發(fā)客戶端”將原始消息發(fā)送到附接到“接受(recipient)”域并且連接到“接收”域的“接受客戶端”(在本發(fā)明的上下文中�,當(dāng)實體具有到網(wǎng)絡(luò)域的服務(wù)鏈路和/或邏輯和/或管控(administrative)鏈路時�����,將該實體稱作“附接”到該網(wǎng)絡(luò)域�;在電子郵件的情況下,該邏輯地址對應(yīng)于“電子郵件”地址)�。傳送域可以或者可以不相異于派發(fā)域,并且接收域可以或者可以不相異于接受域�����;例如��,當(dāng)傳送域?qū)⒂蛇B接到該傳送域����、但是沒有附接到傳送域的移動派發(fā)客戶端所傳送的消息中繼到接受客戶端時,在各域之間的此相異性是有用的���。如公知的,電 信網(wǎng)絡(luò)經(jīng)歷針對商業(yè)、行政���、或個人目標的攻擊����。當(dāng)今經(jīng)常出現(xiàn)的攻擊在于��,向最大可能數(shù)量的接受者發(fā)送他們并沒有要求的��、非期望的消息����,諸如用于電子郵件的“垃圾郵件(spam)”或者用于因特網(wǎng)上電話呼叫的“垃圾電話(spit)”。在最廣泛的意思中采用形容詞“非期望的”�����,并且該詞同樣地適用于消息的派發(fā)者的身份��,并且適用于消息的內(nèi)容�,該消息的派發(fā)者可以是真實的或者偽造的。尤其是��,垃圾郵件/垃圾電話攻擊的可能性基于以下因素-在因特網(wǎng)上使用的協(xié)議的弱點���,諸如���,SMTP(“簡單郵件轉(zhuǎn)移協(xié)議”)協(xié)議�����,其最經(jīng)常地用于電子郵件轉(zhuǎn)移���,并且沒有顯著合并用于對電子郵件的發(fā)送者進行驗證的功能;-計算機的功率的增加�����,其可以在非常短的時段上自動成批地發(fā)送非期望消息��;以及- 有權(quán)訪問因特網(wǎng)的網(wǎng)絡(luò)的數(shù)目上的增加����、和這些網(wǎng)絡(luò)之間的連接性上的增加,其向攻擊者呈現(xiàn)了非常大數(shù)量的目標�,所述攻擊者可以躲避在相對寬松的(permissive)網(wǎng)絡(luò)之后或者躲避在目標網(wǎng)絡(luò)的法定或管控范圍之外。此外��,“transmitting, fr”類型的傳送域不易于確定由連接到此傳送域的移動派發(fā)客戶端提供的useridispatchinR. fr類型的地址是否是有效的,即是否實際上在"expediteur. fr”域中分配了該客戶端的地址����、以及該客戶端是否具有從這個地址發(fā)送消息的權(quán)利事實上�,傳送域不管理身份���,即“dispatching.fr”類型的邏輯地址。攻擊者經(jīng)常使用這個監(jiān)視難題��,以在虛假的身份之下�,從攻擊者有權(quán)訪問的域、或者經(jīng)由位于合法域中的被侵占(corrupt)的機器來傳送消息�。例如,由攻擊者創(chuàng)建的因特網(wǎng)域“domain, fr”完全可以用于在主叫身份+332abcdefghidomain. fr的情況下傳送VoIP呼叫�����,即使該訂戶號碼“+332abcdefgh”事實上例如是被分配到域“orange, fr”的����。面對這種攻擊,通過主叫域來添加數(shù)字簽名的事實(參照IETF的文獻RFC4474)是無效的,因為即使這向接受者保證該呼叫事實上源自于“domain, fr”���,其也無法向該接受者保證在這個域中實際上注冊了該主叫號碼���。對于這個監(jiān)視難題的一個解決方案在于��,在傳送域中阻止其原始地址沒有附接到傳送域的任何消息的派發(fā)�����,但是����,這個解決方案尤其對于VoIP服務(wù)的移動性而言極為有限���,該VoIP服務(wù)允許移動終端使用第三方中繼站(諸如�,傳送域)��,以設(shè)立電話呼叫���。這個情形引起了以下問題���,即尋找允許接受域確保已經(jīng)在傳送該消息的域中執(zhí)行了充分檢查的手段。在本發(fā)明的上下文中�����,“交易(transaction)”將指代所有的協(xié)議交換��,所述協(xié)議交換允許在會話的持續(xù)時間中在兩個網(wǎng)絡(luò)實體A和B之間設(shè)立共享秘密(secret)或“首要會話密鑰(key)”。該交易對應(yīng)于會話初始化階段�����,該會話能夠比該交易持續(xù)長得多的時間����。在描述的某些部分中��,可以將術(shù)語交易和會話認為是彼此等效的�����。出于簡化的目的�,還將首要會話密鑰稱作A與B之間的“會話密鑰”,而與可能向其應(yīng)用的推導(dǎo)(derivation)或多樣化操作無關(guān)�����。例如��,可以將該會話密鑰用于推導(dǎo)其他秘密密鑰���,以在實體A與B之間設(shè)立安全連接(TLS�����、IPSec等)��。作為另一示例�����,該會話密鑰可以保證由實體A (派發(fā)客戶端)發(fā)送到實體B (接受客戶端)的原始消息的機密性或完整性�;新的交易對應(yīng)于從派發(fā)客戶端發(fā)送到一個或多個接受客戶端的每一個新的原始消息;相反地�,例如,不將(例如�����,由于網(wǎng)絡(luò)問題而導(dǎo)致的)協(xié)議步驟的重復(fù)認為是新的交易�����。
原則上�����,顯然,一個網(wǎng)絡(luò)實體可以借助于PKI (“公共密鑰基礎(chǔ)設(shè)施”)來驗證另一網(wǎng)絡(luò)實體��。然而�����,如公知的是��,PKI基礎(chǔ)設(shè)施難以實現(xiàn)和使用�����。替換地,某些方法(諸如,迪菲-赫爾曼(Diffie-Hellman)算法)約定了兩個實體在它們之間的原始消息的任意交換之前共同地確定會話密鑰�。然而���,這種算法自身上沒有向?qū)嶓wA給予與它與之如此建立會話密鑰的實體B的身份有關(guān)的任何保證�。替換地�,在包括小數(shù)量的用戶的網(wǎng)絡(luò)(諸如,對等網(wǎng)絡(luò))中���,可能約定了用于每對有關(guān)實體的共享秘密密鑰的“手動”安裝(例如�,通過現(xiàn)場探訪)�。然而,這種安裝不適合于包括大數(shù)量的用戶的網(wǎng)絡(luò)。安全通信協(xié)議還已知為名稱“IPACF (參見由C. -H. Wu等人編著的標題為“UsingIdentity-Based Privacy-Protected Access Control Filter(IPACF)to Against DenialofService Attacks and Protect User Privacy�,,的文章����,http: //portal, acm. ors/citation. cfm id=1404806, 2007年)。該協(xié)議目的在于一種結(jié)構(gòu)�,該結(jié)構(gòu)包括全部都可以按照安全的方式而與單一實體B進行通信的一組實體A ;在實踐中,實體A是客戶端�,而單一實體B是接入控制實體或服務(wù)器。在B與每一個實體A之間存在不同的共享秘密����。IPACF協(xié)議包括三個階段允許實現(xiàn)共享秘密的初始配置階段、在設(shè)立新會話期間的驗證階段���、和最終的安全通信階段自身�。在此安全通信階段期間�����,實體A發(fā)送包含用戶標識符(其是共享秘密和幀編號的函數(shù))以及過濾值(其同樣是共享秘密和幀編號的函數(shù))的幀���。實體B在給定時間��,與用于所有實體A的所有可能標識符相關(guān)地檢查所接收到的標識符是否是有效的����;當(dāng)必要時,實體B檢查用于所標識的實體A的過濾值���。相同的原理適用于當(dāng)B向A發(fā)送幀時�����。針對每個所接收到的幀�,實體A和實體B更新它們的標識符和過濾值�����。IPACF協(xié)議相對于通過淹沒(flooding)進行的攻擊提供了有效保護����,這是由于與有效標識符和過濾值不相關(guān)聯(lián)的��、由A或B所接收到的任何幀被拒絕���。該檢查對于接收機而言是簡單的事情����,這是由于它涉及與預(yù)先計算的值進行比較。此外�����,該協(xié)議相對于重放(replay)提供了有效保護����,這是由于標識符和過濾值隨著每幀而改變。 然而����,IPACF協(xié)議具有某些缺點。首先���,該機制對于幀丟失敏感�,這是由于A所傳送的每一幀必須具有B所傳送的對應(yīng)幀����;這個缺點在非連接模式中的傳輸協(xié)議的情況下尤其麻煩,其中信令分組可以按照任何順序而到達����,并且可能的是�����,所述信令分組可能在途中丟失�����。其次�,該機制在以下意義中是“非對稱的”�,即每個實體A僅僅能夠和它與之具有共享秘密的實體B進行通信,因而����,不可能設(shè)想兩個用戶實體A之間的直接安全通信。很好地適用于包括大數(shù)量用戶的網(wǎng)絡(luò)的“對稱”機制涉及實現(xiàn)信任(trust)中心����,其通常被稱為“密鑰分發(fā)中心”。期望利用這個安全通信服務(wù)的每個網(wǎng)絡(luò)實體A向密鑰分發(fā)中心進行預(yù)訂���,并且結(jié)果是�����,在預(yù)定持續(xù)時間中或在預(yù)定交易中��,獲得在A和與密鑰分發(fā)中心相關(guān)聯(lián)的授權(quán)服務(wù)器S之間共享的秘密密鑰Ksa���。有利地,當(dāng)在密鑰分發(fā)中心的參與下在逐交易的基礎(chǔ)上使得通信安全的情況下���,對于此服務(wù)的訂戶不需要存儲與其它訂戶有關(guān)的秘密或證書��。此外�����,根據(jù)需要����,該密鑰分發(fā)中心可以按照安全的方式來將秘密密鑰傳送到置于其控制之下的支持實體(存儲器��、網(wǎng)關(guān)等)�,或者傳送到法定實體,以用于截取某些通信��。由于密鑰分發(fā)中心是訂戶所有秘密密鑰的儲藏庫(r印ository)�,所以顯然必須的是,有力地防止它遭受惡意侵入(hostile intrusion),但是,這并不呈現(xiàn)出特定的難題�。由 P. Battistello 編著的標題為 “IDDR-CEP:1n ter-Domain and DoS-ResistentCall Establishment Protocol”的文章(其被提交以用于IPTCo_2010會議)公開了一種在預(yù)訂了該服務(wù)的兩個實體A與B之間的這種類型的安全通信協(xié)議����。該IDDR-CEP協(xié)議實質(zhì)上包括以下步驟a)該實體A向授權(quán)服務(wù)器S發(fā)送授權(quán)請求���,其中�����,該實體A作為標識符IDa的持有者來標識它自身并且驗證它自身��;b)實體A向授權(quán)服務(wù)器S宣告其用于與某一實體B進行通信的意圖�����;授權(quán)服務(wù)器S確定它與該實體B共享的秘密密鑰Ksb ���;c)授權(quán)服務(wù)器S生成會話密鑰,所述會話密鑰尤if是所述秘密密鑰Ksb的單向函數(shù),并且還是向所述交易分配的整數(shù)N的函數(shù)�,該整數(shù)N被稱作交易編號;然后��,授權(quán)服務(wù)器S向?qū)嶓wA發(fā)送所述會話密鑰尤����;f ;d)該授權(quán)服務(wù)器S還生成“過濾值” IDTRn����,其是按照不可逆的方式而至少取決于所述交易編號N的函數(shù);e)該授權(quán)服務(wù)器S向該實體B供應(yīng)以下元素����,該元素至少包括所述過濾值IDTRn ;f )該實體B檢查在所述步驟e)期間所接收到的過濾值IDTRn出現(xiàn)在由該實體B所預(yù)先計算的并且與交易編號的至少一個所預(yù)測的值相關(guān)聯(lián)的值的集合內(nèi)���,然后���,該實體B根據(jù)其來推斷出該交易編號N的當(dāng)前值;以及g)該實體B生成會話密鑰���。
然后�,實體A可以完成與實體B的交易��。例如�����,如果實體B是服務(wù)提供商�,則實體A將能夠請求特定的服務(wù)���,并且通過與實體B交換借助于會話密鑰欠彡5所加密的數(shù)據(jù)來獲得它。作為另ー示例�����,如果實體B正在等待來自實體A的文檔����,則實體A將能夠向?qū)嶓wB發(fā)送原始消息,該原始消息伴隨有此原始消息的“MAC”代碼����,該“MAC”代碼是借助于會話密鑰炎而獲得的(在此方面必須牢記的是,在傳統(tǒng)的方式中����,“消息驗證代碼”或英文中的“MAC”是短值,一般為幾十個比持��,它是根據(jù)在消息中包含的數(shù)據(jù)并且根據(jù)在該消息的發(fā)射機和接收機之間共享的秘密密鑰��、使用密碼算法所推斷出的���;通過發(fā)送伴隨有其驗證代碼的消息����,發(fā)射機允許接收機檢查出這些數(shù)據(jù)并非源自于不同的實體,并且在它們的傳送和接收之間尚未受到變更)�。因而���,充分利用了“密鑰分發(fā)中心”類型的安全通信方法的前述優(yōu)點��。尤其是���,在預(yù)訂了安全通信服務(wù)的任何實體尋址到另一預(yù)訂實體之前,施加關(guān)于該實體的真實性的檢查���,以便向該另ー實體提供安全保證��。而且��,根據(jù)IDDR-CEP協(xié)議��,實體B在上面的步驟e)期間從授權(quán)服務(wù)器S接收過濾值IDTRn�。而且�,實體B計算用于交易編號的至少ー個值N的過濾值IDTRn,此值被預(yù)測為根據(jù)預(yù)定算法而緊接在使用于前ー交易中的值之后。當(dāng)授權(quán)服務(wù)器S在短時段上對于相同的實體B已經(jīng)授權(quán)了多次交易時,可能出現(xiàn)的是���,在所述步驟e)期間向此實體B發(fā)送的元素沒有按照該算法所規(guī)定的交易編號N的順序而到達它�。為了解決這個問題���,IDDR-CEP協(xié)議約定了����,優(yōu)選地�,實體B對于整數(shù)N的多個值的預(yù)定序列而預(yù)先計算過濾值IDTRn,并且在接收到某一過濾值IDTRn以后,實體B通過在IDTRn值的此集合中進行掃描�,來標識所接收到的過濾值所對應(yīng)的交易編號N。必須注意的是���,IDTRn的值是按照不可逆的方式而至少取決于該整數(shù)N的函數(shù)�����,使得不可能通過對此函數(shù)求逆��、而根據(jù)IDTRn的值來計算整數(shù)N的值����,也不可能通過獲知全部或部分的先前值IDTRu (j彡0)而計算值IDTRN+i (i>0)中的任何ー個。由于這些措施�,所以有利地防止預(yù)訂了安全通信服務(wù)的實體遭受通過淹沒或通過重放進行的攻擊。事實上����,當(dāng)實體B識別出所接收到的并且被視為表現(xiàn)有效過濾值IDTRn的值沒有顯現(xiàn)在預(yù)先計算的值的所述集合內(nèi)時,它會容易地(即����,利用很少的計算操作)檢測到這種攻擊(攻擊者具有極小的機會能夠猜出由給定實體B在給定時間可接受的交易編號N的值��,使得此攻擊者無法計算出IDTRn的可接受值�����,即使是使得其中過濾值IDTRn是N的函數(shù)的方式成為公共的)���。而且�,有利地�����,IDDR-CEP協(xié)議中協(xié)議消息的(在比特數(shù)目上的)尺寸很小�����。事實上,一方面����,授權(quán)服務(wù)器S或?qū)嶓wA都不必向?qū)嶓wB發(fā)送會話密鑰[jf。而且���,在上面步驟e)期間從授權(quán)服務(wù)器S向?qū)嶓wB傳送過濾值IDTRn也不需要任何大尺寸的(多個)消息����,這是由于過濾值IDTRn可以是適度尺寸(典型地�����,幾個字節(jié))的函數(shù)����,同時在密碼方面提供了良好的安全性。因此�����,IDDR-CEP協(xié)議約定了授權(quán)服務(wù)器S的實現(xiàn)�����。然而,在許多實踐情況下�����,期望具有多個授權(quán)服務(wù)器Si (其中���,i = 1�����,2�,...���,p),而不是単一的授權(quán)服務(wù)器�����。例如����,這可以涉及-冗余需求�����;實體Si和B典型地屬于相同的域或網(wǎng)絡(luò)���,并且將實體Si的數(shù)目限制為幾個単位,使得確保在故障情況下的負載共享或冗余��;和/或-服務(wù)需求實體Si和B典型地全部都屬于不同的域�;例如,實體B是域“orange,fr”的入局代理服務(wù)器(incoming proxy),而姆個實體Si是能夠向域orange, fr傳送消息的第三方域的出局代理服務(wù)器(outgoing proxy)o然而����,為了能夠?qū)崿F(xiàn)多個授權(quán)服務(wù)器的此目的,必須能夠解決整個系列的問題-實體B必須獲知哪ー個授權(quán)服務(wù)器Si管理當(dāng)前的交易����,這是因為如在IDDR-CEP協(xié)議中一祥,非常期望實體A的驗證成為授權(quán)服務(wù)器的職責(zé)��;結(jié)果是����,為了防止它自身遭受通過身份竊取(identity theft)進行的攻擊,B必須能夠驗證該授權(quán)服務(wù)器,即按照安全的方式來驗證(該組的P個服務(wù)器之中的)它�����;-除了在特定情況(一小組授權(quán)服務(wù)器屬于相同的域)下之外,必須阻止該組中的任何一個驗證服務(wù)器發(fā)現(xiàn)由該組任何其他授權(quán)服務(wù)器所使用的秘密元素��;-非常期望對任何數(shù)目k個不同的授權(quán)服務(wù)器Si進行授權(quán)���,以管理全部都具有交易編號N的k次交易����,以便避免該組的授權(quán)服務(wù)器Si被迫按照以下方式來協(xié)調(diào)它們自身��,該方式即針對該組中的所有服務(wù)器��,只可能存在與給定交易編號N相關(guān)聯(lián)的単一可能交易��;然而���,然后借助于安全性,并且針對法定緣由(查封(seizure))����,必須的是,由不同授權(quán)服務(wù)器管理的具有相同交易編號N的兩次交易不能夠生成相同的會話密鑰�����;-非常期望協(xié)議消息的尺寸充分小,以允許使用(例如����,與SIP信令協(xié)議相關(guān)聯(lián)的)非連接的傳輸模式,其中信令消息的標定尺寸防止插入大尺寸的數(shù)據(jù)���;以及-如果對大數(shù)量的實體Si(例如����,幾百個)進行授權(quán)����,以管理涉及相同實體B的交易,則非常期望該協(xié)議容易地適應(yīng)擴展(“可伸縮性”)��。
發(fā)明內(nèi)容
因此�����,本發(fā)明涉及一種用于電信網(wǎng)絡(luò)中的安全通信的方法���,所述網(wǎng)絡(luò)包括被稱為授權(quán)服務(wù)器的一組服務(wù)器Si (其中���,i = 1���,2,...��,p�����,并且p是嚴格的正整數(shù))����。針對所述網(wǎng)絡(luò)的實體A與實體B之間的交易,該方法包括以下步驟a)該實體A向授權(quán)服務(wù)器Si之ー發(fā)送授權(quán)請求,在該授權(quán)請求中�,該實體A作為標識符A的持有者來標識它自身并且驗證它自身;b)該實體A向所述授權(quán)服務(wù)器Si宣告它的用于與該實體B進行通信的意圖����;該授權(quán)服務(wù)器Si確定它與該實體B共享的獨特秘密密鑰KSiB ;c )該授權(quán)服務(wù)器Si生成會話密鑰���,所述會話密鑰[彡〗是所述獨特秘密密鑰KSiB的單向函數(shù),并且還是向所述交易分配的整數(shù)N的函數(shù)����,該整數(shù)N被稱作交易編號�����;該授權(quán)服務(wù)器Si向該實體A發(fā)送所述會話密鑰尤��;d)該授權(quán)服務(wù)器Si還生成過濾值IDTRn,該過濾值是按照不可逆的方式而至少取決于所述交易編號N的函數(shù)��;它然后生成交易標識符IDTRn, Si���,該交易標識符是所述過濾值IDTRn、所述獨特秘密密鑰KSiB���、和該授權(quán)服務(wù)器Si的標識符IDsi的函數(shù)�;e)該授權(quán)服務(wù)器Si向該實體B供應(yīng)以下元素�����,所述元素至少包括所述交易標識符IDTRn, Si ��;f)使用在所述步驟e)期間接收到的交易標識符IDTRN��,Si,所述實體B
-在由該實體B所預(yù)先計算的并且與該交易編號的至少ー個所預(yù)測的值相關(guān)聯(lián)的過濾值的集合內(nèi)標識當(dāng)前的過濾值IDTRn�,并且-獲得授權(quán)服務(wù)器標識符IDsi,并且根據(jù)它來推斷出對應(yīng)的獨特秘密密鑰KSiB;以及g)該實體B生成會話密鑰Kfsi��。清楚的是�����,步驟b)并非必須發(fā)生在步驟a)之后����。類似地,步驟d)并非必須發(fā)生在步驟c)之后���。將注意到��,本發(fā)明應(yīng)用于任何數(shù)目的授權(quán)服務(wù)器(包括単獨的ー個)����,但是當(dāng)授權(quán)服務(wù)器的數(shù)目P高時��,它是特別有利的���。 還將注意到�����,可以通過任何已知的驗證手段來評估實體A的真實性��。此外�����,該評估可以通過對與授權(quán)服務(wù)器Si不同的驗證服務(wù)器進行預(yù)先尋址來執(zhí)行���。還將注意到,在實踐中�,并且針對密碼分離需求,它不必是將用于對實體A與B之
間的交換進行加密的(首要)會話密鑰尺���,而是相反地����,當(dāng)適當(dāng)時��,它可以是根據(jù)Ijfs所
推導(dǎo)出的ー個或多個密鑰�。出于簡化目的,在本文獻中將不系統(tǒng)地解釋根據(jù)首要密鑰所推導(dǎo)出的密鑰���,但是根據(jù)現(xiàn)有技術(shù)的推導(dǎo)或多祥化操作將是隱含的�,盡管相同的共享秘密用于實現(xiàn)多個密碼函數(shù)。根據(jù)本發(fā)明�,因此,授權(quán)服務(wù)器Si針對具有某ー實體B作為接受者的新交易確定
交易編號N�。然后,授權(quán)服務(wù)器Si向?qū)嶓wA供應(yīng)會話密鑰Ijf5v���。如在IDDR-CEP協(xié)議中一祥���,
實體B自身具有用于計算該會話密鑰的部件;根據(jù)本發(fā)明���,實體B使用獨特的秘密密鑰KSiB���、以及當(dāng)前交易編號N來這么做,實體B在接收到直接地或者經(jīng)由不同實體而源自于授權(quán)服務(wù)器Si的“交易標識符” IDTRn, Si之后確定該當(dāng)前交易編號N的值�,該不同實體有利地可以是實體A (參照下面詳細描述的實施例)。每個授權(quán)服務(wù)器Si根據(jù)預(yù)定的算法(下面將給出其示例)來確定與給定實體B相關(guān)的相繼交易編號N�。實體B預(yù)先計算用于交易編號N的至少ー個值的“過濾值”IDTRn。由干與IDDR-CEP協(xié)議中相同的原因��,實體B優(yōu)選地預(yù)先計算用于交易編號N (在本發(fā)明的上下文中�,將其稱作“交易窗ロ”)的多個所預(yù)測值的過濾值IDTRn����。在此方面將注意到�,對于授權(quán)服務(wù)器Si來說,它們不需要管理任何交易窗ロ��。還將注意到����,根據(jù)所述算法�,由給定授權(quán)服務(wù)器Si針對給定實體B所使用的交易編號序列與由相同授權(quán)服務(wù)器Si針對不同的實體B所使用的交易編號序列無關(guān)(除非通過特定安排);結(jié)果,由各個實體B所使用的交易窗ロ彼此獨立(除非通過特定安排)���。交易標識符IDTRN��,Si是過濾值IDTRn�、獨特秘密密鑰KSiB���、和該授權(quán)服務(wù)器Si的標識符IDsi的函數(shù)���。如下面將詳細解釋的,在接收到交易標識符IDTRn,Si之后�����,實體B通過在與當(dāng)前交易窗ロ相關(guān)聯(lián)的全部所述預(yù)先計算的過濾值中進行掃描來獲得當(dāng)前過濾值idtrn。然后����,實體B根據(jù)其而推斷出標識符IDSi。將注意到����,與IDDR-CEP協(xié)議相反地,不是按照未加密形式�、而是按照或多或少被部分掩蔽(參照下面的示例實施例)的形式來向?qū)嶓wB傳送過濾值IDTRn,以便防止(除了與當(dāng)前授權(quán)服務(wù)器Si不同的被侵占授權(quán)服務(wù)器之外的)攻擊者能夠基于交易標識符IDTRn, Si和過濾值IDTRn而獲得授權(quán)服務(wù)器Si的標識符IDsi。然后����,當(dāng)實體B識別出以下情況時,它可以容易地(即��,利用少量計算操作)檢測到攻擊:-所接收到的交易標識符IDTRN����,Si的值與所預(yù)先計算的過濾值IDTRn中的任何值都不相符;或者-所推斷出的值IDsi不是該組中的任何授權(quán)服務(wù)器的標識符����,或者-該授權(quán)服務(wù)器Si已經(jīng)針對該實體B而授權(quán)了具有相同編號N的先前交易��。因此�����,本發(fā)明有利地提供了(雖然利用了不同的手段�����,但是如IDDR-CEP協(xié)議一祥地����,)預(yù)訂了安全通信服務(wù)的實體對于通過淹沒或重放進行的攻擊的卓越防護�����。本發(fā)明還維持了與小尺寸協(xié)議消息相關(guān)的IDDR-CEP屬性�。事實上���,一方面��,授權(quán)
服務(wù)器Si或?qū)嶓wA都不必向?qū)嶓wB發(fā)送會話密鑰欠;另一方面�����,在上面步驟e)期間���、交
易標識符IDTRN�,Si到實體B的(直接或間接)傳送不需要任何(多個)大尺寸的消息��,這是由于交易標識符IDTRn,Si可以是適度尺寸(典型地���,幾十個字節(jié))的函數(shù)�����,同時在密碼方面提供了良好的安全性�。根據(jù)特定特性����,該實體B在所述步驟f)期間,檢查所述所接收到的交易標識符IDTRN���;Si的值與該獨特秘密密鑰KSiB —致���。由于這些措施,實體B可以驗證被視為已經(jīng)授權(quán)當(dāng)前交易的授權(quán)服務(wù)器Si。根據(jù)其他特定特性�����,所述授權(quán)服務(wù)器使用對于所述組中的所有授權(quán)服務(wù)器共同的算法�����,以便確定與 給定實體B相關(guān)的相繼交易編號N���。由于這些措施�����,每個實體B僅僅管理単一的交易窗ロ(如上面所定義的)�����,而與所述組中授權(quán)服務(wù)器的數(shù)目無關(guān)。因此��,充分簡化了實體B的管理任務(wù)����,并且在授權(quán)服務(wù)器的數(shù)目P高時更加如此。在這些情形下,該組中的授權(quán)服務(wù)器與任何給定實體B共享共同的交易窗ロ���。這些授權(quán)服務(wù)器可以以ー接收速度而先驗地接收以下請求�����,該請求用于要求授權(quán)與此實體B進行通信���,該接收速度根據(jù)授權(quán)服務(wù)器的不同而完全相異。因此���,將優(yōu)選地提供以下同步機制���,其意欲保證在正常操作條件之下,由各個授權(quán)服務(wù)器所確定的交易編號N落入到由實體B所管理的交易窗ロ內(nèi)��,并且相反地�����,由實體B所管理的交易窗ロ與具有最高交易速度的授權(quán)服務(wù)器Si相應(yīng)地“滑動(slide)”�����。根據(jù)第一變體(下面將把其稱作“基于時鐘的同歩”),由任何給定授權(quán)服務(wù)器Si在給定時間td針對給定實體B所確定的交易編號N是該時間td和參考編號Nb的預(yù)定函數(shù)�����,該參考編號Nb的值是由實體B與該組中的所有授權(quán)服務(wù)器所共享的秘密�。由于這些措施,按照根據(jù)本發(fā)明方法的步驟e)�,由實體B在給定時間td管理的交易窗ロ的寬度必須僅僅反映實體B接收授權(quán)服務(wù)器Si已經(jīng)向它供應(yīng)的元素的對應(yīng)時間仁處的不確定性。該不確定性一方面源于這些元素的(如所陳述的�����,直接或間接的)傳送延遲���,而另一方面����,源于實體B和授權(quán)服務(wù)器Si的相應(yīng)內(nèi)部時鐘的同步上的技術(shù)限制���。總而言之���,該不確定性(并因此����,該交易窗ロ的寬度)通常非常微小(insubstantial),使得實體B必須預(yù)先計算的過濾值的數(shù)目有利地很小。優(yōu)選地�,借助于預(yù)定的單向函數(shù)而周期性地更新參考編號Nb的值。于是,該第一變體實質(zhì)上具有被稱作“前向保密(Forward Secrecy)”的屬性,根據(jù)該屬性���,秘密(私有密鑰或共享密鑰)的長期破解(compromising)—定不允許攻擊者在此破解以前重構(gòu)該會話密鑰����?��?赡軝z查出����,即使在攻擊者是被侵占授權(quán)服務(wù)器時���,在此實例中情況也是如此��。事實上��,如果攻擊者成功地破解了授權(quán)服務(wù)器Si,則他將有權(quán)訪問其獨特秘密密鑰KSiB��,并且有權(quán)訪問交易編號N的當(dāng)前值����,這允許他計算與由該被侵占授權(quán)服務(wù)器Si所
管理的當(dāng)前交易以及一直到隨后的交易相關(guān)聯(lián)的會話密鑰。然而��,由于借助于單向函
數(shù)來進行參考編號Nb的更新���,所以該攻擊者將無法訪問在該最后更新以前的交易編號N的值����。因此����,根據(jù)用于更新參考編號Nb而選定的時段,可能調(diào)整由該系統(tǒng)提供的安全性�,即其中在破解情況下、無法確?���!扒跋虮C堋睂傩缘南惹俺掷m(xù)時間。根據(jù)第二變體(下面將把其稱作“基于網(wǎng)絡(luò)消息的同歩”)�����,由任何給定授權(quán)服務(wù)器Si針對給定實體B所確定的交易編號N是先前交易編號的預(yù)定排序函數(shù)�,并且每當(dāng)授權(quán)服務(wù)器Si針對實體B確定出屬于一系列預(yù)定值的交易編號的值時,此授權(quán)服務(wù)器Si向?qū)嶓wB發(fā)送同步消息���。由于這些措施��,于是�����,從該組中的每個授權(quán)服務(wù)器接收這種類型的同步消息的實體B可以根據(jù)由具有最高交易速度的授權(quán)服務(wù)器Si所確定的最后交易編號N來調(diào)整其交易窗ロ���。而且,該實體B可以向該組中的所有授權(quán)服務(wù)器發(fā)送同步消息�,使得結(jié)果是,具有最慢交易速度的授權(quán)服務(wù)器可以更新它們的當(dāng)前交易編號��。在此第二變體中����,交易編號N的序列可以簡單地是自然整數(shù)的升序,但是將優(yōu)選地選定單向函數(shù)���,以用于所述排序函數(shù)��;事實上����,于是,該第二變體將有利地具有上述“前向保密”屬性��。根據(jù)其他特定特性�,對在上面的步驟e)期間向該實體B發(fā)送的所述元素中的全部或部分元素在它們的完整性上進行保護。由于這些措施����,防止這些元素遭受任何侵占;這種類型的侵占將導(dǎo)致交易在大多數(shù)情況下失敗�����。尤其是���,可以借助于MAC代碼來實現(xiàn)此完整性保護��。根據(jù)更加特定的特性����,借助于所述會話密鑰尺或根據(jù)此會話密鑰所推導(dǎo)出的密鑰��,來實現(xiàn)該完整性保護�����。借助于這些措施,實體B將能夠確信已經(jīng)向它發(fā)送了包括有效交易標識符IDTRN���,Si的元素的實體確實具有與當(dāng)前交易相關(guān)聯(lián)的會話密鑰
權(quán)利要求
1.一種用于電信網(wǎng)絡(luò)中的安全通信的方法,所述網(wǎng)絡(luò)包括被稱為授權(quán)服務(wù)器的一組服務(wù)器Si (其中���,i = 1�,2���,...�,p�,并且P是嚴格的正整數(shù)),針對所述網(wǎng)絡(luò)的實體A與實體B 之間的交易���,所述方法包括以下步驟a)該實體A向授權(quán)服務(wù)器Si之一發(fā)送授權(quán)請求(REQ),在該授權(quán)請求中�����,該實體A作為標識符IDa的持有者來標識它自身并且驗證它自身��;b)該實體A向所述授權(quán)服務(wù)器Si宣告它的用于與該實體B進行通信的意圖�����;該授權(quán)服務(wù)器Si確定它與該實體B共享的獨特秘密密鑰KSiB ���;c)該授權(quán)服務(wù)器Si生成會話密鑰尤����,所述會話密鑰尤^是所述獨特秘密密鑰KSiB 的單向函數(shù)�,并且還是向所述交易分配的整數(shù)N的函數(shù),該整數(shù)N被稱作交易編號�����;該授權(quán)服務(wù)器Si向該實體A發(fā)送所述會話密鑰夂���;d)該授權(quán)服務(wù)器Si還生成過濾值IDTRn,該過濾值是按照不可逆的方式而至少取決于所述交易編號N的函數(shù)���;它然后生成交易標識符IDTRn, Si,該交易標識符是所述過濾值 IDTRn�、所述獨特秘密密鑰KSiB、和該授權(quán)服務(wù)器Si的標識符IDsi的函數(shù)���;e)該授權(quán)服務(wù)器Si向該實體B供應(yīng)以下元素��,所述元素至少包括所述交易標識符 IDTRn, Si �����;f)使用在所述步驟e)期間接收到的交易標識符IDTRN�,Si,所述實體B:-在由該實體B所預(yù)先計算的并且與該交易編號的至少一個所預(yù)測的值相關(guān)聯(lián)的過濾值的集合內(nèi)�,標識當(dāng)前的過濾值IDTRn,并且-獲得授權(quán)服務(wù)器標識符IDSi����,并且根據(jù)它來推斷出對應(yīng)的獨特秘密密鑰KSiB ;以及g)該實體B生成會話密鑰�����。
2.根據(jù)權(quán)利要求1的用于安全通信的方法��,其特征在于���,該實體B在所述步驟f)期間��, 檢查出該授權(quán)服務(wù)器Si還沒有針對該實體B而授權(quán)具有相同編號N的先前交易�。
3.根據(jù)權(quán)利要求1或權(quán)利要求2的用于安全通信的方法,其特征在于�����,該實體B在所述步驟f)期間��,檢查出所述所接收到的交易標識符IDTRN�,Si的值與該獨特秘密密鑰KSiB —致。
4.根據(jù)權(quán)利要求1到3中任一項的用于安全通信的方法�,其特征在于,所述授權(quán)服務(wù)器使用對于所述組中的所有授權(quán)服務(wù)器共同的算法����,以便確定與給定實體B相關(guān)的相繼交易編號N。
5.根據(jù)權(quán)利要求4的用于安全通信的方法����,其特征在于,由任何給定授權(quán)服務(wù)器Si在給定時間td針對給定實體B所確定的交易編號N是該時間td和參考編號Nb的預(yù)定函數(shù)�, 該參考編號Nb的值是由實體B與該組中的所有授權(quán)服務(wù)器Si所共享的秘 密。
6.根據(jù)權(quán)利要求4的用于安全通信的方法�,其特征在于,由任何給定授權(quán)服務(wù)器Si針對給定實體B所確定的交易編號N是先前交易編號的預(yù)定排序函數(shù)����,并且每當(dāng)該授權(quán)服務(wù)器31針對該實體B確定出屬于一系列預(yù)定值的交易編號的值時�,該授權(quán)服務(wù)器Si就向該實體B發(fā)送同步消息���。
7.根據(jù)權(quán)利要求1到6中任一項的用于安全通信的方法��,其特征在于����,在所述步驟e) 期間該授權(quán)服務(wù)器Si向該實體B供應(yīng)的所述元素還包括纖(W-:CKfSi�,該數(shù)據(jù)取決于該交易編號N、并且借助于密碼函數(shù)來推斷�,該密碼函數(shù)取決于以下秘密密鑰KsiUhedt,該秘密密鑰KsiUkk是根據(jù)所述秘密密鑰KSiB����、從所述授權(quán)請求(REQ)所獲得的元素集合��、和可選的交易編號N所推導(dǎo)出的����。
8.根據(jù)權(quán)利要求1到7中任一項的用于安全通信的方法,其特征在于�����,該實體A向該實體B供應(yīng)該實體A的所述標識符IDa、或所推導(dǎo)出的標識符ID’ A���。
9.根據(jù)權(quán)利要求7和權(quán)利要求8的用于安全通信的方法�,其特征在于 -根據(jù)其來推斷出所述數(shù)據(jù)(’///:'(7^^.的元素的所述集合包括該實體A的標識符IDa或所述所推導(dǎo)出的標識符ID’ A��,以及 -在所述步驟f)期間��,該實體B借助于所述秘密密鑰KSiB, check,來檢查在一方面的根據(jù)權(quán)利要求7所接收到的數(shù)據(jù)與另一方面的根據(jù)權(quán)利要求8所接收到的包括該標識符IDa或所推導(dǎo)出的標識符ID’A的所述元素之間的一致性�。
10.一種被稱作授權(quán)服務(wù)器的裝置,用于在實體A與實體B之間的交易期間使得電信網(wǎng)絡(luò)中的通信安全����,該裝置包括用于執(zhí)行以下操作的部件 -對持有標識符IDa的實體A進行標識和驗證, -確定所述授權(quán)服務(wù)器Si (其中����,i = 1,2���,...�����,p�,并且P是嚴格的正整數(shù))與實體B共享的獨特秘密密鑰KSiB,該實體A宣告它的用于與該實體B進行通信的意圖�����, -生成會話密鑰尤,并且將它發(fā)送到該實體A�����,所述會話密鑰是所述獨特秘密密鑰KSiB的單向函數(shù)�����,并且還是向所述交易分配的整數(shù)N的函數(shù)���,該整數(shù)N被稱作交易編號�,-生成過濾值IDTRn,該過濾值是按照不可逆的方式而至少取決于所述交易編號N的函數(shù)�, -生成交易標識符IDTRn,Si����,該交易標識符是所述過濾值IDTRn、所述獨特秘密密鑰KSiB���、和該授權(quán)服務(wù)器Si的標識符IDsi的函數(shù)�����,以及 -向所述實體B供應(yīng)至少包括所述交易標識符IDTRN�����,Si的元素����。
11.一種被稱作實體B的裝置,用于電信網(wǎng)絡(luò)中的安全通信���,其特征在于�,該裝置包括在涉及所述實體B和實體A的交易期間����、用于執(zhí)行以下操作的部件 -接收至少包括由授權(quán)服務(wù)器Si (其中,i = 1��,2���,...�����,p�����,并且P是嚴格的正整數(shù))生成的交易標識符IDTRN�,Si的元素,所述交易標識符IDTRN,Si是過濾值IDTRn��、該實體B與所述授權(quán)服務(wù)器Si所共享的獨特秘密密鑰KSiB�、和該授權(quán)服務(wù)器Si的標識符IDsi的函數(shù),并且所述過濾值IDTRn是按照不可逆的方式而至少取決于向所述交易分配的整數(shù)N的函數(shù)����,該整數(shù)N被稱作交易編號, -借助于所述交易標識符IDTRN����,Si, 在由該實體B所預(yù)先計算的��、并且與該交易編號的至少一個所預(yù)測的值相關(guān)聯(lián)的過濾值的集合內(nèi)�����,標識當(dāng)前的過濾值IDTRn,并且 獲得授權(quán)服務(wù)器標識符IDsi�����,并且根據(jù)它來推斷出對應(yīng)的獨特秘密密鑰1(,;以及 生成會話密鑰,該會話密鑰一方面是所述交易編號N的函數(shù)��,并且另一方面是所述獨特秘密密鑰KSiB的單向函數(shù)��。
12.根據(jù)權(quán)利要求11的用于安全通信的裝置�����,其特征在于�,它還包括對應(yīng)表格,用于將該交易編號的至少一個所預(yù)測的值與相關(guān)聯(lián)的預(yù)先計算的過濾值進行相關(guān)�����。
13.一種被稱作實體A的裝置����,用于電信網(wǎng)絡(luò)中的安全通信,該裝置包括在涉及所述實體A和實體B的交易期間��、用于執(zhí)行以下操作的部件-作為標識符IDa的持有者來相對于授權(quán)服務(wù)器Si (其中����,i = 1�����,2��,. . .��,p�,并且P是嚴格的正整數(shù))標識它自身并且驗證它自身�����,-向所述授權(quán)服務(wù)器Si宣告它的用于與某一實體B進行通信的意圖����,-從該授權(quán)服務(wù)器Si接收會話密鑰,所述會話密鑰是由該授權(quán)服務(wù)器Si與所述實體B共享的獨特秘密密鑰KSiB的單向函數(shù)���,并且還是向所述交易分配的整數(shù)N的函數(shù)�,該整數(shù)N被稱作交易編號��,-從該授權(quán)服務(wù)器Si接收交易標識符IDTRN�����,Si���,所述交易標識符IDTRN���,Si是過濾值 IDTRn、所述獨特秘密密鑰KSiB����、和該授權(quán)服務(wù)器Si的標識符IDsi的函數(shù),并且所述過濾值 IDTRn是按照不可逆的方式而至少取決于所述交易編號N的函數(shù)�,以及 -向該實體B發(fā)送至少包括所述交易標識符IDTRN,Si的元素�����。
14.一種不可移動的��、或者部分地或完全地可移動的數(shù)據(jù)存儲部件�����,包括用于實現(xiàn)根據(jù)權(quán)利要求1到9中任一項的用于安全通信的方法的步驟的計算機程序代碼指令�。
15.一種可從通信網(wǎng)絡(luò)上下載的、和/或在計算機可讀取的介質(zhì)上存儲的、和/或可由微處理器運行的計算機程序��,意欲安裝在根據(jù)權(quán)利要求10到13中任一項的安全通信裝置中�,其特征在于,該計算機程序包括用于當(dāng)通過所述裝置的處理部件來執(zhí)行該計算機程序時����、實現(xiàn)根據(jù)權(quán)利要求1到9中任一項的用于安全通信的方法的步驟的指令。
全文摘要
本發(fā)明涉及一種用于電信網(wǎng)絡(luò)中的安全通信的方法���,所述網(wǎng)絡(luò)包括被稱為授權(quán)服務(wù)器的一組服務(wù)器Si(其中��,/=1,2,…,p�����,并且p是嚴格的正整數(shù))����。針對所述網(wǎng)絡(luò)的實體A與實體B之間的交易�,所述方法包括以下步驟a)實體A向授權(quán)服務(wù)器Si之一發(fā)送授權(quán)請求,其中�,實體A作為標識符IDA的持有者來標識它自身并且驗證它自身;b)實體A向所述授權(quán)服務(wù)器Si宣告它的用于與實體B進行通信的意圖��,并且該授權(quán)服務(wù)器Si確定它與所述實體B共享的獨特秘密密鑰KSiB;c)該授權(quán)服務(wù)器Si生成會話密鑰并且向?qū)嶓wA發(fā)送所述會話密鑰d)該授權(quán)服務(wù)器Si生成交易標識符IDTRN,Si���;e)該授權(quán)服務(wù)器Si向?qū)嶓wB轉(zhuǎn)發(fā)以下元素��,所述元素至少包括所述交易標識符IDTRN,Si;f)使用所述交易標識符IDTRN,Si����,所述實體B核查該交易的有效性,以及g)實體B生成會話密鑰
文檔編號H04L9/08GK103039033SQ201180037708
公開日2013年4月10日 申請日期2011年5月26日 優(yōu)先權(quán)日2010年5月31日
發(fā)明者P.巴蒂斯特洛 申請人:法國電信公司