CN1110924C

CN1110924C - 电信网中的安全传输方法

Info

Publication number: CN1110924C
Application number: CN98809124A
Authority: CN
Inventors: 特米·莱维斯特
Original assignee: Nokia Networks Oy
Current assignee: Nokia Technologies Oy
Priority date: 1997-09-15
Filing date: 1998-09-15
Publication date: 2003-06-04
Anticipated expiration: 2018-09-15
Also published as: ES2219902T3; JP2006148982A; WO1999014888A2; JP3816337B2; DE69823834T2; EP0998799A2; FI113119B; JP2001517020A; FI973694A0; AU9165298A; WO1999014888A3; US6449473B1; CN1270725A; ATE266920T1; CA2303048A1; DE69823834D1; EP0998799B1; CA2303048C; FI973694L; USRE39589E1

Abstract

本发明涉及为电信网通信各方之间的传输提供连接安全性的方法，该方法包括以下步骤：通信各方交换安全参数，基于这些安全参数提供消息的连接安全性，以及在通信各方之间发送所述消息。按照本发明的方法的特征在于，该方法还包括以下步骤：通信各方就重新计算安全参数的间隔达成协议，通信各方监控重新计算的间隔，以预定的间隔重新计算安全参数，以及基于重新计算出的最新安全参数提供消息的连接安全性。

Description

电信网中的安全传输方法

技术领域：

本发明涉及为电信网通信各方之间的传输提供连接安全性的方法。

背景技术

在开始通信时，电信网应用之间通常进行握手，期间涉及的各方一般相互认证并交换密钥信息，例如协商加密算法和通信中使用的加密密钥。只有在握手之后才能传输实际的数据。传输的安全性一般例如通过加密保证。附图的图1a和1b示出了两种已知加密算法的框图，这两种算法可以用于保护传输：对称算法和公钥算法。

图1a示出了基于参与者之间共享的密钥的对称算法。在A方在一侧，图1a的框E中通过共享密钥K来加密需要发送的消息M。该消息以加密密文C的形式通过传输路由发送，B方可以在图1a所示的框D中利用同一密钥K解密。通过解密，B方得到原始消息M。窃听消息的入侵者必须知道密钥K才能读取并了解发送的密文C。对称算法的加密和解密可以由以下方程表示：

C＝E_K(M)

M＝D_K(C)，

其中C是密文，M是明文消息，E_K是用密钥K加密，D_K是用密钥K解密。

图1b示出了公钥算法，它是一种非对称方案。该算法基于两个密钥：公钥和私钥。这两个密钥是相关的，使得以公钥K₊加密的消息只能用对应的私钥K_-解密，反之亦然。在图1b中，在A方在一侧，框E中通过接收方，即B方的公钥K₊来消息M。加密密文C通过传输线路发送给B方一侧，在框D中利用对应的B方私钥K_-解密，得到原始消息M。非对称算法的加密和解密可以由以下方程表示：

C＝E_B ⁺(M)

M＝D_B ^-(C)，

其中C是密文，M是明文消息，E_B ⁺是用接收方的公钥K_B ⁺加密，D_B ^-是用接收方的私钥K_B ^-解密。

在公钥算法中，通过消息发送方的私钥K_-进行的消息加密可以充当签名，因为任何人可以用发送方的公钥K₊来解密该消息。因为非对称密钥通常比对称密钥长得多，所以非对称算法需要多得多的处理能力。因此，非对称算法不适合加密大量数据。

综合加密同时采用了以上两种方法。例如，仅利用公钥算法交换会话密钥，而利用对称算法加密通信的其余部分。

为了提供消息完整性和连接中的认证，计算消息认证码MAC并将其附在发送的消息上。例如，可以利用单向哈希算法以以下方式计算MAC：

h＝H(K，M，K)，

其中K是密钥，M是消息，H是哈希函数。可以根据输入导出输出。如果将MAC附在消息上，那么就无法破坏或伪造消息。接收方利用接收的消息和与发送方相同的哈希函数及密钥计算MAC，比较计算出的MAC和该消息所附的MAC以加以验证。

图2示出了通信连接的例子。工作在GSM网络(全球移动通信系统)的移动台MS能够直接从GSM网建立到银行的连接。图2给出的其它可能连接是从GSM网通过网关GW和因特网到不同服务的连接。在移动通信网，例如GSM中，从移动台MS到GSM网的空中接口能够很好地防御盗用，但是只要不采取措施来提供连接安全性，则传输路由的其余部分通常与其它任何公用电话系统一样易于被攻击。

提供连接安全性的一个问题在于，握手需要充分的处理时间，因为必须在涉及的各方之间发送多个消息。移动台的低处理能力和窄带宽使得移动通信网中的握手尤为繁重。对具有多个同时进行的事务处理的应用，例如银行的服务器而言，握手一般相当繁重。因此，希望使得握手的次数和时长尽可能小。这会导致以下问题：即攻击者能够进行大量的密码分析，因为两次握手之间使用同一加密密钥。如果攻击者成功地进行了密码分析，那么他能够获取两次握手之间发送的任何信息。

发明内容：

本发明的目的是提供一种安全保护通信应用间，尤其是在窄带连接之间传送的信息的方法，而不会不必要地加重通信各方的负荷。

根据本发明，提出了一种为电信网通信各方之间的传输提供连接安全性的方法，该方法包括以下步骤：通信各方交换安全参数，基于这些安全参数提供消息的连接安全性，以及在通信各方之间发送所述消息，其特征在于，该方法还包括以下步骤：通信各方就重新计算安全参数的间隔达成协议，通信各方监控重新计算的间隔，以预定的间隔重新计算安全参数，以及基于重新计算出的最新安全参数提供消息的连接安全性。

本发明的基本思想在于，在传输会话期间通信各方以约定的间隔彼此同时重新计算安全参数，利用这些新参数继续通信并提供连接安全性。通信各方监控重新计算的时间并以约定的间隔重新计算，从而改变安全参数而不需要进行握手。在本发明的主实施例中，对消息进行编号，约定的编号定期触发重新计算。

按照本发明的方法的优点在于，在会话期间不需要握手就能改变安全参数。这减少了需要的握手次数。

按照本发明的方法的另一优点在于，提高了传输的安全性，即攻击更难，收益甚微。

附图说明：

下面结合附图描述本发明的优选实施例，在附图中：

图1a以框图形式示出了对称加密算法；

图1b以框图形式示出了非对称加密算法；

图2给出了从移动通信网到一些应用的若干连接例子；

图3示出了按照本发明的主实施例为发送的消息提供连接安全性的会话密钥；以及

图4以流程图的形式示出了主实施例。

具体实施方式：

本发明可以应用于任何电信网。下面以工作在数字GSM移动通信系统，并与位于GSM网内或网外的应用通信的移动台为例详细描述本发明。

下面结合图2、3和4详细描述本发明的主实施例。

图2示出了前述连接的一些例子。联系银行服务器的移动台MS首先按照现有技术进行握手，期间MS和银行可以相互认证，交换所需的会话密钥信息。按照本发明，移动台和银行服务器例如在握手期间协商并约定重新计算安全参数的适当间隔，前述安全参数用以提供通信期间的保密性、数据完整性和认证。例如，可以如下实现协商：通信各方，即图2例子中的移动台MS和银行中的应用，提出适当的重新计算间隔，选择并约定提出的间隔之一，例如更为频繁的那个间隔。用以确定间隔的适当参数的例子是消息序列号，例如每隔3个消息，或者适当的时间段。即使在通信会话开始时不需要，因而也没有执行握手，按照本发明，通信各方仍需要预定重新计算间隔。

在预定重新计算间隔之后，各方都监视预定的间隔。如果约定了4个消息之后的间隔，则各方都监视发送的消息数量，这需要不会丢失消息的可靠传输媒质，或者将所有发送的消息都编号，将这些序列号与消息一起发送。将序列号或时间标签与消息一起发送的优点在于，即使在传输路径上丢失了一些消息，或者没有以正确的次序接收消息，这两端的重新计算也是同步的。如果在上例中，收发了第4个消息，则通信各方都重新计算安全参数，并使用这些新的参数为接下来的4个消息提供连接安全性。在参数的计算期间或之后，不进行握手或任何其他会话密钥的交换。重新计算可以基于共享的秘密信息或者例如最近的序列号。也可以通过以下方式利用安全参数计算加密用的会话密钥Kn和消息认证码MAC，例如：

Kn＝H(S，N)

MAC＝H(M，S，N)，

其中H是预定哈希函数，S是共享的秘密信息，N是最近的序列号，M是需要以明文形式发送的消息。

图3示出了按照本发明选择会话密钥的例子。在图3中，从MS发送的消息以序列号0到3编号。在图3的例子中，预定的重新计算间隔是在发送两个消息之后。序列号0的消息以会话密钥K1加密后发送给银行。如果在加密中使用了对称算法，则银行应用相同的会话密钥K1解密消息0。具有序列号1的消息也通过会话密钥K1发送。因为移动台MS现在已发送了两个消息，所以移动台和银行应用都利用共享秘密信息和最近序列号，即1，重新计算安全参数，例如安全密钥K2。在重新计算之后，MS发送以会话密钥K2加密的下一消息2给银行。银行应用以相同的重新计算的会话密钥K2解密消息2。消息3在发送前也以会话密钥K2加密。此后，MS和银行应用再次注意到预定的间隔已到，各方都利用共享秘密信息和最近序列号，即4，重新计算安全参数，例如安全密钥K4。

图4以流程图的形式示出了本发明的主实施例。在步骤41，通信开始，在图2的例子中，涉及的通信各方是MS和银行应用，它们协商并约定安全参数的重新计算间隔。与上例相同，我们再次假定约定的间隔是在发送两个消息之后。通信各方例如通过各自的计数器跟踪发送消息的数量。在42阶段，通信方之一，例如MS，以会话密钥K1加密需要发送的第一消息，该密钥K1根据握手期间交换的，或者与涉及各方共享的共享秘密信息得到。发送加密的消息，接收方利用相应的会话密钥K1解密该消息(阶段43)。此时，计数器设置为1。在阶段44，这两方，在本例中是MS和银行应用，例如通过检查计数器中的值是否等于预定的间隔值，来检查是否到达了约定的间隔。因为发送的消息仅是第一消息，所以不进行重新计算，下一消息仍以同一会话密钥K1加密和解密。在发送了2个消息之后，计算器指示值2，等于预定的间隔值，在阶段44条件成立，通信双发都重新以预定方式计算安全参数，得到新会话密钥K2(阶段45)。在阶段46，清除监控的间隔，即，例如通过将计数器设置为0，重启消息计数。在阶段47，检查是否仍有消息需要发送，如果是，则在阶段42继续消息加密，利用最近的会话密钥K2加密第一消息，之后发送消息，将计数器值置成值1。处理以类似方式继续，直至发送了所有需要发送的消息。

在本发明的另一实施例中，MAC取代了加密，用于为消息传输提供连接安全性。按照本发明，例如根据上次触发安全参数的重新计算的序列数计算MAC。在图3的例子中，利用序列数1为所示以K2加密的消息计算MAC，利用序列数3为以K3加密的消息计算MAC。本发明的这一实施例在其它方面的实现与前述第一实施例相同。

本发明的另一实施例采用加密和MAC来提供消息的连接安全性。这通过组合以上实施例来实现。

安全参数的重新计算还包括改变加密下一消息所用的加密算法的可能性。

附图及相关的解释仅用于说明本发明的原理。按照本发明的方法的细节可以在专利的权利要求书范围内有所变化。尽管以上主要针对移动台和服务应用通信描述了本发明，但本发明也可以在语音、数据和短消息传输中，为任两个或多个共同通信的应用之间，以及移动台到移动台的连接之间的消息提供连接安全性。本发明还适用于重新计算安全密钥和MAC之外的其它安全参数。本发明并不局限于仅使用上述加密算法，而是可以与任何加密算法一起应用。

Claims

1.为电信网通信各方之间的传输提供连接安全性的方法，该方法包括以下步骤：

通信各方交换安全参数，

基于这些安全参数提供消息的连接安全性，以及

在通信各方之间发送所述消息，

其特征在于，该方法还包括以下步骤：

通信各方就重新计算安全参数的间隔达成协议，

通信各方监控重新计算的间隔，

以预定的间隔重新计算安全参数，以及

基于重新计算出的最新安全参数提供消息的连接安全性。

2.根据权利要求1的方法，其特征在于，基于重新计算出的最新安全参数提供消息的连接安全性包括以下步骤：

基于重新计算出的最新安全参数加密消息。

3.根据权利要求1的方法，其特征在于，基于重新计算出的最新安全参数提供消息的连接安全性包括以下步骤：

基于重新计算出的最新安全参数认证并提供消息的完整性。

4.根据权利要求1的方法，其特征在于，基于重新计算出的最新安全参数提供消息的连接安全性包括以下步骤：

基于重新计算出的最新安全参数加密消息，以及

基于重新计算出的最新安全参数认证并提供消息的完整性。

5.根据权利要求3或4的方法，其特征在于，利用消息认证码MAC认证并提供消息的完整性。

6.根据权利要求1的方法，其特征在于，该方法还包括以下步骤：

为消息编号，

约定消息的数量以确定重新计算安全参数的间隔，

在发送了约定数量的消息之后，重新计算安全参数。

7.根据权利要求1的方法，其特征在于，该方法还包括以下步骤：

利用序列号为消息编号，

将序列号与消息一起发送，以及

利用最新的序列号作为输入，重新计算安全参数。

8.根据权利要求1的方法，其特征在于，该方法还包括以下步骤：

通信各方在握手期间就重新计算安全参数的间隔达成一致。