ES2526703T3 - Seguridad de comunicación - Google Patents

Seguridad de comunicación Download PDF

Info

Publication number
ES2526703T3
ES2526703T3 ES06779195.4T ES06779195T ES2526703T3 ES 2526703 T3 ES2526703 T3 ES 2526703T3 ES 06779195 T ES06779195 T ES 06779195T ES 2526703 T3 ES2526703 T3 ES 2526703T3
Authority
ES
Spain
Prior art keywords
key
kmc
network core
communication network
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06779195.4T
Other languages
English (en)
Inventor
Peter Thomas Howard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vodafone Group PLC
Original Assignee
Vodafone Group PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vodafone Group PLC filed Critical Vodafone Group PLC
Application granted granted Critical
Publication of ES2526703T3 publication Critical patent/ES2526703T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método de establecimiento de un canal de comunicación extremo a extremo seguro para enviar mensajes seguros entre un primer dispositivo (1A) y un segundo dispositivo (1B), cada dispositivo que está asociado con un núcleo de red de comunicación (3A, 3B) y en donde al menos uno de los dispositivos incluye datos de seguridad para generar tales mensajes seguros, el método que incluye: establecer una conexión del plano de control entre el primer dispositivo (1A) y el núcleo de red de comunicación (3A), la conexión del plano de control que está protegida por una arquitectura de seguridad preestablecida; intercambiar de manera segura información de claves entre el primer dispositivo (1A) y el núcleo de red de comunicación (3A) usando la conexión del plano de control y su arquitectura de seguridad correspondiente, por lo cual dicha información de claves es utilizable para permitir al núcleo de red de comunicación (3A, 3B) obtener los datos de seguridad y por consiguiente interpretar los mensajes seguros interceptados enviados entre los dispositivos primero y segundo (1A, 1B).

Description

5
10
15
20
25
30
35
40
45
50
E06779195
19-12-2014
DESCRIPCIÓN
Seguridad de comunicación
Campo de la invención
La presente invención se refiere a un método y aparato para establecer un canal de comunicación seguro entre un primer dispositivo y un segundo dispositivo a través de una red de comunicación.
Antecedentes de la invención
El proyecto de cooperación de tercera generación (3GPP) ha definido recientemente un nuevo concepto conocido como IMS (Subsistema Multimedia basado en IP). El objetivo del IMS es permitir a usuarios tales como operadores de red de telefonía móvil proporcionar servicios a sus abonados tan eficiente y eficazmente como sea posible. Por ejemplo, la arquitectura IMS soporta los siguientes tipos de comunicación: voz, vídeo, mensajería instantánea, “presencia” (disponibilidad de un usuario para contactar), servicios basados en localización, correo electrónico y web. Otros tipos de comunicación van a ser añadidos probablemente en el futuro.
Esta colección diversa de dispositivos de comunicación requiere una gestión de sesión eficiente debido al número de diferentes aplicaciones y servicios que se desarrollarán para soportar estos tipos de comunicación. El 3GPP ha elegido el Protocolo de Inicio de Sesiones (SIP) para gestionar estas sesiones.
El protocolo SIP es un protocolo basado en sesión diseñado para establecer sesiones de comunicación basadas en IP entre dos o más puntos finales o usuarios. Una vez que se ha establecido una sesión SIP, se puede llevar a cabo una comunicación entre estos puntos finales o usuarios usando una variedad de protocolos diferentes (por ejemplo aquellos diseñados para difusión en forma continua de audio y vídeo). Estos protocolos se definen en los mensajes de inicio de sesión SIP.
Con IMS, los usuarios ya no están restringidos a una llamada de voz o sesión de datos separada.
Se pueden establecer sesiones entre dispositivos móviles que permiten una variedad de tipos de comunicación a ser usados y medios a ser intercambiados. Las sesiones son dinámicas en su naturaleza por que se pueden adaptar para satisfacer las necesidades de los usuarios finales. Por ejemplo, dos usuarios podrían iniciar una sesión con un intercambio de mensajes instantáneos y entonces decidir que desean cambiar a una llamada de voz, posiblemente con vídeo. Esto es todo posible dentro de la estructura IMS. Si un usuario desea enviar un fichero a otro usuario y los usuarios ya tienen una sesión establecida entre sí (por ejemplo, una sesión de voz) la sesión se puede redefinir para permitir que tenga lugar un intercambio del fichero de datos. Esta redefinición de sesión es transparente para el usuario final.
Además del uso de Redes de Acceso Radio UMTS (UTRAN) para acceder a una llamada basada en IMS, también se puede acceder a una llamada basada en IMS mediante redes de acceso alternativas, tales como WLAN, conexiones de banda ancha fijas y similares.
Hay tres planos de operación distintos en la arquitectura IMS: el plano de aplicaciones, el plano de control y el plano de medios.
El plano de aplicaciones incluye distintos tipos de servidores de aplicaciones que son todos entidades SIP. Estos servidores alojan y ejecutan servicios.
El plano de control maneja la señalización de sesión e incluye distintas funciones para procesar el flujo de tráfico de señalización, tales como Funciones de Control de Sesión de Llamada (CSCF), Servidor de Abonado Local (HSS), Función de Control de Pasarela de Medios (MGCF) y Controlador de Funciones de Recursos de Medios (MRFC). Se proporcionan servicios solicitados por el abonado usando protocolos tales como SIP y Diameter.
El plano de medios transporta los flujos de medios directamente entre abonados.
La arquitectura de seguridad IMS actual especificada en la TS 33.203 define un mecanismo para proteger el plano de control IMS. Actualmente, la protección en el plano de medios se basa en los mecanismos de seguridad de red de portador subyacente. Para acceso IMS sobre redes de acceso de Red de Acceso Radio de Borde GSM (GERAN)
o UTRAN, esta puede ser suficiente debido a que los mecanismos de seguridad de acceso de GERAN y UTRAN proporcionan un buen nivel de seguridad. No obstante, para acceso IMS sobre banda ancha fija y WLAN, puede ser insuficiente la seguridad de red de portador subyacente.
Hay dos posibles soluciones para proporcionar un canal de comunicación seguro entre un primer dispositivo y un segundo dispositivo. La seguridad se puede proporcionar en el camino entre cada dispositivo y su pasarela de acceso respectiva a un núcleo IMS (este camino que es la parte más vulnerable del canal de comunicación) o se suministra seguridad ventajosamente de una forma extremo a extremo entre los dispositivos respectivos. El planteamiento extremo a extremo es ventajoso debido a que se usa menos recurso de red ya que no se requiere cifrado/descifrado y descifrado/cifrado repetidos en cada pasarela a diferencia de cuando la seguridad se termina en
10
15
20
25
30
35
40
45
50
E06779195
19-12-2014
las pasarelas de acceso respectivas). El planteamiento extremo a extremo también evita restricciones en el encaminamiento del plano de medios.
Aunque es deseable el suministro del canal de comunicación extremo a extremo seguro entre los dispositivos respectivos para impedir interceptación no autorizada y la revelación de los datos transmitidos en el canal de comunicación, también es deseable permitir la interceptación e interpretación de datos transmitidos en el canal de comunicación seguro en circunstancias especiales. Tal “interceptación legal” puede ser deseable en el nombre de las autoridades del gobierno para detectar actividades ilegales.
La WO 03/049357 describe un planteamiento de permitir interceptación legal usando un “valor inicial” aleatorio (es decir un valor aleatorio), que se genera por un nodo de red y usa por los terminales finales para calcular claves de cifrado. También, el Manual de Criptografía Aplicada de Menezes, Oorschot y Vanstone, publicado por CRC Press Series sobre Matemáticas Discretas y sus Aplicaciones, 1997, XP002409097, ISBN: 0-8493-8523-7 proporciona antecedentes sobre técnicas de gestión de claves conocidas.
Compendio de la invención
La invención se define en las reivindicaciones adjuntas.
Para una mejor comprensión de la presente invención, se describirán ahora realizaciones con referencia a los dibujos anexos, en los que:
La Figura 1 muestra esquemáticamente los elementos de comunicación proporcionados para permitir a los terminales respectivos comunicar entre sí;
La Figura 2 muestra esquemáticamente la comunicación entre los terminales respectivos en el plano de medios y en el plano de control;
La Figura 3 muestra el mecanismo por el cual se acuerda una clave entre un terminal móvil y una función de aplicaciones de red usando la arquitectura de autenticación genérica del 3GPP; y
La Figura 4 muestra el mecanismo para proporcionar comunicaciones del plano de medios protegidas entre los terminales respectivos e intercambio de claves entre esos terminales usando seguridad del plano de control.
En los dibujos elementos iguales se designan de manera general con el mismo signo de referencia.
La Figura 1 muestra esquemáticamente una red de comunicación. El terminal 1A se registra con el núcleo de red IMS 3A. El terminal 1A puede ser un teléfono celular o móvil de mano, un asistente digital personal (PDA) o un ordenador portátil equipado con una tarjeta de datos o módulos 3G incorporados y una SIM. El terminal 1A comunica inalámbricamente con el núcleo de red 3A a través de una red de acceso radio (RAN) 5A, que comprende, en el caso de una red UMTS, una estación base (Nodo B) y un controlador de red radio (RNC). Las comunicaciones entre el terminal 1A y la red 3A se encaminan desde la red de acceso radio 5A a través del nodo de soporte GPRS de servicio (SGSN) 7A y el nodo de soporte GPRS pasarela (GGSN) 9A, que se puede conectar por un fijo (enlace por cable) al núcleo de red 3A. El GGSN 9A permite comunicaciones basadas en IP con la red central 3A.
De la manera convencional, se pueden registrar una multiplicidad de otros terminales con el núcleo de red 3A. Estos otros terminales pueden comunicar con el núcleo de red 3A de una manera similar al terminal 1A, es decir a través de la red de acceso radio 5A, SGSN 7A y GGSN 9A. Alternativamente, los otros terminales pueden comunicar a través de una red de acceso diferente, tal como Internet de banda ancha o WLAN.
De manera similar, el terminal 1B se registra con el núcleo de red IMS 3B y comunica con el mismo a través de la RAN 5B, el SGSN 7B y el GGSN 9B.
Los núcleos de red respectivos 3A, 3B se conectan por el enlace de comunicación 11.
Cada uno de los terminales móviles 1A, 1B se dota con un módulo de identidad de abonado (SIM) 15 respectivo. Durante el proceso de fabricación de cada SIM, se almacena información de autenticación sobre el mismo bajo el control del núcleo de red 3A, 3B relevante. El núcleo de red 3A, 3B almacena en sí mismo detalles de cada uno de los SIM bajo su control en su Servidor de Abonado Local (HSS) 17A, 17B.
En la operación del núcleo de red 3A, el terminal 1A se autentica (por ejemplo, cuando el usuario activa el terminal en la RAN 5A con una vista para hacer o recibir llamadas) por el núcleo de red 3A enviando un desafío al terminal 1A que incorpora el SIM 15, en respuesta a lo cual el SIM 15 calcula una respuesta (dependiente de la información predeterminada mantenida en el SIM – típicamente un algoritmo de autenticación y una clave única Ki) y la transmite de vuelta al núcleo de red 3A. El HSS 17A incluye un procesador de autenticación que genera el desafío y que recibe la respuesta desde el terminal 1A. Usando la información almacenada previamente que concierne al contenido del SIM 15 relevante, el procesador de autenticación calculó el valor esperado de la respuesta desde el terminal móvil 1A. Si la respuesta recibida coincide con la respuesta calculada esperada, el SIM 15 y el terminal
10
15
20
25
30
35
40
45
E06779195
19-12-2014
asociado 1A se consideran que se autentican. La autenticación entre el terminal móvil 1B y el núcleo de red 3B
ocurre de una manera similar. Descrita hasta aquí está la conexión del plano de medios entre el terminal 1A y el núcleo de red 3A. Como se mencionó anteriormente, la plano de control maneja la señalización de sesión y se pretende que sea independiente del acceso – es decir la señalización de sesión del núcleo de red es la misma, con independencia de si se accede al núcleo de red a través de una red de telecomunicaciones móvil o celular (que comprende la RAN 5A, SGSN 7A y 9A) o accede a través de una conexión de banda ancha fija o conexión WLAN.
En el plano de control, el terminal 1A comunica, a través de la RAN 5A, SGSN 7A y GGSN 9A, inicialmente con la CSCF intermediaria (P-CSCF) 19A. La P-CSCF 19A asegura que el registro SIP se pasa al núcleo de red doméstica y que los mensajes de sesión SIP se pasan a la CSCF de servicio (S-CSCF) 21A correcta una vez que ha ocurrido el registro del terminal con su núcleo de red doméstica (3A en esta realización). El usuario se asigna a una P-CSCF 19A como parte del registro y proporciona una asociación IPsec de dos vías con el dispositivo 1A. Todo el tráfico de señalización atraviesa la P-CSCF 19A durante la duración de una sesión de comunicación.
La S-CSCF 21A interactúa con el HSS 17A para determinar la elegibilidad del servicio por el usuario desde el perfil
de usuario. La S-CSCF 21A se asigna durante la duración del registro. La S-CSCF 21A está siempre en el núcleo de red doméstica 1A del terminal. La P-CSCF 19A puede estar en la red doméstica o en un núcleo de red visitada.
La señalización del plano de control y la señalización del plano de medios siguen diferentes caminos, como se indicó anteriormente y como se muestra esquemáticamente en la Figura 2. Como se mencionó anteriormente, la arquitectura de seguridad IMS actual en la TS 33.203 protege solamente el plano de control IMS. Se supone que el plano de medios es seguro. Mientras que el plano de medios puede ser adecuadamente seguro en una red de acceso GERAN o UTRAN, esto puede no ser así para una red de acceso WLAN u otros tipos de red de acceso.
Brevemente, la seguridad del plano de control se proporciona por la S-CSCF 21A que ejecuta una autenticación basada en SIM y un acuerdo de claves con el cliente IMS presente en el terminal móvil 1A. Una clave de sesión se pasa a la P-CSCF 19A y usa para señalización de protección de integridad y confidencialidad entre el terminal 1A y la P-CSCF 19A usando IPsec. Opcionalmente, se puede usar IPsec con encapsulación UDP para acceso IMS sobre acceso no celular donde puede estar presente un traductor de direcciones de red (NAT).
El 3GPP especifica el uso de IPsec y especifica una infraestructura de clave pública (PKI) basada en solución de gestión de claves para establecer IPsec entre núcleos IMS. También es posible el uso de seguridad de capa de transporte (TLS). Protocolos de seguridad para protección del plano de medios:
 Medios RTP de Protocolo de Transporte en Tiempo Real, por ejemplo:
-SRTP (RFC3711)
 Medios no RTP, por ejemplo:
-TLS/DTLS
-IPsec
-S/MIME
-… Gestión de claves:
 Inicio de diálogo en canal de señalización, por ejemplo:
-MIKEY (RFC3830, draft-ietf-mmusic-kmgmt-ext)
-Descripciones de Seguridad SDP (draft-ietf-mmusic-sdescriptions, etc.)
 Inicio de diálogo en canal de medios, por ejemplo:
-ZRTP (draft-zimmermann-avt-zrtp)
-EKT (draft-mcgrew-srtp-ekt)
-RTP/DTLS (draft-tschofening-avt-rtp-dtls, etc.)
10
15
20
25
30
35
40
45
50
55
E06779195
19-12-2014
Se han propuesto diferentes protocolos de seguridad y esquemas de gestión de claves para proteger la comunicación de datos en el plano de medios. No obstante, como se trató anteriormente, puede ser deseable o un requisito para núcleos de red IMS facilitar una interceptación e interpretación legales de tales datos cifrados.
Por ejemplo, si un operador de núcleo de red IMS está asistiendo activamente en ayudar a los usuarios a cifrar medios IMS, entonces se podría requerir a ese operador proporcionar información para quitar ese cifrado para propósitos de interceptación e interpretación legales. El operador de red IMS doméstico para un usuario debe ser capaz de proporcionar información para quitar el cifrado proporcionado. Posiblemente cualquier operador de red IMS visitada también pudiera tener que proporcionar información para quitar el cifrado.
Los medios se pueden encaminar a través de una red que no opera la P-CSCF 19A y S-CSCF 21A implicadas. No obstante, se supone que no habrá requisitos sobre esa red que sean capaces de proporcionar información para quitar el cifrado.
También es ventajoso que los usuarios no sean capaces de determinar si sus comunicaciones están sometidas o no a interceptación e interpretación legales en cualquier momento particular. Se debería hacer difícil para un usuario hacer uso de capacidades de seguridad de medios proporcionadas por el operador mientras que al mismo tiempo elude la interceptación e interpretación legales de los medios.
La Figura 3 muestra esquemáticamente el procedimiento conocido de Arquitectura de Autenticación Genérica (GAA) del 3GPP para acordar una clave para uso entre el terminal 1A y una Función de Aplicaciones de Red (NAF) 30. La NAF 30 representa un servidor de aplicaciones genérico que proporciona cualquier tipo de servicio (aplicación) al terminal 1A.
El operador del núcleo de red IMS 3A, como se mencionó anteriormente, es capaz de autenticar los terminales móviles con el uso de información de autenticación almacenada en la SIM 15 del terminal. La GAA reutiliza esta información de autenticación para proporcionar un mecanismo independiente de la aplicación para dotar al terminal móvil 1A (cliente) y al servidor de aplicaciones (NAF 30) con un secreto (clave) compartido común en base a protocolos de Autenticación y Acuerdo de Claves (AKA) del 3GPP.
Una Función de servidor de Secuencia de Inicialización (BSF) 32 genérica se proporciona en el núcleo de red IMS 3A. Cuando el terminal 1A interactúa con la NAF 30 la primera vez, se realiza una autenticación de secuencia de inicialización. El terminal móvil 1A envía una petición adecuada a la BSF 32. La BSF 32 recupera datos de autenticación para el SIM 15 asociado con el terminal 1A (vectores AKA) desde el HSS 17A. El terminal 1A y la BSF 32 entonces acuerdan sobre las claves de sesión. Las claves de sesión se pasan desde la BSF 32 a la NAF 30 y se usan posteriormente para proteger la comunicación entre el terminal móvil 1A y la NAF.
El secreto (clave) compartido se obtiene por un procedimiento conocido, que se trata ahora brevemente en más detalle.
Cuando el terminal 1A interactúa con la NAF 30 la primera vez, realiza la autenticación de secuencia de inicialización. El terminal 1A envía una petición a la BSF 32. La BSF 32 recupera un conjunto completo de ajustes de seguridad de usuario de la Arquitectura de Secuencia de Inicialización Genérica (GBA) y un vector de autenticación (RAND, AUTN, XRES, IK, CK) desde el HSS 17A. Entonces la BSF 32 reenvía el RAND y AUTN al terminal 1A. El terminal 1A envía el RAND y AUTN al SIM 15 que calcula IK, CK, MAC y RES y comprueba la MAC para verificar que los parámetros vienen desde una red autorizada. Después el SIM 15 genera la clave Ks concatenando la IK y CK. El valor RES se envía a la BSF 32 donde autentica el terminal 1A. La BSF 32 calcula la clave Ks también y genera el B-TID que se envía al terminal 1A para indicar el éxito de la autenticación. Adicionalmente la BSF 32 suministra el tiempo de vida (periodo de validez) de la Ks. El terminal 1A (o SIM 15) y la BSF 32 almacenan la clave Ks con el B-TID asociado para uso adicional, hasta que el tiempo de vida de la Ks ha expirado o hasta que se actualiza la clave Ks. En caso de la expiración de la Ks o una actualización de claves requerida de la NAF 30 (petición de renegociación de secuencia de inicialización), el procedimiento de secuencia de inicialización tiene que ser iniciado de nuevo.
Después de la terminación del Modo de Secuencias de Inicialización, las claves específicas de la NAF 30 se calcularán en un procedimiento llamado Modo de Derivación de Claves. Son posibles dos variantes GBA_ME y GBA_U. A continuación describimos la variante GBA_ME.
Tanto el terminal 1A como la BSF 32 usan la Ks para derivar la clave material Ks_NAF. La función de derivación de claves de estas claves es KDF=[Ks, “gba-me”, RAND, IMPI, NAF_ID]. La BSF 32 envía la Ks_NAF a la NAF 30 la cual entonces puede configurar una comunicación segura con el terminal 1A en base a estas claves compartidas. El terminal 1A almacena la Ks_NAF con los B_TID y NAF_ID correspondientes en su memoria para sesiones adicionales.
Después de que se ha completado la secuencia de inicialización, el terminal 1A y una NAF 30 pueden ejecutar un protocolo específico de aplicación donde la autenticación de mensajes se basará en esas claves de sesión generadas durante la autenticación mutua entre el terminal 1A y la BSF 32.
E06779195
19-12-2014
Cuando un terminal 1A inicia una sesión adicional con la NAF 30, se reutilizarán las claves almacenadas. El terminal 1A suministra el B-TID a la NAF 30. Por medio del B-TID, la NAF 30 recupera la identidad del usuario y la Ks_NAF correspondiente desde la BSF. Finalmente el terminal 1A y la BSF 30 pueden autenticar uno al otro usando la Ks_NAF compartida.
La Codificación de Internet Multimedia (MIKEY) se describirá ahora. MIKEY es un esquema de gestión de claves que se puede usar para aplicaciones en tiempo real.
En MIKEY diferentes claves de cifrado de tráfico (TEK) para cada sesión en la llamada se derivan de una clave de generación de TEK común (TGK), por ejemplo la TEK1 para secuencia de vídeo, la TEK2 para secuencia de audio, etc. El protocolo MIKEY tiene un máximo de dos pases – y se puede integrar en oferta/respuesta SDP sin idas y vueltas extra. MIKEY se puede transportar en SDP y RTSP según el draft-ietf-mmusic-kmgmt-ext. MIKEY ofrece tres métodos de gestión de claves:
 Clave precompartida
-El iniciador genera la TGK la cual se protege usando una clave precompartida
 Cifrado RSA
-El iniciador genera la TGK la cual se protege usando una clave pública del receptor
-El iniciador debe traer un certificado del respondedor por adelantado
 Diffie Hellman
-Tanto el iniciador como el respondedor contribuyen a la TGK
-Los certificados del iniciador y del respondedor se pueden transportar en mensajes MIKEY
-Proporciona confidencialidad directa perfecta
MIKEY solamente soporta SRTP pero se puede extender para soportar otros protocolos de seguridad
Se puede obtener más información acerca de MIKEY en el documento RFC 3830 del IETF, que se incorpora completamente en la presente memoria por referencia.
Se describirá ahora el establecimiento de canales de comunicación extremo a extremo seguros en el plano de medios.
Clave extremo a extremo protegida usando seguridad del plano de control IMS.
Con referencia a la Figura 2, se describirá ahora el procedimiento cuando se establece un canal de comunicación IMS entre el terminal 1A y el terminal 1B. El terminal 1A pertenece a (es decir se registra con y/o es un abonado de) el núcleo de red 3A y se registra sobre la S-CSCF 21A a través de la P-CSCF 19A. De manera similar, el terminal 1B pertenece a (es decir se registra con y/o es un abonado de) el núcleo de red 3B y se registra sobre la S-CSCF 21B a través de la P-CSCF 19B. Para los propósitos de seguridad del plano de medios, cada red tiene un centro de gestión de claves (KMC) 40A, 40B, respectivo que se podrían considerar como servidores de aplicaciones SIP.
Durante el establecimiento de un canal de comunicación, la S-CSCF 21A y la S-CSCF 21B interceptan el flujo de señalización y solicitan el KMC 40A y KMC 40B respectivamente para ayudar a establecer un canal o canales de medios de protección extremo a extremo. Se podrían integrar mensajes de petición de establecimiento de asociación de seguridad con la señalización de establecimiento de llamada, es decir una gestión SIP INVITE. Después del establecimiento de llamada, el canal de medios extremo a extremo se podría proteger usando una asociación de seguridad acordada.
Por ejemplo, la asociación de seguridad se podría proporcionar por el siguiente mecanismo de gestión de claves.
1.
Para cada llamada de medios, el KMC 40A genera un componente de clave K1. K1 se transmite al terminal 1A sobre el canal del plano de control IMS protegido entre el terminal 1A y la P-CSCF 19A. El KMC 40B también genera un componente de clave similar K2, que se transmite al terminal 1B sobre el canal protegido entre el terminal 1B y la P-CSCF 19B.
2.
El terminal 1A y el terminal 1B intercambian los componentes de claves K1 y K2 sobre el canal del plano de control IMS protegido.
Las claves K1 y K2 se pueden usar de varias formas:
(A) El terminal móvil 1A transmite datos en el plano de medios usando la clave K1. El terminal 1B es capaz de descifrar este mensaje debido a que la clave K1 se ha transmitido a él sobre el canal del plano de control IMS. De
10
15
20
25
30
35
40
45
50
55
E06779195
19-12-2014
manera similar, el terminal 1B cifra sus comunicaciones en el plano de medios al terminal 1A usando su clave K2. El terminal 1A es capaz de descifrar estas comunicaciones debido a que la clave K2 se ha proporcionado al terminal 1A sobre el canal del plano de control IMS.
(B)
El terminal 1A y el terminal 1B ambos generan una clave compartida, K12 (K12 = KDF (K1, K2), donde KDF es una función de derivación de claves, por ejemplo K12 = K1 XOR K2), que se usa para proteger el canal extremo a extremo en el plano de medios.
(C)
Alternativamente además, el KMC 40A y el KMC 40B intercambian K1 y K2, generan la clave compartida K12 y luego distribuyen la clave compartida K12 a los terminales 1A y 1B respectivos sobre el canal del plano de control IMS protegido.
(D)
En otra alternativa, el terminal 1A y el terminal 1B usan el KMC 40A y el KMC 40B para intercambiar las claves del plano de control IMS existentes y para generar la clave de extremo a extremo combinándolas de alguna forma. Por ejemplo, la clave compartida K12 = KDF (CKA, IKA, CKB, IKB), donde KDF es una función de derivación de claves. Tal mecanismo es similar al mecanismo que fue propuesto originalmente, pero nunca estandarizado, para protección de la publicación 99 del UMTS de una forma extremo a extremo a nivel de portador, como se describe en el documento S3-010089 del 3GPP, que se incorpora aquí completamente por referencia.
Ventajosamente, la P-CSCF 19A, S-CSCF 21A, KMC 40A, P-CSCF 19B, S-CSCF 21B y KMC 40B pueden obtener las claves K1, K2 y K12 y estas se puede usar en interceptación e interpretación legales de los mensajes transmitidos entre los terminales 1A y 1B en el plano de medios.
Una desventaja de algunas de las disposiciones (A) a (D) tratadas anteriormente es que las claves K1, K2 y K12 se podrían interceptar por partes no autorizadas en alguna parte no protegida del plano de control IMS. Las claves obtenidas de esta manera se podrían usar entonces para descifrar los datos transmitidos en el plano de medios.
Clave extremo a extremo protegida usando seguridad por salto dedicada
La disposición descrita anteriormente en relación con la Figura 2 se modifica de manera que se establece una clave EKA como se muestra en la Figura 4 en 48A entre el terminal 1A y el KMC 40A. La clave EKA se establece usando la GAA como se describe con referencia a la Figura 3 (el KMC 40A que actúa como la NAF 30). De manera similar, un terminal móvil 1B establece en 48B una clave EKB con su KMC 40B que usa GAA (el KMC 40B que actúa como una segunda NAF 30). El KMC 40A y el KMC 40B establecen una clave EKAB 50 entre ellos usando, por ejemplo, seguridad de dominio de red/estructura de autenticación (NDS/AF) del 3GPP, como se define en la Especificación TR 33.810.
El terminal 1A entonces genera una clave extremo a extremo K1 para uso en asegurar las comunicaciones entre sí mismo y el terminal 1B. La clave K1 se cifra usando la clave EKA para formar EKA (K1) 52A, que entonces se transmite al núcleo IMS 3A y desde allí al KMC 40A. El KMC 40A entonces extrae la clave K1 usando la clave EKA y cifra la clave K1 con la clave establecida entre el KMC 40A y el KMC 40B, para crear el paquete EKAB (K1) 54. Este paquete se envía al núcleo de red 3A y desde allí al KMC 40A y desde allí al núcleo IMS 3B y desde allí al KMC 40B donde se descifra usando la clave EKAB. La clave K1 se cifra entonces usando la clave EKB establecida entre el KMC 40B y el terminal 1B y se transmite al núcleo IMS 3B y desde allí al terminal 1B en el paquete EKB (K1) 56A. El terminal 1B usa su conocimiento de la EKB para extraer K1 y almacenarla para uso futuro.
El terminal 1B establece una clave K2 para cifrar comunicaciones que desea enviar al terminal 1A. Esta clave K2 se transmite al núcleo de red 3B y desde allí al KMC 40B y desde allí al núcleo de red 3B y desde allí al núcleo de red 3A y desde allí al KMC 40A y desde allí al núcleo de red 3A y desde allí al terminal móvil 1A. En cada salto entre estos elementos, la clave K2 se cifra usando las claves relevantes establecidas usando GAA (EKB, EKA) y EKAB, como se muestra en la Figura, para formar los paquetes EKB (K2) 52B, EKAB (K2) 54 y EKA (K2) 56B. El terminal 1A usa su conocimiento de EKA para extraer K2 y almacenarla para uso futuro.
Los datos transmitidos desde el terminal 1A al terminal 1B en el plano de medios entonces se pueden cifrar usando la clave K1. El terminal 1B es capaz de descifrar estos datos debido a que ha sido dotado con K1 en el proceso descrito anteriormente. De manera similar, los datos transmitidos en el plano de medios desde el terminal 1B al terminal 1A se cifran usando la clave K2 y estos datos se pueden descifrar por el terminal 1A debido a que la clave K2 se ha transmitido sobre el plano de control de la manera descrita anteriormente.
En esta disposición las claves K1 y K2, cuando se transmiten en el plano de control IMS se transmiten en forma cifrada (por las claves EKA, EKB y EKAB). No obstante, ventajosamente, el KMC 40A y el KMC 40B pueden derivar las claves K1 y K2 a partir de su conocimiento de EKA y EKB, respectivamente y este se puede usar en la interceptación e interpretación legales de los mensajes transmitidos entre los terminales 1A y 1B en el plano de medios.
Una desventaja de esta adaptación es que se requieren numerosos pasos de cifrado y descifrado para transmitir las claves K1 y K2 entre los terminales 1A y 1B en el plano de control.
MIKEY basada en certificado con clave extremo a extremo revelada al núcleo de red
E06779195
19-12-2014
De la manera descrita anteriormente en relación con la Figura 4 se establece una clave compartida EKA entre el terminal 1A y el KMC 40A usando GAA y de manera similar se establece una clave compartida EKB entre el terminal 1B y el KMC 40B. Cada terminal también tiene un par de claves y adquiere un certificado por ejemplo desde su KMC 40A, 40B respectivo.
Los certificados se usan para establecer claves extremo a extremo para seguridad del plano de medios usando cifrado RSA de MIKEY o por el método Diffie-Hellman de una manera conocida.
Según un rasgo importante de esta realización, se añaden Campos de Recuperación de Claves (KRF) a los intercambios del plano de control para permitir que sean puestas a disposición claves extremo a extremo para los núcleos IMS 3A, 3B con el propósito de interceptación e interpretación legales.
Cifrado RSA de MIKEY
De la manera convencional, los terminales móviles 1A y 1B cada uno se dota con un par de claves pública privada respectivas. La clave pública del terminal 1A y la clave pública para el terminal 1B se ponen a disposición libremente, de manera que el terminal móvil 1A tiene conocimiento de la clave pública del terminal 1B y el terminal móvil 1B tiene conocimiento de la clave pública del terminal 1A. La clave privada del terminal móvil 1A es conocida solamente por el terminal 1A y la clave privada del terminal 1B es conocida por el terminal 1B.
Los certificados certifican la autenticidad de la clave pública del terminal 1A y el terminal 1B. Los certificados se adquieren del KMC 40A y 40B, respectivamente, usando GAA. Como se describió anteriormente, la GAA genera una clave compartida EKA entre el terminal 1A y su KMC 40A. De manera similar, la GAA genera una clave compartida EKB entre el terminal 1B y el KMC 40B.
Como se mencionó anteriormente, el método de cifrado MIKEY se describe en el documento RFC 3830.
En la realización, el terminal 1A, que actúa como el “iniciador”, genera un mensaje de inicio MIKEY, como sigue:
I_MESSAGE = HDR, T, RAND,
[IDi]CERTi], [IDr], {SP}, KEMAC,
[CHASH], PKE, SIGNi, KRFi El último campo de este mensaje, KRFi, es un campo de recuperación de claves. El mensaje de inicio MIKEY incluye los siguientes elementos convencionales:
Carga Útil de Cabecera Común (HDR)
T es la marca de tiempo de 64 bit enviada por el Iniciador
Carga Útil de RAND (RAND)
Carga Útil de ID de Iniciador (IDi)
Carga Útil de Certificado de Iniciador (CERTi)
Carga Útil de ID de Respondedor (IDr)
Carga Útil de Política de Seguridad (SP)
Carga Útil de Transporte de Datos de Claves (KEMAC)
Carga Útil de Generación de Claves Cert de clave de firma de Iniciador (CHASH)
Carga Útil de Datos de Envoltura (PKE)
La SIGNi es una firma que cubre el mensaje MIKEY entero, usando la clave de firma del Iniciador. El objetivo principal del mensaje del Iniciador es transportar una o más TGK y un conjunto de parámetros de seguridad al Respondedor de una manera segura. Esto se hace usando un planteamiento de envoltura donde las TGK se cifran (y protege la integridad) con claves derivadas de una “clave de envoltura” elegida aleatoriamente/seudoaleatoriamente. La clave de envoltura se envía al Respondedor cifrada con la clave pública del Respondedor.
La PKE contiene la clave de envoltura cifrada: PKE = E(PKr, env_key). Se cifra usando la clave pública del Respondedor (PKr). Si el Respondedor posee varias claves públicas, el Iniciador puede indicar la clave usada en la carga útil CHASH.
5
10
15
20
25
30
35
40
45
E06779195
19-12-2014
La KEMAC contiene un conjunto de subcargas útiles cifradas y una MAC:
KEMAC = E(encr_key, IDi || {TGK}) || MAC
(enc_key es una clave de cifrado de la clave de envoltura derivada de la clave de envoltura).
La primera carga útil (IDi) en la KEMAC es la identidad del Iniciador (no un certificado, sino generalmente el mismo ID que el especificado en el certificado). Cada una de las siguientes cargas útiles (TGK) incluye una TGK elegida aleatoria e independientemente por el Iniciador (y otros posibles parámetros relacionados, por ejemplo, el tiempo de vida de la clave). La parte cifrada entonces es seguida por una MAC, la cual se calcula sobre la carga útil KEMAC, usando una clave de autenticación auth_key.
El campo de recuperación de claves KRFi añadido al mensaje del iniciador comprende la TGK (o clave de envoltura) protegida usando la clave compartida del Iniciador EKA obtenida usando GAA.
El mensaje de verificación del respondedor convencional se modifica ligeramente y se explica más adelante:
R_MESSAGE =
HDR, T, [IDr], V, KRFr
El objetivo principal del mensaje de verificación del Respondedor es obtener autenticación mutua. El mensaje de verificación, V, es una MAC calculada sobre el mensaje entero del Respondedor, la marca de tiempo (la misma que la que fue incluida en el mensaje del Iniciador) y las dos identidades de las partes, usando la clave de autenticación, auth_key.
El campo final, KRFr es un campo de recuperación de claves y comprende la TGK (o clave de envoltura) protegida bajo la clave compartida del respondedor EKB generada usando GAA.
Debido a que las claves compartidas EKA y EKB se conocen por el KMC 40A y el KMC 40B, respectivamente, el KMC relevante puede descifrar los campos de recuperación de claves KRFi/KRFr para obtener la TGK (o clave de envoltura) y permitir por ello la interceptación e interpretación ilegales de los datos transmitidos en el plano de medios. La TGK (o clave de envoltura) se puede usar para recuperar las TEK. Las TEK entonces se pueden usar para descifrar el tráfico del plano de medios.
Los usuarios de los terminales 1A y 1B no son conscientes de que el tráfico del plano de medios está sometido a interceptación e interpretación legales.
El terminal 1A (el Iniciador) necesita recuperar el certificado del terminal 1B (el respondedor) antes de que se permita el establecimiento de llamada.
Método Diffie Hellman
Como se conocerá por los expertos en la técnica, en el método de cifrado Diffie Hellman (DH), el terminal 1A y el terminal 1B cada uno tiene un valor privado DH respectivo a, b. En la forma convencional el terminal 1A transmite un valor público DH al terminal 1B transmitiendo el valor ga. De manera similar, el terminal 1B transmite un valor público DH al terminal 1A transmitiendo el valor gb. El terminal 1A entonces genera una clave privada elevando el valor recibido gb a la potencia a – es decir calculando (gb)a. De manera similar, el terminal 1B genera una clave privada elevando el valor recibido ga a la potencia b, es decir calcula el valor (ga)b. Debido a que el valor (ga)b es el mismo que el valor (gb)a, ambos terminales 1A y 1B ahora tienen una clave DH privada o secreta compartida. La clave DH se usa como la TGK.
Una fortaleza del método de cifrado de Diffie Hellman es que, si o bien el valor (ga) o bien el valor (gb) o ambos se interceptan cuando se transmiten por los terminales, esto no permitirá la derivación de la clave secreta compartida o privada.
Para el método de Diffie Hellman, el campo de recuperación de claves se debe generar de una forma diferente.
Por consiguiente, el mensaje iniciador de MIKEY estándar para Diffie Hellman se modifica como sigue:
I_MESSAGE = HDR, T, RAND,
[IDi]CERTi], [IDr], {SP}, DHi,
SIGNi, KRFi
Los mensajes del Respondedor se modifican como sigue:
R_MESSAGE =
10
15
20
25
30
35
40
E06779195
19-12-2014
HDR, T, [IDr]CERTr], IDi, DHr, DHi, SIGNr, KRFr De la manera convencional, el campo DHi en el mensaje del iniciador y en el mensaje del respondedor contiene el
valor público DH del iniciador. El campo DHr en el mensaje del respondedor contiene el valor público DH del respondedor. Esto permite a cada terminal 1A y 1B derivar la clave DH privada o secreta; esto se usa como la TGK. Según esta realización, el campo de recuperación de claves, KRFi, se añade al mensaje del iniciador. El campo
KRFi contiene la clave privada DH del iniciador a cifrada usando la clave compartida EKA generada usando GAA.
De manera similar, el campo final KRFr del mensaje del respondedor incluye la clave privada DH del respondedor b cifrada usando la clave EKB generada usando GAA. Tal disposición permite al núcleo de red del iniciador 3A obtener una clave privada DH del iniciador a descifrando el
campo de recuperación de claves, KRFi y permite al núcleo de red del respondedor 3B obtener la clave privada DH del respondedor (o la TGK) descifrando el campo de recuperación de claves, KRFr. El núcleo de red del iniciador 3A entonces puede combinar la clave privada DH a con el valor público DH del respondedor gb para derivar la TGK la cual a su vez se puede usar para recuperar las TEK y permitir una interceptación e interpretación legales del tráfico del plano de medios.
Como alternativa a lo anterior los campos de recuperación de claves se pueden generar cifrando la TGK o las TEK,
en lugar de la clave privada DH, con EKA para KRFi y EKB para KRFr. En esta realización también, los usuarios de los terminales 1A y 1B no son conscientes de si están sometidos o no a interceptación e interpretación legales de su tráfico del plano de medios.
Algunas posibles variantes para soportar clientes corporativos (u otros grupos de usuarios cerrados) se tratan
brevemente más adelante: -Un usuario podría usar un portal PKI corporativo o KMC corporativo en lugar del proporcionado por el operador de red
-La comunicación con el portal PKI o KMC se asegura usando GAA  Seguridad proporcionada por el operador – USIM/ISIM de operador se usa para GAA  Seguridad proporcionada por la corporación – un ISIM corporativo en una UICC se usa para GAA
-Un ISIM “oculto” instalado en cada nueva UICC, pero solamente el suministrador de la UICC conoce la única clave del ISIM
-El operador “habilita” el ISIM a petición del cliente usando métodos OTA -El operador proporciona infraestructura de GAA a la corporación de manera que puedan emitir claves y certificados para seguridad de medios IMS a sus empleados.
-El suministrador de la UICC entrega claves únicas ISIM directamente a la corporación para cargar en la infraestructura de GAA
 Las claves ISIM no se revelan al operador IMS -La interceptación legal se podría soportar si se necesitan monitorizar comunicaciones de empleado o cumplir con la legislación
-La infraestructura de GAA también se podría usar para emitir otros tipos de certificados, por ejemplo para acceso VPN corporativo.

Claims (18)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    E06779195
    19-12-2014
    REIVINDICACIONES
    1. Un método de establecimiento de un canal de comunicación extremo a extremo seguro para enviar mensajes seguros entre un primer dispositivo (1A) y un segundo dispositivo (1B), cada dispositivo que está asociado con un núcleo de red de comunicación (3A, 3B) y en donde al menos uno de los dispositivos incluye datos de seguridad para generar tales mensajes seguros, el método que incluye:
    establecer una conexión del plano de control entre el primer dispositivo (1A) y el núcleo de red de comunicación (3A), la conexión del plano de control que está protegida por una arquitectura de seguridad preestablecida;
    intercambiar de manera segura información de claves entre el primer dispositivo (1A) y el núcleo de red de comunicación (3A) usando la conexión del plano de control y su arquitectura de seguridad correspondiente,
    por lo cual dicha información de claves es utilizable para permitir al núcleo de red de comunicación (3A, 3B) obtener los datos de seguridad y por consiguiente interpretar los mensajes seguros interceptados enviados entre los dispositivos primero y segundo (1A, 1B).
  2. 2.
    El método según la reivindicación 1, en donde los mensajes se envían en un plano de medios.
  3. 3.
    El método según la reivindicación 1 o 2, en donde el paso de intercambiar de manera segura información de claves entre el primer dispositivo (1A) y el núcleo de red de comunicación (3A) incluye establecer una primera clave EKA entre el primer dispositivo (1A) y el primer centro de gestión de claves, KMC, (40A) del núcleo de red de comunicación (3A) y el método además incluye:
    establecer un canal de comunicación extremo a extremo seguro entre el primer dispositivo (1A) y el segundo dispositivo (1B) generando, en el primer dispositivo (1A), una clave extremo a extremo K1 y cifrar la clave extremo a extremo K1 usando la primera clave EKA para formar una clave extremo a extremo cifrada EKA(K1);
    transmitir la clave extremo a extremo cifrada EKA(K1) desde el primer dispositivo (1A) al primer KMC (40A);
    transmitir la clave extremo a extremo K1 desde el primer KMC (40A) a un segundo KMC (40B) del núcleo de red de comunicación (3B);
    establecer una segunda clave EKB entre el segundo dispositivo (1B) y el segundo KMC (40B) usando una conexión del plano de control y su arquitectura de seguridad correspondiente, de manera que la segunda clave EKB es utilizable para transmitir la clave extremo a extremo K1 desde el segundo KMC (40B) al segundo dispositivo (1B).
  4. 4. El método según la reivindicación 3, que además comprende:
    en el segundo dispositivo (1B), generar una clave extremo a extremo K2 y cifrar la clave extremo a extremo K2 usando la segunda clave EKB para formar una clave extremo a extremo cifrada EKB(K2);
    transmitir la clave extremo a extremo cifrada EKB(K2) desde el segundo dispositivo (1B) al segundo KMC (40B);
    transmitir la segunda clave K2 desde el segundo KMC (40B) al primer KMC (40A);
    en el primer KMC (40A), cifrar la clave extremo a extremo K2 usando la primera clave EKA para formar una clave extremo a extremo cifrada EKA(K2);
    transmitir la clave extremo a extremo cifrada EKA(K2) desde el primer KMC (40A) al primer dispositivo (1A); y
    en el primer dispositivo (1A), descifrar la clave extremo a extremo cifrada EKA (K2) usando la primera clave EKA para determinar la clave extremo a extremo K2.
  5. 5. El método de la reivindicación 4 en donde el canal de comunicación extremo a extremo seguro que se establece es un plano de medios IMS y el método además incluye:
    en el primer dispositivo (1A), cifrar datos usando la clave extremo a extremo K1 y transmitir los datos cifrados al segundo dispositivo (1B) en el plano de medios IMS;
    en el segundo dispositivo (1B), recibir los datos cifrados desde el primer dispositivo (1A) en el plano de medios IMS y usar la clave extremo a extremo K1 para descifrar los datos;
    en el segundo dispositivo (1B), cifrar datos usando la clave extremo a extremo K2 y transmitir los datos cifrados al primer dispositivo (1A) en el plano de medios IMS; y
    en el primer dispositivo (1A), recibir los datos cifrados desde el segundo dispositivo (1B) en el plano de medios IMS y usar la clave extremo a extremo K2 para descifrar los datos cifrados.
    11 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    E06779195
    19-12-2014
  6. 6.
    El método según cualquier reivindicación precedente, en donde la arquitectura de seguridad es como se define en la TS 33.203 del 3GPP.
  7. 7.
    El método según cualquier reivindicación precedente, en donde el núcleo de red de comunicación es el núcleo de red de un Subsistema Multimedia basado en IP, IMS y los mensajes seguros se envían entre el primer y segundo dispositivo a través de un plano de medios IMS.
  8. 8.
    El método según cualquier reivindicación precedente, en donde al menos uno de los dispositivos primero y segundo (1A, 1B) comprende un terminal móvil de comunicaciones celulares.
  9. 9.
    El método según una cualquiera de las reivindicaciones 3 a 5 en donde establecer la primera clave EKA entre el primer dispositivo (1A) y el primer KMC (40A) comprende usar un procedimiento de arquitectura de autenticación genérica, GAA, en el que el primer KMC (40A) actúa como una función de aplicaciones de red, NAF.
  10. 10.
    El método según la reivindicación 4 o 5, en donde establecer la segunda clave EKB entre el segundo dispositivo (1B) y el segundo KMC (40B) comprende usar un procedimiento de arquitectura de autenticación genérica, GAA, en el que el segundo KMC (40B) actúa como una función de aplicaciones de red.
  11. 11.
    El método según la reivindicación 9, en donde el procedimiento de GAA se usa para acordar la primera clave EKA entre el primer dispositivo (1A) y el primer KMC (40A) e incluye realizar una autenticación entre el primer dispositivo (1A) y el núcleo de red de comunicación (3A) reutilizando información de autenticación usada previamente para autenticar el primer dispositivo (1A) durante un procedimiento de Autenticación y Acuerdo de Claves, AKA, de red.
  12. 12.
    El método según la reivindicación 11, en donde la información de autenticación usada en el procedimiento de GAA se refiere a información de autenticación almacenada en un Módulo de Identidad de Abonado, SIM, asociado con el primer dispositivo (1A).
  13. 13.
    El método según la reivindicación 10, en donde el procedimiento de GAA se usa para acordar la segunda clave EKB entre el segundo dispositivo (1B) y el segundo KMC (40B) e incluye realizar una autenticación entre el segundo dispositivo (1B) y el núcleo de red de comunicación (3B) reutilizando una información de autenticación usada previamente para autenticar el segundo dispositivo (1B) durante un procedimiento de Autenticación y Acuerdo de Claves, AKA, de red.
  14. 14.
    El método según la reivindicación 13 en donde la información de autenticación usada en el procedimiento de GAA se refiere a información de autenticación almacenada en un Módulo de Identidad de Abonado, SIM, asociado con el segundo dispositivo (1B).
  15. 15.
    El método según cualquier reivindicación precedente, en donde el canal de comunicación extremo a extremo seguro se asegura usando el protocolo MIKEY y el método además incluye:
    transmitir una comunicación de iniciación MIKEY entre los dispositivos primero y segundo (1A, 1B) que incluye un campo de recuperación de claves que contiene una clave para el cifrado MIKEY que se cifra usando la información de claves, de manera que el núcleo de red de comunicación (3A, 3B) puede descifrar el campo de recuperación de claves para obtener la clave de cifrado MIKEY a fin de permitir al núcleo de red de comunicación (3A, 3B) interpretar los mensajes interceptados asegurados usando cifrado MIKEY enviados entre los dispositivos primero y segundo (1A, 1B).
  16. 16.
    El método según cualquiera de las reivindicaciones 1 a 14 en donde el canal de comunicación extremo a extremo seguro se asegura usando un cifrado Diffie-Hellman y el método además incluye:
    transmitir una comunicación de inicio Diffie-Hellman entre los dispositivos primero y segundo (1A, 1B) que incluye un campo de recuperación de claves que contiene una clave para el cifrado Diffie-Hellman que se cifra usando la información de claves, de manera que el núcleo de red de comunicación (3A, 3B) puede descifrar el campo de recuperación de claves para obtener la clave Diffie-Hellman a fin de permitir al núcleo de red de comunicación (3A, 3B) interpretar los mensajes interceptados asegurados usando cifrado Diffie-Hellman enviados entre los dispositivos primero y segundo (1A, 1B).
  17. 17.
    Un núcleo de red de comunicación (3A, 3B) para facilitar el establecimiento de una sesión de comunicación extremo a extremo segura para enviar mensajes seguros entre un primer dispositivo (1A) y un segundo dispositivo (1B), al menos uno de los dispositivos que está asociado con el núcleo de red y en donde al menos uno de los dispositivos (1A, 1B) incluye datos de seguridad para generar los mensajes seguros, el núcleo de red de comunicación (3A, 3B) que incluye:
    medios configurados para establecer una conexión del plano de control con al menos uno del primer dispositivo (1A) y el segundo dispositivo (1B), la conexión del plano de control que está protegida por una arquitectura de seguridad preestablecida;
    12
    E06779195
    19-12-2014
    medios configurados para intercambiar de manera segura información de claves con al menos uno del primer dispositivo (1A) y el segundo dispositivo (1B) usando la conexión del plano de control y la arquitectura de seguridad correspondiente,
    en donde la información de claves es utilizable por el núcleo de comunicación de red (3A, 3B) para interpretar mensajes seguros interceptados enviados entre los dispositivos primero y segundo (1A, 1B).
  18. 18. El núcleo de red de comunicación (3A) de la reivindicación 17, adaptado para realizar los métodos especificados en cualquiera de las reivindicaciones 1 a 14.
    13
ES06779195.4T 2005-08-25 2006-08-24 Seguridad de comunicación Active ES2526703T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0517592 2005-08-25
GBGB0517592.2A GB0517592D0 (en) 2005-08-25 2005-08-25 Data transmission
PCT/GB2006/003164 WO2007023286A1 (en) 2005-08-25 2006-08-24 Communication securiy

Publications (1)

Publication Number Publication Date
ES2526703T3 true ES2526703T3 (es) 2015-01-14

Family

ID=35198552

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06779195.4T Active ES2526703T3 (es) 2005-08-25 2006-08-24 Seguridad de comunicación

Country Status (5)

Country Link
US (1) US8705743B2 (es)
EP (1) EP1946479B1 (es)
ES (1) ES2526703T3 (es)
GB (1) GB0517592D0 (es)
WO (1) WO2007023286A1 (es)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US8811956B2 (en) * 2007-06-14 2014-08-19 Intel Corporation Techniques for lawful interception in wireless networks
EP2045991A1 (en) * 2007-10-04 2009-04-08 Nokia Siemens Networks Oy Method and device for processing data and communication system comprising such device
US8549615B2 (en) 2007-11-29 2013-10-01 Telefonaktiebolaget L M Ericsson Method and apparatuses for end-to-edge media protection in an IMS system
ES2589112T3 (es) * 2007-11-30 2016-11-10 Telefonaktiebolaget Lm Ericsson (Publ) Gestión de claves para comunicación segura
US9166799B2 (en) * 2007-12-31 2015-10-20 Airvana Lp IMS security for femtocells
EP2079215B1 (en) * 2008-01-10 2016-07-27 BlackBerry Limited Virtual home network arrangement for a subscriber module using IMS
US8279798B2 (en) 2008-01-10 2012-10-02 Research In Motion Limited Virtual home network arrangement for a subscriber module using IMS
GB0801408D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Multi-community network with quantum key distribution
WO2009093036A2 (en) 2008-01-25 2009-07-30 Qinetiq Limited Quantum cryptography apparatus
GB0801395D0 (en) 2008-01-25 2008-03-05 Qinetiq Ltd Network having quantum key distribution
GB0801492D0 (en) 2008-01-28 2008-03-05 Qinetiq Ltd Optical transmitters and receivers for quantum key distribution
GB0809045D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key distribution involving moveable key device
GB0809044D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Multiplexed QKD
GB0809038D0 (en) 2008-05-19 2008-06-25 Qinetiq Ltd Quantum key device
DE102008026625A1 (de) * 2008-06-03 2009-12-10 Siemens Aktiengesellschaft Anordnung und Verfahren zum Übertragen von Mediendaten
GB0819665D0 (en) 2008-10-27 2008-12-03 Qinetiq Ltd Quantum key dsitribution
GB0822253D0 (en) 2008-12-05 2009-01-14 Qinetiq Ltd Method of establishing a quantum key for use between network nodes
GB0822356D0 (en) 2008-12-08 2009-01-14 Qinetiq Ltd Non-linear optical device
CN101478753B (zh) * 2009-01-16 2010-12-08 中兴通讯股份有限公司 Wapi终端接入ims网络的安全管理方法及***
US9357384B2 (en) 2009-02-09 2016-05-31 International Business Machines Corporation System and method to support identity theft protection as part of a distributed service oriented ecosystem
US8539564B2 (en) 2009-03-04 2013-09-17 Telefonaktiebolaget L M Ericsson (Publ) IP multimedia security
US9124431B2 (en) * 2009-05-14 2015-09-01 Microsoft Technology Licensing, Llc Evidence-based dynamic scoring to limit guesses in knowledge-based authentication
US8856879B2 (en) * 2009-05-14 2014-10-07 Microsoft Corporation Social authentication for account recovery
EP2441225B1 (en) * 2009-06-10 2017-09-06 Nokia Solutions and Networks Oy Methods, apparatuses, and related computer program product for network security
GB0917060D0 (en) 2009-09-29 2009-11-11 Qinetiq Ltd Methods and apparatus for use in quantum key distribution
CN102055747B (zh) * 2009-11-06 2014-09-10 中兴通讯股份有限公司 获取密钥管理服务器信息的方法、监听方法及***、设备
US8675863B2 (en) * 2009-12-22 2014-03-18 Trueposition, Inc. Passive system for recovering cryptography keys
GB201020424D0 (en) 2010-12-02 2011-01-19 Qinetiq Ltd Quantum key distribution
WO2012097870A1 (en) * 2011-01-19 2012-07-26 Telefonaktiebolaget L M Ericsson (Publ) Local data bi-casting between core network and radio access network
CN103152748B (zh) 2011-12-07 2015-11-25 华为技术有限公司 通信监听方法、基站和终端
WO2013104071A1 (en) * 2012-01-12 2013-07-18 Research In Motion Limited System and method of lawful access to secure communications
WO2013104072A1 (en) 2012-01-12 2013-07-18 Research In Motion Limited System and method of lawful access to secure communications
US9083509B2 (en) * 2012-01-12 2015-07-14 Blackberry Limited System and method of lawful access to secure communications
US9240881B2 (en) * 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services
US20130336477A1 (en) * 2012-06-15 2013-12-19 Kabushiki Kaisha Toshiba Medium
US10341859B2 (en) 2012-10-19 2019-07-02 Nokia Technologies Oy Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment
US9119062B2 (en) * 2012-10-19 2015-08-25 Qualcomm Incorporated Methods and apparatus for providing additional security for communication of sensitive information
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
EP2954646B1 (en) * 2013-02-07 2019-07-24 Nokia Technologies OY Method for enabling lawful interception by providing security information.
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US11349675B2 (en) * 2013-10-18 2022-05-31 Alcatel-Lucent Usa Inc. Tamper-resistant and scalable mutual authentication for machine-to-machine devices
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
ES2833292T3 (es) * 2013-10-30 2021-06-14 Nec Corp Aparato, sistema y método de comunicación directa segura en servicios basados en proximidad
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
WO2015062239A1 (zh) 2013-11-04 2015-05-07 华为技术有限公司 密钥协商处理方法和装置
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US10721619B2 (en) * 2014-05-13 2020-07-21 Telefonaktiebolaget Lm Ericsson (Publ) Methods and network nodes for managing wireless device associated information in a wireless communication network
CN103987037A (zh) * 2014-05-28 2014-08-13 大唐移动通信设备有限公司 一种保密通信实现方法及装置
JP2018507646A (ja) 2015-02-27 2018-03-15 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
US10582379B2 (en) * 2015-08-28 2020-03-03 Lg Electronics Inc. Method for supporting and setting IPsec in mobile communication
JP7158693B2 (ja) * 2016-12-06 2022-10-24 株式会社 エヌティーアイ 通信システム、サーバ装置、ユーザ装置、方法、コンピュータプログラム
US11330428B2 (en) * 2017-05-08 2022-05-10 Telefonaktiebolaget Lm Ericsson (Publ) Privacy key in a wireless communication system
US11218515B2 (en) * 2017-06-16 2022-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Media protection within the core network of an IMS network
US20210075777A1 (en) * 2019-09-06 2021-03-11 Winston Privacy Method and system for asynchronous side channel cipher renegotiation
CN110868290B (zh) * 2019-11-21 2022-05-31 成都量安区块链科技有限公司 一种无中心管控的密钥服务方法与装置
CN113038459A (zh) * 2019-12-25 2021-06-25 中兴通讯股份有限公司 隐私信息传输方法、装置、计算机设备及计算机可读介质
US20230123475A1 (en) * 2021-10-19 2023-04-20 At&T Intellectual Property I, L.P. Method and system for end-to-end encryption of communications over a network
WO2023113636A1 (en) * 2021-12-14 2023-06-22 Ringcentral, Inc., (A Delaware Corporation) Enabling and disabling end-to-end encryption in multiparty conference
US20230269580A1 (en) * 2022-02-18 2023-08-24 Qualcomm Incorporated Securing Media Stream Communications

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6058188A (en) * 1997-07-24 2000-05-02 International Business Machines Corporation Method and apparatus for interoperable validation of key recovery information in a cryptographic system
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
US6915345B1 (en) * 2000-10-02 2005-07-05 Nortel Networks Limited AAA broker specification and protocol
US7382881B2 (en) * 2001-12-07 2008-06-03 Telefonaktiebolaget L M Ericsson (Publ) Lawful interception of end-to-end encrypted data traffic
US20040168050A1 (en) * 2003-02-24 2004-08-26 Stephane Desrochers System and method for analyzing encrypted packet data
GB2408415B (en) * 2003-11-19 2008-04-09 Vodafone Plc Networks
CN100592678C (zh) * 2004-02-11 2010-02-24 艾利森电话股份有限公司 用于网络元件的密钥管理
US7620041B2 (en) * 2004-04-15 2009-11-17 Alcatel-Lucent Usa Inc. Authentication mechanisms for call control message integrity and origin verification
GB0409704D0 (en) * 2004-04-30 2004-06-02 Nokia Corp A method for verifying a first identity and a second identity of an entity
US7733788B1 (en) * 2004-08-30 2010-06-08 Sandia Corporation Computer network control plane tampering monitor

Also Published As

Publication number Publication date
GB0517592D0 (en) 2005-10-05
US8705743B2 (en) 2014-04-22
US20090220091A1 (en) 2009-09-03
WO2007023286A1 (en) 2007-03-01
EP1946479B1 (en) 2014-11-26
EP1946479A1 (en) 2008-07-23

Similar Documents

Publication Publication Date Title
ES2526703T3 (es) Seguridad de comunicación
US9231759B2 (en) Internet key exchange protocol using security associations
US7269730B2 (en) Method and apparatus for providing peer authentication for an internet key exchange
ES2706540T3 (es) Sistema de credenciales de equipos de usuario
US8503376B2 (en) Techniques for secure channelization between UICC and a terminal
JP4663011B2 (ja) 通信コネクションを保護するために少なくとも1つの第1の通信加入者と少なくとも1つの第2の通信加入者との間で秘密鍵を一致させるための方法
ES2424474T3 (es) Método y aparato para establecer una asociación de seguridad
ES2930214T3 (es) Sistema SAE/LTE de actualización de clave
US20110004754A1 (en) Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures
CN109075973B (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
GB2518254A (en) Communicating with a machine to machine device
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
CN101656956B (zh) 一种接入3gpp网络的方法、***和网关
JP2009303188A (ja) 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
Gu et al. A green and secure authentication for the 4th generation mobile network
Chowdhury et al. Security issues in integrated EPON and next-generation WLAN networks
Pütz et al. Security mechanisms in UMTS
Sher et al. Secure Service Provisioning Framework (SSPF) for IP Multimedia System and Next Generation Mobile Networks
Chu et al. Secure data transmission with cloud computing in heterogeneous wireless networks
CN110933673B (zh) 一种ims网络的接入认证方法
Mizikovsky et al. CDMA 1x EV-DO security
GB2450096A (en) Network Authentication and Reauthentication
Narmadha et al. Performance analysis of signaling cost on EAP-TLS authentication protocol based on cryptography
Zhang et al. RFC 7717: IKEv2-Derived Shared Secret Key for the One-Way Active Measurement Protocol (OWAMP) and Two-Way Active Measurement Protocol (TWAMP)
Vintilă Potential Applications of IPsec in Next Generation Networks