专利名称:高效密钥管理系统和方法
技术领域:
本发明一般地涉及高效密钥管理系统和方法,更具体地说,本发明涉及适合于在会话初始协议(SIP)中使用的密钥管理系统。
背景技术:
早期电话操作中使用的电话共线时代早已一去不复返。共线使得生活变得有趣。 很多电话用户在家便可选择偷听他人的通话。由于共享通信的不可预期的特性,共线行为的实例在电影、小说和喜剧小品中大量呈现。电话业通过努力为电话的使用带来了重大改进,例如专用电话线。通信私密性已成为客户高度关注的问题。当通信的发展越过电话线并进入因特网的虚拟世界时,尝试以经济的方式便利私人通信会遇到一组全新的复杂问题。很难通过诸如因特网之类的网络环境实现私人通信。目前正在努力使用例如会话初始协议(SIP)有效地交换密钥,同时提供协议中的有用方面,例如分路、目标重定向 (re-targeting)、请求递归等,以及减少无用方面,例如与非目标方交换密钥、语音削波等。SIP是用于因特网的约定协议,此协议在1999年发布为互联网工程任务组(IETF) 标准,并在2002年6月做进一步修改。SIP使用公知的电子邮件类标识符而非使用数字标识符来表示用户。SIP是基于文本的请求-响应协议。SIP环境包括用户代理、代理服务器、 重定向服务器和注册服务器。所述SIP用户代理提供软件程序,当其在诸如计算机、网络电话、个人数字助理(PDA)之类的适当电子设备上,或者在其他任何通过因特网连接发送和接收媒体的适当电子设备上执行时支持约定的协议。提供了两类SIP用户代理。第一类是用户代理客户端(UAC),它发出请求,例如启动多媒体会话的请求。第二类是用户代理服务器(UAS),它接受UAC的请求并根据该请求执行操作。一般而言,UAS向注册服务器进行注册。一旦注册成功,UAS的当前IP地址便会绑定到电子邮件类标识符。所述电子邮件类标识符用于标识UAS。所述SIP代理服务器使用 UAS电子邮件类标识符以将请求从UAC路由到特定的UAS0SIP代理服务器是提供诸如路由、认证和分路(在SIP中创建搜索树)的SIP会话关键服务的中介。例如,通过代理服务器将建立会话的请求或INVITE路由到下游UAS。所述下游UAS在一个最终响应之前将一个或多个临时响应发送到INVITE。所述响应通过与请求相同的代理链以相反的方向从UAS传输到UAC。当UAC接收来自UAS的最终响应并发送出称为ACK的新请求时,便建立会话。所述ACK和所有后续的请求可以直接从UAC流向 UAS,或者从UAS直接流向UAC,具体取决于代理服务器的策略。有些代理可以选择停留在会话中,以便所有后续的请求通过它们流动,例如图1所示,将在下面对此进行介绍。但是, UAC和UAS之间的媒体直接流动,不必通过一个或多个SIP代理服务器路由,如图1所示。 换言之,SIP协议用于建立初始约定,而具有不同协议的不同媒体流用于建立约定之后UAC 和UAS之间的交换。因为协议是不同的,所以提供系统整体的安全性极具挑战性。尝试解决系统安全问题的公知密钥分配协议包括例如ZRTP和DTLS-SRTP。所述 DTLS-SRTP提供相当强大的安全性来防御攻击者,并且使用在经济和计算上都很耗费成本(即,需要多种公钥操作)的公钥基础设施(PKI)。所述ZRTP是极为安全的复杂密钥分配协议。但是,此协议实现成本高昂并具有一些细微的漏洞。因此,对于SIP会话而言,公知的公钥和私钥的加密协议都具有诸如成本和复杂性的内在的缺陷。
发明内容
提供了一种通过至少一个代理服务器实现从至少一个第一设备到至少一个第二设备的经济的安全密钥交换的系统。所述系统包括通过至少一个代理服务器从至少一个第一设备到至少一个第二设备的第一密钥交换消息。需要通过因特网的媒体流从至少一个第二设备到至少一个第一设备的第二密钥交换消息来完成会话密钥的计算。还列出保护通信系统安全的方法。所述方法包括提供识别用户的路由设备以及提供主密钥交换会话的步骤,所述主密钥交换会话包括查找用户的密钥k和回答用户查询的随机数r,其中所述主密钥交换会话包括密钥k和随机数r两者。
通过说明、权利要求和附图,本发明实现实例的特征将变得显而易见,其中图1是使用SIP的会话建立100的背景图;图2是示出适合于在约定协议中使用的有利的密钥管理系统的示例性布局200的图,例如使用图1的SIP的会话建立100 ;图3是示出根据本发明的原理构建的系统的示例性布局300的方块图;以及图4是示出根据本发明的原理构建的系统的另一示例性布局400的图。
具体实施例方式图1是使用SIP的会话建立100的背景图。会话建立100对于所有针对SIP约定协议使用改编和构建的密钥交换协议都是相同的。设置100包括UAC 110、UAS 120、代理P1130、P2140和媒体流(RTP) 150。有些代理可以选择停留在会话中,以便所有后续的请求通过它们流动,例如通过图1中的P2140所示,其中P2接收来自UAC的ACK请求。但是, UAC和UAS之间的媒体沿着RTP 150直接流动,不必通过一个或多个SIP代理服务器路由, 如图1所示。RTP会造成安全问题。因此,开发了 SecureRTP或SRTP来为RTP流量提供保密性、消息验证以及回放保护。由于密钥交换协议无效,因此阻碍了在SIP中广泛地使用 SRTP0换言之,各种密钥交换协议无法在保持重要的SIP特征的情况下协商安全上下文,即密钥和参数。如图2所示,提供了适合于在约定协议中使用的有利密钥管理系统的示例性布局 200,例如图1中使用SIP的会话建立100,该安排提供经济的密钥交换系统或协议。所示系统采用信令层210和媒体层220。发起者A或Alice操作第一终端230并选择随机密钥 k 240以通过信令层(此处通过SIP框架)发送到B或Bob。随机密钥k 240不是会话密钥。相反,Bob接收随机密钥k 240,然后选择随机数r 250。Bob然后通过第二终端260以及媒体流或层220将随机数r以明文的形式发送回Alice。会话密钥或sk270通过k 240 和r 250导出。换言之,会话密钥或sk 270在信令层210和媒体层220之间分配。Sk 270用于立即对媒体进行加密。Sk 270是通过k240对r 250计算的PRP F。Sk 270通过sk = Fk(r)定义,其中F是具有可确定范围和域的伪随机函数。例如,其中F被选择作为AES函数,k和r的域可以是k,r e {0,1}128·,根据此处所述的密钥管理系统,可以通过简单经济的方式实现相当高级别的安全性,因为攻击者只能看到r,而看不到k,并且不能区分sk与具有相同长度的随机字符串,因为Fk是一个序列,当应用于随机输入时,可生成随机输出。 类似地,SIP代理可以看到k,但是无法访问媒体流以看到r。因此,即使主动型攻击者也只能在有限的情况下得手。进一步地,此处的系统通过添加不需要进行PKI计算和投入的层,消除了对PKI基础设施的使用需求。所述系统提供了良好的安全级别以确保以最小的成本实现私密性,减少对SIP服务器的安全假设,以及防止第二终端260的实例因分路而共享会话。此处的系统和方法以诸如DTLS-SRPT之类的其他密钥交换协议的百分之一的成本实现了合理的安全性。因此,根据此处的原理,集成了多个层以通过所述层内的查询生成随机会话密钥的密钥管理系统和方法提供了简单、经济且高度安全的密钥管理系统。进一步地,所述系统适合于在SIP中使用。使用此交互式密钥管理系统还具有其他优点,即不会在与相同的k 通信的不同Bob实例中生成分路,这是因为每当Bob使用k时,都会生成随机数r。进一步地,Alice和Bob可以建立长期的PSK以便在将来的会话中建立更高效、更安全的密钥交换。现在参考图3描述另一示例性系统300的一般安排和功能。示例性系统300的这些元件优选地相互连接,并且优选地在公知的网络中执行功能,其中具有此处所述的例外和增强。系统300包括第一终端310。用户A使用第一终端310将选定密钥k 320通过信令层发送到第二终端330,以及发送到具有A针对B获知的路由标识符的其他备选终端 330a,330b,330c. . . 330η。B可以使用设备330η对A做出响应,具体方式是使用330η生成 r 340,然后通过媒体层将r 340与k 320发送到第一终端310以生成会话密钥sk 350。在该实施例中,B可以选择例如备选设备(例如,备选终端330η),因为该设备具有适合于与A 进行会话的操作特征,例如视频功能或B 330设备不具备的其他任何所需功能。替代地,B 330设备可能已丢失或毁坏,在这种情况下,B可以选择Bn以便利必要的会话。在图4所示的又一示例性实施例中,当会话密钥sk到达时,A可以通过查看C中会话密钥sk的路由标识符信息,判定B是否将其通信转发到备选终端C。具体来说,根据本发明的原理构建的系统的另一示例性安排400包括第一终端410a或410b。具体来说, 如果使用B的路由标识符,则密钥k 420由第一终端410a生成,如果使用B的长期PSK,则密钥k 420由410b生成。K 420然后被转发到第一代理服务器P1430以查找B。P1430然后直接查找B,或者继续将查询转发到至少一个其他代理服务器,例如P2440。由于B已经将其路由标识符转发到C,因此k 420被转发到C 450。C现在生成r 460,并且通过媒体层将r 460以及k 420 —起传输到A以形成sk 470。Sk 470可以包含通过r传输的路由标识符信息,此信息可用于通知A有关B已将其路由标识符重定向到C450的情况。此信息为系统提供了又一个安全层。保护通信系统安全的示例性方法可以包括提供识别用户的路由设备以及提供主密钥交换会话的步骤,所述主密钥交换会话包括查找用户的密钥k和回答用户查询的随机数r,其中所述主密钥交换会话同时包括密钥k和随机数r。
可以进一步定义其中通过SIP网络发送密钥的方法。甚至可以进一步定义其中随机数r由用户通过媒体通道发送的方法。所述方法中的媒体通道可以是因特网媒体通道。根据所述方法,系统进一步通过sk = Fk(r)定义,其中 F是伪随机函数。F还可以是AES函数,其中k和r的域通过k,r e {0,1}128定义。具有安全会话密钥的示例性系统可以包括用于通过SIP框架发送随机密钥k的第一设备;以及用于接收随机密钥k的第二设备,所述第二设备选择随机数r并通过媒体层以明文的形式将所述随机数r发送到所述第一设备。用于生成安全会话密钥的另外的系统可以包括用于生成信令密钥数据包的第一通信设备;用于生成媒体密钥数据包的第二通信设备;并且所述信令密钥数据包通过信令层被发送到所述第二通信设备以及所述媒体密钥数据包通过媒体层被发送到所述第一通信设备。本发明涉及高效密钥管理系统和方法,所述系统和方法可以使用各种电子技术和光学技术实现,其中包括但不限于模拟电子系统;数字电子系统;微处理器和其他处理元件;以及与此类系统和处理元件结合实现方法、过程或策略的软件和另外实现的步骤、指令等的集合。将理解的是,在电信领域中,各种信号传输线、总线、数据通路、数据结构、通道、 缓冲区、消息传递接口以及其他通信通路可以用于实现用于传递信息或信号的设施、结构或方法,并且它们在功能上是相同的。因此,除非另外指出,否则对用于传递信号或信息的装置和数据结构的引用旨在统一指代所有功能相同的装置和数据结构。但是,本领域的技术人员将理解,在不偏离本发明的精神的情况下,本发明的教导可以应用于其他类型的无线网络(也许具有处于技术人员理解范围内的修改)。具体来说,可以在不偏离本发明的精神的情况下,在各种通信环境中提供成本最低的新颖密钥交换系统和方法。例如,可以按照不同的顺序执行步骤,或者添加、删除或修改步骤。进一步地,信令层和媒体层可以在不偏离此处所述的原理的情况下绑定到内部用户网络。此处描述的实施例是示例性的。因此可以理解,尽管描述了有关特定技术的实施例,但是也可以使用其他等价的技术实现符合本发明的精神的系统。此处列出的方法可以包括存储指令的计算机可读存储介质,所述指令当在编程的处理器上执行时,可以实现新颖的密钥交换协议。尽管此处详细地示出和描述了本发明的示例性实现,但是对于本领域的技术人员显而易见的是,可以在不偏离本发明的精神的情况下做出各种修改、增删、替换等,因此这些修改、增删和替换被认为处于以下权利要求中定义的本发明的范围内。
权利要求
1.一种SIP中的高效密钥交换系统,包括 第一终端,适于并构建为发送信号; 第二终端,适于并构建为接收信号;备选终端,适于并构建为接收信号以及将随机数r发送到所述第一终端; 选择性地通过信令层从所述第一终端传输到所述第二终端的第一密钥交换k ;以及在通过所述第二终端收到所述第一密钥交换k时,选择性地通过媒体层从所述备选终端传输到所述第一终端的随机数!·。
2.如权利要求1中所述的高效密钥交换,其中通过k和r导出的会话密钥进一步通过 sk = Fk(r)定义,其中F是伪随机函数。
3.如权利要求1中所述的高效密钥交换,其中所述第一终端和第二终端交换长期PSK, 并且在后续的SIP会话中执行可验证的安全和高效的密钥交换。
4.如权利要求1中所述的高效密钥交换,其中所述密钥导出在所述第一终端接收随机数r时完成。
5.一种通过至少一个代理服务器提供从至少一个第一设备到至少一个第二设备的高效的安全密钥交换的系统,包括通过至少一个代理服务器从至少一个第一设备到至少一个第二设备的第一密钥交换;以及通过因特网的媒体流从至少一个第二设备到至少一个第一设备的第二密钥交换。
6.一种用于操作系统的方法,包括以下步骤 提供第一和第二因特网设备的路由标识符; 生成随机密钥;使用所述第二因特网设备的路由标识符通过代理服务器将所述随机密钥从所述第一因特网设备传输到所述第二因特网设备;使用所述第二因特网设备生成第二密钥;以及使用因特网的媒体层将第二密钥从所述第二因特网设备传输到所述第一因特网设备。
7.如权利要求6中所述的方法,其中所述系统生成高效密钥交换,并且其中所述随机密钥进一步通过密钥k定义,所述第二密钥进一步通过随机数r定义,其中所述会话密钥进一步通过sk = Fk(r)定义,其中F是伪随机函数。
8.如权利要求7中所述方法,其中使用明文将所述随机数r从所述第二因特网设备传输到所述第一因特网设备。
9.一种通信网络中的密钥交换系统,包括密钥会话,包括用于识别至少一个参与者并通知其来自第一电子设备的查询的信令层密钥k,以及用于将数据传输到所述第一电子设备的媒体层随机数r ;以及第二电子设备,适于并构建为生成媒体层随机数r的数据。
10.如权利要求9中所述系统,其中PSK存储在所述第一电子设备中,并且其中所述第一电子设备确定当发起重复呼叫时,是否出现目标重定向。
全文摘要
提供了一种通过至少一个代理服务器实现从至少一个第一设备到至少一个第二设备的经济的安全密钥交换的系统。所述系统包括通过至少一个代理服务器从至少一个第一设备到至少一个第二设备的第一密钥交换消息。需要通过因特网的媒体流从至少一个第二设备到至少一个第一设备的第二密钥交换消息来完成会话密钥的计算。还列出保护通信系统安全的方法。所述方法包括提供识别用户的路由设备以及提供主密钥交换会话的步骤,所述主密钥交换会话包括查找用户的密钥k和回答用户查询的随机数r,其中所述主密钥交换会话包括密钥k和随机数r两者。
文档编号H04L9/08GK102474509SQ201080030454
公开日2012年5月23日 申请日期2010年6月23日 优先权日2009年7月7日
发明者V·古尔巴尼, V·柯勒斯尼科夫 申请人:阿尔卡特朗讯公司