Способ формирования и распределения криптографических ключей в системе мобильной связи и соответствующая система мобильной связи

Описание

Изобретение относится к способу формирования и распределения криптографических ключей в системе мобильной связи, а также к системе мобильной связи.

В рамках Универсальной телекоммуникационной системы (UMTS) развиваются мультимедийные услуги на основе Интернет, чтобы улучшить возможности использования системы мобильной связи UMTS и создать дополнительные области применения.

В качестве платформы для мультимедийных услуг на основе Интернет для системы мобильной связи в Проекте партнерства по созданию систем третьего поколения (3GPP) стандартизована так называемая мультимедийная подсистема (IMS) на основе Интернет-протокола (IP), которая описана в архитектуре UMTS, версия 3.

Если мобильное оконечное устройство пользователя сети мобильной связи регистрируется в коммуникационной сети в системе мобильной связи с подсистемой IMS, чтобы запросить мультимедийные услуги на основе Интернет, то для мобильного оконечного устройства связи проводится аутентификация, согласно описанному в [1] стандарту 3GPP, в соответствии с протоколом IMS аутентификации и согласования ключей (IMS-AKA-протоколом).

В соответствии с IMS-AKA-протоколом мобильное оконечное устройство связи и коммуникационная сеть, в области которой в текущий момент находится мобильное оконечное устройство связи, взаимно аутентифицируют друг друга, и генерируются два криптографических ключа, так называемый ключ целостности и так называемый ключ передачи. Ключ целостности, согласно архитектуре UMTS, выпуск 5, используется для защиты IMS-сигнализации между мобильным оконечным устройством связи и компьютером посещаемой коммуникационной сети. Компьютер посещаемой коммуникационной сети конфигурирован в качестве компьютера функции управления состоянием вызова (CSCF-компьютера) и обозначается как CSCF-компьютер-посредник (P-CSCF-компьютер). Ключ передачи предусмотрен для шифрования, т.е. для защиты достоверности обмениваемых данных.

Дополнительно к защите IMS-сообщений сигнализации с применением ключа защиты целостности может быть предусмотрено, что между компьютером сервера приложений и мобильным оконечным устройством связи должен производиться обмен дополнительными электронными сообщениями доверительным способом в рамках подготовки услуг, основанных на протоколе IP.

Компьютер сервера приложений на сетевой стороне, в рамках данного описания, представляет собой, в частности, компьютер, который предоставляет услуги согласно уровню приложений (OSI-уровню 7), предпочтительно мультимедийные услуги, и осуществляет связь согласно протоколу уровня 7, т.е. протоколу уровня приложений. Например, компьютер сервера приложений может быть реализован как компьютер сервера протокола передачи гипертекста (HTTP-сервера) и может осуществлять связь с мобильным оконечным устройством согласно HTTP-протоколу.

Помимо основных функций подсистемы IMS, компьютеры серверов приложений применяют, например, для администрирования сетевых пользовательских установок и для сохранения данных управления и профиля, относящихся к пользователю системы мобильной связи.

Например, такие применения между мобильными пользователями (в особенности, относящиеся к системе мобильной связи IMS) и компьютерами серверов приложений в коммуникационной сети, использующие HTTP-протокол, включают в себя следующее:

- списки доступа к серверам присутствия, с помощью которых можно использовать информацию местоположения о текущем местоположении мобильного оконечного устройства связи в системе мобильной связи (например, GPS-данные),

- списки для приложений интерактивных диалогов, то есть списки пользователей, допущенных к приложению интерактивного приложения,

- услуги группового управления и

- настройки для электронных мультимедийных конференций.

В качестве дополнительного примера подобного приложения следует упомянуть, что соединения групповых передач между мобильным оконечным устройством связи и между центром услуг групповой передачи устанавливаются с применением системы IMS.

Для того чтобы криптографическим способом защитить протоколы, применяемые между мобильным оконечным устройством связи и компьютером сервера приложений, их сообщения должны быть защищены, например, в отношении аутентификации, целостности данных и/или достоверности данных.

В зависимости от конкретного сценария использования и применяемого протокола уровня приложений применяются различные протоколы защиты для защиты протоколов уровня приложений, например:

- для HTTP протокола защиты HTTP-Digest, протокола TLS (протокол защиты транспортного уровня или WTLS, протокол защиты беспроводного транспортного уровня), а также

- для распределения ключей для соединений групповой передачи MIKEY (мультимедийное Интернет-шифрование).

Во всех криптографических протоколах уровня приложений требуется, чтобы участвующие коммуникационные партнеры, особенно мобильное оконечное устройство связи и компьютер сервера приложений, то есть компьютер сервера приложений в коммуникационной сети, располагали секретным материалом ключа, то есть секретным ключом, который предоставлен в распоряжение уже в начале передачи.

В случае системы IMS инфраструктура ключа основывается на симметричных ключах, которые применяются для аутентификации IMS-пользователя в рамках IMS-регистрации, т.е. в рамках описанного в [1] протокола аутентификации и обмена ключами.

Как описано в [1], мобильное оконечное устройство связи регистрируется в IMS для IMS-сеанса связи в своей исходной коммуникационной сети в предусмотренном для этого компьютере, который также называется S-CSCF-компьютером (компьютером с функцией управления состоянием обслуживания вызова).

Информационный обмен осуществляется с применением локального компьютера-посредника, вышеописанного P-CSCF-компьютера, в посещаемой коммуникационной сети, который представляет первый IMS-пункт контакта для мобильного оконечного устройства связи и, тем самым, для мобильного пользователя.

Аутентификация согласно [1] осуществляется между мобильным оконечным устройством и S-CSCF-компьютером при участии так называемого HSS-компьютера (исходного серверного компьютера абонента). В рамках аутентификации в мобильном оконечном устройстве связи и в HSS-компьютере формируется ключ целостности и ключ передачи, и сформированные ключи передаются S-CSCF-компьютеру криптографически защищенным способом.

От S-CSCF-компьютера ключ целостности криптографически защищенным способом передается к P-CSCF-компьютеру. Защита целостности и аутентификация последующих IMS-ориентированных сообщений сигнализации обеспечивается локальным образом между мобильным оконечным устройством связи и P-CSCF-компьютером и базируется на ключе целостности. Согласно системе UMTS версии 5, ключ передачи в настоящее время еще не применяется, однако в последующих версиях UMTS-стандарта (версии 6 и последующих стандартах) планируется использование ключа передачи для дополнительной защиты достоверности передаваемых данных.

Проблема возникает, когда ключ передачи и ключ целостности, которые в качестве ключа сеанса вытекают из процедур IMS-AKA-аутентификации и генерации ключей, также применяются для защиты других приложений, помимо IMS-сигнализации.

Мобильное оконечное устройство связи и исходная коммуникационная сеть, выраженные иначе как пользователь и оператор исходной коммуникационной сети, рассматриваются как взаимно доверительные.

В любом случае посещаемая коммуникационная сеть (в случае роуминга; в отличном от роуминга случае это соответствует исходной коммуникационной сети) получает ключ целостности и ключ передачи. Если бы серверный компьютер приложений также получал ключ целостности и ключ передачи, то серверный компьютер приложений теоретически мог бы скомпрометировать надежность IMS-сигнализации между мобильным оконечным устройством связи и посещаемой коммуникационной сетью. И наоборот, посещаемая коммуникационная сеть, т.е. компьютер посещаемой коммуникационной сети мог бы скомпрометировать надежность информационного обмена между мобильным оконечным устройством связи и серверным компьютером приложений, если бы они непосредственно основывались на ключе целостности или на ключе передачи.

Также для случая, чтобы мобильное оконечное устройство связи могло одновременно осуществлять связь с несколькими серверными компьютерами приложений, желательно, а зачастую даже требуется, чтобы было невозможным из криптографического ключа, который имеет соответствующий серверный компьютер приложений, сделать выводы относительно криптографического ключа, который имеет другой серверный компьютер приложений.

Возможное решение вышеописанной проблемы состоит в том, что как в исходной коммуникационной сети, так и в мобильном оконечном устройстве связи пользователя, осуществляется вывод нового криптографического ключа из ключа целостности и/или ключа передачи. Серверный компьютер приложений получает выведенный криптографический ключ, однако ему не известен ни ключ целостности, ни ключ передачи, при условии, что применяемая для вывода ключа криптографическая функция не позволяет сделать осмысленные выводы относительно ключа целостности и/или ключа передачи для серверного компьютера приложений.

Проблема, которая возникает при этом решении, состоит в том, что необходима функция вывода ключа, которую невозможно выполнить компьютером посещаемой коммуникационной сети. Так называемая зашифрованная хеш-функция, которая применяет в качестве параметра ввода, например, ключ целостности или ключ передачи, а в качестве случайного значения - случайный параметр, выработанный в рамках аутентификации, осуществленной согласно [1], также может вычисляться в посещаемой коммуникационной сети.

Новый случайный параметр, который согласовывался бы между мобильным оконечным устройством связи пользователя и исходной коммуникационной сетью, в целях вывода ключа, был бы реализован только путем изменения существующих протоколов коммуникации или защиты, т.е. путем изменения, например, в IMS-AKA-протоколе или в информационном обмене между S-CSCF-компьютером или HSS-компьютером.

Такого изменения, однако, следует избегать, так как модификация существующего коммуникационного стандарта или стандарта защиты не может быть проведена простым способом и, следовательно, сопряжена с высокими затратами.

Обзор механизмов защиты, предусмотренных в стандарте UMTS, версии 5, представлен в документе [2].

Применяемые в рамках IMS-AKA-протокола функции аутентификации сообщений и функции генерации ключей, описаны в [3] и [4]. Кроме того, в [4] описана функция шифрования с использованием блочного шифра, называемая Rijndael-функцией.

Обзор других способ вывода ключей описан в [6].

Из ЕР 1156694 А1 известно устройство радиосвязи, а также способ радиосвязи, который позволяет мобильному устройству обеспечить функцию шифрования или целостности на уровне 2 передачи данных и выше. Для этого мобильное оконечное устройство содержит блок шифрования или блок обработки целостности, которые включены между блоком управления радиосвязью и блоком подключения. При этом блок обработки шифрования целостности проводит способ шифрования над так называемыми прозрачными данными, такими как речевые данные, которые передаются между блоком подключения и блоком радиосвязи. Кроме того, посредством блока обработки шифрования целостности осуществляется шифрование и/или обработка целостности для непрозрачных данных, которые передаются к устройству управления радиосвязью и от него.

В основе изобретения лежит задача повысить криптографическую защиту в системе мобильной связи.

Указанная задача решается способом формирования и распределения криптографических ключей в системе мобильной связи и системой мобильной связи с признаками согласно независимым пунктам формулы изобретения.

Способ формирования и распределения криптографических ключей в системе мобильной связи исходит из, по меньшей мере, одной системы мобильной связи с мобильным оконечным устройством связи, первым компьютером, предпочтительно компьютером посещаемой коммуникационной сети, компьютером исходной коммуникационной сети, а также, по меньшей мере, одним вторым компьютером, предпочтительно конфигурированным как серверный компьютер приложений. По меньшей мере, одно мобильное оконечное устройство связи находится предпочтительно в области посещаемой коммуникационной сети и аутентифицировало себя по отношению к исходной коммуникационной сети и посещаемой коммуникационной сети. В этой связи следует отметить, что посещаемая коммуникационная сеть и исходная коммуникационная сеть могут быть идентичными. В рамках аутентификации сформирован аутентификационный материал ключей, который доступен в мобильном оконечном устройстве и в компьютере исходной коммуникационной сети и сохранен в них. В способе с мобильным оконечным устройством связи и компьютером исходной коммуникационной сети соответственно с применением аутентификационного материала ключей формируются первый криптографический ключ и второй криптографический ключ. Таким образом, в мобильном оконечном устройстве связи и в компьютере исходной коммуникационной сети соответственно доступны и сохранены первый и второй ключи.

Первый и второй компьютеры могут альтернативно быть конфигурированы как серверные компьютеры приложений.

Первый криптографический ключ передается, предпочтительным образом, от компьютера исходной коммуникационной сети (альтернативно, от мобильного оконечного устройства связи) первому компьютеру, предпочтительно, тем самым, компьютеру посещаемой коммуникационной сети. Кроме того, второй криптографический ключ передается второму компьютеру, предпочтительно серверному компьютеру приложений, предпочтительно от компьютера исходной коммуникационной сети, альтернативно, от мобильного оконечного устройства связи.

Система мобильной связи содержит, по меньшей мере, одно мобильное оконечное устройство связи, в котором в результате аутентификации между мобильным оконечным устройством связи и компьютером исходной сети мобильного оконечного устройства связи сохраняется аутентификационный материал ключей. Кроме того, мобильная система связи содержит первый компьютер, предпочтительно компьютер посещаемой коммуникационной сети, а также компьютер исходной коммуникационной сети. В компьютере исходной коммуникационной сети также в результате аутентификации мобильного оконечного устройства связи в исходной коммуникационной сети сохраняется аутентификационный материал ключей. Кроме того, в системе мобильной связи предусмотрен, по меньшей мере, один второй компьютер, предпочтительно конфигурированный как серверный компьютер приложений. Мобильное оконечное устройство связи находится в посещаемой коммуникационной сети. Мобильное оконечное устройство связи и компьютер исходной коммуникационной сети содержат соответственно криптоблок для соответствующего формирования первого криптографического ключа и второго криптографического ключа с применением аутентификационного материала ключей. Компьютер посещаемой коммуникационной сети содержит также запоминающее устройство для хранения первого криптографического ключа, который передается компьютеру от мобильного оконечного устройства связи или от компьютера исходной коммуникационной сети. Кроме того, серверный компьютер приложений содержит запоминающее устройство для сохранения второго криптографического ключа, который передается серверному компьютеру приложений от мобильного оконечного устройства связи или компьютера исходной коммуникационной сети.

Таким образом, изобретение можно усматривать в том, что образованный в рамках аутентификации аутентификационный материал ключей не передается непосредственно и полностью к серверному компьютеру приложений и компьютеру посещаемой коммуникационной сети, а, по меньшей мере, из части аутентификационного материала ключей выводятся ключи сеанса, которые в рамках последующего сеанса связи между мобильным оконечным устройством связи и серверным компьютером приложений или компьютером посещаемой коммуникационной сети применяются, например, для кодирования защищаемых данных. Тем самым обеспечивается криптографическая защита в рамках информационного обмена между мобильным оконечным устройством связи и соответствующим серверным компьютером приложений от атак со стороны компьютера в посещаемой коммуникационной сети, и, кроме того, информационный обмен между мобильным оконечным устройством связи и компьютером посещаемой коммуникационной сети защищается от атак со стороны серверного компьютера приложений, так как серверный компьютер приложений и компьютер посещаемой коммуникационной сети соответственно имеют ключи, которые не пригодны для того, чтобы делать выводы относительно другого ключа и тем самым обеспечивать возможность дешифрирования данных, зашифрованных с использованием соответствующего ключа другой стороны.

Повышенная криптографическая защита в соответствии с изобретением достигается без требования изменений стандартизированных в рамках UMTS коммуникационных протоколов.

Предпочтительные варианты осуществления изобретения изложены в зависимых пунктах формулы изобретения.

Изложенные ниже варианты осуществления изобретения относятся как к способу формирования и распределения криптографических ключей в системе мобильной связи, так и к системе мобильной связи.

Первый криптографический ключ и второй криптографический ключ формируются согласно варианту осуществления изобретения с применением функции вывода ключа.

В соответствии с изобретением предусмотрено, что первый криптографический ключ и второй криптографический ключ формируются таким образом, что

из первого криптографического ключа невозможно сделать никакого вывода относительно второго криптографического ключа,

из второго криптографического ключа невозможно сделать никакого вывода относительно первого криптографического ключа,

из первого криптографического ключа или из второго криптографического ключа невозможно сделать никакого вывода относительно аутентификационного материала ключей.

Аутентификационный материал ключей может содержать, по меньшей мере, два криптографических ключа, например, для случая, когда система мобильной связи является основанной на стандарте 3GPP системой мобильной связи, которая предпочтительно содержит IP-ориентированную мультимедийную подсистему, а именно, ключ целостности и ключ передачи.

В этом случае, предпочтительно, из ключа передачи выводятся первый криптографический ключ и второй криптографический ключ.

С другой стороны, это означает, что согласно этому варианту осуществления изобретения, в мобильном оконечном устройстве связи в компьютере исходной коммуникационной сети выводятся другие криптографические ключи из ключа передачи.

В противоположность ключу целостности, который исходная коммуникационная сеть, согласно [1], непосредственно для защиты целостности сигнализации IMS-сигнализации передает на компьютер посещаемой коммуникационной сети, предпочтительно, на P-CSCF-компьютер, собственно ключ передачи, согласно изобретению, не передается от компьютера исходной коммуникационной сети, предпочтительно от S-CSCF-компьютера. Ключ передачи, в противоположность этому, применяется для того, чтобы с использованием подходящей функции вывода ключей вывести один или более новых ключей, причем функция вывода предпочтительно базируется на псевдослучайной функции. Сформированный посредством функции вывода ключей первый выведенный ключ в качестве первого криптографического ключа передается от S-CSCF-компьютера к P-CSCF-компьютеру, если первый криптографический ключ необходим для защиты достоверности предаваемых данных.

В системе мобильной связи может быть предусмотрено в принципе любое число коммуникационных сетей и мобильных оконечных устройств связи, а также любое число серверных компьютеров приложений.

В случае множества серверных компьютеров приложений, согласно варианту выполнения изобретения, предусмотрено, что мобильным оконечным устройством связи и компьютером исходной коммуникационной сети для каждого дополнительного серверного компьютера приложений, соответственно с применением аутентификационного материала ключей, формируется дополнительный криптографический ключ. Соответствующий дополнительный криптографический ключ передается, предпочтительно компьютером исходной коммуникационной сети, на соответствующий серверный компьютер приложений.

В этом случае предпочтительным является то, что множество или большое число криптографических ключей генерируется с применением подходящих различных параметров ввода. За счет применения подходящих параметров ввода, предпочтительно качественно случайного числа с высоким значением для функции вывода ключей, гарантируется, что приемник выведенного ключа, например, серверный компьютер приложений или компьютер исходной коммуникационной сети, не в состоянии сделать вывод относительно базового ключа, т.е. ключа передачи, в общем случае относительно аутентификационного материала ключей.

Такие параметры ввода могут быть параметрами, известными как мобильному оконечному устройству связи, так и компьютеру исходной коммуникационной сети, как, например, параметры, которые получаются из соответствующей текущей аутентификации, согласно IMS-AKA-протоколу. Посредством второго криптографического ключа, выводимого из ключа передачи, обеспечивается защита других сообщений, помимо IMS-сигнализации, например, защита НТТР-сообщений, передаваемых между мобильным оконечным устройством связи и выполненным как серверный компьютер определения местоположения серверным компьютером приложений, или сообщений по MIKEY-протоколу между мобильным оконечным устройством связи и компьютером центра услуги групповой передачи.

В соответствии с изобретением предусмотрено, что в случае необходимости, любое число других криптографических ключей выводится из ключа передачи, в общем случае из аутентификационного материала ключей.

В качестве способа вывода ключей в принципе может использоваться любой подходящий криптографический способ, например, способы, описанные в [5], в качестве альтернативы - вариант описанного в [3] и [4] способа вывода ключей согласно MILENAGE.

Если для формирования множества ключей в качестве ключа сеанса применяется одна и та же функция вывода ключей, то как в мобильном оконечном устройстве связи, так и в компьютере исходной коммуникационной сети требуется реализовать только криптографическую функцию вывода ключей.

Еще одно преимущество изобретения следует усматривать в том, что пользователь мобильного оконечного устройства связи должен аутентифицироваться только однократно для доступа к подсистеме IMS и к предоставляемым через нее электронным услугам. Для доступа к основанным на подсистеме IMS приложениям или услугам больше не требуется никакой дополнительной аутентификации.

Кроме того, изобретение позволяет избежать изменений в существующих стандартизованных протоколах; например, не требуется изменение описанного в [1] протокола аутентификации IMS-AKA или протокола информационного обмена между S-CSCF-компьютером и HSS-компьютером, так как не требуется обмена никакими дополнительными параметрами между участвующими в информационном обмене компьютерами.

За счет применения ключа передачи (а не ключа целостности) в качестве базового ключа для вывода ключей, дополнительно можно избежать возникновения различий при применении ключа между различными версиями стандарта (UMTS-3GPP, версия 3 и т.д.), которые могли бы привести к слишком высоким затратам на стандартизацию и интеграцию.

Кроме того, изобретение позволяет таким образом выполнить вывод ключей, что ключ применим только для отношений защиты между мобильным оконечным устройством связи и определенным сетевым узлом, а не для других отношений защиты, и не позволяет сделать выводы относительно этих других отношений, в частности, не позволяет определить криптографические ключи, применяемые в рамках других отношений защиты.

Кроме того, можно выполнить вывод ключей таким образом, что мобильное оконечное устройство связи и S-CSCF-компьютер вычисляют выводимый ключ только из ключа передачи, из параметров, которые получаются из соответственно текущей аутентификации согласно IMS-AKA-протоколу информационного обмена, а также идентификации серверного компьютера приложений.

Это имеет дополнительное преимущество, состоящее в том, что выведенный ключ для определенного серверного компьютера приложений может вычисляться независимо из ключей для других серверных компьютеров приложений. Это имеет особенно большое значение для случая, когда необходимость вычисления выводимых криптографических ключей для серверных компьютеров приложений возникает не одновременно, так как пользователь контактирует с различными серверными компьютерами приложений в различные моменты времени, а с некоторыми вообще не контактирует.

В качестве дополнительного параметра для функции вывода ключей, согласно другому варианту выполнения изобретения, применяется, по меньшей мере, один из ранее сформированных криптографических ключей. Иначе говоря, один или более сформированных ранее и, следовательно, доступных криптографических ключей применяются в качестве входных значений для функции вывода ключей и, следовательно, служат в качестве основы для формирования последующих криптографических ключей.

За счет изобретения, таким образом, решается проблема, состоящая в том, что на основе существующей IMS-инфраструктуры защиты в системе мобильной связи обеспечивается защита дополнительного информационного обмена между мобильным оконечным устройством связи и серверным компьютером приложений для IMS-ориентированных приложений, которая до сих пор не обеспечивалась посредством защиты IMS-системы мобильной связи.

Подобный информационный обмен может базироваться, например, на HTTP-протоколе и MIKEY-протоколе, в общем случае на любом коммуникационном протоколе уровня 7 OSI-архитектуры, то есть уровня приложений.

Для защиты информационного обмена описываемый механизм формирует ключи сеанса, которые выводятся из образованного в рамках IMS-аутентификации согласно [1] ключа целостности и/или ключа передачи. В частности, решается проблема, состоящая в том, что различные сетевые инстанции, такие как серверный компьютер приложений и P-CSCF-компьютер, получают различные ключи, которые не позволяют делать выводы относительно других криптографических ключей, так что и сетевой узел, т.е. компьютер посещаемой коммуникационной сети, не может нарушить достоверность сообщений, которыми пользователь обменивается с другими сетевыми узлами, т.е. с другими компьютерами коммуникационной сети.

Дополнительно в соответствии с изобретением применяется механизм, который обеспечивает возможность формирования независимых друг от друга криптографических ключей только с одной функцией вывода ключей для различных применений. Тем самым можно избежать затрат на реализацию множества таких функций вывода ключей.

Дополнительно можно избежать, как отмечено выше, многократных аутентификаций пользователя, т.е. мобильного оконечного устройства связи.

Таким образом, изобретение можно усмотреть в том, что из сформированного в рамках IMS-регистрации ключа передачи могут выводиться другие криптографические ключи, которые могут применяться для шифрования сообщений, передаваемых между мобильным оконечным устройством связи и P-CSCF-компьютером, а также реализации защищенного взаимодействия между мобильным оконечным устройством связи и серверными компьютерами приложений таким образом, что достигаются описанные выше преимущества.

Примеры осуществления изобретения представлены на чертежах и более подробно описаны ниже.

На чертежах представлено следующее:

Фиг.1 - блок-схема системы мобильной связи согласно примеру выполнения изобретения;

Фиг.2 - блок-схема потока сообщений, иллюстрирующая поток сообщений для формирования и распределения криптографических ключей согласно примеру выполнения изобретения; и

Фиг.3 - блок-схема, на которой представлено формирование криптографических ключей согласно примеру выполнения изобретения.

Хотя в последующем описании примера выполнения в целях большей простоты изложения показаны только одно мобильное оконечное устройство связи, одна исходная коммуникационная сеть и одна посещаемая коммуникационная сеть, изобретение применимо к любому числу мобильных оконечных устройств связи и коммуникационных сетей.

Показанная на фиг.1 система 100 мобильной связи выполнена в соответствии со стандартом UMTS.

Система 100 мобильной связи, согласно предпочтительному варианту осуществления, содержит исходную коммуникационную сеть 101, посещаемую коммуникационную сеть 102, мобильное оконечное устройство 103 связи, а также серверные компьютеры 106, 107 приложений, находящиеся в других коммуникационных сетях 104, 105.

Ниже кратко пояснены только релевантные для изобретения элементы системы 100 мобильной связи, выполненной в соответствии со стандартом UMTS.

В исходной коммуникационной сети 101 предусмотрен HSS-компьютер (исходный серверный компьютер абонента) 108. В HSS-компьютере сохранены данные, характеризующие каждое относящееся к исходной сети 101 мобильное оконечное устройство 103 связи и пользователя мобильного оконечного устройства 103 связи, например, профиль обслуживания пользователя.

С HSS-компьютером 108 связан S-CSCF-компьютер (компьютер с функцией управления состоянием обслуживания вызова) 109 посредством первого коммуникационного соединения 110.

Управление вызовами в целом, как с пакетной коммутацией, так и с коммутацией каналов, контролируется с одного CSCF-компьютера. К дополнительным задачам CSCF-компьютера относится управление расчетами (выставление счетов - биллинг), распределение адресов и подготовка механизмов приведения в действие для инициирования конкретных заданных услуг и узлов.

Посредством второго коммуникационного соединения 111 I-CSCF-компьютер (CSCF-компьютер с функцией запроса) 112 связан с S-CSCF-компьютером 109. В I-CSCF-компьютере 112, который находится в исходной коммуникационной сети 101, сохранен IP-адрес соответствующего полномочного HSS-компьютера 108, так что в начале аутентификации мобильного оконечного устройства 103 связи в исходной коммуникационной сети 101 обеспечивается возможность определения соответствующего полномочного HSS-компьютера 108 для проведения аутентификации. I-CSCF-компьютер 112 образует коммуникационный интерфейс между посещаемой коммуникационной сетью 102 и исходной коммуникационной сетью 101.

В посещаемой коммуникационной сети 102 предусмотрен CSCF-компьютер-посредник (P-CSCF-компьютер) 113, который совместно с имеющимися в посещаемой коммуникационной сети 102 базовыми станциями обеспечивает радиоинтерфейс для установления радиосоединения 114 с мобильным оконечным устройством 103 связи, которое находится в области, с которой соотнесен P-CSCF-компьютер 113.

P-CSCF-компьютер 113 посредством радиосоединения или коммуникационного соединения 115 стационарной сети через любое число других коммуникационных сетей соединен с I-CSCF-компьютером 112 исходной коммуникационной сети 101.

Кроме того, с S-CSCF-компьютером 109 исходной коммуникационной сети 101 соединены серверные компьютеры 106, 107 приложений в других коммуникационных сетях 104, 105, в соответствии с одним из вариантов выполнения - посредством дополнительных радиосоединений или коммуникационных соединений 116, 117 стационарной сети. Посредством дополнительных радиосоединений или коммуникационных соединений 118, 119 стационарной сети серверные компьютеры 106, 107 приложений связаны с мобильным оконечным устройством 103 связи.

Согласно данному варианту выполнения, отдельные компьютеры содержат, соответственно, микропроцессор, одно или более ЗУ, а также соответствующие коммуникационные интерфейсы, так что возможен обмен электронными сообщениями между отдельными компьютерами и мобильным оконечным устройством 103 связи.

Компьютеры и мобильное оконечное устройство 103 связи выполнены таким образом, что могут осуществлять описанные ниже этапы способа, а также могут формировать, кодировать или декодировать и посылать или принимать описанные ниже электронные сообщения.

Для формирования электронных сообщений, согласно данному варианту выполнения, применяется, по меньшей мере частично, протокол инициирования сеанса (SIP).

Для того чтобы мобильное оконечное устройство 103 связи могло использовать предоставляемую серверными компьютерами 106, 107 приложений услугу, необходимо, чтобы состоялась и была успешно выполнена взаимная аутентификация между мобильным оконечным устройством 103 связи и исходной коммуникационной сетью 101.

В начале способа аутентификации и для формирования и распределения криптографических ключей, которые применяются в рамках сигнализации и в рамках обмена зашифрованными электронными сообщениями, мобильное оконечное устройство 103 связи, как показано на диаграмме 200 потоков сообщений на фиг.2, посылает сообщение 201 SIP-регистрации в P-CSCF-компьютер 113. Сообщение 201 SIP-регистрации после приема P-CSCF-компьютером 113 посылается I-CSCF-компьютеру 112 в исходной коммуникационной сети 101 мобильного оконечного устройства 103 связи, пославшего сообщение 201 SIP-регистрации. I-CSCF-компьютер 112 также направляет сообщение 201 SIP-регистрации дальше, в частности, на соответствующий S-CSCF-компьютер 109 исходной коммуникационной сети 101.

После получения сообщения 201 SIP-регистрации S-CSCF-компьютер 109 проверяет, было ли мобильное оконечное устройство 103 связи, пославшее сообщение 201 SIP-регистрации, уже зарегистрировано в S-CSCF-компьютере 109. Если нет, то S-CSCF-компьютер 109 посылает по первому коммуникационному соединению 110 сообщение 202 требования Cx-данных аутентификации на HSS-компьютер 108, посредством которого S-CSCF-компьютер 109 запрашивает в HSS-компьютере 108 новые данные аутентификации для мобильного оконечного устройства 103 связи.

В HSS-компьютере 108 в ответ на сообщение 202 требования Cx-данных аутентификации формируются один или более блоков данных аутентификации описанным ниже способом, которые передаются в сообщении 203 данных аутентификации на S-CSCF-компьютер 109.

В альтернативном варианте выполнения данные аутентификации вырабатываются самим S-CSCF-компьютером 109.

HSS-компьютером 108, альтернативно компьютером центра аутентификации, соответствующим HSS-компьютеру 108, формируется текущий последовательный номер SQN 302 (этап 301).

Кроме того, на дополнительном этапе (этап 303) формируется случайное число RAND 304.

Кроме того, в качестве параметра ввода для описанных ниже операций применяется предварительно заданное так называемое поле управления аутентификацией - AMF 305.

Кроме того, применяется известный только HSS-компьютеру 108 (в альтернативной форме выполнения - S-CSCF-компьютеру 109) и мобильному оконечному устройству 103 связи секретный ключ К 306 в рамках выполнения описанных ниже операций.

В этой связи следует отметить, что формирование описанного ниже вектора AV аутентификации может осуществляться также в S-CSCF-компьютере 109 или сопоставимом с ним сетевом элементе в исходной коммуникационной сети 101, и в этом случае вышеописанные величины являются доступными в соответствующем вычислительном устройстве.

С применением секретного ключа К 306, поля AMF 305 управления аутентификацией, последовательного номера SQN 302 и случайного числа RAND 304, посредством первой функции f1 307 аутентификации сообщений, как она описана, например, в [3] и [4], формируется код аутентификации сообщения - МАС 308 в соответствии со следующим соотношением:

МАС = f1_К(SQN|RAND|AMF). (1)

Символ «|» обозначает в рамках данного описания конкатенацию величин, стоящих слева и соответственно справа от символа.

Применяемые затем функции f1 и f2 аутентификации сообщений, а также функции формирования ключей f3, f4, f5 описаны в [3] и [4].

Посредством второй функции f2 309 аутентификации сообщений с применением секретного ключа К 306 и случайного числа RAND 304 формируется ожидаемое ответное значение XRES 310:

XRES = f2_К(RAND). (2)

Посредством первой функции f3 311 формирования ключей с применением секретного ключа К 306 и случайного числа RAND 304 формируется ключ СК 312 передачи в соответствии со следующим соотношением:

СК = f3_К(RAND). (3)

Кроме того, с применением второй функции f4 313 формирования ключей и с применением секретного ключа К 306 и случайного числа RAND 304 формируется ключ IK 314 целостности в соответствии со следующим соотношением:

IK = f4_К(RAND). (4)

Посредством третьей функции f5 315 формирования ключей также с применением секретного ключа К 306 и случайного числа RAND 304 формируется ключ АК 316 анонимности в соответствии со следующим соотношением:

АК = f5_К(RAND). (5)

Кроме того, HSS-компьютером 108 формируется маркер AUTN 320 аутентификации согласно следующему соотношению:

AUTN = SQN⊕|AMF|MAC. (6)

Вышеописанные значения, т.е. маркер AUTN аутентификации, ожидаемое ответное значение XRES 310, ключ СК 312 передачи и ключ IK 314 целостности, передаются на S-CSCF-компьютер 109.

В соответствии с изобретением, с применением функции f 317 вывода ключей из ключа СК 312 передачи в S-CSCF-компьютере 109, с применением описанного ниже параметра 318 ввода формируется первый выведенный ключ СК1 319 следующим образом.

В качестве функции f 317 вывода ключей, согласно первому варианту осуществления изобретения, используется псевдослучайная функция PRF, которая, например, основывается на способе HMAC-SHA1. Функция f 317 вывода ключей реализуется, по существу, согласно способу вывода ключей, описанному в [6] в разделе 5.5.

Таким образом, первый выведенный ключ СК1 формируется согласно следующему соотношению:

CK1 = f_K (CK|Par1|random), (7)

где параметр «Par1» ввода является факультативным, а «random» является подходящим случайным материалом, например, формируемым согласно следующему соотношению:

random = RAND|AUTH|XRES, (8)

причем RAND|RES, в случае способа аутентификации согласно [1], передается в качестве описанного ниже сообщения 204 запроса аутентификации на мобильное оконечное устройство 103 связи.

Мобильное оконечное устройство 103 связи применяет для формирования случайного значения «random» вместо ожидаемого ответного значения XRES сформированное им ответное значение RES.

Выведенное из значения RES значение, в рамках описанного ниже способа согласно [1], передается от мобильного оконечного устройства 103 связи в качестве слова аутентификации на S-CSCF-компьютер 109.

В этой связи следует заметить, что формирование выводимых криптографических ключей может осуществляться в S-CSCF-компьютере 109 или в сопоставимом подходящем сетевом элементе в исходной коммуникационной сети 101.

Кроме того, S-CSCF-компьютером 109, согласно следующему соотношению, формируется запрошенный вектор AV 321 аутентификации:

AV = RAND|XRES|CK1|IK|AUTN. (9)

От S-CSCF-компьютера 109 сообщение 204 запроса аутентификации SIP-протокола передается на I-CSCF-компьютер 112 и от него - на P-CSCF-компьютер 113 посещаемой коммуникационной сети 102. В сообщении 204 запроса аутентификации SIP-протокола содержатся случайное число RAND, маркер 320 аутентификации и ключ IK целостности. В противоположность способу аутентификации согласно [1], в нем не содержится ключ CK передачи и, таким образом, не передается на P-CSCF-компьютер посещаемой коммуникационной сети. Вместо этого в сообщении 204 требования аутентификации SIP-протокола содержатся первый выведенный ключ CK1.

В мобильном оконечном устройстве 103 связи при применении функций f1 и f2 аутентификации сообщений, а также функций f3, f4 и f5 формируются вышеописанные величины, которые применяются для аутентификации посещаемой коммуникационной сети 102. Для этого функции f1, f2, f3, f4 и f5 также реализованы в мобильном оконечном устройстве 103 связи.

Кроме того, мобильное оконечное устройство 103 связи располагает секретным ключом К 306 и случайным числом RAND 304. Кроме того, описанные далее дополнительные данные для параметров Pari для формирования выводимых ключей с применением функции 317 вывода ключей также могут быть доступными в мобильном оконечном устройстве 103 связи.

Перед дальнейшим направлением сообщения 204 запроса аутентификации SIP-протокола P-CSCF-компьютер 113 сохраняет ключ IK 314 целостности, а также первый выведенный ключ СК1, удаляет его из сообщения 204 запроса аутентификации SIP-протокола и передает сокращенное сообщение 205 запроса аутентификации SIP-протокола в мобильное оконечное устройство 103 связи.

Тем самым ключ IK 314 целостности доступен в P-CSCF-компьютере 113, но не в мобильном оконечном устройстве 103 связи.

С применением доступных в мобильном оконечном устройстве 103 связи секретного ключа К 306 и случайного числа RAND 304 и с применением пятой и третьей функций f5 315 формирования ключей формируется ключ АК 316 анонимности.

С применением первого поля маркера 320 аутентификации, при образовании содержания первого поля (SQN ⊕ AK), выполняется логическая операция «исключающее ИЛИ» с ключом АК 316 анонимности, и в качестве результата мобильное оконечное устройство 103 связи получает последовательный номер SQN 302.

С применением последовательного номера, содержащегося в маркере 320 аутентификации поля AMF 305 управления аутентификацией, случайного числа RAND 304, секретного ключа К 306 и первой функции f1 307 аутентификации сообщений формируется код аутентификации сообщения оконечного устройства, который сравнивается с кодом МАС 308 аутентификации сообщения, содержащимся в маркере 320 аутентификации.

Если оба эти значения совпадают, то аутентификация исходной коммуникационной сети 102 по отношению к мобильному оконечному устройству 103 связи успешна, и мобильное оконечное устройство 103 связи вычисляет ответное значение RES с применением случайного числа RAND 304, секретного ключа К 306 и второй функции f2 309 аутентификации сообщений и посылает выведенное из значения RES ответное значение в сообщении 206 ответа на запрос аутентификации SIP-протокола на P-CSCF-компьютер 113, как описано в [1].

Следует заметить, что мобильное оконечное устройство 103 связи, кроме того, с применением первой функции f3 311 формирования ключей и секретного ключа К 306 вычисляет ключ 312 передачи, а также с применением второй функции f4 313 формирования ключей и секретного ключа К 306 вычисляет ключ IK 314 целостности.

Сообщение 206 ответа на запрос аутентификации от P-CSCF-компьютера 113 далее передается на I-CSCF-компьютер 112 и от него - на S-CSCF-компьютер 109.

S-CSCF-компьютер 109 или HSS-компьютер 108 проверяют выведенное из RES ответное значение, сравнивая его со значением, выведенным из ожидаемого значения XRES аналоговым способом. При совпадении обоих значений аутентификация мобильного оконечного устройства 103 связи по отношению к S-CSCF-компьютеру 109 является успешной.

После этого в мобильном оконечном устройстве 103 связи, согласно соотношению (8), формируется значение «random» и затем, согласно соотношению (7), первый выведенный ключ СК1.

Сообщение 207 подтверждения аутентификации передается от S-CSCF-компьютера 109 на I-CSCF-компьютер 112 и от него - на P-CSCF-компьютер 113.

Сообщение 208 подтверждения аутентификации передается на мобильное оконечное устройство 103 связи для подтверждения успешной взаимной аутентификации.

Кроме того, S-CSCF-компьютером 109 за счет нового применения функции f 317 и дополнительно с применением дополнительного параметра ввода Par2 формируется второй выведенный ключ СК2 322 согласно следующему соотношению:

СК2 = f_K (CK, CK1|Par2|random). (10)

Второй выведенный ключ СК2 322 передается в сообщении 209 ключа на серверный компьютер 106 приложений, который в рамках последующего шифрования применяет второй выведенный ключ СК2 322.

В мобильном оконечном устройстве 103 связи соответствующим образом, как в S-CSCF-компьютере 109, также формируется второй выведенный ключ СК2 322.

Если в рамках информационного обмена с дополнительными серверными компьютерами приложений требуется дополнительный материал ключей, то есть дополнительные выведенные ключи, то формируется в принципе любое число дополнительных выведенных ключей CKi (i = 1,...,n; n обозначает число сформированных выведенных ключей) 323, 324 в соответствии с приведенным ниже соотношением, и сформированные ключи передаются на соответствующий серверный компьютер приложений:

CKi = f_K (CK, CKi|Pari|random). (11)

В этом случае параметр Pari (i = 1,..., n) может представлять идентификацию, например, IP-адрес соответствующего серверного компьютера 106, 107 приложений.

Соответствующий параметр Pari может, кроме того, содержать другую информацию о применении ключа, например, информацию о применении для шифрования или для защиты целостности, информацию о направлении потока сообщений (от мобильного оконечного устройства 103 связи или к мобильному оконечному устройству 103 связи), для которого должен использоваться ключ.

После того как ключ IK 314 целостности и ключ CK 312 передачи в мобильном оконечном устройстве 103 связи и в S-CSCF-компьютере 109 доступны, то функция f 317 вывода ключей выполняется так часто, пока для всех подлежащих защите приложений не будет иметься необходимый криптографический ключ. Это происходит, как описано выше, как в мобильном оконечном устройстве 103 связи, так и в S-CSCF-компьютере 109.

Затем выведенные ключи, например, Р-CSCF-компьютером 113 (первый выведенный ключ СK1 318) используется для защиты IMS-сообщений, а другие выведенные ключи 322, 323, 324 предоставляются в распоряжение соответствующему защищаемому приложению или используются подходящим для него способом.

Альтернативно может вырабатываться последовательность ключей путем конкатенации полученных сформированных выведенных ключей CK1, CK2, CKi, CKn 318, 322, 323, 324. Это имеет преимущество в том случае, когда выведенные ключи по своей длине не соответствуют требованиям применяемого способа защиты, когда, например, два однонаправленных ключа требуются для одного приложения.

В этом случае выведенный ключ получается согласно следующему соотношению:

KEYMAT = CK1|CK2|...|CKi|. (12)

Затем из этой последовательности ключей KEYMAT, начиная слева и последовательно друг за другом, отделяются криптографические ключи, необходимые для различных приложений.

Ниже приведены альтернативные примеры выполнения для формирования выведенных ключей 318, 322, 323, 324.

Следующий пример выполнения сходен с описанным в [3] и [4] способом MILENAGE.

Пусть «random» представляет случайный материал, образованный, например, согласно соотношению (8). Для формирования случайного значения «random» используется способ, соответствующий вышеописанному примеру выполнения. Кроме того, предполагается, что ASi-ID обозначает идентификатор, например IP-адрес серверного компьютера ASi приложений для i = 1, 2,..., n. Пусть h является хеш-функцией, такой как SHA-1. E обозначает соответствующую функцию шифрования блочного шифра со значениями ввода, значениями вывода и ключами соответственно длиной 128 битов. Если значение ввода равно х, ключ обозначен как k и значение вывода равно y, то значение y определяется согласно следующему соотношению

Y = E[x]_k.(13)

Примером соответствующей функции шифрования блочного шифра является так называемый способ Rijndael, как, например, описано в [4].

128-битовое значение x_i выводится из идентификатора серверного компьютера приложений и ключа CK 312 передачи согласно следующему соотношению:

x_i = ASi-ID ⊕ E[ASi-ID]_CK. (14)

Промежуточное значение TEMP длиной 128 битов вычисляется согласно следующему соотношению:

TEMP = E[random ⊕ x_i]_CK. (15)

Соответствующий выведенный ключ CKi вычисляется тогда следующим образом:

CKi(r,c) = E[rot(TEMP ⊕ x_i,r) ⊕ c]_CK ⊕ x_i (16),

причем r и c являются заданными постоянными, как, например, описано в [4].

Как описано в [4], в соответствии с изобретением можно, за счет подходящего выбора других постоянных r и c, вывести другие ключи CKi(r,c) для того же серверного компьютера приложений.

Согласно альтернативному примеру выполнения изобретения, который основывается на способе вывода ключей согласно алгоритму RSA PKCS#5, снова применяется случайное значение «random», которое определяется таким же образом, как и в первом примере выполнения.

Вновь, как во втором примере выполнения, пусть ASi-ID обозначает идентификатор серверного компьютера ASi приложений для i=1,2,...,n; h является хеш-функцей, например SHA1, и PRF обозначает псевдослучайную функцию.

Вычисляются следующие значения:

х₀ = р("ключ шифрования для Р-CSCF-компьютера"), (17)

х_i=h(ASi-ID) для i=1,...,n. (18)

Затем выведенные ключи CKi вычисляются согласно следующему соотношению для i = 0,1,2,...,n:

CKi=F(CK, random, c, i)=U₁(i)\XOR U₂(i)\XOR...\XOR U_c(i). (19)

Причем с является подходящим соответственно заданным целым числом и

Согласно другому альтернативному примеру выполнения, предусмотрено объединение способов действия согласно первому примеру выполнения и второму примеру выполнения в следующем смысле.

Сначала вычисляется выведенный ключ CKi для серверного компьютера ASi приложений, как во втором примере выполнения. Затем применяется процедура согласно первому примеру выполнения, чтобы получить дополнительный материал ключей для серверного компьютера ASi приложений, при этом ключ СК 312 передачи в первом примере выполнения заменяется соответствующим выведенным ключом CKi, который был получен согласно второму примеру выполнения.

Тогда получаются следующие дополнительно выведенные ключи:

CKi1 = f(CKi, random) (23)

CKi2 = f(CKi, CKi1|random) (24)

CKi3 = f(CKi, CKi2|random) (25)

и т.д.

Теперь имеется все необходимое для шифрования соответствующих сообщений в рамках необходимых приложений в мобильном оконечном устройстве 103 связи, в Р-CSCF-компьютере 113, а также серверных компьютерах 106, 107 приложений, при этом Р-CSCF-компьютер 113 не имеет возможности делать выводы относительно выведенных ключей CKi 318, 322, 323, 324 в серверных компьютерах 106, 107 приложений, и наоборот, серверные компьютеры 106, 107 приложений не могут делать выводы в отношении материала ключей, сохраненного и применяемого в Р-CSCF-компьютере 113.

С применением выведенных ключей 318, 322, 323, 324 осуществляется последующее шифрование передаваемых полезных данных.

В настоящем описании использованы следующие публикации

1. 3GPP TS 33.203 V5.3.0 - Technical Specification, 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Access security for IP-based services (Release 5).

2. G. Horn, D. Kroselberg, K. Miiller: Security for IP multi-media services in the 3GPP third generation mobile system, Proceedings of the Third International Networking Conference INC'2002 Seiten (см. c."Источники" орриг.) 503 bis 512, Plymouth, UK, 16.-18. Juli 2002.

3. 3GPP TS 35.205 V5.0.0 - Technical Specification, 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Specification of the MILENAGE Algorithm Set: An example algorithm set for the 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 and f5*, Document 1: General (Release 5).

4. 3GPP TS 35.206 V5.0.0 - Technical Specification, 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Specification of the MILENAGE Algorithm Set: An example algorithm set for the 3GPP authentication and key generation functions f1, f1*, f2, f3, f4, f5 and f5*, Document 2: Algorithm Specification (Release 5).

5. IST-2000-25350 - SHAMAN, D13 - WP1 contribution, Final technical report comprising the complete technical results, specification and conclusion, Kapitel 4.7, Seiten 114 bis 122, November 2002.

6. D. Harkins und D. Carrel, The Internet Key Exchange (IKE), RFC 2409, Seiten 17 bis 19, November 1998.

1. Способ формирования и распределения криптографических ключей (318, 322) в системе (100) мобильной связи, содержащей, по меньшей мере, одно мобильное оконечное устройство (103) связи, первый компьютер (113), компьютер исходной коммуникационной сети (109), а также второй компьютер (106, 107), причем мобильное оконечное устройство (103) и компьютер исходной коммуникационной сети (109), в результате аутентификации, содержат аутентификационный материал (312, 314) ключей, отличающийся тем, что

мобильным оконечным устройством (103) связи и компьютером исходной коммуникационной сети (109), соответственно с применением аутентификационного материала (312) ключей формируются первый криптографический ключ (318) и второй криптографический ключ (322),

первый криптографический ключ (318) передается первому компьютеру (113),

второй криптографический ключ (322) передается второму компьютеру (106),

первый криптографический ключ (318) и второй криптографический ключ (322) сформированы таким образом, что

из первого криптографического ключа (318) невозможно сделать никакого вывода относительно второго криптографического ключа (322),

из второго криптографического ключа (322) невозможно сделать никакого вывода относительно первого криптографического ключа (318),

из первого криптографического ключа (318) и из второго криптографического ключа (322) невозможно сделать никакого вывода относительно аутентификационного материала (312, 314) ключей.

2. Способ по п.1, в котором первый компьютер (113) является компьютером посещаемой коммуникационной сети, причем мобильное оконечное устройство (103) связи находится в посещаемой коммуникационной сети (102), при этом второй компьютер является серверным компьютером (106, 107) приложений.

3. Способ по п.1, в котором первый компьютер (113) является первым серверным компьютером (106) приложений и второй компьютер является вторым серверным компьютером (107) приложений.

4. Способ по п.1, в котором первый криптографический ключ (318) и второй криптографический ключ (322) формируются с применением, по меньшей мере, одной функции (317) вывода ключей.

5. Способ по п.1, в котором аутентификационный материал (312, 314) ключей содержит, по меньшей мере, два криптографических ключа.

6. Способ по п.1, в котором система (100) мобильной связи выполнена как система мобильной связи, основанная на стандарте 3GPP.

7. Способ по п.6, в котором система (100) мобильной связи содержит IP-ориентированную мультимедийную подсистему.

8. Способ по п.1, в котором аутентификационный материал (312, 314) ключей содержит ключ (314) целостности и ключ (312) передачи.

9. Способ по п.8, в котором первый криптографический ключ (318) и второй криптографический ключ (322) выводятся из ключа (312) передачи.

10. Способ по п.1, в котором мобильным оконечным устройством (103) связи и компьютером исходной коммуникационной сети (109), для дополнительных серверных (107) компьютеров приложений, соответственно с применением аутентификационного материала (312) ключей, формируются дополнительные криптографические ключи (323, 324) и передаются на соответствующие серверные компьютеры (107) приложений.

11. Способ по п.1, в котором для формирования криптографических ключей (318, 322, 323, 324) применяются одинаковые функции вывода ключей.

12. Способ по п.1, в котором для формирования криптографических ключей (318, 322, 323, 324) применяются различные дополнительные параметры (319) ввода для функции (317) вывода ключей.

13. Способ по п.12, в котором в качестве дополнительных параметров (319) ввода для функции (317) вывода ключей применяются параметры, которые сформированы в рамках аутентификации.

14. Способ по п.13, в котором в качестве дополнительных параметров ввода для функции вывода ключей применяется, по меньшей мере, один из ранее сформированных криптографических ключей (318, 322, 323, 324).

15. Система (100) мобильной связи, содержащая,

по меньшей мере, одно мобильное оконечное устройство (103) связи, в котором в результате аутентификации сохранен аутентификационный материал (312, 314) ключей,

первый компьютер (113),

компьютер исходной коммуникационной сети (109), в котором в результате аутентификации сохранен аутентификационный материал (312, 314) ключей,

по меньшей мере, один второй компьютер (106, 107),

отличающаяся тем, что

мобильное оконечное устройство (103) связи и компьютер исходной коммуникационной сети (109) содержат, соответственно, криптоблок для формирования первого криптографического ключа (318) и второго криптографического ключа (322) с применением аутентификационного материала (312, 314) ключей, причем первый криптографический ключ (318) и второй криптографический ключ (322) сформированы таким образом, что

из первого криптографического ключа (318) невозможно сделать никакого вывода относительно второго криптографического ключа (322),

из второго криптографического ключа (322) невозможно сделать никакого вывода относительно первого криптографического ключа (318),

из первого криптографического ключа (318) и из второго криптографического ключа (322) невозможно сделать никакого вывода относительно аутентификационного материала (312, 314) ключей,

первый компьютер (113) содержит ЗУ для сохранения первого криптографического ключа (318), и

второй компьютер (106, 107) содержит ЗУ для сохранения второго криптографического ключа (322).