Im Rahmen des Universal Mobile Telecommunications Systems (UMTS) werden Internet-basierte Multimediadienste entwickelt, um die Einsetzbarkeit des UMTS-Mobilfunksystems zu verbessern und zusätzlichen Anwendungsgebiete zu eröffnen.

Als eine Plattform für Internet-basierte Multimediadienste für ein Mobilfunksystem wurde in dem 3GPP (3rd Generation Partnership Project) ein so genanntes IP-based Multimedia Subsystem (IMS) standardisiert, welches in der UMTS Release 5 - Architektur beschrieben ist.

Wenn ein Mobilfunkendgerät eines Mobilfunk-Teilnehmers sich in einem Kommunikationsnetz in einem Mobilfunksystem mit IMS anmeldet, um Internet-basierte Multimedia-Dienste in Anspruch zu nehmen, so wird für das Mobilfunkendgerät eine Authentifi- kation durchgeführt, gemäß dem in [1] beschriebenen 3GPP- 'Standard gemäß dem IMS-Authentication and Key-Agreement- Protocol (IMS-AKA-Protokoll).

Gemäß dem IMS-AKA-Protokoll authentifizieren das Mobilfunk- endgerät und das Kommunikationsnetz, in dessen Bereich sich das Mobilfunkendgerät aktuell befindet, sich gegenseitig und es werden zwei kryptographische Schlüssel generiert, der so genannte Integritätsschlüssel und der so genannte Übertra- gungsschlüssel. Der Integritätsschlüssel wird gemäß UMTS Re- lease 5 zum Schutz der IMSSignalisierung zwischen dem Mobil- funkendgerät und einem Computer des besuchten Kommunikations- netzes (Visited Network) eingesetzt. Der Computer des besuch-

ten Kommunikationsnetzes ist als Call State Control Function- Computer (CSCF-Computer) eingerichtet und wird als Proxy- CSCF-Computer (P-CSCF-Computer) bezeichnet. Der Übertragungs- schlüssel ist zur Verschlüsselung vorgesehen, d. h. zum Schutz der Vertraulichkeit der ausgetauschten Daten.

Zusätzlich zu dem Schutz der reinen IMS- Signalisierungsnachrichten unter Verwendung des Integritäts- schlüssels kann es vorgesehen sein, dass zwischen einem Ap- plikationsserver-Computer und dem Mobilfunkendgerät zusätzli- che elektronische Nachrichten in vertraulicher Weise ausge- tauscht werden sollen im Rahmen der Bereitstellung IP- basierter Dienste.

Ein Applikationsserver-Computer auf der Netzseite ist im Rah- men dieser Beschreibung insbesondere ein Computer, der Diens- te gemäß einem auf der Anwendungsschicht (OSI-Schicht 7) vor- gesehene, vorzugsweise multimediale, Dienste anbietet und ge- mäß einem Schicht-7-Protokoll, d. h. einem Anwendungsschicht- Protokoll kommuniziert. Beispielsweise kann der Applikations- server-Computer als ein HTTP-Server-Computer (Hypertext Transfer Protocol) ausgestattet sein und mit dem Mobilfunk- endgerät gemäß dem HTTP-Protokoll kommunizieren.

Über die Grundfunktionalität des IMS hinaus werden Applikati- onsserver-Computer beispielsweise zur Administration netzsei- tiger Benutzereinstellungen und zur Speicherung und Verwal- tung von Profildaten über die Mobilfunksystem-Teilnehmer ver- wendet.

Beispiele solcher Anwendungen zwischen mobilen Benutzern (insbesondere denen eines IMS-Mobilfunksystems) und Applika- tionsserver-Computern im Kommunikationsnetz, die das HTTP- Protokoll verwenden, sind : o Zugriffslisten auf Presence-Servern, mit denen es mög- lich ist, Positionsinformation über die aktuelle Positi-

on eines Mobilfunkendgerätes innerhalb des Mobilfunksys- tems (beispielsweise GPS-Daten) zu nutzen, Buddy-Lists von Chat-Applikätionen, d. h. Listen von für eine Chat-Applikation zugelassenen Teilnehmern, Gruppenmanagement-Dienste sowie Einstellungen für elektronische Multimedia-Konferenzen.

Als ein weiteres Beispiel für eine solche Anwendung ist zu nennen, dass Multicast-Verbindungen zwischen einem Mobilfunk- endgerät und zwischen einem Multicast-Service-Center aufge- baut werden unter Verwendung des IMS-Systems.

Um die zwischen dem Mobilfunkendgerät und dem Applikations- server-Computer verwendeten Protokolle kryptographisch zu si- chern, müssen deren Nachrichten geschützt sein, beispielswei- se hinsichtlich Authentifikation, Datenintegrität und/oder Daten-Vertraulichkeit.

Abhängig von dem konkreten Einsatz-Szenario und dem verwende- ten Anwendungsschicht-Protokoll werden unterschiedliche Si- cherheitsprotokolle zur Sicherung des Anwendungsschicht- Protokolls verwendet, beispielsweise für dass HTTP das Sicherheitsprotokoll HTTP-Digest, das TLS-Protokoll (Transport Layer Security Protocol) oder WTLS (Wireless Transport Layer Security Protocol) sowie für die Schlüsselverteilung für Multicast- Kommunikationsverbindungen MIKEY (Multimedia Internet KEYing).

Bei allen kryptographischen Anwendungsschicht-Protokollen ist es erforderlich, dass die beteiligten Kommunikationspartner, insbesondere das Mobilfunkendgerät und der Applikationsser- ver-Computer, d. h. der Applikationsserver-Computer im Kommu- nikationsnetz, über geheimes Schlüsselmaterial, d. h. über ge- heime Schlüssel, verfügen, welches bereits zu Beginn des Sen- . dens der ersten gesicherten elektronischen Nachricht zur Ver- fügung steht.

Im Fall des IMS basiert die Schlüsselinfrastruktur auf sym- metrischen Schlüsseln, die zur Authentifikation der IMS- Benutzer im Rahmen der IMS-Registrierung, d. h. im Rahmen des in [1] beschriebenen Authentifizierungs-und Schlüsselaus- tausch-Protokolls verwendet werden.

Wie in [1] beschrieben, registriert sich ein Mobilfunkendge- rät im IMS für eine IMS-Kommunikationssitzung bei seinem Hei- mat-Kommunikationsnetz (Home Network) bei dem dafür vorgese- henen Computer, der auch als S-CSCF-Computer (Serving Call State Control Function-Computer) bezeichnet wird.

Die Kommunikation erfolgt unter Verwendung eines lokalen Pro- xy-Computers, dem oben beschriebenen P-CSCF-Computer, in dem besuchten Kommunikationsnetz, welcher den ersten IMS- Kontaktpunkt für das Mobilfunkendgerät und damit für den mo- bilen Benutzer darstellt.

Die Authentifikation gemäß [1] erfolgt zwischen dem Mobil- funkendgerät und dem S-CSCF-Computer unter Beteiligung eines so genannten HSS-Computers (Home Subscriber Server-Computer).

Im Rahmen der Authentifikation werden in dem Mobilfunkendge- rät und in dem HSS-Computer der Integritätsschlüssel und der Übertragungsschlüssel erzeugt und an den S-CSCF-Computer in kryptographisch gesicherter Weise übertragen.

Von dem S-CSCF-Computer wird der Integritätsschlüssel kryp- tographisch gesichert zu dem P-CSCF-Computer übertragen. Der Integritätsschutz und die Authentizität der nachfolgenden IMS-bezogenen Signalisierungsnachrichten wird lokal zwischen dem Mobilfunkendgerät und dem P-CSCF-Computer gewährleistet und basiert auf dem Integritätsschlüssel. Gemäß UMTS Release 5 wird der Übertragungsschlüssel derzeit nicht verwendet, es ist jedoch geplant, in zukünftigen Versionen des UMTS-Standards (Release 6 und nachfolgende Standards) den

Übertragungsschlüssel für den zusätzlichen Schutz der Ver- traulichkeit übertragener Daten einzusetzen.

Ein Problem ergibt sich, wenn man den Übertragungsschlüssel und den Integritätsschlüssel, die als Sitzungsschlüssel aus einer IMS-AKA-Authentifizierung und Schlüsselerzeugung ent- stehen, auch für die Sicherung anderer Applikationen als zur IMS-Signalisierung verwendet.

Das Mobilfunkendgerät und das Heimat-Kommunikationsnetz, an- ders ausgedrückt der Benutzer und der Heimat- Kommunikationsnetzbetreiber werden als gegenseitig vertrau- enswürdig angesehen.

Allerdings erhält das besuchte Kommunikationsnetz (im Roa- ming-Fall ; im Non-Roaming-Fall entspricht dies dem Heimat- Kommunikationsnetz) den Integritätsschlüssel und den Übertra- gungsschlüssel. Würde ein Applikationsserver-Computer eben- falls den Integritätsschlüssel und den Übertragungsschlüssel erhalten, so wäre der Applikationsserver-Computer theoretisch in der Lage, die Sicherheit der IMS-Signalisierung zwischen dem Mobilfunkendgerät und dem besuchten Kommunikationsnetz zu kompromittieren. Umgekehrt wäre das besuchte Kommunikations- netz, d. h. ein Computer des besuchten Kommunikationsnetzes in der Lage, die Sicherheit der Kommunikation zwischen dem Mo- bilfunkendgerät und dem Applikationsserver-Computer zu kom- promittieren, wenn diese direkt auf dem Integritätsschlüssel oder dem Übertragungsschlüssel beruhen würde.

Auch für den Fall, dass ein Mobilfunkendgerät mit mehreren Applikationsserver-Computern gleichzeitig kommunizieren möch- te, ist es wünschenswert, oftmals sogar erforderlich, dass es nicht möglich ist, aus dem kryptographischen Schlüssel, dem ein jeweiliger Applikationsserver-Computer erhält, Rück- schlüsse auf den kryptographischen Schlüssel, den ein anderer Applikationsserver-Computer erhält, zu ziehen.

Ein möglicher Ansatz, um das oben beschriebenen Problem zu lösen, ist der, dass sowohl in dem Heimat-Kommunikationsnetz als auch in dem Mobilfunkendgerät des Benutzers eine Ablei- tung eines neuen kryptographischen Schlüssels aus dem Integ- ritätsschlüssel und/oder dem Übertragungsschlüssel stattfin- det. Ein Applikationsserver-Computer erhält den abgeleiteten kryptographischen Schlüssel, kennt also weder den Integri- tätsschlüssel noch den Übertragungsschlüssel, vorausgesetzt, dass die zur Schlüsselableitung verwendete kryptographische Funktion keine sinnvollen Rückschlüsse auf den Integritäts- schlüssel und/oder den Übertragungsschlüssel für den Applika- tionsserver-Computer zulässt.

Das Problem, das sich bei diesem Ansatz ergibt, ist, dass man eine Schlüsselableitungsfunktion benötigt, die von dem Compu- ter des besuchten Kommunikationsnetzes nicht nachzuvollziehen ist. Ein so genannter Keyed-Hash, der als Eingabeparameter beispielsweise den Integritätsschlüssel oder den Übertra- gungsschlüssel und als Zufallswert den im Rahmen der gemäß [1] erfolgten Authentifikation erzeugten Zufalls-Parameter verwendet, kann von dem Computer in dem besuchten Kommunika- tionsnetz ebenso berechnet werden.

Ein neuer Zufallsparameter, der zwischen dem Mobilfunkendge- rät des Benutzers und dem Heimat-Kommunikationsnetz zum Zwe- cke der Schlüsselableitung vereinbart würde, wäre nur durch eine Änderung an bestehenden Kommunikations-bzw. Sicher- heitsprotokollen, d. h. durch eine Änderung beispielsweise am IMS-AKA-Protokoll oder in der Kommunikation zwischen dem S- CSCF-Computer und dem HSS-Computer, zu erreichen.

Eine solche Änderung soll aber vermieden werden, da eine Mo- difikation existierender Kommunikationsstandards oder Sicher- heitsstandards nicht auf einfache Weise durchgeführt werden kann und somit sehr kostenintensiv ist.

Eine Übersicht über die in dem UMTS-Standard Relesase 5 vor- gesehenen Sicherheitsmechanismen ist in [2] zu finden.

Die im Rahmen des IMS-AKA-Protokolls verwendeten Nachrichten- Authentifikations-Funktionen und Schlüsselerzeugungs- Funktionen sind in [3] und [4] beschrieben. Ferner ist in [4] eine als Rijndael-Funktion bezeichnete Blockchiffren- Verschlüsselungsfunktion beschrieben.

Eine Übersicht über verschiedene Schlüsselableitungsfunktio- nen ist in [5] zu finden.

Ein weiteres Schlüsselableitungsverfahren ist in [6] be- schrieben.

Der Erfindung liegt das Problem zugrunde, die kryptographi- sche Sicherheit in einem Mobilfunksystem zu erhöhen.

Das Problem wird durch das Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und durch das Mobilfunksystem mit den Merkmalen gemäß den unab- hängigen Patentansprüchen gelöst.

Ein Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem geht von mindestens einem Mobilfunksystem mit einem Mobilfunkendgerät, einem ersten Computer, vorzugsweise einem Computer eines besuchten Kommu- nikationsnetzes (Visited Network), einem Computer eines Hei- mat-Kommunikationsnetzes (Home Network) sowie mindestens ei- nem zweiten Computer, vorzugsweise eingerichtet als Applika- tionsserver-Computer aus. Das mindestens eine Mobilfunkendge- rät befindet sich vorzugsweise in dem Bereich des besuchten Kommunikationsnetzes und hat sich gegenüber dem Heimat- Kommunikationsnetz und dem besuchten Kommunikationsnetz au- thentifiziert. Es ist in diesem Zusammenhang anzumerken, dass das besuchte Kommunikationsnetz und das Heimat- Kommunikationsnetz identisch sein können. Im Rahmen der Au-

thentifikation wurde Authentifikations-Schlüsselmaterial ge- bildet, welches in dem Mobilfunkendgerät und in dem Computer des Heimat-Kommunikationsnetzes verfügbar und gespeichert ist. Bei dem Verfahren werden von dem Mobilfunkendgerät und dem Computer des Heimat-Kommunikationsnetzes jeweils unter Verwendung des Authentifikations-Schlüsselmaterials ein ers- ter kryptographischer Schlüssel und ein zweiter kryptographi- scher Schlüssel gebildet. So sind in dem Mobilfunkendgerät und in dem Computer des Heimat-Kommunikationsnetzes jeweils der erste Schlüssel und der zweite Schlüssel verfügbar und gespeichert.

Der erste und der zweite Computer können alternativ beide als Applikationsserver-Computer eingerichtet sein.

Der erste kryptographische Schlüssel wird, vorzugsweise von dem Computer des Heimat-Kommunikationsnetzes (alternativ von dem Mobilfunkendgerät), dem ersten Computer, vorzugsweise so- mit dem Computer des besuchten Kommunikationsnetzes, übermit- telt. Ferner wird der zweite kryptographische Schlüssel dem zweiten Computer, vorzugsweise dem Applikationsserver- Computer, übermittelt, vorzugsweise von dem Computer des Hei- mat-Kommunikationsnetzes, alternativ von dem Mobilfunkendge- rät.

Ein Mobilfunksystem weist mindestens ein Mobilfunkendgerät auf, in dem als Ergebnis einer Authentifikation zwischen dem Mobilfunkendgerät und einem Computer eines Heimat- Kommunikationsnetzes des Mobilfunkendgerätes, Authentifikati- ons-Schlüsselmaterial gespeichert ist. Ferner weist das Mo- bilfunksystem einen ersten Computer, vorzugsweise einen Com- puter eines besuchten Kommunikationsnetzes auf sowie einen Computer des Heimat-Kommunikationsnetzes. In dem Computer des Heimat-Kommunikationsnetzes ist, ebenfalls als Ergebnis der Authentifikation des Mobilfunkendgerätes bei dem Heimat- Kommunikationsnetz, Authentifikations-Schlüsselmaterial ge- speichert. Weiterhin ist in dem Mobilfunksystem mindestens

ein zweiter Computer, vorzugsweise eingerichtet als ein Ap- plikationsserver-Computer, vorgesehen. Das Mobilfunkendgerät befindet sich in dem besuchten Kommunikationsnetz. Das Mobil- funkendgerät und der Computer des Heimat-Kommunikationsnetzes weisen jeweils eine Kryptoeinheit auf zur jeweiligen Bildung eines ersten kryptographischen Schlüssels und eines zweiten kryptographischen Schlüssels unter Verwendung des Authentifi- kations-Schlüsselmaterials. Der Computer des besuchten Kommu- nikationsnetzes weist ferner einen Speicher auf zur Speiche- rung des ersten kryptographischen Schlüssels, welcher dem Computer von dem Mobilfunkendgerät oder von dem Computer des Heimat-Kommunikationsnetzes übermittelt worden ist. Ferner weist der Applikationsserver-Computer einen Speicher auf zur Speicherung des zweiten kryptographischen Schlüssels, welcher dem Applikationsserver-Computer von dem Mobilfunkendgerät o- der dem Computer des Heimat-Kommunikationsnetzes übertragen worden ist.

Anschaulich kann die Erfindung darin gesehen werden, dass das im Rahmen der Authentifikation gebildete Authentifikations- Schlüsselmaterial nicht unmittelbar und vollständig an die Applikationsserver-Computer und den Computer des besuchten Kommunikationsnetzes übermittelt wird, sondern dass aus zu- mindest einem Teil des Authentifikations-Schlüsselmaterials Sitzungsschlüssel abgeleitet werden, welche im Rahmen der späteren Kommunikation zwischen dem Mobilfunkendgerät und den Applikationsserver-Computern bzw. dem Computer des besuchten Kommunikationsnetzes beispielsweise zur Verschlüsselung zu sichernder Daten verwendet werden. Damit ist die kryp- tographische Sicherheit im Rahmen der Kommunikation zwischen dem Mobilfunkendgerät und dem jeweiligen Applikationsserver- Computer vor einem Angriff'seitens des Computers in dem be- suchten Kommunikationsnetz gesichert und ferner ist die Kom- munikation zwischen dem Mobilfunkendgerät und dem Computer des besuchten Kommunikationsnetzes gesichert gegen Angriffe seitens des Applikationsserver-Computers, da der Applikati- onsserver-Computer und der Computer des besuchten Kommunika-

tionsnetzes jeweils Schlüssel haben, die nicht dazu geeignet sind, Rückschlüsse auf den jeweiligen anderen Schlüssel zu ziehen und damit eine Entschlüsselung der mit dem jeweiligen Schlüssel der anderen Instanz verschlüsselten Daten zu ermög- lichen.

Die erhöhte kryptographische Sicherheit wird erfindungsgemäß erreicht, ohne dass es erforderlich ist, das im Rahmen von UMTS standardisierte Kommunikationsprotokoll zu verändern.

Bevorzugte Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.

Die folgenden Ausgestaltungen der Erfindung betreffen sowohl das Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem als auch das Mobilfunksys- tem.

Der erste kryptographische Schlüssel und der zweite kryp- tographische Schlüssel werden gemäß einer Ausgestaltung der Erfindung unter Verwendung mittels einer Schlüsselableitungs- funktion gebildet.

Gemäß einer anderen Ausgestaltung der Erfindung ist es vorge- sehen, dass der erste kryptographische Schlüssel und der zweite kryptographische Schlüssel derart gebildet werden, dass aus dem ersten kryptographischen Schlüssel kein Rück- schluss auf den zweiten kryptographischen Schlüssel mög- lich ist, aus dem zweiten kryptographischen Schlüssel kein Rück- schluss auf den ersten kryptographischen Schlüssel mög- lich ist und * aus dem ersten kryptographischen Schlüssel oder dem zweiten kryptographischen Schlüssel kein Rückschluss auf das Authentifikations-Schlüsselmaterial möglich ist.

Das Authentifikations-Schlüsselmaterial kann mindestens zwei kryptographische Schlüssel aufweisen beispielsweise für den Fall, dass das Mobilfunksystem als ein auf einem 3GPP- Standard basierendes Mobilfunksystem ist, welches vorzugswei- se ein IP-basiertes Multimedia-Subsystem aufweist, und zwar einen Integritätsschlüssel und einen Übertragungsschlüssel.

In diesem Fall werden vorzugsweise der erste kryptographische Schlüssel und der zweite kryptographische Schlüssel aus dem Übertragungsschlüssel abgeleitet.

Auf andere Weise ausgedrückt bedeutet dies, dass gemäß dieser Ausgestaltung der Erfindung in dem Mobilfunkendgerät und in dem Computer des Heimat-Kommunikationsnetzes weitere kryp- tographische Schlüssel aus dem Übertragungsschlüssel abgelei- tet werden.

Im Gegensatz zu dem Integritätsschlüssel, den das Heimat- Kommunikationsnetz gemäß [1] direkt zur Integritätssicherung der IMS-Signalisierung an den Computer des besuchten Kommuni- kationsnetzes, vorzugsweise an einen P-CSCF-Computer übermit- telt, wird der Übertragungsschlüssel selbst erfindungsgemäß nicht von dem Computer des Heimat-Kommunikationsnetzes, vor- zugsweise von dem S-CSCF-Computer, weitergegeben. Der Über- tragungsschlüssel wird dagegen dafür verwendet, einen oder mehrere neue Schlüssel durch den Einsatz einer geeigneten Schlüsselableitungsfunktion abzuleiten, wobei die Ableitungs- funktion vorzugsweise auf einer Pseudo-Zufalls-Funktion ba- siert. Der mittels der Schlüsselableitungsfunktion gebildete erste abgeleitete Schlüssel wird als erster kryptographischer Schlüssel von dem S-CSCF-Computer an den P-CSCF-Computer ü- bermittelt, wenn der erste kryptographische Schlüssel für den Schutz der Vertraulichkeit übertragener Daten benötigt wird.

In dem Mobilfunksystem können grundsätzlich eine beliebige Anzahl von Kommunikationsnetzen und Mobilfunkendgeräten vor-

gesehen sein sowie eine beliebige Anzahl von Applikationsser- ver-Computern.

Bei einer Mehrzahl von Applikationsserver-Computern ist es gemäß einer Ausgestaltung der Erfindung vorgesehen, dass von dem Mobilfunkendgerät und dem Computer des Heimat- Kommunikationsnetzes für jeden zusätzlichen Applikationsser- ver-Computer jeweils unter Verwendung des Authentifikations- Schlüsselmaterials ein zusätzlicher kryptographischer Schlüs- sel gebildet wird. Der jeweilige zusätzliche kryptographische Schlüssel wird-vorzugsweise von dem Computer des Heimat- Kommunikationsnetzes-an den zugehörigen Applikationsserver- Computer übermittelt.

In diesem Fall ist es vorteilhaft, die Mehrzahl bzw. Vielzahl kryptographischer Schlüssel mittels derselben Schlüsselablei- tungsfunktion, jedoch unter Verwendung geeigneter unter- schiedlicher Eingabeparameter zu erzeugen. Durch Verwendung geeigneter Eingabeparameter, vorzugsweise einer qualitativ hochwertigen Zufallszahl wird für die Schlüsselableitungs- funktion sichergestellt, dass der Empfänger des abgeleiteten Schlüssels, beispielsweise ein Applikationsserver-Computer oder der Computer des besuchten Kommunikationsnetzes, nicht in der Lage ist, auf den Basisschlüssel, d. h. den Übertra- gungsschlüssel, allgemein auf das Authentifikations- Schlüsselmaterial, zurückzuschließen.

Solche Eingabeparameter können sowohl dem Mobilfunkendgerät als auch dem Computer des Heimat-Kommunikationsnetzes bekann- te Parameter sein, wie beispielsweise die Parameter, die sich aus der jeweils aktuellen Authentifikation gemäß dem IMS-AKA- Protokoll ergeben. Mittels des zweiten kryptographischen Schlüssels wird für den Schutz weiterer Nachrichten über die IMS-Signalisierung hinaus, beispielsweise für den Schutz von HTTP-Nachrichten, welche zwischen dem Mobilfunkendgerät und einem als Presence-Server-Computer ausgestalteten Applikati- onsserver-Computer vorgesehen ist oder von gemäß dem MIKEY-

Protokoll ausgestalteten Nachrichten zwischen dem Mobilfunk- endgerät und einem Multicast-Service-Center-Computer aus dem Übertragungsschlüssel abgeleitet.

Es ist erfindungsgemäß vorgesehen, im Bedarfsfall eine belie- bige Anzahl weiterer kryptographischer Schlüssel aus dem Ü- bertragungsschlüssel, allgemein aus dem Authentifikations- Schlüsselmaterial, abzuleiten.

Als Schlüsselableitungsverfahren kann grundsätzlich jedes be- liebige geeignete kryptographische Verfahren zur Ableitung eines kryptographischen Schlüssels eingesetzt werden, bei- spielsweise die in [5] beschriebenen Verfahren, alternativ eine Variante des in [3] und [4] beschriebenen Schlüsselab- leitungsverfahrens gemäß MILENAGE.

Wird für die Bildung einer Vielzahl von kryptographischen Schlüsseln als Sitzungsschlüssel dieselbe Schlüsselablei- tungsfunktion verwendet, so braucht sowohl im Mobilfunkendge- rät als auch in dem Computer des Heimat-Kommunikationsnetzes lediglich eine kryptographische Schlüsselableitungsfunktion implementiert werden.

Ein weiterer Vorteil der Erfindung ist darin zu sehen, dass sich ein Benutzer eines Mobilfunkendgerätes nur einmal für den Zugang zum IMS und den darüber angebotenen elektronischen Dienten authentifizieren muss. Für den Zugang zu den IMS- basierten Applikationen bzw. Diensten sind keine weiteren Au- thentifikationen mehr erforderlich.

Ferner werden erfindungsgemäß Änderungen an existierenden standardisierten Protokollen vermieden, beispielsweise müssen das in [1] beschriebene Authentifikationsprotokoll IMS-AKA oder das Protokoll zur Kommunikation zwischen dem S-CSCF- Computer und dem HSS-Computer nicht verändert werden, da kei- ne zusätzlichen Parameter zwischen den jeweils Beteiligten Computern ausgetauscht werden müssen.

Durch die Verwendung des Übertragungsschlüssels (und nicht des Integritätsschlüssels) als Basisschlüssel zur Schlüssel- ableitung wird zusätzlich vermieden, dass Unterschiede bei der Verwendung des Schlüssels zwischen verschiedenen Versio- nen des Standards (UMTS-3GPP Release 5 und UMTS-3GPP Release 6, usw. ) entstehen, die zu höheren Standardisierungs-und In- tegrationsaufwänden führen würden.

Ferner ist es erfindungsgemäß ermöglicht, die Schlüsselablei- tung so zu gestalten, dass der Schlüssel nur für die Sicher- heitsbeziehungen zwischen dem Mobilfunkendgerät und einer be- stimmten Netzeinheit und nicht für andere Sicherheitsbezie- hungen verwendbar ist und für andere Sicherheitsbeziehungen keine Rückschlüsse zulässt, insbesondere keine Ermittlung der im Rahmen anderer Sicherheitsbeziehungen verwendeten kryp- tographischen Schlüsseln.

Ferner ist es möglich, die Schlüsselableitung so zu gestal- ten, dass das Mobilfunkendgerät und der S-CSCF-Computer al- lein aus dem Übertragungsschlüssel, aus Parametern, die sich aus der jeweils aktuellen Authentifikation gemäß dem IMS-AKA- Kommunikationsprotokoll ergeben, sowie der Identität des Ap- plikationsserver-Computers, den abgeleiteten Schlüssel be- rechnen.

Dies hat den zusätzlichen Vorteil, dass der abgeleitete Schlüssel für einen bestimmten Applikationsserver-Computer unabhängig berechnet werden kann von den Schlüsseln für ande- re Applikationsserver-Computer. Dies ist insbesondere in dem Fall von erheblicher Bedeutung, wenn die Notwendigkeit zur Berechnung von abgeleiteten kryptographischen Schlüsseln für Applikationsserver-Computer nicht gleichzeitig entsteht, da der Benutzer verschiedene Applikationsserver-Computer zu un- terschiedlichen Zeitpunkten und manche auch gar nicht kontak- tiert.

Als zusätzliche Parameter für die Schlüsselableitungsfunktion wird gemäß einer anderen Ausgestaltung der Erfindung mindes- tens einer der zuvor gebildeten kryptographischen Schlüssel verwendet. Anders ausgedrückt bedeutet dies, dass ein oder mehrere zuvor gebildete und somit verfügbare kryptographische Schlüssel als Eingangswerte für die Schlüsselableitungsfunk- tion verwendet werden und damit als Grundlage dienen zur Bil- dung nachfolgender kryptographischer Schlüssel.

Durch die Erfindung wird somit anschaulich das Problem ge- löst, auf der Basis einer bestehenden IMS- Sicherheitsinfrastruktur in einem Mobilfunksystem eine zu- sätzliche Kommunikation zwischen dem Mobilfunkendgerät und den Applikationsserver-Computern für IMS-basierte Anwendungen bzw. Dienste zu schützen, die nicht durch die bisherige Si- cherheit des IMS-Mobilfunksystems erfasst wird.

Eine solche Kommunikation kann z. B. auf dem HTTP-Protokoll und dem MIKEY-Protokoll, allgemein auf jedem Kommunikations- protokoll der OSI-Schicht-7, d. h. der Anwendungsschicht, ba- sieren.

Zur Sicherung der Kommunikation erzeugt der beschriebene Me- chanismus Sitzungsschlüssel, die von dem im Rahmen einer IMS- Authentifikation gemäß [1] gebildeten Integritätsschlüssel und/oder Übertragungschlüssel abgeleitet werden. Insbesondere wird das Problem gelöst, dass verschiedene Netzinstanzen wie Applikationsserver-Computer und P-CSCF-Computer unterschied- liche Schlüssel erhalten, welche keine Rückschlüsse auf ande- re kryptographische Schlüssel zulassen, so dass auch eine Netzinstanz, d. h. ein Computer eines besuchten Kommunikati- onsnetzes, nicht die Vertraulichkeit der Nachrichten, die der Benutzer mit einer anderen Netzinstanz, d. h. mit einem ande- ren Computer eines Kommunikationsnetzes, austauscht, verlet- zen kann.

Zusätzlich wird erfindungsgemäß ein Mechanismus verwendet, der es ermöglicht, mit nur einer Schlüsselableitungsfunktion voneinander unabhängige kryptographische Schlüssel für unter- schiedliche Anwendungen zu erzeugen. Damit wird der Aufwand, mehrere solcher Schlüsselableitungsfunktionen zu implementie- ren, vermieden.

Zusätzlich werden, wie oben beschrieben, mehrfache Authenti- fikationen des Benutzers, d. h. des Mobilfunkendgerätes ver- mieden.

Anschaulich kann die Erfindung somit darin gesehen werden, dass aus dem im Rahmen der IMS-Registrierung erzeugten Über- tragungsschlüssel weitere kryptographische Schlüssel, die für die Verschlüsselung zwischen Nachrichten, welche zwischen dem Mobilfunkendgerät und dem P-CSCF-Computer sowie für die Si- cherheitsbeziehungen zwischen dem Mobilfunkendgerät und dem Applikationsserver-Computern verwendet werden können abgelei- tet werden in einer solchen Weise, dass die oben beschriebe- nen Vorteile erzielt werden.

Ausführungsbeispiele der Erfindung sind in den Figuren darge- stellt und werden im Folgenden näher erläutert.

Es zeigen Figur 1 ein Blockdiagramm eines Mobilfunksystems gemäß einem Ausführungsbeispiel der Erfindung ; Figur 2 ein Nachrichtenflussdiagramm, in dem der Nachrichten- fluss des Bildens und Verteilens kryptographischer Schlüssel gemäß einem Ausführungsbeispiel der Erfin- dung dargestellt ist ; und Figur 3 ein Blockdiagramm, in dem das Bilden kryptographi- scher Schlüssel gemäß einem Ausführungsbeispiel der Erfindung dargestellt ist.

Auch wenn im folgenden Ausführungsbeispiel aus Gründen der einfacheren Darstellung nur ein Mobilfunkendgerät, ein Hei- mat-Kommunikationsnetzwerk sowie ein besuchtes Kommunikati- onsnetzwerk dargestellt ist, so ist die Erfindung auf eine beliebige Anzahl von Mobilfunkendgeräten und Kommunikations- netze anwendbar.

Das in Fig. 1 dargestellte Mobilfunksystem 100 ist gemäß dem UMTS-Standard Release 5 eingerichtet.

Das Mobilfunksystem 100 gemäß dem bevorzugten Ausführungsbei- spiel weist ein Heimat-Kommunikationsnetz 101 (Home Network), ein besuchtes Kommunikationsnetz 102 (Visited Network), ein Mobilfunkendgerät 103 sowie sich in weiteren Kommunikations- netzen 104,105 sich befindende Applikationsserver-Computer 106,107, auf.

Im Folgenden werden nur die für die Erfindung relevanten Ele- mente des Mobilfunksystems 100 gemäß dem UMTS-Standard Re- lease 5 kurz erläutert.

In dem Heimat-Kommunikationsnetz 101 ist ein Home Subscriber Server-Computer (HSS-Computer) 108 vorgesehen. In dem HSS- Computer sind zu jedem dem Heimat-Netzwerk 101 zugeordneten Mobilfunkgerät 103 und den Besitzer des Mobilfunkendgerätes 103 charakterisierende Daten, beispielsweise ein Benutzer- Service-Profil, gespeichert.

Mit dem HSS-Computer 108 ist ein Serving Call State Control Function-Computer (S-CSCF-Computer) 109 mittels einer ersten Kommunikationsverbindung 110 gekoppelt.

Das gesamte Callmanagement, sowohl paketvermittelt als auch leitungsvermittelt, wird von einem CSCF-Computer kontrol- liert. Einige weitere Aufgaben der CSCF-Computer sind das Verwalten von Abrechnungen (Billing), die Adressverwaltung

und die Bereitstellung von Auslösemechanismen zum Auslösen spezieller vorgegebener Dienste und Knoten.

Mittels einer zweiten Kommunikationsverbindung 111 ist ein Interrogating-CSCF-Computer (I-CSCF-Computer) 112 mit dem S- CSCF-Computer 109 gekoppelt. In dem I-CSCF-Computer 112, wel- cher sich in dem Heimat-Kommunikationsnetz 101 befindet, ist die IP-Adresse des jeweils verantwortlichen HSS-Computers 108 gespeichert, so dass bei Beginn der Authentifikation eines Mobilfunkendgerätes 103 bei dem Heimat-Kommunikationsnetz 101 ermöglicht ist, den zuständigen HSS-Computer 108 für die Au- thentifikation zu ermitteln. Der I-CSCF-Computer 112 bildet anschaulich die"Kommunikationsschnittstelle"des besuchten Kommunikationsnetzes 102 zu dem Heimat- Kommunikationsnetz 101.

In dem besuchten Kommunikationsnetz 102 ist ein Proxy-CSCF- Computer (P-CSCF-Computer) 113 vorgesehen, der gemeinsam mit entsprechend in dem besuchten Kommunikationsnetz 102 vorhan- denen Basisstationen eine Luftschnittstelle bereitstellt zum Aufbau einer Funkverbindung 114 zu dem Mobilfunkendgerät 103, das sich in dem Bereich befindet, dem der P-CSCF-Computer 113 zugeordnet ist.

Der P-CSCF-Computer 113 ist über eine Funkverbindung oder ei- ne Festnetz-Kommunikationsverbindung 115 über eine beliebige Anzahl von weiteren Kommunikationsnetzen mit dem I-CSCF- Computer 112 des Heimat-Kommunikationsnetzes 101 verbunden.

Weiterhin sind mit dem S-CSCF-Computer 109 des Heimat- Kommunikationsnetzes 101 die Applikationsserver-Computer 106, 107 in den weiteren Kommunikationsnetzen 104,105 gekoppelt, gemäß diesem Ausführungsbeispiel mittels weiterer Funkverbin- dungen oder Festnetz-Kommunikationsverbindung 116,117. Mit- tels zusätzlicher Funkverbindungen oder Festnetz- Kommunikationsverbindung 118,119 sind die Applikationsser-

ver-Computer 106,107 mit dem Mobilfunkendgerät 103. gekop- pelt.

Gemäß diesem Ausführungsbeispiel weisen die einzelnen Compu- ter jeweils einen Mikroprozessor, einen oder mehrere Speicher sowie entsprechende Kommunikationsschnittstellen auf, so dass ein Austausch elektronischer Nachrichten zwischen den einzel- nen Computern und dem Mobilfunkendgerät 103 ermöglicht ist.

Die Computer und das Mobilfunkendgerät 103 sind ferner derart eingerichtet, dass die im Folgenden beschriebenen Verfahrens- schritte durchgeführt werden können und die im Folgenden be- schriebenen elektronischen Nachrichten gebildet, kodiert bzw. dekodiert und gesendet bzw. empfangen werden können.

Zum Bilden der elektronischen Nachrichten wird gemäß diesem Ausführungsbeispiel zumindest teilweise das Session Initiati- on Protocol (SIP) verwendet.

Damit ein Mobilfunkendgerät 103 einen von einem Applikations- server-Computer 106,107 bereitgestellten Dienst in Anspruch nehmen kann ist es erforderlich, dass eine gegenseitige Au- thentifikation zwischen dem Mobilfunkendgerät 103 und dem Heimat-Kommunikationsnetz 101 stattfindet und erfolgreich durchgeführt wird.

Zu Beginn des Verfahrens zur Authentifikation und zum Bilden und Verteilen kryptographischer Schlüssel, welche im Rahmen der Signalisierung und im Rahmen des Austauschs verschlüssel- ter elektronischer Nachrichten verwendet werden, wird von dem Mobilfunkendgerät 103, wie in dem Nachrichtenflussdiagramm 200 in Fig. 2 dargestellt ist, eine SIP-Registrierungs- Nachricht 201 an den P-CSCF-Computer 113 gesendet. Die SIP- Registrierungs-Nachricht 201 wird nach Empfang von dem P- CSCF-Computer 113 an den I-CSCF-Computer 112 in dem Heimat- Kommunikationsnetz 101 des die SIP-Registrierungs-Nachricht 201 sendenden Mobilfunkendgerätes 103 weitergeleitet. Der I-

CSCF-Computer 112 leitet die SIP-Registrierungs-Nachricht 201 ebenfalls weiter, und zwar an den zugehörigen S-CSCF-Computer 109 des Heimat-Kommuikationsnetzes 101.

Nach Erhalt der SIP-Registrierungs-Nachricht 201 wird von den S-CSCF-Computer 109 überprüft, ob das die SIP-Registrierungs- Nachricht 201 sendende Mobilfunkendgerät 103 schon in dem S- CSCF-Computer 109 registriert ist oder nicht. Ist dies nicht der Fall, dann sendet der S-CSCF-Computer 109 über die erste Kommunikationsverbindung 110 eine Cx-Authentifizierungsdaten- Anforderungsnachricht 202 an den HSS-Computer 108, mit wel- cher der S-CSCF-Computer 109 bei dem HSS-Computer 108 für das Mobilfunkendgerät 103 neue Authentifizierungsdaten anfordert.

In dem HSS-Computer 108 werden in Reaktion auf die Cx- Authentifizierungsdaten-Anforderungsnachricht 202 ein oder mehrere Sätze von Authentifizierungsdaten auf die im Folgen- den beschriebene Weise erzeugt und in einer Authentifizie- rungsdaten-Nachricht 203 an den S-CSCF-Computer 109 übertra- gen.

In einer alternativen Ausführungsform werden die Authentifi- zierungsdaten von dem S-CSCF-Computer 109 selbst erzeugt.

Von dem HSS-Computer 108, alternativ von einem Computer eines dem HSS-Computer 108 zugeordneten Authentication Center- Computer wird eine fortlaufende Sequenznummer SQN 302 erzeugt (Schritt 301).

Ferner wird in einem zusätzlichen Schritt (Schritt 303) eine Zufallszahl RAND 304 gebildet.

Ferner wird als Eingabeparameter für die im Folgenden be- schriebenen Operationen ein vorgegebenes so genanntes Authen- tication Management Field AMF 305 verwendet.

Ferner wird ein nur. dem HSS-Computer 108 (in der alternativen Ausführungsform dem S-CSCF-Computer 109) und dem Mobilfunk- endgerät 103 bekannter geheimer Schlüssel K 306 im Rahmen der im Folgenden beschriebenen Operationen verwendet.

In diesem Zusammenhang ist anzumerken, dass das Bilden eines im Folgenden beschriebenen Authentifizierungsvektors AV auch in dem S-CSCF-Computer 109 oder in einem vergleichbaren Netz- element in dem Heimat-Kommunikationsnetz 101 erfolgen kann, in welchem Fall die oben beschriebenen Größen in der jeweili- gen Rechnereinheit verfügbar sind.

Unter Verwendung des geheimen Schlüssels K 306, des Authenti- cation Management Fields AMF 305, der Sequenznummer SQN 302 und der Zufallszahl RAND 304 wird mittels einer ersten Nach- richten-Authentifikations-Funktion fl 307, wie sie beispiels- weise in [3] und [4] beschrieben ist (307) ein Message Au- thentication Code MAC 308 gebildet gemäß folgender Vor- schrift : MAC = flK (SQNIRANDIAMF). (1) Das Symbol"l"symbolisiert im Rahmen dieser Beschreibung ei- ne Konkatenation der links bzw. rechts von dem Symbol stehen- den Größen.

Die im Folgenden verwendeten Nachrichten-Authentifikations- Funktionen fl und f2 sowie die Schlüsselerzeugungs-Funktionen f3, f4, f5 sind in [3] und [4] beschrieben.

Mittels einer zweiten Nachrichten-Authentifikations-Funktion f2 309 wird unter Verwendung des geheimen Schlüssels K 306 und der Zufallszahl RAND 304 ein erwarteter Antwortwert XRES 310 gebildet : XRES = f2K (RAND). (2)

Mittels einer ersten Schlüsselerzeugungs-Funktion f3 311 wird unter Verwendung des geheimen Schlüssels K 306 und der Zu- fallszahl RAND 304 ein Übertragungsschlüssel CK 312 gemäß folgender Vorschrift gebildet : CK = f3K (RAND). (3) Ferner wird unter Verwendung einer zweiten Schlüsselerzeu- gungs-Funktion f4 313 und unter Verwendung des geheimen Schlüssels K 306 und der Zufallszahl RAND 304 ein Integri- tätsschlüssel IK 314 gebildet gemäß folgender Vorschrift : IK = f4K (RAND). (4) Mittels einer dritten Schlüsselerzeugungsfunktion f5 315 wird unter Verwendung ebenfalls des geheimen Schlüssels K 306 und der Zufallszahl RAND 304 ein Anonymitätsschlüssel AK 316 be- rechnet gemäß folgender Vorschrift : AK = f5K (RAND). (5) Von dem HSS-Computer 108 wird ferner ein Authentifizie- rungstoken AUTN 320 gebildet gemäß folgender Vorschrift : AUTN = SQN@AKIAMFlMAC (6) Die oben beschriebenen berechneten Werte, d. h. der Authenti- cation Token AUTN, der erwartete Antwortwert XRES 310, der Übertragungsschlüssel CK 312 und der Integritätsschlüssel IK 314 werden an den S-CSCF-Computer 109 übertragen.

Erfindungsgemäß wird unter Verwendung einer Schlüsselablei- tungsfunktion f 317 aus dem Übertragungsschlüssel CK 312 in dem S-CSCF-Computer 109 unter Verwendung im Weiteren be- schriebener Eingabeparameter 318 ein erster abgeleiteter Schlüssel CK1 319 auf folgende Weise gebildet.

Als Schlüsselableitungsfunktion f 317 wird gemäß einem ersten Ausführungsbeispiel der Erfindung eine Pseudo-Zufallsfunktion PRF eingesetzt, die beispielsweise auf dem Verfahren HMAC- SHA1 basiert. Die Schlüsselableitungsfunktion f 317 ist im Wesentlichen gemäß dem in [6] unter Abschnitt 5.5 spezifi- zierten Schlüsselableitungsverfahren ausgebildet.

Somit wird der erste abgeleitete Schlüssel CK1 gemäß folgen- der Vorschrift gebildet : CK1 = fK (CK|Parllrandom), (7) wobei der Eingabeparameter Pari optional ist und wobei random geeignetes Zufallsmaterial, beispielsweise gebildet gemäß folgender Vorschrift : random = RANDIAUTNIXRES, (8) ist, wobei RANDIAUTN während des Authentifikationsverfahrens gemäß [1] als eine im Folgenden beschriebene Authentifikati- ons-Anforderungsnachricht 204 an das Mobilfunkendgerät 103 übermittelt wird.

Das Mobilfunkendgerät 103 verwendet zur Bildung des Zufalls- werts random an Stelle des erwarteten Antwortwerts XRES den von ihm gebildeten Antwortwert RES.

Ein aus dem Wert RES abgeleiteter Wert wird im Rahmen des im Folgenden beschriebenen Verfahrens gemäß [1] von dem Mobil- funkendgerät 103 als Authentifikationsantwort an den S-CSCF- Computer 109 übermittelt.

Es ist in diesem Zusammenhang anzumerken, dass die Bildung der abgeleiteten kryptographischen Schlüssel in dem S-CSCF- Computer 109 erfolgen kann oder in einem vergleichbaren ge- eigneten Netzelement in dem Heimat-Kommunikationsnetz 101.

Ferner wird von dem S-CSCF-Computer 109 gemäß folgender Vor- schrift der angeforderte Authentifizierungsvektor AV 321 von dem S-CSCF-Computer 109 gebildet : AV = RANDiXRESlCKllIKlAUTN. (9) Von dem S-CSCF-Computer 109 wird die SIP-Authentifikations- Anforderungsnachricht 204 an den I-CSCF-Computer 112 übermit- telt und von diesem an den P-CSCF-Computer 113 des besuchten Kommunikationsnetzes 102 weitergeleitet. In der SIP- Authentifikations-Anforderungsnachricht 204 sind die Zufalls- zahl RAND 306, das Authentifikations-Token 320 sowie der In- tegritätsschlüssel IK enthalten. Im Gegensatz zum Authentifi- kationsverfahren gemäß [1] ist erfindungsgemäß nicht der bertragungsschlüssel CK enthalten und wird somit auch nicht dem P-CSCF-Computer in dem besuchten Kommunikationsnetz einem Nutzer übermittelt. Anstatt dessen ist in der SIP- Authentifikations-Anforderungsnachricht 204 der erste abge- leitete Schlüssel CK1 enthalten.

In dem Mobilfunkendgerät 103 wird unter Verwendung der Nach- richten-Authentifikationsfunktionen fl und f2 sowie der Schlüsselerzeugungsfunktion f3, f4 und f5 ebenfalls die oben beschriebenen Größen bildet und zur Authentifikation des be- suchten Kommunikationsnetzes 102 verwendet. Hierzu sind die Funktionen fl, f2, f3, f4 und f5 ebenfalls in dem Mobilfunk- endgerät 103 implementiert.

Ferner verfügt das Mobilfunkendgerät 103 selbstverständlich über den geheimen Schlüssel K und die Zufallszahl RAND 306.

Ferner sind. die im Folgenden beschriebenen zusätzlichen Anga- ben zu den Parametern Pari zur Bildung der abgeleiteten Schlüssel unter Verwendung der Schlüsselableitungsfunktion 317 ebenfalls in dem Mobilfunkendgerät 103 verfügbar.

Vor Weiterleiten der Authentifikations-Anforderungsnachricht 204 speichert der P-CSCF-Computer 113 den Integritätsschlüs-

sel IK 314 sowie den ersten abgeleiteten Schlüssel CK1, ent- fernt diese aus der Authentifikations-Anforderungsnachricht 204 und übermittelt eine reduzierte Authentifikations- Anforderungsnachricht 205 an das Mobilfunkendgerät 103.

Damit ist der Integritätsschlüssel IK 314 in dem P-CSCF- Computer 113 verfügbar, nicht aber in dem Mobilfunkendgerät 103.

Unter Verwendung des in dem Mobilfunkendgerät 103 wurde unter Verwendung des geheimen Schlüssels K 306 und der in dem Mo- bilfunkendgerät 103 verfügbaren Zufallszahl RAND 304 unter Verwendung der fünften und der dritten Schlüsselerzeugungs- funktion f5 315 der Anonymitätsschlüsssel AK 316 gebildet.

Unter Verwendung des ersten Feldes des Authentifikations- Tokens 320 wird unter Bildung des Inhalts des ersten Feldes (SQN @ AK) eine EXKLUSIV-ODER-Verknüpfung mit dem Anonymi- tätsschlüssel AK 316 gebildet und als Ergebnis erhält das Mo- bilfunkendgerät 103 die Sequenznummer SQN 302.

Unter Verwendung der Sequenznummer, dem in dem Authentifika- tions-Token 320 enthaltenen Authentication Management Field AMF 305, der Zufallszahl RAND 304, dem geheimen Schlüssel K 306 und der ersten Nachrichten-Authentifikationsfunktion fl 307 wird ein Endgeräte-Message Authentication Code gebildet, der mit dem in dem Authentifikations-Token 320 enthaltenen Message Authentication Code MAC 308 verglichen wird.

Stimmen diese beiden Werte miteinander überein, so ist die Authentifikation des Heimat-Kommunikationsnetzes 102 gegen- über dem Mobilfunkendgerät 103 erfolgreich und das Mobilfunk- endgerät 103 berechnet einen Antwortwert RES unter Verwendung der Zufallszahl RAND 304, dem geheimen Schlüssel K 306 und der zweiten Nachrichten-Authentifikationsfunktion f2 309 und sendet einen aus RES abgeleiteten Antwortwert in einer SIP-

Authentifikations-Antwortnachricht 206 an den P-CSCF-Computer 113, wie in [1] beschrieben.

Es ist anzumerken, dass das Mobilfunkendgerät 103 ferner un- ter Verwendung der ersten Schlüsselerzeugungsfunktion f3 311 und dem geheimen Schlüssel K 306 den Übertragungsschlüssel 312 sowie unter Verwendung der zweiten Schlüsselerzeugungs- funktion f4 313 und dem geheimen Schlüssel K 306 den Integri- tätsschlüssel IK 314 berechnet.

Die Authentifikations-Antwortnachricht 206 wird von dem P- CSCF-Computer 113 an den I-CSCF-Computer 112 und von diesem an den S-CSCF-Computer 109 weitergeleitet.

Der S-CSCF-Computer 109 neuen oder HSS-Computer 108 überprü- fen den aus RES abgeleiteten Antwortwert, indem dieser mit dem aus der erwarteten Antwort XRES in analoger Weise abge- leiteten Wert verglichen wird. Bei Übereinstimmung der beiden Werte ist die Authentifikation des Mobilfunkendgeräts 103 ge- genüber dem S-CSCF-Computer 109 erfolgreich.

Nunmehr kann auch in dem Mobilfunkendgerät 103 gemäß Vor- schrift (8) der Wert random gebildet werden und anschließend der erste abgeleitete Schlüssel CK1 gemäß Vorschrift (7).

Eine Authentifikations-Bestätigungsnachricht 207, wird von dem S-CSCF-Computer 109 an den I-CSCF-Computer 112 übermit- telt und von diesem an den P-CSCF-Computer 113 weitergelei- tet.

Die Authentifikations-Bestätigungsnachricht 208 wird an das Mobilfunkendgerät 103 übermittelt zur Bestätigung der erfolg- reichen gegenseitigen Authentifikation.

Ferner wird von dem S-CSCF-Computer 109 durch erneute Verwen- dung der Schlüsselableitungsfunktion f 317 und optional unter Verwendung eines zusätzlichen Eingabeparameters Par2 ein

zweiter abgeleiteter Schlüssel CK2 322 gebildet gemäß folgen- der Vorschrift : CK2 = fK (CK, CKl|Par2lrandom). (10) Der zweite abgeleitete Schlüssel CK2 322 wird in einer Schlüsselnachricht 209 an den Applikationsserver-Computer 106, der im Rahmen der zukünftigen Verschlüsselung den zwei- ten abgeleiteten Schlüssel CK2 322. verwendet, übertragen.

In dem Mobilfunkendgerät 103 wird in entsprechender Weise wie in dem S-CSCF-Computer 109 ebenfalls der zweite abgeleitete Schlüssel CK2 322 gebildet.

Ist im Rahmen der Kommunikation mit zusätzlichen Applikati- onsserver-Computern zusätzliches Schlüsselmaterial, d. h. zu- sätzliche abgeleitete Schlüssel erforderlich, so werden zu- sätzliche abgeleitete Schlüssel CKi (i = 1,..., n, n bezeich- net die Anzahl gebildeter abgeleiteter Schlüssel) 323,324, grundsätzlich eine beliebige Anzahl zusätzlich abgeleiteter Schlüssel gemäß folgender Vorschrift gebildet und an den je- weiligen Applikationsserver-Computer übermittelt : CKi = fK (CK, CKilParilrandom). (11) In diesem Fall kann Pari (i = 1,..., n) die Identität, bei- spielsweise die IP-Adresse, des jeweiligen Applikationsser- ver-Computers 106,107 darstellen.

Der jeweilige Parameter Pari kann ferner weitere Informatio- nen über die Verwendung des Schlüssels enthalten, beispiels- weise Informationen über die Verwendung zur Verschlüsselung oder zum Integritätsschutz, Informationen über die Richtung des Nachrichtenflusses (vom Mobilfunkendgerät 103 weg oder zum Mobilfunkendgerät 103 hin), für den der Schlüssel zum Einsatz kommen soll.

Nachdem der Integritätsschlüssel IK 314 und der Übertragungs- schlüssel CK 312 in dem Mobilfunkendgerät 103 und in dem S- CSCF-Computer 109 verfügbar sind, wird die Schlüsselablei- tungsfunktion f 317 so oft ausgeführt, bis für alle zu si- chernden Anwendungen die benötigten kryptographischen Schlüs- sel vorliegen. Dies erfolgt wie oben beschrieben sowohl im Mobilfunkendgerät 103 als auch in dem S-CSCF-Computer 109.

Anschließend werden die abgeleiteten Schlüssel beispielsweise von dem P-CSCF-Computer 113 (erster abgeleiteter Schlüssel CK1 318) zum Schutz der IMS-Nachrichten selbst und die weite- ren abgeleiteten Schlüssel 322,323, 324 einer jeweils zu si- chernden Applikation zur Verfügung gestellt bzw. für diese passend eingesetzt.

Alternativ kann eine Schlüsselsequenz erzeugt werden durch Konkatenation der einzelnen erzeugten abgeleiteten Schlüssel CK1, CK2, CKi, CKn 318,322, 323,324. Dies ist von Vorteil, wenn die abgeleiteten Schlüssel in ihrer Länge nicht den An- forderungen des verwendeten Sicherungsverfahrens entsprechen oder wenn beispielsweise zwei unidirektionale Schlüssel für eine Applikation benötigt werden.

In diesem Fall ergibt sich ein abgeleiteter Schlüssel gemäß folgender Vorschrift : KEYMAT = CKljCK2 !...) CKii... (12) Aus dieser Schlüsselsequenz KEYMAT werden dann, beginnend von links und aufeinander folgend die für die verschiedenen Ap- plikationen benötigten kryptographischen Schlüssel entnommen.

Im Folgenden werden alternative Ausführungsbeispiele zur Bil- dung der abgeleiteten Schlüssel 318,322, 323,324 angegeben.

Das folgende Ausführungsbeispiel ähnelt dem in [3] und [4] beschriebenen Verfahren MILENAGE.

Es sei random geeignetes Zufallsmaterial, gebildet beispiels- weise gemäß Vorschrift (8). Zur Bildung des Zufallswerts ran- dom wird das Verfahren gemäß dem oben beschriebenen Ausfüh- rungsbeispiel eingesetzt. Ferner wird angenommen, dass ASi-ID die Identität, beispielsweise die IP-Adresse, des Applikati- onsserver-Computers ASi für i = 1, 2,..., n bezeichnet. Es sei h eine Hash-Funktion wie beispielsweise SHA-1. Mit E wird ei- ne geeignete Blockchiffren-Verschlüssselungsfunktion mit Ein- gabewerten, Ausgabewerten und Schlüsseln jeweils von 128 Bit- länge bezeichnet. Wenn der Eingabewert x ist, der Schlüssel k ist und der Ausgabewert y ist, so wird der Ausgabewert y ge- mäß folgender Vorschrift ermittelt : y = E [x] k- (13) Ein Beispiel für eine geeignete Blockchiffren- Verschlüsselungsfunktion ist das so genannte Rijndael- Verfahren, wie beispielsweise in [4] beschrieben.

Ein 128-Bit-Wert xi wird aus der Applikationsserver-Computer- Identität und dem Ubertragungsschlüssel CK 312 gemäß folgen- der Vorschrift abgeleitet : Xi = ASi-ID C E [ASi-ID] cK- (14) Ein Zwischenwert TEMP der Länge 128 Bit wird gemäß folgender Vorschrift berechnet : TEMP = E [random C Xi] CK- (15) Ein jeweiliger abgeleiteter Schlüssel CKi wird nun wie folgt berechnet : CKi (r, c) = E [rot (TEMP @ xi. r) 03 c] cK @ xi, (16)

wobei r und c geeignete vorgebbare Konstanten sind, wie bei- spielsweise in [4] beschrieben.

Wie ebenfalls in [4] beschrieben, ist es erfindungsgemäß mög- lich, durch geeignete Wahl weiterer Konstanten r und c weite- re Schlüssel CKi (r, c) für denselben Applikationsserver- Computer abzuleiten.

Gemäß einem alternativen Ausführungsbeispiel der Erfindung, welches sich an das Schlüsselableitungsverfahren gemäß RSA PKCS#5 anlehnt, wird wiederum der Zufallswert random verwen- det, der in gleicher Weise wie gemäß dem ersten Ausführungs- beispiel ermittelt wird.

Wiederum, wie gemäß dem zweiten Ausführungsbeispiel sei ASi- ID die Identität des Applikationsserver-Computers ASi für i = 1, 2,..., n. Wiederum sei h eine Hash-Funktion wie bei- spielsweise SHA1 und mit PRF wird eine Pseudo-Zufallsfunktion bezeichnet.

Es werden folgende Werte berechnet : xo = h ("Chiffrierschlüssel für P-CSCF-Computer"), (17) xi = h (ASi-ID). für i = 1,..., n (18) Anschließend werden die abgeleiteten Schlüssel CKi gemäß fol- gender Vorschrift für i = 0, 1, 2,. .., n berechnet : CKi = F (CK, random, c, i) = Ul (i) \XOR U2 (i) \XOR... \XOR Uc (i) (19) Wobei mit c eine geeignete, geeignet vorgebbare ganze Zahl ist und U1 (i) = PRF (CK, random ! xi) (20) U2 (i) = PRF (CK, Ul (i) ) (21)

Uc (i) = PRF (CK, UC_l (i)). (22) Gemäß einer anderen alternativen Ausführungsform ist es vor- gesehen, die Vorgehensweisen gemäß dem ersten Ausführungsbei- spiel und dem zweiten Ausführungsbeispiel in folgendem Sinn miteinander zu kombinieren.

Es wird zunächst ein abgeleiteter Schlüssel CKi für den Ap- plikationsserver-Computer ASi berechnet, wie in dem zweiten Ausführungsbeispiel beschrieben. Anschließend wird die Vorge- hensweise gemäß dem ersten Ausführungsbeispiel angewendet, um weiteres Schlüsselmaterial für den Applikationsserver- Computer ASi zu erhalten, indem man den Übertragungsschlüssel CK 312 in dem ersten Ausführungsbeispiel ersetzt durch den jeweils abgeleiteten Schlüssel CKi, der aus dem Verfahren ge- mäß dem zweiten Ausführungsbeispiel erhalten wurde.

Dann ergeben sich für die zusätzlich abgeleiteten Schlüssel : CKil = f (CKi, random) (23) CKi2 = f (CKi, CKil random) (24) CKi3 = f (CKi, CKi2 random) (25) usw.

Nunmehr sind alle zur Verschlüsselung der jeweiligen Nach- richten im Rahmen der benötigten Applikationen sowohl in dem Mobilfunkendgerät 103, in dem P-CSCF-Computer 113 sowie in dem Applikationsserver-Computern 106,107 vorhanden, ohne dass der P-CSCF-Computer 113 Rückschlüsse auf die abgeleite-

ten Schlüssel CKi 318,322, 323,324 in den Applikationsser- ver-Computern 106,107 ziehen kann und umgekehrt, ohne dass die Applikationsserver-Computer 106,107 Rückschlüsse auf das in dem P-CSCF-Computer 113 gespeicherte und verwendete Schlüsselmaterial ziehen können.

Unter Verwendung der abgeleiteten Schlüssel 318,322, 323, 324 erfolgt im Folgenden die Verschlüsselung der zu übertra- genden Nutzdaten.

In diesem Dokumenten sind folgende Veröffentlichungen zi- tiert : [1] 3GPP TS 33.203 V5.3. 0-Technical Specification, 3rd Gen- eration Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Access security for IP-based services (Release 5) [2] G. Horn, D. Kröselberg, K. Müller : Security for IP multi- media services in the 3GPP third generation mobile sys- tem, Proceedings of the Third International Networking Conference INC2002, Seiten 503 bis 512, Plymouth, UK, 16. -18. Juli 2002 [3] 3GPP TS 35.205 V5.0. 0-Technical Specification, 3rd Gen- eration Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Specifi- cation of the MILENAGE Algorithm Set : An example algo- rithm set for the 3GPP authentication and key generation functions fl, fl*, f2, f3, f4, f5 and f5*, Document 1 : General (Release 5) [4] 3GPP TS 35.206 V5.0. 0-Technical Specification, 3rd Gen- eration Partnership Project, Technical Specification Group Services and System Aspects, 3G Security, Specifi- cation of the MILENAGE Algorithm Set : An example algo- rithm set for the 3GPP authentication and key generation functions fl, fl*, f2, f3, f4, f5 and f5*, Document 2 : Algorithm Specification (Release 5) [5] IST-2000-25350-SHAMAN, D13-WP1 contribution, Final technical report comprising the complete technical re- sults, specification and conclusion, Kapitel 4.7, Seiten 114 bis 122, November 2002 [6] D. Harkins und D. Carrel, The Internet Key Exchange (IKE), RFC 2409, Seiten 17 bis 19, November 1998