CN102812688B - 用于设备到设备密钥管理的方法和装置 - Google Patents
用于设备到设备密钥管理的方法和装置 Download PDFInfo
- Publication number
- CN102812688B CN102812688B CN201080065647.2A CN201080065647A CN102812688B CN 102812688 B CN102812688 B CN 102812688B CN 201080065647 A CN201080065647 A CN 201080065647A CN 102812688 B CN102812688 B CN 102812688B
- Authority
- CN
- China
- Prior art keywords
- key
- value
- security key
- equipment
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/18—Interfaces between hierarchically similar devices between terminal devices
Abstract
提供用于设备到设备密钥管理的各种方法。一个示例性方法包括:接收请求向设备到设备通信的模式改变的通信模式改变命令;和基于私密密钥和基础值生成本地设备安全密钥。所述本地设备安全密钥可被配置用于设备到设备通信中。示例性方法还可包括:接收安全密钥组合值;和使用所述本地设备安全密钥拆解所述安全密钥组合值以确定对端设备安全密钥。所述对端设备安全密钥可被配置用于设备到设备通信中。还提供类似和相关的示例性方法和示例性装置。
Description
技术领域
概括地说,本发明的实施例涉及通信,更具体地,涉及用于设备到设备密钥管理的方法和装置。
背景技术
现代的通信时代带来了无线网络的极大扩张。受到无线通信环境中的消费者需求的刺激,各种网络技术已经发展为使得计算机网络、电视网络、和电话网络等经历前所未有的扩展。无线和移动网络技术解决了相关的消费者需求,同时提供了信息传送的更加灵活性和即时性。
随着无线通信技术的不断演进,设备到设备设置中的无线通信逐渐被实践。经过设备到设备通信,物理网络不需要用于设备之间通信的管道。相反,设备(例如蜂窝设备)可彼此直接通信,例如,以减少在物理网络上的通信负载。然而,在设备到设备设置中应考虑通信安全。
发明内容
这里描述了提供设备到设备密钥管理的示例性方法和示例性装置。一个示例性方法包括:接收请求向设备到设备通信的模式改变的通信模式改变命令;基于私密密钥和基础值生成本地设备安全密钥。所述本地设备安全密钥可被配置用于设备到设备通信中。示例性方法还可包括:接收安全密钥组合值;和使用所述本地设备安全密钥拆解所述安全密钥组合值以确定对端设备安全密钥。所述对端设备安全密钥还可被配置用于设备到设备通信中。
附加的示例性实施例是配置用于设备到设备密钥管理的装置。该示例性装置包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和计算机程序代码被配置为,通过所述至少一个处理器使得所述装置执行各种功能。该示例性装置可以被致使:接收请求向设备到设备通信的模式改变的通信模式改变命令;和基于私密密钥和基础值生成本地设备安全密钥。所述本地设备安全密钥可被配置用于设备到设备通信。所述示例性装置还被使得执行:接收安全密钥组合值;使用所述本地设备安全密钥拆解所述安全密钥组合值以确定对端设备安全密钥。所述对端设备安全密钥还可被配置用于设备到设备通信中。
另一示例性实施例是一种计算机程序产品,包括上面存储有计算机程序代码的计算机可读存储介质,其中计算机程序代码的执行使得装置执行各种功能。计算机程序代码的执行可使得装置执行:接收请求向设备到设备通信的模式改变的通信模式改变命令;基于私密密钥和基础值生成本地设备安全密钥。所述本地设备安全密钥可被配置用于设备到设备通信。计算机程序代码的执行还可使得所述装置执行:接收安全密钥组合值;使用所述本地设备安全密钥拆解所述安全密钥组合值以确定对端设备安全密钥。所述对端设备安全密钥还可被配置用于设备到设备通信中。
另一示例性装置包括:接收请求向设备到设备通信的模式改变的通信模式改变命令的部件;基于私密密钥和基础值生成本地设备安全密钥的部件。所述本地设备安全密钥可被配置用于设备到设备通信。所述示例性装置还可包括:接收安全密钥组合值的部件;使用所述本地设备安全密钥拆解所述安全密钥组合值以确定对端设备安全密钥的部件。所述对端设备安全密钥还可被配置用于设备到设备通信中。
另一示例性方法可包括:基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥,所述第一安全密钥被配置用于从第一设备的设备到设备通信中。示例性方法还可包括:基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥,所述第二安全密钥被配置用于从第二设备的设备到设备通信中。示例性方法还可包括:组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值;和使得发送所述安全密钥组合值。
另一示例性装置包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和计算机程序代码被配置为,通过所述至少一个处理器使得示例性装置执行各种功能。所述示例性装置可被致使执行:基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥,所述第一安全密钥被配置用于从第一设备的设备到设备通信中。还可使得示例性装置执行:基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥,所述第二安全密钥被配置用于从第二设备的设备到设备通信中。此外,可使得示例性装置执行:组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值;和使得所述安全密钥组合值的发送。
另一示例性实施例是一种计算机程序产品,包括上面存储有计算机程序代码的计算机可读存储介质,其中计算机程序代码的执行使得装置执行各个功能。计算机程序代码的执行可使得装置执行:基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥,所述第一安全密钥被配置用于从第一设备的设备到设备通信中。计算机程序代码的执行还可使得装置执行:基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥,所述第二安全密钥被配置用于从第二设备的设备到设备通信中。此外,计算机程序代码的执行还可使得装置执行:组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值;和使得发送所述安全密钥组合值。
另一示例性装置包括:基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥的部件,所述第一安全密钥被配置用于从第一设备的设备到设备通信中。示例性装置还可包括:基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥的部件,所述第二安全密钥被配置用于从第二设备的设备到设备通信中。示例性装置还可包括:组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值的部件;和使得发送所述安全密钥组合值的部件。
另一示例性方法可包括:生成用于确定第一安全密钥的第一基础值,所述第一安全密钥用于从第一设备的设备到设备通信;生成用于确定第二安全密钥的第二基础值,所述第二安全密钥用于从第二设备的设备到设备通信;使得向第一设备和第二设备发送带有第一基础值和第二基础值的通信模式改变命令;使得向密钥管理网络实体发送第一基础值和第二基础值;从密钥管理网络实体接收安全密钥组合值。所述安全密钥组合值可以是第一安全密钥和第二安全密钥的组合。示例性方法还可包括:使得向第一设备和第二设备发送安全密钥组合值。
另一示例性装置包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和计算机程序代码被配置为,通过所述至少一个处理器使得示例性装置执行各种功能。所述示例性装置可以被致使执行:生成用于确定第二安全密钥的第二基础值,所述第二安全密钥用于从第二设备的设备到设备通信;使得向第一设备和第二设备发送带有第一基础值和第二基础值的通信模式改变命令;使得向密钥管理网络实体发送第一基础值和第二基础值;从密钥管理网络实体接收安全密钥组合值。所述安全密钥组合值可以是第一安全密钥和第二安全密钥的组合。还可以使得示例性装置执行:使得向第一设备和第二设备发送安全密钥组合值。
另一示例性实施例是一种计算机程序产品,包括上面存储有计算机程序代码的计算机可读存储介质,其中计算机程序代码的执行使得装置执行各个功能。计算机程序代码的执行可使得装置执行:生成用于确定第二安全密钥的第二基础值,所述第二安全密钥用于从第二设备的设备到设备通信;使得向第一设备和第二设备发送带有第一基础值和第二基础值的通信模式改变命令;使得向密钥管理网络实体发送第一基础值和第二基础值;从密钥管理网络实体接收安全密钥组合值。所述安全密钥组合值可以是第一安全密钥和第二安全密钥的组合。计算机程序代码的执行还可以使得装置执行:使得向第一设备和第二设备发送安全密钥组合值。
另一示例性装置包括:生成用于确定第一安全密钥的第一基础值的部件,所述第一安全密钥用于从第一设备的设备到设备通信;生成用于确定第二安全密钥的第二基础值的部件,所述第二安全密钥用于从第二设备的设备到设备通信;使得向第一设备和第二设备发送带有第一基础值和第二基础值的通信模式改变命令的部件;使得向密钥管理网络实体发送第一基础值和第二基础值的部件;从密钥管理网络实体接收安全密钥组合值的部件。所述安全密钥组合值可以是第一安全密钥和第二安全密钥的组合。示例性装置还可包括:使得向第一设备和第二设备发送安全密钥组合值的部件。
附图说明
因此,已经一般地描述了本发明,现在将参照附图,附图不一定按比例绘制,并且在附图中:
图1示出根据本发明示例性实施例的通信系统;
图2示出根据本发明示例性实施例的用于设备到设备密钥管理的流程图和信令图;
图3示出根据本发明另一示例性实施例的用于设备到设备密钥管理的流程图和信令图;
图4示出根据本发明另一示例性实施例的用于设备到设备密钥管理的流程图和信令图;
图5示出根据本发明示例性实施例的用于设备到设备密钥管理的装置和相关系统的框图;
图6示出根据本发明示例性实施例的配置用于设备到设备密钥管理的移动终端的框图;和
图7示出根据本发明示例性实施例的用于设备到设备密钥管理的方法的流程图;
图8示出根据本发明示例性实施例的用于设备到设备密钥管理的另一方法的流程图;和
图9示出根据本发明示例性实施例的用于设备到设备密钥管理的另一方法的流程图。
具体实施方式
现在参照附图更加完整地描述本发明的实施例,其中示出一些但并非所有本发明实施例。当然,本发明可通过许多不同形式实现,并且不应该理解为这里阐述的实施例的限制;相反,提供这些实施例,从而本发明将满足适用的法律需求。其中类似标号指的是类似元素。这里,可交替使用术语“数据”、“内容”、“信息”和类似术语,以表示根据本发明实施例能够发送、接收、运行、和/或存储的数据。
此外,如这里所使用的,术语‘电路’指代(a)仅硬件的电路实现方式(例如仅在模拟电路和/或数字电路中的实现方式);(b)电路和软件(和/或固件)的结合,例如(如可应用的那样):(i)(一个或多个)处理器的结合;(ii)(一个或多个)处理器/软件的一部分(包括数字信号处理器)、软件和存储器,一起工作以使诸如移动电话或服务器的装置执行各种功能;以及(c)电路(例如微处理器或者微处理器的一部分),即使软件或者固件在物理上不存在,这些电路仍然需要软件或者固件以用于操作。
将“电路”的这种定义应用于在此对这一术语的所有使用(包括在任何权利要求中)。如进一步实例,如这里所用的,术语‘电路’也包括一种实现方式,所述实现方式包括仅仅一个或者多个处理器和/或处理器的一部分以及附带软件和/或固件。如另一实例,如果使用的话,术语“电路”也例如包括用于移动电话的基带集成电路或者应用处理器集成电路,或者在服务器、蜂窝网络设备或其他网络设备中的类似集成电路。
本发明的各个示例性实施例旨在设备到设备(D2D)通信的环境下生成、共享、和利用安全密钥。D2D通信可实现于,例如,蜂窝网络,例如基于长期演进(LTE)的网络中。D2D通信中,可由无线设备在物理层直接向或从彼此提供和接收传输,而不使用接入点或基站(例如演进NodeB(eNB))作为通信的管道。
LTE网络中的D2D通信的实例涉及经由LTE资源的机器到机器(M2M)通信的实现。在示例性情形下,设备或移动终端可连接至LTE网络,但是也可用作机器、传感器等的路由器,其配备有LTE无线电但没有被连接至例如演进UMTS(通用移动电信系统)陆地无线电接入网络(e-UTRAN)空中接口。机器或传感器可在例如LTE下利用D2D通信,以通过设备或移动终端获得对于LTE网络的接入。
LTE环境下,可使用加密的或安全化的连接在空中接口上发送控制和用户平台数据。由此,可经过使用用户装备(UE)(例如,移动终端)特定的和相应网络侧的安全或加密密钥,来实现加密或安全化。密钥可从私密或根密钥(例如,接入安全管理实体密钥(KASME),即,仅UE和移动性管理实体(MME)/归属订户服务器(HSS)已知)来生成。在非D2D通信方案中,为了安全性的目的,不在空中接口上发送加密密钥。
为了以安全的方式支持D2D通信,可实现类似的技术。例如,每个D2D设备可为自身和为另一设备生成或获取安全密钥,并使用其自身D2D安全密钥加密通信,同时还使用其他设备的D2D安全密钥解密由另一设备提供的通信。然而,根据一些示例性实施例,为了安全性的目的,每个不同UE可生成或获得另一设备的D2D安全密钥,而无需在空中接口上发送D2D安全密钥。由此,本发明的各个示例性实施例描述了用于共享D2D安全密钥的机制,同时还避免经过空中接口发送D2D安全密钥。
图1示出示例性通信系统100。系统100可支持经由e-UTRAN和D2D连接的LTE通信环境。通信系统100包括:移动性管理实体(MME)110、演进NodeB(eNB120)、和移动终端150a和150b。MME110可以是例如执行密钥控制的在LTE网络中的节点(例如服务器)。一些示例性实施例中,MME110还执行或促进用户认证的执行,执行UE(例如移动终端150)的空闲模式跟踪,执行用于重发的寻呼过程,促进载波的激活和去激活,并在初始附连和涉及核心网络节点重定位的切换期间选择用于UE的服务网关。MME110也可以是处理安全密钥管理的一个类型的密钥管理网络实体。eNB120可以是提供经由例如e-UTRAN的空中接口到蜂窝网络的接入的无线接入点的实例。eNB120可操作支持由移动终端150a和150b到LTE网络的连接。移动终端150可以是被配置为支持例如蜂窝和D2D通信的UE的实例。在通信网络100中,移动终端150a被表示为具有与eNB120的网络连接125a和与移动终端150b的D2D连接175。类似地,移动终端150b被表示为具有与eNB120的网络连接125b和与移动终端150a的D2D连接175。
图2-4以包含MME110、eNB120、和移动终端150的操作的流程信令图的形式示出本发明的各个示例性实施例。在这一点,图2-4中所述的示例性实施例被配置为支持D2D安全密钥的生成和共享,在一些示例性实施例中,而无需经由空中接口发送D2D安全密钥。
图2示出用于D2D密钥管理的一个示例性实施例,其中MME分发用于共享对端D2D安全密钥的信息。在205,eNB120向移动终端150发送通信模式改变命令(在单独或共享的消息中)以触发移动终端150转换至D2D通信会话,并且例如,开始建立D2D连接175。根据一些示例性实施例,移动终端可从蜂窝连接转换至D2D连接。可通过无线电资源控制(RRC)重配置命令的形式由eNB120提供通信模式改变命令。
响应于模式改变命令,在210a和210b,移动终端150可被配置为生成基础值,并使用基础值生成各自的D2D安全密钥。在这点上,移动终端150a可被配置为生成基础值a,其可以是随机或伪随机数,并使用私密密钥(例如KASME,a)和基础值a实现密钥导出函数,以生成用于从移动终端150a发起的D2D通信的D2D安全密钥a(KD2D,a)。一些示例性实施例中,私密密钥可以是特定UE唯一的,但是由UE和MME已知。类似地,移动终端150b可被配置为生成基础值b,其可以是随机或伪随机数,并使用私密密钥(例如KASME,b)和基础值b实现密钥导出函数,以生成用于从移动终端150b发起的D2D通信的D2D安全密钥b(KD2D,b)。
在215a和215b,移动终端150可被配置为向MME110发送他们各自的基础值。基础值的传输可以作为安全化消息和/或经由每个移动终端150和MME110之间的安全化连接发送至MME110。一些示例性实施例中,为了安全的原因,向MME110仅发送基础值,而并非D2D安全密钥。根据一些示例性实施例,基础值的传输可由eNB120接收,并且eNB120可被配置为向MME110通知包括基础值的到来消息。或者,包括基础值的消息还可包括正在准备D2D连接的指示(例如,数据指示)。在一些示例性实施例中,包括基础值的消息还可包括哪个UE将被包含在D2D连接中的指示。
响应于接收基础值,MME110可被配置为,在220,例如经由密钥导出函数同使用与移动终端使用的相同的私密密钥(例如,KASME,n其中n指示UE)来生成D2D安全密钥a和D2D安全密钥b。MME110还可被配置为,在225,组合D2D安全密钥a和D2D安全密钥b,以生成或确定D2D安全密钥组合值。根据一些示例性实施例,组合D2D安全密钥a和D2D安全密钥b的过程可包括关于安全密钥执行异或运算。在230a和230b,MME110可被配置为向移动终端150发送D2D安全密钥组合值。由此,根据一些示例性实施例,MME110可经由到每个相应移动终端150的单独的、安全化的连接,来分开地向每个移动终端150发送D2D安全密钥组合值。
响应于接收D2D安全密钥组合值,移动终端150可被配置为,在235a和235b,拆解D2D安全密钥组合值以确定对端设备的D2D安全密钥。在这点上,移动终端150a可例如使用其自身的D2D安全密钥a拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥(例如,移动终端150b的D2D安全密钥b)。类似地,移动终端150b可例如使用其自身的D2D安全密钥b拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥(例如,移动终端150a的D2D安全密钥a)。为了拆解D2D安全密钥组合值,移动终端150可被配置为使用移动终端的自身(本地)安全密钥对D2D安全密钥组合值执行异或运算,以确定对端设备的D2D安全密钥。根据一些示例性实施例,在MME110和移动终端150处执行的异或运算允许与D2D安全密钥相关的信息以只要设备具有在组合处理中使用的D2D安全密钥就可被解码的方式,在空中接口上发送。
结果,每个移动终端150可具有其自身的D2D安全密钥和对端设备的D2D安全密钥,而不必在空中接口上发送安全密钥。由此,移动终端150,在240,可使用D2D安全密钥进行通信。在这点上,移动终端可使用其本地D2D安全密钥来加密发出的通信,并使用对端设备的D2D安全密钥解密来自对端设备的到来的通信。
图3示出用于D2D密钥管理的另一示例性实施例,其中eNB分发用于共享对端D2D安全密钥的信息。在300,响应于将移动终端150转换到D2D连接的决定,eNB120可被配置为生成基础值(例如基础值a和基础值b),其可以是随机或伪随机数。eNB120可被配置为,随后在305a和305b,分别向移动终端150a发送基础值a,向移动终端150b发送基础值b。基础值可通过通信模式改变命令来发送,以触发移动终端150转换到D2D通信会话,并且例如,开始建立D2D连接175。根据一些示例性实施例,移动终端可从蜂窝连接转换至D2D连接。通信模式改变命令可由eNB120以无线电资源控制(RRC)重配置命令的形式提供。此外,模式改变命令可被提供在对于每个移动终端150的单独的消息中。
eNB120还可以在310,向MME110发送基础值。响应于接收基础值,MME110可被配置为,在320,例如经由密钥导出函数,通过使用与移动终端使用的相同的私密密钥(例如,KASME,n)来生成D2D安全密钥a和D2D安全密钥b。MME110还可被配置为,在325,组合D2D安全密钥a和D2D安全密钥b以生成或确定D2D安全密钥组合值。根据一些示例性实施例,组合D2D安全密钥a和D2D安全密钥b的过程可包括对安全密钥执行异或运算。在330,MME110可被配置为向eNB120发送D2D安全密钥组合值。
移动终端150还可被配置为,生成他们各自的D2D安全密钥。响应于模式改变命令,移动终端150可被配置为使用由eNB120提供的基础值,在315a和315b,分别生成各自的D2D安全密钥。在这点上,移动终端150a可被配置为使用私密密钥(例如KASME,a)和基础值a(其可以是随机或伪随机数)实现密钥导出函数,并且生成用于从移动终端150a发起的D2D通信的D2D安全密钥a(KD2D,a)。在一些示例性实施例中,私密密钥可以对特定UE是唯一的,但是由UE和MME已知的。类似地,移动终端150b可被配置为使用私密密钥(例如KASME,b)和基础值b(其可以是随机或伪随机数)实现密钥导出函数,和生成用于从移动终端150b发起的D2D通信的D2D安全密钥b(KD2D,b)。
响应于接收D2D安全密钥组合值,在335a和335b,eNB120可被配置为向移动终端150发送D2D安全密钥组合值。在这点上,根据一些示例性实施例,eNB120可经由针对每个相应移动终端150的单独的、安全化的连接,分开地向每个移动终端150发送D2D安全密钥组合值。
响应于接收D2D安全密钥组合值,移动终端150可被配置为,在340a和340b,拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥。在这点上,移动终端150a可例如使用其自身的D2D安全密钥拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥(例如,移动终端150b的D2D安全密钥)。类似地,移动终端150b可例如使用其自身的D2D安全密钥拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥(例如,移动终端150a的D2D安全密钥)。为了拆解D2D安全密钥组合值,移动终端150可被配置为使用移动终端的自身(本地)安全密钥对D2D安全密钥组合值执行异或运算,以确定对端设备的D2D安全密钥。根据一些示例性实施例,在MME110和移动终端150处执行的异或运算允许与D2D安全密钥相关的信息以只要设备具有在组合处理中使用的D2D安全密钥就可被解码的方式,在空中接口上发送。
结果,每个移动终端150可具有其自身的D2D安全密钥和对端设备的D2D安全密钥,而不必在空中接口上发送安全密钥。由此,移动终端150,在350,可使用D2D安全密钥进行通信。在这点上,移动终端可使用其本地D2D安全密钥来加密发出的通信,而使用对端设备的D2D安全密钥解密来自对端设备的到来的通信。
图4示出用于D2D密钥管理和信令中的简化的另一示例性实施例,其中eNB分发用于共享对端D2D安全密钥的信息。在400,eNB120确定移动终端150应转换至D2D连接,并且eNB120向MME110发送针对D2D安全密钥的请求。响应于来自eNB120的请求,在405,MME110可被配置为生成基础值(例如基础值a和基础值b),其可以是随机或伪随机数。在410,MME110可被配置为例如经由密钥导出函数,使用与移动终端使用的相同的私密密钥(例如,KASME,n)来生成D2D安全密钥a和D2D安全密钥b。MME110还可被配置为,在415,组合D2D安全密钥a和D2D安全密钥b以生成或确定D2D安全密钥组合值。根据一些示例性实施例,组合D2D安全密钥a和D2D安全密钥b的过程可包括对安全密钥执行异或运算。在420,MME110可被配置为向eNB120发送D2D安全密钥组合值。
响应于接收D2D安全密钥组合值,在425a和425b,eNB120可被配置为向移动终端150发送D2D安全密钥组合值和相应的基础值。在这点上,根据一些示例性实施例,在425a,eNB120可通过通信模式改变命令(例如RRC消息)经由单独的、安全化的连接向移动终端150a发送基础值a和D2D安全密钥组合值。在425b,根据一些示例性实施例,eNB120可通过通信模式改变命令(例如RRC消息)经由单独的、安全化的连接向移动终端150b发送基础值b和D2D安全密钥组合值。通信模式改变命令可触发移动终端150转换至D2D通信会话,并且例如开始建立D2D连接175。根据一些示例性实施例,移动终端可从蜂窝连接转换至D2D通信。
响应于在425a和425b接收消息,移动终端150可被配置为生成他们各自的D2D安全密钥。在这点上,移动终端150可被配置为使用eNB120提供的基础值,在430a和430b分别生成各自的D2D安全密钥。移动终端150a可被配置为使用私密密钥(例如KASME,a)和基础值a(其可以是随机或伪随机数)实现密钥导出函数,并生成用于从移动终端150a发起的D2D通信的D2D安全密钥a(KD2D,a)。一些示例性实施例中,私密密钥可以是特定UE唯一的,但是为UE和MME所知。类似地,移动终端150b可被配置为使用私密密钥(例如KASME,b)和基础值b(其可以是随机或伪随机数)实现密钥导出函数,并生成用于从移动终端150b发起的D2D通信的D2D安全密钥b(KD2D,b)。
在435a和435b,移动终端150还可被配置为拆解D2D安全密钥组合值以确定对端设备的D2D安全密钥。在这点上,移动终端150a可例如使用其自身的D2D安全密钥a拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥(例如,移动终端150b的D2D安全密钥b)。类似地,移动终端150b可例如使用其自身的D2D安全密钥b拆解D2D安全密钥组合值,以确定对端设备的D2D安全密钥(例如,移动终端150a的D2D安全密钥a)。为了拆解D2D安全密钥组合值,移动终端150可被配置为使用移动终端的自身(本地)安全密钥对D2D安全密钥组合值执行异或运算,以确定对端设备的D2D安全密钥。根据一些示例性实施例,在MME110和移动终端150处执行的异或运算允许与D2D安全密钥相关的信息以只要设备具有在组合处理中使用的D2D安全密钥就可被解码的方式,在空中接口上发送。
结果,每个移动终端150可具有其自身的D2D安全密钥和对端设备的D2D安全密钥,而不必在空中接口上发送安全密钥。由此,移动终端150,在440,可使用D2D安全密钥进行通信。在这点上,移动终端可使用其本地D2D安全密钥来加密发出的通信,和使用对端设备的D2D安全密钥解密来自对端设备的到来的通信。
以上提供的和这里一般地的描述示出了用于设备到设备密钥管理的示例性方法、示例性装置、和示例性计算机程序产品。图5示出被配置为执行这里所述的各个功能的示例性装置,例如关于密钥管理网络实体(例如MME110)、接入点(例如eNB120)、或终端(例如移动终端150)的操作和配置如通过图1-4所描述的那些。图6可被配置为根据移动终端150之一操作。
现在参照图5,将本发明的示例性实施例表示为装置500。经过D2D密钥管理器540的不同配置,装置500可被配置为执行密钥管理网络实体(例如MME110)、接入点(例如eNB120)、终端(例如移动终端150)、或其组合的功能。装置500可实现为具有有线或无线通信功能的通信设备,或作为组件被包括在具有有线或无线通信功能的通信设备中。在一些示例性实施例中,装置500可以是例如固定或移动通信终端的通信设备的一部分。作为固定通信终端,装置500可以是或实现为服务器、计算机、接入点(基站)、通信交换设备等。作为移动设备,装置500可以是移动和/或无线通信节点,例如,移动和/或无线服务器、计算机、接入点、通信交换设备、手持设备(例如电话、便携式数字助理(PDA)、移动电视、游戏设备、相机、视频记录器、音频/视频播放器、无线电、和/或全球定位系统(GPS)设备)、上述任意组合等。不管通信设备的类型,装置500还可包括计算功能。
装置500可包括处理器505、存储器设备510、输入/输出(I/O)接口506、通信接口515、和D2D密钥管理器540或与处理器505、存储器设备510、输入/输出(I/O)接口506、通信接口515、和D2D密钥管理器540通信。处理器505可实现为用于实现本发明的示例性实施例的各种功能的各种装置,包括例如,微处理器、协处理器、控制器、专用集成电路,例如ASIC(专用集成电路)、FPGA(现场可编程门阵列)、或硬件加速器、处理电路等。根据一个示例性实施例,处理器505可代表多个处理器、或一个或多个协同运行的多核处理器。此外,处理器505可包括多个晶体管、逻辑门、时钟(例如振动器)、其他电路等,以促进这里所述的功能的执行。处理器可包括,但不需要包括一个或多个伴随的数字信号处理器。在一些示例性实施例中,处理器505被配置为执行存储设备510中存储的指令或处理器505可访问的指令。处理器505可被配置为运行,从而处理器使得装置500执行这里所述的各个功能。
无论配置为硬件或经由计算机可读存储介质上存储的指令,或通过其组合,处理器505可以是能够在由此配置时执行根据本发明实施例的操作的实体。因此,在处理器505实现为ASIC、FPGA等或实现为ASIC、FPGA等的一部分的示例性实施例中,处理器505被特别地配置为用于进行这里所述的操作的硬件。或者,在处理器505实现为计算机可读存储介质上存储的指令的执行器的示例性实施例中,指令特别地配置处理器505执行这里所述的算法和操作。在一些示例性实施例中,处理器505为配置用于通过处理器505的其他配置经过用于执行这里所述的算法、方法和操作而执行的指令实现本发明的示例性实施例的特定设备(例如通信服务器)的处理器。
存储器设备510可以是计算机可读存储介质,可包括易失性和/或非易失性存储器。在一些示例性实施例中,存储器设备510可包括随机存取存储器(RAM),包括动态和/或静态RAM,片上或片下高速缓存存储器和/或其他。此外,存储器设备510可包括非易失性存储器,其可被嵌入和/或可移除,以及可包括例如只读存储器、闪速存储器、磁存储设备(例如硬盘、软盘驱动器、磁带等)、光盘驱动器和/或介质、非易失性随机存取存储器(NVRAM)、和/或其他。存储器设备510可包括用于数据的临时存储的高速缓存区。由此,一些或所有存储器设备510可包括在处理器205中。
此外,存储器设备510可被配置为存储信息、数据、应用、计算机可读程序代码指令等,用于使得处理器505和装置500执行根据本发明示例性实施例的各个功能。例如,存储器设备510可被配置为缓冲存储用于处理器505处理的输入数据。此外,或备选地,存储器设备510可被配置为存储由处理器505执行的指令。
I/O接口506可以是在配置为将处理器505与其他电路或设备(如通信接口515)对接的以硬件、软件、或硬件和软件的组合来实现的任意设备、电路、或部件。在一些示例性实施例中,处理器505可经过I/O接口506与存储器510对接。I/O接口506可被配置为将信号和数据转换成可由处理器505解释的形式。I/O接口506还可执行输入和输出的缓存用以支持处理器505的操作。根据一些示例性实施例,处理器505和I/O接口506可组合到单独芯片或集成电路中,配置为执行或使得装置500执行本发明的各个功能。
通信接口515可以是在硬件、计算机程序产品、或硬件和软件的组合中实现的任意设备或装置,其被配置为从与装置500通信的网络520和/或任意其他设备或模块接收和/或向其发送数据。通信接口可被配置为经过任意类型的有线或无线连接,和经过任意类型的通信协议(例如支持蜂窝通信的通信协议)来传送信息。根据各个示例性实施例,通信接口515可被配置为支持蜂窝网络中的通信的发送和接收,例如,在使用如演进UMTS(通用移动电信系统)陆地无线电接入网络(e-UTRAN)空中接口的长期演进(LTE)环境。在这点上,通信接口515可被配置为支持例如基于LTE网络中的设备到设备通信。处理器505还可被配置为例如通过控制通信接口515中包括的硬件来促进经过通信接口的通信。在这点上,通信接口515可包括例如,通信驱动器电路(例如经过如光纤连接支持有线通信的电路)、一个或多个天线、发射器、接收器、收发器和/或支持硬件,包括例如用于使能通信的处理器。经过通信接口515,示例性装置500可以按照设备到设备方式和/或经过基站、接入点、服务器、网关、路由器等经由间接通信,与各个其他网络实体通信。
示例性装置500的D2D密钥管理器540可以是部分地或整体地以硬件、计算机程序产品、或硬件和计算机程序产品的组合实现的任意装置或设备,例如,实现所存储的指令以配置示例性装置500的处理器505、存储配置为执行这里所述的功能的可执行程序代码指令的存储器设备510、或配置为执行这里所述的D2D密钥管理器540的功能的硬件配置的处理器505。在示例性实施例中,处理器505包括或控制D2D密钥管理器540。D2D密钥管理器540可以部分地或整体地实现为处理器,类似于处理器505,或与处理器505分离。在这点上,D2D密钥管理器540可与处理器505通信。各个示例性实施例中,D2D密钥管理器540可部分地或整体地驻留在不同装置上,从而D2D密钥管理器540的一些或全部功能可通过第一装置执行,D2D密钥管理器540的剩余功能可通过一个或多个其他装置执行。
根据各个示例性实施例,D2D密钥管理器540可被配置为执行关于图1-4所述的功能,或使得装置500执行关于图1-4所述的功能。在这点上,例如,基于D2D密钥管理器540的配置,装置500可被配置为执行密钥管理网络实体(例如MME110)、接入点(例如eNB120)、或终端(例如移动终端150)的功能。
此外,装置500和处理器505可被配置为经由D2D密钥管理器540执行以下功能。在这点上,D2D密钥管理器540可被配置为使得处理器505和/或装置500执行各个功能,例如图7-9的流程图中所示和这里一般所述。
例如,参照图7,当D2D密钥管理器540被配置为使得装置500作为终端(例如移动终端150)操作时,D2D密钥管理器540可被配置为执行以下功能。D2D密钥管理器540可被配置为,在700,接收请求向设备到设备通信的模式改变的通信模式改变命令。D2D密钥管理器540还可被配置为,在710,基于私密密钥和基础值生成本地设备安全密钥。所述本地设备安全密钥被配置用于设备到设备通信中。D2D密钥管理器540还可被配置为,在720,接收安全密钥组合值;以及,在730,使用所述本地设备安全密钥拆解所述安全密钥组合值以确定对端设备安全密钥。所述对端设备安全密钥被配置用于设备到设备通信中。
根据一些示例性实施例,D2D密钥管理器540可被配置为,基于私密密钥和基础值生成本地设备安全密钥,其中所述基础值是随机或伪随机数。此外,一些示例性实施例中,D2D密钥管理器540可被配置为,生成或接收基础值(例如,可从移动性管理实体接收基础值),和使得基础值发送至密钥管理网络实体(其可以是移动性管理实体)。一些示例性实施例中,D2D密钥管理器540可被配置为,对所述安全密钥组合值实施异或运算以确定对端设备安全密钥。此外,一些示例性实施例中,D2D密钥管理器540可被配置为,经由发送实体和接收实体之间的专用、安全连接接收安全密钥组合值。根据一些示例性实施例,在共同消息中接收通信模式改变命令、基础值、和安全密钥组合值;或根据一些示例性实施例,可以在单独针对接收实体的共同消息中接收通信模式改变命令和基础值。D2D密钥管理器540还可被配置为,使用所述本地设备安全密钥加密发出的设备到设备通信,和使用所述对端设备安全密钥解密到来的设备到设备通信。
此外,例如,参照图8,当D2D密钥管理器540被配置为使得装置500作为密钥管理网络实体(例如MME110)操作时,D2D密钥管理器540可被配置为执行以下功能。在这点上,D2D密钥管理器540可被配置为,在800,基于第一基础值和用于第一设备(例如移动终端150a)的第一私密密钥生成用于第一设备的第一安全密钥。所述第一安全密钥被配置用于从第一设备的设备到设备通信中。D2D密钥管理器540还可被配置为,在810,基于第二基础值和用于第二设备(例如移动终端150b)的第二私密密钥生成用于第二设备的第二安全密钥。所述第二安全密钥也可被配置用于从第二设备的设备到设备通信中。D2D密钥管理器540还可被配置为,在820,组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值;以及在830,使得所述安全密钥组合值的发送。
一些示例性实施例中,D2D密钥管理器540可被配置为,基于第一基础值生成第一安全密钥和基于第二基础值生成第二安全密钥,其中所述第一基础值是与第一设备相关联的第一随机或伪随机数,所述第二基础值是与第二设备相关联的第二随机或伪随机数。一些示例性实施例中,D2D密钥管理器540可被配置为,从第一设备接收第一基础值,和从第二设备接收第二基础值。或者,一些示例性实施例中,D2D密钥管理器540可被配置为,生成第一基础值和第二基础值。此外,一些示例性实施例中,D2D密钥管理器540可被配置为,通过异或运算组合第一安全密钥和第二安全密钥。根据一些示例性实施例,D2D密钥管理器540可被配置为,使得向用于拆解的第一设备和第二设备、或向接入点发送所述安全密钥组合值。一些示例性实施例中,D2D密钥管理器540可被配置为,接收对于第一安全密钥和第二安全密钥的请求;和使得向接入点发送第一基础值、第二基础值、和安全密钥组合值。
此外,例如,参照图9,当D2D密钥管理器540被配置为使得装置500作为接入点(例如eNB120)时操作,D2D密钥管理器540可被配置为执行以下功能。在这点上,D2D密钥管理器540可被配置为,在900,生成用于确定第一安全密钥的第一基础值,所述第一安全密钥用于从第一设备的设备到设备通信;在910,生成用于确定第二安全密钥的第二基础值,所述第二安全密钥用于从第二设备的设备到设备通信;和在920,使得向第一设备和第二设备发送带有第一基础值和第二基础值的通信模式改变命令。此外,D2D密钥管理器540可被配置为,在930,使得向密钥管理网络实体发送第一基础值和第二基础值;和从密钥管理网络实体接收安全密钥组合值,所述安全密钥组合值是第一安全密钥和第二安全密钥的组合。此外,D2D密钥管理器540可被配置为,在950,使得向第一设备和第二设备发送安全密钥组合值。
一些示例性实施例中,D2D密钥管理器540可被配置为,使得在针对第一设备单独的消息中发送带有第一基础值的第一通信模式改变命令,和使得在针对第二设备单独的消息中发送带有第二基础值的第二通信模式改变命令。此外,一些示例性实施例中,D2D密钥管理器540还可被配置为,使得将安全密钥组合值经由与第一设备的专用和安全连接来发送,和使得将安全密钥组合值经由与第二设备的专用和安全连接来发送。
现在参照图6,提供根据本发明的各个实施例的更具体的示例性装置。图6的示例性装置为配置为在无线网络(例如蜂窝通信网络)中通信的移动终端10。移动终端10可被配置为执行这里所述的移动终端150和/或装置500的功能。更具体地,可使得移动终端10经由处理器20执行关于图1-4和图7中的移动终端150所述的功能。处理器20可以是类似于处理器205以及例如I/O接口506的集成电路或芯片。此外,易失性存储器40和非易失性存储器42可配置为作为计算机可读存储介质支持处理器20的操作。
移动终端10还可包括天线12、发射器14、和接收器16,其可包括为移动终端10的通信接口的一部分。扬声器24、麦克风26、显示器28(可以是触摸屏显示器)、和键板30可包括为用户接口的一部分。
图2-4和7-9示出根据本发明的示例性实施例的示例性系统、方法、和/或计算机程序产品的流程图。可理解,流程图中的每个操作、和/或流程图中的操作的组合可通过各个部件实现。实现流程图中的操作、和/或流程图中的操作的组合、或本发明实例实施例的其他功能的部件可以包括硬件、和/或计算机程序产品,其包括存储一个或多个计算机程序代码指令、程序指令、或可执行计算机可读程序代码指令的计算机可读存储介质(而不是描述传输信号的计算机可读传输介质)。在这点上,执行图2-4和7-9的操作和功能的程序代码指令可存储在示例性装置(例如示例性装置500或移动终端10)的存储器设备(例如存储器设备510、易失性存储器40、或非易失性存储器42)上,并通过处理器(例如处理器505或处理器20)执行。可理解,任意这样的程序代码指令可以从计算机可读存储介质加载到计算机或其他可编程装置(例如处理器505、存储器设备510等)上,以生成特定机器,从而特定机器变为实现流程图的操作中指定的功能的部件。这些程序代码指令还存储在计算机可读存储介质中,其指示计算机、处理器、或其他可编程装置以通过特定方式使用,从而生成特定机器或特定制品。这些计算机程序代码还可以存储在计算机可读存储介质中,其指示计算机、处理器或其他可编程装置以特定方式作用,由此生成特定机器或特定制品。计算机可读存储介质中存储的指令可生成制品,其中制品变为实现流程图的操作中指定的功能的部件。程序代码指令也可从计算机可读存储介质提取和加载到计算机、处理器、或其他可编程装置,以配置计算机、处理器、或其他可编程装置,以在计算机、处理器、或其他可编程装置上或由其执行操作。程序代码指令的提取、加载、和执行可按顺序进行,从而每次提取、加载、和执行一个指令。在一些示例性实施例中,可并行进行提取、加载和/或执行,从而多个指令在一起提取、加载、和/或执行。程序代码指令的执行可生成计算机实现的处理,从而由计算机、处理器、或其他可编程装置执行的指令提供用于实现流程图的操作中指定的功能。
因此,由处理器对关联于流程图操作的指令的执行、或在计算机可读存储介质中对关联于流程图操作的指令的存储,支持对实现特定功能的操作的组合。还可理解,在一些示例性实施例中,流程图的一个或多个操作、和流程图中的操作的组合可以通过执行特定功能或步骤的基于专用硬件的计算机系统或处理器、或专用硬件和程序代码指令的组合来实现。
与本发明相关的本领域技术人员在获得以上说明书和相关附图中提供的教导的情况下,将容易想到这里阐述的本发明的许多修改和其他实施例。因此,可理解,本发明不限于公开的特定实施例,并且修改和其他实施例包含在所附权利要求的范围内。此外,尽管以上说明书和相关附图描述了在元素和/或功能的某个示例性组合的情景中的示例性实施例,但是应理解,元素和/或功能的不同组合可通过备选实施例提供,而不脱离所附权利要求的范围。在这点上,例如,也可设想除了以上明确所述的那些元素和/或功能之外的他们的不同组合,例如在一些所附权利要求中阐述的那些。尽管这里采用的特定术语,但是他们仅用作一般性和描述性含义,并非用于限制的目的。
Claims (47)
1.一种用于设备到设备密钥管理的方法,包括:
接收请求向设备到设备通信的模式改变的通信模式改变命令;
基于私密密钥和基础值生成本地设备安全密钥,所述本地设备安全密钥被配置用于设备到设备通信中;
接收安全密钥组合值,其中所述安全密钥组合值是所述本地设备安全密钥和对端设备安全密钥的组合;以及
使用所述本地设备安全密钥拆解所述安全密钥组合值以确定所述对端设备安全密钥,所述对端设备安全密钥被配置用于设备到设备通信中。
2.如权利要求1所述的方法,其中基于私密密钥和基础值生成本地设备安全密钥包括:基于所述私密密钥和所述基础值生成所述本地设备安全密钥,其中所述基础值是随机或伪随机数。
3.如权利要求1所述的方法,进一步包括:生成所述基础值。
4.如权利要求1所述的方法,还包括:
生成所述基础值;以及
使得所述基础值发送至密钥管理网络实体。
5.如权利要求1至4中任一项所述的方法,其中接收所述安全密钥组合值包括:从移动管理实体接收所述安全密钥组合值。
6.如权利要求1所述的方法,进一步包括:
生成所述基础值;和
使得所述基础值发送至密钥管理网络实体,所述密钥管理网络实体为移动性管理实体。
7.如权利要求1至4以及权利要求6中任一项所述的方法,其中拆解所述安全密钥组合值包括:对所述安全密钥组合值实施异或运算以确定所述对端设备安全密钥。
8.如权利要求1至4以及权利要求6中任一项所述的方法,其中接收安全密钥组合值包括:经由与发送实体的安全连接接收所述安全密钥组合值,所述安全连接为在所述发送实体和接收实体之间的专用连接。
9.如权利要求1至4以及权利要求6中任一项所述的方法,其中在共同消息中接收所述通信模式改变命令、所述基础值、和所述安全密钥组合值。
10.如权利要求1至4以及权利要求6中任一项所述的方法,其中在单独针对接收实体的共同消息中接收所述通信模式改变命令和所述基础值。
11.如权利要求1至4以及权利要求6中任一项所述的方法,进一步包括:使用所述本地设备安全密钥加密发出的设备到设备通信,和使用所述对端设备安全密钥解密到来的设备到设备通信。
12.一种用于设备到设备密钥管理的装置,包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和计算机程序代码被配置为,通过所述至少一个处理器,使得所述装置至少执行:
接收请求向设备到设备通信的模式改变的通信模式改变命令;
基于私密密钥和基础值生成本地设备安全密钥,所述本地设备安全密钥被配置用于设备到设备通信中;
接收安全密钥组合值,其中所述安全密钥组合值是所述本地设备安全密钥和对端设备安全密钥的组合;以及
使用所述本地设备安全密钥拆解所述安全密钥组合值以确定所述对端设备安全密钥,所述对端设备安全密钥被配置用于设备到设备通信中。
13.如权利要求12所述的装置,其中使得所述装置执行基于私密密钥和基础值生成本地设备安全密钥包括:基于所述私密密钥和所述基础值生成所述本地设备安全密钥,其中所述基础值是随机或伪随机数。
14.如权利要求12所述的装置,其中所述装置被进一步使得执行:生成所述基础值。
15.如权利要求12所述的装置,其中所述装置被进一步使得执行:
生成所述基础值;以及
使得所述基础值发送至密钥管理网络实体。
16.如权利要求12至15中任一项所述的装置,其中使得所述装置执行接收所述安全密钥组合值包括:从移动管理实体接收所述安全密钥组合值。
17.如权利要求12所述的装置,其中所述装置被进一步使得执行:
生成所述基础值;和
使得所述基础值发送至密钥管理网络实体,所述密钥管理网络实体为移动性管理实体。
18.如权利要求12至15以及权利要求17中任一项所述的装置,其中使得所述装置执行拆解所述安全密钥组合值包括:对所述安全密钥组合值实施异或运算以确定所述对端设备安全密钥。
19.如权利要求12至15以及权利要求17中任一项所述的装置,其中使得所述装置执行接收安全密钥组合值包括:经由与发送实体的安全连接接收所述安全密钥组合值,所述安全连接为在所述发送实体和接收实体之间的专用连接。
20.如权利要求12至15以及权利要求17中任一项所述的装置,其中使得所述装置在共同消息中接收所述通信模式改变命令、所述基础值、和所述安全密钥组合值。
21.如权利要求12至15以及权利要求17中任一项所述的装置,其中使得所述装置在单独针对接收实体的共同消息中接收所述通信模式改变命令和所述基础值。
22.如权利要求12至15以及权利要求17中任一项所述的装置,其中所述装置被使得进一步执行:使用所述本地设备安全密钥加密发出的设备到设备通信,和使用所述对端设备安全密钥解密到来的设备到设备通信。
23.一种用于设备到设备密钥管理的装置,包括:
用于接收请求向设备到设备通信的模式改变的通信模式改变命令的部件;
用于基于私密密钥和基础值生成本地设备安全密钥的部件,所述本地设备安全密钥被配置用于设备到设备通信中;
用于接收安全密钥组合值的部件,其中所述安全密钥组合值是所述本地设备安全密钥和对端设备安全密钥的组合;和
用于使用所述本地设备安全密钥拆解所述安全密钥组合值以确定所述对端设备安全密钥的部件,所述对端设备安全密钥被配置用于设备到设备通信中。
24.如权利要求23所述的装置,进一步包括:使用所述本地设备安全密钥加密发出的设备到设备通信的部件,和使用所述对端设备安全密钥解密到来的设备到设备通信的部件。
25.一种用于设备到设备密钥管理的方法,包括:
基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥,所述第一安全密钥被配置用于从所述第一设备的设备到设备通信中;
基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥,所述第二安全密钥被配置用于从所述第二设备的设备到设备通信中;
组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值;以及
使得发送所述安全密钥组合值。
26.如权利要求25所述的方法,其中基于第一基础值生成第一安全密钥和基于第二基础值生成第二安全密钥包括:基于所述第一基础值生成所述第一安全密钥和基于所述第二基础值生成所述第二安全密钥,其中所述第一基础值是与所述第一设备相关联的第一随机或伪随机数,所述第二基础值是与所述第二设备相关联的第二随机或伪随机数。
27.如权利要求25或26所述的方法,进一步包括:从所述第一设备接收所述第一基础值,和从所述第二设备接收所述第二基础值。
28.如权利要求25或26所述的方法,进一步包括:生成所述第一基础值和所述第二基础值。
29.如权利要求25或26所述的方法,其中组合第一安全密钥和第二安全密钥包括:通过异或运算组合所述第一安全密钥和所述第二安全密钥。
30.如权利要求25或26所述的方法,其中使得发送所述安全密钥组合值包括:使得向用于拆解的所述第一设备和第二设备、或向接入点发送所述安全密钥组合值。
31.如权利要求25或26所述的方法,进一步包括:
接收对于所述第一安全密钥和所述第二安全密钥的请求;和
使得向接入点发送所述第一基础值、所述第二基础值、和所述安全密钥组合值。
32.一种用于设备到设备密钥管理的装置,包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和计算机程序代码被配置为,通过所述至少一个处理器,使得所述装置至少执行:
基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥,所述第一安全密钥被配置用于从所述第一设备的设备到设备通信中;
基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥,所述第二安全密钥被配置用于从所述第二设备的设备到设备通信中;
组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值;以及
使得发送所述安全密钥组合值。
33.如权利要求32所述的装置,其中使得所述装置执行基于第一基础值生成第一安全密钥和基于第二基础值生成第二安全密钥包括:使得基于所述第一基础值生成所述第一安全密钥和基于所述第二基础值生成第二安全密钥,其中所述第一基础值是与所述第一设备相关联的第一随机或伪随机数,所述第二基础值是与所述第二设备相关联的第二随机或伪随机数。
34.如权利要求32或33所述的装置,其中所述装置被进一步使得执行:从所述第一设备接收所述第一基础值,和从所述第二设备接收所述第二基础值。
35.如权利要求32或33所述的装置,其中所述装置被进一步使得执行:生成所述第一基础值和所述第二基础值。
36.如权利要求32或33所述的装置,其中使得所述装置执行组合第一安全密钥和第二安全密钥包括:通过异或运算组合所述第一安全密钥和所述第二安全密钥。
37.如权利要求32或33所述的装置,其中使得所述装置执行使得发送所述安全密钥组合值包括:使得向用于拆解的第一设备和第二设备、或向接入点发送所述安全密钥组合值。
38.如权利要求32或33所述的装置,其中所述装置被使得进一步执行:
接收对于所述第一安全密钥和所述第二安全密钥的请求;和
使得向接入点发送所述第一基础值、所述第二基础值、和所述安全密钥组合值。
39.一种用于设备到设备密钥管理的装置,包括:
基于第一私密密钥和第一基础值生成用于第一设备的第一安全密钥的部件,所述第一安全密钥被配置用于从所述第一设备的设备到设备通信中;
基于第二私密密钥和第二基础值生成用于第二设备的第二安全密钥的部件,所述第二安全密钥被配置用于从所述第二设备的设备到设备通信中;
组合所述第一安全密钥和所述第二安全密钥以生成安全密钥组合值的部件;和
使得发送所述安全密钥组合值的部件。
40.如权利要求39所述的装置,其中组合第一安全密钥和第二安全密钥的部件包括:通过异或运算组合所述第一安全密钥和所述第二安全密钥的部件。
41.一种用于设备到设备密钥管理的方法,包括:
生成用于确定第一安全密钥的第一基础值,所述第一安全密钥用于从第一设备的设备到设备通信;
生成用于确定第二安全密钥的第二基础值,所述第二安全密钥用于从第二设备的设备到设备通信;
使得向所述第一设备和所述第二设备发送带有所述第一基础值和所述第二基础值的通信模式改变命令;
使得向密钥管理网络实体发送所述第一基础值和所述第二基础值;
从所述密钥管理网络实体接收安全密钥组合值,所述安全密钥组合值是所述第一安全密钥和所述第二安全密钥的组合;以及
使得向所述第一设备和所述第二设备发送所述安全密钥组合值。
42.如权利要求41所述的方法,其中使得向所述第一设备和所述第二设备发送通信模式改变命令包括:使得在针对所述第一设备的单独的消息中发送带有所述第一基础值的第一通信模式改变命令,和使得在针对所述第二设备的单独的消息中发送带有所述第二基础值的第二通信模式改变命令。
43.如权利要求41或42所述的方法,其中使得向所述第一设备和所述第二设备发送所述安全密钥组合值包括:使得将所述安全密钥组合值经由与所述第一设备的专用和安全连接来发送,和使得将所述安全密钥组合值经由与所述第二设备的专用和安全连接来发送。
44.一种用于设备到设备密钥管理的装置,包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和计算机程序代码被配置为,通过所述至少一个处理器,使得所述装置至少执行:
生成用于确定第一安全密钥的第一基础值,所述第一安全密钥用于从第一设备的设备到设备通信;
生成用于确定第二安全密钥的第二基础值,所述第二安全密钥用于从第二设备的设备到设备通信;
使得向所述第一设备和所述第二设备发送带有所述第一基础值和所述第二基础值的通信模式改变命令;
使得向密钥管理网络实体发送所述第一基础值和所述第二基础值;
从所述密钥管理网络实体接收安全密钥组合值,所述安全密钥组合值是所述第一安全密钥和所述第二安全密钥的组合;以及
使得向所述第一设备和所述第二设备发送所述安全密钥组合值。
45.如权利要求44所述的装置,其中使得所述装置执行使得向所述第一设备和所述第二设备发送通信模式改变命令包括:使得在针对所述第一设备的单独的消息中发送带有所述第一基础值的第一通信模式改变命令,和使得在针对所述第二设备的单独的消息中发送带有所述第二基础值的第二通信模式改变命令。
46.如权利要求44或45所述的装置,其中使得所述装置执行使得向所述第一设备和所述第二设备发送安全密钥组合值包括:使得将所述安全密钥组合值经由与所述第一设备的专用和安全连接来发送,和使得将所述安全密钥组合值经由与所述第二设备的专用和安全连接来发送。
47.一种用于设备到设备密钥管理的装置,包括:
生成用于确定第一安全密钥的第一基础值的部件,所述第一安全密钥用于从第一设备的设备到设备通信;
生成用于确定第二安全密钥的第二基础值的部件,所述第二安全密钥用于从第二设备的设备到设备通信;
使得向所述第一设备和所述第二设备发送带有所述第一基础值和所述第二基础值的通信模式改变命令的部件;
使得向密钥管理网络实体发送所述第一基础值和所述第二基础值的部件;
从所述密钥管理网络实体接收安全密钥组合值的部件,所述安全密钥组合值是所述第一安全密钥和所述第二安全密钥的组合;以及
使得向所述第一设备和所述第二设备发送所述安全密钥组合值的部件。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/IB2010/051300 WO2011117677A1 (en) | 2010-03-24 | 2010-03-24 | Method and apparatus for device-to-device key management |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102812688A CN102812688A (zh) | 2012-12-05 |
CN102812688B true CN102812688B (zh) | 2016-06-01 |
Family
ID=44672495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080065647.2A Active CN102812688B (zh) | 2010-03-24 | 2010-03-24 | 用于设备到设备密钥管理的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8989389B2 (zh) |
EP (1) | EP2550789B1 (zh) |
CN (1) | CN102812688B (zh) |
WO (1) | WO2011117677A1 (zh) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5492134B2 (ja) * | 2011-04-01 | 2014-05-14 | 株式会社Nttドコモ | 移動通信方法、移動管理ノード及び無線基地局 |
CN103139930B (zh) | 2011-11-22 | 2015-07-08 | 华为技术有限公司 | 连接建立方法和用户设备 |
KR20140110853A (ko) * | 2011-12-13 | 2014-09-17 | 엘지전자 주식회사 | 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치 |
US9648653B2 (en) * | 2011-12-20 | 2017-05-09 | Lg Electronics Inc. | User equipment-initiated control method and apparatus for providing proximity service |
US9521644B2 (en) | 2012-01-31 | 2016-12-13 | Qualcomm Incorporated | Methods and apparatus for providing network-assisted end-to-end paging between LTE devices |
EP2815623B1 (en) | 2012-02-14 | 2018-08-29 | Nokia Technologies Oy | Device to device security using naf key |
GB2500720A (en) | 2012-03-30 | 2013-10-02 | Nec Corp | Providing security information to establish secure communications over a device-to-device (D2D) communication link |
CN102711105B (zh) * | 2012-05-18 | 2016-03-02 | 华为技术有限公司 | 通过移动通信网络进行通信的方法、装置及系统 |
US9204377B2 (en) | 2012-07-16 | 2015-12-01 | Industrial Technology Research Institute | Method and device for proximity-based communication |
JP6072918B2 (ja) | 2012-09-06 | 2017-02-01 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | デバイス・ツー・デバイス通信セッションの確立 |
US20140082364A1 (en) * | 2012-09-18 | 2014-03-20 | Tommaso Cucinotta | Collaborative Uses of a Cloud Computing Confidential Domain of Execution |
US8873757B2 (en) * | 2012-10-19 | 2014-10-28 | Qualcom Incorporated | Methods and apparatus for providing network-assisted key agreement for D2D communications |
CN104737570B (zh) * | 2012-10-19 | 2018-08-31 | 诺基亚技术有限公司 | 生成用于第一用户设备和第二用户设备之间的设备对设备通信的密钥的方法和设备 |
KR101739666B1 (ko) | 2012-10-29 | 2017-05-24 | 코닌클리즈케 케이피엔 엔.브이. | 디바이스-투-디바이스 통신의 인터셉팅 |
US20150305070A1 (en) * | 2012-11-01 | 2015-10-22 | Interdigital Patent Holdings, Inc. | Methods to enable wlan proximity service |
JP6309543B2 (ja) * | 2013-01-09 | 2018-04-11 | 株式会社Nttドコモ | 無線基地局間(inter−eNB)キャリアアグリゲーションによる保護された無線アクセス |
KR102096895B1 (ko) * | 2013-02-13 | 2020-04-03 | 삼성전자주식회사 | 무선 통신 시스템에서 기기간 직접 통신을 위한 초기 접속 방법 및 장치 |
WO2014130554A1 (en) | 2013-02-19 | 2014-08-28 | Huawei Technologies Co., Ltd. | Frame structure for filter bank multi-carrier (fbmc) waveforms |
EP3439345A1 (en) | 2013-03-05 | 2019-02-06 | Huawei Technologies Co., Ltd. | Key exchange method and apparatus |
EP2982148A1 (en) * | 2013-04-05 | 2016-02-10 | Interdigital Patent Holdings, Inc. | Securing peer-to-peer and group communications |
WO2014168609A1 (en) * | 2013-04-09 | 2014-10-16 | Nokia Siemens Networks Oy | Method and apparatus for traffic re-routing based on application-layer traffic optimization services in wireless networks |
KR102142576B1 (ko) * | 2013-05-16 | 2020-08-10 | 삼성전자주식회사 | 단말간 통신을 위한 탐색 방법 및 장치 |
EP2806670A1 (en) * | 2013-05-21 | 2014-11-26 | Alcatel Lucent | Method of device discovery for device-to-device communication in a telecommunication network, user equipment device and computer program product |
US10321310B1 (en) * | 2013-06-04 | 2019-06-11 | Rockwell Collins, Inc. | Secure authentication of mobile devices using sensor transfer of keying material |
EP3014801B1 (en) * | 2013-06-26 | 2019-10-30 | Nokia Technologies Oy | Methods and apparatus for generating keys in device-to-device communications |
US10779202B2 (en) * | 2013-07-02 | 2020-09-15 | Telefonaktiebolaget L M Ericsson (Publ) | Controlling connection of an idle mode user equipment to a radio access network node |
US10536583B2 (en) | 2013-07-23 | 2020-01-14 | Nokia Technologies Oy | Method and apparatus of secure charging for device-to-device service |
US10158625B2 (en) * | 2013-09-27 | 2018-12-18 | Nokia Technologies Oy | Methods and apparatus of key pairing for D2D devices under different D2D areas |
KR20150035355A (ko) | 2013-09-27 | 2015-04-06 | 삼성전자주식회사 | 디스커버리 정보를 보안하는 방법 및 그 장치 |
US10299115B2 (en) | 2013-10-18 | 2019-05-21 | Nokia Solutions And Networks Oy | Selection and use of a security agent for device-to-device (D2D) wireless communications |
CN104618903A (zh) * | 2013-11-04 | 2015-05-13 | 华为技术有限公司 | 密钥协商处理方法和装置 |
EP3066856A1 (en) * | 2013-11-10 | 2016-09-14 | Telefonaktiebolaget LM Ericsson (publ) | Triggering of direct discovery signals |
GB2521195B (en) * | 2013-12-12 | 2016-06-29 | Good Tech Corp | Secure communication channels |
GB2521196B (en) * | 2013-12-12 | 2016-06-15 | Good Tech Corp | Secure communication channels |
CN105025478A (zh) * | 2014-04-30 | 2015-11-04 | 中兴通讯股份有限公司 | D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 |
US9876767B2 (en) * | 2014-05-09 | 2018-01-23 | Alcatel Lucent | Secure device-to-device (D2D) communication |
CN106465102B (zh) | 2014-05-12 | 2020-04-24 | 诺基亚技术有限公司 | 用于保护无线网络中的设备到设备通信的方法、网络元件、用户装备和系统 |
CN105592434A (zh) * | 2014-10-23 | 2016-05-18 | 中兴通讯股份有限公司 | 一种管理设备间d2d通信分组的方法及设备 |
US10897706B2 (en) | 2014-11-06 | 2021-01-19 | Samsung Electronics Co., Ltd. | Bootstrapping Wi-Fi direct communication by a trusted network entity |
US10409964B2 (en) * | 2015-11-04 | 2019-09-10 | Screening Room Media, Inc. | Pairing devices to prevent digital content misuse |
US20170220810A1 (en) * | 2016-01-29 | 2017-08-03 | Rovi Guides, Inc. | Systems and methods for ensuring media shared on a closed network is returned to owner when end to closed network connection is imminent |
EP3619931A4 (en) * | 2017-05-04 | 2021-01-20 | Deepak Das | MOBILITY FUNCTIONALITY FOR A CLOUD-BASED ACCESS SYSTEM |
US11291059B2 (en) * | 2018-08-03 | 2022-03-29 | Telefonaktiebolaget LM Ericsson (Publ) Stockholm, Sweden | Methods, user equipment and base station for sidelink identification |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1518825A (zh) * | 2001-06-21 | 2004-08-04 | �ʼҷ����ֵ�������˾ | 用于交换数据的设备和认证方法 |
CN101605240A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 基于gps信息进行会议数据加密的方法和设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7181015B2 (en) * | 2001-07-31 | 2007-02-20 | Mcafee, Inc. | Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique |
US7817986B2 (en) | 2006-04-28 | 2010-10-19 | Motorola, Inc. | Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices |
EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
US20080095361A1 (en) * | 2006-10-19 | 2008-04-24 | Telefonaktiebolaget L M Ericsson (Publ) | Security-Enhanced Key Exchange |
US8578450B2 (en) | 2008-06-20 | 2013-11-05 | At&T Intellectual Property Ii, L.P. | Methods for distributing information using secure peer-to-peer communications |
-
2010
- 2010-03-24 WO PCT/IB2010/051300 patent/WO2011117677A1/en active Application Filing
- 2010-03-24 CN CN201080065647.2A patent/CN102812688B/zh active Active
- 2010-03-24 EP EP10848295.1A patent/EP2550789B1/en active Active
- 2010-03-24 US US13/634,841 patent/US8989389B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1518825A (zh) * | 2001-06-21 | 2004-08-04 | �ʼҷ����ֵ�������˾ | 用于交换数据的设备和认证方法 |
CN101605240A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 基于gps信息进行会议数据加密的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
US20130013926A1 (en) | 2013-01-10 |
EP2550789A4 (en) | 2017-05-17 |
WO2011117677A1 (en) | 2011-09-29 |
EP2550789B1 (en) | 2018-11-07 |
CN102812688A (zh) | 2012-12-05 |
US8989389B2 (en) | 2015-03-24 |
EP2550789A1 (en) | 2013-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102812688B (zh) | 用于设备到设备密钥管理的方法和装置 | |
US11310266B2 (en) | Mobile communication method, apparatus, and device | |
KR102172118B1 (ko) | 네트워크 슬라이스 선택 방법, 무선 액세스 네트워크 장치, 및 단말 | |
US20190174368A1 (en) | Security handling for network slices in cellular networks | |
KR20210024225A (ko) | 실패 처리 방법, 스위칭 방법, 단말 디바이스, 및 네트워크 디바이스 | |
CN105340212A (zh) | 用于生成在设备至设备通信中的密钥的方法和装置 | |
CN101983518A (zh) | 用于为切换提供多跳密码分离的方法、设备和计算机程序产品 | |
US9474095B2 (en) | Systems, methods, and devices for distributed setup for a device-to-device session | |
CN111328112B (zh) | 一种安全上下文隔离的方法、装置及系统 | |
CN110808942B (zh) | 一种签约信息配置方法、网络设备和终端设备 | |
CN109691159B (zh) | Rrc连接恢复中的pdcp count处理 | |
US20190357105A1 (en) | Method and apparatus for reducing interruption delay, and user device | |
US8737355B2 (en) | Taking control of subscriber terminal | |
CN110073681B (zh) | 用于物联网设备的方法、装置和计算机可读介质 | |
KR20140128764A (ko) | 연결 정보 제어 방법 및 그 전자 장치 | |
CN113225761A (zh) | 一种选择网络切片的方法及电子设备 | |
EP4038920A1 (en) | Securing downlink control information in cellular communication networks | |
US8885557B2 (en) | Dynamic selection among algorithms for generating fillers for security of data communications | |
CN112654046A (zh) | 用于注册的方法和装置 | |
EP3028429B1 (en) | Local communication interception | |
CN109842881B (zh) | 通信方法、相关设备以及系统 | |
JP2022511577A (ja) | 無線通信及び機器 | |
CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
CN113348682A (zh) | 无线通信的方法、终端设备、接入网设备和核心网设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20151231 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |