CN104737572A - 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 - Google Patents
对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 Download PDFInfo
- Publication number
- CN104737572A CN104737572A CN201380054395.7A CN201380054395A CN104737572A CN 104737572 A CN104737572 A CN 104737572A CN 201380054395 A CN201380054395 A CN 201380054395A CN 104737572 A CN104737572 A CN 104737572A
- Authority
- CN
- China
- Prior art keywords
- prose
- payload
- official
- pki
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种供无线通信系统使用的方法和装置,特别地,该方法针对在蜂窝通信系统中通过第一ProSe允许的UE执行ProSe发现过程,该方法包括:通过使用第一ProSe允许的UE的私钥加密发现信号的有效载荷;将第一ProSe允许的UE的公钥添加到发现信号的有效载荷;以及将包括有效载荷和第一ProSe允许的UE的公钥的发现信号发送到一个或多个第二ProSe允许的UE,其中第一ProSe允许的UE的公钥用于一个或多个第二ProSe允许的UE解密发现信号的有效载荷。
Description
技术领域
本发明针对在无线通信系统中使用的方法和装置。特别地,本发明针对对具有扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置。
背景技术
总的来说,无线通信系统正在被开发为不同地覆盖宽的范围,以提供诸如音频通信服务、数据通信服务等等这样的通信服务。无线通信系统是一种能够通过共享可用的系统资源(例如,带宽、发射功率等等)支持与多个用户通信的多址系统。例如,多址系统可以包括码分多址(CDMA)系统、频分多址(FDMA)系统、时分多址(TDMA)系统、正交频分多址(OFDMA)系统、单载波频分多址(SC-FDMA)系统、多载波频分多址(MC-FDMA)等等的一个。
发明内容
技术问题
本发明的一个目的是提供一种对具有扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置。
本领域技术人员应该理解,可以经由本发明实现的目的不局限于已经在上文中具体描述的那些,并且本发明可以实现的以上和其它的目的将从与附图一起进行的以下的详细说明中更加清楚地理解。
技术方案
作为本发明的一个方面,提供了一种在蜂窝通信系统中由第一ProSe允许的用户设备(UE)执行基于邻近的服务(ProSe)发现过程的方法,其中该方法包括:通过使用第一ProSe允许的UE的私钥,加密发现信号的有效载荷;将第一ProSe允许的UE的公钥添加到发现信号的有效载荷;和将包括有效载荷和第一ProSe允许的UE的公钥的发现信号发送到一个或多个第二ProSe允许的UE,其中第一ProSe允许的UE的公钥用于一个或多个第二ProSe允许的UE解密发现信号的有效载荷。
作为本发明的另一个方面,提供了在无线通信系统中被配置为执行ProSe发现的第一公共安全基于邻近的服务(ProSe)允许的用户设备(UE),其中第一公共安全ProSe允许的UE包括:射频(RF)单元;和处理器,其中处理器被配置为:通过使用第一ProSe允许的UE的私钥,加密发现信号的有效载荷,将第一ProSe允许的UE的公钥添加到发现信号的有效载荷,以及将包括有效载荷和第一ProSe允许的UE的公钥的发现信号发送到一个或多个第二ProSe允许的UE,其中第一ProSe允许的UE的公钥用于一个或多个第二ProSe允许的UE解密发现信号的有效载荷。
优选地,方面可以进一步包括:接收响应于发现信号的响应信号,其中响应信号包括通过第三ProSe允许的UE的私钥加密的有效载荷和第三ProSe允许的UE的公钥。
优选地,方面可以进一步包括:从响应信号中提取第三ProSe允许的UE的公钥;以及通过使用第三ProSe允许的UE的公钥解密响应信号的有效载荷。
优选地,在发现信号中的有效载荷可以包括包含随机号码和认证令牌的认证请求。
有益效果
本发明示范的实施例具有以下的效果。根据本发明的实施例,对具有扩展的发现范围的基于邻近的服务发现提供完整性保护。
本领域技术人员应该理解,经由本发明可经实现的效果不局限于已经在上文中具体描述的那些,并且本发明的其它的优点将从以下与附图一起进行的详细说明中更加清楚地理解。
附图说明
附图被包括以提供对本发明进一步的理解,附图图示本发明的实施例,并且与说明书一起用于解释本发明原理。
图1示出演进的通用陆上无线电接入网络(E-UTRAN)的网络结构。
图2示出典型的E-UTRAN和典型的演进的分组核心(EPC)的常规功能结构。
图3a~3b示出用于E-UMTS网络的用户面协议和控制面协议栈。
图4示出下行链路子帧和物理信道。
图5示出基于竞争的随机接入过程。
图6示出在PDCP层中执行加密的示例。
图7示出在PDCP层中执行完整性保护的示例。
图8示出在3GPP系统中通过使用共享密钥用于认证和密钥协商的过程。
图9a示出由认证实体,诸如家庭环境/认证中心(HE/AuC)产生认证矢量的示例。
图9b示出在USIM中的用户认证功能的示例。
图10示出使用私钥/公钥对执行认证的示例。
图11~13图示用于邻近通信的数据路径情形。
图14~15示出根据先前技术的ProSe发现过程。
图16示出根据本发明在发送器上产生发现消息和在接收器上处理发现消息用于完整性的过程。
图17~18示出根据本发明的ProSe发现过程的示例。
图19示出根据本发明执行完整性保护的ProSe发现的示例。
图20图示用户设备(UE)的方框图。
具体实施方式
现在将参考附图详细介绍本发明的优选实施例。该详细说明将在下面参考附图给出,其意欲解释本发明示范的实施例,而不是示出可以根据本发明仅仅实现的实施例。本发明以下的实施例可以适用于各种无线接入技术,例如,CDMA、FDMA、TDMA、OFDMA、SC-FDMA、MC-FDMA等等。CDMA可以通过无线通信技术,诸如,通用陆上无线电接入(UTRA)或者CDMA2000实现。TDMA可以通过无线通信技术,例如,全球数字移动电话系统(GSM),通用分组无线电服务(GPRS),用于GSM演进(EDGE)的增强数据速率等等实现。OFDMA可以通过无线通信技术,例如,IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、E-UTRA(演进的UTRA)等等实现。UTRA是通用移动电信系统(UMTS)的一部分。第三代合作项目(3GPP)长期演进(LTE)是使用E-UTRA的演进的UMTS(E-UMTS)的一部分。高级LTE(LTE–A)是3GPP LTE的演进版本。
虽然本发明以下的实施例在下文中将基于3GPP LTE/LTE-A系统描述发明的技术特征,应当注意,以下的实施例将仅仅为了说明性的目的公开,并且本发明的范围和精神不受限于此。用于本发明示范的实施例的特定的术语被提供来帮助理解本发明。这些特定的术语可以以在本发明的范围和精神内的其它的术语替换。
图1图示E-UMTS的网络结构。E-UMTS也可以称为LTE系统。E-UMTS被广泛地部署以提供各种通信服务,诸如语音和分组数据,并且通常被配置为基于在此处给出的各种技术起作用,并且关于稍后的图更详细地论述。
参考图1,E-UMTS网络包括演进的UMTS陆上无线电接入网络(E-UTRAN)、演进的分组核心(EPC),和一个或多个移动终端(或者用户设备(UE))10。E-UTRAN包括一个或多个e节点B(eNB)20。关于EPC,移动性管理实体/系统结构演进(MME/SAE)网关30提供用于UE 10的会话和移动性管理功能的端点。eNB 20和MME/SAE网关30可以经由S1接口连接。
UE 10是由用户携带的通信设备,并且也可以称为移动站(MS)、用户终端(UT)、用户站(SS)或者无线设备。通常,除了其它部件,UE还包括发射器和处理器,并且被配置未根据在此处给出的各种技术操作。
eNB 20通常是与UE 10通信的固定站。除了称为基站之外,eNB 20也可以称为接入点。eNB 20将用户面和控制面的端点提供给UE 10。通常,除了其它部件,eNB包括发射器和处理器,并且被配置为根据在此处给出的各种技术操作。
多个UE 10可以位于一个小区中。通常每个小区部署一个eNB 20。用于发送用户业务或者控制业务的接口可以在eNB 20之间使用。在这里,“下行链路(DL)”指的是从eNB 20到UE 10的通信,并且“上行链路(UL)”指的是从UE到eNB的通信。
MME网关30提供包括寻呼消息到eNB 20的分发、安全控制、空闲状态移动性控制、SAE承载控制,和非接触层(NAS)信令的加密和完整性保护的各种功能。SAE网关30提供包括处于寻呼原因的U-面分组的终止,和U-面的切换以支持UE移动性的配套功能。
多个节点可以经由S1接口连接在eNB 20和网关30之间。eNB 20可以经由X2接口彼此连接,并且相邻eNB可以具有网状网络结构(其具有X2接口)。
图2是描述E-UTRAN和EPC的常规结构的方框图。参考图2,eNB 20可以执行对于MME/SAE网关30选择、在无线电资源控制(RRC)激活期间朝向网关的路由、调度和发送寻呼消息、调度和发送广播信道(BCCH)信息、在上行链路和下行链路两者中动态分配资源给UE 10、配置和提供eNB测量、无线电承载控制,无线电准入控制(RAC),和在LTE_ACTIVE(LTE_激活)状态下的连接移动性控制的功能。
在EPC中,并且如上所述,MME/SAE网关30可以执行寻呼发起、LTE-IDLE(LTE-空闲)状态管理、用户面的加密、SAE承载控制,以及NAS信令的加密和完整性保护的功能。
图3a~3b图示用于E-UMTS网络的用户面协议和控制面协议栈。参考图3a~3b,该协议层可以基于在通信系统领域公知的开放系统互连(OSI)标准模型的三个较低层被分成第一层(L1)、第二层(L2)和第三层(L3)。
第一层L1(或者物理层)使用物理信道对上层提供信息传输服务。物理层经由输送信道与媒体访问控制(MAC)层连接,并且数据在MAC层和物理层之间经由输送信道传送。在不同的物理层之间,即,在发送侧和接收侧的物理层之间(例如,在UE 10和eNB 20的物理层之间),数据经由物理信道传送。
层2(L2)的MAC层经由逻辑信道对无线电链路控制(RLC)层提供服务。层2(L2)的RLC层支持可靠的数据传输。虽然在图3a~3b中示出的RLC层是与MAC层分离,但是应该明白,RLC层的功能可以由MAC层执行,并且因此,不需要单独的RLC层。参考图3a,层2(L2)的分组数据汇聚协议(PDCP)层执行报头压缩功能,其减小不必要的控制信息,使得通过采用互联网协议(IP)分组,诸如IPv4或者IPv6发送的数据可以经具有相对窄带宽的无线电(无线)接口有效地发送。
参考图3b,位于第三层(L3)的最低部分的无线电资源控制(RRC)层通常仅在控制面中定义,并且相对于无线电承载(RB)的配置、重新配置和释放,控制逻辑信道、输送信道和物理信道。在这里,RB指的是由第二层(L2)提供用于在终端和E-UTRAN之间数据传输的服务。
参考图3a,RLC和MAC层(终止在网络侧上的eNB 20中)可以执行功能,诸如调度、自动重传请求(ARQ)和混合自动重传请求(HARQ)。PDCP层(终止在网络侧上的eNB 20中)可以执行用户面功能,诸如报头压缩、完整性保护和加密。
参考图3b,RLC和MAC层(终止在网络侧上的eNB 20中)执行与用于控制面相同或者类似的功能。RRC层(终止在网络侧上的eNB20中)可以执行功能,诸如广播、寻呼、RRC连接管理、RB控制、移动性功能,以及UE测量报告和控制。NAS控制协议(终止在网络侧上的MME 30中)可以执行功能,诸如SAE承载管理、认证、LTE_IDLE移动性处置、在LTE_IDLE中的寻呼发起,以及用于在网关和UE 10之间的信令的安全控制。
NAS控制协议可以使用三个不同的状态:第一,如果没有RRC实体,LTE_DETACHED(LTE_分离)状态;第二,如果没有RRC连接,同时存储最少的UE信息,LTE_IDLE(LTE_空闲)状态;和第三,如果建立RRC连接,LTE_ACTIVE(LTE_激活)状态。
因此,RRC状态可以被分成两个不同的状态,诸如RRC_IDLE(RRC_空闲)状态和RRC_CONNECTED(RRC_连接)状态。在RRC_IDLE状态,UE 10可以接收系统信息和寻呼信息的广播,同时UE指定由NAS配置的非连续接收(DRX),并且UE已经分配了标识(ID)(例如,系统架构演进-临时移动订户标识(S-TMSI)),其在跟踪区中唯一地标识UE。此外,在RRC_IDLE状态,RRC上下文没有存储在eNB中。
在RRC_IDLE状态,UE 10指定寻呼DRX(非连续接收)周期。特别地,UE 10在每个UE特定的寻呼DRX周期的特定的寻呼时机监测寻呼信号。
在RRC_CONNECTED状态,UE 10具有E-UTRAN RRC连接,并且RRC上下文被存储在E-UTRAN中,使得向网络(eNB)发送数据和/或从网络(eNB)接收数据变得可能。此外,UE 10可以报告信道质量信息,并且将信息反馈给eNB。
在RRC_CONNECTED状态,E-UTRAN知道UE 10属于的小区。因此,网络可以向UE 10发送数据和/或从UE 10接收数据,并且网络可以控制UE的移动性(切换)。
图4图示下行链路子帧和物理信道。
参考图4,下行链路子帧包括多个时隙(例如,两个)。包括在一个时隙中的OFDM符号的数目可以根据循环前缀(CP)的长度而变化。例如,在正常CP的情况下,时隙可以包括七个OFDM符号。下行链路子帧可以在时间域中被分成数据区和控制区。位于子帧的第一时隙的前面部分的最多三个(或者四个)OFDM符号对应于对其分配控制信道的控制区。其余的OFDM符号对应于对其分配物理下行链路共享信道(PDSCH)的数据区。各种下行链路控制信道可以在LTE/LTE-A中使用,例如,物理控制格式指示符信道(PCFICH)、物理下行链路控制信道(PDCCH)、物理混合ARQ指示符信道(PHICH)等等。PCFICH在子帧的第一OFDM符号上被发送,并且携带有关在子帧内用于发送控制信道的OFDM符号数目的信息。PHICH携带作为对上行链路传输信号响应的混合自动重传请求确认/否认(HARQACK/NACK)信号。
经PDCCH传送的控制信息称为下行链路控制信息(DCI)。DCI包括用于UE或者UE组的资源分配信息和其它的控制信息。例如,DCI包括UL/DL调度信息、UL发射(Tx)功率控制命令等等。
PDCCH携带各种信息,例如,下行链路共享信道(DL-SCH)的传输格式和资源分配信息、上行链路共享信道(UL-SCH)的传输格式和资源分配信息、经寻呼信道(PCH)发送的寻呼信息、经DL-SCH发送的系统信息、诸如经PDSCH发送的随机接入响应的上层控制消息的资源分配信息、包含在UE组中的每个UE的Tx功率控制命令集合、Tx功率控制命令、IP语音(VoIP)的激活指示信息等等。多个PDCCH可以在控制区内被发送。UE可以监测多个PDCCH。PDCCH作为一个或多个连续的控制信道元素(CCE)的聚合被发送。CCE是用于基于无线电信道状态将编码速率提供给PDCCH的逻辑分配单元。CCE可以对应于多个资源元素组(REG)。PDCCH的格式和PDCCH比特的数目可以根据CCE的数目确定。基站(BS)根据要发送给UE的DCI判定PDCCH格式,并且将循环冗余校验(CRC)增加到控制信息。根据PDCCH拥有者或者PDCCH的目的,CRC以标识符(例如,无线电网络临时标识符(RNTI))掩蔽。例如,假若为特定的UE提供PDCCH,CRC可以以对应的UE的标识符(例如,小区RNTI(C-RNTI))掩蔽。如果为寻呼消息提供PDCCH,则CRC可以以寻呼标识符(例如,寻呼RNTI(P-RNTI))掩蔽。如果为系统信息(例如,系统信息块(SIB))提供PDCCH,则CRC可以以系统信息RNTI(SI-RNTI)掩蔽。如果为随机接入响应提供PDCCH,则CRC可以以随机接入RNTI(RA-RNTI)掩蔽。例如,CRC掩蔽(或者加扰)可以在比特级别使用在CRC和RNTI之间的异或(XOR)操作执行。
为了初始接入网络,使用随机接入过程。随机接入过程也称为随机接入信道(RACH)过程。物理随机接入信道(PRACH)传输是在执行与优先级和负载控制相关的某些重要功能的较高层协议的控制下。PRACH是专用于随机接入过程的公共物理信道。存在两种类型的RACH过程:基于竞争的RACH过程和非基于竞争的RACH过程。在基于竞争的RACH过程中,许多的UE可以使用相同的RACH前导/资源尝试同时接入相同的基站,这可能导致网络接入拥塞/冲突。在下文中,除了提及,否则RACH(或者RA)过程指的是基于竞争的RACH(或者RA)过程。
RACH过程可以用于几个目的。例如,RACH过程可用于接入网络、请求资源、携带控制信息、调整上行链路的时间偏移以便获得上行链路同步、调整发射功率等等。
RACH过程可以由UE或者eNB启动。RACH过程例如可以由下列的事件触发:
-UE从断电切换到上电,并且需要注册到网络。
-UE没有与eNB时间同步,并且开始发送数据(例如,用户呼叫)。
-eNB开始发送数据给UE,但是,它们不同步(例如,用户接收呼叫)。
-eNB从UE测量接收信号的延迟(例如,用户正在移动,并且已经失去同步)。
图5图示基于竞争的随机接入过程。
参考图5,首先,UE检索在下行链路广播信道(BCH)上周期地从eNB发送的信息,并且选择前导签名(例如,恒幅零自相关(CAZAC)序列)、RACH时隙和频带。前导签名是由UE从为eNB所知的签名集合之中选择的。UE产生包含选择的签名的随机接入前导(消息1,框1),并且在选择的频率上将其经选择的时隙发送给eNB。随机接入前导在RACH连接请求之前被发送,并且表示UE将发送数据。在随机接入过程期间,多个UE可以共享相同的RACH信道(即,PRACH),并且它们通过前导签名区别。每当多个UE选择相同的签名,并且在相同的时间和频率资源内发送时,拥塞/冲突发生。
在尝试在对应小区中检测从UE发送的前导时,eNB监测当前的RACH时隙。在收到信号时,eNB将在RACH子帧中接收的信号与所有可能的签名相关。前导的检测可以在时间域或者在频率域中执行。对于每个签名计算检测变量。如果检测变量大于某个阈值,则认为检测到前导。
eNB发送随机接入响应(消息2,框2)以确认成功地检测到前导。随机接入响应经由下行链路共享信道被发送,并且包括检测的签名。该随机接入响应还包含时序提前命令、功率控制命令。
如果UE从eNB接收随机接入响应,则UE解码随机接入响应,并且如果随机接入响应包含功率控制信息,则采用UL传输时序和UL传输功率。UE然后经由上行链路共享信道发送资源请求消息(消息3,框3)。在消息3中,UE请求带宽和时间资源以发送数据,并且其还指示UE特定的标识符。当UE请求资源的时候,UE使用在消息3中特定的ID解决冲突。然后,UE监测对于来自eNB的对于响应指定的下行链路信道。在肯定的资源许可的情况下,后续的传输正常进行。
eNB尝试解决任何冲突。如果eNB接收具有UE特定签名的资源请求,则eNB检查检测到多少具有相同签名的UE,并且解决任何可能的冲突。如果由UE发送的前导与来自另一个UE的前导冲突,则eNB发送冲突解决消息(消息4,框4)命令对应的UE重新开始RACH过程。如果UE不冲突,则eNB发送资源分配消息(消息5,方框5)。后续的传输照常进行。
通常关于一组基本方面测量安全:保密性、完整性、认证和授权。数据的保密性通过将通常称作明文的原始数据加密变换为隐藏明文的内容的密文来实现。这个操作被实现为参数化的变换,其保持控制参数秘密。该控制参数通常称作密钥。该变换被称作加密。利用密钥,容易执行反变换或者解密。没有密钥,解密将是困难的。完整性是关于在输送或者存储期间确保数据没有在无授权的情况下被替换或者修改。完整性是使用加密变换和密钥实现的。认证是一个机构(请求者)确信另一个机构(验证者)其(正确的)标识的过程。认证不同于授权,授权是赋予人员或者实体许可去做或者访问某些事情的过程。
存在二类主要的加密机制:对称和不对称。在对称机制中,相同的密钥用于加密与解密。
对称保密性机制的示例是:
·块密码,诸如数据加密标准(DES)和高级加密标准(AES);和
·流密码,诸如GSM A1、A2和A3算法。
完整性通常使用对称机制保护。完整性保护算法也称作消息认证码(MAC)。最流行的MAC是散列(Hash)计算、MAC计算(HMAC)算法。在对称机制中的密钥可用于加密和解密内容两者,因而,其必须对除了加密方案的合法用户之外的所有人保密。
不对称机制使用单独的一对密钥,即,私钥/公钥对,用于加密变换和解密变换。私钥用于加密变换,并且配对的公钥用于解密变换。公钥可以公开可用,但是,私钥必须绝不暴露。不对称机制典型地用于分配密钥(例如,对称密钥),或者用于数字签名的目的。公钥可用于加密对称密钥,继而,其只能由合法接收器使用相应的私钥解密。私钥也可以用于数字签名数据。签名可以由知道对应公钥的任何人验证。Rivest,Shamir&Adleman(RSA)方案是不对称密码算法广泛地已知的示例。
图6示出在PDCP层中执行加密的示例。
参考图6,发送侧的PDCP层通过以MASK覆盖原始数据产生加密数据。MASK是对于前面提到的分组的每个变化的码。以MASK覆盖原始数据指的是相对于MASK对于原始数据执行关于每比特的XOR操作。已经接收加密数据的接收侧的PDCP层通过以MASK再次覆盖原始数据解密原始数据。MASK具有32比特,并且是从多个输入参数产生的。尤其是,为了产生用于相应分组的不同的值,使用取决于PDCPPDU变化的PDCP序列号(SN)产生COUNT。COUNT用作MASK产生输入参数的一个。除了COUNT之外,MASK产生输入参数的示例还包括对应的无线电承载的ID值、具有上行链路或者下行链路值的方向,和在RB建立期间在用户设备和网络之间交换的加密密钥(CK)。
图7示出在PDCP层中执行完整性保护的示例。
参考图7,类似于加密过程,在完整性保护过程中,使用参数,诸如基于PDCP SN的COUNT、作为无线电承载的ID值的承载、具有上行链路或者下行链路值的方向,和在RB建立期间在用户设备和网络之间交换的完整性保护密钥(IK)。通过使用以上的参数从PDCP SDU中产生消息认证码完整性(MAC-I)。完整性保护过程不同于加密过程,其中MAC-I被加到PDCP SDU而没有经历与原始数据的XOR操作。已经接收MAC-I的接收侧的PDCP层通过使用与在发送侧的PDCP层中使用的相同的输入参数,从接收的PDCP SDU产生期望的消息认证码完整性(XMAC-I)。然后,XMAC-I与MAC-I相比较,并且如果二个值彼此相等,则确定数据具有完整性。如果不然,则确定数据已经变化。
在3GPP系统中,使用对称加密机制进行认证,对称加密机制在UE和认证中心之间使用共享密钥(K)。例如,可以使用用户认证密钥(例如,个人标识号码,PIN),并且其被安全地存储在用户设备的通用订户标识模块(USIM)中。图8示出在3GPP系统中用于通过使用共享密钥认证和密钥协商的过程。这个过程用于认证用户,并且在网络(例如,网络节点,诸如访问者位置寄存器/服务GPRS支持节点,VLR/SGSN)和用户(尤其是,UE的通用订户标识模块,USIM)之间建立新的密码和完整性密钥对。
参考图8,VLR/SGSN可以通过从在数据库中的认证矢量的排序阵列中选择下一个未使用的认证矢量调用该过程。认证矢量在先进先出基础上使用。VLR/SGSN将来自选择的认证矢量的包括用于网络认证(AUTN)的随机挑战(RAND)和认证令牌的认证请求发送给UE(S802)。RAND可以是128比特随机数。一旦收到认证请求,UE验证该认证请求的完整性。如果验证了该认证请求的完整性,则UE将包括响应的认证响应(RES)发送给VLR/SGSN(S804)。
图9a示出通过认证实体,诸如家庭环境/认证中心(HE/AuC)产生认证矢量的示例。图9b示出在USIM中的用户认证功能的示例。
参考图9a,HE/AuC可以从产生新序列号SQN和不可预测的挑战RAND开始。对于每个用户,HE/AuC保持计数器的跟踪:SQNHE。SQNHE的使用专用于产生序列号的方法。认证和密钥管理字段(AMF)被包括在每个认证矢量的认证令牌中。随后,计算以下的值:
-消息认证码(MAC)=f1K(SQN||RAND||AMF),这里f1是消息认证函数;
-期望的响应(XRES)=f2K(RAND),这里f2是(可能被截取的)消息认证函数;
-密码密钥(CK)=f3K(RAND),这里f3是密钥生成函数;
-完整性密钥(IK)=f4K(RAND),这里f4是密钥生成函数;和
-匿名密钥(AK)=f5K(RAND),这里f5是密钥生成函数或者f5≡0。
*K表示在USIM和AuC之间的共享密钥。例如,K可以是长期保密密钥,诸如订户认证密钥(例如,PIN)。
最后,构成认证令牌
在这里,表示“异或”,并且||表示“级联”。AK是用于隐藏序列号的匿名密钥,由于序列号可能暴露用户的标识和位置。序列号的隐藏将仅仅防止被动攻击。如果不需要隐藏,那么,f5≡0(AK=0)。
参考图9b,USIM首先计算AK=f5K(RAND),并且恢复序列号SQN=()。接下来,USIM计算XMAC=f1K(SQN||RAND||AMF),并且将此与包括在AUTN中的MAC比较。如果它们是相同的,则用户将包括响应的认证响应消息(RES)发送回VLR/SGSN(参见,S804)。如果它们是不同的,则用户利用原因指示将认证失败消息发送回VLR/SGSN,并且用户放弃该过程。在这种情况下,VLR/SGSN可以启动朝向归属位置寄存器(HLR)的认证失败报告过程。VLR/SGSN也可以判定启动朝向用户的新的标识和认证过程。
图10示出使用私钥/公钥对执行认证的示例。
参考图10,消息认证码(MAC)1002a是通过使用散列(hashing)处理(H)从初始消息中产生的。散列处理(H)可以基于散列算法,例如,源散列算法(SHA)执行。消息认证码认证(MAC-A)1004a是经由使用私钥Kprivate加密(E)从MAC 1002a产生的,然后,MAC-A1004a被加到初始消息,其导致数据块1006a。在接收侧,期望的MAC(XMAC)1012是从接收的数据块1006b的消息产生的,并且MAC1002b是经由使用对应于私钥的公钥Kpublic解密(D)从MAC-A1004b产生的。然后,XMAC1012与MAC1002b相比较,并且如果它们是相同的,则认证成功。如果不然,则认证失败。
近来,基于邻近的服务(ProSe)已经在3GPP中论述。ProSe使不同的UE能够发现彼此(如果被授权这样做),并且(直接)连接到彼此(在诸如认证的适当的过程之后),仅仅经由本地eNB连接(但是,不进一步经由服务网关(SGW)/分组数据网络网关(PDN-GW,PGW)),或者经由SGW/PGW连接(在3GPP版本12中,这称为EPC(演进的分组核心)路径)。
图11~13图示用于ProSe的通信路径(或者数据路径)情形。
图11示出在用于在两个UE之间通信的演进的分组系统(EPS)中的EPC路径(或者默认数据路径)(情形1)。当两个UE(例如,UE1,UE2)相互紧密邻近通信的时候,它们的数据路径(用户面)经由运营商网络。用于这种类型通信的典型的数据路径涉及eNB和/或网关(GW)(例如,SGW/PGW)。图12~13示出用于邻近通信的ProSe通信路径(情形2)。如果无线设备(例如,UE1,UE2)彼此邻近,则它们可以能够使用直接ProSe通信路径(图12),或者用于在两个UE之间通信的本地路由ProSe通信路径(图13)。在直接ProSe通信路径中,无需连接到/经由eNB和SGW/PGW,无线设备直接彼此连接(在诸如认证的适当过程之后)。在本地路由ProSe通信路径中,无线设备仅仅经由本地eNB,但是不经由SGW/PGW,彼此连接。
ProSe具有各种使用情况,以及在连续的网络控制之下用于运营商网络控制发现和在邻近的无线设备之间通信的潜在需求,并且由E-UTRAN服务,关于:
1.商业/社交用途
2.网络卸载
3.公共安全
4.当前的基础结构服务的集成,以保证包括可达到性和移动性方面的用户体验的一致性。
5.公共安全,在不存在E-UTRAN覆盖的情况下(经受区域性的调整和运营商策略,并且局限于专用的公共安全指定的频带和终端)
ProSe对于公共安全使用情况是特别有用的。公共安全具有宽的应用范围。例如,在美国,其包括以下:
·火灾和救助服务,包括防火和灭火,所有类型的救助服务。
·救护车和应急医疗服务(EMS)-通常仅仅提供应急医学运输
·警察和保安人员特许服务-包括犯罪预防、制止和调查研究、统一的巡视和响应,和运行阻止犯罪程序。
·应急通信-通过提供9-1-1和增强型911应急电话号码操作公共接口应急通信电话系统。
·应急服务局(OES)-在灾难、事故、特别事件和紧急事件期间规划和操作应急调度中心。
·检查和法规实施-通常是建筑物安全,包括结构、电子等等和/或车辆检查。
·动物控制-这个类别还可以包括野生动物官员、狩猎监督官和狗捕捉者。
·DMV-包括驾驶执照和牌照的管理。
示例:用于ProSe发现的完整性保护
为了启动ProSe通信,ProSe允许的UE首先必须发现邻近(例如,犯罪现场、火灾现场)的其它ProSe允许的UE。通常,ProSe发现过程包括:(a)当其需要启动与其它UE(即,ProSe发现的UE)的ProSe通信路径的时候,UE(即,ProSe发现UE)发送用于ProSe发现的消息(例如,发现消息,简单地,消息1或者msg1),(b)如果ProSe发现的UE接收消息1,则其发送用于响应于ProSe发现UE的消息(例如,发现响应消息,简单地,消息2或者msg2)。在ProSe发现过程成功之后,ProSe UE可以协商它们的ProSe能力,并且执行认证以在它们之间建立ProSe直接通信路径。
图14~15示出根据先前的技术的ProSe发现过程。假设存在派遣给使命区域的N个官员(N是自然数)。
参考图14,一个官员无法发现位于其邻近范围(或者ProSe发现范围)(例如,消息1的覆盖范围)以外的另一个官员。例如,官员UE1在其邻近区域内不具有官员UE2,因此,无法发现官员UE2。也就是说,来自官员UE1的发现消息(即,msg1)1402无法到达官员UE2,和/或来自官员UE2的发现响应消息(即,msg2)1404无法到达官员UE1。在这种情形下,如果官员UE1在该情景下需要找到官员UE2,则官员UE1没有别的选择,只能在ProSe允许的情况下实际地移动,直到官员UE2进入被发现的邻近范围为止。
但是,如图15所示,如果位于官员UE1邻近内的相邻官员(例如,官员UE3)被允许传送来自官员UE1的发现消息(即,msg1)(例如,“官员UE2你在哪里?”消息)给官员UE3的相邻官员(1502a,1502b)的任何一个,那么,中间官员(例如,官员UE3)的传送动作可以提高官员UE2可以经由中间官员(例如,官员UE3)的传送帮助接收发现消息的可能性。以类似的方式,位于官员UE2邻近内的相邻官员(例如,官员UE3)被允许传送来自官员UE2的发现响应消息(即,msg1)(例如,“我(官员UE2)在这儿”消息)给官员UE3的相邻官员(1504a,1504b)的任何一个。这种方法可以扩展地理的ProSe发现范围(即,扩展的ProSe发现范围)。
在以上官员UE1的发现消息已经经由中间官员(官员UE3)由官员UE2接收的情况下,官员UE2可以相信官员UE1正在尝试亲自到达官员UE2。但是,常规的ProSe发现过程具有下述问题,由于认证过程在ProSe发现过程之后执行,所以发现消息可以由未经认可的用户发起。例如,在图15的情况下,另一个中间官员(例如,黑客UE)可以旁听来自官员UE1的发现消息1502a,并且可以将修改的发现消息1502b传送给相邻官员。修改的发现消息可以具有修改的信息,例如,有关搜索者UE的修改信息、有关目标UE的修改信息、修改的内容等等。以类似的方式,另一个中间官员(例如,黑客UE)可以旁听来自官员UE2的发现响应消息1504a,并且可以将修改的发现响应消息1504b传送给相邻官员。修改的发现响应消息也可以具有修改的信息,例如,有关搜索者UE的修改信息、有关目标UE的修改信息、修改的内容等等。
为了解决常规ProSe发现过程的问题,本发明提出为了完整性加密发现消息,通过其防止发现消息由未经授权的用户发起。但是,密钥交换通常在完成ProSe发现过程之后的单独的过程(例如,认证过程)中执行。因此,由于解码侧仍然不知道与解密相关的密钥,所以加密的发现消息不能在接收侧恰当地恢复。为了解决这个问题,本发明还提出使用私钥加密发现消息,并且在该发现消息中包括对应于私钥的公钥。不对称加密机制,诸如RSA方案,可以用于使用私钥/公钥对加密/解密(参见,图10)。
加密可以被应用于从发现消息的至少一部分产生的消息认证码(MAC)。例如,发现消息可以包括认证请求,并且MAC可以从认证请求产生。除了保密共享密钥K之外,在发现消息中的认证请求可以以与如图9a所述相同的方式产生。在图9a中保密共享的密钥K仅仅为UE和认证中心所知,因此,其不能在UE之间的发现过程中使用。因此,共享的密钥K可以在ProSe发现过程中以密钥K'替换。密钥K'可以是预先确定的值(例如,全部“1”或者全部“0”)、ProSe特定的值等等。ProSe特定的值可以对于每个Pro-Se组、ProSe用途(例如,火灾、犯罪)给出。K'可以通过硬连线或者使用广播消息用信号发送。ProSe允许的UE可以具有用于识别ProSe组、ProSe用途等等的K'集合。解密在接收器(例如,中间官员、目标官员UE)处以相反方式应用于接收的发现消息。该发现消息可以包括有关目标官员UE的信息。在这种情况下,如果其不是发现消息的目标,则接收器可以传送发现消息。即使接收器是发现消息的目标,如果发现消息包括有关其它目标的信息,则接收器还可以将发现消息传送给相邻UE。做为选择,接收器可以使用K'集合对发现消息执行盲解密。在这种情况下,如果利用K'#i解密(即,完整性)取得成功,但是,如果考虑到ProSe组、ProSe用途等等K'#i不同于期望的K',则接收器可以将发现消息传送给相邻UE。
当来自搜索者UE的发现消息被成功认证的时候,目标UE可以响应于发现消息,发送发现响应消息。大体上相同的操作可以在目标UE处应用于发现响应消息。在这种情况下,使用目标UE的私钥加密发现响应消息,并且配对的公钥被包括在发现响应消息中。该发现响应消息可以包括认证响应(RES),并且RES可以使用目标UE的私钥加密。在产生RES和XRES(参见,图9A和9B)时,保密共享的密钥K被以上的K'替换。
图16示出根据本发明在发送器上产生发现消息,并且在接收器处理发现消息用于完整性的过程。
参考图16,特定的码,例如,消息认证码(MAC)1602a,可以通过使用散列处理(H)从初始消息产生。原始消息可以是发现消息的有效载荷的至少一部分,例如,ProSe认证请求。散列处理(H)可以基于散列算法,例如,源散列算法(SHA)执行。消息认证码认证(MAC-A)1604a是经由使用私钥Kprivate加密(E)从MAC 1602a产生的,然后,MAC-A 1604a被添加到初始消息。此外,根据本发明,对应于私钥Kprivate的公钥Kpublic被增加给MAC-A 1604a和原始始消息的预先确定的位置,其导致数据块1606a。例如,预先确定的位置可以是原始消息的开始位置或者终点位置。在接收侧,期望的MAC(XMAC)1612是从接收的数据块1606b的消息产生的,并且MAC 1602b是经由使用在接收数据块1606b中的对应于私钥Kprivate的公钥Kpublic进行解密(D)从MAC-A 1604b产生的。XMAC 1612与MAC 1602b相比较,并且如果它们是相同的,则认证成功。如果不然,则认证失败。
图17~18示出根据本发明的ProSe发现过程的示例。如图17~18所示,假设存在派遣到使命区域的N个官员(N是自然数),并且由于任何原因,官员UE1(搜索者)需要找到不在其邻近中的官员UE2(搜索者的目标)。也就是说,官员UE2不在由官员UE1直接发现的邻近范围中。
参考图17,当官员UE1尝试发现官员UE2的时候,官员UE1可以在ProSe发现消息中包括ProSe认证请求。官员UE1可以使用其私钥对ProSe认证请求消息执行完整性保护,并且在发出之前,增加配对的公钥。如果官员UE3旁听ProSe发现消息,则官员UE3可以将ProSe发现消息传送给相邻官员。可以考虑二种情况。
-情况1:如果官员UE2不在官员UE3的邻近内,那么,官员UE2不进行动作。
-情况2:如果官员UE2在官员UE3的邻近内,那么,官员UE2可以选择性地经由官员UE3或者其它的相邻官员UE,将ProSe认证响应发送给官员UE1。在这种情况下,官员UE2可以使用其私钥对ProSe认证响应消息执行完整性保护,并且在发出之前,增加配对的公钥。官员UE2不必发送ProSe认证响应给从其接收ProSe认证请求消息的相同的官员UE(即,官员UE3)。这指的是官员UE2不必识别官员UE3是谁,并且官员UE2进行响应,不考虑已经知道在其邻近内任何官员的存在。因此,
-情况2.1(图17):如果官员UE1偶然移动并进入官员UE2的邻近范围,则官员UE1可以直接从官员UE2接收ProSe认证响应,并且成功地发现官员UE2。
-情况2.2(图18):如果官员UEx(UEx可以是UE3或者其它的相邻UE(例如,官员UE4))是在官员UE2的邻近,则其可以尝试将官员UE2的ProSe认证响应消息传送给相邻官员UE。
利用提出的方法,可以实现在与扩展的ProSe发现范围握手的一个时间内提供完整性保护的发现。
图19示出根据本发明执行完整性保护的ProSe发现的示例。
参考图19,位于官员UE1邻近的相邻官员(例如,官员UE3)可以被允许传送来自官员UE1的发现响应消息(即,msg1)(例如,“官员UE2你在哪里?”消息)给官员UE3的相邻官员的任何一个。在这种情况下,官员UE3可以旁听官员UE1的发现消息1902a,然后将该发现消息1902b传送给相邻官员UE。在这里,该发现消息1902a和1902b包括使用官员UE1的私钥加密的有效载荷用于完整性保护,并且还包括官员UE1的公钥。以类似的方式,位于官员UE2邻近的相邻官员(例如,官员UE3)被允许传送来自官员UE2的发现响应消息(即,msg1)(例如,“我(官员UE2)在这儿”消息)给官员UE3的相邻官员(1904a,1904b)的任何一个。在这里,该发现响应消息1904a和1904b包括使用官员UE2的私钥加密的有效载荷用于完整性保护,并且还包括官员UE2的公钥。如果搜索者(官员UE1)和搜索者的目标(官员UE2)是在扩展的ProSe发现范围内,则上述的过程可以在一个往返内实现。通过提出的完整性保护ProSe发现过程,可以提供具有完整性保护的扩展的地理的ProSe发现范围(即,扩展的ProSe发现范围)。
提出的方法还可以供商业用途情况使用。但是,从操作复杂度的视角来看,由于发现控制数据越大量,提出方法可以在公共安全环境下更好地执行。
图20图示UE或者移动站(MS)10的方框图。UE 10包括MTC设备或者延迟容许的设备。UE 10包括处理器(或者数字信号处理器)510、RF模块535、功率管理模块505、天线540、电池555、显示器515、键盘520、存储器530、SIM卡525(其是可选择的)、扬声器545和麦克风550。
用户例如通过按压键盘520的按钮,或者通过使用麦克风550语音激活,输入命令信息,诸如电话号码。微处理器510接收和处理命令信息以执行适当的功能,诸如拨电话号码。操作数据可以被从订户标识模块(SIM)卡525或者存储模块530中恢复以执行功能。此外,处理器510可以在显示器515上显示命令和操作信息,供用户参考和便利。
处理器510发出命令信息给RF模块535,启动通信,例如,发送包括语音通信数据的无线电信号。RF模块535包括接收和发送无线电信号的接收器和发射器。天线540便于无线电信号的传输和接收。一旦收到无线电信号,RF模块535可以转发和转换信号为基带频率,供处理器510处理。处理的信号例如将被转换成经由扬声器545输出的可听的或者可读的信息。处理器510还包括对执行在此处描述的各种处理说来必需的协议和功能。
前面提到的实施例是通过本发明的结构元件和特点以预先确定的方式的组合实现的。除非另外指定,否则结构元件或者特点的每个将有选择地考虑。结构元件或者特点的每个可以不与其他的结构元件或者特点结合实现。此外,某些结构元件和/或特点可以相互结合以构成本发明的实施例。在本发明的实施例中描述的操作顺序可以改变。一个实施例的某些结构元件或者特点可以包括在另一个实施例中,或者可以以另一个实施例的相应的结构元件或者特点替换。另外,显然是,引用特定的权利要求的某些权利要求可以与引用除特定的权利要求以外的其它的权利要求的别的权利要求结合,以构成实施例或者在该申请提交之后,通过修改增加新的权利要求。
本发明的实施例已经基于在BS(或者eNB)和UE之间的数据传输和接收描述。已经描述为由eNB(或者BS)执行的特定操作可以视情况而定由BS(或者eNB)的上层节点执行。换句话说,显然是,在包括多个网络节点以及BS(或者eNB)的网络中,用于执行与UE通信的各种操作可以由BS或者除BS(或者eNB)以外的网络节点执行。BS可以以术语,诸如固定站、节点B、e节点B(eNB)和接入点替换。此外,术语UE可以以术语,诸如移动站(MS)和移动订户站(MSS)替换。
根据本发明的实施例可以通过各种手段,例如,硬件、固件、软件或者其组合实现。如果根据本发明的实施例通过硬件实现,本发明的实施例可以通过一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程序逻辑设备(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器等等实现。
如果根据本发明的实施例通过固件或者软件实现,则本发明的实施例可以通过一种执行如上所述的功能或者操作的模块、步骤或者功能实现。软件码可以存储在存储单元中,并且然后可以由处理器驱动。该存储单元可以位于处理器的内部或者外面,以经由各种已知的装置向处理器发送数据以及从处理器接收数据。
对于本领域技术人员来说显而易见,本发明可以以不脱离本发明的精神和基本特征的其他特定的形式实施。因此,以上的实施例将在所有方面考虑为说明性的和非限制性的。本发明的范围将通过所附的权利要求的合理的解释确定,并且在本发明的等效范围内的所有变化包括在本发明的范围中。
工业实用性
本发明可以适用于供基于邻近的服务,特别地,用于公共安全的基于邻近的服务的方法和装置。
Claims (8)
1.一种在蜂窝通信系统中由第一基于邻近的服务(ProSe)允许的用户设备(UE)执行ProSe发现过程的方法,该方法包括:
通过使用所述第一ProSe允许的UE的私钥,加密发现信号的有效载荷;
将所述第一ProSe允许的UE的公钥添加到所述发现信号的所述有效载荷;以及
将包括所述有效载荷和所述第一ProSe允许的UE的所述公钥的所述发现信号发送到一个或多个第二ProSe允许的UE,
其中,所述第一ProSe允许的UE的所述公钥被用于所述一个或多个第二ProSe允许的UE解密所述发现信号的所述有效载荷。
2.根据权利要求1所述的方法,进一步包括:
接收响应于所述发现信号的响应信号,其中所述响应信号包括通过第三ProSe允许的UE的私钥加密的有效载荷和所述第三ProSe允许的UE的公钥。
3.根据权利要求2所述的方法,进一步包括:
从所述响应信号中提取所述第三ProSe允许的UE的所述公钥;和
通过使用所述第三ProSe允许的UE的所述公钥,解密所述响应信号的所述有效载荷。
4.根据权利要求1所述的方法,其中,在所述发现信号中的所述有效载荷包括认证请求,所述认证请求包括随机号码和认证令牌。
5.在无线通信系统中被配置为执行基于邻近的服务(ProSe)发现的第一公共安全ProSe允许的用户设备(UE),所述第一公共安全ProSe允许的UE包括:
射频(RF)单元;和
处理器,其中所述处理器被配置为:
通过使用所述第一ProSe允许的UE的私钥,加密发现信号的有效载荷,
将所述第一ProSe允许的UE的公钥添加到所述发现信号的所述有效载荷,以及
将包括所述有效载荷和所述第一ProSe允许的UE的所述公钥的所述发现信号发送到一个或多个第二ProSe允许的UE,
其中,所述第一ProSe允许的UE的所述公钥被用于所述一个或多个第二ProSe允许的UE解密所述发现信号的所述有效载荷。
6.根据权利要求5所述的第一公共安全ProSe允许的UE,其中,所述处理器被进一步配置为:
接收响应于所述发现信号的响应信号,其中所述响应信号包括通过第三ProSe允许的UE的私钥加密的有效载荷和所述第三ProSe允许的UE的公钥。
7.根据权利要求6所述的第一公共安全ProSe允许的UE,其中,所述处理器被进一步配置为:
从所述响应信号中提取所述第三ProSe允许的UE的所述公钥,以及通过使用所述第三ProSe允许的UE的所述公钥解密所述响应信号的所述有效载荷。
8.根据权利要求5所述的第一公共安全ProSe允许的UE,其中,在所述发现信号中的所述有效载荷包括认证请求,所述认证请求包括随机号码和认证令牌。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261721023P | 2012-11-01 | 2012-11-01 | |
| US61/721,023 | 2012-11-01 | ||
| PCT/KR2013/009772 WO2014069909A1 (en) | 2012-11-01 | 2013-10-31 | Method and apparatus of providing integrity protection for proximity-based service discovery with extended discovery range |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104737572A true CN104737572A (zh) | 2015-06-24 |
| CN104737572B CN104737572B (zh) | 2019-01-18 |
Family
ID=50547200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380054395.7A Expired - Fee Related CN104737572B (zh) | 2012-11-01 | 2013-10-31 | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9681261B2 (zh) |
| EP (1) | EP2915354A4 (zh) |
| KR (1) | KR101660751B1 (zh) |
| CN (1) | CN104737572B (zh) |
| WO (1) | WO2014069909A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017113353A1 (zh) * | 2015-12-31 | 2017-07-06 | 华为技术有限公司 | 数据传输方法、装置和设备 |
| CN108702786A (zh) * | 2016-03-25 | 2018-10-23 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN109246705A (zh) * | 2017-06-15 | 2019-01-18 | 维沃移动通信有限公司 | 一种数据无线承载完整性保护配置方法、终端及网络设备 |
| CN111356134A (zh) * | 2018-12-20 | 2020-06-30 | 华为技术有限公司 | 通信方法和装置 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9532224B2 (en) * | 2012-11-05 | 2016-12-27 | Electronics And Telecommunications Research Institute | Method of device-to-device discovery and apparatus thereof |
| EP3087769A1 (en) | 2013-12-24 | 2016-11-02 | Nec Corporation | Apparatus, system and method for sce |
| US9313030B2 (en) * | 2014-01-22 | 2016-04-12 | Futurewei Technologies, Inc. | Method and apparatus for secure ad hoc group device-to-device communication in information-centric network |
| GB2523328A (en) * | 2014-02-19 | 2015-08-26 | Nec Corp | Communication system |
| MX363654B (es) * | 2014-03-21 | 2019-03-28 | Ericsson Telefon Ab L M | Autenticacion en descubrimiento de dispositivo a dispositivo. |
| US10142847B2 (en) * | 2014-05-23 | 2018-11-27 | Qualcomm Incorporated | Secure relay of discovery information in wireless networks |
| US10504148B2 (en) | 2014-05-23 | 2019-12-10 | Qualcomm Incorporated | Peer-to-peer relaying of discovery information |
| US10079822B2 (en) * | 2014-06-30 | 2018-09-18 | Intel IP Corporation | Techniques for securely receiving critical communication content associated with a critical communication service |
| US9473489B2 (en) * | 2014-09-29 | 2016-10-18 | Aerohive Networks, Inc. | Private simultaneous authentication of equals |
| WO2016068655A1 (en) | 2014-10-30 | 2016-05-06 | Samsung Electronics Co., Ltd. | Method of performing device to device communication between user equipments |
| EP3026939B1 (en) * | 2014-11-27 | 2017-08-16 | Rohde & Schwarz GmbH & Co. KG | Traffic control system |
| CN105828413B (zh) * | 2015-01-09 | 2020-11-10 | 中兴通讯股份有限公司 | 一种d2d模式b发现的安全方法、终端和系统 |
| CN104683939A (zh) * | 2015-01-14 | 2015-06-03 | 中兴通讯股份有限公司 | 一种临近发现中区分移动终端不同属性的方法及网元 |
| CN107113594B (zh) * | 2015-01-16 | 2021-01-29 | 三星电子株式会社 | 设备到设备通信系统的安全发送和接收发现消息的方法 |
| CN106797632B (zh) * | 2015-03-12 | 2019-11-19 | 华为技术有限公司 | 实现业务连续性的方法、装置及系统 |
| US9893894B2 (en) * | 2015-03-13 | 2018-02-13 | Intel IP Corporation | Systems, methods, and devices for secure device-to-device discovery and communication |
| CN114363887A (zh) * | 2015-04-13 | 2022-04-15 | 瑞典爱立信有限公司 | 代码加密 |
| KR101953269B1 (ko) * | 2015-06-23 | 2019-06-11 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 비승인 전송 방법, 사용자 장비, 액세스 네트워크 장치, 및 코어 네트워크 장치 |
| KR20170002201A (ko) * | 2015-06-29 | 2017-01-06 | 삼성전자주식회사 | 무선 통신 시스템에서 근접 서비스 통신을 수행하는 방법 및 장치 |
| WO2017023998A1 (en) * | 2015-08-03 | 2017-02-09 | Convida Wireless, Llc | Mechanisms for ad hoc service discovery |
| WO2017027056A1 (en) * | 2015-08-11 | 2017-02-16 | Intel IP Corporation | Secure direct discovery among user equipment |
| US20170118635A1 (en) * | 2015-10-26 | 2017-04-27 | Nokia Solutions And Networks Oy | Key separation for local evolved packet core |
| US10142772B2 (en) | 2015-12-16 | 2018-11-27 | Qualcomm Incorporated | Systems and methods for emergency data communication |
| US10142816B2 (en) * | 2015-12-16 | 2018-11-27 | Qualcomm Incorporated | Systems and methods for emergency data communication |
| RU2712824C1 (ru) * | 2016-01-25 | 2020-01-31 | Телефонактиеболагет Лм Эрикссон (Пабл) | Защита от неявного пространственного повторения |
| CN108476240B (zh) | 2016-01-25 | 2022-03-15 | 瑞典爱立信有限公司 | 显式空间重放保护 |
| EP3285512A1 (en) * | 2016-08-17 | 2018-02-21 | Gemalto Sa | Authentication server of a cellular telecommunication network and corresponding uicc |
| CN108924959B (zh) * | 2017-04-26 | 2020-11-27 | 华为技术有限公司 | 无线通信的方法、amf和ran |
| US11863541B2 (en) | 2018-01-04 | 2024-01-02 | Signify Holding B.V. | System and method for end-to-end secure communication in device-to-device communication networks |
| CN112385249B (zh) | 2018-06-22 | 2024-05-28 | 交互数字专利控股公司 | 使用pc5通信为wtru保护隐私的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020152384A1 (en) * | 2001-04-12 | 2002-10-17 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| US20030092425A1 (en) * | 2001-11-09 | 2003-05-15 | Docomo Communications Laboratories Usa, Inc. | Method for securing access to mobile IP network |
| CN1698305A (zh) * | 2003-02-03 | 2005-11-16 | 索尼株式会社 | 广播加密密钥发布系统 |
| CN101626366A (zh) * | 2008-07-10 | 2010-01-13 | 华为技术有限公司 | 保护代理邻居发现的方法、系统和相关装置 |
| CN101843075A (zh) * | 2007-11-01 | 2010-09-22 | 爱立信电话股份有限公司 | 通过代理连接的主机之间的安全邻居发现 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2392590B (en) * | 2002-08-30 | 2005-02-23 | Toshiba Res Europ Ltd | Methods and apparatus for secure data communication links |
| US7293171B2 (en) | 2004-01-21 | 2007-11-06 | Microsoft Corporation | Encryption to BCC recipients with S/MIME |
| US8321690B2 (en) | 2005-08-11 | 2012-11-27 | Microsoft Corporation | Protecting digital media of various content types |
| WO2008072211A2 (en) * | 2006-12-14 | 2008-06-19 | Iwics Inc | Distributed network management hierarchy in a multi-station communication network |
| JP5453461B2 (ja) | 2009-03-05 | 2014-03-26 | インターデイジタル パテント ホールディングス インコーポレイテッド | H(e)NB完全性検証および妥当性確認のための方法および機器 |
| US20100235689A1 (en) * | 2009-03-16 | 2010-09-16 | Qualcomm Incorporated | Apparatus and method for employing codes for telecommunications |
| EP2427993A2 (en) * | 2009-05-05 | 2012-03-14 | Koninklijke Philips Electronics N.V. | Method for securing communications in a wireless network, and resource-restricted device therefor |
-
2013
- 2013-10-31 CN CN201380054395.7A patent/CN104737572B/zh not_active Expired - Fee Related
- 2013-10-31 WO PCT/KR2013/009772 patent/WO2014069909A1/en active Application Filing
- 2013-10-31 KR KR1020157014544A patent/KR101660751B1/ko active IP Right Grant
- 2013-10-31 US US14/069,061 patent/US9681261B2/en active Active
- 2013-10-31 EP EP13850171.3A patent/EP2915354A4/en not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020152384A1 (en) * | 2001-04-12 | 2002-10-17 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| US20030092425A1 (en) * | 2001-11-09 | 2003-05-15 | Docomo Communications Laboratories Usa, Inc. | Method for securing access to mobile IP network |
| CN1698305A (zh) * | 2003-02-03 | 2005-11-16 | 索尼株式会社 | 广播加密密钥发布系统 |
| CN101843075A (zh) * | 2007-11-01 | 2010-09-22 | 爱立信电话股份有限公司 | 通过代理连接的主机之间的安全邻居发现 |
| CN101626366A (zh) * | 2008-07-10 | 2010-01-13 | 华为技术有限公司 | 保护代理邻居发现的方法、系统和相关装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017113353A1 (zh) * | 2015-12-31 | 2017-07-06 | 华为技术有限公司 | 数据传输方法、装置和设备 |
| CN108476131A (zh) * | 2015-12-31 | 2018-08-31 | 华为技术有限公司 | 数据传输方法、装置和设备 |
| US10904760B2 (en) | 2015-12-31 | 2021-01-26 | Huawei Technologies Co., Ltd. | Data transmission method, apparatus, and device |
| CN108702786A (zh) * | 2016-03-25 | 2018-10-23 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN108702786B (zh) * | 2016-03-25 | 2020-09-08 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| US10863356B2 (en) | 2016-03-25 | 2020-12-08 | Huawei Technologies Co., Ltd. | Communications method, apparatus, and system |
| CN109246705A (zh) * | 2017-06-15 | 2019-01-18 | 维沃移动通信有限公司 | 一种数据无线承载完整性保护配置方法、终端及网络设备 |
| CN111356134A (zh) * | 2018-12-20 | 2020-06-30 | 华为技术有限公司 | 通信方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2915354A1 (en) | 2015-09-09 |
| EP2915354A4 (en) | 2016-06-29 |
| KR101660751B1 (ko) | 2016-09-28 |
| WO2014069909A1 (en) | 2014-05-08 |
| CN104737572B (zh) | 2019-01-18 |
| US9681261B2 (en) | 2017-06-13 |
| US20140119544A1 (en) | 2014-05-01 |
| KR20150082434A (ko) | 2015-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104737572B (zh) | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 | |
| Cao et al. | A survey on security aspects for 3GPP 5G networks | |
| US10674360B2 (en) | Enhanced non-access stratum security | |
| US10548005B2 (en) | Method for security of user equipment connection identifier in wireless communication system and apparatus therefor | |
| US20180083972A1 (en) | Method and apparatus for security configuration in wireless communication system | |
| CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| CN107710801B (zh) | 免授权传输的方法、用户设备、接入网设备和核心网设备 | |
| JP6227631B2 (ja) | データパケットのアップリンク及びダウンリンクの間のコネクションレス型送信のための方法及びシステム | |
| EP2815598B1 (en) | Security solution for integrating a wifi radio interface in lte access network | |
| US11070981B2 (en) | Information protection to detect fake base stations | |
| CN112154624A (zh) | 针对伪基站的用户身份隐私保护 | |
| CN101405987B (zh) | 无线系统的非对称加密 | |
| CN103179558A (zh) | 集群系统组呼加密实现方法及系统 | |
| EP3485667B1 (en) | Enhanced aggregated re-authentication for wireless devices | |
| US20210297400A1 (en) | Secured Authenticated Communication between an Initiator and a Responder | |
| Pratas et al. | Massive machine-type communication (mMTC) access with integrated authentication | |
| TW202118259A (zh) | 在核心網路中的網路功能處的系統資訊保護 | |
| US11582214B2 (en) | Updating security key | |
| WO2022025566A1 (en) | Methods and systems for deriving cu-up security keys for disaggregated gnb architecture | |
| Baskaran et al. | A lightweight incognito key exchange mechanism for LTE-A assisted D2D communication | |
| JP2024026229A (ja) | Slユニキャストにおけるセキュリティの改善 | |
| US20220345883A1 (en) | Security key updates in dual connectivity | |
| Segura et al. | 5G early data transmission (Rel-16): Security review and open issues | |
| WO2013055086A1 (ko) | 무선 통신 시스템에서 단말의 인증 방법 및 장치 | |
| Fidelis et al. | ENHANCED ADAPTIVE SECURITY PROTOCOL IN LTE AKA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190118 Termination date: 20191031 |