CN105340212A - 用于生成在设备至设备通信中的密钥的方法和装置 - Google Patents
用于生成在设备至设备通信中的密钥的方法和装置 Download PDFInfo
- Publication number
- CN105340212A CN105340212A CN201380077742.8A CN201380077742A CN105340212A CN 105340212 A CN105340212 A CN 105340212A CN 201380077742 A CN201380077742 A CN 201380077742A CN 105340212 A CN105340212 A CN 105340212A
- Authority
- CN
- China
- Prior art keywords
- key
- network device
- user equipment
- subscriber equipment
- security parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/18—Interfaces between hierarchically similar devices between terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于保护设备至设备通信的安全的方法和装置。一种方法可以包括:在接入网装置处,从核心网装置获得并存储针对第一用户设备的设备至设备通信的在第一用户设备和所述核心网装置之间共享的第一密钥;从第二用户设备接收用于生成针对在第一用户设备和第二用户设备之间的设备至设备通信的第二密钥的请求;响应于该请求,基于所述第一密钥和安全参数来生成所述第二密钥;以及向所述第二用户设备发送所述第二密钥。
Description
技术领域
本发明一般涉及网络控制的设备至设备通信。更具体地,本发明涉及用于生成在设备至设备(在本申请中还被称为“D2D”)通信中的密码密钥的增强的方法以及相关装置。
背景技术
随着未来服务的发展,引入了下一代无线通信系统,诸如3GPP(第三代合作伙伴计划)LTE(长期演进)及其以后的系统,IMT-A(国际移动电信-高级)系统等,以满足针对数以亿计订户的高速、大容量和高QoS(服务质量)。在这点上,已经做出了努力来实现用于减少在蜂窝通信网上的负载的网络控制的D2D通信。此类D2D通信的示例包含:在一群邻近设备之间的直接通信,以及在蜂窝网络中的自治D2D通信。在此类网络控制的D2D通信中,诸如用户设备(UE)的设备或终端彼此直接通信,而不是经由蜂窝网络(特别是经由接入节点或其基站)从一个设备向另一个设备传递数据,其中能够由蜂窝网络来执行主要控制和配置,诸如信道/承载配置。
安全保护可能是针对网络控制的D2D通信的问题,例如,因为如果没有使用在进行直接D2D通信的对等UEs之间的强安全保护,则恶意用户可能能够在D2D通信上进行窃听。根据当前的安全机制,由核心网来管理和控制针对网络控制的D2D通信的密钥生成。核心网,尤其是用于密钥管理的装置(诸如,MME(移动性管理实体)、HSS(家乡订户服务器)和/或诸如此类)需要被牵扯到每个D2D连接的建立和密钥协商中。这可能高度地增加核心网的信令负担,例如在进行D2D通信的UEs的数量巨大的情况下。
有鉴于此,在现有技术中将是前进的是,提供一种在D2D通信的密钥生成中降低核心网的信令负担的方式。
发明内容
为了克服以上描述的局限,以及为了克服在阅读和理解本说明书时将是明显的其它局限,本公开提供了用于生成在D2D通信中密码密钥而不将太多信令负担引入到核心网的方法。
根据一个实施例,一种方法包括:在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥。所述方法还包括向第二用户设备发送设备至设备服务的通知。所述方法还包括从所述第二用户设备接收第二安全参数,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数。所述方法还包括:在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
在一些示例实施例中,导出所述第一密钥包括:向所述核心网装置发送请求消息,所述请求消息指示所述第一用户设备的设备至设备通信的能力;以及接收来自所述核心网装置的所述第一安全参数。所述第一用户设备在接收所述第一安全参数后能够返回到空闲模式。
在一些示例实施例中,所述方法还可以包括:使用所述第一用户设备的设备至设备注册区域的位置信息将所述第一用户设备注册到所述接入网装置。
根据另一个实施例,一种装置包括至少一个处理器和包含计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为使用所述至少一个处理器至少部分地使得所述装置在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥。还使得所述装置向第二用户设备发送设备至设备服务的通知。还使得所述装置从所述第二用户设备接收第二安全参数,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数。还使得所述装置在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
根据另一个方面,一种载有一个或多个指令的一个或多个序列的计算机可读存储介质,当由一个或多个处理器运行所述一个或多个指令的一个或多个序列时,所述一个或多个指令的一个或多个序列至少部分地使得装置在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥;向第二用户设备发送设备至设备服务的通知;从所述第二用户设备接收第二安全参数,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数;在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
根据另一个方面,一种装置包括:用于在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥的构件。所述装置还包括用于向第二用户设备发送设备至设备服务的通知的构件。所述装置还包括用于从所述第二用户设备接收第二安全参数的构件,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数。所述装置还包括用于在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥的构件,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
根据一个实施例,一种方法包括:在接入网装置处,从核心网装置获得并存储针对第一用户设备的设备至设备通信的在所述第一用户设备和所述核心网装置之间共享的第一密钥。所述方法还包括从第二用户设备接收用于生成针对在所述第一用户设备和所述第二用户设备之间的设备至设备通信的第二密钥的请求。所述方法还包括:响应于该请求,基于所述第一密钥和安全参数来生成所述第二密钥。所述方法还包括:向所述第二用户设备发送所述第二密钥。
在一些示例实施例中,所述方法还可以包括:接受所述第一用户设备的注册;以及存储与所述第一用户设备的设备至设备注册区域的位置信息相关联的第一密钥。在一些示例实施例中,所述方法还可以包括:向所述第二用户设备发送所述安全参数,以便所述安全参数的至少一部分被转发给所述第一用户设备。在一些示例实施例中,所述方法还可以包括:在所述第一用户设备移动离开由所述接入网装置管理的注册区域后,从所述接入网装置移除所述第一密钥。
在示例实施例中,用于生成所述第二密钥的请求可以指示的是,所述第二密钥将用于在所述第一用户设备和所述第二用户设备之间的设备至设备通信,以及能够包括所述第一用户设备的身份。所述接入网装置可以是增强的节点B或设备至设备注册服务器功能服务器。
根据一个实施例,一种方法包括:在核心网装置处,接收用于生成针对用户设备的设备至设备通信的第一密钥的请求。所述方法还包括:响应于该请求,基于在所述核心网装置和所述用户设备之间共享的密钥和安全参数来生成所述第一密钥。所述方法还包括:向所述用户设备发送所述安全参数。所述方法还包括向第一用户设备注册到的接入网装置发送所述第一密钥。
在示例实施例中,所述请求可以指示所述用户设备的设备至设备通信的能力。可以在相同的消息中,从所述核心网装置向所述接入网装置传送所述安全参数连同所述第一密钥和所述用户设备的身份。所述核心网装置可以是移动性管理实体。
从仅是通过说明若干特定实施例和实现方式(包含用于实现本发明所设想的最佳模式)的以下详细描述,本发明的其它方面、特征和优点易于明显。本发明还能够有其它和不同实施例,以及在全部不背离本发明的精神和范围的情况下,可以在各种明显的方面来修改它的若干细节。因此,附图和说明书在实际上将被认为是说明性的,而不是限制性的。
附图说明
在附图的图中通过示例并且不作为限制来说明本发明的实施例:
图1是能够实现本发明的至少一个实施例的无线通信系统;
图2描绘了说明根据本发明的实施例的在D2D用户设备之间的密钥生成过程的示例时序图;
图3是根据一个实施例的针对网络控制的D2D通信的密钥生成的过程的流程图;
图4是根据一个实施例的针对网络控制的D2D通信的密钥生成的过程的流程图;
图5是根据一个实施例的针对网络控制的D2D通信的密钥生成的过程的流程图;以及
图6是适应于在实践本发明的各种示例实施例中使用的各种设备的简化框图。
具体实施方式
公开了用于生成在D2D通信中的密码密钥而不将太多负担引入到核心网的方法、装置和计算机程序的示例。在以下描述中,出于解释的目的,阐述了许多特定细节,以便提供本发明的实施例的彻底理解。然而,对于本领域的技术人员而言将明显的是,可以在没有这些特定细节或使用等同布置来实践本发明的实施例。在其它情况下,以框图的形式示出了众所周知的结构和设备,以便避免不必要地使本发明的实施例不清楚。全文中,相同的标记指相同的元素。
图1是能够实现本发明的至少一个实施例的无线通信系统。一般地,无线通信系统包含无线电接入网和核心网。无线电接入网控制小区和在该小区内操作的某些UEs,以提供至核心网的无线接入。如在图1中示出的,无线电接入网120可以包括:基站122,其能够支持对应的服务或覆盖区域(还被称为小区)。基站120还能够与在覆盖区域内的无线设备通信,诸如用户设备110A、110B。尽管图1描绘了在无线电接入网120中的一个基站122和两个用户设备110A、110B,但是也可以实现其它数量的基站和用户设备。
在一些实现方式中,可以将基站120实现为符合标准,包含长期演进(LTE)标准,的演进的节点B(eNB)类型基站。用户设备110A、110B可以是移动的和/或固定的。此外,用户设备110A、110B可以被称为例如设备、移动站、移动单元、订户站、无线终端、终端等。用户设备可以被实现为例如,无线手持型设备、无线插入式附件等。例如,用户设备可以采用无线电话、具有至网络的无线连接的计算机等的形式。在一些情况下,用户设备可以包含以下中的一个或多个:至少一个处理器、至少一个计算机可读存储介质(例如,存储器、存储设备等)、无线电接入机构、以及用户接口。
核心网130包括蜂窝通信网的常规网络单元和功能,诸如MME132(移动性管理实体)、HSS(家乡订户服务器)134等。在核心网中的网络单元能够被组织成基本结构以及以本领域的技术人员众所周知的基本方式进行操作。
在本发明的实施例中,无线通信系统100被配置为还支持网络控制的D2D通信。在这点上,D2D特征被集成到公共陆地移动系统中,诸如第三代合作伙伴计划(3GPP)以及下代的蜂窝通信系统。蜂窝通信系统,诸如eNB122、MME132或其它网络单元,可以用于帮助D2D通信的建立和进行中的控制,例如D2D通信的无线电资源分配,切换控制等。也就是说,UE能够经由蜂窝通信系统(尤其经由eNB122)或经由直接D2D通信彼此通信。如在图1中示出的,UE110A是在eNB122的控制下,以及与UE110B直接通信。
为了使针对D2D通信的管理更可行和高效,可以针对D2D用户的注册、认证和识别引入DRSF(D2D注册服务器功能)服务器。在D2D注册区域中的D2D用户能够使用D2D用户ID和临时的UEID(例如,S-TMSI)注册到D2D注册区域的DRSF。DRSF服务器可以位于无线电接入网实体(例如,eNB)中或位于核心网实体(例如,MME)中或位于具有分层架构的两者中。在DRSF服务器位于无线电接入网的情况下,能够以集中或分布的方式来实现DSRF。
针对集中的DRSF,D2D注册区域应当被限制在一个RAN单元的控制区域内。例如,如果DRSF服务器位于eNB中,则D2D注册区域可以被限制于由一个eNB控制的区域。用于在一个RAN中的集中的DRSF能够缩短针对D2D连接建立的时间,因为在D2D连接建立的过程中涉及更少的网络实体和信令,但是要求更频繁的D2D注册。也就是说,当用户设备移动到新的D2D注册区域时,例如由新的eNB控制的小区,需要再次执行D2D注册。针对分布式DRSF,D2D注册区域能够被扩展到由多个RAN单元控制的覆盖区域以避免太频繁的D2D注册。在这种情况下,需要在RAN单元接口(例如,在E-UTRAN中的X2接口)上传递D2D有关的控制(例如,D2D寻呼、D2D连接建立等)信令。
传统上,凭借蜂窝通信系统的复杂的安全机制来提供直接D2D通信的安全保护。例如,能够由包含MME132和HSS134的核心网来控制用于保护直接D2D通信的安全的安全密钥导出。如在图1中示出的,当UE1处于RRC(无线电资源控制)空闲模式中时,UE2将请求核心网(例如,MME132)来生成针对在UE1和UE2之间的D2D服务的安全密钥。通常,针对给定D2D区域,可以有在D2D服务中操作的许多D2DUEs。因此,将烦扰无线网络130(或MME132)来生成针对各自D2D服务的每个单个安全密钥,从核心网的视点这是潜在的挑战。本发明的示例实施例解决了如何高效地支持网络控制的D2D通信的安全,包含如何生成、分发和更新针对D2D服务的安全密钥并具有对核心网的较少的信令影响。示例实施例进行此类密钥生成、分发和更新而不管UE是在RRC连接状态中还是在空闲状态中。
在本发明的示例实施例中,针对UE的D2D服务的第一密钥能够由MME生成,以及然后在UE、MME和控制UE的接入网的单元(诸如eNB或DRSF)之间共享。可以基于针对在核心网中维护的UE的有效安全上下文(例如,NAS(非接入层)安全上下文)来生成第一密钥。例如,MME能够从针对UE的有效接入安全管理实体密钥(被表示为Kasme)生成第一密钥。第一密钥被存储在接入网中,以便能够由接入网单元基于第一密钥来生成针对由在接入网单元的控制下的UE所发起的每个D2D服务的安全密钥,而不需要从核心网请求针对每个D2D服务的安全密钥。
图2描绘了说明根据本发明的实施例的在D2D用户设备之间的密钥生成的过程的示例时序图。用于解释而假设的是,在无线电接入网中有DRSF服务器124。尽管图1将DRSF服务器124说明为与接入网单元中的任何接入网单元分立和不同的实体,但是实际上服务器124的功能可以被并入在接入网120的任何装置中(例如,在eNB122中)。参照图2,UE1110A在210处开机,并且开始至核心网的附着过程。然后,UE1可以请求MME132生成针对由UE1发起的D2D服务的第一密钥。例如,在215处,UE1能够在从UE1110A发送给MME132的附着请求消息中,向MME132指示它的D2D能力。然后,在220处,MME132能够基于在UE1和MME132之间共享的NAS密钥(例如,UE1的Kasme)连同其它安全参数(多个),诸如被表示为Rd2d的随机数,来生成针对UE1的第一密钥(被表示为Kd2d-UE1)。可以根据UE1的身份来提供或生成用于导出D2D密钥的参数(多个)。例如,当在通电后UE1首先预占在eNB122的小区上时,核心网(即,非接入层)能够注册UE1以及实现在UE1和核心网之间的NAS安全的一致性(例如,共享共同的NAS密钥)。在这点上,将有针对UE1的有效的NAS安全上下文,有效的NAS安全上下文包括在核心网中,例如在MME132或HSS134中维护的共同的NAS密钥。例如,在UE1和MME132之间共享的NAS密钥可以是UE1的Kasme,可以基于UE1的身份来检索它。
MME132可以包含在附着接受消息中的安全参数(多个)(诸如随机数Rd2d),具有NAS级别安全保护(例如,加密)将该附着接受消息从MME132发送给UE1110A。同时,在230处,MME能够向eNB122(或DRSF134),在eNB122(或DRSF134)中发起附着过程,发送针对UE1生成的Kd2d-UE1连同UE1的身份,例如UE1的S-TMSI。然后,如在245处示出的,eNB或DRSF能够存储这个信息以用于进一步使用。在一些示例实施例中,从MME132分别发送给eNB122和UE1110A的两个参数集可以被包含在相同的S1AP消息中,即INITIALCONTEXTSETUPREQUEST消息,以便从MME的视点,仅一个S1AP信令用于传递必要的参数。例如如在240处示出的,基于共享的NAS密钥Kasme和所接收的安全参数(多个)Rd2d,UE1能够导出第一密钥。照此,可以在UE1、eNB/DRSF和MME132之间共享第一密钥。
尽管如在图2中说明的,在至核心网的附着过程期间生成和分发第一密钥,但是应当了解的是,在一些示例实施例中,第一密钥的生成不局限于这个过程。例如,第一密钥可以在MME中被更新并且被自动地提供给UE1,以及/或可以在由UE1或MME发起的专用过程中生成第一密钥。
并行于第一密钥的生成和分发,UE1能够针对在UE1当前位于的D2D注册区域中的D2D服务,将自己注册到控制UE1当前位于的D2D注册区域的接入网装置(诸如eNB或DRSF)。这个注册可以被执行为D2D区域注册。在图1中说明的这个实施例中,UE1110A经由接入网120连接到核心网130,以及然后在235处,能够使用它的身份和在D2D注册区域中的它的位置信息来注册到eNB122/DRSF124。eNB/DRSF能够存储用于将针对UE1的第一密钥与UE1的身份(例如,UE1的D-TMSI)和位置信息相关联的D2D注册信息。应当了解的是,D2D区域注册能够发生在任何必要的时间。在一些实施例中,能够在第一密钥的生成和分发之前或之后来执行D2D区域注册。
通过D2D注册,UE1110A被允许在eNB122和/或DRSF124的控制下的D2D注册区域中进行D2D服务。在附着过程或D2D区域注册后,UE1能够返回到空闲模式,例如为了最低能量消耗。也就是说,在UE1和eNB122之间没有建立RRC连接。例如,UE1可以停留在如在LTE协议所指定的RRC空闲模式中。作为能够D2D通信的设备,即使UE1停留在RRC空闲模式中,UE1能够在它希望D2D通信时,将针对D2D服务的通知广播给它的邻近的D2DUEs。例如,在255处,尽管停留在空闲模式中,UE1广播针对D2D服务的通知。该通知使用UE1的身份,例如UE1的IMEI(国际移动设备身份)、IMSI(国际移动订户身份)、或S-IMSI(短-临时移动订户身份)、或其它D2D用户ID,还将UE1标识为D2D服务的组织者。当UE1预占eNB122的小区时,向UE1分配UE1的身份。尽管如在图2中说明的,当广播D2D服务的通知时,UE1在空闲模式中,但是当UE1在RRC连接模式中时,也可以广播该通知。
然后,一个或多个邻近的D2DUEs(例如,UE2110B)可以检测来自UE1的D2D服务的广播的通知,以及决定与UE1建立D2D连接。基于在检测的通知中的信息,UE2能够获得UE1的身份信息(例如,S-TMSI)以及请求eNB/DRSF来生成针对在UE1和UE2之间的D2D连接的第二密钥。如在260A、260B和265处示出的,在UE2和eNB122之间没有RRC连接的情况下,UE2能够向eNB122发起RRC连接建立过程。通过所建立的RRC连接,针对第二密钥的请求可以被发送给eNB/DRSF。例如,UE1的身份,其可以在255处从所接收的通知来获得,可以在265处在RRC连接建立完成消息中被传送给eNB122/DRSF124,以请求eNB122/DRSF124来生成所需要的D2D安全密钥。在这个示例中,向eNB指示的是,仅针对D2D密钥的导出来模仿RRC连接建立过程,其不同于传统的RRC连接。在传统的方式中,根据有关规范,eNB一般需要在RRC连接建立过程后将初始UE消息(例如,从UE2发起的请求)转发给核心网(例如MME)。替代地,在本发明的各种实施例中,该转发是不需要的,因为这是由于eNB/DRSF来生成第二密钥。在这点上,UE2能够在RRC连接建立完成消息中包含新的原因值,例如“D2D密钥导出过程”,以向eNB指示RRC连接建立过程仅是针对D2D密钥的导出,以便无线电接入网和核心网(特别地,eNB122和MME132)不需要执行除了使得能够导出第二密钥之外的任何额外的操作。
在一些示例实施例中,UE2可以在决定与UE1建立D2D连接的时刻具有至eNB122的活动的RRC连接。在那种情况下,不需要发起RRC连接建立过程。UE2能够停留在RRC连接模式中,以及通过使用在UE2和eNB122之间的活动的RRC连接向eNB/DRSF发送针对第二密钥的导出的请求。如以上在有关于在RRC连接建立完成消息中的请求所论述的,这个请求也包括UE1的身份(例如,UE1的S-TMSI)。此外,UE2向eNB/DRSF指示这个D2D密钥生成目的,以便类似的eNB/DRSF能够在接入网侧终止该过程,而不是将这个过程转发给核心网侧。
响应于接收到针对密钥导出的请求,eNB132或DRSF134能够向UE2提供针对在UE1和UE2之间的D2D连接的第二密钥(被表示为Kd2d_serv),以及用于导出第二密钥的相关联的安全参数。在这点上,eNB/DRSF能够基于来自所接收的请求的UE1的身份(例如,UE1的S-TMSI)来识别针对UE1的第一密钥(Kd2d-UE1)。例如,基于Kd2d-UE1和安全参数,eNB/DRSF能够在270处生成针对D2D服务完整性保护和加密的Kd2d_serv。用于导出Kd2d_serv的相关联的安全参数可以包括由eNB/DRSF生成的随机数(被表示为Rd2d*)和或与UE2相关联的一些参数,例如UE2的暂时身份(例如,S-TMSI)。然后,eNB/DRSF在275处向UE2发送Kd2d_serv,连同相关联的安全参数(例如,Rd2d*和/或UE2的S-TMSI),如果有的话。
在一些实施例中,eNB/DRSF也可以指定用于导出Kd2d_serv所使用的密钥导出函数(KDF),以及作为相关联的安全参数的一部分向UE1指示KDF。在这点上,eNB/DRSF能够从MME获得UE1的安全能力。例如,在步骤230处,可以从MME132向eNB/DRSF发送UE1的安全能力连同Kd2d-UE1。从该安全能力,eNB/DRSF能够得知由UE1支持的用于生成密钥Kd2d_serv的算法。eNB/DRSF还能够获得被包含在RRC连接请求中的UE2的安全能力。从UE2的安全能力,eNB/DRSF能够得知由UE2支持的用于生成密钥Kd2d_serv的算法。然后,eNB/DRSF能够基于UE1和UE2的安全能力,决定用于生成针对在UE1和UE2之间的D2D通信的密钥的算法。例如,eNB/DRSF能够选择在UE1和UE2之间共同支持的算法。在步骤275处,eNB/DRSF可以向UE2发送指示所选择的算法的算法ID作为相关联的安全参数的一部分,连同Kd2d_serv。
在280处,UE2从eNB/DRSF接收Kd2d_serv以及用于导出Kd2d_serv的相关联的安全参数(例如,Rd2d*和/或UE2的S-TMSI),以及然后存储Kd2d_serv作为针对与UE1的D2D服务的安全密钥。然后,如在285处示出的,UE2将用于导出密钥Kd2d_serv的相关联的安全参数(例如,Rd2d*和/或UE2的S-TMSI)转发给UE1。在一些实施例中,指示所选择的导出Kd2d_serv的算法的算法ID也可以从UE2被转发给UE1,连同Rd2d*和/或UE2的S-TMSI。
使用来自UE2的所接收的安全参数(例如,Rd2d*和/或UE2的S-TMSI,所选择的算法ID),UE1能够基于Kd2d-UE1和安全参数来导出Kd2d_serv。在这点上,根据所接收的算法ID,UE1能够使用与eNB相同的KDF来导出Kd2d_serv。照此,共同的D2D密码密钥,Kd2d_serv能够在UE1和UE2之间被共享,而不打扰核心网。D2D密码密钥Kd2d_serv能够直接用于保护在UE1和UE2之间的D2D通信的安全。可替代地或另外,Kd2d_serv可以用于导出其它密钥,该其它密钥用于保护在UE1和UE2之间的D2D通信的安全。
在一些实施例中,如果UE1移动离开由eNB或DRSF控制的D2D注册区域,则eNB或DRSF能够更新UE1的位置信息以及移除UE1的有关安全上下文,包含Kd2d-UE1和Kd2d_serv。然后,当UE1回到eNB/DRSF的D2D注册区域并且eNB/DRSF发现没有针对UE1而存在的安全上下文时,它能够请求核心网(例如,MME)来传递包含UE1的第一密钥Kd2d-UE1的上下文。因为MME总是保留针对UEs的一些上下文信息(包含安全上下文),因此即使UEs在空闲模式中,MME总是能够例如经由请求/响应过程向eNB/DRSF提供这些上下文信息。
尽管参照图2以某一顺序来描述许多操作,但是应当了解的是,可以以可替代的顺序来执行这些操作,以及能够调整、组合、或甚至省略一些操作。例如,在示例实施例中,在UE1110A中的第一密钥Kd2d-UE1的导出(步骤240)可以发生在第二密钥Kd2d_serv的导出(步骤290)之前的任何时间。此外,可以省略在250处的返回到空闲模式,意味着当广播D2D服务的通知时UE1110A不在空闲模式中。在示例实施例中,UE1110A能够在D2D区域注册后从MME132请求第一密钥。在示例实施例中,例如当在270处生成针对UE1的第二密钥Kd2d_serv时,当eNB/DRSF发现它不能识别第一密钥时,eNB/DRSF能够请求MME132提供UE1的第一密钥。
在各种实施例中,一旦接入网获得针对由UE1发起的D2D通信的第一密钥,则它能够生成第二密钥,该第二密钥最终用于保护在UE1和对等UE(例如,UE2)之间的D2D连接。照此,可以在接入网中处理针对每个D2D连接的密钥的导出,而不向核心网(例如,MME)引入信令负担。能够显著地减少对核心网的信令影响,尤其是在许多D2DUEs处于与UE1的D2D服务的情况下。此外,没有牵连核心网或MME,与传统方法相比,尤其是针对D2D对,其中该D2D对中的一个在空闲模式中,还缩短了针对D2D密钥生成的时延。
图3、4和图5是说明根据针对网络控制的D2D通信的密钥生成的本发明的示例实施例的方法的操作的流程图,以及计算机程序指令的执行的结果。更具体地,图3、4和图5是在D2D对等用户设备,诸如UE1和UE2,诸如eNB122或DRSF124的接入网装置,和核心网装置,诸如MME132,之间的过程流的描述。在此类实施例中,该过程可以被实现在例如包含如在图6中示出的处理器和存储器的芯片组中。照此,用户设备能够提供用于完成过程300的各种部分的构件,以及用于结合其它组件来完成其它过程的构件,接入网装置能够提供用于完成过程400的各种部分的构件,以及用于结合其它组件来完成其它过程的构件,以及核心网装置能够提供用于完成过程500的各种部分的构件,以及用于结合其它组件来完成其它过程的构件。
在步骤310中,用户设备(诸如,UE1110A)基于第一安全参数和在核心网装置(例如,MME132)和用户设备之间共享的密钥,诸如UE1的Kasme,来导出第一密钥。UE1能够向MME132发送针对第一密钥的生成的请求消息。该请求能够指示UE1的D2D通信的能力。响应于该请求,UE1能够从MME132接收第一安全参数,诸如随机数。
在步骤320中,UE1向它的对等的用户设备,诸如UE2,发送D2D服务的通知。UE1可以停留在空闲模式中。能够在物理层信标中将D2D服务的通知广播给UE2,以及该信标可以将UE1标识为D2D服务的组织者。
接着在步骤330中,UE1从它的对等用户设备(诸如UE2)接收第二安全参数,它的对等用户设备希望与UE1建立D2D连接。第二安全参数是用于由接入网装置(诸如eNB122或DRSF124)基于第一密钥来生成第二密钥的参数,UE1注册到该接入网装置。第二安全参数可以包含由接入网装置提供的随机数,和/或对等用户设备UE2的暂时身份。UE1能够使用D2D注册区域的它的位置信息注册到eNB122或DRSF124。
接着,在步骤340中,UE1基于第二安全参数和第一密钥来导出第二密钥。第二密钥用于保护在UE1和它的对等用户设备之间的D2D通信。UE2能够从接入网装置直接获得第二密钥。然后,在UE1和UE2之间建立D2D连接,以及可以基于第二密钥来保护在UE1和UE2之间的D2D通信的安全。
在步骤410中,接入网装置(诸如eNB122或DRSF124)从核心网装置(诸如MME132)获得针对D2D用户设备(诸如UE1)的第一密钥,并且存储第一密钥。在UE1和MME132之间共享针对UE1的D2D通信的第一密钥。UE1可以是在由eNB122或DRSF124管理的D2D注册区域内的D2D用户设备。通过接受UE1的注册,eNB122或DRSF124能够存储与UE1的D2D注册区域的位置信息相关联的第一密钥。
在步骤420中,接入网装置(诸如eNB122或DRSF124)从另一个用户设备(诸如UE2)接收用于生成针对在UE1和第二用户设备之间的D2D通信的第二密钥的请求。该请求可以向eNB122或DRSF124指示的是,第二密钥将用于在UE1和UE2之间的D2D通信。
从该请求,eNB122或DRSF124能够识别UE1的身份以及检索Kd2d-UE1。在步骤430中,基于Kd2d-UE1和一些安全参数,诸如随机数或UE2的暂时身份S-TMSI,eNB122或DRSF124能够响应于该请求生成第二密钥。
接着在步骤440中,eNB122或DRSF124向另一个用户设备UE2发送第二密钥。也可以将用户生成第二密钥的安全参数发送给UE2,以便该安全参数能够被转发给UE1。
在步骤510中,核心网装置(诸如MME132)接收用于生成针对用户设备(诸如UE1)的D2D通信的第一密钥的请求。该请求能够指示UE1的D2D通信的能力。接着,在步骤520中,响应于该请求,MME132能够基于在MME132和UE1之间共享的密钥(诸如UE1的Kasme)以及一些安全参数,诸如由MME132提供的随机数,来生成第一密钥。
接着在步骤530中,MME132向UE1发送安全参数,以便UE1能够导出第一密钥。在步骤540中,MME132还向接入网装置,诸如eNB122或DRSF124,发送第一密钥,UE1注册到该接入网装置。使用在UE1和接入网装置之间共享的第一密钥,能够由接入网装置在接入网中终止针对UE1的D2D服务的密钥(即,第二密钥)的生成,而不打扰核心网。
现在参照图6,图6说明了适用于在实践本发明的示例实施例中使用的各种电子设备的简化框图。在图6中,无线通信网600可以适应于经由基站(诸如eNB122)与用户设备610(诸如UEs110A和110B)通信。网络600还可以包含:用于D2D服务的密钥生成的接入网装置620(诸如eNB122或DRSF服务器124),以及用于提供针对用户设备的NAS安全的核心网装置640(诸如MME132)。UEs110A和110B能够在MME132和eNB122的控制下执行蜂窝通信。此外,UE1110A和UE2110B能够在MME132和eNB122,以及可选择地DSRF服务器124,的控制下在彼此之间直接执行D2D通信。根据如上所述的本发明的示例实施例,可以针对UEs生成针对D2D服务的密钥,而不向核心网引入太多的负担。
UE610包含:数据处理器(DP)610A、存储程序(PROG)610C的存储器(MEM)610B、以及用于经由一个或多个天线与eNB无线通信的合适的射频(RF)收发器610D。在示例实施例中,在UE1110A中的收发器610D可以用于在授权频带(例如蜂窝频带)和非授权频带(例如,WLAN频带)两者中的D2D通信。可替代地,收发器610D可以包括分别用于支持在授权频带(例如蜂窝频带)和非授权频带(例如,WLAN频带)中的通信的分离的组件。
接入网装置620包含DP620A、存储PROG620C的MEM620B,以及合适的通信接口620E。通信接口620E可以能够与诸如MME132的核心网通信。在接入网装置620被实现为DRSF服务器的一些实现方式中,通信接口620E还能够适应于经由eNB与UEs通信。在一些示例中,通信接口620E可以用于使用与网络控制的D2D通信相关联的协议和方法传送和接收信息。在接入网装置620被实现为eNB,或也就是说DRSF被并入eNB中,的一些实施例中,接入网装置620还能够包含用于经由一个或多个天线与UEs无线通信的合适的射频(RF)收发器620D。
核心网装置也包含DP640A、存储PROG640C的MEM640B,以及合适的通信接口640E。通信接口640E可以能够与eNB通信以及经由eNB与UE1和UE2通信。在一些实施例中,通信接口620E还适应于与DRSF服务器通信。在一些示例中,通信接口620E可以用于使用与网络控制的D2D通信相关联的协议和方法传送和接收信息。
PROGs610C、620C、640C中的至少一个PROG被认为包含程序指令,当由相关联的DP执行该程序指令时,该程序指令使得电子设备依照如上所述的本发明的示例实施例进行操作。即,可以至少部分地由UE610A的DP610A、由接入网装置620的DP620A以及由核心网装置640的DP640A可执行的计算机软件,或由硬件,或由软件和硬件的组合来实现本发明的示例性实施例。对于本领域的技术人员而言,UE610、接入网装置620(例如,eNB122或DRSF124)以及核心网装置640(例如,MME132)的基本结构和操作是已知的。
一般地,UE610的各种实施例可以包含但不限于:蜂窝电话、具有蜂窝无线通信能力的个人数字助理(PDA)、具有蜂窝无线通信能力的便携式计算机、具有蜂窝无线通信能力的图像捕获设备(诸如数字相机)、具有蜂窝无线通信能力的游戏设备、具有蜂窝无线通信能力的音乐存储和回放装置、允许蜂窝无线互联网接入和浏览的互联网装置,以及包含此类功能的组合的便携式单元或终端。
MEMs610B、620B、640B可以具有适合于本地技术环境的任何类型,以及可以使用任何合适的数据存储技术来实现,诸如基于半导体的存储设备、闪速存储器、磁存储设备和系统、光存储设备和系统、固定存储器和可移动存储器。DP620A、620A、640A可以具有适合于本地技术环境的任何类型,以及可以包含以下中的一个或多个:作为非限制性示例,通用计算机、专用计算机、微处理器、数子信号处理器(DSP)以及基于多核处理器架构的处理器。
一般地,可以在硬件或专用电路、软件、逻辑或其任何组合中来实现各种示例性实施例。例如,可以在硬件中实现一些方面,而在可以由控制器、微处理器或其它计算设备执行的固件或软件中实现其它方面,尽管本发明不限制于此。虽然本发明的示例性实施例的各种方面可以被说明或描述成框图、流程图或使用一些其它图示表示,但是很好理解的是,可以在作为非限制性示例的硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算设备或其一些组合中来实现本文中描述的这些框、装置、系统、技术或方法。
照此,应当了解的是,可以在各种组件(诸如集成电路和模块)中来实践本发明的示例实施例的至少一些方面。因此,应当了解的是,可以在被具体化为集成电路的装置中来实现本发明的示例实施例,其中集成电路可以包括:用于具体化以下中的至少一个或多个的电路(以及可能的固件):数据处理器、数字信号处理器、基带电路和射频电路,它们被配置为依照本发明的示例实施例来进行操作。
应当了解的是,可以在可以由一个或多个计算机或其它设备执行的诸如在一个或多个程序模块中的计算机可执行指令中,来具体化本发明的示例性实施例的至少一些方面。一般地,程序模块包含:例程、程序、对象、组件、数据结构等,当由计算机中的处理器或其它设备中的处理器来执行时,它们执行特定的任务或实现特定的抽象数据类型。计算机可执行的指令可以被存储在计算机可读介质上,诸如硬盘、光盘、可移动存储介质、固态存储器、RAM等。如本领域的技术人员将了解到的是,在各种实施例中,根据需要可以组合或分布程序模块的功能。另外,可以在固件或硬件等同物(诸如集成电路、现场可编程门阵列(FPGA)以及诸如此类)中全部地或部分地具体化该功能。
本发明包含:本文中明确公开的或它们的任何一般化的任何新颖特征和特征组合。当结合附图阅读时,基于上述描述,对于相关领域的技术人员而言,针对本发明的上述示例实施例的各种修改和适应可以变得明显。然而,任何和所有修改仍然将落入本发明的非限制性和示例性实施例的范围内。
Claims (35)
1.一种方法,包括:
在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥;
向第二用户设备发送设备至设备服务的通知;
从所述第二用户设备接收第二安全参数,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数;以及
在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
2.权利要求1所述的方法,其中导出所述第一密钥包括:
向所述核心网装置发送请求消息,所述请求消息指示所述第一用户设备的设备至设备通信的能力;以及
接收来自所述核心网装置的所述第一安全参数。
3.权利要求2所述的方法,其中所述第一用户设备在接收所述第一安全参数后返回到空闲模式。
4.权利要求1所述的方法,还包括:
使用所述第一用户设备的设备至设备注册区域的位置信息将所述第一用户设备注册到所述接入网装置。
5.一种方法,包括:
在接入网装置处,从核心网装置获得并存储针对第一用户设备的设备至设备通信的在所述第一用户设备和所述核心网装置之间共享的第一密钥;
从第二用户设备接收用于生成针对在所述第一用户设备和所述第二用户设备之间的设备至设备通信的第二密钥的请求;
响应于所述请求,基于所述第一密钥和安全参数来生成所述第二密钥;以及
向所述第二用户设备发送所述第二密钥。
6.权利要求5所述的方法,还包括:
接受所述第一用户设备的注册;以及
存储与所述第一用户设备的设备至设备注册区域的位置信息相关联的所述第一密钥。
7.权利要求5所述的方法,还包括向所述第二用户设备发送所述安全参数,以便所述安全参数的至少一部分被转发给所述第一用户设备。
8.权利要求5所述的方法,还包括:
在所述第一用户设备移动离开由所述接入网装置管理的注册区域后,从所述接入网装置移除所述第一密钥。
9.权利要求5所述的方法,其中用于生成所述第二密钥的请求指示的是,所述第二密钥将用于在所述第一用户设备和所述第二用户设备之间的设备至设备通信,以及包括所述第一用户设备的身份。
10.权利要求5所述的方法,其中所述接入网装置是增强的节点B或设备至设备注册服务器功能服务器。
11.一种方法,包括:
在核心网装置处,接收用于生成针对用户设备的设备至设备通信的第一密钥的请求;
响应于所述请求,基于在所述核心网装置和所述用户设备之间共享的密钥和安全参数来生成所述第一密钥;
向所述用户设备发送所述安全参数;以及
向第一用户设备注册到的接入网装置发送所述第一密钥。
12.权利要求11所述的方法,其中所述请求指示所述用户设备的设备至设备通信的能力。
13.权利要求11所述的方法,其中在相同的消息中,从所述核心网装置向所述接入网装置传送所述安全参数连同所述第一密钥和所述用户设备的身份。
14.权利要求11所述的方法,其中所述核心网装置是移动性管理实体。
15.一种装置,包括:
至少一个处理器;以及
包含计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为使用所述至少一个处理器使得所述装置至少执行以下:
在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥;
向第二用户设备发送设备至设备服务的通知;
从所述第二用户设备接收第二安全参数,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数;以及
在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
16.权利要求15所述的装置,其中还使得所述装置:
向所述核心网装置发送请求消息,所述请求消息指示所述第一用户设备的设备至设备通信的能力;以及
接收来自所述核心网装置的所述第一安全参数。
17.权利要求16所述的装置,其中所述第一用户设备在接收所述第一安全参数后返回到空闲模式。
18.权利要求15所述的装置,其中还使得所述装置使用所述第一用户设备的设备至设备注册区域的位置信息将所述第一用户设备注册到所述接入网装置。
19.一种装置,包括:
至少一个处理器;以及
包含计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为使用所述至少一个处理器使得所述装置至少执行以下:
在接入网装置处,从核心网装置获得并存储针对第一用户设备的设备至设备通信的在第一用户设备和所述核心网装置之间共享的第一密钥;
从第二用户设备接收用于生成针对在所述第一用户设备和所述第二用户设备之间的设备至设备通信的第二密钥的请求;
响应于所述请求,基于所述第一密钥和安全参数来生成所述第二密钥;以及
向所述第二用户设备发送所述第二密钥。
20.权利要求19所述的装置,其中还使得所述装置
接受所述第一用户设备的注册;以及
存储与所述第一用户设备的设备至设备注册区域的位置信息相关联的第一密钥。
21.权利要求19所述的装置,其中还使得所述装置向所述第二用户设备发送所述安全参数,以便所述安全参数的至少一部分被转发给所述第一用户设备。
22.权利要求19所述的装置,其中还使得所述装置在所述第一用户设备移动离开由所述接入网装置管理的注册区域后,从所述接入网装置移除所述第一密钥。
23.权利要求19所述的装置,其中用于生成所述第二密钥的请求指示的是,所述第二密钥将用于在所述第一用户设备和所述第二用户设备之间的设备至设备通信,以及包括所述第一用户设备的身份。
24.权利要求19所述的装置,其中所述接入网装置是增强的节点B或设备至设备注册服务器功能服务器。
25.一种装置,包括:
至少一个处理器;以及
包含计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为使用所述至少一个处理器使得所述装置至少执行以下:
在核心网装置处,接收用于生成针对用户设备的设备至设备通信的第一密钥的请求;
响应于所述请求,基于在所述核心网装置和所述用户设备之间共享的密钥和安全参数来生成所述第一密钥;以及
向所述用户设备发送所述安全参数;以及
向第一用户设备注册到的接入网装置发送所述第一密钥。
26.权利要求25所述的装置,其中所述请求指示所述用户设备的设备至设备通信的能力。
27.权利要求25所述的装置,其中在相同的消息中,从所述核心网装置向所述接入网装置传送所述安全参数连同所述第一密钥和所述用户设备的身份。
28.权利要求25所述的装置,其中所述核心网装置是移动性管理实体。
29.一种载有一个或多个指令的一个或多个序列的计算机可读存储介质,当由一个或多个处理器运行所述一个或多个指令的一个或多个序列时,所述一个或多个指令的一个或多个序列使得装置至少执行以下:
在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥;
向第二用户设备发送设备至设备服务的通知;
从所述第二用户设备接收第二安全参数,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数;
在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
30.一种载有一个或多个指令的一个或多个序列的计算机可读存储介质,当由一个或多个处理器运行所述一个或多个指令的一个或多个序列时,所述一个或多个指令的一个或多个序列使得装置至少执行以下:
在接入网装置处,从核心网装置获得并存储针对第一用户设备的设备至设备通信的在所述第一用户设备和所述核心网装置之间共享的第一密钥;
从第二用户设备接收用于生成针对在所述第一用户设备和所述第二用户设备之间的设备至设备通信的第二密钥的请求;
响应于所述请求,基于所述第一密钥和安全参数来生成所述第二密钥;以及
向所述第二用户设备发送所述第二密钥。
31.一种载有一个或多个指令的一个或多个序列的计算机可读存储介质,当由一个或多个处理器运行所述一个或多个指令的一个或多个序列时,所述一个或多个指令的一个或多个序列使得装置至少执行以下:
在核心网装置处,接收用于生成针对用户设备的设备至设备通信的第一密钥的请求;
响应于所述请求,基于在所述核心网装置和所述用户设备之间共享的密钥和安全参数来生成所述第一密钥;以及
向所述用户设备发送所述安全参数;以及
向第一用户设备注册到的接入网装置发送所述第一密钥。
32.一种装置,包括:
用于在第一用户设备处,基于第一安全参数和在核心网装置和所述第一用户设备之间共享的密钥来导出第一密钥的构件;
用于向第二用户设备发送设备至设备服务的通知的构件;
用于从所述第二用户设备接收第二安全参数的构件,其中所述第二安全参数是用于由所述第一用户设备注册到的接入网装置基于所述第一密钥来生成第二密钥的参数;以及
用于在所述第一用户设备处,基于所述第二安全参数和所述第一密钥来导出所述第二密钥的构件,所述第二密钥用于保护在所述第一用户设备和所述第二用户设备之间的设备至设备通信。
33.一种装置,包括:
用于在接入网装置处,从核心网装置获得并存储针对第一用户设备的设备至设备通信的在第一用户设备和所述核心网装置之间共享的第一密钥的构件;
用于从第二用户设备接收用于生成针对在第一用户设备和第二用户设备之间的设备至设备通信的第二密钥的请求的构件;
用于响应于所述请求,基于所述第一密钥和安全参数来生成所述第二密钥的构件;以及
用于向所述第二用户设备发送所述第二密钥的构件。
34.一种装置,包括:
用于在核心网装置处,接收用于生成针对用户设备的设备至设备通信的第一密钥的请求的构件;
用于响应于所述请求,基于在所述核心网装置和所述用户设备之间共享的密钥和安全参数来生成所述第一密钥的构件;以及
用于向所述用户设备发送所述安全参数的构件;以及
用于向第一用户设备注册到的接入网装置发送所述第一密钥的构件。
35.一种包含一个或多个指令的一个或多个序列的计算机程序产品,当由一个或多个处理器来运行所述一个或多个指令的一个或多个序列,所述一个或多个指令的一个或多个序列使得装置至少执行权利要求1-14中的任何一项的方法的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2013/078054 WO2014205697A1 (en) | 2013-06-26 | 2013-06-26 | Methods and apparatus for generating keys in device-to-device communications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105340212A true CN105340212A (zh) | 2016-02-17 |
| CN105340212B CN105340212B (zh) | 2019-05-28 |
Family
ID=52140801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380077742.8A Active CN105340212B (zh) | 2013-06-26 | 2013-06-26 | 用于生成在设备至设备通信中的密钥的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9660804B2 (zh) |
| EP (1) | EP3014801B1 (zh) |
| CN (1) | CN105340212B (zh) |
| ES (1) | ES2765892T3 (zh) |
| WO (1) | WO2014205697A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107493167A (zh) * | 2016-06-13 | 2017-12-19 | 广州江南科友科技股份有限公司 | 终端密钥分发系统及其终端密钥分发方法 |
| CN111448813A (zh) * | 2017-10-19 | 2020-07-24 | 华为技术有限公司 | 与配置的安全保护进行通信的系统和方法 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105532057B (zh) | 2013-09-27 | 2019-03-12 | 诺基亚技术有限公司 | 用于不同d2d区域下的d2d设备的密钥配对的方法和装置 |
| US9774448B2 (en) | 2013-10-30 | 2017-09-26 | Duo Security, Inc. | System and methods for opportunistic cryptographic key management on an electronic device |
| US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
| US10298549B2 (en) * | 2015-12-23 | 2019-05-21 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
| US10193749B2 (en) | 2016-08-27 | 2019-01-29 | Nicira, Inc. | Managed forwarding element executing in public cloud data compute node without overlay network |
| US10341371B2 (en) | 2016-08-31 | 2019-07-02 | Nicira, Inc. | Identifying and handling threats to data compute nodes in public cloud |
| GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
| US11140547B2 (en) * | 2016-11-26 | 2021-10-05 | Huawei Technologies Co., Ltd. | Method for securely controlling smart home, and terminal device |
| US10491516B2 (en) | 2017-08-24 | 2019-11-26 | Nicira, Inc. | Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| US10567482B2 (en) | 2017-08-24 | 2020-02-18 | Nicira, Inc. | Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table |
| EP3673627B1 (en) | 2017-08-27 | 2023-09-13 | Nicira, Inc. | Performing in-line service in public cloud |
| US10862753B2 (en) | 2017-12-04 | 2020-12-08 | Nicira, Inc. | High availability for stateful services in public cloud logical networks |
| US10601705B2 (en) | 2017-12-04 | 2020-03-24 | Nicira, Inc. | Failover of centralized routers in public cloud logical networks |
| US11343229B2 (en) | 2018-06-28 | 2022-05-24 | Vmware, Inc. | Managed forwarding element detecting invalid packet addresses |
| US11291059B2 (en) * | 2018-08-03 | 2022-03-29 | Telefonaktiebolaget LM Ericsson (Publ) Stockholm, Sweden | Methods, user equipment and base station for sidelink identification |
| US10491466B1 (en) | 2018-08-24 | 2019-11-26 | Vmware, Inc. | Intelligent use of peering in public cloud |
| US11196591B2 (en) | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
| US11374794B2 (en) | 2018-08-24 | 2022-06-28 | Vmware, Inc. | Transitive routing in public cloud |
| WO2021056563A1 (zh) * | 2019-09-29 | 2021-04-01 | 华为技术有限公司 | 通信方法和通信装置 |
| US20230199485A1 (en) * | 2021-12-20 | 2023-06-22 | Qualcomm Incorporated | Techniques for sidelink connectionless groupcast communication using a security key |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008095308A1 (en) * | 2007-02-09 | 2008-08-14 | Research In Motion Limited | Method and system for authenticating peer devices using eap |
| WO2011117677A1 (en) * | 2010-03-24 | 2011-09-29 | Nokia Corporation | Method and apparatus for device-to-device key management |
| WO2012137633A1 (ja) * | 2011-04-01 | 2012-10-11 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、移動管理ノード及び無線基地局 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI114062B (fi) * | 2001-06-08 | 2004-07-30 | Nokia Corp | Menetelmä tiedonsiirron turvallisuuden varmistamiseksi, tiedonsiirtojärjestelmä ja tiedonsiirtolaite |
| US7688976B2 (en) * | 2005-07-14 | 2010-03-30 | Tara Chand Singhal | Random wave envelope derived random numbers and their use in generating transient keys in communication security application part I |
| US20070179898A1 (en) * | 2006-02-02 | 2007-08-02 | General Instrument Corporation | Secure consumer distribution of content using subkeys for encryption and authentication |
| JP4179563B2 (ja) * | 2006-09-21 | 2008-11-12 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 暗号通信の暗号鍵を管理する技術 |
| US7831051B2 (en) * | 2007-03-13 | 2010-11-09 | Aladdin Europe Gmbh | Secure communication between a hardware device and a computer |
| CN101272240B (zh) * | 2007-03-21 | 2013-01-23 | 华为技术有限公司 | 一种会话密钥的生成方法、系统和通信设备 |
| US20080298328A1 (en) * | 2007-06-04 | 2008-12-04 | Suman Sharma | Trusted wireless communications with station-to-station link association |
| JP2009010470A (ja) * | 2007-06-26 | 2009-01-15 | Toshiba Corp | 端末装置、グループ管理サーバ、ネットワーク通信システム、並びに暗号化鍵生成方法 |
| US8666403B2 (en) | 2009-10-23 | 2014-03-04 | Nokia Solutions And Networks Oy | Systems, methods, and apparatuses for facilitating device-to-device connection establishment |
| JP5488134B2 (ja) * | 2010-04-01 | 2014-05-14 | セイコーエプソン株式会社 | 通信システム及び通信方法 |
| JP2014017595A (ja) * | 2012-07-06 | 2014-01-30 | Toshiba Corp | 通信装置、鍵生成装置、通信方法、プログラムおよび通信システム |
| CN102984699B (zh) * | 2012-12-03 | 2016-02-17 | 中国联合网络通信集团有限公司 | D2d通信数据处理方法、设备和系统 |
| WO2014161155A1 (en) | 2013-04-02 | 2014-10-09 | Nokia Corporation | Methods and apparatus for securing device-to-device communications |
| US9363090B1 (en) * | 2013-09-25 | 2016-06-07 | Sprint Communications Company L.P. | Authorization of communication links between end user devices using intermediary nodes |
-
2013
- 2013-06-26 WO PCT/CN2013/078054 patent/WO2014205697A1/en active Application Filing
- 2013-06-26 CN CN201380077742.8A patent/CN105340212B/zh active Active
- 2013-06-26 EP EP13888415.0A patent/EP3014801B1/en active Active
- 2013-06-26 ES ES13888415T patent/ES2765892T3/es active Active
- 2013-06-26 US US14/898,881 patent/US9660804B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008095308A1 (en) * | 2007-02-09 | 2008-08-14 | Research In Motion Limited | Method and system for authenticating peer devices using eap |
| WO2011117677A1 (en) * | 2010-03-24 | 2011-09-29 | Nokia Corporation | Method and apparatus for device-to-device key management |
| WO2012137633A1 (ja) * | 2011-04-01 | 2012-10-11 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、移動管理ノード及び無線基地局 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107493167A (zh) * | 2016-06-13 | 2017-12-19 | 广州江南科友科技股份有限公司 | 终端密钥分发系统及其终端密钥分发方法 |
| CN111448813A (zh) * | 2017-10-19 | 2020-07-24 | 华为技术有限公司 | 与配置的安全保护进行通信的系统和方法 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN112449323B (zh) * | 2019-08-14 | 2022-04-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160134418A1 (en) | 2016-05-12 |
| WO2014205697A1 (en) | 2014-12-31 |
| US9660804B2 (en) | 2017-05-23 |
| CN105340212B (zh) | 2019-05-28 |
| EP3014801A4 (en) | 2017-01-18 |
| EP3014801B1 (en) | 2019-10-30 |
| ES2765892T3 (es) | 2020-06-11 |
| EP3014801A1 (en) | 2016-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105340212A (zh) | 用于生成在设备至设备通信中的密钥的方法和装置 | |
| US10798647B2 (en) | Network slice selection | |
| CN113940106A (zh) | 用于处理封闭接入组相关过程的方法和系统 | |
| JP6515201B2 (ja) | 端末デバイスが別の端末デバイスを発見するための方法および装置 | |
| US10448286B2 (en) | Mobility in mobile communications network | |
| KR20220044341A (ko) | 보안 보호 모드 결정 방법 및 장치 | |
| KR102334963B1 (ko) | 세션 처리 방법, 장치 및 시스템 | |
| JP6418244B2 (ja) | 無線通信システム、無線通信装置、基地局、及び、無線通信方法 | |
| EP3050374B1 (en) | Methods and apparatus of key pairing for d2d devices under different d2d areas | |
| CN104885518A (zh) | 在无线电局域网中用于区分安全配置的方法和装置 | |
| CN114557031A (zh) | 用于将非3gpp上的pdu会话移动到3gpp接入的方法 | |
| CN108293259A (zh) | 一种nas消息处理、小区列表更新方法及设备 | |
| US10904763B2 (en) | Network access method and device | |
| EP3975623B1 (en) | Information transmission methods and devices | |
| RU2668114C2 (ru) | Способ управления пользователями совместно используемой сети, соответствующие устройство и система | |
| JP2019110552A (ja) | ネットワークスライス選択 | |
| JP2019528603A (ja) | データ伝送の方法、第1装置及び第2装置 | |
| WO2014161155A1 (en) | Methods and apparatus for securing device-to-device communications | |
| JP2017539132A (ja) | 端末、サーバ、及びユーザ識別システム及び方法 | |
| CN104349317A (zh) | 一种移动网络的接入方法、ue、安全服务网关和系统 | |
| CN113557699B (zh) | 通信装置、基础设施设备、核心网络设备和方法 | |
| CN115884153A (zh) | 通信的方法和装置 | |
| WO2022134070A1 (zh) | 无线通信方法、终端设备和网络设备 | |
| WO2024066924A1 (zh) | 用户终端策略的配置方法、装置、介质及芯片 | |
| CN117062055A (zh) | 安全保护方法及通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |