CN108521875B - 用于在设备到设备通信网络中在远程ue与中继ue之间建立安全通信的方法和系统 - Google Patents
用于在设备到设备通信网络中在远程ue与中继ue之间建立安全通信的方法和系统 Download PDFInfo
- Publication number
- CN108521875B CN108521875B CN201680005898.9A CN201680005898A CN108521875B CN 108521875 B CN108521875 B CN 108521875B CN 201680005898 A CN201680005898 A CN 201680005898A CN 108521875 B CN108521875 B CN 108521875B
- Authority
- CN
- China
- Prior art keywords
- relay
- ptk
- remote
- pgk
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及用于将用于支持超过第四代(4G)系统的更高数据速率的第五代(5G)通信系统与用于物联网(IoT)的技术汇聚的通信方法和系统。本发明可以应用于基于5G通信技术和IoT相关技术的智能服务,诸如智能家居、智能建筑、智能城市、智能汽车、联网汽车、医疗保健、数字教育、智能零售、财产安全和人身安全服务。提供了一种用于由服务器在用户设备(UE)和中继UE之间建立安全通信的方法。该方法包括:通过使用UE的ProSe组密钥(PGK)、ProSe流量密钥(PTK)标识(ID)和中继UE的ID中的至少一个的密钥导出函数(KDF)来导出中继UE的PTK,并且向中继UE发送至少包括中继UE的PTK、PTK ID和PGK ID的安全密钥响应消息。至少中继UE的PTK、PTK ID和PGK ID被用来导出用于UE与中继UE之间的D2D组通信的安全密钥。
Description
技术领域
本公开涉及设备到设备(D2D)通信(接近服务)。更具体地,本公开涉及用于在D2D通信网络中在远程用户设备(UE)与中继UE之间建立安全通信的方法和系统。
背景技术
为了满足自部署4G通信系统以来已增加的无线数据流量(traffic)的需求,已经做出努力来开发改进的5G或5G前(pre-5G)通信系统。因此,5G或5G前通信系统也称为“超4G网络(Beyond 4G Network)”或“后LTE系统(Post LTE System)”。5G通信系统被认为是实现在较高频率(毫米波)带(例如,60GHz频带)中,以便达到较高的数据速率。为了减少无线电波的传播损耗并增加传输距离,在5G通信系统中讨论了波束形成、大规模多输入多输出(MIMO)、全维度MIMO(FD-MIMO)、阵列天线、模拟波束形成、大规模天线技术。另外,在5G通信系统中,基于先进的小小区、云无线接入网(RAN)、超密集网络、设备到设备(D2D)通信、无线回程、移动网络、协同通信、协调多点(CoMP)、接收端干扰消除等,针对系统网络改进的开发正在进行中。在5G系统中,已经开发了作为高级编码调制(ACM)的混合FSK和QAM调制(FQAM)和滑动窗口叠加编码(SWSC)、以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏码多址接入(SCMA)。
互联网,其作为人类生成并消耗信息的以人为中心的连接性网络,现在正演进为物联网(IoT),在物联网中分布式实体(诸如事物)交换和处理信息而无需人类干预。已经出现了作为通过与云服务器连接的IoT技术和大数据处理技术的组合的万物互联(IoE)。由于技术元素(诸如“感测技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”)已被要求用于IoT实施,所以近来已研究了传感器网络、机器对机器(M2M)通信、机器类型通信(MTC)等。这样的IoT环境可以提供智能互联网技术服务,其通过收集和分析连接的事物之间生成的数据来为人类生活创造新的价值。通过现有信息技术(IT)与各种工业应用之间的汇聚和组合,可将IoT应用于多个领域,包括智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健、智能电器和先进医疗服务。
据此,已经进行了各种尝试以将5G通信系统应用于IoT网络。例如,诸如传感器网络、机器类型通信(MTC)和机器对机器(M2M)通信的技术可以通过波束成形、MIMO和阵列天线来实现。作为上述大数据处理技术的云无线接入网络(RAN)的应用也可以被认为是5G技术与IoT技术之间的汇聚的示例。
在通信标准组中正在研究设备到设备(D2D)通信,以使得能够实现多个用户设备(UE)之间的数据通信服务。在D2D通信期间,发送D2D UE可以向一组D2D UE发送数据分组或向所有D2D UE广播数据分组。发送器和(多个)接收器之间的D2D通信本质上是无连接的(即,在发送器开始发送数据分组之前,在发送器和接收器之间没有建立连接)。在发送期间,发送器将源标识(ID)和目的地ID包括在数据分组中。源ID被设置为发送器的UE ID。目的地ID是所发送的分组的预期接收者的广播ID或组ID或UE ID。
D2D通信的要求之一是:在网络覆盖之外的UE应能够经由在网络覆盖中并且与远程UE接近的另一UE(即,UE到网络中继器)来与网络进行通信。这在图1中示出。
图1是示出了根据相关技术的远程UE与UE到网络中继器之间的D2D通信的流程图。
参考图1,远程UE与UE到网络中继器之间的通信包括远程UE 102、UE到网络中继器104、e节点B(eNB)106、演进分组核心(EPC)108和公共安全服务器110。远程UE 102使用D2D通信与UE到网络中继器104进行通信。D2D通信的进一步要求是彼此不接近的UE应能够经由与这两个UE都接近的另一UE(即,UE到UE中继器)进行通信。
为了支持D2D通信的安全性,定义了基于接近的服务(proximity-based service,ProSe)组密钥(PGK)。PGK对于一组D2D UE是特定的。可以在UE中预先提供(pre-provision)每组的多个PGK。使用PGK ID(通常大小为8比特)来标识同一组的这些PGK中的每个。每个PGK还具有与该PKG相关联的到期时间。如果UE想要向组发送数据分组,则UE从与该组对应的PGK中导出ProSe流量密钥(PTK)。使用PTK ID标识PTK。PTK是从PGK生成的组成员特定密钥。每个PTK还与PTK ID计数器(通常大小为16比特)相关联。为了加密数据,<PTK,分组数据汇聚协议(PDCP)计数器>的组合是唯一的。针对发送的每个分组更新PDCP计数器。如果PDCP计数器转滚(roll over),则从PGK生成新的PTK。PTK=密钥导出函数(KDF)(PGK,PTK ID,发送器的组成员身份)。每当生成PTK时,也生成ProSe加密密钥(PEK)。PEK=KDF(PTK,算法ID)。算法ID标识安全算法,例如SNOW第三代(3G)完整性算法或高级加密标准(AES)加密算法等。在图2中示出密钥层级。
图2是示出了根据相关技术的用于D2D组通信的密钥层级的流程图。
参考图2,与数据分组一起发送PGK ID、PTK ID和PDCP计数器值。PTK ID、PGK ID和PDCP计数器值与安全数据分组一起被发送器包括。接收器使用与用于解密的分组一起接收的PTK ID、PGK ID和目的地ID(对组进行标识)生成由发送器使用的PTK。
在组通信期间,安全密钥(即,PGK)对于发送器和(多个)接收器都是已知的。在远程UE 102与UE到网络中继器104之间的通信的情况下,其中远程UE和UE到网络中继器属于不同的组,则在远程UE 102和UE到网络中继器104处可用不同的安全密钥(即,PGK)。因此,不能保证远程UE 102与UE到网络中继器104之间的通信的安全(secure)。换句话说,UE到网络中继器104可能不属于(由网络(例如,ProSe功能)形成的)所有/任何组,这暗含着UE到网络中继器104可能不具有用来使得要中继的分组安全或解密要中继的分组的全部组密钥。此外,属于特定组的UE到网络中继器104可能需要起到将分组安全地中继到所有其它(或特定)组成员的作用/功能(例如,对于关键任务通信,仅一个UE到网络中继器104在网络的覆盖内)。
因此,需要一种用于保证远程UE与UE到网络中继器之间的通信安全的方法和系统。
上述信息仅作为背景信息呈现,以帮助理解本公开。关于上述任何内容是否可适用于关于本公开的现有技术,并未做出确定并且也未做出断言。
发明内容
[技术问题]
本公开的多个方面至少解决上述问题和/或缺点,并且至少提供下述优点。因此,本公开的一方面是提供一种用于在设备到设备(D2D)组通信中在远程用户设备(UE)与UE到网络中继器之间建立安全通信的方法和系统。
[问题的解决方案]
根据本公开的一方面,提供了下述方法:该方法由基于接近的服务(ProSe)密钥管理功能(PKMF)用于在设备到设备(D2D)组通信中在远程用户设备(UE)与和该远程UE属于不同组的UE到网络中继器之间建立安全通信。该方法包括:通过使用远程UE的ProSe组密钥(PGK)、ProSe流量密钥(PTK)标识(ID)和UE到网络中继器的UE ID中的至少一个的密钥导出函数(KDF),导出UE到网络中继器的PTK,以及向UE到网络中继器发送包括UE到网络中继器的PTK、PTK ID和PGK ID中的至少一个的安全密钥响应消息。使用UE到网络中继器的PTK、PTK ID和PGK ID中的至少一个来导出用于在远程UE与UE到网络中继器之间的D2D组通信的安全密钥。
根据本公开的一方面,提供了下述方法:该方法用于由用户设备(UE)到网络中继器在设备到设备(D2D)组通信中在远程UE与和该远程UE属于不同组的UE到网络中继器之间建立安全通信。该方法包括:从基于接近的服务(ProSe)密钥管理功能(PKMF)接收安全密钥响应消息,该安全密钥响应消息包括UE到网络中继器的ProSe流量密钥(PTK)、PTK标识(ID)和ProSe组密钥(PGK)ID中的至少一个;基于UE到网络中继器的PTK生成UE到网络中继器的ProSe加密密钥(PEK);向远程UE发送包括PGK ID和PTK ID的认证请求消息;以及使用UE到网络中继器的PEK来保证用于发送到远程UE的分组的安全。
根据本公开的一方面,提供了下述方法:该方法用于由远程用户设备(UE)在设备到设备(D2D)组通信中在远程UE与和远程UE属于不同组的UE到网络中继器之间建立安全通信。该方法包括:从远程UE接收认证请求消息,该认证请求消息包括基于接近的服务(ProSe)组密钥(PGK)标识(ID)和ProSe流量密钥(PTK)ID;从与PGK ID和远程UE的组ID对应的PGK、PTK ID和UE到网络中继器的ID中的至少一个的密钥导出函数(KDF)导出远程UE的PTK;以及从远程UE的PTK和算法ID中的至少一个的KDF导出远程UE的ProSe加密密钥(PEK)。
根据本公开的一方面,提供了下述基于接近的服务(ProSe)密钥管理功能(PKMF):其用于在设备到设备(D2D)组通信中在远程用户设备(UE)与和该远程UE属于不同组的UE到网络中继器之间建立安全通信。该PKMF包括:收发器,被配置为发送和接收信号;以及控制器,被配置为通过使用远程UE的ProSe组密钥(PGK)、ProSe流量密钥(PTK)标识(ID)和UE到网络中继器的UE ID中的至少一个的密钥导出函数(KDF)来导出UE到网络中继器的PTK,以及向UE到网络中继器发送包括UE到网络中继器的PTK、PTK ID和PGK ID中的至少一个的安全密钥响应消息。使用UE到网络中继器的PTK、PTK ID和PGK ID中的至少一个来导出用于在远程UE与UE到网络中继器之间的D2D组通信的安全密钥。
根据本公开的一方面,提供了下述远程用户设备(UE)到网络中继器:其用于在设备到设备(D2D)组通信中在远程UE与和该远程UE属于不同组的UE到网络中继器之间建立安全通信。该UE到网络中继器包括:收发器,被配置为发送和接收信号;以及控制器,被配置为从基于接近的服务(ProSe)密钥管理功能(PKMF)接收安全密钥响应消息,该安全密钥响应消息包括UE到网络中继器的ProSe流量密钥(PTK)、PTK标识(ID)和ProSe组密钥(PGK)ID中的至少一个,基于UE到网络中继器的PTK生成UE到网络中继器的ProSe加密密钥(PEK),向远程UE发送包括PGK ID和PTK ID的认证请求消息,以及使用UE到网络中继器的PEK保证用于发送到远程UE的分组的安全。
根据本公开的一方面,提供了下述远程用户设备(UE):其用于在设备到设备(D2D)组通信中在远程UE与和该远程UE属于不同组的UE到网络中继器之间建立安全通信。该远程UE包括:收发器,被配置为发送和接收信号;以及控制器,被配置为从远程UE接收认证请求消息,该认证请求消息包括基于接近的服务(ProSe)组密钥(PGK)标识(ID)和ProSe流量密钥(PTK)ID;从与PGK ID和远程UE的组ID对应的PGK、PTK ID和UE到网络中继器的ID中的至少一个的密钥导出函数(KDF)导出远程UE的PTK;以及从远程UE的PTK和算法ID中的至少一个的密钥导出函数(KDF)导出远程UE的ProSe加密密钥(PEK)。
从以下结合附图公开了本公开的各种实施例的详细描述中,本公开的其它方面、优点和显著特征对于本领域技术人员将变得显见。
附图说明
从以下结合附图的描述中,本公开的某些实施例的上述和其它方面、特征和优点将更加明显,在附图中:
图1是示出了根据相关技术的在远程用户设备(UE)与UE到网络中继器之间的设备到设备(D2D)通信的流程图;
图2是示出了根据相关技术的用于D2D组通信的密钥层级的流程图;
图3是示出了根据本公开的实施例的用于在第一UE与第二UE之间建立安全通信的方法的流程图;
图4是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图;
图5是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图;
图6是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图;以及
图7是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图。
贯穿整个附图,相同的附图标记将被理解为指代相同的部件、组件和结构。
具体实施方式
提供了参考附图的以下描述以帮助全面理解由权利要求及其等同物限定的本公开的各种实施例。它包括各种具体的细节以帮助该理解,但这些细节应被视为仅是示范性的。因此,本领域普通技术人员将认识到,在不脱离本公开的范围和精神的情况下,可以对这里描述的各种实施例进行各种改变和修改。此外,为了清楚和简要,可以省略对公知功能和构造的描述。
以下描述和权利要求中使用的术语和词语不限于书面含义,而是仅由发明人使用以使得能够清楚和一致地理解本公开。因此,应对本领域技术人员显见的是,仅出于说明的目的,而不是出于限制由所附权利要求及其等同物限定的本公开的目的,提供本公开的各种实施例的以下描述。
将理解,除非上下文另有明确指明,否则单数形式“一”、“一个”和“该”包括复数指示物。因此,例如,提及“组件表面”包括提及一个或多个这样的表面。
本公开提供了一种用于在设备到设备(D2D)通信网络中在远程用户设备(UE)与UE到网络中继器之间建立安全通信的方法和系统。
将进一步理解,术语“包含”和/或“包括”,当在本说明书中使用时,指定所述特征、整数、操作、元件和/或组件的存在,但是不排除一个或多个其它特征、整数、操作、元件、组件和/或其群组的存在或添加。如本文所使用的,术语“和/或”包括一个或多个相关联列表项的任何和所有组合和排列。
除非另有定义,否则本文使用的所有术语(包括技术和科学术语)具有与本公开所属领域的普通技术人员通常理解的相同含义。将进一步理解,诸如常用词典中定义的术语应被解释为具有与相关领域语境下的含义一致的含义,并且将不以理想化或过度正式的意义来解释,除非本文明确地如此定义。
贯穿整个说明书,术语“UE到网络中继器”和“中继UE”可互换使用。贯穿整个说明书,术语“远程UE”和“UE”可互换使用。贯穿该说明书,远程UE与UE到网络中继器之间的消息以及UE到网络中继器与基于接近的服务(ProSe)功能之间的消息可以是ProSe协议特定消息。此外,贯穿整个说明书,术语“服务器”、“ProSe服务器”、“网络节点”、“网络实体”和“ProSe密钥管理功能(PKMF)”可互换使用。对于服务器、中继UE和UE中的每个,控制单元(至少一个处理器)控制装置的组件的整体状态和操作。例如,控制单元可以控制存储单元以存储通过收发器接收的信息。
图3是示出了根据本公开的实施例的用于在第一UE与第二UE之间建立安全通信的方法的流程图。
参考图3,在该实施例中,第一用户设备(UE1)经由第二用户设备(UE2)与网络进行通信。
在操作302中,由UE2向ProSe服务器或PKMF发送安全密钥请求。安全密钥请求包括UE1 ID和UE2 ID。在操作304中,由ProSe服务器或PKMF导出称为ProSe流量密钥(PTK UE2)的安全密钥,以用于UE2安全地向UE1发送数据分组。在操作306中,由UE2接收包括PTK的安全密钥响应。在操作308中,由UE2使用在安全密钥响应中接收的PTK UE2来生成ProSe加密密钥(PEK UE2)。然后,在操作310中,在信令消息中或在数据分组报头中向UE1发送所生成的PEK UE2和与UE2相关联的ProSe组密钥(PGK)标识(ID)。在操作312中,由UE1生成安全密钥(PTKUE1和PEKUE1)以建立与UE2的安全通信。
图4是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图。
参考图4,在实施例中,在操作410中,UE到网络中继器404向ProSe服务器406或PKMF发送安全密钥请求。安全密钥请求包括远程UE ID和UE到网络中继器的UE ID。安全密钥请求还可以包括远程UE 402的组ID。在各种实施例中,如果远程UE 402属于多个组,则远程UE组ID可以被包括在安全密钥请求中。在各种实施例中,如果远程UE ID在组内是唯一的,则远程UE组ID也可以包括在安全密钥请求中。在这些实施例中,如果远程UE ID在组内是唯一的,则远程UE ID和远程UE组ID一起标识远程UE 402。在UE到网络中继器发现过程期间,UE到网络中继器404获得远程UE 402的远程UE 402ID和/或远程UE 402组ID。
替换地,UE到网络中继器404可以从远程UE 402接收在通信或连接请求消息中的远程UE 402的远程UE ID和/或远程UE组ID。当从远程UE 402接收到通信或连接请求消息时,UE到网络中继器404可以向ProSe服务器406或PKMF发送安全密钥请求。
响应于安全密钥请求,ProSe服务器406或PKMF导出安全密钥(PTKUE-to-network-relay),即用于UE到网络中继器404的PTK,以保证发送到远程UE 402或发送到远程UE的组的数据分组的安全。在操作420中,ProSe服务器406或PKMF导出如下安全密钥:
PTKUE-to-network-relay=密钥导出函数(KDF)(PGKremote-UE,PTK ID,UE到网络中继UEID)。
如果远程UE 402与一个组相关联,则PGKremote-UE是远程UE 402的任何有效PGK。PGKremote-UE是与由远程UE组ID标识的组相对应的远程UE 402的任何有效PGK,其中由ProSe服务器406或PKMF在安全密钥请求中接收远程UE组ID。KDF在相关技术中是众所周知的,因此在此不作说明。
在实施例中,ProSe服务器406或PKMF可以进一步导出用于UE到网络中继器的PEK(PEKUE-to-network-relay),其中如下导出PEKUE-to-network-relay:
PEKUE-to-network-relay=KDF(PTKUE-to-network-relay,算法ID)。
其中算法ID标识安全算法,例如,SNOW第三代(3G)完整性算法或高级加密标准(AES)加密算法。
在操作430中,ProSe服务器406或PKMF向UE到网络中继器发送安全密钥响应。安全密钥响应包括PTKUE-to-network-relay、PTK ID和PGK ID。PTKUE-to-network-relay是由ProSe服务器406或PKMF导出的安全密钥,该安全密钥将由UE到网络中继器404用来保证发送到远程UE 402的分组的安全。PTK ID是用作导出PTKUE-to-network-relay的输入的ID,并且PGK ID是用于导出PTKUE-to-network-relay的PGKremote-UE的索引。在实施例中,代替PTKUE-to-network-relay,PEKUE-to-network-relay被包括在安全密钥响应中。
在操作440中,UE到网络中继器404使用来自ProSe服务器406或PKMF的安全密钥响应中接收的PTKUE-to-network-relay生成PEKUE-to-network-relay如下:
PEKUE-to-network-relay=KDF(PTKUE-to-network-relay,算法ID)。
然后,将PEKUE-to-network-relay用于向远程UE 402发送数据分组。替换地,ProSe服务器406或PKMF在安全密钥响应中发送PEKUE-to-network-relay,并且PEKUE-to-network-relay被UE到网络中继器404用于保证发送到远程UE 402的分组的安全。PEKUE-to-network-relay还被UE到网络中继器404用于对从远程UE 402接收的分组进行解密。然后,在操作450中,UE到网络中继器404在信令消息中和/或在数据分组报头中将在安全密钥响应中接收的PGK ID和PTK ID告知给远程UE 402。UE到网络中继器404还可以与PGK ID和PTK ID一起发送MAC-I。对于MAC-I,UE到网络中继器404可以导出安全密钥PIKUE-to-network-relay如下:
PIKUE-to-network-relay=KDF(PTKUE-to-network-relay,算法ID)。
生成MAC-I的方法在相关技术中是众所周知的,因此在此不作说明。
在从UE到网络中继器404接收到安全密钥时,在操作460和470中,远程UE 402生成用于将数据分组安全地发送到UE到网络中继器404的安全密钥(即,PTK)。如下导出安全密钥:
PTKremote-UE=KDF(对应于从UE到网络中继器接收的PGK ID和远程UE组ID的PGK,从UE到网络中继器接收的PTK ID,UE到网络中继UE ID)。
PEKremote-UE=KDF(PTKremote-UE,算法ID)。
PEKremote-UE被远程UE 402用于保证发送到UE到网络中继器404的分组的安全。PEKremote-UE还被远程UE 402用于对从UE到网络中继器404接收的分组进行解密。
在包括MAC-I的实施例中,远程UE 402使用导出的密钥来验证UE到网络中继器404所包括的MAC-I。对于MAC-I,远程UE 402可以导出安全密钥PIKremote UE=KDF(PTKremote UE,算法ID)。
在验证之后,远程UE 402使用MAC-I向UE到网络中继器404发送消息。然后UE到网络中继器404验证MAC-I并且接受与远程UE 402的连接。
在实施例中,在导出PTKUE-to-network-relay和PTKremote-UE时,可以使用远程UE ID来代替UE到网络中继UE ID。在实施例中,在导出PTKUE-to-network-relay和PTKremote-UE时,除了UE到网络中继UE ID之外,还可以使用远程UE ID。
图5是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图。
参考图5,在操作510中,远程UE 502向UE到网络中继器504发送包括PGK ID和PTKID的安全密钥信息。PGK ID是被远程UE 502用于导出安全密钥(PTKremote-UE)而使用的PGK的索引。远程UE 502从PTKremote-UE导出PEK(PEKremote-UE)。PEKremote-UE被远程UE 502用于保证发送到UE到网络中继器504的分组的安全。
在从远程UE 502接收到安全密钥信息之后,在操作515中,UE到网络中继器504向ProSe服务器506或PKMF发送安全密钥请求。安全密钥请求包括远程UE ID、UE到网络中继器的UE ID、从远程UE接收的PGK ID、以及从远程UE 502接收的PTK ID。在各种实施例中,如果远程UE 502属于多个组,则远程UE组ID可以被包括在安全密钥请求中。在各种实施例中,如果远程UE ID在组内是唯一的,则远程UE组ID也可以包括在安全密钥请求中。如果远程UEID仅在组内是唯一的,则远程UE ID和远程UE组ID一起标识远程UE。在UE到网络中继器发现过程期间,UE到网络中继器504获得远程UE 502的远程UE ID和/或远程UE组ID。替换地,UE到网络中继器504可以从远程UE 502接收在通信或连接请求消息中的远程UE 502的远程UEID和/或远程UE组ID。在从远程UE 502接收到通信或连接请求消息时,UE到网络中继器504可以向ProSe服务器506或PKMF发送安全密钥请求。
在操作520中,ProSe服务器506或PKMF导出第一安全密钥(即,PTK 1),该第一安全密钥被UE到网络中继器504用于保证发送到远程UE 502或远程UE的组的分组的安全,其中该安全密钥的导出如下:
PTKUE-to-network-relay-TX=KDF(PGKremote-UE,PTK ID,UE到网络中继UE ID)。
如果远程UE 502与一个组相关联,则PGKremote-UE是远程UE 502的任何有效PGK。PGKremote-UE是与由远程UE组ID标识的组相对应的远程UE的任何有效PGK。
在实施例中,ProSe服务器506或PKMF可以导出PEKUE-to-network-relay-TX,其中PEKUE-to-network-relay-TX=KDF(PTKUE-to-network-relay-TX,算法ID),并且其中算法ID标识安全算法,例如,SNOW 3G完整性算法或AES加密算法。
在操作525中,ProSe服务器506或PKMF进一步导出要由UE到网络中继器504用于对从远程UE 502或远程UE的组接收的分组进行解密的第二安全密钥(即,PTK 2)。如下导出PTK 2:
PTKUE-to-network-relay-RX=KDF(PGKremote-UE,PTK ID,远程UE ID)。
其中PGKremote-UE是与在安全密钥请求中从UE到网络中继器接收的PGK ID相对应的远程UE 502的PGK。PTK ID是在安全密钥请求中从UE到网络中继器接收的PTK ID。在实施例中,ProSe服务器或PKMF可以导出PEKUE-to-network-relay-RX,其中,
PEKUE-to-network-relay-RX=KDF(PTKUE-to-network-relay-RX,算法ID),
其中算法ID标识安全算法,例如SNOW 3G完整性算法或AES加密算法。
然后,在操作530中,ProSe服务器506或PKMF将安全密钥响应发送到UE到网络中继器504。安全密钥响应包括PTKUE-to-network-relay-TX、PTK ID、PGK ID和PTKUE-to-network-relay-RX,其中PTKUE-to-network-relay-TX是由ProSe服务器506或PKMF导出的安全密钥,该安全密钥被UE到网络中继器504用于保证发送到远程UE 502的分组的安全。PTK ID是用作导出PTKUE-to-network-relay-TX的输入的ID。PGK ID是用于导出PTKUE-to-network-relay-TX的PGKremote-UE的索引。PTKUE-to-network-relay-RX是由ProSe服务器506或PKMF导出的安全密钥,该安全密钥被UE到网络中继器504用于对从远程UE 502接收的分组进行解密。在实施例中,替代PTKUE-to-network-relay-TX和PTKUE-to-network-relay-RX、或连同PTKUE-to-network-relay-TX和PTKUE-to-network-relay-RX一起,将PEKUE-to-network-relay-TX和PEKUE-to-network-relay-RX包括在安全密钥响应中。
UE到网络中继器504生成两个密钥,一个用于向远程UE 502安全地发送数据分组、以及另一个用于从远程UE 502安全地接收数据分组。在操作535中,UE到网络中继器504使用在来自ProSe服务器506或PKMF的安全密钥响应中接收的PTKUE-to-network-relay-TX生成安全发送密钥(PEKUE-to-network-relay-TX),其中
PEKUE-to-network-relay-TX=KDF(PTKUE-to-network-relay-TX,算法ID)。
然后,PEKUE-to-network-relay-TX用于保证发送到远程UE 502的分组的安全。在实施例中,在来自ProSe服务器506或PKMF的安全密钥响应中接收PEKUE-to-network-relay-TX,并且PEKUE-to-network-relay-TX被UE到网络中继器504用于保证发送到远程UE 502的分组的安全。此外,在安全密钥响应中的从ProSe服务器506或PKMF接收的PTK ID和PGK ID由UE到网络中继器504在安全数据分组的报头中发送。
在操作540中,UE到网络中继器504使用在来自ProSe服务器506或PKMF的安全密钥响应中接收的PTKUE-to-network-relay-RX生成PEKUE-to-network-relay-RX,其中
PEKUE-to-network-relay-RX=KDF(PTKUE-to-network-relay-RX,算法ID)。
然后,PEK UE-to-network-relay-RX用于对从远程UE 502接收的分组进行解密。在实施例中,在来自ProSe服务器506或PKMF的安全密钥响应中接收PEKUE-to-network-relay-RX,并且PEKUE-to-network-relay-RX被UE到网络中继器504用于对从远程UE 502接收的分组进行解密。
远程UE在内部生成安全密钥。在将安全密钥信息发送到UE到网络中继器504之前,生成密钥。在操作545和550中,远程UE 502首先生成用于向UE到网络中继器504的发送的安全密钥(即PTK)。如下导出安全密钥:
PTKremote-UE-TX=KDF(与告知给UE到网络中继器的PGK ID对应的PGK,告知给UE到网络中继器的PTK ID以及远程UE ID)
PEKremote-UE-TX=KDF(PTKremote-UE-TX,算法ID)。
PEKremote-UE-TX被远程UE 502用于保证发送到UE到网络中继器504的分组的安全。
在操作555和560中,远程UE 502生成用于对来自UE到网络中继器504的接收进行解密的安全密钥(即,PTK)。如下导出安全密钥:
PTKremote-UE-RX=KDF(与在来自UE到网络中继器504的数据分组中接收的PGK ID对应的PGK,在来自UE到网络中继器504的数据分组中接收的PTK ID,UE到网络中继UE ID)
PEKremote-UE-RX=KDF(PTKremote-UE-RX,算法ID),
其中PEKremote-UE-RX被远程UE 502用于对从UE到网络中继器504接收的分组进行解密。
在实施例中,在导出PTKUE-to-network-relay-TX和PTKremote-UE-RX时,可以使用远程UE ID来代替UE到网络中继UE ID。在实施例中,在导出PTKUE-to-network-relay-TX和PTKremote-UE-RX时,除了UE到网络中继UE ID之外,还可以使用远程UE ID。
图6是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图。
参考图6,在操作610中,UE到网络中继器604向ProSe服务器606或PKMF发送安全密钥请求。安全密钥请求包括远程UE ID和UE到网络中继器的UE ID。安全密钥请求还可以包括远程UE组ID。在各种实施例中,如果远程UE 602属于多个组,则远程UE组ID可以被包括在安全密钥请求中。在各种实施例中,如果远程UE ID在组内是唯一的,则远程UE组ID也可以包括在安全密钥请求中。如果远程UE ID仅在组内是唯一的,则远程UE ID和远程UE组ID一起标识远程UE 602。在实施例中,在UE到网络中继器604发现过程期间,UE到网络中继器604获得远程UE 602的远程UE ID和/或远程UE组ID。替换地,UE到网络中继器604可以从远程UE602接收在通信或连接请求消息中的远程UE 602的远程UE ID和/或远程UE组ID。在从远程UE 602接收通信或连接请求消息时,UE到网络中继器604可以向ProSe服务器606或PKMF发送安全密钥请求。
在操作615中,ProSe服务器606或PKMF导出第一安全密钥(即,PTK1),该第一安全密钥被UE到网络中继器604用于保证发送到远程UE 602或远程UE的组的数据分组的安全。ProSe服务器606或PKMF如下导出安全密钥:
PTKUE-to-network-relay-TX=KDF(PGKremote-UE,PTK ID 1,UE到网络中继器604UE ID)
其中,如果远程UE 602与一个组相关联,则PGKremote-UE是远程UE 602的任何有效PGK。PGKremote-UE是与由远程UE组ID标识的组对应的远程UE 602的任何有效PGK。在实施例中,ProSe服务器606或PKMF可以导出PEKUE-to-network-relay-TX,其中
PEKUE-to-network-relay-TX=KDF(PTKUE-to-network-relay-TX,算法ID)
其中,算法ID标识安全算法,例如SNOW 3G完整性算法或AES加密算法。
在操作620中,ProSe服务器606或PKMF进一步导出第二安全密钥(即,PTK 2),该第二安全密钥被UE到网络中继器604用于对从远程UE 602接收的分组进行解密。ProSe服务器606或PKMF导出安全密钥如下:
PTKUE-to-network-relay-RX=KDF(PGKremote-UE,PTK ID 2,远程UE ID),
其中,如果远程UE 602与一个组相关联,则PGKremote-UE是远程UE 602的任何有效PGK。PGKremote-UE是与由远程UE组ID标识的组对应的远程UE 602的任何有效PGK。在实施例中,ProSe服务器606或PKMF可以导出PEKUE-to-network-relay-RX,其中
PEKUE-to-network-relay-RX=KDF(PTKUE-to-network-relay-RX,算法ID)
算法ID标识安全算法,例如SNOW 3G完整性算法或AES加密算法。
在操作625中,ProSe服务器606或PKMF将安全密钥响应发送到UE到网络中继器604。安全密钥响应包括PTKUE-to-network-relay-TX、用于导出PTKUE-to-network-relay-TX的PGK ID和PTKID、PTKUE-to-network-relay-RX、用于导出PTKUE-to-network-relay-RX的PGK ID和PTK ID。PTKUE-to-network-relay-TX是由ProSe服务器606或PKMF导出的安全密钥,该安全密钥要被UE到网络中继器604用于保证发送到远程UE 602的分组的安全。PTK ID是用作导出PTKUE-to-network-relay-TX的输入的ID。PGK ID是用于导出PTKUE-to-network-relay-TX的PGKremote-UE的索引。PTKUE-to-network-relay-RX是由ProSe服务器606或PKMF导出的安全密钥,该安全密钥被UE到网络中继器604用于对从远程UE 602接收的分组进行解密。在实施例中,替代PTKUE-to-network-relay-TX和PTKUE-to-network-relay-RX、或者连同PTKUE-to-network-relay-TX和PTKUE-to-network-relay-RX一起,PEKUE-to-network-relay-TX和PEKUE-to-network-relay-RX被包括在安全密钥响应中。
在操作630中,UE到网络中继器604使用在来自ProSe服务器606或PKMF的安全密钥响应中接收的PTKUE-to-network-relay-TX生成PEKUE-to-network-relay-TX,其中
PEKUE-to-network-relay-TX=KDF(PTKUE-to-network-relay-TX,算法ID)。
然后使用PEKUE-to-network-relay-TX来保证发送到远程UE 602的分组的安全。在实施例中,在来自ProSe服务器606或PKMF的安全密钥响应中接收PEKUE-to-network-relay-TX,并且PEKUE-to-network-relay-TX被UE到网络中继器604用于保证发送到远程UE的分组的安全。之后,从ProSe服务器606或PKMF接收的在安全密钥响应中的PTK ID和PGK ID由UE到网络中继器604在安全数据分组的报头中进行发送。
在操作635中,UE到网络中继器604进一步使用在来自ProSe服务器606或PKMF的安全密钥响应中接收的PTKUE-to-network-relay-RX生成PEKUE-to-network-relay-RX,其中
PEKUE-to-network-relay-RX=KDF(PTKUE-to-network-relay-RX,算法ID)。
然后,PEKUE-to-network-relay-RX用于对从远程UE 602接收的分组进行解密。在实施例中,在来自ProSe服务器606或PKMF的安全密钥响应中接收PEKUE-to-network-relay-RX,并且PEKUE-to-network-relay-RX被UE到网络中继器604用于对从远程UE 602接收的数据分组进行解密。在操作640中,从ProSe服务器606或PKMF接收的在安全密钥响应中对应于PTKUE-to-network-relay-RX的PTK ID和PGK ID由UE到网络中继器604在安全密钥信息中进行发送。
在操作645和650中,远程UE 602生成用于向UE到网络中继器604的发送的安全密钥(即,PTK)。如下导出安全密钥:
PTKremote-UE-TX=KDF(与从UE到网络中继器604接收的PGK ID对应的PGK,从UE到网络中继器604接收的PTK ID以及远程UE ID)
PEKremote-UE-TX=KDF(PTKremote-UE-TX,算法ID)。
PEKremote-UE-TX被远程UE 602用于保证要发送到UE到网络中继器604的数据分组的安全。
此外,在操作655和660中,远程UE 602生成用于对来自UE到网络中继器604的接收进行解密的安全密钥(即,PTK)。如下导出安全密钥:
PTKremote-UE-RX=KDF(与在来自UE到网络中继器604的数据分组中接收的PGK ID对应的PGK,在来自UE到网络中继器604的数据分组中接收的PTK ID,UE到网络中继UE ID)。
PEKremote-UE-RX=KDF(PTKremote-UE-RX,算法ID)。
PEKremote-UE-RX被远程UE 602用于对从UE到网络中继器604接收的数据分组进行解密。
在实施例中,在导出PTKUE-to-network-relay-TX和PTKremote-UE-RX时,可以使用远程UE ID来代替UE到网络中继器604UE ID。在实施例中,在导出用于发送和接收的安全密钥(PTKUE-to-network-relay-TX和PTKremote-UE-RX)时,除了UE到网络中继器604UE ID之外,还可以使用远程UE ID。
图7是示出了根据本公开的实施例的用于在远程UE与UE到网络中继器之间建立安全通信的方法的流程图。
参考图7,在操作710中,UE到网络中继器704向ProSe服务器706或PKMF发送安全密钥请求。安全密钥请求包括远程UE ID和UE到网络中继器的UE ID。在各种实施例中,如果远程UE 702属于多个组,则远程UE组ID可被包括在安全密钥请求中。在各种实施例中,如果远程UE ID在组内是唯一的,则远程UE组ID也可以包括在安全密钥请求中。如果远程UE ID仅在组内是唯一的,则远程UE ID和远程UE组ID一起标识远程UE 702。在UE到网络中继器发现过程期间,UE到网络中继器704还可以获得远程UE 702的远程UE ID和/或远程UE组ID。替换地,UE到网络中继器704可以在连接请求过程中从远程UE 702接收远程UE 702的远程UE ID和/或远程UE组ID。
在操作720中,ProSe服务器706或PKMF导出用于保证远程UE 702与UE到网络中继器704之间的通信的安全的安全密钥(即,PTK)。ProSe服务器706或PKMF如下导出安全密钥:
PTK=KDF(远程UE的安全密钥,COUNTER(计数器)和/或NONCE(随机数)和/或远程UE ID和/或UE到网络中继UE ID),
其中远程UE 702的安全密钥是远程UE 702和ProSe服务器706或PKMF已知的UE特定密钥。在实施例中,安全密钥是特定于UE的、由ProSe服务器706或PKMF从归属订户服务器(HSS)获得的主密钥(KASME)。KASME与认证向量一起被提供给ProSe服务器706或PKMF。在实施例中,ProSe服务器706或PKMF将AUTN和RAND与PTK/PEK一起发送到UE到网络中继器704。UE到网络中继器704将AUTN和RAND转发到远程UE 702,使得远程UE 702导出KASME和其它密钥。在实施例中,ProSe服务器706或PKMF可以导出PEK,其中
PEK=KDF(PTK,算法ID)
算法ID标识安全算法,例如SNOW 3G完整性算法或AES加密算法。要使用的算法可以由ProSe服务器706或PKMF针对组在远程UE 702中预先配置,或替换地,数据分组在报头中包括算法ID。在操作730中,ProSe服务器706或PKMF将安全密钥响应发送到UE到网络中继器704。安全密钥响应包括PTK和COUNTER和/或NONCE。在实施例中,替代PTK或连同PTK一起,PEK被包括在安全密钥响应中。
在操作740中,UE到网络中继器704使用在来自ProSe服务器706或PKMF的安全密钥响应中接收的PTK生成PEK,其中
PEK=KDF(PTK,算法ID)
然后,PEK用于对从远程UE 702接收的分组进行解密,并且还对发送到远程UE 702的分组进行加密。在实施例中,在来自ProSe服务器706或PKMF的安全密钥响应中接收PEK,并且该PEK被UE到网络中继器704用于对从远程UE 702接收的分组进行解密并且还对发送到远程UE 702的分组进行加密。在操作750中,从ProSe服务器706或PKMF接收的在安全密钥响应中的对应于PTK的COUNTER和/或NONCE由UE到网络中继器704在数据分组报头或信令消息中进行发送。
在操作760和770中,远程UE 702生成用于向UE到网络中继器704的发送的安全密钥(即PTK)。如下导出安全密钥:
PTK=KDF(远程UE的安全密钥,从UE到网络中继器接收的COUNTER和/或NONCE和/或远程UE ID和/或UE到网络中继UE ID),
PEK=KDF(PTK,算法ID),
其中PEKremote-UE-TX被远程UE 702用于保证发送到UE到网络中继器704的分组的安全,并且用于对从UE到网络中继器704接收的分组进行解密。
在实施例中,ProSe服务器706或PKMF可以导出两个PTK,而不是一个PTK,其中一个PTK用于保证由UE到网络中继器704发送的分组的安全,而另一个PTK用于保证由远程UE702发送的分组的安全。在任何密钥刷新/密钥更新的情况下,UE到网络中继器704进一步联系ProSe服务器706或PKMF。对于密钥刷新/更新,UE到网络中继器704将用于该组的当前PTKID和/或所有PTK ID发送到ProSe服务器706或PKMF以获得(多个)新密钥。
在实施例中,下面说明用于在D2D通信中在远程UE 702与UE到网络中继器704之间建立安全通信的方法。
ProSe服务器706或PKMF将一个或多个PRGK分配给UE到网络中继器704。除了分配对应于PRKG(多个)附属组的PGK之外,还分配PRGK。此外,除了分配与其(多个)附属组对应的PGK之外,ProSe服务器706或PKMF还向远程UE 702分配一个或多个PRGK。
使用与远程UE 702相关联的PRGK,远程UE 702导出用于对发送到UE到网络中继器704的数据分组进行加密的安全密钥如下:
PRTK=KDF(PRGK,PRTK ID,远程UE ID)。
PREK=KDF(PRTK,算法ID)。
算法ID标识安全算法,例如SNOW 3G完整性算法或AES加密算法。要使用的算法可以由ProSe服务器针对组在远程UE中预先配置,或者替换地,数据分组在报头中包括算法ID。PREK被远程UE用于对发送到UE到网络中继器704的数据分组进行加密。此外,与PRGK对应的PRGK ID和PRTK ID与加密的数据分组一起在数据分组报头中发送。
类似地,UE到网络中继器704导出用于对发送到远程UE 702的数据分组进行加密的安全密钥如下:
PRTK=KDF(PRGK,PRTK ID,UE到网络中继UE ID)。
PREK=KDF(PRTK,算法ID)。
在上文中,算法ID标识安全算法,例如SNOW 3G完整性算法或AES加密算法。要使用的算法可以由ProSe服务器706针对组在UE到网络中继器704中预先配置,或者替换地,数据分组在报头中包括算法ID。PREK被UE到网络中继器704用于对发送到远程UE 702的数据分组进行加密。对应于PRGK的PRGK ID和PRTK ID与加密的数据分组一起在数据分组报头中发送。
在所有实施例中,安全机制应用于由UE到网络中继器704中继的数据分组。UE到网络中继器704可以使用分组数据汇聚协议(PDCP)报头中的协议数据单元(PDU)类型字段来确定是否要中继分组。类似地,远程UE 702可以使用PDCP报头中的PDU类型字段来确定所接收的分组是否由UE到网络中继器704中继。替换地,逻辑信道ID可以用于指示数据分组的中继。
应注意,本公开的实施例可以应用于任何UE1(替代远程UE)与UE2(替代UE到网络中继器)之间的通信。在本公开中使用的PGKremote-UE可以是UE1的主密钥,而不是组密钥。
虽然已经参照本公开的各种实施例示出和描述了本公开,但是本领域技术人员将理解,在不脱离由所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以在其中进行形式和细节上各种改变。
Claims (21)
1.一种由用于在用户设备(UE)与中继UE之间建立安全通信的节点进行的方法,所述方法包括:
通过使用基于所述UE的基于接近的服务(ProSe)组密钥(PGK)、ProSe流量密钥(PTK)标识(ID)和中继UE的ID确定的密钥导出函数(KDF),导出中继UE的PTK;以及
向中继UE发送包括所述中继UE的PTK、所述PTK ID和PGK ID中的至少一个的安全密钥响应消息,
其中,使用所述PTK ID和所述PGK ID来导出用于UE与中继UE之间的设备到设备(D2D)通信的中继UE的PTK。
2.如权利要求1所述的方法,其中,所述UE的PGK是与由所述UE的组ID标识的组相对应的所述UE的有效PGK。
3.如权利要求1所述的方法,还包括:
在导出中继UE的PTK之前,从中继UE接收包括UE的ID和中继UE的ID的安全密钥请求消息。
4.一种用于由中继用户设备(UE)在UE与所述中继UE之间建立安全通信的方法,所述方法包括:
从节点接收安全密钥响应消息,所述安全密钥响应消息包括所述中继UE的基于接近的服务(ProSe)流量密钥(PTK)、PTK标识(ID)和ProSe组密钥(PGK)ID;
基于中继UE的PTK生成中继UE的ProSe加密密钥(PEK);以及
向UE发送包括PGK ID和PTK ID的认证请求消息,
其中,使用所述PGK ID和所述PTK ID来导出用于在UE与中继UE之间的设备到设备(D2D)通信的中继UE的PTK。
5.如权利要求4所述的方法,还包括:
使用中继UE的PEK对要向UE发送的分组进行加密;以及
向UE发送加密的分组。
6.如权利要求4所述的方法,还包括:
使用中继UE的PEK对从UE接收的分组进行解密。
7.如权利要求4所述的方法,还包括:
在接收到所述安全密钥响应消息之前,向节点发送包括UE的ID和中继UE的ID的安全密钥请求消息。
8.一种用于由用户设备(UE)在UE与中继UE之间建立安全通信的方法,所述方法包括:
从中继UE接收认证请求消息,所述认证请求消息包括基于接近的服务(ProSe)组密钥(PGK)标识(ID)和ProSe流量密钥(PTK)ID;
从基于与PGK ID和UE的组ID相对应的PGK、PTK ID和中继UE的ID确定的密钥导出函数(KDF)导出UE的PTK;以及
从基于UE的PTK或算法ID中的至少一个确定的KDF导出UE的ProSe加密密钥(PEK),
其中,使用PGK ID和PTK ID来导出用于在UE与中继UE之间的设备到设备(D2D)通信的中继UE的PTK。
9.如权利要求8所述的方法,还包括:
使用UE的PEK对要向中继UE发送的分组进行加密;以及
向中继UE发送加密的分组。
10.如权利要求8所述的方法,还包括:
使用UE的PEK对从中继UE接收的分组进行解密。
11.一种用于在用户设备(UE)与中继UE之间建立安全通信的节点,所述节点包括:
收发器,被配置为发送和接收信号;以及
至少一个处理器,被配置为:
通过使用基于UE的基于接近的服务(ProSe)组密钥(PGK)、ProSe流量密钥(PTK)标识(ID)和中继UE的ID确定的密钥导出函数(KDF)来导出中继UE的PTK,以及
向中继UE发送包括中继UE的PTK、PTK ID和PGK ID的安全密钥响应消息,
其中,使用中继UE的PTK、PTK ID和PGK ID来导出用于UE与中继UE之间的设备到设备(D2D)通信的中继UE的PTK。
12.如权利要求11所述的节点,其中,UE的PGK是与由UE的组ID标识的组相对应的UE的有效PGK。
13.如权利要求11所述的节点,所述至少一个处理器还被配置为:
在导出中继UE的PTK之前,从中继UE接收包括UE的ID和中继UE的ID的安全密钥请求消息。
14.一种用于在UE与中继UE之间建立安全通信的中继用户设备(UE),所述中继UE包括:
收发器,被配置为发送和接收信号;以及
至少一个处理器,被配置为:
从节点接收安全密钥响应消息,所述安全密钥响应消息包括中继UE的基于接近的服务(ProSe)流量密钥(PTK)、PTK标识(ID)和ProSe组密钥(PGK)ID,
基于中继UE的PTK生成中继UE的ProSe加密密钥(PEK),以及
向UE发送包括PGK ID和PTK ID的认证请求消息,
其中,使用PGK ID和PTK ID来导出用于在UE与中继UE之间的设备到设备(D2D)通信的中继UE的PTK。
15.如权利要求14所述的中继UE,其中,所述至少一个处理器还被配置为:
使用中继UE的PEK对要向UE发送的分组进行加密;以及
向UE发送加密的分组。
16.如权利要求14所述的中继UE,其中,所述至少一个处理器还被配置为:
使用中继UE的PEK对从UE接收的分组进行解密。
17.如权利要求14所述的中继UE,其中,使用PGK ID和PTK ID来导出用于在UE与中继UE之间的设备到设备(D2D)通信的安全密钥。
18.如权利要求14所述的中继UE,其中,所述至少一个处理器还被配置为:
在接收到所述安全密钥响应消息之前,向节点发送包括UE的ID和中继UE的ID的安全密钥请求消息。
19.一种用于在UE与中继UE之间建立安全通信的用户设备(UE),所述UE包括:
收发器,被配置为发送和接收信号;以及
至少一个处理器,被配置为:
从中继UE接收认证请求消息,所述认证请求消息包括基于接近的服务(ProSe)组密钥(PGK)标识(ID)和ProSe流量密钥(PTK)ID;
从基于与PGK ID和UE的组ID相对应的PGK、PTK ID和中继UE的ID确定的密钥导出函数(KDF)导出UE的PTK;以及
从基于UE的PTK和算法ID中确定的KDF导出UE的ProSe加密密钥(PEK),
其中,使用PGK ID和PTK ID来导出用于在UE与中继UE之间的设备到设备(D2D)通信的中继UE的PTK。
20.如权利要求19所述的UE,其中,所述至少一个处理器还被配置为:
使用UE的PEK对要向中继UE发送的分组进行加密;以及
向中继UE发送加密的分组。
21.如权利要求19所述的UE,其中,所述至少一个处理器还被配置为:
使用UE的PEK对从中继UE接收的分组进行解密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN226CH2015 | 2015-01-14 | ||
| IN226/CHE/2015 | 2015-01-14 | ||
| PCT/KR2016/000402 WO2016114604A1 (en) | 2015-01-14 | 2016-01-14 | Method and system for establishing a secure communication between remote ue and relay ue in a device to device communication network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108521875A CN108521875A (zh) | 2018-09-11 |
| CN108521875B true CN108521875B (zh) | 2021-06-04 |
Family
ID=56368484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680005898.9A Active CN108521875B (zh) | 2015-01-14 | 2016-01-14 | 用于在设备到设备通信网络中在远程ue与中继ue之间建立安全通信的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10142769B2 (zh) |
| KR (1) | KR102396778B1 (zh) |
| CN (1) | CN108521875B (zh) |
| WO (1) | WO2016114604A1 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3754897B1 (en) * | 2014-08-08 | 2021-09-29 | Samsung Electronics Co., Ltd. | System and method of counter management and security key update for device-to-device group communication |
| KR102422803B1 (ko) * | 2015-01-16 | 2022-07-19 | 삼성전자 주식회사 | D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법 |
| CN106453203A (zh) | 2015-08-07 | 2017-02-22 | 索尼公司 | 无线通信系统中的装置和方法以及无线通信系统 |
| US9986431B2 (en) * | 2015-08-17 | 2018-05-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for direct communication key establishment |
| US9979730B2 (en) * | 2015-10-30 | 2018-05-22 | Futurewei Technologies, Inc. | System and method for secure provisioning of out-of-network user equipment |
| US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
| US20170325270A1 (en) * | 2016-05-06 | 2017-11-09 | Futurewei Technologies, Inc. | System and Method for Device Identification and Authentication |
| US9986456B2 (en) * | 2016-06-03 | 2018-05-29 | Futurewei Technologies, Inc. | System and method for data forwarding in a communications system |
| US9736290B1 (en) * | 2016-06-10 | 2017-08-15 | Apple Inc. | Cloud messaging between an accessory device and a companion device |
| US10615982B2 (en) | 2016-08-19 | 2020-04-07 | Futurewei Technologies, Inc. | Method and device for providing a key for internet of things (IoT) communication |
| AU2016424413B2 (en) | 2016-09-30 | 2021-01-28 | Huawei Technologies Co., Ltd. | Data transmission method, device, and system |
| WO2018083320A1 (en) * | 2016-11-07 | 2018-05-11 | Koninklijke Kpn N.V. | Handover of a device which uses another device as relay |
| CN109964500B (zh) * | 2016-11-07 | 2024-01-16 | 皇家Kpn公司 | 用于导出用于中继通信的安全密钥的方法、设备、系统和非暂时性计算机可读存储介质 |
| CN108207011A (zh) * | 2016-12-20 | 2018-06-26 | 阿尔卡特朗讯 | 用于控制远程ue接入到网络的方法和设备 |
| US10630661B2 (en) * | 2017-02-03 | 2020-04-21 | Qualcomm Incorporated | Techniques for securely communicating a data packet via at least one relay user equipment |
| CN108632919A (zh) | 2017-03-23 | 2018-10-09 | 索尼公司 | 用于无线通信的电子装置以及无线通信方法 |
| WO2018173677A1 (ja) * | 2017-03-23 | 2018-09-27 | 京セラ株式会社 | 通信制御方法、無線端末、及び基地局 |
| US10659444B2 (en) | 2017-06-27 | 2020-05-19 | Uniken, Inc. | Network-based key distribution system, method, and apparatus |
| US10200195B2 (en) * | 2017-06-27 | 2019-02-05 | Uniken, Inc. | Method for leveraging a secure telecommunication session |
| US10673503B2 (en) | 2017-08-23 | 2020-06-02 | Samsung Electronics Co., Ltd. | Method and device for performing beam forming |
| CN110192381B (zh) * | 2017-09-15 | 2021-02-09 | 华为技术有限公司 | 密钥的传输方法及设备 |
| CN109905877B (zh) * | 2017-12-08 | 2020-11-10 | 大唐移动通信设备有限公司 | 通信网络系统的消息验证方法、通信方法和通信网络系统 |
| CN109922022A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 物联网通信方法、平台、终端和系统 |
| US11863541B2 (en) * | 2018-01-04 | 2024-01-02 | Signify Holding B.V. | System and method for end-to-end secure communication in device-to-device communication networks |
| CN108965243B (zh) * | 2018-05-29 | 2020-10-16 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的类aka身份认证系统和方法 |
| CN110831002B (zh) * | 2018-08-10 | 2021-12-03 | 华为技术有限公司 | 一种密钥推演的方法、装置及计算存储介质 |
| CN109088900A (zh) * | 2018-10-31 | 2018-12-25 | 北京元安物联技术有限公司 | 一种用于发送方和接收方的通信方法及通信装置 |
| US11265709B2 (en) * | 2019-08-08 | 2022-03-01 | Zettaset, Inc. | Efficient internet-of-things (IoT) data encryption/decryption |
| WO2021033022A1 (en) * | 2019-08-16 | 2021-02-25 | Lenovo ( Singapore) Pte. Ltd. | Security capabilities in an encryption key request |
| US11546853B2 (en) | 2019-10-01 | 2023-01-03 | Samsung Electronics Co., Ltd. | Methods and apparatus for monitoring wake up signal |
| CN110690967B (zh) * | 2019-12-11 | 2021-03-02 | 杭州字节信息技术有限公司 | 一种不依赖于服务端安全的即时通信密钥确立方法 |
| US12010508B2 (en) * | 2020-04-22 | 2024-06-11 | Qualcomm Incorporated | Peer-to-peer link security setup for relay connection to mobile network |
| KR20230022894A (ko) * | 2020-07-15 | 2023-02-16 | 엘지전자 주식회사 | 릴레이 통신 |
| US20220109996A1 (en) * | 2020-10-01 | 2022-04-07 | Qualcomm Incorporated | Secure communication link establishment for a ue-to-ue relay |
| CN112584379A (zh) * | 2020-12-04 | 2021-03-30 | 广东以诺通讯有限公司 | 一种基于5g d2d技术的直连通信安全秘钥协商方法 |
| WO2022265164A1 (ko) * | 2021-06-18 | 2022-12-22 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말 간 직접 통신을 수행하는 방법 및 장치 |
| CN116389406B (zh) * | 2023-06-05 | 2023-08-15 | 上海星思半导体有限责任公司 | Ue id的确定方法、ue id范围的发送方法、装置及处理器 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102090093A (zh) * | 2009-04-30 | 2011-06-08 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120008776A1 (en) * | 2009-03-30 | 2012-01-12 | Panasonic Corporation | Wireless communication apparatus |
| JP5164122B2 (ja) * | 2009-07-04 | 2013-03-13 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動通信システム |
| US8605904B2 (en) * | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| CN101834862B (zh) * | 2010-04-29 | 2013-02-13 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间安全连接建立方法及系统 |
| CN101841413B (zh) * | 2010-05-20 | 2012-03-07 | 西安西电捷通无线网络通信股份有限公司 | 一种端到端安全连接的建立方法及系统 |
| US20110305339A1 (en) * | 2010-06-11 | 2011-12-15 | Karl Norrman | Key Establishment for Relay Node in a Wireless Communication System |
| US10045386B2 (en) | 2012-05-31 | 2018-08-07 | Interdigital Patent Holdings, Inc. | Method and apparatus for device-to-device (D2D) mobility in wireless systems |
| KR20140041226A (ko) * | 2012-09-27 | 2014-04-04 | 삼성전자주식회사 | 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 |
| US10484838B2 (en) * | 2013-02-28 | 2019-11-19 | Lg Electronics Inc. | Group communication method and device for providing proximity service |
| JP6165483B2 (ja) * | 2013-03-27 | 2017-07-19 | 株式会社Nttドコモ | 通信システム、中継装置及び通信方法 |
-
2016
- 2016-01-13 US US14/994,656 patent/US10142769B2/en active Active
- 2016-01-14 KR KR1020160004610A patent/KR102396778B1/ko active IP Right Grant
- 2016-01-14 WO PCT/KR2016/000402 patent/WO2016114604A1/en active Application Filing
- 2016-01-14 CN CN201680005898.9A patent/CN108521875B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102090093A (zh) * | 2009-04-30 | 2011-06-08 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
Non-Patent Citations (3)
| Title |
|---|
| "Updates to solution #3.6 ProSe One-to-many communication ";ERICSSON;《3GPP S3-140981》;20140516;第3-6页 * |
| "Using a single group key and bearer level security for ProSe one-to-many communication";QUALCOMM INCORPORATED;《3GPP S3-140136》;20140113;第3-4页 * |
| TSG SA."Proximity-based Services (ProSe);Security aspects(Release 12)".《3GPP TS33.303》.2014,正文第6.2.3-6.3.1部分,图6.2.3.3-1、6.2.3.6.2-1以及6.3.1.1-1. * |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102396778B1 (ko) | 2022-05-12 |
| CN108521875A (zh) | 2018-09-11 |
| WO2016114604A1 (en) | 2016-07-21 |
| US20160205555A1 (en) | 2016-07-14 |
| US10142769B2 (en) | 2018-11-27 |
| KR20160087768A (ko) | 2016-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108521875B (zh) | 用于在设备到设备通信网络中在远程ue与中继ue之间建立安全通信的方法和系统 | |
| US11888979B2 (en) | Method of performing device to device communication between user equipments | |
| CN109644134B (zh) | 用于大型物联网组认证的系统和方法 | |
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| CN107113594B (zh) | 设备到设备通信系统的安全发送和接收发现消息的方法 | |
| US9060270B2 (en) | Method and device for establishing a security mechanism for an air interface link | |
| EP2903322B1 (en) | Security management method and apparatus for group communication in mobile communication system | |
| US10257698B2 (en) | Method and apparatus for managing security key in a near field D2D communication system | |
| KR102272925B1 (ko) | 키를 설정하고 전송하는 방법 | |
| US20180041971A1 (en) | Method of determining the proximity of ue in d2d communication network | |
| CN107925874B (zh) | 超密集网络安全架构和方法 | |
| CN113678401B (zh) | 用于mc通信系统中处理安全过程的方法和装置 | |
| US11632235B2 (en) | Method and apparatus for handling security procedure in mc communication system | |
| KR102554670B1 (ko) | 무선 통신 시스템에서의 데이터 송수신 방법 및 장치 | |
| Hsin-Ying | crecy R unicati | |
| CN118339865A (zh) | 用于无线通信系统中的物理层保护的秘密密钥提取 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |