CN108923918A - 用户设备和通信方法 - Google Patents
用户设备和通信方法 Download PDFInfo
- Publication number
- CN108923918A CN108923918A CN201810716974.8A CN201810716974A CN108923918A CN 108923918 A CN108923918 A CN 108923918A CN 201810716974 A CN201810716974 A CN 201810716974A CN 108923918 A CN108923918 A CN 108923918A
- Authority
- CN
- China
- Prior art keywords
- prose
- key
- network
- communication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/104—Location integrity, e.g. secure geotagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用户设备和通信方法。一种通过发送通信的请求的请求设备(31)和接收来自于请求设备(31)和(32)的请求的接收设备(32)在基于邻近的服务(ProSe)通信中执行鉴权和授权的方法,该方法包括:在请求和接收设备(31)和(32)处根据唯一的密钥Kp导出会话密钥Kpc和Kpi;将会话密钥Kpc和Kpi用于请求和接收设备(31)和(32)之间的ProSe通信建立和直接通信;开始利用请求和接收设备(31)和(32)的直接通信。密钥Kpc是机密性密钥并且密钥Kpi是完整性保护密钥。
Description
本申请是于2015年12月25日进入中国国家阶段的、PCT申请号为PCT/JP2014/003167、国际申请日为2014年6月13日、中国申请号为201480036520.6、发明名称为“用于PROSE组通信的安全”的申请的分案申请。
技术领域
本发明涉及执行鉴权和授权的方法和安全系统,更加具体地,涉及在基于邻近的服务(ProSe)通信中执行鉴权和授权的方法。
背景技术
3GPP(第三代合作伙伴计划)已经开始研究用于商业和公共安全用途两者的基于邻近的服务(ProSe)。3GPP SA1(服务工作组)已经发起了对安全通信、UE(用户设备)识别以及隐私保护的一些安全要求。
ProSe代表最近的和巨大的社会技术趋势。这些应用的原理是要发现在彼此邻近的设备中运行的应用的实例,并且最终也交换与应用有关的数据。与此同时,对公共安全社区中的基于邻近的发现和通信引起了人们的关注。
ProSe通信能够经由eNB(演进的节点B)或者在没有eNB的情况下将服务提供给邻近的UE。SA1要求在具有或者不具有网络覆盖的情况下将ProSe服务提供给UE。UE能够发现附近的其他UE或者被其他UE发现,并且它们能够相互通信。在NPL 1中能够找到一些应用实例。
引用列表
非专利文献
NPL 1:3GPP TR 22.803用于邻近服务(ProSe)的可行性研究,(版本12)
发明内容
技术问题
然而,尽管安全问题涉及用于直接通信的鉴权和授权以及隐私问题,但是3GPPSA3没有提供安全解决方案。
问题的解决方案
已经做出本发明以提供一种针对上述安全问题的整体安全解决方案。
在一个实施例中,提供了一种通过发送通信的请求的请求设备和接收来自请求设备的请求的接收设备在基于邻近的服务(ProSe)通信中执行鉴权和授权的方法,该方法包括:在请求设备和接收设备处从唯一的密钥Kp导出会话密钥Kpc和Kpi;将会话密钥Kpc和Kpi用于在请求设备和接收设备之间的ProSe通信建立和直接通信;开始利用请求设备和接收设备的直接通信。密钥Kpc是机密性密钥并且密钥Kpi是完整性保护密钥。
在另一实施例中,提供了一种安全系统,该安全系统包括多个用户设备(UE)和基于邻近的服务(ProSe)服务器,包括发送通信的请求的请求设备和接收来自请求设备接的请求的接收设备。请求设备和接收设备从唯一的密钥Kp导出会话密钥Kpc和Kpi。请求和接收设备使用会话密钥Kpc和Kpi用于在请求设备和接收设备之间的ProSe通信建立和直接通信。请求设备和接收设备开始利用请求设备和接收设备的直接通信。密钥Kpc是机密性密钥并且密钥Kpi是完整性保护密钥。
本发明的有益效果
进行安全通信的方法和安全系统能够提供针对安全问题的整体安全解决方案。
附图说明
结合附图从某些优选实施例的下面的描述中,本发明的以上和其他的目的、优点和特征将会更加明显,其中:
图1A是示出在NPL 1中的ProSe通信场景的示意图;
图1B是示出在NPL 1中的ProSe通信场景的示意图;
图2是示出根据本发明的示例性实施例的提供进行安全通信的方法的系统的示例的示意图;
图3是示出本发明的示例性实施例的安全系统的示意图;
图4是解释本发明的示例性实施例的进行安全通信的方法的序列图;
图5A是示出一对一会话的示意图;
图5B是示出一对多会话的示意图;以及
图5C是示出多对多会话的示意图。
图6是示出本发明的示例性实施例的一对一通信的序列图;
图7是示出本发明的示例性实施例的一对多通信的选项1的序列图;
图8是示出本发明的示例性实施例的一对多通信的选项2的序列图;以及
图9是示出本发明的示例性实施例的多对多通信的序列图。
具体实施方式
为了在下文中的描述,术语“上”、“下”、“右”、“左”、“垂直”、“水平”、“顶部”、“底部”、“横向”、“纵向”以及其派生词将会如其在附图中定向的那样与本发明有关。然而,要理解的是,本发明可以采用可替选的变化和步骤顺序,除非进行了明显的相反指定。也要理解的是,在附图中图示并且在下面的描述中描述的特定的设备和过程仅是本发明的示例性实施例。因此,与在此公开的示例性实施例有关的特定尺寸和其他的物理特性不被视为限制。
在示例性实施例中,尽管将会解释具体地着重于直接通信、发现、以及通信的安全解决方案,但是该解决方案也能够被应用于其他的通信。
首先,将会解释在3GPP TR 21.905:“用于3GPP规范的词汇”中给出的定义。
ProSe直接通信:
经由没有穿过(traverse)任何网络节点的路径、使用E-UTRAN技术通过用户平面传输的、在ProSE使能的邻近的两个或者多个UE之间的通信。
ProSe使能的UE:
支持ProSe要求和相关联的过程的UE。除非另有明确声明,ProSe使能的UE指的是非公共安全UE和公共安全UE两者。
ProSe使能的公共安全UE:
还支持对于公共安全特定的能力和ProSe过程的ProSe使能的UE。
ProSe使能的非公共安全UE:
支持ProSe过程但是不支持特定于公共安全的能力的UE。
ProSe直接发现:
利用版本12E-UTRAN技术,由ProSe使能的UE采用的仅使用两个UE的能力来发现其附近的其他ProSe使能的UE的过程。
EPC级ProSe发现:
EPC用来确定两个ProSe使能的UE的邻近并且向其通知他们的邻近的过程。
图1A和图1B是示出在NPL 1中的ProSe通信场景的示意图。当由相同的eNB 19服务所涉及ProSe通信的UE 11和UE 12,并且网络覆盖范围可用时,系统100a能够决定使用如由图1A中的实线箭头示出的、在UE 11、12、eNB 19以及EPC(演进的分组核心)14之间交换的控制信息(例如,会话管理、授权、安全)来执行ProSe通信。出于费用的考虑,对于现有的架构的修改应当被最小化。另外,UE 11和12能够经由如通过图1A中的虚线箭头所示的ProSe通信路径来交换控制信令。
当由不同的eNB 19、20服务ProSe通信中所涉及的UE 11和12,并且网络覆盖范围可用时,系统100b能够决定使用如由图1B中的实线箭头所示的、在UE 11、12、eNB 19和EPC14之间交换的控制信息(例如,会话管理、授权、安全)来执行ProSe通信。在此配置中,eNB19和20可以通过EPC 14相互协调,或者如由图1B中的eNB 19和20之间的虚线箭头所示,针对无线电资源管理进行直接通信。出于费用的考虑,对于现有的架构的信令修改应当被最小化。另外,UE 11和12能够经由如在图1B中的在UE 11和UE 12之间的虚线箭头所示的ProSe通信路径交换控制信令。
如果网络覆盖范围可用于UE的子集,则一个或者多个公共安全UE可以为不具有网络覆盖的其他UE中继无线电资源管理控制信息。
如果网络覆盖不是可用的,则控制路径能够直接存在于公共安全UE之间。在此配置下,公共安全UE能够依赖于预先配置的无线电资源来建立和保持ProSe通信。可替选地,能够驻留在公共安全UE中的公共安全无线电资源管理功能能够管理用于公共安全ProSe通信的无线电资源的分配。
图2是示出根据本发明的示例性实施例的提供进行安全通信的方法的系统的示例的示意图。如在图2中所示,系统10包括UE 11、UE 12、E-UTRAN13、EPC 14、ProSe功能15、ProSe APP服务器16、ProSe APP 17、以及ProSe APP 18。
UE 11和UE 12能够通过PC5进行通信,UE 11和E-UTRAN 13通过LTE-Uul进行通信,并且UE 12能够通过LTE-Uu2和PC3分别与E-UTRAN 13和ProSe功能15进行通信。EPC 14和ProSe功能15能够通过PC4进行通信,ProSe APP服务器16能够通过SG1和PC1分别与EPC 14和ProSe APP 18进行通信,并且ProSe功能15能够通过PC6与自身通信。
如上所述,当使用基础设施时,即,经由e节点B,能够使用现有的密钥。然而,对于设备对设备直接发现和通信,需要新的解决方案;例如,密钥能够从网络被发送到通信方,密钥能够在通信方之间被创建,或者类似的用于协商的算法能够直接地或者经由网络来使用。此外,对于非许可(unlicensed)频谱上的安全性也需要新的解决方案。
支持用于ProSe直接通信一对一的两种不同的模式:
网络独立的直接通信:该用于ProSe直接通信的操作的模式不要求任何网络辅助来授权连接,并且仅使用UE本地的功能性和信息来执行通信。不论UE是否由E-UTRAN服务,该模式都仅可应用于预授权的ProSe使能的公共安全UE。
网络授权的直接通信:该用于ProSe直接通信的操作的模式总是要求网络辅助,并且当对于公共安全UE,仅一个UE“由E-UTRAN服务”时,也是可应用的。对于非公共安全UE,两个UE必须“由E-UTRAN服务”。
PC1:
这是UE 12中的ProSe APP 18和ProSe APP服务器16中之间的参考点。其用于定义应用级要求。
PC2:
这是在ProSe APP服务器16和ProSe功能15之间的参考点。其用于定义在ProSe应用服务器16和3GPP EPS经由ProSe功能15提供的ProSe功能之间的交互作用。其使用的一个示例可以用于在ProSe功能15中的对ProSe数据库的应用数据更新。其使用的另一示例可以是由ProSe应用服务器16用于在3GPP功能性和应用数据之间的交互的数据,例如,名称转换。
PC3:
这是在UE 12和ProSe功能15之间的参考点。其用于定义在UE 12和ProSe功能15之间的交互作用。其使用的示例是用于对于ProSe发现和通信的配置。
PC4:
这是在EPC 14和ProSe功能15之间的参考点。其用于定义在EPC 14和ProSe功能15之间的交互。其可能的使用情况可以是当建立UE之间的一对一通信路径时、或者当实时验证用于会话管理或者移动性管理的ProSe服务(授权)时。
PC5:
这是在用于控制的UE 11至UE 12之间的参考点、以及用于发现和通信的用户平面,用于中继和一对一通信(直接在UE之间以及经由LTE-Uu在UE之间)。
PC6:
该参考点可以用于订阅到不同PLMN的用户之间的诸如ProSe发现的功能。
SGi:
除了经由SGi在TS 29.061[10]中定义的有关功能,其可以被用于应用数据和应用级控制信息交换。
图3是示出本发明的示例性实施例的安全系统的示意图。如图3所示,本发明的示例性实施例的安全系统1包括一个或者多个请求UE L01、运营商网络L02、以及一个或者多个接收UE L03。执行安全通信的方法包括下述步骤:在与或者不与运营商网络L02的交互的情况下,在UE(请求UE L01、接收UE L03)之间执行的安全组管理L1、安全发现L2、初始授权L3、鉴权L4、授权L5、安全关联建立L6、安全通信L7以及终止L8。
假定网络覆盖范围可用于UE,作在本示例性实施例中广播作为示例被描述,但是该示例性实施例还应用于多播和一对一通信,如在图1A、图1B以及图2中所示。
从组的建立到通信终止,在下所述,在每个步骤中都需要安全性。注意,根据服务或者应用,步骤L1-L4能够采用不同的次序。
L1:安全组管理
成员能够安全地加入,成员能够安全地离开,并且服务的授权等级和成员中的每一个以及任何其他所要求的信息能够被安全地修改。
L2:安全发现应当发生
如果没有确保发现的安全,则设备可能开始与错误方或者流氓设备的通信,结果伪装攻击可能发生,这进而可能导致欺诈性收费。为此,必须确保与发现有关的通信的安全,即,UE对邻近的其他UE的身份进行鉴权;发现的完整性保护和设备应当能够对消息进行鉴权。
L3:初始授权
基于安全发现的初始授权将会导致被发现的设备属于组的决定,并且因此下一个步骤能够启动。
L4:鉴权
一旦设备被发现并且授权为组的一部分,就应当进行相互鉴权;否则依然存在一定范围的攻击。
L5:授权
授权的下一级将发现在属于相同组的设备之间能够使用什么服务。例如,允许UE发送和接收不同类型的消息或者仅允许其接收广播消息。
L6:安全关联建立(密钥导出和管理)
属于相同组的UE应当具有密钥,以保护其通信使得不属于该组的其他UE或者攻击者无法窃听或者更改消息。
L7:安全通信
UE之间的通信能够根据订阅服务类型,利用完整性和/或机密性保护来通过安全关联进行保护。
L8:终止
当UE挂起(suspend)或者终止通信时,或者当整个组通信被终止时,安全终止能够提供安全性。
在下面的部分中将会解释满足安全要求的本发明的示例性实施例的执行安全通信的具体方法。图4是解释本发明的示例性实施例的在UE 100和网络200之间进行安全通信的方法的序列图。
[1]组设置和管理(L1)
组能够是
(1)相互(一对一)通信的两个设备;或者
(2)一个UE能够与其他的设备通信的两个以上的设备(一对多)。
(3)能够相互通信的两个以上的设备(多对多)。
组能够出于不同的通信目的而被建立,并且组成员能够被改变。为了形成组,运营商网络L02能够检查向其想要与之通信的UE L03发出请求的请求UE L01,如果它们能够相互通信则验证设备,并且向两侧的验证的设备(请求UE L01和接收UE L03)通知该请求和形成。
在下文中,将解释创建组的一个示例。如图4所示,UE 100请求对网络200的ProSe订阅,并且创建组(步骤1)。在步骤1中,UE 100需要满足条件,即,策略,例如,兴趣、特定位置等。而且,网络200需要验证UE是否满足条件,即,策略,例如,邻近范围、订阅、在漫游UE的情况下的家庭网络、WiFi与否、ProSe使能等。组被严格地形成,例如,组的成员应当被登记在白名单中,或者根据来自UE 100的请求或者在网络200知道所有UE条件时通过网络200,动态地形成组。
为了创建安全组,UE 100必须同意成为组的一部分,并且仅“同意的”UE 100称为组成员。组管理包括添加组成员、移除组成员、结束组以及添加临时组成员。每个UE 100能够从例如社交网络应用和对于ProSe服务的请求中看到谁是邻近的,并且ProSe服务器需要执行授权,但是不必执行发现。
[2]发现-邻近的UE的安全检测(L2)
[1]中的发现和组创建能够同时发生或者是独立的过程。
能够存在UE(请求UE L01)可以发现邻近的其他UE(接收UE L03)的下述三种手段:(1)基于广播,(2)基于网络,以及(3)基于设备服务级信息。将如下描述能够如何进行安全发现。
[2-1]基于广播的解决方案
在基于广播的解决方案中存在六种方式(s1-s6):
(s1)令牌
广播消息能够包含仅给定UE能够具有的令牌。令牌应当仅被使用一次以防止接收侧重用该令牌。为了实现该情况,每次接收广播消息,UE都能够计算令牌,或者网络能够向所有UE通知接下来要使用的令牌。因为接收侧能够重用令牌,所以对于这种使用情况,这能够被用作信息通知类型的服务。
(s2)签名消息
广播消息能够通过可以由接收UE或者由用于接收UE的网络验证的密钥进行签名。签名能够通过不同的密钥管理技术方案发生,或者其能够使用用于与基础设施网络通信的当前密钥(或者来自于当前密钥的导出)发生——这里可能需要新密钥层级。
(s3)消息ID
广播消息能够具有在鉴权期间被验证的ID并且初始地仅用于授权。
(s4)随机值
广播消息能够包含仅能够由网络和UE产生的随机值。随机值的验证能够由网络代表通信UE来进行。
(s5)密钥
每个UE具有属于其他设备的特定密钥,并且因此每个UE发送可能长的广播或者新类型的广播,其通过用于组中的每个UE的加密的/受完整性保护的部分来以片段发送。
(s6)戳
广播消息能够用时间戳和寿命来签名。注意,该寿命可以是非常短的时段,或者能够持续直到下一个广播。
[2-2]基于网络的解决方案
网络能够提供信息。为此,网络能够使用从UE(请求UE L01)接收到的位置信息,并且能够通过现有的网络安全机制能够来保护位置信息。
[2-3]基于设备服务等级信息的解决方案
请求UE L01能够使用由社交网络或者其他服务提供的位置信息。在应用层中能够确保安全性。
将会解释发现的具体示例。UE 100能够设置在D2D(设备对设备通信)服务器中的发现/可发现的特征和/或能力。
情况1A:
如果UE 100不知道其他UE是否邻近,则UE 100能够向ProSe服务器请求ProSe服务,并且ProSe服务器能够发出对于ProSe服务的请求并且同时得到其他UE的位置信息。
情况2A:
如果UE 100能够从例如社交网络应用看到谁是邻近的并且请求服务,则ProSe服务器需要执行授权,但是不必执行发现。
如果ProSe服务器执行授权,则UE 100使能ProSe,并且/或者允许UE 100得到给定的服务/通信手段。
如果基于UE 100的邻近进行发现,则UE 100发送由单播安全上下文周期性保护的位置信息。网络200在需要时或者周期性地请求位置信息。能够广播请求(步骤3),并且广播的消息要求安全性。响应(步骤4)能够由单播安全上下文来保护。
网络存储用于邻近的条件,其也能够由请求和接收UE给出。网络200能够向附近的允许被发现的接收UE进行广播,并且UE用受保护的消息进行响应。在第一次通信和/或登记时,或者当任何变化发生时,UE 100向网络200通知其条件和能力。
通过网络200或者UE 100的基于广播的解决方案要求下述要求中的一个或多个。即,接收侧应当能够验证源,不应当重用广播消息,接收响应的网络200应当能够对其进行验证,或者如果过长则应当丢弃响应。UE 100能够使用用于执行安全发现的一个或者多个解决方案。解决方案包括令牌、签名、消息、消息ID、随机值、密钥和戳。注意,该解决方案能够在步骤5(相互鉴权,鉴权L4)中使用、在步骤6(授权,授权L5)中使用,并且在步骤7(产生密钥和协商算法,安全通信L7)中使用,如在图4中所示。步骤5至7能够一起发生,并且可能与广播安全有关。
[3]初始授权(L3)
初始授权根据上述发现解决方案而变化。
[3-1]基于广播:
是否允许请求UE L01与接收UE L03进行通信可以通过网络或者通过具有由网络提供的证明的接收UE L03来检查。
[3-2]基于网络:
请求UE L01和接收UE L03能够经由直接无线接口执行相互鉴权。
[3-3]基于设备服务等级信息:
接收UE L03在用于ProSe服务目的的设备组的成员当中检查由用户或者在UE中保持的列表。
[4]鉴权(L4)
一旦请求UE L01被识别为属于相同的组,则鉴权发生。鉴权可以本地地或者通过与网络交互来执行。
[4-1]请求UE L01的鉴权
这能够通过网络或具有来自于网络的证据的UE对请求UE L01的成功识别来执行。
[4-2]接收UE L03的鉴权:
这可以通过下述来执行
[4-2-i]使用在请求UE L01和接收UE L03之间共享的密钥
[4-2-ii]使用当前网络安全密钥或者新密钥
[4-2-iii]向请求UE L01通知来自接收UE L03的传入的鉴权请求的网络。
[5]授权-服务接入控制(L5)
对请求UE L01和接收UE L03(下文中也被称为“UE”)能够在组内使用的服务的接入控制应当存在不同的等级。
[5-1]允许UE接收和/或发送广播消息。
[5-2]允许UE接收和/或发送多个消息。
[5-3]允许UE接收和/或发送用于一对一通信的消息。
[5-4]根据订阅信息和用于ProSe服务的策略UE设置的UE授权。
网络能够根据UE能力和用户订阅来建立策略并且向包括请求UE L01和接收UEL03的组成员提供该策略。
网络200对想要加入组的UE 100执行授权。UE 100的组成员通过使用会话密钥来验证网络是否授权其他UE。用于执行验证的授权的另一方法由网络通过下述来进行:(1)由网络将授权值发送到各个UE 100并且各个UE 100使用该值来对彼此执行授权,或者(2)用于执行验证的授权的又一方法,该方法通过将来自请求UE的授权值发送到接收UE,并且然后接收UE请求网络验证该授权值和接收结果来进行。
[6]新密钥层级和密钥管理(L6)
在本发明的本示例性实施例中提出新密钥层级。密钥Kp是与组有关的密钥并且还可以与ProSe服务有关。密钥Kp具有与其有关的指示符KSI_p。能够从ProSe服务器发送Kp以供使用。
密钥Kpc和Kpi是在UE处从Kp导出的会话密钥。Kpc是机密性密钥并且Kpi是完整性保护密钥。会话密钥由UE用于执行对彼此的授权和ProSe通信建立,并且在其之间具有直接通信。
在授权和鉴权之后,包括请求UE L01和接收UE L03的通信设备能够开始会话以相互通信。当请求UE L01和接收UE L03相互通信时,应当共享通信密钥。密钥能够是组密钥和/或每个通信设备的唯一的密钥以及每个会话的会话密钥。
密钥能够由网络管理并且在安全通信信道上通过网络被发送。可替选地,密钥能够由请求UE L01管理,并且在鉴权或者验证期间,通过能够由网络确保安全的安全单播通信信道被发送到通信中的包括接收UE L03的其他设备。
UE 100在会话开始时彼此鉴权(S5)。鉴权与授权相关联(S6)。图5A至图5C是分别示出一对一、一对多、以及多对多会话的示意图。如在图5A至图5C中所示,UEa 21和UEa 31指示请求UE L01,并且UEb 22、UEb 32、UEc 33以及UEn_33n指示接收UE L03。
当开始会话时,首先生成会话密钥。在本示例性实施例中,请求UE L01(UEa 21、UEa 31)和接收UE L03(UEb 22、UEb 32、UEc 33、UEn_33n)使用包括会话密钥的两种密钥。
情况1B:
各个组具有用于各个服务的密钥Kp(Kp用作服务密钥),并且针对各个会话创建新的会话密钥。
情况2B:
各个组具有密钥Kp(Kp用作组密钥),并且针对各个会话创建新的会话密钥。
在各个情况下,ProSe服务器或者请求UE L01发送密钥。例如,ProSe服务器将密钥Kp发送到请求UE L01和接收UE L03,并且每次会话,请求UE L01都将会话密钥发送到接收UE L03。替选地,ProSe服务器将密钥Kp和会话密钥两者发送到请求UE L01和接收UE L03,或者请求UE L01将密钥Kp和会话密钥两者发送到接收UE L03。
此外,当组在有人离开或者被添加时而改变时、当会话结束或者密钥超时时、或者当ProSe服务器已经做出决定时,例如,密钥Kp和/或会话密钥应被改变。
如果ProSe服务器将密钥Kp分配给UE,则UE从其导出会话密钥以用于授权和通信。能够利用用于密钥导出的算法来预先配置UE,或者密钥Kp与KSI(密钥集标识符)和服务有关。因为它们,在UE的鉴权和授权期间的安全问题或者用于直接通信的密钥的安全问题可以被解决。
注意,密钥集标识符(KSI)是与在鉴权期间导出的密码和完整性密钥相关联的数字。密钥集标识符能够由网络分配,并且通过鉴权请求消息被发送到移动站,在移动站处,密钥集标识符与所计算的密码密钥CK和完整性密钥IK一起被存储。密钥集标识符的目的是,使其能够用于使网络在不调用鉴权过程的情况下,识别存储在移动站中的密码密钥CK和完整性密钥IK。这用于允许在后续连接(会话)期间对密码密钥CK和完整性密钥IK的重用。
[7]安全通信(L7)
安全通信能够提供在组成员UE之间的消息传输可用性,并且防止消息由不属于该组的UE窃听或者更改。而且,安全通信能够防止UE使用未被授权的服务。
组内的通信应当具有完整性和/或机密性保护。在安全关联被建立之后,所有的通信都可以通过上述会话密钥来保护。
在具有或者不具有运营商网络L02的支持的情况下,安全策略能够是组内的协商和协议。所有的组成员应当遵循安全策略。
接下来,将会解释在UE的位置改变发生的情况下的安全性。如果没有UE具有位置变化,则不存在安全问题。此外,如果所有的UE具有改变的位置,但是保持彼此邻近,则仍然不存在安全问题。
如果UE的一部分(一个或者多个UE)已经从其他UE的邻近移出并且其不使用ProSe服务,则需要针对组中的剩余UE来更新组和安全管理。可替选地,如果一个或者多个UE已经从UE邻近移出,并且它们想要保持与彼此的ProSe服务,则需要针对组中的剩余UE更新组和安全管理,并且针对旅行者(traveler)需要新的组和安全。
注意,ProSe服务器应当周期性地从GMLC(网关移动位置中心)得到UE位置信息,以比较和计算所有UE的位置差异。
[8]终止(L8)
当通信要被挂起时,设备应当移除会话密钥,同时保持鉴权和授权的信息。
当通信要被终止时,设备能够保持历史信息,或者具有用于下一次使用时间的寿命的分配的令牌,以防止再次用于鉴权和授权的信令。
从基础设施到直接模式的平滑切换(handover)将会要求在切换发生之前在通信方(请求UE L01和接收UE L03)之间的密钥的创建。例如,如果通信方正在使用WiFi,则密钥应被分配给WiFi AP和UE。WiFi AP和UE应相互授权和鉴权。密钥应具有有限的寿命。网络能够识别UE能够与哪个WiFi AP通信。UE能够发现附近存在WiFi AP,并且网络验证WiFi AP。当UE连接到WiFi AP时,UE与ProSe服务器进行鉴权。一个选项是ProSe功能能够分配用于使UE与ProSe APP服务器进行通信的密钥。
为了总结上面的描述,示例性实施例的进行安全通信的方法包括下述特征:
(1)运营商网络L02确定请求UE L01是否能够与由请求UE L01所请求的接收UEL03通信。
(2)能够通过使用由网络提供的令牌、密钥以及签名来提供邻近UE的发现中的安全性。
(3)能够通过使用由运营商网络L02提供的位置来提供邻近UE的发现中的安全性。
(4)利用在应用层中提供的安全性,能够通过使用由社交网络服务提供的位置信息来提供邻近UE的发现中的安全性。
(5)能够通过网络或者设备直接验证来执行设备的授权。
(6)同意在组L03中的请求UE L01和接收UE之间的相互鉴权能够由网络来执行,并且也能够向两个UE通知结果。
(7)在请求UE L01和接收UE L03之间的相互鉴权能够通过其之间共享的密钥来由两端执行。
(8)能够使用作为组密钥和唯一会话密钥的用于确保ProSe通信安全的新密钥。
(9)用于安全通信的组中的安全策略被协商和设置。
(10)能够执行终止管理以防止相同的密钥被使用,并且建立用于其他通信的安全上下文。
根据示例性实施例的安全系统,运营商网络L02能够确定请求UE L01能够与其通信的接收UE L03,并且能够通过将安全参数提供给请求UE L01或者接收UE L03,并且将接收UE L03的位置信息提供给请求UE L01,来确保安全发现的安全。此外,运营商网络L02能够执行对于请求UE L01和接收UE L03的鉴权和授权,并且能够支持UE之间的安全关联以确保ProSe通信的安全。
[9]执行鉴权和授权的具体方法
接下来,将会解释执行鉴权和授权并且建立与彼此的安全关联以用于直接通信的更具体的方法。
如上所述,在UE之间存在三种类型的直接通信,即,分别在图5A、图5B、以及图5C中所示的1)一对一,2)一对多,和3)多对多。
UEa是请求UE。UEb、UEc和其他UE是接收UE。UE建立与彼此的直接通信,并且通过其所共享的密钥来保护通信。
在本发明中提出新的密钥层级。密钥Kp是与ProSe服务ID有关的密钥,并且具有与其有关的指示符KSI_p。Kp能够在ProSe服务结果消息中从ProSe服务器被发送到UE,或者当UE被登记到ProSe服务器时,能够从ProSe服务器发送。Kpc和Kpi是在UE处从Kp导出的会话密钥。Kpc是机密性密钥,并且Kpi是完整性保护密钥。会话密钥用于其之间的ProSe通信建立和直接通信。
假定向网络鉴权UE并且将UE登记到ProSe服务器。如上所述完成发现过程。下面给出三种情况的具体消息序列和描述。
[[情况1C]]一对一直接通信
仅存在具有与彼此的直接通信的邻近的两个UE。在一对一通信中,Kp还能够在UE登记到ProSe服务器时被分配给UE。考虑到一对一类型的通信是用于动态需求,而不是专用于特定类型的服务,当要求通信时,ProSe服务器分发(distribute)密钥是更加有效的。
图6是示出本发明的示例性实施例的一对一通信的序列图。如在图6中所示,系统包括UEa 31、UEb 32、ProSe服务器34以及运营商网络36。方法包括下述12个步骤。
SP20:通过密钥导出算法分别预先配置UEa 31和UEb 32。
SP21:当在[4]步骤8中的验证被成功地完成时,ProSe服务器34能够分配(现有的)或者导出(新的)密钥Kp。
SP22:ProSe服务器34在ProSe服务结果中将Kp、KSI_p、UEb ID、以及服务ID发送到UEa 31。
SP23:ProSe服务器34在ProSe服务结果中将Kp、KSI_p、UEa ID、以及服务ID发送到UEb 32。
SP24:UEa 31根据从ProSe服务器34接收到的Kp导出会话密钥Kpc和Kpi。
SP25:UEa 31将具有服务ID、KSI_p、UEa ID以及用于会话密钥导出的算法的ProSe通信建立发送到UEb 32。此消息是通过Kpi来保护完整性的。
SP26:UEb 32根据从ProSe服务器34接收到的Kp导出相同的会话密钥Kpc和Kpi。UEb 32能够根据在SP25中接收到的KSI_p和服务ID确定要使用哪一个Kp。
SP27:UEb 32通过被导出的Kpi对在SP25中接收到的消息执行完整性检查。UEb 32也能够进一步检查是否UEa ID和服务ID与在SP23中接收到的那些相同。
SP28:如果在SP27处的验证是成功的,则UEb 32将具有服务ID和UEb ID的ProSe通信接受发送到UEa 31。消息是通过Kpi保护完整性的。进行到SP30。
SP29:如果在SP27处的验证失败,则UEb 32将具有服务ID、UEb ID以及适当的原因的ProSe通信拒绝发送给UEa 31。
SP30:UEa 31利用Kpi对ProSe通信接受执行完整性检查。UEa 31也能够进一步检查UEb ID和服务ID。如果验证被成功完成则之后能够开始直接通信。
SP31:在UEa 31和UEb 32之间开始直接通信。消息能够是通过会话密钥Kpc和Kpi保护的机密性和/或完整性。
[[情况2C]]一对多通信
存在一组具有直接通信的UE,其中请求UE能够将广播消息发送到组中的其他成员UE,并且其他的成员UE能够与请求UE通信但是没有与相同组中的其他UE通信。
在本示例性实施例中,将会解释Kp能够如何被分配给UE的两个选项。下述是选项1,在ProSe服务结果中从ProSe服务器34发送Kp,其与在图6中示出的一对一通信相同。
图7是示出本发明的示例性实施例的一对多通信的选项1的序列图。如在图7中所示,方法包括下述步骤。
SP40:通过密钥导出算法分别预先配置UEa 31、UEb 32以及UEc33。
SP41:当在[4]步骤8中的验证被成功地完成时,ProSe服务器34能够分配(现有的)或者导出(新的)密钥Kp。
SP42:ProSe服务器34在ProSe服务结果中将Kp、KSI_p、被允许的UE的UE ID列表、和服务ID发送到UEa 31。
SP43a和SP43b:ProSe服务器34在ProSe服务结果中将Kp、KSI_p、UEa ID、以及被允许的UE的UE ID列表、服务ID分别发送到UEb 32和UEc 33。
SP44:UEa 31根据从ProSe服务器34接收到的Kp导出会话密钥Kpc和Kpi。
SP45a和SP45b:UEa 31分别将具有服务ID、KSI_p、UEa ID以及用于会话密钥导出的算法的ProSe通信建立发送到UEb 32。此消息是通过Kpi来保护完整性的。
SP46:UEb 32和UEc 33分别根据从ProSe服务器34接收到的Kp导出相同的会话密钥Kpc和Kpi。UEb 32和UEc 33能够分别根据在SP45a和SP45b中接收到的KSI_p和服务ID确定要使用哪一个Kp。
SP47:UEb 32和UEc 33利用导出的Kpi分别对在SP45a和SP45b中接收到的消息执行完整性检查。UEb 32和UEc 33也能够分别进一步检查是否UEa ID和服务ID与在SP43a和SP43b中接收到的那些相同。
SP48a和SP48b:如果在SP47处的验证是成功的,则UEb 32和UEc 33分别将具有服务ID和UEb/UEc ID的ProSe通信接受发送到UEa 31。消息是通过Kpi保护完整性的。进行到SP50。
SP49a和SP49b:如果在SP47处的验证失败,则UEb 32和UEc 33分别将具有服务ID、UEb/UEc ID以及适当的原因的ProSe通信拒绝发送给UEa 31。
SP50:UEa 31通过Kpi对ProSe通信接受执行完整性检查。UEa 31也能够进一步检查UEb/UEc ID和服务ID。如果验证被成功地完成则之后能够开始直接通信。
SP51:在UEa 31和UEb 32、或者UEa 31和UEc 33之间开始直接通信。消息能够是通过会话密钥Kpc和Kpi来保护机密性和/或完整性的。
下述是接收UE(UEb 32、UEc 33)在登记到ProSe服务器34时接收Kp的选项2。在此选项中,ProSe服务器34不需要将ProSe服务结果发送到接收UE(UEb 32,UEc 33)中的每一个。当在组中很多UE用于直接通信时,这将会节省网络资源。
图8是示出本发明的示例性实施例的一对多通信的选项2的序列图。如在图8中所示,方法包括下述10个步骤。
SP60:当UE被登记到ProSe服务器34时Kp被分配给UE。通过密钥导出算法分别预先配置UEa 31、UEb 32以及UEc 33。
SP61:ProSe服务器34在ProSe服务结果中将KSI_p、被允许的UE的UE ID列表、和服务ID发送到UEa 31。
SP62:UEa 31根据Kp导出会话密钥Kpc和Kpi。
SP63:通过服务ID、UEa ID、UE ID列表、以及KSI_p,UEa 31向UE ID列表中的UE广播ProSe通信建立。通过Kpi对此消息进行完整性保护。
SP64:已经接收到广播消息的UE看其是否在列表上,并且从Kp导出相同的会话密钥Kpc和Kpi。UE能够根据在SP63中接收到的KSI_p和服务ID确定要使用哪一个Kp。
SP65:UEb 32和UEc 33利用被导出Kpi对广播消息执行完整性检查。如果分别存在预先配置的准则,UEb 32和UEc 33也能够进一步检查UEa ID和服务ID。
SP66a和SP66b:如果验证是成功的,则UEb 32和UEc 33分别将具有服务ID和UEb/UEc ID的ProSe通信接受发送到UEa 31。通过Kpi对该消息进行完整性保护。进行到SP68。
SP67a和SP67b:如果验证失败,则UEb 32和UEc 33分别将具有服务ID、UEb/UEcID、以及适当的原因的ProSe通信拒绝发送到UEa 31。
SP68:UEa 31通过Kpi对ProSe通信接受执行完整性检查。UEa 31也能够进一步检查UEb/UEc ID和服务ID。如果验证被成功地完成其后直接通信能够开始。
SP69:在UEa 31和UEb 32、或者UEa 31和UEc 33之间开始直接通信。通过会话密钥Kpc和Kpi能够对消息进行机密性和/或完整性保护。
[[情况3C]]多对多通信
在多对多通信中,各个UE能够与组中的任何其他UE通信。图9是示出本发明的示例性实施例的多对多通信的序列图。如在图9中所示,该方法包括下述10个步骤。
SP70:当UE被登记到ProSe服务器34时Kp被分配给UE。通过密钥导出算法分别预先配置UEa 31、UEb 32以及UEn 33n。
SP71:ProSe服务器34在ProSe服务结果中将KSI_p、被允许的UE的UE ID列表、和服务ID发送到UEa 31。
SP72:UEa 31根据Kp导出会话密钥Kpc和Kpi。
SP73:通过服务ID、UEa ID、UE ID列表、以及KSI_p,UEa 31向UE ID列表中的UE广播ProSe通信建立。通过Kpi对该消息进行完整性保护。
SP74:已经接收到广播消息的UE看其是否在列表上,并且分别从Kp导出相同的会话密钥Kpc和Kpi。UE能够分别根据在SP73中接收到的KSI_p和服务ID确定要使用哪一个Kp。
SP75:UEb 32和UEn 33n分别利用导出的Kpi,对广播消息执行完整性检查。如果存在预先配置的准则,UEb 32和UEn 33n也能够分别进一步检查UEa ID和服务ID。
SP76a和SP76b:如果验证是成功的,则UEb 32和UEn 33n分别将具有服务ID和UEb/UEn ID的ProSe通信接受发送到UEa 31。通过Kpi对该消息进行完整性保护。进行到SP78。
SP77a和SP77b:如果验证失败,则UEb 32和UEn 33n分别将具有服务ID、UEb/UEnID、以及适当的原因的ProSe通信拒绝发送到UEa 31。
SP78:UEa 31利用Kpi对ProSe通信接受执行完整性检查。UEa 31也能够进一步检查UEb/UEn ID和服务ID。如果验证被成功地完成其后直接通信能够开始。
SP79:在UE之间直接通信开始。通过会话密钥Kpc和Kpi能够对消息进行机密性和/或完整性保护。
为了总结上面的描述,示例性实施例的执行鉴权和授权的方法包括下述特征:
(1)用于UE直接通信的新密钥层级:Kp和会话密钥Kpc和Kpi。Kpc是用于加密并且Kpi是用于完整性保护。从Kp导出Kpc和Kpi两者。
(2)Kp与密钥标识符KSI_p有关并且也与服务ID有关,使得UE能够保持同步并且验证密钥是否适合于被请求的服务。
(3)ProSe服务器当UE被登记到ProSe服务器时,或者在ProSe服务结果消息中,将Kp分布给UE。、
(4)通过用于会话密钥导出的算法预先配置UE。通过KSI_p、服务ID以及被指示的算法,接收UE能够导出相同的会话密钥。
(5)完整性密钥Kpi被用于保护来自请求UE的通信请求,使得接收UE能够执行完整性检查并且验证消息是否来自于经授权的来源。
(6)接收UE也能够验证是否所有的服务ID、请求ID以及密钥匹配。
(7)通过接收UE对ProSe通信接受进行完整性保护,使得请求UE能够验证其完整性。
(8)通过会话密钥Kpc和Kpi能够对UE之间的直接通信进行机密性和/或完整性保护。
根据本发明的示例性实施例的安全系统,从网络元件ProSe服务器分布的密钥使想要建立直接通信的UE能够验证是否其他UE被授权以具有服务。UE在它们的末端处导出会话密钥,能够防止密钥如果它们从一个UE被发送到另一个而被偷或者被更改。Kp与某些服务有关,其防止UE将密钥用于它们可能没有被授权具有的其他的服务。通过仅在UE之间共享的会话密钥,能够确保UE之间的直接通信安全。
此软件能够被存储在各种类型的非瞬时计算机可读介质中并且从而被供应到计算机。非瞬时计算机可读介质包括各种类型的有形存储介质。非瞬时计算机可读介质的示例包括磁记录介质(诸如软盘、磁带、以及硬盘驱动)、磁光记录介质(诸如磁光盘)、CD-ROM(只读存储器)、CD-R、以及CD-R/W,和半导体存储器(诸如掩模ROM)、PROM(可编程ROM)、EPROM(可擦写PROM)、闪存ROM、以及RAM(随机访问存储器))。此外,通过使用各种类型的瞬时计算机可读介质程序能够被供应给计算机。瞬时计算机可读介质的示例包括电气信号、光学信号、以及电磁波。瞬时计算机可读介质能够被用于通过诸如电线和光纤的有线通信路径、或者无线通信路径将程序供应给计算机。
此申请基于并且要求来自于2013年6月28日提交的日本专利申请No.2013137293的优先权的权益,其全部内容通过引用被整体合并在此。
[附图标记列表]
1 安全系统
10 系统
11 UE
12 UE
13 E-UTRAN
14 EPC
15 ProSe功能
16 ProSe APP服务器
17 ProSe APP
18 ProSe APP
19 eNB
20 eNB
21 UEa
22 UEb
31 UEa
32 UEb
33 UEc
33n UEn
34 ProSe服务器
36 运营商网络
100 UE
100a 系统
100b 系统
200 网络
L01 请求UE
L02 运营商网络
L03 接收UE
L1 安全组管理
L2 安全发现
L3 初始授权
L4 鉴权
L5 授权
L6 安全关联建立
L7 安全通信
L8 终止
Claims (24)
1.一种用于一对一直接通信的UE(用户设备),包括:
接收器,所述接收器被配置为从另一UE接收包括信息的请求;以及
控制器,所述控制器被配置为基于所接收的信息执行完整性检查,并且如果所述检查通过,则使用加密密钥和完整性密钥来与所述另一UE执行一对一直接通信。
2.根据权利要求1所述的UE,其中,所述信息包括安全算法。
3.根据权利要求1所述的UE,其中,所述信息包括安全密钥的标识符。
4.根据权利要求1所述的UE,其中,所述UE和所述另一UE支持ProSe(邻近服务)。
5.根据权利要求1所述的UE,其中,所述UE和所述另一UE从网络得到授权,所述网络至少包括ProSe(邻近服务)功能和ProSe应用服务器。
6.根据权利要求1所述的UE,其中,所述UE和所述另一UE执行相互鉴权。
7.一种用于一对多直接通信的UE(用户设备),包括:
接收器,所述接收器被配置为:如果网络中的安全算法的检查成功,则从所述网络接收信息;以及
控制器,所述控制器被配置为使用加密密钥来与接收到所述信息的其他UE执行一对多直接通信。
8.根据权利要求7所述的UE,其中,所述信息包括用于组的安全密钥。
9.根据权利要求7所述的UE,其中,所述加密密钥从组密钥导出。
10.根据权利要求7所述的UE,其中,所述UE和所述其他UE支持ProSe(邻近服务)。
11.根据权利要求7所述的UE,其中,所述UE和所述其他UE从所述网络得到授权,所述网络至少包括ProSe(邻近服务)功能和ProSe应用服务器。
12.根据权利要求7所述的UE,其中,所述UE和所述其他UE形成组。
13.一种用于一对一直接通信的UE(用户设备)的通信方法,包括:
从另一UE接收包括信息的请求;
基于所接收的信息执行完整性检查;以及
如果所述检查通过,则使用加密密钥和完整性密钥来与所述另一UE执行一对一直接通信。
14.根据权利要求13所述的方法,其中,所述信息包括安全算法。
15.根据权利要求13所述的方法,其中,所述信息包括安全密钥的标识符。
16.根据权利要求13所述的方法,其中,所述UE和所述另一UE支持ProSe(邻近服务)。
17.根据权利要求13所述的方法,其中,所述UE和所述另一UE从网络得到授权,所述网络至少包括ProSe(邻近服务)功能和ProSe应用服务器。
18.根据权利要求13所述的方法,其中,所述UE和所述另一UE执行相互鉴权。
19.一种用于一对多直接通信的UE(用户设备)的通信方法,包括:
如果网络中的安全算法的检查成功,则从所述网络接收信息;以及
使用加密密钥来与接收到所述信息的其他UE执行一对多直接通信。
20.根据权利要求19所述的方法,其中,所述信息包括用于组的安全密钥。
21.根据权利要求19所述的方法,其中,所述加密密钥从组密钥导出。
22.根据权利要求19所述的方法,其中,所述UE和所述其他UE支持ProSe(邻近服务)。
23.根据权利要求19所述的方法,其中,所述UE和所述其他UE从所述网络得到授权,所述网络至少包括ProSe(邻近服务)功能和ProSe应用服务器。
24.根据权利要求19所述的方法,其中,所述UE和所述其他UE形成组。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-137293 | 2013-06-28 | ||
| JP2013137293 | 2013-06-28 | ||
| PCT/JP2014/003167 WO2014208035A1 (en) | 2013-06-28 | 2014-06-13 | Security for prose group communication |
| CN201480036520.6A CN105340307A (zh) | 2013-06-28 | 2014-06-13 | 用于prose组通信的安全 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480036520.6A Division CN105340307A (zh) | 2013-06-28 | 2014-06-13 | 用于prose组通信的安全 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108923918A true CN108923918A (zh) | 2018-11-30 |
| CN108923918B CN108923918B (zh) | 2022-07-15 |
Family
ID=51162872
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810716974.8A Active CN108923918B (zh) | 2013-06-28 | 2014-06-13 | 用户设备和通信方法 |
| CN201480036520.6A Pending CN105340307A (zh) | 2013-06-28 | 2014-06-13 | 用于prose组通信的安全 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480036520.6A Pending CN105340307A (zh) | 2013-06-28 | 2014-06-13 | 用于prose组通信的安全 |
Country Status (5)
| Country | Link |
|---|---|
| US (6) | US20160149876A1 (zh) |
| EP (2) | EP3014913B1 (zh) |
| JP (5) | JP6838789B2 (zh) |
| CN (2) | CN108923918B (zh) |
| WO (1) | WO2014208035A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108923918B (zh) * | 2013-06-28 | 2022-07-15 | 日本电气株式会社 | 用户设备和通信方法 |
| EP3063917B1 (en) * | 2013-10-28 | 2018-09-26 | Nec Corporation | Security management according to location change in proximity based services |
| KR102100159B1 (ko) * | 2014-01-13 | 2020-04-13 | 삼성전자 주식회사 | 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템 |
| WO2016024773A1 (ko) * | 2014-08-10 | 2016-02-18 | 엘지전자 주식회사 | 무선 통신 시스템에서 릴레이 선택 방법 및 이를 위한 장치 |
| JP2016149673A (ja) * | 2015-02-13 | 2016-08-18 | Line株式会社 | サーバおよび通信接続管理方法ならびに通信接続管理プログラム |
| US9893894B2 (en) * | 2015-03-13 | 2018-02-13 | Intel IP Corporation | Systems, methods, and devices for secure device-to-device discovery and communication |
| WO2017008223A1 (zh) * | 2015-07-13 | 2017-01-19 | 华为技术有限公司 | 邻近服务通信的验证方法、用户设备及邻近服务功能实体 |
| WO2019095128A1 (en) * | 2017-11-15 | 2019-05-23 | Nokia Technologies Oy | Authorization of applications for direct discovery |
| WO2020153215A1 (ja) * | 2019-01-25 | 2020-07-30 | 京セラ株式会社 | 通信制御方法、送信側端末、及び受信側端末 |
| DE102019002152A1 (de) * | 2019-03-26 | 2020-10-01 | Daimler Ag | Verfahren zum Betreiben eines Netzwerksystems durch Übertragen zumindest eines Einwahlparameters mittels einer kraftfahrzeugexternen, zentralen elektronischen Recheneinrichtung, sowie Netzwerksystem |
| CN111615219B (zh) * | 2019-04-30 | 2022-02-22 | 维沃移动通信有限公司 | 一种pc5链路建立方法、设备及系统 |
| WO2021089903A1 (en) * | 2019-11-06 | 2021-05-14 | Nokia Technologies Oy | Tethering service provision |
| CN114339622B (zh) * | 2020-09-29 | 2022-09-23 | 大唐移动通信设备有限公司 | 一种ProSe通信组的通信方法、装置及存储介质 |
| WO2022147803A1 (zh) * | 2021-01-08 | 2022-07-14 | 华为技术有限公司 | 安全通信方法及设备 |
| WO2022265164A1 (ko) * | 2021-06-18 | 2022-12-22 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말 간 직접 통신을 수행하는 방법 및 장치 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050102211A1 (en) * | 1999-10-27 | 2005-05-12 | Freeny Charles C.Jr. | Proximity service provider system |
| CN1921411A (zh) * | 2005-06-22 | 2007-02-28 | 奥林奇法国公司 | 在基本终端与串联连接的设备之间创建分割终端的方法 |
| US20100153727A1 (en) * | 2008-12-17 | 2010-06-17 | Interdigital Patent Holdings, Inc. | Enhanced security for direct link communications |
| CN102938939A (zh) * | 2011-09-12 | 2013-02-20 | 微软公司 | 平台使能的接近服务 |
| CN103039053A (zh) * | 2010-06-10 | 2013-04-10 | 阿尔卡特朗讯公司 | 使用单一注册过程的客户端组的安全注册 |
Family Cites Families (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6993582B2 (en) * | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
| JP3515027B2 (ja) | 1999-10-14 | 2004-04-05 | 三菱電機株式会社 | 無線端末管理装置 |
| EP2104051B1 (en) * | 2001-03-29 | 2019-11-20 | Panasonic Intellectual Property Management Co., Ltd. | Data protection system that protects data by encrypting the data |
| US7587598B2 (en) * | 2002-11-19 | 2009-09-08 | Toshiba America Research, Inc. | Interlayer fast authentication or re-authentication for network communication |
| US7792970B2 (en) * | 2005-06-17 | 2010-09-07 | Fotonation Vision Limited | Method for establishing a paired connection between media devices |
| US7783777B1 (en) * | 2003-09-09 | 2010-08-24 | Oracle America, Inc. | Peer-to-peer content sharing/distribution networks |
| JP2005244534A (ja) * | 2004-02-26 | 2005-09-08 | Hitachi Ltd | 暗号通信装置および暗号通信方法 |
| CN100574185C (zh) * | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| KR100667284B1 (ko) * | 2005-02-24 | 2007-01-12 | 삼성전자주식회사 | 네트워크 시스템상의 인증방법 및 그 시스템 |
| JP2006238343A (ja) * | 2005-02-28 | 2006-09-07 | Nec Commun Syst Ltd | 暗号キー配信装置、無線通信端末、無線アクセスポイント、無線データ通信システム、無線データ通信方法、プログラム、記録媒体 |
| US7992193B2 (en) * | 2005-03-17 | 2011-08-02 | Cisco Technology, Inc. | Method and apparatus to secure AAA protocol messages |
| JP4462554B2 (ja) | 2005-04-13 | 2010-05-12 | Kddi株式会社 | 経路修復方法およびシステム |
| JP2007150888A (ja) * | 2005-11-29 | 2007-06-14 | Fujitsu Ten Ltd | 通信システム、通信方法および通信プログラム |
| JP4702944B2 (ja) * | 2005-12-16 | 2011-06-15 | キヤノン株式会社 | 通信装置およびその制御方法及び通信システム |
| US20090254392A1 (en) * | 2006-03-30 | 2009-10-08 | Zander Van S | Method and system for enterprise network access control and management for government and corporate entities |
| EP2056617A1 (en) * | 2006-08-24 | 2009-05-06 | Panasonic Corporation | Communication system, communication method, radio terminal, radio relay device, and control device |
| US20080253562A1 (en) * | 2007-04-12 | 2008-10-16 | Nokia Corporation | Handshake procedure |
| US8577363B2 (en) | 2008-07-14 | 2013-11-05 | Nokia Corporation | Setup of device-to-device connection |
| US8548467B2 (en) * | 2008-09-12 | 2013-10-01 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
| US8401195B2 (en) * | 2008-09-22 | 2013-03-19 | Motorola Solutions, Inc. | Method of automatically populating a list of managed secure communications group members |
| US9320067B2 (en) * | 2008-11-24 | 2016-04-19 | Qualcomm Incorporated | Configuration of user equipment for peer-to-peer communication |
| RU2011140357A (ru) * | 2009-03-05 | 2013-04-10 | Интердиджитал Пэйтент Холдингз, Инк. | Способ и устройство для проверки и подтверждения целостности h(e)nb |
| DE102009024604B4 (de) * | 2009-06-10 | 2011-05-05 | Infineon Technologies Ag | Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung |
| US8769285B2 (en) | 2009-08-13 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for deriving, communicating and/or verifying ownership of expressions |
| US8332624B2 (en) | 2009-08-26 | 2012-12-11 | Nokia Corporation | Method and apparatus for encoding decision diagrams |
| US9900759B2 (en) | 2009-11-04 | 2018-02-20 | Qualcomm Incorporated | Method and apparatus for peer discovery in a wireless communication network |
| US8447970B2 (en) * | 2010-02-09 | 2013-05-21 | Microsoft Corporation | Securing out-of-band messages |
| US8483394B2 (en) | 2010-06-15 | 2013-07-09 | Los Alamos National Security, Llc | Secure multi-party communication with quantum key distribution managed by trusted authority |
| US20130163762A1 (en) * | 2010-09-13 | 2013-06-27 | Nec Corporation | Relay node device authentication mechanism |
| US9066254B2 (en) * | 2010-10-28 | 2015-06-23 | Electronics And Telecommunications Research Institute | Mobile station, base station, and relay station for a wireless access system |
| US9826404B2 (en) * | 2011-01-11 | 2017-11-21 | Qualcomm Incorporated | System and method for peer-to-peer authorization via non-access stratum procedures |
| WO2012100199A2 (en) * | 2011-01-21 | 2012-07-26 | Research In Motion Limted | Network apparatus and process to determine the connection context for connections used for (local) offloading |
| CN104898995B (zh) * | 2011-02-10 | 2019-04-23 | 精工爱普生株式会社 | 网络系统、网络系统的打印控制方法及客户终端 |
| KR101929307B1 (ko) * | 2011-04-11 | 2018-12-17 | 삼성전자 주식회사 | Csg 셀에서 단말이 셀 재선택 우선 순위를 효율적으로 제어하는 방법 및 장치 |
| JP5686032B2 (ja) * | 2011-04-27 | 2015-03-18 | ソニー株式会社 | 情報処理装置、ネットワーク制御装置、無線通信装置、通信システムおよび情報処理方法 |
| EP2716093A4 (en) | 2011-05-26 | 2015-04-08 | Nokia Corp | REALIZING A GROUP AUTHENTICATION AND KEY ACCREDITATION PROCEDURE |
| US9078128B2 (en) * | 2011-06-03 | 2015-07-07 | Apple Inc. | System and method for secure identity service |
| US8995319B2 (en) | 2011-07-12 | 2015-03-31 | Electronics And Telecommunications Research Institute | Terminal of supporting direct communication using infra communication and direct communication method of the same |
| US20130022199A1 (en) * | 2011-07-18 | 2013-01-24 | Electronics And Telecommunications Research Institute | Encryption method and apparatus for direct communication between terminals |
| US8412945B2 (en) * | 2011-08-09 | 2013-04-02 | CloudPassage, Inc. | Systems and methods for implementing security in a cloud computing environment |
| JP5505463B2 (ja) | 2011-11-28 | 2014-05-28 | 新日鐵住金株式会社 | 降下煤塵の非定常発塵源の探索方法 |
| US20130054964A1 (en) | 2011-08-24 | 2013-02-28 | Motorola Solutions, Inc. | Methods and apparatus for source authentication of messages that are secured with a group key |
| US8792879B2 (en) * | 2011-09-01 | 2014-07-29 | Scott A. Finberg | System and method of performing remote diagnostics on a computing device |
| US9036550B2 (en) * | 2011-09-14 | 2015-05-19 | Electronics And Telecommunications Research Institute | Method and terminal for direct communication between terminals |
| US20130081051A1 (en) * | 2011-09-23 | 2013-03-28 | Elwha LLC, a limited liability company of the State of Delaware | Acquiring tasks and subtasks to be carried out by interface devices |
| KR101958786B1 (ko) | 2011-10-10 | 2019-07-02 | 엘지전자 주식회사 | Wlan(wireless local area network)-기반 p2p(peer to peer) 통신을 위한 방법 및 이를 위한 장치 |
| US20130110920A1 (en) * | 2011-10-27 | 2013-05-02 | Alcatel-Lucent Usa Inc. | Network-assisted peer-to-peer secure communication establishment |
| US9084180B2 (en) | 2011-12-14 | 2015-07-14 | Qualcomm Incorporated | Systems and methods for transmitting and receiving discovery and paging messages |
| US9648653B2 (en) * | 2011-12-20 | 2017-05-09 | Lg Electronics Inc. | User equipment-initiated control method and apparatus for providing proximity service |
| WO2013119043A1 (ko) | 2012-02-07 | 2013-08-15 | 엘지전자 주식회사 | 스테이션과 엑세스 포인트의 결합 방법 및 장치 |
| KR20140128972A (ko) * | 2012-02-16 | 2014-11-06 | 엘지전자 주식회사 | 무선 통신 시스템에서 근접 서비스를 수행하는 방법 및 장치 |
| EP3496334B2 (en) * | 2012-04-27 | 2023-11-08 | InterDigital Patent Holdings, Inc. | Method and system for supporting proximity discovery procedures |
| US9240881B2 (en) * | 2012-04-30 | 2016-01-19 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
| US9485794B2 (en) * | 2012-05-23 | 2016-11-01 | Qualcomm Incorporated | Methods and apparatus for using device to device communications to support IMS based services |
| US8667288B2 (en) * | 2012-05-29 | 2014-03-04 | Robert Bosch Gmbh | System and method for message verification in broadcast and multicast networks |
| EP2856836B1 (en) * | 2012-05-31 | 2019-02-27 | Interdigital Patent Holdings, Inc. | Method and apparatus for device-to-device, d2d, mobility in wireless systems |
| EP2688328B1 (en) * | 2012-07-17 | 2018-10-03 | Google Technology Holdings LLC | Security in wireless communication system and device |
| US9705856B2 (en) * | 2012-07-27 | 2017-07-11 | Telefonaktiebolaget L M Ericsson | Secure session for a group of network nodes |
| US20140052458A1 (en) | 2012-08-20 | 2014-02-20 | WellCube Healthcare Corporation | Techniques for customizing and delivering wellness products and services |
| JP2013146113A (ja) * | 2013-04-30 | 2013-07-25 | Toshiba Corp | ノード及びグループ鍵更新方法 |
| US9930689B2 (en) * | 2013-05-08 | 2018-03-27 | Blackberry Limited | Proximity signaling and procedure for LTE |
| CN108923918B (zh) | 2013-06-28 | 2022-07-15 | 日本电气株式会社 | 用户设备和通信方法 |
-
2014
- 2014-06-13 CN CN201810716974.8A patent/CN108923918B/zh active Active
- 2014-06-13 EP EP14737018.3A patent/EP3014913B1/en active Active
- 2014-06-13 EP EP19187961.8A patent/EP3576447A1/en not_active Withdrawn
- 2014-06-13 JP JP2015561773A patent/JP6838789B2/ja active Active
- 2014-06-13 US US14/899,785 patent/US20160149876A1/en not_active Abandoned
- 2014-06-13 CN CN201480036520.6A patent/CN105340307A/zh active Pending
- 2014-06-13 WO PCT/JP2014/003167 patent/WO2014208035A1/en active Application Filing
-
2017
- 2017-08-03 US US15/667,900 patent/US10574635B2/en active Active
-
2019
- 2019-06-21 JP JP2019115694A patent/JP6958595B2/ja active Active
- 2019-06-21 JP JP2019115695A patent/JP7056875B2/ja active Active
- 2019-09-11 US US16/567,776 patent/US20200053066A1/en not_active Abandoned
-
2020
- 2020-01-16 US US16/744,767 patent/US10979408B2/en active Active
-
2021
- 2021-10-06 JP JP2021164409A patent/JP7205598B2/ja active Active
- 2021-10-08 US US17/497,383 patent/US20220029975A1/en active Pending
-
2022
- 2022-12-23 JP JP2022206667A patent/JP2023040071A/ja active Pending
-
2024
- 2024-05-23 US US18/672,213 patent/US20240314112A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050102211A1 (en) * | 1999-10-27 | 2005-05-12 | Freeny Charles C.Jr. | Proximity service provider system |
| CN1921411A (zh) * | 2005-06-22 | 2007-02-28 | 奥林奇法国公司 | 在基本终端与串联连接的设备之间创建分割终端的方法 |
| US20100153727A1 (en) * | 2008-12-17 | 2010-06-17 | Interdigital Patent Holdings, Inc. | Enhanced security for direct link communications |
| CN103039053A (zh) * | 2010-06-10 | 2013-04-10 | 阿尔卡特朗讯公司 | 使用单一注册过程的客户端组的安全注册 |
| CN102938939A (zh) * | 2011-09-12 | 2013-02-20 | 微软公司 | 平台使能的接近服务 |
Non-Patent Citations (2)
| Title |
|---|
| 3RD GENERATION PARTNERSHIP PROJECT: "Study on architecture enhancements to support Proximity Services (ProSe) (Release 12)", 《3GPP TR 23.703》 * |
| 李燕: "MANET组密钥管理的研究", 《计算机工程与应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160149876A1 (en) | 2016-05-26 |
| EP3014913A1 (en) | 2016-05-04 |
| US20200153806A1 (en) | 2020-05-14 |
| JP2019208218A (ja) | 2019-12-05 |
| CN108923918B (zh) | 2022-07-15 |
| JP2023040071A (ja) | 2023-03-22 |
| EP3576447A1 (en) | 2019-12-04 |
| EP3014913B1 (en) | 2021-04-14 |
| JP6958595B2 (ja) | 2021-11-02 |
| JP2022008873A (ja) | 2022-01-14 |
| US20220029975A1 (en) | 2022-01-27 |
| JP2016523459A (ja) | 2016-08-08 |
| JP6838789B2 (ja) | 2021-03-03 |
| JP7056875B2 (ja) | 2022-04-19 |
| CN105340307A (zh) | 2016-02-17 |
| WO2014208035A1 (en) | 2014-12-31 |
| US10574635B2 (en) | 2020-02-25 |
| US20170359322A1 (en) | 2017-12-14 |
| JP2019195206A (ja) | 2019-11-07 |
| US20240314112A1 (en) | 2024-09-19 |
| JP7205598B2 (ja) | 2023-01-17 |
| US20200053066A1 (en) | 2020-02-13 |
| US10979408B2 (en) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10979408B2 (en) | Authentication and authorization in proximity based service communication | |
| US20240224036A1 (en) | Secure group creation in proximity based service communication | |
| WO2014208033A2 (en) | Secure discovery for proximity based service communication | |
| WO2014208032A1 (en) | Secure system and method of making secure communication | |
| US9654284B2 (en) | Group based bootstrapping in machine type communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |