CN115529588A - 安全链路建立方法、用户设备、pkmf设备和通信系统 - Google Patents
安全链路建立方法、用户设备、pkmf设备和通信系统 Download PDFInfo
- Publication number
- CN115529588A CN115529588A CN202211192778.8A CN202211192778A CN115529588A CN 115529588 A CN115529588 A CN 115529588A CN 202211192778 A CN202211192778 A CN 202211192778A CN 115529588 A CN115529588 A CN 115529588A
- Authority
- CN
- China
- Prior art keywords
- user equipment
- key
- pkmf
- equipment
- relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000004891 communication Methods 0.000 title claims abstract description 13
- 230000004044 response Effects 0.000 claims description 50
- 238000004590 computer program Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 16
- 238000009795 derivation Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
- H04W40/22—Communication route or path selection, e.g. power-based or shortest path routing using selective relaying for reaching a BTS [Base Transceiver Station] or an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开提出一种安全链路建立方法、用户设备、PKMF设备和通信系统,涉及无线通信领域。在用户设备到用户设备中继场景中,第一/第二用户设备分别通过与中继用户设备建立的PC5连接进行U2N(UE‑to‑Network,用户设备到网络)连接,第一用户设备通过自己的第一PKMF设备找到第二用户设备的第二PKMF设备,基于第一/第二PKMF设备根据第一/第二用户设备支持的算法协商端到端密钥,第一/第二用户设备基于该端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路,为第一用户设备和第二用户设备之间传输的流量提供端到端安全保护,抵抗被中间人窃听、篡改的安全风险。
Description
技术领域
本公开涉及无线通信领域,特别涉及一种安全链路建立方法、用户设备、PKMF(Proximity Service Key Management Function,邻近服务密钥管理功能)设备和通信系统。
背景技术
UE-to-UE Relay(U2U Relay,用户设备到用户设备中继)是5GProSe(ProximityService,邻近服务)的一个重要场景。在该场景中,源UE(User Equipment,用户设备)和目标UE可以基于中继UE进行通信。
在ProSe U2U Relay通信流程中,源UE和目标UE分别与中继UE建立PC5安全连接,PC5安全连接仅能保护UE间的D2D(Device-to-Device,设备到设备)通信,无法为源UE和目标UE之间传输的流量提供端到端安全保护,存在被中间人窃听、篡改的安全风险。
发明内容
本公开实施例在用户设备到用户设备中继场景中,第一/第二用户设备分别通过与中继用户设备建立的PC5连接进行U2N(UE-to-Network,用户设备到网络)连接,第一用户设备通过自己的第一PKMF设备找到第二用户设备的第二PKMF设备,基于第一/第二PKMF设备根据第一/第二用户设备支持的算法协商端到端密钥,第一/第二用户设备基于该端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路,为第一用户设备和第二用户设备之间传输的流量提供端到端安全保护,抵抗被中间人窃听、篡改的安全风险。
本公开一些实施例提出一种安全链路建立方法,包括:
第一用户设备通过中继用户设备获取第二用户设备的标识和第二用户设备支持的第二算法;
第一用户设备复用第一用户设备与中继用户设备建立的第一PC5连接建立第一用户设备到网络的第一连接;
第二用户设备复用第二用户设备与中继用户设备建立的第二PC5连接建立第二用户设备到网络的第二连接;
第一用户设备基于第一连接通过中继用户设备向第一用户设备的第一PKMF设备发送密钥请求,使得第一PKMF设备将所述密钥请求转发给第二用户设备的第二PKMF设备,并从第二PKMF设备获取端到端密钥,所述密钥请求包括第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,所述第三算法根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定,所述端到端密钥由第二PKMF设备根据所述密钥请求生成;
第一用户设备基于第一连接通过中继用户设备接收第一PKMF设备发送的第一密钥响应,所述第一密钥响应包括所述端到端密钥;
第二用户设备基于第二连接通过中继用户设备接收第二PKMF设备发送的第二密钥响应,所述第二密钥响应包括所述端到端密钥;
第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
在一些实施例中,第一用户设备通过中继用户设备获取第二用户设备的标识和第二用户设备支持的第二算法包括:
第一用户设备通过中继用户设备向第二用户设备发送端到端安全链路请求,包括第一用户设备的标识;
第一用户设备通过中继用户设备接收第二用户设备返回的端到端安全链路响应,包括第二用户设备的标识和第二用户设备支持的第二算法。
在一些实施例中,所述密钥请求还包括第一用户设备生成的第一新鲜度参数,用于第二PKMF设备生成所述端到端密钥。
在一些实施例中,所述密钥请求还包括中继服务码,
所述中继服务码用于第一PKMF设备根据第一用户设备的标识和中继服务码检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二PKMF设备;
或者,
所述中继服务码用于第二PKMF设备根据第二用户设备的标识和中继服务码检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,生成所述端到端密钥。
在一些实施例中,所述第一密钥响应和所述第二密钥响应还包括第二PKMF设备生成的第二新鲜度参数,
建立端到端安全链路包括:
第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥;
第一用户设备与第二用户设备根据各自的所述保密密钥和所述完整性密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
在一些实施例中,建立端到端安全链路包括:
第二用户设备确定保密密钥和完整性密钥后,通过中继用户设备向第一用户设备发送端到端安全模式命令消息;
第一用户设备确定保密密钥和完整性密钥后,响应所述端到端安全模式命令消息,通过中继用户设备向第二用户设备发送端到端安全模式完成消息;
第二用户设备响应所述端到端安全模式完成消息,通过中继用户设备向第一用户设备发送端到端安全链路接受消息。
在一些实施例中,第二用户设备向第二PKMF设备发送根密钥请求,指示第二PKMF设备生成根密钥,所述根密钥用于第二PKMF设备生成所述端到端密钥。
在一些实施例中,第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
在一些实施例中,第一用户设备和第二用户设备不在网络覆盖范围内,中继用户设备在网络覆盖范围内。
本公开一些实施例提出一种安全链路建立方法,包括:
第一PKMF设备接收第一用户设备通过中继用户设备发送的密钥请求,并转发给第二用户设备的第二PKMF设备,所述密钥请求包括第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,所述第三算法根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定;
第二PKMF设备根据所述密钥请求生成端到端密钥,将所述端到端密钥发送给第一PKMF设备,并通过中继用户设备将所述端到端密钥利用第二密钥响应发送给第二用户设备;
第一PKMF设备通过中继用户设备将所述端到端密钥利用第一密钥响应发送给第一用户设备,使得第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
在一些实施例中,所述密钥请求还包括第一用户设备生成的第一新鲜度参数,用于第二PKMF设备生成所述端到端密钥。
在一些实施例中,所述密钥请求还包括中继服务码,
第一PKMF设备根据第一用户设备的标识和中继服务码检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二PKMF设备;
或者,
第二PKMF设备根据第二用户设备的标识和中继服务码检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,生成所述端到端密钥。
在一些实施例中,所述第一密钥响应和所述第二密钥响应还包括第二PKMF设备生成的第二新鲜度参数,用于第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥,以便建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
在一些实施例中,第二PKMF设备接收第二用户设备发送的根密钥请求,生成根密钥,用于第二PKMF设备生成所述端到端密钥。
在一些实施例中,生成端到端密钥包括:第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
本公开一些实施例提出一种用户设备,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行各实施例由用户设备执行的方法。
本公开一些实施例提出一种PKMF设备,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行各实施例由PKMF设备执行的方法。
本公开一些实施例提出一种通信系统,包括:
中继用户设备;
用户设备,所述用户设备包括第一用户设备和第二用户设备;
以及
PKMF设备,所述PKMF设备包括第一PKMF设备和第二PKMF设备。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,存储有计算机程序,该程序被处理器执行时实现各实施例的方法的步骤。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开。
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一些实施例的安全链路建立方法的流程示意图。
图2示出了根密钥、端到端密钥、保密密钥和完整性密钥的派生关系示意图。
图3示出本公开一些实施例的用户设备的结构示意图。
图4示出本公开一些实施例的PKMF设备的结构示意图。
图5示出本公开一些实施例的通信系统的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
除非特别说明,否则,本公开中的“第一”“第二”等描述用来区分不同的对象,并不用来表示大小或时序等含义。
在ProSe U2U Relay连接中,需要对ProSe U2U的第一用户设备和第二用户设备进行端到端安全保护。第一用户设备例如为源用户设备,第二用户设备例如为目标用户设备。此外,用户设备与PKMF设备的对应关系为:第一用户设备对应第一PKMF设备,第二用户设备对应第二PKMF设备。
图1示出本公开一些实施例的安全链路建立方法的流程示意图。
如图1所示,该实施例的安全链路建立方法包括如下过程。
在步骤100,初始操作,例如包括步骤100A的生成根密钥和步骤100B的建立PC5连接,二者的执行顺序不分先后。
步骤100A,第二用户设备预先请求第二用户设备的第二PKMF设备生成根密钥KROOT,根密钥用于生成端到端密钥,具体如下:
步骤100A-1,第二用户设备在网络覆盖范围时,向第二PKMF设备发送根密钥请求,包括第二用户设备的标识。
步骤100A-2,第二PKMF设备为第二用户设备生成根密钥。
步骤100A-3,第二PKMF设备向第二用户设备返回根密钥响应,用于指示是否已生成根密钥。
步骤100B,建立PC5连接,具体如下:
步骤100B-1,当第一用户设备和第二用户设备不在网络覆盖范围内或者网络信号比较弱时,第二用户设备与第一用户设备完成中继UE发现流程,中继UE在网络覆盖范围内,并且信号比较好。然后执行步骤100A-2和100A-3。
步骤100B-2,建立第一用户设备与中继用户设备之间的第一PC5连接。
步骤100B-3,建立第二用户设备与中继用户设备之间的第二PC5连接。
在步骤110,第一用户设备通过中继用户设备向第二用户设备发送端到端安全链路请求(如End-to-end PC5 link security request),包括第一用户设备的标识。
各个用户设备的标识例如为SUCI(SUbscription Concealed Identifier,用户隐藏标识符),或者其他能够起到标识作用的标识。
在步骤120,第二用户设备接收到端到端安全链路请求后,可以选择是否建立端到端安全链路,如果同意建立,通过中继用户设备发送端到端安全链路响应给第一用户设备。第一用户设备通过中继用户设备接收第二用户设备返回的端到端安全链路响应(如End-to-end PC5 link security response)。
端到端安全链路响应包括第二用户设备的标识和第二用户设备支持的第二算法。第二算法可以是一个或多个。
在步骤130,第一/第二用户设备分别复用与中继用户设备已建立的PC5连接进行U2N(UE-to-Network,用户设备到网络)连接。
第一用户设备复用第一用户设备与中继用户设备建立的第一PC5连接建立第一用户设备到网络的第一连接(130-1);第二用户设备复用第二用户设备与中继用户设备建立的第二PC5连接建立第二用户设备到网络的第二连接(130-2)。
建立U2N连接后,各用户设备通过中继用户设备具备与网络侧通信的能力。具体到本实施例,第一用户设备能够通过中继用户设备与第一PKMF设备通信,第二用户设备能够通过中继用户设备与第二PKMF设备通信。
在步骤140,第一用户设备基于第一连接通过中继用户设备向其第一PKMF发送密钥请求(Key Request),密钥请求包含第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,中继服务码(Relay Service Code,RSC),第一新鲜度参数(新鲜度参数1)等信息。
其中,密钥请求包含的上述各项信息均可以用于生成端到端密钥。
其中,第三算法为第一用户设备和第二用户设备均支持的算法,其根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定。第三算法可以为一个或多个。
其中,中继服务码能够表征用户设备是否被授权提供用户设备到用户设备中继(U2U Relay)服务。
其中,第一新鲜度参数由第一用户设备生成。新鲜度参数是在每条消息中添加的独一无二的信息,用于保证消息的新鲜性,可以防范重放攻击(replay attack)。新鲜度参数例如是随机数。
在步骤150,在收到密钥请求后,第一用户设备的第一PKMF根据第一用户设备的标识和中继服务码,检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二用户设备的第二PKMF设备。
第一PKMF根据第二用户设备的标识,确定第二用户设备的第二PKMF设备的地址。其中,第二用户设备的标识例如为SUCI或HPLMN(Home Public Land Mobile Network归属公共陆地移动网络)ID等。
在步骤160,在收到密钥请求后,第二用户设备的第二PKMF设备根据第二用户设备的标识和中继服务码,检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,根据密钥请求生成端到端密钥。
第二PKMF设备生成端到端密钥包括:第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
例如,第二PKMF设备将根密钥、第一用户设备的标识、第二用户设备的标识、中继服务码,第一新鲜度参数等生成参数,输入到第三算法,输出得到端到端密钥。第三算法例如为密钥导出功能(Key Derivation Function,KDF)函数。KDF函数包括但不限于哈希函数。
在步骤170,第二用户设备的第二PKMF设备向第一用户设备的第一PKMF发送密钥响应(Key Response),至少包括端到端密钥(KE2E)和第二新鲜度参数(新鲜度参数2)等。
第二新鲜度参数可以由第二PKMF生成。
在步骤180-1,第一PKMF设备基于第一连接通过中继用户设备向第一用户设备发送第一密钥响应(Key Response 1),第一密钥响应包括端到端密钥和第二新鲜度参数等。
在步骤180-2,第二PKMF设备基于第二连接通过中继用户设备向第二用户设备发送第二密钥响应(Key Response 2),第二密钥响应包括端到端密钥和第二新鲜度参数等。
然后,第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。具体来说,第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥;第一用户设备与第二用户设备根据各自的所述保密密钥和所述完整性密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。具体参见步骤190-1110。
在步骤190,在收到第二密钥响应消息后,第二用户设备根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥,通过中继用户设备向第一用户设备发送端到端安全模式命令(End-to-end Security Mode Command)消息。
在步骤1100,第一用户设备根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥,响应所述端到端安全模式命令消息,通过中继用户设备向第二用户设备发送端到端安全模式完成(End-to-end Security Mode Complete)消息。
第一/第二用户设备根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥包括:将所述端到端密钥、所述第二新鲜度参数、保密密钥的生成标识,输入到密钥导出功能(KDF)函数,输出得到保密密钥(KE2Eenc);将所述端到端密钥、所述第二新鲜度参数、完整性密钥的生成标识,输入到密钥导出功能(KDF)函数,输出得到完整性密钥KE2Eint。其中,保密密钥的生成标识、整性密钥的生成标识、密钥导出功能(KDF)函数,第二用户设备与第一用户设备需要协商一致。
因此,基于相同的端到端密钥和第二新鲜度参数,以及协商一致的保密密钥的生成标识、整性密钥的生成标识、密钥导出功能(KDF)函数,第一/第二用户设备会得到相同的保密密钥和完整性密钥,用于建立端到端安全链路。
图2示出了根密钥、端到端密钥、保密密钥和完整性密钥的派生关系示意图。根据根密钥派生端到端密钥,根据端到端密钥派生保密密钥和完整性密钥。
在步骤1110,第二用户设备响应所述端到端安全模式完成消息,通过中继用户设备向第一用户设备发送端到端安全链路接受(如End-to-end PC5 link security accept)消息,完成端到端安全链路建立(End-to-end Security link establishment)过程。
如前所述,第一/第二用户设备具有相同的保密密钥和完整性密钥,则端到端安全链路建立后,第一/第二用户设备中的信息发送方可以利用保密密钥和完整性密钥对传输信息进行加密,第一/第二用户设备中的信息接收方可以利用保密密钥和完整性密钥对传输信息进行解密。从而,抵抗传输信息被中间人窃听、篡改的安全风险,保障第一用户设备和第二用户设备之间传输信息的端到端安全。
图3示出本公开一些实施例的用户设备的结构示意图。
如图3所示,该实施例的用户设备300包括:存储器310以及耦接至该存储器310的处理器320,处理器320被配置为基于存储在存储器310中的指令,执行前述任意一些实施例中由第一用户设备或第二用户设备执行的方法。
用户设备300还可以包括输入输出接口330、网络接口340、存储接口350等。这些接口330,340,350以及存储器310和处理器320之间例如可以通过总线360连接。
安全链路建立方法包括:
第一用户设备通过中继用户设备获取第二用户设备的标识和第二用户设备支持的第二算法;
第一用户设备复用第一用户设备与中继用户设备建立的第一PC5连接建立第一用户设备到网络的第一连接;
第二用户设备复用第二用户设备与中继用户设备建立的第二PC5连接建立第二用户设备到网络的第二连接;
第一用户设备基于第一连接通过中继用户设备向第一用户设备的第一PKMF设备发送密钥请求,使得第一PKMF设备将所述密钥请求转发给第二用户设备的第二PKMF设备,并从第二PKMF设备获取端到端密钥,所述密钥请求包括第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,所述第三算法根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定,所述端到端密钥由第二PKMF设备根据所述密钥请求生成;
第一用户设备基于第一连接通过中继用户设备接收第一PKMF设备发送的第一密钥响应,所述第一密钥响应包括所述端到端密钥;
第二用户设备基于第二连接通过中继用户设备接收第二PKMF设备发送的第二密钥响应,所述第二密钥响应包括所述端到端密钥;
第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
其中,第一用户设备通过中继用户设备获取第二用户设备的标识和第二用户设备支持的第二算法包括:
第一用户设备通过中继用户设备向第二用户设备发送端到端安全链路请求,包括第一用户设备的标识;
第一用户设备通过中继用户设备接收第二用户设备返回的端到端安全链路响应,包括第二用户设备的标识和第二用户设备支持的第二算法。
其中,所述密钥请求还包括第一用户设备生成的第一新鲜度参数,用于第二PKMF设备生成所述端到端密钥。
其中,所述密钥请求还包括中继服务码,
所述中继服务码用于第一PKMF设备根据第一用户设备的标识和中继服务码检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二PKMF设备;
或者,
所述中继服务码用于第二PKMF设备根据第二用户设备的标识和中继服务码检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,生成所述端到端密钥。
其中,所述第一密钥响应和所述第二密钥响应还包括第二PKMF设备生成的第二新鲜度参数,
建立端到端安全链路包括:
第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥;
第一用户设备与第二用户设备根据各自的所述保密密钥和所述完整性密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
其中,建立端到端安全链路包括:
第二用户设备确定保密密钥和完整性密钥后,通过中继用户设备向第一用户设备发送端到端安全模式命令消息;
第一用户设备确定保密密钥和完整性密钥后,响应所述端到端安全模式命令消息,通过中继用户设备向第二用户设备发送端到端安全模式完成消息;
第二用户设备响应所述端到端安全模式完成消息,通过中继用户设备向第一用户设备发送端到端安全链路接受消息。
安全链路建立方法还包括:第二用户设备向第二PKMF设备发送根密钥请求,指示第二PKMF设备生成根密钥,所述根密钥用于第二PKMF设备生成所述端到端密钥。
安全链路建立方法还包括:第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
其中,第一用户设备和第二用户设备不在网络覆盖范围内,中继用户设备在网络覆盖范围内。
图4示出本公开一些实施例的PKMF设备的结构示意图。
如图4所示,该实施例的PKMF设备400包括:存储器410以及耦接至该存储器410的处理器420,处理器420被配置为基于存储在存储器410中的指令,执行前述任意一些实施例中由第一PKMF设备或第二PKMF设备执行的方法。
PKMF设备400还可以包括输入输出接口430、网络接口440、存储接口450等。这些接口440,440,450以及存储器410和处理器420之间例如可以通过总线460连接。
安全链路建立方法包括:
第一PKMF设备接收第一用户设备通过中继用户设备发送的密钥请求,并转发给第二用户设备的第二PKMF设备,所述密钥请求包括第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,所述第三算法根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定;
第二PKMF设备根据所述密钥请求生成端到端密钥,将所述端到端密钥发送给第一PKMF设备,并通过中继用户设备将所述端到端密钥利用第二密钥响应发送给第二用户设备;
第一PKMF设备通过中继用户设备将所述端到端密钥利用第一密钥响应发送给第一用户设备,使得第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
其中,所述密钥请求还包括第一用户设备生成的第一新鲜度参数,用于第二PKMF设备生成所述端到端密钥。
其中,所述密钥请求还包括中继服务码,
第一PKMF设备根据第一用户设备的标识和中继服务码检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二PKMF设备;
或者,
第二PKMF设备根据第二用户设备的标识和中继服务码检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,生成所述端到端密钥。
其中,所述第一密钥响应和所述第二密钥响应还包括第二PKMF设备生成的第二新鲜度参数,用于第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥,以便建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
安全链路建立方法还包括:第二PKMF设备接收第二用户设备发送的根密钥请求,生成根密钥,用于第二PKMF设备生成所述端到端密钥。
其中,生成端到端密钥包括:第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
其中,存储器310,410例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
其中,处理器320,420可以用通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。
其中,输入输出接口330,430为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口340,440为各种联网设备提供连接接口。存储接口350,450为SD卡、U盘等外置存储设备提供连接接口。总线360,460可以使用多种总线结构中的任意总线结构。例如,总线结构包括但不限于工业标准体系结构(Industry Standard Architecture,ISA)总线、微通道体系结构(Micro Channel Architecture,MCA)总线、外围组件互连(PeripheralComponent Interconnect,PCI)总线。
图5示出本公开一些实施例的通信系统的结构示意图。
如图5所示,该实施例的通信系统包括:用户设备300、PKMF设备400、中继用户设备500。
用户设备300包括第一用户设备和第二用户设备;PKMF设备400包括第一PKMF设备和第二PKMF设备。
用户设备300通过中继用户设备500与PKMF设备400通信;第一用户设备通过中继用户设备500与第二用户设备通信。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,存储有计算机程序,该程序被处理器执行时实现各个实施例所述的方法的步骤。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (19)
1.一种安全链路建立方法,包括:
第一用户设备通过中继用户设备获取第二用户设备的标识和第二用户设备支持的第二算法;
第一用户设备复用第一用户设备与中继用户设备建立的第一PC5连接建立第一用户设备到网络的第一连接;
第二用户设备复用第二用户设备与中继用户设备建立的第二PC5连接建立第二用户设备到网络的第二连接;
第一用户设备基于第一连接通过中继用户设备向第一用户设备的第一PKMF设备发送密钥请求,使得第一PKMF设备将所述密钥请求转发给第二用户设备的第二PKMF设备,并从第二PKMF设备获取端到端密钥,所述密钥请求包括第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,所述第三算法根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定,所述端到端密钥由第二PKMF设备根据所述密钥请求生成;
第一用户设备基于第一连接通过中继用户设备接收第一PKMF设备发送的第一密钥响应,所述第一密钥响应包括所述端到端密钥;
第二用户设备基于第二连接通过中继用户设备接收第二PKMF设备发送的第二密钥响应,所述第二密钥响应包括所述端到端密钥;
第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
2.根据权利要求1所述的方法,第一用户设备通过中继用户设备获取第二用户设备的标识和第二用户设备支持的第二算法包括:
第一用户设备通过中继用户设备向第二用户设备发送端到端安全链路请求,包括第一用户设备的标识;
第一用户设备通过中继用户设备接收第二用户设备返回的端到端安全链路响应,包括第二用户设备的标识和第二用户设备支持的第二算法。
3.根据权利要求1所述的方法,所述密钥请求还包括第一用户设备生成的第一新鲜度参数,用于第二PKMF设备生成所述端到端密钥。
4.根据权利要求1所述的方法,所述密钥请求还包括中继服务码,
所述中继服务码用于第一PKMF设备根据第一用户设备的标识和中继服务码检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二PKMF设备;
或者,
所述中继服务码用于第二PKMF设备根据第二用户设备的标识和中继服务码检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,生成所述端到端密钥。
5.根据权利要求1所述的方法,所述第一密钥响应和所述第二密钥响应还包括第二PKMF设备生成的第二新鲜度参数,
建立端到端安全链路包括:
第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥;
第一用户设备与第二用户设备根据各自的所述保密密钥和所述完整性密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
6.根据权利要求5所述的方法,建立端到端安全链路包括:
第二用户设备确定保密密钥和完整性密钥后,通过中继用户设备向第一用户设备发送端到端安全模式命令消息;
第一用户设备确定保密密钥和完整性密钥后,响应所述端到端安全模式命令消息,通过中继用户设备向第二用户设备发送端到端安全模式完成消息;
第二用户设备响应所述端到端安全模式完成消息,通过中继用户设备向第一用户设备发送端到端安全链路接受消息。
7.根据权利要求1-6任一项所述的方法,还包括:
第二用户设备向第二PKMF设备发送根密钥请求,指示第二PKMF设备生成根密钥,所述根密钥用于第二PKMF设备生成所述端到端密钥。
8.根据权利要求7所述的方法,还包括:
第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
9.根据权利要求1-6任一项所述的方法,
第一用户设备和第二用户设备不在网络覆盖范围内,中继用户设备在网络覆盖范围内。
10.一种安全链路建立方法,包括:
第一PKMF设备接收第一用户设备通过中继用户设备发送的密钥请求,并转发给第二用户设备的第二PKMF设备,所述密钥请求包括第一用户设备的标识、第二用户设备的标识、第一用户设备和第二用户设备均支持的第三算法,所述第三算法根据第一用户设备支持的第一算法和第二用户设备支持的第二算法确定;
第二PKMF设备根据所述密钥请求生成端到端密钥,将所述端到端密钥发送给第一PKMF设备,并通过中继用户设备将所述端到端密钥利用第二密钥响应发送给第二用户设备;
第一PKMF设备通过中继用户设备将所述端到端密钥利用第一密钥响应发送给第一用户设备,使得第一用户设备与第二用户设备根据各自的所述端到端密钥,建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
11.根据权利要求10所述的方法,所述密钥请求还包括第一用户设备生成的第一新鲜度参数,用于第二PKMF设备生成所述端到端密钥。
12.根据权利要求10所述的方法,所述密钥请求还包括中继服务码,
第一PKMF设备根据第一用户设备的标识和中继服务码检查第一用户设备是否被授权提供用户设备到用户设备中继服务,在第一用户设备被授权的情况下,将所述密钥请求转发给第二PKMF设备;
或者,
第二PKMF设备根据第二用户设备的标识和中继服务码检查第二用户设备是否被授权提供用户设备到用户设备中继服务,在第二用户设备被授权的情况下,生成所述端到端密钥。
13.根据权利要求10所述的方法,所述第一密钥响应和所述第二密钥响应还包括第二PKMF设备生成的第二新鲜度参数,用于第一用户设备和第二用户设备分别根据所述端到端密钥和所述第二新鲜度参数确定保密密钥和完整性密钥,以便建立由中继用户设备中继的第一用户设备与第二用户设备之间的端到端安全链路。
14.根据权利要求10-13任一项所述的方法,还包括:
第二PKMF设备接收第二用户设备发送的根密钥请求,生成根密钥,用于第二PKMF设备生成所述端到端密钥。
15.根据权利要求14所述的方法,生成端到端密钥包括:
第二PKMF设备根据第一用户设备的标识、第二用户设备的标识,结合根密钥、第一新鲜度参数、中继服务码中的至少一项,利用所述第三算法,生成所述端到端密钥。
16.一种用户设备,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-9中任一项所述的方法。
17.一种PKMF设备,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求10-15中任一项所述的方法。
18.一种通信系统,包括:
中继用户设备;
权利要求16所述的用户设备,所述用户设备包括第一用户设备和第二用户设备;以及
权利要求17所述的PKMF设备,所述PKMF设备包括第一PKMF设备和第二PKMF设备。
19.一种非瞬时性计算机可读存储介质,存储有计算机程序,该程序被处理器执行时实现权利要求1-15中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211192778.8A CN115529588A (zh) | 2022-09-28 | 2022-09-28 | 安全链路建立方法、用户设备、pkmf设备和通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211192778.8A CN115529588A (zh) | 2022-09-28 | 2022-09-28 | 安全链路建立方法、用户设备、pkmf设备和通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115529588A true CN115529588A (zh) | 2022-12-27 |
Family
ID=84699621
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211192778.8A Pending CN115529588A (zh) | 2022-09-28 | 2022-09-28 | 安全链路建立方法、用户设备、pkmf设备和通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115529588A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220109996A1 (en) * | 2020-10-01 | 2022-04-07 | Qualcomm Incorporated | Secure communication link establishment for a ue-to-ue relay |
WO2022170994A1 (zh) * | 2021-02-10 | 2022-08-18 | 大唐移动通信设备有限公司 | Pc5根密钥处理方法、装置、ausf及远程终端 |
-
2022
- 2022-09-28 CN CN202211192778.8A patent/CN115529588A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220109996A1 (en) * | 2020-10-01 | 2022-04-07 | Qualcomm Incorporated | Secure communication link establishment for a ue-to-ue relay |
WO2022170994A1 (zh) * | 2021-02-10 | 2022-08-18 | 大唐移动通信设备有限公司 | Pc5根密钥处理方法、装置、ausf及远程终端 |
Non-Patent Citations (1)
Title |
---|
QUALCOMM INCORPORATED: "S3-202650 "Solution for secure PC5 link establishment for UE-to-UE relay"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 2 October 2020 (2020-10-02) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170180330A1 (en) | Method and electronic device for vehicle remote control and a non-transitory computer readable storage medium | |
CN108242013B (zh) | 基于区块链的交易监管方法、设备及计算机可读存储介质 | |
CN101901318B (zh) | 一种可信硬件设备及其使用方法 | |
EP3982590B1 (en) | Security authentication method, configuration method, and related device | |
CN109729524B (zh) | 一种rrc连接恢复方法及装置 | |
CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
EP3768039B1 (en) | Key generation method, master enodeb, secondary enodeb and user equipment | |
US10404475B2 (en) | Method and system for establishing a secure communication tunnel | |
CN104303583A (zh) | 用于在通信系统中建立安全连接的系统和方法 | |
CN114698150A (zh) | 重新建立无线电资源控制连接 | |
CN113992427A (zh) | 基于相邻节点的数据加密发送方法及装置 | |
CN113098830B (zh) | 通信方法及相关产品 | |
WO2023226778A1 (zh) | 身份认证方法、装置、电子设备及计算机可读存储介质 | |
CN110312232B (zh) | 车辆通信系统和车辆通信方法 | |
CN111357305B (zh) | 可移动平台的通信方法、设备、系统及存储介质 | |
CN116235467A (zh) | 一种关联控制方法及相关装置 | |
CN115529588A (zh) | 安全链路建立方法、用户设备、pkmf设备和通信系统 | |
CN114785618B (zh) | 基于相邻节点二次认证的数据通信方法及系统 | |
CN115865460A (zh) | 数据传输方法、装置、电子设备及存储介质 | |
CN105828330A (zh) | 一种接入方法及装置 | |
CN104581715A (zh) | 物联网领域的传感系统密钥保护方法及无线接入设备 | |
WO2018076242A1 (zh) | 一种信息传输方法及设备 | |
JP4953078B2 (ja) | 無線lan端末およびその通信方法 | |
CN114079919B (zh) | 安全模式配置方法、装置、系统和计算机可读存储介质 | |
CN112400335A (zh) | 用于执行数据完整性保护的方法和计算设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |