JP5996784B2 - プロキシミティサービスを利用するコンピューティングデバイスのための安全な通信 - Google Patents
プロキシミティサービスを利用するコンピューティングデバイスのための安全な通信 Download PDFInfo
- Publication number
- JP5996784B2 JP5996784B2 JP2015510307A JP2015510307A JP5996784B2 JP 5996784 B2 JP5996784 B2 JP 5996784B2 JP 2015510307 A JP2015510307 A JP 2015510307A JP 2015510307 A JP2015510307 A JP 2015510307A JP 5996784 B2 JP5996784 B2 JP 5996784B2
- Authority
- JP
- Japan
- Prior art keywords
- computing device
- access network
- communication
- network
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 118
- 238000000034 method Methods 0.000 claims description 38
- 230000005540 biological transmission Effects 0.000 description 12
- 238000009795 derivation Methods 0.000 description 10
- 238000012795 verification Methods 0.000 description 8
- 238000013475 authorization Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000008713 feedback mechanism Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本分野は、プロキシミティサービスを利用するコンピューティングデバイスに関連する、通信セキュリティに関する。
従来のブロードバンド通信ネットワーク設計は、ユーザのトラフィックが常にネットワークコアのインフラストラクチャ(すなわち、コアネットワークまたはCN)を通過するように、ユーザ間の通信サービスを可能にすることに焦点を合わせてきた。例えば、その開示が引用によりその全体が本明細書に組み込まれる、3GPP TS 23.401, 3rd Generation Patnership Project; Technical Specification Group Services and System Aspects; General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E−UTRAN) access (Release 11)を参照されたい。
そのような設計手法は、ユーザ機器(UE)を認証し、(例えば、エアーインターフェイス上の帯域消費および経時的にアップロード/ダウンロードされたデータトラフィックの量などの)リソース利用に関しユーザの挙動を追跡する能力などの、いくつかのユーザ管理の恩恵をネットワークオペレータに与える。
加えて、トラフィックにブロードバンドネットワークのコアを通過させることは、法的機関によるデータおよび/または音声通話の、合法的傍受(LI)のサポートを可能にする。これは、CNがユーザトラフィックへの明確なアクセスを有し(なぜならば、そのようなトラフィックはコアを通過する)、したがって、要求に応じて、LIエンティティに、特定のユーザ間で交換されるトラフィックを取得するためのメカニズムを提供しうるからである。例えば、その開示が引用によりその全体が本明細書に組み込まれる、3GPP TS 33.107, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Lawful Interception architecture and functions (Release 11)、および3GPP TS 33.108, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Handover interface for Lawful Interception (LI) (Release 11)を参照されたい。
3GPP TS 23.401, 3rd Generation Patnership Project; Technical Specification Group Services and System Aspects; General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E−UTRAN) access (Release 11)
3GPP TS 33.107, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Lawful Interception architecture and functions (Release 11)
3GPP TS 33.108, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Handover interface for Lawful Interception (LI) (Release 11)
3GPP TR 22.803, 3rd Generation Partnership Project; Technical Specification Group SA; Feasibility Study for Proximity Services (ProSe) (Release 12)
3GPP TS 33.102, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security architecture (Release 11)
3GPP TS 33.401, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); Security architecture (Release 11)
SHA−256, Standards for Efficient Cryptography Group, "Secure Hash Standard", Federal Information Processing Standards Publication 180−2, August 2002, with Change Notice 1, February 2004
本発明の実施形態は、通信システム内でプロキシミティサービスを利用するコンピューティングデバイス間に、安全な通信を確立するための技法を提供する。
例えば、本発明の一実施形態では、通信システム内で安全な通信を提供するための方法は、以下のステップを含む。少なくとも1つのキーがアクセスネットワークの少なくとも1つのネットワーク要素から第1のコンピューティングデバイスおよび少なくとも第2のコンピューティングデバイスに送信される。第1のコンピューティングデバイスおよび第2のコンピューティングデバイスは、アクセスネットワークを利用して通信システムにアクセスし、キーが送信される前にアクセスネットワークによって認証される。互いが近接しているとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信がアクセスネットワークを通過することなく、互いに安全に通信するために、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスによって、キーが使用可能である。
本発明の別の実施形態では、通信システム内で安全な通信を提供するための方法は、以下のステップを含む。少なくとも1つのキーが、第1のコンピューティングデバイスおよび少なくとも第2のコンピューティングデバイスに送信される、アクセスネットワークの少なくとも1つのネットワーク要素から第1のコンピューティングデバイスで受信される。第1のコンピューティングデバイスおよび第2のコンピューティングデバイスは、アクセスネットワークを利用して通信システムにアクセスし、キーが送信される前にアクセスネットワークによって認証される。第1のコンピューティングデバイスと第2のコンピューティングデバイスが互いに近接しているとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信がアクセスネットワークを通過することなく、第2のコンピューティングデバイスと安全に通信するために、第1のコンピューティングデバイスによって、キーが利用される。
有利なことに、本発明の技法は、通信システムで、プロキシミティデバイス間(すなわち、プロキシミティサービスを利用するコンピューティングデバイス)に安全な通信を提供する。
本発明のこれらおよび他の目的、特徴、および利点は、添付の図面と関連付けて読まれることとなる、それらの例示的な実施形態の、以下の詳細な説明から明らかとなるであろう。
本発明の実施形態が、例示的な通信プロトコルのコンテキストで、下記に記載されることになる。しかし、本発明の実施形態は、いかなる特定の通信プロトコルにも限定されないことを理解されたい。むしろ、本発明の実施形態は、プロキシミティサービスを利用するコンピューティングデバイス間に安全な通信を提供することが望ましい、任意の好適な通信環境に適用可能である。
本明細書で使用する場合、用語「キー」は、限定するものではないが、エンティティ認証、プライバシー、メッセージ完全性などのために、暗号プロトコルへの入力として一般的に規定される。
本明細書で使用する場合、「安全な関係」という語句は、一般的に、2つ以上の当事者および/またはデバイスが通信する通信環境における安全の規定のことをいう。一実施形態では、安全の規定とは、限定するものでではないが、セッションキーが挙げられる。
本明細書で使用するフレーズ「プロキシミティサービス」は、一般的に、互いに近接するコンピューティングデバイス間のネットワーク制御される発見および通信として規定され、そのため、ユーザトラフィックは、ネットワークを介するよりもデバイス間を流れる。互いに近接するとは、一般的に、通信がネットワークを通らずに、デバイス間で通信が可能な互いの距離範囲に(すなわち、互いのカバレージ範囲内に)デバイスがあることをいう。
従来型に基づく手法のように、ユーザトラフィックを常にCNを通るように強制することは、一定の配備のシナリオで、著しい制限およびオーバヘッドをもたらすことが認識される。図1Aは、そのような従来型に基づくシナリオにおけるブロードバンド通信システム内のユーザプレーントラフィックの通過を図示する。図に描かれたブロードバンド通信システムは、ロングタームエボリューション(LTE)ネットワークである。知られているように、LTEは、第3世代パートナーシッププロジェクト(3GPP)により発展された第4世代(4G)ネットワークである。
同じeNB基地局(e−Node B)104に接続された、同じロングタームエボリューション(LTE)ネットワーク100の2つの加入者デバイス、すなわち、アリス102−Aおよびボブ102−Bが、LTEネットワークを介してビデオ通話を開始できるように、データ通信セッションを確立することを希望する場合を考えよう。参照番号102−Aおよび102−Bは、本明細書で、デバイス、コンピューティングデバイス、通信デバイス、加入者デバイス、エンドユーザデバイス、ユーザ機器(UE)などと、代替的に呼ばれうることに留意されたい。単に例として、デバイス102−Aおよび102−Bは、限定するものではないが、セルラ電話、ラップトップ、タブレットなどの、移動体エンドユーザデバイスであってよい。
従来型のLTEの設定では、図1Aに示されるように、アリス(デバイス102−A)のパケットとボブ(デバイス102−B)のパケットは、LTEコアネットワーク(CN)105を介して交換される、すなわち、サービングゲートウェイ(SGW)106 およびパケットデータネットワーク(PDN)ゲートウェイ(PGW)108を通過することになる。アリス(デバイス102−A)およびボブ(デバイス102−B)は互いの伝送範囲内であるが、アリスのパケットはeNB104を介して(典型的にはPGW108まで)進み、そこからアリスのパケットは同じeNB104に戻ってボブに配信されることに留意されたい。(隣のユーザ間の)複数のそのような通信が同時に発生する可能性があるとすると、コアを介するそのようなトラフィックの通過を強制することは、無線アクセスネットワーク(RAN)エンティティ(例えば、eNB)およびCNエンティティ(例えば、SGWおよびPGW)の両方の利用を増加させ、さらに、バックホールおよび無線帯域幅の両方の過剰な量を消費する。
アリス(デバイス102−A)とボブ(デバイス102−B)が「隣人」(すなわち、互いのカバレージ範囲内)である場合の配備シナリオでは、その開示が引用によりその全体が本明細書に組み込まれる3GPP TR 22.803, 3rd Generation Partnership Project; Technical Specification Group SA; Feasibility Study for Proximity Services (ProSe) (Release 12)に記載されたもののようなプロキシミティサービス(ProSe)は、アリスとボブの間で(または、2つ以上のユーザのグループ間でさえ)、直接デバイス−デバイス(D2D)トラフィックセッションの確立およびデータ交換を可能にすることにより、チャネル容量を増加させる。図1Bは、プロキシミティサービスに基づいたシナリオでのLTEネットワーク100内のユーザプレーントラフィックの通過を図示する。デバイス102−Aおよび102−Bは、プロキシミティサービスに基づいた(ProSe)機能で作動されるとき、「プロキシミティデバイス」とも呼ばれうることに留意されたい。
ProSeで認めることができるように、アリス(デバイス102−A)は、RANまたはCNインフラストラクチャのいずれに関与する必要なしに、エアーインターフェイスを介してボブ(デバイス102−B)に直接パケットを送信する。これは、2つの主な利点を提供する。(i)データトラフィック管理動作に関して、ネットワークをオフロードする。(ii)アリスeNBおよび/またはボブeNBリンクよりも高いパケット配信比(PDR)をアリスとボブ間の直接データリンクが維持するときに、エンドユーザのスループットを増加することができる。それによって、ProSeは、限定するものではないが、リアルタイム映像ストリーミングおよびオンラインゲームなどの、高速移動体インターネットアプリケーションを可能にする。
しかし、ProSe通信は、従来型のブロードバンドネットワーク配備では存在しない、いくつかの重要な安全上の問題点をもたらすことが認識される。
i 従来型の設定では、セルラネットワークは、アリス(デバイス102−A)およびボブ(デバイス102−B)と個別に相互認証を実施し、それらの各々と別個で、一意の安全性証明(例えば、セッションキー)をさらに確立する。例えば、その開示が引用によりその全体が本明細書に組み込まれる、3GPP TS 33.102, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security architecture (Release 11)、および3GPP TS 33.401, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); Security architecture (Release 11)を参照されたい。確立されたキーは、制御信号伝達(例えば、非アクセス層(NAS)信号伝達)を保護するために使用され、任意選択で、eNBと各UEの間の、エアーインターフェイスを介したトラフィックを保護するために使用されうる。確立された安全性証明は、別個で一意であるので、アリスおよびボブは互いのセッションキーを知らない。しかし、ProSeを用いて上記に記載されたように、アリスとボブは、直接通信し、ネットワークを介さない。したがって、アリスおよびボブの両方に知られるセッションキーを使用する、アリスとボブの間の直接通信が安全になされる方法が必要であることが認識される。さもなければ、アリスおよびボブは、彼らの交換したパケットデータについて、暗号化および復号化などの暗号学的操作を実施することができない。
ii 3Gおよび4Gネットワーク規格(例えば、上記に記載のような、3GPP TS 33.102および3GPP TS 33.401を参照)は、UEとネットワークの間の認証期間に確立されたセッションキーの使用によって、RANがアップリンクトラフィックのソース(接続されたUE)を検証しうる機能を指定する。これで、認証されたUEのみが許可された無線帯域幅を使用することを認可されることを、ネットワークが保証されうる。しかし、ProSeを用いて、ユーザプレーン(UP)トラフィックは、UE間の直接無線リンクを介して流れる。その結果として、各UEは、依然としてネットワークによって認証されうるが、ProSe通信に関与するUEがそうするために実際に認可されているかどうかを決定するすべを各UEは有していない。これは、トラフィックがRANまたはコアエンティティを流れないとすると、ネットワークは、ProSeを用いて、ユーザトラフィックを明確に追跡することができないからである。
iii 上の考察をさらに行うと、ProSeを用いて、アリス(デバイス102−A)とボブ(デバイス102−B)がトラフィックを直接交換するので、ここで、ネットワークは、合法的傍受(LI)を可能にする機能性を実施することが不可能である。しかし、上に説明されたように、従来型の3Gおよび4Gネットワークでは問題でない。なぜならば、ユーザトラフィックはCNを通過し、それによって、LI目的の適切なインターフェイスを可能にするからである。したがって、ProSe通信がLIを受けるとすると、LIがProSe設定で実行可能となるようなメカニズムが必要となることが認識される。
したがって、本発明の1つまたは複数の実施形態は、安全なプロキシミティサービスを提供する。例示的な実施形態では、上記および他のセキュリティ問題に対処するやり方で、ProSe対応UE(上に言及されたアリスおよびボブなどのコンピューティングデバイス)間に安全な関係を確立する、安全なProSe(SeProSe)方法論が提供される。方法論は、以下の機能を提供する。
a ProSe認可およびProSeリンクのためのセキュリティ確立。SeProSeを用いて、各UEは、既に明記されたのと同じやり方で、アクセスネットワークとの認証およびキー共有を実施する。さらに、アリス(デバイス102−A)が彼女の隣人のボブ(デバイス102−B)とProSeリンクを確立することを希望するときはいつでも、関連するネットワークは、アリスおよびボブがProSeについて認可されていることを検証し、アリスおよびボブが認可されている場合、ネットワークは、アリスおよびボブの両方に共通秘密キーを安全に提供する。このキーを「PK」と呼ぶ。このキーの安全な提供は、先行する認証の期間に確立されたキー材料、および各UEとその加入したネットワーク間のキー共有手順を活用する。アリスおよびボブは、彼女らの直接通信を安全にするためにこの共通キーを使用する。各ユーザは、接続され(そして認証された)ネットワークによって、暗号化された形式で共通キーを受信することに留意されたい。したがって、ボブが同じPKキーを所有するので、ボブが、やはり、彼の加入したネットワークにより認証され、ProSeを使用することを認可されていることをアリスは確信する。
b ユーザ検証および監視。PKの使用は、無線の許可されたスペクトルを利用するために、ProSe対応UEが認可されることをネットワークが検証する方法を提供する。しかし、ネットワークがそのような検証を実施することを可能にするために、UEのUP(ユーザプレーンまたは直接)トラフィックが、ネットワークにより到達可能でなければならない。SeProSeは、関連するネットワークがProSeトラフィックを首尾よく漏れ聞くことが可能であるように、ProSe対応UEが伝送電力レベルおよび物理層(PHY)ビットレートを使用してトラフィックを伝送するメカニズムを含む。ここでネットワークがUE間で直接交換されるデータにアクセスする能力を取得するので、そのような伝送モードがLIのサポートを明らかに可能にすることに留意されたい。LIのサポートが必要でない配備のシナリオで、このメカニズムは、使用される必要がないことを認められたい。
本発明の代替実施形態は、それに限定されないが、下記に記載される例示的な実施形態にしたがって、以下の一連の仮定がなされる。そのような仮定が脅威モデルを規定することも留意されたい。以下が仮定される。
i 各ProSe対応UEが、いつも少なくとも1つの基地局(例えば、LTEの場合にeNodeB)と、別個のトラフィック経路を維持する能力を有する。そのような各UEは、無線インターフェイスを補償するために、その伝送電力およびPHYビットレートを調整することができる。
ii ProSeトラフィックの開始前に、UEは、UEが関連するネットワークサービスプロバイダにより動作される少なくとも1つの基地局のカバレージ範囲内にある。各ProSe対応UEは、異なる基地局に接続されうる。
iii 関連するブロードバンドネットワークのインフラストラクチャ(RANおよびCN)は、永続的なセッションキーなどの秘密証明を安全に計算し、格納し、提供することについて支障をきたさない。同様に、UEは、永続的、または一時的な秘密証明を計算し、導出し、または開示することについて支障をきたさない。
iv ネットワークと相互に認証され、そのような認証およびキー共有プロセスに基づいてキー材料を導出/取得したUEは、ネットワークによりUEに送信された任意の安全な情報が認証され真正であると信用する。同様に、そのような場合に、常に正しく真正なProSeに関係した情報を認証されたUEがネットワークに送信するとネットワークが信用する。
例示的な実施形態によれば、ProSeセキュリティのコンテキストを導出および分配するために、プロトコルおよび方法論が下で記載されることになり、UEがProSeモードで動作するとき、どのように合法的傍受(LI)がサポートされるのかについての記載が続く。
本明細書に記載される例示的な実施形態は、ProSe通信がLTEのコンテキストで行われる場合に焦点を合わせている(すなわち、サポートするネットワークのインフラストラクチャがLTEベースであると仮定される)が、SeProSeの機能性の多くは、限定するものではないが、ユニバーサルモバイルテレコミュニケーションシステム(UMTS)および高速パケットデータ(HRPD)などの他のタイプのネットワークに適用可能であることを理解されたい。
本発明の例示的な実施形態は、2つのProSe対応UE間の直接通信が安全であることを確かにする解決策を提供する。これは以下のための方法を含む。(i)2つのProSe対応UE間の直接通信を安全にするため使用されるセッションキーの生成および分配。(ii)ProSe通信に関与する両方のProSe対応UEが、UEそれぞれのネットワークにより認証され、ProSeの使用を認可されることの検証。
同じLTEネットワークの2つの加入者、すなわちアリスおよびボブ(図1Aおよび図1Bに示されるような、それぞれデバイス102−Aおよび102−B)がProSe通信を確立することを希望するシナリオを考える。従来型の設定のように、ProSe通信の前のいくつかの時点で、セルラネットワークは、アリスおよびボブと個別に相互認証を実施し、それらの各々と別個で、一意の安全性証明(例えば、セッションキー)を確立した。その後、ProSeの発見機能を使用して、アリスは、ボブがアリスの近傍にいることを発見し、ボブとProSe通信を確立することを希望する。ProSe通信を確立するために、アリスのUEは、アリスがボブとProSe通信を確立することを希望していることを示す要求を無線アクセスネットワーク(RAN)に送信する。アリスが認証された加入者であることを検証すると、アリスのRANネットワークは、アリスがProSeサービスに認可されていることを検証する。両方の検証が成功である場合、RANネットワークは、ボブがProSe通信について認可された認証済みユーザであることをさらに検証する。そうである場合、RANは、以下のように、アリスのセキュリティのコンテキスト(すなわち、KAlice)を使用したセッションキーPKを導出する。
PK=KDF(KAlice,S)
ここでSは所定の入力パラメータを使用して構築された記号列であり、KDFはキー導出関数である(例えば、その開示が引用によりその全体が本明細書に組み込まれるSHA−256, Standards for Efficient Cryptography Group, ”Secure Hash Standard”, Federal Information Processing Standards Publication 180−2, August 2002, with Change Notice 1, February 2004を参照のこと)。一度RANがPKを導出すると、RANはPKをアリスおよびボブに安全に送信する。
PK=KDF(KAlice,S)
ここでSは所定の入力パラメータを使用して構築された記号列であり、KDFはキー導出関数である(例えば、その開示が引用によりその全体が本明細書に組み込まれるSHA−256, Standards for Efficient Cryptography Group, ”Secure Hash Standard”, Federal Information Processing Standards Publication 180−2, August 2002, with Change Notice 1, February 2004を参照のこと)。一度RANがPKを導出すると、RANはPKをアリスおよびボブに安全に送信する。
図2Aは、本発明の実施形態による、プロキシミティサービスに基づいたキー導出および分配プロトコルを図示する。特に、図2Aは、ProSe対応UEが同じeNBに接続される場合を描く。すなわち、示されるように、アリス(デバイス102−A)およびボブ(デバイス102−B)が同じeNB104のカバレッジ範囲内にある。
上記に記載されたように、アリスおよびボブは、オペレータのネットワークの認証ユーザである。そのような認証動作が、図2Aで210−Aおよび210−Bとして描かれている。加えて、図2Aの例では、アリスおよびボブは、同じeNBのカバレッジ範囲内である(すなわち、アリスおよびボブは、同じeNBに接続される)。ProSe発見は、ステップ212で実施される。
SeProSe(安全なProSe)を用いて、(図2Aのステップ214および216として描かれる)アリスおよびボブが互いの範囲内であるというアドバタイズメントをアリスおよびボブが一度受信すると、アリスは、彼女がボブとProSe通信を開始したいかどうか決定する。開始したい場合、アリス(デバイス102−A)は、彼女がボブ(デバイス102−B)とProSe通信を開始したいことを示すProSe要求をeNB104に(図2Aのステップ218で)送信する。接続されたeNBは、アリスおよびボブの両方が認証されて、ProSeを使用することを認可されていることを(図2Aのステップ220で)検証する。
アリスおよびボブがProSe通信で接続するために、アリスおよびボブは最初に認証される必要がある(例えば、LTEの場合、AKA(認証およびキー共有)手順に則る。その開示が引用によりその全体が本明細書に組み込まれる、3GPP TS 33.102, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security architecture (Release 11)、および3GPP TS 33.401, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolution (SAE); Security architecture (Release 11)を参照のこと)。図2Aで、アリスとネットワークの間の認証はステップ210−Aとして描かれ、ボブとネットワークの間の認証はステップ210−Bとして描かれる。RAN内のモビリティ管理エンティティ(MME)202が認証を支援するのに使用されることに留意されたい。
認証が成功すると、eNB104は、各接続されたUE用に、アクティブなセキュリティのコンテキストを維持し、このため、アリスにより送信されたProSe要求を受信すると(ステップ218)、eNB104は、対応する認証サーバ(明示的には示されないAS)の(eNBでローカルに維持される)セキュリティのコンテキストを調べることにより、アリスが既に認証されているかどうかを決定することができる。ここで、このセキュリティのコンテキストからのキー材料を使用して、アリスは、例えば、ProSe要求が無線リソース制御(RRC)メッセージである場合、アリスのKRRCint/KRRCencキー、またはProSe要求がUP(ユーザプレーン)メッセージである場合、KUPint/KUPencキー、ProSe要求がNAS(非アクセス層)メッセージである場合、KNASint/KNASencのいずれかを使用して、ProSe要求を暗号化および/または完全性保護をしうることに留意されたい。後者の場合、ProSe要求の認証は、MME202でローカルに維持される、対応する(有効な)NASセキュリティ要求を使用して、RANでMME202により検証される。
アリスおよびボブが認証されていることを検証すると、eNB104は、アリスおよびボブがProSe通信に関与することを認可されているかどうかを決定する。認可の検証は、eNB104にローカルに維持される認可情報を使用して(ステップ220で)実施されうる。そのような情報は、ネットワークでUE登録が成功すると、他の登録パラメータとともに、eNBにより事前に取得されうる。
検証が成功である場合、eNB104は、上に規定されたようにPKを(図2Aのステップ222で)生成する。PKの計算でのKAliceは、以下であってよい。(i)eNBにより維持される他のキー(例えば、KeNB, KRRCenc, KRRCint, KUPenc, KUPint)のうちのいずれか。(ii)2つ以上のキーの組合せ。(iii)ランダムに導出される値。または(iv)ProSe認可UEの認証が成功すると、MMEによってeNBに導出され配信されるProSeキー(KProSe)。その後、eNB104は、PKをアリスおよびボブに(図2Aでは、それぞれステップ226および228で)送信する。eNB−アリスとeNB−ボブの間で確実に安全なRRC通信を行うために、成功した認証から導出されるセキュリティのコンテキスト(すなわち、KRRCintおよびKRRCenc)が使用される。この時点で、アリスおよびボブは、PKを使用して安全にされるProSe通信を開始することができる。
PKを受信することにより、アリスおよびボブは、他の当事者がProSeを使用することを認可されていると保証される、すなわち、アリスおよびボブが両方ともProSe通信に関与することを認可されていることを検証した後でのみ、eNBがアリスおよびボブにPKを送信することを認められたい。したがって、PKの受信は、ボブがやはり認可されていることの、アリスへの証明として機能する。
PKの所有を相互に検証することにより、アリスおよびボブは、アリスとボブが互いに通信していることを保証されることも認められたい。
アリスおよびボブは、アリスとボブのProSe通信を安全にするためにPKを、またはより細粒化したProSeセキュリティおよび認可のためにPKのキー派生物を使用しうる。アリスとボブの間で直接交換されるトラフィックを安全にするためにのみPKが使用されることを想起されたい。アリス−eNBとボブ−eNBの間の任意の通信は、各UEに対応するASセキュリティのコンテキストを使用して、(任意選択で)保護される。PKキーは、以下の例示的な方法のうちの1つまたは複数で、アリスとボブの間のProSe通信を安全にするために使用されうる。
a 全てのProSeトラフィック用の単一のキーの使用。この選択肢では、アリスおよびボブは、アリスとボブの直接通信リンク上を流れるトラフィックを暗号化および/または完全性保護をするために直接PKを使用する。
b 暗号化および完全性保護のための別個のキー派生物の使用。SeProSeは、暗号化(PKenc)および完全性保護(PKint)のため別個のキーを導出するために、アリスおよびボブにPKを使用する能力を提供する。このために、2つの異なるKDFが、以下のように使用されうる。
PKenc=KDF1(PK,S)
PKint=KDF2(PK,S)
ここでSは、所与の入力パラメータを使用して構築された記号列である。実際に、各UEは、KRRCenc、KRRCint、KUPint、およびKUPencなどの他のキーの導出のために既に実装および使用されるキー導出機能を再使用することにより、PKencおよびPKintを導出することができる。
PKenc=KDF1(PK,S)
PKint=KDF2(PK,S)
ここでSは、所与の入力パラメータを使用して構築された記号列である。実際に、各UEは、KRRCenc、KRRCint、KUPint、およびKUPencなどの他のキーの導出のために既に実装および使用されるキー導出機能を再使用することにより、PKencおよびPKintを導出することができる。
c ProSe特定アプリケーション向けキー派生物の使用。UEが、2つ以上のProSeアプリケーションを備えているとき、オペレータは、プロキシミティサービスにアクセスするため、特定アプリケーション向けの認可を実施することを希望しうる。例えば、アリスは、特定アプリケーションのみのためにProSeにアクセスすることを許されてよい(すなわち、アリスは、全てのアプリケーションに対してはProSeにアクセスすることを認可されない可能性がある)。そのような場合、ProSe対応UEが、対応するアプリケーションへのアプリケーションキーの使用を確実に制限することが可能であると仮定すると、SeProSeは、PKを使用する特定アプリケーションキーの導出および使用を可能にする。より具体的には、eNBは、各ProSe対応UEに、UEが使用することを認可されているアプリケーションのリストとともにPKを安全に送信する。各UEは、以下の式を使用して、特定アプリケーション向けキーPKAを導出するためにPKを使用することができる。
PKA=KDF(PK,S)
ここでSは、潜在的に特定アプリケーションの識別子を含む、所定の入力パラメータを使用して構築された記号列である。代替として、eNBは、ProSeアプリケーション毎にPKを導出し、各UEにPKを送信することができることに留意されたい。換言すれば、単一のPKの代わりに、複数のPKキー(アプリケーション毎に1つ)が各UEに送信されうる。
PKA=KDF(PK,S)
ここでSは、潜在的に特定アプリケーションの識別子を含む、所定の入力パラメータを使用して構築された記号列である。代替として、eNBは、ProSeアプリケーション毎にPKを導出し、各UEにPKを送信することができることに留意されたい。換言すれば、単一のPKの代わりに、複数のPKキー(アプリケーション毎に1つ)が各UEに送信されうる。
d PKの混成使用。SeProSeは、以下のようにProSeアプリケーション毎に、暗号化および完全性保護のためのキーの導出も可能にする。
PKAenc=KDF1(PKA,S)
PKAint=KDF2(PKA,S)
PKAenc=KDF1(PKA,S)
PKAint=KDF2(PKA,S)
図2Bは、本発明の別の実施形態による、プロキシミティサービスに基づいたキー導出および分配プロトコルを図示する。特に、図2Bは、ProSe対応UEが異なるeNBに接続される場合を描く。すなわち、示されるように、アリス(デバイス102−A)およびボブ(デバイス102−B)が2つの異なるeNB104−1および104−2のカバレッジ範囲内にある。図2Aに描かれたシナリオと同様に、このシナリオでは、アリスおよびボブは、オペレータのネットワークの認証ユーザである。しかし、ここで、アリスおよびボブは、2つの異なるeNBのカバレージ範囲内である。同じまたは実質的に同様であるステップ/動作について、図2Aで使用されたものと、同じ参照番号が図2Bで使用されることに留意されたい。さらなるステップおよび/またはステップの順番の変化を表すために、新しい参照番号が追加される。
したがって、アリスおよびボブが互いの範囲内であるというアドバタイズメントをアリスおよびボブが一度受信すると(ステップ214および216)、アリスは、彼女がボブとProSe通信を開始したいかどうか決定する。そのような場合、アリスは、アリスがボブとProSe通信を開始したいことを示すProSe要求をeNB1(104−1)に送信する(ステップ218)。上記に記載されたように、eNB1は、アリスが認証され、ProSeを使用するよう認可されているかどうかを決定する(ステップ220)。検証が成功である場合、上記に記載されたように、eNB1はPKを生成する(ステップ222)。
その後、ステップ224で、eNB1(104−1)は、アリスおよびボブの識別子とともに、PKをX2インターフェイスを介してeNB2(104−2)に送信する。一度eNB2がこのメッセージを受信すると、アリスがeNB1により認証されたことが暗黙のうちに認められる。さらに、eNB2は、ボブが認証され、ProSeを使用するよう認可されているかどうかを決定する(ステップ220)。検証が成功である場合、eNB2は、以下を実施する。
a ステップ230でeNB2は、成功した認証から導出される有効なセキュリティのコンテキストを使用して、ボブに(eNB1により導出され送信された)PKを安全に送信する。
b ステップ232でeNB2は、ボブがやはり認証されProSeについて認可されていることを検証するメッセージでeNB1に応答する。
X2インターフェイスを介したeNB2の応答を受信すると、eNB1は、ボブも認証されていることを保証され、したがってeNB1は、PKをアリスにさらに(安全に)(ステップ234で)提供する。
この時点で、アリスおよびボブは、PKを使用して安全にされるProSe通信を開始することができる。単一のeNBの場合と同様に、PKを受信することにより、アリスおよびボブは、他の当事者がProSeを使用することを認可されていると保証され、一方、PKの所有を互いに証明することで、アリスおよびボブは、アリスとボブが互いに通信していることを保証される。同様にこの場合、PKは、直接ProSeトラフィックの暗号化および完全性保護のために使用される単一のキーとしてアリスおよびボブのいずれかにより使用されてよく、またはPKは、上記に記載されたように、さらなるキーの導出のために使用されてよい。
上の例示的な説明は、2つのProSe対応UEが関係するシナリオに焦点を合わせていたことに留意されたい。しかし、明白に、記載された手順は、2つより多いProSe対応UEがグループ通信に関与することを希望する場合に直接適用可能である。そのような場合、グループの全てのメンバーは、彼らが接続されるeNBから同じPKを受信することになる。やはり、そのような場合、PKの所有は、グループの全ての他のメンバーに対しUEを暗黙のうちに認証させ、特定のUEがグループProSe通信に参加することを認可されていることを全ての他のグループのメンバーが検証することをも可能にする。
さらに、本明細書に記載されたセキュリティのプロトコルおよび方法論は、ProSe対応UEが異なる公衆陸上移動ネットワーク(PLMN)領域に関連するときのシナリオにありうる。特に、アリス(デバイス102−A)およびボブ(デバイス102−B)が、2つの異なるPLMN領域に属する2つの異なるeNBのカバレッジ内であると仮定されたい。上記に記載された方法は、これら2つのPLMN領域に属するeNB間に通信の方法(例えば、X2インターフェイスまたはMME経由)が存在する限り、このシナリオで適用可能であることを理解されたい。
ProSe対応UEが互いに通信するとき、ProSe対応UEは、それらのチャネル特性に基づいてそれらの伝送パラメータを調整しうることがさらに認識される。例として、2つのそのようなUE、例えばアリスおよびボブが互いに非常に近接している場合、アリスは、ボブにトラフィックを送信するため、高いPHYビットレートおよび低い伝送電力を使用しうる。しかし、そのような伝送パラメータを用いると、アリスの信号は、非常に弱い場合があり、その結果、関連するeNBがアリスの信号を首尾よくデコードすることができない可能性がある。その結果、eNBは、アリスおよびボブを追跡できない可能性がある。さらに、合法的傍受(LI)は、そのような場合の課題である。
eNBによるユーザ追跡ならびにLIを実行可能にするために、本発明の実施形態は、アリスの信号およびボブの信号が十分強く伝送され、そのためアリスの信号およびボブの信号が接続されるeNBによってアリスの信号およびボブの信号がデコードされうるチャネルフィードバックメカニズムを提供する。このメカニズムは、図3の方法論に図示される。
より具体的には、図3に示されるように、アリス(デバイス102−A)およびボブ(デバイス102−B)は、直接チャネル(および他の制御)情報を交換せず、ネットワークインフラストラクチャを通して交換する。換言すれば、ボブの観測されたリンク特性についてボブがアリスにアドバタイズするため、ボブはProSe通信を使用しない。その代わり、ボブは、この情報(図3では302)を、ボブが接続されるeNB(104)に送信し、eNB(104)は、情報をアリスに、(アリスが同じeNB(図3では304)に接続されるときは直接、またはアリスのeNBを介しX2インターフェイスを越えてのいずれかで)さらに中継する。同様に、アリスは、アリスの観測されたチャネル特性について、ネットワークインフラストラクチャ(304から302への経路)を介してボブにアドバタイズする。ネットワークを使用してそのような情報を伝えることは、以下の利点を提供する。
a ネットワークオペレータに、(例えば、課金目的で)アリスとボブの間のセッション期間を制御することを可能にする。特に、アリスおよびボブが、アリスおよびボブのeNBからチャネル情報およびパラメータを受信しない限り、アリスおよびボブの通信(伝送および受信)パラメータをアリスおよびボブは調整することができず、したがってアリスおよびボブはトラフィックを交換することができない。これで、ネットワークは、ProSeセッションの期間を制御する方法を獲得する。すなわち、eNBがアリスおよびボブにチャネルパラメータ情報を送信するのを止めるとすぐにセッションが終了される。そのようなパラメータ情報の例は、伝送電力および伝送のためのPHYビットレートでありうる。そのような場合、ボブにパケットを伝送するために、特定の伝送電力および特定のPHYビットレートをアリスが使用するべきであることを、eNBはアリスにアドバタイズする。明らかに、他の重要な通信パラメータが、代わりに/追加で送信されてよい。
b ネットワークのオペレータに、アリスおよびボブにProSe通信パラメータを提供することを可能にし、そのため、eNBは、ProSe通信を漏れ聞くことが可能となる。具体的には、eNBがボブのチャネルフィードバック情報についてアリスにアドバタイズするとき、eNBは、ProSe通信パラメータを伝えてよく、そのため、以下となる。(a)アリスおよびボブは、パラメータを使用して、ProSe通信を首尾よく確立して維持することができる。(b)eNBは、アリスとボブの間の通信を漏れ聞くことも可能である。換言すれば、アリス−ボブリンク上で高性能の利得を潜在的に提供しうるチャネルパラメータをボブは伝えうるが、eNBは、高性能(例えば、アリス−ボブリンク上の高いスループット)には寄与しない可能性があるが、アリスのトラフィックおよびボブのトラフィックを漏れ聞くことをeNBに可能にさせる、異なるパラメータをアリスに提供しうる。ネットワークポリシーに基づいて、eNBは、eNBが伝送されるメッセージを漏れ聞くことが可能なように、アリスのみまたはボブのみが伝送するべきであることを決定しうることに留意されたい。そのような場合、どのデバイスをeNBが追跡したいかによって、eNBは、アリスおよびボブの各々に応じて適切なパラメータを提供する。
これであるとすると、SeProSeスキームの1つの実施形態は、eNBが監視およびLI目的でユーザトラフィックを漏れ聞くことが可能であるように、eNBが各ProSe対応UE(図3の経路302および304)にProSe通信パラメータを送信するプロセスを含む。そのようなパラメータの提供は、UEとeNB間の通信用に既に標準化されているものと同じメッセージ交換手順(例えば、UEとeNB間の継続的品質改善(CQI)情報の伝送用に使用される、同じパケットフォーマット)を活用しうる。
eNBがProSeトラフィックを漏れ聞くことができる限り、そのようなトラフィックは、ネットワークインフラストラクチャとインターフェイスしているLIエンティティ(例えば、図3のLIサーバ310)にさらに転送されうる。以下が留意されるべきである。
a オペレータがProSeユーザ監視のためにPGWのユーザ記録を再使用したい場合、ユーザセッション記録のさらなるオフライン処理および更新のため、漏れ聞かれたProSeトラフィックは、最終的にPDN GW108まで転送されうる。
b ProSe通信を漏れ聞くことは、eNBによるUE報告値のいかなる修正も必要としない。これは、典型的には、UE間の直接リンク(例えば、アリス−ボブリンク)が、各UEとeNBの間のリンクより悪い品質を有する場合である。そのような場合、eNBは、デフォルトでProSe通信を漏れ聞くことが可能であり、なぜならば、eNBがProSeトラフィックを漏れ聞くのに、通信パラメータが、十分であるからである。
c 明らかに、ユーザトラフィックがネットワークにより追跡または漏れ聞かれる必要がないとき、eNBによる通信パラメータの修正は必要でない。
d アリスが、アリスの関連するeNBにチャネル情報を伝えるとき、アリスの伝送がボブにより首尾よくデコードされるとすると、ボブが同じ情報を受信することが可能である。UEが信頼されていない場合、アリスは、アリスの伝送パラメータを設定するのにeNBの推奨を無視してよく、その代わり、元々ボブにより送信された漏れ聞きのフィードバックを利用してよい。SeProSeでのそのような挙動を避けるために、eNBは、アリスおよびボブに、アリスおよびボブの制御情報をeNBに送信する前に、UEとeNBの間の最も最近の認証およびキー共有手順の期間に導出されたキー材料(KRRCenc)を使用して、アリスおよびボブの制御情報を暗号化するように要求してよい。
e ProSe通信の性能が大きな重要事項ではないシナリオでは、UE−eNBリンクがUE−UEリンクよりも貧弱な品質を有する(典型的には、UE−eNBリンクがUE−UEリンクよりも良好な品質を有する場合、明らかに、eNBがProSe通信を漏れ聞くことが常に可能になる場合である)と仮定すると、ProSe通信は、UE−eNBリンク上のものと正確に同じ通信チャネルパラメータを使用して行ってよい。例として、テキストメッセージおよび低速音声アプリケーションなど、UE間に速い通信を必要としないProSeアプリケーションでありうる。そのようなアプリケーションは、高いビットレートを使用する必要がないリンクを介して動作しうる。そのようなリンクは、図3に312として図示される。換言すれば、準最適伝送パラメータを使用することは(とはいえ、ProSe通信の漏れ聞きの成功のためには十分であって)、そのようなアプリケーションの性能に影響を及ぼさないことになる。そのようなシナリオでは、ProSe用の準最適チャネルパラメータの使用は、通信コストなしで発生するが、このことは、ネットワークが通信を漏れ聞くことを可能にする。
最後に、図4は、本発明の実施形態による通信システム内のプロキシミティデバイス(すなわち、プロキシミティサービスを利用するコンピューティングデバイス)間に安全な通信を実装するために好適な、通信システム400の一部の、一般化されたハードウェアアーキテクチャを図示する。
示されるように、コンピューティングデバイスA410(例えば、アリスまたはデバイス102−Aに対応する)およびコンピューティングデバイスB420(例えば、ボブまたはデバイス102−Bに対応する)、ならびにネットワーク要素430(例えば、eNB104、eNB1 104−1、eNB2 104−2、SAE GW106、PDN GW 108、またはMME202に対応する)は、通信媒体440を介して動作可能に結合される。ネットワーク媒体は、コンピューティングデバイスとネットワーク要素が通信するように構成される、任意のネットワーク媒体であってよい。例として、ネットワーク媒体は、インターネットプロトコル(IP)パケットを搬送することができ、上述の通信ネットワークのいずれかを含んでよい。しかし、本発明の実施形態は、特定のタイプのネットワーク媒体に限定されない。
当業者には容易に明らかとなるように、要素は、コンピュータプログラムコードの制御下で動作する、プログラムされたコンピュータとして実装されうる。コンピュータプログラムコードは、コンピュータ(またはプロセッサ)可読記憶媒体(例えば、メモリ)に記憶され、コードは、コンピュータのプロセッサにより実行されることになる。本発明の実施形態のこの開示が与えられれば、当業者は、本明細書に記載されたプロトコルおよび方法論を実装するために、適切なコンピュータプログラムコードを容易に作ることができる。
それにもかかわらず、図4は、全体として、通信媒体を介して通信する各デバイスのための例示のアーキテクチャを図示する。示されるように、コンピューティングデバイスA410は、I/Oデバイス412、プロセッサ414、およびメモリ416を備える。コンピューティングデバイスB420は、I/Oデバイス422、プロセッサ424、およびメモリ426を備える。ネットワーク要素430は、I/Oデバイス432、プロセッサ434、およびメモリ436を備える。
本明細書で使用する場合、用語「プロセッサ」は、中央処理ユニット(CPU)または、限定するものではないが、1つまたは複数の信号プロセッサ、1つまたは複数の集積回路などを含む他の処理回路を含む、1つまたは複数の処理デバイスを含むことが意図されることを理解されたい。また、本明細書で使用する場合、用語「メモリ」は、RAM、ROM、固定メモリデバイス(例えば、ハードドライブ)または取り外し可能なメモリデバイス(例えば、ディスケットまたはCDROM)など、プロセッサまたはCPUに関連するメモリを含むことが意図される。加えて、本明細書で使用する場合、用語「I/Oデバイス」は、処理ユニットにデータを入力するための1つまたは複数の入力デバイス(例えば、キーバード、マウス)、ならびに処理ユニットに関連する結果を提供するための、1つまたは複数の出力デバイス(例えば、CRTディスプレイ)を含むことが意図される。I/Oデバイスは、示されるデバイス間の通信を可能にする、送受信機(無線および/または有線)も表す。
したがって、本明細書に記載される方法論を実施するためのソフトウェア命令またはコードは、例えば、ROM、固定または取り外し可能メモリといった、関連するメモリデバイスのうちの1つまたは複数に記憶され、利用される準備ができているときは、RAMにロードされ、CPUにより実行されうる。そのようなメモリデバイスは、それぞれ、コンピュータ可読記憶媒体または非一時的記憶媒体と考えられうる。図4に示される各デバイス(410、420、および430)は、図1Aから図3に描かれたプロトコルおよび機能の各デバイスそれぞれのステップを実施するように別個にプログラムされてよい。また、ブロック410、ブロック420、およびブロック430の各々が、2つ以上の個別ノードまたはコンピューティングデバイスを介して実装されうることを理解されたい。
有利なことに、例示的な実施形態により本明細書に記載されたように、方法は、無線ブロードバンドネットワークのコンテキストで、ProSe発見および通信を安全にするために提供される。SeProSeは、直接通信することを希望するUE間に安全な関係を導出するため、各UEとネットワーク間で実施される認証およびキー共有手順を活用する。そのような安全な関係は、ProSe対応UEに、互いを認証することを可能にする。一方、SeProSeは、オペレータに、ProSe対応UEを認証し、ならびにProSeにアクセスするためにUEを認可するやり方を提供する。さらに、SeProSeを用いると、オペレータは、ProSeを使用するProSe対応UEがそうするために本当に認可されているのかどうかを検証し、UEがProSeモードで動作するときに合法的傍受(LI)手順をサポートすることも可能である。加えて、SeProSeは、ネットワークオペレータにより、または加入したエンティティにより潜在的に提供される、個々のSeProSeアプリケーション用のセッションキーを導出することにより、UE間の安全なセッションのために、アプリケーションレベルの粒度を提供する。
本発明の例示的な実施形態は、添付の図面を参照して本明細書に記載されてきたが、本発明は、それらのそのままの実施形態に限定されず、本発明の範囲または趣旨から逸脱することなく、当業者により、様々な他の変更形態および修正形態が作られうることを理解されたい。
Claims (10)
- 通信システム内で安全な通信を提供するための方法であって、
アクセスネットワークの少なくとも1つのネットワーク要素から第1のコンピューティングデバイスおよび少なくとも第2のコンピューティングデバイスに少なくとも1つのキーを送信するステップを含み、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが、通信システムにアクセスするためにアクセスネットワークを利用し、少なくとも1つのキーが送信される前にアクセスネットワークによって認証され、さらに、互いが近接していることが発見されたとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信がアクセスネットワークを通過することなく、互いに安全に通信するために、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスによって、少なくとも1つのキーが使用可能であり、
近接の発見は、アクセスネットワークによって
アクセスネットワークから第1のコンピューティングデバイスと第2のコンピューティングデバイスへ、第1のコンピューティングデバイスと第2のコンピューティングデバイスが互いの近接の範囲内であることを示すアドバタイズメントを送信し、
第1のコンピューティングデバイスと第2のコンピューティングデバイスの1つから、アクセスネットワークで、通信がアクセスネットワークを通過することなしに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの一方が他方と安全に通信するための要求を受信する、ことにより制御される、方法。 - ネットワーク要素により第1のコンピューティングデバイスおよび第2のコンピューティングデバイスに送信されるキーが、以下すなわち、(i)アクセスネットワークによる、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つの認証期間に確立されるセキュリティの状況、(ii)ネットワーク要素で維持されるキー、(iii)2つ以上のキーの組合せ、(iv)ランダムに導出される値、および(v)第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの少なくとも1つの認証の際に、モビリティ管理エンティティによりネットワーク要素に導出され配信されるプロキシミティサービスに基づいたキーのうちの1つに基づいて生成される、請求項1に記載の方法。
- 第1のコンピューティングデバイスおよび第2のコンピューティングデバイスにキーを送信する前に、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが互いに近接しているとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの通信がアクセスネットワークを通過することなく、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが互いに通信することを認可されているかどうかを検証するネットワーク要素をさらに備える、請求項1に記載の方法。
- 第1のコンピューティングデバイスおよび第2のコンピューティングデバイスにキーを送信する前に、第1のコンピューティングデバイスと第2のコンピューティングデバイスの通信がアクセスネットワークを通過することなく、第1のコンピューティングデバイスと第2のコンピューティングデバイスが安全に通信することができるように、第1のコンピューティングデバイスと第2のコンピューティングデバイスが互いに近接の範囲内であるかどうかを決定するネットワーク要素をさらに備える、請求項1に記載の方法。
- アクセスネットワークを通過しない、第1のコンピューティングシステムと第2のコンピューティングシステムの間の通信の少なくとも一部を取得するネットワーク要素をさらに含む、請求項1に記載の方法。
- 取得された通信に合法的傍受動作を実施するステップをさらに含む、請求項5に記載の方法。
- ネットワーク要素に、アクセスネットワークを通過しない、第1のコンピューティングシステムと第2のコンピューティングシステムの間の通信を取得することを可能にするため、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスに1つまたは複数の通信パラメータを送信するネットワーク要素をさらに含む、請求項5に記載の方法。
- 通信システム内に安全な通信を提供する装置であって、
メモリと、
アクセスネットワークのネットワーク要素の少なくとも一部を形成するメモリに結合されるプロセッサと
を備え、プロセッサおよびネットワーク要素のメモリが
第1のコンピューティングデバイスおよび少なくとも第2のコンピューティングデバイスに少なくとも1つのキーを送信し、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが、通信システムにアクセスするためにアクセスネットワークを利用し、少なくとも1つのキーが送信される前にアクセスネットワークによって認証され、さらに、互いが近接していることが発見されたとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信がアクセスネットワークを通過することなく、互いに安全に通信するために、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスによって、少なくとも1つのキーが使用可能であるように構成され、
近接の発見は、アクセスネットワークによって
アクセスネットワークのネットワーク要素から第1のコンピューティングデバイスと第2のコンピューティングデバイスへ、第1のコンピューティングデバイスと第2のコンピューティングデバイスが互いの近接の範囲内であることを示すアドバタイズメントを送信し、
第1のコンピューティングデバイスと第2のコンピューティングデバイスの1つから、アクセスネットワークのネットワーク要素で、通信がアクセスネットワークを通過することなしに、第1のコンピューティングデバイスと第2のコンピューティングデバイスの一方が他方と安全に通信するための要求を受信する、ことにより制御される、装置。 - 通信システム内で安全な通信を提供するための方法であって、
第1のコンピューティングデバイスおよび少なくとも第2のコンピューティングデバイスに送信される、アクセスネットワークの少なくとも1つのネットワーク要素からの少なくとも1つのキーを、第1のコンピューティングデバイスで受信するステップであって、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが、通信システムにアクセスするためにアクセスネットワークを利用し、少なくとも1つのキーが送信される前にアクセスネットワークによって認証される、受信するステップと、
第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが互いに近接していることが発見されたとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信がアクセスネットワークを通過することなく、第2のコンピューティングデバイスと安全に通信するために第1のコンピューティングデバイスで少なくとも1つのキーを利用するステップと
を含み、
近接の発見は、アクセスネットワークによって
アクセスネットワークから第1のコンピューティングデバイスにおいて、第1のコンピューティングデバイスと第2のコンピューティングデバイスが互いの近接の範囲内であることを示すアドバタイズメントを受信し、
第1のコンピューティングデバイスから、アクセスネットワークへ、通信がアクセスネットワークを通過することなしに、第2のコンピューティングデバイスと安全に通信するための要求を送信する、ことにより制御される、方法。 - 通信システム内に安全な通信を提供する装置であって、
メモリと、
第1のコンピューティングデバイスを形成するメモリに結合されるプロセッサと
を備え、プロセッサおよび第1のコンピューティングデバイスのメモリが
第1のコンピューティングデバイスおよび少なくとも第2のコンピューティングデバイスに送信された、アクセスネットワークの少なくとも1つのネットワーク要素からの少なくとも1つのキーを受信し、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが、通信システムにアクセスするためにアクセスネットワークを利用し、少なくとも1つのキーが送信される前にアクセスネットワークによって認証され、
第1のコンピューティングデバイスおよび第2のコンピューティングデバイスが互いに近接していることが発見されたとき、第1のコンピューティングデバイスと第2のコンピューティングデバイスの間の通信がアクセスネットワークを通過することなく、第2のコンピューティングデバイスと安全に通信するために少なくとも1つのキーを利用するように構成され、
近接の発見は、アクセスネットワークによって
アクセスネットワークから第1のコンピューティングデバイスにおいて、第1のコンピューティングデバイスと第2のコンピューティングデバイスが互いの近接の範囲内であることを示すアドバタイズメントを受信し、
第1のコンピューティングデバイスから、アクセスネットワークへ、通信がアクセスネットワークを通過することなしに、第2のコンピューティングデバイスと安全に通信するための要求を送信する、ことにより制御される、装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/460,035 | 2012-04-30 | ||
| US13/460,035 US9240881B2 (en) | 2012-04-30 | 2012-04-30 | Secure communications for computing devices utilizing proximity services |
| PCT/US2013/037108 WO2013165695A1 (en) | 2012-04-30 | 2013-04-18 | Secure communications for computing devices utilizing proximity services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015525012A JP2015525012A (ja) | 2015-08-27 |
| JP5996784B2 true JP5996784B2 (ja) | 2016-09-21 |
Family
ID=48407779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015510307A Active JP5996784B2 (ja) | 2012-04-30 | 2013-04-18 | プロキシミティサービスを利用するコンピューティングデバイスのための安全な通信 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9240881B2 (ja) |
| EP (1) | EP2845362B1 (ja) |
| JP (1) | JP5996784B2 (ja) |
| KR (1) | KR101603033B1 (ja) |
| CN (1) | CN104285422B (ja) |
| ES (1) | ES2734989T3 (ja) |
| PL (1) | PL2845362T3 (ja) |
| TR (1) | TR201911098T4 (ja) |
| WO (1) | WO2013165695A1 (ja) |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140335791A1 (en) * | 2011-12-13 | 2014-11-13 | Lg Electronics Inc. | Method and device for providing a proximity service in a wireless communication system |
| WO2013095001A1 (ko) * | 2011-12-20 | 2013-06-27 | 엘지전자 주식회사 | 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치 |
| US9240881B2 (en) | 2012-04-30 | 2016-01-19 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
| US10616065B2 (en) * | 2012-06-21 | 2020-04-07 | Nokia Solutions And Networks Oy | Network assisted proximity service session management |
| PL2880886T3 (pl) * | 2012-08-02 | 2017-07-31 | Deutsche Telekom Ag | Legalne przechwytywanie komunikacji w trybie bezpośrednim w bezprzewodowej sieci telekomunikacyjnej |
| US10341859B2 (en) * | 2012-10-19 | 2019-07-02 | Nokia Technologies Oy | Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment |
| US20140134974A1 (en) * | 2012-11-12 | 2014-05-15 | Innovative Sonic Corporation | Method and apparatus for reporting charging information of direct device to device communication in a wireless communication system |
| EP2941936B1 (en) | 2013-01-03 | 2019-09-11 | Intel Corporation | Apparatus, system and method of lawful interception (li) in a cellular network |
| US9532213B2 (en) * | 2013-01-17 | 2016-12-27 | Intel IP Corporation | Lawful interception for device-to-device (D2D) communication |
| WO2014163054A1 (ja) * | 2013-04-02 | 2014-10-09 | シャープ株式会社 | 端末装置、基地局装置および制御装置 |
| WO2014165747A1 (en) * | 2013-04-05 | 2014-10-09 | Interdigital Patent Holdings, Inc. | Securing peer-to-peer and group communications |
| JP6838789B2 (ja) * | 2013-06-28 | 2021-03-03 | 日本電気株式会社 | Ue及びその通信方法 |
| US20160164875A1 (en) * | 2013-06-28 | 2016-06-09 | Nec Corporation | Secure system and method of making secure communication |
| JP6512111B2 (ja) * | 2013-06-28 | 2019-05-15 | 日本電気株式会社 | 通信システム、ネットワーク及びue並びにそれらの通信方法 |
| CN110149621B (zh) * | 2013-07-03 | 2022-06-07 | 交互数字专利控股公司 | 保护ProSe通信会话的方法和WTRU |
| EP3028431A1 (en) * | 2013-07-31 | 2016-06-08 | Nec Corporation | Devices and method for mtc group key management |
| EP3028525B1 (en) * | 2013-08-04 | 2019-03-20 | LG Electronics Inc. | Method and apparatus for starting or stopping device-to-device operation in wireless communication system |
| KR102209289B1 (ko) * | 2013-10-11 | 2021-01-29 | 삼성전자 주식회사 | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 |
| US9386004B2 (en) * | 2013-10-23 | 2016-07-05 | Qualcomm Incorporated | Peer based authentication |
| EP3063917B1 (en) * | 2013-10-28 | 2018-09-26 | Nec Corporation | Security management according to location change in proximity based services |
| CN105706474B (zh) * | 2013-10-30 | 2019-12-13 | 日本电气株式会社 | 基于邻近的服务中的安全直接通信所用的设备、系统和方法 |
| CN105874866B (zh) * | 2013-11-01 | 2021-04-02 | 三星电子株式会社 | 用于分配资源和发送/接收资源分配信息的装置和方法 |
| WO2015062239A1 (zh) * | 2013-11-04 | 2015-05-07 | 华为技术有限公司 | 密钥协商处理方法和装置 |
| WO2015072788A1 (en) * | 2013-11-14 | 2015-05-21 | Samsung Electronics Co., Ltd. | Method and apparatus for managing security key in a near fieldd2d communication system |
| US9276910B2 (en) * | 2013-11-19 | 2016-03-01 | Wayne Fueling Systems Llc | Systems and methods for convenient and secure mobile transactions |
| KR102088848B1 (ko) * | 2014-01-13 | 2020-03-13 | 삼성전자 주식회사 | 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 |
| US20150200972A1 (en) * | 2014-01-16 | 2015-07-16 | Qualcomm Incorporated | Methods and systems for facilitating decoding of application defined or proprietary protocols in lawful intercepts |
| JP2015154243A (ja) | 2014-02-14 | 2015-08-24 | ソニー株式会社 | 装置、プログラム及び方法 |
| CN104918247A (zh) * | 2014-03-13 | 2015-09-16 | 中兴通讯股份有限公司 | 一种业务发现及鉴权的方法、设备、终端和系统 |
| US10064053B2 (en) * | 2014-03-21 | 2018-08-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication in device to device discovery |
| GB2524497A (en) * | 2014-03-24 | 2015-09-30 | Vodafone Ip Licensing Ltd | User equipment proximity requests |
| CN106471787B (zh) * | 2014-06-28 | 2019-12-17 | 瑞典爱立信有限公司 | 获取对在移动通信系统中使用邻近服务的授权 |
| US9350662B2 (en) | 2014-07-18 | 2016-05-24 | Qualcomm Incorporated | Server mediated peer-to-peer communication offloading from network infrastructure |
| EP3487146B1 (en) | 2014-10-30 | 2020-12-02 | Samsung Electronics Co., Ltd. | Method of performing device to device communication between user equipments |
| US9918225B2 (en) | 2014-11-03 | 2018-03-13 | Qualcomm Incorporated | Apparatuses and methods for wireless communication |
| KR102422803B1 (ko) * | 2015-01-16 | 2022-07-19 | 삼성전자 주식회사 | D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법 |
| CN113382411A (zh) * | 2015-04-13 | 2021-09-10 | 瑞典爱立信有限公司 | 用于末端装置发现另一个末端装置的方法和设备 |
| WO2016165845A1 (en) * | 2015-04-13 | 2016-10-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Code encryption |
| US10136246B2 (en) * | 2015-07-21 | 2018-11-20 | Vitanet Japan, Inc. | Selective pairing of wireless devices using shared keys |
| CN106453203A (zh) | 2015-08-07 | 2017-02-22 | 索尼公司 | 无线通信系统中的装置和方法以及无线通信系统 |
| CN106454806B (zh) * | 2015-08-11 | 2019-07-19 | 电信科学技术研究院 | 一种进行数据传输的方法和设备 |
| US10820162B2 (en) | 2015-12-08 | 2020-10-27 | At&T Intellectual Property I, L.P. | Method and system for mobile user-initiated LTE broadcast |
| WO2017190306A1 (en) * | 2016-05-05 | 2017-11-09 | Nokia Technologies Oy | Universal key agreement in device-to-device (d2d) communications |
| WO2018072152A1 (zh) * | 2016-10-19 | 2018-04-26 | 中兴通讯股份有限公司 | 一种安全通信的方法、装置和系统 |
| EP3550780B1 (en) * | 2016-12-30 | 2021-04-14 | Huawei Technologies Co., Ltd. | Verification method and apparatus for key requester |
| CN106937269A (zh) * | 2017-02-22 | 2017-07-07 | 重庆邮电大学 | D2D通信中基于散列函数和RLE编码的BitMap发现移动应用方法 |
| US11082412B2 (en) | 2017-07-12 | 2021-08-03 | Wickr Inc. | Sending secure communications using a local ephemeral key pool |
| US11316666B2 (en) * | 2017-07-12 | 2022-04-26 | Amazon Technologies, Inc. | Generating ephemeral key pools for sending and receiving secure communications |
| CN111182542B (zh) * | 2018-11-09 | 2022-09-30 | 中国电信股份有限公司 | 临近业务的建立方法、系统、基站和可读存储介质 |
| US11784809B2 (en) * | 2019-02-07 | 2023-10-10 | Red Hat, Inc. | Constrained key derivation in temporal space |
| US11387997B2 (en) | 2019-02-07 | 2022-07-12 | Red Hat, Inc. | Constrained key derivation in geographical space |
| US11329812B2 (en) * | 2019-02-07 | 2022-05-10 | Red Hat, Inc. | Constrained key derivation in miscellaneous dimensions |
| US11438150B2 (en) | 2019-02-07 | 2022-09-06 | Red Hat, Inc. | Constrained key derivation in linear space |
| DE102020201788A1 (de) | 2019-02-13 | 2020-08-13 | Apple Inc. | Funkressourcenverwaltung für netzwerkunterstützte new-radio-v2x-sidelink-ressourcenzuweisung |
| CN111565373B (zh) * | 2019-02-13 | 2023-07-04 | 苹果公司 | 网络辅助的新无线电v2x侧链路资源分配的无线电资源管理 |
| US20230418925A1 (en) * | 2022-06-24 | 2023-12-28 | Micron Technology, Inc. | Deep learning access and authentication in a computing architecture |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2763769B1 (fr) * | 1997-05-21 | 1999-07-23 | Alsthom Cge Alcatel | Procede destine a permettre une communication cryptee directe entre deux terminaux de reseau radiomobile et agencements de station et de terminal correspondants |
| US6314108B1 (en) * | 1998-04-30 | 2001-11-06 | Openwave Systems Inc. | Method and apparatus for providing network access over different wireless networks |
| US20030093663A1 (en) * | 2001-11-09 | 2003-05-15 | Walker Jesse R. | Technique to bootstrap cryptographic keys between devices |
| EP1473899A1 (en) * | 2003-04-28 | 2004-11-03 | Telefonaktiebolaget LM Ericsson (publ) | Security in a communications network |
| CN1619993A (zh) * | 2003-11-21 | 2005-05-25 | 北京三星通信技术研究有限公司 | 基于网络控制的终端间直接通信的方法 |
| JP4525392B2 (ja) * | 2005-03-08 | 2010-08-18 | ソニー株式会社 | 通信方法,移動通信装置,サーバ装置,およびコンピュータプログラム |
| US8601269B2 (en) * | 2005-07-15 | 2013-12-03 | Texas Instruments Incorporated | Methods and systems for close proximity wireless communications |
| GB0517592D0 (en) * | 2005-08-25 | 2005-10-05 | Vodafone Plc | Data transmission |
| JP4989117B2 (ja) * | 2006-06-12 | 2012-08-01 | キヤノン株式会社 | 通信装置およびその方法 |
| EP2056617A1 (en) * | 2006-08-24 | 2009-05-06 | Panasonic Corporation | Communication system, communication method, radio terminal, radio relay device, and control device |
| GB2452251B (en) * | 2007-08-21 | 2010-03-24 | Motorola Inc | Method and apparatus for authenticating a network device |
| JP4772025B2 (ja) * | 2007-11-14 | 2011-09-14 | 株式会社日立製作所 | P2p通信検出装置、及びその方法とプログラム |
| JP2010183268A (ja) * | 2009-02-04 | 2010-08-19 | Nec Corp | メッセージ通信システム、メッセージ通信方法、端末及びプログラム |
| US8260883B2 (en) * | 2009-04-01 | 2012-09-04 | Wimm Labs, Inc. | File sharing between devices |
| US8850203B2 (en) * | 2009-08-28 | 2014-09-30 | Alcatel Lucent | Secure key management in multimedia communication system |
| CN102045660B (zh) * | 2009-10-22 | 2014-06-11 | 华为技术有限公司 | 信息交互方法、系统、基站和网络实体 |
| US8625787B2 (en) * | 2010-01-14 | 2014-01-07 | Alcatel Lucent | Hierarchical key management for secure communications in multimedia communication system |
| US9503833B2 (en) * | 2011-03-23 | 2016-11-22 | Qualcomm Incorporated | System and method for network provisioning of mobile entities for peer-to-peer service |
| EP2721898B1 (en) * | 2011-06-17 | 2015-12-02 | Telefonaktiebolaget LM Ericsson (PUBL) | Method and radio base station in a cellular communications network for device -to -device communications |
| JP5969112B2 (ja) * | 2012-04-11 | 2016-08-10 | インテル・コーポレーション | デバイスツーデバイス通信を提供するコンピュータプログラムおよびデバイス |
| JP5997486B2 (ja) * | 2012-04-18 | 2016-09-28 | 株式会社Nttドコモ | 無線通信システム、通信制御装置及び通信制御方法 |
| US9240881B2 (en) | 2012-04-30 | 2016-01-19 | Alcatel Lucent | Secure communications for computing devices utilizing proximity services |
-
2012
- 2012-04-30 US US13/460,035 patent/US9240881B2/en active Active
-
2013
- 2013-04-18 JP JP2015510307A patent/JP5996784B2/ja active Active
- 2013-04-18 PL PL13721830T patent/PL2845362T3/pl unknown
- 2013-04-18 KR KR1020147030181A patent/KR101603033B1/ko active IP Right Grant
- 2013-04-18 WO PCT/US2013/037108 patent/WO2013165695A1/en active Application Filing
- 2013-04-18 EP EP13721830.1A patent/EP2845362B1/en active Active
- 2013-04-18 ES ES13721830T patent/ES2734989T3/es active Active
- 2013-04-18 TR TR2019/11098T patent/TR201911098T4/tr unknown
- 2013-04-18 CN CN201380022751.7A patent/CN104285422B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104285422A (zh) | 2015-01-14 |
| TR201911098T4 (tr) | 2019-08-21 |
| EP2845362B1 (en) | 2019-06-05 |
| CN104285422B (zh) | 2017-04-05 |
| ES2734989T3 (es) | 2019-12-13 |
| PL2845362T3 (pl) | 2019-09-30 |
| EP2845362A1 (en) | 2015-03-11 |
| KR101603033B1 (ko) | 2016-03-11 |
| WO2013165695A1 (en) | 2013-11-07 |
| US20130290696A1 (en) | 2013-10-31 |
| US9240881B2 (en) | 2016-01-19 |
| JP2015525012A (ja) | 2015-08-27 |
| KR20140139107A (ko) | 2014-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5996784B2 (ja) | プロキシミティサービスを利用するコンピューティングデバイスのための安全な通信 | |
| US10849191B2 (en) | Unified authentication for heterogeneous networks | |
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| CN107079023B (zh) | 用于下一代蜂窝网络的用户面安全 | |
| KR20180119651A (ko) | 5g 기술들에 대한 인증 메커니즘 | |
| US11109206B2 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
| TW201511513A (zh) | 保全點對點及群組通訊 | |
| KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
| JP7470671B2 (ja) | コアネットワークへの非3gpp装置アクセス | |
| WO2022147803A1 (zh) | 安全通信方法及设备 | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| US20220191043A1 (en) | Systems and methods for key management | |
| WO2016062000A1 (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
| WO2018137202A1 (zh) | 一种传输数据的方法、装置和系统 | |
| Southern et al. | Wireless security: securing mobile UMTS communications from interoperation of GSM | |
| Niranjani et al. | Distributed security architecture for authentication in 4G networks | |
| US11611866B2 (en) | Connection between sim-less device and cellular network | |
| Yan | Design of handover authentication protocols for 5G networks | |
| CN117203935A (zh) | 用于在按需网络中进行设置、认证、授权和用户设备(ue)密钥生成和分发的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151211 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160119 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160726 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160824 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5996784 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |