CN104285422B - 用于利用邻近服务的计算设备的安全通信 - Google Patents

用于利用邻近服务的计算设备的安全通信 Download PDF

Info

Publication number
CN104285422B
CN104285422B CN201380022751.7A CN201380022751A CN104285422B CN 104285422 B CN104285422 B CN 104285422B CN 201380022751 A CN201380022751 A CN 201380022751A CN 104285422 B CN104285422 B CN 104285422B
Authority
CN
China
Prior art keywords
computing device
access network
communication
key
alice
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201380022751.7A
Other languages
English (en)
Other versions
CN104285422A (zh
Inventor
I·布鲁斯蒂斯
V·卡库莱夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of CN104285422A publication Critical patent/CN104285422A/zh
Application granted granted Critical
Publication of CN104285422B publication Critical patent/CN104285422B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

公开了用于在通信***中在使用邻近服务的计算设备之间建立安全通信的技术。例如,一种用于在通信***中提供安全通信的方法,包括以下步骤。从接入网络的至少一个网络单元发送至少一个密钥至第一计算装置以及至少一个第二计算装置。所述第一计算设备和第二计算设备利用所述接入网络来访问该通信***,并在所述密钥被发送之前被所述接入网认证。当第一计算装置和第二计算装置在彼此附近时,所述密钥可被第一计算设备和所述第二计算装置彼此之间的安全通信所使用,同时第一计算装置与第二计算装置之间没有通过该接入网的通信。

Description

用于利用邻近服务的计算设备的安全通信
技术领域
本领域涉及与利用邻近服务的计算设备相关的通信安全。
背景技术
传统的宽带通信网络设计专注于使用户之间能够进行通信服务,这样使得用户流量总是穿过网络核心基础设施(即核心网络或CN)。参见如3GPP TS 23.401,3rd GenerationPartnership Project;Technical Specification Group Services and SystemAspects;General Packet Radio Service(GPRS)enhancements for Evolved UniversalTerrestrial Radio Access Network(E-UTRAN)access(版本11),这些公开在此处以其全文引入作为参考。
这样的设计方法提供给网络运营商一些用户管理的好处,例如验证用户设备(UE)的能力,以及根据资源利用(如一段时间内空中接口上的带宽消耗和超时的上传/下载数据流量的数量)来追踪用户行为的能力。
此外,使得流量穿过宽带网络的核心使得能够对司法部门进行的数据和/或语音呼叫的合法拦截(LI)进行支持。这是因为对于用户流量,CN具有明确的访问通道(只要这样的流量通过核心),并且因此可以向LI实体提供根据请求获得特定用户之间交换的流量的机制。参见如3GPP TS 33.107,3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;3G Security;LawfulInterception architecture and functions(版本11)和3GPP TS 33.108,3rdGeneration Partnership Project;Technical Specification Group Services andSystem Aspects;3G Security;Handover interface for Lawful Interception(LI)(版本11),,这些公开在此处以其全文引入并作为参考
发明内容
本发明的实施例提供用于在通信***中利用邻近服务的计算设备之间建立安全通信的技术。
例如,在本发明的一个实施例中,一种在通信***中提供安全通信的方法包括以下步骤。从接入网络的至少一个的网络组件发送至少一个密钥至第一计算装置以及至少一个第二计算装置。第一计算装置和第二计算装置利用接入网络接入通信***并且其在发送密钥之前已被该接入网络所验证。当该第一计算装置和第二个计算装置在彼此的附近时,该密钥可被所述第一计算装置和所述第二个计算装置使用以使彼此安全的通信,同时第一计算装置与第二计算装置之间没有通过该接入网络的通信。
在本发明的另一个实施例中,用于在通信***中提供安全通信的方法包括以下步骤。在第一计算装置接收至少一个密钥,所述密钥从接入网络的至少一个网络组件发送至第一计算装置和至少一个第二计算装置。第一计算装置和第二计算装置利用接入网络接入通信***并且在发送所述密钥之前已被该接入网络所验证。当所述第一计算装置和第二计算装置在彼此邻近时,所述第一计算装置利用该密钥与第二计算装置进行安全通信,同时所述第一计算设备和第二计算设备之间没有通过该接入网络的通信。
有利的是,本发明的技术提供用于通信***中邻近的装置之间(即利用邻近服务的计算装置)的安全通信。
结合附图阅读下述本发明的示例性实施例的详细描述,本发明的这些以及其他的目标、特性和优势是显而易见的。
附图说明
图1A示出了在基于传统的场景中宽带通信***中的用户平面流量的遍历(traversal)。
图1B示出了在基于邻近服务的场景中宽带通信***的用户平面流量遍历。
图2A示出了依照本发明的一个实施例的基于邻近服务(proximity services-based)的密钥推导(derivation)和分发协议。
图2B示出了依照本发明的另一个实施例的基于邻近服务的密钥推导和分发协议。
图3示出了依照本发明的一个实施例,针对在合法拦截操作存在的情况下基于邻近服务的安全通信方法。
图4示出了通信***和计算装置的部分硬件架构,其适于依照本发明的一个或多个实施例实现一个或多个所述方法和协议。
具体实施方式
以下将在示例性的通信协议的环境中对本发明的实施例进行说明。然而,应指出本发明的实施例并不限于任何特定的通信协议。相反,本发明的实施例对于任何适当的通信环境都是可应用的,所述适当的通信环境指需要在利用邻近服务的计算设备之间提供安全通信。
此处使用的术语“密钥”通常被解释为为了但不限于如实体认证、保密、消息完整等目的而对加密协议的输入。
此处使用的短语“安全关联”通常是指在通信环境中安全性的定义,两方或多方和/或设备通过所述通信环境通信。在一个示例中,安全性的定义可包括但不限于会话密钥。
此处使用的短语“邻近服务”通常被解释为在彼此邻近的计算装置之间网络控制的发现与通信,从而使用户流量在设备之间流动而无需通过网络。彼此邻近一般是指在彼此处于某一距离范围内的设备,在该距离范围内,无需通过所述网络的设备间通信是可能的(即在彼此的覆盖范围内)。
已认识到使用户流量总是通过核心网,如同在基于传统的方法中那样,在特定部署场景中带来了显著的局限和开销。图1A示出了在这样的基于传统的场景中宽带通信***中用户平面的流量的遍历。图中描述的宽带通信***为长期演进(LTE)网络。众所周知,LTE是由第三代合作伙伴计划(3GPP)开发的***(4G)网络。
让我们来考虑这种情况:在该情况下,同一长期演进(LTE)网络100的两个订户设备(subscriber device)——即Alice 102-A和Bob 102-B——附着至同一个eNB基站(e节点B)104,希望建立数据通信会话以使它们可以在所述LTE网络上发起视频通话。注意,参考数字102-A和102-B在此处可备选地指设备、计算设备、通信设备、订户设备、终端用户设备、用户设备(UEs)以及类似物。仅以例示的方式,设备102-A和102-B可为移动终端用户设备,诸如但不限于蜂窝电话、笔记本电脑、平板电脑及类似物。
在传统的LTE设置中,发往Alice(设备102-A)的包与发往Bob(设备102-B)的包将通过所述LTE核心网络(CN)105进行交换,即穿过服务网关(SGW)106以及包数据网络(PDN)网关(PGW)108,如图1A所示。注意到虽然Alice(设备102-A)的包与Bob(设备102-B)处于彼此的传输范围之内,Alice的包经过eNB 104(通常直至PGW108),并从那里它们返回至相同的eNB 104并被传递给Bob。考虑到可能同时发生多个这样的通信(在邻近的用户之间),使得这样的流量穿过核心增加了无线接入网络(RAN)的实体(例如,eNB)与CN实体(例如,SGW和PGW)两者的使用,并额外地消耗了过量的回传(backhaul)和无线带宽。
对于Alice(设备102-A)与Bob(设备102-B)是“邻居”(即在彼此的覆盖范围之内)的部署场景,邻近服务(ProSe)——如3GPP TR 22.803,3rd Generation PartnershipProject;Technical Specification Group SA;Feasibility Study for ProximityServices(ProSe)(版本12),其公开在此处以其全文引入并作为参考——通过使Alice和Bob之间(甚至在有两个以上用户的组里)能够进行直接的设备到设备(D2D)通信会话建立及数据交换提高了信道能力。图1B示出了在基于邻近服务的场景中用户平面流量在LTE网络100中的穿越。注意当加入基于邻近服务(ProSe)的功能时,设备102-A和102-B也可被称为“邻近设备”。
如图可在邻近服务中观察到的,Alice(设备102-A)在空中接口上将包直接发送至Bob(设备102-B),而不需要涉及到RAN或者CN基础设施。这提供了两个主要优点:(i)它依照数据流量管理操作分流了网络,并且(ii)当Alice和Bob之间的直接数据链路支持比Alic-eNB和/或Bob-eNB链路更高的包投递率(PDR)时,它可以提高终端用户的吞吐量。因此邻近服务使得高速率移动互联网应用——例如但不限于实时视频流媒体和在线游戏——成为可能。
然而,已认识到邻近服务带来了一些传统宽带网络部署中不存在的关键安全问题。
i、在传统设置中,蜂窝网络分别与Alice(设备102-A)和Bob(设备102-B)执行相互认证,并进一步与它们中的每个建立分离的、唯一的安全证书(security credentials)(例如会话密钥)。参见如3GPP TS 33.102,3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;3G Security;Securityarchitecture(版本11);以及3GPP TS 33.401,3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;3GPP SystemArchitecture Evolution(SAE);Security architecture版本11),所述公开在此处以其全文引入作为参考。所述已确定的密钥被用于在每个eNB和每个UE之间保护控制信令(例如非接入层(NAS)信令),并可选地用与在空中接口上保护流量。由于已确定的安全证书是独立和独一无二的,Alice和Bob不知道彼此的会话密钥。然而,如上面对邻近服务所述,Alice和Bob直接通信并且不通过网络。因此,人们意识到需要一个方法,通过其使用Alice和Bob都知道的会话密钥以使得他们之间的直接通信是安全的。否则,Alice和Bob不能在他们交换的包数据上执行诸如加密及解密的安全操作。
ii、3G和4G网络标准(参见如上引用的GPP TS 33.102及3GPP TS 33.401)规定的功能,通过对UE和网络之间认证过程中建立的会话密钥的使用,RAN凭借该功能可验证上行流量的来源(附着的UE)。据此,网络可以确保只有经过身份验证UE被授权使用许可的无线带宽。然而,对于邻近服务,用户平面(UP)的流量在UE之间直接的无线链路上流动。因此,尽管每个UE仍然可被网络进行身份认证,但后者无法确定参与邻近通信的UE是否真正被授权这样做。这是因为对于邻近服务,假如流量不流经RAN或核心实体,则网络无法明确地追踪用户流量。
iii、进一步进行上述观察,因为使用了邻近服务,Alice(设备102-A)与Bob(设备102-B)直接地交换流量,现在网络已不具备执行使合法拦截(LI)有效的功能的能力。但是,正如上文所述,这对于传统的3G和4G网络来说不是问题,因为用户流量穿过CN从而允许适当的接口用于LI目的。因此,假定邻近服务通信受到LI的管制,那么意识到需要某种机制来使得LI在邻近通信环境中是可行的。
于是,本发明的一个或多个实施例提供了安全的邻近服务。在说明性的实施例中提供了安全的ProSe(SeProSe)方法,其在具有邻近服务能力的UE(计算设备,例如在上文中提到的Alice与Bob)之间建立安全关联,在某种程度上解决了上述及其他安全问题。该方法提供了以下功能:
a.用于邻近服务链路的邻近服务授权和安全性建立。对于安全的邻近服务,每个UE均以与已经规定的相同的方式与接入网络执行认证及密钥协商。此外,每当Alice(设备102-A)希望与其邻居Bob(设备102-B)建立邻近服务链路,相关的网络验证Alice和Bob已被授权使用邻近服务,并且如果他们已被授权,那么网络安全地提供公共密钥给Alice和Bob双方。我们称该密钥为“PK”。该密钥的安全提供利用了在前述每个UE与其归属网络之间的认证与密钥协商过程中建立的密钥材料。Alice和Bob使用这个公共密钥以保护他们的直接通信。注意每个用户通过被附着(和授权的)网络以加密的形式接收所述公共密钥。因此,Alice确信Bob也已被他的归属网络认证并授权使用邻近服务,因为他拥有相同的PK密钥。
b.用户验证和监控。PK的使用为网络提供了方法来验证具有邻近服务能力的UE已被授权使用许可的无线频谱。然而,为了使网络能够执行这样的验证,网络必须可以获得UE的UP(用户平面或直接的)流量。安全邻近服务包括一个机制,按照该机制,具有邻近服务能力的UE使用传输功率电平及物理层(PHY)的比特率发送流量,相关的网络因此可以成功地监听到邻近服务流量。注意这种传输模式显然使合法拦截LI得到支持,因为网络现在获得了访问在UE之间直接交换的数据的能力。注意在不需要支持LI的部署场景里,不需要使用这种机制。
然而本发明的备选实施例并不限于此,下面根据下文将要描述的说明性的实施例作出假设集合。还要注意的是,这样的假设定义了威胁模型。假定:
i、每个具有邻近服务能力的UE都具有与至少一个基站(例如对LTE而言的eNodeB)时刻保持独立的流量路径的能力。每个这样的UE都能够调整其发射功率及PHY比特率以补偿无线干扰。
ii、邻近服务流量启动之前,UE处于由与他们相关的网络服务提供商运营的至少一个基站的覆盖范围内。每个具有邻近服务能力的UE可附着至不同的基站。
iii、相关的宽带网络基础设施(RAN和CN)在安全地计算、储存及提供秘密证书方面不兼容(compromised),例如永久和会话密钥。同样,UE在计算、推导或公开的永久或临时的秘密证书方面不兼容。
iv、已与网络相互认证并基于这样的认证与密钥协商过程已推导出/获得密钥材料的UE,相信网络发送给UE的任何安全信息是可信与真实的。同样,在这种情况下,网络相信被认证的UE总是向网络发送准确和真实的邻近服务相关信息。
按照说明性的实施例,将在下文中描述用于推导与分发邻近服务的安全上下文的协议和方法,然后为对当UE在邻近服务模式中运行时如何支持合法拦截(LI)的说明。
应当指出虽然本文描述的说明性实施例集中在邻近服务的通信发生在LTE的背景下(即,假定支持的网络基础设施是基于LTE的)的情况,多个的安全邻近服务功能适用于其他类型的网络,例如但不限于,通用移动通信***(UMTS)和高速包数据(HRPD)。
本发明的说明性实施例中提供了解决方案,所述方案确保两个具有邻近服务能力的UE之间的直接通信是安全的。该方案包括的方法用于:(i)生成和分发用于两个具有邻近服务能力的UE之间进行安全直接通信的会话密钥;以及(ii)验证邻近服务通信中涉及的两个具有邻近服务能力的UE均被各自的网络验证和授权使用邻近服务。
我们考虑一个场景,在该场景中,相同LTE网络的两个订户,即Alice与Bob(分别为设备102-A和102-B,如图1A和1B所示),希望建立邻近服务通信。在传统环境中,在邻近服务通信之前的一些点,蜂窝网络与Alic和Bob已分别执行过相互认证,并且与他们中的每一个均已建立了独立、唯一的安全证书(例如,会话密钥)。随后,使用邻近服务的发现特性,Alice发现Bob与她邻近并希望与他建立邻近服务通信。为了建立邻近服务通信,Alice的UE向无线接入网络(RAN)发送请求,指示她希望建立与Bob的邻近服务通信。基于对Alice是一个认证的用户的验证,Alice的RAN网络验证Alice已授权邻近服务。如果两个验证都是成功的,该RAN网络进一步验证Bob已被授权邻近通信的认证用户。如果是的话,RAN使用Alice的安全上下文(即KAlice)推导会话密钥PK如下:
PK=KDF(KAlice,S),
此处S是使用预先确定的输入参数构造的字符串,并且KDF是密钥推导函数(参见例如SHA-256,Standards for Efficient Cryptography Group,"Secure HashStandard",Federal Information Processing Standards Publication 180-2,2002年8月,with Change Notice 1,2004年2月,这些公开在此处以其全文引入并作为参考)。一旦RAN推导出PK,就将其安全地发送给Alice与Bob。
图2A示出了根据本发明的一个实施例的基于邻近服务的密钥推导和分销协议。特别是,图2A描述了具有邻近服务能力的UE附着到同一个eNB的情况。即,如图所示,Alice(设备102-A)与Bob(设备102-B)处于同一个eNB 104的覆盖范围内。
如上所述,Alice和Bob是运营商网络的经过身份验证的用户。这样的认证操作如图2A中的210-A和210-B所描述。此外,在图2A的示例中,Alice和Bob在同一个eNB的覆盖范围内(即,他们都附着到相同的eNB)。邻近服务发现在步骤212中执行。
对于SeProSe(安全邻近服务),一旦Alice和Bob接收到他们处于彼此的范围内(如图2A中步骤214和步骤216步骤所描述的)的公告,Alice确定她是否愿意发起与Bob的邻近服务通信。如果是的话,Alice(设备102-A)向eNB发送一个邻近服务请求(在图2A步骤218中),表示她希望发起与Bob(设备102-B)的邻近服务通信。所附着的eNB对Alice和Bob已被认证并授权使用邻近服务通信进行验证(在图2A步骤220中)。
为了让Alice和Bob加入邻近服务通信,他们首先需要被认证,(例如,在LTE情况中按照AKA(认证与密钥协商协议)过程,参见3GPP TS 33.102,3rd Generation PartnershipProject;Technical Specification Group Services and System Aspects;3GSecurity;Security architecture (版本11);以及3GPP TS 33.401,3rd GenerationPartnership Project;Technical Specification Group Services and SystemAspects;3GPP System Architecture Evolution(SAE);Security architecture(版本11),这些公开在此处以其全文引入作为参考)。Alice和网络之间的认证如图2A中步骤210-A所描述,并且Bob和该网络之间的认证如图2A中步骤210-B所描述。注意该RAN中移动性管理实体(MME)202被用于协助认证。
一旦成功认证,eNB104对于每个附着的UE维持激活的安全上下文,并且因此一旦接收到Alic发送的邻近服务请求(步骤218),eNB 104可以通过检查相应的认证服务器(AS没有明确示出)安全上下文(其由eNB本地维护)确定她是否已经被认证。此处注意,使用来自该安全上下文的密钥材料,Alice可以加密和/或完整性保护邻近服务请求,例如,如果该邻近服务请求为无线资源控制(RRC)息则使用她的KRRCint/KRRCenc密钥,或如果其为UP(用户平面)消息则使用KUPint/KUPenc密钥,或者若其为NAS(非接入层)消息则使用KNASint/KNASenc。在后一种情况下,邻近服务请求的认证由RAN中的MME202使用相应的(有效的)NAS安全请求验证,该请求由MME202本地维护。
一旦确认Alice和Bob已被认证,eNB 104确定他们是否已经被授权加入邻近服务通信。可以使用授权信息执行授权的认证,所述信息由eNB104在本地维护(在步骤220中)。一旦UE成功地注册网络,这些信息连同其他注册参数可由eNB主动获得。
如果所述验证是成功的,正如上述所定义的,eNB104生成PK(在图2A的步骤222中)。计算PK的KAlice可为:(i)eNB维护的任意其他密钥(如,KeNB、KRRCenc、KRRCint、KUPenc、KUPint);(ii)两个或两个以上密钥的组合;(iii)随机推导出的值;或者(iv)更加成功的认证邻近服务授权UE时,MME推导并发送至eNB的邻近服务密钥(KProSe)。随后,eNB 104向Alice和Bob发送PK(分别在图2A的步骤226和228中)。为了确保eNB-Alice和eNB-Bob之间的安全RRC通信,使用从成功的认证推导出的安全上下文(即KRRCint和KRRCenc)。此时Alice和Bob可以开始邻近服务通信,所述通信通过使用PK进行保护。
观察到通过接收PK,Alice和Bob确信对方被授权使用邻近服务,即,eNB仅在确认Alice和Bob都被授权加入邻近服务通信之后向他们发送PK。因此,对于Alice来说,PK的接收充当了Bob也被授权的证据。
同样可以观察到通过相互验证拥有PK,Alice和Bob确信,他们正在彼此进行通信。
Alice和Bob可以使用PK来使他们的邻近服务通信安全,或者使用PK推导出的密钥用于更细粒度的邻近服务安全和授权。重申,PK仅用于保护在Alice和Bob之间直接交换的流量。通过使用每个UE对应的AS安全上下文来保护eNB-Alice和eNB-Bob之间的任何通信(可选的)。所述PK密钥可以以下一个或多个说明性的方式用于保护Alice和Bob之间的邻近服务通信:
a.为全部邻近服务的流量使用单独密钥。对于该选项,Alice和Bob直接使用PK加密和/或完整性保护在他们的直接通信链路上的流动的流量。
b.使用独立的密钥衍生物进行加密和完整性保护。SeProSe为Alice和Bob提供使用PK来推导独立密钥的能力,所述独立密钥用于加密(PKenc)和完整性保护(PKint)。为此这两种不同的KDF可作如下使用:
PKenc=KDF1(PK,S),和
PKint=KDF2(PK,S),
此处S是使用预先确定的输入参数构造的字符串。事实上,每个UE均可通过重新使用已经执行过的密钥推导功能推导出PKenc与PKint,并且所述密钥推导功能还用于其他密钥的推导,例如KRRCenc,KRRCint,KUPint,以及KUPenc
c.使用邻近服务的应用特定的密钥衍生物。当UE被安装了一个以上的邻近服务应用时,运营商可能希望执行应用特定的授权以访问邻近服务。例如,Alice可能仅被允许为特定的应用访问邻近服务(即,Alice可能不会被授权为所有的应用访问邻近服务)。在这种情况下,假设对于相应的应用,具有邻近服务能力的UE能够可靠地限制应用密钥的使用,SeProSe允许使用PK推导并使用应用特定的密钥。更具体地说,eNB安全地向每个具有邻近服务能力的UE发送PK以及该UE被授权使用的应用的列表。使用下面的公式,每个UE可以使用PK推导应用特定的密钥PKA
PKA=KDF(PK,S),
这里S是使用预先确定的输入参数构造的字符串,可能地包括特定的应用的标识符。注意,备选地,eNB可按照每个邻近服务应用推导PK并将其发送给每个UE。换句话说,可将多个PK密钥(每个应用程序一个)而不是一个PK发送到每个UE。
d.混合使用PK。SeProSe同样允许推导用于为每个邻近服务的应用进行加密和完整性保护的密钥,如下:
PKAenc=KDF1(PKA,S),且
PKAint=KDF2(PKA,S).
图2B示出了根据本发明的另一个实施例的基于邻近服务的密钥推导和分发协议。特别是,图2B描述了具有邻近服务能力的UE附着到不同的eNB的情况。即,如图所示,Alice(设备102-A)与Bob(设备102-B)处于两个不同的eNB 104-1及eNB 104-2的覆盖范围内。类似于图2a中所描绘的场景,在该场景中,Alice和Bob是运营商的网络的认证用户。然而,此处Alice和Bob处于两个不同的eNB的覆盖范围内。注意,对于相同或基本相似的步骤/操作,图2B中使用与图2A中的相同的参考数字。增加了新的参考数字以表示进一步的步骤和/或步骤顺序的变化。
因此,一旦Alice和Bob接收到他们在彼此的范围内(步骤214和216)的公告,Alice确定其是否希望与Bob发起邻近服务通信。在这种情况下,Alice向eNB1(104-1)发送(步骤218)邻近服务请求,表示她希望发起与Bob的邻近服务通信。如上所述,eNB1确定(步骤220)Alice是否被认证和被授权使用邻近服务。如上所述,如果所述验证是成功的,eNB1生成PK(步骤222)。
随后,在步骤224中,eNB1(104-1)在X2接口上向eNB2(104-2)发送PK以及Alice和Bob的身份。一旦eNB2接收该消息,这就隐含保证了Alice已被eNB1所认证。进一步地,eNB2确定(步骤220)Bob是否被认证并被授权使用邻近服务。如果所述验证是成功的,eNB2执行如下:
a.在步骤230中,eNB2使用来自成功认证的有效的安全上下文向Bob安全地发送PK(该PK由eNB1导出和发送)。
b.在步骤232中,使用消息响应eNB1,所述消息对Bob也被认证并被授权使用邻近服务进行验证。
一旦在X2接口上接收到了eNB 2的响应,eNB 1确信Bob也被验证并且因此eNB 1进一步(安全地)向Alice提供PK(在步骤234中)。
此时,Alice和Bob可以使用PK开始邻近服务的安全通信。同样对于使用一个单独eNB的情况,通过接收PK,Alice和Bob确信对方被授权使用邻近服务,同时通过相互提供彼此拥有的PK,Alice和Bob确信,他们正在互相进行通信。同样在这种情况下,如上所述,Alice和Bob可将PK作为用于直接邻近服务流量加密和完整性保护的单独密钥,或者将其用作进一步推导密钥。
注意上述说明性的描述都集中在涉及两个具有邻近服务能力的UE的场景。但很明显,所描述的流程可在两个以上具有邻近服务能力的UE希望加入组通信的情况直接应用。在这样的情况下,该组的所有成员将从其附着的eNB接收相同的PK。再次,在这种情况下,PK的拥有再次向组内所有其他成员隐含地认证UE,并且也允许所有其他小组成员验证特定UE被授权参与组邻近服务通信。
此外,这里描述的安全协议和方法可能存在于当具有邻近服务能力的UE与不同的公共陆地移动网络(PLMN)域关联时的情况。特别是,假设Alice(设备102-A)和Bob(设备102-B)在两个属于两个不同PLMN域的不同的eNB的覆盖范围内。应当理解在这种情况下,只要这两个属于两个PLMN域的eNB之间有通信方式(例如,X2接口或通过MME),上述方法都可应用。
进一步意识到,当具有邻近服务能力的UE互相通信时,他们可根据他们的信道特性调整他们的传输参数。例如,如果两个这样的UE,比如Alice和Bob,彼此邻近,那么Alice就可以使用高物理层的比特率和低的传输功率来向Bob发送流量。然而,对于这样的传输参数,Alice的信号可能足够弱以致相关的eNB可能无法将其成功解码。于是,eNB可能无法跟踪Alice和Bob。此外,在这种情况下,合法拦截(LI)是一个挑战。
为了使eNB用户追踪和LI可行,本发明的实施例提供了一种信道回馈机制,在该机制下,传送的Alice和Bob的信号足够强以至于被他们所附着的eNB可对其解码。该机制在图3中的方法中示出。
更具体地说,如图3所示,Alice(设备102-A)与Bob(设备102-B)不直接而是通过网络基础设施交换信道(及其他控制)信息。换句话说,为使Bob将他所观察到的链路性质通知给Alice,他不使用邻近服务通信。相反,Bob将该信息发送(图3中的302)给他所附着的eNB(104),eNB进一步将信息转送到Alice(当Alice附着到相同的eNB(图3中的304)时直接传送,或这经由Alice的eNB在X2接口上传送)。同样地,Alice通过网络基础设施(路径304至302)将她所观察到的信道性质通知给Bob。使用网络传递这样的信息提供了以下优点:
a.允许网络运营商控制Alice和Bob之间的会话存续(例如,为了进行计费的目的)。特别是,除非Alice和Bob从他们的eNB接收信道信息和参数,否则他们不能调整他们的通信(发送和接收)参数,并且因此他们不能交换流量。由此,网络获得了控制邻近服务会话存续的方式,即,只要eNB停止向Alice和Bob发送信道参数信息,会话终止。这样的参数信息的实例可为用于传输的传输功率和物理层比特率。在这种情况下,eNB通知Alice其应使用一个特定的传输功率和特定的比特率向Bob发送包。很明显,可替代/附加发送其他的关键通信参数。
b.其使得网络运营商能够向Alice和Bob提供邻近服务通信参数,因此eNB能够监听到邻近服务通信。具体而言,当eNB通知Alice关于Bob的信道回馈信息时,eNB可以传达邻近服务通信参数使得:(a)Alice和Bob能够使用该参数成功地建立和维持邻近服务通信;并且(b)eNB也能监听到Alice和Bob之间的通信。换句话说,尽管Bob可以传达能够潜在地提供Alice-Bob链路的高性能增益的信道参数,eNB可以向Alice提供不同的参数,该参数可能不是那么的有利于高的性能(例如,Alice-Bob链路的高吞吐量),但是其允许eNB监听到Alice和Bob的流量。注意基于网络策略,eNB可决定只有Alice或只有Bob应该发送这些使得eNB可以监听到的发送的消息。在这种情况下,根据eNB希望追踪哪个设备,eNB相应地向他们中的每一个提供适当的参数。
有鉴于此,安全邻近服务机制的一个实施例包括过程,根据该过程,eNB向每个具有邻近服务功能的UE发送邻近服务通信参数(图3中的通道302和304),这样eNB能够为了监控和LI的目的监听用户的流量。这样的参数的提供可利用与那些已标准化用于UE与基站之间的通信相同的消息交换过程(例如,与UE与基站之间用于持续质量改进(CQI)的信息的传送相同的包格式)。
只要eNB可以监听到邻近服务流量,这样的流量可以被进一步转发给与网络基础设施接口的LI实体(例如,图3中的LI服务器310)。应注意下述:
a.如果运营商希望重新使用PGW的用户记录来监控邻近服务用户,监听到的邻近服务流量可能被转发直至PDN GW 108,用于进一步的离线处理及对用户会话记录进行更新。
b.监听邻近服务通信不需要eNB对UE报告的值进行任何修改。通常可能是当UE之间的直接链路(例如,Alice-Bob链路)的质量比每个UE与基站之间的链路质量差时。在这种情况下,由于通信参数足以使eNB监听到邻近服务流量,eNB默认能够监听邻近服务通信。
c.显然,当网络不需要跟踪或监听用户流量时,eNB不需要修改通信参数。
d.当Alice向她所关联的eNB传达信道信息时,假如Bob可以将Alice的传输成功解码,Bob可能会收到相同的信息。如果UE是不可信的,那么Alice就可能忽略eNB关于设置她的传输参数的建议,并且可能反而使用由Bob发送的监听反馈。为了避免在安全邻近服务下出现这样的行为,eNB可要求Alice和Bob加密控制信息后再发送给eNB,所述加密使用在UE与eNB之间最新的认证和密钥协商过程中获得的密钥材料(KRRCenc)。
e.在邻近服务通信性能不是至关重要的情况下,假设UE-eNB链路的质量劣于UE-UE链路(在这种情况下通常是如此;显然,如果UE-eNB链路具有优于UE-UE链路的质量,eNB将总是能监听到邻近服务通信),邻近服务通信可使用与UE-eNB链路完全相同的通信信道参数进行。例如,有可能有邻近服务的应用不需要在UE之间快速的通信,例如文本消息和低速率的语音应用。这样的应用可以在不需要使用高比特率的链路上运行。这样的链路如图3中的312所示。换句话说,使用次优的传输参数(但足以对邻近服务通信成功的进行监听)不会影响这些应用的性能。在这些情况下使用次优信道参数进行邻近服务没有通信代价,同时允许网络监听通信。
最后,图4示出了根据本发明实施例的通信***400的部分的一般性硬件架构,所述通信***400适于在通信***中的邻近设备(即,利用邻近服务的计算设备)之间执行安全通信。
如图所示,计算设备A 410(例如,对应于Alice或设备102-A)与计算设备B 420(例如,对应于Bob或设备102-B),以及网络单元430(例如,对应于eNB 104、eNB1 104-1、eNB2104-2、SAE GW 106、PDN GW 108或MME 202)通过通信媒介440可操作地耦合。网络媒介可以为任意网络媒介,计算设备和网络单元被配置为通过所述网络媒介进行通信。举例来说,网络媒介可以携带因特网协议(IP)包并且可涉及任意上述通信网络。但是,本发明的实施例不限于特定类型的网络媒介。
对于本领域内的普通技术人员,显而易见,所述单元可被实现为在计算机程序代码控制之下允许的被编程的计算机。所述计算机程序代码可被存储在计算机(或处理器)可读存储媒介之中(例如,存储器),并且所述代码可被计算机的处理器所执行。根据本发明实施例的公开,本领域技术人员可以很容易生成适当的计算机程序代码以实现本文描述的协议和方法。
尽管如此,图4一般性地示出了用于在通信媒介上为每个设备进行通信的示例性架构。如图所示,计算设备A410包括I/O设备412、处理器414与存储器416。计算装置B 420包括I/O设备422、处理器424与存储器426。网络单元430包括I/O设备432、处理器434与存储器436。
应该认识到,本文中使用的术语“处理器”旨在包括一个或多个处理设备,包括中央处理单元(CPU)或其它处理电路,包括但不限于一个或多个信号处理器,一个或多个集成电路,及类似物。同时,本文中使用的术语“存储器”旨在包括与处理器或CPU相关的存储器,如RAM、ROM、固定存储装置(例如,硬盘),或可移动存储设备(例如,磁盘或CDROM)。此外,本文中使用术语“I/O设备”旨在包括向处理单元输入数据的一个或多个输入设备(如键盘,鼠标),以及用于提供与处理单元相关的结果的一个或多个输出设备(例如,CRT显示器)。I/O设备也代表使所示设备之间能够通信的收发器(无线和/或有线)。
因此,用于执行本文所描述的方法的软件指令或代码可被存储在一个或多个相关的存储设备中,例如,ROM、固定或可移动存储器,并且,在准备好被使用时,加载到RAM并由CPU执行。每个这样的存储设备可被认为是计算机可读存储媒介或非临时性存储介质。如图4所示的每个装置(410、420与430)均可被单独编程以执行在图1A至3中描绘的它们各自的协议和功能的步骤。同时,应理解框图410,框图420与框图430中的每一个均可通过一个以上的离散节点或计算装置实现。
有利地,依照本文所描述的说明性实施例提供了用于在无线宽带网络的环境中确保邻近服务的发现和通信的安全的方法。SeProSe利用在每个UE与网络之间执行的认证和密钥协商过程,在希望直接进行通信的UE之间得到安全关联。该安全关联允许具有邻近服务功能的UE彼此验证。同时,SeProSe为运营商提供了认证具有邻近服务功能的UE并授权该UE访问ProSe的方法。此外,对于SeProSe运营商能够验证使用邻近服务的具有邻近服务功能的UE是否确实被授权使用,并且当UE在ProSe模式运行时,还支持合法拦截(LI)流程。此外,通过得到对单独SeProSe应用的会话密钥,所述应用可由网络运营商或所附属的实体提供,SeProSe为UE之间的安全会话提供了应用级的粒度。
尽管本文已参考附图已对本发明的说明性实施例进行了描述,但应当理解本发明不限于那些精确的实施例,并且本领域技术人员可以在不脱离本发明的范围和精神的情况下做出其他各种变化和修改。

Claims (10)

1.一种用于在通信***中提供安全通信的方法,包括:
从接入网的至少一个网络单元发送至少一个密钥至第一计算装置及至少一个第二计算装置,其中,第一计算装置和第二计算装置利用所述接入网接入通信***并在所述密钥被发送之前被所述接入网认证,并且进一步其中当发现彼此处于附近时,所述密钥可被所述第一计算装置和所述第二计算装置使用以使彼此安全的通信,同时所述第一计算装置和所述第二计算装置之间没有通过所述接入网的通信,其中通过以下方式由所述接入网来控制邻近发现:
从所述接入网向所述第一计算装置和所述第二计算装置发送公告,其指示所述第一计算装置和所述第二计算装置在彼此邻近范围内;以及
在所述接入网处从所述第一计算装置和所述第二计算装置中的一个接收对于以下的请求:安全地与所述第一计算装置和所述第二计算装置中的另一个进行通信而无需经过所述接入网的通信。
2.如权利要求1所述的方法,其中网络单元发送给第一计算装置和第二计算装置的所述密钥基于以下之一生成:(i)接入网在第一计算装置与第二计算装置之一的认证过程中建立的安全上下文;(ii)在网络单元维护的密钥;(iii)两个或更多密钥的组合;(iv)随机的推导值;及(v)根据第一计算装置与第二计算装置至少之一的认证,由移动性管理实体推导出并传送给网络单元的基于邻近服务的密钥。
3.如权利要求1所述的方法,进一步包括在发送密钥至第一计算装置和第二计算装置之前,所述网络单元在第一计算装置与第二计算装置处于彼此附近时,验证第一计算装置与第二计算装置被授权在他们的通信不通过所述接入网的情况下彼此进行通信。
4.如权利要求1所述的方法,进一步包括在发送密钥至第一计算装置和第二计算装置之前,所述网络单元确定第一计算装置和第二计算装置是否在彼此附近,这样他们可以在他们的通信没有通过所述接入网的情况下进行安全的通信。
5.如权利要求1所述的方法,进一步包括所述网络单元获取第一计算装置与第二计算装置之间不经过接入网的通信的至少一部分。
6.如权利要求5所述的方法,进一步包括在获取到的通信上执行合法拦截操作。
7.如权利要求5所述的方法,进一步包括所述网络单元发送一个或多个通信参数至第一计算装置和第二计算装置,以使得所述网络单元能够获取第一计算装置和第二计算装置之间不经过接入网的通信。
8.一种用于在通信***中提供安全通信的装置,包括:
存储器;以及
耦合到所述存储器形成接入网的网络单元的至少一部分的处理器,所述网络单元的所述处理器和所述存储器被配置以便:
发送至少一个密钥至第一计算装置和至少一个第二计算装置,其中所述第一计算装置和所述第二计算装置利用所述接入网来接入通信***并已在所述密钥被发送之前被所述接入网所认证,并且进一步其中当发现第一计算装置和第二计算装置处于彼此附近时,所述密钥可被第一计算装置与所述第二计算装置使用以在彼此之间进行安全的通信,同时第一计算装置和第二计算装置之间没有通过所述接入网的通信,其中通过以下方式由所述接入网来控制邻近发现:
从所述接入网的网络单元向所述第一计算装置和所述第二计算装置发送公告,其指示所述第一计算装置和所述第二计算装置在彼此邻近范围内;以及
在所述接入网的网络单元处从所述第一计算装置和所述第二计算装置中的一个接收对于以下的请求:安全地与所述第一计算装置和所述第二计算装置中的另一个进行通信而无需经过所述接入网的通信。
9.一种用于在通信***中提供安全通信的方法,包括:
在第一计算装置接收从接入网的至少一个网络单元发送至所述第一计算装置和至少一个第二计算装置的至少一个密钥,其中,所述第一计算装置和第二计算装置利用所述接入网来接入通信***,并在所述密钥被发送之前被所述接入网所认证;以及
当发现第一计算装置和第二计算装置处于彼此附近时,在第一计算装置利用所述密钥与所述第二计算装置进行安全通信,同时第一计算装置与第二计算装置之间没有通过所述接入网的通信,其中通过以下方式由所述接入网来控制邻近发现:
在所述第一计算装置处从所述接入网接收公告,其指示所述第一计算装置和所述第二计算装置在彼此邻近范围内;以及
从所述第一计算装置向所述接入网发送对于以下的请求:安全地与所述第二计算装置进行通信而无需经过所述接入网的通信。
10.一种用于在通信***中提供安全通信的装置,包括:
存储器;以及
耦合到所述存储器形成第一计算装置的处理器,所述第一计算装置的所述处理器与所述存储器配置为:
接收从接入网的至少一个网络单元发送至所述第一计算装置和至少一个第二计算装置的至少一个密钥,其中所述第一计算装置和第二计算装置利用所述接入网来接入通信***,并在所述密钥被发送之前被所述接入网认证;并且
当发现第一计算装置和第二计算装置处于彼此的附近时,利用所述密钥与所述第二计算装置安全地通信,同时第一计算装置与第二计算装置之间没有通过所述接入网的通信,其中通过以下方式由所述接入网来控制邻近发现:
在所述第一计算装置处从所述接入网接收公告,其指示所述第一计算装置和所述第二计算装置在彼此邻近范围内;以及
从所述第一计算装置向所述接入网发送对于以下的请求:安全地与所述第二计算装置进行通信而无需经过所述接入网的通信。
CN201380022751.7A 2012-04-30 2013-04-18 用于利用邻近服务的计算设备的安全通信 Active CN104285422B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/460,035 2012-04-30
US13/460,035 US9240881B2 (en) 2012-04-30 2012-04-30 Secure communications for computing devices utilizing proximity services
PCT/US2013/037108 WO2013165695A1 (en) 2012-04-30 2013-04-18 Secure communications for computing devices utilizing proximity services

Publications (2)

Publication Number Publication Date
CN104285422A CN104285422A (zh) 2015-01-14
CN104285422B true CN104285422B (zh) 2017-04-05

Family

ID=48407779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380022751.7A Active CN104285422B (zh) 2012-04-30 2013-04-18 用于利用邻近服务的计算设备的安全通信

Country Status (9)

Country Link
US (1) US9240881B2 (zh)
EP (1) EP2845362B1 (zh)
JP (1) JP5996784B2 (zh)
KR (1) KR101603033B1 (zh)
CN (1) CN104285422B (zh)
ES (1) ES2734989T3 (zh)
PL (1) PL2845362T3 (zh)
TR (1) TR201911098T4 (zh)
WO (1) WO2013165695A1 (zh)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089452A1 (ko) * 2011-12-13 2013-06-20 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
KR101549029B1 (ko) * 2011-12-20 2015-09-11 엘지전자 주식회사 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치
US9240881B2 (en) 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services
WO2013189078A1 (en) * 2012-06-21 2013-12-27 Nokia Siemens Networks Oy Network assisted proximity service session management
WO2014020125A1 (en) * 2012-08-02 2014-02-06 Deutsche Telekom Ag Method for enabling lawful interception in a telecommunications network, user equipment for enabling lawful interception in a telecommunications network, base transceiver station for enabling lawful interception in a telecommunications network, program and computer program product
US10341859B2 (en) * 2012-10-19 2019-07-02 Nokia Technologies Oy Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment
US20140134974A1 (en) * 2012-11-12 2014-05-15 Innovative Sonic Corporation Method and apparatus for reporting charging information of direct device to device communication in a wireless communication system
WO2014107208A1 (en) 2013-01-03 2014-07-10 Intel Corporation Apparatus, system and method of lawful interception (li) in a cellular network
EP2946490A4 (en) * 2013-01-17 2016-12-28 Intel Ip Corp LEGAL BEGINNING FOR DEVICE-TO-DEVICE (D2D) COMMUNICATIONS
JPWO2014163054A1 (ja) * 2013-04-02 2017-02-16 シャープ株式会社 端末装置、基地局装置および制御装置
CN105103578A (zh) * 2013-04-05 2015-11-25 交互数字专利控股公司 安全端对端和组通信
CN105340307A (zh) * 2013-06-28 2016-02-17 日本电气株式会社 用于prose组通信的安全
JP2016526805A (ja) * 2013-06-28 2016-09-05 日本電気株式会社 セキュアシステム、及び、セキュア通信を行う方法
US20160149928A1 (en) * 2013-06-28 2016-05-26 Nec Corporation Secure group creation in proximity based service communication
MX354148B (es) * 2013-07-03 2018-02-15 Interdigital Patent Holdings Inc Mejoramientos epc para servicios de proximidad.
WO2015015714A1 (en) * 2013-07-31 2015-02-05 Nec Corporation Devices and method for mtc group key management
US9674645B2 (en) 2013-08-04 2017-06-06 Lg Electronics Inc. Method and apparatus for unifying proximity services groups in wireless communication system
KR102209289B1 (ko) * 2013-10-11 2021-01-29 삼성전자 주식회사 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
US9386004B2 (en) * 2013-10-23 2016-07-05 Qualcomm Incorporated Peer based authentication
EP3063917B1 (en) * 2013-10-28 2018-09-26 Nec Corporation Security management according to location change in proximity based services
WO2015063991A1 (en) * 2013-10-30 2015-05-07 Nec Corporation Apparatus, system and method for secure direct communcation in proximity based services
CN113079499B (zh) 2013-11-01 2024-03-26 三星电子株式会社 源基站的方法及其源基站和目标基站的方法及其目标基站
EP3054622B1 (en) * 2013-11-04 2019-08-28 Huawei Technologies Co., Ltd. Method and device for key negotiation processing
KR102232121B1 (ko) 2013-11-14 2021-03-25 삼성전자주식회사 장치 대 장치 통신 시스템에서 보안키를 관리하는 방법 및 장치
US9276910B2 (en) * 2013-11-19 2016-03-01 Wayne Fueling Systems Llc Systems and methods for convenient and secure mobile transactions
KR102088848B1 (ko) * 2014-01-13 2020-03-13 삼성전자 주식회사 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템
US20150200972A1 (en) * 2014-01-16 2015-07-16 Qualcomm Incorporated Methods and systems for facilitating decoding of application defined or proprietary protocols in lawful intercepts
JP2015154243A (ja) * 2014-02-14 2015-08-24 ソニー株式会社 装置、プログラム及び方法
CN104918247A (zh) * 2014-03-13 2015-09-16 中兴通讯股份有限公司 一种业务发现及鉴权的方法、设备、终端和***
BR112016021675A2 (pt) * 2014-03-21 2018-12-04 Ericsson Telefon Ab L M método, dispositivo sem fio, nó de rede e programa de computador para autenticação em descoberta de dispositivo a dispositivo, e, produto de programa de computador.
GB2524497A (en) * 2014-03-24 2015-09-30 Vodafone Ip Licensing Ltd User equipment proximity requests
EP3162097B1 (en) * 2014-06-28 2019-02-27 Telefonaktiebolaget LM Ericsson (publ) Obtaining authorization to use proximity services in a mobile communication system
US9350662B2 (en) * 2014-07-18 2016-05-24 Qualcomm Incorporated Server mediated peer-to-peer communication offloading from network infrastructure
CN111835767B (zh) 2014-10-30 2022-08-02 三星电子株式会社 在用户装备之间执行设备到设备通信的方法
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
US10728758B2 (en) * 2015-01-16 2020-07-28 Samsung Electronics Co., Ltd. Method of secured transmission and reception of discovery message in a D2D communication system
CN107439028A (zh) * 2015-04-13 2017-12-05 瑞典爱立信有限公司 代码加密
WO2016165792A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for end device discovering another end device
US10136246B2 (en) * 2015-07-21 2018-11-20 Vitanet Japan, Inc. Selective pairing of wireless devices using shared keys
CN106453203A (zh) * 2015-08-07 2017-02-22 索尼公司 无线通信***中的装置和方法以及无线通信***
CN106454806B (zh) * 2015-08-11 2019-07-19 电信科学技术研究院 一种进行数据传输的方法和设备
US10820162B2 (en) 2015-12-08 2020-10-27 At&T Intellectual Property I, L.P. Method and system for mobile user-initiated LTE broadcast
WO2017190306A1 (en) * 2016-05-05 2017-11-09 Nokia Technologies Oy Universal key agreement in device-to-device (d2d) communications
WO2018072152A1 (zh) * 2016-10-19 2018-04-26 中兴通讯股份有限公司 一种安全通信的方法、装置和***
EP3550780B1 (en) * 2016-12-30 2021-04-14 Huawei Technologies Co., Ltd. Verification method and apparatus for key requester
CN106937269A (zh) * 2017-02-22 2017-07-07 重庆邮电大学 D2D通信中基于散列函数和RLE编码的BitMap发现移动应用方法
US11082412B2 (en) 2017-07-12 2021-08-03 Wickr Inc. Sending secure communications using a local ephemeral key pool
US11316666B2 (en) * 2017-07-12 2022-04-26 Amazon Technologies, Inc. Generating ephemeral key pools for sending and receiving secure communications
CN111182542B (zh) * 2018-11-09 2022-09-30 中国电信股份有限公司 临近业务的建立方法、***、基站和可读存储介质
US11329812B2 (en) * 2019-02-07 2022-05-10 Red Hat, Inc. Constrained key derivation in miscellaneous dimensions
US11387997B2 (en) 2019-02-07 2022-07-12 Red Hat, Inc. Constrained key derivation in geographical space
US11438150B2 (en) 2019-02-07 2022-09-06 Red Hat, Inc. Constrained key derivation in linear space
US11784809B2 (en) * 2019-02-07 2023-10-10 Red Hat, Inc. Constrained key derivation in temporal space
CN111565373B (zh) * 2019-02-13 2023-07-04 苹果公司 网络辅助的新无线电v2x侧链路资源分配的无线电资源管理
DE102020201788A1 (de) 2019-02-13 2020-08-13 Apple Inc. Funkressourcenverwaltung für netzwerkunterstützte new-radio-v2x-sidelink-ressourcenzuweisung
US20230418925A1 (en) * 2022-06-24 2023-12-28 Micron Technology, Inc. Deep learning access and authentication in a computing architecture

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1244087A (zh) * 1998-04-30 2000-02-09 电话通有限公司 在不同无线网络上提供网络访问的方法和设备
CN1619993A (zh) * 2003-11-21 2005-05-25 北京三星通信技术研究有限公司 基于网络控制的终端间直接通信的方法
CN102045660A (zh) * 2009-10-22 2011-05-04 华为技术有限公司 信息交互方法、***、基站和网络实体

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2763769B1 (fr) * 1997-05-21 1999-07-23 Alsthom Cge Alcatel Procede destine a permettre une communication cryptee directe entre deux terminaux de reseau radiomobile et agencements de station et de terminal correspondants
US20030093663A1 (en) * 2001-11-09 2003-05-15 Walker Jesse R. Technique to bootstrap cryptographic keys between devices
EP1473899A1 (en) * 2003-04-28 2004-11-03 Telefonaktiebolaget LM Ericsson (publ) Security in a communications network
JP4525392B2 (ja) * 2005-03-08 2010-08-18 ソニー株式会社 通信方法,移動通信装置,サーバ装置,およびコンピュータプログラム
US8601269B2 (en) * 2005-07-15 2013-12-03 Texas Instruments Incorporated Methods and systems for close proximity wireless communications
GB0517592D0 (en) * 2005-08-25 2005-10-05 Vodafone Plc Data transmission
JP4989117B2 (ja) * 2006-06-12 2012-08-01 キヤノン株式会社 通信装置およびその方法
EP2056617A1 (en) * 2006-08-24 2009-05-06 Panasonic Corporation Communication system, communication method, radio terminal, radio relay device, and control device
GB2452251B (en) * 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
JP4772025B2 (ja) * 2007-11-14 2011-09-14 株式会社日立製作所 P2p通信検出装置、及びその方法とプログラム
JP2010183268A (ja) * 2009-02-04 2010-08-19 Nec Corp メッセージ通信システム、メッセージ通信方法、端末及びプログラム
US8260883B2 (en) * 2009-04-01 2012-09-04 Wimm Labs, Inc. File sharing between devices
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
US8625787B2 (en) * 2010-01-14 2014-01-07 Alcatel Lucent Hierarchical key management for secure communications in multimedia communication system
US9503833B2 (en) * 2011-03-23 2016-11-22 Qualcomm Incorporated System and method for network provisioning of mobile entities for peer-to-peer service
US20140122607A1 (en) * 2011-06-17 2014-05-01 Telefonaktiebolaget L M Ericsson (Publ) Method and Radio Base Station in a Cellular Communications Network for Device-to-Device Communications
CN108990038B (zh) * 2012-04-11 2021-12-03 苹果公司 运营商辅助的设备到设备(d2d)发现
JP5997486B2 (ja) * 2012-04-18 2016-09-28 株式会社Nttドコモ 無線通信システム、通信制御装置及び通信制御方法
US9240881B2 (en) 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1244087A (zh) * 1998-04-30 2000-02-09 电话通有限公司 在不同无线网络上提供网络访问的方法和设备
CN1619993A (zh) * 2003-11-21 2005-05-25 北京三星通信技术研究有限公司 基于网络控制的终端间直接通信的方法
CN102045660A (zh) * 2009-10-22 2011-05-04 华为技术有限公司 信息交互方法、***、基站和网络实体

Also Published As

Publication number Publication date
KR101603033B1 (ko) 2016-03-11
TR201911098T4 (tr) 2019-08-21
US20130290696A1 (en) 2013-10-31
ES2734989T3 (es) 2019-12-13
CN104285422A (zh) 2015-01-14
EP2845362B1 (en) 2019-06-05
EP2845362A1 (en) 2015-03-11
WO2013165695A1 (en) 2013-11-07
JP2015525012A (ja) 2015-08-27
US9240881B2 (en) 2016-01-19
KR20140139107A (ko) 2014-12-04
PL2845362T3 (pl) 2019-09-30
JP5996784B2 (ja) 2016-09-21

Similar Documents

Publication Publication Date Title
CN104285422B (zh) 用于利用邻近服务的计算设备的安全通信
US11856402B2 (en) Identity-based message integrity protection and verification for wireless communication
US10455414B2 (en) User-plane security for next generation cellular networks
KR101287309B1 (ko) 홈 노드-b 장치 및 보안 프로토콜
US20200228977A1 (en) Parameter Protection Method And Device, And System
WO2020248624A1 (zh) 一种通信方法、网络设备、用户设备和接入网设备
CN111885602B (zh) 一种面向异构网络的批量切换认证及密钥协商方法
KR20160078426A (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
EP2854329B1 (en) Method, system, and device for securely establishing wireless local area network
Vintilă et al. Security analysis of LTE access network
JP7470671B2 (ja) コアネットワークへの非3gpp装置アクセス
CN115767517A (zh) 一种通信方法、装置及***
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
Fu et al. Fast and secure handover authentication scheme based on ticket for WiMAX and WiFi heterogeneous networks
Fujdiak et al. Security in low-power wide-area networks: State-of-the-art and development toward the 5G
Fang et al. Security requirement and standards for 4G and 5G wireless systems
US11652646B2 (en) System and a method for securing and distributing keys in a 3GPP system
Fei et al. The vulnerability and enhancement of AKA protocol for mobile authentication in LTE/5G networks
Ntantogian et al. A generic mechanism for efficient authentication in B3G networks
CN105592433A (zh) 设备到设备限制发现业务广播、监听方法、装置及***
Singh et al. Security analysis of lte/sae networks with the possibilities of tampering e-utran on ns3
Niranjani et al. Distributed security architecture for authentication in 4G networks
Southern et al. Wireless security: securing mobile UMTS communications from interoperation of GSM
CN116918300A (zh) 用于操作蜂窝网络的方法
CN116830533A (zh) 用于分发多播加密密钥的方法和设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant