CN105340353A - 设备到设备通信安全 - Google Patents
设备到设备通信安全 Download PDFInfo
- Publication number
- CN105340353A CN105340353A CN201380077762.5A CN201380077762A CN105340353A CN 105340353 A CN105340353 A CN 105340353A CN 201380077762 A CN201380077762 A CN 201380077762A CN 105340353 A CN105340353 A CN 105340353A
- Authority
- CN
- China
- Prior art keywords
- equipment
- certificate
- identifier
- network node
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/64—Self-signed certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种设备包括:请求器,被配置为从至少一个网络节点请求证书,该证书包括与该设备相关联的至少一个标识符;第一接收器,被配置为从至少一个网络节点接收该证书;以及转发器,被配置为向另外的设备转发该证书;第二接收器,被配置为从另外的设备接收另外的证书,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及认证器,被配置为基于另外的证书来认证另外的设备。
Description
技术领域
本公开内容涉及设备到设备通信安全。本公开内容进一步涉及但不限于蜂窝通信***中的设备到设备通信安全。
背景技术
通信***可以被看作能够实现两个或更多节点或设备之间的通信的设施,这些节点或设备诸如固定或移动通信设备、诸如基站、中继、服务器之类的接入点(AP)等等。通信设备和可兼容的通信实体通常根据给定的标准或规范来进行操作,该标准或规范阐述与该***相关联的各种实体允许做什么以及应该如何做到。例如,标准、规范和有关的协议可以定义各种设备应当如何与彼此进行通信的方式、通信的各个方面应当如何被实现的方式以及设备应当如何被配置的方式。
可以在有线或无线载体上携带信号。无线通信***的示例包括由第三代合作伙伴计划(3GPP)规范化的架构。这个领域最近的发展常被称为通用移动通信***(UMTS)无线电接入技术的长期演进(LTE)。通信***的进一步发展也是可预期的。
通信设备可以被提供有合适的信号接收和传输布置,用于实现与其他设备的通信。通常,通信设备用于实现诸如语音和数据之类的通信的接收和传输。用户可以借助合适的无线通信设备或终端来无线地访问接入通信***,该无线通信设备或终端常被称为用户设备(UE)。其他类型的无线通信设备也是已知的,例如能够与其他设备进行无线地通信的各种接入点、中继等等。
新的服务和通信架构正在兴起。例如,已经提出了基于邻近度的应用和服务。在诸如LTE之类的***中对邻近度服务(ProSe)能力的引进可以用于实现基于邻近度的应用的使用。邻近度服务的一个方面是支持设备到设备通信(D2D)的设备。
蜂窝网络中的设备到设备通信可以用于从核心网向高速本地连接卸载通信,而且还用于在朋友之间或者甚至作为3GPPTR22.803中所讨论的个域(personal-area)网络、针对例如紧急服务而形成本地的隔离通信群组。这些网络中的许多网络至少携带私人数据,在一些情况中还携带机密信息。因此,恰当保护以防例如窃听是一种期望的特征。
可信计算组织(TrustedComputingGroup)是一个标准化用于可信赖计算的安全元件的论坛。这些标准之一定义了TPM——可信平台模块(trustedplatformmodule)——这是一种计算设备中的硬件组件,该硬件组件将被放置在该设备的可信计算基(trustedcomputingbase)中,并且因此为OS和应用提供标准化的安全服务。
注意到,以上讨论的问题不限于任何特定的通信环境和站点设备,而是可能出现在任何适当的***中。
发明内容
本发明的实施例旨在于解决上述问题中的一个或多个问题。
根据一个实施例,提供了一种方法,包括:从至少一个网络节点请求证书,证书包括与第一设备相关联的至少一个标识符;在第一设备处从至少一个网络节点接收证书;以及向另外的设备转发证书;从另外的设备接收另外的证书,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及基于另外的证书来认证另外的设备。
该方法可以进一步包括:在第一设备处发现另外的设备;以及在第一设备与另外的设备之间建立安全关联。
在第一设备与另外的设备之间建立安全关联可以包括在第一设备与另外的设备之间建立密码管线。
向另外的设备转发证书可以包括:利用密码管线密钥来加密证书;以及将经加密的证书传输至另外的设备。
从另外的设备接收另外的证书可以包括:从另外的设备接收经加密的证书;以及通过基于来自密码管线的密钥对经加密的证书进行解密,来从经加密的证书生成另外的证书。
基于另外的证书来认证另外的设备可以包括:确定与另外的设备相关联的至少一个另外的标识符是否匹配在第一设备内存储的值。
包括与第一设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于第一设备的Diffie-Hellman群组元素(groupelement)导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;第一设备关联到的接入点的位置;与第一设备相关联的电话号码;与第一设备相关联的国际移动订户标识;以及与第一设备相关联的临时移动订户标识。
包括与另外的设备相关联的至少一个另外的标识符的另外的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于另外的设备的diffie-Hellman群组元素导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;另外的设备关联到的接入点的位置;与另外的设备相关联的电话号码;与另外的设备相关联的国际移动订户标识;以及与另外的设备相关联的临时移动订户标识。
该方法可以进一步包括:从另外的设备向至少一个另外的网络节点请求包括与另外的设备相关联的至少一个标识符的另外的证书;在另外的设备处从至少一个另外的网络节点接收另外的证书;以及从另外的设备向第一设备转发另外的证书;在另外的设备处从第一设备接收证书;在另外的设备处,基于证书来认证该设备。
根据第二方面,提供了一种方法,包括:从设备接收针对证书的请求,证书包括与该设备相关联的至少一个标识符;生成包括与该设备相关联的至少一个标识符的证书;以及传输包括与该设备相关联的至少一个标识符的证书,其中证书被配置为在设备之间被交换,以便在另外的设备处认证该设备。
生成包括与该设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:确定与该设备相关联的非对称公共密钥;确定源自于该设备的Diffie-Hellman群组元素;确定该设备关联到的接入点的位置;确定与该设备相关联的电话号码;确定与该设备相关联的国际移动订户标识;以及确定与该设备相关联的临时移动订户标识。
从设备接收针对包括与该设备相关联的至少一个标识符的证书的请求可以包括:接收在该设备与另外的设备之间所建立的安全关联,并且其中生成包括与该设备相关联的至少一个标识符的证书包括:基于在该设备与另外的设备之间所建立的安全关联来生成标识符。
根据第三方面,提供了一种设备,包括:用于从至少一个网络节点请求证书的装置,证书包括与该设备相关联的至少一个标识符;用于从至少一个网络节点接收证书的装置;以及用于向另外的设备转发证书的装置;用于从另外的设备接收另外的证书的装置,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及用于基于另外的证书来认证另外的设备的装置。
该设备可以进一步包括:用于发现另外的设备的装置;以及用于在该设备与另外的设备之间建立安全关联的装置。
用于在第一设备与另外的设备之间建立安全关联的装置可以包括用于在第一设备与另外的设备之间建立密码管线的装置。
用于向另外的设备转发证书的装置可以包括:用于利用密码管线密钥来加密证书的装置;以及用于将经加密的证书传输至另外的设备的装置。
用于从另外的设备接收另外的证书的装置可以包括:用于从另外的设备接收经加密的证书的装置;以及用于通过基于来自密码管线的密钥对经加密的证书进行解密、来从经加密的证书生成另外的证书的装置。
用于基于另外的证书来认证另外的设备的装置可以包括:确定与另外的设备相关联的至少一个另外的标识符是否匹配在第一设备内存储的值。
包括与第一设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于第一设备的Diffie-Hellman群组元素导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;第一设备关联到的接入点的位置;与第一设备相关联的电话号码;与第一设备相关联的国际移动订户标识;以及与第一设备相关联的临时移动订户标识。
包括与另外的设备相关联的至少一个另外的标识符的另外的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于另外的设备的Diffie-Hellman群组元素导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;另外的设备关联到的接入点的位置;与另外的设备相关联的电话号码;与另外的设备相关联的国际移动订户标识;以及与另外的设备相关联的临时移动订户标识。
一种***可以包括如本文中所讨论的设备以及另外的设备,其中另外的设备包括:用于从至少一个另外的网络节点请求另外的证书的装置,另外的证书包括与另外的设备相关联的至少一个标识符;用于从至少一个另外的网络节点接收另外的证书的装置;用于向该设备转发另外的证书的装置;用于从该设备接收证书的装置;以及用于基于证书来认证该设备的装置。
根据第四方面,提供了一种设备,包括:用于从另外的设备接收针对证书的请求的装置,证书包括与另外的设备相关联的至少一个标识符;用于生成包括与另外的设备相关联的至少一个标识符的证书的装置;用于传输包括与另外的设备相关联的至少一个标识符的证书的装置,其中证书被配置为在另外的设备之间被交换,以便在第二另外的设备处认证另外的设备。
用于生成包括与另外的设备相关联的至少一个标识符的证书的装置可以包括以下各项中的至少一项:用于确定与另外的设备相关联的非对称公共密钥的装置;用于确定源自于另外的设备的Diffie-Hellman群组元素的装置;用于确定另外的设备关联到的接入点的位置;确定与另外的设备相关联的电话号码的装置;用于确定与另外的设备相关联的国际移动订户标识的装置;以及用于确定与另外的设备相关联的临时移动订户标识的装置。
用于从设备接收针对包括与该设备相关联的至少一个标识符的证书的请求的装置可以包括:用于接收在该设备与另外的设备之间所建立的安全关联的装置,并且其中用于生成包括与该设备相关联的至少一个标识符的证书的装置可以包括:用于基于在该设备与另外的设备之间所建立的安全关联来生成标识符的装置。
根据第五方面,提供了一种设备,包括至少一个处理器和至少一个存储器,至少一个存储器包括用于一个或多个程序的计算机程序代码,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该设备至少:从至少一个网络节点请求证书,证书包括与该设备相关联的至少一个标识符;从至少一个网络节点接收证书;以及向另外的设备转发证书;从另外的设备接收另外的证书,另外的证书包括与另外的设备相关联的至少一个另外的标识符;基于另外的证书来认证另外的设备。
可以进一步使得该设备:发现另外的设备;以及在该设备与另外的设备之间建立安全关联。
在该设备与另外的设备之间建立安全关联可以使得该设备在该设备与另外的设备之间建立密码管线。
向另外的设备转发证书可以使得该设备:利用密码管线密钥来加密证书;以及将经加密的证书传输至另外的设备。
从另外的设备接收另外的证书可以使得该设备:从另外的设备接收经加密的证书;以及通过基于来自密码管线的密钥对经加密的证书进行解密,来从经加密的证书生成另外的证书。
基于另外的证书来认证另外的设备可以使得该设备:确定与另外的设备相关联的至少一个另外的标识符是否匹配在该设备内存储的值。
包括与第一设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于该设备的Diffie-Hellman群组元素导出的公共标识符;基于在该设备与另外的设备之间所建立的安全关联的标识符;该设备关联到的接入点的位置;与该设备相关联的电话号码;与该设备相关联的国际移动订户标识;以及与该设备相关联的临时移动订户标识。
包括与另外的设备相关联的至少一个另外的标识符的另外的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于另外的设备的Diffie-Hellman群组元素导出的公共标识符;基于在该设备与另外的设备之间所建立的安全关联的标识符;另外的设备关联到的接入点的位置;与另外的设备相关联的电话号码;与另外的设备相关联的国际移动订户标识;以及与另外的设备相关联的临时移动订户标识。
一种***可以包括本文中所讨论的设备、以及另外的设备,其中另外的设备可以包括至少一个处理器和至少一个存储器,至少一个存储器包括用于一个或多个程序的计算机程序代码,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起可以使得另外的设备至少:从至少一个另外的网络节点请求另外的证书,另外的证书包括与另外的设备相关联的至少一个标识符;从至少一个另外的网络节点接收另外的证书;向该设备转发另外的证书;从该设备接收证书;以及基于证书来认证该设备。
根据第六方面,提供了一种设备,包括至少一个处理器和至少一个存储器,至少一个存储器包括用于一个或多个程序的计算机程序代码,至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使得该设备至少:从另外的设备接收针对证书的请求,证书包括与另外的设备相关联的至少一个标识符;生成包括与另外的设备相关联的至少一个标识符的证书;以及传输包括与另外的设备相关联的至少一个标识符的证书,其中证书被配置为在另外的设备之间被交换,以便在第二另外的设备处认证另外的设备。
生成包括与该设备相关联的至少一个标识符的证书可以使得该设备执行以下各项中的至少一项:确定与另外的设备相关联的非对称公共密钥;确定源自于另外的设备的diffie-Hellman群组元素;确定另外的设备关联到的接入点的位置;确定与另外的设备相关联的电话号码;确定与另外的设备相关联的国际移动订户标识;以及确定与另外的设备相关联的临时移动订户标识。
从设备接收针对包括与该设备相关联的至少一个标识符的证书的请求可以使得该装置:接收在该设备与另外的设备之间所建立的安全关联,并且其中生成包括与该设备相关联的至少一个标识符的证书可以使得该装置:基于在该设备与另外的设备之间所建立的安全关联来生成标识符。
根据第七方面,提供了一种设备,包括:请求器,被配置为从至少一个网络节点请求证书,证书包括与该设备相关联的至少一个标识符;第一接收器,被配置为从至少一个网络节点接收证书;以及转发器,被配置为向另外的设备转发证书;第二接收器,被配置为从另外的设备接收另外的证书,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及认证器,被配置为基于另外的证书来认证另外的设备。
该设备可以进一步包括:发现器,被配置为发现另外的设备;以及关联器,被配置为在该设备与另外的设备之间建立安全关联。
该关联器可以被配置为在该设备与另外的设备之间建立密码管线。
转发器可以包括:加密器,被配置为利用密码管线密钥来加密证书;以及发射器,被配置为将经加密的证书传输至另外的设备。
第二接收器可以包括:证书接收器,被配置为从另外的设备接收经加密的证书;以及解密器,被配置为通过基于来自密码管线的密钥对经加密的证书进行解密,来从经加密的证书生成另外的证书。
认证器可以被配置为确定与另外的设备相关联的至少一个另外的标识符是否匹配在该设备内存储的已知值。
包括与第一设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于该设备的Diffie-Hellman群组元素导出的公共标识符;基于在该设备与另外的设备之间所建立的安全关联的标识符;该设备关联到的接入点的位置;与该设备相关联的电话号码;与该设备相关联的国际移动订户标识;以及与该设备相关联的临时移动订户标识。
包括与另外的设备相关联的至少一个另外的标识符的另外的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于另外的设备的diffie-Hellman群组元素导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;另外的设备关联到的接入点的位置;与另外的设备相关联的电话号码;与另外的设备相关联的国际移动订户标识;以及与另外的设备相关联的临时移动订户标识。
一种***可以包括本文中所讨论的设备以及另外的设备,其中另外的设备可以包括:另外的设备请求器,被配置为从至少一个另外的网络节点请求另外的证书,另外的证书包括与另外的设备相关联的至少一个标识符;另外的设备接收器,被配置为从至少一个另外的网络节点接收另外的证书;另外的设备转发器,被配置为向该设备转发另外的证书;另外的设备第二接收器,被配置为从该设备接收证书;以及另外的设备认证器,被配置为基于该证书来认证该设备。
根据第八方面,提供了一种设备,包括:接收器,被配置为从另外的设备接收针对证书的请求,证书包括与另外的设备相关联的至少一个标识符;证书生成器,被配置为生成包括与另外的设备相关联的至少一个标识符的证书;以及发射器,被配置为传输包括与另外的设备相关联的至少一个标识符的证书,其中证书被配置为在另外的设备之间被交换,以便在第二另外的设备处认证另外的设备。
证书生成器可以被配置为确定以下各项中的至少一项:与另外的设备相关联的非对称公共密钥;源自于另外的设备的Diffie-Hellman群组元素;另外的设备关联到的接入点的位置;与另外的设备相关联的电话号码;与另外的设备相关联的国际移动订户标识;以及与另外的设备相关联的临时移动订户标识。
接收器可以被配置为接收在该设备与另外的设备之间所建立的安全关联,并且证书生成器可以被配置为基于在该设备与另外的设备之间所建立的安全关联来生成标识符。
一种计算机程序可以包括代码装置,在该程序运行在处理器上时,该代码装置被适配为执行根据权利要求1至11中任一项的步骤。
应当认识到,任何方面的任何特征可以与任何其他方面的任何其他特征进行组合。
附图说明
现在将仅以示例的方式参照以下示例和附图来进一步详细描述实施例,其中:
图1示出了可以在其中实现某些实施例的D2D***的示意图;
图2a示出了被配置为实现某些实施例的示例用户设备;
图2b示出了被配置为实现某些实施例的示例网络基站或控制器;
图3示出了可以在其中实现某些实施例的另外的D2D***的示意图;以及
图4示出了根据一些实施例的示出在另外的***内的操作的流程图。
具体实施方式
在以下参照服务移动通信设备的无线或移动通信***来解释某些示例性实施例。在详细解释这些示例性实施例之前,参照图1和2a和2b来简要解释无线通信***、它的接入***以及通信设备的某些一般原理,以辅助理解所描述的示例之下的技术。
图1示出了示例蜂窝/D2D(设备到设备)网络、诸如能够操作本文中所描述的实施例的网络。图1示出了一个网络,包括属于第一运营商的第一基站(BS)101,和被配置为使用标准3G安全关联(其可以由Kc标识)171a来与第一基站101进行通信的第一用户设备(UE)或D2D设备161。此外,该网络包括可能属于第二运营商的第二基站103。第二基站103被配置为经由标准3G安全关联171来与两个另外的用户设备或者(D2D设备)进行通信,两个另外的用户设备在图1中被示出为第二用户设备(D2D设备)151和第三用户设备(D2D设备)153。第二用户设备151被配置为经由第二3G(或者适当的蜂窝)安全关联171b来与第二基站103通信,并且第三用户设备153被配置为经由第三3G(或者适当的蜂窝)安全关联171c来与第二基站103通信。
此外,***作为D2D设备的用户设备被配置为彼此通信,并且因此,第一、第二和第三用户设备161、151和153能够被配置为与其他D2D进行通信。
将理解的是,***作为D2D设备的用户设备之间的通信需要生成特定的D2D安全环境。例如,在第一用户设备(D2D设备)161与第二用户设备(D2D设备)151之间形成的第一D2D安全关联173a、在第一用户设备(D2D设备)161与第三用户设备(D2D设备)153之间形成的第二D2D安全关联173b、以及在第二用户设备(D2D设备)151与第三用户设备(D2D设备)153之间导出的第三D2D安全关联173c。如本文中所描述的,这些全关联用于实现D2D设备之间的认证,并且在一些实施例中,用于加密在这些设备之间通信的私人数据。
换而言之,已知如何提供密码密钥交换(例如,使用Diffie-Hellman方法)并且由此设置或者建立D2D设备之间的安全关联、并且由此建立密码管线;然而,这些方法不能够建立关于谁在另一端的认证。
由实施例在本文中所描述的概念是一种使用来自不同运营商的蜂窝设备、诸如用户设备来建立针对D2D通信的安全环境的概念,这另外实现了设备之间的认证。在这样的实施例中,运营商可以被配置为经由网络实体或基站来提供按需的基于互联网协议(IP)的服务,在这种服务中,用户设备(或者客户)可以请求实时的运营商引证(quotation)(或证书(certificate))。该引证(或证书)在一些实施例中可以包括如下:
·源自于用户设备或者蜂窝设备的非对称(ECC/RSA)公共密钥和/或DH(Diffie-Hellman)群组元素。
·蜂窝设备附接到的接入点的位置(例如,由GPS坐标提供)。
·蜂窝网络已知的蜂窝设备的电话号码或者其他标识(IMSI/TMSI)。
在一些实施例中,这个信息可以由已知的运营商签名密钥来信令发送。已知的运营商签名可以例如是跨网络共享的签名、或者是由驻留于运营商(公共密钥基础设施)PKI结构中的密钥形成的签名。
蜂窝通信***的非限制性示例是由第三代合作伙伴计划(3GPP)标准化的通用移动通信***(UMTS)的长期演进(LTE)。然而,将理解的是,无线电接入***的其他示例包括由基于以下技术的***的基站所提供的那些***,这些技术诸如无线局域网(WLAN)和/或WiMax(全球微波接入互操作性)。
图2a示出了用户设备(或者D2D设备)(UE)6的示例的示意图,该用户设备可以用于经由无线接口与图1(或图3)的基站进行通信。UE6可以是能够至少向图1(或图3)的基站发送无线电信号或从该基站接收无线电信号、并且另外可以能够在设备到设备(D2D)通信中的向另一个UE发送信号和从另一个UE接收信号的任何设备。
UE151、153、161、203、205、213可以例如是被设计用于涉及人机交互的任务的设备,这些任务诸如在用户之间打电话和接电话,以及向用户流式传输多媒体或者提供其他电子内容。非限制性示例包括智能电话和被提供有无线接口设施的膝上型电脑/笔记本电脑/平板电脑/电子阅读器设备。UE151、153、161、203、205、213可以经由无线电收发器电路、单元或模块296以及相关联的天线布置294进行通信,该天线布置294包括至少一个天线或天线单元。天线布置294可以内部地或外部地被布置到UE151、153、161、203、205、213。
UE151、153、161、203、205和213可以被提供有:包括一个或多个基带处理器293的基带单元;以及至少一个存储器或数据存储实体297。基带处理器293和一个或多个存储器实体297可以被提供在合适的电路板上和/或芯片组中。存储器或数据存储实体297通常可以在内部,但是也可以在外部,或者可以是两种的组合,诸如在从服务提供商获得的另外的存储容量的情况。
在设备被设计用于人机交互的情况中,用户可以借助适当的用户接口来控制UE151、153、161、203、205、213的操作,该用户接口诸如键盘291、语音命令、触敏屏或触敏板、上述的组合等等。还可以提供显示器295、扬声器和麦克风。此外,UE151、153、161、203、205、213可以包括与其他设备的合适连接器(有线的或无线的)和/或用于将外部的附件、例如免提设备连接到这些UE的合适连接器。
图2b示出了用于在图1的基站101、103或者图3的基站201、211处使用的装置的一个示例。该装置包括或者被耦合到被配置为接收和传输射频信号的射频天线阵列391(包括至少一个天线或天线单元);被配置为对接由天线阵列391接收和传输的射频信号的无线电收发器电路、模块或单元393;以及包括一个或多个基带处理器396的基带单元。该装置通常包括接口399,经由该接口,例如基带处理器396可以与其他网络元件、诸如核心网(未示出)进行通信。基带处理器396被配置为处理来自无线电收发器393的信号。它还可以控制无线电收发器393生成适当的RF信号,用以经由无线通信链路向UE151、153、161、203、205、213通信信息、以及经由接口399来跨越有线链路与其他网络节点200、210和/或其他eNB151、153、161、203、205、213交换信息。一个或多个存储器或数据存储单元397用于存储由基带处理器396使用的数据、参数和/或指令。存储器或数据存储实体可以在内部或外部(位于另一个网络实体中)或者是两种的组合。
在一些实施例中,包括基带处理器396的基带单元位于无线电收发器393和天线阵列391的远端,并且由例如光纤链路连接到无线电收发器393。
可以使用适当的数据存储技术来实施存储器297、397,这些技术诸如举例而言是基于半导体的存储器设备、闪存、磁性存储设备和***、光存储设备和***、固定存储器和可拆卸存储器。数据处理器293、396可以例如包括微处理器、数字信号处理器(DSP)和基于多核处理器架构的处理器中的一个或多个。
以下对控制UE151、153、161、203、205、213和基站201、211、101、103的其他元件的操作的处理器293、396的引用涉及根据存储在存储器297、397的程序代码进行操作的处理器。
将认识到,在以上描述的图2a和2b中的每个图中示出的装置可以包括未直接涉及以下描述的实施例的另外的元件。
图3示出了另外的示例通信***,该***示出示例D2D安全关联在第一用户设备203与第二用户设备213之间被形成。在这个示例中,第一用户设备203与第二用户设备213使用来自不同的运营商的基站进行操作,然而将理解的是,类似的操作可以关于使用同一运营商和/或基站且***作为D2D设备的用户设备来执行。此外,关于图4,示出了关于根据一些实施例生成D2D安全关联而执行的操作的流程图。
在图3中示出的示例中,具有第一用户设备UE1203,其与第二用户设备UE2213邻近。在图3示出的示例中,第一用户设备203与第一基站201通信。此外,第一基站201可以被配置为与另外的用户设备205通信并且还与核心网(CN)或基站控制节点200通信。此外,第二用户设备213可以被配置为与第二基站211通信,该第二基站211进而可以被配置为与第二核心网(CN2)或第二基站控制节点210进行通信。
在一些实施例中,第一用户设备UE1203和第二用户设备UE2213可以在无线电空间中发现彼此。如本文中所描述的,将理解的是,在一些实施例中,用户设备可以属于不同的运营或者相同的运营商。在以下示例中,不同用户设备可以直接地通过空口或者以其他方式发现彼此。示例描述了特定发现模式的使用和可应用于在基于帧的***中进行操作的节点的发现模式群组。在一些实施例中,D2D通信发现可以使用TDD(时分双工)技术或FDD(频分双工)技术。在一些实施例中,由每个用户设备使用的发现模式可以在基于帧的通信布置之上被构建。在这样的实施例中,可以假设用户设备彼此同步。
在一些实施例中,可以通过在网络中针对不同设备提供传输和接收阶段的不同发现模式用于这些设备之间的发现信息的传输和接收,来控制设备或用户设备的发现。在这样的实施例中,负责分配发现模式的网络实体还可以控制针对这些设备的作为发现的一部分的这些资源的保留/指派。例如,对于D2D,合适的控制网络实体可以包括在控制发现模式的分配时的eNB或基站或另一个接入点。一般而言,该控制可以由某个地理区域中的最高层次等级上的网络节点逻辑地提供。发现的操作是已知的,并且不再进一步讨论。
第一用户设备UE1203与第二用户设备UE2213之间的发现的操作在图4中由步骤301示出。
在一些实施例中,用户设备(或D2D设备)可以被配置为建立Diffie-Hellman管线或共享的秘密。在一些实施例中,Diffie-Hellman管线使用2K密钥(换而言之,所共享的秘密是具有2048个比特的秘密),然而,可以生成任何适当长度的共享秘密。在一些实施例中,用于建立Diffie-Hellman管线的密钥应当是“新的”,换而言之,应当是实时生成的而不是短暂的(ephemeral)或旧的密钥。
在第一用户设备(UE1)203与第二用户设备(UE2)213之间生成Diffie-Hellman管线的操作在图4中由步骤303示出。
在一些实施例中,在使用所建立的由Diffie-Hellman管线提供的安全环境的用户设备之间交换任何适当的新的挑战。新的挑战和/或响应然后可以用于之后的操作。
在一些实施例中,在用户设备内,已经生成Diffie-Hellman管线(换而言之,已经建立共享的秘密),所生成的Diffie-Hellman管线秘密(或者挑战)被用作标识符,用以生成Diffie-Hellman安全环境请求。换而言之,使用从共享的秘密而唯一导出的标识符,在每个用户设备内生成请求。
生成安全环境请求的操作在图4中由第一用户设备203内的步骤350和由用户设备213内的步骤351示出。
该请求然后可以被发送至相应的基站。
在图4中,示出了第一用户设备(UE1)203在步骤304中向相关联的基站201发送请求。
类似地,第二用户设备(UE2)213在步骤305中向第二基站211发送请求。
在一些实施例中,每个用户设备的基站然后可以将这个请求转发至适当的核心网节点或者基站控制器节点。
从第一基站201向第一核心网节点或者基站控制器节点200转发请求的操作在图4中由步骤306示出。
类似地,从第二基站211向第二核心网节点或者基站控制器节点210转发请求的操作在图4中由步骤307示出。
将理解的是,在一些实施例中,相应的基站可以执行本文中描述的引证生成操作,并且如此的话,则不需要将请求转发至核心网节点或者基站控制器(换而言之,在基站可以执行引证或证书的生成时,转发请求和相应的从核心网节点或基站控制器节点接收引证是可选操作)。
在一些实施例中,核心网节点或基站控制器然后可以生成实时运营商引证或者证书,其包括在蜂窝网络的安全环境之下的以下信息。
首先,在一些实施例中,该引证可以包括非对称(ECC/RSA)公共密钥和/或源自于用户设备或蜂窝设备的DH(Diffie-Hellman)群组元素。
第二,在一些实施例中,该引证可以包括蜂窝设备附接到的接入点的位置(例如,由GPS坐标提供)。
第三,在一些实施例中,该引证可以包括蜂窝网络已知的蜂窝设备的手机号码或者其他标识符,例如国际移动订户标识/临时移动订户标识(IMSI/TMSI)。
在第一网络中生成引证/证书的操作在图4中由步骤360示出。
此外,在第二网络中生成引证/证书的操作在图4中由步骤361示出。
该引证然后可以使用蜂窝安全环境、经由相应的基站被发送回给用户设备。
因此,例如在图4中,引证/证书在步骤308中从第一核心网节点或基站控制器节点被发送至基站。该引证然后在步骤310中从基站201被转发至第一用户设备203。
类似地,关于第二网络,引证/证书在步骤309中从第二核心网节点或基站控制器节点被发送至第二基站。该引证然后在步骤312中从第二基站211被转发至第二用户设备213。
第一用户设备203然后可以被配置为向第二用户设备213传送来自第一网络的经签字的引证/证书。类似地,第二用户设备213可以被配置为向第一用户设备203传送来自第二网络的引证/证书。
在受保护的安全环境之上传送引证/证书的操作在图4中由步骤313示出。
已经从对等用户设备接收到引证/证书的用户设备在一些实施例中被配置为分析或校验该证书包括相同的Diffie-Hellman共享秘密。换而言之,确定对方(counterpart)是Diffie-Hellman管线的另一个端点。
此外,从对等用户设备接收到引证/证书的用户设备在一些实施例中被配置为校验该引证/证书,以确定该证书包括与用户设备或D2D设备的当前位置一致的位置。换而言之,尝试参与设备到设备通信的用户设备或D2D设备在所确定的范围内并且基本上在同一地理位置处。
此外,从对等用户设备接收到引证/证书的用户设备在一些实施例中被配置为校验该引证/证书,以确定该证书包括来自已知的且受信的运营商的签名。
当用户设备确定这些校验通过时,例如在一些实施例中,确定该引证/证书包含对如下各项的有效响应:包括同样的DH秘密、类似位置、以及来自已知且受信的运营商的签名,那么该用户设备确定其他用户设备被认证并且用户设备之间的通信可以开始。
在一些实施例中,该引证/证书可以包括针对其他设备的标识,该标识可以与在DH环境之下建立的新的秘密一起被本地地存储。在一些实施例中,通过存储针对其他设备的标识和新的秘密,另外的D2D环境建立可以被执行而不需要新DH环境和引证/证书的生成的开销。
校验来自对等用户设备的证书以及确定认证是否已经发生的操作在图4中由第一用户设备203中的步骤370以及在图4中由第二用户设备中的步骤371示出。
在一些实施例中,证书的验证可以在与用户设备相关联的基站中执行。因此,在一些实施例中,在步骤313之后接收到的证书被转发至相关联的基站用以验证。
在一些实施例中,验证操作部分地在用户设备中和部分地在基站中执行。
在一些实施例中,用以D2D通信的信道分配可以被包括在所传输的信息内,换而言之,为参与在D2D通信中的用户设备或设备分布信道分配信息,并且有效地扮演该分配的掌控方。
将理解的是,在切换期间,在主蜂窝网络中,信道分配将被更新。
注意的是,在已经参照LTE来描述实施例的同时,类似的原理可以被应用至任何其他通信***或者旨在于LTE的另外的发展。因此,尽管在以上以示例的方式参照无线网络、技术和标准的某些示例性架构来描述某些实施例,实施例可以被应用至除了本文中图示和描述的这些之外的任何其他适当形式的通信***。
任何通信设备所需要的数据处理装置和功能可以由一个或多个数据处理器来提供。在每一端处所描述的功能可以由单独的处理器或者由集成处理器来提供。数据处理器可以具有适于本地技术环境的任何类型,并且可以包括例如通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、专用集成电路、门级电路以及基于多核处理器架构的处理器中的一个或多个。数据处理可以跨越若干数据处理模块来分布。数据处理器可以由例如至少一个芯片来提供。还可以在相关设备中提供合适的存储容量。一个或多个存储器可以具有适于本地技术环境的任何类型并且可以使用任何适当的数据存储技术来实施,诸如基于半导体的存储器设备、磁存储器设备和***、光存储器设备和***、固定存储器和可拆卸存储器。
一般而言,各种实施例可以以硬件或专用电路、软件、逻辑或者它们的任何组合来实现。本发明的一些方面可以以硬件来实现,而其他方面可以以固件或软件来实现,这些固件或软件可以由控制器、微处理器或者其他计算设备来执行,尽管本发明不限于这些。尽管已经将本发明的各种方面图示和描述为框图、流程、或者使用一些其他图形表示来图示和描述,将理解的是,本文中描述的这些框图、装置、***、技术和方法可以以例如硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备、或者它们的某些组合来实现。软件可以被存储在这样的物理介质上,诸如存储器芯片、或者被实现在处理器内的存储器块、诸如硬盘或软盘之类的磁性介质、以及诸如举例而言是DVD及其数据变形、CD之类的光学介质。
在以上给出了用于实现功能的装置的各种示例。然而,注意到,这些示例并未提供能够根据本文中描述的发明原理进行操作的装置的排他性列表。
前述描述已经以示例性和非限制性示例的方式提供了对本发明的示例性实施例的完整和信息型描述。然而,鉴于前述描述,在结合附图和所附权利要求进行阅读时,各种修改和适配对于本领域技术人员而言是明显的。然而,本发明的教导的所有这样和类似的修改将仍然落入在由所附权利要求定义的本发明的精神和范围内。事实上,存在另外的实施例包括先前讨论的任何其他实施例中的一个或多个实施例的组合。
Claims (21)
1.一种方法,包括:
从至少一个网络节点请求证书,所述证书包括与第一设备相关联的至少一个标识符;
在所述第一设备处从所述至少一个网络节点接收所述证书;以及
向另外的设备转发所述证书;
从所述另外的设备接收另外的证书,所述另外的证书包括与所述另外的设备相关联的至少一个另外的标识符;
基于所述另外的证书来认证所述另外的设备。
2.根据权利要求1所述的方法,进一步包括:
在第一设备处发现所述另外的设备;以及
在所述第一设备与所述另外的设备之间建立安全关联。
3.根据权利要求2所述的方法,其中在所述第一设备与所述另外的设备之间建立安全关联包括:在所述第一设备与所述另外的设备之间建立密码管线。
4.根据权利要求3所述的方法,其中向所述另外的设备转发所述证书包括:
利用所述密码管线密钥来加密所述证书;以及
将经加密的证书传输至所述另外的设备。
5.根据权利要求3或4所述的方法,其中从所述另外的设备接收另外的证书包括:
从所述另外的设备接收经加密的证书;以及
通过基于来自所述密码管线的密钥对所述经加密的证书进行解密,来从所述经加密的证书生成另外的证书。
6.根据权利要求1至5中任一项所述的方法,其中基于所述另外的证书来认证所述另外的设备包括:确定与所述另外的设备相关联的所述至少一个另外的标识符是否匹配在所述第一设备内存储的值。
7.根据权利要求1至6中任一项所述的方法,其中包括与所述第一设备相关联的至少一个标识符的所述证书包括以下各项中的至少一项:
非对称公共密钥;
从源自于所述第一设备的diffie-Hellman群组元素导出的公共标识符;
基于在所述第一设备与所述另外的设备之间所建立的安全关联的标识符;
所述第一设备关联到的接入点的位置;
与所述第一设备相关联的电话号码;
与所述第一设备相关联的国际移动订户标识;以及
与所述第一设备相关联的临时移动订户标识。
8.根据权利要求1至7中任一项所述的方法,其中包括与所述另外的设备相关联的至少一个另外的标识符的所述另外的证书包括以下各项中的至少一项:
非对称公共密钥;
从源自于所述另外的设备的diffie-Hellman群组元素导出的公共标识符;
基于在所述第一设备与所述另外的设备之间所建立的安全关联的标识符;
所述另外的设备关联到的接入点的位置;
与所述另外的设备相关联的电话号码;
与所述另外的设备相关联的国际移动订户标识;以及
与所述另外的设备相关联的临时移动订户标识。
9.根据权利要求1至8中任一项所述的方法,进一步包括:
从所述另外的设备向至少一个另外的网络节点请求包括与所述另外的设备相关联的至少一个标识符的所述另外的证书;
在所述另外的设备处从所述至少一个另外的网络节点接收所述另外的证书;以及
从所述另外的设备向所述第一设备转发所述另外的证书;
在所述另外的设备处从所述第一设备接收所述证书;
在所述另外的设备处,基于所述证书来认证所述设备。
10.一种方法,包括:
从设备接收针对证书的请求,所述证书包括与所述设备相关联的至少一个标识符;
生成包括与所述设备相关联的所述至少一个标识符的所述证书;
传输包括与所述设备相关联的所述至少一个标识符的所述证书,其中所述证书被配置为在设备之间被交换,以便在另外的设备处认证所述设备。
11.根据权利要求10所述的方法,其中生成包括与所述设备相关联的所述至少一个标识符的所述证书包括以下各项中的至少一项:
确定与所述设备相关联的非对称公共密钥;
确定源自于所述设备的diffie-Hellman群组元素;
确定所述设备相关联的接入点的位置;
确定与所述设备相关联的电话号码;
确定与所述设备相关联的国际移动订户标识;以及
确定与所述设备相关联的临时移动订户标识。
12.根据权利要求10和11所述的方法,其中从设备接收针对包括与所述设备相关联的至少一个标识符的证书的请求包括:接收在所述设备与所述另外的设备之间所建立的安全关联,并且其中生成包括与所述设备相关联的所述至少一个标识符的所述证书包括:基于在所述设备与所述另外的设备之间所建立的安全关联来生成标识符。
13.一种设备,包括:
用于从至少一个网络节点请求证书的装置,所述证书包括与所述设备相关联的至少一个标识符;
用于从所述至少一个网络节点接收所述证书的装置;以及
用于向另外的设备转发所述证书的装置;
用于从所述另外的设备接收另外的证书的装置,所述另外的证书包括与所述另外的设备相关联的至少一个另外的标识符;以及
用于基于所述另外的证书来认证所述另外的设备的装置。
14.一种***,包括根据权利要求13所述的设备、以及另外的设备,其中所述另外的设备包括:
用于从至少一个另外的网络节点请求所述另外的证书的装置,所述另外的证书包括与所述另外的设备相关联的至少一个标识符;
用于从所述至少一个另外的网络节点接收所述另外的证书的装置;
用于向所述设备转发所述另外的证书的装置;
用于从所述设备接收所述证书的装置;以及
用于基于所述证书来认证所述设备的装置。
15.一种设备,包括:
用于从另外的设备接收针对证书的请求的装置,所述证书包括与所述另外的设备相关联的至少一个标识符;
用于生成包括与所述另外的设备相关联的所述至少一个标识符的所述证书的装置;以及
用于传输包括与所述另外的设备相关联的所述至少一个标识符的所述证书的装置,其中所述证书被配置为在另外的设备之间被交换,以便在第二另外的设备处认证所述另外的设备。
16.一种设备,包括至少一个处理器和至少一个存储器,所述至少一个存储器包括用于一个或多个程序的计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述设备至少:
从至少一个网络节点请求证书,所述证书包括与所述设备相关联的至少一个标识符;
从所述至少一个网络节点接收所述证书;以及
向另外的设备转发所述证书;
从所述另外的设备接收另外的证书,所述另外的证书包括与所述另外的设备相关联的至少一个另外的标识符;以及
基于所述另外的证书来认证所述另外的设备。
17.一种***,包括根据权利要求16所述的设备、以及另外的设备,其中所述另外的设备包括至少一个处理器和至少一个存储器,所述至少一个存储器包括用于一个或多个程序的计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起可以使得所述另外的设备至少:
从至少一个另外的网络节点请求另外的证书,所述另外的证书包括与所述另外的设备相关联的至少一个标识符;
从所述至少一个另外的网络节点接收所述另外的证书;
向所述设备转发所述另外的证书;
从所述设备接收所述证书;以及
基于所述证书来认证所述设备。
18.一种设备,包括至少一个处理器和至少一个存储器,所述至少一个存储器包括用于一个或多个程序的计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述设备至少:
从另外的设备接收针对证书的请求,所述证书包括与所述另外的设备相关联的至少一个标识符;
生成包括与所述另外的设备相关联的所述至少一个标识符的所述证书;以及
传输包括与所述另外的设备相关联的所述至少一个标识符的所述证书,其中所述证书被配置为在另外的设备之间被交换,以便在第二另外的设备处认证所述另外的设备。
19.一种设备,包括:
请求器,被配置为从至少一个网络节点请求证书,所述证书包括与所述设备相关联的至少一个标识符;
第一接收器,被配置为从所述至少一个网络节点接收所述证书;以及
转发器,被配置为向另外的设备转发所述证书;
第二接收器,被配置为从所述另外的设备接收另外的证书,所述另外的证书包括与所述另外的设备相关联的至少一个另外的标识符;以及
认证器,被配置为基于所述另外的证书来认证所述另外的设备。
20.一种***,包括根据权利要求19所述的设备、以及另外的设备,其中所述另外的设备包括:
另外的设备请求器,被配置为从至少一个另外的网络节点请求所述另外的证书,所述另外的证书包括与所述另外的设备相关联的至少一个标识符;
另外的设备接收器,被配置为从所述至少一个另外的网络节点接收所述另外的证书;
另外的设备转发器,被配置为向所述设备转发所述另外的证书;
另外的设备第二接收器,被配置为从所述设备接收所述证书;以及
另外的设备认证器,被配置为基于所述证书来认证所述设备。
21.一种设备,包括:
接收器,被配置为从另外的设备接收针对证书的请求,所述证书包括与所述另外的设备相关联的至少一个标识符;
证书生成器,被配置为生成包括与所述另外的设备相关联的所述至少一个标识符的所述证书;以及
发射器,被配置为传输包括与所述另外的设备相关联的所述至少一个标识符的所述证书,其中所述证书被配置为在另外的设备之间被交换,以便在第二另外的设备处认证所述另外的设备。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2013/055217 WO2014207506A1 (en) | 2013-06-25 | 2013-06-25 | Device to device communication security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105340353A true CN105340353A (zh) | 2016-02-17 |
| CN105340353B CN105340353B (zh) | 2019-05-31 |
Family
ID=52141160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380077762.5A Active CN105340353B (zh) | 2013-06-25 | 2013-06-25 | 设备到设备通信安全 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9960922B2 (zh) |
| EP (1) | EP3014945B1 (zh) |
| CN (1) | CN105340353B (zh) |
| WO (1) | WO2014207506A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106470420A (zh) * | 2015-08-17 | 2017-03-01 | 中兴通讯股份有限公司 | 业务处理方法及装置 |
| WO2017107143A1 (en) * | 2015-12-24 | 2017-06-29 | Nokia Technologies Oy | Authentication and key agreement in communication network |
| EP3448075A1 (en) * | 2017-08-22 | 2019-02-27 | Gemalto M2M GmbH | Method for securing a communication connection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010030515A2 (en) * | 2008-09-12 | 2010-03-18 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
| US20110258327A1 (en) * | 2010-04-20 | 2011-10-20 | Nokia Corporation | D2D Communications Considering Different Network Operators |
| GB2494460A (en) * | 2011-09-12 | 2013-03-13 | Renesas Mobile Corp | Registering and attaching to a communication network for device-to-device (D2D) communication |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100759489B1 (ko) * | 2004-11-18 | 2007-09-18 | 삼성전자주식회사 | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 |
| US8156545B2 (en) | 2007-02-09 | 2012-04-10 | Sony Corporation | Method and apparatus for authorizing a communication interface |
| TW200922256A (en) * | 2007-11-06 | 2009-05-16 | Nat Univ Tsing Hua | Method for reconfiguring security mechanism of a wireless network and the mobile node and network node thereof |
| CN101464932B (zh) * | 2007-12-19 | 2012-08-22 | 联想(北京)有限公司 | 硬件安全单元间协作方法、***及其应用设备 |
| JP5412639B2 (ja) | 2008-10-31 | 2014-02-12 | 国立大学法人東京工業大学 | 比較器及びアナログデジタル変換器 |
| US20100217975A1 (en) * | 2009-02-25 | 2010-08-26 | Garret Grajek | Method and system for secure online transactions with message-level validation |
| EP2524532B1 (en) | 2010-01-14 | 2016-09-21 | Nokia Solutions and Networks Oy | Method and device for data processing in a wireless network |
| US9578550B2 (en) | 2010-05-28 | 2017-02-21 | Nokia Solutions And Networks Oy | Method and apparatus for device-to-device communication |
| US8627083B2 (en) * | 2010-10-06 | 2014-01-07 | Motorala Mobility LLC | Online secure device provisioning with online device binding using whitelists |
| US9578041B2 (en) | 2010-10-25 | 2017-02-21 | Nokia Technologies Oy | Verification of peer-to-peer multimedia content |
| KR20140017579A (ko) * | 2011-05-06 | 2014-02-11 | 엘지전자 주식회사 | 장치의 이동성에 따른 채널 선택 방법 및 장치 |
| US9288229B2 (en) | 2011-11-10 | 2016-03-15 | Skype | Device association via video handshake |
| TWI524807B (zh) * | 2012-05-07 | 2016-03-01 | 財團法人工業技術研究院 | 裝置間通訊的認證系統及認證方法 |
| US9565211B2 (en) * | 2013-03-15 | 2017-02-07 | True Ultimate Standards Everywhere, Inc. | Managing exchanges of sensitive data |
-
2013
- 2013-06-25 US US14/896,466 patent/US9960922B2/en active Active
- 2013-06-25 CN CN201380077762.5A patent/CN105340353B/zh active Active
- 2013-06-25 WO PCT/IB2013/055217 patent/WO2014207506A1/en active Application Filing
- 2013-06-25 EP EP13888138.8A patent/EP3014945B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010030515A2 (en) * | 2008-09-12 | 2010-03-18 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
| US20110258327A1 (en) * | 2010-04-20 | 2011-10-20 | Nokia Corporation | D2D Communications Considering Different Network Operators |
| GB2494460A (en) * | 2011-09-12 | 2013-03-13 | Renesas Mobile Corp | Registering and attaching to a communication network for device-to-device (D2D) communication |
Also Published As
| Publication number | Publication date |
|---|---|
| US9960922B2 (en) | 2018-05-01 |
| EP3014945B1 (en) | 2019-09-11 |
| US20160142214A1 (en) | 2016-05-19 |
| EP3014945A1 (en) | 2016-05-04 |
| CN105340353B (zh) | 2019-05-31 |
| EP3014945A4 (en) | 2017-03-08 |
| WO2014207506A1 (en) | 2014-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12021966B2 (en) | Embedded universal integrated circuit card (eUICC) profile content management | |
| US10574465B2 (en) | Electronic subscriber identity module (eSIM) eligibility checking | |
| US8295488B2 (en) | Exchange of key material | |
| US9831903B1 (en) | Update of a trusted name list | |
| US20190074983A1 (en) | MANAGING EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROVISIONING WITH MULTIPLE CERTIFICATE ISSUERS (CIs) | |
| CN110830989B (zh) | 一种通信方法和装置 | |
| KR20190004499A (ko) | eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치 | |
| EP4099733A1 (en) | Security authentication method and apparatus, and electronic device | |
| CN103650554A (zh) | 基于邻近的通信的数据完整性 | |
| CN105141568A (zh) | 安全通信通道建立方法及***、客户端和服务器 | |
| CN103688562A (zh) | 基于邻近的通信的数据完整性 | |
| JP5254704B2 (ja) | 中継局および無線通信中継方法 | |
| US20140155033A1 (en) | Transferring a voice call | |
| CN114025352A (zh) | 终端设备的鉴权方法及其装置 | |
| CN114071452B (zh) | 用户签约数据的获取方法及装置 | |
| CN114584969B (zh) | 基于关联加密的信息处理方法及装置 | |
| CN114449521B (zh) | 通信方法及通信装置 | |
| CN105340353A (zh) | 设备到设备通信安全 | |
| CN113873492B (zh) | 一种通信方法以及相关装置 | |
| KR20080093449A (ko) | Cdma 네트워크에서 gsm 인증 | |
| CN116783981A (zh) | 用于多链路设备的链路操作的方法和装置 | |
| WO2023071836A1 (zh) | 一种通信方法及装置 | |
| CN110392076B (zh) | 一种车辆到任意v2x通信的方法、装置及存储介质 | |
| CN113543131A (zh) | 网络连接管理方法、装置、计算机可读介质及电子设备 | |
| US20190110194A1 (en) | Network connection method, method for determining security node, and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |