CN110249584B - 用于在任务关键数据通信***中提供端到端安全的方法 - Google Patents
用于在任务关键数据通信***中提供端到端安全的方法 Download PDFInfo
- Publication number
- CN110249584B CN110249584B CN201880008688.4A CN201880008688A CN110249584B CN 110249584 B CN110249584 B CN 110249584B CN 201880008688 A CN201880008688 A CN 201880008688A CN 110249584 B CN110249584 B CN 110249584B
- Authority
- CN
- China
- Prior art keywords
- mcdata
- signaling
- payload
- sds
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开涉及一种准第5代(5G)或5G通信***,其提供来支持超过诸如长期演进(LTE)的第4代(4G)通信***的较高数据速率。本文实施例提供在任务关键数据(MCData)通信***中在信令平面用于端到端安全的方法和***。所提出的方法包括使用短数据服务(SDS)保护在信令平面发射的MCData数据有效载荷的各种方式。所提出的方法允许使用多个安全密钥来根据要求对所述MCData SDS消息进行加密。诸如信令平面密钥或媒体平面密钥或专用MCData数据有效载荷信令密钥的各种密钥可以独立地或以其组合使用,以实现期望的安全上下文。所提出的方法允许利用信令平面安全上下文来保护所有应用级组件。
Description
技术领域
本文的实施例总体涉及任务关键数据(MCData)通信***,并且更具体地涉及用于在MCData通信***中通过信令平面提供端到端安全的方法和***。
背景技术
为了满足自从部署4G(第4代)通信***以来增加的无线数据业务需求,已经致力于开发一种改进的5G(第5代)或准5G通信***。因此,5G 或准5G通信***也被称为“超4G网络”或“后LTE***”。
5G通信***被认为是在更高频率(毫米波)频带、例如60GHz频带中实现的,以便实现更高的数据速率。为了减小无线电波的传播损耗并且增大发射距离,在5G通信***中讨论了波束形成、大规模多输入多输出 (MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束形成、大型天线技术。
此外,在5G通信***中,基于先进的小型小区、云无线电接入网络 (RAN)、超密集网络、装置到装置(D2D)通信、无线回程、移动网络、协作通信、协调多点(CoMP)、接收端干扰消除等,***网络改进的开发正在进行中。
在5G***中,已经开发出作为高级编码调制(ACM)的混合FSK与 QAM调制(FQAM)和滑动窗口叠加编码(SWSC),以及作为高级接入技术的滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏码多址接入(SCMA)。
公共安全网络用于任务关键(MC)数据/语音/视频通信。MC通信可以包括定义的一组MCData服务。此类MCData服务通常构建在由演进分组***(EPS)架构提供的现有第三代合作伙伴计划(3GPP)传输通信机制上,以建立、保持和终止用户之间的实际通信路径。通常,MCData服务器为此类MCData服务提供集中支持。MCData服务器还可以促进或管理网络的各个用户部分之间的MCData通信。
在备用部署中,此类MCData服务可以是离网的。在此类部署中,MCData 装置彼此直接通信,而无需服务器来集中支持服务。
MCData服务被设计来在用户之间提供一对一、一对多和群通信。在目前的情形下,公共安全社区需要超出语音的服务,即,数据和视频应用。 MCData经常使用一组功能和启用程序(enabler),所述功能和启用程序允许在公共平台上构建许多终端用户服务。短数据服务(SDS)特征是在MCData 服务中使用的一种这样的功能。SDS可以单独使用或与其他服务结合使用,或者可以由其他服务使用来实现某些特征,诸如共享位置、存在类数据和用于执行具体操作的命令指令。
MCData的SDS允许共享数据,诸如短文本消息或像二进制的应用数据或应用触发项等。MCData允许通过信令平面和媒体平面共享此类SDS消息。与任何任务关键通信一样,安全性对于保护敏感数据至关重要,并且需要在交换数据的装置之间保持机密性。
用于MC通信的传统***仅为媒体平面和信令平面提供端到端安全解决方案。信令平面保护总是在MCData UE与网络实体(诸如MCPTT服务器等)之间终止。因此,有效的安全方法对于通过信令平面支持SDS通信及其相关联特征是必要的。
上述信息作为背景信息呈现,仅用于帮助读者理解本发明。至于上述任何信息是否可作为本申请的现有技术,申请人尚未做出确定并且没有断言。
发明内容
技术问题
本文实施例的主要方面在于提供一种用于在MCData通信***中在信令平面上提供端到端安全的方法和***。
本文实施例的另一方面在于利用信令平面安全上下文来为短数据服务 (SDS)消息中的MC信令参数提供加密和完整性保护。
本文实施例的另一方面在于使用用于执行一对一通信的媒体平面安全上下文来为SDS消息中的MCData数据有效载荷提供加密。
本文实施例的另一方面在于使用用于执行群通信的媒体平面安全上下文来为SDS消息中的MCData数据有效载荷提供加密。
技术方案
因此,本文实施例提供一种在任务关键数据(MCData)通信***中用于在信令平面上的端到端安全的方法和***。所述方法包括通过发射 MCData用户设备(UE)来标识短数据服务(SDS)消息中的MC信令参数。所述方法包括:通过所述发射MCData UE利用信令平面安全上下文对所述 SDS消息中的所述MC信令参数施加加密和完整性保护中的至少一者。所述方法包括:通过所述发射MCData UE使用媒体平面安全上下文来对所述SDS 消息中的MCData数据有效载荷施加加密和完整性保护中的至少一者,以便在所述信令平面上执行与接收MCData UE的一对一通信和群通信中的一者。
在一个实施例中,使用具有针对一对一通信在发射MCData UE处生成的私有呼叫密钥(PCK)的媒体平面安全上下文来对SDS消息中的MCData 数据有效载荷施加加密和完整性保护。
在一个实施例中,PCK的标识符(PCK-ID)被附加到所述SDS消息中的每一个以用于一对一通信。
在一个实施例中,使用具有从用于群通信的群管理服务器(GMS)110 接收的对称群主密钥(GMK)的媒体平面安全上下文来对SDS消息中的 MCData数据有效载荷施加加密和完整性保护。
在一个实施例中,群密钥标识符的标识符(GMK-ID)被附加到所述SDS 消息中的每一个以用于群通信。
一种用于在任务关键数据(MCData)通信***中在信令平面提供端到端安全的发射用户任务关键数据(MCData)用户设备(UE),所述发射 MCData UE包括:MC数据保护引擎,其被配置用于:通过发射MCData用户设备(UE)来标识短数据服务(SDS)消息中的MC信令参数。所述MC 数据保护引擎被配置用于利用信令平面安全上下文对所述SDS消息中的所述MC信令参数施加加密和完整性保护中的至少一者。此外,所述MC数据保护引擎被配置用于使用媒体平面安全上下文来对所述SDS消息中的 MCData数据有效载荷施加加密和完整性保护中的至少一者,以便在所述信令平面执行与接收MCData UE的一对一通信和群通信中的一者。
在结合以下描述和附图考虑时,将更好地领会并理解本文中的实施例的这些和其他方面。然而应理解,以说明而非限制的方式给出表明优选实施例及其许多具体细节的以下描述。在不脱离本文中的实施例的精神的情况下,可以在本文中的实施例的范围内做出很多变化和更改,并且本文中的实施例包括所有此类更改。
附图说明
所述方法在附图中示出,在整个附图中,相同的附图标记指示各图中的对应部分。参考以下附图,将从以下描述中更好地理解本文实施例,其中:
图1A示出了根据本文所公开的实施例的示例性MCData通信***,其中在一对一通信中在信令平面上为短数据服务(SDS)消息提供端到端安全;
图1B示出了根据本文所公开的实施例的示例性MCData通信***,其中在群通信中在信令上为SDS消息提供端到端安全;
图2是示出了根据本文所公开的实施例的发射MCData用户设备(UE) 的各种硬件部件的框图;
图3是示出了根据本文所公开的实施例的用于在信令平面上为短数据服务(SDS)消息提供端到端安全的方法的流程图;
图4示出了根据本文所公开的实施例的通用MCData SDS消息格式;
图5示出了根据本文所公开的实施例的具有点对点加密的MCData SDS 消息格式;
图6示出了根据本文所公开的实施例的具有端到端加密的MCData SDS 消息格式;
图7示出了根据本文所公开的实施例的具有端到端加密的MCData SDS 消息格式;并且
图8示出了根据本文所公开的实施例的具有端到端加密的另一MCData SDS消息格式。
具体实施方式
现在将参考附图对本公开的各种实施例进行详细描述。在以下描述中,诸如详细配置和部件等特定细节仅被提供以协助全面理解本公开的这些实施例。因此,本领域技术人员应当显而易见的是,在不脱离本公开的范围和精神的情况下,可以对本文所述的实施方案做出各种改变和修改。另外,出于清楚和简洁起见省略了对众所周知的功能和构造的描述。
此外,本文所描述的各种实施例不一定是相互排斥的,因为一些实施例可以与一个或多个其他实施例组合以形成新的实施例。在本文中,除非另有说明,否则本文所用的术语“或”是指非排他性的。本文所使用的实例仅仅是为了便于理解可用来实践本文实施例方式,且进一步使得本领域的技术人员能够实践本文实施例。因此,这些实例不应被解释为限制本文实施例的范围。
如本领域中传统的,可以根据执行所描述的一个或多个功能的块来描述和说明各实施例。这些块(本文可称为管理器、单元或模块等)在物理上由模拟和/或数字电路实现,诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子部件、有源电子部件、光学部件、硬连线电路等,并且可以可选地由固件和软件驱动。例如,电路可以体现在一个或多个半导体芯片中,或者体现在诸如印刷电路板等的基板支撑件上。构成块的电路可以由专用硬件实现,或者由处理器(例如,一个或多个编程的微处理器和相关联电路)实现,或者由专用硬件和处理器的组合来实现,其中专用硬件用于执行块的一些功能而处理器用于执行块的其他功能。在不脱离本公开的范围的情况下,实施例的每个块可以在物理上分成两个或更多个交互和离散块。同样,在不脱离本公开的范围的情况下,可以将实施例的块物理地组合成更复杂的块。
本文的术语“发射”和“接收”仅用于标记目的,并且可以互换使用而不脱离实施例的范围。
在整个文件中,术语“保护”是指加密和/或完整性保护。此外,在整个本文件中,术语“媒体平面安全上下文”和“端到端安全上下文”将具有相同的含义并可互换使用。
在详细描述实施例之前,在此呈现与实施例有关的各种细节。
如3GPP TS 33.179和3GPP TS 33.180中所描述的,执行用于包括 MCData服务的MC服务(例如,MCPTT服务)的信令平面和媒体平面安全上下文的密钥提供和建立。以下是所建议方法中所使用的密钥:
信令平面密钥:所述密钥用于保护(加密和/或完整性保护)通过信令平面发送的任务关键应用信息。本发明建议使用所述密钥来保护(加密和/ 或完整性保护)信息,所述信息应当在任务关键服务器处可用(点对点保护)。例如,在MC客户端与MC服务器之间建立的密钥。
媒体平面密钥:所述密钥通常用于保护(加密和/或完整性保护)通过媒体平面发送的任务关键用户有效载荷。本发明建议使用所述密钥来保护 (诸如用户有效载荷)信息,所述信息不应当在未经授权的任务关键服务器处可用(端到端保护)。例如,密钥直接在MC客户端之间建立,或者通过密钥管理服务器(KMS)和/或群管理服务器建立。
专用MCData数据有效载荷信令密钥:所述密钥由密钥管理服务器 (KMS)和/或群管理服务器(GMS)导出,并使用3GPP TS 33.179和TS 33.180中所描述的各种机制提供给MCData UE上的MC客户端,并专门用于保护通过信令平面传输的MCData数据有效载荷。
MCData信令参数和数据信令有效载荷受到如下保护:
a)使用CSK保护在客户端与服务器之间的单播MCData信令参数和数据信令有效载荷。
b)使用PCK保护在两个离线客户端之间的MCData信令参数和数据信令有效载荷。
c)使用GMK保护一组离线客户端之间的MCData信令参数和数据信令有效载荷。
MCData数据有效载荷受到如下保护:
a)使用PCK保护在两个在线客户端之间端到端保护的MCData数据有效载荷。
b)使用PCK保护在两个离线客户端之间端到端保护的MCData数据有效载荷。
c)使用由GMS分发的GMK保护在一组在线客户端之间端到端保护的 MCData数据有效载荷。
d)使用由GMS分发的GMK保护在一组离线客户端之间端到端保护的 MCData数据有效载荷。
本文实施例提供在MCData通信***中在信令平面上用于端到端安全的方法和***。所述方法包括通过发射MCData用户设备(UE)来标识短数据服务(SDS)消息中的MC信令参数。所述方法包括通过发射MCData UE 来利用信令平面安全上下文对SDS消息中的MC信令参数进行加密和完整性保护。所述方法包括通过发射MCData UE来使用媒体平面安全上下文将保护施加到SDS消息中的MCData数据有效载荷,以便在信令平面上与接收 MCDataUE执行一对一通信和群通信中的一者。
在各种实施例中,即使在具有或不具有信令平面安全上下文的情况下通过信令平面传送SDS消息,也使用媒体平面安全上下文来实现MCData的 SDS消息的端到端保护。
在一些实施例中,为了在信令平面上对短数据服务(SDS)消息进行端到端保护,建立并利用媒体平面安全上下文。发射MCData UE包括媒体平面安全上下文的必要信息,所述信息用于在信令平面上保护MCData的SDS,以便接收MCData UE进行解密和/或完整性保护验证。
在各种实施例中,使用媒体平面安全上下文或使用专用MCData数据有效载荷信令密钥来保护SDS消息的MCData数据有效载荷。此外,信令平面安全上下文与其他应用级别组件一起应用。这确保来自交换点(SIP和 MCData服务器)的MCData数据有效载荷安全,并允许在来自未经授权的网络实体的MCData UE之间机密交换MCData数据有效载荷。MCData服务器可以存储加密或密码加密的MCData数据有效载荷,并将加密的MCData 数据有效载荷发射到授权实体(即,接收MCData UE)以进行合法拦截。
在一些实施例中,使用媒体平面安全上下文或使用专用MCData数据有效载荷信令密钥来保护SDS消息的MCData数据有效载荷。此外,使用信令平面安全来保护MC信令参数和MCData数据信令有效载荷。这确保来自交换点(SIP和MCData服务器)的MCData数据有效载荷安全,并允许在 MCData UE之间机密交换MCData数据有效载荷。MCData服务器存储密码加密的MCData数据有效载荷,并将MCData数据有效载荷发射到授权实体以进行合法拦截。
现在参考附图,更具体地参考图1至图8,示出了优选实施例。
图1A示出了根据本文所公开的实施例的示例性MCData通信***,其中在一对一通信中在信令平面上为短数据服务(SDS)消息提供端到端安全。
在详细描述实施例之前,在此简要地描述MCData通信***。通常,如图1A至图1B所示,MCData通信***100包括发射MCData UE 102a、一组接收MCData UE 102b-102n和网络106中的MCData服务器104。MCData 服务器104用作集中式服务器,以使得网络106能够向MCData UE 102a-102n 提供MCData服务。
在一些实例中,网络106包括3GPP E-UTRAN接入元件(未示出)和 3GPP E-UTRAN核心元件(未示出)。例如,发射MCData UE 102a通过 LTE-Uu接口(未示出)或通过演进节点B(eNB,未示出)获得对网络106 的接入。此外,MCData服务器104可以耦合到网络106的各种接入/核心元件。例如,MCData服务器104可以通过一个或多个合适的接口参考点耦合到服务网关/分组数据网关。诸如移动管理实体(MME)和多媒体广播/多播服务网关(MBMS GW)的各种核心元件可以向MCData服务器104和/或 MCData UE 102a-102n提供核心3GPP E-UTRAN服务,以促进通过网络106 进行的MCData通信服务。
在一个实施例中,MCData UE 102a-102n可以用于例如电子装置、用户设备(UE)等。MCData UE 102a-102n中的每一个可以包括用于与MCData 服务器104通信的MCData客户端(即,应用)。第一MCData UE 102a包括第一MCData客户端;第二MCData UE 102b包括第二MCData客户端等。
驻留在MCData UE 102a-102n中的每一个的MCData客户端充当所有 MCData应用事务的用户代理。MCData客户端支持由如会话管理、机器人控制、增强状态、数据库查询和安全互联网的MCData服务使用的SDS、文件分发、数据流传输和IP连接MCData功能。
MCData服务器104为MCData服务套件提供集中支持。使用SDS、文件分发、数据流传输和互联网协议(IP)连接MCData通信功能实现了对话管理、机器人、增强状态、数据库查询和需要一对一数据或群通信的安全互联网MCData服务。支持属于单个群的用户的所有MCData客户端都需要为所述群使用相同的MCData服务器104。在一个实施例中,HTTP用作用于 MCData通信的通信输送手段。
现在参考图1A,MCData通信***100包括发射MCData UE 102a、网络106中的MCData服务器104、接收MCData UE 102b和用于为SDS消息中的内容加密提供安全密钥的密钥管理服务器(KMS)108。MCData服务器104通过网络106促进/提供在第一MCData UE 102a与第二MCData UE 102b之间的一对一单向SDS通信。
在一对一通信中,发射MCData UE 102a将SDS消息发射到接收MCData UE 102b。最初,发射MCData UE 102a标识短数据服务(SDS)消息中的 MC信令参数和MCData数据有效载荷。MC信令参数包括MCData信令参数、MCData数据信令有效载荷和端到端安全参数(与安全机制有关的信息)。 MCData信令参数包括通用任务关键服务信令元素,但不限于群标识符(ID)、用户ID等。MCData数据信令有效载荷包括标识和管理MCData消息所必需的信息元素,但不限于会话ID、事务ID和处置请求等。MCData数据有效载荷包括MCData用户或呈文本、二进制、超链接等形式的应用消耗的实际用户有效载荷。
在一个实施例中,第一MCData UE 102a利用信令平面安全上下文对 MC信令参数(如上所述的MCData信令参数、端到端安全参数和MCData 数据信令有效载荷)施加加密和/或完整性保护,以便将SDS消息发射到接收MCData UE 102b。此外,发射MCData UE 102a使用媒体平面安全上下文来对SDS消息中的MCData数据有效载荷施加保护。
在一个实施例中,使用具有在发射MCData UE处生成的私有呼叫密钥 (PCK)的媒体平面安全上下文来对SDS消息中的MCData数据有效载荷施加加密。此外,PCK的标识符被附加到由发射MCData UE发射到接收MCData UE的每个SDS消息。
MCData服务器104使用从KMS 108接收的PCK来对MC信令参数进行解密。此外,MCData服务器104将MCData数据有效载荷发射到接收 MCData UE 102b。
用于对用于一对一通信的SDS消息进行加密的各种实施例将结合说明书的后面部分中的附图进行描述。
图1B示出了根据本文所公开的实施例的示例性MCData通信***,其中在群通信中在信令上为SDS消息提供端到端安全。
对于群通信,发射MCData UE 102a利用信令平面安全上下文对SDS消息中的MC信令参数施加加密和完整性保护。
在一个实施例中,发射MCData UE 102a使用媒体平面安全来对SDS消息中的MCData数据有效载荷施加加密。应当注意,使用具有从群管理服务器(GMS)110接收的对称群主密钥(GMK)的媒体平面安全上下文来对 SDS消息中的MCData数据有效载荷施加加密,以便执行与接收MCData UE 102b-102n的群通信。
群管理服务器(GMS)110生成GMK并将密钥发射到发射MCData UE 102a和一个或多个接收MCData UE 102b-102n。
在一个实施例中,用于群密钥标识符(GMK-ID)的标识符被附加到每个SDS消息,以便在群通信期间唯一地标识SDS消息。
接收MCData UE 102b-102n使用附加到每个SDS消息的GMK-ID来对 MCData数据有效载荷进行解密。
图2是示出了根据如本文所公开的实施例的发射MCData UE 102a的各种硬件部件的框图。发射MCData UE包括通信器202、MCData保护引擎204、处理器和存储器。
在一个实施例中,通信器202可以被配置为在一对一MCData通信的情况下将SDS消息从发射MCData UE 102a发射到接收MCData UE 102b。
在另一个实施例中,通信器202可以被配置为在一对一MCData通信的情况下将SDS消息从发射MCData UE 102a发射到接收MCData UE 102b-102n。
此外,通信器202还可以被配置为基于在MCData请求消息中启用的信息元素从接收MCData UE 102b接收MCData处置通知消息,并且将MCData 处置通知发射到第一MCDataUE 102a。在MCData请求消息中启用的信息元素可以是会话标识符、有效载荷目的地类型、处置类型和事务类型中的一者。
MCData保护引擎204可以被配置为利用用于一对一和群通信的信令平面安全上下文对SDS消息中的MC信令参数施加加密和完整性保护。此外, MCData保护引擎204可以被配置为在信令平面上使用用于一对一通信和群通信中的一者的媒体平面安全上下文对SDS消息中的MCData数据有效载荷施加加密。
在一个实施例中,处理器206(例如,硬件单元、设备、中央处理单元 (CPU)、图形处理单元(GPU)等)通信地耦合到存储器208(例如,易失性存储器和/或非易失性存储器);存储器208包括被配置为可通过处理器206 寻址的存储位置。
在一个实施例中,存储器208可以被配置为存储从第二MCData UE 102b-102n接收的MCData处置通知消息,以便处置来自授权MCData UE的历史询问。存储器208可以包括非易失性存储元件。此类非易失性存储元件的实例可以包括磁性硬盘、光盘、软盘、闪速存储器、或电可编程存储器 (EPROM)或电可擦除和可编程存储器(EEPROM)的形式。另外,在一些实例中,存储器408可以被认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质不体现在载波或传播信号中。然而,术语“非暂时性”不应解释为存储器208是不可移动的。在一些实例中,存储器208可以被配置为存储比存储器更大量的信息。在某些实例中,非暂时性存储介质可以存储可随时间变化的数据(例如,在随机存取存储器(RAM)或高速缓存中)。
图3是示出了根据本文所公开的实施例的用于在信令平面上为短数据服务(SDS)消息提供端到端安全的方法的流程图300。流程图300的各个步骤由MCData保护引擎204在发射MCData UE 102a处执行。
在步骤302处,所述方法包括标识短数据服务(SDS)消息中的MC信令参数。
在步骤304处,所述方法包括利用信令平面安全上下文对SDS消息中的MC信令参数施加加密和完整性保护中的至少一者。
在步骤306处,所述方法包括使用用于一对一通信和群通信的媒体平面安全上下文来对SDS消息中的MCData数据有效载荷施加加密和完整性保护中的至少一者。
图4示出了根据本文所公开的实施例的呈明文的通用MCData SDS消息格式。此消息应包括如下所述的2个级别的信息。
SIP级:MCData SDS消息遍历SIP***所必需的信息元素或SIP报头。
应用级:打算用于MCData应用的实际MCData SDS消息内容。
为了提供安全上下文,应用级数据被分成三(3)个子组件。
MCData信令参数:这些是通用任务关键服务信令元素(将SDS消息重定向到预期接收者群或用户所必需的信息元素)。这些包含诸如群id、用户 id等信息。在MC服务服务器上必须要求此类MCData信令参数用于消息的适当重定向,并且不应利用端到端安全上下文进行加密,但可以使用用于保护信令平面的安全上下文来进行保护。
MCData数据信令有效载荷:标识和管理MCData SDS消息所必需的信息元素。MCData服务器和MCData客户端两者都使用这些元素,诸如会话标识符、事务标识符、处置请求、日期和时间等。MCData服务器需要此信息来处置授权用户的历史管理。如果需要处置历史管理,则这些参数不应当是端到端加密的,而是可以使用在MCData服务器与MCData客户端之间唯一共享的安全上下文来保护。MCData数据信令有效载荷包含端到端安全参数,从而指定用于保护数据有效载荷的密码元素。在一个实施例中,MCData 数据信令有效载荷和端到端安全参数可以作为单独的组件包括在内。
MCData数据有效载荷:这是MCData用户或应用消耗的实际用户有效载荷。即使在信令平面上进行通信,这些参数也可以是端到端保护的。但是,如果我们使用用于信令平面保护的当前(3GPP Release-13)最新技术,则仅实现逐跳或点对点保护。
图4示出了根据本文所公开的实施例的呈明文的通用MCData SDS消息格式。如图4所示的MCData SDS消息包括如下所述的两个级别(即,SIP 级和应用级)的信息。
SIP级信息包括MCData SDS消息遍历SIP***所需的元素或SIP报头。应用级包括意图用于MCData应用的MCData SDS消息内容。
为了提供SDS消息的端到端安全,应用级信息被划分为三个子组件,其包括MCData信令参数、MCData数据信令有效载荷和MCData数据有效载荷。
MCData信令参数:这些是将SDS消息重定向到预期接收者群或用户所必需的信息元素。这些参数包含诸如群id、用户id等信息。在MC服务服务器104处要求MC服务信令信息用于SDS消息的适当重定向,并且不应利用端到端安全进行加密,但可以使用用于保护信令平面的安全上下文来进行保护。
MCData数据信令有效载荷:MCData数据信令有效载荷包括标识和管理MCData SDS消息所必需的信息元素。MCData服务器104和MCData UE 都使用或消耗这些元素,诸如会话标识符、事务标识符、处置请求、日期和时间等。MCData服务器104需要此信息来处置授权MCData用户的历史管理。如果需要处置历史管理,则这些参数不应当是端到端加密的,而是可以使用在发射MCData UE 102a、MCData服务器104和接收MCData UE 102b 之间唯一共享的安全上下文来保护。
MCData数据有效载荷:MCData数据有效载荷表示MCData用户或应用消耗的用户数据。MCData数据有效载荷在通过信令平面进行通信时受到端到端保护。
图5示出了根据本文所公开的实施例的具有点对点加密的MCData SDS 消息格式。如图5所示,发射MCData UE 102a利用信令平面安全上下文保护MCData信令参数、MCData数据信令有效载荷和MCData数据有效载荷。当信令平面安全上下文被应用于MCData数据有效载荷时,MCData数据有效载荷可以在MCData服务器104处可读。
图6示出了根据本文所公开的实施例的具有端到端加密的MCData SDS 消息格式。如图6所示,发射MCData UE 102a利用信令平面安全上下文保护SDS消息中的MCData信令参数、MCData数据信令有效载荷。
在一个实施例中,发射MCData UE 102a使用媒体平面安全上下文保护 SDS消息中的MCData数据有效载荷,并进一步将信令平面安全上下文应用于MCData数据有效载荷,如图6所示。
因此,通过使用媒体平面安全上下文对SDS消息中的MCData数据有效载荷进行加密并进一步施加完整性保护,MCData数据有效载荷在MCData 服务器104处是不可读的,这提供了更高的安全性和机密性。对于合法拦截和监视,MCData服务器104可以存储加密的MCData数据有效载荷,其进一步可以由授权的接收MCData UE 102b-102n使用适当的密钥来获得和解密。发射MCData UE 102a包括用于保护的必要的媒体平面安全上下文参数 (诸如用于生成密钥流的密钥ID(例如,MKI)、会话信息(例如,SSRC) 等),并且接收器MCData客户端使用它来标识适当的安全上下文(例如,由发射MCData UE 102a使用的密钥)。
参考图6,如下所述保护SDS消息的组件。
SIP级:明文。
应用级:
a.MCData信令参数:利用信令平面安全上下文进行保护
b.MCData数据信令有效载荷:利用信令平面安全上下文进行保护
c.MCData数据有效载荷:首先用媒体平面安全上下文进行保护,然后再用信令平面安全上下文进行保护(即双重加密)
图7示出了根据本文所公开的实施例的具有端到端加密的另一MCData SDS消息格式。如图7所示,发射MCData UE 102a利用信令平面安全上下文保护MCData信令参数、MCData数据信令有效载荷,并且利用媒体平面安全上下文保护MCData数据有效载荷。
利用媒体平面安全上下文对MCData数据有效载荷进行加密,MCData 数据有效载荷在MCData服务器104处是不可读的,这提供了更高的安全性和机密性。然而,受保护的MCData数据有效载荷在SIP服务器处可用。对于合法拦截和监视,MCData服务器104或SIP服务器可以存储加密的 MCData数据有效载荷,其进一步可以由授权的接收MCData UE 102b-102n 获得和解密。发射MCData UE 102a包括用于保护的必要的媒体平面安全上下文参数(如用于生成密钥流的密钥ID(例如,MKI)、会话信息(例如, SSRC)等),并且接收器MCData客户端使用它来标识适当的安全上下文(例如,由发射器使用的密钥)。
参考图7,如下所述保护SDS消息的组件:
SIP级:明文。
应用级:
a.MCData信令参数:利用信令平面安全上下文进行保护
b.MCData数据信令有效载荷:利用信令平面安全上下文进行保护
c.MCData数据有效载荷:利用媒体平面安全上下文进行保护
图8示出了根据本文所公开的实施例的具有端到端加密的替代MCData SDS消息格式。在一个实施例中,图8示出了端到端保护的MCData SDS消息,其中向发射MCData UE102a提供专用加密/完整性保护密钥,以在信令平面上进行通信时加密/完整性保护MCData数据有效载荷。利用如图8所示的消息格式,MCData数据有效载荷在MCData服务器104处是不可读的,这提供了更高的安全性和机密性。
对于合法拦截和监视,MCData服务器104或SIP服务器可以存储加密的MCData数据有效载荷,其可以由接收MCData UE 102b-102n获得和解密。发射MCData UE 102a包括用于保护的必要的媒体平面安全上下文参数(如用于生成密钥流的密钥ID(例如,MKI)、会话信息(例如,SSRC)等),并且接收器MCData客户端使用它来标识适当的安全上下文(例如,由发射 MCData UE使用的密钥)。
参考图8,如下所述保护SDS消息的组件。
SIP级:明文。
应用级:
a.MCData信令参数:利用信令平面安全上下文进行保护
b.MCData数据信令有效载荷:利用信令平面安全上下文进行保护
c.MCData数据有效载荷:利用专用MCData数据有效载荷信令平面密钥进行保护,然后利用信令平面安全上下文进行保护
本文中公开的实施例可以通过在至少一个硬件装置上运行并且执行网络管理功能以控制元件的至少一个软件程序来实施。
具体实施例的前述描述将如此充分地揭示本文实施例的一般性质,其他人在不脱离一般概念的情况下可以通过应用当前知识来容易地修改和/或适应各种应用,并且因此,在所公开的实施例的等同物的含义和范围内,应当并且旨在理解这些改编和修改。应理解,本文采用的措辞和术语仅用于描述的目的,并且不应视为限制。因此,尽管已经根据优选实施例描述了本文实施例,但是本领域技术人员将认识到,可以在本文所述的实施例的精神和范围内通过修改来实践本文实施例。
Claims (15)
1.一种在任务关键数据MCData通信***中在信令平面上发射短数据服务SDS消息以执行一对一通信和群通信中的一者的方法,所述方法包括:
利用信令平面安全上下文对MCData信令参数和MCData数据信令有效载荷施加机密性保护和完整性保护;
基于端到端安全上下文对MCData数据有效载荷施加机密性保护和完整性保护;以及
发射包括MCData数据信令参数,MCData数据信令有效载荷和MCData数据有效载荷的SDS消息。
2.如权利要求1所述的方法,其中使用用于一对一通信的私有呼叫密钥PCK对所述SDS消息中的所述MCData数据有效载荷施加机密性保护和完整性保护中的至少一者。
3.如权利要求1所述的方法,其中SDS消息包括指定用于保护MCData数据有效载荷的加密元素的端到端安全参数。
4.如权利要求2所述的方法,其中SDS消息包括用于PCK的标识符(PCK-ID)。
5.如权利要求1所述的方法,其中使用用于群通信的群主密钥GMK来对所述SDS消息中的所述MCData数据有效载荷施加机密性保护和完整性保护中的至少一者。
6.如权利要求5所述的方法,其中所述GMK是从群管理服务器(GMS)接收的。
7.如权利要求5所述的方法,其中用于GMK的标识符(GMK-ID)被附加到所述SDS消息中的每一个。
8.如权利要求1所述的方法,其中MCData信令参数包括群ID或用户ID的至少一者。
9.如权利要求1所述的方法,其中MCData数据信令有效载荷包括会话标识符、事务标识符或处置请求的至少一者。
10.如权利要求1所述的方法,其中使用客户端-服务器密钥CSK保护在客户端与服务器之间的MCData信令参数和MCData数据信令有效载荷。
11.如权利要求1所述的方法,其中使用私有呼叫密钥PCK保护在两个离线客户端之间的MCData信令参数和MCData数据信令有效载荷。
12.如权利要求1所述的方法,其中使用群管理密钥GMK保护在一组离线客户端之间的MCData信令参数和MCData数据信令有效载荷。
13.如权利要求1所述的方法,其中一对一通信包括用于两个在线客户端的通信和用于两个离线客户端的通信之一,以及,其中,群通信包括用于一组在线客户端的通信和用于一组离线客户端的通信之一。
14.一种在任务关键数据MCData通信***中在信令平面上发射短数据服务SDS消息以执行一对一通信和群通信中的一者的任务关键数据MCData用户设备UE,发射MCData UE包括:
处理器,配置为:
利用信令平面安全上下文对MCData信令参数和MCData数据信令有效载荷施加机密性保护和完整性保护;以及
基于端到端安全上下文对MCData数据有效载荷施加机密性保护和完整性保护,和
收发器,配置为发射包括MCData数据信令参数,MCData数据信令有效载荷和MCData数据有效载荷的SDS消息。
15.如权利要求14所述的用户设备,其中该用户设备根据权利要求2到13中之一来实施。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201741003145 | 2017-01-27 | ||
IN201741003145 | 2018-01-24 | ||
PCT/KR2018/001223 WO2018139910A1 (en) | 2017-01-27 | 2018-01-29 | Method for providing end-to-end security over signaling plane in mission critical data communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110249584A CN110249584A (zh) | 2019-09-17 |
CN110249584B true CN110249584B (zh) | 2022-04-19 |
Family
ID=62979727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880008688.4A Active CN110249584B (zh) | 2017-01-27 | 2018-01-29 | 用于在任务关键数据通信***中提供端到端安全的方法 |
Country Status (5)
Country | Link |
---|---|
US (2) | US11316678B2 (zh) |
EP (1) | EP3571807B1 (zh) |
KR (1) | KR102556491B1 (zh) |
CN (1) | CN110249584B (zh) |
WO (1) | WO2018139910A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020168467A1 (en) * | 2019-02-19 | 2020-08-27 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Terminal and method for performing a group communication |
WO2020184949A1 (en) | 2019-03-11 | 2020-09-17 | Samsung Electronics Co., Ltd. | Method and apparatus for key management in mission critical data communication |
WO2020246860A1 (en) * | 2019-06-06 | 2020-12-10 | Samsung Electronics Co., Ltd. | Method and apparatus for initiating a communication session using mission critical services |
CN117177237B (zh) * | 2023-11-02 | 2024-01-19 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种铁路5g专网mcx文件业务加密传输的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4525780A (en) * | 1981-05-22 | 1985-06-25 | Data General Corporation | Data processing system having a memory using object-based information and a protection scheme for determining access rights to such information |
CN1993897A (zh) * | 2004-03-10 | 2007-07-04 | 美商内数位科技公司 | 无线通信***的外环功率控制中目标信干比的调节 |
CN102187599A (zh) * | 2008-08-15 | 2011-09-14 | 三星电子株式会社 | 在移动通信***中安全保护的非接入层面协议操作支持方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0632653B1 (en) * | 1993-05-27 | 2000-09-06 | Matsushita Electric Industrial Co., Ltd. | Digital high definition video recorder having high definition display in trick-play modes |
GB0020323D0 (en) | 2000-08-17 | 2000-10-04 | Simoco Int Ltd | Short data messages in mobile communications systems |
US6883029B2 (en) * | 2001-02-14 | 2005-04-19 | Hewlett-Packard Development Company, L.P. | Separate read and write servers in a distributed file system |
US6847801B2 (en) * | 2001-08-30 | 2005-01-25 | The Boeing Company | Communications system and method employing forward satellite links using multiple simultaneous data rates |
FI20025018A (fi) | 2002-04-23 | 2003-10-24 | Nokia Corp | Järjestelmä digitaalisessa langattomassa tiedonsiirtoverkossa päästä päähän -salauksen järjestämiseksi ja vastaava päätelaite |
US7197327B2 (en) | 2004-03-10 | 2007-03-27 | Interdigital Technology Corporation | Adjustment of target signal-to-interference in outer loop power control for wireless communication systems |
CN101005489A (zh) | 2006-01-20 | 2007-07-25 | 华为技术有限公司 | 一种保护移动通信***网络安全的方法 |
CN101222324B (zh) | 2008-01-23 | 2012-02-08 | 中兴通讯股份有限公司 | 用于端到端的媒体流安全的实现方法和装置 |
WO2016003157A1 (en) | 2014-06-30 | 2016-01-07 | Lg Electronics Inc. | A method and appartus for supporting a mission critical push to talk service in a wireless access system |
US9936498B2 (en) * | 2014-11-04 | 2018-04-03 | Qualcomm Incorporated | High reliability low latency mission critical communication |
US9894553B2 (en) | 2014-11-20 | 2018-02-13 | Intel Corporation | Evolved node-B, user equipment and methods for mission-critical machine type communication |
US10362011B2 (en) * | 2015-07-12 | 2019-07-23 | Qualcomm Incorporated | Network security architecture |
US10623914B2 (en) * | 2016-02-17 | 2020-04-14 | Tracfone Wireless, Inc. | Device, system, and process for providing real-time short message data services for mission critical communications |
US10382208B2 (en) * | 2016-04-29 | 2019-08-13 | Olympus Sky Technologies, S.A. | Secure communications using organically derived synchronized processes |
-
2018
- 2018-01-29 WO PCT/KR2018/001223 patent/WO2018139910A1/en unknown
- 2018-01-29 US US16/481,324 patent/US11316678B2/en active Active
- 2018-01-29 EP EP18744777.6A patent/EP3571807B1/en active Active
- 2018-01-29 CN CN201880008688.4A patent/CN110249584B/zh active Active
- 2018-01-29 KR KR1020197022289A patent/KR102556491B1/ko active IP Right Grant
-
2022
- 2022-01-12 US US17/573,942 patent/US11770247B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4525780A (en) * | 1981-05-22 | 1985-06-25 | Data General Corporation | Data processing system having a memory using object-based information and a protection scheme for determining access rights to such information |
CN1993897A (zh) * | 2004-03-10 | 2007-07-04 | 美商内数位科技公司 | 无线通信***的外环功率控制中目标信干比的调节 |
CN102187599A (zh) * | 2008-08-15 | 2011-09-14 | 三星电子株式会社 | 在移动通信***中安全保护的非接入层面协议操作支持方法 |
Non-Patent Citations (2)
Title |
---|
"23799-050_clean".《3GPP spec\23_series》.2016, * |
S3-162005 "TR 33.880";CESG;《3GPP tsg_sa\WG3_Security》;20161110;全文 * |
Also Published As
Publication number | Publication date |
---|---|
US20220141009A1 (en) | 2022-05-05 |
US20190387398A1 (en) | 2019-12-19 |
EP3571807A4 (en) | 2019-11-27 |
EP3571807B1 (en) | 2021-09-22 |
CN110249584A (zh) | 2019-09-17 |
EP3571807A1 (en) | 2019-11-27 |
US11316678B2 (en) | 2022-04-26 |
KR102556491B1 (ko) | 2023-07-17 |
US11770247B2 (en) | 2023-09-26 |
KR20190104044A (ko) | 2019-09-05 |
WO2018139910A1 (en) | 2018-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11888979B2 (en) | Method of performing device to device communication between user equipments | |
US11770247B2 (en) | Method for providing end-to-end security over signaling plane in mission critical data communication system | |
US8935529B2 (en) | Methods and systems for end-to-end secure SIP payloads | |
CN112104604B (zh) | 基于电力物联管理平台的安全接入服务实现***及方法 | |
Ahmed et al. | Secure LTE-based V2X service | |
CN102088441B (zh) | 消息中间件的数据加密传输方法和*** | |
CN105792190B (zh) | 通信***中的数据加解密和传输方法 | |
CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
CN104041089A (zh) | 用于验证公共预警消息的公钥的管理 | |
CN1983921B (zh) | 一种端到端媒体流安全的实现方法及*** | |
CN110808834A (zh) | 量子密钥分发方法和量子密钥分发*** | |
WO2022027476A1 (zh) | 密钥管理方法及通信装置 | |
WO2024041498A1 (zh) | 一种保密通信处理方法、第一终端及存储介质 | |
US8924722B2 (en) | Apparatus, method, system and program for secure communication | |
CN114765546B (zh) | 端到端硬加密方法、***、加密设备、密钥管理服务器 | |
EP3188402A1 (en) | Method to establish a private and confidential connection | |
US9191410B2 (en) | Method and apparatus for enhancing communication security | |
KR102656615B1 (ko) | Mc 통신 시스템에서 보안 절차를 처리하기 위한 방법 및 장치 | |
CN110890968B (zh) | 一种即时通信方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |