安全端对端和组通信的利记博彩app
【专利说明】安全端对端和组通信
[0001] 相关申请的交叉引用
[0002] 本申请要求2013年4月5日提交的美国临时专利申请No. 61/809, 067以及2013 年11月1日提交的美国临时专利申请No. 61/898, 763的权益,所述申请的内容作为引用结 合于此,如同在此处全部阐述。
【背景技术】
[0003] 设备对设备(D2D)通信,在一些情况下也被称作端对端通信(P2P)可以经由直接 路径或本地路径实现。在两个设备之间的直接路径D2D通信中,物理通信在两个设备之间 为直接的,由此在两个设备之间不存在媒介。在两个示例设备之间的本地路径D2D通信中, 所述通信可以为通过两个设备所连接到的节点诸如e节点B (eNB)。D2D通信可以被利用成 实现诸如诸如3GPP的接近性服务(ProSe)。接近性服务通常称作当设备在彼此的物理接近 性范围内时触发的服务、应用、通信等等。示例性接近性服务包括公共安全应用、社交应用 等等。接近性服务也可以被物理上不彼此接近的两个设备使用。例如,彼此不物理接近的 两个设备可以通过使用与充当两个设备之间的中继节点的其它设备的D2D通信使用接近 性服务。接近性服务还被无限制地称作基于接近性的服务。
[0004] 接近性服务的不同实现对通信系统提出了不同的需求。实现接近性服务的现有方 法缺乏安全性,诸如接近性服务通信的完整性和保密性。此外,在P2P和组通信期间的接近 性服务的发现期间可能缺乏私有性。
【发明内容】
[0005] 在此处描述的各种示例实施方式中,启用了接近性服务的安全性(ProSe)。在示例 实施方式中,在网络层处的现有安全性关联被操控以生成ProSe网络级安全性关联。根据 另一示例实施方式,在应用层处的现有安全性关联被操控以生成ProSe网络层关联。类似 地,在应用层处的现有安全性关联被操控以生成ProSe应用层关联。在又一示例实施方式 中,在网络层处的安全性关联被操控以生成ProSe应用层关联。
[0006] 在一种实施方式中,一个或多个用户设备(UE)诸如第一 UE和第二UE分别具有与 网络实体的预先建立的安全性关联。例如,网络实体可以为e节点B(eNB)或移动管理实体 (MME)。接近性服务安全性功能(PSSF)可以获取与所述第一 UE和所述网络实体之间的所 述预先建立的安全性关联相关联的第一密钥,并且PSSF可以获取与所述第二UE和所述网 络实体之间的所述预先建立的安全性关联相关联的第二密钥。根据所述示例,PSSF接收指 示所述第一 UE和所述第二UE期望参与接近性通信的通知。PSSF可以基于所述第一密钥和 所述第二密钥导出分别能够由所述第一 UE和所述第二UE使用的第一和第二中间密钥,从 而导出用于所述第一 UE和所述第二UE之间的安全接近性通信的公共共享密钥。
【附图说明】
[0007] 更详细的理解可以从下述结合附图以示例的方式给出的详细描述中得到,其中:
[0008] 图1为示例接近性服务无线电级架构的系统图;
[0009] 图2为根据示例实施方式涉及安全接近性服务通信的实体的框图;
[0010] 图3为组通信实现的图;
[0011] 图4为示例安全性功能的框图;
[0012] 图5为示例安全性类型的框图;
[0013] 图6为根据示例实施方式的示例接近性服务接入层(AS) (PrAS)架构的框图;
[0014] 图7A为根据示例实施方式用于密钥生成和分发的流程图,其中接近性服务安全 性功能(PSSF)在eNB上实现;
[0015] 图7B为根据另一示例实施方式用于密钥生成和分发的流程图,其中PSSF在移动 管理实体(MME)上实现;
[0016] 图8为用于示例发现方法的流程图;
[0017] 图9为根据示例实施方式用于认证的基于标识的加密(IBE)密钥交换的流程图;
[0018] 图IOA为根据示例实施方式用于基于网络的组密钥导出的流程图;
[0019] 图IOB为根据示例实施方式用于密钥更换的流程图,其中成员加入组并且另一成 员离开该组;
[0020] 图IlA为根据示例实施方式用于标识列表处理的流程图;
[0021] 图IlB为根据示例实施方式基于预先共享的密钥的认证过程的流程图;
[0022] 图IlC为根据示例实施方式基于预先共享的密钥和其它参数的认证过程的流程 图;
[0023] 图IlD为根据示例实施方式针对基于认证流程的数字签名的流程图;
[0024] 图12A为可以在其中实现一个或多个所公开的实施方式的示例通信系统的系统 图;
[0025] 图12B为示例无线发射/接收单元(WTRU)的系统图,其中所述WTRU可以在如图 12A所示的通信系统中使用;以及
[0026] 图12C描述了示例无线电接入网络和示例核心网络的系统图,其中所述示例核心 网络可以在如图12A所示的通信系统中使用。
【具体实施方式】
[0027] 确保具体的描述被提供以描述示例实施方式并且不意在限制本发明的范围、应用 性或配置。各种变化可以在元件和步骤的功能和排列中做出而不偏离本发明的精神和范 围。
[0028] 如上所描述,当前技术缺少安全接近性服务通信使得所述通信为保密的和可靠 的。此处描述的各种实施方式启用安全的D2D通信。此外,此处描述的各种实施方式可以 在使用接近性服务的各种示例场景(使用情况)中实施。在接近性服务的社交应用的示例 中,D2D用户能够发现并且被属于用户组的其它D2D用户发现(例如,好友列表)。发现的 用户可以经由社会网络应用通过D2D链路进行通信。发现可以无需用户设备(UE)的位置 信息来执行。在接近性服务的另一示例社交应用中,D2D用户可以被另一 D2D用户公开地 发现而无需在允许被发现先前授权。可替换地,在限制的发现模式中,仅授权的D2D用户能 够发现感兴趣的其它D2D用户。在又一示例场景中,属于不同公共陆地移动网络(PLMN)的 D2D用户能够彼此发现。例如,当他们彼此发现时设备正在漫游。在各种示例实施方式中, 设备可以在直接路径模式和本地路径模式之间切换而用户无可感知降级。本地路径模式指 包括两个设备之间的媒介(intermediary)的两个设备之间的通信。本地路径模式还在此 处无限制地被称作基础设施模式。直接路径称作在两个设备之间不包括媒介的两个设备之 间的通信链路。运营商可以使用接近性服务提升其位置和存在信息。
[0029] 此处描述的各种实施方式还可以在使用接近性服务的各种示例公共安全场景 (使用情况)中实施。在接近性服务的示例公共安全(PS)应用中,两个授权的公共安全成 员(用户)能够直接通过D2D链路进行通信。在又一使用接近性服务的示例公共安全应用 中,PS D2D用户能够维护与不同PS用户的多个同时的1对1的D2D会话。
[0030] 参考图1,示出了 LTE D2D直接路径101的示例协议栈视图。图1说明了示例接近 性服务系统100,包括eNB 102和多个UE,诸如第一 UE 104和第二UE 106。根据所描述的 示例,对于LTE直接路径传输,一个或多个独立的数据无线电承载108 (描述为接近性服务 接入层(PrAS) 108),被设置用于通过直接路径101的用户平面数据的传输。例如,在一个或 多个层诸如物理层(PHY)、媒体接入控制(MAC)层、无线电链路控制(RLC)层和分组数据聚 合协议(PDCP)层的每一者处的承载可以为在UE 104和106处终止的数据。UE 104和106 可以分别同时彼此以及与eNB 102进行连接。根据所描述的示例,控制平面诸如无线电资 源控制110在UE 104和eNB 102之间终止。尽管接近性服务系统100显示了一个eNB 102 和两个UE 104和106,可以理解的是任意数量的UE和eNB可以为所期望的接近性服务系统 的一部分。
[0031] 第三代合作伙伴项目(3GPP),生成针对接近性服务(ProSe)的规范的标准化主体 已经定义了针对一个或多个UE之间的直接通信的安全性要求。此处描述的实施方式使得 系统能够满足至少一些安全性需求。例如,根据此处描述的各种实施方式构造的演进的分 组系统(EPS),称作针对LTE设计的示例架构,可以确保通过接近性服务通信的数据(例如, 用户数据、网络信令数据)的保密性和完整性以及ProSe协助的WLAN直接通信路径变得安 全到至少与由现有3GPP系统所提供的那些可比较的级别。此处可识别的是EPS仅被3GPP 要求以提供用于信令的保密性和完整性保护(例如,接入层(AS)和非接入层(NAS))。也就 是,根据3GPP的需求,用户平面数据仅被保密性保护。
[0032] 此处描述的实施方式使得EPS能够在使用ProSe发现和通信时保护订户、UE以及 用户永久标识的保密性。示例EPS还包括使得订户、UE和用户的永久标识能够在使用ProSe 协助的WLAN直接通信时受保护的保密性特征。
[0033] 如此处所描述,接近性服务系统可以确保由运营商和用户授权的应用所使用的接 近性服务发现信息的确实性。例如,可被发现的许可可以由用户给予并且基于每个应用受 运营商控制由EPS执行。举另一个例子,EPS可以限制接近性服务发现信息给ProSe使能 的UE以及受用户和运营商授权的应用。此处描述的示例系统可以支持区域的或国家的监 管需求(例如,合法监听)。
[0034] 参考图2,根据所描述的实施方式,示例接近性服务系统200包括接近性服务安全 性功能(PSSF) 202。接近性服务系统200可以包括一个或多个UE,诸如与PSSF 202通信的 第一 UE 204和第二UE 206。尽管所描述的实施方式描述了接近性服务系统200中的两个 UE,但应该理解的是任意数量的UE可以被包括在所期望的接近性服务系统中。例如以及无 限制地,PSSF202可以位于eNB,移动管理实体(MME);作为接近性服务(ProSe)服务器的一 部分;应用层处的实体中,诸如接入网络发现和选择功能(ANDSF)处;在UE处或者作为独 立的实体。如此处所使用,ProSe服务器指提供接近性服务的服务器。例如,ProSe服务器 可以提供接近性服务给一对端对端(P2P)用户或给用户组。示例接近性服务包括无限制地 协助UE或网络实体创建无线电承载来启动直接或间接通信,管理数据流、管理应用层处的 用户标识(ID)至网络ID、调整通用客户端/服务器应用和服务到P2P会话或组会话或提 供服务质量(QoS)和安全。安全可以通过PSSF方法来实现,所述PSSF方法可以被实现为 ProSe服务器的一部分。在示例实施方式中,对应于PSSF 202的实体位于UE 204和206。 对应于PSSF 202的实体可以执行类似于PSSF 202所执行功能的操作的子集。由此,例如, 对应于PSSF 202的实体可以被称作ProSe客户端。ProSe客户端还可以充当ProSe代理功 能,模拟诸如由PSSF 202所执行的所有功能。如此处进一步所描述,PSSF 202能够执行的 能力包括ProSe会话密钥生成和分发。此外,PSSF 202可以充当ProSe安全策略决定点。 举另一示例,PSSF 202可以辅助合法侦听(例如,密钥委托)并管理隐私和标识(例如,临 时标识)。举又一示例,如以下进一步所描述,PSSF 202还可以充当证书授权方、私有密钥 生成器(PKG)和/或标识提供者(IdP)。
[0035] 在一些实施方式中,PSSF 202可以存在于网络上的中心协调实体中,诸如根据图 2中所描述实体的网络208。中心协调实体可以为网络实体,诸如ProSe服务器、MME或eNB。 可替换地,中心协调实体可以为UE,诸如充当簇首(CH)的UE 204和206的其中一者。
[0036] 参考图3,示例簇首(CH)系统300可以包括一个或多个组,诸如第一组302a和第 二组302b。尽管所描述的CH系统300包括两个组,但应该理解的是任意数量的组诸如多 于或少于两组可以被包括在所期望的CH系统中。如此处所使用,组还可以无限制地被称作 簇。组302a和302b的每一者可以包括一个或多个UE 304。此外,第一和第二组302a-b 的每一者可以分别包括CH。例如,根据所描述的实施方式,第一组302a包括作为CH的UE 304,诸如第一 CH 306a并且第二组302b包括作为CH的UE 304,诸如第二CH 306b。根据 所描述的实施方式,第一和第二簇首306a和306b提供同步、调度和安全。由此,第一和第 二簇首306a和306b可以被分别当作第一和第二组302a和302b的每一者范围内所信任的 实体。在示例实施方式中,另一 CH诸如第三CH 306c为被第一 CH 306a和第二CH 306b所 信任的信任实体。由于UE 304信任其各自CH并且由于第一和第二CH 306a和306b信任 第三CH 306c,UE 304可以诸如根据传递的信任来信任第三CH 306c。由此,第三CH 306c 可以提供安全性服务给希望彼此通信的第一和第二组302a和302b的两者中的UE 304。例 如,簇首306a-c的每一者可以执行安全性功能,包括充当认证服务器、PSSF、针对基于标识 的加密(IBE)的私有密钥生成器(PKG)、标识提供者(IdP)、证书授权方或其任意合适的组 合。充当IdP的CH可以在其组范围内或组之间提供信任。类似地,充当证书授权方的CH可 以为在其组范围内(组内CA)或组之间(组间CA)的授权方。尽管簇首306a-b可以为针 对覆盖范围之内和之外场景中的各个组302a-b的协调实体,在一些实施方式中,协调实体 诸如其中一个簇首306a-b可以具有网络覆盖而组302a-b中的其它UE 304无法接入蜂窝 网络或另一外部网络。由此,簇首306a-b能够促使作为其中一个成员的组范围内的通信给 独立于其自有组的外部组或者至另一网络,诸如由移动网络运营商(MNO)所控制的网络。
[0037] 参考图4,根据所描述的实施方式,ProSe安全性功能的示例描述包括功能400的 组合。功能400的子集可以取决于安全性需要在任何时间运行。此外,根据各种实施方式, 至少部分功能400被合并用于更高的效率。功能400可以在协议栈的不同层处运行。
[0038] 还参考图4,在402处执行发现,其中感兴趣的用户被识别。用户标识可以被限制, 诸如因隐私原因而受保护或未被限制。根据所描述的实施方式,402处的发现之后跟随404 处的认证和授权以及在406处建立安全用户数据通信信道。在可替换的实施方式中,402 处的发现之后不跟随404处的认证和授权。此外,在一些情况中,402处的发现可以从功能 400中忽略。举个例子,对讲机可以执行认证和授权而不执行发现。在402处,根据所描述 的实施方式,发现包括在402a处的过滤。所述发现可以包括有效地过滤出接近服务或信标 消息,由此仅认为感兴趣的消息被处理。例如,在403a处,回放消息