安全系统和进行安全通信的方法
【技术领域】
[0001]本发明涉及安全系统和进行安全通信的方法,更具体地,涉及提供进行安全发现以形成群组并且确保特定群组的成员之间的通信的方法的安全系统。
【背景技术】
[0002]3GPP (第三代合作伙伴计划)已经开始研究用于商业和公共安全用途的基于邻近的服务(ProSe)。3GPP SA1 (服务工作组)已经发起了对安全通信、UE(用户设备)识别以及隐私保护的一些安全要求。
[0003]ProSe代表最近的和巨大的社会技术趋势。这些应用的原理是要发现在处于彼此邻近的设备中运行的应用的实例,并且最终也交换与应用有关的数据。与此同时,对公共安全社区中的基于邻近的发现和通信引起了人们的关注。
[0004]ProSe通信能够经由eNB (演进的节点B)或者在没有eNB的情况下将服务提供给邻近的UE。SA1要求在具有或者不具有网络覆盖的情况下将ProSe服务提供给UE。UE能够发现其它附近的UE或者被其它UE发现,并且它们能够相互通信。在NPL 1中能够找到一些应用实例。
[0005]引用列表
[0006]非专利文献
[0007]NPL 1:3GPP TR 22.803用于邻近服务(ProSe)的可行性研究,(版本12)
【发明内容】
[0008]技术问题
[0009]然而,尽管安全问题涉及群组管理、发现、鉴权、授权、密钥管理和通信终止以及隐私问题,但是3GPP SA3没有提供安全解决方案。
[0010]技术方案
[0011]本发明提出了一种针对上述安全问题的整体安全解决方案。
[0012]在一个实施例中,提供了一种包括多个用户设备(UE)的安全系统,包括:请求设备,该请求设备请求通信;和接收设备,该接收设备接收来自请求设备的通信请求。请求设备和接收设备是特定群组的成员或是当请求设备发现接收设备时加入特定群组的潜在成员。请求设备和接收设备满足对于安全性的一个或者多个要求,对于安全性的要求包括第一要求、第二要求和第三要求,第一要求是通过网络授权请求设备以发现处于特定群组的接收设备或者形成特定群组,第二要求是特定群组中的请求设备和接收设备能够通过直接接口执行相互鉴权并且利用由网络提供的证明来执行授权,第三要求是请求设备和接收设备能够确保直接通信安全。
[0013]在另一实施例中,提供了一种由安全系统提供的进行安全通信的方法,该安全系统包括请求通信的请求设备和接收来自请求设备的通信请求的接收设备,该方法包括:在请求设备发现接收设备之前或者之后加入特定群组;以及满足对安全性的一个或者多个要求。对安全性的要求包括第一要求、第二要求和第三要求,第一要求是通过网络授权请求设备以发现处于特定群组的接收设备或者形成特定群组,第二要求是特定群组中的请求设备和接收设备能够通过直接接口执行相互鉴权并且利用由网络提供的证明来执行授权,第三要求是请求设备和接收设备能够确保直接通信安全。
[0014][有益效果]
[0015]安全系统和进行安全通信的方法能够提供针对安全问题的整体安全解决方案。
【附图说明】
[0016]结合附图,从下面某些优选实施例的描述中,本发明的以上和其它的目的、优点和特征将会更加显而易见,其中:
[0017]图1A是示出在NPL 1中的ProSe通信场景的示意图;
[0018]图1B是示出在NPL1中的ProSe通信场景的示意图;
[0019]图2是示出根据本发明的示例性实施例的提供进行安全通信的方法的系统的示例的不意图;
[0020]图3是示出根据本发明的示例性实施例的安全系统的示意图;
[0021]图4是解释本发明的示例性实施例的进行安全通信的方法的时序图;
[0022]图5A是示出一对一会话的示意图;
[0023]图5B是示出一对多会话的示意图;以及
[0024]图5C是示出多对多会话的示意图。
【具体实施方式】
[0025]下文中,出于描述的目的,当在附图中定向时,术语“上”、“下”、“右”、“左”、“垂直”、“水平”、“顶部”、“底部”、“横向”、“纵向”以及其派生词将会与本发明有关。然而,应该理解的是,本发明可以假定可替选的变化和步骤顺序,除非进行了明显的相反指定。还应该理解的是,在附图中图示并且在下面的说明书中描述的特定的设备和过程仅是本发明的示例性实施例。因此,与在此公开的示例性实施例有关的特定尺寸和其它的物理特性没有被视为限制的。
[0026]在示例性实施例中,尽管将会解释具体地着重于直接通信、发现以及通信的安全解决方案,但是该解决方案也能够被应用于其它的通信。
[0027]首先,将会解释在3GPP TR 21.905 用于3GPP规范的词汇”中给出的定义。
[0028]ProSe直接通信:
[0029]经由没有穿过(traverse)任何网络节点的路径、使用E-UTRAN技术通过用户平面传输的、在ProSe使能的邻近的两个或者多个UE之间的通信。
[0030]ProSe 使能的 UE:
[0031]支持ProSe要求和关联过程的UE。除非另有明确声明,ProSe使能的UE指的是非公共安全UE和公共安全UE两者。
[0032]ProSe使能的公共安全UE:
[0033]还支持ProSe过程和特定于公共安全的能力的ProSe使能的UE。
[0034]ProSe使能的非公共安全UE:
[0035]支持ProSe过程但是不支持特定于公共安全的能力的UE。
[0036]ProSe直接发现:
[0037]利用版本12E-UTRA技术,由ProSe使能的UE采用的仅使用两个UE的能力来发现其附近的其它ProSe使能的UE的过程。
[0038]EPC 级 ProSe 发现:
[0039]EPC确定两个ProSe使能的UE的邻近并且向其通知它们的邻近的过程。
[0040]图1A和图1B是示出在NPL 1中的ProSe通信场景的示意图。当由相同的eNB 19服务ProSe通信中所涉及的UE 11和UE 12,并且网络覆盖范围可用时,系统100a能够决定使用如由图1A中的实线箭头示出的在UE 11,12,eNB 19以及EPC(演进的分组核心)14之间交换的控制信息(例如,会话管理、授权、安全)来执行ProSe通信。出于费用的考虑,对于现有的架构的修改应当被最小化。另外,UE 11和12能够经由如图1A中的虚线箭头所示的ProSe通信路径来交换控制信令。
[0041]当由不同的eNB 19、20服务ProSe通信中所涉及的UE 11和12,并且网络覆盖范围可用时,系统100b能够决定使用如由图1B中的实线箭头所示的在UE ll、12、eNB 19和EPC 14之间交换的控制信息(例如,会话管理、授权、安全)来执行ProSe通信。在此配置中,eNB 11和12可以通过EPC 14相互协调,或者针对如由图1B中的eNB 11和12之间的虚线箭头所示的无线电资源管理而直接地通信。出于费用的考虑,对于现有的架构的信令修改应当被最小化。另外,UE 11和12能够经由如图1B中的在UE 11和UE 12之间的虚线箭头所示的ProSe通信路径交换控制信令。
[0042]如果网络覆盖范围可用于UE的子集,则一个或者多个公共安全UE可以为不具有网络覆盖范围的其它UE中继无线资源管理控制信息。
[0043]如果网络覆盖不可用,则控制路径能够直接存在于公共安全UE之间。在此配置下,公共安全UE能够依赖于预先配置的无线电资源来建立和保持ProSe通信。可替换地,能够驻留在公共安全UE中的公共安全无线资源管理功能能够管理用于公共安全ProSe通信的无线电资源的分配。
[0044]图2是示出根据本发明的示例性实施例的提供进行安全通信的方法的系统的示例的示意图。如图2所示,系统10包括UE 11、UE 12、E-UTERN 13,EPC 14、ProSe功能15、ProSe APP 服务器 16、ProSe APP 17 以及 ProSe APP 180
[0045]UE 11和UE 12能够通过PC5进行通信,UE 11和E-UTERN 13通过LTE_Uul进行通信,并且UE 12能够通过LTE-Uu2和PC3分别与E-UTERN 13和ProSe功能15进行通信。EPC14和ProSe功能15能够通过PC4进行通信,ProSe APP服务器16能够通过SG1和PC1分别与EPC 14和ProSe APP 18进行通信,并且ProSe功能15能够通过PC6与自身通信。
[0046]如上所述,当使用基础设施时,即,经由eNodeB时,能够使用现有密钥。然而,对于设备对设备直接发现和通信,需要新的解决方案;例如,密钥能够从网络被发送到通信方,密钥能够在通信方之间被建立,或者类似的用于协商的算法能够直接地或者经由网络来使用。此外,对于非许可频谱上的安全性也需要新的解决方案。
[0047]支持用于ProSe直接通信一对一的两种不同模式:
[0048]网络独立的直接通信:该用于ProSe直接通信的操作的模式不要求任何网络辅助来授权连接,并且仅使用UE本地的功能和信息来执行通信。不论UE是否由E-UTRAN服务,该模式都仅可应用于预授权的ProSe使能的公共安全UE。
[0049]网络授权的直接通信:该ProSe直接通信的操作的模式始终要求网络辅助,并且当对于公共安全UE,仅一个UE “由E-UTRAN服务”时,也是可应用的。对于非公共安全UE,两个UE必须“由E-UTRAN服务”。
[0050]PC1:
[0051