基于邻近的服务中的安全直接通信所用的设备、系统和方法
【技术领域】
[0001 ] 本发明涉及ProSe(Proximity based Service,基于邻近的服务)所用的设备、系统和方法。特别地,本发明涉及ProSe中的直接通信的安全,并且考虑到网络授权的直接通信。此外,本发明涉及使用PKI (PubliC-Key Infrastructure,公钥基础设施),并且不仅考虑到一对一直接通信,而且还考虑到一对多直接通信。
【背景技术】
[0002]3GPP(第三代合作伙伴计划)已经研究了直接通信(Direct Communicat1n)(参见非专利文献I和2)。
[0003]针对直接通信的关键问题是确保接口PC5的安全。如何利用最少的信令确保接口PC5的安全以及如何利用最少的信令从信任源建立安全上下文(例如包括密钥得出、分配、更新)是重要的事情。
[0004]注意,接口PC5是UE (多于一台的用户设备)之间的参考点,使得UE可以经由该接口PC5进行直接通信。针对ProSe发现、直接通信和UE中继的控制面和用户面,使用接口 PC5。1?直接通信可以直接执行或者经由LTE-Uu执行。
[0005]现有技术文献
[0006]非专利文献
[0007]非专利文献1:3GPP TR 33.cde,"Study on security issues to supportProximity Services(版本 12)",¥0.2.0,2013-07,第5.4、5.5和6.3条,第11、12和13_20页
[0008]非专利文献2:3GPP TR 23.703 , ^Study on architecture enhancements tosupport Proximity Services(ProSe)(版本12) 〃,V0.4.1,2013-06,第5.4、5.12和6.2条,第13、17、18和62-82页
【发明内容】
[0009]发明要解决的问题
[0010]然而,本申请的发明人发现3GPPSA3(安全工作组)的当前解决方案存在以下缺陷。
[0011]I)对MME(移动管理实体)的影响:该解决方案需要在包括密钥材料(keymaterial)分配的直接通信过程中涉及MME。
[0012]2)每当UE想要与其它UE进行直接通信时发生密钥分配过程,这不仅产生信令而且还是在出现并行的一对一通信的情况下发生的。因此,该解决方案不够有效。
[0013]因此,本发明的示例性目的是提供用于有效地确保ProSe中的直接通信的安全的解决方案。
[0014]用于解决问题的方案
[0015]为了实现上述目的,根据本发明的第一典型方面的UE包括:获取部件,用于在所述UE成功地登记至节点时,从所述节点获取根密钥,其中所述节点支持所述UE和所述UE附近的允许与所述UE进行通信的一个或多个不同UE之间的直接通信;以及得出部件,用于通过使用所述根密钥其中之一来得出用以与所述不同UE中的一个UE安全地进行直接通信的一对会话密钥。
[0016]此外,根据本发明的第二典型方面的节点支持彼此邻近的允许彼此进行通信的多个UE之间的直接通信。所述节点包括:获取部件,用于在所述多个UE中的一个UE成功地登记至所述节点时从服务器获取根密钥,其中所述多个UE中的所述一个UE使用所述根密钥来得出用以与所述多个UE中的至少一个其它UE安全地进行直接通信的一对会话密钥,所述服务器管理所述根密钥;以及分发部件,用于将所述根密钥分发给所述多个UE中的所述一个UE。
[0017]此外,根据本发明的第三典型方面的服务器包括:存储部件,用于存储多个UE中的各UE的用以得出一对会话密钥的根密钥,其中所述会话密钥用于与所述多个UE中的至少一个其它UE安全地进行直接通信,所述多个UE彼此邻近并且允许彼此进行通信;以及应答部件,用于通过将所述根密钥发送至节点来应答来自所述节点的请求,其中所述节点支持所述多个UE之间的直接通信。
[0018]此外,根据本发明的第四典型方面的通信系统包括:多个用户设备即多个UE,所述多个UE彼此邻近并且允许彼此进行直接通信;节点,用于支持所述直接通信;以及服务器,用于管理各UE的用以得出一对会话密钥的根密钥,其中所述会话密钥用于与所述多个UE中的至少一个其它UE安全地进行直接通信。所述节点在所述多个UE中的各UE成功地登记至所述节点时从所述服务器获取所述根密钥,并且将所获取的根密钥分发给所述多个UE中的各UE。所述多个UE中的各UE通过使用所分发的根密钥其中之一来得出所述会话密钥。
[0019]此外,根据本发明的第五典型方面的方法提供一种用于控制UE中的操作的方法。所述方法包括以下步骤:在将所述UE成功地登记至节点时从所述节点获取根密钥,其中所述节点支持所述UE和所述UE附近的允许与所述UE进行通信的一个或多个不同UE之间的直接通信;以及通过使用所述根密钥其中之一,得出用于与所述不同UE中的一个UE安全地进行直接通信的会话密钥。
[0020]此外,根据本发明的第六典型方面的方法提供一种用于控制节点中的操作的方法,其中所述节点支持彼此邻近的允许彼此进行通信的多个UE之间的直接通信。所述方法包括以下步骤:在所述多个UE中的一个UE成功地登记至所述节点时从服务器获取根密钥,其中所述多个UE中的所述一个UE使用所述根密钥来得出用于与所述多个UE中的至少一个其它UE安全地进行直接通信的一对会话密钥,所述服务器管理所述根密钥;以及将所述根密钥分发给所述多个UE中的所述一个UE。
[0021 ]此外,根据本发明的第七典型方面的方法提供一种用于控制服务器中的操作的方法。所述方法包括以下步骤:存储各UE的用以得出一对会话密钥的根密钥,其中所述会话密钥用于与所述多个UE中的至少一个其它UE安全地进行直接通信,所述多个UE彼此邻近并且允许彼此进行通信;以及通过将所述根密钥发送至节点来应答来自所述节点的请求,其中所述节点支持所述多个UE之间的直接通信。
[0022]此外,根据本发明的第八典型方面的UE包括:第一部件,用于在所述UE成功地登记至节点时登记所述UE的公钥,并且检索一个或多个不同UE的公钥,其中在所述不同UE与所述UE邻近的情况下允许所述不同UE与所述UE进行直接通信,所述节点支持所述直接通信;以及第二部件,用于通过使用所述不同UE中的第一 UE的公钥来验证来自所述第一 UE的用以与所述UE进行直接通信的请求,其中所述请求是由所述第一 UE的私钥所保护的。
[0023]此外,根据本发明的第九典型方面的UE包括:第一部件,用于在所述UE成功地登记至节点时登记所述UE的公钥,并且检索一个或多个不同UE的公钥,其中在所述不同UE与所述UE邻近的情况下允许所述不同UE与所述UE进行直接通信,所述节点支持所述直接通信;以及第二部件,用于通过使用所述不同UE中的第一 UE的公钥来验证针对用于请求所述第一UE与所述UE进行一对一直接通信的受保护的第一请求的应答,其中所述应答是由所述第一UE的私钥所保护的。
[0024]此外,根据本发明的第十典型方面的节点支持彼此邻近的允许彼此进行通信的多个UE之间的直接通信。所述节点包括:接收部件,用于在所述多个UE中的一个UE成功地登记至所述节点时从所述多个UE中的所述一个UE接收公钥;以及发送部件,用于向所述多个UE中的所述一个UE发送其它UE的公钥作为针对成功登记的应答。所述多个UE中的各UE使用所述公钥来至少验证针对所述直接通信的请求。
[0025]此外,根据本发明的第十一典型方面的服务器包括:存储部件,用于存储多个UE的公钥,其中在所述多个UE彼此邻近的情况下允许所述多个UE彼此进行直接通信,所述公钥通过支持所述直接通信的节点来进行登记;以及应答部件,用于通过将所存储的公钥发送至所述节点来应答来自所述节点的请求。所述多个UE中的各UE使用所述公钥来至少验证针对所述直接通信的请求。
[0026]此外,根据本发明的第十二典型方面的通信系统包括:多个用户设备即多个UE,其中在所述多个UE彼此邻近的情况下允许所述多个UE彼此进行直接通信;以及节点,用于支持所述直接通信。所述多个UE中的各UE在所述多个UE中的各UE成功地登记至所述节点时经由所述节点来共享所述多个UE的公钥,并且通过使用所述公钥其中之一来至少验证针对所述直接通信的请求。所述节点在所述多个UE中的各UE登记至所述节点时从所述多个UE中的各UE接收所述公钥中的各公钥,并且向所述多个UE中的各UE发送不同UE的公钥作为针对成功登记的应答。
[0027]此外,根据本发明的第十三典型方面的方法提供一种用于控制UE中的操作的方法。所述方法包括以下步骤:在所述UE成功地登记至节点时登记所述UE的公钥,并且检索一个或多个不同UE的公钥,其中在所述不同UE与所述UE邻近的情况下允许所述不同UE与所述UE进行直接通信,所述节点支持所述直接通信;以及通过使用所述不同UE中的第一UE的公钥来验证来自所述第一 UE的用以与所述UE进行直接通信的请求,其中所述请求是由所述第一 UE的私钥所保护的。
[0028]此外,根据本发明的第十四典型方面的方法提供一种用于控制UE中的操作的方法。所述方法包括以下步骤:在所述UE成功地登记至节点时登记所述UE的公钥,并且检索一个或多个不同UE的公钥,其中在所述不同UE与所述UE邻近的情况下允许所述不同UE与所述UE进行直接通信,所述节点支持所述直接通信;以及通过使用所述不同UE中的第一UE的公钥来验证针对用于请求所述第一 UE与所述UE进行一对一直接通信的受保护的请求的应答,其中所述应答是由所述第一 UE的私钥所保护的。
[0029]此外,根据本发明的第十五典型方面的方法提供一种节点的控制方法,其中所述节点支持彼此邻近的允许彼此进行通信的多个UE之间的直接通信。所述控制方法包括以下步骤:在所述多个UE中的一个UE成功地登记至所述节点时,从所述多个UE中的所述一个UE接收公钥;以及向所述多个UE中的所述一个UE发送其它UE的公钥作为针对成功登记的应答。所述多个UE中的各UE使用所述公钥来至少验证针对所述直接通信的请求。
[0030]此外,根据本发明的第十六典型方面的方法提供一种用于控制服务器中的操作的方法。所述方法包括以下步骤:存储多个UE的公钥,其中在所述多个UE彼此邻近的情况下允许所述多个UE彼此进行直接通信,所述公钥通过支持所述直接通信的节点来进行登记;以及通过将所存储的公钥发送至所述节点来应答来自所述节点的请求。所述多个UE中的各UE使用所述公钥来至少验证针对所述直接通信的请求。
[0031]发明的效果
[0032]根据本发明,可以解决上述的问题,因而可以提供用于有效地确保ProSe中的直接通信的安全的解决方案。
[0033]例如,根据第一至第七典型方面任何之一,可以实现以下有利效果。
[0034]I)中央根密钥管理,防止了同步问题。
[0035]2)每当UE需要直接通信服务的情况下,减少根分配。
【附图说明】
[0036]图1是示出根据本发明的第一典型实施例的通信系统的结构示例的框图。
[0037]图2是示出根据第一典型实施例的用于在通信系统中分配根密钥的操作的示例的顺序图。
[0038]图3是示出根据第一典型实施例的用于在通信系统中分配根密钥的操作的另一示例的顺序图。
[0039]图4是示出根据第一典型实施例的用于在通信系统中得出会话密钥的操作的示例的顺序图。
[0040]图5是示出根据第一典型实施例的用于在通信系统中得出会话密钥的操作的另一示例的顺序图。
[0041 ]图6是示出根据第一典型实施例的UE的结构示例的框图。
[0042]图7是示出根据第一典型实施例的节点的结构示例的框图。
[0043]图8是示出根据第一典型实施例的服务器的结构示例的框图。
[0044]图9是示出根据本发明的第二典型实施例的通信系统的结构示例的框图。
[0045]图10是示出根据第二典型实施例的用于在通信系统中登记UE的操作的示例的顺序图。
[0046]图11是示出根据第二典型实施例的用于在通信系统中得出一对一直接通信所用的会话密钥的操作的示例的顺序图。
[00