移动通信系统中群组通信安全管理的方法和装置的制造方法
【技术领域】
[0001]本公开涉及在移动通信系统中的安全管理方法和装置,并且更具体地,涉及群组通信中安全管理方法和装置。
【背景技术】
[0002]通常,在移动通信系统中,可以在一对一的通信环境中在一个终端和它的对应终端之间保证通信安全。然而,在所谓的群组通信环境中,群组中多个终端互相通信,资源利用效率低、计费问题、安全漏洞等可能存在。
[0003]在群组通信环境中,安全漏洞可能是抑制群组通信使用的因素之一。因此,需要一种在组群通信中稳定地提供安全服务的有效方法。
【发明内容】
[0004]技术问题
[0005]本公开实施例的一个方面是在移动通信系统中为群组通信提供有效的安全管理方法和装置。
[0006]解决方案
[0007]根据本公开实施例的一个方面,提供了一种在移动通信系统中在管理群组通信的服务器中执行的用于群组通信的安全管理方法。该方法包括:生成在群组通信中用于会话保护的会话安全密钥,以及映射该会话安全密钥到群组标识,该群组标识用以识别使用所述群组通信的用户设备(UE)所属的特定群组;发送群组标识和会话安全密钥给UE ;以及生成用于保护通讯的通讯密钥,并发送群组标识和通讯密钥给UE。
[0008]根据本公开的实施例的另一个方面,提供了一种在移动通信系统中用于管理群组通信的服务器。所述服务器包括:通信接口,被配置为发送和接收群组通信的各种信息;以及控制器,被配置为在群组通信中生成用于会话保护的会话安全密钥,映射该会话安全密钥到群组标识,该群组标识用以识别使用所述群组通信的用户设备(UE)所属的特定群组,发送群组标识和会话安全密钥给UE,生成用于保护通讯的通讯密钥,并发送所述群组标识和通讯密钥给UE。
[0009]根据本公开实施例的再一个方面,提供了一种在移动通信系统中在使用群组通信的用户设备(UE)中执行的安全管理方法。该方法包括:发送关于使用群组通信的UE所属的特定群组的信息给管理该群组通信的服务器;从已经接收到关于所述特定群组的信息的服务器接收用于群组通信的会话安全密钥以及用于保护通讯的通讯密钥中的每一个;使用接收到的会话安全密钥解密通讯密钥;以及使用经解密的通讯密钥通过服务器执行群组通信。
[0010]根据本公开实施例的又一个方面,提供了一种在移动通信系统中使用群组通信的用户设备(UE)。所述UE包括:收发器,被配置为发送和接收与群组通信相关的各种信息;以及控制器,被配置为向管理群组通信的服务器发送关于该UE所属特定群组的信息,从已经接收到关于所述特定群组的信息的服务器接收用于群组通信的会话安全密钥以及用于保护通讯的通讯密钥中的每一个,使用接收到的会话安全密钥解密通讯密钥,以及使用该解密的通讯密钥通过服务器执行群组通信。
【附图说明】
[0011]图1是示出了根据本公开的实施例,执行用于群组通信的安全管理的移动通信系统的配置的框图;
[0012]图2A和图2B是示出了根据本公开的实施例,在移动通信系统中用于群组通信的安全管理过程的流程图;
[0013]图3是示出了根据本公开的实施例,在管理群组通信的服务器中执行的用于群组通信的安全管理方法的流程图;以及
[0014]图4是示出了根据本公开的实施例,在使用群组通信的终端中执行的用于群组管理的安全管理方法的流程图。
具体实施例
[0015]在本公开的以下描述中,公知的功能或配置的详细描述将被省略,以避免不必要地模糊本公开的主题。本公开的实施例将参照附图详细描述如下。
[0016]本公开实施例的操作原理将参照附图详细描述如下。在本公开的以下描述中,公知的功能或配置的详细描述将被省略,以避免不必要地模糊本公开的主题。以下描述的术语考虑到本公开中的功能而定义,并且这些术语可以根据用户和操作员的意图、或者习惯而变化。因此,该定义应当根据整个说明书的内容来进行。
[0017]以下所描述的本公开的实施例提供了用于群组通信的安全相关的过程以及如何通过在过程中支持群组通信来管理它,该过程中多个终端在移动通信系统环境中通信,特别是在多个终端或支持机器类型通信(MTC)的普通终端或多部智能电话在网络中存在并使用无线资源的情况。机器类型通信是指一组MTC终端通过服务器执行下行链路或上行链路通信,诸如设备到设备(D2D)通信和对等(P2P)通信的情况。
[0018]为方便起见,在本公开实施例的以下描述中,演进的分组系统(EPS)系统、通用陆地无线接入网络(UTRAN)和基于第三代合作伙伴计划(3GPP)的GSM/EDGE无线电接入网络(GERAN)将被采用,并且本公开可以应用于其他移动通信系统。显然,在本公开中,在处理相关信息的过程中可以做出各种修改,以使终端可适合于机器类型通信环境或群组通信,而不脱离本公开的范围。
[0019]此外,本公开提供了在多个终端与包括3GPP EPS在内的演进移动通信系统中的网络进行通信的过程中,在多个终端与用于为一组终端发送消息或数据以及多媒体数据的业务能力服务器进行通信的情况下安全地和有效地支持群组通信的方法和系统。
[0020]图1是示出了根据本公开的实施例,执行用于群组通信的安全管理的移动通信系统的配置的框图。
[0021]图1中的配置示出了诸如3GPP演进分组系统(EPS)系统的结构。将描述本公开的实施例,集中在构成LTE系统的3GPP EPS系统,并且在本公开实施例中提出的安全管理方法不仅将应用于EPS系统,而且可以应用于其他类似的移动通信系统。
[0022]EPS系统可以包括用户设备(UE)、演进的通用陆地无线接入网络(EUTRAN)和演进分组核心(EPC)。
[0023]参照图1,UE 111可以与演进节点B(eNB)113建立无线连接,并与eNB 113通信。UE 111指的是通过服务网关(服务GW或S-GW) 117和分组数据网络网关(PDN Gff或P-Gff) 119访问如因特网的分组数据网络的终端。在EPS系统中,EUTRAN可包括多个eNB,并且EPC可包括用于管理UE 111的移动和位置登记的移动管理实体(MME) 115、S-Gff 117和P-Gff 119。MME 115负责管理用于UE 111和EPC之间控制信息交互的控制平面,S-GW 117和P-GW119负责管理用于用户数据传输的用户平面。S-GW 117和P-GW119是EPS系统中公知的网络实体,因为它们没有特别涉及到本公开的实施例,其详细描述将省略。
[0024]图1中的系统可以包括归属订户服务器(HSS)/归属位置寄存器(HLR)/认证中心(AUC)(以下称为HSS) 121,其为用户和UE 111管理订户信息,例如认证信息、预订信息和服务?目息O
[0025]此外,图1中的系统可以包括应用服务器(AS) 151,其执行用于机器类型通信的应用,以及业务能力服务器(SCS) 133,其服务于从AS 151或运营商网络内向一组UE发送消息或数据以及多媒体数据。
[0026]此外,图1中的系统可以包括机器类型通信-互通功能(MTC-1WF) 131,其从SCS133接收设备触发请求(如果有),并执行数据传输和群组通信控制,并且还可以包括机器类型通信安全功能(MTC-SECF) 141,其执行用于群组通信的安全功能相关的过程。虽然为了方便起见,图1所示中UE 111和MTC-SECF141直接互连,但其为概念图示,实际中,UE 111和MTC-SECF141之间的通信可以经由eNB 113或未示出的网络实体执行。
[0027]另举一例,虽然未在图1中示出,该系统可以包括引导服务器功能(BSF),而不是MTC-SECF 141,并且BSF可以如MTC-SECF 141那样执行用于群组通信的初始过程和安全过程。MTC-1WF 131和MTC-SECF 141 (或BSF)中的每一个都可以被实现为服务器。以下将详细描述一种方法,其中网络实体如 UE IlUHSS 121、eNB 113、MME 115、SCS 133 和 MTC-SECF141执行用于本公开实施例中的群组通信的安全性管理。
[0028]图2A和图2B是示出了根据本公开的实施例,在移动通信系统中用于群组通信的安全管理过程的流程图。
[0029]参照图2A,在操作201中,UE 111可以发送UE标识给MTC-SECF 141,所述MTC-SECF 141是负责群组通信中安全过程的服务器。至于UE标识,例如,可以使用国际移动用户识别码(MSI),也可使用在移动通信系统中使用的其它UE标识。在操作203中,MTC-SECF 141可以发送所述UE标识和机器类型通信安全功能标识(MTC-SECF-1D,以下称为“MTC安全功能标识”)给HSS 121。MTC安全功能标识是用于识别该MTC-SECF 141的标识。此后,在操作205中,HSS 121可以将从MTC-SECF 141接收的UE标识和所述MTC安全功能标识存储在一起。在操作207中,认证密钥协商(AKA)过程可以在UE 111、MTC-SECF141和HSS 121中执行。认证密钥协商(AKA)过程是一种公知的过程,使用关于分布式密钥的信息执行用户和网络之间的相互认证,该分布式密钥可在订户的通用用户身份模块(Universal Subscriber Identity Module,USIM)和认证中心(Authenticat1n Center,AUC)之间使用。在认证密钥协商过程中,可以使用用于网络认证的一次通过协议、用户认证、密钥建立协议、以及询问/响应型的协议。
[0030]在执行认证密钥协商过程之后,UE 111可以在操作209中生成主会话密钥(Ks),并且MTC-SECF 141可在操作211中生成主会话密钥和交易标识(TID)。主会话密钥(Ks)是指保护会话的主密钥。TID是用于UE 111和SCS 133之间进行数据交换和安全的标识符,所述SCS 133是在UE的群组通信传中传送消息或数据以及多媒体数据的服务器。在操作213中,HSS 121可以发送所述UE标识和用户配置文件信息给MTC-SECF 141。作为另一实施例,操作213可以在当HSS 121在操作207的认证密钥协商过程中发送认证矢量给MTC-SECF 141时一起执行。至于认证矢量,在通信系统中通常使用的随机数(RAND)、期望响应(XRES)、加密密钥(CK)、完整性密钥(IK)和认证令牌(AUTN),可以用于网络与UE之间的相互认证。在操作215中,MTC-SECF 141可以发送TID、UE标识和MTC的安全功能标识给UE 111,作为在群组通信中用于安全的识别信息。
[0031]此后,在操作217中,UE 111可以使用SCS ID、主会话密钥和会话信息生成应用会话密钥KS_APs。主会话密钥是用作用于生成应用会话密钥的输入值(即,种子值)的密钥,应用会话密钥是用作其后的数据请求的安全密钥(RK)和用户标识的安全密钥(UK)的输入值(即,种子值)的密钥。
[0032]