此外,在操作217中,UE 111可以生成用于识别用户的数据请求的数据请求安全密钥(例如,请求密钥(RK)),和作为识别用户的安全密钥的用户识别安全密钥(例如,用户密钥(UK))。提供了两个安全密钥RK和UK用于识别用户和用户使用应用的请求,并且在生成所述两个安全密钥的过程中,应用会话密钥Ks_APs可以用作输入值。至于数据请求安全密钥和用户识别安全密钥,除RK和UK之外,各种已知的用于数据请求识别和用户识别的密钥可以被分别使用。
[0033]此后,在操作219中,UE 111可以发送TID、MTC安全功能标识和群组信息给SCS133。群组信息可以是群组通信中用户(或UE)所属群组相关的各种信息(例如,群组区域或基站信息KSCS 133可使用群组信息给UE 111分配用于识别用户所属群组的群组标识。该群组标识可以被用来识别群组通信中用户所属的特定群组(即,使用该群组通信的UE所属的特定群组)。作为另一实施例,如果UE 111已知群组标识,则UE 111可发送群组标识而不是群组信息。在这种情况下,SCS 133分配群组标识给UE 111的操作可被省略。将假定在本公开的实施例中,UE 111发送群组信息并且SCS 133分配对应于该群组信息的群组标识。
[0034]在操作221中,SCS 133可以发送TID、SCS标识和群组信息(例如,如果SCS 133接收到来自UE 111的群组标识,则SCS 133可以发送群组标识)给MTC-SECF 141。
[0035]此后,在操作223中,MTC-SECF 141可以生成应用会话密钥。MTC-141SECF可以一起生成数据请求安全密钥RK和用户识别安全密钥UK。将假设在本公开的实施例中数据请求安全密钥RK和用户识别安全密钥UK也一起生成。然后,在操作225中,MTC-SECF 141可以发送应用会话密钥和多个安全密钥给SCS 133。
[0036]参照图2B,在操作227中,SCS 133可存储从MTC-141SECF收到的应用会话密钥、数据请求安全密钥RK和用户识别安全密钥UL.在操作229中,SCS 133可生成用于保护会话的会话安全密钥(SK)。会话安全密钥可以包括指示网络的移动网络代码(MNC)、指示国家的移动国家代码(Mobile Country Code,MCC)以及关于群组通信中会话安全密钥所属群组的信息。
[0037]在操作231中,SCS 133可以映射会话安全密钥到群组标识。此后,在操作233中,SCS 133可发送群组标识和会话安全密钥给UE 111。在使用用户识别安全密钥(例如,UK)加密后,会话安全密钥可以被发送。会话安全密钥和群体标识可以在它们被一起加密后被发送。否则,会话安全密钥可以在被加密后发送,群组标识可未经加密发送。如果群组标识不是UE 111在操作219中发送的群组标识符,则SCS 133可生成会话安全密钥,并使用SCS 133分配给在群组通信中共享生成的会话安全密钥的群组的标识作为群组标识。在操作235中,UE 111可以使用诸如用户识别安全密钥(例如,UK)解密用户会话安全密钥。此后,在操作237中,SCS 133可生成通讯密钥用于保护通讯。该通讯密钥可以包括MCC、MNC、群组通信中通讯密钥所属的群组、以及关于一起使用该通讯密钥的会话的信息,并且包括至少一个以上信息的通讯密钥可以被提供给UE 111。此后,在操作239中,SCS 133可发送群组标识和通讯密钥给UE 111,并且通讯密钥在使用会话安全密钥加密后可被发送。该通讯密钥和群组标识可以在一起被加密后发送。否则,通讯密钥可以在加密后发送,群组标识可未经加密发送。此外,群组标识可以单独发送,以便它可以用于在UE 111进行完整性检查。
[0038]在操作241中,UE 111可以使用在操作235中解密的会话安全密钥解密通讯密钥,并在操作243中,UE 243通过SCS 133进行的群组通信可以使用通讯密钥执行为安全群组通信。
[0039]虽然仅为方便起见,图2A和图2B的例子中描述了 UE和SCS 133之间的操作,但是本公开的实施例可以被应用到诸如像多媒体广播多播服务(MBMS)的多播通信,其中多个UE接收服务。此外,该群组通信不仅可以适用于下行链路通信,而且适用于上行链路的通信。尽管并未示出,但是作为另一个实施例,即使UE使用D2D通信,也可以使用会话安全密钥。
[0040]图3是示出了根据本公开的实施例,在管理群组通信的服务器中执行的用于群组通信的安全管理方法的流程图。
[0041]参照图3,在操作301中,管理群组通信的服务器可以在群组通信中生成用于会话保护的会话安全密钥,并且映射会话安全密钥到群组标识,该群组标识用于识别使用群组通信的UE所属的特定群组。管理组群通信的服务器可以是SCS 133。此后,在操作303中,服务器可以发送群组标识和会话安全密钥给UE。在操作305中,服务器可以生成用于保护通讯的通讯密钥,并发送群组标识和通讯密钥给UE。在本公开的实施例中,服务器可以从UE接收用于群组通信的群组信息,并基于接收到的群组信息分配对应于群组信息的群组标识。可替换地,作为另一实施例,如果所述UE事先已知群组标识,则服务器可以接收来自该UE的群组标识。
[0042]图4是示出了根据本公开的实施例,在使用群组通信的终端中执行的用于群组管理的安全管理方法的流程图。
[0043]参照图4,在操作401中,使用群组通信的UE可以发送关于该UE所属特定群组的信息给管理该群组通信的服务器(例如,SCS 133) O在操作403中,UE可以从已接收关于特定群组的信息的服务器接收用于保护群组通信的会话安全密钥和用于保护通讯的通讯密钥中的每一个。UE可以使用在操作405中接收的会话密钥解密通讯密钥,并使用在操作407中解密的通讯密钥通过服务器执行群组通信。在图4所示的例子中,UE可以从管理群组通信的服务器接收根据所述特定群组的信息分配的群组标识。
[0044]本公开实施例的UE可以包括发射器、接收器和控制器。控制器可以根据图1和图2中描述的方法通过发送和接收群组通信的各种信息执行安全群组通信。根据本公开的实施例的SCS和MTC-SECF中的每一个可以实现为服务器,并且SCS和MTC-SECF可以各自包括控制器和通信接口,其用于从/至所述UE或另一服务器发送和接收群组通信的各种信息,并且控制器可以根据图1和图2中描述的方法通过发送和接收群组通信的各种信息执行安全群组通信。
[0045]虽然到目前为止特定的本公开的实施例已被示出和描述,但可以做出各种修改而不脱离本公开的范围。因此,本公开的范围不限于所描述的实施例,并且不仅仅由所附的权利要求书,而且由它们的等同物所定义。
【主权项】
1.一种在移动通信系统中在管理群组通信的服务器中执行的用于群组通信的安全管理方法,该方法包括: 生成用于在群组通信中会话保护的会话安全密钥,以及映射该会话安全密钥到用于识别使用所述群组通信的用户设备(UE)所属的特定群组的群组标识; 发送所述群组标识和会话安全密钥给UE ;以及 生成用于保护通讯的通讯密钥,并发送所述群组标识和通讯密钥给UE。
2.如权利要求1所述的安全管理方法,还包括: 从UE接收用于群组通信的群组信息;以及 分配对应于所述群组信息的群组标识。
3.如权利要求2所述的安全管理方法,其中所述群组信息包括关于UE所属的区域和小区中的至少一个的群组信息。
4.如权利要求1所述的安全管理方法,还包括:如果UE已知群组标识,则从UE接收所述群组标识。
5.如权利要求1所述的安全管理方法,还包括: 当从使用机器类型通信(MTC)的UE接收到MTC安全功能标识和群组信息时,发送所述群组信息给生成与应用使用相关的安全密钥的另一服务器;以及 从所述另一服务器接收与应用使用相关的安全密钥和应用的会话密钥。
6.如权利要求1所述的安全管理方法,其中所述会话安全密钥在解密通讯密钥期间用于每个UE。
7.一种在移动通信系统中管理群组通信的服务器,所述服务器包括: 通信接口,被配置为发送和接收各种群组通信信息;以及 控制器,被配置为生成在群组通信中用于会话保护的会话安全密钥,映射该会话安全密钥到用于识别使用该群组通信的用户设备(UE)所属的特定群组的群组标识,发送所述群组标识和会话安全密钥给UE,生成用于保护通讯的通讯密钥,并发送所述群组标识和通讯密钥给UE。
8.如权利要求7所述的服务器,其中所述服务器被实现为根据如权利要求2至6中任一项所述的方法进行操作。
9.一种在移动通信系统中在使用群组通信的用户设备(UE)中执行的安全管理方法,该方法包括: 发送关于使用群组通信的UE所属的特定群组的信息给管理该群组通信的服务器;从已经收到关于特定群组的信息的服务器接收用于群组通信的会话安全密钥和用于保护通讯的通讯密钥中的每一个; 使用接收到的会话安全密钥解密通讯密钥;以及 使用经解密的通讯密钥通过服务器执行群组通信。
10.如权利要求9所述的安全管理方法,其中,关于所述UE所属的特定群组的信息包括关于该UE所属的区域和小区中的至少一个的信息。
11.如权利要求9所述的安全管理方法,其中,关于所述UE所属的特定群组的信息包括对应于特定群组的群组标识。
12.如权利要求9所述的安全管理方法,其中,所述接收还包括基于关于特定群组的信息,从服务器接收所分配的群组标识。
13.—种在移动通信系统中使用群组通信的用户设备(UE),所述UE包括: 收发器,被配置为发送和接收与群组通信相关的各种信息;以及 控制器,被配置为发送关于使用群组通信的UE所属特定群组的信息给管理该群组通信的服务器,从接收到所述特定群组相关信息的服务器接收用于群组通信的会话安全密钥以及用于保护通讯的通讯密钥中的每一个,使用接收到的会话安全密钥解密通讯密钥,以及使用经解密的通讯密钥通过服务器执行群组通信。
14.如权利要求7所述或如权利要求13所述的UE,其中所述UE被实现为按照权利要求10至12中任一项所述的方法进行操作。
【专利摘要】本发明涉及当终端与移动通信系统交互并通信时,用于群组通信的安全管理方法和装置。用于群组通信的安全管理方法在服务器执行,服务器根据本公开一个实施例,管理移动通信系统中的群组通信,包括以下步骤:生成会话安全密钥进行群组通信的会话保护,并映射会话安全密钥到群组标识符用于识别使用群组通信的终端所属的特定群组;发送群组标识符和会话安全密钥到终端;并且生成用于保护通讯的通讯密钥和发送群组标识符以及通讯密钥给终端。
【IPC分类】H04W12-08, H04W12-04, H04W4-08
【公开号】CN104871579
【申请号】CN201380050291
【发明人】徐庆珠
【申请人】三星电子株式会社
【公开日】2015年8月26日
【申请日】2013年9月27日
【公告号】EP2903322A1, US20150244720, WO2014051383A1