CN116158059B - 通过用户设备中继的通信的保护 - Google Patents
通过用户设备中继的通信的保护Info
- Publication number
- CN116158059B CN116158059B CN202180060998.2A CN202180060998A CN116158059B CN 116158059 B CN116158059 B CN 116158059B CN 202180060998 A CN202180060998 A CN 202180060998A CN 116158059 B CN116158059 B CN 116158059B
- Authority
- CN
- China
- Prior art keywords
- direct communication
- security
- source
- target
- indication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
- G06F21/43—User authentication using separate channels for security data wireless channels
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及设备和部件,包括用于通过用户设备中继进行受保护的用户设备通信的装置、系统和方法。在一些实施方案中,对称或非对称加密可用于该受保护的用户设备通信。
Description
相关申请的交叉引用
本申请要求2020年7月23日提交的国际申请号PCT/CN2020/103719的权益,该申请据此全文以引用方式并入以用于所有目的。
背景技术
第三代合作伙伴计划(3GPP)描述了各种接近服务(ProSe)架构、信令过程和用例。为了有效地将ProSe启用的用户设备(UE)集成到3GPP新空口(NR)网络中,可能需要解决附加考虑。
附图说明
图1示出了根据一些实施方案的网络环境。
图2示出了根据一些实施方案的用于建立安全连接的过程。
图3示出了根据一些实施方案的用于建立安全连接的过程。
图4示出了根据一些实施方案的用于建立安全连接的过程。
图5示出了根据一些实施方案的用于建立安全连接的过程。
图6示出了根据一些实施方案的可由用户设备实现的协议栈。
图7示出了根据一些实施方案的操作流程/算法结构。
图8示出了根据一些实施方案的操作流程/算法结构。
图9示出了根据一些实施方案的操作流程/算法结构。
图10示出了根据一些实施方案的设备。
具体实施方式
以下具体实施方式涉及附图。在不同的附图中可使用相同的附图标号来识别相同或相似的元件。在以下描述中,出于说明而非限制的目的,阐述了具体细节,诸如特定结构、架构、接口、技术等,以便提供对各个实施方案的各个方面的透彻理解。然而,对于受益于本公开的本领域技术人员显而易见的是,可以在背离这些具体细节的其他示例中实践各个实施方案的各个方面。在某些情况下,省略了对熟知的设备、电路和方法的描述,以便不会因不必要的细节而使对各种实施方案的描述模糊。就本文档而言,短语“A或B”是指(A)、(B)或(A和B)。
以下为可在本公开中使用的术语表。
如本文所用,术语“电路”是指以下项、为以下项的一部分或包括以下项:硬件部件诸如被配置为提供所述功能的电子电路、逻辑电路、处理器(共享、专用或组)和/或存储器(共享、专用或组)、专用集成电路(ASIC)、现场可编程设备(FPD)(例如,现场可编程门阵列(FPGA))、可编程逻辑设备(PLD)、复杂PLD(CPLD)、大容量PLD(HCPLD)、结构化ASIC或可编程片上系统(SoC)、数字信号处理器(DSP)等。在一些实施方案中,电路可执行一个或多个软件或固件程序以提供所述功能中的至少一些。术语“电路”还可以指一个或多个硬件元件与用于执行该程序代码的功能的程序代码的组合(或电气或电子系统中使用的电路的组合)。在这些实施方案中,硬件元件和程序代码的组合可被称为特定类型的电路。
如本文所用,术语“处理器电路”是指以下项、为以下项的一部分或包括以下项:能够顺序地和自动地执行一系列算术运算或逻辑运算或记录、存储和/或传输数字数据的电路。术语“处理器电路”可指应用处理器、基带处理器、中央处理单元(CPU)、图形处理单元、单核处理器、双核处理器、三核处理器、四核处理器和/或能够执行或以其他方式操作计算机可执行指令(诸如程序代码、软件模块和/或功能过程)的任何其他设备。
如本文所用,术语“接口电路”是指实现两个或更多个部件或设备之间的信息交换的电路、为该电路的一部分,或包括该电路。术语“接口电路”可指一个或多个硬件接口,例如总线、I/O接口、外围部件接口、网络接口卡等。
如本文所用,术语“用户设备”或“UE”是指具有无线电通信能力并且可描述通信网络中的网络资源的远程用户的设备。此外,术语“用户设备”或“UE”可被认为是同义的,并且可被称为客户端、移动电话、移动设备、移动终端、用户终端、移动单元、移动站、移动用户、订户、用户、远程站、接入代理、用户代理、接收器、无线电装备、可重新配置的无线电装备、可重新配置的移动设备等。此外,术语“用户设备”或“UE”可包括任何类型的无线/有线设备或包括无线通信接口的任何计算设备。
如本文所用,术语“计算机系统”是指任何类型的互连电子设备、计算机设备或它们的部件。另外,术语“计算机系统”和/或“系统”可指计算机的彼此通信地耦接的各种部件。此外,术语“计算机系统”和/或“系统”可指彼此通信地耦接并且被配置为共享计算和/或联网资源的多个计算机设备和/或多个计算系统。
如本文所用,术语“资源”是指物理或虚拟设备、计算环境内的物理或虚拟部件,和/或特定设备内的物理或虚拟部件,诸如计算机设备、机械设备、存储器空间、处理器/CPU时间和/或处理器/CPU使用率、处理器和加速器负载、硬件时间或使用率、电源、输入/输出操作、端口或网络套接字、信道/链路分配、吞吐量、存储器使用率、存储、网络、数据库和应用程序、工作量单位等。“硬件资源”可以指由物理硬件元件提供的计算、存储和/或网络资源。“虚拟化资源”可指由虚拟化基础设施提供给应用程序、设备、系统等的计算、存储和/或网络资源。术语“网络资源”或“通信资源”可指计算机设备/系统可经由通信网络访问的资源。术语“系统资源”可指提供服务的任何种类的共享实体,并且可包括计算资源和/或网络资源。系统资源可被视为可通过服务器访问的一组连贯功能、网络数据对象或服务,其中此类系统资源驻留在单个主机或多个主机上并且可清楚识别。
如本文所用,术语“信道”是指用于传送数据或数据流的任何有形的或无形的传输介质。术语“信道”可与通信信道、数据通信信道、传输信道、数据传输信道、接入信道、数据访问信道、链路、数据链路、载波、射频载波和/或表示通过其传送数据的途径或介质的任何其他类似的术语同义和/或等同。另外,如本文所用,术语“链路”是指在两个设备之间进行的用于传输和接收信息的连接。
如本文所用,术语“使……实例化”、“实例化”等是指实例的创建。“实例”还指对象的具体发生,其可例如在程序代码的执行期间发生。
术语“连接”可意味着在公共通信协议层处的两个或更多个元件通过通信信道、链路、接口或参考点彼此具有建立的信令关系。
如本文所用,术语“网络元件”是指用于提供有线或无线通信网络服务的物理或虚拟化装备和/或基础设施。术语“网络元件”可被认为同义于和/或被称为联网计算机、联网硬件、网络装备、网络节点、虚拟化网络功能等。
术语“信息元素”是指包含一个或多个字段的结构元素。术语“字段”是指信息元素的各个内容,或包含内容的数据元素。信息元素可包括一个或多个附加信息元素。
图1示出了根据一些实施方案的网络环境100。网络环境100可包括多个UE,包括例如UE1 104、UE到UE中继UE 108(或简称为中继UE 108)和UE2 112。UE可根据由3GPP TS技术规范提供的长期演进(LTE)或第五代(5G)NR系统标准进行操作,或以与这些长期演进或第五代NR系统标准兼容的方式进行操作。
网络环境100的UE可被配置用于接近服务(ProSe)通信,其中UE可彼此直接通信,而通信不会穿过提供无线电接入网络小区的接入节点120。UE可以是移动电话、消费电子设备、平板计算机、可穿戴计算机设备、车辆计算机设备、基础设施装备、传感器等。
UE中的一者或多者可与提供无线接入小区(例如,LTE小区或NR小区)的接入节点120进行通信。接入节点800可以是提供LTE接入小区并且与演进分组核心(EPC)网耦接的eNB;提供LTE接入小区并且与5G核心网(5GC)耦接的ng-eNB、或提供NR接入小区并且与5GC耦接的gNB。
接入节点120可与核心网124(其可为EPC或5GC)耦接以向UE提供服务。核心网124可包括网络元件,该网络元件被配置为向经由接入节点120所提供的接入小区连接到核心网124的客户/订户(例如,UE的用户)提供各种数据和电信服务。核心网124的部件可在一个物理节点或分开的物理节点中实现,包括用于从机器可读或计算机可读介质(例如,机器可读存储介质)读取和执行指令的部件。在一些实施方案中,网络功能虚拟化(NFV)可用于经由存储在一个或多个计算机可读存储介质中的可执行指令来使上述网络节点功能中的任一者或全部虚拟化(下面将进一步详细描述)。核心网124的逻辑实例可被称为网络切片,并且核心网124的一部分的逻辑实例可被称为网络子切片。NFV架构和基础设施可用于将一个或多个网络功能虚拟化到包含行业标准服务器硬件、存储硬件或交换机的组合的物理资源上(另选地由专有硬件执行)。换句话讲,NFV系统可用于执行一个或多个部件/功能的虚拟或可重新配置的具体实施。
核心网124可包括ProSe功能126,该ProSe功能是用于与ProSe操作相关的网络相关动作的逻辑功能。ProSe功能126可通过PC3接口与UE接合并且通过PC2接口与ProSe应用服务器128接合。
ProSe功能126可控制用于向UE供应必要参数的直接供应功能(DPF)以便在ProSe直接通信中使用ProSe直接发现。DPF可向UE供应允许UE在特定PLMN中使用ProSe的公共陆地移动网络(PLMN)特定参数。当UE未由无线电接入网络小区服务时,DPF还可向UE供应可用于直接通信的参数。ProSe功能126还可包括用于开放ProSe直接发现的直接发现名称管理功能以分配和处理在ProSe直接发现中使用的ProSe应用程序标识符和ProSe应用程序代码的映射。
ProSe应用服务器128可存储和管理与各种发现操作相关的各种ProSe标识符、元数据和授权。
在特定时间,UE可在由接入节点(诸如接入节点120)提供的无线电接入网络小区的覆盖内或外。例如,在给定时刻,网络环境100的UE可处于完全覆盖场景(例如,所有UE都在小区覆盖内)、部分覆盖场景(例如,UE的子集可在小区覆盖内)、或覆盖外场景(例如,没有UE在小区覆盖内)。
UE可通过侧行链路(SL)接口彼此通信。SL接口可另选地被称为ProSe接口、设备到设备(D2D)接口、或PC5接口或参考点。
在一些实施方案中,网络环境100可部署在车辆通信系统内。在车辆通信系统中,UE可使用蜂窝车辆对一切(V2X)通信来彼此通信。V2X可涉及车辆对车辆(V2V)、车辆对基础设施(V2I)、车辆对网络(VTN)或车辆对行人(V2P)通信。
在一些实施方案中,UE1 104可能希望通过端到端保护的单播链路建立与UE2 112的安全关联。然而,在给定接近性或其他考虑的情况下,UE 104和112可能不能够有效地彼此直接通信而是可通过中继UE 108通信。各种实施方案描述了UE 104和112可如何经由中继UE 108建立安全关联。
在其中UE1 104发起用于建立连接的过程的实施方案中,其可被称为发起或源UE。在这种情况下,UE2 112可被称为接收或目标UE。
中继UE 108可通过促进发现或充当中继器/放大器来启用UE到UE中继。为了提供这些功能,中继UE 108可能需要知道相对于UE 104和112的路由信息。然而,可能期望中继UE 108不具有对后续通信的内容的可见性,因为在UE 108与UE 104和112中的任一者或两者之间可能不存在安全关系。因此,各种实施方案描述了要在建立端到端保护的单播链路116时使用的安全相关过程。这些过程可包括UE 104和112经由中继UE 108协商安全上下文,而中继UE 108不知道或发现关于安全上下文本身的信息。
除了本文描述的修改和改进之外,本公开的实施方案可与在3GPP技术报告(TR)23.752,v0.4.0(2020-06)中描述的UE到UE连接过程兼容。虽然相对于与TR23.752的条款6.9一致的解决方案描述了一些实施方案,但本文描述的安全建立原理可相对于其他连接过程(包括在TR 23.752中的其他条款中描述的那些)使用。
图2示出了根据一些实施方案的用于建立连接的过程200。在过程200中,UE 104和112可利用非对称密码术以对其通信进行加密并且避免向中继UE 108泄露信息。
在一些实施方案中,由UE 104和112使用的非对称密码术可基于公钥密码术,其中公钥可在整个系统中共享(例如,通过广播消息),而私钥仅为所有者所知的。通过UE的公钥加密的通信只能使用UE的私钥来解密。
用于非对称密码术的算法可包括但不限于Rivest-Shamir-Adleman(RSA)、椭圆曲线密码术(ECC)、基于身份的密码术(例如,SM9)等。
在202处,过程200可包括向UE供应可用于非对称密码术的密钥和任何其他安全信息(例如,安全算法、凭证等)。在各种实施方案中,可向UE提供公钥/私钥本身或用于生成公钥/私钥的信息(诸如密钥生成程序)。
在一些实施方案中,供应中的一些或全部可由网络元件(诸如ProSe功能126)进行。在其他实施方案中,UE可被预供应有密钥/凭证信息中的一些或全部。例如,在依赖于基于身份的密码术的实施方案中,公钥可基于UE自身的身份。因此,在这些实施方案中的一些中,UE可能不需要关于公钥的附加信息。在这些情况下,可认为UE被预供应有与公钥相关的信息。
在204处,过程200可包括中继UE 108向网络(例如,接入节点120或核心网124)注册并且向该网络提供其UE中继能力。然后,网络可向中继UE 108供应中继策略参数和唯一中继标识符(ID)。
在208处,UE2 112可确定用于PC5链路建立的信令接收的目标层-2ID。这可类似于3GPP技术规范(TS)23.287v16.3.0(2020-07-09)的条款5.6.1.4中描述的那种。UE2 112可被配置有目标层-2ID,如在例如TS 23.287、条款5.1.2.1中描述的。
在212处,UE1 104的应用层可向UE1 104的ProSe层提供信息以用于PC5单播通信。信息可包括例如广播层-2ID、ProSe应用程序ID、UE1 104的应用层ID、UE2 112的应用层ID和中继适用指示。该信息的供应可类似于例如TS 23.287、条款6.3.3.1中描述的那种。在供应该信息之后,UE1 104的ProSe层可发送(例如,广播)直接通信请求消息以触发对等UE发现过程。可使用源层2ID和广播层-2ID作为目标来发送直接通信请求消息。UE1 104还可在直接通信请求中包括其他参数,如例如在TS 23.287、条款6.3.3.1中描述的。
UE1 104还可生成直接通信请求以包括第一信息元素(IE)和第二IE,该第一IE包括所支持的安全算法的列表,该第二IE包括UE1 104的公钥。所支持的安全算法的列表可指示UE1支持的安全算法,并且可用作用于协商可由UE 104和112两者使用的非对称算法的基础。在一些实施方案中,在其中UE被强制支持一个或多个特定算法的实施方案中,可省略非对称算法的协商。
在216处,中继UE 108可接收广播直接通信请求消息并且验证其是否被配置为中继该应用程序。该验证可包括例如将所通告的ProSe应用程序ID与其供应的中继策略参数进行比较。如果ProSe应用程序ID与供应的中继策略参数匹配,则中继ID 108可为其自身分配UE1 104的中继层-2ID(例如,R-L2 ID-a)。该中继层-2-ID可与例如中继UE 108处的映射表中的UE1104的L2 ID相关或以其他方式与其相关联。
在验证了中继UE 108被配置为中继该应用程序时,中继UE 108可将直接通信请求连同包括所支持的安全算法的列表和UE1 104的公钥的IE一起转发给UE2 112。
在220处,对所通告的应用程序感兴趣的UE2 112可进行检查以确定其是否可支持直接通信请求中的安全算法中的一者或多者。如果是,则作为对直接通信请求的响应,UE2112可生成直接通信接受消息。直接通信接受消息可包括其支持的从直接通信请求中的算法中选择的至少一个安全算法和UE2 112的公钥。所支持的算法的指示和公钥可被设置在相应IE中。UE2 112可向中继UE 108发送直接通信请求消息。
中继UE 108可将消息的源字段设置为如在映射表中找到的R-L2-ID-b,并且可将目标字段设置为如在映射表中找到的UE1 104的L2 ID。然后,中继UE 108可在224处将经修改消息转发给UE1 104。
在228处,经由中继UE 108形成已扩展且端到端保护的单播链路。使用UE 104和112的公钥对该已扩展单播链路进行端到端保护,而可包括层-2ID的路由信息将不受阻碍地留在受保护的单播链路之外。
例如,在受保护的单播链路上传输的消息可以是安全的并且对于中继UE 108而言是不透明的。然而,在一些实施方案中,对应于消息(例如,层-2ID)的路由信息可以是不受保护的并且对中继UE 108可见。这些ID(其可存储在中继UE 108处的映射表中)可由中继UE108使用以使得该中继UE可完成其路由操作。因此,虽然消息本身对于中继UE 108而言可能是不透明的,但UE 104和112的L2-ID可以是可访问的。
以这种方式,机密、完整性受保护或中继受保护的消息(例如,数据或PC5信令(PC5-S”))可在UE1 104与UE2 112之间在受保护的单播链路内安全地传输,而不损害由中继UE 108提供的中继功能。
图3示出了根据一些实施方案的用于建立连接的过程300。过程300可利用基于对称密钥密码的对称密码术来保护UE1 104与UE2 112之间的通信信道。
在302处,过程300可包括与上文相对于图2的操作202描述的供应操作类似的供应操作。然而,在302处,UE可被配置有用于配置对称密码术的信息。
在一些实施方案中,UE可被配置有用于提供Diffie-Hellman密钥协定协议的信息。向UE配置的信息可包括安全算法,例如提供可用于保护连接的一组算法的密码套件。信息还可包括凭证,该凭证可包括执行相关联的安全算法所需的任何东西。例如,素数和整数可以是可用于执行Diffie-Hellman安全算法的安全凭证。
Diffie-Hellman密钥协定协议可依赖于使用基于数学问题的密码算法来生成的密钥以产生单向功能。例如,UE可被配置有安全凭证,该安全凭证包括素数模和生成元以及不可预测数(通常大且随机)作为私钥。考虑具有私钥(PRK1)的UE1 104;具有私钥(PRK2)的UE2 112;素数模(PM);和生成元(G)。UE1 104可基于GPRK1modPM来确定其公钥(PBK1)并且向UE2 112发送PBK1。UE2 112可基于GPRK2modulusPM来确定其公钥(PBK2)并且向第一UE发送PBK2。然后,第一UE可确定共享密钥(Kshare)作为PBK2PRK1modPM的结果;并且UE2可确定相同共享密钥(Kshare)作为PBK1PRK2mod PM的结果。共享秘密(Kshare)可直接用作密钥或可用于导出另一个密钥以使用对称密钥密码来对后续通信进行加密。在不知道私钥的情况下,中继UE 108可能无法导出共享密钥。
在一些实施方案中,UE可被配置有椭圆曲线公钥-私钥对以及可能需要在椭圆曲线Diffie-Hellman(ECDH)密钥协定协议中使用的任何其他凭证,该ECDH密钥协定协议可以是使用椭圆曲线密码术的Diffie Hellman协议的变体。在一些实施方案中,安全凭证可对应于可与ECDH密钥协定协议一起使用的多个椭圆曲线。一般而言,椭圆曲线协议(诸如ECDH)提供较短加密密钥,该较短加密密钥与例如RSA相比使用更少的存储器和CPU资源以便获得可比较的安全性。
操作304和308可类似于图2的相应操作204和208。
在312处,过程可包括UE1 104生成直接通信请求消息以包括UE1 104的公钥。因为直接通信请求消息要被广播并且不是所有目标UE可支持ECDH,所以UE1 104还可在直接通信请求消息内包括ECDH指示。以这种方式,接收UE可知道将用于建立受保护连接的安全算法是ECDH密钥协定协议。直接通信请求消息可被传输到中继UE 108,该中继UE在316处将包括UE1 104的公钥和ECDH的指示的直接通信请求消息转发给UE2 112。直接通信请求消息的转发可类似于上文相对于216描述的转发。
在318处,UE2 112可处理直接通信请求消息以获得所传输的信息。如果UE2 112支持ECDH密钥协定协议,则UE2 112可继续根据ECDH密钥协定协议使用UE2 112的私钥和UE1104的公钥来生成共享密钥(Kshare)。
在320处,UE2 112可生成包括UE2 112的公钥的直接通信接受消息并且将该直接通信接受消息传输到UE中继108。在324处,中继UE 108可将直接通信接受消息转发给UE1104。直接通信接受消息的转发可类似于上文相对于324描述的转发。
在326处,UE1 104可根据ECDH密钥协定协议使用UE1 104的私钥和UE2 112的公钥来生成共享密钥(Kshare)。此时,UE1 104和UE2 112都可访问相同的共享密钥。
在328处,可经由中继UE 108建立端到端保护的单播链路。单播链路上的通信可使用UE1 104和UE2 112两者可用的Kshare来进行加密,并且路由信息可被留在受保护的单播链路外。
在一些实施方案中,在302处供应给UE 104和112的凭证可包括可在ECDH密钥协定协议中使用的多个椭圆曲线。这些椭圆曲线可以是例如secp256k1曲线、X25519(或曲线25519)、X448(或曲线448)等。向UE 104和112供应用于利用ECDH密钥协定协议的多个选项可导致关于在特定实例中使用的凭证的不确定性。因此,一些实施方案还可包括可致使UE104和112在要与ECDH密钥协定协议一起使用的公共凭证上对准的协商或其他配置。图4和图5示出了可允许UE 104和112协商可用于生成共享密钥以保护连接的特定凭证的过程。
图4示出了根据一些实施方案的用于建立连接的过程400。类似于过程300,过程400可利用基于ECDH密钥协定协议的对称密码术。
操作402、404和408可类似于如相对于图3描述的相应操作302、304和308。
在412处,过程400可包括UE1 104生成直接通信请求消息以包括UE1104的公钥和ECDH密钥协定协议的指示,如上文相对于操作312描述的。然而,在412处生成的直接通信请求消息还可包括凭证ID以促进ECDH凭证配置的协商。
UE1 104的ProSe应用程序可实现ECDH的多个凭证,其可能已经在402处的密钥和安全信息供应中被供应。另外,已经安装ProSe应用程序的其他UE也可以能够实现各种凭证。在一些实施方案中,安装ProSe应用程序的每个UE还可下载了凭证和相关联的凭证ID。此关联信息可附加地/另选地通过在402处的密钥和安全信息供应来传送到UE 104和112。因此,在412处由UE1 104生成的直接通信请求消息中包括凭证ID可唯一地识别将用于ECDH密钥协定协议的所供应的凭证。凭证ID的传输可保护底层凭证的身份,至少相对于尚未下载相同应用程序程序的设备。此外,与凭证本身对照的凭证ID的传输也可使用较少的控制信令开销。
在416处,过程400可包括中继UE 108向UE2 112转发具有UE1 104的公钥、ECDH的指示和凭证ID的直接通信请求消息。直接通信请求消息的转发可类似于上文相对于216描述的转发。
UE2 112可处理直接通信请求以接收包括凭证ID的所传输的信息。在418处,过程400可包括UE2 112基于对应于凭证ID的凭证,通过ECDH密钥协定协议使用UE2 112的私钥和UE1 104的公钥来生成共享密钥。
过程400还可包括可与上文相对于图3描述的相应操作320、324、326和328类似的操作420、424、426和428。
图5示出了根据一些实施方案的用于建立连接的过程500。类似于过程300和400,过程500可利用基于ECDH密钥协定协议的对称密码术。
操作502、504和508可类似于如相对于图3描述的相应操作302、304和308。
在512处,过程500可包括UE1 104生成直接通信请求消息以包括UE1104的公钥和ECDH的指示,如上文相对于操作412描述的。
安全凭证(例如,椭圆曲线)可以不是私人信息。因此,在该实施方案中,不是将凭证ID包括在直接通信请求消息中,而是可包括凭证本身。例如,如图5所示,UE1 104可生成直接通信请求消息以包括要使用曲线X25519的指示。
在516处,过程500可包括中继UE 108向UE2 112转发具有UE1 104的公钥、ECDH的指示和要使用的凭证(例如,曲线X25519)的直接通信请求消息。直接通信请求消息的转发可类似于上文相对于216描述的转发。
UE2 112可处理直接通信请求以接收包括凭证的所传输的信息。如果UE2 112支持凭证,则过程500可包括在518处,UE2 112基于凭证,通过ECDH密钥协定协议使用UE2 112的私钥和UE1 104的公钥来生成共享密钥。
过程500还可包括可与上文相对于图4描述的相应操作420、424、426和428类似的操作520、524、526和528。
过程400和500描述了UE 104和112确定要使用多个供应凭证中的哪个凭证来建立共享密钥以保护扩展单播链路。在其他实施方案中,可通过限制所供应的凭证的数量来避免过程400和500的协商。例如,UE可仅被配置有针对ProSe支持的一个凭证(例如,曲线X25519)。因此,UE可能不需要协商使用哪个凭证。
图6示出了根据一些实施方案的可由UE实现的协议栈600。控制平面协议栈600可提供UE到UE层-2中继。
UE1 104可包括与UE2 112的对应APP层604耦接的应用(APP)层602。APP层可使用较低层来提供数据转移服务。
UE1 104可包括与UE2 112的对应ProSe层606耦接的ProSe层604。
ProSe层可用于建立如本文所述的受保护的连接。ProSe层可执行各种其他ProSe操作,包括可在网络内的一个或多个其他ProSe元件处终止的那些操作。例如,附加ProSe操作可包括涉及通过PC5信令(PC5-S)接口与其他ProSe启用的UE进行的控制信息的ProSe信令的那些操作;用于通过PC5发现(PC5-D)接口发现其他ProSe启动的UE的ProSe发现操作;通过PC3接口的有关ProSe功能的服务授权、配置、供应;等。
在控制平面中,ProSe层还可执行一个或多个无线电资源控制(RRC)层操作。例如,ProSe层可提供连接建立和释放功能、系统信息的广播、无线电承载建立、重新配置和释放、移动性和寻呼功能。
在数据平面中,ProSe层可执行服务数据采用协议(SDAP)层操作。SDAP层操作可包括在服务质量(QoS)流与数据无线电承载之间进行映射并且标记QoS流标识符以及下行链路分组和上行链路分组两者。
UE1 104还可包括与UE2 112的对应PDCP层610耦接的分组数据汇聚协议(PDCP)层608。PDCP层可控制转移用户/控制平面数据、标头压缩、加密和完整性保护。PDCP层可在UE104和112之间建立端到端安全。这可允许通过中继UE 108在UE 104和112之间透明地转移信令消息,而没有除了源和目标层-2ID之外的任何修改。
UE1 104还可包括与中继UE 108中的对应RLC层614耦接的无线电链路控制(RLC)层612。中继UE 108还可包括与UE2 112中的对应RLC层618耦接的另一个RLC层616。
RLC层可转移上层协议数据单元以及确认模式、非确认模式或透明模式。RLC层可针对这些模式中的每一者分别地管理RLC服务数据单元和协议数据单元以提供错误检测和恢复。
UE1 104还可包括与中继UE 108中的对应MAC层622耦接的介质访问控制(MAC)层620。中继UE 108还可包括与UE2 112中的对应MAC层626耦接的另一个MAC层624。
MAC层可执行针对侧行链路发射器(TX)和接收器(RX)的逻辑信道和传输信道之间的映射;针对侧行链路TX的复用;针对侧行链路RX的解复用;针对侧行链路TX的调度信息报告;针对侧行链路TX/RX的通过混合自动重传请求(HARQ)的错误校正;针对侧行链路TX的逻辑信道优先化;和针对侧行链路TX的无线电资源选择。
可处于层2处的MAC层还可管理通过L2 ID进行路由的各个方面,如在过程200、300、400和500中描述的。例如,中继UE 108的MAC层可管理将R-L2 ID-a与UE1 104的L2 ID相关联并且将R-L2 ID-b与UE2 112的L2 ID相关联的映射表,以及转发给UE1 104和UE2112的消息中的路由信息的更新。
UE1 104还可包括与中继UE 108中的对应PHY层630耦接的物理(PHY)层628。中继UE 108还可包括与UE2 112中的对应PHY层634耦接的另一个PHY层632。
PHY层(其也可被称为层1(L1))提供物理层处理以及跨空中接口的发射和接收。PHY层可向发射器处的传输块添加循环冗余校验位以允许在接收器处进行错误检测。PHY层还可执行信道编码、交织和调制以通过空中接口高效地发射/接收信息。
图7可包括根据一些实施方案的操作流程/算法结构700。操作流程/算法结构700可由发起UE使用以经由中继UE在两个UE之间建立受保护的单播链路。
在一些实施方案中,操作流程/算法结构700可由发起UE诸如UE1 104、UE 1000、或其部件(例如处理器704的基带处理器)执行。
操作流程/算法结构700可包括在704处访问供应信息。可从设备的存储器/存储装置(例如,存储器/存储装置1012)访问供应信息。
在一些实施方案中,供应信息可通过从诸如但不限于ProSe功能(诸如ProSe功能126)的网络元件传输的配置消息来供应给UE。在其他实施方案中,可在UE处预供应或预配置供应信息中的一些或全部。
在各种实施方案中,供应信息可包括身份信息、密钥信息、安全凭证信息等。
操作流程/算法结构700还可包括在708处,广播直接通信请求消息。可广播直接通信请求消息以发起对等UE发现过程。可通过使用广播L-2地址作为直接通信请求消息中的目标地址来实现直接通信请求消息的广播。
在各种实施方案中,可生成直接通信请求以包括可用于保护由对等UE发现过程产生的单播链路的非对称或对称密码术信息。该密码术信息可包括例如所支持的安全算法的列表、发起UE的公钥信息、ECDH密钥协定协议将用于对称加密的指示、将与ECDH密钥协定协议一起使用的安全凭证的指示(例如,标识符或名称)等。
操作流程/算法结构700还可包括在712处,接收直接通信接受消息。在各种实施方案中,直接通信接受消息可包括接收UE的公钥信息,并且任选地包括由接收UE选择的安全算法。在一些实施方案中,可基于发起UE的公钥对直接通信接受消息进行加密。
操作流程/算法结构700还可包括在716处,对通信进行解密。在利用非对称密码术的实施方案中,在716处的通信的解密可涉及基于发起UE的私钥对从接收UE接收到的消息(例如直接通信接受消息或其他消息)进行解密。
在利用对称密码术的实施方案中,发起UE可基于在直接通信接受消息中传输的信息(包括例如接收UE的公钥)来生成共享密钥。来自接收UE的后续通信可基于共享密钥来解密。在一些实施方案中,共享密钥的生成可基于协商的或以其他方式为发起UE和接收UE两者所知的安全算法。
图8可包括根据一些实施方案的操作流程/算法结构800。操作流程/算法结构800可用于经由中继UE在两个UE之间建立受保护的单播链路。
在一些实施方案中,操作流程/算法结构800可由以下执行:发起UE(例如,UE1104);接收UE(例如,UE2 112);或其部件(例如,处理器704的基带处理器)。出于本描述的目的,操作流程/算法结构800可被认为是由第一UE执行的。
操作流程/算法结构800可包括在804处确定与第二UE相关联的公钥。在一些实施方案中,公钥可由第二UE使用配置给第二UE的安全凭证信息来生成。第二UE的公钥可在作为通过中继UE建立对等UE连接的一部分的直接通信接受消息中传输给第一UE。
操作流程/算法结构800还可包括在808处,确定ECDH密钥协定协议的凭证。在一些实施方案中,第一UE可基于作为供应过程的一部分的提供给第一UE的配置信息来确定安全凭证。供应过程可包括从网络的ProSe功能传输到第一UE的信息。
在一些实施方案中,第一UE可在直接通信请求消息中接收由第二UE支持的多个安全凭证的指示。在这些实施方案中,第一UE可确定第一UE还支持安全凭证中的哪一者,并且如果多于一个,则选择相互支持的安全凭证中的一者。选定安全凭证可被传送回第二UE。
操作流程/算法结构800还可包括在812处,确定共享密钥。第一UE可利用安全凭证、第二UE的公钥和第一UE的私钥来确定共享密钥。
操作流程/算法结构800还可包括在716处,使用共享密钥与第二UE通信。共享密钥可用于对发送到第二UE的通信进行加密并且对通过穿过中继UE的受保护的单播链路从第二UE接收的通信进行解密。
图9可包括根据一些实施方案的操作流程/算法结构900。操作流程/算法结构900可用于经由中继UE在两个UE之间建立受保护的单播链路。
在一些实施方案中,操作流程/算法结构900可由发起UE例如UE1 104或其部件(例如处理器704的基带处理器)执行。
操作流程/算法结构900可包括在904处,传输直接通信请求消息。可广播直接通信请求消息以发起对等UE发现过程。如本文所述,广播可包括将目标地址设置为广播L-2地址。
直接通信请求消息可包括ECDH密钥协定协议将用于保护发起UE和接收UE之间的通信的指示。直接通信请求消息还可包括与发起UE相关联的公钥。在一些实施方案中,直接通信请求消息还可包括由发起UE支持的ECDH密钥协定协议的多个安全凭证。
操作流程/算法结构900还可包括在908处,接收直接通信接受消息。直接通信接受消息可包括与接收UE相关联的公钥。在一些实施方案中,直接通信接受消息还可包括将用于生成共享秘密的选定安全凭证的指示。
操作流程/算法结构900还可包括在912处,确定共享秘密。可基于安全凭证、接收UE的公钥和发起UE的私钥来确定共享秘密。
操作流程/算法结构900还可包括在916处,基于共享秘密进行通信。共享密钥可用于对发送到接收UE的通信进行加密并且对通过穿过中继UE的受保护的单播链路从接收UE接收的通信进行解密。
图10示出了根据一些实施方案的UE 1000。UE 1000可类似于图1的UE中的任一者,并且基本上可与其互换。
UE 1000可以是消费电子设备、蜂窝电话、智能电话、平板计算机、可穿戴计算机设备、台式计算机、膝上型计算机、车载设备(例如,信息娱乐设备、仪表组、平视显示器设备、板载诊断设备、仪表盘移动装备、移动数据终端、电子引擎管理系统、电子/引擎控制单元、电子/引擎控制模块等)、基础设施设备、传感器、嵌入式系统、微控制器、控制模块、联网或(智能)电器、MTC设备、IoT设备等。
UE 1000可包括处理器1004、RF接口电路1008、存储器/存储装置1012和用户接口1016。UE 1000的部件可被实现为集成电路(IC)、集成电路的部分、离散电子设备或其他模块、逻辑部件、硬件、软件、固件或它们的组合。图10的框图旨在示出UE 1000的部件中的某些部件的高级视图。然而,可省略所示的部件中的一些,可存在附加部件,并且所示部件的不同布置可在其他具体实施中发生。
UE 1000的部件可通过一个或多个互连器1028与各种其他部件耦接,该一个或多个互连器可表示允许各种(在公共或不同的芯片或芯片组上的)电路部件彼此交互的任何类型的接口、输入/输出、总线(本地、系统或扩展)、传输线、迹线、光学连接件等。
处理器1004可包括处理电路,诸如应用处理器、数字信号处理器、图形处理单元、中央处理单元和/或基带处理器。处理器1004可执行或以其他方式操作计算机可执行指令(诸如程序代码、软件模块和/或来自存储器/存储装置1012的功能过程)以致使UE 1000执行如本文所描述的操作。
在一些实施方案中,处理器1004可访问存储器/存储装置1012中的通信协议栈1020以通过如本文所述的SL或3GPP兼容网络进行通信。在一些实施方案中,处理器1004可实现通信协议栈1020以执行相对于图2至图5的过程、图6的协议栈或图7到图9的操作流程/算法结构描述的操作中的一者或多者。一般来讲,应用处理器可访问通信协议栈以执行APP层功能,并且基带处理器可访问通信协议栈以:在PHY层、MAC层、RLC层、PDCP层、SDAP层和PDU层处执行用户平面功能;以及在PHY层、MAC层、RLC层、PDCP层、RRC层和非接入层(NAS)层处执行控制平面功能。在一些实施方案中,PHY层操作可附加地/另选地由RF接口电路的部件执行。
基带处理器可生成或处理携带侧行链路或3GPP兼容网络中的信息的基带信号或波形。在一些实施方案中,用于LTE的波形可以是下行链路中的正交频分复用(OFDM)和上行链路中的单载波-频分多址(SC-FDMA)。在NR中,波形可基于上行链路或下行链路中的循环前缀OFDM(CP-OFDM),以及上行链路中的离散傅里叶变换扩展OFDM(DFT-S-OFDM)。在高级LTE(LTE-A)中,DFT-S-OFDM可用于侧行链路。在NR中,CP-OFDM或DFT-S-OFDM可用于侧行链路。
基带处理器还可访问存储器/存储装置1012中的所供应的信息1024中的信息以通过中继建立受保护的单播信道。如本文所述,所供应的信息1024可包括安全凭证和密钥信息。
存储器/存储装置1012可包括可分布在整个UE 1000中的任何类型的易失性或非易失性存储器。在一些实施方案中,存储器/存储装置1012中的一些存储器/存储装置可位于处理器1004本身(例如,L1高速缓存和L2高速缓存)上,而其他存储器/存储装置1012位于处理器1004的外部,但可经由存储器接口访问。存储器/存储装置1012可包括任何合适的易失性或非易失性存储器,诸如但不限于动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存存储器、固态存储器和/或任何其他类型的存储器设备技术。
RF接口电路1008可包括收发器电路和射频前端模块(RFEM),其允许UE 1000通过无线电接入网络与其他设备通信。RF接口电路1008可包括布置在发射路径或接收路径中的各种元件。这些元件可包括例如开关、混频器、放大器、滤波器、合成器电路、控制电路等。
在接收路径中,RFEM可经由天线从空中接口接收辐射信号并且继续(利用低噪声放大器)过滤并放大该信号。可将该信号提供给收发器的接收器,该接收器将RF信号向下转换成被提供给处理器1004的基带处理器的基带信号。
在发射路径中,收发器的发射器将从基带处理器接收的基带信号向上转换,并将RF信号提供给RFEM。RFEM可在信号经由天线跨空中接口被辐射之前通过功率放大器来放大RF信号。
在各种实施方案中,RF接口电路1008可被配置为以与LTE或NR接入技术兼容的方式发射/接收信号。
用户电路1016包括各种输入/输出(I/O)设备,这些输入/输出设备被设计成使用户能够与UE 1000进行交互。用户接口1016包括输入设备电路和输出设备电路。输入设备电路包括用于接受输入的任何物理或虚拟装置,尤其包括一个或多个物理或虚拟按钮(例如,复位按钮)、物理键盘、小键盘、鼠标、触控板、触摸屏、麦克风、扫描仪、头戴式耳机等。输出设备电路包括用于显示信息或以其他方式传达信息(诸如传感器读数、致动器位置或其他类似信息)的任何物理或虚拟装置。输出设备电路可包括任何数量和/或组合的音频或视觉显示,尤其包括一个或多个简单的视觉输出/指示器(例如,二进制状态指示器,诸如发光二极管(LED))和多字符视觉输出,或更复杂的输出,诸如显示设备或触摸屏(例如,液晶显示器(LCD)、LED显示器、量子点显示器、投影仪等),其中字符、图形、多媒体对象等的输出由UE1000的操作生成或产生。
众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
对于一个或多个实施方案,在前述附图中的一个或多个中示出的部件中的至少一个可被配置为执行如下示例部分中所述的一个或多个操作、技术、过程和/或方法。例如,上文结合前述附图中的一个或多个所述的基带电路可被配置为根据下述示例中的一个或多个进行操作。又如,与上文结合前述附图中的一个或多个所述的UE、基站、网络元件等相关联的电路可被配置为根据以下在示例部分中示出的示例中的一个或多个进行操作。
实施例
在以下部分中,提供了另外的示例性实施方案。
实施例1可包括一种操作源UE的方法,该方法包括:访问供应信息以确定与该源UE相关联的加密密钥对,该加密密钥对包括公钥和私钥;广播包括该公钥的直接通信请求以触发对等UE发现;从目标UE接收包括与该目标UE相关联的公钥的直接通信接受消息;基于与该源UE相关联的该私钥对来自该目标UE的通信进行解密;以及基于与目标UE相关联的该公钥对到该目标UE的通信进行加密。
实施例2可包括根据实施例一或本文的某个其他实施例所述的方法,其中该方法还包括:通过该源UE和该目标UE之间的端到端保护的单播链路向该目标UE传输该加密通信。
实施例3可包括根据实施例2或本文的某个其他实施例所述的方法,其中该端到端保护的单播链路穿过中继UE。
实施例4可包括根据实施例3或本文的某个其他实施例所述的方法,其中该方法还包括:生成具有该中继UE可访问的源层-2标识符的消息以包括该加密通信。
实施例5可包括根据实施例一或本文的某个其他实施例所述的方法,还包括:生成该直接通信请求以包括所支持的安全算法的列表。
实施例6可包括根据实施例5或本文的某个其他实施例所述的方法,还包括:从该直接通信接受消息中提取由该目标UE从所支持的安全算法的该列表中选择的安全算法。
实施例7可包括根据实施例6或本文的某个其他实施例所述的方法,还包括:基于该安全算法对到该目标UE的通信进行加密;以及通过经由UE到UE中继的端到端保护的单播链路向该目标UE传输该加密通信。
实施例8可包括根据实施例一或本文的某个其他实施例所述的方法,还包括:生成该直接通信请求以包括椭圆曲线Diffie-Hellman(ECDH)密钥协定协议将用于保护该源UE和该目标UE之间的单播链路的指示。
实施例9可包括根据实施例8或本文的某个其他实施例所述的方法,还包括:基于该ECDH密钥协定协议、与该目标UE相关联的该公钥和与该源UE相关联的该私钥来生成共享密钥;以及使用该共享密钥对到该目标UE的通信进行加密。
实施例10可包括一种操作第一UE的方法,该方法包括:存储与该第一UE相关联的私钥和针对椭圆曲线Diffie-Hellman(ECDH)密钥协定协议的安全凭证;确定与第二UE相关联的公钥;以及基于该安全凭证、与该第二UE相关联的该公钥和与该第一UE相关联的该私钥来确定共享密钥。
实施例11可包括根据实施例11或本文的某个其他实施例所述的方法,还包括向该第二UE传输具有与该第一UE相关联的该公钥的指示的直接通信接受消息。
实施例12可包括根据实施例10或本文的某个其他实施例所述的方法,其中该第一UE是目标UE,该第二UE是源UE,并且该方法还包括:从该源UE接收直接通信请求,该直接通信请求包括与该源UE相关联的该公钥的指示和该安全凭证的指示。
实施例13可包括根据实施例12或本文的某个其他实施例所述的方法,其中该安全凭证的该指示是该安全凭证的凭证标识符或名称。
实施例14可包括根据实施例13或本文的某个其他实施例所述的方法,其中该安全凭证的该指示是凭证标识符并且该方法还包括:从核心网中的接近服务功能接收将一个或多个凭证标识符映射到对应的一个或多个凭证的供应信息;以及基于该供应信息来确定该凭证标识符对应于该安全凭证。
实施例15可包括根据实施例12或本文的某个其他实施例所述的方法,其中该直接通信请求包括包含该安全凭证的多个安全凭证的指示并且该方法还包括:基于该安全凭证在该第一UE处可用而选择该安全凭证;以及在直接通信接受消息内包括该安全凭证的该选择的指示。
实施例16可包括根据实施例10或本文的某个其他实施例所述的方法,其中该第一UE是源UE,该第二UE是目标UE,并且该方法还包括:生成直接通信请求以包括与该第一UE相关联的该公钥、和要使用该ECDH密钥协定协议的指示以及该安全凭证的指示;以及向中继UE传输该直接通信请求。
实施例17可包括一种操作第一UE的方法,该方法包括:传输直接通信请求,该直接通信请求包括与该第一UE相关联的公钥以及将使用椭圆曲线Diffie Hellman(ECDH)密钥协定协议来建立安全连接的指示;经由中继UE从第二UE接收直接通信接受消息,该直接通信接受消息包括与该第二UE相关联的公钥;以及基于该ECDH密钥协定协议和与该第二UE相关联的该公钥来确定共享秘密。
实施例18可包括根据实施例17或本文的某个其他实施例所述的方法,还包括:生成该直接通信请求以便还包括将与该ECDH密钥协定协议一起使用的安全凭证的指示。
实施例19可包括根据实施例18或本文的某个其他实施例所述的方法,其中该指示是该安全凭证的名称或与该安全凭证相关联的凭证标识符。
实施例20可包括根据实施例17或本文的某个其他实施例所述的方法,还包括:接收配置信息以将该第一UE配置有仅一个将与该ECDH密钥协定协议一起使用的安全凭证;以及通过该ECDH密钥协定协议使用该一个凭证来确定该共享秘密。
实施例21可包括一种装置,所述装置包括用于执行实施例1至20中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个元素的构件。
实施例22可包括一种或多种非暂态计算机可读介质,所述一种或多种非暂态计算机可读介质包括指令,这些指令在由电子设备的一个或多个处理器执行时,使电子设备执行实施例1至20中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个元素。
实施例23可包括一种装置,所述装置包括用于执行实施例1至20中任一项所述或与之相关的方法或本文所述的任何其他方法或过程的一个或多个元素的逻辑部件、模块或电路。
实施例24可包括根据实施例1至20中任一项所述或与之相关的方法、技术或过程,或其部分或部件。
实施例25可包括一种装置,所述装置包括:一个或多个处理器以及一个或多个计算机可读介质,所述一个或多个计算机可读介质包括指令,这些指令在由一个或多个处理器执行时使一个或多个处理器执行根据实施例1至20中任一项所述或与之相关的方法、技术或过程,或其部分。
实施例26可包括根据实施例1至20中任一项所述或与其相关的信号,或其部分或部件。
实施例27可包括根据实施例1至20中任一项所述或与其相关的数据报、信息元素、分组、帧、段、PDU或消息,或其部分或部件,或在本公开中以其他方式描述。
实施例28可包括根据实施例1至20中任一项所述或与其相关的编码有数据的信号,或其部分或部件,或者在本公开中以其他方式描述的。
实施例29可包括根据实施例1至20中任一项所述或与其相关的编码有数据报、IE、分组、帧、段、PDU或消息的信号,或其部分或部件,或在本公开中以其他方式描述。
实施例30可包括承载计算机可读指令的电磁信号,其中由一个或多个处理器执行计算机可读指令将使一个或多个处理器执行实施例1至20中任一项所述或与其相关的方法、技术或过程,或其部分。
实施例31可包括一种计算机程序,所述计算机程序包括指令,其中由处理元件执行程序将使处理元件执行实施例1至20中任一项所述或与其相关的方法、技术或过程,或其部分。
实施例32可包括如本文所示和所述的无线网络中的信号。
实施例33可包括如本文所示和所述的在无线网络中进行通信的方法。
实施例34可包括如本文所示和所述的用于提供无线通信的系统。
实施例35可包括如本文所示和所述的用于提供无线通信的设备。
除非另有明确说明,否则上述示例中的任一者可与任何其他示例(或示例的组合)组合。一个或多个具体实施的前述描述提供了说明和描述,但是并不旨在穷举或将实施方案的范围限制为所公开的精确形式。鉴于上面的教导内容,修改和变型是可能的,或者可从各种实施方案的实践中获取修改和变型。
虽然已相当详细地描述了上面的实施方案,但是一旦完全了解上面的公开,许多变型和修改对于本领域的技术人员而言将变得显而易见。本公开旨在使以下权利要求书被阐释为包含所有此类变型和修改。
Claims (20)
1.一种或多种计算机可读介质,所述一种或多种计算机可读介质具有指令,所述指令在由一个或多个处理器执行时致使源用户设备(UE):
访问供应信息以确定与所述源UE相关联的加密密钥对,所述加密密钥对包括公钥和私钥;
由所述源UE广播包括所述公钥的直接通信请求以触发对等UE发现;
从目标UE接收包括与所述目标UE相关联的公钥的直接通信接受消息;
基于与所述源UE相关联的所述私钥,对来自所述目标UE的通信进行解密;以及
基于与目标UE相关联的所述公钥,对到所述目标UE的通信进行加密。
2.根据权利要求1所述的一种或多种计算机可读介质,其中所述指令在被执行时进一步致使所述源UE:
通过所述源UE和所述目标UE之间的端到端保护的单播链路,向所述目标UE传输加密通信。
3.根据权利要求2所述的一种或多种计算机可读介质,其中所述端到端保护的单播链路穿过中继UE。
4.根据权利要求3所述的一种或多种计算机可读介质,还包括:
生成具有所述中继UE可访问的源层-2标识符的消息以包括所述加密通信。
5.根据权利要求1所述的一种或多种计算机可读介质,其中所述指令在被执行时进一步致使所述源UE:
生成所述直接通信请求以包括所支持的安全算法的列表。
6.根据权利要求5所述的一种或多种计算机可读介质,其中所述指令在被执行时进一步致使所述源UE:
从所述直接通信接受消息中提取由所述目标UE从所支持的安全算法的所述列表中选择的安全算法。
7.根据权利要求6所述的一种或多种计算机可读介质,其中所述指令在被执行时进一步致使所述源UE:
基于所述安全算法,对到所述目标UE的通信进行加密;以及
通过经由UE到UE中继的端到端保护的单播链路,向所述目标UE传输加密通信。
8.根据权利要求1至7中任一项所述的一种或多种计算机可读介质,其中所述指令在被执行时进一步致使所述源UE:
生成所述直接通信请求以包括椭圆曲线Diffie-Hellman(ECDH)密钥协定协议将用于保护所述源UE和所述目标UE之间的单播链路的指示。
9.根据权利要求8所述的一种或多种计算机可读介质,其中所述指令在被执行时进一步致使所述源UE:
基于所述ECDH密钥协定协议、与所述目标UE相关联的所述公钥和与所述源UE相关联的所述私钥来生成共享密钥;以及
使用所述共享密钥,对到所述目标UE的通信进行加密。
10.一种第一用户设备(UE),包括:
存储器电路,所述存储器电路用于存储与所述第一UE相关联的私钥和针对椭圆曲线Diffie-Hellman(ECDH)密钥协定协议的安全凭证;以及
处理电路,所述处理电路与所述存储器电路耦接,所述处理电路用以:
在所述第一UE处确定与第二UE相关联的公钥;以及
基于所述安全凭证、与所述第二UE相关联的所述公钥和与所述第一UE相关联的所述私钥来在所述第一UE处确定共享密钥。
11.根据权利要求10所述的第一UE,其中所述处理电路进一步用于:
向所述第二UE传输具有与所述第一UE相关联的所述公钥的指示的直接通信接受消息。
12.根据权利要求10或11所述的第一UE,其中所述第一UE是目标UE,所述第二UE是源UE,并且所述处理电路进一步用于:
从所述源UE接收直接通信请求,所述直接通信请求包括与所述源UE相关联的所述公钥的指示和所述安全凭证的指示。
13.根据权利要求12所述的第一UE,其中所述安全凭证的所述指示是所述安全凭证的凭证标识符或名称。
14.根据权利要求13所述的第一UE,其中所述安全凭证的所述指示是凭证标识符,并且所述处理电路进一步用于:
从核心网中的接近服务功能接收将一个或多个凭证标识符映射到对应的一个或多个凭证的供应信息;以及
基于所述供应信息来确定所述凭证标识符对应于所述安全凭证。
15.根据权利要求12所述的第一UE,其中所述直接通信请求包括包含所述安全凭证的多个安全凭证的指示,并且所述处理电路进一步用于:
基于所述安全凭证在所述第一UE处可用而选择所述安全凭证;以及
在直接通信接受消息内包括所述安全凭证的所述选择的指示。
16.根据权利要求10所述的第一UE,其中所述第一UE是源UE,所述第二UE是目标UE,并且所述处理电路进一步用于:
生成直接通信请求以包括与所述第一UE相关联的所述公钥、要使用所述ECDH密钥协定协议的指示以及所述安全凭证的指示;以及
向中继UE传输所述直接通信请求。
17.一种操作第一用户设备(UE)的方法,所述方法包括:
传输直接通信请求,所述直接通信请求包括与所述第一UE相关联的公钥以及将使用椭圆曲线Diffie Hellman(ECDH)密钥协定协议以建立安全连接的指示;
经由中继UE从第二UE接收直接通信接受消息,所述直接通信接受消息包括与所述第二UE相关联的公钥;以及
基于所述ECDH密钥协定协议和与所述第二UE相关联的所述公钥来确定共享秘密。
18.根据权利要求17所述的方法,还包括:生成所述直接通信请求以进一步包括将与所述ECDH密钥协定协议一起使用的安全凭证的指示。
19.根据权利要求18所述的方法,其中所述指示是所述安全凭证的名称或与所述安全凭证相关联的凭证标识符。
20.根据权利要求17至19中任一项所述的方法,还包括:
接收配置信息以将所述第一UE配置有仅一个将与所述ECDH密钥协定协议一起使用的安全凭证;以及
通过所述ECDH密钥协定协议使用所述一个凭证来确定所述共享秘密。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2020103719 | 2020-07-23 | ||
| CNPCT/CN2020/103719 | 2020-07-23 | ||
| PCT/US2021/037399 WO2022020033A1 (en) | 2020-07-23 | 2021-06-15 | Protection of communications through user equipment relay |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116158059A CN116158059A (zh) | 2023-05-23 |
| CN116158059B true CN116158059B (zh) | 2025-11-25 |
Family
ID=76797182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180060998.2A Active CN116158059B (zh) | 2020-07-23 | 2021-06-15 | 通过用户设备中继的通信的保护 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11924184B2 (zh) |
| CN (1) | CN116158059B (zh) |
| WO (1) | WO2022020033A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116134786A (zh) * | 2020-08-12 | 2023-05-16 | 交互数字专利控股公司 | 支持网络中继的多播广播服务 |
| US12382294B2 (en) * | 2020-10-01 | 2025-08-05 | Qualcomm Incorporated | Secure communication link establishment for a UE-to-UE relay |
| WO2022090239A1 (en) * | 2020-10-30 | 2022-05-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Handling application functions for key management in communication device-network relay scenarios |
| KR20240066235A (ko) * | 2022-11-02 | 2024-05-14 | 아서스 테크놀러지 라이센싱 아이엔씨. | 무선 통신 시스템에서 ue-대-ue 릴레이 통신에서 계층-2 링크 수정을 지원하기 위한 방법 및 장치 |
| CN118303055A (zh) * | 2022-11-04 | 2024-07-05 | 北京小米移动软件有限公司 | 通信控制方法、系统及装置、通信设备及存储介质 |
| WO2024164202A1 (zh) * | 2023-02-08 | 2024-08-15 | 北京小米移动软件有限公司 | 信息处理方法以及装置、通信设备及存储介质 |
| CN116830623A (zh) * | 2023-02-10 | 2023-09-29 | 北京小米移动软件有限公司 | 侧链路通信方法及装置 |
| WO2024134634A1 (en) * | 2023-02-14 | 2024-06-27 | Lenovo (Singapore) Pte. Ltd. | Configuration of keys for ciphering of sidelink positioning messages for point-to-multipoint transmission |
| CN119923934A (zh) * | 2023-08-11 | 2025-05-02 | 北京小米移动软件有限公司 | 通信方法及装置、通信设备、通信系统、存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611905A (zh) * | 2019-08-09 | 2019-12-24 | 华为技术有限公司 | 信息共享方法、终端设备、存储介质及计算机程序产品 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9817983B2 (en) * | 2001-10-03 | 2017-11-14 | Hewlett-Packard Development Company, L.P. | Mobile Printing |
| US8510552B2 (en) * | 2010-04-07 | 2013-08-13 | Apple Inc. | System and method for file-level data protection |
| US20130034229A1 (en) * | 2011-08-05 | 2013-02-07 | Apple Inc. | System and method for wireless data protection |
| US8874915B1 (en) * | 2011-09-28 | 2014-10-28 | Amazon Technologies, Inc. | Optimized encryption key exchange |
| US10043029B2 (en) * | 2014-04-04 | 2018-08-07 | Zettaset, Inc. | Cloud storage encryption |
| US10298555B2 (en) * | 2014-04-04 | 2019-05-21 | Zettaset, Inc. | Securing files under the semi-trusted user threat model using per-file key encryption |
| US10630661B2 (en) * | 2017-02-03 | 2020-04-21 | Qualcomm Incorporated | Techniques for securely communicating a data packet via at least one relay user equipment |
| CN110896683A (zh) * | 2017-06-01 | 2020-03-20 | 华为国际有限公司 | 数据保护方法、装置以及系统 |
| CN110493124A (zh) * | 2019-09-30 | 2019-11-22 | 杭州增信信息技术有限公司 | 保护数据安全的加密即时通信系统及通信方法 |
| US12267895B2 (en) * | 2021-07-02 | 2025-04-01 | Mediatek Singapore Pte. Ltd. | Security mechanism for connection establishment over multi-hop sidelinks |
-
2021
- 2021-06-15 US US17/598,224 patent/US11924184B2/en active Active
- 2021-06-15 WO PCT/US2021/037399 patent/WO2022020033A1/en not_active Ceased
- 2021-06-15 CN CN202180060998.2A patent/CN116158059B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611905A (zh) * | 2019-08-09 | 2019-12-24 | 华为技术有限公司 | 信息共享方法、终端设备、存储介质及计算机程序产品 |
Non-Patent Citations (2)
| Title |
|---|
| "S2-2001488 Solution for Key Issue #4 Support of UE-to-UE Relay";InterDigital Inc;《3GPP WG2_Arch/TSGS2_136AH_Incheon S2-2001488》;20200117;第1-3页 * |
| "S3-200824 pCR: Security policy for unicast message in PC5";Apple;《3GPP WG3_Security/TSGS3_98Bis_e S3-200824》;20200423;第1-3页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022020033A1 (en) | 2022-01-27 |
| US20220303254A1 (en) | 2022-09-22 |
| CN116158059A (zh) | 2023-05-23 |
| US11924184B2 (en) | 2024-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116158059B (zh) | 通过用户设备中继的通信的保护 | |
| JP7793605B2 (ja) | スライシングされたセルラーネットワークにおけるリレー選択のプライバシー | |
| CN107251591B (zh) | 用于安全的设备到设备发现和通信的系统、方法和设备 | |
| CN107005569B (zh) | 端对端服务层认证 | |
| CN111052672B (zh) | 无证书或预共享对称密钥的安全密钥传输协议 | |
| US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
| JP7126007B2 (ja) | ルーティング識別子を動的に更新する方法および装置 | |
| US10009760B2 (en) | Providing network credentials | |
| CN107534658A (zh) | 使用公钥机制在服务层的端对端认证 | |
| EP3427435A1 (en) | Methods and apparatus for secure device authentication | |
| CN107431618A (zh) | 用于在无线通信系统中下载简档的方法和设备 | |
| KR20180004612A (ko) | 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 | |
| CN114301613B (zh) | 安全通信的方法和装置 | |
| CN109413645A (zh) | 接入认证的方法和装置 | |
| CN112887971B (zh) | 数据传输方法和装置 | |
| WO2020052414A1 (zh) | 一种数据保护方法、设备及系统 | |
| WO2020221218A1 (zh) | 信息获取方法及装置 | |
| CN116866900A (zh) | 一种基于信道秘钥的加密方法及装置 | |
| JP2022503839A (ja) | 分散ネットワークセルラー式アイデンティティ管理 | |
| KR20200127239A (ko) | 무선 리소스의 구성 | |
| US20250203372A1 (en) | Method For Authenticating To A Remote Server Using Service-Specific Credentials Stored In The eUICC | |
| CN117118628A (zh) | 电力物联网轻量级身份认证方法、装置及电子设备 | |
| WO2026036251A1 (en) | Technologies for physical layer security in a wireless cellular network | |
| US12095915B2 (en) | Method and apparatus for key management in mission critical data communication | |
| CN118827047A (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |