且可能與廣播安全有關(guān)�。
[0126][3]初始授權(quán)(L3)
[0127]初始授權(quán)根據(jù)上述發(fā)現(xiàn)解決方案而變化�����。
[0128][3-1]基于廣播:
[0129]是否允許請求UE L01與接收UE L03進(jìn)行通信可以通過網(wǎng)絡(luò)或者通過具有由網(wǎng)絡(luò)提供的證明的接收UE L03來檢查��。
[0130][3-2]基于網(wǎng)絡(luò):
[0131]請求UE L01和接收UE L03能夠經(jīng)由直接無線接口執(zhí)行相互鑒權(quán)。
[0132][3-3]基于設(shè)備服務(wù)等級信息:
[0133]接收UE L03在用于ProSe服務(wù)目的的設(shè)備組的成員當(dāng)中檢查由用戶或者在UE中保持的列表�����。
[0134][4]鑒權(quán)(L4)
[0135]一旦請求UE L01被識別為屬于相同的組���,則鑒權(quán)發(fā)生��。鑒權(quán)可以本地地或者通過與網(wǎng)絡(luò)交互來執(zhí)行�。
[0136][4-1]請求 UE L01 的鑒權(quán)
[0137]這能夠通過網(wǎng)絡(luò)或具有來自于網(wǎng)絡(luò)的證據(jù)的UE對請求UE L01的成功識別來執(zhí)行����。
[0138][4-2]接收 UE L03 的鑒權(quán):
[0139]這可以通過下述來執(zhí)行
[0140][4-2-1]使用在請求UE L01和接收UE L03之間共享的密鑰
[0141][4-2-1i]使用當(dāng)前網(wǎng)絡(luò)安全密鑰或者新密鑰
[0142][4-2-1ii]向請求UE L01通知來自接收UE L03的傳入的鑒權(quán)請求的網(wǎng)絡(luò)。
[0143][5]授權(quán)-服務(wù)接入控制(L5)
[0144]對請求UE L01和接收UE L03 (下文中也被稱為“UE”)能夠在組內(nèi)使用的服務(wù)的接入控制應(yīng)當(dāng)存在不同的等級���。
[0145][5-1]允許UE接收和/或發(fā)送廣播消息��。
[0146][5-2]允許UE接收和/或發(fā)送多個消息���。
[0147][5-3]允許UE接收和/或發(fā)送用于一對一通信的消息���。
[0148][5-4]根據(jù)訂閱信息和用于ProSe服務(wù)的策略UE設(shè)置的UE授權(quán)����。
[0149]網(wǎng)絡(luò)能夠根據(jù)UE能力和用戶訂閱來建立策略并且向包括請求UE L01和接收UEL03的組成員提供該策略。
[0150]網(wǎng)絡(luò)200對想要加入組的UE 100執(zhí)行授權(quán)�����。UE 100的組成員通過使用會話密鑰來驗證網(wǎng)絡(luò)是否授權(quán)其他UE�����。用于執(zhí)行驗證的授權(quán)的另一方法由網(wǎng)絡(luò)通過下述來進(jìn)行:(1)由網(wǎng)絡(luò)將授權(quán)值發(fā)送到各個UE 100并且各個UE 100使用該值來對彼此執(zhí)行授權(quán)�����,或者(2)用于執(zhí)行驗證的授權(quán)的又一方法���,該方法通過將來自請求UE的授權(quán)值發(fā)送到接收UE����,并且然后接收UE請求網(wǎng)絡(luò)驗證該授權(quán)值和接收結(jié)果來進(jìn)行����。
[0151][6]新密鑰層級和密鑰管理(L6)
[0152]在本發(fā)明的本示例性實施例中提出新密鑰層級。密鑰Kp是與組有關(guān)的密鑰并且還可以與ProSe服務(wù)有關(guān)���。密鑰Kp具有與其有關(guān)的指示符KSI_p�。能夠從ProSe服務(wù)器發(fā)送Kp以供使用。
[0153]密鑰Kpc和Kpi是在UE處從Kp導(dǎo)出的會話密鑰�����。Kpc是機密性密鑰并且Kpi是完整性保護(hù)密鑰����。會話密鑰由UE用于執(zhí)行對彼此的授權(quán)和ProSe通信建立,并且在其之間具有直接通信�。
[0154]在授權(quán)和鑒權(quán)之后,包括請求UE L01和接收UE L03的通信設(shè)備能夠開始會話以相互通信���。當(dāng)請求UE L01和接收UE L03相互通信時���,應(yīng)當(dāng)共享通信密鑰。密鑰能夠是組密鑰和/或每個通信設(shè)備的唯一的密鑰以及每個會話的會話密鑰�����。
[0155]密鑰能夠由網(wǎng)絡(luò)管理并且在安全通信信道上通過網(wǎng)絡(luò)被發(fā)送�����?�?商孢x地�����,密鑰能夠由請求UE L01管理����,并且在鑒權(quán)或者驗證期間,通過能夠由網(wǎng)絡(luò)確保安全的安全單播通信信道被發(fā)送到通信中的包括接收UE L03的其他設(shè)備�。
[0156]UE 100在會話開始時彼此鑒權(quán)(S5)。鑒權(quán)與授權(quán)相關(guān)聯(lián)(S6)�����。圖5A至圖5C是分別示出一對一���、一對多�����、以及多對多會話的示意圖���。如在圖5A至圖5C中所示����,UEa 21和UEa 31 指示請求 UE L01�,并且 UEb 22、UEb 32�、UEc 33 以及 UEn_33n 指示接收 UE L03。
[0157]當(dāng)開始會話時���,首先生成會話密鑰����。在本示例性實施例中�����,請求UE L01(UEa 21�����、UEa 31)和接收UE L03 (UEb 22����、UEb 32、UEc 33、UEn_33n)使用包括會話密鑰的兩種密鑰�����。
[0158]情況1B:
[0159]各個組具有用于各個服務(wù)的密鑰Kp(Kp用作服務(wù)密鑰)���,并且針對各個會話創(chuàng)建新的會話密鑰。
[0160]情況2Β:
[0161]各個組具有密鑰Kp (Kp用作組密鑰)���,并且針對各個會話創(chuàng)建新的會話密鑰����。
[0162]在各個情況下�����,ProSe服務(wù)器或者請求UE L01發(fā)送密鑰�����。例如��,ProSe服務(wù)器將密鑰Kp發(fā)送到請求UE L01和接收UE L03�����,并且每次會話���,請求UE L01都將會話密鑰發(fā)送到接收UE L03o替選地��,ProSe服務(wù)器將密鑰Kp和會話密鑰兩者發(fā)送到請求UE L0和接收UE L03����,或者請求UE L01將密鑰Kp和會話密鑰兩者發(fā)送到接收UE L03����。
[0163]此外,當(dāng)組在有人離開或者被添加時而改變時�、當(dāng)會話結(jié)束或者密鑰超時時、或者當(dāng)ProSe服務(wù)器已經(jīng)做出決定時���,例如��,密鑰Kp和/或會話密鑰應(yīng)被改變����。
[0164]如果ProSe服務(wù)器將密鑰Kp分配給UE�����,則UE從其導(dǎo)出會話密鑰以用于授權(quán)和通信。能夠利用用于密鑰導(dǎo)出的算法來預(yù)先配置UE�,或者密鑰Kp與KSI (密鑰集標(biāo)識符)和服務(wù)有關(guān)。因為它們����,在UE的鑒權(quán)和授權(quán)期間的安全問題或者用于直接通信的密鑰的安全問題可以被解決�。
[0165]注意��,密鑰集標(biāo)識符(KSI)是與在鑒權(quán)期間導(dǎo)出的密碼和完整性密鑰相關(guān)聯(lián)的數(shù)字�����。密鑰集標(biāo)識符能夠由網(wǎng)絡(luò)分配�����,并且通過鑒權(quán)請求消息被發(fā)送到移動站��,在移動站處�,密鑰集標(biāo)識符與所計算的密碼密鑰CK和完整性密鑰IK 一起被存儲。密鑰集標(biāo)識符的目的是�,使其能夠用于使網(wǎng)絡(luò)在不調(diào)用鑒權(quán)過程的情況下,識別存儲在移動站中的密碼密鑰CK和完整性密鑰IK��。這用于允許在后續(xù)連接(會話)期間對密碼密鑰CK和完整性密鑰IK的重用�。
[0166][7]安全通信(L7)
[0167]安全通信能夠提供在組成員UE之間的消息傳輸可用性,并且防止消息由不屬于該組的UE竊聽或者更改��。而且���,安全通信能夠防止UE使用未被授權(quán)的服務(wù)。
[0168]組內(nèi)的通信應(yīng)當(dāng)具有完整性和/或機密性保護(hù)�。在安全關(guān)聯(lián)被建立之后,所有的通信都可以通過上述會話密鑰來保護(hù)�����。
[0169]在具有或者不具有運營商網(wǎng)絡(luò)L02的支持的情況下�,安全策略能夠是組內(nèi)的協(xié)商和協(xié)議。所有的組成員應(yīng)當(dāng)遵循安全策略���。
[0170]接下來�,將會解釋在UE的位置改變發(fā)生的情況下的安全性�����。如果沒有UE具有位置變化�,則不存在安全問題。此外�����,如果所有的UE具有改變的位置��,但是保持彼此鄰近���,則仍然不存在安全問題��。
[0171]如果UE的一部分(一個或者多個UE)已經(jīng)從其他UE的鄰近移出并且其不使用ProSe服務(wù),則需要針對組中的剩余UE來更新組和安全管理��?��?商孢x地,如果一個或者多個UE已經(jīng)從UE鄰近移出���,并且它們想要保持與彼此的ProSe服務(wù)�����,則需要針對組中的剩余UE更新組和安全管理�,并且針對旅行者(traveler)需要新的組和安全。
[0172]注意��,ProSe服務(wù)器應(yīng)當(dāng)周期性地從GMLC (網(wǎng)關(guān)移動位置中心)得到UE位置信息��,以比較和計算所有UE的位置差異�����。
[0173][8]終止(L8)
[0174]當(dāng)通信要被掛起時���,設(shè)備應(yīng)當(dāng)移除會話密鑰,同時保持鑒權(quán)和授權(quán)的信息���。
[0175]當(dāng)通信要被終止時��,設(shè)備能夠保持歷史信息�,或者具有用于下一次使用時間的壽命的分配的令牌��,以防止再次用于鑒權(quán)和授權(quán)的信令��。
[0176]從基礎(chǔ)設(shè)施到直接模式的平滑切換(handover)將會要求在切換發(fā)生之前在通信方(請求UE L01和接收UE L03)之間的密鑰的創(chuàng)建�。例如,如果通信方正在使用WiFi���,則密鑰應(yīng)被分配給WiFi AP和UE��。WiFi AP和UE應(yīng)相互授權(quán)和鑒權(quán)���。密鑰應(yīng)具有有限的壽命。網(wǎng)絡(luò)能夠識別UE能夠與哪個WiFi AP通信�����。UE能夠發(fā)現(xiàn)附近存在WiFi AP�,并且網(wǎng)絡(luò)驗證WiFi AP。當(dāng)UE連接到WiFi AP時���,UE與ProSe服務(wù)器進(jìn)行鑒權(quán)。一個選項是ProSe功能能夠分配用于使UE與ProSe APP服務(wù)器進(jìn)行通信的密鑰�。
[0177]為了總結(jié)上面的描述,示例性實施例的進(jìn)行安全通信的方法包括下述特征:
[0178](1)運營商網(wǎng)絡(luò)L02確定請求UE L01是否能夠與由請求UE L01所請求的接收UEL03通信��。
[0179](2)能夠通過使用由網(wǎng)絡(luò)提供的令牌��、密鑰以及簽名來提供鄰近UE的發(fā)現(xiàn)中的安全性���。
[0180](3)能夠通過使用由運營商網(wǎng)絡(luò)L02提供的位置來提供鄰近UE的發(fā)現(xiàn)中的安全性�。
[0181](4)利用在應(yīng)用層中提供的安全性,能夠通過使用由社交網(wǎng)絡(luò)服務(wù)提供的位置信息來提供鄰近UE的發(fā)現(xiàn)中的安全性�����。
[0182](5)能夠通過網(wǎng)絡(luò)或者設(shè)備直接驗證來執(zhí)行設(shè)備的授權(quán)�。
[0183](6)同意在組L03中的請求UE L01和接收UE之間的相互鑒權(quán)能夠由網(wǎng)絡(luò)來執(zhí)行,并且也能夠向兩個UE通知結(jié)果���。
[0184](7)在請求UE L01和接收UE L03之間的相互鑒權(quán)能夠通過其之間共享的密鑰來由兩端執(zhí)行�����。
[0185](8)能夠使用作為組密鑰和唯一會話密鑰的用于確保ProSe通信安全的新密鑰��。
[0186](9)用于安全通信的組中的安全策略被協(xié)商和設(shè)置�。
[0187](10)能夠執(zhí)行終止管理以防止相同的密鑰被使用����,并且建立用于其他通信的安全上下文。
[0188]根據(jù)示例性實施例的安全系統(tǒng)���,運營商網(wǎng)絡(luò)L02能夠確定請求UEL01能夠與其通信的接收UE L03����,并且能夠通過將安全參數(shù)提供給請求UE L01或者接收UE L03,并且將接收UE L03的位置信息提供給請求UE L01����,來確保安全發(fā)現(xiàn)的安全。此外�,運營商網(wǎng)絡(luò)L02能夠執(zhí)行對于請求UE L01和接收U