專利名稱:直通鏈路通信的增強的安全性的制作方法
技術(shù)領(lǐng)域:
本申請涉及無線通信。
背景技術(shù):
在常規(guī)的基于基礎(chǔ)設(shè)施的無線系統(tǒng)中,可能希望彼此通信的無線發(fā)射/接收單元 (WTRU),即使在理論上可以彼此直接通信,但還是必須通過基站來進行彼此通信。這種方式的結(jié)果就是不能有效利用空中下載接口資源,這是因為原本通過無線媒體發(fā)送一次(從源到目的地)的數(shù)據(jù)被發(fā)送兩次(從源到基站,然后從基站到目的地)。還不能有效利用網(wǎng)絡(luò)資源,包括例如基站帶寬、功率、網(wǎng)絡(luò)回程鏈路的帶寬以及其它相關(guān)資源。直通(direct)鏈路通信是可以在WTRU之間使用的一種可替換通信方式。在直通鏈路通信中,即使WTRU可能屬于網(wǎng)絡(luò)并保持其與基站的連接,WTRU也可以建立通信鏈路以彼此之間直接地來回發(fā)送數(shù)據(jù)。這方面的WTRU通信不管有沒有基站的參與都可以進行,并且可以受基站控制或調(diào)度或不受基站控制或調(diào)度。例如,直通鏈路通信可以在與基站使用的頻率范圍不同的頻率范圍中發(fā)生。在任一種情況中,基站都不會嘗試接收這種通信。直接通信鏈路的關(guān)鍵特性是從一個WTRU直接發(fā)送到另一個的通信繞過基礎(chǔ)節(jié)點,例如基站或接入點,該基礎(chǔ)節(jié)點將局部無線網(wǎng)絡(luò)連接到更大的“中樞”網(wǎng)絡(luò)。直通鏈路通信可以被推廣為包括無線中繼。出于一些原因,在直通鏈路通信環(huán)境中建立并維持合適的安全連接是存在問題的。例如,安全性方法,例如電氣電子工程協(xié)會(IEEE) 802. 11中的Wi-Fi保護接入 2 (WPA-2),需要WTRU接入基站并與基站通信以建立安全性。在這種情況中基站的介入只用于便于連接到一些其它網(wǎng)絡(luò)節(jié)點例如用戶服務(wù)遠程認證撥號(RADIUS)或認證、授權(quán)以及記賬(AAA)服務(wù)器。這種網(wǎng)絡(luò)啟動的安全性方法與嘗試減少或消除WTRU與任意網(wǎng)絡(luò)節(jié)點通信的任何需求的直通鏈路通信背道而馳。在其它方法中,WTRU建立與網(wǎng)絡(luò)節(jié)點(例如基站)之間的安全連接以啟動安全性簡單密鑰建立過程。但是,這里雖然到網(wǎng)絡(luò)節(jié)點(包括基站)的安全鏈路可以被建立以防止通信鏈路(尤其在WTRU-基站無線鏈路)上的攻擊,但是網(wǎng)絡(luò)節(jié)點本身(包括基站)不能得到充分信任。特別地,希望彼此建立直通鏈路的WTRU可能想要在網(wǎng)絡(luò)中保持它們的直通鏈路通信安全。使用當前的多種網(wǎng)絡(luò)啟動方法來實現(xiàn)上述目的是不可能的。因此期望一種直通鏈路密鑰刷新機制。此外,可能為了各種安全性需求的各種目的而建立直通鏈路。因此,期望使WTRU 能夠設(shè)置這種直通鏈路來適合每個特定應(yīng)用的安全性和密鑰管理方法。當前方法不允許 WTRU選擇直通鏈路如何得到保護。
發(fā)明內(nèi)容
公開了一種用于增強多個無線發(fā)射/接收單元(WTRU)之間的直通鏈路通信的安全性的方法和設(shè)備。WTRU交換現(xiàn)時(nonce),該現(xiàn)時用于生成公共現(xiàn)時。分組(group)標識信息元素(GIIE)從至少公共現(xiàn)時中被生成并被轉(zhuǎn)發(fā)到認證服務(wù)器。認證服務(wù)器從GIIE 生成分組直通鏈路主密鑰(GDLMK)來匹配WTRU,以作為密鑰協(xié)議分組的一部分。分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)基于公共現(xiàn)時也被生成,并用于加密和標記 ⑶LMK使得基站不能接入⑶LMK。還公開了一種用于選擇密鑰管理套件(KMS)以生成臨時密鑰的方法。KMS索引(KMSI)可以根據(jù)所選擇的KMS而被設(shè)定,被傳送到另一個WTRU并用于建立直通鏈路。
從以示例方式給出的以下描述并結(jié)合附圖,可以對本發(fā)明有更詳細的理解,其中圖1是示出直通鏈路通信配置的示圖;圖2是示出建立直通鏈路的常規(guī)消息序列的示圖;圖3是示出根據(jù)一個實施方式的一種分組密鑰協(xié)議過程的示圖;圖4是示出根據(jù)一個實施方式的密鑰交換方法的示圖;圖5是示出根據(jù)一個實施方式的密鑰交換方法的示圖;圖6是示出根據(jù)一個實施方式的迪菲-赫爾曼(Diffie-Hellman)密鑰交換方法的示圖;圖7是長期演進(LTE)無線通信系統(tǒng)/接入網(wǎng)絡(luò)的一個實施方式;以及圖8是LTE無線通信系統(tǒng)的無線發(fā)射/接收單元和基站的示例框圖。
具體實施例方式下文提及的術(shù)語“無線發(fā)射/接收單元(WTRU) ”包括但不限于用戶設(shè)備(UE)、移動站、移動設(shè)備、固定或移動訂戶單元、尋呼機、蜂窩電話、個人數(shù)字助理(PDA)、計算機、基于無線局域網(wǎng)(WLAN)的單元或可以在無線環(huán)境中工作的任意其它類型的用戶設(shè)備。下文提及的術(shù)語“基站”包括但不限于節(jié)點B、站點控制器、接入點(AP)、無線局域網(wǎng)(WLAN)AP、 蜂窩基站或可以在無線環(huán)境中工作的任意類型的接口設(shè)備。這里使用的“基于基礎(chǔ)設(shè)施”的無線系統(tǒng)是在該無線系統(tǒng)中,到WTRU的鏈路通過一些網(wǎng)絡(luò)實體或節(jié)點(例如基站(BS))而得到促進。這種實體用于與該實體相關(guān)聯(lián)的所有 WTRU進行通信并促進該WTRU的所有通信,包括例如接入互聯(lián)網(wǎng)以及與在同一網(wǎng)絡(luò)或其它網(wǎng)絡(luò)中的其它節(jié)點通信。為了方便描述,這里所有這種網(wǎng)絡(luò)節(jié)點或?qū)嶓w被稱為基站,而所有用戶節(jié)點被稱為WTRU。圖1示出了直通鏈路通信體系結(jié)構(gòu)。WTRU 105和WTRU 110分別經(jīng)由通信鏈路130 和通信鏈路140與基站115進行通信。另外,WTRU 105和WTRU 110經(jīng)由使用這里描述的方法建立的通信鏈路120直通鏈路進行通信。WTRU 105和WTRU 110彼此直接地來回發(fā)送數(shù)據(jù)而不需要基站接收任何數(shù)據(jù)。
圖2示出了當前的直通鏈路方法,示出了現(xiàn)有的直通鏈路安全性方法的缺陷并作為這里公開的一些實施方式的基礎(chǔ)。具體地,描述了 IEEE 802. 11的安全性方面。兩個 WTRU, WTRUl 200和WTRU2 205已經(jīng)分別與基站和網(wǎng)絡(luò)210建立了連接212和214。這種建立的連接用于使用“隧道”給彼此發(fā)送消息,其中消息當作數(shù)據(jù)出現(xiàn)在基站。該隧道用于建立WTRUl 200和WTRU2 205之間的直通鏈路。標準802. 11安全性可以用于在這些消息在 WTRU 200和WTRU 205與網(wǎng)絡(luò)和基站210之間傳送時提供這些消息的空中下載(over the air)安全性。在該方法中,WTRUl 200作為直通鏈路的“發(fā)起者”,而WTRU2 205作為WTRUl 200 的“對等端”(peer)。直通鏈路建立包括三個消息——隧道直通鏈路設(shè)置(setup) (TDLS)建立(從 WTRUl 200 到 WTRU2 205)、TDLS 響應(yīng)(從 WTRU2 205 到 WTRUl 200)、以及 TDLS 確認(從WTRU1200到WTRU2 20 。如果該三個消息的握手成功,則一旦該交換完成(可能在達成一致的延遲之后),WTRUl 200和WTRU2 205之間的直通鏈路250就被建立。如果需要直通鏈路安全性,則上述三個消息的握手可以用于建立WTRUl 200與 WTRU2 205之間的成對(pair-wise)密鑰。WTRUl 200生成一個SNonce (—個現(xiàn)時)并將該SNonce轉(zhuǎn)發(fā)到WTRU2 205以作為TDLS建立消息220的部分。WTRU2 205生成一個 ANonce (第二個獨立現(xiàn)時)并在TDLS響應(yīng)消息230中將該ANonce轉(zhuǎn)發(fā)回WTRUl 200offTRU2 205還可以將SNonce發(fā)回到WTRUl 200以將TDLS建立響應(yīng)230與TDLS請求220相關(guān)聯(lián)。 WTRUl 200和WTRU2 205分別使用SNonce和ANonce來生成公共密鑰,如2;34和238所示。 WTRUl 200和WTRU2還可以使用它們知道的其它信息,例如彼此的媒體接入控制(MAC)地址、IP地址、私有信息或其它用于公共密鑰生成的標識信息。WTRUl 200將SNonce和ANonce 轉(zhuǎn)發(fā)回WTRU2 205以作為TDLS確認消息MO的部分。TDLS確認消息240還可以確認密鑰的生成。因此所產(chǎn)生的密鑰只基于兩個隨機值SNonce和ANonce,并取決于保持這兩個值的保密性。由于WTRU 200和WTRU 205與基站210之間的空中下載通信的安全性,因此可以保證這些值的空中下載的保密性。保證如果基站沒有1)將發(fā)起者和對等端交換的SNonce 和Anonce暴露給任意外方;2)使用這些SNonce或ANonce來取得TDLS對等端密鑰(TPK) 并攻擊下行鏈路(DL)事例;以及3)在基站的TDLS消息安全性處理(例如加密和完整性計算被保護)受到非法竊聽、更改、插入以及替換。注意術(shù)語TPK中的“對等端”還包括但不限于“成對”。雖然IEEE 802. 11空中下載的安全性可以充分保持現(xiàn)時的保密性,但是上述基站規(guī)定存在很明顯的缺陷且不能夠被大量基站滿足。特別地,基站規(guī)定只有在基站被認為是完全信任的設(shè)備而不需要任意驗證裝置時才被滿足。這在許多應(yīng)用中不是合理的假定條件。例如,由于該方法沒有提供針對基站建立直通鏈路密鑰的保護,基站可能在直通鏈路會話上竊聽或可能妥協(xié)于發(fā)起中間人攻擊。因此,除了能夠證明基站是受信任的實體,否則當前方法是不夠的。此外,除了上面提出的方法之外,還沒有提供用于密鑰交換的方法。具體地,除了通過求助于TDLS建立握手(其產(chǎn)生鏈路的重置)之外,要執(zhí)行在現(xiàn)有直通鏈路上的密鑰刷新是不可能的。基于每個WTRU知道其它WTRU的標識,公開了用于增強直通鏈路通信的安全性的方法,包括密鑰管理的實施方式。該標識可以包括例如但不限于媒介接入控制(MAC)標識(ID)、專用ID、因特網(wǎng)協(xié)議(IP)地址、用戶標識模塊(SIM)標識、或識別WTRU的任意值或令牌。還假定接入、授權(quán)以及記賬(AAA)服務(wù)器可以安全地將WTRU標識(由于它們彼此知道) 綁定到它知道的標識。AAA服務(wù)器可以是受信任的實體,其可以促進TDLS密鑰建立。該受信任的實體可以是執(zhí)行認證和密鑰套件生成的任意服務(wù)器,例如但不限于網(wǎng)站服務(wù)器。用于執(zhí)行直通鏈路的密鑰管理的方法在高等級可以被分成四類。第一,使用作為受信任的中繼源的基站通過空中下載對密鑰進行協(xié)商。第二,預(yù)先共享的密鑰可以在兩個或多個WTRU之間存在,并可以用于建立臨時密鑰。該密鑰然后可以使用例如在其它802. 11 安全性模式中使用的預(yù)先共享密鑰(PSK)握手之類的過程而以比較直接的方式被使用。在第三類中,可以使用公共密鑰交換過程例如Diffie-Helman過程來取得密鑰。 在該過程中,WTRU在TDLS交換中可以經(jīng)由基站交換通常被自由交換的信息。在WTRU之間建立的密鑰可以對基站進行隱藏。為了實現(xiàn)這些過程,由于假定已經(jīng)向基站認證了 WTRU,因此還已經(jīng)確定了 WTRU可以彼此信任。通過在經(jīng)由TDLS過程的建立密鑰的進程中加入了基站,WTRU可以保證它們實際上彼此通信而不是與例如一些敵對實體通信。下面參考圖4-6 更詳細描述該方法。在第四類中,可以在網(wǎng)絡(luò)中的受信任實體例如AAA服務(wù)器的幫助下協(xié)商密鑰。這里,基站可以促進與受信任實體的通信。但是,產(chǎn)生的密鑰相對基站來說是完全安全的。在一些實施方式中,該方法可能需要兩個不同WTRU最終具有同樣精確的密鑰,并需要基站對該密鑰保持遺忘。該方法可以提供另外的好處在于其可以允許WTRU經(jīng)由受信任的第三方來互相認證彼此。下面參考圖3更詳細描述該方法。參考圖3,公開了直通鏈路認證和密鑰協(xié)議的TDLS_EAP (可擴展的認證協(xié)議)的示例方法。注意通過基站304的隧道被顯示為兩個消息的序列,以使基站304轉(zhuǎn)發(fā)該消息變得清楚。示例方法是針對WTRUl 300、WTRU2302、基站304以及AAA服務(wù)器306來示出的。最初, 可以為WTRUl 300和WTRU2 302建立魯棒安全性網(wǎng)絡(luò)(RSN)密鑰分層結(jié)構(gòu)(hierarchy) 308 和310。RSN 308和310可以通過使用標準可擴展認證協(xié)議(EAP)過程而被建立以向AAA 服務(wù)器306認證WTRUl 302和WTRU2 304。可以為每個WTRU建立成對主密鑰(PMK),并將該PMK傳輸?shù)交?BS) 304。由此,所有通信,即WTRUl-AP、WTRU2-AP以及AP-AAA (除了直接WTRU1-WTRU2)是安全的。下面給出了一種示例方法,這里被稱為TDLS_EAP,其可以用于增強直接 WTRU1-WTRU2鏈路的安全性。首先,WTRUl 300和WTRU2 302可以交換現(xiàn)時并生成分組現(xiàn)時。 這可以通過使WTRUl 300發(fā)送Noncel到WTRU2 (消息302)、并使WTRU2 302發(fā)送Nonce2 到WTRUl 300(消息324)而被實現(xiàn)。WTRUl 300和WTRU2 302可以生成公共NonceG,其中 NonceG可以是Noncel與Nonce2的安全組合。這里描述NonceG的生成和傳輸??梢员3諲onceG的生成簡單以保留最大的隨機性。一種示例方法可以使用逐位異或O(OR)。另一種示例方法可以執(zhí)行Noncel和NonCe2 的混編(hash)以獲得NonceG。注意相同現(xiàn)時的重復(fù)傳輸可能給潛在的空中下載竊聽者(例如試圖破壞標準 802. 11的RSN的設(shè)備,但不必是基站)提供重放攻擊的機會。這種弱點可以在提出的圖2 中看出,其中SNonce在基站與WTRU之間被傳輸三次,且ANonce在基站與WTRU之間被傳輸兩次。這里描述的實施方式可以通過在例如每對WTRU之間只傳輸一次Noncel和NonCe2來避免上述弱點。但是,NonceG可能被每個終端傳輸幾次。這可以通過將NonceG與在圖3 中示出并在這里公開的TDLS_EAP響應(yīng)標識消息中發(fā)送到AAA服務(wù)器的標識進行混編而被避免。接下來在TDLS_EAP示例方法中,WTRUl 300和WTRU2 302每個可以與AAA服務(wù)器306執(zhí)行修改的EAP方法。WTRUl 300可以與AAA服務(wù)器306執(zhí)行標準EAP過程(消息 326),且WTRU2 302可以與AAA服務(wù)器306執(zhí)行標準EAP過程(消息336)。根據(jù)該示例方法,WTRUl 300和WTRU2302不僅響應(yīng)于來自基站304的TDLS_EAP請求標識(分別是消息 3 和338)而發(fā)送它們的標識(如之前公開的),而且轉(zhuǎn)發(fā)分組標識信息元素(GIIE)到 AAA服務(wù)器306 (分別是消息338和340)。GIIE在分組密鑰生成過程中提供公共現(xiàn)時、以及提供一種方式用于AAA服務(wù)器306標識并關(guān)聯(lián)想要建立公共密鑰的一組WTRU。GIIE識別屬于相同組的所有WTRU。這樣,GIIE應(yīng)當至少包含NonceG。其還可以包含嘗試建立密鑰的WTRU ID列表。還可以包含其它公共元素。使用GIIE的結(jié)果是受保護的EAP可以替代標準EAP被用來例如保證WTRU與基站之間的所有空中下載通信像所有其它數(shù)據(jù)一樣被加
滋
Γ t [ OAAA服務(wù)器306可以使用標準EAP過程來認證WTRUl 300和WTRU2302 (分別是消息345和350)。但是,AAA服務(wù)器306不生成成對主密鑰(PMK)。AAA服務(wù)器306可以使用GIIE來在密鑰協(xié)議分組中對WTRUl 300和WTRU2 302進行分組,并創(chuàng)建分組直通鏈路主密鑰(GDLMK)。在最高層,GDLMK可以是充分隨機的秘密串,AAA服務(wù)器可以將該秘密串秘密地傳輸?shù)絎TRU 300和WTRU 302。⑶LMK可以只是AAA可以生成的隨機(或偽隨機)串。 可替換地,⑶LMK可以從WTRU ID、WTRU強加密或NonceG中的任意一者中得到。在一個實施方式中,⑶LMK —定要被綁定到WTRU ID和/或NonceG。與使用的初始密鑰建立方法無關(guān),WTRUl 300和WTRU2 302共享⑶LMK,該⑶LMK之后可以用于生成可以用于通信的臨時密鑰。對于由索引i標識的每個WTRU,AAA服務(wù)器306可以使用GIIE以及只用于WTRUi 的認證證書來生成分組密鑰加密密鑰(GKEKi)和分組密鑰確認密鑰(GKCKi)。通過綁定 GKEK和GKCK,可以提供最大的安全性。認證證書可以是例如使用EAP協(xié)議在AAA服務(wù)器 306與每個WTRU之間之前協(xié)商的加密認證密鑰、或從這種之前協(xié)商的分層結(jié)構(gòu)中得到的一組新的密鑰??商鎿Q地,AAA服務(wù)器306可以使用WTRU ID。可以以與在標準EAP中經(jīng)由 PMK (其中可以作為中間步驟為每個WTRU生成PMK)生成密鑰加密密鑰(KEK)和密鑰確認密鑰(KCK)相同的方式來生成GKEK和GKCK。但是,與標準EAP不同,GKEK和GKCK(以及中間的PMK)都沒有對基站公開。WTRU 300和WTRU 302可以如在標準EAP中那樣生成該WTRU 300和WTRU 302自身的GKEK和GKCK,并使用它們來對由AAA服務(wù)器306發(fā)送的消息360和 370進行解密,這在下面被公開。如在標準EAP中的那樣,這些與AAA服務(wù)器306生成的那些相同。AAA服務(wù)器306可以將⑶LMK傳送到每個WTRU,這是在WTRU 300和WTRU 302中的情況。此外,AAA服務(wù)器306可以傳輸WTRU標識的全部列表,已經(jīng)為該WTRU標識生成了 ⑶LMK。到WTRU i的⑶LMK和標識列表的傳輸可以使用GKEKi來進行加密并用GKCKi來標記(消息360和370)。注意基站可能不知道GKCK和GKEK (它們不會提供給基站,且針對基站的標準EAP交換的安全性可以也保證這些的安全性)。因此,GDLMK可以被保持對基站保密,而基站不能夠篡改該GDLMK。
盡管Noncel和NonCe2的交換在圖3中按順序被示出,但是該交換可以以任意合理的順序被執(zhí)行。此外,與每個WTRU的TDLS_EAP交換可以獨立于與其它WTRU的交換、且可以連續(xù)發(fā)生(如所示出的)、并列發(fā)生或以任意其它順序發(fā)生。但是在所有交換完成之前不會對成功進行應(yīng)答,這是因為成功消息攜帶了在所有WTRU已經(jīng)被認證之前不會被生成的⑶LMK。此外,任意具有密鑰生成能力、能夠運行類似EAP認證和密鑰生成過程的任意第三方認證者可以替代AAA服務(wù)器306。這可以是專用的,例如如果WTRUl 300和WTRU2 302 希望建立直通鏈路以加入互動在線游戲,則游戲服務(wù)器可以作為認證者。在執(zhí)行這里公開的TDLS_EAP方法的過程中,WTRUl 300和WTRU2302已經(jīng)被互相認證。此外,它們可以共享⑶LMK,該⑶LMK是可以用于使用標準方法生成臨時密鑰的主密鑰。例如,GDLMK可以用作標準密鑰分層結(jié)構(gòu)中的主根源。TDLS_EAP方法對于基站的任意惡意行為是安全的。例如,如果該方法完成,則 GDLMK對于基站來說是安全的,如果該方法失敗,還是如此,不會將基站還沒有的任意信息泄露給基站。這可以通過分析基站帶來的可能惡意行為并演示對具體惡意行為的響應(yīng)來建立。在一種情況中,基站可能篡改一般的通信。這里,其結(jié)果可能是所述方法的失敗。在另一種情況中,基站可能篡改Noncel和/或Nonce2。這里,其結(jié)果可能是WTRUl 300和WTRU2 302不會生成相同的NonceG,且AAA服務(wù)器306不會生成用于WTRUl 300和WTRU2 302的 ⑶LMK。在另一種情況中,基站可能在WTRUl 300/WTRU2 302與AAA服務(wù)器306之間的路徑中篡改NonceG。這里,其結(jié)果可能是GKCK的和GKEK的與WTRU 300和WTRU 302期望的不同且可能被拒絕。因此,密鑰建立過程可能失敗。在另一種情況中,基站可能試圖解密/篡改⑶LMK。但是由于使用基站不具有的密鑰來保證⑶LMK的安全并標記該⑶LMK,因此上述解密/篡改不太可能?;具€可能使用和/或修改GIIE以附著其自身ID以成為“分組的部分”,并可以與⑶LMK —起在最終消息中被列出。如果GIIE在GKCK和GKEK的生成過程中被使用,則合法的終端可以將該基站標識為不應(yīng)當是分組的部分的終端并拒絕該GDLMK。因此,如果基站修改了 GIIE,則WTRU會生成不同的GKCK和GKEK,并且不能夠?qū)Β荓MK進行解密。因此可以通過協(xié)議失效來檢測基站的行為。一旦TDLS_EAP方法完成且已經(jīng)在WTRU1300 與WTRU2 302之間建立了 GDLMK,則密鑰刷新方法是直接的。該密鑰刷新方法可以致使生成分組直通鏈路臨時密鑰(GDLTK),其可以用于通信并且可以被刷新。依據(jù)使用哪一種初始密鑰建立的方法,這里公開的密鑰刷新方法可以用于密鑰刷新。在一個實施方式中,可以使用標準密鑰分層結(jié)構(gòu)方法。另一個實施方式可以使用物理層啟動的密鑰生成,而另一個實施方式可以使用公共密鑰交換支持的方法。以上公開的實施方式可以提出對上述的當前方法進行修改?,F(xiàn)在參考圖4和圖5, 基本的三個消息的握手被保持,并保留TDLS建立過程的部分??偟膩碚f,示例方法可以允許WTRU選擇多種方法中的一種方法來得出TPK,該IPK是在密鑰分層結(jié)構(gòu)方法中的主密鑰。 例如,⑶LMK可以是TPK的形式。在一種情況中,⑶LMK替代在修改Ilz中定義的TPK。這些方法可以稱為密鑰管理套件(KMS)。為了促進KMS,可以引入另外的信息元素、KMS索引 (KMSI)。依據(jù)所選擇的KMS,可以不需要已有的現(xiàn)時、SNonce以及ANonce。例如,可以使用 NonceG??商鎿Q地,已有的現(xiàn)時字段(SNonce和ANonce)可以被重新用作Noncel和Nonce2 以生成NonceG。圖4和圖5中所示的實施方式都允許用于建立密鑰的非TDLS過程。但是, 在圖4的實施方式中,非TDLS方法被先驗地完成,也就是在發(fā)起任何TDLS交換之前被完成。在圖5的實施方式中,非TDLS方法被完成,作為TDLS建立消息的結(jié)果。上述任意密鑰建立方法可以被使用?,F(xiàn)在參考圖4,圖4示出了用于在WTRUl 400、WTRU2 402與基站410之間的密鑰交換方法的實施方式。WTRUl 400和WTRU2 402分別已經(jīng)建立了與基站和網(wǎng)絡(luò)410的連接415 和417。非TDLS方法可以被完成以生成TPK 420和TPK 425。WTRUl 400選擇KMSI,并且可以生成由所選擇的KMS定義的SNonce,并將該SNonce轉(zhuǎn)發(fā)到WTRU2 402以作為TDLS建立消息430的部分。KMSI可以指向這里公開的GIIE方法或某個其它密鑰生成方法。WTRU2 402使用由TDLS建立消息中的KMSI指示的KMS。也就是說,WTRUl 400和WTRU2 402使用由所選擇的KMSI指示的同一個KMS。WTRU2 402可以生成由KMS定義的ANonce,并在TDLS 響應(yīng)消息440中將其轉(zhuǎn)發(fā)到WTRUl 400。WTRU2 402還可以將SNonce (如果被使用)發(fā)回到WTRUl 400以將TDLS建立響應(yīng)440與TDLS建立請求430相關(guān)聯(lián)。WTRUl 400和WTRU2 402使用根據(jù)所選擇的KMS方法所生成的公共密鑰。WTRUl 400將KMSI和SNonce以及 ANonce (如果被使用)轉(zhuǎn)發(fā)回WTRU2 402以作為TDLS確認消息405的部分。在接收到TDLS 確認消息450或在某預(yù)定時間間隔之后,直通鏈路通信460被建立。一旦TDLS建立成功且 WTRU共享了 TPK,例如GDLMK,則密鑰刷新方法就可以依據(jù)期望的KMSI,使用可能支持的以上概括的任意相關(guān)方法?,F(xiàn)在參考圖5,圖5示出了在WTRUl 500、WTRU2 502與基站510之間的密鑰交換方法的另一個實施方式。WTRUl 500和WTRU2 502分別已經(jīng)與基站和網(wǎng)絡(luò)510建立了連接 515和連接517。WTRUl 500選擇KMSI,并且可以生成由所選擇的KMS定義的SNonce,并將該SNonce轉(zhuǎn)發(fā)到WTRU2 502以作為TDLS建立消息520的部分。KMSI可以針對這里公開的 GIIE方法或某個其它密鑰生成方法??商鎿Q地,非TDLS方法可以被完成以在TPK 530生成密鑰。WTRU2 502使用由TDLS建立消息中的KMSI指示的KMS。WTRU2 502可以生成由 KMS定義的ANonce,并在TDLS響應(yīng)消息540中將該ANonce轉(zhuǎn)發(fā)到WTRUl 500。WTRU2 502 還可以將SNonce (如果被使用)發(fā)回到WTRUl 500以將TDLS建立響應(yīng)540與TDLS建立請求520相關(guān)聯(lián)。WTRUl 500和WTRU 502使用以所選擇的KMS方法生成的公共密鑰。WTRUl 500將KMSI和SNonce以及ANonce (如果被使用)轉(zhuǎn)發(fā)回WTRU2 502以作為TDLS確認消息 550的部分。一旦接收到TDLS確認消息550或在某預(yù)定時間間隔之后,直通鏈路通信560 就被建立。一旦TDLS建立成功且WTRU共享了 TPK,例如⑶LMK,密鑰刷新方法就可以依據(jù)期望的KMSI,使用可能支持的以上概括的任意相關(guān)方法?,F(xiàn)在參考圖6,在WTRUl 600、WTRU2 602和基站610之間示出了公共密鑰交換。 在該實施方式中,Diffie-Hellman密鑰交換用于示例的目的。WTRUl 600和WTRU2 602分別已經(jīng)建立了與基站和網(wǎng)絡(luò)610的連接615和連接617。WTRUl 600和WTRU2 602之前對 Diffie-Hellman密鑰交換方法的參數(shù)ρ和g達成一致。WTRUl 600選擇KMSI,并且可以生成由所選擇的KMS定義的SNonce,并將該SNonce與ga —起轉(zhuǎn)發(fā)到WTRU2 602以作為TDLS建立消息620的部分。WTRU2 602生成TPK (630)。WTRU2 602選擇KMSI,并可以生成由KMS定義的ANonce。WTRU2 602對SNonce進行加密(635)并在TDLS響應(yīng)消息640中將該SNonce 與 ANonce 和 gb —起轉(zhuǎn)發(fā)到 WTRUl 600。WTRUl 600 生成 TPK (645)。WTRUl 600 對該 SNonce 進行解密,檢查該值并對ANonce進行加密(650)。WTRUl 600將KMIS、加密的ANonce以及 SNonce發(fā)回到WTRU2 602以作為TDLS確認消息660的部分。WTRU2 602對ANonce進行解密并檢查該值(665)。一旦成功接收到TDLS確認消息660或在某預(yù)定時間間隔之后,直通鏈路通信670就被建立。以上定義的密鑰協(xié)議方法可以擴展至用于多組多于兩個WTRU的分組密鑰協(xié)議。 具體地,可以按照以下過程來擴展TDLS_EAP。假定存在N個WTRU。每個WTRU與基站建立 RSN并然后生成(并由基站廣播)自身的現(xiàn)時(對于WTRUi是Noncei)。所有WTRU然后可以具有所有現(xiàn)時且可以從該所有現(xiàn)時中生成公共現(xiàn)時(NonceG),例如使用上述方法來生成。一旦生成了 NonceG,則每個WTRU就可以運行TDLS_EAP (如上所述),且AAA服務(wù)器可以經(jīng)由NonceG將所有的N個WTRU彼此相關(guān)聯(lián)。每個WTRU還可以為其生成公共⑶LMK,該 WTRU可以傳輸該公共⑶LMK,例如使用上述的WTRU特定GKEK和GKCK來進行傳輸。盡管以上的描述是針對802. 11來公開的,但是其可以應(yīng)用于任意無線環(huán)境中。例如,圖7示出了長期演進(LTE)無線通信系統(tǒng)/接入網(wǎng)絡(luò)700,其包括演進型通用陸地?zé)o線電接入網(wǎng)絡(luò)(E-UTRAN) 705。該E-UTRAN 705包括WTRU 710和一些演進型節(jié)點B (eNB) 720。 WTRU 710與eNB 720通信。eNB 720使用X2接口彼此連接。每個eNB 720通過Sl接口與移動性管理實體(MME)/服務(wù)網(wǎng)關(guān)(S-GW) 730連接。盡管圖7示出了一個WTRU 710和三個 eNB 720,但是明顯的是無線通信系統(tǒng)接入網(wǎng)絡(luò)700中可以包括無線設(shè)備和有線設(shè)備的任思組合。圖8是LTE無線通信系統(tǒng)700的示例框圖,該LTE無線通信系統(tǒng)700包括WTRU 710、eNB 720 以及 MME/S-GW 730。如圖 8 所示,WTRU 710、eNB 720 以及 MME/S-GW 730 被配置成增強直通鏈路通信的安全性。除了可以在典型WTRU中找到的組件外,WTRU 710還包括具有可選鏈接存儲器822 的處理器816、至少一個收發(fā)信機814、可選電池820、以及天線818。處理器816被配置成增強直通鏈路通信安全性。收發(fā)信機814與處理器816和天線818通信以促進無線通信的傳輸和接收。在電池820用于WTRU 710中的情況下,該電池820給收發(fā)信機814和處理器 816供電。除了可以在典型eNB中找到的組件之外,eNB 820還包括具有可選鏈接存儲器815 的處理器817、收發(fā)信機819以及天線821。處理器817被配置成增強直通鏈路通信的安全性。收發(fā)信機819與處理器817和天線821通信以促進無線通信的傳輸和接收。eNB 720 與移動性管理實體/服務(wù)網(wǎng)關(guān)(MME/S-GW)730連接,該MME/S-GW 730包括具有可選鏈接存儲器834的處理器833??偟膩碚f,公開了一種用于進行安全的直通鏈路通信的方法。第一現(xiàn)時被傳送到一個或多個WTRU,并從一個或多個WTRU中接收與該一個或多個WTRU相關(guān)聯(lián)的現(xiàn)時。通過安全地組合第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時來生成公共現(xiàn)時,分組標識信息元素(GIIE)被傳送到認證服務(wù)器,其中GIIE至少包括公共現(xiàn)時。分組直通鏈路主密鑰(⑶LMK)可以從認證服務(wù)器中被接收。⑶LMK使用GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分?;贕IIE的分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)可以被生成。GKEK和GKCK可以用于對經(jīng)過GKEK加密且經(jīng)過GKCK標記的⑶LMK進行解密。分組直通鏈路臨時密鑰(⑶LTK)可以被生成以用于與一個或多個WTRU進行通信。⑶LTK可以在與一個或多個WTRU通信過程中被刷新。在另一種用于進行安全的直通鏈路通信的方法中,密鑰管理套件(KMS)可以被選擇以生成臨時密鑰。KMS索引(KMSI)相對于所選擇的密鑰管理套件而被設(shè)定??梢允褂媒MSI與一個或多個WTRU之間的直通鏈路。KMSI可以是預(yù)定的。KMSI可以在隧道直通鏈路設(shè)置(TDLS)消息中被傳送到一個或多個WTRU。KMSI可以指定Diffie-Hellman密鑰交換或分組標識信息元素(GIIE)。如果KMSI指定了 GIIE,則第一現(xiàn)時可以被傳送到一個或多個WTRU,且可以從該一個或多個WTRU接收與該一個或多個WTRU相關(guān)聯(lián)的現(xiàn)時。根據(jù)第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時的安全組合可以生成公共現(xiàn)時。GIIE可以被傳送到認證服務(wù)器。 GIIE可以包括公共現(xiàn)時。從該認證服務(wù)器可以接收⑶LMK。GKEK和GKCE可以用于對從認證服務(wù)器中接收的經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組⑶LMK進行解密。⑶LTK可以被生成以用于與一個或多個WTRU通信。還公開了一種WTRU,該WTRU可以包括發(fā)射機,該發(fā)射機被配置成將第一現(xiàn)時傳送到一個或多個WTRU。WTRU還包括接收機,該接收機被配置成接收與一個或多個WTRU相關(guān)聯(lián)的現(xiàn)時。處理器可以被配置成生成公共現(xiàn)時,其中該公共現(xiàn)時是第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時的安全組合。發(fā)射機可以被配置成將GIIE傳送到認證服務(wù)器,其中GIIE至少包括公共現(xiàn)時。接收機可以被配置成從認證服務(wù)器接收⑶LMK,其中該⑶LMK使用GIIE來匹配WTRU 以作為密鑰協(xié)議分組的部分。處理器可以被配置成基于GIIE生成GKEK和GKCK。該GKEK 和GKCK可以用于對從認證服務(wù)器接收的經(jīng)過GKEK加密且經(jīng)過GKCK標記的⑶LMK進行解密,其中該⑶LMK使用GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。處理器可以被配置成生成⑶LTK以用于與一個或多個WTRU通信。另一個實施方式的WTRU可以包括發(fā)射機、接收機和處理器。處理器可以被配置成選擇密鑰管理套件(KMQ來生成臨時密鑰。處理器可以被配置成設(shè)定與選擇的密鑰管理套件相對應(yīng)的KMSI。發(fā)射機、接收機以及處理器可以被配置成使用KMSI建立與一個或多個 WTRU之間的直通鏈路。還公開了一種用于WTRU認證的方法。該方法可以包括使用認證實體發(fā)起認證,將 GIIE發(fā)送到認證實體,以及從認證實體接收分組密鑰。該分組密鑰可以使用GIIE來將WTRU 和該分組中的其它WTRU相關(guān)聯(lián)。GIIE可以包括公共現(xiàn)時。GKEK和GKCK可以基于GIIE。 GKEK和GKEK可以用于對經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組密鑰進行解密。實施例1. 一種用于進行安全的直通鏈路通信的方法,該方法包括將第一現(xiàn)時傳送到至少一個無線發(fā)射/接收單元(WTRU)。2.根據(jù)實施例1所述的方法,該方法還包括接收與至少一個WTRU相關(guān)聯(lián)的現(xiàn)時。3.根據(jù)上述實施例中任意一個實施例所述的方法,該方法還包括生成公共現(xiàn)時, 其中所述公共現(xiàn)時是第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時的安全組合。4.根據(jù)上述實施例中任意一個實施例所述的方法,該方法還包括將分組標識信息元素(GIIE)傳送到認證服務(wù)器,其中GIIE至少包括公共現(xiàn)時。5.根據(jù)上述實施例中任意一個實施例所述的方法,該方法還包括從所述認證服務(wù)器接收分組直通鏈路主密鑰(⑶LMK),其中⑶LMK使用GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。6.根據(jù)上述實施例中任意一個實施例所述的方法,該方法還包括基于所述GIIE 生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)。
7.根據(jù)上述實施例中任意一個實施例所述的方法,其中所述GKEK和GKCK用于對從所述認證服務(wù)器接收的GKEK加密且GKCK標記的分組直通鏈路主密鑰(⑶LMK)進行解密,其中⑶LMK使用GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。8.根據(jù)上述實施例中任意一個實施例所述的方法,該方法還包括生成分組直通鏈路臨時密鑰(⑶LTK)以用于與至少一個WTRU通信。9.根據(jù)上述實施例中任意一個實施例所述的方法,該方法還包括在與至少一個 WTRU通信過程中刷新所述⑶LTK。10. 一種用于進行安全的直通鏈路通信的方法,該方法包括選擇密鑰管理套件 (KMS)以生成臨時密鑰。11.根據(jù)實施例10所述的方法,該方法還包括設(shè)定與所選擇的密鑰管理套件相對應(yīng)的KMS索引(KMSI)。12.根據(jù)實施例10-11中任意一個實施例所述的方法,該方法還包括使用KMSI來建立與至少一個無線發(fā)射/接收單元(WTRU)之間的直通鏈路。13.根據(jù)實施例10-12中任意一個實施例所述的方法,其中所述KMSI是預(yù)定的。14.根據(jù)實施例10-13中任意一個實施例所述的方法,該方法還包括在隧道直通鏈路設(shè)置(TDLS)消息中將KMSI傳送給至少一個WTRU。15.根據(jù)實施例10-14中任意一個實施例所述的方法,其中所述KMSI指定 Diffie-Hellman密鑰交換或分組標識信息元素(GIIE)中的一者。16.根據(jù)實施例10-15中任意一個實施例所述的方法,其中所述KMSI指定分組標識信息元素(GIIE)。17.根據(jù)實施例10-16中任意一個實施例所述的方法,該方法還包括將第一現(xiàn)時傳送到至少一個無線發(fā)射/接收單元(WTRU)。18.根據(jù)實施例10-17中任意一個實施例所述的方法,該方法還包括接收與至少一個WTRU相關(guān)聯(lián)的現(xiàn)時。19.根據(jù)實施例10-18中任意一個實施例所述的方法,該方法還包括生成公共現(xiàn)時,該公共現(xiàn)時是第一現(xiàn)時和相關(guān)聯(lián)現(xiàn)時的安全組合。20.根據(jù)實施例10-19中任意一個實施例所述的方法,該方法還包括將分組標識信息元素(GIIE)傳送到認證服務(wù)器,其中GIIE至少包括公共現(xiàn)時。21.根據(jù)實施例10-20中任意一個實施例所述的方法,該方法還包括從所述認證服務(wù)器接收分組直通鏈路主密鑰(⑶LMK),其中⑶LMK使用GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。22.根據(jù)實施例10-21中任意一個實施例所述的方法,其中分組密鑰加密密鑰 (GKEK)和分組密鑰確認密鑰(GKCK)用于對從所述認證服務(wù)器接收到的經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組直通鏈路主密鑰(⑶LMK)進行解密,其中⑶LMK使用GIIE來匹配WTRU 以作為密鑰協(xié)議分組的部分,并且GKEK和GKCK是基于GIIE的。23.根據(jù)實施例10-22中任意一個實施例所述的方法,該方法還包括生成分組直通鏈路臨時密鑰(⑶LTK)以用于與至少一個WTRU通信。24. 一種無線發(fā)射/接收單元(WTRU),該WTRU包括發(fā)射機,該發(fā)射機被配置成將第一現(xiàn)時傳送給至少一個無線發(fā)射/接收單元(WTRU)。
25.根據(jù)實施例M所述的WTRU,該WTRU還包括接收機,該接收機被配置成接收與至少一個WTRU相關(guān)聯(lián)的現(xiàn)時。26.根據(jù)實施例M-25中任意一個實施例所述的WTRU,該WTRU還包括處理器,該處理器被配置成生成公共現(xiàn)時,其中該公共現(xiàn)時是第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時的安全組合。27.根據(jù)實施例M-26中任意一個實施例所述的WTRU,該WTRU還包括發(fā)射機,該發(fā)射機被配置成將分組標識信息元素(GIIE)傳送到認證服務(wù)器,其中GIIE至少包括公共現(xiàn)時。28.根據(jù)實施例M-27中任意一個實施例所述的WTRU,該WTRU還包括接收機, 該接收機被配置成從所述認證服務(wù)器接收分組直通鏈路主密鑰(⑶LMK),其中⑶LMK使用 GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。29.根據(jù)實施例M-28中任意一個實施例所述的WTRU,該WTRU還包括處理器, 該處理器被配置成基于所述GIIE來生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰 (GKCK)。30.根據(jù)實施例M-29中任意一個實施例所述的WTRU,其中所述GKEK和GKCK被用于對從所述認證服務(wù)器接收到的經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組直通鏈路主密鑰 (⑶LMK)進行解密,其中該⑶LMK使用GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。31.根據(jù)實施例M-30中任意一個實施例所述的WTRU,該WTRU還包括處理器,該處理器被配置成生成分組直通鏈路臨時密鑰(⑶LTK)以用于與至少一個WTRU通信。32. 一種無線發(fā)射/接收單元(WTRU),該WTRU包括發(fā)射機。33.根據(jù)實施例32所述的WTRU,該WTRU還包括接收機。34.根據(jù)實施例32-33中任意一個實施例所述的WTRU,該WTRU還包括處理器,該處理器被配置成選擇密鑰管理套件(KMQ以生成臨時密鑰。35.根據(jù)實施例32-34中任意一個實施例所述的WTRU,該WTRU還包括處理器,該處理器被配置成設(shè)定與選擇的密鑰管理套件相對應(yīng)的KMS索引(KMSI)。36.根據(jù)實施例32-35中任意一個實施例所述的WTRU,該WTRU還包括所述發(fā)射機、接收機和處理器被配置成使用KMSI來建立與至少一個無線發(fā)射/接收單元(WTRU)之間的直通鏈路。37. 一種用于無線發(fā)射/接收單元(WTRU)認證的方法,該方法包括使用認證實體發(fā)起認證。38.根據(jù)實施例37所述的方法,該方法還包括發(fā)送分組標識信息元素(GIIE)到所述認證實體。39.根據(jù)實施例37-38中任意一個實施例所述的方法,該方法還包括從所述認證實體接收分組密鑰,其中該分組密鑰使用GIIE來將WTRU與分組中的其它WTRU相關(guān)聯(lián)。40.根據(jù)實施例37-39中任意一個實施例所述的方法,其中所述GIIE至少包括公共現(xiàn)時。41.根據(jù)實施例37-40中任意一個實施例所述的方法,該方法還包括基于所述 GIIE來生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)。42.根據(jù)實施例37-41中任意一個實施例所述的方法,其中所述GKEK和GKCK用于對經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組密鑰進行解密。
雖然本發(fā)明的特征和元素以特定的結(jié)合在以上進行了描述,但每個特征或元素可以在沒有其他特征和元素的情況下單獨使用,或在與或不與本發(fā)明的其他特征和元素結(jié)合的各種情況下使用。本發(fā)明提供的方法或流程圖可以在由通用計算機或處理器執(zhí)行的計算機程序、軟件或固件中實施,其中所述計算機程序、軟件或固件是以有形的方式包含在計算機可讀存儲介質(zhì)中的,關(guān)于計算機可讀存儲介質(zhì)的實例包括只讀存儲器(ROM)、隨機存取存儲器(RAM)、寄存器、緩沖存儲器、半導(dǎo)體存儲設(shè)備、內(nèi)部硬盤和可移動磁盤之類的磁介質(zhì)、 磁光介質(zhì)以及⑶-ROM碟片和數(shù)字多功能光盤(DVD)之類的光介質(zhì)。舉例來說,恰當?shù)奶幚砥靼ㄍㄓ锰幚砥鳌S锰幚砥?、常?guī)處理器、數(shù)字信號處理器(DSP)、多個微處理器、與DSP核心相關(guān)聯(lián)的一個或多個微處理器、控制器、微控制器、 專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)電路、其他任何一種集成電路(IC)和/或狀態(tài)機。與軟件相關(guān)的處理器可用于實現(xiàn)射頻收發(fā)信機,以便在無線發(fā)射接收單元 (WTRU)、用戶設(shè)備(UE)、終端、基站、無線電網(wǎng)絡(luò)控制器(RNC)或是任何一種主機計算機中加以使用。WTRU可以與采用硬件和/或軟件形式實施的模塊結(jié)合使用,例如相機、攝像機模塊、視頻電話、揚聲器電話、振動設(shè)備、揚聲器、麥克風(fēng)、電視收發(fā)信機、免提耳機、鍵盤、藍牙 模塊、調(diào)頻(FM)無線電單元、液晶顯示器(IXD)顯示單元、有機發(fā)光二極管(OLED)顯示單元、數(shù)字音樂播放器、媒體播放器、視頻游戲機模塊、因特網(wǎng)瀏覽器和/或任何一種無線局域網(wǎng)(WLAN)模塊或無線超寬帶(UWB)模塊。
權(quán)利要求
1.一種用于進行安全的直通鏈路通信的方法,該方法包括 將第一現(xiàn)時傳送到至少一個無線發(fā)射/接收單元(WTRU) 接收與所述至少一個WTRU相關(guān)聯(lián)的現(xiàn)時;生成公共現(xiàn)時,其中所述公共現(xiàn)時是所述第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時的安全組合;以及將分組標識信息元素(GIIE)傳送到認證服務(wù)器,其中所述GIIE至少包括所述公共現(xiàn)時。
2.根據(jù)權(quán)利要求1所述的方法,該方法還包括從所述認證服務(wù)器接收分組直通鏈路主密鑰(⑶LMK),其中所述⑶LMK使用所述GIIE 來匹配WTRU以作為密鑰協(xié)議分組的部分。
3.根據(jù)權(quán)利要求1所述的方法,該方法還包括基于所述GIIE來生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)。
4.根據(jù)權(quán)利要求3所述的方法,其中所述GKEK和所述GKCK被用于對從所述認證服務(wù)器接收到的經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組直通鏈路主密鑰(⑶LMK)進行解密,其中所述⑶LMK使用所述GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。
5.根據(jù)權(quán)利要求2所述的方法,該方法還包括生成分組直通鏈路臨時密鑰(⑶LTK)以用于與所述至少一個WTRU通信。
6.根據(jù)權(quán)利要求5所述的方法,該方法還包括 在與所述至少一個WTRU通信過程中刷新所述⑶LTK。
7.一種進行安全的直通鏈路通信的方法,該方法包括 選擇密鑰管理套件(KMS)以生成臨時密鑰;設(shè)定與選擇的密鑰管理套件相對應(yīng)的KMS索引(KMSI);以及使用所述KMSI來建立與至少一個無線發(fā)射/接收單元(WTRU)之間的直通鏈路。
8.根據(jù)權(quán)利要求7所述的方法,其中所述KMSI是預(yù)定的。
9.根據(jù)權(quán)利要求7所述的方法,該方法還包括在隧道直通鏈路設(shè)置(TDLS)消息中將所述KMSI傳送給所述至少一個WTRU。
10.根據(jù)權(quán)利要求7所述的方法,其中所述KMSI指定迪菲-赫爾曼密鑰交換或分組標識信息元素(GIIE)中的一者。
11.根據(jù)權(quán)利要求7所述的方法,其中所述KMSI指定分組標識信息元素(GIIE),該方法還包括將第一現(xiàn)時傳送到所述至少一個無線發(fā)射/接收單元(WTRU) 接收與所述至少一個WTRU相關(guān)聯(lián)的現(xiàn)時;生成公共現(xiàn)時,該公共現(xiàn)時是所述第一現(xiàn)時和相關(guān)聯(lián)現(xiàn)時的安全組合;以及將分組標識信息元素(GIIE)傳送到認證服務(wù)器,其中所述GIIE至少包括所述公共現(xiàn)時。
12.根據(jù)權(quán)利要求11所述的方法,該方法還包括從所述認證服務(wù)器接收分組直通鏈路主密鑰(⑶LMK),其中所述⑶LMK使用所述GIIE 來匹配WTRU以作為密鑰協(xié)議分組的部分。
13.根據(jù)權(quán)利要求11所述的方法,其中分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)被用于對從所述認證服務(wù)器接收到的經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組直通鏈路主密鑰(⑶LMK)進行解密,其中所述⑶LMK使用所述GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分,并且GKEK和GKCK是基于所述GIIE的。
14.根據(jù)權(quán)利要求13所述的方法,該方法還包括生成分組直通鏈路臨時密鑰(⑶LTK)以用于與所述至少一個WTRU通信。
15.一種無線發(fā)射/接收單元(WTRU),該WTRU包括發(fā)射機,該發(fā)射機被配置成將第一現(xiàn)時傳送給至少一個無線發(fā)射/接收單元(WTRU); 接收機,該接收機被配置成接收與所述至少一個WTRU相關(guān)聯(lián)的現(xiàn)時; 處理器,該處理器被配置成生成公共現(xiàn)時,其中該公共現(xiàn)時是所述第一現(xiàn)時和相關(guān)聯(lián)的現(xiàn)時的安全組合;并且所述發(fā)射機被配置成將分組標識信息元素(GIIE)傳送到認證服務(wù)器,其中所述GIIE 至少包括所述公共現(xiàn)時。
16.根據(jù)權(quán)利要求15所述的WTRU,該WTRU還包括所述接收機被配置成從所述認證服務(wù)器接收分組直通鏈路主密鑰(GDLMK),其中所述 ⑶LMK使用所述GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。
17.根據(jù)權(quán)利要求15所述的WTRU,該WTRU還包括處理器,該處理器被配置成基于所述GIIE來生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)。
18.根據(jù)權(quán)利要求17所述的WTRU,其中所述GKEK和所述GKCK被用于對從所述認證服務(wù)器接收到的經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組直通鏈路主密鑰(⑶LMK)進行解密, 其中該⑶LMK使用所述GIIE來匹配WTRU以作為密鑰協(xié)議分組的部分。
19.根據(jù)權(quán)利要求17所述的WTRU,該WTRU還包括所述處理器被配置成生成分組直通鏈路臨時密鑰(GDLTK)以用于與所述至少一個 WTRU通信。
20.一種無線發(fā)射/接收單元(WTRU),該WTRU包括 發(fā)射機;接收機;處理器,該處理器被配置成選擇密鑰管理套件(KMQ以生成臨時密鑰; 該處理器被配置成設(shè)定與選擇的密鑰管理套件相對應(yīng)的KMS索引(KMSI);并且所述發(fā)射機、所述接收機和所述處理器被配置成使用所述KMSI來建立與至少一個無線發(fā)射/接收單元(WTRU)之間的直通鏈路。
21.一種用于無線發(fā)射/接收單元(WTRU)認證的方法,該方法包括 使用認證實體發(fā)起認證;發(fā)送分組標識信息元素(GIIE)到所述認證實體;以及從所述認證實體接收分組密鑰,其中該分組密鑰使用所述GIIE來將所述WTRU與分組中的其它WTRU相關(guān)聯(lián)。
22.根據(jù)權(quán)利要求21所述的方法,其中所述GIIE至少包括公共現(xiàn)時。
23.根據(jù)權(quán)利要求21所述的方法,該方法還包括基于所述GIIE來生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK)。
24.根據(jù)權(quán)利要求23所述的方法,其中所述GKEK和所述GKCK被用于對經(jīng)過GKEK加密且經(jīng)過GKCK標記的分組密鑰進行解密。
全文摘要
一種用于在多個無線發(fā)射/接收單元(WTRU)之間進行安全直通鏈路通信的方法。WTRU交換用于生成公共現(xiàn)時的現(xiàn)時。從至少公共現(xiàn)時生成分組標識信息元素(GIIE),并將該GIIE轉(zhuǎn)發(fā)到認證服務(wù)器。認證服務(wù)器從GIIE生成分組直通鏈路主密鑰(GDLMK)來匹配WTRU以作為密鑰協(xié)議分組的部分。還基于公共現(xiàn)時生成分組密鑰加密密鑰(GKEK)和分組密鑰確認密鑰(GKCK),并且該GKEK和GKCK被用于加密并標記GDLMK以使得基站不能接入該GDLMK。還公開了用于選擇密鑰管理套件(KMS)以生成臨時密鑰的方法??梢愿鶕?jù)選擇的KMS來設(shè)定KMS索引(KMSI),該KMSI被傳輸?shù)搅硪粋€WTRU并用于建立直通鏈路。
文檔編號H04W12/04GK102257842SQ200980151200
公開日2011年11月23日 申請日期2009年12月16日 優(yōu)先權(quán)日2008年12月17日
發(fā)明者A·列茲尼克, Y·C·沙阿 申請人:交互數(shù)字專利控股公司