在應(yīng)用層中能夠確保安全性。
[0114]將會(huì)解釋發(fā)現(xiàn)的具體示例。UE 100能夠設(shè)置在D2D(設(shè)備對(duì)設(shè)備通信)服務(wù)器中的發(fā)現(xiàn)/可發(fā)現(xiàn)的特征和/或能力。
[0115]情況1A:
[0116]如果UE 100不知道其他UE是否鄰近，則UE 100能夠向ProSe服務(wù)器請(qǐng)求ProSe服務(wù)，并且ProSe服務(wù)器能夠發(fā)出對(duì)于ProSe服務(wù)的請(qǐng)求并且同時(shí)得到其他UE的位置信息。
[0117]情況2A:
[0118]如果UE 100能夠從例如社交網(wǎng)絡(luò)應(yīng)用看到誰(shuí)是鄰近的并且請(qǐng)求服務(wù)，則ProSe服務(wù)器需要執(zhí)行授權(quán)，但是不必執(zhí)行發(fā)現(xiàn)。
[0119]如果ProSe服務(wù)器執(zhí)行授權(quán)，則UE 100使能ProSe，并且/或者允許UE 100得到給定的服務(wù)/通信手段。
[0120]如果基于UE 100的鄰近進(jìn)行發(fā)現(xiàn)，則UE 100發(fā)送由單播安全上下文周期性保護(hù)的位置信息。網(wǎng)絡(luò)200在需要時(shí)或者周期性地請(qǐng)求位置信息。能夠廣播請(qǐng)求(步驟3)，并且廣播的消息要求安全性。響應(yīng)(步驟4)能夠由單播安全上下文來(lái)保護(hù)。
[0121]網(wǎng)絡(luò)存儲(chǔ)用于鄰近的條件，其也能夠由請(qǐng)求和接收UE給出。網(wǎng)絡(luò)200能夠向附近的允許被發(fā)現(xiàn)的接收UE進(jìn)行廣播，并且UE用受保護(hù)的消息進(jìn)行響應(yīng)。在第一次通信和/或登記時(shí)，或者當(dāng)任何變化發(fā)生時(shí)，UE 100向網(wǎng)絡(luò)200通知其條件和能力。
[0122]通過(guò)網(wǎng)絡(luò)200或者UE 100的基于廣播的解決方案要求下述要求中的一個(gè)或多個(gè)。即，接收側(cè)應(yīng)當(dāng)能夠驗(yàn)證源，不應(yīng)當(dāng)重用廣播消息，接收響應(yīng)的網(wǎng)絡(luò)200應(yīng)當(dāng)能夠?qū)ζ溥M(jìn)行驗(yàn)證，或者如果過(guò)長(zhǎng)則應(yīng)當(dāng)丟棄響應(yīng)。UE 100能夠使用用于執(zhí)行安全發(fā)現(xiàn)的一個(gè)或者多個(gè)解決方案。解決方案包括令牌、簽名、消息、消息ID、隨機(jī)值、密鑰和戳。注意，該解決方案能夠在步驟5 (相互鑒權(quán)，鑒權(quán)L4)中使用、在步驟6 (授權(quán)，授權(quán)L5)中使用，并且在步驟7 (產(chǎn)生密鑰和協(xié)商算法，安全通信L7)中使用，如在圖4中所示。步驟5至7能夠一起發(fā)生，并且可能與廣播安全有關(guān)。
[0123][3]初始授權(quán)(L3)
[0124]初始授權(quán)根據(jù)上述發(fā)現(xiàn)解決方案而變化。
[0125][3-1]基于廣播:
[0126]是否允許請(qǐng)求UE LOl與接收UE L03進(jìn)行通信可以通過(guò)網(wǎng)絡(luò)或者通過(guò)具有由網(wǎng)絡(luò)提供的證明的接收UE L03來(lái)檢查。
[0127][3-2]基于網(wǎng)絡(luò):
[0128]請(qǐng)求UE LOl和接收UE L03能夠經(jīng)由直接無(wú)線接口執(zhí)行相互鑒權(quán)。
[0129][3-3]基于設(shè)備服務(wù)等級(jí)信息:
[0130]接收UE L03在用于ProSe服務(wù)目的的設(shè)備組的成員當(dāng)中檢查由用戶或者在UE中保持的列表。
[0131][4]鑒權(quán)(L4)
[0132]一旦請(qǐng)求UE LOl被識(shí)別為屬于相同的組，則鑒權(quán)發(fā)生。鑒權(quán)可以本地地或者通過(guò)與網(wǎng)絡(luò)交互來(lái)執(zhí)行。
[0133][4-1]請(qǐng)求 UE LOl 的鑒權(quán)
[0134]這能夠通過(guò)網(wǎng)絡(luò)或具有來(lái)自于網(wǎng)絡(luò)的證據(jù)的UE對(duì)請(qǐng)求UE LOl的成功識(shí)別來(lái)執(zhí)行。
[0135][4-2]接收 UE L03 的鑒權(quán):
[0136]這可以通過(guò)下述來(lái)執(zhí)行
[0137][4-2-1]使用在請(qǐng)求UE LOl和接收UE L03之間共享的密鑰
[0138][4-2-1i]使用當(dāng)前網(wǎng)絡(luò)安全密鑰或者新密鑰
[0139][4-2-1ii]向請(qǐng)求UE LOl通知來(lái)自接收UE L03的傳入的鑒權(quán)請(qǐng)求的網(wǎng)絡(luò)。
[0140][5]授權(quán)-服務(wù)接入控制(L5)
[0141]對(duì)請(qǐng)求UE LOl和接收UE L03 (下文中也被稱為“UE”)能夠在組內(nèi)使用的服務(wù)的接入控制應(yīng)當(dāng)存在不同的等級(jí)。
[0142][5-1]允許UE接收和/或發(fā)送廣播消息。
[0143][5-2]允許UE接收和/或發(fā)送多個(gè)消息。
[0144][5-3]允許UE接收和/或發(fā)送用于一對(duì)一通信的消息。
[0145][5-4]根據(jù)訂閱信息和用于ProSe服務(wù)的策略UE設(shè)置的UE授權(quán)。
[0146]網(wǎng)絡(luò)能夠根據(jù)UE能力和用戶訂閱來(lái)建立策略并且向包括請(qǐng)求UE LOl和接收UEL03的組成員提供該策略。
[0147]網(wǎng)絡(luò)200對(duì)想要加入組的UE 100執(zhí)行授權(quán)。UE 100的組成員通過(guò)使用會(huì)話密鑰來(lái)驗(yàn)證網(wǎng)絡(luò)是否授權(quán)其他UE。用于執(zhí)行驗(yàn)證的授權(quán)的另一方法由網(wǎng)絡(luò)通過(guò)下述來(lái)進(jìn)行:(I)由網(wǎng)絡(luò)將授權(quán)值發(fā)送到各個(gè)UE 100并且各個(gè)UE 100使用該值來(lái)對(duì)彼此執(zhí)行授權(quán)，或者(2)用于執(zhí)行驗(yàn)證的授權(quán)的又一方法，該方法通過(guò)將來(lái)自請(qǐng)求UE的授權(quán)值發(fā)送到接收UE，并且然后接收UE請(qǐng)求網(wǎng)絡(luò)驗(yàn)證該授權(quán)值和接收結(jié)果來(lái)進(jìn)行。
[0148][6]新密鑰層級(jí)和密鑰管理(L6)
[0149]在本發(fā)明的本示例性實(shí)施例中提出新密鑰層級(jí)。密鑰Kp是與組有關(guān)的密鑰并且還可以與ProSe服務(wù)有關(guān)。密鑰Kp具有與其有關(guān)的指示符KSI_p。能夠從ProSe服務(wù)器發(fā)送Kp以供使用。
[0150]密鑰Kpc和Kpi是在UE處從Kp導(dǎo)出的會(huì)話密鑰。Kpc是機(jī)密性密鑰并且Kpi是完整性保護(hù)密鑰。會(huì)話密鑰由UE用于執(zhí)行對(duì)彼此的授權(quán)和ProSe通信建立，并且在其之間具有直接通信。
[0151]在授權(quán)和鑒權(quán)之后，包括請(qǐng)求UE LOl和接收UE L03的通信設(shè)備能夠開始會(huì)話以相互通信。當(dāng)請(qǐng)求UE LOl和接收UE L03相互通信時(shí)，應(yīng)當(dāng)共享通信密鑰。密鑰能夠是組密鑰和/或每個(gè)通信設(shè)備的唯一的密鑰以及每個(gè)會(huì)話的會(huì)話密鑰。
[0152]密鑰能夠由網(wǎng)絡(luò)管理并且在安全通信信道上通過(guò)網(wǎng)絡(luò)被發(fā)送?？商孢x地，密鑰能夠由請(qǐng)求UE LOl管理，并且在鑒權(quán)或者驗(yàn)證期間，通過(guò)能夠由網(wǎng)絡(luò)確保安全的安全單播通信信道被發(fā)送到通信中的包括接收UE L03的其他設(shè)備。
[0153]UE 100在會(huì)話開始時(shí)彼此鑒權(quán)(S5)。鑒權(quán)與授權(quán)相關(guān)聯(lián)(S6)。圖5A至圖5C是分別示出一對(duì)一、一對(duì)多、以及多對(duì)多會(huì)話的示意圖。如在圖5A至圖5C中所示，UEa 21和UEa 31 指示請(qǐng)求 UE LOI，并且 UEb 22、UEb 32、UEc 33 以及 UEn_33n 指示接收 UE L03。
[0154]當(dāng)開始會(huì)話時(shí)，首先生成會(huì)話密鑰。在本示例性實(shí)施例中，請(qǐng)求UE LOKUEa 21、UEa 31)和接收UE LO3 (UEb 22 ^ UEb 32 ^ UEc 33、UEn_33n)使用包括會(huì)話密鑰的兩種密鑰。
[0155]情況IB:
[0156]各個(gè)組具有用于各個(gè)服務(wù)的密鑰Kp (Kp用作服務(wù)密鑰)，并且針對(duì)各個(gè)會(huì)話創(chuàng)建新的會(huì)話密鑰。
[0157]情況2B:
[0158]各個(gè)組具有密鑰Kp (Kp用作組密鑰)，并且針對(duì)各個(gè)會(huì)話創(chuàng)建新的會(huì)話密鑰。
[0159]在各個(gè)情況下，ProSe服務(wù)器或者請(qǐng)求UE LOl發(fā)送密鑰。例如，ProSe服務(wù)器將密鑰Kp發(fā)送到請(qǐng)求UE LOl和接收UE L03，并且每次會(huì)話，請(qǐng)求UE LOl都將會(huì)話密鑰發(fā)送到接收UE L03o替選地，ProSe服務(wù)器將密鑰Kp和會(huì)話密鑰兩者發(fā)送到請(qǐng)求UE LO和接收UE L03，或者請(qǐng)求UE LOl將密鑰Kp和會(huì)話密鑰兩者發(fā)送到接收UE L03。
[0160]此外，當(dāng)組在有人離開或者被添加時(shí)而改變時(shí)、當(dāng)會(huì)話結(jié)束或者密鑰超時(shí)時(shí)、或者當(dāng)ProSe服務(wù)器已經(jīng)做出決定時(shí)，例如，密鑰Kp和/或會(huì)話密鑰應(yīng)被改變。
[0161]如果ProSe服務(wù)器將密鑰Kp分配給UE，則UE從其導(dǎo)出會(huì)話密鑰以用于授權(quán)和通信。能夠利用用于密鑰導(dǎo)出的算法來(lái)預(yù)先配置UE，或者密鑰Kp與KSI (密鑰集標(biāo)識(shí)符)和服務(wù)有關(guān)。因?yàn)樗鼈?，在UE的鑒權(quán)和授權(quán)期間的安全問(wèn)題或者用于直接通信的密鑰的安全問(wèn)題可以被解決。
[0162]注意，密鑰集標(biāo)識(shí)符(KSI)是與在鑒權(quán)期間導(dǎo)出的密碼和完整性密鑰相關(guān)聯(lián)的數(shù)字。密鑰集標(biāo)識(shí)符能夠由網(wǎng)絡(luò)分配，并且通過(guò)鑒權(quán)請(qǐng)求消息被發(fā)送到移動(dòng)站，在移動(dòng)站處，密鑰集標(biāo)識(shí)符與所計(jì)算的密碼密鑰CK和完整性密鑰IK 一起被存儲(chǔ)。密鑰集標(biāo)識(shí)符的目的是，使其能夠用于使網(wǎng)絡(luò)在不調(diào)用鑒權(quán)過(guò)程的情況下，識(shí)別存儲(chǔ)在移動(dòng)站中的密碼密鑰CK和完整性密鑰IK。這用于允許在后續(xù)連接(會(huì)話)期間對(duì)密碼密鑰CK和完整性密鑰IK的重用。
[0163][7]安全通信(L7)
[0164]安全通信能夠提供在組成員UE之間的消息傳輸可用性，并且防止消息由不屬于該組的UE竊聽或者更改。而且，安全通信能夠防止UE使用未被授權(quán)的服務(wù)。
[0165]組內(nèi)的通信應(yīng)當(dāng)具有完整性和/或機(jī)密性保護(hù)。在安全關(guān)聯(lián)被建立之后，所有的通信都可以通過(guò)上述會(huì)話密鑰來(lái)保護(hù)。
[0166]在具有或者不具有運(yùn)營(yíng)商網(wǎng)絡(luò)L02的支持的情況下，安全策略能夠是組內(nèi)的協(xié)商和協(xié)議。所有的組成員應(yīng)當(dāng)遵循安全策略。
[0167]接下來(lái)，將會(huì)解釋在UE的位置改變發(fā)生的情況下的安全性。如果沒(méi)有UE具有位置變化，則不存在安全問(wèn)題。此外，如果所有的UE具有改變的位置，但是保持彼此鄰近，則仍然不存在安全問(wèn)題。
[0168]如果UE的一部分(一個(gè)或者多個(gè)UE)已經(jīng)從其他UE的鄰近移出并且其不使用ProSe服務(wù)，則需要針對(duì)組中的剩余UE來(lái)更新組和安全管理?？商孢x地，如果一個(gè)或者多個(gè)UE已經(jīng)從UE鄰近移出，并且它們想要保持與彼此的ProSe服務(wù)，則需要針對(duì)組中的剩余U