用于利用邻近服务的计算设备的安全通信制造技术

公开了用于在通信系统中在使用邻近服务的计算设备之间建立安全通信的技术。例如，一种用于在通信系统中提供安全通信的方法，包括以下步骤。从接入网络的至少一个网络单元发送至少一个密钥至第一计算装置以及至少一个第二计算装置。所述第一计算设备和第二计算设备利用所述接入网络来访问该通信系统，并在所述密钥被发送之前被所述接入网认证。当第一计算装置和第二计算装置在彼此附近时，所述密钥可被第一计算设备和所述第二计算装置彼此之间的安全通信所使用，同时第一计算装置与第二计算装置之间没有通过该接入网的通信。

【技术实现步骤摘要】
【国外来华专利技术】用于利用邻近服务的计算设备的安全通信
本领域涉及与利用邻近服务的计算设备相关的通信安全。
技术介绍
传统的宽带通信网络设计专注于使用户之间能够进行通信服务，这样使得用户流量总是穿过网络核心基础设施(即核心网络或CN)。参见如3GPPTS23.401,3rdGenerationPartnershipProject；TechnicalSpecificationGroupServicesandSystemAspects；GeneralPacketRadioService(GPRS)enhancementsforEvolvedUniversalTerrestrialRadioAccessNetwork(E-UTRAN)access(版本11)，这些公开在此处以其全文引入作为参考。这样的设计方法提供给网络运营商一些用户管理的好处，例如验证用户设备(UE)的能力，以及根据资源利用(如一段时间内空中接口上的带宽消耗和超时的上传/下载数据流量的数量)来追踪用户行为的能力。此外，使得流量穿过宽带网络的核心使得能够对司法部门进行的数据和/或语音呼叫的合法拦截(LI)进行支持。这是因为对于用户流量，CN具有明确的访问通道(只要这样的流量通过核心)，并且因此可以向LI实体提供根据请求获得特定用户之间交换的流量的机制。参见如3GPPTS33.107,3rdGenerationPartnershipProject；TechnicalSpecificationGroupServicesandSystemAspects；3GSecurity；LawfulInterceptionarchitectureandfunctions(版本11)和3GPPTS33.108,3rdGenerationPartnershipProject；TechnicalSpecificationGroupServicesandSystemAspects；3GSecurity；HandoverinterfaceforLawfulInterception(LI)(版本11),，这些公开在此处以其全文引入并作为参考
技术实现思路
本专利技术的实施例提供用于在通信系统中利用邻近服务的计算设备之间建立安全通信的技术。例如，在本专利技术的一个实施例中，一种在通信系统中提供安全通信的方法包括以下步骤。从接入网络的至少一个的网络组件发送至少一个密钥至第一计算装置以及至少一个第二计算装置。第一计算装置和第二计算装置利用接入网络接入通信系统并且其在发送密钥之前已被该接入网络所验证。当该第一计算装置和第二个计算装置在彼此的附近时，该密钥可被所述第一计算装置和所述第二个计算装置使用以使彼此安全的通信，同时第一计算装置与第二计算装置之间没有通过该接入网络的通信。在本专利技术的另一个实施例中，用于在通信系统中提供安全通信的方法包括以下步骤。在第一计算装置接收至少一个密钥，所述密钥从接入网络的至少一个网络组件发送至第一计算装置和至少一个第二计算装置。第一计算装置和第二计算装置利用接入网络接入通信系统并且在发送所述密钥之前已被该接入网络所验证。当所述第一计算装置和第二计算装置在彼此邻近时，所述第一计算装置利用该密钥与第二计算装置进行安全通信，同时所述第一计算设备和第二计算设备之间没有通过该接入网络的通信。有利的是，本专利技术的技术提供用于通信系统中邻近的装置之间(即利用邻近服务的计算装置)的安全通信。结合附图阅读下述本专利技术的示例性实施例的详细描述，本专利技术的这些以及其他的目标、特性和优势是显而易见的。附图说明图1A示出了在基于传统的场景中宽带通信系统中的用户平面流量的遍历(traversal)。图1B示出了在基于邻近服务的场景中宽带通信系统的用户平面流量遍历。图2A示出了依照本专利技术的一个实施例的基于邻近服务(proximityservices-based)的密钥推导(derivation)和分发协议。图2B示出了依照本专利技术的另一个实施例的基于邻近服务的密钥推导和分发协议。图3示出了依照本专利技术的一个实施例，针对在合法拦截操作存在的情况下基于邻近服务的安全通信方法。图4示出了通信系统和计算装置的部分硬件架构，其适于依照本专利技术的一个或多个实施例实现一个或多个所述方法和协议。具体实施方式以下将在示例性的通信协议的环境中对本专利技术的实施例进行说明。然而，应指出本专利技术的实施例并不限于任何特定的通信协议。相反，本专利技术的实施例对于任何适当的通信环境都是可应用的，所述适当的通信环境指需要在利用邻近服务的计算设备之间提供安全通信。此处使用的术语“密钥”通常被解释为为了但不限于如实体认证、保密、消息完整等目的而对加密协议的输入。此处使用的短语“安全关联”通常是指在通信环境中安全性的定义，两方或多方和/或设备通过所述通信环境通信。在一个示例中，安全性的定义可包括但不限于会话密钥。此处使用的短语“邻近服务”通常被解释为在彼此邻近的计算装置之间网络控制的发现与通信，从而使用户流量在设备之间流动而无需通过网络。彼此邻近一般是指在彼此处于某一距离范围内的设备，在该距离范围内，无需通过所述网络的设备间通信是可能的(即在彼此的覆盖范围内)。已认识到使用户流量总是通过核心网，如同在基于传统的方法中那样，在特定部署场景中带来了显著的局限和开销。图1A示出了在这样的基于传统的场景中宽带通信系统中用户平面的流量的遍历。图中描述的宽带通信系统为长期演进(LTE)网络。众所周知，LTE是由第三代合作伙伴计划(3GPP)开发的第四代(4G)网络。让我们来考虑这种情况：在该情况下，同一长期演进(LTE)网络100的两个订户设备(subscriberdevice)——即Alice102-A和Bob102-B——附着至同一个eNB基站(e节点B)104，希望建立数据通信会话以使它们可以在所述LTE网络上发起视频通话。注意，参考数字102-A和102-B在此处可备选地指设备、计算设备、通信设备、订户设备、终端用户设备、用户设备(UEs)以及类似物。仅以例示的方式，设备102-A和102-B可为移动终端用户设备，诸如但不限于蜂窝电话、笔记本电脑、平板电脑及类似物。在传统的LTE设置中，发往Alice(设备102-A)的包与发往Bob(设备102-B)的包将通过所述LTE核心网络(CN)105进行交换，即穿过服务网关(SGW)106以及包数据网络(PDN)网关(PGW)108，如图1A所示。注意到虽然Alice(设备102-A)的包与Bob(设备102-B)处于彼此的传输范围之内，Alice的包经过eNB104(通常直至PGW108)，并从那里它们返回至相同的eNB104并被传递给Bob。考虑到可能同时发生多个这样的通信(在邻近的用户之间)，使得这样的流量穿过核心增加了无线接入网络(RAN)的实体(例如，eNB)与CN实体(例如，SGW和PGW)两者的使用，并额外地消耗了过量的回传(backhaul)和无线带宽。对于Alice(设备102-A)与Bob(设备102-B)是“邻居”(即在彼此的覆盖范围之内)的部署场景，邻近服务(ProSe)——如3GPPTR22.803,3rdGenerationPartnershipProject；TechnicalSpeci本文档来自技高网...

【技术保护点】
一种用于在通信系统中提供安全通信的方法，包括：从接入网络的至少一个网络单元发送至少一个密钥至第一计算装置及至少一个第二计算装置，其中，第一计算装置和第二计算装置利用所述接入网络接入通信系统并在所述密钥被发送之前被所述接入网络认证，并且进一步其中当彼此处于附近时，所述密钥可被所述第一计算装置和所述第二计算装置使用以使彼此安全的通信，同时所述第一计算装置和所述第二计算装置之间没有通过所述接入网的通信。

【技术特征摘要】
【国外来华专利技术】2012.04.30 US 13/460,0351.一种用于在通信系统中提供安全通信的方法，包括：从接入网的至少一个网络单元发送至少一个密钥至第一计算装置及至少一个第二计算装置，其中，第一计算装置和第二计算装置利用所述接入网接入通信系统并在所述密钥被发送之前被所述接入网认证，并且进一步其中当发现彼此处于附近时，所述密钥可被所述第一计算装置和所述第二计算装置使用以使彼此安全的通信，同时所述第一计算装置和所述第二计算装置之间没有通过所述接入网的通信，其中通过以下方式由所述接入网来控制邻近发现：从所述接入网向所述第一计算装置和所述第二计算装置发送公告，其指示所述第一计算装置和所述第二计算装置在彼此邻近范围内；以及在所述接入网处从所述第一计算装置和所述第二计算装置中的一个接收对于以下的请求：安全地与所述第一计算装置和所述第二计算装置中的另一个进行通信而无需经过所述接入网的通信。2.如权利要求1所述的方法，其中网络单元发送给第一计算装置和第二计算装置的所述密钥基于以下之一生成：(i)接入网在第一计算装置与第二计算装置之一的认证过程中建立的安全上下文；(ii)在网络单元维护的密钥；(iii)两个或更多密钥的组合；(iv)随机的推导值；及(v)根据第一计算装置与第二计算装置至少之一的认证，由移动性管理实体推导出并传送给网络单元的基于邻近服务的密钥。3.如权利要求1所述的方法，进一步包括在发送密钥至第一计算装置和第二计算装置之前，所述网络单元在第一计算装置与第二计算装置处于彼此附近时，验证第一计算装置与第二计算装置被授权在他们的通信不通过所述接入网的情况下彼此进行通信。4.如权利要求1所述的方法，进一步包括在发送密钥至第一计算装置和第二计算装置之前，所述网络单元确定第一计算装置和第二计算装置是否在彼此附近，这样他们可以在他们的通信没有通过所述接入网的情况下进行安全的通信。5.如权利要求1所述的方法，进一步包括所述网络单元获取第一计算装置与第二计算装置之间不经过接入网的通信的至少一部分。6.如权利要求5所述的方法，进一步包括在获取到的通信上执行合法拦截操作。7.如权利要求5所述的方法，进一步包括所述网络单元发送一个或多个通信参数至第一计算装置和第二计算装置，以使得所述网络单元能够获取第一计算装置和第二计算装置之间不经过接入网的通信。8.一种用于在通信系统中提供安全通信的装置，包括：存储器；以及耦合到所述存储器形成接入网的网络单元的至少一部分的处理器，所述网络单元的所述处理器和所述存储器被配置以便...

【专利技术属性】
技术研发人员：I·布鲁斯蒂斯，V·卡库莱夫，
申请(专利权)人：阿尔卡特朗讯公司，
类型：发明
国别省市：法国;FR