一种设备包括:请求器,被配置为从至少一个网络节点请求证书,该证书包括与该设备相关联的至少一个标识符;第一接收器,被配置为从至少一个网络节点接收该证书;以及转发器,被配置为向另外的设备转发该证书;第二接收器,被配置为从另外的设备接收另外的证书,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及认证器,被配置为基于另外的证书来认证另外的设备。
【技术实现步骤摘要】
【国外来华专利技术】
本公开内容涉及设备到设备通信安全。本公开内容进一步涉及但不限于蜂窝通信系统中的设备到设备通信安全。
技术介绍
通信系统可以被看作能够实现两个或更多节点或设备之间的通信的设施,这些节点或设备诸如固定或移动通信设备、诸如基站、中继、服务器之类的接入点(AP)等等。通信设备和可兼容的通信实体通常根据给定的标准或规范来进行操作,该标准或规范阐述与该系统相关联的各种实体允许做什么以及应该如何做到。例如,标准、规范和有关的协议可以定义各种设备应当如何与彼此进行通信的方式、通信的各个方面应当如何被实现的方式以及设备应当如何被配置的方式。可以在有线或无线载体上携带信号。无线通信系统的示例包括由第三代合作伙伴计划(3GPP)规范化的架构。这个领域最近的发展常被称为通用移动通信系统(UMTS)无线电接入技术的长期演进(LTE)。通信系统的进一步发展也是可预期的。通信设备可以被提供有合适的信号接收和传输布置,用于实现与其他设备的通信。通常,通信设备用于实现诸如语音和数据之类的通信的接收和传输。用户可以借助合适的无线通信设备或终端来无线地访问接入通信系统,该无线通信设备或终端常被称为用户设备(UE)。其他类型的无线通信设备也是已知的,例如能够与其他设备进行无线地通信的各种接入点、中继等等。新的服务和通信架构正在兴起。例如,已经提出了基于邻近度的应用和服务。在诸如LTE之类的系统中对邻近度服务(ProSe)能力的引进可以用于实现基于邻近度的应用的使用。邻近度服务的一个方面是支持设备到设备通信(D2D)的设备。蜂窝网络中的设备到设备通信可以用于从核心网向高速本地连接卸载通信,而且还用于在朋友之间或者甚至作为3GPP TR22.803中所讨论的个域(personal_area)网络、针对例如紧急服务而形成本地的隔离通信群组。这些网络中的许多网络至少携带私人数据,在一些情况中还携带机密信息。因此,恰当保护以防例如窃听是一种期望的特征。可信计算组织(Trusted Computing Group)是一个标准化用于可信赖计算的安全元件的论坛。这些标准之一定义了 TPM--可信平台模块(trusted platform module)--这是一种计算设备中的硬件组件,该硬件组件将被放置在该设备的可信计算基(trustedcomputing base)中,并且因此为OS和应用提供标准化的安全服务。注意到,以上讨论的问题不限于任何特定的通信环境和站点设备,而是可能出现在任何适当的系统中。
技术实现思路
本专利技术的实施例旨在于解决上述问题中的一个或多个问题。根据一个实施例,提供了一种方法,包括:从至少一个网络节点请求证书,证书包括与第一设备相关联的至少一个标识符;在第一设备处从至少一个网络节点接收证书;以及向另外的设备转发证书;从另外的设备接收另外的证书,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及基于另外的证书来认证另外的设备。该方法可以进一步包括:在第一设备处发现另外的设备;以及在第一设备与另外的设备之间建立安全关联。在第一设备与另外的设备之间建立安全关联可以包括在第一设备与另外的设备之间建立密码管线。向另外的设备转发证书可以包括:利用密码管线密钥来加密证书;以及将经加密的证书传输至另外的设备。从另外的设备接收另外的证书可以包括:从另外的设备接收经加密的证书;以及通过基于来自密码管线的密钥对经加密的证书进行解密,来从经加密的证书生成另外的证书。基于另外的证书来认证另外的设备可以包括:确定与另外的设备相关联的至少一个另外的标识符是否匹配在第一设备内存储的值。包括与第一设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于第一设备的Diffie-Hellman群组元素(group element)导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;第一设备关联到的接入点的位置;与第一设备相关联的电话号码;与第一设备相关联的国际移动订户标识;以及与第一设备相关联的临时移动订户标识。包括与另外的设备相关联的至少一个另外的标识符的另外的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于另外的设备的diffie-Hellman群组元素导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关联的标识符;另外的设备关联到的接入点的位置;与另外的设备相关联的电话号码;与另外的设备相关联的国际移动订户标识;以及与另外的设备相关联的临时移动订户标识。该方法可以进一步包括:从另外的设备向至少一个另外的网络节点请求包括与另外的设备相关联的至少一个标识符的另外的证书;在另外的设备处从至少一个另外的网络节点接收另外的证书;以及从另外的设备向第一设备转发另外的证书;在另外的设备处从第一设备接收证书;在另外的设备处,基于证书来认证该设备。根据第二方面,提供了一种方法,包括:从设备接收针对证书的请求,证书包括与该设备相关联的至少一个标识符;生成包括与该设备相关联的至少一个标识符的证书;以及传输包括与该设备相关联的至少一个标识符的证书,其中证书被配置为在设备之间被交换,以便在另外的设备处认证该设备。生成包括与该设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:确定与该设备相关联的非对称公共密钥;确定源自于该设备的Diffie-Hellman群组元素;确定该设备关联到的接入点的位置;确定与该设备相关联的电话号码;确定与该设备相关联的国际移动订户标识;以及确定与该设备相关联的临时移动订户标识。从设备接收针对包括与该设备相关联的至少一个标识符的证书的请求可以包括:接收在该设备与另外的设备之间所建立的安全关联,并且其中生成包括与该设备相关联的至少一个标识符的证书包括:基于在该设备与另外的设备之间所建立的安全关联来生成标识符。根据第三方面,提供了一种设备,包括:用于从至少一个网络节点请求证书的装置,证书包括与该设备相关联的至少一个标识符;用于从至少一个网络节点接收证书的装置;以及用于向另外的设备转发证书的装置;用于从另外的设备接收另外的证书的装置,另外的证书包括与另外的设备相关联的至少一个另外的标识符;以及用于基于另外的证书来认证另外的设备的装置。该设备可以进一步包括:用于发现另外的设备的装置;以及用于在该设备与另外的设备之间建立安全关联的装置。用于在第一设备与另外的设备之间建立安全关联的装置可以包括用于在第一设备与另外的设备之间建立密码管线的装置。用于向另外的设备转发证书的装置可以包括:用于利用密码管线密钥来加密证书的装置;以及用于将经加密的证书传输至另外的设备的装置。用于从另外的设备接收另外的证书的装置可以包括:用于从另外的设备接收经加密的证书的装置;以及用于通过基于来自密码管线的密钥对经加密的证书进行解密、来从经加密的证书生成另外的证书的装置。用于基于另外的证书来认证另外的设备的装置可以包括:确定与另外的设备相关联的至少一个另外的标识符是否匹配在第一设备内存储的值。包括与第一设备相关联的至少一个标识符的证书可以包括以下各项中的至少一项:非对称公共密钥;从源自于第一设备的DifTie-Hellman群组元素导出的公共标识符;基于在第一设备与另外的设备之间所建立的安全关本文档来自技高网...
【技术保护点】
一种方法,包括:从至少一个网络节点请求证书,所述证书包括与第一设备相关联的至少一个标识符;在所述第一设备处从所述至少一个网络节点接收所述证书;以及向另外的设备转发所述证书;从所述另外的设备接收另外的证书,所述另外的证书包括与所述另外的设备相关联的至少一个另外的标识符;基于所述另外的证书来认证所述另外的设备。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:JE·埃克伯格,M·A·于西塔洛,李泽宪,
申请(专利权)人:诺基亚技术有限公司,
类型:发明
国别省市:芬兰;FI
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。