用于设备到设备通信网络中端到端安全通信的系统和方法技术方案

一种用于实现多个用户设备之间的安全设备到设备（D2D）通信的系统和方法。该方法包括为用户设备的每个用户设备提供公钥和私钥，私钥被布置来解密由相应的公钥加密的数据。发送方用户设备使用其私钥创建数字签名。发送方使用接收方用户设备和第一中继用户设备的公钥对传输进行双重加密。该传输通过多个中继用户设备从发送方传输到接收方。每个中继用户设备接收传输，用其私钥解密第一层加密，用后续用户设备的公钥加密传输；并将数据传输转发给后续用户设备。接收方使用发送方的公钥来认证发送方的数字签名。

【技术实现步骤摘要】
【国外来华专利技术】用于设备到设备通信网络中端到端安全通信的系统和方法
本公开一般针对用于在设备到设备（D2D）通信网络中提供端到端安全通信的系统和方法。
技术介绍
消费者一直受益于蜂窝通信技术在速度、可靠性、功能性、覆盖范围等方面的不断进步。然而，新技术带来了新的风险，尤其是身份和数据盗窃构成了一种真实且越来越多的威胁，在实施这些技术时必须解决这一问题。蜂窝网络上的设备到设备（D2D）通信就是这样一种先进的技术，但它也使支持D2D通信的用户设备（或者“用户装备”或“UE”）暴露于新的安全威胁。更具体地，蜂窝D2D通信是一种新兴类型的无线技术，其使得设备能够直接通信，而无需诸如接入点或基站的固定或集中式网络基础设施。不同于其他D2D技术（诸如蓝牙、Wi-FiDirect或近场通信（NFC）），这些其他D2D技术在未许可的频谱上操作，蜂窝D2D通信被开发为受控或受约束的底层网络，除了别的之外，其在与利用现有通信标准（例如高级长期演进技术（LTE-A））的蜂窝网络相同的频谱上工作。已经建立了一些用于实施D2D通信的标准。例如，图1图示了由第三代合作伙伴计划（3GPP）提出的D2D通信系统架构的LTE标准，该标准被移动电话行业的技术人员普遍理解，并且在此不再详细描述。然而，特别值得注意的是，应当理解，D2D通信发生在接口PC5上。现有系统不能在各种情况下提供足够级别的安全，诸如在部分覆盖或外覆盖的场景下（即，至少一些或全部设备不在基站或其他网络基础设施的通信范围内），因为更难从恶意用户处认证合法用户，这些恶意用户可能试图在与其他UE的直接通信中进行攻击，诸如通过创建假身份、窃听、假冒、数据拦截、用户操纵和隐私侵犯。此外，现有系统没有解决“多跳”场景中的安全性问题，在“多跳”场景中，数据必须通过多个中间用户设备中继。在这种多跳场景下，安全性无法得到保证，因为中间中继用户设备可能会尝试拦截和获取数据，而不是不受干扰地将其传递给预期的接收方。因此，在本领域中持续需要在新兴技术中提高通信安全性的方法和系统，特别是在包括多个用户设备的D2D通信网络中。
技术实现思路
本公开针对用于确保设备到设备通信网络中的端到端安全通信的专利技术方法和系统。本文的各种实施例和实现方案针对包括多个希望参与D2D通信的用户设备的通信系统。用户设备包括与每个用户设备的邻近服务应用相关联的密钥应用模块。每个用户设备的密钥应用模块为该用户设备管理一对不对称的公共和私有加密密钥（“密钥”），而邻近服务应用使用户设备能够检测其他用户设备并参与D2D通信。两个用户设备可以通过在认证过程中认证它们自己来开始通信，在认证过程中，第一（发送方）用户设备使用其私钥来创建数字签名，而第二（接收方）用户设备的公钥用来加密传输（或“数据”）。第二（接收方）用户设备可以使用其自己的私钥来解密传输，而第一（发送方）用户设备的公钥来验证数字签名。指定的网络组件可以包括邻近服务功能和邻近服务应用服务器，当用户设备的一个或多个用户设备在这些组件的网络覆盖范围内时，邻近服务功能和邻近服务应用服务器有助于将用户设备注册到特定网络并促进用户设备之间的D2D通信。还可以包括密钥服务器模块，有助于生成、存储、分配和/或管理公钥和私钥。如果发送用户设备和接收方用户设备不能直接检测彼此，但是一个或多个其他用户设备可以，则一个或多个用户设备可以充当中继。在需要多个中继的情况下，除了上述认证之外，发送方用户设备可以用接收方或接收方设备的公钥和第一中继用户设备的公钥双重加密传输。然后，第一中继设备可以解密第一层加密，并使用后续中继用户设备的公钥对传输进行重新加密。解密一层双重加密然后再次双重加密的过程可以在链中的每对相邻中继用户设备上继续，直到传输到达期望的接收方或接收方用户设备，其可以使用其私钥解密原始加密层。当前公开的实施例通过使用密钥应用模块和密钥服务器模块来解决安全威胁，密钥应用模块和密钥服务器模块使用每个用户设备的一对公钥和私钥来管理非对称安全性，以认证端到端通信和加密端到端传输，从而防止任何恶意窃听、身份伪造和用户操纵。密钥服务器模块和密钥应用模块可以分配不同的安全和敏感级别，其约束在数据传输中为不同级别的私人信息提供的保护范围，从而保护D2D通信中的隐私。一般地，在一个方面，包括在多个用户设备之间进行端到端安全设备到设备（D2D）通信的方法。多个用户设备包括发送方用户设备、接收方用户设备和多个中继用户设备。该方法包括以下步骤：为每个用户设备提供公钥和私钥，每个用户设备的私钥被布置来解密由对应于该私钥的公钥加密的数据；由发送方用户设备使用其私钥创建数字签名；由发送方用户设备使用接收方用户设备的公钥和中继用户设备的第一中继用户设备的公钥对数据传输进行双重加密，该数据传输包括数字签名；从中继用户设备的第一中继用户设备开始，通过多个中继用户设备在链中从发送方用户设备向接收方用户设备传送数据传输，其中，对于每个中继用户设备，传送步骤包括：接收数据传输；用其私钥解密数据传输的第一层加密；用链中后续一个用户设备的公钥加密数据传输；并且将数据传输转发到后续的一个用户设备；由接收方用户设备使用发送方用户设备的公钥来认证发送方用户设备的数字签名；以及如果数字签名被认证，则在发送方用户设备和接收方用户设备之间进行D2D通信。根据一实施例，该方法还包括提供具有基站的无线通信网络；当用户设备通过无线网络与邻近服务应用服务器通信时，向邻近服务应用服务器注册用户设备；以及利用与邻近服务应用服务器通信的密钥服务器模块来管理公钥、私钥或两者。根据一实施例，管理步骤包括生成公钥、生成私钥或两者。根据一实施例，管理步骤包括将公钥存储在存储器中，并根据请求向用户设备或邻近服务应用服务器提供公钥，或者如果私钥由密钥服务器模块存储，则不存储私钥或不共享私钥。根据一实施例，在传送步骤期间，用户设备的至少一个用户设备没有连接到无线网络。根据另一实施例，在传送步骤期间，没有用户设备连接到无线网络。根据一实施例，用户设备的至少一个用户设备与多对公钥和私钥相关联，每对公钥和私钥与不同级别的期望安全性相关联。根据另一实施例，不同级别的期望安全性与安装在用户设备上的不同应用、传送数据的不同预期接收方或包括至少一个前述内容的组合相关联。根据一实施例，进行步骤还包括与发送方和接收方用户设备协商对称密钥，该对称密钥不如发送方和接收方用户设备的公钥复杂，用于减少解密D2D通信所需的计算能力。根据一方面，还提供了一种用于实现端到端安全设备到设备（D2D）通信的系统。该系统包括多个用户设备，该多个用户设备包括发送方用户设备、接收方用户设备和多个中继用户设备，每个用户设备具有：邻近服务应用（14），被配置为检测用户设备中的其他用户设备并实现用户设备之间的D2D通信；以及密钥应用模块（18），与邻近服务应用通信，并被配置为管理用于每个用户设备的公钥和私钥，用于每个用户设备的私钥被布置为解密由对应于该私钥的公钥加密的数据；其中所述用户设备被配置为经由包括所述多个中继用户设备的链来实现发送方用户设备和接本文档来自技高网...

【技术保护点】
1.一种在包括发送方用户设备（12a）、接收方用户设备（12b）和多个中继用户设备（12y）的多个用户设备之间进行端到端安全设备到设备（D2D）通信的方法，包括以下步骤：/n为所述用户设备的每个用户设备提供公钥和私钥，用于每个用户设备的私钥被布置为解密由对应于此私钥的公钥加密的数据；/n由所述发送方用户设备使用其私钥创建数字签名；/n由所述发送方用户设备使用所述接收方用户设备的公钥和所述中继用户设备的第一中继用户设备的公钥对数据传输进行双重加密，所述数据传输包括所述数字签名；/n从所述中继用户设备中的所述第一中继用户设备开始，通过所述多个中继用户设备在链中从所述发送方用户设备向所述接收方用户设备传送所述数据传输，其中，对于所述中继用户设备的每个中继用户设备，所述传送步骤包括：/n接收所述数据传输；/n用其私钥解密所述数据传输的第一层加密；/n用所述链中所述用户设备的后续一个用户设备的公钥加密所述数据传输；和/n将所述数据传输转发到所述用户设备的所述后续一个用户设备；/n由所述接收方用户设备使用所述发送方用户设备的公钥来认证所述发送方用户设备的数字签名；和/n如果所述数字签名被认证，则在所述发送方用户设备和所述接收方用户设备之间进行D2D通信。/n...

【技术特征摘要】
【国外来华专利技术】20180201 EP 18154579.9;20180104 US 62/6134391.一种在包括发送方用户设备（12a）、接收方用户设备（12b）和多个中继用户设备（12y）的多个用户设备之间进行端到端安全设备到设备（D2D）通信的方法，包括以下步骤：
为所述用户设备的每个用户设备提供公钥和私钥，用于每个用户设备的私钥被布置为解密由对应于此私钥的公钥加密的数据；
由所述发送方用户设备使用其私钥创建数字签名；
由所述发送方用户设备使用所述接收方用户设备的公钥和所述中继用户设备的第一中继用户设备的公钥对数据传输进行双重加密，所述数据传输包括所述数字签名；
从所述中继用户设备中的所述第一中继用户设备开始，通过所述多个中继用户设备在链中从所述发送方用户设备向所述接收方用户设备传送所述数据传输，其中，对于所述中继用户设备的每个中继用户设备，所述传送步骤包括：
接收所述数据传输；
用其私钥解密所述数据传输的第一层加密；
用所述链中所述用户设备的后续一个用户设备的公钥加密所述数据传输；和
将所述数据传输转发到所述用户设备的所述后续一个用户设备；
由所述接收方用户设备使用所述发送方用户设备的公钥来认证所述发送方用户设备的数字签名；和
如果所述数字签名被认证，则在所述发送方用户设备和所述接收方用户设备之间进行D2D通信。


2.根据权利要求1所述的方法，进一步包括以下步骤：
为无线通信网络提供基站（16）；
当所述用户设备通过所述无线网络与邻近服务应用服务器（20）通信时，向邻近服务应用服务器注册所述用户设备；和
用与所述邻近服务应用服务器通信的密钥服务器模块管理所述公钥、私钥或两者。


3.根据权利要求2所述的方法，其中管理步骤包括生成所述公钥、生成所述私钥或两者。


4.根据权利要求2所述的方法，其中所述管理步骤包括将所述公钥存储在存储器中，并且根据请求将所述公钥提供给所述用户设备或所述邻近服务应用服务器，或者如果所述私钥由密钥服务器模块存储，则不存储所述私钥或者不共享所述私钥。


5.根据权利要求2所述的方法，其中，在所述传送步骤期间，所述用户设备的至少一个没有用户设备连接到所述无线网络。


6.根据权利要求5所述的方法，其中，在所述传送步骤期间，所述用户设备中没有一个用户设备连接到所述无线网络。


7.根据权利要求1所述的方法，其中所述用户设备中至少一个用户设备与多对所述公钥和私钥相关联，每对与不同级别的期望安全性相关联。


8.根据...

【专利技术属性】
技术研发人员：张玉婷，俞进，姜聃，韩东，
申请(专利权)人：昕诺飞控股有限公司，
类型：发明
国别省市：荷兰;NL