1.本公开涉及任务关键系统,更具体地,涉及一种在一对一任务关键数据(mcd)通信中用于离线密钥管理的方法和装置。
背景技术:
2.为了满足自部署第四代(4g)通信系统以来增加的无线数据业务的需求,已经努力开发改进的第五代(5g)或前5g通信系统。5g或前5g的通信系统也被称为“超4g网络”或“后长期演进(lte)系统”。5g通信系统被认为是在较高频率(mmwave)频带(例如60ghz频带)中实现的,以便实现较高的数据速率。为了减小无线电波的传播损耗并增加传输距离,关于5g通信系统讨论了波束形成、大规模多输入多输出(mimo)、全维mimo(fd
‑
mimo)、阵列天线、模拟波束形成和大规模天线技术。此外,在5g通信系统中,正在基于高级小型小区、云无线电接入网络(ran)、超密度网络、设备到设备(d2d)通信、无线回程、移动网络、协作通信、协作多点(comp)、接收端干扰消除等进行系统网络改进的开发。在5g系统中,已经开发了作为高级编码调制(acm)的混合频移键控(fsk)和feher的正交幅度调制(fqam)以及滑动窗口叠加编码(swsc),以及作为高级接入技术的滤波器组多载波(fbmc)、非正交多址接入(noma)和稀疏码多址接入(scma)。
3.作为以人类为中心的人类生成并使用信息的连通性网络的互联网现在正演进到物联网(iot),诸如事物的分布式实体在物联网中在没有人类干预的情况下交换和处理信息。已经出现通过与云服务器连接将iot技术和大数据处理技术进行组合的万物互联(ioe)。对于iot的实现,已经要求了诸如“传感技术”、“有线/无线通信和网络基础设施”、“服务接口技术”和“安全技术”等技术元素,最近研究了传感器网络、机器到机器(m2m)通信、机器类型通信等。这样的iot环境可以提供通过收集和分析在连接的事物之间生成的数据来为人类生活创造新的价值的智能互联网技术服务。通过现有信息技术和各种工业应用之间的融合和组合,iot可以应用于各种领域,包括智能家居、智能建筑、智能城市、智能汽车或互联汽车、智能电网、医疗保健、智能家电和高级医疗服务。
4.鉴于此,已经做出各种尝试来将5g通信系统应用于iot网络。例如,可以通过波束成形、mimo和阵列天线来实现诸如传感器网络、mtc和m2m通信的技术。作为上述大数据处理技术的云ran的应用也可以被认为是5g技术和iot技术之间进行融合的示例。
5.如上所述,可以根据无线通信系统的发展来提供各种服务,以及因此需要用于容易地提供这种服务的方法。
技术实现要素:
6.[技术问题]
[0007]
对于离线通信,密钥信息共享(即,安全上下文建立)需要在电子设备(例如,发端用户、终端用户、用户设备(ue))移动到离线之前完成。这限制了ue不能使用离线一对一mcd通信业务而直接在离线时发起业务或在不共享密钥信息的情况下移动到离线的业务场景。
[0008]
[技术方案]
[0009]
提供的实施例是用于一对一任务关键数据(mcd)通信中的离线密钥管理的方法和装置。
[0010]
本实施例的另一目的是发起向终端mcd客户端设备传输短数据服务(sds)消息的请求,并确定对于终端mcd客户端设备,发端mcd客户端是否具有有效的私人呼叫密钥(pck)。
[0011]
本实施例的另一个目的是当对于终端mcd客户端设备,发端mcd客户端不具有有效的pck时,生成用于终端mcd客户端设备的pck和私人呼叫密钥标识符(pck
‑
id),并向终端mcd客户端设备发送sds消息,其中,sds消息包括mcd服务特定元素、mcd加密的有效载荷以及pck和pck
‑
id。
[0012]
本实施例的另一个目的是当对于终端mcd客户端设备,发端mcd客户端具有有效的pck时,向终端mcd客户端设备发送sds消息,其中sds消息包括安全信息。
附图说明
[0013]
该方法在附图中示出,在整个附图中,类似的附图标记表示各个图中的相应部分。从以下参考附图的描述中将更好地理解本文中的实施例,其中:
[0014]
图1示出了根据本文公开的实施例的用于在一对一任务关键数据(mcd)通信系统中进行离线密钥管理的方法;
[0015]
图2示出了根据本文公开的实施例的用于在一对一mcd通信中进行离线密钥管理的发端mcd客户端设备的框图;
[0016]
图3示出了根据本文公开的实施例的用于在一对一mcd通信中进行离线密钥管理的终端mcd客户端设备的框图;
[0017]
图4是示出根据本文公开的实施例的用于在一对一mcd通信中进行离线密钥管理的方法的流程图;
[0018]
图5是示出根据本文公开的实施例的用于生成用于终端mcd客户端设备的私人呼叫密钥(pck)和私人呼叫密钥标识符(pck
‑
id)的方法的流程图;
[0019]
图6是示出根据本文公开的实施例的用于向终端mcd客户端设备发送短数据服务(sds)消息的方法的流程图;以及
[0020]
图7是示出根据本文公开的实施例的用于在一对一mcd通信中进行离线密钥管理的方法的时序图。
[0021]
图8是示出根据本文公开的实施例的用于由客户端设备进行的一对一任务关键数据(mcdata)通信中的离线密钥管理的方法的流程图。
具体实施方式
[0022]
本技术提供了一种用于一对一任务关键数据通信中的离线密钥管理的方法和装置。
[0023]
因此,本文的实施例公开了一种用于在一对一任务关键数据(mcd)通信中进行离线密钥管理的方法和装置。该方法包括由发端mcd客户端设备发起向终端mcd客户端设备传输短数据服务(sds)消息的请求。此外,该方法包括由发端mcd客户端设备确定对于终端mcd
客户端设备,发端mcd客户端是否具有可用于终端mcd客户端设备(200)的密钥。此外,方法包括执行:当发端mcd客户端设备不具有用于终端mcd客户端设备的有效密钥时,由发端mcd客户端设备生成用于终端mcd客户端设备的密钥和密钥标识符(key
‑
id),以及当发端mcd客户端设备具有用于终端mcd客户端设备的有效密钥时,将sds消息发送到终端mcd客户端设备或者将sds消息发送到终端mcd客户端设备。
[0024]
在实施例中,生成用于终端mcd客户端设备的密钥和key
‑
id包括:由发端mcd客户端设备从密钥材料的配置中检索用于终端mcd客户端设备的密钥材料。此外,该方法包括由发端mcd客户端设备基于密钥材料生成用于终端mcd客户端设备的密钥和key
‑
id。
[0025]
在实施例中,向终端mcd客户端设备发送sds消息包括:由发端mcd客户端设备使用终端mcd客户端设备的唯一标识(uid)来加密密钥和key
‑
id。此外,该方法包括由发端mcd客户端设备生成封装密钥和key
‑
id的mikey
‑
sakke i_message。此外,该方法包括由发端mcd客户端设备使用发端mcd客户端设备的uid对mikey
‑
sakke i_message进行签名以共享密钥和key id。此外,该方法包括由发端mcd客户端设备向终端mcd客户端设备发送sds消息,其中,sds消息包括mcd服务特定元素、包括mikey
‑
sakke i_message的mcd加密的有效载荷。
[0026]
在实施例中,使用的密钥是私人呼叫密钥(pck),并且使用的密钥标识符是私人呼叫密钥标识符(pck
‑
id)。
[0027]
在实施例中,在为离线服务进行配置期间,在发端mcd客户端设备和终端mcd客户端设备中配置密钥材料的配置。
[0028]
在实施例中,在为离线服务进行配置期间,在发端mcd客户端设备和终端mcd客户端设备中也配置在此期间密钥材料的配置有效的时间段。
[0029]
在实施例中,在发端mcd客户端设备和终端mcd客户端设备处于联网服务中时,密钥材料的配置由密钥管理服务器配置在发端mcd客户端设备和终端mcd客户端设备中。
[0030]
在实施例中,mcd服务特定元素包括消息类型、创建mcd加密的有效载荷的日期时间、有效载荷标识、有效载荷序列号和pck标识符。
[0031]
在实施例中,安全信息仅包括pck
‑
id以及mcd服务特定元素和mcd加密的有效载荷。
[0032]
在实施例中,在安全信息仅包括pck
‑
id的情况下,可以将pck
‑
id封装在mikey
‑
sakke i_message中以用于分发。
[0033]
在实施例中,该方法还包括由终端mcd客户端设备从发端mcd客户端设备接收sds消息。此外,该方法包括由终端mcd客户端设备验证所接收的sds消息的mikey
‑
sakke i_message。此外,该方法包括由终端mcd客户端设备从所接收的sds消息的mikey
‑
sakke i_message中提取密钥和key
‑
id。此外,该方法包括由终端mcd客户端设备对所接收的sds消息的mcd加密的有效载荷进行解密。
[0034]
因此,本文的实施例提供了一种用于提供一对一任务关键数据(mcd)通信中的离线密钥管理方法的发端mcd客户端设备。发端mcd客户端设备包括处理器和存储器。处理器配置为发起向终端mcd客户端设备传输短数据服务(sds)消息的请求。此外,处理器配置为确定发端mcd客户端是否具有用于终端mcd客户端设备的有效密钥。此外,处理器配置为当发端mcd客户端设备不具有用于终端mcd客户端设备的有效密钥时,执行生成用于终端mcd客户端设备的密钥和密钥标识符(key
‑
id),以及当发端mcd客户端设备具有用于终端mcd客
户端设备的有效密钥时,将sds消息发送到终端mcd客户端设备或者将sds消息发送到终端mcd客户端设备。
[0035]
因此,本文的实施例提供了一种用于提供一对一任务关键数据(mcd)通信中的离线密钥管理方法的终端mcd客户端设备。终端mcd客户端设备包括处理器和存储器。处理器配置为从发端mcd客户端设备接收sds消息。此外,处理器配置为验证所接收的sds消息的mikey
‑
sakke i_message。此外,处理器配置为从所接收的sds消息的mikey
‑
sakke i_message中提取密钥和key
‑
id。此外,处理器配置为对所接收的sds消息的mcd加密的有效载荷进行解密。
[0036]
当结合以下描述和附图考虑时,将更好地领会和理解本文的实施例的这些和其它方面。然而,应当理解的是,下面的描述虽然指出了优选实施例及其许多具体细节,但实施例是作为说明给出而不是为了进行限制。可以在不背离其精神的情况下在本文的实施例的范围内进行许多改变和修改,并且本文的实施例包括所有这样的修改。
[0037]
[发明模式]
[0038]
参考在附图中示出并在以下描述中详述的非限制性实施例,更全面地解释本文中的实施例及其各种特征和有利细节。省略对公知组件和处理技术的描述,以便不会不必要地混淆本文的实施例。此外,由于一些实施例可以与一个或多个其它实施例组合以形成新的实施例,所以本文中描述的各种实施例不一定是互斥的。除非另有说明,否则本文中使用的术语“或”指非排他性的或。本文中使用的示例仅旨在帮助理解可以实施本文中的实施例的方式,并且进一步使本领域技术人员能够实施本文中的实施例。因此,不应将示例解释为限制本文中的实施例的范围。
[0039]
如该领域中的传统,可以根据执行所描述的一个或多个功能的块来描述和图示实施例。这些块(在本文中可称为单元或模块等)由诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、固定电路等的模拟或数字电路物理实现,并且可选地可以由固件和软件驱动。电路可以例如实施在一个或多个半导体芯片中,或者实施在诸如印刷电路板等的衬底支撑件上。构成块的电路可以由专用硬件实现,或者由处理器(例如,一个或多个程序化的微处理器和相关联的电路)实现,或者由执行块的一些功能的专用硬件和执行块的其它功能的处理器的组合实现。在不脱离本发明的范围的情况下,实施例的每个块可以物理地分成两个或更多个相互作用的块和分离的块。同样,在不脱离本发明范围的情况下,可以将实施例的块物理地组合成更复杂的块
[0040]
本文中使用的术语“单元”表示诸如现场可编程门阵列(fpga)或专用集成电路(asic)的软件元件或硬件元件,并且执行特定功能。然而,术语“单元”不限于软件或硬件。“单元”可以形成为位于可寻址的存储介质中,或者可以形成为操作一个或多个处理器。因此,例如,术语“单元”可以包括元件(例如,软件元件、面向对象的软件元件、类元件和任务元件)、处理、功能、属性、过程、子例程、程序代码段、驱动程序、固件、微代码、电路、数据、数据库、数据结构、表、阵列或变量。
[0041]
由元件和“单元”提供的功能可以组合成较小数量的元件和“单元”,或者可以被划分成附加元件和“单元”。此外,可以实施元件和“单元”以在设备或安全多媒体卡中再现一个或多个中央处理单元(cpu)。此外,在本公开的实施例中,“单元”可以包括至少一个处理器。在本公开的以下描述中,由于公知的功能或配置将用不必要的细节混淆本公开,因此不
详细描述公知的功能或配置。
[0042]
在下文中,为了便于解释,本公开使用在第三代合作伙伴项目长期演进(3gpp lte)标准中定义的术语和名称。然而,本公开不限于术语和名称,并且本公开还可以应用于遵循其它标准的系统。
[0043]
附图有助于容易地对各种技术特征进行理解,并且应当理解的是,本文中所呈现的实施例不受附图的限制。因此,除了在附图中特别列出的那些改变、等效实施例和替代实施例之外,本公开应被解释为扩展到任何改变、等效实施例和替代实施例。虽然术语第一、第二等在本文中可用于描述各种元件,但这些元件不应受这些术语的限制。这些术语通常仅用于区分一个元件和另一个元件。
[0044]
任务关键数据(mcd)通信系统允许任务关键用户使用诸如文本、文件等的数据进行通信。加密(也可以是完整性保护/数字签名)用于保护任务关键用户之间的通信,任务关键用户之间的密钥生成材料和凭证由密钥管理服务器安全地针对加密而提供。媒体平面安全上下文用于保护任务关键用户(即终端用户)之间的通信。在通信之前需要建立媒体平面安全上下文。当在离线时,特别是对于诸如mcd通信的短数据服务(sds)之类的小用户有效载荷,媒体平面安全上下文建立是一个繁琐的过程并且应该被避免。
[0045]
对于一对一(私人)mcd通信,发端用户生成用于加密的密钥,并将该密钥与密钥标识信息一起提供给终端用户。对于离线通信,根据当前的第三代合作伙伴计划(3gpp)标准(即,版本15),密钥信息共享(即,安全上下文建立)需要在电子设备(例如,发端用户、终端用户、用户设备(ue))移动到离线之前完成。这限制了ue不能使用离线一对一mcd通信业务而直接在离线时发起业务或在不共享密钥信息的情况下移动到离线的业务场景。
[0046]
因此,希望解决上述缺点或其它缺点,或至少提供有用的替代方案。
[0047]
因此,本文的实施例公开了一种用于在一对一任务关键数据(mcd)通信中进行离线密钥管理的方法和装置。该方法包括由发端mcd客户端设备发起向终端mcd客户端设备传输短数据服务(sds)消息的请求。此外,该方法包括由发端mcd客户端设备确定对于终端mcd客户端设备,发端mcd客户端是否具有有效的私人呼叫密钥(pck)。此外,该方法包括:当对于终端mcd客户端设备,发端mcd客户端设备不具有有效的pck时,由发端mcd客户端设备执行生成用于终端mcd客户端设备的pck和私人呼叫密钥标识符(pck
‑
id),以及当对于终端mcd客户端设备,发端mcd客户端设备具有有效的pck时,将sds消息发送到终端mcd客户端设备或将sds消息发送到终端mcd客户端设备。
[0048]
现在参考附图,更具体地参考图1至图7,其中类似的附图标记在整个附图中一致地表示对应特征,示出了优选实施例。
[0049]
图1示出了根据本文公开的实施例的用于在一对一任务关键数据(mcd)通信系统(1000)中进行离线密钥管理的方法。mcd通信包括发端mcd客户端设备(100)和终端mcd客户端设备(200)。发端mcd客户端设备(100)和终端mcd客户端设备(200)可以是例如但不限于智能手机、笔记本电脑、台式计算机、智能手表等。
[0050]
在实施例中,发端mcd客户端设备(100)配置为发起向终端mcd客户端设备(200)传输短数据服务(sdc)消息的请求。此外,发端mcd客户端设备(100)配置为确定对于终端mcd客户端设备(200),发端mcd客户端设备(100)是否具有有效的私人呼叫密钥(pck)。此外,发端mcd客户端设备(100)配置为在有效的pck不可用时生成用于终端mcd客户端设备(200)的
pck和私人呼叫密钥标识符(pck
‑
id),并向终端mcd客户端设备(200)发送短数据业务(sdc)消息(其中,sds消息包括mcd服务特定元素、mcd加密的有效载荷以及封装在mikey
‑
sakke i_message中的pck和pck
‑
id)或者向终端客户端设备(200)发送sds消息,其中sds消息包括mcd服务特定元素、mcd加密的有效载荷和安全信息。
[0051]
在实施例中,发端mcd客户端设备(100)配置为从密钥材料的配置中检索用于终端mcd客户端设备(200)的密钥材料。此外,发端mcd客户端设备(100)配置为基于密钥材料生成用于终端mcd客户端设备(200)的pck和pck
‑
id。
[0052]
在实施例中,发端mcd客户端设备(100)配置为使用终端mcd客户端设备(200)的uid来加密pck和pck
‑
id。此外,发端mcd客户端设备(100)配置为在多媒体互联网密钥化mikey
‑
sakke i_message中生成sakai
‑
kasahara密钥加密。此外,发端mcd客户端设备(100)配置为使用发端mcd客户端设备(100)的uid对mikey
‑
sakke i_message进行签名,以共享pck和pck id。此外,发端mcd客户端设备(100)配置为向终端mcd客户端设备(200)发送sds消息,其中,sds消息包括mcd服务特定元素、mcd加密的有效载荷,mcd加密的有效载荷包括封装加密的pck和加密的pck
‑
id的mikey
‑
sakke i_message。
[0053]
在实施例中,终端mcd客户端设备(200)配置为从发端mcd客户端设备(100)接收sds消息。此外,终端mcd客户端设备(200)配置为验证所接收的sds消息的mikey
‑
sakke i_message。此外,终端mcd客户端设备(200)配置为从所接收的sds消息的mikey
‑
sakke i_message中提取pck和pck
‑
id。此外,终端mcd客户端设备(200)配置为对所接收的sds消息的mcd加密的有效载荷进行解密。
[0054]
图2示出了根据本文公开的实施例的用于一对一mcd通信中的离线密钥管理的发端mcd客户端设备(100)的框图。发端mcd客户端设备(100)包括存储器(110)、处理器(120)和通信器(130)。
[0055]
存储器(110)还存储由处理器(120)执行的指令。存储器(110)可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁硬盘、光盘、软盘、闪存或电可编程存储器(eprom)或电可擦除和可编程存储器(eeprom)的形式。此外,在一些示例中,存储器(110)可以被认为是非暂时性存储介质。术语“非暂时性”可以表示存储介质不实施为载波或传播信号。然而,术语“非暂时性”不应被解释为存储器(110)是不可移动的。在一些示例中,存储器(110)可以配置为存储比存储器更大量的信息。在某些示例中,非暂时性存储介质可以存储随时间变化的数据(例如,在随机存取存储器(ram)或高速缓存中)。存储器(110)可以是内部存储单元,或者可以是发端mcd客户端设备(100)的外部存储单元、云存储或任何其它类型的外部存储。
[0056]
处理器(120)配置为执行存储在存储器(110)中的指令并执行各种处理。处理器(120)包括pck引擎(120a)、pck加密(120b)、mikey
‑
sakke i_message引擎(120c)和sds消息生成器(120d)。
[0057]
在实施例中,pck引擎(120a)确定对于终端mcd客户端设备(200),发端mcd客户端设备(100)是否具有有效的pck。此外,当对于终端mcd客户端设备(200),发端mcd客户端设备(100)不具有有效的pck时,pck引擎(120a)基于密钥材料生成用于终端mcd客户端设备(200)的pck和pck
‑
id。此外,pck引擎(120a)从密钥材料的配置中检索用于终端mcd客户端设备(200)的密钥材料。
[0058]
在实施例中,pck加密(120b)使用终端mcd客户端设备(200)的uid对pck和pck
‑
id进行加密。
[0059]
在实施例中,mikey
‑
sakke i_message引擎(120c)生成mikey
‑
sakke i_message。此外,mikey
‑
sakke i_message引擎(120c)使用发端mcd客户端设备(100)的uid对mikey
‑
sakke i_message进行签名,以共享pck和pck id。
[0060]
在实施例中,sds消息生成器(120d)向终端mcd客户端设备(200)发起传输该sds消息的请求。此外,sds消息生成器(120d)将该sds消息发送到终端mcd客户端设备(200)。
[0061]
通信器(130)配置为用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部设备通信。
[0062]
虽然图2示出了发端mcd客户端设备(100)的各种硬件组件,但是应当理解,其它实施例不限于此。在其它实施例中,发端mcd客户端设备(100)可以包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明性目的,而不限制本发明的范围。可以将一个或多个组件组合在一起以执行用于一对一mcd通信中的离线密钥管理的相同或基本相似的功能。
[0063]
图3示出了根据本文公开的实施例的用于一对一mcd通信中的离线密钥管理的终端mcd客户端设备(200)的框图。终端mcd客户端设备(200)包括存储器(210)、处理器(220)和通信器(230)。
[0064]
存储器(210)还存储由处理器(220)执行的指令。存储器(210)可以包括非易失性存储元件。这种非易失性存储元件的示例可以包括磁硬盘、光盘、软盘、闪存或电可编程存储器(eprom)或电可擦除和可编程存储器(eeprom)的形式。此外,在一些示例中,存储器(210)可以被认为是非暂时性存储介质。术语“非暂时性”可以表示存储介质不实施为载波或传播信号。然而,术语“非暂时性”不应被解释为存储器(210)是不可移动的。在一些示例中,存储器(210)可以配置为存储比存储器更大量的信息。在某些示例中,非暂时性存储介质可以存储随时间变化的数据(例如,在随机存取存储器(ram)或高速缓存中)。存储器(210)可以是内部存储单元,或者也可以是终端mcd客户端设备(200)的外部存储单元、云存储或任何其它类型的外部存储。
[0065]
处理器(220)配置为执行存储在存储器(210)中的指令并执行各种处理。处理器(220)包括mikey
‑
sakke i_message引擎(220a)、pck解密(220b)和sds消息提取器(220c)。
[0066]
在实施例中,mikey
‑
sakke i_message引擎(220a)验证所接收的sds消息的mikey
‑
sakke i_message消息。pck解密(220b)从所接收的sds消息的mikey
‑
sakke i_message中提取pck和pck
‑
id。此外,pck解密(220b)解密所接收的sds消息的mcd加密的有效载荷。sds消息提取器(220c)从发端mcd客户端设备(100)接收sds消息。
[0067]
通信器(230)配置为用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部设备通信。
[0068]
虽然图3示出了终端mcd客户端设备(200)的各种硬件部件,但是应当理解,其它实施例并不限于此。在其它实施例中,终端mcd客户端设备(200)可以包括更少或更多数量的组件。此外,组件的标签或名称仅用于说明性目的,而不限制本发明的范围。可以将一个或多个组件组合在一起以执行用于一对一mcd通信中的离线密钥管理的相同或基本相似的功能。
[0069]
图4是示出了根据本文公开的实施例的用于在一对一mcd通信中进行离线密钥管理的方法的流程图(400)。操作(402
‑
406ab)和(402
‑
406ba)由发端mcd客户端设备(100)执行。操作(408
‑
414)由终端mcd客户端设备(200)执行。
[0070]
在402,方法包括发起向终端mcd客户端设备(200)传输sds消息的请求。在404,方法包括确定有效pck。在406aa,方法包括生成用于终端mcd客户端设备(200)的pck和pck
‑
id。在406ab,方法包括向终端mcd客户端设备(200)发送具有在步骤406aa生成并封装在mikey
‑
sakke i_message中的pck和pck
‑
id的sds消息。在406ba,方法包括向终端mcd客户端设备(200)发送具有安全信息的sds消息。
[0071]
在408,方法包括从发端mcd客户端设备(100)接收sds消息。在410,方法包括验证所接收的sds消息的mikey
‑
sakke i_message。在412,方法包括从所接收的sds消息的mikey
‑
sakke i_message中提取pck和pck
‑
id。在414,方法包括对所接收的sds消息的mcd加密的有效载荷进行解密。
[0072]
图5是示出根据本文公开的实施例的生成用于终端mcd客户端设备(200)的pck和pck
‑
id的方法的流程图(406aa)。
[0073]
在502,方法包括从密钥材料的配置中检索用于终端mcd客户端设备(200)的密钥材料。在504,方法包括基于密钥材料生成用于终端mcd客户端设备(200)的pck和pck
‑
id。
[0074]
图6是示出根据本文公开的实施例的用于向终端mcd客户端设备(200)发送sds消息的方法的流程图(406ab和406ba)。
[0075]
在602,方法包括使用终端mcd客户端设备(200)的uid加密pck和pck
‑
id。在604,方法包括生成mikey
‑
sakke i_message。在606,方法包括使用发端mcd客户端设备(100)的uid对mikey
‑
sakke i_message进行签名,以共享pck和pck id。
[0076]
图7是示出根据本文公开的实施例的用于在一对一mcd通信中进行离线密钥管理的方法的时序图(700)。
[0077]
为了避免在离线时在信令面上建立用于通信的媒体会话,所提出的方法建议生成通信保护密钥(例如,pck)并将其在信令面上与用户有效载荷共享。
[0078]
在步骤702,在为离线进行配置期间,在设备(即,发端mcd客户端设备(100)和终端mcd客户端设备(200))中配置密钥材料(包括:用于每个uid的用户签名密钥、用于每个uid的用户解密密钥、与当前密钥相关联的密钥周期编号)。可选地,用户密钥材料有效的时段(例如,月)也在为离线进行配置期间配置在设备中。对于每个用户允许发端mcdata用户在离线时进行联系密钥材料是不同的。当密钥管理服务器联网时或通过离线方法时,密钥材料可以由密钥管理服务器配置在设备中。
[0079]
在步骤704,mcdata设备发起用于离线通信的离线mcdata服务。在步骤706,发端mcd客户端设备(100)上的mcdata用户向终端mcd客户端设备(200)的终端mcdata用户发起一对一sds消息。
[0080]
在步骤708,如果对于终端mcd客户端设备(200),发端mcd客户端设备(100)不具有有效的私人呼叫密钥(pck),则发端mcd客户端设备(100)从配置中检索用于终端mcd客户端设备(200)的密钥材料,并生成用于终端mcd客户端设备(200)的pck和私人呼叫密钥标识符(pck
‑
id)。使用终端mcd客户端设备(200)的uid加密pck和pck
‑
id。
[0081]
在步骤710,发端mcd客户端设备(100)生成封装pck和pck
‑
id的mikey
‑
sakke i_
message,并使用发端mcd客户端设备(100)的uid对mikey
‑
sakke i_message进行签名,以共享pck和pck
‑
id。
[0082]
在步骤712,发端mcd客户端设备(100)生成一对一sds消息并将其发送到终端mcd客户端设备(200)。一对一sds消息包括mcdata服务特定元素(诸如会话标识符等)、使用在步骤708中生成的pck加密的用户有效载荷以及在步骤
‑
710中生成的mikey
‑
sakke i_message。
[0083]
在步骤714,在接收到sds消息之后,终端mcd客户端设备(200)使用mikey
‑
sakke i_message的idri元素和发端mcd客户端设备(100)的所配置的uid来验证mikey
‑
sakke i_message。在步骤716,在成功验证mikey
‑
sakke i_message之后,终端mcd客户端设备(200)从mikey
‑
sakke i_message中提取pck和pck
‑
id。
[0084]
在步骤718,使用提取的pck和pck
‑
id,终端mcd客户端设备(200)解密用户(即,发端mcd客户端设备(100))有效载荷,并将其呈现给mcdata用户。在步骤720,虽然在步骤708中生成的pck是有效的,但是从发端mcd客户端设备(100)的发端mcdata用户到终端mcd客户端设备(200)的终端mcdata用户的进一步的一对一sds消息包括有限的安全信息(例如,仅pck
‑
id),以及mcdata特定元素和加密的用户有效载荷,并且不需要完整的mikey
‑
sakke i_message。
[0085]
在网络覆盖期间也可以使用步骤720中描述的优化,以显著减小消息大小。针对可以在一对一任务关键通信中进行通信的每个用户的密钥材料可以被存储为发端用户(例如,发端mcd客户端设备(100))的用户配置文件。在用于离线通信的协议实现方式中,生成的mikey
‑
sakke i_message可以作为tlv
‑
e信息元素与mcdata特定元素和使用(任务关键服务所使用的)monp协议的受保护的用户有效载荷一起发送。
[0086]
在本发明中,密钥和密钥标识符、pck和pck
‑
id被用作说明性示例。在替代实施例中,可以使用不同的加密密钥和密钥标识符。
[0087]
图8是示出根据本文公开的实施例的用于由客户端设备进行的一对一任务关键数据(mcdata)通信中的离线密钥管理的方法的流程图。
[0088]
在操作s810中,客户端设备发起用于与其它客户端设备进行通信的离线mcdata服务。客户端设备可以对应于前述发端mcd客户端设备。
[0089]
在操作s820中,在用于其它客户端设备的有效mcdata保护密钥不可用的情况下,客户端设备获取包括mcdata保护密钥和mcdata保护密钥的标识符的mcdata消息。mcdata消息可以对应于上述sds消息。根据另一实施例,在其它客户端设备的有效mcdata保护密钥可用的情况下,客户端设备可以发送没有mcdata保护密钥的mcdata消息
[0090]
在操作s830中,客户端设备向其它客户端设备发送mcdata消息。其它客户端设备可以对应于上述终端mcd客户端设备。
[0091]
本文中所公开的实施例可以使用运行在至少一个硬件设备上并且执行网络管理功能以控制元件的至少一个软件程序来实现。
[0092]
具体实施例的前述描述将如此充分地揭示本文中的实施例的一般性质,以致于其它人可以在不偏离一般概念的情况下通过应用当前的知识而容易地修改这些特定实施例和/或将特定实施例适应于各种应用,并且因此,这样的适应和修改应当并且旨在在所公开的实施例的等效实施例的含义和范围内被理解。应当理解,本文所使用的措辞或术语是为
了描述而不是为了限制的目的。因此,虽然本文中的实施例已经根据优选实施例进行了描述,但是本领域的技术人员将认识到本文中的实施例可以在本文中描述的实施例的精神和范围内通过修改来实施。
[0093]
本文中描述的示例实施例中的至少一些可以部分地或全部地使用专用的特定用途的硬件来构造。本文中所使用的诸如“组件”、“模块”或“单元”之类的术语可以包括但不限于硬件设备,诸如执行特定任务或提供相关联的功能的以分离或集成组件形式的电路、现场可编程门阵列(fpga)或专用集成电路(asic)。在一些实施例中,所描述的元件可以配置为驻留在有形的、持久的、可寻址的存储介质上,并且可以配置为在一个或多个处理器上执行。在一些实施例中,这些功能元件可以例如包括组件(诸如软件组件、面向对象的软件组件、类组件和任务组件)、过程、功能、属性、程序、子例程、程序代码段、驱动程序、固件、微代码、电路、数据、数据库、数据结构、表、阵列和变量。虽然已经参考本文中所讨论的组件、模块和单元描述了示例实施例,但是这样的功能元件可以组合为更少的元件或者分离为附加元件。本文中已经描述了可选特征的各种组合,并且应当理解,所描述的特征可以以任何合适的组合进行组合。特别地,任何一个示例实施例的特征可以适当地与任何其它实施例的特征组合,除非这种组合是互斥的。在整个说明书中,术语“包括有”或“包括”意味着包括规定的组件,但不排除其它部件的存在。
[0094]
应注意,与本技术有关的与本说明书同时提交或在本说明书之前提交的所有论文和文件,这些论文和文件对本说明书公开,并且所有这些论文和文件的内容通过引用并入本文。
[0095]
本说明书中公开的所有特征(包括任何所附权利要求、摘要和附图)和/或如此公开的任何方法或过程的所有步骤可以以任何组合进行组合,除了这样的特征和/或步骤中的至少一些是互斥的组合之外。
[0096]
除非另有明确说明,否则本说明书中公开的每个特征(包括任何所附权利要求书、摘要和附图)可由服务于相同、等效或类似目的的替代特征代替。因此,除非另有明确说明,所公开的每个特征仅是等同特征或类似特征的一般系列的一个示例。
[0097]
本发明不限于前述实施例的细节。本发明扩展到本说明书(包括任何所附权利要求、摘要和附图)中所公开的特征的任何新颖的特征或任何新颖的特征的组合,或者扩展到如此公开的任何方法或过程的步骤的任何新颖的方法或过程的步骤或任何新颖的方法或过程的步骤的组合。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
