[发明专利]用户设备之间进行安全通信的方法及装置

说明书

本发明实施例提供一种用户设备之间进行安全通信的方法及装置，以提高UE之间通信的安全性。本发明中，第一用户设备与第二用户设备分别配置证书，并基于证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥；根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥；利用所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。通过本发明，能够对用户设备之间进行通信中的全部通信数据进行安全保护，进而为用户设备之间的通信提供安全保证。

技术领域

本发明涉及通信技术领域，尤其涉及一种用户设备之间进行安全通信的方法及装置。

背景技术

ProSe(Proximity Service，近距离业务)是3GPP(3rd Generation PartnershipProject，第3代合作伙伴)最新定义的基于LTE(Long Term Evolution，长期演进)技术的UE(User Equipment，用户设备)之间通信的技术。

UE之间在ProSe场景下进行通信时，可通过网络辅助在UE间进行通信，也可以直接在UE间进行通信，无论哪种通信场景，UE间直接进行通信时，都需要进行双向认证以确认对端身份真实性，并生成密钥保证通信数据的安全性。

一般的，当前技术中UE之间进行双向认证时，在有IP协议层的两个实体间的双向认证，认证过程在IP层完成并生成密钥，认证过程中生成的密钥能保护IP层及以上层通信数据的安全，但是在ProSe通信场景下，UE间进行通信时还可能有控制面和用户面等下层的通信数据，在IP层生成的密钥无法保护下层通信数据的安全性，UE之间进行通信的安全性较低。

发明内容

本发明实施例提供一种用户设备之间进行安全通信的方法及装置，以提高UE之间通信的安全性。

第一方面，提供一种用户设备之间进行安全通信的方法，包括：

第一用户设备与第二用户设备分别配置证书；

所述第一用户设备与所述第二用户设备，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥；

所述第一用户设备与所述第二用户设备，根据所述第一密钥进行密钥推演，得到加密密钥和完保密钥；

利用所述加密密钥和所述完保密钥对所述第一用户设备与所述第二用户设备之间的通信数据进行安全保护。

结合第一方面，在第一种可能的实现方式中，配置证书，包括：

本地配置证书，或者通过网络向证书颁发机构注册证书；

所述证书包括：当前用户设备所属本地公用陆地移动网络HPLMN的证书，以及与当前用户设备进行认证的各个目标用户设备所属本地公用陆地移动网络HPLMN的根证书。

结合第一方面、第一方面的第一种可能实现方式，在第二种可能的实现方式中，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥，包括：

根据所述证书在IP层基于因特网密钥交换IKE，进行双向认证，协商生成IP层密钥，作为所述第一密钥。

结合第一方面、第一方面的第一种可能实现方式，在第三种可能的实现方式中，基于所述证书，进行双向认证并协商密钥，获取证书认证后生成的第一密钥，包括：

将证书携带在无线传输信令中向对端用户设备发送，并进行证书的认证；

当证书认证通过后，将自身推演生成的通信密钥作为所述第一密钥，或者获取对端用户设备发送的通信密钥作为所述第一密钥，所述通信密钥推演的输入参数包括组标识ID和/或随机数，所述组标识ID为用户设备之间进行通信时所属通信组的标识。