CN104540106B - 发现业务码的校验处理、校验方法及装置 - Google Patents
发现业务码的校验处理、校验方法及装置 Download PDFInfo
- Publication number
- CN104540106B CN104540106B CN201510016482.4A CN201510016482A CN104540106B CN 104540106 B CN104540106 B CN 104540106B CN 201510016482 A CN201510016482 A CN 201510016482A CN 104540106 B CN104540106 B CN 104540106B
- Authority
- CN
- China
- Prior art keywords
- code
- discovery
- suffix
- broadcast
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种发现业务码的校验处理、校验方法及装置,其中,所述校验处理方法包括:广播用户设备UE获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥;所述广播UE根据所述发现码后缀和所述第一密钥生成用于对发现码后缀进行校验的第一校验码;所述广播UE将所述第一校验码广播至监听UE。采用本发明提供的上述技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种发现业务码的校验处理、校验方法及装置。
背景技术
为了保持第三代移动通信系统在通信领域的竞争力,并为用户提供速率更快、时延更低、更加个性化的移动通信服务,同时,为了降低运营商的运营成本,第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)标准工作组正致力于演进分组系统(EPS,Evolved Packet System)的研究。整个EPS包括无线接入网(E-UTRAN,EvolvedUniversal Terrestrial Radio Access Network)和移动核心网(EPC,Evolved PacketCore Networking),其中,EPC包含了归属用户服务器(HSS,Home Subscriber Server)、移动性管理实体(MME,Mobility Management Entity)、服务GPRS支持节点(SGSN,ServingGPRS Support Node)、策略计费规则功能(PCRF,Policy and Charging Rule Function)、服务网关(S-GW,Serving Gateway)、分组数据网关(P-GW,PDN Gateway)和分组数据网络(PDN,Packet Data Network)。
当两个用户设备(UE,User Equipment)通过EPS进行通信时,两个UE需要分别与EPS建立承载。但是考虑到UE以及各种移动互联网业务的快速发展,很多业务希望能够发现临近的UE并且进行通信,因此催生了设备到设备(D2D,Device to Device)业务,D2D业务还被称为基于距离的业务(ProSe,Proximity-based Services)。在D2D业务中,当两个UE位置比较接近的时候,可以直接通信,其连接的数据路径可以不绕回到核心网,这样,一方面可以减少数据路由的迂回,另一方面也能够减少网络数据负荷。因此,D2D业务已得到了很多运营商的重视。
目前,常用的D2D业务有D2D发现业务,图1是现有技术中D2D发现业务的通信架构的结构框图,如图1所示,D2D接入的两个UE只能通过E-UTRAN接入EPC,两个UE可以都属于一个公用陆地移动网络(PLMN,Public Land Mobile Network)或者分属于两个PLMN;对于一个UE,PLMN可以分为归属的PLMN(HPLMN,Home PLMN)和当该UE从其他的PLMN接入时的拜访的PLMN(VPLMN,Visited PLMN),对于UE当前所处区域的PLMN可以统称为本地的公用陆地移动网络(LPLMN,Local PLMN),无论该本地的PLMN是HPLMN还是VPLMN。为了实现D2D发现业务,在运营商侧不仅仅部署了EPS,还包括部署D2D发现业务的ProSe应用服务器(ProSeApplication Server),ProSe应用服务器可以由运营D2D业务的业务提供商提供,也可以由运营EPS的网络运营商提供,在不同PLMN还部署了ProSe功能实体(ProSe Function)。对于ProSe业务的两个UE,其中一个UE从ProSe功能实体获取业务标识后,再向ProSe功能实体获取能够广播的业务码,这个UE被称为广播UE(Announcing UE,简称A-UE),而另外一个UE则接受A-UE的广播,然后与该UE的ProSe功能实体进行匹配,如果匹配成功后,则和A-UE进行ProSe业务。则这个非广播UE称为监听UE(Monitoring UE,简称M-UE)。
在D2D发现业务通信架构中,由于UE提供相关的ProSe应用(APP,Application),其和ProSe应用服务器的接口为PC1接口,提供相关认证功能。UE与UE之间的接口为PC5,用于UE之间的相互直接发现和通信,而UE与ProSe功能实体之间的接口是PC3,用于通过网络的发现认证。ProSe功能实体与现有EPC之间的接口是PC4,包含与P-GW的用户面接口和与HSS的控制面接口,用于D2D发现业务发现认证。ProSe功能实体与ProSe应用服务器的接口为PC2,用于D2D发现业务的应用实现。ProSe功能实体与ProSe功能实体分别有PC6和PC7接口,分别用于UE在漫游和非漫游的两种情况,UE漫游时为PC7接口,UE非漫游时是为PC6接口,这两个接口用于UE进行D2D发现业务时执行两个ProSe功能实体之间的信息交互。
图2为现有技术限制发现业务实现方法的流程示意图,如图3所示,该方法包括:
步骤S200:A-UE向ProSe服务器获取配置参数,以及获得限制发现业务许可,配置参数包含用户近距离限制业务标识;
步骤S201:当A-UE和HPLMN下的ProSe功能实体建立安全连接后,A-UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,发现业务类型,以及用户标识,发现业务类型为广播业务Announce;
步骤S202:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数。如果发现请求获得认证,ProSe功能实体向VPLMN的ProSe功能实体发送广播认证请求,消息携带用户近距离限制业务标识,用户标识,以及A-UE的HPLMN下的ProSe功能实体分配发现业务码,ProSe业务码为A-UE的广播码;
步骤S203:A-UE的VPLMN的ProSe功能实体认证广播请求后,向A-UE的HPLMN下的ProSe功能实体回送广播认证请求响应消息;
步骤S204:HPLMN的ProSe功能实体向A-UE回送发现业务请求响应消息。消息携带发现业务码,发现密钥,当前时间,最大时长。
其中,ProSe业务码为A-UE的HPLMN的ProSe功能实体为A-UE分配的广播业务码,发现密钥一共128位(bit),当前时间为格林威治时间,即世界统一时钟,A-UE根据当前时间,设置A-UE的ProSe时间,即同步与网络的时间,最大时长与当年时间组成本次发现的发现时隙,即发现业务码的生存周期,超过最大时长无效;
步骤S205:A-UE通过广播信道向空中广播,广播消息携带发现业务码;
步骤S206:M-UE向ProSe服务器获取配置参数,以及获得限制发现业务许可,配置参数包含用户近距离限制业务标识列表;
步骤S207:当M-UE感兴趣监听至少一个用户近距离限制业务标识,和M-UE的HPLMN下的ProSe功能实体建立安全连接后,M-UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识列表,发现业务类型为监听业务monitor,以及用户标识;
步骤S208:如果M-UE的HPLMN下的ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数。如果发现请求获得认证,M-UE的HPLMN下的ProSe功能实体向其他PLMN的ProSe功能实体发送监听认证请求,消息携带用户近距离限制业务标识列表,用户标识;
其中,其他的PLMN的ProSe功能实体也包含A-UE对应的HPLMN下的ProSe功能实体,因此用户近距离限制业务标识列表至少也包含一个A-UE用户近距离限制业务标识;
步骤S209:其他的PLMN的ProSe功能实体向ProSe服务器获得认证许可;
步骤S210:如果其他PLMN的ProSe功能实体保存用户近距离限制业务标识对应的发现业务码,则认证监听认证请求消息,向M-UE的HPLMN下的ProSe功能实体回送监听认证请求响应消息,消息携带发现业务码对应的掩码,以及对应发现业务码对应的生命周期,即其他PLMN的ProSe功能实体的当前时间和最大时长;
步骤S211:M-UE的HPLMN的ProSe功能实体根据监听认证请求响应消息中掩码组成ProSe业务码组成发现模版,向M-UE回送发现业务请求响应消息。消息携带发现模版,当前时间,最大时长;
其中,当前时间如果M-UE的HPLMN的ProSe功能实体时间已经和其他PLMN的ProSe功能实体时间同步,则为M-UE的HPLMN的ProSe功能实体的当前时间,否则为监听认证响应请求所携带的当前时间,最大时长为监听认证响应请求所携带的最大时长。M-UE根据当前时间设置ProSe时钟;
步骤S212:M-UE接收A-UE的广播信息,广播信息包括发现业务码;
步骤S213:如果M-UE发现A-UE广播的发现业务码存在发现模版中,且该发现业务码在发现模版的生命周期内,则向M-UE的HPLMN的ProSe功能实体发送匹配报告消息,消息携带发现业务码,消息还携带UE对应的ProSe时间;
步骤S214:M-UE的HPLMN的ProSe功能实体向A-UE的HPLMN的ProSe功能实体转发匹配报告消息。
步骤S215:A-UE的HPLMN的ProSe功能实体根据匹配报告携带参数,ProSe时间和广播接收到的发现业务码,检查发现业务码是否完整性通过,否则失败,即M-UE的发现业务码不完整;
步骤S216:A-UE的HPLMN的ProSe功能实体完整性校验成功后,向M-UE的HPLMN的ProSe功能实体回送匹配报告响应消息;
步骤S217:M-UE的HPLMN的ProSe功能实体向M-UE回送匹配报告响应消息,消息携带M-UE的HPLMN的ProSe功能实体的当前时间,M-UE设置ProSe时间。匹配成功后,M-UE即发现了A-UE。
现有技术中,将发现业务码分成了发现码前缀和发现码后缀,其中发现码前缀由ProSe功能实体分配,发现码后缀由业务控制,在业务层分配。另外,图2中仅仅只对由ProSe功能实体分配的发现业务码进行完整性保护,仿冒和重放攻击的保护,发现码后缀也同样有完整性,同样有可能被仿冒和重放攻击的风险,目前具体怎么保护发现码后缀未提出有效的解决方案。
针对相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,尚未提出有效的解决方案。
发明内容
为了解决上述技术问题,本发明提供了一种发现业务码的校验处理、校验方法及装置。
根据本发明的一个方面,提供了一种发现业务码的校验处理方法,包括:广播用户设备UE获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥;所述广播UE根据所述发现码后缀和所述第一密钥生成用于对所述发现码后缀进行校验的第一校验码;所述广播UE将所述第一校验码广播至监听UE。
优选地,广播UE获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥,包括:所述广播UE从基于距离的业务ProSe服务器和/或ProSe功能实体获取所述发现码后缀和所述第一密钥。
优选地,广播UE获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥时,所述方法还包括:所述广播UE从ProSe功能实体获取所述发现业务码的发现码前缀以及所述发现码前缀对应的第二密钥;所述方法还包括:所述广播UE根据所述发现码前缀和所述第二密钥生成用于对所述发现码前缀进行校验的第二校验码。
优选地,通过以下算法生成所述第一校验码和/或所述第二校验码:基于哈希函数消息认证码-安全散列算法HMAC-SHA。
优选地,所述广播UE将所述第一校验码广播至监听UE时,所述方法还包括:将所述第二校验码发送至所述监听UE。
根据本发明的另一个方面,还提供了一种发现业务码的校验方法,包括:监听用户设备UE接收广播UE广播的广播信息;所述监听UE从所述广播信息中获取用于对所述发现业务码的发现码后缀进行校验的第二校验码;所述监听UE根据所述第二校验码校验所述发现码后缀。
优选地,所述方法还包括:所述监听UE根据所述广播信息还获取用于对所述发现业务码的发现码前缀进行校验的第二校验码;所述监听UE根据所述第二校验码校验所述发现码前缀。
根据本发明的另一个方面,还提供了一种发现业务码的校验方法,所述方法包括:广播用户设备UE获取所述发现业务码的前缀、从获取所述发现业务码的后缀,以及获取发现业务码对应的第三密钥,其中,所述发现业务码包括:所述发现业务码的前缀、所述发现业务码的后缀;所述广播UE根据所述发现业务码和所述第三密钥生成用于对所述发现业务码进行校验的第三校验码;所述广播UE将所述发第三校验码广播至监听UE。
优选地,所述广播UE获取所述发现业务码的前缀、从获取所述发现业务码的后缀,以及获取发现业务码对应的第三密钥包括:所述广播UE从ProSe功能实体获取所述发现业务码的前缀、从ProSe服务器获取所述发现业务码的后缀,以及从所述ProSe功能实体获取发现业务码对应的第三密钥。
根据本发明的另一个方面,还提供了一种发现业务码的校验处理装置,应用于广播用户设备UE中,包括:获取模块,用于获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥;生成模块,用于根据所述发现码后缀和所述第一密钥生成用于对所述发现码后缀进行校验的第一校验码;广播模块,用于将所述第一校验码广播至监听UE。
优选地,所述获取模块用于从基于距离的业务ProSe服务器获取所述发现码后缀和所述第一密钥。
根据本发明的另一个方面,还提供了一种发现业务码的校验装置,应用于监听UE,包括:接收模块,用于接收广播UE广播的广播信息;获取模块,用于从所述广播信息中获取用于对所述发现业务码的发现码后缀进行校验的第二校验码;校验模块,用于根据所述第二校验码校验所述发现码后缀。
通过本发明,在获取到发现码后缀以及发现码后缀对应的密钥之后,能够根据发现码后缀以及其对应的密钥生成验证码的技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中D2D发现业务的通信架构的结构框图;
图2是相关技术中限制发现业务实现方法的流程示意图;
图3为根据本发明实施例的发现业务码的校验处理方法的流程图;
图4为根据本发明实施例的发现业务码的校验处理装置的结构框图;
图5为根据本发明实施例的发现业务码的校验方法流程图;
图6为根据本发明实施例的发现业务码的校验装置的结构框图;
图7是根据本发明优选实施例一种设备到设备D2D限制发现业务的广播方法的流程图;
图8是根据本发明优选实施例一的D2D限制发现业务的监听方法的流程图;
图9是根据本发明优选实施例一的D2D限制发现业务的匹配方法的流程图;
图10是根据本发明优选实施例二的D2D限制发现业务的广播方法的流程图;
图11是根据本发明优选实施例二的D2D限制发现业务的监听方法的流程图;
图12是根据本发明优选实施例二的D2D限制发现业务的匹配方法的流程图;
图13是根据本发明优选实施例三的D2D限制发现业务的广播方法的流程图;
图14是根据本发明优选实施例三的D2D限制发现业务的监听方法的流程图;
图15是根据本发明优选实施例三的D2D限制发现业务的匹配方法的流程图;
图16为根据本发明实施例的发现业务码的校验方法的另一流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
为了解决上述技术问题,在本实施例中提供了一种发现业务码的校验处理方法,图3为根据本发明实施例的发现业务码的校验处理方法的流程图,如图3所示,包括以下步骤:
步骤S302,广播用户设备UE获取发现业务码的发现码后缀以及上述发现码后缀对应的第一密钥;
步骤S304,广播UE根据上述发现码后缀和上述第一密钥生成用于对发现码后缀进行校验的第一校验码;
步骤S306,广播UE将上述第一校验码广播至监听UE。
通过上述各个步骤,在获取到发现码后缀以及发现码后缀对应的密钥之后,能够根据发现码后缀以及其对应的密钥生成验证码,进而对发现码后缀进行校验的技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
可选地,上述步骤S302可以有多种实现方式,在本发明实施例的可选示例中,广播UE可以从基于距离的业务ProSe服务器和/或ProSe功能实体获取上述发现码后缀和上述第一密钥。
需要说明的是,在执行步骤S302的方案的同时:广播UE获取发现业务码的发现码后缀以及上述发现码后缀对应的第一密钥时,还可以执行以下过程:上述广播UE从ProSe功能实体获取上述发现业务码的发现码前缀以及上述发现码前缀对应的第二密钥;进而广播UE根据上述发现码前缀和上述第二密钥生成用于对发现码前缀进行校验的第二校验码,也就是说,在本发明实施例中实现了同时对发现码前缀和发现码后缀同时进行校验的技术方案。
而对于上述步骤S304中计算发现码后缀校验码的计算方法,可以通过以下算法生成上述第一校验码和/或上述第二校验码:基于哈希函数消息认证码-安全散列算法HMAC-SHA。
并且,在广播UE将上述第一校验码广播至监听UE时,广播UE还要将上述第二校验码发送至上述监听UE。
在本实施例中还提供了一种发现业务码的校验处理装置,应用于广播用户设备UE中,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述,下面对该装置中涉及到的模块进行说明。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图4为根据本发明实施例的发现业务码的校验处理装置的结构框图,如图4所示:
获取模块40,用于获取发现业务码的发现码后缀以及上述发现码后缀对应的第一密钥;
生成模块42,与获取模块40连接,用于根据上述发现码后缀和上述第一密钥生成用于对发现码后缀进行校验的第一校验码;
广播模块44,与生成模块42连接,用于将上述第一校验码广播至监听UE。
通过上述各个模块的综合作用,在获取到发现码后缀以及发现码后缀对应的密钥之后,能够根据发现码后缀以及其对应的密钥生成验证码,进而对发现码后缀进行校验的技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
本发明实施例对上述技术方案的进一步改进在于,获取模块40用于从基于距离的业务ProSe服务器获取上述发现码后缀和上述第一密钥。
为了完善上述技术方案的整体流程,在本发明实施例中,还提供了一种发现业务码的校验方法,图5为根据本发明实施例的发现业务码的校验方法流程图,如图5所示,包括以下步骤:
步骤S502,监听用户设备UE接收广播UE广播的广播信息;
步骤S504,监听UE从上述广播信息中获取用于对发现业务码的发现码后缀进行校验的第一校验码;
步骤S506,监听UE根据上述第一校验码校验上述发现码后缀。
通过上述各个步骤,能够根据监听到的广播信息中发现业务码的发现码后缀所对应的发现码后缀校验码对发现码后缀进行校验的技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
可选地,本发明实施例还提供了以下技术方案:监听UE根据上述广播信息还获取用于对上述发现业务码的发现码前缀进行校验的第二校验码;上述监听UE根据上述第二校验码校验上述发现码前缀,即本发明实施例侧重于实现发现码前缀和发现码后缀的同时校验过程。
在本实施例中还提供了一种发现业务码的校验装置,应用于监听UE,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述,下面对该装置中涉及到的模块进行说明。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图6为根据本发明实施例的发现业务码的校验装置的结构框图,如图6所示:
接收模块60,用于接收广播UE广播的广播信息;
获取模块62,与接收模块60连接,用于从上述广播信息中获取用于对上述发现业务码的发现码后缀进行校验的第一校验码;
校验模块64,与获取模块62连接,用于根据上述第一校验码校验上述发现码后缀。
通过上述各个模块的综合应用,能够根据监听到的广播信息中发现业务码的发现码后缀所对应的发现码后缀校验码对发现码后缀进行校验的技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
为了更好的理解上述发现业务码的校验处理以及校验过程,以下结合优选实施例一至优选实施例三以及附图7-图15进行说明:
优选实施例一
本发明优选实施例提供了一种设备到设备限制发现业务的方法,其中,图7、8、9对应的是优选实施例一,本发明优选实施例的核心思想是,在广播过程中,广播UE分别从ProSe功能实体获取发现码后缀和对应的发现密钥,而从ProSe服务器体获取发现码前缀对应的密钥,广播UE分别计算发现码前缀校验码和发现码后缀校验码,广播UE广播发现码前缀,发现码后缀,以及对应的校验码发现码前缀校验码和发现码后缀校验码,监听UE接收广播信息后分别在ProSe功能实体校验发现码前缀,在ProSe应用服务器校验发现码后缀。
图7是根据本发明优选实施例一的D2D限制发现业务的广播方法的流程图,具体流程如下所示:
步骤S700:UE向ProSe应用服务器获得业务授权,提供UE的发现标识,向ProSe APPServer获得用户近距离限制业务标识,发现码后缀以及发现码后缀对应的发现密钥;
步骤S702:当UE和HPLMN下的ProSe功能实体建立安全连接后,UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,,发现业务类型为限制发现业务,以及用户标识,发现业务类型为广播业务Announce;
步骤S704:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S706:如果发现业务认证成功后,HPLMN下的ProSe功能实体向ProSe应用服务器发送认证请求,所述消息携带用户近距离限制业务标识;
步骤S708:ProSe应用服务器根据用户近距离限制业务标识找到用户对应的UE发现标识,向所述HPLMN下的ProSe功能实体回送认证响应消息,所述消息携带所述的UE发现标识。
步骤S710:HLPMN下ProSe功能实体认证UE发现标识,成功后分配发现码前缀,以及发现码前缀有效期,发现码前缀对应密钥;
步骤S712:HLPMN下ProSe功能实体其向VPLMN的ProSe功能实体发送广播认证请求,消息携带用户近距离限制业务标识,用户标识,以及UE的HPLMN下的ProSe功能实体分配发现码前缀,以及发现码前缀对应的有效期;
步骤S714:VLPMN下ProSe功能实体其向HPLMN的ProSe功能实体回送广播认证请求响应消息;
步骤S716:HPLMN的ProSe功能实体向UE回送发现业务请求响应消息。消息携带发现码前缀,发现码前缀密钥,以及发现码前缀对应的有效期。
其中,发现码前缀是UE的HPLMN的ProSe功能实体为UE分配的广播业务码,发现密钥一共128位(bit),有效期为当前时间为格林威治时间,即世界统一时钟,UE根据当前时间,设置A-UE的ProSe时间,即同步与网络的时间,最大时长与当年时间组成本次发现的发现时隙,即发现码前缀的有效期,超过最大时长无效.
步骤S718:UE分配无线资源,计算发现码前缀校验码和发现码后缀校验码,向空中广播发现码前缀、发现码后缀、发现码前缀校验码、发现码后缀校验码和时间计算器。
上述校验码使用签名算法HMAC-SHA-256计算所得。即发现码前缀校验码=HMAC-SHA-256(发现码前缀密钥,字符串S),该字符串S由S=FC||P0||L0||P1||L1组成,其中FC为固定长度的算法类型,P0为广播时间,L0为时间长度,P1为发现码前缀,L1为发现码前缀的长度;发现码后缀校验码=HMAC-SHA-256(发现码后缀密钥,字符串S),该字符串S由S=FC||P0||L0||P1||L1组成,其中FC为固定长度的算法类型,P0为广播时间,L0为时间长度,P1为发现码后缀,L1为发现码后缀的长度。
所述时间计数器为当前时间截取到秒后的后4位,即最大为16秒,能够修订8秒的误差。
图8是根据本发明优选实施例一的D2D限制发现业务的监听方法的流程图,具体流程如下所示;
步骤S800:UE向ProSe应用服务器获得业务授权,提供UE的发现标识,向ProSe APPServer获得用户近距离限制业务标识,发现码后缀模板,所述模板能够对发现码的后缀能够匹配过滤;
步骤S802:UE的HPLMN下的ProSe功能实体建立安全连接后,UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,发现业务类型限制发现业务,发现业务为监听业务monitor,以及用户标识,以及应用层业务透明容器,所述应用层业务透明容器为目标用户近距离限制业务标识列表,且对HPLMN下的ProSe功能实体透明,所述透明可以通过加密技术实现;
步骤S804:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S806:HPLMN下的ProSe功能实体向ProSe应用服务器发起认证请求,所述认证请求携带用户近距离限制业务标识和应用层业务透明容器;
步骤S808:ProSe应用服务器认证用户近距离限制业务标识和应用层业务透明容器后,向HPLMN下的ProSe功能实体回送认证请求响应消息,所述消息携带UE发现标识,目标UE发现标识与用户近距离限制业务标识列表;
其中,其他的PLMN的ProSe功能实体也包含广播UE对应的HPLMN下的ProSe功能实体,因此用户近距离限制业务标识列表至少也包含一个广播UE用户近距离限制业务标识,同理,UE发现标识列表也包含广播UE的UE发现标识;
步骤S810:HPLMN下的ProSe功能实体认证UE发现标识成功后,决定获取目标UE发现标识的发现码前缀(即广播UE的发现码前缀);
步骤S812:HPLMN下的ProSe功能实体向其他PLMN的ProSe功能实体发送监听认证请求,消息携带用户近距离限制业务标识,用户标识,目标UE发现标识,业务标识,目标用户近距离限制业务标识;
步骤S814:其他的PLMN的ProSe功能实体根据目标用户近距离限制业务标识或者目标UE发现标识获取广播UE的发现码前缀以及有效期;
步骤S816:其他的PLMN的ProSe功能实体向ProSe应用服务器获得认证许可,所述消息携带用户近距离限制业务标识和目标用户近距离限制业务标识;
步骤S818:ProSe应用服务器向其他的PLMN的ProSe功能实体回送认证许可响应消息,所述消息携带UE发现标识和目标UE发现标识;
步骤S820:其他PLMN的ProSe功能实体向UE的HPLMN下的ProSe功能实体回送监听认证请求响应消息,消息携带发现码前缀,以及对应发现码前缀对应的有效期;
步骤S822:UE的HPLMN的ProSe功能实体根据监听认证请求响应消息中发现码前缀组成发现码前缀模版,向UE回送发现业务请求响应消息。消息携带发现码前缀模版,以及对应的有效期;
其中,当前时间如果UE的HPLMN的ProSe功能实体时间已经和其他PLMN的ProSe功能实体时间同步,则为UE的HPLMN的ProSe功能实体的当前时间,否则为监听认证响应请求所携带的当前时间,最大时长为监听认证响应请求所携带的最大时长。UE根据当前时间设置ProSe时钟.
步骤S824:UE分配无线资源,开始侦听广播UE发出广播信息。
图9是根据本发明实施例一的D2D限制发现业务的匹配方法的流程图,具体流程如下所示;
步骤S900:UE接受到广播UE发出的广播信息后,发现广播UE广播的发现码前缀和发现码后缀均在存在对应的发现码前缀模版和发现码后缀模板中,且该发现码前缀在发现前缀模版对应的有效期内,则向UE的HPLMN的ProSe功能实体发送匹配报告消息,消息携带用户近距离限制业务标识,用户标识,发现类型,业务标识,发现码前缀,前缀校验码,发现码后缀,后缀校验码,时间计数器,所述时间计算器为修订时间;
步骤S902,如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S904:UE的HPLMN的ProSe功能实体向其他的PLMN的ProSe功能实体发送匹配报告消息,所述其他的PLMN的ProSe功能实体为广播UE的HPLMN的ProSe功能实体,所述消息携带用户近距离限制业务标识,用户标识,发现类型,业务标识,发现码前缀,发现码前缀校验码,时间计数器;
步骤S906:其他的PLMN的ProSe功能实体校验发现码前缀校验码的是否准确,所述校验方法可以通过签名算法校验前缀校验码是否和ProSe功能实体一致,也可以是通过密钥算法算出对应的发现码前缀,检查是否准确。
步骤S908:其他的HPLMN的ProSe功能实体完整性校验成功后,向UE的HPLMN的ProSe功能实体回送匹配报告响应消息;
步骤S910:UE的HPLMN的ProSe功能实体向ProSe应用服务器发送匹配报告消息,所述消息携带用户近距离限制业务标识,目标用户近距离限制业务标识,发现码后缀,发现码后缀校验码,时间计数器;
步骤S912:ProSe应用服务器校验发现码后缀校验码的是否准确,所述校验方法可以通过签名算法校验发现码前缀校验码是否和ProSe应用服务器一致,也可以是通过密钥算法算出对应的发现码前缀,检查是否准确。
步骤S914:ProSe应用服务器完整性校验成功后,向UE的HPLMN的ProSe功能实体回送匹配报告响应消息,所述消息携带UE发现标识和目标UE的发现标识;
其中,步骤S910-S914也可以在步骤S906后,有其他的HPLMN的ProSe功能实体向ProSe应用服务器操作执行,则需要步骤S904携带响应的发现码后缀以及发现码后缀校验码,其他ProSe操作模式不变。
步骤S916:UE的HPLMN的ProSe功能实体验证UE发现标识和目标UE发现标识;
步骤S918:UE的HPLMN的ProSe功能实体认证成功后,向UE回送匹配报告响应消息,所述消息携带发现码前缀,业务标识,目标用户近距离限制业务标识,以及发现码前缀对应的有效期。
至此,监听UE发现了广播UE,防止了发现码前缀和后缀被仿冒、重放攻击,同时也保证了其完整性。
优选实施例二
本发明优选实施例二提供了一种设备到设备限制发现业务的方法,其中图10、11、12对应的是优选实施例二,本发明优选实施例二的核心思想是,在广播过程中,广播UEProSe服务器获取发现码前缀,发现码后缀以及对应的密钥,广播UE分别计算发现码前缀校验码和发现码后缀校验码,广播UE广播发现码前缀,发现码后缀,以及对应的校验码发现码前缀校验码和发现码后缀校验码,监听UE接收广播信息后分别在ProSe功能实体校验发现码前缀和校验发现码后缀。
图10是根据本发明优选实施例二的D2D限制发现业务的广播方法的流程图,具体流程如下所示;
步骤S1000:UE向ProSe应用服务器获得业务授权,提供UE的发现标识,向ProSeAPP Server获得用户近距离限制业务标识;
步骤S1002:当UE和HPLMN下的ProSe功能实体建立安全连接后,UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,,发现业务类型为限制发现业务,以及用户标识,发现业务类型为广播业务Announce;
步骤S1004:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S1006:如果发现业务认证成功后,HPLMN下的ProSe功能实体向ProSe应用服务器发送认证请求,所述消息携带用户近距离限制业务标识;
步骤S1008:ProSe应用服务器根据用户近距离限制业务标识找到用户对应的UE发现标识,向所述HPLMN下的ProSe功能实体回送认证响应消息,所述消息携带所述的UE发现标识,所述消息还包含ProSe应用服务器分配发现码后缀。
步骤S1010:HLPMN下ProSe功能实体认证UE发现标识,成功后分配发现码前缀,以及发现码前缀有效期,发现码前缀对应密钥,以及发现码后缀对应的密钥;
步骤S1012:HLPMN下ProSe功能实体其向VPLMN的ProSe功能实体发送广播认证请求,消息携带用户近距离限制业务标识,用户标识,以及UE的HPLMN下的ProSe功能实体分配发现码前缀或者发现码后缀,以及发现码前缀对应的有效期;
步骤S1014:VLPMN下ProSe功能实体其向HPLMN的ProSe功能实体回送广播认证请求响应消息;
步骤S1016:HPLMN的ProSe功能实体向UE回送发现业务请求响应消息。消息携带发现码前缀,发现码前缀密钥,发现码后缀,发现码后缀密钥,以及发现码前缀对应的有效期。
其中,发现码前缀是UE的HPLMN的ProSe功能实体为UE分配的广播业务码,发现密钥一共128位(bit),有效期为当前时间为格林威治时间,即世界统一时钟,UE根据当前时间,设置A-UE的ProSe时间,即同步与网络的时间,最大时长与当年时间组成本次发现的发现时隙,即发现码前缀的有效期,超过最大时长无效;
步骤S1018:UE分配无线资源,计算发现码前缀校验码和发现码后缀校验码,向空中广播发现码前缀、发现码后缀、发现码前缀校验码、发现码后缀校验码和时间计算器。
上述校验码使用签名算法HMAC-SHA-256计算所得。即发现码前缀校验码=HMAC-SHA-256(发现码前缀密钥,字符串S),该字符串S由S=FC||P0||L0||P1||L1组成,其中FC为固定长度的算法类型,P0为广播时间,L0为时间长度,P1为发现码前缀,L1为发现码前缀的长度;发现码后缀校验码=HMAC-SHA-256(发现码后缀密钥,字符串S),该字符串S由S=FC||P0||L0||P1||L1组成,其中FC为固定长度的算法类型,P0为广播时间,L0为时间长度,P1为发现码后缀,L1为发现码后缀的长度。
所述时间计数器为当前时间截取到秒后的后4位,即最大为16秒,能够修订8秒的误差。
图11是根据本发明优选实施例二的D2D限制发现业务的监听方法的流程图,具体流程如下所示;
步骤S1100:UE向ProSe应用服务器获得业务授权,提供UE的发现标识,向ProSeAPP Server获得用户近距离限制业务标识;
步骤S1102:UE的HPLMN下的ProSe功能实体建立安全连接后,UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,发现业务类型限制发现业务,发现业务为监听业务monitor,以及用户标识,以及应用层业务透明容器,所述应用层业务透明容器为目标用户近距离限制业务标识列表,且对HPLMN下的ProSe功能实体透明,所述透明可以通过加密技术实现;
步骤S1104:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S1106:HPLMN下的ProSe功能实体向ProSe应用服务器发起认证请求,所述认证请求携带用户近距离限制业务标识和应用层业务透明容器;
步骤S1108:ProSe应用服务器认证用户近距离限制业务标识和应用层业务透明容器后,向HPLMN下的ProSe功能实体回送认证请求响应消息,所述消息携带UE发现标识,目标UE发现标识与用户近距离限制业务标识列表;
其中,其他的PLMN的ProSe功能实体也包含广播UE对应的HPLMN下的ProSe功能实体,因此用户近距离限制业务标识列表至少也包含一个广播UE用户近距离限制业务标识,同理,UE发现标识列表也包含广播UE的UE发现标识;
步骤S1110:HPLMN下的ProSe功能实体认证UE发现标识成功后,决定获取目标UE发现标识的发现码前缀和发现码后缀(即广播UE的发现码前缀和发现码后缀);
步骤S1112:HPLMN下的ProSe功能实体向其他PLMN的ProSe功能实体发送监听认证请求,消息携带用户近距离限制业务标识,用户标识,目标UE发现标识,业务标识,目标用户近距离限制业务标识;
步骤S1114:其他的PLMN的ProSe功能实体根据目标用户近距离限制业务标识或者目标UE发现标识获取广播UE的发现码前缀以及有效期,以及发现码后缀;
步骤S1116:其他的PLMN的ProSe功能实体向ProSe应用服务器获得认证许可,所述消息携带用户近距离限制业务标识和目标用户近距离限制业务标识;
步骤S1118:ProSe应用服务器向其他的PLMN的ProSe功能实体回送认证许可响应消息,所述消息携带UE发现标识和目标UE发现标识;
步骤S1120:其他PLMN的ProSe功能实体向UE的HPLMN下的ProSe功能实体回送监听认证请求响应消息,消息携带发现码前缀,以及对应发现码前缀对应的有效期,发现码后缀;
步骤S1122:UE的HPLMN的ProSe功能实体根据监听认证请求响应消息中发现码前缀组成发现码前缀模版和根据发现码后缀组成发现码后缀模板,向UE回送发现业务请求响应消息。消息携带发现码前缀模版,以及对应的有效期,发现码后缀模板;
其中,当前时间如果UE的HPLMN的ProSe功能实体时间已经和其他PLMN的ProSe功能实体时间同步,则为UE的HPLMN的ProSe功能实体的当前时间,否则为监听认证响应请求所携带的当前时间,最大时长为监听认证响应请求所携带的最大时长。UE根据当前时间设置ProSe时钟;
步骤S1124:UE分配无线资源,开始侦听广播UE发出广播信息。
图12是根据本发明优选实施例二的D2D限制发现业务的匹配方法的流程图,具体流程如下所示;
步骤S1200:UE接受到广播UE发出的广播信息后,发现广播UE广播的发现码前缀和发现码后缀均在存在对应的发现码前缀模版和发现码后缀模板中,且该发现码前缀在发现码前缀模版对应的有效期内,则向UE的HPLMN的ProSe功能实体发送匹配报告消息,消息携带用户近距离限制业务标识,用户标识,发现类型,业务标识,发现码前缀,前缀校验码,发现码后缀,后缀校验码,时间计数器,所述时间计算器为修订时间;
步骤S1202,如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S1204:UE的HPLMN的ProSe功能实体向其他的PLMN的ProSe功能实体发送匹配报告消息,所述其他的PLMN的ProSe功能实体为广播UE的HPLMN的ProSe功能实体,所述消息携带用户近距离限制业务标识,用户标识,发现类型,业务标识,发现码前缀,发现码前缀校验码,发现码后缀,发现码后缀校验码,时间计数器;
步骤S1206:其他的PLMN的ProSe功能实体校验发现码前缀校验码的是否准确,所述校验方法可以通过签名算法校验前缀校验码是否和ProSe功能实体一致,也可以是通过密钥算法算出对应的发现码前缀,检查是否准确。
步骤S1208:其他的PLMN的ProSe功能实体校验发现码后缀校验码的是否准确,所述校验方法可以通过签名算法校验前后缀校验码是否和ProSe功能实体一致,也可以是通过密钥算法算出对应的发现码后缀,检查是否准确。
步骤S1210:验证成功后其他的PLMN的ProSe功能实体向UE的HPLMN下的ProSe功能实体向回送匹配报告响应消息;
步骤S1212:UE的HPLMN的ProSe功能实体向ProSe应用服务器发送认证请求消息,所述消息携带用户近距离限制业务标识,目标用户近距离限制业务标识;
步骤S1214:ProSe应用服务器认证成功后,向UE的HPLMN的ProSe功能实体回送匹配报告响应消息,所述消息携带UE发现标识和目标UE的发现标识;
步骤S1216:UE的HPLMN的ProSe功能实体验证UE发现标识和目标UE发现标识;
步骤S1218:UE的HPLMN的ProSe功能实体认证成功后,向UE回送匹配报告响应消息,所述消息携带发现码前缀,业务标识,目标用户近距离限制业务标识,以及发现码前缀对应的有效期。
至此,监听UE发现了广播UE,防止了发现码前缀和后缀被仿冒、重放攻击,同时也保证了其完整性。
优选实施例三
本发明优选实施例三提供了一种设备到设备限制发现业务的方法,其中图13、14、15对应本发明实施例三,本发明优选实施例三的核心思想是,在广播过程中,广播UE分别从ProSe服务器获取发现码后缀以及从ProSe功能实体获得发现码前缀,在ProSe功能实体中组成发现码,ProSe功能实体分配对应的发现码的密钥,广播UE分别计算发现码校验码,广播UE广播发现码前缀,以及对应的校验码发现码校验码,监听UE接收广播信息后分别在ProSe功能实体校验发现码,从而在ProSe功能实体中校验了发现码的前缀和发现码后缀。
图13是根据本发明优选实施例三的D2D限制发现业务的广播方法的流程图,具体流程如下所示;
步骤S1300:UE向ProSe应用服务器获得业务授权,提供UE的发现标识,向ProSeAPP Server获得用户近距离限制业务标识;
步骤S1302:当UE和HPLMN下的ProSe功能实体建立安全连接后,UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,,发现业务类型为限制发现业务,以及用户标识,发现业务类型为广播业务Announce;
步骤S1304:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S1306:如果发现业务认证成功后,HPLMN下的ProSe功能实体向ProSe应用服务器发送认证请求,所述消息携带用户近距离限制业务标识;
步骤S1308:ProSe应用服务器根据用户近距离限制业务标识找到用户对应的UE发现标识,向所述HPLMN下的ProSe功能实体回送认证响应消息,所述消息携带所述的UE发现标识,所述消息还包含ProSe应用服务器分配发现码后缀。
步骤S1310:HLPMN下ProSe功能实体认证UE发现标识,成功后分配发现码前缀,所述发现码前缀与发现码后缀组成发现码,以及发现码的密钥和发现码有效期;
步骤S1312:HLPMN下ProSe功能实体其向VPLMN的ProSe功能实体发送广播认证请求,消息携带用户近距离限制业务标识,用户标识,以及UE的HPLMN下的ProSe功能实体分配发现码,以及发现码对应的有效期;
步骤S1314:VLPMN下ProSe功能实体其向HPLMN的ProSe功能实体回送广播认证请求响应消息;
步骤S1316:HPLMN的ProSe功能实体向UE回送发现业务请求响应消息。消息携带发现码,发现码密钥,以及发现码对应的有效期。
其中,发现密钥一共128位(bit),有效期为当前时间为格林威治时间,即世界统一时钟,UE根据当前时间,设置A-UE的ProSe时间,即同步与网络的时间,最大时长与当年时间组成本次发现的发现时隙,即发现码前缀的有效期,超过最大时长无效;
步骤S1318:UE分配无线资源,计算发现码校验码,向空中广播发现码发现码校验码和时间计算器。
上述校验码使用签名算法HMAC-SHA-256计算所得。即发现码校验码=HMAC-SHA-256(发现码密钥,字符串S),该字符串S由S=FC||P0||L0||P1||L1组成,其中FC为固定长度的算法类型,P0为广播时间,L0为时间长度,P1为发现码,L1为发现码的长度。
所述时间计数器为当前时间截取到秒后的后4位,即最大为16秒,能够修订8秒的误差。
图14是根据本发明优选实施例三的D2D限制发现业务的监听方法的流程图,具体流程如下所示;
步骤S1400:UE向ProSe应用服务器获得业务授权,提供UE的发现标识,向ProSeAPP Server获得用户近距离限制业务标识;
步骤S1402:UE的HPLMN下的ProSe功能实体建立安全连接后,UE向HPLMN下的ProSe功能实体发送发现业务请求消息,消息包含用户近距离限制业务标识,发现业务类型限制发现业务,发现业务为监听业务monitor,以及用户标识,以及应用层业务透明容器,所述应用层业务透明容器为目标用户近距离限制业务标识列表,且对HPLMN下的ProSe功能实体透明,所述透明可以通过加密技术实现;
步骤S1404:如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S1406:HPLMN下的ProSe功能实体向ProSe应用服务器发起认证请求,所述认证请求携带用户近距离限制业务标识和应用层业务透明容器;
步骤S1408:ProSe应用服务器认证用户近距离限制业务标识和应用层业务透明容器后,向HPLMN下的ProSe功能实体回送认证请求响应消息,所述消息携带UE发现标识,目标UE发现标识与用户近距离限制业务标识列表;
其中,其他的PLMN的ProSe功能实体也包含广播UE对应的HPLMN下的ProSe功能实体,因此用户近距离限制业务标识列表至少也包含一个广播UE用户近距离限制业务标识,同理,UE发现标识列表也包含广播UE的UE发现标识;
步骤S1410:HPLMN下的ProSe功能实体认证UE发现标识成功后,决定获取目标UE发现标识的发现码(即广播UE的发现码);
步骤S1412:HPLMN下的ProSe功能实体向其他PLMN的ProSe功能实体发送监听认证请求,消息携带用户近距离限制业务标识,用户标识,目标UE发现标识,业务标识,目标用户近距离限制业务标识;
步骤S1414:其他的PLMN的ProSe功能实体根据目标用户近距离限制业务标识或者目标UE发现标识获取广播UE的发现码以及有效期;
步骤S1416:其他的PLMN的ProSe功能实体向ProSe应用服务器获得认证许可,所述消息携带用户近距离限制业务标识和目标用户近距离限制业务标识;
步骤S1418:ProSe应用服务器向其他的PLMN的ProSe功能实体回送认证许可响应消息,所述消息携带UE发现标识和目标UE发现标识;
步骤S1420:其他PLMN的ProSe功能实体向UE的HPLMN下的ProSe功能实体回送监听认证请求响应消息,消息携带发现码,以及对应发现码对应的有效期;
步骤S1422:UE的HPLMN的ProSe功能实体根据监听认证请求响应消息中发现码组成发现码模版,向UE回送发现业务请求响应消息。消息携带发现码模版,以及对应的有效期;
其中,当前时间如果UE的HPLMN的ProSe功能实体时间已经和其他PLMN的ProSe功能实体时间同步,则为UE的HPLMN的ProSe功能实体的当前时间,否则为监听认证响应请求所携带的当前时间,最大时长为监听认证响应请求所携带的最大时长。UE根据当前时间设置ProSe时钟;
步骤S1424:UE分配无线资源,开始侦听广播UE发出广播信息。
图15是根据本发明优选实施例三的D2D限制发现业务的匹配方法的流程图,具体流程如下所示;
步骤S1500:UE接受到广播UE发出的广播信息后,发现广播UE广播的发现码存在对应的发现码模版中,且该发现码在发现码模版对应的有效期内,则向UE的HPLMN的ProSe功能实体发送匹配报告消息,消息携带用户近距离限制业务标识,用户标识,发现类型,业务标识,发现码,发现码校验码,时间计数器,所述时间计算器为修订时间;
步骤S1502,如果ProSe功能实体无关联的UE上下文,则ProSe功能实体与HSS进行发现业务认证鉴权,并建立新的UE上下文,UE上下文中包含UE的订阅参数;
步骤S1504:UE的HPLMN的ProSe功能实体向其他的PLMN的ProSe功能实体发送匹配报告消息,所述其他的PLMN的ProSe功能实体为广播UE的HPLMN的ProSe功能实体,所述消息携带用户近距离限制业务标识,用户标识,发现类型,业务标识,发现码,发现码校验码,时间计数器;
步骤S1506:其他的PLMN的ProSe功能实体校验发现码校验码的是否准确,所述校验方法可以通过签名算法校验校验码是否和ProSe功能实体一致,也可以是通过密钥算法算出对应的发现码,检查是否准确。
步骤S1508:验证成功后其他的PLMN的ProSe功能实体向UE的HPLMN下的ProSe功能实体向回送匹配报告响应消息;
步骤S1510:UE的HPLMN的ProSe功能实体向ProSe应用服务器发送认证请求消息,所述消息携带用户近距离限制业务标识,目标用户近距离限制业务标识;
步骤S1512:ProSe应用服务器认证成功后,向UE的HPLMN的ProSe功能实体回送匹配报告响应消息,所述消息携带UE发现标识和目标UE的发现标识;
步骤S1514:UE的HPLMN的ProSe功能实体验证UE发现标识和目标UE发现标识;
步骤S1516:UE的HPLMN的ProSe功能实体认证成功后,向UE回送匹配报告响应消息,所述消息携带发现码前缀,业务标识,目标用户近距离限制业务标识,以及发现码前缀对应的有效期。
至此,监听UE发现了广播UE,防止了发现码前缀和后缀被仿冒、重放攻击,同时也保证了其完整性。
对应上述优选实施例三,在本发明实施例中,还提供了一种发现业务码的校验方法,图16为根据本发明实施例的发现业务码的校验方法的另一流程图,如图16所示,包括以下步骤:
步骤S1602,广播UE获取上述发现业务码的前缀、从获取上述发现业务码的后缀,以及获取发现业务码对应的第三密钥,其中,上述发现业务码包括:上述发现业务码的前缀、上述发现业务码的后缀;
步骤S1604,广播UE根据上述发现业务码和上述第三密钥生成用于对上述发现业务码进行校验的第三校验码;
步骤S1606,上述广播UE将上述发第三校验码广播至监听UE。
通过上述各个步骤,在获取到发现码业务码和发现业务码对应密钥(即为发现码前缀和发现码后缀分配一个密钥)之后,能够根据发现业务码其对应的密钥生成验证码,进而对发现业务码进行校验的技术方案,解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
对于上述步骤S1602的技术方案,在本发明实施例的可选示例中,可以通过以下技术方案实现:广播UE获取上述发现业务码的前缀、从获取上述发现业务码的后缀,以及获取发现业务码对应的第三密钥包括:上述广播UE从ProSe功能实体获取上述发现业务码的前缀、从ProSe服务器获取上述发现业务码的后缀,以及从上述ProSe功能实体获取发现业务码对应的第三密钥。
综上所述,本发明实施例达到了以下技术效果:解决了相关技术中,尚未针对发现码后缀提出保护的技术方案的问题,进而实现了对发现码后缀的完整性保护,不仅防止了发现码前缀被仿冒重放攻击的风险,同时还防止了发现码后缀被仿冒、重放攻击的风险。
在另外一个实施例中,还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的对象在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种发现业务码的校验处理方法,其特征在于,包括:
广播用户设备UE从ProSe服务器和/或ProSe功能实体获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥;
所述广播UE根据所述发现码后缀和所述第一密钥生成用于对所述发现码后缀进行校验的第一校验码;
所述广播UE将所述第一校验码广播至监听UE;
其中,所述第一校验码用于监听UE校验所述发现码后缀。
2.根据权利要求1所述的方法,其特征在于,
广播UE获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥时,所述方法还包括:所述广播UE从ProSe功能实体获取所述发现业务码的发现码前缀以及所述发现码前缀对应的第二密钥;
所述方法还包括:所述广播UE根据所述发现码前缀和所述第二密钥生成用于对所述发现码前缀进行校验的第二校验码。
3.根据权利要求2所述的方法,其特征在于,通过以下算法生成所述第一校验码和/或所述第二校验码:基于哈希函数消息认证码-安全散列算法HMAC-SHA。
4.根据权利要求3所述的方法,其特征在于,所述广播UE将所述第一校验码广播至监听UE时,所述方法还包括:将所述第二校验码发送至所述监听UE。
5.一种发现业务码的校验方法,其特征在于,包括:
监听用户设备UE接收广播UE广播的广播信息;
所述监听UE从所述广播信息中获取用于对所述发现业务码的发现码后缀进行校验的第二校验码,其中,所述第二校验码由广播UE生成;
所述监听UE根据所述第二校验码校验所述发现码后缀;
其中,所述第二校验码由所述广播UE根据所述发现码后缀和对应密钥生成。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述监听UE根据所述广播信息还获取用于对所述发现业务码的发现码前缀进行校验的第三校验码;
所述监听UE根据所述第三校验码校验所述发现码前缀。
7.一种发现业务码的校验方法,其特征在于,包括:
广播用户设备UE从ProSe功能实体获取发现业务码前缀、从ProSe服务器获取发现业务码后缀,以及从ProSe功能实体获取发现业务码对应的第三密钥,其中,所述发现业务码包括:所述发现业务码前缀、所述发现业务码后缀;
所述广播UE根据所述发现业务码和所述第三密钥生成用于对所述发现业务码进行校验的第三校验码;
所述广播UE将所述第三校验码广播至监听UE;
其中,所述第三校验码用于监听UE校验所述发现业务码后缀。
8.一种发现业务码的校验处理装置,应用于广播用户设备UE中,其特征在于,包括:
获取模块,用于从ProSe服务器和/或ProSe功能实体获取发现业务码的发现码后缀以及所述发现码后缀对应的第一密钥;
生成模块,用于根据所述发现码后缀和所述第一密钥生成用于对所述发现码后缀进行校验的第一校验码;
广播模块,用于将所述第一校验码广播至监听UE;
其中,所述第一校验码用于监听UE校验所述发现码后缀。
9.根据权利要求8所述的装置,其特征在于,所述获取模块用于从基于距离的业务ProSe服务器获取所述发现码后缀和所述第一密钥。
10.一种发现业务码的校验装置,应用于监听UE,其特征在于,包括:
接收模块,用于接收广播UE广播的广播信息;
获取模块,用于从所述广播信息中获取用于对所述发现业务码的发现码后缀进行校验的第二校验码,其中,所述第二校验码由广播UE生成;
校验模块,用于根据所述第二校验码校验所述发现码后缀;
其中,所述第二校验码由所述广播UE根据所述发现码后缀和对应密钥生成。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510016482.4A CN104540106B (zh) | 2015-01-13 | 2015-01-13 | 发现业务码的校验处理、校验方法及装置 |
PCT/CN2015/085362 WO2016112677A1 (zh) | 2015-01-13 | 2015-07-28 | 发现业务码的校验处理、校验方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510016482.4A CN104540106B (zh) | 2015-01-13 | 2015-01-13 | 发现业务码的校验处理、校验方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104540106A CN104540106A (zh) | 2015-04-22 |
CN104540106B true CN104540106B (zh) | 2019-02-12 |
Family
ID=52855543
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510016482.4A Expired - Fee Related CN104540106B (zh) | 2015-01-13 | 2015-01-13 | 发现业务码的校验处理、校验方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104540106B (zh) |
WO (1) | WO2016112677A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104540106B (zh) * | 2015-01-13 | 2019-02-12 | 中兴通讯股份有限公司 | 发现业务码的校验处理、校验方法及装置 |
CN107534858B (zh) * | 2015-08-06 | 2020-09-11 | 华为技术有限公司 | 匹配报告消息的处理方法及装置 |
CN107852597B (zh) * | 2015-08-21 | 2020-06-02 | 华为技术有限公司 | 一种发现终端设备的方法及设备 |
CN110192381B (zh) * | 2017-09-15 | 2021-02-09 | 华为技术有限公司 | 密钥的传输方法及设备 |
CN108134991B (zh) * | 2017-12-22 | 2020-10-16 | 杭州清创微品智能科技有限公司 | 一种减少d2d设备切换的方法及系统 |
JP7296475B2 (ja) * | 2019-03-18 | 2023-06-22 | グーグル エルエルシー | エンドユーザデバイスのためのクラウドベースの発見サービス |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2685779A1 (en) * | 2012-07-09 | 2014-01-15 | Industrial Technology Research Institute | Method and apparatus for device to device communication |
CN104066070A (zh) * | 2013-03-20 | 2014-09-24 | 中兴通讯股份有限公司 | 终端注册方法、终端发现方法、终端及装置 |
CN104185208A (zh) * | 2013-05-20 | 2014-12-03 | 华为终端有限公司 | 接近业务授权方法及装置、系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102142576B1 (ko) * | 2013-05-16 | 2020-08-10 | 삼성전자주식회사 | 단말간 통신을 위한 탐색 방법 및 장치 |
CN104540106B (zh) * | 2015-01-13 | 2019-02-12 | 中兴通讯股份有限公司 | 发现业务码的校验处理、校验方法及装置 |
-
2015
- 2015-01-13 CN CN201510016482.4A patent/CN104540106B/zh not_active Expired - Fee Related
- 2015-07-28 WO PCT/CN2015/085362 patent/WO2016112677A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2685779A1 (en) * | 2012-07-09 | 2014-01-15 | Industrial Technology Research Institute | Method and apparatus for device to device communication |
CN104066070A (zh) * | 2013-03-20 | 2014-09-24 | 中兴通讯股份有限公司 | 终端注册方法、终端发现方法、终端及装置 |
CN104185208A (zh) * | 2013-05-20 | 2014-12-03 | 华为终端有限公司 | 接近业务授权方法及装置、系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104540106A (zh) | 2015-04-22 |
WO2016112677A1 (zh) | 2016-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104540106B (zh) | 发现业务码的校验处理、校验方法及装置 | |
US11973746B2 (en) | Connecting IMSI-less devices to the EPC | |
US7565142B2 (en) | Method and apparatus for secure immediate wireless access in a telecommunications network | |
CN103339974B (zh) | 用户识别模块供应 | |
CN105828413B (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
US11233817B2 (en) | Methods and apparatus for end device discovering another end device | |
CN104145449A (zh) | 在不进行定制或预付费协定的情况下进行网络接入和网络服务的提供 | |
CN103583067A (zh) | 用于多sim环境的sim锁定 | |
CN105611533B (zh) | 完整性校验码mic检查方法及装置 | |
CN104244229B (zh) | 一种基于智能终端的虚拟号码网络鉴权处理系统与方法 | |
CN102469455A (zh) | 基于通用引导架构的机器类通信设备分组管理方法及系统 | |
CN102740297B (zh) | 一种寻呼方法及寻呼装置、寻呼系统 | |
CN114423010A (zh) | 网络访问控制方法、装置、电子设备及存储介质 | |
US9084284B1 (en) | Proximity-based device switching using proxy credentials | |
WO2017101211A1 (zh) | 无线通信系统接入方法、装置及终端 | |
CN105704706A (zh) | 一种基于双通道移动终端的虚拟卡鉴权方法与系统 | |
CN105592433B (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
CN104980912A (zh) | ProSe临时标识的通知与更新方法和装置 | |
CN105163313A (zh) | 一种基于隐藏SSID的WiFi连接鉴权方法 | |
CN105848249A (zh) | 接入点名称apn的处理方法、装置及系统 | |
US20100304713A1 (en) | Technique for restricting access to a wireless communication service | |
CN106302376A (zh) | 重认证识别方法、演进分组数据网关及系统 | |
US9100982B1 (en) | Proximity-based device switching | |
CN108243415A (zh) | 一种d2d通信的身份合法性认证方法 | |
Hahn et al. | Design and analysis of improved GSM authentication protocol for roaming users |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190212 Termination date: 20200113 |