CN104754576A - 设备验证方法、用户设备及网络设备 - Google Patents

设备验证方法、用户设备及网络设备 Download PDF

Info

Publication number
CN104754576A
CN104754576A CN201310754239.3A CN201310754239A CN104754576A CN 104754576 A CN104754576 A CN 104754576A CN 201310754239 A CN201310754239 A CN 201310754239A CN 104754576 A CN104754576 A CN 104754576A
Authority
CN
China
Prior art keywords
authentication information
index value
broadcast
output valve
network equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310754239.3A
Other languages
English (en)
Other versions
CN104754576B (zh
Inventor
何文裕
何承东
甘露
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310754239.3A priority Critical patent/CN104754576B/zh
Publication of CN104754576A publication Critical patent/CN104754576A/zh
Application granted granted Critical
Publication of CN104754576B publication Critical patent/CN104754576B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种设备验证方法、用户设备及网络设备。本发明提供的方法,包括:第一用户设备UE从网络设备获取第一UE认证信息,第一UE认证信息包括密钥和用户标识符,该第一UE认证信息被网络设备发送给被第一UE授权的第二UE;第一UE根据密钥对明文进行数据处理得到第一输出值并发送广播消息,广播消息中包括第一输出值和索引值,以使第二UE根据索引值确定第一UE认证信息,并根据密钥对明文进行数据处理得到第二输出值,进而通过比较第一输出值和第二输出值来发现该第一UE。本发明实施例解决了现有技术的ProSe发现方法中,当发现者的授权UE较多时,需要消耗大量的计算资源查找广播发送者的身份的问题。

Description

设备验证方法、用户设备及网络设备
技术领域
本发明实施例涉及通信技术,尤其涉及一种设备验证方法、用户设备及网络设备。
背景技术
随着无线网络的发展各种形式的通信服务都随之发展,并具有适用于不同场景通信方式,例如距离较近的两个用户设备(User Equipment,简称为:UE)通过短距离通信服务(Proximity Services,简称为:ProSe)直接建立通信通道后进行数据传输;在进行数据传输前,一个具有ProSe能力的UE可以通过受限直接发现临近具有ProSe能力的UE,整个发现过程只借助于两个UE本身的能力,并且前者需要后者的明确授权才能发现后者;具体地,被发现者UE A发送ProSe广播(ProSe Announcement),注册到网络的UE中只有得到UE A授权的UE B在接收该ProSe广播后能正确识别广播的内容。
在上述ProSe发现(ProSe Discovery)的过程中,攻击者可能会对UE A发送的ProSe广播进行窃听、追踪、篡改、假冒或重放。在第三代合作伙伴计划(The3rd Generation Partnership Project,简称为:3GPP)的研究报告(Technical Report,简称为:TR)中提供了一种基于单向哈希(hash)函数的保护方案,即把ProSeID/Key与一个新鲜数值做hash转换,该新鲜数值可以为持续变化的数值,例如系统时钟,进而把hash值广播给附近的UE,从而隐藏发送者身份标识,相应地,发现者在接收广播消息后需要遍历每个授权UE的ProSeID/Key并逐个做hash变换,直到找到hash值相同的UE以确定广播发送者的身份;从而达到保护用户隐私、防窃听、防追踪、防篡改、防假冒或防重放的目的。
现有技术中的ProSe发现方法,当发现者的授权UE较多时,需要消耗大量的计算资源查找广播发送者的身份,降低了系统性能甚至耗尽UE资源。
发明内容
本发明实施例提供一种设备验证方法、用户设备及网络设备,以解决现有技术的ProSe发现方法中,当发现者的授权UE较多时,需要消耗大量的计算资源查找广播发送者的身份的问题。
第一方面,本发明实施例提供一种设备验证方法,包括:
第一用户设备UE从网络设备获取第一UE认证信息,所述第一UE认证信息包括密钥和用户标识符,其中,所述第一UE认证信息被所述网络设备携带在通知消息中发送给被所述第一UE授权的第二UE;
所述第一UE根据所述密钥对明文进行数据处理得到第一输出值;
所述第一UE发送广播消息,所述广播消息中包括所述第一输出值和索引值,以使所述第二UE根据所述广播消息中的所述索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
在第一方面的第一种可能实现方式中,所述索引值包括在所述第一UE认证信息中。
在第一方面的第二种可能实现方式中,所述第一用户设备UE从网络设备获取第一UE认证信息之后,还包括:所述第一UE根据所述第一UE认证信息计算得到所述索引值。
在第一方面的第三种可能实现方式中,所述第一用户设备UE从网络设备获取第一UE认证信息,包括:
所述第一UE向所述网络设备发送注册请求消息;
所述第一UE接收所述网络设备发送的注册响应消息,所述注册响应消息中包括所述第一UE认证信息。
根据第一方面、第一方面的第一种到第三种可能的实现方式种任意一种,在第四种可能的实现方式中,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
第二方面,本发明实施例提供一种设备验证方法,包括:
网络设备接收第一用户设备UE发送的注册请求消息;
所述网络设备向所述第一UE返回包括第一UE认证信息的注册响应消息,以使所述第一UE根据所述密钥对明文进行数据处理得到第一输出值,并将所述第一输出值和索引值通过广播消息发送出去,其中,所述第一UE认证信息包括密钥和用户标识符;
所述网络设备向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
在第二方面的第一种可能实现方式中,所述索引值包括在所述第一UE认证信息中。
在第二方面的第二种可能实现方式中,所述索引值是所述第一UE根据所述第一UE认证信息计算得到的;
则所述网络设备向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,包括:
所述网络设备向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,以使所述第二UE根据所述第一UE认证信息计算出所述索引值,从而使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息。
根据第二方面、第二方面的第一种和第二种可能的实现方式种任意一种,在第三种可能的实现方式中,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
第三方面,本发明实施例提供一种设备验证方法,包括:
第二用户设备UE接收网络设备发送的包括第一UE认证信息的通知消息,其中所述第一UE认证信息包括密钥和用户标识符;
所述第二UE接收所述第一UE发送的广播消息,所述广播消息中包括第一UE根据所述密钥对明文进行数据处理得到第一输出值以及索引值;
所述第二UE根据所述广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
在第三方面的第一种可能实现方式中,所述第一UE认证信息还包括所述索引值。
在第三方面的第二种可能实现方式中,所述广播消息中的索引值为所述第一UE根据所述第一UE认证信息计算得到的;则所述第二用户设备UE接收网络设备发送的包括第一UE认证信息的通知消息之后,还包括:
所述第二UE根据所述第一UE认证信息计算得到所述索引值。
根据第三方面、第三方面的第一种和第二种可能的实现方式种任意一种,在第三种可能的实现方式中,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
第四方面,本发明实施例提供一种用户设备,包括:
获取模块,用于从网络设备获取第一UE认证信息,所述第一UE认证信息包括密钥和用户标识符,其中,所述第一UE认证信息被所述网络设备携带在通知消息中发送给被用户设备授权的第二UE;
处理模块,用于根据所述获取模块获取的密钥对明文进行数据处理得到第一输出值;
发送模块,用于发送广播消息,所述广播消息中包括所述第一输出值和索引值,以使所述第二UE根据所述广播消息中的所述索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述用户设备。
在第四方面的第一种可能实现方式中,所述索引值包括在所述第一UE认证信息中。
在第四方面的第二种可能实现方式中,所述设备还包括:计算模块,用于在所述获取模块从网络设备获取第一UE认证信息之后,根据所述第一UE认证信息计算得到所述索引值。
在第四方面的第三种可能实现方式中,所述获取模块,包括:
发送单元,用于向所述网络设备发送注册请求消息;
接收单元,用于接收所述网络设备发送的注册响应消息,所述注册响应消息中包括所述第一UE认证信息。
根据第四方面、第四方面的第一种到第三种可能的实现方式种任意一种,在第四种可能的实现方式中,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
第五方面,本发明实施例提供一种网络设备,包括:
接收模块,用于接收第一用户设备UE发送的注册请求消息;
发送模块,用于向所述第一UE返回包括第一UE认证信息的注册响应消息,以使所述第一UE根据所述密钥对明文进行数据处理得到第一输出值,并将所述第一输出值和索引值通过广播消息发送出去,其中,所述第一UE认证信息包括密钥和用户标识符;
所述发送模块,还用于向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
在第五方面的第一种可能实现方式中,所述索引值包括在所述第一UE认证信息中。
在第五方面的第二种可能实现方式中,所述索引值是所述第一UE根据所述第一UE认证信息计算得到的;
则所述发送模块,用于向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,具体包括:
向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,以使所述第二UE根据所述第一UE认证信息计算出所述索引值,从而使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息。
根据第五方面、第五方面的第一种和第二种可能的实现方式种任意一种,在第三种可能的实现方式中,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
第六方面,本发明实施例提供一种用户设备,包括:
接收模块,用于接收网络设备发送的包括第一UE认证信息的通知消息,其中所述第一UE认证信息包括密钥和用户标识符;
所述接收模块,还用于接收所述第一UE发送的广播消息,所述广播消息中包括第一UE根据所述密钥对明文进行数据处理得到第一输出值以及索引值;
处理模块,用于根据所述接收模块接收的广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
在第六方面的第一种可能实现方式中,所述第一UE认证信息还包括所述索引值。
在第六方面的第二种可能实现方式中,所述广播消息中的索引值为所述第一UE根据所述第一UE认证信息计算得到的;
则所述设备还包括:计算模块,用于在所述接收模块接收网络设备发送的包括第一UE认证信息的通知消息之后,根据所述第一UE认证信息计算得到所述索引值。
根据第六方面、第六方面的第一种和第二种可能的实现方式种任意一种,在第三种可能的实现方式中,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
本实施例所提供的设备验证方法、用户设备及网络设备,通过第一UE从网络设备中获取的第一UE认证信息,并利用该第一UE中的密钥进行数据处理得到第一输出值,实现在该第一UE发送包括该第一输出值以及索引值的广播消息时,使得被该第一UE授权的第二UE可以根据该索引值确定出第一UE认证信息,并利用相同的密钥以及数据处理方式获得第二输出值,从而通过比较该第一输出值和该第二输出值来确认该广播消息发送者的身份,即第一UE,相对于现有技术中需要遍历每个授权UE的ProSeID/Key并逐个做hash变换,直到找到hash值相同的UE才能确定广播发送者的身份来说,解决现有技术中需要消耗大量的计算资源查找广播发送者的身份的问题,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送磁盘操作系统(Disk Operating System,简称为:Dos)命令攻击而出现耗尽UE资源的情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一所提供的一种设备验证方法的流程图;
图2为本发明实施例二所提供的一种设备验证方法的流程图;
图3为本发明实施例三所提供的一种设备验证方法的流程图;
图4为本发明实施例四所提供的一种设备验证方法的流程图;
图5为本发明实施例五所提供的一种设备验证方法的信令流程图;
图6为本发明实施例六所提供的一种用户设备的结构示意图;
图7为本发明实施例所提供的另一种用户设备的结构示意图;
图8为本发明实施例七所提供的一种网络设备的结构示意图;
图9为本发明实施例八所提供的一种用户设备的结构示意图;
图10为本发明实施例九所提供的一种用户设备的结构示意图;
图11为本发明实施例十所提供的一种网络设备的结构示意图;
图12为本发明实施例十一所提供的一种用户设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
图1为本发明实施例一所提供的一种设备验证方法的流程图。本实施例的方法适用于无线网络中UE之间建立通信信道的情况,该方法可由用户设备执行,该用户设备通常以硬件和/或软件的方法来实现。如图1所示,本实施例的方法可以包括:
S110,第一UE从网络设备获取第一UE认证信息,该第一UE认证信息包括密钥和用户标识符,其中,该第一UE认证信息被网络设备携带在通知消息中发送给被该第一UE授权的第二UE。
无线网络中的多个UE在建立通信信道时,可以先在网络设备中进行注册,本实施例中的网络设备可以是ProSe功能(ProSe Function)和/或ProSe应用服务器(ProSe App Server),具体在距离较近的UE之间建立通信信道,举例来说,本实施例中第一UE为ProSe发现中的被发现者,第二UE为ProSe发现中的发现者,第一UE通过在网络中注册并通过网络设备获取第一UE认证信息,具体地,网络设备为该第一UE分配该第一UE认证信息后在网络设备中进行存储,该第一UE认证信息包括网络设备分配给第一UE的密钥和用户标识符。
需要说明的是,本实施例中第二UE为已经注册到网络并被第一UE授权的UE,并且,该第一UE认证信息还可以被网络设备携带在通知消息中发送给第二UE;本实施例中不限制第二UE的数量,通常可以为网络设备确定的与该第一UE距离较近的且被该第一UE授权的UE。
S120,第一UE根据该密钥对明文进行数据处理得到第一输出值。
在本实施例中,第一UE可以根据从网络设备获取的第一UE认证信息中的密钥对明文进行数据处理以获得第一输出值(Output1);具体地,对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
S130,第一UE发送广播消息,该广播消息中包括第一输出值和索引值,以使第二UE根据该广播消息中的索引值确定第一UE认证信息,并根据密钥对明文进行数据处理得到第二输出值,进而通过比较第一输出值和第二输出值来发现该第一UE。
在本实施例中,第一UE作为ProSe发现的被发现者,可以发送广播消息,为了保证该广播消息和该第一UE身份的安全性,将该第一UE获得的Output1和第一UE认证信息的索引值添加在该广播消息的正文中发送,可选地,本实施例中第一UE认证信息的索引值也可以为第一UE从网络设备中直接获取的,即包含在该第一UE认证信息中的,相应地,网络设备在给第二UE发送的该第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该索引值可以是该第一UE根据获取的第一UE认证信息计算得到,相应地,接收到第一UE认证信息的第二UE也可以根据接收到的第一UE认证信息计算得到该索引值,并且第一UE与第二UE计算得到的索引值是相同的。
需要说明的是,本实施例中的索引值与UE认证信息是一一对应的,第二UE、即ProSe发现中的发现者中可以包含不同被发现者的UE认证信息,因此,在第二UE接收到包含Output1和第一UE认证信息的索引值的广播消息后,可以根据该索引值确定出对应的第一UE认证信息,并采用第一UE认证信息中的密钥对明文进行数据处理得到第二输出值(Output2);在具体实现中,第一UE和第二UE进行数据处理的方式是提前预置的相同方式,采用的密钥也是相同的,可选地,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为第一UE和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证第一UE和第二UE在数据处理时采用相同的新鲜值;因此,在密钥、数据处理方式和明文都相同的情况下,第二UE得到的Output2与接收的广播消息中包含的Output1通常也是相同,则第二UE可以确定发送该广播消息的UE是与第一UE认证信息对应的UE,也就是第一UE,从而实现了被发现者的身份确认。
在本实施例中,可以看出,ProSe发现中的发现者在接收广播消息后,根据索引值进行用户认证信息的确定,并通过与广播消息发送者进行相同的数据处理即可确认出被发现者的身份信息;相比于现有技术中发现者需要通过需要遍历多有授权UE的ProSeID/Key并逐个做hash变换,通过找到hash值相同的UE才能确定被发现者的身份,节省了发现者的计算资源,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。
本实施例所提供的验证方法,通过第一UE从网络设备中获取的第一UE认证信息,并利用该第一UE认证信息中的密钥进行数据处理得到第一输出值,实现在该第一UE发送包括该第一输出值以及索引值的广播消息时,使得被该第一UE授权的第二UE可以根据该索引值确定出第一UE认证信息,并利用相同的密钥以及数据处理方式获得第二输出值,从而通过比较该第一输出值和该第二输出值来确认该广播消息发送者的身份,即第一UE,相对于现有技术中需要遍历每个授权UE的ProSeID/Key并逐个做hash变换,直到找到hash值相同的UE才能确定广播发送者的身份来说,解决现有技术中需要消耗大量的计算资源查找广播发送者的身份的问题,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。
实施例二
图2为本发明实施例二所提供的一种设备验证方法的流程图。如图2所示,本实施例的方法可以包括:
S210,第一UE向网络设备发送注册请求消息。
在本实施例中,第一UE从网络设备获取UE认证信息,可以先向该网络设备发送注册请求消息,成为该网络侧的注册UE,进而网络设备为申请注册到该网络的第一UE分配第一UE认证信息,并在网络设备中保存该第一UE认证信息;需要说明的是,本实施例中第二UE为已经注册到网络设备并被第一UE授权的UE,类似地,网络设备中也可以保存有该第二UE对应的第二UE认证信息;本实施例中不限制第二UE的数量,通常是网络设备确定的与第一UE距离较近的UE;本实施例中的网络设备也可以为ProSe Function和/或ProSe App Server。
S220,第一UE接收该网络设备发送的注册响应消息,该注册响应消息中包括该第一UE认证信息,该第一UE认证信息包括密钥和用户标识符,其中,该第一UE认证信息被网络设备携带在通知消息中发送给被该第一UE授权的第二UE。
在本实施例中,网络设备接收到第一UE发送的注册请求消息后将为其分配的第一UE认证信息携带在注册响应消息中返回给第一UE,该第一UE接收网络设备返回的注册响应消息以获取该第一UE认证信息;与上述实施例类似地,本实施例中的第一UE认证信息还可以被网络设备携带在通知消息中发送给被该第一UE授权的第二UE;可选地,该第一UE认证信息中还可以包括该第一UE认证信息的索引值,相应地,网络设备在给第二UE发送的该第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该索引值可以为该第一UE根据该第一UE认证信息计算得出的,相应地,接收到该第一UE认证信息的第二UE也可以根据接收到的第一UE认证信息计算得到该索引值,并且第一UE与第二UE计算得到的索引值是相同的。
可选地,本实施例中的注册响应消息中还可以包括该第二UE对应的第二UE认证信息,即网络设备向第一UE返回的注册响应消息包含第二UE的UE认证信息;在具体实现时,当第二UE与第一UE互换身份时,即广播发送者为第二UE时,被该第二UE授权的第一UE中已存在该第二UE对应的第二UE认证信息,使得本实施例提供的设备验证方法更为便捷。
S230,第一UE根据该密钥对明文进行数据处理得到第一输出值。
S240,第一UE发送广播消息,该广播消息中包括第一输出值和索引值,以使第二UE根据该广播消息中的索引值确定第一UE认证信息,并根据密钥对明文进行数据处理得到第二输出值,进而通过比较第一输出值和第二输出值来发现该第一UE。
具体地,S230~S240的具体实现方式参照实施例一中的S120~S130。
本实施例所提供的验证方法,通过第一UE从网络设备中获取的第一UE认证信息,并利用该第一UE认证信息中的密钥进行数据处理得到第一输出值,实现在该第一UE发送包括该第一输出值以及索引值的广播消息时,使得被该第一UE授权的第二UE可以根据该索引值确定出第一UE认证信息,并利用相同的密钥以及数据处理方式获得第二输出值,从而通过比较该第一输出值和该第二输出值来确认该广播消息发送者的身份,即第一UE,相对于现有技术中需要遍历每个授权UE的ProSeID/Key并逐个做hash变换,直到找到hash值相同的UE才能确定广播发送者的身份来说,解决现有技术中需要消耗大量的计算资源查找广播发送者的身份的问题,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。另外,本实施例中网络设备不仅向第一UE返回了第一UE认证信息,还向其返回了第二UE认证信息,实现了当广播发送者为第二UE时,第一UE中已存在该第二UE对应的第二UE认证信息,使得本实施例提供的设备验证方法更为便捷。
实施例三
图3为本发明实施例三所提供的一种设备验证方法的流程图。本实施例的方法适用于无线网络中UE之间建立通信信道的情况,该方法可由网络设备执行,该网络设备通常以硬件和/或软件的方法来实现。如图3所示,本实施例的方法可以包括:
S310,网络设备接收第一用户设备UE发送的注册请求消息。
在本实施提供的无线网络中,UE之间建立的通信信道例如可以是ProSe,相应地,网络设备可以是ProSe Function和/或ProSe App Server;在UE建立通信信道之前,可以先通过网络设备进行注册,具体地,网络设备通过接收第一UE发送的注册请求消息对该第一UE进行注册。
需要说明的是,本实施例中的第一UE为ProSe发现中的被发现者,也就是可以进行广播消息发送的发送者。
S320,网络设备向该第一UE返回包括该第一UE认证信息的注册响应消息,以使该第一UE根据该密钥对明文进行数据处理得到第一输出值,并将该第一输出值和索引值通过广播消息发送出去,其中,该第一UE认证信息包括密钥和用户标识符。
在本实施例中,网络设备在接收到第一UE的注册请求消息后,为该第一UE分配第一UE认证信息,具体地,该第一UE认证信息可以包括密钥和用户标识符;可选地,该第一UE认证信息中还可以包括第一UE认证信息的索引值;在本实施例的另一种实现方式中,第一UE认证信息的索引值也可以是该第一UE根据接收到的第一UE认证信息计算得到;需要注意的是,本实施例中网络设备可以保存为所述第一UE分配的第一UE认证信息。
在本实施例中,网络设备通过向第一UE返回注册响应消息时将为其分配的第一UE认证信息发送给第一UE,使得该第一UE可以根据该第一UE认证信息中的密钥对明文进行数据处理得到Output1,并且在该第一UE发送广播消息的时候可以将该Output1以及该第一UE认证信息的索引值携带在广播信息的正文中发送出去;具体地,对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
可选地,在本实施例中,S320之前还可以包括:网络设备将网络中得到第一UE授权的UE确定为第二UE,因此,该网络设备中也保存有该第二UE的注册时为其分配的第二UE认证信息;相应地,注册响应消息还可以包括该第二UE对应的第二UE认证信息;本实施例提供的设备验证方法中,通过网络设备确定第二UE,该第二UE为已注册到网络的UE,因此,该网络设备中也保存有该第二UE对应的第二UE认证信息,进一步地,网络设备向第一UE返回与之对应的第一UE认证信息时,也可以向其发送第二UE的第二UE认证信息。在具体实现时,当第二UE与第一UE互换身份时,即广播发送者为第二UE时,被该第二UE授权的第一UE中已存在该第二UE对应的第二UE认证信息,使得本实施例提供的设备验证方法更为便捷。
S330,网络设备向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,使得该第二UE在接收到广播消息后,根据该广播消息中的索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该第一UE。
在本实施例中,网络设备还向第二UE发送了包括该第一UE认证信息的通知消息,可选地,当本实施例中索引值包括在网络设备向第一UE返回的第一UE认证信息中时,第二UE在接收到该第一UE认证信息时直接获取该索引值;在本实施例的另一种实现方式中,当该索引值是第一UE根据接收到的第一UE认证信息计算得到的,相应地,接收到第一UE认证信息的第二UE也可以根据接收到的第一UE认证信息计算得到该索引值,并且该第一UE与第二UE计算得到的索引值是相同的。
需要说明的是,本实施例中的索引值与UE认证信息是一一对应的,第二UE、即ProSe发现中的发现者中可以包含不同被发现者的UE认证信息,因此,在第二UE接收到包含Output1和第一UE认证信息对应的索引值的广播消息后,可以根据该索引值确定出对应的第一UE认证信息,并采用第一UE认证信息中的密钥对明文进行数据处理得到Output2;在具体实现中,第一UE和第二UE进行数据处理的方式是提前预置的相同方式,采用的密钥也是相同的,可选地,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为第一UE和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证第一UE和第二UE在数据处理时采用相同的新鲜值;因此,在密钥、数据处理方式和明文都相同的情况下,第二UE得到的Output2与接收的广播消息中包含的Output1通常也是相同,则第二UE可以确定发送该广播消息的UE是与第一UE认证信息对应的UE,也就是第一UE,从而实现了被发现者的身份确认。
在本实施例中,可以看出,ProSe发现中的发现者在接收广播消息后,根据索引值进行UE认证信息的确定,并通过与广播消息发送者进行相同的数据处理即可确认出被发现者的身份信息;相比于现有技术中发现者需要通过需要遍历多有授权UE的ProSeID/Key并逐个做hash变换,通过找到hash值相同的UE才能确定被发现者的身份,节省了发现者的计算资源,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。
本实施例所提供的设备验证方法,网络设备根据第一UE的注册请求消息为其发送第一UE认证信息,并向得到第一UE授权的第二用户发送该第一UE认证信息,使得该第二UE在接收到该第一UE发送的包含根据第一UE认证信息中的密钥进行数据处理得到第一输出值以及索引值的广播消息后,可以根据该索引值确定出第一UE认证信息,并利用相同的密钥以及数据处理方式获得第二输出值,通过比较该第一输出值和该第二输出值来确认该广播消息发送者的身份,即第一UE,相对于现有技术中需要遍历每个授权UE的ProSeID/Key并逐个做hash变换,直到找到hash值相同的UE才能确定广播发送者的身份来说,解决现有技术中需要消耗大量的计算资源查找广播发送者的身份的问题,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。另外,本实施例中网络设备还可以向第一UE返回第二UE认证信息,实现了当广播发送者为第二UE时,第一UE中已存在该第二UE对应的第二UE认证信息,使得本实施例提供的设备验证方法更为便捷。
实施例四
图4为本发明实施例四所提供的一种设备验证方法的流程图。本实施例的方法适用于无线网络中UE之间建立通信信道的情况,该方法可由用户设备执行,该用户设备通常以硬件和/或软件的方法来实现。如图4所示,本实施例的方法可以包括:
S410,第二UE接收网络设备发送的包括第一UE认证信息的通知消息,该第一UE认证信息包括密钥和用户标识符。
无线网络中的多个UE在建立通信信道时,首先要实现ProSe发现,即发现者确定另一UE的身份,通常地,发现者通过接收被发现者发送的广播消息进行被发现者的身份确认;本实施例中的第二UE具体为ProSe中的发现者,并且该第二UE为已注册到网络设备中,且得到被发现者,即本实施例中第一UE授权的UE,本实施例中的网络设备例如也可以是ProSe Function和/或ProSe App Server;因此,在该第二UE接收第一UE发送的广播消息前,可以接收网络设备发送的包括第一UE认证信息的通知消息,该第一UE认证信息为第一UE从网络设备获取的注册信息,具体包括密钥和用户标识符,并且该第二UE为得到所述第一UE授权的UE。
需要说明的是,本实施例中不限制第二UE的数量,可以是网络设备确定的与第一UE距离较近的UE。
S420,第二UE接收第一UE发送的广播消息,该广播消息中包括第一UE根据该密钥对明文进行数据处理得到第一输出值以及索引值。
在本实施例中,第二UE得到网络设备对第一UE分配的注册信息,即第一UE认证信息之后,接收第一UE发送的广播消息,为了保证该广播消息和该第一UE身份的安全性,第一UE发送的广播消息的正文中包括第一UE根据第一UE认证信息中的密钥对明文进行数据处理得到的Output1和该第一UE认证信息的索引值;具体地,对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
可选地,本实施例中的索引值可以为网络设备为该第一UE发送第一UE认证信息时直接包括在该第一UE认证信息中的,相应地,网络设备给第二UE发送的第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该广播消息中的索引值也可以是第一UE根据获取的第一UE认证信息计算得到,相应地,S410之后还包括:第二UE根据接收到的第一UE认证信息计算得到该索引值,并且该第一UE与第二UE计算得到的索引值是相同的。
S430,第二UE根据该广播消息中的索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
本实施例中的索引值与UE认证信息是一一对应的,并且第二UE、即ProSe发现中的发现者中可以包含不同被发现者的UE认证信息,因此,在第二UE接收到包含Output1和与第一UE认证信息对应的索引值的广播消息后,可以根据该索引值确定出对应的第一UE认证信息,并采用第一UE认证信息中的密钥对明文进行数据处理得到Output2;在具体实现中,第一UE和第二UE进行数据处理的方式是提前预置的相同方式,采用的密钥也是相同的,可选地,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为第一UE和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证第一UE和第二UE在数据处理时采用相同的新鲜值;因此,在密钥、数据处理方式和明文都相同的情况下,第二UE得到的Output2与接收的广播消息中包含的Output1通常也是相同,则第二UE可以确定发送该广播消息的UE是与第一UE认证信息对应的UE,也就是第一UE,从而实现了被发现者的身份确认。
在本实施例中,可以看出,ProSe发现中的发现者在接收广播消息后,根据索引值进行UE认证信息的确定,并通过与广播消息发送者进行相同的数据处理即可确认出被发现者的身份信息;相比于现有技术中发现者需要通过需要遍历多有授权UE的ProSeID/Key并逐个做hash变换,通过找到hash值相同的UE才能确定被发现者的身份,节省了发现者的计算资源,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。
本实施例所提供的设验证方法,得到第一UE授权的第二UE通过接收网络设备发送第一UE认证信息,使得该第二UE在接收到第一UE发送的包括根据第一UE认证信息中的密钥进行数据处理得到第一输出值以及索引值的广播消息后,可以根据该索引值确定出第一UE认证信息,并利用相同的密钥以及数据处理方式获得第二输出值,从而通过比较该第一输出值和该第二输出值来确认该广播消息发送者的身份,即第一UE,相对于现有技术中需要遍历每个授权UE的ProSeID/Key并逐个做hash变换,直到找到hash值相同的UE才能确定广播发送者的身份来说,解决现有技术中需要消耗大量的计算资源查找广播发送者的身份的问题,提高了系统资源的利用率,进一步地,本实施中提供的设备方法不会因攻击者发送Dos攻击而出现耗尽UE资源的情况。
实施例五
图5为本发明实施例五所提供的一种设备验证方法的信令流程图。本实施例的方法适用于无线网络中UE之间建立通信信道的情况,该方法可由用户设备和网络设备执行,该用户设备和网络设备通常以硬件和/或软件的方法来实现。如图5所示,本实施例的方法可以包括:
S501,第一UE向网络设备发送注册请求消息。
在本实施例中,第一UE具体为ProSe发现中的被发现者,在进行ProSe发现前可以在通过网络设备注册到网络,该第一UE例如包括UE A;本实施例中的网络设备也可以为ProSe Function和/或ProSe App Server。
S502,网络设备接收第一UE发送的注册请求消息,并为该第一UE分配第一UE认证信息。
在本实施例中,网络设备为该第一UE分配的第一UE认证信息例如可以为<KeyID_A,ProSeID_A,ProSeKey_A>;具体地,ProSeKey是第一UE发送ProSe广播时对消息进行数据处理所用的密钥,ProSeID是ProSe业务中该第一UE的用户标识符;KeyID是该第一UE认证信息的索引值,使得接收端广播消息的第二UE能够根据该KeyID查找出该第一UE认证信息。
S503,网络设备保存为该第一UE分配的第一UE认证信息。
S504,网络设备将网络中得到该第一UE授权的,并且与该第一UE距离较近的UE确定为第二UE。
需要说明的是,本实施例中不限制第二UE的数量,例如该第二UE可以为UE C和UE D,如图5所示,UE B、UE C和UE D均为得到第一UE,即UE A授权的UE,UE E为未得到UE A授权的UE,在得到UE A授权的UE中UE C和UE D与UE A的距离相对较近,因此网络设备将UE C和UE D确定为第二UE。
S505,网络设备向第一UE返回包括第一UE认证信息的注册响应消息。
在本实施例中,网络侧返回的第一UE认证信息可以为<KeyID_A,ProSeID_A,ProSeKey_A>;需要说明的是,本实施例中的第二UE为已注册到网络的UE,因此,网络设备中也保存有该第二UE,即UE C和UE D的第二UE认证信息;可选地,网络设备向第一UE返回的注册响应中还可以包括:<KeyID_C,ProSeID_C,ProSeKey_C>和<KeyID_D,ProSeID_D,ProSeKey_D>;在具体实现时,当第二UE与第一UE互换身份时,即广播发送者为第二UE时,被该第二UE授权的第一UE中已存在该第二UE对应的第二UE认证信息,使得本实施例提供的设备验证方法更为便捷。
S506,网络设备向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息。
在本实施例中,网络设备具体向UE C和UE D分别发送通知消息,且该通知消息中均包括<KeyID_A,ProSeID_A,ProSeKey_A>。
S507,第二UE保存网络设备发送的第一UE认证信息。
具体地,第二UE,即UE C和UE D分别保存<KeyID_A,ProSeID_A,ProSeKey_A>。
S508,第一UE根据第一UE认证信息中的密钥对明文进行数据处理得到第一输出值。
本实施例对该明文的数据处理方式可以包括加密处理或hash函数转换的方式,该明文通常可以为新鲜值(freshvalue)或该新鲜值与第一UE认证信息中的用户标识符(ProSeID_A||freshvalue),该新鲜值具体为第一UE和第二UE获取的按照一定规律变化的相同数值。
S509,第一UE发送广播消息,该广播消息中包括该第一输出值以及索引值;具体地,广播消息中包含的内容例如可以为KeyID_A||Output1。
S510,第二UE根据该广播消息中的索引值确定第一UE认证信息。
S511,第二UE根据该密钥对明文进行数据处理得到第二输出值来确认该广播消息的发送设备。
在本实施例中,第二UE中的UE C和UE D可以分别根据广播消息中的索引值(KeyID_A)确定该第一UE认证信息,并根据第一UE认证信息中的密钥(ProSeKey_A)对明文进行数据处理得到Output2来确认该广播消息的发送设备;在具体实现中,当第二UE对比得出Output1和Output2相同时,确定该广播消息的发送者第一UE。
可选地,在本实施例的S502中,网络为第一UE分配的第一UE认证信息也可以为<ProSeID_A,ProSeKey_A>,即不包括与该第一UE认证信息的索引值,相应地,第二UE保存的第一UE认证信息也为<ProSeID_A,ProSeKey_A>;因此,本实施例在S505之后可以包括:S512,第一UE根据第一UE认证信息计算得到该索引值;类似地,本实施例在S507之后还可以包括:S513,第二UE根据该第一UE认证信息计算得到该索引值。
需要说明的是,如图5所示,本实施例中S506和S509为网络设备分别与UE C和UE D的进行交互信息,S507、S510、S511以及S513分别为UE C和UE D各自的实现步骤,本实施不限制UE C和UE D作为第二UE分别执行的步骤的先后顺序。
实施例六
图6为本发明实施例六所提供的一种用户设备的结构示意图。如图6所示,本实施例提供的用户设备,具体包括:获取模块11、处理模块12和发送模块13。
其中,获取模块11,用于从网络设备获取第一UE认证信息,该第一UE认证信息包括密钥和用户标识符,其中,该第一UE认证信息被网络设备携带在通知消息中发送给被用户设备授权的第二UE;
处理模块12,用于根据该获取模块11获取的密钥对明文进行数据处理得到第一输出值。
发送模块13,用于发送广播消息,该广播消息中包括该第一输出值和索引值,以使该第二UE根据该广播消息中的该索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该用户设备。
需要说明的是,本实施例中不限制第二UE的数量,可以是网络设备确定的与该用户设备距离较近的UE;本实施例中对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
本发明实施例提供的用户设备用于执行本发明实施例一提供的设备验证方法,具备相应的功能模块,其实现原理和技术效果类似,此处不再赘述。
图7为本发明实施例所提供的另一种用户设备的结构示意图。如图7所示,本实施例提供的用户设备在图6所示设备结构的基础上,该获取模块11,具体包括:发送单元14,用于向网络设备发送注册请求消息;接收单元15,用于接收网络设备发送的注册响应消息,该注册响应消息中包括该第一UE认证信息。
可选地,本实施例中第一UE认证信息的索引值也可以为用户设备从网络设备中直接获取的,即包含在该第一UE认证信息中的,相应地,网络设备在给第二UE发送的该第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该用户设备还包括计算模块16,用于在获取模块11从网络设备获取第一UE认证信息之后,根据该第一UE认证信息计算得到该索引值;相应地,接收到第一UE认证信息的第二UE也可以根据接收到的第一UE认证信息计算得到该索引值,并且该用户设备与第二UE计算得到的索引值是相同的。
本发明实施例提供的用户设备用于执行本发明实施例二提供的设备验证方法,具备相应的功能模块,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为该用户设备和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证该用户设备和第二UE在数据处理时采用相同的新鲜值。
实施例七
图8为本发明实施例七所提供的一种网络设备的结构示意图。如图8所示,本实施例提供的网络设备,具体包括:接收模块21和发送模块22。
其中,接收模块21,用于接收第一用户设备UE发送的注册请求消息;
发送模块22,用于向该第一UE返回包括第一UE认证信息的注册响应消息,以使该第一UE根据该密钥对明文进行数据处理得到第一输出值,并将该第一输出值和索引值通过广播消息发送出去,其中,该第一UE认证信息包括密钥和用户标识符;
该发送模块22,还用于向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,使得该第二UE在接收到该广播消息后,根据该广播消息中的索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该第一UE。
需要说明的是,本实施例中不限制第二UE的数量,可以是网络设备确定的与第一UE距离较近的UE;本实施例中对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
本发明实施例提供的网络设备用于执行本发明实施例三提供的设备验证方法,具备相应的功能模块,其实现原理和技术效果类似,此处不再赘述。
可选地,本实施例中索引值可以包括在网络设备向第一UE返回的第一UE认证信息中,相应地,第二UE在接收到该第一UE认证信息时直接获取该索引值;在本实施例的另一种实现方式中,索引值也可以是该第一UE根据第一UE认证信息计算得到的;则该发送模块22,用于向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,使得该第二UE在接收到该广播消息后,根据该广播消息中的索引值确定该第一UE认证信息,具体包括:向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,以使该第二UE根据该第一UE认证信息计算出该索引值,从而使得该第二UE在接收到该广播消息后,根据该广播消息中的索引值确定该第一UE认证信息。
需要说明的是,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为第一UE和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证第一UE和第二UE在数据处理时采用相同的新鲜值。
实施例八
图9为本发明实施例八所提供的一种用户设备的结构示意图。如图9所示,本实施例提供的用户设备,具体包括:接收模块31和处理模块32。
其中,接收模块31,用于接收网络设备发送的包括第一UE认证信息的通知消息,其中该第一UE认证信息包括密钥和用户标识符;
该接收模块31,还用于接收该第一UE发送的广播消息,该广播消息中包括第一UE根据该密钥对明文进行数据处理得到第一输出值以及索引值;
处理模块32,用于根据该接收模块31接收的广播消息中的索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该第一UE。
需要说明的是,本实施例中不限制该用户设备的数量,可以是网络设备确定的与第一UE距离较近的UE;本实施例中对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
本发明实施例提供的用户设备用于执行本发明实施例四提供的设备验证方法,具备相应的功能模块,其实现原理和技术效果类似,此处不再赘述。
可选地,本实施例中索引值可以为网络设备为该第一UE发送第一UE认证信息时直接包括在该第一UE认证信息中的,相应地,网络设备给该用户设备发送的第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该广播消息中的索引值也可以是第一UE根据获取的第一UE认证信息计算得到,相应地,该用户设备还包括:计算模块,用于在该接收模块31接收网络设备发送的包括第一UE认证信息的通知消息之后,根据该第一UE认证信息计算得到该索引值。
实施例九
图10为本发明实施例九所提供的一种用户设备的结构示意图。如图9所示,本实施例提供的用户设备,具体包括:处理器41和发送器42。
其中,处理器41,用于从网络设备获取第一UE认证信息,该第一UE认证信息包括密钥和用户标识符,其中,该第一UE认证信息被网络设备携带在通知消息中发送给被该用户设备授权的第二UE;
处理器41,还用于根据该密钥对明文进行数据处理得到第一输出值。
发送器42,用于发送广播消息,该广播消息中包括该第一输出值和索引值,以使该第二UE根据该广播消息中的该索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该用户设备。
需要说明的是,本实施例中不限制第二UE的数量,可以是网络设备确定的与该用户设备距离较近的UE;本实施例中对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
本发明实施例提供的用户设备用于执行本发明实施例一提供的设备验证方法,具备相应的实体装置,其实现原理和技术效果类似,此处不再赘述。
进一步地,本实施例中的处理器41,具体用于向网络设备发送注册请求消息;从而接收网络设备发送的注册响应消息,该注册响应消息中包括该第一UE认证信息。
可选地,本实施例中第一UE认证信息的索引值也可以为该用户设备从网络设备中直接获取的,即包含在该第一UE认证信息中的,相应地,网络设备在给第二UE发送的该第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该处理器41,还用于在网络设备获取第一UE认证信息之后,根据该第一UE认证信息计算得到该索引值;相应地,接收到第一UE认证信息的第二UE也可以根据接收到的第一UE认证信息计算得到该索引值,并且该用户设备与第二UE计算得到的索引值是相同的。
本发明实施例提供的用户设备用于执行本发明实施例二提供的设备验证方法,具备相应的实体装置,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为该用户设备和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证该用户设备和第二UE在数据处理时采用相同的新鲜值。
实施例十
图11为本发明实施例十所提供的一种网络设备的结构示意图。如图11所示,本实施例提供的网络设备,具体包括:接收器51和发送器52。
其中,接收器51,用于接收第一用户设备UE发送的注册请求消息;
发送器52,用于向该第一UE返回包括第一UE认证信息的注册响应消息,以使该第一UE根据该密钥对明文进行数据处理得到第一输出值,并将该第一输出值和索引值通过广播消息发送出去,其中,该第一UE认证信息包括密钥和用户标识符;
该发送器52,还用于向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,使得该第二UE在接收到该广播消息后,根据该广播消息中的索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该第一UE。
需要说明的是,本实施例中不限制第二UE的数量,可以是网络设备确定的与第一UE距离较近的UE;本实施例中对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
本发明实施例提供的网络设备用于执行本发明实施例三提供的设备验证方法,具备相应的实体装置,其实现原理和技术效果类似,此处不再赘述。
可选地,本实施例中索引值可以包括在网络设备向第一UE返回的第一UE认证信息中,相应地,第二UE在接收到该第一UE认证信息时直接获取该索引值;在本实施例的另一种实现方式中,索引值也可以是该第一UE根据第一UE认证信息计算得到的;则该发送器52,用于向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,使得该第二UE在接收到该广播消息后,根据该广播消息中的索引值确定该第一UE认证信息,具体包括:向得到该第一UE授权的第二UE发送包括该第一UE认证信息的通知消息,以使该第二UE根据该第一UE认证信息计算出该索引值,从而使得该第二UE在接收到该广播消息后,根据该广播消息中的索引值确定该第一UE认证信息。
需要说明的是,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为第一UE和第二UE获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证第一UE和第二UE在数据处理时采用相同的新鲜值。
实施例十一
图12为本发明实施例十一所提供的一种用户设备的结构示意图。如图12所示,本实施例提供的用户设备,具体包括:接收器61和处理器62。
其中,接收器61,用于接收网络设备发送的包括第一UE认证信息的通知消息,其中该第一UE认证信息包括密钥和用户标识符;
该接收器61,还用于接收该第一UE发送的广播消息,该广播消息中包括第一UE根据该密钥对明文进行数据处理得到第一输出值以及索引值;
处理器62,用于根据该接收器61接收的广播消息中的索引值确定该第一UE认证信息,并根据该密钥对该明文进行数据处理得到第二输出值,进而通过比较该第一输出值和该第二输出值来发现该第一UE。
需要说明的是,本实施例中不限制该用户设备的数量,可以是网络设备确定的与第一UE距离较近的UE;本实施例中对该明文的数据处理方式可以包括加密处理或hash函数转换的方式。
本发明实施例提供的用户设备用于执行本发明实施例四提供的设备验证方法,具备相应的实体装置,其实现原理和技术效果类似,此处不再赘述。
可选地,本实施例中索引值可以为网络设备为该第一UE发送第一UE认证信息时直接包括在该第一UE认证信息中的,相应地,网络设备给该用户设备发送的第一UE认证信息中也包括该索引值;在本实施例的另一种实现方式中,该广播消息中的索引值也可以是第一UE根据获取的第一UE认证信息计算得到,相应地,该用户设备的处理器62,还用于在接收器61接收网络设备发送的包括第一UE认证信息的通知消息之后,根据该第一UE认证信息计算得到该索引值。
需要说明的是,本实施例中的明文通常可以为新鲜值或该新鲜值与第一UE认证信息中的用户标识符,该新鲜值具体为第一UE和用户设备获取的按照一定规律变化的相同数值,例如可以为从基站获得的系统时钟,在具体实现时,虽然时钟是变化的,但是在该时钟作为明文被加密时可以取该时钟的整数位以保证第一UE和用户设备在数据处理时采用相同的新鲜值。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (26)

1.一种设备验证方法,其特征在于,包括:
第一用户设备UE从网络设备获取第一UE认证信息,所述第一UE认证信息包括密钥和用户标识符,其中,所述第一UE认证信息被所述网络设备携带在通知消息中发送给被所述第一UE授权的第二UE;
所述第一UE根据所述密钥对明文进行数据处理得到第一输出值;
所述第一UE发送广播消息,所述广播消息中包括所述第一输出值和索引值,以使所述第二UE根据所述广播消息中的所述索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
2.根据权利要求1所述的方法,其特征在于,所述索引值包括在所述第一UE认证信息中。
3.根据权利要求1所述的方法,其特征在于,所述第一用户设备UE从网络设备获取第一UE认证信息之后,还包括:所述第一UE根据所述第一UE认证信息计算得到所述索引值。
4.根据权利要求1所述的方法,其特征在于,所述第一用户设备UE从网络设备获取第一UE认证信息,包括:
所述第一UE向所述网络设备发送注册请求消息;
所述第一UE接收所述网络设备发送的注册响应消息,所述注册响应消息中包括所述第一UE认证信息。
5.根据权利要求1~4中任一所述的方法,其特征在于,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
6.一种设备验证方法,其特征在于,包括:
网络设备接收第一用户设备UE发送的注册请求消息;
所述网络设备向所述第一UE返回包括第一UE认证信息的注册响应消息,以使所述第一UE根据所述密钥对明文进行数据处理得到第一输出值,并将所述第一输出值和索引值通过广播消息发送出去,其中,所述第一UE认证信息包括密钥和用户标识符;
所述网络设备向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
7.根据权利要求6所述的方法,其特征在于,所述索引值包括在所述第一UE认证信息中。
8.根据权利要求6所述的方法,其特征在于,所述索引值是所述第一UE根据所述第一UE认证信息计算得到的;
则所述网络设备向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,包括:
所述网络设备向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,以使所述第二UE根据所述第一UE认证信息计算出所述索引值,从而使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息。
9.根据权利要求6~8中任一所述的方法,其特征在于,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
10.一种设备验证方法,其特征在于,包括:
第二用户设备UE接收网络设备发送的包括第一UE认证信息的通知消息,其中所述第一UE认证信息包括密钥和用户标识符;
所述第二UE接收所述第一UE发送的广播消息,所述广播消息中包括第一UE根据所述密钥对明文进行数据处理得到第一输出值以及索引值;
所述第二UE根据所述广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
11.根据权利要求10所述的方法,其特征在于,所述第一UE认证信息还包括所述索引值。
12.根据权利要求10所述的方法,其特征在于,所述广播消息中的索引值为所述第一UE根据所述第一UE认证信息计算得到的;则所述第二用户设备UE接收网络设备发送的包括第一UE认证信息的通知消息之后,还包括:
所述第二UE根据所述第一UE认证信息计算得到所述索引值。
13.根据权利要求10~12中任一所述的方法,其特征在于,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
14.一种用户设备,其特征在于,包括:
获取模块,用于从网络设备获取第一UE认证信息,所述第一UE认证信息包括密钥和用户标识符,其中,所述第一UE认证信息被所述网络设备携带在通知消息中发送给被用户设备授权的第二UE;
处理模块,用于根据所述获取模块获取的密钥对明文进行数据处理得到第一输出值;
发送模块,用于发送广播消息,所述广播消息中包括所述第一输出值和索引值,以使所述第二UE根据所述广播消息中的所述索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述用户设备。
15.根据权利要求14所述的设备,其特征在于,所述索引值包括在所述第一UE认证信息中。
16.根据权利要求14所述的设备,其特征在于,还包括:计算模块,用于在所述获取模块从网络设备获取第一UE认证信息之后,根据所述第一UE认证信息计算得到所述索引值。
17.根据权利要求14所述的设备,其特征在于,所述获取模块,包括:
发送单元,用于向所述网络设备发送注册请求消息;
接收单元,用于接收所述网络设备发送的注册响应消息,所述注册响应消息中包括所述第一UE认证信息。
18.根据权利要求14~17中任一所述的设备,其特征在于,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
19.一种网络设备,其特征在于,包括:
接收模块,用于接收第一用户设备UE发送的注册请求消息;
发送模块,用于向所述第一UE返回包括第一UE认证信息的注册响应消息,以使所述第一UE根据所述密钥对明文进行数据处理得到第一输出值,并将所述第一输出值和索引值通过广播消息发送出去,其中,所述第一UE认证信息包括密钥和用户标识符;
所述发送模块,还用于向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
20.根据权利要求19所述的设备,其特征在于,所述索引值包括在所述第一UE认证信息中。
21.根据权利要求19所述的设备,其特征在于,所述索引值是所述第一UE根据所述第一UE认证信息计算得到的;
则所述发送模块,用于向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息,具体包括:
向得到所述第一UE授权的第二UE发送包括所述第一UE认证信息的通知消息,以使所述第二UE根据所述第一UE认证信息计算出所述索引值,从而使得所述第二UE在接收到所述广播消息后,根据所述广播消息中的索引值确定所述第一UE认证信息。
22.根据权利要求19~21中任一所述的设备,其特征在于,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
23.一种用户设备,其特征在于,包括:
接收模块,用于接收网络设备发送的包括第一UE认证信息的通知消息,其中所述第一UE认证信息包括密钥和用户标识符;
所述接收模块,还用于接收所述第一UE发送的广播消息,所述广播消息中包括第一UE根据所述密钥对明文进行数据处理得到第一输出值以及索引值;
处理模块,用于根据所述接收模块接收的广播消息中的索引值确定所述第一UE认证信息,并根据所述密钥对所述明文进行数据处理得到第二输出值,进而通过比较所述第一输出值和所述第二输出值来发现所述第一UE。
24.根据权利要求23所述的设备,其特征在于,所述第一UE认证信息还包括所述索引值。
25.根据权利要求23所述的设备,其特征在于,所述广播消息中的索引值为所述第一UE根据所述第一UE认证信息计算得到的;
则所述设备还包括:计算模块,用于在所述接收模块接收网络设备发送的包括第一UE认证信息的通知消息之后,根据所述第一UE认证信息计算得到所述索引值。
26.根据权利要求23~25中任一所述的设备,其特征在于,所述明文包括新鲜值或所述新鲜值与所述第一UE认证信息中的用户标识符。
CN201310754239.3A 2013-12-31 2013-12-31 设备验证方法、用户设备及网络设备 Active CN104754576B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310754239.3A CN104754576B (zh) 2013-12-31 2013-12-31 设备验证方法、用户设备及网络设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310754239.3A CN104754576B (zh) 2013-12-31 2013-12-31 设备验证方法、用户设备及网络设备

Publications (2)

Publication Number Publication Date
CN104754576A true CN104754576A (zh) 2015-07-01
CN104754576B CN104754576B (zh) 2018-07-31

Family

ID=53593544

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310754239.3A Active CN104754576B (zh) 2013-12-31 2013-12-31 设备验证方法、用户设备及网络设备

Country Status (1)

Country Link
CN (1) CN104754576B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453246A (zh) * 2016-08-30 2017-02-22 北京小米移动软件有限公司 设备身份信息分配方法、装置以及系统
CN107005913A (zh) * 2015-07-13 2017-08-01 华为技术有限公司 邻近服务通信的验证方法、用户设备及邻近服务功能实体
CN112003815A (zh) * 2019-05-27 2020-11-27 阿里巴巴集团控股有限公司 通信系统、方法和装置、定位系统、计算设备和存储介质
CN113412655A (zh) * 2019-06-21 2021-09-17 Oppo广东移动通信有限公司 一种信息传输方法及装置、网络设备、用户设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100316217A1 (en) * 2009-06-10 2010-12-16 Infineon Technologies Ag Generating a session key for authentication and secure data transfer
US20110307694A1 (en) * 2010-06-10 2011-12-15 Ioannis Broustis Secure Registration of Group of Clients Using Single Registration Procedure
CN102843233A (zh) * 2011-06-21 2012-12-26 中兴通讯股份有限公司 一种机器到机器通信中组认证的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100316217A1 (en) * 2009-06-10 2010-12-16 Infineon Technologies Ag Generating a session key for authentication and secure data transfer
US20110307694A1 (en) * 2010-06-10 2011-12-15 Ioannis Broustis Secure Registration of Group of Clients Using Single Registration Procedure
CN102843233A (zh) * 2011-06-21 2012-12-26 中兴通讯股份有限公司 一种机器到机器通信中组认证的方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP: "《3GPP TR 23.703 V0.4.1》", 30 June 2013 *
BROADCOM CORPORATION: "《SA WG2 Meeting #100 S2-134229》", 15 November 2013 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107005913A (zh) * 2015-07-13 2017-08-01 华为技术有限公司 邻近服务通信的验证方法、用户设备及邻近服务功能实体
CN107005913B (zh) * 2015-07-13 2019-11-29 华为技术有限公司 邻近服务通信的验证方法、用户设备及邻近服务功能实体
CN106453246A (zh) * 2016-08-30 2017-02-22 北京小米移动软件有限公司 设备身份信息分配方法、装置以及系统
CN106453246B (zh) * 2016-08-30 2018-06-08 北京小米移动软件有限公司 设备身份信息分配方法、装置以及系统
CN112003815A (zh) * 2019-05-27 2020-11-27 阿里巴巴集团控股有限公司 通信系统、方法和装置、定位系统、计算设备和存储介质
CN113412655A (zh) * 2019-06-21 2021-09-17 Oppo广东移动通信有限公司 一种信息传输方法及装置、网络设备、用户设备

Also Published As

Publication number Publication date
CN104754576B (zh) 2018-07-31

Similar Documents

Publication Publication Date Title
US8769285B2 (en) Methods and apparatus for deriving, communicating and/or verifying ownership of expressions
CN108259164B (zh) 一种物联网设备的身份认证方法及设备
US20150079941A1 (en) Secure Paging
CN105144655A (zh) 3gpp lte中的通信移动设备之间的接近发现、认证和链路建立
Ansari et al. Chaos‐based privacy preserving vehicle safety protocol for 5G Connected Autonomous Vehicle networks
CN107005844B (zh) 一种通信方法及相关装置
US20180034635A1 (en) GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System
US10602356B2 (en) Methods and apparatus for end device discovering another end device
CN104394533A (zh) 无线保真WiFi连接方法、服务器及终端
CN105072617A (zh) 一种基于wifi接入的认证方法
CN104754576A (zh) 设备验证方法、用户设备及网络设备
EP2912799A1 (en) Methods and apparatus for data security in mobile ad hoc networks
CN113037501A (zh) IoT中基于区块链技术及零知识证明的位置验证系统
WO2020112126A1 (en) Device validation using tokens
CN107005913A (zh) 邻近服务通信的验证方法、用户设备及邻近服务功能实体
EP3169031B1 (en) Method, device and platform for sharing wireless local area network
CN109152046B (zh) 一种上行资源配置方法和相关设备
CN103250452A (zh) 邻近身份指示码的发送方法、用户设备及基站
CN109327475B (zh) 一种多层身份认证方法、装置、设备及存储介质
US20220400366A1 (en) Method and device for providing uwb service
CN102143494A (zh) 数据上报方法、数据上报装置和m2m设备
US20180131676A1 (en) Code encryption
CN111343611B (zh) 一种信息同步的方法和装置
Kim et al. A scalable and privacy-preserving child-care and safety service in a ubiquitous computing environment
Jeon et al. A crowd-assisted architecture for securing BLE beacon-based IoT infrastructure

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant