CN105025478A - D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 - Google Patents
D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 Download PDFInfo
- Publication number
- CN105025478A CN105025478A CN201410182882.8A CN201410182882A CN105025478A CN 105025478 A CN105025478 A CN 105025478A CN 201410182882 A CN201410182882 A CN 201410182882A CN 105025478 A CN105025478 A CN 105025478A
- Authority
- CN
- China
- Prior art keywords
- security
- terminal
- response message
- algorithm
- management function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种D2D通信安全配置方法,ProSe密钥管理功能实体、终端及系统;所述方法包括:获取指示终端的安全能力的第一信息;及依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
Description
技术领域
本发明涉及通信领域的安全技术,尤其涉及一种D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统。
背景技术
随着通信技术的发展,在第三代通信系统(3GPP,3rd Generation PartnershipProject)的基础上,进一步提出了演进分组系统(EPS,Evolved Packet System)。EPS包括无线接入网(E-UTRAN,Evolved Universal Terrestrial Radio AccessNetwork)和移动核心网(EPC,Evolved Packet Core Networking)。
EPC包含了归属用户服务器(HSS,Home Subscriber Server)、移动性管理实体(MME,Mobility Management Entity)、服务GPRS支持节点(SGSN,Serving GPRS Support Node)、策略计费规则功能(PCRF,Policy and ChargingRule Function)、服务网关(S-GW,Serving Gateway)、分组数据网关(P-GW,PDN Gateway)和分组数据网络(PDN,Packet Data Network)。
通常两个设备通信是以EPS通信系统为中间节点;通信的两个终端均接入EPS系统,通过EPS的中继转发实现通信;随着通信技术的发展,出现了邻近两个终端直接通信的D2D业务(D2D,Device to Device),D2D业务还被称为基于距离的业务(ProSe,Proximity-based Services)。在D2D业务中,当两个UE位置比较接近的时候可以直接通信,设备传输的数据可不再绕回到核心网,而进行直接传输。D2D通信一方面可以减少数据路由的迂回,另一方面也能够减少网络数据负荷。
图1所示为一种用于D2D业务的通信系统的结构示意图,包括进行D2D通信的两个终端,分别是UE1及UE2,且两个终端都只能通过E-UTRAN接入EPC,两个终端可以都属于一个公用陆地移动网络(PLMN,Public Land MobileNetwork)或者分属于两个PLMN。一个终端所对应的PLMN可以分为归属的PLMN(HPLMN,Home PLMN)和当该终端从其他的PLMN接入时的拜访的PLMN(VPLMN,Visited PLMN),对于终端当前所处区域的PLMN可以统称为本地的公用陆地移动网络(LPLMN,Local PLMN),无论该本地的PLMN是HPLMN还是VPLMN。为了实现D2D发现业务,在运营商侧不仅仅部署了EPS,还包括部署D2D发现业务的ProSe应用服务器(ProSe Application Server),ProSe应用服务器可以由运营D2D业务的业务提供商提供,也可以由运营EPS的网络运营商提供,在不同PLMN还部署了ProSe密钥管理功能实体(ProSeFunction)。对于ProSe业务的两个终端,其中一个终端从ProSe密钥管理功能实体获取业务标识后,再向ProSe密钥管理功能实体获取能够广播的业务码,这个终端被成为广播终端(Announcing终端,简称A-终端),而另外一个终端则接受A-终端的广播,然后与该终端的ProSe密钥管理功能实体进行匹配,如果匹配成功后,则和A-终端进行ProSe业务。则这个非广播终端成为监听终端(Monitoring终端,简称M-终端)。
在图1中,UE1位于其归属的HPLMN中,UE2暂时漫游位于其拜访的VPLMN中。终端提供相关的ProSe应用(APP,Application),与ProSe应用服务器的连接接口为PC1接口,通过PC1获取相关认证功能。
终端与终端之间的接口为PC5,用于终端之间的相互直接发现和通信;
终端与ProSe密钥管理功能实体之间的接口是PC3,用于通过网络的发现认证。
ProSe密钥管理功能实体与现有EPC之间的接口是PC4,包含与P-GW的用户面接口和与HSS的控制面接口,用于D2D发现业务发现认证。
ProSe密钥管理功能实体与ProSe应用服务器的接口为PC2,用于D2D发现业务的应用实现。
ProSe密钥管理功能实体与ProSe密钥管理功能实体分别有PC6和PC7接口,分别用于终端在漫游和非漫游的两种情况,终端漫游时为PC7接口,终端非漫游时是为PC6接口,这两个接口用于终端进行D2D发现业务时执行两个ProSe密钥管理功能实体之间的信息交互。
在具体进行D2D通信时,终端需要从ProSe密钥管理功能实体获取一些通信相关的信息,并依据这些信息进行通信,但是有时设备已经接收到了ProSe发送的进行D2D通信的相关信息,但是设备还是无法正常进行D2D通信,导致D2D通信失败,尤其是在D2D一对多的通信过程中,这种现象更为明显。
发明内容
有鉴于此,本发明期望提供一种新的D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统,以降低设备在接收到ProSe信息后D2D通信失败的概率。
为达到上述目的,本发明的技术方案是这样实现的:
本发明第一方面提供一种D2D通信安全配置方法,,所述方法包括:
获取指示终端的安全能力的第一信息;
依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
优选地,所述第一信息包括终端支持的安全算法集。
优选地,
所述依据所述第一信息确定安全配置响应消息的内容包括:
判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
优选地,所述方法包括:
所述依据所述第一信息确定是否向终端反馈安全配置响应消息包括:
判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,不向终端反馈的所述安全配置响应消息。
优选地,所述群组安全算法包括群组加密算法及群组完整性算法。
本发明第二方面提供一种D2D通信安全配置方法,所述方法包括:
向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;所述第一信息用于所述ProSe密钥管理功能实体确定是否向终端反馈安全配置响应消息或向终端反馈的安全配置响应消息的内容提供依据;
接收所述ProSe密钥管理功能实体基于所述第一信息反馈的安全配置响应消息。
进一步地,
所述第一信息包括终端支持的安全算法集。
进一步地,
当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括所述群组安全算法;
当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括安全配置失败指示。
进一步地,所述方法还包括:
在指定时间内接收包括群组安全算法的安全配置响应消息;
若在所述指定时间内没有接收到所述安全配置响应消息,确定安全配置失败。
进一步地,所述群组安全算法包括群组加密算法及群组完整性算法。
进一步地,
所述向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息为:
向ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
本发明第三方面提供一种D2D通信安全配置方法,所述方法包括:
ProSe密钥管理功能实体获取指示终端的安全能力的第一信息;
所述ProSe密钥管理功能实体依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容;
所述ProSe密钥管理功能实体发送已确定的安全配置响应消息;
终端接收所述安全配置响应消息。
优选地,所述方法包括:
终端向所述ProSe密钥管理功能实体发送第一信息;
所述ProSe密钥管理功能实体获取指示终端的安全能力的第一信息为:
所述ProSe密钥管理功能实体接收所述终端发送的第一信息。
优选地,所述终端向所述ProSe密钥管理功能实体发送第一信息为:
终端向所述ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
优选地,所述第一信息包括终端支持的安全算法集。
优选地,
所述ProSe密钥管理功能实体依据所述第一信息确定向终端反馈安全配置响应消息的内容包括:
所述ProSe密钥管理功能实体判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,所述ProSe密钥管理功能实体确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
优选地,
所述ProSe密钥管理功能实体依据所述第一信息确定是否向终端反馈安全配置响应消息包括:
所述ProSe密钥管理功能实体判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息,且所述安全配置响应包括所述群组安全算法;
所述ProSe密钥管理功能实体当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定不向终端反馈的所述安全配置响应消息。
优选地,
当所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息时,所述ProSe密钥管理功能实体发送已确定的安全配置响应消息为:所述ProSe密钥管理功能实体在指定时间内向终端反馈所述安全配置响应消息;
所述终端接收所述安全配置响应消息为:所述终端在所述指定时间内接收安全配置响应消息;若在所述指定时间内没有接收到所述安全配置响应消息,所述终端确定安全配置失败。
本发明第四方面提供一种ProSe密钥管理功能实体,所述ProSe密钥管理功能实体包括:
获取单元,用于获取指示终端的安全能力的第一信息;
第一确定单元,用于依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
优选地,所述第一信息包括终端支持的安全算法集。
优选地,所述第一确定单元包括:
判断模块,用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
第一确定模块,用于当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,向终端反馈的所述安全配置响应消息包括安全配置失败指示。
优选地,
所述第一确定单元包括:
判断模块,用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
第二确定模块,用于当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,不向终端反馈的所述安全配置响应消息。
优选地,所述群组安全算法包括群组加密算法及群组完整性算法。
优选地,
所述获取单元,具体用于接收终端发送的安全配置请求消息;
所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
本发明第五方面提供一种终端,所述终端包括:
发送单元,用于向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;所述第一信息用于所述ProSe密钥管理功能实体确定是否向终端反馈安全配置响应消息或向终端反馈的安全配置响应消息的内容提供依据;
接收单元,用于接收所述ProSe密钥管理功能实体基于所述第一信息反馈的安全配置响应消息。
进一步地,
所述第一信息包括终端支持的安全算法集。
进一步地,
当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括所述群组安全算法;
当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括安全配置失败指示。
进一步地,
所述接收单元,还用于在指定时间内接收包括群组安全算法的安全配置响应消息;
所述终端还包括第二确定单元;
所述第二确定单元,用于在所述指定时间内没有接收到所述安全配置响应消息时,确定安全配置失败。
进一步地,所述群组安全算法包括群组加密算法及群组完整性算法。
进一步地,
所述发送单元,具体用于向ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
本发明第六方面提供一种通信系统,所述系统包括:
ProSe密钥管理功能实体,用于获取指示终端的安全能力的第一信息;依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容;及发送已确定的安全配置响应消息;
终端,用于接收所述安全配置响应消息。
优选地,所述系统包括:
终端,还用于向所述ProSe密钥管理功能实体发送第一信息;
所述ProSe密钥管理功能实体,具体用于接收所述终端发送的第一信息。
优选地,所述终端,具体用于向所述ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
优选地,
所述第一信息包括终端支持的安全算法集。
进一步地,
所述ProSe密钥管理功能实体,具体用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
优选地,
所述ProSe密钥管理功能实体,具体用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈所述安全配置响应消息,且所述安全配置响应包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定不向终端反馈的所述安全配置响应消息。
优选地,
当所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息时,所述ProSe密钥管理功能实体,具体用于在指定时间内向终端反馈所述安全配置响应消息;
所述终端,具体用于所述终端在所述指定时间内接收安全配置响应消息;及在所述指定时间内没有接收到所述安全配置响应消息时,确定安全配置失败。本发明实施例所述的D2D通信安全配置方法、ProSe密钥管理功能实体、终端及通信系统,终端主动向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;从而ProSe密钥管理功能实体可以根据所述第一信息判断终端是否支持其请求的D2D通信,进而确定是否有必要发送安全配置响应消息或安全配置响应消息的内容;当终端不支持请求的D2D通信时,ProSe密钥管理功能实体不发送安全配置响应消息或安全配置响应消息中仅包括安全配置失败指示相对于包括由群组安全密钥的安全配置消息信息量小的特点;从而减少了当终端不支持所请求的D2D通信时安全配置响应消息的发送,首先减少了ProSe密钥管理功能实体和终端交互的数据量、延长了终端待机时间;同时避免了群组安全密钥等发送,从而减少了安全泄密的来源,从而提高了通信安全性。
附图说明
图1为一种D2D通信的通信系统结构示意图;
图2为本发明实施例所述D2D通信安全配置方法的流程示意图之一;
图3为本发明实施例所述获取第一信息的流程示意图;
图4为本发明实施例所述获取第一信息的流程示意图之二;
图5为本发明实施例所述获取第一信息的流程示意图之三;
图6为本发明实施例所述ProSe密钥管理功能实体的结构示意图;
图7为本发明实施例所述终端的结构示意图;
图8为本发明实施例所述的通信系统的结构示意图;
图9为本发明示例所述D2D通信安全配置方法的流程示意图;
图10为本发明示例所述ProSe确定终端是否支持群组权算法的流程示意图。
具体实施方式
以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。
实施例一:
如图2所示,本实施例提供一种D2D通信安全配置方法,所述方法包括:
步骤S110:获取指示终端的安全能力的第一信息;
步骤S120:依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
执行所述步骤S110至所述步骤S120的执行主体为包含有ProSe密钥管理功能实体的装置;所装置为设置在网络侧的网络设备中,具体如ProSe应用服务器。在具体的执行过程中,在所述步骤S130之后,所述方法还包括向终端发送响应消息的步骤。
其中,所述步骤S110获取第一信息的方法可以有很多,例如通过查询记录有所述终端的安全能力的数据库等方法;在例如直接从终端接收所述第一信息;这样通过与终端进行一次信息交互,获取终端的安全能力实现简便快捷。此外,本实施例提供了一种优选方法;如图3所示,所述步骤S110可包括:
步骤S111:接收终端发送的安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息;
步骤S112:提取所述安全配置请求消息中的第一信息。
将所述第一信息承载在安全配置请求消息中,通过安全配置请求消息一并接收第一信息,从而减少了终端与基站之间的信息交互次数,降低了终端的功耗开销。
在本实施例中ProSe密钥管理功能实体接收到的安全配置请求消息中,承载了指示终端的安全能力的第一信息;ProSe密钥管理功能实体根据所述第一信息可以判断终端是否具有支持其请求业务的安全能力,进而确定是否向终端发送安全配置响应消息或安全配置消息的内容;通过安全配置响应消息是否发送或发送的内容,告知终端其能否进行D2D通信,同时避免了安全配置信息中群组安全算法等重要信息向不能进行对应D2D通信的终端发送,导致信息安全问题;从而也降低了终端在接收到用于D2D通信的信息时,因终端自身能力的问题而无法通信的概率。
在所述步骤S110中,终端支持的安全能力可以用多种参数来表示,具体的在本实施例中所述第一信息优选包括终端支持的安全算法集。ProSe密钥管理功能实体接收第一消息获取了终端支持的安全算法集;若当前终端请求的通信的D2D业务将要用到的安全算法包括在所述安全算法集中,则说明此时终端的安全能力支持终端所请求或所预备进行的D2D通信,故此时ProSe密钥管理功能实体可以向终端发送群组安全算法的安全配置响应消息;否则不发送信息或直接发送不高考所述群组安全算法但是包括安全配置失败指示的安全配置响应消息。
所述步骤S120的具体执行包括两种方案:
第一种方案:
判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;当所述群组安全算法不包括在所述终端支持的安全算法中时,确定向终端反馈的所述安全配置响应消息包括安全配置失败指示;
第二种方案:
判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;当所述群组安全算法不包括在所述终端支持的安全算法中时,不向终端反馈的所述安全配置响应消息。
在具体的执行过程中,当所述终端支持的安全算法集中包括所述群组安全算法时,所述安全配置响应消息还可包括群组密钥、群组密钥过期时间、终端的群组标识以及终端在收发数据时可能用于保护数据的安全算法等。
进一步地,所述群组安全算法包括群组加密算法及群组完整性算法。
所述群组加密算法可包括基于SNOW3G的加密算法、基于AES的加密算法以及ZUC的加密算法。
所述群组完整性算法可包括基于SNOW3G的完整性算法、基于AES的完整性算法以及基于ZUC的完整性算法。
本发明实施例所述的D2D通信安全配置方法,尤其适用于一对多的D2D通信中(一个终端同时与多个终端进行D2D通信),能避免终端不支持D2D一对多所要求的群组安全算法时,依然接收到ProSe密钥管理功能实体发送的包括群组安全算法的安全配置响应消息,避免了减少了ProSe密钥管理功能实体和终端之间不必要的数据传输,避免了群组安全算法不必要传输导致的安全问题;同时降低了终端接收了包括群组安全算法的安全配置响应消息后无法进行D2D通信的概率。
实施例二:
如图4所示,本实施例提供一种D2D通信安全配置方法,所述方法包括:
步骤S210:向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;所述第一信息用于所述ProSe密钥管理功能实体确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容提供依据;
步骤S220:接收所述ProSe密钥管理功能实体基于所述第一信息反馈的安全配置响应消息。
本实施中终端主动向ProSe密钥管理功能实体发送指示其安全能力的第一信息,从而方便ProSe密钥管理功能实体依据所述第一信息确定是否向终端发送安全配置响应信息或安全配置响应信息的内容,从而降低了终端接收了包括群组安全算法的安全配置响应消息后无法进行D2D通信的概率,同样的本实施例所述的D2D通信安全配置方法,适用于各种D2D通信中,尤其适用于一对多的D2D通信中。
在本实施例中所述步骤S210向ProSe密钥管理功能实体发送第一信息的方法有多种,可以设置一个专门的消息来承载所述第一信息,在本实施例中优选通过安全配置请求消息来承载所述第一信息,通过向ProSe密钥管理功能实体发送安全配置请求消息来发送所述第一信息,从而简便的实现了与现有技术的兼容,相对于设置专门的信息来实现第一信息的发送,减少了终端与ProSe密钥管理功能实体之间的信息交互次数,从而降低了终端的功耗。
在具体的实现过程中,所述第一信息优选为包括终端支持的安全算法集。
终端在发送完所述第一信息后,根据终端与ProSe密钥管理功能实体之间预先约定的通信协议,终端至少有两中方式知道自己是否能支持所请求或所预备的D2D通信;分别如下:
第一种:
当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括所述群组安全算法;
当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括安全配置失败指示。
在这种方式中,无论指终支持的安全配置算法是否包括所述ProSe密钥管理功能实体待发送的群组安全算法都将接收到所述ProSe密钥管理功能实体发送的安全配置响应消息,尽是安全配置响应消息的内容不同。通常当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息不包括群组安全算法等信息,而可能仅包括安全配置失败指示。
第二种:
终端将在发送完所述第一信息后,在指定时间内接收包括群组安全算法的安全配置响应消息;
若在所述指定时间内没有接收到所述安全配置响应消息,确定安全配置失败。
所述指定时间为终端与所述ProSe密钥管理功能实体之间预先约定好的,当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,终端将在指定时间内接收包括所述群组安全算法的所述安全配置响应消息;当未在指定时间内接收到所述安全配安置响应消息,则表示安全配置失败,终端的安全能力不满足。在这种方式中,终端通过在指定时间是否接收安全配置响应消息来判断其是否能进行D2D通信,从而也避免了在接收到安全配置响应消息时,因自身的安全能力不能进行D2D通信的问题。
在所述步骤S220中所接收的安全配置响应消息包括所述ProSe密钥管理功能实体执行两种方式时所发送的权配置信息,具体包括群组安全算法的安全配置响应消息或不包括群组安全算法而包括安全配置失败指示的安全配置响应消息。
进一步地,所述群组安全算法包括群组加密算法及群组完整性算法。具体的所述群组加密算法及群组完整性算法的构成及功能可以参照实施例一中的相应部分。
实施例三:
如图5所示,本实施例提供一种D2D通信安全配置方法,所述方法包括:
步骤S310:ProSe密钥管理功能实体获取指示终端的安全能力的第一信息;
步骤S320:所述ProSe密钥管理功能实体依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容;
步骤S330:所述ProSe密钥管理功能实体发送已确定的安全配置响应消息;
步骤S340:终端接收所述安全配置响应消息。
其中,在本实施例中所述ProSe密钥管理功能实体执行的步骤的具体执行方式可以参见实施例一中所述的D2D通信安全配置方法;具体的如所述步骤S310可以通过查询或从终端接收的方法获取所述第一信息。在所述步骤S340中所述接收的安全配置响应消息可包括携带有群组安全算法的安全配置响应消息,也可是携带有安全配置失败指示的安全配置响应消息;所述安全配置响应消息的具体构成同样的可以参见实施例一中的对应部分。
综合上述,本实施例是基于实施例一及实施例二提供一种基于双侧交互的D2D通信安全配置方法,同样的避免了减少了ProSe密钥管理功能实体和终端之间不必要的数据传输,避免了群组安全算法不必要传输导致的安全问题;同时降低了终端接收了包括群组安全算法的安全配置响应消息后无法进行D2D通信的概率。
进一步地,述方法包括:
终端向所述ProSe密钥管理功能实体发送第一信息;其中,所述第一信息可优选包括终端支持的安全算法集。
所述步骤S310为:
所述ProSe密钥管理功能实体接收所述终端发送的第一信息。
本实施例通过终端与ProSe密钥管理功能实体的信息交互,使所述ProSe密钥管理功能实体获取第一信息,具有实现快捷简便的优点。
所述终端向所述ProSe密钥管理功能实体发送第一信息为:终端向所述ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
在本实施例中将所述第一信息橙子在米业请求消息中发送具有与现有技术兼容性强,减少了终端与ProSe密钥管理功能实体信息交互次数及降低了终端功耗的优点。
具体的所述步骤S320有多种方式,以下提供两种优选方式:
优选方式一:
步骤S320:包括:
所述ProSe密钥管理功能实体判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,所述ProSe密钥管理功能实体确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定向终端反馈的所述安全配置响应消息包括安全配置失败指示;
所述方法还包括:
所述ProSe密钥管理功能实体向终端发送已确定的安全配置响应消息。
优选方式二:
步骤S320可包括:
所述ProSe密钥管理功能实体判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息,且所述安全配置响应包括所述群组安全算法;
所述ProSe密钥管理功能实体当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定不向终端反馈的所述安全配置响应消息。
采用优选方式一时,所述ProSe密钥管理功能实体通过安全配置响应消息的内容告知终端是否终端自身是否能支持D2D通信;采用优选方式二时,所述ProSe密钥管理功能实体通过在指定时间内是否发送安全配置响应消息来指示终端是否终端自身是否能支持D2D通信;在具体实现根据需要选择其中的一种来进行D2D安全配置。
当采用优选方式二时,当所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息时,所述ProSe密钥管理功能实体发送已确定的安全配置响应消息为:
所述ProSe密钥管理功能实体在指定时间内向终端反馈所述安全配置响应消息;
所述终端接收所述安全配置响应消息为:
所述终端在所述指定时间内接收安全配置响应消息;
若在所述指定时间内没有接收到所述安全配置响应消息,所述终端确定安全配置失败;若在所述指定时间内有接收到所述安全配置响应消息,所述终端确定安全配置成功,后续将根据安全配响应消息的内容进行D2D通信。
实施例四:
如图6所示,本实施例提供一种ProSe密钥管理功能实体,所述ProSe密钥管理功能实体包括:
获取单元110,用于获取指示终端的安全能力的第一信息;
第一确定单元120,用于依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
所述获取单元110的具体结构根据获取所述第一信息的方式的不同而不同;当所述获取单元110用于通过查询数据库来获取所述第一信息时,所述获取单元110的具体结构可包括处理器及与所述数据连接的通信接口或通信总线。当所述获取单元110通过接收终端发送的第一信息时,所述获取单元110包括与外设连接的通信接口,如接收天线;所述接收天线通过无线连接技术与终端无线连接。
所述第一确定单元120的具体结构,同样的可为处理器;所述处理器与存储介质连接,通过运行可执行指令确定是否向终端反馈安全配置响应消息或确定安全配置响应消息的内容。
所述处理器可为中央处理器、微处理器、单片机、数字信号处理器或可编程逻辑阵列等具有处理功能的电子元器件或电子元气件的组合。
本实施例所述的ProSe密钥管理功能实体具体单独对应一个物理装置,也可以与网络中的其他功能实体集成对应在一个物理装置上,具体如网络中的ProSe服务器等设备。
综合上述,本实施例所述的ProSe密钥管理功能实体为实施例一所述的D2D通信安全配置方法提供给了硬件支持,可用来实现方法实施例一中任意所述的技术方案,同样的具有减少了ProSe密钥管理功能实体和终端交互的数据量、延长了终端待机时间;同时具有避免了群组安全密钥等发送,从而减少了安全泄密的来源,从而提高了通信安全性等优点。
所述获取单元110所获取的第一信息优选可为终端支持的安全算法集。
所述第一确定单元120的结构有多种,以下提供两种优选结构:
所述第一确定单元包括:
判断模块,用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
第一确定模块,用于当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,向终端反馈的所述安全配置响应消息包括安全配置失败指示。
第二种:
所述第一确定单元包括:
判断模块,用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
第二确定模块,用于当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,不向终端反馈的所述安全配置响应消息。
所述获取单元110,具体用于接收终端发送的安全配置请求消息;
所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
当所述获取单元110通过接收所述安全配置请求消息获取所述第一信息时,所述获取单元110的具体结构可为接收天线,在本实施例中获取单元通过所述安全配置请求消息获取所述第一信息,具有ProSe密钥管理功能实体与终端之间信息交互次数少,降低了终端功耗的优点。
进一步地,所述群组安全算法包括群组加密算法及群组完整性算法。
实施例五:
如图7所示,本实施例提供一种终端,所述终端包括:
发送单元210,用于向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;所述第一信息用于所述ProSe密钥管理功能实体确定是否向终端反馈安全配置响应消息或向终端反馈的安全配置响应消息的内容提供依据;
接收单元220,用于接收所述ProSe密钥管理功能实体基于所述第一信息反馈的安全配置响应消息。
所述发送单元210的具体结构可包括发送天线或发送天线阵列。所述接收单元220的具体结构可包括接收天线或接收天线阵列
综合上述,本实施例所述的ProSe密钥管理功能实体为实施例二所述的D2D通信安全配置方法提供给了硬件支持,可用来实现方法实施例二中任意所述的技术方案,同样的具有减少了ProSe密钥管理功能实体和终端交互的数据量、延长了终端待机时间;同时具有避免了群组安全密钥等发送,从而减少了安全泄密的来源,从而提高了通信安全性等优点。
所述发送单元210所发送的第一信息可包括终端支持的安全算法集。
所述接收单元220根据终端与ProSe密钥管理功能实体之间的通信协议包括以下两种方式及结构来接收所述安全配置响应消息。
第一种:
当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括所述群组安全算法;
当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括安全配置失败指示。
此时,所述接收单元220仅用于接收所述安全配置响应消息,在具体的实现过程中,所述终端将更具所述配置安全响应消息的内容确定终端是否支持预备进行D2D通信的安全能力及是否进行D2D通信。
第二种:
所述接收单元220,还用于在指定时间内接收包括群组安全算法的安全配置响应消息;
所述终端还包括第二确定单元;
所述第二确定单元,用于在所述指定时间内没有接收到所述安全配置响应消息时,确定安全配置失败。
在本实施例中相对第一种方法终端还包括第二确定单元;所述第二确定单元具体的结构可包括计时器,用于对所述指定时间进行计时。
此外,所述发送单元210,具体用于向ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
在本实施例中所述发送单元210将第一信息携带中安全配置请求消息中发送,减少了交互的信息量,延迟了终端的待机时间。
在本实施例中,所述群组安全算法包括群组加密算法及群组完整性算法。
实施例六:
如图1所示及如图8所示,一种通信系统所述系统包括:
ProSe密钥管理功能实体310,用于获取指示终端的安全能力的第一信息;依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容;及发送已确定的安全配置响应消息;
终端320,用于接收所述安全配置响应消息。
所述ProSe密钥管理功能实体310可为位于EPS通信系统中的一个网络设备,具体如网络服务器等结构。所述终端320的具体可为手机或具有通信功能的平板等移动终端。
所述终端320与所述ProSe密钥管理功能实体310之间通过无线通信接口相连,具体可如图1中所述的PC3接口相连;本实施例所述的通信系统用于为实施例三中所述的D2D通信安全配置方法提供具体的硬件支持,可用于是吸纳实施三中任意所述的方法,同样的具有减少了ProSe密钥管理功能实体和终端交互的数据量、延长了终端待机时间;同时避免了群组安全密钥等发送,从而减少了安全泄密的来源,从而提高了通信安全性的有益效果。
在具体的实现过程中,所述第一信息的可包括多种信息,在本实施例中可优选包括终端支持的安全算法集。
进一步地,终端320还用于向所述ProSe密钥管理功能实体发送第一信息;
所述ProSe密钥管理功能实体具体用于接收所述终端发送的第一信息,来实现第一信息的获取。
终端320发送第一信息的方式有很多种,在本实施例中,所述终端320具体用于向所述ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息;这样可以减少终端向ProSe发送信息的次数。
所述ProSe密钥管理功能实体在接收到所述第一信息后,可以采用以下两种优选方式来告知终端是否具有相应的安全能力以及进行D2D通信(如一对多D2D通信)的群组安全算法等信息。
第一种:所述ProSe密钥管理功能实体,具体用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
第二种:
所述ProSe密钥管理功能实体,具体用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈所述安全配置响应消息,且所述安全配置响应包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定不向终端反馈的所述安全配置响应消息。
采用第二种方法时,所述ProSe密钥管理功能实体发送安全配置响应消息及终端接收安全配置响应消息,相对于第一种方法做一下调整:
当所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息时,所述ProSe密钥管理功能实体,具体用于在指定时间内向终端反馈所述安全配置响应消息;
所述终端,具体用于所述终端在所述指定时间内接收安全配置响应消息;及在所述指定时间内没有接收到所述安全配置响应消息时,确定安全配置失败。
在具体的实现过程中,具体选择以上哪种可以根据当前需要来进行,具体如当所述ProSe密钥管理功能实体负载过大,则可以选择第二种;若处于降低终端功耗的目的则可优选第一种。
以下结合实施例一至实施例六的任一实施例提供几个具体示例。
如图9所示,本示例所述D2D通信安全配置方法需要执行以下步骤:
步骤S301:为基于业务需要执行终端配置操作的步骤;所述终端配置操作包括:终端配置用于跟密钥管理功能实体通讯所需的私钥、相关的证书或根证书。如果终端无法配置,则使用通信识别卡(如SIM或USIM)上的密钥保护终端与密钥管理功能实体之间的接口。所述USIM为Universal SubscriberIdentity Module的缩写,全球用户识别卡。所述SIM卡是(Subscriber IdentityModule的缩写,为用户识别模块。
步骤S302:为ProSe功能实体执行PF配置操作的步骤;
所述PF配置步骤为:ProSe功能实体配置终端所归属的群组,如终端A属于哪个群组,以便形成签约信息。
步骤S303:为业务授权的步骤;具体为终端从ProSe功能实体获取一对多D2D通讯的参数。在本步骤中终端还将获取终端所在群组的群组标识及ProSe密钥管理功能实体的地址。
步骤304:终端发送安全配置请求消息到ProSe密钥管理功能实体,所述安全配置请求消息中携带请求获取密钥的群组标识和指示UE的安全能力的第一信息(具体所述第一信息可包括终端支持的安全算法集)。
步骤S305:ProSe密钥管理功能实体检查终端是否支持群组安全算法集;具体可为检测群组安全算法集是否在UE支持的安全算法集中。
步骤S306:ProSe密钥管理功能实体向终端反馈安全配置响应消息。
若步骤S305中的判断结果为是,则步骤S306反馈的安全配置响应消息中携带一个排序的密钥信息集及群组安全算法;密钥信息包括ProSe群组密钥标识、ProSe群组密钥PGK、过期时间、UE的群组成员标识和UE在发送和接收数据时用于保护数据的安全算法集。
若步骤S305中的判断结果为否,则步骤S306反馈的安全配置响应消息中不携带上述群组安全算法等信息而是携带安全配置失败指示。
步骤S307:当安全配置响应信息中携带有群组安全算法等信息时,终端进行一对多D2D通讯。
图10为ProSe密钥管理功能实体处理安全配置请求的步骤,具体包括:
步骤S401:ProSe密钥管理功能实体接收到安全配置请求消息,从中获取终端的安全能力(如终端支持的安全算法集);
步骤S402:ProSe密钥管理功能实体断终端是否支持群组加密算法和群组完整性算法;判断结果为是,则进入步骤S403;否则进入步骤S405。
步骤S403:ProSe密钥管理功能实体断终端是否支持群组完整性算法,判断结果为是,则进入步骤S404;否则进入步骤S405。
步骤S404:ProSe密钥管理功能实体向终端发送安全配置响应消息,消息中携带群组密钥和群组安全算法等信息。
步骤S405:ProSe密钥管理功能实体向终端发送安全配置响应消息,消息中携带安全配置失败的指示。
在具体的执行过程中,所述步骤S403及步骤S404没有先后顺序;可以同时执行也可以先执行其中一个步骤,并根据执行结果决定是否执行另一个步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (37)
1.一种D2D通信安全配置方法,其特征在于,所述方法包括:
获取指示终端的安全能力的第一信息;
依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
2.根据权利要求1所述的方法,其特征在于,所述第一信息包括终端支持的安全算法集。
3.根据权利要求2所述的方法,其特征在于,
所述依据所述第一信息确定安全配置响应消息的内容包括:
判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
4.根据权利要求2所述的方法,其特征在于,所述方法包括:
所述依据所述第一信息确定是否向终端反馈安全配置响应消息包括:
判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,不向终端反馈的所述安全配置响应消息。
5.根据权利要求3或4所述的方法,其特征在于,所述群组安全算法包括群组加密算法及群组完整性算法。
6.一种D2D通信安全配置方法,其特征在于,所述方法包括:
向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;所述第一信息用于所述ProSe密钥管理功能实体确定是否向终端反馈安全配置响应消息或向终端反馈的安全配置响应消息的内容提供依据;
接收所述ProSe密钥管理功能实体基于所述第一信息反馈的安全配置响应消息。
7.根据权利要求6所述的方法,其特征在于,
所述第一信息包括终端支持的安全算法集。
8.根据权利要求7所述的方法,其特征在于,
当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括所述群组安全算法;
当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括安全配置失败指示。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在指定时间内接收包括群组安全算法的安全配置响应消息;
若在所述指定时间内没有接收到所述安全配置响应消息,确定安全配置失败。
10.根据权利要求8或9所述的方法,其特征在于,所述群组安全算法包括群组加密算法及群组完整性算法。
11.根据权利要求6至9任一项所述的方法,其特征在于,
所述向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息为:
向ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
12.一种D2D通信安全配置方法,其特征在于,所述方法包括:
ProSe密钥管理功能实体获取指示终端的安全能力的第一信息;
所述ProSe密钥管理功能实体依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容;
所述ProSe密钥管理功能实体发送已确定的安全配置响应消息;
终端接收所述安全配置响应消息。
13.根据权利要求12所述的方法,其特征在于,所述方法包括:
终端向所述ProSe密钥管理功能实体发送第一信息;
所述ProSe密钥管理功能实体获取指示终端的安全能力的第一信息为:
所述ProSe密钥管理功能实体接收所述终端发送的第一信息。
14.根据权利要求13所述的方法,其特征在于,所述终端向所述ProSe密钥管理功能实体发送第一信息为:
终端向所述ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
15.根据权利要求12至14任一项所述的方法,其特征在于,所述第一信息包括终端支持的安全算法集。
16.根据权利要求15任一项所述的方法,其特征在于,
所述ProSe密钥管理功能实体依据所述第一信息确定向终端反馈安全配置响应消息的内容包括:
所述ProSe密钥管理功能实体判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,所述ProSe密钥管理功能实体确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;
当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
17.根据权利要求15所述的方法,其特征在于,
所述ProSe密钥管理功能实体依据所述第一信息确定是否向终端反馈安全配置响应消息包括:
所述ProSe密钥管理功能实体判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
当所述群组安全算法包括在所述终端支持的安全算法集中时,所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息,且所述安全配置响应包括所述群组安全算法;
所述ProSe密钥管理功能实体当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定不向终端反馈的所述安全配置响应消息。
18.根据权利要求要求17所述的方法,其特征在于,
当所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息时,所述ProSe密钥管理功能实体发送已确定的安全配置响应消息为:所述ProSe密钥管理功能实体在指定时间内向终端反馈所述安全配置响应消息;
所述终端接收所述安全配置响应消息为:所述终端在所述指定时间内接收安全配置响应消息;若在所述指定时间内没有接收到所述安全配置响应消息,所述终端确定安全配置失败。
19.一种ProSe密钥管理功能实体,其特征在于,所述ProSe密钥管理功能实体包括:
获取单元,用于获取指示终端的安全能力的第一信息;
第一确定单元,用于依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容。
20.根据权利要求19所述的ProSe密钥管理功能实体,其特征在于,所述第一信息包括终端支持的安全算法集。
21.根据权利要求20所述的ProSe密钥管理功能实体,其特征在于,所述第一确定单元包括:
判断模块,用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
第一确定模块,用于当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,向终端反馈的所述安全配置响应消息包括安全配置失败指示。
22.根据权利要求要求20所述的ProSe密钥管理功能实体,其特征在于,
所述第一确定单元包括:
判断模块,用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;
第二确定模块,用于当所述群组安全算法包括在所述终端支持的安全算法集中时,向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,不向终端反馈的所述安全配置响应消息。
23.根据权利要求21或22所述的ProSe密钥管理功能实体,其特征在于,所述群组安全算法包括群组加密算法及群组完整性算法。
24.根据权利要求19至22任一项所述的ProSe密钥管理功能实体,其特征在于,
所述获取单元,具体用于接收终端发送的安全配置请求消息;
所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
25.一种终端,其特征在于,所述终端包括:
发送单元,用于向ProSe密钥管理功能实体发送指示终端的安全能力的第一信息;所述第一信息用于所述ProSe密钥管理功能实体确定是否向终端反馈安全配置响应消息或向终端反馈的安全配置响应消息的内容提供依据;
接收单元,用于接收所述ProSe密钥管理功能实体基于所述第一信息反馈的安全配置响应消息。
26.根据权利要求25所述的终端,其特征在于,
所述第一信息包括终端支持的安全算法集。
27.根据权利要求26所述的终端,其特征在于,
当所述终端支持的安全算法集中包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括所述群组安全算法;
当所述终端支持的安全配置算法中不包括所述ProSe密钥管理功能实体待发送的群组安全算法时,所述安全配置响应消息包括安全配置失败指示。
28.根据权利要求26所述的终端,其特征在于,
所述接收单元,还用于在指定时间内接收包括群组安全算法的安全配置响应消息;
所述终端还包括第二确定单元;
所述第二确定单元,用于在所述指定时间内没有接收到所述安全配置响应消息时,确定安全配置失败。
29.根据权利要求27或28所述的终端,其特征在于,所述群组安全算法包括群组加密算法及群组完整性算法。
30.根据权利要求24至28任一项所述的终端,其特征在于,
所述发送单元,具体用于向ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
31.一种通信系统,其特征在于,所述系统包括:
ProSe密钥管理功能实体,用于获取指示终端的安全能力的第一信息;依据所述第一信息确定是否向终端反馈安全配置响应消息或安全配置响应消息的内容;及发送已确定的安全配置响应消息;
终端,用于接收所述安全配置响应消息。
32.根据权利要求31所述的系统,其特征在于,所述系统包括:
终端,还用于向所述ProSe密钥管理功能实体发送第一信息;
所述ProSe密钥管理功能实体,具体用于接收所述终端发送的第一信息。
33.根据权利要求32所述的系统,其特征在于,所述终端,具体用于向所述ProSe密钥管理功能实体发送安全配置请求消息;所述安全配置请求消息中携带有指示终端的安全能力的第一信息。
34.根据权利要求31至33任一项所述的系统,其特征在于,
所述第一信息包括终端支持的安全算法集。
35.根据权利要求34任一项所述的系统,其特征在于,
所述ProSe密钥管理功能实体,具体用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈的所述安全配置响应消息包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,确定向终端反馈的所述安全配置响应消息包括安全配置失败指示。
36.根据权利要求34所述的系统,其特征在于,
所述ProSe密钥管理功能实体,具体用于判断待发送的群组安全算法是否包括在所述终端支持的安全算法集中;当所述群组安全算法包括在所述终端支持的安全算法集中时,确定向终端反馈所述安全配置响应消息,且所述安全配置响应包括所述群组安全算法;及当所述群组安全算法不包括在所述终端支持的安全算法中时,所述ProSe密钥管理功能实体确定不向终端反馈的所述安全配置响应消息。
37.根据权利要求要求36所述的系统,其特征在于,
当所述ProSe密钥管理功能实体确定向终端反馈所述安全配置响应消息时,所述ProSe密钥管理功能实体,具体用于在指定时间内向终端反馈所述安全配置响应消息;
所述终端,具体用于所述终端在所述指定时间内接收安全配置响应消息;及在所述指定时间内没有接收到所述安全配置响应消息时,确定安全配置失败。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410182882.8A CN105025478A (zh) | 2014-04-30 | 2014-04-30 | D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 |
| PCT/CN2014/082115 WO2015165149A1 (zh) | 2014-04-30 | 2014-07-14 | 配置方法、ProSe密钥管理功能实体、终端、系统和存储介质 |
| US15/306,852 US10382953B2 (en) | 2014-04-30 | 2014-07-14 | Configuration method, ProSe key management functional entity, terminal, system, and storage medium |
| EP14890638.1A EP3139647A4 (en) | 2014-04-30 | 2014-07-14 | Configuration method, prose key management functional entity, terminal, system, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410182882.8A CN105025478A (zh) | 2014-04-30 | 2014-04-30 | D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105025478A true CN105025478A (zh) | 2015-11-04 |
Family
ID=54358082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410182882.8A Pending CN105025478A (zh) | 2014-04-30 | 2014-04-30 | D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10382953B2 (zh) |
| EP (1) | EP3139647A4 (zh) |
| CN (1) | CN105025478A (zh) |
| WO (1) | WO2015165149A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017117775A1 (zh) * | 2016-01-07 | 2017-07-13 | 华为技术有限公司 | 一种通信安全处理方法、系统及相关设备 |
| WO2018006626A1 (zh) * | 2016-07-05 | 2018-01-11 | 华为技术有限公司 | 一种网络安全的管理系统、方法及装置 |
| CN108134991A (zh) * | 2017-12-22 | 2018-06-08 | 横琴国际知识产权交易中心有限公司 | 一种减少d2d设备切换的方法及系统 |
| WO2019028918A1 (zh) * | 2017-08-11 | 2019-02-14 | 华为技术有限公司 | 一种设备发现方法及相关设备 |
| WO2021196818A1 (zh) * | 2020-03-31 | 2021-10-07 | 大唐移动通信设备有限公司 | 密钥生成方法和装置、设备及计算机可读存储介质 |
| WO2022033405A1 (zh) * | 2020-08-11 | 2022-02-17 | 大唐移动通信设备有限公司 | 信息处理方法、装置、设备及可读存储介质 |
| WO2022068474A1 (zh) * | 2020-09-29 | 2022-04-07 | 大唐移动通信设备有限公司 | ProSe通信组的通信方法、装置及存储介质 |
| CN114697945A (zh) * | 2022-04-02 | 2022-07-01 | 中国电信股份有限公司 | 发现响应消息的生成方法及装置、发现消息的处理方法 |
| WO2023245351A1 (en) * | 2022-06-20 | 2023-12-28 | Zte Corporation | Refreshing authentication keys for proximity based services |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3162097B1 (en) * | 2014-06-28 | 2019-02-27 | Telefonaktiebolaget LM Ericsson (publ) | Obtaining authorization to use proximity services in a mobile communication system |
| US10797859B2 (en) * | 2018-03-22 | 2020-10-06 | Arm Limited | Low area optimization for NB-IoT applications |
| US20220109996A1 (en) * | 2020-10-01 | 2022-04-07 | Qualcomm Incorporated | Secure communication link establishment for a ue-to-ue relay |
| CN113381985A (zh) * | 2021-05-21 | 2021-09-10 | 四川新网银行股份有限公司 | 一种复杂报文规范化配置方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102711105A (zh) * | 2012-05-18 | 2012-10-03 | 华为技术有限公司 | 通过移动通信网络进行通信的方法、装置及系统 |
| CN102812688A (zh) * | 2010-03-24 | 2012-12-05 | 诺基亚公司 | 用于设备到设备密钥管理的方法和装置 |
| CN102833742A (zh) * | 2011-06-17 | 2012-12-19 | 华为技术有限公司 | 机器类通信设备组算法的协商方法和设备 |
| US20130287012A1 (en) * | 2012-04-27 | 2013-10-31 | Interdigital Patent Holdings, Inc. | Method and apparatus for optimizing proximity data path setup |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001252A (zh) | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| US8577363B2 (en) | 2008-07-14 | 2013-11-05 | Nokia Corporation | Setup of device-to-device connection |
| CN101771586B (zh) | 2008-11-14 | 2013-10-09 | 华为终端有限公司 | Wi-Fi点对点网络实现添加设备的方法、系统和设备 |
| CN101771659B (zh) | 2008-11-20 | 2013-06-12 | 华为终端有限公司 | 一种安全切换配置方法、系统和设备 |
| US8812657B2 (en) | 2010-04-15 | 2014-08-19 | Qualcomm Incorporated | Network-assisted peer discovery |
| US8804574B2 (en) * | 2010-10-01 | 2014-08-12 | Telefonaktiebolaget L M Ericsson (Publ) | Language dependent positioning and signalling |
| US20120258703A1 (en) | 2011-04-07 | 2012-10-11 | Renesas Mobile Corporation | Detection of potential for network controlled d2d communication prior to activation of cellular bearers |
| CN103297961B (zh) | 2012-03-05 | 2018-03-09 | 上海诺基亚贝尔股份有限公司 | 一种用于设备间安全通信的设备与系统 |
| CN109548017B (zh) * | 2013-03-05 | 2020-10-09 | 华为技术有限公司 | 一种密钥交互方法及装置 |
-
2014
- 2014-04-30 CN CN201410182882.8A patent/CN105025478A/zh active Pending
- 2014-07-14 US US15/306,852 patent/US10382953B2/en active Active
- 2014-07-14 WO PCT/CN2014/082115 patent/WO2015165149A1/zh active Application Filing
- 2014-07-14 EP EP14890638.1A patent/EP3139647A4/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102812688A (zh) * | 2010-03-24 | 2012-12-05 | 诺基亚公司 | 用于设备到设备密钥管理的方法和装置 |
| CN102833742A (zh) * | 2011-06-17 | 2012-12-19 | 华为技术有限公司 | 机器类通信设备组算法的协商方法和设备 |
| US20130287012A1 (en) * | 2012-04-27 | 2013-10-31 | Interdigital Patent Holdings, Inc. | Method and apparatus for optimizing proximity data path setup |
| CN102711105A (zh) * | 2012-05-18 | 2012-10-03 | 华为技术有限公司 | 通过移动通信网络进行通信的方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: "《3GPP TS 23.303 V0.2.1》", 28 February 2014 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017117775A1 (zh) * | 2016-01-07 | 2017-07-13 | 华为技术有限公司 | 一种通信安全处理方法、系统及相关设备 |
| WO2018006626A1 (zh) * | 2016-07-05 | 2018-01-11 | 华为技术有限公司 | 一种网络安全的管理系统、方法及装置 |
| US10897712B2 (en) | 2016-07-05 | 2021-01-19 | Huawei Technologies Co., Ltd. | Cyber security management system, method, and apparatus |
| WO2019028918A1 (zh) * | 2017-08-11 | 2019-02-14 | 华为技术有限公司 | 一种设备发现方法及相关设备 |
| CN108134991A (zh) * | 2017-12-22 | 2018-06-08 | 横琴国际知识产权交易中心有限公司 | 一种减少d2d设备切换的方法及系统 |
| CN108134991B (zh) * | 2017-12-22 | 2020-10-16 | 杭州清创微品智能科技有限公司 | 一种减少d2d设备切换的方法及系统 |
| WO2021196818A1 (zh) * | 2020-03-31 | 2021-10-07 | 大唐移动通信设备有限公司 | 密钥生成方法和装置、设备及计算机可读存储介质 |
| WO2022033405A1 (zh) * | 2020-08-11 | 2022-02-17 | 大唐移动通信设备有限公司 | 信息处理方法、装置、设备及可读存储介质 |
| CN114079918A (zh) * | 2020-08-11 | 2022-02-22 | 大唐移动通信设备有限公司 | 一种信息处理方法、装置、设备及可读存储介质 |
| CN114079918B (zh) * | 2020-08-11 | 2024-02-02 | 大唐移动通信设备有限公司 | 一种信息处理方法、装置、设备及可读存储介质 |
| WO2022068474A1 (zh) * | 2020-09-29 | 2022-04-07 | 大唐移动通信设备有限公司 | ProSe通信组的通信方法、装置及存储介质 |
| CN114697945A (zh) * | 2022-04-02 | 2022-07-01 | 中国电信股份有限公司 | 发现响应消息的生成方法及装置、发现消息的处理方法 |
| CN114697945B (zh) * | 2022-04-02 | 2023-10-24 | 中国电信股份有限公司 | 发现响应消息的生成方法及装置、发现消息的处理方法 |
| WO2023245351A1 (en) * | 2022-06-20 | 2023-12-28 | Zte Corporation | Refreshing authentication keys for proximity based services |
Also Published As
| Publication number | Publication date |
|---|---|
| US10382953B2 (en) | 2019-08-13 |
| WO2015165149A1 (zh) | 2015-11-05 |
| EP3139647A1 (en) | 2017-03-08 |
| US20170118637A1 (en) | 2017-04-27 |
| EP3139647A4 (en) | 2017-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105025478A (zh) | D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统 | |
| US10194304B2 (en) | Methods for receiving device discovery information and sending device discovery information and user equipment | |
| CN106664643B (zh) | 装置至装置(d2d)通信中由用户设备(ue)执行公共陆地移动网络间发现的方法 | |
| JP2020504566A (ja) | 移動通信システムでアクセス及び移動性管理機能を選択するための方法及び装置 | |
| CN108307528B (zh) | 一种信息传输方法、装置及系统 | |
| CN106162777B (zh) | 中继节点切换方法及系统 | |
| US9473877B2 (en) | Uplink/downlink transmission method for small amount of data, and corresponding terminal and mobility management unit | |
| KR20190018002A (ko) | 무선 통신 시스템에서 네트워크 슬라이스 기반 nr을 위한 셀 특정 절차를 수행하는 방법 및 장치 | |
| EP2983399B1 (en) | Method, device, and system for proximity service authorization | |
| US20210392574A1 (en) | Procedure to update the parameters related to unified access control | |
| EP3113547A1 (en) | Method of and apparatus for network access in wireless communication system supporting isolated e-utran operation for public safety | |
| CN103947270A (zh) | 用于寻呼离线状态终端的系统和方法 | |
| CN103096290A (zh) | 建立设备到设备连接的方法、装置和系统 | |
| CN105246066A (zh) | 基于网络共享的设备到设备的通信方法及系统 | |
| CN102752877A (zh) | 机器对机器服务管理设备、网络设备、业务处理方法及系统 | |
| CN102111903A (zh) | 本地ip接入连接建立方法、系统和设备 | |
| CN108990132B (zh) | 一种接入控制方法及装置 | |
| CN105828453A (zh) | 中继通信的数据传输方法和装置 | |
| CN106537953B (zh) | 用于改善或启用用户设备对移动通信网络的无线电覆盖的方法和系统 | |
| KR20190015460A (ko) | 로컬 네트워크 연결 방법, 장치 및 시스템 | |
| CN104956763B (zh) | 用于设备到设备通信的方法和装置 | |
| CN109429366B (zh) | 一种pdu会话处理方法及设备 | |
| CN103108377B (zh) | 一种mtc终端的通信方法、系统及中心控制节点 | |
| WO2015154426A1 (zh) | ProSe临时标识的通知与更新方法和装置 | |
| CN105472530B (zh) | 近距离通讯发现方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151104 |
|
| RJ01 | Rejection of invention patent application after publication |