CN105828413A - 一种d2d模式b发现的安全方法、终端和系统 - Google Patents
一种d2d模式b发现的安全方法、终端和系统 Download PDFInfo
- Publication number
- CN105828413A CN105828413A CN201510013226.XA CN201510013226A CN105828413A CN 105828413 A CN105828413 A CN 105828413A CN 201510013226 A CN201510013226 A CN 201510013226A CN 105828413 A CN105828413 A CN 105828413A
- Authority
- CN
- China
- Prior art keywords
- prose
- terminal
- response
- functional entity
- mic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
Abstract
本发明公开了一种D2D模式B发现的安全方法,在D2D模式B的发现业务的四个过程中,通过增加相应的参数,对被动终端的发现响应消息、主动终端的发现响应消息、主动终端发送给被动终端的查询请求消息、被动终端发送给主动终端的查询响应消息、以及主动终端的匹配报告消息进行完整性保护;本发明还公开了一种D2D模式B发现的安全系统、终端。
Description
技术领域
本发明涉及移动通信技术,尤其涉及一种设备到设备(D2D)模式B发现的安全方法、终端和系统。
背景技术
为了保持第三代移动通信系统在通信领域的竞争力,并为用户提供速率更快、时延更低、更加个性化的移动通信服务,同时,为了降低运营商的运营成本,第三代合作伙伴计划(3GPP,3rdGenerationPartnershipProject)标准工作组正致力于演进分组系统(EPS,EvolvedPacketSystem)的研究。整个EPS包括无线接入网(E-UTRAN,EvolvedUniversalTerrestrialRadioAccessNetwork)和演进分组核心网(EPC,EvolvedPacketCoreNetworking),其中,EPC包含了归属用户服务器(HSS,HomeSubscriberServer)、移动性管理实体(MME,MobilityManagementEntity)、服务GPRS支持节点(SGSN,ServingGPRSSupportNode)、策略计费规则功能(PCRF,PolicyandChargingRuleFunction)、服务网关(S-GW,ServingGateway)、分组数据网关(P-GW,PDNGateway)和分组数据网络(PDN,PacketDataNetwork)。
当两个用户设备(UE,UserEquipment)通过EPS进行通信时,两个UE需要分别与EPS建立承载。但是考虑到UE以及各种移动互联网业务的快速发展,很多业务希望能够发现临近的UE并且进行通信,因此催生了设备到设备(D2D,DevicetoDevice)业务,D2D业务还被称为基于距离的业务(ProSe,Proximity-basedServices)。在D2D业务中,当两个UE位置比较接近的时候,可以直接通信,其连接的数据路径可以不绕回到核心网,这样,一方面可以减少数据路由的迂回,另一方面也能够减少网络数据负荷。因此,D2D业务已得到了很多运营商的重视。
目前,常用的D2D业务有D2D发现业务,D2D发现业务的通信架构如图1所示,D2D接入的两个UE只能通过E-UTRAN接入EPC,两个UE可以都属于一个公用陆地移动网络(PLMN,PublicLandMobileNetwork)或者分属于两个PLMN;对于一个UE,PLMN可以分为归属的PLMN(HPLMN,HomePLMN)和当所述UE从其他的PLMN接入时的拜访的PLMN(VPLMN,VisitedPLMN),对于UE当前所处区域的PLMN可以统称为本地的公用陆地移动网络(LPLMN,LocalPLMN),无论该本地的PLMN是HPLMN还是VPLMN。为了实现D2D发现业务,在运营商侧不仅仅部署了EPS,还包括部署D2D发现业务的ProSe应用服务器(ProSeApplicationServer),ProSe应用服务器可以由运营D2D业务的业务提供商提供,也可以由运营EPS的网络运营商提供,在不同PLMN还部署了ProSe功能实体(ProSeFunction)。对于ProSe业务的两个UE,其中一个UE从ProSe功能实体获取业务标识后,再向ProSe功能实体获取能够广播的业务码,这个UE被成为广播UE(A-UE,AnnouncingUE),而另外一个UE则接受A-UE的广播,然后与所述UE的ProSe功能实体进行匹配,如果匹配成功后,则和A-UE进行ProSe业务。这个非广播UE成为监听UE(M-UE,MonitoringUE)。
在D2D发现业务通信架构中,由于UE提供相关的ProSe应用(APP,Application),其和ProSe应用服务器的接口为PC1接口,提供相关认证功能。UE与UE之间的接口为PC5,用于UE之间的相互直接发现和通信,而UE与ProSe功能实体之间的接口是PC3,用于通过网络的发现认证。ProSe功能实体与现有EPC之间的接口是PC4,包含与P-GW的用户面接口和与HSS的控制面接口,用于D2D发现业务发现认证。ProSe功能实体与ProSe应用服务器的接口为PC2,用于D2D发现业务的应用实现。ProSe功能实体与ProSe功能实体分别有PC6和PC7接口,分别用于UE在漫游和非漫游的两种情况,UE漫游时为PC7接口,UE非漫游时是为PC6接口,这两个接口用于UE进行D2D发现业务时执行两个ProSe功能实体之间的信息交互。
D2D发现业务可以分为模式A和模式B两种模式。模式B的发现业务包括被动终端过程、主动终端过程、查询过程和匹配过程四个流程。
图2为现有技术被动终端过程的实现流程:
步骤201,被动终端配置ProSe限制发现应用层用户标识;
步骤202,被动终端向自身的归属网络中的ProSe功能实体发送发现请求消息,消息中包括模式(其值设置为B)、发现类型、限制发现应用层用户标识、终端标识、命令(command)(其值设置为ProSe响应)和应用标识等参数;
步骤203,ProSe功能实体与归属用户服务器交互,进行发现认证;
步骤204,ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识和指示符等参数;
步骤205,ProSe应用服务器向ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识和指示符等参数;
步骤206,ProSe功能实体分配ProSe响应码与发现过滤器;
步骤207,ProSe功能实体向被动终端当前注册的拜访网络中的ProSe功能实体发送广播认证消息,消息中包括ProSe限制发现应用层用户标识、ProSe响应码、有效期和终端标识等参数;
步骤208,拜访网络中的ProSe功能实体向归属网络中的ProSe功能实体回送广播认证响应消息;
步骤209,归属网络中的ProSe功能实体向被动终端回送发现响应消息,消息中包括模式(其值设置为B)、发现过滤器、ProSe响应码和有效期等参数;
步骤210,被动终端配置无线资源。
图3为现有技术主动终端过程的实现流程:
步骤301,主动终端配置ProSe限制发现应用层用户标识;
步骤302,主动终端向它的归属网络中的ProSe功能实体发送发现请求消息,消息中包括模式(其值设置为B)、发现类型、ProSe限制发现应用层用户标识、终端标识、command(其值设置为ProSe查询)、应用标识和应用透明容器等参数;
步骤303,归属网络的ProSe功能实体与归属用户服务器交互,进行发现认证;
步骤304,归属网络的ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识、指示符和应用透明容器等参数;
步骤305,ProSe应用服务器向归属网络的ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识、指示符和若干对目标ProSe发现终端标识与目标ProSe限制发现应用层用户标识的对应关系等参数;
步骤306,归属网络的ProSe功能实体向其他网络的ProSe功能实体发送发现请求消息,消息中包括ProSe限制发现应用层用户标识、终端标识、目标ProSe发现终端标识、应用标识、目标ProSe限制发现应用层用户标识等参数;
步骤307,其他网络的ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识、指示符和目标ProSe限制发现应用层用户标识等参数;
步骤308,ProSe应用服务器向所述其他网络的ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识、指示符和目标ProSe发现终端标识;
步骤309,所述其他网络的ProSe功能实体向归属网络的ProSe功能实体回送发现响应消息,消息中包括ProSe查询码和发现过滤器等参数;
步骤310,归属网络的ProSe功能实体向主动终端当前注册的拜访网络中的ProSe功能实体发送广播认证消息,消息中包括ProSe应用标识、ProSe查询码和终端标识等参数;
步骤311,拜访网络的ProSe功能实体向归属网络的ProSe功能实体回送广播认证响应消息;
步骤312,归属网络的ProSe功能实体向主动终端回送发现响应消息,消息中包括模式(其值设置为B)、发现过滤器、ProSe查询码和有效期等参数;
步骤313,主动终端配置无线资源。
图4为现有技术查询过程的实现流程:
步骤401,主动终端向被动终端发送查询请求消息,消息中包括ProSe查询码参数;
步骤402,被动终端检查ProSe查询码,如果通过检查,向主动终端回送查询响应消息,消息中包括ProSe响应码参数。
图5为现有技术匹配过程的实现流程:
步骤501,主动终端向自身的归属网络中的ProSe功能实体发送匹配报告消息,消息中包括ProSe限制发现应用层用户标识、终端标识、发现类型、应用标识和ProSe响应码等参数;
步骤502,归属网络的ProSe功能实体进行发现认证;
步骤503,归属网络的ProSe功能实体分析ProSe响应码;
步骤504,归属网络的ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识、目标ProSe限制发现应用层用户标识和指示符等参数;
步骤505,ProSe应用服务器进行处理;
步骤506,ProSe应用服务器向归属网络的ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识、目标ProSe发现终端标识、指示符等参数,可选地,也可以包括元数据参数;
步骤507,归属网络的ProSe功能实体验证ProSe发现终端标识;
步骤508,归属网络的ProSe功能实体向主动终端回送匹配报告响应消息,消息中包括应用标识、目标ProSe限制发现应用层用户标识和有效期等参数,可选地,也可以包括元数据参数;
步骤509,归属网络的ProSe功能实体向其他网络的ProSe功能实体发送匹配报告信息消息,消息中包括ProSe限制发现应用层用户标识、终端标识、ProSe响应码和发现类型等参数。
以上的流程中对于被动终端的发现响应消息、主动终端的发现响应消息、主动终端发送给被动终端的查询请求消息、被动终端发送给主动终端的查询响应消息、以及主动终端的匹配报告消息都没有进行完整性保护,存在被攻击者重放攻击的威胁。
发明内容
为解决现有存在的技术问题,本发明主要提供一种D2D模式B发现的安全方法、终端和系统。
本发明的技术方案是这样实现的:
本发明提供一种D2D模式B发现的安全方法,该方法包括:
被动终端归属网络中的ProSe功能实体向被动终端回送ProSe响应码、ProSe响应密钥;
被动终端接收所述ProSe响应码、ProSe响应密钥。
上述方案中,所述被动终端归属网络中的ProSe功能实体向被动终端回送ProSe响应码、ProSe响应密钥,包括:被动终端归属网络中的ProSe功能实体接收被动终端的发现请求消息,对所述被动终端进行认证处理,向所述被动终端发送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
上述方案中,所述发现响应消息还包括:当前时间和最大偏移值。
上述方案中,所述发现响应消息还包括:模式、发现过滤器和有效期。
本发明提供一种D2D模式B发现的安全方法,该方法包括:
主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
主动终端归属网络的ProSe功能实体向主动终端回送ProSe查询码、ProSe查询密钥。
上述方案中,所述主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥,包括:主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的第一发现响应消息,所述第一发现响应消息包括:ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥。
上述方案中,所述第一发现响应消息还包括:ProSe查询码和发现过滤器。
上述方案中,所述主动终端归属网络的ProSe功能实体向主动终端回送ProSe查询码、ProSe查询密钥、当前时间和最大偏移值,包括:主动终端归属网络的ProSe功能实体与主动终端当前注册的拜访网络中的ProSe功能实体进行广播认证后,向主动终端回送第二发现响应消息,所述第二发现响应消息包括:ProSe查询码、ProSe查询密钥、当前时间和最大偏移值。
上述方案中,所述第二发现响应消息还包括:当前时间和最大偏移值。
上述方案中,所述第二发现响应消息还包括:模式、发现过滤器和有效期。
本发明提供一种D2D模式B发现的安全方法,该方法包括:
主动终端计算查询消息完整性保护码(MIC),向被动终端发送ProSe查询码、查询MIC和时间校准值;
主动终端接收被动终端回送的ProSe响应码和响应MIC。
上述方案中,所述主动终端计算查询MIC包括:主动终端使用基于哈希函数消息认证码(HMAC)-安全散列算法(SHA-256)计算查询MIC,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于协调世界时(UTC)时间的计数器值,L2为计数器值长度。
本发明提供一种D2D模式B发现的安全方法,该方法包括:
被动终端接收主动终端发送的ProSe查询码、查询MIC和时间校准值;
被动终端向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于UTC时间的计数器值,由被动终端的归属网络的ProSe功能实体检查查询MIC;
被动终端计算响应MIC,并向主动终端回送ProSe响应码和响应MIC。
上述方案中,所述被动终端计算响应MIC包括:被动终端使用HMAC-SHA-256计算响应MIC,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
本发明提供一种D2D模式B发现的安全方法,该方法包括:
主动终端向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值;
归属网络的ProSe功能实体接收ProSe响应码、响应MIC和基于UTC时间的计数器值,分析ProSe响应码并检查响应MIC。
上述方案中,所述主动终端向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值包括:主动终端向自身的归属网络中的ProSe功能实体发送匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值。
上述方案中,所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识。
本发明提供一种D2D模式B发现的安全系统,该系统包括:被动终端归属网络中的ProSe功能实体、被动终端;其中,
被动终端归属网络中的ProSe功能实体,用于向被动终端回送ProSe响应码、ProSe响应密钥;
被动终端,用于接收所述ProSe响应码、ProSe响应密钥。
上述方案中,所述被动终端的归属网络中的ProSe功能实体,具体用于接收被动终端的发现请求消息,对所述被动终端进行认证处理,向所述被动终端发送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
上述方案中,所述发现响应消息还包括:当前时间和最大偏移值。
本发明提供一种被动终端归属网络的ProSe功能实体,该ProSe功能实体包括:请求接收模块、响应回送模块;其中,
请求接收模块,用于接收被动终端的发现请求消息;
响应回送模块,用于向所述被动终端回送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
本发明提供一种主动终端的归属网络的ProSe功能实体,该ProSe功能实体包括:第一接收模块、第一发送模块;其中,
第一接收模块,用于接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
第一发送模块,用于向主动终端回送ProSe查询码、ProSe查询密钥。
上述方案中,所述第一接收模块,具体用于接收其他网络的ProSe功能实体回送的第一发现响应消息,所述第一发现响应消息包括:ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥。
上述方案中,所述第一发送模块,具体用于与主动终端当前注册的拜访网络中的ProSe功能实体进行广播认证后,向主动终端回送第二发现响应消息,所述第二发现响应消息包括:ProSe查询码、ProSe查询密钥。
上述方案中,所述第二发现响应消息还包括:当前时间和最大偏移值。
本发明提供一种主动终端,该主动终端包括:第二发送模块、第二接收模块;其中,
第二发送模块,用于计算查询MIC,向被动终端发送ProSe查询码、查询MIC和时间校准值;
第二接收模块,用于接收被动终端回送的ProSe响应码和响应MIC。
上述方案中,所述第二发送模块,具体用于使用HMAC-SHA-256计算查询MIC,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
本发明提供一种被动终端,该被动终端包括:第三接收模块、第三发送模块、第四发送模块,其中,
第三接收模块,用于接收主动终端发送的ProSe查询码、查询MIC和时间校准值;
第三发送模块,用于向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于UTC时间的计数器值,由被动终端的归属网络的ProSe功能实体检查查询MIC;
第四发送模块,用于计算响应MIC,并向主动终端回送ProSe响应码和响应MIC。
上述方案中,所述第四发送模块,具体用于使用HMAC-SHA-256计算响应MIC,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
本发明提供一种D2D模式B发现的安全系统,该系统包括:主动终端、主动终端的归属网络的ProSe功能实体;其中,
主动终端,用于向主动终端的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值;
主动终端的归属网络的ProSe功能实体,用于接收ProSe响应码、响应MIC和基于UTC时间的计数器值,分析ProSe响应码并检查响应MIC。
上述方案中,所述主动终端,具体用于向自身的归属网络中的ProSe功能实体发送匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值。
上述方案中,所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识。
本发明提供了一种D2D模式B发现的安全方法、终端和系统,在被动终端过程中,归属网络中的ProSe功能实体向被动终端回送ProSe响应码、ProSe响应密钥;在主动终端过程中,其他网络的ProSe功能实体向归属网络的ProSe功能实体回送ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥,归属网络的ProSe功能实体向主动终端回送ProSe查询码、ProSe查询密钥;在查询过程中,主动终端计算查询消息完整性保护码(MIC,MessageIntegrityCode),向被动终端发送ProSe查询码、查询MIC和时间校准值,被动终端向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于协调世界时(UTC)时间的计数器值,被动终端的归属网络的ProSe功能实体检查查询MIC;被动终端计算响应MIC向主动终端回送ProSe响应码和响应MIC;在匹配过程中,主动终端向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值,归属网络的ProSe功能实体分析ProSe响应码并检查响应MIC;如此,在D2D模式B的发现业务的四个过程中,对被动终端的发现响应消息、主动终端的发现响应消息、主动终端发送给被动终端的查询请求消息、被动终端发送给主动终端的查询响应消息、以及主动终端的匹配报告消息进行了完整性保护,消除了被攻击者重放攻击的威胁。
附图说明
图1为D2D发现业务的通信架构示意图;
图2为现有的被动终端过程的流程示意图;
图3为现有的主动终端过程的流程示意图;
图4为现有的查询过程的流程示意图;
图5为现有的匹配过程的流程示意图;
图6为本发明实施例一实现D2D模式B发现的安全方法的流程示意图;
图7为本发明实施例二实现D2D模式B发现的安全方法的流程示意图;
图8为本发明实施例三实现D2D模式B发现的安全方法的流程示意图;
图9为本发明实施例四实现D2D模式B发现的安全方法的流程示意图;
图10为本发明实施例五实现D2D模式B发现的安全方法的流程示意图;
图11为本发明实施例六实现D2D模式B发现的安全系统的结构示意图;
图12为本发明实施例七提供的被动终端归属网络的ProSe功能实体的结构示意图;
图13为本发明实施例八提供的主动终端归属网络的ProSe功能实体的结构示意图;
图14为本发明实施例九提供的主动终端的结构示意图;
图15为本发明实施例十提供的被动终端的结构示意图;
图16为本发明实施例十一提供的D2D模式B发现的安全系统的结构示意图;
图17为本发明实施例被动终端过程的具体流程示意图;
图18为本发明实施例主动终端过程的具体流程示意图;
图19为本发明实施例查询过程的具体流程示意图;
图20为本发明实施例匹配过程的具体流程示意图。
具体实施方式
下面通过附图及具体实施例对本发明做进一步的详细说明。
实施例一
本发明实施例实现一种D2D模式B发现的安全方法,如图6所示,该方法包括以下几个步骤:
步骤601:在被动终端过程中,被动终端归属网络中的ProSe功能实体向被动终端回送ProSe响应码、ProSe响应密钥;
具体的,所述被动终端归属网络中的ProSe功能实体接收被动终端的发现请求消息,对所述被动终端进行认证处理,向所述被动终端发送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥;
优选的,所述发现响应消息还包括:当前时间和最大偏移值;
优选的,所述发现响应消息还包括:模式(其值设置为B)、发现过滤器和有效期等参数。
这里,所述ProSe响应密钥由所述ProSe功能实体通过密钥生成器产生;当前时间是所述ProSe功能实体读取自己时钟的当前时间;最大偏移值由所述ProSe功能实体自行设定。
步骤602:被动终端接收所述ProSe响应码、ProSe响应密钥;
具体的,被动终端接收发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥;
优选的,所述发现响应消息还包括:当前时间和最大偏移值;
优选的,所述发现响应消息还包括:模式(其值设置为B)、发现过滤器和有效期等参数。
优选的,所述被动终端还根据发现响应配置无线资源。
实施例二
本发明实施例实现一种D2D模式B发现的安全方法,如图7所示,该方法包括以下几个步骤:
步骤701:在主动终端过程中,主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
具体的,主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的第一发现响应消息,所述第一发现响应消息包括:ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
优选的,所述第一发现响应消息还包括:ProSe查询码和发现过滤器等参数。
其中,所述ProSe查询密钥同ProSe响应密钥类似,由所述ProSe功能实体通过密钥生成器产生。
步骤702:主动终端归属网络的ProSe功能实体向主动终端回送ProSe查询码、ProSe查询密钥;
具体的,主动终端归属网络的ProSe功能实体与主动终端当前注册的拜访网络中的ProSe功能实体进行广播认证后,向主动终端回送第二发现响应消息,所述第二发现响应消息包括:ProSe查询码、ProSe查询密钥;
优选的,所述第二发现响应消息还包括:当前时间和最大偏移值;
优选的,所述第二发现响应消息还包括:模式(其值设置为B)、发现过滤器和有效期等参数。
实施例三
本发明实施例实现一种D2D模式B发现的安全方法,如图8所示,该方法包括以下几个步骤:
步骤801:在查询过程中,主动终端计算查询MIC,向被动终端发送ProSe查询码、查询MIC和时间校准值;
具体的,主动终端使用签名算法即基于哈希函数消息认证码(HMAC,Hash-basedMessageAuthenticationCode)-安全散列算法(SHA-256,SecureHashAlgorithm)计算查询MIC,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于UTC时间的计数器值,L2为计数器值长度,向被动终端发送查询请求消息,所述查询请求消息包括:ProSe查询码、查询MIC和时间校准值,所述时间校准值可以为所述计数器值的低4位,用二进制表示。
步骤802:主动终端接收被动终端回送的ProSe响应码和响应MIC;
具体的,主动终端接收被动终端回送的查询响应消息,所述查询响应消息包括:ProSe响应码和被动终端计算的响应MIC。
所述查询响应消息还包括:被动终端提供的时间校准值,所述时间校准值可以为被动终端的基于UTC时间的计数器值的低4位,用二进制表示。
实施例四
本发明实施例实现一种D2D模式B发现的安全方法,如图9所示,该方法包括以下几个步骤:
步骤901:在查询过程中,被动终端接收主动终端发送的ProSe查询码、查询MIC和时间校准值;
具体的,被动终端接收主动终端发送的查询请求消息,所述查询请求消息包括:ProSe查询码、查询MIC和时间校准值,所述时间校准值可以为主动终端的基于UTC时间的计数器值的低4位,用二进制表示。
步骤902:被动终端向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于UTC时间的计数器值,由被动终端的归属网络的ProSe功能实体检查查询MIC;
具体的,被动终端向自身的归属网络中的ProSe功能实体发送认证请求消息,所述认证请求消息包括:ProSe查询码、查询MIC和自身基于UTC时间的计数器值。
步骤903:被动终端计算响应MIC,并向主动终端回送ProSe响应码和响应MIC;
具体的,被动终端使用签名算法即HMAC-SHA-256计算响应MIC,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度,向主动终端回送查询响应消息,所述查询响应消息包括:ProSe响应码和响应MIC;
所述查询响应消息还包括:被动终端提供的时间校准值等参数,所述时间校准值可以为被动终端的基于UTC时间的计数器值的低4位,用二进制表示。
实施例五
本发明实施例实现一种D2D模式B发现的安全方法,如图10所示,该方法包括以下几个步骤:
步骤1001:在匹配过程中,主动终端向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值;
具体的,主动终端向自身的归属网络中的ProSe功能实体发送匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值;
所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识等参数。
步骤1002:归属网络的ProSe功能实体接收ProSe响应码、响应MIC和基于UTC时间的计数器值,分析ProSe响应码并检查响应MIC;
具体的,归属网络的ProSe功能实体接收所述匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值;
所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识等参数。
本发明上述D2D模式B的发现业务的四个过程的实施例,可以结合在一起实现,用于同时对被动终端的发现响应消息、主动终端的发现响应消息、主动终端发送给被动终端的查询请求消息、被动终端发送给主动终端的查询响应消息、以及主动终端的匹配报告消息进行完整性保护。
实施例六
为了实现上述方法,本发明实施例实现一种D2D模式B发现的安全系统,如图11所示,该系统包括:被动终端归属网络中的ProSe功能实体11、被动终端12;其中,
被动终端归属网络中的ProSe功能实体11,用于在D2D模式B的发现业务的被动终端过程中,向被动终端12回送ProSe响应码、ProSe响应密钥;
被动终端12,用于接收所述ProSe响应码、ProSe响应密钥;
具体的,所述被动终端归属网络中的ProSe功能实体11接收被动终端12的发现请求消息,对所述被动终端12进行认证处理,向所述被动终端12发送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥;
优选的,所述发现响应消息还包括:当前时间和最大偏移值;
优选的,所述发现响应消息还包括:模式(其值设置为B)、发现过滤器和有效期等参数。
被动终端12接收上述发现响应消息。
优选的,所述被动终端12还根据发现响应配置无线资源。
实施例七
本发明实施例实现一种被动终端归属网络的ProSe功能实体,如图12所示,该ProSe功能实体包括:请求接收模块111、响应回送模块112;其中,
请求接收模块111,用于接收被动终端的发现请求消息;
响应回送模块112,用于向所述被动终端回送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
优选的,所述发现响应消息还包括:当前时间和最大偏移值;
优选的,所述发现响应消息还包括:模式(其值设置为B)、发现过滤器和有效期等参数。
实施例八
本发明实施例实现一种主动终端归属网络的ProSe功能实体,如图13所示,该ProSe功能实体包括:第一接收模块21、第一发送模块22;其中,
第一接收模块21,可以由归属网络的ProSe功能实体与其他网络的ProSe功能实体的接口实现,用于在D2D模式B的发现业务的主动终端过程中,接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
第一发送模块22,可以由归属网络的ProSe功能实体与主动终端的接口实现,用于向主动终端回送ProSe查询码、ProSe查询密钥;
具体的,所述第一接收模块21接收其他网络的ProSe功能实体回送的第一发现响应消息,所述第一发现响应消息包括:ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
优选的,所述第一发现响应消息还包括:ProSe查询码和发现过滤器等参数。
所述第一发送模块22与主动终端当前注册的拜访网络中的ProSe功能实体进行广播认证后,向主动终端回送第二发现响应消息,所述第二发现响应消息包括:ProSe查询码、ProSe查询密钥;
优选的,所述第二发现响应消息还包括:当前时间和最大偏移值;
优选的,所述第二发现响应消息还包括:模式(其值设置为B)、发现过滤器和有效期等参数。
实施例九
本发明实施例实现一种主动终端,如图14所示,该主动终端包括:第二发送模块31、第二接收模块32;其中,
第二发送模块31,可以由处理器结合接口实现,用于在D2D模式B的发现业务的查询过程中,计算查询MIC,向被动终端发送ProSe查询码、查询MIC和时间校准值;
第二接收模块32,可以由接口实现,用于接收被动终端回送的ProSe响应码和响应MIC;
具体的,所述第二发送模块31使用HMAC-SHA-256计算查询MIC,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于UTC时间的计数器值,L2为计数器值长度,向被动终端发送查询请求消息,所述查询请求消息包括:ProSe查询码、查询MIC和时间校准值,所述时间校准值可以为所述计数器值的低4位,用二进制表示。
所述第二接收模块32接收被动终端回送的查询响应消息,所述查询响应消息包括:ProSe响应码和被动终端计算的响应MIC。
所述查询响应消息还包括:被动终端提供的时间校准值,所述时间校准值可以为被动终端的基于UTC时间的计数器值的低4位,用二进制表示。
实施例十
本发明实施例实现一种被动终端,如图15所示,该被动终端包括:第三接收模块41、第三发送模块42、第四发送模块43,其中,
第三接收模块41,可以由接口实现,用于在D2D模式B的发现业务的查询过程中,接收主动终端发送的ProSe查询码、查询MIC和时间校准值;
第三发送模块42,可以由接口实现,用于向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于UTC时间的计数器值,由被动终端的归属网络的ProSe功能实体检查查询MIC;
第四发送模块43,可以由处理器结合接口实现,用于计算响应MIC,并向主动终端回送ProSe响应码和响应MIC;
具体的,所述第三接收模块41接收主动终端发送的查询请求消息,所述查询请求消息包括:ProSe查询码、查询MIC和时间校准值,所述时间校准值可以为主动终端的基于UTC时间的计数器值的低4位,用二进制表示。
所述第三发送模块42向自身的归属网络中的ProSe功能实体发送认证请求消息,所述认证请求消息包括:ProSe查询码、查询MIC和自身基于UTC时间的计数器值。
所述第四发送模块43使用HMAC-SHA-256计算响应MIC,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度,向主动终端回送查询响应消息,所述查询响应消息包括:ProSe响应码和响应MIC;
所述查询响应消息还包括:被动终端提供的时间校准值等参数,所述时间校准值可以为被动终端的基于UTC时间的计数器值的低4位,用二进制表示。
实施例十一
本发明实施例实现一种D2D模式B发现的安全系统,如图16所示,该系统包括:主动终端51、主动终端归属网络的ProSe功能实体52;其中,
主动终端51,用于在D2D模式B的发现业务的匹配过程中,向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值;
归属网络的ProSe功能实体52,用于接收ProSe响应码、响应MIC和基于UTC时间的计数器值,分析ProSe响应码并检查响应MIC;
具体的,所述主动终端51向自身的归属网络中的ProSe功能实体52发送匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值;
所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识等参数。
归属网络的ProSe功能实体52接收所述匹配报告,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值;
所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识等参数。
下面通过几个具体的示例对本发明的4个过程进行进一步说明。
被动终端过程的实现流程,如图17所示:
步骤1101,被动终端配置ProSe限制发现应用层用户标识;
步骤1102,被动终端向自身的归属网络中的ProSe功能实体发送发现请求消息,消息中包括模式(其值设置为B)、发现类型、限制发现应用层用户标识、终端标识、command(其值设置为ProSe响应)和应用标识等参数;
步骤1103,ProSe功能实体与归属用户服务器交互,进行发现认证;
步骤1104,ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识和指示符等参数;
步骤1105,ProSe应用服务器向ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识和指示符等参数;
步骤1106,ProSe功能实体分配ProSe响应码与发现过滤器;
步骤1107,ProSe功能实体向被动终端当前注册的拜访网络中的ProSe功能实体发送广播认证消息,消息中包括ProSe限制发现应用层用户标识、ProSe响应码、有效期和终端标识等参数;
步骤1108,拜访网络中的ProSe功能实体向归属网络中的功能实体回送广播认证响应消息;
步骤1109,归属网络中的ProSe功能实体向被动终端回送发现响应消息,消息中包括模式(其值设置为B)、发现过滤器、ProSe响应码、有效期、ProSe响应密钥、当前时间和最大偏移值等参数;
步骤1110,被动终端配置无线资源。
主动终端过程的实现流程,如图18所示:
步骤1201,主动终端配置ProSe限制发现应用层用户标识;
步骤1202,主动终端向它的归属网络中的ProSe功能实体发送发现请求消息,消息中包括模式(其值设置为B)、发现类型、限制发现应用层用户标识、终端标识、command(其值设置为ProSe查询)、应用标识和应用透明容器等参数;
步骤1203,ProSe功能实体与归属用户服务器交互,进行发现认证;
步骤1204,ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识、指示符和应用透明容器等参数;
步骤1205,ProSe应用服务器向ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识、指示符和若干对目标ProSe发现终端标识与目标ProSe限制发现应用层用户标识的对应关系等参数;
步骤1206,归属网络的ProSe功能实体向其他网络的ProSe功能实体发送发现请求消息,消息中包括ProSe限制发现应用层用户标识、终端标识、目标ProSe发现终端标识、应用标识、目标ProSe限制发现应用层用户标识等参数;
步骤1207,其他网络的ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识、指示符和目标ProSe限制发现应用层用户标识等参数;
步骤1208,ProSe应用服务器向其他网络的ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识、指示符和目标ProSe发现终端标识;
步骤1209,其他网络的ProSe功能实体向归属网络的ProSe功能实体回送发现响应消息,消息中包括ProSe查询码、发现过滤器、ProSe查询密钥、ProSe响应码和ProSe响应密钥等参数;
步骤1210,归属网络的ProSe功能实体向主动终端当前注册的拜访网络中的ProSe功能实体发送广播认证消息,消息中包括ProSe应用标识、ProSe查询码和终端标识等参数;
步骤1211,拜访网络的ProSe功能实体向归属网络的ProSe功能实体回送广播认证响应消息;
步骤1212,归属网络的ProSe功能实体向主动终端回送发现响应消息,消息中包括模式(其值设置为B)、发现过滤器、ProSe查询码、ProSe查询密钥、当前时间、最大偏移值和有效期等参数;
步骤1213,主动终端配置无线资源。
查询过程的实现流程,如图19所示:
步骤1301,主动终端计算查询MIC;
这里,所述查询MIC使用签名算法即HMAC-SHA-256计算所得,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
步骤1302,主动终端向被动终端发送查询请求消息,消息中包括ProSe查询码、查询MIC和计数器值的最低4位(二级制)等参数;
步骤1303,被动终端向它的归属网络中的ProSe功能实体发送认证请求消息,消息中包括ProSe查询码、查询MIC和基于UTC时间的计数器值等参数;
步骤1304,被动终端的归属网络的ProSe功能实体检查查询MIC;
步骤1305,被动终端的归属网络的ProSe功能实体向被动终端回送认证响应消息;
步骤1306,被动终端计算响应MIC;
这里,所述响应MIC使用签名算法即HMAC-SHA-256计算所得,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
步骤1307,被动终端检查ProSe查询码,如果通过检查,向主动终端回送查询响应消息,消息中包括ProSe响应码、响应MIC和计数器值的最低4位(二级制)参数。
匹配过程的实现流程,如图20所示:
步骤1401,主动终端向自身的归属网络中的ProSe功能实体发送匹配报告消息,消息中包括ProSe限制发现应用层用户标识、终端标识、发现类型、应用标识、ProSe响应码、ProSe响应MIC和基于UTC时间的计数器值等参数;
步骤1402,归属网络的ProSe功能实体进行发现认证;
步骤1403,归属网络的ProSe功能实体分析ProSe响应码并检查响应MIC;
步骤1404,归属网络的ProSe功能实体向ProSe应用服务器发送认证请求消息,消息中包括ProSe限制发现应用层用户标识、目标ProSe限制发现应用层用户标识和指示符等参数;
步骤1405,ProSe应用服务器进行处理;
步骤1406,ProSe应用服务器向归属网络的ProSe功能实体回送认证响应消息,消息中包括ProSe发现终端标识、目标ProSe发现终端标识、指示符等参数,可选地,也可以包括元数据参数;
步骤1407,归属网络的ProSe功能实体验证ProSe发现终端标识;
步骤1408,归属网络的ProSe功能实体向主动终端回送匹配报告响应消息,消息中包括应用标识,目标ProSe限制发现应用层用户标识和有效期等参数,可选地,也可以包括元数据参数;
步骤1409,归属网络的ProSe功能实体向其他网络的ProSe功能实体发送匹配报告信息消息,消息中包括ProSe限制发现应用层用户标识、终端标识、ProSe响应码和发现类型等参数。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (32)
1.一种设备到设备(D2D)模式B发现的安全方法,其特征在于,该方法包括:
被动终端归属网络中的基于距离的业务(ProSe)功能实体向被动终端回送ProSe响应码、ProSe响应密钥;
被动终端接收所述ProSe响应码、ProSe响应密钥。
2.根据权利要求1所述的安全方法,其特征在于,所述被动终端归属网络中的ProSe功能实体向被动终端回送ProSe响应码、ProSe响应密钥,包括:被动终端归属网络中的ProSe功能实体接收被动终端的发现请求消息,对所述被动终端进行认证处理,向所述被动终端发送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
3.根据权利要求2所述的安全方法,其特征在于,所述发现响应消息还包括:当前时间和最大偏移值。
4.根据权利要求3所述的安全方法,其特征在于,所述发现响应消息还包括:模式、发现过滤器和有效期。
5.一种D2D模式B发现的安全方法,其特征在于,该方法包括:
主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
主动终端归属网络的ProSe功能实体向主动终端回送ProSe查询码、ProSe查询密钥。
6.根据权利要求5所述的安全方法,其特征在于,所述主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥,包括:主动终端归属网络的ProSe功能实体接收其他网络的ProSe功能实体回送的第一发现响应消息,所述第一发现响应消息包括:ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥。
7.根据权利要求6所述的安全方法,其特征在于,所述第一发现响应消息还包括:ProSe查询码和发现过滤器。
8.根据权利要求6所述的安全方法,其特征在于,所述主动终端归属网络的ProSe功能实体向主动终端回送ProSe查询码、ProSe查询密钥、当前时间和最大偏移值,包括:主动终端归属网络的ProSe功能实体与主动终端当前注册的拜访网络中的ProSe功能实体进行广播认证后,向主动终端回送第二发现响应消息,所述第二发现响应消息包括:ProSe查询码、ProSe查询密钥、当前时间和最大偏移值。
9.根据权利要求8所述的安全方法,其特征在于,所述第二发现响应消息还包括:当前时间和最大偏移值。
10.根据权利要求9所述的安全方法,其特征在于,所述第二发现响应消息还包括:模式、发现过滤器和有效期。
11.一种D2D模式B发现的安全方法,其特征在于,该方法包括:
主动终端计算查询消息完整性保护码(MIC),向被动终端发送ProSe查询码、查询MIC和时间校准值;
主动终端接收被动终端回送的ProSe响应码和响应MIC。
12.根据权利要求11所述的安全方法,其特征在于,所述主动终端计算查询MIC包括:主动终端使用基于哈希函数消息认证码(HMAC)-安全散列算法(SHA-256)计算查询MIC,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于协调世界时(UTC)时间的计数器值,L2为计数器值长度。
13.一种D2D模式B发现的安全方法,其特征在于,该方法包括:
被动终端接收主动终端发送的ProSe查询码、查询MIC和时间校准值;
被动终端向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于UTC时间的计数器值,由被动终端的归属网络的ProSe功能实体检查查询MIC;
被动终端计算响应MIC,并向主动终端回送ProSe响应码和响应MIC。
14.根据权利要求13所述的安全方法,其特征在于,所述被动终端计算响应MIC包括:被动终端使用HMAC-SHA-256计算响应MIC,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
15.一种D2D模式B发现的安全方法,其特征在于,该方法包括:
主动终端向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值;
归属网络的ProSe功能实体接收ProSe响应码、响应MIC和基于UTC时间的计数器值,分析ProSe响应码并检查响应MIC。
16.根据权利要求15所述的安全方法,其特征在于,所述主动终端向自身的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值包括:主动终端向自身的归属网络中的ProSe功能实体发送匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值。
17.根据权利要求16所述的安全方法,其特征在于,所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识。
18.一种D2D模式B发现的安全系统,其特征在于,该系统包括:被动终端归属网络中的ProSe功能实体、被动终端;其中,
被动终端归属网络中的ProSe功能实体,用于向被动终端回送ProSe响应码、ProSe响应密钥;
被动终端,用于接收所述ProSe响应码、ProSe响应密钥。
19.根据权利要求18所述的安全系统,其特征在于,所述被动终端的归属网络中的ProSe功能实体,具体用于接收被动终端的发现请求消息,对所述被动终端进行认证处理,向所述被动终端发送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
20.根据权利要求19所述的安全系统,其特征在于,所述发现响应消息还包括:当前时间和最大偏移值。
21.一种被动终端归属网络的ProSe功能实体,其特征在于,该ProSe功能实体包括:请求接收模块、响应回送模块;其中,
请求接收模块,用于接收被动终端的发现请求消息;
响应回送模块,用于向所述被动终端回送发现响应消息,所述发现响应消息包括:ProSe响应码、ProSe响应密钥。
22.一种主动终端的归属网络的ProSe功能实体,其特征在于,该ProSe功能实体包括:第一接收模块、第一发送模块;其中,
第一接收模块,用于接收其他网络的ProSe功能实体回送的ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥;
第一发送模块,用于向主动终端回送ProSe查询码、ProSe查询密钥。
23.根据权利要求22所述的ProSe功能实体,其特征在于,所述第一接收模块,具体用于接收其他网络的ProSe功能实体回送的第一发现响应消息,所述第一发现响应消息包括:ProSe查询码、ProSe查询密钥、ProSe响应码和ProSe响应密钥。
24.根据权利要求23所述的ProSe功能实体,其特征在于,所述第一发送模块,具体用于与主动终端当前注册的拜访网络中的ProSe功能实体进行广播认证后,向主动终端回送第二发现响应消息,所述第二发现响应消息包括:ProSe查询码、ProSe查询密钥。
25.根据权利要求24所述的ProSe功能实体,其特征在于,所述第二发现响应消息还包括:当前时间和最大偏移值。
26.一种主动终端,其特征在于,该主动终端包括:第二发送模块、第二接收模块;其中,
第二发送模块,用于计算查询MIC,向被动终端发送ProSe查询码、查询MIC和时间校准值;
第二接收模块,用于接收被动终端回送的ProSe响应码和响应MIC。
27.根据权利要求26所述的主动终端,其特征在于,所述第二发送模块,具体用于使用HMAC-SHA-256计算查询MIC,即MIC=HMAC-SHA-256(ProSe查询密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe查询码,L1为ProSe查询码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
28.一种被动终端,其特征在于,该被动终端包括:第三接收模块、第三发送模块、第四发送模块,其中,
第三接收模块,用于接收主动终端发送的ProSe查询码、查询MIC和时间校准值;
第三发送模块,用于向自身的归属网络中的ProSe功能实体发送ProSe查询码、查询MIC和基于UTC时间的计数器值,由被动终端的归属网络的ProSe功能实体检查查询MIC;
第四发送模块,用于计算响应MIC,并向主动终端回送ProSe响应码和响应MIC。
29.根据权利要求28所述的被动终端,其特征在于,所述第四发送模块,具体用于使用HMAC-SHA-256计算响应MIC,即MIC=HMAC-SHA-256(ProSe响应密钥,字符串S),所述字符串由S=FC||P0||L0||P1||L1||P2||L2组成,其中FC为固定长度的算法类型,P0为消息类型,其值设置为PC5_DISCOVERY,L0为消息类型长度,P1为ProSe响应码,L1为ProSe响应码长度,P2为基于UTC时间的计数器值,L2为计数器值长度。
30.一种D2D模式B发现的安全系统,其特征在于,该系统包括:主动终端、主动终端的归属网络的ProSe功能实体;其中,
主动终端,用于向主动终端的归属网络中的ProSe功能实体发送ProSe响应码、响应MIC和基于UTC时间的计数器值;
主动终端的归属网络的ProSe功能实体,用于接收ProSe响应码、响应MIC和基于UTC时间的计数器值,分析ProSe响应码并检查响应MIC。
31.根据权利要求30所述的安全系统,其特征在于,所述主动终端,具体用于向自身的归属网络中的ProSe功能实体发送匹配报告消息,所述匹配报告消息包括:ProSe响应码、响应MIC和基于UTC时间的计数器值。
32.根据权利要求31所述的安全系统,其特征在于,所述匹配报告消息还包括ProSe限制发现应用层用户标识、终端标识、发现类型和应用标识。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510013226.XA CN105828413B (zh) | 2015-01-09 | 2015-01-09 | 一种d2d模式b发现的安全方法、终端和系统 |
| EP15876597.4A EP3229435B1 (en) | 2015-01-09 | 2015-08-06 | D2d mode b discovery security method, and storage medium |
| US15/542,081 US10405363B2 (en) | 2015-01-09 | 2015-08-06 | D2D mode B discovery security method, terminal and system, and storage medium |
| PCT/CN2015/086231 WO2016110093A1 (zh) | 2015-01-09 | 2015-08-06 | D2d模式b发现的安全方法、终端和系统、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510013226.XA CN105828413B (zh) | 2015-01-09 | 2015-01-09 | 一种d2d模式b发现的安全方法、终端和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105828413A true CN105828413A (zh) | 2016-08-03 |
| CN105828413B CN105828413B (zh) | 2020-11-10 |
Family
ID=56355475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510013226.XA Active CN105828413B (zh) | 2015-01-09 | 2015-01-09 | 一种d2d模式b发现的安全方法、终端和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10405363B2 (zh) |
| EP (1) | EP3229435B1 (zh) |
| CN (1) | CN105828413B (zh) |
| WO (1) | WO2016110093A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989277A (zh) * | 2017-05-31 | 2018-12-11 | 三星Sds株式会社 | 令牌管理方法及用于执行该方法的服务器 |
| CN110119269A (zh) * | 2019-04-19 | 2019-08-13 | 北京大米科技有限公司 | 控制任务对象的方法、装置、服务器及存储介质 |
| WO2021196886A1 (zh) * | 2020-04-03 | 2021-10-07 | 大唐移动通信设备有限公司 | 一种邻近发现标识的使用方法、装置及存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10602356B2 (en) | 2015-04-13 | 2020-03-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for end device discovering another end device |
| WO2017129287A1 (en) * | 2016-01-25 | 2017-08-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Implicit spatial replay protection |
| CN108476240B (zh) | 2016-01-25 | 2022-03-15 | 瑞典爱立信有限公司 | 显式空间重放保护 |
| WO2018165548A1 (en) * | 2017-03-10 | 2018-09-13 | Stojanovski Alexandre Saso | Technology coordination for device-to-device discovery |
| EP3639444B1 (en) | 2017-06-16 | 2021-08-04 | Telefonaktiebolaget LM Ericsson (Publ) | Frequency offset estimation |
| JP7089046B2 (ja) * | 2017-11-15 | 2022-06-21 | ノキア テクノロジーズ オサケユイチア | 直接発見に対するアプリケーションの許可 |
| WO2020159533A1 (en) * | 2019-02-01 | 2020-08-06 | Hewlett-Packard Development Company, L.P. | Security credential derivation |
| US20220032181A1 (en) * | 2019-03-18 | 2022-02-03 | Google Llc | Cloud-based discovery service for end-user devices |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102214278A (zh) * | 2010-04-06 | 2011-10-12 | 国民技术股份有限公司 | 一种计算机的可信性检测方法 |
| US20140119544A1 (en) * | 2012-11-01 | 2014-05-01 | Lg Electronics Inc. | Method and apparatus of providing integrity protection for proximity-based service discovery with extended discovery range |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2768272B1 (en) * | 2013-01-28 | 2017-03-22 | Samsung Electronics Co., Ltd | Methods and apparatuses for device to device communication |
| CN104066200B (zh) * | 2013-03-21 | 2020-11-06 | 北京三星通信技术研究有限公司 | 一种ue间端到端通信的实现方法及用户设备 |
| KR102142576B1 (ko) | 2013-05-16 | 2020-08-10 | 삼성전자주식회사 | 단말간 통신을 위한 탐색 방법 및 장치 |
| CN104168629B (zh) * | 2013-05-17 | 2019-01-08 | 电信科学技术研究院 | 邻近服务中继节点的发现方法、终端及邻近服务通信系统 |
| US10064053B2 (en) * | 2014-03-21 | 2018-08-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication in device to device discovery |
| CN106576241B (zh) * | 2014-10-31 | 2020-05-19 | 宇龙计算机通信科技(深圳)有限公司 | D2d通信中检验mic的方法和d2d通信系统 |
-
2015
- 2015-01-09 CN CN201510013226.XA patent/CN105828413B/zh active Active
- 2015-08-06 US US15/542,081 patent/US10405363B2/en active Active
- 2015-08-06 EP EP15876597.4A patent/EP3229435B1/en active Active
- 2015-08-06 WO PCT/CN2015/086231 patent/WO2016110093A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102214278A (zh) * | 2010-04-06 | 2011-10-12 | 国民技术股份有限公司 | 一种计算机的可信性检测方法 |
| US20140119544A1 (en) * | 2012-11-01 | 2014-05-01 | Lg Electronics Inc. | Method and apparatus of providing integrity protection for proximity-based service discovery with extended discovery range |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP: "Proximity-based Services (ProSe); Security aspects", 《3GPP TS 33.303 V12.2.0》 * |
| 3GPP: "Proximity-based Services; Security Aspects", 《3GPP TS 33.CDE V0.1.0》 * |
| 3GPP: "Study on Security issues to support Proximity Services (ProSe)", 《3GPP TR 33.833 V1.2.0》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108989277A (zh) * | 2017-05-31 | 2018-12-11 | 三星Sds株式会社 | 令牌管理方法及用于执行该方法的服务器 |
| CN108989277B (zh) * | 2017-05-31 | 2023-03-14 | 三星Sds株式会社 | 令牌管理方法及用于执行该方法的服务器 |
| CN110119269A (zh) * | 2019-04-19 | 2019-08-13 | 北京大米科技有限公司 | 控制任务对象的方法、装置、服务器及存储介质 |
| WO2021196886A1 (zh) * | 2020-04-03 | 2021-10-07 | 大唐移动通信设备有限公司 | 一种邻近发现标识的使用方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10405363B2 (en) | 2019-09-03 |
| EP3229435A1 (en) | 2017-10-11 |
| US20180279394A1 (en) | 2018-09-27 |
| CN105828413B (zh) | 2020-11-10 |
| EP3229435B1 (en) | 2019-01-02 |
| EP3229435A4 (en) | 2017-11-15 |
| WO2016110093A1 (zh) | 2016-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105828413A (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| US10812461B2 (en) | Connecting IMSI-less devices to the EPC | |
| CN113545018B (zh) | 使用网络组件作为区块链节点来保护电信网络 | |
| US11233817B2 (en) | Methods and apparatus for end device discovering another end device | |
| KR20170110170A (ko) | M2m 부트스트래핑 | |
| US20120202492A1 (en) | Method and apparatus for enabling identification of a rejecting network in connection with registration area updating | |
| CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
| US9713176B2 (en) | Telecommunication method and telecommunication system | |
| US10484396B2 (en) | Method and device for examining message integrity check | |
| CN103686718A (zh) | D2d设备的身份标识处理方法及装置 | |
| WO2016112677A1 (zh) | 发现业务码的校验处理、校验方法及装置 | |
| JP2015503304A (ja) | アクセス方法、モビリティ管理デバイス、およびユーザ機器 | |
| US10219309B2 (en) | D2D service authorizing method and device and home near field communication server | |
| CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
| JP2015517747A (ja) | モバイル装置の認証方法、装置及びシステム | |
| WO2015154426A1 (zh) | ProSe临时标识的通知与更新方法和装置 | |
| WO2015135278A1 (zh) | 一种鉴权认证方法和系统、ProSe功能实体以及UE | |
| CN105228124A (zh) | 处理ProSe业务授权变化的方法、第一网元、第二网元 | |
| GB2607915A (en) | A method and system for authenticating a base station | |
| CN105025444A (zh) | 一种实现设备到设备发现业务的方法及终端 | |
| CN104683939A (zh) | 一种临近发现中区分移动终端不同属性的方法及网元 | |
| WO2024025870A1 (en) | Architecture framework for ubiquitous computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |