CN108702786A - 一种通信方法、装置和系统 - Google Patents
一种通信方法、装置和系统 Download PDFInfo
- Publication number
- CN108702786A CN108702786A CN201680083242.9A CN201680083242A CN108702786A CN 108702786 A CN108702786 A CN 108702786A CN 201680083242 A CN201680083242 A CN 201680083242A CN 108702786 A CN108702786 A CN 108702786A
- Authority
- CN
- China
- Prior art keywords
- message
- terminal
- temporary identifier
- access device
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 149
- 238000012545 processing Methods 0.000 claims abstract description 44
- 230000005540 biological transmission Effects 0.000 claims abstract description 12
- 238000013475 authorization Methods 0.000 claims description 78
- 238000000034 method Methods 0.000 claims description 61
- 230000004044 response Effects 0.000 claims description 58
- 230000008569 process Effects 0.000 claims description 17
- 238000007689 inspection Methods 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 238000009826 distribution Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 206010039203 Road traffic accident Diseases 0.000 description 2
- 230000003321 amplification Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000003344 environmental pollutant Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 231100000719 pollutant Toxicity 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/04—Scheduled access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种通信方法、装置和系统,包括:接入设备为终端生成临时标识序列,并将所述临时标识序列携带在第一消息中发送至所述终端,终端接收到接入设备发送的第一消息,从所述临时标识序列中选择一个临时标识,并基于所述终端的区域密钥、选择的临时标识以及所述终端的PDCP数据SDU生成所述终端的PDCP数据PDU,在发送自身的V2X消息时使用,所述区域密钥为所述终端的位置信息对应的区域的区域密钥,这样,既能够实现V2X通信的匿名性、防止跟踪性和防止抵赖性的安全需求,还能降低V2X通信的安全开销与处理时延。
Description
本发明涉及通信技术领域,尤其涉及一种通信方法、装置和系统。
近年来汽车网络越来越受到人们的关注,通过车车通信或者车与路边单元(Road Side Unit,RSU)之间的通信从而提高道路交通的安全性、可靠性,提升交通通行效率。智能交通系统旨在实现车与车、车与人之间、车与路之间持续通信以交换当前车辆或周围环境状态,以减少交通事故、提高交通出行的安全性、帮助缓解交通拥堵、降低能耗、减少污染排放、保护环境、提高运输效率并带动相关产业。
在ITS(Intelligent Transport System,智能交通系统)系统中,针对V2X(vehicle to Everything,车辆到任何终端)通信,有三个重要的安全需求:匿名性(Anonymity),即匿名化消息发送者,以保护消息发送者的信息;防止跟踪性(non-traceability),即防止消息发送者被跟踪;防止抵赖性(non-repudiation),即防止消息发送者抵赖其发送过的消息。目前,欧洲和美国的ITS都是基于DSRC(Dedicated short range communication,专用短距离通信)技术来实现V2X之间的通信。在该系统中,V2X通信的安全依赖于PKI证书体系,并且基于证书来实现V2X的三个安全需求。V2X通信终端从网络侧的CA(Certificate Authority,证书中心)请求获取证书,为了防跟踪V2X通信终端需要不断更换使用的证书,频率可以达到6分钟换一张,因此V2X通信终端需要的证书量很大,而且由于DSRC系统中的RSU(路侧单元)数量有限,V2X通信终端会一次从CA申请一个月的证书,证书量可以达到7200张证书的量级。V2X通信终端拿到证书后缓存在本地,终端会以1~10HZ的频率向周围广播V2X消息,携带自身信息(例如,CAM(Cooperative Awareness Message,合作感知消息)、DENM(Decentralized environmental
notification message,分布式环境通知消息))。为了使接收端终端能够验证发送终端身份的合法性,需要发送终端将其证书携带在消息中。证书对发送终端进行了匿名化处理,即证书中的subject name只是和发送终端有某种映射关系,保存在CA处,subject name本身不会泄露发送终端的基本信息。为了使接收终端能够验证CAM/DENM消息本身是否收到安全攻击(伪造和篡改),需要发送终端使用证书对应的私钥对消息进行签名并将签名值携带在消息中,该签名也保证了防止抵赖性的实现。接收终端会首先验证CAM/DENM消息中证书的合法性,然后再验证消息中签名值是否正确。V2X消息的格式可以参见图1,该消息中需要携带Certificate(证书)和Signature(签名)。
然而,上述基于DSRC技术实现的V2X通信方案中匿名性、防止跟踪性、防止抵赖性是基于证书实现的,每条DSRC消息均携带有证书和签名,且证书和签名的大小要远远大于DSRC消息的大小,使得安全开销大;此外,基于证书的签名和加密计算时间长,对于时延敏感的V2X通信消息,如果处理时延太大,可能会产生较大影响。
发明内容
本发明实施例提供一种通信方法、装置和系统,利用LTE网络辅助实现V2X通信中的匿名性、防止跟踪性、防止抵赖性需求,减少安全开销与处理时延。
第一方面,提供一种通信方法,包括:
终端接收接入设备发送的第一消息,所述第一消息中携带有所述接入设备为所述终端生成的临时标识序列;
所述终端从所述临时标识序列中选择一个临时标识,并基于所述终端的区域密钥、选择的临时标识以及所述终端的PDCP数据SDU生成所述终端的PDCP数据PDU,所述区域密钥为所述终端的位置信息对应的区域的区域密钥。
这样终端在后续的V2X消息中都携带有临时标识,基于该临时标识能够
实现V2X通信的匿名性安全需求。
在第一方面的基础上,可选的,所述终端接收所述接入设备发送的第一消息之前,所述方法还包括:
所述终端向所述接入设备发送用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;
在第一方面的基础上,可选的,所述接入设备为车辆到任何终端V2X服务器时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
在第一方面的基础上,可选的,所述接入设备为V2X服务器时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
在第一方面的基础上,可选的,所述接入设备为V2X服务器或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
在第一方面的基础上,可选的,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
在第一方面的基础上,可选的,所述PDCP数据PDU包括PDCP报头、数据载荷、消息认证码,其中,所述PDCP报头中携带选择的临时标识、所述终端的位置信息对应的区域的区域标识、所述区域密钥的标识、所述终端处理所述PDCP数据SDU时的时间戳,对于需要加密的V2X通信所述数据载荷是经过加密的PDCP数据SDU的数据内容,用于描述所述终端的状态信息,所述消息认证码是利用所述区域密钥对PDCP报头和数据载荷进行完整性保护得到的。
第二方面,提供一种通信方法,包括:
接入设备为终端生成临时标识序列,
所述接入设备将所述临时标识序列携带在第一消息中发送至所述终端。
这样,通过网络侧的接入设备生成并分发临时标识序列给终端,实现V2X通信的匿名性需求。
在第二方面的基础上,可选的,所述接入设备为车辆到任何终端V2X服务器或演进型基站eNB。
在第二方面的基础上,可选的,所述接入设备为终端生成临时标识序列,包括:
所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
在第二方面的基础上,可选的,所述接入设备为终端生成临时标识序列之前,所述方法还包括:
所述接入设备接收终端发送的用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;
接入设备检查所述终端是否具有V2X通信的授权权限;
所述接入设备确认所述终端具有所述授权权限。
在第二方面的基础上,可选的,接入设备检查所述终端是否具有V2X通信的授权权限,包括:
所述接入设备获取所述终端的V2X授权信息,基于所述终端的V2X授权信息,对所述终端进行授权检查,包括:所述接入设备根据所述终端的身份标识确定所述终端是否被允许进行V2X业务,所述终端的V2X授权信息存储在接入设备本地或归属签约用户服务器HSS。
在第二方面的基础上,可选的,所述接入设备为V2X服务器时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
在第二方面的基础上,可选的,所述接入设备为V2X服务器时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
在第二方面的基础上,可选的,所述接入设备为V2X服务器或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
在第二方面的基础上,可选的,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
在第二方面的基础上,可选的,所述接入设备为终端生成第一临时标识序列之前,所述方法还包括:
所述接入设备检查上一次发送至所述终端的临时标识序列中存在可用临时标识,所述可用临时标识为使用期限未过期的临时标识。
在第二方面的基础上,可选的,所述第一消息为临时标识通知消息。
在第二方面的基础上,可选的,所述接入设备为终端生成临时标识序列,包括:
所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
第三方面,提供一种通信装置,包括:
接收单元,用于接收接入设备发送的第一消息,所述第一消息中携带有所述接入设备为所述装置生成的临时标识序列;
处理单元,用于从所述临时标识序列中选择一个临时标识,并基于所述装置的区域密钥、选择的临时标识以及所述装置的PDCP数据SDU生成所述装置的PDCP数据PDU,所述区域密钥为所述装置的位置信息对应的区域的区域密钥。
这样终端在后续的V2X消息中都携带有临时标识,基于该临时标识能够实现V2X通信的匿名性安全需求。
在第三方面的基础上,可选的,所述接收单元在接收所述接入设备发送的第一消息之前,还用于:
向所述接入设备发送用于获取所述装置的临时标识序列的第二消息,所述第二消息中携带有所述装置的身份标识;
在第三方面的基础上,可选的,所述接入设备为车辆到任何终端V2X服务单元时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
在第三方面的基础上,可选的,所述接入设备为V2X服务单元时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
在第三方面的基础上,可选的,所述接入设备为V2X服务单元或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
在第三方面的基础上,可选的,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
在第三方面的基础上,可选的,所述PDCP数据PDU包括PDCP报头、数据载荷、消息认证码,其中,所述PDCP报头中携带选择的临时标识、所述装置的位置信息对应的区域的区域标识、所述区域密钥的标识、所述装置处理所述PDCP数据SDU时的时间戳,对于需要加密的V2X通信所述数据载荷是经过加密的PDCP数据SDU的数据内容,用于描述所述装置的状态信息,所述消息认证码是利用所述区域密钥对PDCP报头和数据载荷进行完整性保护得到的。
第四方面,提供一种通信装置,应用在网络侧,包括:
处理单元,用于为终端生成临时标识序列,
发送单元,用于将所述临时标识序列携带在第一消息中发送至所述终端。
这样,通过网络侧的接入设备生成并分发临时标识序列给终端,实现V2X通信的匿名性需求。
在第四方面的基础上,可选的,所述处理单元在为终端生成临时标识序列时,具体用于:
所述处理单元为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
在第四方面的基础上,可选的,所述装置还包括:
接收单元,用于在所述处理单元在为终端生成临时标识序列之前,接收所述终端发送的用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;
所述处理单元,还用于检查所述终端是否具有V2X通信的授权权限。
在第四方面的基础上,可选的,所述处理单元在检查所述终端是否具有
V2X通信的授权权限时,具体用于:
获取所述终端的V2X授权信息,基于所述终端的V2X授权信息,对所述终端进行授权检查,包括:根据所述终端的身份标识确定所述终端是否被允许进行V2X业务,所述终端的V2X授权信息存储在接入设备本地或归属签约用户服务单元HSS。
在第四方面的基础上,可选的,所述接入设备为V2X服务单元时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
在第四方面的基础上,可选的,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
在第四方面的基础上,可选的,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
在第四方面的基础上,可选的,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
在第四方面的基础上,可选的,所述处理单元在为终端生成第一临时标识序列之前,还用于:
检查上一次发送至所述终端的临时标识序列中存在可用临时标识,所述可用临时标识为使用期限未过期的临时标识。
在第四方面的基础上,可选的,所述第一消息为临时标识通知消息。
在第四方面的基础上,可选的,所述处理单元为终端生成临时标识序列时,具体用于:
所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
第五方面,提供一种终端设备,该终端设备包括处理器、存储器、发射器和接收器,其中,所述存储器中存有计算机可读程序,所述处理器通过运行所述存储器中的程序,控制所述发射器和接收器,实现第一方面涉及的通信方法。
第六方面,提供一种网络设备,该设备包括处理器、存储器、收发器,
其中,所述存储器中存有计算机可读程序,所述处理器通过运行所述存储器中的程序,控制所述收发器,实现第二方面涉及的通信方法。
第七方面,提供一种通信系统,该通信系统包括第一设备和第二设备,其中,所述第一设备为第三方面涉及的通信装置或第五方面涉及的终端设备,所述第二设备为第四方面涉及的通信装置或第六方面涉及的网络设备。
本发明实施例提供的V2X的通信方案,网络侧的接入设备生成并分发临时标识序列给终端,终端基于接收到的临时标识序列在处理PDCP层消息时基于选择的临时标识生成PDCP数据PDU,在发送终端的V2X消息时使用,从而实现V2X通信的安全需求,由于临时标识要远小于现有技术中的安全证书的数据量大小,使得V2X通信安全开销小,降低消息处理时延。
图1为现有的V2X消息的格式体示意图;
图2为本发明实施例中的通信方法流程图;
图3A、图3B为本发明实施例中PDCP数据PDU的消息格式体示意图;
图4为本发明实施例一中的通信方法流程图;
图5为本发明实施例二中的通信方法流程图;
图6为本发明实施例三中的通信方法流程图;
图7为本发明实施例四中的通信方法流程图;
图8为本发明实施例五中的通信方法流程图;
图9为本发明实施例六中的通信方法流程图;
图10为本发明实施例七中的通信方法流程图;
图11为本发明实施例中终端侧的通信装置结构示意图;
图12为本发明实施例中终端设备的结构示意图;
图13为本发明实施例中网络侧的通信装置结构示意图;
图14为本发明实施例中网络侧接入设备结构示意图。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中,网络侧的接入设备为一个或多个eNB/TA(Tracking Area Identity,跟踪区标识)的覆盖区域生成一种区域密钥,当V2X通信终端通过认证和授权检查后,网络侧的接入设备将该区域密钥发给V2X通信终端,位于同一个区域内的V2X通信终端可以利用该区域密钥进行通信,V2X的三个安全需求也是采用该对称密钥方案来实现的。
在一种可选的实施方式中,网络侧的接入设备可以为演进型基站(eNB),上述区域密钥由eNB生成并管理。
在另一种可选的实施方式中,通过在网络侧部署一个V2X服务器,上述区域密钥可以由V2X服务器生成并管理,并配置到相应eNB上。在该实施方式中,可以在系统中部署一个V2X服务器,该V2X服务器用于生成并管理区域密钥,并将该区域密钥配置到相应eNB上。由于所有区域的密钥均由V2X服务器生成并管理,从而,能够避免区域密钥的重用问题。
在另一种可选的实施方式中,网络侧的接入设备可以为在网络侧部署的一个V2X服务器,该V2X服务器用于生成并管理区域密钥,V2X服务器不会将区域密钥发送给eNB,即eNB不感知区域密钥,V2X服务器可以直接向终端分配区域密钥或者通过MME向终端分配区域密钥。
需要说明的是,V2X服务器可以部署于MNO(运营商网络)网络域内,也可以部署于MNO网络域外。
本发明实施例中,V2X也可以称为LTE-V2X,即基于LTE(Long Term Evolution,长期演进)的车辆与其它终端;V2X通信可以包括但不限于:V2V通信、V2I(Vehicle-to-Infrastructure,车辆到基础设施)通信,以及V2P(Vehicle-to-Pedestrian,车辆到行人)通信;其中,V2I通信中可以包括但不
限于车辆与基站通信、车辆与路边单元通信以及车辆与交通灯上的通信模块通信等。
针对V2X的匿名性安全需求,网络侧的接入设备生成并分发一组临时标识序列,在本发明实施例中称为LTE V2X temporary IDs,并发送给V2X通信终端;针对V2X的防跟踪性安全需求,V2X通信终端需要定期更换使用的临时标识;针对V2X的防抵赖性安全需求,需要在V2X通信终端上实现安全环境(secure environment),具体的,可以通过终端的可信计算模块来实现以下功能:
1)存储保护功能
保存网络侧的接入设备分发的临时标识序列LTE V2X temporary IDs、区域密钥、计算MAC-I码的完整性算法标识等通信参数并保证不被攻击者和该终端使用者获取
2)执行保护功能
应用层的消息到达PDCP层后,将终端当前使用的临时标识(LTE V2X temporary ID)、终端所在区域的区域标识(Area ID)、区域密钥标识(Area Key ID)、时间戳(Timestamp)添加到PDCP header中;基于区域密钥、完整性算法、PDCP header、数据载荷计算MAC-I码,并将MAC-I码添加到PDCP包中,该MAC-I码可以让接收到该消息的V2X通信终端验证该消息是否受到篡改;保证上述执行过程不被攻击者和该终端使用者本身干预。
由此可知,应用层的消息经过可信计算模块的处理后,包含了V2X通信终端的身份信息,可信计算模块的保护使得攻击者无法接触到临时标识的处理,所以无法在消息中伪造身份信息,并且MAC-I码保证了终端的身份信息在传输过程中的完整性,基于此,防抵赖性得以实现。
参阅图2所示,本发明实施例提供一种通信方法,具体流程如下所示:
步骤201:接入设备为终端生成临时标识序列。
其中,接入设备可以为V2X服务器或eNB。
具体的,所述接入设备为所述终端生成临时标识序列时,设置所述临时
标识序列中的每个临时标识的生命周期。
一般情况下,临时标识的生命周期一般设定一个时间值,在该时间设定值之前可以使用对应的临时标识,超过该时间设定值就不能使用对应的临时标识。
需要说明的是的是,临时标识序列即temporary IDs有两个关键点,第一点,某一时刻接入设备必须知道某个临时标识(temporary ID)是哪个终端在使用;第二点,某一时刻接入设备必须保证不同的终端在使用不同的temporary ID。为满足这两点,接入设备对每个temporary ID设定生命周期(lifetime),具体的,可以采用以下两种方法:
第一种方法,当接入设备为终端生成一组temporary IDs时,接入设备给每个temporary ID都设定一个互不相同的生命周期,终端中的安全模块在选用时,首先使用生命周期最短的一个temporary ID,这样接入设备就知道在某一时刻该终端使用的是哪一个temporary ID。
第二种方法,当接入设备为终端生成一组temporary IDs时,接入设备给这一组temporary IDs设定一个相同的生命周期,终端中的安全模块根据本地政策决定temporary ID的使用顺序,这样接入设备就知道在某一时刻某个temporary ID是否是该终端在使用。
在本发明实施例中,接入设备对temporary IDs的分配和维护可以采用以下两种方法:
第一种方法:接入设备在终端的上下文中保存终端的temporary IDs及每个temporary ID对应的生命周期,当接入设备在给当前终端分配新的temporary IDs时,检查所有终端的temporary IDs列表,看是否已经有其他终端分配了相同的temporary ID,若有,则检查是否已经过期;若已经过期,则把过期的temporary ID从该终端的temporary IDs列表中删除掉,并把这个temporary ID分配给当前终端。
第二种方法:接入设备在终端的上下文中保存终端的temporary IDs及每个temporary ID对应的生命周期,并且接入设备会定期检查各终端的temporary
IDs列表,删除已经过期的temporary ID,在给当前终端分配新的temporary ID时,检查是否已经有其他终端分配了相同的temporary IDs,若有,则该temporary ID不能再分配给其他的终端。
步骤202:所述接入设备将所述临时标识序列携带在第一消息中发送至所述终端。
在一种可选的实施方式中,步骤201执行之前,还包括以下过程:
所述接入设备接收终端发送的用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;检查所述终端是否具有V2X通信的授权权限;确认所述终端具有所述授权权限。
具体的,接入设备检查所述终端是否具有V2X通信的授权权限,具体过程为:所述接入设备获取所述终端的V2X授权信息,基于所述终端的V2X授权信息,对所述终端进行授权检查,具体实施方式为:所述接入设备根据所述终端的身份标识确定所述终端是否被允许进行V2X业务,所述终端的V2X授权信息存储在接入设备本地或HSS(Home Subscriber Server,归属签约用户服务器)。
可选的,所述接入设备为V2X服务器时,在一种实施方式中,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
可选的,所述接入设备为V2X服务器时,在另一种实施方式中,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
可选的,所述接入设备为V2X服务器时,在另一种实施方式中,所述第二消息为通信安全参数请求,所述第一消息为通信安全参数响应消息。
可选的,所述接入设备为eNB时,在一种实施方式中,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
可选的,所述接入设备为eNB时,在另一种实施方式中,所述第二消息为通信安全参数请求,所述第一消息为通信安全参数响应消息。
在一种可选的实施方式中,步骤201执行之前,还包括以下过程:
所述接入设备检查上一次发送至所述终端的临时标识序列中存在可用临
时标识,所述可用临时标识为使用期限未过期的临时标识,相应地,在这种实施方式中,所述第一消息为临时标识通知消息。
步骤203:所述终端从所述临时标识序列中选择一个临时标识,并基于所述终端的区域密钥、选择的临时标识以及所述终端的PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)数据SDU(Service Data Unit,业务数据单元)生成所述终端的PDCP数据PDU(Protocol Data Unit,协议数据单元),所述区域密钥为所述终端的位置信息对应的区域的区域密钥。
需要说明的是,步骤203中选择的临时标识是使用期限未过期,即未超过生命周期的可用的临时标识。
其中,PDCP数据SDU经过处理后得到的PDCP数据PDU的格式为PDCP header(报头)+数据载荷+消息认证码,其中,所述PDCP报头中携带选择的临时标识、所述终端的位置信息对应的区域的区域标识、所述区域密钥的标识、所述终端处理所述PDCP数据SDU时的时间戳,所述数据载荷包含了PDCP数据SDU的内容,描述了所述终端的状态信息,具体包括终端的速度、加速度、方向等状态信息,对于需要加密的V2X通信,该数据载荷是经过加密的数据载荷,对于不需要加密的V2X通信,该数据载荷是未经加密的数据载荷,所述消息认证码是利用所述区域密钥对PDCP报头和数据载荷进行完整性保护得到的。具体的,PDCP数据PDU的消息格式可参阅图3A或图3B所示。
本发明实施例中,针对V2X通信中的匿名性安全需求,通过接入设备生成并分发一组临时标识序列给终端来实现的,针对V2X通信中的防跟踪性安全需求,是通过终端定期更换使用的临时标识来实现的,针对V2X通信中的防止抵赖性安全要求,终端的可信计算模块把终端的临时标识添加到PDCP header中,并计算消息验证码添加到PDCP包中,经过底层处理生成V2X消息发送出去,其中PDCP Data PDU中的时间戳的值表示终端处理PDCP数据SDU的时间(如2010-11-04 16:19:42)其他终端收到V2X消息后,可以根据时间戳来验证该V2X消息是否是一条重放消息。若攻击者在应用层生成了一
条恶意消息,造成了交通事故,那么受害者可以根据收到的恶意消息中的临时标识去接入设备中查询终端相对应的IMSI(International Mobile Subscriber Identity,国际移动用户标识码),从而锁定肇事的车辆。
下面通过七个实施例来详细说明终端获取网络侧生成的临时标识序列的过程。
实施例一
实施例一中的实施场景是,由LTE-V2X服务器来管理和分配LTE V2X通信所用的temporary IDs,终端通过独立的临时标识请求流程来获取LTE V2X temporary IDs,具体步骤如图4所示。
步骤40、终端与PGW之间已经成功建立PDN(Public Data Network,公用数据网)连接。
步骤41、终端与LTE-V2X服务器建立TLS(Transport Layer Security Protocol,安全传输层协议)安全连接,所述TLS安全连接可以基于证书,也可以基于对称密钥(GBA)。
步骤42、终端向LTE-V2X服务器发送临时标识请求消息,该临时标识请求消息中携带终端的身份标识,可选的,终端的身份标识可以为IMSI。
步骤43、LTE-V2X服务器若存储有所述终端的LTE V2X授权信息,基于其存储的LTE V2X授权信息,检查终端是否允许做LTE V2X通信,确定终端具有V2X通信的授权权限时,执行步骤47。
步骤44、LTE-V2X服务器若未存储有所述终端的LTE V2X授权信息,则向HSS发送所述终端的LTE V2X授权信息请求消息。
步骤45、HSS将终端的LTE V2X授权信息发送给LTE-V服务器。
步骤46:LTE-V2X服务器基于HSS反馈的LTE V2X授权信息,检查终端是否允许做LTE V2X通信,确定终端具有V2X通信的授权权限时,执行步骤47。
步骤47、LTE-V2X服务器为终端生成包括多个LTE V2X temporary ID的LTE V2X temporary IDs,并作为终端的context(上下文)存储。
步骤48、LTE-V2X服务器向终端发送临时标识响应消息,该临时标识响应消息中携带LTE V2X temporary IDs。
步骤49、终端的secure environment(安全环境)接收并存储LTE V2X temporary IDs,在发送自身的V2X消息时使用。
实施例二
实施例二中的实施场景与实施例一中的实施场景相似,也是由LTE-V2X服务器来管理和分配LTE V2X通信所用的temporary IDs,但是,实施例二中的终端通过LTE-V2X的服务授权请求流程来获取LTE V2X temporary IDs,具体步骤如图5所示。
步骤50~步骤51同实施例一中的步骤40~步骤41,在此不再赘述。
步骤52:终端向LTE-V2X服务器发送服务授权请求消息,该服务授权请求消息中携带终端的身份标识,可选的,终端的身份标识可以为IMSI。
步骤53~步骤57同实施例一中的步骤43~步骤47,在此不再赘述。
步骤58、LTE-V2X服务器向终端发送服务授权响应消息,该服务授权响应消息中携带LTE V2X temporary IDs。可选的,所述服务授权响应消息中除携带有LTE V2X temporary IDs外,还携带有LTE-V2X通信中所必须的通信参数。
步骤59同实施例一中的步骤49,在此不再赘述。
实施例三
实施例三中的实施场景与实施例一中的实施场景相似,也是由LTE-V2X服务器来管理和分配LTE V2X通信所用的temporary IDs,但是,实施例三中的终端通过LTE-V2X的通信安全参数请求流程来获取LTE V2X temporary IDs,具体步骤如图6所示。
步骤60~步骤61同实施例一中的步骤40~步骤41,在此不再赘述。
步骤62:终端向LTE-V2X服务器发送通信安全参数请求消息,该通信安全参数请求消息中携带终端的身份标识,可选的,终端的身份标识可以为IMSI。
步骤63~步骤67同实施例一中的步骤43~步骤47,在此不再赘述。
步骤68、LTE-V2X服务器向终端发送通信安全参数响应消息,该通信安全参数响应消息中携带LTE V2X temporary IDs。可选的,所述通信安全参数响应消息中除携带有LTE V2X temporary IDs外,还携带有LTE-V2X通信中所必须的通信安全参数。
步骤69同实施例一中的步骤49,在此不再赘述。
实施例四
实施例四中的实施场景与实施例一中的实施场景相似,也是由LTE-V2X服务器来管理和分配LTE V2X通信所用的temporary IDs,但是,实施例四中由LTE-V2X服务器通过主动推送流程向终端推送LTE-V2X通信用的LTE-V2X temporary IDs,具体步骤如图7所示。
步骤70~步骤71同实施例一中的步骤40~步骤41,在此不再赘述。
步骤72、LTE-V2X服务器检查上一次发送至终端的LTE V2X temporary IDs的生命周期。
步骤73、LTE-V2X服务器确定在上一次发送至终端的LTE V2X temporary IDs中存在未过期的LTE V2X temporary IDs时,LTE-V2X服务器为终端生成新的包括多个LTE V2X temporary ID的LTE V2X temporary IDs,并作为终端的上下文存储。
步骤74、LTE-V2X服务器向终端返回临时标识通知消息,该临时标识通知消息携带新的LTE V2X temporary IDs。
步骤75、终端的secure environment接收并存储LTE V2X temporary IDs,在发送自身的V2X消息时使用。
实施例五
实施例五中的实施场景是,由eNB来管理和分配LTE V2X通信所用的temporary IDs,终端通过通信安全参数请求流程来获取LTE V2X temporary IDs,具体步骤如图8所示。
步骤80、终端与PGW之间已经成功建立PDN(Public Data Network,
公用数据网)连接。
步骤81、eNB获取终端的上下文,包括LTE V2X通信上下文(communication context),可选的,所述LTE V2X通信上下文在终端的承载建立时获取或者终端切换到当前eNB时从之前驻留的其它eNB获取。
步骤82、终端向eNB发送通信安全参数请求消息,该通信安全参数请求消息中携带终端的身份标识,可选的,终端的身份标识可以为IMSI。
步骤83、eNB基于其存储的终端的上下文中的LTE V2X授权信息,检查终端是否允许做LTE V2X通信,确定终端具有V2X通信的授权权限时,执行步骤84。
步骤84、eNB为终端生成包括多个LTE V2X temporary ID的LTE V2X temporary IDs,并作为终端的context(上下文)存储。
步骤85、eNB向终端发送通信安全参数响应消息,该通信安全参数响应消息中携带LTE V2X temporary IDs,可选的,所述通信安全参数响应消息中除携带有LTE V2X temporary IDs外,还携带有LTE-V2X通信中所必须的通信安全参数。
步骤86、终端的secure environment(安全环境)接收并存储LTE V2X temporary IDs,在发送自身的V2X消息时使用。
实施例六
实施例六中的实施场景与实施例五中的实施场景相似,也是由eNB来管理和分配LTE V2X通信所用的temporary IDs,但是,实施例六中的终端通过LTE-V2X的无线资源请求流程来获取LTE V2X temporary IDs,具体步骤如图9所示。
步骤90~步骤91同实施例一中的步骤80~步骤81,在此不再赘述。
步骤92:终端向eNB发送无线资源请求消息,该无线资源请求消息中携带终端的身份标识,可选的,终端的身份标识可以为IMSI。
步骤93~步骤94同实施例一中的步骤83~步骤84,在此不再赘述。
步骤95、eNB向终端发送无线资源响应消息,该无线资源响应消息中携
带LTE V2X temporary IDs。可选的,所述无线资源响应消息中除携带有LTE V2X temporary IDs外,还携带有LTE-V2X通信中eNB分配的无线资源信息。
步骤96同实施例五中的步骤86,在此不再赘述。
实施例七
实施例七中的实施场景与实施例五中的实施场景相似,也是由eNB来管理和分配LTE V2X通信所用的temporary IDs,但是,实施例七中由eNB通过主动推送流程向终端推送LTE-V2X通信用的LTE-V2X temporary IDs,具体步骤如图10所示。
步骤100~步骤101同实施例一中的步骤80~步骤81,在此不再赘述。
步骤102、eNB检查上一次发送至终端的LTE V2X temporary IDs的生命周期。
步骤103、eNB确定在上一次发送至终端的LTE V2X temporary IDs中存在未过期的LTE V2X temporary IDs时,eNB为终端生成新的包括多个LTE V2X temporary ID的LTE V2X temporary IDs,并作为终端的上下文存储。
步骤104、eNB向终端返回临时标识通知消息,该临时标识通知消息携带新的LTE V2X temporary IDs。
步骤105、终端的secure environment接收并存储LTE V2X temporary IDs,在发送自身的V2X消息时使用。
基于上述实施例提供的通信方法,本发明实施例提供一种装置11,该装置11应用于终端,图11所示为本发明实施例提供的装置11的结构示意图,如图11所示,该装置11包括接收单元111和处理单元112,其中:
接收单元111,用于接收接入设备发送的第一消息,所述第一消息中携带有所述接入设备为所述装置生成的临时标识序列;
处理单元112,用于从所述临时标识序列中选择一个临时标识,并基于所述装置的区域密钥、选择的临时标识以及所述装置的PDCP数据SDU生成所述装置的PDCP数据PDU,所述区域密钥为所述装置的位置信息对应的区域的区域密钥。
可选的,所述接收单元111在接收所述接入设备发送的第一消息之前,还用于:
向所述接入设备发送用于获取所述装置的临时标识序列的第二消息,所述第二消息中携带有所述装置的身份标识;
可选的,所述接入设备为V2X服务器时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
可选的,所述接入设备为V2X服务器时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
可选的,所述接入设备为V2X服务器或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
可选的,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
可选的,所述PDCP数据PDU包括PDCP报头、数据载荷、消息认证码,其中,所述PDCP报头中携带选择的临时标识、所述装置的位置信息对应的区域的区域标识、所述区域密钥的标识、所述装置处理所述PDCP数据SDU时的时间戳,对于需要加密的V2X通信所述数据载荷是经过加密的PDCP数据SDU的数据内容,用于描述所述装置的状态信息,所述消息认证码是利用所述区域密钥对PDCP报头和数据载荷进行完整性保护得到的。
本发明实施例上述涉及的装置11,可以是独立的部件,也可以是集成于其他部件中,例如本发明实施例提供的上述装置11可以是现有通信网络中的基站,也可以是集成于基站内的部件。
需要说明的是,本发明实施例中的装置13的各个单元的功能实现以及交互方式可以进一步参照相关方法实施例的描述,在此不再赘述。
另外,以上各“单元”可以通过特定应用集成电路(application-specific integrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件来实现。
参阅图12所示,图12示出了上述实施例中所涉及的终端的一种可能的
设计结构的简化示意图。终端设备1200包括发射器1201,接收器1202,控制器/处理器1203,存储器1204和调制解调处理器1205。
发射器1201调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。接收器1202调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1205中,编码器1206接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器1207进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1209处理(例如,解调)该输入采样并提供符号估计。解码器1208处理(例如,解交织和解码)该符号估计并提供发送给终端的已解码的数据和信令消息。编码器1206、调制器1207、解调器1209和解码器1208可以由合成的调制解调处理器1205来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。
控制器/处理器1203对终端的动作进行控制管理,用于执行上述实施例中由终端进行的处理。作为示例,控制器/处理器1203用于支持终端执行图2、图4-图10中的涉及终端的执行过程。存储器1204用于存储用于终端的程序代码和数据,具体包括:
接收接入设备发送的第一消息,所述第一消息中携带有所述接入设备为所述装置生成的临时标识序列;从所述临时标识序列中选择一个临时标识,并基于所述装置的区域密钥、选择的临时标识以及所述装置的PDCP数据SDU生成所述装置的PDCP数据PDU,所述区域密钥为所述装置的位置信息对应的区域的区域密钥。
用于执行本发明上述终端功能的控制器/处理器可以是中央处理器(CPU),通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC),现场可编程门阵列(FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者
其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
本发明实施例还提供一种通信装置13,该装置13可以为基站,或者部署在网络侧的的其他设备,图13所示为本发明实施例提供的装置13的结构示意图,如图13所示,该装置13包括发送单元131和处理单元132,其中:
处理单元132,用于为终端生成临时标识序列,
发送单元131,用于将所述临时标识序列携带在第一消息中发送至所述终端。
可选的,所述处理单元132在为终端生成临时标识序列时,具体用于:
所述处理单元132为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
可选的,所述装置还包括:
接收单元133,用于在所述处理单元132在为终端生成临时标识序列之前,接收所述终端发送的用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;
所述处理单元132,还用于检查所述终端是否具有V2X通信的授权权限。
可选的,所述处理单元132在检查所述终端是否具有V2X通信的授权权限时,具体用于:
获取所述终端的V2X授权信息,基于所述终端的V2X授权信息,对所述终端进行授权检查,包括:根据所述终端的身份标识确定所述终端是否被允许进行V2X业务,所述终端的V2X授权信息存储在接入设备本地或HSS。
可选的,所述接入设备为V2X服务器时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
可选的,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
可选的,所述第二消息为通信安全参数请求消息,所述第一消息为通信
安全参数响应消息。
可选的,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
可选的,所述处理单元132在为终端生成第一临时标识序列之前,还用于:
检查上一次发送至所述终端的临时标识序列中存在可用临时标识,所述可用临时标识为使用期限未过期的临时标识。
可选的,所述第一消息为临时标识通知消息。
可选的,所述处理单元132为终端生成临时标识序列时,具体用于:
所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
本发明实施例上述涉及的装置13,可以是独立的部件,也可以是集成于其他部件中,例如本发明实施例提供的上述装置13可以是现有通信网络中的基站,也可以是集成于基站内的部件。
需要说明的是,本发明实施例中的装置13的各个单元的功能实现以及交互方式可以进一步参照相关方法实施例的描述,在此不再赘述。
另外,以上各“单元”可以通过特定应用集成电路(application-specific integrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件来实现。
参阅图14所示,图14示本发明实施例还提供一种接入设备1400,该设备1400可以为基站,或位于网络侧部署的V2X服务器,图14所示为本发明实施例提供的设备1400的结构示意图,如图14所示,设备1400包括处理器1401,存储器1402、收发器1403,执行本发明方案的程序代码保存在存储器1402中,并由处理器1401来控制执行。
存储器1402中存储的程序用于指令处理器1401执行通信的方法,包括:为终端生成临时标识序列,将所述临时标识序列携带在第一消息中发送至所述终端。
可选的,所述终端可以为图12所示的设备1200。
可以理解的是,本实施例的设备1400可用于实现上述方法实施例中涉及接入设备,例如eNB和V2X服务器的所有功能,其具体实现过程可以参照上述方法实施例中接入设备,例如eNB和V2X服务器执行方法的相关描述,此处不再赘述。
可以理解的是,本发明实施例设备1400中涉及的处理器可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路application-specific integrated circuit(ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。计算机系统中包括的一个或多个存储器,可以是只读存储器read-only memory(ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器random access memory(RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是磁盘存储器。这些存储器通过总线与处理器相连接。
存储器,如RAM,保存有操作系统和执行本发明方案的程序。操作系统是用于控制其他程序运行,管理系统资源的程序。
这些存储器、收发器可以通过总线与处理器相连接,或者也可以通过专门的连接线分别与处理器连接。
通过对处理器进行设计编程,将下面所示的方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图2、图4-图10中接入设备的执行过程。如何对处理器进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
本发明实施例还提供一种通信系统,该通信系统包括第一设备和第二设备,第一设备为上述实施例涉及的设备1200,第二设备为上述实施例涉及的设备1400,设备1400向设备1200发送第一消息,所述第一消息包括设备1400为设备1200生成的临时标识序列;设备1200接收设备1400发送的第一消息,设备1200基于临时标识序列中的临时标识,生成PDCP数据PDU,在发送自身的V2X消息时使用。
本发明实施例提供的通信系统中包括的第一设备1200具备装置11的所有功能,并能实现相应的通信方法。第二设备1400具备装置13的所有功能,并
能实现相应的通信方法。故,对于本发明实施例对于第一设备1200和第二设备1400相应功能描述不够详尽的地方,可参阅相关实施例的描述,在此不再赘述。
综上所述,本发明实施例中,接入设备为终端生成临时标识序列,并将所述临时标识序列携带在第一消息中发送至所述终端,终端接收到接入设备发送的第一消息,从所述临时标识序列中选择一个临时标识,并基于所述终端的区域密钥、选择的临时标识以及所述终端的PDCP数据SDU生成所述终端的PDCP数据PDU,在发送自身的V2X消息时使用,所述区域密钥为所述终端的位置信息对应的区域的区域密钥,这样,既能够实现V2X通信的匿名性、防止跟踪性和防止抵赖性的安全需求,还能降低V2X通信的安全开销与处理时延。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令处理器完成,所述的程序可以存储于计算机可读存储介质中,所述存储介质是非短暂性(英文:non-transitory)介质,例如随机存取存储器,只读存储器,快闪存储器,硬盘,固态硬盘,磁带(英文:magnetic tape),软盘(英文:floppy disk),光盘(英文:optical disc)及其任意组合。
本发明是参照本发明实施例的方法和设备各自的流程图和方框图来描述的。应理解可由计算机程序指令实现流程图和方框图中的每一流程和方框、以及流程图和方框图中的流程和方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能的装置。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (38)
- 一种通信方法,其特征在于,包括:终端接收接入设备发送的第一消息,所述第一消息中携带有所述接入设备为所述终端生成的临时标识序列;所述终端从所述临时标识序列中选择一个临时标识,并基于所述终端的区域密钥、选择的临时标识以及所述终端的PDCP数据业务数据单元SDU生成所述终端的PDCP数据协议数据单元PDU,所述区域密钥为所述终端的位置信息对应的区域的区域密钥。
- 如权利要求1所述的方法,其特征在于,所述终端接收所述接入设备发送的第一消息之前,所述方法还包括:所述终端向所述接入设备发送用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;
- 如权利要求2所述的方法,其特征在于,所述接入设备为车辆到任何终端V2X服务器时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
- 如权利要求2所述的方法,其特征在于,所述接入设备为V2X服务器时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
- 如权利要求2所述的方法,其特征在于,所述接入设备为V2X服务器或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
- 如权利要求2所述的方法,其特征在于,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
- 如权利要求1-6任一项所述的方法,其特征在于,所述PDCP数据PDU包括PDCP报头、数据载荷、消息认证码,其中,所述PDCP报头中携带选择的临时标识、所述终端的位置信息对应的区域的区域标识、所述区域密钥 的标识、所述终端处理所述PDCP数据SDU时的时间戳,对于需要加密的V2X通信所述数据载荷是经过加密的PDCP数据SDU的数据内容,用于描述所述终端的状态信息,所述消息认证码是利用所述区域密钥对PDCP报头和数据载荷进行完整性保护得到的。
- 一种通信方法,其特征在于,包括:接入设备为终端生成临时标识序列,所述接入设备将所述临时标识序列携带在第一消息中发送至所述终端。
- 如权利要求8所述的方法,其特征在于,所述接入设备为车辆到任何终端V2X服务器或演进型基站eNB。
- 如权利要求8所述的方法,其特征在于,所述接入设备为终端生成临时标识序列,包括:所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
- 如权利要求8-10任一项所述的方法,其特征在于,所述接入设备为终端生成临时标识序列之前,所述方法还包括:所述接入设备接收终端发送的用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;接入设备检查所述终端是否具有V2X通信的授权权限;所述接入设备确认所述终端具有所述授权权限。
- 如权利要求11所述的方法,其特征在于,接入设备检查所述终端是否具有V2X通信的授权权限,包括:所述接入设备获取所述终端的V2X授权信息,基于所述终端的V2X授权信息,对所述终端进行授权检查,包括:所述接入设备根据所述终端的身份标识确定所述终端是否被允许进行V2X业务,所述终端的V2X授权信息存储在接入设备本地或归属签约用户服务器HSS。
- 如权利要求11或12所述的方法,其特征在于,所述接入设备为V2X服务器时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响 应消息。
- 如权利要求11或12所述的方法,其特征在于,所述接入设备为V2X服务器时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
- 如权利要求11或12所述的方法,其特征在于,所述接入设备为V2X服务器或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
- 如权利要求11或12所述的方法,其特征在于,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
- 如权利要求8-10任一项所述的方法,其特征在于,所述接入设备为终端生成第一临时标识序列之前,所述方法还包括:所述接入设备检查上一次发送至所述终端的临时标识序列中存在可用临时标识,所述可用临时标识为使用期限未过期的临时标识。
- 如权利要求17所述的方法,其特征在于,所述第一消息为临时标识通知消息。
- 如权利要求8-17任一项所述的方法,其特征在于,所述接入设备为终端生成临时标识序列,包括:所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
- 一种通信装置,其特征在于,包括:接收单元,用于接收接入设备发送的第一消息,所述第一消息中携带有所述接入设备为所述装置生成的临时标识序列;处理单元,用于从所述临时标识序列中选择一个临时标识,并基于所述装置的区域密钥、选择的临时标识以及所述装置的PDCP数据业务数据单元SDU生成所述装置的PDCP数据协议数据单元PDU,所述区域密钥为所述装置的位置信息对应的区域的区域密钥。
- 如权利要求20所述的装置,其特征在于,所述接收单元在接收所述 接入设备发送的第一消息之前,还用于:向所述接入设备发送用于获取所述装置的临时标识序列的第二消息,所述第二消息中携带有所述装置的身份标识;
- 如权利要求21所述的装置,其特征在于,所述接入设备为车辆到任何终端V2X服务单元时,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
- 如权利要求21所述的装置,其特征在于,所述接入设备为V2X服务单元时,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
- 如权利要求21所述的装置,其特征在于,所述接入设备为V2X服务单元或eNB时,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
- 如权利要求21所述的装置,其特征在于,所述接入设备为eNB时,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
- 如权利要求20-25任一项所述的装置,其特征在于,所述PDCP数据PDU包括PDCP报头、数据载荷、消息认证码,其中,所述PDCP报头中携带选择的临时标识、所述装置的位置信息对应的区域的区域标识、所述区域密钥的标识、所述装置处理所述PDCP数据SDU时的时间戳,对于需要加密的V2X通信所述数据载荷是经过加密的PDCP数据SDU的数据内容,用于描述所述装置的状态信息,所述消息认证码是利用所述区域密钥对PDCP报头和数据载荷进行完整性保护得到的。
- 一种通信装置,应用在网络侧,其特征在于,包括:处理单元,用于为终端生成临时标识序列,发送单元,用于将所述临时标识序列携带在第一消息中发送至所述终端。
- 如权利要求27所述的装置,其特征在于,所述处理单元在为终端生成临时标识序列时,具体用于:所述处理单元为所述终端生成临时标识序列,并设置所述临时标识序列 中的每个临时标识的生命周期。
- 如权利要求27或28所述的装置,其特征在于,所述装置还包括:接收单元,用于在所述处理单元在为终端生成临时标识序列之前,接收所述终端发送的用于获取所述终端的临时标识序列的第二消息,所述第二消息中携带有所述终端的身份标识;所述处理单元,还用于检查所述终端是否具有V2X通信的授权权限。
- 如权利要求29所述的装置,其特征在于,所述处理单元在检查所述终端是否具有V2X通信的授权权限时,具体用于:获取所述终端的V2X授权信息,基于所述终端的V2X授权信息,对所述终端进行授权检查,包括:根据所述终端的身份标识确定所述终端是否被允许进行V2X业务,所述终端的V2X授权信息存储在接入设备本地或归属签约用户服务单元HSS。
- 如权利要求29或30所述的装置,其特征在于,所述第二消息为临时标识请求消息,所述第一消息为临时标识响应消息。
- 如权利要求29或30所述的装置,其特征在于,所述第二消息为服务授权请求消息,所述第一消息为服务授权响应消息。
- 如权利要求29或30所述的装置,其特征在于,所述第二消息为通信安全参数请求消息,所述第一消息为通信安全参数响应消息。
- 如权利要求29或30所述的装置,其特征在于,所述第二消息为无线资源请求消息,所述第一消息为无线资源响应消息。
- 如权利要求27或28所述的装置,其特征在于,所述处理单元在为终端生成第一临时标识序列之前,还用于:检查上一次发送至所述终端的临时标识序列中存在可用临时标识,所述可用临时标识为使用期限未过期的临时标识。
- 如权利要求35所述的装置,其特征在于,所述第一消息为临时标识通知消息。
- 如权利要求27-36任一项所述的装置,其特征在于,所述处理单元为 终端生成临时标识序列时,具体用于:所述接入设备为所述终端生成临时标识序列,并设置所述临时标识序列中的每个临时标识的生命周期。
- 一种通信系统,其特征在于,包括:如权利要求20-26任一项所述的装置和如权利要求27-37任一项所述的装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2016/077371 WO2017161570A1 (zh) | 2016-03-25 | 2016-03-25 | 一种通信方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108702786A true CN108702786A (zh) | 2018-10-23 |
CN108702786B CN108702786B (zh) | 2020-09-08 |
Family
ID=59900968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680083242.9A Active CN108702786B (zh) | 2016-03-25 | 2016-03-25 | 一种通信方法、装置和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10863356B2 (zh) |
EP (1) | EP3422793B1 (zh) |
CN (1) | CN108702786B (zh) |
WO (1) | WO2017161570A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112311539A (zh) * | 2020-10-30 | 2021-02-02 | 中电智能技术南京有限公司 | 一种基于gba机制发放证书的方法 |
CN112380208A (zh) * | 2020-10-21 | 2021-02-19 | 珠海许继芝电网自动化有限公司 | 配电自动化系统的实时数据id生成方法、系统及介质 |
CN114073107A (zh) * | 2019-07-02 | 2022-02-18 | 高通股份有限公司 | 用于混合交通工具到行人系统的方法和装置 |
WO2024055303A1 (zh) * | 2022-09-16 | 2024-03-21 | 华为技术有限公司 | 一种密钥管理方法、使用装置及管理装置 |
CN114073107B (zh) * | 2019-07-02 | 2024-05-24 | 高通股份有限公司 | 用于混合交通工具到行人系统的方法和装置 |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018022225A1 (en) * | 2016-07-26 | 2018-02-01 | Intel IP Corporation | Device for and method of radio access technology selection among multiple radio access technologies |
WO2019161306A1 (en) * | 2018-02-16 | 2019-08-22 | Integrity Security Services Llc | Systems, methods, and devices for provisioning and processing geolocation information for v2x devices |
US10645094B2 (en) | 2018-02-16 | 2020-05-05 | Integrity Security Services Llc | Systems, methods, and devices for provisioning and processing geolocation information for computerized devices |
US10869315B2 (en) | 2018-03-02 | 2020-12-15 | Qualcomm Incorporated | Ranging based location services in wireless communication |
US11451969B2 (en) * | 2018-03-26 | 2022-09-20 | Sony Corporation | Communication control device and communication control method |
US20190306677A1 (en) * | 2018-04-03 | 2019-10-03 | Corning Research & Development Corporation | Pathside communication relay (pcr) for collecting pathside data for a pcr network |
CN110677849B (zh) * | 2018-07-02 | 2023-06-02 | 中兴通讯股份有限公司 | 一种通信终端的隐私保护方法、装置、设备及存储介质 |
EP3594712B1 (en) | 2018-07-12 | 2023-11-22 | Cohda Wireless Pty Ltd. | A method and system for estimating range between and position of objects using a wireless communication system |
EP3617735A1 (en) * | 2018-08-31 | 2020-03-04 | Cohda Wireless Pty Ltd. | A method for estimating the position of an object |
CN111031486B (zh) * | 2018-10-10 | 2021-05-11 | 电信科学技术研究院有限公司 | 一种定位服务密钥分发方法及其装置 |
US11172492B2 (en) * | 2018-12-12 | 2021-11-09 | Apple Inc. | Power saving for pedestrian user equipment in vehicular communications systems |
US11424941B2 (en) | 2020-04-29 | 2022-08-23 | Blackberry Limited | Method and system for handling dynamic cybersecurity posture of a V2X entity |
US11165691B1 (en) | 2020-05-19 | 2021-11-02 | Juniper Networks, Inc. | Assignment of segment identifiers in segment routing |
WO2022016546A1 (zh) * | 2020-07-24 | 2022-01-27 | 华为技术有限公司 | 车辆证书申请方法、车载设备及路侧单元 |
CN112104999B (zh) * | 2020-08-03 | 2022-06-24 | 广东工业大学 | 一种异构边缘车联网内多层缓存方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101815246A (zh) * | 2003-05-29 | 2010-08-25 | 京瓷株式会社 | 无线电通信系统 |
CN102087786A (zh) * | 2010-02-09 | 2011-06-08 | 陈秋和 | 基于信息融合的智能交通人、车、路的信息处理方法及系统 |
CN104737572A (zh) * | 2012-11-01 | 2015-06-24 | Lg电子株式会社 | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 |
CN104955162A (zh) * | 2015-06-23 | 2015-09-30 | 中国联合网络通信集团有限公司 | 一种物联网设备的分组随机接入方法及系统 |
WO2015147765A2 (en) * | 2014-03-26 | 2015-10-01 | Ford Otomotiv Sanayi Anonim Sirketi | A warning system |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2596654A4 (en) * | 2010-07-23 | 2016-12-21 | ERICSSON TELEFON AB L M (publ) | MEDIATION SERVER, METHOD OF CONTROLLING THE SAME, COMMUNICATION DEVICE, CONTROL METHOD THEREFOR, ACCOUNT SUPPLY SERVER, AND ASSOCIATED METHOD |
JP5994215B2 (ja) * | 2011-06-17 | 2016-09-21 | ソニー株式会社 | 無線通信装置、情報処理装置、通信システムおよび無線通信装置の制御方法 |
WO2016013826A1 (ko) * | 2014-07-20 | 2016-01-28 | 엘지전자(주) | 무선 통신 시스템에서 단말 조건 기반 d2d 통신 방법 및 이를 위한 장치 |
US9699153B2 (en) * | 2015-01-19 | 2017-07-04 | Intel IP Corporation | Systems, methods and devices for direct communication |
CN106470380A (zh) * | 2015-08-14 | 2017-03-01 | 中兴通讯股份有限公司 | 设备到设备标识冲突的解决方法、设备到设备用户设备 |
US10321353B2 (en) * | 2015-09-23 | 2019-06-11 | Electronics And Telecommunications Research Institute | Operation methods of communication node supporting direct communications in network |
BR112018015676A2 (pt) * | 2016-02-03 | 2018-12-26 | Ericsson Telefon Ab L M | método, dispositivo sem fio, nó de rede sem fio, produto de programa de computador, e, mídia legível por computador. |
EP3400727B1 (en) * | 2016-02-24 | 2023-04-26 | LG Electronics Inc. | Method and apparatus for tracking location using v2x communication in a wireless communication system |
KR20180124841A (ko) * | 2016-03-18 | 2018-11-21 | 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 | D2d 기반 통신 방법 및 단말기 |
US10757722B2 (en) * | 2016-03-25 | 2020-08-25 | Lg Electronics Inc. | Method for allowing wireless resource to be allocated in wireless communication system, and device therefor |
-
2016
- 2016-03-25 CN CN201680083242.9A patent/CN108702786B/zh active Active
- 2016-03-25 WO PCT/CN2016/077371 patent/WO2017161570A1/zh active Application Filing
- 2016-03-25 EP EP16894924.6A patent/EP3422793B1/en active Active
-
2018
- 2018-09-25 US US16/140,550 patent/US10863356B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101815246A (zh) * | 2003-05-29 | 2010-08-25 | 京瓷株式会社 | 无线电通信系统 |
CN102087786A (zh) * | 2010-02-09 | 2011-06-08 | 陈秋和 | 基于信息融合的智能交通人、车、路的信息处理方法及系统 |
CN104737572A (zh) * | 2012-11-01 | 2015-06-24 | Lg电子株式会社 | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 |
WO2015147765A2 (en) * | 2014-03-26 | 2015-10-01 | Ford Otomotiv Sanayi Anonim Sirketi | A warning system |
CN104955162A (zh) * | 2015-06-23 | 2015-09-30 | 中国联合网络通信集团有限公司 | 一种物联网设备的分组随机接入方法及系统 |
Non-Patent Citations (1)
Title |
---|
HUAWEI, HISILICON: "Security framework for V2V communication", 《3GPP TSG SA WG3 (SECURITY) MEETING #82;S3-160092》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114073107A (zh) * | 2019-07-02 | 2022-02-18 | 高通股份有限公司 | 用于混合交通工具到行人系统的方法和装置 |
US11991606B2 (en) | 2019-07-02 | 2024-05-21 | Qualcomm Incorporated | Method and apparatus for hybrid vehicle to pedestrian system |
CN114073107B (zh) * | 2019-07-02 | 2024-05-24 | 高通股份有限公司 | 用于混合交通工具到行人系统的方法和装置 |
CN112380208A (zh) * | 2020-10-21 | 2021-02-19 | 珠海许继芝电网自动化有限公司 | 配电自动化系统的实时数据id生成方法、系统及介质 |
CN112311539A (zh) * | 2020-10-30 | 2021-02-02 | 中电智能技术南京有限公司 | 一种基于gba机制发放证书的方法 |
WO2024055303A1 (zh) * | 2022-09-16 | 2024-03-21 | 华为技术有限公司 | 一种密钥管理方法、使用装置及管理装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3422793B1 (en) | 2020-05-13 |
CN108702786B (zh) | 2020-09-08 |
US20190028897A1 (en) | 2019-01-24 |
WO2017161570A1 (zh) | 2017-09-28 |
US10863356B2 (en) | 2020-12-08 |
EP3422793A4 (en) | 2019-02-27 |
EP3422793A1 (en) | 2019-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108702786A (zh) | 一种通信方法、装置和系统 | |
JP6812571B2 (ja) | V2x通信装置、及びそのデータ通信方法 | |
Muhammad et al. | Survey on existing authentication issues for cellular-assisted V2X communication | |
Lai et al. | Security and privacy challenges in 5G-enabled vehicular networks | |
EP3637672B1 (en) | V2x communication device and secured communication method thereof | |
KR20200141034A (ko) | 네트워크 기반 애플리케이션 계층 메시지 처리를 사용하여 v2x 수신기 처리 부하를 감소시키기 위한 방법 및 시스템 | |
CN107005844B (zh) | 一种通信方法及相关装置 | |
US20200228988A1 (en) | V2x communication device and method for inspecting forgery/falsification of key thereof | |
Ansari et al. | Chaos‐based privacy preserving vehicle safety protocol for 5G Connected Autonomous Vehicle networks | |
CN105100040A (zh) | 用于过滤数字证书的系统和方法 | |
EP3641372A1 (en) | V2x communication device and data communication method thereof | |
KR102217144B1 (ko) | 신뢰성 있는 교통 기관에 의해 이전에 인가된 모바일 통신 네트워크에 대한 사용자 장비의 인가 | |
Muhammad et al. | 5G-based V2V broadcast communications: A security perspective | |
Marojevic | C-V2X security requirements and procedures: Survey and research directions | |
US20200336908A1 (en) | V2x communication device and secured communication method therefor | |
Sharma et al. | Cloud enabled cognitive radio adhoc vehicular networking (CRAVENET) with security aware resource management and internet of vehicles (IoV) applications | |
Kohli et al. | Security challenges, applications and vehicular authentication methods in VANET for smart traffic management | |
US20230141992A1 (en) | Apparatus and server for v2x service | |
CN117320002A (zh) | 通信方法及装置 | |
CN110971397B (zh) | 一种通信的方法、通信装置、服务器和系统 | |
CN113051621A (zh) | 安全通信方法、设备及系统 | |
Choudhary et al. | A low-latency scheme using real-time constraints for V2V communication in VANET | |
CN117240463A (zh) | 适于智能运输系统通信的电子控制单元及对应方法 | |
CN113825117A (zh) | 通告针对服务的服务信息 | |
CN117812590A (zh) | 一种通信方法及装置、计算机可读存储介质和通信系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |