CN110366130A - 一种v2x业务授权方法、装置及设备 - Google Patents

Abstract

本申请实施例公开了一种V2X业务授权方法、装置及设备，以提高V2X业务访问的安全性。该方法包括：UE接收V2X CF发送的授权信息，授权信息中包括V2X业务标识；UE向网络侧设备发送授权信息，该授权信息用于网络侧设备对授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。本实施例中，在网络侧设备对UE的授权信息进行验证并授权后，UE才可以访问V2X业务，从而可以降低未授权设备接入带来的安全威胁，从而能够提高V2X业务访问的安全性。

Description

一种V2X业务授权方法、装置及设备

技术领域

本申请涉及车联网领域，尤其涉及一种车联网(Vehicle-to-Everything，V2X)业务授权方法、装置及设备。

背景技术

车联网是以车内网、车联网和车载移动互联网为基础，按照约定的通信协议和数据交互标准，在车与X(X可以是车、路、行人及互联网等)之间，进行无线通讯和信息交换的大系统网络，是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络，是物联网技术在交通系统领域的典型应用。

由3GPP TS23.285定义的V2X的标准架构中，恶意的用户设备(user equipment，UE)，比如正常的没有签约V2X业务的UE，可能绕过和V2X功能控制实体(control function，CF)和/或应用服务器(application server，AS)的交互，直接获得V2X业务的访问权。从而给攻击者留下了可趁之机，安全性较低。

发明内容

本申请实施例提供了一种V2X业务授权方法、装置及设备，能够提高V2X业务访问的安全性。

本申请第一方面提供了一种V2X业务授权方法，该方法包括：UE接收V2X CF发送的UE访问V2X业务的授权信息，授权信息中包括V2X业务标识；UE向网络侧设备发送授权信息，该授权信息用于网络侧设备对授权信息验证通过后，授权UE访问所述V2X业务标识对应的V2X业务。

本实施例中，在网络侧设备对UE的授权信息验证通过后，才授权UE访问V2X业务，从而可以降低原有架构流程面临的未授权设备接入带来的安全威胁，从而能够提高V2X业务访问的安全性。

V2X CF发送授权信息给UE的触发条件为：UE先向V2X CF发送授权信息请求消息以请求授权信息，V2X CF再将授权信息发送给UE。

可选的，网络侧设备可以是V2X AS，授权信息还可以包括V2X AS地址，UE具体可以向V2X AS地址对应的V2X AS发送第一连接请求消息，以与V2X AS建立连接，在第一连接请求消息中携带授权信息，V2X AS对授权信息验证后，授权UE访问V2X业务标识对应的V2X业务。第一连接请求消息具体可以是注册请求消息，以使UE在V2X AS上注册，以执行后续的授权流程。

在本方案中，通过V2X AS对授权信息进行验证，在经过V2X AS授权后，才可以访问V2X业务，从而提高了V2X业务访问的安全性。

在UE向V2X AS地址对应的V2X AS发送第一连接请求消息后，V2X AS向UE发送授权结果，UE接收V2X AS发送的授权结果，授权结果可以是授权成功消息或授权失败消息。

可选的，所述网络侧设备可以是分组数据网网关(P-GW)，UE具体向所述P-GW发送第二连接请求消息，以与P-GW建立连接，在该消息中携带授权信息，P-GW对授权信息验证后，授权UE访问V2X业务标识对应的V2X业务。第二连接请求消息可以是多播组加入请求消息，该消息用于UE加入其地理方位对应的多播组，以使得UE在被授权后，可以向其对应的多播组内的其他UE发送V2X业务信息。

在本方案中，通过P-GW对授权信息进行验证，在经过P-GW授权后，才可以访问V2X业务，从而提高了V2X业务访问的安全性。

本申请第二方面提供了一种V2X业务授权方法，该方法包括：V2X AS接收UE发送的第一连接请求消息，第一连接请求消息中携带授权信息，授权信息包括V2X业务标识；之后，V2X AS验证授权信息，并在验证通过后授权UE访问所述V2X业务标识对应的V2X业务。

在本方案中，通过V2X AS对UE的授权信息进行验证并授权，UE在经过V2X AS授权后才可以访问V2X业务，从而提高了V2X业务访问的安全性。

在V2X AS验证所述授权信息后，V2X AS还向UE发送授权结果。

授权信息还可以包括V2X AS的地址，V2X AS的地址用于指示UE与V2X AS建立连接，例如：在V2X AS上注册。

V2X AS在授权UE访问V2X业务标识对应的V2X业务后，UE将授权结果发送给UE的方式可以是：V2X AS将基于地理方位的多播地址数据库发送给UE，以使得UE可以加入对应的多播组，之后向其加入的多播组内的其他UE发送V2X业务信息。

授权信息可以通过V2X CF的私钥签名，V2X AS验证授权信息时先使用V2X CF的公钥解密所述授权信息，再对授权信息进行验证。

V2X AS可以通过V2X CF协助其验证授权信息。例如：V2X AS发送授权验证请求消息给V2X CF，授权验证请求消息中携带授权信息，在V2X CF验证授权信息后，V2X AS接收V2X CF发送的授权信息验证结果，授权信息验证结果可以是授权信息验证成功指示或授权信息验证失败消息，V2X AS再根据授权信息验证结果，向UE返回授权结果。

授权信息通过V2X CF的私钥签名，在通过V2X CF协助V2X AS验证授权信息时，V2XCF先使用公钥解密授权信息后再验证授权信息。

同样，授权信息可以通过授权标识token携带，也可以非授权标识non-token携带。

在所述V2X AS验证UE的授权信息之后，V2X AS保存UE的标识和所述授权信息的对应关系，以供后续UE再次请求V2X业务授权时，V2X AS无需再次请求查询V2X CF，无需由V2XCF协助其验证授权。

第三方面，本申请实施例还提供了一种V2X业务授权方法，该方法包括：P-GW接收UE发送的第二连接请求消息，第二连接请求消息中携带UE的授权信息，授权信息包括允许UE访问的V2X业务标识，之后，P-GW验证授权信息，并授权UE访问V2X业务标识对应的V2X业务。

例如：第二连接请求消息可以是多播组加入请求消息，该消息用于使UE加入对应的多播组，以使得UE向其所加入的多播组内的其他UE发送V2X业务信息。

在本方案中，通过P-GW对UE的授权信息进行验证并授权，UE在经过P-GW授权后才可以访问V2X业务，从而提高了V2X业务访问的安全性。

授权信息可以通过V2X CF的私钥签名，P-GW验证授权信息时先使用V2X CF的公钥解密所述授权信息，再对授权信息进行验证。

P-GW可以通过V2X CF协助其验证授权信息。例如：P-GW发送授权验证请求消息给V2X CF，授权验证请求消息中携带授权信息，在V2X CF验证授权信息后，P-GW接收V2X CF发送的授权信息验证结果，授权信息验证结果可以是授权信息验证成功指示或授权信息验证失败消息，P-GW再根据授权信息验证结果，授权UE访问V2X业务标识对应的V2X业务，或拒绝UE访问V2X业务。

授权信息通过V2X CF的私钥签名，在通过V2X CF协助P-GW验证授权信息时，V2XCF先使用公钥解密授权信息后再验证授权信息。

P-GW还可以通过V2X AS协助其验证授权信息。例如：P-GW发送授权验证请求消息给V2X AS，授权验证请求消息中携带授权信息，在V2X AS验证授权信息后，P-GW接收V2X AS发送的授权信息验证结果，授权信息验证结果可以是授权信息验证成功指示或授权信息验证失败消息，P-GW再根据授权信息验证结果，授权UE访问V2X业务标识对应的V2X业务，或拒绝UE访问V2X业务。

授权信息通过V2X CF的私钥签名，在通过V2X AS协助P-GW验证授权信息时，V2XAS先使用公钥解密授权信息后再验证授权信息。

第四方面，本申请实施例还提供了一种V2X业务授权方法，该方法包括：V2X CF接收UE发送的授权信息请求消息；之后，获取UE的授权信息，授权信息包括允许UE访问的V2X业务标识，之后，V2X CF将UE的授权信息发送给UE，所述授权信息用于UE向网络侧设备请求授权访问V2X业务。

本实施例中，V2X CF在接收到UE发送的授权信息请求消息后，将授权信息发送给UE，以使得在后续的流程中，UE向网络侧设备请求授权，在被授权后，才可以访问V2X业务，从而可以降低原有架构流程面临的未授权设备接入带来的安全威胁，从而能够提高V2X业务访问的安全性。

V2X CF还可以协助V2X AS验证授权信息，具体是：V2X CF接收所述V2X AS发送的授权验证请求消息，授权验证请求消息中携带所述授权信息；V2X CF验证所述授权信息，并向V2X AS发送授权信息验证结果，所述授权信息验证结果用于所述V2X AS向UE发送授权结果，以使得V2X AS可以授权UE访问V2X业务或拒绝UE访问V2X业务。

V2X CF还可以协助P-GW验证授权信息，具体是：V2X CF接收P-GW发送的授权验证请求消息，授权验证请求消息中携带所述授权信息；V2X CF验证所述授权信息，若授权信息验证通过，则向P-GW发送授权信息验证成功指示，以指示P-GW授权UE访问V2X业务标识对应的V2X业务，若授权信息验证失败，则向P-GW发送授权信息验证失败指示，以指示P-GW拒绝UE访问V2X业务标识对应的V2X业务。

授权信息可以通过V2X CF的私钥签名，V2X CF验证授权信息时先使用公钥解密所述授权信息，再对授权信息进行验证。

V2X CF获取UE的授权信息的方式可以是从归属签约服务器HSS获取，也可以是从本地存储中获取。

在上述第一方面至第四方面的V2X业务授权方法中，所述授权信息可以通过授权标识token携带，也可以通过非授权标识non-token携带。其中，token是一种特殊的数据结构，其整体可以进一步进行加密和完整性保护，token可以在不同的实体间传递，可以针对token进行加密和签名，从而可以进一步提高整体方案的安全性。non-token方式是直接在消息中通过一些字段来携带授权信息，采用non-token的方式需要对整条消息进行加密和完整性保护。

第五方面，本申请实施例还提供了一种V2X业务授权方法，该方法包括：UE生成对称密钥，通过所述对称密钥生成授权信息，之后，向网络侧设备发送所述授权信息，所述授权信息用于网络侧设备对所述授权信息验证通过后，授权UE访问V2X业务。

具体的，UE使用对称密钥对允许UE访问的V2X业务标识进行保护以生成所述授权信息。

UE可以生成与V2X CF共享的对称密钥，UE向网络侧设备发送授权信息时，可以是向V2X AS或P-GW发送授权信息，以使得V2X AS或P-GW通过V2X CF使用所述对称密钥对所述授权信息验证通过后，授权UE访问V2X业务。

第六方面，本申请实施例还提供了一种V2X业务授权方法，该方法包括：V2X AS接收UE发送的第一连接请求消息，第一连接请求消息中携带授权信息，该授权信息为UE通过对称密钥生成，所述V2X AS验证所述授权信息，并发送授权结果给UE。

该授权信息为UE使用所述对称密钥对允许UE访问的V2X业务标识进行保护所生成。

可选的，所述对称密钥为UE与V2X AS之间共享的对称密钥；V2X AS验证所述授权信息是使用所述与UE之间共享的对称密钥验证所述授权信息。

V2X AS验证所述授权信息时可以是通过V2X CF协助其验证，例如：V2X AS发送授权验证请求消息给V2X CF，授权验证请求消息中携带所述授权信息，以使得V2X CF使用与UE之间共享的所述对称密钥进行验证，之后，V2X CF将授权信息验证结果发送给V2X AS，V2X AS接收V2X CF发送的授权信息验证结果。

第七方面，本申请实施例还提供了一种V2X业务授权方法，该方法包括：P-GW接UE发送的第二连接请求消息，第二连接请求消息中携带授权信息，授权信息为UE通过对称密钥加密所生成，P-GW对所述授权信息进行验证，并授权UE访问V2X业务。

所述授权信息可以是UE使用所述对称密钥对允许UE访问的V2X业务标识进行保护所生成。

所述对称密钥可以为UE与V2X CF之间共享的对称密钥，P-GW验证所述授权信息时可以是通过V2X CF协助其验证，例如：P-GW发送授权验证请求消息给V2X CF，授权验证请求消息中携带所述授权信息，以使得V2X CF使用与UE之间共享的所述对称密钥进行验证，若验证通过，则P-GW接收V2X CF发送的授权信息验证成功指示；P-GW根据授权信息验证成功指示，授权UE访问V2X业务。

所述对称密钥可以为UE与V2X AS之间共享的对称密钥；P-GW验证所述授权信息时可以是通过V2X AS协助其验证，例如：P-GW发送授权验证请求消息给V2X AS，授权验证请求消息中携带所述授权信息，以使得V2X AS使用所述对称密钥进行验证，若验证通过，则P-GW接收V2X AS发送的授权信息验证成功指示，P-GW根据所述授权信息验证成功指示，授权UE访问V2X业务。

第八方面，本申请实施例还提供了一种V2X业务授权方法，该方法包括：V2X CF接收V2X AS或P-GW发送的授权验证请求消息，该授权验证请求消息中携带授权信息，该授权信息为UE通过对称密钥生成，所述对称密钥为UE与V2X CF之间共享的对称密钥；V2X CF使用所述对称密钥验证所述授权信息，之后，向V2X AS或P-GW发送授权信息验证结果。

所述授权信息可以是UE使用所述对称密钥对允许UE访问的V2X业务标识进行保护所生成。

第九方面，本实施例还提供一种用户设备，具体实现对应于上述第一方面提供的V2X业务授权方法的功能，或实现第五方面提供的V2X业务授权方法的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件程序实现。硬件和软件包括一个或多个与上述功能相对应的单元模块，所述单元模块可以是软件和/或硬件。

一种可能的设计中，所述用户设备包括：接收模块，用于接收V2X CF发送的UE访问V2X业务的授权信息；发送模块，还用于向网络侧设备发送所述授权信息，所述授权信息用于所述网络侧设备对授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。

此外，该用户设备中的各单元模块还执行第一方面提供的V2X业务授权方法中的用户设备所执行的全部或部分步骤。

一种可能的设计中，所述用户设备包括：处理模块，用于生成对称密钥，通过所述对称密钥生成授权信息；发送模块，用于向网络侧设备发送所述授权信息，所述授权信息用于所述网络侧设备对授权信息验证通过后，授权用户设备访问V2X业务。

此外，该用户设备中的各单元模块还执行第五方面提供的V2X业务授权方法中的用户设备所执行的全部或部分步骤。

另一种可能的设计中，所述用户设备包括：包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行第一方面的所述的方法中的用户设备执行的全部或部分步骤，或用于执行第五方面的所述的方法中的用户设备执行的全部或部分步骤。

第十方面，本实施例还提供一种服务器，具体实现对应于上述第二方面提供的V2X业务授权方法中的V2X AS实现的功能，或上述第六方面提供的V2X业务授权方法中的V2XAS实现的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件程序实现。硬件和软件包括一个或多个与上述功能相对应的单元模块，所述单元模块可以是软件和/或硬件。

一种可能的设计中，所述服务器包括：接收模块，用于接收服务器UE发送的第一连接请求消息，所述第一连接请求消息中携带所述授权信息；验证模块，用于验证所述授权信息；授权模块，用于在验证模块对所述授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。

此外，该服务器中的各单元模块还执行第二方面提供的V2X业务授权方法中的V2XAS所执行的全部或部分步骤。

一种可能的设计中，所述服务器包括：接收模块，用于接收用户设备UE发送的第一连接请求消息，所述第一连接请求消息中携带授权信息，所述授权信息为UE通过对称密钥生成；验证模块，用于验证所述授权信息；发送模块，用于在所述授权信息验证通过后，授权UE访问V2X业务。

此外，该服务器中的各单元模块还执行第六方面提供的V2X业务授权方法中的V2XAS所执行的全部或部分步骤。

另一种可能的设计中，所述服务器包括：包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行第二方面的所述的方法中的V2X AS执行的全部或部分步骤，或以用于执行第六方面的所述的方法中的V2X AS执行的全部或部分步骤。

第十一方面，本实施例还提供一种网关，具体实现对应于上述第三方面提供的V2X业务授权方法中的P-GW所实现的功能，或上述第七方面提供的V2X业务授权方法中的P-GW所实现的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件程序实现。硬件和软件包括一个或多个与上述功能相对应的单元模块，所述单元模块可以是软件和/或硬件。

一种可能的设计中，所述网关包括：接收模块，用于接收用户设备UE发送的第二连接请求消息，第二连接请求消息中携带UE的授权信息，授权信息包括V2X业务标识；验证模块，用于验证授权信息；授权模块，用于在验证模块对所述授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。

此外，该网关中的各单元模块还执行第三方面提供的V2X业务授权方法中的网关所执行的全部或部分步骤。

一种可能的设计中，所述网关包括：接收模块，用于接收用户设备UE发送的第二连接请求消息，所述第二连接请求消息中携带授权信息，所述授权信息为UE通过对称密钥生成；验证模块，用于对所述授权信息进行验证；授权模块，用于授权UE访问V2X业务。

此外，该网关中的各单元模块还执行第七方面提供的V2X业务授权方法中的网关所执行的全部或部分步骤。

另一种可能的设计中，所述网关包括：包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行第一方面的所述的方法中的网关执行的全部或部分步骤，或第七方面的所述的方法中的网关执行的全部或部分步骤。

第十二方面，本实施例还提供一种车联网控制装置，具体实现对应于上述第四方面提供的V2X业务授权方法中的V2X CF所实现的功能，或上述第八方面提供的V2X业务授权方法中的V2X CF所实现的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件程序实现。硬件和软件包括一个或多个与上述功能相对应的单元模块，所述单元模块可以是软件和/或硬件。

一种可能的设计中，所述车联网控制装置包括获取模块，用于获取UE的授权信息，授权信息包括V2X业务标识；发送模块，用于将UE的授权信息发送给UE，授权信息用于UE向网络侧设备请求授权访问V2X业务。

此外，该车联网控制装置中的各单元模块还执行第四方面提供的V2X业务授权方法中的V2X CF所执行的全部或部分步骤。

一种可能的设计中，所述车联网控制装置包括：接收模块，用于接收V2X AS或P-GW发送的授权验证请求消息，所述授权验证请求消息中携带授权信息，所述授权信息为UE通过对称密钥生成；验证模块，用于使用所述对称密钥验证所述授权信息；发送模块，用于向所述V2X AS或P-GW发送授权信息验证结果。

此外，该车联网控制装置中的各单元模块还执行第四方面提供的V2X业务授权方法中的V2X CF所执行的全部或部分步骤，或第八方面提供的V2X业务授权方法中的V2X CF所执行的全部或部分步骤。

另一种可能的设计中，所述车联网控制装置包括：包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行第一方面或第八方面的所述的方法中的V2X CF执行的全部或部分步骤。

第十三方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面至第四方面中的任一方面所述的方法。

第十四方面，本申请提供了一种包含指令的计算机程序产品或者计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第四方面中的任一方面所述的方法。

第十五方面，本申请提供了一种通信装置，该通信装置可以例如是芯片，该通信装置可以设置于用户设备中，该通信装置包括处理模块和接口模块。该处理模块可以是处理器，所述处理器被配置为支持该通信装置执行上述第一方面至第四方面中的任一方面的方法。该接口模块可以是通信接口，所述通信接口用于支持该通信装置与其他通信装置或其他网元之间的通信。该通信装置还可以包括存储模块，所述存储模块可以是存储器，该存储器与处理器耦合，用于保存该通信装置必要的程序指令和数据。

第十六方面，本申请提供了一种系统，该系统包括第六方面所述的服务器、第七方面所述的网关、和第八方面所述的车联网控制装置。

本申请实施例中，UE在经过V2X业务授权后，才可以访问V2X业务，可以降低原有架构流程面临的未授权设备接入带来的安全威胁，有效提高了整体解决方案的安全性。

附图说明

图1为本申请实施例中智能交通系统的一种场景示意图；

图2为本申请实施例中3GPP定义的V2X的标准框架；

图3为本申请实施例中V2X业务授权方法的一种流程图；

图4为本申请实施例中V2X业务授权方法的另一种流程图；

图5为本申请实施例中由V2X AS授权UE访问V2X业务的一种信息交互流程图；

图6为本申请实施例中由V2X AS授权UE访问V2X业务的另一种信息交互流程图；

图7为本申请实施例中由P-GW授权UE访问V2X业务的一种信息交互流程图；

图8为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图9为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图10为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图11为本申请实施例中由V2X AS授权UE访问V2X业务的另一种信息交互流程图；

图12为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图13为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图14为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图15为本申请实施例中V2X业务授权方法的另一种信息交互流程图；

图16为本申请实施例中由V2X AS授权UE访问V2X业务的另一种信息交互流程图；

图17为本申请实施例中由V2X AS授权UE访问V2X业务的另一种信息交互流程图；

图18为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图19为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图20为本申请实施例中由P-GW授权UE访问V2X业务的另一种信息交互流程图；

图21为本申请实施例中的用户设备的一种功能模块结构示意图；

图22为本申请实施例中的用户设备的另一种功能模块结构示意图；

图23为本申请实施例中的服务器的一种功能模块结构示意图；

图24为本申请实施例中的网关的一种功能模块结构示意图；

图25为本申请实施例中的车联网控制装置的一种功能模块结构示意图；

图26为本申请实施例中的车联网控制装置的另一种功能模块结构示意图；

图27为本申请实施例中的用户设备的一种硬件模块示意图；

图28为本申请实施例中的服务器的一种硬件模块示意图；

图29为本申请实施例中的网关的一种硬件模块示意图。

具体实施方式

以下结合附图对本申请实施例进行进一步详细说明。

本申请实施例应用于智能交通系统，智能交通系统是未来交通系统的发展方向，是将先进的信息技术、数据通讯传输技术、电子传感技术、控制技术及计算机技术等有效地集成运用于整个地面交通管理系统，从而建立的一种实时、准确、高效的综合交通运输管理系统。

智能交通系统的一种场景示意图可以如图1所示，装载有车载终端的车辆(vehicle)，车辆通过智能交通系统(intelligent transportation system，ITS)的无线接入网接入网络。所述车载终端可以是用户手持的移动终端，也可以是集成在车辆内的车载终端，统称为用户设备UE。所述智能交通系统中包括接入网、核心网中的各种网元，本申请实施例主要涉及分组数据网网关(packet data network gateway，P-GW)，V2X应用服务器(application server，AS)，V2X控制功能实体(control function，CF)，归属签约服务器(home subscriber server，HSS)等网络侧设备。

V2X的标准框架由3GPP TS23.285定义，如图2所示。其中，用户设备A、用户设备B、用户设备C和用户设备D之间通过PC5通信接口通信，每个用户设备上安装的V2X应用程序(V2X application)分别通过V5接口通信，各用户设备分别通过V3接口与V2X CF通信，V2XCF通过V2接口与V2X AS通信，V2X AS与核心网中的服务网关(serving gateway，S-GW)或P-GW通信，V2X CF与核心网中的HSS通信，HSS与移动管理实体(mobility managemententity，MME)通信。

其中，V2X CF主要用以授权UE使用V2X业务，并向UE提供配置参数。V2X AS主要向UE和其他应用提供业务功能和信息推送和多播管理。HSS是IP多媒体子系统(IPmultimedia subsystem，IMS)用户归属网络中存储用户信息的核心数据库，用于在归属网络中保存IMS用户的签约信息，同时提供管理接口，由运营商及终端用户对签约数据进行定制和修改。P-GW提供用户的会话管理和承载控制、数据转发、IP地址分配等功能。

在智能交通系统中，V2X业务信息的交换是关键技术，它使得车与车、车与基站、车与移动设备之间能够通信，从而获得实时路况、道路信息、行人信息等一系列交通信息，可以提高驾驶安全性，减少拥堵，提高交通效率等。V2X业务信息的交换可以包括车辆与车辆(vehicle to vehicle，V2V)的信息的交换，车辆与行人(vehicle to pedestrian)的信息交换，以及车辆与移动设备(vehicle to nomadic devices，V2N)的信息交换。

V2X业务信息包括多种类型，例如：道路安全相关的消息：广播车速，位置，车型之类的消息类型；应急车辆优先信号控制服务消息：救护车、消防车等、道路危险状况报警消息：例如雨、雾、结冰道路状况、交通拥堵、能见度低、路面很滑，需要减速、前方道路被施工占用、道路损坏，需要减速、桥梁坍塌、道路中断，有泥石流，洪水，阻挡物、自定义告警、交通标志损毁、高速公路有非机动车行驶、高速公路上非法停车等消息类型；车辆故障告警消息，例如：爆胎、无法启动、刹车失灵、急刹车报警、车内人员需要医疗援助等消息类型；交通事故消息，例如：前方发生车祸、前方追尾报警等消息类型。

需要说明的是，以上仅是对V2X业务信息的举例而不是限定，可以根据实际情况，对V2X业务信息进行定义。

当智能交通系统中产生这些V2X业务信息后，需要将V2X业务信息通过广播、多播或单播的形式在车、行人、移动设备、基站等网元之间进行传递。本申请实施例中涉及V2X业务信息的多播。

为了防止恶意的UE，比如正常的没有签约V2X业务的UE，可能绕过和V2X CF和/或AS的交互，直接获得V2X业务的访问权，本申请实施例中，UE需要先和网络侧设备交互授权，以允许UE访问V2X业务，授权通过后再实现向多播组中的其他UE发送V2X业务信息。

本实施例中，一种可选的实现方式中，V2X CF将UE访问V2X业务的授权信息发送给UE，UE向网络侧设备发送授权信息，网络侧设备对该授权信息进行验证，验证通过后，授权UE访问V2X业务标识对应的V2X业务。此种实现方式中，授权信息为V2X CF发送给UE的，授权信息中至少包含V2X业务标识。

可选的，UE向V2X CF发送授权信息请求消息，V2X CF是在接收到UE发送的授权信息请求消息后，才将UE访问V2X业务的授权信息发送给UE。需要说明的是，UE向V2X CF发送的授权信息请求消息，可以是一条专门为获取授权信息而新增的消息，也可以重用已有的消息；可选的，还可以在新增或已有的消息中通过约定的信元或指示信息来明确指示请求授权信息。

对UE的授权信息进行验证，授权UE访问V2X业务的网络侧设备可以是V2X AS，也可以是P-GW。下面分别对UE与V2X AS开展业务交互，由V2X AS授权UE访问V2X业务和UE与P-GW开展业务交互，由P-GW授权UE访问V2X业务的方案进行介绍。

UE与V2X AS开展业务交互，由V2X AS授权UE访问V2X业务的一种流程图如图3所示。

301、UE向V2X CF发送授权信息请求消息；

UE向V2X CF发送授权信息请求消息，以向V2X CF请求授权信息，该消息中携带UE的标识，授权信息请求消息可以以单独的一条消息发送，也可以和其他消息一起发送，或承载在其他消息中发送，例如授权信息请求消息可以承载在初始引导消息(bootconnection)中发送，本申请各实施例中以授权信息请求消息承载在初始引导消息中发送为例进行说明。

302、V2X CF向UE发送UE访问V2X业务的授权信息。

V2X CF向UE发送授权信息时，实际发送对所述授权信息请求消息的响应消息，在响应消息中携带所述授权信息。

授权信息中包括V2X业务标识(service identification，SID)，V2X SID中包括允许所述UE访问的V2X业务的标识，即指示UE访问哪些类型的V2X业务。可选的，授权信息还可以包含其他信息，例如可以包括V2X AS的地址、UE的标识(identification，ID)，即UE ID等信息，还可以包括合法授权时间、在授权的有效区域等信息。其中，V2X AS地址可以是V2XAS互联网协议地址(internet protocol，IP)地址或V2X AS的域名地址，V2X AS地址用于指示UE连接所述V2X AS地址对应的V2X AS，即指示UE后续将第一连接请求消息发送给所述V2X AS地址对应的V2X AS。UE的标识用于指示授权的对象为所述UE。本申请实施例中，对授权信息具体包含的内容不限。

可选的，授权信息可以是通过授权标识token的方式携带。token是一种特殊的数据结构，其整体可以进一步进行加密和完整性保护，token可以在不同的实体间传递，可以针对token进行加密和签名。因此，在通过token的方式携带授权信息时，可以使用V2X CF的私钥对token进行加密。

例如：V2X CF在向UE发送的响应消息中携带token，该token使用V2X CF的私钥进行签名，token中包含所述授权信息。

可选的，授权信息还可以通过非授权标识non-token的方式携带，non-token方式是直接在消息中通过一些字段来携带授权信息，采用non-token的方式需要对整条消息进行加密和完整性保护。

例如：V2X CF在向UE发送的响应消息中通过一些字段来直接携带所述授权信息，响应消息通过明文发送，或将整个响应消息加密发送。

可选的，V2X CF在向UE发送授权信息之前，先从HSS获取UE的授权信息。可选的，V2X CF也可以通过查询之前保存于本地的该UE ID对应的授权信息。

可选的，V2X CF在获取到UE的授权信息后，将UE ID和所述授权信息的对应关系保存于本地，以供后续UE再次请求V2X业务授权时，V2X CF无需再次查询HSS获取UE的授权信息。

303、UE向V2X AS发送第一连接请求消息。

UE在接收V2X CF发送的授权信息之后，携带授权信息向V2X AS地址所指向的V2XAS发送第一连接请求消息，与V2X AS建立连接，例如：可以是UE在V2X AS上发起注册操作，第一连接请求消息中携带UE的授权信息。

304、V2X AS对授权信息进行验证。

V2X AS在接收到UE发送的第一连接请求消息后，对第一连接请求消息中携带的授权信息进行验证。

V2X AS对授权信息进行验证的具体方式可以不限。

可选的，V2X AS可以将接收的授权信息与V2X AS本地存储的该UE的授权信息或从其他网元获取的UE的授权信息进行匹配，匹配通过，则授权信息验证通过，若匹配不通过，则授权信息验证失败。

可选的，V2X AS可以将授权信息发送给网络侧的其他网元，由其他网元协助其验证授权信息，例如：V2X AS将授权信息发送给V2X CF，由V2X CF协助其验证授权信息。

由V2X CF协助V2X AS验证授权信息时，V2X CF验证授权信息的方式可以是：V2XCF从本地获取本地存储的该UE的授权信息，或从HSS获取该UE的授权信息，V2X CF再将获取到的UE的授权信息与从V2X AS接收到的授权信息进行匹配，若匹配通过，则授权信息验证通过，若匹配不通过，则授权信息验证失败。若授权信息验证通过，则V2X CF发送授权信息验证成功指示给V2X AS，V2X AS根据授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务。若授权信息验证失败，则V2X CF发送授权信息验证失败指示给V2X AS，V2X AS拒绝UE访问V2X业务。

其中，授权UE访问V2X业务标识对应的V2X业务可以是在对授权信息中的V2X SID验证通过后，记录允许UE访问的V2X的业务ID(SID)，例如：V2X AS授权UE访问V2X业务可以是在V2X AS上存储允许UE访问的V2X的SID，后续UE访问V2X业务时，只有当该V2X业务ID属于V2X AS记录的允许UE访问的SID中的业务ID时，才允许该UE访问。

可选的，V2X AS验证所述UE的授权信息后，可以将UE ID和所述授权信息的对应关系保存于本地，以供后续UE再次请求V2X业务授权时，V2X AS无需再次请求查询V2X CF，无需由V2X CF协助其验证授权。

305、V2X AS发送授权结果给UE。

V2X AS在验证授权信息后，若授权信息验证通过，则授权UE访问V2X业务标识对应的V2X业务，并发送授权成功消息给UE。若授权信息验证失败，则拒绝UE访问V2X业务，并发送授权失败消息给UE。

V2X AS发送授权结果给UE的方式可以是通过响应码(包括正确码和错误码)的形式发送，例如：若授权UE访问V2X业务标识对应的V2X业务，则发送“201”等正确码给UE，若拒绝UE访问V2X业务，则发送“404”错误码给UE。

可选的，在V2X AS授权UE访问V2X业务标识对应的V2X业务之后，V2X AS发送授权成功消息给UE可以是：V2X AS发送基于地理方位的多播地址数据库给UE，并在基于地理方位的多播地址数据库消息中携带授权UE访问V2X业务的响应码。以使得UE基于地理方位的多播地址数据库加入其地理方位对应的多播组，之后向其加入的多播组内的其他UE发送V2X业务信息。

在V2X AS拒绝UE访问V2X业务时，V2X AS不发送基于地理方位的多播地址数据库给UE，则发送授权失败消息给UE，UE则无法进行V2X业务的访问。

本申请实施例中，V2X CF向UE发送授权信息后，UE向V2X AS发送该授权信息，V2XAS对该授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。如此，UE在经过V2X业务授权后，才可以进行V2X业务的访问，可以降低原有架构流程面临的未授权设备接入带来的安全威胁，有效提高了整体解决方案的安全性。

UE与P-GW开展业务交互，由P-GW授权UE访问V2X业务的一种流程图如图4所示。

401、UE向V2X CF发送授权信息请求消息；

UE向V2X CF发送的授权信息请求消息向V2X CF请求授权信息，授权信息请求消息可以以单独的一条消息发送，也可以和其他消息一起发送。授权信息请求消息可以是初始引导消息(boot connection)。

402、V2X CF向UE发送UE访问V2X业务的授权信息，UE接收V2X CF发送的授权信息。

V2X CF向UE发送授权信息时，实际可以是向UE发送对授权信息请求消息的响应消息，在响应消息中携带所述授权信息。

授权信息中包括V2X SID，V2X SID中包括允许所述UE访问的V2X业务的标识，即指示UE访问哪些类型的V2X业务。可选的，授权信息还可以包含其他信息，例如可以包括V2XAS地址、V2X SID、UE ID、合法的授权时间、在授权的有效区域等信息等信息，其中，V2X AS地址可以是V2X AS IP地址或V2X AS域名地址，V2X AS地址用于指示UE连接所述V2X AS地址对应的V2X AS，即指示UE将第一连接请求消息发送给所述V2X AS地址对应的V2X AS，UE的标识用于指示授权的对象为所述UE。本申请实施例中，对授权信息具体包含的内容不限。

可选的，授权信息可以是通过授权标识token的方式携带。token是一种特殊的数据结构，其整体可以进一步进行加密和完整性保护，token可以在不同的实体间传递，可以针对token进行加密和签名。因此，在通过token的方式携带授权信息时，可以使用V2X CF的私钥对token进行加密。

例如：V2X CF在向UE发送的响应消息中携带token，该token使用V2X CF的私钥进行签名，token中包含所述授权信息。

可选的，授权信息还可以通过non-token的方式携带，non-token方式是直接在消息中通过一些字段来携带授权信息，通过non-token携带授权信息的方式必须对整条消息进行加密和完整性保护。

例如：V2X CF在向UE发送的响应消息中通过一些字段来直接携带所述授权信息，响应消息通过明文发送，或将整个响应消息加密发送。

可选的，V2X CF在向UE发送授权信息之前，先从HSS获取UE的授权信息。可选的，V2X CF在获取到UE的授权信息后，将UE ID和所述授权信息的对应关系保存于本地，以供后续UE再次请求V2X业务授权时，V2X CF无需再次查询HSS获取UE的授权信息。

403、UE向P-GW发送第二连接请求消息。

第二连接请求消息中携带UE的授权信息，以使得P-GW收到所述授权信息后，验证所述授权信息，若验证通过，则授权UE访问V2X业务标识对应的V2X业务。

可选的，第二连接请求消息可以是多播组加入请求消息，多播组加入请求消息用于UE请求加入其地理方位对应的多播组，并在多播组加入请求消息中携带UE的授权信息。

可选的，UE在接收V2X CF发送的授权信息之后，向授权信息中的V2X AS地址所指向的V2X AS发送第一连接请求消息，与V2X AS建立连接，例如：可以是在V2X AS上发起注册操作，在V2X AS上注册。之后，V2X AS将基于地理方位的多播地址数据库发送给UE，UE基于地理方位的多播地址数据库向P-GW发送加入多播组请求消息，以请求加入其地理方位对应的多播组。

404、P-GW对授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。

P-GW在接收到UE发送的第二连接请求消息后，对第二连接请求消息中携带的授权信息进行验证。P-GW对授权信息进行验证的具体方式可以不限。

可选的，P-GW可以将接收的授权信息与P-GW本地存储的该UE的授权信息进行匹配，匹配通过，则授权信息验证通过，则授权UE访问V2X业务标识对应的V2X业务；若匹配不通过，则授权信息验证失败，则拒绝UE访问V2X业务。

可选的，P-GW可以将授权信息发送给网络侧的其他网元，由其他网元协助其验证授权信息并授权，例如：P-GW将授权信息发送给V2X CF，由V2X CF协助其验证授权信息；或者P-GW将授权信息发送给V2X AS，由V2X AS协助其验证授权信息。

由V2X CF验证授权信息的方式可以参考图3所示的实施例中的描述，此处不做赘述。在V2X CF验证授权信息，若授权信息验证通过，则V2X CF发送授权信息验证成功指示给P-GW，P-GW根据授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务。若授权信息验证失败，则V2X CF发送授权信息验证失败指示给P-GW，P-GW拒绝UE访问V2X业务。

V2X AS验证授权信息的方式可以参考图3所示的实施例中的描述，可以由V2X AS本地验证授权，也可以是V2X AS将授权信息转发给V2X CF，由V2X CF协助V2X AS验证授权，此处不做赘述。在V2X AS验证授权信息，若授权信息验证通过，则V2X AS发送授权信息验证成功指示给P-GW，P-GW根据授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务。若授权信息验证失败，则V2X AS发送授权信息验证失败指示给P-GW，P-GW拒绝UE访问V2X业务。

其中，授权UE访问V2X业务标识对应的V2X业务可以是记录允许UE访问的V2X的业务ID(SID)，例如：V2X AS授权UE访问V2X业务可以是在V2X AS上存储允许UE访问的V2X的SID，后续UE访问V2X业务时，只有当该V2X业务ID属于V2X AS记录的允许UE访问的SID中的业务ID时，才允许该UE访问。

可选的，UE被授权访问V2X业务后，UE可以进行V2X业务的访问。例如：UE可以向其所加入的多播组内的其他UE发送V2X业务信息。

本申请实施例中，UE从V2X CF获取授权信息之后，向P-GW发送该授权信息，P-GW对该授权信息进行验证通过后，才授权UE访问V2X业务标识对应的V2X业务。如此，可以降低原有架构流程面临的未授权设备接入带来的安全威胁，有效提高了整体解决方案的安全性。

下面附图图5至图14为对本申请实施例中的具体实施方式进行详细介绍。图5至图14所示的实施例中，为了方便结合业务场景进行介绍，授权信息请求消息以初始引导消息(boot connetion)为例，第一连接请求消息以注册请求消息为例，第二连接请求消息以多播组加入请求消息为例进行说明。

图5为V2X AS授权UE访问V2X业务的一种实施方式，该实施方式采用token携带授权信息，通过V2X AS本地验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和V2X AS交互获取多播组信息，进而通过P-GW加入多播组而产生的安全威胁。

501、UE向V2X CF发送授权信息请求消息，授权信息请求消息中携带UE ID。本实施例中，授权信息请求消息以初始引导消息(boot connetion)为例进行说明。

502、V2X CF通过查询HSS获取UE的授权信息，向UE返回响应消息，在响应消息中携带无线配置参数，还可以携带V2X AS的地址(IP地址或域名地址)，同时携带授权标识token，该token使用V2X CF的私钥kcf进行加密，Token中包含UE的授权信息，授权信息包括V2X SID，可选的token中还可以包含UE ID、V2X AS的地址等授权信息。

需要说明的是，本实施例对token中携带的授权信息并不限定，可以是包含上述UEID、V2X AS地址和V2X SID等信息，还可以是包含其他信息，例如：合法的授权时间、在授权的有效区域等信息等信息，本实施例仅以包含UE ID、V2X AS的地址和V2X SID进行举例说明。

可选的，V2X CF将授权信息与UE ID匹配关系保存于本地，以供后续V2X CF对该UE授权使用，后续V2X CF无需再次查询HSS获取UE的授权信息。

可选的，V2X CF除了通过查询HSS获取UE的授权信息以外，还可以通过查询之前保存于本地的该UE ID对应的授权信息。

503、UE向V2X AS发起建立连接操作，向V2X AS发送第一连接请求消息，所述第一连接请求消息中携带V2X CF分配的授权标识token(contact V2X AS with token)。本实施例中，第一连接请求消息以注册请求消息为例进行说明。

504、V2X AS使用token的公钥Kp(即V2X CF的公钥)解密并获取token信息，对token中的授权信息进行验证。验证授权信息的方法可以是：V2X AS验证授权信息中的V2XAS地址是否是自己的IP地址或域名地址，V2X SID是否与V2X AS本地存储的V2X业务ID是否匹配，随后可选的验证其他授权信息。若授权信息验证通过，则授权UE访问V2X业务标识对应的V2X业务，继续执行步骤505，若授权信息验证失败，则V2X AS拒绝UE访问V2X业务，V2XAS向UE返回授权失败消息。

可选的，V2X AS本地保存UE ID与授权信息的匹配关系。

505、V2X AS在对UE授权后，向UE发送授权成功消息，具体可以是向UE发送基于地理方位的多播地址数据库(send GeoMulticast DB)；

506、UE根据自身的地理方位查询所述基于地理方位的多播地址数据库，获取自身地理方位对应的多播地址。

507、UE向P-GW发送多播组加入请求消息，多播组加入请求消息中携带所述UE自身地理方位对应的多播地址，请求加入其对应的多播组，P-GW将UE加入UE自身地理方位对应的多播组(简称UE对应的多播组)。

508、UE发送业务消息给PGW，以通过P-GW向UE对应的多播组内的其他UE发送V2X业务信息。UE发送的业务消息可以是周期性发送的协同感知消息(cooperative awarenessmessage，CAM)，也可以是通过也可以是通过事件触发上报的分散环境通知信息(cooperative awareness message，DENM)，本实施例中以周期性发送的CAM消息举例进行说明。

509、P-GW已授权UE访问V2X业务标识对应的V2X业务，因此，P-GW将V2X业务信息发送给UE对应的多播组内的其他UE。

本实施例中，UE在经过V2X AS授权后，才可以和V2X AS交互获取多播组信息，从而可以解决UE未经授权直接和V2X AS交互获取多播组信息，通过P-GW加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。且授权信息通过加密的token方式携带，提高了信息传输过程中的安全性。

图6为V2X AS授权UE访问V2X业务的另一种实施方式，该实施方式中，采用token携带授权信息，V2X AS通过V2X CF协助验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和V2X AS交互获取多播组信息，进而通过P-GW加入多播组而产生的安全威胁。

步骤601至步骤603与步骤501至步骤503相同，请参阅图5所示的实施例中对步骤501至步骤503的描述。

604、V2X AS接收token后，向V2X CF发送授权验证请求消息(authorizationrequest)，授权验证请求消息中携带该UE的token，请求V2X CF验证该UE的授权信息；

605、V2X CF通过查询HSS获取UE的授权信息，若V2X CF获取的UE授权信息与token中携带的UE的授权信息能匹配，则认为UE合法，对UE的授权信息验证通过，若不能匹配，则授权信息验证失败。

可选的，若在步骤602中，V2X CF保存了授权信息与UE ID匹配关系，V2X CF可以查询步骤602中本地保存的信息获取UE的授权信息，从而在步骤605中无需通过查询HSS获取UE的授权信息。

606、V2X CF向V2X AS返回授权响应消息，授权响应消息中包含步骤605中的授权信息验证结果，若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，V2X AS根据该指示，授权UE访问V2X业务标识对应的V2X业务，继续执行步骤607；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示，则V2XAS根据该消息，拒绝UE访问V2X业务，返回授权失败消息给UE，结束流程。

可选的，V2X AS还可以本地保存授权信息及其与UE ID的匹配关系，以供后续UE再次请求V2X业务授权时，V2X AS无需再次请求查询V2X CF，无需由V2X CF协助其验证授权。

步骤607至步骤611与步骤505至步骤509相同，请参阅图5所示的实施例中对步骤505至步骤509的描述。

本实施例中，UE在经过V2X AS授权后，才可以和V2X AS交互获取多播组信息，从而可以解决UE未经授权直接和V2X AS交互获取多播组信息，并通过P-GW加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。且授权信息通过加密的token方式携带，提高了信息传输过程中的安全性。

另一方面，本实施例中，V2X AS通过V2X CF协助其验证授权信息并授权UE访问V2X业务标识对应的V2X业务，可以降低V2X AS的处理压力，提高V2X AS的处理效率。

图7为P-GW授权UE访问V2X业务的一种实施方式，该实施方式采用token携带授权信息，通过P-GW本地验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

701、UE向V2X CF发送授权信息请求消息，授权信息请求消息中携带UE ID。本实施例中，授权信息请求消息以初始引导消息(boot connetion)为例进行说明。

702、V2X CF通过查询HSS获取UE的授权信息，向UE返回响应消息，在响应消息中携带无线配置参数，还可以携带V2X AS的地址(IP地址或域名地址)，同时携带授权标识token，该token使用V2X CF的私钥kcf进行加密，Token中包含UE的授权信息，授权信息包括V2X SID。可选的token包含UE ID、V2X AS的地址和V2X SID等授权信息。

需要说明的是，本实施例对token中携带的授权信息并不限定，可以是包含上述UEID、V2X AS地址和V2X SID等信息，还可以是包含其他信息，本实施例仅以包含UE ID、V2XAS地址和V2X SID进行举例说明。

可选的，V2X CF将授权信息与UE ID匹配关系保存于本地，以供后续V2X CF对该UE授权使用，无需再次查询HSS获取UE的授权信息。

可选的，V2X CF除了通过查询HSS获取UE的授权信息以外，还可以通过查询之前保存于本地的该UE ID对应的授权信息。

703、UE向V2X AS发起建立连接操作(contact V2X AS)，向V2X AS发送第一连接请求消息，V2X AS与UE建立连接。本实施例中，第一连接请求消息以注册请求消息为例进行说明。

704、V2X AS向UE发送基于地理方位的多播地址数据库(send GeoMulticast DB)；

705、UE根据自身的地理方位查询所述基于地理方位的多播地址数据库，获取自身地理方位对应的多播地址。

706、UE向P-GW发送第二连接请求消息，以与P-GW建立连接，第二连接请求消息中携带授权信息。本实施例中，第二连接请求消息以多播组加入请求消息为例进行说明，多播组加入请求消息中携带所述UE自身地理方位对应的多播地址，请求加入UE自身的地理方位对应的多播组。所述多播组加入请求消息中携带在步骤702中V2X CF分配的授权标识token。

707、P-GW使用token的公钥Kp(即V2X CF的公钥)解密并获取token信息，对token中的授权信息进行验证，验证V2X-SID是否匹配，随后可选的验证其他授权信息。若授权信息验证通过，则授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则拒绝UE访问V2X业务。

708、UE发送业务消息给PGW，以通过P-GW向UE对应的多播组内的其他UE发送V2X业务信息。UE发送的业务消息可以是周期性发送的协同感知消息CAM，也可以是通过也可以是通过事件触发上报的分散环境通知信息DENM，本实施例中以周期性发送的CAM消息举例进行说明。若UE被授权访问V2X业务，则执行步骤709，若UE被拒绝访问V2X业务，则结束流程。

709、P-GW将V2X业务信息发送给UE对应的多播组内的其他UE。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。且授权信息通过加密的token方式携带，提高了信息传输过程中的安全性。

图8为P-GW授权UE访问V2X业务的另一种实施方式，该实施方式采用token携带授权信息，P-GW通过V2X CF协助验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

步骤801至步骤806与步骤701至步骤706相同，请参阅图7所示的实施例中对步骤701至步骤706的描述。

807、P-GW接收token后，向V2X CF发送授权验证请求消息，授权验证请求消息中携带该UE的token，请求V2X CF验证授权信息。

808、V2X CF通过查询HSS获取UE的授权信息，若V2X CF获取的UE授权信息与token中携带的UE的授权信息能匹配，则认为UE合法，对UE的授权信息验证通过，若不能匹配，则授权信息验证失败。

可选的，若在步骤802中，V2X CF保存了授权信息与UE ID匹配关系，V2X CF可以查询步骤802中本地保存的信息获取UE的授权信息，从而在步骤808中无需通过查询HSS获取UE的授权信息。

809、V2X CF向P-GW返回授权响应消息，授权响应消息中包含步骤808中的授权信息验证结果，若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，P-GW根据该指示，授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示，则P-GW根据该消息，拒绝UE访问V2X业务。

步骤810至步骤811与步骤708至步骤709相同，请参阅图7所示的实施例中对步骤708至步骤709的描述。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。且授权信息通过加密的token方式携带，提高了信息传输过程中的安全性。

另一方面，本实施例中，P-GW通过V2X CF协助其验证授权信息并授权UE访问V2X业务标识对应的V2X业务，可以降低P-GW的处理压力，提高P-GW的处理效率。

图9为P-GW授权UE访问V2X业务的另一种实施方式，该实施方式采用token携带授权信息，P-GW通过V2X AS和V2X CF协助验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

步骤901至步骤906与步骤701至步骤706相同，请参阅图7所示的实施例中对步骤701至步骤706的描述。

907、P-GW接收token后，向V2X AS发送发送授权验证请求消息，授权验证请求消息中携带该UE的token，请求V2X AS验证授权信息。

908、V2X AS接收token后，向V2X CF发送授权验证请求消息，授权验证请求消息中携带该UE的token，请求V2X CF验证授权信息。

909、V2X CF通过查询HSS获取UE的授权信息，若V2X CF获取的UE授权信息与token中携带的UE的授权信息能匹配，则对UE的授权信息验证通过，若不能匹配，则授权信息验证失败。

可选的，若在步骤902中，V2X CF保存了授权信息与UE ID匹配关系，V2X CF可以查询步骤902中本地保存的信息获取UE的授权信息，从而在步骤908中无需通过查询HSS获取UE的授权信息。

910、V2X CF向V2X AS返回授权响应消息，授权响应消息中包含步骤909中的授权信息验证结果，若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示。

911、V2X AS接收V2X CF返回的授权响应消息后，向P-GW返回所述授权响应消息，若授权信息验证通过，则P-GW根据该授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则P-GW根据授权信息验证失败指示，拒绝UE访问V2X业务。

步骤912至步骤913与步骤708至步骤709相同，请参阅图7所示的实施例中对步骤708至步骤709的描述。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。且授权信息通过加密的token方式携带，提高了信息传输过程中的安全性。

另一方面，本实施例中，P-GW通过V2X AS，V2X CF协助其验证授权信息并授权UE访问V2X业务标识对应的V2X业务，可以降低P-GW的处理压力，提高P-GW的处理效率。

图10为P-GW授权UE访问V2X业务的另一种实施方式，该实施方式采用token携带授权信息，P-GW通过V2X AS协助验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

步骤1001至步骤1006与步骤701至步骤706相同，请参阅图7所示的实施例中对步骤701至步骤706的描述。

1007、P-GW接收token后，向V2X AS发送发送授权验证请求消息，授权验证请求消息中携带该UE的token，请求V2X AS授权该UE访问V2X业务。

1008、V2X AS使用token的公钥Kp解密并获取token信息，对token中的授权信息进行验证。验证授权信息的方法可以是：V2X AS验证授权信息中的V2X AS IP是否是自己的IP地址，V2X SID是否与V2X AS本地存储的V2X业务ID是否匹配，随后可选的验证其他授权信息。

可选的，若V2X AS本地保存了该UE的UE ID与授权信息的匹配关系，则V2X AS可以将本地保存的该UE的授权信息与接收到的授权信息进行匹配，若匹配通过，则授权信息验证通过。

1009、V2X AS向P-GW返回授权响应消息，授权响应消息中包含步骤1008中的授权信息验证结果，若授权信息验证通过，则V2X AS返回的授权信息验证结果为授权信息验证成功指示，P-GW根据该指示，授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则V2X AS返回的授权信息验证结果为授权信息验证失败指示，则P-GW根据该消息，拒绝UE访问V2X业务。

步骤1010至步骤1011与步骤708至步骤709相同，请参阅图7所示的实施例中对步骤708至步骤709的描述。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。且授权信息通过加密的token方式携带，提高了信息传输过程中的安全性。

另一方面，本实施例中，P-GW通过V2X AS协助其验证授权信息并授权UE访问V2X业务标识对应的V2X业务，可以降低P-GW的处理压力，提高P-GW的处理效率。

图11为V2X AS授权UE访问V2X业务的另一种实施方式，该实施方式中，采用non-token携带授权信息，V2X AS通过V2X CF协助验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和V2X AS交互获取多播组信息，进而通过P-GW加入多播组而产生的安全威胁。

1101、UE向V2X CF发送授权信息请求消息，授权信息请求消息中携带UE ID。本实施例中，授权信息请求消息以初始引导消息(boot connetion)为例进行说明。

1102、V2X CF通过查询HSS获取UE的授权信息，向UE返回响应消息，在响应消息中携带无线配置参数和V2X AS的地址(IP地址或域名地址)以及UE的授权信息，其中，授权信息包括V2X SID，可选的还可以包括UE ID、V2X AS的地址等信息。

需要说明的是，本实施例对授权信息并不限定，可以是包含UE ID和V2X SID、V2XAS的地址等信息，还可以是包含其他信息，还可以是包含其他信息，例如：合法的授权时间、在授权的有效区域等信息等信息，本实施例仅以包含UE ID和V2X SID进行举例说明。

可选的，V2X CF可以将UE的授权信息与UE ID的匹配关系保存于本地，以供后续V2X CF对该UE授权使用，后续V2X CF无需再次查询HSS获取UE的授权信息。

可选的，V2X CF除了通过查询HSS获取UE的授权信息以外，还可以通过查询之前保存于本地的该UE ID对应的授权信息。

1103、UE向V2X AS发起建立连接操作，向V2X AS发送第一连接请求消息，第一连接请求消息中携带V2X CF分配的UE的授权信息。本实施例中，第一连接请求消息以注册请求消息为例进行说明。

1104、V2X AS发送授权验证请求消息到V2X CF，授权验证请求消息中携带授权信息，以请求V2X CF验证所述授权信息。

1105、V2X CF通过查询HSS获取UE的授权信息，验证UE的授权信息，以验证UE的合法性。验证UE的授权信息的方法可以是：将从HSS获取的UE的授权信息与V2X AS发送的授权信息进行匹配，匹配通过，则验证通过，匹配不通过，则验证失败。

可选的，V2X CF可以查询步骤1102中本地保存的所述UE授权信息，而无需再查询HSS获取UE的授权信息。

1106、V2X CF向V2X AS返回授权响应消息，授权响应消息中包含步骤1105中的授权信息验证结果，若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，V2X AS根据该指示，授权UE访问V2X业务标识对应的V2X业务，继续执行步骤1107；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示，则V2X AS根据该消息，拒绝UE访问V2X业务，返回授权失败消息给UE，结束流程。

可选的，V2X AS还可以本地保存授权信息及其与UE ID的匹配关系，以供后续UE再次请求V2X业务授权时，V2X AS无需再次请求查询V2X CF，无需由V2X CF协助其验证授权。

1107、V2X AS在对UE授权后，授权成功消息，具体可以是向UE发送基于地理方位的多播地址数据库；

1108、UE根据自身的地理方位查询所述基于地理方位的多播地址数据库，获取自身地理方位对应的多播地址。

1109、UE向P-GW发送多播组加入请求消息，多播组加入请求消息中携带所述UE自身地理方位对应的多播地址，请求加入其对应的多播组，P-GW将UE加入UE自身地理方位对应的多播组(简称UE对应的多播组)。

1110、UE发送业务消息给PGW，以通过P-GW向UE对应的多播组内的其他UE发送V2X业务信息。UE发送的业务消息可以是周期性发送的协同感知消息(CAM)，也可以是通过也可以是通过事件触发上报的分散环境通知信息(DENM)，本实施例中以周期性发送的CAM消息举例进行说明。

1111、P-GW将V2X业务信息发送给UE对应的多播组内的其他UE。

本实施例中，UE的授权信息通过non-token的方式携带，UE在经过V2X AS授权后，才可以和V2X AS交互获取多播组信息，从而可以解决UE未经授权直接和V2X AS交互获取多播组信息，并通过P-GW加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。

图12为P-GW对UE的业务授权的另一种实施方式，该实施方式采用non-token携带授权信息，P-GW通过V2X CF协助验证授权信息并授权UE访问V2X业务标识对应的V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

步骤1201至步骤1202与步骤1101至步骤1102相同，请参阅图11所示的实施例中对步骤1101至步骤1102的描述。

1203、UE向V2X AS发起建立连接操作(contact V2X AS)，向V2X AS发送第一连接请求消息，V2X AS与UE建立连接，本实施例中，第一连接请求消息以注册请求消息为例进行说明。

1204、V2X AS向UE发送基于地理方位的多播地址数据库(send GeoMulticastDB)；

1205、UE根据自身的地理方位查询所述基于地理方位的多播地址数据库，获取自身地理方位对应的多播地址。

1206、UE向P-GW发送多播组加入请求消息，多播组加入请求消息中携带所述UE自身地理方位对应的多播地址，请求加入UE自身的地理方位对应的多播组。多播组加入请求消息中携带UE ID与V2X-SID等授权信息。

1207、P-GW本地无UE授权信息，因此发送携带UE ID和V2X-SID的授权验证请求消息到V2X CF，请求V2X CF验证授权信息。

1208、V2X CF通过查询HSS获取UE的授权信息，根据获取的该授权信息验证从步骤1207中获取的授权信息，即验证UE的合法性。

可选的，V2X CF也可以查询步骤1202中本地保存的UE授权信息，无需从HSS获取UE的授权信息。

1209、V2X CF向P-GW返回授权响应消息，授权响应消息中包含步骤1208中的授权信息验证结果，若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，P-GW根据该指示，授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示，则P-GW根据该消息，拒绝UE访问V2X业务。

1210、UE发送业务消息给PGW，以通过P-GW向UE对应的多播组内的其他UE发送V2X业务信息。UE发送的业务消息可以是周期性发送的协同感知消息CAM，也可以是通过也可以是通过事件触发上报的分散环境通知信息DENM，本实施例中以周期性发送的CAM消息举例进行说明。若UE被授权访问V2X业务，则执行步骤1211，若UE被拒绝访问V2X业务，则结束流程。

1211、P-GW将V2X业务信息发送给UE对应的多播组内的其他UE。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。

图13为P-GW对UE的业务授权的另一种实施方式，该实施方式采用non-token携带授权信息，P-GW通过V2X AS以及V2X CF协助验证授权信息并授权UE访问V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

步骤1301至步骤1306与步骤1201至步骤1206相同，请参阅图12所示的实施例中的描述。

1307、P-GW无UE授权信息，因此向V2X AS发送授权验证请求消息，授权验证请求消息中携带携带UE ID和V2X-SID等授权信息，以请求V2X AS验证授权信息。

1308、V2X AS发送携带UE ID和V2X SID等授权信息的授权验证请求消息到V2XCF，请求V2X CF验证授权信息。

1309、V2X CF通过查询HSS获取UE的授权信息，根据获取的该授权信息验证从步骤1308中获取的授权信息，即验证UE的合法性。

可选的，V2X CF可以查询步骤1302中本地保存的UE授权信息，无需从HSS获取UE的授权信息。

1310、V2X CF向V2X AS返回授权响应消息，授权响应消息中包含步骤1309中的授权信息验证结果，若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示。

1311、V2X AS接收到授权响应消息后，再向P-GW返回V2X CF发来的授权响应消息，若授权信息验证通过，则P-GW根据该授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则P-GW根据授权信息验证失败指示，拒绝UE访问V2X业务。

步骤1312至步骤1313与步骤1210至步骤1211相同，请参阅图12所示的实施例中的描述。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。

图14为P-GW对UE的业务授权的另一种实施方式，该实施方式采用non-token携带授权信息，P-GW通过V2X AS协助验证授权信息并授权UE访问V2X业务标识对应的V2X业务。该实施方式可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁。

步骤1401至步骤1406与步骤1201至步骤1206相同，请参阅图12所示的实施例中的描述。

1407、P-GW无UE授权信息，因此向V2X AS发送授权验证请求消息，授权验证请求消息中携带携带UE ID和V2X-SID等授权信息，以请求V2X AS验证授权信息。

1408、V2X AS查询以前保存的UE的授权信息，根据以前保存的授权信息验证P-GW发送的UE的授权信息，即验证UE的合法性。

1409、V2X AS在验证授权信息后，向P-GW发送授权响应消息，授权响应消息中包含步骤1408中的授权信息验证结果，若授权信息验证通过，则V2X AS返回的授权信息验证结果为授权信息验证成功指示，P-GW根据该指示，授权UE访问V2X业务标识对应的V2X业务；若授权信息验证失败，则V2X AS返回的授权信息验证结果为授权信息验证失败指示，则P-GW根据该消息，拒绝UE访问V2X业务。

步骤1410至步骤1411与步骤1210至步骤1211相同，请参阅图12所示的实施例中的描述。

本实施例中，UE在经过P-GW授权后，才可以通过P-GW向多播组内的其他UE发送V2X业务信息，从而可以解决UE未经授权直接和P-GW交互加入多播组而产生的安全威胁，有效提高了整体解决方案的安全性。

在上述实施例(图3至图14所示的实施例)中，授权信息是UE向V2X CF发送授权信息请求消息之后，由V2X CF分配给UE的，授权信息中至少包含V2X业务标识。

在另一种可行的实现方式中，授权信息可以由UE通过对称密钥加密生成。具体可以是：UE先生成对称密钥，再通过对称密钥生成授权信息，之后，UE向网络侧设备发送所述授权信息，网络侧设备对该授权信息验证通过后，授权UE访问V2X业务。

图15为V2X业务授权方法的另一种流程图：

1501、UE生成对称密钥；

可以是UE生成与V2X CF之间共享的对称密钥，还可以是UE生成与V2X AS之间共享的对称密钥。

1502、UE通过对称密钥生成授权信息；

UE使用对称密钥加密保护一些信息以生成授权信息，例如：UE使用对称密钥对允许UE访问的V2X业务标识进行保护以生成授权信息，或UE使用对称密钥加密一个随机数以及V2X SID以生成授权信息。使用kas进行加密保护的具体信息可以根据实际需要而定，本实施例不做限定。

1503、UE向网络侧设备发送授权信息；

UE将使用对称密钥生成的授权信息发送给网络侧设备，以请求授权。其中，网络侧设备可以是V2X AS，也可以是P-GW。

1504、网络侧设备对授权信息验证通过后，授权UE访问V2X业务。

如果是UE向V2X AS请求授权，则UE向V2X AS发送第一连接请求消息，第一连接请求消息中携带UE通过对称密钥生成的授权信息，V2X AS在接收到第一连接请求消息后，验证所述授权信息，并发送授权结果给所述UE。若授权信息验证通过，则授权UE访问V2X业务，发送授权成功消息给UE，若授权信息验证失败，则拒绝UE访问V2X业务，并发送授权失败消息给UE。

所述第一连接请求消息与实施例3至实施例14中描述的第一连接请求消息相同，只是第一连接请求消息中携带的授权信息不相同，本实施例中的授权信息为UE通过对称密钥生成的授权信息。

V2X AS对授权信息进行验证的方式为：V2X AS使用所述对称密钥验证所述授权信息。验证的具体方式可以是：UE将通过对称密钥保护的信息(例如：随机数和/或V2X SID)发送给V2X AS；V2X AS使用对称密钥对对称密钥保护的信息进行加密保护计算得到加密结果，将加密结果与所述授权信息进行比对，若加密结果与所述授权信息相同，则授权信息验证通过，若加密结果与所述授权信息不相同，则授权信息验证失败。

V2X AS还可以通过V2X CF协助验证授权信息，具体可以是：V2X AS在接收到UE发送的授权信息后，发送授权验证请求消息给V2X CF，所述授权验证请求消息中携带所述授权信息，所述V2X CF使用与所述UE之间共享的所述对称密钥进行验证。验证的具体方式与V2X AS使用所述对称密钥验证所述授权信息的方式相同，即比对加密结果与所述授权信息是否相同，若相同，则授权信息验证通过，若加密结果与所述授权信息不相同，则授权信息验证失败。之后，V2X CF将授权信息验证结果发送给V2X AS，V2X AS根据授权信息验证结果，向UE返回授权结果。

如果是UE向P-GW请求授权，则UE向P-GW发送第二连接请求消息，第二连接请求消息中携带UE通过对称密钥生成的授权信息，P-GW在接收到第二连接请求消息后，验证所述授权信息，若授权信息验证通过，则授权UE访问V2X业务；若授权信息验证失败，则拒绝UE访问V2X业务。

所述第二连接请求消息与实施例3至实施例14中描述的第二连接请求消息相同，只是本实施例中的第二连接请求消息中携带的授权信息不相同，本实施例中的授权信息为UE通过对称密钥生成的授权信息。

P-GW对所述授权信息进行验证的方式可以是：P-GW发送授权验证请求消息给V2XCF，授权验证请求消息中携带所述授权信息，V2X CF使用与UE之间共享的对称密钥验证所述授权信息。V2X CF验证授权信息的方式可以是：V2X CF使用对称密钥对对称密钥保护的信息(例如：随机数和/或V2X SID)进行加密计算得到加密结果，将加密结果与所述授权信息进行比对，若加密结果与所述授权信息相同，则授权信息验证通过，若加密结果与所述授权信息不相同，则授权信息验证失败。

若V2X CF验证授权信息成功，则发送授权信息验证成功指示给P-GW，P-GW根据所述授权信息验证成功指示，授权所述UE访问V2X业务。若V2X CF验证授权信息失败，则发送授权信息验证失败指示给P-GW，P-GW则拒绝UE访问V2X业务。

需要说明的是，P-GW发送授权验证请求消息给V2X CF，可以是P-GW直接发送授权验证请求消息给V2X CF，也可以是P-GW将授权验证请求消息先发送给V2X AS，V2X AS再将授权验证请求消息发送给V2X CF。同样，V2X CF验证授权信息后，向P-GW返回授权信息验证成功或失败的结果时，也可以直接向P-GW发送，或通过V2X AS中转发送。

P-GW对所述授权信息进行验证的方式还可以是：P-GW发送授权验证请求消息给V2X AS，由V2X AS协助其验证授权信息，所述授权验证请求消息中携带授权信息，V2X AS使用对称密钥验证所述授权信息。V2X AS验证授权信息的方式可以是：V2X AS使用对称密钥对对称密钥保护的信息(例如：随机数、V2X SID)进行加密计算得到加密结果，将加密结果与所述授权信息进行比对，若加密结果与所述授权信息相同，则授权信息验证通过，若加密结果与所述授权信息不相同，则授权信息验证失败。

若V2X AS验证授权信息成功，则发送授权信息验证成功指示给P-GW，P-GW根据所述授权信息验证成功指示，授权所述UE访问V2X业务。若V2X AS验证授权信息失败，则发送授权信息验证失败指示给P-GW，P-GW则拒绝UE访问V2X业务。

下面结合附图16-20对图15中描述的V2X业务授权方法进行详细介绍。

图16所示为V2X AS通过V2X CF协助其验证授权信息的方法流程图。

1601、UE向V2X CF发送授权信息请求消息，授权信息请求消息中携带UE ID。本实施例中，授权信息请求消息以初始引导消息(boot connetion)为例进行说明。

1602、V2X CF向UE返回响应消息，在响应消息中携带无线配置参数和V2X AS的地址(IP地址或域名地址)以及UE ID、V2X SID等信息。

1603、UE生成与V2X CF之间共享的对称密钥kcf。

1604、UE产生一个随机数rand，使用对称密钥对随机数以及V2X SID等信息加密得到授权信息：secret1＝KDF(kcf，rand，V2X SID)。

需要说明的是，图16-20所示的实施中，使用对称密钥加密的信息可以仅仅是V2XSID，可以不包括随机数rand，图16-20所示的实施例中，仅仅是以使用对称密钥加密随机数和V2X SID举例进行说明。

1605、UE向V2X AS发起建立连接操作，向UE发送第一连接请求消息，第一连接请求消息中携带授权信息secret1和随机数rand，以及V2X SID。可选的，第一连接请求消息可以是注册请求消息。

1606、V2X AS将授权信息secret1和随机数rand、V2X SID携带在授权验证请求消息中发送给V2X CF。

1607、V2X CF使用对称密钥kcf对从V2X AS接收的随机数rand和V2X SID加密得到加密结果：secret2＝KDF(kcf，rand，V2X SID)，将从V2X AS接收到的授权信息secret1和计算得到的加密结果secret2进行比较，若两者相同，则授权信息验证通过，若两者不相同，则授权信息验证失败。

1608、V2X CF向V2X AS返回授权响应消息，授权响应消息中包含授权信息验证结果。若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，V2X AS根据该指示，授权UE访问V2X业务，继续执行步骤1609；若授权信息验证失败，则V2XCF返回的授权信息验证结果为授权信息验证失败指示，V2X AS根据该消息，拒绝UE访问V2X业务，返回授权失败消息给UE，结束流程。

1609、V2X AS向UE发送基于地理方位的多播地址数据库。

步骤1610至步骤1613与步骤1108至步骤1111相同，请参阅图11所示的实施例中的描述。

图17所示为V2X AS本地验证授权信息的方法流程图。

步骤1701至步骤1702与步骤1601至步骤1602相同，请参阅图16所示的实施例中的描述。

1703、UE生成与V2X AS之间共享的对称密钥kas。一种可选的实现方式是由V2X CF生成用于UE与V2X AS交互的对称密钥kas，且UE也生成kas，V2X CF将对称密钥kas及其对应的UE ID发送给V2X AS，V2X AS根据UE ID查询得到该UE对应的对称密钥kas。

1704、UE产生一个随机数rand，使用对称密钥对随机数以及V2X SID等信息加密得到授权信息：secret1＝KDF(kas，rand，V2X SID)。

1705、UE向V2X AS发起建立连接操作，向UE发送第一连接请求消息，第一连接请求消息中携带授权信息secret1和随机数rand，以及V2X SID。可选的，第一连接请求消息可以是注册请求消息。

1706、V2X AS使用对称密钥kas对随机数rand和V2X SID加密得到加密结果：secret2＝KDF(kas，rand，V2X SID)，将从UE接收到的授权信息secret1和计算得到的加密结果secret2进行比较，若两者相同，则授权信息验证通过，V2X AS授权UE访问V2X业务，执行步骤1707；若两者不相同，则授权信息验证失败，则V2X AS拒绝UE访问V2X业务，则返回授权失败消息给UE，结束流程。

1707、V2X AS向UE发送基于地理方位的多播地址数据库。

步骤1708至步骤1711与步骤1108至步骤1111相同，请参阅图11所示的实施例中的描述。

图18所示为P-GW通过V2X CF协助其验证授权信息的方法流程图。

步骤1801至步骤1803与步骤1601至步骤1603相同，请参阅图16所示的实施例中的描述。

1804、UE向V2X AS发起建立连接操作，向UE发送第一连接请求消息，V2X AS与UE建立连接。可选的，第一连接请求消息可以是注册请求消息，本实施例以第一连接请求消息为注册请求消息为例进行说明。

1805、V2X AS向UE发送基于地理方位的多播地址数据库(send GeoMulticastDB)；

1806、UE根据自身的地理方位查询所述基于地理方位的多播地址数据库，获取自身地理方位对应的多播地址。

1807、UE产生一个随机数rand，使用对称密钥对随机数以及V2X SID等信息加密得到授权信息：secret1＝KDF(kcf，rand，V2X SID)。

1808、UE向P-GW发送第二连接请求消息，第二连接请求消息中携带授权信息secret1和随机数rand，以及V2X SID。可选的，第二连接请求消息可以是多播组加入请求消息，多播组加入请求消息中携带所述UE自身地理方位对应的多播地址，请求加入UE自身的地理方位对应的多播组，同时，多播组加入请求消息中携带授权信息secret1和随机数rand，以及V2X SID。

1809、P-GW将授权信息secret1和随机数rand、V2X SID携带在授权验证请求消息中发送给V2X CF。

1810、V2X CF使用对称密钥kcf对从V2X AS接收的随机数rand和V2X SID加密得到加密结果：secret2＝KDF(kcf，rand，V2X SID)，将从V2X AS接收到的授权信息secret1和计算得到的加密结果secret2进行比较，若两者相同，则授权信息验证通过，若两者不相同，则授权信息验证失败。

1811、V2X CF向P-GW返回授权响应消息，授权响应消息中包含授权信息验证结果。若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，P-GW根据该指示，授权UE访问V2X业务；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示，V2X AS根据该消息，拒绝UE访问V2X业务。

1812、UE发送业务消息给PGW，以通过P-GW向UE对应的多播组内的其他UE发送V2X业务信息。UE发送的业务消息可以是周期性发送的协同感知消息CAM，也可以是通过也可以是通过事件触发上报的分散环境通知信息DENM，本实施例中以周期性发送的CAM消息举例进行说明。若UE被授权访问V2X业务，则执行步骤1813，若UE被拒绝访问V2X业务，则结束流程。

1813、P-GW将V2X业务信息发送给UE对应的多播组内的其他UE。

图19所示为P-GW通过V2X AS以及V2X CF协助其验证授权信息的方法流程图。

步骤1901至步骤1908与步骤1801至步骤1808相同，请参阅图18所示的实施例中的描述。

1909、P-GW将授权信息secret1和随机数rand、V2X SID携带在授权验证请求消息中发送给V2X AS，以请求V2X AS验证授权信息。

1910、V2X AS再将授权信息secret1和随机数rand、V2X SID携带在授权验证请求消息中发送给V2X CF，以请求V2X CF验证授权信息。

1911、V2X CF使用对称密钥kcf对从V2X AS接收的随机数rand和V2X SID加密得到加密结果：secret2＝KDF(kcf，rand，V2X SID)，将从V2X AS接收到的授权信息secret1和计算得到的加密结果secret2进行比较，若两者相同，则授权信息验证通过，若两者不相同，则授权信息验证失败。

1912、V2X CF向V2X AS返回授权响应消息，授权响应消息中包含授权信息验证结果。若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示。

1913、V2X AS将授权响应消息发送给P-GW。P-GW根据授权响应消息中的授权信息验证结果，授权UE访问V2X业务或拒绝UE访问V2X业务。若授权验证结果为授权信息验证成功指示，则P-GW授权UE访问V2X业务；若授权信息验证结果为授权信息验证失败指示，V2XAS根据该消息，则P-GW拒绝UE访问V2X业务。

步骤1914至步骤1915与步骤1812至步骤1813相同，请参阅图18所示的实施例中的描述。

图20所示为P-GW通过V2X AS协助其验证授权信息的方法流程图。

步骤2001至步骤2002与步骤1601至步骤1602相同，请参阅图16所示的实施例中的描述。

2003、UE生成与V2X AS之间共享的对称密钥kas。一种可选的实现方式是由V2X CF生成用于UE与V2X AS交互的对称密钥kas，且UE也生成kas，V2X CF将对称密钥kas及其对应的UE ID发送给V2X AS，V2X AS根据UE ID查询得到该UE对应的对称密钥kas。

步骤2004至步骤2006与步骤1804至步骤1806相同，请参阅图18所示的实施例中的描述。

2007、UE产生一个随机数rand，使用对称密钥对随机数以及V2X SID等信息加密得到授权信息：secret1＝KDF(kas，rand，V2X SID)。

2008、UE向P-GW发送第二连接请求消息，第二连接请求消息中携带授权信息secret1和随机数rand，以及V2X SID。可选的，第二连接请求消息可以是多播组加入请求消息，多播组加入请求消息中携带所述UE自身地理方位对应的多播地址，请求加入UE自身的地理方位对应的多播组，同时，多播组加入请求消息中携带授权信息secret1和随机数rand，以及V2X SID。

2009、P-GW将授权信息secret1和随机数rand、V2X SID携带在授权验证请求消息中发送给V2X AS，以请求V2X AS验证授权信息。

2010、V2X AS使用对称密钥kas对从P-GW接收的随机数rand和V2X SID加密得到加密结果：secret2＝KDF(kas，rand，V2X SID)，将从P-GW接收到的授权信息secret1和计算得到的加密结果secret2进行比较，若两者相同，则授权信息验证通过，若两者不相同，则授权信息验证失败。

2011、V2X AS向P-GW返回授权响应消息，授权响应消息中包含授权信息验证结果。若授权信息验证通过，则V2X CF返回的授权信息验证结果为授权信息验证成功指示，则P-GW授权UE访问V2X业务；若授权信息验证失败，则V2X CF返回的授权信息验证结果为授权信息验证失败指示,则P-GW拒绝UE访问V2X业务。

步骤2012至步骤2013与步骤1812至步骤1813相同，请参阅图18所示的实施例中的描述。

以上是对本申请实施例中的方法实施例的介绍，下面从功能模块角度对本申请实施例中的用户设备、服务器、网关、车联网控制装置分别进行介绍，本发明后续装置及设备类实施例用以实现和处理上述方法实施例中的各流程步骤。上述方法实施例中已经明确了各步骤的执行主体，可以直接引用到对应的装置或者设备可执行的功能或者方法。

如图21所示为用户设备的功能模块示意图，用于实现上述图3至图14所示的实施例中的UE所实现的功能，主要包括以下功能模块：

接收模块2101，用于接收V2X CF发送的UE访问V2X业务的授权信息，授权信息包括V2X业务标识；发送模块2102，用于向网络侧设备发送授权信息，授权信息用于网络侧设备对所述授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。

在一些实施例中，网络侧设备为V2X AS，授权信息还包括V2X AS的地址；发送模块2102，具体用于向V2X AS地址对应的V2X AS发送第一连接请求消息，第一连接请求消息中携带授权信息；接收模块2101，还用于在发送模块2102向V2X AS地址对应的V2X AS发送第一连接请求消息后，接收V2X AS发送的授权结果。

在一些实施例中，网络侧设备为P-GW，发送模块2102，具体用于向P-GW发送第二连接请求消息，在第二连接请求消息中携带授权信息。

图21中的各模块之间的信息交互以及各模块与V2X AS、P-GW以及V2X CF之间的信息交互可以参阅上述方法实施例以及图3至图14所示的实施例中描述，本申请不做赘述。

图22所示为用户设备的另一种功能模块示意图，用于实现上述图15至图20所示的实施例中的UE所实现的功能，主要包括以下功能模块：

处理模块2201，用于生成对称密钥，通过对称密钥生成授权信息；发送模块2202，用于向网络侧设备发送授权信息，授权信息用于网络侧设备授权信息验证通过后，授权UE访问V2X业务。

在一些实施方式中，处理模块2201具体用于使用对称密钥对允许UE访问的V2X业务标识进行保护以生成授权信息。

在一些实施方式中，处理模块2201具体用于生成与V2X CF共享的对称密钥，通过对称密钥生成授权信息，发送模块2202具体用于向V2X AS或P-GW发送授权信息，授权信息用于V2X AS或P-GW通过V2X CF使用对称密钥进行验证，验证通过后，授权用户设备访问V2X业务。

图22中的各模块之间的信息交互以及各模块与V2X AS、P-GW以及V2X CF之间的信息交互可以参阅图15至图20所示的实施例中描述，本申请不做赘述。

图23所示为服务器的功能模块示意图。

一种实施例中，图23所示的服务器用于实现上述图3至图14所示的实施例中的V2XAS所实现的功能，主要包括以下功能模块：

接收模块2301，用于从接收用户设备UE发送的第一连接请求消息，第一连接请求消息中携带授权信息，授权信息包括V2X业务标识；验证模块2302，用于验证授权信息；授权模块2303，用于在所述授权信息验证通过后，授权所述UE访问所述V2X业务标识对应的V2X业务。

可选的，服务器还包括发送模块2304，用于在所述验证模块2302验证所述授权信息后，向所述UE发送授权结果。

可选的，授权信息通过V2X控制功能实体CF的私钥签名，验证模块2302具体用于使用V2X CF的公钥解密授权信息，并对授权信息进行验证。

可选的，验证模块2302，具体用于通过发送模块2304发送授权验证请求消息给V2XCF，授权验证请求消息中携带授权信息，之后，通过接收模块2301接收V2X CF验证授权信息后发送的授权信息验证结果。

在这种实施例中，图23中的各模块之间的信息交互以及各模块与UE、P-GW以及V2XCF之间的信息交互可以参阅图3至图14所示的实施例中描述，本申请不做赘述。

在另外一种实施例中，图23所示的服务器还可以实现上述图15至图20所示的实施例中的V2X AS所实现的功能：

接收模块2301，用于接收用户设备UE发送的第一连接请求消息，第一连接请求消息中携带授权信息，授权信息为UE通过对称密钥生成；验证模块2302，用于验证授权信息；授权模块2303，用于在所述授权信息验证通过后，授权所述UE访问V2X业务。

可选的，授权信息为UE使用对称密钥对允许UE访问的V2X业务标识进行保护所生成。

可选的，对称密钥为与UE之间共享的对称密钥；验证模块2302，具体用于使用对称密钥验证授权信息。

可选的，对称密钥为与UE之间共享的对称密钥，服务器还包括发送模块2304，用于发送授权验证请求消息给V2X CF，授权验证请求消息中携带授权信息，该授权信息用于V2XCF使用与UE之间共享的对称密钥进行验证。

在这种实施例中，图23中的各模块之间的信息交互以及各模块与UE、P-GW以及V2XCF之间的信息交互可以参阅图15至图20所示的实施例中描述，本申请不做赘述。

图24所示为网关的功能模块示意图。

在一种实现方式中，图24所示的网关用于实现上述图3至图14所示的实施例中的P-GW所实现的功能，主要包括以下功能模块：

接收模块2401，用于接收用户设备UE发送的第二连接请求消息，第二连接请求消息中携带UE的授权信息，授权信息包括V2X业务标识；验证模块2402，用于验证授权信息；授权模块2403，用于在验证模块2402对授权信息验证通过后，授权UE访问V2X业务标识对应的V2X业务。

可选的，授权信息通过V2X控制功能实体CF的私钥签名，验证模块2402具体用于使用V2X CF的公钥解密授权信息，并对授权信息进行验证。

可选的，验证模块2402具体用于发送授权验证请求消息给V2X CF，授权验证请求消息中携带授权信息；之后，通过接收模块2401接收V2X CF验证授权信息后发送的授权信息验证成功指示；授权模块2403，具体用于根据授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务。授权信息可以通过V2X CF的私钥加密，以使得V2X CF解密授权信息后验证授权信息。

可选的，验证模块2402具体用于发送授权验证请求消息给V2X AS，授权验证请求消息中携带授权信息；再通过接收模块2401接收V2X AS验证授权信息后发送的授权信息验证成功指示；授权模块2403，具体用于根据授权信息验证成功指示，授权UE访问V2X业务标识对应的V2X业务。授权信息可以通过V2X CF的私钥加密，以使得V2X AS使用V2X CF的公钥解密授权信息后验证授权信息。

在这种实施例中，图24中的各模块之间的信息交互以及各模块与UE、V2X AS以及V2X CF之间的信息交互可以参阅图3至图14所示的实施例中描述，本申请不做赘述。

在另一种实现方式中，图24所示的网关还可以用于实现上述图15至图20所示的实施例中的P-GW所实现的功能；

其中，接收模块2401，用于接收UE发送的第二连接请求消息，第二连接请求消息中携带授权信息，授权信息为UE通过对称密钥生成；验证模块2402，用于对授权信息进行验证；授权模块2403，用于授权UE访问V2X业务。

可选的，授权信息为UE使用对称密钥对允许UE访问的V2X业务标识进行保护所生成。

可选的，对称密钥为UE与V2X CF之间共享的对称密钥；验证模块2402具体用于发送授权验证请求消息给V2X CF，授权验证请求消息中携带授权信息，授权信息用于V2X CF使用与UE之间共享的对称密钥进行验证，之后，通过接收模块2401接收V2X CF发送的授权信息验证成功指示，根据授权信息验证成功指示，授权UE访问V2X业务。

可选的，对称密钥为UE与V2X AS之间共享的对称密钥；验证模块2402具体用于发送授权验证请求消息给V2X AS，授权验证请求消息中携带授权信息，授权信息用于V2X AS使用对称密钥进行验证，之后，通过接收模块2401接收V2X AS发送的授权信息验证成功指示，根据授权信息验证成功指示，授权UE访问V2X业务。

在这种实施例中，图24中的各模块之间的信息交互以及各模块与UE、V2X AS以及V2X CF之间的信息交互可以参阅图15至图20所示的实施例中描述，本申请不做赘述。

图25所示为车联网控制装置的一种功能模块示意图，用于实现上述图3至图14所示的实施例中的V2X CF所实现的功能，主要包括以下功能模块：

获取模块2501，用于获取UE的授权信息，授权信息包括V2X业务标识；发送模块2502，用于将UE的授权信息发送给UE，授权信息用于UE向网络侧设备请求授权访问所述V2X业务标识对应的V2X业务。

在一种实施例中，车联网控制装置还包括接收模块2503，用于接收V2X AS发送的授权验证请求消息，授权验证请求消息中携带授权信息；验证模块2504，用于验证授权信息；发送模块2502，用于向V2X AS发送授权信息验证结果，授权信息验证结果用于V2X AS向UE发送授权结果。

在一种实施例中，接收模块2503，用于接收P-GW发送的授权验证请求消息，授权验证请求消息中携带授权信息；验证模块2504用于验证授权信息；发送模块2502，还用于向P-GW发送授权信息验证成功指示，授权信息验证成功指示用于指示P-GW授权UE访问V2X业务标识对应的V2X业务。

可选的，授权信息通过V2X CF的私钥签名；验证模块2504，具体用于解密授权信息，并验证授权信息。

可选的，获取模块2501具体用于从归属签约服务器HSS获取UE的授权信息；或获取模块2501，具体用于从本地存储中获取UE的授权信息。

图25中的各模块之间的信息交互以及各模块与UE、V2X AS以及P-GW之间的信息交互可以参阅图3至图14所示的实施例中描述，本申请不做赘述。

图26所示为车联网控制装置另一种实施例的功能模块示意图，用于实现上述图15至图20所示的实施例中的V2X CF所实现的功能，主要包括以下功能模块：

接收模块2601，用于接收V2X AS或P-GW发送的授权验证请求消息，授权验证请求消息中携带授权信息，授权信息为UE通过对称密钥生成，对称密钥为UE与V2X CF之间共享的对称密钥；验证模块2602，用于使用对称密钥验证授权信息；发送模块2603，用于向V2XAS或P-GW发送授权信息验证结果。

可选的，授权信息为UE使用对称密钥对允许UE访问的V2X业务标识进行保护所生成。

图26中的各模块之间的信息交互以及各模块与UE、V2X AS以及P-GW之间的信息交互可以参阅图15至图20所示的实施例中描述，本申请不做赘述。

图21或22所示的用户设备所实现的功能、图23所示的服务器所实现的功能、或图24所示的网关所实现的功能、或图25或26所示的车联网控制装置所实现的功能在实际应用中，分别可以通过专用集成电路(application-specific integrated circuit，ASIC)实现，或可编程逻辑器件(programmable logic device，PLD)实现。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程门阵列(Field－Programmable Gate Array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

本申请实施例中的用户设备在实际应用中可以是以各种形式存在的交通工具上的车载终端或车联网设备，所述车载终端或车联网设备可以是用户手持的移动终端，也可以是集成在交通工具内的车载终端或车联网设备。所述交通工具可以是诸如轿车、卡车、摩托车、公交车、船、飞机、直升机、割草机、铲雪车、休旅车、游乐园车辆、农业设备、施工设备、有轨电车、高尔夫球车、火车和电车等其它车辆。

下面结合图27对用户设备的一种硬件结构进行详细介绍。图27示出的是用户设备的部分硬件结构的框图，包括：信息通讯单元2701、GPS(global position system，全球定位系统)模块2702和多个VSM(vehicle security module，车载安全单元)2703，以及音频系统2704、显示单元2705等模块。其中信息通信单元2701包括标准蜂窝芯片集50、一个或多个处理器51、一个或多个存储器52以及收发器53。这些模块通过一个或多个网络连接实现间接连接，例如通过通信总线2706连接。

信息通讯单元2701能够在无线载波系统上经无线联网进行无线声音和/或数据通信，从而使用户设备与其它启用信息通讯的交通工具、或者一些其它实体或者设备通信之间通信。通过提供声音和数据通信，信息通讯单元2701能使用户设备提供多种不同的服务，包括与导航、电话、紧急救援、诊断、信息娱乐等相关联的服务。

信息通讯单元2701利用蜂窝通信，因此包括标准蜂窝芯片集50。处理器51可以是能够处理电子指令的任何类型的设备，包括微处理器、微控制器、主处理器、控制器、交通工具通信处理器、以及ASIC(application specific integrated circuit，专用集成电路)。它能够是仅用于信息通讯单元2701的专用处理器或者能够与其它交通工具系统共享。处理器51执行各种类型的数字存储指令，例如存储在存储器52中的软件或者固件程序，它能使信息通讯单元提供较宽的多种服务。例如，处理器51能够执行程序或者处理数据，以执行本申请图3至图14中的UE所执行的V2X业务授权方法的全部或部分功能，或图15至图20中的UE所执行的V2X业务授权方法的全部或部分功能。

GPS模块2702用于接收无线电信号，以确定交通工具的位置，给交通工具驾驶者提供导航和其它位置相关联的服务。

显示单元2705可用于显示由用户输入的信息或提供给用户的信息。显示单元2705可包括显示面板，可选的，可以采用液晶显示器(liquid crystal display，LCD)、有机发光二极管(organic light-emitting diode,OLED)等形式来配置显示面板。进一步的，触控面板可覆盖显示面板，当触控面板检测到在其上或附近的触摸操作后，传送给处理器51以确定触摸事件的类型，随后处理器51根据触摸事件的类型在显示面板上提供相应的视觉输出。可以将触控面板与显示面板集成而实现用户设备的输入和输出功能。

收发器53可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器51处理；另外，将设计上行的数据发送给基站。通常，收发器53包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(low noise amplifier，lna)、双工器等。此外，收发器53还可以通过无线通信与网络和其他设备通信。收发器53还用于执行图3至图14中的UE从其他设备接收信息和发送信息，或，收发器53还用于执行图15至图20中的UE从其他设备接收信息和发送信息。

车载安全单元2703通常从一个或多个传感器接收输入，并使用所感测到的输入来执行诊断、监测、控制、报告和/或其它功能。

尽管未示出，用户设备还可以包括蓝牙模块、Wifi模块、传感器、麦克风等，在此不再赘述。

图28为本申请实施例提供的一种服务器的示意图，本申请实施例中的服务器在实际应用中可以是服务器或服务器集群。

在实际应用中，上述图3至图20所示的实施例中描述的V2X AS以及图23所示的实施例所描述的服务器可以是以图28的硬件结构形式存在。

上述图3至图20所示的实施例中描述的V2X CF，以及图25和26所示的实施例中所描述的车联网控制装置也可以是以图21的硬件结构形式存在。

此外，V2X AS和V2X CF两者所实现的功能可以集成在一个服务器中实现，或通过分布式部署的多个服务器实现，具体的形式不限。

下面结合图28对服务器的一种硬件结构进行详细介绍。

图28是本申请实施例提供的一种服务器硬件结构示意图，该服务器可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processingunits，CPU)2810和存储器2830。其中，存储器2830上存储有一个或一个以上应用程序2833、数据2832和一个或一个以上操作系统2831，存储在存储器2830的程序可以包括一个或一个以上模块，每个模块可以包括一系列的指令操作。

服务器还可以包括一个或一个以上电源2820，一个或一个以上的收发器2840，收发器2840可以包括输入输出接口，或有线或无线网络接口。

具体的，当该服务器是V2X AS时，处理器2810运行存储器2830中存储的指令，用于实现图3至图14所示的实施例中的V2X AS执行的全部或部分步骤，或用于实现图15至图20所示的实施例中的V2X AS执行的全部或部分步骤。收发器2840还用于执行图3至图14中的V2X AS从其他设备接收信息和发送信息，或，收发器2840还用于执行图15至图20中的V2XAS从其他设备接收信息和发送信息。

具体的，当该服务器是V2X CF时，处理器2810运行存储器2830中存储的指令，用于实现图3至图14所示的实施例中的V2X CF执行的全部或部分步骤，或用于实现图15至图20所示的实施例中的V2X CF执行的全部或部分步骤。收发器2840还用于执行图3至图14中的V2X CF从其他设备接收信息和发送信息，或，收发器2840还用于执行图15至图20中的V2XCF从其他设备接收信息和发送信息。

图29为本申请实施例提供的一种网关的示意图。该网关可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器2901和存储器2902。其中，处理器2901可以包括网络处理器(net process，NP)和中央处理器CPU，存储器2202上存储有一个或一个以上应用程序或指令。网关还包括一个或一个以上以太网接口2903，用于实现数据的接收与转发。

具体的，处理器2901运行存储器2902中存储的应用程序或指令，用于实现图3至图14所示的实施例中的P-GW执行的全部或部分步骤，或用于实现图15至图20所示的实施例中的P-GW执行的全部或部分步骤。

需要说明的是，在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者车联网控制装置等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (52)

1.一种车联网V2X业务授权方法，其特征在于，所述方法包括：

用户设备UE接收V2X控制功能实体CF发送的所述UE访问V2X业务的授权信息，所述授权信息包括V2X业务标识；

所述UE向网络侧设备发送所述授权信息，所述授权信息用于使所述网络侧设备对所述授权信息验证通过后，授权所述UE访问所述V2X业务标识对应的V2X业务。

2.根据权利要求1所述的方法，其特征在于，所述网络侧设备包括V2X应用服务器AS，所述授权信息还包括所述V2X AS的地址；

所述UE向网络侧设备发送所述授权信息包括：

所述UE向所述V2X AS地址对应的V2X AS发送第一连接请求消息，所述第一连接请求消息中携带所述授权信息。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

在所述UE向所述V2X AS地址对应的V2X AS发送第一连接请求消息后，所述UE接收所述V2X AS发送的授权结果。

4.根据权利要求1所述的方法，其特征在于，所述网络侧设备包括分组数据网网关P-GW，所述UE向网络侧设备发送所述授权信息包括：

所述UE向所述P-GW发送第二连接请求消息，所述第二连接请求消息中携带所述授权信息。

5.一种车联网V2X业务授权方法，其特征在于，所述方法包括：

V2X应用服务器AS接收用户设备UE发送的第一连接请求消息，所述第一连接请求消息中携带授权信息，所述授权信息包括V2X业务标识；

所述V2X AS验证所述授权信息，并在验证通过后授权所述UE访问所述V2X业务标识对应的V2X业务。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

在所述V2X AS验证所述授权信息后，所述V2X AS向所述UE发送授权结果。

7.根据权利要求5或6所述的方法，其特征在于，所述授权信息还包括所述V2X AS的地址。

8.根据权利要求5至7中任一项所述的方法，其特征在于，

所述授权信息通过V2X控制功能实体CF的私钥签名；

所述V2X AS验证所述授权信息包括：

所述V2X AS使用所述V2X CF的公钥解密所述授权信息，并对所述授权信息进行验证。

9.根据权利要求5至7中任一项所述的方法，其特征在于，所述V2X AS验证所述授权信息包括：

所述V2X AS发送授权验证请求消息给V2X CF，所述授权验证请求消息中携带所述授权信息；

所述V2X AS接收所述V2X CF验证所述授权信息后发送的授权信息验证结果。

10.根据权利要求9所述的方法，其特征在于，

所述授权信息通过所述V2X CF的私钥签名，以使得所述V2X CF解密所述授权信息后验证所述授权信息。

11.一种车联网V2X业务授权方法，其特征在于，所述方法包括：

V2X控制功能实体CF获取用户设备UE的授权信息，所述授权信息包括V2X业务标识；

所述V2X CF将所述授权信息发送给所述UE，所述授权信息用于所述UE向网络侧设备请求授权访问所述V2X业务标识对应的V2X业务。

12.根据权利要求11所述的方法，其特征在于，所述网络侧设备包括V2X应用服务器AS，所述方法还包括：

所述V2X CF接收所述V2X AS发送的授权验证请求消息，所述授权验证请求消息中携带所述授权信息；

所述V2X CF验证所述授权信息，并向所述V2X AS发送授权信息验证结果。

13.根据权利要求11所述的方法，其特征在于，所述网络侧设备包括分组数据网网关P-GW，所述方法还包括：

所述V2X CF接收所述P-GW发送的授权验证请求消息，所述授权验证请求消息中携带所述授权信息；

所述V2X CF验证所述授权信息，并向所述P-GW发送授权信息验证结果。

14.根据权利要求12或13所述的方法，其特征在于，

所述授权信息通过所述V2X CF的私钥签名；

所述V2X CF验证所述授权信息包括：

所述V2X CF解密所述授权信息，并验证所述授权信息。

15.根据权利要求11至14中任一项所述的方法，其特征在于，所述V2X CF获取所述UE的授权信息包括：

所述V2X CF从归属签约服务器HSS获取所述UE的授权信息；

或所述V2X CF从本地存储中获取所述UE的授权信息。

16.一种车联网V2X业务授权方法，其特征在于，所述方法包括：

用户设备UE生成对称密钥；

所述UE通过所述对称密钥生成授权信息；

所述UE向网络侧设备发送所述授权信息，所述授权信息用于使所述网络侧设备对所述授权信息验证通过后，授权所述UE访问V2X业务。

17.根据权利要求16所述的方法，其特征在于，所述UE通过所述对称密钥生成授权信息包括：

所述UE使用所述对称密钥对允许UE访问的V2X业务标识进行保护以生成所述授权信息。

18.根据权利要求16或17所述的方法，其特征在于，所述UE生成对称密钥包括：

所述UE生成与V2X控制功能实体CF共享的对称密钥；

所述UE向网络侧设备发送所述授权信息包括：

所述UE向所述V2X AS或所述P-GW发送所述授权信息，所述授权信息用于所述V2X AS或所述P-GW通过所述V2X CF使用所述对称密钥对所述授权信息验证通过后，授权所述UE访问V2X业务。

19.一种车联网V2X业务授权方法，其特征在于，所述方法包括：

V2X应用服务器AS接收用户设备UE发送的第一连接请求消息，所述第一连接请求消息中携带授权信息，所述授权信息为所述UE通过对称密钥生成；

所述V2X AS验证所述授权信息，并在验证通过后授权所述UE访问V2X业务。

20.根据权利要求19所述的方法，其特征在于，所述授权信息为所述UE使用所述对称密钥对允许所述UE访问的V2X业务标识进行保护所生成。

21.根据权利要求19或20所述的方法，其特征在于，所述对称密钥为所述UE与所述V2XAS之间共享的对称密钥；所述V2X AS验证所述授权信息包括：

所述V2X AS使用所述对称密钥验证所述授权信息。

22.根据权利要求19或20所述的方法，其特征在于，所述对称密钥为所述UE与所述V2XAS之间共享的对称密钥；所述V2X AS验证所述授权信息包括：

所述V2X AS发送授权验证请求消息给V2X CF，所述授权验证请求消息中携带所述授权信息，所述授权信息用于所述V2X CF使用与所述UE之间共享的所述对称密钥进行验证；

所述V2X AS接收V2X CF发送的授权信息验证结果。

23.一种车联网V2X业务授权方法，其特征在于，所述方法包括：

V2X控制功能实体CF接收V2X AS或P-GW发送的授权验证请求消息，所述授权验证请求消息中携带授权信息，所述授权信息为所述UE通过对称密钥生成，所述对称密钥为所述UE与V2X CF之间共享的对称密钥；

所述V2X CF使用所述对称密钥验证所述授权信息，向所述V2X AS或P-GW发送授权信息验证结果。

24.根据权利要求23所述的方法，其特征在于，所述授权信息为所述UE使用所述对称密钥对允许所述UE访问的V2X业务标识进行保护所生成。

25.一种用户设备UE，其特征在于，所述用户设备包括：

接收模块，用于接收V2X控制功能实体CF发送的UE访问V2X业务的授权信息，所述授权信息包括V2X业务标识；

发送模块，用于向网络侧设备发送所述授权信息，所述授权信息用于使所述网络侧设备对所述授权信息验证通过后，授权所述UE访问所述V2X业务标识对应的V2X业务。

26.根据权利要求25所述的用户设备，其特征在于，所述网络侧设备包括V2X应用服务器AS，所述授权信息还包括所述V2X AS的地址；

所述发送模块，具体用于向所述V2X AS地址对应的V2X AS发送第一连接请求消息，所述第一连接请求消息中携带所述授权信息。

27.根据权利要求26所述的用户设备，其特征在于，

所述接收模块，还用于在所述发送模块向所述V2X AS地址对应的V2X AS发送第一连接请求消息后，接收所述V2X AS发送的授权结果。

28.根据权利要求25所述的用户设备，其特征在于，所述网络侧设备包括分组数据网网关P-GW；

所述发送模块，具体用于向所述P-GW发送第二连接请求消息，所述第二连接请求消息中携带所述授权信息。

29.一种服务器，其特征在于，所述服务器包括：

接收模块，用于接收用户设备UE发送的第一连接请求消息，所述第一连接请求消息中携带授权信息，所述授权信息包括V2X业务标识；

验证模块，用于验证所述授权信息；

授权模块，用于在所述授权信息验证通过后，授权所述UE访问所述V2X业务标识对应的V2X业务。

30.根据权利要求29所述的服务器，其特征在于，所述服务器还包括：

发送模块，用于在所述验证模块验证所述授权信息后，向所述UE发送授权结果。

31.根据权利要求29或30所述的服务器，其特征在于，所述授权信息还包括所述V2X AS的地址。

32.根据权利要求29至31中任一项所述的服务器，其特征在于，所述授权信息通过V2X控制功能实体CF的私钥签名，所述验证模块，具体用于使用所述V2X CF的公钥解密所述授权信息，并对所述授权信息进行验证。

33.根据权利要求29至31中任一项所述的服务器，其特征在于，

所述验证模块，具体用于通过所述发送模块发送授权验证请求消息给V2X CF，所述授权验证请求消息中携带所述授权信息，之后，通过所述接收模块接收所述V2X CF验证所述授权信息后发送的授权信息验证结果。

34.根据权利要求33所述的服务器，其特征在于，

所述授权信息通过所述V2X CF的私钥签名，以使得所述V2X CF解密所述授权信息后验证所述授权信息。

35.一种车联网控制装置，其特征在于，所述车联网控制装置包括：

获取模块，用于获取用户设备UE的授权信息，所述授权信息包括V2X业务标识；

发送模块，用于将所述UE的授权信息发送给所述UE，所述授权信息用于所述UE向网络侧设备请求授权访问所述V2X业务标识对应的V2X业务。

36.根据权利要求35所述的车联网控制装置，其特征在于，所述车联网控制装置还包括：

接收模块，用于接收所述V2X应用服务器AS发送的授权验证请求消息，所述授权验证请求消息中携带所述授权信息；

验证模块，用于验证所述授权信息；

所述发送模块，还用于向所述V2X AS发送授权信息验证结果。

37.根据权利要求35所述的车联网控制装置，其特征在于，所述车联网控制装置还包括：

接收模块，用于接收所述分组数据网网关P-GW发送的授权验证请求消息，所述授权验证请求消息中携带所述授权信息；

验证模块，用于验证所述授权信息；

所述发送模块，还用于向所述P-GW发送授权信息验证结果。

38.根据权利要求36或37所述的车联网控制装置，其特征在于，

所述授权信息通过所述V2X CF的私钥签名；

所述验证模块，具体用于解密所述授权信息，并验证所述授权信息。

39.根据权利要求36至38中任一项所述的车联网控制装置，其特征在于，

所述获取模块，具体用于从归属签约服务器HSS获取所述UE的授权信息；

或所述获取模块，具体用于从本地存储中获取所述UE的授权信息。

40.一种用户设备UE，其特征在于，所述用户设备包括：

处理模块，用于生成对称密钥，通过所述对称密钥生成授权信息；

发送模块，用于向网络侧设备发送所述授权信息，所述授权信息用于使所述网络侧设备对所述授权信息验证通过后，授权所述UE访问V2X业务。

41.根据权利要求40所述的用户设备，其特征在于，所述处理模块，具体用于：

使用所述对称密钥对允许UE访问的V2X业务的业务标识进行保护以生成所述授权信息。

42.根据权利要求40或41所述的用户设备，其特征在于，

所述处理模块，具体用于生成与V2X控制功能实体CF共享的对称密钥，通过所述对称密钥生成授权信息；

所述发送模块，具体用于：

向所述V2X AS或所述P-GW发送所述授权信息，所述授权信息用于所述V2X AS或所述P-GW通过所述V2X CF使用所述对称密钥对所述授权信息验证通过后，授权用户设备访问V2X业务。

43.一种服务器，其特征在于，所述服务器包括

接收模块，用于接收用户设备UE发送的第一连接请求消息，所述第一连接请求消息中携带授权信息，所述授权信息为所述UE通过对称密钥生成；

验证模块，用于验证所述授权信息；

授权模块，用于在所述授权信息验证通过后，授权所述UE访问V2X业务。

44.根据权利要求43所述的服务器，其特征在于，所述授权信息为所述UE使用所述对称密钥对允许所述UE访问的V2X业务标识进行保护所生成。

45.根据权利要求43或44所述的服务器，其特征在于，所述对称密钥为与所述UE与所述V2X AS之间共享的对称密钥；

所述验证模块，具体用于使用所述对称密钥验证所述授权信息。

46.根据权利要求43或44所述的服务器，其特征在于，所述对称密钥为与所述UE与所述V2X AS之间共享的对称密钥；所述服务器还包括：

发送模块，用于发送授权验证请求消息给V2X CF，所述授权验证请求消息中携带所述授权信息，所述授权信息用于所述V2X CF使用与所述UE之间共享的所述对称密钥进行验证。

47.一种车联网控制装置，其特征在于，所述车联网控制装置包括：

接收模块，用于接收V2X AS或P-GW发送的授权验证请求消息，所述授权验证请求消息中携带授权信息，所述授权信息为所述UE通过对称密钥生成，所述对称密钥为所述UE与V2XCF之间共享的对称密钥；

验证模块，用于使用所述对称密钥验证所述授权信息；

发送模块，用于向所述V2X AS或P-GW发送授权信息验证结果。

48.根据权利要求47所述的车联网控制装置，其特征在于，所述授权信息为所述UE使用所述对称密钥对允许所述UE访问的V2X业务标识进行保护所生成。

49.一种用户设备，包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行如权利要求1至4中任一项所述的方法或如权利要求16至18中任一项所述的方法。

50.一种服务器，包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行如权利要求5至10中任一项所述的方法或如权利要求19至22中任一项所述的方法。

51.一种车联网控制装置，包括存储器，一个或多个处理器，以及一个或多个程序；其中所述一个或多个程序被存储在所述存储器中；其特征在于，所述处理器执行所述一个或多个程序，以用于执行如权利要求11至15中任一项所述的方法或如权利要求23至24中任一项所述的方法。

52.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-24中任一项所述的方法。