CN110545252A - 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 - Google Patents

一种认证和信息保护的方法、终端、控制功能实体及应用服务器 Download PDF

Info

Publication number
CN110545252A
CN110545252A CN201810528042.0A CN201810528042A CN110545252A CN 110545252 A CN110545252 A CN 110545252A CN 201810528042 A CN201810528042 A CN 201810528042A CN 110545252 A CN110545252 A CN 110545252A
Authority
CN
China
Prior art keywords
terminal
key
application server
identification information
control function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810528042.0A
Other languages
English (en)
Other versions
CN110545252B (zh
Inventor
朱锦涛
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810528042.0A priority Critical patent/CN110545252B/zh
Publication of CN110545252A publication Critical patent/CN110545252A/zh
Application granted granted Critical
Publication of CN110545252B publication Critical patent/CN110545252B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例公开了一种认证和信息保护的方法、终端、控制功能实体CF及应用服务器AS,在该方法中,终端基于认证与密钥协商协议与CF完成双向认证,且根据二者认证过程中交互的密钥材料如终端标识信息、鉴权五元组信息等各自生成了与对方进行信息交互的密钥,并使用密钥对二者交互的信息进行加密保护。从而可以确保CF与终端之间交互的消息不会被篡改或泄露。CF还可以生成AS与终端信息交互的密钥并发送给终端,终端也可以生成对应的与AS交互的密钥,并使用密钥对二者交互的信息进行加密保护。通过设备间的相互认证,且生成具备较高随机性和安全性的密钥对交互信息进行保护,可以大幅提升V2X网络的安全性。

Description

一种认证和信息保护的方法、终端、控制功能实体及应用服 务器
技术领域
本发明涉及通信技术领域,尤其涉及一种认证和信息保护的方法、终端、控制功能实体及应用服务器。
背景技术
传统的车联网是指装载在车辆上的电子标签通过无线射频等识别技术,实现在信息网络平台上对所有车辆的属性信息、静态信息和动态信息进行提取和有效利用,并根据不同的功能需求对所有车辆的运行状态进行有效的监管和提供综合服务的系统。随着车联网技术与产业的发展,上述定义已经不能涵盖车联网的全部内容。根据车联网产业技术创新战略联盟的定义,车联网是以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交互标准,在车与外界(Vehicle to X,简称V2X)之间,进行无线通讯和信息交换的大系统网络,X可以是车、路、行人及互联网等,V2X是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络,是物联网技术在交通系统领域的典型应用。
在V2X网络中涉及的设备包括车辆上的终端、控制功能实体(Control Function,CF)和应用服务器(Application Server,AS)等。由于现有的V2X网络中没有完善的认证机制和信息保护机制,导致未经认证的终端可以访问CF或AS,使得V2X网络的安全性较低,且各个设备之间的信息交互安全性也较低,进一步使得V2X网络的安全性降低。
发明内容
本申请实施例所要解决的技术问题在于,提供一种认证和信息保护的方法、终端、控制功能实体及应用服务器。以解决现有V2X网络安全性较低的问题。
第一方面,本申请实施例提供了一种认证和信息保护的方法,包括:
终端向控制功能实体发送第一连接请求消息,所述第一连接请求消息包含终端标识信息;
所述终端接收所述控制功能实体返回的认证请求消息,所述认证请求消息包含与所述终端标识信息对应的随机数和鉴权令牌;
所述终端根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算响应RES参数;
所述终端向所述控制功能实体发送认证响应消息,所述认证响应消息包含所述RES参数;
若所述RES参数与所述控制功能实体获取的预期响应XRES参数相同,则所述终端通过所述控制功能实体的认证,所述终端接收所述控制功能实体返回的第一连接响应消息,所述第一连接响应消息由所述控制功能实体根据第一密钥进行加密;
所述终端根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述第一密钥相同的第二密钥,并根据所述第二密钥对所述第一连接响应消息进行解密。
基于认证与密钥协商协议,控制功能实体CF可以与终端完成双向认证,从而可以避免未经授权的终端访问CF,且根据二者认证过程中交互的密钥材料如UE ID、随机数等各自生成了与对方进行信息交互的密钥,从而可以确保CF与终端之间交互的消息如终端位置信息、CF发送的AS IP地址信息等不会被篡改或泄露,整个交互过程中无需增加新的网元设备,且生成的密钥具备较高的随机性和安全性,可以大幅提升V2X网络中CF与终端通信的私密性和安全性。
在一种可能的实施方式中,所述方法还包括:
所述终端生成与应用服务器通信的第三密钥;
所述终端获取所述第一连接响应消息中包含的应用服务器的地址信息;
所述终端根据所述地址信息向所述应用服务器发送第二连接请求消息,所述第二连接请求消息包含所述终端标识信息,并采用所述第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;
若所述应用服务器通过所述终端标识信息确定对应的第四密钥,并使用所述第四密钥对所述第二连接请求消息解密成功,则所述终端通过所述应用服务器的认证,所述终端接收所述应用服务器返回的第二连接响应消息。
通过以上应用服务器AS与终端的认证,可以避免未经授权的终端访问AS,且CF生成供AS与终端信息交互的会话密钥Kas,终端也生成了与AS信息交互的会话密钥Kas,从而可以确保AS与终端之间的消息如终端位置信息、AS发送的组播组数据库信息等不会被篡改或泄露,整个认证和信息保护的过程中无需增加新的网元设备,可以大幅提升V2X网络中AS与终端通信的私密性和安全性。
在一种可能的实施方式中,CF在向终端返回第一连接响应消息时,可以仅对第一连接响应信息中的应用服务器的地址信息进行基于第一密钥的加密,终端在解密时,也只需要解密第一连接响应消息中的应用服务器的地址信息,由于仅对应用服务器的地址信息进行加密和解密,可以节省CF和终端的计算开销,缩短处理时间,在确保关键信息安全性的前提下提升信息交互的效率。
在一种可能的实施方式中,所述终端生成与应用服务器通信的第三密钥,包括:
所述终端根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
第三密钥根据鉴权令牌中提取的加密密钥和完整性密钥,以及其他相关参数生成,随机性和安全性较高,利于提升终端与AS信息交互的安全性和私密性。
在一种可能的实施方式中,所述终端生成与应用服务器通信的第三密钥,包括:
所述终端根据所述第二密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
第三密钥根据已生成的第二密钥以及其他相关参数生成,由于第二密钥本身具备较高的私密性和安全性,因此可以进一步提升第三密钥的私密性和安全性。
在一种可能的实施方式中,所述方法还包括:
所述第一连接响应消息中包含所述应用服务器标识信息,所述终端从所述第一连接响应消息中获取所述应用服务器标识信息;或者
所述终端根据所述终端与所述应用服务器之间的接口的应用协议号,确定所述应用服务器标识信息。
在多AS的场景下需要区分多AS,此时可以选用应用服务器标识信息AS I D作为第三密钥的生成参数之一,终端可以通过与AS的信息交互或与AS的接口的应用协议号来获取AS I D,从而生成与AS具备关联性的第三密钥。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;
所述终端根据所述第三密钥解密所述第二连接响应消息,并根据所述第二连接响应消息中包含的组播组数据库信息加入组播组。
通过对AS与终端交互信息进行相应的加密,可以确保非法终端无法获取正确的组播组数据库信息,也就无法顺利的加入组播组,而能够正常解密的终端则被视为合法终端,可以正常的加入组播组中。
在一种可能的实施方式中,所述第二连接响应消息中包含的组播组数据库信息由所述应用服务器根据第四密钥进行加密;
所述终端根据所述第三密钥解密所述第二连接响应消息中包含的组播组数据库信息,并根据组播组数据库信息加入组播组。
与上一实施方式相比,此处仅对组播组数据库信息进行加密和解密,可以节省终端的计算开销,缩短处理时间,在确保关键信息安全性的前提下提升信息交互的效率。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含的组播组数据库信息由所述应用服务器根据所述应用服务器的私钥进行加密;
所述终端根据所述第三密钥解密所述第二连接响应消息,并根据所述应用服务器的公钥解密所述组播组数据库信息,若解密成功则完成对所述应用服务器的认证,根据组播组数据库信息加入组播组。
通过第四密钥和第三密钥分别对AS与终端交互的信息进行加密和解密,确保了信息交互的安全性,且对组播组数据库信息进行AS的私钥加密,如果终端能够使用正确的公钥进行解密则实现了终端对AS的认证,从而可以避免恶意的AS向终端发送错误的组播组数据库信息。进一步提升了终端与AS信息交互的安全性。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息;
所述终端根据预存储的合法应用服务器地址信息对所述地址信息进行认证,认证通过后根据所述组播组数据库信息加入组播组。
第二方面,本申请实施例提供了一种认证和信息保护的方法,包括:
控制功能实体接收终端发送的第一连接请求消息,所述第一连接请求消息包含终端标识信息;
所述控制功能实体根据所述终端标识信息从归属签约用户服务器获取对应的认证向量,所述认证向量包括加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数;
所述控制功能实体向所述终端发送认证请求消息,所述认证请求消息包含所述随机数和所述鉴权令牌;
所述控制功能实体接收所述终端发送的认证响应消息,所述认证响应消息包含所述终端根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算的响应RES参数;
若所述RES参数与所述XRES参数相同,则所述终端通过所述控制功能实体的认证;
所述控制功能实体根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述终端通信的第一密钥;
所述控制功能实体向所述终端发送第一连接响应消息,并使用所述第一密钥对所述第一连接响应消息进行加密。
在一种可能的实施方式中,所述方法还包括:
所述控制功能实体生成应用服务器与所述终端通信的第四密钥;
所述控制功能实体向所述应用服务器发送所述终端标识信息和所述第四密钥。
在一种可能的实施方式中,所述控制功能实体生成应用服务器与所述终端通信的第四密钥,包括:
所述控制功能实体根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
在一种可能的实施方式中,所述控制功能实体生成应用服务器与所述终端通信的第四密钥,包括:
所述控制功能实体根据所述第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
在一种可能的实施方式中,所述第一连接响应消息包含所述应用服务器的标识信息。
第三方面,本申请实施例提供了一种认证和信息保护的方法,包括:
应用服务器接收控制功能实体发送的终端标识信息和第四密钥;
所述应用服务器接收终端发送的第二连接请求消息,所述第二连接请求消息包含所述终端标识信息,并采用第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;
所述应用服务器通过所述终端标识信息确定对应的所述第四密钥,并使用所述第四密钥对所述第二连接请求消息解密;
所述应用服务器向所述终端发送第二连接响应消息。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;或者
所述第二连接响应消息由所述应用服务器根据第四密钥进行加密,并对所述第二连接响应消息中包含的组播组数据库信息根据所述应用服务器的私钥进行加密;或者
所述第二连接响应消息由所述应用服务器根据第四密钥进行加密,所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息,且所述终端上预存储了合法应用服务器地址信息。
在一种可能的实施方式中,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
在一种可能的实施方式中,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据与所述终端通信的第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
在一种可能的实施方式中,所述第一密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个生成。
在一种可能的实施方式中,所述第三密钥由所述终端与所述控制功能实体认证时获取与所述终端标识信息对应的随机数和鉴权令牌之后;
根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
第四方面,本申请实施例提供了一种终端,包括:
收发单元,用于向控制功能实体发送第一连接请求消息,所述第一连接请求消息包含终端标识信息;接收所述控制功能实体返回的认证请求消息,所述认证请求消息包含与所述终端标识信息对应的随机数和鉴权令牌;
处理单元,用于根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算响应RES参数;
所述收发单元还用于向所述控制功能实体发送认证响应消息,所述认证响应消息包含所述RES参数;若所述RES参数与所述控制功能实体获取的预期响应XRES参数相同,则所述终端通过所述控制功能实体的认证,接收所述控制功能实体返回的第一连接响应消息,所述第一连接响应消息由所述控制功能实体根据第一密钥进行加密;
所述处理单元还用于根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述第一密钥相同的第二密钥,并根据所述第二密钥对所述第一连接响应消息进行解密。
在一种可能的实施方式中,所述处理单元还用于生成与应用服务器通信的第三密钥;获取所述第一连接响应消息中包含的应用服务器的地址信息;根据所述地址信息,通过所述收发单元向所述应用服务器发送第二连接请求消息,所述第二连接请求消息包含所述终端标识信息,并采用所述第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;
若所述应用服务器通过所述终端标识信息确定对应的第四密钥,并使用所述第四密钥对所述第二连接请求消息解密成功,则所述终端通过所述应用服务器的认证,所述收发单元还用于接收所述应用服务器返回的第二连接响应消息。
在一种可能的实施方式中,所述处理单元生成与应用服务器通信的第三密钥时,具体用于:
根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
在一种可能的实施方式中,所述处理单元生成与应用服务器通信的第三密钥时,具体用于:
根据所述第二密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
在一种可能的实施方式中,所述第一连接响应消息中包含所述应用服务器标识信息,所述处理单元还用于从所述第一连接响应消息中获取所述应用服务器标识信息;或者
所述处理单元还用于根据所述终端与所述应用服务器之间的接口的应用协议号,确定所述应用服务器标识信息。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;
所述处理单元还用于根据所述第三密钥解密所述第二连接响应消息,并根据所述第二连接响应消息中包含的组播组数据库信息加入组播组。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含的组播组数据库信息由所述应用服务器根据所述应用服务器的私钥进行加密;
所述处理单元还用于根据所述第三密钥解密所述第二连接响应消息,并根据所述应用服务器的公钥解密所述组播组数据库信息,若解密成功则完成对所述应用服务器的认证,根据组播组数据库信息加入组播组。
在一种可能的实施方式中,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息;
所述处理单元还用于根据预存储的合法应用服务器地址信息对所述地址信息进行认证,认证通过后根据所述组播组数据库信息加入组播组。
第五方面,本申请实施例提供了一种控制功能实体,包括:
收发单元,用于接收终端发送的第一连接请求消息,所述第一连接请求消息包含终端标识信息;
处理单元,用于根据所述终端标识信息从归属签约用户服务器获取对应的认证向量,所述认证向量包括加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数;
所述收发单元还用于向所述终端发送认证请求消息,所述认证请求消息包含所述随机数和所述鉴权令牌;接收所述终端发送的认证响应消息,所述认证响应消息包含所述终端根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算的响应RES参数;
若所述RES参数与所述XRES参数相同,则所述终端通过所述控制功能实体的认证;
所述处理单元还用于根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述终端通信的第一密钥;
所述收发单元还用于向所述终端发送第一连接响应消息,所述处理单元还用于使用所述第一密钥对所述第一连接响应消息进行加密。
在一种可能的实施方式中,所述处理单元还用于生成应用服务器与所述终端通信的第四密钥;
所述收发单元还用于向所述应用服务器发送所述终端标识信息和所述第四密钥。
在一种可能的实施方式中,所述处理单元在生成应用服务器与所述终端通信的第四密钥时,具体用于:
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
在一种可能的实施方式中,所述处理单元在生成应用服务器与所述终端通信的第四密钥时,具体用于:
根据所述第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
在一种可能的实施方式中,所述第一连接响应消息包含所述应用服务器的标识信息。
第六方面,本申请实施例提供了一种应用服务器,包括:
收发单元,用于接收控制功能实体发送的终端标识信息和第四密钥;接收终端发送的第二连接请求消息,所述第二连接请求消息包含所述终端标识信息;
处理单元,用于采用第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;通过所述终端标识信息确定对应的所述第四密钥,并使用所述第四密钥对所述第二连接请求消息解密;
所述收发单元还用于向所述终端发送第二连接响应消息。
在一种可能的实现方式中,所述第二连接响应消息由所述处理单元根据第四密钥进行加密;或者
所述第二连接响应消息由所述处理单元根据第四密钥进行加密,并对所述第二连接响应消息中包含的组播组数据库信息根据所述应用服务器的私钥进行加密;或者
所述第二连接响应消息由所述处理单元根据第四密钥进行加密,所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息,且所述终端上预存储了合法应用服务器地址信息。
在一种可能的实现方式中,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
在一种可能的实现方式中,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据与所述终端通信的第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
在一种可能的实现方式中,所述第一密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个生成。
在一种可能的实现方式中,所述第三密钥由所述终端与所述控制功能实体认证时获取与所述终端标识信息对应的随机数和鉴权令牌之后;
根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
第七方面,本申请实施例提供了一种系统,包括:
如第四方面或第四方面任一实施方式所述的终端;
如第五方面或第五方面任一实施方式所述的控制功能实体;
如第六方面或第六方面任一实施方式所述的应用服务器。
第八方面,本申请实施例提供了一种终端,包括:
处理器、存储器、收发器和总线,所述处理器、存储器和收发器通过总线连接,其中,所述收发器用于接收消息和发送消息,所述存储器用于存储一组程序代码,所述处理器用于调用所述存储器中存储的程序代码,执行如本申请实施例第一方面或第一方面任一实施方式所述的步骤。
第九方面,本申请实施例提供了一种控制功能实体,包括:
处理器、存储器、收发器和总线,所述处理器、存储器和收发器通过总线连接,其中,所述收发器用于接收消息和发送消息,所述存储器用于存储一组程序代码,所述处理器用于调用所述存储器中存储的程序代码,执行如本申请实施例第二方面或第二方面任一实施方式所述的步骤。
第十方面,本申请实施例提供了一种应用服务器,包括:
处理器、存储器、收发器和总线,所述处理器、存储器和收发器通过总线连接,其中,所述收发器用于接收消息和发送消息,所述存储器用于存储一组程序代码,所述处理器用于调用所述存储器中存储的程序代码,执行如本申请实施例第三方面或第三方面任一实施方式所述的步骤。
第十一方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质包括一组程序代码,用于执行如本申请实施例第一方面任一实现方式所述的方法。
第十二方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质包括一组程序代码,用于执行如本申请实施例第二方面任一实现方式所述的方法。
第十三方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质包括一组程序代码,用于执行如本申请实施例第三方面任一实现方式所述的方法。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种V2X网络的系统组成示意图;
图2为本申请实施例提供的一种认证和信息保护的方法的流程示意图;
图3为本申请实施例提供的另一种认证和信息保护的方法的流程示意图;
图4为本申请实施例提供的又一种认证和信息保护的方法的流程示意图;
图5为本申请实施例提供的一种终端的组成示意图;
图6为本申请实施例提供的另一种终端的组成示意图;
图7为本申请实施例提供的一种控制功能实体的组成示意图;
图8为本申请实施例提供的另一种控制功能实体的组成示意图;
图9为本申请实施例提供的一种应用服务器的组成示意图;
图10为本申请实施例提供的另一种应用服务器的组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参照图1,为本申请实施例提供的一种V2X网络的系统组成示意图。在该典型应用场景中,包括终端10、应用服务器20(AS)和控制功能实体30(CF)。
其中,终端10,也可以称为用户设备(User Equipment,UE),终端设备等,在本申请实施例中,其可以固设于汽车上作为车载终端,也可以作为可移动的第三方设备,在使用时放置在汽车上,本申请实施例不作任何限定。终端10可以基于认证与密钥协商协议(Authentication and Key Agreement,AKA)算法发起与CF30的双向认证。并根据认证过程中交互的密钥材料如鉴权五元组:加密密钥CK、完整性密钥IK、随机数(Random Challenge,RAND)、鉴权令牌(Authentication Token,AUTN)和预期响应(Expected Response,XRES)参数中的部分或全部信息,生成与CF30之间进行业务交互的会话密钥Kcf;同时还可以生成用于和AS20之间业务交互的会话密钥Kas,从而实现CF30与终端10的认证以及信息保护,AS20与终端10的认证以及信息保护。此外,终端10还可以通过Kas或者AS20的公钥和私钥等对交互消息进行保护,实现对AS20的主动认证。
CF30,可用于授权终端10使用V2X业务,并向终端10提供网络配置参数和AS20的地址信息参数如IP地址等。在本申请实施例中,CF30可以基于AKA算法实现与终端10的双向认证,并根据认证过程中交互的密钥材料如鉴权五元组:CK、IK、RAND、AUTN和XRES参数中的部分或全部信息,生成与终端10之间进行业务交互的会话密钥Kcf;同时还可以生成用于AS20与终端10之间业务交互的会话密钥Kas,从而实现CF30与终端10的认证以及信息保护,AS20与终端10的认证以及信息保护。
AS20,可用于向终端10或和其他应用提供业务功能、信息推送和组播管理等。在本申请实施例中,AS20可以从CF30获取用于与终端10进行业务交互的会话密钥Kas,并根据Kas完成与终端10的认证及信息保护。
下面结合图2-图4对本申请认证和信息保护的方法进行详细说明。
请参考图2,为本申请实施例提供的一种认证和信息保护的方法的流程示意图。在本实施例中,CF与终端完成认证并各自生成用于二者信息交互的会话密钥Kcf。所述方法包括:
S201.终端向控制功能实体发送第一连接请求(boot connection)消息,所述第一连接请求消息包含终端标识(UE ID)信息。
终端标识信息可用于区分终端。其可以根据国际移动用户识别码(InternationalMobile Subscriber Identification Number,IMSI)推导得出。
例如:假设IMSI=234150999999999,则可以根据IMSI得到对应的UE ID为234150999999999@v2x.mnc015.mcc234.3gppnetwork.org。
S202.控制功能实体根据终端标识信息从归属签约用户服务器(Home SubscriberServer,HSS)获取鉴权五元组。
可选地,控制功能实体可以用HSS获取一个与终端标识信息对应的认证向量,该认证向量中包含鉴权五元组:CK、IK、RAND、AUTN和XRES参数。其中,CK用于对交互的信息进行加密,IK用于对交互的信息进行完整性保护,RAND是网络提供给终端的不可预知的随机数。AUTN用于终端对网络的认证。该参数从HSS一直传递至终端,终端收到鉴权挑战后,会根据终端与HSS同步的序列号(Sequence number,SQN)计算预期鉴权令牌XAUTN,然后与收到的AUTN进行比对,以此来对网络进行认证。XRES可以由HSS通过AKA认证时的根密钥K和RAND计算得到,这个参数从HSS传递至CF,不会继续向下传输。CF通过比对XRES和从终端得到的RES来对用户身份进行认证。
S203.控制功能实体向终端发送认证请求消息,所述认证请求消息包含随机数和鉴权令牌。
S204.终端根据鉴权令牌对CF进行验证,验证通过后计算RES参数。
终端可以验证AUTN中包含的介质访问控制(Media Access Control,MAC)信息和SQN信息,验证通过后完成对CF的认证,随后计算RES参数。
S205.终端向控制功能实体发送认证响应消息,所述认证响应消息包含RES参数。
S206.控制功能实体比较RES参数和XRES参数,二者相同则通过对终端的认证。
S207.终端生成与CF通信的第二密钥即会话密钥Kcf。
可选地,所述终端可以根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成第二密钥Kcf。
例如,Kcf=KDF(CK||IK,"V2X control function",UE ID,RAND),KDF为密钥生成函数(Key derivation functions,KDF),CK||IK作为基准密钥,预设V2X控制功能字段为终端与CF预先约定的一个字段,可以为一个随机生成的字符串,预先保存在终端和CF上,UEID可用于区分多个UE,随机数为随机生成的一个数值,除了CK和IK之外,其余参数可以根据密钥的安全性和随机性需求进行任意组合和选择,本申请实施例不作任何限定。
例如,单UE且单CF的场景,无需区分多UE和多CF,此时可以根据CK、IK,以及随机数或UE ID或预设V2X控制功能字段来生成Kcf;
多UE且单CF的场景,需要区分多UE,此时可以根据CK、IK,以及UE ID来生成Kcf,或者也可以根据CK、IK,以及随机数和UE ID来生成Kcf,或者还可以根据CK、IK,以及随机数、UE ID和预设V2X控制功能字段来生成Kcf;
多UE且多CF的场景,需要区分多UE和多CF,此时可以根据CK、IK,以及UE ID和V2X控制功能字段来生成Kcf,或者还可以根据CK、IK,以及随机数、UE ID和V2X控制功能字段来生成Kcf。
S208.控制功能实体生成与终端通信的第一密钥即会话密钥Kcf。
生成第一密钥的方式与生成第二密钥的方式相同。Kcf可用于对CF与终端之间信息交互的完整性保护和加密。
S209.控制功能实体向终端发送第一连接响应消息,采用第一密钥即Kcf进行加密。
S210.终端根据第二密钥即Kcf解密第一连接响应消息。
可选地,所述第一连接响应消息中可以包含无线参数和AS地址信息如IP地址,无线参数可用于终端后续的与网络的连接配置,AS地址信息可用于AS的寻址。
可选地,在步骤S209中,可以采用第一密钥对整个第一连接响应消息进行加密,也可以仅对第一连接响应消息中的AS地址信息进行加密。
在本实施例中,通过CF与终端的双向认证,可以避免未经授权的终端访问CF,且根据二者认证过程中交互的密钥材料各自生成了与对方进行信息交互的密钥,从而可以确保CF与终端之间的消息如终端位置信息、CF发送的AS IP地址信息等不会被篡改或泄露,无需增加新的网元设备,可以大幅提升V2X网络中CF与终端通信的私密性和安全性。
需要说明的是,在本申请实施例中,各个步骤的序号并不代表执行顺序。例如步骤S207可以任意在步骤S205-S209的执行过程中执行。
请参考图3,为本申请实施例提供的另一种认证和信息保护的方法的流程示意图。在本实施例中,AS与终端完成认证,AS从CF获取与终端信息交互的会话密钥Kas,终端则自己生成用于与AS信息交互的会话密钥Kas。其中,步骤S301-S307与图2所示实施例步骤S201-S207相同,此处不再赘述。所述方法还包括:
S308.控制功能实体生成与终端通信的第一密钥即会话密钥Kcf,生成AS与终端通信的第四密钥即会话密钥Kas。
可选地,所述控制功能实体根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
例如,Kas=KDF(CK||IK,"V2X application server",UE ID,RAND);
或者,所述控制功能实体根据所述第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
例如,Kas=KDF(Kcf,"V2X application server",UE ID,RAND)。
KDF为密钥生成函数,CK||IK作为基准密钥,预设V2X应用服务字段为终端与AS预先约定的一个字段,可以为一个随机生成的字符串,预先保存在终端和AS上,UE ID可用于区分多个UE,随机数为随机生成的一个数值,Kas计算时参考参数的选取与Kcf计算时参考参数的选取类似,除了CK和IK之外,其余参数可以根据密钥的安全性和随机性需求进行任意组合和选择,本申请实施例也不作任何限定。
需要说明的是,当Kcf与Kas计算时参考参数选取相同时,Kcf与Kas相同。
S309.控制功能实体向应用服务器发送终端标识信息和第四密钥即Kas。
S310.控制功能实体向终端发送第一连接响应消息,采用Kcf进行加密,所述第一连接响应消息包含AS地址信息。
S311.终端生成与AS通信的第三密钥即会话密钥Kas。
可选地,所述终端根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
例如,Kas=KDF(CK||IK,"V2X application server",UE ID,RAND);
或者,所述终端根据所述第二密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
例如,Kas=KDF(Kcf,"V2X application server",UE ID,RAND)。
可选的,若终端不知道AS部署情况或当前存在多AS的场景,则终端可以在收到第一连接响应消息后生成Kas,此时
Kas=KDF(CK||IK,"V2X application server",UE ID,RAND,"AS ID");
可选的,可使用Kcf作为计算Kas的密钥,即:
Kas=KDF(Kcf,"V2X application server",UE ID,RAND,"AS ID")。
可选地,AS标识信息(AS ID)可以通过如下两种方式获得:
1.CF在第发送第一连接响应消息时,携带AS ID,把AS ID发给终端。
2.UE和CF共同通过所述终端与所述应用服务器之间的接口的应用协议号,确定所述应用服务器标识信息。例如,可根据如下方式计算AS ID=FDQN of AS||V1接口的协议号,需要说明的是:当V1接口存在多种应用协议时,AS ID可以包含V1接口的协议号。当V1接口只有一种应用协议时,则AS ID也可以不包含V1接口的协议号。
S312.终端根据第二密钥即Kcf解密第一连接响应消息。
S313.终端向应用服务器发送第二连接请求消息,所述第二连接请求消息包含终端地址信息,并采用第三密钥即Kas加密除终端地址信息之外的信息。防止窃听和篡改。
S314.应用服务器通过终端标识信息确定对应的第四密钥即Kas,并使用第四密钥即Kas对第二连接请求消息解密。如果解密成功,则完成了AS对终端的认证。如果解密失败,则AS对终端认证失败。
S315.应用服务器向终端发送第二连接响应消息,采用第四密钥即Kas进行加密。
在第二连接响应消息中,可以携带组播组数据库(GDB)信息,终端在接收到之后便可以使用第三密钥即Kas进行解密,获取到GDB信息,最后通过网关加入到组播组中,实现V2X业务的访问。
通过AS与终端的认证,可以避免未经授权的终端访问AS,且CF生成供AS与终端信息交互的会话密钥Kas,终端也生成了与AS信息交互的会话密钥Kas,从而可以确保AS与终端之间的消息如终端位置信息、AS发送的GDB信息等不会被篡改或泄露,无需增加新的网元设备,可以大幅提升V2X网络中AS与终端通信的私密性和安全性。
需要说明的是,在本申请实施例中,各个步骤的序号并不代表执行顺序。例如在单AS或AS部署情况已知的情况下,步骤S311可以任意在步骤S305-S312的执行过程中执行,而在多AS或AS部署情况未知的情况下。步骤S311可以在步骤S310-S313之间执行。
请参考图4,为本申请实施例提供的又一种认证和信息保护的方法的流程示意图;在本实施例中,步骤S401-S414与图3所示实施例步骤S301-S314相同,此处不再赘述。所述方法还包括:
S415a.应用该服务器向终端发送第二连接响应消息,采用第四密钥即Kas加密第二连接响应消息,并采用AS的私钥加密组播组数据库信息。
S415b.应用该服务器向终端发送第二连接响应消息,所述第二连接响应消息包含AS标识信息和组播组数据库信息,并采用第四密钥即Kas加密第二连接响应消息。
S416.终端采用对应密钥解密第二连接响应消息。
以上S415a和S415b为二选一的步骤,当执行步骤S415a时,则在步骤S416中,所述终端根据所述第三密钥即Kas解密所述第二连接响应消息,并根据所述应用服务器的公钥解密所述组播组数据库信息,若解密成功则完成对所述应用服务器的认证,然后根据组播组数据库信息加入组播组。
当执行步骤S415b时,则在步骤S416中,所述终端根据预存储的合法应用服务器地址信息对所述地址信息进行认证,认证通过后根据所述组播组数据库信息加入组播组。
在本实施例中,通过增加终端对于AS发来的GDB信息的认证方法,可以避免恶意AS发起的拒绝服务(Denial of Service,DoS)攻击,即对终端发送错误的GDB信息,导致终端加入错误的组播组,进而导致终端收不到任何消息。进一步提升了V2X网络的安全性。
请参考图5,为本申请实施例提供的一种终端的组成示意图;可包括:
收发单元100,用于向控制功能实体发送第一连接请求消息,所述第一连接请求消息包含终端标识信息;接收所述控制功能实体返回的认证请求消息,所述认证请求消息包含与所述终端标识信息对应的随机数和鉴权令牌;
处理单元200,用于根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算响应RES参数;
所述收发单元100还用于向所述控制功能实体发送认证响应消息,所述认证响应消息包含所述RES参数;若所述RES参数与所述控制功能实体获取的预期响应XRES参数相同,则所述终端通过所述控制功能实体的认证,接收所述控制功能实体返回的第一连接响应消息,所述第一连接响应消息由所述控制功能实体根据第一密钥进行加密;
所述处理单元200还用于根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述第一密钥相同的第二密钥,并根据所述第二密钥对所述第一连接响应消息进行解密。
可选地,所述处理单元200还用于生成与应用服务器通信的第三密钥;获取所述第一连接响应消息中包含的应用服务器的地址信息;根据所述地址信息,通过所述收发单元向所述应用服务器发送第二连接请求消息,所述第二连接请求消息包含所述终端标识信息,并采用所述第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;
若所述应用服务器通过所述终端标识信息确定对应的第四密钥,并使用所述第四密钥对所述第二连接请求消息解密成功,则所述终端通过所述应用服务器的认证,所述收发单元100还用于接收所述应用服务器返回的第二连接响应消息。
可选地,所述处理单元200生成与应用服务器通信的第三密钥时,具体用于:
根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
或者,根据所述第二密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
可选地,所述第一连接响应消息中包含所述应用服务器标识信息,所述处理单元200还用于从所述第一连接响应消息中获取所述应用服务器标识信息;或者
所述处理单元200还用于根据所述终端与所述应用服务器之间的接口的应用协议号,确定所述应用服务器标识信息。
可选地,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;
所述处理单元200还用于根据所述第三密钥解密所述第二连接响应消息,并根据所述第二连接响应消息中包含的组播组数据库信息加入组播组。
可选地,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含的组播组数据库信息由所述应用服务器根据所述应用服务器的私钥进行加密;
所述处理单元200还用于根据所述第三密钥解密所述第二连接响应消息,并根据所述应用服务器的公钥解密所述组播组数据库信息,若解密成功则完成对所述应用服务器的认证,根据组播组数据库信息加入组播组。
可选地,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息;
所述处理单元200还用于根据预存储的合法应用服务器地址信息对所述地址信息进行认证,认证通过后根据所述组播组数据库信息加入组播组。
请参照图6,为本申请实施例提供的另一种终端的组成示意图,该装置可以包括处理器110、存储器120、收发器130和总线140。处理器110、存储器120和收发器130通过总线140连接,该收发器用于接收消息和发送消息,该存储器120用于存储指令,该处理器110用于执行该存储器120存储的指令,以实现如上图1-图3对应的方法中的步骤。
其中,收发器130可以由独立的接收器和发射器组成,也可以由集成在一起的接收器和发射器组成。处理器110用于执行该存储器120存储的指令,以控制收发器130接收信号和发送信号以实现各种消息的接收和发送,完成上述方法中终端执行的步骤。所述存储器120可以集成在所述处理器110中,也可以与所述处理器110分开设置。
作为一种实现方式,收发器130的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器110可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的终端。即将实现处理器110,收发器130功能的程序代码存储在存储器中,通用处理器通过执行存储器中的代码来实现处理器110,收发器130的功能。
该终端所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
请参考图7,为本申请实施例提供的一种控制功能实体的组成示意图;可包括:
收发单元300,用于接收终端发送的第一连接请求消息,所述第一连接请求消息包含终端标识信息;
处理单元400,用于根据所述终端标识信息从归属签约用户服务器获取对应的认证向量,所述认证向量包括加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数;
所述收发单元300还用于向所述终端发送认证请求消息,所述认证请求消息包含所述随机数和所述鉴权令牌;接收所述终端发送的认证响应消息,所述认证响应消息包含所述终端根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算的响应RES参数;
若所述RES参数与所述XRES参数相同,则所述终端通过所述控制功能实体的认证;
所述处理单元400还用于根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述终端通信的第一密钥;
所述收发单元300还用于向所述终端发送第一连接响应消息,所述处理单元还用于使用所述第一密钥对所述第一连接响应消息进行加密。
可选地,所述处理单元400还用于生成应用服务器与所述终端通信的第四密钥;
所述收发单元300还用于向所述应用服务器发送所述终端标识信息和所述第四密钥。
可选地,所述处理单元400在生成应用服务器与所述终端通信的第四密钥时,具体用于:
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
可选地,所述处理单元400在生成应用服务器与所述终端通信的第四密钥时,具体用于:
根据所述第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
可选地,所述第一连接响应消息包含所述应用服务器的标识信息。
请参照图8,为本申请实施例提供的另一种控制功能实体的组成示意图,该控制功能实体可以包括处理器210、存储器220、收发器230和总线240。处理器210、存储器220和收发器230通过总线240连接,该收发器用于接收消息和发送消息,该存储器220用于存储指令,该处理器210用于执行该存储器220存储的指令,以实现如上图1-图3对应的方法中控制功能实体执行的步骤。
其中,收发器230可以由独立的接收器和发射器组成,也可以由集成在一起的接收器和发射器组成。处理器210用于执行该存储器220存储的指令,以控制收发器230接收信号和发送信号以实现各种消息的接收和发送,完成上述方法中终端执行的步骤。所述存储器220可以集成在所述处理器210中,也可以与所述处理器210分开设置。
作为一种实现方式,收发器230的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器210可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的终端。即将实现处理器210,收发器230功能的程序代码存储在存储器中,通用处理器通过执行存储器中的代码来实现处理器210,收发器230的功能。
该控制功能实体所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
请参考图9,为本申请实施例提供的一种应用服务器的组成示意图;可包括:
收发单元500,用于接收控制功能实体发送的终端标识信息和第四密钥;接收终端发送的第二连接请求消息,所述第二连接请求消息包含所述终端标识信息;
处理单元600,用于采用第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;通过所述终端标识信息确定对应的所述第四密钥,并使用所述第四密钥对所述第二连接请求消息解密;
所述收发单元500还用于向所述终端发送第二连接响应消息。
可选地,所述第二连接响应消息由所述处理单元600根据第四密钥进行加密;或者
所述第二连接响应消息由所述处理单元600根据第四密钥进行加密,并对所述第二连接响应消息中包含的组播组数据库信息根据所述应用服务器的私钥进行加密;或者
所述第二连接响应消息由所述处理单元600根据第四密钥进行加密,所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息,且所述终端上预存储了合法应用服务器地址信息。
可选地,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
可选地,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据与所述终端通信的第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
可选地,所述第一密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个生成。
可选地,所述第三密钥由所述终端与所述控制功能实体认证时获取与所述终端标识信息对应的随机数和鉴权令牌之后;
根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
请参照图10,为本申请实施例提供的另一种应用服务器的组成示意图,该应用服务器可以包括处理器310、存储器320、收发器330和总线340。处理器310、存储器320和收发器330通过总线340连接,该收发器用于接收消息和发送消息,该存储器320用于存储指令,该处理器310用于执行该存储器320存储的指令,以实现如上图1-图3对应的方法中应用服务器执行的步骤。
其中,收发器330可以由独立的接收器和发射器组成,也可以由集成在一起的接收器和发射器组成。处理器310用于执行该存储器320存储的指令,以控制收发器330接收信号和发送信号以实现各种消息的接收和发送,完成上述方法中终端执行的步骤。所述存储器320可以集成在所述处理器310中,也可以与所述处理器310分开设置。
作为一种实现方式,收发器330的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器110可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的终端。即将实现处理器310,收发器330功能的程序代码存储在存储器中,通用处理器通过执行存储器中的代码来实现处理器310,收发器330的功能。
该应用服务器所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
本领域技术人员可以理解,为了便于说明,图6、8、10仅示出了一个存储器和处理器。在实际的控制器中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限制。
应理解,在本申请的实施例中,处理器可以是中央处理单元(CentralProcessingUnit,简称为“CPU”),该处理器还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。
总线除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
根据本申请实施例提供的方法,本申请实施例还提供一种认证和信息保护的系统,其包括前述的终端、控制功能实体和应用服务器,具体组成和功能可以参见图1到图10的相关描述和说明,此处不再赘述。需要说明的是,在本申请实施例中以一个终端、一个控制功能实体和一个应用服务器进行描述和说明,在实际应用时,可以包含任意数量的设备,本申请实施例不作任何限定。
本申请实施例中涉及的第一、第二、第三、第四以及各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (22)

1.一种认证和信息保护的方法,其特征在于,包括:
终端向控制功能实体发送第一连接请求消息,所述第一连接请求消息包含终端标识信息;
所述终端接收所述控制功能实体返回的认证请求消息,所述认证请求消息包含与所述终端标识信息对应的随机数和鉴权令牌;
所述终端根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算响应RES参数;
所述终端向所述控制功能实体发送认证响应消息,所述认证响应消息包含所述RES参数;
若所述RES参数与所述控制功能实体获取的预期响应XRES参数相同,则所述终端通过所述控制功能实体的认证,所述终端接收所述控制功能实体返回的第一连接响应消息,所述第一连接响应消息由所述控制功能实体根据第一密钥进行加密;
所述终端根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述第一密钥相同的第二密钥,并根据所述第二密钥对所述第一连接响应消息进行解密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端生成与应用服务器通信的第三密钥;
所述终端获取所述第一连接响应消息中包含的应用服务器的地址信息;
所述终端根据所述地址信息向所述应用服务器发送第二连接请求消息,所述第二连接请求消息包含所述终端标识信息,并采用所述第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;
若所述应用服务器通过所述终端标识信息确定对应的第四密钥,并使用所述第四密钥对所述第二连接请求消息解密成功,则所述终端通过所述应用服务器的认证,所述终端接收所述应用服务器返回的第二连接响应消息。
3.根据权利要求2所述的方法,其特征在于,所述终端生成与应用服务器通信的第三密钥,包括:
所述终端根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
4.根据权利要求2所述的方法,其特征在于,所述终端生成与应用服务器通信的第三密钥,包括:
所述终端根据所述第二密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成与应用服务器通信的第三密钥。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
所述第一连接响应消息中包含所述应用服务器标识信息,所述终端从所述第一连接响应消息中获取所述应用服务器标识信息;或者
所述终端根据所述终端与所述应用服务器之间的接口的应用协议号,确定所述应用服务器标识信息。
6.根据权利要求2-5任一项所述的方法,其特征在于,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;
所述终端根据所述第三密钥解密所述第二连接响应消息,并根据所述第二连接响应消息中包含的组播组数据库信息加入组播组。
7.根据权利要求2-5任一项所述的方法,其特征在于,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含的组播组数据库信息由所述应用服务器根据所述应用服务器的私钥进行加密;
所述终端根据所述第三密钥解密所述第二连接响应消息,并根据所述应用服务器的公钥解密所述组播组数据库信息,若解密成功则完成对所述应用服务器的认证,根据组播组数据库信息加入组播组。
8.根据权利要求2-5任一项所述的方法,其特征在于,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;且所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息;
所述终端根据预存储的合法应用服务器地址信息对所述地址信息进行认证,认证通过后根据所述组播组数据库信息加入组播组。
9.一种认证和信息保护的方法,其特征在于,包括:
控制功能实体接收终端发送的第一连接请求消息,所述第一连接请求消息包含终端标识信息;
所述控制功能实体根据所述终端标识信息从归属签约用户服务器获取对应的认证向量,所述认证向量包括加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数;
所述控制功能实体向所述终端发送认证请求消息,所述认证请求消息包含所述随机数和所述鉴权令牌;
所述控制功能实体接收所述终端发送的认证响应消息,所述认证响应消息包含所述终端根据所述鉴权令牌对所述控制功能实体进行验证,验证通过后计算的响应RES参数;
若所述RES参数与所述XRES参数相同,则所述终端通过所述控制功能实体的认证;
所述控制功能实体根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个,生成与所述终端通信的第一密钥;
所述控制功能实体向所述终端发送第一连接响应消息,并使用所述第一密钥对所述第一连接响应消息进行加密。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述控制功能实体生成应用服务器与所述终端通信的第四密钥;
所述控制功能实体向所述应用服务器发送所述终端标识信息和所述第四密钥。
11.根据权利要求10所述的方法,其特征在于,所述控制功能实体生成应用服务器与所述终端通信的第四密钥,包括:
所述控制功能实体根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
12.根据权利要求10所述的方法,其特征在于,所述控制功能实体生成应用服务器与所述终端通信的第四密钥,包括:
所述控制功能实体根据所述第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个,生成应用服务器与所述终端通信的第四密钥。
13.根据权利要求11或12所述的方法,其特征在于,所述第一连接响应消息包含所述应用服务器的标识信息。
14.一种认证和信息保护的方法,其特征在于,包括:
应用服务器接收控制功能实体发送的终端标识信息和第四密钥;
所述应用服务器接收终端发送的第二连接请求消息,所述第二连接请求消息包含所述终端标识信息,并采用第三密钥对所述第二连接请求消息中除了所述终端标识信息之外的信息进行加密;
所述应用服务器通过所述终端标识信息确定对应的所述第四密钥,并使用所述第四密钥对所述第二连接请求消息解密;
所述应用服务器向所述终端发送第二连接响应消息。
15.根据权利要求14所述的方法,其特征在于,所述第二连接响应消息由所述应用服务器根据第四密钥进行加密;或者
所述第二连接响应消息由所述应用服务器根据第四密钥进行加密,并对所述第二连接响应消息中包含的组播组数据库信息根据所述应用服务器的私钥进行加密;或者
所述第二连接响应消息由所述应用服务器根据第四密钥进行加密,所述第二连接响应消息中包含所述应用服务器的地址信息和组播组数据库信息,且所述终端上预存储了合法应用服务器地址信息。
16.根据权利要求14所述的方法,其特征在于,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
17.根据权利要求14所述的方法,其特征在于,所述第四密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据与所述终端通信的第一密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
18.根据权利要求17所述的方法,其特征在于,所述第一密钥由所述控制功能实体与所述终端认证时根据所述终端标识信息获取对应加密密钥、完整性密钥、随机数、鉴权令牌和预期响应XRES参数之后;
根据所述加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X控制功能字段中的一个或多个生成。
19.根据权利要求14所述的方法,其特征在于,所述第三密钥由所述终端与所述控制功能实体认证时获取与所述终端标识信息对应的随机数和鉴权令牌之后;
根据所述鉴权令牌中提取的加密密钥和完整性密钥,以及所述终端标识信息、所述随机数、预设V2X应用服务字段、应用服务器标识信息中的一个或多个生成。
20.一种终端,其特征在于,包括:
处理器、存储器、收发器和总线,所述处理器、存储器和收发器通过总线连接,其中,所述收发器用于接收消息和发送消息,所述存储器用于存储一组程序代码,所述处理器用于调用所述存储器中存储的程序代码,执行如权利要求1-8任一项所述的步骤。
21.一种控制功能实体,其特征在于,包括:
处理器、存储器、收发器和总线,所述处理器、存储器和收发器通过总线连接,其中,所述收发器用于接收消息和发送消息,所述存储器用于存储一组程序代码,所述处理器用于调用所述存储器中存储的程序代码,执行如权利要求9-13任一项所述的步骤。
22.一种应用服务器,其特征在于,包括:
处理器、存储器、收发器和总线,所述处理器、存储器和收发器通过总线连接,其中,所述收发器用于接收消息和发送消息,所述存储器用于存储一组程序代码,所述处理器用于调用所述存储器中存储的程序代码,执行如权利要求14-19任一项所述的步骤。
CN201810528042.0A 2018-05-29 2018-05-29 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 Active CN110545252B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810528042.0A CN110545252B (zh) 2018-05-29 2018-05-29 一种认证和信息保护的方法、终端、控制功能实体及应用服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810528042.0A CN110545252B (zh) 2018-05-29 2018-05-29 一种认证和信息保护的方法、终端、控制功能实体及应用服务器

Publications (2)

Publication Number Publication Date
CN110545252A true CN110545252A (zh) 2019-12-06
CN110545252B CN110545252B (zh) 2021-10-22

Family

ID=68700823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810528042.0A Active CN110545252B (zh) 2018-05-29 2018-05-29 一种认证和信息保护的方法、终端、控制功能实体及应用服务器

Country Status (1)

Country Link
CN (1) CN110545252B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111093169A (zh) * 2019-12-26 2020-05-01 国汽(北京)智能网联汽车研究院有限公司 一种通信建立方法及装置
CN111212047A (zh) * 2019-12-26 2020-05-29 国汽(北京)智能网联汽车研究院有限公司 一种通信建立方法及装置
CN111225358A (zh) * 2019-12-24 2020-06-02 北京明朝万达科技股份有限公司 一种身份识别方法、装置、电子设备及存储介质
CN112887339A (zh) * 2021-04-22 2021-06-01 杭州雅观科技有限公司 一种终端设备的分布式分组管理方法
CN113056898A (zh) * 2021-02-26 2021-06-29 华为技术有限公司 获取密钥的方法、装置及密钥管理系统
CN113543124A (zh) * 2020-04-14 2021-10-22 中国电信股份有限公司 密钥分发方法、系统和卡应用
CN115226416A (zh) * 2021-02-20 2022-10-21 华为技术有限公司 一种根密钥保护方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107005844A (zh) * 2015-07-31 2017-08-01 华为技术有限公司 一种通信方法及相关装置
CN107623912A (zh) * 2016-07-15 2018-01-23 上海中兴软件有限责任公司 一种车联网终端之间安全通信的方法及装置
CN107733955A (zh) * 2016-08-12 2018-02-23 中兴通讯股份有限公司 车联网业务配置方法及装置,业务获取方法、装置及系统
US9936361B1 (en) * 2016-12-07 2018-04-03 Denso International America, Inc. Filtering incoming messages of a dedicated short range communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107005844A (zh) * 2015-07-31 2017-08-01 华为技术有限公司 一种通信方法及相关装置
CN107623912A (zh) * 2016-07-15 2018-01-23 上海中兴软件有限责任公司 一种车联网终端之间安全通信的方法及装置
CN107733955A (zh) * 2016-08-12 2018-02-23 中兴通讯股份有限公司 车联网业务配置方法及装置,业务获取方法、装置及系统
US9936361B1 (en) * 2016-12-07 2018-04-03 Denso International America, Inc. Filtering incoming messages of a dedicated short range communication system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TECHNICAL SPECIFICATION GROUP: "User Equipment (UE) to V2X control function protocol aspects", 《3GPP》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111225358A (zh) * 2019-12-24 2020-06-02 北京明朝万达科技股份有限公司 一种身份识别方法、装置、电子设备及存储介质
CN111225358B (zh) * 2019-12-24 2021-10-01 北京明朝万达科技股份有限公司 一种身份识别方法、装置、电子设备及存储介质
CN111093169A (zh) * 2019-12-26 2020-05-01 国汽(北京)智能网联汽车研究院有限公司 一种通信建立方法及装置
CN111212047A (zh) * 2019-12-26 2020-05-29 国汽(北京)智能网联汽车研究院有限公司 一种通信建立方法及装置
CN111212047B (zh) * 2019-12-26 2022-03-29 国汽(北京)智能网联汽车研究院有限公司 一种通信建立方法及装置
CN111093169B (zh) * 2019-12-26 2022-06-07 国汽(北京)智能网联汽车研究院有限公司 一种通信建立方法及装置
CN113543124A (zh) * 2020-04-14 2021-10-22 中国电信股份有限公司 密钥分发方法、系统和卡应用
CN115226416A (zh) * 2021-02-20 2022-10-21 华为技术有限公司 一种根密钥保护方法和系统
CN115226416B (zh) * 2021-02-20 2024-05-03 华为技术有限公司 一种根密钥保护方法和系统
CN113056898A (zh) * 2021-02-26 2021-06-29 华为技术有限公司 获取密钥的方法、装置及密钥管理系统
CN112887339A (zh) * 2021-04-22 2021-06-01 杭州雅观科技有限公司 一种终端设备的分布式分组管理方法
CN112887339B (zh) * 2021-04-22 2021-07-13 杭州雅观科技有限公司 一种终端设备的分布式分组管理方法

Also Published As

Publication number Publication date
CN110545252B (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN110545252B (zh) 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
EP2630816B1 (en) Authentication of access terminal identities in roaming networks
WO2018050081A1 (zh) 设备身份认证的方法、装置、电子设备及存储介质
US8140845B2 (en) Scheme for authentication and dynamic key exchange
JP5390619B2 (ja) Homenode−b装置およびセキュリティプロトコル
CN110192381B (zh) 密钥的传输方法及设备
JP6757845B2 (ja) 秘密識別子を使用するユーザ機器に関連した動作
CN105828332B (zh) 一种无线局域网认证机制的改进方法
US20030014646A1 (en) Scheme for authentication and dynamic key exchange
CA2879910C (en) Terminal identity verification and service authentication method, system and terminal
US20110191842A1 (en) Authentication in a Communication Network
CN103001940A (zh) 由wtru使用的用于建立安全本地密钥的方法
US11711693B2 (en) Non-3GPP device access to core network
US11917416B2 (en) Non-3GPP device access to core network
CN111601280B (zh) 一种接入验证方法及装置
CN112566119A (zh) 终端认证方法、装置、计算机设备及存储介质
CN110929231A (zh) 数字资产的授权方法、装置和服务器
CN115022850A (zh) 一种d2d通信的认证方法、装置、系统、电子设备及介质
CN108966214B (zh) 无线网络的认证方法、无线网络安全通信方法及系统
CN115868189A (zh) 建立车辆安全通信的方法、车辆、终端及系统
GB2526619A (en) Service provisioning
CN107426724B (zh) 智能家电接入无线网络的方法及系统及终端及认证服务器
CN117915322A (zh) 一种基于密钥完整性检测的切片二次认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220207

Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province

Patentee after: Huawei Cloud Computing Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right