CN115022850A - 一种d2d通信的认证方法、装置、系统、电子设备及介质 - Google Patents

一种d2d通信的认证方法、装置、系统、电子设备及介质 Download PDF

Info

Publication number
CN115022850A
CN115022850A CN202210592591.0A CN202210592591A CN115022850A CN 115022850 A CN115022850 A CN 115022850A CN 202210592591 A CN202210592591 A CN 202210592591A CN 115022850 A CN115022850 A CN 115022850A
Authority
CN
China
Prior art keywords
relay
remote
random number
verification
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210592591.0A
Other languages
English (en)
Inventor
陈方杰
白景鹏
高唯瀚
沈军
毕奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210592591.0A priority Critical patent/CN115022850A/zh
Publication of CN115022850A publication Critical patent/CN115022850A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开实施例提供了一种D2D通信的认证方法、装置、系统、电子设备及介质,涉及通信技术领域,能够提高D2D通信的安全性。本公开实施例的技术方案包括:中继UE接收远端UE发送的连接建立请求消息,然后向近域业务安全管理平台发送连接请求验证消息,以使得近域业务安全管理平台对中继UE与远端UE进行认证。之后中继UE接收近域业务安全管理平台发送的连接请求验证响应消息,其中连接请求验证响应消息为认证通过的情况下发送的消息,连接请求验证响应消息包括会话秘钥和用于生成会话秘钥的参数。中继UE再向远端UE发送连接建立验证消息,其中连接建立验证消息包括该参数,以便远端UE与中继UE使用会话秘钥进行D2D通信。

Description

一种D2D通信的认证方法、装置、系统、电子设备及介质
技术领域
本公开涉及通信技术领域,特别是涉及一种D2D通信的认证方法、装置、系统、电子设备及介质。
背景技术
基于WiFi直连的多跳中继通信是一种全新的近域服务场景(proximity basedservice),该场景也可称为近距离服务无线接入网(proximity based service RadioAccess Network,PRAN)场景。在PRAN场景下,无网络状态的远端用户设备(UserEquipment,UE)通过WiFi直连与中继UE建立近域设备到设备(Device to Device,D2D)连接,并通过多跳中继UE接入网络。
但是,在PRAN场景中,远端UE向中继UE发起连接请求后,中继UE与远端UE直接进行D2D通信,而远端UE和中继UE均可能是恶意设备,导致当前的D2D通信存在安全隐患。
发明内容
本公开实施例的目的在于提供一种D2D通信的认证方法、装置、系统、电子设备及介质,以实现提高D2D通信的安全性。具体技术方案如下:
本公开实施例的第一方面,提供了一种D2D通信的认证方法,应用于中继UE,所述方法包括:
接收远端UE发送的连接建立请求消息;
响应于所述连接建立请求消息,向近域业务安全管理平台发送连接请求验证消息,以使得所述近域业务安全管理平台对所述中继UE与所述远端UE进行认证;
接收所述近域业务安全管理平台发送的连接请求验证响应消息,所述连接请求验证响应消息为所述近域业务安全管理平台对所述中继UE和所述远端UE认证通过的情况下发送的消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数;
向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数,以便所述远端UE与所述中继UE使用所述会话秘钥进行设备到设备D2D通信。
在一些实施例中,所述用于生成所述会话秘钥的参数为根随机数;在向所述远端UE发送连接建立验证消息之前,所述方法还包括:
生成中继随机数,并基于所述中继随机数和所述会话秘钥,生成机密性保护秘钥和完整性保护秘钥;
生成所述连接建立验证消息,所述连接建立验证消息包括所述根随机数和所述中继随机数。
在一些实施例中,所述连接建立验证消息还包括待验证加密信息;在向所述远端UE发送连接建立验证消息之前,所述方法还包括:
利用所述完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到所述待验证加密信息;
在所述向所述远端UE发送连接建立验证消息之后,所述方法还包括:
接收所述远端UE发送的连接建立验证响应消息,所述连接建立响应消息为所述远端UE基于所述待验证加密信息对所述中继UE认证通过后发送的消息;
响应于所述连接建立验证响应消息,对所述远端UE进行认证;
如果对所述远端UE认证通过,则向所述远端UE发送连接建立请求接受消息,所述连接建立请求接受消息用于表示所述中继UE对所述远端UE认证通过,以使得所述远端UE使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
在一些实施例中,所述连接建立验证响应消息包括机密性加密信息和完整性加密信息;所述机密性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成机密性保护秘钥后,使用生成的机密性保护秘钥对指定信息加密后得到的信息;所述完整性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成完整性保护秘钥后,使用生成的完整性保护秘钥对所述指定信息进行加密后得到的信息;
所述响应于连接建立验证响应消息,对所述远端UE进行认证,包括:
使用生成的机密性保护秘钥,对所述机密性加密信息进行解密,得到解密结果;
使用生成的完整性保护秘钥,对所述解密结果进行加密,得到加密结果;
如果所述加密结果与所述完整性加密信息相同,则确定对所述远端UE认证通过;
如果所述加密结果与所述完整性加密信息不同,则确定对所述远端UE认证不通过。
本公开实施例的第二方面,提供了一种D2D通信的认证方法,应用于近域业务安全管理平台,所述方法包括:
接收中继UE发送的连接请求验证消息,所述连接请求验证消息为所述中继UE在接收到所述远端UE发送的连接建立请求消息后发送的消息;
响应于所述连接请求验证消息,对所述中继UE与所述远端UE进行认证;
如果对所述中继UE与所述远端UE认证通过,则生成会话秘钥;
向所述中继UE发送连接请求验证响应消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,以使得所述中继UE向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
在一些实施例中,所述连接请求验证消息包括所述远端UE的远端用户名、所述中继UE的中继用户名、校验信息和哈希值,所述校验信息包括时间戳,或者所述校验信息包括时间戳和远端随机数,所述时间戳为所述远端UE发送所述连接建立请求消息的时刻,所述远端随机数为所述远端UE生成的随机数,所述哈希值为所述远端UE对所述远端用户名、所述远端UE的身份令牌和所述校验信息进行哈希运算得到;
所述对所述中继UE与所述远端UE进行认证,包括:
检查已被授权的用户名中是否存在所述中继用户名,若是,则确定对所述中继UE认证通过;
如果对所述中继UE认证通过,则对所述远端用户名、所述校验信息和预先记录的所述远端UE的身份令牌进行哈希运算,将运算结果与所述哈希值进行对比;
如果对比结果为相同,则检查已被授权的用户名中是否存在所述远端用户名;
如果存在,则确定对所述远端UE认证通过。
在一些实施例中,所述生成会话秘钥,包括:
生成根随机数;
根据所述会话秘钥生成函数,对所述根随机数、预先存储的所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥。
本公开实施例的第三方面,提供了一种D2D通信的认证方法,应用于远端UE,所述方法包括:
向中继UE发送连接建立请求消息,以使得所述中继UE请求近域业务安全管理平台对所述远端UE和所述中继UE进行认证;
接收所述中继UE发送的连接建立验证消息,所述连接建立验证消息为所述中继UE接收到所述近域业务安全管理平台发送的连接请求验证响应消息后发送的,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
在一些实施例中,所述连接建立验证消息包括根随机数和中继随机数;在所述接收所述中继UE发送的连接建立验证消息之后,所述方法还包括:
根据会话秘钥生成函数,对所述根随机数、所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥;
基于所述会话秘钥和所述中继随机数,生成机密性保护秘钥和完整性保护秘钥;
使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
在一些实施例中,所述连接建立验证消息还包括待验证加密信息,所述待验证加密信息为所述中继UE基于所述中继随机数和所述会话秘钥,生成完整性保护秘钥后,使用生成的完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到的信息;
在所述使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信之前,所述方法还包括:
利用确定的完整性保护秘钥对所述根随机数和所述中继随机数进行加密,将加密结果与所述待验证加密信息进行对比;
如果对比结果为相同,则确定对所述中继UE认证通过,并向所述中继UE发送连接建立验证响应消息,以使得所述中继UE对所述远端UE进行认证;
接收所述中继UE发送的连接建立请求接受消息,所述连接建立请求接受消息为所述中继UE对所述远端UE认证通过的情况下,发送的用于表示所述中继UE对所述远端UE认证通过的消息。
在一些实施例中,在向所述中继UE发送连接建立验证响应消息之前,所述方法还包括:
使用生成的机密性保护秘钥对指定信息加密,得到机密性加密信息;
使用生成的完整性保护秘钥对所述指定信息进行加密,得到完整性加密信息;
生成包括所述机密性加密信息和所述完整性加密信息的连接建立验证响应消息,以使得所述中继UE基于所述机密性加密信息和所述完整性加密信息,对所述远端UE进行认证。
本公开实施例的第四方面,提供了一种D2D通信的认证装置,应用于中继UE,所述装置包括:
接收模块,用于接收远端UE发送的连接建立请求消息;
发送模块,用于响应于所述连接建立请求消息,向近域业务安全管理平台发送连接请求验证消息,以使得所述近域业务安全管理平台对所述中继UE与所述远端UE进行认证;
所述接收模块,还用于接收所述近域业务安全管理平台发送的连接请求验证响应消息,所述连接请求验证响应消息为所述近域业务安全管理平台对所述中继UE和所述远端UE认证通过的情况下发送的消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数;
所述发送模块,还用于向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数,以便所述远端UE与所述中继UE使用所述会话秘钥进行设备到设备D2D通信。
在一些实施例中,所述用于生成所述会话秘钥的参数为根随机数;所述装置还包括生成模块;所述生成模块,用于:
在向所述远端UE发送连接建立验证消息之前,生成中继随机数,并基于所述中继随机数和所述会话秘钥,生成机密性保护秘钥和完整性保护秘钥;
生成所述连接建立验证消息,所述连接建立验证消息包括所述根随机数和所述中继随机数。
在一些实施例中,所述连接建立验证消息还包括待验证加密信息;所述装置还包括:
加密模块,用于在向所述远端UE发送连接建立验证消息之前,利用所述完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到所述待验证加密信息;
所述装置还包括:
所述接收模块,还用于在所述向所述远端UE发送连接建立验证消息之后,接收所述远端UE发送的连接建立验证响应消息,所述连接建立响应消息为所述远端UE基于所述待验证加密信息对所述中继UE认证通过后发送的消息;
认证模块,用于响应于所述连接建立验证响应消息,对所述远端UE进行认证;
所述发送模块,还用于如果对所述远端UE认证通过,则向所述远端UE发送连接建立请求接受消息,所述连接建立请求接受消息用于表示所述中继UE对所述远端UE认证通过,以使得所述远端UE使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
在一些实施例中,所述连接建立验证响应消息包括机密性加密信息和完整性加密信息;所述机密性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成机密性保护秘钥后,使用生成的机密性保护秘钥对指定信息加密后得到的信息;所述完整性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成完整性保护秘钥后,使用生成的完整性保护秘钥对所述指定信息进行加密后得到的信息;
所述认证模块,具体用于:
使用生成的机密性保护秘钥,对所述机密性加密信息进行解密,得到解密结果;
使用生成的完整性保护秘钥,对所述解密结果进行加密,得到加密结果;
如果所述加密结果与所述完整性加密信息相同,则确定对所述远端UE认证通过;
如果所述加密结果与所述完整性加密信息不同,则确定对所述远端UE认证不通过。
本公开实施例的第五方面,提供了一种D2D通信的认证装置,应用于近域业务安全管理平台,所述装置包括:
接收模块,用于接收中继UE发送的连接请求验证消息,所述连接请求验证消息为所述中继UE在接收到所述远端UE发送的连接建立请求消息后发送的消息;
认证模块,用于响应于所述接收模块接收的所述连接请求验证消息,对所述中继UE与所述远端UE进行认证;
生成模块,用于如果所述认证模块对所述中继UE与所述远端UE认证通过,则生成会话秘钥;
发送模块,用于向所述中继UE发送连接请求验证响应消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,以使得所述中继UE向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
在一些实施例中,所述连接请求验证消息包括所述远端UE的远端用户名、所述中继UE的中继用户名、校验信息和哈希值,所述校验信息包括时间戳,或者所述校验信息包括时间戳和远端随机数,所述时间戳为所述远端UE发送所述连接建立请求消息的时刻,所述远端随机数为所述远端UE生成的随机数,所述哈希值为所述远端UE对所述远端用户名、所述远端UE的身份令牌和所述校验信息进行哈希运算得到;
所述认证模块,具体用于:
检查已被授权的用户名中是否存在所述中继用户名,若是,则确定对所述中继UE认证通过;
如果对所述中继UE认证通过,则对所述远端用户名、所述校验信息和预先记录的所述远端UE的身份令牌进行哈希运算,将运算结果与所述哈希值进行对比;
如果对比结果为相同,则检查已被授权的用户名中是否存在所述远端用户名;
如果存在,则确定对所述远端UE认证通过。
在一些实施例中,所述生成模块,具体用于:
生成根随机数;
根据所述会话秘钥生成函数,对所述根随机数、预先存储的所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥。
本公开实施例的第六方面,提供了一种D2D通信的认证装置,应用于远端UE,所述装置包括:
发送模块,用于向中继UE发送连接建立请求消息,以使得所述中继UE请求近域业务安全管理平台对所述远端UE和所述中继UE进行认证;
接收模块,用于接收所述中继UE发送的连接建立验证消息,所述连接建立验证消息为所述中继UE接收到所述近域业务安全管理平台发送的连接请求验证响应消息后发送的,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
在一些实施例中,所述连接建立验证消息包括根随机数和中继随机数;所述装置还包括:
计算模块,用于在所述接收所述中继UE发送的连接建立验证消息之后,根据会话秘钥生成函数,对所述根随机数、所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥;
生成模块,用于基于所述会话秘钥和所述中继随机数,生成机密性保护秘钥和完整性保护秘钥;
通信模块,用于使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
在一些实施例中,所述连接建立验证消息还包括待验证加密信息,所述待验证加密信息为所述中继UE基于所述中继随机数和所述会话秘钥,生成完整性保护秘钥后,使用生成的完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到的信息;
所述装置还包括:
对比模块,用于在所述使用确定的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信之前,利用确定的完整性保护秘钥对所述根随机数和所述中继随机数进行加密,将加密结果与所述待验证加密信息进行对比;
所述发送模块,还用于如果所述对比模块的对比结果为相同,则确定对所述中继UE认证通过,并向所述中继UE发送连接建立验证响应消息,以使得所述中继UE对所述远端UE进行认证;
所述接收模块,还用于接收所述中继UE发送的连接建立请求接受消息,所述连接建立请求接受消息为所述中继UE对所述远端UE认证通过的情况下,发送的用于表示所述中继UE对所述远端UE认证通过的消息。
在一些实施例中,所述装置还包括:
加密模块,用于在向所述中继UE发送所述连接建立验证响应消息之前,使用生成的机密性保护秘钥对指定信息加密,得到机密性加密信息;
所述加密模块,还用于使用生成的完整性保护秘钥对所述指定信息进行加密,得到完整性加密信息;
所述生成模块,还用于生成包括所述机密性加密信息和所述完整性加密信息的连接建立验证响应消息,以使得所述中继UE基于所述机密性加密信息和所述完整性加密信息,对所述远端UE进行认证。
本公开实施例的第七方面,提供了一种D2D通信的认证系统,包括远端UE、中继UE和近域业务安全管理平台;
所述远端UE,用于执行第三方面任一项所述的方法;
所述中继UE,用于执行第一方面任一项所述的方法;
所述近域业务安全管理平台,用于执行第二方面任一项所述的方法。
本公开实施例的第八方面,提供了一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求第一方面、第二方面或者第三方面任一项所述的D2D通信的认证方法步骤。
本公开实施例的第九方面,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求第一方面、第二方面或者第三方面任一项所述的D2D通信的认证方法步骤。
本公开实施例的第十方面,提供了本公开实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面、第二方面或者第三方面任一所述的D2D通信的认证方法。
本公开实施例有益效果:
本公开实施例提供的D2D通信的认证方法、装置、系统、电子设备及介质中,远端UE在与中继UE进行D2D通信之前,由中继UE向近域业务安全管理平台发送连接请求验证消息,以请求近域业务安全管理平台验证远端UE和中继UE。在验证通过之后,远端UE和中继UE之间可以基于近域业务安全管理平台下发的会话秘钥进行D2D通信。即本公开实施例中增加了对远端UE与中继UE的认证,从而提高了D2D通信的安全性。
当然,实施本公开的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本公开实施例提供的一种D2D通信的认证系统的结构示意图;
图2为本公开实施例提供的一种D2D通信的认证方法的流程图;
图3为本公开实施例提供的一种对远端UE认证方法的流程图;
图4为本公开实施例提供的另一种D2D通信的认证方法的流程图;
图5为本公开实施例提供的一种对远端UE和中继UE认证方法的流程图;
图6为本公开实施例提供的另一种D2D通信的认证方法的流程图;
图7为本公开实施例提供的一种对中继UE认证方法的流程图;
图8为本公开实施例提供的一种各秘钥之间的关系的示例性示意图;
图9为本公开实施例提供的一种秘钥生成过程的示例性示意图;
图10为常规方法中远端UE与中继UE建立D2D连接过程的信令图;
图11为本公开实施例提供的一种D2D通信的认证过程的信令图;
图12为本公开实施例提供的一种D2D通信的认证装置的结构示意图;
图13为本公开实施例提供的一种D2D通信的认证装置的结构示意图;
图14为本公开实施例提供的一种D2D通信的认证装置的结构示意图;
图15为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员基于本公开所获得的所有其他实施例,都属于本公开保护的范围。
为了提高了D2D通信的安全性,本公开实施例提供了一种D2D通信的认证方法,该方法应用于D2D通信的认证系统中。如图1所示,该系统包括:远端UE 101、中继UE 102和近域业务安全管理平台103。例如,远端UE 101为手机或者平板电脑等能够进行D2D通信的电子设备,中继UE 102可以是手机、平板电脑或者路由器等能够进行D2D通信的设备。近域业务安全管理平台103可以是服务器或者计算机等具备数据处理和消息收发功能的设备。
近域业务安全管理平台103与每个中继UE 102通信连接。远端UE 101可以与中继UE 102通信连接,例如,远端UE 101与中继UE 102通过无线通信技术(WiFi)直连的方式通信连接。
远端UE 101,用于请求与中继UE 102进行D2D通信。
中继UE 102,用于与远端UE 101进行D2D通信,并作为远端UE 101接入网络的中继设备。
近域业务安全管理平台103,用于在远端UE 101和中继UE 102进行D2D通信之前,对远端UE 101和中继UE 102进行认证。
远端UE 101、中继UE 102和近域业务安全管理平台103具体通信过程可参考下文描述。
如图1所示,各中继UE 102还可以连接网关104,从而通过网关104进行数据传输。
图1为本公开实施例提供的一种示例,本公开实施例中D2D通信的认证系统包括的各设备的数量不限于此。而且,中继UE 102和网关104之间还可以连接其他中继UE 102。
本公开实施例提供了一种D2D通信的认证方法,该方法可以应用于图1中的中继UE,如图2所示,该方法包括如下步骤:
S201、接收远端UE发送的连接建立请求消息。
在本公开实施例中,中继UE可以在空口广播自身的节点服务信息,例如节点服务信息包括服务集标识(Service Set Identifier,SSID)、密码(PASSWORD)、电量和速率等。其中,空口指的是空中接口,即指定的无线传输范围,包括频率范围和带宽范围等。远端UE接收到中继UE广播的节点服务信息后,可以选择一个中继UE,并向该中继UE发送连接建立请求消息。
远端UE发送的连接建立请求消息中包括远端UE的远端用户名。此外,连接建立请求消息中还可以包括中继UE的PASSWORD。在常规的方法中,远端UE和中继UE建立D2D连接时,远端UE在连接建立请求消息中携带PASSWORD,中继UE连接建立请求消息后,直接基于PASSWORD与远端UE建立D2D连接。但由于PASSWORD是中继UE广播的信息,任何远端UE都能够获取到,即恶意的远端UE也能接收到广播的SSID和PASSWORD,从而与中继UE建立D2D连接,使得通信安全性较差。而本公开实施例中,中继UE在接收到连接建立请求消息后,即使连接建立请求消息中包括中继UE的PASSWORD,中继UE也不直接与远端UE进行D2D通信,还要经过本公开实施例的下述认证过程,只有在认证通过后,才会与远端UE进行D2D通信,因此本公开实施例提高了通信安全性,减少恶意的远端UE接入网络的情况。
S202、响应于连接建立请求消息,向近域业务安全管理平台发送连接请求验证消息,以使得近域业务安全管理平台对中继UE与远端UE进行认证。
其中,连接请求验证消息包括远端UE的远端用户名(UNremote)和中继UE的中继用户名(UNrelay)。
近域业务安全管理平台对中继UE与远端UE进行认证的方法可参考下文的描述。
S203、接收近域业务安全管理平台发送的连接请求验证响应消息。
其中,连接请求验证响应消息为近域业务安全管理平台对中继UE和远端UE认证通过的情况下发送的消息,连接请求验证响应消息包括会话秘钥(Ksess)和用于生成会话秘钥的参数。
在本公开实施例中,连接请求验证响应消息还包括验证通过信息,验证通过信息表示对近域业务安全管理平台中继UE与远端UE认证通过。
可选的,中继UE与近域业务安全管理平台可以通过应用层加密通道进行通信,即使用预先约定的秘钥对需要传输的信息进行加密传输。例如,中继UE使用该秘钥对连接请求验证消息进行加密后发送给近域业务安全管理平台,之后近域业务安全管理平台使用该秘钥对连接请求验证响应消息进行加密后发送给中继UE。
S204、向远端UE发送连接建立验证消息。
其中,连接建立验证消息包括用于生成会话秘钥的参数,以便远端UE与中继UE使用会话秘钥进行D2D通信。
本公开实施例提供的D2D通信的认证方法中,远端UE在与中继UE进行D2D通信之前,由中继UE向近域业务安全管理平台发送连接请求验证消息,以请求近域业务安全管理平台验证远端UE和中继UE。在验证通过之后,远端UE和中继UE之间可以基于近域业务安全管理平台下发的会话秘钥进行D2D通信。即本公开实施例中增加了对远端UE与中继UE的认证,从而提高了D2D通信的安全性。
在本公开的一些实施例中,上述S204涉及的用于生成会话秘钥的参数可以为根随机数。根随机数为近域业务安全管理平台对远端UE和中继UE认证通过后,实时生成的随机数。中继UE与远端UE进行D2D通信时可以直接使用会话秘钥进行安全保护,或者可以使用基于会话秘钥生成的机密性保护秘钥和完整性保护秘钥进行安全保护。在使用机密性保护秘钥和完整性保护秘钥进行安全保护的情况下,中继UE向远端UE发送的连接建立验证消息中不但需要包括用于生成会话秘钥的根随机数,还需要包括用于生成机密性保护秘钥和完整性保护秘钥的参数。
中继UE在上述S204向远端UE发送连接建立验证消息之前,还可以生成连接建立验证消息。
中继UE生成连接建立验证消息的方式可以实现为:生成中继随机数,并基于中继随机数和会话秘钥,生成机密性保护秘钥(Kenc)和完整性保护秘钥(Kint),然后生成连接建立验证消息,其中连接建立验证消息包括根随机数和中继随机数。中继随机数即为上述生成机密性保护秘钥和完整性保护秘钥的参数。
在本公开实施例中,中继UE可以通过公式(1)生成机密性保护秘钥,并通过公式(2)生成完整性保护秘钥:
Kenc=Genc(Ksess,R1) (1)
Kint=Gint(Ksess,R1) (2)
其中,Kenc为机密性保护秘钥,Genc为机密性保护秘钥生成函数,Ksess为会话秘钥,R1为根随机数;Kint为完整性保护秘钥,Gint为完整性保护秘钥生成函数。机密性保护秘钥生成函数和完整性保护秘钥生成函数可以是根据实际情况预先设置的。
通过上述方法,中继UE可以向远端UE发送根随机数和中继随机数,从而使得远端UE根据根随机数推导出会话秘钥,并根据中继随机数和会话秘钥推导出机密性保护秘钥和完整性保护秘钥,从而利用机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信。
在本公开的一些实施例中,为了进一步提高通信安全性,远端UE和中继UE还可以进行相互认证,并在相互认证通过后进行D2D通信。
为了让远端UE认证中继UE,中继UE向远端UE发送的连接建立验证消息中还可以包括待验证加密信息。其中,中继UE可以在上述S204向远端UE发送连接建立验证消息之前,利用完整性保护秘钥,对根随机数和中继随机数进行加密,得到待验证加密信息。远端UE利用待验证加密信息认证中继UE的具体方式可参考下文描述。
参见图3,中继UE在向远端UE发送连接建立验证消息之后,对远端UE的认证过程,包括以下步骤:
S301、接收远端UE发送的连接建立验证响应消息。
其中,连接建立响应消息为远端UE基于待验证加密信息对中继UE认证通过后发送的消息。
在本公开实施例中,连接建立验证响应消息包括机密性加密信息和完整性加密信息。其中,机密性加密信息为远端UE基于根随机数和中继随机数生成机密性保护秘钥后,使用生成的机密性保护秘钥对指定信息加密后得到的信息。完整性加密信息为远端UE基于根随机数和中继随机数生成完整性保护秘钥后,使用生成的完整性保护秘钥对指定信息进行加密后得到的信息。
S302、响应于连接建立验证响应消息,对远端UE进行认证。
在本公开实施例中,远端UE和中继UE生成机密性保护秘钥和完整性保护秘钥的方式是相同的,即使用相同的机密性保护秘钥生成函数和相同的完整性保护秘钥生成函数,且都是利用会话秘钥和中继随机数进行生成。因此远端UE使用自身生成的完整性保护秘钥对数据的加密结果应当与中继UE使用自身生成的完整性保护秘钥对相同数据的加密结果相同。同样的,远端UE使用自身生成的机密性保护秘钥对数据的加密后,中继UE使用自身生成的机密性保护秘钥对该加密后数据的解密结果应当与远端UE加密前的结果相同。
但是,当远端UE是恶意设备时,可能使用错误的机密性保护秘钥生成函数,生成错误的机密性保护秘钥,同样的,使用错误的完整性保护秘钥生成函数,生成错误的完整性保护秘钥。中继UE可以通过连接建立验证响应消息包括的机密性加密信息和完整性加密信息,认证远端UE是否使用正确的机密性保护秘钥和完整性保护秘钥。
认证方式包括:中继UE使用自身生成的机密性保护秘钥,对连接建立验证响应消息包括的机密性加密信息进行解密,得到解密结果,解密结果为指定信息。中继UE使用自身生成的完整性保护秘钥,对解密结果进行加密,得到加密结果。由于完整性加密信息也是对指定信息进行加密后得到的信息,因此如果远端UE与中继UE使用的秘钥相同,则加密结果应当与完整性加密信息相同。因此如果加密结果与完整性加密信息相同,则中继UE确定对远端UE认证通过。如果加密结果与完整性加密信息不同,则中继UE确定对远端UE认证不通过。指定信息可以根据实际情况预先设置,例如,指定信息为中继随机数。
S303、如果对远端UE认证通过,则向远端UE发送连接建立请求接受消息。
其中,连接建立请求接受消息用于表示中继UE对远端UE认证通过,此时安全传输保护机制被激活,以使得远端UE可以使用生成的机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信。
如果中继UE对远端UE认证不通过,则可以向远端UE发送表示中继UE对远端UE认证不成功的消息。
采用上述方法,中继UE在向远端UE发送连接建立验证消息之后,还可以与远端UE进行相互认证,从而进一步提高远端UE和中继UE之间的通信安全性。
基于相同的发明构思,本公开实施例提供了一种D2D通信的认证方法,该方法应用于图1所示的近域业务安全管理平台。如图4所示,该方法包括如下步骤:
S401、接收中继UE发送的连接请求验证消息。
其中,连接请求验证消息为中继UE在接收到远端UE发送的连接建立请求消息后发送的消息。
其中,连接请求验证消息包括远端UE的远端用户名和中继UE的中继用户名。
S402、响应于连接请求验证消息,对中继UE与远端UE进行认证。
在本公开实施例中,近域业务安全管理平台可以验证远端用户名和中继用户名是否属于预先记录的已被授权的用户名。若是,则确定对中继UE与远端UE认证通过。否则,确定对中继UE与远端UE认证不通过。
或者,也可以采用其他方式认证,具体可参考下文描述。
S403、如果对中继UE与远端UE认证通过,则生成会话秘钥。
在本公开实施例中,近域业务安全管理平台可以生成根随机数,然后根据会话秘钥生成函数,对根随机数、预先存储的远端UE的根秘钥和身份令牌进行计算,得到会话秘钥。即利用公式(3)得到会话秘钥:
Ksess=H(Kroot,Rroot,Tremote) (3)
其中,Ksess为会话秘钥,H为会话秘钥生成函数,Kroot为根秘钥,Rroot为根随机数,Tremote为身份令牌。会话秘钥生成函数可以根据实际情况预先设置。
远端UE的根秘钥和身份令牌为远端UE在向近域业务安全管理平台进行注册的过程中,近域业务安全管理平台为远端UE分配的,同时,近域业务安全管理平台中也记录了为远端UE分配的根秘钥和身份令牌。
S404、向中继UE发送连接请求验证响应消息。
其中,连接请求验证响应消息包括会话秘钥和用于生成会话秘钥的参数,以使得中继UE向远端UE发送连接建立验证消息,连接建立验证消息包括用于生成会话秘钥的参数。用于生成会话秘钥的参数可以为上述根随机数。
在本公开实施例中,如果近域业务安全管理平台对中继UE和/或远端UE认证不通过,则可以向远端UE返回表示认证不通过的消息。
本公开实施例提供的D2D通信的认证方法中,远端UE在与中继UE进行D2D通信之前,由中继UE向近域业务安全管理平台发送连接请求验证消息,以请求近域业务安全管理平台验证远端UE和中继UE。在验证通过之后,远端UE和中继UE之间可以基于近域业务安全管理平台下发的会话秘钥进行D2D通信。即本公开实施例中增加了对远端UE与中继UE的认证,从而提高了D2D通信的安全性。
在本公开的一些实施例中,中继UE向远端UE发送的连接请求验证消息中包括远端UE的远端用户名、中继UE的中继用户名、校验信息和哈希值。
其中,校验信息包括时间戳,或者校验信息包括时间戳和远端随机数,时间戳为远端UE发送连接建立请求消息的时刻,远端随机数为远端UE生成的随机数,哈希值由远端UE对远端用户名、远端UE的身份令牌和校验信息进行哈希运算得到。中继UE可以从远端UE发送的连接建立请求消息中,获取到远端用户名、校验信息和哈希值,并与自身的中继用户名一起携带在连接请求验证消息中,发送给近域业务安全管理平台。
近域业务安全管理平台可以利用中继UE发送的连接建立请求消息包括的参数,对中继UE和远端UE进行认证。参见图5,上述S402中近域业务安全管理平台对中继UE与远端UE进行认证的方式,包括以下步骤:
S501、检查已被授权的用户名中是否存在中继用户名。若是,则执行S502;若否,则执行S503。
近域业务安全管理平台中可以记录已被授权的各中继UE的用户名,从而通过连接建立请求消息包括的中继用户名,能够判断出该中继UE是否已被授权。
S502、确定对中继UE认证通过。并执行S504。
S503、确定对中继UE认证不通过。
S504、对远端用户名、校验信息和预先记录的远端UE的身份令牌进行哈希运算,并对比运算结果与哈希值是否相同。如果对比结果为相同,则执行S505;如果对比结果为不相同,则执行S506。
远端UE与近域业务安全管理平台进行哈希运算使用的哈希算法相同,因此对校验信息进行哈希运算后的结果应当相同。但是,远端UE为恶意终端时,可能使用错误的哈希算法,导致远端UE对校验信息进行哈希运算的结果与近域业务安全管理平台对校验信息进行哈希运算的结果不同。因此本公开实施例中,近域业务安全管理平台可以通过对比自身对校验信息进行哈希运算的运算结果,与远端UE对校验信息进行哈希运算得到的哈希值是否相同,来判断远端UE是否使用正确的哈希算法,从而确定远端UE是否为合法设备。
例如,哈希运算方式为公式(4):
Hremote=F(UNremote,TTremote,Rremote,Tremote) (4)
其中,Hremote为哈希运算结果,F为哈希散列函数,即哈希算法,Unremote为远端用户名,Ttremote为时间戳,Rremote为远端随机数,Tremote为远端UE的身份令牌。
S505、检查已被授权的用户名中是否存在远端用户名。若存在,则执行S507;若不存在则执行S506。
远端UE可以在注册时,向近域业务安全管理平台发送远端用户名,使得近域业务安全管理平台在对远端UE进行授权后,记录远端UE的远端用户名。使得近域业务安全管理平台执行S505时,可以确定中继UE发送的连接建立请求消息包括的远端用户名是否已被授权。
S506、确定对远端UE认证不通过。
S507、确定对远端UE认证通过。
采用上述方法,近域业务安全管理平台可以先对中继UE进行认证,并在对中继UE认证通过后,再认证远端UE。由于对中继UE的认证只需要对比中继UE的用户名,因此认证速度快,而且如果对中继UE认证不通过,则无需验证远端UE,从而提高了认证效率。
基于相同的发明构思,本公开实施例提供了一种D2D通信的认证方法,该方法应用于图1中的远端UE。如图6所示,该方法包括以下步骤:
S601、向中继UE发送连接建立请求消息,以使得中继UE请求近域业务安全管理平台对远端UE和中继UE进行认证。中继UE请求近域业务安全管理平台远端UE和中继UE进行认证的具体方式可参考上述描述,此处不再赘述。
其中,连接建立请求消息中包括远端UE的远端用户名。
连接建立请求消息中还可以包括校验信息和哈希值。其中,校验信息包括时间戳,或者校验信息包括时间戳和远端随机数,时间戳为远端UE发送连接建立请求消息的时刻,远端随机数为远端UE生成的随机数,哈希值为远端UE对远端用户名、远端UE的身份令牌和校验信息进行哈希运算得到。
S602、接收中继UE发送的连接建立验证消息。
其中,连接建立验证消息为中继UE接收到近域业务安全管理平台发送的连接请求验证响应消息后发送的,连接请求验证响应消息包括会话秘钥,连接建立验证消息包括用于生成会话秘钥的参数,远端UE可以根据用于生成会话秘钥的参数,生成会话秘钥。
远端UE在有网的情况下,可以直接与近域业务安全管理平台通信,例如远端UE可以使用第四代移动通信技术(the 4th generation mobile communication technolog,4G)或者第五代移动通信技术(5th-Generation Mobile Communication Technology,5G)与近域业务安全管理平台通信。并向近域业务安全管理平台请求注册,从而从近域业务安全管理平台中获取到身份令牌和根秘钥。其中,远端UE与近域业务安全管理平台的通信可以通过应用层加密通道,即使用约定的秘钥对需要传输的信息进行加密后传输。
本公开实施例提供的D2D通信的认证方法中,远端UE在与中继UE进行D2D通信之前,由中继UE向近域业务安全管理平台发送连接请求验证消息,以请求近域业务安全管理平台验证远端UE和中继UE。在验证通过之后,远端UE和中继UE之间可以基于近域业务安全管理平台下发的会话秘钥进行D2D通信。即本公开实施例中增加了对远端UE与中继UE的认证,从而提高了D2D通信的安全性。
在本公开的一些实施例中,中继UE向远端UE发送的连接建立验证消息包括:根随机数和中继随机数。远端UE在接收中继UE发送的连接建立验证消息之后,可以利用根随机数和中继随机数,生成与中继UE通信所使用的秘钥,具体方式包括:根据会话秘钥生成函数,对根随机数、远端UE的根秘钥和身份令牌进行计算,得到会话秘钥。然后基于会话秘钥和中继随机数,生成机密性保护秘钥和完整性保护秘钥。使用生成的机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信。
远端UE生成会话秘钥的方式,与上述近域业务安全管理平台生成会话秘钥的方式相同。远端UE生成机密性保护秘钥的方式,与上述中继UE生成机密性保护秘钥的方式相同。远端UE生成完整性保护秘钥的方式,与上述中继UE生成完整性保护秘钥的方式相同。
本公开实施例中,中继UE向远端UE发送的连接建立验证消息中,包括根随机数和中继随机数,使得远端UE根据根随机数和中继随机数,生成机密性保护秘钥和完整性保护秘钥。与直接向远端UE发送机密性保护秘钥和完整性保护秘钥的方式相比,发送根随机数和中继随机数能够在避免连接建立验证消息被恶意获取,而导致机密性保护秘钥和完整性保护秘钥泄露的风险的基础上,让远端UE得到机密性保护秘钥和完整性保护秘钥。
在本公开的一些实施例中,为了进一步保障通信安全性,远端UE在使用确定的机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信之前,远端UE和中继UE之间还可以进行相互认证。为了让远端UE对中继UE进行认证,中继UE向远端UE发送的连接建立验证消息中还包括待验证加密信息。其中。待验证加密信息为中继UE基于中继随机数和会话秘钥,生成完整性保护秘钥后,使用生成的完整性保护秘钥,对根随机数和中继随机数进行加密,得到的信息。
参见图7,远端UE校验中继UE的方式包括以下步骤:
S701、利用生成的完整性保护秘钥对根随机数和中继随机数进行加密。
S702、对比加密结果与待验证加密信息是否相同。如果对比结果为相同,则执行S703;如果对比结果为不相同,则执行S705。
由于远端UE与中继UE各自生成的完整性保护秘钥相同、且都是对根随机数和中继随机数进行加密,因此远端UE与中继UE各自的加密结果应当相同,即加密结果与待验证加密信息应当相同。但是,如果中继UE是恶意设备,可能采用错误的完整性保护秘钥,导致加密结果与与远端UE的加密结果不同。因此远端UE可以通过对比加密结果与待验证加密信息是否相同,来验证中继UE是否使用正确的完整性保护秘钥。
S703、确定对中继UE认证通过,并向中继UE发送连接建立验证响应消息,以使得中继UE对远端UE进行认证。
中继UE对远端UE进行认证的具体方式可参考上述描述,此处不再赘述。
S704、接收中继UE发送的连接建立请求接受消息。
其中,连接建立请求接受消息为中继UE对远端UE认证通过的情况下,发送的用于表示中继UE对远端UE认证通过的消息。
S705、确定对中继UE认证不通过。
远端UE确定中继UE认证不通过之后,还可以向远端UE发送用于表示远端UE确定中继UE认证不通过的消息。
采用上述方法,远端UE在于中继UE进行D2D通信之前,可以对中继UE进行认证,保证中继UE是合法用户,从而进一步保障通信安全性。
为了让中继UE对远端UE进行认证,上述S703中远端UE向中继UE发送连接建立验证响应消息中可以携带完整性加密信息和机密性加密信息。
远端UE在上述S703向中继UE发送连接建立验证响应消息之前,还可以生成连接建立验证响应信息,生成方式包括:使用生成的机密性保护秘钥对指定信息加密,得到机密性加密信息,使用生成的完整性保护秘钥对所述指定信息进行加密,得到完整性加密信息。生成包括机密性加密信息和完整性加密信息的连接建立验证响应消息,以使得中继UE基于机密性加密信息和完整性加密信息,对远端UE进行认证。中继UE对远端UE的具体认证方式可参考上文描述,此处不再赘述。
采用上述方法,远端UE可以向中继UE发送携带完整性加密信息和机密性加密信息,以使得中继UE对远端UE进行认证,从而进一步保障通信安全性。
参见图8,以下对本公开实施例涉及的各秘钥之间的关系进行说明:
根据根随机数、远端UE的身份令牌和远端UE的根秘钥,能够生成会话秘钥。
根据会话秘钥和中继随机数,能够生成机密性保护秘钥和完整性保护秘钥。
参见图9,以下对近域业务安全管理平台、中继UE和远端UE各自生成秘钥的过程进行说明:
首先,近域业务安全管理平台生成根随机数,对根随机数和远端UE的身份令牌进行哈希计算,得到根哈希值,然后利用根哈希值和远端UE的根秘钥,生成会话秘钥。之后,将会话秘钥和根随机数传输至中继UE。
中继UE生成中继随机数,并使用机密性保护秘钥生成函数,对会话秘钥和中继随机数进行运算,得到机密性保护秘钥。并使用完整性保护秘钥生成函数,对会话秘钥和中继随机数进行运算,得到完整性保护秘钥。之后将根随机数和中继随机数传输至远端UE。
远端UE对根随机数和远端UE的身份令牌进行哈希计算,得到根哈希值,然后利用根哈希值和远端UE的根秘钥,生成会话秘钥。并使用机密性保护秘钥生成函数,对会话秘钥和中继随机数进行运算,得到机密性保护秘钥。并使用完整性保护秘钥生成函数,对会话秘钥和中继随机数进行运算,得到完整性保护秘钥。
以下结合具体的应用场景,对传统的远端UE和中继UE建立D2D通信的方法,和本公开实施例中的中继UE和远端UE实现D2D通信的方法进行对比说明:
如图10所示,传统的方法中,中继UE在空口广播自身的节点服务信息。
远端UE接收到节点服务信息后,向中继UE发送连接请求消息,中继UE与远端UE基于WiFi保护设置个人信息编号(Wi-Fi Protected Setup-Personal Information Number,WPS-PIN)或者WPS-按钮配置(Push ButtonConfiguration,PBC)的方式建立连接,连接建立完成后,远端UE和中继UE可进行D2D通信,使得远端UE可以通过中继UE接入网络。
可见,该方法中远端UE和中继UE之间缺乏可靠的身份认证机制,安全连接建立机制和传输保护机制,使得远端UE和中继UE在传输信令消息和数据流量时存在被中间人窃取和篡改信息等安全风险。例如,恶意的远端UE可能在空口截获节点服务信息,从而与中继UE建立D2D连接。又例如,恶意的中继UE可能窃取远端UE发送的消息,从而窃取远端UE的隐私信息;而且恶意的中继UE还可能窃取并篡改其他中继UE发送的消息,从而与远端UE建立D2D连接。该方法严重地影响了PRAN系统在面向商用过程中的业务安全性。另外,WiFi直连技术所使用的WPS-PIN或者WPS-PBC的方式建立连接的安全性有限,不适用于多跳中继通信场景,也无法满足商用级的安全性要求。
参见图11,本公开实施例提供的D2D通信的认证过程包括以下步骤:
S1101、中继UE在空口广播自身的节点服务信息。
S1102、远端UE向中继UE发送连接建立请求消息。
S1103、中继UE向近域业务安全管理平台发送连接请求验证消息。
S1104、近域业务安全管理平台对中继UE与远端UE进行认证。
S1105、近域业务安全管理平台如果对中继UE与远端UE认证通过,则生成会话秘钥。
S1106、近域业务安全管理平台向中继UE发送连接请求验证响应消息。其中,连接请求验证响应消息包括会话秘钥和根随机数。
S1107、中继UE根据会话秘钥和中继随机数,生成机密性保护秘钥和完整性保护秘钥。
S1108、中继UE向远端UE发送连接建立验证消息。
连接建立验证消息包括根随机数和中继随机数,远端UE可以根据根随机数生成会话秘钥,并根据会话秘钥和中继随机数生成机密性保护秘钥和完整性保护秘钥。
S1109、远端UE对中继UE进行认证。
S1110、远端UE如果对中继UE认证通过,则向中继UE发送连接建立验证响应消息。
S1111、中继UE对远端UE进行认证。
S1112、中继UE如果对远端UE认证通过,则向远端UE发送连接建立请求接受消息。
可见,本公开实施例提供的D2D通信的认证过程中,近域业务安全管理平台能够对中继UE和远端UE进行安全认证,中继UE和远端UE之间还能进行安全验证,因此本公开实施例中建立了D2D通信的安全认证机制、秘钥推衍和分发机制,实现了D2D连接的安全激活,避免了恶意设备攻击,提高了D2D通信的安全性,能够满足商用安全需求。
基于相同的发明构思,对应于上述方法实施例,本公开实施例提供了一种D2D通信的认证装置,应用于中继UE,如图12所示,该装置包括:接收模块1201和发送模块1202;
接收模块1201,用于接收远端UE发送的连接建立请求消息;
发送模块1202,用于响应于连接建立请求消息,向近域业务安全管理平台发送连接请求验证消息,以使得近域业务安全管理平台对中继UE与远端UE进行认证;
接收模块1201,还用于接收近域业务安全管理平台发送的连接请求验证响应消息,连接请求验证响应消息为近域业务安全管理平台对中继UE和远端UE认证通过的情况下发送的消息,连接请求验证响应消息包括会话秘钥和用于生成会话秘钥的参数;
发送模块1202,还用于向远端UE发送连接建立验证消息,连接建立验证消息包括用于生成会话秘钥的参数,以便远端UE与中继UE使用会话秘钥进行设备到设备D2D通信。
在一些实施例中,用于生成会话秘钥的参数为根随机数;装置还包括生成模块;生成模块,用于:
在向远端UE发送连接建立验证消息之前,生成中继随机数,并基于中继随机数和会话秘钥,生成机密性保护秘钥和完整性保护秘钥;
生成连接建立验证消息,连接建立验证消息包括根随机数和中继随机数。
在一些实施例中,连接建立验证消息还包括待验证加密信息;装置还包括:
加密模块,用于在向远端UE发送连接建立验证消息之前,利用完整性保护秘钥,对根随机数和中继随机数进行加密,得到待验证加密信息;
装置还包括:
接收模块1201,还用于在向远端UE发送连接建立验证消息之后,接收远端UE发送的连接建立验证响应消息,连接建立响应消息为远端UE基于待验证加密信息对中继UE认证通过后发送的消息;
认证模块,用于响应于连接建立验证响应消息,对远端UE进行认证;
发送模块1202,还用于如果对远端UE认证通过,则向远端UE发送连接建立请求接受消息,连接建立请求接受消息用于表示中继UE对远端UE认证通过,以使得远端UE使用生成的机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信。
在一些实施例中,连接建立验证响应消息包括机密性加密信息和完整性加密信息;机密性加密信息为远端UE基于根随机数和中继随机数生成机密性保护秘钥后,使用生成的机密性保护秘钥对指定信息加密后得到的信息;完整性加密信息为远端UE基于根随机数和中继随机数生成完整性保护秘钥后,使用生成的完整性保护秘钥对指定信息进行加密后得到的信息;
认证模块,具体用于:
使用生成的机密性保护秘钥,对机密性加密信息进行解密,得到解密结果;
使用生成的完整性保护秘钥,对解密结果进行加密,得到加密结果;
如果加密结果与完整性加密信息相同,则确定对远端UE认证通过;
如果加密结果与完整性加密信息不同,则确定对远端UE认证不通过。
基于相同的发明构思,对应于上述方法实施例,本公开实施例提供了一种D2D通信的认证装置,应用于近域业务安全管理平台,如图13所示,该装置包括:接收模块1301、认证模块1302、生成模块1303和发送模块1304;
接收模块1301,用于接收中继UE发送的连接请求验证消息,连接请求验证消息为中继UE在接收到远端UE发送的连接建立请求消息后发送的消息;
认证模块1302,用于响应于接收模块接收的连接请求验证消息,对中继UE与远端UE进行认证;
生成模块1303,用于如果认证模块对中继UE与远端UE认证通过,则生成会话秘钥;
发送模块1304,用于向中继UE发送连接请求验证响应消息,连接请求验证响应消息包括会话秘钥和用于生成会话秘钥的参数,以使得中继UE向远端UE发送连接建立验证消息,连接建立验证消息包括用于生成会话秘钥的参数。
在一些实施例中,连接请求验证消息包括远端UE的远端用户名、中继UE的中继用户名、校验信息和哈希值,校验信息包括时间戳,或者校验信息包括时间戳和远端随机数,时间戳为远端UE发送连接建立请求消息的时刻,远端随机数为远端UE生成的随机数,哈希值为远端UE对远端用户名、远端UE的身份令牌和校验信息进行哈希运算得到;
认证模块1302,具体用于:
检查已被授权的用户名中是否存在中继用户名,若是,则确定对中继UE认证通过;
如果对中继UE认证通过,则对远端用户名、校验信息和预先记录的远端UE的身份令牌进行哈希运算,将运算结果与哈希值进行对比;
如果对比结果为相同,则检查已被授权的用户名中是否存在远端用户名;
如果存在,则确定对远端UE认证通过。
在一些实施例中,生成模块1303,具体用于:
生成根随机数;
根据会话秘钥生成函数,对根随机数、预先存储的远端UE的根秘钥和身份令牌进行计算,得到会话秘钥。
基于相同的发明构思,对应于上述方法实施例,本公开实施例提供了一种D2D通信的认证装置,应用于远端UE,如图14所示,该装置包括:发送模块1401和接收模块1402;
发送模块1401,用于向中继UE发送连接建立请求消息,以使得中继UE请求近域业务安全管理平台对远端UE和中继UE进行认证;
接收模块1402,用于接收中继UE发送的连接建立验证消息,连接建立验证消息为中继UE接收到近域业务安全管理平台发送的连接请求验证响应消息后发送的,连接请求验证响应消息包括会话秘钥和用于生成会话秘钥的参数,连接建立验证消息包括用于生成会话秘钥的参数。
在一些实施例中,装置还包括:
计算模块,用于连接建立验证消息包括根随机数和中继随机数;接收中继UE发送的连接建立验证消息之后,根据会话秘钥生成函数,对根随机数、远端UE的根秘钥和身份令牌进行计算,得到会话秘钥;
生成模块,用于基于会话秘钥和中继随机数,生成机密性保护秘钥和完整性保护秘钥;
通信模块,用于使用生成的机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信。
在一些实施例中,连接建立验证消息还包括待验证加密信息,待验证加密信息为中继UE基于中继随机数和会话秘钥,生成完整性保护秘钥后,使用生成的完整性保护秘钥,对根随机数和中继随机数进行加密,得到的信息;
装置还包括:
对比模块,用于在使用确定的机密性保护秘钥和完整性保护秘钥与中继UE进行D2D通信之前,利用确定的完整性保护秘钥对根随机数和中继随机数进行加密,将加密结果与待验证加密信息进行对比;
发送模块1401,还用于如果对比模块的对比结果为相同,则确定对中继UE认证通过,并向中继UE发送连接建立验证响应消息,以使得中继UE对远端UE进行认证;
接收模块1402,还用于接收中继UE发送的连接建立请求接受消息,连接建立请求接受消息为中继UE对远端UE认证通过的情况下,发送的用于表示中继UE对远端UE认证通过的消息。
在一些实施例中,装置还包括:
加密模块,用于在向中继UE发送连接建立验证响应消息之前,使用生成的机密性保护秘钥对指定信息加密,得到机密性加密信息;
加密模块,还用于使用生成的完整性保护秘钥对指定信息进行加密,得到完整性加密信息;
生成模块,还用于生成包括机密性加密信息和完整性加密信息的连接建立验证响应消息,以使得中继UE基于机密性加密信息和完整性加密信息,对远端UE进行认证。
本公开实施例还提供了一种电子设备,如图15所示,包括处理器1501、通信接口1502、存储器1503和通信总线1504,其中,处理器1501,通信接口1502,存储器1503通过通信总线1504完成相互间的通信,
存储器1503,用于存放计算机程序;
处理器1501,用于执行存储器1503上所存放的程序时,实现上述方法实施例中由远端UE、中继UE或者近域业务安全管理平台执行的方法。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本公开提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一D2D通信的认证方法的步骤。
在本公开提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一D2D通信的认证方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本公开的较佳实施例,并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本公开的保护范围内。

Claims (25)

1.一种D2D通信的认证方法,其特征在于,应用于中继UE,所述方法包括:
接收远端UE发送的连接建立请求消息;
响应于所述连接建立请求消息,向近域业务安全管理平台发送连接请求验证消息,以使得所述近域业务安全管理平台对所述中继UE与所述远端UE进行认证;
接收所述近域业务安全管理平台发送的连接请求验证响应消息,所述连接请求验证响应消息为所述近域业务安全管理平台对所述中继UE和所述远端UE认证通过的情况下发送的消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数;
向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数,以便所述远端UE与所述中继UE使用所述会话秘钥进行设备到设备D2D通信。
2.根据权利要求1所述的方法,其特征在于,所述用于生成所述会话秘钥的参数为根随机数;在向所述远端UE发送连接建立验证消息之前,所述方法还包括:
生成中继随机数,并基于所述中继随机数和所述会话秘钥,生成机密性保护秘钥和完整性保护秘钥;
生成所述连接建立验证消息,所述连接建立验证消息包括所述根随机数和所述中继随机数。
3.根据权利要求2所述的方法,其特征在于,所述连接建立验证消息还包括待验证加密信息;在向所述远端UE发送连接建立验证消息之前,所述方法还包括:
利用所述完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到所述待验证加密信息;
在所述向所述远端UE发送连接建立验证消息之后,所述方法还包括:
接收所述远端UE发送的连接建立验证响应消息,所述连接建立响应消息为所述远端UE基于所述待验证加密信息对所述中继UE认证通过后发送的消息;
响应于所述连接建立验证响应消息,对所述远端UE进行认证;
如果对所述远端UE认证通过,则向所述远端UE发送连接建立请求接受消息,所述连接建立请求接受消息用于表示所述中继UE对所述远端UE认证通过,以使得所述远端UE使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
4.根据权利要求3所述的方法,其特征在于,所述连接建立验证响应消息包括机密性加密信息和完整性加密信息;所述机密性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成机密性保护秘钥后,使用生成的机密性保护秘钥对指定信息加密后得到的信息;所述完整性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成完整性保护秘钥后,使用生成的完整性保护秘钥对所述指定信息进行加密后得到的信息;
所述响应于所述连接建立验证响应消息,对所述远端UE进行认证,包括:
使用生成的机密性保护秘钥,对所述机密性加密信息进行解密,得到解密结果;
使用生成的完整性保护秘钥,对所述解密结果进行加密,得到加密结果;
如果所述加密结果与所述完整性加密信息相同,则确定对所述远端UE认证通过;
如果所述加密结果与所述完整性加密信息不同,则确定对所述远端UE认证不通过。
5.一种D2D通信的认证方法,其特征在于,应用于近域业务安全管理平台,所述方法包括:
接收中继UE发送的连接请求验证消息,所述连接请求验证消息为所述中继UE在接收到所述远端UE发送的连接建立请求消息后发送的消息;
响应于所述连接请求验证消息,对所述中继UE与所述远端UE进行认证;
如果对所述中继UE与所述远端UE认证通过,则生成会话秘钥;
向所述中继UE发送连接请求验证响应消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,以使得所述中继UE向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
6.根据权利要求5所述的方法,其特征在于,所述连接请求验证消息包括所述远端UE的远端用户名、所述中继UE的中继用户名、校验信息和哈希值,所述校验信息包括时间戳,或者所述校验信息包括时间戳和远端随机数,所述时间戳为所述远端UE发送所述连接建立请求消息的时刻,所述远端随机数为所述远端UE生成的随机数,所述哈希值为所述远端UE对所述远端用户名、所述远端UE的身份令牌和所述校验信息进行哈希运算得到;
所述对所述中继UE与所述远端UE进行认证,包括:
检查已被授权的用户名中是否存在所述中继用户名,若是,则确定对所述中继UE认证通过;
如果对所述中继UE认证通过,则对所述远端用户名、所述校验信息和预先记录的所述远端UE的身份令牌进行哈希运算,将运算结果与所述哈希值进行对比;
如果对比结果为相同,则检查已被授权的用户名中是否存在所述远端用户名;
如果存在,则确定对所述远端UE认证通过。
7.根据权利要求5或6所述的方法,其特征在于,所述生成会话秘钥,包括:
生成根随机数;
根据所述会话秘钥生成函数,对所述根随机数、预先存储的所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥。
8.一种D2D通信的认证方法,其特征在于,应用于远端UE,所述方法包括:
向中继UE发送连接建立请求消息,以使得所述中继UE请求近域业务安全管理平台对所述远端UE和所述中继UE进行认证;
接收所述中继UE发送的连接建立验证消息,所述连接建立验证消息为所述中继UE接收到所述近域业务安全管理平台发送的连接请求验证响应消息后发送的,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
9.根据权利要求8所述的方法,其特征在于,所述连接建立验证消息包括根随机数和中继随机数;在所述接收所述中继UE发送的连接建立验证消息之后,所述方法还包括:
根据会话秘钥生成函数,对所述根随机数、所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥;
基于所述会话秘钥和所述中继随机数,生成机密性保护秘钥和完整性保护秘钥;
使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
10.根据权利要求9所述的方法,其特征在于,所述连接建立验证消息还包括待验证加密信息,所述待验证加密信息为所述中继UE基于所述中继随机数和所述会话秘钥,生成完整性保护秘钥后,使用生成的完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到的信息;
在所述使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信之前,所述方法还包括:
利用确定的完整性保护秘钥对所述根随机数和所述中继随机数进行加密,将加密结果与所述待验证加密信息进行对比;
如果对比结果为相同,则确定对所述中继UE认证通过,并向所述中继UE发送连接建立验证响应消息,以使得所述中继UE对所述远端UE进行认证;
接收所述中继UE发送的连接建立请求接受消息,所述连接建立请求接受消息为所述中继UE对所述远端UE认证通过的情况下,发送的用于表示所述中继UE对所述远端UE认证通过的消息。
11.根据权利要求10所述的方法,其特征在于,在向所述中继UE发送连接建立验证响应消息之前,所述方法还包括:
使用生成的机密性保护秘钥对指定信息加密,得到机密性加密信息;
使用生成的完整性保护秘钥对所述指定信息进行加密,得到完整性加密信息;
生成包括所述机密性加密信息和所述完整性加密信息的连接建立验证响应消息,以使得所述中继UE基于所述机密性加密信息和所述完整性加密信息,对所述远端UE进行认证。
12.一种D2D通信的认证装置,其特征在于,应用于中继UE,所述装置包括:
接收模块,用于接收远端UE发送的连接建立请求消息;
发送模块,用于响应于所述连接建立请求消息,向近域业务安全管理平台发送连接请求验证消息,以使得所述近域业务安全管理平台对所述中继UE与所述远端UE进行认证;
所述接收模块,还用于接收所述近域业务安全管理平台发送的连接请求验证响应消息,所述连接请求验证响应消息为所述近域业务安全管理平台对所述中继UE和所述远端UE认证通过的情况下发送的消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数;
所述发送模块,还用于向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数,以便所述远端UE与所述中继UE使用所述会话秘钥进行设备到设备D2D通信。
13.根据权利要求12所述的装置,其特征在于,所述用于生成所述会话秘钥的参数为根随机数;所述装置还包括生成模块;所述生成模块,用于:
在向所述远端UE发送连接建立验证消息之前,生成中继随机数,并基于所述中继随机数和所述会话秘钥,生成机密性保护秘钥和完整性保护秘钥;
生成所述连接建立验证消息,所述连接建立验证消息包括所述根随机数和所述中继随机数。
14.根据权利要求13所述的装置,其特征在于,所述连接建立验证消息还包括待验证加密信息;所述装置还包括:
加密模块,用于在向所述远端UE发送连接建立验证消息之前,利用所述完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到所述待验证加密信息;
所述装置还包括:
所述接收模块,还用于在所述向所述远端UE发送连接建立验证消息之后,接收所述远端UE发送的连接建立验证响应消息,所述连接建立响应消息为所述远端UE基于所述待验证加密信息对所述中继UE认证通过后发送的消息;
认证模块,用于响应于所述连接建立验证响应消息,对所述远端UE进行认证;
所述发送模块,还用于如果对所述远端UE认证通过,则向所述远端UE发送连接建立请求接受消息,所述连接建立请求接受消息用于表示所述中继UE对所述远端UE认证通过,以使得所述远端UE使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
15.根据权利要求14所述的装置,其特征在于,所述连接建立验证响应消息包括机密性加密信息和完整性加密信息;所述机密性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成机密性保护秘钥后,使用生成的机密性保护秘钥对指定信息加密后得到的信息;所述完整性加密信息为所述远端UE基于所述根随机数和所述中继随机数生成完整性保护秘钥后,使用生成的完整性保护秘钥对所述指定信息进行加密后得到的信息;
所述认证模块,具体用于:
使用生成的机密性保护秘钥,对所述机密性加密信息进行解密,得到解密结果;
使用生成的完整性保护秘钥,对所述解密结果进行加密,得到加密结果;
如果所述加密结果与所述完整性加密信息相同,则确定对所述远端UE认证通过;
如果所述加密结果与所述完整性加密信息不同,则确定对所述远端UE认证不通过。
16.一种D2D通信的认证装置,其特征在于,应用于近域业务安全管理平台,所述装置包括:
接收模块,用于接收中继UE发送的连接请求验证消息,所述连接请求验证消息为所述中继UE在接收到所述远端UE发送的连接建立请求消息后发送的消息;
认证模块,用于响应于所述接收模块接收的所述连接请求验证消息,对所述中继UE与所述远端UE进行认证;
生成模块,用于如果所述认证模块对所述中继UE与所述远端UE认证通过,则生成会话秘钥;
发送模块,用于向所述中继UE发送连接请求验证响应消息,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,以使得所述中继UE向所述远端UE发送连接建立验证消息,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
17.根据权利要求16所述的装置,其特征在于,所述连接请求验证消息包括所述远端UE的远端用户名、所述中继UE的中继用户名、校验信息和哈希值,所述校验信息包括时间戳,或者所述校验信息包括时间戳和远端随机数,所述时间戳为所述远端UE发送所述连接建立请求消息的时刻,所述远端随机数为所述远端UE生成的随机数,所述哈希值为所述远端UE对所述远端用户名、所述远端UE的身份令牌和所述校验信息进行哈希运算得到;
所述认证模块,具体用于:
检查已被授权的用户名中是否存在所述中继用户名,若是,则确定对所述中继UE认证通过;
如果对所述中继UE认证通过,则对所述远端用户名、所述校验信息和预先记录的所述远端UE的身份令牌进行哈希运算,将运算结果与所述哈希值进行对比;
如果对比结果为相同,则检查已被授权的用户名中是否存在所述远端用户名;
如果存在,则确定对所述远端UE认证通过。
18.根据权利要求16或17所述的装置,其特征在于,所述生成模块,具体用于:
生成根随机数;
根据所述会话秘钥生成函数,对所述根随机数、预先存储的所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥。
19.一种D2D通信的认证装置,其特征在于,应用于远端UE,所述装置包括:
发送模块,用于向中继UE发送连接建立请求消息,以使得所述中继UE请求近域业务安全管理平台对所述远端UE和所述中继UE进行认证;
接收模块,用于接收所述中继UE发送的连接建立验证消息,所述连接建立验证消息为所述中继UE接收到所述近域业务安全管理平台发送的连接请求验证响应消息后发送的,所述连接请求验证响应消息包括会话秘钥和用于生成所述会话秘钥的参数,所述连接建立验证消息包括用于生成所述会话秘钥的参数。
20.根据权利要求19所述的装置,其特征在于,所述连接建立验证消息包括根随机数和中继随机数;所述装置还包括:
计算模块,用于在所述接收所述中继UE发送的连接建立验证消息之后,根据会话秘钥生成函数,对所述根随机数、所述远端UE的根秘钥和身份令牌进行计算,得到所述会话秘钥;
生成模块,用于基于所述会话秘钥和所述中继随机数,生成机密性保护秘钥和完整性保护秘钥;
通信模块,用于使用生成的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信。
21.根据权利要求20所述的装置,其特征在于,所述连接建立验证消息还包括待验证加密信息,所述待验证加密信息为所述中继UE基于所述中继随机数和所述会话秘钥,生成完整性保护秘钥后,使用生成的完整性保护秘钥,对所述根随机数和所述中继随机数进行加密,得到的信息;
所述装置还包括:
对比模块,用于在所述使用确定的机密性保护秘钥和完整性保护秘钥与所述中继UE进行D2D通信之前,利用确定的完整性保护秘钥对所述根随机数和所述中继随机数进行加密,将加密结果与所述待验证加密信息进行对比;
所述发送模块,还用于如果所述对比模块的对比结果为相同,则确定对所述中继UE认证通过,并向所述中继UE发送连接建立验证响应消息,以使得所述中继UE对所述远端UE进行认证;
所述接收模块,还用于接收所述中继UE发送的连接建立请求接受消息,所述连接建立请求接受消息为所述中继UE对所述远端UE认证通过的情况下,发送的用于表示所述中继UE对所述远端UE认证通过的消息。
22.根据权利要求21所述的装置,其特征在于,所述装置还包括:
加密模块,用于在向所述中继UE发送所述连接建立验证响应消息之前,使用生成的机密性保护秘钥对指定信息加密,得到机密性加密信息;
所述加密模块,还用于使用生成的完整性保护秘钥对所述指定信息进行加密,得到完整性加密信息;
所述生成模块,还用于生成包括所述机密性加密信息和所述完整性加密信息的连接建立验证响应消息,以使得所述中继UE基于所述机密性加密信息和所述完整性加密信息,对所述远端UE进行认证。
23.一种D2D通信的认证系统,包括远端UE、中继UE和近域业务安全管理平台;
所述远端UE,用于执行权利要求8-11任一项所述的方法;
所述中继UE,用于执行权利要求1-4任一项所述的方法;
所述近域业务安全管理平台,用于执行权利要求5-7任一项所述的方法。
24.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-4、5-7或者8-11任一项所述的方法步骤。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4、5-7或者8-11任一项所述的方法步骤。
CN202210592591.0A 2022-05-27 2022-05-27 一种d2d通信的认证方法、装置、系统、电子设备及介质 Pending CN115022850A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210592591.0A CN115022850A (zh) 2022-05-27 2022-05-27 一种d2d通信的认证方法、装置、系统、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210592591.0A CN115022850A (zh) 2022-05-27 2022-05-27 一种d2d通信的认证方法、装置、系统、电子设备及介质

Publications (1)

Publication Number Publication Date
CN115022850A true CN115022850A (zh) 2022-09-06

Family

ID=83071210

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210592591.0A Pending CN115022850A (zh) 2022-05-27 2022-05-27 一种d2d通信的认证方法、装置、系统、电子设备及介质

Country Status (1)

Country Link
CN (1) CN115022850A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065469A1 (zh) * 2022-09-29 2024-04-04 北京小米移动软件有限公司 一种直连链路建立方法、设备及存储介质
WO2024098222A1 (zh) * 2022-11-07 2024-05-16 Oppo广东移动通信有限公司 通信方法和设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065469A1 (zh) * 2022-09-29 2024-04-04 北京小米移动软件有限公司 一种直连链路建立方法、设备及存储介质
WO2024098222A1 (zh) * 2022-11-07 2024-05-16 Oppo广东移动通信有限公司 通信方法和设备

Similar Documents

Publication Publication Date Title
EP3552418B1 (en) Wireless network authorization using a trusted authenticator
WO2018050081A1 (zh) 设备身份认证的方法、装置、电子设备及存储介质
US8140845B2 (en) Scheme for authentication and dynamic key exchange
US7734280B2 (en) Method and apparatus for authentication of mobile devices
US11044084B2 (en) Method for unified network and service authentication based on ID-based cryptography
CN110545252B (zh) 一种认证和信息保护的方法、终端、控制功能实体及应用服务器
US20160309328A1 (en) Terminal authenticating method, apparatus, and system
CN111182545B (zh) 微基站认证方法、终端
CN114268943A (zh) 授权方法及装置
CN111246481B (zh) 微基站认证方法、终端
CN115022850A (zh) 一种d2d通信的认证方法、装置、系统、电子设备及介质
CN111601280B (zh) 一种接入验证方法及装置
CN111246474B (zh) 一种基站认证方法及装置
CN101895882A (zh) 一种WiMAX系统中的数据传输方法、系统及装置
CN104243452B (zh) 一种云计算访问控制方法及系统
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
WO2018076798A1 (zh) 一种传输数据的方法和装置
WO2017020530A1 (zh) 一种增强的wlan证书鉴别方法、装置及系统
EP3820186A1 (en) Method and apparatus for transmitting router security information
WO2022135383A1 (zh) 一种身份鉴别方法和装置
CN112437436B (zh) 一种身份认证方法及装置
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
WO2022135387A1 (zh) 一种身份鉴别方法和装置
WO2022135386A1 (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination