CN117378177A - 一种通信方法、装置及存储介质 - Google Patents
一种通信方法、装置及存储介质 Download PDFInfo
- Publication number
- CN117378177A CN117378177A CN202280001626.7A CN202280001626A CN117378177A CN 117378177 A CN117378177 A CN 117378177A CN 202280001626 A CN202280001626 A CN 202280001626A CN 117378177 A CN117378177 A CN 117378177A
- Authority
- CN
- China
- Prior art keywords
- key
- pruk
- information
- remote terminal
- gpi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 129
- 238000004891 communication Methods 0.000 title claims abstract description 125
- 230000006870 function Effects 0.000 claims description 72
- 230000004044 response Effects 0.000 claims description 44
- 238000009795 derivation Methods 0.000 claims description 42
- 238000012545 processing Methods 0.000 claims description 27
- 230000008569 process Effects 0.000 abstract description 25
- 230000007246 mechanism Effects 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 16
- 238000013475 authorization Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 239000000463 material Substances 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L27/00—Modulated-carrier systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开是关于一种通信方法、装置及存储介质。一种通信方法,应用于邻近业务通信密钥管理功能PKMF,所述方法包括:获取通用引导架构推送GPI信息;基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识;向远端终端发送所述GPI信息。通过本公开能够提高ProSe服务涉及的安全链路建立过程中的安全机制的有效性。
Description
本公开涉及通信技术领域,尤其涉及一种通信方法、装置及存储介质。
随着通信技术的发展,5G邻近业务(Proximity based Services,Prose)服务使远端(Remote)用户设备(User Equipment,UE)能够在用户到网络(UE-to-network,U2N)中继的协助下接入网络。其中,U2N中继,有时也称为中继UE。
相关技术中,若远端终端不在网络覆盖范围内,则该远端终端可以基于中继UE接入网络。其中,远端终端基于中继UE接入网络的过程主要包括两个不同的阶段,一个阶段是发现中继UE的过程,另一个阶段是远端终端与中继UE建立安全链路进行通信的过程。
远端终端与中继UE建立安全链路进行通信的过程中涉及中继UE的共享密钥(K
NRP)的建立。为了生成K
NRP,远端终端需要获取来自邻近业务密钥管理功能(ProSe Key Management Function,PKMF)的ProSe远端用户密钥(ProSe Remote User Key,PRUK)和关联的64位PRUK标识(ID)。其中,远端终端可以使用Prose远端终端密钥请求/响应消息从PKMF处获取其PRUK,或者远端终端也可以通过在进行中继通信建立过程中携带的通用引导架构(generic bootstraping architecture,GBA)推送(PUSH)信息得到一个PRUK。
然而,相关技术中并没有明确如何从PKMF处获取PRUK和PRUK ID,PKMF是如何生成PRUK和PRUK ID的。这种不明确性可能会使ProSe U2N服务涉及的安全链路建立过程中的安全机制失效。
发明内容
为克服相关技术中存在的问题,本公开提供一种通信方法、装置及存储介质。
根据本公开实施例的第一方面,提供一种通信方法,应用于邻近业务通信密钥管理功能PKMF,所述方法包括:
获取通用引导架构推送GPI信息;基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识;向远端终端发送所述GPI信息。
一种实施方式中,所述获取GPI信息,包括:
响应于确定满足PRUK密钥信息生成条件,获取GPI信息。
一种实施方式中,所述确定满足PRUK密钥信息生成条件,包括:
确定所述远端终端被授权使用邻近业务服务,且获取到的所述远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效。
一种实施方式中,所述确定满足PRUK密钥信息生成条件,包括:
确定所述远端终端被授权使用邻近业务服务,且获取到的所述远端终端所发送的PRUK密钥请求消息中不包括PRUK密钥标识。
一种实施方式中,所述向远端终端发送所述GPI信息,包括:
向远端终端发送邻近业务远端终端密钥响应,所述邻近业务远端终端密钥响应中包括所述GPI信息。
一种实施方式中,所述GPI信息中包括根密钥;
所述基于所述GPI信息,生成PRUK密钥信息,包括:
基于密钥衍生函数,生成PRUK密钥;
所述密钥衍生函数的输入参数包括所述根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及所述终端标识参数的长度;
所述特定服务指示参数为所述邻近业务的指示符。
根据本公开实施例第二方面,提供一种通信方法,应用于远端终端,所述方法包括:
获取通用引导架构推送GPI信息;基于所述GPI信息,确定远端用户PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
一种实施方式中,所述获取GPI信息,包括:
接收邻近业务通信密钥管理功能PKMF发送的邻近业务远端终端密钥响应,所述邻近业务远端终端密钥响应中包括所述GPI信息。
一种实施方式中,所述方法还包括:
向PKMF发送PRUK密钥请求消息,所述PRUK密钥请求消息中包括PRUK密钥标识。
一种实施方式中,所述方法还包括:
向邻近业务通信密钥管理功能PKMF发送PRUK密钥请求消息,所述PRUK密钥请求消息中不包括PRUK密钥标识。
一种实施方式中,所述GPI信息中包括根密钥;
所述基于所述GPI信息,生成PRUK密钥信息,包括:
基于密钥衍生函数,生成PRUK密钥;
所述密钥衍生函数的输入参数包括所述根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及所述终端标识参数的长度;
所述特定服务指示参数为所述邻近业务的指示符。
根据本公开实施例第三方面,提供一种通信装置,包括:
获取单元,被配置为获取通用引导架构推送GPI信息;
处理单元,被配置为基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识;
发送单元,被配置为向远端终端发送所述GPI信息。
一种实施方式中,响应于确定满足PRUK密钥信息生成条件,所述获取单元获取GPI信息。
一种实施方式中,所述确定满足PRUK密钥信息生成条件:
确定所述远端终端被授权使用邻近业务服务,且获取到的所述远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效。
一种实施方式中,所述确定满足PRUK密钥信息生成条件:
确定所述远端终端被授权使用邻近业务服务,且获取到的所述远端终端所发送的PRUK密钥请求消息中不包括PRUK密钥标识。
一种实施方式中,所述发送单元被配置为:向远端终端发送邻近业务远端终端密钥响应,所述邻近业务远端终端密钥响应中包括所述GPI信息。
一种实施方式中,所述GPI信息中包括根密钥;
所述处理单元被配置为采用如下方式基于所述GPI信息,生成PRUK密钥信息:
基于密钥衍生函数,生成PRUK密钥;
所述密钥衍生函数的输入参数包括所述根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及所述终端标识参数的长度;
所述特定服务指示参数为所述邻近业务的指示符;
所述密钥衍生函数的输出为所述PRUK密钥。
根据本公开实施例第四方面,提供一种通信装置,包括:
获取单元,被配置为获取通用引导架构推送GPI信息;
处理单元,被配置为基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
一种实施方式中,所述获取单元被配置为:接收邻近业务通信密钥管理功能PKMF发送的邻近业务远端终端密钥响应,所述邻近业务远端终端密钥响应中包括所述GPI信息。
一种实施方式中,所述通信装置还包括发送单元,所述发送单元被配置为:
向PKMF发送PRUK密钥请求消息,所述PRUK密钥请求消息中包括PRUK密钥标 识。
一种实施方式中,所述通信装置还包括发送单元,所述发送单元被配置为:
向邻近业务通信密钥管理功能PKMF发送PRUK密钥请求消息,所述PRUK密钥请求消息中不包括PRUK密钥标识。
一种实施方式中,所述GPI信息中包括根密钥;
所述处理单元被配置为采用如下方式基于所述GPI信息,生成PRUK密钥信息:
基于密钥衍生函数,生成PRUK密钥;
所述密钥衍生函数的输入参数包括所述根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及所述终端标识参数的长度;
所述特定服务指示参数为所述邻近业务的指示符;
所述密钥衍生函数的输出为所述PRUK密钥。
根据本公开实施例第四方面,提供一种通信装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行第一方面或者第一方面任意一种实施方式中所述的通信方法。
根据本公开实施例第五方面,提供一种通信装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行第二方面或者第二方面任意一种实施方式中所述的通信方法。
根据本公开实施例第六方面,提供一种存储介质,所述存储介质中存储有指令,当所述存储介质中的指令由邻近业务通信密钥管理功能PKMF的处理器执行时,使得PKMF能够执行第一方面或者第一方面任意一种实施方式中所述的通信方法。
根据本公开实施例第七方面,提供一种存储介质,所述存储介质中存储有指令,当所述存储介质中的指令由远端终端的处理器执行时,使得远端终端能够执行第二方面或者第二方面任意一种实施方式中所述的通信方法。
本公开的实施例提供的技术方案可以包括以下有益效果:获取GPI信息,并基于GPI信息,确定PRUK密钥信息,对PRUK密钥信息的确定进行了明确,进而能够提高ProSe服务涉及的安全链路建立过程中的安全机制的有效性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限 制本公开。
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的一种无线通信系统示意图。
图2示出了一示例性实施例中示出的一种支持5G Prose服务的通信系统架构图。
图3是根据一示例性实施例示出的一种确定PRUK密钥信息的方法流程图。
图4是根据一示例性实施例示出的一种确定PRUK密钥信息的方法流程图。
图5是根据一示例性实施例示出的一种通信方法流程图。
图6是根据一示例性实施例示出的一种通信方法流程图。
图7是根据一示例性实施例示出的一种通信方法流程图。
图8是根据一示例性实施例示出的一种通信方法流程图。
图9是根据一示例性实施例示出的一种通信方法流程图。
图10是根据一示例性实施例示出的一种通信方法流程图。
图11是根据一示例性实施例示出的一种通信方法流程图。
图12是根据一示例性实施例示出的一种通信方法流程图。
图13是根据一示例性实施例示出的一种通信装置框图。
图14是根据一示例性实施例示出的一种通信装置框图。
图15是根据一示例性实施例示出的一种用于通信的装置的框图。
图16是根据一示例性实施例示出的一种用于通信的装置的框图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。
本公开实施例提供的通信方法可应用于图1所示的无线通信系统中。如图1所示,移动台通过诸如基站等无线接入网网络设备接入到无线接入网中,无线接入网网络设备与核心网网络设备完成数据的回传和前向传递,以进行各种通信服务。
可以理解的是,无线通信系统,是一种提供无线通信功能的网络。无线通信系统可以采用不同的通信技术,例如码分多址(code division multiple access,CDMA)、宽带码分多址(wideband code division multiple access,WCDMA)、时分多址(time division multiple access,TDMA)、频分多址(frequency division multiple access,FDMA)、正交频分多址(orthogonal frequency-division multiple access,OFDMA)、单载波频分多址(single Carrier FDMA,SC-FDMA)、载波侦听多路访问/冲突避免(Carrier Sense Multiple Access with Collision Avoidance)。根据不同网络的容量、速率、时延等因素可以将网络分为2G(generation)网络、3G网络、4G网络或者未来演进网络,如5G网络,5G网络也可称为是新无线网络(New Radio,NR)。为了方便描述,本公开有时会将无线通信网络简称为网络或系统。本公开中网络可包括无线接入网(Radio Access Network,RAN)以及核心网(Core Network,CN)。网络中包括有网络设备,该网络设备可以是无线接入网节点、核心网功能等。其中,无线接入网节点也可以称为基站。网络可以通过网络设备为终端提供网络服务,不同的运营商可以为终端提供不同的网络服务,也可以理解为不同的运营商对应有不同的运营商网络。
移动台(Mobile Station,MS),也可以称为用户设备(User Equipment,UE)、终端(Terminal)、移动终端(Mobile Terminal,MT)等,是一种向用户提供语音和/或数据连通性的设备,例如,终端可以是具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例为:智能手机(Mobile Phone)、口袋计算机(Pocket Personal Computer,PPC)、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、笔记本电脑、平板电脑、可穿戴设备、或者车载设备等。
相关技术中,支持5G邻近业务(Proximity based Services,Prose)服务。Prose业务中,终端基于功能可以分为远端终端(Remote UE)以及中继终端(UE-to-network,U2N)。中继终端提供中继服务,使远端终端能够在中继终端的协助下接入网络。
图2示出了一示例性实施例中示出的一种支持5G Prose服务的通信系统架构图。参阅图2所示,中继终端(即ProSe UE-to-Network Relay或称Relay UE、中继UE)可以使用Uu接口与5G无线接入网(NG Radio Access Network,NG-RAN)进行中继以实现信息交互,以及可以使用PC5接口与远端终端(即5G ProSe Remote UE或称ProSe Remote UE、Remote UE等)进行中继以实现信息交互。其中,中继终端被远端终端发现(Discovery),通过中继终端接入5G系统(5G System,5GS),比如NG-RAN和5G核心网。其中,中继终端可以基于核心网与数据网络之间通信,并支持互联网协议(Internet Protocol,IP)、以太网或非结构化业务类型的单播流量。
相关技术中,远端终端与中继终端之间的通信安全性,可以是基于用户平面进行。例如,通过中继终端的层3进行安全链路建立。其中,在进行安全链路建立时,主要是基于中继终端的共享密钥(K
NRP)建立。为了生成K
NRP,远端终端和邻近业务密钥管理功能 (ProSe Key Management Function,PKMF)需要基于ProSe远端用户密钥(ProSe Remote User Key,PRUK)生成(ProSe远端用户密钥PRUK还可以称为5G PRUK)。然而,相关技术中,对于PRUK以及PRUK ID的生成过程并未明确。例如,远端终端可以基于密钥请求/响应消息从PKMF处获取其PRUK,或者远端终端也可以通过在进行中继通信建立过程中携带的通用引导架构(generic bootstraping architecture,GBA)推送(PUSH)信息得到PRUK。这种不明确性可能会使ProSe服务涉及的安全链路建立过程中的安全机制失效。
有鉴于此,本公开实施例提供一种通信方法,在该通信方法中明确PRUK以及PRUK ID的生成过程。
一种实施方式中,本公开实施例中远端终端和PKMF基于GBA推送信息(GBA push information,GPI)确定PRUK以及PRUK ID。
本公开实施例中为描述方便,将PRUK以及PRUK ID统称为PRUK信息。即,远端终端和PKMF基于GPI确定PRUK密钥信息,PRUK信息包括PRUK以及PRUK ID。
图3是根据一示例性实施例示出的一种确定PRUK密钥信息的方法流程图,如图3所示,确定PRUK密钥信息的方法可以用于远端终端,或应用于PKMF中,包括以下步骤。
在步骤S11中,获取GPI信息。
在步骤S12中,基于GPI信息,确定PRUK密钥信息。
本公开实施例提供的确定PRUK密钥信息的方法中,GPI信息中包括有根密钥,基于该含有根密钥的GPI信息,确定PRUK密钥信息。
一示例中,GPI信息中包括的根密钥为Ks(_ext)_NAF,在确定PRUK密钥信息时,基于包括的Ks(_ext)_NAF的GPI信息,确定PRUK密钥信息。
其中,本公开实施例中,PRUK密钥信息中包括的PRUK密钥,可以基于根密钥Ks(_ext)_NAF生成。其中,PRUK密钥信息中包括的PRUK ID一方面可以是基于GPI信息生成,另一方面可以是GPI信息中包括的PRUK ID。
本公开实施例提供的确定PRUK密钥的方法中,在基于根密钥确定PRUK密钥时,可以基于密钥衍生函数(Key derivation function,KDF)确定PRUK密钥。其中,本公开实施例中,可以将GPI信息中包括的根密钥作为KDF的输入参数,将PRUK作为KDF的输出,最终确定PRUK密钥。
一种实施方式中,本公开实施例中,可以结合设定参数以及GPI中的根密钥,形成KDF的输入,进而将PRUK作为KDF的输出,最终确定PRUK密钥。
图4是根据一示例性实施例示出的一种确定PRUK密钥信息的方法流程图,如图4所示,确定PRUK密钥信息的方法可以用于远端终端,或应用于PKMF中,包括以下步骤。
在步骤S21中,基于密钥衍生函数,生成PRUK密钥。
其中,密钥衍生函数的输入参数包括GPI信息中的根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及终端标识参数的长度。
其中,特定服务指示参数为邻近业务的指示符。
其中,密钥衍生函数的输出为PRUK密钥。
本公开实施例提供的一种确定PRUK密钥信息的方法中,确定PRUK密钥时涉及的密钥衍生函数的输入参数可以包括函数代码参数(FC=TBD),特定服务指示参数(P0)、特定服务指示参数的长度(L0)、终端标识参数(P1)、以及终端标识参数的长度(L1)。
其中,TBD可为不同的数字,例如可为1、2、3、4、5。其中,需要说明的是,本公开实施例中涉及的1、2、3、4、5并没有特殊含义,用于对应密钥衍生函数。
特定服务指示参数P0,用于指示邻近业务服务。例如,P0=特定服务指示(e.g.0x01for"ProSe U2N服务")。
其中,终端标识参数P1例如可以是终端私有标识(Private User ID,IMPI)或者用户永久标识(Subscription Permanent Identifier,SUPI)。
一示例中,本公开实施例中,将GPI信息中包括的根密钥,以及函数代码参数,特定服务指示参数、特定服务指示参数的长度、终端标识参数和终端标识参数的长度,作为密钥衍生函数的输入,将PRUK作为KDF的输出,生成PRUK密钥。
基于本公开实施例提供的PRUK信息生成方法,能够明确基于GPI生成PRUK,进而提高ProSe服务涉及的安全链路建立过程中的安全机制的有效性。
基于上述实施例提供的PRUK信息生成方法的相同构思,提供一种应用于ProSe服务的通信方法。
本公开实施例提供一种应用于PKMF的通信方法,PKMF基于包含根密钥的GPI信息确定PRUK密钥信息,并将GPI发送给远端终端,以实现远端终端通过中继终端的层3进行安全链路建立。
图5是根据一示例性实施例示出的一种通信方法流程图,如图5所示,通信方法用于PKMF中,包括以下步骤。
在步骤S31中,获取GPI信息。
在步骤S32中,基于GPI信息,确定PRUK密钥信息。
在步骤S33中,向远端终端发送GPI信息。
其中,PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
其中,PRUK密钥信息中包括的PRUK ID一方面可以是基于GPI信息生成,另一方 面可以是GPI信息中包括的PRUK ID。
其中,本公开实施例中,获取的GPI信息中包括有根密钥。基于GPI信息中包括的根密钥,生成PRUK密钥。
一示例中,GPI信息中包括的根密钥为Ks(_ext)_NAF,在确定PRUK密钥信息时,基于GPI信息中包括的Ks(_ext)_NAF,生成PRUK密钥。
本公开实施例中,PKMF基于包含根密钥的GPI信息确定PRUK密钥信息,并将确定PRUK密钥信息的GPI发送给远端终端,以便远端终端基于GPI确定PRUK密钥信息,进而实现远端终端通过中继终端的层3进行安全链路建立。
本公开实施例提供的一种通信方法中,响应于PKMF确定满足PRUK密钥信息生成条件,基于包含根密钥的GPI信息,确定PRUK密钥信息。
图6是根据一示例性实施例示出的一种通信方法流程图,如图6所示,通信方法用于PKMF中,包括以下步骤。
在步骤S41中,响应于确定满足PRUK密钥信息生成条件,获取GPI信息。
其中,步骤S42以及步骤S43与上述步骤S32、步骤S33分别相同,本公开实施例在此不再详述。
本公开实施例提供的通信方法中,满足PRUK密钥信息生成条件,可以基于远端终端是否被授权使用ProSe业务服务(例如,ProSe业务服务、ProSe U2N服务等),以及远端终端是否具有可用的PRUK确定。
5G PKMF检查5G ProSe远端终端是否被授权使用ProSe业务服务(例如,ProSe业务服务、ProSe U2N服务等),以及远端终端具有可用的PRUK,来确定是否满足PRUK密钥信息生成条件。
本公开实施例提供的通信方法中,5G PKMF通过使用远端终端的身份标识,确定远端终端是否被授权使用邻近业务服务。进一步的,5G PKMF获取远端终端所发送的PRUK密钥请求消息,并基于PRUK密钥请求消息中是否包括PRUK ID,确定是否需要获取GPI信息,以重新生成PRUK密钥。
一种实施方式中,5G PKMF确定远端终端被授权使用邻近业务服务,且获取到远端终端所发送的PRUK密钥请求消息,且远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效,确定满足PRUK密钥信息生成条件。
图7是根据一示例性实施例示出的一种通信方法流程图,如图7所示,通信方法用于PKMF中,包括以下步骤。
在步骤S51中,确定远端终端被授权使用邻近业务服务,并获取远端终端所发送的 PRUK密钥请求消息。
其中,获取到的远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效。
在步骤S52中,获取GPI信息。
本公开实施例中,PKMF确定远端终端被授权使用邻近业务服务(例如,ProSe业务服务、ProSe U2N服务等),且获取到的远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效的情况下,确定需要获取GPI信息,以重新生成PRUK密钥。
可以理解的是,本公开实施例中PRUK密钥标识失效可以理解为是PRUK密钥标识不在有效期内,或基于策略判断PRUK密钥标识对应的PRUK密钥不可用。
故,本公开实施例中,5G PKMF可以基于GPI信息重新生成PRUK密钥,并重置PRUK ID的过期时间。
另一种实施方式中,5G PKMF确定远端终端被授权使用邻近业务服务,且获取到远端终端所发送的PRUK密钥请求消息,且远端终端所发送的PRUK密钥请求消息中不包括PRUK密钥标识,确定满足PRUK密钥信息生成条件。
图8是根据一示例性实施例示出的一种通信方法流程图,如图8所示,通信方法用于PKMF中,包括以下步骤。
在步骤S61中,确定远端终端被授权使用邻近业务服务,并获取远端终端所发送的PRUK密钥请求消息。
其中,获取到的远端终端所发送的PRUK密钥请求消息中不包括PRUK密钥标识。
在步骤S62中,获取GPI信息。
本公开实施例提供的通信方法中,5G PKMF通过使用远端终端的身份标识,确定远端终端被授权使用邻近业务服务。如果请求中不包含PRUK ID,5G PKMF将重新获取GPI信息,并生成PRUK,以及设置PRUK标识的过期时间。
本公开实施例提供的通信方法中,PKMF将获取到的GPI信息发送给远端终端,以使远端终端基于GPI信息确定PRUK信息。
一种实施方式中,本公开实施例提供的通信方法中,5G PKMF基于获取到的远端终端所发送的PRUK密钥请求消息确定需要获取GPI信息,并生成PRUK的情况下,向远端终端发送GPI信息时,可以基于向远端终端发送的邻近业务远端终端密钥响应发送。即,邻近业务远端终端密钥响应中包括GPI信息。
图9是根据一示例性实施例示出的一种通信方法流程图,如图9所示,通信方法用于PKMF中,包括以下步骤。
在步骤S71中,向远端终端发送邻近业务远端终端密钥响应,邻近业务远端终端密钥 响应中包括GPI信息。
进一步的,本公开实施例提供的通信方法中,若5G PKMF基于获取到的远端终端所发送的PRUK密钥请求消息确定远端终端已有的PRUK密钥标识仍有效,则本公开实施例中,5G PKMF可以向远端终端发送空值,即,无需发送GPI信息。
更进一步的,本公开实施例提供的通信方法中,若确定远端终端未被授权使用邻近业务服务,则5G PKMF可以向远端终端反馈错误响应。
可以理解的是,本公开上述各实施例中涉及的获取GPI信息的过程,可以采用如下方式之一:
方式一:如果远端终端的5G PKMF支持到远端终端的BSF的Zpn接口,则远端终端的5G PKMF可以向BSF请求远端终端的GBA推送信息。
方式二:如果5G PKMF支持到远端终端的BSF的SBI接口,则5G PKMF可以经由SBI接口请求GPI。
方式三:如果远端终端的5G PKMF支持到UE的HSS的PC4a接口,则远端终端的5G PKMF可以向HSS请求远端终端的GBA认证向量(AV)。收到AV后,5G PKMF在本地形成GPI。
方式四:如果5G PKMF与BSF功能共存或集成并支持SBI接口到远端终端的UDM/HSS,则5G PKMF可以经由SBI接口请求GBA AV。收到AV后,5G PKMF在本地形成GPI。
本公开实施例中,5G PKMF获取到GPI信息后,可以基于GPI信息,确定PRUK信息。例如,使用GPI中包括的Ks(_ext)_NAF,生成PRUK密钥。
进一步可以理解的是,本公开实施例提供的通信方法中,PKMF使用GPI中包括的根密钥,例如Ks(_ext)_NAF,生成PRUK密钥。
本公开实施例中,可以基于密钥衍生函数,生成PRUK密钥。
一种实施方式中,本公开实施例中,可以结合密钥衍生函数的设定输入参数以及GPI中的根密钥,形成KDF的输入,进而将PRUK作为KDF的输出,最终确定PRUK密钥。
其中,密钥衍生函数的输入参数包括GPI信息中的根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及终端标识参数的长度。
其中,特定服务指示参数为邻近业务的指示符。
其中,密钥衍生函数的输出为PRUK密钥。
本公开实施例提供的一种确定PRUK密钥信息的方法中,确定PRUK密钥时涉及的密钥衍生函数的输入参数可以包括函数代码参数(FC=TBD),特定服务指示参数(P0)、特 定服务指示参数的长度(L0)、终端标识参数(P1)、以及终端标识参数的长度(L1)。
其中,TBD中可为不同的数字,例如可为1、2、3、4、5。其中,需要说明的是,本公开实施例中涉及的1、2、3、4、5并没有特殊含义,用于对应密钥衍生函数。
特定服务指示参数P0,用于指示邻近业务服务。例如,P0=特定服务指示(e.g.0x01for"ProSe U2N服务")。
其中,终端标识参数P1例如可以是终端私有标识(Private User ID,IMPI)或者用户永久标识(Subscription Permanent Identifier,SUPI)。
一示例中,本公开实施例中,将GPI信息中包括的根密钥,以及函数代码参数,特定服务指示参数、特定服务指示参数的长度、终端标识参数和终端标识参数的长度,作为密钥衍生函数的输入,将PRUK作为KDF的输出,生成PRUK。
基于本公开实施例提供的PRUK信息生成方法,能够明确基于GPI生成PRUK,进而提高ProSe服务涉及的安全链路建立过程中的安全机制的有效性。
基于本公开上述实施例提供的应用于PKMF的通信方法,远端终端可继续执行中继终端发现过程,并与中继终端建立安全链路进行通信。其中,本公开实施例中,为了保证远端终端与中继终端建立安全链路过程中,远程终端需保持使用有效的PRUK密钥和PRUK密钥标识。
本公开实施例中,如果PRUK和PRUK ID失效,并且远程终端在网络覆盖范围内,远程终端可以发送ProSe远端终端密钥请求消息来重新获取PRUK和PRUK ID。如果PRUK和PRUK ID失效且远程终端不在网络覆盖范围内,远程终端可以发送包含已失效PRUK ID的DCR消息来获取新的PRUK和PRUK ID。
一种实施方式中,响应于PKMF确定远端终端被授权使用中继服务,且已有PRUK密钥失效的情况下,可以获取GPI信息,并基于GPI信息,确定PRUK信息。
一示例中,本公开实施例提供的通信方法,PKMF确定远端终端被授权使用中继服务,且基于GPI信息生成的PRUK密钥失效的情况下,可以重新获取GPI信息,并基于重新获取的GPI信息,确定PRUK信息。
本公开实施例中,远端终端的PKMF可以基于中继终端的PKMF转发的密钥请求消息,确定远端终端是否被授权使用中继服务,例如,可以基于密钥请求消息中包含的PRUK ID和RSC,确定远端终端是否被授权使用中继服务。如果密钥请求消息中包含SUCI,则远端终端的5G PKMF应请求5G ProSe远程终端的UDM去隐藏SUCI以获得SUPI。如果远端终端未被授权使用中继服务,5G PKMF则不会为远端终端生成PRUK信息。
另一示例中,本公开实施例提供的通信方法中,远端终端的PKMF确定远端终端被授 权使用中继服务,且密钥请求消息中包含PRUK密钥标识,进一步确定密钥请求消息中包括的PRUK密钥标识是否失效,若密钥请求消息中包含的PRUK密钥标识失效,则确定需要获取GPI信息,并基于GPI信息确定PRUK信息。
其中,可以理解的是,本公开实施例中,远端终端与中继终端建立安全链路过程基于GPI信息确定PRUK信息的过程,可以参阅上述各实施例涉及的相关描述,在此不再详述。
本公开实施例提供的通信方法,PKMF可以基于GPI信息确定PRUK信息,对PKMF生成PRUK密钥的过程进行明确,能够提高ProSe服务涉及的安全链路建立过程中的安全机制的有效性。
基于相同的构思,本公开实施例还提供一种应用于远端终端确定PRUK信息的通信方法。
图10是根据一示例性实施例示出的一种通信方法流程图,如图10所示,通信方法用于远端终端中,包括以下步骤。
在步骤S81中,获取GPI信息。
在步骤S82中,基于GPI信息,确定PRUK密钥信息。
其中,PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
其中,PRUK密钥信息中包括的PRUK ID一方面可以是基于GPI信息生成,另一方面可以是GPI信息中包括的PRUK ID。
其中,本公开实施例中,获取的GPI信息中包括有根密钥。基于GPI信息中包括的根密钥,生成PRUK密钥。
一示例中,GPI信息中包括的根密钥为Ks(_ext)_NAF,在确定PRUK密钥信息时,基于GPI信息中包括的Ks(_ext)_NAF,生成PRUK密钥。
其中,本公开实施例中,远端终端可以接收PKMF发送的PRUK密钥响应,该PRUK密钥响应中包括GPI信息。
其中,本公开实施例中,远端终端接收的GPI信息,可以由远端终端在确定需要生成PRUK信息的情况下,向PKMF发送PRUK密钥请求消息触发。
例如,本公开实施例中,如果远端终端没有可用的PRUK,远端终端需要连接到5G PKMF并获取GPI信息以确定PRUK。如果远端终端的已有PRUK和PRUK ID失效,远端终端可以通过直接向PKMF发送请求或通过中继终端转发来获取GPI信息以确定新的PRUK和PRUK ID。
一种实施方式中,远端终端向PKMF发送PRUK密钥请求消息,PRUK密钥请求消息中包括PRUK密钥标识,该PRUK密钥标识失效。远端终端接收PKMF发送的PRUK密 钥响应,该PRUK密钥响应中包括GPI信息。
另一种实施方式中,远端终端向PKMF发送PRUK密钥请求消息,PRUK密钥请求消息中未包括PRUK密钥标识。远端终端接收PKMF发送的PRUK密钥响应,该PRUK密钥响应中包括GPI信息。
本公开实施例中,可以基于密钥衍生函数,生成PRUK密钥。
一种实施方式中,本公开实施例中,可以结合密钥衍生函数的设定输入参数以及GPI中的根密钥,形成KDF的输入,进而将PRUK作为KDF的输出,最终确定PRUK密钥。
其中,密钥衍生函数的输入参数包括GPI信息中的根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及终端标识参数的长度。
其中,特定服务指示参数为邻近业务的指示符。
其中,密钥衍生函数的输出为PRUK密钥。
本公开实施例提供的一种确定PRUK密钥信息的方法中,确定PRUK密钥时涉及的密钥衍生函数的输入参数可以包括函数代码参数(FC=TBD),特定服务指示参数(P0)、特定服务指示参数的长度(L0)、终端标识参数(P1)、以及终端标识参数的长度(L1)。
其中,TBD中可为不同的数字,例如可为1、2、3、4、5。
其中,需要说明的是,本公开实施例中涉及的1、2、3、4、5并没有特殊含义,用于对应密钥衍生函数。
特定服务指示参数P0,用于指示邻近业务符。例如,P0=特定服务指示(e.g.0x01for"ProSe U2N服务")。
其中,终端标识参数P1例如可以是终端私有标识(Private User ID,IMPI)或者用户永久标识(Subscription Permanent Identifier,SUPI)。
可以理解的是,本公开实施例中远端终端可以基于GPI信息,确定PRUK信息,例如,可以基于GPI信息中包括的根密钥,例如Ks(_ext)_NAF生成PRUK密钥。
可以理解的是,本公开实施例中提供的应用于远端终端确定PRUK的通信方法,与PKMF确定PRUK的实施过程类似,具体可参考上述实施例的相关描述,在此不再详述。
其中,本公开实施例提供的应用于远端终端的确定PRUK的通信方法,无论远端终端是否在网络覆盖范围内,远端终端可以生成PRUK密钥,并设置PRUK密钥标识的有效期限,进而使得远端终端能够根据需求确定有效的PRUK密钥和PRUK密钥标识,并接入网络。
基于本公开上述实施例提供的通信方法,本公开实施例提供一种远端终端与PKMF交互实现安全链路建立,并进行Prose业务的方法。
图11是根据一示例性实施例示出的一种通信方法流程图,如图11所示,包括以下步骤。
在步骤0a中,远端终端从其本地公共陆地移动网络(Home Public Land Mobile Network,HPLMN)的5G DDNMF(Direct Discovery Name Management Function)获取5G PKMF地址。或者,远端终端可以由策略控制功能(Policy Control Function,PCF)提供5G PKMF地址。如果PCF为远端终端提供了5G PKMF地址,则远端终端可以直接访问5G PKMF,而无需向5G DDNMF请求。
在步骤0b中,远端终端应经由PC8接口与5G PKMF建立安全连接。如果使用GBA,则PC8接口的安全性依赖于Ua安全性。如果使用AKMA,则依赖于Ua*安全性。远端终端的5G PKMF将检查远端终端是否被授权使用中继服务,并且如果远端终端被授权,则远端终端的5G PKMF将发现安全材料提供给远端终端。如果远端终端提供访问过的网络列表,远端终端的PKMF应向提供中继服务的中继终端的5G PKMF请求发现安全材料。
其中,5G PKMF可以本地配置UE授权信息。否则,5G PKMF与UDM交互以检索UE的授权信息。
在步骤0c中,中继终端以与步骤0a中所述相同的方式从其HPLMN中的5G DDNMF获取5G PKMF地址。
在步骤0d中,中继终端应经由PC8接口与5G PKMF建立安全连接。中继终端的5G PKMF应检查中继终端是否被授权提供中继服务,并且如果授权检查通过,则中继终端的5G PKMF为中继终端提供发现安全材料。
在步骤1a中,远端终端向其5G PKMF发送包含UE身份信息(例如,UE的SUCI)的PRUK请求消息。该消息表明远端终端正在向5G PKMF请求PRUK。如果远端终端已经具有来自该5G PKMF的PRUK,则消息还应包含PRUK的PRUK ID。
在步骤1b中,5G PKMF检查远端终端是否被授权使用Prose服务。其中,可以通过检查远端终端的身来完成的。如果本地远端终端的授权信息不可用,5G PKMF应向远端终端的UDM请求授权信息。如果请求中包含可用的PRUK ID,5G PKMF将重置PRUK和PRUK ID的过期时间,即重新确定PRUK和PRUK ID。
其中,如果5G PKMF需要重新确定PRUK,5G PKMF需要采用如下方式之一获取GPI,并基于GPI,确定PRUK和PRUKID。GPI包括P-TID字段中的PRUK ID和NAF SA中的Ks(_ext)_NAF。
方式一:如果远端终端的5G PKMF支持到远端终端的BSF的Zpn接口,则远端终端的5G PKMF可以向BSF请求远端终端的GBA推送信息。
方式二:如果5G PKMF支持到远端终端的BSF的SBI接口,则5G PKMF可以经由SBI接口请求GPI。
方式三:如果远端终端的5G PKMF支持到UE的HSS的PC4a接口,则远端终端的5G PKMF可以向HSS请求远端终端的GBA认证向量(AV)。收到AV后,5G PKMF在本地形成包括P-TID字段中的PRUK ID的GPI。
方式四:如果5G PKMF与BSF功能共存或集成并支持SBI接口到远端终端的UDM/HSS,则5G PKMF可以经由SBI接口请求GBA AV。收到AV后,5G PKMF在本地形成包括P-TID字段中的PRUK ID的GPI。
可以理解的是,如果远端终端被授权使用ProSe服务,且本地存储之前的PRUK和PRUK ID,则5G PKMF删除任何先前存储的该用户的PRUK和PRUK ID,并存储新确定的PRUK和PRUK ID。
在步骤1c中,5G PKMF返回PRUK密钥响应。
其中,PRUK密钥响应中包括GPI信息
可以理解的是,如果远端终端未被授权使用ProSe服务,则5G PKMF返回错误响应。
可以理解的是,如果远端终端发送的ProSe远程用户密钥请中携带的PRUK ID对应的PRUK没有过期,则5G PKMF返回空值。
在步骤2中,使用发现参数和发现安全材料在远端终端和中继终端之间执行发现过程。
在步骤3中,远端终端向中继终端发送包含PRUK ID或SUCI、中继终端服务的中继服务代码(RSC)和KNRP新鲜度参数1的直接通信请求(DCR)。
其中,可以理解的是,为了保护中继终端服务,远端终端必须获得有效的PRUK和PRUK ID。如果PRUK和PRUK ID失效,并且远端终端在网络覆盖范围内,远端终端可以发送ProSe远程用户密钥请求消息来刷新PRUK和PRUK ID。如果PRUK和PRUK ID失效且远端终端不在网络覆盖范围内,远端终端可以发送包含旧PRUK ID的DCR消息来获取新的PRUK ID。
在步骤4a中,中继终端向其5G PKMF发送包含PRUK ID或SUCI、RSC和KNRP新鲜度参数1的密钥请求消息。
在步骤4b中,中继终端的5G PKMF收到密钥请求消息后,应检查中继终端是否被授权向远端终端提供中继服务。如果本地中继终端的授权信息不可用,5G PKMF应向中继终端的UDM请求授权信息。如果中继终端被授权提供中继服务,则中继终端的5G PKMF向5G远端终端的5G PKMF发送带有PRUK ID或SUCI的密钥请求。
在步骤4c中,在收到来自中继终端的5G PKMF的密钥请求消息后,远端终端的5G PKMF应检查远端终端是否被授权使用中继服务。远端终端的5G PKMF基于密钥请求消息中包含的PRUK ID和RSC进行中继服务是否被授权的检查。如果密钥请求消息中包含SUCI,则远端终端的5G PKMF应请求远端终端的UDM去隐藏SUCI以获得SUPI。如果本地授权信息不可用,5G PKMF应向远端终端的UDM请求授权信息。如果PRUK ID已过期,则5G PKMF以与步骤1b中所述相同的方式执行刷新过程。
在步骤4d中,远端终端的5G PKMF应生成KNRP新鲜度参数2,并使用PRUK、RSC、KNRP新鲜度参数1和KNRP新鲜度参数2导出KNRP。然后,远端终端的5G PKMF发送包含KNRP和KNRP新鲜度参数2密钥响应消息。
在步骤4e中,中继终端的5G PKMF向中继终端发送密钥响应消息,该密钥响应消息中包含中继服务的PC5安全策略。
在步骤5a中,中继终端应从KNRP导出会话密钥(KNRP-SESS),然后导出机密性密钥(NRPEK)和完整性密钥(NRPIK)。中继终端向远端终端发送直接安全模式命令消息。
在步骤5b中,如果远端终端收到包含GPI的消息,它会处理GPI。远端终端应从Ks(_ext)_NAF中导出PRUK,并从GPI中确定PRUK ID。
远端终端应从其PRUK、RSC、KNRP新鲜度参数1和接收到的KNRP新鲜度参数2导出KNRP。然后它应使用与中继终端相同的方式导出会话密钥(KNRP-SESS)和机密密钥(NRPEK)和完整性密钥(NRPIK),并且验证直接安全模式命令。直接安全模式命令的成功验证向远端终端确保中继终端被授权提供中继服务。
在步骤5c中,远端终端发送直接安全模式完成消息响应中继终端。
在步骤5d中,在接收到直接安全模式完成消息后,中继终端应验证直接安全模式完成消息。直接安全模式完成消息的成功验证向中继终端确保远端终端被授权获得中继服务。
在步骤5e中,中继终端验证成功后,向远端终端响应直接通信接收消息,以完成PC5连接建立过程。
在步骤6中,远端终端和中继终端通过安全PC5链路,进行基于中继服务的Prose服务。
本公开实施例中,远端终端在发现U2N中继UE之前不请求PRUK。
图12是根据一示例性实施例示出的一种通信方法流程图,如图12所示,包括以下步骤。
其中,图12的步骤0a至步骤1,与图11中的执行过程相同。
在步骤2中,远端终端向中继终端发送包含PRUK ID或SUCI、中继终端服务的中继 服务代码(RSC)和KNRP新鲜度参数1的直接通信请求(DCR)。如果远端终端已经执行了基于用户平面的Prose U2N中继服务过程并且具有一个有效的PRUK ID,它应发送包含PRUK ID的DCR消息。
其中,步骤3a.与图11中的步骤4a相同。
在步骤3b中,在收到来自中继终端的5G PKMF的密钥请求消息后,远端终端的5G PKMF将检查远端终端是否被授权使用中继服务。如果密钥请求消息中包含SUCI,则远端终端的5G PKMF应请求远端终端的UDM去隐藏SUCI以获得SUPI。中继服务授权检查应基于密钥请求消息中包含的SUCI和RSC.
如果密钥请求消息中包含PRUK ID,则中继服务授权检查应基于密钥请求消息中包含的PRUK ID和RSC。如果本地远端终端的授权信息不可用,5G PKMF应向远端终端的UDM请求授权信息。
在步骤3c中,如果密钥请求消息中包含的PRUK ID有效,则可以跳过此步骤。如果需要新的PRUK,5G PKMF应执行获取GPI,并确定PRUK信息的过程。
在步骤3d中,远端终端的5G PKMF应生成KNRP新鲜度参数2,并使用PRUK、RSC、KNRP新鲜度参数1和KNRP新鲜度参数导出KNRP。然后,远端终端的5G PKMF发送包含KNRP和KNRP新鲜度参数2的密钥响应消息。如果5G PKMF重新获取了GPI信息,该消息应包括GPI。GPI包括P-TID字段中的PRUK ID和NAF SA中的Ks(_ext)_NAF。
其中,步骤3e、步骤4a与图11中的步骤4e以及步骤5a相同。
在步骤4b中,远端终端处理GPI。远端终端从Ks(_ext)_NAF中导出PRUK,并从GPI中确定PRUK ID。5GProSe远端终端应从其PRUK、RSC、KNRP新鲜度参数1和接收到的KNRP新鲜度参数2导出KNRP。然后它应使用与中继终端相同的方式导出会话密钥(KNRP-SESS)和机密密钥(NRPEK)和完整性密钥(NRPIK),并且处理直接安全模式命令。直接安全模式命令的成功验证向5G ProSe确保中继终端被授权提供中继服务。
其中,步骤4c至步骤5与图11中步骤5c至步骤6相同。
本公开实施例提供的通信方法,明确了在用户平面上的PC5U2N中继链路建立过程中基于GPI信息确定PRUK和PRUK ID。并且,PRUK推导函数能够保持在用户平面和控制平面上的解决方案之间的对齐。更进一步的,无论远程终端是否在网络覆盖范围内,即使远端终端只有无效的PRUK和PRUK ID,也可以进行PRUK和PRUK ID的更新,以确定远端终端能够使用中继服务访问5G网络。并且,本公开实施例可以确保5G PKMF通过中继终端的辅助,将更新的PRUK和PRUK ID安全地提供给远程终端。
需要说明的是,本领域内技术人员可以理解,本公开实施例上述涉及的各种实施方式 /实施例中可以配合前述的实施例使用,也可以是独立使用。无论是单独使用还是配合前述的实施例一起使用,其实现原理类似。本公开实施中,部分实施例中是以一起使用的实施方式进行说明的。当然,本领域内技术人员可以理解,这样的举例说明并非对本公开实施例的限定。
基于相同的构思,本公开实施例还提供一种通信装置。
可以理解的是,本公开实施例提供的通信装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本公开实施例中所公开的各示例的单元及算法步骤,本公开实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本公开实施例的技术方案的范围。
图13是根据一示例性实施例示出的一种通信装置框图。参照图13,通信装置100,包括获取单元101、处理单元102和发送单元103。
获取单元101,被配置为获取通用引导架构推送GPI信息。
处理单元102,被配置为基于GPI信息,确定邻近业务远端用户的PRUK密钥信息,PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
发送单元103,被配置为向远端终端发送GPI信息。
一种实施方式中,响应于确定满足PRUK密钥信息生成条件,获取单元101获取GPI信息。
一种实施方式中,确定满足PRUK密钥信息生成条件:
确定远端终端被授权使用邻近业务服务,且获取到的远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效。
一种实施方式中,确定满足PRUK密钥信息生成条件:
确定远端终端被授权使用邻近业务服务,且获取到的远端终端所发送的PRUK密钥请求消息中不包括PRUK密钥标识。
一种实施方式中,发送单元103被配置为:向远端终端发送邻近业务远端终端密钥响应,邻近业务远端终端密钥响应中包括GPI信息。
一种实施方式中,GPI信息中包括根密钥。
处理单元102被配置为采用如下方式基于GPI信息,生成PRUK密钥信息:
基于密钥衍生函数,生成PRUK密钥。
密钥衍生函数的输入参数包括根密钥,并包括以下至少一项:特定服务指示参数、特 定服务指示参数的长度、终端标识参数、以及终端标识参数的长度。
特定服务指示参数为邻近业务的指示符。
密钥衍生函数的输出为PRUK密钥。
图14是根据一示例性实施例示出的一种通信装置框图。参照图14,通信装置200,包括获取单元201和处理单元202。
获取单元201,被配置为获取通用引导架构推送GPI信息。
处理单元202,被配置为基于GPI信息,确定邻近业务远端用户的PRUK密钥信息,PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
一种实施方式中,获取单元201被配置为:接收邻近业务通信密钥管理功能PKMF发送的邻近业务远端终端密钥响应,邻近业务远端终端密钥响应中包括GPI信息。
一种实施方式中,通信装置还包括发送单元203,发送单元203被配置为:
向PKMF发送PRUK密钥请求消息,PRUK密钥请求消息中包括PRUK密钥标识。
一种实施方式中,通信装置200还包括发送单元203,发送单元203被配置为:
向邻近业务通信密钥管理功能PKMF发送PRUK密钥请求消息,PRUK密钥请求消息中不包括PRUK密钥标识。
一种实施方式中,GPI信息中包括根密钥。
处理单元202被配置为采用如下方式基于GPI信息,生成PRUK密钥信息:
基于密钥衍生函数,生成PRUK密钥。
密钥衍生函数的输入参数包括根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及终端标识参数的长度。
特定服务指示参数为邻近业务的指示符。
密钥衍生函数的输出为PRUK密钥。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图15是根据一示例性实施例示出的一种用于通信的装置300的框图。例如,装置300可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图15,装置300可以包括以下一个或多个组件:处理组件302,存储器304,电力组件306,多媒体组件308,音频组件310,输入/输出(I/O)接口312,传感器组件314,以及通信组件316。
处理组件302通常控制装置300的整体操作,诸如与显示,电话呼叫,数据通信,相 机操作和记录操作相关联的操作。处理组件302可以包括一个或多个处理器320来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件302可以包括一个或多个模块,便于处理组件302和其他组件之间的交互。例如,处理组件302可以包括多媒体模块,以方便多媒体组件308和处理组件302之间的交互。
存储器304被配置为存储各种类型的数据以支持在装置300的操作。这些数据的示例包括用于在装置300上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器304可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电力组件306为装置300的各种组件提供电力。电力组件306可以包括电源管理系统,一个或多个电源,及其他与为装置300生成、管理和分配电力相关联的组件。
多媒体组件308包括在所述装置300和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件308包括一个前置摄像头和/或后置摄像头。当装置300处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件310被配置为输出和/或输入音频信号。例如,音频组件310包括一个麦克风(MIC),当装置300处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器304或经由通信组件316发送。在一些实施例中,音频组件310还包括一个扬声器,用于输出音频信号。
I/O接口312为处理组件302和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件314包括一个或多个传感器,用于为装置300提供各个方面的状态评估。例如,传感器组件314可以检测到装置300的打开/关闭状态,组件的相对定位,例如所述组件为装置300的显示器和小键盘,传感器组件314还可以检测装置300或装置300一个组件的位置改变,用户与装置300接触的存在或不存在,装置300方位或加速/减速和装置 300的温度变化。传感器组件314可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件314还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件314还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件316被配置为便于装置300和其他设备之间有线或无线方式的通信。装置300可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件316经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件316还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置300可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器304,上述指令可由装置300的处理器320执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
图16是根据一示例性实施例示出的一种用于通信的装置400的框图。例如,装置400可以被提供为一服务器。参照图16,装置400包括处理组件422,其进一步包括一个或多个处理器,以及由存储器432所代表的存储器资源,用于存储可由处理组件422的执行的指令,例如应用程序。存储器432中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件422被配置为执行指令,以执行上述方法。
装置400还可以包括一个电源组件426被配置为执行装置400的电源管理,一个有线或无线网络接口450被配置为将装置400连接到网络,和一个输入输出(I/O)接口458。装置400可以操作基于存储在存储器432的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
在示例性实施例中,装置400可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器432,上述指令可由装置400的处理组件422执行以完成上述方法。例如, 所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
进一步可以理解的是,本公开中“多个”是指两个或两个以上,其它量词与之类似。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
进一步可以理解的是,术语“第一”、“第二”等用于描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开,并不表示特定的顺序或者重要程度。实际上,“第一”、“第二”等表述完全可以互换使用。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。
进一步可以理解的是,本公开实施例中尽管在附图中以特定的顺序描述操作,但是不应将其理解为要求按照所示的特定顺序或是串行顺序来执行这些操作,或是要求执行全部所示的操作以得到期望的结果。在特定环境中,多任务和并行处理可能是有利的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利范围来限制。
Claims (17)
- 一种通信方法,其特征在于,应用于邻近业务通信密钥管理功能PKMF,所述方法包括:获取通用引导架构推送GPI信息;基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识;向远端终端发送所述GPI信息。
- 根据权利要求1所述的方法,其特征在于,所述获取GPI信息,包括:响应于确定满足PRUK密钥信息生成条件,获取GPI信息。
- 根据权利要求2所述的方法,其特征在于,所述确定满足PRUK密钥信息生成条件,包括:确定所述远端终端被授权使用邻近业务服务,且获取到的所述远端终端所发送的PRUK密钥请求消息中包括的PRUK密钥标识失效。
- 根据权利要求2所述的方法,其特征在于,所述确定满足PRUK密钥信息生成条件,包括:确定所述远端终端被授权使用邻近业务服务,且获取到的所述远端终端所发送的PRUK密钥请求消息中不包括PRUK密钥标识。
- 根据权利要求1至4中任意一项所述的方法,其特征在于,所述向远端终端发送所述GPI信息,包括:向远端终端发送邻近业务远端终端密钥响应,所述邻近业务远端终端密钥响应中包括所述GPI信息。
- 根据权利要求1至5中任意一项所述的方法,其特征在于,所述GPI信息中包括根密钥;所述基于所述GPI信息,生成PRUK密钥信息,包括:基于密钥衍生函数,生成PRUK密钥;所述密钥衍生函数的输入参数包括所述根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及所述终端标识参数的长度;所述特定服务指示参数为所述邻近业务的指示符。
- 一种通信方法,其特征在于,应用于远端终端,所述方法包括:获取通用引导架构推送GPI信息;基于所述GPI信息,确定远端用户PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
- 根据权利要求7所述的方法,其特征在于,所述获取GPI信息,包括:接收邻近业务通信密钥管理功能PKMF发送的邻近业务远端终端密钥响应,所述邻近业务远端终端密钥响应中包括所述GPI信息。
- 根据权利要求8所述的方法,其特征在于,所述方法还包括:向PKMF发送PRUK密钥请求消息,所述PRUK密钥请求消息中包括PRUK密钥标识。
- 根据权利要求8所述的方法,其特征在于,所述方法还包括:向邻近业务通信密钥管理功能PKMF发送PRUK密钥请求消息,所述PRUK密钥请求消息中不包括PRUK密钥标识。
- 根据权利要求7至10中任意一项所述的方法,其特征在于,所述GPI信息中包括根密钥;所述基于所述GPI信息,生成PRUK密钥信息,包括:基于密钥衍生函数,生成PRUK密钥;所述密钥衍生函数的输入参数包括所述根密钥,并包括以下至少一项:特定服务指示参数、特定服务指示参数的长度、终端标识参数、以及所述终端标识参数的长度;所述特定服务指示参数为所述邻近业务的指示符。
- 一种通信装置,其特征在于,包括:获取单元,被配置为获取通用引导架构推送GPI信息;处理单元,被配置为基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识;发送单元,被配置为向远端终端发送所述GPI信息。
- 一种通信装置,其特征在于,包括:获取单元,被配置为获取通用引导架构推送GPI信息;处理单元,被配置为基于所述GPI信息,确定邻近业务远端用户的PRUK密钥信息,所述PRUK密钥信息包括PRUK密钥以及PRUK密钥标识。
- 一种通信装置,其特征在于,包括:其中,所述处理器被配置为:执行权利要求1至6中任意一项所述的通信方法。
- 一种通信装置,其特征在于,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为:执行权利要求7至11中任意一项所述的通信方法。
- 一种存储介质,其特征在于,所述存储介质中存储有指令,当所述存储介质中的指令由邻近业务通信密钥管理功能PKMF的处理器执行时,使得PKMF能够执行权利要求1至6中任意一项所述的通信方法。
- 一种存储介质,其特征在于,所述存储介质中存储有指令,当所述存储介质中的指令由远端终端的处理器执行时,使得远端终端能够执行权利要求7至11中任意一项所述的通信方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2022/091810 WO2023216081A1 (zh) | 2022-05-09 | 2022-05-09 | 一种通信方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117378177A true CN117378177A (zh) | 2024-01-09 |
Family
ID=88729493
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280001626.7A Pending CN117378177A (zh) | 2022-05-09 | 2022-05-09 | 一种通信方法、装置及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117378177A (zh) |
WO (1) | WO2023216081A1 (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9986431B2 (en) * | 2015-08-17 | 2018-05-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for direct communication key establishment |
CN110169102B (zh) * | 2017-07-30 | 2021-05-18 | 华为技术有限公司 | 隐私保护的方法及设备 |
KR20230074572A (ko) * | 2020-10-02 | 2023-05-30 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | Ue-대-네트워크 릴레이 액세스를 위한 키 관리 |
CN116458109A (zh) * | 2020-10-30 | 2023-07-18 | 华为技术有限公司 | 密钥获取方法和通信装置 |
-
2022
- 2022-05-09 CN CN202280001626.7A patent/CN117378177A/zh active Pending
- 2022-05-09 WO PCT/CN2022/091810 patent/WO2023216081A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2023216081A1 (zh) | 2023-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10313870B2 (en) | Identity verification method and apparatus, and storage medium | |
CN107454660B (zh) | 鉴权失败后的驻网方法和装置 | |
CN108702288B (zh) | 数据传输方法、设备及系统 | |
CN113407427A (zh) | 校验信息处理方法及装置、终端设备及存储介质 | |
CN106211160B (zh) | 接入网络的方法及装置 | |
EP4319424A1 (en) | Service flow processing method, service flow processing apparatus, and storage medium | |
CN117378177A (zh) | 一种通信方法、装置及存储介质 | |
CN115486102B (zh) | 一种策略确定方法、策略确定装置及存储介质 | |
CN112055977B (zh) | 业务的切片激活方法、业务的切片激活装置及存储介质 | |
WO2024031523A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
WO2023240575A1 (zh) | 一种中继通信方法、通信装置及通信设备 | |
CN112910906B (zh) | 数据访问方法及装置、移动终端及存储介质 | |
CN117643088A (zh) | 密钥生成方法及装置、通信设备及存储介质 | |
CN117158046A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
CN117597957A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
CN117882352A (zh) | 一种信息传输方法、装置、通信设备及存储介质 | |
CN117882052A (zh) | 授权撤销方法及装置、存储介质 | |
CN117795915A (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
CN117256166A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
CN117795917A (zh) | 密钥生成方法及装置、通信设备及存储介质 | |
CN114390525A (zh) | 一种网络接入方法、装置及电子设备 | |
CN116803113A (zh) | 信息处理方法、装置、通信设备及存储介质 | |
CN117501728A (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
CN117597958A (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
CN117957913A (zh) | 接入网络的方法、装置及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |