CN117998356A - 身份认证方法、装置及用户设备 - Google Patents
身份认证方法、装置及用户设备 Download PDFInfo
- Publication number
- CN117998356A CN117998356A CN202211347567.7A CN202211347567A CN117998356A CN 117998356 A CN117998356 A CN 117998356A CN 202211347567 A CN202211347567 A CN 202211347567A CN 117998356 A CN117998356 A CN 117998356A
- Authority
- CN
- China
- Prior art keywords
- identity authentication
- authentication mode
- unicast link
- challenge
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 230000004044 response Effects 0.000 claims abstract description 143
- 230000000977 initiatory effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 22
- 238000004891 communication Methods 0.000 abstract description 5
- 239000002699 waste material Substances 0.000 abstract description 3
- 230000011664 signaling Effects 0.000 description 21
- 238000009795 derivation Methods 0.000 description 12
- 230000002457 bidirectional effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 241000497429 Obus Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种身份认证方法、装置及用户设备,涉及通信技术领域,该方法应用于第一UE,该方法包括:发送单播链路建立请求消息,单播链路建立请求消息包括:第一密钥建立信息容器,第一密钥建立信息容器包括身份认证方式集合和第一挑战值;接收第二UE发送的单播链路认证请求消息,单播链路认证请求消息包括:第二密钥建立信息容器,第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;根据第二UE选择的身份认证方式、第一数据和第一挑战应答,对第二UE进行身份认证。如此,实现了在单播链路建立过程中,通过协商进行身份认证,避免系统资源的浪费。
Description
技术领域
本申请涉及通信技术领域,尤其是涉及一种身份认证方法、装置及用户设备。
背景技术
新空口(New Radio,NR)PC5单播通信,需要进行双向的身份认证,还需要支持PC5单播信令和数据的加密和完整性保护。和蜂窝通信类似,加密密钥和完整性保护密钥由共享根密钥派生得到。3GPP规定,NR PC5单播的根密钥通过身份认证过程派生得到。然而,现有技术中未规定用户设备(User Equipment,UE)如何进行身份认证。
发明内容
本申请的目的在于提供一种身份认证方法、装置及设备,从而解决目前未规定UE如何进行身份认证的问题。
第一方面,为了达到上述目的,本申请实施例提供一种身份认证方法,应用于第一UE,包括:
发送单播链路建立请求消息,所述单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
接收第二UE发送的单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;
根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证。
第二方面,为了达到上述目的,本申请实施例提供一种身份认证方法,其特征在于,应用于第二UE,包括:
接收第一UE发送的单播链路建立请求消息,所述单播链路建立请求消息包括第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
在确定所述单播链路建立请求消息对应的业务为目标业务的情况下,向所述第一UE发送单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。
第三方面,为了达到上述目的,本申请实施例提供一种身份认证装置,应用于第一UE,包括:
第一发送模块,用于发送单播链路建立请求消息,所述单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
第一接收模块,用于接收第二UE发送的单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;
认证模块,用于根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证。
第四方面,为了达到上述目的,本申请实施例提供一种身份认证装置,应用于第二UE,包括:
第一接收模块,用于接收第一UE发送的单播链路建立请求消息,所述单播链路建立请求消息包括第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
第一发送模块,用于在确定所述单播链路建立请求消息对应的业务为目标业务的情况下,向所述第一UE发送单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。
第五方面,为了达到上述目的,本申请实施例提供一种用户设备,包括收发机、存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序,,所述处理器执行所述计算机程序时实现如第一方面所述的身份认证方法,或者,实现如第二方面所述的身份认证方法。
第六方面,为了达到上述目的,本申请实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的身份认证方法,或者,实现如第二方面所述的身份认证方法。
本申请的上述技术方案至少具有如下有益效果:
本申请实施例的身份认证方法,首先,第一UE发送单播链路建立请求消息,所述单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;然后,第一UE接收第二UE发送的单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;最后,第一UE根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证。如此,实现了在单播链路建立过程中,通过协商确定身份认证方式,并利用确定的身份认证方式进行身份认证,以确定通信对象的身份,避免系统资源的浪费。
附图说明
图1为PC5单播链路密钥架构的示意图;
图2为本申请实施例中的身份认证方法的流程示意图之一;
图3为本申请实施例中的身份认证方法的流程示意图之二;
图4为本申请实施例中的身份认证装置的结构示意图之一;
图5为本申请实施例中的身份认证装置的结构示意图之二;
图6为本申请实施例中的用户设备的结构示意图。
具体实施方式
为使本申请要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本申请的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本申请的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
在进行本申请实施例的说明时,首先对下面描述中所用到的一些概念进行解释说明。
一、PC5单播链路使用的4层密钥架构如图1所示,其中,不同的密钥层的描述如下:
长期凭证(Long term credentials),提供给UE并构成PC5单播链路安全根凭证。该凭证可能包括对称密钥或公钥/私钥对,具体取决于特定用例。认证信令在UE之间交换以导出KNRP。
KNRP:一个256位的根密钥,在使用NR PC5单播链路进行通信的两个实体之间共享。可以通过使用长期凭证重新运行身份验证信令来刷新KNRP。
KNRP-sess:由UE从KNRP派生的256位密钥,用于派生密钥以保护UE之间的数据传输。KNRP-sess是按单播链路派生的。可以通过运行密钥更新过程来刷新KNRP-sess。
NRPEK和NRPIK:NR PC5加密密钥(NRPEK)和NR PC5完整性密钥(NRPIK)分别用于选择的机密性和完整性算法,用于保护PC5-S信令(signalling)、PC5无线资源控制(RadioResource Control,RRC)信令和PC5用户平面(User Plane,UP)数据。这些密钥通过KNRP-sess派生,每次更改KNRP-sess时都会自动刷新。
下面,结合具体实施例,对本申请实施例中的身份认证方法、装置及用户设备进行具体说明:
如图2所示,本申请实施例提供一种身份认证方法,应用于第一UE,例如,该第一UE可以为路侧设备(Road Side Unit,RSU)或车联网终端(On Board Unit,OBU)等,该方法包括:
步骤201,发送单播链路建立请求消息,单播链路建立请求消息包括:第一密钥建立信息容器(key建立信息容器),第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
本步骤中,该单播链路建立请求消息在包括第一密钥建立信息容器基础上,还可包括/携带以下至少一项,但并不以此为限:业务标识、第一UE的标识(如第一UE的用户信息)、PC5单播链路信令安全策略;进一步地,在需要建立的单播链路是基于UE的单播链路时,该单播链路建立请求消息还可包括/携带第二UE的标识(如第二UE的用户信息);其中,第二UE为与第一UE建立单播链路的UE。另外,该身份认证方式集合用于供接收该单播链路建立请求消息的第二UE选择适合该第一UE和该第二UE的身份认证方式,即:该身份认证方式集合为第二UE进行身份认证方式选择时的依据;还有,本申请实施例中的身份认证采用挑战/应答认证机制,因此,该第一挑战值为第一UE为身份认证过程提供的发起挑战的挑战值。
步骤202,接收第二UE发送的单播链路认证请求消息,单播链路认证请求消息包括:第二密钥建立信息容器,第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;
本步骤中,该单播链路认证请求消息为第二UE接收到该单播链路建立请求消息,且确定对与该单播链路建立请求消息相关的业务感兴趣后,为了实现第一UE和第二UE之间的身份认证发送的消息;其中,该第二UE选择的身份认证方式为第二UE基于其自身支持的身份认证方式和第一UE提供的身份认证方式集合选择的最终用于进行身份认证的方式,必须地,第二UE选择的身份认证方式为第一UE和第二UE均支持的身份认证方式;该第一数据与第二UE选择的身份认证方式相关;该第一挑战应答由第二UE对该第一挑战值进行处理(如,哈希处理和/或加密处理)后生成的值;该第二挑战值为第二UE为身份认证过程提供的发起挑战的挑战值;另外,若第二UE不能选择出最终的身份认证方式,则第二UE忽略或者拒绝单播链路的建立,即第二UE不发送该单播链路认证请求消息。
步骤203,根据第二UE选择的身份认证方式、第一数据和第一挑战应答,对第二UE进行身份认证。
本步骤具体可以为,第一UE首先确定第二UE选择的身份认证方式,然后,基于第二UE选择的身份认证方式利用该第一数据对该第一挑战应答进行处理,以实现对第二UE的身份认证,并根据处理结果,确定对第二UE的身份认证是否成功。
本申请实施例的身份认证方法,首先,第一UE发送单播链路建立请求消息,单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;以便于接收方能够基于该身份认证方式集合选择最终的身份认证方式;并对该第一挑战值进行处理,以由第一UE根据接收端(第二UE)对该第一挑战值的处理结果对接收端进行身份认证;然后,第一UE接收第二UE发送的单播链路认证请求消息,单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;最后,第一UE根据第二UE选择的身份认证方式、第一数据和第一挑战应答,对第二UE进行身份认证。如此,实现了在单播链路建立过程中,通过协商确定身份认证方式,并利用确定的身份认证方式和接收端提供的数据(用于身份认证的第一数据、第一挑战应答等)进行身份认证,这样,一方面,降低了由于身份认证方式不合适造成身份认证失败的可能性,另一方面,避免了第一UE与第二UE支持的身份认证方式不同时,在第一UE未知第二UE支持的身份认证方式时,第一UE仍然发起单播链路建立请求,造成系统资源浪费的情况。
进一步地,作为一个可选的实现方式,步骤201,发送单播链路建立请求消息之前,该方法还包括:
在判定将要建立的单播链路需要进行身份认证的情况下,生成第一UE发起挑战的第一挑战值。
本可选实现方式中,一者,第一UE可以基于协议规定的业务安全策略判断将要建立的单播链路是否需要进行身份认证;二者,该第一挑战值可以为一个128比特(bit)的随机数。
作为一个具体的实现方式,身份认证方式集合包括第一UE支持的身份认证方式,和/或,所述第一UE推荐的身份认证方式。
也就是说,第一密钥建立信息容器中的身份认证方式集合可以仅包括第一UE支持的身份认证方式,也可以仅包括第一UE推荐的身份认证方式,还可以包括第一UE支持的身份认证方式和第一UE推荐的身份认证方式;具体可以由第一UE根据实际情况确定。
这里,需要说明的是,由于第二UE选择的身份认证方式应为第一UE和第二UE均支持的身份认证方式,因此,第一UE为第二UE提供的身份认证方式集合中的身份认证方式应为其自身支持的身份认证方式,具体的,在该身份认证方式集合中携带第一UE推荐的身份认证方式,缩小了第二UE进行身份认证方式选择的范围,使得第二UE能够快速的选择出合适的身份认证方式。
作为一个更具体的实现方式,在第一UE未以广播的方式发送第一UE支持的身份认证方式的情况下,身份认证方式集合至少包括第一UE支持的身份认证方式。也就是说,在接收端未接收到第一UE支持的身份认证方式的情况下,第一密钥信息建立容器中必须包括第一UE支持的身份认证方式,这样,接收端(第二UE)在第一UE推荐的身份认证方式中无法选择出最终进行身份认证的方式(第二UE选择的身份认证方式)时,能够从第一UE支持的身份认证方式中选择合适的身份认证的方式,降低了由于无法选择出合适的身份认证的方式造成的身份认证失败的可能性。
其中,在本实现方式中,第一UE未广播第一UE支持的身份认证具体可以包括如下几种情况,但不以此为限:情况一:第一UE不支持以广播的方式发送第一UE支持的身份认证方式;情况二:第一UE支持以广播的方式发送第一UE支持的身份认证方式,但是,目前不满足广播触发条件。
进一步地,作为一个可选的实现方式,步骤301,发送单播链路建立请求消之前,该方法还包括以下任一项:
从第一UE支持的身份认证方式中选择第一UE推荐的身份认证方式;例如,可以从第一UE支持的身份认证方式中随机推荐一种或多种身份认证方式;
基于第一UE支持的身份认证方式和第二UE发送的第二UE支持的身份认证方式,获得所述第一UE推荐的身份认证方式;例如,第一UE推荐的身份认证方式为第一UE支持的身份认证方式和第二UE支持的身份认证方式的交集中的至少部分;其中,第二UE支持的身份认证方式可以从第二UE发送的广播消息中获得,该广播消息为身份认证方式广播消息。
也就是说,第一UE推荐的身份认证方式应为第一UE支持的身份认证方式中的一种或多种,通过将第一UE推荐的身份认证方式发送给第二UE,缩小了第二UE选择身份认证方式的范围,使得第二UE能够快速的选择出适合第一UE和第二UE的身份认证方式。
作为一个可选的实现方式,步骤203,根据第二UE选择的身份认证方式、第一数据和第一挑战应答,对第二UE进行身份认证,包括:
根据第二UE选择的身份认证方式和第一数据,对第一挑战应答进行处理(如解密处理);
例如,第二UE选择的身份认证方式可以为证书认证方式或厂家私有认证方式等;例如,第一UE和第二UE为相同生产厂家的设备时,第二UE选择的身份认证方式可以为厂家私有认证,也可以为证书认证;第一UE和第二UE为不同生产厂家的设备时,第二UE选择的身份认证方式可以为证书认证。
在处理后的第一挑战应答与第一期望应答相同的情况下,确定对第二UE的身份认证成功,其中,第一期望应答与所述第一挑战值相关。
以第二UE选择的身份认证方式为证书认证为例,则该第一数据可以为证书(Certificate)B,在此基础上,本可选实现方式的执行过程为:第一UE对第一数据的合法性进行检查,即:通过证书签发机构(Certification Authority,CA)根证书或中间CA根证书验证证书Certificate B的签名值,检查通过即判断第一数据合法;再使用证书Certificate B中的公钥对第一挑战应答进行解密获得哈希值Hash A(处理后的第一挑战应答),同时对第一挑战值进行哈希计算得到哈希值XHash A(第一期望应答),如果Hash A和XHash A相同,则第一UE对第二UE的身份认证成功,否则身份认证失败。
进一步地,作为一个可选的实现方式,该方法还包括:
在身份认证成功的情况下,向第二UE发送单播链路认证响应消息,单播链路认证响应消息携带第三密钥建立信息容器,第三密钥建立信息容器包括:第二挑战应答和用于身份认证的第二数据。
本可选实现方式中,该第二挑战应答由第一UE对第二挑战值进行处理(如哈希计算和/或加密等)后生成,该第二数据与第二UE选择的身份认证方式相关,例如,若第二UE选择的身份认证方式为证书认证,则该第二数据为第一UE的证书Certificate A。在此基础上,本可选实现方式中,生成第二挑战应答的过程包括:第一UE对第二挑战值进行哈希处理,再使用第一UE的证书Certificate A的私钥对第二挑战值的哈希值进行加密,如此,生成的密文即为第二挑战应答。
本可选实现方式中,通过向第二UE发送单播链路认证响应消息,能够实现第一UE基于单播链路认证响应消息中携带的内容对第一UE进行身份认证,如此,实现了单播链路建立过程中的双向身份认证,提升了单播链路的安全性。
作为一个可选的实现方式,单播链路认证响应消息还包括加密的预共享密钥;其中,该预共享密钥可以是在第一UE对第二UE的身份认证成功的情况下,随机生成的一个256bit的随机字符串;
进一步地,向第二UE发送单播链路认证响应消息之前,该方法还包括:
对预共享密钥进行加密,获得所述加密的预共享密钥。
具体的,本步骤中,具体可以基于第一UE接收到的第一数据对该预共享密钥进行加密,例如,若该第一数据为第二UE的证书Certificate B,则本步骤可以利用CertificateB中的公钥对预共享密钥进行加密,如此,第二UE在接收到单播链路认证响应消息后,可以利用Certificate B中的私钥进行解密,以获得该预共享密钥。
在上述可选实现方式的基础上,进一步地,作为一个可选的实现方式,在身份认证成功的情况下,向第二UE发送单播链路认证响应消息之后,该方法还包括:根据预共享密钥、第一挑战值和第二挑战值,派生根密钥。
本可选实现方式具体为:第一UE根据该预共享密钥、该第一挑战值和该第二挑战值,执行密钥派生程序,以派生出根密钥;由于第一UE和第二UE执行密钥派生程序时使用的数据相同,因此,第一UE和第二UE能够派生出相同的根密钥,从而实现单播链路建立过程的闭环。
进一步地,作为一个可选的实现方式,该方法还包括以下任一项:
周期性广播第一车联网(Vehicle to Everything,V2X)消息;此种情况下,第一UE可以配置周期定时器,以实现在定时器超时的时候,广播第一V2X消息;
在满足预先配置的触发事件的情况下,广播第一V2X消息;其中,该触发事件可以包括开始时间、结束时间、广播周期和广播次数中的至少一个;
在接收到触发指令的情况下,广播第一V2X消息;其中,触发指令可以来自于周围的其他UE(如周围其他的OBU、RSU等)或云端(服务器)等,该触发指令可以包括广播周期和/或广播次数等。
其中,V2X消息携带第一UE支持的身份认证方式的全集,和/或,V2X应用与所述第一UE支持的身份认证方式之间的对应关系(如,按照V2X应用对第一UE支持的身份认证方式进行划分,即:特定应用所采用的身份认证方式)。即该第一V2X消息为身份认证方式广播消息,具体的,该第一V2X消息可以是基础安全消息(Basic Safety Message,BSM)、路侧安全消息(Roadside Safety Message,RSM)、业务公告消息等,还可以是其他的V2X消息。
进一步地,作为一个可选的实现方式,该方法还包括:
接收第二UE发送的第二V2X消息,其中,第二V2X消息携带第二UE支持的身份认证方式,和/或,V2X应用与所述第二UE支持的身份认证方式之间的对应关系;也就是说,该第二V2X消息为第二UE的身份认证方式广播消息;
在第一时长内,保存第二V2X消息;或者,在第一时长内,保存第二V2X消息中的身份认证方式与第一UE支持的身份认证方式的交集。
本可选实现方式中,针对第一UE保存的第二UE的消息,第一UE可以对每条消息维护一个定时器,当定时器超时的时候,第一UE可以删除该条消息;其中,定时器的取值可以与配置的广播周期相同;如:定时器的取值与第二UE广播该第二V2X消息的周期相同,即,第二V2X消息的广播周期为该第一时长。
如图3所示,本申请实施例还提供一种身份认证方法,应用于第二UE,包括:
步骤301,接收第一UE发送的单播链路建立请求消息,单播链路建立请求消息包括第一密钥建立信息容器,第一密钥建立信息容器包括身份认证方式集合和第一挑战值;另外,该单播链路建立请求消息还可携带如前所述的其他信息,此处不再重复描述;
步骤302,在确定单播链路建立请求消息对应的业务为目标业务的情况下,向第一UE发送单播链路认证请求消息,单播链路认证请求消息包括:第二密钥建立信息容器,第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。
本申请实施例的身份认证方式中,首先,第二UE接收第一UE发送的单播链路建立请求消息,单播链路建立请求消息包括第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值,然后,第二UE在确定单播链路建立请求消息对应的业务为目标业务的情况下,向第一UE发送单播链路认证请求消息,单播链路认证请求消息包括:第二密钥建立信息容器,第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。如此,实现了在单播链路建立过程中,通过协商确定身份认证方式,并利用确定的身份认证方式进行身份认证,这样,一方面,降低了由于身份认证方式不合适造成身份认证失败的可能性,另一方面,避免了第二UE与第一UE支持的身份认证方式不同时,第一UE在未知第二UE支持的身份认证方式时,第一UE仍然发起单播链路建立请求,造成系统资源浪费的情况。
进一步地,作为一个可选的实现方式,步骤302,向第一UE发送单播链路认证请求消息之前,该方法还包括以下至少一项:
根据身份认证方式集合和第二UE支持的身份认证方式,确定第二UE选择的身份认证方式;其中,第二UE选择的身份认证方式为第一UE和第二UE支持的身份认证方式;
对第一挑战值进行处理,获得第一挑战应答;本步骤具体可以为:第二UE首先对该第一挑战值进行哈希计算,获得哈希值,然后,再使用第二UE的私钥对该哈希值进行加密,所生成的密文则为该第一挑战应答;
生成第二挑战值,本步骤中,该第二挑战值与该第一挑战值类似,例如为随机生成的128bit的随机数。
也就是说,第二UE确定单播链路建立请求消息对应的业务为目标业务时,确定第二UE对该业务感兴趣,首先,第二UE根据PC5单播链路信令安全策略判断单播信令需要安全保护,需要进行身份认证时,第二UE解析第一密钥建立信息容器以获得身份认证方式集合和/或第一挑战值,从而根据身份认证方式集合和第二UE支持的身份认证方式确定第二UE选择的身份认证方式,并对该第一挑战值进行处理获得第一挑战应答,另外,再生成第二UE发起挑战的第二挑战值。然后,再将这些信息携带在单播链路认证请求消息发送给第一UE,以由第一UE对该第二UE进行身份认证。
作为一个具体的实现方式,根据身份认证方式集合和第二UE支持的身份认证方式,确定第二UE选择的身份认证方式,包括以下任一项:
在身份认证方式集合和第二UE支持的身份认证方式的交集中,确定第二UE选择的身份认证方式;
在身份认证方式集合仅包括第一UE推荐的身份认证方式,且身份认证方式集合和第二UE支持的身份认证方式不存在交集的情况下,在第一UE支持的身份认证方式和所述第二UE支持的身份认证方式的交集中,确定第二UE选择的身份认证方式。
也就是说,如果第一UE推荐了身份认证方式,第二UE从第一UE推荐的身份认证方式和第二UE支持的身份认证方式交集中,选择一种身份认证方式。如果第一UE推荐的身份认证方式和第二UE支持的身份认证方式没有交集,第二UE从第一UE支持的身份认证方式和第二UE支持的身份认证方式交集中,选择一种身份认证方式。如果第一UE支持的身份认证方式和第二UE支持的身份认证方式没有交集,第二UE忽略或拒绝单播链路建立。第一UE支持的身份认证方式可以通过单播链路建立请求消息或广播消息获得。
或者,
如果第一UE没有推荐身份认证方式,第二UE从第一UE支持的身份认证方式和第二UE支持的身份认证方式交集中,选择一种身份认证方式。如果第一UE支持的身份认证方式和第二UE支持的身份认证方式没有交集,第二UE忽略或拒绝单播链路建立。第一UE支持的身份认证方式可以通过单播链路建立请求消息或广播消息获得。
进一步地,作为一个可选的实现方式,步骤302,向第一UE发送单播链路认证请求消息之后,该方法还包括:
接收第一UE发送的单播链路认证响应消息,单播链路认证响应消息包括第三密钥建立信息容器,所述第三密钥建立信息容器包括:第二挑战应答和用于身份认证的第二数据;
根据第二UE选择的身份认证方式、第二数据和第二挑战应答,对第一UE进行身份认证。
本可选实现方式中,第二UE根据第一UE发送的第二数据和第二挑战应答,并利用第二UE选择的身份认证方式对该第一UE进行身份认证,如此,实现了第一UE和第二UE之间基于挑战/应答机制的双向身份认证,避免第一UE发起无效的单播链路建立请求,节约了系统资源。
作为一个具体的实现方式,根据第二UE选择的身份认证方式、第二数据和第二挑战应答,对第一UE进行身份认证,包括:
根据第二UE选择的身份认证方式和第二数据,对第二挑战应答进行处理;
在处理后的第二挑战应答与第二期望应答相同的情况下,确定对第一UE的身份认证成功,其中,所述第二期望应答与所述第二挑战值相关。
这里,需要说明的是,本具体实现方式的实现过程与第一UE对第二UE进行身份认证的实现过程类似,这里不再重复描述。
作为一个可选的实现方式,该单播链路认证响应消息还包括加密的预共享密钥;
进一步地,根据第二UE选择的身份认证方式、第二数据和第二挑战应答,对第一UE进行身份认证的步骤之后,该方法还包括:
对加密的预共享密钥进行解密,获得预共享密钥;如前所述,第一UE是采用第二数据中的信息对预共享密钥进行加密的,例如,在采用证书认证时,第一UE利用的是第二UE的Certificate B中的公钥对预共享密钥进行加密的,因此,本步骤中,第二UE可以使用对应的私钥进行解密;
根据预共享密钥、第一挑战值和第二挑战值,派生根密钥,本步骤中的派生过程与第一UE的派生过程类似,这里不再赘述。
进一步地,作为一个可选的实现方式,该方法还包括以下至少一项:
周期性广播第二V2X消息;
在满足预先配置的触发事件的情况下,广播第二V2X消息;
在接收到触发指令的情况下,广播第二V2X消息;
其中,第二V2X消息携带所述第二UE支持的身份认证方式,和/或,V2X应用与所述第二UE支持的身份认证方式之间的对应关系。
本可选实现方式中,第二V2X消息的发送方式与第一V2X消息的发送方式类似,这里,不再赘述。
进一步地,作为一个可选的实现方式,该方法还包括:
接收第一UE发送的第一V2X消息,其中,第一V2X消息携带第一UE支持的身份认证方式,和/或,V2X应用与第一UE支持的身份认证方式之间的对应关系;
在第二时长内,保存第一V2X消息;或者,在第二时长内,保存第一V2X消息中的身份认证方式与第二UE支持的身份认证方式的交集。
本可选实现方式中,第二UE对接收到的第一V2X消息的处理方式与第一UE对接收到的第二V2X消息的处理方式类似,这里不再赘述。
本申请实施例的身份认证方法,可以通过广播消息获知周围车辆支持的身份认证方式,并通过身份认证方式协商过程,解决当道路上存在不同厂家V2X车辆时,可能造成的无法进行身份认证的问题。采用挑战/应答机制进行双向身份认证,支持抗重放攻击,进一步提升单播通信的安全性。
下面,结合具体的实施例,对本申请实施例的身份认证过程进行详细说明:
实施例一:不支持广播身份认证方式时,基于业务的单播链路建立过程中身份认证和根密钥派生
(1)第一UE发起V2X应用需要建立单播链路,判断建立的单播链路需要进行认证,则生成一个128bit随机数,作为第一UE发起挑战的挑战值-Challenge A。
(2)第一UE发送单播链路建立请求消息,消息中携带请求建立的V2X业务标识、第一UE用户信息、PC5单播链路信令安全策略、Key建立信息容器。其中,Key建立信息容器包含第一UE支持的身份认证方式和/或推荐的身份认证方式、Challenge A。推荐的身份认证方式信息是第一UE支持的身份认证方式中的一种、多种或者全部身份认证方式。身份认证方式信息单元采用位图(bitmap)格式,定义如下表1。Challenge A可以是随机数或随机字符串,本实施中采用128bit随机数。
表1身份认证方式的bitmap格式
(3)第二UE收到单播链路建立请求消息后,判断消息中没有第二UE用户信息,但对请求建立的V2X业务感兴趣。第二UE根据PC5单播链路信令安全策略判断单播信令需要安全保护,需要进行身份认证。第二UE解析key建立信息容器信息单元,获得第一UE支持的身份认证方式和/或推荐的身份认证方式、Challenge A。第二UE判断第一UE支持的身份认证方式和/或推荐的身份认证方式,与第二UE支持的身份认证方式存在交集,从交集中选择出了本次身份认证采用的身份认证方式。如果是相同厂家的UE,第二UE选择的身份认证方式可以是厂家私有认证方式,也可以是证书认证方式;如果是不同厂家的UE,第二UE选择的身份认证方式只能是证书认证方式。本实施例中,第二UE选择的身份认证方式是证书认证方式。
(4)第二UE计算第一UE挑战的应答,具体的,第二UE先对Challenge A进行哈希,再使用第二UE证书的私钥对哈希值进行加密,所生成的密文就是第一UE挑战的应答-Response A。
(5)第二UE生成一个128bit随机数,作为第二UE发起挑战的挑战值-Challenge B。
(6)第二UE发送单播链路认证请求消息,消息中携带key建立信息容器,容器中包含选择的身份认证方式、第一UE认证第二UE身份所需要的数据、Response A、Challenge B。本实施例中,选择的身份认证方式是证书,第一UE认证第二UE身份所需要的数据是第二UE的证书-Certificate B。
(7)第一UE收到单播链路认证请求消息,解析key建立信息容器信息单元,获得选择的身份认证方式、Certificate B、Response A、Challenge B。
(8)第一UE根据对单播链路认证请求的解析结果确定选择的身份认证方式是证书认证方式。
(9)第一UE先对Certificate B进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate B的签名值,检查通过即判断证书Certificate B合法,再使用证书Certificate B中的公钥对Response A进行解密获得哈希值Hash A,同时对Challenge A进行哈希得到哈希值XHash A,比对Hash A与XHash A,如果相同,则第一UE对第二UE的身份认证成功,否则身份认证失败。
(10)如果第一UE对第二UE的身份认证成功,第一UE计算第二UE挑战的应答,先对Challenge B进行哈希,再使用自己的证书Certificate A的私钥对哈希值进行加密,所生成的密文就是第二UE挑战的应答-Response B。
(11)如果第一UE对第二UE的身份认证成功,第一UE生成一个256bit随机字符串,作为预共享密钥PSK,并使用证书Certificate B中的公钥对预共享密钥PSK进行加密,生成EPSK。
(12)如果第一UE对第二UE的身份认证成功,第一UE发送单播链路认证响应消息,消息中携带key建立信息容器,该容器中包括Certificate A、Response B、EPSK。
(13)第二UE收到单播链路认证响应消息,采用证书的身份认证方式,先对Certificate A进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate A的签名值,检查通过即判断证书Certificate A合法,再使用证书Certificate A中的公钥对Response B进行解密获得哈希值Hash B,同时对Challenge B进行哈希得到哈希值XHashB,比对Hash B与XHash B,如果相同,则第二UE对第一UE的身份认证成功,否则身份认证失败。
(14)如果第二UE对第一UE的身份认证成功,第二UE使用自己的证书CertificateB的私钥对EPSK进行解密,获得预共享密钥PSK。
(15)第一UE和第二UE分别执行密钥派生程序,计算HMAC-SHA-256(PSK,ChallengeA||Challenge B),派生出一个相同的256bits根密钥KNRF。
实施例二:不支持广播身份认证方式时,基于UE的单播链路建立过程中身份认证和根密钥派生
(1)第一UE判断建立的单播链路需要进行认证,生成一个128bit随机数,作为第一UE发起挑战的挑战值-Challenge A。
(2)第一UE发送单播链路建立请求消息,消息中携带请求建立的V2X业务标识、第一UE用户信息、PC5单播链路信令安全策略、第二UE用户信息、Key建立信息容器。其中,Key建立信息容器包含第一UE支持的身份认证方式和/或推荐的身份认证方式、Challenge A。推荐的身份认证方式信息是第一UE支持的身份认证方式中的一种、多种或者全部身份认证方式。身份认证方式信息单元采用bitmap格式,定义如实施例一中的表1。Challenge A可以是随机数或随即字符串,本实施中采用128bit随机数。
(3)第二UE收到单播链路建立请求消息后,判断消息中存在第二UE用户信息且是自己。第二UE根据PC5单播链路信令安全策略判断单播信令需要安全保护,需要进行身份认证。第二UE解析key建立信息容器信息单元,获得第一UE支持的身份认证方式和/或推荐的身份认证方式、Challenge A。第二UE判断第一UE支持的身份认证方式和/或推荐的身份认证方式,和第二UE支持的身份认证方式存在交集,从交集中选择出了本次身份认证采用的身份认证方式。如果是相同厂家的UE,第二UE选择的身份认证方式可以是厂家私有认证方式,也可以是证书认证方式;如果是不同厂家的UE,第二UE选择的身份认证方式只能是证书认证方式。本实施中,第二UE选择的身份认证方式是证书认证方式。
(4)第二UE计算第一UE挑战的应答,本实施中,第二UE先对Challenge A进行哈希,再使用第二UE证书的私钥对哈希值进行加密,所生成的密文就是第一UE挑战的应答-Response A。
(5)第二UE生成一个128bit随机数,作为第二UE发起挑战的挑战值-Challenge B。
(6)第二UE发送单播链路认证请求消息,消息中携带key建立信息容器,容器中包含选择的身份认证方式、第一UE认证第二UE身份所需要的数据、Response A、Challenge B。本实施例中,选择的身份认证方式是证书,第一UE认证第二UE身份所需要的数据是第二UE的证书-Certificate B。
(7)第一UE收到单播链路认证请求消息,解析key建立信息容器信息单元,获得选择的身份认证方式、Certificate B、Response A、Challenge B。
(8)选择的身份认证方式是证书认证方式。
(9)第一UE先对Certificate B进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate B的签名值,检查通过即判断证书Certificate B合法,再使用证书Certificate B中的公钥对Response A进行解密获得哈希值Hash A,同时对Challenge A进行哈希得到哈希值XHash A,比对Hash A与XHash A,如果相同,则第一UE对第二UE的身份认证成功,否则身份认证失败。
(10)如果第一UE对第二UE的身份认证成功,第一UE计算第二UE挑战的应答,先对Challenge B进行哈希,再使用自己的证书Certificate A的私钥对哈希值进行加密,所生成的密文就是第二UE挑战的应答-Response B。
(11)如果第一UE对第二UE的身份认证成功,第一UE生成一个256bit随机字符串,作为预共享密钥PSK,并使用证书Certificate B中的公钥对预共享密钥PSK进行加密,生成EPSK。
(12)如果第一UE对第二UE的身份认证成功,第一UE发送单播链路认证响应消息,消息中携带key建立信息容器,该容器中包括Certificate A、Response B、EPSK。
(13)第二UE收到单播链路认证响应消息,采用证书的身份认证方式,先对Certificate A进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate A的签名值,检查通过即判断证书Certificate A合法,再使用证书Certificate A中的公钥对Response B进行解密获得哈希值Hash B,同时对Challenge B进行哈希得到哈希值XHashB,比对Hash B与XHash B,如果相同,则第二UE对第一UE的身份认证成功,否则身份认证失败。
(14)如果第二UE对第一UE的身份认证成功,第二UE使用自己的证书CertificateB的私钥对EPSK进行解密,获得预共享密钥PSK。
(15)第一UE和第二UE分别执行密钥派生程序,计算HMAC-SHA-256(PSK,ChallengeA||Challenge B),派生出一个相同的256bits根密钥KNRF。
实施例三:支持广播支持的身份认证方式时,基于业务的单播链路建立过程中身份认证和根密钥派生
(1)第一UE收到周围UE(例如第二UE、第三UE)发送的V2X BSM消息,该消息携带周围UE支持的身份认证方式。BSM消息需新增支持的身份认证方式信息域。支持的身份认证方式信息域采用bitmap格式,定义如上表1所示,厂家私有认证方式需要配备厂家专用的安全认证系统和安全设备。
(2)第一UE发起V2X应用需要建立单播链路,判断建立的单播链路需要进行认证,则生成一个128bit随机数,作为第一UE发起挑战的挑战值-Challenge A。
(3)第一UE通过V2X基本安全消息获知了周围全部UE(RSU或OBU)支持的身份认证方式,则从周围UE支持的身份认证方式和第一UE支持的身份认证方式中,推荐一种或者多种身份认证方式。本实施例中第一UE推荐的认证方式是证书认证和厂家私有认证。
(4)第一UE发送单播链路建立请求消息,消息中携带请求建立的V2X业务标识、第一UE用户信息、PC5单播链路信令安全策略、Key建立信息容器。其中,Key建立信息容器包含推荐的认证方式、Challenge A。推荐的认证方式信息单元采用bitmap格式,定义如上表1所示。Challenge A可以是随机数或随机字符串,本实施中采用128bit随机数。
(5)第二UE收到单播链路建立请求消息后,判断消息中没有第二UE用户信息,但对请求建立的V2X业务感兴趣。第二UE根据PC5单播链路信令安全策略判断单播信令需要安全保护,需要进行身份认证。第二UE解析key建立信息容器信息单元,获得推荐的身份认证方式和Challenge A。第二UE判断第一UE推荐的身份认证方式和第二UE支持的身份认证方式存在交集,从交集中选择出了本次身份认证采用的身份认证方式。如果是相同厂家的UE,第二UE选择的身份认证方式可以是厂家私有认证方式,也可以是证书认证方式;如果是不同厂家的UE,第二UE选择的身份认证方式只能是证书认证方式。本实施中,第二UE选择的身份认证方式是证书认证方式。
(6)第二UE计算第一UE挑战的应答,本实施中,第二UE先对Challenge A进行哈希,再使用第二UE证书的私钥对哈希值进行加密,所生成的密文就是第一UE挑战的应答-Response A。
(7)第二UE生成一个128bit随机数,作为第二UE发起挑战的挑战值-Challenge B。
(8)第二UE发送单播链路认证请求消息,消息中携带key建立信息容器,容器中包含选择的身份认证方式、第一UE认证第二UE身份所需要的数据、Response A、Challenge B。本实施例中,选择的身份认证方式是证书,第一UE认证第二UE身份所需要的数据是第二UE的证书-Certificate B。
(9)第一UE收到单播链路认证请求消息,解析key建立信息容器信息单元,获得选择的身份认证方式、Certificate B、Response A、Challenge B。
(10)第一UE根据对单播链路认证请求的解析结果确定选择的身份认证方式是证书认证方式。
(11)第一UE先对Certificate B进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate B的签名值,检查通过即判断证书Certificate B合法,再使用证书Certificate B中的公钥对Response A进行解密获得哈希值Hash A,同时对Challenge A进行哈希得到哈希值XHash A,比对Hash A与XHash A,如果相同,则第一UE对第二UE的身份认证成功,否则身份认证失败。
(12)如果第一UE对第二UE的身份认证成功,第一UE计算第二UE挑战的应答,先对Challenge B进行哈希,再使用自己的证书Certificate A的私钥对哈希值进行加密,所生成的密文就是第二UE挑战的应答-Response B。
(13)如果第一UE对第二UE的身份认证成功,第一UE生成一个256bit随机字符串,作为预共享密钥PSK,并使用证书Certificate B中的公钥对预共享密钥PSK进行加密,生成EPSK。
(14)如果第一UE对第二UE的身份认证成功,第一UE发送单播链路认证响应消息,消息中携带key建立信息容器,该容器中包括Certificate A、Response B、EPSK。
(15)第二UE收到单播链路认证响应消息,采用证书的身份认证方式,先对Certificate A进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate A的签名值,检查通过即判断证书Certificate A合法,再使用证书Certificate A中的公钥对Response B进行解密获得哈希值Hash B,同时对Challenge B进行哈希得到哈希值XHashB,比对Hash B与XHash B,如果相同,则第二UE对第一UE的身份认证成功,否则身份认证失败。
(16)如果第二UE对第一UE的身份认证成功,第二UE使用自己的证书CertificateB的私钥对EPSK进行解密,获得预共享密钥PSK。
(17)第一UE和第二UE分别执行密钥派生程序,计算HMAC-SHA-256(PSK,ChallengeA||Challenge B),派生出一个相同的256bits根密钥KNRF。
实施例四:支持广播支持的身份认证方式时,基于UE的单播链路建立过程中身份认证和根密钥派生
(1)第一UE判断建立的单播链路需要进行认证,生成一个128bit随机数,作为第一UE发起挑战的挑战值-Challenge A。
(2)第一UE获知了第二UE(RSU或OBU)支持的身份认证方式,则从第二UE支持的身份认证方式和第一UE支持的身份认证方式中,推荐一种或者多种身份认证方式。本实施例中第一UE推荐的认证方式是证书认证和厂家私有认证。
(3)第一UE发送单播链路建立请求消息,消息中携带请求建立的V2X业务标识、第一UE用户信息、PC5单播链路信令安全策略、第二UE用户信息、Key建立信息容器。其中,Key建立信息容器包含推荐的认证方式、Challenge A。推荐的认证方式信息单元采用bitmap格式,定义如上表1所示。Challenge A可以是随机数或随即字符串,本实施中采用128bit随机数。
(4)第二UE收到单播链路建立请求消息后,判断消息中有第二UE用户信息且是自己。第二UE根据PC5单播链路信令安全策略判断单播信令需要安全保护,需要进行身份认证。第二UE解析key建立信息容器信息单元,获得推荐的身份认证方式和Challenge A。第二UE判断第一UE推荐的身份认证方式和第二UE支持的身份认证方式存在交集,从交集中选择出了本次身份认证采用的身份认证方式。如果是相同厂家的UE,第二UE选择的身份认证方式可以是厂家私有认证方式,也可以是证书认证方式;如果是不同厂家的UE,第二UE选择的身份认证方式只能是证书认证方式。本实施中,第二UE选择的身份认证方式是证书认证方式。
(5)第二UE计算第一UE挑战的应答,本实施中,第二UE先对Challenge A进行哈希,再使用第二UE证书的私钥对哈希值进行加密,所生成的密文就是第一UE挑战的应答-Response A。
(6)第二UE生成一个128bit随机数,作为第二UE发起挑战的挑战值-Challenge B。
(7)第二UE发送单播链路认证请求消息,消息中携带key建立信息容器,容器中包含选择的身份认证方式、第一UE认证第二UE身份所需要的数据、Response A、Challenge B。本实施例中,选择的身份认证方式是证书,第一UE认证第二UE身份所需要的数据是第二UE的证书-Certificate B。
(8)第一UE收到单播链路认证请求消息,解析key建立信息容器信息单元,获得选择的身份认证方式、Certificate B、Response A、Challenge B。
(9)第一UE确定第二UE选择的身份认证方式是证书认证方式。
(10)第一UE先对Certificate B进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate B的签名值,检查通过即判断证书Certificate B合法,再使用证书Certificate B中的公钥对Response A进行解密获得哈希值Hash A,同时对Challenge A进行哈希得到哈希值XHash A,比对Hash A与XHash A,如果相同,则第一UE对第二UE的身份认证成功,否则身份认证失败。
(11)如果第一UE对第二UE的身份认证成功,第一UE计算第二UE挑战的应答,先对Challenge B进行哈希,再使用自己的证书Certificate A的私钥对哈希值进行加密,所生成的密文就是第二UE挑战的应答-Response B。
(12)如果第一UE对第二UE的身份认证成功,第一UE生成一个256bit随机字符串,作为预共享密钥PSK,并使用证书Certificate B中的公钥对预共享密钥PSK进行加密,生成EPSK。
(13)如果第一UE对第二UE的身份认证成功,第一UE发送单播链路认证响应消息,消息中携带key建立信息容器,该容器中包括Certificate A、Response B、EPSK。
(14)第二UE收到单播链路认证响应消息,采用证书的身份认证方式,先对Certificate A进行合法性检查,即通过CA根证书或中间CA根证书验证证书Certificate A的签名值,检查通过即判断证书Certificate A合法,再使用证书Certificate A中的公钥对Response B进行解密获得哈希值Hash B,同时对Challenge B进行哈希得到哈希值XHashB,比对Hash B与XHash B,如果相同,则第二UE对第一UE的身份认证成功,否则身份认证失败。
(15)如果第二UE对第一UE的身份认证成功,第二UE使用自己的证书CertificateB的私钥对EPSK进行解密,获得预共享密钥PSK。
(16)第一UE和第二UE分别执行密钥派生程序,计算HMAC-SHA-256(PSK,ChallengeA||Challenge B),派生出一个相同的256bits根密钥KNRF。
如图4所示,本申请实施例还提供一种身份认证装置,应用于第一UE,该装置包括:
第一发送模块401,用于发送单播链路建立请求消息,所述单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
第一接收模块402,用于接收第二UE发送的单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;
认证模块403,用于根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证。
可选地,所述装置还包括:
生成模块,用于在判定将要建立的单播链路需要进行身份认证的情况下,生成第一UE发起挑战的所述第一挑战值。
可选地,所述身份认证方式集合包括第一UE支持的身份认证方式,和/或,所述第一UE推荐的身份认证方式。
可选地,在所述第一UE未广播所述第一UE支持的身份认证方式的情况下,所述身份认证方式集合至少包括所述第一UE支持的身份认证方式。
可选地,所述装置还包括选择模块,用于执行以下至少一项:
从所述第一UE支持的身份认证方式中选择所述第一UE推荐的身份认证方式;
基于所述第一UE支持的身份认证方式和所述第二UE发送的所述第二UE支持的身份认证方式,获得所述第一UE推荐的身份认证方式。
可选地,所述认证模块403包括:
处理子模块,用于根据所述第二UE选择的身份认证方式和所述第一数据,对所述第一挑战应答进行处理;
确定子模块,用于在处理后的所述第一挑战应答与第一期望应答相同的情况下,确定对所述第二UE的身份认证成功,其中,所述第一期望应答与所述第一挑战值相关。
可选地,所述装置还包括:
第二发送模块,用于在身份认证成功的情况下,向所述第二UE发送单播链路认证响应消息,所述单播链路认证响应消息携带第三密钥建立信息容器,所述第三密钥建立信息容器包括:第二挑战应答和用于身份认证的第二数据。
可选地,所述单播链路认证响应消息还包括加密的预共享密钥;
所述装置还包括获取模块用于:对预共享密钥进行加密,获得所述加密的预共享密钥。
可选地,所述装置还包括派生模块,用于根据所述预共享密钥、所述第一挑战值和所述第二挑战值,派生根密钥。
可选地,所述装置还包括第三发送模块,用于执行以下至少一项:
周期性广播第一车联网V2X消息;
在满足预先配置的触发事件的情况下,广播第一V2X消息;
在接收到触发指令的情况下,广播所述第一V2X消息;
其中,所述V2X消息携带第一UE支持的身份认证方式的全集,和/或,V2X应用与所述第一UE支持的身份认证方式之间的对应关系。
可选地,所述装置还包括:
第二接收模块,用于接收所述第二UE发送的第二V2X消息,其中,所述第二V2X消息携带所述第二UE支持的身份认证方式,和/或,V2X应用与所述第二UE支持的身份认证方式之间的对应关系;
保存模块,用于在第一时长内,保存所述第二V2X消息;或者,在第一时长内,保存所述第二V2X消息中的身份认证方式与第一UE支持的身份认证方式的交集。
如图5所示,本申请实施例还提供一种身份认证装置,应用于第二UE,该装置包括:
第一接收模块501,用于接收第一UE发送的单播链路建立请求消息,所述单播链路建立请求消息包括第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
第一发送模块502,用于在确定所述单播链路建立请求消息对应的业务为目标业务的情况下,向所述第一UE发送单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。
可选地,所述装置还包括以下至少一项:
确定模块,用于根据所述身份认证方式集合和所述第二UE支持的身份认证方式,确定所述第二UE选择的身份认证方式;
获取模块,用于对所述第一挑战值进行处理,获得所述第一挑战应答;
生成模块,用于生成所述第二挑战值。
可选地,所述确定模块用于执行以下任一项:
在所述身份认证方式集合和所述第二UE支持的身份认证方式的交集中,确定所述第二UE选择的身份认证方式;
在所述身份认证方式集合仅包括第一UE推荐的身份认证方式,且所述身份认证方式集合和所述第二UE支持的身份认证方式不存在交集的情况下,在第一UE支持的身份认证方式和所述第二UE支持的身份认证方式的交集中,确定所述第二UE选择的身份认证方式。
可选地,所述装置还包括:
第一接收模块,用于接收所述第一UE发送的单播链路认证响应消息,所述单播链路认证响应消息包括第三密钥建立信息容器,所述第三密钥建立信息容器包括:第二挑战应答和用于身份认证的第二数据;
认证模块,用于根据所述第二UE选择的身份认证方式、所述第二数据和所述第二挑战应答,对所述第一UE进行身份认证。
可选地,所述认证模块包括:
处理子模块,用于根据所述第二UE选择的身份认证方式和所述第二数据,对所述第二挑战应答进行处理;
确定子模块,用于在处理后的所述第二挑战应答与第二期望应答相同的情况下,确定对所述第一UE的身份认证成功,其中,所述第二期望应答与所述第二挑战值相关。
可选地,所述单播链路认证响应消息还包括加密的预共享密钥;
所述装置还包括获取模块,用于对所述加密的预共享密钥进行解密,获得预共享密钥;
根据所述预共享密钥、所述第一挑战值和所述第二挑战值,派生根密钥。
可选地,所述装置还包括第二发送模块,用于执行以下至少一项:
周期性广播第二V2X消息;
在满足预先配置的触发事件的情况下,广播第二V2X消息;
在接收到触发指令的情况下,广播所述第二V2X消息;
其中,所述第二V2X消息携带所述第二UE支持的身份认证方式,和/或,V2X应用与所述第二UE支持的身份认证方式之间的对应关系。
可选地,所述装置还包括:
第二接收模块,用于接收所述第一UE发送的第一V2X消息,其中,所述第一V2X消息携带所述第一UE支持的身份认证方式,和/或,V2X应用与所述第一UE支持的身份认证方式之间的对应关系;
保存模块,用于在第二时长内,保存所述第一V2X消息;或者,在第二时长内,保存所述第一V2X消息中的身份认证方式与所述第二UE支持的身份认证方式的交集。
如图6所示,本申请实施例还提供一种用户设备,包括收发机610、存储器620、处理器600及存储在所述存储器620上并在所述处理器600上运行的计算机程序,所述处理器600执行所述计算机程序时实现如上所述的应用于第一UE的身份认证方法实施例的各个过程,或者,实现如上所述的应用于第二UE的身份认证方法实施例的各个过程,且能达到相同的技术效果,为了避免重复,这里不再赘述。
所述收发机610,用于在处理器600的控制下接收和发送数据。
其中,在图6中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器600代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机610可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的车联网设备,用户接口630还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器600负责管理总线架构和通常的处理,存储器620可以存储处理器500在执行操作时所使用的数据。
另外,本申请实施例还提供一种计算机可读存储介质,可读存储介质上存储有程序,该程序被处理器执行时实现如上所述的应用于第一UE或应用于第二UE的身份认证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,该计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(RandomAccess Memory,简称RAM)、磁碟或者光盘等。
以上所述是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (23)
1.一种身份认证方法,其特征在于,应用于第一用户设备UE,包括:
发送单播链路建立请求消息,所述单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
接收第二UE发送的单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;
根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证。
2.根据权利要求1所述的方法,其特征在于,所述发送单播链路建立请求消息的步骤之前,所述方法还包括:
在判定将要建立的单播链路需要进行身份认证的情况下,生成第一UE发起挑战的所述第一挑战值。
3.根据权利要求1所述的方法,其特征在于,所述身份认证方式集合包括第一UE支持的身份认证方式,和/或,所述第一UE推荐的身份认证方式。
4.根据权利要求3所述的方法,其特征在于,在所述第一UE未广播所述第一UE支持的身份认证方式的情况下,所述身份认证方式集合至少包括所述第一UE支持的身份认证方式。
5.根据权利要求3所述的方法,其特征在于,所述发送单播链路建立请求消息的步骤之前,所述方法还包括以下任一项:
从所述第一UE支持的身份认证方式中选择所述第一UE推荐的身份认证方式;
基于所述第一UE支持的身份认证方式和所述第二UE发送的所述第二UE支持的身份认证方式,获得所述第一UE推荐的身份认证方式。
6.根据权利要求1所述的方法,其特征在于,所述根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证,包括:
根据所述第二UE选择的身份认证方式和所述第一数据,对所述第一挑战应答进行处理;
在处理后的所述第一挑战应答与第一期望应答相同的情况下,确定对所述第二UE的身份认证成功,其中,所述第一期望应答与所述第一挑战值相关。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在身份认证成功的情况下,向所述第二UE发送单播链路认证响应消息,所述单播链路认证响应消息携带第三密钥建立信息容器,所述第三密钥建立信息容器包括:第二挑战应答和用于身份认证的第二数据。
8.根据权利要求7所述的方法,其特征在于,所述单播链路认证响应消息还包括加密的预共享密钥;
所述向所述第二UE发送单播链路认证响应消息的步骤之前,所述方法还包括:
对所述预共享密钥进行加密,获得所述加密的预共享密钥。
9.根据权利要求8所述的方法,其特征在于,所述在身份认证成功的情况下,向所述第二UE发送单播链路认证响应消息的步骤之后,所述方法还包括:
根据所述预共享密钥、所述第一挑战值和所述第二挑战值,派生根密钥。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括以下至少一项:
周期性广播第一车联网V2X消息;
在满足预先配置的触发事件的情况下,广播第一V2X消息;
在接收到触发指令的情况下,广播所述第一V2X消息;
其中,所述V2X消息携带第一UE支持的身份认证方式的全集,和/或,V2X应用与所述第一UE支持的身份认证方式之间的对应关系。
11.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述第二UE发送的第二V2X消息,其中,所述第二V2X消息携带所述第二UE支持的身份认证方式,和/或,V2X应用与所述第二UE支持的身份认证方式之间的对应关系;
在第一时长内,保存所述第二V2X消息;或者,在第一时长内,保存所述第二V2X消息中的身份认证方式与第一UE支持的身份认证方式的交集。
12.一种身份认证方法,其特征在于,应用于第二UE,包括:
接收第一UE发送的单播链路建立请求消息,所述单播链路建立请求消息包括第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
在确定所述单播链路建立请求消息对应的业务为目标业务的情况下,向所述第一UE发送单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。
13.根据权利要求12所述的方法,其特征在于,所述向所述第一UE发送单播链路认证请求消息的步骤之前,所述方法还包括以下至少一项:
根据所述身份认证方式集合和所述第二UE支持的身份认证方式,确定所述第二UE选择的身份认证方式;
对所述第一挑战值进行处理,获得所述第一挑战应答;
生成所述第二挑战值。
14.根据权利要求13所述的方法,其特征在于,所述根据所述身份认证方式集合和所述第二UE支持的身份认证方式,确定所述第二UE选择的身份认证方式,包括以下任一项:
在所述身份认证方式集合和所述第二UE支持的身份认证方式的交集中,确定所述第二UE选择的身份认证方式;
在所述身份认证方式集合仅包括第一UE推荐的身份认证方式,且所述身份认证方式集合和所述第二UE支持的身份认证方式不存在交集的情况下,在第一UE支持的身份认证方式和所述第二UE支持的身份认证方式的交集中,确定所述第二UE选择的身份认证方式。
15.根据权利要求12所述的方法,其特征在于,向所述第一UE发送单播链路认证请求消息的步骤之后,所述方法还包括:
接收所述第一UE发送的单播链路认证响应消息,所述单播链路认证响应消息包括第三密钥建立信息容器,所述第三密钥建立信息容器包括:第二挑战应答和用于身份认证的第二数据;
根据所述第二UE选择的身份认证方式、所述第二数据和所述第二挑战应答,对所述第一UE进行身份认证。
16.根据权利要求15所述的方法,其特征在于,所述根据所述第二UE选择的身份认证方式、所述第二数据和所述第二挑战应答,对所述第一UE进行身份认证,包括:
根据所述第二UE选择的身份认证方式和所述第二数据,对所述第二挑战应答进行处理;
在处理后的所述第二挑战应答与第二期望应答相同的情况下,确定对所述第一UE的身份认证成功,其中,所述第二期望应答与所述第二挑战值相关。
17.根据权利要求15所述的方法,其特征在于,所述单播链路认证响应消息还包括加密的预共享密钥;
所述根据所述第二UE选择的身份认证方式、所述第二数据和所述第二挑战应答,对所述第一UE进行身份认证的步骤之后,所述方法还包括:
对所述加密的预共享密钥进行解密,获得预共享密钥;
根据所述预共享密钥、所述第一挑战值和所述第二挑战值,派生根密钥。
18.根据权利要求12所述的方法,其特征在于,所述方法还包括以下至少一项:
周期性广播第二V2X消息;
在满足预先配置的触发事件的情况下,广播第二V2X消息;
在接收到触发指令的情况下,广播所述第二V2X消息;
其中,所述第二V2X消息携带所述第二UE支持的身份认证方式,和/或,V2X应用与所述第二UE支持的身份认证方式之间的对应关系。
19.根据权利要求12所述的方法,其特征在于,所述方法还包括:
接收所述第一UE发送的第一V2X消息,其中,所述第一V2X消息携带所述第一UE支持的身份认证方式,和/或,V2X应用与所述第一UE支持的身份认证方式之间的对应关系;
在第二时长内,保存所述第一V2X消息;或者,在第二时长内,保存所述第一V2X消息中的身份认证方式与所述第二UE支持的身份认证方式的交集。
20.一种身份认证装置,其特征在于,应用于第一UE,包括:
第一发送模块,用于发送单播链路建立请求消息,所述单播链路建立请求消息包括:第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
第一接收模块,用于接收第二UE发送的单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值;
认证模块,用于根据所述第二UE选择的身份认证方式、所述第一数据和所述第一挑战应答,对所述第二UE进行身份认证。
21.一种身份认证装置,其特征在于,应用于第二UE,包括:
第一接收模块,用于接收第一UE发送的单播链路建立请求消息,所述单播链路建立请求消息包括第一密钥建立信息容器,所述第一密钥建立信息容器包括身份认证方式集合和第一挑战值;
第一发送模块,用于在确定所述单播链路建立请求消息对应的业务为目标业务的情况下,向所述第一UE发送单播链路认证请求消息,所述单播链路认证请求消息包括:第二密钥建立信息容器,所述第二密钥建立信息容器包括:第二UE选择的身份认证方式、用于身份认证的第一数据、第一挑战应答、第二挑战值。
22.一种用户设备,包括收发机、存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至11中任一项所述的身份认证方法,或者,实现如权利要求12至19中任一项所述的身份认证方法。
23.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1至11中任一项所述的身份认证方法,或者,实现如权利要求12至19中任一项所述的身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211347567.7A CN117998356A (zh) | 2022-10-31 | 2022-10-31 | 身份认证方法、装置及用户设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211347567.7A CN117998356A (zh) | 2022-10-31 | 2022-10-31 | 身份认证方法、装置及用户设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117998356A true CN117998356A (zh) | 2024-05-07 |
Family
ID=90885913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211347567.7A Pending CN117998356A (zh) | 2022-10-31 | 2022-10-31 | 身份认证方法、装置及用户设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117998356A (zh) |
-
2022
- 2022-10-31 CN CN202211347567.7A patent/CN117998356A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110474875B (zh) | 基于服务化架构的发现方法及装置 | |
| US10849191B2 (en) | Unified authentication for heterogeneous networks | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US10588015B2 (en) | Terminal authenticating method, apparatus, and system | |
| CN113099443B (zh) | 设备认证方法、装置、设备和系统 | |
| JP2017535998A5 (zh) | ||
| CN111865603A (zh) | 认证方法、认证装置和认证系统 | |
| RU2002131451A (ru) | Управление защищенной линией связи в динамических сетях | |
| CN108353279B (zh) | 一种认证方法和认证系统 | |
| KR20190099066A (ko) | 디지털 인증서 관리 방법 및 장치 | |
| CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
| CN109314693B (zh) | 验证密钥请求方的方法和设备 | |
| CN107026823B (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN116235464A (zh) | 认证方法和系统 | |
| WO2022001225A1 (zh) | 身份凭据的申请方法、身份认证的方法、设备及装置 | |
| CN112449323B (zh) | 一种通信方法、装置和系统 | |
| US11652646B2 (en) | System and a method for securing and distributing keys in a 3GPP system | |
| WO2022175538A1 (en) | A method for operating a cellular network | |
| US20240089728A1 (en) | Communication method and apparatus | |
| KR101683286B1 (ko) | 이동통신망을 이용한 싱크 인증 시스템 및 방법 | |
| CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| CN117998356A (zh) | 身份认证方法、装置及用户设备 | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| WO2016176902A1 (zh) | 一种终端认证方法、管理终端及申请终端 | |
| KR102345093B1 (ko) | 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |