一種d2d模式b發現的安全方法、終端和系統的制作方法
【專利摘要】本發明公開了一種D2D模式B發現的安全方法,在D2D模式B的發現業務的四個過程中,通過增加相應的參數,對被動終端的發現響應消息、主動終端的發現響應消息、主動終端發送給被動終端的查詢請求消息、被動終端發送給主動終端的查詢響應消息、以及主動終端的匹配報告消息進行完整性保護;本發明還公開了一種D2D模式B發現的安全系統、終端。
【專利說明】
一種D2D模式B發現的安全方法、終端和系統
技術領域
[0001]本發明涉及移動通信技術,尤其涉及一種設備到設備(D2D)模式B發現的安全方法、終端和系統。
【背景技術】
[0002]為了保持第三代移動通信系統在通信領域的競爭力,并為用戶提供速率更快、時延更低、更加個性化的移動通信服務,同時,為了降低運營商的運營成本,第三代合作伙伴計劃(3GPP,3rd Generat1n Partnership Project)標準工作組正致力于演進分組系統(EPS,Evolved Packet System)的研究。整個 EPS 包括無線接入網(E-UTRAN,EvolvedUniversal Terrestrial Rad1 Access Network)和演進分組核心網(EPC,Evolved PacketCore Networking),其中,EPC 包含了歸屬用戶服務器(HSS,Home Subscriber Server)、移動性管理實體(MME,Mobility Management Entity)、服務 GPRS 支持節點(SGSN,ServingGPRS Support Node)、策略計費規則功能(PCRF,Policy and Charging Rule Funct1n)、服務網關(S-GW,Serving Gateway)、分組數據網關(P-GW,PDN Gateway)和分組數據網絡(PDN,Packet Data Network)。
[0003]當兩個用戶設備(UE,User Equipment)通過EPS進行通信時,兩個UE需要分別與EPS建立承載。但是考慮到UE以及各種移動互聯網業務的快速發展,很多業務希望能夠發現臨近的UE并且進行通信,因此催生了設備到設備(D2D,DeviCe to Device)業務,D2D業務還被稱為基于距離的業務(ProSe,Proximity-based Services)。在D2D業務中,當兩個UE位置比較接近的時候,可以直接通信,其連接的數據路徑可以不繞回到核心網,這樣,一方面可以減少數據路由的迂回,另一方面也能夠減少網絡數據負荷。因此,D2D業務已得到了很多運營商的重視。
[0004]目前,常用的D2D業務有D2D發現業務,D2D發現業務的通信架構如圖1所示,D2D接入的兩個UE只能通過E-UTRAN接入EPC,兩個UE可以都屬于一個公用陸地移動網絡(PLMN,Public Land Mobile Network)或者分屬于兩個 PLMN ;對于一個 UE,PLMN可以分為歸屬的PLMN(HPLMN,Home PLMN)和當所述UE從其他的PLMN接入時的拜訪的PLMN(VPLMN,Visited PLMN),對于UE當前所處區域的PLMN可以統稱為本地的公用陸地移動網絡(LPLMN,Local PLMN),無論該本地的PLMN是HPLMN還是VPLMN。為了實現D2D發現業務,在運營商側不僅僅部署了 EPS,還包括部署D2D發現業務的ProSe應用服務器(ProSeApplicat1n Server),ProSe應用服務器可以由運營D2D業務的業務提供商提供,也可以由運營EPS的網絡運營商提供,在不同PLMN還部署了 ProSe功能實體(ProSe Funct1n)。對于ProSe業務的兩個UE,其中一個UE從ProSe功能實體獲取業務標識后,再向ProSe功能實體獲取能夠廣播的業務碼,這個UE被成為廣播UE (A-UE,Announcing UE),而另外一個UE則接受A-UE的廣播,然后與所述UE的ProSe功能實體進行匹配,如果匹配成功后,則和A-UE進行ProSe業務。這個非廣播UE成為監聽UE (M-UE,Monitoring UE)。
[0005]在D2D發現業務通信架構中,由于UE提供相關的ProSe應用(APP,Applicat1n),其和ProSe應用服務器的接口為PCl接口,提供相關認證功能。UE與UE之間的接口為PC5,用于UE之間的相互直接發現和通信,而UE與ProSe功能實體之間的接口是PC3,用于通過網絡的發現認證。ProSe功能實體與現有EPC之間的接口是PC4,包含與P-GW的用戶面接口和與HSS的控制面接口,用于D2D發現業務發現認證。ProSe功能實體與ProSe應用服務器的接口為PC2,用于D2D發現業務的應用實現。ProSe功能實體與ProSe功能實體分別有PC6和PC7接口,分別用于UE在漫游和非漫游的兩種情況,UE漫游時為PC7接口,UE非漫游時是為PC6接口,這兩個接口用于UE進行D2D發現業務時執行兩個ProSe功能實體之間的信息交互。
[0006]D2D發現業務可以分為模式A和模式B兩種模式。模式B的發現業務包括被動終端過程、主動終端過程、查詢過程和匹配過程四個流程。
[0007]圖2為現有技術被動終端過程的實現流程:
[0008]步驟201,被動終端配置ProSe限制發現應用層用戶標識;
[0009]步驟202,被動終端向自身的歸屬網絡中的ProSe功能實體發送發現請求消息,消息中包括模式(其值設置為B)、發現類型、限制發現應用層用戶標識、終端標識、命令(command)(其值設置為ProSe響應)和應用標識等參數;
[0010]步驟203,ProSe功能實體與歸屬用戶服務器交互,進行發現認證;
[0011]步驟204,ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識和指示符等參數;
[0012]步驟205,ProSe應用服務器向ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識和指示符等參數;
[0013]步驟206,ProSe功能實體分配ProSe響應碼與發現過濾器;
[0014]步驟207,ProSe功能實體向被動終端當前注冊的拜訪網絡中的ProSe功能實體發送廣播認證消息,消息中包括ProSe限制發現應用層用戶標識、ProSe響應碼、有效期和終端標識等參數;
[0015]步驟208,拜訪網絡中的ProSe功能實體向歸屬網絡中的ProSe功能實體回送廣播認證響應消息;
[0016]步驟209,歸屬網絡中的ProSe功能實體向被動終端回送發現響應消息,消息中包括模式(其值設置為B)、發現過濾器、ProSe響應碼和有效期等參數;
[0017]步驟210,被動終端配置無線資源。
[0018]圖3為現有技術主動終端過程的實現流程:
[0019]步驟301,主動終端配置ProSe限制發現應用層用戶標識;
[0020]步驟302,主動終端向它的歸屬網絡中的ProSe功能實體發送發現請求消息,消息中包括模式(其值設置為B)、發現類型、ProSe限制發現應用層用戶標識、終端標識、co_and (其值設置為ProSe查詢)、應用標識和應用透明容器等參數;
[0021]步驟303,歸屬網絡的ProSe功能實體與歸屬用戶服務器交互,進行發現認證;
[0022]步驟304,歸屬網絡的ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識、指示符和應用透明容器等參數;
[0023]步驟305,ProSe應用服務器向歸屬網絡的ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識、指示符和若干對目標ProSe發現終端標識與目標ProSe限制發現應用層用戶標識的對應關系等參數;
[0024]步驟306,歸屬網絡的ProSe功能實體向其他網絡的ProSe功能實體發送發現請求消息,消息中包括ProSe限制發現應用層用戶標識、終端標識、目標ProSe發現終端標識、應用標識、目標ProSe限制發現應用層用戶標識等參數;
[0025]步驟307,其他網絡的ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識、指示符和目標ProSe限制發現應用層用戶標識等參數;
[0026]步驟308,ProSe應用服務器向所述其他網絡的ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識、指示符和目標ProSe發現終端標識;
[0027]步驟309,所述其他網絡的ProSe功能實體向歸屬網絡的ProSe功能實體回送發現響應消息,消息中包括ProSe查詢碼和發現過濾器等參數;
[0028]步驟310,歸屬網絡的ProSe功能實體向主動終端當前注冊的拜訪網絡中的ProSe功能實體發送廣播認證消息,消息中包括ProSe應用標識、ProSe查詢碼和終端標識等參數;
[0029]步驟311,拜訪網絡的ProSe功能實體向歸屬網絡的ProSe功能實體回送廣播認證響應消息;
[0030]步驟312,歸屬網絡的ProSe功能實體向主動終端回送發現響應消息,消息中包括模式(其值設置為B)、發現過濾器、ProSe查詢碼和有效期等參數;
[0031]步驟313,主動終端配置無線資源。
[0032]圖4為現有技術查詢過程的實現流程:
[0033]步驟401,主動終端向被動終端發送查詢請求消息,消息中包括ProSe查詢碼參數;
[0034]步驟402,被動終端檢查ProSe查詢碼,如果通過檢查,向主動終端回送查詢響應消息,消息中包括ProSe響應碼參數。
[0035]圖5為現有技術匹配過程的實現流程:
[0036]步驟501,主動終端向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,消息中包括ProSe限制發現應用層用戶標識、終端標識、發現類型、應用標識和ProSe響應碼等參數;
[0037]步驟502,歸屬網絡的ProSe功能實體進行發現認證;
[0038]步驟503,歸屬網絡的ProSe功能實體分析ProSe響應碼;
[0039]步驟504,歸屬網絡的ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識、目標ProSe限制發現應用層用戶標識和指示符等參數;
[0040]步驟505,ProSe應用服務器進行處理;
[0041]步驟506,ProSe應用服務器向歸屬網絡的ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識、目標ProSe發現終端標識、指示符等參數,可選地,也可以包括元數據參數;
[0042]步驟507,歸屬網絡的ProSe功能實體驗證ProSe發現終端標識;
[0043]步驟508,歸屬網絡的ProSe功能實體向主動終端回送匹配報告響應消息,消息中包括應用標識、目標ProSe限制發現應用層用戶標識和有效期等參數,可選地,也可以包括元數據參數;
[0044]步驟509,歸屬網絡的ProSe功能實體向其他網絡的ProSe功能實體發送匹配報告信息消息,消息中包括ProSe限制發現應用層用戶標識、終端標識、ProSe響應碼和發現類型等參數。
[0045]以上的流程中對于被動終端的發現響應消息、主動終端的發現響應消息、主動終端發送給被動終端的查詢請求消息、被動終端發送給主動終端的查詢響應消息、以及主動終端的匹配報告消息都沒有進行完整性保護,存在被攻擊者重放攻擊的威脅。
【發明內容】
[0046]為解決現有存在的技術問題,本發明主要提供一種D2D模式B發現的安全方法、終端和系統。
[0047]本發明的技術方案是這樣實現的:
[0048]本發明提供一種D2D模式B發現的安全方法,該方法包括:
[0049]被動終端歸屬網絡中的ProSe功能實體向被動終端回送ProSe響應碼、ProSe響應密鑰;
[0050]被動終端接收所述ProSe響應碼、ProSe響應密鑰。
[0051]上述方案中,所述被動終端歸屬網絡中的ProSe功能實體向被動終端回送ProSe響應碼、ProSe響應密鑰,包括:被動終端歸屬網絡中的ProSe功能實體接收被動終端的發現請求消息,對所述被動終端進行認證處理,向所述被動終端發送發現響應消息,所述發現響應消息包括=ProSe響應碼、ProSe響應密鑰。
[0052]上述方案中,所述發現響應消息還包括:當前時間和最大偏移值。
[0053]上述方案中,所述發現響應消息還包括:模式、發現過濾器和有效期。
[0054]本發明提供一種D2D模式B發現的安全方法,該方法包括:
[0055]主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰;
[0056]主動終端歸屬網絡的ProSe功能實體向主動終端回送ProSe查詢碼、ProSe查詢密鑰。
[0057]上述方案中,所述主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰,包括:主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的第一發現響應消息,所述第一發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰。
[0058]上述方案中,所述第一發現響應消息還包括=ProSe查詢碼和發現過濾器。
[0059]上述方案中,所述主動終端歸屬網絡的ProSe功能實體向主動終端回送ProSe查詢碼、ProSe查詢密鑰、當前時間和最大偏移值,包括:主動終端歸屬網絡的ProSe功能實體與主動終端當前注冊的拜訪網絡中的ProSe功能實體進行廣播認證后,向主動終端回送第二發現響應消息,所述第二發現響應消息包括=ProSe查詢碼、ProSe查詢密鑰、當前時間和最大偏移值。
[0060]上述方案中,所述第二發現響應消息還包括:當前時間和最大偏移值。
[0061 ] 上述方案中,所述第二發現響應消息還包括:模式、發現過濾器和有效期。
[0062]本發明提供一種D2D模式B發現的安全方法,該方法包括:
[0063]主動終端計算查詢消息完整性保護碼(MIC),向被動終端發送ProSe查詢碼、查詢MIC和時間校準值;
[0064]主動終端接收被動終端回送的ProSe響應碼和響應MIC。
[0065]上述方案中,所述主動終端計算查詢MIC包括:主動終端使用基于哈希函數消息認證碼(HMAC)-安全散列算法(SHA-256)計算查詢MIC,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S = FCl PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于協調世界時(UTC)時間的計數器值,L2為計數器值長度。
[0066]本發明提供一種D2D模式B發現的安全方法,該方法包括:
[0067]被動終端接收主動終端發送的ProSe查詢碼、查詢MIC和時間校準值;
[0068]被動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于UTC時間的計數器值,由被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;
[0069]被動終端計算響應MIC,并向主動終端回送ProSe響應碼和響應MIC。
[0070]上述方案中,所述被動終端計算響應MIC包括:被動終端使用HMAC-SHA-256計算響應MIC,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。
[0071]本發明提供一種D2D模式B發現的安全方法,該方法包括:
[0072]主動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0073]歸屬網絡的ProSe功能實體接收ProSe響應碼、響應MIC和基于UTC時間的計數器值,分析ProSe響應碼并檢查響應MIC。
[0074]上述方案中,所述主動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值包括:主動終端向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,所述匹配報告消息包括=ProSe響應碼、響應MIC和基于UTC時間的計數器值。
[0075]上述方案中,所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識。
[0076]本發明提供一種D2D模式B發現的安全系統,該系統包括:被動終端歸屬網絡中的ProSe功能實體、被動終端;其中,
[0077]被動終端歸屬網絡中的ProSe功能實體,用于向被動終端回送ProSe響應碼、ProSe響應密鑰;
[0078]被動終端,用于接收所述ProSe響應碼、ProSe響應密鑰。
[0079]上述方案中,所述被動終端的歸屬網絡中的ProSe功能實體,具體用于接收被動終端的發現請求消息,對所述被動終端進行認證處理,向所述被動終端發送發現響應消息,所述發現響應消息包括=ProSe響應碼、ProSe響應密鑰。
[0080]上述方案中,所述發現響應消息還包括:當前時間和最大偏移值。
[0081]本發明提供一種被動終端歸屬網絡的ProSe功能實體,該ProSe功能實體包括:請求接收模塊、響應回送模塊;其中,
[0082]請求接收模塊,用于接收被動終端的發現請求消息;
[0083]響應回送模塊,用于向所述被動終端回送發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰。
[0084]本發明提供一種主動終端的歸屬網絡的ProSe功能實體,該ProSe功能實體包括:第一接收模塊、第一發送模塊;其中,
[0085]第一接收模塊,用于接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰;
[0086]第一發送模塊,用于向主動終端回送ProSe查詢碼、ProSe查詢密鑰。
[0087]上述方案中,所述第一接收模塊,具體用于接收其他網絡的ProSe功能實體回送的第一發現響應消息,所述第一發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰。
[0088]上述方案中,所述第一發送模塊,具體用于與主動終端當前注冊的拜訪網絡中的ProSe功能實體進行廣播認證后,向主動終端回送第二發現響應消息,所述第二發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰。
[0089]上述方案中,所述第二發現響應消息還包括:當前時間和最大偏移值。
[0090]本發明提供一種主動終端,該主動終端包括:第二發送模塊、第二接收模塊;其中,
[0091]第二發送模塊,用于計算查詢MIC,向被動終端發送ProSe查詢碼、查詢MIC和時間校準值;
[0092]第二接收模塊,用于接收被動終端回送的ProSe響應碼和響應MIC。
[0093]上述方案中,所述第二發送模塊,具體用于使用HMAC-SHA-256計算查詢MIC,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。
[0094]本發明提供一種被動終端,該被動終端包括:第三接收模塊、第三發送模塊、第四發送模塊,其中,
[0095]第三接收模塊,用于接收主動終端發送的ProSe查詢碼、查詢MIC和時間校準值;
[0096]第三發送模塊,用于向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于UTC時間的計數器值,由被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;
[0097]第四發送模塊,用于計算響應MIC,并向主動終端回送ProSe響應碼和響應MIC。
[0098]上述方案中,所述第四發送模塊,具體用于使用HMAC-SHA-256計算響應MIC,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S =FC I PO I I LO I I Pl I I LI I |P2| IL2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。
[0099]本發明提供一種D2D模式B發現的安全系統,該系統包括:主動終端、主動終端的歸屬網絡的ProSe功能實體;其中,
[0100]主動終端,用于向主動終端的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0101]主動終端的歸屬網絡的ProSe功能實體,用于接收ProSe響應碼、響應MIC和基于UTC時間的計數器值,分析ProSe響應碼并檢查響應MIC。
[0102]上述方案中,所述主動終端,具體用于向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,所述匹配報告消息包括:ProSe響應碼、響應MIC和基于UTC時間的計數器值。
[0103]上述方案中,所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識。
[0104]本發明提供了一種D2D模式B發現的安全方法、終端和系統,在被動終端過程中,歸屬網絡中的ProSe功能實體向被動終端回送ProSe響應碼、ProSe響應密鑰;在主動終端過程中,其他網絡的ProSe功能實體向歸屬網絡的ProSe功能實體回送ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰,歸屬網絡的ProSe功能實體向主動終端回送ProSe查詢碼、ProSe查詢密鑰;在查詢過程中,主動終端計算查詢消息完整性保護碼(MIC,Message IntegrityCode),向被動終端發送ProSe查詢碼、查詢MIC和時間校準值,被動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于協調世界時(UTC)時間的計數器值,被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;被動終端計算響應MIC向主動終端回送ProSe響應碼和響應MIC ;在匹配過程中,主動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值,歸屬網絡的ProSe功能實體分析ProSe響應碼并檢查響應MIC ;如此,在D2D模式B的發現業務的四個過程中,對被動終端的發現響應消息、主動終端的發現響應消息、主動終端發送給被動終端的查詢請求消息、被動終端發送給主動終端的查詢響應消息、以及主動終端的匹配報告消息進行了完整性保護,消除了被攻擊者重放攻擊的威脅。
【附圖說明】
[0105]圖1為D2D發現業務的通信架構示意圖;
[0106]圖2為現有的被動終端過程的流程示意圖;
[0107]圖3為現有的主動終端過程的流程示意圖;
[0108]圖4為現有的查詢過程的流程示意圖;
[0109]圖5為現有的匹配過程的流程示意圖;
[0110]圖6為本發明實施例一實現D2D模式B發現的安全方法的流程示意圖;
[0111]圖7為本發明實施例二實現D2D模式B發現的安全方法的流程示意圖;
[0112]圖8為本發明實施例三實現D2D模式B發現的安全方法的流程示意圖;
[0113]圖9為本發明實施例四實現D2D模式B發現的安全方法的流程示意圖;
[0114]圖10為本發明實施例五實現D2D模式B發現的安全方法的流程示意圖;
[0115]圖11為本發明實施例六實現D2D模式B發現的安全系統的結構示意圖;
[0116]圖12為本發明實施例七提供的被動終端歸屬網絡的ProSe功能實體的結構示意圖;
[0117]圖13為本發明實施例八提供的主動終端歸屬網絡的ProSe功能實體的結構示意圖;
[0118]圖14為本發明實施例九提供的主動終端的結構示意圖;
[0119]圖15為本發明實施例十提供的被動終端的結構示意圖;
[0120]圖16為本發明實施例十一提供的D2D模式B發現的安全系統的結構示意圖;
[0121]圖17為本發明實施例被動終端過程的具體流程示意圖;
[0122]圖18為本發明實施例主動終端過程的具體流程示意圖;
[0123]圖19為本發明實施例查詢過程的具體流程示意圖;
[0124]圖20為本發明實施例匹配過程的具體流程示意圖。
【具體實施方式】
[0125]下面通過附圖及具體實施例對本發明做進一步的詳細說明。
[0126]實施例一
[0127]本發明實施例實現一種D2D模式B發現的安全方法,如圖6所示,該方法包括以下幾個步驟:
[0128]步驟601:在被動終端過程中,被動終端歸屬網絡中的ProSe功能實體向被動終端回送ProSe響應碼、ProSe響應密鑰;
[0129]具體的,所述被動終端歸屬網絡中的ProSe功能實體接收被動終端的發現請求消息,對所述被動終端進行認證處理,向所述被動終端發送發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰;
[0130]優選的,所述發現響應消息還包括:當前時間和最大偏移值;
[0131]優選的,所述發現響應消息還包括:模式(其值設置為B)、發現過濾器和有效期等參數。
[0132]這里,所述ProSe響應密鑰由所述ProSe功能實體通過密鑰生成器產生;當前時間是所述ProSe功能實體讀取自己時鐘的當前時間;最大偏移值由所述ProSe功能實體自行設定。
[0133]步驟602:被動終端接收所述ProSe響應碼、ProSe響應密鑰;
[0134]具體的,被動終端接收發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰;
[0135]優選的,所述發現響應消息還包括:當前時間和最大偏移值;
[0136]優選的,所述發現響應消息還包括:模式(其值設置為B)、發現過濾器和有效期等參數。
[0137]優選的,所述被動終端還根據發現響應配置無線資源。
[0138]實施例二
[0139]本發明實施例實現一種D2D模式B發現的安全方法,如圖7所示,該方法包括以下幾個步驟:
[0140]步驟701:在主動終端過程中,主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰;
[0141]具體的,主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的第一發現響應消息,所述第一發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰;
[0142]優選的,所述第一發現響應消息還包括:ProSe查詢碼和發現過濾器等參數。
[0143]其中,所述ProSe查詢密鑰同ProSe響應密鑰類似,由所述ProSe功能實體通過密鑰生成器產生。
[0144]步驟702:主動終端歸屬網絡的ProSe功能實體向主動終端回送ProSe查詢碼、ProSe查詢密鑰;
[0145]具體的,主動終端歸屬網絡的ProSe功能實體與主動終端當前注冊的拜訪網絡中的ProSe功能實體進行廣播認證后,向主動終端回送第二發現響應消息,所述第二發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰;
[0146]優選的,所述第二發現響應消息還包括:當前時間和最大偏移值;
[0147]優選的,所述第二發現響應消息還包括:模式(其值設置為B)、發現過濾器和有效期等參數。
[0148]實施例三
[0149]本發明實施例實現一種D2D模式B發現的安全方法,如圖8所示,該方法包括以下幾個步驟:
[0150]步驟801:在查詢過程中,主動終端計算查詢MIC,向被動終端發送ProSe查詢碼、查詢MIC和時間校準值;
[0151]具體的,主動終端使用簽名算法即基于哈希函數消息認證碼(HMAC,Hash-basedMessage Authenticat1n Code)-安全散列算法(SHA-256,Secure Hash Algorithm)計算查詢MIC,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度,向被動終端發送查詢請求消息,所述查詢請求消息包括=ProSe查詢碼、查詢MIC和時間校準值,所述時間校準值可以為所述計數器值的低4位,用二進制表示。
[0152]步驟802:主動終端接收被動終端回送的ProSe響應碼和響應MIC ;
[0153]具體的,主動終端接收被動終端回送的查詢響應消息,所述查詢響應消息包括:ProSe響應碼和被動終端計算的響應MIC。
[0154]所述查詢響應消息還包括:被動終端提供的時間校準值,所述時間校準值可以為被動終端的基于UTC時間的計數器值的低4位,用二進制表示。
[0155]實施例四
[0156]本發明實施例實現一種D2D模式B發現的安全方法,如圖9所示,該方法包括以下幾個步驟:
[0157]步驟901:在查詢過程中,被動終端接收主動終端發送的ProSe查詢碼、查詢MIC和時間校準值;
[0158]具體的,被動終端接收主動終端發送的查詢請求消息,所述查詢請求消息包括:ProSe查詢碼、查詢MIC和時間校準值,所述時間校準值可以為主動終端的基于UTC時間的計數器值的低4位,用二進制表示。
[0159]步驟902:被動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于UTC時間的計數器值,由被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;
[0160]具體的,被動終端向自身的歸屬網絡中的ProSe功能實體發送認證請求消息,所述認證請求消息包括=ProSe查詢碼、查詢MIC和自身基于UTC時間的計數器值。
[0161]步驟903:被動終端計算響應MIC,并向主動終端回送ProSe響應碼和響應MIC ;
[0162]具體的,被動終端使用簽名算法即HMAC-SHA-256計算響應MIC,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度,向主動終端回送查詢響應消息,所述查詢響應消息包括=ProSe響應碼和響應MIC ;
[0163]所述查詢響應消息還包括:被動終端提供的時間校準值等參數,所述時間校準值可以為被動終端的基于UTC時間的計數器值的低4位,用二進制表示。
[0164]實施例五
[0165]本發明實施例實現一種D2D模式B發現的安全方法,如圖10所示,該方法包括以下幾個步驟:
[0166]步驟1001:在匹配過程中,主動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0167]具體的,主動終端向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,所述匹配報告消息包括=ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0168]所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識等參數。
[0169]步驟1002:歸屬網絡的ProSe功能實體接收ProSe響應碼、響應MIC和基于UTC時間的計數器值,分析ProSe響應碼并檢查響應MIC ;
[0170]具體的,歸屬網絡的ProSe功能實體接收所述匹配報告消息,所述匹配報告消息包括=ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0171]所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識等參數。
[0172]本發明上述D2D模式B的發現業務的四個過程的實施例,可以結合在一起實現,用于同時對被動終端的發現響應消息、主動終端的發現響應消息、主動終端發送給被動終端的查詢請求消息、被動終端發送給主動終端的查詢響應消息、以及主動終端的匹配報告消息進行完整性保護。
[0173]實施例六
[0174]為了實現上述方法,本發明實施例實現一種D2D模式B發現的安全系統,如圖11所示,該系統包括:被動終端歸屬網絡中的ProSe功能實體11、被動終端12 ;其中,
[0175]被動終端歸屬網絡中的ProSe功能實體11,用于在D2D模式B的發現業務的被動終端過程中,向被動終端12回送ProSe響應碼、ProSe響應密鑰;
[0176]被動終端12,用于接收所述ProSe響應碼、ProSe響應密鑰;
[0177]具體的,所述被動終端歸屬網絡中的ProSe功能實體11接收被動終端12的發現請求消息,對所述被動終端12進行認證處理,向所述被動終端12發送發現響應消息,所述發現響應消息包括=ProSe響應碼、ProSe響應密鑰;
[0178]優選的,所述發現響應消息還包括:當前時間和最大偏移值;
[0179]優選的,所述發現響應消息還包括:模式(其值設置為B)、發現過濾器和有效期等參數。
[0180]被動終端12接收上述發現響應消息。
[0181]優選的,所述被動終端12還根據發現響應配置無線資源。
[0182]實施例七
[0183]本發明實施例實現一種被動終端歸屬網絡的ProSe功能實體,如圖12所示,該ProSe功能實體包括:請求接收模塊111、響應回送模塊112 ;其中,
[0184]請求接收模塊111,用于接收被動終端的發現請求消息;
[0185]響應回送模塊112,用于向所述被動終端回送發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰。
[0186]優選的,所述發現響應消息還包括:當前時間和最大偏移值;
[0187]優選的,所述發現響應消息還包括:模式(其值設置為B)、發現過濾器和有效期等參數。
[0188]實施例八
[0189]本發明實施例實現一種主動終端歸屬網絡的ProSe功能實體,如圖13所示,該ProSe功能實體包括:第一接收模塊21、第一發送模塊22 ;其中,
[0190]第一接收模塊21,可以由歸屬網絡的ProSe功能實體與其他網絡的ProSe功能實體的接口實現,用于在D2D模式B的發現業務的主動終端過程中,接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰;
[0191]第一發送模塊22,可以由歸屬網絡的ProSe功能實體與主動終端的接口實現,用于向主動終端回送ProSe查詢碼、ProSe查詢密鑰;
[0192]具體的,所述第一接收模塊21接收其他網絡的ProSe功能實體回送的第一發現響應消息,所述第一發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰;
[0193]優選的,所述第一發現響應消息還包括:ProSe查詢碼和發現過濾器等參數。
[0194]所述第一發送模塊22與主動終端當前注冊的拜訪網絡中的ProSe功能實體進行廣播認證后,向主動終端回送第二發現響應消息,所述第二發現響應消息包括=ProSe查詢碼、ProSe查詢密鑰;
[0195]優選的,所述第二發現響應消息還包括:當前時間和最大偏移值;
[0196]優選的,所述第二發現響應消息還包括:模式(其值設置為B)、發現過濾器和有效期等參數。
[0197]實施例九
[0198]本發明實施例實現一種主動終端,如圖14所示,該主動終端包括:第二發送模塊
31、第二接收模塊32 ;其中,
[0199]第二發送模塊31,可以由處理器結合接口實現,用于在D2D模式B的發現業務的查詢過程中,計算查詢MIC,向被動終端發送ProSe查詢碼、查詢MIC和時間校準值;
[0200]第二接收模塊32,可以由接口實現,用于接收被動終端回送的ProSe響應碼和響應 MIC ;
[0201]具體的,所述第二發送模塊31使用HMAC-SHA-256計算查詢MIC,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度,向被動終端發送查詢請求消息,所述查詢請求消息包括=ProSe查詢碼、查詢MIC和時間校準值,所述時間校準值可以為所述計數器值的低4位,用二進制表示。
[0202]所述第二接收模塊32接收被動終端回送的查詢響應消息,所述查詢響應消息包括=ProSe響應碼和被動終端計算的響應MIC。
[0203]所述查詢響應消息還包括:被動終端提供的時間校準值,所述時間校準值可以為被動終端的基于UTC時間的計數器值的低4位,用二進制表示。
[0204]實施例十
[0205]本發明實施例實現一種被動終端,如圖15所示,該被動終端包括:第三接收模塊41、第三發送模塊42、第四發送模塊43,其中,
[0206]第三接收模塊41,可以由接口實現,用于在D2D模式B的發現業務的查詢過程中,接收主動終端發送的ProSe查詢碼、查詢MIC和時間校準值;
[0207]第三發送模塊42,可以由接口實現,用于向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于UTC時間的計數器值,由被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;
[0208]第四發送模塊43,可以由處理器結合接口實現,用于計算響應MIC,并向主動終端回送ProSe響應碼和響應MIC ;
[0209]具體的,所述第三接收模塊41接收主動終端發送的查詢請求消息,所述查詢請求消息包括=ProSe查詢碼、查詢MIC和時間校準值,所述時間校準值可以為主動終端的基于UTC時間的計數器值的低4位,用二進制表示。
[0210]所述第三發送模塊42向自身的歸屬網絡中的ProSe功能實體發送認證請求消息,所述認證請求消息包括=ProSe查詢碼、查詢MIC和自身基于UTC時間的計數器值。
[0211]所述第四發送模塊43使用HMAC-SHA-256計算響應MIC,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度,向主動終端回送查詢響應消息,所述查詢響應消息包括=ProSe響應碼和響應MIC ;
[0212]所述查詢響應消息還包括:被動終端提供的時間校準值等參數,所述時間校準值可以為被動終端的基于UTC時間的計數器值的低4位,用二進制表示。
[0213]實施例^^一
[0214]本發明實施例實現一種D2D模式B發現的安全系統,如圖16所示,該系統包括:主動終端51、主動終端歸屬網絡的ProSe功能實體52 ;其中,
[0215]主動終端51,用于在D2D模式B的發現業務的匹配過程中,向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0216]歸屬網絡的ProSe功能實體52,用于接收ProSe響應碼、響應MIC和基于UTC時間的計數器值,分析ProSe響應碼并檢查響應MIC ;
[0217]具體的,所述主動終端51向自身的歸屬網絡中的ProSe功能實體52發送匹配報告消息,所述匹配報告消息包括=ProSe響應碼、響應MIC和基于UTC時間的計數器值;
[0218]所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識等參數。
[0219]歸屬網絡的ProSe功能實體52接收所述匹配報告,所述匹配報告消息包括:Pr0Se響應碼、響應MIC和基于UTC時間的計數器值;
[0220]所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識等參數。
[0221]下面通過幾個具體的示例對本發明的4個過程進行進一步說明。
[0222]被動終端過程的實現流程,如圖17所示:
[0223]步驟1101,被動終端配置ProSe限制發現應用層用戶標識;
[0224]步驟1102,被動終端向自身的歸屬網絡中的ProSe功能實體發送發現請求消息,消息中包括模式(其值設置為B)、發現類型、限制發現應用層用戶標識、終端標識、command (其值設置為ProSe響應)和應用標識等參數;
[0225]步驟1103,ProSe功能實體與歸屬用戶服務器交互,進行發現認證;
[0226]步驟1104,ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識和指示符等參數;
[0227]步驟1105,ProSe應用服務器向ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識和指示符等參數;
[0228]步驟1106,ProSe功能實體分配ProSe響應碼與發現過濾器;
[0229]步驟1107,ProSe功能實體向被動終端當前注冊的拜訪網絡中的ProSe功能實體發送廣播認證消息,消息中包括ProSe限制發現應用層用戶標識、ProSe響應碼、有效期和終端標識等參數;
[0230]步驟1108,拜訪網絡中的ProSe功能實體向歸屬網絡中的功能實體回送廣播認證響應消息;
[0231]步驟1109,歸屬網絡中的ProSe功能實體向被動終端回送發現響應消息,消息中包括模式(其值設置為B)、發現過濾器、ProSe響應碼、有效期、ProSe響應密鑰、當前時間和最大偏移值等參數;
[0232]步驟1110,被動終端配置無線資源。
[0233]主動終端過程的實現流程,如圖18所示:
[0234]步驟1201,主動終端配置ProSe限制發現應用層用戶標識;
[0235]步驟1202,主動終端向它的歸屬網絡中的ProSe功能實體發送發現請求消息,消息中包括模式(其值設置為B)、發現類型、限制發現應用層用戶標識、終端標識、co_and (其值設置為ProSe查詢)、應用標識和應用透明容器等參數;
[0236]步驟1203,ProSe功能實體與歸屬用戶服務器交互,進行發現認證;
[0237]步驟1204,ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識、指示符和應用透明容器等參數;
[0238]步驟1205,ProSe應用服務器向ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識、指示符和若干對目標ProSe發現終端標識與目標ProSe限制發現應用層用戶標識的對應關系等參數;
[0239]步驟1206,歸屬網絡的ProSe功能實體向其他網絡的ProSe功能實體發送發現請求消息,消息中包括ProSe限制發現應用層用戶標識、終端標識、目標ProSe發現終端標識、應用標識、目標ProSe限制發現應用層用戶標識等參數;
[0240]步驟1207,其他網絡的ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識、指示符和目標ProSe限制發現應用層用戶標識等參數;
[0241]步驟1208,ProSe應用服務器向其他網絡的ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識、指示符和目標ProSe發現終端標識;
[0242]步驟1209,其他網絡的ProSe功能實體向歸屬網絡的ProSe功能實體回送發現響應消息,消息中包括ProSe查詢碼、發現過濾器、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰等參數;
[0243]步驟1210,歸屬網絡的ProSe功能實體向主動終端當前注冊的拜訪網絡中的ProSe功能實體發送廣播認證消息,消息中包括ProSe應用標識、ProSe查詢碼和終端標識等參數;
[0244]步驟1211,拜訪網絡的ProSe功能實體向歸屬網絡的ProSe功能實體回送廣播認證響應消息;
[0245]步驟1212,歸屬網絡的ProSe功能實體向主動終端回送發現響應消息,消息中包括模式(其值設置為B)、發現過濾器、ProSe查詢碼、ProSe查詢密鑰、當前時間、最大偏移值和有效期等參數;
[0246]步驟1213,主動終端配置無線資源。
[0247]查詢過程的實現流程,如圖19所示:
[0248]步驟1301,主動終端計算查詢MIC ;
[0249]這里,所述查詢MIC使用簽名算法即HMAC-SHA-256計算所得,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。
[0250]步驟1302,主動終端向被動終端發送查詢請求消息,消息中包括ProSe查詢碼、查詢MIC和計數器值的最低4位(二級制)等參數;
[0251]步驟1303,被動終端向它的歸屬網絡中的ProSe功能實體發送認證請求消息,消息中包括ProSe查詢碼、查詢MIC和基于UTC時間的計數器值等參數;
[0252]步驟1304,被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;
[0253]步驟1305,被動終端的歸屬網絡的ProSe功能實體向被動終端回送認證響應消息;
[0254]步驟1306,被動終端計算響應MIC ;
[0255]這里,所述響應MIC使用簽名算法即HMAC-SHA-256計算所得,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S =FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。
[0256]步驟1307,被動終端檢查ProSe查詢碼,如果通過檢查,向主動終端回送查詢響應消息,消息中包括ProSe響應碼、響應MIC和計數器值的最低4位(二級制)參數。
[0257]匹配過程的實現流程,如圖20所示:
[0258]步驟1401,主動終端向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,消息中包括ProSe限制發現應用層用戶標識、終端標識、發現類型、應用標識、ProSe響應碼、ProSe響應MIC和基于UTC時間的計數器值等參數;
[0259]步驟1402,歸屬網絡的ProSe功能實體進行發現認證;
[0260]步驟1403,歸屬網絡的ProSe功能實體分析ProSe響應碼并檢查響應MIC ;
[0261]步驟1404,歸屬網絡的ProSe功能實體向ProSe應用服務器發送認證請求消息,消息中包括ProSe限制發現應用層用戶標識、目標ProSe限制發現應用層用戶標識和指示符等參數;
[0262]步驟1405,ProSe應用服務器進行處理;
[0263]步驟1406,ProSe應用服務器向歸屬網絡的ProSe功能實體回送認證響應消息,消息中包括ProSe發現終端標識、目標ProSe發現終端標識、指示符等參數,可選地,也可以包括元數據參數;
[0264]步驟1407,歸屬網絡的ProSe功能實體驗證ProSe發現終端標識;
[0265]步驟1408,歸屬網絡的ProSe功能實體向主動終端回送匹配報告響應消息,消息中包括應用標識,目標ProSe限制發現應用層用戶標識和有效期等參數,可選地,也可以包括元數據參數;
[0266]步驟1409,歸屬網絡的ProSe功能實體向其他網絡的ProSe功能實體發送匹配報告信息消息,消息中包括ProSe限制發現應用層用戶標識、終端標識、ProSe響應碼和發現類型等參數。
[0267]以上所述,僅為本發明的較佳實施例而已,并非用于限定本發明的保護范圍,凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發明的保護范圍之內。
【主權項】
1.一種設備到設備(D2D)模式B發現的安全方法,其特征在于,該方法包括: 被動終端歸屬網絡中的基于距離的業務(ProSe)功能實體向被動終端回送ProSe響應碼、ProSe響應密鑰; 被動終端接收所述ProSe響應碼、ProSe響應密鑰。2.根據權利要求1所述的安全方法,其特征在于,所述被動終端歸屬網絡中的ProSe功能實體向被動終端回送ProSe響應碼、ProSe響應密鑰,包括:被動終端歸屬網絡中的ProSe功能實體接收被動終端的發現請求消息,對所述被動終端進行認證處理,向所述被動終端發送發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰。3.根據權利要求2所述的安全方法,其特征在于,所述發現響應消息還包括:當前時間和最大偏移值。4.根據權利要求3所述的安全方法,其特征在于,所述發現響應消息還包括:模式、發現過濾器和有效期。5.一種D2D模式B發現的安全方法,其特征在于,該方法包括: 主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰; 主動終端歸屬網絡的ProSe功能實體向主動終端回送ProSe查詢碼、ProSe查詢密鑰。6.根據權利要求5所述的安全方法,其特征在于,所述主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰,包括:主動終端歸屬網絡的ProSe功能實體接收其他網絡的ProSe功能實體回送的第一發現響應消息,所述第一發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰。7.根據權利要求6所述的安全方法,其特征在于,所述第一發現響應消息還包括:ProSe查詢碼和發現過濾器。8.根據權利要求6所述的安全方法,其特征在于,所述主動終端歸屬網絡的ProSe功能實體向主動終端回送ProSe查詢碼、ProSe查詢密鑰、當前時間和最大偏移值,包括:主動終端歸屬網絡的ProSe功能實體與主動終端當前注冊的拜訪網絡中的ProSe功能實體進行廣播認證后,向主動終端回送第二發現響應消息,所述第二發現響應消息包括=ProSe查詢碼、ProSe查詢密鑰、當前時間和最大偏移值。9.根據權利要求8所述的安全方法,其特征在于,所述第二發現響應消息還包括:當前時間和最大偏移值。10.根據權利要求9所述的安全方法,其特征在于,所述第二發現響應消息還包括:模式、發現過濾器和有效期。11.一種D2D模式B發現的安全方法,其特征在于,該方法包括: 主動終端計算查詢消息完整性保護碼(MIC),向被動終端發送ProSe查詢碼、查詢MIC和時間校準值; 主動終端接收被動終端回送的ProSe響應碼和響應MIC。12.根據權利要求11所述的安全方法,其特征在于,所述主動終端計算查詢MIC包括:主動終端使用基于哈希函數消息認證碼(HMAC)-安全散列算法(SHA-256)計算查詢MIC,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S =FC I PO I I LO I I Pl I I LI I |P2| IL2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_DISCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于協調世界時(UTC)時間的計數器值,L2為計數器值長度。13.—種D2D模式B發現的安全方法,其特征在于,該方法包括: 被動終端接收主動終端發送的ProSe查詢碼、查詢MIC和時間校準值; 被動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于UTC時間的計數器值,由被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ; 被動終端計算響應MIC,并向主動終端回送ProSe響應碼和響應MIC。14.根據權利要求13所述的安全方法,其特征在于,所述被動終端計算響應MIC包括:被動終端使用HMAC-SHA-256計算響應MIC,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S = FC| PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。15.一種D2D模式B發現的安全方法,其特征在于,該方法包括: 主動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值; 歸屬網絡的ProSe功能實體接收ProSe響應碼、響應MIC和基于UTC時間的計數器值,分析ProSe響應碼并檢查響應MIC。16.根據權利要求15所述的安全方法,其特征在于,所述主動終端向自身的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值包括:主動終端向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,所述匹配報告消息包括:ProSe響應碼、響應MIC和基于UTC時間的計數器值。17.根據權利要求16所述的安全方法,其特征在于,所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識。18.—種D2D模式B發現的安全系統,其特征在于,該系統包括:被動終端歸屬網絡中的ProSe功能實體、被動終端;其中, 被動終端歸屬網絡中的ProSe功能實體,用于向被動終端回送ProSe響應碼、ProSe響應密鑰; 被動終端,用于接收所述ProSe響應碼、ProSe響應密鑰。19.根據權利要求18所述的安全系統,其特征在于,所述被動終端的歸屬網絡中的ProSe功能實體,具體用于接收被動終端的發現請求消息,對所述被動終端進行認證處理,向所述被動終端發送發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰。20.根據權利要求19所述的安全系統,其特征在于,所述發現響應消息還包括:當前時間和最大偏移值。21.一種被動終端歸屬網絡的ProSe功能實體,其特征在于,該ProSe功能實體包括:請求接收模塊、響應回送模塊;其中, 請求接收模塊,用于接收被動終端的發現請求消息; 響應回送模塊,用于向所述被動終端回送發現響應消息,所述發現響應消息包括:ProSe響應碼、ProSe響應密鑰。22.一種主動終端的歸屬網絡的ProSe功能實體,其特征在于,該ProSe功能實體包括:第一接收模塊、第一發送模塊;其中, 第一接收模塊,用于接收其他網絡的ProSe功能實體回送的ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰; 第一發送模塊,用于向主動終端回送ProSe查詢碼、ProSe查詢密鑰。23.根據權利要求22所述的ProSe功能實體,其特征在于,所述第一接收模塊,具體用于接收其他網絡的ProSe功能實體回送的第一發現響應消息,所述第一發現響應消息包括:ProSe查詢碼、ProSe查詢密鑰、ProSe響應碼和ProSe響應密鑰。24.根據權利要求23所述的ProSe功能實體,其特征在于,所述第一發送模塊,具體用于與主動終端當前注冊的拜訪網絡中的ProSe功能實體進行廣播認證后,向主動終端回送第二發現響應消息,所述第二發現響應消息包括=ProSe查詢碼、ProSe查詢密鑰。25.根據權利要求24所述的ProSe功能實體,其特征在于,所述第二發現響應消息還包括:當前時間和最大偏移值。26.—種主動終端,其特征在于,該主動終端包括:第二發送模塊、第二接收模塊;其中, 第二發送模塊,用于計算查詢MIC,向被動終端發送ProSe查詢碼、查詢MIC和時間校準值; 第二接收模塊,用于接收被動終端回送的ProSe響應碼和響應MIC。27.根據權利要求26所述的主動終端,其特征在于,所述第二發送模塊,具體用于使用HMAC-SHA-256計算查詢MIC,即MIC = HMAC-SHA-256 (ProSe查詢密鑰,字符串S),所述字符串由S = FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe查詢碼,LI為ProSe查詢碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。28.一種被動終端,其特征在于,該被動終端包括:第三接收模塊、第三發送模塊、第四發送模塊,其中, 第三接收模塊,用于接收主動終端發送的ProSe查詢碼、查詢MIC和時間校準值;第三發送模塊,用于向自身的歸屬網絡中的ProSe功能實體發送ProSe查詢碼、查詢MIC和基于UTC時間的計數器值,由被動終端的歸屬網絡的ProSe功能實體檢查查詢MIC ;第四發送模塊,用于計算響應MIC,并向主動終端回送ProSe響應碼和響應MIC。29.根據權利要求28所述的被動終端,其特征在于,所述第四發送模塊,具體用于使用HMAC-SHA-256計算響應MIC,即MIC = HMAC-SHA-256 (ProSe響應密鑰,字符串S),所述字符串由S = FC PO LO Pl LI P2 L2組成,其中FC為固定長度的算法類型,PO為消息類型,其值設置為PC5_D I SCOVERY,LO為消息類型長度,Pl為ProSe響應碼,LI為ProSe響應碼長度,P2為基于UTC時間的計數器值,L2為計數器值長度。30.一種D2D模式B發現的安全系統,其特征在于,該系統包括:主動終端、主動終端的歸屬網絡的ProSe功能實體;其中, 主動終端,用于向主動終端的歸屬網絡中的ProSe功能實體發送ProSe響應碼、響應MIC和基于UTC時間的計數器值; 主動終端的歸屬網絡的ProSe功能實體,用于接收ProSe響應碼、響應MIC和基于UTC時間的計數器值,分析ProSe響應碼并檢查響應MIC。31.根據權利要求30所述的安全系統,其特征在于,所述主動終端,具體用于向自身的歸屬網絡中的ProSe功能實體發送匹配報告消息,所述匹配報告消息包括:ProSe響應碼、響應MIC和基于UTC時間的計數器值。32.根據權利要求31所述的安全系統,其特征在于,所述匹配報告消息還包括ProSe限制發現應用層用戶標識、終端標識、發現類型和應用標識。
【文檔編號】H04W48/16GK105828413SQ201510013226
【公開日】2016年8月3日
【申請日】2015年1月9日
【發明人】彭錦, 游世林, 梁爽, 林兆驥
【申請人】中興通訊股份有限公司