一种D2D业务组播的认证方法、装置和系统与流程

本发明涉及移动通信领域，具体涉及一种D2D业务组播的认证方法、装置和系统。

背景技术：

临近区域的终端利用设备到设备(Device to Device，简称为D2D)直接通信能够给终端带来很多好处，比如更高的速率，更低的延迟以及更小的功耗，同时也极大地提高了运营商的无线资源效率，D2D的中继(Relay)模式有利于运营商提高无线覆盖；对于应用来说利用D2D通讯过程中的临近信息可以开发出更加吸引人的新业务。公共安全(Public Safety)系统也可以利用D2D技术实现没有无线覆盖的情况下终端之间的通讯。

图1是相关技术中与3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)相关的D2D Relay架构示意图，如图1所示，涉及网元的功能说明如下。

远终端：也称为用户设备(User Equipment，简称为UE)，该终端处于无移动信号覆盖之内，支持通过PC5接口和其他终端进行D2D发现和通信，远终端也可以通过Relay节点和网络进行通信。

Relay节点：该节点是一个终端，处于有移动信号覆盖之内，支持其他远终端通过该终端和网络通信，Relay节点支持Relay发现广播，远终端通过读取该广播信息，选择合适的Relay节点并通过该节点和网络进行通信。

基站：为Relay节点提供无线覆盖，也可以为Relay节点进行D2D发现或者通信时候进行无线资源授权和分配。在进行eMBMS(Evolved Multimedia Broadcast Multicast Service，增强型多媒体广播多播业务)广播的时候，基站通过广播进行下行数据发送，有利于节约空口资源。基站和终端或中继节点 之间的空中接口为Uu口。

核心网：主要负责Relay节点的注册、分配IP(Internet Protocol，网络互连协议)地址以及承载建立，Relay节点通过核心网和外部网络进行通信。基站和核心网之间接口为S1接口。

集群通信服务器：集群服务主要功能包括集群业务组的管理、呼叫建立、释放和管理等功能。UE和集群通信服务器之间为PC1接口，UE利用该接口向集群通信服务器发起注册，并从集群通信服务器获得业务相关信息，UE也通过该接口向集群通信服务器发起组呼叫、请求话权等功能。

D2D业务可以利用中继节点向远终端提供eMBMS组播业务，相关的流程如图2所示。

201，远终端发现中继节点，应用向远终端提供TMGI(Temporary Mobile Group Identity，临时移动组标识)，其中所述应用安装远终端上，可以跟集群通信服务器交互；

202，远终端向中继节点发送TMGI监听请求消息，消息中包括TMGI参数；

203，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe(Proximity-based Services，基于邻近的业务)层2组标识和TMGI定时器等参数；

204，中继节点监听到TMGI广播；

205，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

206，远终端可以通过中继节点的中继接收广播内容。

在以上的流程中，中继节点和远终端之间使用D2D组播方式进行通讯，这要求中继节点和远终端加入同一个D2D组播组，并获取该组的群组密钥。但是，远终端没有网络覆盖，无法跟网络交互完成加入群组和获取群组密钥的过程，因此无法提供安全的eMBMS业务。

技术实现要素：

本发明提供一种D2D业务组播的认证方法、装置和系统，实现在D2D业务中中继节点向远终端进行组播的认证。

为了实现上述发明目的，本发明采取的技术方案如下：

一种设备到设备D2D业务组播的认证方法，包括：

接收终端发送的密钥请求消息；

对所述终端的安全能力进行验证；

当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

进一步地，当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

进一步地，所述接收终端发送的密钥请求消息之后还包括：与基于邻近的业务ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

进一步地，所述接收终端发送的密钥请求消息之前还包括：

接收所述终端发送的临时移动组标识TMGI监听请求消息；

根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；并接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；向所述终端发送TMGI监听响应消息；

当存在与所述TMGI对应的ProSe组时，向所述终端发送TMGI监听响应消息。

进一步地，向所述终端发送密钥响应消息之后还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

进一步地，所述密钥请求消息包括：待接入D2D组标识和终端安全能力参数；或者包括临时移动组标识TMGI参数和终端安全能力参数；或者包括待接入D2D组标识、所述终端标识和终端安全能力参数。

进一步地，所述群组密钥信息包括：所述D2D组成员标识、ProSe组密钥PGK标识、PGK和待接入D2D组的安全算法；或者包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数；或者包括所述D2D组成员标识、ProSe多媒体互联网密钥PMK标识、PMK和待接入D2D组的安全算法；或者包括所述终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。

为了实现上述发明目的，本发明还提供一种设备到设备D2D业务组播的认证方法，包括：

向中继节点发送密钥请求消息；

接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

进一步地，向中继节点发送密钥请求消息之前还包括：

向所述中继节点发送临时移动组标识TMGI监听请求消息；

接收所述中继节点返回的TMGI监听响应消息。

为了实现上述发明目的，本发明还提供一种设备到设备D2D业务组播的认证装置，设置在中继节点，包括：

第一接收模块，用于接收终端发送的密钥请求消息；

验证模块，用于对所述终端的安全能力进行验证；以及

第一发送模块，当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

可选地，所述第一发送模块还用于当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

可选地，所述装置还包括交互模块，

所述交互模块，用于与基于邻近的业务ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

可选地，所述装置还包括确定模块，

所述第一接收模块，还用于接收所述终端发送的临时移动组标识TMGI监听请求消息；

所述确定模块，用于根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

所述第一发送模块，还用于当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；所述第一接收模块，还用于接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；

所述第一发送模块，还用于向所述终端发送TMGI监听响应消息。

可选地，所述第一发送模块，还用于向所述终端发送密钥响应消息之后还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

为了实现上述发明目的，本发明还提供一种设备到设备D2D业务组播的认证装置，设置在终端，包括：

第二发送模块，用于向中继节点发送密钥请求消息；

第二接收模块，用于接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，所述第二发送模块，还用于向所述中继节点发送临时移动组标识TMGI监听请求消息；

所述第二接收模块，还用于接收所述中继节点返回的TMGI监听响应消息。

为了实现上述发明目的，本发明还提供一种设备到设备D2D业务组播的认证系统，包括上述的中继节点和上述的终端。

本发明和现有技术相比，具有如下有益效果：

本发明通过中继节点具有ProSe管理功能实体的功能，或者终端通过中继节点与ProSe密钥管理功能实体交互，向终端分配D2D组密钥，实现了使用D2D中继节点向终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。

附图说明

图1是D2D业务Relay架构示意图；

图2是相关技术利用中继节点向远终端提供eMBMS组播业务的流程图；

图3是本发明实施例利用中继节点向远终端提供安全的eMBMS组播业务的基本流程图；

图4是本发明利用中继节点向远终端提供安全的eMBMS组播业务，合并监听请求和密钥请求消息的流程图；

图5是本发明利用中继节点向远终端提供安全的eMBMS组播业务，使用MIKEY发送PGK等参数的流程图；

图6是本发明利用中继节点向远终端提供安全的eMBMS组播业务，ProSe密钥管理功能实体独立设置的流程图；

图7是本发明实施例中继节点侧D2D业务组播的认证方法的流程图；

图8是本发明实施例终端侧D2D业务组播的认证方法的流程图；

图9本发明实施例中继节点侧D2D业务组播的认证装置的结构示意图；

图10是本发明实施例终端侧D2D业务组播的认证装置的结构示意图。

具体实施方式

为使本发明的发明目的、技术方案和有益效果更加清楚明了，下面结合附图对本发明的实施例进行说明，需要说明的是，在不冲突的情况下，本申请中的实施例和实施例中的特征可以相互任意组合。

如图7所示，本发明实施例提供的一种设备到设备D2D业务组播的认证方法，应用于中继节点，包括：

Sa、接收终端发送的密钥请求消息；

Sb、对所述终端的安全能力进行验证；

Sc、当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

Sc中如果所述终端的安全能力不支持待接入D2D组的安全算法，向所述终端发送密钥响应消息，所述密钥响应消息携带失败标识和失败原因信息。

可选地，Sa之后还包括：与ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

在D2D业务中中继节点向终端进行组播的认证，中继节点可具有ProSe密钥管理功能实体的功能，或者终端通过中继节点与ProSe密钥管理功能实体交互。终端向中继节点请求组密钥，用于D2D组播通讯。中继节点接收eMBMS组播，将内容转换为D2D组播发送。实现了使用D2D中继节点向远终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。

可选地，Sa之前还包括：

接收所述终端发送的临时移动组标识TMGI监听请求消息；

根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；并接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；向所述终端发送TMGI监听响应消息；

当存在与所述TMGI对应的ProSe组时，向所述终端发送TMGI监听响应消息。

可选地，Sc之后还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

当所述密钥请求消息包括：待接入D2D组标识和终端安全能力参数；所述群组密钥信息包括：所述D2D组成员标识、PGK(ProSe Group Key，ProSe组密钥)标识、PGK和待接入D2D组的安全算法。

当所述密钥请求消息包括临时移动组标识TMGI参数和终端安全能力参数；所述群组密钥信息包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数；或者包括所述D2D组成员标识、PMK(ProSe MIKEY Key，ProSe多媒体互联网密钥)标识、PMK和待接入D2D组的安全算法。

当所述密钥请求消息包括待接入D2D组标识、终端标识和终端安全能力参数；所述群组密钥信息包括终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。

其中，MIKEY消息由RFC(Remote Function Call，远程函数调用)3830定义，MIKEY消息可以在两个实体间建立安全连接，用于传送密钥等重要数据，PGK为ProSe组的共享密钥，PMK用于MIKEY消息加密的密钥。

如图8所示，本发明实施例提供的一种设备到设备D2D业务组播的认证方法，应用于终端，包括：

Sd、向中继节点发送密钥请求消息；

Se、接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，Sd之前还包括：

向所述中继节点发送临时移动组标识TMGI监听请求消息；

接收所述中继节点返回的TMGI监听响应消息。

如图9所示，本发明实施例提供的一种设备到设备D2D业务组播的认证装置，设置在中继节点，包括：

第一接收模块110，用于接收终端发送的密钥请求消息；

验证模块120，用于对所述终端的安全能力进行验证；以及

第一发送模块130，当所述终端的安全能力支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带所述D2D组的群组密钥信息。

所述第一发送模块还用于当所述终端的安全能力不支持待接入D2D组的安全算法时，向所述终端发送密钥响应消息，所述密钥响应消息携带失败 标识和失败原因信息。

可选地，上述认证装置还包括交互模块140，所述交互模块140，用于与ProSe密钥管理功能实体交互，获取所述D2D组的群组密钥信息。

可选地，上述认证装置还包括确定模块150，

所述第一接收模块110，还用于接收所述终端发送的临时移动组标识TMGI监听请求消息；

所述确定模块150，用于根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组；

所述第一发送模块130，还用于当不存在与所述TMGI对应的ProSe组时，向ProSe功能实体发送群组请求消息；所述第一接收模块110，还用于接收所述ProSe功能实体发送群组响应消息，所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息；

所述第一发送模块130，还用于向所述终端发送TMGI监听响应消息。

可选地，所述第一发送模块130，还用于向所述终端发送密钥响应消息之后还包括：向所述终端发送多媒体互联网密钥MIKEY消息，所述MIKEY消息用于传送密钥数据。

如图10所示、本发明实施例提供的一种设备到设备D2D业务组播的认证装置，设置在终端，包括：

第二发送模块210，用于向中继节点发送密钥请求消息；

第二接收模块220，用于接收所述中继节点返回的密钥响应消息，所述密钥响应消息携带待接入D2D组的群组密钥信息。

可选地，所述第二发送模块210，还用于向所述中继节点发送临时移动组标识TMGI监听请求消息；

所述第二接收模块220，还用于接收所述中继节点返回的TMGI监听响应消息。

本发明实施例还提供一种设备到设备D2D业务组播的认证系统，包括上述的中继节点和终端。

实施例一：

如图3所示，利用中继节点向远终端提供安全的eMBMS组播业务的基本流程如下所示：

301，远终端发现中继节点，应用向远终端提供TMGI；

302，远终端向中继节点发送TMGI监听请求消息，消息中包括TMGI参数；

303，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe层2组标识和TMGI定时器等参数；

304，远终端向中继节点发送密钥请求消息，消息中包括ProSe层2组标识和终端安全能力等参数；

305，中继节点进行算法检查，确定远终端的安全能力是否支持组安全算法；

306，中继节点向远终端回送密钥响应消息，消息中包括组成员标识、PGK标识、PGK和算法等参数；

307，中继节点监听到TMGI广播；

308，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

309，远终端可以通过中继节点的中继接收广播内容。

实施例二：

如图4所示，利用中继节点向远终端提供安全的eMBMS组播业务，合并监听请求和密钥请求消息的流程如下所示：

401，远终端发现中继节点，应用向远终端提供TMGI；

402，远终端向中继节点发送TMGI监听与密钥请求消息，消息中包括TMGI参数和终端安全能力等参数；

403，中继节点进行算法检查，确定远终端的安全能力是否支持组安全算法；

404，中继节点向远终端回送TMGI监听与密钥响应消息，消息中包括 ProSe层2组标识、组成员标识、PGK标识、PGK、算法和TMGI定时器等参数；

405，中继节点监听到TMGI广播；

406，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

407，远终端可以通过中继节点的中继接收广播内容。

实施例三：

如图5所示，利用中继节点向远终端提供安全的eMBMS组播业务，使用MIKEY发送PGK等参数的流程如下所示：

501，远终端发现中继节点，应用向远终端提供TMGI；

502，远终端向中继节点发送TMGI监听请求消息，消息中包括TMGI参数；

503，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe层2组标识和TMGI定时器等参数；

504，远终端向中继节点发送密钥请求消息，消息中包括ProSe层2组标识和终端安全能力等参数；

505，中继节点进行算法检查，确定远终端的安全能力是否支持组安全算法；

506，中继节点向远终端回送密钥响应消息，消息中包括组成员标识、PMK标识、PMK和算法等参数；

507，中继节点使用MIKEY消息向远终端发送PGK、PGK标识和定时器等参数；

508，中继节点监听到TMGI广播；

509，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

510，远终端可以通过中继节点的中继接收广播内容。

实施例四：

如图6所示，利用中继节点向远终端提供安全的eMBMS组播业务，ProSe密钥管理功能实体独立设置的流程如下所示：

601，远终端发现中继节点，应用向远终端提供TMGI；

602，远终端向中继节点发送TMGI监听请求消息，消息中包括终端标识和TMGI等参数；中继节点检查是否存在与该TMGI对应的ProSe组，或是否存在已分配而尚未使用的ProSe组，如有，则转至步骤605；如无，则转至步骤603；

603，可选地，中继节点向ProSe功能实体发送群组请求消息，消息中包括中继节点终端标识和远终端终端标识；

604，可选地，ProSe功能实体为该中继节点和远终端分配ProSe群组，ProSe密钥管理功能实体为该群组生成PGK；ProSe功能实体向中继节点回送群组响应消息，消息中包括ProSe层2组标识参数；

605，中继节点向远终端回送TMGI监听响应消息，消息中包括ProSe层2组标识和TMGI定时器等参数；

604，远终端向通过中继节点向ProSe密钥管理功能实体发送密钥请求消息，消息中包括ProSe层2组标识、终端标识和终端安全能力等参数；

605，ProSe密钥管理功能实体进行算法检查，确定远终端的安全能力是否支持组安全算法；

606，ProSe密钥管理功能实体通过中继节点向远终端回送密钥响应消息，消息中包括远终端的终端标识、组成员标识、PGK标识、PGK和算法等参数；

607，中继节点监听到TMGI广播；

608，中继节点向远终端发送TMGI通知消息，消息中包括TMGI参数；

609，远终端可以通过中继节点的中继接收广播内容。

虽然本发明所揭示的实施方式如上，但其内容只是为了便于理解本发明的技术方案而采用的实施方式，并非用于限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所揭示的核心技术方案的前提下，可以 在实施的形式和细节上做任何修改与变化，但本发明所限定的保护范围，仍须以所附的权利要求书限定的范围为准。