本发明涉及移动通信领域,具体涉及一种D2D业务组播的认证方法、装置和系统。
背景技术:
临近区域的终端利用设备到设备(Device to Device,简称为D2D)直接通信能够给终端带来很多好处,比如更高的速率,更低的延迟以及更小的功耗,同时也极大地提高了运营商的无线资源效率,D2D的中继(Relay)模式有利于运营商提高无线覆盖;对于应用来说利用D2D通讯过程中的临近信息可以开发出更加吸引人的新业务。公共安全(Public Safety)系统也可以利用D2D技术实现没有无线覆盖的情况下终端之间的通讯。
图1是相关技术中与3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)相关的D2D Relay架构示意图,如图1所示,涉及网元的功能说明如下。
远终端:也称为用户设备(User Equipment,简称为UE),该终端处于无移动信号覆盖之内,支持通过PC5接口和其他终端进行D2D发现和通信,远终端也可以通过Relay节点和网络进行通信。
Relay节点:该节点是一个终端,处于有移动信号覆盖之内,支持其他远终端通过该终端和网络通信,Relay节点支持Relay发现广播,远终端通过读取该广播信息,选择合适的Relay节点并通过该节点和网络进行通信。
基站:为Relay节点提供无线覆盖,也可以为Relay节点进行D2D发现或者通信时候进行无线资源授权和分配。在进行eMBMS(Evolved Multimedia Broadcast Multicast Service,增强型多媒体广播多播业务)广播的时候,基站通过广播进行下行数据发送,有利于节约空口资源。基站和终端或中继节点 之间的空中接口为Uu口。
核心网:主要负责Relay节点的注册、分配IP(Internet Protocol,网络互连协议)地址以及承载建立,Relay节点通过核心网和外部网络进行通信。基站和核心网之间接口为S1接口。
集群通信服务器:集群服务主要功能包括集群业务组的管理、呼叫建立、释放和管理等功能。UE和集群通信服务器之间为PC1接口,UE利用该接口向集群通信服务器发起注册,并从集群通信服务器获得业务相关信息,UE也通过该接口向集群通信服务器发起组呼叫、请求话权等功能。
D2D业务可以利用中继节点向远终端提供eMBMS组播业务,相关的流程如图2所示。
201,远终端发现中继节点,应用向远终端提供TMGI(Temporary Mobile Group Identity,临时移动组标识),其中所述应用安装远终端上,可以跟集群通信服务器交互;
202,远终端向中继节点发送TMGI监听请求消息,消息中包括TMGI参数;
203,中继节点向远终端回送TMGI监听响应消息,消息中包括ProSe(Proximity-based Services,基于邻近的业务)层2组标识和TMGI定时器等参数;
204,中继节点监听到TMGI广播;
205,中继节点向远终端发送TMGI通知消息,消息中包括TMGI参数;
206,远终端可以通过中继节点的中继接收广播内容。
在以上的流程中,中继节点和远终端之间使用D2D组播方式进行通讯,这要求中继节点和远终端加入同一个D2D组播组,并获取该组的群组密钥。但是,远终端没有网络覆盖,无法跟网络交互完成加入群组和获取群组密钥的过程,因此无法提供安全的eMBMS业务。
技术实现要素:
本发明提供一种D2D业务组播的认证方法、装置和系统,实现在D2D业务中中继节点向远终端进行组播的认证。
为了实现上述发明目的,本发明采取的技术方案如下:
一种设备到设备D2D业务组播的认证方法,包括:
接收终端发送的密钥请求消息;
对所述终端的安全能力进行验证;
当所述终端的安全能力支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带所述D2D组的群组密钥信息。
进一步地,当所述终端的安全能力不支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带失败标识和失败原因信息。
进一步地,所述接收终端发送的密钥请求消息之后还包括:与基于邻近的业务ProSe密钥管理功能实体交互,获取所述D2D组的群组密钥信息。
进一步地,所述接收终端发送的密钥请求消息之前还包括:
接收所述终端发送的临时移动组标识TMGI监听请求消息;
根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组;
当不存在与所述TMGI对应的ProSe组时,向ProSe功能实体发送群组请求消息;并接收所述ProSe功能实体发送群组响应消息,所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息;向所述终端发送TMGI监听响应消息;
当存在与所述TMGI对应的ProSe组时,向所述终端发送TMGI监听响应消息。
进一步地,向所述终端发送密钥响应消息之后还包括:向所述终端发送多媒体互联网密钥MIKEY消息,所述MIKEY消息用于传送密钥数据。
进一步地,所述密钥请求消息包括:待接入D2D组标识和终端安全能力参数;或者包括临时移动组标识TMGI参数和终端安全能力参数;或者包括待接入D2D组标识、所述终端标识和终端安全能力参数。
进一步地,所述群组密钥信息包括:所述D2D组成员标识、ProSe组密钥PGK标识、PGK和待接入D2D组的安全算法;或者包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数;或者包括所述D2D组成员标识、ProSe多媒体互联网密钥PMK标识、PMK和待接入D2D组的安全算法;或者包括所述终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。
为了实现上述发明目的,本发明还提供一种设备到设备D2D业务组播的认证方法,包括:
向中继节点发送密钥请求消息;
接收所述中继节点返回的密钥响应消息,所述密钥响应消息携带待接入D2D组的群组密钥信息。
进一步地,向中继节点发送密钥请求消息之前还包括:
向所述中继节点发送临时移动组标识TMGI监听请求消息;
接收所述中继节点返回的TMGI监听响应消息。
为了实现上述发明目的,本发明还提供一种设备到设备D2D业务组播的认证装置,设置在中继节点,包括:
第一接收模块,用于接收终端发送的密钥请求消息;
验证模块,用于对所述终端的安全能力进行验证;以及
第一发送模块,当所述终端的安全能力支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带所述D2D组的群组密钥信息。
可选地,所述第一发送模块还用于当所述终端的安全能力不支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带失败标识和失败原因信息。
可选地,所述装置还包括交互模块,
所述交互模块,用于与基于邻近的业务ProSe密钥管理功能实体交互,获取所述D2D组的群组密钥信息。
可选地,所述装置还包括确定模块,
所述第一接收模块,还用于接收所述终端发送的临时移动组标识TMGI监听请求消息;
所述确定模块,用于根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组;
所述第一发送模块,还用于当不存在与所述TMGI对应的ProSe组时,向ProSe功能实体发送群组请求消息;所述第一接收模块,还用于接收所述ProSe功能实体发送群组响应消息,所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息;
所述第一发送模块,还用于向所述终端发送TMGI监听响应消息。
可选地,所述第一发送模块,还用于向所述终端发送密钥响应消息之后还包括:向所述终端发送多媒体互联网密钥MIKEY消息,所述MIKEY消息用于传送密钥数据。
为了实现上述发明目的,本发明还提供一种设备到设备D2D业务组播的认证装置,设置在终端,包括:
第二发送模块,用于向中继节点发送密钥请求消息;
第二接收模块,用于接收所述中继节点返回的密钥响应消息,所述密钥响应消息携带待接入D2D组的群组密钥信息。
可选地,所述第二发送模块,还用于向所述中继节点发送临时移动组标识TMGI监听请求消息;
所述第二接收模块,还用于接收所述中继节点返回的TMGI监听响应消息。
为了实现上述发明目的,本发明还提供一种设备到设备D2D业务组播的认证系统,包括上述的中继节点和上述的终端。
本发明和现有技术相比,具有如下有益效果:
本发明通过中继节点具有ProSe管理功能实体的功能,或者终端通过中继节点与ProSe密钥管理功能实体交互,向终端分配D2D组密钥,实现了使用D2D中继节点向终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。
附图说明
图1是D2D业务Relay架构示意图;
图2是相关技术利用中继节点向远终端提供eMBMS组播业务的流程图;
图3是本发明实施例利用中继节点向远终端提供安全的eMBMS组播业务的基本流程图;
图4是本发明利用中继节点向远终端提供安全的eMBMS组播业务,合并监听请求和密钥请求消息的流程图;
图5是本发明利用中继节点向远终端提供安全的eMBMS组播业务,使用MIKEY发送PGK等参数的流程图;
图6是本发明利用中继节点向远终端提供安全的eMBMS组播业务,ProSe密钥管理功能实体独立设置的流程图;
图7是本发明实施例中继节点侧D2D业务组播的认证方法的流程图;
图8是本发明实施例终端侧D2D业务组播的认证方法的流程图;
图9本发明实施例中继节点侧D2D业务组播的认证装置的结构示意图;
图10是本发明实施例终端侧D2D业务组播的认证装置的结构示意图。
具体实施方式
为使本发明的发明目的、技术方案和有益效果更加清楚明了,下面结合附图对本发明的实施例进行说明,需要说明的是,在不冲突的情况下,本申请中的实施例和实施例中的特征可以相互任意组合。
如图7所示,本发明实施例提供的一种设备到设备D2D业务组播的认证方法,应用于中继节点,包括:
Sa、接收终端发送的密钥请求消息;
Sb、对所述终端的安全能力进行验证;
Sc、当所述终端的安全能力支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带所述D2D组的群组密钥信息。
Sc中如果所述终端的安全能力不支持待接入D2D组的安全算法,向所述终端发送密钥响应消息,所述密钥响应消息携带失败标识和失败原因信息。
可选地,Sa之后还包括:与ProSe密钥管理功能实体交互,获取所述D2D组的群组密钥信息。
在D2D业务中中继节点向终端进行组播的认证,中继节点可具有ProSe密钥管理功能实体的功能,或者终端通过中继节点与ProSe密钥管理功能实体交互。终端向中继节点请求组密钥,用于D2D组播通讯。中继节点接收eMBMS组播,将内容转换为D2D组播发送。实现了使用D2D中继节点向远终端提供安全的eMBMS组播业务。由此增强了ProSe系统功能和安全性。
可选地,Sa之前还包括:
接收所述终端发送的临时移动组标识TMGI监听请求消息;
根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组;
当不存在与所述TMGI对应的ProSe组时,向ProSe功能实体发送群组请求消息;并接收所述ProSe功能实体发送群组响应消息,所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息;向所述终端发送TMGI监听响应消息;
当存在与所述TMGI对应的ProSe组时,向所述终端发送TMGI监听响应消息。
可选地,Sc之后还包括:向所述终端发送多媒体互联网密钥MIKEY消息,所述MIKEY消息用于传送密钥数据。
当所述密钥请求消息包括:待接入D2D组标识和终端安全能力参数;所述群组密钥信息包括:所述D2D组成员标识、PGK(ProSe Group Key,ProSe组密钥)标识、PGK和待接入D2D组的安全算法。
当所述密钥请求消息包括临时移动组标识TMGI参数和终端安全能力参数;所述群组密钥信息包括待接入D2D组标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法和TMGI定时器参数;或者包括所述D2D组成员标识、PMK(ProSe MIKEY Key,ProSe多媒体互联网密钥)标识、PMK和待接入D2D组的安全算法。
当所述密钥请求消息包括待接入D2D组标识、终端标识和终端安全能力参数;所述群组密钥信息包括终端标识、所述D2D组成员标识、PGK标识、PGK、待接入D2D组的安全算法。
其中,MIKEY消息由RFC(Remote Function Call,远程函数调用)3830定义,MIKEY消息可以在两个实体间建立安全连接,用于传送密钥等重要数据,PGK为ProSe组的共享密钥,PMK用于MIKEY消息加密的密钥。
如图8所示,本发明实施例提供的一种设备到设备D2D业务组播的认证方法,应用于终端,包括:
Sd、向中继节点发送密钥请求消息;
Se、接收所述中继节点返回的密钥响应消息,所述密钥响应消息携带待接入D2D组的群组密钥信息。
可选地,Sd之前还包括:
向所述中继节点发送临时移动组标识TMGI监听请求消息;
接收所述中继节点返回的TMGI监听响应消息。
如图9所示,本发明实施例提供的一种设备到设备D2D业务组播的认证装置,设置在中继节点,包括:
第一接收模块110,用于接收终端发送的密钥请求消息;
验证模块120,用于对所述终端的安全能力进行验证;以及
第一发送模块130,当所述终端的安全能力支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带所述D2D组的群组密钥信息。
所述第一发送模块还用于当所述终端的安全能力不支持待接入D2D组的安全算法时,向所述终端发送密钥响应消息,所述密钥响应消息携带失败 标识和失败原因信息。
可选地,上述认证装置还包括交互模块140,所述交互模块140,用于与ProSe密钥管理功能实体交互,获取所述D2D组的群组密钥信息。
可选地,上述认证装置还包括确定模块150,
所述第一接收模块110,还用于接收所述终端发送的临时移动组标识TMGI监听请求消息;
所述确定模块150,用于根据所述TMGI监听请求消息确定是否存在与所述TMGI对应的ProSe组;
所述第一发送模块130,还用于当不存在与所述TMGI对应的ProSe组时,向ProSe功能实体发送群组请求消息;所述第一接收模块110,还用于接收所述ProSe功能实体发送群组响应消息,所述群组响应消息中携带所述ProSe功能实体为所述终端分配ProSe组信息;
所述第一发送模块130,还用于向所述终端发送TMGI监听响应消息。
可选地,所述第一发送模块130,还用于向所述终端发送密钥响应消息之后还包括:向所述终端发送多媒体互联网密钥MIKEY消息,所述MIKEY消息用于传送密钥数据。
如图10所示、本发明实施例提供的一种设备到设备D2D业务组播的认证装置,设置在终端,包括:
第二发送模块210,用于向中继节点发送密钥请求消息;
第二接收模块220,用于接收所述中继节点返回的密钥响应消息,所述密钥响应消息携带待接入D2D组的群组密钥信息。
可选地,所述第二发送模块210,还用于向所述中继节点发送临时移动组标识TMGI监听请求消息;
所述第二接收模块220,还用于接收所述中继节点返回的TMGI监听响应消息。
本发明实施例还提供一种设备到设备D2D业务组播的认证系统,包括上述的中继节点和终端。
实施例一:
如图3所示,利用中继节点向远终端提供安全的eMBMS组播业务的基本流程如下所示:
301,远终端发现中继节点,应用向远终端提供TMGI;
302,远终端向中继节点发送TMGI监听请求消息,消息中包括TMGI参数;
303,中继节点向远终端回送TMGI监听响应消息,消息中包括ProSe层2组标识和TMGI定时器等参数;
304,远终端向中继节点发送密钥请求消息,消息中包括ProSe层2组标识和终端安全能力等参数;
305,中继节点进行算法检查,确定远终端的安全能力是否支持组安全算法;
306,中继节点向远终端回送密钥响应消息,消息中包括组成员标识、PGK标识、PGK和算法等参数;
307,中继节点监听到TMGI广播;
308,中继节点向远终端发送TMGI通知消息,消息中包括TMGI参数;
309,远终端可以通过中继节点的中继接收广播内容。
实施例二:
如图4所示,利用中继节点向远终端提供安全的eMBMS组播业务,合并监听请求和密钥请求消息的流程如下所示:
401,远终端发现中继节点,应用向远终端提供TMGI;
402,远终端向中继节点发送TMGI监听与密钥请求消息,消息中包括TMGI参数和终端安全能力等参数;
403,中继节点进行算法检查,确定远终端的安全能力是否支持组安全算法;
404,中继节点向远终端回送TMGI监听与密钥响应消息,消息中包括 ProSe层2组标识、组成员标识、PGK标识、PGK、算法和TMGI定时器等参数;
405,中继节点监听到TMGI广播;
406,中继节点向远终端发送TMGI通知消息,消息中包括TMGI参数;
407,远终端可以通过中继节点的中继接收广播内容。
实施例三:
如图5所示,利用中继节点向远终端提供安全的eMBMS组播业务,使用MIKEY发送PGK等参数的流程如下所示:
501,远终端发现中继节点,应用向远终端提供TMGI;
502,远终端向中继节点发送TMGI监听请求消息,消息中包括TMGI参数;
503,中继节点向远终端回送TMGI监听响应消息,消息中包括ProSe层2组标识和TMGI定时器等参数;
504,远终端向中继节点发送密钥请求消息,消息中包括ProSe层2组标识和终端安全能力等参数;
505,中继节点进行算法检查,确定远终端的安全能力是否支持组安全算法;
506,中继节点向远终端回送密钥响应消息,消息中包括组成员标识、PMK标识、PMK和算法等参数;
507,中继节点使用MIKEY消息向远终端发送PGK、PGK标识和定时器等参数;
508,中继节点监听到TMGI广播;
509,中继节点向远终端发送TMGI通知消息,消息中包括TMGI参数;
510,远终端可以通过中继节点的中继接收广播内容。
实施例四:
如图6所示,利用中继节点向远终端提供安全的eMBMS组播业务,ProSe密钥管理功能实体独立设置的流程如下所示:
601,远终端发现中继节点,应用向远终端提供TMGI;
602,远终端向中继节点发送TMGI监听请求消息,消息中包括终端标识和TMGI等参数;中继节点检查是否存在与该TMGI对应的ProSe组,或是否存在已分配而尚未使用的ProSe组,如有,则转至步骤605;如无,则转至步骤603;
603,可选地,中继节点向ProSe功能实体发送群组请求消息,消息中包括中继节点终端标识和远终端终端标识;
604,可选地,ProSe功能实体为该中继节点和远终端分配ProSe群组,ProSe密钥管理功能实体为该群组生成PGK;ProSe功能实体向中继节点回送群组响应消息,消息中包括ProSe层2组标识参数;
605,中继节点向远终端回送TMGI监听响应消息,消息中包括ProSe层2组标识和TMGI定时器等参数;
604,远终端向通过中继节点向ProSe密钥管理功能实体发送密钥请求消息,消息中包括ProSe层2组标识、终端标识和终端安全能力等参数;
605,ProSe密钥管理功能实体进行算法检查,确定远终端的安全能力是否支持组安全算法;
606,ProSe密钥管理功能实体通过中继节点向远终端回送密钥响应消息,消息中包括远终端的终端标识、组成员标识、PGK标识、PGK和算法等参数;
607,中继节点监听到TMGI广播;
608,中继节点向远终端发送TMGI通知消息,消息中包括TMGI参数;
609,远终端可以通过中继节点的中继接收广播内容。
虽然本发明所揭示的实施方式如上,但其内容只是为了便于理解本发明的技术方案而采用的实施方式,并非用于限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭示的核心技术方案的前提下,可以 在实施的形式和细节上做任何修改与变化,但本发明所限定的保护范围,仍须以所附的权利要求书限定的范围为准。