本发明实施例公开了一种邻近服务通信的验证方法,可以简化验证流程,提高验证速度。本发明实施例方法包括:监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识,接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码,接收发现消息,发现消息携带有消息签名值及邻近码,其中,发现消息携带有广播UE的数字证书,数字证书包含公钥,或者,第一发现响应消息携带有广播UE的数字证书;若广播UE的邻近码与发现消息携带的邻近码相同,则监测UE根据公钥确定发现消息的合法性。本发明还公开了用于实现邻近服务通信的验证方法的用户设备和邻近服务功能实体。
邻近服务通信的验证方法、用户设备及邻近服务功能实体
技术领域
[0001] 本发明涉及无线通信领域,特别是邻近服务通信的验证方法、用户设备及邻近服务功能实体。
背景技术
[0002] 邻近服务(Proximity Service,ProSe)是指用于支持在地理上相邻的设备相互通信的方案。随着社交类应用的广泛应用,用户可以通过ProSe及时了解好友在周围出现或者离开,或在周围寻找感兴趣的服务,例如住宿,餐馆,酒吧,运动馆等,基于邻近服务提供的业务发现和通信功能,能够使得人们的生活和工作变得十分方便。
[0003] 具体的,ProSe通信,也称为设备对设备(Device-to-Device,D2D)通信,是指用于建立多个用户设备(User Equipment,UE)之间的直接链接并在设备之间直接交换用户数据(例如,文本、多媒体数据等)而不经过网络中转的通信方案。现有技术中建立ProSe通信的基本机制大致如下:网络侧设备,如邻近服务功能(Proximity Service Function,PF)实体为D2D设备分配邻近码(Proximity Service Code,ProSe Code),D2D设备通过功能可以区分为广播UE和监测UE,广播UE向附近UE广播包含邻近码的消息,位于广播UE附近的监测UE监听到广播之后,将从邻近服务功能实体获取到的邻近码与从广播UE获取到的邻近码进行匹配,若相同,则建立链接。
[0004] 为了防止他人恶意伪造邻近码,现有技术中可以进行验证操作,大致如下:监测UE收到广播UE广播的发现消息之后,会根据发现消息里的时间戳重组时隙,并通过监测UE的PF实体将发现消息和重组后的时隙发送给广播UE的PF实体,由广播UE的PF实体进行校验并反馈校验结果,监测UE可以根据该校验结果确定邻近码是否被恶意伪造。
[0005] 但是,上述验证过程中,发现消息或重组后的时隙由监测UE上报给监测UE的PF实体,再由监测UE的PF实体转发给广播UE的PF实体,由广播UE的PF实体进行校验并向监测UE的PF实体反馈校验结果,再由监测UE的PF实体将校验结果通知监测UE,监测UE对发现消息进行验证的过程需要中间设备多次转发发现消息或重组后的时隙,所需时间长,信令开销大。
发明内容
[0006] 有鉴于此,本发明提供了一种邻近服务通信的验证方法,用于减少邻近服务通信中验证过程的信令开销,加快验证速度。
[0007] 本发明第一方面提供了一种邻近服务通信的验证方法,包括:
[0008] 监测UE向第一PF实体发送第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0009] 上述监测UE接收上述第一PF实体反馈的第一发现响应消息,上述第一发现响应消息携带有所述邻近应用标识所指示的广播UE的邻近码;
[0010] 上述监测UE接收发现消息,上述发现消息携带有消息签名值及邻近码;
[0011] 其中,所述发现消息携带有所述广播UE的数字证书,所述数字证书包含公钥,或者,所述第一发现响应消息携带有所述广播UE的所述数字证书;
[0012] 若上述广播UE的邻近码与上述发现消息携带的邻近码相同,则上述监测UE根据上述公钥,确定上述发现消息的合法性。
[0013] 结合第一方面,本发明第一方面中第一种可能的实现方式中,上述监测UE根据上述公钥,确定上述发现消息的合法性,包括:
[0014] 上述监测UE使用上述公钥对上述消息签名值进行验证,若上述消息签名值通过验证,则上述监测UE确定上述发现消息合法,若上述消息签名值未通过验证,则上述监测UE确定上述发现消息非法。
[0015] 结合第一方面,或本发明第一方面中第一种可能的实现方式,本发明第一方面中第二种可能的实现方式中,上述发现消息还包括第一时间信息,第一时间信息用于指示上述消息签名值的生成时刻,则上述监测UE根据上述公钥,确定上述发现消息的合法性包括:
[0016] 上述监测UE根据上述公钥及上述第一时间信息,确定上述发现消息的合法性。
[0017] 结合第一方面中第二种可能的实现方式,本发明第一方面中第三种可能的实现方式中,上述第一发现响应消息还包括允许偏移时长,上述监测UE接收上述第一PF实体反馈的第一发现响应消息之后包括:
[0018] 上述监测UE根据本地时钟获取第二时间信息,上述第二时间信息用于指示上述监测UE接收上述发现消息的时刻;
[0019] 若上述第一时间信息与上述第二时刻信息的时间差不超过上述允许偏移时长,则执行上述监测UE使用上述公钥及上述第一时间信息确定上述发现消息的合法性的步骤。
[0020] 结合第一方面,或本发明第一方面中第一种可能的实现方式,或本发明第一方面中第二种可能的实现方式,或本发明第一方面中第三种可能的实现方式,本发明第一方面中第四种可能的实现方式中,在所述监测UE根据所述公钥,确定所述发现消息的合法性之前,所述方法还包括:
[0021] 所述监测UE根据所述数字证书,验证所述公钥的合法性。
[0022] 结合本发明第一方面中第四种可能的实现方式,本发明第一方面中第五种可能的实现方式中,上述监测UE根据上述数字证书,验证上述公钥的合法性包括:上述监测UE通过在线证书状态协议OCSP判断上述数字证书是否已被撤销;若上述数字证书已经被撤销,则确定上述公钥不合法;若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则确定上述公钥合法。
[0023] 结合本发明第一方面中第四种可能的实现方式,本发明第一方面中第六种可能的实现方式中,上述第一发现响应消息携带有证书撤销列表CRL,上述监测UE根据上述数字证书,验证上述公钥的合法性包括:
[0024] 上述监测UE根据上述CRL判断上述数字证书是否已被撤销;若上述数字证书已经被撤销,则确定上述公钥不合法;若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则确定上述公钥合法。
[0025] 本发明第二方面提供一种邻近服务通信的验证方法,包括:
[0026] 广播UE向第二PF实体发送携带有上述广播UE的数字证书的第二发现请求,上述第二PF实体为广播UE的归属地网络的邻近服务功能实体,上述数字证书包含与广播UE的私钥对应的公钥;
[0027] 上述广播UE接收上述第二PF实体反馈的第二发现响应消息,上述第二发现响应消息携带有邻近码;
[0028] 上述广播UE利用广播UE的私钥对上述邻近码进行签名生成消息签名值;
[0029] 上述广播UE向监测UE发送发现消息,上述发现消息携带有上述消息签名值及上述邻近码。
[0030] 结合本发明第二方面,本发明第二方面中第一种可能的实现方法中,上述发现消息包括第一时间信息,上述第一时间信息用于指示所述消息签名值的生成时刻;
[0031] 所述广播UE根据所述广播UE的私钥,对所述邻近码进行签名生成消息签名值包括:所述广播UE根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0032] 本发明第三方面提供一种邻近服务通信的验证方法包括:
[0033] 广播UE向第二PF实体发送第二发现请求,上述第二PF实体为上述广播UE的归属地网络的邻近服务功能实体;
[0034] 上述广播UE接收上述第二PF实体反馈的第二发现响应消息,上述第二发现响应消息携带有邻近码;
[0035] 上述广播UE根据上述广播UE的私钥,对上述邻近码进行签名生成消息签名值;
[0036] 上述广播UE向监测UE发送发现消息,上述发现消息携带有上述消息签名值、上述邻近码以及上述广播UE的数字证书,上述数字证书包含与上述私钥对应的公钥。
[0037] 结合第三方面,本发明第三方面第一种可能的实现方式中,上述发现消息还携带有第一时间信息,上述第一时间信息用于指示所述消息签名值的生成时刻;
[0038] 所述广播UE根据所述广播UE的私钥,对所述邻近码进行签名生成消息签名值包括:所述广播UE根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0039] 本发明第四方面提供一种邻近服务通信的验证方法包括:
[0040] 第二PF实体接收第一PF实体发送的监测请求,上述监测请求携带有广播UE的邻近应用标识,上述监测请求是上述第一PF实体根据监测UE发送的第一发现请求,上述第二PF实体为上述广播UE的归属地网络的邻近服务功能实体;
[0041] 上述第二PF实体根据上述邻近应用标识,确定广播UE的邻近码及广播UE的数字证书;
[0042] 上述第二PF实体向上述第一PF实体发送携带有上述广播UE的邻近码及上述广播UE的数字证书的监测响应消息。
[0043] 结合第四方面,本发明第四方面第一种可能的实现方式中,上述第二PF实体接收第一PF实体发送的监测请求之前包括:
[0044] 上述第二PF实体接收上述广播UE发送的第二发现请求,上述第二发现请求携带有上述广播UE的数字证书;
[0045] 上述第二PF实体向上述广播UE发送第二发现响应消息,上述第二发现响应消息携带有所述广播UE的邻近码;
[0046] 上述第二PF实体将广播UE的数字证书、广播UE的邻近应用标识及上述广播UE的邻近码进行绑定。
[0047] 本发明第五方面提供一种邻近服务通信的验证方法,包括:
[0048] 第一PF实体接收监测UE发送的第一发现请求,上述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0049] 上述第一PF实体向第二PF实体发送监测请求,上述监测请求携带有上述广播UE的邻近应用标识,使得上述第二PF实体根据上述广播UE的邻近应用标识获取广播UE的邻近码和广播UE的数字证书;
[0050] 上述第一PF实体接收上述第二PF实体反馈的监测响应消息,上述监测响应消息携带有广播UE的邻近码和上述广播UE的数字证书,所述广播UE的数字证书包含公钥;
[0051] 上述第一PF实体向上述监测UE发送第一发现响应消息,上述第一发现响应消息携带有上述广播UE的数字证书和上述广播UE的邻近码。
[0052] 结合第五方面,本发明第五方面中第一种可能的实现方式中,上述第一PF实体接收上述第二PF实体反馈的监测响应消息之后包括:
[0053] 上述第一PF实体根据证书撤销列表CRL判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,确定上述公钥合法。
[0054] 结合第五方面,本发明第五方面中第二种可能的实现方式中,上述第一PF实体接收上述第二PF实体反馈的监测响应消息之后包括:
[0055] 上述第一PF实体通过在线证书状态协议OCSP判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法;若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则确定上述公钥合法。
[0056] 本发明第六方面提供一种邻近服务通信的验证方法,包括:
[0057] 监测UE向第一PF实体发送第一发现请求,上述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0058] 上述监测UE接收上述第一PF实体反馈的第一发现响应消息,上述第一发现响应消息携带有广播UE的邻近码;
[0059] 上述监测UE接收发现消息,上述发现消息携带有消息签名值及邻近码;
[0060] 若上述发现消息携带的邻近码与上述广播UE的邻近码相同,则上述监测UE向上述第一PF实体发送上述发现消息。
[0061] 本发明第七方面提供一种邻近服务通信的验证方法,包括:
[0062] 第一PF实体接收监测UE发送的第一发现请求,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0063] 上述第一PF实体向第二PF实体发送监测请求,上述监测请求携带有广播UE的邻近应用标识;
[0064] 上述第一PF实体接收上述第二PF实体反馈的携带有广播UE的邻近码和广播UE的数字证书的监测响应消息,所述数字证书包含公钥;
[0065] 上述第一PF实体向上述监测UE发送的第一发现响应消息,上述第一发现响应消息携带有上述广播UE的邻近码;
[0066] 上述第一PF实体接收上述监测UE发送的发现消息,所述发现消息携带有消息签名值;
[0067] 上述第一PF实体根据上述数字证书中的公钥和所述消息签名值,确定上述发现消息的合法性。
[0068] 结合第七方面,本发明第七方面第一种可能的实现方式中,所述第一PF实体根据所述数字证书的所述公钥和所述消息签名值,确定所述发现消息的合法性,包括:
[0069] 所述第一PF实体使用所述数字证书的所述公钥,对所述消息签名值进行验证;若所述消息签名值通过验证,则所述第一PF实体确定所述发现消息合法;若消息签名值未通过验证,则所述第一PF实体确定所述发现消息非法。
[0070] 本发明第八方面提供一种UE,上述UE作为监测UE,上述UE包括:
[0071] 发送模块,用于向第一PF实体发送第一发现请求,上述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0072] 接收模块,用于接收上述第一PF实体反馈的第一发现响应消息,上述第一发现响应消息携带有所述邻近应用标识所指示的广播UE的邻近码;
[0073] 上述接收模块,还用于接收发现消息,上述发现消息携带有消息签名值及邻近码;其中,所述发现消息携带有所述广播UE的数字证书,所述数字证书包含公钥,或者,所述第一发现响应消息携带有所述广播UE的所述数字证书;
[0074] 验证模块,用于若上述发现消息携带的邻近码与上述广播UE的邻近码相同,则根据上述公钥确定上述发现消息的合法性。
[0075] 结合第八方面,本发明第八方面第一种可能的实现方式中,上述验证模块具体用于使用上述公钥对上述消息签名值进行验证,若上述消息签名值通过验证,则确定上述发现消息合法,若上述消息签名值未通过验证,则确定上述发现消息非法。
[0076] 结合第八方面,或本发明第八方面第一种可能的实现方式,本发明第八方面第二种可能的实现方式中,上述验证模块具体用于当上述发现消息还包括第一时间信息时,根据上述公钥及上述第一时间信息确定上述发现消息的合法性。
[0077] 结合本发明第八方面第二种可能的实现方式,本发明第八方面第三种可能的实现方式中,所述UE还包括:
[0078] 获取模块,还用于根据本地时钟获取第二时间信息,上述第二时间信息用于指示上述监测UE接收上述发现消息的时刻;
[0079] 上述验证模块,还用于当上述第一发现响应消息还包括允许偏移时长时,若上述第一时间信息与上述第二时间信息的时间差不超过上述允许偏移时长,则执行上述监测UE使用上述公钥及上述第一时间信息确定所述发现消息的合法性的步骤。
[0080] 结合第八方面,或本发明第八方面第一种可能的实现方式,或本发明第八方面第二种可能的实现方式,或本发明第八方面第三种可能的实现方式,本发明第八方面第四种可能的实现方式中,上述验证模块具体用于在上述验证模块根据上述公钥,确定上述发现消息的合法性之前,根据上述数字证书,验证上述公钥的合法性。
[0081] 结合本发明第八方面第四种可能的实现方式,本发明第八方面第五种可能的实现方式中,上述验证模块具体用于通过在线证书状态协议OCSP判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则上述公钥合法。
[0082] 结合本发明第八方面第四种可能的实现方式,本发明第八方面第五种可能的实现方式中,上述验证模块具体用于当上述第一发现响应消息还包括证书撤销列表CRL时,根据上述CRL判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则上述公钥合法。
[0083] 本发明第九方面提供一种UE,上述UE作为广播UE,上述UE包括:
[0084] 发送模块,用于向第二PF实体发送携带有上述数字证书的第二发现请求,上述第二PF实体为广播UE的归属地网络的邻近服务功能实体,所述数字证书包含与所述广播UE的私钥对应的公钥;
[0085] 接收模块,用于接收上述第二PF实体反馈的第二发现响应消息,上述第二发现响应消息携带有邻近码;
[0086] 生成模块,用于使用广播UE的私钥对上述邻近码进行签名生成消息签名值;
[0087] 上述发送模块,用于向监测UE发送发现消息,上述发现消息携带有上述消息签名值及上述邻近码。
[0088] 结合第九方面,本发明第九方面第一种可能的实现方式中,上述发现消息还包括第一时间信息,上述第一时间信息用于指示所述消息签名值的生成时刻;所述生成模块具体用于根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0089] 本发明第十方面提供一种UE,上述UE作为广播UE,上述UE包括:
[0090] 发送模块,用于向第二PF实体发送第二发现请求,上述第二PF实体为上述广播UE的归属地网络的邻近服务功能实体;
[0091] 接收模块,用于接收上述第二PF实体反馈的第二发现响应消息,上述第二发现响应消息携带有邻近码;
[0092] 生成模块,用于根据上述广播UE的私钥,对上述邻近码进行签名生成消息签名值;
[0093] 上述发送模块,还用于向监测UE发送发现消息,上述发现消息携带有上述消息签名值、上述邻近码以及上述广播UE的数字证书,上述数字证书包含与上述私钥对应的公钥。
[0094] 结合第十方面,本发明第十方面第一种可能的实现方式中,上述发现消息还携带有第一时间信息,上述第一时间信息用于指示所述消息签名值的生成时刻;所述生成模块具体用于根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0095] 本发明第十一方面提供一种PF实体,上述PF实体作为第二PF实体,上述第二PF实体为广播UE的归属地网络的邻近服务功能实体,包括:
[0096] 接收模块,用于接收第一PF实体发送的监测请求,上述监测请求携带有邻近应用标识,上述监测请求是上述第一PF实体根据监测UE发送的第一发现请求;
[0097] 确定模块,用于根据上述邻近应用标识确定广播UE的邻近码和所述广播UE的数字证书;
[0098] 发送模块,还用于向上述第一PF实体发送携带有上述广播UE的邻近码和上述数字证书的监测响应消息。
[0099] 结合第十一方面,本发明第十一方面第一种可能的实现方式中,[0100] 上述接收模块,还用于接收上述广播UE发送的第二发现请求,上述第二发现请求携带有上述广播UE的数字证书;
[0101] 上述发送模块,还用于向上述广播UE发送第二发现响应消息,上述第二发现响应消息携带有广播UE的邻近码;
[0102] 上述PF实体还包括:绑定模块,用于将上述广播UE的数字证书、广播UE的邻近应用标识及上述广播UE的邻近码进行绑定。
[0103] 本发明第十二方面提供一种PF实体,上述PF实体作为第一PF实体,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体,上述PF实体包括:
[0104] 接收模块,用于接收监测UE发送的第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0105] 发送模块,用于向第二PF实体发送监测请求,上述监测请求携带有广播UE的邻近应用标识,使得上述第二PF实体根据上述邻近应用标识获取广播UE的邻近码和广播UE的数字证书;
[0106] 上述接收模块,还用于接收上述第二PF实体反馈的监测响应消息,上述监测响应消息携带有所述广播UE的邻近码和所述广播UE的数字证书,上述数字证书包含公钥;
[0107] 上述发送模块,还用于向上述监测UE发送第一发现响应消息,上述第一发现响应消息携带有上述广播UE的数字证书和上述广播UE的邻近码。
[0108] 结合第十二方面,本发明第十二方面第一种可能的实现方式中,上述PF实体还包括:第一验证模块,用于接收上述第二PF实体反馈的监测响应消息之后,根据证书撤销列表CRL判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,确定公钥合法。
[0109] 结合第十二方面,本发明第十二方面第二种可能的实现方式中,上述PF实体还包括:第二验证模块,用于接收上述第二PF实体反馈的监测响应消息之后,通过在线证书状态协议OCSP判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,确定公钥合法。
[0110] 本发明第十三方面提供一种UE,上述UE作为监测UE,上述UE包括:
[0111] 发送模块,用于向第一PF实体发送第一发现请求,上述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0112] 接收模块,用于接收上述第一PF实体反馈的第一发现响应消息,上述第一发现响应消息携带有广播UE的邻近码;
[0113] 上述接收模块,还用于接收发现消息,上述发现消息携带有消息签名值及邻近码;
[0114] 上述发送模块,还用于若上述发现消息携带的邻近码与上述广播UE的邻近码相同,则向上述第一PF实体发送上述发现消息,以使得上述第一PF实体根据公钥确定上述发现消息的合法性。
[0115] 本发明第十四方面提供一种PF实体,上述PF实体作为第一PF实体,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体,包括:
[0116] 接收模块,用于接收监测UE发送的第一发现请求,上述第一发现携带有广播UE的邻近应用标识;
[0117] 发送模块,用于向第二PF实体发送监测请求,上述监测请求携带有上述邻近应用标识;
[0118] 上述接收模块,还用于接收上述第二PF实体反馈的携带有广播UE的邻近码和广播UE的数字证书的监测响应消息,所述数字证书包含公钥;
[0119] 上述发送模块,还用于向上述监测UE发送的第一发现响应消息,上述第一发现响应消息携带有广播UE的邻近码;
[0120] 上述接收模块,还用于接收上述监测UE发送的发现消息,所述发现消息携带有消息签名值;
[0121] 验证模块,用于根据上述数字证书中的公钥和所述消息签名值,确定上述发现消息的合法性。
[0122] 结合第十四方面,本发明第十四方面第一种可能的实现方式中,上述验证模块具体用于使用上述数字证书的公钥对上述消息签名值进行验证,若上述消息签名值通过验证,则确定上述发现消息合法,若消息签名值未通过验证,则确定上述发现消息非法。
[0123] 本发明第十五方面提供一种UE,上述UE作为监测UE,上述UE包括:
[0124] 接收装置、发送装置、处理器和存储器;
[0125] 上述发送装置,用于向第一PF实体发送第一发现请求,上述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0126] 上述接收装置,用于接收上述第一PF实体反馈的第一发现响应消息,上述第一发现响应消息携带有所述邻近应用标识所指示的广播UE的邻近码;
[0127] 上述接收装置,还用于接收发现消息,上述发现消息携带有消息签名值及邻近码;其中,所述发现消息携带有所述广播UE的数字证书,所述数字证书包含公钥,或者,所述第一发现响应消息携带有所述广播UE的所述数字证书;
[0128] 上述处理器,还用于若上述发现消息携带的邻近码与上述广播UE的邻近码相同,则根据上述公钥确定上述发现消息的合法性;
[0129] 上述存储器,用于存储上述第一发现请求、上述第一发现响应消息及上述发现消息。
[0130] 结合第十五方面,本发明第十五方面第一种可能的实现方式中,上述处理器具体用于使用上述公钥对上述消息签名值进行验证,若上述消息签名值通过验证,则确定上述发现消息合法,若上述消息签名值未通过验证,则确定上述发现消息非法。
[0131] 结合第十五方面,或本发明第十五方面第一种可能的实现方式,本发明第十五方面第二种可能的实现方式中,
[0132] 上述处理器具体用于当上述发现消息还包括第一时间信息时,所述第一时间信息用于指示所述消息签名值的生成时刻,根据上述公钥及上述第一时间信息,确定上述发现消息的合法性。
[0133] 结合本发明第十五方面第二种可能的实现方式,本发明第十五方面第三种可能的实现方式中,上述监测UE还包括:
[0134] 上述处理器,还用于根据本地时钟获取第二时间信息,上述第二时间信息用于指示上述监测UE接收上述发现消息的时刻;
[0135] 上述处理器,还用于当上述第一发现响应消息还包括允许偏移时长时,若上述第一时间信息与上述第二时间信息的时间差不超过上述允许偏移时长,则执行上述监测UE根据上述公钥及上述第一时间信息确定上述发现消息的合法性的步骤。
[0136] 结合第十五方面,或本发明第十五方面第一种可能的实现方式,或本发明第十五方面第二种可能的实现方式,或本发明第十五方面第三种可能的实现方式,本发明第十五方面第四种可能的实现方式中,
[0137] 上述处理器,还用于在上述处理器根据上述公钥确定上述发现消息的合法性之前,根据上述数字证书验证上述公钥的合法性。
[0138] 结合本发明第十五方面第四种可能的实现方式,本发明第十五方面第五种可能的实现方式中,
[0139] 上述处理器,还用于通过在线证书状态协议OCSP判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则上述公钥合法。
[0140] 结合本发明第十五方面第四种可能的实现方式,本发明第十五方面第六种可能的实现方式中,
[0141] 上述处理器,还用于当上述第一发现响应消息还包括证书撤销列表CRL时,根据上述CRL判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则上述公钥合法。
[0142] 本发明第十六方面提供一种UE,上述UE作为广播UE,上述UE包括:
[0143] 接收装置、发送装置、处理器和存储器;
[0144] 上述发送装置,用于向第二PF实体发送携带有广播UE的数字证书的第二发现请求,上述第二PF实体为广播UE的归属地网络的邻近服务功能实体;
[0145] 上述接收装置,用于接收上述第二PF实体反馈的第二发现响应消息,上述第二发现响应消息携带有邻近码;
[0146] 上述处理器,用于使用广播UE的私钥对上述邻近码进行签名生成消息签名值;
[0147] 上述发送装置,用于向监测UE发送发现消息,上述发现消息携带有上述消息签名值及邻近码;
[0148] 上述存储器,用于存储上述私钥、上述第二发现请求、上述第二发现响应消息及上述发现消息。
[0149] 结合本发明第十六方面,本发明第十六方面第一种可能的实现方式中,所述处理器具体用于当所述发现消息还包括第一时间信息,所述第一时间信息用于指示所述消息签名值的生成时刻,使用广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0150] 本发明第十七方面提供一种UE,上述UE作为广播UE,包括:
[0151] 发送装置,用于向第二PF实体发送第二发现请求,上述第二PF实体为上述广播UE的归属地网络的邻近服务功能实体;
[0152] 接收装置,用于接收上述第二PF实体反馈的第二发现响应消息,上述第二发现响应消息携带有邻近码;
[0153] 处理器,用于根据上述广播UE的私钥,对上述邻近码进行签名生成消息签名值;
[0154] 上述发送装置,还用于向监测UE发送发现消息,上述发现消息携带有上述消息签名值、上述邻近码以及上述广播UE的数字证书,上述数字证书包含与上述私钥对应的公钥。
[0155] 结合本发明第十七方面,本发明第十七方面第一种可能的实现方式中,所述处理器具体用于当上述发现消息还携带有第一时间信息,上述第一时间信息用于指示所述消息签名值的生成时刻,根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0156] 本发明第十八方面提供一种PF实体,上述PF实体作为第二PF实体,上述第二PF实体为广播UE的归属地网络的邻近服务功能实体,上述PF实体包括:
[0157] 接收装置、发送装置、处理器和存储器;
[0158] 上述接收装置,用于接收第一PF实体发送的监测请求,上述监测请求携带有广播UE的邻近应用标识,上述监测请求是上述第一PF实体根据监测UE发送的第一发现请求;
[0159] 上述处理器,用于根据上述邻近应用标识确定广播UE的邻近码和广播UE的数字证书;
[0160] 上述发送装置,还用于向上述第一PF实体发送携带有上述广播UE的邻近码和上述数字证书的监测响应消息;
[0161] 上述存储器,用于存储领近应用标识、邻近码、上述监测请求和上述监测响应消息。
[0162] 结合本发明第十八方面,本发明第十八方面第一种可能的实现方式中,[0163] 上述接收装置,还用于接收上述广播UE发送的第二发现请求,上述第二发现请求携带有上述广播UE的数字证书;
[0164] 上述发送装置,还用于向上述广播UE发送第二发现响应消息,上述第二发现响应消息携带有所述广播UE的邻近码;
[0165] 上述处理器,还用于将广播UE的数字证书、广播UE的邻近应用标识及所述广播UE的邻近码进行绑定。
[0166] 本发明第十九方面提供一种PF实体,上述PF实体作为第一PF实体,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体,上述PF实体包括:
[0167] 接收装置,用于接收监测UE发送的第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识;
[0168] 发送装置,用于向第二PF实体发送携带有邻近应用标识的监测请求,上述监测请求携带有邻近应用标识,使得上述第二PF实体根据上述邻近应用标识获取邻近码和广播UE的数字证书;
[0169] 上述接收装置,还用于接收上述第二PF实体反馈的监测响应消息,上述监测响应消息携带有广播UE的邻近码和广播UE的数字证书,所述广播UE的数字证书包含公钥;
[0170] 上述发送装置,还用于向上述监测UE发送第一发现响应消息,上述第一发现响应消息携带有上述广播UE的数字证书和上述广播UE的邻近码;
[0171] 上述存储器,用于存储上述第一发现请求、上述第一发现响应消息、上述监测请求和上述监测响应消息。
[0172] 结合本发明第十九方面,本发明第十九方面第一种可能的实现方式中,[0173] 上述处理器,还用于接收上述第二PF实体反馈的监测响应消息之后,根据证书撤销列表CRL判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,确定上述公钥合法。
[0174] 结合本发明第十九方面,本发明第十九方面第二种可能的实现方式中,[0175] 上述处理器,还用于接收上述第二PF实体反馈的监测响应消息之后,通过在线证书状态协议OCSP判断上述数字证书是否已被撤销,若上述数字证书已经被撤销,则确定上述公钥不合法,若上述数字证书未被撤销,则验证上述数字证书的合法性,若上述数字证书合法,则确定上述公钥合法。
[0176] 本发明第二十方面提供一种UE,上述UE作为监测UE,上述UE包括:
[0177] 接收装置、发送装置、处理器和存储器;
[0178] 上述发送装置,用于向第一PF实体发送第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0179] 上述接收装置,用于接收上述第一PF实体反馈的第一发现响应消息,上述第一发现响应消息携带有广播UE的邻近码;
[0180] 上述接收装置,还用于接收发现消息,上述发现消息携带有消息签名值及邻近码;
[0181] 上述发送装置,还用于若上述发现消息携带的邻近码与上述广播UE的邻近码相同,则向上述第一PF实体发送上述发现消息,以使得上述第一PF实体根据公钥确定所述发现消息的合法性;
[0182] 上述存储器,用于上述第一发现请求、上述第一发现响应消息及上述发现消息。
[0183] 本发明第二十一方面提供一种PF实体,上述PF实体作为第一PF实体,上述第一PF实体为监测UE的归属地网络的邻近服务功能实体,包括:
[0184] 接收装置、发送装置、处理器和存储器;
[0185] 上述接收装置,用于接收监测UE发送的第一发现请求,所述第一发现携带有广播UE的邻近应用标识;
[0186] 上述发送装置,用于向第二PF实体发送监测请求,上述监测请求携带有邻近应用标识;
[0187] 上述接收装置,还用于接收上述第二PF实体反馈的携带有广播UE的邻近码和广播UE的数字证书的监测响应消息,所述数字证书包含公钥;
[0188] 上述发送装置,还用于向上述监测UE发送的第一发现响应消息,上述第一发现响应消息携带有广播UE的邻近码;
[0189] 上述接收装置,还用于接收上述监测UE发送的发现消息,所述发现消息携带有消息签名值;
[0190] 上述处理器,用于根据上述数字证书中的公钥,确定上述发现消息的合法性;
[0191] 上述存储器,用于存储上述第一发现请求、上述第一发现响应消息、上述监测请求、上述监测响应消息和上述验证结果。
[0192] 结合本发明第二十一方面,本发明第二十一方面第一种可能的实现方式中,[0193] 上述处理器具体用于使用上述数字证书的公钥对上述消息签名值进行验证,若上述消息签名值通过验证,则确定上述发现消息合法,若消息签名值未通过验证,则确定上述发现消息非法。
[0194] 从以上技术方案可以看出,本发明实施例具有以下优点:
[0195] 监测UE向第一PF实体发送第一发现请求,接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码,接收发现消息,发现消息携带有消息签名值及邻近码,其中,所述发现消息携带有所述广播UE的数字证书,所述数字证书包含公钥,或者,所述第一发现响应消息携带有所述广播UE的所述数字证书,若广播UE的邻近码与发现消息携带的邻近码相同,则监测UE根据公钥确定发现消息的合法性,监测UE无需将发现消息经第一PF实体转发到第二PF实体进行验证,也无需从第一PF实体获取验证结果,因此可以减少信令开销,加快验证速度。
附图说明
[0196] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0197] 图1为现有技术中邻近服务通信的验证方法的信令流程示意图;
[0198] 图2为本发明实施例中邻近服务通信的验证方法的一个信令流程示意图;
[0199] 图3为本发明实施例中邻近服务通信的验证方法的一个流程示意图;
[0200] 图4为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0201] 图5为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0202] 图6为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0203] 图7为本发明实施例中邻近服务通信的验证方法的另一个信令流程示意图;
[0204] 图8为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0205] 图9为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0206] 图10为本发明实施例中邻近服务通信的验证方法的另一个信令流程示意图;
[0207] 图11为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0208] 图12为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0209] 图13为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0210] 图14为本发明实施例中邻近服务通信的验证方法的另一个流程示意图;
[0211] 图15为本发明实施例中监测UE的一个结构示意图;
[0212] 图16为本发明实施例中广播UE的一个结构示意图;
[0213] 图17为本发明实施例中第二PF实体的一个结构示意图;
[0214] 图18为本发明实施例中第一PF实体的一个结构示意图;
[0215] 图19为本发明实施例中监测UE的另一个结构示意图;
[0216] 图20为本发明实施例中第一PF实体的另一个结构示意图;
[0217] 图21为本发明实施例中UE的一个结构示意图;
[0218] 图22为本发明实施例中PF实体的一个结构示意图。
具体实施方式
[0219] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0220] 本发明公开了一种邻近服务通信的验证方法,验证方法应用于邻近服务系统,邻近服务通信系统包括:
[0221] 广播UE,用于广播发现消息,发现消息用于发现附近D2D设备;
[0222] 监测UE,用于监测发现消息,当发现消息合法时,可以与广播UE建立邻近通信连接;
[0223] 第一PF实体为监测UE的归属地网络的邻近服务功能实体,用于为监测UE提供邻近服务;
[0224] 第二PF实体为广播UE的归属地网络的邻近服务功能实体,用于为广播UE提供邻近服务。
[0225] 以下结合以上邻近服务通信系统中各网元对本发明实施例中的邻近服务通信的验证方法进行详细说明,请参阅图1,现有技术中邻近服务通信的验证方法的一个信令流程示意图包括:
[0226] 广播UE向第二PF实体发送第二发现请求;第二PF实体向广播UE反馈第二发现响应消息,上述第二发现响应消息携带有邻近码及密钥;广播UE利用上述密钥对邻近码进行签名生成消息完整性验证码;广播UE向监测UE发送发现消息,发现消息携带有邻近码及消息完整性验证码;
[0227] 监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识;第一PF实体向第二PF实体发送携带有上述邻近应用标识的监测请求;第二PF实体向第一PF实体反馈携带广播UE的邻近码的监测响应消息;第一PF实体向监测UE反馈携带广播UE的邻近码的第一发现响应消息;
[0228] 若发现消息携带的邻近码与广播UE的邻近码相同,监测UE向第一PF实体发送发现消息;第一PF实体向第二PF实体发送上述发现消息;
[0229] 第二PF实体利用上述密钥对消息完整性验证码进行验证,若消息完整性验证码通过验证,则确定发现消息通过验证,若消息完整性验证码未通过验证,则确定发现消息未通过验证。第二PF实体将验证结果经第一PF实体发送给监测UE。
[0230] 其中,广播UE向监测UE发送发现消息是通过广播方式实现的,监测UE向第一PF实体发送第一发现请求的过程,与广播UE广播发现消息的过程,上述两个过程为独立过程。
[0231] 现有技术中,在验证发现消息的过程中,发现消息由监测UE发送给第一PF实体,第一PF实体再发送给第二PF实体,第二PF实体对发现消息进行验证之后,将验证结果经第一PF实体发送给监测UE,为了简化验证过程,提高验证速度,本发明实施例对现有技术的验证流程做出了改进,请参阅图2,在图2所示的验证流程中,
[0232] 广播UE将数字证书发送给第二PF实体,第二PF实体将广播UE的邻近码、广播UE的邻近应用标识及广播UE的数字证书进行绑定;监测UE向第一PF实体发送第一发现请求;第一PF实体向第二PF实体发送携带有邻近应用标识的监测请求;第二PF实体将广播UE的数字证书及广播UE的邻近码返回给第一PF实体;第一PF实体将广播UE的数字证书及广播UE的邻近码返回给监测UE;
[0233] 监测UE接收发现消息;若发现消息携带的邻近码与广播UE的邻近码相同,监测UE根据数字证书中的公钥,确定发现消息的合法性。
[0234] 在图2所示的验证流程中,第二PF实体会根据第一PF实体发送的监测请求,将广播UE的数字证书经第一PF实体发送给监测UE,监测UE可以根据广播UE的数字证书中的公钥对发现消息进行验证,而无需向第一PF实体发送发现消息,因此减少了验证过程步骤,加快了验证速度,并节约了验证的信令开销。
[0235] 请参阅图3,本发明实施例中邻近服务通信的验证方法的一个实施例包括:
[0236] 301、监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识;
[0237] 当用户利用监测UE寻找附近的广播UE时,监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识,第一PF实体为监测UE的归属地网络的邻近服务功能实体。
[0238] 302、监测UE接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码及广播UE的数字证书;
[0239] 当监测UE向第一PF实体发送第一发现请求之后,第一PF实体从第二PF实体获取广播UE的邻近码及广播UE的数字证书,监测UE可以接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码及广播UE的数字证书。
[0240] 303、监测UE从第一发现响应消息中获取广播UE的数字证书,数字证书包含公钥;
[0241] 其中,第一发现响应消息携带有广播UE的数字证书,数字证书包含公钥,监测UE可以从第一发现响应消息中获取广播UE的数字证书。
[0242] 304、监测UE接收发现消息,发现消息携带有消息签名值及邻近码;
[0243] 305、若发现消息携带的邻近码与广播UE的邻近码相同,则监测UE根据公钥,确定发现消息的合法性。
[0244] 其中,当发现消息携带的邻近码与广播UE的邻近码相同时,表明该发现消息来自广播UE,监测UE可以根据广播UE的公钥验证发现消息是否合法。
[0245] 若发现消息携带的邻近码与广播UE的邻近码相同,监测UE可以与广播UE可以建立D2D链路,也可以不建立D2D链路,此处不作限定。
[0246] 需要说明的是,本实施例中步骤301至步骤303为监测UE从第一PF实体获取广播UE的邻近码及广播UE的数字证书的过程,步骤304为监测UE从广播UE获取发现消息的过程,上述两个过程并无固定先后顺序,在本发明的一些实施例中,可能先执行步骤304,再执行步骤301至步骤303,此处不作限定。
[0247] 本实施例中,监测UE可以获取广播UE的数字证书对发现消息进行验证,无需将发现消息通过第一PF实体发送到第二PF实体进行验证,因此可以减少信令开销,加快验证速度。与现有技术相比,监测UE与广播UE无需协商相同的密钥加解密,无需传递密钥,提高了验证流程的安全性。
[0248] 可选的,在图3所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,监测UE根据公钥,确定发现消息的合法性可以通过以下方式实现:监测UE使用公钥对消息签名值进行验证;若消息签名值通过验证,则确定发现消息合法;若消息签名值未通过验证,则确定发现消息非法。
[0249] 具体的,当发现消息携带的消息内容为邻近码时,监测UE对邻近码进行哈希运算得到第一哈希值,并使用数字证书中的公钥对发现消息中的消息签名值计算得到第二哈希值,如果第一哈希值与第二哈希值相同,则表明发现消息完整,没有受到破坏,发现消息合法,否则,表明发现消息不完整,发现消息非法。
[0250] 发现消息不完整的原因可能是消息签名值不是来自广播该发现消息的UE,或是发现消息已被入侵者破坏,或在传输过程中丢失部分信息。
[0251] 可选的,在图3所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,上述发现消息还包括时间戳,上述第一发现响应消息还包括邻近服务功能实体的时间信息及允许偏移时长,上述监测UE接收发现消息之前包括:上述监测UE将第一发现响应消息中的PF实体的时间信息设置为本地时钟的时间信息;上述监测UE从本地时钟获取第三时间信息,从时间源获取第四时间信息;上述监测UE判断第四时间信息与第三时间信息的时间差是否超过允许偏移时长,若不超过允许偏移时长,则确定上述第四时间信息合法,则执行监测UE根据公钥确定发现消息的合法性的步骤。
[0252] 具体的,上述第三时间信息是指从本地时钟获取的时刻值,这个时刻值与PF实体上的网络时刻一致,由于监测UE从时间源获取的第四时间信息没有安全保护,可能是一个非法攻击者改动过的时间信息,因此需要设置一个允许偏移时长,判断第四时间信息与第三时间信息的时间差是否超过允许偏移时长,若不超过允许偏移时长,则表明第四时间信息可信,若超过允许偏移时长,则表明第四时间信息不可信,不会执行监测UE根据公钥确定发现消息的合法性的步骤。
[0253] 时间源可以由UE通过SIB16,网络标识和时区(Network Identity and Time Zone,NITZ),网络时间协议(Network Time Protocol,NTP)或全球定位系统(Global Positioning System,GPS)等方式获取,还可以为其他方法获取,此处不作限定。
[0254] 可选的,在图3所示实施例的可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,上述监测UE接收发现消息之后包括:
[0255] 上述监测UE根据上述时间戳以及第四时间信息生成第五时间信息;上述监测UE利用广播UE的数字证书中的公钥对携带第五时间信息的发现消息进行验证。
[0256] 具体的,时间戳可以用于标记广播UE对邻近码进行签名的时刻,第一时间信息为广播UE对邻近码进行签名的时刻,广播UE可以根据第一时间信息生成时间戳,监测UE获取时间戳之后,可以根据时间戳与第四时间信息生成第五时间信息,第五时间信息应当与第一时间信息相同,若不同,表明发现消息有误,可能已经失效,或被篡改。
[0257] 需要说明的是,该时间戳仅包含一个时间的部分信息,例如时,分及秒信息,监测UE获取时间戳之后需要利用来自时间源的第四时间信息将其重组才会成为一个完整时间,即第五时间信息。
[0258] 可选的,在图3所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,上述发现消息还包括第一时间信息,第一时间信息用于指示消息签名值的生成时刻,则根据公钥,确定上述发现消息的合法性通过以下方式实现:上述监测UE利用数字证书中的公钥及上述第一时间信息,确定上述发现消息的合法性。
[0259] 本实施例中,第一时间信息为广播UE对发现消息进行签名的时刻,监测UE接收邻近码和第一时间信息之后,对邻近码和第一时间信息进行哈希计算得到第一哈希值,并利用数字证书中的公钥对消息签名值进行哈希计算得到第二哈希值,若第一哈希值与第二哈希值相同,则发现消息合法,否则发现消息非法。
[0260] 需要说明的是,由于第一时间信息为一个完整的时间,监测UE获取第一时间信息后可以直接对发现消息进行签名验证,与现有技术相比,无需对时间戳进行重组,减少了验证步骤,加快了验证速度。第一时间信息包括时,分及秒,还包括年,月,日信息中的至少一个,此处不作限定。
[0261] 可选的,在图3所示可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,上述第一发现响应消息还包括允许偏移时长,监测UE接收上述第一PF实体反馈的第一发现响应消息之后包括:上述监测UE根据本地时钟获取第二时间信息,上述第二时间信息为监测UE接收上述发现消息的时刻;上述监测UE判断上述第一时间信息与上述第二时间信息的时间差是否超过允许偏移时长,若不超过允许偏移时长,则执行监测UE根据公钥及第一时间信息确定发现消息的合法性的步骤。
[0262] 本实施例中,若第一时间信息与第二时间信息的时间差不超过允许偏移时长,则表明上述第一时间信息合法,若第一时间信息与第二时间信息的时间差超过允许偏移时长,则表明上述第一时间信息非法。需要说明的是,本地时钟已根据第一发现响应消息所包含的邻近通信的网络时刻进行校准,因此监测UE利用本地时钟获取的第二时间信息是可信的。
[0263] 可选的,在图3所示实施例或可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,在上述监测UE根据上述公钥,确定上述发现消息的合法性之前,上述方法还包括:上述监测UE根据上述数字证书,验证上述公钥的合法性。
[0264] 本实施例中,监测UE可以根据数字证书,验证公钥的合法性。在实际应用中,监测UE根据数字证书,可以通过多种方式验证公钥的合法性,具体可参阅以下实施例。
[0265] 可选的,在图3所示实施例的可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,监测UE根据数字证书,验证公钥的合法性可以通过以下方式实现:监测UE通过在线证书状态协议(Online Certificate Status Protocol,OCSP)判断数字证书是否已被撤销,若所述数字证书已经被撤销,则确定所述公钥不合法,若所述数字证书未被撤销,则验证所述数字证书的合法性,若所述数字证书合法,则确定所述公钥合法。
[0266] 具体的,监测UE向OCSP服务器发送数字证书的状态查询消息,OCSP服务器检测数字证书的状态之后,将证书状态返回至监测UE,证书状态包括:有效,已撤销,未知。若证书状态为有效,表明该数字证书处于有效期,若证书状态为已撤销或未知,该数字证书非法,监测UE可以确定所述公钥不合法。
[0267] 当确定数字证书处于有效期,监测UE可以检测该数字证书是否合法,即该数字证书是否来自广播UE,由于数字证书中的终端标识具有唯一性,当确定数字证书来自广播UE时,数字证书为合法,监测UE可以确定所述公钥合法,否则数字证书非法,监测UE可以确定所述公钥不合法。需要说明的是,在实际应用中,检查数字证书是否已被撤销的判断过程与检查数字证书是否合法的判断过程,两个判断过程并非一定同时执行,也可能仅执行其中一个过程,此处不作限定。
[0268] 可选的,在图3所示实施例的可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第一发现响应消息还包括证书撤销列表(Certificate Revocation List,CRL),监测UE根据数字证书,验证公钥的合法性通过以下方式实现:监测UE根据上述CRL判断数字证书是否已被撤销,若是,则确定公钥不合法,若否,则验证数字证书的合法性,若数字证书合法,则确定公钥合法。
[0269] 本实施例中,监测UE接收第一发现响应消息之后,可以从其中获取CRL,若数字证书在CRL中,则表明数字证书已经被撤销,该数字证书超出有效期,该数字证书中的公钥不合法,若数字证书不在CRL中,表明数字证书没有被撤销,确定该数字证书处于有效期。可以理解的是,监测UE还可以直接从证书服务器获取CRL,还可以通过其他方式从证书服务器获取CRL,此处不作限定。
[0270] 当确定数字证书处于有效期,监测UE可以检测该数字证书是否合法,即该数字证书是否来自广播UE,由于数字证书中的终端标识具有唯一性,当确定数字证书来自广播UE时,数字证书为合法,可以确定数字证书中的公钥合法,反之,数字证书非法,可以确定公钥不合法。
[0271] 需要说明的是,在实际应用中,检查数字证书是否已被撤销的判断过程与检查数字证书是否合法的判断过程,两个判断过程并非一定同时执行,也可能仅执行其中一个过程,此处不作限定。
[0272] 请参阅图4,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0273] 401、广播UE向第二PF实体发送携带有广播UE的数字证书的第二发现请求;
[0274] 本实施例中,第二PF实体为广播UE的归属地网络的邻近服务功能实体,用于为广播UE提供邻近服务,广播UE向第二PF实体发送携带有广播UE的数字证书的第二发现请求,第二发现请求用于广播UE探测邻近D2D设备,第二PF实体接收第二发现请求之后,根据第二发现请求生成第二发现响应消息。
[0275] 402、广播UE接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0276] 403、广播UE使用广播UE的私钥对邻近码进行签名生成消息签名值;
[0277] 广播UE接收第二发现响应消息之后,可以获取邻近码,使用广播UE的私钥对邻近码进行签名计算生成消息签名值。
[0278] 404、广播UE向监测UE发送发现消息,发现消息携带有消息签名值及邻近码。
[0279] 其中,发现消息携带的邻近码与第二发现响应消息中携带的邻近码相同,广播UE向监测UE发送发现消息,发现消息携带有消息签名值及邻近码,监测UE可以对发现消息进行验证。
[0280] 可选的,在图4所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,上述发现消息包括第一时间信息,上述第一时间信息用于指示消息签名值的生成时刻。
[0281] 本实施例中,广播UE向监测UE发送发现消息,上述发现消息携带有消息签名值、邻近码及第一时间信息。第一时间信息为一个完整的时间,可以包括年,月,日的信息,可以理解的是,在实际应用中,第一时间信息具体可以包括其中一种或多种信息,此处不作限定。
[0282] 请参阅图5,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0283] 501、第二PF实体接收第一PF实体发送监测请求,监测请求携带有广播UE的邻近应用标识;
[0284] 本实施例中,第一PF实体为监测UE的归属地网络的邻近服务功能实体,用于为监测UE提供邻近服务,第二PF实体为广播UE的归属地网络的邻近服务功能实体,用于为广播UE提供邻近服务,当第一PF实体响应于监测UE发送的第一发现请求,向第二PF实体发送监测请求,监测请求与监测UE发送的第一发现请求相同,第二PF实体接收第一PF实体发送的监测请求,监测请求携带有广播UE的邻近应用标识。邻近应用标识用于标识广播UE提供的应用程序,例如,网络商店A或网络服务B,还可以是其他应用程序,此处不作限定。
[0285] 502、第二PF实体根据广播UE的邻近应用标识确定广播UE的邻近码及广播UE的数字证书;
[0286] 其中,在第二PF实体中,邻近应用标识与数字证书及邻近码存在对应关系,第二PF实体可以根据广播UE的邻近应用标识确定与广播UE的数字证书及广播UE的邻近码。
[0287] 503、第二PF实体向第一PF实体发送携带有广播UE的邻近码及广播UE的数字证书的监测响应消息。
[0288] 第二PF实体获取邻近码及数字证书之后,可以向第一PF实体发送携带有广播UE的数字证书及广播UE的邻近码的监测响应消息,第一PF实体可以接收该数字证书及邻近码。
[0289] 可选的,在图5所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第二PF实体接收第一PF实体发送的监测请求之前包括:第二PF实体接收广播UE发送的第二发现请求,第二发现请求携带有广播UE的数字证书;第二PF实体向广播UE发送第二发现响应消息,第二发现响应消息携带有广播UE的邻近码;第二PF实体将广播UE的邻近应用标识、广播UE的邻近码与广播UE的数字证书进行绑定。
[0290] 本实施例中,在第二PF中存储有广播UE的邻近码及邻近应用标识,第二PF接收广播UE的数字证书之后,可以将将广播UE的邻近应用标识、广播UE的邻近码与广播UE的数字证书进行绑定。需要说明的是,第二PF还可以将存储于第二PF的广播UE的其他信息与数字证书进行绑定,如邻近用户标识,此处不作限定。
[0291] 可选的,在图5所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第二PF实体接收广播UE发送的第二发现请求之后包括:第二PF实体根据CRL判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,确定公钥合法。
[0292] 本实施例中,第二PF实体根据CRL判断数字证书是否已被撤销的过程,与监测UE根据CRL判断数字证书是否已被撤销的过程相似,第二PF实体验证数字证书的合法性的过程,和监测UE验证数字证书的合法性的过程相似,此处不再赘述。
[0293] 可选的,在图5所示实施例或可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第二PF实体接收广播UE发送的第二发现请求之后包括:第二PF实体通过OCSP判断数字证书是否已被撤销,若是,则确定数字证书未通过验证,若否,则检查数字证书是否合法,若是,确定数字证书通过验证,若否,则确定数字证书未通过验证。
[0294] 本实施例中,第二PF实体根据OCSP判断数字证书是否已被撤销的过程与监测UE根据OCSP判断数字证书是否已被撤销的过程相似,第二PF实体验证数字证书的合法性的过程和监测UE验证数字证书的合法性的过程相似,此处不再赘述。
[0295] 请参阅图6,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0296] 601、第一PF实体接收监测UE发送的第一发现请求,第一发现请求携带有广播UE的邻近应用标识;
[0297] 本实施例中,第一PF实体为监测UE的归属地网络的邻近服务功能实体,用于为监测UE提供邻近服务,第一发现请求携带有广播UE的邻近应用标识,第一PF实体接收监测UE发送的第一发现请求。
[0298] 602、第一PF实体向第二PF实体发送监测请求,监测请求携带有上述邻近应用标识;
[0299] 其中,第一PF实体接收第一发现请求之后,响应于第一发现请求生成监测请求,监测请求与第一发现请求相同,向第二PF实体发送监测请求。
[0300] 603、第一PF实体接收第二PF实体反馈的监测响应消息,监测响应消息携带有广播UE的邻近码和广播UE的数字证书,上述数字证书包含公钥;
[0301] 当第二PF实体响应于监测请求,根据监测请求获取广播UE的数字证书及广播UE的邻近码并向第一PF实体发送时,第一PF实体接收第二PF实体反馈的监测响应消息。
[0302] 604、第一PF实体向监测UE发送第一发现响应消息,第一发现响应消息携带有广播UE的数字证书及广播UE的邻近码。
[0303] 第一PF实体接收监测响应消息之后,向监测UE发送第一发现响应消息,第一发现响应消息携带有广播UE的数字证书及广播UE的邻近码,监测UE可以根据数字证书中的公钥对发现消息中的消息签名值进行验证。
[0304] 可选的,在图6所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第一发现响应消息还包括CRL。
[0305] 本实施例中,第一PF实体可以向监测UE发送CRL,监测UE可以根据CRL检查广播UE的数字证书是否被撤销。
[0306] 可选的,在图6所示实施例或可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第一PF实体接收第二PF实体反馈的监测响应消息之后包括:第一PF实体根据CRL判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,确定确定公钥合法。
[0307] 本实施例中,第一PF实体可以从CRL服务器获取CRL,并使用CRL验证数字证书是否被撤销。第一PF实体通过CRL验证数字证书是否被撤销的过程,图3所示实施例的可选实施例中监测UE通过CRL验证数字证书是否被撤销的过程相似,第一PF实体验证数字证书的合法性的过程,与图3所示实施例的可选实施例中监测UE验证数字证书的合法性的过程相似,此处不再赘述。
[0308] 可选的,在图6所示实施例或可选实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第一PF实体通过OCSP判断数字证书是否已被撤销,若是,则确定数字证书未通过验证,若否,则检查数字证书是否合法,若是,确定数字证书通过验证,若否,则确定数字证书未通过验证。
[0309] 本实施例中,第一PF实体通过OCSP验证数字证书是否被撤销的过程,图3所示实施例的可选实施例中监测UE通过OCSP验证数字证书是否被撤销的过程相似,第一PF实体验证数字证书的合法性的过程,与图3所示实施例的可选实施例中监测UE验证数字证书的合法性的过程相似,此处不再赘述。
[0310] 为便于理解,下面以一具体应用场景对本发明实施例中邻近服务通信的验证方法进行说明:
[0311] 在本发明实施例的具体应用场景中,广播UE为手机1,监测UE为手机2,手机1与手机2位于彼此附近,PF2为手机1提供邻近服务,PF1为手机2提供邻近服务,发现消息为Message,邻近码为AB12,手机1的邻近应用标识为APP1,消息签名值为signature1,数字证书为C1,第一发现请求为Request1,第二发现请求为Request2,第一发现响应消息为Response1,第二发现响应消息为Response2,私钥为Key1,公钥为Key2,Key1与Key2对应,C1包含Key2;
[0312] 手机1向PF2发送Request1,Request1携带C1;
[0313] PF2根据Request1获取App1,并将C1、AB12与APP1进行绑定,PF2向手机1发送AB12;
[0314] 手机1接收Response2,根据Key1对AB12进行签名生成signature1;
[0315] 手机1广播Message,Message携带有signature1及AB12;
[0316] 手机2向PF1发送Request1,PF1向PF2发送携带App1的监测请求,PF2根据App1获取C1和AB12,发送给PF1;PF1向手机2发送C1和AB12;
[0317] 手机2监测Message;若Message携带的邻近码为AB12,则手机2根据C1中的Key2对signature1进行签名验证,若signature1通过验证,则Message通过验证,若signature1未通过验证,则Message未通过验证。
[0318] 假设入侵者为手机3,如果入侵者截获了Message,企图通过修改Message来攻击手机2,修改后的Message携带的签名值将会改变,假定改变后的消息签名值为signature2,手机2接收到修改后的Message,手机2根据C1中的Key2对signature2进行签名验证,由于signature2与signature1不同,因此修改后的Message无法通过验证。
[0319] 可选的,手机2还可以获取T2,T2为接收Message的时刻,从第一PF实体获取偏移时间,获取来自手机1对Message的签名时刻T1,判断T1与T2的时间差是否超过允许偏移时长,若不超过,则触发手机2对signature1进行签名验证的步骤,若否,则Message未通过验证。
[0320] 可选的,第二PF实体还可以通过CRL或OCSP检查C1是否已被撤销,若C1已被撤销,则确定Key2不合法,若C1未撤销,则验证C1是否合法,若C1合法,则Key2合法,若C1非法,则Key2不合法。
[0321] 本发明实施例提供了另一种改进验证流程的方法,请参阅图7,在图7所示的验证流程中,
[0322] 广播UE向第二PF实体发送第二发现请求,第二PF实体将邻近码返回给广播UE,广播UE使用私钥对邻近码进行签名生成消息签名值,并广播携带有该消息签名值、广播UE的邻近码及广播UE的数字证书的发现消息;
[0323] 监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识,第一PF实体向第二PF实体发送监测请求,第二PF实体将邻近码返回给第一PF实体,第一PF实体将广播UE的邻近码返回给监测UE;
[0324] 若广播UE的邻近码与发现消息携带的邻近码相同,监测UE根据数字证书中的公钥,确定发现消息的合法性。
[0325] 在图7所示的验证流程中,广播UE可以直接将目标数字证书数字证书发送给监测UE,监测UE根据目标数字证书数字证书中的公钥对发现消息进行验证,也无需向第一PF实体发送发现消息,因此减少了验证过程步骤,加快了验证速度,并节约了验证的信令开销。
[0326] 在实际应用中,广播UE与监测UE可以不经过网络侧的PF实体发送数字证书,具体请参阅图8,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0327] 801、监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识;
[0328] 本实施例中,第一PF实体为监测UE的归属地网络的邻近服务功能实体,步骤801,与图3所示实施例中步骤301相似,此处不再赘述。
[0329] 802、监测UE接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0330] 803、监测UE接收发现消息,发现消息携带有消息签名值、邻近码以及广播UE的数字证书,数字证书包含公钥;
[0331] 本实施例中,监测UE可以接收发现消息,发现消息携带有消息签名值、邻近码以及广播UE的数字证书,数字证书包含公钥。
[0332] 804、若发现消息携带的邻近码与广播UE的邻近码相同,则监测UE根据公钥,确定发现消息的合法性。
[0333] 步骤804与图3所示实施例中步骤304相似,此处不再赘述。
[0334] 本实施例中,数字证书由广播UE直接发送给监测UE,广播UE可以利用广播UE的私钥对邻近码进行签名生成消息签名值,监测UE可以利用数字证书中的公钥对消息签名值进行签名验证。
[0335] 请参阅图9,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0336] 901、广播UE向第二PF实体发送第二发现请求;
[0337] 当广播UE需要发现附近D2D设备时,向第二PF实体发送第二发现请求,第二PF实体为广播UE的归属地网络的邻近服务功能实体,用于为广播UE提供邻近服务。
[0338] 需要说明的是,由于邻近码有一个有效期,广播UE获取邻近码后,在有效期内无需向第二PF实体发送发现请求,具体可参阅现有技术,此处不再赘述。
[0339] 902、广播UE接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0340] 903、广播UE根据私钥对邻近码进行签名生成消息签名值;
[0341] 步骤902至步骤903与图4所示实施例中步骤402至步骤403相似,此处不再赘述。
[0342] 904、广播UE向监测UE发送发现消息,发现消息携带有消息签名值、邻近码以及广播UE的数字证书。
[0343] 广播UE获取邻近码之后,向监测UE发送发现消息,发现消息携带有消息签名值、邻近码以及广播UE的数字证书,监测UE可以获取数字证书中的公钥,并利用公钥对消息签名值进行签名验证。
[0344] 为便于理解,下面以一具体应用场景对本发明实施例中邻近服务通信的验证方法进行说明:
[0345] 在本发明实施例的具体应用场景中,广播UE为手机1,监测UE为手机2,手机1与手机2位于彼此附近,PF2为手机1提供邻近服务,PF1为手机2提供邻近服务,发现消息为Message,邻近码为AB12,邻近应用标识为App1,手机1发送的消息签名值为signature1,数字证书为C1,第一发现请求为Request1,第二发现请求为Request2,第一发现响应消息为Response1,第二发现响应消息为Response2,私钥为key1,公钥为Key2,Key1与Key2对应,C1包含Key2;
[0346] 手机1向PF2发送Request2;
[0347] PF2根据Request2向手机1发送Response2,上述Response2携带有AB12;
[0348] 手机1接收Response2;
[0349] 手机1利用Key1对AB12进行签名生成signature1;
[0350] 手机1广播Message,Message携带有signature1、AB12以及C1;
[0351] 手机2监测到Message2;
[0352] 若Message携带的邻近码为AB12,则手机2根据C1中的Key2对signature1进行签名验证,若signature1验证成功,则Message通过验证,若signature1验证不成功,则Message未通过验证。
[0353] 假设入侵者为手机3,如果入侵者截获了Message,企图通过修改Message来攻击手机2,修改后的Message携带的签名值将会改变,假定改变后的消息签名值为signature2,手机2接收到修改后的Message,手机2根据C1中的Key2对signature2进行签名验证,由于signature2与signature1不同,因此修改后的Message无法通过验证。
[0354] 本发明实施例提供了另一种改进现有技术的验证流程的方法,请参阅图10,在图10所示的验证流程中,
[0355] 广播UE将数字证书发送给第二PF实体;第二PF实体将广播UE的邻近码、邻近应用标识及数字证书进行绑定;监测UE向第一PF实体发送第一发现请求,第一PF实体向第二PF实体发送携带有邻近应用标识的监测请求,第二PF实体将携带有数字证书及邻近码返回给第一PF实体,第一PF实体将邻近码返回给监测UE,监测UE根据邻近码查找发现消息,并将发现消息发送给第一PF实体,第一PF实体根据数字证书中的公钥确定发现消息的合法性。
[0356] 在图10所示的验证流程中,第二PF实体会根据第一PF实体发送的监测请求,将目标数字证书数字证书发送给第一PF实体,第一PF实体接收监测UE发送的发现消息之后,可以根据数字证书中的公钥对发现消息进行验证,而无需向第二PF实体发送发现消息,因此减少了验证过程步骤,加快了验证速度,并节约了验证的信令开销。
[0357] 在实际应用中,由第一PF实体获取数字证书后,可以对发现消息进行验证,具体请参阅图11,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0358] 1101、监测UE向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识;
[0359] 其中,第一PF实体为监测UE的归属地网络的邻近服务功能实体。
[0360] 1102、监测UE接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0361] 1103、监测UE接收发现消息,发现消息携带有消息签名值及邻近码;
[0362] 1104、若发现消息携带的邻近码与广播UE的邻近码相同,则监测UE向第一PF实体发送发现消息,以使得第一PF实体根据数字证书中的公钥验证发现消息的合法性。
[0363] 需要说明的是,步骤1101至步骤1102获取邻近码的过程,与步骤1103获取发现消息的过程,上述两个过程是独立的过程,没有固定的先后顺序,此处不作限定。
[0364] 步骤1101至步骤1104与现有技术中验证发现消息中监测UE的实施过程相似,此处不再赘述。
[0365] 请参阅图12,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0366] 1201、广播UE向第二PF实体发送携带有数字证书的第二发现请求;
[0367] 1202、广播UE接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0368] 1203、广播UE利用私钥对邻近码进行签名生成消息签名值;
[0369] 1204、广播UE向监测UE发送发现消息,发现消息携带有消息签名值及邻近码。
[0370] 步骤1201至步骤1204与步骤401至步骤404相似,此处不再赘述。
[0371] 请参阅图13,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0372] 1301、第二PF实体接收第一PF实体发送的携带有邻近应用标识的监测请求;
[0373] 1302、第二PF实体根据邻近应用标识确定广播UE的邻近码和广播UE的数字证书;
[0374] 1303、第二PF实体向第一PF实体发送携带有数字证书和广播UE的邻近码的监测响应消息。
[0375] 步骤1301至步骤1303与步骤501至步骤503相似,此处不再赘述。
[0376] 请参阅图14,本发明实施例中邻近服务通信的验证方法的另一实施例包括:
[0377] 1401、第一PF实体接收监测UE发送的第一发现请求,第一发现请求携带有广播UE的邻近应用标识;
[0378] 1402、第一PF实体向第二PF实体发送监测请求,监测请求携带有上述邻近应用标识;
[0379] 1403、第一PF实体接收第二PF实体反馈的携带有数字证书和广播UE的邻近码的监测响应消息;
[0380] 步骤1401至步骤1403与图6所示实施例中步骤601至步骤603相似,此处不再赘述。
[0381] 1404、第一PF实体向监测UE发送第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0382] 监测UE从第一PF实体获取广播UE的邻近码之后,通过广播UE的邻近码来匹配合适的发现消息,即检查广播UE的邻近码与从发现消息中获取的邻近码是否相同来完成匹配,如果广播UE的邻近码与发现消息携带的邻近码相同,则确定发现消息来自该广播UE,则向第一PF实体发送该发现消息。
[0383] 1405、第一PF实体接收监测UE发送的发现消息;
[0384] 1406、第一PF实体根据数字证书中的公钥,确定发现消息的合法性。
[0385] 可选的,在图14所示实施例的基础上,本发明实施例中邻近服务通信的验证方法的另一实施例中,第一PF实体根据数字证书中的公钥,确定发现消息的合法性通过以下方式实现:第一PF实体根据数字证书中的公钥对消息签名值进行验证,若消息签名值通过验证,则第一PF实体确定发现消息合法,若消息签名值未通过验证,则第一PF实体确定发现消息非法。
[0386] 具体的,第一PF实体接收发现消息之后,对发现消息中的邻近码进行哈希计算得到第一哈希值,并根据数字证书中的公钥对消息签名值进行签名计算得到第二哈希值,若第一哈希值与第二哈希值相同,则确定发现消息合法,否则发现消息非法。可以理解的是,第一PF实体根据数字证书中的公钥,确定发现消息的合法性之后,可以将验证结果发送给监测UE。
[0387] 本实施例中,第一PF实体可以从第二PF实体获取数字证书,并利用数字证书对发现消息进行验证,无需再将发现消息发送到第二PF实体,由第二PF实体进行验证,简化了邻近通信的验证过程,节约了信令开销,加快了验证速度。
[0388] 为便于理解,下面以一具体应用场景对本发明实施例中邻近服务通信的验证方法进行说明:
[0389] 在本发明实施例的具体应用场景中,广播UE为手机1,监测UE为手机2,手机1与手机2位于彼此附近,PF2为手机1提供邻近服务,PF1为手机2提供邻近服务,发现消息为Message,邻近码为AB12,邻近应用标识为APP1,消息签名值为signature1,数字证书为C1,第一发现请求为Request1,第二发现请求为Request2,第一发现响应消息为Response1,第二发现响应消息为Response2,私钥为Key1,公钥为Key2,Key1与Key2对应,C1包含Key2;
[0390] 手机1向PF2发送Request1,Request1携带C1和App1;
[0391] PF2根据Request1获取App1,并将C1与App1进行绑定,PF2向手机1发送Response2,Response2包含AB12;
[0392] 手机1接收Response2,根据Key1对AB12进行签名生成signature1;
[0393] 手机1广播Message,Message携带有signature1及AB12;
[0394] 手机2向PF1发送Request1,PF1向PF2发送携带有App1的监测请求,PF2根据App1获取C1并发送给PF1;
[0395] PF1向手机2发送AB12,手机2监测广播,获取Message;
[0396] 当Message中的邻近码为AB12时,手机2将Message发送到第一PF实体,第一PF实体根据C1中的Key2对Message进行签名验证,若验证成功,则Message通过验证,发现消息合法。,若不同,则Message未通过验证,发现消息不合法;
[0397] 假设入侵者为手机3,如果入侵者截获了Message,企图通过修改Message来攻击手机2,修改后的Message携带的签名值将会改变,假定改变后的消息签名值为signature2,手机2接收到修改后的Message,手机2根据C1中的Key2对signature2进行签名验证,由于signature2与signature1不同,因此修改后的Message无法通过验证。
[0398] 以上从方法角度对本发明实施例中邻近通信的验证方法进行了描述,下面从装置角度对本发明实施例中的监测UE进行详细描述:
[0399] 请参阅图15,本发明实施例中监测UE的一个实施例包括:
[0400] 发送模块1501,用于向第一PF实体发送第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识,第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0401] 接收模块1502,用于接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有所述邻近应用标识所指示的广播UE的邻近码;
[0402] 接收模块1502,还用于接收发现消息,发现消息携带有消息签名值及邻近码;其中,所述发现消息携带有所述广播UE的数字证书,所述数字证书包含公钥,或者,所述第一发现响应消息携带有所述广播UE的所述数字证书;
[0403] 验证模块1503,用于利用数字证书中的公钥对消息签名值进行验证。
[0404] 本实施例中,监测UE向第一PF实体发送第一发现请求,第一PF实体为监测UE的归属地网络的邻近服务功能实体,接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码,接收发现消息,发现消息携带有消息签名值及邻近码,获取广播UE的数字证书,数字证书包含公钥,利用公钥确定发现消息的合法性,监测UE无需将发现消息经第一PF实体转发到第二PF实体进行验证,也无需从第一PF实体获取验证结果,因此可以减少信令开销,加快验证速度。
[0405] 可选的,在本发明的一些实施例中,验证模块1503具体用于使用公钥对消息签名值进行验证,若消息签名值通过验证,则确定发现消息合法,若消息签名值未通过验证,则确定发现消息非法。
[0406] 可选的,在本发明的一些实施例中,验证模块1503具体用于当发现消息还包括第一时间信息时,根据公钥及第一时间信息确定发现消息的合法性。
[0407] 可选的,在本发明的一些实施例中,所述UE还包括:
[0408] 获取模块1504,还用于根据本地时钟获取第二时间信息,第二时间信息用于指示监测UE接收发现消息的时刻;
[0409] 验证模块1503,还用于当第一发现响应消息还包括允许偏移时长时,若第一时间信息与第二时间信息的时间差不超过允许偏移时长,则执行监测UE使用公钥及第一时间信息对消息签名值进行验证的步骤。
[0410] 可选的,在本发明的一些实施例中,验证模块1503还用于在验证模块根据公钥,确定发现消息的合法性之前,根据数字证书,验证公钥的合法性。
[0411] 可选的,在本发明的一些实施例中,验证模块1503,还用于通过OCSP判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,则公钥合法。
[0412] 可选的,在本发明的一些实施例中,验证模块1503,还用于当第一发现响应消息还包括CRL时,根据CRL判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,则公钥合法。
[0413] 图15所示UE的实施例或可选实施例中各模块的具体工作过程可以参阅图3或图8所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0414] 请参阅图16,本发明实施例中广播UE的一个实施例包括:
[0415] 发送模块1601,用于向第二PF实体发送携带有数字证书的第二发现请求,第二PF实体为广播UE的归属地网络的邻近服务功能实体;
[0416] 接收模块1602,用于接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0417] 生成模块1603,用于根据广播UE的私钥对邻近码进行签名生成消息签名值;
[0418] 发送模块1601,用于向监测UE发送发现消息,发现消息携带有消息签名值及邻近码。
[0419] 本实施例中UE的实施例或可选实施例中各模块的具体工作过程可以参阅图4所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0420] 可选的,在本发明的一些实施例中,发现消息还包括第一时间信息,第一时间信息用于指示所述消息签名值的生成时刻;
[0421] 所述生成模块1603具体用于根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0422] 请参阅图16,本发明实施例中广播UE的另一个实施例包括:
[0423] 发送模块1601,用于向第二PF实体发送第二发现请求,第二PF实体为广播UE的归属地网络的邻近服务功能实体;
[0424] 接收模块1602,用于接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0425] 生成模块1603,用于根据广播UE的私钥,对邻近码进行签名生成消息签名值;
[0426] 发送模块1601,还用于向监测UE发送发现消息,发现消息携带有消息签名值、邻近码以及广播UE的数字证书,数字证书包含与私钥对应的公钥。
[0427] 可选的,在本发明的一些实施例中,发现消息还携带有第一时间信息,第一时间信息用于指示所述消息签名值的生成时刻;
[0428] 所述生成模块1603具体用于根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0429] 本实施例中UE的实施例或可选实施例中各模块的具体工作过程可以参阅图9所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0430] 请参阅图17,本发明实施例中第二PF实体的一个实施例包括:
[0431] 接收模块1701,用于接收第一PF实体发送的监测请求,监测请求携带有邻近应用标识,监测请求是第一PF实体根据监测UE发送的第一发现请求;
[0432] 确定模块1702,用于根据邻近应用标识确定广播UE的邻近码和广播UE的数字证书;
[0433] 发送模块1703,还用于向第一PF实体发送携带有广播UE的邻近码和广播UE的数字证书的监测响应消息。
[0434] 可选的,在本发明的一些实施例中,接收模块1701,还用于接收广播UE发送的第二发现请求,第二发现请求携带有广播UE的数字证书;
[0435] 发送模块1703,还用于向广播UE发送第二发现响应消息,第二发现响应消息携带有广播UE的邻近码;
[0436] 第二PF实体1700还包括:
[0437] 绑定模块1704,还用于将广播UE的邻近应用标识、广播UE的邻近码与广播UE的数字证书进行绑定。
[0438] 图17所示PF实体的实施例或可选实施例中各模块的具体工作过程可以参阅图5所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0439] 请参阅图18,本发明实施例中第一PF实体的一个实施例包括:
[0440] 接收模块1801,用于接收监测UE发送的第一发现请求,第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0441] 发送模块1802,用于向第二PF实体发送携带有邻近应用标识的监测请求,监测请求携带有广播UE的邻近应用标识,使得第二PF实体根据邻近应用标识获取广播UE的邻近码和广播UE的数字证书;
[0442] 接收模块1801,还用于接收第二PF实体反馈的监测响应消息,监测响应消息携带有广播UE的邻近码和广播UE的数字证书,广播UE的数字证书包含公钥;
[0443] 发送模块1802,还用于向监测UE发送第一发现响应消息,第一发现响应消息携带有广播UE的邻近码和广播UE的数字证书。
[0444] 可选的,在本发明的一些实施例中,第一发现响应消息还包括CRL。
[0445] 可选的,在本发明的一些实施例中,第一PF实体还包括:
[0446] 第一验证模块1803,用于接收第二PF实体反馈的监测响应消息之后,根据CRL判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,确定公钥合法。
[0447] 可选的,在本发明的一些实施例中,第一PF实体还包括:
[0448] 第二验证模块1804,用于接收第二PF实体反馈的监测响应消息之后,通过OCSP判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,确定公钥合法。
[0449] 图18所示PF实体的实施例或可选实施例中各模块的具体工作过程可以参阅图6所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0450] 请参阅图19,本发明实施例中监测UE的一个实施例包括:
[0451] 发送模块1901,用于向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识,第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0452] 接收模块1902,用于接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0453] 接收模块1902,还用于接收发现消息,发现消息携带有消息签名值及邻近码;
[0454] 发送模块1901,还用于若发现消息携带的邻近码与广播UE的邻近码相同,则向第一PF实体发送发现消息,以使得第一PF实体根据数字证书中的公钥确定发现消息的合法性。
[0455] 图19所示监测UE的实施例或可选实施例中各模块的具体工作过程可以参阅图11所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0456] 请参阅图20,本发明实施例中第一PF实体的一个实施例包括:
[0457] 接收模块2001,用于接收监测UE发送的第一发现请求,第一发现携带有广播UE的邻近应用标识;
[0458] 发送模块2002,用于向第二PF实体发送监测请求,监测请求携带有上述邻近应用标识;
[0459] 接收模块2001,还用于接收第二PF实体反馈的携带有广播UE的邻近码和广播UE的数字证书的监测响应消息,所述数字证书包含公钥;
[0460] 发送模块2002,还用于向监测UE发送的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0461] 接收模块2001,还用于接收监测UE发送的发现消息,所述发现消息携带有消息签名值;
[0462] 验证模块2003,用于根据数字证书中的公钥和所述消息签名值,确定发现消息的合法性。
[0463] 可选的,在本发明的一些实施例中,验证模块2003具体用于使用数字证书的公钥对消息签名值进行验证,若消息签名值通过验证,则确定发现消息合法,若消息签名值未通过验证,则确定发现消息非法。
[0464] 图20所示PF实体的实施例或可选实施例中各模块的具体工作过程可以参阅图14所示邻近服务的验证方法的实施例或可选实施例来实现,此处不再赘述。
[0465] 上面从单元化功能实体的角度对本发明实施例中的UE进行了描述,下面从硬件处理的角度对本发明实施例中UE进行描述,请参阅图21,本发明实施例中UE2100的另一实施例包括:
[0466] 接收装置2101、发送装置2102、处理器2103和存储器2104,(其中UE2100中的处理器2103的数量可以一个或多个,图21中以一个处理器2103为例)。处理器2103和存储器2104通过接收装置2101接收UE外部的信息,处理器2103和存储器2104通过发送装置2102将信息发送到UE外部。在本发明的一些实施例中,接收装置2101、发送装置2102、处理器2103和存储器2104可通过总线或其它方式连接,其中,图21中以通过总线连接为例。
[0467] 以下结合图21所示的硬件对本发明实施例中的监测UE进行描述,请参阅图21,本发明实施例中监测UE的一个实施例包括:
[0468] 发送装置2102,用于向第一PF实体发送第一发现请求,第一发现请求携带有广播UE的邻近应用标识,第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0469] 接收装置2101,用于接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有所述邻近应用标识所指示的广播UE的邻近码;
[0470] 接收装置2101,还用于接收发现消息,发现消息携带有消息签名值及邻近码;其中,所述发现消息携带有所述广播UE的数字证书,所述数字证书包含公钥,或者,所述第一发现响应消息携带有所述广播UE的所述数字证书;
[0471] 处理器2103,还用于若发现消息携带的邻近码与广播UE的邻近码相同,则根据公钥确定发现消息的合法性;
[0472] 存储器2104,用于存储第一发现请求、第一发现响应消息及发现消息。
[0473] 其中,处理器2103具体用于使用公钥对消息签名值进行验证,若消息签名值通过验证,则确定发现消息合法,若消息签名值未通过验证,则确定发现消息非法。
[0474] 其中,处理器2103具体用于当发现消息还包括第一时间信息时,所述第一时间信息用于指示所述消息签名值的生成时刻,根据公钥及第一时间信息确定发现消息的合法性。
[0475] 其中,处理器2103,还用于根据本地时钟获取第二时间信息,第二时间信息用于指示监测UE接收发现消息的时刻。
[0476] 其中,处理器2103,还用于当第一发现响应消息还包括允许偏移时长时,若第一时间信息与第二时间信息的时间差不超过允许偏移时长,则执行监测UE根据公钥及第一时间信息确定发现消息的合法性的步骤。
[0477] 其中,处理器2103还用于在处理器2103根据公钥确定发现消息的合法性之前,根据数字证书验证公钥的合法性。
[0478] 其中,处理器2103还用于通过OCSP判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,则公钥合法。
[0479] 其中,处理器2103还用于当第一发现响应消息还包括CRL时,根据CRL判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,则公钥合法。
[0480] 以下结合图21所示的硬件对本发明实施例中的广播UE进行描述,请参阅图21,本发明实施例中广播UE的一个实施例包括:
[0481] 发送装置2102,用于向第二PF实体发送携带有广播UE的数字证书的第二发现请求,第二PF实体为广播UE的归属地网络的邻近服务功能实体;
[0482] 接收装置2101,用于接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0483] 处理器2103,用于使用广播UE的私钥对邻近码进行签名生成消息签名值;
[0484] 发送装置2102,用于向监测UE发送发现消息,发现消息携带有消息签名值及邻近码;
[0485] 存储器2104,用于存储私钥、第二发现请求、第二发现响应消息及发现消息。
[0486] 其中,发现消息还包括第一时间信息,第一时间信息用于指示所述消息签名值的生成时刻;
[0487] 处理器2103具体用于使用广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0488] 请参阅图21,本发明实施例中广播UE的另一个实施例包括:
[0489] 发送装置2102,用于向第二PF实体发送第二发现请求,第二PF实体为广播UE的归属地网络的邻近服务功能实体;
[0490] 接收装置2101,用于接收第二PF实体反馈的第二发现响应消息,第二发现响应消息携带有邻近码;
[0491] 处理器2103,用于根据广播UE的私钥对邻近码进行签名生成消息签名值;
[0492] 发送装置2102,还用于向监测UE发送发现消息,发现消息携带有消息签名值、邻近码以及广播UE的数字证书,数字证书包含与私钥对应的公钥。
[0493] 其中,发现消息还携带有第一时间信息,第一时间信息用于指示所述消息签名值的生成时刻;
[0494] 所述处理器2103具体用于根据所述广播UE的私钥,对所述邻近码和所述第一时间信息进行签名生成消息签名值。
[0495] 上面从单元化功能实体的角度对本发明实施例中的监测UE或广播UE进行了描述,下面从硬件处理的角度对本发明实施例中邻近服务功能实体进行描述,本发明实施例中的邻近服务功能实体包括:
[0496] 接收装置2201、发送装置2202、处理器2203和存储器2204,(其中,PF实体2200中的处理器的数量可以一个或多个,图22中以一个处理器2203为例)。处理器2203和存储器2204通过接收装置2201接收服务器外部的信息,处理器2203和存储器2204通过发送装置2202将信息发送到服务器外部。在本发明的一些实施例中,接收装置2201、发送装置2202、处理器2203和存储器2204可通过总线或其它方式连接,其中,图22中以通过总线连接为例。
[0497] 以下结合图22所示硬件对本发明实施例中的第二PF实体进行描述,请参阅图22,本发明实施例中第二PF实体的另一实施例包括:
[0498] 接收装置2201,用于接收第一PF实体发送的监测请求,监测请求携带有广播UE的邻近应用标识,监测请求是第一PF实体根据监测UE发送的第一发现请求;
[0499] 处理器2203,用于根据邻近应用标识确定广播UE的邻近码和广播UE的数字证书;
[0500] 发送装置2202,还用于向第一PF实体发送携带有广播UE的邻近码和广播UE的数字证书的监测响应消息;
[0501] 存储器2204,用于存储邻近应用标识、邻近码、监测请求和监测响应消息。
[0502] 其中,接收装置2101,还用于接收广播UE发送的第二发现请求,第二发现请求携带有广播UE的数字证书;
[0503] 发送装置2102,还用于向广播UE发送第二发现响应消息,第二发现响应消息携带有广播UE的邻近码;
[0504] 处理器2103,还用于将广播UE的数字证书、广播UE的邻近应用标识与广播UE的邻近码进行绑定。
[0505] 以下结合图22所示硬件对本发明实施例中的第一PF实体进行描述,请参阅图22,本发明实施例中第一PF实体的一个实施例包括:
[0506] 接收装置2201,用于接收监测UE发送的第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识;
[0507] 发送装置2202,用于向第二PF实体发送携带有邻近应用标识的监测请求,使得第二PF实体根据邻近应用标识获取广播UE的邻近码和广播UE的数字证书;
[0508] 接收装置2201,还用于接收第二PF实体反馈的监测响应消息,监测响应消息携带有广播UE的邻近码和广播UE的数字证书,所述广播UE的数字证书包含公钥;
[0509] 发送装置2202,还用于向监测UE发送第一发现响应消息,第一发现响应消息携带有广播UE的邻近码和广播UE的数字证书;
[0510] 存储器2204,用于存储第一发现请求、第一发现响应消息、监测请求和监测响应消息。
[0511] 其中,发送装置2202具体用于向监测UE发送第一发现响应消息,第一发现响应消息还包括CRL。
[0512] 其中,处理器2203,还用于接收第二PF实体反馈的监测响应消息之后,根据CRL判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,确定公钥合法。
[0513] 其中,处理器2203,还用于接收第二PF实体反馈的监测响应消息之后,通过OCSP判断数字证书是否已被撤销,若数字证书已经被撤销,则确定公钥不合法,若数字证书未被撤销,则验证数字证书的合法性,若数字证书合法,则确定公钥合法。
[0514] 以下结合图21所示的硬件对本发明实施例中的监测UE进行描述,请参阅图21,请参阅图21,本发明实施例中监测UE的另一个实施例包括:
[0515] 发送装置2102,用于向第一PF实体发送第一发现请求,所述第一发现请求携带有广播UE的邻近应用标识,第一PF实体为监测UE的归属地网络的邻近服务功能实体;
[0516] 接收装置2101,用于接收第一PF实体反馈的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0517] 接收装置2101,还用于接收发现消息,发现消息携带有消息签名值及邻近码;
[0518] 发送装置2102,还用于若发现消息携带的邻近码与广播UE的邻近码相同,则向第一PF实体发送发现消息,以使得第一PF实体根据数字证书中的公钥,确定所述发现消息的合法性;
[0519] 存储器2104,用于第一发现请求、第一发现响应消息及发现消息。
[0520] 以下结合图22所示硬件对本发明实施例中的第一PF实体进行描述,请参阅图22,请参阅图22,本发明实施例中第一PF实体的一个实施例包括:
[0521] 接收装置2201,用于接收监测UE发送的第一发现请求,所述第一发现携带有广播UE的邻近应用标识;
[0522] 发送装置2202,用于向第二PF实体发送监测请求,监测请求携带有邻近应用标识;
[0523] 接收装置2201,还用于接收第二PF实体反馈的携带有广播UE的邻近码和数字证书的监测响应消息,数字证书包含公钥;
[0524] 发送装置2202,还用于向监测UE发送的第一发现响应消息,第一发现响应消息携带有广播UE的邻近码;
[0525] 接收装置2201,还用于接收监测UE发送的发现消息,所述发现消息携带有消息签名值;
[0526] 处理器2203,用于根据数字证书中的公钥和消息签名值,确定发现消息的合法性;
[0527] 存储器2204,用于存储第一发现请求、第一发现响应消息、监测请求和监测响应消息和验证结果。
[0528] 其中,处理器2203具体用于使用数字证书的公钥对消息签名值进行验证,若消息签名值通过验证,则确定发现消息合法,若消息签名值未通过验证,则确定发现消息非法。
[0529] 以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
