WO2023245354A1 - 安全保护方法、装置、通信设备及存储介质 - Google Patents
安全保护方法、装置、通信设备及存储介质 Download PDFInfo
- Publication number
- WO2023245354A1 WO2023245354A1 PCT/CN2022/099915 CN2022099915W WO2023245354A1 WO 2023245354 A1 WO2023245354 A1 WO 2023245354A1 CN 2022099915 W CN2022099915 W CN 2022099915W WO 2023245354 A1 WO2023245354 A1 WO 2023245354A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- terminal
- ranging
- security policy
- direct link
- positioning protocol
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 225
- 238000004891 communication Methods 0.000 title claims description 196
- 230000006870 function Effects 0.000 claims description 97
- 230000004044 response Effects 0.000 claims description 59
- 230000008569 process Effects 0.000 claims description 58
- 230000011664 signaling Effects 0.000 claims description 25
- 238000013507 mapping Methods 0.000 claims description 14
- 238000013475 authorization Methods 0.000 claims description 11
- 238000007726 management method Methods 0.000 description 33
- 238000005516 engineering process Methods 0.000 description 30
- 238000010295 mobile communication Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000007774 longterm Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Definitions
- the present disclosure relates to the field of wireless communication technology but is not limited to the field of wireless communication technology, and in particular, to a security protection method, device, communication equipment and storage medium based on a ranging direct link positioning protocol.
- a ranging direct link positioning protocol is proposed. This protocol is used to transmit ranging capability information, auxiliary data information and/or positioning information for ranging or SL positioning between terminals.
- ranging capability information auxiliary data information and/or positioning information for ranging or SL positioning between terminals.
- auxiliary data information auxiliary data information and/or positioning information for ranging or SL positioning between terminals.
- a security protection method based on a ranging direct link positioning protocol is provided, wherein the method is executed by a network function, and the method includes:
- the ranging direct link positioning protocol security policy information instructs the terminal to execute the security policy of the ranging direct link positioning protocol process.
- the ranging direct link positioning protocol security policy information indicates a mapping relationship between at least one ranging direct link positioning service and a ranging direct link positioning protocol security policy.
- Signaling integrity protection information is used to indicate the following ranging direct link positioning protocol policy:
- the terminal only accepts connections if the PC5 interface is integrity protected
- Signaling encryption protection information used to indicate one of the following ranging direct link positioning protocol policies:
- the terminal only accepts connections when the PC5 interface is protected by encryption
- the terminal only establishes connections that are not protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- the network function is the policy control function PCF
- the sending of ranging direct link positioning protocol security policy information to the terminal includes:
- ranging direct link positioning protocol security policy information is sent to the terminal.
- the network function is the 5G proximity communication key management function PKMF or the 5G proximity service name management function DDNMF
- the sending of ranging direct link positioning protocol security policy information to the terminal includes:
- ranging direct link positioning protocol security policy information is sent to the terminal.
- a security protection method based on a ranging direct link positioning protocol is provided, wherein the method is executed by a terminal, and the method includes:
- the ranging direct link positioning protocol security policy information indicates: the terminal executes the security policy of the ranging direct link positioning protocol process.
- the ranging direct link positioning protocol security policy information indicates a mapping relationship between at least one ranging direct link positioning service and a ranging direct link positioning protocol security policy.
- Signaling integrity protection information is used to indicate the following ranging direct link positioning protocol policy:
- Signaling encryption protection information used to indicate one of the following ranging direct link positioning protocol policies:
- the terminal only accepts connections when the PC5 interface is protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- the network function is a policy control function PCF
- the receiving ranging direct link positioning protocol security policy information sent by the network function includes:
- the ranging direct link positioning protocol security policy information sent by the network function is received.
- the ranging direct link positioning protocol security policy information sent by the network function is received.
- the direct communication is the direct communication established for the ranging direct link positioning service rather than the direct communication established for the proximity service ProSe.
- the method further includes:
- a ranging direct link positioning protocol security policy of the first terminal sent to the second terminal is selected.
- sending the ranging direct link positioning protocol security policy of the first terminal and/or the security capability information of the first terminal to the second terminal includes:
- the ranging direct link positioning protocol security policy of the first terminal and/or the security capability information of the first terminal is sent to the second terminal through a direct communication request message.
- the information of the security algorithm, the ranging direct link positioning protocol security policy of the first terminal and/or the security capability information of the first terminal sent by the second terminal are received.
- receiving the ranging direct link positioning protocol security policy of the first terminal and/or the security capability information of the first terminal sent by the first terminal that initiates direct communication includes:
- the ranging direct link positioning protocol security policy of the first terminal and/or the security capability information of the first terminal sent by the first terminal is received through a direct communication request message.
- the method further includes at least one of the following:
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal only establishes a connection that is not protected by integrity and rejects the direct communication request message;
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal only establishes a connection that is not protected by encryption, and the ranging direct link positioning protocol security policy indication of the second terminal: the terminal Only accept connections when the PC5 interface is protected by encryption and reject the direct communication request message;
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal only accepts the connection when the PC5 interface is protected by encryption, and the ranging direct link positioning protocol security policy of the second terminal Instruction: The terminal only establishes connections that are not protected by encryption and rejects the direct communication request message.
- the method further includes:
- the second terminal initiates a direct authentication and/or key establishment process with the first terminal.
- the method further includes at least one of the following:
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal only establishes a connection that is not protected by encryption, and the ranging direct link positioning protocol security policy indication of the second terminal: the terminal Will attempt to establish encryption protection and will receive connections that are not protected by encryption and accept the direct communication request message;
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal will attempt to establish encryption protection and will receive a connection that is not protected by encryption, and the ranging direct link positioning of the second terminal The protocol security policy indicates: the terminal only establishes connections that are not protected by encryption and accepts the direct communication request message;
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal only accepts the connection when the PC5 interface is protected by encryption, and the ranging direct link positioning protocol security policy of the second terminal Instruction: The terminal will try to establish encryption protection and will receive a connection that is not protected by encryption, and accept the direct communication request message;
- the terminal In response to the ranging direct link positioning protocol security policy indication of the first terminal: the terminal will attempt to establish encryption protection and will receive a connection that is not protected by encryption, accept the direct communication request message, and the second terminal
- the ranging direct link positioning protocol security policy indicates that the terminal only accepts the connection when the PC5 interface is protected by encryption and accepts the direct communication request message.
- the method further includes:
- a security algorithm for integrity and/or encryption protection is determined based on the security capability information of the first terminal and the security capability information of the second terminal.
- the method further includes:
- sending the security algorithm information to the first terminal includes:
- the security algorithm information, the ranging direct link positioning protocol security policy of the first terminal, and/or the security capability information of the first terminal are sent to the first terminal through a direct security mode command message.
- the direct security mode command message performs integrity protection based on a security algorithm selected for integrity protection.
- a security protection device based on the ranging direct link positioning protocol ranging direct link positioning protocol wherein the device includes:
- a sending module configured to send ranging direct link positioning protocol security policy information to the terminal
- the ranging direct link positioning protocol security policy information indicates: the terminal executes the security policy of the ranging direct link positioning protocol process.
- a security protection device based on a ranging direct link positioning protocol wherein the device includes:
- a receiving module configured to receive ranging direct link positioning protocol security policy information sent by the network function
- the ranging direct link positioning protocol security policy information indicates: the terminal executes the security policy of the ranging direct link positioning protocol process.
- a communication device includes:
- memory for storing instructions executable by the processor
- the processor is configured to implement the method described in any embodiment of the present disclosure when running the executable instructions.
- Figure 1 is a schematic structural diagram of a wireless communication system according to an exemplary embodiment.
- Figure 3 is a schematic flowchart of a security protection method based on a ranging direct link positioning protocol according to an exemplary embodiment.
- Figure 4 is a schematic flowchart of a security protection method based on a ranging direct link positioning protocol according to an exemplary embodiment.
- Figure 6 is a schematic flowchart of a security protection method based on a ranging direct link positioning protocol according to an exemplary embodiment.
- Figure 10 is a schematic flowchart of a security protection method based on a ranging direct link positioning protocol according to an exemplary embodiment.
- Figure 13 is a schematic flowchart of a security protection method based on a ranging direct link positioning protocol according to an exemplary embodiment.
- Figure 19 is a block diagram of a base station according to an exemplary embodiment.
- user equipment 110 may be a device that provides voice and/or data connectivity to a user.
- the user equipment 110 may communicate with one or more core networks via a Radio Access Network (RAN).
- RAN Radio Access Network
- the user equipment 110 may be an Internet of Things user equipment, such as a sensor device, a mobile phone, and a computer with an Internet of Things user equipment. , for example, it can be a fixed, portable, pocket-sized, handheld, computer-built-in or vehicle-mounted device.
- the user equipment 110 may also be equipment of an unmanned aerial vehicle.
- the user equipment 110 may also be a vehicle-mounted device, for example, it may be an on-board computer with a wireless communication function, or a wireless user equipment connected to an external on-board computer.
- the user equipment 110 may also be a roadside device, for example, it may be a streetlight, a signal light or other roadside device with a wireless communication function.
- the base station 120 may be a network-side device in a wireless communication system.
- the wireless communication system can be the 4th generation mobile communication technology (the 4th generation mobile communication, 4G) system, also known as the Long Term Evolution (LTE) system; or the wireless communication system can also be a 5G system, Also called new air interface system or 5G NR system.
- the wireless communication system may also be a next-generation system of the 5G system.
- the access network in the 5G system can be called NG-RAN (New Generation-Radio Access Network).
- the centralized unit is equipped with a protocol stack including the Packet Data Convergence Protocol (PDCP) layer, the Radio Link Control protocol (Radio Link Control, RLC) layer, and the Media Access Control (Media Access Control, MAC) layer; distributed
- PDCP Packet Data Convergence Protocol
- RLC Radio Link Control
- MAC Media Access Control
- the unit is provided with a physical (Physical, PHY) layer protocol stack, and the embodiment of the present disclosure does not limit the specific implementation of the base station 120.
- a wireless connection may be established between the base station 120 and the user equipment 110 through a wireless air interface.
- the wireless air interface is a wireless air interface based on the fourth generation mobile communication network technology (4G) standard; or the wireless air interface is a wireless air interface based on the fifth generation mobile communication network technology (5G) standard, such as
- the wireless air interface is a new air interface; alternatively, the wireless air interface may also be a wireless air interface based on the next generation mobile communication network technology standard of 5G.
- an E2E (End to End, end-to-end) connection can also be established between user equipments 110 .
- V2V vehicle to vehicle, vehicle to vehicle
- V2I vehicle to infrastructure, vehicle to roadside equipment
- V2P vehicle to pedestrian, vehicle to person
- the above user equipment can be considered as the terminal equipment of the following embodiments.
- the above-mentioned wireless communication system may also include a network management device 130.
- the network management device 130 may be a core network device in a wireless communication system.
- the network management device 130 may be a mobility management entity (Mobility Management Entity) in an evolved packet core network (Evolved Packet Core, EPC). MME).
- the network management device can also be other core network devices, such as serving gateway (Serving GateWay, SGW), public data network gateway (Public Data Network GateWay, PGW), policy and charging rules functional unit (Policy and Charging Rules) Function, PCRF) or Home Subscriber Server (HSS), etc.
- serving gateway Serving GateWay, SGW
- public data network gateway Public Data Network GateWay, PGW
- Policy and Charging Rules Policy and Charging Rules
- PCRF Policy and Charging Rules
- HSS Home Subscriber Server
- the embodiments of the present disclosure enumerate multiple implementations to clearly describe the technical solutions of the embodiments of the present disclosure.
- the multiple embodiments provided in the embodiments of the present disclosure can be executed alone or in combination with the methods of other embodiments in the embodiments of the present disclosure. They can also be executed alone or in combination. It is then executed together with some methods in other related technologies; the embodiments of the present disclosure do not limit this.
- the process based on ranging or SL positioning protocol is similar to the terminal and location management function (LMF, Location Management) based on the non-access layer (NAS, Non-Access Stratum) Long Term Evolution Positioning Protocol (LPP, Long Term Evolution Positioning Protocol) process between Functions, and the upper layer of the top layer of the PC5 interface direct communication protocol is used for ranging or SL positioning control signaling interaction between terminals.
- LMF Location Management
- NAS Non-Access Stratum
- LPP Long Term Evolution Positioning Protocol
- LPP Long Term Evolution Positioning Protocol
- Model A and Model B direct discovery are proposed, which will be reused as the basis for ranging or SL positioning device discovery, And the existing unicast mode 5G proximity service ProSe direct communication establishment process is reused.
- the PC5 security policy is defined based on the security requirements of a specific proximity service ProSe application or service running between terminals, that is, the PC5 interface security policy provided by the network is associated with the ProSe application or service supported and requested by ProSe through the terminal.
- the security policy based on the PC5 link can be implemented by the network by configuring a list of ProSe applications or services that require security protection and a PC5 interface security policy for each ProSe application in the list, that is, the PC5 interface security policy is based on the corresponding The security requirements of ProSe applications or services are implemented.
- Step 31 Send ranging direct link positioning protocol security policy information to the terminal;
- the ranging direct link positioning protocol security policy information instructs the terminal to execute the security policy of the ranging direct link positioning protocol process.
- the access network equipment involved in the present disclosure may be a base station, for example, a base station of a third generation mobile communication (3G) network, a base station of a fourth generation mobile communication (4G) network, or a base station of a fifth generation mobile communication (5G) network. or other evolved base stations.
- a base station for example, a base station of a third generation mobile communication (3G) network, a base station of a fourth generation mobile communication (4G) network, or a base station of a fifth generation mobile communication (5G) network. or other evolved base stations.
- RSPP security policy information is sent to the terminal; wherein the RSPP security policy information includes at least one of the following:
- Signaling integrity protection information used to indicate the following RSPP policy:
- the identifier "REQUIRED” may be used to indicate that the terminal accepts connections only when the PC5 interface is integrity protected and the terminal accepts connections only when the PC5 interface is encryption protected.
- the terminal can be instructed via the identifier "NOT NEEDED" to only establish connections that are not protected by encryption.
- the identifier "PREFERRED” may be used to indicate that the terminal will attempt to establish cryptographic protection and will accept connections that are not cryptographically protected.
- One use of the indicator "PREFERRED” is to allow security policy changes without immediately updating all relevant endpoints.
- the network function sends RSPP security policy information to the terminal; wherein the RSPP security policy information instructs the terminal to execute the security policy of the RSPP process.
- the RSPP security policy information indicates the security policy for the terminal to execute the RSPP process
- the terminal can execute RSPP based on the security policy indicated by the RSPP security policy information. process, compared with the method of executing the RSPP process not based on security policies, the security of ranging or direct link communication between terminals is improved. .
- Step 41 In the service authorization and configuration process, send ranging direct link positioning protocol security policy information to the terminal.
- RSPP security policy information is sent to the terminal, wherein the RSPP security policy information indicates at least one ranging direct link positioning service and the RSPP security policy. Mapping relations.
- RSPP security policy information is sent to the terminal, where the RSPP security policy information includes at least one of the following:
- Signaling integrity protection information used to indicate the following RSPP policies:
- the terminal only accepts connections if the PC5 interface is integrity protected
- the terminal only accepts connections when the PC5 interface is protected by encryption
- the terminal only establishes connections that are not protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- this embodiment provides a security protection method based on the ranging direct link positioning protocol, wherein the method is executed by a network function, and the network function is the 5G Proximity Communication Key Management Function PKMF Or 5G Proximity Service Name Management Function DDNMF; the method includes:
- Step 51 In the terminal discovery process, send ranging direct link positioning protocol security policy information to the terminal.
- RSPP security policy information is sent to the terminal, wherein the RSPP security policy information indicates a mapping relationship between at least one ranging direct link positioning service and the RSPP security policy.
- RSPP security policy information is sent to the terminal, where the RSPP security policy information includes at least one of the following:
- Signaling integrity protection information used to indicate the following RSPP policy:
- the terminal only accepts connections if the PC5 interface is integrity protected
- Signaling encryption protection information used to indicate one of the following RSPP policies:
- the terminal only accepts connections when the PC5 interface is protected by encryption
- the terminal only establishes connections that are not protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- this embodiment provides a security protection method based on the ranging direct link positioning protocol, wherein the method is executed by a terminal, and the method includes:
- Step 61 Receive the ranging direct link positioning protocol security policy information sent by the network function
- the ranging direct link positioning protocol security policy information instructs the terminal to execute the security policy of the ranging direct link positioning protocol process.
- the terminals involved in this disclosure may be, but are not limited to, mobile phones, wearable devices, vehicle-mounted terminals, roadside units (RSU, Road Side Unit), smart home terminals, industrial sensing equipment and/or medical equipment, etc.
- the terminal may be a Redcap terminal or a predetermined version of a new air interface NR terminal (for example, an R17 NR terminal).
- the network function may be a policy control function (PCF), a 5G proximity communication key management function PKMF or a 5G proximity service name management function DDNMF.
- PCF policy control function
- PKMF 5G proximity communication key management function
- DDNMF 5G proximity service name management function
- the ranging direct link positioning protocol security policy information sent by the network function through the base station is received; wherein the ranging direct link positioning protocol security policy information indicates: the security of the terminal executing the RSPP process. Strategy.
- the access network equipment involved in the present disclosure may be a base station, for example, a base station of a third generation mobile communication (3G) network, a base station of a fourth generation mobile communication (4G) network, or a base station of a fifth generation mobile communication (5G) network. or other evolved base stations.
- a base station for example, a base station of a third generation mobile communication (3G) network, a base station of a fourth generation mobile communication (4G) network, or a base station of a fifth generation mobile communication (5G) network. or other evolved base stations.
- the ranging direct link positioning protocol may be a protocol associated with ranging or SL positioning.
- the ranging direct link positioning protocol can be ranging or SL positioning protocol (RSPP, Ranging/Sidelink Positioning Protocol).
- the RSPP security policy information sent by the network function is received; wherein the RSPP security policy information indicates that the terminal executes the security policy of the RSPP process on the PC5 interface or the PC5-S interface.
- RSPP security policy information sent by the network function is received; wherein the RSPP security policy information indicates a mapping relationship between at least one ranging direct link positioning service and the RSPP security policy.
- different ranging direct link positioning services can correspond to the same RSPP security policy; or different ranging direct link positioning services can correspond to different RSPP security policies.
- the terminal may store the mapping relationship in a predetermined area, for example, in the form of a list in the predetermined area to facilitate query. In this way, after the terminal determines the ranging direct link positioning service to be initiated, it can determine the RSPP security policy based on the ranging direct link positioning service and the mapping relationship by querying the list.
- RSPP security policy information sent by the network function is received; wherein the RSPP security policy information includes at least one of the following:
- Signaling integrity protection information used to indicate the following RSPP policy:
- Signaling encryption protection information used to indicate one of the following RSPP policies:
- the terminal only accepts connections when the PC5 interface is protected by encryption
- the terminal only establishes connections that are not protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- the identifier "REQUIRED” may be used to indicate that the terminal accepts connections only when the PC5 interface is integrity protected and the terminal accepts connections only when the PC5 interface is encryption protected.
- the terminal can be instructed via the identifier "NOT NEEDED" to only establish connections that are not protected by encryption.
- the identifier "PREFERRED” may be used to indicate that the terminal will attempt to establish cryptographic protection and will accept connections that are not cryptographically protected.
- One use of the indicator "PREFERRED” is to allow security policy changes without immediately updating all relevant endpoints.
- the RSPP security policy and the security policy of the proximity service ProSe application or service may be configured separately.
- the network function is the 5G proximity communication key management function PKMF or the 5G proximity service name management function DDNMF; during the terminal discovery process, the RSPP security policy information sent by the network function is received.
- the terminal is the first terminal that initiates direct communication; receives RSPP security policy information sent by the network function; wherein the RSPP security policy information indicates: the terminal executes the security policy of the RSPP process.
- the direct communication is the direct communication established for the ranging direct link positioning service rather than the direct communication established for the proximity service ProSe.
- the RSPP security policy of the first terminal and/or the security capability information of the first terminal is sent to the second terminal through a direct communication request message.
- the terminal is a discovered second terminal in direct communication; receives the RSPP security policy of the first terminal and/or the security capability of the first terminal sent by the first terminal that initiates direct communication. information.
- the terminal is a discovered second terminal in direct communication; receives the RSPP security policy of the first terminal and/or the security capability of the first terminal sent by the first terminal that initiates direct communication. information.
- the terminal In response to the RSPP security policy indication of the first terminal: the terminal only establishes connections that are not protected by integrity and rejects the direct communication request message; or in response to the RSPP security policy indication of the first terminal: the terminal only establishes A connection that is not protected by encryption, and the RSPP security policy of the second terminal indicates that the terminal only accepts the connection when the PC5 interface is protected by encryption and rejects the direct communication request message; or, in response to the first terminal's
- the RSPP security policy indicates that the terminal only accepts connections when the PC5 interface is protected by encryption
- the RSPP security policy of the second terminal indicates that the terminal only establishes connections that are not protected by encryption and rejects the direct communication request message.
- the terminal is a discovered second terminal in direct communication; receives the RSPP security policy of the first terminal and/or the security capability of the first terminal sent by the first terminal that initiates direct communication. information.
- receives the RSPP security policy of the first terminal and/or the security capability of the first terminal sent by the first terminal that initiates direct communication. information In response to determining to accept the direct communication request message based on the RSPP security policy, it is determined to use the RSPP security policy.
- a security algorithm for integrity and/or encryption protection is determined based on the security capability information of the first terminal and the security capability information of the second terminal. Send the security algorithm information, the RSPP security policy of the first terminal, and/or the security capability information of the first terminal to the first terminal.
- this embodiment provides a security protection method based on the ranging direct link positioning protocol, wherein the method is executed by the terminal, and the network function is the policy control function PCF; the method includes:
- the network function is the policy control function PCF; during the service authorization and configuration process, the RSPP security policy information sent by the network function is received.
- the RSPP security policy information indicates a mapping relationship between at least one ranging direct link positioning service and the RSPP security policy.
- the RSPP security policy information includes at least one of the following:
- the terminal only accepts connections if the PC5 interface is integrity protected
- the terminal only establishes connections that are not protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- the terminal in this embodiment may be the first terminal that initiates direct communication or the second terminal that is discovered for direct communication.
- Step 81 In the terminal discovery process, receive the ranging direct link positioning protocol security policy information sent by the network function.
- Signaling integrity protection information used to indicate the following RSPP policies:
- the terminal only accepts connections if the PC5 interface is integrity protected
- Signaling encryption protection information used to indicate one of the following RSPP policies:
- the terminal only accepts connections when the PC5 interface is protected by encryption
- the terminal only establishes connections that are not protected by encryption
- the endpoint attempts to establish encryption protection and will accept unencrypted connections.
- the terminal in this embodiment may be the first terminal that initiates direct communication or the second terminal that is discovered for direct communication.
- this embodiment provides a security protection method based on the ranging direct link positioning protocol, wherein the method is executed by a terminal, wherein the terminal is the first terminal that initiates direct communication, so
- the methods include:
- Step 91 In response to the first terminal discovering the second terminal, determine that the direct communication is the direct communication established for the ranging direct link positioning service rather than the direct communication established for the proximity service ProSe.
- first terminal is the terminal that initiates direct communication
- second terminal is the terminal that is discovered to communicate directly.
- the first terminal and the second terminal have been described in detail in the previous embodiments. Herein No longer.
- the RSPP security policy information sent by the network function is received; wherein the RSPP security policy information indicates: the terminal executes the security policy of the RSPP process.
- the direct communication is the direct communication established for the ranging direct link positioning service rather than the direct communication established for the proximity service ProSe.
- this embodiment provides a security protection method based on the ranging direct link positioning protocol, wherein the method is executed by a terminal, wherein the terminal is the first terminal that initiates direct communication, so
- the methods include:
- Step 101 Based on the RSPP security policy information, select the ranging direct link positioning protocol security policy of the first terminal sent to the second terminal.
- the RSPP security policy information sent by the network function is received; wherein the RSPP security policy information indicates: the terminal executes the security policy of the RSPP process.
- the direct communication is the direct communication established for the ranging direct link positioning service rather than the direct communication established for the proximity service ProSe.
- an RSPP security policy of the first terminal sent to the second terminal is selected.
- this embodiment provides a security protection method based on ranging direct link positioning protocol, wherein the method is executed by a terminal, wherein the terminal is the first terminal that initiates direct communication, so
- the methods include:
- first terminal is the terminal that initiates direct communication
- second terminal is the terminal that is discovered to communicate directly.
- the first terminal and the second terminal have been described in detail in the previous embodiments. Herein No longer.
- Step 121 Receive the ranging direct link positioning protocol security policy of the first terminal and/or the security capability information of the first terminal sent by the first terminal that initiates direct communication.
- the RSPP security policy of the first terminal and/or the security capability information of the first terminal sent by the first terminal is received through a direct communication request message.
- the RSPP security policy of the first terminal and/or the security capability information of the first terminal sent by the first terminal that initiates direct communication is received.
- both the RSPP security policy of the first terminal and the RSPP security policy of the second terminal indicating that the terminal only establishes a connection that is not protected by encryption and accepts the direct communication request message; or in response to the first Both the RSPP security policy of the terminal and the RSPP security policy of the second terminal indicate that the terminal only accepts the connection and accepts the direct communication request message when the PC5 interface is protected by encryption; or, in response to the RSPP of the first terminal
- the security policy indicates that the terminal only establishes connections that are not protected by encryption, and the RSPP security policy of the second terminal indicates that the terminal will try to establish encryption protection and receive connections that are not protected by encryption, and accept the direct communication request message;
- the terminal will attempt to establish encryption protection and will receive connections that are not protected by encryption, and the direct communication request message
- this embodiment provides a security protection method based on the ranging direct link positioning protocol, wherein the method is executed by a terminal, and the terminal is a discovered second terminal in direct communication;
- the methods include:
- the security algorithm information, the RSPP security policy of the first terminal, and/or the security capability information of the first terminal are sent to the first terminal through a direct security mode command message.
- first terminal is the terminal that initiates direct communication
- second terminal is the terminal that is discovered to communicate directly.
- the first terminal and the second terminal have been described in detail in the previous embodiments. Herein No longer.
- the direct security mode command message performs integrity protection based on a security algorithm selected for integrity protection.
- first terminal is the terminal that initiates direct communication
- second terminal is the terminal that is discovered to communicate directly.
- the first terminal and the second terminal have been described in detail in the previous embodiments. Herein No longer.
- This embodiment provides a security protection method based on Ranging Direct Link Positioning Protocol RSPP, including:
- Step a1 UE_1 selects the RSPP security policy sent to UE_2.
- UEs that support ranging or SL positioning must also support ProSe or V2X. Therefore, the UE can be provided with the PC5 security policy for ProSe/V2X service and the RSPP security policy for ranging or SL positioning service.
- the UE (UE_1) that initiates direct communication through PC5 should be able to determine to establish direct communication for the ranging or SL positioning service instead of the ProSe service, so that UE_1 can Select the RSPP security policy sent to the receiving UE (UE_2) instead of the PC5 security policy for the ProSe/V2X service.
- Step a2 During the initial connection, UE_1 includes its RSPP security policy (instead of the PC5 security policy) in the Direct Communication Request message sent to UE_2, as well as the security capabilities of UE_1 (which UE_1 will accept for this connection). algorithm list). It should be noted that in some scenarios, the security capability information of UE_1 may not be sent through a direct communication request. It can be understood that in some scenarios, UE_1 does not need to provide security capability information to UE_2. For example, UE_2 has pre-stored security capability information of UE_1. No limitation is made here.
- Step a3 Security policy comparison and rejection; if the RSPP integrity security policy of UE_1 is "NOT NEEDED", UE_2 will reject the direct communication request. If the RSPP encryption security policy of UE_1 is "NOT NEEDED" and the RSPP encryption security policy of UE_2 is "REQUIRED”, UE_2 should also reject the direct communication request. If the RSPP encryption security policy of UE_1 is "REQUIRED” and the RSPP encryption security policy of UE_2 is "NOT NEEDED”, then UE_2 should also reject the direct communication request. UE_2 may initiate direct authentication and key establishment procedures with UE_1.
- Step a4 Security policy comparison and acceptance; if the RSPP encryption security policies of UE_1 and UE_2 are both "NOT NEEDED” or the RSPP encryption security policies of UE_1 and UE_2 are both "REQUIRED”, then UE_2 accepts the direct communication request. If the RSPP encryption security policy of UE_1 is "NOT NEEDED" and the RSPP encryption security policy of UE_2 is "PREFERRED", or the RSPP encryption security policy of UE_1 is "PREFERRED” and the RSPP encryption security policy of UE_2 is "NOT NEEDED". Once it is decided to use the RSPP security policy, UE_2 selects integrity and encryption security algorithms based on the received security capabilities of UE_1 and its own security capabilities.
- Step a5 UE_2 returns the selected algorithm in the direct safe mode command message.
- UE_1's RSPP security policy and UE_1's security capabilities are also returned to UE_1 to avoid price reduction attacks.
- the message is integrity protected using an integrity selection algorithm.
- Step a6 Different from the user plane security policy negotiation defined by V2X security, UE_1 that initiates a direct communication request for ranging or SL positioning service should not include anything that does not belong to the RSPP security policy in the direct security mode completion message. This message is protected by the selected algorithm.
- Step a7 UE_2 sends a Direct Communication Accept message to UE_1.
- this embodiment provides a security protection device based on the ranging direct link positioning protocol, wherein the device includes:
- the sending module 161 is configured to send ranging direct link positioning protocol security policy information to the terminal;
- the ranging direct link positioning protocol security policy information instructs the terminal to execute the security policy of the ranging direct link positioning protocol process.
- this embodiment provides a security protection device based on the ranging direct link positioning protocol, where the device includes:
- the receiving module 171 is configured to receive the ranging direct link positioning protocol security policy information sent by the network function;
- the ranging direct link positioning protocol security policy information instructs the terminal to execute the security policy of the ranging direct link positioning protocol process.
- An embodiment of the present disclosure provides a communication device.
- the communication device includes:
- Memory used to store instructions executable by the processor
- the processor is configured to: when executing executable instructions, implement the method applied to any embodiment of the present disclosure.
- the processor may include various types of storage media, which are non-transitory computer storage media that can continue to memorize information stored on the communication device after the communication device is powered off.
- the processor can be connected to the memory through a bus, etc., and is used to read the executable program stored in the memory.
- An embodiment of the present disclosure also provides a computer storage medium, wherein the computer storage medium stores a computer executable program, and when the executable program is executed by a processor, the method of any embodiment of the present disclosure is implemented.
- one embodiment of the present disclosure provides a structure of a terminal.
- the terminal 800 may be a mobile phone, a computer, a digital broadcast terminal, a messaging device, a game console, a tablet device, a medical device, a fitness device, a personal digital assistant, etc. .
- the terminal 800 may include one or more of the following components: a processing component 802, a memory 804, a power supply component 806, a multimedia component 808, an audio component 810, an input/output (I/O) interface 812, a sensor component 814, and communications component 816.
- Memory 804 is configured to store various types of data to support operations at device 800 . Examples of such data include instructions for any application or method operating on the terminal 800, contact data, phonebook data, messages, pictures, videos, etc.
- Memory 804 may be implemented by any type of volatile or non-volatile storage device, or a combination thereof, such as static random access memory (SRAM), electrically erasable programmable read-only memory (EEPROM), erasable programmable read-only memory (EEPROM), Programmable read-only memory (EPROM), programmable read-only memory (PROM), read-only memory (ROM), magnetic memory, flash memory, magnetic or optical disk.
- SRAM static random access memory
- EEPROM electrically erasable programmable read-only memory
- EEPROM erasable programmable read-only memory
- EPROM Programmable read-only memory
- PROM programmable read-only memory
- ROM read-only memory
- magnetic memory flash memory, magnetic or optical disk.
- Multimedia component 808 includes a screen that provides an output interface between terminal 800 and the user.
- the screen may include a liquid crystal display (LCD) and a touch panel (TP). If the screen includes a touch panel, the screen may be implemented as a touch screen to receive input signals from the user.
- the touch panel includes one or more touch sensors to sense touches, swipes, and gestures on the touch panel. A touch sensor can not only sense the boundaries of a touch or swipe action, but also detect the duration and pressure associated with the touch or swipe action.
- multimedia component 808 includes a front-facing camera and/or a rear-facing camera.
- the front camera and/or the rear camera may receive external multimedia data.
- Each front-facing camera and rear-facing camera can be a fixed optical lens system or have a focal length and optical zoom capabilities.
- Audio component 810 is configured to output and/or input audio signals.
- audio component 810 includes a microphone (MIC) configured to receive external audio signals when terminal 800 is in operating modes, such as call mode, recording mode, and voice recognition mode. The received audio signal may be further stored in memory 804 or sent via communication component 816 .
- audio component 810 also includes a speaker for outputting audio signals.
- terminal 800 may be configured by one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs), field programmable Gate array (FPGA), controller, microcontroller, microprocessor or other electronic components are implemented for executing the above method.
- ASICs application specific integrated circuits
- DSPs digital signal processors
- DSPDs digital signal processing devices
- PLDs programmable logic devices
- FPGA field programmable Gate array
- controller microcontroller, microprocessor or other electronic components are implemented for executing the above method.
- non-transitory computer-readable storage medium including instructions, such as a memory 804 including instructions, which can be executed by the processor 820 of the terminal 800 to complete the above method is also provided.
- non-transitory computer-readable storage media may be ROM, random access memory (RAM), CD-ROM, magnetic tape, floppy disk, optical data storage device, etc.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开实施例提供了一种基于测距直连链路定位协议测距直连链路定位协议的安全保护方法,其中,方法由网络功能执行,方法包括:向终端发送测距直连链路定位协议安全策略信息;其中,测距直连链路定位协议安全策略信息指示终端执行测距直连链路定位协议流程的安全策略(步骤31)。
Description
本公开涉及无线通信技术领域但不限于无线通信技术领域,尤其涉及一种基于测距直连链路定位协议的安全保护方法、装置、通信设备及存储介质。
在支持测距或者直连链路(SL,Sidelink)定位的增强型第五代移动通信(5G,5th Generation Mobile Communication Technology)架构的方案中,提出了一种基于测距直连链路定位协议的方案,该协议用于在终端之间传输用于测距或者SL定位的测距能力信息、辅助数据信息和/或定位信息。相关技术中,测距或者直连链路定位业务的安全要求如何正确应用于终端之间的测距直连链路定位协议层有待研究。
发明内容
本公开实施例公开了一种基于测距直连链路定位协议的安全保护方法、装置、通信设备及存储介质。
根据本公开实施例的第一方面,提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由网络功能执行,所述方法包括:
向终端发送测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
在一个实施例中,所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。
在一个实施例中,所述测距直连链路定位协议安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下测距直连链路定位协议策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的测距直连链路定位协议策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
在一个实施例中,所述网络功能为策略控制功能PCF,并且所述向终端发送测距直连链路定位协议安全策略信息,包括:
在服务授权与配置流程中,向所述终端发送测距直连链路定位协议安全策略信息。
在一个实施例中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF,并且所述向终端发送测距直连链路定位协议安全策略信息,包括:
在终端发现流程中,向所述终端发送测距直连链路定位协议安全策略信息。
根据本公开实施例的第二方面,提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,所述方法包括:
接收网络功能发送的测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示:所述终端执行测距直连链路定位协议流程的安全策略。
在一个实施例中,所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。
在一个实施例中,所述测距直连链路定位协议安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下测距直连链路定位协议策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的测距直连链路定位协议策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
在一个实施例中,所述网络功能为策略控制功能PCF,并且所述接收网络功能发送的测距直连链路定位协议安全策略信息,包括:
在服务授权与配置流程中,接收所述网络功能发送的测距直连链路定位协议安全策略信息。
在一个实施例中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF,并且所述接收网络功能发送的测距直连链路定位协议安全策略信息,包括:
在终端发现流程中,接收所述网络功能发送的测距直连链路定位协议安全策略信息。
在一个实施例中,所述终端为发起直接通信的第一终端;所述方法还包括:
响应于所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。
在一个实施例中,所述方法还包括:
基于所述测距直连链路定位协议安全策略信息,选择发送给所述第二终端的所述第一终端的测距直连链路定位协议安全策略。
在一个实施例中,所述方法还包括:
向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息,包括:
通过直接通信请求消息向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定 位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接安全模式命令消息接收所述第二终端发送的所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述终端为被发现的直接通信的第二终端;所述方法还包括:
接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息,包括:
通过直接通信请求消息接收所述第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述方法还包括以下中的至少一项:
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端只建立不受完整性保护的连接,拒绝所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,拒绝所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,拒绝所述直接通信请求消息。
在一个实施例中,所述方法还包括:
所述第二终端发起与所述第一终端之间的直接认证和/或密钥建立流程。
在一个实施例中,所述方法还包括以下中的至少一项:
响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;
响应于所述第一终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息,且所述第二终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息。
在一个实施例中,所述方法还包括:
响应于确定使用测距直连链路定位协议安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。
在一个实施例中,所述方法还包括:
向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述向所述第一终端发送所述安全算法的信息,包括:
通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。
根据本公开实施例的第三方面,提供一种基于测距直连链路定位协议测距直连链路定位协议的安全保护装置,其中,所述装置包括:
发送模块,被配置为向终端发送测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示:所述终端执行测距直连链路定位协议流程的安全策略。
根据本公开实施例的第四方面,提供一种基于测距直连链路定位协议的安全保护装置,其中,所述装置包括:
接收模块,被配置为接收网络功能发送的测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示:所述终端执行测距直连链路定位协议流程的安全策略。
根据本公开实施例的第五方面,提供一种通信设备,所述通信设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为:用于运行所述可执行指令时,实现本公开任意实施例所述的方法。
根据本公开实施例的第六方面,提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行程序,所述可执行程序被处理器执行时实现本公开任意实施例所述的方法。
在本公开实施例中,网络功能向终端发送测距直连链路定位协议安全策略信息;其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。这里,由于所述测距直连链路定位协议安全策略信息指示了所述终端执行测距直连链路定位协议流程的安全策略,所述终端在接收到所述测距直连链路定位协议安全策略信息后,就可以基于所述测距直连链路定位协议安全策略信息指示的安全策略执行测距直连链路定位协议流程,相较于不基于安全策略执行测距直连链路定位协议流程的方式,提升了终端间测距或者直连链路通信的安全性。
图1是根据一示例性实施例示出的一种无线通信系统的结构示意图。
图2是根据一示例性实施例示出的协议层的示意图。
图3是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图4是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图5是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图6是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图7是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图8是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图9是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图10是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图11是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图12是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图13是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图14是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图15是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护方法的流程示意图。
图16是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护装置的示意图。
图17是根据一示例性实施例示出的一种基于测距直连链路定位协议的安全保护装置的示意图。
图18是根据一示例性实施例示出的一种终端的结构示意图。
图19是根据一示例性实施例示出的一种基站的框图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
出于简洁和便于理解的目的,本文在表征大小关系时,所使用的术语为“大于”或“小于”。但对于本领域技术人员来说,可以理解:术语“大于”也涵盖了“大于等于”的含义,“小于”也涵盖了“小于等于”的含义。
请参考图1,其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示,无线通信系统是基于移动通信技术的通信系统,该无线通信系统可以包括:若干个用户设备110以及若干个基站120。
其中,用户设备110可以是指向用户提供语音和/或数据连通性的设备。用户设备110可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网进行通信,用户设备110可以是物联网用户设备,如传感器设备、移动电话和具有物联网用户设备的计算机,例如,可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如,站(Station,STA)、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程用户设备(remote terminal)、接入用户设备(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户设备(user equipment)。或者,用户设备110也可以是无人飞行器的设备。或者,用户设备110也可以是车载设备,比如,可以是具有无线通信功能的行车电脑,或者是外接行车电脑的无线用户设备。或者,用户设备110也可以是路边设备,比如,可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。
基站120可以是无线通信系统中的网络侧设备。其中,该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication,4G)系统,又称长期演进(Long Term Evolution,LTE)系统;或者,该无线通信系统也可以是5G系统,又称新空口系统或5G NR系统。或者,该无线通信系统也可以是5G系统的再下一代系统。其中,5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network,新一代无线接入网)。
其中,基站120可以是4G系统中采用的演进型基站(eNB)。或者,基站120也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站120采用集中分布式架构时,通常包括集中单元(central unit,CU)和至少两个分布单元(distributed unit,DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层、无线链路层控制协议(Radio Link Control,RLC)层、媒体访问控制(Media Access Control,MAC)层的协议栈;分布单元中设置有物理(Physical,PHY)层协议栈,本公开实施例对基站120的具体实现方式不加以限定。
基站120和用户设备110之间可以通过无线空口建立无线连接。在不同的实施方式中,该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口;或者,该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口,比如该无线空口是新空口;或者,该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。
在一些实施例中,用户设备110之间还可以建立E2E(End to End,端到端)连接。比如车联网通信(vehicle to everything,V2X)中的V2V(vehicle to vehicle,车对车)通信、V2I(vehicle to Infrastructure,车对路边设备)通信和V2P(vehicle to pedestrian,车对人)通信等场景。
这里,上述用户设备可认为是下面实施例的终端设备。
在一些实施例中,上述无线通信系统还可以包含网络管理设备130。
若干个基站120分别与网络管理设备130相连。其中,网络管理设备130可以是无线通信系统中的核心网设备,比如,该网络管理设备130可以是演进的数据分组核心网(Evolved Packet Core,EPC)中的移动性管理实体(Mobility Management Entity,MME)。或者,该网络管理设备也可以是其它的核心网设备,比如服务网关(Serving GateWay,SGW)、公用数据网网关(Public Data Network GateWay,PGW)、策略与计费规则功能单元(Policy and Charging Rules Function,PCRF)或者归属签约用户服务器(Home Subscriber Server,HSS)等。对于网络管理设备130的实现形态,本公开实施例不做限定。
为了便于本领域内技术人员理解,本公开实施例列举了多个实施方式以对本公开实施例的技术方案进行清晰地说明。当然,本领域内技术人员可以理解,本公开实施例提供的多个实施例,可以被单独执行,也可以与本公开实施例中其他实施例的方法结合后一起被执行,还可以单独或结合后与其他相关技术中的一些方法一起被执行;本公开实施例并不对此作出限定。
为了更好地理解本公开任一个实施例所描述的技术方案,首先,对相关技术中的应用场景进行说明:
在一个实施例中,基于测距或者SL定位协议(RSPP,Ranging/Sidelink Positioning Protocol)的流程类似于基于非接入层(NAS,Non-Access Stratum)的终端和定位管理功能(LMF,Location Management Function)之间的长期演进定位协议(LPP,Long Term Evolution Positioning Protocol)流程,并且在PC5接口直接通信协议的顶层的上层,用于终端之间的测距或SL定位控制信令的交互。为实现测距或者SL定位操作的控制,需要执行以下程序:
1、测距或者SL定位设备发现;
2、测距或者SL定位流程的直接通信建立;
3、测距或者SL定位流程。
在一个实施例中,请参见图2,对于测距或者SL定位的设备发现和直接通信建立,提出了模型A和模型B直接发现,将被重新用作测距或者SL定位设备发现的基础,并且现有单播模式5G邻近服务ProSe直接通信建立流程被重新使用。
由于RSPP建立在PC5接口直接通信协议之上,因此,RSPP直接通信的安全保护可以依赖于PC5接口直接通信的安全保护,据此直接通信的PC5接口链路安全激活依赖于网络提供给终端的PC5安全策略。PC5安全策略是根据在终端之间运行的特定邻近服务ProSe应用程序或者服务的安全要求定义的,即网络提供的PC5接口安全策略通过终端与ProSe支持和请求的ProSe应用程序或者服务相关联。
但是,当重用PC5接口直接通信的安全激活机制进行RSPP保护时,RSPP的安全策略可能与ProSe应用程序或者服务的安全策略不同,因为测距或者SL定位服务很可能与ProSe应用程序或者服务不同。因此,测距或者SL定位业务的安全要求如何正确应用于终端之间的RSPP层保护有待研究。
在一个实施例中,基于PC5链路的安全策略可以由网络通过配置需要安全保护的ProSe应用程序或者服务列表以及列表中每个ProSe应用程序的PC5接口安全策略实现,即PC5接口安全策略基于相应ProSe应用程序或者服务的安全要求实现。
在一个实施例中,RSPP用于控制测距或者SL定位服务的操作,携带终端之间交互的协调和配置信息(例如,测距能力和测距辅助数据)和测距或SL定位的测量结果。如果配置信息或测量结果被攻击者通过空口篡改,测距或SL定位服务将无法提供正确的终端定位数据。因此,终端之间通过RSPP交互的控制信令需要进行完整性保护。由于位置测量结果可用于推导相关终端的位置,这些终端可能不希望其位置信息泄露给不参与测距或SL定位服务的第三方。因此,为了保护所涉及的终端的位置信息,终端之间通过RSPP交互的控制信令也需要保密。
如图3所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由网络功能执行,所述方法包括:
步骤31、向终端发送测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
这里,本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU,Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中,该终端可以是Redcap终端或者预定版本的新空口NR终端(例如,R17的NR终端)。
本公开实施例中,网络功能可以是策略控制功能(PCF,policy control function)、5G邻近通信密钥管理功能(PKMF,ProSe Key Management Function)或者5G邻近服务名称管理功能(DDNMF,Direct Discovery Name Management Function)。
在一个实施例中,通过基站向终端发送测距直连链路定位协议安全策略信息;其中,所述测距直连链路定位协议安全策略信息指示:所述终端执行测距直连链路定位协议流程的安全策略。
本公开中涉及的接入网设备可以是基站,例如,第三代移动通信(3G)网络的基站、第四代移动通信(4G)网络的基站、第五代移动通信(5G)网络的基站或其它演进型基站。
这里,测距直连链路定位协议可以是与测距或者SL定位关联的协议。测距直连链路定位协议可以是测距或者SL定位协议(RSPP,Ranging/Sidelink Positioning Protocol)。
在一个实施例中,向终端发送RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端在PC5接口或者PC5-S接口上执行RSPP流程的安全策略。
在一个实施例中,向终端发送RSPP安全策略信息;其中,所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。这里,不同的测距直连链路定位服务可以对应相同的RSPP安全策略;或者,不同的测距直连链路定位服务可以对应不同的RSPP安全策略。需要说明的是,终端在接收到所述RSPP安全策略信息后,可以将所述映射关系存储在预定区域,例如,通过列表的形式存储在预定区域,以方便查询。如此,在终端确定需要发起的测距直连链路定位服务后,就可以通过查询列表的方式,基于所述测距直连链路定位服务和所述映射关系,确定RSPP安全策略。
在一个实施例中,向终端发送RSPP安全策略信息;其中,所述RSPP安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下RSPP策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的RSPP策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
这里,可以通过标识符“REQUIRED”指示终端仅在PC5接口受完整性保护时才接受连接和终端仅在PC5接口受加密保护时才接受连接。可以通过标识符“NOT NEEDED”指示终端只建立不受加密保护的连接。可以通过标识符“PREFERRED”指示终端会尝试建立加密保护且会接收不受加密保护的连接。其中,指示符“PREFERRED”的一种用途是在不立即更新所有相关终端的情况下可更改安全策略。
在一个实施例中,RSPP安全策略与邻近服务ProSe应用程序或者服务的安全策略可以是分开配置的。
需要说明的是,由于RSPP是一种信令协议,并且承载在PC5-S接口上,因此,RSPP安全策略中没有配置用户面安全策略。
在一个实施例中,所述网络功能为策略控制功能PCF;在服务授权与配置流程中,向所述终端发送RSPP安全策略信息。
在一个实施例中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF;在终端发现流程中,向所述终端发送RSPP安全策略信息。
在本公开实施例中,网络功能向终端发送RSPP安全策略信息;其中,所述RSPP安全策略信息指示所述终端执行RSPP流程的安全策略。这里,由于所述RSPP安全策略信息指示了所述终端执行RSPP流程的安全策略,所述终端在接收到所述RSPP安全策略信息后,就可以基于所述RSPP安全策略信息指示的安全策略执行RSPP流程,相较于不基于安全策略执行RSPP流程的方式,提升了终端间测距或者直连链路通信的安全性。。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图4所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由网络功能执行,所述网络功能为策略控制功能PCF;所述方法包括:
步骤41、在服务授权与配置流程中,向所述终端发送测距直连链路定位协议安全策略信息。
在一个实施例中,在服务授权与配置流程中,向所述终端发送RSPP安全策略信息,其中,所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。
在一个实施例中,在服务授权与配置流程中,向所述终端发送RSPP安全策略信息,其中,所述RSPP安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下RSPP策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的RSPP策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图5所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由网络功能执行,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF;所述方法包括:
步骤51、在终端发现流程中,向所述终端发送测距直连链路定位协议安全策略信息。
在一个实施例中,在终端发现流程中,向所述终端发送RSPP安全策略信息,其中,所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。
在一个实施例中,在终端发现流程中,向所述终端发送RSPP安全策略信息,其中,所述RSPP安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下RSPP策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的RSPP策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图6所示,本实施例提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,所述方法包括:
步骤61、接收网络功能发送的测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
这里,本公开所涉及的终端可以是但不限于是手机、可穿戴设备、车载终端、路侧单元(RSU,Road Side Unit)、智能家居终端、工业用传感设备和/或医疗设备等。在一些实施例中,该终端可以是Redcap终端或者预定版本的新空口NR终端(例如,R17的NR终端)。
本公开实施例中,网络功能可以是策略控制功能(PCF,policy control function)、5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF。
在一个实施例中,接收网络功能通过基站发送的测距直连链路定位协议安全策略信息;其中,所述 测距直连链路定位协议安全策略信息指示:所述终端执行RSPP流程的安全策略。
本公开中涉及的接入网设备可以是基站,例如,第三代移动通信(3G)网络的基站、第四代移动通信(4G)网络的基站、第五代移动通信(5G)网络的基站或其它演进型基站。
这里,测距直连链路定位协议可以是与测距或者SL定位关联的协议。测距直连链路定位协议可以是测距或者SL定位协议(RSPP,Ranging/Sidelink Positioning Protocol)。
在一个实施例中,接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端在PC5接口或者PC5-S接口上执行RSPP流程的安全策略。
在一个实施例中,接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。这里,不同的测距直连链路定位服务可以对应相同的RSPP安全策略;或者,不同的测距直连链路定位服务可以对应不同的RSPP安全策略。需要说明的是,终端在接收到所述RSPP安全策略信息后,可以将所述映射关系存储在预定区域,例如,通过列表的形式存储在预定区域,以方便查询。如此,在终端确定需要发起的测距直连链路定位服务后,就可以通过查询列表的方式,基于所述测距直连链路定位服务和所述映射关系,确定RSPP安全策略。
在一个实施例中,接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下RSPP策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的RSPP策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
这里,可以通过标识符“REQUIRED”指示终端仅在PC5接口受完整性保护时才接受连接和终端仅在PC5接口受加密保护时才接受连接。可以通过标识符“NOT NEEDED”指示终端只建立不受加密保护的连接。可以通过标识符“PREFERRED”指示终端会尝试建立加密保护且会接收不受加密保护的连接。其中,指示符“PREFERRED”的一种用途是在不立即更新所有相关终端的情况下可更改安全策略。
在一个实施例中,RSPP安全策略与邻近服务ProSe应用程序或者服务的安全策略可以是分开配置的。
需要说明的是,由于RSPP是一种信令协议,并且承载在PC5-S接口上,因此,RSPP安全策略中没有配置用户面安全策略。
在一个实施例中,所述网络功能为策略控制功能PCF;在服务授权与配置流程中,接收网络功能发送的RSPP安全策略信息。
在一个实施例中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF;在终端发现流程中,接收网络功能发送的RSPP安全策略信息。
在一个实施例中,所述终端为发起直接通信的第一终端;接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端执行RSPP流程的安全策略。响应于所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。
在一个实施例中,所述终端为发起直接通信的第一终端;接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端执行RSPP流程的安全策略。响应于所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。基于所述RSPP安全策略信息,选择发送给所述第二终端的所述第一终端的RSPP安全策略。向所述第二终端发送所述第一终端的所述RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接通信请求消息向所述第二终端发送所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接通信请求消息接收所述第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略指示:终端只建立不受完整性保护的连接,拒绝所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,拒绝所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的RSPP安全策略指示:终端只建立不受加密保护的连接,拒绝所述直接通信请求消息。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定拒绝所述直接通信请求消息,所述第二终端发起与所述第一终端之间的直接认证和/或密钥建立流程。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,且所述第二终端的RSPP安全策略指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终 端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息,且所述第二终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息,确定使用RSPP安全策略。响应于确定使用RSPP安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息,确定使用RSPP安全策略。响应于确定使用RSPP安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图7所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,网络功能为策略控制功能PCF;所述方法包括:
步骤71、在服务授权与配置流程中,接收所述网络功能发送的测距直连链路定位协议安全策略信息。
在一个实施例中,所述网络功能为策略控制功能PCF;在服务授权与配置流程中,接收网络功能发送的RSPP安全策略信息。其中,所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。或者,所述RSPP安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下RSPP策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的RSPP策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
应理解,本实施例中的终端可以为发起直接通信的第一终端或者被发现的直接通信的第二终端。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以 与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图8所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,网络功能为所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF;所述方法包括:
步骤81、在终端发现流程中,接收所述网络功能发送的测距直连链路定位协议安全策略信息。
在一个实施例中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF;在终端发现流程中,接收网络功能发送的RSPP安全策略信息。其中,所述RSPP安全策略信息指示至少一个测距直连链路定位服务和RSPP安全策略之间的映射关系。或者,所述RSPP安全策略信息包括以下至少之一:
信令完整性保护信息,用于指示以下RSPP策略:
终端仅在PC5接口受完整性保护时才接受连接;
信令加密保护信息,用于指示以下之一的RSPP策略:
终端仅在PC5接口受加密保护时才接受连接;
终端只建立不受加密保护的连接;
终端会尝试建立加密保护且会接收不受加密保护的连接。
应理解,本实施例中的终端可以为发起直接通信的第一终端或者被发现的直接通信的第二终端。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图9所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,其中,所述终端发起直接通信的第一终端,所述方法包括:
步骤91、响应于所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。
应理解,所述第一终端发起直接通信的终端,所述第二终端为被发现的直接通信的终端,已经在前述实施例中对第一终端和第二终端进行了详细的描述,在此不再赘述。
在一个实施例中,接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端执行RSPP流程的安全策略。响应于接收到所述RSPP安全策略信息且所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图10所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法 由终端执行,其中,所述终端发起直接通信的第一终端,所述方法包括:
步骤101、基于所述RSPP安全策略信息,选择发送给所述第二终端的所述第一终端的测距直连链路定位协议安全策略。
在一个实施例中,接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端执行RSPP流程的安全策略。响应于接收到所述RSPP安全策略信息且所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。基于所述RSPP安全策略信息,选择发送给所述第二终端的所述第一终端的RSPP安全策略。
应理解,所述第一终端发起直接通信的终端,所述第二终端为被发现的直接通信的终端,已经在前述实施例中对第一终端和第二终端进行了详细的描述,在此不再赘述。需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图11所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,其中,所述终端发起直接通信的第一终端,所述方法包括:
步骤111、向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,接收网络功能发送的RSPP安全策略信息;其中,所述RSPP安全策略信息指示:所述终端执行RSPP流程的安全策略。响应于接收到所述RSPP安全策略信息且所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。基于所述RSPP安全策略信息,选择发送给所述第二终端的所述第一终端的RSPP安全策略。向所述第二终端发送所述第一终端的所述RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接通信请求消息向所述第二终端发送所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,向所述第二终端发送所述第一终端的所述RSPP安全策略和/或所述第一终端的安全能力信息。接收所述第二终端发送的所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接安全模式命令消息接收所述第二终端发送的所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
应理解,所述第一终端发起直接通信的终端,所述第二终端为被发现的直接通信的终端,已经在前述实施例中对第一终端和第二终端进行了详细的描述,在此不再赘述。
需要说明的是,在某些场景下,第一终端也可以不发送第一终端的安全能力信息。可以理解的是,在某些场景下,第一终端无需向第二终端提供第一终端的安全能力信息,例如,第二终端预存有第一终端的安全能力信息。在此不做限定。
需要说明的是,第一终端需要向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图12所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,所述终端为被发现的直接通信的第二终端;所述方法包括:
步骤121、接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接通信请求消息接收所述第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略指示:终端只建立不受完整性保护的连接,拒绝所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,拒绝所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的RSPP安全策略指示:终端只建立不受加密保护的连接,拒绝所述直接通信请求消息。
在一个实施例中,接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略和所述第二终端的RSPP安全策略均指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,且所述第二终端的RSPP安全策略指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;或者,响应于所述第一终端的RSPP安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息,且所述第二终端的RSPP安全策略指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息。
应理解,所述第一终端发起直接通信的终端,所述第二终端为被发现的直接通信的终端,已经在前述实施例中对第一终端和第二终端进行了详细的描述,在此不再赘述。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图13所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,所述终端为被发现的直接通信的第二终端;所述方法包括:
步骤131、响应于确定使用测距直连链路定位协议安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息,确定使用RSPP安全策略。响应于确定使用RSPP安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息,确定使用RSPP安全策略。响应于确定使用RSPP安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。
应理解,所述第一终端发起直接通信的终端,所述第二终端为被发现的直接通信的终端,已经在前述实施例中对第一终端和第二终端进行了详细的描述,在此不再赘述。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图14所示,本实施例中提供一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,所述终端为被发现的直接通信的第二终端;所述方法包括:
步骤141、向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述终端为被发现的直接通信的第二终端;接收发起直接通信的第一终端发送的所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。响应于基于RSPP安全策略确定接受所述直接通信请求消息,确定使用RSPP安全策略。响应于确定使用RSPP安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的RSPP安全策略和/或所述第一终端的安全能力信息。
在一个实施例中,所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。
应理解,所述第一终端发起直接通信的终端,所述第二终端为被发现的直接通信的终端,已经在前述实施例中对第一终端和第二终端进行了详细的描述,在此不再赘述。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
为了更好地理解本公开实施例,以下通过一个示例性实施例对本公开技术方案做进一步说明:
示例1:
请参见图15、本实施例中提供一种基于测距直连链路定位协议RSPP的安全保护方法,包括:
步骤a1:UE_1选择发送给UE_2的RSPP安全策略。支持测距或者SL定位的UE还必须支持ProSe或者V2X。因此,可以为UE提供用于ProSe/V2X服务的PC5安全策略和用于测距或者SL定位服务的RSPP安全策略。在这种情况下,在两个UE发现彼此进行测量或者SL定位后,通过PC5发起直接通信的UE(UE_1)应能够确定为测距或者SL定位服务而不是ProSe服务建立直接通信,以便UE_1能够选择发送给接收UE(UE_2)的RSPP安全策略,而不是针对ProSe/V2X服务的PC5安全策略。
步骤a2:在初始连接时,UE_1在发送给UE_2的直接通信请求(Direct Communication Request)消息中包含其RSPP安全策略(而不是PC5安全策略),以及UE_1的安全能力(UE_1将为此连接接受的算法列表)。需要说明的是,在某些场景下,UE_1的安全能力的信息也可以不通过直接通信请求发送。可以理解的是,在某些场景下,UE_1无需向UE_2提供安全能力的信息,例如,UE_2预存有UE_1的安全能力的信息。在此不做限定。
步骤a3:安全策略比较和拒绝;如果UE_1的RSPP完整性安全策略是“NOT NEEDED”,则UE_2将拒绝直接通信请求。如果UE_1的RSPP加密安全策略是“NOT NEEDED”,而UE_2的RSPP加密安全策略是“REQUIRED”,则UE_2也应拒绝直接通信请求。如果UE_1的RSPP加密安全策略是“REQUIRED”,而UE_2的RSPP加密安全策略是“NOT NEEDED”,则UE_2也应拒绝直接通信请求。UE_2可以与UE_1发起直接认证和密钥建立过程。
步骤a4:安全策略比较和接受;如果UE_1和UE_2的RSPP加密安全策略都是“NOT NEEDED”或UE_1和UE_2的RSPP加密安全策略都是“REQUIRED”,则UE_2接受直接通信请求。如果UE_1的RSPP加密安全策略是“NOT NEEDED”且UE_2的RSPP加密安全策略是“PREFERRED”,或者UE_1的RSPP加密安全策略是“PREFERRED”且UE_2的RSPP加密安全策略是“NOT NEEDED”。一旦决定了要使用RSPP安全策略,UE_2根据接收到的UE_1的安全能力和自身的安全能力选择完整性和加密的安全算法。
步骤a5:UE_2在直接安全模式命令消息中返回选择的算法。UE_1的RSPP安全策略和UE_1的安全能力也返回给UE_1,以避免降价攻击。该消息使用完整性选择的算法进行完整性保护。
步骤a6:与V2X安全定义的用户面安全策略协商不同,发起测距或者SL定位服务的直接通信请求的UE_1不应在直接安全模式完成消息中包含任何不属于RSPP安全策略中。此消息受所选算法的保护。
步骤a7:UE_2向UE_1发送直接交互接受Direct Communication Accept消息。
如图16所示,本实施例中提供一种基于测距直连链路定位协议的安全保护装置,其中,所述装置包括:
发送模块161,被配置为向终端发送测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
如图17所示,本实施例中提供一种基于测距直连链路定位协议测距直连链路定位协议的安全保护装置,其中,所述装置包括:
接收模块171,被配置为接收网络功能发送的测距直连链路定位协议安全策略信息;
其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
需要说明的是,本领域内技术人员可以理解,本公开实施例提供的方法,可以被单独执行,也可以与本公开实施例中一些方法或相关技术中的一些方法一起被执行。
本公开实施例提供一种通信设备,通信设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器被配置为:用于运行可执行指令时,实现应用于本公开任意实施例的方法。
其中,处理器可包括各种类型的存储介质,该存储介质为非临时性计算机存储介质,在通信设备掉电之后能够继续记忆存储其上的信息。
处理器可以通过总线等与存储器连接,用于读取存储器上存储的可执行程序。
本公开实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机可执行程序,可执行程序被处理器执行时实现本公开任意实施例的方法。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
如图18所示,本公开一个实施例提供一种终端的结构。
参照图18所示终端800本实施例提供一种终端800,该终端具体可是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图18,终端800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制终端800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全 部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在终端800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为终端800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为终端800生成、管理和分配电力相关联的组件。
多媒体组件808包括在终端800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当终端800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为终端800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如组件为终端800的显示器和小键盘,传感器组件814还可以检测终端800或终端800一个组件的位置改变,用户与终端800接触的存在或不存在,终端800方位或加速/减速和终端800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于终端800和其他设备之间有线或无线方式的通信。终端800可以接入基于通信标准的无线网络,如Wi-Fi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,终端800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、 数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由终端800的处理器820执行以完成上述方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
如图19所示,本公开一实施例示出一种基站的结构。例如,基站900可以被提供为一网络侧设备。参照图19,基站900包括处理组件922,其进一步包括一个或多个处理器,以及由存储器932所代表的存储器资源,用于存储可由处理组件922的执行的指令,例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件922被配置为执行指令,以执行上述方法前述应用在所述基站的任意方法。
基站900还可以包括一个电源组件926被配置为执行基站900的电源管理,一个有线或无线网络接口950被配置为将基站900连接到网络,和一个输入输出(I/O)接口958。基站900可以操作基于存储在存储器932的操作系统,例如Windows Server TM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (28)
- 一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由网络功能执行,所述方法包括:向终端发送测距直连链路定位协议安全策略信息;其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
- 根据权利要求1所述的方法,其中,所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。
- 根据权利要求1所述的方法,其中,所述测距直连链路定位协议安全策略信息包括以下至少之一:信令完整性保护信息,用于指示以下测距直连链路定位协议策略:终端仅在PC5接口受完整性保护时才接受连接;信令加密保护信息,用于指示以下之一的测距直连链路定位协议策略:终端仅在PC5接口受加密保护时才接受连接;终端只建立不受加密保护的连接;终端会尝试建立加密保护且会接收不受加密保护的连接。
- 根据权利要求1所述的方法,其中,所述网络功能为策略控制功能PCF,并且所述向终端发送测距直连链路定位协议安全策略信息,包括:在服务授权与配置流程中,向所述终端发送测距直连链路定位协议安全策略信息。
- 根据权利要求1所述的方法,其中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF,并且所述向终端发送测距直连链路定位协议安全策略信息,包括:在终端发现流程中,向所述终端发送测距直连链路定位协议安全策略信息。
- 一种基于测距直连链路定位协议的安全保护方法,其中,所述方法由终端执行,所述方法包括:接收网络功能发送的测距直连链路定位协议安全策略信息;其中,所述测距直连链路定位协议安全策略信息指示:所述终端执行测距直连链路定位协议流程的安全策略。
- 根据权利要求6所述的方法,其中,所述测距直连链路定位协议安全策略信息指示至少一个测距直连链路定位服务和测距直连链路定位协议安全策略之间的映射关系。
- 根据权利要求6所述的方法,其中,所述测距直连链路定位协议安全策略信息包括以下至少之一:信令完整性保护信息,用于指示以下测距直连链路定位协议策略:终端仅在PC5接口受完整性保护时才接受连接;信令加密保护信息,用于指示以下之一的测距直连链路定位协议策略:终端仅在PC5接口受加密保护时才接受连接;终端只建立不受加密保护的连接;终端会尝试建立加密保护且会接收不受加密保护的连接。
- 根据权利要求6所述的方法,其中,所述网络功能为策略控制功能PCF,并且所述接收网络功能发送的测距直连链路定位协议安全策略信息,包括:在服务授权与配置流程中,接收所述网络功能发送的测距直连链路定位协议安全策略信息。
- 根据权利要求6所述的方法,其中,所述网络功能为5G邻近通信密钥管理功能PKMF或者5G邻近服务名称管理功能DDNMF,并且所述接收网络功能发送的测距直连链路定位协议安全策略信息,包括:在终端发现流程中,接收所述网络功能发送的测距直连链路定位协议安全策略信息。
- 根据权利要求6所述的方法,其中,所述终端为发起直接通信的第一终端;所述方法还包括:响应于所述第一终端发现第二终端,确定直接通信为给测距直连链路定位服务建立的直接通信而非给邻近服务ProSe建立的直接通信。
- 根据权利要求11所述的方法,其中,所述方法还包括:基于所述测距直连链路定位协议安全策略信息,选择发送给所述第二终端的所述第一终端的测距直连链路定位协议安全策略。
- 根据权利要求12所述的方法,其中,所述方法还包括:向所述第二终端发送所述第一终端的所述测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求13所述的方法,其中,所述向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息,包括:通过直接通信请求消息向所述第二终端发送所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求13所述的方法,其中,所述方法还包括:接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求15所述的方法,其中,所述接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息,包括:通过直接安全模式命令消息接收所述第二终端发送的所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求6所述的方法,其中,所述终端为被发现的直接通信的第二终端;所述方法还包括:接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求17所述的方法,其中,所述接收发起直接通信的第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息,包括:通过直接通信请求消息接收所述第一终端发送的所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求17所述的方法,其中,所述方法还包括以下中的至少一项:响应于所述第一终端的测距直连链路定位协议安全策略指示:终端只建立不受完整性保护的连接,拒绝所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,拒绝所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,拒绝所述直接通信请求消息。
- 根据权利要求17所述的方法,其中,所述方法还包括以下中的至少一项:响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略和所述第二终端的测距直连链路定位协议安全策略均指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端只建立不受加密保护的连接,接受所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,且所述第二终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息;响应于所述第一终端的测距直连链路定位协议安全策略指示:终端会尝试建立加密保护且会接收不受加密保护的连接,接受所述直接通信请求消息,且所述第二终端的测距直连链路定位协议安全策略指示:终端仅在PC5接口受加密保护时才接受连接,接受所述直接通信请求消息。
- 根据权利要求20所述的方法,其中,所述方法还包括:响应于确定使用测距直连链路定位协议安全策略,基于所述第一终端的安全能力信息和所述第二终端的安全能力信息确定完整性和/或加密保护的安全算法。
- 根据权利要求21所述的方法,其中,所述方法还包括:向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求22所述的方法,其中,所述向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息,包括:通过直接安全模式命令消息向所述第一终端发送所述安全算法的信息、所述第一终端的测距直连链路定位协议安全策略和/或所述第一终端的安全能力信息。
- 根据权利要求23所述的方法,其中,所述直接安全模式命令消息基于完整性保护选择的安全算法进行完整性保护。
- 一种基于测距直连链路定位协议的安全保护装置,其中,所述装置包括:发送模块,被配置为向终端发送测距直连链路定位协议安全策略信息;其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
- 一种基于测距直连链路定位协议的安全保护装置,其中,所述装置包括:接收模块,被配置为接收网络功能发送的测距直连链路定位协议安全策略信息;其中,所述测距直连链路定位协议安全策略信息指示所述终端执行测距直连链路定位协议流程的安全策略。
- 一种通信设备,其中,包括:存储器;处理器,与所述存储器连接,被配置为通过执行存储在所述存储器上的计算机可执行指令,并能够实现权利要求1至5或者6至24任一项所述的方法。
- 一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令被处理器执行后能够实现权利要求1至5或者6至24任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2022/099915 WO2023245354A1 (zh) | 2022-06-20 | 2022-06-20 | 安全保护方法、装置、通信设备及存储介质 |
CN202280002262.4A CN118575496A (zh) | 2022-06-20 | 2022-06-20 | 安全保护方法、装置、通信设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2022/099915 WO2023245354A1 (zh) | 2022-06-20 | 2022-06-20 | 安全保护方法、装置、通信设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2023245354A1 true WO2023245354A1 (zh) | 2023-12-28 |
Family
ID=89378894
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2022/099915 WO2023245354A1 (zh) | 2022-06-20 | 2022-06-20 | 安全保护方法、装置、通信设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN118575496A (zh) |
WO (1) | WO2023245354A1 (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112219437A (zh) * | 2020-09-04 | 2021-01-12 | 北京小米移动软件有限公司 | 通信方法、终端、通信节点、通信设备及存储介质 |
CN112788593A (zh) * | 2019-11-04 | 2021-05-11 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
WO2021167314A1 (en) * | 2020-02-17 | 2021-08-26 | Samsung Electronics Co., Ltd. | Method and apparatus for handling security policies in v2x communication system |
CN113630738A (zh) * | 2020-04-21 | 2021-11-09 | 华为技术有限公司 | 一种侧行链路通信方法及装置 |
-
2022
- 2022-06-20 CN CN202280002262.4A patent/CN118575496A/zh active Pending
- 2022-06-20 WO PCT/CN2022/099915 patent/WO2023245354A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788593A (zh) * | 2019-11-04 | 2021-05-11 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
WO2021167314A1 (en) * | 2020-02-17 | 2021-08-26 | Samsung Electronics Co., Ltd. | Method and apparatus for handling security policies in v2x communication system |
CN113630738A (zh) * | 2020-04-21 | 2021-11-09 | 华为技术有限公司 | 一种侧行链路通信方法及装置 |
CN112219437A (zh) * | 2020-09-04 | 2021-01-12 | 北京小米移动软件有限公司 | 通信方法、终端、通信节点、通信设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
VIVO: "TR 23.700-86: New solution for Ranging devices discovery and ranging procedure", SA WG2 MEETING #150E E-MEETING, S2-2202489, 29 March 2022 (2022-03-29), XP052133326 * |
XIAOMI, APPLE, CHINA MOBILE, CATT, HUAWEI, HISILICON, INTERDIGITAL, LGE, PHILIPS, VIVO, ZTE: "New SID on Security Aspects of Ranging Based Services and Sidelink Positioning", 3GPP TSG-SA3 MEETING #106-E, S3-220281, 7 February 2022 (2022-02-07), XP052194714 * |
Also Published As
Publication number | Publication date |
---|---|
CN118575496A (zh) | 2024-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2024021142A1 (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
WO2024164337A1 (zh) | 定位服务的授权方法、装置、通信设备及存储介质 | |
WO2023245354A1 (zh) | 安全保护方法、装置、通信设备及存储介质 | |
WO2023000139A1 (zh) | 传输凭证的方法、装置、通信设备及存储介质 | |
WO2024055329A1 (zh) | 邻近服务ProSe的无线通信方法、装置、通信设备及存储介质 | |
WO2023070685A1 (zh) | 中继通信的方法、装置、通信设备及存储介质 | |
WO2023231018A1 (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
WO2023220893A1 (zh) | 中继通信方法、装置、通信设备及存储介质 | |
WO2023004656A1 (zh) | 一种直连通信方法、装置、用户设备及存储介质 | |
WO2024031640A1 (zh) | 一种信息传输方法、装置、通信设备及存储介质 | |
WO2023070560A1 (zh) | 信息传输方法、装置、通信设备和存储介质 | |
WO2023240661A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
WO2024000123A1 (zh) | 密钥生成方法及装置、通信设备及存储介质 | |
WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
WO2023226051A1 (zh) | 为个人物联网设备选择认证机制的方法及装置、ue、网络功能及存储介质 | |
WO2023216259A1 (zh) | 卫星覆盖信息确定方法、装置、通信设备和存储介质 | |
WO2024031565A1 (zh) | 信息处理方法以及装置、通信设备及存储介质 | |
WO2023141771A1 (zh) | 提供感知服务的方法、装置、通信设备及存储介质 | |
WO2024031391A1 (zh) | 测距或侧行链路定位方法、装置、通信设备及存储介质 | |
WO2023240574A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
WO2024016349A1 (zh) | 提供感知服务的方法、装置、通信设备及存储介质 | |
WO2023240659A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
WO2023004655A1 (zh) | 一种通信方法、装置、用户设备、基站、核心网设备及存储介质 | |
WO2024031400A1 (zh) | 确定激活或去激活辅小区的方法、装置及存储介质 | |
WO2023230924A1 (zh) | 认证方法、装置、通信设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WWE | Wipo information: entry into national phase |
Ref document number: 202280002262.4 Country of ref document: CN |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22947135 Country of ref document: EP Kind code of ref document: A1 |