本发明涉及通信,尤其涉及一种协作定位方法、装置、终端及核心网设备。
背景技术:
1、6g的物联网(internet of things,iot)的范围将进一步扩大,形成广域物联网。广域物联网可以为没有地面网络覆盖的物联网区域提供接入,进而保障无人区监控、农业监控、工业监控、远洋信息收集监控等服务的进行。在这些物联网的状态监测类应用中,需要对物联网节点位置严格把控,这不仅表现在定位的精确性和准确性上,还表现在对定位结果的监管。例如,需要对待测节点进行范围限定时,可以设置电子围栏,在待测节点超出预设范围时进行告知或预警。
2、广域物联网的定位技术中,为了提高可信性,可以使用混合定位技术,即将卫星定位与其他定位方式相结合,在卫星信号受到影响或者缺失的情况下完成结合协作定位的高精度定位。
3、在广域物联网中采用混合定位技术,需要协作定位设备协助。然而,现有的协作定位方案对于协作定位设备的合法性无法有效验证,使得攻击者有可能冒充协作终端提供错误的定位信息,干扰业务的正常执行。
技术实现思路
1、本发明的目的在于提供一种协作定位方法、装置、终端及核心网设备,以解决现有协作定位方案对于协作定位设备的合法性无法有效验证,使得攻击者有可能冒充协作终端提供错误的定位信息,干扰业务的正常执行的问题。
2、为了解决上述技术问题,第一方面,本发明实施例提供一种协作定位方法,应用于第一核心网设备,包括:
3、为预先划分的信任域内的可信终端派发协作定位密钥;
4、基于所派发的协作定位密钥,在协作定位期间验证所属信任域内的协作终端的可信性。
5、可选的,为预先划分的信任域内的可信终端派发协作定位密钥的步骤包括:
6、根据预先划分的信任域的根密钥,以及所述可信终端与核心网的会话密钥,确定协作定位密钥;
7、将所述协作定位密钥派发给所述可信终端。
8、可选的,所述根据预先划分的信任域的根密钥,以及所述可信终端与核心网的会话密钥,确定协作定位密钥的步骤包括:
9、使用密钥推导函数,以所述根密钥和所述会话密钥作为原始密钥,以所述可信终端的身份标识信息作为输入,派生出所述协作定位密钥。
10、可选的,根据预先划分的信任域的根密钥,以及所述可信终端与核心网的会话密钥,确定协作定位密钥之前,所述方法还包括:
11、根据所述可信终端的定位结果以及不同信任域的地理位置信息,确定所述可信终端所在的信任域;
12、其中,预先根据业务需求划分多个信任域,且每个信任域分别包括对应的地理位置信息和根密钥。
13、可选的,信任域对应的地理位置信息包括:
14、根据预先配置的一个或多个地理属性信息生成的信息;
15、可选的,所述根据预先配置的一个或多个地理属性信息生成的信息包括:
16、将预先配置的一个或多个地理属性进行哈希计算后生成的字符串信息。
17、可选的,所述基于所派发的协作定位密钥,在协作定位期间验证所属信任域内的协作终端的可信性的步骤包括:
18、接收定位鉴权请求,所述定位鉴权请求包括协作终端的身份信息和协作终端基于所派发的协作定位密钥生成的鉴权信息;
19、根据所述协作终端的身份信息,确定预先派发给所述协作终端的真实协作定位密钥;
20、基于所述真实协作定位密钥和所述鉴权信息,验证所述协作终端的可信性。
21、可选的,所述鉴权信息包括:协作终端采用消息认证函数,对所派发的协作定位密钥进行计算得到的信任终端凭证;或者
22、所述鉴权信息包括:所派发的协作定位密钥本身。
23、可选的,所述消息认证函数包括消息认证码mac函数;
24、所述信任终端凭证是所述协作终端采用mac函数,以所派发的协作定位密钥和所述协作终端的身份标识信息共同作为输入生成的信息。
25、可选的,基于所述真实协作定位密钥和所述鉴权信息,验证所述协作终端的可信性的步骤包括:
26、基于所述真实协作定位密钥,按照与所述鉴权信息相同的生成方式,生成验证用鉴权信息;
27、将所述验证用鉴权信息与所述鉴权信息相比较,若一致,则确定所述协作终端为可信终端,否则确定所述协作终端为不可信终端。
28、可选的,所述定位鉴权请求还包括:定位终端的身份信息、定位终端连接的核心网应用单元身份信息和基于协作终端的辅助测量信息确定的定位结果;
29、基于所述真实协作定位密钥和所述鉴权信息,验证所述协作终端的可信性之后,所述方法还包括:
30、在确定所述协作终端为可信终端的情况下,基于所述定位终端的身份信息、所述定位终端连接的核心网应用单元身份信息,与所述定位终端进行应用层认证;
31、在应用层认证完成的情况下,基于所述定位结果,对所述定位终端进行监管。
32、第二方面,本发明实施例提供一种协作定位装置,应用于第一核心网设备,包括:
33、第一派发模块,用于为预先划分的信任域内的可信终端派发协作定位密钥;
34、第一验证模块,用于基于所派发的协作定位密钥,在协作定位期间验证所属信任域内的协作终端的可信性。
35、第三方面,本发明实施例提供一种核心网设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现如上所述的协作定位方法。
36、第四方面,本发明实施例提供一种可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的协作定位方法中的步骤。
37、第五方面,本发明实施例提供一种协作定位方法,应用于第一终端,包括:
38、在第一终端作为预先划分的一信任域内的可信终端的情况下,接收核心网为所述第一终端派发的协作定位密钥;
39、基于所派发的协作定位密钥,在协作定位期间进行对所述第一终端可信性的验证。
40、可选的,基于所派发的协作定位密钥,在协作定位期间进行对所述第一终端可信性的验证的步骤包括:
41、基于所派发的协作定位密钥生成鉴权信息;
42、接收到定位终端发送的辅助定位请求后,向核心网发送包括所述第一终端的身份信息和所述鉴权信息在内的辅助测量信息,使得核心网基于所述辅助测量信息验证所述第一终端的可信性。
43、可选的,基于所派发的协作定位密钥生成鉴权信息的步骤包括:
44、采用消息认证函数,对所派发的协作定位密钥进行计算,得到信任终端凭证作为所述鉴权信息;或者
45、将所派发的协作定位密钥本身作为所述鉴权信息。
46、可选的,所述消息认证函数包括消息认证码mac函数;
47、所述采用消息认证函数,对所派发的协作定位密钥进行计算,得到信任终端凭证作为所述鉴权信息的步骤包括:
48、采用mac函数,以所派发的协作定位密钥和所述第一终端的身份标识信息共同作为输入,生成信任终端凭证。
49、可选的,所述辅助测量信息还包括:定位终端的身份信息、定位终端需要连接的核心网应用单元的标识信息、第一终端对定位终端的位置测量结果。
50、可选的,所述方法还包括:
51、接收到定位终端发送的辅助定位请求后,向所述定位终端发送辅助定位信息;
52、所述辅助定位信息包括以下一项或多项:卫星时钟、星历、可用星座。
53、可选的,所述方法还包括:
54、接收定位终端发送的协作定位请求;
55、响应所述协作定位请求,发送协作终端能力信息给所述定位终端,使得所述定位终端基于所述协作终端能力信息确定所述第一终端满足协作定位需求的情况下,将所述第一终端纳入协作定位设备集合。
56、可选的,所述协作终端能力信息包括以下一项或多项:第一终端的身份信息、第一终端的移动信息、第一终端与核心网应用单元的连接信息、第一终端的位置信息、第一终端支持的定位方法、基于所派发的协作定位密钥生成的鉴权信息。
57、可选的,所述第一终端的身份信息包括:所述第一终端的身份标识信息和所述第一终端的设备类型信息;
58、所述第一终端与核心网应用单元的连接信息包括:所述第一终端连接的核心网应用单元身份信息以及连接状态;
59、所述第一终端的位置信息包括:卫星定位信息。
60、可选的,所述协作定位请求包括以下一项或多项:定位终端的身份信息、定位终端需要连接的核心网应用单元的标识信息、定位终端支持的定位方法。
61、可选的,第一终端或定位终端支持的定位方法包括以下一项或多项:上行链路到达时间差、下行链路到达时间差、辅助全球导航卫星系统、辅助全球定位系统。
62、第六方面,本发明实施例提供一种协作定位装置,应用于第一终端,包括:
63、第一接收模块,用于在第一终端作为预先划分的一信任域内的可信终端的情况下,接收核心网为所述第一终端派发的协作定位密钥;
64、第二验证模块,用于基于所派发的协作定位密钥,在协作定位期间进行对所述第一终端可信性的验证。
65、第七方面,本发明实施例提供一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现如上所述的协作定位方法。
66、第八方面,本发明实施例提供一种可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的协作定位方法中的步骤。
67、第九方面,本发明实施例提供一种协作定位方法,应用于第二核心网设备,其特征在于,包括:
68、接收协作终端上报的包含协作定位密钥的信息;其中,所述协作定位密钥是核心网为预先划分的信任域内的可信终端派发的密钥;
69、基于所述包含协作定位密钥的信息,进行所述协作终端可信性的验证。
70、可选的,接收协作终端上报的包含协作定位密钥的信息的步骤包括:
71、接收协作终端上报的辅助测量信息,所述辅助测量信息包括所述协作终端的身份信息和鉴权信息,所述鉴权信息是所述协作终端基于所派发的协作定位密钥生成的信息。
72、可选的,基于所述包含协作定位密钥的信息,进行所述协作终端可信性的验证的步骤包括:
73、基于所述辅助测量信息,向核心网应用单元发送定位鉴权请求,所述定位鉴权请求包括所述协作终端的身份信息和所述鉴权信息,使得核心网应用单元基于所述定位鉴权请求验证所述协作终端的可信性。
74、可选的,所述定位鉴权请求还包括:定位终端的身份信息、定位终端连接的核心网应用单元身份信息和基于协作终端的辅助测量信息确定的定位结果。
75、可选的,所述辅助测量信息还包括:定位终端的身份信息、定位终端需要连接的核心网应用单元的标识信息、协作终端对定位终端的位置测量结果;
76、所述方法还包括:
77、基于所述辅助测量信息确定所述定位终端的定位结果。
78、第十方面,本发明实施例提供一种协作定位装置,应用于第二核心网设备,包括:
79、第二接收模块,用于接收协作终端上报的包含协作定位密钥的信息;其中,所述协作定位密钥是核心网为预先划分的信任域内的可信终端派发的密钥;
80、第三验证模块,用于基于所述包含协作定位密钥的信息,进行所述协作终端可信性的验证。
81、第十一方面,本发明实施例提供一种核心网设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现如上所述的协作定位方法。
82、第十二方面,本发明实施例提供一种可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的协作定位方法中的步骤。
83、第十三方面,本发明实施例提供一种协作定位方法,应用于第二终端,包括:
84、向协作终端发送辅助定位请求,使得所述协作终端接收到辅助定位请求后,基于所派发的协作定位密钥进行可信性的验证;其中,所述协作定位密钥是核心网为预先划分的信任域内的可信终端派发的密钥。
85、可选的,向协作终端发送辅助定位请求之前,所述方法还包括:
86、向一个或多个协作终端发送协作定位请求;
87、接收每个协作终端响应所述协作定位请求,发送的协作终端能力信息;
88、基于接收到的协作终端能力信息,确定满足协作定位需求的协作终端,并纳入协作定位设备集合。
89、可选的,基于接收到的协作终端能力信息,确定满足协作定位需求的协作终端,并纳入协作定位设备集合的步骤包括:
90、基于接收到的协作终端能力信息,确定三个或三个以上满足协作定位需求的协作终端,并纳入协作定位设备集合。
91、可选的,向一个或多个协作终端发送协作定位请求的步骤包括:
92、在侧行链路向一个或多个协作终端发送协作定位请求。
93、可选的,所述协作终端能力信息包括以下一项或多项:协作终端的身份信息、协作终端的移动信息、协作终端与核心网应用单元的连接信息、协作终端的位置信息、协作终端支持的定位方法、基于所派发的协作定位密钥生成的鉴权信息。
94、可选的,所述协作终端的身份信息包括:所述协作终端的身份标识信息和所述协作终端的设备类型信息;
95、所述协作终端与核心网应用单元的连接信息包括:所述协作终端连接的核心网应用单元身份信息以及连接状态;
96、所述协作终端的位置信息包括:卫星定位信息。
97、可选的,所述协作定位请求包括以下一项或多项:第二终端的身份信息、第二终端需要连接的核心网应用单元的标识信息、第二终端支持的定位方法。
98、可选的,协作终端或第二终端支持的定位方法包括以下一项或多项:上行链路到达时间差、下行链路到达时间差、辅助全球导航卫星系统、辅助全球定位系统。
99、可选的,向协作终端发送辅助定位请求之后,所述方法还包括:
100、在核心网确定所述协作终端为可信终端的情况下,与核心网进行应用层认证。
101、可选的,在与核心网进行应用层认证之后,所述方法还包括:
102、在应用层认证完成的情况下,接收核心网为所述第二终端划分信任域后,派发的协作定位密钥。
103、第十四方面,本发明实施例提供一种协作定位装置,应用于第二终端,包括:
104、第一发送模块,用于向协作终端发送辅助定位请求,使得所述协作终端接收到辅助定位请求后,基于所派发的协作定位密钥进行可信性的验证;其中,所述协作定位密钥是核心网为预先划分的信任域内的可信终端派发的密钥。
105、第十五方面,本发明实施例提供一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现如上所述的协作定位方法。
106、第十六方面,本发明实施例提供一种可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的协作定位方法中的步骤。
107、本发明的上述技术方案的有益效果如下:
108、上述方案中,为协作定位的物联网场景提供一种协作终端的认证方法,通过设置信任域,并为信任域内的可信终端派发协作定位密钥,用于定位阶段验证协作终端的可信性。本方案中与现有协作定位方案相比,新增了对协作终端的身份的验证,能够有效防止攻击者冒充协作终端上报错误的位置信息,提升了系统的安全性。
1.一种协作定位方法,应用于第一核心网设备,其特征在于,包括:
2.根据权利要求1所述的协作定位方法,其特征在于,为预先划分的信任域内的可信终端派发协作定位密钥的步骤包括:
3.根据权利要求2所述的协作定位方法,其特征在于,所述根据预先划分的信任域的根密钥,以及所述可信终端与核心网的会话密钥,确定协作定位密钥的步骤包括:
4.根据权利要求2或3所述的协作定位方法,其特征在于,根据预先划分的信任域的根密钥,以及所述可信终端与核心网的会话密钥,确定协作定位密钥之前,所述方法还包括:
5.根据权利要求4所述的协作定位方法,其特征在于,信任域对应的地理位置信息包括:
6.根据权利要求1所述的协作定位方法,其特征在于,所述基于所派发的协作定位密钥,在协作定位期间验证所属信任域内的协作终端的可信性的步骤包括:
7.根据权利要求6所述的协作定位方法,其特征在于,所述鉴权信息包括:协作终端采用消息认证函数,对所派发的协作定位密钥进行计算得到的信任终端凭证;或者
8.根据权利要求7所述的协作定位方法,其特征在于,所述消息认证函数包括消息认证码mac函数;
9.根据权利要求6-8中任一项所述的协作定位方法,其特征在于,基于所述真实协作定位密钥和所述鉴权信息,验证所述协作终端的可信性的步骤包括:
10.根据权利要求6所述的协作定位方法,其特征在于,所述定位鉴权请求还包括:定位终端的身份信息、定位终端连接的核心网应用单元身份信息和基于协作终端的辅助测量信息确定的定位结果;
11.一种协作定位装置,应用于第一核心网设备,其特征在于,包括:
12.一种核心网设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1至10中任一项所述的协作定位方法。
13.一种可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时实现如权利要求1至10中任一项所述的协作定位方法中的步骤。
14.一种协作定位方法,应用于第一终端,其特征在于,包括:
15.根据权利要求14所述的协作定位方法,其特征在于,基于所派发的协作定位密钥,在协作定位期间进行对所述第一终端可信性的验证的步骤包括:
16.根据权利要求15所述的协作定位方法,其特征在于,基于所派发的协作定位密钥生成鉴权信息的步骤包括:
17.根据权利要求16所述的协作定位方法,其特征在于,所述消息认证函数包括消息认证码mac函数;
18.根据权利要求15所述的协作定位方法,其特征在于,所述辅助测量信息还包括:定位终端的身份信息、定位终端需要连接的核心网应用单元的标识信息、第一终端对定位终端的位置测量结果。
19.根据权利要求14所述的协作定位方法,其特征在于,所述方法还包括:
20.根据权利要求14所述的协作定位方法,其特征在于,所述方法还包括:
21.根据权利要求20所述的协作定位方法,其特征在于,所述协作终端能力信息包括以下一项或多项:第一终端的身份信息、第一终端的移动信息、第一终端与核心网应用单元的连接信息、第一终端的位置信息、第一终端支持的定位方法、基于所派发的协作定位密钥生成的鉴权信息。
22.根据权利要求21所述的协作定位方法,其特征在于,所述第一终端的身份信息包括:所述第一终端的身份标识信息和所述第一终端的设备类型信息;
23.根据权利要求20所述的协作定位方法,其特征在于,所述协作定位请求包括以下一项或多项:定位终端的身份信息、定位终端需要连接的核心网应用单元的标识信息、定位终端支持的定位方法。
24.根据权利要求21或23所述的协作定位方法,其特征在于,第一终端或定位终端支持的定位方法包括以下一项或多项:上行链路到达时间差、下行链路到达时间差、辅助全球导航卫星系统、辅助全球定位系统。
25.一种协作定位装置,应用于第一终端,其特征在于,包括:
26.一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求14至24中任一项所述的协作定位方法。
27.一种可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时实现如权利要求14至24中任一项所述的协作定位方法中的步骤。
28.一种协作定位方法,应用于第二核心网设备,其特征在于,包括:
29.根据权利要求28所述的协作定位方法,其特征在于,接收协作终端上报的包含协作定位密钥的信息的步骤包括:
30.根据权利要求29所述的协作定位方法,其特征在于,基于所述包含协作定位密钥的信息,进行所述协作终端可信性的验证的步骤包括:
31.根据权利要求30所述的协作定位方法,其特征在于,所述定位鉴权请求还包括:定位终端的身份信息、定位终端连接的核心网应用单元身份信息和基于协作终端的辅助测量信息确定的定位结果。
32.根据权利要求29-31中任一项所述的协作定位方法,其特征在于,所述辅助测量信息还包括:定位终端的身份信息、定位终端需要连接的核心网应用单元的标识信息、协作终端对定位终端的位置测量结果;
33.一种协作定位装置,应用于第二核心网设备,其特征在于,包括:
34.一种核心网设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求28至32中任一项所述的协作定位方法。
35.一种可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时实现如权利要求28至32中任一项所述的协作定位方法中的步骤。
36.一种协作定位方法,应用于第二终端,其特征在于,包括:
37.根据权利要求36所述的协作定位方法,其特征在于,向协作终端发送辅助定位请求之前,所述方法还包括:
38.根据权利要求37所述的协作定位方法,其特征在于,基于接收到的协作终端能力信息,确定满足协作定位需求的协作终端,并纳入协作定位设备集合的步骤包括:
39.根据权利要求37所述的协作定位方法,其特征在于,向一个或多个协作终端发送协作定位请求的步骤包括:
40.根据权利要求37所述的协作定位方法,其特征在于,所述协作终端能力信息包括以下一项或多项:协作终端的身份信息、协作终端的移动信息、协作终端与核心网应用单元的连接信息、协作终端的位置信息、协作终端支持的定位方法、基于所派发的协作定位密钥生成的鉴权信息。
41.根据权利要求40所述的协作定位方法,其特征在于,所述协作终端的身份信息包括:所述协作终端的身份标识信息和所述协作终端的设备类型信息;
42.根据权利要求37所述的协作定位方法,其特征在于,所述协作定位请求包括以下一项或多项:第二终端的身份信息、第二终端需要连接的核心网应用单元的标识信息、第二终端支持的定位方法。
43.根据权利要求40或42所述的协作定位方法,其特征在于,协作终端或第二终端支持的定位方法包括以下一项或多项:上行链路到达时间差、下行链路到达时间差、辅助全球导航卫星系统、辅助全球定位系统。
44.根据权利要求36所述的协作定位方法,其特征在于,向协作终端发送辅助定位请求之后,所述方法还包括:
45.根据权利要求44所述的协作定位方法,其特征在于,在与核心网进行应用层认证之后,所述方法还包括:
46.一种协作定位装置,应用于第二终端,其特征在于,包括:
47.一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求36至45中任一项所述的协作定位方法。
48.一种可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时实现如权利要求36至45中任一项所述的协作定位方法中的步骤。
