RU2849843C2

RU2849843C2 - Method/apparatus/device for authorising role of subscriber device (au) and data carrier

Info

Publication number: RU2849843C2
Application number: RU2025109930A
Authority: RU
Inventors: Вэй ЛУ
Original assignee: Бейджин Сяоми Мобайл Софтвэар Ко., Лтд.
Filing date: 2022-09-26
Publication date: 2025-10-30

Abstract

FIELD: data carriers.

SUBSTANCE: invention proposes a method/device/apparatus for role authorisation for a subscriber device (AU) and a data carrier. The method includes the steps of: receiving a discovery request message sent by the first SU and/or the second SU, wherein the discovery request message serves to request role authorisation for the first SU and/or the second SU; and sending a detection response message to the first AU and/or the second AU, wherein the detection response message contains a role defined for the first AU and/or the second AU by a network device. The invention proposes a method for authorising an AU for a role in a service whose detection is requested by the AU.

EFFECT: method allows the role for the AU to be correctly authorised, thereby improving the accuracy of service provision and information security.

1 cl

Description

ОБЛАСТЬ ТЕХНИКИAREA OF TECHNOLOGY

[01] Предлагаемое изобретение относится в целом к области техники связи, в частности - к способу/прибору/устройству авторизации роли для АУ и к носителю данных.[01] The proposed invention relates in general to the field of communications technology, in particular to a method/device/device for authorizing a role for an automated control system and to a data carrier.

ПРЕДПОСЫЛКИ СОЗДАНИЯ ИЗОБРЕТЕНИЯPREREQUISITES FOR THE CREATION OF THE INVENTION

[02] При оказании в системе связи услуги определения дальности и/или услуги местоопределения по боковой линии связи (SL, от англ. sidelink) обычно необходимо участие нескольких абонентских устройств (АУ) для исполнения разных ролей в услуге, причем в число ролей АУ могут входить роли опорного АУ в SL, целевого АУ, вспомогательного АУ, обнаруживаемого АУ, АУ-сервера местоопределения по боковой линии связи и АУ-клиента местоопределения по SL.[02] When providing a range determination service and/or a sidelink (SL) positioning service in a communication system, the participation of several subscriber units (SU) is usually required to perform different roles in the service, and the SU roles may include the roles of a reference SU in the SL, a target SU, an auxiliary SU, a detected SU, a SU positioning server for the sidelink, and a SU positioning client for the SL.

[03] Одно АУ может одновременно поддерживать несколько ролей для услуги определения дальности и/или услуги местоопределения по боковой линии связи. Например, если АУ способно отправлять сигнал местоположения, оно может служить в качестве опорного АУ. Если данное АУ также способно вычислять местоположение, оно может служить в качестве АУ-сервера. На практике возможна ситуация, в которой АУ исполняет ненадлежащую роль в услуге, то есть АУ нельзя исполнять или оно не имеет способности исполнять данную роль в услуге. Например, АУ имеет способность к определению дальности, однако ему нельзя исполнять роль опорного АУ в услуге 1 определения дальности. Когда оно исполняет роль опорного АУ в услуге 1 определения дальности, может пострадать точность услуги определения дальности и возникнуть связанная с безопасностью проблема, в частности, утечка информации.[03] A single UE may simultaneously support multiple roles for the ranging service and/or the sidelink positioning service. For example, if a UE is capable of sending a position signal, it may serve as a reference UE. If this UE is also capable of calculating position, it may serve as a UE server. In practice, a situation may arise in which a UE performs an inappropriate role in the service, i.e., the UE cannot perform or does not have the capability to perform this role in the service. For example, a UE has the capability of ranging, but it cannot perform the role of a reference UE in the ranging service 1. When it performs the role of a reference UE in the ranging service 1, the accuracy of the ranging service may be affected and a security issue, in particular, information leakage, may arise.

СУЩНОСТЬ ИЗОБРЕТЕНИЯESSENCE OF THE INVENTION

[04] В изобретении предложены способ/прибор/устройство авторизации роли для АУ и носитель данных для корректной авторизации роли для АУ в разных услугах с целью обеспечения точности исполнения услуги и защиты информации.[04] The invention proposes a method/device/device for authorizing a role for an automated control system and a data carrier for correctly authorizing a role for an automated control system in various services in order to ensure the accuracy of service execution and information protection.

[05] Согласно первому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен способ авторизации роли для АУ, выполняемый сетевым устройством и включающий этапы, на которых: принимают сообщение-запрос обнаружения, отправленное первым АУ и/или вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ; и отправляют ответное сообщение обнаружения первому АУ и/или второму АУ, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ.[05] According to a first aspect, in one embodiment of the proposed invention, a method is proposed for authorizing a role for an AU, performed by a network device and including the steps of: receiving a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU; and sending a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU.

[06] Согласно предлагаемому изобретению, сетевое устройство принимает сообщение-запрос обнаружения, отправленное первым АУ и/или вторым АУ, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ. Сетевое устройство отправляет ответное сообщение обнаружения первому АУ и/или второму АУ, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[06] According to the proposed invention, a network device receives a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message is used to request an authorized role for the first AU and/or the second AU. The network device sends a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU. From the above it follows that the invention proposes a method for authorizing a role for an AU in a service requested by the AU to be discovered, wherein the AU role can be determined by the network device based on the AU capability and the AU contract information in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[07] Согласно второму аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен способ авторизации роли для АУ, выполняемый первым АУ и включающий этапы, на которых: отправляют сообщение-запрос обнаружения сетевому устройству, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ; и принимают ответное сообщение обнаружения, отправленное сетевым устройством, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ.[07] According to a second aspect, in one embodiment of the proposed invention, a method is proposed for authorizing a role for a AU, performed by a first AU and comprising the steps of: sending a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for the first AU; and receiving a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the first AU.

[08] Согласно третьему аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен способ авторизации роли для АУ, выполняемый вторым АУ и включающий этапы, на которых: отправляют сообщение-запрос обнаружения сетевому устройству, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ; и принимают ответное сообщение обнаружения, отправленное сетевым устройством, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ.[08] According to a third aspect, in one embodiment of the proposed invention, a method is proposed for authorizing a role for a AU, performed by a second AU and including the steps of: sending a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for the second AU; and receiving a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the second AU.

[09] Согласно четвертому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен способ авторизации роли для АУ, выполняемый сетевым элементом функции управления именами при прямом обнаружении (DDNMF-функции, от англ. direct discovery name management function) или сетевым элементом функции управления ключами услуги определения близости (PKMF-функции, от англ. proximity service key management function) первого АУ и включающий этапы, на которых: принимают сообщение-запрос обнаружения, отправленное первым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ; отправляют первое сообщение-запрос авторизации серверу или сетевому элементу управления унифицированными данными (UDM, от англ. unified data management) согласно сообщению-запросу обнаружения; принимают первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM, причем первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM; и отправляют ответное сообщение обнаружения первому АУ, причем ответное сообщение обнаружения содержит роль первого АУ.[09] According to a fourth aspect, in one embodiment of the proposed invention, a method is proposed for authorizing a role for an AU, performed by a direct discovery name management function (DDNMF) network element or a proximity service key management function (PKMF) network element of a first AU, and comprising the steps of: receiving a discovery request message sent by the first AU, wherein the discovery request message is used to request an authorized role in a service requested to be discovered by the first AU; sending a first authorization request message to a unified data management (UDM) server or network element according to the discovery request message; receiving a first authorization response message sent by the UDM server or network element, wherein the first authorization response message contains a role of the first AU determined by the UDM server or network element; and sending a discovery response message to the first AU, wherein the discovery response message contains the role of the first AU.

[010] Согласно пятому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен способ авторизации роли для АУ, выполняемый сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ и включающий этапы, на которых: принимают сообщение-запрос обнаружения, отправленное вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ; отправляют первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения; принимают первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM, причем первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM; определяют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ; и отправляют ответное сообщение обнаружения второму АУ, причем ответное сообщение обнаружения содержит роль второго АУ.[010] According to a fifth aspect, in one embodiment of the proposed invention, a method for authorizing a role for an AU is proposed, performed by a DDNMF network element or a PKMF network element of a second AU and comprising the steps of: receiving a discovery request message sent by the second AU, wherein the discovery request message is used to request an authorized role in a service requested to be discovered by the second AU; sending a first authorization request message to the UDM server or network element according to the discovery request message; receiving a first authorization response message sent by the UDM server or network element, wherein the first authorization response message contains the role of the second AU determined by the UDM server or network element; determining a security means corresponding to the service requested to be discovered by the second AU; and sending a discovery response message to the second AU, wherein the discovery response message contains the role of the second AU.

[011] Согласно шестому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен способ авторизации роли для АУ, выполняемый сервером или UDM и включающий этапы, на которых: принимают первое сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, причем первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ; определяют роль первого АУ и/или второго АУ согласно первому сообщению-запросу авторизации; и отправляют первое авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, причем первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ.[011] According to a sixth aspect, in one embodiment of the proposed invention, a method for authorizing a role for an AU is proposed, performed by a server or a UDM and comprising the steps of: receiving a first authorization request message sent by a network element of the DDNMF function or a network element of the PKMF function of a first AU and/or a second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU; determining the role of the first AU and/or the second AU according to the first authorization request message; and sending a first authorization response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU.

[012] Согласно седьмому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее: приемопередающий модуль, выполненный с возможностью: приема сообщения-запроса обнаружения, отправленного первым АУ и/или вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ; и отправки ответного сообщения обнаружения первому АУ и/или второму АУ, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ.[012] According to a seventh aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising: a transmitting and receiving module configured to: receive a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU; and send a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU.

[013] Согласно восьмому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее: приемопередающий модуль, выполненный с возможностью: отправки сообщения-запроса обнаружения сетевому устройству, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ; и приема ответного сообщения обнаружения, отправленного сетевым устройством, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ.[013] According to an eighth aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising: a transmitting and receiving module configured to: send a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for a first AU; and receive a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the first AU.

[014] Согласно девятому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее: приемопередающий модуль, выполненный с возможностью: отправки сообщения-запроса обнаружения сетевому устройству, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ; и приема ответного сообщения обнаружения, отправленного сетевым устройством, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ.[014] According to a ninth aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising: a transmitting and receiving module configured to: send a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for a second AU; and receive a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the second AU.

[015] Согласно десятому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее: приемопередающий модуль, выполненный с возможностью: приема сообщения-запроса обнаружения, отправленного первым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ; отправки первого сообщения-запроса авторизации серверу или сетевому элементу управления унифицированными данными (UDM) согласно сообщению-запросу обнаружения; приема первого авторизационного сообщения-ответа, отправленного сервером или сетевым элементом UDM, причем первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM; и отправки ответного сообщения обнаружения первому АУ, причем ответное сообщение обнаружения содержит роль первого АУ.[015] According to a tenth aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising: a transmitting and receiving module configured to: receive a discovery request message sent by a first AU, wherein the discovery request message serves to request an authorized role in a service requested to be discovered by the first AU; send a first authorization request message to a unified data management (UDM) server or network element according to the discovery request message; receive a first authorization response message sent by the UDM server or network element, wherein the first authorization response message contains a role of the first AU determined by the UDM server or network element; and send a discovery response message to the first AU, wherein the discovery response message contains the role of the first AU.

[016] Согласно одиннадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее: приемопередающий модуль, выполненный с возможностью: приема сообщения-запроса обнаружения, отправленного вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ, отправки первого сообщения-запроса авторизации серверу или сетевому элементу управления унифицированными данными (UDM) согласно сообщению-запросу обнаружения, приема первого авторизационного сообщения-ответа, отправленного сервером или сетевым элементом UDM, причем первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM; и обрабатывающий модуль, выполненный с возможностью определения средства защиты, соответствующего услуге, запрашиваемой к обнаружению вторым АУ. Приемопередающий модуль дополнительно выполнен с возможностью отправки ответного сообщения обнаружения второму АУ, причем ответное сообщение обнаружения содержит роль второго АУ.[016] According to an eleventh aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising: a transmitting and receiving module configured to: receive a discovery request message sent by a second AU, wherein the discovery request message serves to request an authorized role in a service requested to be discovered by the second AU, send a first authorization request message to a unified data management (UDM) server or network element according to the discovery request message, receive a first authorization response message sent by the UDM server or network element, wherein the first authorization response message contains a role of the second AU determined by the UDM server or network element; and a processing module configured to determine a security means corresponding to the service requested to be discovered by the second AU. The transmitting and receiving module is further configured to send a discovery response message to the second AU, wherein the discovery response message contains the role of the second AU.

[017] Согласно двенадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее: приемопередающий модуль, выполненный с возможностью приема первого сообщения-запроса авторизации, отправленного сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, причем первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ; и обрабатывающий модуль, выполненный с возможностью определения роли первого АУ и/или второго АУ согласно первому сообщению-запросу авторизации. Приемопередающий модуль дополнительно выполнен с возможностью отправки первого авторизационного сообщения-ответа сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, причем первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ.[017] According to a twelfth aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising: a transmitting and receiving module configured to receive a first authorization request message sent by a DDNMF function network element or a PKMF function network element of a first AU and/or a second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU; and a processing module configured to determine the role of the first AU and/or the second AU according to the first authorization request message. The transmitting and receiving module is further configured to send a first authorization response message to the DDNMF function network element or the PKMF function network element of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU.

[018] Согласно тринадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее процессор. При вызове процессором программы для ЭВМ из запоминающего устройства происходит реализация способа по любому из аспектов с первого по шестой.[018] According to a thirteenth aspect, in one embodiment of the present invention, a communication device is provided comprising a processor. When the processor calls up a computer program from a memory device, the method according to any one of the first to sixth aspects is implemented.

[019] Согласно четырнадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее процессор и запоминающее устройство с запомненной в нем программой для ЭВМ. Процессор выполнен с возможностью исполнения запомненной в запоминающем устройстве программы для ЭВМ и, тем самым, приведения связного устройства в действие для реализации способа по любому из раскрытых выше аспектов с первого по шестой.[019] According to a fourteenth aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising a processor and a memory device with a computer program stored therein. The processor is configured to execute the computer program stored in the memory device and, thereby, to activate the communication device to implement the method according to any of the first to sixth aspects disclosed above.

[020] Согласно пятнадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложено связное устройство, содержащее процессор и интерфейсную схему. Интерфейсная схема выполнена с возможностью приема инструкции кода и передачи данной инструкции кода процессору, при этом процессор выполнен с возможностью исполнения инструкции кода и, тем самым, приведения устройства в действие для реализации способа по любому из раскрытых выше аспектов с первого по шестой.[020] According to a fifteenth aspect, in one embodiment of the proposed invention, a communication device is proposed, comprising a processor and an interface circuit. The interface circuit is configured to receive a code instruction and transmit this code instruction to the processor, wherein the processor is configured to execute the code instruction and, thereby, activate the device to implement the method according to any of the first to sixth aspects disclosed above.

[021] Согласно шестнадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложена система связи, включающая в себя связное устройство по раскрытым выше аспектам с седьмого по двенадцатый или связное устройство по тринадцатому, четырнадцатому или пятнадцатому аспекту.[021] According to a sixteenth aspect, in one embodiment of the present invention, a communication system is provided, including a communication device according to the seventh to twelfth aspects disclosed above, or a communication device according to the thirteenth, fourteenth or fifteenth aspect.

[022] Согласно семнадцатому аспекту, в одном из вариантов осуществления предлагаемого изобретения предложен читаемый ЭВМ носитель данных для запоминания в нем инструкций, применяемых вышеупомянутой базовой станцией. Результатом исполнения данных инструкций является реализация оконечным устройством способа по любому из раскрытых выше аспектов с первого по шестой.[022] According to a seventeenth aspect, in one embodiment of the proposed invention, a computer-readable data carrier is proposed for storing therein instructions used by the above-mentioned base station. The result of executing these instructions is the implementation by the terminal device of the method according to any of the first to sixth aspects disclosed above.

[023] Кроме того, согласно восемнадцатому аспекту, в изобретении предложен программный продукт для ЭВМ, содержащий программу для ЭВМ, при исполнении которой в ЭВМ данная ЭВМ реализует способ по любому из раскрытых выше аспектов с первого по шестой.[023] Furthermore, according to an eighteenth aspect, the invention provides a software product for a computer, comprising a program for a computer, when executed in a computer, the computer implements the method according to any one of the first to sixth aspects disclosed above.

[024] Согласно девятнадцатому аспекту, в изобретении предложена интегральная система, содержащая по меньшей мере один процессор и интерфейс для обеспечения реализации базовой станцией функций, предусмотренных способом по любому из аспектов с первого по шестой, например, определения или обработки данных и/или информации, предусмотренных раскрытым выше способом. В одном из возможных вариантов конструкции интегральная система дополнительно содержит запоминающее устройство, выполненное с возможностью запоминания в нем программ для ЭВМ и данных вторичного узла-источника. Интегральная система может состоять из микросхем или содержать микросхемы и иные устройства дискретного действия.[024] According to a nineteenth aspect, the invention provides an integrated system comprising at least one processor and an interface for enabling a base station to implement the functions provided by the method according to any one of the first to sixth aspects, for example, determining or processing data and/or information provided by the method disclosed above. In one possible design embodiment, the integrated system further comprises a memory device configured to store therein computer programs and data of a secondary source node. The integrated system may consist of microcircuits or contain microcircuits and other discrete devices.

[025] Согласно двадцатому аспекту, в изобретении предложена программа для ЭВМ, при исполнении которой в ЭВМ данная ЭВМ реализует способ по любому из раскрытых выше аспектов с первого по пятый.[025] According to a twentieth aspect, the invention provides a computer program, which, when executed in a computer, implements the method according to any one of the first to fifth aspects disclosed above.

[026] Согласно двадцать первому аспекту, в изобретении предложена система связи, включающая в себя: первое АУ, выполненное с возможностью отправки сообщения-запроса обнаружения; второе АУ, выполненное с возможностью отправки сообщения-запроса обнаружения; сетевое устройство, выполненное с возможностью отправки ответного сообщения обнаружения, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ. Первое АУ, в свою очередь, выполнено с возможностью приема ответного сообщения обнаружения, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ. Второе АУ, в свою очередь, выполнено с возможностью приема ответного сообщения обнаружения, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ.[026] According to a twenty-first aspect, the invention provides a communication system including: a first AU configured to send a discovery request message; a second AU configured to send the discovery request message; a network device configured to send a discovery response message, wherein the discovery response message comprises a role determined by the network device for the first AU and/or the second AU. The first AU, in turn, is configured to receive the discovery response message, wherein the discovery response message comprises a role determined by the network device for the first AU. The second AU, in turn, is configured to receive the discovery response message, wherein the discovery response message comprises a role determined by the network device for the second AU.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF DRAWINGS

[027] Более ясное представление о раскрытых выше и/или дополнительных аспектах и преимуществах предлагаемого изобретения можно получить из нижеследующих описаний вариантов осуществления с отсылкой к нижеследующим чертежам.[027] A clearer understanding of the above disclosed and/or additional aspects and advantages of the present invention can be obtained from the following descriptions of embodiments with reference to the following drawings.

Фиг. 1a и Фиг. 1b - принципиальные схемы архитектуры систем связи по одному из вариантов осуществления предлагаемого изобретения.Fig. 1a and Fig. 1b are schematic diagrams of the architecture of communication systems according to one embodiment of the proposed invention.

Фиг. 2a-2L - схемы последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения.Fig. 2a-2L are sequence diagrams of a method for authorizing a role for an AU according to one embodiment of the proposed invention.

Фиг. 3 - схема последовательности способа авторизации роли для АУ по другому варианту осуществления предлагаемого изобретения.Fig. 3 is a diagram of the sequence of the method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 4 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 4 is a diagram of the sequence of the method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 5 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 5 is a diagram of the sequence of the method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 6 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 6 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 7 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 7 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 8 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 8 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 9 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 9 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 10 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 10 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 11 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 11 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 12 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 12 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 13 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 13 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 14 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 14 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 15 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 15 is a flow chart of a method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 16 - схема последовательности способа авторизации роли для АУ по еще одному варианту осуществления предлагаемого изобретения.Fig. 16 is a diagram of the sequence of the method for authorizing a role for an AU according to another embodiment of the proposed invention.

Фиг. 17 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 17 is a block diagram of a communication device according to one embodiment of the proposed invention.

Фиг. 18 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 18 is a block diagram of a communication device according to one embodiment of the proposed invention.

Фиг. 19 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 19 is a block diagram of a communication device according to one embodiment of the proposed invention.

Фиг. 20 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 20 is a block diagram of a communication device according to one embodiment of the proposed invention.

Фиг. 21a - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 21a is a block diagram of a communication device according to one embodiment of the present invention.

Фиг. 21b - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 21b is a block diagram of a communication device according to one embodiment of the present invention.

Фиг. 22 - блок-схема системы связи по одному из вариантов осуществления предлагаемого изобретения.Fig. 22 is a block diagram of a communication system according to one embodiment of the proposed invention.

Фиг. 23 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения.Fig. 23 is a block diagram of a communication device according to one embodiment of the proposed invention.

Фиг. 24 - блок-схема микросхемы по одному из вариантов осуществления предлагаемого изобретения.Fig. 24 is a block diagram of a microcircuit according to one embodiment of the proposed invention.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯIMPLEMENTATION OF THE INVENTION

[028] Далее на примере прилагаемых чертежей будут детально рассмотрены иллюстративные варианты осуществления. В нижеследующем описании речь идет о прилагаемых чертежах, при этом, если не указано иное, идентичные или аналогичные элементы на разных чертежах обозначены одними и теми же номерами позиций. Изложенные в нижеследующем описании иллюстративных вариантов осуществления случаи реализации не отражают все случаи реализации, соответствующие вариантам осуществления предлагаемого изобретения. Напротив, они являются не более чем примерами устройств и способов, относящихся к некоторым из аспектов вариантов осуществления предлагаемого изобретения, перечисленных в прилагаемой формуле изобретения.[028] Illustrative embodiments will now be described in detail using the accompanying drawings as an example. The following description refers to the accompanying drawings, and unless otherwise indicated, identical or similar elements in different drawings are designated by the same reference numerals. The illustrative embodiments described in the following description do not represent all embodiments corresponding to embodiments of the proposed invention. On the contrary, they are no more than examples of devices and methods related to some of the aspects of the embodiments of the proposed invention listed in the appended claims.

[029] Термины, используемые в вариантах осуществления предлагаемого изобретения, служат исключительно для описания частных вариантов осуществления, но не должны толковаться как ограничивающие варианты осуществления предлагаемого изобретения. Слова с неопределенным и определенным артиклями (англ. «a/an» и «the») в форме единственного числа в вариантах осуществления предлагаемого изобретения и прилагаемой формуле изобретения также подразумевают значения множественного числа, если иное явно не следует из контекста. Также следует понимать, что признак «и/или» в настоящем документе подразумевает наличие любых или всех возможных комбинаций перечисляемых объектов, которые он связывает.[029] The terms used in the embodiments of the present invention serve solely to describe particular embodiments, but should not be construed as limiting the embodiments of the present invention. The singular forms of the words "a/an" and "the" in the embodiments of the present invention and the appended claims also imply plural meanings, unless the context clearly dictates otherwise. It should also be understood that the "and/or" feature in this document implies the presence of any or all possible combinations of the listed objects that it links.

[030] Следует понимать, что такие признаки, как «первый», «второй» и «третий», которые могут использоваться в вариантах осуществления предлагаемого изобретения при описании ряда параметров, не ограничивают данные параметры. Эти признаки служат исключительно для того, чтобы отличать друг от друга однотипные параметры. Например, «первый параметр» также может именоваться «второй параметр», а «второй параметр» также может именоваться «первый параметр» без отступления от объема вариантов осуществления предлагаемого изобретения. Союз «если» в настоящем документе можно понимать в значениях «когда», «после того, как» или «если будет определено, что» в зависимости от контекста.[030] It should be understood that features such as "first," "second," and "third," which may be used in embodiments of the proposed invention when describing a number of parameters, do not limit these parameters. These features serve solely to distinguish parameters of the same type from each other. For example, a "first parameter" may also be referred to as a "second parameter," and a "second parameter" may also be referred to as a "first parameter" without departing from the scope of embodiments of the proposed invention. The conjunction "if" in this document may be understood to mean "when," "after," or "if it is determined that," depending on the context.

[031] Далее будут детально описаны варианты осуществления предлагаемого изобретения, примеры которых проиллюстрированы на прилагаемых чертежах, при этом идентичные или аналогичные элементы на всех чертежах обозначены идентичными или аналогичными номерами позиций. Описанные ниже варианты осуществления являются примерами, служащими для разъяснения предлагаемого изобретения, которые не следует толковать как ограничивающие предлагаемое изобретение.[031] Embodiments of the present invention will now be described in detail, examples of which are illustrated in the accompanying drawings, wherein identical or similar elements are designated by identical or similar reference numerals throughout the drawings. The embodiments described below are examples serving to explain the present invention, which should not be construed as limiting the present invention.

[032] Чтобы облегчить понимание, сперва будут разъяснены понятия, используемые в описании предлагаемого изобретения.[032] To facilitate understanding, the concepts used in the description of the proposed invention will first be explained.

[033] 1. Сетевой элемент управления унифицированными данными (UDM) - это сетевой элемент, обеспечивающий управление идентификационными данными абонентов, контрактными данными, аутентификационными данными, а также сетевой элемент управления регистрацией услуг для абонентов (в частности, сетевой элемент функции управления доступом и мобильностью (AMF-функции, от англ. access and mobility management function) или сетевой элемент функции управления сеансами (SMF-функции, от англ. session management), который в текущий момент оказывает услугу(-и) терминалу)). Например, когда абонент переключается на другую AMF-функцию, зону действия которой он намерен посетить, UDM запускает сообщение разрегистрации в адрес прежней AMF-функции, содержащее запрос к прежней AMF-функции удалить относящуюся к абоненту информацию).[033] 1. A unified data management (UDM) network element is a network element that provides management of subscriber identification data, contract data, authentication data, and service registration management network element for subscribers (in particular, an access and mobility management function (AMF) network element or a session management function (SMF) network element that is currently providing service(s) to a terminal). For example, when a subscriber switches to another AMF whose service area he or she intends to visit, the UDM issues a deregistration message to the old AMF containing a request to the old AMF to delete the subscriber-related information).

[034] Для создания более ясного представления о способе авторизации роли для АУ, раскрытом в вариантах осуществления предлагаемого изобретения, далее будет описана система связи, в которой могут найти применение варианты осуществления предлагаемого изобретения.[034] In order to provide a clearer understanding of the method for authorizing a role for an AU disclosed in the embodiments of the proposed invention, a communication system in which the embodiments of the proposed invention can be used will now be described.

[035] Рассмотрим Фиг. 1a - принципиальную схему архитектуры системы связи по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 1a, система связи может включать в себя, помимо прочего, одно сетевое устройство 13 и по меньшей мере два АУ (в частности, первое АУ 11 и второе АУ 12).[035] Let us consider Fig. 1a, a schematic diagram of the architecture of a communication system according to one embodiment of the proposed invention. As can be seen in Fig. 1a, the communication system may include, among other things, one network device 13 and at least two AUs (in particular, a first AU 11 and a second AU 12).

[036] Следует отметить, что технические решения по вариантам осуществления раскрываемого изобретения могут найти применение в различных системах связи, в частности - в системе связи стандарта «Долгосрочное развитие» (системе LTE, от англ. Long Term Evolution), в системе подвижной связи 5-го поколения (системе 5G, от англ. 5th Generation), в системе 5G «Новое радио» (системе NR, от англ. New Radio) или иных новых системах подвижной связи в будущем.[036] It should be noted that the technical solutions for the embodiments of the disclosed invention may find application in various communication systems, in particular in the Long Term Evolution (LTE) communication system, in the 5th generation mobile communication system (5G), in the 5G New Radio (NR) system or other new mobile communication systems in the future.

[037] Сетевым устройством 13 может быть, например, устройство сети доступа (в частности, базовая станция) и устройство базовой сети. Устройство базовой сети - это устройство, развернутое в базовой сети, а элемент базовой сети - это сетевой элемент, развернутый в базовой сети. Их функции состоят в обеспечении подключения абонентов, управления абонентами, размещении служб, а также в обеспечении сопряжения с внешней сетью в качестве сети доставки информации.[037] The network device 13 may be, for example, an access network device (in particular, a base station) and a core network device. A core network device is a device deployed in a core network, and a core network element is a network element deployed in a core network. Their functions consist of providing subscriber connection, subscriber management, service placement, and also providing interfacing with an external network as an information delivery network.

[038] Первое АУ11 и второе АУ12 в вариантах осуществления предлагаемого изобретения представляют собой объект на стороне абонента для приема или передачи сигналов, в частности, мобильный телефон. Оконечное устройство также может именоваться «терминал», «абонентское устройство» (АУ), «подвижная станция» (ПС) или «подвижный терминал» (ПТ). Оконечным устройством может быть устройство с функцией связи, в частности, автомобиль, смарт-автомобиль, мобильный телефон, носимое на теле устройство, планшетная ЭВМ, ЭВМ с функциями беспроводной передачи/приема, оконечное устройство виртуальной реальности (ВР), оконечное устройство дополненной реальности (ДР), беспроводное оконечное устройство в промышленной системе управления, беспроводное оконечное устройство в системе автоматического вождения, беспроводное оконечное устройство в системе дистанционной хирургии, беспроводное оконечное устройство в интеллектуальной сети электропередачи, беспроводное оконечное устройство в системе безопасности на транспорте, беспроводное оконечное устройство в системе «умный город», беспроводное оконечное устройство в системе «умный дом» и т.п. Варианты осуществления предлагаемого изобретения не ограничивают оконечное устройство какими-либо частными технологиями или видами.[038] The first AU11 and the second AU12 in the embodiments of the proposed invention represent an object on the subscriber side for receiving or transmitting signals, in particular a mobile telephone. The terminal device may also be called a "terminal", "subscriber unit" (SU), "mobile station" (MS) or "mobile terminal" (MT). The terminal device may be a device with a communication function, in particular, a car, a smart car, a mobile phone, a wearable device, a tablet computer, a computer with wireless transmission/reception functions, a virtual reality (VR) terminal device, an augmented reality (AR) terminal device, a wireless terminal device in an industrial control system, a wireless terminal device in an automatic driving system, a wireless terminal device in a remote surgery system, a wireless terminal device in a smart power grid, a wireless terminal device in a transport security system, a wireless terminal device in a smart city system, a wireless terminal device in a smart home system, etc. The embodiments of the proposed invention do not limit the terminal device to any particular technologies or types.

[039] Как можно видеть на Фиг. 1b, устройство базовой сети в системе связи может включать, например, сетевой элемент функции управления именами при прямом обнаружении (DDNMF-функции) / сетевой элемент функции управления ключами «ProSe» (PKMF-функции) первого АУ, сетевой элемент DDNMF-функции / сетевой элемент PKMF-функции второго АУ и сервер / сетевой элемент UDM.[039] As can be seen in Fig. 1b, the core network device in the communication system may include, for example, a direct discovery name management function (DDNMF) network element/ProSe key management function (PKMF) network element of the first AU, a DDNMF network element/PKMF network element of the second AU, and a UDM server/network element.

[040] Сетевой элемент DDNMF-функции / сетевой элемент PKMF-функции первого АУ и сетевой элемент DDNMF-функции / сетевой элемент PKMF-функции второго АУ могут быть одним и тем же или разными.[040] The DDNMF function network element/PKMF function network element of the first AU and the DDNMF function network element/PKMF function network element of the second AU may be the same or different.

[041] Следует понимать, что система связи в вариантах осуществления предлагаемого изобретения описана для того, чтобы нагляднее проиллюстрировать технические решения вариантов осуществления предлагаемого изобретения, но не для того, чтобы ограничить эти технические решения. Специалистам в данной области техники будет понятно, что технические решения по вариантам осуществления предлагаемого изобретения также смогут найти применение для решения схожих технических задач, которые будут возникать по мере развития архитектуры систем и появления новых сценариев обслуживания.[041] It should be understood that the communication system in the embodiments of the proposed invention is described in order to more clearly illustrate the technical solutions of the embodiments of the proposed invention, but not in order to limit these technical solutions. Those skilled in the art will understand that the technical solutions of the embodiments of the proposed invention can also find application in solving similar technical problems that will arise as the system architecture evolves and new service scenarios emerge.

[042] Далее с отсылкой к прилагаемым чертежам будут детально описаны способ/прибор/устройство авторизации роли для АУ и носитель данных по вариантам осуществления предлагаемого изобретения.[042] The method/device/device for authorizing a role for an AU and a data carrier according to embodiments of the proposed invention will now be described in detail with reference to the attached drawings.

[043] Следует отметить, что названия сообщений, речь о которых идет ниже (в том числе, «сообщение-запрос», «ответное сообщение» и т.п.) служат исключительно для удобства, но не ограничивают функцию сообщения.[043] It should be noted that the names of the messages discussed below (including “request message,” “response message,” etc.) are for convenience only and do not limit the function of the message.

[044] Фиг. 2a - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сетевым устройством. Как можно видеть на Фиг. 2a, способ авторизации роли для АУ может включать нижеследующие этапы.[044] Fig. 2a is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a network device. As can be seen in Fig. 2a, the method for authorizing a role for an AU may include the following steps.

[045] На этапе 201a принимают сообщение-запрос обнаружения, отправленное первым АУ и/или вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ.[045] At step 201a, a discovery request message sent by the first AU and/or the second AU is received, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU.

[046] В одном из вариантов осуществления предлагаемого изобретения сообщение-запрос обнаружения, отправленное первым АУ, содержит по меньшей мере один из: идентификатора пользователя приложения (идентификатора пользователя приложения определения дальности (RAUID, от англ. Ranging Application User ID)), соответствующего первому АУ; идентификатора услуги, запрашиваемой к обнаружению первым АУ; или способности первого АУ.[046] In one embodiment of the present invention, the discovery request message sent by the first AU contains at least one of: an application user identifier (RAUID) corresponding to the first AU; an identifier of a service requested to be discovered by the first AU; or a capability of the first AU.

[047] В одном из вариантов осуществления предлагаемого изобретения сообщение-запрос обнаружения, отправленное вторым АУ, содержит по меньшей мере одно из: RAUID, соответствующего второму АУ; услуги, запрашиваемой к обнаружению вторым АУ; или способности второго АУ.[047] In one embodiment of the proposed invention, a discovery request message sent by the second AU contains at least one of: a RAUID corresponding to the second AU; a service requested to be discovered by the second AU; or a capability of the second AU.

[048] RAUID служит для идентификации АУ, благодаря чему сетевое устройство может узнать, какое АУ отправляет сообщение-запрос обнаружения.[048] RAUID is used to identify the AU so that the network device can know which AU is sending the discovery request message.

[049] Услугой, запрашиваемой АУ к обнаружению, может быть, например, услуга определения дальности и/или услуга местоопределения по боковой линии связи.[049] The service requested by the AU to be detected may be, for example, a ranging service and/or a lateral link positioning service.

[050] Вышеупомянутой способностью АУ может быть, например, способность АУ поддерживать услугу определения дальности и/или способность АУ поддерживать услугу местоопределения по боковой линии. Если АУ имеет различные способности, АУ может поддерживать и исполнять различные роли. В число ролей АУ могут входить, например, опорное АУ (в частности, опорное АУ в SL), целевое АУ, вспомогательное АУ, обнаруживаемое АУ, выступающее в качестве сервера АУ (в частности, АУ-сервер местоопределения по SL), АУ-клиент (в частности, АУ-клиент местоопределения по SL) и определяющее дальность АУ. Вышеупомянутым целевым АУ может быть АУ, являющееся объектом местоопределения или измерения. Вышеупомянутым обнаруживаемым АУ может быть АУ, для которого требуется определить местоположение целевого АУ. Вышеупомянутым определяющим дальность АУ может быть АУ, запрашивающим получение расстояния определения дальности до целевого АУ. В зависимости от местоположения вышеупомянутого опорного АУ или расстояния между вышеупомянутым опорным АУ и целевым АУ, определяют местоположение или расстояние определения дальности целевого АУ. Вышеупомянутым вспомогательным АУ может быть АУ, содействующее в направлении сообщения(-й) в услуге определения дальности или услуге местоопределения по боковой линии связи. Вышеупомянутым выступающим в качестве сервера АУ может быть АУ, обладающее способностью к вычислению для местоопределения или способностью к вычислению для определения дальности. Вышеупомянутым АУ-клиентом может быть АУ, могущее выступать в качестве клиента в услуге определения дальности или услуге местоопределения по боковой линии связи.[050] The above-mentioned capability of the UE may be, for example, the capability of the UE to support a ranging service and/or the capability of the UE to support a lateral link positioning service. If the UE has various capabilities, the UE may support and perform various roles. The roles of the UE may include, for example, a reference UE (in particular, a reference UE in the SL), a target UE, an auxiliary UE, a discoverable UE acting as a UE server (in particular, an UE positioning server over the SL), a UE client (in particular, an UE positioning client over the SL), and a ranging UE. The above-mentioned target UE may be a UE that is an object of positioning or measurement. The above-mentioned discoverable UE may be a UE for which it is necessary to determine the location of the target UE. The above-mentioned ranging UE may be a UE requesting to obtain the ranging distance to the target UE. Depending on the location of the aforementioned reference AU or the distance between the aforementioned reference AU and the target AU, the location or ranging distance of the target AU is determined. The aforementioned auxiliary AU may be a AU that assists in forwarding messages in the ranging service or the lateral link positioning service. The aforementioned AU acting as a server may be a AU that has the capability of calculating for positioning or the capability of calculating for ranging. The aforementioned client AU may be a AU that can act as a client in the ranging service or the lateral link positioning service.

[051] С учетом вышесказанного, например, если АУ имеет способность к обработке данных (т.е. способность к вычислению данных), АУ может поддерживать исполнимую роль, в частности, роль выступающего в качестве сервера АУ. Если АУ не имеет способности к обработке данных, однако имеет способность к отправке и приему информации местоопределения и/или информации определения дальности, АУ может поддерживать такую роль АУ, как опорное АУ или целевое АУ.[051] Taking into account the above, for example, if the AU has the ability to process data (i.e., the ability to calculate data), the AU may support an executable role, in particular, the role of acting as a server of the AU. If the AU does not have the ability to process data, but has the ability to send and receive positioning information and/or ranging information, the AU may support such a role of the AU as a reference AU or a target AU.

[052] На этапе 202a: отправляют ответное сообщение обнаружения первому АУ и/или второму АУ, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ.[052] At step 202a: a discovery response message is sent to the first AU and/or the second AU, wherein the discovery response message comprises a role determined by the network device for the first AU and/or the second AU.

[053] Вышеупомянутой ролью АУ является роль, авторизованная сетевым устройством для данного АУ. Роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ. Контрактной информацией может быть договор оказания услуг и/или подписка АУ, при этом в контрактной информации зафиксированы роли, допустимые для каждого АУ, в услуге определения дальности и/или услуге местоопределения по боковой линии связи. Исходя из этого, когда сетевое устройство определяет роль согласно контрактной информации АУ, оно может удостовериться в том, что авторизованная роль, определенная для АУ, является допустимой ролью, тем самым обеспечивая корректную авторизацию роли для АУ, а также обеспечивая точность для АУ при исполнении услуги в зависимости от роли АУ.[053] The above-mentioned UE role is a role authorized by the network device for the given UE. The UE role can be determined by the network device based on the capability of the UE and the contract information of the UE. The contract information may be a service agreement and/or a UE subscription, and the contract information specifies the roles allowed for each UE in the ranging service and/or the lateral link positioning service. Based on this, when the network device determines the role according to the contract information of the UE, it can verify that the authorized role determined for the UE is a valid role, thereby ensuring the correct authorization of the role for the UE, and also ensuring the accuracy of the UE in executing the service depending on the UE role.

[054] Кроме того, в одном из вариантов осуществления предлагаемого изобретения, ответное сообщение обнаружения может дополнительно содержать средство защиты, сгенерированное сетевым устройством, для услуги, запрашиваемой к обнаружению первым АУ и/или вторым АУ. Средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению вторым АУ. Средство защиты служит для обеспечения защиты в последующем процессе обнаружения первым АУ второго АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ или несанкционированного изменения им роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, для ввода в заблуждение АУ - партнера (т.е. второго АУ) первого АУ, предотвращения вмешательства со стороны других посторонних АУ в последующем процессе исполнение услуги, а также повышения точности исполнения услуги и усиления защиты информации. Посторонним АУ может быть, например, АУ, запрашивающее услугу, отличную от услуги, запрашиваемой к обнаружению первым АУ и вторым АУ, АУ, не запрашивающее услугу, АУ, чья роль не авторизована сетевым устройством, АУ, не получившее средство защиты от сетевого устройства, и т.п.[054] Furthermore, in one embodiment of the proposed invention, the discovery response message may further comprise a security feature generated by the network device for the service requested to be discovered by the first AU and/or the second AU. The security feature corresponding to the service requested to be discovered by the first AU is identical to the security feature corresponding to the service requested to be discovered by the second AU. The security feature serves to ensure security in the subsequent process of discovery of the second AU by the first AU, to prevent an outside AU from tracking the role of the first AU or from unauthorizedly changing the role of the first AU when the first AU transfers the role of the first AU in the subsequent discovery process and, thereby, to prevent an outside AU from performing the role of the first AU, impersonating it, in order to mislead the partner AU (i.e. the second AU) of the first AU, to prevent interference by other outside AUs in the subsequent process of service execution, and to improve the accuracy of service execution and enhance information security. An outside AU may be, for example, an AU requesting a service different from the service requested for discovery by the first AU and the second AU, an AU not requesting a service, an AU whose role is not authorized by the network device, an AU that has not received a security measure from the network device, etc.

[055] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сетевое устройство принимает сообщение-запрос обнаружения, отправленное первым АУ и/или вторым АУ, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ. Сетевое устройство отправляет ответное сообщение обнаружения первому АУ и/или второму АУ, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[055] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a network device receives a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU. The network device sends a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU. From the above it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[056] Фиг. 2b - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сетевым устройством. Как можно видеть на Фиг. 2b, способ авторизации роли для АУ может включать нижеследующие этапы.[056] Fig. 2b is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a network device. As can be seen in Fig. 2b, the method for authorizing a role for an AU may include the following steps.

[057] На этапе 201b определяют роль первого АУ и/или второго АУ исходя из способности первого АУ и/или второго АУ и контрактной информации первого АУ и/или второго АУ, запомненной в сетевом устройстве.[057] At step 201b, the role of the first AU and/or the second AU is determined based on the capability of the first AU and/or the second AU and the contract information of the first AU and/or the second AU stored in the network device.

[058] Как раскрыто выше, в контрактной информации зафиксированы роли, допустимые для индивидуальных АУ в услуге определения дальности и/или услуге местоопределения по боковой линии связи. Исходя из этого, сетевое устройство может определять роли, допустимые для одного АУ в услуге определения дальности и/или услуге местоопределения по боковой линии связи, путем поиска контрактной информации, и определять, с учетом способности АУ, роль АУ из допустимых для АУ ролей, причем способность АУ обеспечивает возможность исполнения определенной таким образом роли.[058] As disclosed above, the contract information specifies the roles that are allowed for individual AUs in the ranging service and/or the lateral link positioning service. Based on this, the network device can determine the roles that are allowed for one AU in the ranging service and/or the lateral link positioning service by searching the contract information, and determine, taking into account the capability of the AU, the role of the AU from the roles that are allowed for the AU, wherein the capability of the AU ensures the ability to perform the role thus determined.

[059] С учетом вышесказанного, способ определения сетевым устройством роли первого АУ приведен в качестве примера, при этом способ определения роли второго АУ является аналогичным.[059] Taking into account the above, the method for determining the role of the first AU by the network device is given as an example, while the method for determining the role of the second AU is similar.

[060] В частности, например, если услугой, запрашиваемой к обнаружению данными двумя АУ, является услуга определения дальности, сетевое устройство может узнать, из протокола услуги, по идентификатору первого АУ то, что ролями, допустимыми для первого АУ в услуге определения дальности, являются целевое АУ и АУ-сервер, и/или сетевое устройство может по идентификатору первого АУ определить одну или несколько подписок первого АУ и узнать из этих одной или нескольких подписок первого АУ, что ролями, допустимыми для первого АУ в услуге местоопределения по боковой линии связи, являются целевое АУ и АУ-сервер. В таком случае, если сетевое устройство определит, что ролями, поддерживаемыми первым АУ в услуге определения дальности, являются целевое АУ и обнаруживаемое АУ, исходя из способности первого АУ, сетевое устройство может авторизовать для первого АУ роль целевого АУ.[060] In particular, for example, if the service requested to be discovered by these two AUs is a ranging service, the network device may learn, from the service protocol, from the identifier of the first AU that the roles allowed for the first AU in the ranging service are the target AU and the AU server, and/or the network device may determine, from the identifier of the first AU, one or more subscriptions of the first AU and learn from these one or more subscriptions of the first AU that the roles allowed for the first AU in the sidelink positioning service are the target AU and the AU server. In this case, if the network device determines that the roles supported by the first AU in the ranging service are the target AU and the discovered AU, based on the capability of the first AU, the network device may authorize the role of the target AU for the first AU.

[061] Также следует отметить, что в одном из вариантов осуществления предлагаемого изобретения, если способности первого АУ поддерживают множество ролей из числа ролей, допустимых для первого АУ, сетевое устройство может определить все из данного множества ролей в качестве ролей первого АУ, то есть первое АУ может иметь множество ролей.[061] It should also be noted that in one embodiment of the proposed invention, if the capabilities of the first AU support a plurality of roles from among the roles allowed for the first AU, the network device can define all of this plurality of roles as roles of the first AU, that is, the first AU can have a plurality of roles.

[062] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сетевое устройство принимает сообщение-запрос обнаружения, отправленное первым АУ и/или вторым АУ, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ. Сетевое устройство отправляет ответное сообщение обнаружения первому АУ и/или второму АУ, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[062] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a network device receives a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU. The network device sends a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU. From the above it follows that the invention proposes a method for authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[063] Фиг. 2c - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется первым АУ. Как можно видеть на Фиг. 2c, способ авторизации роли для АУ может включать нижеследующие этапы.[063] Fig. 2c is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by the first AU. As can be seen in Fig. 2c, the method for authorizing a role for an AU may include the following steps.

[064] На этапе 201c отправляют сообщение-запрос обнаружения сетевому устройству. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ.[064] At step 201c, a discovery request message is sent to the network device. The discovery request message is used to request an authorized role for the first AU.

[065] На этапе 202c принимают ответное сообщение обнаружения, отправленное сетевым устройством. Ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ.[065] At step 202c, a discovery response message sent by the network device is received. The discovery response message contains a role defined by the network device for the first AU.

[066] Детальное описание этапов 201c - 202c можно найти в описании раскрытых выше вариантов осуществления.[066] A detailed description of steps 201c - 202c can be found in the description of the embodiments disclosed above.

[067] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, первое АУ может отправлять сообщение-запрос обнаружения сетевому устройству. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ. Первое АУ может принимать ответное сообщение обнаружения, отправленное сетевым устройством. Ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[067] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a first AU may send a discovery request message to a network device. The discovery request message serves to request an authorized role for the first AU. The first AU may receive a discovery response message sent by the network device. The discovery response message contains a role determined by the network device for the first AU. From the above, it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the AU role may be determined by the network device based on the AU capability and the AU contract information in order to ensure correct authorization of the role for the AU and to ensure the accuracy of service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[068] Фиг. 2d - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется первым АУ. Как можно видеть на Фиг. 2d, способ авторизации роли для АУ может включать нижеследующие этапы.[068] Fig. 2d is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by the first AU. As can be seen in Fig. 2d, the method for authorizing a role for an AU may include the following steps.

[069] На этапе 201d осуществляют широковещательную передачу первого сообщения обнаружения. Первое сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение обнаружения содержит роль первого АУ.[069] At step 201d, a first discovery message is broadcast. The first discovery message is protected by a security mechanism corresponding to the service requested to be discovered by the first AU, wherein the first discovery message contains the role of the first AU.

[070] В одном из вариантов осуществления предлагаемого изобретения первое АУ будет осуществлять широковещательную передачу первого сообщения обнаружения, защищенного средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ. Исходя из того, что средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению первым АУ, второе АУ может использовать идентичное средство защиты для успешной верификации первого сообщения обнаружения, широковещательно передаваемого первым АУ и, как следствие, успешного обнаружения друг друга с первым АУ. Затем второе АУ может проверить, соотносится ли роль второго АУ с ролью первого АУ, чтобы впоследствии удостовериться в том, что соединение установлено с первым АУ.[070] In one embodiment of the proposed invention, the first UE will broadcast a first discovery message protected by a security mechanism corresponding to the service requested to be discovered by the first UE. Based on the fact that the security mechanism corresponding to the service requested to be discovered by the second UE is identical to the security mechanism corresponding to the service requested to be discovered by the first UE, the second UE can use the identical security mechanism to successfully verify the first discovery message broadcast by the first UE and, as a result, successfully discover each other with the first UE. The second UE can then check whether the role of the second UE matches the role of the first UE in order to subsequently verify that the connection is established with the first UE.

[071] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, первое АУ будет отправлять сообщение-запрос обнаружения сетевому устройству, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ. Затем первое АУ будет принимать ответное сообщение обнаружения, отправленное сетевым устройством, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[071] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a first AU will send a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for the first AU. Then, the first AU will receive a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the first AU. From the above, it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[072] Фиг. 2e - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется первым АУ. Как можно видеть на Фиг. 2e, способ авторизации роли для АУ может включать нижеследующие этапы.[072] Fig. 2e is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by the first AU. As can be seen in Fig. 2e, the method for authorizing a role for an AU may include the following steps.

[073] На этапе 201e принимают второе сообщение обнаружения, широковещательно передаваемое вторым АУ. Второе сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению вторым АУ, при этом второе сообщение обнаружения содержит роль второго АУ.[073] At step 201e, a second discovery message broadcast by a second AU is received. The second discovery message is protected by a security mechanism corresponding to the service requested to be discovered by the second AU, wherein the second discovery message contains a role for the second AU.

[074] На этапе 202e декодируют и верифицируют второе сообщение обнаружения и, в случае успешной верификации, определяют, соотносится ли роль второго АУ с ролью первого АУ.[074] At step 202e, the second discovery message is decoded and verified and, if the verification is successful, it is determined whether the role of the second AU is related to the role of the first AU.

[075] Средство защиты может служить для верификации второго сообщения обнаружения, при этом применяется принцип, описанный в раскрытых выше вариантах осуществления.[075] The security means may serve to verify the second discovery message, using the principle described in the embodiments disclosed above.

[076] Кроме того, следует отметить, что в случае, когда услуга, запрашиваемая к обнаружению вторым АУ, является той же, что и услуга, запрашиваемая к обнаружению первым АУ, если роль первого АУ соотносится с ролью второго АУ, это указывает на то, что первое АУ и второе АУ способны к исполнению услуги, запрашиваемой данными двумя АУ. Исходя из этого, после того, как первое АУ декодирует и верифицирует второе сообщение обнаружения, оно может определить, соотносится ли роль первого АУ с ролью второго АУ, чтобы узнать, могут ли первое АУ и второе АУ исполнить услугу, запрашиваемую данными двумя АУ. Если услуга будет исполнена, данные два АУ могут выполнить процесс обнаружения, чтобы установить соединение. Если услуга не может быть исполнена, процесс обнаружения пропускают.[076] Furthermore, it should be noted that in the case where the service requested for discovery by the second UE is the same as the service requested for discovery by the first UE, if the role of the first UE is matched with the role of the second UE, this indicates that the first UE and the second UE are capable of performing the service requested by these two UEs. Based on this, after the first UE decodes and verifies the second discovery message, it can determine whether the role of the first UE is matched with the role of the second UE, to find out whether the first UE and the second UE can perform the service requested by these two UEs. If the service is performed, these two UEs can perform the discovery process to establish a connection. If the service cannot be performed, the discovery process is skipped.

[077] Кроме того, в одном из вариантов осуществления предлагаемого изобретения вышеупомянутая роль первого АУ соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ, что может означать то, что первое АУ и второе АУ в своих ролях сотрудничают друг с другом для исполнения услуги, запрашиваемой к обнаружению данными двумя АУ. Для услуги определения дальности, двумя ролями, в которых АУ могут сотрудничать друг с другом для исполнения услуги определения дальности, обычно являются целевое АУ и опорное АУ. Для услуги местоопределения по боковой линии связи, двумя ролями, в которых АУ могут сотрудничать друг с другом для исполнения услуги местоопределения по боковой линии связи, обычно являются обнаруживаемое АУ и целевое АУ. Таким образом, когда услугой, запрашиваемой к обнаружению данными двумя АУ, является услуга 1 определения дальности, если ролью первого АУ является целевое АУ, а ролью второго АУ является опорное АУ, это указывает на то, что роль первого АУ соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[077] Furthermore, in one embodiment of the proposed invention, the above-mentioned role of the first UE is related to the role of the second UE in the service requested to be discovered by these two UEs, which may mean that the first UE and the second UE in their roles cooperate with each other to perform the service requested to be discovered by these two UEs. For the ranging service, the two roles in which the UEs can cooperate with each other to perform the ranging service are typically the target UE and the reference UE. For the sidelink positioning service, the two roles in which the UEs can cooperate with each other to perform the sidelink positioning service are typically the discovered UE and the target UE. Thus, when the service requested to be discovered by these two AUs is the ranging service 1, if the role of the first AU is the target AU and the role of the second AU is the reference AU, this indicates that the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs.

[078] В другом варианте осуществления предлагаемого изобретения роль первого АУ не соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ. Это может означать, что первое АУ и второе АУ в своих ролях не могут сотрудничать друг с другом для исполнения услуги, запрашиваемой данными двумя АУ. Например, если услугой, запрашиваемой к обнаружению данными двумя АУ, является услуга 1 определения дальности, ролью первого АУ является целевое АУ, при этом ролью второго АУ также является целевое АУ, это указывает на то, что роль первого АУ не соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[078] In another embodiment of the proposed invention, the role of the first AU does not correlate with the role of the second AU in the service requested to be discovered by these two AUs. This may mean that the first AU and the second AU in their roles cannot cooperate with each other to perform the service requested by these two AUs. For example, if the service requested to be discovered by these two AUs is the ranging service 1, the role of the first AU is the target AU, and the role of the second AU is also the target AU, this indicates that the role of the first AU does not correlate with the role of the second AU in the service requested to be discovered by these two AUs.

[079] На этапе 203e отправляют первое сообщение-ответ второму АУ в случае, когда роль первого АУ соотносится с ролью второго АУ. Первое сообщение-ответ защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение-ответ содержит роль первого АУ.[079] At step 203e, a first response message is sent to a second AU in the case where the role of the first AU is related to the role of the second AU. The first response message is protected by a security mechanism corresponding to the service requested to be discovered by the first AU, wherein the first response message contains the role of the first AU.

[080] Раскрытые выше этапы 201e-203e составляют процесс обнаружения первого АУ и второго АУ. После того, как данные два АУ обнаружат друг друга, они могут установить соединение для реализации услуги.[080] The steps 201e-203e disclosed above constitute a process of discovering a first AU and a second AU. After these two AUs discover each other, they can establish a connection to implement a service.

[081] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, первое АУ отправляет сообщение-запрос обнаружения сетевому устройству, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ. Затем первое АУ принимает ответное сообщение обнаружения, отправленное сетевым устройством, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[081] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a first AU sends a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for the first AU. Then, the first AU receives a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the first AU. From the above, it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[082] Фиг. 2f - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется вторым АУ. Как можно видеть на Фиг. 2f, способ авторизации роли для АУ может включать нижеследующие этапы.[082] Fig. 2f is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a second AU. As can be seen in Fig. 2f, the method for authorizing a role for an AU may include the following steps.

[083] На этапе 201f отправляют сообщение-запрос обнаружения сетевому устройству. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ.[083] At step 201f, a discovery request message is sent to the network device. The discovery request message is used to request an authorized role for the second AU.

[084] На этапе 202f принимают ответное сообщение обнаружения, отправленное сетевым устройством. Ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ.[084] At step 202f, a discovery response message sent by the network device is received. The discovery response message contains a role defined by the network device for the second AU.

[085] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, второе АУ может отправлять сообщение-запрос обнаружения сетевому устройству. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ. Второе АУ может принимать ответное сообщение обнаружения, отправленное сетевым устройством. Ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[085] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a second AU may send a discovery request message to a network device. The discovery request message serves to request an authorized role for the second AU. The second AU may receive a discovery response message sent by the network device. The discovery response message contains a role determined by the network device for the second AU. From the above, it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the AU role may be determined by the network device based on the AU capability and the AU contract information in order to ensure correct authorization of the role for the AU and to ensure the accuracy of service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[086] Фиг. 2g - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется вторым АУ. Как можно видеть на Фиг. 2g, способ авторизации роли для АУ может включать нижеследующие этапы.[086] Fig. 2g is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a second AU. As can be seen in Fig. 2g, the method for authorizing a role for an AU may include the following steps.

[087] На этапе 201g принимают первое сообщение обнаружения, широковещательно передаваемое первым АУ. Первое сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение обнаружения содержит роль первого АУ.[087] At step 201g, a first discovery message broadcast by a first AU is received. The first discovery message is protected by a security mechanism corresponding to the service requested to be discovered by the first AU, wherein the first discovery message contains the role of the first AU.

[088] На этапе 202g декодируют и верифицируют первое сообщение обнаружения и, в случае успешной верификации, определяют, соотносится ли роль второго АУ с ролью первого АУ.[088] At step 202g, the first discovery message is decoded and verified and, if the verification is successful, it is determined whether the role of the second AU is related to the role of the first AU.

[089] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, второе АУ отправляет сообщение-запрос обнаружения сетевому устройству, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ. Затем второе АУ принимает ответное сообщение обнаружения, отправленное сетевым устройством, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[089] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a second AU sends a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for the second AU. Then, the second AU receives a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the second AU. From the above, it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[090] Фиг. 2h - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется вторым АУ. Как можно видеть на Фиг. 2h, способ авторизации роли для АУ может включать нижеследующие этапы.[090] Fig. 2h is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a second AU. As can be seen in Fig. 2h, the method for authorizing a role for an AU may include the following steps.

[091] На этапе 201h осуществляют широковещательную передачу второго сообщения обнаружения. Второе сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению вторым АУ, при этом второе сообщение обнаружения содержит роль второго АУ.[091] At step 201h, a second discovery message is broadcast. The second discovery message is protected by a security mechanism corresponding to the service requested to be discovered by the second AU, wherein the second discovery message contains the role of the second AU.

[092] На этапе 202h принимают первое сообщение-ответ, отправленное первым АУ. Первое сообщение-ответ защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение-ответ содержит роль первого АУ.[092] At step 202h, a first response message sent by the first AU is received. The first response message is protected by a security mechanism corresponding to the service requested to be discovered by the first AU, wherein the first response message contains the role of the first AU.

[093] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, второе АУ будет отправлять сообщение-запрос обнаружения сетевому устройству, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ. Затем второе АУ будет принимать ответное сообщение обнаружения, отправленное сетевым устройством, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[093] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, a second AU will send a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for the second AU. Then, the second AU will receive a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the second AU. From the above, it follows that the invention proposes a method of authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[094] Кроме того, в одном из вариантов осуществления предлагаемого изобретения, вышеупомянутое сетевое устройство включает: первый сетевой элемент, второй сетевой элемент и третий сетевой элемент. Первый сетевой элемент представляет собой сетевой элемент функции управления именами при прямом обнаружении (DDNMF-функции) или сетевой элемент функции управления ключами услуги определения близости (PKMF-функции) первого АУ. Второй сетевой элемент представляет собой сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ. Третий сетевой элемент представляет собой сервер услуги определения близости или сетевой элемент управления унифицированными данными (UDM). Исходя из этого, далее описаны частные случае этапов для взаимодействий между первым сетевым элементом, вторым сетевым элементом, третьим сетевым элементом, первым АУ и вторым АУ.[094] Furthermore, in one embodiment of the proposed invention, the above-mentioned network device includes: a first network element, a second network element, and a third network element. The first network element is a direct discovery name management function (DDNMF) network element or a key management function (PKMF) network element of the first AC. The second network element is a DDNMF network element or a PKMF network element of the second AC. The third network element is a proximity service server or a unified data management (UDM) network element. Based on this, particular cases of steps for interactions between the first network element, the second network element, the third network element, the first AC, and the second AC are described below.

[095] Фиг. 2i - последовательность взаимодействий в ходе выполнения способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ авторизации роли для АУ может включать нижеследующие этапы.[095] Fig. 2i is a sequence of interactions during the execution of a method for authorizing a role for an AU according to one embodiment of the present invention. The method for authorizing a role for an AU may include the following steps.

[096] На этапе 201i первый сетевой элемент принимает сообщение-запрос обнаружения, отправленное первым АУ.[096] At step 201i, the first network element receives a discovery request message sent by the first AU.

[097] На этапе 202i первый сетевой элемент отправляет первое сообщение-запрос авторизации третьему сетевому элементу.[097] At step 202i, the first network element sends a first authorization request message to the third network element.

[098] На этапе 203i третий сетевой элемент отправляет первое авторизационное сообщение-ответ первому сетевому элементу, причем первое авторизационное сообщение-ответ содержит роль первого АУ, определенную третьим сетевым элементом.[098] At step 203i, the third network element sends a first authorization response message to the first network element, wherein the first authorization response message comprises a role of the first AU determined by the third network element.

[099] На этапе 204i первый сетевой элемент отправляет ответное сообщение обнаружения первому АУ.[099] At step 204i, the first network element sends a discovery response message to the first AU.

[0100] Раскрытые выше этапы будет детально описаны в нижеследующих вариантах осуществления.[0100] The above-disclosed steps will be described in detail in the following embodiments.

[0101] Таким образом, в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0101] Thus, the invention provides a method for authorizing a role for a UE in a service requested by the UE to be discovered, wherein the role of the UE can be determined by a network device based on the capability of the UE and the contract information of the UE in order to ensure correct authorization of the role for the UE, as well as to ensure the accuracy of the service execution. In addition, a security tool corresponding to the service requested by the UE to be discovered is sent to the subscriber device, wherein the security tool can serve to ensure protection during the subsequent process of discovery of another UE by the subscriber device, to prevent the possibility of tracking the role of this UE by an outside UE or an unauthorized change by it of the role of this UE when this UE transmits its role in the subsequent discovery process and, thereby, to prevent an outside UE from performing the role of this UE, impersonating it, preventing interference from an outside UE during the subsequent process of service execution, improving the accuracy of service execution and strengthening the security of information.

[0102] Фиг. 2j - последовательность взаимодействий в ходе выполнения способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ авторизации роли для АУ может включать нижеследующие этапы.[0102] Fig. 2j is a sequence of interactions during the execution of a method for authorizing a role for an AU according to one embodiment of the proposed invention. The method for authorizing a role for an AU may include the following steps.

[0103] На этапе 201j второй сетевой элемент принимает сообщение-запрос обнаружения, отправленное вторым АУ.[0103] At step 201j, the second network element receives a discovery request message sent by the second AU.

[0104] На этапе 202j второй сетевой элемент отправляет первое сообщение-запрос авторизации третьему сетевому элементу.[0104] At step 202j, the second network element sends a first authorization request message to the third network element.

[0105] На этапе 203j третий сетевой элемент отправляет первое авторизационное сообщение-ответ второму сетевому элементу, причем первое авторизационное сообщение-ответ содержит роль второго АУ, определенную третьим сетевым элементом.[0105] At step 203j, the third network element sends a first authorization response message to the second network element, wherein the first authorization response message contains a role of the second AU determined by the third network element.

[0106] На этапе 204j второй сетевой элемент отправляет ответное сообщение обнаружения второму АУ.[0106] At step 204j, the second network element sends a discovery response message to the second AU.

[0107] Раскрытые выше этапы будет детально описаны в нижеследующих вариантах осуществления.[0107] The above-disclosed steps will be described in detail in the following embodiments.

[0108] Таким образом, в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0108] Thus, the invention provides a method for authorizing a role for a UE in a service requested by a UE to be discovered, wherein the role of the UE can be determined by a network device based on the capability of the UE and the contract information of the UE in order to ensure correct authorization of the role for the UE, as well as to ensure the accuracy of the service execution. In addition, a security tool corresponding to the service requested by the UE to be discovered is sent to the subscriber device, wherein the security tool can serve to ensure protection during the subsequent process of discovery of another UE by the subscriber device, to prevent the possibility of tracking the role of this UE by an outside UE or an unauthorized change by it of the role of this UE when this UE transmits its role in the subsequent discovery process and, thereby, to prevent an outside UE from performing the role of this UE, impersonating it, preventing interference from an outside UE during the subsequent process of service execution, increasing the accuracy of service execution and strengthening the security of information.

[0109] Фиг. 2k - последовательность взаимодействий в ходе выполнения способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ авторизации роли для АУ может включать нижеследующие этапы.[0109] Fig. 2k is a sequence of interactions during the execution of a method for authorizing a role for an AU according to one embodiment of the proposed invention. The method for authorizing a role for an AU may include the following steps.

[0110] На этапе 201k второй сетевой элемент отправляет контрольное сообщение-запрос первому сетевому элементу. Контрольное сообщение-запрос содержит роль второго АУ, при этом контрольное сообщение-запрос служит для запрашивания определения того, соотносится ли роль второго АУ с ролью первого АУ.[0110] In step 201k, the second network element sends a control request message to the first network element. The control request message contains a role of the second AU, wherein the control request message serves to request a determination of whether the role of the second AU is related to the role of the first AU.

[0111] На этапе 202k первый сетевой элемент отправляет второе сообщение-запрос авторизации третьему сетевому элементу. Второе авторизационное сообщение-ответ содержит роль первого АУ и роль второго АУ.[0111] At step 202k, the first network element sends a second authorization request message to the third network element. The second authorization response message contains the role of the first AU and the role of the second AU.

[0112] На этапе 203k третий сетевой элемент определяет, соотносится ли роль второго АУ с ролью первого АУ, и отправляет второе авторизационное сообщение-ответ первому сетевому элементу. Второе авторизационное сообщение-ответ служит для указания того, соотносится ли роль первого АУ с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[0112] In step 203k, the third network element determines whether the role of the second AU is related to the role of the first AU, and sends a second authorization response message to the first network element. The second authorization response message serves to indicate whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs.

[0113] На этапе 204k, в случае, когда роль первого АУ соотносится с ролью второго АУ, первый сетевой элемент отправляет средство защиты, сгенерированное в зависимости от услуги, запрашиваемой к обнаружению вторым АУ, второму сетевому элементу.[0113] In step 204k, in the case where the role of the first AU is related to the role of the second AU, the first network element sends a security means generated depending on the service requested to be discovered by the second AU to the second network element.

[0114] На этапе 205k второе сетевое устройство отправляет сгенерированный средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, второму АУ.[0114] At step 205k, the second network device sends the generated security means corresponding to the service requested to be discovered by the second AU to the second AU.

[0115] Раскрытые выше этапы будет детально описаны в нижеследующих вариантах осуществления.[0115] The above-disclosed steps will be described in detail in the following embodiments.

[0116] Таким образом, в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0116] Thus, the invention provides a method for authorizing a role for a UE in a service requested by a UE to be discovered, wherein the role of the UE can be determined by a network device based on the capability of the UE and the contract information of the UE in order to ensure correct authorization of the role for the UE, as well as to ensure the accuracy of the service execution. In addition, a security tool corresponding to the service requested by the UE to be discovered is sent to the subscriber device, wherein the security tool can serve to ensure protection during the subsequent process of discovery of another UE by the subscriber device, to prevent the possibility of tracking the role of this UE by an outside UE or an unauthorized change by it of the role of this UE when this UE transmits its role in the subsequent discovery process and, thereby, to prevent an outside UE from performing the role of this UE, impersonating it, preventing interference from an outside UE during the subsequent process of service execution, improving the accuracy of service execution and strengthening the security of information.

[0117] Кроме того, раскрытый выше способ авторизации роли для АУ описан применительно к сетевому устройству, первому АУ и второму АУ. При этом из вышесказанного следует, что сетевое устройство может содержать сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ и третий сетевой элемент, представляющий собой сервер услуги определения близости или сетевой элемент UDM. Исходя из этого, предлагаемый способ будет далее описан применительно к каждому из сетевого элемента DDNMF-функции или сетевого элемента PKMF-функции первого АУ, сетевого элемента DDNMF-функции или сетевого элемента PKMF-функции второго АУ, сервера или сетевой элемент UDM, а также в контексте взаимодействия первого АУ с сетевым элементом DDNMF-функции / сетевым элементом PKMF-функции и взаимодействия второго АУ с сетевым элементом DDNMF-функции / сетевым элемент PKMF-функции выполнения способа авторизации роли для АУ.[0117] Furthermore, the above-disclosed method for authorizing a role for an AU is described in relation to a network device, a first AU, and a second AU. It follows from the above that the network device may comprise a DDNMF function network element or a PKMF function network element of the first AU, a DDNMF function network element or a PKMF function network element of the second AU, and a third network element, which is a proximity determination service server or a UDM network element. Based on this, the proposed method will be further described in relation to each of the DDNMF function network element or the PKMF function network element of the first AU, the DDNMF function network element or the PKMF function network element of the second AU, the UDM server or network element, as well as in the context of the interaction of the first AU with the DDNMF function network element / PKMF function network element and the interaction of the second AU with the DDNMF function network element / PKMF function network element of the execution of the role authorization method for the AU.

[0118] Фиг. 2L - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Как можно видеть на Фиг. 2, способ авторизации роли для АУ может включать нижеследующие этапы.[0118] Fig. 2L is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a network element of the DDNMF function or a network element of the PKMF function of the first AU. As can be seen in Fig. 2, the method for authorizing a role for an AU may include the following steps.

[0119] На этапе 201L принимают сообщение-запрос обнаружения, отправленное первым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ.[0119] At step 201L, a discovery request message sent by the first AU is received. The discovery request message is used to request an authorized role in the service requested to be discovered by the first AU.

[0120] В одном из вариантов осуществления предлагаемого изобретения,[0120] In one embodiment of the present invention,

[0121] На этапе 202L отправляют первое сообщение-запрос авторизации серверу или сетевому элементу управления унифицированными данными (UDM) согласно сообщению-запросу обнаружения.[0121] At step 202L, a first authorization request message is sent to a server or a unified data management (UDM) network element according to the discovery request message.

[0122] В частности, в одном из вариантов осуществления предлагаемого изобретения на этапе, на котором отправляют первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения: преобразуют идентификатор пользователя приложения определения дальности (RAUID), соответствующий первому АУ, в первый идентификатор, который может быть распознан сервером или сетевым элементом UDM, причем первый идентификатор служит для указания первого АУ; и отправляют первое сообщение-запрос авторизации, содержащее по меньшей мере одно из первого идентификатора, услуги, запрашиваемой к обнаружению первым АУ, и способности первого АУ, серверу или сетевому элементу UDM.[0122] In particular, in one embodiment of the proposed invention, at the step of sending a first authorization request message to the UDM server or network element according to the discovery request message: converting a ranging application user identifier (RAUID) corresponding to a first AU into a first identifier that can be recognized by the UDM server or network element, wherein the first identifier serves to indicate the first AU; and sending a first authorization request message containing at least one of the first identifier, the service requested to be discovered by the first AU, and the capability of the first AU, to the UDM server or network element.

[0123] Кроме того, в одном из вариантов осуществления предлагаемого изобретения, сервером может быть, например, сервер определения дальности или местоопределения по боковой линии связи.[0123] Furthermore, in one embodiment of the present invention, the server may be, for example, a range or position determination server over a lateral communication link.

[0124] На этапе 203L принимают первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM.[0124] At step 203L, a first authorization response message sent by the UDM server or network element is received. The first authorization response message contains the role of the first AU determined by the UDM server or network element.

[0125] Например, роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и роли(-ям), допустимой(-ым) для первого АУ в услуге, запрашиваемой к обнаружению первым АУ. В частности, ролью первого АУ может быть, например, роль из числа одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, определенная исходя из способности первого АУ. Например, если первое АУ имеет способность поддерживать роли целевого АУ и АУ-сервера, ролью, допустимой для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, является целевое АУ, и в этом случае, ролью первого АУ является целевое АУ. Детальная вводная информация о том, как сервер или сетевой элемент UDM определяет роль первого АУ на данном этапе, будет приведена в нижеследующих примерах реализации сервера или сетевого элемента UDM.[0125] For example, the role of the first AU may be determined by the UDM server or network element based on the capability of the first AU and the role(s) allowed for the first AU in the service requested to be discovered by the first AU. In particular, the role of the first AU may be, for example, a role from among one or more roles allowed for the first AU in the service requested to be discovered by the first AU, determined based on the capability of the first AU. For example, if the first AU has the capability to support the roles of the target AU and the AU server, the role allowed for the first AU in the service requested to be discovered by the first AU is the target AU, and in this case, the role of the first AU is the target AU. Detailed introductory information on how the UDM server or network element determines the role of the first AU at this stage will be given in the following examples of the implementation of the UDM server or network element.

[0126] Следует отметить, что, в одном из вариантов осуществления предлагаемого изобретения, когда сервер или сетевой элемент UDM не может определить роль первого АУ исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ (т.е. в число одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, не входит роль, поддерживаемая способностью первого АУ), первое авторизационное сообщение-ответ может служить для указания сбоя авторизации и/или причины сбоя авторизации сервером или сетевым элементом UDM.[0126] It should be noted that, in one embodiment of the proposed invention, when the server or the UDM network element cannot determine the role of the first AU based on the capability of the first AU and one or more roles allowed for the first AU in the service requested to be discovered by the first AU (i.e., the one or more roles allowed for the first AU in the service requested to be discovered by the first AU does not include a role supported by the capability of the first AU), the first authorization response message may serve to indicate an authorization failure and/or the reason for the authorization failure by the server or the UDM network element.

[0127] На этапе 204L отправляют ответное сообщение обнаружения первому АУ. Ответное сообщение обнаружения содержит роль первого АУ.[0127] At step 204L, a discovery response message is sent to the first AU. The discovery response message contains the role of the first AU.

[0128] В одном из вариантов осуществления предлагаемого изобретения ответное сообщение обнаружения может дополнительно содержать средство защиты (т.е. средство защиты при обнаружении), сгенерированное сетевым элементом DDNMF-функции первого АУ или сетевым элементом PKMF-функции первого АУ для услуги, запрашиваемой к обнаружению первым АУ. Средство защиты служит для обеспечения защиты в последующем процессе обнаружения других АУ, выполняемом первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ или несанкционированного изменения им роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, для ввода в заблуждение АУ - партнера АУ первого АУ, предотвращения вмешательства со стороны других посторонних АУ в последующем процессе исполнение услуги, а также повышения точности исполнения услуги и усиления защиты информации.[0128] In one embodiment of the proposed invention, the discovery response message may further comprise a security feature (i.e., a discovery security feature) generated by the network element of the DDNMF function of the first AU or the network element of the PKMF function of the first AU for the service requested to be discovered by the first AU. The security feature serves to ensure security in the subsequent process of discovering other AUs performed by the first AU, to prevent an outside AU from tracking the role of the first AU or from unauthorizedly changing the role of the first AU when the first AU transfers the role of the first AU in the subsequent discovery process and, thereby, to prevent an outside AU from performing the role of the first AU, impersonating it, in order to mislead the AU - the partner AU of the AU of the first AU, to prevent interference from other outside AUs in the subsequent process of executing the service, as well as to improve the accuracy of executing the service and to strengthen the security of the information.

[0129] Кроме того, в одном из вариантов осуществления предлагаемого изобретения, когда сетевой элемент DDNMF-функции первого АУ или сетевой элемент PKMF-функции первого АУ примет роль первого АУ, сетевой элемент DDNMF-функции первого АУ или сетевой элемент PKMF-функции первого АУ дополнительно определит код приложения, соответствующий услуге, которая должна быть исполнена первым АУ, включит код приложения, соответствующий услуге, которая должна быть исполнена первым АУ, в ответное сообщение обнаружения и отправит его первому АУ. Первое АУ может использовать данный код приложения для обнаружения других АУ, исполняющих ту же услугу, что и первое АУ, по данному коду приложения.[0129] Furthermore, in one embodiment of the proposed invention, when the DDNMF function network element of the first AU or the PKMF function network element of the first AU assumes the role of the first AU, the DDNMF function network element of the first AU or the PKMF function network element of the first AU will further determine an application code corresponding to the service to be performed by the first AU, include the application code corresponding to the service to be performed by the first AU in the discovery response message and send it to the first AU. The first AU can use this application code to discover other AUs performing the same service as the first AU, according to this application code.

[0130] Кроме того, в одном из вариантов осуществления предлагаемого изобретения, если первое авторизационное сообщение-ответ, принятое сетевым элементом DDNMF-функции первого АУ или сетевым элементом PKMF-функции первого АУ, указывает сбой авторизации, сетевой элемент DDNMF-функции первого АУ или сетевой элемент PKMF-функции первого АУ не будет генерировать средство защиты и код приложения, а отправит ответное сообщение обнаружения первому АУ для указания того, что запрос обнаружения от первого АУ отклонен.[0130] Furthermore, in one embodiment of the proposed invention, if the first authorization response message received by the DDNMF function network element of the first AU or the PKMF function network element of the first AU indicates an authorization failure, the DDNMF function network element of the first AU or the PKMF function network element of the first AU will not generate a security tool and an application code, but will send a discovery response message to the first AU to indicate that the discovery request from the first AU is rejected.

[0131] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может принимать сообщение-запрос обнаружения, отправленное первым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ. Затем сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может отправить первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения и принять первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM. В завершение, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может отправить ответное сообщение обнаружения первому АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, сгенерированное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ для услуги, запрашиваемой к обнаружению первым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению первым АУ, причем роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, чтобы обеспечить возможность корректной авторизации роли для первого АУ, а также обеспечить точность исполнения услуги. Кроме того, первому АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения другого АУ, выполняемого первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ или несанкционированного изменения им роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0131] Thus, according to the method for authorizing a role for an AU according to the embodiments of the proposed invention, the DDNMF network element or the PKMF network element of the first AU may receive a discovery request message sent by the first AU. The discovery request message serves to request an authorized role in the service requested to be discovered by the first AU. Then, the DDNMF network element or the PKMF network element of the first AU may send a first authorization request message to the UDM server or network element according to the discovery request message and receive a first authorization response message sent by the UDM server or network element. The first authorization response message contains the role of the first AU determined by the UDM server or network element. Finally, the DDNMF network element or the PKMF network element of the first AU may send a discovery response message to the first AU. The discovery response message contains the role of the first AU and the security feature generated by the DDNMF network element or the PKMF network element of the first AU for the service requested for discovery by the first AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by the first AU, wherein the role of the first AU can be determined by the UDM server or network element based on the capability of the first AU and one or more roles allowed for the first AU in the service requested for discovery by the first AU, in order to ensure the correct authorization of the role for the first AU and to ensure the accuracy of service execution. In addition, the first AU is sent a security tool corresponding to the service requested for detection by the first AU, wherein the security tool can serve to ensure protection during the subsequent process of detection of another AU performed by the first AU, to prevent the possibility of an outside AU tracking the role of the first AU or an unauthorized change by it of the role of the first AU when the first AU transfers the role of the first AU in the subsequent detection process and, thereby, to prevent the possibility of an outside AU performing the role of the first AU, impersonating it, to prevent interference from an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[0132] Фиг. 3 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Как можно видеть на Фиг. 3, способ авторизации роли для АУ может включать нижеследующие этапы.[0132] Fig. 3 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a network element of the DDNMF function or a network element of the PKMF function of the first AU. As can be seen in Fig. 3, the method for authorizing a role for an AU may include the following steps.

[0133] На этапе 301 принимают контрольное сообщение-запрос, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ.[0133] At step 301, a control request message sent by a network element of the DDNMF function or a network element of the PKMF function of the second AU is received.

[0134] В одном из вариантов осуществления предлагаемого изобретения контрольное сообщение-запрос может быть отправлено сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ после того, как сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ получит роль второго АУ, определенную сервером или сетевым элементом UDM. Контрольное сообщение-запрос содержит по меньшей мере одно из роли второго АУ, услуги, запрашиваемой к обнаружению вторым АУ, и второго идентификатора, служащего для указания второго АУ. Частный случай процесса получения и сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ роли второго АУ, определенной сервером или сетевым элементом UDM, схож с частным случаем процесса получения сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ роли первого АУ и будет описан в нижеследующих примерах реализации сетевого элемента DDNMF-функции или сетевого элемента PKMF-функции второго АУ.[0134] In one embodiment of the proposed invention, a control request message may be sent to a network element of the DDNMF function or a network element of the PKMF function of the first AU after the network element of the DDNMF function or the network element of the PKMF function of the second AU receives the role of the second AU determined by the UDM server or network element. The control request message contains at least one of the role of the second AU, the service requested to be discovered by the second AU, and a second identifier used to indicate the second AU. A particular case of the process of obtaining by a network element of the DDNMF function or by a network element of the PKMF function of the second AU the role of the second AU, determined by a server or a UDM network element, is similar to a particular case of the process of obtaining by a network element of the DDNMF function or by a network element of the PKMF function of the first AU the role of the first AU and will be described in the following examples of the implementation of a network element of the DDNMF function or a network element of the PKMF function of the second AU.

[0135] На этапе 302, в случае, когда услуга, запрашиваемая к обнаружению вторым АУ, является той же, что и услуга, запрашиваемая к обнаружению первым АУ, отправляют второе сообщение-запрос авторизации серверу или сетевому элементу UDM, причем второе сообщение-запрос авторизации содержит роль первого АУ, роль второго АУ и услугу, запрашиваемую к обнаружению обоими АУ.[0135] In step 302, in the case where the service requested to be discovered by the second AU is the same as the service requested to be discovered by the first AU, a second authorization request message is sent to the UDM server or network element, wherein the second authorization request message contains the role of the first AU, the role of the second AU, and the service requested to be discovered by both AUs.

[0136] В одном из вариантов осуществления предлагаемого изобретения, в случае, когда услуга, запрашиваемая к обнаружению вторым АУ, является той же, что и услуга, запрашиваемая к обнаружению первым АУ, если роль первого АУ соотносится с ролью второго АУ, это указывает на то, что первое АУ и второе АУ могут исполнить услугу, запрашиваемую к обнаружению данными двумя АУ. Исходя из этого, когда сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ определит, что услуга, запрашиваемая к обнаружению вторым АУ является той же, что и услуга, запрашиваемая к обнаружению первым АУ, отправляют второе сообщение-запрос авторизации серверу или сетевому элементу UDM, благодаря чему сервер или сетевой элемент UDM может определить, соотносится ли роль первого АУ с ролью второго АУ, чтобы узнать, могут ли первое АУ и второе АУ исполнить услугу, запрашиваемую данными двумя АУ. Если услуга будет исполнена, данные два АУ могут выполнить процесс обнаружения, чтобы установить соединение. Если услуга не может быть исполнена, процесс обнаружения пропускают.[0136] In one embodiment of the proposed invention, in the case where the service requested to be discovered by the second AU is the same as the service requested to be discovered by the first AU, if the role of the first AU is related to the role of the second AU, this indicates that the first AU and the second AU can perform the service requested to be discovered by these two AUs. Based on this, when the DDNMF network element or the PKMF network element of the first AU determines that the service requested to be discovered by the second AU is the same as the service requested to be discovered by the first AU, a second authorization request message is sent to the UDM server or network element, whereby the UDM server or network element can determine whether the role of the first AU is related to the role of the second AU, in order to find out whether the first AU and the second AU can perform the service requested by these two AUs. If the service is fulfilled, the two AUs can perform a discovery process to establish a connection. If the service cannot be fulfilled, the discovery process is skipped.

[0137] Кроме того, в одном из вариантов осуществления предлагаемого изобретения вышеупомянутая роль первого АУ соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ, что может означать то, что первое АУ и второе АУ в своих ролях сотрудничают друг с другом для исполнения услуги, запрашиваемой к обнаружению данными двумя АУ. Для услуги определения дальности, двумя ролями, в которых АУ могут сотрудничать друг с другом для исполнения услуги определения дальности, обычно являются целевое АУ и опорное АУ. Для услуги местоопределения по боковой линии связи, двумя ролями, в которых АУ могут сотрудничать друг с другом для исполнения услуги местоопределения по боковой линии связи, обычно являются обнаруживаемое АУ и целевое АУ. Таким образом, когда услугой, запрашиваемой к обнаружению данными двумя АУ, является услуга 1 определения дальности, если ролью первого АУ является целевое АУ, а ролью второго АУ является опорное АУ, это указывает на то, что роль первого АУ соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[0137] Furthermore, in one embodiment of the proposed invention, the above-mentioned role of the first UE is related to the role of the second UE in the service requested to be discovered by these two UEs, which may mean that the first UE and the second UE in their roles cooperate with each other to perform the service requested to be discovered by these two UEs. For the ranging service, the two roles in which the UEs can cooperate with each other to perform the ranging service are typically the target UE and the reference UE. For the sidelink positioning service, the two roles in which the UEs can cooperate with each other to perform the sidelink positioning service are typically the discovered UE and the target UE. Thus, when the service requested to be discovered by these two AUs is the ranging service 1, if the role of the first AU is the target AU and the role of the second AU is the reference AU, this indicates that the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs.

[0138] В другом варианте осуществления предлагаемого изобретения роль первого АУ не соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ. Это может означать, что первое АУ и второе АУ в своих ролях не могут сотрудничать друг с другом для исполнения услуги, запрашиваемой данными двумя АУ. Например, если услугой, запрашиваемой к обнаружению данными двумя АУ, является услуга 1 определения дальности, ролью первого АУ является целевое АУ, при этом ролью второго АУ также является целевое АУ, это указывает на то, что роль первого АУ не соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[0138] In another embodiment of the proposed invention, the role of the first AU does not correlate with the role of the second AU in the service requested to be discovered by these two AUs. This may mean that the first AU and the second AU in their roles cannot cooperate with each other to perform the service requested by these two AUs. For example, if the service requested to be discovered by these two AUs is the ranging service 1, the role of the first AU is the target AU, and the role of the second AU is also the target AU, this indicates that the role of the first AU does not correlate with the role of the second AU in the service requested to be discovered by these two AUs.

[0139] На этапе 303 принимают второе авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM. Второе авторизационное сообщение-ответ служит для указания того, соотносится ли роль первого АУ с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[0139] At step 303, a second authorization response message sent by the UDM server or network element is received. The second authorization response message serves to indicate whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs.

[0140] На этапе 304, если второе авторизационное сообщение-ответ указывает, что роль первого АУ соотносится с ролью второго АУ, сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ отправляют контрольное сообщение-ответ.[0140] In step 304, if the second authorization response message indicates that the role of the first AU is related to the role of the second AU, a control response message is sent to the DDNMF network element or the PKMF network element of the second AU.

[0141] В одном из вариантов осуществления предлагаемого изобретения контрольное сообщение-ответ содержит средство защиты, сгенерированное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ для той же услуги, запрашиваемой к обнаружению первым АУ, поэтому средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению первым АУ.[0141] In one embodiment of the proposed invention, the control response message contains a security tool generated by the network element of the DDNMF function or the network element of the PKMF function of the first AU for the same service requested to be discovered by the first AU, so that the security tool corresponding to the service requested to be discovered by the second AU is identical to the security tool corresponding to the service requested to be discovered by the first AU.

[0142] Следует отметить, что, в одном из вариантов осуществления предлагаемого изобретения, если роль первого АУ соотносится с ролью второго АУ, это указывает на то, что первое АУ и второе АУ могут сотрудничать друг с другом для исполнения услуги, запрашиваемой к обнаружению данными двумя АУ. В таком случае, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ должен сгенерировать средство защиты при обнаружении для услуги, запрашиваемой к обнаружению вторым АУ, идентичное средству защиты при обнаружении, сгенерированному для услуги, запрашиваемой к обнаружению первым АУ, чтобы второе АУ могло впоследствии успешно верифицировать информацию, передаваемую первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, тем самым обеспечив возможность успешного обнаружения данными двумя АУ друг друга и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ.[0142] It should be noted that, in one embodiment of the proposed invention, if the role of the first AU is related to the role of the second AU, this indicates that the first AU and the second AU can cooperate with each other to perform the service requested to be discovered by these two AUs. In this case, the DDNMF network element or the PKMF network element of the first AU must generate a discovery protection measure for the service requested to be discovered by the second AU, which is identical to the discovery protection measure generated for the service requested to be discovered by the first AU, so that the second AU can subsequently successfully verify the information transmitted by the first AU during the discovery process, based on the identical discovery protection measure, thereby ensuring that these two AUs can successfully discover each other and successfully perform the service requested to be discovered by these two AUs.

[0143] Кроме того, в одном из вариантов осуществления предлагаемого изобретения, если второе авторизационное сообщение-ответ, принятое сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ от сервера или сетевого элемента UDM, указывает, что роль первого АУ не соотносится с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ должен отправить контрольное сообщение-ответ, указывающее, что контрольный запрос отклонен, сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ.[0143] Furthermore, in one embodiment of the proposed invention, if the second authorization response message received by the DDNMF function network element or the PKMF function network element of the first AU from the UDM server or network element indicates that the role of the first AU does not correspond to the role of the second AU in the service requested to be discovered by these two AUs, the DDNMF function network element or the PKMF function network element of the first AU must send a control response message indicating that the control request is rejected to the DDNMF function network element or the PKMF function network element of the second AU.

[0144] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может принимать сообщение-запрос обнаружения, отправленное первым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ. Затем сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может отправить первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения и принять первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM. В завершение, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может отправить ответное сообщение обнаружения первому АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, сгенерированное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ для услуги, запрашиваемой к обнаружению первым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению первым АУ, причем роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, чтобы обеспечить возможность корректной авторизации роли для первого АУ, а также обеспечить точность исполнения услуги. Кроме того, первому АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения другого АУ, выполняемого первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ или несанкционированного изменения им роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0144] Thus, according to the method for authorizing a role for an AU according to the embodiments of the proposed invention, the DDNMF network element or the PKMF network element of the first AU may receive a discovery request message sent by the first AU. The discovery request message serves to request an authorized role in the service requested to be discovered by the first AU. Then, the DDNMF network element or the PKMF network element of the first AU may send a first authorization request message to the UDM server or network element according to the discovery request message and receive a first authorization response message sent by the server or the UDM network element. The first authorization response message contains the role of the first AU determined by the UDM server or network element. Finally, the DDNMF network element or the PKMF network element of the first AU may send a discovery response message to the first AU. The discovery response message contains the role of the first AU and the security feature generated by the DDNMF network element or the PKMF network element of the first AU for the service requested for discovery by the first AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by the first AU, wherein the role of the first AU can be determined by the UDM server or network element based on the capability of the first AU and one or more roles allowed for the first AU in the service requested for discovery by the first AU, in order to ensure the correct authorization of the role for the first AU and to ensure the accuracy of service execution. In addition, the first AU is sent a security tool corresponding to the service requested for detection by the first AU, wherein the security tool can serve to ensure protection during the subsequent process of detection of another AU performed by the first AU, to prevent the possibility of an outside AU tracking the role of the first AU or an unauthorized change by it of the role of the first AU when the first AU transfers the role of the first AU in the subsequent detection process and, thereby, to prevent the possibility of an outside AU performing the role of the first AU, impersonating it, to prevent interference from an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[0145] Фиг. 4 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ. Как можно видеть на Фиг. 4, способ авторизации роли для АУ может включать нижеследующие этапы.[0145] Fig. 4 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a network element of the DDNMF function or a network element of the PKMF function of a second AU. As can be seen in Fig. 4, the method for authorizing a role for an AU may include the following steps.

[0146] На этапе 401 принимают сообщение-запрос обнаружения, отправленное вторым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ.[0146] At step 401, a discovery request message sent by the second AU is received. The discovery request message is used to request an authorized role in the service requested to be discovered by the second AU.

[0147] В одном из вариантов осуществления предлагаемого изобретения сообщение-запрос обнаружения необязательно содержит по меньшей мере одно из RAUID, соответствующего второму АУ; услуги, запрашиваемой к обнаружению вторым АУ; или способности второго АУ.[0147] In one embodiment of the proposed invention, the discovery request message optionally contains at least one of a RAUID corresponding to the second AU; a service requested to be discovered by the second AU; or a capability of the second AU.

[0148] RAUID служит для идентификации АУ, благодаря чему сетевое устройство может узнать, какое АУ отправляет сообщение-запрос обнаружения.[0148] RAUID is used to identify the AU so that the network device can know which AU is sending the discovery request message.

[0149] На этапе 402 отправляют первое сообщение-запрос авторизации серверу или сетевому элементу управления унифицированными данными (UDM) согласно сообщению-запросу обнаружения.[0149] At step 402, a first authorization request message is sent to a server or a network unified data management (UDM) element according to the discovery request message.

[0150] На этапе, на котором отправляют первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения, необязательно: преобразуют RAUID, соответствующий второму АУ, во второй идентификатор, который может быть распознан сервером или сетевым элементом UDM, причем второй идентификатор служит для указания второго АУ; и отправляют сообщение-запрос авторизации, содержащее по меньшей мере одно из второго идентификатора, услуги, запрашиваемой к обнаружению вторым АУ, и способности второго АУ, серверу или сетевому элементу UDM.[0150] In the step of sending the first authorization request message to the UDM server or network element according to the discovery request message, it is optional: converting the RAUID corresponding to the second AU into a second identifier that can be recognized by the UDM server or network element, wherein the second identifier serves to indicate the second AU; and sending the authorization request message containing at least one of the second identifier, the service requested to be discovered by the second AU, and the capability of the second AU, to the UDM server or network element.

[0151] На этапе 403 принимают первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM.[0151] At step 403, a first authorization response message sent by the UDM server or network element is received. The first authorization response message contains the role of the second AU determined by the UDM server or network element.

[0152] В одном из вариантов осуществления предлагаемого изобретения, роль второго АУ необязательно определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ.[0152] In one embodiment of the present invention, the role of the second AU is not necessarily determined by the UDM server or network element based on the capability of the second AU and one or more roles allowed for the second AU in the service requested to be discovered by the second AU.

[0153] На этапе 404 определяют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ.[0153] At step 404, a security means corresponding to the service requested to be discovered by the second AU is determined.

[0154] Средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, должно быть идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению первым АУ. Сведения об определении средства защиты, соответствующего услуге, запрашиваемой к обнаружению вторым АУ, на данном этапе можно найти в описании нижеследующих вариантов осуществления.[0154] The security means corresponding to the service requested to be discovered by the second AU must be identical to the security means corresponding to the service requested to be discovered by the first AU. Information on determining the security means corresponding to the service requested to be discovered by the second AU at this stage can be found in the description of the following embodiments.

[0155] На этапе 405 отправляют ответное сообщение обнаружения второму АУ. Ответное сообщение обнаружения содержит роль второго АУ.[0155] At step 405, a discovery response message is sent to the second AU. The discovery response message contains the role of the second AU.

[0156] Ответное сообщение обнаружения может дополнительно содержать средство защиты, сгенерированное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ, для услуги, запрашиваемой к обнаружению вторым АУ.[0156] The discovery response message may further comprise a security means generated by the DDNMF network element or the PKMF network element of the second AU for the service requested to be discovered by the second AU.

[0157] В основе раскрытых выше этапов 401 - 403 и 405 лежит принцип, схожий с принципом этапов 201 - 204 по раскрытым выше вариантам осуществления с Фиг. 2, а прочие сведения можно найти в описании раскрытых выше вариантов осуществления.[0157] The above-disclosed steps 401-403 and 405 are based on a principle similar to the principle of steps 201-204 of the above-disclosed embodiments of Fig. 2, and other information can be found in the description of the above-disclosed embodiments.

[0158] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может принимать сообщение-запрос обнаружения, отправленное вторым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ. Затем сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может отправить первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения и принять первое авторизационное сообщение-ответ, отправленное сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM. Сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может определить сгенерированное средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. В завершение, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может отправить ответное сообщение обнаружения второму АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению вторым АУ, причем роль второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ, чтобы обеспечить возможность корректной авторизации роли для второго АУ, а также обеспечить точность исполнения услуги. Кроме того, второму АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, при этом средство защиты может служить для успешной верификации информации, передаваемой первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, что обеспечивает возможность успешного обнаружения друг друга данным двумя АУ и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ. Невозможность для других АУ узнать средство защиты предотвращает вмешательство со стороны посторонних АУ в ходе последующего исполнения услуги, тем самым повышая точность исполнения услуги и усиливая защиту информации.[0158] Thus, according to the method for authorizing a role for an AU according to the embodiments of the proposed invention, a DDNMF function network element or a PKMF function network element of a second AU may receive a discovery request message sent by the second AU. The discovery request message serves to request an authorized role in a service requested to be discovered by the second AU. Then, the DDNMF function network element or the PKMF function network element of the second AU may send a first authorization request message to the UDM server or network element according to the discovery request message and receive a first authorization response message sent by the UDM server or network element. The first authorization response message contains the role of the second AU determined by the UDM server or network element. The DDNMF function network element or the PKMF function network element of the second AU may determine the generated security means corresponding to the service requested to be discovered by the second AU. Finally, the DDNMF network element or the PKMF network element of the second AU may send a discovery response message to the second AU. The discovery response message contains the role of the second AU and a security feature corresponding to the service requested for discovery by the second AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a second AU, wherein the role of the second AU can be determined by a UDM server or network element based on the capability of the second AU and one or more roles allowed for the second AU in the service requested for discovery by the second AU, in order to ensure the correct authorization of the role for the second AU and to ensure the accuracy of service execution. In addition, the second AU is sent a security tool corresponding to the service requested for discovery by the second AU. This security tool can be used to successfully verify the information transmitted by the first AU during the discovery process, based on an identical security tool during discovery. This ensures the ability of these two AUs to successfully discover each other and successfully execute the service requested for discovery by these two AUs. The inability of other AUs to learn the security tool prevents interference by unauthorized AUs during subsequent service execution, thereby increasing the accuracy of service execution and strengthening information security.

[0159] Фиг. 5 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ. Как можно видеть на Фиг. 5, способ авторизации роли для АУ может включать нижеследующие этапы.[0159] Fig. 5 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a network element of the DDNMF function or a network element of the PKMF function of a second AU. As can be seen in Fig. 5, the method for authorizing a role for an AU may include the following steps.

[0160] На этапе 501 отправляют контрольное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ. Контрольное сообщение-ответ содержит по меньшей мере одно из роли второго АУ, услуги, запрашиваемой к обнаружению вторым АУ, или второго идентификатора, указывающего второе АУ.[0160] In step 501, a control response message is sent to the network element of the DDNMF function or the network element of the PKMF function of the first AU. The control response message contains at least one of the role of the second AU, the service requested to be discovered by the second AU, or a second identifier indicating the second AU.

[0161] Следует отметить, что, в одном из вариантов осуществления предлагаемого изобретения второе АУ фактически знает, какое АУ является АУ - партнером (т.е. первым АУ). Исходя из этого, когда второе АУ отправляет сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ, оно может дополнительно включить указательную информацию, указывающую первое АУ или указывающую сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ, в сообщение-запрос обнаружения, чтобы сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ мог определить, по указательной информации, сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции какого АУ он должен отправить контрольное сообщение-запрос, тем самым обеспечивая возможность отправки сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ контрольного сообщения-запроса сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ.[0161] It should be noted that, in one embodiment of the proposed invention, the second AU actually knows which AU is the partner AU (i.e., the first AU). Based on this, when the second AU sends a discovery request message to the DDNMF function network element or the PKMF function network element of the second AU, it may additionally include indication information indicating the first AU or indicating the DDNMF function network element or the PKMF function network element of the first AU in the discovery request message, so that the DDNMF function network element or the PKMF function network element of the second AU could determine, according to the indication information, to which AU the DDNMF function network element or the PKMF function network element should send a control request message, thereby ensuring the possibility of sending the DDNMF function network element or the PKMF function network element of the second AU a control request message to the DDNMF function network element or the PKMF function network element of the first AU.

[0162] На этапе 502 принимают контрольное сообщение-ответ, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ.[0162] At step 502, a control response message sent by the DDNMF network element or the PKMF network element of the first AU is received.

[0163] В одном из вариантов осуществления предлагаемого изобретения контрольное сообщение-ответ содержит средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Средство защиты отправляют сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ после того, как сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ примет второе авторизационное сообщение-ответ (указывающее, что роль первого АУ соотносится с ролью второго АУ), отправленное сервером или сетевым элементом UDM, при этом средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, идентично ключу защиты, соответствующему услуге, запрашиваемой к обнаружению первым АУ.[0163] In one embodiment of the proposed invention, the control response message contains a security means corresponding to the service requested to be discovered by the second AU. The security means are sent to the DDNMF function network element or the PKMF function network element of the second AU after the DDNMF function network element or the PKMF function network element of the first AU receives the second authorization response message (indicating that the role of the first AU is related to the role of the second AU) sent by the UDM server or network element, wherein the security means corresponding to the service requested to be discovered by the second AU is identical to the security key corresponding to the service requested to be discovered by the first AU.

[0164] Детальное описание этапов 501 - 502 можно найти в раскрытых выше вариантах осуществления, поэтому оно не будет подробно рассматриваться повторно.[0164] A detailed description of steps 501 - 502 can be found in the embodiments disclosed above, so they will not be discussed in detail again.

[0165] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может принимать сообщение-запрос обнаружения, отправленное вторым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ. Затем сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может отправить первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения и принять первое авторизационное сообщение-ответ, отправленный сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM. Сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может определить сгенерированное средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. В завершение, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может отправить ответное сообщение обнаружения второму АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению вторым АУ, причем роль второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ, чтобы обеспечить возможность корректной авторизации роли для второго АУ, а также обеспечить точность исполнения услуги. Кроме того, второму АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, при этом средство защиты может служить для успешной верификации информации, передаваемой первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, что обеспечивает возможность успешного обнаружения друг друга данным двумя АУ и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ. Невозможность для других АУ узнать средство защиты предотвращает вмешательство со стороны посторонних АУ в ходе последующего исполнения услуги, тем самым повышая точность исполнения услуги и усиливая защиту информации.[0165] Thus, according to the method for authorizing a role for an AU according to the embodiments of the proposed invention, a DDNMF function network element or a PKMF function network element of a second AU may receive a discovery request message sent by the second AU. The discovery request message serves to request an authorized role in a service requested to be discovered by the second AU. Then, the DDNMF function network element or the PKMF function network element of the second AU may send a first authorization request message to the UDM server or network element according to the discovery request message and receive a first authorization response message sent by the UDM server or network element. The first authorization response message contains the role of the second AU determined by the UDM server or network element. The DDNMF function network element or the PKMF function network element of the second AU may determine the generated security means corresponding to the service requested to be discovered by the second AU. Finally, the DDNMF network element or the PKMF network element of the second AU may send a discovery response message to the second AU. The discovery response message contains the role of the second AU and a security feature corresponding to the service requested for discovery by the second AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a second AU, wherein the role of the second AU can be determined by a UDM server or network element based on the capability of the second AU and one or more roles allowed for the second AU in the service requested for discovery by the second AU, in order to ensure the correct authorization of the role for the second AU and to ensure the accuracy of service execution. In addition, the second AU is sent a security tool corresponding to the service requested for discovery by the second AU. This security tool can be used to successfully verify the information transmitted by the first AU during the discovery process, based on an identical security tool during discovery. This ensures the ability of these two AUs to successfully discover each other and successfully execute the service requested for discovery by these two AUs. The inability of other AUs to learn the security tool prevents interference by unauthorized AUs during subsequent service execution, thereby increasing the accuracy of service execution and strengthening information security.

[0166] Фиг. 6 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сервером или UDM. Как можно видеть на Фиг. 6, способ авторизации роли для АУ может включать нижеследующие этапы.[0166] Fig. 6 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a server or a UDM. As can be seen in Fig. 6, the method for authorizing a role for an AU may include the following steps.

[0167] На этапе 601 принимают первое сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ. Первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ.[0167] At step 601, a first authorization request message sent by a network element of the DDNMF function or a network element of the PKMF function of the first AU and/or the second AU is received. The first authorization request message is used to request an authorized role in the service requested to be discovered by the first AU and/or the second AU.

[0168] Первое сообщение-запрос авторизации необязательно содержит по меньшей мере одно из идентификатора, служащего для указания первого АУ и/или второго АУ; услуги, запрашиваемой к обнаружению первым АУ и/или вторым АУ; или способности первого АУ и/или второго АУ.[0168] The first authorization request message optionally contains at least one of an identifier used to indicate the first AU and/or the second AU; a service requested to be detected by the first AU and/or the second AU; or a capability of the first AU and/or the second AU.

[0169] На этапе 602 определяют роль первого АУ и/или второго АУ согласно первому сообщению-запросу авторизации.[0169] At step 602, the role of the first AU and/or the second AU is determined according to the first authorization request message.

[0170] Основные сведения о том, как определяют роли первого АУ и/или второго АУ на данном этапе, можно найти в описании нижеследующих вариантов осуществления.[0170] Basic information on how the roles of the first AU and/or the second AU are determined at this stage can be found in the description of the following embodiments.

[0171] На этапе 603 отправляют первое авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ. Первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ.[0171] At step 603, a first authorization response message is sent to the DDNMF network element or the PKMF network element of the first AU and/or the second AU. The first authorization response message contains the role of the first AU and/or the second AU.

[0172] Основные сведения об этапах 601 - 603 можно найти в описании раскрытых выше вариантов осуществления.[0172] The basic information about steps 601 - 603 can be found in the description of the embodiments disclosed above.

[0173] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сервер или сетевой элемент UDM может принимать первое сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, при этом первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ. Роль первого АУ и/или второго АУ может быть определена согласно первому сообщению-запросу авторизации. Затем сервер или сетевой элемент UDM может отправить первое авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, при этом первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению, причем роль первого АУ и/или второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и/или второго АУ и одной или нескольких ролей, допустимых для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ, что обеспечивает возможность корректной авторизации роли для первого АУ и/или второго АУ и точность исполнения услуги.[0173] Thus, according to the method of authorizing a role for an AU according to the embodiments of the proposed invention, the UDM server or network element may receive a first authorization request message sent by a DDNMF function network element or a PKMF function network element of a first AU and/or a second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU. The role of the first AU and/or the second AU may be determined according to the first authorization request message. Then, the UDM server or network element may send a first authorization response message to the DDNMF function network element or the PKMF function network element of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU. From the above it follows that the invention proposes a method for authorizing a role for a first AU and/or a second AU in a service requested for discovery, wherein the role of the first AU and/or the second AU can be determined by a server or a UDM network element based on the capability of the first AU and/or the second AU and one or more roles acceptable for the first AU and/or the second AU in the service requested for discovery by the first AU and/or the second AU, which ensures the possibility of correct authorization of the role for the first AU and/or the second AU and the accuracy of service execution.

[0174] Фиг. 7 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сервером или UDM. Как можно видеть на Фиг. 7, способ авторизации роли для АУ может включать нижеследующие этапы.[0174] Fig. 7 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a server or a UDM. As can be seen in Fig. 7, the method for authorizing a role for an AU may include the following steps.

[0175] На этапе 701 определяют роль, допустимую для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ, по идентификатору, служащему для указания первого АУ и/или второго АУ, и в зависимости от услуги, запрашиваемой к обнаружению первым АУ и/или вторым АУ.[0175] At step 701, a role allowed for the first AU and/or the second AU in the service requested to be discovered by the first AU and/or the second AU is determined based on an identifier used to indicate the first AU and/or the second AU and depending on the service requested to be discovered by the first AU and/or the second AU.

[0176] Следует отметить, что в одном из вариантов осуществления предлагаемого изобретения роль, допустимая для каждого АУ в услуге определения дальности и/или услуге местоопределения по боковой линии связи, может быть зафиксирована в протоколе услуги на сервере, либо роль, допустимая для соответствующего АУ в услуге определения дальности и/или услуге местоопределения по боковой линии связи, может быть зафиксирована в каждой подписке АУ в UDM. Исходя из этого, сервер может определять роли, допустимые для каждого АУ в услуге определения дальности и/или услуге местоопределения по боковой линии связи, путем поиска протокола услуги, а UDM может определять роли, допустимые для каждого АУ в услуге определения дальности и/или услуге местоопределения по боковой линии связи, путем поиска подписки АУ.[0176] It should be noted that in one embodiment of the proposed invention, the role allowed for each UE in the ranging service and/or the lateral positioning service may be fixed in the service protocol on the server, or the role allowed for the corresponding UE in the ranging service and/or the lateral positioning service may be fixed in each UE subscription in the UDM. Based on this, the server may determine the roles allowed for each UE in the ranging service and/or the lateral positioning service by searching the service protocol, and the UDM may determine the roles allowed for each UE in the ranging service and/or the lateral positioning service by searching the UE subscription.

[0177] Выше приведен пример способа определения роли первого АУ сервером или UDM, при этом способ, относящийся к второму АУ, аналогичен.[0177] The above is an example of a method for determining the role of the first AU by the server or UDM, while the method related to the second AU is similar.

[0178] В частности, например, услугой, запрашиваемой к обнаружению данными двумя АУ, является услуга определения дальности. В таком случае, сервер узнает из протокола услуги по идентификатору первого АУ то, что ролями, допустимыми для первого АУ в услуге определения дальности, являются целевое АУ и АУ-сервер, и/или UDM может определить подписку первого АУ по идентификатору первого АУ и узнать из подписки первого АУ то, что ролями, допустимыми для первого АУ в услуге местоопределения по боковой линии связи, являются целевое АУ и АУ-сервер.[0178] In particular, for example, the service requested to be discovered by these two AUs is a ranging service. In this case, the server learns from the service protocol by the identifier of the first AU that the roles valid for the first AU in the ranging service are the target AU and the AU server, and/or the UDM can determine the subscription of the first AU by the identifier of the first AU and learn from the subscription of the first AU that the roles valid for the first AU in the lateral link positioning service are the target AU and the AU server.

[0179] На этапе 702 из числа одной или нескольких ролей, допустимых для первого АУ и/или второго АУ, определяют роль, поддерживаемую способностью первого АУ и/или второго АУ, в качестве роли первого АУ и/или второго АУ.[0179] At step 702, from among one or more roles valid for the first AU and/or the second AU, a role supported by the capability of the first AU and/or the second AU is determined as the role of the first AU and/or the second AU.

[0180] Продолжим разъяснение на примере первого АУ. Если сервер или сетевой элемент UDM исходя из способности первого АУ определит, что ролями, поддерживаемыми первым АУ в услуге определения дальности, являются целевое АУ и обнаруживаемое АУ, а ролями, допустимыми первым АУ в услуге определения дальности, как определено на этапе 701, являются целевое АУ и АУ-сервер, сервер или сетевой элемент UDM может определить, что ролью первого АУ является целевое АУ.[0180] Continuing the explanation with the example of the first AU, if the UDM server or network element determines, based on the capability of the first AU, that the roles supported by the first AU in the ranging service are the target AU and the discovered AU, and the roles allowed by the first AU in the ranging service, as determined in step 701, are the target AU and the AU server, the UDM server or network element can determine that the role of the first AU is the target AU.

[0181] Также следует отметить, что в одном из вариантов осуществления предлагаемого изобретения, из числа ролей, допустимых для первого АУ, если способности первого АУ поддерживают множество ролей, сервер или сетевой элемент UDM может определить все из данного множества ролей в качестве ролей первого АУ, то есть первое АУ может иметь множество ролей.[0181] It should also be noted that in one embodiment of the proposed invention, from among the roles allowed for the first AU, if the capabilities of the first AU support multiple roles, the UDM server or network element may define all of the given set of roles as roles of the first AU, that is, the first AU may have multiple roles.

[0182] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сервер или сетевой элемент UDM может принимать первое сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, при этом первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ. Роль первого АУ и/или второго АУ может быть определена согласно первому сообщению-запросу авторизации. Затем сервер или сетевой элемент UDM может отправить первое авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, при этом первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению, причем роль первого АУ и/или второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и/или второго АУ и одной или нескольких ролей, допустимых для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ, что обеспечивает возможность корректной авторизации роли для первого АУ и/или второго АУ и точность исполнения услуги.[0182] Thus, according to the method for authorizing a role for an AU according to the embodiments of the proposed invention, the UDM server or network element may receive a first authorization request message sent by a DDNMF function network element or a PKMF function network element of a first AU and/or a second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU. The role of the first AU and/or the second AU may be determined according to the first authorization request message. Then, the UDM server or network element may send a first authorization response message to the DDNMF function network element or the PKMF function network element of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU. From the above it follows that the invention proposes a method for authorizing a role for a first AU and/or a second AU in a service requested for discovery, wherein the role of the first AU and/or the second AU can be determined by a server or a UDM network element based on the capability of the first AU and/or the second AU and one or more roles acceptable for the first AU and/or the second AU in the service requested for discovery by the first AU and/or the second AU, which ensures the possibility of correct authorization of the role for the first AU and/or the second AU and the accuracy of service execution.

[0183] Фиг. 8 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется сервером или UDM. Как можно видеть на Фиг. 8, способ авторизации роли для АУ может включать нижеследующие этапы.[0183] Fig. 8 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a server or a UDM. As can be seen in Fig. 8, the method for authorizing a role for an AU may include the following steps.

[0184] На этапе 801 принимают второе сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Второе сообщение-запрос авторизации содержит роль первого АУ, роль второго АУ и услугу, запрашиваемую к обнаружению данными двумя АУ.[0184] At step 801, a second authorization request message sent by the DDNMF network element or the PKMF network element of the first AU is received. The second authorization request message contains the role of the first AU, the role of the second AU, and the service requested to be discovered by these two AUs.

[0185] На этапе 802 определяют, соотносится ли роль первого АУ с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ.[0185] At step 802, it is determined whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs.

[0186] На этапе 803 отправляют второе авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ. Второе авторизационное сообщение-ответ служит для указания того, соотносится ли роль первого АУ с ролью второго АУ.[0186] In step 803, a second authorization response message is sent to the DDNMF network element or the PKMF network element of the first AU. The second authorization response message is used to indicate whether the role of the first AU is related to the role of the second AU.

[0187] Детальное описание этапов 801 - 803 можно найти в раскрытых выше вариантах осуществления.[0187] A detailed description of steps 801 - 803 can be found in the embodiments disclosed above.

[0188] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, сервер или сетевой элемент UDM может принимать первое сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, при этом первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ. Роль первого АУ и/или второго АУ может быть определена согласно первому сообщению-запросу авторизации. Затем сервер или сетевой элемент UDM может отправить первое авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, при этом первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению, причем роль первого АУ и/или второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и/или второго АУ и одной или нескольких ролей, допустимых для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ, что обеспечивает возможность корректной авторизации роли для первого АУ и/или второго АУ и точность исполнения услуги.[0188] Thus, according to the method for authorizing a role for an AU according to the embodiments of the proposed invention, the UDM server or network element may receive a first authorization request message sent by a DDNMF function network element or a PKMF function network element of a first AU and/or a second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU. The role of the first AU and/or the second AU may be determined according to the first authorization request message. Then, the UDM server or network element may send a first authorization response message to the DDNMF function network element or the PKMF function network element of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU. From the above it follows that the invention proposes a method for authorizing a role for a first AU and/or a second AU in a service requested for discovery, wherein the role of the first AU and/or the second AU can be determined by a server or a UDM network element based on the capability of the first AU and/or the second AU and one or more roles acceptable for the first AU and/or the second AU in the service requested for discovery by the first AU and/or the second AU, which ensures the possibility of correct authorization of the role for the first AU and/or the second AU and the accuracy of service execution.

[0189] Фиг. 9 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется первым АУ. Как можно видеть на Фиг. 9, способ авторизации роли для АУ может включать нижеследующие этапы.[0189] Fig. 9 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by the first AU. As can be seen in Fig. 9, the method for authorizing a role for an AU may include the following steps.

[0190] На этапе 901 отправляют сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ.[0190] In step 901, a discovery request message is sent to the DDNMF network element or the PKMF network element of the first AU. The discovery request message is used to request an authorized role in the service requested to be discovered by the first AU.

[0191] На этапе 902 принимают ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ.[0191] At step 902, a discovery response message sent by a network element of the DDNMF function or a network element of the PKMF function of the first AU is received. The discovery response message contains the role of the first AU and the security tool corresponding to the service requested to be discovered by the first AU.

[0192] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, первое АУ может отправлять сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ. Первое АУ может принимать ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению первым АУ, причем роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, чтобы обеспечить возможность корректной авторизации роли для первого АУ, а также обеспечить точность исполнения услуги. Кроме того, первому АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения другого АУ, выполняемого первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0192] Thus, according to the method for authorizing a role for an AU according to embodiments of the proposed invention, the first AU may send a discovery request message to the DDNMF network element or the PKMF network element of the first AU. The discovery request message serves to request an authorized role in the service requested to be discovered by the first AU. The first AU may receive a discovery response message sent by the DDNMF network element or the PKMF network element of the first AU. The discovery response message contains the role of the first AU and a security measure corresponding to the service requested to be discovered by the first AU. From the above it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a first AU, wherein the role of the first AU can be determined by a UDM server or network element based on the capability of the first AU and one or more roles allowed for the first AU in the service requested for discovery by the first AU, in order to ensure the possibility of correct authorization of the role for the first AU, as well as to ensure the accuracy of service execution. In addition, a security tool corresponding to the service requested for discovery by the first AU is sent to the first AU, wherein the security tool can serve to ensure protection during the subsequent process of discovery of another AU performed by the first AU, to prevent the possibility of an outside AU tracking the role of the first AU when the first AU transfers the role of the first AU in the subsequent discovery process and, thereby, to prevent the possibility of an outside AU performing the role of the first AU, impersonating it, preventing interference from an outside AU during the subsequent process of service execution, increasing the accuracy of service execution and enhancing information security.

[0193] Фиг. 10 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется первым АУ. Как можно видеть на Фиг. 10, способ авторизации роли для АУ может включать нижеследующий этап.[0193] Fig. 10 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by the first AU. As can be seen in Fig. 10, the method for authorizing a role for an AU may include the following step.

[0194] На этапе 1001 осуществляют широковещательную передачу первого сообщения обнаружения. Первое сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение обнаружения содержит роль первого АУ и код приложения, соответствующий услуге, запрашиваемой к обнаружению первым АУ.[0194] At step 1001, a first discovery message is broadcast. The first discovery message is protected by a security means corresponding to a service requested to be discovered by the first AU, wherein the first discovery message contains a role of the first AU and an application code corresponding to the service requested to be discovered by the first AU.

[0195] В одном из вариантов осуществления предлагаемого изобретения первое АУ будет осуществлять широковещательную передачу первого сообщения обнаружения, защищенного средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ. Исходя из того, что средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению первым АУ, второе АУ может использовать идентичное средство защиты для успешной верификации первого сообщения обнаружения, широковещательно передаваемого первым АУ и, как следствие, успешного обнаружения друг друга с первым АУ. Затем второе АУ может проверить, соотносится ли роль второго АУ с ролью первого АУ, чтобы впоследствии удостовериться в том, что соединение установлено с первым АУ.[0195] In one embodiment of the proposed invention, the first UE will broadcast a first discovery message protected by a security mechanism corresponding to the service requested to be discovered by the first UE. Based on the fact that the security mechanism corresponding to the service requested to be discovered by the second UE is identical to the security mechanism corresponding to the service requested to be discovered by the first UE, the second UE can use the identical security mechanism to successfully verify the first discovery message broadcast by the first UE and, as a result, successfully discover each other with the first UE. The second UE can then check whether the role of the second UE matches the role of the first UE in order to subsequently verify that the connection is established with the first UE.

[0196] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, первое АУ может отправлять сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ. Первое АУ может принимать ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению первым АУ, причем роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, чтобы обеспечить возможность корректной авторизации роли для первого АУ, а также обеспечить точность исполнения услуги. Кроме того, первому АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения другого АУ, выполняемого первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ или несанкционированного изменения им роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0196] Thus, according to the method for authorizing a role for an AU according to embodiments of the proposed invention, the first AU may send a discovery request message to the DDNMF network element or the PKMF network element of the first AU. The discovery request message serves to request an authorized role in the service requested to be discovered by the first AU. The first AU may receive a discovery response message sent by the DDNMF network element or the PKMF network element of the first AU. The discovery response message contains the role of the first AU and a security measure corresponding to the service requested to be discovered by the first AU. From the above it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a first AU, wherein the role of the first AU can be determined by a UDM server or network element based on the capability of the first AU and one or more roles allowed for the first AU in the service requested for discovery by the first AU, in order to ensure the possibility of correct authorization of the role for the first AU, as well as to ensure the accuracy of service execution. In addition, a security tool corresponding to the service requested for discovery by the first AU is sent to the first AU, wherein the security tool can serve to ensure protection during the subsequent process of discovery of another AU performed by the first AU, to prevent the possibility of an outside AU tracking the role of the first AU or an unauthorized change by it of the role of the first AU when the first AU transfers the role of the first AU in the subsequent discovery process and, thereby, to prevent the possibility of an outside AU performing the role of the first AU, impersonating it, preventing interference from an outside AU during the subsequent process of service execution, increasing the accuracy of service execution and enhancing information security.

[0197] Фиг. 11 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется первым АУ. Как можно видеть на Фиг. 11, способ авторизации роли для АУ может включать нижеследующие этапы.[0197] Fig. 11 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by the first AU. As can be seen in Fig. 11, the method for authorizing a role for an AU may include the following steps.

[0198] На этапе 1101 принимают второе сообщение обнаружения, широковещательно передаваемое вторым АУ. Второе сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению вторым АУ, при этом второе сообщение обнаружения содержит роль второго АУ и код приложения, соответствующий услуге, запрашиваемой к обнаружению вторым АУ.[0198] At step 1101, a second discovery message broadcast by a second AU is received. The second discovery message is protected by a security mechanism corresponding to the service requested to be discovered by the second AU, wherein the second discovery message contains a role of the second AU and an application code corresponding to the service requested to be discovered by the second AU.

[0199] На этапе 1102 декодируют и верифицируют второе сообщение обнаружения на основе средства защиты, соответствующего услуге, запрашиваемой к обнаружению вторым АУ и, в случае успешной верификации, определяют, соответствует ли код приложения, соответствующий услуге, запрашиваемой к обнаружению вторым АУ, коду приложения, соответствующему услуге, запрашиваемой к обнаружению первым АУ, и, если они соответствуют друг другу, определяют, соотносится ли роль второго АУ с ролью первого АУ.[0199] At step 1102, the second discovery message is decoded and verified based on the security means corresponding to the service requested to be discovered by the second AU and, if the verification is successful, it is determined whether the application code corresponding to the service requested to be discovered by the second AU matches the application code corresponding to the service requested to be discovered by the first AU, and, if they match, it is determined whether the role of the second AU is related to the role of the first AU.

[0200] Принцип использования первым АУ средства защиты для верификации второго сообщения обнаружения можно узнать из описания раскрытых выше вариантов осуществления. Если код приложения, соответствующий услуге, запрашиваемой к обнаружению вторым АУ, соответствует коду приложения, соответствующему услуге, запрашиваемой к обнаружению первым АУ, это указывает на то, что услуги, запрашиваемые к обнаружению данными двумя АУ, являются одной и той же услугой. В этом случае, далее может быть определено, соотносятся ли друг с другом роли данных двух АУ. Если они соотносятся, это указывает на то, что данные два АУ могут сотрудничать для исполнения услуги, запрашиваемой к обнаружению данными двумя АУ. Если они не соотносятся, это указывает на то, что данные два АУ не могут исполнить услугу, запрашиваемую к обнаружению данными двумя АУ.[0200] The principle of using the security means for verifying the second discovery message by the first AU can be learned from the description of the embodiments disclosed above. If the application code corresponding to the service requested to be discovered by the second AU matches the application code corresponding to the service requested to be discovered by the first AU, this indicates that the services requested to be discovered by these two AUs are the same service. In this case, it can then be determined whether the roles of these two AUs correspond to each other. If they correspond, this indicates that these two AUs can cooperate to execute the service requested to be discovered by these two AUs. If they do not correspond, this indicates that these two AUs cannot execute the service requested to be discovered by these two AUs.

[0201] На этапе 1103 отправляют первое сообщение-ответ второму АУ в случае, когда роль первого АУ соотносится с ролью второго АУ. Первое сообщение-ответ защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение-ответ содержит роль первого АУ и код приложения, соответствующий услуге, запрашиваемой к обнаружению первым АУ.[0201] At step 1103, a first response message is sent to a second AU in the case where the role of the first AU is related to the role of the second AU. The first response message is protected by a security means corresponding to the service requested to be discovered by the first AU, wherein the first response message contains the role of the first AU and an application code corresponding to the service requested to be discovered by the first AU.

[0202] Раскрытые выше этапы 1101-1103 составляют процесс обнаружения первого АУ и второго АУ. После того, как данные два АУ обнаружат друг друга, они могут установить соединение для реализации услуги.[0202] The steps 1101-1103 disclosed above constitute a process of discovering a first AU and a second AU. After these two AUs discover each other, they can establish a connection to implement a service.

[0203] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, первое АУ может отправлять сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ. Первое АУ может принимать ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению первым АУ, причем роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, чтобы обеспечить возможность корректной авторизации роли для первого АУ, а также обеспечить точность исполнения услуги. Кроме того, первому АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения другого АУ, выполняемого первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0203] Thus, according to the method for authorizing a role for an AU according to embodiments of the proposed invention, the first AU may send a discovery request message to the DDNMF network element or the PKMF network element of the first AU. The discovery request message is used to request an authorized role in the service requested to be discovered by the first AU. The first AU may receive a discovery response message sent by the DDNMF network element or the PKMF network element of the first AU. The discovery response message contains the role of the first AU and a security measure corresponding to the service requested to be discovered by the first AU. From the above it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a first AU, wherein the role of the first AU can be determined by a UDM server or network element based on the capability of the first AU and one or more roles allowed for the first AU in the service requested for discovery by the first AU, in order to ensure the possibility of correct authorization of the role for the first AU, as well as to ensure the accuracy of service execution. In addition, a security tool corresponding to the service requested for discovery by the first AU is sent to the first AU, wherein the security tool can serve to ensure protection during the subsequent process of discovery of another AU performed by the first AU, to prevent the possibility of an outside AU tracking the role of the first AU when the first AU transfers the role of the first AU in the subsequent discovery process and, thereby, to prevent the possibility of an outside AU performing the role of the first AU, impersonating it, preventing interference from an outside AU during the subsequent process of service execution, increasing the accuracy of service execution and enhancing information security.

[0204] Фиг. 12 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется вторым АУ. Как можно видеть на Фиг. 12, способ авторизации роли для АУ может включать нижеследующие этапы.[0204] Fig. 12 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a second AU. As can be seen in Fig. 12, the method for authorizing a role for an AU may include the following steps.

[0205] На этапе 1201 отправляют сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ.[0205] At step 1201, a discovery request message is sent to the DDNMF network element or the PKMF network element of the second AU. The discovery request message is used to request an authorized role in the service requested for discovery by the second AU.

[0206] На этапе 1202 принимают ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ.[0206] At step 1202, a discovery response message sent by a network element of the DDNMF function or a network element of the PKMF function of the second AU is received. The discovery response message contains the role of the second AU and the security means corresponding to the service requested for discovery by the second AU.

[0207] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, второе АУ может отправлять сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ. Второе АУ может принимать ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению вторым АУ, причем роль второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ, чтобы обеспечить возможность корректной авторизации роли для второго АУ, а также обеспечить точность исполнения услуги. Кроме того, второму АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, при этом средство защиты может служить для успешной верификации информации, передаваемой первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, что обеспечивает возможность успешного обнаружения друг друга данным двумя АУ и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ. Невозможность для других АУ узнать средство защиты предотвращает вмешательство со стороны посторонних АУ в ходе последующего исполнения услуги, тем самым повышая точность исполнения услуги и усиливая защиту информации.[0207] Thus, according to the method for authorizing a role for an AU according to embodiments of the proposed invention, a second AU may send a discovery request message to a DDNMF function network element or a PKMF function network element of the second AU. The discovery request message is used to request an authorized role in a service requested to be discovered by the second AU. The second AU may receive a discovery response message sent by the DDNMF function network element or the PKMF function network element of the second AU. The discovery response message contains the role of the second AU and a security measure corresponding to the service requested to be discovered by the second AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a second AU, wherein the role of the second AU can be determined by a UDM server or network element based on the capability of the second AU and one or more roles permitted for the second AU in the service requested for discovery by the second AU, in order to ensure the possibility of correct role authorization for the second AU, as well as to ensure the accuracy of service execution. Furthermore, a security tool corresponding to the service requested for discovery by the second AU is sent to the second AU, wherein the security tool can serve to successfully verify the information transmitted by the first AU during the discovery process, based on an identical security tool during discovery, which ensures the possibility of successful mutual discovery by these two AUs and the successful execution of the service requested for discovery by these two AUs. The inability of other AUs to learn the security tool prevents interference from unauthorized AUs during subsequent service execution, thereby increasing the accuracy of service execution and strengthening information security.

[0208] Фиг. 13 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется вторым АУ. Как можно видеть на Фиг. 13, способ авторизации роли для АУ может включать нижеследующие этапы.[0208] Fig. 13 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a second AU. As can be seen in Fig. 13, the method for authorizing a role for an AU may include the following steps.

[0209] На этапе 1301 принимают первое сообщение обнаружения, широковещательно передаваемое первым АУ. Первое сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение обнаружения содержит роль первого АУ и код приложения, соответствующий услуге, запрашиваемой к обнаружению первым АУ.[0209] At step 1301, a first discovery message broadcast by a first AU is received. The first discovery message is protected by a security mechanism corresponding to a service requested to be discovered by the first AU, wherein the first discovery message contains a role of the first AU and an application code corresponding to the service requested to be discovered by the first AU.

[0210] На этапе 1302 декодируют и верифицируют первое сообщение обнаружения на основе средства защиты, соответствующего услуге, запрашиваемой к обнаружению вторым АУ и, в случае успешной верификации, определяют, соответствует ли код приложения, соответствующий услуге, запрашиваемой к обнаружению первым АУ, коду приложения, соответствующему услуге, запрашиваемой к обнаружению вторым АУ, и, если они соответствуют друг другу, определяют, соотносится ли роль второго АУ с ролью первого АУ.[0210] At step 1302, the first discovery message is decoded and verified based on the security means corresponding to the service requested to be discovered by the second AU and, if the verification is successful, it is determined whether the application code corresponding to the service requested to be discovered by the first AU matches the application code corresponding to the service requested to be discovered by the second AU, and, if they match, it is determined whether the role of the second AU is related to the role of the first AU.

[0211] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, второе АУ может отправлять сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ. Второе АУ может принимать ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению вторым АУ, причем роль второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ, чтобы обеспечить возможность корректной авторизации роли для второго АУ, а также обеспечить точность исполнения услуги. Кроме того, второму АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, при этом средство защиты может служить для успешной верификации информации, передаваемой первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, что обеспечивает возможность успешного обнаружения друг друга данным двумя АУ и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ. Невозможность для других АУ узнать средство защиты предотвращает вмешательство со стороны посторонних АУ в ходе последующего исполнения услуги, тем самым повышая точность исполнения услуги и усиливая защиту информации.[0211] Thus, according to the method for authorizing a role for an AU according to embodiments of the proposed invention, a second AU may send a discovery request message to a DDNMF function network element or a PKMF function network element of the second AU. The discovery request message is used to request an authorized role in a service requested to be discovered by the second AU. The second AU may receive a discovery response message sent by the DDNMF function network element or the PKMF function network element of the second AU. The discovery response message contains the role of the second AU and a security measure corresponding to the service requested to be discovered by the second AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a second AU, wherein the role of the second AU can be determined by a UDM server or network element based on the capability of the second AU and one or more roles permitted for the second AU in the service requested for discovery by the second AU, in order to ensure the possibility of correct role authorization for the second AU, as well as to ensure the accuracy of service execution. Furthermore, a security tool corresponding to the service requested for discovery by the second AU is sent to the second AU, wherein the security tool can serve to successfully verify the information transmitted by the first AU during the discovery process, based on an identical security tool during discovery, which ensures the possibility of successful mutual discovery by these two AUs and the successful execution of the service requested for discovery by these two AUs. The inability of other AUs to learn the security tool prevents interference from unauthorized AUs during subsequent service execution, thereby increasing the accuracy of service execution and strengthening information security.

[0212] Фиг. 14 - схема последовательности способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Способ выполняется вторым АУ. Как можно видеть на Фиг. 14, способ авторизации роли для АУ может включать нижеследующие этапы.[0212] Fig. 14 is a flow chart of a method for authorizing a role for an AU according to one embodiment of the present invention. The method is performed by a second AU. As can be seen in Fig. 14, the method for authorizing a role for an AU may include the following steps.

[0213] На этапе 1401 осуществляют широковещательную передачу второго сообщения обнаружения. Второе сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению вторым АУ, при этом второе сообщение обнаружения содержит роль второго АУ и код приложения, соответствующий услуге, запрашиваемой к обнаружению вторым АУ.[0213] At step 1401, a second discovery message is broadcast. The second discovery message is protected by a security mechanism corresponding to the service requested to be discovered by the second AU, wherein the second discovery message contains a role of the second AU and an application code corresponding to the service requested to be discovered by the second AU.

[0214] На этапе 1402 принимают первое сообщение-ответ, отправленное первым АУ. Первое сообщение-ответ защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение-ответ содержит роль первого АУ и код приложения, соответствующий услуге, запрашиваемой к обнаружению первым АУ.[0214] At step 1402, a first response message sent by a first AU is received. The first response message is protected by a security mechanism corresponding to the service requested to be discovered by the first AU, wherein the first response message contains a role of the first AU and an application code corresponding to the service requested to be discovered by the first AU.

[0215] Таким образом, согласно способу авторизации роли для АУ по вариантам осуществления предлагаемого изобретения, второе АУ может отправлять сообщение-запрос обнаружения сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции второго АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ. Второе АУ может принимать ответное сообщение обнаружения, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции второго АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению вторым АУ, причем роль второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ, чтобы обеспечить возможность корректной авторизации роли для второго АУ, а также обеспечить точность исполнения услуги. Кроме того, второму АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, при этом средство защиты может служить для успешной верификации информации, передаваемой первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, что обеспечивает возможность успешного обнаружения друг друга данным двумя АУ и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ. Невозможность для других АУ узнать средство защиты предотвращает вмешательство со стороны посторонних АУ в ходе последующего исполнения услуги, тем самым повышая точность исполнения услуги и усиливая защиту информации.[0215] Thus, according to the method for authorizing a role for an AU according to embodiments of the proposed invention, a second AU may send a discovery request message to a DDNMF function network element or a PKMF function network element of the second AU. The discovery request message serves to request an authorized role in a service requested to be discovered by the second AU. The second AU may receive a discovery response message sent by the DDNMF function network element or the PKMF function network element of the second AU. The discovery response message contains the role of the second AU and a security measure corresponding to the service requested to be discovered by the second AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a second AU, wherein the role of the second AU can be determined by a UDM server or network element based on the capability of the second AU and one or more roles permitted for the second AU in the service requested for discovery by the second AU, in order to ensure the possibility of correct role authorization for the second AU, as well as to ensure the accuracy of service execution. Furthermore, a security tool corresponding to the service requested for discovery by the second AU is sent to the second AU, wherein the security tool can serve to successfully verify the information transmitted by the first AU during the discovery process, based on an identical security tool during discovery, which ensures the possibility of successful mutual discovery by these two AUs and the successful execution of the service requested for discovery by these two AUs. The inability of other AUs to learn the security tool prevents interference from unauthorized AUs during subsequent service execution, thereby increasing the accuracy of service execution and strengthening information security.

[0216] Фиг. 15 - последовательность взаимодействий способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 15, способ включает нижеследующие этапы.[0216] Fig. 15 is a sequence of interactions of a method for authorizing a role for an AU according to one embodiment of the proposed invention. As can be seen in Fig. 15, the method includes the following steps.

[0217] 1. A-АУ (которым может быть первое АУ в раскрытых выше вариантах осуществления) отправляет сообщение-запрос обнаружения, содержащее RAUID, своей DDNMF-функции / PKMF-функции сети 5G для получения кода приложения определения дальности, чтобы сообщить его и получить соответствующее средство защиты. Кроме того, A-АУ должно включить свою способность АУ в отношении услуги определения дальности (т.е. «способность первого АУ» в раскрытых выше вариантах осуществления, например, способность выступать в качестве целевого АУ / АУ-сервера) в сообщение-запрос обнаружения.[0217] 1. The A-AU (which may be the first AU in the embodiments disclosed above) sends a discovery request message containing the RAUID to its DDNMF/PKMF function of the 5G network to obtain the ranging application code in order to report it and obtain the corresponding protection means. In addition, the A-AU must include its AU capability with respect to the ranging service (i.e., the “capability of the first AU” in the embodiments disclosed above, for example, the capability to act as a target AU/AU server) in the discovery request message.

[0218] 2. DDNMF-функция / PKMF-функция сети 5G A-АУ отправляет первое сообщение-запрос авторизации серверу определения дальности / местоопределения по SL или UDM A-АУ для сообщения об авторизации, содержащее способность АУ в отношении услуги определения дальности, принятое от A-АУ.[0218] 2. The DDNMF/PKMF function of the 5G network of the A-AU sends a first authorization request message to the ranging/location server via the SL or UDM of the A-AU for an authorization message containing the capability of the AU regarding the ranging service received from the A-AU.

[0219] 3. Сервер определения дальности / местоопределения по SL проверяет по договору оказания услуг, либо UDM A-АУ проверяет по подписке A-АУ, допускается ли исполнение данным A-АУ одной или нескольких ролей, соответствующих его способности (например, можно ли A-АУ выступать в качестве целевого АУ / АУ-сервера).[0219] 3. The SL Ranging/Location Server verifies, in accordance with the service agreement, or the A-AU UDM verifies, in accordance with the A-AU subscription, whether the given A-AU is permitted to perform one or more roles corresponding to its capability (for example, whether the A-AU can act as a target AU/AU server).

[0220] 4. При наличии соответствия между способностью АУ и одной или несколькими допустимыми ролями (например, A-АУ можно выступать в качестве целевого АУ или A-АУ можно выступать и в качестве целевого АУ, и в качестве АУ-сервера), сервер определения дальности / местоопределения по SL или UDM A-АУ отправляет в ответ первое авторизационное сообщение-ответ, содержащее роль A-АУ, DDNMF-функции / PKMF-функции сети 5G. При отсутствии соответствия между способностью АУ и одной или несколькими допустимыми ролями (например, A-АУ нельзя выступать ни в качестве целевого АУ, ни в качестве АУ-сервера), сервер определения дальности / местоопределения по SL или UDM A-АУ отправляет в ответ первое авторизационное сообщение-ответ, содержащее причину сбоя.[0220] 4. If there is a match between the AU capability and one or more valid roles (e.g., the A-AU can act as a target AU or the A-AU can act as both a target AU and an AU server), the SL or UDM ranging/location server of the A-AU responds with a first authorization response message containing the role of the A-AU, the DDNMF function/PKMF function of the 5G network. If there is no match between the AU capability and one or more valid roles (e.g., the A-AU cannot act as either a target AU or an AU server), the SL or UDM ranging/location server of the A-AU responds with a first authorization response message containing the cause of the failure.

[0221] 5. В случае успешной авторизации A-АУ сервером определения дальности / местоопределения по SL или UDM, DDNMF-функция / PKMF-функция сети 5G A-АУ отправляет в ответ код приложения определения дальности и соответствующее средство защиты в ответном сообщении обнаружения. Средство защиты предоставляет A-АУ необходимую информацию для защиты передачи кода приложения определения дальности и запоминается вместе с кодом приложения определения дальности. DDNMF-функция / PKMF-функция сети 5G A-АУ также содержит одну или несколько ролей A-АУ, принятых от сервера определения дальности / местоопределения по SL или UDM A-АУ в ответном сообщении обнаружения. В случае сбоя авторизации A-АУ сервером определения дальности / местоопределения по SL или UDM, DDNMF-функция / PKMF-функция сети 5G A-АУ не генерирует средство защиты и отклоняет запрос обнаружения от A-АУ.[0221] 5. If the A-AU is successfully authorized by the SL or UDM ranging/location server, the 5G DDNMF/PKMF function of the A-AU responds with a ranging application code and a corresponding security measure in a discovery response message. The security measure provides the A-AU with the necessary information to protect the transmission of the ranging application code and is stored together with the ranging application code. The 5G DDNMF/PKMF function of the A-AU also contains one or more A-AU roles received from the SL or UDM ranging/location server of the A-AU in the discovery response message. If the A-AU is not authorized by the SL or UDM ranging/location server, the 5G DDNMF/PKMF function of the A-AU does not generate a security measure and rejects the discovery request from the A-AU.

[0222] 6. M-АУ (которым может быть второе АУ в раскрытых выше вариантах осуществления) отправляет сообщение-запрос обнаружения, содержащее RAUID, своей DDNMF-функции / PKMF-функции сети 5G для получения код приложения определения дальности, чтобы сообщить его и получить соответствующее средство защиты. Кроме того, M-АУ должно включить свою способность АУ в отношении услуги определения дальности (т.е. «способность второго АУ» в раскрытых выше вариантах осуществления, например, способность выступать в качестве опорного/обнаруживаемого АУ) в сообщение-запрос обнаружения.[0222] 6. The M-AU (which may be the second AU in the embodiments disclosed above) sends a discovery request message containing the RAUID to its DDNMF/PKMF of the 5G network to obtain the ranging application code in order to report it and obtain the corresponding protection means. In addition, the M-AU must include its AU capability with respect to the ranging service (i.e., the “second AU capability” in the embodiments disclosed above, for example, the capability to act as a reference/discovered AU) in the discovery request message.

[0223] 7. DDNMF-функция / PKMF-функция сети 5G M-АУ отправляет серверу определения дальности / местоопределения по SL или UDM M-АУ первое сообщение-запрос авторизации, содержащее способность АУ для услуги определения дальности, принятую от M-АУ.[0223] 7. The DDNMF/PKMF function of the 5G network of the M-AU sends to the ranging/location server via the SL or UDM of the M-AU a first authorization request message containing the capability of the AU for the ranging service received from the M-AU.

[0224] 8. Сервер определения дальности / местоопределения по SL проверяет договор оказания услуг, либо UDM M-АУ проверяет подписку M-АУ, чтобы определить, можно ли M-АУ исполнять роль, соответствующую его способности (например, можно ли M-АУ выступать в качестве опорного/обнаруживаемого АУ).[0224] 8. The SL Ranging/Location Server checks the service agreement or the M-AU UDM checks the M-AU subscription to determine whether the M-AU can perform a role consistent with its capability (e.g., whether the M-AU can act as a reference/discoverable AU).

[0225] 9. При наличии соответствия между способностью АУ и одной или несколькими допустимыми ролями (например, M-АУ можно выступать в качестве опорного АУ или A-АУ можно выступать и в качестве опорного АУ, и в качестве обнаруживаемого АУ), сервер определения дальности / местоопределения по SL или UDM M-АУ отправляет в ответ DDNMF-функции / PKMF-функции сети 5G первое авторизационное сообщение-ответ, содержащее роль M-АУ. При отсутствии соответствия между способностью АУ и одной или несколькими допустимыми ролями (например, M-АУ нельзя выступать ни в качестве опорного АУ, ни в качестве обнаруживаемого АУ), сервер определения дальности / местоопределения по SL или UDM M-АУ отправляет в ответ первое авторизационное сообщение-ответ, содержащее причину сбоя.[0225] 9. If there is a match between the AU capability and one or more valid roles (for example, the M-AU can act as an anchor AU or the A-AU can act as both an anchor AU and a discoverable AU), the M-AU SL or UDM ranging/location server responds to the 5G network DDNMF/PKMF function with a first authorization response message containing the M-AU role. If there is no match between the AU capability and one or more valid roles (for example, the M-AU cannot act as either an anchor AU or a discoverable AU), the M-AU SL or UDM ranging/location server responds with a first authorization response message containing the failure reason.

[0226] 10. В случае успешной авторизации A-АУ сервером определения дальности / местоопределения по SL или UDM A-АУ, DDNMF-функция / PKMF-функция сети 5G M-АУ устанавливает контакт с DDNMF-функцией / PKMF-функцией сети 5G A-АУ путем отправки контрольного сообщения-запроса. В случае сбоя авторизации сервером определения дальности / местоопределения по SL или UDM A-АУ, DDNMF-функция / PKMF-функция сети 5G M-АУ отклоняет запрос обнаружения M-АУ, и нижеследующие этапы не выполняют.[0226] 10. If the A-AU is successfully authorized by the SL or UDM ranging/location server, the 5G DDNMF/PKMF of the M-AU establishes contact with the 5G DDNMF/PKMF of the A-AU by sending a control request message. If the A-AU is not authorized by the SL or UDM ranging/location server, the 5G DDNMF/PKMF of the M-AU rejects the M-AU discovery request and does not perform the following steps.

[0227] 11. DDNMF-функция / PKMF-функция сети 5G A-АУ отправляет серверу определения дальности / местоопределения по SL второе сообщение-запрос авторизации, содержащее роли M-АУ и A-АУ.[0227] 11. The 5G A-AU DDNMF/PKMF sends a second authorization request message to the SL ranging/location server containing the M-AU and A-AU roles.

[0228] 12. Сервер определения дальности / местоопределения по SL проверяет, соотносятся ли друг с другом роли M-АУ и A-АУ в запрашиваемой услуге (например, для услуги определения дальности между двумя АУ, являются ли ролями данных двух АУ целевое АУ и опорное АУ соответственно, или являются ли ими обнаруживаемое АУ и целевое АУ соответственно. Если да, то их задействуют в услуге определения дальности / местоопределения по SL между данными двумя АУ).[0228] 12. The SL ranging/location server checks whether the roles of the M-AU and the A-AU in the requested service are related to each other (e.g., for the ranging service between two AUs, whether the roles of these two AUs are the target AU and the reference AU, respectively, or whether they are the detected AU and the target AU, respectively. If so, they are used in the SL ranging/location service between these two AUs).

[0229] 13. Сервер определения дальности / местоопределения по SL отправляет в ответ второе авторизационное сообщение-ответ, указывающее, была ли авторизация успешной.[0229] 13. The SL ranging/location server responds with a second authorization response message indicating whether the authorization was successful.

[0230] 14. В случае успешной авторизация сервером определения дальности / местоопределения по SL, DDNMF-функция / PKMF-функция сети 5G A-АУ отвечает DDNMF-функции / PKMF-функции сети 5G M-АУ контрольным сообщением-ответом, содержащим код приложения определения дальности и соответствующее средство защиты (средство защиты идентично средству защиты, направленному A-АУ по обратной связи). Средство защиты предоставляет информацию, необходимую M-АУ для отмены защиты, применяемой A-АУ, (т.е. информацию, необходимую для верификации сообщения, передаваемого от A-АУ). В случае сбоя авторизации сервером определения дальности / местоопределения по SL, DDNMF-функция / PKMF-функция сети 5G A-АУ отклоняет контрольное сообщение-запрос от DDNMF-функции / PKMF-функции сети 5G M-АУ, и нижеследующие этапы не выполняют.[0230] 14. In case of successful authorization by the ranging/location server over the SL, the 5G DDNMF/PKMF function of the A-AU responds to the 5G DDNMF/PKMF function of the M-AU with a control response message containing the ranging application code and the corresponding security measure (the security measure is identical to the security measure sent by the A-AU via feedback). The security measure provides the information necessary for the M-AU to cancel the security measure applied by the A-AU (i.e., the information necessary to verify the message transmitted from the A-AU). If the SL ranging/location server fails to authorize, the 5G A-AU DDNMF/PKMF function rejects the control request message from the 5G M-AU DDNMF/PKMF function and does not perform the following steps.

[0231] 15. DDNMF-функция / PKMF-функция сети 5G M-АУ отправляет в ответ средство защиты в ответном сообщении обнаружения, а также роль M-АУ, принятую от сервера определения дальности / местоопределения по SL или UDM M-АУ.[0231] 15. The DDNMF/PKMF function of the 5G M-AU network responds with a security feature in a discovery response message, as well as the M-AU role received from the ranging/location server over the SL or UDM of the M-AU.

[0232] 16. A-АУ запускает сообщение первого сообщения обнаружения. A-АУ формирует первое сообщение обнаружения и защищает его средством защиты. Первое сообщение обнаружения дополнительно содержит авторизованную роль A-АУ.[0232] 16. The A-AU initiates the first discovery message message. The A-AU generates the first discovery message and protects it with a security mechanism. The first discovery message additionally contains the authorized role of the A-AU.

[0233] 17. M-АУ осуществляет прослушивание в ожидании первого сообщения обнаружения и верифицирует сообщение с использованием средства защиты.[0233] 17. The M-AU listens for the first detection message and verifies the message using the security tool.

[0234] 18. M-АУ проверяет роль A-АУ в первом сообщении обнаружения и определяет, является ли роль A-АУ, проверяемая в первом сообщении обнаружения, отслеживаемой им ролью. Например, если ролью A-АУ является целевое АУ, M-АУ, в качестве опорного АУ, может определить, что оно нашло подходящий ему объект.[0234] 18. The M-AU checks the role of the A-AU in the first discovery message and determines whether the role of the A-AU checked in the first discovery message is the role it is monitoring. For example, if the role of the A-AU is the target AU, the M-AU, as a reference AU, may determine that it has found an object that matches it.

[0235] Фиг. 16 - последовательность взаимодействий способа авторизации роли для АУ по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 16, способ включает нижеследующие этапы.[0235] Fig. 16 is a sequence of interactions of a method for authorizing a role for an AU according to one embodiment of the proposed invention. As can be seen in Fig. 16, the method includes the following steps.

[0236] Этапы 1 - 15 варианта осуществления на Фиг. 16 идентичны этапам 1 - 15 с Фиг. 15. R-АУ на Фиг. 16 может быть вторым АУ, речь о котором шла выше, а E-АУ может быть первым АУ, речь о котором шла выше.[0236] Steps 1-15 of the embodiment of Fig. 16 are identical to steps 1-15 of Fig. 15. The R-AU in Fig. 16 may be the second AU discussed above, and the E-AU may be the first AU discussed above.

[0237] 16. R-АУ формирует второе сообщение обнаружения и защищает его средством защиты. Второе сообщение обнаружения дополнительно содержит роль R-АУ.[0237] 16. The R-AU generates a second discovery message and protects it with a security tool. The second discovery message additionally contains the R-AU role.

[0238] 17. E-АУ осуществляет прослушивание в ожидании второго сообщения обнаружения и верифицирует второе сообщение обнаружения с использованием средства защиты. Затем E-АУ проверяет роль R-АУ во втором сообщении обнаружения и определяет, соотносится ли роль R-АУ во втором сообщении обнаружения с ролью E-АУ. Если ролью R-АУ является целевое АУ, то E-АУ, в качестве обнаруживаемого АУ, может определить, что оно нашло подходящий ему объект.[0238] 17. The E-AU listens for the second discovery message and verifies the second discovery message using the security mechanism. The E-AU then checks the role of the R-AU in the second discovery message and determines whether the role of the R-AU in the second discovery message matches the role of the E-AU. If the role of the R-AU is the target AU, the E-AU, as the AU being discovered, can determine that it has found an object that matches it.

[0239] 18. E-АУ отправляет R-АУ в ответ первое сообщение-ответ, содержащее роль R-АУ.[0239] 18. E-AU sends to R-AU in response the first response message containing the role of R-AU.

[0240] Фиг. 17 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 17, связное устройство содержит: приемопередающий модуль, выполненный с возможностью: приема сообщения-запроса обнаружения, отправленного первым АУ и/или вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ; и отправки ответного сообщения обнаружения первому АУ и/или второму АУ, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ.[0240] Fig. 17 is a block diagram of a communication device according to one embodiment of the proposed invention. As can be seen in Fig. 17, the communication device comprises: a transmitting and receiving module configured to: receive a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU; and send a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU.

[0241] Таким образом, при применении связного устройства по вариантам осуществления предлагаемого изобретения, сетевое устройство принимает сообщение-запрос обнаружения, отправленное первым АУ и/или вторым АУ, при этом сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ и/или второго АУ. Сетевое устройство отправляет ответное сообщение обнаружения первому АУ и/или второму АУ, при этом ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0241] Thus, when using a communication device according to embodiments of the proposed invention, a network device receives a discovery request message sent by a first AU and/or a second AU, wherein the discovery request message serves to request an authorized role for the first AU and/or the second AU. The network device sends a discovery response message to the first AU and/or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU. From the above it follows that the invention provides a method for authorizing a role for an AU in a service requested by the AU to be discovered, wherein the role of the AU can be determined by the network device based on the capability of the AU and the contract information of the AU in order to ensure correct authorization of the role for the AU, as well as to ensure the accuracy of the service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[0242] В одном из вариантов осуществления предлагаемого изобретения сообщение-запрос обнаружения необязательно содержит по меньшей мере один из: идентификатора пользователя приложения определения дальности (RAUID); идентификатора услуги; или способности первого АУ и/или второго АУ.[0242] In one embodiment of the present invention, the discovery request message optionally comprises at least one of: a ranging application user identifier (RAUID); a service identifier; or a capability of the first AU and/or the second AU.

[0243] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью определения роли первого АУ и/или второго АУ исходя из способности первого АУ и/или второго АУ и контрактной информации первого АУ и/или второго АУ, запомненной в сетевом устройстве.[0243] In one embodiment of the proposed invention, the device is optionally further configured to determine the role of the first AU and/or the second AU based on the capability of the first AU and/or the second AU and contract information of the first AU and/or the second AU stored in the network device.

[0244] В одном из вариантов осуществления предлагаемого изобретения ответное сообщение обнаружения необязательно дополнительно содержит средство защиты, сгенерированное сетевым устройством, для услуги, запрашиваемой к обнаружению первым АУ и/или вторым АУ. Средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению вторым АУ.[0244] In one embodiment of the proposed invention, the discovery response message optionally further comprises a security measure generated by the network device for the service requested to be discovered by the first AU and/or the second AU. The security measure corresponding to the service requested to be discovered by the first AU is identical to the security measure corresponding to the service requested to be discovered by the second AU.

[0245] В одном из вариантов осуществления предлагаемого изобретения услуга необязательно представляет собой услугу определения дальности и/или услугу местоопределения по боковой линии связи.[0245] In one embodiment of the present invention, the service is not necessarily a ranging service and/or a lateral link positioning service.

[0246] В одном из вариантов осуществления предлагаемого изобретения, сетевое устройство необязательно содержит: первый сетевой элемент, второй сетевой элемент и третий сетевой элемент. Первый сетевой элемент представляет собой сетевой элемент функции управления именами при прямом обнаружении (DDNMF-функции) первого АУ или сетевой элемент функции управления ключами услуги определения близости (PKMF-функции) первого АУ, второй сетевой элемент представляет собой сетевой элемент DDNMF-функции второго АУ или сетевой элемент PKMF-функции второго АУ, и третий сетевой элемент представляет собой сервер услуги определения близости или сетевой элемент управления унифицированными данными (UDM).[0246] In one embodiment of the proposed invention, the network device optionally comprises: a first network element, a second network element, and a third network element. The first network element is a direct discovery name management function (DDNMF) network element of the first AS or a key management function (PKMF) network element of the first AS, the second network element is a DDNMF network element of the second AS or a PKMF network element of the second AS, and the third network element is a proximity service server or a unified data management (UDM) network element.

[0247] В одном из необязательных вариантов осуществления предлагаемого изобретения первый сетевой элемент принимает сообщение-запрос обнаружения, отправленное первым АУ. Первый сетевой элемент отправляет ответное сообщение обнаружения первому АУ. Первый сетевой элемент отправляет первое сообщение-запрос авторизации третьему сетевому элементу, и третий сетевой элемент отправляет первое авторизационное сообщение-ответ первому сетевому элементу. Первое авторизационное сообщение-ответ содержит роль первого АУ, определенную третьим сетевым элементом.[0247] In one optional embodiment of the proposed invention, a first network element receives a discovery request message sent by a first AU. The first network element sends a discovery response message to the first AU. The first network element sends a first authorization request message to a third network element, and the third network element sends a first authorization response message to the first network element. The first authorization response message contains the role of the first AU determined by the third network element.

[0248] В одном из необязательных вариантов осуществления предлагаемого изобретения второй сетевой элемент принимает сообщение-запрос обнаружения, отправленное вторым АУ. Второй сетевой элемент отправляет ответное сообщение обнаружения второму АУ. Второй сетевой элемент отправляет первое сообщение-запрос авторизации третьему сетевому элементу, и третий сетевой элемент отправляет первое авторизационное сообщение-ответ второму сетевому элементу. Первое авторизационное сообщение-ответ содержит роль второго АУ, определенную третьим сетевым элементом.[0248] In one optional embodiment of the proposed invention, a second network element receives a discovery request message sent by a second AU. The second network element sends a discovery response message to the second AU. The second network element sends a first authorization request message to a third network element, and the third network element sends a first authorization response message to the second network element. The first authorization response message contains the role of the second AU determined by the third network element.

[0249] В одном из необязательных вариантов осуществления предлагаемого изобретения второй сетевой элемент отправляет контрольное сообщение-запрос первому сетевому элементу. Контрольное сообщение-запрос содержит роль второго АУ, при этом контрольное сообщение-запрос служит для запрашивания определения того, соотносится ли роль второго АУ с ролью первого АУ. Первый сетевой элемент отправляет второе сообщение-запрос авторизации третьему сетевому элементу. Второе авторизационное сообщение-ответ содержит роль первого АУ и роль второго АУ. Третий сетевой элемент определяет, соотносится ли роль второго АУ с ролью первого АУ, и отправляет второе авторизационное сообщение-ответ первому сетевому элементу. Второе авторизационное сообщение-ответ служит для указания того, соотносится ли роль первого АУ с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ. В случае, когда роль первого АУ соотносится с ролью второго АУ, первый сетевой элемент отправляет второму сетевому элементу средство защиты, сгенерированное в зависимости от услуги, запрашиваемой к обнаружению вторым АУ.[0249] In one optional embodiment of the invention, the second network element sends a control request message to the first network element. The control request message contains the role of the second AU, wherein the control request message is used to request a determination of whether the role of the second AU is related to the role of the first AU. The first network element sends a second authorization request message to a third network element. The second authorization response message contains the role of the first AU and the role of the second AU. The third network element determines whether the role of the second AU is related to the role of the first AU and sends a second authorization response message to the first network element. The second authorization response message is used to indicate whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs. In the case where the role of the first AU is related to the role of the second AU, the first network element sends to the second network element a security tool generated depending on the service requested for discovery by the second AU.

[0250] Фиг. 18 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 18, связное устройство содержит: приемопередающий модуль, выполненный с возможностью: отправки сообщения-запроса обнаружения сетевому устройству, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ; и приема ответного сообщения обнаружения, отправленного сетевым устройством, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ.[0250] Fig. 18 is a block diagram of a communication device according to one embodiment of the proposed invention. As can be seen in Fig. 18, the communication device comprises: a transmitting and receiving module configured to: send a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for a first AU; and receive a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the first AU.

[0251] Таким образом, при применении связного устройства по вариантам осуществления предлагаемого изобретения, первое АУ может отправлять сообщение-запрос обнаружения сетевому устройству. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли для первого АУ. Первое АУ может принимать ответное сообщение обнаружения, отправленное сетевым устройством. Ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0251] Thus, when using a communication device according to embodiments of the proposed invention, a first AU can send a discovery request message to a network device. The discovery request message serves to request an authorized role for the first AU. The first AU can receive a discovery response message sent by the network device. The discovery response message contains a role determined by the network device for the first AU. From the above, it follows that the invention proposes a method for authorizing a role for an AU in a service requested by the AU to be discovered, wherein the AU role can be determined by the network device based on the AU capability and the AU contract information in order to ensure correct authorization of the role for the AU and also to ensure the accuracy of service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[0252] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью широковещательной передачи первого сообщения обнаружения. Первое сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение обнаружения содержит роль первого АУ.[0252] In one embodiment of the proposed invention, the device is optionally further configured to broadcast a first discovery message. The first discovery message is protected by a security means corresponding to the service requested to be discovered by the first AU, wherein the first discovery message contains the role of the first AU.

[0253] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью приема второго сообщения обнаружения, широковещательно передаваемого вторым АУ, причем второе сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению вторым АУ, при этом второе сообщение обнаружения содержит роль второго АУ; декодирования и верификации второго сообщения обнаружения и определения того, соотносится ли роль второго АУ с ролью первого АУ в случае успешной верификации; и отправки первого сообщения-ответа второму АУ в случае, когда роль первого АУ соотносится с ролью второго АУ, причем первое сообщение-ответ защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение-ответ содержит роль первого АУ.[0253] In one embodiment of the proposed invention, the device is optionally further configured to receive a second discovery message broadcast by a second AU, wherein the second discovery message is protected by a security means corresponding to a service requested to be discovered by the second AU, wherein the second discovery message contains a role of the second AU; decoding and verifying the second discovery message and determining whether the role of the second AU corresponds to the role of the first AU in case of successful verification; and sending a first response message to the second AU in case when the role of the first AU corresponds to the role of the second AU, wherein the first response message is protected by a security means corresponding to the service requested to be discovered by the first AU, wherein the first response message contains the role of the first AU.

[0254] Фиг. 19 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 19, связное устройство содержит: приемопередающий модуль, выполненный с возможностью: отправки сообщения-запроса обнаружения сетевому устройству, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ; и приема ответного сообщения обнаружения, отправленного сетевым устройством, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ.[0254] Fig. 19 is a block diagram of a communication device according to one embodiment of the proposed invention. As can be seen in Fig. 19, the communication device comprises: a transmitting and receiving module configured to: send a discovery request message to a network device, wherein the discovery request message serves to request an authorized role for a second AU; and receive a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the second AU.

[0255] Таким образом, при применении связного устройства по вариантам осуществления предлагаемого изобретения, второе АУ может отправлять сообщение-запрос обнаружения сетевому устройству. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли для второго АУ. Второе АУ может принимать ответное сообщение обнаружения, отправленное сетевым устройством. Ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для АУ в услуге, запрашиваемой АУ к обнаружению, причем роль АУ может быть определена сетевым устройством исходя из способности АУ и контрактной информации АУ, чтобы обеспечить корректную авторизацию роли для АУ, а также обеспечить точность исполнения услуги. Кроме того, абонентскому устройству отправляют средство защиты, соответствующее услуге, запрашиваемой АУ к обнаружению, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения абонентским устройством другого АУ, для недопущения возможности отслеживания посторонним АУ роли данного АУ или несанкционированного изменения им роли данного АУ при передаче данным АУ своей роли в последующем процессе обнаружения и, тем самым, недопущения исполнения посторонним АУ роли данного АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0255] Thus, when using a communication device according to embodiments of the proposed invention, a second AU can send a discovery request message to a network device. The discovery request message serves to request an authorized role for the second AU. The second AU can receive a discovery response message sent by the network device. The discovery response message contains a role determined by the network device for the second AU. From the above, it follows that the invention proposes a method for authorizing a role for an AU in a service requested by the AU to be discovered, wherein the AU role can be determined by the network device based on the AU capability and the AU contract information in order to ensure correct authorization of the role for the AU and also to ensure the accuracy of service execution. In addition, the subscriber device is sent a security tool corresponding to the service requested by the AU for detection, wherein the security tool can serve to ensure protection during the subsequent process of detection by the subscriber device of another AU, to prevent the possibility of tracking by an outside AU the role of this AU or an unauthorized change by it of the role of this AU when this AU transmits its role to it in the subsequent detection process and, thereby, to prevent an outside AU from performing the role of this AU, impersonating it, to prevent interference by an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[0256] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью: приема первого сообщения обнаружения, широковещательно передаваемого первым АУ, причем первое сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение обнаружения содержит роль первого АУ; и декодирования и верификации первого сообщения обнаружения, и определения того, соотносится ли роль второго АУ с ролью первого АУ в случае успешной верификации.[0256] In one embodiment of the proposed invention, the device is optionally further configured to: receive a first discovery message broadcast by a first AU, wherein the first discovery message is protected by a security means corresponding to a service requested to be discovered by the first AU, wherein the first discovery message comprises a role of the first AU; and decoding and verifying the first discovery message, and determining whether the role of the second AU corresponds to the role of the first AU in case of successful verification.

[0257] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью: широковещательной передачи второго сообщения обнаружения, причем второе сообщение обнаружения защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению вторым АУ, при этом второе сообщение обнаружения содержит роль второго АУ; и приема первого сообщения-ответа, отправленного первым АУ, причем первое сообщение-ответ защищено средством защиты, соответствующим услуге, запрашиваемой к обнаружению первым АУ, при этом первое сообщение-ответ содержит роль первого АУ.[0257] In one embodiment of the proposed invention, the device is optionally further configured to: broadcast a second discovery message, wherein the second discovery message is protected by a security means corresponding to the service requested to be discovered by the second AU, wherein the second discovery message comprises the role of the second AU; and receive a first response message sent by the first AU, wherein the first response message is protected by a security means corresponding to the service requested to be discovered by the first AU, wherein the first response message comprises the role of the first AU.

[0258] Фиг. 20 - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 20, связное устройство содержит: приемопередающий модуль, выполненный с возможностью: приема сообщения-запроса обнаружения, отправленного первым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ; отправки первого сообщения-запроса авторизации серверу или сетевому элементу управления унифицированными данными (UDM) согласно сообщению-запросу обнаружения; приема первого авторизационного сообщения-ответа, отправленного сервером или сетевым элементом UDM, причем первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM; и отправки ответного сообщения обнаружения первому АУ, причем ответное сообщение обнаружения содержит роль первого АУ.[0258] Fig. 20 is a block diagram of a communication device according to one embodiment of the proposed invention. As can be seen in Fig. 20, the communication device comprises: a transmitting and receiving module configured to: receive a discovery request message sent by a first AU, wherein the discovery request message serves to request an authorized role in a service requested to be discovered by the first AU; send a first authorization request message to a unified data management (UDM) server or network element according to the discovery request message; receive a first authorization response message sent by the UDM server or network element, wherein the first authorization response message contains a role of the first AU determined by the UDM server or network element; and send a discovery response message to the first AU, wherein the discovery response message contains the role of the first AU.

[0259] Таким образом, при применении связного устройства по вариантам осуществления предлагаемого изобретения, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может принимать сообщение-запрос обнаружения, отправленное первым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ. Затем сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может отправить первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения и принять первое авторизационное сообщение-ответ, отправленный сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль первого АУ, определенную сервером или сетевым элементом UDM. В завершение, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции первого АУ может отправить ответное сообщение обнаружения первому АУ. Ответное сообщение обнаружения содержит роль первого АУ и средство защиты, сгенерированное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ для услуги, запрашиваемой к обнаружению первым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению первым АУ, причем роль первого АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и одной или нескольких ролей, допустимых для первого АУ в услуге, запрашиваемой к обнаружению первым АУ, чтобы обеспечить возможность корректной авторизации роли для первого АУ, а также обеспечить точность исполнения услуги. Кроме того, первому АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению первым АУ, при этом средство защиты может служить для обеспечения защиты в ходе последующего процесса обнаружения другого АУ, выполняемого первым АУ, для недопущения возможности отслеживания посторонним АУ роли первого АУ или несанкционированного изменения им роли первого АУ при передаче первым АУ роли первого АУ в последующем процессе обнаружения и, тем самым, недопущения возможности исполнения посторонним АУ роли первого АУ, выдавая себя за него, предотвращения вмешательства со стороны постороннего АУ в ходе последующего процесса исполнения услуги, повышения точности исполнения услуги и усиления защиты информации.[0259] Thus, when using the communication device according to the embodiments of the proposed invention, the DDNMF network element or the PKMF network element of the first AU may receive a discovery request message sent by the first AU. The discovery request message serves to request an authorized role in the service requested to be discovered by the first AU. Then, the DDNMF network element or the PKMF network element of the first AU may send a first authorization request message to the UDM server or network element according to the discovery request message and receive a first authorization response message sent by the UDM server or network element. The first authorization response message contains the role of the first AU determined by the UDM server or network element. Finally, the DDNMF network element or the PKMF network element of the first AU may send a discovery response message to the first AU. The discovery response message contains the role of the first AU and the security feature generated by the DDNMF network element or the PKMF network element of the first AU for the service requested for discovery by the first AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by the first AU, wherein the role of the first AU can be determined by the UDM server or network element based on the capability of the first AU and one or more roles allowed for the first AU in the service requested for discovery by the first AU, in order to ensure the correct authorization of the role for the first AU and to ensure the accuracy of service execution. In addition, the first AU is sent a security tool corresponding to the service requested for detection by the first AU, wherein the security tool can serve to ensure protection during the subsequent process of detection of another AU performed by the first AU, to prevent the possibility of an outside AU tracking the role of the first AU or an unauthorized change by it of the role of the first AU when the first AU transfers the role of the first AU in the subsequent detection process and, thereby, to prevent the possibility of an outside AU performing the role of the first AU, impersonating it, to prevent interference from an outside AU during the subsequent process of service execution, to increase the accuracy of service execution and to strengthen the protection of information.

[0260] В одном из необязательных вариантов осуществления предлагаемого изобретения приемопередающий модуль дополнительно выполнен с возможностью: преобразования RAUID, соответствующего первому АУ, в первый идентификатор, который может быть распознан сервером или сетевым элементом UDM, причем первый идентификатор служит для указания первого АУ; и отправки первого сообщения-запроса авторизации, содержащего по меньшей мере одно из первого идентификатора, услуги, запрашиваемой к обнаружению первым АУ, или способности первого АУ, серверу или сетевому элементу UDM.[0260] In one of the optional embodiments of the proposed invention, the transmitting and receiving module is further configured to: convert a RAUID corresponding to the first AU into a first identifier that can be recognized by the UDM server or network element, wherein the first identifier serves to indicate the first AU; and send a first authorization request message containing at least one of the first identifier, the service requested to be discovered by the first AU, or the capability of the first AU, to the UDM server or network element.

[0261] Фиг. 21a - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 21a, связное устройство содержит: приемопередающий модуль, выполненный с возможностью: приема сообщения-запроса обнаружения, отправленного вторым АУ, причем сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ, отправки первого сообщения-запроса авторизации серверу или сетевому элементу управления унифицированными данными (UDM) согласно сообщению-запросу обнаружения, приема первого авторизационного сообщения-ответа, отправленного сервером или сетевым элементом UDM, причем первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM; и обрабатывающий модуль, выполненный с возможностью определения средства защиты, соответствующего услуге, запрашиваемой к обнаружению вторым АУ. Приемопередающий модуль дополнительно выполнен с возможностью отправки ответного сообщения обнаружения второму АУ, причем ответное сообщение обнаружения содержит роль второго АУ.[0261] Fig. 21a is a block diagram of a communication device according to one embodiment of the proposed invention. As can be seen in Fig. 21a, the communication device comprises: a transmitting and receiving module configured to: receive a discovery request message sent by a second AU, wherein the discovery request message serves to request an authorized role in a service requested to be discovered by the second AU, send a first authorization request message to a unified data management (UDM) server or network element according to the discovery request message, receive a first authorization response message sent by the UDM server or network element, wherein the first authorization response message contains a role of the second AU determined by the UDM server or network element; and a processing module configured to determine a security means corresponding to the service requested to be discovered by the second AU. The transmitting and receiving module is further configured to send a detection response message to the second AU, wherein the detection response message contains the role of the second AU.

[0262] Таким образом, при применении связного устройства по вариантам осуществления предлагаемого изобретения, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может принимать сообщение-запрос обнаружения, отправленное вторым АУ. Сообщение-запрос обнаружения служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению вторым АУ. Затем сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может отправить первое сообщение-запрос авторизации серверу или сетевому элементу UDM согласно сообщению-запросу обнаружения и принять первое авторизационное сообщение-ответ, отправленный сервером или сетевым элементом UDM. Первое авторизационное сообщение-ответ содержит роль второго АУ, определенную сервером или сетевым элементом UDM. Сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может определить сгенерированное средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. В завершение, сетевой элемент DDNMF-функции или сетевой элемент PKMF-функции второго АУ может отправить ответное сообщение обнаружения второму АУ. Ответное сообщение обнаружения содержит роль второго АУ и средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли в услуге, запрашиваемой к обнаружению вторым АУ, причем роль второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности второго АУ и одной или нескольких ролей, допустимых для второго АУ в услуге, запрашиваемой к обнаружению вторым АУ, чтобы обеспечить возможность корректной авторизации роли для второго АУ, а также обеспечить точность исполнения услуги. Кроме того, второму АУ отправляют средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, при этом средство защиты может служить для успешной верификации информации, передаваемой первым АУ в ходе процесса обнаружения, на основе идентичного средства защиты при обнаружении, что обеспечивает возможность успешного обнаружения друг друга данным двумя АУ и успешного исполнения ими услуги, запрашиваемой к обнаружению данными двумя АУ. Невозможность для других АУ узнать средство защиты предотвращает вмешательство со стороны посторонних АУ в ходе последующего исполнения услуги, тем самым повышая точность исполнения услуги и усиливая защиту информации.[0262] Thus, when using the communication device according to the embodiments of the proposed invention, the DDNMF function network element or the PKMF function network element of the second AU can receive a discovery request message sent by the second AU. The discovery request message serves to request an authorized role in the service requested to be discovered by the second AU. Then, the DDNMF function network element or the PKMF function network element of the second AU can send a first authorization request message to the UDM server or network element according to the discovery request message and receive a first authorization response message sent by the UDM server or network element. The first authorization response message contains the role of the second AU determined by the UDM server or network element. The DDNMF function network element or the PKMF function network element of the second AU can determine the generated security means corresponding to the service requested to be discovered by the second AU. Finally, the DDNMF network element or the PKMF network element of the second AU may send a discovery response message to the second AU. The discovery response message contains the role of the second AU and a security feature corresponding to the service requested for discovery by the second AU. From the above, it follows that the invention proposes a method for authorizing a role in a service requested for discovery by a second AU, wherein the role of the second AU can be determined by a UDM server or network element based on the capability of the second AU and one or more roles allowed for the second AU in the service requested for discovery by the second AU, in order to ensure the correct authorization of the role for the second AU and to ensure the accuracy of service execution. In addition, the second AU is sent a security tool corresponding to the service requested for discovery by the second AU. This security tool can be used to successfully verify the information transmitted by the first AU during the discovery process, based on an identical security tool during discovery. This ensures the ability of these two AUs to successfully discover each other and successfully execute the service requested for discovery by these two AUs. The inability of other AUs to learn the security tool prevents interference by unauthorized AUs during subsequent service execution, thereby increasing the accuracy of service execution and strengthening information security.

[0263] В одном из необязательных вариантов осуществления предлагаемого изобретения приемопередающий модуль дополнительно выполнен с возможностью: преобразования RAUID, соответствующего второму АУ, во второй идентификатор, который может быть распознан сервером или сетевым элементом UDM, причем второй идентификатор служит для указания второго АУ; и отправки сообщения-запроса авторизации, содержащего по меньшей мере одно из второго идентификатора, услуги, запрашиваемой к обнаружению вторым АУ, или способности второго АУ, серверу или сетевому элементу UDM.[0263] In one of the optional embodiments of the proposed invention, the transmitting and receiving module is further configured to: convert the RAUID corresponding to the second AU into a second identifier that can be recognized by the UDM server or network element, wherein the second identifier serves to indicate the second AU; and send an authorization request message containing at least one of the second identifier, the service requested to be discovered by the second AU, or the capability of the second AU, to the UDM server or network element.

[0264] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью: отправки контрольного сообщения-ответа сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ, причем контрольное сообщение-ответ содержит роль второго АУ, при этом контрольное сообщение-ответ служит для запрашивания определения того, соотносится ли роль второго АУ с ролью первого АУ; и приема контрольного сообщения-ответа, отправленного сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ, причем контрольное сообщение-ответ содержит средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, причем средство защиты, соответствующее услуге, запрашиваемой к обнаружению вторым АУ, идентично средству защиты, соответствующему услуге, запрашиваемой к обнаружению первым АУ.[0264] In one embodiment of the proposed invention, the device is optionally further configured to: send a control response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU, wherein the control response message contains the role of the second AU, wherein the control response message serves to request a determination of whether the role of the second AU corresponds to the role of the first AU; and receive a control response message sent by the network element of the DDNMF function or the network element of the PKMF function of the first AU, wherein the control response message contains a security means corresponding to the service requested to be discovered by the second AU, wherein the security means corresponding to the service requested to be discovered by the second AU is identical to the security means corresponding to the service requested to be discovered by the first AU.

[0265] Фиг. 21b - блок-схема связного устройства по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 21b, связное устройство содержит: приемопередающий модуль, выполненный с возможностью приема первого сообщения-запроса авторизации, отправленного сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, причем первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ; и обрабатывающий модуль, выполненный с возможностью определения роли первого АУ и/или второго АУ согласно первому сообщению-запросу авторизации. Приемопередающий модуль дополнительно выполнен с возможностью отправки первого авторизационного сообщения-ответа сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, причем первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ.[0265] Fig. 21b is a block diagram of a communication device according to one embodiment of the proposed invention. As can be seen in Fig. 21b, the communication device comprises: a transmitting and receiving module configured to receive a first authorization request message sent by a network element of the DDNMF function or a network element of the PKMF function of the first AU and/or the second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU; and a processing module configured to determine the role of the first AU and/or the second AU according to the first authorization request message. The transmitting and receiving module is additionally configured to send a first authorization response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU.

[0266] Таким образом, при применении связного устройства по вариантам осуществления предлагаемого изобретения, сервер или сетевой элемент UDM может принимать первое сообщение-запрос авторизации, отправленное сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ и/или второго АУ, при этом первое сообщение-запрос авторизации служит для запрашивания авторизованной роли в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ. Роль первого АУ и/или второго АУ может быть определена согласно первому сообщению-запросу авторизации. Затем сервер или сетевой элемент UDM может отправить первое авторизационное сообщение-ответ сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ и/или второго АУ, при этом первое авторизационное сообщение-ответ содержит роль первого АУ и/или второго АУ. Из вышесказанного следует, что в изобретении предложен способ авторизации роли для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению, причем роль первого АУ и/или второго АУ может быть определена сервером или сетевым элементом UDM исходя из способности первого АУ и/или второго АУ и одной или нескольких ролей, допустимых для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ, что обеспечивает возможность корректной авторизации роли для первого АУ и/или второго АУ и точность исполнения услуги.[0266] Thus, when using a communication device according to embodiments of the proposed invention, the UDM server or network element may receive a first authorization request message sent by a DDNMF function network element or a PKMF function network element of a first AU and/or a second AU, wherein the first authorization request message serves to request an authorized role in a service requested to be discovered by the first AU and/or the second AU. The role of the first AU and/or the second AU may be determined according to the first authorization request message. Then, the UDM server or network element may send a first authorization response message to the DDNMF function network element or the PKMF function network element of the first AU and/or the second AU, wherein the first authorization response message contains the role of the first AU and/or the second AU. From the above it follows that the invention proposes a method for authorizing a role for a first AU and/or a second AU in a service requested for discovery, wherein the role of the first AU and/or the second AU can be determined by a server or a UDM network element based on the capability of the first AU and/or the second AU and one or more roles acceptable for the first AU and/or the second AU in the service requested for discovery by the first AU and/or the second AU, which ensures the possibility of correct authorization of the role for the first AU and/or the second AU and the accuracy of service execution.

[0267] В одном из необязательных вариантов осуществления предлагаемого изобретения обрабатывающий модуль дополнительно выполнен с возможностью определения, по контрактной информации первого АУ и/или второго АУ, роль, допустимую для первого АУ и/или второго АУ в услуге, запрашиваемой к обнаружению первым АУ и/или вторым АУ; и определения, из числа ролей, допустимых для первого АУ и/или второго АУ, роли, поддерживаемой способностью первого АУ и/или второго АУ, в качестве роли первого АУ и/или второго АУ.[0267] In one of the optional embodiments of the proposed invention, the processing module is further configured to determine, based on contract information of the first AU and/or the second AU, a role that is allowed for the first AU and/or the second AU in the service that is requested to be discovered by the first AU and/or the second AU; and to determine, from among the roles that are allowed for the first AU and/or the second AU, a role supported by the capability of the first AU and/or the second AU, as a role of the first AU and/or the second AU.

[0268] В одном из вариантов осуществления предлагаемого изобретения устройство необязательно дополнительно выполнено с возможностью приема второго сообщения-запроса авторизации, отправленного сетевым элементом DDNMF-функции или сетевым элементом PKMF-функции первого АУ, причем второе сообщение-запрос авторизации содержит роль первого АУ, роль второго АУ и услугу, запрашиваемую к обнаружению данными двумя АУ; определения того, соотносится ли роль первого АУ с ролью второго АУ в услуге, запрашиваемой к обнаружению данными двумя АУ; и отправки второго авторизационного сообщения-ответа сетевому элементу DDNMF-функции или сетевому элементу PKMF-функции первого АУ, причем второе авторизационное сообщение-ответ служит для указания того, соотносится ли роль первого АУ с ролью второго АУ.[0268] In one embodiment of the proposed invention, the device is optionally further configured to receive a second authorization request message sent by a network element of the DDNMF function or a network element of the PKMF function of the first AU, wherein the second authorization request message contains a role of the first AU, a role of the second AU and a service requested to be discovered by these two AUs; determine whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs; and send a second authorization response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU, wherein the second authorization response message serves to indicate whether the role of the first AU is related to the role of the second AU.

[0269] Фиг. 22 - блок-схема системы связи по одному из вариантов осуществления предлагаемого изобретения. Как можно видеть на Фиг. 22, система связи может включать: первое АУ, выполненное с возможностью отправки сообщения-запроса обнаружения; второе АУ, выполненное с возможностью отправки сообщения-запроса обнаружения; сетевое устройство, выполненное с возможностью отправки ответного сообщения обнаружения, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ и/или второго АУ. Первое АУ, в свою очередь, выполнено с возможностью приема ответного сообщения обнаружения, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для первого АУ. Второе АУ, в свою очередь, выполнено с возможностью приема ответного сообщения обнаружения, причем ответное сообщение обнаружения содержит роль, определенную сетевым устройством для второго АУ.[0269] Fig. 22 is a block diagram of a communication system according to one embodiment of the proposed invention. As can be seen in Fig. 22, the communication system may include: a first AU configured to send a discovery request message; a second AU configured to send a discovery request message; a network device configured to send a discovery response message, wherein the discovery response message contains a role determined by the network device for the first AU and/or the second AU. The first AU, in turn, is configured to receive the discovery response message, wherein the discovery response message contains a role determined by the network device for the first AU. The second AU, in turn, is configured to receive the discovery response message, wherein the discovery response message contains a role determined by the network device for the second AU.

[0270] Рассмотрим Фиг. 23 - блок-схему связного устройства 2300 по одному из вариантов осуществления предлагаемого изобретения, при этом связным устройством 2300 может быть базовая станция, а также оконечное устройство, а также микросхема, интегральная система или процессор, обеспечивающий возможность реализации базовой станцией раскрытых выше способов, а также им может быть микросхема, интегральная система или процессор, обеспечивающий возможность реализации оконечным устройством раскрытых выше способов. Устройство может быть выполнено с возможностью реализации способов по раскрытым выше вариантам осуществления способов, в описании которых можно найти сведения о нем.[0270] Let us consider Fig. 23 - a block diagram of a communication device 2300 according to one of the embodiments of the proposed invention, wherein the communication device 2300 can be a base station, as well as an end device, as well as a microcircuit, integrated system or processor that provides the ability to implement the above-disclosed methods by the base station, and it can also be a microcircuit, integrated system or processor that provides the ability to implement the above-disclosed methods by the end device. The device can be configured to implement the methods according to the above-disclosed embodiments of the methods, in the description of which information about it can be found.

[0271] Связное устройство 2300 может содержать по меньшей мере один процессор 2301. Процессором 2301 может быть процессор общего назначения или процессор специального назначения. Например, процессором 2301 может быть процессор основной полосы или центральный процессор. Процессор основной полосы выполнен с возможностью обработки протокола связи и данных связи, а центральный процессор выполнен с возможностью управления связным устройством (в частности, базовой станцией, чипом радиомодема, оконечным устройством, микросхемой оконечного устройства, распределенным блоком (DU, от англ. Distributed Unit), центральным блоком (CU, от англ. Central Unit) или чем-либо подобным), исполнения программ для ЭВМ и обработки данных программ для ЭВМ.[0271] The communication device 2300 may comprise at least one processor 2301. The processor 2301 may be a general-purpose processor or a special-purpose processor. For example, the processor 2301 may be a baseband processor or a central processor. The baseband processor is configured to process a communication protocol and communication data, and the central processor is configured to control the communication device (in particular, a base station, a radio modem chip, an end device, an end device chip, a distributed unit (DU), a central unit (CU), or the like), execute computer programs, and process computer program data.

[0272] Связное устройство 2300 может необязательно дополнительно содержать по меньшей мере одно запоминающее устройство 2302 с запомненной в нем программой 2304 для ЭВМ. Процессор 2301 исполняет программу 2304 для ЭВМ, тем самым приводя связное устройство 2300 в действие для реализации способов по раскрытым выше вариантам осуществления способов. При необходимости, запоминающее устройство 2302 может содержать запомненные в нем данные. Связное устройство 2300 и запоминающее устройство 2302 могут быть установлены по отдельности или выполнены за одно целое друг с другом.[0272] The communication device 2300 may optionally further comprise at least one memory device 2302 with a computer program 2304 stored therein. The processor 2301 executes the computer program 2304, thereby causing the communication device 2300 to implement the methods according to the embodiments of the methods disclosed above. If necessary, the memory device 2302 may contain data stored therein. The communication device 2300 and the memory device 2302 may be installed separately or implemented integrally with each other.

[0273] При необходимости, связное устройство 2300 может дополнительно содержать приемопередатчик 2305 и антенну 2306. Приемопередатчик 2305 может именоваться «приемопередающий элемент», «приемопередающая установка», «приемопередающая схема» и т.п., для реализации функции приема и передачи. Приемопередатчик 2305 может содержать приемник и передатчик. Приемник может именоваться «приемная установка», «приемная схема» и т.п. для реализации функции приема. Передатчик может именоваться «передающая установка», «передающая схема» и т.п. для реализации функции отправки.[0273] If necessary, the communication device 2300 may further comprise a transceiver 2305 and an antenna 2306. The transceiver 2305 may be referred to as a "transceiver element," "transceiver apparatus," "transceiver circuit," and the like, for implementing a receiving and transmitting function. The transceiver 2305 may comprise a receiver and a transmitter. The receiver may be referred to as a "receiving apparatus," "receiving circuit," and the like, for implementing a receiving function. The transmitter may be referred to as a "transmitting apparatus," "transmitting circuit," and the like, for implementing a sending function.

[0274] При необходимости, связное устройство 2300 может дополнительно содержать по меньшей мере одну интерфейсную схему 2307. Интерфейсная схема 2307 выполнена с возможностью приема инструкции кода и передачи данной инструкции кода процессору 2301. Процессор 2301 исполняет инструкцию кода, результатом чего является выполнение связным устройством 2300 способов по раскрытым выше вариантам осуществления способов.[0274] If necessary, the communication device 2300 may further comprise at least one interface circuit 2307. The interface circuit 2307 is configured to receive a code instruction and transmit this code instruction to the processor 2301. The processor 2301 executes the code instruction, which results in the communication device 2300 performing the methods according to the embodiments of the methods disclosed above.

[0275] В одном из вариантов реализации процессор 2301 может содержать приемопередатчик, выполненный с возможностью реализации функций приема и отправки. Например, приемопередатчиком может быть приемопередающая схема, интерфейс или интерфейсная схема. Приемопередающая схема, интерфейс или интерфейсная схема, выполненные с возможностью реализации функций приема и отправки, могут быть обособлены или выполнены за одно целое друг с другом. Вышеупомянутые приемопередающая схема, интерфейс или интерфейсная схема могут быть выполнены с возможностью чтения или записи кодов/данных или с возможностью отправки или передачи сигналов.[0275] In one embodiment, the processor 2301 may comprise a transceiver configured to implement receiving and sending functions. For example, the transceiver may be a transceiver circuit, an interface, or an interface circuit. The transceiver circuit, interface, or interface circuit configured to implement receiving and sending functions may be separate or integral with one another. The aforementioned transceiver circuit, interface, or interface circuit may be configured to read or write codes/data, or to send or transmit signals.

[0276] В одном из вариантов реализации процессор 2301 может содержать запомненную в нем программу 2303 для ЭВМ, результатом прогона которой в процессоре 2301 является реализация связным устройством 2300 способов по раскрытым выше вариантам осуществления способов. Программа 2303 для ЭВМ может быть зашита в процессор 2301, и в этом случае процессор 2301 может быть реализован аппаратными средствами.[0276] In one embodiment, the processor 2301 may contain a computer program 2303 stored therein, the result of which, when run in the processor 2301, is the implementation by the communication device 2300 of the methods according to the embodiments of the methods disclosed above. The computer program 2303 may be programmed into the processor 2301, in which case the processor 2301 may be implemented in hardware.

[0277] В одном из вариантов реализации связное устройство 2300 может содержать схему, при этом схема выполнена с возможностью реализации функции отправки, приема или связи по раскрытым выше вариантам осуществления способа. Процессор и приемопередатчик в предлагаемом изобретении могут быть реализованы на основе интегральной схемы (ИС), аналоговой ИС, радиочастотной интегральной схемы (РЧИС), комбинированной ИС, специализированной заказной интегральной схемы (СИС), платы с печатной схемой (ППС), электронного устройства и т.п. Процессор и приемопередатчик могут быть изготовлены с применением разнообразных технологий ИС, в частности, на основе комплементарной структуры металл-оксид-полупроводник (КМОП), N-канальной структуры металл-оксид-полупроводник (N-МОП), P-канальной структуры металл-оксид-полупроводник (P-МОП), биполярного плоскостного транзистора (БПТ), биполярной КМОП (БиКМОП), сплава кремния и германия (SiGe), арсенида галлия (GaAs) и т.п.[0277] In one embodiment, the communication device 2300 may comprise a circuit, wherein the circuit is configured to implement the sending, receiving, or communication function according to the embodiments of the method disclosed above. The processor and transceiver in the proposed invention may be implemented based on an integrated circuit (IC), an analog IC, a radio-frequency integrated circuit (RFIC), a combined IC, an application-specific integrated circuit (ASIC), a printed circuit board (PCB), an electronic device, etc. The processor and transceiver can be manufactured using a variety of IC technologies, in particular, based on the complementary metal-oxide-semiconductor (CMOS) structure, N-channel metal-oxide-semiconductor (N-MOS), P-channel metal-oxide-semiconductor (P-MOS), bipolar junction transistor (BJT), bipolar CMOS (BiCMOS), silicon germanium alloy (SiGe), gallium arsenide (GaAs), etc.

[0278] Связным устройством в раскрытых выше вариантах осуществления может быть базовая станция или оконечное устройство, при этом объем охраны связного устройства согласно предлагаемому изобретению не ограничен ими, равно как и структура связного устройства может не быть ограничена изображенной на Фиг. 23. Связное устройство может быть отдельным устройством или входить в состав более крупного устройства. Например, связным устройством может быть: (1) отдельная интегральная схема (ИС), микросхема, интегральная система или подсистема; (2) набор из одной или более ИС, при этом набор ИС может, при необходимости, дополнительно включать запоминающий компонент для запоминания в нем данных и программ для ЭВМ; (3) СИС, в частности, модем; (4) модуль, который может быть встроен в другие устройства; (5) приемник, оконечное устройство, интеллектуальное оконечное устройство, сотовый телефон, беспроводное устройство, переносная установка, подвижный объект, возимое устройство, сетевое устройство, облачное устройство, устройство с искусственным интеллектом и т.п.; (6) иные устройства.[0278] The communication device in the embodiments disclosed above may be a base station or a terminal device, and the scope of protection of the communication device according to the proposed invention is not limited thereto, just as the structure of the communication device may not be limited to that shown in Fig. 23. The communication device may be a separate device or be part of a larger device. For example, the communication device may be: (1) a separate integrated circuit (IC), a microcircuit, an integrated system or a subsystem; (2) a set of one or more ICs, wherein the set of ICs may, if necessary, additionally include a storage component for storing data and computer programs therein; (3) an ASIC, in particular a modem; (4) a module that can be built into other devices; (5) a receiver, a terminal device, an intelligent terminal device, a cellular telephone, a wireless device, a portable installation, a mobile object, a vehicle-mounted device, a network device, a cloud device, a device with artificial intelligence, etc.; (6) other devices.

[0279] Возможный случай, в котором связным устройством является микросхема или интегральная система, проиллюстрирован на принципиальной схеме микросхемы на Фиг. 24. Микросхема на Фиг. 24 содержит процессор 2401 и интерфейс 2402. В микросхеме число процессоров 2401 может составлять один или более, при этом интерфейсов 2402 может быть несколько.[0279] A possible case in which the communication device is a microcircuit or an integrated system is illustrated in the circuit diagram of the microcircuit in Fig. 24. The microcircuit in Fig. 24 comprises a processor 2401 and an interface 2402. In the microcircuit, the number of processors 2401 may be one or more, while there may be several interfaces 2402.

[0280] При необходимости, микросхема дополнительно содержит запоминающее устройство 2403 для запоминания в нем необходимых программ для ЭВМ и данных.[0280] If necessary, the microcircuit additionally contains a storage device 2403 for storing the necessary computer programs and data in it.

[0281] Специалистам в данной области техники также будет понятно, что разнообразные иллюстративные логические блоки и этапы, перечисленные в вариантах осуществления предлагаемого изобретения, могут быть реализованы с помощью электронных аппаратных средств, программных средств для ЭВМ или их комбинации. То, каким средством - аппаратным или программным - будут реализованы такие функции, зависит от конкретных вариантов применения и требований к конструкции системы в целом. Для каждого конкретного варианта применения, специалисты в данной области техники могут использовать разнообразные методы реализации раскрытых функций, при этом такую реализацию не следует считать отступлением от объема охраны вариантов осуществления предлагаемого изобретения.[0281] Those skilled in the art will also understand that the various illustrative logical blocks and steps listed in the embodiments of the proposed invention may be implemented using electronic hardware, computer software, or a combination of both. Whether such functions are implemented using hardware or software depends on the specific application and the design requirements of the system as a whole. For each specific application, those skilled in the art may use a variety of methods to implement the disclosed functions, and such implementation should not be considered a departure from the scope of protection of the embodiments of the proposed invention.

[0282] Кроме того, в настоящем изобретении предложен читаемый носитель данных с запомненными в нем инструкциями, результатом исполнения которых ЭВМ является реализация функций по любому из раскрытых выше вариантов осуществления способа.[0282] Furthermore, the present invention provides a readable data carrier with instructions stored therein, the result of the execution of which by the computer is the implementation of functions according to any of the embodiments of the method disclosed above.

[0283] Кроме того, в настоящем изобретении предложен программный продукт для ЭВМ, результатом исполнения которого ЭВМ является реализация функций по любому из раскрытых выше вариантов осуществления способа.[0283] Furthermore, the present invention provides a software product for a computer, the result of the execution of which by the computer is the implementation of functions according to any of the above-disclosed embodiments of the method.

[0284] Все раскрытые выше варианты осуществления или их часть могут быть реализованы программными средствами, аппаратными средствами, программно-аппаратными средствами или какой-либо их комбинацией. В случае реализации программными средствами, все раскрытые выше варианты осуществления или их часть могут быть реализованы в виде программного продукта для ЭВМ. Программный продукт для ЭВМ включает в себя по меньшей мере одну программу для ЭВМ. Результатом загрузки и исполнения данной программы для ЭВМ в ЭВМ является реализация всех или части процессов или функций по вариантам осуществления предлагаемого изобретения. ЭВМ может представлять собой ЭВМ общего назначения, ЭВМ специального назначения, вычислительную сеть или иные программируемые устройства. Программа для ЭВМ может быть запомнена в читаемом ЭВМ носителе данных или передана из одного читаемого ЭВМ носителя данных в другой читаемый ЭВМ носитель данных. Например, программа для ЭВМ может быть передана с одного веб-сайта, ЭВМ, сервера или дата-центра на другой веб-сайт, ЭВМ, сервер или дата-центр проводным способом (например, по коаксиальному кабелю, оптическому волокну или цифровой абонентской линии (линии типа DSL, от англ. digital subscriber line)) или беспроводным способом (например, инфракрасным, беспроводным, микроволновым и т.п.). Читаемым ЭВМ носителем данных может быть любой известный носитель с возможностью доступа к нему электронной вычислительной машины или устройство хранения данных, в частности - сервер и дата-центр, объединенные с одним или более известными носителями. Известным носителем может быть магнитный носитель (например, дискета, жёсткий диск или магнитная лента), оптический носитель (например, цифровой видеодиск (DVD, от англ. digital video disc) высокой плотности), полупроводниковый носитель (например, твердотельный диск (SSD, от англ. solid state disk)) или нечто подобное.[0284] All or part of the embodiments disclosed above may be implemented using software, hardware, firmware, or any combination thereof. If implemented using software, all or part of the embodiments disclosed above may be implemented as a computer software product. The computer software product includes at least one computer program. The result of loading and executing this computer program in the computer is the implementation of all or part of the processes or functions according to the embodiments of the proposed invention. The computer may be a general-purpose computer, a special-purpose computer, a computer network, or other programmable devices. The computer program may be stored in a computer-readable storage medium or transmitted from one computer-readable storage medium to another computer-readable storage medium. For example, a computer program may be transmitted from one website, computer, server, or data center to another website, computer, server, or data center by wire (e.g., coaxial cable, optical fiber, or digital subscriber line (DSL)) or wirelessly (e.g., infrared, wireless, microwave, etc.). A computer-readable storage medium may be any known storage medium capable of being accessed by an electronic computer or a data storage device, in particular, a server and data center combined with one or more known storage media. A known storage medium may be a magnetic medium (e.g., a floppy disk, hard disk, or magnetic tape), an optical medium (e.g., a high-density digital video disc (DVD)), a semiconductor medium (e.g., a solid-state disk (SSD)) or the like.

[0285] Средним специалистам в данной области техники будет понятно, что такие признаки, как «первый», «второй», и иные числовые обозначения в описании предлагаемого изобретения служат исключительно для удобства различения при описании и не должны рассматриваться как ограничивающие объем вариантов осуществления предлагаемого изобретения или отражающие очередность.[0285] Those of ordinary skill in the art will understand that such features as “first,” “second,” and other numerical designations in the description of the proposed invention serve solely for convenience of distinction during the description and should not be considered as limiting the scope of embodiments of the proposed invention or reflecting the order.

[0286] Выражение «по меньшей мере один» в описании предлагаемого изобретения может означать «один или более», а признак «множество» может означать два, три, четыре и т.д. без каких-либо ограничений в предлагаемом изобретении. В вариантах осуществления предлагаемого изобретения, для проведения различия между однотипными техническими признаками используются слова «первый», «второй», «третий», «A», «B», «C» и «D» и т.п., не устанавливающие какой-либо порядок приоритетности или порядок по величине технических признаков с определениями «первый», «второй», «третий», «A», «B», «C» и «D».[0286] The expression "at least one" in the description of the proposed invention may mean "one or more", and the feature "plurality" may mean two, three, four, etc., without any limitations in the proposed invention. In the embodiments of the proposed invention, the words "first", "second", "third", "A", "B", "C" and "D", etc. are used to distinguish between the same type of technical features, without establishing any order of priority or order of magnitude of the technical features with the definitions "first", "second", "third", "A", "B", "C" and "D".

[0287] Соответствие, представленное в любой из таблиц предлагаемого изобретения, может быть сконфигурировано или заранее определено. Значения параметров в любой из таблиц являются не более чем примерами, при этом могут быть сконфигурированы иные значения без ограничения предлагаемого изобретения. Конфигурируя соответствие между данными и различными параметрами, необязательно конфигурировать все соответствия, представленные в таблицах. Например, могут не быть сконфигурированы соответствия в некоторых строках таблиц предлагаемого изобретения. В качестве другого примера, взяв вышеупомянутые таблицы за основу, можно внести соответствующие изменения или корректировки (в частности, путем разбиения, слияния и т.п.). Параметры в заголовках вышеупомянутых таблиц также могут иметь другие наименования, понятные применительно к связному устройству, при этом параметры могут иметь иные значения и быть представлены в иных видах, понятных применительно к связному устройству. Вышеупомянутые таблицы также могут быть реализованы с использованием иных структур данных, например, массивов, очередей, контейнеров, стеков, линейных таблиц, указателей, цепных списков, деревьев, графов, структурных тел, классов, неупорядоченных массивов или рандомизированных таблиц.[0287] The correspondence presented in any of the tables of the proposed invention may be configured or predetermined. The values of the parameters in any of the tables are no more than examples, while other values may be configured without limiting the proposed invention. When configuring the correspondence between data and various parameters, it is not necessary to configure all the correspondences presented in the tables. For example, the correspondences in some rows of the tables of the proposed invention may not be configured. As another example, taking the above-mentioned tables as a basis, it is possible to make appropriate changes or adjustments (in particular, by splitting, merging, etc.). The parameters in the headings of the above-mentioned tables may also have other names understandable in relation to the communication device, while the parameters may have other values and be presented in other forms understandable in relation to the communication device. The above mentioned tables can also be implemented using other data structures such as arrays, queues, containers, stacks, linear tables, pointers, chained lists, trees, graphs, structured bodies, classes, unordered arrays, or randomized tables.

[0288] Понятие «предварительное определение» в контексте предлагаемого изобретения можно понимать в значении «определение», «предварительное определение», «ввод в память», «предварительный ввод в память», «предварительное согласование», «предварительное конфигурирование», «фиксация» или «предварительная активация».[0288] The term “preliminary determination” in the context of the present invention may be understood to mean “determination,” “preliminary determination,” “input into memory,” “preliminary input into memory,” “preliminary agreement,” “preliminary configuration,” “fixation,” or “preliminary activation.”

[0289] Средним специалистам в данной области техники будет понятно, что блоки и шаги алгоритмов в различных примерах, описанных в увязке с раскрытыми в настоящем документе вариантами осуществления, могут быть реализованы электронными аппаратными средствами или комбинацией вычислительных программных средств и электронных аппаратных средств. То, какими средствами - аппаратными или программными - реализуются такие функции, зависит от конкретных случаев применения и конструктивных ограничений технического решения. Для каждого конкретного варианта применения, специалисты в данной области техники могут использовать разнообразные методы реализации раскрытых функций, при этом такую реализацию не следует считать отступлением от объема предлагаемого изобретения.[0289] Those of ordinary skill in the art will understand that the blocks and steps of the algorithms in the various examples described in connection with the embodiments disclosed herein may be implemented by electronic hardware or a combination of computing software and electronic hardware. Whether such functions are implemented by hardware or software depends on the specific application cases and the design limitations of the technical solution. For each specific application, those skilled in the art may use a variety of methods to implement the disclosed functions, and such implementation should not be considered a departure from the scope of the proposed invention.

[0290] Специалисты в данной области без труда поймут, что детальное описание процесса работы раскрытой выше системы, устройства и блока можно найти в описании соответствующих вариантов осуществления способа, поэтому для удобства и краткости описания оно не приводится повторно.[0290] Those skilled in the art will readily understand that a detailed description of the operating process of the system, device and unit disclosed above can be found in the description of the corresponding embodiments of the method, therefore, for convenience and brevity of the description, it is not given again.

[0291] Выше приведены лишь частные варианты реализации предлагаемого изобретения, объем охраны которого не ограничен ими. Изменения или замены без отступления от технического объема раскрываемого изобретения, которые могут прийти на ум специалистам в данной области техники без отступления от объема технического решения предлагаемого изобретения, должны быть включены в объем охраны предлагаемого изобретения. Таким образом, объем охраны предлагаемого изобретения следует определять, исходя из объема охраны пунктов формулы изобретения.[0291] The above are only particular embodiments of the proposed invention, the scope of protection of which is not limited by them. Changes or substitutions without deviating from the technical scope of the disclosed invention, which may occur to specialists in the given field of technology without deviating from the scope of the technical solution of the proposed invention, must be included in the scope of protection of the proposed invention. Thus, the scope of protection of the proposed invention should be determined based on the scope of protection of the claims.

Claims

1. A method for authorizing a role for a subscriber device (SD), performed by a network device, which includes the following steps:

receiving a discovery request message sent by a first AU or a second AU, wherein the discovery request message comprises at least one of a ranging application user identifier (RAUID), a service identifier, or a capability of the first AU or the second AU, wherein the capability of the first AU or the second AU indicates a role of the first AU or the second AU, or indicates a role supported by the first AU or the second AU; and

sending a discovery response message to the first AU or the second AU, wherein the discovery response message contains a role determined by the network device for the first AU or the second AU.

2. The method according to paragraph 1, further comprising the step of:

determine the role of the first AU or the second AU based on the capability of the first AU or the second AU and the contract information of the first AU or the second AU stored in the network device.

3. The method according to claim 1 or 2, wherein the discovery response message further comprises a security measure generated by the network device for the service requested to be discovered by the first AU or the second AU, wherein the security measure corresponding to the service requested to be discovered by the first AU is identical to the security measure corresponding to the service requested to be discovered by the second AU,

wherein the service does not necessarily represent a ranging service and/or a lateral link positioning service.

4. The method according to any one of paragraphs 1 to 3, wherein the network device comprises: a first network element and a third network element, wherein the first network element is a direct discovery name management function (DDNMF) network element of the first AU or a key management function (PKMF) network element of the first AU, and the third network element is a proximity service server or a unified data management (UDM) network element,

and at the stage at which the network device receives the discovery request message sent by the first AU:

the first network element receives a discovery request message sent by the first AE;

at the stage where the network device sends a discovery response message to the first AU:

the first network element sends a discovery response message to the first AE;

the method further includes the steps of:

the first network element sends a first authorization request message to the third network element and

the third network element sends a first authorization response message to the first network element, wherein the first authorization response message contains the role of the first AU determined by the third network element.

5. The method according to any one of paragraphs 1-3, wherein the network device comprises: a second network element and a third network element, wherein the second network element is a DDNMF network element of the second AU or a PKMF network element of the second AU, wherein the third network element is a proximity service server or a UDM network element,

and at the stage at which the network device receives the discovery request message sent by the second AU:

the second network element receives a discovery request message sent by the second AE;

at the stage where the network device sends a discovery response message to the second AU:

the second network element sends a discovery response message to the second AE; in doing so,

the method further includes the steps of:

the second network element sends the first authorization request message to the third network element, and

the third network element sends a first authorization response message to the second network element, wherein the first authorization response message contains the role of the second AU determined by the third network element;

wherein the network device optionally further comprises: a first network element, which is a network element of the DDNMF function of the first AU or a network element of the PKMF function of the first AU, wherein the method further includes the steps of:

the second network element sends a control request message to the first network element, wherein the control request message contains the role of the second AU, wherein the control request message serves to request a determination of whether the role of the second AU is related to the role of the first AU;

the first network element sends a second authorization request message to the third network element, wherein the second authorization request message contains the role of the first AU and the role of the second AU; and

the third network element determines whether the role of the second AU is related to the role of the first AU, and the third network element sends a second authorization response message to the first network element, wherein the second authorization response message serves to indicate whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs; and

the first network element sends to the second network element a security tool generated depending on the service requested for discovery by the second AU, in the case where the role of the first AU is related to the role of the second AU.

6. The method according to paragraph 4, wherein at the stage in which the first network element sends the first authorization request message to the third network element:

the first network element converts the RAUID corresponding to the first AU into a first identifier that can be recognized by the third network element, wherein the first identifier serves to indicate the first AU; and

the first network element sends a first authorization request message containing at least one of a first identifier, a service requested to be discovered by the first AU, or a capability of the first AU, to a third network element.

7. The method according to claim 1, wherein the network device comprises a network element of the DDNMF function or a network element of the PKMF function of the second AU, wherein the method includes the steps of:

a network element of the DDNMF function or a network element of the PKMF function of the second AU receives a discovery request message sent by the second AU, wherein the discovery request message contains at least one of a ranging application user identifier (RAUID), a service identifier, or a capability of the second AU, wherein the capability of the second AU indicates a role of the second AU, or indicates a role supported by the second AU;

the DDNMF network element or the PKMF network element of the second AU sends the first authorization request message to the server or the unified data management (UDM) network element according to the discovery request message;

the network element of the DDNMF function or the network element of the PKMF function of the second AU receives the first authorization response message sent by the server or the UDM network element, wherein the first authorization response message contains the role of the second AU determined by the server or the UDM network element;

the DDNMF network element or the PKMF network element of the second AU determines the security means corresponding to the service requested to be discovered by the second AU; and

sending a detection response message to the second AU, wherein the detection response message contains the role of the second AU.

8. The method according to paragraph 7, wherein at the stage in which the network element of the DDNMF function or the network element of the PKMF function of the second AU sends the first authorization request message to the server or the UDM network element according to the discovery request message:

the DDNMF network element or the PKMF network element of the second AU converts the RAUID corresponding to the second AU into a second identifier that can be recognized by the server or the UDM network element, wherein the second identifier serves to indicate the second AU; and

the DDNMF network element or the PKMF network element of the second AU sends a first authorization request message containing at least one of the second identifier, the service requested to be discovered by the second AU, or the capability of the second AU, to the UDM server or network element.

9. The method according to paragraph 7, further comprising the steps of:

the network element of the DDNMF function or the network element of the PKMF function of the second AU sends a control response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU, wherein the control response message contains the role of the second AU, wherein the control response message serves to request a determination of whether the role of the second AU is related to the role of the first AU; and

a network element of the DDNMF function or a network element of the PKMF function of the second AU receives a control response message sent by a network element of the DDNMF function or a network element of the PKMF function of the first AU, wherein the control response message contains a security tool corresponding to the service requested to be discovered by the second AU, wherein the security tool corresponding to the service requested to be discovered by the second AU is identical to the security tool corresponding to the service requested to be discovered by the first AU.

10. The method according to claim 1, wherein the network device comprises a server or a network element of unified data management (UDM), and the method includes the steps of:

the server or UDM receives a first authorization request message sent by a network element of a direct discovery name management function (DDNMF) or a network element of a key management function (PKMF) of a first AU or a second AU, wherein the first authorization request message is used to request an authorized role in a service requested to be discovered by the first AU or the second AU;

the server or UDM determines the role of the first AU or the second AU according to the first authorization request message; and

the server or UDM sends a first authorization response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU or the second AU, wherein the first authorization response message contains the role of the first AU or the second AU.

11. The method according to paragraph 10, wherein at the stage at which the server or UDM determines the role of the first AU or the second AU according to the first authorization request message:

the server or UDM determines, from the contract information of the first AU or the second AU, a role permitted for the first AU or the second AU in the service requested to be discovered by the first AU or the second AU; and

the server or UDM determines, from among the roles valid for the first AU or the second AU, a role supported by the capability of the first AU or the second AU as the role of the first AU or the second AU;

wherein the method optionally further includes the steps of:

receiving a second authorization request message sent by the network element of the DDNMF function or the network element of the PKMF function of the first AU, wherein the second authorization request message contains the role of the first AU, the role of the second AU and the service requested to be discovered by these two AUs;

determine whether the role of the first AU is related to the role of the second AU in the service requested to be discovered by these two AUs; and

sending a second authorization response message to the network element of the DDNMF function or the network element of the PKMF function of the first AU, wherein the second authorization response message serves to indicate whether the role of the first AU is related to the role of the second AU.

12. A method for authorizing a role for a subscriber device (SD), performed by the first SD or the second SD, comprising the steps of:

sending a discovery request message to a network device, wherein the discovery request message comprises at least one of a ranging application user identifier (RAUID), a service identifier, or a capability of a first AU or a second AU, wherein the capability of the first AU indicates a role of the first AU or the second AU, or indicates a role supported by the first AU or the second AU; and

receiving a discovery response message sent by the network device, wherein the discovery response message contains a role determined by the network device for the first AU or the second AU.

13. The method of claim 12, further comprising the step of performing at least one of the following actions:

the first AU broadcasts a first discovery message, wherein the first discovery message is protected by a security measure corresponding to the service requested to be discovered by the first AU, wherein the first discovery message contains the role of the first AU; or

the first AU receives a second discovery message broadcast by the second AU, wherein the second discovery message is protected by a security measure corresponding to the service requested for discovery by the second AU, wherein the second discovery message contains the role of the second AU,

the first AU decodes and verifies the second discovery message, wherein the first AU determines whether the role of the second AU matches the role of the first AU, in case of successful verification, and

the first AU sends a first response message to the second AU in the case where the role of the first AU is related to the role of the second AU, wherein the first response message is protected by a security means corresponding to the service requested for detection by the first AU, wherein the first response message contains the role of the first AU.

14. The method of claim 12, further comprising the step of performing at least one of the following actions:

the second AU receives a first discovery message broadcast by the first AU, wherein the first discovery message is protected by a security measure corresponding to the service requested to be discovered by the first AU, wherein the first discovery message contains the role of the first AU, and

decoding and verifying the first discovery message and determining whether the role of the second AU matches the role of the first AU, if verification is successful; or

the second AU broadcasts a second discovery message, wherein the second discovery message is protected by a security measure corresponding to the service requested to be discovered by the second AU, wherein the second discovery message contains the role of the second AU, and

the second AU receives the first response message sent by the first AU, wherein the first response message is protected by a security measure corresponding to the service requested for detection by the first AU, wherein the first response message contains the role of the first AU.