BR112021008865A2 - Método de processamento de segurança de informações, aparelho de comunicações e meio de armazenamento legível por computador - Google Patents

Método de processamento de segurança de informações, aparelho de comunicações e meio de armazenamento legível por computador Download PDF

Info

Publication number
BR112021008865A2
BR112021008865A2 BR112021008865-2A BR112021008865A BR112021008865A2 BR 112021008865 A2 BR112021008865 A2 BR 112021008865A2 BR 112021008865 A BR112021008865 A BR 112021008865A BR 112021008865 A2 BR112021008865 A2 BR 112021008865A2
Authority
BR
Brazil
Prior art keywords
network device
message
downlink message
downlink
terminal device
Prior art date
Application number
BR112021008865-2A
Other languages
English (en)
Inventor
Bin Xu
Bingzhao LI
Lei Chen
Xuelong Wang
Original Assignee
Huawei Technologies Co., Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co., Ltd filed Critical Huawei Technologies Co., Ltd
Publication of BR112021008865A2 publication Critical patent/BR112021008865A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • H04W74/08Non-scheduled access, e.g. ALOHA
    • H04W74/0833Random access procedures, e.g. with 4-step access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

método de idenfiticação de dispositivo de rede falso e aparelho de comunicações. a presente invenção refere-se a um método de identificação de dispositivo de rede falso e um aparelho de comunicações. uma mensagem de uplink enviada (101) por um dispositivo de terminal é transferida para um primeiro dispositivo de rede através de um segundo dispositivo de rede. após receber a mensagem de uplink, o primeiro dispositivo de rede gera (103) uma mensagem de downlink para a mensagem de uplink, executa um processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, e envia (104) a mensagem de downlink para o segundo dispositivo de rede. o segundo dispositivo de rede envia (105), para o dispositivo de terminal, a mensagem de downlink na qual o processamento de segurança é executado. o dispositivo de terminal executa (106) verificação de segurança na mensagem de downlink recebida, e identifica se o segundo dispositivo de rede é um dispositivo de rede falso. isto ajuda a aperfeiçoar a segurança de comunicação.

Description

Relatório Descritivo da Patente de Invenção para "MÉTODO DE IDENTIFICAÇÃO DE DISPOSITIVO DE REDE FALSO E APARE- LHO DE COMUNICAÇÕES".
[0001] Este pedido reivindica prioridade para o Pedido de Patente Chinesa Número 2018113332338, depositado com o Chinese Patent Office em 09 de Novembro de 2018 e intitulado "MÉTODO DE IDENTI- FICAÇÃO DE DISPOSITIVO DE REDE FALSO E APARELHO DE CO- MUNICAÇÕES", o qual está aqui incorporado por referência na sua to- talidade.
CAMPO DA TÉCNICA
[0002] As modalidades deste pedido referem-se ao campo de tec- nologias de comunicações, e especificamente a um método de identifi- cação de dispositivo de rede falso e um aparelho de comunicações.
ANTECEDENTES
[0003] Em uma tecnologia de comunicações sem fio, a segurança de comunicação é crucial. Um ataque de estação de base falsa (fake) é um meio comum de ameaçar a segurança de comunicação.
[0004] Em um processo de ataque de estação de base falsa, uma estação de base falsa é colocada próxima de um dispositivo de terminal normal. Como a estação de base falsa tem melhor qualidade de sinal, o dispositivo de terminal é atraído para acampar na estação de base falsa. A estação de base falsa transmite informações enganosas e até mesmo vírus para o dispositivo de terminal. Alternativamente, a estação de base falsa pode interceptar o conteúdo de comunicação entre uma estação de base normal e o dispositivo de terminal, para monitorar os dados de privacidade de um usuário. Além disso, depois de acampar na estação de base falsa, o dispositivo de terminal não pode acampar em uma cé- lula da estação de base normal. Consequentemente, a estação de base normal não pode pagear o dispositivo de terminal, e o dispositivo de terminal não pode funcionar normalmente. Usualmente, em um pro- cesso no qual o dispositivo de terminal acampa na célula da estação de base normal, o dispositivo de terminal primeiro recebe um sinal de sin- cronização da célula, e executa sincronização de downlink com a esta- ção de base normal utilizando o sinal de sincronização. Após a sincro- nização de downlink ser completada, o dispositivo de terminal recebe uma mensagem de transmissão, isto é, o processo de acampar é com- pletado. Além disso, o dispositivo de terminal continuamente detecta a qualidade de sinal de uma célula vizinha; e após uma condição de res- seleção de célula ser atendida, o dispositivo de terminal executa um processo de resseleção de célula. Se existe uma estação de base falsa próxima do dispositivo de terminal, a estação de base falsa tem uma qualidade de sinal relativamente boa, e a condição de resseleção de célula do dispositivo de terminal é atendida, o dispositivo de terminal executa resseleção de célula e acampa na estação de base falsa. Como a estação de base falsa pode também receber uma mensagem de downlink da estação de base normal, a estação de base falsa pode transferir a mensagem de downlink para o dispositivo de terminal. Neste caso, o dispositivo de terminal não pode distinguir se o dispositivo de terminal correntemente acampa na estação de base normal ou na esta- ção de base falsa. Consequentemente, a segurança de comunicação é ameaçada.
SUMÁRIO
[0005] As modalidades deste pedido proveem um método de identi- ficação de dispositivo de rede falso e o aparelho de comunicações, de modo que um dispositivo de terminal possa distinguir se o dispositivo de terminal correntemente acampa em uma estação de base normal ou uma estação de base falsa. Isto ajuda a assegurar a segurança de co- municação.
[0006] De acordo com um primeiro aspecto, uma modalidade deste pedido provê um método de identificação de dispositivo de rede falso.
O método pode ser utilizado para um dispositivo de terminal, ou pode ser utilizado para um chip em um dispositivo de terminal.
O seguinte descreve o método utilizando um exemplo no qual o método é utilizado para um dispositivo de terminal.
O método inclui: Um dispositivo de ter- minal envia uma mensagem de uplink para um segundo dispositivo de rede, onde a mensagem de uplink deve ser enviada pelo segundo dis- positivo de rede para um primeiro dispositivo de rede; o dispositivo de terminal recebe uma mensagem de downlink do segundo dispositivo de rede, onde a mensagem de downlink é recebida pelo segundo disposi- tivo de rede do primeiro dispositivo de rede, e a mensagem de downlink é uma mensagem que é gerada pelo primeiro dispositivo de rede com base na mensagem de uplink e na qual um processamento de segu- rança é executado com base nas primeiras informações de tempo, onde o processamento de segurança inclui pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determinadas pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é re- cebida; e o dispositivo de terminal executa verificação de segurança na mensagem de downlink, onde a verificação de segurança inclui pelo me- nos uma de decifração ou verificação de proteção de integridade.
De acordo com esta solução, a mensagem de uplink enviada pelo disposi- tivo de terminal é transferida para o primeiro dispositivo de rede através do segundo dispositivo de rede.
Após receber a mensagem de uplink, o primeiro dispositivo de rede gera a mensagem de downlink para a men- sagem de uplink, executa o processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, e envia a mensagem de downlink para o segundo dispositivo de rede.
O segundo dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink na qual o processamento de segurança é executado. O dis- positivo de terminal executa a verificação de segurança na mensagem de downlink recebida, e identifica se o segundo dispositivo de rede é um dispositivo de rede falso. Isto ajuda a aperfeiçoar a segurança de comu- nicação.
[0007] Em um projeto factível, que o dispositivo de terminal executa a verificação de segurança na mensagem de downlink é executar a ve- rificação de segurança na mensagem de downlink com base nas segun- das informações de tempo, onde as segundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é en- viada; e quando a verificação de segurança executada pelo dispositivo de terminal na mensagem de downlink falha, o dispositivo de terminal determina que o segundo dispositivo de rede é um dispositivo de rede falso. De acordo com esta solução, o dispositivo de terminal deduz, com base no ponto no tempo no qual a mensagem de uplink é enviada, um ponto no tempo no qual o primeiro dispositivo de rede recebe a mensa- gem de uplink, para obter as segundas informações de tempo; executa, com base nas segundas informações de tempo, a verificação de segu- rança na mensagem de downlink na qual o primeiro dispositivo de rede executa o processamento de segurança com base nas primeiras infor- mações de tempo; e determina, com base em se a verificação execu- tada na mensagem de downlink tem sucesso, se o segundo dispositivo de rede que envia a mensagem de downlink é um dispositivo de rede falso. Isto ajuda a identificar o dispositivo de rede falso e assegurar a segurança de comunicação.
[0008] Em um projeto factível, após receber a mensagem de down- link do segundo dispositivo de rede, o dispositivo de terminal ainda exe- cuta a verificação de segurança na mensagem de downlink com base nas segundas informações de tempo, onde as segundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada; registra uma quantidade de n de vezes que a verifica- ção executada em uma mensagem de downlink falha; determina se a quantidade n de vezes excede uma quantidade m de vezes pré-ajus- tada; e se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada, determina que o segundo dispositivo de rede é um dispo- sitivo de rede falso, onde m21 e m é um inteiro, e n21 e n é um inteiro. De acordo com esta solução, o dispositivo de terminal determina, com base na quantidade de vezes que a verificação executada em uma men- sagem de downlink falha, se existe um segundo dispositivo de rede en- volvido, para evitar um erro de julgamento executado pelo dispositivo de terminal.
[0009] Em um projeto factível, quando o primeiro dispositivo de rede ainda executa processamento de segurança na mensagem de downlink utilizando uma primeira chave, o dispositivo de terminal ainda executa verificação de segurança na mensagem de downlink utilizando uma se- gunda chave. De acordo com esta solução, o primeiro dispositivo de rede executa o processamento de segurança na mensagem de down- link utilizando a primeira chave, para impedir que um dispositivo de rede falso execute verificação de segurança na mensagem de downlink de- duzindo as segundas informações de tempo e violando a mensagem de downlink após a verificação ter sucesso. Isto ajuda adicionalmente a as- segurar a segurança de comunicação.
[0010] Em um projeto factível, a mensagem de uplink inclui uma mensagem | em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 2 no procedimento de acesso randômico. De acordo com esta solução, a MSG1 e a MSG2 no proce- dimento de acesso randômico são utilizadas para identificar um dispo- sitivo de rede falso.
[0011] Em um projeto factível, antes de enviar a mensagem de uplink para o segundo dispositivo de rede, o dispositivo de terminal ainda recebe uma mensagem de transmissão do primeiro dispositivo de rede, onde uma mensagem de transmissão é uma mensagem na qual o primeiro dispositivo de rede executa processamento de segurança, e a mensagem de transmissão inclui pelo menos uma de informações de configuração de recurso de canal de acesso randômico (random access channel, RACH) ou um número de quadro de sistema SFN. De acordo com esta solução, o dispositivo de terminal pode obter as informações de configuração de recurso de RACH e similares em uma fase de men- sagem de transmissão para acesso randômico.
[0012] Em um projeto factível, que um dispositivo de terminal envia uma mensagem de uplink para um segundo dispositivo de rede inclui: O dispositivo de terminal determina um primeiro recurso de RACH com base nas informações de configuração de recurso de RACH, onde as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é utilizado pelo dispo- sitivo de terminal para enviar a mensagem de uplink; e o dispositivo de terminal envia a mensagem 1 para o segundo dispositivo de rede no primeiro recurso de RACH. De acordo com esta solução, quando as in- formações de configuração de recurso de RACH indicam o primeiro re- curso de RACH e um segundo recurso de RACH, o dispositivo de termi- nal pode flexivelmente escolher enviar a MSG1 no primeiro recurso de RACH ou no segundo recurso de RACH, para evitar uma desvantagem que quando o dispositivo de terminal não precisa executar acesso ran- dômico, o dispositivo de terminal ainda precisa iniciar o acesso randô- mico para identificar se existe um segundo dispositivo de rede envol- vido.
[0013] Em um projeto factível, a mensagem de uplink inclui uma mensagem 3 em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 4 no procedimento de acesso randômico. De acordo com esta solução, a MSG3 e a MSG4 no proce- dimento de acesso randômico são utilizadas para identificar se o se- gundo dispositivo de rede é um dispositivo de rede falso.
[0014] De acordo com um segundo aspecto, uma modalidade deste pedido provê um método de identificação de dispositivo de rede falso. O método pode ser utilizado para um primeiro dispositivo de rede, ou pode ser utilizado para um chip em um primeiro dispositivo de rede. O seguinte descreve o método utilizando um exemplo no qual o método é utilizado para um primeiro dispositivo de rede. O método inclui: Um pri- meiro dispositivo de rede recebe uma mensagem de uplink de um se- gundo dispositivo de rede, onde a mensagem de uplink é enviada por um dispositivo de terminal para o segundo dispositivo de rede; e o pri- meiro dispositivo de rede envia uma mensagem de downlink para o se- gundo dispositivo de rede, onde a mensagem de downlink deve ser en- viada pelo segundo dispositivo de rede para o dispositivo de terminal, a mensagem de downlink é gerada pelo primeiro dispositivo de rede para a mensagem de uplink, e o primeiro dispositivo de rede executa proces- samento de segurança na mensagem de downlink com base nas pri- meiras informações de tempo, onde o processamento de segurança in- clui pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determina- das pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é recebida. De acordo com esta solução, a mensagem de uplink enviada pelo dispositivo de terminal é transferida para o primeiro dispositivo de rede através do segundo dispositivo de rede. Após receber a mensagem de uplink, o primeiro dispositivo de rede gera a mensagem de downlink para a mensagem de uplink, exe- cuta o processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, e envia a mensagem de downlink para o segundo dispositivo de rede. O segundo dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink na qual o processamento de segurança é executado. O dispositivo de ter- minal executa verificação de segurança na mensagem de downlink re- cebida, e identifica se o segundo dispositivo de rede é um dispositivo de rede falso. Isto ajuda a aperfeiçoar a segurança de comunicação.
[0015] Em um projeto factível, antes de enviar, para o segundo dis- positivo de rede, a mensagem de downlink na qual o processamento de segurança é executado, o primeiro dispositivo de rede ainda executa processamento de segurança na mensagem de downlink utilizando uma primeira chave. De acordo com esta solução, o primeiro dispositivo de rede executa o processamento de segurança na mensagem de down- link utilizando a primeira chave, para impedir que um dispositivo de rede falso execute verificação de segurança na mensagem de downlink de- duzindo as segundas informações de tempo e violando a mensagem de downlink após a verificação ter sucesso. Isto ajuda adicionalmente a as- segurar a segurança de comunicação.
[0016] Em um projeto factível, a mensagem de uplink inclui uma mensagem | em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 2 no procedimento de acesso randômico. De acordo com esta solução, a MSG1 e a MSG2 no proce- dimento de acesso randômico são utilizadas para identificar um dispo- sitivo de rede falso.
[0017] Em um projeto factível, antes de receber a mensagem de uplink do segundo dispositivo de rede, o primeiro dispositivo de rede ainda envia, para o dispositivo de terminal, uma mensagem de trans- missão na qual processamento de segurança é executado, onde uma mensagem de transmissão na qual o processamento de segurança é executado inclui pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sistema SFN. De acordo com esta solução, o primeiro dispositivo de rede configura o recurso de RACH e similares para o dispositivo de ter- minal.
[0018] Em um projeto factível, que o primeiro dispositivo de rede re- cebe a mensagem de uplink do segundo dispositivo de rede é receber a mensagem 1 do segundo dispositivo de rede em um primeiro recurso de RACH, onde a mensagem 2 não carrega uma concessão de uplink, as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é um recurso utilizado pelo dispositivo de terminal para enviar a mensagem de uplink. De acordo com esta solução, quando as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH e um segundo recurso de RACH, o dispositivo de terminal pode flexivelmente escolher enviar a MSG1 no primeiro recurso de RACH ou no segundo recurso de RACH, para evitar uma desvantagem que quando o dispositivo de ter- minal não precisa executar acesso randômico, o dispositivo de terminal ainda precisa iniciar o acesso randômico para identificar se existe um segundo dispositivo de rede envolvido.
[0019] Em um projeto factível, a mensagem de uplink inclui uma mensagem 3 em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 4 no procedimento de acesso randômico. De acordo com esta solução, a MSG3 e a MSG4 no proce- dimento de acesso randômico são utilizadas para identificar se o se- gundo dispositivo de rede é um dispositivo de rede falso.
[0020] De acordo com um terceiro aspecto, uma modalidade deste pedido provê um método de identificação de dispositivo de rede falso. O método pode ser utilizado para um dispositivo de terminal, ou pode ser utilizado para um chip em um dispositivo de terminal. O seguinte descreve o método utilizando um exemplo no qual o método é utilizado para um dispositivo de terminal. O método inclui: UM dispositivo de ter- minal recebe uma mensagem de downlink de um segundo dispositivo de rede, onde a mensagem de downlink é enviada por um primeiro dis- positivo de rede para o segundo dispositivo de rede, a mensagem de downlink carrega informações de indicação, e as informações de indica- ção são utilizadas para indicar uma duração válida da mensagem de downlink para o dispositivo de terminal; e o dispositivo de terminal de- termina, com base nas informações de indicação, se o segundo dispo- sitivo de rede é um dispositivo de rede falso. De acordo com esta solu- ção, quando enviando a mensagem de downlink para o dispositivo de terminal, o primeiro dispositivo de rede adiciona as informações de indi- cação à mensagem de downlink, para indicar a duração válida da men- sagem de downlink para o dispositivo de terminal, de modo que o dis- positivo de terminal determina, com base na duração válida, se existe um segundo dispositivo de rede envolvido. Isto ajuda a assegurar a se- gurança de comunicação.
[0021] Em um projeto factível, quando o dispositivo de terminal de- termina, com base nas informações de indicação, se o segundo dispo- sitivo de rede é um dispositivo de rede falso, o dispositivo de terminal determina, com base nas informações de indicação, se a mensagem de downlink for válida; e se a mensagem de downlink for válida, o disposi- tivo de terminal determina que o segundo dispositivo de rede é um dis- positivo de rede falso. De acordo com esta solução, quando enviando a mensagem de downlink para o dispositivo de terminal, o primeiro dispo- sitivo de rede adiciona, à mensagem de downlink, as informações de indicação que indicam a duração válida da mensagem de downlink, de modo que o dispositivo de terminal determina, com base na duração válida, se a mensagem de downlink recebida é válida, e portanto identi- fica se o segundo dispositivo de rede é um dispositivo de rede falso. Isto ajuda a assegurar a segurança de comunicação.
[0022] Em um projeto factível, quando o dispositivo de terminal de- termina, com base nas informações de indicação, se o segundo dispo- sitivo de rede é um dispositivo de rede falso, o dispositivo de terminal determina, com base nas informações de indicação, se a mensagem de downlink é válida; registra uma quantidade n de vezes de receber uma mensagem de downlink inválida; determina se a quantidade n de vezes excede uma quantidade m de vezes pré-ajustada; e se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada, determina que o segundo dispositivo de rede é um dispositivo de rede falso, onde mz>1 e m é um inteiro, e n21 e n é um inteiro. De acordo com esta solução, o dispositivo de terminal determina, com base na quantidade de vezes de receber uma mensagem de downlink inválida, se existe um segundo dispositivo de rede envolvido, para evitar erro de julgamento executado pelo dispositivo de terminal.
[0023] Em um projeto factível, a mensagem de downlink inclui uma mensagem de transmissão; e que o dispositivo de terminal recebe a mensagem de downlink do segundo dispositivo de rede é receber, do segundo dispositivo de rede, a mensagem de transmissão na qual pro- cessamento de segurança é executado, onde o primeiro dispositivo de rede executa o processamento de segurança na mensagem de trans- missão e envia a mensagem de transmissão para o segundo dispositivo de rede; ou o dispositivo de terminal recebe a mensagem de transmis- são do segundo dispositivo de rede, onde a mensagem de transmissão inclui informações de indicação nas quais o processamento de segu- rança é executado, e o primeiro dispositivo de rede executa o processa- mento de segurança nas informações de indicação na mensagem de transmissão. De acordo com esta solução, o primeiro dispositivo de rede adiciona as informações de indicação para à mensagem de transmis- são, de modo que após receber as informações de indicação, o dispo-
sitivo de terminal pode determinar, com base nas informações de indi- cação, se existe um dispositivo de rede correntemente envolvido. Isto ajuda a identificar um dispositivo de rede falso em uma fase de mensa- gem de transmissão.
[0024] De acordo com um quarto aspecto, uma modalidade deste pedido provê um método de identificação de dispositivo de rede falso. O método pode ser utilizado para um primeiro dispositivo de rede, ou pode ser utilizado para um chip em um primeiro dispositivo de rede. O seguinte descreve o método utilizando um exemplo no qual o método é utilizado para um primeiro dispositivo de rede. O método inclui: Um pri- meiro dispositivo de rede adiciona informações de indicação em uma mensagem de downlink, onde as informações de indicação são utiliza- das para indicar uma duração válida da mensagem de downlink para um dispositivo de terminal; e o primeiro dispositivo de rede envia a men- sagem de downlink para um segundo dispositivo de rede, onde a men- sagem de downlink deve ser enviada pelo segundo dispositivo de rede para o dispositivo de terminal. De acordo com esta solução, quando en- viando a mensagem de downlink para o dispositivo de terminal, o pri- meiro dispositivo de rede adiciona as informações de indicação à men- sagem de downlink, para indicar a duração válida da mensagem de downlink para o dispositivo de terminal, de modo que o dispositivo de terminal determina, com base na duração válida, se existe um segundo dispositivo de rede envolvido. Isto ajuda a assegurar a segurança de comunicação.
[0025] Em um projeto factível, a mensagem de downlink inclui uma mensagem de transmissão; e quando enviando a mensagem de down- link para o segundo dispositivo de rede, o primeiro dispositivo de rede executa processamento de segurança na mensagem de transmissão e envia, para o segundo dispositivo de rede, a mensagem de transmissão na qual o processamento de segurança é executado; ou o primeiro dis- positivo de rede executa processamento de segurança nas informações de indicação e envia, para o segundo dispositivo de rede, a mensagem de transmissão que inclui as informações de indicação na qual o pro- cessamento de segurança é executado.
[0026] De acordo com um quinto aspecto, uma modalidade deste pedido provê um aparelho de comunicações. O aparelho pode ser um dispositivo de terminal, ou pode ser um chip em um dispositivo de ter- minal. O aparelho pode incluir uma unidade de processamento, uma unidade de envio, e uma unidade de recepção. Quando o aparelho é um dispositivo de terminal, a unidade de processamento pode ser um pro- cessador, a unidade de envio pode ser um transmissor, e a unidade de recepção pode ser um receptor. O dispositivo de terminal pode ainda incluir uma unidade de armazenamento, e a unidade de armazenamento pode ser uma memória. A unidade de armazenamento está configurada para armazenar uma instrução, e a unidade de processamento executa a instrução armazenada na unidade de armazenamento, de modo que o dispositivo de terminal é permitido implementar uma função no pri- meiro aspecto ou as possíveis implementações do primeiro aspecto. Quando o aparelho é um chip em um dispositivo de terminal, a unidade de processamento pode ser um processador, e a unidade de transcep- tor pode ser uma interface de entrada/saída, um pino, um circuito, ou similares. A unidade de processamento executa uma instrução armaze- nada em uma unidade de armazenamento, de modo que o dispositivo de terminal é permitido implementar uma função no primeiro aspecto ou as possíveis implementações do primeiro aspecto. A unidade de arma- zenamento pode ser uma unidade de armazenamento (por exemplo, um registro ou um cache) no chip, ou pode ser uma unidade de armazena- mento (por exemplo, uma memória somente de leitura ou uma memória de acesso randômico) que está localizada fora do chip e que está no dispositivo de terminal.
[0027] De acordo com um sexto aspecto, uma modalidade deste pe- dido provê um aparelho de comunicações. O aparelho pode ser um pri- meiro dispositivo de rede, ou pode ser um chip em um primeiro disposi- tivo de rede. O aparelho pode incluir uma unidade de processamento, uma unidade de envio, e uma unidade de recepção. Quando o aparelho é um primeiro dispositivo de rede, a unidade de processamento pode ser um processador, a unidade de envio pode ser um transmissor, e a unidade de recepção pode ser um receptor. O primeiro dispositivo de rede pode ainda incluir uma unidade de armazenamento, e a unidade de armazenamento pode ser uma memória. A unidade de armazena- mento está configurada para armazenar uma instrução, e a unidade de processamento executa a instrução armazenada na unidade de arma- zenamento, de modo que o primeiro dispositivo de rede é permitido im- plementar uma função no segundo aspecto ou as possíveis implemen- tações do segundo aspecto. Quando o aparelho é um chip em um pri- meiro dispositivo de rede, a unidade de processamento pode ser um processador, e a unidade de transceptor pode ser uma interface de en- trada/saída, um pino, um circuito, ou similares. A unidade de processa- mento executa uma instrução armazenada em uma unidade de arma- zenamento, de modo que o primeiro dispositivo de rede é permitido im- plementar uma função no segundo aspecto ou as possíveis implemen- tações do segundo aspecto. A unidade de armazenamento pode ser uma unidade de armazenamento (por exemplo, um registro ou um ca- che) no chip, ou pode ser uma unidade de armazenamento (por exem- plo, uma memória somente de leitura ou uma memória de acesso ran- dômico) que está localizada fora do chip e que está no primeiro disposi- tivo de rede.
[0028] De acordo com um sétimo aspecto, uma modalidade deste pedido provê um aparelho de comunicações. O aparelho pode ser um dispositivo de terminal, ou pode ser um chip em um dispositivo de ter- minal. O aparelho pode incluir uma unidade de processamento, uma unidade de envio, e uma unidade de recepção. Quando o aparelho é um dispositivo de terminal, a unidade de processamento pode ser um pro- cessador, a unidade de envio pode ser um transmissor, e a unidade de recepção pode ser um receptor. O dispositivo de terminal pode ainda incluir uma unidade de armazenamento, e a unidade de armazenamento pode ser uma memória. A unidade de armazenamento está configurada para armazenar uma instrução, e a unidade de processamento executa a instrução armazenada na unidade de armazenamento, de modo que o dispositivo de terminal é permitido implementar uma função no terceiro aspecto ou as possíveis implementações do terceiro aspecto. Quando o aparelho é um chip em um dispositivo de terminal, a unidade de pro- cessamento pode ser um processador, e a unidade de transceptor pode ser uma interface de entrada/saída, um pino, um circuito, ou similares. A unidade de processamento executa uma instrução armazenada em uma unidade de armazenamento, de modo que o dispositivo de terminal é permitido implementar uma função no terceiro aspecto ou as possíveis implementações do terceiro aspecto. A unidade de armazenamento pode ser uma unidade de armazenamento (por exemplo, um registro ou um cache) no chip, ou pode ser uma unidade de armazenamento (por exemplo, uma memória somente de leitura ou uma memória de acesso randômico) que está localizada fora do chip e que está no dispositivo de terminal.
[0029] De acordo com um oitavo aspecto, uma modalidade deste pedido provê um aparelho de comunicações. O aparelho pode ser um primeiro dispositivo de rede, ou pode ser um chip em um primeiro dis- positivo de rede. O aparelho pode incluir uma unidade de processa- mento, uma unidade de envio, e uma unidade de recepção. Quando o aparelho é um primeiro dispositivo de rede, a unidade de processa- mento pode ser um processador, a unidade de envio pode ser um trans- missor, e a unidade de recepção pode ser um receptor. O primeiro dis- positivo de rede pode ainda incluir uma unidade de armazenamento, e a unidade de armazenamento pode ser uma memória. A unidade de armazenamento está configurada para armazenar uma instrução, e a unidade de processamento executa a instrução armazenada na unidade de armazenamento, de modo que o primeiro dispositivo de rede é per- mitido implementar uma função no quarto aspecto ou as possíveis im- plementações do quarto aspecto. Quando o aparelho é um chip em um primeiro dispositivo de rede, a unidade de processamento pode ser um processador, e a unidade de transceptor pode ser uma interface de en- trada/saída, um pino, um circuito, ou similares. A unidade de processa- mento executa uma instrução armazenada em uma unidade de arma- zenamento, de modo que o primeiro dispositivo de rede é permitido im- plementar uma função no quarto aspecto ou as possíveis implementa- ções do quarto aspecto. A unidade de armazenamento pode ser uma unidade de armazenamento (por exemplo, um registro ou um cache) no chip, ou pode ser uma unidade de armazenamento (por exemplo, uma memória somente de leitura ou uma memória de acesso randômico) que está localizada fora do chip e que está no primeiro dispositivo de rede.
[0030] De acordo com um nono aspecto, uma modalidade deste pe- dido provê um produto de programa de computador que inclui uma ins- trução. Quando o produto de programa de computador executa em um computador, o computador é permitido executar o método de acordo com o primeiro aspecto ou as possíveis implementações do primeiro aspecto.
[0031] De acordo com um décimo aspecto, uma modalidade deste pedido provê um produto de programa de computador que inclui uma instrução. Quando o produto de programa de computador executa em um computador, o computador é permitido executar o método de acordo com o segundo aspecto ou as possíveis implementações do segundo aspecto.
[0032] De acordo com um décimo primeiro aspecto, uma modali- dade deste pedido provê um produto de programa de computador que inclui uma instrução. Quando o produto de programa de computador executa em um computador, o computador é permitido executar o mé- todo de acordo com o terceiro aspecto ou as possíveis implementações do terceiro aspecto.
[0033] De acordo com um décimo segundo aspecto, uma modali- dade deste pedido provê um produto de programa de computador que inclui uma instrução. Quando o produto de programa de computador executa em um computador, o computador é permitido executar o mé- todo de acordo com o quarto aspecto ou as possíveis implementações do quarto aspecto.
[0034] De acordo com um décimo terceiro aspecto, uma modalidade deste pedido provê um meio de armazenamento legível por computa- dor. O meio de armazenamento legível por computador armazena ins- truções, e quando as instruções são executadas em um computador, o computador é permitido executar o método de acordo com o primeiro aspecto ou as possíveis implementações do primeiro aspecto.
[0035] De acordo com um décimo quarto aspecto, uma modalidade deste pedido provê um meio de armazenamento legível por computa- dor. O meio de armazenamento legível por computador armazena ins- truções, e quando as instruções são executadas em um computador, o computador é permitido executar o método de acordo com o segundo aspecto ou as possíveis implementações do segundo aspecto.
[0036] De acordo com um décimo quinto aspecto, uma modalidade deste pedido provê um meio de armazenamento legível por computa-
dor. O meio de armazenamento legível por computador armazena ins- truções, e quando as instruções são executadas em um computador, o computador é permitido executar o método de acordo com o terceiro aspecto ou as possíveis implementações do terceiro aspecto.
[0037] De acordo com um décimo sexto aspecto, uma modalidade deste pedido provê um meio de armazenamento legível por computa- dor. O meio de armazenamento legível por computador armazena ins- truções, e quando as instruções são executadas em um computador, o computador é permitido executar o método de acordo com o quarto as- pecto ou as possíveis implementações do quarto aspecto.
[0038] As modalidades deste pedido proveem o método de identifi- cação de dispositivo de rede falso e o aparelho de comunicações. À mensagem de uplink enviada pelo dispositivo de terminal é transferida para o primeiro dispositivo de rede através do segundo dispositivo de rede. Após receber a mensagem de uplink, o primeiro dispositivo de rede gera a mensagem de downlink para a mensagem de uplink, exe- cuta o processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, e envia a mensagem de downlink para o segundo dispositivo de rede. O segundo dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink na qual o processamento de segurança é executado. O dispositivo de ter- minal executa a verificação de segurança na mensagem de downlink recebida, e identifica se o segundo dispositivo de rede é um dispositivo de rede falso. Isto ajuda a aperfeiçoar a segurança de comunicação.
BREVE DESCRIÇÃO DOS DESENHOS
[0039] Figura 1A é um diagrama esquemático de um cenário ao qual um método de identificação de dispositivo de rede falso é aplicável de acordo com uma modalidade deste pedido;
[0040] Figura 1B é um diagrama esquemático de outro cenário ao qual um método de identificação de dispositivo de rede falso é aplicável de acordo com uma modalidade deste pedido;
[0041] Figura 2 é um fluxograma de um método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pedido;
[0042] Figura 3 é um diagrama esquemático de um processo de ve- rificação de segurança em um método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pedido;
[0043] Figura 4 é um fluxograma de outro método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pe- dido;
[0044] Figura 5 é um fluxograma de ainda outro método de identifi- cação de dispositivo de rede falso de acordo com uma modalidade deste pedido;
[0045] Figura 6 é um fluxograma de outro método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pe- dido;
[0046] Figura 7 é um diagrama estrutura esquemático de um apare- lho de comunicações de acordo com uma modalidade deste pedido;
[0047] Figura 8 é um diagrama estrutura esquemático de outro apa- relho de comunicações de acordo com uma modalidade deste pedido;
[0048] Figura 9 é um diagrama estrutura esquemático de ainda ou- tro aparelho de comunicações de acordo com uma modalidade deste pedido;
[0049] Figura 10 é um diagrama estrutura esquemático de ainda ou- tro aparelho de comunicações de acordo com uma modalidade deste pedido;
[0050] Figura 11 é um diagrama estrutura esquemático de um apa- relho de comunicações de acordo com ainda outra modalidade deste pedido; e
[0051] Figura 12 é um diagrama estrutura esquemático de ainda ou- tro aparelho de comunicações de acordo com uma modalidade deste pedido.
DESCRIÇÃO DETALHADA DE MODALIDADES
[0052] Usualmente, um processo no qual um dispositivo de terminal acessa uma célula de uma estação de base normal inclui uma fase de sincronização, uma fase de mensagem de transmissão, e uma fase de acesso randômico. Em um processo de acesso inicial, se existe uma estação de base falsa com melhor qualidade de sinal próxima do dispo- sitivo de terminal na fase de mensagem de transmissão ou na fase de acesso randômico, o dispositivo de terminal acessa a estação de base falsa. Em um processo de acesso inicial, se não existir uma estação de base falsa com melhor qualidade de sinal próxima do dispositivo de ter- minal, o dispositivo de terminal acessa a estação de base normal. Após o dispositivo de terminal acessar a estação de base normal, devido a fatores tais como movimento do dispositivo de terminal, se existe uma estação de base falsa com melhor qualidade de sinal próxima do dispo- sitivo de terminal, o dispositivo de terminal executa resseleção de célula e acessa a estação de base falsa. Após acessar a estação de base falsa, quando o dispositivo de terminal recebe uma mensagem de down- link, como a estação de base falsa pode também receber a mensagem de downlink da estação de base normal, a estação de base falsa pode transferir a mensagem de downlink para o dispositivo de terminal. Neste caso, o dispositivo de terminal não pode distinguir se o dispositivo de terminal correntemente acampa na estação de base normal ou na esta- ção de base falsa. Consequentemente, a segurança de comunicação é ameaçada.
[0053] Em vista disto, as modalidades deste pedido proveem um método de identificação de dispositivo de rede falso e um aparelho de comunicações, para ajudar a identificar se um dispositivo de terminal correntemente acampa em um dispositivo de rede normal ou um dispo- sitivo de rede falso.
[0054] O método de identificação de dispositivo de rede falso pro- vido nas modalidades deste pedido pode ser aplicado a um sistema de comunicações móveis de 4º geração (4th generation, 4G) (por exemplo, um sistema de evolução de longo prazo (long term evolution, LTE), um sistema de evolução longo prazo avançado (advanced long term evolu- tion, LTE-A)), um sistema de celular relativo ao projeto de sociedade de 3º geração (3rd generation partnership project, 3GPP), um sistema de comunicações móveis de 5º geração (5th generation, 5G), e um sistema de comunicações desenvolvido subsequente. 5G pode também ser re- ferido como rádio novo (new radio, NR).
[0055] Um primeiro dispositivo de rede ou um segundo dispositivo de rede nas modalidades deste pedido podem ser uma estação de base tal como uma macro estação de base, uma micro estação de base, ou uma unidade distribuída-unidade de controle (distribute unit-control unit, DU-CU), e é um dispositivo que é implantado em uma rede de acesso de rádio e que pode executar uma comunicação sem fio com um dispo- sitivo de terminal. A estação de base pode estar configurada para mu- tuamente converter um quadro pelo ar recebido e um pacote de proto- colo de internet (internet protocol, IP) e servir como um roteador entre o dispositivo de terminal e uma parte restante de uma rede de acesso, onde a parte restante da rede de acesso pode incluir uma rede IP. À estação de base pode ainda coordenar o gerenciamento de atributos de uma interface de ar. Por exemplo, a estação de base pode ser um No- deB desenvolvido (evolutional Node B, eNB ou e-NodeB) em LTE, ou pode ser um gNB em NR. A estação de base pode alternativamente ser um controlador de rádio em um cenário de rede de acesso de rádio em nuvem (cloud radio access network, CRAN), ou pode ser uma estação de transferência, um ponto de acesso, um dispositivo montado em veí- culo, um dispositivo usável, um dispositivo de rede em uma rede móvel terrestre pública desenvolvida futura (public land mobile network,
PLMN), ou similares. Isto não está limitado nas modalidades deste pe- dido.
[0056] Um dispositivo de terminal nas modalidades deste pedido pode ser um dispositivo que provenha um usuário com conectividade de voz e/ou dados, um dispositivo portátil com uma função de conexão sem fio, ou outro dispositivo de processamento conectado a um modem sem fio. O dispositivo de terminal pode comunicar com uma ou mais redes de núcleo através de uma rede de acesso de rádio (radio access network, RAN). O dispositivo de terminal pode ser um dispositivo de ter- minal móvel, tal como um telefone móvel (também referido como um telefone "celular") ou um computador com um dispositivo de terminal móvel, por exemplo, pode ser um aparelho móvel portátil, de bolso, de mão, incorporado em computador, ou em veículo. Estes trocam voz e/ou dados com a rede de acesso de rádio. Por exemplo, o dispositivo de terminal pode ser um telefone de serviço de comunicações pessoais (personal communications service, PCS), um telefone sem fio, um tele- fone de protocolo de iniciação de seção (session initiation protocol, SIP), uma estação de loop local sem fio (wireless local loop, WLL), um assis- tente digital pessoal (personal digital assistant, PDA), um dispositivo portátil que tem uma função de comunicação sem fio, um dispositivo de computação, outro dispositivo de processamento conectado a um mo- dem sem fio, um dispositivo montado em veículo, um dispositivo usável, um terminal em uma rede 5G futura, ou um dispositivo de terminal em uma rede móvel terrestre pública desenvolvida futura (public land mobile network, PLMN). Isto não está limitado nas modalidades deste pedido. O dispositivo de terminal pode também ser referido como um sistema, uma unidade de assinante (subscriber unit), uma estação de assinante (subscriber station), uma estação móvel (mobile station), um móvel (mo- bile), uma estação remota (remote station), um ponto de acesso (access point), um dispositivo de terminal remoto (remote terminal), um disposi- tivo de terminal de acesso (access terminal), um dispositivo de terminal de usuário (user terminal), um agente de usuário (user agent), um dis- positivo de usuário (user device), ou equipamento de usuário (user equi- pment).
[0057] A Figura 1A é um diagrama esquemático de um cenário ao qual um método de identificação de dispositivo de rede falso é aplicável de acordo com uma modalidade deste pedido. Referindo à Figura 1A, um dispositivo de terminal está localizado em uma célula de um primeiro dispositivo de rede e uma célula de um segundo dispositivo de rede. O primeiro dispositivo de rede pode ser um dispositivo de rede normal, e o segundo dispositivo de rede pode ser um dispositivo de rede falso. Quando o segundo dispositivo de rede tem melhor qualidade de sinal, o dispositivo de terminal acessa o segundo dispositivo de rede, causando uma ameaça à segurança de comunicação. Para evitar a ameaça, quando enviando uma mensagem de downlink para o dispositivo de ter- minal, o primeiro dispositivo de rede primeiro executa um processa- mento de segurança na mensagem de downlink, e então envia, para o dispositivo de terminal, a mensagem de downlink na qual o processa- mento de segurança é executado. Após receber a mensagem de down- link na qual o processamento de segurança é executado, o dispositivo de terminal determina se existe um segundo dispositivo de rede envol- vido.
[0058] A Figura 1B é um diagrama esquemático de outro cenário ao qual um método de identificação de dispositivo de rede falso é aplicável de acordo com uma modalidade deste pedido. Referindo à Figura 1B, uma rede pública pode prover tanto um serviço de comunicações indus- trial quanto um serviço de comunicações de rede pública. Quando a rede pública é utilizada para comunicação industrial, componentes de fábrica, incluindo servidores de vários departamentos e telefones mó- veis de pessoal de vários departamentos, são conectados a um centro de controle através de uma unidade distribuída-unidade de controle (dis- tribute unit-control unit, DU-CU), ou componentes de fábrica podem ser conectados a um centro de controle através de um dispositivo de rede. Durante a comunicação de rede pública, um dispositivo de terminal co- munica diretamente com uma rede núcleo de uma rede pública através de uma arquitetura de DU-CU ou um dispositivo de rede. O dispositivo de rede é um nodo de trânsito para implementar comunicação entre o dispositivo de terminal e a rede de núcleo, uma CU é responsável pelo controle centralizado, e uma DU é responsável pela comunicação de transmissão de frequência de rádio. O centro de controle serve como um servidor ou nodo central de controle em um cenário de comunicação industrial, e é responsável por fornecer um comando de controle para o componente de fábrica, processando uma mensagem de uplink do dis- positivo de terminal, e similares. Quando existe uma DU-CU falsa ou um dispositivo de rede falso com melhor qualidade de sinal próximo ao com- ponente de fábrica, o componente de fábrica acessa a DU-CU falsa ou o dispositivo de rede falso. Isto causa uma ameaça à segurança de co- municação. Para evitar a ameaça, quando enviando uma mensagem de downlink para o componente de fábrica, uma DU-CU normal ou um dis- positivo de rede normal executa um primeiro processamento de segu- rança na mensagem de downlink, e então envia, para o componente de fábrica, a mensagem de downlink na qual o processamento de segu- rança é executado. Após receber a mensagem de downlink na qual o processamento de segurança é executado, o componente de fábrica determina se existe uma DU-CU falsa ou um dispositivo de rede falso envolvido.
[0059] O seguinte descreve o método de identificação de dispositivo de rede falso nas modalidades deste pedido em detalhes utilizando um exemplo do cenário mostrado na Figura 1A. Por exemplo, referir à Fi- gura 2.
[0060] A Figura 2 é um fluxograma de um método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pe- dido. Nesta modalidade, o método de identificação de dispositivo de rede falso neste pedido está descrito de uma perspectiva de interação entre um primeiro dispositivo de rede e um terminal. Esta modalidade inclui as seguintes etapas.
[0061] 101: O dispositivo de terminal envia uma mensagem de uplink para um segundo dispositivo de rede.
[0062] Nesta modalidade deste pedido, quando o dispositivo de ter- minal não executa resseleção de célula ou transferência de célula para o segundo dispositivo de rede, quando o dispositivo de terminal envia mensagem de uplink, a mensagem de uplink é diretamente enviada do dispositivo de terminal para o primeiro dispositivo de rede; quando o dispositivo de terminal executa resseleção de célula ou transferência de célula e acessa o segundo dispositivo de rede, a mensagem de uplink do dispositivo de terminal é primeiro enviada para o segundo dispositivo de rede, e então é transferida pelo segundo dispositivo de rede para o primeiro dispositivo de rede. Para o dispositivo de terminal, o dispositivo de terminal não sabe se a mensagem de uplink é diretamente enviada para o primeiro dispositivo de rede ou é transferida pelo segundo dispo- sitivo de rede para o primeiro dispositivo de rede. Em outras palavras, o dispositivo de terminal não sabe se o segundo dispositivo de rede é um dispositivo de rede falso. Se a identificação de dispositivo de rede falso não for executada, quando o dispositivo de terminal acampa no disposi- tivo de rede falso, o dispositivo de terminal não sabe se a mensagem de uplink e uma mensagem de downlink são transferidas pelo segundo dis- positivo de rede.
[0063] Nesta etapa, em um cenário no qual existe um segundo dis- ponível de rede, é assumido que uma condição de resseleção de célula ou uma condição de transferência de célula é atendida. Neste caso, em um processo no qual o dispositivo de terminal executa resseleção de célula ou transferência para o segundo dispositivo de rede, o dispositivo de terminal inicia um procedimento de acesso randômico ou outro pro- cedimento de comunicação. No procedimento de comunicação, o dis- positivo de terminal envia a mensagem de uplink para o segundo dispo- sitivo de rede. Correspondentemente, o segundo dispositivo de rede re- cebe a mensagem de uplink.
[0064] 102: O segundo dispositivo de rede envia a mensagem de uplink para o primeiro dispositivo de rede.
[0065] Nesta etapa, o segundo dispositivo de rede transfere a men- sagem de uplink para o primeiro dispositivo de rede. Correspondente- mente, o primeiro dispositivo de rede recebe a mensagem de uplink transferida pelo segundo dispositivo de rede.
[0066] 103: O primeiro dispositivo de rede gera uma mensagem de downlink para a mensagem de uplink, e executa um processamento de segurança na mensagem de downlink com base nas primeiras informa- ções de tempo.
[0067] As primeiras informações de tempo são informações de tempo determinadas pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é recebida, e o proces- samento de segurança inclui pelo menos uma de criptografia ou prote- ção de integridade.
[0068] Nesta etapa, após receber a mensagem de uplink, o primeiro dispositivo de rede gera a mensagem de downlink para a mensagem de uplink recebida, e executa o processamento de segurança na mensa- gem de downlink com base nas primeiras informações de tempo, para obter a mensagem de downlink na qual o processamento de segurança é executado. Por exemplo, se a mensagem de uplink for uma mensa- gem 1 (MSG1) em um procedimento de acesso randômico, o primeiro dispositivo de rede responde com uma mensagem de downlink mensa- gem 2 (MSG2) com base na MSG1, e executa um processamento de segurança na MSG2, para obter a MSG2 na qual o processamento de segurança é executado; se a mensagem de uplink for uma mensagem 3 (MSG3) em um procedimento de acesso randômico, o primeiro dispo- sitivo de rede responde com uma mensagem de downlink mensagem 4 (MSG4) com base na MSG3, e executa um processamento de segu- rança na MSGA, para obter a MSG4 na qual o processamento de segu- rança é executado; se a mensagem de uplink for uma mensagem que inclui dados e similares, o primeiro dispositivo de rede gera uma men- sagem de resposta com base na mensagem de uplink, e executa um processamento de segurança na mensagem de resposta, para obter a mensagem de resposta na qual o processamento de segurança é exe- cutado, onde a mensagem de resposta inclui uma mensagem de confir- mação (acknowledgement, ACK) ou uma mensagem de confirmação negativa (negative acknowledgement, NACK).
[0069] O processamento de segurança pode incluir pelo menos uma de criptografia ou proteção de integridade. Criptografia significa que o primeiro dispositivo de rede processa uma mensagem de downlink ori- ginal com base em um algoritmo de criptografia, um parâmetro de crip- tografia, e similares. Em um processo de criptografia, uma operação precisa ser executada na mensagem de downlink com base no parâme- tro de criptografia e no algoritmo de criptografia, para obter a mensagem de downlink criptografada. Após receber a mensagem de downlink crip- tografada, se uma extremidade de recepção executar uma operação in- versa com base no mesmo algoritmo e parâmetro, a mensagem de downlink original, isto é, a mensagem de downlink não criptografada é obtida. Ao contrário, se a extremidade de recepção não conhece o al- goritmo de criptografia e o parâmetro criptografia, a extremidade de re- cepção não pode ler corretamente a mensagem de downlink original. A extremidade de recepção é, por exemplo, o dispositivo de terminal ou o segundo dispositivo de rede.
[0070] Proteção de integridade significa que uma operação é exe- cutada em uma mensagem de downlink criptografada ou uma mensa- gem de downlink não criptografada com base em um parâmetro de pro- teção de integridade e um algoritmo de proteção de integridade, para obter um resultado de operação A (por exemplo, uma cadeia de carac- teres), e o resultado de operação é adicionado após a mensagem de downlink a ser transmitida e transmitido juntamente com a mensagem de downlink a ser transmitida. Após receber a mensagem de downlink que carrega o resultado da operação A, uma extremidade de recepção utiliza o mesmo algoritmo e parâmetro para executar uma operação na mensagem de downlink que carrega o resultado de operação A, para obter um resultado de operação B. Se os dois resultados de operação A e B forem consistentes, isto indica que a verificação de proteção de integridade na mensagem de downlink tem sucesso. Se a mensagem de downlink for invalidamente modificada em um processo de transmis- são, causando inconsistência entre A e B, isto indica que na verificação de proteção de integridade na mensagem de downlink falha.
[0071] Deve ser notado que, nesta modalidade deste pedido, o pro- cessamento de segurança pode incluir somente um processo de cripto- grafia ou um processo de proteção de integridade, ou pode incluir tanto um processo de criptografia quanto um processo de proteção de integri- dade. Em um possível exemplo, um processo de processamento de se- gurança é: O primeiro dispositivo de rede primeiro executa um proces- sando de criptografia na mensagem de downlink, e então executa um processamento de proteção de integridade na mensagem de downlink criptografada. Após receber a mensagem de downlink na qual o proces- samento de segurança é executado, a extremidade de recepção pri- meiro executa verificação de proteção de integridade, e então decifra a mensagem de downlink na qual a verificação de proteção de integridade é executada.
[0072] Nesta modalidade deste pedido, as primeiras informações de tempo são determinadas pelo primeiro dispositivo de rede com base no ponto no tempo no qual a mensagem de uplink é recebida. As primeiras informações de tempo podem ser um tempo absoluto, ou podem ser um tempo relativo, ou podem ser um tempo que tem um deslocamento fixo do tempo absoluto ou do tempo relativo. Por exemplo, as primeiras in- formações de tempo podem ser determinadas pelo primeiro dispositivo de rede com base no ponto no tempo no qual a mensagem de uplink é recebida, ou pode ser um tempo deduzido com base no ponto no tempo no qual a mensagem de uplink é recebida e uma regra pré-ajustada. Por exemplo, o ponto no tempo no qual o primeiro dispositivo de rede recebe a mensagem de uplink é t1, e o processamento de segurança pode ser executado na mensagem de downlink com base em t1, ou o processa- mento de segurança pode ser executado na mensagem de downlink com base em t=t1+t2, onde t2 é um valor de tempo pré-ajustado, e t=t1+t2 é uma regra pré-ajustada.
[0073] 104: O primeiro dispositivo de rede envia, para o segundo dispositivo de rede, a mensagem de downlink na qual o processamento de segurança é executado.
[0074] Correspondentemente, o segundo dispositivo de rede recebe a mensagem de downlink que é enviada pelo primeiro dispositivo de rede e na qual o processamento de segurança é executado.
[0075] 105: O segundo dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink na qual o processamento de se- gurança é executado.
[0076] Correspondentemente, o dispositivo de terminal recebe a mensagem de downlink que é transferida pelo segundo dispositivo de rede e na qual o processamento de segurança é executado.
[0077] 106: O dispositivo de terminal executa verificação de segu- rança na mensagem de downlink.
[0078] A verificação de segurança inclui pelo menos uma de deci- fração ou verificação de proteção de integridade.
[0079] Nesta etapa, o dispositivo de terminal executa pelo menos uma de decifração ou verificação de proteção de integridade na mensa- gem de downlink recebida para determinar se o segundo dispositivo de rede é um dispositivo de rede falso. Por exemplo, após receber a men- sagem de downlink na qual o processamento de segurança é execu- tado, o dispositivo de terminal primeiro executa verificação de proteção de integridade, e então decifra a mensagem de downlink na qual a veri- ficação de proteção de integridade é executada.
[0080] Esta modalidade deste pedido provê um método de identifi- cação de dispositivo de rede falso. A mensagem de uplink enviada pelo dispositivo de terminal é transferida para o primeiro dispositivo de rede através do segundo dispositivo de rede. Após receber a mensagem de uplink, o primeiro dispositivo de rede gera a mensagem de downlink para a mensagem de uplink, executa o processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, e envia a mensagem de downlink para o segundo dispositivo de rede. O segundo dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink na qual o processamento de segurança é exe- cutado. O dispositivo de terminal executa a verificação de segurança na mensagem de downlink recebida, e identifica se o segundo dispositivo de rede é um dispositivo de rede falso. Isto ajuda a aperfeiçoar a segu- rança de comunicação.
[0081] O seguinte descreve em detalhes como o dispositivo de ter- minal executa a verificação de segurança na mensagem de downlink para determinar se o segundo dispositivo de rede é um dispositivo de rede falso envolvido na modalidade acima.
[0082] Em uma implementação factível, quando o dispositivo de ter- minal executa verificação de segurança na mensagem de downlink, o dispositivo de terminal pode executar a verificação de segurança na mensagem de downlink com base nas segundas informações de tempo, onde as segundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada ou um ponto no tempo no qual a mensagem de downlink é recebida. As segundas informações de tempo e as primeiras informações de tempo podem ser o mesmo tempo, ou podem ter uma diferença de tempo fixa. Quando a verificação de segurança executada pelo dispositivo de terminal na mensagem de downlink falha, o dispositivo de terminal determina que o segundo dis- positivo de rede é um dispositivo de rede falso.
[0083] Por exemplo, após receber a mensagem de downlink na qual o processamento de segurança é executado, o dispositivo de terminal executa a verificação de segurança na mensagem de downlink com base nas segundas informações de tempo. Em um cenário no qual não existe um segundo dispositivo de rede, a mensagem de uplink é direta- mente enviada do dispositivo de terminal para o primeiro dispositivo de rede. Similarmente, a mensagem de downlink na qual o processamento de segurança é executado é também diretamente enviada do primeiro dispositivo de rede para o dispositivo de terminal. Neste caso, a verifi- cação de segurança executada pelo dispositivo de terminal na mensa- gem de downlink recebida com base nas segundas informações de tempo determinadas tem sucesso, e isto indica que a mensagem de downlink é enviada pelo primeiro dispositivo de rede normal para o dis- positivo de terminal.
Em um cenário no qual existe um segundo disposi- tivo de rede, a verificação de segurança executada pelo dispositivo de terminal na mensagem de downlink com base nas segundas informa- ções de tempo determinadas falha, e isto indica que a mensagem de downlink é transferida por um dispositivo de rede falso, isto é, o segundo dispositivo de rede, para o dispositivo de terminal.
Uma razão pela qual a verificação falha é que um retardo extra é introduzido devido à trans- ferência ou processamento do segundo dispositivo de rede.
Conse- quentemente, as segundas informações de tempo determinadas pelo dispositivo de terminal não coincidem com as primeiras informações de tempo determinadas pelo primeiro dispositivo de rede, e a verificação falha.
As segundas informações de tempo podem ser um tempo abso- luto ou um tempo relativo no qual o dispositivo de terminal envia a men- sagem de uplink, ou pode ser um tempo que tem um deslocamento fixo do tempo absoluto ou do tempo relativo.
Por exemplo, as segundas in- formações de tempo podem ser determinadas pelo dispositivo de termi- nal com base no ponto no tempo no qual a mensagem de uplink é envi- ada, ou podem ser um tempo deduzido com base no ponto no tempo no qual a mensagem de uplink é enviada e uma regra pré-ajustada.
Por exemplo, o ponto no tempo no qual o dispositivo de terminal envia a mensagem de uplink é t3, e a verificação de segurança pode ser execu- tada na mensagem de downlink com base em t3, ou a verificação de segurança pode ser executada na mensagem de downlink com base em toó=t3+t4, onde t4 é um valor de tempo pré-ajustado, e t5=t3+t4 é uma regra pré-ajustada.
Quando o dispositivo de terminal acampa no pri- meiro dispositivo de rede, o dispositivo de terminal pode aprender que t3 pode ser o mesmo que t1, ou existe uma diferença de tempo fixa t6 entre t3 e t1. Quando o dispositivo de terminal acampa no segundo dis- positivo de rede, o dispositivo de terminal não pode aprender que existe uma diferença de tempo fixa t6 entre t3 e t1.
[0084] A Figura 3 é um diagrama esquemático de um processo de verificação de segurança em um método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pedido.
[0085] Referindo a (a) na Figura 3, quando não existe um dispositivo de rede falso, a saber, um segundo dispositivo de rede, próximo de um dispositivo de terminal, o dispositivo de terminal envia uma mensagem de uplink para um primeiro dispositivo de rede em um quadro 1, e o primeiro dispositivo de rede recebe a mensagem de uplink em um qua- dro 3. O dispositivo de terminal deduz, com base em um ponto no tempo no qual a mensagem de uplink é enviada no quadro 1, um tempo no qual o primeiro dispositivo de rede recebe a mensagem de uplink, e ob- tém segundas informações de tempo com base no tempo deduzido, onde as segundas informações de tempo são, por exemplo, relativas ao quadro 3. O primeiro dispositivo de rede determina primeiras informa- ções de tempo com base em um ponto no tempo no qual a mensagem de uplink é recebida no quadro 3. Claramente, as primeiras informações de tempo são relativas ao quadro 3. Como tanto as primeiras informa- ções de tempo quanto as segundas as informações de tempo são rela- tivas ao quadro 3, após o primeiro dispositivo de rede executar um pro- cessamento de segurança em uma mensagem de downlink com base nas primeiras informações de tempo e envia a mensagem de downlink para o dispositivo de terminal, a verificação de segurança executada pelo dispositivo de terminal na mensagem de downlink recebida com base nas segundas informações de tempo tem sucesso. Neste caso, é considerado que não existe um segundo dispositivo de rede envolvido.
[0086] Referindo a (b) na Figura 3, quando existe um segundo dis- positivo de rede com qualidade de sinal relativamente boa próximo de um dispositivo de terminal, o dispositivo de terminal envia uma mensa- gem de uplink para um primeiro dispositivo de rede em um quadro 1, e o segundo dispositivo de rede intercepta a mensagem de uplink em um quadro 3 e transfere a mensagem de uplink. Então, o primeiro disposi- tivo de rede recebe, em um quadro 4, a mensagem de uplink transferida pelo segundo dispositivo de rede. O dispositivo de terminal deduz, com base em um ponto no tempo no qual a mensagem de uplink é enviada no quadro 1, um tempo no qual o primeiro dispositivo de rede recebe a mensagem de uplink, e obtém segundas informações de tempo com base no tempo deduzido, onde as segundas informações de tempo são, por exemplo, relativas ao quadro 3. O primeiro dispositivo de rede de- termina primeiras informações de tempo com base em um ponto no tempo no qual a mensagem de uplink é recebida no quadro 4, onde as primeiras informações de tempo são, por exemplo, relativas ao quadro
4. Como as primeiras informações de tempo são relativas ao quadro 4 e as segundas informações de tempo são relativas ao quadro 3, após o primeiro dispositivo de rede executar um processamento de segurança em uma mensagem de downlink com base nas primeiras informações de tempo e envia a mensagem de downlink para o dispositivo do termi- nal, a verificação de segurança executada pelo dispositivo de terminal na mensagem de downlink recebidas com base nas segundas informa- ções de tempo falha. Neste caso, o dispositivo de terminal determina que o segundo dispositivo de rede é um dispositivo de rede falso.
[0087] Nesta modalidade, o dispositivo de terminal deduz, com base no ponto no tempo no qual a mensagem de uplink é enviada, um ponto no tempo no qual o primeiro dispositivo de rede recebe a mensagem de uplink, para obter as segundas informações de tempo; executa, com base nas segundas informações de tempo, a verificação de segurança na mensagem de downlink na qual o primeiro dispositivo de rede exe- cuta o processamento de segurança com base nas primeiras informa- ções de tempo; e determina, com base em se a verificação executada na mensagem de downlink tem sucesso, se o segundo dispositivo de rede que envia a mensagem de downlink é um dispositivo de rede falso. Isto ajuda a identificar o dispositivo de rede falso e assegurar segurança de comunicação.
[0088] Em uma implementação factível, após o dispositivo de termi- nal receber a mensagem de downlink do primeiro dispositivo de rede, o método ainda inclui:
[0089] O dispositivo de terminal executa a verificação de segurança na mensagem de downlink com base em segundas informações de tempo, onde as segundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada; o dispositivo de terminal registra uma quantidade n de vezes que a verificação execu- tada em uma mensagem de downlink falha; o dispositivo de terminal determina se a quantidade n de vezes excede uma quantidade m de vezes pré-ajustada; e se a quantidade n de vezes exceder a quantidade m de ve- zes pré-ajustada, o dispositivo de terminal determina que o segundo dis- positivo de rede é um dispositivo de rede falso, onde m21 e m é um inteiro, e n21 e n é um inteiro. A quantidade n de vezes pode ser uma quantidade de vezes consecutivas de verificação falhada, ou pode ser uma quantidade acumulada de vezes não consecutivas de verificação falhada.
[0090] Por exemplo, após o dispositivo de terminal receber a men- sagem de downlink na qual o processamento de segurança é execu- tado, se a verificação executada pelo dispositivo de terminal na mensa- gem de downlink falhar, a verificação falhada pode ser causada por uma razão que a mensagem de uplink e a mensagem de downlink são trans- feridas pelo segundo dispositivo de rede, ou pode ser causada por outra razão. Por exemplo, se existir uma quantidade excessivamente grande de dispositivos de terminal, o primeiro dispositivo de rede não pode pro- cessar as mensagens de uplink enviadas pela pluralidade de dispositi- vos de terminal em tempo.
Consequentemente, a verificação executada pelo dispositivo de terminal em uma mensagem de downlink falha.
Se a verificação executada pelo dispositivo de terminal em uma mensagem de downlink na qual o processamento de segurança é executado falhar pela primeira vez, e o dispositivo de terminal determina que o segundo dispositivo de rede que envia a mensagem de downlink é um dispositivo de rede falso, um erro de julgamento pode ocorrer.
Para evitar um erro de julgamento, após receber uma mensagem de downlink na qual o pro- cesso de segurança é executado, se a verificação executada pelo dis- positivo de terminal na mensagem de downlink falhar, o dispositivo de terminal registra que a verificação executada na mensagem de downlink falha.
Após receber, por uma pluralidade de vezes, uma mensagem de downlink na qual processamento de segurança é executado, o disposi- tivo de terminal registra uma quantidade n de vezes acumulada que a verificação executada em uma mensagem de downlink falha.
Então, se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada é comparada.
Se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada, é considerado que o segundo dispositivo de rede é um dispositivo de rede falso.
Se a quantidade n de vezes não exceder a quantidade m de vezes pré-ajustada, uma mensagem de uplink é re- enviada e o processo de verificação acima é repetido após uma mensa- gem de downlink correspondente ser recebida; e se a verificação exe- cutada na mensagem de downlink ainda falhar, a quantidade n de vezes que a verificação executada em uma mensagem de downlink falha é atualizada para n+1. Então, se a quantidade n+1 de vezes exceder a quantidade m de vezes pré-ajustada é comparada.
Se a quantidade n+1 de vezes exceder a quantidade m de vezes pré-ajustada, é considerado que o segundo dispositivo de rede é um dispositivo de rede falso.
[0091] O exemplo mostrado em (b) na Figura 3 continua a ser utili- zado. Após receber a mensagem de downlink na qual o processamento de segurança é executado, se a verificação executada pelo dispositivo de terminal na mensagem de downlink com base nas segundas infor- mações de tempo falhar, o dispositivo de terminal registra que a verifi- cação na mensagem de downlink falha neste tempo. Após receber, por uma pluralidade de vezes, uma mensagem de downlink na qual o pro- cessamento de segurança é executado, o dispositivo de terminal regis- tra uma quantidade n de vezes acumulada que a verificação executada em uma mensagem de downlink com base nas segundas informações de tempo falha. Então, se a quantidade n de vezes exceder a quanti- dade m de vezes pré-ajustada é determinada. Se a quantidade n de vezes não exceder a quantidade m de vezes pré-ajustada, uma mensa- gem de uplink é reenviada, de modo que o primeiro dispositivo de rede continua a gerar uma mensagem de downlink para a mensagem de uplink, executa processamento de segurança na mensagem de down- link, e envia a mensagem de downlink. Após receber a mensagem de downlink, o dispositivo de terminal repete o processo de verificação acima, e se a verificação executada na mensagem de downlink ainda falhar, a quantidade de vezes que a verificação executada em uma men- sagem de downlink falha é atualizada para n+1. Então, se a quantidade n+1 de vezes exceder a quantidade m de vezes pré-ajustada é compa- rada. Se a quantidade n+1 de vezes exceder a quantidade m de vezes pré-ajustada, é considerado que o segundo dispositivo de rede é um dispositivo de rede falso.
[0092] Nesta modalidade, o dispositivo de terminal determina, com base na quantidade de vezes que a verificação executada em uma men- sagem de downlink falha, se existe um segundo dispositivo de rede en- volvido, para evitar erro de julgamento executado pelo dispositivo de terminal.
[0093] Nesta modalidade deste pedido, para impedir que um dispo- sitivo de rede falso execute verificação de segurança na mensagem de downlink deduzindo as segundas informações de tempo e violando a mensagem de downlink após a verificação ter sucesso, além de execu- tar o processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, o primeiro dispositivo de rede tam- bém executa um processamento de segurança na mensagem de down- link utilizando uma primeira chave. Correspondentemente, o dispositivo de terminal executa verificação de segurança na mensagem de down- link utilizando uma segunda chave. O seguinte descreve em detalhes como o primeiro dispositivo de rede executa o processamento de segu- rança na mensagem de downlink utilizando a primeira chave para impe- dir que a mensagem seja violada pelo segundo dispositivo de rede.
[0094] Por exemplo, após gerar a mensagem de downlink para a mensagem de uplink recebida, o primeiro dispositivo de rede executa o processamento de segurança na mensagem de downlink utilizando a primeira chave antes, após, ou ao mesmo tempo quando executando o processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo. Então, o primeiro dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink na qual o processamento de segurança é executado utilizando a primeira chave e as primeiras informações de tempo. A primeira chave é uma chave que pode ser aprendida pelo primeiro dispositivo de rede e o dispositivo de terminal, mas o segundo dispositivo de rede não pode aprender a primeira chave. Se existir um segundo dispositivo de rede próximo do dispositivo de terminal, após o segundo dispositivo de rede interceptar a mensagem de downlink, mesmo se o segundo dispositivo de rede de- duzir as segundas informações de tempo, como o segundo dispositivo de rede não pode aprender a segunda chave que corresponde à pri- meira chave, a verificação de execução pelo segundo dispositivo de rede na mensagem de downlink falha, e portanto o segundo dispositivo de rede não pode violar a mensagem de downlink. Após receber a men- sagem de downlink, o dispositivo de terminal executa a verificação de segurança na mensagem de downlink com base na segunda chave que corresponde à primeira chave e as segundas informações de tempo. À primeira chave e a segunda chave podem ser a mesma chave. A pri- meira chave e a segunda chave podem ser chaves pré-alocadas, ou chaves derivadas com base em chaves pré-alocadas.
[0095] Nesta modalidade, o primeiro dispositivo de rede executa o processamento de segurança na mensagem de downlink utilizando a primeira chave, para impedir que um dispositivo de rede falso execute verificação de segurança na mensagem de downlink deduzindo as se- gundas informações de tempo e violando a mensagem de downlink após a verificação ter sucesso. Isto ajuda adicionalmente assegurar a segurança de comunicação.
[0096] O seguinte descreve em detalhes, o método de identificação de dispositivo de rede falso, utilizando duas modalidades. Por exemplo, referir à Figura 4 e Figura 5.
[0097] A Figura 4 é um fluxograma de outro método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pe- dido. Nesta modalidade, uma mensagem de uplink inclui uma mensa- gem 1 em um procedimento de acesso randômico, e uma mensagem de downlink inclui uma mensagem 2 no procedimento de acesso randô- mico. A mensagem 1 é, por exemplo, uma mensagem (message, MSG) 1, e a mensagem 2 é, por exemplo, uma MSG2. Nesta modalidade, um dispositivo de rede falso é identificado utilizando a MSG1 e a MSG2 no procedimento de acesso randômico. Esta modalidade inclui as seguin- tes etapas.
[0098] 201: Um primeiro dispositivo de rede envia, para um disposi-
tivo de terminal, uma mensagem de transmissão na qual o processa- mento de segurança é executado.
[0099] Nesta modalidade deste pedido, um processo no qual o dis- positivo de terminal acessa o primeiro dispositivo de rede inclui uma fase de sincronização de sinal, uma fase de mensagem de transmissão, e uma fase de acesso randômico.
[0100] Nesta etapa, o primeiro dispositivo de rede executa um pro- cessamento de segurança na mensagem de transmissão, e envia, para o dispositivo de terminal na fase de mensagem de transmissão, a men- sagem de transmissão na qual o processamento de segurança é exe- cutado. Correspondentemente, o dispositivo de terminal recebe a men- sagem de transmissão na qual o processamento de segurança é exe- cutado. A mensagem de transmissão na qual o processamento de se- gurança é executado inclui informações de configuração de recurso de canal de acesso randômico RACH e/ou um número de quadro de sis- tema (system frame number, SFN).
[0101] Opcionalmente, para distinguir se um propósito de enviar uma MSG1 pelo dispositivo de terminal é para executar acesso randô- mico ou identificar se existe um segundo dispositivo de rede envolvido, nesta etapa, as informações de configuração de recurso de RACH en- viadas pelo primeiro dispositivo de rede para o dispositivo de terminal indicam um primeiro recurso de RACH e um segundo recurso de RACH. Se o dispositivo de terminal enviar uma MSG1 no primeiro recurso de RACH, isto indica que um propósito de enviar a MSG1 pelo dispositivo de terminal é para identificar se existe um segundo dispositivo de rede envolvido. Se o dispositivo de terminal enviar a MSG1 no segundo re- curso de RACH, isto indica que um propósito de enviar a MSG1 pelo dispositivo de terminal é principalmente para executar acesso randô- mico.
[0102] 202: O dispositivo de terminal envia a MSG1 para um se- gundo dispositivo de rede em um recurso indicado por informações de configuração de recurso de PRACAH.
[0103] Correspondentemente, o segundo dispositivo de rede recebe a MSG1.
[0104] Deve ser notado que para o dispositivo de terminal, o dispo- sitivo de terminal não sabe se a MSG1 é interceptada pelo segundo dis- positivo de rede.
[0105] Além disso, deve ser notado que em um cenário no qual não existe dispositivo de rede falso, isto é, o segundo dispositivo de rede, nesta etapa, o dispositivo de terminal diretamente envia a MSG1 para o primeiro dispositivo de rede no recurso indicado pelas informações de configuração de recurso de RACH.
[0106] 203: O segundo dispositivo de rede envia a MSG1 para o primeiro dispositivo de rede.
[0107] Correspondentemente, o primeiro dispositivo de rede recebe a MSG1, e determina as primeiras informações de tempo com base em um ponto no tempo no qual a MSG1 é recebida.
[0108] Nesta etapa, se as informações de configuração de recurso de RACH indicarem o primeiro recurso de RACH e o segundo recurso de RACH, o dispositivo de terminal precisa primeiro determinar se a MSG1 é enviada para um propósito de executar acesso randômico ou identificar se existe um segundo dispositivo de rede envolvido. Se o dis- positivo de terminal meramente pretende identificar se existe um se- gundo dispositivo de rede envolvido, o dispositivo de terminal envia a MSG1 para o primeiro dispositivo de rede no primeiro recurso de RACH. Se o dispositivo de terminal pretende executar acesso randômico nor- mal, o dispositivo de terminal envia a MSG1 para o primeiro dispositivo de rede no segundo recurso de RACH.
[0109] 204: O primeiro dispositivo de rede gera uma MSG2 para a
MSG1, e executa processamento de segurança na MSG2 com base nas primeiras informações de tempo.
[0110] Quando a MSG? precisa ser impedida de ser violada pelo segundo dispositivo de rede, o primeiro dispositivo de rede pode ainda executar processamento de segurança na MSG?2 utilizando uma pri- meira chave. A primeira chave é, por exemplo, uma chave pública.
[0111] Além disso, se o primeiro dispositivo de rede determinar que a MSG1 é enviada pelo dispositivo de terminal no primeiro recurso de RACH, o primeiro dispositivo de rede gera, para a MSG1, uma MSG2 que não carrega uma concessão de uplink (UL grant), e subsequente- mente não recebe uma MSG3. Se o primeiro dispositivo de rede deter- minar que a MSG1 é enviada pelo dispositivo de terminal no segundo recurso de RACH, o primeiro dispositivo de rede gera, para a MSG1, uma MSG? que carrega uma concessão de uplink, e subsequentemente continua a receber uma MSG3.
[0112] 205: O primeiro dispositivo de rede envia, para o segundo dispositivo de rede, a MSG2 na qual o processamento de segurança é executado.
[0113] 206: O segundo dispositivo de rede envia, para o dispositivo de terminal, a MSG2 na qual o processamento de segurança é execu- tado.
[0114] Correspondentemente, o dispositivo de terminal recebe a MSG? na qual o processamento de segurança é executado.
[0115] 207: O dispositivo de terminal executa verificação de segu- rança na MSG2 com base em segundas informações de tempo.
[0116] Na etapa 204 acima, quando o primeiro dispositivo de rede ainda executa o processamento de segurança na MSG? utilizando a pri- meira chave, nesta etapa o dispositivo de terminal ainda precisa execu- tar verificação de segurança na MSG?2 utilizando uma segunda chave. A segunda chave é, por exemplo, uma chave privada do dispositivo de terminal, e a chave privada corresponde à chave pública na etapa 204.
[0117] 208: O dispositivo de terminal determina, com base em se a verificação de segurança executada na mensagem de downlink tem su- cesso, se o segundo dispositivo de rede é um dispositivo de rede falso.
[0118] Nesta modalidade, quando as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH e o segundo recurso de RACH, o dispositivo de terminal pode flexivelmente escolher enviar a MSG1 no primeiro recurso de RACH ou no segundo recurso de RACH, para evitar uma desvantagem que quando o dispositivo de ter- minal não precisa executar acesso randômico, o dispositivo de terminal ainda precisa iniciar o acesso randômico para identificar se existe um segundo dispositivo de rede envolvido.
[0119] A Figura 5 é um fluxograma de ainda outro método de iden- tificação de dispositivo de rede falso de acordo com uma modalidade deste pedido. Nesta modalidade, uma mensagem de uplink inclui uma mensagem 3 em um procedimento de acesso randômico, e uma men- sagem de downlink inclui uma mensagem 4 no procedimento de acesso randômico. Nesta modalidade, se um segundo dispositivo de rede é um dispositivo de rede falso é identificado utilizando a MSG3 e a MSG4 no procedimento de acesso randômico. Esta modalidade inclui as seguin- tes etapas.
[0120] 301: Um primeiro dispositivo de rede envia, para um disposi- tivo de terminal, uma mensagem de transmissão na qual um processa- mento de segurança é executado.
[0121] Nesta etapa, o primeiro dispositivo de rede executa um pro- cessamento de segurança na mensagem de transmissão, e envia, para o dispositivo de terminal em uma fase de mensagem de transmissão, a mensagem de transmissão na qual o processamento de segurança é executado. Correspondentemente, o dispositivo de terminal recebe a mensagem de transmissão na qual o processamento de segurança é executado. A mensagem de transmissão na qual o processamento de segurança é executado inclui as informações de configuração de re- curso de canal de acesso randômico RACH e/ou um número de quadro de sistema (system frame number, SFN).
[0122] 302: O dispositivo de terminal envia uma MSG1 para um se- gundo dispositivo de rede em um recurso indicado pelas informações de configuração de recurso de PRACAH.
[0123] Correspondentemente, o segundo dispositivo de rede recebe a MSG1.
[0124] 303: O segundo dispositivo de rede envia a MSG1 para o primeiro dispositivo de rede.
[0125] Correspondentemente, o primeiro dispositivo de rede recebe a MSG1.
[0126] 304: O primeiro dispositivo de rede gera uma MSG2 para a MSG1.
[0127] 305: O primeiro dispositivo de rede envia a MSG2 para o se- gundo dispositivo de rede.
[0128] Correspondentemente, o segundo dispositivo de rede recebe a MSG2.
[0129] 306: O segundo dispositivo de rede envia a MSG2 para o dispositivo de terminal.
[0130] Correspondentemente, o dispositivo de terminal recebe a MSG?2.
[0131] 307: O dispositivo de terminal envia uma MSG3 para o se- gundo dispositivo de rede.
[0132] 308: O segundo dispositivo de rede envia a MSG3 para o primeiro dispositivo de rede.
[0133] Correspondentemente, o primeiro dispositivo de rede recebe a MSG3, e determina primeiras informações de tempo com base em um ponto no tempo no qual a MSG3 é recebida. O dispositivo de terminal determina segundas informações de tempo com base em um ponto no tempo no qual a MSG3 é enviada.
[0134] Opcionalmente, o dispositivo de rede pode ainda determinar uma identidade do dispositivo de terminal com base na MSG3, e ainda determine uma chave privada do dispositivo de terminal com base na identidade.
[0135] 309: O primeiro dispositivo de rede gera uma MSG4 para a MSG3, e executa processamento de segurança na MSG4 com base nas primeiras informações de tempo.
[0136] Quando a MSGA4 precisa ser impedida de ser violada pelo segundo dispositivo de rede, o primeiro dispositivo de rede pode ainda executar um processamento de segurança na MSGA utilizando uma pri- meira chave. A primeira chave é, por exemplo, a chave privada determi- nada na etapa 305 acima.
[0137] 310: O primeiro dispositivo de rede envia, para o segundo dispositivo de rede, a MSG4 na qual o processamento de segurança é executado.
[0138] 311: O segundo dispositivo de rede envia, para o dispositivo de terminal, a MSG4 na qual o processamento de segurança é execu- tado.
[0139] Correspondentemente, o dispositivo de terminal recebe a MSGA4 na qual o processamento de segurança é executado.
[0140] 312: O dispositivo de terminal executa verificação de segu- rança na MSG4 com base nas segundas informações de tempo.
[0141] Na etapa 309 acima, quando o primeiro dispositivo de rede executa o processamento de segurança na MSGA4 utilizando a chave privada, nesta etapa, o dispositivo de terminal ainda precisa executar verificação de segurança na MSGA utilizando a chave privada.
[0142] 314: O dispositivo de terminal determina se o segundo dispo- sitivo de rede é um dispositivo de rede falso.
[0143] Nesta modalidade, o primeiro dispositivo de rede determina a identidade do dispositivo de terminal com base na MSG3 e ainda de- termina a chave privada, e executa o processamento de segurança na MSGA4 com base nas primeiras informações de tempo e na chave pri- vada, de modo que somente o dispositivo de terminal que armazena a chave privada pode executar a verificação de segurança na MSGA. Isto ajuda adicionalmente assegurar a segurança de comunicação.
[0144] Deve ser notado que, na modalidade acima, o dispositivo de terminal precisa se manter sincronizado com o primeiro dispositivo de rede. Em consideração de flutuação de relógio, o dispositivo de terminal precisa manter um temporizador. Cada vez quando o temporizador ex- pira, o dispositivo de terminal inicia acesso randômico para sincronizar com um relógio no primeiro dispositivo de rede ou um relógio em uma rede de núcleo.
[0145] Na modalidade acima, após receber uma mensagem de uplink, o primeiro dispositivo de rede gera uma mensagem de downlink para a mensagem de uplink, e então executa o processamento de se- gurança na mensagem de downlink e envia a mensagem de downlink para o dispositivo de terminal, de modo que o dispositivo de terminal determina, com base em se a verificação executada na mensagem de downlink na qual o processamento de segurança é executado tem su- cesso, se o segundo dispositivo de rede é um dispositivo de rede falso. No entanto, cada vez antes de enviar uma mensagem de downlink, o primeiro dispositivo de rede não precisa receber uma mensagem de uplink. O seguinte descreve em detalhes como o dispositivo de terminal determina, quando a mensagem de downlink enviada pelo dispositivo de rede não está relacionada com a recepção de mensagem de uplink, se existe um segundo dispositivo de rede envolvido. Por exemplo, referir à Figura 6.
[0146] A Figura 6 é um fluxograma de outro método de identificação de dispositivo de rede falso de acordo com uma modalidade deste pe- dido. Nesta modalidade, o método de identificação de dispositivo de rede falso neste pedido está descrito de uma perspectiva de interação entre um primeiro dispositivo de rede e um terminal. Esta modalidade inclui as seguintes etapas.
[0147] 401: Um primeiro de dispositivo de rede adiciona informa- ções de indicação em uma mensagem de downlink, onde as informa- ções de indicação são utilizadas para indicar a duração válida da men- sagem de downlink para um dispositivo de terminal.
[0148] Quando enviando a mensagem de downlink para o disposi- tivo de terminal, o primeiro dispositivo de rede adiciona as informações de indicação à mensagem de downlink, onde as informações de indica- ção são utilizadas para indicar a duração válida da mensagem de down- link. A duração válida indica um período de tempo no qual a mensagem de downlink é válida, ou indica um ponto no tempo antes do qual a men- sagem de downlink é válida.
[0149] 402: O primeiro dispositivo de rede envia, para um segundo dispositivo de rede, a mensagem de downlink à qual as informações de indicação são adicionadas.
[0150] Nesta etapa, quando o primeiro dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink à qual, as in- formações de indicação são adicionadas, a mensagem de downlink é interceptada pelo segundo dispositivo de rede.
[0151] 403: O segundo dispositivo de rede envia, para o dispositivo de terminal, a mensagem de downlink à qual as informações de indica- ção são adicionadas.
[0152] 404: O dispositivo de terminal determina, com base nas in- formações de indicação, se o segundo dispositivo de rede é um dispo- sitivo de rede falso.
[0153] De acordo com o método de identificação de dispositivo de rede falso nesta modalidade, quando enviando a mensagem de down- link para o dispositivo de terminal, o primeiro dispositivo de rede adici- ona as informações de indicação à mensagem de downlink, para indicar a duração válida da mensagem de downlink para o dispositivo de termi- nal, de modo que o dispositivo de terminal determina, com base na du- ração válida, se existe um segundo dispositivo de rede envolvido. Isto ajuda a assegurar a segurança de comunicação.
[0154] O seguinte descreve em detalhes como o dispositivo de ter- minal identifica se o segundo dispositivo de rede é um dispositivo de rede falso.
[0155] Em uma implementação factível, após receber a mensagem de downlink do primeiro dispositivo de rede, o dispositivo de terminal ainda determina, com base nas informações de indicação, se a mensa- gem de downlink é válida. Se a mensagem de downlink for válida, o dispositivo de terminal determina que o segundo dispositivo de rede não é um dispositivo de rede falso. Se a mensagem de downlink for inválida, o dispositivo de terminal determina que o segundo dispositivo de rede é um dispositivo de rede falso.
[0156] Por exemplo, após receber a mensagem de downlink, o dis- positivo de terminal analisa a duração válida, e determina, com base na duração válida, se o segundo dispositivo de rede é um dispositivo de rede falso. Por exemplo, se a duração válida indicar que a mensagem de downlink é válida em um período de tempo, o dispositivo de terminal determina se um tempo corrente pertence ao período de tempo; e se o tempo corrente pertencer ao período de tempo, o dispositivo de terminal considera que o segundo dispositivo de rede não é um dispositivo de rede falso; se o tempo corrente não pertencer ao período de tempo, o dispositivo de terminal considera que o segundo dispositivo de rede é um dispositivo de rede falso. Para outro exemplo, se a duração válida indicar que a mensagem de downlink é válida antes de um ponto no tempo, o dispositivo de terminal determina se um tempo corrente excede o ponto no tempo; e se o tempo corrente exceder o ponto no tempo, o dispositivo de terminal considera que o segundo dispositivo de rede é um dispositivo de rede falso; se o tempo corrente não exceder o ponto no tempo, o dispositivo de terminal determina que o segundo dispositivo de rede não é um dispositivo de rede falso.
[0157] Nesta modalidade, quando enviando a mensagem de down- link para o dispositivo de terminal, o primeiro dispositivo de rede adici- ona, à mensagem de downlink, as informações de indicação que indi- cam a duração válida da mensagem de downlink, de modo que o dispo- sitivo de terminal determina, com base na duração válida, se a mensa- gem de downlink recebida é válida, e portanto identifica se o segundo dispositivo de rede é um dispositivo de rede falso. Isto ajuda a assegurar a segurança de comunicação.
[0158] Em uma implementação factível, quando o dispositivo de ter- minal determina, com base nas informações de indicação, se o segundo dispositivo de rede é um dispositivo de rede falso, o dispositivo de ter- minal pode determinar, com base nas informações de indicação, se a mensagem de downlink é válida; o dispositivo de terminal registra uma quantidade n de vezes de receber uma mensagem de downlink inválida; o dispositivo de terminal determina se a quantidade n de vezes excede uma quantidade m de vezes pré-ajustada; e se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada, o dispositivo de terminal determina que o segundo dispositivo de rede é um dispositivo de rede falso, onde m21 e m é um inteiro, e n21 e né um inteiro.
[0159] Por exemplo, após receber a mensagem de downlink que carrega as informações de indicação, se o dispositivo de terminal deter- mina, com base nas informações de indicação, que a mensagem de downlink é inválida, a mensagem inválida pode ser causada pelo envol- vimento do segundo dispositivo de rede, ou pode ser causada por outra razão. Quando recebendo uma mensagem de downlink inválida pela primeira vez, se o dispositivo de terminal determinar que existe um se- gundo dispositivo de rede envolvido, um erro de julgamento pode ocor- rer. Para evitar o erro de julgamento, cada vez após receber uma men- sagem de downlink inválida, se a mensagem de downlink for inválida, o dispositivo de terminal registra uma quantidade n de vezes de receber uma mensagem inválida. Então, se a quantidade n de vezes exceder uma quantidade m de vezes pré-ajustada é comparada. Se a quanti- dade n de vezes exceder a quantidade m de vezes pré-ajustada, é con- siderado que existe um segundo dispositivo de rede envolvido. Se a quantidade n de vezes não exceder a quantidade m de vezes pré-ajus- tada, é considerado que não existe um segundo dispositivo de rede en- volvido. A quantidade m de vezes pré-ajustada pode indicar que o dis- positivo de terminal recebe uma mensagem de downlink inválida por m vezes consecutivas, ou pode indicar que o dispositivo de terminal re- cebe uma mensagem de downlink inválida por m vezes acumulada.
[0160] Nesta modalidade, o dispositivo de terminal determina, com base na quantidade de vezes de receber uma mensagem de downlink inválida, se existe um segundo dispositivo de rede envolvido, para evitar erro de julgamento pelo dispositivo de terminal.
[0161] Usualmente, um processo no qual um dispositivo de terminal acessa uma célula de uma estação de base normal inclui uma fase de sincronização, uma fase de mensagem de transmissão e uma fase de acesso randômico. Quando o primeiro dispositivo de rede envia a men- sagem de transmissão, o primeiro dispositivo de rede não precisa ser disparado pela mensagem de uplink. O seguinte descreve em detalhes como identificar que existe um segundo dispositivo de rede envolvido em uma fase de mensagem de transmissão.
[0162] Em uma implementação factível, a mensagem de downlink inclui uma mensagem de transmissão, e que o dispositivo de terminal recebe a mensagem de downlink do segundo dispositivo de rede inclui: O dispositivo de terminal recebe, do segundo dispositivo de rede, a men- sagem de transmissão na qual o processamento de segurança é exe- cutado, onde o primeiro dispositivo de rede executa o processamento de segurança na mensagem de transmissão e envia a mensagem de transmissão para o segundo dispositivo de rede; ou o dispositivo de ter- minal recebe a mensagem de transmissão do segundo dispositivo de rede, onde o primeiro dispositivo de rede executa o processamento de segurança em informações de indicação na mensagem de transmissão.
[0163] Por exemplo, antes de enviar a mensagem de transmissão para o dispositivo de terminal, o primeiro dispositivo de rede primeiro adiciona as informações de indicação à mensagem de transmissão, e então envia, para o dispositivo de terminal, a mensagem de transmissão à qual as informações de indicação são adicionadas. Se existe um se- gundo dispositivo de rede, as informações de transmissão às quais as informações de indicação são adicionadas são transferidas pelo se- gundo dispositivo de rede para o dispositivo de terminal. Corresponden- temente, o dispositivo de terminal recebe a mensagem de transmissão. O dispositivo de terminal pode executar o processamento de segurança na mensagem de transmissão inteira, ou pode executar o processa- mento de segurança somente nas informações de indicação na mensa- gem de transmissão. Isto não está limitado nesta modalidade deste pe- dido.
[0164] Nesta modalidade, o primeiro dispositivo de rede adiciona as informações de indicação à mensagem de transmissão, de modo que após receber as informações de indicação, o dispositivo de terminal pode determinar, com base nas informações de indicação, se existe um dispositivo de rede correntemente envolvido. Isto ajuda a identificar um dispositivo de rede falso na fase de mensagem de transmissão.
[0165] Deve ser notado que, na modalidade acima, o dispositivo de terminal precisa se manter sincronizado com o primeiro dispositivo de rede. Em consideração de flutuação de relógio, o dispositivo de terminal precisa manter um temporizador. Cada vez quando o temporizador ex- pira, o dispositivo de terminal inicia acesso randômico para sincronizar com um relógio no primeiro dispositivo de rede ou um relógio em uma rede de núcleo.
[0166] A Figura 7 é um diagrama estrutura esquemático de um apa- relho de comunicações de acordo com uma modalidade deste pedido. O aparelho de comunicações nesta modalidade pode ser um dispositivo de terminal, ou pode ser um chip utilizado em um dispositivo de terminal. O aparelho de comunicações pode estar configurado para executar uma função do dispositivo de terminal na Figura 2 ou uma modalidade opci- onal. Como mostrado na Figura 7, o aparelho de comunicações 100 pode incluir uma unidade de envio 11, uma unidade de recepção 12, e uma unidade de processamento 13.
[0167] A unidade de envio 11 está configurada para enviar uma mensagem de uplink para um segundo dispositivo de rede, onde a men- sagem de uplink deve ser enviada pelo segundo dispositivo de rede para um primeiro dispositivo de rede.
[0168] A unidade de recepção 12 está configurada para receber uma mensagem de downlink do segundo dispositivo de rede, onde a mensagem de downlink é recebida pelo segundo dispositivo de rede do primeiro dispositivo de rede, e a mensagem de downlink é uma mensa- gem que é gerada pelo primeiro dispositivo de rede com base na men- sagem de uplink e na qual o processamento de segurança é executado com base nas primeiras informações de tempo, onde o processamento de segurança inclui pelo menos uma de criptografia ou proteção de in- tegridade, e as primeiras informações de tempo são informações de tempo determinadas pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é recebida.
[0169] A unidade de processamento 13 está configurada para exe- cutar verificação de segurança na mensagem de downlink, onde a veri- ficação de segurança inclui pelo menos uma de decifração ou verifica- ção de proteção de integridade.
[0170] Em um projeto factível, a unidade de processamento 13 está configurada para executar a verificação de segurança na mensagem de downlink com base nas segundas informações de tempo, onde as se- gundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada; e quando a verificação de segurança executada pela unidade de processamento 13 na mensagem de downlink falha, a unidade de processamento 13 determina que o segundo dispositivo de rede é um dispositivo de rede falso.
[0171] Em um projeto factível, após a unidade de recepção 12 rece- ber a mensagem de downlink do segundo dispositivo de rede, a unidade de processamento 13 está inda configurada para: executar a verificação de segurança na mensagem de downlink com base nas segundas infor- mações de tempo, onde as segundas informações de tempo são infor- mações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada; regis- trar uma quantidade n de vezes que a verificação executada em uma mensagem de downlink falha; determinar se a quantidade n de vezes excede uma quantidade m de vezes pré-ajustada; e se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada, determinar que o segundo dispositivo de rede é um dispositivo de rede falso, onde m21 e m é um inteiro, e n21 e n é um inteiro.
[0172] Em um projeto factível, quando o primeiro dispositivo de rede ainda executa um processamento de segurança na mensagem de downlink utilizando uma primeira chave, a unidade de processamento
13 está ainda configurada para executar verificação de segurança na mensagem de downlink utilizando uma segunda chave.
[0173] Em um projeto factível, a mensagem de uplink inclui uma mensagem de acesso randômico 1, e a mensagem de downlink inclui uma mensagem de acesso randômico 2.
[0174] Em um projeto factível, antes da unidade de envio 11 enviar a mensagem de uplink para o segundo dispositivo de rede, a unidade de recepção 12 está ainda configurada para receber uma mensagem de transmissão do primeiro dispositivo de rede, onde a mensagem de transmissão é uma mensagem na qual o primeiro dispositivo de rede executa um processamento de segurança, e a mensagem de transmis- são inclui pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sis- tema SFN.
[0175] Em um projeto factível, a unidade de processamento 13 está configurada para determinar um primeiro recurso de RACH com base nas informações de configuração de recurso de RACH, onde as infor- mações de configuração de recurso de RACH indicam o primeiro re- curso de RACH, e o primeiro recurso de RACH é utilizado pelo disposi- tivo de terminal para enviar a mensagem de uplink; e a unidade de envio 11 está configurada para enviar a men- sagem 1 para o segundo dispositivo de rede no primeiro recurso de RACH.
[0176] Em um projeto factível, a mensagem de uplink inclui uma mensagem 3 em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 4 no procedimento de acesso randômico.
[0177] O aparelho de comunicações provido nesta modalidade deste pedido pode executar uma ação do dispositivo de terminal na Fi- gura 2 e a modalidade opcional. Um princípio de implementação e um efeito técnico do aparelho de comunicações são similares àqueles do dispositivo de terminal. Os detalhes não estão aqui descritos nova- mente.
[0178] A Figura 8 é um diagrama estrutura esquemático de outro aparelho de comunicações de acordo com uma modalidade deste pe- dido. O aparelho de comunicações nesta modalidade pode ser um pri- meiro dispositivo de rede, ou pode ser um chip utilizado em um primeiro dispositivo de rede. O aparelho de comunicações pode estar configu- rado para executar uma função de primeiro dispositivo de rede na Figura 2 ou uma modalidade opcional. Como mostrado na Figura 8, o aparelho de comunicações 200 pode incluir: uma unidade de recepção 21, configurada para receber uma mensagem de uplink de um segundo dispositivo de rede, onde a men- sagem de uplink é enviada por um dispositivo de terminal para o se- gundo dispositivo de rede; uma unidade de processamento 22, configurada para: gerar a mensagem de downlink para a mensagem de uplink, e executar um processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, onde o processamento de segurança inclui pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determina- das pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é recebida; e uma unidade de envio 23, configurada para enviar a mensa- gem de downlink para o segundo dispositivo de rede, onde a mensagem de downlink deve ser enviada pelo segundo dispositivo de rede para o dispositivo de terminal.
[0179] Em um projeto factível, antes da unidade de envio 23 enviar, para o segundo dispositivo de rede, a mensagem de downlink na qual o processamento de segurança é executado, a unidade de processa- mento 22 está ainda configurada para executar um processamento de segurança na mensagem de downlink utilizando uma primeira chave.
[0180] Em um projeto factível, a mensagem de uplink inclui uma mensagem | em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 2 no procedimento de acesso randômico.
[0181] Em um projeto factível, antes da unidade de recepção 21 re- ceber a mensagem de uplink do segundo dispositivo de rede, a unidade de envio 23 está ainda configurada para enviar, para o dispositivo de terminal, uma mensagem de transmissão na qual o processamento de segurança é executado, onde a mensagem de transmissão na qual o processamento de segurança é executado inclui pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sistema SFN.
[0182] Em um projeto factível, a unidade de recepção 21 está espe- cificamente configurada para receber a mensagem 1 do segundo dispo- sitivo de rede em um primeiro recurso de RACH, onde a mensagem 2 não carrega uma concessão de uplink, as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é um recurso utilizado pelo dispositivo de terminal para enviar a mensagem de uplink.
[0183] Em um projeto factível, a mensagem de uplink inclui uma mensagem 3 em um procedimento de acesso randômico, e a mensa- gem de downlink inclui uma mensagem 4 no procedimento de acesso randômico.
[0184] O aparelho de comunicações provido nesta modalidade deste pedido pode executar uma ação do primeiro dispositivo de rede na Figura 2 e a modalidade opcional. Um princípio de implementação e um efeito técnico do aparelho de comunicações são similares àqueles do primeiro dispositivo de rede. Detalhes não estão aqui descritos no- vamente.
[0185] A Figura 9 é um diagrama estrutura esquemático de ainda outro aparelho de comunicações de acordo com uma modalidade deste pedido. O aparelho de comunicações nesta modalidade pode ser um dispositivo de terminal, ou pode ser um chip utilizado em um dispositivo de terminal. O aparelho de comunicações pode estar configurado para executar uma função do dispositivo de terminal na Figura 6 ou uma mo- dalidade opcional. Como mostrado na Figura 9, o aparelho de comuni- cações 300 pode incluir: uma unidade de recepção 31, configurada para receber uma mensagem de downlink de um segundo dispositivo de rede, onde a mensagem de downlink é enviada por um primeiro dispositivo de rede para o segundo dispositivo de rede, a mensagem de downlink carrega informações de indicação, e as informações de indicação são utilizadas para indicar uma duração válida da mensagem de downlink para o dis- positivo de terminal; e uma unidade de processamento 32, configurada para deter- minar com base nas informações de indicação, se o segundo dispositivo de rede é um dispositivo de rede falso.
[0186] Em um projeto factível, a unidade de processamento 32 está configurada para: determinar, com base nas informações de indicação, se a mensagem de downlink é válida; e se a mensagem de downlink for válida, o dispositivo de terminal determina que o segundo dispositivo de rede é um dispositivo de rede falso.
[0187] Em um projeto factível, a unidade de processamento 32 está configurada para: determinar, com base nas informações de indicação, se a mensagem de downlink é válida; registar uma quantidade n de ve- zes de receber uma mensagem de downlink inválida; determinar se a quantidade n de vezes excede uma quantidade m de vezes pré-ajus- tada; e se a quantidade n de vezes exceder a quantidade m de vezes pré-ajustada, determinar que o segundo dispositivo de rede é um dispo- sitivo de rede falso, onde m21 e m é um inteiro, e n21 e n é um inteiro.
[0188] Em um projeto factível, a mensagem de downlink inclui uma mensagem de transmissão; e a unidade de recepção 31 está configurada para receber, do segundo dispositivo de rede, a mensagem de transmissão na qual um processamento de segurança é executado, onde o primeiro dispositivo de rede executa o processamento de segurança na mensagem de trans- missão e envia a mensagem de transmissão para o segundo dispositivo de rede; ou a unidade de recepção 31 está configurada para receber a mensagem de transmissão do segundo dispositivo de rede, onde a men- sagem de transmissão inclui informações de indicação na qual um pro- cessamento de segurança é executado, e o primeiro dispositivo de rede executa o processamento de segurança nas informações de indicação na mensagem de transmissão.
[0189] O aparelho de comunicações provido nesta modalidade deste pedido pode executar uma ação do dispositivo de terminal na Fi- gura 6 e a modalidade opcional. Um princípio de implementação e um efeito técnico do aparelho de comunicações são similares àqueles do dispositivo de terminal. Detalhes não estão aqui descritos novamente.
[0190] A Figura 10 é um diagrama estrutura esquemático de ainda outro aparelho de comunicações de acordo com uma modalidade deste pedido. O aparelho de comunicações nesta modalidade pode ser um primeiro dispositivo de rede, ou pode ser um chip utilizado em um pri- meiro dispositivo de rede. O aparelho de comunicações pode estar con- figurado para executar uma função do primeiro dispositivo de rede na Figura 6 ou uma modalidade opcional. Como mostrado na Figura 10, o aparelho de comunicações 400 pode incluir: uma unidade de processamento 41, configurada para adici- onar informações de indicação em uma mensagem de downlink, onde as informações de indicação são utilizadas para indicar a duração válida da mensagem de downlink para um dispositivo de terminal; e uma unidade de envio 42, configurada para enviar a mensa- gem de downlink para um segundo dispositivo de rede, onde a mensa- gem de downlink deve ser enviada pelo segundo dispositivo de rede para o dispositivo de terminal.
[0191] Em um projeto factível, a mensagem de downlink inclui uma mensagem de transmissão; e a unidade de processamento 41 está configurada para exe- cutar um processamento de segurança na mensagem de transmissão, e a unidade de envio 42 está configurada para enviar, para o segundo dispositivo de rede, a mensagem de transmissão na qual o processa- mento de segurança é executado; ou a unidade de processamento 41 está configurada para exe- cutar um processamento de segurança nas informações de indicação, e a unidade de envio 42 está configurada para enviar, para o segundo dispositivo de rede, a mensagem de transmissão que inclui as informa- ções de indicação na qual o processamento de segurança é executado.
[0192] O aparelho de transmissão de dados provido nesta modali- dade deste pedido pode executar uma ação do primeiro dispositivo de rede na Figura 6 e a modalidade opcional. Um princípio de implementa- ção e um efeito técnico do aparelho de comunicações são similares àqueles do primeiro dispositivo de rede. Detalhes não estão aqui des- critos novamente.
[0193] Deve ser notado que, deve ser compreendido que a unidade de recepção pode ser um receptor durante uma implementação real, e a unidade de envio pode ser um transmissor durante a implementação real. A unidade de processamento pode ser implementada em uma forma de software invocado por um elemento de processamento, ou pode ser implementada em uma forma de hardware. Por exemplo, a unidade de processamento pode ser um elemento de processamento separadamente disposto, ou pode ser integrada em um chip do aparelho acima para implementação. Além disso, a unidade de processamento pode alternativamente ser armazenada em uma memória do aparelho acima em uma forma de código de programa, e é invocada por um ele- mento de processamento do aparelho acima para executar uma função da unidade de processamento. Além disso, todas ou algumas das uni- dades podem ser integradas juntas ou podem ser implementadas inde- pendentemente. O elemento de processamento aqui descrito pode ser um circuito integrado com uma capacidade de processamento de sinal. Em um processo de implementação, as etapas do método acima ou das unidades acima podem ser implementadas utilizando um circuito lógico integrado de hardware no elemento de processador, ou utilizando uma instrução em uma forma de software.
[0194] Por exemplo, as unidades acima podem estar configuradas como um ou mais circuitos integrados para implementar o método acima, tal como um ou mais circuitos integrados de aplicação específica (application specific integrated circuit, ASIC), um ou mais microproces- sadores (digital signal processor, DSP), ou uma ou mais redes de portas programáveis no campo (field programmable gate array, FPGA). Para outro exemplo, quando uma unidade é implementada programando um código de programa por um elemento de processamento, o elemento de processamento pode ser um processador de uso geral, por exemplo, uma unidade de processamento central (central processing unit, CPU) ou outro processador que possa invocar o código de programa. Para outro exemplo, as unidades podem ser integradas e implementadas em uma forma de um sistema em um chip (system-on-a-chip, SOC).
[0195] A Figura 11 é um diagrama estrutura esquemático de um aparelho de comunicações de acordo com ainda outra modalidade deste pedido. Como mostrado na Figura 11, o aparelho de comunica- ções 500 pode incluir um processador 51 (por exemplo, uma CPU), uma memória 52, um receptor 53, e um transmissor 54. Tanto o receptor 53 quanto o transmissor 54 estão acoplados no processador 51, e o pro- cessador 51 controla uma ação de recepção do receptor 53 e uma ação de envio do transmissor 54. A memória 52 pode incluir uma memória de acesso randômico de alta velocidade (random-access memory, RAM), e pode ainda incluir uma memória não volátil (non-volatile memory, NVM), por exemplo, pelo menos um armazenamento de disco magné- tico. A memória 52 pode armazenar várias instruções, para completar várias funções de processamento e implementar etapas de método neste pedido. Opcionalmente, o aparelho de comunicações neste pe- dido pode ainda incluir uma fonte de alimentação 55 e um barramento de comunicações 56. O receptor 53 e o transmissor 54 podem ser inte- grados em um transceptor do aparelho de comunicações, ou podem ser antenas de transceptor independentes no aparelho de comunicações. O barramento de comunicação 56 está configurado para implementar uma conexão de comunicação entre os elementos.
[0196] Nesta modalidade deste pedido, a memória 52 está configu- rada para armazenar um código de programa executável por computa- dor, e o código de programa inclui uma instrução. Quando o processa- dor 51 executa a instrução, o processador 51 do aparelho de comunica- ções é permitido executar uma ação de processamento do dispositivo de terminal na modalidade de método acima, o receptor 53 é permitido executar uma ação de recepção do dispositivo de terminal na modali- dade de método acima, e o transmissor 54 é permitido executar uma ação de envio do dispositivo de terminal na modalidade de método acima. Um princípio de implementação e um efeito técnico desta moda- lidade são similares àqueles da modalidade de método, e detalhes não estão aqui descritos novamente.
[0197] A Figura 12 é um diagrama estrutura esquemático de ainda outro aparelho de comunicações de acordo com uma modalidade deste pedido. Como mostrado na Figura 12, o aparelho de comunicações 600 pode incluir um processador 61 (por exemplo, uma CPU), uma memória 62, um receptor 63, e um transmissor 64. Tanto o receptor 63 quanto o transmissor 64 estão acoplados no processador 61, e o processador 61 controla uma ação de recepção do receptor 63 e uma ação de envio do transmissor 64. A memória 62 pode incluir uma memória de acesso ran- dômico de alta velocidade (random-access memory, RAM), e pode ainda incluir uma memória não volátil (non-volatile memory, NVM), por exemplo, pelo menos um armazenamento de disco magnético. A me- mória 62 pode armazenar várias instruções, para completar várias fun- ções de processamento e implementar etapas de método neste pedido. Opcionalmente, o aparelho de comunicações neste pedido pode ainda incluir um barramento de comunicações 64. O receptor 63 e o transmis- sor 64 podem ser integrados em um transceptor do aparelho de comu- nicações, ou podem ser antenas de transceptor independentes no apa- relho de comunicações. O barramento de comunicações 64 está confi- gurada para implementar uma conexão de comunicação entre os ele- mentos.
[0198] Nesta modalidade deste pedido, a memória 62 está configu- rada para armazenar um código de programa executável por computa- dor, e o código de programa inclui uma instrução. Quando o processa- dor 61 executa a instrução, o processador 61 do aparelho de comunica- ções é permitido executar uma ação de processamento do primeiro dis- positivo de rede na modalidade de método acima, o receptor 63 é per- mitido executar uma recepção ação do primeiro dispositivo de rede na modalidade acima, e o transmissor 64 é permitido executar uma ação enviando do primeiro dispositivo de rede na modalidade de método acima. Um princípio de implementação e um efeito técnico nesta moda- lidade são similares àqueles da modalidade de método, e detalhes não estão aqui descritos novamente.
[0199] Todas ou algumas das modalidades acima podem ser imple- mentadas por software, hardware, firmware, ou qualquer sua combina- ção. Quando um software é utilizado para implementar as modalidades, as modalidades podem ser implementadas completamente ou parcial- mente em uma forma de um produto de programa de computador. O produto de programa de computador inclui uma ou mais instruções de computador. Quando as instruções de programa de computador são carregadas ou executadas em um computador, os procedimentos ou funções de acordo com as modalidades deste pedido são completa- mente ou parcialmente gerados. O computador pode ser um computa- dor de uso geral, um computador dedicado, uma rede de computadores, ou outro aparelho programável. As instruções de computador podem ser armazenadas em um meio de armazenamento legível por computador ou podem ser transmitidas de um meio de armazenamento legível por computador para outro meio de armazenamento legível por computa- dor. Por exemplo, as instruções de computador podem ser transmitidas de um website, computador, servidor, ou centro de dados para outro website, computador, servidor, ou centro de dados em um modo com fio (por exemplo, um cabo coaxial, uma fibra ótica, ou uma linha de assi- nante digital (DSL) ou sem fio (por exemplo, infravermelho, rádio ou mi- croondas). O meio de armazenamento legível por computador pode ser qualquer meio utilizável acessível por um computador, ou um dispositivo de armazenamento de dados, tal como um servidor ou um centro de dados, que integra um ou mais meios utilizáveis. O meio utilizável pode ser um meio magnético (por exemplo, um disco flexível, um disco rígido,
ou uma fita magnética), um meio ótico (por exemplo, um DVD), um meio de semicondutor (por exemplo, uma unidade de estado sólido Solid State Disk (SSD)), ou similares.
[0200] O termo "uma pluralidade de" nesta especificação refere-se a dois ou mais do que dois. O termo "e/ou" nesta especificação descreve somente uma relação de associação para descrever objetos associados e representa que três relações podem existir. Por exemplo, A e/ou B podem representar os seguintes três casos: Somente A existe, tanto A quanto B existem, e somente B existe. Além disso, o modo de descrição "pelo menos um de" nesta especificação indica um ou qualquer combi- nação dos itens listados. Por exemplo, "pelo menos um de A, B, e C" pode representar os seguintes seis casos: Somente A existe, somente B existe, somente C existe, tanto A quanto B existem, tanto B quanto C existem, tanto A quanto C existem, e A, B, e C existem. Além disso, o caractere "/" nesta especificação usualmente indica uma relação "ou" entre os objetos associados. Em uma fórmula, o caractere "/" indica uma relação de "divisão" entre os objetos associados.
[0201] Pode ser compreendido que símbolos numéricos nas moda- lidades deste pedido são diferenciados meramente para facilidade de descrição, mas não são utilizados para limitar o escopo das modalida- des deste pedido.
[0202] Deve ser compreendido que números de sequência dos pro- cessos acima não significam sequências de execução nas modalidades deste pedido. As sequências de execução dos processos devem ser de- terminadas de acordo com funções e lógica interna dos processos, e não devem ser consideradas como qualquer limitação sobre os proces- sos de implementação das modalidades deste pedido.

Claims (32)

REIVINDICAÇÕES
1. Método de identificação de dispositivo de rede falso, ca- racterizado pelo fato de que compreende: enviar, por um dispositivo de terminal, uma mensagem de uplink para um segundo dispositivo de rede, em que a mensagem de uplink deve ser enviada pelo segundo dispositivo de rede para um pri- meiro dispositivo de rede; receber, pelo dispositivo de terminal, a mensagem de down- link do segundo dispositivo de rede, em que a mensagem de downlink é recebida pelo segundo dispositivo de rede do primeiro dispositivo de rede, e a mensagem de downlink é uma mensagem que é gerada pelo primeiro dispositivo de rede com base na mensagem de uplink e na qual um processamento de segurança é executado com base nas primeiras informações de tempo, em que o processamento de segurança compre- ende pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determina- das pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é recebida; e executar, pelo dispositivo de terminal, uma verificação de se- gurança na mensagem de downlink, em que a verificação de segurança compreende pelo menos uma de decifração ou verificação de proteção de integridade.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a execução, pelo dispositivo de terminal, de verificação de segurança na mensagem de downlink compreende: executar, pelo dispositivo de terminal, a verificação de segu- rança na mensagem de downlink com base nas segundas informações de tempo, em que as segundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada; e quando a verificação de segurança executada pelo disposi- tivo de terminal na mensagem de downlink falha, determinar, pelo dis- positivo de terminal, que o segundo dispositivo de rede é um dispositivo de rede falso.
3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que após o recebimento, pelo dispositivo de terminal, de uma mensagem de downlink do segundo dispositivo de rede, o método ainda compreende: executar, pelo dispositivo de terminal, a verificação de segu- rança na mensagem de downlink com base nas segundas informações de tempo, em que as segundas informações de tempo são informações de tempo determinadas pelo dispositivo de terminal com base em um ponto no tempo no qual a mensagem de uplink é enviada; registrar, pelo dispositivo de terminal, uma quantidade n de vezes que a verificação executada em uma mensagem de downlink fa- lha; determinar, pelo dispositivo de terminal, se a quantidade n de vezes excede uma quantidade m de vezes pré-ajustada; e se a quantidade n de vezes exceder a quantidade m de ve- zes pré-ajustada, determinar, pelo dispositivo de terminal, que o se- gundo dispositivo de rede é um dispositivo de rede falso, em que, m>1 e m é um inteiro, e n21 e n é um inteiro.
4. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que compreende: a mensagem de downlink ser uma mensagem na qual o pri- meiro dispositivo de rede executa um processamento de segurança com base na primeira chave, ainda executar, pelo dispositivo de terminal, a verificação de segurança na mensagem de downlink utilizando uma segunda chave.
5. Método, de acordo com qualquer uma das reivindicações
1a4, caracterizado pelo fato de que a mensagem de uplink compreende uma mensagem (1) em um procedimento de acesso randômico, e a mensagem de downlink compreende uma mensagem (2) no procedi- mento de acesso randômico.
6. Método, de acordo com qualquer uma das reivindicações 1a, caracterizado pelo fato de que antes do envio, por um dispositivo de terminal, de uma mensagem de uplink para um segundo dispositivo de rede, o método ainda compreende: receber, pelo dispositivo de terminal, uma mensagem de transmissão do primeiro dispositivo de rede, em que a mensagem de transmissão é uma mensagem na qual o primeiro dispositivo de rede executa um processamento de segurança, e a mensagem de transmis- são compreende pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sistema SFN.
7. Método, de acordo com a reivindicação 6, caracterizado pelo fato de que o envio, por um dispositivo de terminal, de uma men- sagem de uplink para um segundo dispositivo de rede compreende: determinar, pelo dispositivo de terminal, um primeiro recurso de RACH com base nas informações de configuração de recurso de RACH, em que as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é utilizado pelo dispositivo de terminal para enviar a mensagem de uplink; e enviar, pelo dispositivo de terminal, a mensagem (1) para o segundo dispositivo de rede no primeiro recurso de RACH.
8. Método, de acordo com qualquer uma das reivindicações 1a4, caracterizado pelo fato de que a mensagem de uplink compreende uma mensagem (3) em um procedimento de acesso randômico, e a mensagem de downlink compreende uma mensagem (4) no procedi- mento de acesso randômico.
9. Método de identificação de dispositivo de rede falso, ca- racterizado pelo fato de que compreende: receber, por um primeiro dispositivo de rede, uma mensa- gem de uplink de um segundo dispositivo de rede, em que a mensagem de uplink é enviada por um dispositivo de terminal para o segundo dis- positivo de rede; e enviar, pelo primeiro dispositivo de rede, uma mensagem de downlink para o segundo dispositivo de rede, em que a mensagem de downlink deve ser enviada pelo segundo dispositivo de rede para o dis- positivo de terminal, a mensagem de downlink é gerada pelo primeiro dispositivo de rede para a mensagem de uplink, e o primeiro dispositivo de rede executa um processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, em que o pro- cessamento de segurança compreende pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determinadas pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é re- cebida.
10. Método, de acordo com a reivindicação 9, caracterizado pelo fato de que antes do envio, pelo primeiro dispositivo de rede para o segundo dispositivo de rede, de uma mensagem de downlink na qual processamento de segurança é executado, o método ainda compre- ende: executar, pelo primeiro dispositivo de rede, um processa- mento de segurança na mensagem de downlink utilizando uma primeira chave.
11. Método, de acordo com a reivindicação 9 ou 10, caracte-
rizado pelo fato de que a mensagem de uplink compreende uma men- sagem (1) em um procedimento de acesso randômico, e a mensagem de downlink compreende uma mensagem (2) no procedimento de acesso randômico.
12. Método, de acordo com qualquer uma das reivindicações 9 a 11, caracterizado pelo fato de que antes do recebimento, por um primeiro dispositivo de rede, de uma mensagem de uplink de um se- gundo dispositivo de rede, o método ainda compreende: enviar, pelo primeiro dispositivo de rede para o dispositivo de terminal, uma mensagem de transmissão na qual processamento de se- gurança é executado, em que a mensagem de transmissão na qual o processamento de segurança é executado compreende pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sistema SFN.
13. Método, de acordo com a reivindicação 12, caracterizado pelo fato de que o recebimento, por um primeiro dispositivo de rede, de uma mensagem de uplink de um segundo dispositivo de rede compre- ende: receber, pelo primeiro dispositivo de rede, a mensagem (1) do segundo dispositivo de rede em um primeiro recurso de RACH, em que a mensagem (2) não carrega uma concessão de uplink, as informa- ções de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é um recurso utilizado pelo dispositivo de terminal para enviar a mensagem de uplink.
14. Método, de acordo com a reivindicação 9 ou 10, caracte- rizado pelo fato de que a mensagem de uplink compreende uma men- sagem (3) em um procedimento de acesso randômico, e a mensagem de downlink compreende uma mensagem (4) no procedimento de acesso randômico.
15. Aparelho de comunicações, caracterizado pelo fato de que compreende: uma unidade de envio, configurada para enviar uma mensa- gem de uplink para um segundo dispositivo de rede, em que a mensa- gem de uplink deve ser enviada pelo segundo dispositivo de rede para um primeiro dispositivo de rede; uma unidade de recepção, configurada para receber uma mensagem de downlink do segundo dispositivo de rede, em que a men- sagem de downlink é recebida pelo segundo dispositivo de rede do pri- meiro dispositivo de rede, e a mensagem de downlink é uma mensagem que é gerada pelo primeiro dispositivo de rede com base na mensagem de uplink e na qual um processamento de segurança é executado com base nas primeiras informações de tempo, em que o processamento de segurança compreende pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determinadas pelo primeiro dispositivo de rede com base em um ponto no tempo no qual a mensagem de uplink é recebida; e uma unidade de processamento, configurada para executar verificação de segurança na mensagem de downlink, em que a verifica- ção de segurança compreende pelo menos uma de decifração ou veri- ficação de proteção de integridade.
16. Aparelho, de acordo com a reivindicação 15, caracteri- zado pelo fato de que a unidade de processamento está configurada para executar a verificação de segurança na mensagem de downlink com base nas segundas informações de tempo, em que as segundas informações de tempo são informações de tempo determinadas com base em um ponto no tempo no qual a mensagem de uplink é enviada; e quando a verificação de segurança executada pela unidade de processamento na mensagem de downlink falha, a unidade de pro-
cessamento determina que o segundo dispositivo de rede é um disposi- tivo de rede falso.
17. Aparelho, de acordo com a reivindicação 15, caracteri- zado pelo fato de que após a unidade de recepção receber a mensagem de down- link do segundo dispositivo de rede, a unidade de processamento está ainda configurada para: executar a verificação de segurança na mensa- gem de downlink com base nas segundas informações de tempo, em que as segundas informações de tempo são informações de tempo de- terminadas com base em um ponto no tempo no qual a mensagem de uplink é enviada; registrar uma quantidade n de vezes que a verificação executada em uma mensagem de downlink falha; determinar se a quan- tidade n de vezes excede uma quantidade m de vezes pré-ajustada; e se a quantidade n de vezes exceder a quantidade m de vezes pré-ajus- tada, determinar que o segundo dispositivo de rede é um dispositivo de rede falso, em que m21 e m é um inteiro, e n21 e n é um inteiro.
18. Aparelho, de acordo com qualquer uma das reivindica- ções 15 a 17, caracterizado pelo fato de que a mensagem de downlink é uma mensagem na qual o pri- meiro dispositivo de rede executa um processamento de segurança com base em uma primeira chave, a unidade de processamento está ainda configurada para executar a verificação de segurança na mensagem de downlink utilizando uma segunda chave.
19. Aparelho, de acordo com qualquer uma das reivindica- ções 15 a 18, caracterizado pelo fato de que a mensagem de uplink compreende uma mensagem de acesso randômico (1), e a mensagem de downlink compreende uma mensagem de acesso randômico (2).
20. Aparelho, de acordo com qualquer uma das reivindica- ções 15 a 19, caracterizado pelo fato de que antes da unidade de envio enviar a mensagem de uplink para o segundo dispositivo de rede, a unidade de recepção está ainda confi- gurada para receber uma mensagem de transmissão do primeiro dispo- sitivo de rede, em que a mensagem de transmissão é uma mensagem na qual o primeiro dispositivo de rede executa um processamento de segurança, e a mensagem de transmissão compreende pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sistema SFN.
21. Aparelho, de acordo com a reivindicação 20, caracteri- zado pelo fato de que a unidade de processamento está configurada para determi- nar um primeiro recurso de RACH com base nas informações de confi- guração de recurso de RACH, em que as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é utilizado para enviar a mensagem de uplink; e a unidade de envio está configurada para enviar a mensa- gem (1) para o segundo dispositivo de rede no primeiro recurso de RACH.
22. Aparelho, de acordo com qualquer uma das reivindica- ções 15 a 18, caracterizado pelo fato de que a mensagem de uplink compreende uma mensagem (3) em um procedimento de acesso ran- dômico, e a mensagem de downlink compreende uma mensagem (4) no procedimento de acesso randômico.
23. Aparelho de comunicações, caracterizado pelo fato de que compreende: uma unidade de recepção, configurada para receber uma mensagem de uplink de um segundo dispositivo de rede, em que a men- sagem de uplink é enviada por um dispositivo de terminal para o se- gundo dispositivo de rede; uma unidade de processamento, configurada para: gerar uma mensagem de downlink para a mensagem de uplink, e executar um processamento de segurança na mensagem de downlink com base nas primeiras informações de tempo, em que o processamento de se- gurança compreende pelo menos uma de criptografia ou proteção de integridade, e as primeiras informações de tempo são informações de tempo determinadas com base em um ponto no tempo no qual a men- sagem de uplink é recebida; e uma unidade de envio, configurada para enviar a mensagem de downlink para o segundo dispositivo de rede, em que a mensagem de downlink deve ser enviada pelo segundo dispositivo de rede para o dispositivo de terminal.
24. Aparelho, de acordo com a reivindicação 23, caracteri- zado pelo fato de que antes da unidade de envio enviar, para o segundo dispositivo de rede, a mensagem de downlink na qual o processamento de segu- rança é executado, a unidade de processamento está ainda configurada para executar um processamento de segurança na mensagem de down- link utilizando uma primeira chave.
25. Aparelho, de acordo com a reivindicação 23 ou 24, ca- racterizado pelo fato de que a mensagem de uplink compreende uma mensagem (1) em um procedimento de acesso randômico, e a mensa- gem de downlink compreende uma mensagem (2) no procedimento de acesso randômico.
26. Aparelho, de acordo com qualquer uma das reivindica- ções 23 a 25, caracterizado pelo fato de que antes da unidade de recepção receber a mensagem de uplink do segundo dispositivo de rede, a unidade de envio está ainda configurada para enviar, para o dispositivo de terminal, uma mensagem de transmissão na qual processamento de segurança é executado, em que a mensagem de transmissão na qual o processamento de segu- rança é executado compreende pelo menos uma de informações de configuração de recurso de canal de acesso randômico RACH ou um número de quadro de sistema SFN.
27. Aparelho, de acordo com a reivindicação 26, caracteri- zado pelo fato de que a unidade de recepção está especificamente configurada para receber a mensagem (1) do segundo dispositivo de rede em um primeiro recurso de RACH, em que a mensagem (2) não carrega uma concessão de uplink, as informações de configuração de recurso de RACH indicam o primeiro recurso de RACH, e o primeiro recurso de RACH é um recurso utilizado pelo dispositivo de terminal para enviar a mensagem de uplink.
28. Aparelho, de acordo com a reivindicação 23 ou 24, ca- racterizado pelo fato de que a mensagem de uplink compreende uma mensagem (3) em um procedimento de acesso randômico, e a mensa- gem de downlink compreende uma mensagem (4) no procedimento de acesso randômico.
29. Meio de armazenamento legível por computador, confi- gurado para armazenar um programa de computador ou instruções, ca- racterizado pelo fato de que quando o programa de computador é ou as instruções são executadas em um dispositivo de terminal, o dispositivo de terminal é permitido executar o método como definido em qualquer uma das reivindicações 1 a 8.
30. Meio de armazenamento legível por computador, confi- gurado para armazenar um programa de computador ou instruções, ca- racterizado pelo fato de que quando o programa de computador é ou as instruções são executadas em um dispositivo de rede, o dispositivo de rede é permitido executar o método como definido em qualquer uma das reivindicações 9 a 14.
31. Produto de programa de computador, caracterizado pelo fato de que quando o produto de programa de computador executa em um dispositivo de terminal, o dispositivo de terminal é permitido executar o método como definido em qualquer uma das reivindicações 1 a 8.
32. Produto de programa de computador, caracterizado pelo fato de que quando o produto de programa de computador executa em um dispositivo de rede, o dispositivo de rede é permitido executar o mé- todo como definido em qualquer uma das reivindicações 9 a 14.
BR112021008865-2A 2018-11-09 2019-10-21 Método de processamento de segurança de informações, aparelho de comunicações e meio de armazenamento legível por computador BR112021008865A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201811333233.8A CN111182548B (zh) 2018-11-09 2018-11-09 伪网络设备识别方法及通信装置
CN201811333233.8 2018-11-09
PCT/CN2019/112336 WO2020093860A1 (zh) 2018-11-09 2019-10-21 伪网络设备识别方法及通信装置

Publications (1)

Publication Number Publication Date
BR112021008865A2 true BR112021008865A2 (pt) 2021-08-31

Family

ID=70611881

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112021008865-2A BR112021008865A2 (pt) 2018-11-09 2019-10-21 Método de processamento de segurança de informações, aparelho de comunicações e meio de armazenamento legível por computador

Country Status (5)

Country Link
US (1) US20210321260A1 (pt)
EP (1) EP3869846B1 (pt)
CN (2) CN113709746A (pt)
BR (1) BR112021008865A2 (pt)
WO (1) WO2020093860A1 (pt)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11985552B2 (en) * 2019-06-17 2024-05-14 Apple Inc. Methods of detecting fake base station by UE during handover

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7042854B2 (en) * 2000-06-26 2006-05-09 Hughes Network Systems, Llc Method and apparatus for acquiring a synchronization signal
US7346005B1 (en) * 2000-06-27 2008-03-18 Texas Instruments Incorporated Adaptive playout of digital packet audio with packet format independent jitter removal
US7012893B2 (en) * 2001-06-12 2006-03-14 Smartpackets, Inc. Adaptive control of data packet size in networks
EP1280024B1 (en) * 2001-07-26 2009-04-01 Freescale Semiconductor, Inc. Clock synchronization in a distributed system
EP1355460B1 (en) * 2002-04-16 2005-10-05 ROBERT BOSCH GmbH Method for monitoring a communication media access schedule of a communication controller of a communication system
US11304123B1 (en) * 2005-07-14 2022-04-12 Binj Laboratories, Inc. Systems and methods for detecting and controlling transmission devices
US10735576B1 (en) * 2005-07-14 2020-08-04 Binj Laboratories, Inc. Systems and methods for detecting and controlling transmission devices
WO2009133918A1 (ja) * 2008-04-30 2009-11-05 日本電気株式会社 ルータ、そのルータを有する情報処理装置及びパケットのルーティング方法
US8462819B2 (en) * 2010-01-06 2013-06-11 Lsi Corporation Adaptive clock recovery with step-delay pre-compensation
JP5772395B2 (ja) * 2011-08-29 2015-09-02 富士通株式会社 送信レート制御のためのプログラム、制御方法及び情報処理装置
CN102970671A (zh) * 2012-11-27 2013-03-13 中国人民解放军信息工程大学 通信数据获取方法及伪基站、伪终端
CN104837137A (zh) * 2014-02-10 2015-08-12 徐成琦 一种对比时差防伪基站诈骗的方法、系统及终端
US11159980B2 (en) * 2014-07-22 2021-10-26 Parallel Wireless, Inc. Signaling storm reduction from radio networks
US9900801B2 (en) * 2014-08-08 2018-02-20 Parallel Wireless, Inc. Congestion and overload reduction
WO2017113063A1 (zh) * 2015-12-28 2017-07-06 华为技术有限公司 一种nas消息处理、小区列表更新方法及设备
US9628994B1 (en) * 2015-12-30 2017-04-18 Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. Statistical system and method for catching a man-in-the-middle attack in 3G networks
CN105657713A (zh) * 2016-03-25 2016-06-08 珠海网博信息科技股份有限公司 一种伪ap检测阻断方法、无线装置及路由器
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
CN105792194B (zh) * 2016-04-25 2019-06-28 中国联合网络通信集团有限公司 基站合法性的认证方法、认证装置、网络设备、认证系统
CN106060789B (zh) * 2016-05-24 2018-05-08 北京小米移动软件有限公司 短消息识别方法及装置
WO2017207017A1 (en) * 2016-05-30 2017-12-07 Telecom Italia S.P.A. Protection of privacy in wireless telecommunication networks
US11297072B2 (en) * 2016-07-19 2022-04-05 Telefonaktiebolaget Lm Ericsson (Publ) Node and method for detecting that a wireless device has been communicating with a non-legitimate device
CN106211169A (zh) * 2016-07-28 2016-12-07 努比亚技术有限公司 伪基站识别装置及方法
CN106028340A (zh) * 2016-07-29 2016-10-12 宇龙计算机通信科技(深圳)有限公司 伪基站鉴别方法及系统
CN108012271B (zh) * 2016-10-28 2020-09-25 中国移动通信有限公司研究院 一种伪基站发现方法及装置
WO2018140204A1 (en) * 2017-01-30 2018-08-02 Intel IP Corporation Fake gnb/enb detection using identity-based authentication and encryption
GB2560357B (en) * 2017-03-09 2020-11-25 Rosberg System As Detecting false cell towers
US10129283B1 (en) * 2017-05-31 2018-11-13 Apple Inc. Detection of a rogue base station
US11503472B2 (en) * 2017-05-31 2022-11-15 Apple Inc. Fake base station detection
US11153083B2 (en) * 2017-06-16 2021-10-19 Motorola Mobility Llc Rogue unit detection information
CN111630936A (zh) * 2017-12-30 2020-09-04 英特尔公司 用于无线通信的方法和设备
US10869195B2 (en) * 2018-04-23 2020-12-15 T-Mobile Usa, Inc. Network assisted validation of secure connection to cellular infrastructure
KR102481580B1 (ko) * 2018-08-20 2022-12-26 지티이 코포레이션 정보 무결성을 구성하고 검출하기 위한 방법 및 장치
CN112703754A (zh) * 2018-09-19 2021-04-23 苹果公司 5g系统中的初始非接入层协议消息的保护
CN112956225A (zh) * 2018-10-26 2021-06-11 瑞典爱立信有限公司 用于检测与非合法设备的通信的方法、用户设备和网络节点
EP3866501A4 (en) * 2018-10-31 2021-10-27 Shenzhen Heytap Technology Corp., Ltd. METHOD AND DEVICE FOR HANDLING A PSEUDO BASE STATION, MOBILE DEVICE AND STORAGE MEDIUM
CN112913282A (zh) * 2018-11-01 2021-06-04 瑞典爱立信有限公司 用于阻止由来自网络节点的不安全消息引起的切换的系统和方法

Also Published As

Publication number Publication date
US20210321260A1 (en) 2021-10-14
EP3869846B1 (en) 2023-05-31
EP3869846A4 (en) 2021-12-08
WO2020093860A1 (zh) 2020-05-14
CN111182548B (zh) 2021-08-31
CN111182548A (zh) 2020-05-19
CN113709746A (zh) 2021-11-26
EP3869846A1 (en) 2021-08-25

Similar Documents

Publication Publication Date Title
US8855603B2 (en) Local security key update at a wireless communication device
BR112019022826A2 (pt) Método de comunicação, terminal e estação base
BR112018000640B1 (pt) Método para um dispositivo de cliente e dispositivo de cliente
BR112021013539A2 (pt) Método e aparelho de configuração de recurso
WO2019157911A1 (zh) 波束管理方法、终端、网络设备以及存储介质
BR112020002515A2 (pt) método de acionamento de autenticação de rede e dispositivo relacionado
JP7410930B2 (ja) 無線通信ネットワークにおける非アクセス階層通信の保護
BRPI0612566B1 (pt) Método de autenticação em um sistema de comunicação e estação base
BR112019022934A2 (pt) método e aparelho de obtenção de chave, dispositivo terminal, mídia de armazenamento legível por computador, método para processamento de segurança em mobilidade de um dispositivo terminal e sistema de comunicações
BR112020009823A2 (pt) método de proteção de segurança, aparelho, mídia de armazenamento legível por computador e sistema
WO2020221218A1 (zh) 信息获取方法及装置
BR112020013611A2 (pt) método de atualização de chave, aparelho e mídia de armazenamento legível por computador
BR112018077453B1 (pt) Método para transmissão de sinal, método para recepção de sinal,dispositivo de rede e dispositivo terminal
BR112020019602B1 (pt) Dispositivo sem fio configurado para operar em uma rede sem fio, um ou mais nós de rede sem fio configurados para prover segurança de mensagens e métodos relacionados
US20220070157A1 (en) Network slice authentication
BR112021002315A2 (pt) método de transmissão de informações, dispositivo terminal, dispositivo de rede, chip, mídia de armazenamento legível por computador, produto de programa de computador, e programa de computador
BR112021013953A2 (pt) Método de comunicação e aparelho de comunicação
BR112018073336B1 (pt) Método e aparelho de envio de sinal de referência de enlace ascendente, método e aparelho de recebimento de sinal de referência de enlace ascendente, sistema de comunicação e meio de armazenamento legível por computador
JP6651613B2 (ja) ワイヤレス通信
WO2021180209A1 (zh) 传输寻呼信息的方法和通信装置
BR112021008865A2 (pt) Método de processamento de segurança de informações, aparelho de comunicações e meio de armazenamento legível por computador
CN110831247A (zh) 一种通信方法及装置
US20220264520A1 (en) Communication method and apparatus
AU2019250928A1 (en) Information sending method, key generation method, and apparatus
BR112021006758A2 (pt) método e dispositivo de comunicação