CN111182548A - 伪网络设备识别方法及通信装置 - Google Patents
伪网络设备识别方法及通信装置 Download PDFInfo
- Publication number
- CN111182548A CN111182548A CN201811333233.8A CN201811333233A CN111182548A CN 111182548 A CN111182548 A CN 111182548A CN 201811333233 A CN201811333233 A CN 201811333233A CN 111182548 A CN111182548 A CN 111182548A
- Authority
- CN
- China
- Prior art keywords
- message
- network device
- downlink message
- downlink
- uplink
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 146
- 238000004891 communication Methods 0.000 title claims abstract description 94
- 238000012545 processing Methods 0.000 claims description 162
- 230000008569 process Effects 0.000 claims description 45
- 238000012795 verification Methods 0.000 claims description 40
- 238000011144 upstream manufacturing Methods 0.000 claims description 3
- 238000013461 design Methods 0.000 description 32
- 230000006870 function Effects 0.000 description 18
- 230000009471 action Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
- H04W74/0833—Random access procedures, e.g. with 4-step access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种伪网络设备识别方法及通信装置,终端设备发送的上行消息经由第二网络设备转发给第一网络设备,第一网络设备接收到该上行消息后,针对该上行消息生成下行消息,使用第一时间信息对该下行消息进行安全处理并发送给第二网络设备,由第二网络设备将该经过安全处理的下行消息发送给终端设备,终端设备对接收到下行消息进行安全校验,识别出第二网络设备是否为伪网络设备,从而提高通信的安全性。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种伪网络设备识别方法及通信装置。
背景技术
无线通信技术中,通信安全至关重要。伪(fake)基站攻击是威胁通信安全的一种常见手段。
伪基站攻击过程中,将伪基站放置在正常的终端设备附近。由于伪基站的信号质量更好,因此会吸引终端设备驻留伪基站。伪基站向终端设备传播欺骗信息甚至病毒;或者,伪基站还可能截获正常基站和终端设备之间的通信内容,从而对用户的隐私数据进行监听。另外,当终端设备驻留伪基站后,则无法驻留到正常基站的小区,导致正常基站无法寻呼到该终端设备,从而使得终端设备无法正常工作。通常情况下,终端设备驻留正常基站的小区的过程中,首先接收小区的同步信号,利用该同步信号和正常基站做下行同步,下行同步完成以后,终端设备接收广播消息,即完成了驻留过程。同时,终端设备不断对相邻小区的信号质量进行检测,当满足小区重选条件以后,终端设备执行小区重选过程。若终端设备附近存在伪基站,伪基站的信号质量较好并且满足终端设备小区重选条件,则终端设备会执行小区重选驻留在伪基站。由于伪基站同样可以接收正常基站的下行消息,因此伪基站可以将下行消息转发给终端设备,使得终端设备无法区分出当前驻留在正常基站还是伪基站,进而导致通信安全受到威胁。
发明内容
本申请实施例提供一种伪网络设备识别方法及通信装置,以实现终端设备区分出当前驻留在正常基站还是伪基站,从而保证通信安全。
第一方面,本申请实施例提供的一种伪网络设备识别方法,该方法可以应用于终端设备、也可以应用于终端设备中的芯片,下面以应用于终端设备为例对该方法进行描述,该方法包括:终端设备向第二网络设备发送上行消息,该上行消息由第二网络设备发送给第一网络设备;终端设备从第二网络设备接收下行消息,该下行消息由第二网络设备从第一网络设备接收,该下行消息为该第一网络设备根据上行消息生成、并使用第一时间信息进行安全处理后的消息,该安全处理包括加密或完整性保护中的至少一种处理,第一时间信息为第一网络设备根据接收上行消息的时间点确定的时间信息;终端设备对下行消息进行安全校验,该安全校验包括解密或完整性保护校验中的至少一种校验。采用这种方案,终端设备发送的上行消息经由第二网络设备转发给第一网络设备,第一网络设备接收到该上行消息后,针对该上行消息生成下行消息,使用第一时间信息对该下行消息进行安全处理并发送给第二网络设备,由第二网络设备将该经过安全处理的下行消息发送给终端设备,终端设备对接收到下行消息进行安全校验,识别出第二网络设备是否为伪网络设备,从而提高通信的安全性。
一种可行的设计中,终端设备对下行消息进行安全校验,是使用第二时间信息对下行消息进行安全校验,该第二时间信息为终端设备根据发送上行消息的时间点确定出的时间信息;终端设备无法正确对下行消息进行安全校验时,则确定第二网络设备为伪网络设备。采用该种方案,终端设备根据发送上行消息的时间点,推算出第一网络设备接收该上行消息的时间点,得到第二时间信息,利用该第二时间信息,对第一网络设备利用第一时间信息进行安全处理的下行消息进行安全校验,根据能否成功校验下行消息即可确定出发送下行消息的第二网络设备为伪网络设备,实现识别伪网络设备的目的,保证了通信的安全性。
一种可行的设计中,终端设备从第二网络设备接收下行消息之后,还使用第二时间信息对该下行消息进行安全校验,该第二时间信息为终端设备根据发送上行消息的时间点确定出的时间信息,记录无法正确校验下行消息的次数为n,确定该次数n是否超过预设次数m,该次数n超过预设次数m,则确定第二网络设备为伪网络设备,m≥1且为整数,n≥1且为整数。采用该种方案,终端设备根据未正确校验下行消息的次数,判断是否有第二网络设备介入,避免终端设备误判。
一种可行的设计中,下行消息还由第一网络设备使用第一秘钥进行安全处理;终端设备还使用第二秘钥对下行消息进行安全校验。采用该种方案,第一网络设备通过使用第一秘钥对下行消息进行安全处理,防止伪网络设备推算出第二时间信息对下行消息进行安全校验,校验成功后篡改下行消息,进一步的保障了通信安全。
一种可行的设计中,上行消息包括随机接入过程中的消息一,下行消息包括随机接入过程中的消息二。采用该种方案,实现利用随机接入过程中的MSG1消息和MSG2消息识别伪网络设备的目的。
一种可行的设计中,终端设备向第二网络设备发送上行消息之前,还从第一网络设备接收广播消息,该广播消息是由第一网络设备进行安全处理后的消息,该广播消息包含随机接入(random access channel,RACH)资源配置信息或系统帧号SFN中的至少一种信息。采用该种方案,终端设备可以在广播消息阶段获取到RACH资源配置信息等以备随机接入。
一种可行的设计中,终端设备向第二网络设备发送上行消息,包括:终端设备根据RACH资源配置信息,确定第一RACH资源,RACH资源配置信息指示第一RACH资源,第一RACH资源用于终端设备发送上行消息;终端设备在第一RACH资源上向第二网络设备发送消息一。采用该种方案,当RACH资源配置信息指示第一RACH资源和第二RACH资源时,终端设备可以灵活选择在第一RACH资源上或第二RACH资源上发送MSG1消息,避免终端设备不需要随机接入时还得通过发起随机接入识别是否有第二网络设备介入的弊端。
一种可行的设计中,上行消息包括随机接入过程中的消息三,下行消息包括随机接入过程中的消息四。采用该种方案,实现利用随机接入过程中的MSG3和MSG4识别第二网络设备是否为伪网络设备的目的。
第二方面,本申请实施例提供一种伪网络设备识别方法,该方法可以应用于第一网络设备、也可以应用于第一网络设备中的芯片,下面以应用于第一网络设备为例对该方法进行描述,该方法包括:第一网络设备从第二网络设备接收上行消息,上行消息由终端设备发送给第二网络设备;第一网络设备向第二网络设备发送下行消息,下行消息由第二网络设备发送给终端设备,下行消息由第一网络设备针对上行消息生成、并由第一网络设备使用第一时间信息进行安全处理,安全处理包括加密或完整性保护中的至少一种处理,第一时间信息是第一网络设备根据接收上行消息的时间点确定出的时间信息。采用该种方案,终端设备发送的上行消息经由第二网络设备转发给第一网络设备,第一网络设备接收到该上行消息后,针对该上行消息生成下行消息,使用第一时间信息对该下行消息进行安全处理并发送给第二网络设备,由第二网络设备将该经过安全处理的下行消息发送给终端设备,终端设备对接收到下行消息进行安全校验,识别出第二网络设备是否为伪网络设备,从而提高通信的安全性。
一种可行的设计中,第一网络设备向所第二网络设备发送经过安全处理的下行消息之前,还使用第一秘钥对下行消息进行安全处理。采用该种方案,第一网络设备通过使用第一秘钥对下行消息进行安全处理,防止伪网络设备推算出第二时间信息对下行消息进行安全校验,校验成功后篡改下行消息,进一步的保障了通信安全。
一种可行的设计中,上行消息包括随机接入过程中的消息一,下行消息包括随机接入过程中的消息二。采用该种方案,实现利用随机接入过程中的MSG1和MSG2识别伪网络设备的目的。
一种可行的设计中,第一网络设备从第二网络设备接收上行消息之前,还向终端设备发送经过安全处理的广播消息,该经过安全处理的广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。采用该种方案,实现第一网络设备向终端设备配置RACH资源等的目的。
一种可行的设计中,第一网络设备从第二网络设备接收上行消息是,是在第一RACH资源上从第二网络设备接收消息一,消息二不携带上行授权,RACH资源配置信息指示第一RACH资源,该第一RACH资源是终端设备发送上行消息的资源。采用该种方案,当RACH资源配置信息指示第一RACH资源和第二RACH资源时,终端设备可以灵活选择在第一RACH资源上或第二RACH资源上发送MSG1消息,避免终端设备不需要随机接入时还得通过发起随机接入识别是否有第二网络设备介入的弊端。
一种可行的设计中,上行消息包括随机接过程中的消息三,下行消息包括随机接入过程中的消息四。采用该种方案,实现利用随机接入过程中的MSG3和MSG4识别第二网络设备是否为伪网络设备的目的。
第三方面,本申请实施例提供一种伪网络设备识别方法,该方法可以应用于终端设备、也可以应用于终端设备中的芯片,下面以应用于终端设备为例对该方法进行描述,该方法包括:终端设备从第二网络设备接收下行消息,该下行消息由第一网络设备发送给第二网络设备,下行消息携带指示信息,该指示信息用于向终端设备指示下行消息的有效时长;终端设备根据指示信息,确定第二网络设备是否为伪网络设备。采用该种方案,第一网络设备在向终端设备发送下行消息时,在该下行消息中添加指示信息,以向终端设备指示该下行消息的有效时长,使得终端设备根据该有效时长确定是否有第二网络设备介入,从而保证通信安全。
一种可行的设计中,终端设备根据指示信息,确定第二网络设备是否为伪网络设备时,是根据指示信息,确定下行消息是否有效;若该下行消息有效,则终端设备确定第二网络设备为伪网络设备。采用该种方案,第一网络设备向终端设备发送下行消息时,在该下行消息中加入指示该下行消息有效时长的指示信息,使得终端设备根据有效时长,确定接收到的下行消息是否有效,从而识别第二网络设备是否为伪网络设备,保证了通信的安全性。
一种可行的设计中,终端设备根据指示信息,确定第二网络设备是否为伪网络设备时,是根据该指示信息,确定下行消息是否有效,记录接收到无效的下行消息的次数n;确定该次数n是否超过预设次数m;若该次数n超过预设次数m,则确定第二网络设备为伪网络设备,m≥1且为整数,n≥1且为整数。采用该种方案,终端设备根据接收到无效下行消息的次数,确定是否有第二网络设备介入,避免终端设备误判。
一种可行的设计中,下行消息包括广播消息;终端设备从第二网络设备接收下行消息,是从第二网络设备接收经过安全处理的广播消息,该广播消息由第一网络设备进行安全处理并发送给第二网络设备;或者,终端设备从第二网络设备接收广播消息,广播消息包含经过安全处理的指示信息,广播消息中的指示信息由第一网络设备进行安全处理。采用该种方案,第一网络设备通过在广播消息中添加指示信息,使得终端设备接收都到指示信息后,根据该指示信息即可确定当前是否有网络设备介入,实现在广播消息阶段识别出伪网络设备的目的。
第四方面,本申请实施例提供一种伪网络设备识别方法,该方法可以应用于第一网络设备、也可以应用于第一网络设备中的芯片。下面以应用于第一网络设备为例对该方法进行描述,该方法包括:第一网络设备在下行消息中添加指示信息,指示信息用于向终端设备指示下行消息的有效时长;第一网络设备向第二网络设备发送下行消息,该下行消息由第二网络设备发送给终端设备。采用该种方案,第一网络设备在向终端设备发送下行消息时,在该下行消息中添加指示信息,以向终端设备指示该下行消息的有效时长,使得终端设备根据该有效时长确定是否有第二网络设备介入,从而保证通信安全。
一种可行的设计中,下行消息包括广播消息;第一网络设备向第二网络设备发送下行消息时,是对广播消息进行安全处理,并向第二网络设备发送经过安全处理的广播消息;或者,第一网络设备对指示信息进行安全处理,并向第二网络设备发送包含经过安全处理的指示信息的广播消息。
第五方面,本申请实施例提供一种通信装置,该装置可以是终端设备,也可以是终端设备内的芯片。该装置可以包括处理单元、发送单元和接收单元。当该装置是终端设备时,该处理单元可以是处理器,发送单元可以是发送器,接收单元可以是接收器;该终端设备还可以包括存储单元,该存储单元可以是存储器;该存储单元用于存储指令,该处理单元执行该存储单元所存储的指令,以使该终端设备实现上述第一方面或第一方面的各种可能的实现方式中的功能。当该装置是终端设备内的芯片时,该处理单元可以是处理器,该收发单元可以是输入/输出接口、管脚或电路等;该处理单元执行存储单元所存储的指令,以使该终端设备实现上述第一方面或第一方面的各种可能的实现方式中的功能,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该终端设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第六方面,本申请实施例提供一种通信装置,该装置可以是第一网络设备,也可以是第一网络设备内的芯片。该装置可以包括处理单元、发送单元和接收单元。当该装置是第一网络设备时,该处理单元可以是处理器,发送单元可以是发送器,接收单元可以是接收器;该第一网络设备还可以包括存储单元,该存储单元可以是存储器;该存储单元用于存储指令,该处理单元执行该存储单元所存储的指令,以使该第一网络设备实现上述第二方面或第二方面的各种可能的实现方式中的功能。当该装置是第一网络设备内的芯片时,该处理单元可以是处理器,该收发单元可以是输入/输出接口、管脚或电路等;该处理单元执行存储单元所存储的指令,以使该第一网络设备实现上述第二方面或第二方面的各种可能的实现方式中的功能,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该第一网络设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第七方面,本申请实施例提供一种通信装置,该装置可以是终端设备,也可以是终端设备内的芯片。该装置可以包括处理单元、发送单元和接收单元。当该装置是终端设备时,该处理单元可以是处理器,发送单元可以是发送器,接收单元可以是接收器;该终端设备还可以包括存储单元,该存储单元可以是存储器;该存储单元用于存储指令,该处理单元执行该存储单元所存储的指令,以使该终端设备实现上述第三方面或第三方面的各种可能的实现方式中的功能。当该装置是终端设备内的芯片时,该处理单元可以是处理器,该收发单元可以是输入/输出接口、管脚或电路等;该处理单元执行存储单元所存储的指令,以使该终端设备实现上述第三方面或第三方面的各种可能的实现方式中的功能,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该终端设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第八方面,本申请实施例提供一种通信装置,该装置可以是第一网络设备,也可以是第一网络设备内的芯片。该装置可以包括处理单元、发送单元和接收单元。当该装置是第一网络设备时,该处理单元可以是处理器,发送单元可以是发送器,接收单元可以是接收器;该第一网络设备还可以包括存储单元,该存储单元可以是存储器;该存储单元用于存储指令,该处理单元执行该存储单元所存储的指令,以使该第一网络设备实现上述第四方面或第四方面的各种可能的实现方式中的功能。当该装置是第一网络设备内的芯片时,该处理单元可以是处理器,该收发单元可以是输入/输出接口、管脚或电路等;该处理单元执行存储单元所存储的指令,以使该第一网络设备实现上述第四方面或第四方面的各种可能的实现方式中的功能,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该第一网络设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第九方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面或第一方面的各种可能的实现方式中的方法。
第十方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面或第二方面的各种可能的实现方式中的方法。
第十一方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第三方面或第三方面的各种可能的实现方式中的方法。
第十二方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第四方面或第四方面的各种可能的实现方式中的方法。
第十三方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面或第一方面的各种可能的实现方式中的方法。
第十四方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第二方面或第二方面的各种可能的实现方式中的方法。
第十五方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第三方面或第三方面的各种可能的实现方式中的方法。
第十六方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第四方面或第四方面的各种可能的实现方式中的方法。
本申请实施例提供的伪网络设备识别方法及通信装置,终端设备发送的上行消息经由第二网络设备转发给第一网络设备,第一网络设备接收到该上行消息后,针对该上行消息生成下行消息,使用第一时间信息对该下行消息进行安全处理并发送给第二网络设备,由第二网络设备将该经过安全处理的下行消息发送给终端设备,终端设备对接收到下行消息进行安全校验,识别出第二网络设备是否为伪网络设备,从而提高通信的安全性。
附图说明
图1A是本申请实施例提供的一种伪网络设备识别方法所适用的场景示意图;
图1B是本申请实施例提供的另一种伪网络设备识别方法所使用的场景示意图;
图2是本申请实施例提供的一种伪网络设备识别方法的流程图;
图3是本申请实施例提供的一种伪网络设备识别方法中安全校验的过程示意图
图4是本申请实施例提供的另一种伪网络设备识别方法的流程图;
图5是本申请实施例提供的又一种伪网络设备识别方法的流程图;
图6是本申请实施例提供的另一种伪网络设备识别方法的流程图;
图7为本申请实施例提供的一种通信装置的结构示意图;
图8为本申请实施例提供的另一种通信装置的结构示意图;
图9为本申请实施例提供的又一种通信装置的结构示意图;
图10为本申请实施例提供的又一通信装置的结构示意图;
图11为本申请又一实施例提供的通信装置的结构示意图;
图12为本申请实施例提供的又一种通信装置的结构示意图。
具体实施方式
通常情况下,终端设备接入正常基站的小区的过程包括同步阶段、广播消息阶段和随机接入阶段。初始接入过程中,若广播消息阶段或随机接入阶段终端设备附近有信号质量更好的伪基站,则终端设备接入伪基站。若初始接入过程中终端设备附近没有信号质量更好的伪基站,则终端设备接入正常基站。接入正常基站之后,由于终端设备移动等因素,若终端设备附近出现了信号质量更好的伪基站,则终端设备执行小区重选接入伪基站。接入伪基站后,终端设备接收下行消息时,由于伪基站同样可以接收正常基站的下行消息,因此伪基站可以将下行消息转发给终端设备,使得终端设备无法区分出当前驻留在正常基站还是伪基站,进而导致通信安全受到威胁。
有鉴于此,本申请实施例提供一种伪网络设备识别方法及通信装置,以便识别出终端设备当前驻留在正常网络设备还是伪网络设备。
本申请实施例提供的伪网络设备识别方法可用于第四代(4th generation,4G)移动通信系统(例如,长期演进(long term evolution,LTE)系统、先进的长期演进系统(advanced long term evolution,LTE-A))、第三代合作伙伴计划(3rd generationpartnership project,3GPP)相关的蜂窝系统、第五代(5th generation,5G)移动通信系统以及后续演进的通信系统。其中,5G还可以被称为新无线(new radio,NR)。
本申请实施例中涉及的第一网络设备或第二网络设备,可以是基站,如宏基站、微基站、分散单元-控制单元(distribute unit-control unit,DU-CU),是一种部署在无线接入网中能够和终端设备进行无线通信的设备。基站可用于将收到的空中帧与互联网协议(internet protocol,IP)分组进行相互转换,作为终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括IP网络;基站还可协调对空中接口的属性管理。例如,基站可以是LTE中的演进型基站(evolutional Node B,eNB或e-NodeB,),也可以是NR中的gNB等。基站还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者可以为中继站、接入点、车载设备、可穿戴设备或者未来演进的公共陆地移动网络(public land mobile network,PLMN)网络中的网络设备等,本申请实施例并不限定。
本申请实施例中涉及的终端设备,可以是向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。终端设备可以经无线接入网(radio access network,RAN)与一个或多个核心网进行通信,终端设备可以是移动终端设备,如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,终端设备可以是个人通信业务(personal communicationservice,PCS)电话、无绳电话、会话发起协议(session initiation protocol,SIP)话机、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digitalassistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的终端或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端设备等,本申请实施例对此并不限定。终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriberstation),移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户设备(user device)、或用户装备(user equipment)。
图1A是本申请实施例提供的一种伪网络设备识别方法所适用的场景示意图。请参照图1A,终端设备位于第一网络设备的小区和第二网络设备的小区,第一网络设备可以为正常网络设备,第二网络设备可以为伪网络设备,当第二网络设备的信号质量更好时,终端设备接入第二网络设备从而导致通信安全收到威胁。为避免该威胁,第一网络设备向终端设备发送下行消息时,先对该下行消息进行安全处理,然后将经过安全处理的下行消息发送给终端设备。终端设备接收到安全处理后的下行消息后,判断是否有第二网络设备介入。
图1B是本申请实施例提供的另一种伪网络设备识别方法所使用的场景示意图。请参照图1B,公共网络既能提供工业通信服务,又能提供公网通信服务。用于工业通信的时候,工厂组件,包括各个部门的服务器、各个部门人员的手机等,通过分散单元-控制单元(distribute unit-control unit,DU-CU)和控制中心连接,或者,工厂组件也可以通过网络设备和控制中心连接。公网通信中,终端设备直接通过DU-CU架构或网络设备与公网的核心网进行通信。其中,网络设备是实现终端设备与核心网通信的中转节点,CU负载集中控制,DU负责射频传输通信。控制中心作为工业通信场景的服务器或控制中心节点,负责向工厂组件下发控制命令和处理终端设备的上行消息等。当工厂组件附近存在信号质量更好的伪DU-CU或伪网络设备时,工厂组件接入伪DU-CU或伪网络设备,从而对通信安全造成威胁。为了避免该威胁,正常的DU-CU或正常网络设备向工厂组件发送下行消息时,先对该下行消息进行安全处理,然后将经过安全处理的下行消息发送给工厂组件。工厂组件接收到经过安全处理的下行消息后,判断是否有伪DU-CU或伪网络设备介入。
下面,以图1A所示场景为例,对本申请实施例所述的伪网络设备识别方法进行详细说明。示例性的,可参见图2。
图2是本申请实施例提供的一种伪网络设备识别方法的流程图。本实施例是从第一网络设备和终端交互的角度,对本申请所述伪网络设备识别方法进行说明的。本实施例包括:
101、终端设备向第二网络设备发送上行消息。
本申请实施例中,当终端设备没有执行小区重选或者执行小区切换到第二网络设备时,终端设备发送上行消息时,该上行消息从终端设备直接发往第一网络设备;当终端设备执行小区重选或者执行小区切换接入到第二网络设备时,终端设备的上行消息先发送给第二网络设备,然后由第二网络设备转发给第一网络设备。对于终端设备而言,其并不知道上行消息是直接发送至第一网络设备还是由第二网络设备转发给第一网络设备的。也就是说,终端设备并不知道第二网络设备是不是伪网络设备。若不进行伪网络设备的识别,当终端设备驻留到伪网络设备时,该终端设备不会知道上行消息、下行消息是否经过了第二网络设备的转发。
本步骤中,对于存在第二网络设备的场景,假设满足小区重选或者小区切换条件,当终端设备执行小区重选或者切换到第二网络设备的过程中,终端设备发起随机接入流程或者其他通信流程。在上述通信流程中,终端设备向第二网络设备发送上行消息;相应的,第二网络设备接收该上行消息。
102、第二网络设备向第一网络设备发送上行消息。
本步骤中,第二网络设备向第一网络设备转发上行消息,相应的,第一网络设备接收由第二网络设备转发的上行消息。
103、第一网络设备针对上行消息生成下行消息,并使用第一时间信息对该下行消息进行安全处理。
其中,所述第一时间信息是所述第一网络设备根据接收所述上行消息的时间点确定出的时间信息,所述安全处理包括加密或完整性保护中的至少一种处理。
本步骤中,第一网络设备接收到上行消息后,针对接收到的上行消息生成下行消息,并利用第一时间信息对该下行消息进行安全处理,得到经过安全处理的下行消息。例如,若上行消息为随机接入过程中的消息一(MSG1)时,第一网络设备根据该MSG1响应下行消息消息二(MSG2),并对该MSG2进行安全处理,得到经过安全处理的MSG2;若上行消息为随机接入过程中的消息三(MSG3)时,第一网络设备根据该MSG3响应下行消息消息四(MSG4),并对该MSG4进行安全处理,得到经过安全处理的MSG4;若上行消息为包含数据等的消息时,第一网络设备根据该上行消息生成应答消息,并对该应答消息进行安全处理,得到经过安全处理的应答消息,其中,应答消息包括肯定应答(acknowledgement,ACK)消息或否定应答(negative acknowledgement,NACK)消息。
其中,安全处理可以包括加密或者完整性保护中的至少一种,加密是指第一网络设备利用加密算法和加密参数等对原始的下行消息进行处理,加密过程需要将下行消息、加密参数和加密算法一起进行运算,得到加密后的下行消息;接收方设备收到加密的下行消息后,如果采用同样的算法和参数进行逆运算,就会得到原始的下行消息,即未加密的下行消息;相反,如果接收方不知道加密算法和加密参数,则无法正确读取原始的下行消息。接收方例如是终端设备或第二网络设备等。
完整性保护是指将加密后或者加密前的下行消息、完整性保护参数、完整性保护算法一起进行运算,得到运算结果A(如字符串),将所得运算结果加到将要进行传输的下行消息后面一起进行传输。接收端收到以后,采用相同的算法和参数对携带运算结果A的下行消息进行运算,得到运算结果B,若两个运算结果A和B一致,表示下行消息通过了完整性保护校验;假设下行消息在传输过程中经过了不合法的改动,导致A和B不一致,则表示下行消息无法通过完整性保护校验。
需要说明的是,本申请实施例中,安全处理可以只包含加密过程或者完整性保护过程,也可以同时包含加密和完整性保护过程。作为一种可能的示例,安全处理过程是:第一网络设备先对下行消息进行加密处理,然后对加密后的下行消息进行完整性保护处理。接收方接收到经过安全处理的下行消息以后,先进行完整性保护校验,然后对经过完整性保护校验的下行消息进行解密。
本申请实施例中,第一时间信息是指第一网络设备根据接收上行消息的时间点确定出的。该第一时间信息可以是绝对时间,也可以是一个相对时间,或者,也可以是与绝对时间或者相对时间存在固定偏差的时间。示例性的,第一时间信息可以是第一网络设备根据接收到上行消息的时间点确定出的,或者利用接收到上行消息的时间以及预设规则推算出的时间;例如,第一网络设备接收到上行消息的时间为t1,可以利用t1对下行消息进行安全处理,也可以利用t=t1+t2对下行消息进行安全处理,t2是预先设定好的时间值,t=t1+t2是预先设定好的规则。
104、第一网络设备向第二网络设备发送经过安全处理的下行消息。
相应的,第二网络设备接收第一网络设备发送的经过安全处理的下行消息。
105、第二网络设备向终端设备发送经过安全处理的下行消息。
相应的,终端设备接收经由第二网络设备转发的经过安全处理的下行消息。
106、所述终端设备对所述下行消息进行安全校验。
其中,所述安全校验包括解密或完整性保护校验中的至少一种处理。
本步骤中,终端设备对接收到下行消息进行解密或完整性保护校验中的至少一种处理,以确定第二网络设备是否为伪网络设备。例如,终端设备接收到经过安全处理的下行消息以后,先进行完整性保护校验,然后对经过完整性保护校验的下行消息进行解密。
本申请实施例提供的伪网络设备识别方法,终端设备发送的上行消息经由第二网络设备转发给第一网络设备,第一网络设备接收到该上行消息后,针对该上行消息生成下行消息,使用第一时间信息对该下行消息进行安全处理并发送给第二网络设备,由第二网络设备将该经过安全处理的下行消息发送给终端设备,终端设备对接收到下行消息进行安全校验,识别出第二网络设备是否为伪网络设备,从而提高通信的安全性。
下面,对上述实施例中,终端设备如何对行消息进行安全校验以确定第二网络设备是否为伪网络设备介入进行详细说明。
一种可行的实现方式中,所述终端设备对所述下行消息进行安全校验时,可以是使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为所述终端设备根据发送所述上行消息的时间点或者根据接收下行消息的时间点确定出的时间信息;所述第二时间信息与第一时间信息可以是相同的时间,也可以有一个固定的时间差;所述终端设备无法正确对所述下行消息进行安全校验时,所述终端设备确定所述第二网络设备为伪网络设备。
示例性的,终端设备接收到经过安全处理的下行消息后,使用第二时间信息对该下行消息进行安全校验。对于没有第二网络设备的场景,上行消息直接从终端设备发送至第一网络设备,同理,经过安全处理的下行消息也直接从第一网络设备发送至终端设备,此时,终端设备利用确定出的第二时间信息能够正确对接收到的下行消息进行安全校验,说明下行消息是由正常的第一网络设备发送给终端设备的。对于存在第二网络设备的场景,终端设备确定出的第二时间信息无法正确对该下行消息进行安全校验,则说明下行消息是由伪网络设备,即第二网络设备转发给终端设备的。之所以无法正确校验,是因为第二网络设备的转发或处理引入了额外的时间延迟,从而导致终端设备确定出的第二时间信息和第一网络设备确定的第一时间信息不匹配,所以无法正确校验。其中,第二时间信息可以是终端设备发送上行消息的绝对时间,也可以是一个相对时间,或者,也可以是与绝对时间或者相对时间存在固定偏差的时间。示例性的,第二时间信息可以是终端设备根据发送上行消息的时间点确定出的,或者利用发送上行消息的时间以及预设规则推算出的时间;例如,终端设备发送上行消息的时间为t3,可以利用t3对下行消息进行安全校验,也可以利用t5=t3+t4对下行消息进行安全校验,t4是预先设定好的时间值,t5=t3+t4是预先设定好的规则。当终端设备驻留在第一网络设备时,所述终端设备可以获知:所述t3可以与t1相同,或者所述t3与t1存在固定的时间差t6。当终端设备驻留在第二网络设备时,所述终端设备不能获知:所述t3与t1存在固定的时间差t6。
图3是本申请实施例提供的一种伪网络设备识别方法中安全校验的过程示意图。
请参照图3中的(a),当终端设备附近没有伪网络设备,即第二网络设备时,终端设备在1号帧上向第一网络设备发送上行消息,第一网络设备在3号帧上接收到上行消息。终端设备根据在1号帧上发送上行消息的时间点,推算第一网络设备接收到上行消息的时间,根据推算出的时间得到第二时间信息,该第二时间信息例如与3号帧相关;第一网络设备根据在3号帧上接收上行消息的时间点确定出第一时间信息,显然,该第一时间信息与3号帧相关。由于第一时间信息和第二时间信息均与3号帧相关,因此,第一网络设备使用第一时间信息对下行消息进行安全处理并发送给终端设备后,终端设备可以利用第二时间信息正确对接收到的下行消息进行安全校验,则认为没有第二网络设备介入。
请参照图3中的(b),当终端设备附件存在信号质量较好的第二网络设备时,终端设备在1号帧上向第一网络设备发送上行消息,第二网络设备在3号帧上拦截该上行消息并转发该上行消息;之后,第一网络设备在4号帧上接收到第二网络设备转发的上行消息。终端设备根据在1号帧上发送上行消息的时间点,推算第一网络设备接收到上行消息的时间,根据推算出的时间得到第二时间信息,该第二时间信息例如与3号帧相关;第一网络设备根据在4号帧上接收上行消息的时间点确定出第一时间信息,该第一时间信息例如与4号帧相关。由于第一时间信息与4号帧相关,第二时间信息与3号帧相关,因此,第一网络设备使用第一时间信息对下行消息进行安全处理并发送给终端设备后,终端设备无法利用第二时间信息正确对接收到的下行消息进行安全校验,从而确定出有第二网络设备为伪网络设备。
本实施例中,终端设备根据发送上行消息的时间点,推算出第一网络设备接收该上行消息的时间点,得到第二时间信息,利用该第二时间信息,对第一网络设备利用第一时间信息进行安全处理的下行消息进行安全校验,根据能否成功校验下行消息即可确定出发送下行消息的第二网络设备为伪网络设备,实现识别伪网络设备的目的,保证了通信的安全性。
一种可行的实现方式中,终端设备从所述第一网络设备接收下行消息之后,还包括:
所述终端设备使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为所述终端设备根据发送所述上行消息的时间点确定出的时间信息;所述终端设备记录无法正确校验所述下行消息的次数为n;所述终端设备确定所述次数n是否超过预设次数m,
所述次数n超过所述预设次数m,则所述终端设备确定所述第二网络设备为伪网络设备,所述m≥1且为整数,n≥1且为整数。其中次数n可以是连续无法正确校验的次数,或者不连续的,累加的无法正确校验的次数。
示例性的,终端设备接收到经过安全处理的下行消息后,若终端设备无法正确校验该下行消息,可能是上行消息、下行消息被第二网络设备转发导致的,也可能是其他原因导致的。例如,终端设备数量过多,第一网络设备无法及时处理多个终端设备发送的上行消息,进而导致终端设备无法正确校验下行消息。若终端设备第一次无法正确校验经过安全处理的下行消息,就判断发送下行消息的第二网络设备为伪网络设备,则可能发生误判。为了防止发生误判,终端设备接收到经过安全处理的下行消息后,若无法正确校验该下行消息,则记录无法正确校验下行消息,在终端设备多次接收到经过安全处理的下行消息后,记累计无法正确校验该下行消息的次数为n。然后,比对次数n是否超过预设次数m,若超过,则认为第二网络设备为伪网络设备;若未超过,则重新发送上行消息,收到相应的下行消息以后重复上述校验过程,若仍然无法正确校验该下行消息,则将无法正确校验下行消息的次数n更新为n+1。然后,比对该次数n+1是否超过预设次数m,若超过,则认为第二网络设备为伪网络设备。
继续沿用图3中的(b)所示的例子,若终端设备接收到经过安全处理的下行消息后,无法使用第二时间信息正确校验该下行消息,则记录该次无法正确校验下行消息,在终端设备多次接收到经过安全处理的下行消息后,记累计使用该第二时间信息无法正确校验该下行消息的次数为n。之后,判断次数n是否超过预设次数m,若未超过,则重新发送上行消息,使得第一网络设备继续针对上行消息生成下行消息,对下行消息进行安全处理并发送,终端设备收到下行消息后,重复上述的校验过程,若仍然无法正确校验该下行消息,则将无法正确下行消息的次数更新为n+1,然后,比对该次数n+1是否超过预设次数m,若超过,则认为第二网络设备为伪网络设备。
本实施例中,终端设备根据未正确校验下行消息的次数,判断是否有第二网络设备介入,避免终端设备误判。
本申请实施例中,为了防止伪网络设备推算出第二时间信息对下行消息进行安全校验,校验成功后篡改下行消息,第一网络设备除了利用第一时间信息对下行消息进行安全处理外,还利用第一秘钥对下行消息进行安全处理;相应的,终端设备还使用第二秘钥对所述下行消息进行安全校验。下面,对第一网络设备如何利用第一秘钥对下行消息进行安全处理,以如何防止消息被第二网络设备篡改进行详细说明。
示例性的,第一网络设备针对接收到上行消息生成下行消息后,利用第一时间信息对下行消息进行安全处理之前、之后或同时,利用第一秘钥对下行消息进行安全处理。然后,第一网络设备向终端设备发送该利用第一秘钥和第一时间信息进行安全处理后的下行消息。其中,第一秘钥是第一网络设备和终端设备能够知道的秘钥,而第二网络设备是无法知道第一秘钥的。若终端设备附近存在第二网络设备,第二网络设备截获到该下行消息后,即使第二网络设备推算出第二时间信息,但是由于第二网络设备无法得知第一秘钥对应的第二秘钥,则第二网络设备无法正确校验下行消息,因此无法对篡改下行消息。终端设备接收到下行消息后,根据与第一秘钥对应的第二秘钥,以及第二时间信息对该下行消息进行安全校验。其中,第一秘钥和第二秘钥可以是相同的秘钥。第一秘钥和第二秘钥可以是预先分配的秘钥,或者根据预先分配的秘钥推导出的秘钥。
本实施例中,第一网络设备通过使用第一秘钥对下行消息进行安全处理,防止伪网络设备推算出第二时间信息对下行消息进行安全校验,校验成功后篡改下行消息,进一步的保障了通信安全。
下面,用两个实施例对上述的伪网络设备识别方法进行详细说明,示例性的,可参见图4和图5。
图4是本申请实施例提供的另一种伪网络设备识别方法的流程图,本实施例中,所述上行消息包括随机接入过程中的消息一,所述下行消息包括随机接入过程中的消息二,其中,消息一例如为消息(message,MSG)1,消息二例如为消息MSG2,本实施例实现利用随机接入过程中的MSG1消息和MSG2消息识别伪网络设备的目的,本实施例包括:
201、第一网络设备向终端设备发送经过安全处理的广播消息。
本申请实施例中,终端设备接入第一网络设备包括信号同步阶段、广播消息阶段和随机接入阶段。
本步骤中,第一网络设备对广播消息进行安全处理,并在广播消息阶段向终端设备发送该经过安全处理的广播消息,相应的,终端设备接收该经过安全处理的广播消息。其中,经过安全处理的广播消息包含随机接入RACH资源配置信息,和/或,系统帧号(systemframe number,SFN)。
可选的,为了区分终端设备发送MSG1的目的是随机接入还是识别是否有第二网络设备介入,本步骤中,第一网络设备向终端设备发送的RACH资源配置信息指示第一RACH资源和第二RACH资源,若终端设备在第一RACH资源上发送MSG1,则说明终端设备发送该MSG1的目的是为了识别是否有第二网络设备介入,若终端设备在第二RACH资源上发送MSG1,则说明终端设备主要是为了随机接入。
202、终端设备在PRACAH资源配置信息指示的资源上向第二网络设备发送MSG1。
相应的,第二网络设备接收该MSG1。
需要说明的是,对于终端设备而言,其并不知道该MSG1是否被第二网络设备拦截了。
另外,还需要说明的是,对于没有伪网络设备,即第二网络设备的场景,本步骤中,终端设备在RACH资源配置信息指示的资源上直接向第一网络设备发送MSG1。
203、第二网络设备向第一网络设备发送MSG1。
相应的,第一网络设备接收该MSG1消息,并根据接收MSG1消息的时间点确定出第一时间信息。
本步骤中,若RACH资源配置信息指示第一RACH资源和第二RACH资源,则终端设备需要先确定是随机接入还是仅识别是否有第二网络设备介入。若终端设备仅仅是为了识别是否有第二网络设备介入,则在第一RACH资源上向第一网络设备发送MSG1;若终端设备是为了正常的随机接入,则在第二RACH资源上向第一网络设备发送MSG1。
204、第一网络设备针对MSG1生成MSG2,并利用第一时间信息对MSG2进行安全处理。
当需要防止MSG2消息被第二网络设备篡改时,第一网络设备还可以利用第一秘钥对该MSG2消息进行安全处理。该第一秘钥例如是一个公钥。
另外,若第一网络设备确定出MSG1是终端设备在第一RACH资源上发送的,则第一网络设备针对MSG1生成不携带上行授权(UL grant)的MSG2,以后不接收MSG3;如第一网络设备确定出MSG1消息时终端设备在第二RACH资源上发送的,则第一网络设备针对MSG1生成携带上行授权的MSG2,后续继续接收MSG3。
205、第一网络设备向第二网络设备发送经过安全处理的MSG2。
206、第二网络设备向终端设备发送经过安全处理的MSG2。
相应的,终端设备接收该经过安全处理的MSG2。
207、终端设备利用第二时间信息对MSG2进行安全校验。
当上述步骤204中,第一网络设备还利用第一秘钥对MSG2消息进行安全处理时,则本步骤中,终端设备还需要利用第二秘钥对MSG2消息进行安全校验。其中,第二秘钥例如为终端设备的私钥,该私钥与步骤204中的公钥对应。
208、终端设备根据能否正确对下行消息进行安全校验,确定是第二网络设备是否为伪网络设备。
本实施例中,当RACH资源配置信息指示第一RACH资源和第二RACH资源时,终端设备可以灵活选择在第一RACH资源上或第二RACH资源上发送MSG1消息,避免终端设备不需要随机接入时还得通过发起随机接入识别是否有第二网络设备介入的弊端。
图5是本申请实施例提供的又一种伪网络设备识别方法的了流程图,本实施例中,上行消息包括随机接入过程中的消息三,所述下行消息包括随机接入过程中的消息四,本实施例实现利用随机接入过程中的MSG3和MSG4识别第二网络设备是否为伪网络设备的目的,本实施例包括:
301、第一网络设备向终端设备发送经过安全处理的广播消息。
本步骤中,第一网络设备对广播消息进行安全处理,并在广播消息阶段向终端设备发送该经过安全处理的广播消息,相应的,终端设备接收该经过安全处理的广播消息。其中,经过安全处理的广播消息包含随机接入RACH资源配置信息,和/或,系统帧号(systemframe number,SFN)。
302、终端设备在PRACAH资源配置信息指示的资源上向第二网络设备发送MSG1。
相应的,第二网络设备接收该MSG1。
303、第二网络设备向第一网络设备发送MSG1。
相应的,第一网络设备接收该MSG1。
304、第一网络设备针对MSG1生成MSG2。
305、第一网络设备向第二网络设备发送MSG2。
相应的,第二网络设备接收该MSG2。
306、第二网络设备向终端设备发送MSG2。
相应的,终端设备接收该MSG2。
307、终端设备向第二网络设备发送MSG3。
308、第二网络设备向第一网络设备发送MSG3。
相应的,第一网络设备接收该MSG3,并根据接收MSG3的时间点确定出第一时间信息;终端设备根据发送MSG3的时间点确定出第二时间信息。
可选的,网络设备还可以根据MSG3确定出终端设备的身份标识,进而根据身份标识确定出该终端设备的私钥。
309、第一网络设备针对MSG3生成MSG4,并利用第一时间信息对MSG4进行安全处理。
当需要防止MSG4被第二网络设备篡改时,第一网络设备还可以利用第一秘钥对该MSG4进行安全处理。该第一秘钥例如是上述步骤305中确定出私钥。
310、第一网络设备第二网络设备发送经过安全处理的MSG4。
311、第二网络设备向终端设备发送经过安全处理的MSG4。
相应的,终端设备接收该经过安全处理的MSG4。
312、终端设备利用第二时间信息对MSG4进行安全校验。
当上述步骤309中,第一网络设备利用私钥对MSG4进行安全处理时,则本步骤中,终端设备还需要利用私钥对MSG4消息进行安全校验。
314、终端设备判断是第二网络设备是否为伪网络设备。
本实施例中,第一网络设备根据MSG3确定出终端设备的身份标识进而确定出私钥,利用第一时间信息和私钥对MSG4进行安全处理,使得只有存储该私钥的终端设备才能对该MSG4进行安全校验,进一步的保障了通信安全。
需要说明的是,上述实施例中,需要终端设备与第一网络设备保持同步,考虑到时钟漂移,终端设备需要维护一个定时器,每次定时器超时后,终端设备发起随机接入与第一网络设备或核心网中的时钟同步。
上述实施例中,第一网络设备接收到上行消息后,针对该上行消息生成下行消息,然后对下行消息进行安全处理并发送给终端设备,使得终端设备根据是否能够正确校验经过安全处理的下行消息判断第二网络设备是否为伪网络设备。然而,第一网络设备每次发送下行消息之前,并不是都需要接收上行消息。下面,对网络设备发送的下行消息和接收到上行消息无关时,终端设备如何确定出是否有第二网络设备介入进行详细说明。示例性的,可参见图6。
图6是本申请实施例提供的另一种伪网络设备识别方法的流程图。本实施例是从第一网络设备和终端交互的角度,对本申请所述伪网络设备识别方法进行说明的。本实施例包括:
401、第一网络设备在下行消息中添加指示信息,所述指示信息用于向终端设备指示所述下行消息的有效时长。
第一网络设备向终端设备发送下行消息时,在该下行消息中添加指示信息,该指示信息用于指示该下行消息的有效时长。该有效时长指示下行消息多次时间内有效,或者,指示该下行消息在哪个时间点之前有效。
402、所述第一网络设备向第二网络设备发送添加了指示信息下行消息。
本步骤中,第一网络设备向所述终端设备发送添加了指示信息的所述下行消息时,该下行消息被第二网络设备拦截。
403、第二网络设备向终端设备发送添加了指示信息下行消息。
404、所述终端设备根据所述指示信息,确定所述第二网络设备是否为伪网络设备。
本实施例提供的伪网络设备识别方法,第一网络设备在向终端设备发送下行消息时,在该下行消息中添加指示信息,以向终端设备指示该下行消息的有效时长,使得终端设备根据该有效时长确定是否有第二网络设备介入,从而保证通信安全。
下面,对终端设备如何识别第二网络设备为伪网络设备进行详细说明。
一种可行的实现方式中,所述终端设备从第一网络设备接收下行消息之后,还根据所述指示信息,确定所述下行消息是否有效;若所述下行消息有效,则所述终端设备确定第二网络设备不是伪网络设备;若所述下行消息无效,则所述终端设备确定第二网络设备为伪网络设备。
示例性的,终端设备接收到下行消息后,解析出有效时长,根据该有效时长确定第二网络设备是否为伪网络设备。例如,若有效时长指示该下行消息在一个时间段内有效,则终端设备确定当前时间是否属于该段时间,若是,则认为第二网络设备不是伪网络设备介入;否则,终端设备认为第二网络设备为伪网络设备;再如,若有效时长指示该下行消息在某个时间点之前有效,则终端设备确定当前时间是否超过该时间点,若是,则认为第二网络设备为网络设备;否则,终端设备确定第二网络设备为伪网络设备。
本实施例中,第一网络设备向终端设备发送下行消息时,在该下行消息中加入指示该下行消息有效时长的指示信息,使得终端设备根据有效时长,确定接收到的下行消息是否有效,从而识别第二网络设备是否为伪网络设备,保证了通信的安全性。
一种可行的实现方式中,所述终端设备根据所述指示信息,确定所述第二网络设备是否为伪网络设备时,可以是根据所述指示信息,确定所述下行消息是否有效;所述终端设备记录接收到无效的下行消息的次数n;所述终端设备确定所述次数n是否超过预设次数m;若所述次数n超过所述预设次数m,则所述终端设备确定所述第二网络设备为伪网络设备,所述m≥1且为整数,n≥1且为整数。
示例性的,终端设备接收到携带指示信息的下行消息后,若终端设备根据指示信息确定出下行消息无效,可能是第二网络设备介入导致的,也可能是其他原因导致的。若终端设备第一次接收到无效的下行消息,就判断有第二网络设备介入,则可能发生误判。为了防止发生误判,终端设备每次接收到无效的下行消息后,若该下行消息无效,则记录接收到无效下行消息的次数n。然后,比对该次数n是否超过预设次数m,若超过,则认为有第二网络设备介入;若未超过,则认为没有第二网络设备介入。其中,预设次数m可以指示终端设备连续m次接收到无效的下行消息,也可以指示终端设备累计m次接收到无效的下行消息。
本实施例中,终端设备根据接收到无效下行消息的次数,确定是否有第二网络设备介入,避免终端设备误判。
通常情况下,终端设备接入正常基站的小区的过程包括同步阶段、广播消息阶段和随机接入阶段。其中,第一网络设备在发送广播消息时,无需由上行消息触发。下面,对广播消息阶段如何识别出有第二网络设备介入进行详细说明。
一种可行的实现方式中,所述下行消息包括广播消息;所述终端设备从第二网络设备接收下行消息,包括:所述终端设备从所述第二网络设备接收经过安全处理的广播消息,所述广播消息由所述第一网络设备进行安全处理并发送给所述第二网络设备;或者,所述终端设备从所述第二网络设备接收所述广播消息,所述广播消息中的指示信息由所述第一网络设备进行安全处理。
示例性的,第一网络设备在向终端设备发送广播消息之前,先对该广播消息添加指示信息,然后将添加了指示信息的广播消息发送给终端设备,若存在第二网络设备时,该添加了指示信息的广播信息经由第二网络设备转发至终端设备;相应的,终端设备接收该广播消息。终端设备可以对整个广播消息进行安全处理,也可以仅对广播消息中的指示信息进行安全处理,本申请实施例并不限制。
本实施例中,第一网络设备通过在广播消息中添加指示信息,使得终端设备接收都到指示信息后,根据该指示信息即可确定当前是否有网络设备介入,实现在广播消息阶段识别出伪网络设备的目的。
需要说明的是,上述实施例中,需要终端设备与第一网络设备保持同步,考虑到时钟漂移,终端设备需要维护一个定时器,每次定时器超时后,终端设备发起随机接入与第一网络设备或核心网中的时钟同步。
图7为本申请实施例提供的一种通信装置的结构示意图。本实施例所涉及的通信装置可以为终端设备,也可以为应用于终端设备的芯片。该通信装置可以用于执行上述图2或可选实施例中终端设备的功能。如图7所示,该通信装置100可以包括:发送单元11、接收单元12和处理单元13。其中,
发送单元11,用于向第二网络设备发送上行消息,所述上行消息由所述第二网络设备发送给第一网络设备;
接收单元12,用于从所述第二网络设备接收下行消息,所述下行消息由所述第二网络设备从所述第一网络设备接收,所述下行消息为所述第一网络设备根据所述上行消息生成、并使用第一时间信息进行安全处理后的消息,所述安全处理包括加密或完整性保护中的至少一种处理,所述第一时间信息为所述第一网络设备根据接收所述上行消息的时间点确定的时间信息;
处理单元13,用于对所述下行消息进行安全校验,所述安全校验包括解密或完整性保护校验中的至少一种校验。
一种可行的设计中,所述处理单元13,用于使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为所述终端设备根据发送所述上行消息的时间点确定出的时间信息;
所述处理单元13无法正确对所述下行消息进行安全校验时,所述处理单元13确定所述第二网络设备为伪网络设备。
一种可行的设计中,所述处理单元13,在所述接收单元12从所述第二网络设备接收下行消息之后,还用于使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为所述终端设备根据发送所述上行消息的时间点确定出的时间信息,记录无法正确校验所述下行消息的次数为n,确定所述次数n是否超过预设次数m,所述次数n超过所述预设次数m,则确定所述第二网络设备为伪网络设备,所述m≥1且为整数,n≥1且为整数。
一种可行的设计中,所述处理单元13,在所述下行消息还由所述第一网络设备使用第一秘钥进行安全处理时,还用于使用第二秘钥对所述下行消息进行安全校验。
一种可行的设计中,所述上行消息包括随机接入消息一,所述下行消息包括随机接入消息二。
一种可行的设计中,所述接收单元12,在所述发送单元11向第二网络设备发送上行消息之前,还用于从所述第一网络设备接收广播消息,所述广播消息是由所述第一网络设备进行安全处理后的消息,所述广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。
一种可行的设计中,所述处理单元13,用于根据所述RACH资源配置信息,确定第一RACH资源,所述RACH资源配置信息指示第一RACH资源,所述第一RACH资源用于所述终端设备发送所述上行消息;
所述发送单元11,用于在所述第一RACH资源上向所述第二网络设备发送所述消息一。
一种可行的设计中,所述上行消息包括随机接入过程中的消息三,所述下行消息包括随机接入过程中的消息四。
本申请实施例提供的通信装置,可以执行上述图2及可选实施例中终端设备的动作,其实现原理和技术效果类似,在此不再赘述。
图8为本申请实施例提供的另一种通信装置的结构示意图。本实施例所涉及的通信装置可以为第一网络设备,也可以为应用于第一网络设备的芯片。该通信装置可以用于执行上述图2或可选实施例中第一网络设备的功能。如图8所示,该通信装置200可以包括:
接收单元21,用于从第二网络设备接收上行消息,所述上行消息由终端设备发送给所述第二网络设备;
处理单元22,用于针对所述上行消息生成下行消息,并使用第一时间信息对所述下行消息进行安全处理,所述安全处理包括加密或完整性保护中的至少一种处理,所述第一时间信息是所述第一网络设备根据接收所述上行消息的时间点确定出的时间信息;
发送单元23,用于向所述第二网络设备发送下行消息,所述下行消息由所述第二网络设备发送给所述终端设备。
一种可行的设计中,所述处理单元22,在所述发送单元23向所第二网络设备发送经过安全处理的下行消息之前,还使用第一秘钥对所述下行消息进行安全处理。
一种可行的设计中,所述上行消息包括随机接入过程中的消息一,所述下行消息包括随机接入过程中的消息二。
一种可行的设计中,所述发送单元23,在所述接收单元21从第二网络设备接收上行消息之前,还用于向所述终端设备发送经过安全处理的广播消息,所述经过安全处理的广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。
一种可行的设计中,所述接收单元21,具体用于在所述第一RACH资源上从所述第二网络设备接收所述消息一,所述消息二不携带上行授权,所述RACH资源配置信息指示第一RACH资源,所述第一RACH资源是所述终端设备发送所述上行消息的资源。
一种可行的设计中,所述上行消息包括随机接过程中的消息三,所述下行消息包括随机接入过程中的消息四。
本申请实施例提供的通信装置,可以执行上述图2及可选实施例中第一网络设备的动作,其实现原理和技术效果类似,在此不再赘述。
图9为本申请实施例提供的又一种通信装置的结构示意图。本实施例所涉及的通信装置可以为终端设备,也可以为应用于终端设备的芯片。该通信装置可以用于执行上述图6或可选实施例中终端设备的功能。如图9所示,该通信装置300可以包括:
接收单元31,用于从第二网络设备接收下行消息,所述下行消息由第一网络设备发送给所述第二网络设备,所述下行消息携带指示信息,所述指示信息用于向所述终端设备指示所述下行消息的有效时长;
处理单元32,用于根据所述指示信息,确定所述第二网络设备是否为伪网络设备。
一种可行的设计中,所述处理单元32,用于根据所述指示信息,确定所述下行消息是否有效,若所述下行消息有效,则所述终端设备确定所述第二网络设备为伪网络设备。
一种可行的设计中,所述处理单元32,用于根据所述指示信息,确定所述下行消息是否有效,记录接收到无效的下行消息的次数n;所述终端设备确定所述次数n是否超过预设次数m,若所述次数n超过所述预设次数m,则确定所述第二网络设备为伪网络设备,所述m≥1且为整数,n≥1且为整数。
一种可行的设计中,所述下行消息包括广播消息;
所述接收单元31,用于从所述第二网络设备接收经过安全处理的广播消息,所述广播消息由所述第一网络设备进行安全处理并发送给所述第二网络设备;
或者,所述接收单元31,用于从所述第二网络设备接收所述广播消息,所述广播消息包含经过安全处理的所述指示信息,所述广播消息中的指示信息由所述第一网络设备进行安全处理。
本申请实施例提供的通信装置,可以执行上述图6及可选实施例中终端设备的动作,其实现原理和技术效果类似,在此不再赘述。
图10为本申请实施例提供的又一通信装置的结构示意图。本实施例所涉及的通信装置可以为第一网络设备,也可以为应用于第一网络设备的芯片。该通信装置可以用于执行上述图6或可选实施例中第一网络设备的功能。如图10所示,该通信装置400可以包括:
处理单元41,用于在下行消息中添加指示信息,所述指示信息用于向终端设备指示所述下行消息的有效时长;
发送单元42,用于向第二网络设备发送所述下行消息,所述下行消息由所述第二网络设备发送给所述终端设备。
一种可行的设计中,所述下行消息包括广播消息;
所述处理单元41,用于对所述广播消息进行安全处理,所述发送单元42,用于向所述第二网络设备发送经过安全处理的广播消息;
或者,所述处理单元41用于对所述指示信息进行安全处理,所述发送单元42用于向所述第二网络设备发送包含经过安全处理的指示信息的广播消息。
本申请实施例提供的数据传输装置,可以执行上述图6及可选实施例中第一网络设备的动作,其实现原理和技术效果类似,在此不再赘述。
需要说明的是,应理解以上接收单元实际实现时可以为接收器、发送单元实际实现时可以为发送器。而处理单元可以以软件通过处理元件调用的形式实现;也可以以硬件的形式实现。例如,处理单元可以为单独设立的处理元件,也可以集成在上述装置的某一个芯片中实现,此外,也可以以程序代码的形式存储于上述装置的存储器中,由上述装置的某一个处理元件调用并执行以上处理单元的功能。此外这些单元全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个专用集成电路(application specific integrated circuit,ASIC),或,一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(field programmable gate array,FPGA)等。再如,当以上某个单元通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(centralprocessing unit,CPU)或其它可以调用程序代码的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
图11为本申请又一实施例提供的通信装置的结构示意图。如图11所示,该通信装置500可以包括:处理器51(例如CPU)、存储器52、接收器53、发送器54;接收器53和发送器54均耦合至处理器51,处理器51控制接收器53的接收动作、处理器51控制发送器54的发送动作;存储器52可能包含高速随机存取存储器(random-access memory,RAM),也可能还包括非易失性存储器(non-volatile memory,NVM),例如至少一个磁盘存储器,存储器52中可以存储各种指令,以用于完成各种处理功能以及实现本申请的方法步骤。可选的,本申请涉及的通信装置还可以包括:电源55以及通信总线56。接收器53和发送器54可以集成在通信装置的收发信机中,也可以为通信装置上独立的收发天线。通信总线56用于实现元件之间的通信连接。
在本申请实施例中,上述存储器52用于存储计算机可执行程序代码,程序代码包括指令;当处理器51执行指令时,使通信装置的处理器51执行上述方法实施例中终端设备的处理动作,使接收器53执行上述方法实施例中终端设备的接收动作,使发送器54执行上述方法实施例中终端设备的发送动作,其实现原理和技术效果类似,在此不再赘述。
图12为本申请实施例提供的又一种通信装置的结构示意图。如图12所示,该通信装置600可以包括:处理器61(例如CPU)、存储器62、接收器63、发送器64;接收器63和发送器64均耦合至处理器61,处理器61控制接收器63的接收动作、处理器61控制发送器64的发送动作;存储器62可能包含高速随机存取存储器(random-access memory,RAM),也可能还包括非易失性存储器(non-volatile memory,NVM),例如至少一个磁盘存储器,存储器62中可以存储各种指令,以用于完成各种处理功能以及实现本申请的方法步骤。可选的,本申请涉及的通信装置还可以包括:通信总线64。接收器63和发送器64可以集成在通信装置的收发信机中,也可以为通信装置上独立的收发天线。通信总线64用于实现元件之间的通信连接。
在本申请实施例中,上述存储器62用于存储计算机可执行程序代码,程序代码包括指令;当处理器61执行指令时,使通信装置的处理器61执行上述方法实施例中第一网络设备的处理动作,使接收器63执行上述实施例中第一网络设备的接收动作,使发送器64执行上述方法实施例中第一网络设备的发送动作,其实现原理和技术效果类似,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本文中的术语“多个”是指两个或两个以上。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,本文中描述方式“……中的至少一个”表示所列出的各项之一或其任意组合,例如,“A、B和C中的至少一个”,可以表示:单独存在A,单独存在B,单独存在C,同时存在A和B,同时存在B和C,同时存在A和C,同时存在A、B和C这六种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系;在公式中,字符“/”,表示前后关联对象是一种“相除”的关系。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。
可以理解的是,在本申请的实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请的实施例的实施过程构成任何限定。
Claims (28)
1.一种伪网络设备识别方法,其特征在于,包括:
终端设备向第二网络设备发送上行消息,所述上行消息由所述第二网络设备发送给第一网络设备;
所述终端设备从所述第二网络设备接收下行消息,所述下行消息由所述第二网络设备从所述第一网络设备接收,所述下行消息为所述第一网络设备根据所述上行消息生成、并使用第一时间信息进行安全处理后的消息,所述安全处理包括加密或完整性保护中的至少一种处理,所述第一时间信息为所述第一网络设备根据接收所述上行消息的时间点确定的时间信息;
所述终端设备对所述下行消息进行安全校验,所述安全校验包括解密或完整性保护校验中的至少一种校验。
2.根据权利要求1所述的方法,其特征在于,所述终端设备对所述下行消息进行安全校验,包括:
所述终端设备使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为所述终端设备根据发送所述上行消息的时间点确定出的时间信息;
所述终端设备无法正确对所述下行消息进行安全校验时,所述终端设备确定所述第二网络设备为伪网络设备。
3.根据权利要求1所述的方法,其特征在于,所述终端设备从所述第二网络设备接收下行消息之后,还包括:
所述终端设备使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为所述终端设备根据发送所述上行消息的时间点确定出的时间信息;
所述终端设备记录无法正确校验所述下行消息的次数为n;
所述终端设备确定所述次数n是否超过预设次数m,
所述次数n超过所述预设次数m,则所述终端设备确定所述第二网络设备为伪网络设备,所述m≥1且为整数,n≥1且为整数。
4.根据权利要求1~3任一项所述的方法,其特征在于,包括:
所述下行消息还由所述第一网络设备使用第一秘钥进行安全处理;
所述终端设备还使用第二秘钥对所述下行消息进行安全校验。
5.根据权利要求1~4任一项所述的方法,其特征在于,所述上行消息包括随机接入过程中的消息一,所述下行消息包括随机接入过程中的消息二。
6.根据权利要求1~5任一项所述的方法,其特征在于,所述终端设备向第二网络设备发送上行消息之前,还包括:
所述终端设备从所述第一网络设备接收广播消息,所述广播消息是由所述第一网络设备进行安全处理后的消息,所述广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。
7.根据权利要求6所述的方法,其特征在于,所述终端设备向第二网络设备发送上行消息,包括:
所述终端设备根据所述RACH资源配置信息,确定第一RACH资源,所述RACH资源配置信息指示第一RACH资源,所述第一RACH资源用于所述终端设备发送所述上行消息;
所述终端设备在所述第一RACH资源上向所述第二网络设备发送所述消息一。
8.根据权利要求1~4任一项所述的方法,其特征在于,所述上行消息包括随机接入过程中的消息三,所述下行消息包括随机接入过程中的消息四。
9.一种伪网络设备识别方法,其特征在于,包括:
第一网络设备从第二网络设备接收上行消息,所述上行消息由终端设备发送给所述第二网络设备;
所述第一网络设备向所述第二网络设备发送下行消息,所述下行消息由所述第二网络设备发送给所述终端设备,所述下行消息由所述第一网络设备针对所述上行消息生成、并由所述第一网络设备使用第一时间信息进行安全处理,所述安全处理包括加密或完整性保护中的至少一种处理,所述第一时间信息是所述第一网络设备根据接收所述上行消息的时间点确定出的时间信息。
10.根据权利要求9所述的方法,其特征在于,所述第一网络设备向所第二网络设备发送经过安全处理的下行消息之前,还包括:
所述第一网络设备使用第一秘钥对所述下行消息进行安全处理。
11.根据权利要求9或10所述的方法,其特征在于,所述上行消息包括随机接入过程中的消息一,所述下行消息包括随机接入过程中的消息二。
12.根据权利要求9~11任一项所述的方法,其特征在于,所述第一网络设备从第二网络设备接收上行消息之前,还包括:
所述第一网络设备向所述终端设备发送经过安全处理的广播消息,所述经过安全处理的广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。
13.根据权利要求12所述的方法,其特征在于,所述第一网络设备从第二网络设备接收上行消息,包括:
所述第一网络设备在第一RACH资源上从所述第二网络设备接收所述消息一,所述消息二不携带上行授权,所述RACH资源配置信息指示所述第一RACH资源,所述第一RACH资源是所述终端设备发送所述上行消息的资源。
14.根据权利要求9或10所述的方法,其特征在于,所述上行消息包括随机接过程中的消息三,所述下行消息包括随机接入过程中的消息四。
15.一种通信装置,其特征在于,包括:
发送单元,用于向第二网络设备发送上行消息,所述上行消息由所述第二网络设备发送给第一网络设备;
接收单元,用于从所述第二网络设备接收下行消息,所述下行消息由所述第二网络设备从所述第一网络设备接收,所述下行消息为所述第一网络设备根据所述上行消息生成、并使用第一时间信息进行安全处理后的消息,所述安全处理包括加密或完整性保护中的至少一种处理,所述第一时间信息为所述第一网络设备根据接收所述上行消息的时间点确定的时间信息;
处理单元,用于对所述下行消息进行安全校验,所述安全校验包括解密或完整性保护校验中的至少一种校验。
16.根据权利要求15所述的装置,其特征在于,
所述处理单元,用于使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为根据发送所述上行消息的时间点确定出的时间信息;
所述处理单元无法正确对所述下行消息进行安全校验时,所述处理单元确定所述第二网络设备为伪网络设备。
17.根据权利要求15所述的装置,其特征在于,
所述处理单元,在所述接收单元从所述第二网络设备接收下行消息之后,还用于使用第二时间信息对所述下行消息进行安全校验,所述第二时间信息为根据发送所述上行消息的时间点确定出的时间信息,记录无法正确校验所述下行消息的次数为n,确定所述次数n是否超过预设次数m,所述次数n超过所述预设次数m,则确定所述第二网络设备为伪网络设备,所述m≥1且为整数,n≥1且为整数。
18.根据权利要求15~17任一项所述的装置,其特征在于,
所述处理单元,在所述下行消息还由所述第一网络设备使用第一秘钥进行安全处理时,还用于使用第二秘钥对所述下行消息进行安全校验。
19.根据权利要求15~18任一项所述的装置,其特征在于,所述上行消息包括随机接入消息一,所述下行消息包括随机接入消息二。
20.根据权利要求15~19任一项所述的装置,其特征在于,
所述接收单元,在所述发送单元向第二网络设备发送上行消息之前之前,还用于从所述第一网络设备接收广播消息,所述广播消息是由所述第一网络设备进行安全处理后的消息,所述广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。
21.根据权利要求20所述的装置,其特征在于,
所述处理单元,用于根据所述RACH资源配置信息,确定第一RACH资源,所述RACH资源配置信息指示第一RACH资源,所述第一RACH资源用于发送所述上行消息;
所述发送单元,用于在所述第一RACH资源上向所述第二网络设备发送所述消息一。
22.根据权利要求15~18任一项所述的装置,其特征在于,所述上行消息包括随机接入过程中的消息三,所述下行消息包括随机接入过程中的消息四。
23.一种通信装置,其特征在于,包括:
接收单元,用于从第二网络设备接收上行消息,所述上行消息由终端设备发送给所述第二网络设备;
处理单元,用于针对所述上行消息生成下行消息,并使用第一时间信息对所述下行消息进行安全处理,所述安全处理包括加密或完整性保护中的至少一种处理,所述第一时间信息是根据接收所述上行消息的时间点确定出的时间信息;
发送单元,用于向所述第二网络设备发送下行消息,所述下行消息由所述第二网络设备发送给所述终端设备。
24.根据权利要求23所述的装置,其特征在于,
所述处理单元,在所述发送单元向所第二网络设备发送经过安全处理的下行消息之前,还使用第一秘钥对所述下行消息进行安全处理。
25.根据权利要求23或24所述的装置,其特征在于,所述上行消息包括随机接入过程中的消息一,所述下行消息包括随机接入过程中的消息二。
26.根据权利要求23~25任一项所述的装置,其特征在于,
所述发送单元,在所述接收单元从第二网络设备接收上行消息之前,还用于向所述终端设备发送经过安全处理的广播消息,所述经过安全处理的广播消息包含随机接入RACH资源配置信息或系统帧号SFN中的至少一种信息。
27.根据权利要求26所述的装置,其特征在于,
所述接收单元,具体用于在第一RACH资源上从所述第二网络设备接收所述消息一,所述消息二不携带上行授权,所述RACH资源配置信息指示所述第一RACH资源,所述第一RACH资源是所述终端设备发送所述上行消息的资源。
28.根据权利要求23或24所述的装置,其特征在于,所述上行消息包括随机接过程中的消息三,所述下行消息包括随机接入过程中的消息四。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110954187.9A CN113709746A (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
| CN201811333233.8A CN111182548B (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
| BR112021008865-2A BR112021008865A2 (pt) | 2018-11-09 | 2019-10-21 | Método de processamento de segurança de informações, aparelho de comunicações e meio de armazenamento legível por computador |
| PCT/CN2019/112336 WO2020093860A1 (zh) | 2018-11-09 | 2019-10-21 | 伪网络设备识别方法及通信装置 |
| EP19882092.0A EP3869846B1 (en) | 2018-11-09 | 2019-10-21 | Fake network device identification method and communication apparatus |
| US17/315,049 US20210321260A1 (en) | 2018-11-09 | 2021-05-07 | Fake network device identification method and communications apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811333233.8A CN111182548B (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110954187.9A Division CN113709746A (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111182548A true CN111182548A (zh) | 2020-05-19 |
| CN111182548B CN111182548B (zh) | 2021-08-31 |
Family
ID=70611881
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110954187.9A Pending CN113709746A (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
| CN201811333233.8A Active CN111182548B (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110954187.9A Pending CN113709746A (zh) | 2018-11-09 | 2018-11-09 | 伪网络设备识别方法及通信装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210321260A1 (zh) |
| EP (1) | EP3869846B1 (zh) |
| CN (2) | CN113709746A (zh) |
| BR (1) | BR112021008865A2 (zh) |
| WO (1) | WO2020093860A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114270902A (zh) * | 2019-06-17 | 2022-04-01 | 苹果公司 | 在切换期间通过ue检测假基站的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970671A (zh) * | 2012-11-27 | 2013-03-13 | 中国人民解放军信息工程大学 | 通信数据获取方法及伪基站、伪终端 |
| CN104837137A (zh) * | 2014-02-10 | 2015-08-12 | 徐成琦 | 一种对比时差防伪基站诈骗的方法、系统及终端 |
| CN106211169A (zh) * | 2016-07-28 | 2016-12-07 | 努比亚技术有限公司 | 伪基站识别装置及方法 |
| US9628994B1 (en) * | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
| CN108012271A (zh) * | 2016-10-28 | 2018-05-08 | 中国移动通信有限公司研究院 | 一种伪基站发现方法及装置 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7042854B2 (en) * | 2000-06-26 | 2006-05-09 | Hughes Network Systems, Llc | Method and apparatus for acquiring a synchronization signal |
| US7346005B1 (en) * | 2000-06-27 | 2008-03-18 | Texas Instruments Incorporated | Adaptive playout of digital packet audio with packet format independent jitter removal |
| US7012893B2 (en) * | 2001-06-12 | 2006-03-14 | Smartpackets, Inc. | Adaptive control of data packet size in networks |
| ATE427521T1 (de) * | 2001-07-26 | 2009-04-15 | Freescale Semiconductor Inc | Uhrensynchronisation in einem verteilten system |
| ATE313195T1 (de) * | 2002-04-16 | 2005-12-15 | Bosch Gmbh Robert | Verfahren zum synchronisieren von uhren in einem verteilten kommunikationssystem |
| US11304123B1 (en) * | 2005-07-14 | 2022-04-12 | Binj Laboratories, Inc. | Systems and methods for detecting and controlling transmission devices |
| US10735576B1 (en) * | 2005-07-14 | 2020-08-04 | Binj Laboratories, Inc. | Systems and methods for detecting and controlling transmission devices |
| JP5387918B2 (ja) * | 2008-04-30 | 2014-01-15 | 日本電気株式会社 | ルータ、そのルータを有する情報処理装置及びパケットのルーティング方法 |
| US8462819B2 (en) * | 2010-01-06 | 2013-06-11 | Lsi Corporation | Adaptive clock recovery with step-delay pre-compensation |
| JP5772395B2 (ja) * | 2011-08-29 | 2015-09-02 | 富士通株式会社 | 送信レート制御のためのプログラム、制御方法及び情報処理装置 |
| US11159980B2 (en) * | 2014-07-22 | 2021-10-26 | Parallel Wireless, Inc. | Signaling storm reduction from radio networks |
| US9900801B2 (en) * | 2014-08-08 | 2018-02-20 | Parallel Wireless, Inc. | Congestion and overload reduction |
| CN108293259B (zh) * | 2015-12-28 | 2021-02-12 | 华为技术有限公司 | 一种nas消息处理、小区列表更新方法及设备 |
| CN105657713A (zh) * | 2016-03-25 | 2016-06-08 | 珠海网博信息科技股份有限公司 | 一种伪ap检测阻断方法、无线装置及路由器 |
| US11044260B2 (en) * | 2016-04-01 | 2021-06-22 | The Regents Of The University Of Michigan | Fingerprinting electronic control units for vehicle intrusion detection |
| CN105792194B (zh) * | 2016-04-25 | 2019-06-28 | 中国联合网络通信集团有限公司 | 基站合法性的认证方法、认证装置、网络设备、认证系统 |
| CN106060789B (zh) * | 2016-05-24 | 2018-05-08 | 北京小米移动软件有限公司 | 短消息识别方法及装置 |
| CN109417475B (zh) * | 2016-05-30 | 2022-06-28 | 意大利电信股份公司 | 无线电信网络中的隐私保护 |
| WO2018014937A1 (en) * | 2016-07-19 | 2018-01-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Node and method for detecting that a wireless device has been communicating with a non-legitimate device |
| CN106028340A (zh) * | 2016-07-29 | 2016-10-12 | 宇龙计算机通信科技(深圳)有限公司 | 伪基站鉴别方法及系统 |
| WO2018140204A1 (en) * | 2017-01-30 | 2018-08-02 | Intel IP Corporation | Fake gnb/enb detection using identity-based authentication and encryption |
| GB2560357B (en) * | 2017-03-09 | 2020-11-25 | Rosberg System As | Detecting false cell towers |
| CN110741661B (zh) * | 2017-05-31 | 2023-05-26 | 苹果公司 | 用于伪基站检测的方法、移动设备和计算机可读存储介质 |
| US10129283B1 (en) * | 2017-05-31 | 2018-11-13 | Apple Inc. | Detection of a rogue base station |
| CN110521228B (zh) * | 2017-06-16 | 2024-04-02 | 摩托罗拉移动有限责任公司 | 恶意单元检测信息 |
| CN111630936A (zh) * | 2017-12-30 | 2020-09-04 | 英特尔公司 | 用于无线通信的方法和设备 |
| US10869195B2 (en) * | 2018-04-23 | 2020-12-15 | T-Mobile Usa, Inc. | Network assisted validation of secure connection to cellular infrastructure |
| CN112586018B (zh) * | 2018-08-20 | 2023-02-21 | 中兴通讯股份有限公司 | 用于配置完整性信息的方法和设备 |
| US11877149B2 (en) * | 2018-09-19 | 2024-01-16 | Apple Inc. | Protection of initial non-access stratum protocol message in 5G systems |
| CN112956225A (zh) * | 2018-10-26 | 2021-06-11 | 瑞典爱立信有限公司 | 用于检测与非合法设备的通信的方法、用户设备和网络节点 |
| WO2020087418A1 (zh) * | 2018-10-31 | 2020-05-07 | 深圳市欢太科技有限公司 | 伪基站处理方法、装置、移动终端以及存储介质 |
| EP3874811A1 (en) * | 2018-11-01 | 2021-09-08 | Telefonaktiebolaget LM Ericsson (publ) | Systems and methods for preventing handover caused by an insecure message from a network node |
-
2018
- 2018-11-09 CN CN202110954187.9A patent/CN113709746A/zh active Pending
- 2018-11-09 CN CN201811333233.8A patent/CN111182548B/zh active Active
-
2019
- 2019-10-21 EP EP19882092.0A patent/EP3869846B1/en active Active
- 2019-10-21 WO PCT/CN2019/112336 patent/WO2020093860A1/zh unknown
- 2019-10-21 BR BR112021008865-2A patent/BR112021008865A2/pt unknown
-
2021
- 2021-05-07 US US17/315,049 patent/US20210321260A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970671A (zh) * | 2012-11-27 | 2013-03-13 | 中国人民解放军信息工程大学 | 通信数据获取方法及伪基站、伪终端 |
| CN104837137A (zh) * | 2014-02-10 | 2015-08-12 | 徐成琦 | 一种对比时差防伪基站诈骗的方法、系统及终端 |
| US9628994B1 (en) * | 2015-12-30 | 2017-04-18 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Statistical system and method for catching a man-in-the-middle attack in 3G networks |
| CN106211169A (zh) * | 2016-07-28 | 2016-12-07 | 努比亚技术有限公司 | 伪基站识别装置及方法 |
| CN108012271A (zh) * | 2016-10-28 | 2018-05-08 | 中国移动通信有限公司研究院 | 一种伪基站发现方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3869846B1 (en) | 2023-05-31 |
| EP3869846A4 (en) | 2021-12-08 |
| US20210321260A1 (en) | 2021-10-14 |
| CN111182548B (zh) | 2021-08-31 |
| CN113709746A (zh) | 2021-11-26 |
| BR112021008865A2 (pt) | 2021-08-31 |
| EP3869846A1 (en) | 2021-08-25 |
| WO2020093860A1 (zh) | 2020-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812969B2 (en) | System and method for configuring a wireless device for wireless network access | |
| JP2017518701A (ja) | 高速初期リンクセットアップ中の認証のためのシステム、方法、および装置 | |
| Dehnel-Wild et al. | Security vulnerability in 5G-AKA draft | |
| US11082843B2 (en) | Communication method and communications apparatus | |
| KR101461236B1 (ko) | 무선 호를 연결 과정에서 엔티티의 인증을 수행하는 방법 | |
| WO2016008344A1 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
| CN113518312B (zh) | 一种通信方法、装置及系统 | |
| WO2018205148A1 (zh) | 一种数据包校验方法及设备 | |
| EP3453199B1 (en) | Authenticating a message in a wireless communication system | |
| RU2688251C1 (ru) | Беспроводная связь | |
| CN109691017B (zh) | 消息保护方法、用户设备和核心网设备 | |
| CN106465117B (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| CN111182548B (zh) | 伪网络设备识别方法及通信装置 | |
| CN110830421B (zh) | 数据传输方法和设备 | |
| WO2020147602A1 (zh) | 一种认证方法、装置和系统 | |
| US20200120493A1 (en) | Apparatus and method for communications | |
| WO2021052697A1 (en) | Improved physical layer security in wireless networks | |
| KR101960583B1 (ko) | 인증서 발급 방법 | |
| KR20200087226A (ko) | 액세스 거부 방법, 장치, 및 시스템, 및 저장 매체 및 프로세서 | |
| EP4231681A1 (en) | Trusted relay communication method and apparatus, terminal, and network side device | |
| EP4145878A1 (en) | Method and apparatus for obtaining key, user equipment, and network side device | |
| US20230345234A1 (en) | A method for sending a message from a remote server to a terminal | |
| CN116530119A (zh) | 保护无线网络中序列号的方法、设备和系统 | |
| TW202037110A (zh) | 獲取無線網路中攻擊的方法和電子設備 | |
| CN115735398A (zh) | 安全随机接入过程 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |