CN112399411B - 一种认证接入网设备的方法以及相关设备 - Google Patents
一种认证接入网设备的方法以及相关设备 Download PDFInfo
- Publication number
- CN112399411B CN112399411B CN201910703626.1A CN201910703626A CN112399411B CN 112399411 B CN112399411 B CN 112399411B CN 201910703626 A CN201910703626 A CN 201910703626A CN 112399411 B CN112399411 B CN 112399411B
- Authority
- CN
- China
- Prior art keywords
- access network
- time window
- authentication request
- terminal device
- request response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 120
- 230000004044 response Effects 0.000 claims abstract description 263
- 230000005540 biological transmission Effects 0.000 claims abstract description 213
- 230000006854 communication Effects 0.000 claims description 125
- 238000004891 communication Methods 0.000 claims description 124
- 238000012545 processing Methods 0.000 claims description 71
- 230000015654 memory Effects 0.000 claims description 41
- 230000008569 process Effects 0.000 description 24
- 238000010586 diagram Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 12
- 230000003068 static effect Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种认证接入网设备的方法以及相关设备,用于确定与该终端设备进行通信的接入网设备是否为合法接入网设备。本申请实施例方法包括:终端设备向接入网设备发送认证请求,并在第一传输时间单元接收响应于该认证请求的第一认证请求响应,并获取该第一认证请求响应中的第一时间窗信息。由于该第一时间窗信息可以指示终端设备接收该第一认证请求响应的时间范围,因此,当该终端设备确定该第一传输时间单元位于前述第一时间窗信息指示的第一时间窗内时,该终端设备可以确定该接入网设备为合法接入网设备。因此,可以避免该终端设备与非法接入网设备连接,进而可以避免该终端设备遭受重放攻击。
Description
技术领域
本申请实施例涉及通信领域,尤其涉及一种认证接入网设备的方法以及相关设备。
背景技术
伪基站,又称假基站、假基地台,是一种通过增大发射功率吸引合法终端设备接入的非法无线电通信设备,因此,也被称为非法接入网设备。该非法接入网设备通过诱导合法终端设备与该非法接入网设备连接,向该合法终端设备发送非法消息或盗取该合法终端设备的信息。
目前,为了防止该非法接入网设备对通信安全造成威胁。合法终端设备在与某个接入网设备进行连接之前,该合法终端设备将通过接收该接入网设备广播的系统消息以对该接入网设备的合法性进行检验。
在这样的方案中,由于该合法终端设备接收的是该接入网设备广播的系统消息,该系统消息为单向消息。攻击者可以结合非法接入网设备和非法终端设备对合法接入网设备和合法终端设备进行重放攻击,进而可以拦截并复制重发该广播消息。由于,该合法终端设备可以接收该非法接入网设备复制重发的广播消息,该合法接入网设备可以接收该非法终端设备复制重发的响应消息。因此,该合法终端设备和合法接入网设备均不易察觉异常,即合法终端设备无法获知与该合法终端设备进行通信的接入网设备是否为合法接入网设备。因此,将影响合法终端设备和合法接入网设备之间的通信安全。
发明内容
本申请实施例提供了一种认证接入网设备的方法以及相关设备,用于确定与该终端设备进行通信的接入网设备是否为合法接入网设备。
第一方面,本申请实施例提供了一种认证接入网设备的方法,在该方法中,终端设备将先向需要进行认证的接入网设备发送认证请求,若该终端设备在第一传输时间单元接收响应于该认证请求的第一认证请求响应,并获取该第一认证请求响应中的第一时间窗信息,则该终端设备可以确定前述接入网设备可能为合法的接入网设备,但该终端设备还无法排除该终端设备与该接入网设备之间存在非法接入网设备进行重放攻击的情况。于是,该终端设备还需要判断该终端设备接收该第一认证请求响应的第一传输时间单元是否位于该第一时间窗信息指示的第一时间窗内。若该第一传输时间单元位于该第一时间窗内时,该终端设备可以确定该第一认证请求响应是由合法接入网设备直接发送至该终端设备的而没有经过非法接入网设备进行复制重发,因此,该终端设备可以确定前述终端设备认证的接入网设备为合法接入网设备。
本实施方式中,前述第一时间窗信息用于指示该终端设备接收第一认证请求响应的时间范围,其中,该第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元。
在重放攻击中,只要存在非法接入网设备和非法终端设备介入前述终端设备和合法接入网设备之间的通信,该终端设备和该合法接入网设备之间必定多引入两次空口传输的时延,导致该第一传输时间单元便不会位于该第一时间窗内。因此,采用这样的方案可以使该终端设备确定与该终端设备进行通信的接入网设备是否为合法的接入网设备,并且,可以确定该终端设备是否遭受重放攻击,进而可以保证合法终端设备与合法接入网设备之间的通信安全。
根据第一方面,本申请实施例第一方面的第一种实施方式中,该方法还包括:当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备向该接入网设备发送提示消息,该提示消息用于提示该接入网设备该第一传输时间单元位于该第一时间窗外;该终端设备在第二传输时间单元接收响应于该认证请求的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息指示的第二时间窗包括至少一个传输时间单元。
本实施方式中,提出当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备认证该接入网设备的一种解决方式。此时,该终端设备为了排除由于网络时延引入的误差导致该第一传输时间单元位于该第一时间窗外的情况,该终端设备将向该接入网设备发送提示消息,该提示消息用于向该接入网设备报告“第一传输时间单元位于该第一时间窗外”这一结果,若该接入网设备为合法接入网设备,该接入网设备会根据该指示消息的内容自主决策是否需要发送该认证请求对应的第二认证请求响应。若该终端设备能够在发送提示消息之后的某一时刻接收该第二认证请求响应,则该终端设备可以对该接入网设备进行进一步认证。从而可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
根据第一方面,本申请实施例第一方面的第二种实施方式中,该方法还包括:当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备向该接入网设备发送提示消息,该提示消息用于指示该接入网设备向该终端设备发送第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元;该终端设备在第二传输时间单元接收该响应于该认证请求的第二认证请求响应。
本实施方式中,提出当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备认证该接入网设备的另一种解决方式。此时,该终端设备也将向该接入网设备发送提示消息,但是,该提示消息用于指示该接入网设备向该终端设备发送第二认证请求响应,即由终端设备决策需要该接入网设备向该终端设备发送第二认证请求响应。若该终端设备能够在发送提示消息之后的某一时刻接收该第二认证请求响应,则该终端设备可以对该接入网设备进行进一步认证。从而可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
应当理解的是,本实施方式与前述第一方面的第一种实施方式相比,该终端设备均需要向该接入网设备发送提示消息,但是,前述第一方面的第一种实施方式中的提示消息和前述第一方面的第二种实施方式中的提示消息的内容不同。在实际应用中,终端设备可以根据具体的需求择使用。
根据第一方面的第一种实施方式或第一方面的第二种实施方式,本申请实施例第一方面的第三种实施方式中,该终端设备在第二传输时间单元接收响应于该认证请求的第二认证请求响应时,该方法还包括:该终端设备在第二传输时间单元获取该第二认证请求响应中的该第二时间窗信息;当该终端设备确定该第二传输时间单元位于该第二时间窗内时,该终端设备确定该接入网设备为合法接入网设备。
本实施方式中,该终端设备在第二传输时间单元接收响应于该认证请求的第二认证请求响应时,该终端设备还将在第二传输时间单元获取该第二认证请求响应中的该第二时间窗信息,即该终端设备在接收该第二认证请求响应时,该终端设备可以立即获取该第二认证请求响应中的第二时间窗信息并判断该第二传输时间单元是否位于该第二时间窗内。当该第二传输时间单元位于该第二时间窗内时,该终端设备确定该接入网设备为合法接入网设备。在这样的实施方式中,即使前述第一传输时间单元位于该第一时间窗外,但是,该第二传输时间单元位于该第二时间窗内,则说明该终端设备接收的第二认证请求响应是直接由合法接入网设备发送的,因此,该终端设备可以准确地确定前述接入网设备为合法接入网设备。
根据第一方面的第一种实施方式或第一方面的第二种实施方式,本申请实施例第一方面的第四种实施方式中,该方法还包括:当该终端设备发送该认证请求时,该终端设备启动认证定时器;当该认证定时器所指示的时长大于预设认证时长时,该终端设备确定该接入网设备为非法接入网设备。
本实施方式中,提出了当该第二传输时间单元位于第二时间窗外的解决方式。若该终端设备每次接收认证请求响应的时刻所对应的传输时间单元总是位于该认证请求响应中的时间窗信息所指示的时间窗外,而导致该终端设备一直处于循环认证的状态,该终端设备在发送认证请求时就启动认证定时器。该认证定时器用于记录该终端设备认证该接入网设备的时长。当该认证定时器所指示的时长大于预设认证时长时,即当该认证过程所经历的时长达到预设认证时长,则该终端设备确定该接入网设备为非法接入网设备。在该实施方式中,该终端设备还可以通过调整预设认证时长控制认证过程的时长,以使得本申请实施例所提出的方法可以适用于更多的应用场景。
根据第一方面的第一种实施方式或第一方面的第二种实施方式,本申请实施例第一方面的第五种实施方式中,该方法还包括:该终端设备记录累计认证时长,该累计认证时长为从该终端设备发送该认证请求到该终端设备接收响应于该认证请求的认证请求响应之间的时长,该认证请求响应包括第一认证请求响应或第二认证请求响应;当该累计认证时长大于预设认证时长时,该终端设备确定该接入网设备为非法接入网设备。
本实施方式中,该终端设备每接收一次认证请求响应,该终端设备便记录一次累计认证时长。于是,该终端设备可以计算出终端设备发送认证请求到终端设备接收认证请求响应之间的时长,或终端设备发送提示消息到终端设备接收认证请求响应之间的时长。因此,该终端设备不仅可以通过判断累计认证时长是否超过预设认证时长以确定该接入网设备是否为合法接入网设备,该终端设备还可以统计分析前述多次的累计认证时长以确定更合理的预设认证时长。
根据第一方面的第一种实施方式、第一方面的第二种实施方式、第一方面的第四种实施方式和第一方面的第五种实施方式中的任意一种实施方式,本申请实施例第一方面的第六种实施方式中,该方法还包括:该终端设备记录累计认证次数,该累计认证次数为该终端设备接收认证请求响应的时刻位于该认证请求响应对应的时间窗外的次数;当该累计认证次数大于预设认证次数时,该终端设备确定该接入网设备为非法接入网设备。
本实施方式中,该终端设备提出记录累计认证次数的方案。在该方案中,当该累计认证次数大于预设认证次数时,即当该终端设备接收认证请求响应的时刻位于该认证请求响应对应的时间窗外的次数大于预设认证次数时,该终端设备可以确定该接入网设备为非法接入网设备。
根据第一方面、第一方面的第一种实施方式至第一方面的第六种实施方式中的任意一种实施方式,本申请实施例第一方面的第七种实施方式中,该第一时间窗信息包括:该第一时间窗的第一起始点和该第一时间窗的第一终止点,该第一起始点用于指示该接入网设备确定的该终端设备最早接收该认证请求响应的时刻所在的传输时间单元,该第一终止点用于指示该接入网设备确定的该终端设备最晚接收该认证请求响应的时刻所在的传输时间单元。
本实施方式中,提出了一种表示第一时间窗的方式。由于该第一起始点和该第一终止点均为绝对传输时间单元,而非相对计量单元,因此,前述第一起始点和第一终止点可以确定一个确切的时间范围。
根据第一方面、第一方面的第一种实施方式至第一方面的第六种实施方式中的任意一种实施方式,本申请实施例第一方面的第八种实施方式中,该第一时间窗信息包括:该第一时间窗的第一起始点和该第一时间窗的第一建议时长,该第一起始点用于指示该接入网设备确定的该终端设备最早接收该认证请求响应的时刻所在的传输时间单元,该第一建议时长用于指示该第一时间窗的长度。
本实施方式中,提出了另一种表示第一时间窗的方式。本实施方式中,虽然,该第一建议时长为相对量。但是,由于该第一起始点为绝对传输时间单元,该第一建议时长的左端点为该第一起始点,因此,前述第一起始点和第一建议时长可以确定一个确切的时间范围。
根据第一方面、第一方面的第一种实施方式至第一方面的第八种实施方式中的任意一种实施方式,本申请实施例第一方面的第九种实施方式中,该认证请求包括第三时间窗信息,该第三时间窗信息用于指示该接入网设备确定该第一时间窗信息或该第二时间窗信息的参考范围。
本实施方式中,前述终端设备发送给该接入网设备中可以包含第三时间窗信息,该第三时间窗信息用于指示该接入网设备确定该第一时间窗信息或该第二时间窗信息的参考范围,即该接入网设备可以参考该第三时间窗信息确定该第一时间窗信息或第二时间窗信息。
根据第一方面的第九种实施方式中,本申请实施例第一方面的第十种实施方式中,该终端设备向接入网设备发送认证请求之前,该方法还包括:终端设备接收接入网设备发送的系统消息,该系统消息包括第四建议时长;该终端设备根据该第四建议时长确定该第三时间窗信息。
本实施方式中,该终端设备可以接收接入网设备发送的系统消息,该系统消息中包含确定该第三时间窗信息的第四建议时长。此时,该接入网设备可以通过配置该第四建议时长影响该终端设备确定第三时间窗信息。该终端设备可以根据实际网络情况确定该第三时间窗信息。
根据第一方面的第九种实施方式或第一方面的第十种实施方式中,本申请实施例第一方面的第十一种实施方式中,该第三时间窗信息包括:该第三时间窗的第三起始点和该第三时间窗的第三终止点,该第三起始点用于指示该终端设备发送该认证请求的时刻所在的传输时间单元,该第三终止点用于指示该终端设备确定的该接入网设备最晚接收该认证请求的时刻所在的传输时间单元。
本实施方式中,提出了一种表示第三时间窗的方式。与前述第一时间窗信息类似,由于该第三起始点和该第三终止点均为绝对传输时间单元,而非相对计量单元,因此,前述第三起始点和第三终止点可以确定一个确切的时间范围。应当注意的是,本实施方式中,该第三起始点为该终端发送该认证请求的时刻所在的传输时间单元。
根据第一方面的第九种实施方式或第一方面的第十种实施方式中,本申请实施例第一方面的第十二种实施方式中,该第三时间窗信息包括:该第三时间窗的第三起始点和该第三时间窗的第三建议时长,该第三起始点用于指示该终端设备发送该认证请求的时刻所在的传输时间单元,该第三建议时长用于指示该第三时间窗的长度。
本实施方式中,提出了另一种表示第三时间窗的方式。本实施方式中,虽然,该第三建议时长为相对量。但是,由于该第三起始点为绝对传输时间单元,该第三建议时长的左端点为该第三起始点,因此,前述第三起始点和第三建议时长可以确定一个确切的时间范围。
根据第一方面的第九种实施方式或第一方面的第十种实施方式中,本申请实施例第一方面的第十三种实施方式中,该第三时间窗信息包括:该第三时间窗的第三起始点和该第三时间窗的第三终止点,该第三起始点用于指示该终端设备确定的该接入网设备发送该认证请求响应的时刻所在的传输时间单元,该第三终止点用于指示该终端设备确定的最晚接收该认证请求响应的时刻所在的传输时间单元。
本实施方式中,提出了另一种表示第三时间窗的方式。与前述第一时间窗信息类似,由于该第三起始点和该第三终止点均为绝对传输时间单元,而非相对计量单元,因此,前述第三起始点和第三终止点可以确定一个确切的时间范围。应当注意的是,本实施方式中,该第三起始点用于指示该终端设备确定的该接入网设备发送第一认证请求响应的时刻所在的传输时间单元,即该终端设备对该终端设备与该接入网设备之间的数据传输进行预估。于是,该接入网设备可以根据该接入网设备接收该认证请求的时刻所在的传输时间单元是否位于该第三时间窗信息指示的第三时间窗内,判断该终端设备是否为合法的终端设备。
根据第一方面的第九种实施方式或第一方面的第十种实施方式中,本申请实施例第一方面的第十四种实施方式中,该第三时间窗信息包括:该第三时间窗的第三起始点和该第三时间窗的第三建议时长,该第三起始点用于指示该终端设备确定的该接入网设备发送该认证请求响应的时刻所在的传输时间单元,该第三建议时长用于指示该第三时间窗的长度。
本实施方式中,提出该第三建议时长由第三起始点和第三建议时长组成,其中,该第三起始点为绝对传输时间单元,该第三建议时长为相对量,因此可以确定一个确切的时间范围。此外,与前述第一方面的第十四种实施方式类似,该第三起始点用于指示该终端设备确定的该接入网设备发送第一认证请求响应的时刻所在的传输时间单元,即该终端设备对该终端设备与该接入网设备之间的数据传输进行预估。于是,该接入网设备可以根据该接入网设备接收该认证请求的时刻所在的传输时间单元是否位于该第三时间窗信息指示的第三时间窗内,判断该终端设备是否为合法的终端设备。
第二方面,本申请实施例提供了一种认证接入网设备的方法,在该方法中,接入网设备接收终端设备发送的认证请求;该接入网设备向该终端设备发送该认证请求对应的第一认证请求响应,其中,该第一认证请求响应中包含第一时间窗信息,该第一时间窗信息用于指示该终端设备接收该第一认证请求响应的时间范围,该第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元。
在重放攻击中,无论非法接入网设备是否修改该第一认证请求响应,只要存在非法接入网设备和非法终端设备介入前述终端设备和合法接入网设备之间的通信,该终端设备和该合法接入网设备之间必定多引入两次空口传输的时延,导致该第一传输时间单元便不会位于该第一时间窗内。因此,采用这样的方案可以使该终端设备确定与该终端设备进行通信的接入网设备是否为合法的接入网设备,并且,可以确定该终端设备是否遭受重放攻击,进而可以保证合法终端设备与合法接入网设备之间的通信安全。
根据第二方面,本申请实施例第二方面的第一种实施方式中,该接入网设备向所终端设备发送该认证请求对应的第一认证请求响应之后,该方法还包括:该接入网设备接收该终端设备发送的提示消息,该提示消息用于提示该接入网设备该第一传输时间单元位于该第一时间窗外;该接入网设备向该终端设备发送该认证请求对应的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元。
本实施方式中,该接入网设备根据终端设备发送的指示消息中关于“第一传输时间单元位于该第一时间窗外”这一结果,决策是否需要发送该认证请求对应的第二认证请求响应。此时,该接入网设备可以向该终端设备发送第二认证请求响应,该第二认证请求响应中包含第二时间窗信息。这样的实施方式可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
根据第二方面,本申请实施例第二方面的第二种实施方式中,该方法还包括:该接入网设备接收该终端设备发送的提示消息,该提示消息用于指示该接入网设备向该终端设备发送该认证请求对应的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元;该接入网设备向该终端设备发送该第二认证请求响应。
本实施方式中,该接入网设备在接收到该终端设备发送的提示消息之后,该接入网设备也将向该终端设备发送第二认证请求响应。但是,与前述第二方面的第一种实施方式不同的是,前述提示消息中指示的是“第一传输时间单元位于该第一时间窗外”这一结果,本实施方式中的提示消息指示的是终端设备要求接入网设备向该终端设备发送第二认证请响应。但是,这样的实施方式也可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
根据第二方面、第二方面的第一种实施方式或第二方面的第二种实施方式,本申请实施例第二方面的第三种实施方式中,该认证请求包括第三时间窗信息,该第三时间窗信息用于指示该接入网设备确定该第一时间窗信息或该第二时间窗信息的参考范围;该接入网设备接收终端设备发送的认证请求之后,该接入网设备向所终端设备发送该认证请求对应的第一认证请求响应之前,该方法还包括:该接入网设备根据该第三时间窗信息确定该第一时间窗信息。
本实施方式中,提出了另一种确定第一时间窗信息的方式。在本实施方式中,该接入网设备可以参考该认证请求中的第三时间窗信息确定该第一时间窗信息,因此,该接入网设备确定的第一时间窗信息将更加准确,进而可以提高该终端设备认证接入网设备的准确率。
根据第二方面、第二方面的第一种实施方式至第二方面的第三种实施方式,本申请实施例第二方面的第四种实施方式中,该第一时间窗信息包括:该第一时间窗的第一起始点和该第一时间窗的第一终止点,该第一起始点用于指示该接入网设备确定的该终端设备最早接收该认证请求响应的时刻所在的传输时间单元,该第一终止点用于指示该接入网设备确定的该终端设备最晚接收该认证请求响应的时刻所在的传输时间单元。
本实施方式中,提出了一种表示第一时间窗的方式。由于该第一起始点和该第一终止点均为绝对传输时间单元,而非相对计量单元,因此,前述第一起始点和第一终止点可以确定一个确切的时间范围。
根据第二方面、第二方面的第一种实施方式至第二方面的第三种实施方式,本申请实施例第二方面的第五种实施方式中,该第一时间窗信息包括:该第一时间窗的第一起始点和该第一时间窗的第一建议时长,该第一起始点用于指示该接入网设备确定的该终端设备最早接收该认证请求响应的时刻所在的传输时间单元,该第一建议时长用于指示该第一时间窗的长度。
本实施方式中,提出了另一种表示第一时间窗的方式。本实施方式中,虽然,该第一建议时长为相对量。但是,由于该第一起始点为绝对传输时间单元,该第一建议时长的左端点为该第一起始点,因此,前述第一起始点和第一建议时长可以确定一个确切的时间范围。
第三方面,本申请实施例提供了一种通信设备,该通信设备包括:
收发模块,用于向接入网设备发送认证请求。该收发模块,还用于在第一传输时间单元接收响应于该认证请求的第一认证请求响应。处理模块,用于获取该第一认证请求响应中的第一时间窗信息,该第一时间窗信息用于指示该终端设备接收该第一认证请求响应的时间范围,该第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元。该处理模块,还用于当该终端设备确定该第一传输时间单元位于该第一时间窗内时,确定该接入网设备为合法接入网设备。
本实施方式中,前述第一时间窗信息用于指示该终端设备接收第一认证请求响应的时间范围,其中,该第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元。
在重放攻击中,无论非法接入网设备是否修改该第一认证请求响应,只要存在非法接入网设备和非法终端设备介入前述终端设备和合法接入网设备之间的通信,该终端设备和该合法接入网设备之间必定多引入两次空口传输的时延,导致该第一传输时间单元便不会位于该第一时间窗内。因此,采用这样的方案可以使该终端设备确定与该终端设备进行通信的接入网设备是否为合法的接入网设备,并且,可以确定该终端设备是否遭受重放攻击,进而可以保证合法终端设备与合法接入网设备之间的通信安全。
根据第三方面,本申请实施例第三方面的第一种实施方式中,
该处理模块,还用于当该终端设备确定该第一传输时间单元位于该第一时间窗外时,控制该收发模块向该接入网设备发送提示消息,该提示消息用于提示该接入网设备该第一传输时间单元位于该第一时间窗外;
该收发模块,还用于在第二传输时间单元接收响应于该认证请求的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元。
本实施方式中,提出当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备认证该接入网设备的一种解决方式。此时,该终端设备为了排除由于网络时延引入的误差导致该第一传输时间单元位于该第一时间窗外的情况,该终端设备将向该接入网设备发送提示消息,该提示消息用于向该接入网设备报告“第一传输时间单元位于该第一时间窗外”这一结果,若该接入网设备为合法接入网设备,该接入网设备会根据该指示消息的内容自主决策是否需要发送该认证请求对应的第二认证请求响应。若该终端设备能够在发送提示消息之后的某一时刻接收该第二认证请求响应,则该终端设备可以对该接入网设备进行进一步认证。从而可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
根据第三方面,本申请实施例第三方面的第二种实施方式中,
该处理模块,还用于当该终端设备确定该第一传输时间单元位于该第一时间窗外时,控制该收发模块向该接入网设备发送提示消息,该提示消息用于指示该接入网设备向该终端设备发送第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元;该收发模块,还用于在第二传输时间单元接收该响应于该认证请求的第二认证请求响应。
本实施方式中,提出当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备认证该接入网设备的另一种解决方式。此时,该终端设备也将向该接入网设备发送提示消息,但是,该提示消息用于指示该接入网设备向该终端设备发送第二认证请求响应,即由终端设备决策需要该接入网设备向该终端设备发送第二认证请求响应。若该终端设备能够在发送提示消息之后的某一时刻接收该第二认证请求响应,则该终端设备可以对该接入网设备进行进一步认证。从而可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
应当理解的是,本实施方式与前述第三方面的第一种实施方式相比,该终端设备均需要向该接入网设备发送提示消息,但是,前述第三方面的第一种实施方式中的提示消息和前述第三方面的第二种实施方式中的提示消息的内容不同。在实际应用中,终端设备可以根据具体的需求择使用。
根据第三方面的第一种实施方式或第三方面的第二种实施方式,本申请实施例第三方面的第三种实施方式中,该处理模块,还用于:在第二传输时间单元获取该第二认证请求响应中的该第二时间窗信息;当该终端设备确定该第二传输时间单元位于该第二时间窗内时,确定该接入网设备为合法接入网设备。
本实施方式中,该终端设备在第二传输时间单元接收响应于该认证请求的第二认证请求响应时,该终端设备还将在第二传输时间单元获取该第二认证请求响应中的该第二时间窗信息,即该终端设备在接收该第二认证请求响应时,该终端设备可以立即获取该第二认证请求响应中的第二时间窗信息并判断该第二传输时间单元是否位于该第二时间窗内。当该第二传输时间单元位于该第二时间窗内时,该终端设备确定该接入网设备为合法接入网设备。在这样的实施方式中,即使前述第一传输时间单元位于该第一时间窗外,但是,该第二传输时间单元位于该第二时间窗内,则说明该终端设备接收的第二认证请求响应是直接由合法接入网设备发送的,因此,该终端设备可以准确地确定前述接入网设备为合法接入网设备。
根据第三方面的第一种实施方式或第三方面的第二种实施方式,本申请实施例第三方面的第四种实施方式中,该处理模块,还用于:当该终端设备发送该认证请求时,启动认证定时器;当该认证定时器所指示的时长大于预设认证时长时,确定该接入网设备为非法接入网设备。
本实施方式中,提出了当该第二传输时间单元位于第二时间窗外的解决方式。若该终端设备每次接收认证请求响应的时刻所对应的传输时间单元总是位于该认证请求响应中的时间窗信息所指示的时间窗外,而导致该终端设备一直处于循环认证的状态,该终端设备在发送认证请求时就启动认证定时器。该认证定时器用于记录该终端设备认证该接入网设备的时长。当该认证定时器所指示的时长大于预设认证时长时,即当该认证过程所经历的时长达到预设认证时长,则该终端设备确定该接入网设备为非法接入网设备。在该实施方式中,该终端设备还可以通过调整预设认证时长控制认证过程的时长,以使得本申请实施例所提出的方法可以适用于更多的应用场景。
根据第三方面的第一种实施方式或第三方面的第二种实施方式,本申请实施例第三方面的第五种实施方式中,该处理模块,还用于:记录累计认证时长,该累计认证时长为从该终端设备发送该认证请求到该终端设备接收响应于该认证请求的认证请求响应之间的时长,该认证请求响应包括第一认证请求响应或第二认证请求响应;当该累计认证时长大于预设认证时长时,确定该接入网设备为非法接入网设备。
本实施方式中,该终端设备每接收一次认证请求响应,该终端设备便记录一次累计认证时长。于是,该终端设备可以计算出终端设备发送认证请求到终端设备接收认证请求响应之间的时长,或终端设备发送提示消息到终端设备接收认证请求响应之间的时长。因此,该终端设备不仅可以通过判断累计认证时长是否超过预设认证时长以确定该接入网设备是否为合法接入网设备,该终端设备还可以统计分析前述多次的累计认证时长以确定更合理的预设认证时长。
根据第三方面的第一种实施方式、第三方面的第二种实施方式、第三方面的第四种实施方式和第三方面的第五种实施方式中的任意一种实施方式,本申请实施例第三方面的第六种实施方式中,该处理模块,还用于:记录累计认证次数,该累计认证次数为该终端设备接收认证请求响应的时刻位于该认证请求响应对应的时间窗外的次数;当该累计认证次数大于预设认证次数时,确定该接入网设备为非法接入网设备。
本实施方式中,该终端设备提出记录累计认证次数的方案。在该方案中,当该累计认证次数大于预设认证次数时,即当该终端设备接收认证请求响应的时刻位于该认证请求响应对应的时间窗外的次数大于预设认证次数时,该终端设备可以确定该接入网设备为非法接入网设备。
第四方面,本申请实施例提供了一种认证接入网设备的方法,在该方法中,收发模块,用于接收终端设备发送的认证请求;该收发模块,还用于向该终端设备发送该认证请求对应的第一认证请求响应,其中,该第一认证请求响应中包含第一时间窗信息,该第一时间窗信息用于指示该终端设备接收该第一认证请求响应的时间范围,该第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元。
在重放攻击中,无论非法接入网设备是否修改该第一认证请求响应,只要存在非法接入网设备和非法终端设备介入前述终端设备和合法接入网设备之间的通信,该终端设备和该合法接入网设备之间必定多引入两次空口传输的时延,导致该第一传输时间单元便不会位于该第一时间窗内。因此,采用这样的方案可以使该终端设备确定与该终端设备进行通信的接入网设备是否为合法的接入网设备,并且,可以确定该终端设备是否遭受重放攻击,进而可以保证合法终端设备与合法接入网设备之间的通信安全。
根据第四方面,本申请实施例第四方面的第一种实施方式中,该收发模块,还用于接收该终端设备发送的提示消息,该提示消息用于提示该接入网设备该第一传输时间单元位于该第一时间窗外。该收发模块,还用于向该终端设备发送该认证请求对应的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元。
本实施方式中,该接入网设备根据终端设备发送的指示消息中关于“第一传输时间单元位于该第一时间窗外”这一结果,决策是否需要发送该认证请求对应的第二认证请求响应。此时,该接入网设备可以向该终端设备发送第二认证请求响应,该第二认证请求响应中包含第二时间窗信息。这样的实施方式可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
根据第四方面,本申请实施例第四方面的第二种实施方式中,该收发模块,还用于接收该终端设备发送的提示消息,该提示消息用于指示该接入网设备向该终端设备发送该认证请求对应的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元;该收发模块,还用于向该终端设备发送该第二认证请求响应。
本实施方式中,该接入网设备在接收到该终端设备发送的提示消息之后,该接入网设备也将向该终端设备发送第二认证请求响应。但是,与前述第四方面的第一种实施方式不同的是,前述提示消息中指示的是“第一传输时间单元位于该第一时间窗外”这一结果,本实施方式中的提示消息指示的是终端设备要求接入网设备向该终端设备发送第二认证请响应。但是,这样的实施方式也可以避免由于网络时延等偶然因素导致该终端设备将合法接入网设备误认为是非法接入网设备。
根据第四方面、第四方面的第一种实施方式或第四方面的第二种实施方式,本申请实施例第四方面的第三种实施方式中,该认证请求包括第三时间窗信息,该第三时间窗信息用于指示该接入网设备确定该第一时间窗信息或该第二时间窗信息的参考范围;该通信设备还包括处理模块,用于根据该第三时间窗信息确定该第一时间窗信息。
本实施方式中,提出了另一种确定第一时间窗信息的方式。在本实施方式中,该接入网设备可以参考该认证请求中的第三时间窗信息确定该第一时间窗信息,因此,该接入网设备确定的第一时间窗信息将更加准确,进而可以提高该终端设备认证接入网设备的准确率。
第五方面,本申请实施例提供了一种通信设备,该通信设备可以是终端设备,也可以是终端设备内的芯片。该通信设备可以包括处理模块和收发模块。当该通信设备是终端设备时,该处理模块可以是处理器,该收发模块可以是收发器;该网络设备还可以包括存储模块,该存储模块可以是存储器;该存储模块用于存储指令,该处理模块执行该存储模块所存储的指令,以使该终端设备执行第一方面或第一方面的任一种实施方式中的方法。当该通信设备是终端设备内的芯片时,该处理模块可以是处理器,该收发模块可以是输入/输出接口、管脚或电路等;该处理模块执行存储模块所存储的指令,以使该终端设备执行第一方面或第一方面的任一种实施方式中的方法,该存储模块可以是该芯片内的存储模块(例如,寄存器、缓存等),也可以是该终端设备内的位于该芯片外部的存储模块(例如,只读存储器、随机存取存储器等)。
第六方面,本申请实施例提供了一种通信设备,该通信设备可以是接入网设备,也可以是接入网设备内的芯片。该通信设备可以包括处理模块和收发模块。当该通信设备是接入网设备时,该处理模块可以是处理器,该收发模块可以是收发器;该接入网设备还可以包括存储模块,该存储模块可以是存储器;该存储模块用于存储指令,该处理模块执行该存储模块所存储的指令,以使该接入网设备执行第二方面或第二方面的任一种实施方式中的方法。当该通信设备是接入网设备内的芯片时,该处理模块可以是处理器,该收发模块可以是输入/输出接口、管脚或电路等;该处理模块执行存储模块所存储的指令,以使该接入网设备执行第二方面或第二方面的任一种实施方式中的方法,该存储模块可以是该芯片内的存储模块(例如,寄存器、缓存等),也可以是该接入网设备内的位于该芯片外部的存储模块(例如,只读存储器、随机存取存储器等)。
第七方面,本申请实施例提供了一种通信系统,包括:如第三方面或第三方面的任一种实施方式中的终端设备,如第四方面或第四方面的任一种实施方式中的接入网设备;或者,如第五方面的终端设备,如第六方面的接入网设备。
第八方面,本申请提供了一种通信装置,该装置可以是集成电路芯片,用于实现前述终端设备的功能。
第九方面,本申请提供了一种通信装置,该装置可以是集成电路芯片,用于实现前述接入网设备的功能。
第十方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得该计算机执行如前述第一方面以及第一方面中任意一种实施方式、或第二方面以及第二方面中任意一种实施方式所介绍的方法。
第十一方面,本申请实施例提供了一种计算机可读存储介质,包括指令,当该指令在计算机上运行时,以使得计算机执行如前述第一方面以及第一方面中任意一种实施方式或第二方面以及第二方面中任意一种实施方式所介绍的方法。
由于,在遭受重放攻击时,终端设备和接入网设备之间将多引入两次空口传输,因此,该终端设备将延迟接收到该接入网设备发送的消息。在本申请实施例中,由于,该接入网设备可以通过该第一认证请求响应指示该终端设备接收该第一认证请求响应的时间范围,即未遭受重放攻击时该终端设备接收该第一认证请求响应的时间范围。因此,若该终端设备接收该第一认证请求响应的第一传输时间单元位于该时间范围内,即该第一传输时间单元应当落入第一时间窗内,则可以确定与该终端设备进行通信的接入网设备为合法接入网设备,于是,该终端设备可以确定该终端设备未遭受重放攻击。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例。
图1为本申请实施例中重放攻击场景示意图;
图2A为本申请实施例中认证接入网设备的方法的一个流程图;
图2B为本申请实施例中认证接入网设备的方法的另一个流程图;
图2C为本申请实施例中认证接入网设备的方法的另一个流程图;
图3A为本申请实施例中认证接入网设备的方法中的第一时间窗的一个实施例示意图;
图3B为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图3C为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图3D为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图3E为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图4A为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图4B为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图4C为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图4D为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图4E为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图4F为本申请实施例中认证接入网设备的方法中的第一时间窗的另一个实施例示意图;
图5为本申请实施例中通信设备的一个实施例示意图;
图6为本申请实施例中通信设备的另一个实施例示意图;
图7为本申请实施例中通信装置的一个实施例示意图;
图8为本申请实施例中通信装置的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种认证接入网设备的方法以及相关设备,用于使终端设备准确地确定接入网设备是否为非法接入网设备。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面先对本申请实施例所提出的认证接入网设备的方法的系统架构和应用场景进行介绍:
本申请实施例提出的方案主要应用于采用无线帧结构进行时间同步的系统架构,例如,基于长期演进(long term evolution,LTE)的无线帧结构同步系统,或基于新空口技术(new radio,NR)的无线帧结构同步系统,也可以基于后续演进接入制式的无线帧结构同步系统,具体此处不做限定。
基于上述系统架构,本申请实施例所适应的应用场景如图1所示,该应用场景中,包括:合法终端设备101、合法接入网设备102、非法终端设备111和非法接入网设备112。其中,该非法接入网设备112可以是非法基站或其他的冒充基站的收发装置,该非法接入网设备112可以通过发射高质量且高功率的无线信号吸引合法终端设备101驻留或接入。当该合法终端设备101驻留或接入后,该合法终端设备101发送给该合法接入网设备102的上行消息将会被该非法接入网设备112拦截。此时,该非法接入网设备112可以将该上行消息转发给该非法终端设备111,再由该非法终端设备111将该上行消息发送给该合法接入网设备102。此时,由于该合法接入网设备102在接收该上行消息时无法察觉异常,该合法接入网设备102将响应于该上行消息并向该合法终端设备101发送下行消息。此时,该非法终端设备111将接收该下行消息并转发给非法接入网设备112,然后,该非法接入网设备112将该下行消息发送给该合法终端设备101。在此过程中,该非法接入网设备112和该非法终端设备111的结合可以在窃取该合法终端设备101和该合法接入网设备102之间交互的信息的同时,不被该合法终端设备101和该合法接入网设备102察觉,因此,将导致该合法终端设备101和该合法接入网设备102之间的信息交互存在安全隐患。
本申请实施例所提出的方法可以应用于前述场景,以使得该合法终端设备101确定与该合法终端设备101进行空口数据交互的接入网设备是否为合法接入网设备102,进而确定该合法终端设备101与该合法接入网设备102之间是否存在重放攻击,进而保证通信过程的信息安全。
本申请实施例中,前述合法终端设备101,包括向用户提供语音和/或数据连通性的设备,例如,可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该合法终端设备101可以经无线接入网(radio access network,RAN)与核心网进行通信,与RAN交换语音和/或数据。该终端设备可以包括用户设备(user equipment,UE)、无线终端设备、移动终端设备、用户单元(subscriber unit)、用户站(subscriber station),移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(accesspoint,AP)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、或用户装备(user device)等。例如,可以包括移动电话(或称为“蜂窝”电话),具有移动终端设备的计算机,便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,智能穿戴式设备等。例如,个人通信业务(personalcommunication service,PCS)电话、无绳电话、会话发起协议(session initiationprotocol,SIP)话机、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、等设备。还包括受限设备,例如功耗较低的设备,或存储能力有限的设备,或计算能力有限的设备等。此外,若在基于5G的车联网(vehicle toeverything,V2X)系统中,该合法终端设备101也可以为车载终端,除此之外,该合法终端设备101还可以为穿戴设备,例如眼镜、手套、手表、服饰及鞋,或者其他的可以直接穿在身上或是整合到用户的衣服或配件的一种便携式设备,具体本申请不做限定。
应当理解的是,本申请实施例中的合法终端设备101可以是上述任意一种设备或芯片,具体此处不做限定。无论作为设备还是作为芯片,该合法终端设备101都可以作为独立的产品进行制造、销售或者使用。在本实施例以及后续实施例中,仅以终端设备为例进行介绍。
此外,前述合法接入网设备102,可以是无线接入网络(radio access network,RAN)设备,例如,基站或接入点;也可以是指接入网中在空中接口上通过一个或多个小区与无线终端设备通信的设备。该合法接入网设备102可用于将收到的空中帧与网际协议(internet protocol,IP)分组进行相互转换,作为终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括IP网络。合法接入网设备102还可协调对空中接口的属性管理。例如,合法接入网设备102可以包括长期演进LTE系统或演进的LTE系统(long termevolution advanced,LTE-A)中的演进型基站(evolutional node B,NodeB或eNB或e-NodeB),新无线(new radio,NR)系统中的下一代节点B(next generation node B,gNB)或者也可以包括云接入网(Cloud RAN)系统中的集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU),本申请实施例并不限定。
应当理解的是,本申请实施例中的合法接入网设备102可以是上述任意一种设备或芯片,具体此处不做限定。无论作为设备还是作为芯片,该合法接入网设备102都可以作为独立的产品进行制造、销售或者使用。在本实施例以及后续实施例中,仅以接入网设备为例进行介绍。
为便于理解,下面以前述系统架构和应用场景为基础,对该认证接入网设备的方法的流程进行介绍,具体如图2A、图2B和图2C所示,包括如下步骤:
201、终端设备向接入网设备发送认证请求。
本实施例中,当终端设备接入网络之后,终端设备向接入网设备发送认证请求。具体地,该终端设备可以在该终端设备发起随机接入程序之后,触发向接入网设备发送认证请求的操作;该终端设备也可以在切换至某个接入网设备之后,触发向接入网设备发送认证请求的操作;此外,该终端设备还可以在增加辅助载波之后,触发向接入网设备发送认证请求的操作,具体此处不做限定。
可选的,当该终端设备发送该认证请求时,该终端设备启动认证定时器,该认证定时器用于记录该终端设备认证该接入网设备所经历的时长。应当理解的是,当该认证定时器满足停止条件时,该认证定时器将停止计时。具体地,该停止条件可以为该终端设备确定该接入网设备为合法接入网设备,或者,该认证定时器所记录的累计认证时长达到预设时长。其中,该预设时长可以根据具体的应用场景进行设置,并且,预设时长的大小可以影响该终端设备认证该接入网设备的精度以及容错率等,以满足不同场景下的认证要求。
202、该终端设备在第一传输时间单元接收响应于该认证请求的第一认证请求响应。
本实施例中,若该接入网设备接收了该终端设备发送的认证请求,该接入网设备将向该终端设备发送响应于该认证请求的第一认证请求响应。于是,该终端设备可以接收响应于该认证请求的第一认证请求响应。但是,该终端设备还无法确认前述第一认证请求响应是否为经非法接入网设备拦截并复制重发的第一认证请求响应。
此外,该传输时间单元在不同的网络架构中有不同的含义。例如,在新空口NR中,该传输时间单元可以为slot,也可以为mini-slot。其中,slot为NR中的空口普通传输时间单元,基于不同的网络配置,该slot的长度可以为1ms、0.5ms、0.25ms或0.125ms;此外,该mini-slot为NR中的空口短传输时间单元,该mini-slot是slot的一部分。除此之外,在长期演进LTE中,该传输时间单元可以为传输时间间隔(transmission time interval,TTI)或短传输时间间隔(short transmission time interval,short TTI),其中,该TTI指在无线链路中的一个独立解码传输的长度。在第三代合作伙伴计划(3rd generationpartnership project,3GPP)中的LTE与LTE-A的标准中,1个TTI为1ms,即一个子帧的大小。在后续演进制式中,该传输时间单元还可以由其他的时长或符号表示,具体此处不做限定。
下面以NR的网络架构为基础介绍该传输时间单元。在该网络架构下,时域资源包括:系统帧(frame)、子帧(subframe)、时隙(slot)以及符号(symbol)。
其中,系统帧的长度为10ms,系统帧号(system frame number,SFN)范围为0~1023,因此,一个SFN的周期为1024×10ms=10240ms=10.24秒。子帧的长度为1ms,子帧号范围为0~9。具体地,每个子帧分2个半子帧,其中,第一个半子帧包含子帧0~4,第二个半子帧包含子帧5~9。此外,每个子帧由若干个时隙组成。一个slot包含14个正交频分复用(orthogonal frequency division multiplexing,OFDM)符号,1个slot内符号范围为0~13。
应当理解的是,每个系统帧包含的slot的个数存在差异,以及每个子帧包含的slot的个数存在差异。具体如表1-1所示,其中,
为每个slot包含的符号数,
为每个无线帧包含的slot数,
为每个子帧包含的slot数,此处不再赘述。
表1-1
应当理解的是,若该终端设备在较长时长内均未收到前述第一认证请求响应,则该终端设备可以触发另一个认证请求,或者该终端设备确定该第一认证请求响应被非法接入网设备拦截。
203、该终端设备在第一传输时间单元获取该第一认证请求响应中的第一时间窗信息。
本实施例中,该终端设备接收了该第一认证请求响应之后,该终端设备需要对该第一认证请求响应进行解码,以获取该第一认证请求响应中的第一时间窗信息。由于,正常的解码时间极短,因此,若该终端设备能够正常解码,则可以视为该终端设备在接收该第一认证请求响应的同一传输时间单元内即可获取该第一时间窗信息,即该终端设备可以在该第一传输时间单元内获取该第一时间窗信息。
在实际应用中,由于终端设备的业务繁忙或者其他因素,该终端设备可能在接收该第一认证请求响应的第一传输时间单元之后解码该第一认证请求响应,具体此处不做限定。无论该终端设备在何时解码该第一认证请求响应,该终端设备在成功解码该第一认证请求响应之后,该终端设备可以获取该第一认证请求响应中的第一时间窗信息。
本实施例中,该第一时间窗信息用于指示该终端设备接收该第一认证请求响应的时间范围,即当该终端设备未遭受重放攻击且该接入网设备为合法接入网设备时,该终端设备应当接收该第一认证请求响应的时间范围。因此,若该终端设备接收该第一认证请求响应的时刻正好位于该第一时间窗信息所指示的第一时间窗内,则该终端设备可以确定该接入网设备为合法接入网设备。
应当注意的是,该第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元。在实际应用中,可以根据用户对安全的需求程度对该第一时间窗内包含的传输时间单元的个数进行调整。例如,当用户对通信安全要求较高时,可以设置该第一时间窗仅包含某一个传输时间单元;当网络质量不佳或引入网络时延时,可以设置该第一时间窗包含两个或多个传输时间单元,具体此处不做限定。此外,还应理解的是,该第一时间窗中包含的传输时间单元的个数可以由接入网设备进行设置,具体此处不做限定。
本实施例中,该第一时间窗信息可以采用如下表示方式指示该第一时间窗:
在一种可行的实施方式中,该第一时间窗信息包括:该第一时间窗的第一起始点和该第一时间窗的第一终止点。其中,该第一起始点用于指示该接入网设备确定的该终端设备最早接收该第一认证请求响应的时刻所在的传输时间单元,即终端设备未遭受重放攻击且不存在明显的网络时延时,该终端设备应当接收该第一认证请求响应的时刻所在的传输时间单元。一般地,第一起始点可以为该接入网设备发送该第一认证请求响应的时刻所在的传输时间单元。该第一终止点用于指示该接入网设备确定的该终端设备最晚接收该第一认证请求响应的时刻所在的传输时间单元,即接入网设备在考虑网络时延之后允许终端设备最晚接收该第一认证请求响应的时刻所在的传输时间单元。一般地,该接入网设备可以根据网络的拥塞情况或者认证的精度需求调整该第一终止点,以适应不同应用场景的需求。
应当理解的是,由于已知两点可以确定这两点之间的时间段,因此,前述第一起始点和前述第一终止点可以确定一个确切的时间范围。为便于理解,以图3A为例进行介绍,其中,该第一时间窗信息包含第一起始点a1和第一终止点b1,具体地,该第一时间窗信息可以表示为“{a1;b1}”。于是,可以确定该第一时间窗为从a1到b1的一段时间范围,该第一时间窗信息指示的第一时间窗为[a1,b1]。进一步地,以该传输时间单元为某一个周期中的某一个SFN中的某一个时隙为例进行介绍。该第一时间窗信息可以为“{第1个周期,空口SFN符号为1,空口slot符号为1;第1个周期,空口SFN符号为1,空口slot符号为6}”,此时,该第一时间窗信息指示的第一时间窗如图3B所示,该第一时间窗信息指示的第一时间窗为[(第1个周期,空口SFN符号为1,空口slot符号为1),(第1个周期,空口SFN符号为1,空口slot符号为6)]。该第一时间窗包含6个slot,分别为“第1个周期,空口SFN符号为1,空口slot符号为1”,“第1个周期,空口SFN符号为1,空口slot符号为2”,“第1个周期,空口SFN符号为1,空口slot符号为3”,“第1个周期,空口SFN符号为1,空口slot符号为4”,“第1个周期,空口SFN符号为1,空口slot符号为5”,“第1个周期,空口SFN符号为1,空口slot符号为6”。因此,该第一传输时间单元,即成功接收该第一认证请求响应并解码该第一认证请求响应的slot,可以是前述6个slot中的任意一个slot。当该第一传输时间单元为前述6个slot中的任意一个slot时,该终端设备可以确定该接入网设备为合法接入网设备。
在另一种可行的实施方式中,该第一时间窗信息包括:该第一时间窗的第一起始点和该第一时间窗的第一建议时长,该第一起始点用于指示该接入网设备确定的该终端设备最早接收该认证请求响应的时刻所在的传输时间单元,即终端设备未遭受重放攻击且不存在明显的网络时延时,该终端设备应当接收该认证请求响应的时刻所在的传输时间单元。与前述实施方式类似,第一起始点可以为该接入网设备发送该第一认证请求响应的时刻所在的传输时间单元。该第一建议时长用于指示该第一时间窗的长度,该第一时间窗的长度可以由该接入网设备根据网络拥塞情况进行调整,具体此处不做限定。
应当理解的是,该第一建议时长为相对量。但是,由于该第一起始点为绝对传输时间单元,该第一建议时长的左端点为该第一起始点,因此,前述第一起始点和第一建议时长可以确定一个确切的时间范围。为便于理解,以图3C为例进行介绍,其中,该第一时间窗信息包含第一起始点a1和第一建议时长d1,具体地,该第一时间窗信息可以表示为“{a1;d1}”,其中,该第一建议时长d1包含该第一起始点a1。于是,可以确定该第一时间窗为[a1,(a1+d1-1)]。进一步地,依然以该传输时间单元为某一个周期中的某一个SFN中的某一个时隙为例进行介绍。为便于理解本实施方式中第一时间窗信息的表示方式和前述实施例中的第一时间窗的表示方式之间的区别,以指示相同的第一时间窗为例进行介绍。该第一时间窗信息可以为“{第1个周期,空口SFN符号为1,空口slot符号为1;6个slot}”,此时,该第一时间窗信息指示的第一时间窗如图3D所示,该第一时间窗包含6个slot,分别为“第1个周期,空口SFN符号为1,空口slot符号为1”,以及后续5个slot。因此,该第一传输时间单元,即成功接收该第一认证请求响应并解码该第一认证请求响应的slot,可以是前述6个slot中的任意一个slot。当该第一传输时间单元为前述6个slot中的任意一个slot时,该终端设备可以确定该接入网设备为合法接入网设备。
在这种实施方式中,也可以定义该第一建议时长d1’不包含该第一起始点a1,具体如图3E所示,该第一时间窗信息可以为“{第1个周期,空口SFN符号为1,空口slot符号为1;5个slot}”,于是,可以确定该第一时间窗为[a1,(a1+d1’)],该第一时间窗依然包含6个slot,即“第1个周期,空口SFN符号为1,空口slot符号为1”,以及后续5个slot。具体与前文类似,具体此处不再赘述。
应当理解的是,前述两种实施方式中的周期指SFN符号的周期。具体地,如图4A所示,由于SFN符号的范围为0~1023,因此,一个周期的长度为1024个SFN符号。前述第一个周期,指该接入网设备确定的从该接入网设备接收该认证请求的时刻所在SFN符号以及后续1023个SFN符号构成的周期。由于,该SFN符号是绝对值,该接入网设备可能在0~1023中任意一个SFN符号中收到该认证请求,因此,前述周期的起点可以为0~1023中任意一个SFN符号,即从0到1023共1024个SFN符号可以为一个周期,从2到1023以及0和1共1024个SFN符号可以为一个周期,具体此处不做限定。
为便于理解,结合前述图3A和图3B对应的实施方式进行介绍。
本实施例中,以从0到1023共1024个SFN符号为一个周期为例进行介绍。该第一时间窗信息可以直接由周期序号、SFN符号数和slot符号数表示,例如,定义第一时间窗信息包括六个变量,其中,前三个变量分别表示第一起始点的周期序号、SFN符号数和slot符号数,后三个变量分别表示第一终止点的周期序号、SFN符号数和slot符号数。其中,周期序号可以由接入网设备定义,例如,周期序号为1,即第一个周期,表示该接入网设备接收认证请求的时刻所在的SFN符号以及后续1023个SFN符号构成的周期。
为便于理解,以图4B为例进行介绍,该第一时间窗信息可以表示为“{1,0,4;1,0,8}”,即该第一时间窗的第一起始点为第一个周期中SFN符号为0的SFN中的slot符号为4的slot(即图4B中的竖线阴影部分),该第一时间窗的第一终止点为第一个周期中SFN符号为0的SFN中的slot符号为8的slot(即图4B中的横线阴影部分),则该第一时间窗包括5个slot。
本实施例中,以从1022到1023以及0到1021共1024个SFN符号为一个周期为例进行介绍。在图4C所示的例子中,第一起始点的SFN符号数和第一终止点的SFN符号数不相同。该第一时间窗信息可以表示为“{1,0,4;1,3,1}”,即该第一时间窗的第一起始点为第一个周期SFN符号为0的SFN中的slot符号为4的slot(即图4C中的竖线阴影部分),该第一时间窗的第一终止点为第一个周期SFN符号为3的SFN中的slot符号为1的slot(即图4C中的横线阴影部分),则该第一时间窗包括28个slot。
此外,还应注意的是,如图4D所示,当接入网设备在图4D中左侧的SFN符号为198的SFN中的某个slot接收该认证请求,则该接入网设备可以定义198到1023以及0到197共1024个SFN符号为第一个周期。此时,该第一时间窗信息可以表示为“{1,1022,4;1,1,2}”,即该第一时间窗的第一起始点为SFN符号为1022的SFN中的slot符号为4的slot(即图4D中的竖线阴影部分),该第一时间窗的第一终止点为SFN符号为1的SFN中的slot符号为2的slot(即图4D中的横线阴影部分),则该第一时间窗包括29个slot。
应当理解的是,前述图4A、图4C以及图4D所示的第一时间窗仅仅是为了举例介绍,并不对该第一时间窗进行限定。在实际应用中,还可以采用其他的方式表示前述第一起始点和第一终止点,具体此处不做限定。
类似的,若以前述图3C和图3D对应的实施方式为例进行介绍。
可选的,该第一时间窗信息可以直接由SFN符号数或者slot符号数表示,例如,定义第一时间窗信息包括四个变量,其中,前三个变量分别表示周期序号、第一起始点的SFN符号数和slot符号数,后一个变量表示第一建议时长,即该第一时间窗包含的slot的个数。
具体地,如图4E所示,该第一时间窗信息可以表示为“{1,0,4;5}”,即该第一时间窗的第一起始点为第一个周期中SFN符号为0的SFN中的slot符号为4的slot(即图4E中的竖线阴影部分),该第一时间窗的第一建议时长为5个slot,其中,这5个slot中的第一个slot为第一起始点。
应当理解的是,前述图4E所示的第一时间窗仅仅是为了举例介绍,并不对该第一时间窗进行限定。在实际应用中,还可以采用其他的方式表示前述第一起始点和第一建议时长,具体此处不做限定。
应当理解的是,该接入网设备可以采用上述任意一种实施方式表示该第一时间窗,具体此处不做限定。但是,应当注意的是,该第一时间窗的表示方式与后文第二时间窗的表示方式类似,具体此处不再赘述。
本实施例中,若前述步骤201中的终端设备向接入网设备发送认证请求时产生多次重传,或步骤202中的终端设备接收响应于该认证请求的第一认证请求响应时产生多次重传,则该接入网设备在确定第一时间窗信息时应避免与预配置值对应的时间范围重合。下面将对此进行详细介绍:
具体如图4F所示,其中,t1为终端设备开始发送认证请求的时刻对应的传输时间单元,t2为接入网设备成功接收该认证请求的时刻对应的传输时间单元,[t1,t2]为该认证请求的多次重传所经历的时长,Δt为终端设备发送认证请求到接入网设备接收该认证请求的最大时长,该Δt为预配置值,用于表示最大允许重传的时间。因此,当接入网设备在t2时刻对应的传输时间单元收到该终端设备发送的认证请求时,该接入网设备可以确定该终端设备最早发送该认证请求的时刻为t3,即t3=t2-Δt。因此,该接入网设备可以推断,该终端设备首次发送该认证请求的时刻为前述[t3,t2]中的任意一个时刻对应的传输时间单元。若从终端设备发送认证请求的时刻计算周期,则周期为t1到t4,长度为T=1024个SFN符号,即10.24秒。若从接入网设备成功接收该认证请求的时刻计算周期,则周期为t2到t6,长度为T=1024个SFN符号,即10.24秒。因此,接入网设备确定的周期的范围与该终端设备确定的周期的范围存在不一致而造成歧义。例如,若该取第一时间窗为[t7,t8],则该接入网设备认为该第一起始点t7和该第一终止点t8为同一周期,但是,由于终端设备确定的周期的范围为[t1,t4],则该终端设备将认为该第一起始点t7和该第一终止点t8分别位于不同的周期,即该终端设备认为该t7到t8之间的时长至少大于10.24秒。对此,为避免进入歧义,该接入网设备在确定第一时间窗信息时,应避免落入t5到t6之间的范围,即避免落入[t5,t6]。此外,由于该无线帧结构的同步机制为每10.24秒为一个循环,因此,该第一时间窗应避免落入[t5+10.24n,t6+10.24n],其中,n为大于或等于0的整数。例如,当n=1时,该[t5+10.24n,t6+10.24n]为[t5+10.24,t6+10.24],即[t9,t10],以此类推,具体此处不再赘述。可选的,前述Δt由接入网设备配置,可以由终端设备在认证过程前从系统消息中获取,或者,由终端设备在认证过程前从其他专用信令中获取,具体此处不做限定。
本实施例中,当该终端设备在第一传输时间单元获取该第一认证请求响应中的第一时间窗信息之后,该终端设备将执行步骤204。
204、该终端设备确定该第一传输时间单元是否位于该第一时间窗内。
具体地,可以参见前文步骤203中的相关介绍。
本实施例中,当该终端设备确定该第一传输时间单元位于该第一时间窗内时,如图2A所示,该终端设备执行步骤205;当该终端设备确定该第一传输时间单元位于该第一时间窗外时,如图2B所示,该终端设备还无法完全确定该接入网设备为非法接入网设备,此时,该终端设备执行步骤206和步骤207。
205、该终端设备确定该接入网设备为合法接入网设备。
本实施例中,当该终端设备确定该第一传输时间单元位于该第一时间窗内时,该终端设备确定该接入网设备为合法接入网设备。
可选的,若在前述步骤201中,该终端设备在发送认证请求时,该终端设备启动了认证定时器,则当终端设备确定该接入网设备为合法接入网设备,该终端设备将控制该认证定时器停止计时。
206、该终端设备向该接入网设备发送提示消息。
本实施例中,当该终端设备确定该第一传输时间单元位于该第一时间窗外时,该终端设备向该接入网设备发送提示消息。
在一种可行的实施方式中,该提示消息用于提示该接入网设备该第一传输时间单元位于该第一时间窗外。在这种实施方式中,该提示消息仅起提示作用,后续操作由该接入网设备确定。
在另一种可行的实施方式中,该提示消息用于指示该接入网设备向该终端设备发送第二认证请求响应。在这种实施方式中,该终端设备根据“该第一传输时间单元位于该第一时间窗外”这一判断结果指示该接入网设备向该终端设备发送第二认证请求响应。因此,在此情况下,是否需要发送该第二认证请求响应是该终端设备决定的。
207、该终端设备在第二传输时间单元接收响应于该认证请求的第二认证请求响应。
本实施例中,无论是接入网设备根据该终端设备的判断结果确定要向该终端设备发送第二认证请求响应,还是该接入网设备根据该终端设备的指示向该终端设备发送该第二认证请求响应,该终端设备可以在第二传输时间单元接收响应于该认证请求的第二认证请求响应,该第二认证请求响应包括第二时间窗信息,该第二时间窗信息用于指示该终端设备接收该第二认证请求响应的时间范围,该第二时间窗信息该指示的第二时间窗包括至少一个传输时间单元。
应当理解的是,该第二时间窗信息指示的时间范围与前述第一时间窗信息指示的范围不同。其中,该第一时间窗信息是该接入网设备根据该接入网设备接收该终端设备发送的认证请求的时刻所在的传输时间单元确定的,该第二时间窗信息是该接入网设备根据该接入网设备接收该终端设备发送的提示消息的时刻所在的传输时间单元确定的。
但是,该第二时间窗信息的表示方式与该第一时间窗信息表示的方式类似,具体此处不再赘述。
208、该终端设备在第二传输时间单元获取该第二认证请求响应中的该第二时间窗信息。
具体地,与前述步骤202类似,具体此处不再赘述。
209、该终端设备确定该第二传输时间单元是否位于该第二时间窗内。
本实施例中,当该终端设备确定该第二传输时间单元位于该第二时间窗内时,如图2B所示,该终端设备执行步骤210;当该终端设备确定该第二传输时间单元位于该第二时间窗外时,如图2C所示,该终端设备执行步骤211。
210、该终端设备确定该接入网设备为合法接入网设备。
本实施例中,虽然该第一传输时间单元位于该第一时间窗内,但是,该第二传输时间单元位于该第二时间窗内,此时,该终端设备确定该接入网设备为合法接入网设备。
可选的,若在前述步骤201中,该终端设备在发送认证请求时,该终端设备启动了认证定时器,并且,该认证定时器所记录的累计认证时长未达到预设时长,则当终端设备确定该第二传输时间单元位于该第二时间窗内时,即该终端设备确定该接入网设备为合法接入网设备时,该终端设备将控制该认证定时器停止计时。
211、当该终端设备确定该第二传输时间单元位于该第二时间窗外时,且,满足认证终止条件时,该终端设备确定该接入网设备为非法接入网设备。
当该终端设备确定该第二传输时间单元位于该第二时间窗外时,该终端设备会再次向该接入网设备发送提示消息,并接收该接入网设备发送的该认证请求对应的第三认证请求响应等,具体地,与前文的步骤206至步骤209类似,具体此处不再赘述。应当理解的是,为了避免该终端设备一直发送提示消息并接收该认证请求对应的认证请求响应,或者,为了避免影响该终端设备执行其他业务,该终端设备将在满足认证终止条件时,确定该接入网设备为非法接入网设备。
具体地,当出现如下任意一种情况时,该终端设备可以确定满足认证终止条件。
在一种可行的实施方式中,该终端设备可以根据前述认证定时器所指示的时长,该认证定时器为前述步骤201中该终端设备在发送认证请求时启动的认证定时器。在认证过程中,若该终端设备未确定该接入网设备未合法接入网设备,则该认证定时器将一直处于计时的状态,直到该认证定时器所指示的时长大于预设认证时长时,该终端设备确定该接入网设备为非法接入网设备。
在这样的实施方式中,可以将认证过程限制在合理的时间范围内,进而避免该认证过程占用太长的时间。此外,由于该非法接入网设备在复制并转发该终端设备与合法接入网设备之间的消息时,也将引入较大时延,因此,该预设认证时长应小于非法接入网设备引入的时延,以保证该认证过程的准确性。
在另一种可行的实施方式中,该终端设备记录累计认证时长,该累计认证时长为从该终端设备发送该认证请求到该终端设备接收该认证请求对应的认证请求响应之间的时长,该认证请求响应包括第一认证请求响应或第二认证请求响应。具体地,从该终端设备向该接入网设备发送认证请求时开始计时,每当该终端设备接收一次认证请求响应,该终端设备便记录一次累计认证时长,当该累计认证时长大于预设认证时长时,该终端设备确定该接入网设备为非法接入网设备。在这样的实施方式中,该终端设备可以前述多个累计认证时长,调整该预设认证时长,以使得预设认证时长的设置更加准确。
还存在一种可行的实施方式,在这种的实施方式中,该终端设备记录累计认证次数,该累计认证次数为该终端设备接收认证请求响应的时刻位于该认证请求响应对应的时间窗外的次数。当该累计认证次数大于预设认证次数时,该终端设备确定该接入网设备为非法接入网设备。在这样的实施方式中,该终端设备可以根据调整该预设认证此时已控制该认证过程的时长或准确度。
应当理解的是,该终端设备可以采用前述多种认证终止条件中的一种或多种,具体此处不做限定。但是,当该终端设备同时采用前述至少两种认证终止条件时,随着认证过程的进行,当达到某一个认证终止条件或者终端设备确定接入网设备为合法接入网设备,则该认证过程终止。还应注意的是,终端设备采用何种认证终止条件是由接入网设备预先配置的。可选的,该终端设备可以根据接入网设备广播的系统信息确定采用的认证终止条件的类型,也可以通过接入网设备发送给该终端设备的某个信令中获取采用的认证终止条件的类型,具体此处不做限定。
212、当该终端设备确定该接入网设备为非法接入网设备时,该终端设备执行预警操作。
本实施方式中,当该终端设备确定该接入网设备为非法接入网设备时,该终端设备可以主动中断与该非法接入网设备的连接,并启动搜寻其他可以为该终端设备提供服务的接入网设备,具体此处不做限定。
本实施例中,由于,该接入网设备可以通过该第一认证请求响应指示该终端设备接收该第一认证请求响应的时间范围,即未遭受重放攻击时该终端设备接收该第一认证请求响应的时间范围。因此,若该终端设备接收该第一认证请求响应的第一传输时间单元位于该时间范围内,即该第一传输时间单元应当落入第一时间窗内,则可以确定与该终端设备进行通信的接入网设备为合法接入网设备,于是,该终端设备可以确定该终端设备未遭受重放攻击。
在一些可行的实施例中,在前述步骤201中,该认证请求可以包括第三时间窗信息,该第三时间窗信息用于指示该接入网设备确定该第一时间窗信息或该第二时间窗信息的参考范围,即该接入网设备可以根据该认证请求中的第三时间窗信息确定前述第一时间窗信息或第二时间窗信息。具体地,该第三时间窗信息的表示方式与前文步骤203中的第一时间窗信息的表示方式类似,具体此处不再赘述。
此外,还应理解的是,该终端设备可以根据系统消息的指示确定该第三时间窗信息。具体地,该终端设备在向接入网设备发送认证请求之前,即步骤201之前,该终端设备可以接收接入网设备发送的系统消息,该系统消息中包含第四建议时长,该第四建议时长用于指示该终端设备确定该第三时间窗信息所指示的第三时间窗的长度。于是,该终端设备可以根据该第四建议时长确定前述第三时间窗信息。
在本实施例中,由于,该接入网设备确定的第一时间窗可以由该接入网设备根据该终端设备发送的认证请求中的第三时间窗信息确定,因此,相比于该接入网设备直接确定的第一时间窗信息,该接入网设备根据终端设备的第三时间窗信息确定的第一时间窗信息更加准确,进而可以使整个认证过程的效率更高。
如图5所示,本实施例提供了另一种通信设备50的结构示意图。应当理解的是,前述图2A、图2B以及图2C对应的方法实施例中的终端设备可以基于本实施例中图5所示的通信设备50的结构。
该终端设备50包括至少一个处理器501、至少一个存储器502和至少一个收发器503。其中,处理器501、存储器502和收发器503相连。可选的,该终端设备50还可以包括输入设备505、输出设备506和一个或多个天线504。其中,天线504与收发器503相连,输入设备505、输出设备506与处理器501相连。
本实施例中,该存储器502主要用于存储软件程序和数据。存储器502可以是独立存在,与处理器501相连。可选的,该存储器502可以和该处理器501集成于一体,例如集成于一个或多个芯片之内。其中,该存储器502能够存储执行本申请实施例的技术方案的程序代码,并由处理器501来控制执行,被执行的各类计算机程序代码也可被视为是处理器501的驱动程序。应当理解的是,本实施例中的图5仅示出了一个存储器和一个处理器,但是,在实际应用中,该通信设备50可以存在多个处理器或多个存储器,具体此处不做限定。此外,该存储器502也可以称为存储介质或者存储设备等。该存储器502可以为与处理器处于同一芯片上的存储元件,即片内存储元件,或者为独立的存储元件,本申请实施例对此不做限定。
本实施例中,该收发器503可以用于支持该通信设备50与接入网设备之间射频信号的接收或者发送,收发器503可以与天线504相连。收发器503包括发射机Tx和接收机Rx。具体地,一个或多个天线504可以接收射频信号,该收发器503的接收机Rx用于从天线504接收所述射频信号,并将射频信号转换为数字基带信号或数字中频信号,并将该数字基带信号或数字中频信号提供给所述处理器501,以便处理器501对该数字基带信号或数字中频信号做进一步的处理,例如解调处理和译码处理。此外,收发器503中的发射机Tx还用于从处理器501接收经过调制的数字基带信号或数字中频信号,并将该经过调制的数字基带信号或数字中频信号转换为射频信号,并通过一个或多个天线504发送所述射频信号。具体地,接收机Rx可以选择性地对射频信号进行一级或多级下混频处理和模数转换处理以得到数字基带信号或数字中频信号,前述下混频处理和模数转换处理的先后顺序是可调整的。发射机Tx可以选择性地对经过调制的数字基带信号或数字中频信号时进行一级或多级上混频处理和数模转换处理以得到射频信号,所述上混频处理和数模转换处理的先后顺序是可调整的。数字基带信号和数字中频信号可以统称为数字信号。
应当理解的是,前述收发器503也可以称为收发单元、收发机、收发装置等。可选的,可以将收发单元中用于实现接收功能的器件视为接收单元,将收发单元中用于实现发送功能的器件视为发送单元,即收发单元包括接收单元和发送单元,接收单元也可以称为接收机、输入口、接收电路等,发送单元可以称为发射机、发射器或者发射电路等。
该处理器501可以是基带处理器,也可以是中央处理单元(central processingunit,CPU),基带处理器和CPU可以集成在一起或者分开。该处理器501可以用于为该终端设备实现各种功能,例如用于对通信协议以及通信数据进行处理,或者用于对整个终端设备进行控制,执行软件程序,处理软件程序的数据;或者用于协助完成计算处理任务,例如对图形图像处理或者音频处理等等;或者处理器501用于实现上述功能中的一种或者多种。
此外,该输出设备506和处理器501通信,可以以多种方式来显示信息。例如,该输出设备506可以是液晶显示器(liquid crystal display,LCD)、发光二级管(lightemitting diode,LED)显示设备、阴极射线管(cathode ray tube,CRT)显示设备、或投影仪(projector)等。该输入设备505和处理器501通信,可以以多种方式接收用户的输入。例如,该输入设备505可以是鼠标、键盘、触摸屏设备或传感设备等。
如图6所示,本实施例提供了一种通信设备60的结构示意图。应当理解的是,前述图2A、图2B以及图2C对应的方法实施例中的接入网设备可以基于本实施例中图6所示的通信设备60的结构。还应理解的是,当后续演进制式的接入网设备或基站执行本申请实施例所涉及的方法时,后续演进制式的接入网或基站也可以采用本实施例中图6所示的通信设备60的结构。
该通信设备60包括至少一个处理器601、至少一个存储器602、至少一个收发器603、至少一个网络接口605和一个或多个天线604。处理器601、存储器602、收发器603和网络接口605通过连接装置相连,天线604与收发器603相连。其中,前述连接装置可包括各类接口、传输线或总线等,本实施例对此不做限定。
其中,前述网络接口605用于使该通信设备60通过通信链路,与其它通信设备相连。具体地,该网络接口605可以包括该通信设备60与核心网网元之间的网络接口,例如S1接口;该网络接口605也可以包括该通信设备60和其他网络设备(例如其他接入网设备或者核心网网元)之间的网络接口,例如X2或者Xn接口。
收发器603、存储器602以及天线604可以参考图5对应实施例中收发器503、存储器502以及天线504的相关描述,具体此处不再赘述。
此外,前述处理器601主要用于对通信协议以及通信数据进行处理,以及对整个网络设备进行控制,执行软件程序,处理软件程序的数据,例如用于支持该通信设备60执行前述实施例中所描述的动作。通信设备60可以包括基带处理器和中央处理器,其中,基带处理器主要用于对通信协议以及通信数据进行处理,中央处理器主要用于对整个通信设备60进行控制,执行软件程序,处理软件程序的数据。如图6中的处理器601可以集成基带处理器和中央处理器的功能,本领域技术人员可以理解,基带处理器和中央处理器也可以是各自独立的处理器,通过总线等技术互联。本领域技术人员可以理解,通信设备60可以包括多个基带处理器以适应不同的网络制式,通信设备60可以包括多个中央处理器以增强其处理能力,通信设备60的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中,也可以以软件程序的形式存储在存储器中,由处理器执行软件程序以实现基带处理功能。
如图7所示,本实施例提供了另一种通信装置70,该通信装置70可以为终端设备或终端设备中的芯片。
当该通信装置70为终端设备时,该通信装置70的具体结构示意图可以参阅前述图5所示的通信设备50的结构。可选的,该通信装置70的通信单元702可以包括前述通信设备50的天线和收发器,例如图5中的天线504和收发器503。
当该通信装置70为本申请实施例中的终端设备中的芯片时,该通信单元702可以是输入或者输出接口、管脚或者电路等。存储单元703可以是寄存器、缓存或者随机存取存储器(random access memory,RAM)等,该存储单元703可以和处理单元701集成在一起;该存储单元703可以是只读存储器(read-only memory,ROM)或者可存储静态信息和指令的其他类型的静态存储设备,存储单元703可以与处理单元701相独立。当该通信装置70是网络设备或者网络设备中的芯片时,处理单元701可以完成上述实施例中终端设备执行的方法。
在一种可能的设计中,处理单元701可以包括指令,该指令可以在处理器上被运行,使得所述该通信装置70执行上述实施例中接入网设备的方法。
在又一种可能的设计中,存储单元703上存有指令,该指令可在处理单元701上被运行,使得该通信装置70执行上述实施例中终端设备的方法。可选的,前述存储单元703中还可以存储有数据。可选的,该处理单元701中也可以存储指令和/或数据。
当该通信装置70为终端设备中的芯片时,该通信单元702或处理单元701可以执行如下步骤:
例如,通信单元702可以向接入网设备发送认证请求。
例如,通信单元702可以在第一传输时间单元接收响应于该认证请求的第一认证请求响应,处理单元701可以获取该第一认证请求响应中的第一时间窗信息。
例如,处理单元701可以当该第一传输时间单元位于该第一时间窗内时,确定该接入网设备为合法接入网设备。
其余可以参考上述实施例中终端设备的方法,此处不再赘述。
如图8所示,本实施例提供了另一种通信装置80,该通信装置80可以为接入网设备或者接入网设备中的芯片。
当通信装置80是接入网设备时,该通信装置80的具体结构示意图可以参阅前述图6所示的通信设备60的结构。可选的,该通信装置80的通信单元802可以包括前述通信设备80的天线和收发器,例如图6中的天线604和收发器603。可选的,该通信单元802还可以包括网络接口,例如图6中的网络接口605。
当该通信装置80是本申请实施例中的接入网设备中的芯片时,该通信单元802可以是输入或者输出接口、管脚或者电路等。存储单元803可以是寄存器、缓存或者RAM等,该存储单元803可以和处理单元801集成在一起;该存储单元803可以是ROM或者可存储静态信息和指令的其他类型的静态存储设备,存储单元803可以与处理单元801相独立。当该通信装置80是接入网设备中的芯片时,处理单元801可以完成上述实施例中接入网设备执行的方法。
在一种可能的设计中,处理单元801可以包括指令,该指令可以在处理器上被运行,使得所述该通信装置80执行上述实施例中接入网设备的方法。
在又一种可能的设计中,存储单元803上存有指令,该指令可在处理单元801上被运行,使得该通信装置80执行上述实施例中接入网设备的方法。可选的,前述存储单元803中还可以存储有数据。可选的,该处理单元801中也可以存储指令和/或数据。
当该通信装置80为接入网设备中的芯片时,该通信单元802或处理单元801可以执行如下步骤:
例如,通信单元802可以接收N个数据信道质量信息,处理单元801可以根据所述N个数据信道质量信息确定N个候选网络设备中的一个候选网络设备为目标网络设备。
例如,该通信单元802可以接收终端设备发送的认证请求,并向所述终端设备发送所述认证请求对应的第一认证请求响应。
例如,该通信单元802可以接收所述终端设备发送的提示消息,并向所述终端设备发送所述认证请求对应的第二认证请求响应。
例如,该处理单元801可以根据所述第三时间窗信息确定所述第一时间窗信息。
其余可以参考上述实施例中接入网设备的方法,此处不再赘述。
应当理解的是,前述终端设备可以存在与终端设备的方法或者流程的步骤对应的功能单元(means),前述网设备可以存在与网络设备的方法或者流程的步骤对应的功能单元。以上模块或单元的一个或多个可以软件、硬件或二者结合来实现。当以上任一模块或单元以软件实现的时候,所述软件以计算机程序指令的方式存在,并被存储在存储器中,处理器可以用于执行所述程序指令以实现以上方法流程。
本申请中的处理器可以包括但不限于以下至少一种:中央处理单元CPU、微处理器、数字信号处理器(digital signal processor,DSP)、微控制器(microcontrollerunit,MCU)、或人工智能处理器等各类运行软件的计算设备,每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。该处理器可以是个单独的半导体芯片,也可以跟其他电路一起集成为一个半导体芯片,例如,可以跟其他电路(如编解码电路、硬件加速电路或各种总线和接口电路)构成一个片上系统(system-on-a-chip,SoC),或者也可以作为一个特殊应用集成电路(application specific integrated circuit,ASIC)的内置处理器集成在所述ASIC当中,该集成了处理器的ASIC可以单独封装或者也可以跟其他电路封装在一起。该处理器除了包括用于执行软件指令以进行运算或处理的核外,还可进一步包括必要的硬件加速器,如现场可编程门阵列(field programmable gate array,FPGA)、可编程逻辑器件(programmable logic device,PLD)、或者实现专用逻辑运算的逻辑电路。
本申请实施例中的存储器,可以包括如下至少一种类型:只读存储器ROM或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasableprogrammabler-only memory,EEPROM)。在某些场景下,存储器还可以是只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
该总线除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
根据本申请实施例提供的方法,本申请实施例还提供一种通信系统,其包括前述的一个或多个通信设备和一个或多个通信装置。
还应理解,本文中涉及的第一、第二、第三、第四以及各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘)等。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (31)
1.一种认证接入网设备的方法,其特征在于,包括:
终端设备向接入网设备发送认证请求;
所述终端设备在第一传输时间单元接收响应于所述认证请求的第一认证请求响应,并获取所述第一认证请求响应中的第一时间窗信息,所述第一时间窗信息用于指示所述终端设备接收所述第一认证请求响应的时间范围,所述第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元,所述传输时间单元为物理层的时域资源;
当所述终端设备确定所述第一传输时间单元位于所述第一时间窗内时,所述终端设备确定所述接入网设备为合法接入网设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述终端设备确定所述第一传输时间单元位于所述第一时间窗外时,所述终端设备向所述接入网设备发送提示消息,所述提示消息用于提示所述接入网设备所述第一传输时间单元位于所述第一时间窗外;
所述终端设备在第二传输时间单元接收响应于所述认证请求的第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息指示的第二时间窗包括至少一个传输时间单元。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述终端设备确定所述第一传输时间单元位于所述第一时间窗外时,所述终端设备向所述接入网设备发送提示消息,所述提示消息用于指示所述接入网设备向所述终端设备发送第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息指示的第二时间窗包括至少一个传输时间单元;
所述终端设备在第二传输时间单元接收响应于所述认证请求的第二认证请求响应。
4.根据权利要求2或3所述的方法,其特征在于,所述终端设备在第二传输时间单元接收响应于所述认证请求的第二认证请求响应时,所述方法还包括:
所述终端设备在第二传输时间单元获取所述第二认证请求响应中的所述第二时间窗信息;
当所述终端设备确定所述第二传输时间单元位于所述第二时间窗内时,所述终端设备确定所述接入网设备为合法接入网设备。
5.根据权利要求1至3中任意一项所述的方法,其特征在于,所述方法还包括:
当所述终端设备发送所述认证请求时,所述终端设备启动认证定时器;
当所述认证定时器指示的时长大于预设认证时长时,所述终端设备确定所述接入网设备为非法接入网设备。
6.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
所述终端设备记录累计认证次数,所述累计认证次数为所述终端设备接收认证请求响应的时刻位于所述认证请求响应对应的时间窗外的次数;
当所述累计认证次数大于预设认证次数时,所述终端设备确定所述接入网设备为非法接入网设备。
7.根据权利要求1至3中任意一项所述的方法,其特征在于,所述第一时间窗信息包括:所述第一时间窗的第一起始点和所述第一时间窗的第一终止点,所述第一起始点用于指示所述接入网设备确定的所述终端设备最早接收所述认证请求响应的时刻所在的传输时间单元,所述第一终止点用于指示所述接入网设备确定的所述终端设备最晚接收所述认证请求响应的时刻所在的传输时间单元。
8.根据权利要求1至3中任意一项所述的方法,其特征在于,所述第一时间窗信息包括:所述第一时间窗的第一起始点和所述第一时间窗的第一建议时长,所述第一起始点用于指示所述接入网设备确定的所述终端设备最早接收所述认证请求响应的时刻所在的传输时间单元,所述第一建议时长用于指示所述第一时间窗的长度。
9.根据权利要求2或3所述的方法,其特征在于,所述认证请求包括第三时间窗信息,所述第三时间窗信息用于指示所述接入网设备确定所述第一时间窗信息或所述第二时间窗信息的参考范围。
10.根据权利要求9所述的方法,其特征在于,所述终端设备向接入网设备发送认证请求之前,所述方法还包括:
终端设备接收接入网设备发送的系统消息,所述系统消息包括第四建议时长;
所述终端设备根据所述第四建议时长确定所述第三时间窗信息。
11.一种认证接入网设备的方法,其特征在于,包括:
接入网设备接收终端设备发送的认证请求;
所述接入网设备向所述终端设备发送所述认证请求对应的第一认证请求响应,所述第一认证请求响应中包含第一时间窗信息,所述第一时间窗信息用于指示所述终端设备接收所述第一认证请求响应的时间范围,所述第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元,所述传输时间单元为物理层的时域资源,所述第一时间窗口信息用于在第一传输时间单元位于所述第一时间窗内时确定与所述终端设备进行通信的接入网设备为合法接入网设备,所述第一传输时间单元为所述终端设备接收所述第一认证请求响应的传输时间单元。
12.根据权利要求11所述的方法,其特征在于,所述接入网设备向所终端设备发送所述认证请求对应的第一认证请求响应之后,所述方法还包括:
所述接入网设备接收所述终端设备发送的提示消息,所述提示消息用于提示所述接入网设备所述第一传输时间单元位于所述第一时间窗外;
所述接入网设备向所述终端设备发送所述认证请求对应的第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息所述指示的第二时间窗包括至少一个传输时间单元。
13.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述接入网设备接收所述终端设备发送的提示消息,所述提示消息用于指示所述接入网设备向所述终端设备发送所述认证请求对应的第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息所述指示的第二时间窗包括至少一个传输时间单元;
所述接入网设备向所述终端设备发送所述第二认证请求响应。
14.根据权利要求12或13所述的方法,其特征在于,所述认证请求包括第三时间窗信息,所述第三时间窗信息用于指示所述接入网设备确定所述第一时间窗信息或所述第二时间窗信息的参考范围;
所述接入网设备接收终端设备发送的认证请求之后,所述接入网设备向所终端设备发送所述认证请求对应的第一认证请求响应之前,所述方法还包括:
所述接入网设备根据所述第三时间窗信息确定所述第一时间窗信息。
15.根据权利要求11至13中任意一项所述的方法,其特征在于,所述第一时间窗信息包括:所述第一时间窗的第一起始点和所述第一时间窗的第一终止点,所述第一起始点用于指示所述接入网设备确定的所述终端设备最早接收所述认证请求响应的时刻所在的传输时间单元,所述第一终止点用于指示所述接入网设备确定的所述终端设备最晚接收所述认证请求响应的时刻所在的传输时间单元。
16.根据权利要求11至13中任意一项所述的方法,其特征在于,所述第一时间窗信息包括:所述第一时间窗的第一起始点和所述第一时间窗的第一建议时长,所述第一起始点用于指示所述接入网设备确定的所述终端设备最早接收所述认证请求响应的时刻所在的传输时间单元,所述第一建议时长用于指示所述第一时间窗的长度。
17.一种通信设备,其特征在于,包括:
收发模块,用于向接入网设备发送认证请求;
所述收发模块,还用于在第一传输时间单元接收响应于所述认证请求的第一认证请求响应;
处理模块,用于获取所述第一认证请求响应中的第一时间窗信息,所述第一时间窗信息用于指示终端设备接收所述第一认证请求响应的时间范围,所述第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元,所述传输时间单元为物理层的时域资源;
所述处理模块,还用于当所述终端设备确定所述第一传输时间单元位于所述第一时间窗内时,确定所述接入网设备为合法接入网设备。
18.根据权利要求17所述的通信设备,其特征在于,
所述处理模块,还用于当所述终端设备确定所述第一传输时间单元位于所述第一时间窗外时,控制所述收发模块向所述接入网设备发送提示消息,所述提示消息用于提示所述接入网设备所述第一传输时间单元位于所述第一时间窗外;
所述收发模块,还用于在第二传输时间单元接收响应于所述认证请求的第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息所述指示的第二时间窗包括至少一个传输时间单元。
19.根据权利要求18所述的通信设备,其特征在于,
所述处理模块,还用于当所述终端设备确定所述第一传输时间单元位于所述第一时间窗外时,控制所述收发模块向所述接入网设备发送提示消息,所述提示消息用于指示所述接入网设备向所述终端设备发送第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息所述指示的第二时间窗包括至少一个传输时间单元;
所述收发模块,还用于在第二传输时间单元接收所述响应于所述认证请求的第二认证请求响应。
20.根据权利要求18或19所述的通信设备,其特征在于,所述处理模块,还用于:
在第二传输时间单元获取所述第二认证请求响应中的所述第二时间窗信息;
当所述终端设备确定所述第二传输时间单元位于所述第二时间窗内时,确定所述接入网设备为合法接入网设备。
21.根据权利要求18或19所述的通信设备,其特征在于,所述处理模块,还用于:
当所述终端设备发送所述认证请求时,启动认证定时器;
当所述认证定时器所指示的时长大于预设认证时长时,确定所述接入网设备为非法接入网设备。
22.根据权利要求18或19所述的通信设备,其特征在于,所述处理模块,还用于:
记录累计认证次数,所述累计认证次数为所述终端设备接收认证请求响应的时刻位于所述认证请求响应对应的时间窗外的次数;
当所述累计认证次数大于预设认证次数时,确定所述接入网设备为非法接入网设备。
23.根据权利要求17至19中任意一项所述的通信设备,其特征在于,
所述收发模块,还用于接收接入网设备发送的系统消息,所述系统消息包括第四建议时长;
所述处理模块,还用于根据所述第四建议时长确定第三时间窗信息。
24.一种通信设备,其特征在于,包括:
收发模块,用于接收终端设备发送的认证请求;
所述收发模块,还用于向所终端设备发送所述认证请求对应的第一认证请求响应,所述第一认证请求响应中包含第一时间窗信息,所述第一时间窗信息用于指示所述终端设备接收所述第一认证请求响应的时间范围,所述第一时间窗信息所指示的第一时间窗包括至少一个传输时间单元,所述传输时间单元为物理层的时域资源,所述第一时间窗口信息用于在第一传输时间单元位于所述第一时间窗内时确定与所述终端设备进行通信的接入网设备为合法接入网设备,所述第一传输时间单元为所述终端设备接收所述第一认证请求响应的传输时间单元。
25.根据权利要求24所述的通信设备,其特征在于,所述收发模块,还用于:
接收所述终端设备发送的提示消息,所述提示消息用于提示接入网设备所述第一传输时间单元位于所述第一时间窗外;
向所述终端设备发送所述认证请求对应的第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息所述指示的第二时间窗包括至少一个传输时间单元。
26.根据权利要求24所述的通信设备,其特征在于,所述收发模块,还用于:
接收所述终端设备发送的提示消息,所述提示消息用于指示接入网设备向所述终端设备发送所述认证请求对应的第二认证请求响应,所述第二认证请求响应包括第二时间窗信息,所述第二时间窗信息用于指示所述终端设备接收所述第二认证请求响应的时间范围,所述第二时间窗信息所述指示的第二时间窗包括至少一个传输时间单元;
向所述终端设备发送所述第二认证请求响应。
27.根据权利要求24至26中任意一项所述的通信设备,其特征在于,所述通信设备还包括处理模块,所述处理模块,用于根据第三时间窗信息确定所述第一时间窗信息。
28.一种通信设备,其特征在于,所述通信设备为终端设备或所述终端设备中的芯片或功能单元;
所述终端设备,包括:
处理器和存储器;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现如权利要求1至10中任意一项所述的方法。
29.一种通信设备,其特征在于,所述通信设备为接入网设备或所述接入网设备中的芯片或功能单元;
所述接入网设备,包括:
处理器和存储器;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现如权利要求11至16中任意一项所述的方法。
30.一种通信系统,其特征在于,所述通信系统包括:
如权利要求28所述的通信设备和如权利要求29所述的通信设备。
31.一种计算机可读存储介质,其特征在于,包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至16中任一项所述的方法。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910703626.1A CN112399411B (zh) | 2019-07-31 | 2019-07-31 | 一种认证接入网设备的方法以及相关设备 |
| PCT/CN2020/084142 WO2021017523A1 (zh) | 2019-07-31 | 2020-04-10 | 一种认证接入网设备的方法以及相关设备 |
| EP20848384.2A EP3996404A4 (en) | 2019-07-31 | 2020-04-10 | ACCESS NETWORK DEVICE AND ASSOCIATED DEVICE AUTHENTICATION METHOD |
| KR1020227005040A KR20220035928A (ko) | 2019-07-31 | 2020-04-10 | 액세스 네트워크 장치를 인증하는 방법 및 관련 장치 |
| JP2022506255A JP7273243B2 (ja) | 2019-07-31 | 2020-04-10 | アクセスネットワークデバイスを認証するための方法および関連デバイス |
| US17/589,242 US20220159458A1 (en) | 2019-07-31 | 2022-01-31 | Method for authenticating access network device, and related device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910703626.1A CN112399411B (zh) | 2019-07-31 | 2019-07-31 | 一种认证接入网设备的方法以及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112399411A CN112399411A (zh) | 2021-02-23 |
| CN112399411B true CN112399411B (zh) | 2022-04-29 |
Family
ID=74229748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910703626.1A Active CN112399411B (zh) | 2019-07-31 | 2019-07-31 | 一种认证接入网设备的方法以及相关设备 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220159458A1 (zh) |
| EP (1) | EP3996404A4 (zh) |
| JP (1) | JP7273243B2 (zh) |
| KR (1) | KR20220035928A (zh) |
| CN (1) | CN112399411B (zh) |
| WO (1) | WO2021017523A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111327835B (zh) * | 2020-03-20 | 2021-07-09 | 合肥埃科光电科技有限公司 | 一种相机多线分时曝光处理方法及系统 |
| CN114513371B (zh) * | 2022-04-19 | 2022-07-12 | 广州万协通信息技术有限公司 | 一种基于交互数据的攻击检测方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272251A (zh) * | 2007-03-22 | 2008-09-24 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
| CN104703181A (zh) * | 2013-12-09 | 2015-06-10 | 重庆重邮信科通信技术有限公司 | 一种接入节点认证方法及终端 |
| CN108512848A (zh) * | 2018-03-31 | 2018-09-07 | 深圳大普微电子科技有限公司 | 防重放攻击的方法以及相关装置 |
| WO2018231426A1 (en) * | 2017-06-16 | 2018-12-20 | Motorola Mobility Llc | Rogue unit detection information |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020116637A1 (en) * | 2000-12-21 | 2002-08-22 | General Electric Company | Gateway for securely connecting arbitrary devices and service providers |
| EP1662814B1 (en) | 2003-09-04 | 2013-12-25 | Fujitsu Limited | Information providing method, device and computer program products |
| CN101471784B (zh) * | 2007-12-29 | 2011-07-27 | 北京天融信网络安全技术有限公司 | 一种实现ipsec抗重放攻击的方法 |
| US8588214B2 (en) * | 2009-02-18 | 2013-11-19 | MBTE Holdings Sweden AB | Enhanced calling features |
| JP5225894B2 (ja) * | 2009-03-04 | 2013-07-03 | パナソニック株式会社 | 無線基地局装置、無線端末装置、無線通信システム、および基地局認証方法 |
| US8392709B1 (en) * | 2009-04-28 | 2013-03-05 | Adobe Systems Incorporated | System and method for a single request—single response protocol with mutual replay attack protection |
| CN101765033B (zh) * | 2009-12-23 | 2012-12-19 | 上海全景数字技术有限公司 | 应用于同轴承载以太网设备的动态时隙分配方法 |
| US8972788B2 (en) * | 2012-01-11 | 2015-03-03 | International Business Machines Corporation | Ticket consolidation |
| CN103260140B (zh) * | 2012-02-17 | 2018-03-16 | 中兴通讯股份有限公司 | 一种消息过滤方法及系统 |
| WO2014051349A2 (ko) * | 2012-09-26 | 2014-04-03 | 엘지전자 주식회사 | 무선랜 시스템에서 액세스 수행 방법 및 장치 |
| CN103812854B (zh) * | 2013-08-19 | 2015-03-18 | 深圳光启创新技术有限公司 | 身份认证系统、装置、方法以及身份认证请求装置 |
| US9813910B2 (en) * | 2014-03-19 | 2017-11-07 | Qualcomm Incorporated | Prevention of replay attack in long term evolution device-to-device discovery |
| CA2959794C (en) | 2014-09-08 | 2023-09-19 | Good Technology Holdings Limited | Monitoring user activity |
| US9609512B2 (en) * | 2014-10-09 | 2017-03-28 | Userstar Information System Co., Ltd. | Wireless authentication system and wireless authentication method |
| US10129753B2 (en) * | 2015-12-07 | 2018-11-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authenticating a communication device |
| KR102423231B1 (ko) * | 2016-01-06 | 2022-07-22 | 삼성디스플레이 주식회사 | 사용자 인증 장치, 사용자 인증 방법 및 휴대 장치 |
| US10069822B2 (en) * | 2016-02-23 | 2018-09-04 | Verizon Patent And Licensing Inc. | Authenticated network time for mobile device smart cards |
| CN107371273B (zh) * | 2016-05-13 | 2023-05-30 | 中兴通讯股份有限公司 | 随机接入方法、装置及用户设备 |
| US10200861B2 (en) * | 2016-10-28 | 2019-02-05 | Nokia Of America Corporation | Verification of cell authenticity in a wireless network using a system query |
| US10888271B2 (en) * | 2016-12-08 | 2021-01-12 | Louise M. Falevsky | Systems, apparatus and methods for using biofeedback to facilitate a discussion |
| US10901832B2 (en) * | 2017-07-26 | 2021-01-26 | Hitachi, Ltd. | System for maintenance recommendation based on failure prediction |
| JPWO2019138531A1 (ja) * | 2018-01-12 | 2021-01-28 | 株式会社Nttドコモ | ユーザ端末及び無線通信方法 |
| CN109064261A (zh) * | 2018-07-12 | 2018-12-21 | 北京京东金融科技控股有限公司 | 推荐商品的方法、装置和计算机可读存储介质 |
-
2019
- 2019-07-31 CN CN201910703626.1A patent/CN112399411B/zh active Active
-
2020
- 2020-04-10 KR KR1020227005040A patent/KR20220035928A/ko not_active Application Discontinuation
- 2020-04-10 WO PCT/CN2020/084142 patent/WO2021017523A1/zh unknown
- 2020-04-10 JP JP2022506255A patent/JP7273243B2/ja active Active
- 2020-04-10 EP EP20848384.2A patent/EP3996404A4/en active Pending
-
2022
- 2022-01-31 US US17/589,242 patent/US20220159458A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272251A (zh) * | 2007-03-22 | 2008-09-24 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
| CN104703181A (zh) * | 2013-12-09 | 2015-06-10 | 重庆重邮信科通信技术有限公司 | 一种接入节点认证方法及终端 |
| WO2018231426A1 (en) * | 2017-06-16 | 2018-12-20 | Motorola Mobility Llc | Rogue unit detection information |
| CN108512848A (zh) * | 2018-03-31 | 2018-09-07 | 深圳大普微电子科技有限公司 | 防重放攻击的方法以及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7273243B2 (ja) | 2023-05-12 |
| EP3996404A4 (en) | 2022-08-10 |
| CN112399411A (zh) | 2021-02-23 |
| KR20220035928A (ko) | 2022-03-22 |
| EP3996404A1 (en) | 2022-05-11 |
| WO2021017523A1 (zh) | 2021-02-04 |
| JP2022542412A (ja) | 2022-10-03 |
| US20220159458A1 (en) | 2022-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109246743B (zh) | 一种波束管理方法及终端设备、网络设备 | |
| CN110475374B (zh) | 一种通信方法和通信装置 | |
| CN115134017B (zh) | 一种传输消息的方法、设备、计算机存储介质及芯片 | |
| CN110167035B (zh) | 波束管理方法、终端、网络设备以及存储介质 | |
| KR20200140311A (ko) | 엔알 비허가 셀들과의 랜덤 액세스 | |
| WO2015180162A1 (zh) | 传输方法和通信设备 | |
| EP3923665A1 (en) | Data transmission method, terminal device and network device | |
| CN112584539B (zh) | 一种随机接入方法及装置 | |
| WO2019157733A1 (zh) | 物理上行共享信道传输方法和终端设备 | |
| CN114287164B (zh) | 终端的定时提前量ta处理的方法和装置 | |
| WO2021051364A1 (zh) | 一种通信方法、装置及设备 | |
| US20220159458A1 (en) | Method for authenticating access network device, and related device | |
| US10924987B2 (en) | FTM based secure ranging error recovery | |
| WO2022141184A1 (zh) | 一种上行参考信号资源的配置方法及相关装置 | |
| KR102298616B1 (ko) | 비-트리거-기반 레인징을 위한 절전 | |
| WO2017000099A1 (zh) | 传输信道状态信息参考信号的方法和设备 | |
| WO2019096276A1 (zh) | 数据传输的方法和装置 | |
| WO2022017492A1 (zh) | 定位处理方法、装置及设备 | |
| WO2022017491A1 (zh) | 信道测量处理方法、装置及设备 | |
| WO2018218998A1 (zh) | 资源调度方法、终端设备和网络侧设备 | |
| CN111447026A (zh) | 处理数据的方法和处理数据的装置 | |
| CN113228798A (zh) | 装置、方法和计算机程序 | |
| WO2018058537A1 (zh) | 传输信号的方法和装置 | |
| CN114531938B (zh) | 具有重复的配置的ul | |
| US20230276464A1 (en) | Methods and apparatuses for a sidelink resource re-evaluation procedure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |