CN114449521A

CN114449521A - 通信方法及通信装置

Info

Publication number: CN114449521A
Application number: CN202111639208.4A
Authority: CN
Inventors: 蒋铿
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-12-29
Filing date: 2021-12-29
Publication date: 2022-05-06
Anticipated expiration: 2041-12-29
Also published as: CN114449521B; WO2023125293A1

Abstract

本申请提供了一种通信方法及通信装置，该方法包括：接收来自第一设备的第一消息，第一消息中包括证书请求文件，证书请求文件用于申请AAU的数字证书；根据第一消息向证书颁发中心CA服务器发送第二消息，第二消息包括证书请求文件；接收来自CA服务器的数字证书；向AAU发送数字证书。本申请通过第二设备(例如BBU)代理第一设备(例如AAU)向CA服务器申请数字证书，可实现对数字证书的更新或管理。

Description

通信方法及通信装置

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及通信装置。

背景技术

数字证书是一个经证书颁发中心(certificate authority，CA)服务器数字签名的包含公钥拥有者信息以及该公钥的文件。由于该CA服务器为权威公正的第三方机构，因此，将该数字证书应用于通信系统中的设备，可以使得该设备可以基于CA服务器颁发的证书建立安全的传输通道及身份认证。在新无线(new radio，NR)系统中，基站包括第一设备和第二设备，例如以第一设备为有源天线单元(active antenna unit，AAU)，第二设备为基带处理单元(base band unit，BBU)为例，随着AAU与BBU间采用增强的通用公共无线接口(enhanced common public radio interface，eCPRI)通讯，AAU与BBU间需要利用数字证书实现安全的eCPRI通讯，但是由于AAU与CA服务器之间没有直连通道，因此，AAU无法实现数字证书的更新或管理。

发明内容

本申请提供了一种通信方法及通信装置，可实现数字证书的更新或管理。

第一方面，本申请提供了一种通信方法，该方法适用于第二设备，该方法包括：

接收来自第一设备的第一消息，所述第一消息中包括证书请求文件，所述证书请求文件用于申请所述第一设备的数字证书；

根据所述第一消息向证书颁发中心CA服务器发送第二消息，所述第二消息包括所述证书请求文件；

接收来自所述CA服务器的所述数字证书；

向所述第一设备发送所述数字证书。

在本申请中，AAU无需与CA服务器打通传输网络，而是通过第一设备(例如BBU)代理第二设备(例如AAU)向CA服务器申请数字证书，可实现对数字证书的更新或管理。

在一种可能的实现中，所述根据所述第一消息向CA服务器发送第二消息，包括：

向所述第一设备发送第三消息，所述第三消息包括所述证书请求文件；

接收来自所述第一设备的所述第三消息对应的第一签名数据；

向所述CA服务器发送第二消息，所述第二消息包括所述第一签名数据和所述第三消息。

在本申请中，通过异步拉远签名的方式，即第二设备向第一设备发送待签名数据(例如第三消息)，并接收第一设备反馈的签名数据(例如第一签名数据)的方式，可保证代理过程的安全性，确保AAU的私钥不会在网络上进行传递导致泄漏。

在一种可能的实现中，所述接收来自所述CA服务器的所述数字证书，包括：

接收来自所述CA服务器针对所述第二消息的第一响应，所述第一响应包括所述数字证书。

在一种可能的实现中，所述第一响应携带所述第一响应的签名数据；所述向所述第一设备发送所述数字证书，包括：

根据基于所述第一响应的签名数据对所述第一响应进行校验的校验结果，向所述CA服务器发送第一确认信息；

接收来自所述CA服务器针对所述第一确认信息的第二确认信息；

响应于所述第二确认信息向所述第一设备发送所述数字证书。

在一种可能的实现中，所述根据基于所述第一响应的签名数据对所述第一响应进行校验的校验结果，向所述CA服务器发送第一确认信息，包括：

当所述校验结果为校验通过时，向所述第一设备发送第一确认信息；

接收来自所述第一设备的所述第一确认信息对应的第二签名数据；

向所述CA服务器发送所述第一确认信息和所述第二签名数据。

在本申请中，通过异步拉远签名的方式，即第二设备向第一设备发送待签名数据(例如第一确认信息)，并接收第一设备反馈的签名数据(例如第二签名数据)的方式，可保证代理过程的安全性，确保AAU的私钥不会在网络上进行传递导致泄漏。

第二方面，本申请提供了一种通信方法，该方法适用于第一设备，该方法包括：

向第二设备发送第一消息，所述第一消息中包括证书请求文件，所述证书请求文件用于申请第一设备的数字证书；

接收来自所述第二设备的所述数字证书。

在一种可能的实现中，所述方法还包括：

接收来自所述第二设备的第三消息，所述第三消息包括所述证书请求文件；

向所述第二设备发送所述第三消息对应的第一签名数据。

在一种可能的实现中，所述方法还包括：

接收来自所述第二设备的第一确认信息；

向所述第二设备发送所述第一确认信息对应的第二签名数据。

第三方面，本申请提供了一种通信方法，该方法适用于CA服务器，该方法包括：

接收来自第二设备的第二消息，所述第二消息包括所述证书请求文件，所述证书请求文件用于申请第一设备的数字证书；

向所述第二设备发送所述数字证书。

在一种可能的实现中，所述第二消息包括第三消息对应的第一签名数据和所述第三消息，所述第三消息包括所述证书请求文件。

在一种可能的实现中，所述向所述第二设备发送所述数字证书，包括：

向所述第二设备发送针对所述第二消息的第一响应，所述第一响应包括所述数字证书。

在一种可能的实现中，所述第一响应携带所述第一响应的签名数据；所述方法还包括：

接收来自所述第二设备的第一确认信息，所述第一确认信息为所述第二设备基于所述第一响应的签名数据对所述第一响应进行校验的校验结果生成的；

向所述第二设备发送针对所述第一确认信息的第二确认信息。

在一种可能的实现中，所述第一确认信息还携带所述第一确认信息对应的第二签名数据。

第四方面，本申请提供了一种通信装置，该装置可以为第二设备。该装置包括：

收发单元，用于接收来自第一设备的第一消息，所述第一消息中包括证书请求文件，所述证书请求文件用于申请所述第一设备的数字证书；

处理单元，用于通过所述收发单元根据所述第一消息向证书颁发中心CA服务器发送第二消息，所述第二消息包括所述证书请求文件；

所述收发单元，用于接收来自所述CA服务器的所述数字证书；

所述收发单元，用于向所述第一设备发送所述数字证书。

在一种可能的实现中，所述处理单元具体用于：

通过所述收发单元向所述第一设备发送第三消息，所述第三消息包括所述证书请求文件；

通过所述收发单元接收来自所述第一设备的所述第三消息对应的第一签名数据；

通过所述收发单元向所述CA服务器发送第二消息，所述第二消息包括所述第一签名数据和所述第三消息。

在一种可能的实现中，所述收发单元具体用于：

在一种可能的实现中，所述第一响应携带所述第一响应的签名数据；所述收发单元具体用于：

在一种可能的实现中，所述收发单元具体用于：

第五方面，本申请提供了一种通信装置，该装置可以为第一设备。该装置包括：

收发单元，用于向第二设备发送第一消息，所述第一消息中包括证书请求文件，所述证书请求文件用于申请第一设备的数字证书；

所述收发单元，用于接收来自所述第二设备的所述数字证书。

在一种可能的实现中，所述收发单元，用于接收来自所述第二设备的第三消息，所述第三消息包括所述证书请求文件；

所述装置还包括：

处理单元，通过所述收发单元向所述第二设备发送所述第三消息对应的第一签名数据。

在一种可能的实现中，所述收发单元具体用于：

接收来自所述第二设备的第一确认信息；

第六方面，本申请提供了一种通信装置，该装置为CA服务器，该装置包括：

收发单元，用于接收来自第二设备的第二消息，所述第二消息包括所述证书请求文件，所述证书请求文件用于申请第一设备的数字证书；

所述收发单元，还用于向所述第二设备发送所述数字证书。

在一种可能的实现中，所述收发单元还用于：

在一种可能的实现中，所述第一响应携带所述第一响应的签名数据；所述收发单元还用于：

第七方面，本申请提供了一种通信装置，该装置可以是第二设备，也可以是第二设备中的装置，或者是能够和第二设备匹配使用的装置。其中，该通信装置还可以为芯片系统。该通信装置可执行第一方面所述的方法。该通信装置的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。该单元或模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第一方面所述的方法以及有益效果，重复之处不再赘述。

第八方面，本申请提供了一种通信装置，该装置可以是第一设备，也可以是第一设备中的装置，或者是能够和第一设备匹配使用的装置。其中，该通信装置还可以为芯片系统。该通信装置可执行第二方面所述的方法。该通信装置的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。该单元或模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第二方面所述的方法以及有益效果，重复之处不再赘述。

第九方面，本申请提供了一种通信装置，该装置可以是CA服务器，也可以是CA服务器中的装置，或者是能够和CA服务器匹配使用的装置。其中，该通信装置还可以为芯片系统。该通信装置可执行第三方面所述的方法。该通信装置的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。该单元或模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第三方面所述的方法以及有益效果，重复之处不再赘述。

第十方面，本申请提供了一种通信装置，该装置可以是第二设备，所述通信装置包括处理器和收发器，所述处理器和所述收发器用于执行至少一个存储器中存储的计算机程序或指令，以使得所述装置实现如第一方面中任意一项的方法。

第十一方面，本申请提供了一种通信装置，该装置可以是第二设备，该通信装置包括处理器、收发器和存储器。其中，处理器、收发器和存储器耦合；处理器和收发器用于实现如第一方面中任意一项的方法。

第十二方面，本申请提供了一种通信装置，该装置可以是第一设备，所述通信装置包括处理器和收发器，所述处理器和所述收发器用于执行至少一个存储器中存储的计算机程序或指令，以使得所述装置实现如第二方面中任意一项的方法。

第十三方面，本申请提供了一种通信装置，该装置可以是第一设备，该通信装置包括处理器、收发器和存储器。其中，处理器、收发器和存储器耦合；处理器和收发器用于实现如第二方面中任意一项的方法。

第十四方面，本申请提供了一种通信装置，该装置可以是CA服务器，所述通信装置包括处理器和收发器，所述处理器和所述收发器用于执行至少一个存储器中存储的计算机程序或指令，以使得所述装置实现如第三方面中任意一项的方法。

第十五方面，本申请提供了一种通信装置，该装置可以是CA服务器，该通信装置包括图8处理器、收发器和存储器。其中，处理器、收发器和存储器耦合；处理器和收发器用于实现如第三方面中任意一项的方法。

第十六方面，本申请提供了一种计算机可读存储介质，存储介质中存储有计算机程序或指令，当计算机程序或指令被计算机执行时，实现如第一方面～第三方面中任意一项的方法。

第十七方面，本申请提供一种包括指令的计算机程序产品，所述计算机程序产品中包括计算机程序代码，当计算机程序代码在计算机上运行时，以实现第一方面～第三方面中任意一项的方法。

附图说明

图1是一种5G系统的网络架构的示意图；

图2是基站与CA服务器间的网络架构示意图；

图3是本申请实施例提供的通信方法的应用场景示意图；

图4是本申请实施例提供的通信方法的一个流程示意图；

图5是本申请实施例提供的完整性保护的一场景示意图；

图6是本申请实施例提供的通信方法的另一流程示意图；

图7是本申请实施例提供的通信方法的另一流程示意图；

图8是本申请实施例提供的一种通信装置的结构示意图；

图9是本申请实施例提供的另一种通信装置的结构示意图；

图10是本申请实施例提供的另一种通信装置的结构示意图；

图11是本申请实施例提供的另一种通信装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

在本申请的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”是指一个或多个，“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请实施例的技术方案可以应用于各种通信系统。例如：增强的长期演进(enhanced-long term evolution，eLTE)系统、第五代(5th generation，5G)系统或新无线(new radio，NR)等，本申请中涉及的5G移动通信系统包括非独立组网(non-standalone，NSA)的5G移动通信系统或独立组网(standalone，SA)的5G移动通信系统。本申请提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统。通信系统还可以是陆上公用移动通信网(public land mobile network，PLMN)网络、设备到设备(device-to-device，D2D)通信系统、机器到机器(machine to machine，M2M)通信系统、物联网(Internet of Things，IoT)通信系统或者其他通信系统等，在此不做限制。

为便于理解，以5G系统为例进行示例性说明。请参见图1，图1是一种5G系统的网络架构的示意图。如图1所示，该网络架构可以包括终端设备部分、(无线)接入网((radio)access network，(R)AN)、核心网(core network，CN)和数据网络(data network，DN)。其中，(R)AN(后文描述为RAN)用于将终端设备接入到无线网络，CN用于对终端设备进行管理并提供与DN通信的网关。

其中，终端设备可以是一种具有无线收发功能的设备。终端设备可以有不同的名称，例如终端，用户设备(user equipment，UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。终端设备可以被部署在陆地上，包括室内或室外、手持或车载；也可以被部署在水面上(如轮船等)；还可以被部署在空中(例如飞机、气球和卫星上等)。终端设备包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地，终端设备可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请实施例中，用于实现终端设备的功能的装置可以是终端设备，也可以是能够支持终端设备实现该功能的装置，例如芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例中，以用于实现终端设备的功能的装置是终端设备为例，描述本申请实施例提供的技术方案。

接入网设备也可以称为基站。基站可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。具体可以为：是无线局域网(wireless local areanetwork，WLAN)中的接入点(access point，AP)，全球移动通信系统(global system formobile communications，GSM)或码分多址接入(code division multiple access，CDMA)中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(wideband codedivision multiple access，WCDMA)中的基站(NodeB，NB)，还可以是LTE中的演进型基站(evolved node B，eNB或eNodeB)，或者中继站或接入点，或者车载设备、可穿戴设备以及未来5G网络中的下一代节点B(the next generation node B，gNB)或者未来演进的公用陆地移动网(public land mobile network，PLMN)网络中的基站等。

基站，通常包括基带单元(baseband unit，BBU)、射频拉远单元(remote radiounit，RRU)、天线、以及用于连接RRU和天线的馈线。其中，BBU用于负责信号调制。RRU用于负责射频处理。天线用于负责线缆上导行波和空气中空间波之间的转换。一方面，分布式基站大大缩短了RRU和天线之间馈线的长度，可以减少信号损耗，也可以降低馈线的成本。另一方面，RRU加天线比较小，可以随地安装，让网络规划更加灵活。除了RRU拉远之外，还可以把BBU全部都集中起来放置在中心机房(central office，CO)，通过这种集中化的方式，可以极大减少基站机房数量，减少配套设备，特别是空调的能耗，可以减少大量的碳排放。此外，分散的BBU集中起来变成BBU基带池之后，可以统一管理和调度，资源调配更加灵活。这种模式下，所有的实体基站演变成了虚拟基站。所有的虚拟基站在BBU基带池中共享用户的数据收发、信道质量等信息，相互协作，使得联合调度得以实现。

在一些部署中，基站可以包括集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)。基站还可以包括有源天线单元(active antenna unit，AAU)。CU实现基站的部分功能，DU实现基站的部分功能。比如，CU负责处理非实时协议和服务，实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet dataconvergence protocol，PDCP)层的功能。DU负责处理物理层协议和实时服务，实现无线链路控制(radio link control，简称RLC)、媒体接入控制(media access control，MAC)和物理(physical，PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令或PDCP层信令，也可以认为是由DU发送的，或者，由DU+AAU发送的。可以理解的是，在本申请实施例中，接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外，CU可以划分为RAN中的网络设备，也可以将CU划分为核心网(core network，CN)中的网络设备，在此不做限制。

核心网设备用于实现移动管理，数据处理，会话管理，策略和计费等功能。不同接入技术的系统中实现核心网功能的设备名称可以不同，本申请并不对此进行限定。以5G网络为例，5GC的逻辑网元包括：接入和移动性管理功能(access and mobility managementfunction，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、应用功能(applicationfunction，AF)网元等。

DN也可以称为分组数据网络(packet data network，PDN)，是位于运营商网络之外的网络，运营商网络可以接入多个DN，DN中可部署有多种业务对应的应用服务器，为终端设备提供多种可能的服务。

图1中Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4，以及N6为接口序列号。这些接口序列号的含义可参见相关标准协议中定义的含义，在此不做限制。

需要说明的是，以下本申请实施例中涉及的第一设备可以理解为具有有源天线单元(active antenna unit，AAU)功能或者射频单元(radiounit，RU)的网元，第二设备可以理解为具有基带处理单元(base band unit，BBU)功能的网元，或者这些网元也可以被称作其他名称，在此不做限制。为方便理解，以下本申请实施例皆以第一设备为AAU，第二设备为BBU为例进行说明。

下面对本申请实施例涉及的相关技术特征进行解释说明。需要说明的是，这些解释是为了让本申请实施例更容易被理解，而不应该视为对本申请所要求的保护范围的限定。

1、数字证书

数字证书是由证书颁发中心(certificate authority，CA)服务器签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。数字证书被广泛用于保证数据传输的保密性、数据交换的完整性、发送信息的不可否认性、数据交换对象身份的确认性。其中，本申请实施例中所涉及的AAU的数字证书指AAU上用于与BBU建立安全通道的数字证书。

2、公钥和私钥

在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。一般来说，公钥用于给数据加密，私钥用于解密公钥加密的数据。

3、摘要

对需要传输的文本，做哈希(HASH)计算，即可获得该文本对应的摘要。

4、签名

签名也称为签名数据或数字签名。通常来说，使用私钥对需要传输的文本的摘要进行加密，得到的密文即被称为该次传输过程的签名。

5、完整性保护/校验

完整性保护/校验用于判断消息在传递过程中，其内容是否被更改，也可以用于作为身份验证，以确定消息的来源。具体地，数据接收端接收到传输文本，但是需要确认该文本是否就是数据发送端发送的内容，即确认文本在传输过程中是否被篡改。因此数据接收端需要根据公钥对签名进行解密，得到文本的摘要，然后使用与发送方同样的HASH算法计算摘要值，再与解密得到的文字的摘要做对比，若二者完全一致，则说明文本没有被篡改过。

需要说明的是，随着AAU与BBU间采用以太网链路，AAU与BBU间需要利用证书实现安全的eCPRI通讯，但是由于AAU与CA服务器之间没有直连通道，因此，AAU无法实现证书的更新或管理。示例性地，请参见图2，图2是基站与CA服务器间的网络架构示意图。如图2所示，在5G通信系统中，基站包括AAU和BBU，其中，BBU与AAU之间的接口称为前传接口，例如可以是通用公共无线接口(common public radiointerface，CPRI)或者增强型通用公共无线接口(enhanced common public radio interface，eCPRI)。BBU与CA服务器之间的接口称为后传接口。其中，AAU与CA服务器之间没有直连通道，因此AAU无法在线向CA服务器申请/更新证书。

基于此，本申请实施例提出了一种通信方法，可以实现数字证书的在线更新/管理。

示例性地，请参见图3，图3是本申请实施例提供的通信方法的应用场景示意图。如图3所示，为防止AAU与BBU间的eCRPI通道受到安全攻击，本申请实施例采用传输层安全性协议(transport layer security，TLS)技术实现BBU与AAU间的传输层安全保护，也就是说，AAU与BBU之间可以采用TLS技术实现数据传输，或描述为AAU与BBU之间采用TLS通道传输数据。其中，BBU和CA服务器之间采用证书管理协议版本2(certificate managementprotocol version 2，CMPv2)协议进行通信。

下面对本申请提供的通信方法及通信装置进行详细介绍：

请参见图4，图4是本申请实施例提供的通信方法的一个流程示意图。如图4所示，该通信方法包括如下步骤S401～S403：

S401、BBU接收来自AAU的第一消息。

在一些可行的实施方式中，AAU生成申请数字证书所需要的密钥对和证书请求文件(certificate request file)。一般来说，证书请求文件是向CA服务器申请颁发证书的一些信息组成的数据文件，其中包含了AAU的公钥信息、申请者信息、域名等信息。其中，AAU的公钥信息可以是AAU的公钥或者AAU的公钥获取信息等，在此不做限制。也就是说，证书请求文件可以用于申请AAU的数字证书。其中，AAU可以向BBU发送第一消息，该第一消息中包括证书请求文件，相应地，BBU接收来自AAU的第一消息。其中，第一消息中除了包括证书请求文件，还可以包括一些其他与证书请求相关的数据，具体参考协议RFC4211中的定义，在此不再进行详细描述。

需要说明的是，AAU向BBU发送第一消息可以理解为通过传输层安全性协议(transport layer security，TLS)通道向BBU发送第一消息，相应地，BBU通过TLS通道接收来自AAU的第一消息。一般来说，在AAU和BBU生产时，可以由其各自的设备生产商在AAU和BBU中内置至少一个设备生产商的证书作为AAU和BBU的身份凭证，在本申请实施例中，由AAU的设备生产商为AAU内置的证书称为AAU生产预置证书或AAU设备证书，由BBU的设备生产商为BBU内置的证书称为BBU生产预置证书或BBU设备证书，为方便描述，可将AAU生产预置证书和BBU生产预置证书统称为生产预置证书(Vendor certificate)。其中，AAU与BBU可以基于生产预置证书建立安全通道(或描述为TLS通道)，即AAU设备证书用于AAU-BBU之间安全通道的建立，BBU设备证书一方面用于AAU-BBU之间建立安全通道，另一方面BBU设备证书还可以用于与CA间建立安全通道。在本申请实施例中，AAU与BBU之间基于生产预置证书建立安全通道或TLS通道的方式可基于协议TLS1.2和TLS1.3中定义的方式，在此不再详细描述。

可理解的，当AAU与BBU之间建立安全通道后，AAU可以通过建立的安全通道与BBU进行通信，例如，AAU通过建立的安全通道向BBU发送第一消息，其中第一消息包括证书请求文件。需要说明的是，BBU接收来自AAU的第一消息，相当于AAU授权BBU代理AAU完成与CA服务器间的CMPv2协议交互以申请数字证书，并将申请获得的数字证书传递给AAU，详细过程参见后续各个步骤的描述。

S402、BBU根据第一消息向证书颁发中心CA服务器发送第二消息。

在一些可行的实施方式中，BBU根据第一消息向证书颁发中心CA服务器发送第二消息，其中第二消息包括证书请求文件。具体地，根据第一消息向CA服务器发送第二消息可以理解为：BBU向AAU发送第三消息，第三消息包括证书请求文件；BBU接收来自AAU的第三消息对应的第一签名数据；BBU向CA服务器发送第二消息，第二消息包括第一签名数据和第三消息。也就是说，当AAU将包括证书请求文件的第一消息发送给BBU后，可以由BBU根据第一消息生成第三消息，并将第三消息发送到AAU进行签名。进一步地，BBU接收来自AAU的第三消息对应的第一签名数据，并将第三消息和第一签名数据进行拼接，以生成第二消息发送给CA服务器。也就是说，BBU可以将第三消息和第三消息对应的第一签名数据发送给CA服务器。

一般来说，AAU可以基于自身的私钥对第三消息进行签名，并将签名后得到的第一签名数据发送给BBU，进而由BBU将完成签名的消息(即第二消息)按CMPv2协议发送给CA服务器。其中，第三消息也可以理解为证书请求消息或证书管理协议(certificatemanagement protocol，CMP)初始化请求(initialization request，IR)消息。其中，第三消息除了包括证书请求文件，其还可以包括其他内容，具体可参见协议RFC4211和协议RFC4210中的定义，在此不再进行详细描述。

下面对AAU基于私钥对第三消息进行签名的过程，以及CA服务器基于第三消息和第一签名数据对第三消息进行完整性校验的过程进行说明。

示例性地，请参见图5，图5是本申请实施例提供的完整性保护的一场景示意图。一般来说，AAU接收到第三消息后，AAU可以基于哈希算法对第三消息进行哈希运算，得到对应的哈希值，再通过AAU的私钥对生成的该哈希值进行加密，得到第一签名数据，然后，AAU将第一签名数据发送给BBU。其中，当BBU接收到来自AAU的第一签名数据后，可以由BBU将第三消息与第一签名数据进行拼接，并将拼接后得到的数据(即第二消息)发送给CA服务器。需要说明的是，当CA服务器接收到由BBU所发送的第二消息时，首先会将接收到的第二消息进行解析，以得到分离后的第三消息和第一签名数据。再基于AAU的公钥对第一签名数据进行解密，可以得到解密后的第三消息对应的哈希值(以下简称第一哈希值)，同时基于哈希算法对分离得到的第三消息中所包括的内容进行哈希运算，可得到第三消息对应的哈希值(以下简称第二哈希值)。最后CA服务器通过对第一哈希值和第二哈希值进行对比分析，可得到对第三消息的校验结果。一般来说，当第一哈希值等于第二哈希值时，CA服务器可确定第三消息在传输过程中未被篡改，当第一哈希值不等于第二哈希值时，CA服务器可确定第三消息在传输过程中被恶意篡改。通常来说，当CA服务器确定第二消息在传输过程中被篡改时，CA服务器可拒绝为AAU颁发数字证书，当CA服务器确定第二消息在传输过程中未被篡改时，可基于第二消息反馈AAU对应的数字证书给BBU。

S403、BBU接收来自CA服务器的数字证书。

在一些可行的实施方式中，BBU接收来自CA服务器的数字证书。可理解的，BBU接收来自CA服务器的数字证书可以理解为：BBU接收来自CA服务器针对第二消息的第一响应，第一响应包括数字证书。其中，第一响应也可以描述为CMP初始化响应(initializationresponse，IP)。其中，第一响应中除了包括数字证书，其还可以包括一些其他内容，其中，有关第一响应包括的具体内容可参见协议RFC4211和协议RFC4210中的定义，在此不再进行详细描述。

一般来说，CA服务器还可以在向BBU发送第一响应的同时，向BBU发送针对第一响应的签名数据，也就是说，第一响应还可以携带第一响应的签名数据一并发送给BBU。其中，第一响应的签名数据为CA服务器基于自身的私钥对第一响应的摘要进行签名后得到的签名数据。

S404、BBU向AAU发送数字证书。

在一些可行的实施方式中，当BBU接收到来自CA服务器的数字证书后，BBU可将接收到的数字证书发送给AAU。具体地，BBU在接收到来自CA服务器针对第二消息的第一响应以及第一响应的签名数据后，BBU可以根据CA的公钥对第一响应的签名数据进行校验，当基于CA的公钥基于第一响应的签名数据对第一响应进行校验的校验结果为校验通过时，向AAU发送数字证书。进一步地，BBU还可以在基于第一响应的签名数据对第一响应进行校验的校验结果为校验通过时，向AAU发送第一确认信息，该第一确认信息可以理解为证书管理协议版本2(certificate management protocol version 2，CMPv2)协议中的CertConfirm消息。当AAU接收到第一确认信息后，AAU可以基于自身的私钥对第一确认信息的摘要进行签名，得到第一确认信息对应的第二签名数据，并将第二签名数据发送给BBU。相应地，当BBU接收到来自AAU的第二签名数据后，BBU可将第一确认信息和第二签名数据发送给CA服务器。其中，CA服务器基于第二签名数据对第一确认信息进行签名验证通过后，CA服务器可向BBU反馈第二确认信息。其中，第二确认信息可以为CMPv2协议中的公钥基础设施(public key infrastructure，PKI)Confirm消息，其具体可以理解为是CA服务器成功接收第一确认信息后反馈的确认信息。其中，针对第二确认信息中包括的具体内容可参见协议RFC4211和RFC4210中的定义，在此不再进行赘述。

示例性地，请参见图6，图6是本申请实施例提供的通信方法的另一流程示意图。其中包括：S601、BBU接收来自AAU的第一消息。其中第一消息包括证书请求文件。S602、BBU向AAU发送第三消息。一般来说，BBU可以根据第一消息中的证书请求文件生成第三消息，并将第三消息发送给AAU进行签名。S603、BBU接收来自AAU针对第三消息对应的第一签名数据。其中，AAU可以基于自身的私钥对第三消息的摘要进行签名以生成第一签名数据反馈给BBU。S604、BBU向CA服务器发送第二消息。BBU接收到第一签名数据后，可将第三消息和第一签名数据进行拼接，并将拼接得到第二消息发送给CA服务器，也就是说，第二消息包括第三消息和第一签名数据。S605、接收来自CA服务器针对第二消息的第一响应。该第一响应中包括CA服务器为AAU颁发的数字证书。通常来说，当CA服务器接收到第二消息后，通过第一签名数据对第三消息进行完整性校验通过后，CA服务器可向BBU发送第一响应，该第一响应中包括CA服务器为AAU颁发的数字证书。通常来说，第一响应还携带有CA服务器基于自身的私钥对第一响应的摘要进行签名后得到的签名数据，即第一响应携带第一响应对应的签名数据。S606、BBU向AAU发送数字证书。BBU在接收到第一响应后，通过第一响应的签名数据对第一响应进行完整性校验通过后，BBU可将第一响应中包括的数字证书发送给AAU。S607、BBU向AAU发送第一确认信息。BBU向AAU发送需要AAU签名的第一确认信息。S608、BBU接收来自AAU针对第一确认信息的第二签名数据。AAU基于自身的私钥对第一确认信息的摘要进行签名后，可将得到的第二签名数据反馈给BBU。S609、BBU向CA服务器发送第一确认信息和第二签名数据。BBU将第一确认信息和第二签名数据进行拼接后，可将拼接得到的信息发送给CA服务器。S610、BBU接收来自CA服务器的第二确认信息。CA服务器基于第二签名数据对第一确认信息进行完整性校验通过后，可向BBU返回第二确认信息。通常来说，第二确认信息可以携带CA服务器基于自身的私钥对第二确认信息的摘要进行签名后的签名数据。

可选的，在一些可行的实施方式中，BBU向AAU发送数字证书还可以理解为：响应于第二确认信息向AAU发送数字证书。也就是说，BBU接收到来自CA服务器的数字证书后，BBU还可以在基于第一响应的签名数据对第一响应进行校验的校验结果为校验通过时，向AAU发送第一确认信息，该第一确认信息可以理解为CMPv2协议中的Cert Confirm消息。当AAU接收到第一确认信息后，AAU可以基于自身的私钥对第一确认信息的摘要进行签名，得到第一确认信息对应的第二签名数据，并将第二签名数据发送给BBU。相应地，当BBU接收到来自AAU的第二签名数据后，BBU可将第一确认信息和第二签名数据发送给CA服务器。其中，CA服务器基于第二签名数据对第一确认信息进行签名验证通过后，CA服务器可向BBU反馈第二确认信息。其中，第二确认信息可以理解为CMPv2协议中的PKI Confirm消息。其中，BBU在接收到来自CA服务器针对第一确认信息的第二确认信息后，再向AAU发送数字证书。通常来说，第二确认信息也可以携带CA服务器针对第二确认信息的摘要进行签名得到的签名数据，为方便描述，以下简称第三签名数据。其中，当BBU接收到来自CA服务器的第二确认信息和第三签名数据后，若基于第三签名数据对第二确认信息进行完整性校验的校验结果为校验通过，则BBU再向AAU发送数字证书。

示例性地，请参见图7，图7是本申请实施例提供的通信方法的另一流程示意图。如图7所示，S701、BBU接收来自AAU的第一消息。其中第一消息包括证书请求文件。S702、BBU向AAU发送第三消息。一般来说，BBU可以根据第一消息中的证书请求文件生成第三消息，并将第三消息发送给AAU进行签名。S703、BBU接收来自AAU针对第三消息对应的第一签名数据。其中，AAU可以基于自身的私钥对第三消息的摘要进行签名以生成第一签名数据反馈给BBU。S704、BBU向CA服务器发送第二消息。BBU接收到第一签名数据后，可将第三消息和第一签名数据进行拼接，并将拼接得到第二消息发送给CA服务器，也就是说，第二消息包括第三消息和第一签名数据。S705、接收来自CA服务器针对第二消息的第一响应。该第一响应中包括CA服务器为AAU颁发的数字证书。通常来说，当CA服务器接收到第二消息后，通过第一签名数据对第三消息进行完整性校验通过后，CA服务器可向BBU发送第一响应，该第一响应中包括CA服务器为AAU颁发的数字证书。通常来说，第一响应还携带有CA服务器基于自身的私钥对第一响应的摘要进行签名后得到的签名数据，即第一响应携带第一响应对应的签名数据。S706、BBU向AAU发送第一确认信息。BBU向AAU发送需要AAU签名的第一确认信息。S707、BBU接收来自AAU针对第一确认信息的第二签名数据。AAU基于自身的私钥对第一确认信息的摘要进行签名后，可将得到的第二签名数据反馈给BBU。S708、BBU向CA服务器发送第一确认信息和第二签名数据。BBU将第一确认信息和第二签名数据进行拼接后，可将拼接得到的信息发送给CA服务器。S709、BBU接收来自CA服务器的第二确认信息。CA服务器基于第二签名数据对第一确认信息进行完整性校验通过后，可向BBU返回第二确认信息。通常来说，第二确认信息可以携带CA服务器基于自身的私钥对第二确认信息的摘要进行签名后的签名数据。S710、BBU向AAU发送数字证书。BBU在接收到第二确认信息，并基于第二确认信息的签名数据(即第三签名数据)对第二确认信息进行完整性校验通过后，向AAU发送数字证书。

需要说明的是，BBU在接收到来自CA服务器的数字证书，并向AAU发送数字证书的时机也可以根据实际场景确定，在此不做限制。其中，AAU的数字证书可以是运营商设备证书等，在此不做限制。

可理解的，当BBU代理AAU完成数字证书的申请后，可关闭AAU与BBU间代理申请通道。其中，AAU可以使用获取到的数字证书与BBU建立业务连接。

下面将结合图8～图11对本申请提供的通信装置进行详细说明。

请参见图8，图8是本申请实施例提供的一种通信装置的结构示意图。图8所示的通信装置可以用于执行上述图4～图7所描述的方法实施例中第二设备的部分或全部功能。该装置可以是第二设备，也可以是第二设备中的装置，或者是能够和第二设备匹配使用的装置。其中，该通信装置还可以为芯片系统。图8所示的通信装置可以包括收发单元801和处理单元802。其中，处理单元802，用于进行数据处理。收发单元801集成有接收单元和发送单元。收发单元801也可以称为通信单元。或者，也可将收发单元801拆分为接收单元和发送单元。

下文的处理单元802和收发单元801同理，下文不再赘述。其中：

收发单元801，用于接收来自第一设备的第一消息，所述第一消息中包括证书请求文件，所述证书请求文件用于申请所述第一设备的数字证书；

处理单元802，用于通过所述收发单元801根据所述第一消息向证书颁发中心CA服务器发送第二消息，所述第二消息包括所述证书请求文件；

所述收发单元801，用于接收来自所述CA服务器的所述数字证书；

所述收发单元801，用于向所述第一设备发送所述数字证书。

在一种可能的实现中，所述处理单元802具体用于：

通过所述收发单元801向所述第一设备发送第三消息，所述第三消息包括所述证书请求文件；

通过所述收发单元801接收来自所述第一设备的所述第三消息对应的第一签名数据；

通过所述收发单元801向所述CA服务器发送第二消息，所述第二消息包括所述第一签名数据和所述第三消息。

在一种可能的实现中，所述收发单元801具体用于：

在一种可能的实现中，所述第一响应携带所述第一响应的签名数据；所述收发单元801具体用于：

在一种可能的实现中，所述收发单元801具体用于：

该通信装置的其他可能的实现方式，可参见上述图4～图7对应的方法实施例中对接入网设备功能的相关描述，在此不赘述。

请参见图9，图9是本申请实施例提供的另一种通信装置的结构示意图。图9所示的通信装置可以用于执行上述图4～图7所描述的方法实施例中第一设备的部分或全部功能。该装置可以是第一设备，也可以是第一设备中的装置，或者是能够和第一设备匹配使用的装置。其中，该通信装置还可以为芯片系统。图9所示的通信装置可以包括收发单元901和处理单元902。其中：

收发单元901，用于向第二设备发送第一消息，所述第一消息中包括证书请求文件，所述证书请求文件用于申请第一设备的数字证书；

所述收发单元901，用于接收来自所述第二设备的所述数字证书。

在一种可能的实现中，所述收发单元901，用于接收来自所述第二设备的第三消息，所述第三消息包括所述证书请求文件；

所述装置还包括：

处理单元902，通过所述收发单元901向所述第二设备发送所述第三消息对应的第一签名数据。

在一种可能的实现中，所述收发单元901具体用于：

接收来自所述第二设备的第一确认信息；

请参见图10，图10是本申请实施例提供的另一种通信装置的结构示意图。该通信装置可以为本申请实施例中的第二设备。如图10所示，本实施例中的第二设备可以包括：一个或多个处理器1001、存储器1002和收发器1003。上述处理器1001、存储器1002和收发器1003通过总线1004连接。存储器1002用于存储计算机程序，该计算机程序包括程序指令，处理器1001和收发器1003用于执行存储器1002存储的程序指令，以实现上述图10～图7中第二设备的功能。

应当理解，在一些可行的实施方式中，上述处理器1001可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integratedcircuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。该存储器1002可以包括只读存储器和随机存取存储器，并向处理器1001提供指令和数据。存储器1002的一部分还可以包括非易失性随机存取存储器。例如，存储器1002还可以存储设备类型的信息。

请参见图11，图11是本申请实施例提供的另一种通信装置的结构示意图。该通信装置可以为本申请实施例中的第一设备。如图11所示，本实施例中的第一设备可以包括：一个或多个处理器1101、存储器1102和收发器1103。上述处理器1101、存储器1102和收发器1103通过总线1104连接。存储器1102用于存储计算机程序，该计算机程序包括程序指令，处理器1101和收发器1103用于执行存储器1102存储的程序指令，以实现上述图11～图7中第一设备的功能。

应当理解，在一些可行的实施方式中，上述处理器1101可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integratedcircuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。该存储器1102可以包括只读存储器和随机存取存储器，并向处理器1101提供指令和数据。存储器1102的一部分还可以包括非易失性随机存取存储器。例如，存储器1102还可以存储设备类型的信息。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在处理器上运行时，上述方法实施例的方法流程得以实现。

本申请实施例还提供一种计算机程序产品，当所述计算机程序产品在处理器上运行时，上述方法实施例的方法流程得以实现。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的计算机可读存储介质，可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦可编程只读存储器(electrically erasableprogrammable read only memory，EEPROM)、紧凑型光盘只读存储器(compact disc read-only memory，CD-ROM)、通用串行总线闪存盘(universal serial bus flash disk)、移动硬盘、或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。另外，通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronousDRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)或直接内存总线随机存取存储器(direct rambusRAM，DR RAM)。

以上所述，仅为本申请的具体实施方式，但本申请实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请实施例的保护范围之内。因此，本申请实施例的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种通信方法，其特征在于，包括：

接收来自所述CA服务器的所述数字证书；

向所述第一设备发送所述数字证书。

2.根据权利要求1所述的方法，其特征在于，所述根据所述第一消息向CA服务器发送第二消息，包括：

3.根据权利要求1或2所述的方法，其特征在于，所述接收来自所述CA服务器的所述数字证书，包括：

4.根据权利要求3所述的方法，其特征在于，所述第一响应携带所述第一响应的签名数据；所述向所述第一设备发送所述数字证书，包括：

5.根据权利要求4所述的方法，其特征在于，所述根据基于所述第一响应的签名数据对所述第一响应进行校验的校验结果，向所述CA服务器发送第一确认信息，包括：

6.一种通信方法，其特征在于，包括：

接收来自所述第二设备的所述数字证书。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

向所述第二设备发送所述第三消息对应的第一签名数据。

8.根据权利要求6或7所述的方法，其特征在于，所述方法还包括：

接收来自所述第二设备的第一确认信息；

9.一种通信装置，其特征在于，所述通信装置为第二设备，包括：

所述收发单元，用于向所述第一设备发送所述数字证书。

10.根据权利要求9所述的装置，其特征在于，所述处理单元具体用于：

11.根据权利要求9或10所述的装置，其特征在于，所述收发单元具体用于：

12.根据权利要求11所述的装置，其特征在于，所述第一响应携带所述第一响应的签名数据；所述收发单元具体用于：

13.根据权利要求12所述的装置，其特征在于，所述收发单元具体用于：

14.一种通信装置，其特征在于，所述通信装置为第一设备，包括：

15.根据权利要求14所述的装置，其特征在于，所述收发单元，用于接收来自所述第二设备的第三消息，所述第三消息包括所述证书请求文件；

所述装置还包括：

16.根据权利要求14或15所述的装置，其特征在于，所述收发单元具体用于：

接收来自所述第二设备的第一确认信息；

17.一种通信装置，其特征在于，包括处理器和收发器，所述处理器和所述收发器用于执行至少一个存储器中存储的计算机程序或指令，以使得所述装置实现如权利要求1～5中任一项所述方法。

18.一种通信装置，其特征在于，包括处理器和收发器，所述处理器和所述收发器用于执行至少一个存储器中存储的计算机程序或指令，以使得所述装置实现如权利要求6～8中任一项所述的方法。

19.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被计算机执行时，实现如权利要求1～5中任一项所述的方法。

20.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被计算机执行时，实现如权利要求6～8中任一项所述的方法。

21.一种计算机程序产品，其特征在于，所述计算机程序产品中包括计算机程序代码，当所述计算机程序代码在计算机上运行时，以实现权利要求1～5中任一项所述的方法。

22.一种计算机程序产品，其特征在于，所述计算机程序产品中包括计算机程序代码，当所述计算机程序代码在计算机上运行时，以实现如权利要求6～8中任一项所述的方法。