CN115442801A

CN115442801A - 传输系统消息的方法和装置

Info

Publication number: CN115442801A
Application number: CN202110619004.8A
Authority: CN
Inventors: 熊晓春; 时代
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2021-06-03
Filing date: 2021-06-03
Publication date: 2022-12-06
Also published as: WO2022253298A1

Abstract

本申请提供了一种传输系统消息的方法和装置，该传输系统消息的方法包括：网络设备获取特征参数和自身相对应的私钥，该私钥和该特征参数用于对该系统消息进行数字签名，该网络设备基于该私钥、该特征参数以及第一计时器参数对系统消息进行数字签名；该网络设备广播被保护的系统消息，该被保护的系统消息中包括该系统消息、该数字签名以及该第一计时器参数的信息，其中，该特征参数为该网络设备的固有特征参数，该第一计时器参数为该网络设备本地维护的第一计时器的参数。通过对系统消息进行数字签名，防止合法网络设备发送的系统消息被不合法网络设备修改。

Description

传输系统消息的方法和装置

技术领域

本申请涉及通信领域，并且更具体地，涉及一种传输系统消息的方法和装置。

背景技术

在无线通信系统中，终端设备在初始入网时通过网络设备广播的系统消息(system information，SI)获得网络设备的一些基本信息(例如，终端设备所处小区的网络信息、注册区域的信息、公共信道的信息、以及其它小区的信息等)，从而完成接入网络设备的流程。

由于在初始状态，网络设备不知道终端设备什么时候会接入，在终端设备与网络设备建立联接之前，两者之间无法建立安全上下文，所以网络设备发送的系统消息无法进行加密保护，可能会存在一些安全问题，比如不合法网络设备(或称为伪基站)可能会修改合法网络设备发送的系统消息，而终端设备无法识别接收到的系统消息的合法性。

发明内容

本申请提供一种传输系统消息的方法，能够防止合法网络设备发送的系统消息被不合法网络设备修改。

第一方面，提供了一种传输系统消息的方法，该传输系统消息的方法可以由网络设备执行，或者，也可以由设置于网络设备中的芯片或电路执行，本申请对此不作限定，为了便于描述，下面以由网络设备执行为例进行说明。

该传输系统消息的方法包括：

网络设备获取特征参数和与该网络设备相对应的私钥，该私钥和该特征参数用于对该系统消息进行数字签名；该网络设备基于该私钥和该特征参数以及第一计时器参数对该系统消息进行数字签名；该网络设备广播被保护的系统消息，该被保护的系统消息中包括该系统消息、该数字签名以及该第一计时器参数的信息，其中，该特征参数为该网络设备的固有特征参数，该第一计时器参数为该网络设备本地维护的第一计时器的参数。

根据本申请实施例提供的传输系统消息的方法，网络设备基于自身固有的特征参数、自身相对应的私钥和本地维护的第一计时器的参数对待发送的系统消息进行数字签名，能够保护待发送的系统消息，防止合法网络设备发送的系统消息被不合法网络设备修改。

结合第一方面，在第一方面的某些实现方式中，该网络设备获取与该网络设备相对应的私钥包括：该网络设备基于该特征参数生成该网络设备的标识；该网络设备向密钥生成中心发送该标识，该标识用于生成该私钥；该网络设备接收来自该密钥中心的该私钥。

本申请实施例提供的传输系统消息的方法，网络设备相对应的私钥可以是基于网络设备的标识生成的，而网络设备的标识可以为网络设备基于自身固有的特征参数生成，从而能够使得网络设备的标识与网络设备自身固有的特征参数相关，避免在某些场景下(如，不合法网络设备和合法网络设备的固有特征不同)不合法网络设备重放合法网络设备的系统消息，吸附终端设备。

结合第一方面，在第一方面的某些实现方式中，该网络设备获取与该网络设备相对应的特征参数包括：该网络设备的底层的处理单元确定该特征参数；该网络设备的底层的处理单元将该特征参数发送给该网络设备的高层的处理单元，其中，该网络设备的底层包括射频器件、分组数据汇聚层协议PDCP层、无线链路控制RLC层、媒体接入控制MAC 层和物理PHY层中的至少一个，该网络设备的高层包括无线资源控制RRC层。

本申请实施例提供的传输系统消息的方法，网络设备获取的特征参数可以是网络设备的底层的处理单元获取的底层参数，并且底层的处理单元可以是射频器件、分组数据汇聚层协议PDCP层、无线链路控制RLC层、媒体接入控制MAC层和物理PHY层中的至少一个，提高了方案的灵活性。

结合第一方面，在第一方面的某些实现方式中，该被保护的系统消息中还包括该特征参数的信息，该特征参数的信息用于指示该特征参数。

本申请实施例提供的传输系统消息的方法，网络设备广播的被保护的系统消息中还可以包括用于指示特征参数的信息，能够通过明文传输使得终端设备获取网络设备的特征参数，提高终端设备获取网络设备的特征参数的准确性。

结合第一方面，在第一方面的某些实现方式中，该特征参数包括以下至少一项：该网络设备的频点、该网络设备的物理小区标识PCI、该网络设备的天线数、该网络设备的控制信道占用符号数CFI或该网络设备的射频指纹。

上述的网络设备的特征参数可以是该网络设备的频点、该网络设备的物理小区标识 PCI、该网络设备的天线数、该网络设备的控制信道占用符号数CFI或该网络设备的射频指纹等，能够作为网络设备的特征参数的参数有多种，提高方案的灵活性。

第二方面，提供了一种传输系统消息的方法，该传输系统消息的方法可以由终端设备执行，或者，也可以由设置于终端设备中的芯片或电路执行，本申请对此不作限定，为了便于描述，可以以由终端设备执行为例进行说明。

该传输系统消息的方法包括：

终端设备获取公钥和网络设备的特征参数，该公钥和该特征参数用于验证该系统消息的数字签名；该终端设备接收来自该网络设备的被保护的系统消息，该被保护的系统消息中包括该系统消息、该数字签名以及第一计时器参数的信息；该终端设备基于该公钥和该特征参数以及第二计时器参数验证该数字签名，其中，该特征参数为该网络设备的固有特征参数，该第一计时器参数为该网络设备本地维护的第一计时器的参数，该第二计时器参数为该终端设备本地维护的第二计时器的参数。

根据本申请实施例提供的传输系统消息的方法，终端设备接收到的系统消息为网络设备基于自身固有的特征参数、自身相对应的私钥和本地维护的第一计时器的参数保护过的系统消息，防止合法网络设备发送的系统消息被不合法网络设备修改。

结合第二方面，在第二方面的某些实现方式中，该终端设备获取网络设备的特征参数包括：该终端设备的底层的处理单元通过盲检获取该特征参数；该终端设备的底层的处理单元将该特征参数发送给该终端设备的高层的处理单元，其中，该终端设备的底层包括射频器件、分组数据汇聚层协议层PDCP、无线链路控制层RLC、媒体接入控制层MAC和物理层PHY中的至少一个，该终端设备的高层包括无线资源控制层RRC。

结合第二方面，在第二方面的某些实现方式中，该被保护的系统消息中还包括该特征参数的信息，该特征参数的信息用于指示该特征参数。

结合第二方面，在第二方面的某些实现方式中，该特征参数包括以下至少一项：该网络设备的频点、该网络设备的物理小区标识PCI、该网络设备的天线数、该网络设备的控制信道占用符号数CFI或该网络设备的射频指纹。

第三方面，提供一种传输系统消息的装置，所述传输系统消息的装置包括处理器，用于实现上述第一方面描述的方法中网络设备的功能。

可选地，所述传输系统消息的装置还可以包括存储器，所述存储器与所述处理器耦合，所述处理器用于实现上述第一方面描述的方法中网络设备的功能。

在一种可能的实现中，所述存储器用于存储程序指令和数据。所述存储器与所述处理器耦合，所述处理器可以调用并执行所述存储器中存储的程序指令，用于实现上述第一方面描述的方法中网络设备的功能。可选地，所述传输系统消息的装置还可以包括通信接口，所述通信接口用于所述传输系统消息的装置与其它设备进行通信。当该传输系统消息的装置为网络设备时，所述通信接口为收发器、输入/输出接口、或电路等。

在一种可能的设计中，所述传输系统消息的装置包括：处理器和通信接口，用于实现上述第一方面描述的方法中网络设备的功能，具体地包括：

所述处理器利用所述通信接口与外部通信；

所述处理器用于运行计算机程序，使得所述装置实现上述第一方面描述的任一种方法。

可以理解，所述外部可以是处理器以外的对象，或者是所述装置以外的对象。

在另一种可能的设计中，该传输系统消息的装置为芯片或芯片系统。所述通信接口可以是该芯片或芯片系统上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

第四方面，提供一种传输系统消息的装置，所述传输系统消息的装置包括处理器，用于实现上述第二方面描述的方法中终端设备的功能。

可选地，所述传输系统消息的装置还可以包括存储器，所述存储器与所述处理器耦合，所述处理器用于实现上述第二方面描述的方法中终端设备的功能。

在一种可能的实现中，所述存储器用于存储程序指令和数据。所述存储器与所述处理器耦合，所述处理器可以调用并执行所述存储器中存储的程序指令，用于实现上述第二方面描述的方法中终端设备的功能。

可选地，所述传输系统消息的装置还可以包括通信接口，所述通信接口用于所述传输系统消息的装置与其它设备进行通信。当该传输系统消息的装置为终端设备时，所述收发器可以是通信接口，或，输入/输出接口。

在一种可能的设计中，所述传输系统消息的装置包括：处理器和通信接口，用于实现上述第二方面描述的方法中终端设备的功能，具体地包括：

所述处理器利用所述通信接口与外部通信；

所述处理器用于运行计算机程序，使得所述装置实现上述第二方面描述的任一种方法。

在另一种实现方式中，该传输系统消息的装置为芯片或芯片系统时，所述通信接口可以是是该芯片或芯片系统上输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被通信装置执行时，使得所述通信装置实现第一方面以及第一方面的任一可能的实现方式中的方法。

第六方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被通信装置执行时，使得所述通信装置实现第二方面以及第二方面的任一可能的实现方式中的方法。

第七方面，提供一种包含指令的计算机程序产品，所述指令被计算机执行时使得通信装置实现第一方面以及第一方面的任一可能的实现方式中的方法。

第八方面，提供一种包含指令的计算机程序产品，所述指令被计算机执行时使得通信装置实现第二方面以及第二方面的任一可能的实现方式中的方法。

第九方面，提供了一种通信系统，包括第三方面所示的传输系统消息的装置和第四方面所示的传输系统消息的装置。

附图说明

图1是适用于本申请实施例的传输系统消息的方法的通信系统100的示意图。

图2是本申请实施例提供的一种系统消息的示意性框图。

图3是本申请实施例提供的一种传输系统消息的方法的示意性流程图。

图4中的(a)和(b)是本申请实施例提供的另一种系统消息的示意性框图。

图5是本申请提出的传输系统消息的装置500的示意图。

图6是适用于本申请实施例的用终端设备600的结构示意图。

图7是本申请提出的传输系统消息的装置700的示意图。

图8是适用于本申请实施例的网络设备800的结构示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信系统，例如：长期演进(long termevolution，LTE)系统、LTE频分双工(frequency division duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、全球互联微波接入(worldwide interoperability formicrowave access，WiMAX)通信系统、第五代(5th generation，5G)系统、新无线(newradio，NR)或未来网络等，本申请中所述的5G移动通信系统包括非独立组网 (non-standalone，NSA)的5G移动通信系统或独立组网(standalone，SA)的5G移动通信系统。本申请提供的技术方案还可以应用于未来的通信系统，如第六代移动通信系统。通信系统还可以是陆上公用移动通信网(public land mobile network，PLMN)网络、设备到设备(device-to-device，D2D)通信系统、机器到机器(machine to machine，M2M)通信系统、物联网(internet of Things，IoT)通信系统或者其他通信系统。

本申请实施例中的终端设备(terminal equipment)可以指接入终端、用户单元、用户站、移动站、移动台、中继站、远方站、远程终端、移动设备、用户终端(userterminal)、用户设备(user equipment，UE)、终端(terminal)、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol， SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，PLMN)中的终端设备或者未来车联网中的终端设备等，本申请实施例对此并不限定。

作为示例而非限定，在本申请实施例中，可穿戴设备也可以称为穿戴式智能设备，是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，例如：智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

此外，在本申请实施例中，终端设备还可以是IoT系统中的终端设备，IoT是未来信息技术发展的重要组成部分，其主要技术特点是将物品通过通信技术与网络连接，从而实现人机互连，物物互连的智能化网络。在本申请实施例中，IOT技术可以通过例如窄带(narrow band，NB)技术，做到海量连接，深度覆盖，终端省电。

此外，在本申请实施例中，终端设备还可以包括智能打印机、火车探测器、加油站等传感器，主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据，并发送电磁波，向网络设备传输上行数据。

本申请实施例中的网络设备可以是用于与终端设备通信的任意一种具有无线收发功能的通信设备。该设备包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、家庭基站(home evolvedNodeB，HeNB，或home Node B，HNB)、基带单元(baseBand unit，BBU)，无线保真 (wirelessfidelity，WIFI)系统中的接入点(access point，AP)、无线中继节点、无线回传节点、传输点(transmission point，TP)或者发送接收点(transmission and reception point，TRP)等，还可以为5G系统，如，NR系统中的gNB，或，传输点(TRP或TP)，5G 系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB 或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

在一些部署中，本申请实施例中的网络设备可以是指集中单元(central unit，CU)或者分布式单元(distributed unit，DU)或者，网络设备包括CU和DU。gNB还可以包括有源天线单元(active antenna unit，AAU)。CU实现gNB的部分功能，DU实现gNB的部分功能。比如，CU负责处理非实时协议和服务，实现无线资源控制(radio resource control，RRC)层，分组数据汇聚层协议(packet data convergence protocol，PDCP)层的功能。DU负责处理物理层协议和实时服务，实现无线链路控制(radio link control，RLC) 层、媒体接入控制(media access control，MAC)层和物理(physical，PHY)层的功能。 AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令，也可以认为是由DU发送的，或者，由DU+AAU发送的。可以理解的是，网络设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外，可以将CU划分为接入网(radio accessnetwork，RAN)中的网络设备，也可以将CU划分为核心网(core network，CN)中的网络设备，本申请对此不做限定。

进一步地，CU还可以划分为控制面的中央单元(CU-CP)和用户面的中央单元 (CU-UP)。其中，CU-CP和CU-UP也可以部署在不同的物理设备上，CU-CP负责控制面功能，主要包含RRC层和PDCP-C层。PDCP-C层主要负责控制面数据的加解密，完整性保护，数据传输等。CU-UP负责用户面功能，主要包含SDAP层和PDCP-U层。其中SDAP层主要负责将核心网的数据进行处理并将流(flow)映射到承载。PDCP-U层主要负责数据面的加解密，完整性保护，头压缩，序列号维护，数据传输等至少一种功能。具体地，CU-CP和CU-UP通过通信接口(例如，E1接口)连接。CU-CP代表网络设备通过通信接口(例如，Ng接口)和核心网设备连接，通过通信接口(例如，F1-C(控制面)接口)和DU连接。CU-UP通过通信接口(例如，F1-U(用户面)接口)和DU连接。

还有一种可能的实现，PDCP-C层也包含在CU-UP中。

可以理解的是，以上关于CU和DU，以及CU-CP和CU-UP的协议层划分仅为示例，也可能有其他的划分方式，本申请实施例对此不做限定。

本申请实施例所提及的网络设备可以为包括CU、或DU、或包括CU和DU的设备、或者控制面CU节点(CU-CP节点)和用户面CU节点(CU-UP节点)以及DU节点的设备。

网络设备和终端设备可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上；还可以部署在空中的飞机、气球和卫星上。本申请实施例中对网络设备和终端设备所处的场景不做限定。

在本申请实施例中，终端设备或网络设备包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。该硬件层包括中央处理器(centralprocessing unit， CPU)、内存管理单元(memory management unit，MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。

另外，本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括，但不限于：磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compact disc，CD)、数字通用盘(digital versatiledisc，DVD)等)，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammable read-only memory，EPROM)、卡、棒或钥匙驱动器等)。另外，本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读存储介质”可包括但不限于，无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

为便于理解本申请实施例，首先以图1中示出的通信系统为例详细说明适用于本申请实施例的通信系统。图1是适用于本申请实施例的传输系统消息的方法的通信系统100的示意图。如图1所示，该通信系统100可以包括至少一个网络设备，例如图1所示的网络设备110；该通信系统100还可以包括至少一个终端设备，例如图1所示的终端设备120。网络设备110与终端设备120可通过无线链路通信。各通信设备，如网络设备110或终端设备120，均可以配置多个天线。对于该通信系统100中的每一个通信设备而言，所配置的多个天线可以包括至少一个用于发送信号的发射天线和至少一个用于接收信号的接收天线。因此，该通信系统100中的各通信设备之间，如网络设备110与终端设备120之间，可通过多天线技术通信。

应理解，图1仅为便于理解而示例的简化示意图，该通信系统100中还可以包括其他网络设备或者还可以包括其他终端设备，图1中未予以画出。

为便于理解本申请实施例，对本申请实施例中涉及的几个基本概念做简单说明。应理解，下文中所介绍的基本概念是以NR协议中规定的基本概念为例进行简单说明，但并不限定本申请实施例只能够应用于NR系统。因此，以NR系统为例描述时出现的标准名称，都是功能性描述，具体名称并不限定，仅表示设备的功能，可以对应的扩展到其它系统，比如2G、3G、4G或未来通信系统中。

1、系统消息。

可以是指无线通信系统中，网络设备向一个小区内的终端设备发送的消息，该消息可以包括该小区的小区级别的信息，对于该小区的所有终端设备有效。通常，网络设备可以采用广播方式发送系统消息。或者，也可以是指调度组头在旁链路(sidelink)资源上向该调度组头服务的终端设备发送的消息，该消息可以包括该调度组头服务的某一区域的信息，此种情形下，对于调度组内的终端设备来说，调度组头的功能类似于网络设备的功能。通常，调度组头可以采用广播方式发送系统消息。

示例性地，系统消息可以包含一个主信息块(master information block，MIB)以及至少一个系统消息块(system information block，SIB)。其中，SIB1中包含终端设备接入小区所需的信息以及其它SIB的调度信息。通常，终端设备在接收系统消息时，可以先接收 MIB，再接收SIB1，然后再接收系统消息中的其他信息(比如SIB2、SIB3)；

应理解，本申请实施例中涉及的系统消息可以理解为网络设备下发的没有加密保护的广播的消息，包括但不限于上述的MIB和SIB(如，SIB1、SIB2、SIB3……等)，如，还可以是寻呼消息(paging)。

2、基于身份的签名。

基于身份的签名技术是一种非对称加密技术。该非对称加密技术涉及的密钥由基于身份的公钥和私钥两部分组成，但是与传统的公钥不同，基于身份的公钥的基本特征就是一串有意义的数字或者字符串，如电话号码，邮箱(email)等。在传统的公钥系统中，私钥一般由用户或设备自己生成，公钥由数字证书(certificate authority，CA)系统签名形成证书。在基于身份的签名系统中，传统的CA被密钥生成中心(private keygenerator，PKG) 替代。密钥中心生成全局公钥和全局私钥。用户需要生成基于身份密钥时，用户向密钥中心提供自己身份，密钥中心根据用户的身份，以及全局公钥或私钥，为用户生成私钥，并把身份、全局公钥和私钥发送给用户。然后用户就可以使用该私钥进行签名或者解密。

3、载波频点号(E-UTRA absolute radio frequency channel number，EARFCN)。

为了唯一标识某个LTE或NR系统所在的频率范围，仅用频带和信道带宽这两个参数是无法限定的，比如中移动的频带40占了50M频率范围，而LTE最大的信道带宽是20M，那么在这个50M范围里是没有办法限定这个20M具体在什么位置，这个时候就要引入新的参数：载波中心频率(centre carrier frequency，Fc)，还可以称为载波频率。载波频点号可以用来指代载波频率，载波频点号和载波频率之间一一对应，可以互相转换。

4、物理小区标识(physical cell identifier，PCI)。

LTE中终端设备以PCI区分不同小区的无线信号。在物理层中一般用小区组标识(cell identifier，Cell ID)来指代。终端设备通过盲检主同步信号(primarysynchronization signal， PSS)和/或辅同步信号(secondary synchronization signal，SSS)获取Cell ID。

5、控制信道占用符号数(control format indicator，CFI)。

LTE中物理控制格式指示信道(physical control format indicator channel，PCFICH)携带的信息，具体介绍可以参考目前协议(如，36.211中的Table 6.7-1)中的描述，本申请中不进行赘述。

6、重放攻击(replay attacks)。

又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生，是计算机世界黑客常用的攻击方式之一。

7、数字签名。

又称公钥数字签名，是信息的发送者产生的一段数字串，这段数字串是对信息的发送者发送信息真实性的一个有效证明。数字签名是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。

此外，为了便于理解本申请实施例，做出以下几点说明。

第一，在本申请中，“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时，可以包括该指示信息直接指示A或间接指示A，而并不代表该指示信息中一定包括有A。

将指示信息所指示的信息称为待指示信息，则具体实现过程中，对待指示信息进行指示的方式有很多种。例如但不限于，可以直接指示待指示信息，如待指示信息本身或者该待指示信息的索引等。也可以通过指示其他信息来间接指示待指示信息，其中该其他信息与待指示信息之间存在关联关系。还可以仅仅指示待指示信息的一部分，而待指示信息的其他部分则是已知的或者提前约定的。

此外，具体的指示方式还可以是现有各种指示方式，例如但不限于，上述指示方式及其各种组合等。各种指示方式的具体细节可以参考现有技术，本文不再赘述。由上文所述可知，举例来说，当需要指示相同类型的多个信息时，可能会出现不同信息的指示方式不相同的情形。具体实现过程中，可以根据具体的需要选择所需的指示方式，本申请实施例对选择的指示方式不做限定，如此一来，本申请实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。

此外，待指示信息可能存在其他等价形式，例如行向量可以表现为列向量，一个矩阵可以通过该矩阵的转置矩阵来表示，一个矩阵也可以表现为向量或者数组的形式，该向量或者数组可以由该矩阵的各个行向量或者列向量相互连接而成，等。本申请实施例提供的技术方案应理解为涵盖各种形式。举例来说，本申请实施例涉及的部分或者全部特性，应理解为涵盖该特性的各种表现形式。

待指示信息可以作为一个整体一起发送，也可以分成多个子信息分开发送，而且这些子信息的发送周期和/或发送时机可以相同，也可以不同。具体发送方法本申请不进行限定。其中，这些子信息的发送周期和/或发送时机可以是预先定义的，例如根据协议预先定义的，也可以是发射端设备通过向接收端设备发送配置信息来配置的。其中，该配置信息可以例如但不限于包括无线资源控制信令、媒体接入控制(media access control，MAC) 层信令和物理层信令中的一种或者至少两种的组合。其中，无线资源控制信令例如包无线资源控制(radio resource control，RRC)信令；MAC层信令例如包括MAC控制元素(control element，CE)；物理层信令例如包括下行控制信息(downlink controlinformation，DCI)。

第二，在本申请中第一、第二以及各种数字编号(例如，“#1”、“#2”)仅为描述方便进行的区分，并不用来限制本申请实施例的范围。例如，区分不同的网络设备等。

第三，在本申请中，“预设的”可包括由网络设备信令指示，或者预先定义，例如，协议定义。其中，“预先定义”可以通过在设备(例如，包括终端设备和网络设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现，本申请对于其具体的实现方式不做限定。

第四，本申请实施例中涉及的“保存”，可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器，可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或通信装置中。所述一个或者多个存储器，也可以是一部分单独设置，一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质，本申请并不对此限定。

第五，本申请实施例中涉及的“协议”可以是指通信领域的标准协议，例如可以包括 LTE协议、NR协议以及应用于未来的通信系统中的相关协议，本申请对此不做限定。

上文结合图1简单介绍了本申请实施例提供的传输系统消息的方法能够应用的场景，以及介绍了本申请实施例中可能涉及到的基本概念，下面将结合附图详细说明本申请实施例提供的传输系统消息的方法。

应理解，本申请实施例提供的传输系统消息的方法可以应用于通过多天线技术通信的系统，例如，图1中所示的通信系统100。该通信系统可以包括至少一个网络设备和至少一个终端设备。网络设备和终端设备之间可通过多天线技术通信。

还应理解，下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定，只要能够通过运行记录有本申请实施例的提供的方法的代码的程序，以根据本申请实施例提供的方法进行通信即可，例如，本申请实施例提供的方法的执行主体可以是终端设备或网络设备，或者，是终端设备或网络设备中能够调用程序并执行程序的功能模块。

以下，不失一般性，以网络设备与终端设备之间的交互为例详细说明本申请实施例提供的传输系统消息的方法。

在图1所示意的系统架构中，网络设备可以通过系统消息通知该网络设备覆盖范围内的终端设备有关网络的各种信息。由于目前系统消息未经过任何的安全保护，因此终端设备无法识别接收到的系统消息的合法性。为了使得终端设备识别系统消息的合法性，可以考虑引入密钥机制来对系统消息进行完整性保护，比如引入非对称密钥机制来对系统消息进行完整性保护。

一种传输系统消息的方法包括：

步骤一：PKG生成一个公钥，该公钥通过预配置或是其他方法告知终端设备。

步骤二：PKG为每个网络设备生成一个私钥，用于网络设备对系统消息进行数字签名。

步骤三：为了防止重放攻击，在生成数字签名的时候需要输入计时器(TimeCounter) 参数；Time Counter参数可以作为系统消息的一部分，被数字签名所保护；

示例性地，为了节约开销可以多条系统消息一起进行数字签名。

示例性地，网络设备生成的被保护的系统消息如图2所示，图2是本申请实施例提供的一种系统消息的示意性框图。

从图2中可以看出，被保护的系统消息包括系统消息(system information)、数字签名(digital signature)和Time Counter参数的最小表示比特数(leastsignification bits of Time Counter，LSBs of Time Counter)，该LSBs of TimeCounter可以理解为计时器参数的信息，用于指示该计时器参数。

其中，系统消息为待发送的系统消息；数字签名为待发送的系统消息、该网络设备的私钥以及Time Counter参数经过安全算法生成的；LSBs of Time Counter用于标识Time Counter参数。

应理解，本申请实施例中对于如何生成数字签名不做限定，可以参考目前数字签名相技术中的描述。

步骤四：终端设备接收到系统消息后，使用公钥对系统消息的签名进行验证，确定收到消息的合法性。

另一种传输系统消息的方法包括：

步骤一：PKG产生一对密钥：PKG生成的公钥(public key generated by privatekey generator，PKPKG)和PKG生成的私钥(security key generated by private keygenerator， SKPKG)，SKPKG在PKG中保存，PKPKG被预配置给终端设备保存，PKG根据每个网络设备的ID和SKPKG为每个网络设备生成SK。

步骤二：每个网络设备都有一个全局ID，这个ID是全局和公开的。ID与SK相关联。ID的任何更改都需要在PKG进行验证，并发布新的ID和相应的SK。

步骤三：每个网络设备向PKG发送请求消息，请求PKG为其生成SK。

例如，网络设备#1向PKG发送请求消息#1，请求PKG为网络设备#1生成SK#1，该请求消息#1中携带网络设备#1的标识ID#1；网络设备#2向PKG发送请求消息#2，请求 PKG为网络设备#2生成SK#2，该请求消息#2中携带网络设备#2的标识ID#2。

步骤四：每个网络设备需要广播系统消息时，使用SK对该系统消息进行数字签名。

例如，当网络设备#1需要广播系统消息#1时，使用SK#1对该系统消息#1进行数字签名；当网络设备#2需要广播系统消息#2时，使用SK#2对该系统消息#2进行数字签名。

步骤五：终端设备使用PKPKG和ID验证系统消息。

例如，终端设备使用PKPKG和ID#1验证来自网络设备#1的系统消息#1。如果终端设备本地保存有PKPKG，并且验证成功，终端设备将该系统消息#1视为真实信息；如果终端设备本地保存有PKPKG，且验证失败，终端设备丢弃系统消息#1；如果终端设备本地未保存有PKPKG，则终端设备根据本地策略以决定如何处理系统消息#1。

由上述可知，该传输系统消息的方法网络设备的ID是全局和公开的，终端设备获取该ID的方式也是通过明文获取的方式，对于某些场景还是不能避免不合法网络设备对合法网络设备广播的系统消息的修改。如以下场景：

场景一：虽然不合法网络设备的PCI值和合法网络设备的PCI值不同，但是不合法设备能够伪造邻区关系重放合法网络设备的系统消息令终端设备吸附；

场景二：不合法网络设备选择一个优先级高的频点，重放合法网络设备的系统消息，使得终端设备更容易吸附至不合法网络设备；

场景三：虽然不合法网络设备的天线数量和合法网络设备的天线数量不同，但是不合法设备还是能够欺骗终端设备。

应理解，上述的场景一至场景三只是举例说明不合法网络设备能够对合法网络设备广播的系统消息进行修改，对本申请的保护范围不构成任何的限定，还有其他可能的场景，如，不合法网络设备的CFI值和合法网络设备的CFI值不同。这里不一一举例说明。

本申请还提供一种传输系统消息的方法，通过将网络设备的某些特征参数(如，网络设备的频点、PCI、发送天线数、CFI值、射频指纹等特征参数)作为校验系统消息的输入参数，从而避免合法网络设备广播的系统消息被不合法网络设备修改。

该传输系统消息的方法包括以下步骤：

S310，密钥生成中心生成公钥。

本申请实施例中对于密钥生成中心如何生成公钥不做限定，可以参考目前相关技术中的描述，这里不进行赘述。

公钥生成之后需要通知到终端设备，图3所示的方法流程还包括：

S311，终端设备获取公钥。

具体地，该公钥通过预配置或是其他方法通知终端设备。

本申请实施例中对于该公钥如何通知给终端设备不做限定，可以参考目前相关技术中的描述，这里不进行赘述。

S320，密钥生成中心为每个网络设备生成私钥。

为了便于描述，下文中以一个网络设备为例进行说明。该网络设备的私钥用于该网络设备对待广播的系统消息进行数字签名。

作为一种可能的实现方式，密钥生成中心为网络设备生成一个私钥可以是：密钥生成中心基于网络设备的全局的公开的标识生成其对应的私钥。

作为另一种可能的实现方式，密钥生成中心为网络设备生成一个私钥可以是：密钥生成中心基于网络设备固有的标识生成其对应的私钥。

作为另一种可能的实现方式，密钥生成中心为每个网络设备生成一个私钥可以是：密钥生成中心基于网络设备上报的标识生成其对应的私钥，其中，网络设备上报的标识为网络设备基于自身固有的特征参数生成的。在该实现方式下，图3所示的方法流程还包括：

S321，网络设备基于特征参数生成网络设备的标识。

该特征参数为网络设备的固有特征参数，如可以是网络设备的PDCP层、RLC层、MAC层、PHY层以及射频器件中的一些特有特征参数进行提取和量化得到的，比如：特征参数可以是频点，PCI，网络设备的天线数，CFI值，射频指纹等特征参数。

应理解，本申请实施例中上述的频点，PCI，网络设备的天线数，CFI值，射频指纹等只是举例对本申请的保护范围不构成任何的限定，特征参数还可以为网络设备其他固有的底层参数，这里不一一举例说明。

网络设备基于特征参数生成网络设备的标识具体包括：网络设备的底层的处理单元 (如，网络设备的PDCP层的处理单元、RLC层的处理单元、MAC层的处理单元、PHY 层的处理单元以及射频器件的处理单元)将网络设备的可以量化的特征参数发送给网络设备的RRC层的处理单元或其他高层的处理单元。

进一步地，网络设备的RRC层的处理单元或其他高层的处理单元将特征参数通过一定的运算，得到网络设备的标识。

示例性地，网络设备基于特征参数生成网络设备的标识可以是：网络设备将某个特征参数作为网络设备的标识，如，网络设备的标识为网络设备的CFI值；

示例性地，网络设备基于特征参数生成网络设备的标识可以是：网络设备将某几个特征参数相结合的结构作为网络设备的标识。

应理解，本申请实施例中对于网络设备如何基于特征参数生成网络设备的标识不做限定，生成的网络设备的标识与特征参数相关联即可。

进一步地，网络设备将生成的网络设备的标识发送给密钥生成中心，图3所示的方法流程还包括：

S322，网络设备向密钥生成中心发送网络设备的标识。

本申请实施例中对于网络设备如何向密钥生成中心发送网络设备的标识不做限定，可以参考目前网络设备与密钥生成中心之间的信息传输方式。

具体地，密钥生成中心接收到网络设备发送的标识之后，能够基于该标识生成该网络设备对应的私钥。

进一步地，密钥生成中心将生成的私钥发送给网络设备，图3所示的方法流程还包括：

S330，密钥生成中心向网络设备发送私钥，或者说网络设备获取私钥。

作为一种可能的实现方式，本申请实施例中密钥生成中心生成的网络设备对应的私钥之后，发给网络设备的高层的处理单元(如，RRC层的处理单元，或者RRC层之上的其他层的处理单元)。

示例性地，密钥生成中心与网络设备集成在一起，密钥生成中心向网络设备发送私钥可以理解为：网络设备中的密钥生成中心向网络设备的高层的处理单元发送私钥；

示例性地，密钥生成中心为独立的功能实体，密钥生成中心向网络设备发送私钥可以理解为：该独立的功能实体向网络设备的高层的处理单元发送私钥。

本申请实施例中对于密钥生成中心的设置不做限定，可以与网络设备集成在一起，或者与其他的设备集成在一起，还可以独立设置。

在广播系统消息之前，为了防止合法网络设备发送的系统消息被不合法网络设备修改需要对系统消息进行保护，图3所示的方法流程还包括：

S340，网络设备对系统消息进行数字签名。

具体地，网络设备基于私钥、特征参数以及第一计时器参数对所述系统消息进行数字签名。

其中，网络设备可以从密钥生成中心获取用于对待广播的系统消息进行数字签名的私钥；网络设备可以从底层的处理单元获取用于对待广播的系统消息进行数字签名的特征参数；并且网络设备可以基于本地维护的第一计时器确定用于对待广播的系统消息进行数字签名的第一计时器参数。

具体地，基于私钥、特征参数以及第一计时器参数对所述系统消息进行数字签名可以是：将私钥、特征参数、第一计时器参数以及系统消息作为安全算法的输入，经过安全算法处理之后生成数字签名，该数字签名用于保护系统消息的真实性。

进一步地，网络设备可以将被保护的系统消息广播出去，图3所示的方法流程还可以包括：

S350，网络设备广播被保护的系统消息。

具体地，该被保护的系统消息中至少包括系统消息(system information)、数字签名 (digital signature)以及第一计时器参数的信息(least signification bits ofTime Counter#1， LSBs of Time Counter#1)。

其中，系统消息为网络设备需要广播的信息(如，MIB、SIB或paging消息等广播消息)；数字签名为上述的步骤S340生成的数字签名。

另外，为了防止重放攻击可以将第一计时器参数通过明文通知到终端设备，所以可以将第一计时器参数的信息作为被保护的系统消息的一部分广播出去。本申请实施例中对于如何根据计时器参数防止重放攻击不做限定，可以参考目前相关技术中的描述。

下面结合图4简单介绍本申请实施例中系统消息结构。图4中的(a)和(b)是本申请实施例提供的另一种系统消息的示意性框图。

作为一种可能的实现方式，可以将底层的特征参数作为数字签名保护的一部分，由于终端设备可以通过盲检信号等方法获得网络设备的特征参数，所以这些特征参数无需在被保护的系统消息中下发给终端设备，但是生成系统消息的数字签名时，需要将这些特征参数加入到数学签名的保护中，具体如图4中的(a)所示。

从图4中的(a)可以看出，被保护的系统消息中包括系统消息、数字签名以及第一计时器参数的信息。

另外，对于网络设备的某些特征参数，终端设备通过计算提取的结果与实际值之间会有偏差，对于这种情况，终端设备可以对提取结果进行误差调整，进行容忍度修正。对于可修正的特征参数，不需要在系统消息中明文传输。

例如，可以通过终端设备上报的方式通知网络设备自己检测到的特征参数值，网络设备确定终端设备计算得出的值与实际值是否有偏差；

还例如，终端设备可以通过离线计算的方式，仿真计算得出终端设备是否可以还原出网络设备的特征参数的。

当终端设备通过计算提取的特征值结果与实际值之间会有偏差，并且这种偏差超过了终端设备的修正范围时，网络设备的特征参数可以通过系统消息下发给终端设备，具体如图4中的(b)所示。

从图4中的(b)可以看出，被保护的系统消息中包括系统消息(systeminformation)、数字签名(digital signature)、第一计时器参数的信息(leastsignification bits of Time Counter#1，LSBs of Time Counter#1)以及特征参数的信息(least signification bits of gNB character，LSBs of gNB character)。其中，特征参数的信息用于指示所述特征参数。

示例性地，网络设备广播被保护的系统消息具体包括：

网络设备的RRC层或其他高层的处理单元将被保护的系统消息传递给网络设备的底层的处理单元；网络设备的底层的处理单元对被保护的系统消息进行编码，并将编码后的被保护的系统消息通过空口广播出去。

上述的步骤S310至步骤S350详细介绍了密钥生成中心中密钥的分发以及网络设备生成并广播被保护的系统消息的流程，应理解，当被保护的系统消息的保护方式如上述所示时，终端设备处接收到被保护的系统消息的验证方式需要与保护方式相对应，下面结合具体的流程详细介绍终端设备对接收到的被保护的系统消息的处理过程，图3所示的方法流程还包括：

S360，终端设备获取特征参数。

需要说明的是，本申请实施例中初始状态下终端设备没有和网络设备建立同步和连接，终端设备无法获取网络设备的特征参数，这时不能对网络设备广播的系统消息进行校验；只有终端设备与网络设备已经正常建立联接之后，终端设备周期性接收到网络设备广播的系统消息时，终端设备才能够对系统消息的数字签名进行验证。

终端设备获取特征参数具体包括：终端设备与网络设备建立同步和RRC联接，终端设备的底层的处理单元通过盲检和其他计算获得网络设备的固定特征参数，如上述的特征参数，这里不再赘述；终端设备的底层的处理单元将网络设备的特征参数传输给终端设备的RRC层或其他高层的处理单元。

上述的步骤S350网络设备广播被保护的系统消息可以理解为：终端设备接收被保护的系统消息。

具体地，终端设备的底层周期接收MIB或SIB等被保护的系统消息；终端设备的底层将接收到的被保护的系统消息传递给终端设备的RRC层。终端设备接收到被保护的系统消息之后，需要对被保护的系统消息进行验证，图3所示的方法流程还包括：

S370，终端设备验证被保护的系统消息。

终端设备基于公钥、特征参数以及第二计时器参数验证被保护的系统消息中的数字签名。

其中，公钥可以通过上述的步骤S311获得，这里不再赘述；特征参数可以通过上述的步骤S360获得，这里不再赘述；并且终端设备可以基于本地维护的第二计时器确定第二计时器参数。

示例性地，终端设备验证被保护的系统消息的校验方法可以为基于身份的签名验证算法，具体包括：确认收到的数字签名处于椭圆曲线上；根据第二计时器参数，特征参数(如， PCI)，公钥等参数计算哈希值；最后根据计算公式进行验证。本申请实施例中对于具体的验证方式不做限定，重点在于生成数字签名以及验证数字签名的过程中，输入参数涉及了上述的特征参数。

可以理解，本申请实施例中生成数字签名的输入参数以及校验参数增加了RRC层以下(如，从PDCP层至PHY层)以及射频器件的一些网络设备的特征参数，相比于校验输入以及校验参数为全局公开的标识的方案，能够更好地防止系统消息被不合法的网络设备修改。

上述方法实施例中，上述各过程的序列号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。并且有可能并非要执行上述方法实施例中的全部操作。

应理解，上述方法实施例中终端设备和/或网络设备可以执行施例中的部分或全部步骤，这些步骤或操作仅是示例，本申请实施例还可以包括执行其它操作或者各种操作的变形。

还应理解，在本申请的各个实施例中，如果没有特殊说明以及逻辑冲突，不同的实施例之间的术语和/或描述可以具有一致性、且可以相互引用，不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。

上面结合图3详细介绍了本申请实施例提供的传输系统消息的方法，下面结合图5- 图8详细介绍本申请实施例提供的传输系统消息的装置。

参见图5，图5是本申请提出的传输系统消息的装置500的示意图。如图5所示，装置500包括获取单元510和处理单元520。

获取单元510，用于获取公钥和网络设备的特征参数，该公钥和该特征参数用于验证该系统消息的数字签名；

该获取单元510，还用于接收来自该网络设备的受保护的系统消息，该受保护的系统消息中包括该系统消息、该数字签名以及第一计时器参数的信息；

处理单元520，用于基于该公钥和该特征参数以及第二计时器参数验证该系统消息的数字签名，

其中，该特征参数为该网络设备的固有特征参数，该第一计时器参数为该网络设备本地维护的第一计时器的参数，该第二计时器参数为该装置本地维护的第二计时器的参数。

作为一种示例，该处理单元520还包括：底层的处理单元和高层的处理单元，该底层的处理单元用于通过盲检获取该特征参数；

该底层的处理单元还用于将该特征参数发送给该终端设备的高层的处理单元，

其中，该底层包括射频、分组数据汇聚层协议层PDCP、无线链路控制层RLC、媒体接入控制层MAC和物理层PHY中的至少一个，该高层包括无线资源控制层RRC。

装置500和方法实施例中的终端设备对应，装置500可以是方法实施例中的终端设备，或者方法实施例中的终端设备内部的芯片或功能模块。装置500的相应单元用于执行图3 所示的方法实施例中由终端设备执行的相应步骤。

其中，装置500中的处理单元520用于执行方法实施例中终端设备对应与处理相关的步骤。装置500中的获取单元510用于执行方法实施例中终端设备获取步骤。装置1300还可以包括发送单元，用于执行终端设备发送的步骤，例如，向其他设备发送信息。发送单元和获取单元510可以组成收发单元，同时具有接收和发送的功能。其中，处理单元 520可以是至少一个处理器。发送单元可以是发射器或者接口电路，获取单元510可以是接收器或者接口电路。接收器和发射器可以集成在一起组成收发器或者接口电路。

可选的，装置500还可以包括存储单元，用于存储数据和/或信令，处理单元520、发送单元、和获取单元510可以与存储单元交互或者耦合，例如读取或者调用存储单元中的数据和/或信令，以使得上述实施例的方法被执行。

以上各个单元可以独立存在，也可以全部或者部分集成。

参见图6，图6是适用于本申请实施例的用终端设备600的结构示意图。该终端设备600可应用于图1所示出的系统中。为了便于说明，图6仅示出了终端设备的主要部件。如图6所示，终端设备600包括处理器、存储器、控制电路、天线以及输入输出装置。处理器用于控制天线以及输入输出装置收发信号，存储器用于存储计算机程序，处理器用于从存储器中调用并运行该计算机程序，以执行本申请提出的用于注册的方法中由终端设备执行的相应流程和/或操作。此处不再赘述。

本领域技术人员可以理解，为了便于说明，图6仅示出了一个存储器和处理器。在实际的终端设备中，可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等，本申请实施例对此不做限制。

参见图7，图7是本申请提出的传输系统消息的装置700的示意图。如图7所示，装置700包括获取单元710、处理单元720和发送单元730。

获取单元710，用于获取特征参数和与该装置相对应的私钥，该私钥和该特征参数用于对该系统消息进行数字签名；

处理单元720，用于基于该私钥和该特征参数以及第一计时器参数对该系统消息进行数字签名；

发送单元730，用于广播受保护的系统消息，该受保护的系统消息中包括该系统消息、该数字签名以及该第一计时器参数的信息，

其中，该特征参数为该装置的固有特征参数，该第一计时器参数为该装置本地维护的第一计时器的参数。

作为一种示例，该处理单元720，还用于基于该特征参数生成该网络设备的标识；

该发送单元730，还用于向密钥生成中心发送该标识，该标识用于生成该私钥；

该获取单元710获取与该装置相对应的私钥包括：

该获取单元710接收来自该密钥中心的该私钥。

作为一种示例，该处理单元720还包括：底层的处理单元和高层的处理单元，该底层的处理单元用于确定该特征参数；

该底层的处理单元还用于将该特征参数发送给该高层的处理单元，

装置700和方法实施例中的网络设备对应，装置700可以是方法实施例中的网络设备，或者方法实施例中的网络设备内部的芯片或功能模块。装置700的相应单元用于执行图3 所示的方法实施例中由网络设备执行的相应步骤。

其中，装置700中的获取单元710用于执行方法实施例中网络设备获取步骤。装置700中的处理单元720，用于执行网络设备内部对应与处理相关的步骤。装置700中的发送单元730，用于执行网络设备发送的步骤。

获取单元710和发送单元730可以组成收发单元，同时具有接收和发送的功能。其中，处理单元720可以是至少一个处理器。发送单元730可以是发射器或者接口电路。获取单元710可以是接收器或者接口电路。接收器和发射器可以集成在一起组成收发器或者接口电路。

可选的，装置700还可以包括存储单元，用于存储数据和/或信令，处理单元720、发送单元730、和获取单元710可以与存储单元交互或者耦合，例如读取或者调用存储单元中的数据和/或信令，以使得上述实施例的方法被执行。

以上各个单元可以独立存在，也可以全部或者部分集成。

参见图8，图8是适用于本申请实施例的网络设备800的结构示意图，可以用于实现上述传输系统消息的方法中的网络设备的功能。可以为网络设备的结构示意图。

一种可能的方式中，例如在5G通信系统中的某些实现方案中，网络设备800可以包括CU、DU和AAU，相比于LTE通信系统中的接入网设备由一个或多个射频单元，如远端射频单元(remote radio unit，RRU)801和一个或多个基带单元(base band unit，BBU) 来说原BBU的非实时部分将分割出来，重新定义为CU，负责处理非实时协议和服务、 BBU的部分物理层处理功能与原RRU及无源天线合并为AAU、BBU的剩余功能重新定义为DU，负责处理物理层协议和实时服务。简而言之，CU和DU，以处理内容的实时性进行区分、AAU为RRU和天线的组合。

CU、DU、AAU可以采取分离或合设的方式，所以，会出现多种网络部署形态，一种可能的部署形态与传统4G接入网设备一致，CU与DU共硬件部署。应理解，图8只是一种示例，对本申请的保护范围并不限制，例如，部署形态还可以是DU部署在5G BBU 机房，CU集中部署或DU集中部署，CU更高层次集中等。

该AAU 801可以实现收发功能称为收发单元801。可选地，该收发单元801还可以称为收发机、收发电路、或者收发器等，其可以包括至少一个天线8011和射频单元8012。可选地，收发单元801可以包括接收单元和发送单元，接收单元可以对应于接收器(或称接收机、接收电路)，发送单元可以对应于发射器(或称发射机、发射电路)。该CU和 DU 802可以实现内部处理功能称为处理单元802。可选地，该处理单元802可以对接入网设备进行控制等，可以称为控制器。该AAU 801与CU和DU 802可以是物理上设置在一起，也可以物理上分离设置的。

另外，接入网设备不限于图8所示的形态，也可以是其它形态：例如：包括BBU和ARU，或者包括BBU和AAU；也可以为CPE，还可以为其它形态，本申请不限定。

应理解，图8所示的网络设备800能够实现图3的方法实施例中涉及的网络设备。网络设备800中的各个单元的操作和/或功能，分别为了实现本申请方法实施例中由网络设备执行的相应流程。为避免重复，此处适当省略详述描述。图8示例的网络设备的结构仅为一种可能的形态，而不应对本申请实施例构成任何限定。本申请并不排除未来可能出现的其他形态的网络设备结构的可能。

本申请实施例还提供一种通信系统，其包括前述的终端设备和网络设备。

本申请还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当该指令在计算机上运行时，使得计算机执行上述如图3所示的方法中终端设备执行的各个步骤。

本申请还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当该指令在计算机上运行时，使得计算机执行上述如图3所示的方法中网络设备执行的各个步骤。

本申请还提供了一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行如图3所示的方法中终端设备执行的各个步骤。

本申请还提供了一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行如图3所示的方法中网络设备执行的各个步骤。

本申请还提供一种芯片，包括处理器。该处理器用于读取并运行存储器中存储的计算机程序，以执行本申请提供的传输系统消息的方法中由终端设备执行的相应操作和/或流程。可选地，该芯片还包括存储器，该存储器与该处理器通过电路或电线与存储器连接，处理器用于读取并执行该存储器中的计算机程序。进一步可选地，该芯片还包括通信接口，处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息，处理器从该通信接口获取该数据和/或信息，并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

本申请还提供一种芯片，包括处理器。该处理器用于读取并运行存储器中存储的计算机程序，以执行本申请提供的传输系统消息的方法中由网络设备执行的相应操作和/或流程。可选地，该芯片还包括存储器，该存储器与该处理器通过电路或电线与存储器连接，处理器用于读取并执行该存储器中的计算机程序。进一步可选地，该芯片还包括通信接口，处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息，处理器从该通信接口获取该数据和/或信息，并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。

上述的芯片也可以替换为芯片系统，这里不再赘述。

本申请中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

另外，本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B 这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系；本申请中术语“至少一个”，可以表示“一个”和“两个或两个以上”，例如，A、B和C 中至少一个，可以表示：单独存在A，单独存在B，单独存在C、同时存在A和B，同时存在A和C，同时存在C和B，同时存在A和B和C，这七种情况。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种传输系统消息的方法，其特征在于，包括：

网络设备获取特征参数和与所述网络设备相对应的私钥，所述私钥和所述特征参数用于对所述系统消息进行数字签名；

所述网络设备基于所述私钥和所述特征参数以及第一计时器参数对所述系统消息进行数字签名；

所述网络设备广播被保护的系统消息，所述被保护的系统消息中包括所述系统消息、所述数字签名以及所述第一计时器参数的信息，

其中，所述特征参数为所述网络设备的固有特征参数，所述第一计时器参数为所述网络设备本地维护的第一计时器的参数。

2.根据权利要求1所述的方法，其特征在于，所述网络设备获取与所述网络设备相对应的私钥包括：

所述网络设备基于所述特征参数生成所述网络设备的标识；

所述网络设备向密钥生成中心发送所述标识，所述标识用于生成所述私钥；

所述网络设备接收来自所述密钥中心的所述私钥。

3.根据权利要求1或2所述的方法，其特征在于，所述网络设备获取与所述网络设备相对应的特征参数包括：

所述网络设备的底层的处理单元确定所述特征参数；

所述网络设备的底层的处理单元将所述特征参数发送给所述网络设备的高层的处理单元，

其中，所述网络设备的底层包括射频器件、分组数据汇聚层协议PDCP层、无线链路控制RLC层、媒体接入控制MAC层和物理PHY层中的至少一个，所述网络设备的高层包括无线资源控制RRC层。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述被保护的系统消息中还包括所述特征参数的信息，所述特征参数的信息用于指示所述特征参数。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述特征参数包括以下至少一项：

所述网络设备的频点、所述网络设备的物理小区标识PCI、所述网络设备的天线数、所述网络设备的控制信道占用符号数CFI或所述网络设备的射频指纹。

6.一种传输系统消息的方法，其特征在于，包括：

终端设备获取公钥和网络设备的特征参数，所述公钥和所述特征参数用于验证所述系统消息的数字签名；

所述终端设备接收来自所述网络设备的被保护的系统消息，所述被保护的系统消息中包括所述系统消息、所述数字签名以及第一计时器参数的信息；

所述终端设备基于所述公钥和所述特征参数以及第二计时器参数验证所述数字签名，

其中，所述特征参数为所述网络设备的固有特征参数，所述第一计时器参数为所述网络设备本地维护的第一计时器的参数，所述第二计时器参数为所述终端设备本地维护的第二计时器的参数。

7.根据权利要求6所述的方法，其特征在于，所述终端设备获取网络设备的特征参数包括：

所述终端设备的底层的处理单元通过盲检获取所述特征参数；

所述终端设备的底层的处理单元将所述特征参数发送给所述终端设备的高层的处理单元，

其中，所述终端设备的底层包括射频器件、分组数据汇聚层协议层PDCP、无线链路控制层RLC、媒体接入控制层MAC和物理层PHY中的至少一个，所述终端设备的高层包括无线资源控制层RRC。

8.根据权利要求6或7所述的方法，其特征在于，所述被保护的系统消息中还包括所述特征参数的信息，所述特征参数的信息用于指示所述特征参数。

9.根据权利要求6至8中任一项所述的方法，其特征在于，所述特征参数包括以下至少一项：

10.一种系统消息传输的装置，其特征在于，包括：

获取单元，用于获取特征参数和与所述装置相对应的私钥，所述私钥和所述特征参数用于对所述系统消息进行数字签名；

处理单元，用于基于所述私钥和所述特征参数以及第一计时器参数对所述系统消息进行数字签名；

发送单元，用于广播受保护的系统消息，所述受保护的系统消息中包括所述系统消息、所述数字签名以及所述第一计时器参数的信息，

其中，所述特征参数为所述装置的固有特征参数，所述第一计时器参数为所述装置本地维护的第一计时器的参数。

11.根据权利要求10所述的装置，其特征在于，所述处理单元，还用于基于所述特征参数生成所述网络设备的标识；

所述发送单元，还用于向密钥生成中心发送所述标识，所述标识用于生成所述私钥；

所述获取单元获取与所述装置相对应的私钥包括：

所述获取单元接收来自所述密钥中心的所述私钥。

12.根据权利要求10或11所述的装置，其特征在于，所述处理单元还包括：底层的处理单元和高层的处理单元，所述底层的处理单元用于确定所述特征参数；

所述底层的处理单元还用于将所述特征参数发送给所述高层的处理单元，

其中，所述底层包括射频、分组数据汇聚层协议层PDCP、无线链路控制层RLC、媒体接入控制层MAC和物理层PHY中的至少一个，所述高层包括无线资源控制层RRC。

13.根据权利要求10至12中任一项所述的装置，其特征在于，所述受保护的系统消息中还包括所述特征参数的信息，所述特征参数的信息用于指示所述特征参数。

14.根据权利要求10至13中任一项所述的装置，其特征在于，所述特征参数包括以下至少一项：

15.一种系统消息传输的装置，其特征在于，包括：

获取单元，用于获取公钥和网络设备的特征参数，所述公钥和所述特征参数用于验证所述系统消息的数字签名；

所述获取单元，还用于接收来自所述网络设备的受保护的系统消息，所述受保护的系统消息中包括所述系统消息、所述数字签名以及第一计时器参数的信息；

处理单元，用于基于所述公钥和所述特征参数以及第二计时器参数验证所述系统消息的数字签名，

其中，所述特征参数为所述网络设备的固有特征参数，所述第一计时器参数为所述网络设备本地维护的第一计时器的参数，所述第二计时器参数为所述装置本地维护的第二计时器的参数。

16.根据权利要求15所述的装置，其特征在于，所述处理单元还包括：底层的处理单元和高层的处理单元，所述底层的处理单元用于通过盲检获取所述特征参数；

所述底层的处理单元还用于将所述特征参数发送给所述终端设备的高层的处理单元，

17.根据权利要求15或16所述的装置，其特征在于，所述受保护的系统消息中还包括所述特征参数的信息，所述特征参数的信息用于指示所述特征参数。

18.根据权利要求15至17中任一项所述的装置，其特征在于，所述特征参数包括以下至少一项：

19.一种通信系统，包括如权利要求10-14中任一项所述的传输系统消息的装置和如权利要求15-18中任一项所述的传输系统消息的装置。

20.一种通信装置，包括处理器，所述处理器与存储器相连，所述存储器用于存储计算机程序，所述处理器用于执行所述存储器中存储的计算机程序，以使得所述装置执行如权利要求1至9中任一项所述的方法。

21.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序被运行时，实现如权利要求1至9中任一项所述的方法。