CN115701016B - 一种卫星通信系统中鉴权校验方法、系统及相关装置 - Google Patents
一种卫星通信系统中鉴权校验方法、系统及相关装置 Download PDFInfo
- Publication number
- CN115701016B CN115701016B CN202110933107.1A CN202110933107A CN115701016B CN 115701016 B CN115701016 B CN 115701016B CN 202110933107 A CN202110933107 A CN 202110933107A CN 115701016 B CN115701016 B CN 115701016B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- network device
- application layer
- beidou
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 201
- 230000006854 communication Effects 0.000 title claims abstract description 201
- 238000000034 method Methods 0.000 title claims abstract description 122
- 238000012795 verification Methods 0.000 title claims abstract description 28
- 230000001413 cellular effect Effects 0.000 claims description 166
- 230000004044 response Effects 0.000 claims description 100
- 238000004422 calculation algorithm Methods 0.000 claims description 89
- 230000005540 biological transmission Effects 0.000 claims description 66
- 230000015654 memory Effects 0.000 claims description 46
- 238000012545 processing Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 20
- 238000004846 x-ray emission Methods 0.000 claims description 11
- 239000010410 layer Substances 0.000 description 251
- 230000006870 function Effects 0.000 description 57
- CDDBPMZDDVHXFN-ONEGZZNKSA-N 2-[(e)-3-(1,3-benzodioxol-5-yl)prop-2-enyl]-1-hydroxypiperidine Chemical compound ON1CCCCC1C\C=C\C1=CC=C(OCO2)C2=C1 CDDBPMZDDVHXFN-ONEGZZNKSA-N 0.000 description 36
- 238000010586 diagram Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 16
- 238000007726 management method Methods 0.000 description 15
- 238000010295 mobile communication Methods 0.000 description 13
- 230000005236 sound signal Effects 0.000 description 13
- 239000011229 interlayer Substances 0.000 description 12
- 230000006835 compression Effects 0.000 description 10
- 238000007906 compression Methods 0.000 description 10
- 238000013461 design Methods 0.000 description 10
- 210000000988 bone and bone Anatomy 0.000 description 9
- 238000005538 encapsulation Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 230000004927 fusion Effects 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 229910044991 metal oxide Inorganic materials 0.000 description 5
- 150000004706 metal oxides Chemical class 0.000 description 5
- 239000004065 semiconductor Substances 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 210000004027 cell Anatomy 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 3
- 229920001621 AMOLED Polymers 0.000 description 2
- 229910000577 Silicon-germanium Inorganic materials 0.000 description 2
- 230000003416 augmentation Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000036772 blood pressure Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002035 prolonged effect Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- JBRZTFJDHDCESZ-UHFFFAOYSA-N AsGa Chemical compound [As]#[Ga] JBRZTFJDHDCESZ-UHFFFAOYSA-N 0.000 description 1
- LEVVHYCKPQWKOP-UHFFFAOYSA-N [Si].[Ge] Chemical compound [Si].[Ge] LEVVHYCKPQWKOP-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000013529 biological neural network Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- DMBHHRLKUKUOEG-UHFFFAOYSA-N diphenylamine Chemical compound C=1C=CC=CC=1NC1=CC=CC=C1 DMBHHRLKUKUOEG-UHFFFAOYSA-N 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 239000010985 leather Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002138 osteoinductive effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 150000003071 polychlorinated biphenyls Chemical class 0.000 description 1
- 230000010349 pulsation Effects 0.000 description 1
- 239000002096 quantum dot Substances 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003238 somatosensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 230000001755 vocal effect Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种卫星通信系统中鉴权校验方法、系统及相关装置。本申请涉及卫星通信领域。发送设备可以基于第一密钥和第一原始数据生成第一鉴权码。发送设备可以使用第一密钥加密第一鉴权码和第一原始数据,得到加密后数据。发送设备可以将加密后数据发送给接收设备。接收设备可以使用第二密钥解密加密后数据得到第二鉴权码和第二原始数据。接收设备可以将基于接收设备的第二密钥和第二原始数据生成第三鉴权码。接收设备可以通过对比第二鉴权码和第三鉴权码是否相同,得到鉴权结果。这样,更加贴合北斗通信系统突发性通信的需求,既节约了北斗通信系统的空口资源,又保证了数据的安全性。
Description
技术领域
本申请涉及卫星通信领域,尤其涉及一种卫星通信系统中鉴权校验方法、系统及相关装置。
背景技术
北斗短报文通信业务是北斗卫星导航系统区别于美国的全球卫星定位系统(global positioning system,GPS)、俄罗斯的全球导航卫星系统(global navigationsatellite system,GLONASS)等其它全球定位导航系统的特色之一,特别适用于在海洋、沙漠、草原、无人区等移动通信未覆盖、或覆盖不了、或通信系统被破坏的区域进行定位和通信。北斗短报文业务的通信系统对技术体制进行升级,北斗短报文业务的通信系统一些必要的资源也被开放给民用,针对民用业务和设备特性,需要依据北斗短报文业务的通信系统的特性设计通信协议。
其中,北斗通信系统提供的服务类型包括:报文通信、位置报告和紧急救援。其中,报文通信可以和其他设备进行通信。位置报告可以用于分享定位信息。紧急救援可以用于和紧急救援中心直连,获得紧急救援服务。由于报文通信和位置报告这两种业务需要通过运营商的短消息中心进行转发,所以终端和运营商之间需要进行相互鉴权,以保证信息的安全。但是,目前,北斗短报文业务的通信系统没有提供给民用终端使用的鉴权校验机制。
虽然蜂窝网络中有成熟的鉴权校验机制。不过,蜂窝网络中的鉴权校验机制的步骤繁杂,交互信令所需空口资源多。由于北斗通信系统时延长、空口资源少,不能支持蜂窝网络鉴权校验机制。
发明内容
本申请提供了一种北斗通信系统中鉴权校验方法、系统及相关装置。本申请涉及卫星通信领域。发送设备可以基于第一密钥和第一原始数据生成第一鉴权码。发送设备可以使用第一密钥加密第一鉴权码和第一原始数据,得到加密后数据。发送设备可以将加密后数据发送给接收设备。接收设备可以使用第二密钥解密加密后数据得到第二鉴权码和第二原始数据。接收设备可以将基于接收设备的第二密钥和第二原始数据生成第三鉴权码。接收设备可以通过对比第二鉴权码和第三鉴权码是否相同,得到鉴权结果。实现了发送设备和接收设备在传输数据的同时传输鉴权码,减少了鉴权所需的信令和空口开销。
第一方面,本申请提供了一种北斗通信系统中鉴权校验方法,包括:终端获取第一原始数据;终端基于第一密钥和第一原始数据生成第一鉴权码;终端通过第一密钥对第一原始数据和第一鉴权码进行加密,得到加密后数据;终端发送应用层报文给北斗网络设备,其中,应用层报文包括报文头信息和加密后数据,报文头信息包括加密指示字段,加密指示字段用于指示加密后数据使用的加密算法。
通过本申请提供的方法,更加贴合北斗通信系统突发性通信的需求,既节约了北斗通信系统的空口资源,又保证了数据的安全性。
在一种可能的实现方式中,在终端基于第一密钥和第一原始数据生成第一鉴权码之前,该方法还包括:终端在蜂窝网络下从蜂窝网络设备获取第一密钥。这样,通过蜂窝网络设备获取密钥,可以节约北斗通信系统协商密钥的空口资源。
在一种可能的实现方式中,终端在蜂窝网络下从蜂窝网络设备获取第一密钥,具体包括:终端通过蜂窝网络向北斗网络设备发送第一请求,第一请求用于获取加密密钥。终端接收到北斗网络设备发送的第一响应,其中,第一响应用于指示终端从蜂窝网络设备获取加密密钥。
终端向蜂窝网络设备发送第二请求,第二请求用于指示蜂窝网络设备生成第一随机数RAND和鉴权令牌AUTN。终端接收到蜂窝网络设备发送的第二响应,第二响应包括第一RAND和AUTN。终端基于第一RAND和AUTN生成响应RES和第一密钥。
终端将第三请求发送给蜂窝网络设备。其中,第三请求包括RES。终端收到第三响应,其中,第三响应用于指示RES和XRES相同,第三响应包括引导业务标识B-TID和密钥有效期,密钥有效期用于指示第一密钥的有效时间。终端向北斗网络设备发送第四请求,其中,第四请求用于指示北斗网络设备向蜂窝网络设备获取加密密钥,第四请求包括B-TID,B-TID用于指示终端的加密密钥。终端接收到第四响应,第四响应用于指示北斗网络设备已经获取到加密密钥。
在一种可能的实现方式中,在终端基于第一密钥和第一原始数据生成第一鉴权码之前,该方法还包括:终端基于用户识别码IMSI、身份识别密钥Ki和应用层报文的发送时间生成第一密钥。这样,通过发送时间生成加密密钥,可以节约北斗通信系统协商密钥的信令开销,还可以随时间更新密钥,进一步确保密钥的安全性。
在一种可能的实现方式中,终端基于用户识别码IMSI、身份识别密钥Ki和应用层报文的发送时间生成第一密钥,具体包括:终端基于应用层报文的发送时间和IMSI得到第二随机数RAND。终端基于第二RAND和预设的Ki通过预设密钥算法1得到加密密钥Kc,通过预设密钥算法2得到鉴权符号响应SRES。终端基于Kc和SRES通过预设密钥算法3得到第一密钥。
在一种可能的实现方式中,应用层报文的发送时间为第一时间点或者第二时间点。其中,第一时间点为终端获取第一原始数据的时间点,第二时间点为终端生成第一密钥时获取的时间点。
在一种可能的实现方式中,报文头信息还包括时间指示字段,时间指示字段用于指示应用层报文的发送时间信息。
在一种可能的实现方式中,时间指示字段的值用于指示应用层报文的发送时间的奇偶值。
在一种可能的实现方式中,在终端通过第一密钥对第一原始数据和第一鉴权码进行加密,得到加密后数据之前,该方法还包括:终端对原始数据进行压缩。
第二方面,本申请提供了一种北斗通信系统中鉴权校验方法,包括:北斗网络设备接收终端发送的应用层报文,应用层报文中包括报文头信息和加密后数据,加密后数据为终端通过第一密钥对第一原始数据和第一鉴权码进行加密得到的数据,报文头信息包括加密指示字段,加密指示字段用于指示加密后数据使用的加密算法。
北斗网络设备使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据。
北斗网络设备基于第二原始数据和第二密钥生成第三鉴权码。
北斗网络设备在确定出第二鉴权码和第三鉴权码相同时,执行第二原始数据对应的操作。
在一种可能的实现方式中,执行第二原始数据对应的操作,具体包括:北斗网络设备将第二原始数据通过蜂窝网络发送给蜂窝用户设备。
在一种可能的实现方式中,在北斗网络设备使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据之前,该方法还包括:北斗网络设备在蜂窝网络下从蜂窝网络设备获取第二密钥。
在一种可能的实现方式中,北斗网络设备在蜂窝网络下从蜂窝网络设备获取第二密钥,具体包括:北斗网络设备收到终端发送的第一请求,第一请求用于获取加密密钥。北斗网络设备确定出未存储加密密钥或者加密密钥已失效,北斗网络设备给终端发送第一响应。其中,第一响应用于指示终端从蜂窝网络设备获取加密密钥。
北斗网络设备收到终端发送的第四请求,第四请求用于指示北斗网络设备向蜂窝网络设备获取加密密钥,第四请求包括引导服务标识B-TID,B-TID用于指示终端的加密密钥。
北斗网络设备向蜂窝网络设备发送第五请求。其中,第五请求都包括B-TID。北斗网络设备接收到蜂窝网络设备发送的第五响应,其中,第五响应包括第二密钥和密钥有效期,密钥有效期用于指示第二密钥的有效期。
北斗网络设备向终端发送第四响应,其中,第四响应用于指示北斗网络设备已经获取到加密密钥。
在一种可能的实现方式中,报文头信息还包括时间指示字段,时间指示字段用于指示应用层报文的发送时间信息。
在一种可能的实现方式中,在北斗网络设备使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据之前,该方法还包括:北斗网络设备基于时间指示字段和应用层报文的接收时间确定应用层报文的发送时间。
北斗网络设备基于应用层报文的发送时间和从蜂窝网络设备获取的用户识别码IMSI得到第二随机数RAND。
北斗网络设备将第二RAND发送给蜂窝网络设备。
北斗网络设备得到蜂窝网络设备反馈的加密密钥Kc和鉴权符号响应SRES。
终端基于Kc和SRES通过预设密钥算法3得到第二密钥。
在一种可能的实现方式中,应用层报文的接收时间为第三时间点或者第四时间点。其中,第三时间点为北斗网络设备在卫星链路控制SLC层收到应用层报文的第1个卫星控制链路层协议数据单元SLCPDU的时间点。其中,第四时间点为北斗网络设备生成第二密钥时获取的时间点,应用层报文的接收时间的单位为小时。
在一种可能的实现方式中,时间指示字段的值用于指示应用层报文的发送时间的奇偶值。
在一种可能的实现方式中,北斗网络设备基于时间指示字段和应用层报文的接收时间确定应用层报文的发送时间,具体包括:
当时间指示字段的值指示的应用层报文的发送时间的奇偶值和应用层报文的接收时间的奇偶值相同时,北斗网络设备确定出应用层报文的发送时间和应用层报文的接收时间相同。
当时间指示字段的值指示的应用层报文的发送时间的奇偶值和应用层报文的接收时间的奇偶值不同时,北斗网络设备确定出应用层报文的接收时间和应用层报文的发送时间的差值为1。
第三方面,本申请提供了一种北斗通信系统,包括:终端和北斗网络设备。其中,
终端,用于获取第一原始数据。还用于基于第一密钥和第一原始数据生成第一鉴权码。还用于通过第一密钥对第一原始数据和第一鉴权码进行加密,得到加密后数据。还用于发送应用层报文给北斗网络设备,其中,应用层报文包括报文头信息和加密后数据,报文头信息包括加密指示字段,加密指示字段用于指示加密后数据使用的加密算法。
北斗网络设备,用于接收应用层报文。还用于使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据。还用于基于第二原始数据和第二密钥生成第三鉴权码。还用于在确定出第二鉴权码和第三鉴权码相同时,执行第二原始数据对应的操作。
第四方面,本申请提供了一种通信装置,包括一个或多个处理器、一个或多个存储器和收发器。收发器、该一个或多个存储器与一个或多个处理器耦合,一个或多个存储器用于存储计算机程序代码,计算机程序代码包括计算机指令,当一个或多个处理器执行计算机指令时,使得通信装置执行上述第一方面任一项可能的实现方式中的方法。
其中,该通信装置可以为终端或其他产品形态的设备。
第五方面,本申请提供了一种通信装置,包括一个或多个处理器、一个或多个存储器和收发器。收发器、该一个或多个存储器与一个或多个处理器耦合,一个或多个存储器用于存储计算机程序代码,计算机程序代码包括计算机指令,当一个或多个处理器执行计算机指令时,使得通信装置执行上述第二方面任一项可能的实现方式中的方法。
其中,该通信装置可以为北斗网络设备,或北斗网络设备中的任一网元或多个网元的组合。
第六方面,本申请提供了一种计算机存储介质,包括计算机指令,当计算机指令在计算机上运行时,使得计算机执行上述第一方面任一项可能的实现方式中的方法。
第七方面,本申请提供了一种计算机存储介质,包括计算机指令,当计算机指令在计算机上运行时,使得计算机执行上述第二方面任一项可能的实现方式中的方法。
第八方面,本申请提供了一种计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行上述第一方面任一项可能的实现方式中的方法。
第九方面,本申请提供了一种计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行上述第二方面任一项可能的实现方式中的方法。
第十方面,本申请提供了一种芯片或芯片系统,应用于终端,包括处理电路和接口电路,接口电路用于接收代码指令并传输至所述处理电路,处理电路用于运行所述代码指令以执行上述第一方面任一项可能的实现方式中的方法。
附图说明
图1为本申请实施例提供的一种蜂窝网络中鉴权加密的流程示意图;
图2为本申请实施例提供的一种北斗通信系统的架构示意图;
图3A为本申请实施例提供的一种北斗通信系统的入站数据的协议封装架构示意图;
图3B为本申请实施例提供的一种北斗通信系统的入站数据的协议解析架构示意图;
图4A为本申请实施例提供的一种北斗通信系统的出站数据的协议封装架构示意图;
图4B为本申请实施例提供的一种北斗通信系统的出站数据的协议解析架构示意图;
图5为本申请实施例提供的一种密钥生成机制的流程示意图;
图6为本申请实施例提供的一种北斗通信系统的鉴权校验流程示意图;
图7为本申请实施例提供的一种应用层报文示意图;
图8为本申请实施例提供的另一种北斗通信系统的鉴权校验流程示意图;
图9为本申请实施例提供的另一种北斗通信系统的鉴权校验流程示意图;
图10为本申请实施例提供的另一种应用层报文示意图;
图11为本申请实施例提供的另一种北斗通信系统的鉴权校验流程示意图;
图12为本申请实施例提供的一种硬件结构示意图;
图13为本申请实施例提供的一种北斗通信系统中鉴权校验方法的流程示意图;
图14为本申请实施例提供的一种通信装置的结构示意图;
图15为本申请实施例提供的另一种通信装置的结构示意图;
图16为本申请实施例提供的另一种通信装置的结构示意图;
图17为本申请实施例提供的另一种通信装置的结构示意图。
具体实施方式
下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;文本中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
下面介绍本申请实施例提供的一种蜂窝网络中的鉴权校验机制。
示例性的,如图1所示,首先,终端和蜂窝网络中的网元设备(又称为蜂窝网络设备)可以执行相互鉴权的步骤,在通过鉴权操作确认了双方身份后,才能执行数据的加密传输步骤。其中,蜂窝网络设备可以包括但不限于移动交换中心(mobile switching center,MSC)/访问位置寄存器(visiting location register,VLR)、归属位置寄存器(homelocation register,HLR)/鉴权中心(authentication center,AuC)。其中,终端和蜂窝网络设备鉴权和生成密钥的步骤如下:
S101,终端向MSC/VLR发送业务请求。
其中,业务请求可以包括终端的用户识别(identity,ID)号。
S102,MSC/VLR向HLR/AuC发送终端的国际移动用户识别码(internationalmobile subscriber identity,IMSI)。
MSC/VLR在收到终端的业务请求后,可以基于终端的ID号,获取终端对应的IMSI。MSC/VLR可以将IMSI发送至HLR/AuC。
S103,HLR/AuC可以生成蜂窝随机数(random,RAND),通过IMSI获取对应的身份识别密钥(key identifier,Ki),HLR/AuC还可以通过蜂窝RAND和Ki生成鉴权符号响应(signed response,SRES)-蜂窝、加密密钥(ciphering key,Kc/CK)-蜂窝。
HLR/AuC可以在收到IMSI后,生成鉴权参数。其中,鉴权参数可以包括但不限于蜂窝RAND、SRES-蜂窝、Kc-蜂窝。其中,HLR/AuC可以通过随机数生成器生成蜂窝RAND。HLR/AuC可以通过IMSI得到终端对应的Ki。HLR/AuC再基于Ki和蜂窝RAND通过预设计算方法得到蜂窝网络设备的SRES(即,SRES-蜂窝)和蜂窝网络设备的Kc(即,Kc-蜂窝)。其中,Ki为身份识别密钥,存储在用户识别(subscriber identity module,SIM)卡和蜂窝网络中的网元设备中,可以用于计算加密密钥和鉴权符号响应。
其中,SRES-蜂窝可以用于鉴权,即,蜂窝网络设备可以基于SRES-蜂窝判断终端的合法性。当蜂窝网络设备判定出终端的SRES和SRES-蜂窝相同时,蜂窝网络设备可以确定终端为合法终端(即,鉴权成功),也就是说,蜂窝网络设备可以和终端进行数据传输。
其中,Kc-蜂窝可以用于在鉴权成功后加解密数据。即,蜂窝网络设备可以使用Kc-蜂窝加密发送给终端的数据,还可以使用Kc-蜂窝解密接收的终端的数据。
S104,HLR/AuC可以将蜂窝RAND、SRES-蜂窝和Kc-蜂窝发送至MSC/VLR。
S105,MSC/VLR可以将鉴权请求发送给终端。
MSC/VLR收到HLR/AuC反馈的鉴权参数后,可以向终端发送鉴权请求。其中,鉴权请求可以包括蜂窝RAND。
S106,终端可以基于收到的蜂窝RAND通过SIM卡生成SRES-终端、Kc-终端。
终端收到鉴权请求后,可以将蜂窝RAND传入SIM卡。SIM卡中存储有终端在蜂窝网络中进行开户时得到的Ki。终端可以通过SIM卡基于蜂窝RAND和预存的Ki通过预设计算方法得到终端的SRES(即,SRES-终端)和终端的Kc(即,Kc-终端)。其中,SIM卡中的Ki和蜂窝网络设备中的Ki相同,SIM卡中的预设计算方法和蜂窝网络设备中的相同。
S107,终端向MSC/VLR发送鉴权响应。
终端计算得到SRES-终端后,可以给MSC/VLR回复鉴权响应,鉴权响应包括SRES-终端。
S108,MSC/VLR可以判断SRES-终端和SRES-蜂窝是否相同。
若SRES-终端和SRES-蜂窝相同,鉴权通过,MSC/VLR可以向终端发送基于Kc-蜂窝加密后的业务请求的结果;若SRES-终端和SRES-蜂窝不同,鉴权失败,MSC/VLR不回应终端的业务请求。
综上所述,蜂窝网络鉴权校验的步骤繁杂,交互信令所需空口资源多。由于北斗通信系统时延长、空口资源少,不能支持蜂窝网络鉴权校验机制。
本申请实施例提供了一种北斗通信系统中鉴权校验方法。发送设备可以基于第一密钥和第一原始数据生成第一鉴权码。发送设备可以使用第一密钥加密第一鉴权码和第一原始数据,得到加密后数据。发送设备可以将加密后数据发送给接收设备。接收设备可以使用第二密钥解密加密后数据得到第二鉴权码和第二原始数据。接收设备可以将基于接收设备的第二密钥和第二原始数据生成第三鉴权码。接收设备可以通过对比第二鉴权码和第三鉴权码是否相同,得到鉴权结果。若第二鉴权码和第三鉴权码相同,鉴权成功,接收设备可以使用第二原始数据。若第二鉴权码和第三鉴权码不同,鉴权失败,接收设备不可以使用第二原始数据。这样,发送设备和接收设备可以在传输数据的同时,传输鉴权码并通过鉴权码进行鉴权。更加贴合北斗通信系统突发性通信的需求,既节约了北斗通信系统的空口资源,又保证了数据的安全性。
下面介绍本申请实施例提供的一种北斗通信系统10。
如图2所示,北斗通信系统10可以包括但不限于终端100、北斗短报文卫星21、北斗网络设备200、蜂窝网络设备400和终端300等等。
其中,北斗网络的终端100可以向蜂窝网络的终端300发送北斗短消息。具体的,终端100可以先发送北斗短消息给北斗短报文卫星21,北斗短报文卫星21只进行中继,可以直接将终端100发送的北斗短消息转发给地面的北斗网络设备200。北斗网络设备200可以根据北斗通信协议解析卫星转发的北斗短消息,并将从北斗短消息中解析出的报文内容转发给蜂窝网络设备400。蜂窝网络设备400可以通过传统的蜂窝通信网络,将报文内容转发给终端300。
蜂窝网络的终端300也可以向北斗网络的终端100发送北斗短消息。在出站过程中,终端300可以通过传统的蜂窝通信网络,将短消息发送给短消息中心25。短消息中心25可以将终端300的短消息转发给北斗网络设备200。北斗网络设备200可以将终端300的短消息通过北斗短报文卫星21中继发送给终端100。
可选的,该北斗通信系统10还可以包括紧急救援平台、紧急救援中心。北斗网络设备200可以将终端100发送的紧急救援类型的报文,通过紧急救援平台发送给紧急救援中心。
其中,上述北斗网络设备200可以包括但不限于北斗地面收发站22、北斗中心站23和北斗短报文融合通信平台24。其中,北斗地面收发站22可以包括分别具有发送功能的一个或多个设备和具有接收功能的一个或多个设备,或者可以包括具有发送功能和接收功能的一个或多个设备,此处不作限定。北斗地面收发站22可用于北斗网络设备200在物理层(physicallayerprotocol,PHY)对数据的处理功能。北斗中心站23可用于北斗网络设备200在卫星链路控制层(satellitelinkcontrolprotocol,SLC)层和消息数据汇聚层(messagedataconvergenceprotocol,MDCP)对数据的处理功能。北斗短报文融合通信平台24可用于在应用层(applicationlayerprotocol,APP)对数据的处理功能。
其中,上述蜂窝网络设备400可以包括但不限于短消息中心(shortmessageservicecenter,SMSC)25、归属位置寄存器(HLR)28、电信业务运营支持系统(business&operation support system,BOSS)29、引导服务器(bootstrapping serverfunction,BSF)41和归属用户服务器42。其中,引导服务器41和归属用户服务器42未在图2中示出。
其中,短消息中心25可以用于将北斗网络设备200发送的数据转发至蜂窝网络下的终端,也可以用于将蜂窝网络的数据转发至北斗网络设备200。
其中,电信业务运营支持系统29可以用于终端的开户。电信业务运营支持系统29可以在开户时,存储终端(例如终端100)的ID号和IMSI等数据。其中,ID号可以为终端的手机号。其中,IMSI还可以用于计算密钥。
其中,归属位置寄存器28预存有ID号对应的Ki和预设算法。归属位置寄存器28可以生成第一随机数RAND,还可以基于Ki和第一RAND通过预设算法计算得到SRES和Kc。其中,SIM卡和蜂窝网络设备400中的Ki和预设算法(例如A3、A8算法)相同。其中,SRES和Kc可以用于计算密钥。
其中,引导服务器41可以用于接收终端100和北斗网络设备200的业务请求。引导服务器41还可以用于存储从归属用户服务器42获取的认证参数。引导服务器41还可以计算并存储用户密钥(session key_network application function,Ks_NAF)。
其中,归属用户服务器42可以用于生成认证参数并将认证参数发送至引导服务器41。其中,认证参数可以包括但不限于第一随机数RAND、鉴权令牌(authentication token,AUTN)、期待响应(expected response,XRES)、加密密钥CK和完整性密钥(integrity key,IK)。其中,终端100可以基于认证参数中的第一RAND和AUTN计算终端100的CK、IK和响应(response,RES)。其中,认证参数中的XRES可以用于北斗网络设备200认证终端100是否为合法终端,只有北斗网络设备200确认出XRES和RES相同时,北斗网络设备200确认终端100为合法终端(即,北斗网络设备200鉴权成功),北斗网络设备200和终端100可以通过用户密钥Ks_NAF进行通信数据的加解密。其中,认证参数中的CK和IK可以用于计算Ks_NAF。
接下来介绍本申请实施例中提供的一种北斗通信系统10的入站数据的协议架构。
图3A示出了本申请实施例中提供的一种北斗通信系统10的入站数据的协议封装架构示意图。
如图3A所示,终端100上的北斗报文传输协议层可以分为应用层、消息数据汇聚层、卫星链路控制层和物理层。
终端100发送数据给北斗网络设备200时,终端100上的北斗报文传输协议的工作流程可以如下:
在APP层,终端100可以基于原始数据和密钥生成鉴权码,并将鉴权码和原始数据拼接在一起。终端100可以使用密钥加密拼接在一起的鉴权码和原始数据得到加密后数据。终端100可以在加密后数据前添加报文头信息,得到应用层报文。其中,原始数据可以包括但不限于用户输入的文本信息、接收用户的数量指示、接收用户的ID、终端100的位置信息、语音、图像、动画等。其中,报文头信息可以包括但不限于加密指示字段。其中,加密指示字段可以用于指示终端100加密数据使用的加密算法。
可选的,在终端100加密拼接在一起的鉴权码和原始数据之前,终端100可以先压缩拼接在一起的鉴权码和原始数据。可以理解的是,报文头中还可以包括压缩指示字段。压缩指示字段可用于指示终端100压缩数据使用的压缩算法类型。
进一步可选的,终端100可以压缩拼接在一起的鉴权码和原始数据,得到压缩数据。终端100可以在压缩数据前添加上述压缩指示字段。再使用密钥加密添加了压缩指示字段的压缩数据,得到加密后数据。
在MDCP层,终端100可以通过层间接口获取到APP层下发的应用层报文,并将应用层报文作为一个MDCP SDU。在MDCP层,终端100可字段以在MDCPSDU的尾部添加填充数据(padding)至指定长度,并给MDCP SDU添加冗余长度指示字段。该冗余长度指示字段可用于表示该填充数据的长度。终端100可以将填充数据以及增加冗余长度指示字段之后的MDCPSDU,拆分成一个或多个固定长度的MDCP分段数据(M_segment),并在每个MDCP分段数据的头部添加后继指示字段,得到MDCP PDU。即MDCP PDU包括M_segment和后继指示字段。其中,后继指示字段可用于表示当前的MDCPPDU在同一个MDCPSDU中的多个MDCPPDU中的顺序,或者当前MDCPPDU为MDCPSDU的唯一一个MDCPPDU。
在SLC层,终端100可以通过层间接口获取到MDCP层下发的MDCPPDU,作为SLC SDU。在SLC层,终端100可以将SLC SDU分段成一个或多个(例如,4个)固定长度的SLC分段数据(S_segment),并在每个S_segment头部添加帧头信息(又称为帧格式指示信息),得到SLCPDU。其中,帧头信息中可以包括但不限于用户ID字段、帧总数字段和帧序号字段。其中,用户ID字段可用于表示生成该SLC PDU的终端(例如,终端100)。帧总数字段,可用于表示该SLC PDU所属的SLC SDU中包括SLC PDU的总数量。帧序号字段,可用于表示该SLC PDU在所属的SLC SDU中的序号。
在PHY层,终端100可以通过层间接口获取到SLC层下发的SLC PDU。终端100可以对其进行编码调制扩频等操作得到入站数据。然后,终端100可以将入站数据发送给北斗短报文卫星21,经由北斗短报文卫星21中继转发给北斗网络设备200。
图3B示出了本申请实施例中提供的一种北斗通信系统10的入站数据的协议解析架构示意图。
如图3B所示,北斗网络设备200上的北斗报文传输协议层可以分为应用层、消息数据汇聚层、卫星链路控制层和物理层。其中,北斗网络设备200可以包括但不限于北斗地面收发站22、北斗中心站23和北斗短报文融合通信平台24。北斗地面收发站22可用于负责PHY层的协议处理。北斗中心站23可用于负责SLC层和MDCP层的协议处理。北斗短报文融合通信平台24可用于负责APP层的协议处理。
北斗网络设备200接收终端100发送的数据时,北斗网络设备200上的北斗报文传输协议的工作流程可以如下:
在PHY层,北斗网络设备200可以获取终端100发送的入站数据。北斗网络设备200针对入站数据进行解扩解调解码等操作后可以通过层间接口将其呈递给SLC层,作为SLC层的SLC PDU。
在SLC层,北斗网络设备200可以基于SLC PDU的帧头信息,将属于同一个终端的同一个SLC SDU的SLC PDU拼接成一个SLC SDU。北斗网络设备200可以将SLC SDU通过层间接口呈递给MDCP层,作为MDCP层的MDCP PDU。
在MDCP层,北斗网络设备200可以将属于同一个MDCP SDU的所有MDCP PDU按照接收时间拼接在一起,并将拼接后的MDCPPDU的填充数据和冗余长度指示字段去除得到MDCPSDU。北斗网络设备200可以将MDCP SDU通过层间接口呈递到APP层,作为APP层接收到的应用层报文。可选的,北斗网络设备200可以在收到MDCPSDU的第一个MDCPPDU时,将接收到该第一个MDCPPDU的时间点作为接收时间,并将接收时间上传至APP层。
在APP层,北斗网络设备200可以基于应用层报文的报文头,使用密钥对应用层报文进行解密得到原始数据和鉴权码。北斗网络设备200可以基于密钥和解密得到的原始数据生成鉴权码,并将生成的鉴权码和解密得到的鉴权码进行对比。若鉴权码相同,则鉴权成功,北斗网络设备200可以对解密得到的原始数据进行进一步地处理,例如,北斗网络设备20可以将原始数据转发至蜂窝网络设备400。若鉴权码不同,则鉴权失败,北斗网络设备200可以丢弃解密后的原始数据和鉴权码。
可选的,北斗网络设备200对加密后数据进行解密后,可以得到压缩数据。北斗网络设备200对压缩数据进行解压缩后,得到鉴权码和原始数据。
进一步的,北斗网络设备200在鉴权成功时,可以向终端100发送第一应用层回执。第一应用层回执可以用于指示北斗网络设备200鉴权成功。北斗网络设备200在鉴权失败时,可以向终端100发送第二应用层回执。第二应用层回执可以用于指示北斗网络设备200鉴权失败。终端100可以基于第二应用层回执重传应用层报文。
本申请实施例中,上述协议处理过程仅为示例说明,本申请对协议处理的具体操作不作限定。
接下来介绍本申请实施例中提供的一种北斗通信系统10的出站数据的协议架构。
图4A示出了本申请实施例中提供的一种北斗通信系统10的出站数据的协议封装架构示意图。
如图4A所示,北斗网络设备200上的北斗报文传输协议层可以分为应用层、消息数据汇聚层、卫星链路控制层和物理层。
北斗网络设备200发送数据给终端100时,北斗网络设备200上的北斗报文传输协议的工作流程可以如下:
在APP层,北斗网络设备200可以基于发送至终端100的原始数据和密钥生成鉴权码,并将鉴权码和原始数据拼接在一起。北斗网络设备200可以使用密钥加密拼接在一起的鉴权码和原始数据得到加密后数据。北斗网络设备200可以在加密后数据前添加报文头,得到应用层报文。其中,原始数据可以包括但不限于第三方服务器(例如,短消息中心25)发送的数据、文本、旗语、语音、图像、动画等。其中,报文头可以包括但不限于加密指示字段。加密指示字段可以用于指示终端100加密数据使用的加密算法。
可选的,在北斗网络设备200加密拼接在一起的鉴权码和原始数据之前,可以先压缩拼接在一起的鉴权码和原始数据。可以理解的是,报文头中还可以包括压缩指示字段。压缩指示字段可用于指示北斗网络设备200压缩数据使用的压缩算法类型。
进一步可选的,北斗网络设备200可以压缩拼接在一起的鉴权码和原始数据,得到压缩数据。北斗网络设备200可以在压缩数据前添加上述压缩指示字段,再使用密钥加密添加了压缩指示字段的压缩数据,得到加密后数据。
在MDCP层,北斗网络设备200可以通过层间接口获取到APP层下发的应用层报文,并将应用层报文作为一个MDCP SDU。北斗网络设备200可以将MDCP SDU拆分成一个或多个固定长度的MDCP分段数据(M_segment),并在每个MDCP分段数据的头部添加后继指示字段,得到MDCP PDU,即MDCP PDU包括M_segment和后继指示字段。其中,后继指示字段可用于表示当前的MDCPPDU在同一个MDCPSDU中的顺序。
在SLC层,北斗网络设备200可以通过层间接口获取到MDCP层下发的MDCPPDU,作为SLC SDU。北斗网络设备200可以将SLC SDU分段成一个或多个(例如,4个)固定长度的SLC分段数据(S_segment),并在每个S_segment头部添加帧头信息,得到SLC PDU。其中,帧头信息可以包括但不限于用户ID字段、帧总数字段、帧序号字段。其中,用户ID字段可以用于标识接收设备(例如终端100),用户ID字段的值为接收设备的ID号。其中,帧总数字段和帧序号字段的详细描述可以参见上述3A所述实施例,在此不再赘述。
在PHY层,北斗网络设备200可以通过层间接口获取到SLC层下发的SLC PDU,作为用户帧。北斗网络设备200可以将多个用户或者一个用户的用户帧(又称为数据帧)拼接在一起,再加上帧头(例如版本号)和校验位得到得到物理帧。北斗网络设备200可以将物理帧进行编码调制扩频等操作后得到电文支路(S2C-d支路)的编码数据。北斗网络设备200可以将S2C-d支路的编码数据和导频支路(S2C-p支路)的导频数据(又称为副码)组成导频编码数据,即出站数据。并将出站数据发送给北斗短报文卫星21,经由北斗短报文卫星21中继转发给一个或多个终端。可以理解的是,S2C-p支路的导频数据与卫星波束相关。当卫星波束为已知信息时,S2C-p支路的导频数据也是已知的,无需解码。而S2C-d支路的编码数据是需要解码的。
图4B示出了本申请实施例中提供的一种北斗通信系统10的出站数据的协议解析架构示意图。
如图4B所示,终端100上的北斗报文传输协议层可以分为应用层、消息数据汇聚层、卫星链路控制层和物理层。
在PHY层,终端100可以基于北斗网络设备200发送的S2C-p支路的副码,捕获到将S2C-d支路的编码数据。终端100在捕获到S2C-d支路的编码数据后,可以对S2C-d支路的编码数据进行解扩、解调、解码等操作,得到物理帧。终端100可以从物理帧中提取出属于终端100的用户帧。终端100可以将用户帧通过层间接口呈递给SLC层,作为SLC层的SLC PDU。
在SLC层,当终端100收到的用户帧为通用数据帧时,终端100可以将属于同一个SLC SDU的SLC PDU拼接成一个SLC SDU。终端100可以将SLC SDU通过层间接口呈递给MDCP层,作为MDCP层的MDCP PDU。当终端100收到的用户帧为ACK帧时,终端100可以基于bitmap字段的值,重传数据/发送下一个SLCSDU。
在MDCP层,终端100可以将一个或多个MDCP PDU拼接成一个MDCP SDU。终端100可以将MDCP SDU通过层间接口呈递到APP层,作为APP层接收到的应用层报文。
在APP层,终端100可以对应用层报文进行解密,得到原始数据和鉴权码。终端100可以基于密钥和解密得到的原始数据生成鉴权码,并将生成的鉴权码和解密得到的鉴权码进行对比。若鉴权码相同,则鉴权成功,终端100可以对解密得到的原始数据进行进一步地处理,例如,终端100可以在显示屏上显示原始数据。若鉴权码不同,则鉴权失败,终端100可以丢弃解密后的原始数据和鉴权码。
进一步的,终端100在鉴权成功时,可以向北斗网络设备200发送第一应用层回执。第一应用层回执可以用于指示终端100鉴权成功。终端100在鉴权失败时,可以向北斗网络设备200发送第二应用层回执。第二应用层回执可以用于指示终端100鉴权失败。北斗网络设备200可以基于第二应用层回执重传应用层报文。
本申请实施例中,上述协议处理过程仅为示例说明,本申请对协议处理的具体操作不作限定。
在一种可能的实现方式中,发送设备和接收设备可以通过蜂窝网络下的网元设备获取密钥。其中,密钥在预设时间内(又称为密钥有效期)有效。在密钥有效期内,发送设备和接收设备可以使用该密钥进行原始数据的加解密和鉴权码的计算。当密钥的有效期结束后,发送设备和接收设备需要再次回到蜂窝网络更新密钥。这样,在密钥有效期内,终端100在北斗网络下也可以使用密钥进行数据的加解密,不需要和北斗网络设备进行密钥的协商,节约北斗网络设备的空口资源的同时,保证数据安全性。
具体的,终端100和北斗网络设备200可以复用IP多媒体子系统(ip multimediasubsystem,IMS)网络中标准的单元测试(unittest,UT)接口通过蜂窝网络设备400更新密钥和获取密钥的有效期。示例性的,如图5所示,终端100和北斗网络设备200获取密钥的具体步骤如下:
S501,终端100向北斗网络设备200发送业务请求1。
当终端100处于蜂窝网络时,终端100可以在蜂窝网络下向北斗网络设备200发送业务请求1。其中,业务请求1可以包括终端100的ID号。例如,业务请求1可以为超文本传输协议获取请求(hypertexttransferprotocolGET,HTTPGET)。
S502,北斗网络设备200向北斗网络设备200发送业务响应1。
北斗网络设备200可以在收到业务请求1后,可以在基于终端100的ID号确定出北斗网络设备200中未存储终端100的密钥或终端100的密钥已经失效后,向终端100发送业务响应1。其中,业务响应1可以用于指示终端100通过蜂窝网络设备400获取密钥。
当北斗网络设备200基于终端100的ID号确定出北斗网络设备200中存储的终端100的密钥未失效,北斗网络设备200将密钥有效期发送给终端100。终端100可以将密钥有效期更新为收到的密钥有效期。
在一种可能的实现方式中,北斗网络设备200收到终端100发送的业务请求1后,直接向终端100发送上述业务响应1。
S503,终端100向引导服务器41发送业务请求2。
终端100在接收到业务响应1后,可以向引导服务器41发送业务请求2。其中,业务请求2可以包括终端100的ID号,业务请求2可以用于指示蜂窝网络设备400向终端100发送生成密钥所需要的参数,例如,第一随机数RAND和鉴权令牌AUTN。例如,业务请求2可以为超文本传输协议认证和密钥协商(authenticationandkeyagreement,AKA)请求。
S504,引导服务器41向归属用户服务器42发送认证请求。
引导服务器41收到业务请求2后,可以向归属用户服务器42发送认证请求。其中,认证请求包括终端100的ID号。认证请求可以用于指示归属用户服务器42反馈终端100的认证参数。其中,认证参数的描述可以参见上述图2所示实施例,在此不再赘述。例如,认证请求可以为媒体鉴权请求(multimediaauthenticationrequest,MAR)。
S505,归属用户服务器42向引导服务器41发送认证参数(包括第一RAND、AUTN)。
归属用户服务器42接收到认证请求后,可以基于终端100的ID号获取终端100的认证参数。归属用户服务器42预存有终端100的ID号和ID号对应的CK和IK。归属用户服务器42还可以通过随机数生成器获取第一RAND。归属用户服务器42可以基于第一RAND、IK和CK生成AUTN和XRES。归属用户服务器42可以将生成的认证参数发送至引导服务器41。其中,终端100的ID号可以包括但不限于终端100的手机号、IP多媒体私有标识(IPmultimediaprivateidentity)等等。
S506,引导服务器41向终端100发送业务响应2。
引导服务器41收到认证参数后,可以向终端100发送业务响应2。其中,业务响应2可以包括第一RAND和AUTN。
S507,终端100基于第一RAND和AUTN生成CK、IK和RES。
终端100可以在收到第一RAND和AUTN后,基于第一RAND和AUTN通过SIM卡计算得到CK、IK和RES。其中,终端100生成RES使用的算法和蜂窝网络设备400生成XRES使用的算法相同。
S508,终端100向引导服务器41发送业务请求3(包括RES)。
终端100在生成RES后,可以向蜂窝网络设备400发送业务请求3。其中,业务请求3包括RES。例如,业务请求2可以为头域中包括RES的HTTPGET。
S509,引导服务器41可以对比XRES和RES是否相同。
引导服务器41收到终端100的业务请求3后,可以通过比较RES和XRES是否相同,验证终端100的身份。若引导服务器41判定出RES和XRES相同,引导服务器41可以执行步骤S510和步骤S511。
S510,引导服务器41可以基于CK和IK生成用户密钥Ks_NAF,Ks_NAF的密钥有效期和Ks_NAF的引导业务标识(bootstrapping transaction identifier,B-TID)。
引导服务器41可以基于CK和IK通过生成密钥的算法计算得到Ks_NAF。同时,引导服务器41可以生成Ks_NAF对应的B-TID和密钥有效期。其中,Ks_NAF为终端100的密钥,可以用于和北斗网络设备200进行数据传输时数据的加解密。B-TID可以用于北斗网络设备200从引导服务器41获取终端100的Ks_NAF。密钥有效期可以用于指示密钥(即,Ks_NAF)的有效时间。
S511,引导服务器41可以向终端100发送业务响应3。
其中,业务响应3可以包括密钥有效期和B-TID。在密钥有效期内,终端100可以在传输数据的过程中,通过上述认证参数计算得到的用户密钥进行数据的加解密。
S512,终端100可以基于认证参数生成Ks_NAF。
终端100可以基于CK和IK通过生成密钥的算法计算得到Ks_NAF。其中,终端100使用的生成密钥的算法和蜂窝网络设备400使用的算法相同。
S513,终端100向北斗网络设备200发送业务请求4(包括B-TID)。
终端100在计算得到Ks_NAF后,可以向北斗网络设备200发送业务请求4。其中,业务请求4可以包括B-TID。业务请求4可以用于指示北斗网络设备200获取终端100的密钥。
S514,北斗网络设备200向引导服务器41发送参数请求。
北斗网络设备200收到业务请求4后,可以向引导服务器41发送参数请求。其中,参数请求可以包括B-TID。例如,参数请求可以为引导信息请求(bootstrapping-info-request,BIR)。
S515,引导服务器41向北斗网络设备200发送参数响应(包括Ks_NAF)。
引导服务器41可以基于终端100的B-TID向北斗网络设备200发送参数响应。其中,参数响应可以包括终端100的Ks_NAF。可选的,引导服务器41可以在步骤S515值生成B-TID和密钥有效期,直到收到北斗网络设备的参数请求后,再生成密钥Ks_NAF。
S516,北斗网络设备200向终端100发送业务响应4。
北斗网络设备200可以在收到引导服务器41返回的密钥后,给终端100发送业务响应4。其中,业务响应4可以用于指示在密钥有效期内,终端100可以在和北斗网络设备200传输数据时,使用存储的Ks_NAF进行数据的加密和解密操作。可以理解的是,Ks_NAF为终端100和北斗网络设备200通过蜂窝网络设备400获取的密钥。
这样,在蜂窝网络下更新密钥,并给密钥预设有效期。终端100可以在处于北斗网络中时,继续使用有效期内的密钥和北斗网络设备200进行数据的加解密。既节约了北斗通信系统的空口资源,也减少了生成密钥的步骤。
下面介绍本申请实施例中提供的一种北斗通信系统中鉴权校验方法。
图6示出了本申请实施例中提供的北斗通信系统中在入站传输时鉴权校验方法的流程示意图。
S601,终端100、北斗网络设备200和蜂窝网络设备400协商密钥。
具体的,协商密钥的详细描述可以参见图5所述实施例,在此不再赘述。终端100和北斗网络设备200在通过蜂窝网络设备400获取密钥后,可以存储该密钥。终端100和北斗网络设备200可以在密钥的有效期内,使用该密钥进行数据的加解密。其中,终端100存储的密钥可以称为密钥A,北斗网络设备200存储的密钥可以称为密钥B。在此,密钥A和密钥B相同。
S602,终端100获取原始数据A。
其中,原始数据A可以包括但不限于主叫用户输入的数据(例如文本数据、图像数据、音频数据、视频数据等)、被叫用户的数量指示、被叫用户的ID、终端100的位置信息等。
在一些实施例中,终端100可以在接收到主叫用户的第一输入后,响应于第一输入,获取原始数据A并向北斗网络设备200发送该原始数据A。在本申请实施例中,该输入可以包括但不限于:手势、语音等。其中,手势可以包括直接触摸终端100的显示屏的手势(例如单击)和不直接触摸显示屏的悬浮手势。
S603,终端100基于密钥A和原始数据A生成鉴权码A。
终端100可以基于预存的密钥A和原始数据A通过指定算法生成鉴权码A。其中,原始数据A可以包括但不限于用户输入的文本数据。
示例性的,终端100使用的指定算法可以为基于SM3密码杂凑算法的哈希运算消息认证码(hash-based message authentication code,HMAC)算法。具体的,HMAC的计算公式如下:
HMAC=SM3[(k+⊕opad)||SM3[(k+⊕ipad)||text]]
其中,SM3为一种密码杂凑算法。其中,k+可以基于密钥A得到。其中,k+的长度可以为64字节。高位的16字节为密钥A,后面的48字节全为0。其中,opad为64字节重复的0x5C,ipad为64字节重复的0x36。text为原始数据A。其中,⊕为异或符号,||为拼接符号。其中,HMAC的长度为32byte。
之后,终端100可以截取HMAC的高位16bit长度的字符,得到鉴权码A。鉴权码A的长度为16bit。
S604,终端100使用密钥A加密鉴权码A和原始数据A,得到应用层报文。
示例性的,如图7所示,终端100可以将鉴权码A和原始数据A拼接在一起,并使用密钥A加密拼接在一起的鉴权码A和原始数据A,得到加密后数据。终端100可以在加密后数据前添加报文头信息,得到应用层报文。其中,报文头信息可以包括但不限于加密指示字段。其中,加密指示字段可以用于指示终端100使用的加密算法。其中,加密指示字段的长度可以为2bit。例如,当加密指示字段的值为00时,指示发送设备不使用加密算法。当加密指示字段的值为01时,指示发送设备使用加密算法1(例如,分组密码算法)。
S605,终端100可以将应用层报文发送至北斗网络设备200。
具体的,终端100向北斗网络设备200发送数据的具体流程描述可以参见上述图3A所述实施例,在此不再赘述。需要说明的是,终端100将应用层报文发送至北斗网络设备200的过程中,终端100在SLC层添加的帧头信息中可以包括用户ID字段。用户ID字段可以用于标识终端100。用户ID字段的值为终端100的ID号码。终端100的ID号码可以用于指示终端100对应的密钥相关的参数。
S606,北斗网络设备200可以使用密钥B解密应用层报文,得到鉴权码B和原始数据B。
其中,北斗网络设备200接收来自终端100的数据的具体流程描述可以参见上述图3B所述实施例,在此不再赘述。北斗网络设备200在得到终端100发送的应用层报文后,可以基于报文头中的加密指示字段确定出终端100得到加密后数据所使用的加密算法。北斗网络设备200可以使用密钥B通过对应的解密算法解密应用层报文中的加密后数据,得到鉴权码B和原始数据B。
S607,北斗网络设备200可以使用密钥B和原始数据B生成鉴权码C。
其中,北斗网络设备200可以使用预存的密钥B和解密得到的原始数据B通过指定算法生成鉴权码C。其中,北斗网络设备200使用的指定算法和终端100生成鉴权码A使用的指定算法相同。
示例性的,北斗网络设备200也可以采用基于SM3密码杂凑算法的HMAC算法计算得到鉴权码,首先,北斗网络设备200对HMAC的计算公式如下:
HMAC=SM3[(k+⊕opad)||SM3[(k+⊕ipad)||text]]
其中,SM3为一种密码杂凑算法。其中,k+可以基于密钥B得到。其中,k+的长度可以为64字节。高位的16字节为密钥B,后面的48字节全为0。其中,opad为64字节重复的0x5C,ipad为64字节重复的0x36。text为的原始数据B。其中,⊕为异或符号,||为拼接符号。其中,HMAC的长度为32byte。
之后,北斗网络设备200可以截取HMAC的高位16bit长度的字符,得到鉴权码C。鉴权码C的长度为16bit。
S608,北斗网络设备200可以判断鉴权码B和鉴权码C是否相同。
当北斗网络设备200判定出鉴权码B和鉴权码C相同时,北斗网络200可以执行步骤S609。进一步的,北斗网络设备200还可以执行步骤S610。
当北斗网络设备200判定出鉴权码B和鉴权码C不同时,北斗网络设备200可以不转发该原始数据B。进一步的,北斗网络设备200还可以执行步骤S611。
S609,北斗网络设备200可以将原始数据B发送至蜂窝网络设备400。
北斗网络设备200可以将原始数据B发送至蜂窝网络设备400(例如,短消息中心25)。短消息中心25可以将原始数据以指定格式(例如,短信)转发至被叫用户的终端(例如终端300)。
在一种可能的实现方式中,北斗网络设备200在对比解密得到的鉴权码和北斗网络设备200生成的鉴权码后,可以基于对比的结果生成对应的应用层回执。北斗网络设备200可以将应用层回执发送给终端100。终端100可以通过应用层回执确定出北斗网络设备200的鉴权结果。
S610,北斗网络设备200可以向终端100发送第一应用层回执。
北斗网络设备200在判定出鉴权码B和鉴权码C相同后,可以向终端100发送第一应用层回执。其中,第一应用层回执可以用于指示北斗网络设备200鉴权成功。
可选的,终端100可以在收到第一应应用层回执后,显示成功提示信息。其中,该成功提示信息可以包括但不限于文字提示信息、语音提示信息、动画提示信息等等。该成功提示信息用于指示北斗网络设备200解密成功。例如,该成功提示信息可以为文字提示信息“发送成功”。
S611,北斗网络设备200可以向终端100发送第二应用层回执。
北斗网络设备200在判定出鉴权码B和鉴权码C不同后,可以向终端100发送第二应用层回执。其中,第二应用层回执可以用于指示北斗网络设备200鉴权失败。
其中,终端100在接收到第二应用层回执后,可以重传应用层报文。
可选的,终端100可以在收到第二应应用层回执后,显示失败提示信息。其中,该失败提示信息可以包括但不限于文字提示信息、语音提示信息、动画提示信息等等。该失败提示信息用于指示北斗网络设备200解密失败。例如,该失败提示信息可以为文字提示信息“发送失败,请重发”。
图8示出了本申请实施例中提供的北斗通信系统中在出站传输时鉴权校验方法的流程示意图。
如图8所示,出站传输时的鉴权校验方法包括如下步骤:
S801,终端100、北斗网络设备200和蜂窝网络设备400协商密钥。
具体的,协商密钥的详细描述可以参见图5所述实施例,在此不再赘述。终端100和北斗网络设备200在通过蜂窝网络设备400获取密钥后,可以存储该密钥。终端100和北斗网络设备200可以在密钥的有效期内,使用该密钥进行数据的加解密。其中,终端100存储的密钥可以称为密钥A,北斗网络设备200存储的密钥可以称为密钥B。在此,密钥A和密钥B相同。
S802,北斗网络设备200接收到蜂窝网络设备400发送的原始数据。
北斗网络设备200接收到蜂窝网络设备400(例如短消息中心25)发送的原始数据。其中,该原始数据为蜂窝网络下的主叫用户(例如终端300的用户)发送至北斗网络下的被叫用户(终端100的用户)的原始数据。其中,原始数据可以包括但不限于主叫用户输入的文本、动画、图片等信息。需要说明的是,蜂窝网络设备400在将终端300发送给终端100的数据转发至北斗网络设备200时,也可以同时将被叫用户的ID号(例如,终端100的ID号)转发至北斗网络设备200。
在一些实施例中,北斗网络设备200获取的原始数据可以为存储在北斗网络设备200的存储器中的数据。例如,原始数据可以为北斗网络设备200存储的地图数据。
在另一些实施例中,北斗网络设备200接收的原始数据可以为第三方服务器发送到北斗网络设备200的数据(例如,文本数据、图像数据、音频数据、视频数据等等)。
S803,北斗网络设备200接收到终端100发送的业务请求。
其中,该业务请求可以为下载原始数据的请求,在此,该原始数据的接收设备为终端100。北斗网络设备200可以在接收到终端100的业务请求后,执行步骤S804-步骤806。
S804,北斗网络设备200基于密钥B和原始数据B生成鉴权码B。
北斗网络设备200可以基于预存的密钥B和原始数据B通过指定算法生成鉴权码B。具体的,北斗网络设备200生成鉴权码B的详细描述可以参见图6所述实施例,在此不再赘述。
S805,北斗网络设备200可以使用密钥B加密鉴权码B和原始数据B,得到应用层报文。
北斗网络设备200可以将鉴权码B和原始数据B拼接在一起,并使用密钥B加密拼接在一起的鉴权码B和原始数据B,得到加密后数据。北斗网络设备200可以在加密后数据前添加报文头信息,得到应用层报文(例如图7所示的应用层报文)。其中,报文头信息可以包括但不限于加密指示字段。其中,加密指示字段可以用于指示加密后数据使用的加密算法。
S806,北斗网络设备200可以将应用层报文发送至终端100。
具体的,北斗网络设备200向终端100发送数据的具体流程描述可以参见上述图4A所述实施例,在此不再赘述。
S807,终端100可以使用密钥A解密应用层报文,得到鉴权码A和原始数据A。
其中,终端100接收来自北斗网络设备200的数据的具体流程描述可以参见上述图4B所述实施例,在此不再赘述。终端100在收到北斗网络设备200发送的应用层报文后,可以基于报文头中的加密指示字段确定出北斗网络设备200得到加密后数据时使用的加密算法。终端100可以使用密钥A通过对应的解密算法解密应用层报文中的加密后数据,得到鉴权码A和原始数据A。
S808,终端100可以使用密钥A和原始数据A生成鉴权码D。
其中,终端100可以使用预存的密钥A和解密得到的原始数据A通过指定算法生成鉴权码D。其中,终端100使用的指定算法和北斗网络设备200生成鉴权码B使用的指定算法相同。具体的,终端100生成鉴权码D的详细描述可以参见图6所述步骤S603中终端100生成鉴权码A的实施例,在此不再赘述。
S809,终端100可以判断鉴权码A和鉴权码D是否相同。
当终端100判定出鉴权码A和鉴权码D相同时,终端100可以执行步骤S810。进一步的,终端100还可以执行步骤S811。
当终端100判定出鉴权码A和鉴权码D不同时,终端100可以删除该原始数据B。进一步的,终端100还可以执行步骤S812。
S810,终端100可以显示接收提示信息。
终端100可以在显示屏上显示接收提示信息,该提示信息可以用于指示终端100收到了一条北斗短消息。该接收提示信息可以包括但不限于文字提示信息、图片提示信息、动画提示信息等。当该接收提示信息为文字提示信息时,例如,该接收提示信息可以为“收到一条来自终端300的北斗短消息”。可选的,终端100可以直接将原始数据A以指定格式(例如,短信的格式)显示在显示屏上。
在一种可能的实现方式中,终端100在对比解密得到的鉴权码和终端100生成的鉴权码后,可以基于对比的结果生成对应的应用层回执。终端100可以将应用层回执发送给北斗网络设备200。北斗网络设备200可以通过应用层回执确定出终端100的鉴权结果。
S811,终端100可以向北斗网络设备200发送第一应用层回执。
当终端100判定出鉴权码A和鉴权码D相同后,可以向北斗网络设备200发送第一应用层回执。其中,第一应用层回执可以用于指示终端100鉴权成功。
S812,终端100可以向北斗网络设备200发送第二应用层回执。
当终端100判定出鉴权码A和鉴权码D不同后,可以向北斗网络设备200发送第二应用层回执。其中,第二应用层回执可以用于指示终端100鉴权失败。
可选的,北斗网络设备200在接收到第二应用层回执后,可以重传应用层报文。
在一种可能的实现方式中,当终端100驻留在北斗网络时,密钥有效期结束(即,密钥失效),终端100和北斗网络设备200可以继续使用已经失效的密钥加解密数据,直至终端100回到蜂窝网络。终端100和北斗网络设备200通过蜂窝网络从蜂窝网络设备400获取更新后的密钥。这样,当终端100长期处于无网络状态时,终端100也可以使用密钥和北斗网络设备200进行通信,保证数据的安全性。
可选的,终端100在密钥失效后,可以向北斗网络设备200发送业务请求,该业务请求可以用于指示北斗网络设备200延长密钥有效期。
在一种可能的实现方式中,发送设备和接收设备可以基于发送设备的发送时间生成密钥。并基于该密钥和原始数据生成鉴权码。这样,北斗通信系统中的发送设备和接收设备可以随时间更新密钥,进而更新鉴权码。发送设备可以在传输数据的同时传输鉴权码,节约北斗通信系统的空口资源。
下面介绍本申请实施例中提供的一种北斗通信系统中鉴权校验方法。
图9示出了本申请实施例中提供的北斗通信系统中在入站传输时鉴权校验方法的流程示意图。
S901,终端100获取原始数据A。
其中,原始数据A可以包括但不限于主叫用户(例如,终端100的用户)输入的数据(例如文本数据、图像数据、音频数据、视频数据等)、被叫用户(例如,终端300的用户)的数量指示、被叫用户的ID、终端100的位置信息等。
在一些实施例中,终端100可以在接收到主叫用户的第一输入后,响应于第一输入,获取原始数据A并向北斗网络设备200发送该原始数据A。在本申请实施例中,该输入可以包括但不限于:手势、语音等。其中,手势可以包括直接触摸终端100的显示屏的手势(例如单击)和不直接触摸显示屏的悬浮手势。
S902,终端100基于发送时间T生成密钥A。
其中,发送时间T(又称为应用层报文的发送时间)可以为第一时间点至第二时间点期间(包括第一时间点和第二时间点)的指定时间点,本申请对此不作限定。其中,第一时间点为终端100获取原始数据A的时间点。例如,终端100获取原始数据A的时间点可以为终端100接收到主叫用户发送北斗短消息的输入的时间点,此时,原始数据包括主叫用户输入的数据。
其中,第二时间点为终端100生成密钥A时获取的时间点。具体的,第二时间点可以为终端100计算密钥A时运行获取应用层报文的发送时间的程序语句(例如,通过获取当前时间函数getCurrentTime())得到的当前时间点。其中,应用层报文的发送时间的单位为小时。需要说明的是,终端100必须在生成鉴权码A之前获取该指定时间点。
在此,发送时间T可以为终端100接收到用户发送北斗短消息的输入的时间点,单位为小时。例如,终端100接收到用户发送北斗短消息的输入的时间为北京时间08:58(二十四小时制)时,时钟数值为8,则发送时间T的值为8。
终端100可以基于发送时间T,SIM卡中的Ki、IMSI等参数生成密钥A。首先。终端100可以获取SIM卡中存储的IMSI,并将IMSI和发送时间T拼接得到第二RAND。之后,终端100可以基于第二RAND和存储在SIM卡中的Ki通过预设密钥算法1得到Kc。终端100还可以基于第二RAND和Ki通过预设密钥算法2得到SRES。其中,预设密钥算法1可以为A8算法,预设密钥算法2可以为A3算法。最后,终端100可以基于SRES和Kc通过预设密钥算法3得到密钥A。其中,终端100最终得到的密钥A的长度可以为16byte。预设密钥算法3可以为国密算法SM3。
S903,终端100可以基于密钥A和原始数据A生成鉴权码A。
具体的,终端100生成鉴权码A的详细描述可以参见图6所述实施例,在此不再赘述。
S904,终端100使用密钥A加密鉴权码A和原始数据A,得到加密后数据。
S905,终端100可以在加密后数据前添加报文头得到应用层报文,其中,应用层报文包括时间指示字段。
示例性的,如图10所示,终端100可以将鉴权码A和原始数据A拼接在一起,并使用密钥A加密拼接在一起的鉴权码A和原始数据A,得到加密后数据。终端100可以在加密后数据前添加报文头信息,得到应用层报文。其中,报文头信息可以包括但不限于加密指示字段、时间指示字段。其中,加密指示字段可以用于指示加密后数据使用的加密算法。时间指示字段可以用于指示发送时间信息。
其中,时间指示字段的长度可以为1bit。时间指示字段的值可以由发送时间T决定。其中,当T的值为偶数时,时间指示字段的值为1;当T的值为奇数时,时间指示字段的值为0。例如,当发送时间的值为8时,时间指示字段的值为1。当发送时间的值为17时,时间指示字段的值为0。可以理解的是,时间指示字段的值可以指示发送时间T的奇偶值。
S906,终端100将应用层报文发送到北斗网络设备200。
具体的,终端100向北斗网络设备200发送数据的具体流程描述可以参见上述图3A所述实施例,在此不再赘述。需要说明的是,应用层报文的SLC层的SLCPDU的帧头信息中可以包括用户ID字段。用户ID字段可以用于标识终端100。用户ID字段的值为终端100的ID号码。终端100的ID号码可以用于指示终端100对应的密钥相关的参数(例如IMSI)。
S907,北斗网络设备200记录接收时间T1。
其中,接收时间T1(即,应用层报文的接收时间)可以为第三时间点至第四时间点之间(包括第三时间点和第四时间点)的指定时间点,本申请实施例对此不作限定。其中,第三时间点可以为北斗网络设备200收到终端100发送的应用层报文的第1个SLC PDU的时间点。第四时间点可以为北斗网络设备200生成密钥时获取的时间点。具体的,第四时间点可以为北斗网络设备200计算密钥时运行获取应用层报文的发送时间的程序语句(例如,通过获取当前时间函数getCurrentTime())得到的当前时间点。其中,应用层报文的接收时间的单位为小时。需要说明的是,北斗网络设备200必须在解密上述加密后数据之前获取该指定时间点。
在此,在SLC层,北斗网络设备200接收到终端100发送的应用层报文对应的第1个SLCPDU时,北斗网络设备200可以将收到该SLCPDU的时间记录为接收时间T1。例如,当北斗网络设备200收到终端100发送的第1个SLCPDU的时间为08:59(二十四小时制)时,北斗网络设备200可以得到接收时间T1的值为8。其中,北斗网络设备200接收来自终端100的数据的具体流程描述可以参见上述图3B所述实施例,在此不再赘述。
S908,北斗网络设备200向蜂窝网络设备400发送IMSI请求。
具体的,北斗网络设备200收到应用层报文的数据后,可以向蜂窝网络设备150(例如,电信业务运营支持系统29)发送IMSI请求。其中,IMSI请求可以包括终端100的ID号。IMSI请求可以用于指示蜂窝网络设备400反馈ID号对应的IMSI。
S909,蜂窝网络设备400向北斗网络设备200发送终端100的IMSI。
具体的,电信业务运营支持系统29可以在收到IMSI请求后,根据ID号返回对应的IMSI给北斗网络设备200。
S910,北斗网络设备200可以基于时间指示字段、接收时间T1和IMSI等信息得到第二RAND。
首先,北斗网络设备200可以根据时间指示字段和接收时间T1确定出发送时间T。其中,当时间指示字段的值指示的发送时间T的奇偶值和接收时间T1的奇偶值相同时,发送时间T等于接收时间T1。当时间指示字段的值指示的发送时间T的奇偶值和接收时间T1的奇偶值不同时,接收时间T1和发送时间T的差值为1。具体的,根据时间指示字段和接收时间T1确定发送时间T的公式如下:
当时间指示字段的值为0且T1为奇数时,T=T1;
当时间指示字段的值为0且T1为偶数时,T=T1-1;
当时间指示字段的值为1且T1为奇数时,T=T1-1;
当时间指示字段的值为1且T1为偶数时,T=T1。
例如,若时间指示字段的值为1,且接收时间T1为9时,发送时间T等于8。之后,北斗网络设备200可以拼接IMSI和发送时间T得到第二RAND。
S911,北斗网络设备200可以将第二RAND发送至蜂窝网络设备400。
具体的,北斗网络设备200可以将第二随机数RAND发送至归属位置寄存器28。
S912,蜂窝网络设备400可以基于第二RAND等信息计算得到SRES和Kc。
归属位置寄存器28可以存储已经开户的终端的Ki。归属位置寄存器28可以基于终端100的ID号确定出终端100的Ki。之后,归属位置寄存器28可以基于Ki和第二RAND通过预设密钥算法1得到Kc。例如,预设密钥算法1可以为A8算法。归属位置寄存器28可以基于Ki和第二RAND通过预设密钥算法2生成SRES。例如,预设密钥算法2可以为A3算法。需要说明的是,归属位置寄存器28基于第二RAND和Ki生成SRES和Kc使用的算法和终端100相同。
S913,蜂窝网络设备400可以将SRES和Kc发送至北斗网络设备200。
归属位置寄存器28可以将计算得到的SRES和Kc发送至北斗网络设备200。
S914,北斗网络设备200可以基于SRES和Kc生成密钥B。
北斗网络设备200可以基于SRES和Kc通过预设密钥算法3生成密钥B。其中,预设密钥算法3可以为国密SM3算法。北斗网络设备200基于SRES和Kc生成密钥B的步骤和终端100基于SRES和Kc生成密钥A的步骤相同。
S915,北斗网络设备200可以使用密钥B解密应用层报文,得到鉴权码B和原始数据B。
其中,北斗网络设备200接收来自终端100的数据的具体流程描述可以参见上述图3B所述实施例,在此不再赘述。北斗网络设备200在得到终端100发送的应用层报文后,可以基于报文头中的加密指示字段确定出终端100生成加密后数据时使用的加密算法。北斗网络设备200可以使用密钥B通过对应的解密算法解密应用层报文中的加密后数据,得到鉴权码B和原始数据B。
S916,北斗网络设备200可以使用密钥B和原始数据B生成鉴权码C。
其中,北斗网络设备200可以使用通过蜂窝网络设备400得到的密钥B和解密得到的原始数据B通过指定算法生成鉴权码C。其中,北斗网络设备200使用的指定算法和终端100生成鉴权码A使用的指定算法相同,具体的描述可以参见上述图6所示实施例,在此不再赘述。
S917,北斗网络设备200可以判断鉴权码B和鉴权码C是否相同。
当北斗网络设备200判定出鉴权码B和鉴权码C相同时,北斗网络200可以执行步骤S918。进一步的,北斗网络设备200还可以执行步骤S919。
当北斗网络设备200判定出鉴权码B和鉴权码C不同时,北斗网络设备200可以不转发该原始数据B。进一步的,北斗网络设备200还可以执行步骤S920。
S918,北斗网络设备200可以将原始数据B发送至蜂窝网络设备400。
步骤S918的具体描述可以参见图6所述实施例,在此不再赘述。
S919,北斗网络设备200可以向终端100发送第一应用层回执。
北斗网络设备200在判定出鉴权码B和鉴权码C相同后,可以向终端100发送第一应用层回执。其中,第一应用层回执可以用于指示北斗网络设备200鉴权成功。
S920,北斗网络设备200可以向终端100发送第二应用层回执。
北斗网络设备200在判定出鉴权码B和鉴权码C不同后,可以向终端100发送第二应用层回执。其中,第二应用层回执可以用于指示北斗网络设备200鉴权失败。
其中,终端100在接收到第二应用层回执后,可以重传应用层报文。
图11示出了本申请实施例中提供的北斗通信系统中在入站传输时鉴权校验方法的流程示意图。
S1101,北斗网络设备200接收到蜂窝网络设备400发送的原始数据。
北斗网络设备200接收到短消息中心25发送的原始数据。其中,该原始数据为蜂窝网络下的主叫用户(例如终端300的用户)发送至北斗网络下的被叫用户(终端100的用户)的数据(包括但不限于主叫用户输入的文本数据、图片数据等)。需要说明的是,蜂窝网络设备400在将终端300发送给终端100的数据转发至北斗网络设备200时,也可以同时将被叫用户的ID号(例如,终端100的ID号)转发至北斗网络设备200。
在一些实施例中,北斗网络设备200获取的原始数据可以为存储在北斗网络设备200的存储器中的数据。例如,原始数据可以为北斗网络设备200存储的地图数据。
在另一些实施例中,北斗网络设备200接收的原始数据可以为第三方服务器发送到北斗网络设备200的数据(例如,文本数据、图像数据、音频数据、视频数据等等)。
S1102,北斗网络设备200接收到终端100发送的业务请求。
其中,该业务请求可以为下载原始数据的请求,在此,该原始数据的接收设备为终端100。北斗网络设备200可以在接收到终端100的业务请求后,执行步骤S1103-步骤1113。
S1103,北斗网络设备200向蜂窝网络设备400发送IMSI请求。
具体的,北斗网络设备200收到发送至终端100的原始数据后,可以向蜂窝网络设备150(例如,电信业务运营支持系统29)发送IMSI请求。其中,IMSI请求可以包括终端100的ID号。IMSI请求可以用于指示蜂窝网络设备400反馈ID号对应的IMSI。
S1104,蜂窝网络设备400向北斗网络设备200发送终端100的IMSI。
具体的,电信业务运营支持系统29可以在收到IMSI请求后,将ID号对应的IMSI发送至北斗网络设备200。
S1105,北斗网络设备200基于发送时间T、IMSI等信息得到第二RAND。
其中,发送时间T(应用层报文的发送时间)可以为第五时间点至第六时间点期间(包括第五时间点和第六时间点)的指定时间点,本申请实施例对此不作限定。其中,第五时间点为北斗网络设备200获取原始数据的时间点。例如,北斗网络设备200获取原始数据的时间点可以为接收到终端100发送的业务请求信息的时间点。示例性的,该业务请求信息可以为下载原始数据的请求,这里的原始数据的接收设备为终端100。此时,原始数据可以包括被叫用户输入的数据。再例如,北斗网络设备200获取原始数据的时间点可以为接收到蜂窝网络设备400或其他第三方服务器发送给终端100的数据的时间点。
其中,第六时间点为北斗网络设备200生成密钥时获取的时间点。具体的,第六时间点可以为北斗网络设备200计算密钥时运行获取应用层报文的发送时间的程序语句(例如,通过获取当前时间函数getCurrentTime())得到的当前时间点。其中,应用层报文的发送时间的单位为小时。需要说明的是,北斗网络设备200必须在加密原始数据之前获取该指定时间点。
在此,发送时间T可以为北斗网络设备200接收到发送给终端100的业务请求的时间点,单位为小时。例如,当北斗网络设备200接收到业务请求的时间为北京时间08:58(二十四小时制)时,时钟的数值为8,则发送时间T的值为8。之后,北斗网络设备200可以将IMSI和发送时间T拼接在一起得到第二RAND。
S1106,北斗网络设备200可以将第二RAND发送至蜂窝网络设备400。
S1107,蜂窝网络设备400基于第二RAND等信息计算得到SRES和Kc。
归属位置寄存器28可以基于终端100的ID号确定出终端100的Ki。之后,归属位置寄存器28可以基于第二RAND和Ki生成SRES和Kc。其中,归属位置寄存器28生成SRES和Kc的描述可以参见上述图9所示实施例,在此不再赘述。
S1108,蜂窝网络设备400可以将SRES和Kc发送至北斗网络设备200。
归属位置寄存器28可以将计算得到的SRES和Kc发送至北斗网络设备200。
S1109,北斗网络设备200可以基于SRES和Kc生成密钥B。
其中,北斗网络设备200基于SRES和Kc生成密钥B的详细描述可以参见上述图9所述实施例,在此不再赘述。
S1110,北斗网络设备200可以基于密钥B和原始数据B生成鉴权码B。
具体的,北斗网络设备200基于密钥B和原始数据B生成鉴权码B的详细描述可以参见上述图8所述实施例,在此不再赘述。
S1111,北斗网络设备200可以使用密钥B加密鉴权码B和原始数据B,得到加密后数据。
S1112,北斗网络设备200可以在加密后数据前添加报文头得到应用层报文。其中,报文头可以包括时间指示字段。
具体的,应用层报文的详细描述可以参见上述图10所述实施例,在此不再赘述。
S1113,北斗网络设备200可以将应用层报文发送至终端100。
其中,北斗网络设备200将应用层报文发送至终端100的具体描述可以参见上述图4A所述实施例,在此不再赘述。
S1114,终端100可以基于时间指示字段和接收时间T1生成密钥A。
其中,终端100接收北斗网络设备200发送的数据的详细描述可以参见上述图4B所述实施例,在此不再赘述。
其中,接收时间T1(应用层报文的接收时间)可以为第七时间点至第八时间点之间(包括第七时间点和第八时间点)的指定时间点,本申请实施例对此不作限定。其中,第七时间点可以为终端100收到北斗网络设备200发送的应用层报文的第1个SLC PDU的时间点。第八时间点可以为终端100生成密钥时获取的时间点。具体的,第八时间点可以为终端100计算密钥时运行获取应用层报文的发送时间的程序语句(例如,通过获取当前时间函数getCurrentTime())得到的当前时间点。其中,应用层报文的接收时间的单位为小时。需要说明的是,终端100必须在解密应用层报文的加密后数据之前获取该指定时间点。
在此,接收时间T1可以为终端100接收到应用层报文对应的第1个SLCPDU的时间点,单位为小时。之后,终端100可以基于接收时间T1和时间指示字段确定出发送时间T。
其中,时间指示字段可以用于指示发送时间信息。具体的,时间指示字段的值可以指示发送时间T的奇偶值。当时间指示字段的值指示的发送时间T的奇偶值和接收时间T1的奇偶值相同时,发送时间T等于接收时间T1。当时间指示字段的值指示的发送时间T的奇偶值和接收时间T1的奇偶值不同时,接收时间T1和发送时间T的差值为1。具体的,根据时间指示字段和接收时间T1确定发送时间T的公式可以参见上述图9所示实施例,在此不再赘述。例如,若时间指示字段的值为1,且接收时间T1为9时,发送时间T等于8。
最后,终端100确定出发送时间T后,可以基于发送时间T和IMSI生成第二RAND。再基于第二RAND和Ki通过SIM卡计算得到密钥A。其中,终端100生成密钥A的详细描述可以参见图9所述实施例,在此不再赘述。
S1115,终端100可以使用密钥A解密应用层报文,得到鉴权码A和原始数据A。
其中,终端100接收来自北斗网络设备200的数据的具体流程描述可以参见上述图4B所述实施例,在此不再赘述。终端100在收到北斗网络设备200发送的应用层报文后,可以基于报文头中的加密指示字段确定出北斗网络设备200得到加密后数据时使用的加密算法。终端100可以使用密钥A通过对应的解密算法解密应用层报文中的加密后数据,得到鉴权码A和原始数据A。
S1116,终端100可以使用密钥A和原始数据A生成鉴权码D。
其中,终端100可以使用预存的密钥A和解密得到的原始数据A通过指定算法生成鉴权码D。其中,终端100使用的指定算法和北斗网络设备200生成鉴权码B使用的指定算法相同。具体的,终端100生成鉴权码D的详细描述可以参见图6所述实施例,在此不再赘述。
S1117,终端100可以判断鉴权码A和鉴权码D是否相同。
当终端100判定出鉴权码A和鉴权码D相同时,终端100可以执行步骤S1117。进一步的,终端100还可以执行步骤S1118。
当终端100判定出鉴权码A和鉴权码D不同时,终端100可以不显示该原始数据B。进一步的,终端100还可以执行步骤S1119。
S1118,终端100可以显示接收提示信息。
终端100可以在显示屏上显示接收提示信息,该接收提示信息可以用于指示终端100收到了一条北斗短消息。可选的,终端100可以直接将原始数据A以指定格式(例如,短信)显示在显示屏上。其中,步骤S1118的详细描述可以参见图8所述实施例,在此不再赘述。
S1119,终端100可以向北斗网络设备200发送第一应用层回执。
当终端100判定出鉴权码A和鉴权码D相同后,可以向北斗网络设备200发送第一应用层回执。其中,第一应用层回执可以用于指示终端100鉴权成功。
S1120,终端100可以向北斗网络设备200发送第二应用层回执。
当终端100判定出鉴权码A和鉴权码D不同后,可以向北斗网络设备200发送第二应用层回执。其中,第二应用层回执可以用于指示终端100鉴权失败。
可选的,北斗网络设备200在接收到第二应用层回执后,可以重传应用层报文。
在一种可能的实现方式中,发送设备生成的应用层报文的报文头信息还包括密钥指示字段。密钥指示字段可以用于指示发送设备生成鉴权码和加密数据时使用的密钥。具体的,当密钥指示字段的值为第一数值时,密钥指示字段可以指示发送设备生成鉴权码,执行加密操作时使用的密钥为从蜂窝网络设备获取的密钥。当密钥指示字段的值为第二数值时,密钥指示字段可以指示发送设备生成鉴权码,执行加密操作时使用的密钥为基于发送时间生成的密钥。
例如,密钥指示字段的长度可以为1bit。当密钥指示字段的值为0时,发送设备生成应用层报文使用的密钥为从蜂窝网络设备获取的密钥。当密钥指示字段的值为1时,发送设备生成应用层报文使用的密钥为基于发送时间生成的密钥,需要说明的是,当密钥指示字段的值为1时,应用层报文的报文头信息包括时间指示字段。
再例如,密钥指示字段的长度可以为2bit,当密钥指示字段的高位1bit的值为0时,发送设备生成应用层报文使用的密钥为从蜂窝网络设备获取的密钥。当密钥指示字段的高位1bit的值为1时,发送设备生成应用层报文使用的密钥为基于发送时间生成的密钥。同时,密钥指示字段的低位1bit的值可以用于指示发送时间的奇偶值。
其中,在入站时,发送设备为终端100;在出站时,发送设备为北斗网络设备200。
这样,发送设备和接收设备可以在蜂窝网络中得到密钥,节约北斗通信系统协商密钥所需的空口资源和信令开销。当密钥失效(即密钥有效期结束)后,发送设备和接收设备还可以基于发送时间生成密钥,并使用该密钥进行数据的加解密。保障数据的安全性。
下面介绍本申请实施例提供的终端100。
终端100可以是手机、平板电脑、桌面型计算机、膝上型计算机、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本,以及蜂窝电话、个人数字助理(personal digital assistant,PDA)、增强现实(augmentedreality,AR)设备、虚拟现实(virtual reality,VR)设备、人工智能(artificialintelligence,AI)设备、可穿戴式设备、车载设备、智能家居设备和/或智慧城市设备,本申请实施例对该电子设备的具体类型不作特殊限制。
图12示出了本申请实施例提供的一种硬件结构示意图。
下面以终端100为例对实施例进行具体说明。应该理解的是,图12所示终端100仅是一个范例,并且终端100可以具有比图12中所示的更多的或者更少的部件,可以组合两个或多个的部件,或者可以具有不同的部件配置。图12中所示出的各种部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件、或硬件和软件的组合中实现。
终端100可以包括:处理器110,外部存储器接口120,内部存储器121,通用串行总线(universal serial bus,USB)接口130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,移动通信模块150,无线通信模块160,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriber identification module,SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A,陀螺仪传感器180B,气压传感器180C,磁传感器180D,加速度传感器180E,距离传感器180F,接近光传感器180G,指纹传感器180H,温度传感器180J,触摸传感器180K,环境光传感器180L,骨传导传感器180M等。
可以理解的是,本发明实施例示意的结构并不构成对终端100的具体限定。在本申请另一些实施例中,终端100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
其中,控制器可以是终端100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
I2C接口是一种双向同步串行总线,包括一根串行数据线(serial data line,SDA)和一根串行时钟线(derail clock line,SCL)。在一些实施例中,处理器110可以包含多组I2C总线。处理器110可以通过不同的I2C总线接口分别耦合触摸传感器180K,充电器,闪光灯,摄像头193等。例如:处理器110可以通过I2C接口耦合触摸传感器180K,使处理器110与触摸传感器180K通过I2C总线接口通信,实现终端100的触摸功能。
I2S接口可以用于音频通信。在一些实施例中,处理器110可以包含多组I2S总线。处理器110可以通过I2S总线与音频模块170耦合,实现处理器110与音频模块170之间的通信。在一些实施例中,音频模块170可以通过I2S接口向无线通信模块160传递音频信号,实现通过蓝牙耳机接听电话的功能。
PCM接口也可以用于音频通信,将模拟信号抽样,量化和编码。在一些实施例中,音频模块170与无线通信模块160可以通过PCM总线接口耦合。在一些实施例中,音频模块170也可以通过PCM接口向无线通信模块160传递音频信号,实现通过蓝牙耳机接听电话的功能。所述I2S接口和所述PCM接口都可以用于音频通信。
UART接口是一种通用串行数据总线,用于异步通信。该总线可以为双向通信总线。它将要传输的数据在串行通信与并行通信之间转换。在一些实施例中,UART接口通常被用于连接处理器110与无线通信模块160。例如:处理器110通过UART接口与无线通信模块160中的蓝牙模块通信,实现蓝牙功能。在一些实施例中,音频模块170可以通过UART接口向无线通信模块160传递音频信号,实现通过蓝牙耳机播放音乐的功能。
MIPI接口可以被用于连接处理器110与显示屏194,摄像头193等外围器件。MIPI接口包括摄像头串行接口(camera serial interface,CSI),显示屏串行接口(displayserial interface,DSI)等。在一些实施例中,处理器110和摄像头193通过CSI接口通信,实现终端100的拍摄功能。处理器110和显示屏194通过DSI接口通信,实现终端100的显示功能。
GPIO接口可以通过软件配置。GPIO接口可以被配置为控制信号,也可被配置为数据信号。在一些实施例中,GPIO接口可以用于连接处理器110与摄像头193,显示屏194,无线通信模块160,音频模块170,传感器模块180等。GPIO接口还可以被配置为I2C接口,I2S接口,UART接口,MIPI接口等。
USB接口130是符合USB标准规范的接口,具体可以是Mini USB接口,Micro USB接口,USB Type C接口等。USB接口130可以用于连接充电器为终端100充电,也可以用于终端100与外围设备之间传输数据。也可以用于连接耳机,通过耳机播放音频。该接口还可以用于连接其他电子设备,例如AR设备等。
可以理解的是,本发明实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对终端100的结构限定。在本申请另一些实施例中,终端100也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
充电管理模块140用于从充电器接收充电输入。其中,充电器可以是无线充电器,也可以是有线充电器。在一些有线充电的实施例中,充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中,充电管理模块140可以通过终端100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时,还可以通过电源管理模块141为电子设备供电。
电源管理模块141用于连接电池142,充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入,为处理器110,内部存储器121,外部存储器,显示屏194,摄像头193,和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量,电池循环次数,电池健康状态(漏电,阻抗)等参数。在其他一些实施例中,电源管理模块141也可以设置于处理器110中。在另一些实施例中,电源管理模块141和充电管理模块140也可以设置于同一个器件中。
终端100的无线通信功能可以通过天线1,天线2,移动通信模块150,无线通信模块160,调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。终端100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
移动通信模块150可以提供应用在终端100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(lownoise amplifier,LNA)等。移动通信模块150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
调制解调处理器可以包括调制器和解调器。其中,调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后,被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A,受话器170B等)输出声音信号,或通过显示屏194显示图像或视频。在一些实施例中,调制解调处理器可以是独立的器件。在另一些实施例中,调制解调处理器可以独立于处理器110,与移动通信模块150或其他功能模块设置在同一个器件中。
无线通信模块160可以提供应用在终端100上的包括无线局域网(wireless localarea networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),卫星通信模块,调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
其中,卫星通信模块可用于与卫星网络设备进行通信,例如在北斗通信系统中,卫星通信模块可以与北斗网络设备200通信,卫星通信模块的可支持与北斗网络设备200之间的短报文传输。
在一些实施例中,终端100的天线1和移动通信模块150耦合,天线2和无线通信模块160耦合,使得终端100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packet radio service,GPRS),码分多址接入(code divisionmultiple access,CDMA),宽带码分多址(wideband code division multiple access,WCDMA),时分码分多址(time-division code division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC,FM,和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system,GPS),全球导航卫星系统(globalnavigation satellite system,GLONASS),北斗卫星导航系统(beidou navigationsatellite system,BDS),准天顶卫星系统(quasi-zenith satellite system,QZSS)和/或星基增强系统(satellite based augmentation systems,SBAS)。
终端100通过GPU,显示屏194,以及应用处理器等实现显示功能。GPU为图像处理的微处理器,连接显示屏194和应用处理器。GPU用于执行数学和几何计算,用于图形渲染。处理器110可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。
显示屏194用于显示图像,视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display,LCD),有机发光二极管(organic light-emittingdiode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的,AMOLED),柔性发光二极管(flex light-emittingdiode,FLED),Miniled,MicroLed,Micro-oLed,量子点发光二极管(quantum dot lightemitting diodes,QLED)等。在一些实施例中,终端100可以包括1个或N个显示屏194,N为大于1的正整数。
终端100可以通过ISP,摄像头193,视频编解码器,GPU,显示屏194以及应用处理器等实现拍摄功能。
ISP用于处理摄像头193反馈的数据。例如,拍照时,打开快门,光线通过镜头被传递到摄像头感光元件上,光信号转换为电信号,摄像头感光元件将所述电信号传递给ISP处理,转化为肉眼可见的图像。ISP还可以对图像的噪点,亮度进行算法优化。ISP还可以对拍摄场景的曝光,色温等参数优化。在一些实施例中,ISP可以设置在摄像头193中。
摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device,CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor,CMOS)光电晶体管。感光元件把光信号转换成电信号,之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB,YUV等格式的图像信号。在一些实施例中,终端100可以包括1个或N个摄像头193,N为大于1的正整数。
数字信号处理器用于处理数字信号,除了可以处理数字图像信号,还可以处理其他数字信号。例如,当终端100在频点选择时,数字信号处理器用于对频点能量进行傅里叶变换等。
视频编解码器用于对数字视频压缩或解压缩。终端100可以支持一种或多种视频编解码器。这样,终端100可以播放或录制多种编码格式的视频,例如:动态图像专家组(moving picture experts group,MPEG)1,MPEG2,MPEG3,MPEG4等。
NPU为神经网络(neural-network,NN)计算处理器,通过借鉴生物神经网络结构,例如借鉴人脑神经元之间传递模式,对输入信息快速处理,还可以不断的自学习。通过NPU可以实现终端100的智能认知等应用,例如:图像识别,人脸识别,语音识别,文本理解等。
外部存储器接口120可以用于连接外部存储卡,例如Micro SD卡,实现扩展终端100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信,实现数据存储功能。例如将音乐,视频等文件保存在外部存储卡中。
内部存储器121可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令,从而执行终端100的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的应用程序(比如声音播放功能,图像播放功能等)等。存储数据区可存储终端100使用过程中所创建的数据(比如音频数据,电话本等)等。此外,内部存储器121可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flash storage,UFS)等。
终端100可以通过音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
音频模块170用于将数字音频信息转换成模拟音频信号输出,也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中,音频模块170可以设置于处理器110中,或将音频模块170的部分功能模块设置于处理器110中。
扬声器170A,也称“喇叭”,用于将音频电信号转换为声音信号。终端100可以通过扬声器170A收听音乐,或收听免提通话。
受话器170B,也称“听筒”,用于将音频电信号转换成声音信号。当终端100接听电话或语音信息时,可以通过将受话器170B靠近人耳接听语音。
麦克风170C,也称“话筒”,“传声器”,用于将声音信号转换为电信号。当拨打电话或发送语音信息时,用户可以通过人嘴靠近麦克风170C发声,将声音信号输入到麦克风170C。终端100可以设置至少一个麦克风170C。在另一些实施例中,终端100可以设置两个麦克风170C,除了采集声音信号,还可以实现降噪功能。在另一些实施例中,终端100还可以设置三个,四个或更多麦克风170C,实现采集声音信号,降噪,还可以识别声音来源,实现定向录音功能等。
耳机接口170D用于连接有线耳机。耳机接口170D可以是USB接口130,也可以是3.5mm的开放移动电子设备平台(open mobile terminal platform,OMTP)标准接口,美国蜂窝电信工业协会(cellular telecommunications industry association of the USA,CTIA)标准接口。
压力传感器180A用于感受压力信号,可以将压力信号转换成电信号。在一些实施例中,压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多,如电阻式压力传感器,电感式压力传感器,电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A,电极之间的电容改变。终端100根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194,终端100根据压力传感器180A检测所述触摸操作强度。终端100也可以根据压力传感器180A的检测信号计算触摸的位置。在一些实施例中,作用于相同触摸位置,但不同触摸操作强度的触摸操作,可以对应不同的操作指令。例如:当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时,执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时,执行新建短消息的指令。
陀螺仪传感器180B可以用于确定终端100的运动姿态。在一些实施例中,可以通过陀螺仪传感器180B确定终端100围绕三个轴(即,x,y和z轴)的角速度。陀螺仪传感器180B可以用于拍摄防抖。示例性的,当按下快门,陀螺仪传感器180B检测终端100抖动的角度,根据角度计算出镜头模组需要补偿的距离,让镜头通过反向运动抵消终端100的抖动,实现防抖。陀螺仪传感器180B还可以用于导航,体感游戏场景。
气压传感器180C用于测量气压。在一些实施例中,终端100通过气压传感器180C测得的气压值计算海拔高度,辅助定位和导航。
磁传感器180D包括霍尔传感器。终端100可以利用磁传感器180D检测翻盖皮套的开合。在一些实施例中,当终端100是翻盖机时,终端100可以根据磁传感器180D检测翻盖的开合。进而根据检测到的皮套的开合状态或翻盖的开合状态,设置翻盖自动解锁等特性。
加速度传感器180E可检测终端100在各个方向上(一般为三轴)加速度的大小。当终端100静止时可检测出重力的大小及方向。还可以用于识别电子设备姿态,应用于横竖屏切换,计步器等应用。
距离传感器180F,用于测量距离。终端100可以通过红外或激光测量距离。在一些实施例中,拍摄场景,终端100可以利用距离传感器180F测距以实现快速对焦。
接近光传感器180G可以包括例如发光二极管(LED)和光检测器,例如光电二极管。发光二极管可以是红外发光二极管。终端100通过发光二极管向外发射红外光。终端100使用光电二极管检测来自附近物体的红外反射光。当检测到充分的反射光时,可以确定终端100附近有物体。当检测到不充分的反射光时,终端100可以确定终端100附近没有物体。终端100可以利用接近光传感器180G检测用户手持终端100贴近耳朵通话,以便自动熄灭屏幕达到省电的目的。接近光传感器180G也可用于皮套模式,口袋模式自动解锁与锁屏。
环境光传感器180L用于感知环境光亮度。终端100可以根据感知的环境光亮度自适应调节显示屏194亮度。环境光传感器180L也可用于拍照时自动调节白平衡。环境光传感器180L还可以与接近光传感器180G配合,检测终端100是否在口袋里,以防误触。
指纹传感器180H用于采集指纹。终端100可以利用采集的指纹特性实现指纹解锁,访问应用锁,指纹拍照,指纹接听来电等。
温度传感器180J用于检测温度。在一些实施例中,终端100利用温度传感器180J检测的温度,执行温度处理策略。例如,当温度传感器180J上报的温度超过阈值,终端100执行降低位于温度传感器180J附近的处理器的性能,以便降低功耗实施热保护。在另一些实施例中,当温度低于另一阈值时,终端100对电池142加热,以避免低温导致终端100异常关机。在其他一些实施例中,当温度低于又一阈值时,终端100对电池142的输出电压执行升压,以避免低温导致的异常关机。
触摸传感器180K,也称“触控面板”。触摸传感器180K可以设置于显示屏194,由触摸传感器180K与显示屏194组成触摸屏,也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器,以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中,触摸传感器180K也可以设置于终端100的表面,与显示屏194所处的位置不同。
骨传导传感器180M可以获取振动信号。在一些实施例中,骨传导传感器180M可以获取人体声部振动骨块的振动信号。骨传导传感器180M也可以接触人体脉搏,接收血压跳动信号。在一些实施例中,骨传导传感器180M也可以设置于耳机中,结合成骨传导耳机。音频模块170可以基于所述骨传导传感器180M获取的声部振动骨块的振动信号,解析出语音信号,实现语音功能。应用处理器可以基于所述骨传导传感器180M获取的血压跳动信号解析心率信息,实现心率检测功能。
按键190包括开机键,音量键等。按键190可以是机械按键。也可以是触摸式按键。终端100可以接收按键输入,产生与终端100的用户设置以及功能控制有关的键信号输入。
马达191可以产生振动提示。马达191可以用于来电振动提示,也可以用于触摸振动反馈。例如,作用于不同应用(例如拍照,音频播放等)的触摸操作,可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作,马达191也可对应不同的振动反馈效果。不同的应用场景(例如:时间提醒,接收信息,闹钟,游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。
指示器192可以是指示灯,可以用于指示充电状态,电量变化,也可以用于指示消息,未接来电,通知等。
SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195,或从SIM卡接口195拔出,实现和终端100的接触和分离。终端100可以支持1个或N个SIM卡接口,N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡,Micro SIM卡,SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同,也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。终端100通过SIM卡和网络交互,实现通话以及数据通信等功能。在一些实施例中,终端100采用eSIM,即:嵌入式SIM卡。eSIM卡可以嵌在终端100中,不能和终端100分离。
下面介绍本申请实施例中提供的一种北斗通信系统中密钥更新方法。
图13示出了本申请实施例中提供的一种北斗通信系统中鉴权校验方法的流程示意图。
如图13所示,该北斗通信系统中鉴权校验方法包括如下步骤:
S1301、终端100获取第一原始数据。
S1302、终端100基于第一密钥和第一原始数据生成第一鉴权码。
S1303、终端100通过第一密钥对第一原始数据和第一鉴权码进行加密,得到加密后数据。
S1304、终端100向北斗网络设备200发送应用层报文,应用层报文包括加密后数据。
其中,应用层报文包括报文头信息和加密后数据,报文头信息包括加密指示字段,加密指示字段用于指示加密后数据使用的加密算法。
S1305、北斗网络设备200使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据。
S1306、北斗网络设备200基于第二原始数据和第二密钥生成第三鉴权码。
S1307、北斗网络设备200在确定出第二鉴权码和第三鉴权码相同时,执行第二原始数据对应的操作。
具体涉及终端100,生成第一鉴权码,加密第一原始数据和第一鉴权码得到加密后数据,在此不再赘述。
具体涉及北斗网络设备200生成第二鉴权码,对比第二鉴权码和第三鉴权码,可以参考前述实施例,在此不再赘述。
下面介绍终端100执行的一些可能的实现方式。
在一种可能的实现方式中,在终端基于第一密钥和第一原始数据生成第一鉴权码之前,该方法还包括:终端在蜂窝网络下从蜂窝网络设备获取第一密钥。这样,通过蜂窝网络设备获取密钥,可以节约北斗通信系统协商密钥的空口资源。
具体的,可以参见上述图5-图11所述实施例。
在一种可能的实现方式中,终端在蜂窝网络下从蜂窝网络设备获取第一密钥,具体包括:终端通过蜂窝网络向北斗网络设备发送第一请求,第一请求用于获取加密密钥。终端接收到北斗网络设备发送的第一响应,其中,第一响应用于指示终端从蜂窝网络设备获取加密密钥。
终端向蜂窝网络设备发送第二请求,第二请求用于指示蜂窝网络设备生成第一随机数RAND和鉴权令牌AUTN。终端接收到蜂窝网络设备发送的第二响应,第二响应包括第一RAND和AUTN。终端基于第一RAND和AUTN生成响应RES和第一密钥。
终端将第三请求发送给蜂窝网络设备。其中,第三请求包括RES。终端收到第三响应,其中,第三响应用于指示RES和XRES相同,第三响应包括引导业务标识B-TID和密钥有效期,密钥有效期用于指示第一密钥的有效时间。终端向北斗网络设备发送第四请求,其中,第四请求用于指示北斗网络设备向蜂窝网络设备获取加密密钥,第四请求包括B-TID,B-TID用于指示终端的加密密钥。终端接收到第四响应,第四响应用于指示北斗网络设备已经获取到加密密钥。
具体的,可以参见上述图5所述实施例。
在一种可能的实现方式中,在终端基于第一密钥和第一原始数据生成第一鉴权码之前,该方法还包括:终端基于用户识别码IMSI、身份识别密钥Ki和应用层报文的发送时间生成第一密钥。这样,通过发送时间生成加密密钥,可以节约北斗通信系统协商密钥的信令开销,还可以随时间更新密钥,进一步确保密钥的安全性。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,终端基于用户识别码IMSI、身份识别密钥Ki和应用层报文的发送时间生成第一密钥,具体包括:终端基于应用层报文的发送时间和IMSI得到第二随机数RAND。终端基于第二RAND和预设的Ki通过预设密钥算法1得到加密密钥Kc,通过预设密钥算法2得到鉴权符号响应SRES。终端基于Kc和SRES通过预设密钥算法3得到第一密钥。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,应用层报文的发送时间为第一时间点或者第二时间点。其中,第一时间点为终端获取第一原始数据的时间点,第二时间点为终端生成第一密钥时获取的时间点。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,报文头信息还包括时间指示字段,时间指示字段用于指示应用层报文的发送时间信息。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,时间指示字段的值用于指示应用层报文的发送时间的奇偶值。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,在终端通过第一密钥对第一原始数据和第一鉴权码进行加密,得到加密后数据之前,该方法还包括:终端对原始数据进行压缩。
具体的,可以参见上述图3A所述实施例。
下面介绍北斗网络设备200执行的一些可能的实现方式。
在一种可能的实现方式中,执行第二原始数据对应的操作,具体包括:北斗网络设备将第二原始数据通过蜂窝网络发送给蜂窝用户设备。
具体的,可以参见上述图6-图11所述实施例。
在一种可能的实现方式中,在北斗网络设备使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据之前,该方法还包括:北斗网络设备在蜂窝网络下从蜂窝网络设备获取第二密钥。
具体的,可以参见上述图5所述实施例。
在一种可能的实现方式中,北斗网络设备在蜂窝网络下从蜂窝网络设备获取第二密钥,具体包括:北斗网络设备收到终端发送的第一请求,第一请求用于获取加密密钥。北斗网络设备确定出未存储加密密钥或者加密密钥已失效,北斗网络设备给终端发送第一响应。其中,第一响应用于指示终端从蜂窝网络设备获取加密密钥。
北斗网络设备收到终端发送的第四请求,第四请求用于指示北斗网络设备向蜂窝网络设备获取加密密钥,第四请求包括引导服务标识B-TID,B-TID用于指示终端的加密密钥。
北斗网络设备向蜂窝网络设备发送第五请求。其中,第五请求都包括B-TID。北斗网络设备接收到蜂窝网络设备发送的第五响应,其中,第五响应包括第二密钥和密钥有效期,密钥有效期用于指示第二密钥的有效期。
北斗网络设备向终端发送第四响应,其中,第四响应用于指示北斗网络设备已经获取到加密密钥。
具体的,可以参见上述图5所述实施例。
在一种可能的实现方式中,报文头信息还包括时间指示字段,时间指示字段用于指示应用层报文的发送时间信息。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,在北斗网络设备使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据之前,该方法还包括:北斗网络设备基于时间指示字段和应用层报文的接收时间确定应用层报文的发送时间。
北斗网络设备基于应用层报文的发送时间和从蜂窝网络设备获取的用户识别码IMSI得到第二随机数RAND。
北斗网络设备将第二RAND发送给蜂窝网络设备。
北斗网络设备得到蜂窝网络设备反馈的加密密钥Kc和鉴权符号响应SRES。
终端基于Kc和SRES通过预设密钥算法3得到第二密钥。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,应用层报文的接收时间为第三时间点或第四时间点。其中,第三时间点为北斗网络设备在卫星链路控制SLC层收到应用层报文的第1个卫星控制链路层协议数据单元SLCPDU的时间点。其中,第四时间点为北斗网络设备生成第二密钥时获取的时间点,应用层报文的接收时间的单位为小时。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,时间指示字段的值用于指示应用层报文的发送时间的奇偶值。
具体的,可以参见上述图9所述实施例。
在一种可能的实现方式中,北斗网络设备基于时间指示字段和应用层报文的接收时间确定应用层报文的发送时间,具体包括:
当时间指示字段的值指示的应用层报文的发送时间的奇偶值和应用层报文的接收时间的奇偶值相同时,北斗网络设备确定出应用层报文的发送时间和应用层报文的接收时间相同。
当时间指示字段的值指示的应用层报文的发送时间的奇偶值和应用层报文的接收时间的奇偶值不同时,北斗网络设备确定出应用层报文的接收时间和应用层报文的发送时间的差值为1。
具体的,可以参见上述图9所述实施例。
上述内容详细阐述了本申请提供的方法,为了便于更好地实施本申请实施例的上述方案,本申请实施例还提供了相应的装置或设备。
本申请实施例可以根据上述方法示例对终端100和进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
下面将结合图14至图17详细描述本申请实施例的通信装置。
在采用集成的单元的情况下,参见图14,图14是本申请实施例提供的通信装置1400的结构示意图。该通信装置1400可以为上述实施例中的终端100。可选的,通信装置1400可以为一种芯片/芯片系统,例如,北斗通信芯片。如图14所示,该通信装置1400可以包括收发单元1410和处理单元1420。
一种设计中,处理单元1420,可用于获取第一原始数据。
处理单元1420,还用于基于第一密钥和第一原始数据生成第一鉴权码。
处理单元1420,还用于使用第一密钥加密第一原始数据和第一鉴权码,得到加密后数据。
收发单元1410,可用于向北斗网络设备200发送应用层报文。
可选的,收发单元1410,还可用于执行上述图13所示方法实施例中终端100执行的有关发送和接收的功能步骤。
可选的,处理单元1420,还可用于执行上述图13所示方法实施例中终端100执行的有关协议解析与封装以及运算确定的功能步骤。
应理解,该种设计中的通信装置1400可对应执行前述实施例中终端100执行的方法步骤,为了简洁,在此不再赘述。
在采用集成的单元的情况下,参见图15,图15是本申请实施例提供的通信装置1500的结构示意图。该通信装置1500可以为上述实施例中的北斗网络设备200。可选的,通信装置1500可以为北斗网络设备200中的具体网元,例如,北斗地面收发站22、北斗中心站23、北斗短报文融合通信平台24中的一个网元或多个网元的组合。如图15所示,该通信装置1500可以包括收发单元1510和处理单元1520。
一种设计中,收发单元1510,可用于接收终端100发送的应用层报文。
处理单元1520,可用于使用第二密钥解密加密后数据,得到第二鉴权码和第二原始数据。
处理单元1520,还用于基于第二原始数据和第二密钥生成第三鉴权码。
处理单元1520,还用于在确定出第二鉴权码和第三鉴权码相同时,执行第二原始数据对应的操作。
可选的,收发单元1510,还可用于执行上述图13所示方法实施例中北斗网络设备200执行的有关发送和接收的功能步骤。
可选的,处理单元1520,还可用于执行上述图13所示方法实施例中北斗网络设备200执行的有关协议解析与封装以及运算确定的功能步骤。
应理解,该种设计中的通信装置1500可对应执行前述实施例中北斗网络设备200执行的方法步骤,为了简洁,在此不再赘述。
以上介绍了本申请实施例的终端100和北斗网络设备200,应理解,但凡具备上述图14所述的终端100的功能的任何形态的产品,但凡具备上述图15所述的北斗网络设备200的功能的任何形态的产品,都落入本申请实施例的保护范围。
作为一种可能的产品形态,本申请实施例所述的终端100,可以由一般性的总线体系结构来实现。
参见图16,图16是本申请实施例提供的通信装置1600的结构示意图。该通信装置1600可以是终端100,或其中的装置。如图16所示,该通信装置1600包括处理器1601和与所述处理器内部连接通信的收发器1602。其中,处理器1601是通用处理器或者专用处理器等。例如可以是卫星通信的基带处理器或中央处理器。卫星通信的基带处理器可以用于对卫星通信协议以及卫星通信数据进行处理,中央处理器可以用于对通信装置(如,基带芯片,终端、终端芯片等)进行控制,执行计算机程序,处理计算机程序的数据。收发器1602可以称为收发单元、收发机、或收发电路等,用于实现收发功能。收发器1602可以包括接收器和发送器,接收器可以称为接收机或接收电路等,用于实现接收功能;发送器可以称为发送机或发送电路等,用于实现发送功能。可选的,通信装置1600还可以包括天线1603和/或射频单元(图未示意)。所述天线1603和/或射频单元可以位于所述通信装置1600内部,也可以与所述通信装置1600分离,即所述天线1603和/或射频单元可以是拉远或分布式部署的。
可选的,通信装置1600中可以包括一个或多个存储器1604,其上可以存有指令,该指令可为计算机程序,所述计算机程序可在通信装置1600上被运行,使得通信装置1600执行上述方法实施例中描述的方法。可选的,所述存储器1604中还可以存储有数据。通信装置1600和存储器1604可以单独设置,也可以集成在一起。
其中,处理器1601、收发器1602、以及存储器1604可以通过通信总线连接。
一种设计中,通信装置1600可以用于执行前述实施例中终端100的功能:处理器1601可以用于执行上述图14所示实施例中终端100执行的有关协议解析与封装以及运算确定的功能步骤和/或用于本文所描述的技术的其它过程;收发器1602可以用于执行上述图14所示实施例中终端100执行的有关执行的有关发送和接收的功能步骤和/或用于本文所描述的技术的其它过程。
在上述任一种设计中,处理器1601中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在上述任一种设计中,处理器1601可以存有指令,该指令可为计算机程序,计算机程序在处理器1601上运行,可使得通信装置1600执行上述方法实施例中终端100执行的方法步骤。计算机程序可能固化在处理器1601中,该种情况下,处理器1601可能由硬件实现。
在一种实现方式中,通信装置1600可以包括电路,所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit,IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit,ASIC)、印刷电路板(printed circuitboard,PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造,例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor,NMOS)、P型金属氧化物半导体(positive channelmetal oxide semiconductor,PMOS)、双极结型晶体管(bipolar junction transistor,BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。
本申请中描述的通信装置的范围并不限于此,而且通信装置的结构可以不受图16的限制。通信装置1600可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置1600可以是:
(1)独立的集成电路IC,或芯片,或,芯片系统或子系统;
(2)具有一个或多个IC的集合,可选的,该IC集合也可以包括用于存储数据,计算机程序的存储部件;
(3)ASIC,例如调制解调器(Modem);
(4)可嵌入在其他设备内的模块;
(5)接收机、终端、智能终端、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等;
(6)其他等等。
作为一种可能的产品形态,本申请实施例所述的北斗网络设备200中的任一网元(例如、北斗地面收发站22、北斗中心站23、北斗短报文融合通信平台24),可以由一般性的总线体系结构来实现。
参见图17,图17是本申请实施例提供的通信装置1700的结构示意图。该通信装置1700可以是北斗网络设备200,或其中的装置。如图17所示,该通信装置1700包括处理器1701和与所述处理器内部连接通信的收发器1702。其中,处理器1701是通用处理器或者专用处理器等。例如可以是卫星通信的基带处理器或中央处理器。卫星通信的基带处理器可以用于对卫星通信协议以及卫星通信数据进行处理,中央处理器可以用于对通信装置(如,基带芯片等)进行控制,执行计算机程序,处理计算机程序的数据。收发器1702可以称为收发单元、收发机、或收发电路等,用于实现收发功能。收发器1702可以包括接收器和发送器,接收器可以称为接收机或接收电路等,用于实现接收功能;发送器可以称为发送机或发送电路等,用于实现发送功能。可选的,通信装置1700还可以包括天线1703和/或射频单元(图未示意)。所述天线1703和/或射频单元可以位于所述通信装置1700内部,也可以与所述通信装置1700分离,即所述天线1703和/或射频单元可以是拉远或分布式部署的。
可选的,通信装置1700中可以包括一个或多个存储器1704,其上可以存有指令,该指令可为计算机程序,所述计算机程序可在通信装置1700上被运行,使得通信装置1700执行上述方法实施例中描述的方法。可选的,所述存储器1704中还可以存储有数据。通信装置1700和存储器1704可以单独设置,也可以集成在一起。
其中,处理器1701、收发器1702、以及存储器1704可以通过通信总线连接。
一种设计中,通信装置1700可以用于执行前述实施例中北斗网络设备200的功能:处理器1701可以用于执行上述图14所示实施例中北斗网络设备200执行的有关协议解析与封装以及运算确定的功能步骤和/或用于本文所描述的技术的其它过程;收发器1702可以用于执行上述图14所示实施例中北斗网络设备200执行的有关执行的有关发送和接收的功能步骤和/或用于本文所描述的技术的其它过程。
在上述任一种设计中,处理器1701中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在上述任一种设计中,处理器1701可以存有指令,该指令可为计算机程序,计算机程序在处理器1701上运行,可使得通信装置1700执行上述方法实施例中终端100执行的方法步骤。计算机程序可能固化在处理器1701中,该种情况下,处理器1701可能由硬件实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序代码,当上述处理器执行该计算机程序代码时,电子设备执行前述任一实施例中的方法。
本申请实施例还提供一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行前述任一实施例中的方法。
本申请实施例还提供一种通信装置,该装置可以以芯片的产品形态存在,该装置的结构中包括处理器和接口电路,该处理器用于通过接收电路与其它装置通信,使得该装置执行前述任一实施例中的方法。
本申请实施例还提供一种北斗通信系统,包括终端100和北斗网络设备200,该终端100和北斗网络设备200可以执行前述任一实施例中的方法。
本申请全文介绍了北斗通信系统中短报文的通信功能,可以理解的是,其他卫星系统中也可能存在支持短报文的通信功能。因此,不限制在北斗通信系统中,若有其他卫星系统也支持短报文的通信功能,本申请中介绍的方法,也同样适用于其他卫星系统的通信。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(ElectricallyEPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于核心网接口设备中。当然,处理器和存储介质也可以作为分立组件存在于核心网接口设备中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机可读存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (26)
1.一种卫星通信系统中鉴权校验方法,其特征在于,包括:
终端获取第一原始数据,所述第一原始数据包括用户输入的数据;
所述终端基于第一密钥和所述第一原始数据生成第一鉴权码,所述第一鉴权码用于卫星网络设备对所述终端进行鉴权;
所述终端通过所述第一密钥对所述第一原始数据和所述第一鉴权码进行加密,得到加密后数据;
所述终端发送应用层报文给所述卫星网络设备,其中,所述应用层报文包括报文头信息和所述加密后数据,所述报文头信息包括加密指示字段,所述加密指示字段用于指示所述加密后数据使用的加密算法。
2.根据权利要求1所述的方法,其特征在于,在所述终端基于第一密钥和所述第一原始数据生成第一鉴权码之前,所述方法还包括:
所述终端在蜂窝网络下从蜂窝网络设备获取所述第一密钥。
3.根据权利要求2所述的方法,其特征在于,所述终端在蜂窝网络下从蜂窝网络设备获取所述第一密钥,具体包括:
所述终端通过蜂窝网络向所述卫星网络设备发送第一请求,所述第一请求用于获取加密密钥;
所述终端接收到所述卫星网络设备发送的第一响应,其中,所述第一响应用于指示所述终端从所述蜂窝网络设备获取所述加密密钥;
所述终端向所述蜂窝网络设备发送第二请求,所述第二请求用于指示所述蜂窝网络设备生成第一随机数RAND和鉴权令牌AUTN;
所述终端接收到所述蜂窝网络设备发送的第二响应,所述第二响应包括所述第一RAND和所述AUTN;
所述终端基于所述第一RAND和所述AUTN生成响应RES和所述第一密钥;
所述终端向所述蜂窝网络设备发送第三请求;其中,所述第三请求包括所述RES;
所述终端收到第三响应,其中,所述第三响应用于指示所述RES和期待响应XRES相同,所述第三响应包括引导业务标识B-TID和密钥有效期,所述密钥有效期用于指示第一密钥的有效时间;
所述终端向所述卫星网络设备发送第四请求,其中,所述第四请求用于指示所述卫星网络设备向所述蜂窝网络设备获取所述加密密钥,所述第四请求包括所述B-TID,所述B-TID用于指示所述终端的所述加密密钥;
所述终端接收到第四响应,所述第四响应用于指示所述卫星网络设备已经获取到所述加密密钥。
4.根据权利要求1所述的方法,其特征在于,在所述终端基于第一密钥和所述第一原始数据生成第一鉴权码之前,所述方法还包括:
所述终端基于用户识别码IMSI、身份识别密钥Ki和应用层报文的发送时间生成所述第一密钥。
5.根据权利要求4所述的方法,其特征在于,所述终端基于用户识别码IMSI、身份识别密钥Ki和应用层报文的发送时间生成第一密钥,具体包括:
所述终端基于所述应用层报文的发送时间和IMSI得到第二随机数RAND;
所述终端基于所述第二RAND和预设的Ki通过预设密钥算法1得到加密密钥Kc,通过预设密钥算法2得到鉴权符号响应SRES;
所述终端基于所述Kc和SRES通过预设密钥算法3得到所述第一密钥。
6.根据权利要求4或5所述的方法,其特征在于,所述应用层报文的发送时间为第一时间点或者第二时间点;其中,所述第一时间点为所述终端获取所述第一原始数据的时间点,所述第二时间点为所述终端生成所述第一密钥时获取的时间点。
7.根据权利要求4或5所述的方法,其特征在于,所述报文头信息还包括时间指示字段,所述时间指示字段用于指示所述应用层报文的发送时间信息。
8.根据权利要求7所述的方法,其特征在于,所述时间指示字段的值用于指示所述应用层报文的发送时间的奇偶值。
9.根据权利要求1-5或8中任一项所述的方法,其特征在于,在所述终端通过所述第一密钥对所述第一原始数据和所述第一鉴权码进行加密,得到加密后数据之前,所述方法还包括:
所述终端对所述原始数据进行压缩。
10.一种卫星通信系统中鉴权校验方法,其特征在于,包括:
卫星网络设备接收终端发送的应用层报文,所述应用层报文中包括报文头信息和加密后数据,所述加密后数据为所述终端通过第一密钥对第一原始数据和第一鉴权码进行加密得到的数据,所述报文头信息包括加密指示字段,所述加密指示字段用于指示所述加密后数据使用的加密算法,所述第一原始数据包括用户输入的数据;
所述卫星网络设备使用第二密钥解密所述加密后数据,得到第二鉴权码和第二原始数据;
所述卫星网络设备基于所述第二原始数据和所述第二密钥生成第三鉴权码;
所述卫星网络设备在确定出所述第二鉴权码和所述第三鉴权码相同时,执行所述第二原始数据对应的操作。
11.根据权利要求10所述的方法,其特征在于,所述执行所述第二原始数据对应的操作,具体包括:
所述卫星网络设备将所述第二原始数据通过蜂窝网络发送给蜂窝用户设备。
12.根据权利要求10或11所述的方法,其特征在于,在所述卫星网络设备使用第二密钥解密所述加密后数据,得到第二鉴权码和第二原始数据之前,所述方法还包括:
所述卫星网络设备在蜂窝网络下从蜂窝网络设备获取所述第二密钥。
13.根据权利要求12所述的方法,其特征在于,所述卫星网络设备在蜂窝网络下从蜂窝网络设备获取所述第二密钥,具体包括:
所述卫星网络设备收到所述终端发送的第一请求,所述第一请求用于获取加密密钥;
所述卫星网络设备确定出未存储所述加密密钥或者所述加密密钥已失效,所述卫星网络设备给所述终端发送第一响应;其中,所述第一响应用于指示所述终端从所述蜂窝网络设备获取所述加密密钥;
所述卫星网络设备收到所述终端发送的第四请求,所述第四请求用于指示所述卫星网络设备向所述蜂窝网络设备获取所述加密密钥,所述第四请求包括引导服务标识B-TID,所述B-TID用于指示所述终端的所述加密密钥;
所述卫星网络设备向所述蜂窝网络设备发送第五请求;其中,所述第五请求都包括所述B-TID;
所述卫星网络设备接收到所述蜂窝网络设备发送的第五响应,其中,所述第五响应包括所述第二密钥和密钥有效期,所述密钥有效期用于指示所述第二密钥的有效期;
所述卫星网络设备向所述终端发送第四响应,其中,所述第四响应用于指示所述卫星网络设备已经获取到所述加密密钥。
14.根据权利要求10或11所述的方法,其特征在于,所述报文头信息还包括时间指示字段,所述时间指示字段用于指示所述应用层报文的发送时间信息。
15.根据权利要求14所述的方法,其特征在于,在所述卫星网络设备使用第二密钥解密所述加密后数据,得到第二鉴权码和第二原始数据之前,所述方法还包括:
所述卫星网络设备基于所述时间指示字段和应用层报文的接收时间确定所述应用层报文的发送时间;
所述卫星网络设备基于所述应用层报文的发送时间和从蜂窝网络设备获取的用户识别码IMSI得到第二随机数RAND;
所述卫星网络设备将所述第二RAND发送给所述蜂窝网络设备;
所述卫星网络设备得到所述蜂窝网络设备反馈的加密密钥Kc和鉴权符号响应SRES;
所述终端基于所述Kc和所述SRES通过预设密钥算法3得到所述第二密钥。
16.根据权利要求15所述的方法,其特征在于,所述应用层报文的接收时间为第三时间点或者第四时间点;其中,所述第三时间点为所述卫星网络设备在卫星链路控制SLC层收到所述应用层报文的第1个卫星控制链路层协议数据单元SLCPDU的时间点;其中,所述第四时间点为所述卫星网络设备生成所述第二密钥时获取的时间点,所述应用层报文的接收时间的单位为小时。
17.根据权利要求14或15所述的方法,其特征在于,所述时间指示字段的值用于指示所述应用层报文的发送时间的奇偶值。
18.根据权利要求17所述的方法,其特征在于,所述卫星网络设备基于所述时间指示字段和所述应用层报文的接收时间确定所述应用层报文的发送时间,具体包括:
当所述时间指示字段的值指示的所述应用层报文的发送时间的奇偶值和所述应用层报文的接收时间的奇偶值相同时,所述卫星网络设备确定出所述应用层报文的发送时间和所述应用层报文的接收时间相同;
当所述时间指示字段的值指示的所述应用层报文的发送时间的奇偶值和所述应用层报文的接收时间的奇偶值不同时,所述卫星网络设备确定出所述应用层报文的接收时间和所述应用层报文的发送时间的差值为1。
19.一种卫星通信系统,其特征在于,包括:终端和卫星网络设备;其中,
所述终端,用于获取第一原始数据,所述第一原始数据包括用户输入的数据;
所述终端,还用于基于第一密钥和所述第一原始数据生成第一鉴权码;
所述终端,还用于通过所述第一密钥对所述第一原始数据和所述第一鉴权码进行加密,得到加密后数据;
所述终端,还用于发送应用层报文给所述卫星网络设备,其中,所述应用层报文包括报文头信息和所述加密后数据,所述报文头信息包括加密指示字段,所述加密指示字段用于指示所述加密后数据使用的加密算法;
所述卫星网络设备,用于接收所述应用层报文;
所述卫星网络设备,还用于使用第二密钥解密所述加密后数据,得到第二鉴权码和第二原始数据;
所述卫星网络设备,还用于基于所述第二原始数据和所述第二密钥生成第三鉴权码;
所述卫星网络设备,还用于在确定出所述第二鉴权码和所述第三鉴权码相同时,执行所述第二原始数据对应的操作。
20.一种通信装置,其特征在于,包括一个或多个处理器、一个或多个存储器和收发器;其中,所述收发器、所述一个或多个存储器与所述一个或多个处理器耦合,所述一个或多个存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,当一个或多个处理器在执行所述计算机指令时,使得所述通信装置执行如权利要求1-9中任一项所述的方法。
21.根据权利要求20所述的通信装置,其特征在于,所述通信装置为终端。
22.一种通信装置,其特征在于,包括一个或多个处理器、一个或多个存储器、收发器;其中,所述收发器、所述一个或多个存储器与所述一个或多个处理器耦合,所述一个或多个存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,当一个或多个处理器在执行所述计算机指令时,使得所述通信装置执行如权利要求10-18中任一项所述的方法。
23.根据权利要求22所述的通信装置,其特征在于,所述通信装置为卫星网络设备。
24.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-9中任一项所述的方法。
25.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求10-18中任一项所述的方法。
26.一种芯片,应用于终端,其特征在于,包括处理电路和接口电路,所述接口电路用于接收代码指令并传输至所述处理电路,所述处理电路用于运行所述代码指令以执行如权利要求1-9中任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110877025X | 2021-07-31 | ||
| CN202110877025 | 2021-07-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115701016A CN115701016A (zh) | 2023-02-07 |
| CN115701016B true CN115701016B (zh) | 2024-05-14 |
Family
ID=85121011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110933107.1A Active CN115701016B (zh) | 2021-07-31 | 2021-08-12 | 一种卫星通信系统中鉴权校验方法、系统及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115701016B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107359988A (zh) * | 2017-07-14 | 2017-11-17 | 江苏徐工信息技术股份有限公司 | 基于北斗rn授时加密的武警抢险设备物联网通讯方法 |
| CN108008420A (zh) * | 2017-11-30 | 2018-05-08 | 北京卫星信息工程研究所 | 基于北斗短报文的北斗导航电文认证方法 |
| CN108599926A (zh) * | 2018-03-20 | 2018-09-28 | 如般量子科技有限公司 | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 |
| CN109150899A (zh) * | 2018-09-18 | 2019-01-04 | 江苏恒宝智能系统技术有限公司 | 一种物联网移动通信方法及系统 |
| CN111669219A (zh) * | 2020-07-06 | 2020-09-15 | 成都卫士通信息产业股份有限公司 | 北斗短报文数据传输方法、装置、电子设备及计算机介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8837728B2 (en) * | 2012-10-16 | 2014-09-16 | The Boeing Company | Server algorithms to improve space based authentication |
-
2021
- 2021-08-12 CN CN202110933107.1A patent/CN115701016B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107359988A (zh) * | 2017-07-14 | 2017-11-17 | 江苏徐工信息技术股份有限公司 | 基于北斗rn授时加密的武警抢险设备物联网通讯方法 |
| CN108008420A (zh) * | 2017-11-30 | 2018-05-08 | 北京卫星信息工程研究所 | 基于北斗短报文的北斗导航电文认证方法 |
| CN108599926A (zh) * | 2018-03-20 | 2018-09-28 | 如般量子科技有限公司 | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 |
| CN109150899A (zh) * | 2018-09-18 | 2019-01-04 | 江苏恒宝智能系统技术有限公司 | 一种物联网移动通信方法及系统 |
| CN111669219A (zh) * | 2020-07-06 | 2020-09-15 | 成都卫士通信息产业股份有限公司 | 北斗短报文数据传输方法、装置、电子设备及计算机介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115701016A (zh) | 2023-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2023011376A1 (zh) | 一种北斗通信系统中密钥更新方法、系统及相关装置 | |
| CN111373713B (zh) | 一种消息传输方法及设备 | |
| CN114944925B (zh) | 信令的安全传输方法、装置、服务器和se芯片 | |
| CN115696237A (zh) | 一种北斗通信系统中加密方法、系统及相关装置 | |
| CN115567932B (zh) | 一种密钥信息的同步方法、系统及设备 | |
| WO2021184264A1 (zh) | 数据保存方法、数据访问方法及相关装置、设备 | |
| CN113892103B (zh) | 用于执行加解密处理的装置及方法 | |
| CN114697955A (zh) | 一种加密通话方法、装置、终端及存储介质 | |
| CN115694596B (zh) | 一种北斗通信系统中入站传输控制方法、系统及相关装置 | |
| CN115701016B (zh) | 一种卫星通信系统中鉴权校验方法、系统及相关装置 | |
| CN113709024A (zh) | 数据传输方法、介质及其电子设备 | |
| CN114117461A (zh) | 一种数据保护方法、电子设备及存储介质 | |
| EP4354759A1 (en) | Method, system and apparatus for application layer receipt transmission in beidou communication system | |
| WO2024037040A9 (zh) | 数据处理方法及电子设备 | |
| EP4366194A1 (en) | Position reporting method and system in beidou communication system, and related apparatus | |
| CN112615891B (zh) | 配对方法及设备 | |
| CN115599596B (zh) | 数据处理方法、电子设备、系统及存储介质 | |
| CN113950048B (zh) | 连接建立方法、电子设备及存储介质 | |
| US20230214532A1 (en) | Permission negotiation method and apparatus during communication, and electronic device | |
| CN115706604A (zh) | 一种北斗通信系统中白名单控制方法及相关装置 | |
| CN118118739A (zh) | 视频流的安全传输方法和装置 | |
| CN117318922A (zh) | 设备授权方法及电子设备、系统 | |
| CN115550919A (zh) | 设备配对认证方法、装置、发送方设备及接收方设备 | |
| CN115706602A (zh) | 一种北斗通信系统中位置上报方法、系统及相关装置 | |
| CN116112053A (zh) | 一种北斗通信系统中的参数更新方法、系统及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |