CN116546489A - 用于随机接入过程中数据处理的方法和装置 - Google Patents
用于随机接入过程中数据处理的方法和装置 Download PDFInfo
- Publication number
- CN116546489A CN116546489A CN202210090208.1A CN202210090208A CN116546489A CN 116546489 A CN116546489 A CN 116546489A CN 202210090208 A CN202210090208 A CN 202210090208A CN 116546489 A CN116546489 A CN 116546489A
- Authority
- CN
- China
- Prior art keywords
- message
- information
- private key
- public
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 209
- 238000012545 processing Methods 0.000 title claims abstract description 52
- 230000008569 process Effects 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 claims description 88
- 230000015654 memory Effects 0.000 claims description 45
- 238000004590 computer program Methods 0.000 claims description 11
- 230000001976 improved effect Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 49
- 238000007726 management method Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 12
- 235000019527 sweetened beverage Nutrition 0.000 description 12
- 238000004422 calculation algorithm Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 5
- 101100274486 Mus musculus Cited2 gene Proteins 0.000 description 4
- 101150096622 Smr2 gene Proteins 0.000 description 4
- 238000013475 authorization Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 2
- 101100533725 Mus musculus Smr3a gene Proteins 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000008093 supporting effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/002—Transmission of channel access control information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/002—Transmission of channel access control information
- H04W74/004—Transmission of channel access control information in the uplink, i.e. towards network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
- H04W74/0833—Random access procedures, e.g. with 4-step access
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种用于随机接入过程中数据处理的方法,该方法包括:终端设备向接入网设备发送第一消息,该第一消息包括该终端设备的第一公钥,该第一公钥用于该接入网设备加密向该终端设备发送的随机接入过程中的第二消息;该终端设备接收该接入网设备发送的该第二消息;其中,该第一公钥为该终端设备的第一公私钥对中的公钥,该第一公私钥对中还包括第一私钥,该第一私钥保存在该终端设备中用于解密该第二消息。通过终端设备向接入网设备发送该终端设备的第一公钥,从而使得该接入网设备可以对向该终端设备发送的随机接入过程中的第二消息进行加密处理,提升了网络安全性能。
Description
技术领域
本申请涉及通信领域,具体地,涉及一种用于随机接入过程中数据处理的方法和装置。
背景技术
在网络安全方面,网络的任务包括:对接入网络的终端设备进行身份认证和授权,以使终端设备接入到运营商网络中,进而启动终端设备的业务通信的空口加密。随机接入是终端设备连接到网络过程中的一个步骤,随机接入过程发生在终端设备的身份认证和授权之前。目前,在随机接入过程中发送的消息均为明文,导致该终端设备所有安全认证前的消息容易被攻击者窃听,增加了网络安全的风险。
发明内容
本申请提供一种用于随机接入过程中数据处理的方法和装置,该方法通过对随机接入过程中的消息进行加密,可以避免随机接入过程中的消息被攻击者窃听,提升了网络安全性能。
第一方面,提供了一种随机接入过程中数据处理的方法,该方法包括:终端设备向接入网设备发送第一消息,该第一消息包括该终端设备的第一公钥,该第一公钥用于该接入网设备加密向该终端设备发送的随机接入过程中的第二消息;该终端设备接收该接入网设备发送的该第二消息;其中,该第一公钥为该终端设备的第一公私钥对中的公钥,该第一公私钥对中还包括第一私钥,该第一私钥保存在该终端设备中用于解密该第二消息。
根据本申请实施例提供的方法,终端设备向接入网设备发送该终端设备的第一公钥,从而使得该接入网设备可以对向该终端设备发送的随机接入过程中的第二消息进行加密处理,可以避免随机接入过程中的消息被攻击者窃听,提升了网络安全性能。
结合第一方面,在第一方面的某些实施方式中,该第一消息还包括该终端设备随机接入过程中的第三信息以及第一指示信息,该第一指示信息用于指示该第三信息中包括加密信息,在该终端设备向接入网设备发送第一消息之前,该终端设备使用第二公钥对该Msg3中的部分或全部信息加密,该第二公钥由该接入网设备的标识和全局公钥生成;其中,该接入网设备的标识来自该接入网设备发送的广播消息,该全局公钥为第三方私钥生成器确定的第二公私钥对中的公钥,该第二公私钥对中还包括第二私钥,该第二私钥保存在该接入网设备中用于解密该第三信息中的加密信息。
结合第一方面,在第一方面的某些实施方式中,该第一消息还包括该终端设备随机接入过程中的第三信息以及第二指示信息,该第二指示信息用于指示该第三信息为明文信息。
结合第一方面,在第一方面的某些实施方式中,该第一公私钥对预置在该终端设备的通用用户身份模块USIM中,或者,该第一公私钥对由该终端设备生成。
结合第一方面,在第一方面的某些实施方式中,该终端设备向该接入网设备发送第三消息,该第三消息为该终端设备安全认证完成前该终端设备发送的任一消息,该第三消息由该终端设备的标识信息和该第一私钥生成的加密密钥加密;该终端设备接收该接入网设备发送第四消息,该第四消息为该终端设备安全认证完成前该接入网设备发送的任一消息,该第四消息由该终端设备的标识信息和该第一公钥生成的加密密钥加密;该终端设备根据该第一私钥解密该第四消息。
结合第一方面,在第一方面的某些实施方式中,在该终端设备向接入网设备发送第一消息之前,该终端设备接收核心网设备发送的第三指示信息,该第三指示信息用于指示该终端设备的业务的安全性级别,该安全性级别包括高安全性级别;该终端设备发起该高安全性级别的业务触发该随机接入过程。
第二方面,提供了一种随机接入过程中数据处理的方法,该方法包括:接入网设备接收来自终端设备的第一消息,该第一消息包括该终端设备的第一公钥;该接入网设备向该终端设备发送该终端设备随机接入过程中的第二消息,该第二消息由该第一公钥加密;其中,该第一公钥为该终端设备的第一公私钥对中的公钥,该第一公私钥对中还包括第一私钥,该第一私钥保存在该终端设备中用于解密该第二消息。
根据本申请实施例提供的方法,接入网设备通过对向终端设备发送的该终端设备随机接入过程中的第二消息进行加密,该第二加密消息使用的密钥包括该终端设备发送的该终端设备的第一公钥,从而可以避免随机接入过程中的消息被攻击者窃听,提升了网络安全性能。
结合第二方面,在第二方面的某些实施方式中,该第一消息还包括该终端设备随机接入过程中的第三信息以及第一指示信息,该第一指示信息用于指示该第三信息中包括加密信息,在接入网设备接收来自终端设备的第一消息之后,该接入网设备根据该第一指示信息确定该第三信息中包括加密信息;该接入网设备使用第二私钥解密该第三信息,该第二私钥为第三方私钥生成器确定的第二公私钥对中的私钥,该第二公私钥对中还包括第二公钥,该第二公钥预置在该终端设备中,该第二公钥用于该终端设备加密该第三信息中的部分或全部信息。
结合第二方面,在第二方面的某些实施方式中,该第一消息还包括该终端设备随机接入过程中的第三信息以及第二指示信息,该第二指示信息用于指示该第三信息为明文信息。
结合第二方面,在第二方面的某些实施方式中,该第一公私钥对预置在该终端设备的通用用户身份模块USIM中,或者,该第一公私钥对由该终端设备生成。
结合第二方面,在第二方面的某些实施方式中,该接入网设备接收该终端设备发送的第三消息,该第三消息为该终端设备安全认证完成前该终端设备发送的任一消息,该第三消息由该终端设备的标识信息和该第一私钥生成的加密密钥加密;该接入网设备根据该第一公钥解密该第三消息;该接入网设备向该终端设备发送第四消息,该第四消息为该终端设备安全认证完成前该接入网设备发送的任一消息,该第四消息由该终端设备的标识信息和该第一公钥生成的加密密钥加密。
第三方面,提供了一种用于随机接入过程中数据处理的装置,包括:收发单元,用于向接入网设备发送第一消息,该第一消息包括该装置的第一公钥,该第一公钥用于该接入网设备加密向该装置发送的随机接入过程中的第二消息;该收发单元还用于接收该接入网设备发送的该第二消息;处理单元,用于使用第一私钥解密该第二消息;其中,该第一公钥和该第一私钥为该装置的第一公私钥对中的公钥和私钥,该第一私钥保存在该装置中。
结合第三方面,在第三方面的某些实施方式中,该第一消息还包括该装置随机接入过程中的第三信息以及第一指示信息,该第一指示信息用于指示该第三信息包括加密信息,该处理单元还用于使用第二公钥对该第三信息中的部分或全部信息加密,该第二公钥由该接入网设备的标识和全局公钥生成;其中,该接入网设备的标识来自该接入网设备发送的广播消息,该全局公钥为第三方私钥生成器确定的第二公私钥对中的公钥,该第二公私钥对中还包括第二私钥,该第二私钥保存在该接入网设备中用于解密该第三信息中的加密信息。
结合第三方面,在第三方面的某些实施方式中,该第一消息还包括该装置随机接入过程中的第三信息以及第二指示信息,该第二指示信息用于指示该第三信息为明文信息。
结合第三方面,在第三方面的某些实施方式中,该第一公私钥对预置在该装置的通用用户身份模块USIM中,或者,该第一公私钥对由该处理单元生成。
结合第三方面,在第三方面的某些实施方式中,该收发单元还用于向该接入网设备发送第三消息,该第三消息为该装置安全认证完成前该装置发送的任一消息,该第三消息由该装置的标识信息和该第一私钥生成的加密密钥加密;该收发单元还用于接收该接入网设备发送第四消息,该第四消息为该装置安全认证完成前该接入网设备发送的任一消息,该第四消息由该装置的标识信息和该第一公钥生成的加密密钥加密;该处理单元还用于根据该第一私钥解密该第四消息。
结合第三方面,在第三方面的某些实施方式中,该收发单元还用于接收核心网设备发送的第三指示信息,该第三指示信息用于指示该装置的业务的安全性级别,该安全性级别包括高安全性级别;该装置发起该高安全性级别的业务触发该随机接入过程。
第四方面,提供了一种用于随机接入过程中数据处理的装置,包括:收发单元,用于接收来自终端设备的第一消息,该第一消息包括该终端设备的第一公钥;该收发单元还用于向该终端设备发送该终端设备随机接入过程中的第二消息,该第二消息由该第一公钥加密;其中,该第一公钥为该终端设备的第一公私钥对中的公钥,该第一公私钥对中还包括第一私钥,该第一私钥保存在该终端设备中用于解密该第二消息。
结合第四方面,在第四方面的某些实施方式中,该第一消息还包括该终端设备随机接入过程中的第三信息以及第一指示信息,该第一指示信息用于指示该第三信息中包括加密信息,该收发单元还包括:处理单元,该处理单元用于根据该第一指示信息确定该Msg3中包括加密信息;该处理单元还用于使用第二私钥解密该第三信息,该第二私钥为第三方私钥生成器确定的第二公私钥对中的私钥,该第二公私钥对中还包括第二公钥,该第二公钥预置在该终端设备中,该第二公钥用于该终端设备加密该第三信息中的部分或全部信息。
结合第四方面,在第四方面的某些实施方式中,该第一消息还包括该终端设备随机接入过程中的第三信息以及第二指示信息,该第二指示信息用于指示该第三信息为明文信息。
结合第四方面,在第四方面的某些实施方式中,该第一公私钥对预置在该终端设备的通用用户身份模块USIM中,或者,该第一公私钥对由该终端设备生成。
结合第四方面,在第四方面的某些实施方式中,该收发单元还用于接收该终端设备发送的第三消息,该第三消息为该终端设备安全认证完成前该终端设备发送的任一消息,该第三消息由该终端设备的标识信息和该第一私钥生成的加密密钥加密;该处理单元还用于根据该第一公钥解密该第三消息;该收发单元还用于向该终端设备发送第四消息,该第四消息为该终端设备安全认证完成前该装置发送的任一消息,该第四消息由该终端设备的标识信息和该第一公钥生成的加密密钥加密。
第五方面,提供了一种通信装置,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第一方面或第一方面中任意可能的实现方式中终端设备的功能。可选地,该装置还包括存储器。可选地,该装置还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该装置为终端设备。当该装置为终端设备时,该通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该装置为配置于终端设备中的芯片。当该装置为配置于终端设备中的芯片时,该通信接口可以是输入/输出接口。
可选地,所述收发器可以为收发电路。可选地,所述输入/输出接口可以为输入/输出电路。
第六方面,提供了一种通信装置,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第二方面或第二方面中任意可能的实现方式中接入网设备的功能。可选地,该装置还包括存储器。可选地,该装置还包括通信接口,处理器与通信接口耦合。
在一种实现方式中,该装置为接入网设备。当该装置为接入网设备时,该通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该装置为配置于接入网设备中的芯片。当该装置为配置于接入网设备中的芯片时,该通信接口可以是输入/输出接口。
可选地,所述收发器可以为收发电路。可选地,所述输入/输出接口可以为输入/输出电路。
第七方面,提供了一种处理器,包括:输入电路、输出电路和处理电路。所述处理电路用于通过所述输入电路接收信号,并通过所述输出电路发射信号,使得所述处理器执行上述第一方面和第二方面中任一方面或任一方面中任一种可能实现方式中的方法。
在具体实现过程中,上述处理器可以为芯片,输入电路可以为输入管脚,输出电路可以为输出管脚,处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的,输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的,且输入电路和输出电路可以是同一电路,该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。
第八方面,提供了一种装置,包括处理器和存储器。该处理器用于读取存储器中存储的指令,并可通过接收器接收信号,通过发射器发射信号,以执行第一方面和第二方面中任一方面或者任一方面中任一种可能实现方式中的方法。
可选地,所述处理器为一个或多个,所述存储器为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
应理解,相关的数据交互过程例如发送指示信息可以为从处理器输出指示信息的过程,接收能力信息可以为处理器接收输入能力信息的过程。具体地,处理输出的数据可以输出给发射器,处理器接收的输入数据可以来自接收器。其中,发射器和接收器可以统称为收发器。
上述第八方面中的装置可以是芯片,该处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于该处理器之外,独立存在。
第九方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行上述第一方面至第二方面中任一方面或任一方面中任一种可能实现方式中的方法。
第十方面,提供了一种计算机可读介质,所述计算机可读介质存储有计算机程序(也可以称为代码,或指令),当其在计算机上运行时,使得计算机执行上述第一方面至第二五方面中任一方面或任一方面中任一种可能实现方式中的方法。
第十一方面,提供了一种芯片系统,包括处理器,用于从存储器中调用并运行计算机程序,使得安装有该芯片系统的设备执行上述第一方面至第二方面任一方面或任一方面中任一种可能实现方式中的方法。
附图说明
图1是本申请实施例适用的系统架构图。
图2是本申请提供的四步随机接入过程的示意性流程图。
图3是本申请提供的两步随机接入过程的示意性流程图。
图4是本申请提供的用于随机接入过程中数据处理的方法的示意性流程图。
图5是本申请实施例提供的通信装置的示意图。
图6是本申请另一实施例提供的通信装置的示意性框图。
图7是本申请实施例提供的一种芯片系统的示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例提及的无线通信系统包括但不限于:全球移动通信(global systemof mobile communication,GSM)系统、长期演进(long term evolution,LTE)频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、LTE系统、先进的长期演进(LTE-Advanced,LTE-A)系统、下一代通信系统(例如,6G通信系统)、多种接入系统的融合系统,或演进系统。
本申请提供的技术方案还可以应用于机器类通信(machine typecommunication,MTC)、机器间通信长期演进技术(Long Term Evolution-machine,LTE-M)、设备到设备(device to device,D2D)网络、机器到机器(machine to machine,M2M)网络、物联网(internet of things,IoT)网络或者其他网络。其中,IoT网络例如可以包括车联网。其中,车联网系统中的通信方式统称为车到其他设备(vehicle to X,V2X,X可以代表任何事物),例如,该V2X可以包括:车辆到车辆(vehicle to vehicle,V2V)通信,车辆与基础设施(vehicle to infrastructure,V2I)通信、车辆与行人之间的通信(vehicle topedestrian,V2P)或车辆与网络(vehicle to network,V2N)通信等。
图1是适用于本申请的一例通信系统架构的示意性框图,如图所示,该系统架构具体可以包括下列网元:
1、用户设备(user equipment,UE):可以称终端设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。
终端设备可以是一种向用户提供语音/数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例可以为:手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobileinternet device,MID)、虚拟现实(virtual reality,VR)设备、增强现实(augmentedreality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,5G网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端设备等。
此外,终端设备还可以是物联网(Internet of things,IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。IoT技术可以通过例如窄带(narrowband)NB技术,做到海量连接,深度覆盖,终端省电。
此外,终端设备还可以包括智能打印机、火车探测器、加油站等传感器,主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据,并发送电磁波,向网络设备传输上行数据。
应理解,终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。
2、(无线)接入网((radio)access network,(R)AN):基于无线通信技术实现接入网络功能的接入网可以称为无线接入网。无线接入网能够管理无线资源,为终端提供接入服务,进而完成控制信号和用户数据在终端和核心网之间的转发。
本申请所涉及的无线接入网设备可以是具有无线收发功能的设备。该无线接入网设备可以是提供无线通信功能服务的设备,通常位于网络侧,包括但不限于:第五代(5thgeneration,5G)通信系统中的下一代基站(gNodeB,gNB)、第六代(6th generation,6G)移动通信系统中的下一代基站、未来移动通信系统中的基站或WiFi系统中的接入节点等,LTE系统中的演进型节点B(evolved node B,eNB)、无线网络控制器(radio networkcontroller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、家庭基站(例如,home evolved NodeB,或home Node B,HNB)、基带单元(base band unit,BBU),传输接收点(transmission reception point,TRP)、发射点(transmitting point,TP)、基站收发台(base transceiver station,BTS)等。在一种网络结构中,该接入网设备可以包括集中单元(centralized unit,CU)节点、或分布单元(distributed unit,DU)节点、或包括CU节点和DU节点的RAN设备、或者控制面CU节点和用户面CU节点,以及DU节点的RAN设备。接入网设备为小区提供服务,用户设备通过该小区使用的传输资源(例如,频域资源,或者说,频谱资源)与基站进行通信,该小区可以是基站(例如基站)对应的小区,小区可以属于宏基站,也可以属于小小区(small cell)对应的基站,这里的小小区可以包括:城市小区(metro cell)、微小区(micro cell)、微微小区(pico cell)、毫微微小区(femto cell)等,这些小小区具有覆盖范围小、发射功率低的特点,适用于提供高速率的数据传输服务。无线接入网设备可以是宏基站,也可以是微基站或室内站,还可以是中继节点或施主节点,V2X通信系统中的为用户设备提供无线通信服务的设备、云无线接入网络(cloud radioaccess network,CRAN)场景下的无线控制器、中继站、车载设备、可穿戴设备以及未来演进网络中的网络设备等。本申请的实施例对无线接入网设备所采用的具体技术和设备具体形态不做限定。
3、接入和移动性管理功能网元(access and mobility management function,AMF):主要用于移动性管理和接入管理等,如用户位置更新、用户注册网络、用户切换等。AMF还可用于实现移动性管理实体(mobility management entity,MME)中除会话管理之外的其它功能。例如,接入授权(或鉴权)等功能。
4、会话管理功能网元(session management function,SMF):主要用于会话管理、UE的网际协议(Internet Protocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。
5、用户面功能网元(user plane function,UPF):可用于分组路由和转发、或用户面数据的服务质量(quality of service,QoS)处理等。用户数据可通过该网元接入到数据网络(data network,DN)。
6、数据网络(data network,DN):用于提供传输数据的网络。
7、策略控制网元(policy control function,PCF):用于指导网络行为的统一策略框架,为控制平面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
8、UDM网元:用于生成认证信任状,用户标识处理(如存储和管理用户永久身份等),接入授权控制和签约数据管理等。
9、应用功能网元(application function,AF):用于进行应用影响的数据路由,接入网络开放功能网元,与策略框架交互进行策略控制等。
另外,上述网络架构还包括网络切片选择功能网元(network slice selectionfunction,NSSF),用于管理网络切片相关的信息;网络存储功能网元(network repositoryfunction,NRF),用于保存网络功能实体以及其提供服务的描述信息,以及支持服务发现,网元实体发现等功能。
在图1所示的网络架构中,各网元之间可以通过图中所示的接口通信,部分接口可以采用服务化接口的方式实现。如图所示,UE和AMF之间可以通过N1接口进行交互,交互消息例如可以称为N1消息(N1 Message)。RAN和AMF之间可以通过N2接口进行交互,N2接口可以用于非接入层(non-access stratum,NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互,N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互,N4接口可以用于传输例如N3连接的隧道标识信息,数据缓存指示信息,以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互,N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示,为了简洁,这里不一一详述。
应理解,上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network sliceselection function,NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元,例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请对此不作具体限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
图1为本申请实施例适用的通信系统架构的示意性框图,为了便于理解本申请实施例的技术方案,在该架构为基础介绍本申请实施例的方案之前,首先对本申请实施例可能涉及到的一些术语或概念进行简单描述。
1、通用用户身份模块(UMTS subscriber identify module,USIM)卡
USIM卡是用于全球移动通信系统(universal mobile telecommunicationssystem,UTMS)中的用户身份识别的模块。USIM卡可以储存使用者资料、电话号码、认证资料以及为短讯提供储存空间。USIM可以包括国际移动用户识别码(international mobilesubscriber identification number,IMSI),用户永久标识符(subscription permanentidentifier,SUPI),公钥(public key)等信息。USIM卡通常被认为是用户身份识别模块(subscriber identify module,SIM)卡的升级,在LTE网络须使用USIM卡,同时USIM卡兼容第二代(2nd generation,2G)网络和第三代(3rd generation)网络。
2、密钥
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。
3、公钥和私钥
公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),其中的一个向外界公开,称为公钥;另个自己保留,称为私钥。通过算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。例如,如果用密钥对中的公钥加密数据,就需要用该密钥对中的私钥解密,反之亦然,否则解密将不会成功。
4、签名
本申请实施例中涉及的签名可以理解为数字签名(或者称公钥数字签名),数字签名是只有信息发送方才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息发送方发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名,但是使用公钥加密领域的技术来实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名是非对称密码技术与数字摘要技术的应用。
5、基于身份的密码技术(identity based cryptography,IBC)
IBC是一种非对称密码技术,用于提供一种基于身份信息(identification,ID)的签名。IBC密码技术属于一种公钥技术,密钥的产生是基于一对全局参数,全局公钥(globalpublic key,GPK)和全局私钥(global secret key,GSK)。私钥生成器(private keygenerator,PKG)根据用户(例如,接入网设备)提供的ID信息,使用上述全局参数,通过运算,为用户产生一个基于相关ID的私钥SKID。进一步地,通过可靠的方式把ID,SKID和GPK分发给用户。在使用IBC技术签名时,消息发送方(例如,接入网设备)需要拥有ID、用于签名的私钥SKID和全局公钥GPK;消息发送方使用ID,全局公钥GPK和私钥SK对明文数据M(比如接入网设备发送的广播消息)进行签名,形成签名Sig(SKID,M),并把签名后的消息E(M)={ID,M,Sig(SKID,M)}发送给接收方(例如,终端设备);接收方接收到密文E(M)后,可以根据消息中携带的接入网设备的ID获取相对应的全局公钥GPK,或者,接收方可以预置全局公钥GPK。进一步地,接收方使用该接入网设备的ID和GPK验证接收到的消息中携带的签名Sig(SKID,M),以验证消息的完整性。
6、随机接入(random access,RA)过程
随机接入过程是指从终端设备发送随机接入前导码(preamble)开始尝试接入网络,到与网络间建立起基本的信令连接之前的过程。
需要说明的是,终端设备在选择发送preamble的随机接入信道时机(RACHoccasion,RO)之前,终端设备需要选择上行载波。例如,在配置了补充上行链路(supplementary uplink,SUL)或正常上行链路(normal uplink,NUL)的情况下,终端设备可以选择工作在SUL还是NUL上。
在选择完上行载波之后,终端设备(如,处于RRC连接态的终端设备)可能需要进行部分带宽(BWP)操作。例如,当终端设备的激活上行BWP上没有配置RO,则终端设备需要将该激活上行BWP切换至初始上行BWP。。
在选择完上行载波或BWP操作之后,终端设备需要进行随机接入(random access,RA)类型的选择,该RA类型例如可以包括:两步随机接入(如图3中所示),四步随机接入(图2中所示)。
进一步地,在确定了RA类型之后,终端设备需要进行RACH资源选择:终端设备可以根据选择的同步信号块(Synchronization Signal and PBCH block,SSB)以及SSB与RO之间的映射关系选择发送preamble的RO;或者,终端设备可以根据选择的SSB以及SSB与preamble之间的映射关系选择发送的preamble。
例如,一个SSB可以与多个RO对应,或多个SSB映射到一个RO上;再如,一个SSB与一个或多个preamble对应,不同的SSB使用的preamble可以不同。
如前所述,RA类型可以包括两步随机接入和四步随机接入,为了便于理解,结合图2和图3分别介绍四步随机接入过程和两步随机接入过程。
图2是一种四步随机接入过程的示意性流程图,该四步随机接入的过程可以包括以下步骤:
S201,接入网设备向终端设备发送同步信号、系统信息和/或随机接入配置信息。
四步随机接入过程之前,接入网设备在特定的位置,通过广播方式发送同步信号和系统信息。在NR中,接入网设备发送的同步信号称为同步/广播信号块(synchronizationsignal/physical broadcast channel block,SSB)(或者表示为SS/PBCH block),SSB和系统信息由接入网设备根据配置周期性发送。
可选地,接入网设备还可以向终端设备发送随机接入配置信息,以方便终端设备确定随机接入前导(random access preamble)的索引、时频资源、功率配置等信息。
S210,终端设备向接入网设备发送随机接入请求,该随机接入请求也可称为消息1(message 1,Msg1),其中包含随机接入前导(preamble)。
终端设备在开机之后或者需要重新接入网络时,扫描接入网设备的同步信号,进行下行时间和频率同步,同时接收系统信息中有关随机接入资源的配置信息(随机接入配置信息)。
终端设备根据该随机接入配置信息以及同步到的SSB,选择该SSB关联的随机接入资源,该资源包括时间、频率资源,码域资源(随机接入前导码preamble),并使用该随机接入资源发送随机接入信号,即随机接入前导(preamble或者sequence),随机接入信号通过物理随机接入信道(physical random access channel,PRACH)承载。
其中,随机接入前导可以是Group A或Group B中的preamble,Group A或Group B为两个不同的随机接入前导分组,终端设备可以选择发送其中一个(或由接入网设备指定)随机接入前导分组中的preamble。对preamble分组是为了加入一定的先验信息,以便接入网设备在RAR中给Msg 3分配适当的上行资源。例如,如果终端设备接入时估计后续的Msg3可能比较大,则可以使用group B中的preamble;否则使用group A中的preamble。这样接入网设备就能够根据收到的preamble知道该preamble所属的group,从而可以知道Msg 3的大致资源需求。
S220,接入网设备向终端设备发送RAR。
接入网设备接收到终端设备发送的随机接入前导码之后,基于该随机接入前导码向终端设备发送随机接入响应(random access response,RAR),又称为消息2(message2,Msg2)。示例性地,接入网设备向终端设备发送的Msg2中还可以包括指示发送消息3(message 3,Msg3)的上行资源的指示信息。可以理解为终端设备接收到该Msg2之后,能够获知用于发送Msg3的上行资源。
S230,终端设备向接入网设备发送Msg3。
终端设备在接收到Msg2之后,基于该Msg2向接入网设备发送Msg3。示例性地,Msg3可以包括层2(layer 2,L2)信息和/或层3(layer 3,L3)信息,例如,RRC连接建立请求消息。其中,Msg3中包含终端设备的标识。终端设备的标识将用于S240中的竞争解决。终端设备的标识可以与终端设备在通信系统中的状态相关,例如,终端设备处于RRC连接(RRC_CONNECTED)态时,终端设备的标识可以是小区无线网络临时标识(cell radio networktemporary identifier,C-RNTI);终端设备处于非RRC连接态时,终端设备的标识可以为来自核心网的终端设备的标识;可选地,来自核心网的终端设备的标识可以为系统架构演进临时移动台标识符(system architecture evolution temporary mobile stationidentifier,S-TMSI)。
S240,接入网设备向终端设备发送竞争解决消息。
在终端设备竞争解决成功的情况下,接入网设备向终端设备发送竞争解决消息,又称为消息4(message 4,Msg4)。可选的,竞争解决信息可以为终端设备竞争解决标识MAC控制单元(contention resolution identity MAC CE),即Msg3的部分内容或者Msg3的全部内容,竞争解决信息也可以为小区无线网络临时标识(cell radio network temporaryidentifier,C-RNTI)加扰的PDCCH,即终端设备检测到C-RNTI加扰的PDCCH,则认为竞争解决。相应的,终端设备在竞争解决定时器内等待接收Msg4。如果竞争解决定时器超时,终端设备尚未接收到竞争解决信息,则返回S210重新进行基于竞争的四步随机接入。
需要说明的是,本申请中上述的图2只是为了便于说明四步随机接入过程而提供的一种示意图,对本申请的保护范围不构成任何的限定,四步随机接入过程的具体描述可以参考目前相关技术中的介绍。其次,四步随机接入仅是用来表示一种随机接入方式的名称,其具体名称并不对本申请实施例的范围造成限定。
图3是一种两步随机接入过程的示意性流程图,该两步随机接入的过程可以包括以下步骤:
S310,终端设备向接入网设备发送消息A(message A,MsgA)。
该MsgA消息中包括preamble部分和物理上行共享信道(physical uplink sharedchannel,PUSCH)部分。其中,preamble部分在PRACH资源(如上文所述的RO)上发送,PUSCH资源上可以承载L2或L3信息,例如,BFR MAC CE或RRC连接建立请求消息。
S320,接入网设备向终端设备发送消息B(message B,MsgB)。
接入网设备接收到终端设备发送的MsgA消息之后,基于该MsgA消息向终端设备发送MsgB消息。示例性地,MsgB消息可以包含成功的RAR(success RAR)或回退的RAR(fallback RAR)。
在终端设备接收到fallback RAR的情况下,终端设备需要回退到四步随机接入过程,即发送Msg3。
除上述的两步随机接入到四步随机接入的回退过程外,如果接入网设备在触发随机接入时选择进行两步随机接入过程,在两步随机接入过程的preamble达到最大发送次数之后,终端设备还可以回退(fallback)到四步随机接入过程尝试接入,可以增大终端设备的接入成功率。
在现有的相关技术中,只有在终端设备和网络设备身份认证鉴权成功后才启动空口加密,而随机接入过程在安全认证过程之前,且随机接入过程中所有消息均为明文,这就导致该终端设备安全认证前的消息容易被攻击者窃听。这些消息中某些信元在安全模式建立后可能并不会改变。这些信元被攻击者获取到后,后续MAC CE、下行控制消息(downlinkcontrol information,DCI)等消息容易被攻击者窃听。例如,攻击者通过监听Msg4消息,即可达到利用基站作为中介传递数据的功能。有鉴于此,本申请提供一种加密的数据传输方法,该方法可以应用于终端设备的随机接入过程中的消息加密,以避免随机接入过程中信息泄露给任何恶意的第三方,提升网络安全性能。
应理解,本申请实施例提供认证的方法可以应用于各种通信系统中,例如,图1中所示的通信系统中。
下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是终端设备或网络设备,或者,是终端设备或网络设备中能够调用程序并执行程序的功能模块。
为了便于理解本申请实施例,做出以下几点说明。
第一,在本申请中,“用于指示”可以理解为“使能”,“使能”可以包括直接使能和间接使能。当描述某一信息使能A时,可以包括该信息直接使能A或间接使能A,而并不代表该信息中一定携带有A。
将信息所使能的信息称为待使能信息,则具体实现过程中,对待使能信息进行使能的方式有很多种,例如但不限于,可以直接使能待使能信息,如待使能信息本身或者该待使能信息的索引等。也可以通过使能其他信息来间接使能待使能信息,其中该其他信息与待使能信息之间存在关联关系。还可以仅仅使能待使能信息的一部分,而待使能信息的其他部分则是已知的或者提前约定的。例如,还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的使能,从而在一定程度上降低使能开销。同时,还可以识别各个信息的通用部分并统一使能,以降低单独使能同样的信息而带来的使能开销。
第二,在本申请中示出的第一、第二以及各种数字编号(例如,“#1”、“#2”等)仅为描述方便,用于区分的对象,并不用来限制本申请实施例的范围。例如,区分不同的信息等。而不是用于描述特定的顺序或先后次序。应该理解这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。
第三,在本申请中,“预设”可包括预先定义,例如,协议定义。其中,“预先定义”可以通过在设备(例如,包括终端设备或网络设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第四,本申请实施例中涉及的“保存”,可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器,可以是单独的设置,也可以是集成在编码器或者译码器,处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第五,本申请实施例中涉及的“协议”可以是指通信领域的标准协议,例如可以包括5G协议、新空口(new radio,NR)协议以及应用于未来的通信系统中的相关协议,本申请对此不做限定。
以下,不失一般性,以终端设备和网络设备之间的交互为例详细说明本申请实施例提供的用于随机接入过程中数据处理的方法。图4所示为本申请提供的一种用于随机接入过程中数据处理的方法,该方法包括以下几个步骤。
S401,接入网设备获取第二私钥SKID。
该接入网设备可以从可信的第三方私钥生成器PKG获取该第二私钥,该第二私钥为该接入网设备的私钥。示例性地,该接入网设备可以向PKG发送私钥请求消息,该私钥请求消息中可以携带该接入网设备的标识(gNBID)信息,该私钥请求消息用于请求该PKG生成该第二私钥并发送该第二私钥,或者,该私钥请求消息用于请求该PKG发送该第二私钥。
示例性地,接入网设备的标识信息可以用以下任一种标识信息表示:该接入网设备所属的公共陆地移动网络(public land mobile network,PLMN)标识ID,接入网设备全局唯一标识(gNB global unique ID),接入网设备跟踪区域码(tracking area code,TAC)等。
相应地,S402,PKG根据该gNBID以及全局私钥GSK确定基于该gNBID的SKID并返回给gNB。
其中,该GSK由PKG生成,同时,该PKG生成全局公钥GPK。PKG生成GSK以及GPK的相关过程可参考现有的相关技术,该GSK以及GPK也可以分别称为运营商私钥和运营商公钥;PKG根据该gNBID以及全局私钥GSK确定该SKID也可参考现有的相关技术。
S403,接入网设备向终端设备发送广播消息。
该广播消息中包括该接入网设备的标识信息,即上述gNBID,该接入网设备的标识信息用于该终端设备确定第二公钥,即该第二公钥由该接入网设备的标识信息以及该全局公钥生成。该第二公钥与该第二私钥组成该接入网设备的第二公私钥对,该终端设备和该接入网设备之间可以使用该第二公私钥中的一个密钥加密传输的消息,并使用另一个密钥解密该加密的消息。
与S201中类似,该广播消息中还可以包括同步信号、系统信息和/或随机接入配置信息。
可选地,该方法可以包括S410,该终端设备确定即将发起的业务的类型信息,该业务的类型包括业务的安全性级别,例如,该终端设备即将发起的业务可以是低安全性级别的业务或者高安全性级别的业务。
示例性地,如果该终端设备的随机接入过程由初始接入注册流程触发,则该终端设备可以在注册流程中通过核心网设备发送的非接入层(non-access stratum,NAS)消息指示,例如,该终端设备可以向AMF网元发送注册请求(register request)消息,该AMF网元通过注册接受(register Accept)消息指示某一类业务为高安全性级别业务或者低安全性级别业务。如果该随机接入流程由该终端设备的主叫流程触发,同样,该终端设备可以通过核心网设备发送的指示信息判断即将发起的业务的类型信息。或者,在该终端设备的被叫流程中,核心网在寻呼消息中指示即将发起的业务的类型信息。
可选地,该终端设备可以根据确定的即将发起的业务的类型信息,确定执行的随机接入过程。若该终端设备确定即将发起的业务为高安全性级别业务,则该终端设备根据本申请实施例提供的方法执行随机接入过程;若该终端设备确定即将发起的业务为的低安全性级别业务,则该终端设备可以执行现有的随机接入过程。
S420,终端设备向该接入网设备发送第一消息;相应地,该接入网设备接收该第一消息。
该第一消息可以包括上述四步随机接入过程中的Msg3,例如,RRC建立请求(RRCSetupRequest)消息。如前所述,该Msg3中携带终端设备的标识信息,或者,终端设备接收的来自核心网的该终端设备的标识;可选地,来自核心网的该终端设备的标识可以为S-TMSI。
在一种可能的情况下,该终端设备中预设了该PKG生成的该GPK,也即预设了运营商公钥。该第一消息还可以包括第一指示信息,该第一指示信息指示该Msg3中包括加密信息,该加密信息可以是该Msg中部分或全部信息的加密信息,例如,该加密信息包括该终端设备标识的加密信息;该Msg3中还包括该终端设备的第一公钥,该第一公钥可以为加密信息,该终端设备的第一公钥用于该接入网设备加密后续随机接入过程中传输的消息,例如,该第一公钥用于该接入网设备加密向该终端设备发送的Msg4。
其中,该终端设备对该Msg3的加密密钥可以由该gNBID和该预设的GPK生成。该终端设备和接入网设备可通过协议约定该Msg3的加密和解密密钥。
该第一公钥与第一私钥组成该终端设备的第一公私钥对,该第一私钥由该终端设备保存,用于解密由该第一公钥加密的信息。该第一公私钥对可以由第三方私钥生成器生成,并预置在该终端设备中,或者,也可以由该终端设备动态生成。示例性地,该终端设备可以预设支持的公钥密码算法,例如,椭圆曲线数字签名算法(Elliptic Curve DigitalSignature Algorithm,简称“ECDSA”),罗纳德·李维斯特、阿迪·萨莫尔、伦纳德·阿德曼(Ron Rivest,Adi Shamir,Leonard Adleman,简称“RSA”)公钥加密算法等,终端设备基于预设的公钥密码算法生成该第一公私钥对。
在另一种可能的情况下,该第一消息包括第二指示信息,该第二指示信息指示该第一消息不加密,也即,该第一消息还包括该Msg3的明文消息。该第一消息还携带该终端设备的该第一公钥,该终端设备的第一公钥用于该接入网设备加密后续随机接入过程中传输的消息。
需要说明的是,若该第一消息包括四步随机接入过程中的Msg3,在该终端设备向该接入网设备发送该第一消息之前,该方法还可以包括S404,该终端设备向该接入网设备发送四步随机接入过程中的Msg1,以及S405,接收该接入网设备发送的Msg2,具体过程可分别参考S210和S220。或者,若在S410中,该终端设备确定即将发起的业务为高安全性级别业务,则该终端设备可以选择发送groupB中的preamble。
可选地,该第一消息还可以包括上述两步随机接入过程中的MsgA;在该终端设备中预设了该PKG生成的该GPK,也即预设了运营商公钥的情况下,该第一消息还可以包括第一指示信息,该第一指示信息指示该Msg3为加密信息;该第一消息还包括该终端设备的第一公钥,该终端设备的第一公钥用于该接入网设备加密后续随机接入过程中传输的消息,例如,该第一公钥用于该接入网设备加密向该终端设备发送的MsgB。
其中,该终端设备对该MsgA的加密密钥可以由该gNB ID和该预设的GPK生成。该终端设备和接入网设备可通过协议约定该Msg3的加密和解密密钥。
该第一公钥与第一私钥组成该终端设备的第一公私钥对,该第一私钥由该终端设备保存,用于解密由该第一公钥加密的信息。该第一公私钥对的生成方式如前所述。
在另一种可能的情况下,该第一消息包括第二指示信息,该第二指示信息指示该第一消息不加密,也即,该第一消息还包括该MsgA的明文消息。该第一消息还携带该终端设备的该第一公钥,该终端设备的第一公钥用于该接入网设备加密后续随机接入过程中传输的消息。
S430,该接入网设备向该终端设备发送第二消息;相应地,该终端设备接收该第二消息。
该第二消息可以包括上述四步随机过程中的Msg4或者MsgB。根据该接入网设备接收的该第一消息包括的内容的不同,该接入网设备发送该第二消息包括两种情况:
情况一,若该接入网设备接收的该第一消息包括该第一指示信息,则在该接入网设备发送该第二消息前,该方法还可以包括S431,该接入网设备根据该接入网设备的第二私钥,也即SKID解密该Msg3或MsgA;该接入网设备根据该第一消息获取该终端设备的标识信息以及该终端设备的第一公钥;该接入网设备根据该终端设备的标识信息以及该第一公钥对该Msg4或者MsgB加密。示例性地,该接入网设备可以根据该终端设备的标识信息以及该第二公钥生成第三公钥,该接入网设备使用该第三公钥对该Msg4或者MsgB进行加密;该接入网设备向该终端设备发送该第二消息,可以理解的是,该第二消息包括该Msg4或者MsgB的密文。
情况二,若该接入网设备接收的该第一消息包括该第二指示信息,则该接入网设备根据该第一消息获取该终端设备的标识信息以及该终端设备的第一公钥;该接入网设备根据该终端设备的标识信息以及该第一公钥对该第二消息加密;该接入网设备向该终端设备发送第二消息。
S440,该终端设备根据第一私钥解密该第二消息。
该终端设备的第一私钥可以是预设的终端设备的第一私钥对(密钥对)中的私钥,该终端设备的密钥对可以由PKG生成,或者,可以由该终端设备动态生成。
可选地,该方法还可以包括S450,该终端设备向该接入网设备发送第三消息,该第三消息可以为RRC建立完成(RRCSetupComplete)消息;相应地,该接入网设备接收该第三消息。
该终端设备可对该第三消息进行加密,其使用的加密密钥由该终端设备的标识信息以及该第一私钥生成,相应地,S460,该接入网设备接收到该第三消息后,该接入网设备可以根据S420中接收的该终端设备的第一公钥对该第三消息进行解密。
可选地,该第三消息还可以是RRC建立完成消息之后,以及该终端设备安全认证完成(AS security complete)前该终端设备向该接入网设备发送的任一消息,该终端设备和该接入网设备均可使用上述非对称加密算法,即该终端设备使用加密密钥由该终端设备的标识信息以及该第一私钥生成,相应地,该接入网设备使用该终端设备的第一公钥对该终端设备发送的消息进行解密。
可选地,该方法还可以包括S470,接入网设备向该终端设备发送第四消息,相应地,该终端设备接收该第四消息。
该第四消息可以是RRC建立完成消息之后,以及该终端设备安全认证完成(ASsecurity complete)前该接入网设备向该终端设备发送的任一消息。该接入网设备使用该终端设备的标识信息以及该第一公钥加密向该终端设备发送的消息,相应地,该终端设备使用该第一私钥对该接入网设备发送的消息进行解密。从而可以保证安全认证前的消息的安全性。
应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
还应理解,在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
可以理解的是,本申请上述实施例中,由通信设备实现的方法,也可以由可配置于通信设备内部的部件(例如芯片或者电路)实现。
以上,结合图4详细说明了本申请实施例提供的通信方法。以下,结合图5至图7对本申请实施例提供的通信装置进行详细说明。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,部分内容不再赘述。
图5是本申请实施例提供的通信装置500的示意性框图。如图所示,该通信装置500可以包括:收发单元510和处理单元520。
在一种可能的设计中,该通信装置1000可以是上文方法实施例中的终端设备,也可以是用于实现上文方法实施例中用于实现终端设备的功能的芯片。
应理解,该通信装置500可对应于根据本申请实施例的方法400中的终端设备。该通信装置500可以包括用于执行图4中的方法400中的终端设备执行的方法单元。并且,该通信装置500中的各单元和上述其他操作和/或功能分别为了实现图4中的方法400的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置500可以是上文方法实施例中的接入网设备,该通信装置包括收发单元510和处理单元520,该通信装置500也可以是用于实现上文方法实施例中接入网设备的功能的芯片。
应理解,该通信装置500可对应于根据本申请实施例的方法400中的接入网设备,该通信装置500可以包括用于执行图4的方法中的接入网设备执行的方法的单元。并且,该通信装置500中的各单元和上述其他操作和/或功能实现图4中的方法的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置500可以是上文方法实施例中的接入与移动管理功能网元,也可以是用于实现上文方法实施例中接入与移动管理功能网元功能的芯片。
应理解,该通信装置500可对应于根据本申请实施例的方法400中的接入与移动管理功能网元,该通信装置500可以包括用于执行接入与移动管理功能网元执行的方法的单元。并且,该通信装置500中的各单元和上述其他操作和/或功能分别为了实现图4中的方法的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
还应理解,该通信装置500中的收发单元510可对应于图6中示出的通信设备600中的收发器620。该通信装置500中的处理单元520可对应于图6中示出的通信设备600中的处理器610。
还应理解,当该通信装置500为芯片时,该芯片包括收发单元。示例性地,该芯片还可以包括处理单元。其中,收发单元可以是输入输出电路或通信接口;处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。
收发单元510用于实现通信装置500的信号的收发操作,处理单元520用于实现通信装置500的信号的处理操作。
示例性地,该通信装置500还包括存储单元530,该存储单元530可以用于存储公私钥对。
图6是本申请实施例提供的通信设备600的示意性框图。如图6所示,该通信设备600包括:至少一个处理器610和通信接口620。该处理器610与存储器耦合,用于执行存储器中存储的指令,以控制通信接口620发送和/或接收信号。示例性地,该通信设备600还包括存储器630,可以用于存储指令,以及可以用于存储公私钥对。
应理解,上述处理器610和存储器630可以合成一个处理装置,处理器610用于执行存储器630中存储的程序代码来实现上述功能。具体实现时,该存储器630也可以集成在处理器610中,或者独立于处理器610。
还应理解,在一种可能的设计中,该通信接口620可以包括接收器(或者称,接收机)和发射器(或者称,发射机)。该通信接口620还可以进一步包括天线,天线的数量可以为一个或多个。通信接口620还可以是接口电路。
当该通信设备600为芯片时,该芯片包括收发单元和处理单元。其中,收发单元可以是输入输出电路或通信接口;处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。
图7是本申请实施例的一种芯片系统的示意图。这里的芯片系统也可为电路组成的系统。图7所示的芯片系统700包括:逻辑电路710以及输入/输出接口(input/outputinterface)720,所述逻辑电路用于与输入接口耦合,通过所述输入/输出接口传输数据(例如第一指示信息),以执行图4所述的方法。
本申请实施例还提供了一种处理装置,包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。
应理解,上述处理装置可以是一个芯片。例如,该处理装置可以是现场可编程门阵列(field programmable gate array,FPGA),可以是专用集成芯片(applicationspecific integrated circuit,ASIC),还可以是系统芯片(system on chip,SoC),还可以是中央处理器(central processor unit,CPU),还可以是网络处理器(networkprocessor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logicdevice,PLD)或其他集成芯片。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所提供的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行图4所示实施例中的方法。
根据本申请实施例提供的方法,本申请还提供一种计算机可读介质,该计算机可读介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行图4所示实施例中的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的部分或全部步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (26)
1.一种用于随机接入过程中数据处理的方法,其特征在于,包括:
终端设备向接入网设备发送第一消息,所述第一消息包括所述终端设备的第一公钥,所述第一公钥用于所述接入网设备加密向所述终端设备发送的随机接入过程中的第二消息;
所述终端设备接收所述接入网设备发送的所述第二消息;
所述终端设备使用第一私钥解密所述第二消息;
其中,所述第一公钥和所述第一私钥为所述终端设备的第一公私钥对中的公钥和私钥,所述第一私钥保存在所述终端设备中。
2.根据权利要求1所述的方法,其特征在于,所述第一消息还包括所述终端设备随机接入过程中的第三信息以及第一指示信息,所述第一指示信息用于指示所述第三信息包括加密信息,在所述终端设备向接入网设备发送第一消息之前,所述方法还包括:
所述终端设备使用第二公钥对所述第三信息中的部分或全部信息加密,所述第二公钥由所述接入网设备的标识和全局公钥生成;
其中,所述接入网设备的标识来自所述接入网设备发送的广播消息,所述全局公钥为第三方私钥生成器确定的第二公私钥对中的公钥,所述第二公私钥对中还包括第二私钥,所述第二私钥保存在所述接入网设备中用于解密所述第三信息中的加密信息。
3.根据权利要求1所述的方法,其特征在于,所述第一消息还包括所述终端设备随机接入过程中的第三信息以及第二指示信息,所述第二指示信息用于指示所述第三信息为明文信息。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一公私钥对预置在所述终端设备的通用用户身份模块USIM中,或者,所述第一公私钥对由所述终端设备生成。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备向所述接入网设备发送第三消息,所述第三消息为所述终端设备安全认证完成前所述终端设备发送的任一消息,所述第三消息由所述终端设备的标识信息和所述第一私钥生成的加密密钥加密;
所述终端设备接收所述接入网设备发送第四消息,所述第四消息为所述终端设备安全认证完成前所述接入网设备发送的任一消息,所述第四消息由所述终端设备的标识信息和所述第一公钥生成的加密密钥加密;
所述终端设备根据所述第一私钥解密所述第四消息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,在所述终端设备向接入网设备发送第一消息之前,所述方法还包括:
所述终端设备接收核心网设备发送的第三指示信息,所述第三指示信息用于指示所述终端设备的业务的安全性级别,所述安全性级别包括高安全性级别;
所述终端设备发起所述高安全性级别的业务触发所述随机接入过程。
7.一种用于随机接入过程中数据处理的方法,其特征在于,包括:
接入网设备接收来自终端设备的第一消息,所述第一消息包括所述终端设备的第一公钥;
所述接入网设备向所述终端设备发送所述终端设备随机接入过程中的第二消息,所述第二消息由所述第一公钥加密;
其中,所述第一公钥为所述终端设备的第一公私钥对中的公钥,所述第一公私钥对中还包括第一私钥,所述第一私钥保存在所述终端设备中用于解密所述第二消息。
8.根据权利要求7所述的方法,其特征在于,所述第一消息还包括所述终端设备随机接入过程中的第三信息以及第一指示信息,所述第一指示信息用于指示所述第三信息中包括加密信息,在接入网设备接收来自终端设备的第一消息之后,所述方法还包括:
所述接入网设备根据所述第一指示信息确定所述第三信息包括加密信息;
所述接入网设备使用第二私钥解密所述第三信息中的加密信息,所述第二私钥为第三方私钥生成器确定的第二公私钥对中的私钥,所述第二公私钥对中还包括第二公钥,所述第二公钥预置在所述终端设备中,所述第二公钥用于所述终端设备加密所述Msg3中的部分或全部信息。
9.根据权利要求7所述的方法,其特征在于,所述第一消息还包括所述终端设备随机接入过程中的第三信息以及第二指示信息,所述第二指示信息用于指示所述第三信息为明文信息。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述第一公私钥对预置在所述终端设备的通用用户身份模块USIM中,或者,所述第一公私钥对由所述终端设备生成。
11.根据权利要求7至10中任一项所述的方法,其特征在于,所述方法还包括:
所述接入网设备接收所述终端设备发送的第三消息,所述第三消息为所述终端设备安全认证完成前所述终端设备发送的任一消息,所述第三消息由所述终端设备的标识信息和所述第一私钥生成的加密密钥加密;
所述接入网设备根据所述第一公钥解密所述第三消息;
所述接入网设备向所述终端设备发送第四消息,所述第四消息为所述终端设备安全认证完成前所述接入网设备发送的任一消息,所述第四消息由所述终端设备的标识信息和所述第一公钥生成的加密密钥加密。
12.一种用于随机接入过程中数据处理的装置,其特征在于,包括:
收发单元,用于向接入网设备发送第一消息,所述第一消息包括所述装置的第一公钥,所述第一公钥用于所述接入网设备加密向所述装置发送的随机接入过程中的第二消息;
所述收发单元还用于接收所述接入网设备发送的所述第二消息;
处理单元,用于使用第一私钥解密所述第二消息;
其中,所述第一公钥和所述第一私钥为所述装置的第一公私钥对中的公钥和私钥,所述第一私钥保存在所述装置中。
13.根据权利要求12所述的装置,其特征在于,所述第一消息还包括所述装置随机接入过程中的第三信息以及第一指示信息,所述第一指示信息用于指示所述第三信息包括加密信息,所述处理单元还用于:
使用第二公钥对所述第三信息中的部分或全部信息加密,所述第二公钥由所述接入网设备的标识和全局公钥生成;
其中,所述接入网设备的标识来自所述接入网设备发送的广播消息,所述全局公钥为第三方私钥生成器确定的第二公私钥对中的公钥,所述第二公私钥对中还包括第二私钥,所述第二私钥保存在所述接入网设备中用于解密所述第三信息中的加密信息。
14.根据权利要求12所述的装置,其特征在于,所述第一消息还包括所述装置随机接入过程中的第三信息以及第二指示信息,所述第二指示信息用于指示所述第三信息为明文信息。
15.根据权利要求12至14中任一项所述的装置,其特征在于,所述第一公私钥对预置在所述装置的通用用户身份模块USIM中,或者,所述第一公私钥对由所述处理单元生成。
16.根据权利要求12至15中任一项所述的装置,其特征在于,
所述收发单元还用于向所述接入网设备发送第三消息,所述第三消息为所述装置安全认证完成前所述装置发送的任一消息,所述第三消息由所述装置的标识信息和所述第一私钥生成的加密密钥加密;
所述收发单元还用于接收所述接入网设备发送第四消息,所述第四消息为所述装置安全认证完成前所述接入网设备发送的任一消息,所述第四消息由所述装置的标识信息和所述第一公钥生成的加密密钥加密;
所述处理单元还用于根据所述第一私钥解密所述第四消息。
17.根据权利要求12至16中任一项所述装置,其特征在于,所述收发单元还用于:
接收核心网设备发送的第三指示信息,所述第三指示信息用于指示所述装置的业务的安全性级别,所述安全性级别包括高安全性级别;
所述装置发起所述高安全性级别的业务触发所述随机接入过程。
18.一种用于随机接入过程中数据处理的装置,其特征在于,包括:
收发单元,用于接收来自终端设备的第一消息,所述第一消息包括所述终端设备的第一公钥;
所述收发单元还用于向所述终端设备发送所述终端设备随机接入过程中的第二消息,所述第二消息由所述第一公钥加密;
其中,所述第一公钥为所述终端设备的第一公私钥对中的公钥,所述第一公私钥对中还包括第一私钥,所述第一私钥保存在所述终端设备中用于解密所述第二消息。
19.根据权利要求18所述的装置,其特征在于,所述第一消息还包括所述终端设备随机接入过程中的第三信息以及第一指示信息,所述第一指示信息用于指示所述第三信息中包括加密信息,所述收发单元还包括:
处理单元,所述处理单元用于根据所述第一指示信息确定所述第三信息中包括加密信息;
所述处理单元还用于使用第二私钥解密所述第三信息,所述第二私钥为第三方私钥生成器确定的第二公私钥对中的私钥,所述第二公私钥对中还包括第二公钥,所述第二公钥预置在所述终端设备中,所述第二公钥用于所述终端设备加密所述第三信息部分或全部信息。
20.根据权利要求18所述的装置,其特征在于,所述第一消息还包括所述终端设备随机接入过程中的第三信息以及第二指示信息,所述第二指示信息用于指示所述第三信息为明文信息。
21.根据权利要求18至20中任一项所述的装置,其特征在于,所述第一公私钥对预置在所述终端设备的通用用户身份模块USIM中,或者,所述第一公私钥对由所述终端设备生成。
22.根据权利要求18至21中任一项所述的装置,其特征在于,
所述收发单元还用于接收所述终端设备发送的第三消息,所述第三消息为所述终端设备安全认证完成前所述终端设备发送的任一消息,所述第三消息由所述终端设备的标识信息和所述第一私钥生成的加密密钥加密;
所述处理单元还用于根据所述第一公钥解密所述第三消息;
所述收发单元还用于向所述终端设备发送第四消息,所述第四消息为所述终端设备安全认证完成前所述装置发送的任一消息,所述第四消息由所述终端设备的标识信息和所述第一公钥生成的加密密钥加密。
23.一种通信装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,所述处理器与所述存储器耦合,所述处理器用于执行所述存储器中存储的计算机程序,以使得所述通信装置执行如权利要求1至6中任一项所述的方法,或者,执行如权利要求7至11中任一项所述的方法。
24.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,当所述计算机程序被通信装置运行时,使得所述装置执行如权利要求1至6中任一项所述的方法,或者,执行如权利要求7至11中任一项所述的方法。
25.一种芯片系统,其特征在于,包括:
处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片系统的通信装置执行如权利要求1至6中任一项所述的方法,或者,执行如权利要求7至11中任一项所述的方法。
26.一种包含指令的计算机程序产品,其特征在于,
当其在计算机上运行时,使得所述计算机执行如权利要求1至6中任一项所述的方法,或者,执行如权利要求7至11中任一项所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210090208.1A CN116546489A (zh) | 2022-01-25 | 2022-01-25 | 用于随机接入过程中数据处理的方法和装置 |
| EP23745905.2A EP4447511A1 (en) | 2022-01-25 | 2023-01-09 | Method and apparatus for data processing in random access process |
| PCT/CN2023/071372 WO2023143022A1 (zh) | 2022-01-25 | 2023-01-09 | 用于随机接入过程中数据处理的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210090208.1A CN116546489A (zh) | 2022-01-25 | 2022-01-25 | 用于随机接入过程中数据处理的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116546489A true CN116546489A (zh) | 2023-08-04 |
Family
ID=87456543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210090208.1A Pending CN116546489A (zh) | 2022-01-25 | 2022-01-25 | 用于随机接入过程中数据处理的方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4447511A1 (zh) |
| CN (1) | CN116546489A (zh) |
| WO (1) | WO2023143022A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106792608B (zh) * | 2016-09-29 | 2018-11-16 | 展讯通信(上海)有限公司 | 小数据包传输方法、装置及终端 |
| US20200214070A1 (en) * | 2017-06-14 | 2020-07-02 | Samsung Electronics Co., Ltd | Method and user equipment (ue) for reconnecting rrc connection with radio access network (ran) node |
| EP3811649A4 (en) * | 2018-06-22 | 2022-01-19 | Apple Inc. | ENHANCED SECURITY FOR ACCESS STRATUM TRANSMISSION |
-
2022
- 2022-01-25 CN CN202210090208.1A patent/CN116546489A/zh active Pending
-
2023
- 2023-01-09 EP EP23745905.2A patent/EP4447511A1/en active Pending
- 2023-01-09 WO PCT/CN2023/071372 patent/WO2023143022A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP4447511A1 (en) | 2024-10-16 |
| WO2023143022A1 (zh) | 2023-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3738332B1 (en) | Cellular unicast link establishment for vehicle-to-vehicle (v2v) communication | |
| KR102147446B1 (ko) | 고속 초기 링크 셋업 동안의 인증을 위한 시스템들, 방법들, 및 장치 | |
| US10986175B2 (en) | Key establishment for communications within a group | |
| CN112889056B (zh) | 系统信息保护中的基于标识的签名 | |
| CN115413413A (zh) | 用于安全链路建立的中继侧行链路通信 | |
| EP3516819B1 (en) | Next generation key set identifier | |
| US9491621B2 (en) | Systems and methods for fast initial link setup security optimizations for PSK and SAE security modes | |
| CN114556990B (zh) | 在核心网络中的网络功能处的系统信息保护 | |
| CN112335272A (zh) | 用于接入层传输的增强的安全性 | |
| WO2022253298A1 (zh) | 传输系统消息的方法和装置 | |
| CN114930769B (zh) | 本地通信的方法、装置和系统 | |
| WO2023143022A1 (zh) | 用于随机接入过程中数据处理的方法和装置 | |
| CN115942305A (zh) | 一种会话建立方法和相关装置 | |
| US20240313845A1 (en) | Communication method and apparatus | |
| WO2024086995A1 (zh) | 广播消息保护方法及相关装置 | |
| WO2023155721A1 (zh) | 检测伪基站的方法和装置 | |
| WO2023078107A1 (zh) | 一种通信方法和通信装置 | |
| US20240276220A1 (en) | Wireless Device and Network Node for Verification of a Device Category as Well as Corresponding Methods in a Wireless Communication System | |
| CN118714521A (zh) | 消息处理的方法和装置 | |
| CN118402262A (zh) | 中继通信的方法及设备 | |
| CN117062055A (zh) | 安全保护方法及通信装置 | |
| CN116709332A (zh) | 小区切换的方法和装置 | |
| WO2017102249A1 (en) | Authentication in wireless system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |