WO2017197596A1

WO2017197596A1 - 通信方法、网络侧设备和用户设备

Info

Publication number: WO2017197596A1
Application number: PCT/CN2016/082480
Authority: WO
Inventors: 李岩; 朱方园; 应江威
Original assignee: 华为技术有限公司
Priority date: 2016-05-18
Filing date: 2016-05-18
Publication date: 2017-11-23
Also published as: US20190090132A1; CN109155915A; EP3451723A1; EP3451723A4

Abstract

本发明提供一种通信方法、网络侧设备和用户设备。该通信方法包括：网络侧设备接收用户设备发送的证书请求消息，证书请求消息携带用户设备与网络侧设备所属的无线通信网络共享的密钥的信息或CA为用户设备生成的第一证书的信息；网络侧设备根据密钥的信息或第一证书的信息验证用户设备的合法性；当网络侧设备根据密钥的信息或第一证书的信息验证用户设备合法时，网络侧设备为用户设备生成第二证书；网络侧设备向用户设备发送证书响应消息，证书响应消息携带第二证书的信息。本发明的通信方法、网络侧设备和用户设备可以减小无线通信网络的运行负担。

Description

通信方法、网络侧设备和用户设备

技术领域

本发明涉及通信领域，尤其涉及通信方法、网络侧设备和用户设备。

背景技术

目前的演进分组系统(Evolved Packet System，EPS)网络中，用户设备(User Equipment，UE)与网络建立无线资源控制(Radio Resource Control，RRC)连接后，向演进型基站(Evolved Node Base，eNodeB)发送加密的上行数据；eNodeB再向移动性管理网元(Mobility Management Entity，MME)发送该上行数据。MME接收到UE通过eNodeB发送的上行数据后，根据本地存储的与UE协商好的加密算法规则，从上述上行数据中解密出加密前的报文；然后MME根据服务网关(Serving Gateway，SGW)的地址和上行数据的隧道端点标识(Tunnel Endpoint Identifier，TEID将上行数据报文发往SGW，再由SGW发送至分组数据网关(Packet Data Network Gateway，PGW)。

如果UE在上行数据中指示，网络需要返回下行数据，则PGW通过SGW将下行数据返回到MME。

MME收到下行数据后，根据本地存储的与UE协商好的加密算法规则，对下行数据进行加密数据，并将加密后的下行数据发送给eNodeB。eNodeB再将加密的下行数据通过RRC消息发送给UE。UE对接收到的下行数据进行解密，从而得到加密前的下行数据。

上述数据的传输方法中，MME(核心网)需要保存UE的移动性管理(Mobility Management，MM)上下文和会话管理(Session Management，SM)上下文等上下文。

而随着通信技术的发展，机器与机器(Machine to Machine，M2M)间通信的需求越来越大。未来的运营商业务不再局限于语音和数据流量，而会增加M2M业务。

M2M业务所涉及的UE多数情况下位置固定且业务通信频率低，如蜂窝物联网(Cellular Internet of Thing，CIOT)中的智能环境监测、智能抄表、物体追踪等场景下，UE上报报文间隔很长，甚至报文可能是单向的(即只需要UE上报报文，而核心网不需要下发报文)。此时，如果还需要核心网来维护这样的UE的上下文，就会带来存储负担。也就是说，核心网可以不需要对这些UE进行移动性管理和会话管理，即核心网可以不用存储和维护这些UE的MM上下文和SM上下文，以减轻核心网的运营负担。

而如果核心网不存储和维护这些UE的MM上下文和SM上下文，那么怎么实现这些UE的报文的传输呢？

发明内容

本发明提供一种通信方法、网络侧设备和用户设备，实现用户设备与网络侧设备间的通信的同时，可以减小无线通信网络的运行负担。

第一方面，本发明提供了一种通信方法，所述通信方法包括：网络侧设备接收用户设备发送的证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心(CertificateAuthority，CA)为所述用户设备生成的第一证书的信息；所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性；当所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，所述网络侧设备为所述用户设备生成第二证书；所述网络侧设备向所述用户设备发送证书响应消息，所述证书响应消息携带所述第二证书的信息。

本发明实施例中，无线通信网络根据共享的密钥的信息或CA为所述用户设备生成的第一证书验证用户设备的合法性，为合法的用户设备生成证书，用户设备可以使用该证书与无线通信网络通信，即无线通信网络中不需要保存和维护用户设备的MM上下文和SM上下文就可以根据该证书来实现用户设备与无线通信网络间的通信。因此本发明实施例的通信方法，可以在减轻无线通信网络的存储和管理负担的同时，实现用户设备的无状态数据传输。

在一种可能的实现方式中，所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性，包括：所述网络侧设备从归属用户服务器获取所述用户设备的签约数据；所述网络侧设备根据所述密钥的信息或所述第一证书的信息，以及所述签约数据验证所述用户设备的合法性。

本发明实施中，无线通信网络不仅根据共享的密钥的信息或CA为所述用户设备生成的第二证书验证用户设备的合法性，还要根据用户设备的签约数据来验证用户设备的合法性，从而提高通信的安全性。

在一种可能的实现方式中，所述网络侧设备为所述用户设备生成所述第二证书，包括：所述网络侧设备向认证中心CA发送证书申请消息，所述证书申请用于请求所述CA为所述用户设备生成所述第二证书；所述网络侧设备接收所述CA发送的证书答复消息，所述证书答复消息携带所述第二证书的信息。

本发明实施例中，无线通信网络接收到用户设备的证书申请后，可以代理该用户设备向该无线通信网络域中或域外的CA申请为该用户设备生成证书。当然，也可以由无线通信网络中的设备直接为用户设备生成证书。

在一种可能的实现方式中，所述通信方法还包括：所述网络侧设备接收所述用户设备发送的上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文；所述网络侧设备根据所述第二证书验证所述用户设备的合法性；当所述网络侧设备根据所述第二证书验证所述用户设备合法时，所述网络侧设备解密所述第一报文。

本发明实施例中，无线通信网络从用户设备处获取加密报文以及无线通信网络为用户设备生成的证书，并在根据该证书验证用户设备合法时，使用该证书对加密报文进行解密，从而可以使得无线通信网络可以不用预先存储用于无线通信网络与用户设备安全通信的内容，即减轻了无线通信网络的运行负担。

在一种可能的实现方式中，所述证书响应消息还携带所述无线通信网络的证书。

在一种可能的实现方式中，所述通信方法还包括：向所述用户设备发送下行报文，所述下行报文包括使用所述第二证书加密的第二报文。

本发明实施例中，无线通信网络根据从用户设备处获取的证书对下行报文进行加密，进一步使得无线通信网络可以不用预先存储用于无线通信网络与用户设备安全通信的内容，即减轻了无线通信网络的运行负担。

在一种可能的实现方式中，所述网络侧设备包括所述无线通信网络中的控制面设备。

在一种可能的实现方式中，所述网络侧设备包括所述无线通信网络中的转发面设备或基站；其中，所述通信方法还包括：所述转发面设备或基站从所述无线通信网络的控制面设备获取所述无线通信网络的私钥信息；所述网络侧设备解密所述第一报文，包括：所述网络侧设备使用所述私钥信息解密所述第一报文。

第二方面，本发明提供了一种通信方法，用户设备向网络侧设备发送证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息；所述用户设备接收所述网络侧设备发送的证书响应消息，所述证书响应消息携带所述网络侧设备为所述用户设备生成的第二证书的信息，所述第二证书为所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成的证书。

本发明实施例中，用户设备向无线通信网络申请证书，该证书可用于实现用户设备与该无线通信网络间的通信，即后续用户设备与该无线通信网络通信过程中携带该证书，以便于无线通信网络中的网络侧设备可以根据该证书验证用户设备的合法性和/或解密报文，使得无线通信网络中的网络侧设备可以不用保存和维护UE的MM上下文和SM上下文，从而可以在减轻网络侧设备的存储和管理负担的同时，实现用户设备的无状态数据通信。

在一种可能的实现方式中，所述通信方法还包括：所述用户设备向网络侧设备发送上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文，所述第二证书用于网络侧设备验证所述用户设备的合法性。

本发明实施例中，用户设备根据无线通信网络的证书加密报文，可以提高报文的安全性，且用户设备在包发送加密报文时还发送无线通信网络为其生成的证书，以使得无线通信系统可以在根据用户设备的证书验证用户设备合法时，才会解密报文，从而也保证了通信的安全性。

在一种可能的实现方式中，所述无线通信网络的证书是所述用户设备上预先配置的，或者所述无线通信网络的证书是所述用户设备从所述证书响应消息中获取的。

用户设备上可能已经预先配置了无线通信网络的证书或者已经从证书响应消息中获取到了无线通信网络的证书，并可以使用该证书验证无线通信网络的合法性。

在一种可能的实现方式中，所述通信方法还包括：所述用户设备接收所述无线通信网络发送的下行报文，所述下行报文包括所述无线通信网络使用所述第二证书加密后的第二报文；所述用户设备根据所述无线通信网络的证书验证所述无线通信网络的合法性；当所述用户设备根据所述无线通信网络的证书验证所述无线通信网络合法时，所述用户设备解密所述第二报文。

本发明实施例中，用户设备接收的报文是无线通信网络根据从用户设备处获取的用户设备的证书加密的报文，因此无线通信网络中不需要长时间存储、维护用于与用户设备安全通信的内容，即可以减轻无线通信网络的负担。而且用户设备在接收到报文后，根据无线通信网络的证书验证其合法性，可以使得用户设备只解密合法无线通信网络发送的报文，从而也提高了通信的安全性。

本发明实施例中，虽然用户设备上可能已经预先配置了无线通信网络的证书或者已经从之间的通信过程中获取到了无线通信网络的证书，并可以使用该证书验证无线通信网络的合法性，

第三方面，本发明提供了一种网络侧设备，所述网络侧设备包括用于执行第一方面的通信方法的模块。

第四方面，本发明提供了一种用户设备，所述用户设备包括用于执行第二方面的通信方法的模块。

第五方面，本发明提供了一种网络侧设备，所述网络侧设备包括存储器、处理器和收发器。所述存储器用于存储程序，所述处理器用于执行程序，所述收发器用于与其他设备通信。当所述程序被执行时，所述处理器调用所述收发器执行第一方面的方法。

第六方面，本发明提供了一种用户设备，所述用户设备包括存储器、处理器和收发器，所述存储器用于存储程序，所述处理器用于执行程序，所述收发器用于与其他设备进行通信。当所述程序被执行时，所述处理器调用所述收发器执行第二方面的方法。

第七方面，本发明提供了一种无线通信系统，包括如第三方面所述的网络侧设备，以及如第四方面所述的用户设备。

第八方面，本发明提供一种计算机可读介质，所述计算机可读介质存储用于网络侧设备执行的程序代码，所述程序代码包括用于执行第一方面中的方法的指令。

第九方面，本发明提供一种计算机可读介质，所述计算机可读介质存储用于用户设备执行的程序代码，所述程序代码包括用于执行第二方面中的方法的指令。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的无线通信网络的示意性架构图。

图2是本发明实施例的无线通信网络的示意性架构图。

图3是本发明实施例的通信方法的示意性流程图。

图4是本发明实施例的通信方法的示意性流程图。

图5是本发明实施例的通信方法的示意性流程图。

图6是本发明实施例的网络侧设备的示意性结构图。

图7是本发明实施例的用户设备的示意性结构图。

图8是本发明实施例的网络侧设备的示意性结构图。

图9是本发明实施例的用户设备的示意性结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了便于理解，先根据图1和图2从整体上描述能够实施本发明实施例的通信方法的无线通信网络的示例图。应理解，本发明实施例并不限于图1或图2所示的系统架构中，此外，图1或图2中的装置可以是硬件，也可以是从功能上划分的软件或者以上二者的结构。

图1所示的无线通信网络包括基站、移动性管理实体(Mobility Management Entity，MME)、服务网关(Serving Gateway，SGW)和分组数据网关(Packet Data Network Gateway，PGW)。图1所述的无线通信网络可以是传统的演进型分组核心(Evolved Packet Core，EPC)网络。

本发明实施例中，基站可以是全球移动通信(Global System for Mobile communication，GSM)系统或码分多址(Code Division Multiple Access，CDMA)系统中的基站(Base Transceiver Station，BTS)，也可以是宽带码分多址(Wideband Code Division Multiple Access，WCDMA)系统中的基站(NodeB)，还可以是LTE系统中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者是未来5G网络中的基站设备、小基站设备等，本发明对此并不限定。

MME是无线通信网络的控制面设备，能够根据用户的移动性或者连接状态，决定针对一个事件，该对用户采取何种动作，主要功能包括接入控制、移动性管理、会话管理、网元选择、存储用户承载信息等等。MME支持的移动性管理包括附着、去附着、跟踪区更新、切换、清除用户等等。MME负责用户的移动性管理，还包括用户上下文和移动状态管理，分配用户临时身份标识，认证和授权用户等。

SGW是无线通信网络的转发面设备，通过与基站以及PGW之间的传输隧道实现UE报文转发。SGW负责承载的建立、修改和释放，服务质量(Quality of Service，QoS)控制，支持承载的主要QoS参数，包括服务质量分类标识(QoS Class Identifier，QCI)、地址解析协议(Address Resolution Protocol，ARP)、保证比特速率(Guaranteed Bit Rate，GBR)。SGW还负责信息存储，保存演进分组系统(Evolved Packet System，EPS)承载上下文信息，包括隧道标识、用户标识等。

PGW也是转发面设备，其与外部分组数据网络(Packet Data Network，PDN)的接口，可与SGW合设。PGW负责互联网协议(Internet Protocol，IP)地址分配，承载建立、修改和释放，策略与计费规则功能单元(Policy and Charging Rules Function，PCRF)选择，QoS控制，策略与计费执行功能，保存EPS承载上下文信息，包括隧道标识，用户标识等。

图2所示的无线通信网络包括基站、控制面网关(Gateway-Control，GW-C)和用户面网关(Gateway-User，GW-U)。图2所示的无线通信网络也可称为控制和转发分离的通信网络。

控制面网关集成了MME和网关控制面等功能，除了负责用户的移动性管理，还具有IP地址分配，选择网关用户面设备，承载管理，生成网关用户面转发规则等功能。控制面网关也可以成为控制面设备。

用户面网关具有用户报文转发，封装，统计等功能。用户面网关也可以称为转发面设备或用户面设备。

图1或图2所示的无线通信网络可以是CIOT，在该CIOT中，可以实现智能环境监测、智能抄表、物体追踪、智能城市、智能农场或智能家庭等应用。

图3是本发明一个实施例的通信方法的示意性流程图。应理解，图3示出了通信方法的步骤或操作，但这些步骤或操作仅是示例，本发明实施例还可以执行其他操作或者图3中的各个操作的变形。此外，图3中的各个步骤可以按照与图3呈现的不同的顺序来执行，并且有可能并非要执行图3中的全部操作。

S310，用户设备向无线通信网络中的基站发送证书请求消息，无线通信网络中的基站接收用户设备发送的证书请求消息，该证书请求消息用于请求所述无线通信网络为所述用户设备生成证书。

S320，基站向无线通信网络中的控制面设备发送从用户设备处接收的证书请求消息，控制面设备接收基站发送的用户设备的证书请求消息。

S330，控制面设备根据所述证书请求消息为用户设备生成第二证书。

S340，控制面设备向基站发送证书响应消息，基站接收控制面设备发送的证书响应消息，所述证书响应消息携带所述第二证书的信息，所述第二证书用于所述无线通信网络与所述用户设备间的安全通信。控制面设备向基站发送的证书响应消息中还可以携带无线通信网络的证书。

S350，基站向用户设备发送证书响应消息，用户设备接收基站发送的证书响应消息。

本发明实施例中，无线通信网络中的控制面设备根据用户设备的请求，为用户设备生成证书，以使得用户设备可以使用该证书与无线通信网络进行通信，而无线通信网络中不需要预先存储用户设备的MM上下文和SM上下文等内容来实现用户设备与无线通信网络间的通信，从而在可以减轻无线通信网络的存储和管理负担的同时，也可以实现用户设备与无线通信网络间的通信。

S310中，证书请求消息可以携带用户设备与无线通信网络共享的密钥的信息或CA为用户设备生成的第一证书的信息。此时，相应地，控制面设备根据证书请求消息为用户设备生成第二证书，具体为：控制面设备根据所述密钥的信息或所述第一证书的信息验证用户设备的合法性；当控制面设备根据所述密钥的信息或所述第一证书的信息验证用户设备合法时，为用户设备生成所述第二证书。

无线通信网络根据共享的密钥的信息或CA为用户设备生成的第一证书验证用户设备的合法性，可以进一步保证无线通信网络只为合法的用户设备生成证书，从而提高通信的安全性。

控制面设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性的一种具体实施方式为：控制面设备从归属用户服务器(Home Subscriber Server，HSS)获取用户设备的签约数据；然后控制面设备再根据所述密钥的信息或所述第一证书的信息，以及所述签约数据验证用户设备的合法性。

无线通信网络除了根据共享的密钥的信息或CA为所述用户设备生成的第一证书验证用户设备的合法性，还要根据用户设备的签约数据来验证用户设备的合法性，可以进一步提高通信的安全性。

S310和S320中的证书请求消息可以是附着请求消息，S340和S350中的证书响应消息可以是附着接受消息。

此时，用户设备先生成包括公钥和私钥的秘钥对。证书请求消息可以携带用户设备的标识的信息和用户设备的公钥信息，用户设备的标识可以是国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)或移动用户国际综合业务数字网号码(Mobile Subscriber International Integrated Service Digital Network Number，MSISDN)。

S330中，控制面设备可以根据用户设备的标识信息从HSS获取用户设备的签约数据，并验证用户设备的合法性。当验证用户设备合法后，控制面设备为用户设备生成证书，该证书可以包括用户设备的标识信息、公钥以及控制面设备使用无线通信网络的私钥对用户设备的标识信息、公钥生成的的签名信息。

相应地，S340和S350中的证书响应消息中携带的用户设备的第二证书包括用户设备的标识信息、用户设备的公钥信息和无线通信网络的签名信息。

图4是本发明另一个实施例的通信方法的示意性流程图。应理解，图4示出了通信方法的步骤或操作，但这些步骤或操作仅是示例，本发明实施例还可以执行其他操作或者图4中的各个操作的变形。此外，图4中的各个步骤可以按照与图3呈现的不同的顺序来执行，并且有可能并非要执行图4中的全部操作。

图4中与图3中相同的附图标记表示相同的含义，为了简洁，此处不再赘述。图4所示的通信方法与图3所示的通信方法不同之处如下。

控制面设备在S320接收了基站发送的证书请求消息后，在S332，控制面设备代理用户设备向CA发送证书申请消息，CA接收控制面设备发送的证书申请消息。

S334，CA为用户设备生成第二证书。

S336，CA向控制面设备发送证书答复消息，所述证书答复消息携带CA为用户设备生成的第二证书。控制面设备接收CA发送的证书答复消息。

控制面设备从CA获取到用户设备的第二证书后，在S340向基站发送证书响应消息，该证书响应消息携带用户设备的第二证书。

本发明实施例中，控制面设备接收到用户设备的证书申请后，可以代理该用户设备向该无线通信网络中或外的CA申请为该用户设备生成证书，以充分利用CA的功能。

具体地，当控制面设备在S320从基站接收的证书请求消息中携带有用户设备与无线通信网络共享的密钥的信息或CA为用户设备生成的第二证书的信息时，图4所示的通信方法还可以包括：控制面设备根据证书请求消息中携带的共享密钥的信息或所述第二证书的信息验证用户设备的合法性。

当控制面设备根据所述密钥的信息或所述第二证书的信息验证用户设备合法时，才会在S332代理用户设备向CA发送证书申请消息。

若证书请求消息中携带用户设备的标识的信息和用户设备的公钥信息，用户设备的标识可以是IMSI或MSISDN，则控制面设备验证用户设备的合法性的具体实施方式可以为：控制面设备根据用户设备的标识信息从HSS获取用户设备的签约数据，并验证用户设备的合法性。

当控制面设备验证用户设备合法后，才代理用户设备向CA发送证书申请消息。此时，证书申请消息中可以携带用户设备的标识信息和用户设备的公钥信息。

相应地，在S334，CA根据用户设备的公钥和标识为用户设备生成第二证书，第二证书可以包括用户设备的标识信息、公钥信息以及使用CA的私钥根据用户设备的标识信息、用户设备的公钥生成的签名信息。

相应地，S340和S350中的证书响应消息中携带的用户设备的第二证书包括用户设备的标识信息、用户设备的公钥信息和CA的签名信息。

图4中的CA可以是无线通信网络域中的CA，也可以是无线通信网络域外的CA，本发明对此不作限制。

图3和图4介绍的通信方法主要介绍是网络侧设备如何根据用户设备的请求为用户设备生成证书，并将该证书发送给用户设备的通信过程。下面结合图5介绍用户设备获取到无线通信网络为其生成的证书后，如何使用该证书与无线通信网络安全通信的方法。

图5是本发明一个实施例的通信方法的示意性流程图。应理解，图5示出了通信方法的步骤或操作，但这些步骤或操作仅是示例，本发明实施例还可以执行其他操作或者图5中的各个操作的变形。此外，图5中的各个步骤可以按照与图5呈现的不同的顺序来执行，并且有可能并非要执行图5中的全部操作。

S510，用户设备使用无线通信网络的证书对报文加密。

S520，用户设备向控制面设备发送上行报文，该上行报文中包括使用无线通信网络的证书加密得到的第一报文和用户设备的第二证书。控制面设备接收用户设备发送的上行报文。

此处，用户设备可以通过基站向控制面设备发送上行报文，即控制面设备接收到的上行报文是用户设备通过基站发送的。

S530，控制面设备根据用户设备的第二证书验证用户设备的合法性。

S540，当控制面设备根据用户设备的第二证书验证用户设备合法时，控制面设备解密第一报文。控制面设备可以将解密第一报文得到的报文发送给服务器。

S550，当无线通信网络中有需要向用户设备发送的报文时，控制面设备使用用户设备的第二证书对报文加密，得到第二报文。被加密的报文可以是控制面网元从服务器处获取的。

S560，控制面设备向用户设备发送下行报文，所述下行报文中携带所述第二报文，用户设备接收控制面设备发送的下行报文。此处控制面设备可以通过基站向用户设备发送下行报文。

S570，用户设备使用无线通信网络的证书验证无线通信网络的合法性。

S580，当用户设备根据无线通信网络的证书验证无线通信网络合法时，用户设备解密第二报文。

本发明实施例中，控制面设备从用户设备处获取加密报文和用户设备的证书，然后在根据该证书验证用户设备合法时，使用该证书对加密报文进行解密；且控制面设备可以使用用户设备的证书对需要向用户设备发送的报文加密，从而可以使得无线通信网络可以不用预先存储用户设备的MM上下文或SM上下文等内容，而是根据根据用户设备的证书即可以实现用户设备与无线通信网络间的通信，同时减轻了无线通信网络的运行负担。

无线通信网络的现有附着流程中，根据UE的国际移动用户识别码(International Mobile SubscriberIdentification Number，IMSI)，也就是UE和网络的共享密钥来对UE进行鉴权。鉴权通过后，再创建无线通信网络与UE间的会话。这个过程中，无线通信网络会保存UE的上下文，包括安全上下文、移动管理上下文和会话管理上下文。

无线通信网络的现有的通信方法中，UE有两个状态：活动(active)状态和空闲(idle)状态。无论UE处于哪个状态，无线通信网络都需要维护UE上下文。

而使用本发明实施例的通信方法，无线通信网络不需要对UE进行会话管理和移动性管理，即无线通信网络不需要知道UE的状态，以及存储UE的任何状态上下文，无线通信网络只接收UE发送的报文或向UE发送报文即可，因此本发明实施例的通信方法也可以称为无状态传输。

无线通信网络的证书中包括无线通信网络的公钥，此时，S510中，用户设备具体可以使用无线通信网络的公钥加密报文，得到第一报文。

用户设备的第二证书包括用户设备的公钥和签名信息。如图3和图4中的通信方法所述，用户设备的第二证书可以是控制面设备生成的，也可以是CA生成的。若第二证书是控制面设备生成的，第二证书中的签名可以是控制面设备使用无线通信网络的私钥进行加密得到的签名；若第二证书是CA生成的，第二证书中的签名可以是CA使用CA的私钥进行加密得到的签名。

相应地，S530中，控制面设备根据用户设备的第二证书验证用户设备的合法性的一种具体实施方法为：若第二证书是控制面设备生成的，则控制面设备使用无线通信网络的公钥来验证第二证书中的签名信息的合法性，即验证用户设备的合法性；若第二证书是CA生成的，则控制面设备使用CA的公钥来验证第二证书中的签名信息的合法性，即验证用户设备的合法性。

相应地，在S540，控制面设备根据用户设备的第二证书验证用户设备合法后，控制面设备使用无线通信网络的私钥解密第一报文。

相应地，在S550，当无线通信网络中有需要向用户设备发送的报文时，控制面设备使用第二证书中的公钥对报文加密，得到第二报文。

相应地，在S570，用户设备使用无线通信网络的证书中的公钥验证无线通信网络的合法性。

相应地，S580，当用户设备根据无线通信网络的证书验证无线通信网络合法时，用户设备用自己的私钥解密第二报文。

图5所示的通信方法中，执行主体为控制面设备，即由控制面设备来验证用户设备的合法性、解密或加密报文。但无线通信网络中，还可以由其他设备来实现如图5所示的通信方法，如基站或转发面设备。

当由基站或转发面设备解密报文时，基站或转发面设备可以从控制面设备获取无线通信网络的私钥。

可选地，图3至图5所示的通信方法中的无线通信网络可以是用户设备的归属地网络，也可以是用户设备的拜访地网络。

若用户设备发生移动，从归属地网络漫游到拜访地网络，则用户设备可以重新向拜访地网络发送证书请求消息，实现图3或图4中的通信方法，使得用户设备可以从拜访地网络获取拜访地网络为其生成的证书。

当用户设备从拜访地网络获取拜访地网络为其生成的证书后，可以与拜访地网络实现图5所示的通信方法。其中，拜访地网络中的网络侧设备解密用户设备发送的报文后，将解密所得的报文转发至用户设备的归属地网络；拜访地网络中的网络侧设备从用户设备的归属地网络获取需要向用户设备发送的报文，并根据用户设备的证书加密该报文，然后将加密后的报文发送给用户设备。

由此可以看出，用户设备发生漫游后，拜访地网络也不要维护和存储用户设备的相关上下文。用户设备只需要从拜访地网络获取拜访地网络为其生成的证书，即可以根据该证书实现与拜访地网络的安全性通信。

下面结合图6至图9介绍实现本发明实施例的通信方法的网络侧设备和用户设备。

图6是本发明实施例的网络侧设备的示意性结构图。应理解，图6所示的网络侧设备600仅仅是一种示例性说明，其还可以包括更多或更少的组成部分。图6中的网络侧设备能够实现图3、图4和图5中由控制面设备执行的步骤。图6所示的网络侧设备600包括接收模块610、验证模块620、生成模块630和发送模块640。

接收模块610，用于接收用户设备发送的证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息。

验证模块620，用于根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性；

生成模块630，用于在所述验证模块根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成第二证书。

发送模块640，用于向所述用户设备发送证书响应消息，所述证书响应消息携带所述第二证书的信息。

本发明实施例中，无线通信网络的网络侧设备根据共享的密钥的信息或CA为所述用户设备生成的第二证书验证用户设备的合法性，为合法的用户设备生成证书，用户设备可以根据该证书与无线通信网络通信，因此无线通信网络中不需要存储用户设备的MM上下文和SM上下文。本发明实施例的通信方法可以在减轻无线通信网络的存储和管理负担的同时，实现用户设备的无状态数据传输。

可选地，作为一个实施例，所述验证模块具体用于：从归属用户服务器获取所述用户设备的签约数据；根据所述密钥的信息或所述第一证书的信息，以及所述签约数据验证所述用户设备的合法性。

本发明实施中，网络侧设备不仅根据共享的密钥的信息或CA为所述用户设备生成的第二证书验证用户设备的合法性，还要根据用户设备的签约数据来验证用户设备的合法性，从而提高通信的安全性。

可选地，作为一个实施例，所述生成模块具体用于：向认证中心CA发送证书申请消息，所述证书申请用于请求所述CA为所述用户设备生成所述第二证书；接收所述CA发送的证书答复消息，所述证书答复消息携带所述第二证书的信息。

本发明实施例中，网络侧设备接收到用户设备的证书申请后，可以代理该用户设备向该无线通信网络域中或域外的CA申请为该用户设备生成证书。当然，也可以由网络侧设备直接为用户设备生成证书。

可选地，作为一个实施例，所述接收模块还用于接收所述用户设备发送的上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文；其中，所述网络侧设备还包括验证模块和解密模块；所述验证模块用于根据所述第二证书验证所述用户设备的合法性；

所述解密模块用于在所述验证模块根据所述第二证书验证所述用户设备合法时，解密所述第一报文。

本发明实施例中，网络侧设备从用户设备处获取加密报文以及无线通信网络为用户设备生成的证书，并在根据该证书验证用户设备合法时，使用该证书对加密报文进行解密，从而可以使得无线通信网络可以不用预先存储用于无线通信网络与用户设备安全通信的内容，即减轻了无线通信网络的运行负担。

可选地，作为一个实施例，所述证书响应消息还携带所述无线通信网络的证书。

可选地，作为一个实施例，所述发送模块还用于向所述用户设备发送下行报文，所述下行报文包括使用所述第二证书加密的第二报文。

本发明实施例中，网络侧设备根据从用户设备处获取的证书对下行报文进行加密，进一步使得无线通信网络可以不用预先存储用于无线通信网络与用户设备安全通信的内容，即减轻了无线通信网络的运行负担。

可选地，作为一个实施例，所述网络侧设备为所述无线通信网络中的控制面设备。

可选地，作为一个实施例，所述网络侧设备为所述无线通信网络中的转发面设备或基站；其中，所述网络侧设备还包括获取模块，用于从所述无线通信网络的控制面设备获取所述无线通信网络的私钥信息；所述解密模块具体用于使用所述私钥信息解密所述第一报文。

图7是本发明实施例的用户设备的示意性结构图。应理解，图7所示的用户设备700仅仅是一种示例性说明，其还可以包括更多或更少的组成部分。图7中的用户设备能够实现图3、图4和图5中由用户设备执行的步骤。图7所示的用户设备700包括发送模块710、接收模块720。

发送模块710，用于向网络侧设备发送证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息。

接收模块720，用于接收所述网络侧设备发送的证书响应消息，所述证书响应消息携带所述网络侧设备为所述用户设备生成的第二证书的信息，所述第二证书为所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成的证书。

本发明实施例中，用户设备通过向无线通信网络发送共享的密钥的信息或CA为所述用户设备生成的第二证书，从而使得无线通信网络可以根据密钥或上述第一证书验证用户设备的合法性，保证无线通信网络为合法的用户设备生成证书，然后后续用户设备与该无线通信网络通信过程中携带该证书，以便于无线通信网络中的网络侧设备可以根据该证书验证用户设备的合法性和/或解密报文，使得无线通信网络中的网络侧设备可以不用保存和维护UE的用于鉴权的上下文，从而可以在减轻网络侧设备的存储和管理负担的同时，实现无状态数据通信。

可选地，作为一个实施例，所述发送模块还用于：向网络侧设备发送上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文，所述第二证书用于网络侧设备验证所述用户设备的合法性。

可选地，作为一个实施例，所述接收模块还用于：接收网络侧设备发送的下行报文，所述下行报文包括网络侧设备使用所述第二证书加密后的第二报文；其中，所述用户设备还包括验证模块和解密模块；所述验证模块用于根据所述无线通信网络的证书验证所述无线通信网络的合法性；当所述验证模块根据所述无线通信网络的证书验证所述无线通信网络合法时，所述解密模块用于解密所述第二报文。

可选地，作为一个实施例，所述无线通信网络的证书是所述用户设备上预先配置的，或者所述无线通信网络的证书是所述用户设备从所述证书响应消息中获取的。

图8是本发明实施例的网络侧设备的示意性结构。图8中的网络侧设备能够实现图3至图5中由控制面设备执行的步骤。图8所示的网络侧设备800包括存储器810、处理器820和收发器830。

存储器810，用于存储程序。

处理器820，用于执行所述存储器810中的程序。

收发器830，用于在处理器的调度下接收用户设备发送的证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息。

处理器820具体用于根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性和在根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成第二证书。

收发器830还用于向所述用户设备发送证书响应消息，所述证书响应消息携带所述第二证书的信息。

可选地，作为一个实施例，所述处理器820具体用于：从归属用户服务器获取所述用户设备的签约数据；根据所述密钥的信息或所述第一证书的信息，以及所述签约数据验证所述用户设备的合法性。

本发明实施中，网络侧设备不仅根据共享的密钥的信息或CA为所述用户设备生成的第二证书验证用户设备的合法性，还要根据用户设备的签约数据来验证用户设备的合法性，进一步提高通信的安全性。

可选地，作为一个实施例，所述处理器820具体用于：向认证中心CA发送证书申请消息，所述证书申请用于请求所述CA为所述用户设备生成所述第二证书；接收所述CA发送的证书答复消息，所述证书答复消息携带所述第二证书的信息。

可选地，作为一个实施例，所述收发器830还用于接收所述用户设备发送的上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文。其中，所述处理器820还用于根据所述第二证书验证所述用户设备的合法性；当根据所述第二证书验证所述用户设备合法时，解密所述第一报文。

可选地，作为一个实施例，所述收发器830还用于向所述用户设备发送下行报文，所述下行报文包括使用所述第二证书加密的第二报文。

可选地，作为一个实施例，所述网络侧设备为所述无线通信网络中的转发面设备或基站。其中，所述处理器820还用于：从所述无线通信网络的控制面设备获取所述无线通信网络的私钥信息；使用所述私钥信息解密所述第一报文。

图9是本发明实施例的用户设备的示意性结构。图9中的用户设备能够实现图3至图5中由用户设备执行的步骤。图9所示的用户设备900包括存储器910、处理器920和收发器930。

存储器910，用于存储程序。

处理器920，用于执行所述存储器910中的程序。

收发器930用于在处理器920的调度下，向网络侧设备发送证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息。

收发器930还用于接收网络侧设备发送的证书响应消息，所述证书响应消息携带网络侧设备为所述用户设备生成的第一证书的信息，所述第一证书用于用户设备与所述无线通信网络间的安全通信。

可选地，作为一个实施例，所述证书请求消息携带所述用户设备与所述无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第二证书的信息，所述密钥的信息或所述第二证书的信息用于网络侧设备验证所述用户设备的合法性。其中，所述第一证书为网络侧设备根据所述密钥的信息或所述第二证书信息验证所述用户设备合法时，为所述用户设备生成的证书。

本发明实施例中，用户设备通过向无线通信网络发送共享的密钥的信息或CA为所述用户设备生成的第二证书，从而使得无线通信网络可以根据密钥或上述第二证书验证用户设备的合法性，进而保证无线通信网络只为合法的用户设备生成证书，最终提高通信的安全性。

可选地，作为一个实施例，所述收发器930还用于：向网络侧设备发送上行报文，所述上行报文包括所述第一证书和使用所述无线通信网络的证书加密的第一报文，所述第一证书用于网络侧设备验证所述用户设备的合法性。

可选地，作为一个实施例，所述收发器930还用于：接收网络侧设备发送的下行报文，所述下行报文包括网络侧设备使用所述第一证书加密后的第二报文。其中，所述处理器920还用于根据所述无线通信网络的证书验证所述无线通信网络的合法性；当根据所述无线通信网络的证书验证所述无线通信网络合法时，所述处理器920还用于解密所述第二报文。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，包括：

用户设备向网络侧设备发送证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息；

所述用户设备接收所述网络侧设备发送的证书响应消息，所述证书响应消息携带所述网络侧设备为所述用户设备生成的第二证书的信息，所述第二证书为所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成的证书。
如权利要求1所述的通信方法，其特征在于，所述通信方法还包括：

所述用户设备向网络侧设备发送上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文，所述第二证书用于网络侧设备验证所述用户设备的合法性。
如权利要求2所述的通信方法，其特征在于，所述通信方法还包括：

所述用户设备接收网络侧设备发送的下行报文，所述下行报文包括网络侧设备使用所述第二证书加密后的第二报文；

所述用户设备根据所述无线通信网络的证书验证所述无线通信网络的合法性；

当所述用户设备根据所述无线通信网络的证书验证所述无线通信网络合法时，所述用户设备解密所述第二报文。
如权利要求2或3所述的通信方法，其特征在于，所述无线通信网络的证书是所述用户设备上预先配置的，或者所述无线通信网络的证书是所述用户设备从所述证书响应消息中获取的。
一种通信方法，其特征在于，所述通信方法包括：

网络侧设备接收用户设备发送的证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息；

所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性；

当所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，所述网络侧设备为所述用户设备生成第二证书；

所述网络侧设备向所述用户设备发送证书响应消息，所述证书响应消息携带所述第二证书的信息。
如权利要求5所述的通信方法，其特征在于，所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性，包括：

所述网络侧设备从归属用户服务器获取所述用户设备的签约数据；

所述网络侧设备根据所述密钥的信息或所述第一证书的信息，以及所述签约数据验证所述用户设备的合法性。
如权利要求5或6所述的通信方法，其特征在于，所述网络侧设备为所述用户设备生成所述第二证书，包括：

所述网络侧设备向认证中心CA发送证书申请消息，所述证书申请用于请求所述CA为所述用户设备生成所述第二证书；

所述网络侧设备接收所述CA发送的证书答复消息，所述证书答复消息携带所述第二证书的信息。
如权利要求5至7中任一项所述的传输方法，其特征在于，所述通信方法还包括：

所述网络侧设备接收所述用户设备发送的上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文；

所述网络侧设备根据所述第二证书验证所述用户设备的合法性；

当所述网络侧设备根据所述第二证书验证所述用户设备合法时，所述网络侧设备解密所述第一报文。
如权利要求5至8中任一项所述的通信方法，其特征在于，所述证书响应消息还携带所述无线通信网络的证书。
如权利要求5至9中任一项所述的传输方法，其特征在于，所述通信方法还包括：

所述网络侧设备向所述用户设备发送下行报文，所述下行报文包括使用所述第二证书加密的第二报文。
如权利要求5至10中任一项所述的通信方法，其特征在于，所述网络侧设备包括所述无线通信网络中的控制面设备。
如权利要求5至10中所述的通信方法，其特征在于，所述网络侧设备包括所述无线通信网络中的转发面设备或基站；

其中，所述通信方法还包括：

所述转发面设备或基站从所述无线通信网络的控制面设备获取所述无线通信网络的私钥信息；

所述网络侧设备解密所述第一报文，包括：

所述网络侧设备使用所述私钥信息解密所述第一报文。
一种用户设备，其特征在于，包括：

发送模块，用于向网络侧设备发送证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息；

接收模块，用于接收所述网络侧设备发送的证书响应消息，所述证书响应消息携带所述网络侧设备为所述用户设备生成的第二证书的信息，所述第二证书为所述网络侧设备根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成的证书。
如权利要求13所述的用户设备，其特征在于，所述发送模块还用于：向网络侧设备发送上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文，所述第二证书用于网络侧设备验证所述用户设备的合法性。
如权利要求14所述的用户设备，其特征在于，所述接收模块还用于：接收网络侧设备发送的下行报文，所述下行报文包括网络侧设备使用所述第二证书加密后的第二报文；

其中，所述用户设备还包括验证模块和解密模块；

所述验证模块用于根据所述无线通信网络的证书验证所述无线通信网络的合法性；

当所述验证模块根据所述无线通信网络的证书验证所述无线通信网络合法时，所述解密模块用于解密所述第二报文。
如权利要求14或15所述的用户设备，其特征在于，所述无线通信网络的证书是所述用户设备上预先配置的，或者所述无线通信网络的证书是所述用户设备从所述证书响应消息中获取的。
一种无线通信网络的网络侧设备，其特征在于，包括：

接收模块，用于接收用户设备发送的证书请求消息，所述证书请求消息携带所述用户设备与所述网络侧设备所属的无线通信网络共享的密钥的信息或认证中心CA为所述用户设备生成的第一证书的信息；

验证模块，用于根据所述密钥的信息或所述第一证书的信息验证所述用户设备的合法性；

生成模块，用于在所述验证模块根据所述密钥的信息或所述第一证书的信息验证所述用户设备合法时，为所述用户设备生成第二证书；

发送模块，用于向所述用户设备发送证书响应消息，所述证书响应消息携带所述第二证书的信息。
如权利要求17所述的网络侧设备，其特征在于，所述验证模块具体用于：

从归属用户服务器获取所述用户设备的签约数据；

根据所述密钥的信息或所述第一证书的信息，以及所述签约数据验证所述用户设备的合法性。
如权利要求17或18所述的网络侧设备，其特征在于，所述生成模块具体用于：

向认证中心CA发送证书申请消息，所述证书申请用于请求所述CA为所述用户设备生成所述第二证书；

接收所述CA发送的证书答复消息，所述证书答复消息携带所述第二证书的信息。
如权利要求17至19中任一项所述的网络侧设备，其特征在于，所述接收模块还用于接收所述用户设备发送的上行报文，所述上行报文包括所述第二证书和使用所述无线通信网络的证书加密的第一报文；

其中，所述网络侧设备还包括验证模块和解密模块；

所述验证模块用于根据所述第二证书验证所述用户设备的合法性；

所述解密模块用于在所述验证模块根据所述第二证书验证所述用户设备合法时，解密所述第一报文。
如权利要求17至20中任一项所述的网络侧设备，其特征在于，所述证书响应消息还携带所述无线通信网络的证书。
如权利要求17至21中任一项所述的网络侧设备，其特征在于，所述发送模块还用于向所述用户设备发送下行报文，所述下行报文包括使用所述第二证书加密的第二报文。
如权利要求17至22中任一项所述的网络侧设备，其特征在于，所述网络侧设备为所述无线通信网络中的控制面设备。
如权利要求17至22中任一项所述的网络侧设备，其特征在于，所述网络侧设备为所述无线通信网络中的转发面设备或基站；

其中，所述网络侧设备还包括获取模块，用于从所述无线通信网络的控制面设备获取所述无线通信网络的私钥信息；

所述解密模块具体用于使用所述私钥信息解密所述第一报文。