WO2022262611A1 - 一种通信方法及装置 - Google Patents

Abstract

本申请提供一种通信方法及装置，其中方法包括：终端设备向接入网设备发送第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；接收来自所述接入网设备的响应消息。通过上面的方法，在建立无线资源控制连接的过程中，网络侧根据第一信息对终端设备的合法性进行认证，避免为非法终端设备建立无线资源控制连接，从而提高网络的安全性，降低非法终端设备的攻击风险。

Description

一种通信方法及装置

相关申请的交叉引用

本申请要求在2021年06月15日提交中国专利局、申请号为202110661839.X、申请名称为“一种通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

5G系统，例如新无线(new radio，NR)系统等无线通信系统中，如何保证通信安全是一个很重要的问题。目前，存在不法分子利用非法终端设备接入网络，从而威胁网络的安全。举例来说，如果大量的非法终端设备对接入网设备进行攻击，例如恶意接入网络设备、或者对网络设备发起拒绝服务(deny of service，DoS)攻击或者分布式拒绝服务(distributed denial of service，DDoS)攻击，导致接入网设备的资源消耗殆尽，无法为合法终端设备进行服务。

为此，如何识别出非法终端设备，提高网络的安全性是一个亟待解决的问题。

发明内容

本申请提供一种通信方法及装置，用以解决如何识别出非法终端设备，提高网络的安全性的问题。

第一方面，本申请提供一种通信方法，该方法适用于终端设备执行无线接入过程的场景。该方法的执行主体为终端设备或终端设备中的芯片或一个模块，这里以终端设备为执行主体为例进行描述。该方法包括：终端设备向接入网设备发送第一消息，第一消息用于请求建立无线资源控制连接，第一消息中包括第一信息，第一信息为合法性验证信息；终端设备接收来自接入网设备的响应消息。

通过上面的方法，在建立无线资源控制连接的过程中，网络侧根据第一信息对终端设备的合法性进行认证，避免为非法终端设备建立无线资源控制连接，从而提高网络的安全性，降低非法终端设备的攻击风险。

一种可能的实现方式中，接收来自接入网设备的响应消息，包括：接收来自接入网设备的第二消息，第二消息用于指示建立无线资源控制连接；或者，接收来自接入网设备的第三消息，第三消息用于指示拒绝建立无线资源控制连接。

一种可能的实现方式中，接收来自接入网设备的第一指示信息，第一指示信息用于指示在第一消息中携带第一信息。

通过第一指示信息，可以保证合法终端设备能够携带用于进行安全验证的第一信息，提高系统安全性。

一种可能的实现方式中，第一信息为完整性消息鉴权码，哈希值，或者截短的完整性消息鉴权码。

由于完整性消息鉴权码或者哈希值难以被篡改，因此通过该方法，可以保证第一信息的安全性。

一种可能的实现方式中，第一信息还根据以下至少一项参数生成：第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；终端设备的第一标识。

通过该方法，可以保证第一信息是和终端设备具有关联关系的，避免非法终端设备在获取终端设备的身份的情况下，入侵网络。

一种可能的实现方式中，接收来自核心网设备第一密钥，第一密钥用于生成第一信息。第一密钥可以是为终端设备分配的NAS密钥。

第二方面，本申请提供一种通信方法，该方法适用于终端设备执行无线接入过程的场景。该方法的执行主体为接入网设备或接入网设备中的芯片或一个模块，这里以接入网设备为执行主体为例进行描述。该方法包括：接入网设备接收来自终端设备的第一消息，第一消息用于请求建立无线资源控制连接，第一消息中包括第一信息，第一信息为合法性验证信息；根据第一信息确定终端设备的合法性；当确定终端设备合法时，接入网设备向终端设备发送第二消息，第二消息用于指示建立无线资源控制连接；或者，可选的，当确定终端设备不合法时，接入网设备向终端设备发送第三消息，第三消息用于指示拒绝建立无线资源控制连接。

一种可能的实现方式中，根据第一信息确定终端设备的合法性，包括：向核心网设备发送第一信息和以下至少一项信息：第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；终端设备的第一标识；接收来自核心网设备的合法性验证结果；根据合法性验证结果确定终端设备的合法性。

一种可能的实现方式中，根据第一信息确定终端设备的合法性，包括：确定第二信息，第二信息用于对终端设备进行合法性验证；如果第一信息与第二信息相同，则确定终端设备合法；如果第一信息与第二信息不相同，则确定终端设备不合法。

一种可能的实现方式中，确定第二信息，包括：向核心网设备发送以下至少一项信息：

第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；终端设备的第一标识；接收来自核心网设备的第二信息。

一种可能的实现方式中，第一标识为终端设备的终端标识，或者，第一标识为终端设备的终端标识的一部分，或者第一标识为终端设备的组标识。

一种可能的实现方式中，向终端设备发送第一指示信息，第一指示信息用于指示在第一消息中携带第一信息。

一种可能的实现方式中，检测到请求建立无线资源控制连接的数量大于第一阈值，或者检测到在预设时间段内请求建立无线资源控制连接的数量大于第二阈值。

一种可能的实现方式中，第一指示信息通过无线资源控制释放消息携带。

一种可能的实现方式中，第一信息为完整性消息鉴权码，哈希值，或者第一信息为截短的完整性消息鉴权码。

第三方面，该方法适用于终端设备执行无线接入过程的场景。该方法的执行主体为核心网设备或核心网设备中的芯片或一个模块，这里以核心网设备为执行主体为例进行描述。该方法包括：核心网设备确定第一密钥；核心网设备向终端设备发送第一密钥，第一密钥用于生成第一信息，第一信息用于对终端设备的合法性进行验证。

一种可能的实现方式中，终端设备属于第一设备组，第一设备组与第一密钥具有关联关系，第一设备组中第一终端设备的第一终端标识的高M位比特与所述第一设备组中第二终端设备的第二终端标识的高M位比特相同，或者所述第一设备组中第一终端设备的第一终端标识的低M位比特与所述第一设备组中第二终端设备的第二终端标识的低M位比特相同，M为大于0的整数。

一种可能的实现方式中，还包括：确定第二信息，第二信息用于对终端设备进行合法性验证；向接入网设备发送第二信息。

一种可能的实现方式中，还包括：获取来自接入网设备的第一信息；确定第二信息，第二信息用于对终端设备进行合法性验证；根据第一信息和第二信息确定合法性验证结果，向接入网设备发送合法性验证结果；其中，如果第一信息与第二信息相同，合法性验证结果指示终端设备合法；如果第一信息与第二信息不相同，合法性验证结果指示终端设备不合法。

一种可能的实现方式中，确定第二信息，包括：根据来自接入网设备的以下至少一项信息确定第二信息：第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；终端设备的第一标识。

第四方面，本申请提供一种通信方法，该方法适用于终端设备执行无线接入过程的场景。该方法的执行主体为第一接入网设备或第一接入网设备中的芯片或一个模块，这里以第一接入网设备为执行主体为例进行描述。该方法包括：第一接入网设备接收来自终端设备的第四消息，所述第四消息用于请求建立无线资源控制连接，或者所述第四消息用于请求恢复无线资源控制连接，所述第四消息包括所述终端设备的第一标识；第一接入网设备根据所述第四消息确定所述终端设备的第二无线资源控制RRC状态，并确定所述第一标识关联的第一无线资源控制RRC状态，所述第一RRC状态为接入网设备保存的所述第一标识对应的RRC状态；若所述第二RRC状态与所述第一RRC状态匹配，向所述终端设备发送第二消息，所述第二消息用于指示建立RRC连接。

通过上面的方法，在建立无线资源控制连接的过程中，第一接入网设备可以根据终端设备的第一标识和RRC状态的关联关系，识别出非法终端设备，避免为非法终端设备建立无线资源控制连接，从而提高网络的安全性，降低非法终端设备的攻击风险。

一种可能的实现方式中，若所述第二RRC状态与所述第一RRC状态不匹配，则向所述终端设备发送第三消息，所述第三消息用于指示拒绝建立RRC连接。

一种可能的实现方式中，所述接收来自终端设备第一消息之前，所述方法还包括：

第一接入网设备保存终端设备的第一标识，以及所述终端设备的第一RRC状态，并建立所述第一标识与所述终端设备的第一RRC状态之间的关联关系。

一种可能的实现方式中，从终端设备或者核心网设备接收第二标识，所述第二标识为所述第一标识更新后的标识；将所述第一标识关联的第一RRC状态与所述第二标识进行关联。

一种可能的实现方式中，从OAM服务器或者第二接入网设备接收第二指示信息，所述第二指示信息用于指示第三RRC状态，所述第三RRC状态为所述终端设备更新后的RRC状态；将所述终端设备的所述第一标识关联的第一RRC状态更新为所述第三RRC状态。

第五方面，本申请还提供一种通信装置，该通信装置具有实现上述第一方面或第二方 面或第三方面或第四方面提供的任一方法。该通信装置可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。

在一种可能的实现方式中，该通信装置包括：处理器，该处理器被配置为支持该通信装置执行以上所示方法中相应功能。该通信装置还可以包括存储器，该存储可以与处理器耦合，其保存该通信装置必要的程序指令和数据。可选地，该通信装置还包括接口电路，该接口电路用于支持该通信装置与其它设备之间的通信。

在一种可能的实现方式中，该通信装置可以为终端设备，或者终端设备中的芯片或一个模块。

在一种可能的实现方式中，该通信装置可以为接入网设备，或者接入网设备中的芯片或一个模块。

在一种可能的实现方式中，该通信装置可以为核心网设备，或者核心网设备中的芯片或一个模块。

在一种可能的实现方式中，该通信装置包括相应的功能模块，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。

在一种可能的实施方式中，通信装置的结构中包括处理单元和通信单元，这些单元可以执行上述方法示例中相应功能，具体参见第一方面或第二方面或第三方面或第四方面提供的方法中的描述，此处不做赘述。

第六方面，提供了一种通信装置，包括处理器和接口电路，可选地，还包括存储器。接口电路用于接收来自该通信装置之外的其它通信装置的信号并传输至该处理器或将来自该处理器的信号发送给该通信装置之外的其它通信装置，该处理器用于执行所述存储器中存储的计算机程序或指令，实现前述第一方面中任意可能的实现方式中的方法。

第七方面，提供了一种通信装置，包括处理器和接口电路，可选地，还包括存储器。接口电路用于接收来自该通信装置之外的其它通信装置的信号并传输至该处理器或将来自该处理器的信号发送给该通信装置之外的其它通信装置，该处理器用于执行所述存储器中存储的计算机程序或指令，实现前述第二方面中任意可能的实现方式中的方法。

第八方面，提供了一种通信装置，包括处理器和接口电路，可选地，还包括存储器。接口电路用于接收来自该通信装置之外的其它通信装置的信号并传输至该处理器或将来自该处理器的信号发送给该通信装置之外的其它通信装置，该处理器用于执行所述存储器中存储的计算机程序或指令，实现前述第三方面中任意可能的实现方式中的方法。

第九方面，提供了一种通信装置，包括处理器和接口电路，可选地，还包括存储器。接口电路用于接收来自该通信装置之外的其它通信装置的信号并传输至该处理器或将来自该处理器的信号发送给该通信装置之外的其它通信装置，该处理器用于执行所述存储器中存储的计算机程序或指令，实现前述第四方面中任意可能的实现方式中的方法。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机实现前述第一方面至第四方面中任一方面、以及任一方面的任意可能的实现方式中的方法。

第十一方面，提供了一种存储有计算机可读指令的计算机程序产品，当所述计算机可读指令在计算机上运行时，使得所述计算机实现前述第一方面至第四方面中任一方面、以及任一方面的任意可能的实现方式中的方法。

第十二方面，提供一种芯片，该芯片包括处理器，还可以包括存储器，用于执行所述存储器中存储的计算机程序或指令，使得芯片实现前述第一方面至第四方面中任一方面、以及任一方面的任意可能的实现方式中的方法。

第十三方面，提供一种通信系统，所述系统包括第四方面所述的装置(如终端设备)、第七方面所述的装置(如接入网设备)以及第八方面所述的装置(如核心网设备)。

附图说明

图1为本申请适用的一种网络架构示意图；

图2为现有的一种RRC连接建立流程示意图；

图3为本申请实施例提供的一种通信方法流程示意图；

图4为本申请实施例提供的一种第一信息生成流程示意图；

图5为本申请实施例提供的另一种第一信息生成流程示意图；

图6为本申请实施例提供的一种终端设备合法性验证流程示意图；

图7为本申请实施例提供的一种终端设备合法性验证流程示意图；

图8为本申请实施例提供的一种通信方法流程示意图；

图9为本申请实施例提供的一种通信装置结构示意图；

图10为本申请实施例提供的一种通信装置结构示意图。

具体实施方式

下面结合说明书附图对本申请实施例做详细描述。

本申请实施例可以应用于各种移动通信系统，例如：第五代(the 5th generation，5G)移动通信网络中的新无线(new radio，NR)系统、4G移动通信网络中的长期演进(long term evolution，LTE)系统以及未来通信系统等其它通信系统，具体的，在此不做限制。

本申请实施例中，以终端设备、接入网设备以及核心网设备之间的交互为例进行描述，需要说明的是，本申请实施例提供的方法，不仅可以应用于终端设备与网络侧之间的交互，还可以应用于任意两个设备之间的交互中，例如设备到设备(device-to-device，D2D)通信中，本申请实施例对此并不限定。

本申请实施例中，终端设备可以简称为终端，为具有无线收发功能的设备或可设置于该设备的芯片。其中，终端设备也可以称为用户设备(user equipment，UE)、接入终端等。在实际应用中，本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业传感器、可穿戴设备、智能监控终端、工业控制(industrial control)中的无线终端等。本申请实施例中，用于实现终端设备的功能的装置可以是终端设备；也可以是能够支持终端设备实现该功能的装置，例如芯片系统，该装置可以被安装在终端设备中或者与终端设备匹配使用。

接入网设备：可以是无线网络中各种制式下无线接入设备，例如接入网设备可以是将终端设备接入到无线网络的无线接入网(radio access network，RAN)节点，又可以称为RAN设备或基站。一些接入网设备的举例为：下一代基站(generation Node B，gNodeB)、传输接收点(transmission reception point，TRP)、演进型节点B(evolved node B，eNB)、无线 网络控制器(radio network controller，RNC)等。在一种网络结构中，接入网设备可以包括集中单元(centralized unit，CU)节点或分布单元(distributed unit，DU)节点，或包括CU节点和DU节点。接入网设备包括CU和DU时，多个DU可以由一个CU集中控制。本申请实施例中，用于实现接入网设备的功能的装置可以是接入网设备；也可以是能够支持接入网设备实现该功能的装置，例如芯片系统，该装置可以被安装在接入网设备中或者与接入网设备匹配使用。

核心网设备，可以是用于对终端设备的接入和移动性进行管理的设备，例如可以是接入和移动性管理(Access and Mobility Management Function,AMF)网元，还可以是移动性管理实体(mobility management entity，MME)网元等，本申请对此并不限定。

如图1所示，为本申请适用的一种网络架构示意图。图1中，终端设备可通过接入网设备接入到无线网络，以通过无线网络获取外网(例如因特网)的服务，或者通过无线网络与其它设备通信，如可以与其它终端设备通信。

接入网设备为终端设备提供服务之前，终端设备需要与接入网设备建立无线资源控制(radio resource control，RRC)连接，具体过程可以如图2所示。图2为本申请实施例提供的一种RRC连接建立过程示意图。

S201：终端设备向接入网设备发送RRC建立请求(RRC setup request)消息。

RRC建立请求消息用于请求建立RRC连接，RRC建立请求消息中可以包括终端设备的终端标识或者终端标识的第一部分或者一个随机值，RRC建立请求消息中还可以包括RRC建立的原因等信息。其中终端标识的第一部分用于上行资源不足以发送完整终端标识的情况。

S202：接入网设备向终端设备发送RRC建立(RRC setup)消息。

RRC建立消息用于为终端设备建立RRC连接，RRC建立消息中可以包括无线承载配置和小区组配置等信息。

S203：终端设备向接入网设备发送RRC建立完成(RRC setup complete)消息。

终端设备接收到RRC建立消息以后，确定进入了RRC连接态，从而向接入网设备发送RRC建立完成消息，告诉接入网设备RRC连接建立完成。终端设备发送的RRC建立完成消息中可以包括终端设备的终端标识的第二部分等信息，其中终端标识的第二部分与终端标识的第一部分组成完整的终端标识。

从上述RRC连接建立过程可知，如果有非法终端设备向接入网设备发起恶意RRC连接(例如可以窃取合法终端设备的标识进行接入)，接入网设备并不能识别出该终端设备是否合法。因此，如果有大量非法终端设备向接入网设备发起RRC连接，将耗尽接入网设备的RRC连接资源，从而导致接入网设备无法继续为合法终端设备服务，为此本申请实施例将提供一种方法解决上述问题，具体将在后面详细描述。

另外，终端设备在RRC建立过程中还可以向接入网设备发送非接入层(non access stratum，NAS)信息，接入网设备收到非接入层信息以后，将其发送给核心网设备，核心网设备可以对非接入层信息进行安全验证，如果验证通过则为合法终端设备，如果验证不通过则核心网通过非接入层信令指示终端设备重新发送非接入层信息。同时核心网设备可以启动一个定时器来等待终端设备发送非接入层信息，如果定时器超时且没有收到来自终端设备的非接入层信息，核心网设备可以再次通过非接入层信令要求终端设备重新发送非接入层信息，同时再次启动定时器，以此类推。

本申请实施例中，合法终端设备可以是合法运营商或者合法终端厂商授权的终端设备或者搭载合法注册身份模组(subscriber identity module，SIM)卡的终端设备，另外也可以是与网络设备之间存在签约关系的终端设备或者搭载了与网络设备之间存在签约关系的SIM卡，网络设备中存储有终端设备或者SIM卡的签约信息，从而合法终端设备能够获得网络设备提供的通信服务。合法终端设备是以获取正常通信服务为目的接入网络设备的终端设备，拥有合法的终端设备标识，相应的，非法终端设备是以攻击网络设备为目的接入网络设备的终端设备，由于非法终端设备往往与网络之间不存在签约关系，所以无法直接获取正常的通信服务，而只能冒充合法终端设备通过发送大量的消息给网络设备来消耗网络资源，对网络设备进行攻击。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请中，以核心网设备、接入网设备以及终端设备之间交互为例进行说明，核心网设备执行的操作也可以由核心网设备内部的芯片或模块执行，接入网设备执行的操作也可以由接入网设备内部的芯片或模块执行，终端设备执行的操作也可以由终端设备内部的芯片或模块执行。

结合前面的描述，如图3所示，为本申请实施例提供的一种通信方法流程示意图。参见图3，该方法包括：

可选地，S301：核心网设备向终端设备发送第一密钥。

相应的，S302：终端设备接收来自核心网设备的第一密钥。

其中，第一密钥用于生成第一信息，具体如何生成第一信息，后面将详细描述。第一信息为合法性验证信息，第一信息可以用于验证终端设备的安全性，或者对终端设备进行身份验证等。举例来说，第一信息可以用于在无线资源控制连接过程中，对终端设备的合法性进行验证。

需要说明的是，核心网设备发送的第一密钥是通过接入网设备透明转发至终端设备的，即第一密钥先发送至接入网设备，再由接入网设备转发至终端设备。

本申请实施例中，第一密钥可以是非接入层(non access stratum，NAS)密钥，即核心网设备为终端设备分配的为NAS消息做安全处理的密钥。第一密钥还可以是核心网设备分配的其它类型的密钥，例如可以是专门用于对终端设备的合法性进行验证的密钥，在此不做限定。

一种可能的实现方式中，第一密钥可以和终端设备具有关联关系，例如第一密钥可以与终端设备的终端标识唯一对应，即该第一密钥只被分配给该终端设备。

另一种可能的实现方式中，第一密钥可以和终端设备所属的第一设备组具有关联关系，例如第一密钥可以与终端设备的组标识唯一对应，也就是说，与该终端设备处于同一组的所有终端设备，对应相同的第一密钥。

例如第一密钥是基于终端设备的组标识分配的时，核心网设备将多个终端设备分成若干组，每个组分配一个第一密钥，也就是说，与该终端设备处于同一组的终端设备，对应相同的第一密钥。

本申请实施例中，终端设备的第一标识可以为终端设备的终端标识，或者第一标识可 以为终端设备的终端标识的一部分，或者第一标识可以为终端设备对应的组标识。终端设备的终端标识可以为终端设备的5G服务临时移动用户识别码(serving-temporary mobile subscriber identity，S-TMSI)，或者全球唯一临时UE标识(globally unique temporary UE identity，GUTI)，或者国际移动用户识别码(international mobile subscriber identity，IMSI)，或者国际移动设备标识码(international mobile equipment identity，IMEI)等，本申请实施例对此并不限定。

终端设备的组标识是终端设备所属的第一设备组的标识。终端设备的组标识可以根据终端设备的终端标识确定，也可以根据其他方式确定。组标识根据终端设备的终端标识确定时，例如，终端设备的组标识可以为终端设备的终端标识中的预设M位比特。其中，M为大于0的整数，例如终端设备的终端标识为39比特，M可以小于39，例如M等于23。在该情况下，第一设备组中的所有终端设备的终端标识中预设M位比特相同，也就是说，在进行分组时，可以将终端标识的预设M位比特相同的终端设备划分为一组。

举例来说，终端设备的组标识可以为终端设备的终端标识中的高M位比特，假设第一终端设备和第二终端设备为第一设备组中任意两个终端设备，此时第一终端设备的第一终端标识的高M位比特与第二终端设备的第二终端标识的高M位比特相同。再举例来说，终端设备的组标识可以为终端设备的终端标识中的低M位比特，假设第一终端设备和第二终端设备为第一设备组中任意两个终端设备，此时第一终端设备的第一终端标识的低M位比特与第二终端设备的第二终端标识的低M位比特相同。

另外，在划分终端设备组的时候，除了考虑终端标识以外，还可以考虑终端设备的类型，终端设备的能力等因素，将具有相同或者相近因素的终端设备划分到相同的设备组。

进一步的，本申请实施例中，核心网设备可以通过NAS流程将第一密钥发送至终端设备。

可选地，S303：接入网设备向终端设备发送第一指示信息。

相应的，S304：终端设备接收来自接入网设备的第一指示信息。

其中，第一指示信息用于指示在建立无线资源控制连接过程中携带第一信息，例如指示在第一消息中携带第一信息，第一消息可以用于请求建立无线资源控制连接。可以理解为，第一指示信息是安全验证功能的使能指示，终端设备接收到该指示的时候，便知道需要在RRC建立过程中开启安全验证，即携带第一信息。

本申请实施例中，接入网设备可以在识别出被攻击的风险时，通过第一指示信息指示终端设备进行无线资源控制连接建立时，携带第一信息。例如，当接入网设备发现短时间内有大量终端设备发起无线资源控制连接建立请求时，确定可能存在被攻击的风险，因此开启安全验证功能，即向终端设备发送第一指示信息。

举例来说，一种实现方式中，接入网设备检测到请求建立无线资源控制连接的数量大于第一阈值时，发送第一指示信息。另一种实现方式中，接入网设备检测到在预设时间段内请求建立无线资源控制连接的数量大于第二阈值，发送第一指示信息。其中，第一阈值大于0，第二阈值大于0，第一阈值和第二阈值的具体取值可以根据接入网设备的处理能力或者接入网设备处理无线资源控制连接建立请求的最大数量等因素确定。

另一种接入网设备识别被攻击风险的实现方式是，核心网向接入网设备发送指示信息，告诉接入网设备至少一个终端设备在核心网处的验证不通过，例如终端设备发送的NAS消息在核心网设备处验证不通过。其中，核心网设备可以在每当有一个终端设备的验证不 通过时，即向接入网设备发送指示信息，也可以进行一段时间的统计，将该段时间验证不通过的终端设备的数量做一个统计，并将统计信息发送给接入网设备；或者在统计值超过一定阈值的时候发送指示信息给接入网设备，或者在预设时间段内统计值超过一定阈值的时候发送指示信息给接入网设备。

进一步的，何时发送第一指示信息可以是接入网设备自己决策的或者由核心网设备决策并告诉接入网设备。

本申请实施例中，一种可能的实现方式中，接入网设备可以通过无线资源控制释放消息携带第一指示信息。举例来说，如果终端设备已经与接入网设备建立了无线资源控制连接，当接入网设备接收到大量的无线资源控制连接建立请求消息，导致接入网设备的无法正常工作时，例如接入网设备无法处理新接收的无线资源控制连接建立请求时，接入网设备可以通过无线资源控制释放消息释放部分或者全部连接态的终端设备，并在无线资源控制释放消息中携带第一指示信息。或者，接入网设备确定存在已经建立了无线资源控制连接的非法终端设备时，通过无线资源控制释放消息释放部分或者全部连接态的终端设备，并在无线资源控制释放消息中携带第一指示信息。

接入网设备在释放终端设备的无线资源控制连接时，可以根据优先级高低选择释放哪些终端设备，例如根据终端设备建立无线资源控制连接的原因的优先级或者正在进行的业务的优先级或者根据终端设备的类型决定，释放优先级较低一些的终端设备的无线资源控制连接。

可选地，终端设备的无线资源控制连接被释放后，可以立即发起无线资源控制连接建立请求或者在预设时间后发起无线资源控制连接建立请求，预设时间可以是接入网设备在系统信息中指示的或者与第一指示信息一起发送给终端设备的。

另一种可能的实现方式中，接入网设备可以通过系统消息携带第一指示信息。在该实现方式中，当终端设备从系统消息中读取到该第一指示信息时，确定需要在建立无线资源控制连接过程中携带第一信息。可选的，当接入网设备决定通过系统消息携带第一指示信息时，终端设备会检测到系统消息更新，从而重新读取系统消息，并在发起RRC连接的时候，开启安全验证。

在该实现方式中，通过系统消息携带第一指示信息，可以使得所有终端设备读取到系统消息的时候，便可以得知在接入网络时需要携带第一指示信息，从而不需要终端设备进入连接态就能获取该信息，同时网络设备可以一次性通知所有终端设备而不需要分别通知各个终端设备。

本申请实施例中，当终端设备确定需要建立无线资源控制连接时，可以执行S305。例如终端设备接收到包括第一指示信息的无线资源控制释放消息时，执行S305。

S305：终端设备向接入网设备发送第一消息。

本申请实施例中，第一消息用于请求建立无线资源控制连接，例如，第一消息可以为RRC连接建立请求消息。第一消息中包括第一信息，第一消息中还可以包括终端设备的第一标识。

本申请实施例中，第一信息可以根据第一密钥，以及以下至少一项信息生成：第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；第一消息的长度；终端设备的第一标识；安全算法标识。具体在生成第一信息时，需要哪些信息，可以由协议预先约定，也可以由网络侧进行配置，本申请实施 例对此并不限定。

其中，计数值可以是第一消息对应的分组数据汇聚协议(packet data convergence protocol，PDCP)计数值(COUNT)，其长度一般为32比特；为了保证发送端实现按序发送，发送端的PDCP实体会针对每一个数据包维护一个计数值，发送端在进行数据发送时，按照数据包的计数值从小到大的顺序依次进行发送。相应的，接收端的PDCP实体同样针对每个数据包维护一个相同计数值，从而保证在向上层递交数据包的时候按照数据包的计数值从小到大的顺序依次进行递交。另外计数值也可以用于记录相同消息或者相同类型消息发送的次数，例如NAS计数值。

承载标识可以是第一消息对应的无线承载的标识，例如其长度一般为5比特；传输方向信息表示第一消息的传输方向，例如其长度一般为1比特，例如传输方向为上行时，传输方向信息的取值为0；传输方向为下行时，传输方向信息的取值为1。

终端设备的第一标识可以为终端设备的终端标识，或者第一标识可以为终端设备的终端标识的一部分，或者第一标识可以为终端设备对应的组标识。

具体的，第一种可能的实现方式中，第一信息可以为完整性消息鉴权码(message authentication code-integrity，MAC-I)，或者截短的MAC-I。

举例来说，如图4所示，为本申请实施例提供的一种完整性消息鉴权码生成流程示意图。图4中，终端设备作为发送端，使用第一密钥对作为安全密钥，使用第一消息的计数值、第一消息的承载标识、第一消息的传输方向信息、第一消息的长度以及终端设备的第一标识中的至少一项作为输入参数，采用安全算法对上述至少一项参数进行运算，生成完整性消息鉴权码。采用安全算法对上述至少一项参数进行运算的具体过程，就是将上述至少一项参数作为安全算法的入参，按照安全算法的算法流程进行运算，获得一个输出参数，该输出参数就可以作为第一信息。

其中，安全算法可以是对称安全算法或非对称安全算法，具体可以是5G安全算法(integrity algorithm for 5G，NIA)、数据加密标准(data encryption standard，DES)算法，3DES算法，李维斯特.萨默尔.阿德曼(Rivest Shamir Adleman，RSA)算法等，其中，安全算法可以包括加密或者解密算法以及完整性保护算法或者完整性验证算法。

本申请实施例中，安全密钥或安全算法的功能包括但不限于加密、解密、完整性保护和完整性验证。

另外，终端设备可以将完整性消息鉴权码作为第一信息，也可以将完整性消息鉴权码的一部分作为第一信息，例如将截短的完整性消息鉴权码作为第一信息。例如，终端设备将第一消息在随机接入过程中的消息3(Msg 3)中发送，一般情况下接入网设备在随机接入过程中的消息2(Msg 2)中为消息3分配的上行资源能够承载的信息为56比特，当完整性消息鉴权码作为第一信息时，可能无法携带完整的完整性消息鉴权码。一种实现方式中，接入网设备可以在指示终端设备携带第一信息时，在随机接入过程中的消息2中为消息3分配足够的上行资源，来携带终端设备的第一标识和第一信息。另一种实现方式中，终端设备可以根据消息3对应的上行资源的大小对的第一信息进行截短，即将截短的完整性消息鉴权码作为第一信息，使得截短的完整性消息鉴权码和终端设备的第一标识能够通过消息3携带。另外，终端设备的第一标识可能不是完整的终端标识，而是终端标识的一部分。

举例来说，假设接入网设备在随机接入过程中的消息2中为消息3分配的上行资源能 够承载的信息为56比特，这56比特除了必须通过消息3携带的信息之外，还可以空余39比特。终端设备的终端标识大于或等于39比特，为此终端设备可以将终端标识的一部分作为第一标识，例如将终端设备的终端标识的高23比特或低23比特作为第一标识，并将完整性消息鉴权码中的高16比特或低16比特作为第一信息。其中，终端标识中的哪些比特作为第一标识，以及完整性消息鉴权码中的哪些比特作为截短的完整性消息鉴权码，可以是核心网设备或接入网设备配置的，也可以是预先约定的，本申请实施例并不限定。

相应的，如图4所示，接收端使用第一密钥，以及使用第一消息的计数值、第一消息的承载标识、第一消息的传输方向信息、第一消息的长度以及终端设备的第一标识中的至少一项作为输入参数，采用与终端设备同样的安全算法对上述至少一项参数进行运算，生成完整性消息鉴权码。

第二种可能的实现方式中，第一信息可以为哈希值。例如，终端设备可以根据第一密钥、第一消息的相关信息以及第一标识中的至少一项进行通过哈希算法生成哈希值。

举例来说，如图5所示，为本申请实施例提供的一种哈希值生成流程示意图。图5中，终端设备作为发送端，使用第一密钥对作为安全密钥，使用第一消息的计数值、第一消息的承载标识、第一消息的传输方向信息、第一消息的长度以及终端设备的第一标识中的至少一项作为输入参数，采用哈希算法对上述至少一项参数进行运算，生成哈希值。其中，哈希运算是把任意长度的输入参数(又叫做预映射pre-image)通过哈希算法变换成固定长度的输出参数，该输出参数就是哈希值。这种转换是一种压缩映射，也就是，哈希值的空间通常远小于输入参数的空间，不可能从哈希值来确定唯一的输入值。简单的说哈希算法就是一种将任意长度的消息压缩到某一固定长度的消息摘要的算法。

相应的，接收端可以使用同样的方法生成哈希值，在此不再赘述。

S306：接入网设备接收来自终端设备的第一消息，并向终端设备发送响应消息。

接入网设备可以根据第一消息中的第一信息确定终端设备的合法性，具体如何确定将在后面进行描述，在此不再赘述。其中，确定终端设备合法的条件，可以是指第一信息通过验证。

本申请实施例中，当接入网设备根据第一信息确定终端设备合法时，向终端设备发送的响应消息可以为第二消息，第二消息可以用于指示建立无线资源控制连接。举例来说，第二消息可以为无线资源控制建立(RRC setup)消息。

可选地，当接入网设备根据第一信息确定终端设备不合法时，向终端设备发送的响应消息可以为第三消息，第三消息用于指示拒绝建立无线资源控制连接。举例来说，第三消息可以为无线资源控制拒绝(RRC reject)消息。当然，如果终端设备不合法，也可以不发送响应消息。

S307：终端设备接收来自接入网设备的响应消息。

终端设备可以根据响应消息确定是否完成建立无线资源控制连接。例如，响应消息为第二消息时，终端设备可以确定完成建立无线资源控制连接。再例如，响应消息为第三消息时，终端设备可以确定没有完成建立无线资源控制连接，即无线资源控制连接建立失败。或者，终端设备在发送第一消息之后的预设时间段内，没有收到响应消息，也可以认为无线资源控制连接建立失败。

可选地，终端设备接收到的响应消息为第二消息时，还可以向接入网设备发送无线资源控制建立完成(RRC setup complete)消息。

通过上面的方法，在建立无线资源控制连接的过程中，终端设备通过携带第一信息，使得网络侧根据第一信息对终端设备的合法性进行认证，避免为非法终端设备建立无线资源控制连接，从而提高网络的安全性，降低非法终端设备的攻击风险。

本申请实施例中，接入网设备可以通过多种方式确定终端设备的合法性，下面分别进行描述。

实现方式一，接入网设备确定第二信息，并将第二信息与第一信息进行比较，从而确定终端设备是否合法。其中，第二信息可以从核心网设备获取，具体可以如图6所示，为本申请实施例提供的一种终端设备合法性验证流程示意图，包括：

S601：接入网设备向核心网设备发送验证请求(verification request)消息。

验证请求消息也可以存在其他名称，这里只是示例，并不代表对其做任何限制。

实现方式一中，验证请求消息中需要携带的信息，为终端设备确定第一信息时的信息，例如验证请求消息可以包括以下至少一项信息：第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；终端设备的第一标识。以上参数的含义可以参考步骤S305中的相关说明。

S602：核心网设备接收来自接入网设备的验证请求消息，并向接入网设备发送验证响应(verification response)消息。

实现方式一中，验证响应消息可以包括第二信息，第二信息可以用于对终端设备进行合法性验证。

具体的，核心网设备获取到验证请求消息时，核心网设备可以根据第一标识确定与其对应的第一密钥。如果第一信息为完整性消息鉴权码或截短的完整性消息鉴权码，核心网设备可以使用与终端设备对应的方式确定第二信息，例如使用第一密钥对作为安全密钥，使用第一消息的计数值、第一消息的承载标识、第一消息的传输方向信息、第一消息的长度以及第一标识中的至少一项作为输入参数，采用安全算法对上述至少一项参数进行运算，生成完整性消息鉴权码，并将完整性消息鉴权码或截短的完整性消息鉴权码作为第二信息。

如果第一信息为哈希值，核心网设备可以使用第一密钥对作为安全密钥，使用第一消息的计数值、第一消息的承载标识、第一消息的传输方向信息、第一消息的长度以及第一标识中的至少一项作为输入参数，采用哈希算法对上述至少一项参数进行哈希运算，生成哈希值，并将哈希值作为第二信息。

本申请实施例中，具体在生成第二信息时，需要哪些信息，可以由协议预先约定，也可以由网络侧进行配置。另外，需要预先约定或者配置，使得终端设备生成第一信息时使用的参数，和核心网设备生成第二信息时使用的参数相同。

S603：接入网设备接收来自核心网设备的验证响应消息，并根据第一信息和验证响应消息中的第二信息确定终端设备的合法性。

具体的，如果第一信息与第二信息相匹配，例如第一信息与第二信息相同，则确定终端设备合法；如果第一信息与第二信息不匹配，例如第一信息与第二信息不相同，则确定终端设备不合法。

通过上述方法，接入网设备通过从核心网设备获取验证第一信息的第二信息，可以准确判断出终端设备是否合法，并降低核心网设备的实现复杂度。

实现方式二，接入网设备向核心网设备发送第一信息，由核心网设备根据第一信息进行验证，获得合法性验证结果。核心网设备将合法性验证结果发送给接入网设备，具体可 以如图7所示，为本申请实施例提供的一种终端设备合法性验证流程示意图，包括：

S701：接入网设备向核心网设备发送验证请求消息。

实现方式二中，验证请求消息可以包括第一信息和以下至少一项信息：

第一消息；第一消息的长度；第一消息对应的计数值；第一消息对应的承载标识；第一消息对应的传输方向信息；终端设备的第一标识。

S702：核心网设备接收来自接入网设备的验证请求消息，并向接入网设备发送验证响应消息。

实现方式二中，验证响应消息可以包括合法性验证结果，合法性验证结果可以指示终端设备的合法性。

具体的，核心网设备根据第一标识确定与其对应的第一密钥。核心网设备可以使用第一密钥，以及第一消息的计数值、第一消息的承载标识、第一消息的传输方向信息、第一消息的长度以及第一标识中的至少一项确定第二信息。如果第一信息与第二信息相匹配，则合法性验证结果为通过，即可以指示终端设备合法；如果第一信息与第二信息不匹配，则合法性验证结果为不通过，即可以指示终端设备不合法。

S703：接入网设备接收来自核心网设备的验证响应消息，并根据合法性验证结果确定终端设备的合法性。

具体的，合法性验证结果指示终端设备通过或者合法时，可以确定终端设备为合法终端设备；合法性验证结果指示终端设备不通过或者不合法时，可以确定终端设备为不合法终端设备。

通过上述方法，接入网设备通过从核心网设备获取合法性验证结果，可以准确判断出终端设备是否合法的同时，降低接入网设备的实现复杂度。

本申请实施例中，接入网设备还可以记录各个终端设备的RRC状态，从而对发起无线资源控制连接建立请求的终端设备的RRC状态进行识别，如果该终端设备的RRC状态与记录的RRC状态不相符，则拒绝该终端设备的无线资源控制连接建立请求，下面将详细描述。其中，图8所示的流程可以独立实施，也可以和图3所示的流程结合起来实施，本申请对此并不限定。

如图8所示，为本申请实施例提供的一种通信方法流程示意图，该方法包括：

S801：第一接入网设备接收来自终端设备的第四消息。

一种实现方式中，第四消息可以用于请求建立无线资源控制连接，例如，第四消息可以为RRC连接建立请求消息。另一种实现方式中，第四消息可以用于请求恢复无线资源控制连接，例如，第四消息可以为RRC连接恢复(resume)请求消息。

第四消息中可以包括终端设备的第一标识。关于第一标识的具体内容，可以参考S305中的描述，在此不再赘述。

S802：第一接入网设备根据所述第四消息确定终端设备的第二RRC状态，并确定第一标识关联的第一RRC状态。

例如，第四消息用于请求建立无线资源控制连接时，可以确定第二RRC状态为RRC空闲态；第四消息用于请求恢复无线资源控制连接时，可以确定第二RRC状态为RRC非激活态。

本申请实施例中，第一RRC状态为第一接入网设备在接收到第四消息之前，获取的该终端设备的RRC状态。举例来说，第一接入网设备可以保存终端设备的第一标识，以 及终端设备的第一RRC状态，并建立第一标识与终端设备的第一RRC状态的对应关系。也就是说，第一接入网设备根据第一标识确定的第一RRC状态，为第一接入网设备保存的第一标识对应的RRC状态。再举例来说，第一接入网设备还可以从其它接入网设备接收并保存该终端设备的RRC状态，其它接入网设备可以为第一接入网设备相邻的接入网设备，也可以为终端设备在进行切换过程中的源接入网设备。

本申请实施例中，RRC状态可以包括RRC连接态，RRC空闲态以及RRC非激活态中的至少两个，或者RRC状态包括RRC连接态和RRC非连接态。任意时刻，终端设备只会处在以上三种RRC状态中的一种状态。终端设备还可以在三种RRC状态之间相互转换，例如终端设备可以通过RRC建立过程从RRC空闲态转为RRC连接态，也可以通过RRC恢复过程从RRC非激活态转为RRC连接态；第一接入网设备可以将终端设备从RRC连接态释放到RRC空闲态或者RRC非激活态，也可以将终端设备从RRC非激活态释放到RRC空闲态。

本申请实施例中，第一接入网设备可以记录终端设备最新的RRC状态，即每次终端设备的RRC状态发生变更时，更新记录的终端设备的RRC状态。同样的，为了保证第一接入网设备能够知道每个终端设备最新的标识，第一接入网设备还可以记录终端设备最新的终端标识，避免终端设备的终端标识更新之后，无法识别终端设备。

具体的，如果终端设备的第一标识更新为第二标识，第一接入网设备可以从终端设备或者核心网设备接收第二标识，并将第一标识关联的第一RRC状态与第二标识进行关联。

举例来说，当终端设备进行开机注册，通过NAS流程获得终端设备的最新的终端标识(以下将最新的终端标识称为第二标识)，或者核心网设备通过NAS流程对终端设备进行终端设备的终端标识更新的时候，终端设备或者核心网设备可以向第一接入网发送第二标识。

本申请实施例中，如果终端设备不在第一接入网设备的服务区域内，例如在第二接入网设备的服务区域内，第一接入网设备可以和第二接入网设备通过Xn接口交互，获取第二接入网设备维护的各个终端设备的RRC状态以及终端设备最新的终端标识，并在各终端设备RRC状态或者最新的终端标识发生变化的时候，对相应的终端设备的RRC状态或者终端标识进行更新。

举例来说，第一接入网设备可以接收来自第二接入网设备的第二指示信息，第二指示信息用于指示终端设备的第三RRC状态，该第二RRC状态为终端设备更新后的RRC状态。第一接入网设备可以将终端设备的第一标识关联的第一RRC状态更新为第三RRC状态。

第一接入网设备还可以通过操作维护管理(operation administration and maintenance，OAM)服务器，获取不同接入网设备维护的各个终端设备的RRC状态以及终端设备最新的终端标识，并在各终端设备RRC状态或者最新的终端标识发生变化的时候，对相应的终端设备的RRC状态或者终端标识进行更新。

举例来说，第一接入网设备可以接收来自OAM服务器的第二指示信息，第二指示信息用于指示终端设备的第三RRC状态，第一接入网设备可以将终端设备的第一标识关联的第一RRC状态更新为第三RRC状态。

本申请实施例中，如果涉及到切换场景，例如终端设备从第一接入网设备切换到其它接入网设备的过程中，第一接入网设备可以将终端设备的第一标识发送至目标接入网设备， 以便目标接入网设备维护该终端设备最新的RRC状态，同时第一接入网设备可以将该终端设备对应的信息删除，并将该终端设备标记为离开本接入网设备的服务区域，或者第一接入网设备也可以不删除该终端设备对应的信息，而是将该终端设备的RRC状态更新为RRC空闲态。

可选地，如果第一标识没有关联RRC状态，例如终端设备为第一次接入网络，此时一种实现方式中，接入网设备可以认为终端设备合法，并与终端设备之间建立RRC连接；另一种实现方式中，接入网设备可以指示终端设备发送第一信息，从而根据第一信息验证终端设备的合法性，具体可以参考图3所示的流程。

S803：若第二RRC状态与第一RRC状态匹配，第一接入网设备向终端设备发送第二消息。

举例来说，如果第一RRC状态是RRC空闲态，第二RRC状态是RRC空闲态，则第二RRC状态与第一RRC状态匹配，可以确定终端设备合法，从而向终端设备发送第二消息。第二消息可以用于指示建立RRC连接。举例来说，第二消息可以为无线资源控制建立消息。

如果第一RRC状态不是RRC空闲态(RRC连接态或RRC非激活态)，第二RRC状态是RRC空闲态，则第二RRC状态与第一RRC状态不匹配，可以确定终端设备不合法，第一接入网设备可以向终端设备发送第三消息，第三消息用于指示拒绝建立RRC连接。第三消息可以为无线资源控制拒绝消息。另外，如果第二RRC状态与第一RRC状态不匹配，第一接入网设备也可以不发送第三消息，相应的，终端设备没有接收到第二消息或第三消息，则确定第一接入网设备拒绝建立RRC连接。

上面的例子中，如果终端设备的第一RRC状态不是RRC空闲态，表示第一标识对应的终端设备当前已经与第一接入网设备建立了RRC连接，合法的终端设备不可能再次发起RRC连接建立，此时通过第四消息发起RRC连接建立的终端设备为非法终端设备，第一接入网设备可以拒绝为其建立RRC连接。

再举例来说，如果第一RRC状态是RRC非激活态，第二RRC状态是RRC非激活态，则第二RRC状态与第一RRC状态匹配，可以确定终端设备合法，从而向终端设备发送第二消息。

如果第一RRC状态不是RRC非激活态(RRC连接态或RRC空闲态)，第二RRC状态是RRC非激活态，则第二RRC状态与第一RRC状态不匹配，可以确定终端设备不合法，第一接入网设备可以向终端设备发送第三消息，或者不发送第三消息。

上面的例子中，假如第一接入网设备将第一标识对应的终端设备从RRC连接态释放到RRC非激活态，当一个非法终端设备冒用该终端设备的第一标识，从RRC空闲态发起RRC连接建立，第一接入网设备可以基于自己记录的第一标识对应的RRC状态确定该终端设备为非法终端设备，从而拒绝为其建立RRC连接。

可选地，一般情况下，非法终端设备会以RRC空闲态发起RRC连接建立，为此本申请实施例中，第一接入网设备可以只允许将终端设备从RRC连接态释放到RRC非激活态，而不允许将终端设备释放到RRC空闲态，以增强其安全性。

通过上面的方法，在建立无线资源控制连接的过程中，第一接入网设备可以根据终端设备的第一标识和RRC状态的关联关系，识别出非法终端设备，避免为非法终端设备建立无线资源控制连接，从而提高网络的安全性，降低非法终端设备的攻击风险。

值得注意的是，上面描述的不同实施例之间可以结合使用也可以单独使用，同时每个实施例的步骤之间不做强制限定关系，即不是所有步骤均为必选步骤，可以根据实际需要选取其中某些步骤实施。

为了实现上述本申请实施例提供的方法中的各功能，接入网设备、终端设备或上述通信装置可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

与上述构思相同，如图9所示，本申请实施例还提供一种通信装置。该通信装置900可以是图1中的终端设备，用于实现上述方法实施例中对于终端设备的方法。所述通信装置也可以是图1中的接入网设备，用于实现上述方法实施例中对应于接入网设备的方法。具体的功能可以参见上述方法实施例中的说明。

具体的，该通信装置900可以包括：处理单元901和通信单元902。本申请实施例中，通信单元也可以称为收发单元，可以包括发送单元和/或接收单元，分别用于执行上文方法实施例中网络设备或终端设备发送和接收的步骤。以下，结合图9至图10详细说明本申请实施例提供的通信装置。

一些可能的实施方式中，上述方法实施例中终端设备的行为和功能可以通过通信装置900来实现，例如实现图3的实施例中终端设备执行的方法。例如通信装置900可以为终端设备，也可以为应用于终端设备中的部件(例如芯片或者电路)，也可以是终端设备中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。通信单元902可以用于执行图3所示的实施例中由终端设备所执行的接收或发送操作，处理单元901可以用于执行如图3所示的实施例中由终端设备所执行的除了收发操作之外的操作。

在一种可能的实现方式中，处理单元，用于通过通信单元向接入网设备发送第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；

所述处理单元，用于通过所述通信单元接收来自所述接入网设备的响应消息。

在一种可能的实现方式中，所述通信单元具体用于：接收来自所述接入网设备的第二消息，所述第二消息用于指示建立所述无线资源控制连接；或者，接收来自所述接入网设备的第三消息，所述第三消息用于指示拒绝建立所述无线资源控制连接。

在一种可能的实现方式中，所述通信单元还用于：接收来自所述接入网设备的第一指示信息，所述第一指示信息用于指示在所述第一消息中携带所述第一信息。

在一种可能的实现方式中，所述第一信息为完整性消息鉴权码，哈希值，或者截短的完整性消息鉴权码。

在一种可能的实现方式中，所述第一信息还根据以下至少一项参数生成：

所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识。

在一种可能的实现方式中，所述通信单元还用于：接收来自所述核心网设备第一密钥， 所述第一密钥用于生成所述第一信息。

一些可能的实施方式中，上述方法实施例中接入网设备的行为和功能可以通过通信装置900来实现，例如实现图3的实施例中接入网设备执行的方法。例如通信装置900可以为接入网设备，也可以为应用于接入网设备中的部件(例如芯片或者电路)，也可以是接入网设备中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。通信单元902可以用于执行图3所示的实施例中由接入网设备所执行的接收或发送操作，处理单元901可以用于执行如图3所示的实施例中由接入网设备所执行的除了收发操作之外的操作。

通信单元，用于接收来自终端设备的第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；

处理单元，用于根据所述第一信息确定所述终端设备的合法性；

所述通信单元，用于当确定所述终端设备合法时，向所述终端设备发送第二消息，所述第二消息用于指示建立所述无线资源控制连接；或者，当确定所述终端设备不合法时，向所述终端设备发送第三消息，所述第三消息用于指示拒绝建立所述无线资源控制连接。

在一种可能的实现方式中，所述通信单元具体用于：

向核心网设备发送所述第一信息和以下至少一项信息：

所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识；

接收来自所述核心网设备的合法性验证结果；

所述处理单元，用于根据所述合法性验证结果确定所述终端设备的合法性。

在一种可能的实现方式中，所述处理单元具体用于：

确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

如果所述第一信息与所述第二信息相同，则确定所述终端设备合法；如果所述第一信息与所述第二信息不相同，则确定所述终端设备不合法。

在一种可能的实现方式中，所述处理单元具体用于：

通过所述通信单元向核心网设备发送以下至少一项信息：

所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识；

通过所述通信单元接收来自所述核心网设备的所述第二信息。

在一种可能的实现方式中，所述第一标识为所述终端设备的终端标识，或者，第一标识为所述终端设备的终端标识的一部分，或者，所述第一标识为所述终端设备的组标识。

在一种可能的实现方式中，所述通信单元还用于：向所述终端设备发送第一指示信息，所述第一指示信息用于指示在所述第一消息中携带所述第一信息。

在一种可能的实现方式中，所述通信单元还用于：检测到请求建立无线资源控制连接的数量大于第一阈值，或者检测到在预设时间段内请求建立无线资源控制连接的数量大于第二阈值。

在一种可能的实现方式中，所述第一指示信息通过无线资源控制释放消息携带。

在一种可能的实现方式中，所述第一信息为完整性消息鉴权码，哈希值，或者所述第一信息为截短的完整性消息鉴权码。

一些可能的实施方式中，上述方法实施例中核心网设备的行为和功能可以通过通信装置900来实现，例如实现图3的实施例中核心网设备执行的方法。例如通信装置900可以 为核心网设备，也可以为应用于核心网设备中的部件(例如芯片或者电路)，也可以是核心网设备中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。通信单元902可以用于执行图3所示的实施例中由核心网设备所执行的接收或发送操作，处理单元901可以用于执行如图3所示的实施例中由核心网设备所执行的除了收发操作之外的操作。

处理单元，用于确定第一密钥；

通信单元，用于向终端设备发送所述第一密钥，所述第一密钥用于生成第一信息，所述第一信息为合法性验证信息。

在一种可能的实现方式中，所述终端设备属于第一设备组，所述第一设备组与所述第一密钥具有关联关系，所述第一设备组中第一终端设备的第一终端标识的高M位比特与所述第一设备组中第二终端设备的第二终端标识的高M位比特相同，或者所述第一设备组中第一终端设备的第一终端标识的低M位比特与所述第一设备组中第二终端设备的第二终端标识的低M位比特相同，M为大于0的整数。

在一种可能的实现方式中，所述通信单元还用于：确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；向接入网设备发送所述第二信息。

在一种可能的实现方式中，所述通信单元还用于：获取来自接入网设备的第一信息；确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；根据所述第一信息和所述第二信息确定合法性验证结果，向所述接入网设备发送所述合法性验证结果；

其中，如果所述第一信息与所述第二信息相同，所述合法性验证结果指示所述终端设备合法；如果所述第一信息与所述第二信息不相同，所述合法性验证结果指示所述终端设备不合法。

在一种可能的实现方式中，所述通信单元具体用于：根据来自接入网设备的以下至少一项信息确定所述第二信息：所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识。

一些可能的实施方式中，上述方法实施例中第一接入网设备的行为和功能可以通过通信装置900来实现，例如实现图8的实施例中第一接入网设备执行的方法。例如通信装置900可以为第一接入网设备，也可以为应用于第一接入网设备中的部件(例如芯片或者电路)，也可以是终端设备中的芯片或芯片组或芯片中用于执行相关方法功能的一部分。通信单元902可以用于执行图8所示的实施例中由第一接入网设备所执行的接收或发送操作，处理单元901可以用于执行如图8所示的实施例中由第一接入网设备所执行的除了收发操作之外的操作。

一种可能的实现方式中，通信单元具体用于接收来自终端设备的第四消息，所述第四消息用于请求建立无线资源控制连接，或者所述第四消息用于请求恢复无线资源控制连接，所述第四消息包括所述终端设备的第一标识；

处理单元，用于根据所述第四消息确定所述终端设备的第二无线资源控制RRC状态，并确定所述第一标识关联的第一无线资源控制RRC状态，所述第一RRC状态为接入网设备保存的所述第一标识对应的RRC状态；

通信单元，用于若所述第二RRC状态与所述第一RRC状态匹配，向所述终端设备发送第二消息，所述第二消息用于指示建立RRC连接。

一种可能的实现方式中，若所述第二RRC状态与所述第一RRC状态不匹配，通信单 元，用于向所述终端设备发送第三消息，所述第三消息用于指示拒绝建立RRC连接。

一种可能的实现方式中，所述接收来自终端设备第一消息之前，处理单元还用于：

第一接入网设备保存终端设备的第一标识，以及所述终端设备的第一RRC状态，并建立所述第一标识与所述终端设备的第一RRC状态之间的关联关系。

一种可能的实现方式中，通信单元还用于：从终端设备或者核心网设备接收第二标识，所述第二标识为所述第一标识更新后的标识；将所述第一标识关联的第一RRC状态与所述第二标识进行关联。

一种可能的实现方式中，通信单元还用于：从OAM服务器或者第二接入网设备接收第二指示信息，所述第二指示信息用于指示第三RRC状态，所述第三RRC状态为所述终端设备更新后的RRC状态；将所述终端设备的所述第一标识关联的第一RRC状态更新为所述第三RRC状态。

应理解，装置实施例的描述与方法实施例的描述相互对应，如图3或图6或图7中的用于实现终端设备和接入网设备的装置结构也可以参照通信装置900，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

通信单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器，处理单板，处理模块、处理装置等。可选的，可以将通信单元902中用于实现接收功能的器件视为接收单元，将通信单元902中用于实现发送功能的器件视为发送单元，即通信单元902包括接收单元和发送单元。通信单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。

以上只是示例，处理单元901和通信单元902还可以执行其他功能，更详细的描述可以参考图3，图6以及图7所示的方法实施例中相关描述，这里不加赘述。

如图10所示为本申请实施例提供的通信装置1000，图10所示的通信装置可以为图9所示的通信装置的一种硬件电路的实现方式。该通信装置可适用于前面所示出的流程图中，执行上述方法实施例中终端设备或者网络设备的功能。为了便于说明，图10仅示出了该通信装置的主要部件。

如图10所示，通信装置1000包括处理器1010和接口电路1020。处理器1010和接口电路1020之间相互耦合。可以理解的是，接口电路1020可以为收发器或输入输出接口。可选的，通信装置1000还可以包括存储器1030，用于存储处理器1010执行的指令或存储处理器1010运行指令所需要的输入数据或存储处理器1010运行指令后产生的数据。

当通信装置1000用于实现图3至7所示的方法时，处理器1010用于实现上述处理单元901的功能，接口电路1020用于实现上述通信单元902的功能。

当上述通信装置为应用于终端设备的芯片时，该终端设备芯片实现上述方法实施例中终端设备的功能。该终端设备芯片从终端设备中的其它模块(如射频模块或天线)接收信息，该信息是接入网设备发送给终端设备的；或者，该终端设备芯片向终端设备中的其它模块(如射频模块或天线)发送信息，该信息是终端设备发送给接入网设备的。

当上述通信装置为应用于接入网设备的芯片时，该接入网设备芯片实现上述方法实施例中网络设备的功能。该接入网设备芯片从接入网设备中的其它模块(如射频模块或天线)接收信息，该信息是终端设备发送给网络设备的；或者，该接入网设备芯片向接入网设备中的其它模块(如射频模块或天线)发送信息，该信息是接入网设备发送给终端设备的。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其它可编程逻辑器件、晶体管逻辑器件。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中存储器可以是随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于网络设备或终端设备中。处理器和存储介质也可以作为分立组件存在于网络设备或终端设备中。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (43)

1. 一种通信方法，其特征在于，包括：

   向接入网设备发送第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；

   接收来自所述接入网设备的响应消息。
2. 根据权利要求1所述的方法，其特征在于，所述接收来自所述接入网设备的响应消息，包括：

   接收来自所述接入网设备的第二消息，所述第二消息用于指示建立所述无线资源控制连接；

   或者，接收来自所述接入网设备的第三消息，所述第三消息用于指示拒绝建立所述无线资源控制连接。
3. 根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

   接收来自所述接入网设备的第一指示信息，所述第一指示信息用于指示在所述第一消息中携带所述第一信息。
4. 根据权利要求1至3任一所述的方法，其特征在于，所述第一信息为完整性消息鉴权码，哈希值，或者截短的完整性消息鉴权码。
5. 根据权利要求1至4任一所述的方法，其特征在于，所述第一信息还根据以下至少一项参数生成：

   所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识。
6. 根据权利要求1至5任一所述的方法，其特征在于，所述方法还包括：

   接收来自所述核心网设备第一密钥，所述第一密钥用于生成所述第一信息。
7. 一种通信方法，其特征在于，包括：

   接收来自终端设备的第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；

   根据所述第一信息确定所述终端设备的合法性；

   当确定所述终端设备合法时，向所述终端设备发送第二消息，所述第二消息用于指示建立所述无线资源控制连接；或者，当确定所述终端设备不合法时，向所述终端设备发送第三消息，所述第三消息用于指示拒绝建立所述无线资源控制连接。
8. 根据权利要求7所述的方法，其特征在于，所述根据所述第一信息确定所述终端设备的合法性，包括：

   向核心网设备发送所述第一信息和以下至少一项信息：

   所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识；

   接收来自所述核心网设备的合法性验证结果；

   根据所述合法性验证结果确定所述终端设备的合法性。
9. 根据权利要求7所述的方法，其特征在于，所述根据所述第一信息确定所述终端设备的合法性，包括：

   确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

   如果所述第一信息与所述第二信息相同，则确定所述终端设备合法；如果所述第一信息与所述第二信息不相同，则确定所述终端设备不合法。
10. 根据权利要求9所述的方法，其特征在于，所述确定第二信息，包括：

    向核心网设备发送以下至少一项信息：

    所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识；

    接收来自所述核心网设备的所述第二信息。
11. 根据权利要求8至10任一所述的方法，其特征在于，所述第一标识为所述终端设备的终端标识，或者，所述第一标识为所述终端设备的终端标识的一部分，或者，所述第一标识为所述终端设备的组标识。
12. 根据权利要求7至11任一所述的方法，其特征在于，所述方法还包括：

    向所述终端设备发送第一指示信息，所述第一指示信息用于指示在所述第一消息中携带所述第一信息。
13. 根据权利要求12所述的方法，其特征在于，所述方法还包括：

    检测到请求建立无线资源控制连接的数量大于第一阈值，或者检测到在预设时间段内请求建立无线资源控制连接的数量大于第二阈值。
14. 根据权利要求12或13所述的方法，其特征在于，所述第一指示信息通过无线资源控制释放消息携带。
15. 根据权利要求7至14任一所述的方法，其特征在于，所述第一信息为完整性消息鉴权码，哈希值，或者所述第一信息为截短的完整性消息鉴权码。
16. 一种通信方法，其特征在于，包括：

    确定第一密钥；

    向终端设备发送所述第一密钥，所述第一密钥用于生成第一信息，所述第一信息为合法性验证信息。
17. 根据权利要求16所述的方法，其特征在于，所述终端设备属于第一设备组，所述第一设备组与所述第一密钥具有关联关系，所述第一设备组中第一终端设备的第一终端标识的高M位比特与所述第一设备组中第二终端设备的第二终端标识的高M位比特相同，或者所述第一设备组中第一终端设备的第一终端标识的低M位比特与所述第一设备组中第二终端设备的第二终端标识的低M位比特相同，M为大于0的整数。
18. 根据权利要求16或17所述的方法，其特征在于，所述方法还包括：

    确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

    向接入网设备发送所述第二信息。
19. 根据权利要求16或17所述的方法，其特征在于，所述方法还包括：

    获取来自接入网设备的第一信息；

    确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

    根据所述第一信息和所述第二信息确定合法性验证结果，向所述接入网设备发送所述合法性验证结果；

    其中，如果所述第一信息与所述第二信息相同，所述合法性验证结果指示所述终端设备合法；如果所述第一信息与所述第二信息不相同，所述合法性验证结果指示所述终端设备不合法。
20. 根据权利要求18或19所述的方法，其特征在于，所述确定第二信息，包括：

    根据来自接入网设备的以下至少一项信息确定所述第二信息：

    所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识。
21. 一种通信装置，其特征在于，包括：

    处理单元，用于通过通信单元向接入网设备发送第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；

    所述处理单元，用于通过所述通信单元接收来自所述接入网设备的响应消息。
22. 根据权利要求21所述的装置，其特征在于，所述通信单元具体用于：

    接收来自所述接入网设备的第二消息，所述第二消息用于指示建立所述无线资源控制连接；

    或者，接收来自所述接入网设备的第三消息，所述第三消息用于指示拒绝建立所述无线资源控制连接。
23. 根据权利要求21或22所述的装置，其特征在于，所述通信单元还用于：

    接收来自所述接入网设备的第一指示信息，所述第一指示信息用于指示在所述第一消息中携带所述第一信息。
24. 根据权利要求21至23任一所述的装置，其特征在于，所述第一信息还根据以下至少一项参数生成：

    所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识。
25. 一种通信装置，其特征在于，包括：

    通信单元，用于接收来自终端设备的第一消息，所述第一消息用于请求建立无线资源控制连接，所述第一消息中包括第一信息，所述第一信息为合法性验证信息；

    处理单元，用于根据所述第一信息确定所述终端设备的合法性；

    所述通信单元，用于当确定所述终端设备合法时，向所述终端设备发送第二消息，所述第二消息用于指示建立所述无线资源控制连接；或者，当确定所述终端设备不合法时，向所述终端设备发送第三消息，所述第三消息用于指示拒绝建立所述无线资源控制连接。
26. 根据权利要求25所述的装置，其特征在于，所述通信单元具体用于：

    向核心网设备发送所述第一信息和以下至少一项信息：

    所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识；

    接收来自所述核心网设备的合法性验证结果；

    所述处理单元，用于根据所述合法性验证结果确定所述终端设备的合法性。
27. 根据权利要求25所述的装置，其特征在于，所述处理单元具体用于：

    确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

    如果所述第一信息与所述第二信息相同，则确定所述终端设备合法；如果所述第一信息与所述第二信息不相同，则确定所述终端设备不合法。
28. 根据权利要求27所述的装置，其特征在于，所述处理单元具体用于：

    通过所述通信单元向核心网设备发送以下至少一项信息：

    所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对 应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识；

    通过所述通信单元接收来自所述核心网设备的所述第二信息。
29. 根据权利要求26至28任一所述的装置，其特征在于，所述第一标识为所述终端设备的终端标识，或者，所述第一标识为所述终端设备的终端标识的一部分，或者，所述第一标识为所述终端设备的组标识。
30. 根据权利要求25至29任一所述的装置，其特征在于，所述装置还包括：

    向所述终端设备发送第一指示信息，所述第一指示信息用于指示在所述第一消息中携带所述第一信息。
31. 一种通信装置，其特征在于，包括：

    处理单元，用于确定第一密钥；

    通信单元，用于向终端设备发送所述第一密钥，所述第一密钥用于生成第一信息，所述第一信息为合法性验证信息。
32. 根据权利要求31所述的装置，其特征在于，所述终端设备属于第一设备组，所述第一设备组与所述第一密钥具有关联关系，所述第一设备组中第一终端设备的第一终端标识的高M位比特与所述第一设备组中第二终端设备的第二终端标识的高M位比特相同，或者所述第一设备组中第一终端设备的第一终端标识的低M位比特与所述第一设备组中第二终端设备的第二终端标识的低M位比特相同，M为大于0的整数。
33. 根据权利要求31或32所述的装置，其特征在于，所述通信单元还用于：

    确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

    向接入网设备发送所述第二信息。
34. 根据权利要求31或32所述的装置，其特征在于，所述通信单元还用于：

    获取来自接入网设备的第一信息；

    确定第二信息，所述第二信息用于对所述终端设备进行合法性验证；

    根据所述第一信息和所述第二信息确定合法性验证结果，向所述接入网设备发送所述合法性验证结果；

    其中，如果所述第一信息与所述第二信息相同，所述合法性验证结果指示所述终端设备合法；如果所述第一信息与所述第二信息不相同，所述合法性验证结果指示所述终端设备不合法。
35. 根据权利要求33或34所述的装置，其特征在于，所述通信单元具体用于：

    根据来自接入网设备的以下至少一项信息确定所述第二信息：

    所述第一消息；所述第一消息的长度；所述第一消息对应的计数值；所述第一消息对应的承载标识；所述第一消息对应的传输方向信息；终端设备的第一标识。
36. 一种通信装置，其特征在于，包括处理器，接口电路，和存储器；

    所述处理器，用于执行所述存储器中存储的计算机程序或指令，使得所述通信装置实现权利要求1至6中任意一项所述的方法。
37. 一种通信装置，其特征在于，包括处理器，接口电路，和存储器；

    所述处理器，用于执行所述存储器中存储的计算机程序或指令，使得所述通信装置实现权利要求7至15中任意一项所述的方法。
38. 一种通信装置，其特征在于，包括处理器和存储器；

    所述处理器，用于执行所述存储器中存储的计算机程序或指令，使得所述通信装置实 现权利要求1至6中任意一项所述的方法。
39. 一种通信装置，其特征在于，包括处理器和存储器；

    所述处理器，用于执行所述存储器中存储的计算机程序或指令，使得所述通信装置实现权利要求7至15中任意一项所述的方法。
40. 一种计算机可读存储介质，其特征在于，存储有计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机实现如权利要求1至6中任意一项所述的方法。
41. 一种计算机可读存储介质，其特征在于，存储有计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机实现如权利要求7至15中任意一项所述的方法。
42. 一种芯片，其特征在于，包括处理器，所述处理器与存储器耦合，用于执行所述存储器中存储的计算机程序或指令，使得所述芯片实现权利要求1至6中任意一项所述的方法。
43. 一种芯片，其特征在于，包括处理器，所述处理器与存储器耦合，用于执行所述存储器中存储的计算机程序或指令，使得所述芯片实现权利要求7至15中任意一项所述的方法。

Images