本技術(shù)涉及通信,尤其涉及一種通信方法及裝置��。
背景技術(shù):
1����、在無線通信中,通信安全是一個很重要的因素���,涉及到用戶數(shù)據(jù)的安全保障。偽基站攻擊是威脅無線安全的一種常見手段:偽基站是一種不合法的基站,通常由簡易無線設(shè)備和專用開源軟件組成��。偽基站可以通過模擬合法基站,依據(jù)相關(guān)協(xié)議向目標終端設(shè)備發(fā)送信令�����,獲取目標終端相關(guān)信息�。尤其是在終端設(shè)備初始接入基站過程前,由于此時安全模式?jīng)]有激活����,信令沒有完整性保護和加密,因此終端設(shè)備無法驗證接收到的信令消息的完整性��,并且第三方可以竊聽基站和終端之間透明傳輸?shù)拿魑南ⅰ?/p>
2�����、為保證基站與終端之間的通信安全�,基站可以在終端設(shè)備初始接入之后,啟動安全模式��,向終端設(shè)備發(fā)送加密秘鑰以及實現(xiàn)完整性保護的完整性保護密鑰key等參數(shù)��,后續(xù)基站和終端設(shè)備之間的信令交互可以基于加密秘鑰對傳輸數(shù)據(jù)進行加密���,以實現(xiàn)數(shù)據(jù)加密和空口完整性保護���。
3、但是�����,目前在基站向終端設(shè)備發(fā)送加密密鑰和完整性保護密鑰key之前�,基站與終端設(shè)備之間交互的信令是沒有進行數(shù)據(jù)加密和完整性保護的�。在基站和終端設(shè)備之間啟動安全模式之前�����,偽基站可以竊聽基站與終端設(shè)備之間交互的信令,例如獲取終端設(shè)備的標識信息����。因此,如何提高系統(tǒng)安全性�,是一個亟待解決的問題。
技術(shù)實現(xiàn)思路
1�����、本技術(shù)提供一種通信方法及裝置�,用以提高系統(tǒng)安全性。
2�、第一方面,本技術(shù)提供一種通信方法��,該方法的執(zhí)行主體為終端設(shè)備或終端設(shè)備中的一個模塊或芯片�,這里以終端設(shè)備為執(zhí)行主體為例進行描述�����。該方法包括:接收來自所述網(wǎng)絡(luò)設(shè)備的第一參考信號;根據(jù)所述第一參考信號確定第一信道密鑰���;所述第一信道密鑰用于對在安全模式啟動之前發(fā)送的消息進行加密和/或完整性保護���;發(fā)送第一消息;所述第一消息采用所述第一信道密鑰進行加密和/或完整性保護���,所述第一消息包括終端設(shè)備的標識信息�。
3���、根據(jù)該方法���,在初始接入過程中,根據(jù)來自網(wǎng)絡(luò)設(shè)備的第一參考信號生成第一信道密鑰���,當在安全模式啟動之前發(fā)送包括終端設(shè)備的標識信息的第一消息時�,使用第一信道密鑰對第一消息進行加密和/或完整性保護����,抵抗?jié)撛诘墓?���,使得終端設(shè)備和網(wǎng)絡(luò)設(shè)備在初始接入過程中就能完成重要信息的交互�����,可以提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>
4����、一種可能的實現(xiàn)方式中,所述方法還包括:接收來自所述網(wǎng)絡(luò)設(shè)備的第一信息��;所述第一信息用于指示第一資源�;通過第一資源發(fā)送第二參考信號以及第一校正信息;所述第一校正信息是根據(jù)所述第一信道密鑰確定的�����,第二參考信號用于確定第二信道密鑰��,所述第一校正信息用于對所述第二信道密鑰進行校正�。
5、通過該方法�����,通過第一校正信息,可以使得網(wǎng)絡(luò)設(shè)備對生成的第二信道密鑰進行校正�����,使得校正后的第二信道密鑰與第一信道密鑰相同�,這樣可以保證網(wǎng)絡(luò)設(shè)備和終端設(shè)備之間可以互相解密對方發(fā)送的消息��。
6��、一種可能的實現(xiàn)方式中����,所述第一信息位于系統(tǒng)信息塊中,或者�,所述第一信息位于隨機接入過程中的隨機接入響應(yīng)消息中,或者���,所述第一信息位于第二消息中���。
7、上述消息為初始接入過程中的消息�����,這樣可以保證在初始接入過程中,終端設(shè)備能夠發(fā)送第二參考信號�����,使得網(wǎng)絡(luò)設(shè)備根據(jù)第二參考信號確定第二信道密鑰��,提高初始接入過程中數(shù)據(jù)傳輸?shù)陌踩浴?/p>
8�����、一種可能的實現(xiàn)方式中��,所述方法還包括:接收來自所述網(wǎng)絡(luò)設(shè)備的第二校正信息�;所述第二校正信息用于對第一信道密鑰進行校正;根據(jù)所述第二校正信息對所述第一信道密鑰進行校正�,獲得校正后的所述第一信道密鑰;所述校正后的所述第一信道密鑰用于對在安全模式啟動之前發(fā)送的消息進行加密和/或完整性保護�。
9、通過該方法���,通過第二校正信息�����,對第一信道密鑰進行校正���,使得校正后的第一信道密鑰與網(wǎng)絡(luò)設(shè)備生成的第二信道密鑰相同�,這樣可以保證網(wǎng)絡(luò)設(shè)備和終端設(shè)備之間可以互相解密對方發(fā)送的消息���。
10����、一種可能的實現(xiàn)方式中��,所述根據(jù)所述第一參考信號確定第一信道密鑰��,包括:根據(jù)所述第一參考信號確定第一信道測量結(jié)果���;根據(jù)所述第一信道測量結(jié)果確定第一信道特征參數(shù)的取值;根據(jù)所述第一信道特征參數(shù)的取值以及第一信道密鑰生成算法確定所述第一信道密鑰��。
11�、一種可能的實現(xiàn)方式中,所述方法還包括:接收來自所述網(wǎng)絡(luò)設(shè)備的系統(tǒng)信息塊或第二消息��,所述系統(tǒng)信息塊或所述第二消息包括以下至少一項:信道特征參數(shù)列表,所述信道特征參數(shù)列表包括至少一個信道特征參數(shù)��;信道密鑰生成算法列表�����,所述信道密鑰生成算法列表包括至少一個信道密鑰生成算法�。
12、該實現(xiàn)方式實現(xiàn)起來較靈活�,可以根據(jù)自己的能力選擇第一信道特征參數(shù)和第一信道密鑰生成算法,使得選擇的第一信道特征參數(shù)和第一信道密鑰生成算法和終端設(shè)備的能力較匹配��,保證信道密鑰的生成速率和準確性�����。
13��、一種可能的實現(xiàn)方式中�,所述方法還包括:從至少一個信道特征參數(shù)中確定所述第一信道特征參數(shù),和/或�����,從所述至少一個信道密鑰生成算法中確定所述第一信道密鑰生成算法�。
14、一種可能的實現(xiàn)方式中,所述方法還包括:發(fā)送第二信息��,所述第二信息用于指示以下至少一項:所述第一信道特征參數(shù)�����;所述第一信道密鑰生成算法�。
15、通過第二信息�,使得網(wǎng)絡(luò)設(shè)備也根據(jù)第一信道特征參數(shù)和/或第一信道密鑰生成算法確定信道密鑰,使得網(wǎng)絡(luò)設(shè)備確定的信道密鑰與終端設(shè)備確定的信道密鑰相匹配�,網(wǎng)絡(luò)設(shè)備和終端設(shè)備之間能夠使用匹配的信道密鑰解密相互之間發(fā)送的消息。
16����、一種可能的實現(xiàn)方式中,加密所述第一消息的算法為第一加密算法�,完整性保護所述第一消息的算法為第一完整性保護算法�����,所述第一加密算法和所述第一完整性保護算法的輸入?yún)?shù)包括所述第一信道密鑰��;所述方法還包括:接收來自所述網(wǎng)絡(luò)設(shè)備的系統(tǒng)信息塊或第二消息�����,所述系統(tǒng)信息塊或所述第二消息包括以下至少一項:第一加密算法列表,所述第一加密算法列表包括至少一個加密算法�;第一完整性保護算法列表,所述第一完整性保護算法列表包括至少一個完整性保護算法�����。
17�、一種可能的實現(xiàn)方式中,所述方法還包括:從第一加密算法列表中確定所述第一加密算法���,和/或從所述第一完整性保護算法列表中確定所述第一完整性保護算法�。
18����、一種可能的實現(xiàn)方式中,所述方法還包括:發(fā)送第三信息�,所述第三信息用于指示以下至少一項:所述第一加密算法;所述第一完整性保護算法�����。
19����、一種可能的實現(xiàn)方式中�,加密所述第一消息的算法為第一加密算法��,完整性保護所述第一消息的算法為第一完整性保護算法�,所述第一加密算法和所述第一完整性保護算法的輸入?yún)?shù)包括所述第一信道密鑰;所述方法還包括:發(fā)送第三消息���,所述第三消息包括以下至少一項:第二加密算法列表����,所述第二加密算法列表包括至少一個加密算法�,所述至少一個加密算法包括所述第一加密算法;第二完整性保護算法列表�,所述第二完整性保護算法列表包括至少一個完整性保護算法,所述至少一個完整性保護算法包括所述第一完整性保護算法��。
20���、一種可能的實現(xiàn)方式中,所述方法還包括:接收來自所述網(wǎng)絡(luò)設(shè)備的第四信息�����,所述第四信息用于指示以下至少一項:所述第一加密算法;所述第一完整性保護算法�。
21、一種可能的實現(xiàn)方式中�����,所述方法還包括:發(fā)送第一信息���;所述第一信息用于指示具有信道密鑰生成能力��,或者期望采用信道密鑰進行加密和/或完整性保護�。
22�、一種可能的實現(xiàn)方式中,所述第一消息為無線資源控制rrc建立完成消息�����,或者rrc恢復完成消息��,或者rrc重建完成消息����。
23、一種可能的實現(xiàn)方式中���,所述第二消息為rrc建立消息��,或者rrc恢復消息�,或者rrc重建消息。
24���、一種可能的實現(xiàn)方式中��,所述第三消息為rrc建立請求消息�����,或者rrc恢復請求消息�����,或者rrc重建請求消息����。
25��、一種可能的實現(xiàn)方式中���,所述第一參考信號和所述第二參考信號位于相干帶寬內(nèi)���;所述第一參考信號的傳輸時間和所述第二參考信號的傳輸時間在相干時間內(nèi)��。
26、第二方面,本技術(shù)提供一種通信方法�����,該方法的執(zhí)行主體為網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)設(shè)備中的一個模塊或芯片,這里以網(wǎng)絡(luò)設(shè)備為執(zhí)行主體為例進行描述�。該方法包括:接收來自所述終端設(shè)備的第二參考信號��;根據(jù)所述第二參考信號確定第二信道密鑰����;所述第二信道密鑰用于對在安全模式啟動之前發(fā)送的消息進行加密和/或完整性保護;接收來自所述終端設(shè)備的第一消息��,所述第一消息包括終端設(shè)備的標識信息��;根據(jù)所述第二信道密鑰對所述第二消息進行解密和/或完整性驗證�。
27�、根據(jù)該方法�����,在初始接入過程中��,根據(jù)來自終端設(shè)備的第二參考信號生成第二信道密鑰;從而可以在安全模式啟動之前�,使用第二信道密鑰對包括終端設(shè)備的標識信息的第一消息進行解密和/或完整性驗證,抵抗?jié)撛诘墓?����,使得終端設(shè)備和網(wǎng)絡(luò)設(shè)備在初始接入過程中就能完成重要信息的交互,可以提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>
28����、一種可能的實現(xiàn)方式中���,所述方法還包括:發(fā)送第一信息;所述第一信息指示第一資源;
29�、通過所述第一資源接收來自所述終端設(shè)備的第二參考信號。
30�、一種可能的實現(xiàn)方式中�����,所述方法還包括:接收來自所述終端設(shè)備的第一校正信息�����;所述第一校正信息用于對所述第二信道密鑰進行校正���;根據(jù)所述第一校正信息對所述第一信道密鑰進行校正,獲得校正后的所述第二信道密鑰�����;所述校正后的所述第二信道密鑰用于對在安全模式啟動之前發(fā)送的消息進行加密和/或完整性保護����。
31���、一種可能的實現(xiàn)方式中��,所述第一信息位于系統(tǒng)信息塊中,或者��,所述第一信息位于隨機接入過程中的隨機接入響應(yīng)消息中����,或者����,所述第一信息位于第二消息中�。
32、一種可能的實現(xiàn)方式中��,所述方法還包括:發(fā)送第一參考信號以及第二校正信息����;所述第二校正信息根據(jù)所述第二信道密鑰確定��,所述第一參考信號用于確定第一信道密鑰����,所述第二校正信息用于對所述第一信道密鑰進行校正�����。
33�����、一種可能的實現(xiàn)方式中,所述根據(jù)所述第二參考信號確定第二信道密鑰,包括:根據(jù)所述第二參考信號確定第二信道測量結(jié)果�;根據(jù)所述第二信道測量結(jié)果確定第一信道特征參數(shù)的取值��;根據(jù)所述第一信道特征參數(shù)的取值以及第一信道密鑰生成算法確定所述第二信道密鑰�����。
34�����、一種可能的實現(xiàn)方式中���,所述方法還包括:發(fā)送系統(tǒng)信息塊或第二消息��,所述系統(tǒng)信息塊或所述第二消息包括以下至少一項:信道特征參數(shù)列表,所述信道特征參數(shù)列表包括至少一個信道特征參數(shù)�;信道密鑰生成算法列表���,所述信道密鑰生成算法列表包括至少一個信道密鑰生成算法���。
35、一種可能的實現(xiàn)方式中�,所述方法還包括:接收來自所述終端設(shè)備的第二信息����,所述第二信息用于指示以下至少一項:所述第一信道特征參數(shù);所述第一信道密鑰生成算法��。
36、一種可能的實現(xiàn)方式中�,加密所述第一消息的算法為第一加密算法����,完整性保護所述第一消息的算法為第一完整性保護算法�,所述第一加密算法和所述第一完整性保護算法的輸入?yún)?shù)包括所述第一信道密鑰����;所述方法還包括:發(fā)送系統(tǒng)信息塊或第二消息�����,所述系統(tǒng)信息塊或所述第二消息包括以下至少一項:第一加密算法列表���,所述第一加密算法列表包括至少一個加密算法��;第一完整性保護算法列表���,所述第一完整性保護算法列表包括至少一個完整性保護算法��。
37����、一種可能的實現(xiàn)方式中,所述方法還包括:接收來自所述終端設(shè)備的第三信息��,所述第三信息用于指示以下至少一項:所述第一加密算法��;所述第一完整性保護算法�。
38�����、一種可能的實現(xiàn)方式中����,加密所述第一消息的算法為第一加密算法���,完整性保護所述第一消息的算法為第一完整性保護算法�����,所述第一加密算法和所述第一完整性保護算法的輸入?yún)?shù)包括所述第一信道密鑰�����;所述方法還包括:接收來自所述終端設(shè)備的第三消息��,所述第三消息包括以下至少一項:第二加密算法列表���,所述第二加密算法列表包括至少一個加密算法�����,所述至少一個加密算法包括所述第一加密算法��;第二完整性保護算法列表,所述第二完整性保護算法列表包括至少一個完整性保護算法�,所述至少一個完整性保護算法包括所述第一完整性保護算法��。
39���、一種可能的實現(xiàn)方式中,所述方法還包括:發(fā)送第四信息���,所述第四信息用于指示以下至少一項:所述第一加密算法;所述第一完整性保護算法。
40�、一種可能的實現(xiàn)方式中�����,所述方法還包括:接收來自所述終端設(shè)備的第一信息����;所述第一信息用于指示具有信道密鑰生成能力,或者期望采用信道密鑰進行加密和/或完整性保護。
41���、一種可能的實現(xiàn)方式中,所述第一消息為無線資源控制rrc建立完成消息,或者rrc恢復完成消息�����,或者rrc重建完成消息�。
42�、一種可能的實現(xiàn)方式中��,所述第二消息為rrc建立消息,或者rrc恢復消息�����,或者rrc重建消息�����。
43、一種可能的實現(xiàn)方式中,所述第三消息為rrc建立請求消息���,或者rrc恢復請求消息���,或者rrc重建請求消息����。
44�����、一種可能的實現(xiàn)方式中��,所述第一參考信號和所述第二參考信號位于相干帶寬內(nèi)�;所述第一參考信號的傳輸時間和所述第二參考信號的傳輸時間在相干時間內(nèi)���。
45�、第三方面,本技術(shù)還提供一種通信裝置,該通信裝置能夠?qū)崿F(xiàn)上述第一方面至第二方面中任一方面中提供的任一方法�����。該通信裝置可以通過硬件實現(xiàn)�,也可以通過硬件執(zhí)行相應(yīng)的軟件實現(xiàn)���。該硬件或軟件包括一個或多個與上述功能相對應(yīng)的單元或模塊。
46����、在一種可能的實現(xiàn)方式中���,該通信裝置包括:處理器,該處理器被配置為支持該通信裝置執(zhí)行以上所示方法中網(wǎng)絡(luò)設(shè)備或終端設(shè)備或核心網(wǎng)設(shè)備的相應(yīng)功能����。該通信裝置還可以包括存儲器���,該存儲可以與處理器耦合����,其保存該通信裝置必要的程序指令和數(shù)據(jù)�?����?蛇x地,該通信裝置還包括接口電路,該接口電路用于支持該通信裝置與終端設(shè)備等設(shè)備之間的通信���。
47、在一種可能的實現(xiàn)方式中���,該通信裝置包括相應(yīng)的功能模塊��,分別用于實現(xiàn)以上方法中的步驟。功能可以通過硬件實現(xiàn)��,也可以通過硬件執(zhí)行相應(yīng)的軟件實現(xiàn)��。硬件或軟件包括一個或多個與上述功能相對應(yīng)的模塊。
48����、在一種可能的實施方式中���,通信裝置的結(jié)構(gòu)中包括處理單元和通信單元�����,這些單元可以執(zhí)行上述方法示例中相應(yīng)功能�����,具體參見第一方面至第二方面中任一方面提供的方法中的描述��,此處不做贅述�。
49、第四方面�����,提供了一種通信裝置��,包括處理器和接口電路��,接口電路用于接收來自該通信裝置之外的其它通信裝置的信號并傳輸至該處理器或?qū)碜栽撎幚砥鞯男盘柊l(fā)送給該通信裝置之外的其它通信裝置,該處理器通過邏輯電路或執(zhí)行計算機程序或指令��,實現(xiàn)前述第一方面至第二方面中任一方面中任意可能的實現(xiàn)方式中的方法的功能模塊���?���?蛇x地,該通信裝置還包括存儲器��,存儲器用于存儲計算機程序或指令�。
50、第五方面����,提供了一種計算機可讀存儲介質(zhì)����,該計算機可讀存儲介質(zhì)中存儲有計算機程序或指令,當該計算機程序或指令被處理器執(zhí)行時�,實現(xiàn)前述第一方面至第二方面中任一方面中任意可能的實現(xiàn)方式中的方法。
51�����、第六方面����,提供了一種存儲有指令的計算機程序產(chǎn)品�����,當計算機讀取并執(zhí)行該計算機程序產(chǎn)品時�,實現(xiàn)前述第一方面至第二方面中任一方面任意可能的實現(xiàn)方式中的方法。
52���、第七方面,提供一種電路,該電路被用于執(zhí)行上述第一方面至第二方面中任一方面中任意可能的實現(xiàn)方式中的方法�,該電路可包括芯片電路。可選地����,該電路可以還可以與存儲器耦合。
53���、第八方面��,提供一種芯片或芯片系統(tǒng)��,該芯片包括處理器,處理器執(zhí)行計算機程序或指令時����,用于實現(xiàn)前述第一方面至第二方面中任一方面中任意可能的實現(xiàn)方式中的方法??蛇x地,該芯片還可以包括存儲器�����,該芯片可以由芯片構(gòu)成�����,也可以包括芯片和其他分立器件?���?蛇x地�����,該芯片系統(tǒng)包括基帶片上系統(tǒng)(system-on-a-chip�����,soc)芯片和射頻(radio?frequency)芯片中的至少一項����,或者該芯片系統(tǒng)包括基帶芯片和射頻芯片芯片組中的至少一項。
54�����、第九方面����,提供了一種通信裝置����,包括處理器�����,該處理器通過邏輯電路或執(zhí)行計算機程序或指令���,實現(xiàn)前述第一方面至第二方面中任一方面中任意可能的實現(xiàn)方式中的方法。
55��、第十方面�����,提供了一種通信裝置�����,包括用于執(zhí)行上述第一方面至第二方面中任一方面中任意可能的實現(xiàn)方式中的方法的單元或模塊�。
56、第十一方面�����,本技術(shù)實施例還提供一種通信系統(tǒng)。所述通信系統(tǒng)包括:用于實現(xiàn)前述第一方面以及第一方面中的任意可能的實現(xiàn)方式中的方法的終端設(shè)備�����;用于實現(xiàn)前述第二方面以及第二方面中的任意可能的實現(xiàn)方式中的方法的網(wǎng)絡(luò)設(shè)備�。