通信方法、通信装置和通信设备与流程
本申请涉及无线通信领域,并且更具体地,涉及一种通信方法、通信装置和通信设备。
背景技术:
随着无线通信技术的发展,通信安全的问题越来越受到重视,端到端的安全连接能够为通信的双方提供了一个安全的通信环境。
现有的端到端安全连接方案,在安全连接生存周期到达时,需要协商建立新的安全连接,因此如何在安全连接的基础上更新安全连接成为亟待解决的问题。
技术实现要素:
本申请提供一种通信方法、通信装置和通信设备,能够在建立的安全连接的基础上对其快速进行更新,有效防止安全连接更新过程中的身份假冒及中间人攻击。
第一方面,提供了一种通信方法,该方法包括:第一通信设备在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息,所述第一请求消息携带有第一标识,所述第一请求消息用于请求对所述第一通信设备和第二通信设备之间的所述第一安全连接进行更新,所述第一周期是所述第一安全连接的生存周期、所述第一标识用于指示所述第一安全连接;
所述第一通信设备在所述第一周期内,通过所述第一安全连接从所述第二通信设备接收第一应答消息,所述第一应答消息携带有所述第一标识,且所述第一应答消息携带有第二标识和第二周期,其中,所述第二标识和所述第二周期是所述第二通信设备在根据所述第一标识确定所述第一安全连接在所述第一周期内有效后确定的,所述第二标识用于指示所述第一通信设备和第二通信设备之间的第二安全连接,所述第二周期是所述第二安全连接的生存周期。
根据本申请实施例的通信的方法,通过使通信的两个设备中的第一通信设备,在第一安全连接的第一安全连接生存周期内,通过第一安全连接向通信的两个设备中的第二通信设备发送第一请求消息,用于更新第一安全连接,第二通信设备接收到上述请求消息之后能够根据更新请求消息确定第二安全连接,并将对应于第二安全连接的第二安全连接标识承载在应答消息中发送给上述第一通信设备,第一通信设备接收到应答消息之后能够获取第二安全连接标识,并在后续的通信中使用第二安全连接进行通信,第二安全连接,可以是在第一安全连接基础上更新后的安全连接,也可以是新建的安全连接。
在第一安全连接的基础上更新安全连接,得到第二安全连接,能够保证第一安全连接更新过程中信息的交互是安全可靠的,并且在两次消息交互后更新了双向的端到端安全连接,节省了更新的时间。
结合第一方面,在第一方面的一种实现方式中,所述第一通信设备在所述第二周期内,通过所述第二安全连接与所述第二通信设备进行通信。
根据本申请实施例的通信的方法,第一通信设备和第二通信设备在第二安全连接的第二周期内进行正常通信后,即证明可以通过第二安全连接传输数据,并删除第一安全连接。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一通信设备在所述第二周期内,基于所述第二标识与所述第二通信设备进行通信,包括:
所述第一通信设备在所述第二周期内,根据所述第二标识和第一密钥与所述第二通信设备进行通信,其中,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥。
根据本申请实施例的通信的方法,根据第一密钥和第二标识进行通信,沿用了第一安全连接的密钥,可以不需要计算新的密钥参数,快速完成更新第一安全连接。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一通信设备在所述第二周期内,通过所述第二安全连接与所述第二通信设备进行通信,包括:
所述第一通信设备在所述第二周期内,根据所述第二标识和第二密钥与所述第二通信设备进行通信,其中,所述第二密钥与第一密钥相异,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥。
根据本申请实施例的通信的方法,根据第二密钥和第二标识进行通信,使用了更新后的密钥,并且在第一安全连接的基础上更新密钥,保证了密钥更新过程的安全。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一请求消息还携带有第二安全信息,所述第二安全信息与第一安全信息相异,其中,所述第二安全信息是所述第二通信设备生成所述第二密钥时使用的安全信息,所述第一安全信息是用于生成第一密钥的安全信息,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥,
所述第一应答消息还携带有第三安全信息,以及,
所述方法还包括:
所述第一通信设备根据所述第三安全信息,生成所述第二密钥,
其中,安全信息包括密钥生成参数和/或安全配置指示参数。
根据本申请实施例的通信的方法,根据第一通信设备发送的第二安全信息生成第二密钥,并且第二通信设备将第三安全信息发送给第一通信设备,在协商对称密钥,通信双方根据两次信息交互计算得到第二密钥,第二密钥与第一密钥相异,证明更新了密钥。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一请求消息还携带有第一验证信息,所述第一验证信息是所述第一通信设备根据第一密钥对所述第一请求消息进行处理后生成的,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥,以及
所述第二标识和所述第二周期具体是所述第二通信设备在基于所述第一标识确定所述第一安全连接在所述第一周期内有效、且基于所述第一密钥和所述第一验证信息确定所述第一请求消息通过验证后确定的。
根据本申请实施例的通信的方法,第二通信设备基于第一密钥和第一验证信息确定所述第一请求消息通过验证,可以验证第一请求消息的完整性,其中,第一验证信息是第一通信设备基于第一密钥对第一请求消息进行处理后生成的,所以第一验证信息还可以确定第一通信设备的身份。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一应答消息还携带有第二验证信息,所述第二验证信息是所述第二通信设备基于第一密钥对所述第一应答消息进行处理后生成的,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥,以及
所述方法还包括:
所述第一通信设备基于所述第一密钥和所述第二验证信息确定所述第一应答消息是否通过验证。
根据本申请实施例的通信的方法,第一通信设备根据第一密钥和第二验证信息确定所述第一应答消息通过验证,可以验证第一请求消息的完整性,其中,第二验证信息是第二通信设备根据第一密钥对第一应答消息进行处理后生成的,本申请中第一密钥包括第一对称密钥,所以第二验证信息还可以用于确定第二通信设备的身份。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一应答消息还携带有第三验证信息,所述第三验证信息是所述第二通信设备基于所述第二密钥对所述第一应答消息进行处理后生成的,以及
所述方法还包括:
所述第一通信设备基于所述第二密钥和所述第三验证信息确定所述第一应答消息是否通过验证。
根据本申请实施例的通信的方法,第一通信设备根据第二密钥和第三验证信息确定所述第一应答消息通过验证,可以验证第一请求消息的完整性,其中,第三验证信息是第二通信设备基于第二密钥对第一应答消息进行处理后生成的,所以第三验证信息还可以用于确定第二通信设备的身份。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一通信设备在第一周期内,向第二通信设备发送第一请求消息,包括:
所述第一通信设备在确定当前时刻与所述第一周期的结束时刻时间的间隔小于或等于第一阈值时,在所述第一周期内,通过所述第一安全连接向所述第二通信设备发送第一请求消息。
根据本申请实施例的通信的方法,第一通信设备在确定当前时刻与第一安全连接的安全周期的结束时刻时间的间隔小于或等于第一阈值时发送第一请求消息,能够保证在第一sci对应的安全连接的有效期内发送第一请求消息,进一步增加了消息传输的可靠性。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一通信设备在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息,包括:
所述第一通信设备在确定通过所述第一安全连接传输的数据量大于或等于第二阈值时,在所述第一周期内,通过所述第一安全连接向所述第二通信设备发送第一请求消息。
根据本申请实施例的通信的方法,第二通信设备在确定通过第一安全连接传输的数据量大于或等于第二阈值时发送请求更新安全连接的请求消息,能够保证在第一安全连接上传输的数据量不超过预设值,在达到预设值之前发送第一请求消息,能够确保数据在第一安全连接上传输的数据超过预设值而导致传输的数据无效,进一步提高了数据传输的可靠性。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,所述第一通信设备在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息,包括:
所述第一通信设备在从所述第二通信设备接收到触发消息后,在所述第一周期内,通过所述第一安全连接向所述第二通信设备发送第一请求消息。
根据本申请实施例的通信的方法,第一通信设备在接收到第二通信设备发起的触发更新安全连接的消息后,通过第一安全连接向第二通信设备发送第一请求消息,在通信的第一通信设备有更新安全连接的需求的时候,发送第一请求消息能够及时满足更新的要求从而达到后续数据传输的安全保障。
第二方面,提供了一种通信方法,该方法包括:第二通信设备在第一周期内,通过第一安全连接从第一通信设备接收第一请求消息,所述第一请求消息携带有第一标识,所述第一请求消息用于请求对所述第一通信设备和第二通信设备之间的第一安全连接进行更新,所述第一周期是所述第一安全连接的生存周期、所述第一标识用于指示所述第一安全连接;
所述第二通信设备在基于所述第一标识确定所述第一安全连接在所述第一周期内有效后确定第二标识和第二周期;
所述第二通信设备在第一周期内,通过所述第一安全连接向所述第一通信设备发送第一应答消息,所述第一应答消息携带有所述第一标识,且所述第一应答消息携带有所述第二标识和所述第二周期,所述第二标识用于指示所述第一通信设备和第二通信设备之间的第二安全连接,所述第二周期是所述第二安全连接的生存周期。
根据本申请实施例的通信的方法,通过使通信的两个设备中的第二通信设备,在第一安全连接的第一安全连接生存周期内,从第一通信设备接收第一请求消息,用于更新第一安全连接,第二通信设备接收到上述请求消息之后能够根据更新请求消息确定第二安全连接,并将对应于第二安全连接的第二安全连接标识承载在应答消息中发送给上述第一通信设备,第一通信设备接收到应答消息之后能够获取第二安全连接标识,并在后续的通信中使用第二安全连接进行通信,第二安全连接,可以是在第一安全连接基础上更新后的安全连接,也可以是新建的安全连接。
在第一安全连接的基础上更新安全连接,得到第二安全连接,能够保证第一安全连接更新过程中信息的交互是安全可靠的,并且在两次消息交互后更新了双向的端到端安全连接,节省了更新的时间。
结合第二方面,在第二方面的一种实现方式中,所述第二通信设备在所述第二周期内,基于所述第二安全连接与所述第一通信设备进行通信。
根据本申请实施例的通信的方法,第一通信设备和第二通信设备在第二安全连接的第二周期内进行正常通信后,即证明可以基于第二安全连接传输数据,并删除第一安全连接。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第二通信设备在所述第二周期内,基于所述第二安全连接与所述第一通信设备进行通信,包括:
所述第二通信设备在所述第二周期内,基于所述第二标识和第一密钥与所述第一通信设备进行通信,其中,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥。
根据本申请实施例的通信的方法,根据第一密钥和第二标识进行通信,沿用了第一安全连接的密钥,可以不需要计算新的密钥参数,快速完成更新第一安全连接。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第二通信设备在所述第二周期内,基于所述第二安全连接与所述第一通信设备进行通信,包括:
所述第二通信设备在所述第二周期内,基于所述第二标识和第二密钥与所述第一通信设备进行通信,其中,所述第二密钥与第一密钥相异,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥。
根据本申请实施例的通信的方法,基于第二密钥和第二标识进行通信,使用了更新后的密钥,并且在第一安全连接的基础上更新密钥,保证了密钥更新过程的安全。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第一请求消息还携带有第二安全信息,所述第二安全信息与第一安全信息相异,其中,所述第二安全信息是所述第二通信设备生成所述第二密钥时使用的安全信息,所述第一安全信息是用于生成第一密钥的安全信息,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥,
所述第一应答消息还携带有第三安全信息,以及,
所述方法还包括:
所述第一通信设备根据所述第三安全信息,生成所述第二密钥,
其中,安全信息包括密钥生成参数和/或安全配置指示参数。
根据本申请实施例的通信的方法,根据第一通信设备发送的第二安全信息生成第二密钥,并且第一通信设备将第三安全信息发送给第一通信设备,在协商机损密钥,通信双方根据两次信息交互计算得到第二密钥,第二密钥与第一密钥相异,证明更新了密钥。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第一请求消息还携带有第一验证信息,所述第一验证信息是所述第一通信设备根据第一密钥对所述第一请求消息进行处理后生成的,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥,以及
所述第二标识和所述第二周期具体是所述第二通信设备在基于所述第一标识确定所述第一安全连接在所述第一周期内有效、且根据所述第一密钥和所述第一验证信息确定所述第一请求消息通过验证后确定的。
根据本申请实施例的通信的方法,第二通信设备根据第一密钥和第一验证信息确定所述第一请求消息通过验证,可以验证第一请求消息的完整性,其中,第一验证信息是第一通信设备根据第一密钥对第一请求消息进行处理后生成的,所以第一验证信息还可以确定第一通信设备的身份。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第一应答消息还携带有第二验证信息,所述第二验证信息是所述第二通信设备根据第一密钥对所述第一应答消息进行处理后生成的,所述第一密钥是所述第一通信设备和所述第二通信设备通过所述第一安全连接通信时使用的密钥,以及
所述方法还包括:
所述第一通信设备根据所述第一密钥和所述第二验证信息确定所述第一应答消息是否通过验证。
根据本申请实施例的通信的方法,第一通信设备根据第一密钥和第二验证信息确定所述第一应答消息通过验证,可以验证第一请求消息的完整性,其中,第二验证信息是第二通信设备根据第一密钥对第一应答消息进行处理后生成的,所以第二验证信息还可以用于确定第二通信设备的身份。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第一应答消息还携带有第三验证信息,所述第三验证信息是所述第二通信设备基于所述第二密钥对所述第一应答消息进行处理后生成的,以及
所述方法还包括:
所述第一通信设备基于所述第二密钥和所述第三验证信息确定所述第一应答消息是否通过验证。
根据本申请实施例的通信的方法,第一通信设备根据第二密钥和第三验证信息确定所述第一应答消息通过验证,可以验证第一请求消息的完整性,其中,第三验证信息是第二通信设备根据第二密钥对第一应答消息进行处理后生成的,所以第三验证信息还可以用于确定第二通信设备的身份。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第二通信设备在第一周期内,向所述第一通信设备发送第一应答消息,包括:
所述第二通信设备在确定当前时刻与所述第一周期的结束时刻时间的间隔小于或等于第一阈值时,在所述第一周期内,通过所述第一安全连接向所述第一通信设备发送第一应答消息。
根据本申请实施例的通信的方法,第二通信设备在确定当前时刻与第一安全连接的安全周期的结束时刻时间的间隔小于或等于第一阈值时发送第一应答消息,能够保证在第一安全连接的有效期内发送第一应答消息,进一步增加了消息传输的可靠性。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第二通信设备在第一周期内,通过所述第一安全连接向所述第一通信设备发送第一应答消息,包括:
所述第二通信设备在确定通过所述第一安全连接传输的数据量大于或等于第二阈值时,在所述第一周期内,通过所述第一安全连接向所述第一通信设备发送第一应答消息。
根据本申请实施例的通信的方法,第二通信设备在确定通过第一安全连接传输的数据量大于或等于第二阈值时发送请求更新安全连接的请求消息,能够保证在第一安全连接上传输的数据量不超过预设值,在达到预设值之前发送第一应答消息,能够确保数据在第一安全连接上传输的数据超过预设值而导致传输的数据无效,进一步提高了数据传输的可靠性。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,所述第二通信设备在第一周期内,通过第一安全连接向所述第一通信设备发送第一应答消息,包括:
所述第二通信设备在从所述第一通信设备接收到触发消息后,在所述第一周期内,通过所述第一安全连接向所述第一通信设备发送第一应答消息。
根据本申请实施例的通信的方法,第二通信设备在接收到第一通信设备发起的触发更新安全连接的消息后,通过所述第一安全连接向第一通信设备发送第一应答消息,在通信的第一通信设备有更新安全连接的需求的时候,发送第一应答消息能够及时满足更新的要求从而达到后续数据传输的安全保障。
第三方面,提供了一种通信装置,该装置可以用来执行第一方面及第一方面的任意可能的实现方式中的第一通信设备的操作。具体地,通信装置包括用于执行上述第一方面所描述的步骤或功能相对应的部件(means)可以是第一方面的第一通信设备。所述步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第四方面,提供了一种通信装置,该装置可以用来用于执行第二方面及第二方面的任意可能的实现方式中的第二通信设备的操作。具体地,该装置可以包括用于执行上述第二方面所描述的步骤或功能相对应的部件(means)。所述步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第五方面,提供了一种通信设备,包括,处理器,存储器,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该通信装置执行第一或第二方面中任一种可能实现方式中的通信方法。
可选地,所述处理器为一个或多个,所述存储器为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
可选的,该通信设备还包括,发射机(发射器)和接收机(接收器)。
一个可能的设计中,提供了一种通信设备,包括收发器、处理器和存储器。该处理器用于控制收发器收发信号,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该网络设备执行第一方面或第一方面任一种可能实现方式中的方法。
另一个可能的设计中,提供了一种通信装置,包括收发器、处理器和存储器。该处理器用于控制收发器收发信号,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该终端设备执行第二方面或第二方面任一种可能实现方式中的方法。
第六方面,提供了一种系统,所述系统包括上述通信装置。
第七方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行上述第一方面或第二方面中任一种可能实现方式中的方法。
第八方面,提供了一种计算机可读介质,所述计算机可读介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得计算机执行上述第一方面或第二方面中任一种可能实现方式中的方法。
第九方面,提供了一种芯片系统,包括存储器和处理器,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的通信设备执行上述第一方面或第二方面中任一种可能实现方式中的方法。
本发明实施例的通信方法、通信装置和通信设备,在第一安全连接的基础上对第一安全连接进行更新处理,得到第二安全连接,能够快速完成更新安全连接的过程,并且有效防止安全更新过程中的身份假冒及中间人攻击。
附图说明
图1是适用于本申请实施例的一个应用场景示意图;
图2是本申请中一实施例提供的通信的方法的示意性框图;
图3是本申请另一实施例提供的通信的方法的示意性框图;
图4是本申请另一实施例提供的通信的方法的示意性交互图;
图5是本申请另一实施例提供的通信的方法的示意性交互图;
图6是本申请另一实施例提供的通信的方法的示意性交互图;
图7是本申请实施例提供的一种通信装置的结构示意图;
图8是本申请实施例提供的另一种通信装置的结构示意图;
图9是本申请实施例提供的另一种通信装置的结构示意图;
图10是本申请实施例提供的通信设备的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(globalsystemofmobilecommunication,gsm)系统、码分多址(codedivisionmultipleaccess,cdma)系统、宽带码分多址(widebandcodedivisionmultipleaccess,wcdma)系统、通用分组无线业务(generalpacketradioservice,gprs)、长期演进(longtermevolution,lte)系统、lte频分双工(frequencydivisionduplex,fdd)系统、lte时分双工(timedivisionduplex,tdd)、通用移动通信系统(universalmobiletelecommunicationsystem,umts)、全球互联微波接入(worldwideinteroperabilityformicrowaveaccess,wimax)通信系统、未来的第五代(5thgeneration,5g)系统或新无线(newradio,nr)等。
本申请实施例中的第一通信设备和第二通信设备可以指支持身份和位置分离的身份网络(id-orientednetworking,ion)协议栈的用户设备(userequipment,ue)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiationprotocol,sip)电话、无线本地环路(wirelesslocalloop,wll)站、个人数字处理(personaldigitalassistant,pda)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5g网络中的终端设备或者未来演进的公用陆地移动通信网络(publiclandmobilenetwork,plmn)中的终端设备等,本申请实施例对此并不限定。
本申请实施例中的第一通信设备和第二通信设备还可以是网关(gateway),又称网间连接器、协议转换器,本申请实施例对第一通信设备和第二通信设备是上述用户设备还是网关并不限定,对于第一通信设备和第二通信设备之间的安全连接可以是用户设备与用户设备之间,用户设备与网关之间,网关与网关之间,本申请对此并不限定。
图1示出了本申请的一个应用场景的示意图。图1中给出了在ion网络架构下的网络侧和通信设备之间的消息交互,在这里首先介绍一下ion网络架构,ion网络是为了克服传统的网络协议(transmissioncontrolprotocol/internetprotocol,tcp/ip)协议栈在设计思想上的缺陷,ion网络架构在传统tcp/ip协议栈中的3层(即ip层)与4层(即tcp层)中间增加了身份(identity,id)层,id代表用户的身份标识,ip代表用户的位置,即通过id与位置(locator,ipaddress)解耦,利用与拓扑位置无关的身份标识,基于id的会话连接可以穿越多个地址边界,不受通信地址的限制,在网络高速发展的前提下,未来网络的移动性要求会越来越高,ion网络能够保障未来网络的泛移动和高安全的需求。在ion的网络架构中,分离了主机的id和locator属性,并建立了一个统一的控制管理层用于管理相关的服务,分布式部署在网络中,用于对主机的身份、位置等信息进行统一管理。
ion的控制层主要包括以下功能:
identityservice:提供身份的管理服务;
mapping/locationservice:提供身份与位置映射的管理服务;
groupingservice:提供id关系的管理服务;
metadataservice:提供元数据的管理服务。
图1可以包括110-140四个部分,下面对这四个部分详细的进行介绍。
110,可选地是本申请中的网络侧,应用到了ion控制层的身份管理功能和身份与位置映射管理功能,基于身份信息建立安全连接之后,在本申请中需要利用到身份和密钥管理功能模块下发给第一通信设备和第二通信设备的公钥,即建立安全连接时通信双方持有的第一密钥,利用公钥在更新安全连接的过程中进行身份认证和计算消息认证码,但是本申请中对于网络侧的功能并不做限制,只需要用到安全连接建立过程中网络侧下发的公钥,在安全连接更新之前第一通信设备和第二通信设备会将各自的身份信息上传给网络侧,目的是通信的双方通信设备会明确地知道对方的身份信息,但是在更新第一安全连接时通信设备如何获取对方的身份信息在本申请中不做限制,可选地,可以是在通信过程中携带了身份信息,能够让对方得知,也可以是网络侧下发给第一通信设备和第二通信设备的。
120,可选地是本申请中通信的两个通信设备中的第一通信设备。本申请中对第一通信设备不做限制可以是网关或用户设备等。
130,可选地是本申请中通信的两个通信设备中的第二通信设备。本申请中对第二通信设备不做限制可以是网关或用户设备等。
140,是本申请中通信设备的协议结构示意部分,包括应用层、传输层、身份层、地址层、连接层和物理层。可以看出本申请中的第一通信设备和第二通信设备是支持身份和地址分离的网络协议的通信设备。
应理解,图1只是本申请一种应用场景的示例,而非限制本发明实施例的范围,在其他网络架构下能够使用本申请更新安全连接方法的也在本申请的保护范围之内。
图2是本申请一实施例提供的通信的方法的示意性框图。包括s110-s120两个步骤,下面对这两个步骤详细的进行介绍。
s110,通过第一安全连接发送第一请求消息。
可选地,第一通信设备在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息,所述第一请求消息携带有第一标识,所述第一请求消息用于请求对所述第一通信设备和第二通信设备之间的第一安全连接进行更新,所述第一周期是所述第一安全连接的生存周期、所述第一标识用于指示所述第一安全连接。
在本申请中对如何获得的第一周期和第一标识不做限制,可以是建立第一安全连接时协商确定,也可以是第一通信设备和第二通信设备在第一安全连接上通信时在消息中携带了告知对方通信设备的。携带有第一标识是为了指示在建立好的第一安全连接上发送第一请求消息,可选地,第一安全连接为安全可靠的安全连接,在第一安全连接上发送消息确认为安全可靠的。
其中,第一安全连接包括需要更新的安全连接,第一周期包括建立第一安全连接时确定第一安全连接有效的时间,认为在第一周期内,通信的两个通信设备在第一安全连接上传输数据是安全可靠的。
可选地,第一请求消息携带有第一验证信息,本申请中以第一消息认证码(messageauthenticationcode,mac)为例,进行介绍安全连接过程中的信息交互。其中消息认证码mac是带密钥的哈希hash函数,是密码学中通信实体双方使用的一种验证机制,保证消息数据完整性的一种工具。构造方法由m.bellare提出,安全性依赖于hash函数,故也称带密钥的hash函数。
消息认证码是基于密钥和消息摘要所获得的一个值,可用于数据源发认证和完整性校验。在发送数据之前,发送方首先使用通信双方协商好的散列函数计算其摘要值。在双方共享的会话密钥作用下,由摘要值获得消息验证码。之后,它和数据一起被发送。接收方收到报文后,首先利用会话密钥还原摘要值,同时利用散列函数在本地计算所收到数据的摘要值,并将这两个数据进行比对。若两者相等,则报文通过认证。所以在本申请中,基于第一标识对应的安全连接发送第一请求消息时,可以将更新前安全连接所对应的第一对称密钥作为消息认证码基于的密钥,可以使得在本申请中mac起到消息认证和身份认证双重功能。
可选地,第一mac由第一密钥计算得到,本申请实施例以第一对称密钥(securitykey,ks)为例进行介绍。第一密钥是第一通信设备和第二通信设备通过第一安全连接通信时使用的密钥。
可选地,本申请中根据第一密钥计算第一mac,mac=hamc-sha1-96(ks,m1),其中hamc-sha1-96是一种认证算法,ks可以为上述第一ks,m1为上述第一请求消息,可选地,在本申请中mac能够作为身份认证和消息完整性认证,本申请中第一mac由第一ks计算得到,又因为第一ks是第一通信设备和第二通信设备已知的参数,所以在进行第一mac验证时根据对称密钥可以在验证第一请求消息完整性的同时验证第一通信设备的身份。
可选地,第一请求消息还包括,通信的两个通信设备的id信息,报文序列号(sequencenumber,seq),其中通信的两个通信设备的id信息是建立安全连接时双发就已经知道的参数,可以是管理设备发送的,也可以是在原有通信中,通信的两个通信设备将id携带在消息中发送给了对方,本申请中对通信的两个通信设备如何获取对方身份信息不做限定;其中,报文序列号用于标识每个报文段,使接收请求消息的第二通信设备能够确认已收到指定报文段中的数据。当第一通信设备用于多个报文段发送一个报文时,即使这些报文到达第二通信设备的顺序不一样,报文序列号也可以使第二通信设备按顺序排列它们,能够防止报文重放攻击。
可选地,第一请求消息还包括密钥生成参数(keygenerationprameters,kgp),其中密钥生成参数可以为迪菲-赫尔曼密钥交换(diffie–hellmankeyexchange,dh)是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。下面简单介绍一下dh密钥生成算法。
假设通信的双方为用户alice和用户bob迪菲-赫尔曼密钥生成算法如下:
选取一个大素数n
选取一个数a,a为素数n的一个原根;
用户alice选择一个随机数x<n,计算palice=axmodn;
用户alice把a,n,palice发送给bob;
用户bob选择一个随机数y<n,计算pbob=aymodn;
用户bob把pbob发送给alice;
用户alice,bob分别计算共享密钥(kalice=kbob);
kalice=pbobxmodn;
kbob=paliceymodn;
当kalice,kbob分别产生了共享密钥后,就可以协商要使用的加密算法,例如三重数据加密算法(tripledes,3des)、高级加密标准(advancedencryptionstandard,aes)等,协商之后,就可以使用共享密钥和加密算法对明文进行加密,从而保证数据的安全。
本申请中,当第一请求消息还包括密钥生成参数dh时,在发送的第一请求消息中会携带密钥生成参数dh,可以包括:素数p,有限循环群g的生成元g,以及第一通信设备侧的dh公钥a,携带上述参数时,在发送当第一请求消息前。第一通信设备还需要计算出上诉参数,可选地,包括:
产生随机数rand1;
利用所述rand1计算第一通信设备侧的dh公钥a=grand1modp,其中p是一个素数,g是一个有限循环群g的生成元,所述参数g和p包括提前公开或以明文发送给所述第二通信设备;
所述参数g和p为提前公开时,第一请求消息中的密钥生成参数包括所述参数a,或者,所述参数g和p携带在第一请求消息中时,第一请求消息中的密钥生成参数包括所述a、g和p。
应理解,本申请中更新安全连接时的密钥生成参数对应建立安全连接时使用的密钥生成参数,为dh参数时,使用上述dh参数生成方法生成相应的参数,当建立安全连接时使用的其他密钥参数,更新时需要更新相对应的密钥参数,这里的dh参数只是本申请的一个实施例,建立安全连接过程中使用其他密钥参数时也在本申请的保护范围内。例如,建立过程中使用基于身份的加密(identitybaseencryption,ibe)时,这里密钥生成参数可以为一个随机数,本申请中以下实施例以dh参数为例进行说明。
可选地,第一请求消息还包括安全配置指示参数(securityprofilenumber,spn),其中,安全配置指示参数包括密钥生成算法、认证算法以及加密算法,第一请求消息可以携带其中的一种或几种算法。
可选地,密钥生成算法包括派生密钥函数(keyderivedfunction,kdf),kdf的作用是从一个共享的秘密比特种派生出密钥数据,在密钥协商过程中,kdf作用在密钥交换所获共享的秘密比特串上,从中产生所需要的会话密钥或者进一步加密所需要的密钥数据。
可选地,认证算法包括hamc-sha1-96是hamc-sha1认证算法的一种,hamc-sha1是一种安全的基于加密hash函数和共享密钥的消息认证协议,它可以有效地防止数据在传输过程中被截获和篡改,维护了数据的完整性、可靠性和安全性。hamc-sha1消息认证机制的成功在于一个加密的hash函数、一个加密的随机密钥和一个安全的密钥交换机制。hamc-sha1其实还是一种散列算法,只不过是用密钥来求取摘要值的散列算法。hamc-sha1算法在身份验证和数据完整性方面可以得到很好的应用,在目前网络安全也得到较好的实现。
可选地,加密算法包括数据加密标准(dataencryptionstandard,des)算法为密码体制中的对称密码体制,又被称为美国数据加密标准,是1972年美国国际商业机器公司(internationalbusinessmachinescorporation,ibm)公司研制的对称密码体制加密算法。
可选地,第一通信设备发送第一请求消息根据所述第一通信设备在确定当前时刻与所述第一周期的结束时刻时间的间隔小于或等于第一阈值时,在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息。其中,所述第一阈值可以是第一通信设备和第二通信设备双方约定的时间阈值也可以是在建立安全连接时网络侧发送给第一通信设备和第二通信设备的,本申请不做限制。
应理解,本申请spn包括的上述密钥生成算法、认证算法以及加密算法是本申请的一个实施例,并不能限制本申请的保护范围。
可选地,第一通信设备发送第一请求消息根据所述第一通信设备在确定通过所述第一标识对应的安全连接传输的数据量大于或等于第二阈值时,在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息。其中第二阈值可以是第一通信设备和第二通信设备双方约定的时间阈值也可以是在建立安全连接时网络侧发送给第一通信设备和第二通信设备的,本申请不做限制。
可选地,第一通信设备发送第一请求消息根据所述第一通信设备在从所述第二通信设备接收到触发消息后,在第一周期内,通过第一安全连接向第二通信设备发送第一请求消息。其中,第二通信设备认为需要更新当前安全连接时可以向第一通信设备发起更新需求时,第一通信设备可以发送第一请求消息用于更新当前的安全连接。
可选地,第一通信设备发送第一请求消息中所包括的参数根据具体的情况以及需要更新的内容而定,下面图4-图6将根据更新的参数不同具体介绍第一请求消息中所包括的内容。这里是一个笼统地介绍第一请求消息可以包括的参数。
s120,通过第一安全连接接收第一应答消息。
可选地,第一通信设备在第一周期内,通过第一安全连接从第二通信设备接收第一应答消息,第一应答消息携带有第一标识,且第一应答消息携带有第二标识和第二周期,其中,第二标识和第二周期是第二通信设备在基于第一标识确定第一安全连接在第一周期内有效后确定的,第二标识用于指示第一通信设备和第二通信设备之间的第二安全连接,第二周期是第二安全连接的生存周期。
可选地,第一标识对应着第一安全连接,指示在第一安全连接上传输第一应答消息,第二标识对应着第二安全连接与第一安全连接相异,可以用于后续的数据传输,第二周期对应着第二安全连接的生存周期,用第二周期指示第二安全连接的有效存在时间,指示在第二周期到达前需要对第二安全连接进行新一次的更新安全连接。
可选地,第一应答消息还包括,通信的两个通信设备的id信息、seq,第一应答消息中包括的通信的两个通信设备的id信息以及seq与上述第一请求消息中的通信的两个通信设备的id信息以及seq一致,这里不做重复介绍。
可选地,第一应答消息还包括状态信息,其中,状态信息可以包括肯定应答消息,用于通知第一通信设备,第二通信设备已经正确的接收了上述第一请求消息。
可选地,第一应答消息还包括状态信息,其中,状态信息可以包括否定应答消息,用于通知第一通信设备,第二通信设备已经丢弃了上述第一请求消息,需要第一通信设备重传第一请求消息,在第二通信设备已经丢弃了上述第一请求消息的情况下,第一应答消息只有否定应答消息,即不会携带上述第二标识和第二周期,此时,第一通信设备会重新发送第一请求消息,直至第二通信设备发出的第一应答消息中包括第二标识和第二周期,第一通信设备才会执行更新安全连接的动作,其中,执行更新安全连接的动作可以包括基于第二标识与第二通信设备进行通信。
可选地,在第一请求消息中携带有上述dh参数时,第一应答消息中还包括第二通信设备生成的第二通信设备侧的dh公钥b,其中如何生成参数b在图3中第二通信设备接收第一请求消息后的处理步骤详细介绍。
可选地,在第一应答消息中携带第二验证信息,第二验证信息是第二通信设备根据第一密钥对第一应答消息进行处理后生成的,本申请中以第二消息验证码以第二mac为例说明,其中第二mac的计算在图3中第二通信设备接收第一请求消息后的处理步骤详细介绍。
可选地,在第一应答消息中携带第三验证信息,第三验证信息是第二通信设备基于第二密钥对第一应答消息进行处理后生成的,本申请中以第三消息验证码以第三mac为例说明,其中第三mac的计算在图3中第二通信设备接收第一请求消息后的处理步骤详细介绍。
可选地,对第二mac或第三mac验证通过后,第一通信设备接收到第一应答消息,上述第一应答消息中携带有第二标识即第二安全连接的连接标识,所以第一通信设备在收到第一应答消息后,能够根据第二标识指示新的安全连接,并在新的安全连接上与第二通信设备进行通信。
可选地,第一应答消息包括上述第二通信设备侧的dh公钥b时,第一通信设备接收到第一应答消息后会根据第二通信设备侧的dh公钥b生成第二安全连接对应的对称密钥第二ks即第二密钥,具体生成步骤如下:
利用第二通信设备侧的dh公钥b后生成主会话密钥,pmk=brand1modp;
根据上述密钥生成算法和密钥参数,其中密钥生成算法和密钥参数是第一请求消息中携带的,第一通信设备在计算出上述密钥生成算法和密钥参数后不仅会携带在第一请求中发送给第二通信设备,本身也会存储计算出来的参数,在生成对称密钥第二ks时可以直接使用。生成第二对称密钥ks=prf-hmac-sha1(pmk||ida||idb)。
可选地,在进行通信前,第一通信设备会发送第二应答消息给第二通信设备,用于应答是否正确接收第一应答消息。
图3是本申请另一实施例提供的通信的方法的示意性框图。包括s210-s220两个步骤,下面对这两个步骤详细的进行介绍。
s210,通过第一安全连接接收第一请求消息。
第二通信设备在第一周期内,通过第一安全连接从第一通信设备接收第一请求消息,第一请求消息携带有第一标识,第一请求消息用于请求对第一通信设备和第二通信设备之间的第一安全连接进行更新,第一周期是第一安全连接的生存周期、第一标识用于指示第一安全连接。
可选地,第一请求消息包括第一mac=hamc-sha1-96(ks,m1),第二通信设备接收到第一请求消息后会对第一通信设备的身份进行认证,第二通信设备验证第一mac,验证第一mac包括:第二通信设备接收到第一请求消息后,首先利用第一ks即第一对称密钥ks还原摘要值,同时利用散列函数在本地计算所收到的第一mac,并将这两个数据进行比对,若两者相等,则第一mac通过认证,第二通信设备验证mac时使用的是两个通信设备同时已知的第一密钥。验证通过后再对第一请求消息中携带的参数进行处理。当第二通信设备对第一请求消息中的第一mac验证不通过时,则丢弃,并反馈没有接收第一请求消息的状态信息给第一通信设备。
可选地,第二通信设备接收到第一请求消息后生成新的安全连接参数第二标识和第二周期,其中,第二标识是用于指示第二安全连接的安全连接标识第二安全连接与第一安全连接相异,第二周期用于指示第二安全连接的安全连接周期第二周期与第一周期相异。
可选地,第二通信设备接收到第一请求消息并且根据上述dh参数和/或密钥生成算法计算新的第二对称密钥ks即第二密钥,计算第二ks包括执行以下步骤:
产生随机数rand2;
利用rand2和dh参数中的参数p,计算第二通信设备侧的dh公钥b=grand2modp,其中参数g和p可以包括在第一请求消息中也可以是提前发送给第二通信设备的,本申请不做限制;
再利用所述dh参数中的参数a和参数p,生成主会话密钥,pmk=arand1modp,其中参数a包括在第一请求消息中,第二通信设备正确接收第一请求消息后能够获取参数a;
再利用所述密钥生成算法和密钥参数和上述pmk,生成新的对称密钥第二ks=prf-hmac-sha1(pmk||ida||idb),其中prf-hmac-sha1为密钥生成算法。可选地生成新的对称密钥可以包括,密钥生成算法发生改变或者dh参数发生改变或者密钥生成算法和dh参数同时发生改变。
可选地,第一请求消息中不包括dh参数和/或密钥生成算法时,第二通信设备正确接收第一请求消息后不需要计算新的对称密钥第二ks。
可选地,第二通信设备在对第一请求消息进行处理后以及发出第一应答消息之前,第二通信设备需要计算第一应答消息包括的第二验证信息,第二验证信息是第二通信设备根据第一密钥对第一应答消息进行处理后生成的计算方法包括,以mac为例:
mac=hamc-sha1-96(ks,m2||dha),其中,hamc-sha1-96是一种认证算法,m2为上述第一应答消息,当第一请求消息中包括dh参数和/或密钥生成算法时即,第二通信设备生成了第二密钥即新的对称密钥第二ks后,上述第二通信设备计算mac时可以是第一对称密钥ks也可以是新的对称密钥第二ks,还可以是第一对称密钥ks和新的对称密钥第二ks生成的一个认证参数第三ks,本申请中不做限定,根据提出的三种情况,第一通信设备接收到第一应答消息后验证验证信息的方法包括以下三种方法:
方法一:当第二通信设备的第二验证信息是mac=hamc-sha1-96(ks,m2||dha)其中ks是第一对称密钥ks时,第一通信设备接收到第一应答消息后直接对第二验证信息进行认证,即根据第一应答消息和本身持有的第一对称密钥ks验证mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
方法二:当第二通信设备的第三验证信息为mac=hamc-sha1-96(ks,m2||dha)其中ks是新的对称密钥第二ks时,第一通信设备接收到第一应答消息后首先根据第一应答消息中安全参数计算新的对称密钥第二ks,再对第三验证信息进行认证,即根据第一应答消息和计算得到的第二ks验证mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
方法三:当第二通信设备的第三验证信息是mac=hamc-sha1-96(ks,m2||dha)其中ks是第一对称密钥ks和新的对称密钥第二ks生成的一个认证参数第三ks时,第一通信设备接收到第一应答消息后首先根据第一应答消息中安全参数计算新的对称密钥第二ks,再根据第二通信设备使用的生成认证参数的方法生成认证参数第三ks,再对第三验证信息进行认证,即根据第一应答消息和计算得到的第三ks验证mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
第二通信设备可以在第一应答消息中指示第一通信设备使用上述方法中的任意一个方法对验证信息行认证,也可以在第一安全连接上通信时协商确认,默认使用第二验证信息验证。
可选地,第二通信设备根据第一请求消息生成相应的第二标识和第二周期或者第二标识和第二周期以及第二密钥即新的对称密钥第二ks后,将上述参数存储起来。
s220,通过第一安全连接发送第一应答消息。
可选地,第二通信设备在基于第一标识确定第一安全连接在第一周期内有效后确定第二标识和第二周期;
第二通信设备在第一周期内,通过第一安全连接向第一通信设备发送第一应答消息,第一应答消息携带有第一标识,且第一应答消息携带有第二标识和第二周期,第二标识用于指示第一通信设备和第二通信设备之间的第二安全连接,第二周期是第二安全连接的生存周期。
可选地,第二通信设备在接收到第一请求消息之后基于第一标识确定第一安全连接在第一周期内有效后再确定第二标识和第二周期。
可选地,第二通信设备在第一周期内向第一通信设备发送第一应答消息能够保证在第一安全连接的安全周期内发送第一应答消息,可以保证第一应答消息的发送路径是安全可靠的。
可选地,如果第一请求消息中包括上述dh参数和/或密钥生成算法时,即第二通信设备会生成新的新的对称密钥第二ks,则第二消息中可能包括第二通信设备侧的dh公钥b,第一通信设备接收到第一应答消息后会根据第二通信设备侧的dh公钥b生成新的对称密钥第二ks或者根据新的密钥生成算法生成新的对称密钥第二ks。可选地,生成新的新的对称密钥第二ks后,第二通信设备根据二ks进一步获取后续密钥协商过程的加密密钥ksne和完整性密钥ksni,以及数据传输用到的加密密钥ksned和完整性密钥ksned。
可选地,如果第一请求消息中不包括上述dh参数和/或密钥生成算法时,即不需要进行密钥更新生成新的对称密钥第二ks,不包括上述dh参数时第一应答消息中不需携带第二通信设备侧的dh公钥b。
可选地,第一应答消息还包括图2中所述的信息,这里不再重复描述。
可选地,第二通信设备发送第一应答消息根据第二通信设备在确定当前时刻与第一周期的结束时刻时间的间隔小于或等于第一阈值时,在第一周期内,向第一通信设备发送第一应答消息。其中,第一阈值可以是第一通信设备和第二通信设备双方约定的时间阈值也可以是在建立安全连接时网络侧发送给第一通信设备和第二通信设备的,本申请不做限制。
可选地,第二通信设备发送第一应答消息根据第二通信设备在确定通过第一标识对应的安全连接传输的数据量大于或等于第二阈值时,在第一周期内,向第一通信设备发送第一应答消息。其中第二阈值可以是第一通信设备和第二通信设备双方约定的时间阈值也可以是在建立安全连接时网络侧发送给第一通信设备和第二通信设备的,本申请不做限制。
可选地,第二通信设备发送第一应答消息根据第二通信设备在从第一通信设备接收到触发消息后,在第一周期内,向第一通信设备发送第一应答消息。其中,第一通信设备认为需要更新当前安全连接时可以向第二通信设备发起更新需求时,第二通信设备可以发送第一应答消息用于更新当前的安全连接。
可选地,在通信前第二通信设备会接收到第一通信设备发送的第二应答消息,第二应答消息用于告诉第二通信设备第一通信设备正确接收到了第二标识和第二周期,可以用第二安全连接进行通信了。
可选地,第二通信设备可以在第一应答消息发送之后,在第二标识对应的第二安全连接上发送信息,当第一通信设备和第二通信设备能够在第二标识对应的第二安全连接上正确通信时,证明第一安全连接已经更新为第二安全连接,可以将第一安全连接删除,在后续通信中使用第二安全连接。
图4是本申请另一实施例提供的通信的方法的示意性交互图。以在ion网络架构下通信双方为两个终端设备个人计算机(personalcomputer,pc)为例进行介绍,安全连接更新过程中的信息如何进行交互的。
可选地,本实施例中,第一pc用户主动发起密钥更新或者第一安全连接满足需要进行密钥更新预设条件时,即,本实施例包括安全连接和密钥的更新。更新过程包括s310-s370七个步骤和s331-s333三步骤,下面对这十个步骤详细的进行介绍。
s310,第一pc计算第二安全信息和第一验证信息。
在第一pc用户主动发起密钥更新或者第一安全连接满足需要进行密钥更新预设条件时,第一pc端需要在第一安全连接上向第二pc发起第一请求消息,用于请求更新第一安全连接和密钥。在发送第一请求消息之前第一pc端需要计算发送给第二pc的安全信息和第一验证信息,第一验证信息可以用于验证第一请求消息的完整性。
第一pc端启动安全连接和密钥更新流程,首先计算第二安全信息中的参数包括:
可能一:第二安全信息包括dh参数,第一pc计算的第二安全信息包括:
产生随机数rand1;
利用所述rand1计算第一pc侧的dh公钥a=grand1modp,其中p是一个素数,g是一个有限循环群g的生成元点。
可能二:第二安全信息包括dh参数和spn中的密钥生成算法,第一pc计算的第二安全信息包括:
上述第一pc侧的dh公钥a,以及密钥生成算法包括kdf为prf-hmac-sha1。
可能三:第二安全信息包括dh参数和spn中的密钥生成算法和认证算法第一pc计算的第二安全信息包括:
上述第一pc侧的dh公钥a,以及密钥生成算法包括kdf为prf-hmac-sha1和认
证算法包括hamc-sha1-96。
可能四:第二安全信息包括dh参数和spn中的密钥生成算法和认证算法以及加密算法,第一pc计算的第二安全信息包括:
上述第一pc侧的dh公钥a,以及密钥生成算法包括kdf为prf-hmac-sha1,认证算法包括hamc-sha1-96,加密算法包括对称加密算法des。
可能五:第二安全信息包括dh参数和spn中认证算法和加密算法中任意一种或两种。
可能六:第二安全信息包括spn中密钥生成算法以及认证算法和加密算法中任意一种或两种。
第一pc计算第一验证信息包括:
可选地,本实施例中,第一pc的第一验证信息可以通过第一对称密钥ks计算得到,其中,第一对称密钥ks为第一安全连接对应的对称密钥,对第一安全连接进行更新前,第一pc和第二pc已知的对称密钥。
可选地,本实施例中,以第一mac为第一验证信息为例,第一ks可以用于计算第一mac,mac=hamc-sha1-96(ks,m1),hamc-sha1-96是一种认证算法,m1为第一请求消息,可选地,当本实施例中,第二安全信息包括认证算法时,第一pc计算第一mac时,使用第二安全信息中的认证算法,当本实施例中,第二安全信息不包括认证算法时,第一pc计算第一mac时使用第一安全参数中的认证算法,其中第一安全参数为第一安全连接对应的安全参数。
可选地,本实施例中,第一pc会将上述第二安全信息存储下来。
应理解,为了保证协议的一致性第二安全信息中可以携带不需要更新的安全参数,即,第一安全连接对应的安全参数。也可以仅仅携带需要更新的安全参数,因为第一安全连接对应的安全参数第一pc和第二pc在第一安全连接上进行数据传输时已知。
应理解,上述密钥生成参数的计算以及安全配置指示参数的选择只是本申请提供的一个实施例,本申请中更新第一安全连接的方法可以用于包括其他类型安全参数的安全连接,只需要更新相应的安全参数即可,上述安全参数的选取与安全连接建立过程中使用的安全参数相关,以上只是一个实施例,不能限制本申请的保护范围。
s320,在第一安全连接上发送第一请求消息。
可选地,本实施例中,第一pc在第一周期内通过第一安全连接向第二通信设备发送第一请求消息,其中第一请求消息包括上述的第二安全信息和第一标识、以及第一验证信息,第一标识用于标识第一安全连接,在第一周期内发送能够保证第一安全连接在有效期内,从而保证第一请求消息是在安全可靠的前提下发送给第二pc的。
可选地,本实施例中,第一请求消息中包括上述列举的可能的第二安全信息中的任意一种。
可选地,本实施例中,第一请求消息还包括通信的两个通信设备的id信息,seq。
s330,验证第一验证信息。
可选地,本实施例中,第二pc接收到第一pc在第一周期内通过第一安全连接发送第一请求消息后,根据第一请求消息中的第一验证信息第一mac,以及自身持有的第一ks,由第一mac=hamc-sha1-96(ks,m1)可知,当第二pc接收到第一请求消息后根据第一请求消息和第一ks验证第一mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过,其中散列函数计算是本申请一种实施例,不限制本申请保护范围。
s331,请求重新发送第一请求消息。
可选地,本实施例中,第二pc在验证第一mac信息不通过后,会返回一个反馈没有正确接收第一请求消息的状态信息,告知第一通信设备重新发送第一请求消息。
s340,计算第二密钥,生成第二标识和第二周期,计算验证信息。
可选地,本实施例中,第二pc在验证第一mac后,根据第一pc发送的第一请求消息计算第二密钥以第二对称密钥ks为例,其中第二ks为第二安全连接对应的对称密钥,第二安全连接与第一安全连接相异,并生成第二标识和第二周期,其中第二标识是第二安全连接的安全连接标识,第二周期用于指示第二安全连接的生存周期,根据第二周期可以在第二周期到达之前更新第二安全连接。
可选地,本实施例中,第二pc计算第二ks包括以下几种可能:
可能一:当上述第二安全信息包括dh参数时,第二pc接收到的安全参数有第一pc侧的dh公钥a以及参数p和g,其中p和g可以是提前公开的形式即不需要携带在第一请求消息中,根据这些参数计算第二ks包括步骤如下:
1、产生随机数rand2;
2、利用所述rand2和dh参数中的参数p和g,计算第二pc侧的dh公钥b=grand2modp,其中参数p可以包括在第一请求消息中也可以是提前发送给第二pc的,本申请不做限制;
3、再利用所述dh参数中的参数a和参数p,生成主会话密钥,pmk=arnad2modp,其中参数a包括在第一请求消息中,第二pc正确接收第一请求消息后能够获取参数a;
4、再利用所述密钥生成算法和密钥参数和上述pmk,生成第二ks=prf-hmac-sha1(pmk||ida||idb),其中prf-hmac-sha1为第一安全连接建立过程中,第一通信设备和第二pc已知的密钥生成算法,ida为第一pc身份信息,idb为第二pc身份信息。第一pc身份信息和第二pc身份信息第二pc是已知的,第一请求消息中也包括了。
可能二:当上述第二安全信息包括dh参数和spn中的认证算法和加密算法中任意一种或两种时,第二pc计算第二ks的步骤和方法与可能一中的一致。
可能三:当上述第二安全信息包括dh参数和spn中的密钥生成算法以及spn中认证算法和加密算法中任意一种和两种时,第二pc计算第二ks的步骤和可能一中的一致,不同的是计算第二ks=prf-hmac-sha1(pmk||ida||idb)其中密钥生成算法使用第一请求消息中包括的新的密钥生成算法。
可能四:上述第二安全信息包括spn中的密钥生成算法以及spn中认证算法和加密算法中任意一种或两种时,第二pc计算第二ks时第二ks=prf-hmac-sha1(pmk||ida||idb)其中,pmk使用第一安全连接中的参数,密钥生成算法使用第一请求消息中包括的新的密钥生成算法。
可选地,生成第二ks后,第二pc根据二ks进一步获取后续密钥协商过程的加密密钥ksne和完整性密钥ksni,以及数据传输用到的加密密钥ksned和完整性密钥ksned。
可选地,本实施例中,第二pc接收到第一请求消息并验证第一mac信息成功后,对第二安全信息处理后能够生成第二安全连接对应的第二标识和第二周期。
可选地,本实施例中,第二pc在发送第一应答消息之前计算第一应答消息的验证信息,其中,本实施例中,第二pc根据上述第二安全信息中的任意一种第二安全信息都能够生成第二ks。所以第二pc计算验证信息包括:
方法一:当第二安全信息中包括dh参数时,第二pc计算验证信息包括:
mac=hamc-sha1-96(ks,m2||dha)
hamc-sha1-96是一种认证算法,m2为第一应答消息,其中ks可以是第一ks或第二ks或者第一ks和第二ks计算出的第三ks,dha包括第一pc侧的dh公钥a,认证算法hamc-sha1-96可以是第一安全连接中的第一安全信息所包括spn中的认证算法。
方法二:当第二安全信息中包括dh参数和认证算法时,第二pc计算验证信息
mac=hamc-sha1-96(ks,m2||dha)
其中ks可以是第一ks或第二ks或者第一ks和第二ks计算出的第三ks,dha包括第一pc侧的dh公钥a,认证算法hamc-sha1-96可以是第一pc发送的第一请求消息中包括的第二安全信息中的认证算法。
可选地,本实施例中,第二pc计算验证信息时仅仅基于第一ks时,计算得到的验证信息称为第二验证信息,基于第二ks或第三ks时,计算得到的验证信息称为第三验证信息。
可选地,本实施例中,第二pc可以以明文发送的方式指示第一pc第一应答消息所使用的验证信息,也可以提前约定第一pc接收到消息后使用哪种方法进行验证,本申请中对于第一pc如何获取按照哪种方法对第二pc进行验证不做限制。
s350,发送第一应答消息。
可选地,本实施例中,第二pc在第一周期内,通过第一安全连接向第一pc发送第一应答消息,在第一周期内发送能够保证第一安全连接在有效期内,从而保证第一应答消息是在安全可靠的前提下发送给第一pc的。
可选地,本实施例中,第一应答消息中包括上述计算得到的第二pc侧的dh公钥b、第二标识和第二周期。
可选地,本实施例中,第一应答消息还包括通信的两个通信设备的id信息,seq。
s360,验证第二pc的验证信息。
可选地,本实施例中,第一pc接收到第二pc发送的第一应答消息后对验证信息进行验证包括:
方法一:根据第一应答消息中的第二验证信息,以及自身持有的第一ks,由mac=hamc-sha1-96(ks,m2||dha)可知,当第一pc接收到第一应答消息后根据第一应答消息和第一ks验证mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
方法二:首先根据第一应答消息计算得到第二ks,计算方法在s370中详细介绍,根据第一应答消息中的第三验证信息以及计算得到第二ks,当第一pc接收到第一应答消息后根据第一应答消息和第二ks验证mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
方法三:首先根据第一应答消息计算得到第二ks,计算方法在s370中详细介绍,并使用第二pc根据第一ks和第二ks计算第三ks的方法,同样计算出第三ks,根据第一应答消息中的第三验证信息,以及计算得到第三ks,当第一pc接收到第一应答消息后根据第一应答消息和第三ks验证mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
s332,请求重新发送第一应答消息。
可选地,本实施例中,第一pc在验证上述验证信息后,验证失败时,会返回一个反馈没有正确接收第一应答消息的状态信息,告知第二pc重新发送第一应答消息。
s370,计算第二密钥,存储第二标识和第二周期。
可选地,本实施例中,第一pc在验证第二pc的验证信息通过后,根据第二pc发送的第一应答消息计算第二ks,并存储第二标识和第二周期。
可选地,本实施例中,第一pc计算第二ks包括以下几种可能:
可能一:当上述第二安全信息包括dh参数时,第一pc接收到的第一应答消息有第二pc侧的dh公钥b,第一pc在计算第二安全信息后会将第二安全信息存储下来,所以第一pc在计算第二ks时能够已知参数p和g以及随机数rand1,根据这些参数计算第二ks包括步骤如下:
1、利用第一应答消息中的第二pc侧的公钥b和参数p以及rand1,生成主会话密钥,pmk=brand1modp;
2、再利用所述密钥生成算法和密钥参数和上述pmk,生成第二ks=prf-hmac-sha1(pmk||ida||idb),其中prf-hmac-sha1为第一安全连接建立过程中,第一pc和第二pc已知的密钥生成算法,ida为第一pc身份信息,idb为第二pc身份信息。第一pc身份信息和第二pc身份信息第一pc是已知的,第一应答消息中也包括了。
可能二:当上述第二安全信息包括dh参数和spn中的认证算法和加密算法中任意一种或两种时,第一pc计算第二ks的步骤和方法与可能一中的一致。
可能三:当上述第二安全信息包括dh参数和spn中的密钥生成算法以及spn中认证算法和加密算法中任意一种或两种时,第一pc计算第二ks的步骤和可能一中的一致,pmk的计算方法与可能一中的一致,不同的是计算第二ks=prf-hmac-sha1(pmk||ida||idb)其中密钥生成算法使用第一请求消息中包括的新的密钥生成算法。
可能四:当上述第二安全信息包括spn中的密钥生成算法以及spn中认证算法和加密算法中任意一种或两种时,第一pc计算第二ks,第二ks=prf-hmac-sha1(pmk||ida||idb)时,pmk使用第一安全连接中的参数,其中密钥生成算法使用第一请求消息中包括的新的密钥生成算法。
可选地,生成第二ks后,第一pc根据二ks进一步获取后续密钥协商过程的加密密钥ksne和完整性密钥ksni,以及数据传输用到的加密密钥ksned和完整性密钥ksned。
s333,发送第二应答消息。
可选地,本实施例中,第一pc在计算第二ks,存储第二标识和第二周期后,向第二pc发送第二应答消息。
可选地,本实施例中第二应答消息包括的验证信息以第四mac为例,其中,本实施例中mac包括:
方法一:当第二安全信息中包括dh参数时,第一pc计算验证信息为:
mac=hamc-sha1-96(ks,m3||dhb)
其中ks可以是第一ks或第二ks或者第一ks和第二ks计算出的第三ks,dhb包括第二pc侧的dh公钥b,认证算法hamc-sha1-96可以是第一安全连接中的第一安全参数所包括的认证算法,m3表示第二应答消息。
方法二:当第二安全信息中包括dh参数和认证算法和/或spn中密钥生成算法和加密算法两种中一种或两种时,第一pc计算验证信息为:
mac=hamc-sha1-96(ks,m3||dhb)
其中ks可以是第一ks或第二ks或者第一ks和第二ks计算出的第三ks,dhb包括第二pc侧的dh公钥b,认证算法hamc-sha1-96可以是第一pc发送的第一请求消息中包括的认证算法。
可选地,本实施例中,第一pc可以以明文发送的方式指示第二pc第二应答消息所使用的验证信息,也可以提前约定第二pc接收到第二应答消息后使用哪种方法进行验证,本申请中对于第二pc如何获取按照哪种方法进行验证不做限制。
可选地,本实施例中,第二应答消息中包括第二标识和第二周期以及肯定应答消息(acknowledgement,ack),其中,肯定应答消息ack用于指示第二pc可以用第二安全连接进行通信了。
可选地,本实施例中,第二应答消息中还包括通信的两个pc的id信息,seq。
可选地,本实施例中,第二pc接收到第二应答消息后验证验证信息,验证通过后,将第二应答消息中携带的第二标识和第二周期存储在安全数据库中,并建立id与标识的映射表,使得后续数据传输时能够使用。
可选地,本实施例中,完成上述更新流程后,第一pc和第二通pc可以根据第二安全连接进行通信。
可选地,本实施例中,上述验证信息由第一ks计算得到时,可以用第一ks对上述安全参数进行加密,收到安全参数的pc可以根据第一ks进行解密。
图5是本申请另一实施例提供的通信的方法的示意性交互图。以ion网络架构下通信双方为pc为例进行介绍安全连接更新过程中的信息如何进行交互的。
可选地,本实施例中,第一pc主动发起第一安全连接更新或者第一安全连接满足需要更新的预设条件时,即,本实施例包括安全连接更新,密钥不更新。更新过程包括s410-s470七个步骤和s431-s432两个步骤,下面对这九个步骤详细的进行介绍。
s410,第一pc计算第二安全信息和第一验证信息。
在第一pc主动发起第一安全连接更新或者第一安全连接满足需要更新的预设条件时,第一pc端需要在第一安全连接上向第二pc发起第一请求消息,用于请求更新第一安全连接。在发送第一请求消息之前第一pc端需要计算发送给第二pc的安全信息和第一验证信息,第一验证信息可以用于验证第一请求消息的完整性。
第一pc端启动安全连接更新流程,第一pc端计算安全信息中的参数包括:
可选地,本实施例中,第二安全信息包括认证算法和加密算法中任意一种或两种,或者,第二安全信息包括认证算法和加密算法中任意一种或两种以及第一pc移动后的位置信息。
可选地,本实施例中,第一pc会将上述第二安全信息存储下来。
可选地,本实施例中,第一验证信息是第一pc基于第一ks对第一请求消息进行处理后生成的,第一ks为第一安全连接对应的对称密钥,第一pc和第二pc已知的。
可选地,本实施例中,第一ks可以用于计算第一验证信息,以第一mac为例,mac=hamc-sha1-96(ks,m1),hamc-sha1-96是一种认证算法,m1为第一请求消息,可选地,当本实施例中,第一pc计算第一mac时使用的认证算法,可以为旧的认证算法也可以为新的认证算法,其中,旧的认证算法为第一安全连接中使用的,新的认证算法为第二安全信息中携带的更新的认证算法。
应理解,安全配置指示参数的选择只是本申请提供的一个实施例,本申请中更新第一安全连接的方法可以用于包括其他类型安全参数的安全连接,只需要更新相应的安全参数即可,上述安全参数的选取与安全建立安全连接过程中使用的安全参数相关,以上只是一个实施例,不能限制本申请的保护范围。
s420,发送第一请求消息。
可选地,本实施例中,第一pc在第一周期内通过第一安全连接向第二pc发送第一请求消息,其中第一请求消息包括上述的第二安全信息和第一标识,第一标识用于标识第一安全连接,在第一周期内发送能够保证第一安全连接在有效期内,从而保证第一请求消息是在安全可靠的前提下发送给第二pc的。
可选地,本实施例中,第一请求消息还包括通信的两个pc的id信息,seq。
可选地,本实施例中,第一请求消息还包括第一pc的加密的移动后的位置信息,其中,使用第一ks对第一pc新的位置信息加密。
s430,验证第一验证信息。
可选地,本实施例中,第二pc接收到第一pc在第一周期内通过第一安全连接发送第一请求消息后,根据第一请求消息中的第一mac,以及自身持有的第一ks,由mac=hamc-sha1-96(ks,m1)可知,当第二pc接收到第一请求消息后根据第一应答消息和第一ks验证第一mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
s431,请求重新发送第一请求消息。
可选地,本实施例中,第二pc在验证第一mac信息后,验证不成功时,会返回一个反馈没有正确接收第一请求消息的状态信息,告知第一pc重新发送第一请求消息。
s440,生成第二标识和第二周期,计算第二验证信息。
可选地,本实施例中,第二pc在验证第一mac信息通过后,生成第二标识和第二周期,其中第二标识是第二安全连接的安全连接标识,第二周期用于指示第二安全连接的生存周期,根据第二周期可以在第二周期到达之前再次更新第二安全连接。
可选地,本实施例中,第二pc在发送第一应答消息之前计算第二验证信息,其中,本实施例中,第二pc计算第二验证信息,以第二mac为例包括:
方法一:当第二安全信息中不包括认证算法
mac=hamc-sha1-96(ks,m2||dha)
hamc-sha1-96是一种认证算法,m2为第一应答消息,其中ks包括第一ks,dha包括第一pc侧的dh公钥a,其中,公钥a为第一安全连接中的公钥参数,认证算法hamc-sha1-96可以是第一安全连接中的第一安全参数所包括的认证算法。
方法二:当第二安全信息中包括认证算法时,第二pc计算第二验证信息,以第二mac为例包括:
mac=hamc-sha1-96(ks,m2||dha)
其中ks包括第一ks,dha包括第一pc侧的dh公钥a,其中,公钥a为第一安全连接中的公钥参数,认证算法hamc-sha1-96可以是第一pc发送的第一请求消息中包括的认证算法。
可选地,第二pc获取并存储第一pc移动后的位置信息。
s450,发送第一应答消息。
可选地,本实施例中,第二pc在第一周期内,通过第一安全连接向第一pc发送第一应答消息,在第一周期内发送能够保证第一安全连接在有效期内,从而保证第一应答消息是在安全可靠的前提下发送给第一pc的。
可选地,本实施例中,第一应答消息中包括上述生成的第二标识和第二周期。
可选地,本实施例中,第一应答消息还包括通信的两个pc的id信息,seq。
s460,验证第二验证信息,
可选地,本实施例中,第一pc接收到第二pc发送的第一应答消息后对第二验证信息进行验证包括:
根据第二mac,以及自身持有的第一ks,由mac=hamc-sha1-96(ks,m2||dha)可知,当第一pc接收到第一应答消息后根据第一应答消息和第一ks验证第二mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
s432,请求重新发送第一应答消息。
可选地,本实施例中,第一pc在验证第二mac信息不通过后,会返回一个反馈没有正确接收第一应答消息的状态信息,告知第二pc重新发送第一应答消息。
s470,存储第二标识和第二周期。
可选地,本实施例中,第一pc在验证第二mac信息通过后,存储第二标识和第二周期。
可选地,本实施例中,完成上述更新流程后,第一pc和第二pc根据第二安全连接进行通信。
图6是本申请另一实施例提供的通信的方法的示意性交互图。以ion网络架构下通信双方为个人计算机pc为例进行介绍,地址更新过程中的信息如何进行交互的。
可选地,本实施例中,第一pc的地址发生变化,但是由于本申请应用于ion网络架构下,所以第一pc地址的发生变化时,可以不用更新第一安全连接,因为第一pc的身份信息是唯一确定的所以基于身份信息建立的安全连接在地址发生变化的时候,可以不需要更新安全连接。
可选地,本实施例中,第一pc在第一安全连接上发送加密后的地址信息给第二pc,告知第二pc自身的位置发生了变化。具体包括s510-s570七个步骤和s531-s532两个步骤,下面对这九个步骤详细的进行介绍。
s510,第一pc加密地址信息和计算第一验证信息。
第一pc端启动地址更新流程,首先第一pc端对请求地址更新消息进行处理包括:
可选地,本实施例中,第一pc对移动后的位置信息使用第一ks进行加密。
可选地,本实施例中,第一pc计算第一验证信息,以第一mac为例包括:
mac=hamc-sha1-96(ks,m1)
其中ks包括第一ks,m1为位置更新消息,认证算法hamc-sha1-96可以是第一安全连接中的第一安全参数所包括的认证算法。
可选地,本实施例中,第一pc会将动后的位置信息存储下来。
s520,发送位置更新消息。
可选地,本实施例中,第一pc在第一周期内通过第一安全连接向第二pc发送第一请求消息,其中第一请求消息包括上述的加密后移动后的位置信息和第一标识,一标识用于指示第一安全连接,在第一周期内发送能够保证第一安全连接在有效期内,从而保证第一请求消息是在安全可靠的前提下发送给第二pc的。
可选地,本实施例中,第一请求消息还包括通信的两个pc的id信息,seq。
s530,验证第一验证信息。
可选地,本实施例中,第二pc接收到第一pc在第一周期内通过第一安全连接发送第一请求消息后,根据第一请求消息中的第一mac,以及自身持有的第一ks,由mac=hamc-sha1-96(ks,m1)可知,当第二pc接收到第一请求消息后根据第一请求消息和第一ks验证第一mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
可选地,本实施例中,第二pc获取并存储第一pc移动后的位置信息。
s531,请求重新发送位置更新消息。
可选地,本实施例中,第二pc在验证第一mac不通过后,会返回一个反馈没有正确接收第一请求消息的状态信息,告知第一pc重新发送位置更新消息。
s540,更新位置信息,计算第二验证信息。
可选地,本实施例中,第二pc在验证第一mac信息通过后,获取第一pc发送的位置更新消息中的第一pc的新的位置信息。
可选地,本实施例中,第二pc在发送第一应答消息之前计算第二pc的第二验证信息,其中,本实施例中,第二验证信息以第二mac为例:
mac=hamc-sha1-96(ks,m2||dha)
其中ks包括第一ks,m2为第一应答消息,dha包括第一pc侧的dh公钥a,其中,公钥a为第一安全连接中的公钥参数,认证算法hamc-sha1-96可以是第一安全连接中的第一安全参数所包括的认证算法。
s550,发送第一应答消息。
可选地,本实施例中,第二pc在第一周期内,通过第一安全连接向第一pc发送第一应答消息,在第一周期内发送能够保证第一安全连接在有效期内,从而保证第一应答消息是在安全可靠的前提下发送给第一pc的。
可选地,本实施例中,第一应答消息还包括通信的两个pc的id信息,seq以及第一标识。
s560,验证第二验证信息。
可选地,本实施例中,第一pc接收到第二pc发送的第一应答消息后对第二验证信息进行验证包括:
根据第二mac,以及自身持有的第一ks,由mac=hamc-sha1-96(ks,m2||dha)可知,当第一pc接收到第一应答消息后根据第一应答消息和第一ks验证第二mac,比较利用密钥还原摘要值与利用散列函数计算收到消息摘要值是否一致,若一致验证通过。
s532,请求重新发送第一应答消息。
可选地,本实施例中,第一pc在验证第二mac信息不通过时,会返回一个反馈没有正确接收第一应答消息的状态信息,告知第二pc重新发送第一应答消息。
s570,使用更新后的地址通信。
可选地,本实施例中,第一pc在验证第二验证信息通过后,使用更新后的地址通信。
图7是本申请中一种通信装置的结构示意图。包括710-730三个部分,下面对这三个部分进行详细的介绍。
710,是本申请中第一通信设备或者第二通信设备的发送单元,其中,可选地,在第一通信设备中发送单元用于向第二通信设备发送第一请求消息或者第一请求消息和第二应答消息,在第二通信设备中发送单元用于向第一通信设备发送第一应答消息。具体地,第二通信设备发送单元还用于确定在第一周期内发送第一应答消息。
720,是本申请中第一通信设备或者第二通信设备的接收单元,其中,可选地,在第一通信设备中接收单元用于接收第二通信设备发送的第一应答消息,在第二通信设备中接收单元用于接收第一通信设备发送的第一请求消息或者第一请求消息和第二应答消息。具体地,在第一通信设备中接收单元还用于接收到第一应答消息后计算与第一应答消息相应的安全参数,在第二通信设备中接收单元还用于接收到第一请求消息后计算与第一请求消息相应的安全参数。具体地,第二通信设备接收单元还用于接收第一通信设备发送的请求更新的触发消息,第一通信设备接收单元还用于确定在第一周期内发送第一请求消息。
730,是本申请中第一通信设备或者第二通信设备的通信单元,其中,可选地,通信单元用于完成第一通信设备和第二通信设备之间的通信。具体地,第一通信设备或者第二通信设备的通信单元还可以用于验证信息的验证。
可选地,本申请中,上述710-730三个部分可以是第一通信设备或者第二通信设备一个功能模块的具有的三种功能。本申请对此不做限制。
图8是本申请实施例提供的一种通信装置的结构示意图。该通信装置可适用于图2-6所示出的小区,执行上述方法实施例中第一通信设备或第二通信设备的功能。为了便于说明,图8仅示出了通信装置的主要部件。如图8所示,通信装置70包括处理器、存储器、控制电路、天线以及输入输出装置。
处理器主要用于对通信协议以及通信数据进行处理,以及对整个通信装置进行控制,执行软件程序,处理软件程序的数据,例如用于支持通信装置执行上述方法实施例中所描述的动作,如,基于第三安全信息和第二ks对第二通信设备进行验证。
存储器主要用于存储软件程序和数据,例如存储上述实施例中所描述安全信息等。
控制电路主要用于基带信号与射频信号的转换以及对射频信号的处理。控制电路和天线一起也可以叫做收发器,主要用于收发电磁波形式的射频信号。
输入输出装置,例如触摸屏、显示屏,键盘等主要用于接收用户输入的数据以及对用户输出数据。
当通信装置开机后,处理器可以读取存储单元中的软件程序,解释并执行软件程序的指令,处理软件程序的数据。当需要通过无线发送数据时,处理器对待发送的数据进行基带处理后,输出基带信号至射频电路,射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时,射频电路通过天线接收到射频信号,将射频信号转换为基带信号,并将基带信号输出至处理器,处理器将基带信号转换为数据并对该数据进行处理。
本领域技术人员可以理解,为了便于说明,图8仅示出了一个存储器和一个处理器。在实际的终端设备中,可以存在多个处理器和多个存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限定。
作为一种可选的实现方式,处理器可以包括基带处理器和中央处理器,基带处理器主要用于对通信协议以及通信数据进行处理,中央处理器主要用于对整个终端设备进行控制,执行软件程序,处理软件程序的数据。图8中的处理器可以集成基带处理器和中央处理器的功能,本领域技术人员可以理解,基带处理器和中央处理器也可以是各自独立的处理器,通过总线等技术互联。
本领域技术人员可以理解,通信装置可以包括多个基带处理器以适应不同的网络制式,通信装置可以包括多个中央处理器以增强其处理能力,通信装置的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中,也可以以软件程序的形式存储在存储单元中,由处理器执行软件程序以实现基带处理功能。
在本申请实施例中,可以将具有收发功能的天线和控制电路视为通信装置70的收发单元701,例如,用于支持通信装置执行如图2-图6部分所述的接收功能。将具有处理功能的处理器视为通信装置70的处理单元702。如图8所示,通信装置70包括收发单元701和处理单元702。收发单元也可以称为收发器、收发机、收发装置等。可选的,可以将收发单元701中用于实现接收功能的器件视为接收单元,将收发单元701中用于实现发送功能的器件视为发送单元,即收发单元701包括接收单元和发送单元,接收单元也可以称为接收机、输入口、接收电路等,发送单元可以称为发射机、发射器或者发射电路等。
处理器702可用于执行该存储器存储的指令,以控制收发单元701接收信号和/或发送信号,完成上述方法实施例中通信装置的功能。作为一种实现方式,收发单元701的功能可以考虑通过收发电路或者收发的专用芯片实现。
图9是本申请实施例提供的另一种通信装置的结构示意图,如可以为基站的结构示意图。如图9所示,该基站可应用于如图2-图6所示的系统中,执行上述方法实施例中通信装置的功能。基站80可包括一个或多个射频单元,如远端射频单元(remoteradiounit,rru)801和一个或多个基带单元(basebandunit,bbu)(也可称为数字单元,digitalunit,du)802。所述rru801可以称为收发单元、收发机、收发电路、或者收发器等等,其可以包括至少一个天线8011和射频单元8012。所述rru801部分主要用于射频信号的收发以及射频信号与基带信号的转换,例如用于向终端设备发送上述实施例中所述的信令消息。所述bbu802部分主要用于进行基带处理,对基站进行控制等。所述rru801与bbu802可以是物理上设置在一起,也可以物理上分离设置的,即分布式基站。
所述bbu802为基站的控制中心,也可以称为处理单元,主要用于完成基带处理功能,如信道编码,复用,调制,扩频等等。例如所述bbu(处理单元)802可以用于控制基站执行上述方法实施例中关于网络设备的操作流程。
在一个实例中,所述bbu802可以由一个或多个单板构成,多个单板可以共同支持单一接入指示的无线接入网(如lte网),也可以分别支持不同接入制式的无线接入网(如lte网,5g网或其他网)。所述bbu802还包括存储器8021和处理器8022,所述存储器8021用于存储必要的指令和数据。例如存储器8021存储上述实施例中的码本索引与预编码矩阵的对应关系。所述处理器8022用于控制基站进行必要的动作,例如用于控制基站执行上述方法实施例中关于网络设备的操作流程。所述存储器8021和处理器8022可以服务于一个或多个单板。也就是说,可以每个单板上单独设置存储器和处理器。也可以是多个单板共用相同的存储器和处理器。此外每个单板上还可以设置有必要的电路
图10给出了一种通信装置900的结构示意图。装置900可用于实现上述方法实施例中描述的方法,可以参见上述方法实施例中的说明。所述通信装置900可以是芯片,网络设备(如基站),终端设备或者其他网络设备等。
所述通信装置900包括一个或多个处理器901。所述处理器901可以是通用处理器或者专用处理器等。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对通信装置(如,基站、终端、或芯片等)进行控制,执行软件程序,处理软件程序的数据。所述通信装置可以包括收发单元,用以实现信号的输入(接收)和输出(发送)。例如,通信装置可以为芯片,所述收发单元可以是芯片的输入和/或输出电路,或者通信接口。所述芯片可以用于终端或基站或其他网络设备。又如,通信装置可以为终端或基站或其他网络设备,所述收发单元可以为收发器,射频芯片等。
所述通信装置900包括一个或多个所述处理器901,所述一个或多个处理器901可实现图2至图6所示各实施例中第一通信设备或者第二通信设备的方法。
在一种可能的设计中,所述通信装置900包括用于生成下行控制信息dci的部件(means),以及用于发送dci的部件(means)。可以通过一个或多个处理器来实现所述生成dci的means以及发送dci的means的功能。例如可以通过一个或多个处理器生成所述dci,通过收发器、或输入/输出电路、或芯片的接口发送所述dci。所述指示信息可以参见上述方法实施例中的相关描述
在一种可能的设计中,所述通信装置900包括用于生成指示信息和qcl信息的部件(means),以及用于发送所述指示信息和qcl信息的部件(means)。所述指示信息和qcl信息可以参见上述方法实施例中的相关描述。例如可以通过一个或多个处理器生成所述指示信息和qcl信息,通过收发器、或输入/输出电路、或芯片的接口发送所述指示信息和qcl信息。可参照上述方法实施例中的描述,可以通过dci发送指示信息和qcl信息,也可以通过高层信令,如rrc信令发送qcl信息,而通过dci发送指示信息。
在一种可能的设计中,所述通信装置900包括用于接收下行控制信息dci的部件(means)以及用于确定dmrs天线端口的部件(means)。所述dci以及如何确定dmrs天线端口可以参见上述方法实施例中的相关描述。例如可以通过收发器、或输入/输出电路、或芯片的接口接收所述dci,通过一个或多个处理器基于所述dci确定dmrs天线端口,进而解调接收信号。
在一种可能的设计中,所述通信装置900包括用于接收指示信息和qcl信息的部件(means),以及用于确定dmrs天线端口的部件(means)。所述指示信息和qcl信息,以及如何基于指示信息和qcl信息确定dmrs天线端口,可以参照上述方法实施例中的相关描述。例如可以通过收发器、或输入/输出电路、或芯片的接口接收所述指示信息和qcl信息,通过一个或多个处理器基于指示信息和qcl确定dmrs天线端口,进而解调接收信号。
可选的,处理器901除了实现图2至图6所示各实施例的方法,还可以实现其他功能。
可选的,一种设计中,处理器901也可以包括指令903,所述指令可以在所述处理器上被运行,使得所述通信装置900执行上述方法实施例中描述的方法。
在又一种可能的设计中,通信装置900也可以包括电路,所述电路可以实现前述方法实施例中的功能。
在又一种可能的设计中所述通信装置900中可以包括一个或多个存储器902,其上存有指令904,所述指令可在所述处理器上被运行,使得所述通信装置900执行上述方法实施例中描述的方法。可选的,所述存储器中还可以存储有数据。可选的处理器中也可以存储指令和/或数据。例如,所述一个或多个存储器902可以存储上述实施例中所描述安全参数。所述处理器和存储器可以单独设置,也可以集成在一起。
在又一种可能的设计中,所述通信装置900还可以包括收发单元905以及天线906。所述处理器901可以称为处理单元,对通信装置(终端或者基站)进行控制。所述收发单元905可以称为收发机、收发电路、或者收发器等,用于通过天线906实现通信装置的收发功能。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!