一种通信方法及装置与流程

文档序号:32744753发布日期:2022-12-30 21:30阅读:36来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种通信方法及装置与流程
一种通信方法及装置
1.本技术是分案申请,原申请的申请号是202080015203.1,原申请日是2020年7月30日,原申请的全部内容通过引用结合在本技术中。
技术领域
2.本发明涉及通信技术领域,尤其涉及短距离通信技术领域,例如座舱域通信。具体涉及一种通信方法及装置。


背景技术:

3.在信息化飞速发展的今天,通信技术已经深入了人们的生活,我们在享受通信便利的同时也会面临安全漏洞和隐私泄露的威胁。为确保通信过程中数据的传输、存储安全,其中一方面就是需要对数据进行完整性保护(或者简称为完保),数据的完整性保护具体可以通过根据完整性保护算法计算消息认证码(message authentication code,mac)的方式来进行,其中,消息认证码(message authentication code,mac),是经过特定算法后产生的一小段信息,用来检查消息的完整性。
4.完整性保护算法生成的消息认证码的长度有多种,但是在通信过程中,往往只能使用固定长度的消息认证码进行通信。例如,lte和第五代(5th generation,5g)通信协议支持的mac长度为32比特,wi-fi的wpa2/wpa3协议,当使用tkip、ccmp-128、gcmp-128算法时,mac长度是64比特;当使用ccmp-256/gcmp-256算法时,mac长度是128比特。蓝牙协议使用aes-ccm算法,mac长度32比特。
5.而随着通信技术的发展,节点间通信的消息越来越多,而不同节点对mac长度的需求是不同的。例如,如果使用固定长度较长的mac(如256bit或者128bit的mac),会使得mac在消息中占据较大比重,对消息传输的效率影响较大。再如,不同的mac长度的安全性是不同的,mac长度越长,安全性越高,如果使用较短的mac不足以保护数据安全性。因此,现有的通信过程中,固定长度的mac不能满足需求。
6.可以看出,如何确定出满足需求的mac长度是本领域技术人员正在研究的技术问题。


技术实现要素:

7.本技术实施例公开了一种通信方法及装置,能够确定出满足需求的mac长度,提高mac长度选择的灵活性。
8.第一方面,本技术实施例提供一种通信方法,该方法包括:
9.接收来自第二节点的关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
10.根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
11.通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac
长度。
12.在本技术实施例中,第一节点根据第二节点支持的安全算法的信息,通过算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据第一节点配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,算法选择策略可以是按照第一节点的通信需求预先配置或者定义的,例如,可以在优先选择安全性较高的算法和较长的mac长度,提高了数据安全性。
13.在第一方面的一种可能的实施方式中,上述根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,包括:
14.根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
15.在第一方面的又一种可能的实施方式中,上述根据第一长度选择策略和所述第一算法选择策略确定所述信令面的目标安全算法和所述信令面的目标mac长度,包括:
16.根据第一算法选择策略确定信令面的目标安全算法;
17.根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
18.在第一方面的又一种可能的实施方式中,上述根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,包括:
19.根据第一算法选择策略确定信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为信令面的目标mac长度。
20.在第一方面的又一种可能的实施方式中,上述方法还包括:
21.向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息和信令面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
22.可以看出,第一节点可以在安全上下文请求消息中携带指示信令面的目标安全算法的信息和信令面的目标mac长度,以使得第二节点可以通过安全上下文请求消息获取信令面的目标安全算法和信令面的目标mac长度。进一步的,该安全上下文请求消息可以携带有第一mac,用于第二节点验证安全上下文请求消息的完整性,防止安全上下文请求消息被攻击者篡改。
23.在第一方面的又一种可能的实施方式中,所述方法还包括:
24.向所述第二节点发送安全上下文请求消息,所述安全上下文请求消息包括所述第一mac和指示信令面的目标安全算法的信息;所述第一mac用于验证所述安全上下文请求消息的完整性,所述第一mac还用于指示所述信令面的目标mac长度。
25.在第一方面的又一种可能的实施方式中,在根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度之后,上述方法还包括:
26.向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、信令面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
27.接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份
认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验所述安全上下文响应消息的完整性。
28.其中,共享密钥是第一节点与第二节点之间共享的一个秘密值,可以用来生成身份验证信息便于节点验证身份。可以看出,第一节点可以通过共享密钥生成第一身份认证信息,该第一身份认证信息用于第二节点验证第一节点的身份。相应的,第一节点也可以通过第二身份认证信息来验证第二节点的身份,若攻击者想要冒用第二节点的身份标识来获取信令面的目标安全算法或者信令面的目标mac长度时,由于无法伪造共享密钥,无法通过第一节点的身份验证,进而避免了第一节点与不可信的节点通信,提高了第一节点的通信安全性。
29.在第一方面的又一种可能的实施方式中,上述方法还包括:
30.根据信令面的目标安全算法和第二mac校验安全上下文响应消息的完整性;
31.根据上述共享密钥验证第二身份认证信息;
32.若校验安全上下文响应消息的完整性通过且验证第二身份认证信息通过,向第二节点发送关联建立消息,该关联建立消息指示第二节点与所述第一节点之间建立关联。
33.在第一方面的又一种可能的实施方式中,上述安全上下文请求消息中还包括用户面的目标安全算法;上述方法还包括:
34.根据第二算法选择策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
35.在第一方面的又一种可能的实施方式中,上述方法还包括:
36.获取第一业务的标识和/或第一业务的数据包大小;
37.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度;
38.向第二节点发送资源调度消息,该资源调度消息包括用户面的目标mac长度。
39.可以看出,用户面的目标mac长度可以是根据用户面的安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小在确定的,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。
40.第二方面,本技术实施例还提供一种通信方法,包括:
41.向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
42.接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息和用于指示信令面的目标mac长度的信息;其中,信令面的目标安全算法和信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
43.在本技术实施例中,第二节点向第一节点发送第二节点支持的安全算法的信息,第一节点根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据第一节点配置不同的策略,
来确定不同长度的mac长度,提高mac长度的灵活性。例如,可以在第二节点支持的算法中,选择安全性较高的算法,还可以选择较长的mac长度,提高了数据安全性。
44.在第二方面的一种可能的实施方式中,所述安全上下文请求消息包括第一mac;该第一mac的长度为信令面的目标mac长度;所述方法还包括:
45.通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
46.在第二方面的一种可能的实施方式中,所述第一mac为所述用于指示信令面的目标mac长度的信息。
47.在第二方面的一种可能的实施方式中,上述信令面的目标安全算法和信令面的目标mac长度为根据第一算法选择策略确定的;第一mac为根据信令面的目标安全算法生成的。
48.在第二方面的又一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述方法还包括:
49.根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
50.若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
51.向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点之间的共享密钥生成的。
52.在第二方面的又一种可能的实施方式中,上述方法还包括:接收来自第一节点的关联建立消息,该关联建立消息指示第二节点与第一节点之间建立关联。
53.在第二方面的又一种可能的实施方式中,上述安全上下文请求消息中还包括指示用户面的目标安全算法的信息;其中,该用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;上述方法还包括:
54.接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;该用户面的目标mac长度对应用户面的目标安全算法,以及第一业务的标识和第一业务的数据包大小中的至少一个;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
55.可以看出,第一节点可以根据用户面的安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。
56.进一步的,第一节点可以在资源调度消息中携带指示用户面的目标安全算法的信息和用户面的目标mac长度,以使得第二节点可以通过资源调度消息获取用户面的目标安全算法和用户面的目标mac长度。
57.第三方面,本技术实施例还提供一种通信方法,包括:
58.接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
59.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
60.在本技术实施例中,第一节点根据用户面的安全算法支持的mac长度,以及第一业务的标识和/或第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同长度的mac长度,提高mac长度的灵活性。一方面,对于安全性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。另一方面,对于一些对安全性要求不高或者数据包较小的消息,可以使用较短的mac长度,可以避免影响通信效率,也减少了网络传输的资源消耗。
61.在第三方面的一种可能的实施方式中,上述根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
62.根据用户面的目标安全算法支持的mac长度和第一业务的标识确定用户面的目标mac长度;
63.或者,根据用户面的目标安全算法支持的mac长度和第一业务的数据包大小确定用户面的目标mac长度。
64.在第三方面的又一种可能的实施方式中,上述根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
65.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和mac长度的对应关系,将第一业务的标识对应的mac长度确定为用户面的目标mac长度;
66.或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
67.在第三方面的又一种可能的实施方式中,上述根据用户面的目标安全算法,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
68.根据第一业务的标识和/或第一业务的数据包大小确定第二长度选择策略;
69.根据第二长度选择策略和用户面的目标安全算法支持的mac长度确定用户面的目标mac长度。
70.在第三方面的又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
71.不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac,从而可以满足不同业务对于安全性的需求。例如,视频上传业务属于对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。
72.在第三方面的又一种可能的实施方式中,上述方法还包括:
73.向第二节点发送资源调度消息,该资源调度消息中包括用户面的目标mac长度。
74.在第三方面的又一种可能的实施方式中,上述方法还包括:
75.通过用户面的目标安全算法生成第三mac,该第三mac的长度为用户面的目标mac长度,该第三mac用于对所述第一业务的数据进行完整性保护。
76.在第三方面的又一种可能的实施方式中,上述方法还包括:
77.获取第二节点支持的安全算法的信息;
78.根据第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度,所述信令面的目标安全算法属于所述第二节点支持的安全算法的信息所指示的安全算法的集合;
79.通过信令面的目标安全算法生成第四mac,该第四mac的长度为信令面的目标mac长度;
80.向第二节点发送资源调度消息,该资源调度消息中包括第四mac和用户面的目标mac长度,该第四mac用于对资源调度消息进行完整性保护。
81.在第三方面的又一种可能的实施方式中,所述方法还包括:
82.根据第二算法选择策略确定所述用户面的目标安全算法,所述用户面的目标安全算法属于所述第二节点支持的安全算法的信息所指示的安全算法的集合。
83.第四方面,本技术实施例还提供一种通信方法,包括:
84.向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
85.接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;其中,用户面的目标mac长度为用户面的目标安全算法支持的mac长度,以及用户面的目标mac长度对应第一业务的标识和第一业务的数据包大小中的至少一个;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
86.在上述实施例中,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
87.进一步的,第一节点可以在资源调度消息中携带指示信息,以使得第二节点根据指示信息确定业务是否开启完整性保护。
88.在第四方面的一种可能的实施方式中,上述用户面的目标mac长度为根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个确定的。
89.在第四方面的又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
90.不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac,从而可以满足不同业务对于安全性的需求。例如,视频上传业务属于对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。
91.在第四方面的又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
92.在第四方面的又一种可能的实施方式中,上述资源调度消息中还包括第四mac,上述方法还包括:
93.通过用户面的目标安全算法,根据第四mac验证所述资源调度消息的消息完整性。
94.第五方面,本技术实施例还提供一种通信方法,包括:
95.向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
96.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;其中,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
97.可以看出,第二节点配置了与第一节点中相同的确定用户面的目标mac长度的方法,因此第二节点可以根据用户面的安全算法支持的mac长度,以及第一业务的标识和/或第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同长度的mac长度,提高mac长度的灵活性。
98.而在第二节点与第一节点中配置相同的确定用户面的目标mac长度的方法,可以使得第一节点通过什么样的方式来确定用户面的目标mac长度,第二节点也使用相同的方式来确定用户面的目标mac长度。这样一来,节点无需将目标mac长度再发送给对方,节省了网络资源。
99.在第五方面的一种可能的实施方式中,上述根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
100.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识id和mac长度的对应关系,将第一业务的id对应的mac长度确定为用户面的目标mac长度;
101.或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
102.在第五方面的一种可能的实施方式中,上述根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
103.根据用户面的目标安全算法支持的mac长度和第一业务的标识确定用户面的目标mac长度;
104.或者,根据用户面的目标安全算法支持的mac长度和第一业务的数据包大小确定用户面的目标mac长度。
105.在第五方面的又一种可能的实施方式中,上述根据用户面的目标安全算法,以及所述第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
106.根据所述第一业务的id和/或所述第一业务的数据包大小确定第二长度选择策略;
107.根据所述第二长度选择策略和所述用户面的目标安全算法支持的mac长度确定所述用户面的目标mac长度。
108.在第五方面的又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
109.不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac,从而可以满足不同业务对于安全性的需求。例如,视频上传业务属于对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。
110.在第五方面的又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
111.第六方面,本技术实施例还提供一种通信方法,包括:
112.接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
113.向第二节点发送资源调度消息,该资源调度消息用于指示至少一个第二业务的标识对应的业务不启动完整性保护。
114.可以看出,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
115.进一步的,第一节点可以在资源调度消息中携带指示信息,以使得第二节点根据指示信息确定业务是否开启完整性保护。
116.在第六方面的一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
117.在第六方面的又一种可能的实施方式中,上述资源调度消息还用于指示用于至少一个第一业务的用户面的目标mac长度。
118.可以看出,对于需要进行完整性保护的业务,第一节点可以携带指示用户面的目标mac长度信息,用于指示对业务的数据进行完整性保护的mac的长度。
119.第七方面,本技术实施例还提供一种通信方法,包括:
120.向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
121.接收来自第一节点的资源调度消息;
122.根据该资源调度消息,确定至少一个第二业务的标识对应的业务不启动完整性保
护。
123.可以看出,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
124.在第七方面的又一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护;上述方法还包括:
125.根据上述资源调度消息,确定至少一个第一业务的标识对应的业务启动完整性保护。
126.在第七方面的又一种可能的实施方式中,上述资源调度消息还用于指示对至少一个第一业务的数据进行完整性保护的mac的长度。
127.第八方面,本技术实施例提供一种通信装置,包括:
128.接收单元,用于接收来自第二节点的关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
129.处理单元,用于根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
130.上述处理单元,还用于通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac长度。
131.在本技术实施例中,上述装置根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据上述装置中配置的不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,算法选择策略可以是按照第一节点的通信需求预先配置或者定义的,例如,可以在优先选择安全性较高的算法和较长的mac长度,提高了数据安全性。
132.在第八方面的一种可能的实施方式中,上述处理单元,具体用于:
133.根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
134.在第八方面的又一种可能的实施方式中,上述处理单元,具体用于:
135.根据第一算法选择策略确定所述信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为所述信令面的目标mac长度。
136.在第八方面的又一种可能的实施方式中,上述装置还包括:
137.发送单元,用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息和信令面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
138.在第八方面的又一种可能的实施方式中,上述装置还包括:
139.发送单元,用于向所述第二节点发送安全上下文请求消息,所述安全上下文请求消息包括所述第一mac和指示信令面的目标安全算法的信息;所述第一mac用于验证所述安
全上下文请求消息的完整性,所述第一mac还用于指示所述信令面的目标mac长度。
140.在第八方面的又一种可能的实施方式中,上述装置还包括发送单元,用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、信令面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
141.上述接收单元,还用于接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验安全上下文响应消息的完整性。
142.其中,共享密钥是第一节点与第二节点之间共享的一个秘密值,可以用来生成身份验证信息便于节点验证身份。可以看出,上述装置可以通过共享密钥生成第一身份认证信息,该第一身份认证信息用于第二节点验证第一节点的身份。相应的,第一节点也可以通过第二身份认证信息来验证第二节点的身份,若攻击者想要冒用第二节点的身份标识来获取信令面的目标安全算法或者信令面的目标mac长度时,由于无法伪造共享密钥,无法通过上述装置的身份验证,进而避免了第一节点与不可信的节点通信,提高了第一节点的通信安全性。
143.在第八方面的又一种可能的实施方式中,上述安全上下文请求消息中还包括用户面的目标安全算法;上述处理单元,具体用于:
144.根据第二算法选择策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
145.在第八方面的又一种可能的实施方式中,上述接收单元,还用于获取第一业务的标识和/或第一业务的数据包大小;
146.上述处理单元,还用于根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;其中,用户面的目标mac长度用于指示对所述第一业务的数据进行完整性保护的mac的长度;
147.上述发送单元,还用于向第二节点发送资源调度消息,该资源调度消息包括用户面的目标mac长度。
148.第九方面,本技术实施例提供一种通信装置,包括:
149.发送单元,用于向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
150.接收单元,用于接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息和用于指示信令面的目标mac长度的信息;其中,信令面的目标安全算法和所述信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
151.在本技术实施例中,上述装置向第一节点发送第二节点支持的安全算法的信息,第一节点根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据上述装置中配置的不同的策
略,来确定不同长度的mac长度,提高mac长度的灵活性。例如,可以在第二节点支持的算法中,选择安全性较高的算法,还可以选择较长的mac长度,提高了数据安全性。
152.在第九方面的一种可能的实施方式中,所述安全上下文请求消息包括第一mac;该第一mac的长度为信令面的目标mac长度;所述装置还包括:
153.处理单元,用于通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
154.在第九方面的一种可能的实施方式中,所述第一mac为所述用于指示信令面的目标mac长度的信息。
155.在第九方面的一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述处理单元,还用于根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
156.上述处理单元,还用于若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
157.上述发送单元,还用于向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点的共享密钥之间生成的。
158.在第九方面的又一种可能的实施方式中,该安全上下文请求消息中还包括指示用户面的目标安全算法的信息;其中,用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
159.上述接收单元,还用于接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;其中,用户面的目标mac长度对应用户面的目标安全算法,以及第一业务的标识和第一业务的数据包大小中的至少一个;用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
160.第十方面,本技术实施例提供一种通信装置,包括:
161.接收单元,用于接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
162.处理单元,用于根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
163.在本技术实施例中,上述装置根据用户面的安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度。这样一来,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。另一方面,对于一些对私密性要求不高或者数据包较小的消息,可以使用较短的mac长度,可以避免影响通信效率,也减少了网络传输的资源消耗。
164.在第十方面的一种可能的实施方式中,上述处理单元,具体用于:
165.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和mac长度的对
应关系,将第一业务的标识对应的mac长度确定为用户面的目标mac长度;
166.或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
167.在第十方面的又一种可能的实施方式中,上述处理单元,具体用于:
168.根据第一业务的标识和/或第一业务的数据包大小确定第二长度选择策略;
169.根据第二长度选择策略和用户面的目标安全算法支持的mac长度确定用户面的目标mac长度。
170.在第十方面的又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
171.在第十方面的又一种可能的实施方式中,上述装置还包括发送单元,用于向第二节点发送资源调度消息,该资源调度消息中包括用户面的目标mac长度。
172.在第十方面的又一种可能的实施方式中,上述处理单元,还用于:
173.通过用户面的目标安全算法生成第三mac,该第三mac的长度为用户面的目标mac长度,该第三mac用于对第一业务的数据进行完整性保护。
174.在第十方面的又一种可能的实施方式中,上述接收单元,还用于获取第二节点支持的安全算法的信息;
175.上述处理单元,还用于根据第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度,所述信令面的目标安全算法属于所述第二节点支持的安全算法的信息所指示的安全算法的集合;
176.上述处理单元,还用于通过信令面的目标安全算法生成第四mac,该第四mac的长度为所述信令面的目标mac长度;
177.上述发送单元,还用于向第二节点发送资源调度消息,该资源调度消息中包括第四mac和用户面的目标mac长度,该第四mac用于对资源调度消息进行完整性保护。
178.在第十方面的又一种可能的实施方式中,上述处理单元,还用于:
179.根据第二算法选择策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
180.第十一方面,本技术实施例提供一种通信装置,包括:
181.发送单元,用于向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
182.接收单元,用于接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;其中,该用户面的目标mac长度为用户面的目标安全算法支持的mac长度,以及用户面的目标mac长度对应第一业务的标识和第一业务的数据包大小中的至少一个;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
183.在上述实施例中,不同业务类型的业务对完整性保护的需求是不同的,上述装置170可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据不需要进行完整新保护。
184.在第十一方面的一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
185.在第十一方面的又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
186.在第十一方面的又一种可能的实施方式中,上述资源调度消息中还包括第四mac;上述处理单元,还用于:
187.通过用户面的目标安全算法,根据第四mac验证资源调度消息的消息完整性。
188.第十二方面,本技术实施例提供一种通信装置,包括:
189.发送单元,用于向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
190.处理单元,用于根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;其中,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
191.上述装置中配置了与第一节点中相同的确定用户面的目标mac长度的方法,因此上述装置可以根据用户面的安全算法支持的mac长度,以及第一业务的标识和/或第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同长度的mac长度,提高mac长度的灵活性。
192.而在上述装置与第一节点中配置相同的确定用户面的目标mac长度的方法,可以使得第一节点通过什么样的方式来确定用户面的目标mac长度,上述装置也使用相同的方式来确定用户面的目标mac长度。这样一来,节点无需将目标mac长度再发送给对方,节省了网络资源。
193.在第十二方面的又一种可能的实施方式中,上述处理单元,具体用于:
194.根据用户面的目标安全算法支持的mac长度,以及第一业务的标识id和mac长度的对应关系,将第一业务的id对应的mac长度确定为用户面的目标mac长度;
195.或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
196.在第十二方面的又一种可能的实施方式中,上述处理单元,具体用于:
197.根据第一业务的id和/或第一业务的数据包大小确定第二长度选择策略;
198.根据第二长度选择策略和用户面的目标安全算法支持的mac长度确定用户面的目标mac长度。
199.在第十二方面的又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
200.在第十二方面的又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
201.第十三方面,本技术实施例提供一种通信装置,包括:
202.接收单元,用于接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一
个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
203.发送单元,用于向第二节点发送资源调度消息,该资源调度消息用于指示至少一个第二业务的标识对应的业务不启动完整性保护。
204.可以看出,不同业务类型的业务对完整性保护的需求是不同的,上述装置可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
205.在第十三方面的一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
206.在第十三方面的又一种可能的实施方式中,上述资源调度消息还用于指示用于至少一个第一业务的用户面的目标mac长度。
207.第十四方面,本技术实施例提供一种通信装置,包括:
208.发送单元,用于向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
209.接收单元,用于接收来自第一节点的资源调度消息;
210.处理单元,用于根据所述资源调度消息,确定至少一个第二业务的标识对应的业务不启动完整性保护。
211.可以看出,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
212.在第十四方面的一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护;
213.所述处理单元,还用于根据所述资源调度消息,确定至少一个第一业务的标识对应的业务启动完整性保护。
214.在第十四方面的又一种可能的实施方式中,上述资源调度消息还用于指示对至少一个第一业务的数据进行完整性保护的mac的长度。
215.第十五方面,本技术实施例还提供一种通信方法,包括:
216.接收来自第二节点的关联请求消息,该关联请求消息中包括第二节点支持的安全算法的信息和第二节点的身份标识;
217.根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
218.根据第二算法选择策略和第二节点的身份标识确定用户面的目标安全算法以及用户面的目标mac长度,该用户面的目标安全算法属于第二节点支持的安全算法的信息所
指示的安全算法的集合;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度;
219.通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac长度。
220.在本技术实施例中,第一节点可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,第一节点可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
221.在第十五方面的一种可能的实施方式中,上述根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,包括:
222.根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
223.在第十五方面的又一种可能的实施方式中,上述根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,包括:
224.根据第一算法选择策略确定信令面的目标安全算法;
225.根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
226.在第十五方面的又一种可能的实施方式中,上述根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,包括:
227.根据第一算法选择策略确定信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为信令面的目标mac长度。
228.在第十五方面的又一种可能的实施方式中,上述根据第二算法选择策略和第二节点的身份标识确定用户面的目标安全算法以及用户面的目标mac长度,包括:
229.根据第二算法选择策略确定用户面的目标安全算法;
230.根据第二节点的身份标识确定第二长度选择策略;
231.根据第二长度选择策略、用户面的目标安全算法确定信令面的目标mac长度。
232.在第十五方面的又一种可能的实施方式中,上述根据第二算法选择策略和第二节点的身份标识确定用户面的目标安全算法以及用户面的目标mac长度,包括:
233.根据第二算法选择策略确定用户面的目标安全算法;
234.根据用户面的目标安全算法支持的mac长度,以及第二节点的身份标识和mac长度的对应关系,将第二节点的身份标识对应的mac长度确定为用户面的目标mac长度。
235.在第十五方面的又一种可能的实施方式中,上述方法还包括:
236.向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度和用户面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
237.在第十五方面的又一种可能的实施方式中,上述方法还包括:
238.向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消
息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
239.接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验所述安全上下文响应消息的完整性。
240.在第十五方面的又一种可能的实施方式中,上述方法还包括:
241.根据信令面的目标安全算法和第二mac校验安全上下文响应消息的完整性;
242.根据上述共享密钥验证第二身份认证信息;
243.若校验安全上下文响应消息的完整性通过且验证第二身份认证信息通过,向第二节点发送关联建立消息,该关联建立消息指示第二节点与所述第一节点之间建立关联。
244.第十六方面,本技术实施例还提供一种通信方法,包括:
245.向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息和第二节点的身份标识;
246.接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息、用于指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一mac;其中,信令面的目标安全算法和信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;用户面的目标安全算法和用户面的目标mac长度对应第二算法选择策略和第二节点的身份标识,并且用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该第一mac的长度为信令面的目标mac长度;
247.通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
248.在本技术实施例中,第一节点中可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,第一节点可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。第二节点获取来自第一节点目标mac长度,通过目标mac长度保护消息完整性。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
249.在第十六方面的一种可能的实施方式中,上述信令面的目标安全算法和信令面的目标mac长度为根据第一算法选择策略确定的,所述信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
250.在第十六方面的又一种可能的实施方式中,上述用户面的目标安全算法和用户面的目标mac长度为根据第二算法选择策略确定的,所述用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
251.在第十六方面的又一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述方法还包括:
252.根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
253.若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
254.向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点之间的共享密钥生成的。
255.在第十六方面的又一种可能的实施方式中,上述方法还包括:接收来自第一节点的关联建立消息,该关联建立消息指示第二节点与第一节点之间建立关联。
256.第十七方面,本技术实施例还提供一种通信装置,包括:
257.接收单元,用于接收来自第二节点的关联请求消息,该关联请求消息中包括第二节点支持的安全算法的信息和第二节点的身份标识;
258.处理单元,用于根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
259.上述处理单元,还用于根据第二算法选择策略和第二节点的身份标识确定用户面的目标安全算法以及用户面的目标mac长度,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度;
260.上述处理单元,还用于通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac长度。
261.在本技术实施例中,上述装置可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,上述装置可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
262.在第十七方面的一种可能的实施方式中,上述处理单元,具体用于:
263.根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
264.在第十七方面的又一种可能的实施方式中,上述处理单元,具体用于:
265.根据第一算法选择策略确定信令面的目标安全算法;
266.根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
267.在第十七方面的又一种可能的实施方式中,上述处理单元,具体用于:
268.根据第一算法选择策略确定信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为信令面的目标mac长度。
269.在第十七方面的又一种可能的实施方式中,上述处理单元,具体用于:
270.根据第二算法选择策略确定用户面的目标安全算法;
271.根据第二节点的身份标识确定第二长度选择策略;
272.根据第二长度选择策略、用户面的目标安全算法确定信令面的目标mac长度。
273.在第十七方面的又一种可能的实施方式中,上述处理单元,具体用于:
274.根据第二算法选择策略确定用户面的目标安全算法;
275.根据用户面的目标安全算法支持的mac长度,以及第二节点的身份标识和mac长度的对应关系,将第二节点的身份标识对应的mac长度确定为用户面的目标mac长度。
276.在第十七方面的又一种可能的实施方式中,上述装置还包括发送单元,该发送单元用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度和用户面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
277.在第十七方面的又一种可能的实施方式中,上述装置还包括发送单元,该发送单元用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
278.上述接收单元,还用于接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验所述安全上下文响应消息的完整性。
279.在第十七方面的又一种可能的实施方式中,上述处理单元,还用于根据信令面的目标安全算法和第二mac校验安全上下文响应消息的完整性;
280.上述处理单元,还用于根据上述共享密钥验证第二身份认证信息;
281.上述发送单元,还用于若校验安全上下文响应消息的完整性通过且验证第二身份认证信息通过,向第二节点发送关联建立消息,该关联建立消息指示第二节点与所述第一节点之间建立关联。
282.第十八方面,本技术实施例还提供一种通信装置,包括:
283.发送单元,用于向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息和第二节点的身份标识;
284.接收单元,用于接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息、用于指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一mac;其中,信令面的目标安全算法和信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;用户面的目标安全算法和用户面的目标mac长度对应第二算法选择策略和第二节点的身份标识,并且用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该第一mac的长度为信令面的目标mac长度;
285.处理单元,用于通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
286.在本技术实施例中,第一节点中可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,第一节点可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。上述装置获取来自第一节点的目标mac长度,通过目标mac长度保护消息完整性。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
287.在第十八方面的一种可能的实施方式中,上述信令面的目标安全算法和信令面的
目标mac长度为根据第一算法选择策略确定的,所述信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
288.在第十八方面的又一种可能的实施方式中,上述用户面的目标安全算法和用户面的目标mac长度为根据第二算法选择策略确定的,所述用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
289.在第十八方面的又一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述处理单元,还用于根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
290.若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
291.上述接收单元,还用于向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点之间的共享密钥生成的。
292.在第十八方面的又一种可能的实施方式中,上述接收单元,还用于接收来自第一节点的关联建立消息,该关联建立消息指示第二节点与第一节点之间建立关联。
293.第十九方面,本技术实施例还提供一种通信装置,所述装置包括至少一个处理器和通信接口,所述至少一个处理器用于调用至少一个存储器中存储的计算机程序,以使得所述装置实现第一方面或者第一方面任意一种可能的实施方式所描述的方法,或者实现第三方面或者第三方面任意一种可能的实施方式所描述的方法,或者实现第六方面或者第六方面任意一种可能的实施方式所描述的方法,或者实现第十五方面或者第十五方面任意一种可能的实施方式所描述的方法。
294.第二十方面,本技术实施例还提供一种通信装置,所述装置包括至少一个处理器和通信接口,所述至少一个处理器用于调用至少一个存储器中存储的计算机程序,以使得所述装置实现第二方面或者第二方面任意一种可能的实施方式所描述的方法,或者实现第四方面或者第四方面任意一种可能的实施方式所描述的方法,或者实现第五方面或者第五方面任意一种可能的实施方式所描述的方法,或者实现第七方面或者第七方面任意一种可能的实施方式所描述的方法,或者实现第十六方面或者第十六方面任意一种可能的实施方式所描述的方法。
295.第二十一方面,本技术实施例还提供一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含第八方面或者第八方面任意一种可能的实施方式所描述的装置,该第二节点包含第九方面或者第九方面任意一种可能的实施方式所描述的装置。
296.第二十二方面,本技术实施例还提供一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含第十方面或者第十方面任意一种可能的实施方式所描述的装置,该第二节点包含第十一方面或者第十一方面任意一种可能的实施方式所描述的装置。
297.第二十三方面,本技术实施例还提供一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含第十方面或者第十方面任意一种可能的实施方式所描述
的装置,该第二节点包含第十二方面或者第十二方面任意一种可能的实施方式所描述的装置。
298.第二十四方面,本技术实施例还提供一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含第十三方面或者第十三方面任意一种可能的实施方式所描述的装置,该第二节点包含第十四方面或者第十四方面任意一种可能的实施方式所描述的装置。
299.第二十五方面,本技术实施例还提供一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含第十七方面或第十七方面任意一种可能的实施方式所描述的装置,该第二节点包含第十八方面或第十八方面任意一种可能的实施方式所描述的装置。
300.第二十六方面,本技术实施例公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在一个或多个处理器上运行时,执行第一方面、第一方面的任意一种可能的实施方式所描述的方法,或者执行第三方面或者第三方面的任意一种可能的实施方式所描述的方法,或者执行第六方面或者第六方面的任意一种可能的实施方式所描述的方法第十五方面,或者第十五方面的任意一种可能的实施方式所描述的方法。
301.第二十七方面,本技术实施例公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在一个或多个处理器上运行时,执行第二方面、第二方面的任意一种可能的实施方式所描述的方法,或者执行第四方面或者第四方面的任意一种可能的实施方式所描述的方法,或者执行第五方面或者第五方面的任意一种可能的实施方式所描述的方法,或者执行第七方面或者第七方面的任意一种可能的实施方式所描述的方法,或者执行第十六方面或者第十六方面的任意一种可能的实施方式所描述的方法。
302.第二十八方面,本技术实施例公开了一种芯片系统,所述芯片系统包括至少一个处理器和通信接口,所述至少一个处理器用于调用至少一个存储器中存储的计算机程序,以使得所述芯片系统所在装置实现第一方面、第一方面的任意一种可能的实施方式所描述的方法,又或者实现第三方面或者第三方面的任意一种可能的实施方式所描述的方法,又或者实现第六方面或者第六方面的任意一种可能的实施方式所描述的方法,又或者实现第十五方面或者第十五方面的任意一种可能的实施方式所描述的方法。
303.第二十九方面,本技术实施例公开了一种芯片系统,所述芯片系统包括至少一个处理器和通信接口,所述至少一个处理器用于调用至少一个存储器中存储的计算机程序,以使得所述芯片系统所在装置实现第二方面、第二方面的任意一种可能的实施方式所描述的方法,又或者实现第四方面或者第四方面的任意一种可能的实施方式所描述的方法,又或者实现第五方面或者第五方面的任意一种可能的实施方式所描述的方法,又或者实现第七方面或者第七方面的任意一种可能的实施方式所描述的方法,又或者实现第十六方面或者第十六方面的任意一种可能的实施方式所描述的方法。
304.第三十方面,本技术实施例还提供一种智能座舱产品,所述智能座舱产品包括第一节点(例如,汽车座舱域控制器cdc),其中,该第一节点包含第一方面或第一方面的任意一种可能的实施方式所描述的装置、或者包含第三方面或第三方面的任意一种可能的实施
方式所描述的装置、或者包含第六方面或第六方面的任意一种可能的实施方式所描述的装置、或者执行第十五方面或者第十五方面的任意一种可能的实施方式所描述的方法。
305.进一步的,上述智能座舱产品还包括第二节点(例如,摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个),该第二节点包含第二方面或第二方面的任意一种可能的实施方式所描述的装置、或者包含第四方面或第四方面的任意一种可能的实施方式所描述的装置、或者包含第五方面或第五方面的任意一种可能的实施方式所描述的装置、或者包含第七方面或第七方面的任意一种可能的实施方式所描述的装置、或者执行第十六方面或者第十六方面的任意一种可能的实施方式所描述的方法。
306.第三十一方面,本技术实施例提供了一种车辆,所述车辆包括第一节点(例如,汽车座舱域控制器cdc),其中,该第一节点包含第一方面或第一方面的任意一种可能的实施方式、或者包含第三方面或第三方面的任意一种可能的实施方式所描述的装置、或者包含第六方面或第六方面的任意一种可能的实施方式所描述的装置、或者执行第十五方面或者第十五方面的任意一种可能的实施方式所描述的方法。
307.进一步的,上述车辆还包括第二节点(例如,摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个),该第二节点包含第二方面或第二方面的任意一种可能的实施方式所描述的装置、或者包含第四方面或第四方面的任意一种可能的实施方式所描述的装置、或者包含第五方面或第五方面的任意一种可能的实施方式所描述的装置、或者包含第七方面或第七方面的任意一种可能的实施方式所描述的装置、或者执行第十六方面或者第十六方面的任意一种可能的实施方式所描述的方法。
附图说明
308.以下对本技术实施例用到的附图进行介绍。
309.图1是本技术实施例提供的一种通信系统的架构示意图;
310.图2是本技术实施例提供的一种通信方法的使用场景示意图;
311.图3是本技术实施例提供的一种通信方法的流程示意图;
312.图4是本技术实施例提供的一种算法选择策略的示意图;
313.图5是本技术实施例提供的一种确定信令面的目标mac长度的示意图;
314.图6是本技术实施例提供的又一种确定信令面的目标mac长度的示意图;
315.图7是本技术实施例提供的又一种确定信令面的目标mac长度的示意图;
316.图8是本技术实施例提供的又一种通信方法的流程示意图;
317.图9是本技术实施例提供的一种确定用户面的目标mac长度的示意图;
318.图10是本技术实施例提供的又一种确定用户面的目标mac长度的示意图;
319.图11是本技术实施例提供的又一种通信方法的流程示意图;
320.图12是本技术实施例提供的又一种通信方法的流程示意图;
321.图13是本技术实施例提供的又一种通信方法的流程示意图;
322.图14是本技术实施例提供的一种通信装置的结构示意图;
323.图15是本技术实施例提供的又一种通信装置的结构示意图;
324.图16是本技术实施例提供的又一种通信装置的结构示意图;
325.图17是本技术实施例提供的又一种通信装置的结构示意图;
326.图18是本技术实施例提供的又一种通信装置的结构示意图;
327.图19是本技术实施例提供的又一种通信装置的结构示意图;
328.图20是本技术实施例提供的又一种通信装置的结构示意图;
329.图21是本技术实施例提供的又一种通信装置的结构示意图;
330.图22是本技术实施例提供的又一种通信装置的结构示意图;
331.图23是本技术实施例提供的又一种通信装置的结构示意图;
332.图24是本技术实施例提供的又一种通信装置的结构示意图;
333.图25是本技术实施例提供的又一种通信装置的结构示意图;
334.图26是本技术实施例提供的又一种通信装置的结构示意图;
335.图27是本技术实施例提供的又一种通信装置的结构示意图;
336.图28是本技术实施例提供的又一种通信装置的结构示意图;
337.图29是本技术实施例提供的又一种通信装置的结构示意图;
338.图30是本技术实施例提供的又一种通信装置的结构示意图;
339.图31是本技术实施例提供的又一种通信装置的结构示意图。
具体实施方式
340.下面结合本技术实施例中的附图对本技术实施例进行描述。需要说明的是,本技术中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本技术中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
341.下面先对本技术涉及到的相关技术和专业术语进行简单的介绍以方便理解。
342.一、节点(node)
343.节点是具有数据收发能力的电子设备。例如,节点可以为汽车座舱(cockpit domain)设备,或者汽车座舱设备中的一个模块(例如座舱域控制器(cockpit domain controller,cdc)、摄像头、屏幕、麦克风、音响、电子钥匙、无钥匙进入或启动系统控制器等模块中的一个或者多个)。在具体实施过程中,节点还可以是数据中转设备,例如路由器、中继器、桥接器或交换机;也可以是一个终端设备,例如各种类型的用户设备(user equipment,ue)、手机(mobile phone)、平板电脑(pad)、台式电脑、耳机、音响等;还可以包括机器智能设备,如无人驾驶(self-driving)设备、运输安全(transportation safety)设备、虚拟现实(virtual reality,vr)终端设备、增强现实(augmented reality,ar)终端设备、机器类型通信(machine type communication,mtc)设备、工业控制(industrial control)设备、远程医疗(remote medical)设备、智能电网(smart grid)设备、智慧城市(smart city)设备;还可以包括可穿戴设备(如智能手表,智能手环,计步器等)等等。在某些技术场景中,具备相类似数据收发能力的设备的名称也可能不称为节点,但是为了方便描述,本技术实施例中将具有数据收发能力的电子设备统称为节点。
344.二、消息认证码(message authentication code,mac)
345.消息认证码(mac)是密码学中,通信实体双方使用的一种验证机制,是用于保证消息完整性的一种工具。在发送消息之前,发送方首先使用通信双方协商好的完整性保护算
法(或者还包括密钥)计算出mac。之后,mac和数据一起被发送。接收方收到报文后,用和发送方同样的完整性保护算法(或者还包括密钥)计算出mac,并比较自己计算的mac和收到的mac是否一致。若两者一致,则消息通过完整性校验。
346.例如,以长期演进(long term evolution,lte)系统为例,lte的完整性保护功能位于分组数据汇聚协议(packet data convergence protocol,pdcp)层,发送端的节点可以对pdcp协议数据单元(protocol data unit,pdu)的头部(header)以及数据部分进行完整性保护。具体的,发送端的节点使用上层协议层配置的完整性保护算法,以密钥、count值、无线承载标识、direction以及消息等中的至少一个参数作为输入参数,计算一个32比特(bit)的消息完整性验证码(message authentication code for integrity,mac-i),放入pdcp pdu的mac-i域。接收端的节点在收到消息后,以同样的方法计算该消息所期望的验证码xmac-i,并通过比较xmac-i和mac-i进行完整性校验。如果mac-i与xmac-i相等,则接收端确定完整性校验成功,否则确定完整性校验失败。
347.三、完整性保护算法
348.mac可以通过完整性保护算法来生成,该完整性保护算法也可以称为mac算法、完整性保护算法等。可选的,完整性保护算法可以通过其他的加密算法来实现。例如,通过哈希算法来实现的完整性保护算法称为基于哈希的消息认证码(hash-based message authentication code,hmac)算法,其中的哈希算法可以为md5、sha-1、sha-256等等中的一个,这些不同的hmac实现通常标记为:hmac-md5,hmac-sha1,hmac-sha256等等。再如,基于分组密码算法来实现的mac算法可以称为基于密码的消息认证码(cipher-based message authentication code,cmac)算法,其中的分组密码算法可以为高级加密标准(advanced encryption standard,aes),由于分组加密的工作模式有ecb,cbc,cfb,ofb四种,基于不同的工作的模式分组加密算法实现的完整性保护算法可以称为:ecb-mac算法、cbc-mac算法等等。进一步的,单密钥消息认证码(one-key cbc-mac,omac)是从cbc-mac算法改进而来,在2005年被美国国家标准与技术研究生院(national institute of standards and technology,nist)列为推荐标准。
349.此外,完整性保护算法还可以包括伽罗瓦消息验证码(galois message authentication code mode,gmac)、祖冲之密码算法(如zuc128、zuc256等)、信息摘要(message digest,md)算法(如md2、md4或md5等)。进一步的,密码算法还可以包括末端快速扩增(rapid amplification of cdna ends,race)原始完整性验证消息摘要(race integrity primitives evaluation message digest,ripemd)算法。
350.另外,完整性保护算法可以组合两个或更多个算法,以便即使后来发现其中一个易受攻击,另一个也能继续保护消息完整性。例如,在传输层安全(transport layer security,tls)中,输入数据被分成两半,每个半部用不同的完整性保护算法(md5和sha-1)处理,然后一起进行异或输出以得到mac。
351.完整性保护算法可以生成至少一种长度的mac,参见表1,表1是本技术实施例提供的一种可能的mac算法生成的mac长度的信息。可以看出,cmac算法生成的mac通常支持128比特、64比特或者32比特的密码块,而gmac生成的mac的长度可以为32比特到128比特不等,hmac可以生成多种长度的摘要作为mac。
352.表1不同完整性保护算法生成的mac长度
[0353][0354]
在一些具体场景中,通过认证加密算法,对与给定的原文既可以加密数据也可以生成消息认证码。因此,对消息进行认证加密过程中也可以看作对消息进行了完整性保护。例如,基于gmac和计数加密模式的aes算法(aes-galois/counter mode,aes-gcm)和基于cmac和计数加密模式的aes算法(aes-cmac/counter mode,aes-ccm)等可以对消息进行认证加密,而进行认证加密的过程中能够生成mac来保护消息的完整性。可选的,不同的认证加密算法生成的mac长度可以参考其使用的完保算法的长度,例如基于aes-gcm算法生成的mac长度可以参考gmac生成的mac长度。
[0355]
四、共享密钥(shared key,sk)
[0356]
在通信过程中,数据在通信节点之间传递,如果数据要进行保密,就需要通过密钥进行加密。而共享密钥是通信双方的节点中保存的相同的秘密值,共享密钥可以是在双方节点中预先定义或者预先配置的,也可以是双方通过相同的密钥获取方法生成的,还可以是一个可信设备(如密钥分发中心(key distribution center,kdc))分别发送给第一节点和第二节点的。
[0357]
例如,车辆的座舱域控制器(cockpit domain controller,cdc)与车载雷达设备是可以进行通信的两个节点,汽车厂工作人员在部署cdc和车载雷达时已经预先配置cdc和车载雷达之间的共享密钥,通过该共享密钥,可以保证车辆的cdc与车顶雷达进行通信的安全性。
[0358]
再如,cdc与车主的手机是可以进行通信的两个节点。当车主需要通过手机与车辆的cdc进行关联时,可以通过密钥获取方法获取共享密钥,如通过密钥协商算法在手机与车辆的cdc之间交换密钥协商算法参数生成共享密钥等。该共享密钥可以用于后续该手机再次请求关联车辆的cdc时,验证双方节点的身份。
[0359]
五、密钥派生
[0360]
密钥派生是从一个秘密值中派生出一个或多个秘密值的过程,而用于派生密钥的算法称为密钥派生算法(key derivation function,kdf),又称为密钥导出算法。例如,通过秘密值key派生的新的秘密值dk可以表示为:dk=kdf(key)。
[0361]
常用的密钥派生算法包括基于密码的密钥派生函数(password-based key derivation function,pbkdf)、斯克里普特(scrypt)算法等。其中,pbkdf算法又包括第一代pbkdf1和第二代pbkdf2。可选的,在具体实现时,在派生密钥过程中可以使用哈希算法对输入的秘密值进行哈希变化,因此kdf还可以接收算法标识作为输入,用于指示使用何种哈希算法。
[0362]
六、信令面和用户面
[0363]
通信系统中,一般都存在用户面(user plane)和控制面(control plane)之分。而随着软件定义网络(software defined network,sdn)技术的出现,控制面和用户面(control plane and user plane,cu)分离逐渐成为通信系统的发展方向。其中,控制面又称为信令面或者控制面,通常用于传输控制信令,为了方便描述,本技术各个实施例中统一使用“信令面”进行说明。用户面,又称为数据面,通常用于传输用户数据,为了方便描述,本技术各个实施例中统一使用“用户面”进行说明。
[0364]
例如,在语音通话过程中,控制面用于传输用于控制呼叫流程建立、维护及释放的信令,而用户面用于传输语音数据。
[0365]
在一些具体应用场景中,将网络传输分为无线网络层和传输网络层。其中,无线网络层的用户面就是电路交换域(circuit switching domain,cs)业务(例如语音编码、视频编码等)或者分组数据包(packet switching domain,ps)业务,即真正的用户数据;无线网络层的控制面包括:无线接入网络应用部分(radio access network application part,ranap)、无线网络子系统应用部分协议(radio network subsystem application part,rnsap)及基站应用部分协议(nodeb application part,nbap)等等中的一个或者多个,用来控制呼叫流程的信令。而传输网络层是底层承载,因此传输网络层的用户面既包括用户数据也包括信令数据,也就是说无线网络层(控制面和用户面)的消息都是传输网络层的用户面消息,由传输网络层承载,进行发送/接收。而传输网络层的控制面是单独的一个控制面,只位于传输网络层,用来为无线网络层的用户面数据建立传输承载(异步传输模式适配层(asynchronous transfer mode adaptation layer,aal2)连接的创建维护及释放)。
[0366]
另外需要说明的是,本技术各实施例中提到的“认证”、“校验”、“验证”,可以表征检查是否正确或者合理的意思。本技术各实施例中提“关联”表明第一节点与第二节点建立连接的过程,在一些具体的技术场景中,也可以将“关联”描述为“接入”。
[0367]
下面对本技术实施例的系统架构和业务场景进行描述。需要说明的是,本技术描述的系统架构及业务场景是为了更加清楚的说明本技术的技术方案,并不构成对于本技术提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本技术提供的技术方案对于类似的技术问题,同样适用。
[0368]
请参见图1,图1是本技术实施例提供的一种通信系统的架构示意图,包括第一节点101和第二节点102。第一节点101可以被第二节点202请求关联,关联成功后,第一节点101可以通过数据链路与第二节点102进行通信。可选的,第一节点101与第二节点102进行通信的数据链路可以包括各种类型的连接介质,例如可以为近距离连接技术包括802.11b/g、蓝牙(blue tooth)、紫蜂(zigbee)、无线射频识别技术(radio frequency identification,rfid)和超宽带(ultra wideband,uwb)技术等。再如还可以为远距离连接技术包括全球移动通信系统(global system for mobile communications,gsm)、通用分组无线业务(general packet radio service,gprs)、通用移动通信系统(universal mobile telecommunications system,umts)等无线接入类型技术。当然,不排除还有其他技术可以用于支撑第一节点与第二节点进行通信。
[0369]
为了保证第一节点与第二节点之间的通信安全性,可以使用消息认证码对消息进行完整性保护,例如,第一节点根据消息中的部分或者全部数据,通过完整性保护算法(或者进一步包括完整性保护密钥)生成mac,将mac放在消息中(例如消息的前缀或者后缀中)
发送给第二节点。第二节点接收消息后,先根据对应的完整性保护算法(或者还包括对应的完整性保护密钥),根据相应的部分或者全部数据,生成校验值,若校验值与mac一致,则说明消息中对应的数据没有被篡改。
[0370]
可选的,第一节点101可以是通信的发起方,可以称为主节点或者接入点(access point,ap),相应的,第二节点102可以是通信的接收方,可以称为从节点。
[0371]
另外,第一节点101和第二节点102可以是相同类型的设备,也可以是不同类型的设备。例如,请参见图2,图2是本技术实施例提供的一种通信方法的使用场景示意图,车辆中的座舱域控制器(cockpit domain controller,cdc)201是智能座舱设备中的控制中心,可以看作为第一节点101。智能手机202是可以具有数据收发能力的设备,可以看作为第二节点102。其中,cdc201发送给智能手机202的消息可以携带mac,而智能手机202接收消息,通过mac验证消息的完整性后,再根据消息执行对应的操作。但是现有的消息认证码技术中,消息认证码的长度通常是固定的,难以满足用户的需求。例如,智能手机202通过蓝牙与cdc201进行连接,当cdc201需要给智能手机202发送语音数据时,由于该车载语音数据对私密性要求较高,而蓝牙通信过程中消息认证码长度为32比特,容易被攻击者破解,不能满足对于安全性的需求,因此需要更长的mac长度来对数据进行保护。
[0372]
请参见图3,图3是本技术实施例提供的一种通信方法的流程示意图,该通信方法可以基于图1所示的通信系统来实现,该方法至少包括如下步骤:
[0373]
步骤s301:第二节点向第一节点发送关联请求消息。
[0374]
具体地,关联请求消息包括第二节点支持的安全算法的信息,该安全算法的信息可以是安全算法的名称、标识或者预先定义的符号等等。其中,第二节点支持的安全算法包括完整性保护算法的信息或者认证加密算法的信息等中的一项或者多项。可选的,第二节点支持的安全算法的信息也可以称为第二节点的安全能力(sec capabilities)。
[0375]
参见表2,表2是本技术实施例提供的一种可能的算法信息表,关联请求消息中第二节点支持的安全算法信息可以是算法的名称或者算法的标识。例如,第二节点支持的安全算法的信息可以为“gia2、gia3、gac1”,指示第二节点支持祖冲之加密(zuc)算法、aes-cmac算法(具体为64比特和128比特mac长度的aes-cmac算法)和aes-gcm算法(具体为32比特mac长度的aes-gcm算法)。再如,第二节点支持的安全算法信息可以为“0010、0011、1000”,指示第二节点支持祖冲之加密(zuc)算法、aes-cmac算法和aes-gcm算法。
[0376]
表2算法信息表
[0377][0378]
可选的,关联请求消息中还可以包括第二节点获取的(或者生成的)新鲜性参数。其中,新鲜性参数可以包括随机数(number once,nonce)、计数器(counter)、序列号(number)等等中的至少一个。为了方便描述,本技术各实施例中,将关联请求消息中第二节点获取(或者生成)的新鲜性参数称为第一新鲜性参数。
[0379]
可选的,第一节点可以发送接入消息或者广播消息,第二节点接收来自第一节点的接入消息或者广播消息。基于所述接入消息或者广播消息,第二节点向第一节点发送第一关联请求消息。具体的,第一节点的接入消息或者广播消息中可以包含第一节点的身份标识、该第一节点的描述信息或者用于指示其它节点接入的信息等等中的至少一项。
[0380]
步骤s302:第一节点根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度。
[0381]
具体的,该信令面的目标安全算法包括信令面的完整性保护算法、认证加密算法等等中的一项。该信令面的目标安全算法用于信令面的消息的完整性保护,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。例如,第二节点支持的安全算法的信息可以为“gia2、gia3、gac1”,指示第二节点支持祖冲之加密(zuc)算法、aes-cmac算法(具体为64比特和128比特mac长度的aes-cmac算法)和aes-gcm算法(具体为32比特mac长度的aes-gcm算法),则第一节点确定的信令面的目标安全算法属于祖冲之加密(zuc)算法、aes-cmac(具体为64比特和128比特mac长度的aes-cmac算法)算法和aes-gcm(具体为32比特mac长度的aes-gcm算法)算法这一集合中的算法。
[0382]
第一算法选择策略可以是第一节点中预先配置或者定义的选择策略。可选的,该第一算法选择策略可以是通过优先级来实现,也可以是按照预先配置或者定义的选择顺序来实现的,或者还可以是通过算法、模型等方式来实现的。例如,参见图4,图4是本技术实施例提供的一种可能的第一算法选择策略的示意图,参见区域401所示,标识为“0001”的算法(对应的算法为aes-cmac算法)的优先级为1,可以说明第一节点优先选择aes-cmac算法(具体参见表2为支持32比特mac长度的aes-cmac算法)作为信令面的目标安全算法。再如,第一节点中预先配置有第一模型,该第一模型是基于深度强化学习训练得到的神经网络,该神经网络是通过多个样本数据训练得到的,因此该第一模型可以根据第二节点支持的安全算法的信息决策出最优的目标安全算法,因此该第一模型可以看作第一算法选择策略。
[0383]
可选的,第一节点根据第一算法选择策略确定信令面的目标安全算法以及信令面
的目标mac长度,至少包括有以下两种情况:
[0384]
情况一:第一节点根据第一长度选择策略、第一算法选择策略确定所述信令面的目标安全算法和所述信令面的目标mac长度。其中,第一长度选择策略可以是第一节点中预先配置或者定义的选择策略,可以是通过优先级来实现,也可以是按照预先配置或者定义的选择顺序来实现的,或者通过算法、模型等方式来实现。例如,第一长度选择策略可以为选择长度最长的mac长度,或者还可以为选择长度最短的mac长度,进一步的可选的,该选择长度最长的mac长度可以为配置为第一节点默认的长度选择策略。
[0385]
可选的,第一节点根据第一长度选择策略、第一算法选择策略确定所述信令面的目标安全算法和所述信令面的目标mac长度,具体至少可以有以下两种实现方式:
[0386]
实现方式一:第一节点根据第一算法选择策略确定信令面的目标安全算法,根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
[0387]
例如,参见图5,图5是本技术实施例提供的一种可能的确定信令面目标mac长度的方法示意图。参见区域501,可以看出第二节点支持的安全算法的信息指示第二节点支持的安全算法的信息为“0011、1010”,指示第二节点支持的算法为aes-cmac算法和aes-gcm算法。而第一节点中通过优先级方式来实现第一算法选择策略,参见区域502可以看出aes-cmac算法的优先级为2,aes-gcm的优先级为3,因此根据第一算法选择策略将aes-cmac确定为信令面的目标安全算法。而标识“0011”对应的aes-cmac算法支持的mac长度为64比特和128比特,根据图5所示的第一长度选择策略,可以知道64比特的优先级高于128比特的优先级,因此将64比特确定为信令面的目标mac长度(参见区域503所示)。
[0388]
再如,第一节点可以配置为默认的第一长度选择策略为选择目标安全算法支持的mac长度中最长的mac长度。如标识“0011”对应的aes-cmac算法支持的mac长度为64比特和128比特,则第一节点可以默认选择将128比特作为信令面的目标mac长度。还可以为,第一节点可以配置为默认的第一长度选择策略为选择目标安全算法支持的mac长度中最短的mac长度。
[0389]
实现方式二:第一节点根据第一长度选择策略,确定支持第一长度的算法或者算法集合。第一节点根据第一算法选择策略,从支持第一长度的算法或者算法集合中确定第一算法,若该第一算法属于第二节点支持的安全算法,则将第一算法确定为信令面的目标安全算法,将第一长度确定为信令面的目标mac长度。
[0390]
例如,参见图6,图6是本技术实施例提供的又一种可能的确定信令面目标mac长度的方法示意图,参见区域602,第一节点根据第一长度选择策略,确定支持128比特的mac长度的算法组(即标识“0011、1010、1011”分别对应的算法)。参见区域603,第一节点再根据第一算法选择策略,确定其中优先级最高的算法(即标识“0011”对应的aes-cmac算法),参见区域601可知第二节点支持标识“0011”对应的算法,因此将aes-cmac算法确定为信令面的目标安全算法,将128比特确定为信令面的目标mac长度。
[0391]
可以理解的,若支持某一长度的算法,均不被第二节点支持,可以选择下一个长度的算法或者算法集合。例如,若支持128比特的算法(即标识“0011、1010、1011”分别对应的算法),第二节点均不支持,则可以从下一个优先级的mac长度对应的算法中选择目标安全算法。情况二:第一节点根据第一算法选择策略确定信令面的目标安全算法,信令面的目标安全算法对应的mac长度为所述信令面的目标mac长度。具体至少可以有以下两种实现方
式:
[0392]
实现方式三:信令面的目标安全算法只支持生成一种长度的mac,在这种情况下,第一节点根据第一算法选择策略确定信令面的目标安全算法,将信令面的目标安全算法所支持的mac长度确定为信令面的目标mac长度。例如标识为“0001”的算法(对应的算法为aes-cmac算法)只支持生成32比特长度的mac,第一节点根据第一算法选择策略确定信令面的目标安全算法为标识为“0001”的算法时,对应的32比特则作为信令面的目标mac长度。再如,hmac256算法是hmac算法中的一种,只支持生成256比特的mac长度,因此第二节点中只支持hmac256算法时,hmac256对应的256比特则作为信令面的目标mac长度。
[0393]
实现方式四:第一节点预先存储有目标安全算法与mac长度的对应关系,第一节点根据信令面的目标安全算法与mac长度的对应关系,将信令面的目标安全算法对应的mac长度确定为信令面的目标mac长度。该对应关系可以是预先配置或定义的。例如,参见图7,图7是本技术实施例提供的又一种可能的第一算法选择策略的示意图,参见区域701所示,第一算法策略还可以表示安全算法与长度的对应关系,不同的对应关系存在不同的优先级,其中,标识为“0001”的aes-cmac算法以及对应的32比特的mac长度的优先级为1。第一节点根据第一算法选择策略将标识为“0001”的aes-cmac算法确定为信令面的目标安全算法后,根据aes-cmac算法与mac长度对应关系,将标识为“0001”的aes-cmac算法对应的32比特确定为信令面的目标mac长度。
[0394]
步骤s303:第一节点通过信令面的目标安全算法生成第一mac。
[0395]
具体的,第一mac的长度为前述信令面的目标mac长度,该第一mac用于第二节点校验安全上下文请求消息的完整性。
[0396]
可选的,除了目标安全算法,生成第一mac时还需要第一节点与第二节点之间的共享密钥(具体可以是完整性保护密钥)、以及需要通过第一mac进行完整性保护的消息数据。例如,第一mac可以是根据基于密码的消息认证码(cipher-based message authentication code,cmac)算法,通过共享密钥k1(具体可以是完整性保护密钥)以及安全上下文请求消息中除了第一mac外的部分或者全部数据data1得到的,例如:第一mac=cmac(k1,data1)。
[0397]
可选的,本技术实施例所述的通信方法,还可以包括步骤s304或s304-s311中的部分或者全部步骤,步骤s304-s311具体如下:
[0398]
步骤s304:第一节点向第二节点发送安全上下文请求消息。
[0399]
具体的,安全上下文请求消息包括用于指示信令面的目标安全算法的信息和用于指示信令面的目标mac长度的信息。进一步,该安全上下文请求消息包括第一mac,该第一mac的长度为信令面的目标mac的长度,该第一mac还用于验证所述安全上下文请求消息的完整性。具体的,所述第一mac用于所述第二节点验证所述安全上下文请求消息的完整性。
[0400]
可选的,用于指示信令面的目标mac长度的信息至少可以有以下几种可能的情况:
[0401]
情况一:该用于指示信令面的目标mac长度的信息可以直接为信令面的目标mac长度,例如,安全上下文请求消息中包括“信令面mac长度:64比特”,第二节点可以根据上下文请求消息获取信令面的目标mac长度。在这种情况下,安全上下文请求消息中包括第一mac、用于指示信令面的目标安全算法的信息和信令面的目标mac长度。
[0402]
情况二:用于指示信令面的目标mac长度的信息可以为前述第一mac。具体的,该第
一mac的长度为上述信令面的目标mac长度,第二节点可以根据第一mac的长度确定信令面的目标mac长度。在这种情况下,安全上下文请求消息中包括第一mac和用于指示信令面的目标安全算法的信息。
[0403]
情况三:在确定的信令面的目标安全算法只对应于一种mac长度的情况下,该用于指示信令面的目标mac长度的信息可以为用于指示信令面的目标安全算法的信息。例如,标识为“0001”的算法(对应的算法为aes-cmac算法)只支持生成32比特长度的mac,因此若信令面的目标安全算法为标识“0001”,则可以在安全上下文请求消息中携带该标识“0001”,该标识0001用于指示信令面的目标安全算法,由于该算法只对应32比特长度的mac,因此该标识也可以指示信令面的目标mac长度为32比特。在这种情况下,安全上下文请求消息中包括第一mac和用于指示信令面的目标安全算法的信息。
[0404]
需要说明的是,本技术各个实施例中还存在一种可选的设计,若确定的信令面的目标安全算法只对应于一种mac长度,第一节点可以在发送给第二节点的消息中携带指示信令面的目标安全算法的信息,该指示信令面的目标安全算法的信息也可以用于指示信令面的目标mac长度。相应的,若确定的用户面的目标安全算法只对应于一种mac长度,则第一节点可以在消息中携带指示用户面的目标安全算法的信息,该指示用户面的目标安全算法的信息也可以用于指示用户面的目标mac长度。
[0405]
可选的,该安全上下文请求消息还包括第一节点获取的(或者生成的)新鲜性参数。其中,新鲜性参数可以包括随机数(number once,nonce)、计数器(counter)、序列号(number)等等中的至少一个。为了方便描述,将安全上下文请求消息中的新鲜性参数称为第二新鲜性参数。
[0406]
可选的,该安全上下文请求消息还包括第一身份认证信息,该第一身份认证信息为第一节点根据第一节点与第二节点之间的共享密钥生成的。该共享密钥可以是第一节点与第二节点之间的预共享密钥。例如,第一节点根据预共享密钥psk,通过kdf可以生成第一身份认证信息autha,即:autha=kdf(psk)。可选的,在关联请求消息中包括第一新鲜性参数的情况下,该第一身份认证信息可以是根据共享密钥和第一新鲜性参数生成的。例如,根据预共享密钥psk和第一新鲜性参数noncee,通过kdf生成第一身份认证信息autha,例如autha=kdf(psk,noncee)。
[0407]
进一步可选的,在实际处理中,第一节点生成第一身份认证信息的参数还可以包括其他信息,例如,生成的第一身份认证信息autha可以满足:autha=kdf(psk,关联请求消息)。
[0408]
进一步可选的,在安全上下文请求消息中包括第二新鲜性参数的情况下,第一节点生成的第一身份认证信息autha还可以满足:autha=kdf(psk,noncea,关联请求消息),其中,noncea为安全上下文请求消息中的第二新鲜性参数。
[0409]
可选的,第一节点可以通过加密密钥对安全上下文请求消息中的部分或者全部数据进行加密。相应的,第二节点可以接收该安全上下文请求消息,对相应的加密部分进行解密,得到消息内容。
[0410]
步骤s305:第二节点通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
[0411]
具体的,第二节点根据该第一mac校验安全上下文请求消息的消息完整性,防止安
全上下文请求消息中的内容被攻击者篡改。
[0412]
在一种可能的方案中,第一节点通过什么样的方式生成第一mac,第二节点也使用相同的方式生成校验值,若生成的校验值与第一mac相同,则完整性校验通过。例如,第一mac是第一节点通过信令面的目标安全算法,根据共享密钥k1以及安全上下文请求消息中除了第一mac以外的部分或者全部数据data1得到的,那么第二节点也通过相同的方式生成校验值check1:check1=cmac(k1,data1),若check1与第一mac相同,说明数据data1没有被篡改,安全上下文请求消息的完整性校验通过。
[0413]
可选的,若完整性校验失败,说明安全上下文请求消息可能被攻击者篡改。因此第二节点可以丢弃该安全上下文请求消息、或者忽略该安全上下文请求消息,或者还包括不应用该安全上下文请求消息中的目标安全算法、不应用安全上下文请求消息中的目标mac信息。
[0414]
步骤s306:第二节点根据第二节点与第一节点之间的共享密钥验证第一身份认证信息。
[0415]
具体的,由于第一身份认证信息是第一节点根据第一节点与第二节点之间的共享密钥生成的,因此第二节点也根据该共享密钥来验证所述第一身份认证信息是否正确。
[0416]
在一种可选的方案中,根据协议规定,第一节点使用什么参数生成第一身份认证信息,则第二节点也应当使用相同的参数生成校验信息,如果校验信息与第一身份认证信息相同,则认为验证通过。例如,第一身份认证信息是通过kdf生成的,因此第二节点可以通过kdf生成校验信息,也称为校验值test1。第二节点通过校验信息验证第一身份认证信息是否正确。
[0417]
下面进行举例说明:
[0418]
例如,若第一身份认证信息autha为kdf(psk,noncee),则第二节点根据psk和第一新鲜性参数noncee通过kdf得到校验值test1=kdf(psk,noncee),若校验值test1与autha相同,则验证通过。
[0419]
可选的,若第一身份认证信息校验失败,说明第一节点的身份不可信。因此第二节点可以丢弃该安全上下文请求消息、或者忽略该安全上下文请求消息,或者还包括不应用该安全上下文请求消息中的目标安全算法、不应用安全上下文请求消息中的目标mac长度。进一步的,第二节点可以断开与第一节点的连接,便于关联正确的节点。
[0420]
可选的,第二节点可以先执行步骤s306所描述的操作,再执行步骤s305所描述的操作。
[0421]
步骤s307:第二节点通过信令面的目标安全算法生成第二mac。
[0422]
具体的,第二mac的长度为前述信令面的目标mac长度,该第二mac用于第一节点校验安全上下文响应消息的完整性。在具体实现中,除了目标安全算法,生成第二mac时还需要第二节点与第一节点之间的共享密钥(具体可以是完整性保护密钥)、以及需要通过第二mac进行完整性保护的消息数据。
[0423]
例如,第二mac可以是根据cmac算法,通过共享密钥k1(具体可以是完整性保护密钥)以及安全上下文响应消息中除了第二mac外的部分或者全部数据data2得到的,例如:第二mac=cmac(k1,data2)。
[0424]
步骤s308:第二节点向第一节点发送安全上下文响应消息。
[0425]
具体的,安全上下文响应消息包括第二mac,该第二mac用于验证安全上下文响应消息的完整性。
[0426]
可选的,该安全上下文响应消息还包括第二身份认证信息,该第二身份认证信息为第二节点根据第二节点与第一节点之间的共享密钥生成的。该共享密钥可以是第二节点与第一节点之间的预共享密钥。例如,第二节点根据预共享密钥psk,通过kdf可以生成第二身份认证信息authe,即:authe=kdf(psk)。
[0427]
可选的,在安全上下文请求消息中包括第二新鲜性参数的情况下,该第二身份验证信息可以是第二节点根据共享密钥和第二新鲜性参数生成的。例如,第二节点根据预共享密钥psk和第二新鲜性参数noncea,通过kdf生成第二身份认证信息authe,例如authe=kdf(psk,noncea)。
[0428]
进一步可选的,在实际处理中,第二节点生成第二身份认证信息的参数还可以包括其他信息,例如,生成的第二身份认证信息authe可以满足:authe=kdf(psk,安全上下文请求消息)。
[0429]
进一步可选的,在关联请求消息中包括第一新鲜性参数的情况下,第二节点生成的第二身份认证信息authe还可以满足:authe=kdf(psk,noncea,安全上下文请求消息),其中,noncea为关联请求消息中的第一新鲜性参数。
[0430]
可选的,第二节点可以通过加密密钥对安全上下文响应消息中的部分或者全部数据进行加密。相应的,第一节点可以接收该安全上下文响应消息,对相应的加密部分进行解密,得到消息内容。
[0431]
步骤s309:第二节点通过信令面的目标安全算法,根据第二mac校验安全上下文响应消息的完整性。
[0432]
具体的,第一节点根据该第二mac校验安全上下文响应消息的消息完整性,防止安全上下文响应消息中的内容被攻击者篡改。
[0433]
在一种可能的方案中,第二节点通过什么样的方式生成第二mac,第一节点也使用相同的方式生成校验值,若生成的校验值与第二mac相同,则完整性校验通过。例如,第二mac是第二节点通过信令面的目标安全算法,根据共享密钥k1以及安全上下文请求消息中除了第二mac以外的部分或者全部数据data2得到的,那么第一节点也通过相同的方式生成校验值check2:check2=cmac(k1,data2),若check2与第二mac相同,说明数据data2没有被篡改,安全上下文请求消息的完整性校验通过。
[0434]
可选的,若完整性校验失败,说明安全上下文响应消息可能被攻击者篡改。因此第一节点可以丢弃该安全上下文响应消息、或者忽略该安全上下文响应消息,或者还包括不应用前述的信令面的目标安全算法、不应用前述的信令面的目标mac长度。
[0435]
步骤s310:第一节点根据第一节点与第二节点之间的共享密钥验证第二身份认证信息。
[0436]
具体的,由于第二身份认证信息是第二节点根据第二节点与第一节点之间的共享密钥生成的,因此第一节点可以根据该共享密钥来验证所述第二身份认证信息是否正确。
[0437]
在一种可选的方案中,根据协议规定,第二节点使用什么参数生成第二身份认证信息,则第一节点也应当使用相同的参数生成校验信息,如果校验信息与第二身份认证信息相同,则认为验证通过。例如,第二身份认证信息是通过kdf生成的,因此第一节点可以通
过kdf生成校验信息,也称为校验值test2。第一节点通过校验信息验证第二身份认证信息是否正确,下面进行举例说明:
[0438]
例如,若第二身份认证信息authe为kdf(psk,noncea),则第一节点根据psk和第二新鲜性参数noncea通过kdf得到校验值test2=kdf(psk,noncea),若校验值test2与authe相同,则验证通过。
[0439]
可选的,若第二身份认证信息校验失败,说明第二节点的身份不可信。因此第一节点可以丢弃该安全上下文响应消息、或者忽略该安全上下文响应消息,或者还包括不应用前述的信令面的目标安全算法、不应用前述的信令面的目标mac长度。进一步的,第一节点可以断开与第二节点的连接,便于关联正确的节点。
[0440]
可选的,第二节点可以先执行步骤s310所描述的操作,再执行步骤s309所描述的操作。
[0441]
步骤s311:第一节点向第二节点发送关联建立消息。
[0442]
具体的,关联建立消息可以指示所述第二节点与所述第一节点之间建立关联。
[0443]
可选的,关联建立消息中也可以携带有保护关联建立消息的完整性的mac,该保护关联建立消息的完整性的mac可以是通过前述的信令面的目标安全算法生成的,该保护关联建立消息的完整性的mac的长度为信令面的目标mac长度。
[0444]
可选的,第一节点可以通过加密密钥对关联建立消息中的部分或者全部数据进行加密。相应的,第二节点可以接收关联建立消息,对相应的加密部分进行解密,得到消息内容。
[0445]
可选的,第一节点还可以根据第二算法策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。该用户面的目标安全算法可以通过安全上下文请求消息发送给第二节点,以使得第二节点接收安全上下文请求消息从而获取用户面的目标安全算法。进一步可选的,该第二算法策略与第一算法策略可以是同样的算法策略。
[0446]
可选的,第一节点中还可以获取有第一业务的标识和/或第一业务的数据包大小。第一节点可以根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。进一步可选的,第一节点可以向第二节点发送资源调度消息,该资源调度消息包括用户面的目标mac长度。相应的,第二节点接收资源调度消息,从而可以获取用户面的目标mac长度。需要说明的是,第一业务可以是第二节点中处理(或者说执行)的业务,也可以是第二节点转发其它节点所处理的业务。
[0447]
在图3所示的方法中,第一节点根据第二节点支持的安全算法的信息,根据预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,第一节点可以根据需求制定不同的选择策略,从而确定出满足需求的mac长度,提高mac长度的灵活性。例如,可以在第二节点支持的算法中,选择安全性较高的算法,还可以选择较长的mac长度,使得攻击者难以破解mac,从而增强mac保护的消息的完整性,提高节点通信过程中的数据安全性。
[0448]
请参见图8,图8是本技术实施例提供的一种通信方法的流程示意图,该通信方法
可以基于图1所示的通信系统来实现,该方法至少包括如下步骤:
[0449]
步骤s801:第二节点向第一节点发送业务属性上报响应消息。
[0450]
具体的,业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小。
[0451]
可选的,第一节点可以向包括第二节点在内的一个或者多个节点发送业务属性上报请求消息,相应的,第二节点接收来自第一节点的业务属性上报请求消息,从而向第一节点发送业务属性上报响应消息。具体的,第一节点的业务属性上报请求消息中可以包含第一节点的身份标识、该第一节点的身份描述信息或者用于指示发送业务属性上报响应消息的信息等等中的至少一项,第二节点接收业务属性上报请求消息后,向第一节点发送业务属性上报响应消息。
[0452]
步骤s802:第一节点根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度。
[0453]
具体的,该用户面的目标mac长度用于指示对所述第一业务的数据进行完整性保护的mac的长度。具体实现过程中,至少包括有以下四种情况:
[0454]
情况一:第一节点根据第一业务的标识和/或所述第一业务的数据包大小确定第二长度选择策略。第二节点根据所述第二长度选择策略和所述用户面的目标安全算法支持的mac长度确定所述用户面的目标mac长度,该用户面的目标mac长度用于指示对所述第一业务的数据进行完整性保护的mac的长度。其中,第二长度选择策略可以是第一节点中预先配置或者定义的选择策略,可以是通过优先级来实现,也可以是按照预先配置或者定义的选择顺序来实现的,或者通过算法、模型等方式来实现。
[0455]
例如,参见图9,图9是本技术实施例提供的一种确定用户面的目标mac长度的方法的示意图。区域901中包括了部分业务的身份编号(identify,id),可以作为业务的标识,不同的业务的标识通常对应不同的业务,例如标识“0001”表示视频上传,标识“0002”表示语音呼叫,标识“0003”表示音频播放。参见区域902可知,根据不同的业务的标识可以确定不同的长度选择策略,例如标识“0001”的视频上传业务对应长度选择策略a。第一节点根据业务对应的长度选择策略a和用户面的目标安全算法支持的长度903可以确定用户面的目标mac长度为128比特(参见区域904),基于该mac长度生成的mac用于对标识“0001”的业务的数据进行完整性保护。同理,参见区域905可知,对标识“0002”的业务进行完整性保护的mac的长度为64比特;参见区域906可知,标识“0003”的业务进行完整性保护的mac的长度为64比特。
[0456]
需要说明的是,通过业务的标识可以确定对该业务不开启完整性保护。例如,参见图9,业务的标识为“0004”的降噪业务可以不开启完整性保护。此外,通过长度选择策略也可以确定是否开启完整性保护,例如长度选择策略c中mac长度为0表示不开启完整性保护。
[0457]
再如,参见图10,图10是本技术实施例提供的一种确定用户面的目标mac长度的方法的示意图。区域1001中包括了部分业务的标识和对应的数据包大小,例如标识“0001”对应的数据包大小为500比特。参见区域1002可知,根据不同的数据包大小可以确定不同的长度选择策略,例如65比特到256比特的数据包大小对应长度选择策略f。第一节点根据数据包大小对应的长度选择策略f和用户面的目标安全算法支持的长度1003可以确定用户面的目标mac长度为64比特(参见区域1004),基于该mac长度生成的mac用于对标识“0002”的业
务的数据进行完整性保护。同理,参见区域1004可知,对标识“0001”的业务进行完整性保护的mac的长度为128比特。当然,图10所示的数据包的大小仅为举例,具体实现过程中还存在其他的数据包大小,或者还可以通过数据包大小的范围确定对应的长度选择策略,此处不再赘述。
[0458]
情况二:第一节点根据所述用户面的目标安全算法支持的mac长度和所述第一业务的标识确定所述用户面的目标mac长度。
[0459]
可选的,第一节点中有第一业务的标识和mac长度的对应关系,该对应关系可以是预先配置或定义的。第一节点可以根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和mac长度的对应关系,将第一业务的标识对应的mac长度确定为所述用户面的目标mac长度。
[0460]
表3业务的标识和mac长度对应关系
[0461][0462][0463]
例如,参见表3,表3是本技术实施例提供的一种可能的业务的标识和mac长度对应关系,标识“0001”表示视频上传业务,对应的mac长度为128比特,若用户面的目标安全算法支持128比特的mac长度,则可以将128比特确定为用户面的目标mac长度。
[0464]
可以理解的,若用户面的目标安全算法不支持某一业务对应的mac长度,可以在用户面的目标安全算法支持的长度中选择长度较为接近的mac长度作为用户面的目标mac长度,具体实现过程不在赘述。
[0465]
可选的,业务上报请求消息中可以包括多个业务的标识,相应的,第一节点可以确定多个对应的用户面的目标mac长度,该多个用户面的目标mac长度分别用于对多个业务的数据进行完整性保护。
[0466]
情况三:第一节点根据用户面的目标安全算法支持的mac长度和第一业务的数据包大小确定所述用户面的目标mac长度。具体的,第一节点中可以预先配置或者定义有第一业务的数据包大小和mac长度的对应关系,第一节点可以根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将所述第一业务的数据包大小对应的mac长度确定为所述用户面的目标mac长度。
[0467]
情况四:在用户面目标安全算法只对应一种mac长度的情况下,第一节点也可以根据用户面的目标安全算法对应的mac长度确定为用户面的目标mac长度。例如,标识为“0001”的算法(对应的算法为aes-cmac算法)只支持生成32比特长度的mac,若用户面的目标安全算法为标识为“0001”的算法时,对应的32比特则作为用户面的目标mac长度。再如,hmac256只支持生成256比特的mac长度,因此用户面的目标安全算法为hmac256算法时,hmac256对应的256比特则作为用户面的目标mac长度。
[0468]
可选的,在确定用户面的目标mac长度之前,第一节点先确定第一业务的数据需要
进行完整性保护。具体的,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac长度,从而可以满足不同业务对于安全性的需求。例如,视频上传业务为对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。再如,第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护,从而确定属于第一业务类型的业务的mac长度。
[0469]
可选的,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。进一步可选的,该用户面的目标安全算法可以是第一节点通过第二算法选择策略确定的,该第二算法选择策略可以是第一节点中预先配置或者定义的选择策略。可选的,该第二算法选择策略可以是通过优先级来实现,也可以是按照预先配置或者定义的选择顺序来实现的。例如,参见图4,图4是本技术实施例提供的一种可能的算法选择策略的示意图,参见区域401所示,aes-cmac算法的优先级为1,说明当第二节点支持aes-cmac算法时,将优先选择aes-cmac算法作为用户面的目标安全算法。
[0470]
可选的,本技术实施例所述的通信方法,还可以包括步骤s803-s804中的部分或者全部步骤,步骤s803-s804具体如下:
[0471]
步骤s803:第二节点根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度。
[0472]
具体的,第二节点中配置了与第一节点中相同的确定用户面的目标mac长度的方法,使得第二节点一侧可以确定用户面的目标mac长度。在一种可能的方案中,通过协议规定,第一节点通过什么样的方式来确定用户面的目标mac长度,第二节点也使用相同的方式来确定用户面的目标mac长度。这样一来,节点无需将目标mac长度再发送给对方,节省了网络资源。可以理解的,具体确定用户面的目标mac长度方法可以参见步骤s802中的具体描述,此处不再赘述。
[0473]
步骤s804:第一节点向第二节点发送资源调度消息。
[0474]
具体的,资源调度消息中可以包括用户面的目标mac长度,或者资源调度消息中包括用于指示用户面的目标mac长度的信息。可选的,在第二节点通过步骤s803确定用户面的目标mac长度的情况下,资源调度消息中可以不包括用户面的目标mac长度。
[0475]
可选的,第二节点还可以向第一节点发送资源响应消息,该资源响应消息用于指示第二节点已经收到该资源调度消息。
[0476]
可选的,第一节点和/或第二节点还可以通过用户面的目标安全算法和用户面的目标mac长度生成第三mac,该第三mac用于对第一业务的数据进行完整性保护。例如,第一节点确定视频上传业务(即标识“0001”的业务)的mac长度为128比特,则第一节点和/或第二节点可以生成长度为128比特的第三mac,该第三mac用于保证视频上传业务的消息完整性。
[0477]
可选的,上述业务属性上报请求消息、业务属性上报响应消息、资源调度消息、资源响应消息等等属于信令面消息,因此消息内容可以通过信令面的目标安全算法进行完整性保护。其中,该信令面的目标安全算法对应于第一算法选择策略。进一步可选的,第一节点中还可以获取有第二节点的安全算法的信息,第一节点可以根据于第一算法选择策略确
定信令面的目标安全算法和信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。例如,以资源调度消息为例,第一节点可以通过信令面的目标安全算法生成第四mac,第四mac的长度为上述信令面的目标mac长度,该第四mac可以携带在资源调度消息的前缀或者后缀中,用来保证资源调度消息的完整性。
[0478]
进一步可选的,第一节点可以向第二节点发送安全上下文请求消息,该安全上下文请求消息中包括信令面的目标安全算法、用户面的目标安全算法、信令面的目标mac长度。相应的,第二节点接收安全上下文请求消息,从而可以获取信令面的目标安全算法、用户面的目标安全算法、信令面的目标mac长度。
[0479]
在图8所示的方法中,第一节点根据用户面的安全算法支持的mac长度,以及第一业务的标识和/或第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同长度的mac长度,提高mac长度的灵活性。一方面,对于安全性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。另一方面,对于一些对安全性要求不高或者数据包较小的消息,可以使用较短的mac长度,可以避免影响通信效率,也减少了网络传输的资源消耗。
[0480]
请参见图11,图11是本技术实施例提供的一种通信方法的流程示意图,该通信方法可以基于图1所示的通信系统来实现,该方法至少包括如下步骤:
[0481]
步骤s1101:第二节点向第一节点发送业务属性上报响应消息。相应的,第一节点接收所述业务属性上报响应消息。
[0482]
具体的,该业务属性上报响应消息包括至少一个业务标识。进一步的,该至少一个业务标识可以包含有至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护。
[0483]
例如,参见表4,表4是本技术实施例提供的一种可能的业务标识对应的业务类型,可以看出,标识“0001”表示视频上传业务,属于重要的业务类型,需要开启完整性保护;相应的,标识“0004”表示音频降噪业务,属于不重要的业务类型,不需要开启完整性保护。
[0484]
表4业务的标识对应的业务类型
[0485]
业务的标识业务名称业务类型是否开启完保0001视频上传重要是0002语音呼叫重要是0003音频播放普通是0004音频降噪不重要否0005定位数据同步重要是
[0486]
步骤s1102:第一节点向第二节点发送资源调度消息。
[0487]
具体的,该资源调度消息中包括指示开启完整性保护的信息和/或指示不开启完整性保护的信息,其中,对于不需要开启完整性保护的业务,资源调度消息中可以包括指示该业务不开启完整性保护的信息,相应的,对于需要开启完整性保护的业务,资源调度消息中可以包括指示对该业务的数据进行完整性保护的mac长度。
[0488]
例如,第二业务的标识对应第二业务类型,而类型为第二业务类型的业务的数据
不需要进行完整性保护。因此资源调度消息中可以存在有第一字段,通过该第一字段的数据可以指示至少一个第二业务的标识对应的业务不启动完整性保护。例如,第一字段中的数据为“0”时,指示第二业务的标识对应的业务不启动完整性保护。
[0489]
第一节点向第二节点发送资源调度消息,相应的,第二节点就接收了来自第一节点的资源调度消息。
[0490]
步骤s1103:第二节点根据所述资源调度消息,确定至少一个第二业务的标识对应的业务不启动完整性保护。需要说明的是,该步骤为可选的,仅在存在至少一个第二业务的情况下执行。
[0491]
具体的,资源调度消息中可以存在有第一字段,通过该第一字段的数据可以指示至少一个第二业务的标识对应的业务不启动完整性保护。例如,第一字段中的数据为“0”时,指示第二业务的标识对应的业务不启动完整性保护。
[0492]
步骤s1104:第二节点根据所述资源调度消息,确定至少一个第一业务的标识对应的业务启动完整性保护。需要说明的是,该步骤为可选的,仅在存在至少一个第一业务的情况下执行。具体的,对于需要开启完整性保护的业务,资源调度消息中可以包括指示对该业务的数据进行完整性保护的mac长度。例如,第一业务的标识对应第一业务类型,而类型为第一业务类型的业务的数据需要进行完整性保护。因此资源调度消息中包括指示第一业务的标识对应的业务启动完整性保护的信息。具体可以有以下两种实现方式:
[0493]
方式一:资源调度消息中可以存在有第二字段,通过该第二字段的数据可以指示启动完整性保护。例如,第二字段中的数据为“1”时,指示第一业务的标识对应的业务启动完整性保护。
[0494]
方式二:资源调度消息中携带有对该业务的数据进行完整性保护的算法/或者mac长度时,可以指示第二节点对该业务启动完整性。例如,资源调度消息中包括第一业务对应的用户面的目标mac长度,或者资源调度消息中包括用于指示第一业务对应的用户面的目标mac长度的信息。该第一业务对应的用户面的目标mac长度用于指示对第一业务的数据进行完保的mac的长度。进一步的,该第一业务对应的用户面的目标mac长度可以是基于图8所示的实施例中描述的方法来确定的,此处不在赘述。
[0495]
可选的,第二节点还可以向第一节点发送资源响应消息,该资源响应消息用于指示第二节点已经收到该资源调度消息。
[0496]
在图11所示的方法中,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
[0497]
进一步的,第一节点可以在资源调度消息中携带指示信息,以使得第二节点根据指示信息确定业务是否开启完整性保护。
[0498]
以上图11所示的方法实施例中包含了很多可能的实现方案,下面结合图12对其中的部分实现方案进行举例说明,需要说明的是,图12未解释到的相关概念或者操作或者逻辑关系可以参照图11所示实施例中的相应描述。
[0499]
请参见图12,图12是本技术实施例提供的一种通信方法的流程示意图,该通信方法可以基于图1所示的通信系统来实现,该方法至少包括如下步骤:
[0500]
步骤s1201:第二节点向第一节点发送业务属性上报响应消息。
[0501]
具体的,该业务属性上报响应消息包括至少一个业务标识,该至少一个业务标识包含第一业务的业务标识。可选的,业务属性上报响应消息中还可以包括至少一个业务的数据包大小,该至少一个数据包大小中包括第一业务的数据包大小。
[0502]
可选的,第一节点可以向包括第二节点在内的一个或者多个节点发送业务属性上报请求消息,第二节点接收来自第一节点的业务属性上报请求消息,从而向第一节点发送业务属性上报响应消息。
[0503]
步骤s1202:第一节点确定是否对至少一个业务中的第一业务启动完整性保护。
[0504]
具体的,第一节点可以通过第一业务的标识确定是否对该业务启动完整性保护。例如,参见表4,表4是本技术实施例提供的一种可能的业务标识对应的业务类型,可以看出,标识“0001”表示视频上传业务,需要开启完整性保护;相应的,标识“0004”表示音频降噪业务,不需要开启完整性保护。
[0505]
步骤s1203:若第一节点确定第一业务需要启动完整性保护,则根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度。
[0506]
具体的,业务属性上报消息中包括第一业务的业务标识,因此第一节点可以根据用户面支持的mac长度以及第一业务的标识确定用户面的目标mac长度。进一步可选的,在业务属性上报消息中包括第一业务对应的数据包大小时,第一节点可以根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度。该用户面的目标mac长度用于指示对所述第一业务的数据进行完整性保护的mac的长度。具体确定用户面的目标mac长度的方法可以参考步骤s802的详细说明,此处不再赘述。
[0507]
步骤s1204:第一节点向第二节点发送资源调度消息。
[0508]
具体的,在第一业务需要启动完整性保护的情况下,资源调度消息中包括用户面的目标mac长度,或者资源调度消息中包括用于指示用户面的目标mac长度的信息。该用户面的目标mac长度用于指示对所述第一业务的数据进行完整性保护的mac的长度。
[0509]
相应的,第二节点接收该资源调度消息,可以获取用户面的目标mac长度。
[0510]
步骤s1205:若第一节点确定不需要对第一业务开启完整性保护,则向第二节点发送资源调度消息。
[0511]
具体的,在第一业务不需要开启完整性保护的情况下,资源调度消息中可以存在有第一字段,通过该第一字段的数据可以指示该第一业务的标识对应的业务不启动完整性保护。例如,第一字段中的数据为“0”时,指示第一业务的标识对应的业务不启动完整性保护。
[0512]
可选的,业务属性上报响应消息中可以携带多个业务的标识。在这种情况下,第二节点可以确定该多个业务开启完整性保护的情况,相应的,该资源调度消息可以用于指示多个业务的是否启动完整性保护。对于需要开启完整性保护的业务,还需要包括对多个业务分别对应的mac长度。
[0513]
相应的,第二节点接收该资源调度消息,可以确定该第一业务不启动完整性保护。
[0514]
可选的,第二节点还可以向第一节点发送资源响应消息,该资源响应消息用于指
示第一节点已经收到该资源调度消息。
[0515]
请参见图13,图13是本技术实施例提供的一种通信方法的流程示意图,该通信方法可以基于图1所示的通信系统来实现,该方法至少包括如下步骤:
[0516]
步骤s1301:第二节点向第一节点发送关联请求消息。
[0517]
具体的,第一消息包括第二节点支持的安全算法的信息和第二节点的身份标识。其中,第二节点支持的安全算法包括第二节点支持的加密算法,完整性保护算法或者认证加密算法等中的一项或者多项。可选的,第二节点支持的安全算法的信息也可以称为第二节点的安全能力(sec capabilities)。第二节点的身份标识也称为第二节点的设备标识,可以为第二节点的id、媒体存取控制(media access control,mac)地址、域名、域地址或其他自定义的标识。其中,第二节点的id可以是固定id,也可以是临时id。
[0518]
可选的,第一消息中还可以包括第二节点获取的(或者生成的)新鲜性参数。
[0519]
可选的,第一节点可以发送接入消息或者广播消息,第二节点接收来自第一节点的接入消息或者广播消息,从而向第一节点发送第一关联请求消息。
[0520]
步骤s1302:第一节点根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度。
[0521]
具体描述可以参考步骤s302。
[0522]
步骤s1303:第一节点根据第二节点的身份标识和第二算法选择策略确定用户面的目标安全算法以及用户面的目标mac长度。
[0523]
具体的,至少包括以下三种方式:
[0524]
方式一:第一节点根据第二算法选择策略确定用户面的目标安全算法,进一步的,根据第二节点的身份标识确定第二长度选择策略,从而可以根据第二长度选择策略、用户面的目标安全算法确定用户面的目标mac长度。
[0525]
方式二:第一节点根据第二算法选择策略确定用户面的目标安全算法,进一步的,根据用户面的目标安全算法支持的mac长度,以及第二节点的身份标识和mac长度的对应关系,将第二节点的身份标识对应的mac长度确定为用户面的目标mac长度。
[0526]
方式三:第一节点根据第二算法选择策略确定用户面的目标安全算法。第一节点可以确定第二长度选择策略,根据第二长度选择策略确定用户面的目标mac长度,该用户面的目标mac长度为用户面的目标安全算法支持的mac长度。可选的,该第二长度选择策略可以是第一节点预先配置或者预先定义的长度选择策略,因此确定第二长度选择策略时,也可能没有使用该第二节点的身份标识。
[0527]
步骤s1304:第一节点通过信令面的目标安全算法生成第一mac。
[0528]
具体描述可以参考步骤s303。
[0529]
可选的,本技术实施例所述的通信方法,还可以包括步骤s1305或s1305-s1312中的部分或者全部步骤,步骤s1305-s1312具体如下:
[0530]
步骤s1305:第一节点向第二节点发送安全上下文请求消息。
[0531]
具体的,安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、用于指示信令面的目标mac长度的信息和用于指示用户面的目标mac长度的信息,该第一mac用于验证安全上下文请求消息的完整性。可选的,该安全上下文请求消息还包括第一节点获取的(或者生成的)第二新鲜性参数。
[0532]
可选的,该安全上下文请求消息还包括第一身份认证信息,该第一身份认证信息为第一节点根据第一节点与第二节点之间的共享密钥生成的。详细说明可以参看s304中的相应描述。
[0533]
可选的,该安全上下文请求消息可以通过第一节点的加密密钥进行加密,相应的,第二节点接收安全上下文请求消息后,通过对应的加密密钥解密得到消息内容。
[0534]
步骤s1306:第二节点通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
[0535]
具体描述可以参考步骤s305。
[0536]
步骤s1307:第二节点根据第二节点与第一节点之间的共享密钥验证第一身份认证信息。
[0537]
具体描述可以参考步骤s306。
[0538]
步骤s1308:第二节点通过信令面的目标安全算法生成第二mac。
[0539]
具体描述可以参考步骤s307。
[0540]
步骤s1309:第二节点向第一节点发送安全上下文响应消息。
[0541]
具体描述可以参考步骤s308。
[0542]
步骤s1310:第二节点通过信令面的目标安全算法,根据第二mac校验安全上下文响应消息的完整性。
[0543]
具体描述可以参考步骤s309。
[0544]
步骤s1311:第一节点根据第一节点与第二节点之间的共享密钥验证第二身份认证信息。
[0545]
具体描述可以参考步骤s310。
[0546]
步骤s1312:第一节点向第二节点发送关联建立消息。
[0547]
具体的,关联建立消息指示所述第二节点与所述第一节点之间建立关联。
[0548]
具体描述可以参考步骤s311。
[0549]
在图13所示的实施例中,第一节点可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,第一节点可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
[0550]
上述详细阐述了本技术实施例的方法,下面提供了本技术实施例的装置。
[0551]
请参见图14,图14是本技术实施例提供的一种通信装置140的结构示意图,该装置140可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置140可以包括接收单元1401和处理单元1402。其中,各个单元的描述如下:
[0552]
接收单元1401,用于接收来自第二节点的关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
[0553]
处理单元1402,用于根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
[0554]
上述处理单元1402,还用于通过信令面的目标安全算法生成第一mac,该第一mac
的长度为信令面的目标mac长度。
[0555]
在本技术实施例中,装置140根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据装置140中配置的不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,算法选择策略可以是按照第一节点的通信需求预先配置或者定义的,例如,可以在优先选择安全性较高的算法和较长的mac长度,提高了数据安全性。
[0556]
在一种可能的实施方式中,上述处理单元1402,具体用于:
[0557]
根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
[0558]
在又一种可能的实施方式中,上述处理单元1402,具体用于:
[0559]
根据第一算法选择策略确定所述信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为所述信令面的目标mac长度。
[0560]
在又一种可能的实施方式中,上述装置140还包括:
[0561]
发送单元1403,用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息和信令面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
[0562]
在又一种可能的实施方式中,上述装置140还包括:
[0563]
发送单元1403,用于向所述第二节点发送安全上下文请求消息,所述安全上下文请求消息包括所述第一mac和指示信令面的目标安全算法的信息;所述第一mac用于验证所述安全上下文请求消息的完整性,所述第一mac还用于指示所述信令面的目标mac长度。
[0564]
在又一种可能的实施方式中,上述装置还包括发送单元1403,用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、信令面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
[0565]
上述接收单元1401,还用于接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验安全上下文响应消息的完整性。
[0566]
在又一种可能的实施方式中,上述安全上下文请求消息中还包括用户面的目标安全算法;上述处理单元1402,具体用于:
[0567]
根据第二算法选择策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0568]
在又一种可能的实施方式中,上述接收单元1401,还用于获取第一业务的标识和/或第一业务的数据包大小;
[0569]
上述处理单元1402,还用于根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;其中,用户面的目标mac长度用于指示对所述第一业务的数据进行完整性保护的mac的长度;
[0570]
上述发送单元1403,还用于向第二节点发送资源调度消息,该资源调度消息包括
用户面的目标mac长度。
[0571]
需要说明的是,各个单元的实现还可以对应参照图3所示的实施例的相应描述。该装置140为图3所示的实施例中的第一节点。
[0572]
此外,本技术各个实施例中,对装置中的单元的划分仅是一种根据功能进行的逻辑划分,不作为对装置具体的结构的限定。在具体实现中,其中部分功能模块可能被细分为更多细小的功能模块,部分功能模块也可能组合成一个功能模块,但无论这些功能模块是进行了细分还是组合,所执行的大致流程是相同的。例如,以装置140为例,上述接收单元1401和发送单元1403也可以组合为通信单元,该通信单元用于实现接收单元1401和发送单元1403的功能。通常,每个单元都对应有各自的程序代码(或者说程序指令),这些单元各自对应的程序代码在处理器上运行时,使得该单元执行相应的流程从而实现相应功能。
[0573]
请参见图15,图15是本技术实施例提供的一种通信装置150的结构示意图,该装置150可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置150可以包括发送单元1501和接收单元1502。其中,各个单元的描述如下:
[0574]
发送单元1501,用于向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
[0575]
接收单元1502,用于接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息和用于指示信令面的目标mac长度的信息;其中,信令面的目标安全算法和所述信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0576]
在本技术实施例中,上述装置150向第一节点发送第二节点支持的安全算法的信息,第一节点根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据上述装置150中配置的不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。例如,可以在第二节点支持的算法中,选择安全性较高的算法,还可以选择较长的mac长度,提高了数据安全性。
[0577]
在一种可能的实施方式中,所述安全上下文请求消息包括第一mac;该第一mac的长度为信令面的目标mac长度;所述装置还包括:
[0578]
处理单元1503,用于通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性
[0579]
在一种可能的实施方式中,所述第一mac为所述用于指示信令面的目标mac长度的信息。在一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述处理单元,还用于根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
[0580]
上述处理单元1503,还用于若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
[0581]
上述发送单元1501,还用于向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点的共享密钥之间生成的。
[0582]
在又一种可能的实施方式中,该安全上下文请求消息中还包括指示用户面的目标
安全算法的信息;其中,用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
[0583]
上述接收单元1502,还用于接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;其中,用户面的目标mac长度对应用户面的目标安全算法,以及第一业务的标识和第一业务的数据包大小中的至少一个;用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0584]
需要说明的是,各个单元的实现还可以对应参照图3所示的实施例的相应描述。该装置150为图3所示的实施例中的第二节点。
[0585]
请参见图16,图16是本技术实施例提供的一种通信装置160的结构示意图,该装置160可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置160可以包括接收单元1601和处理单元1602。其中,各个单元的描述如下:
[0586]
接收单元1601,用于接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
[0587]
处理单元1602,用于根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0588]
在本技术实施例中,上述装置160根据用户面的安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度。这样一来,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。另一方面,对于一些对私密性要求不高或者数据包较小的消息,可以使用较短的mac长度,可以避免影响通信效率,也减少了网络传输的资源消耗。
[0589]
在一种可能的实施方式中,上述处理单元1602,具体用于:
[0590]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和mac长度的对应关系,将第一业务的标识对应的mac长度确定为用户面的目标mac长度;
[0591]
或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
[0592]
在又一种可能的实施方式中,上述处理单元1602,具体用于:
[0593]
根据第一业务的标识和/或第一业务的数据包大小确定第二长度选择策略;
[0594]
根据第二长度选择策略和用户面的目标安全算法支持的mac长度确定用户面的目标mac长度。
[0595]
在又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0596]
在又一种可能的实施方式中,上述装置160还包括发送单元1603,用于向第二节点发送资源调度消息,该资源调度消息中包括用户面的目标mac长度。
[0597]
在又一种可能的实施方式中,上述处理单元1602,还用于:
[0598]
通过用户面的目标安全算法生成第三mac,该第三mac的长度为用户面的目标mac
长度,该第三mac用于对第一业务的数据进行完整性保护。
[0599]
在又一种可能的实施方式中,上述接收单元1601,还用于获取第二节点支持的安全算法的信息;
[0600]
上述处理单元1602,还用于根据第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度,所述信令面的目标安全算法属于所述第二节点支持的安全算法的信息所指示的安全算法的集合;
[0601]
上述处理单元1602,还用于通过信令面的目标安全算法生成第四mac,该第四mac的长度为所述信令面的目标mac长度;
[0602]
上述发送单元1603,还用于向第二节点发送资源调度消息,该资源调度消息中包括第四mac和用户面的目标mac长度,该第四mac用于对资源调度消息进行完整性保护。
[0603]
在又一种可能的实施方式中,上述处理单元1602,还用于:
[0604]
根据第二算法选择策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0605]
需要说明的是,各个单元的实现还可以对应参照图8所示的实施例的相应描述。该装置160为图8所示的实施例中的第一节点。
[0606]
请参见图17,图17是本技术实施例提供的一种通信装置170的结构示意图,该装置170可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置170可以包括发送单元1701和接收单元1702。其中,各个单元的描述如下:
[0607]
发送单元1701,用于向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
[0608]
接收单元1702,用于接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;其中,该用户面的目标mac长度为用户面的目标安全算法支持的mac长度,以及用户面的目标mac长度对应第一业务的标识和第一业务的数据包大小中的至少一个;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0609]
在上述实施例中,不同业务类型的业务对完整性保护的需求是不同的,上述装置170可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据不需要进行完整新保护。
[0610]
在一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0611]
在又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0612]
在又一种可能的实施方式中,上述资源调度消息中还包括第四mac;上述处理单元,还用于:
[0613]
通过用户面的目标安全算法,根据第四mac验证资源调度消息的消息完整性。
[0614]
需要说明的是,各个单元的实现还可以对应参照图8所示的实施例的相应描述。该装置170为图8所示的实施例中的第二节点。
[0615]
请参见图18,图18是本技术实施例提供的一种通信装置180的结构示意图,该装置180可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置180可以包
括发送单元1801和处理单元1802。其中,各个单元的描述如下:
[0616]
发送单元1801,用于向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
[0617]
处理单元1802,用于根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;其中,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0618]
上述装置180配置了与第一节点中相同的确定用户面的目标mac长度的方法,因此上述装置180可以根据用户面的安全算法支持的mac长度,以及第一业务的标识和/或第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同长度的mac长度,提高mac长度的灵活性。
[0619]
而在上述装置180与第一节点中配置相同的确定用户面的目标mac长度的方法,可以使得第一节点通过什么样的方式来确定用户面的目标mac长度,上述装置180也使用相同的方式来确定用户面的目标mac长度。这样一来,节点无需将目标mac长度再发送给对方,节省了网络资源。
[0620]
在又一种可能的实施方式中,上述处理单元1802,具体用于:
[0621]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识id和mac长度的对应关系,将第一业务的id对应的mac长度确定为用户面的目标mac长度;
[0622]
或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
[0623]
在又一种可能的实施方式中,上述处理单元1802,具体用于:
[0624]
根据第一业务的id和/或第一业务的数据包大小确定第二长度选择策略;
[0625]
根据第二长度选择策略和用户面的目标安全算法支持的mac长度确定用户面的目标mac长度。
[0626]
在又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0627]
在又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0628]
需要说明的是,各个单元的实现还可以对应参照图8所示的实施例的相应描述。该装置180为图8所示的实施例中的第二节点。
[0629]
请参见图19,图19是本技术实施例提供的一种通信装置190的结构示意图,该装置190可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置190可以包括接收单元1901和发送单元1902。其中,各个单元的描述如下:
[0630]
接收单元1901,用于接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
[0631]
发送单元1902,用于向第二节点发送资源调度消息,该资源调度消息用于指示至少一个第二业务的标识对应的业务不启动完整性保护。
[0632]
可以看出,不同业务类型的业务对完整性保护的需求是不同的,上述装置可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
[0633]
在一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0634]
在又一种可能的实施方式中,上述资源调度消息还用于指示用于至少一个第一业务的用户面的目标mac长度。
[0635]
需要说明的是,各个单元的实现还可以对应参照图11或者图12所示的实施例的相应描述。该装置190为图11或者图12所示的实施例中的第一节点。
[0636]
请参见图20,图20是本技术实施例提供的一种通信装置200的结构示意图,该装置200可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置200可以包括发送单元2001、接收单元2002和处理单元2003。其中,各个单元的描述如下:
[0637]
发送单元2001,用于向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
[0638]
接收单元2002,用于接收来自第一节点的资源调度消息;
[0639]
处理单元2003,用于根据所述资源调度消息,确定至少一个第二业务的标识对应的业务不启动完整性保护。
[0640]
可以看出,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
[0641]
在一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护;
[0642]
所述处理单元2003,还用于根据所述资源调度消息,确定至少一个第一业务的标识对应的业务启动完整性保护。
[0643]
在又一种可能的实施方式中,上述资源调度消息还用于指示对至少一个第一业务的数据进行完整性保护的mac的长度。
[0644]
需要说明的是,各个单元的实现还可以对应参照图11或者图12所示的实施例的相应描述。该装置200为图11或者图12所示的实施例中的第二节点。
[0645]
请参见图21,图21是本技术实施例提供的一种通信装置210的结构示意图,该装置210可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置210可以包括接收单元2101和处理单元2102。其中,各个单元的描述如下:
[0646]
接收单元2101,用于接收来自第二节点的关联请求消息,该关联请求消息中包括第二节点支持的安全算法的信息和第二节点的身份标识;
[0647]
处理单元2102,用于根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
[0648]
上述处理单元2102,还用于根据第二算法选择策略和第二节点的身份标识确定用户面的目标安全算法以及用户面的目标mac长度,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度;
[0649]
上述处理单元2102,还用于通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac长度。
[0650]
在本技术实施例中,上述装置210可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,上述装置210可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
[0651]
在一种可能的实施方式中,上述处理单元2102,具体用于:
[0652]
根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
[0653]
在又一种可能的实施方式中,上述处理单元2102,具体用于:
[0654]
根据第一算法选择策略确定信令面的目标安全算法;
[0655]
根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
[0656]
在又一种可能的实施方式中,上述处理单元2102,具体用于:
[0657]
根据第一算法选择策略确定信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为信令面的目标mac长度。
[0658]
在又一种可能的实施方式中,上述处理单元2102,具体用于:
[0659]
根据第二算法选择策略确定用户面的目标安全算法;
[0660]
根据第二节点的身份标识确定第二长度选择策略;
[0661]
根据第二长度选择策略、用户面的目标安全算法确定信令面的目标mac长度。
[0662]
在又一种可能的实施方式中,上述处理单元2102,具体用于:
[0663]
根据第二算法选择策略确定用户面的目标安全算法;
[0664]
根据用户面的目标安全算法支持的mac长度,以及第二节点的身份标识和mac长度的对应关系,将第二节点的身份标识对应的mac长度确定为用户面的目标mac长度。
[0665]
在又一种可能的实施方式中,上述装置还包括发送单元2103,该发送单元2103用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度和用户面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
[0666]
在又一种可能的实施方式中,上述装置还包括发送单元2103,该发送单元2103用于向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面
的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
[0667]
上述接收单元2101,还用于接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验所述安全上下文响应消息的完整性。
[0668]
在又一种可能的实施方式中,上述处理单元2102,还用于根据信令面的目标安全算法和第二mac校验安全上下文响应消息的完整性;
[0669]
上述处理单元2102,还用于根据上述共享密钥验证第二身份认证信息;
[0670]
上述装置还包括发送单元2103,该发送单元2103用于若校验安全上下文响应消息的完整性通过且验证第二身份认证信息通过,向第二节点发送关联建立消息,该关联建立消息指示第二节点与所述第一节点之间建立关联。
[0671]
需要说明的是,各个单元的实现还可以对应参照图13所示的实施例的相应描述。该装置210为图13所示的实施例中的第一节点。
[0672]
请参见图22,图22是本技术实施例提供的一种通信装置220的结构示意图,该装置220可以为节点,也可以为节点中的一个器件,例如芯片或者集成电路等,该装置220可以包括发送单元2201、接收单元2202和处理单元2203。其中,各个单元的描述如下:
[0673]
发送单元2201,用于向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息和第二节点的身份标识;
[0674]
接收单元2202,用于接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息、用于指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一mac;其中,信令面的目标安全算法和信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;用户面的目标安全算法和用户面的目标mac长度对应第二算法选择策略和第二节点的身份标识,并且用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该第一mac的长度为信令面的目标mac长度;
[0675]
处理单元2203,用于通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
[0676]
在本技术实施例中,第一节点中可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,第一节点可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。上述装置220获取来自第一节点的目标mac长度,通过目标mac长度保护消息完整性。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
[0677]
在一种可能的实施方式中,上述信令面的目标安全算法和信令面的目标mac长度为根据第一算法选择策略确定的,所述信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
[0678]
在又一种可能的实施方式中,上述用户面的目标安全算法和用户面的目标mac长度为根据第二算法选择策略确定的,所述用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
[0679]
在又一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述处理单元2203,还用于根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
[0680]
上述处理单元2202,还用于若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
[0681]
上述接收单元2202,还用于向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点之间的共享密钥生成的。
[0682]
在又一种可能的实施方式中,上述接收单元2202,还用于接收来自第一节点的关联建立消息,该关联建立消息指示第二节点与第一节点之间建立关联。
[0683]
需要说明的是,各个单元的实现还可以对应参照图13所示的实施例的相应描述。该装置220为图13所示的实施例中的第二节点。
[0684]
请参见图23,图23是本技术实施例提供的一种通信装置230的结构示意图,该装置230可以为节点,也可以为节点中的一个器件。该装置230可以包括至少一个存储器2301和至少一个处理器2302。可选的,还可以包含总线2303。进一步可选的,还可以包括通信接口2304,其中,存储器2301、处理器2302和通信接口2304通过总线2303相连。
[0685]
其中,存储器2301用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2301可以是随机存储记忆体(random access memory,ram)、只读存储器(read-only memory,rom)、可擦除可编程只读存储器(erasable programmable read only memory,eprom)、或便携式只读存储器(compact disc read-only memory,cd-rom)等等中的一种或者多种的组合。
[0686]
处理器2302是进行算术运算和/或逻辑运算的模块,具体可以是中央处理器(central processing unit,cpu)、图片处理器(graphics processing unit,gpu)、微处理器(microprocessor unit,mpu)、专用集成电路(application specific integrated circuit,asic)、现场可编程逻辑门阵列(field programmable gate array,fpga)、复杂可编程逻辑器件(complex programmable logic device,cpld)等处理模块中的一种或者多种的组合。
[0687]
通信接口2304用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2304还可以包括与接口耦合的发射器(如射频发射器、天线等),或者接收器等。
[0688]
该装置230中的处理器2302用于读取所述存储器2301中存储的计算机程序,用于执行前述的通信方法,例如图3、图8、图11、图12或者图13所描述的通信方法。
[0689]
举例说明,该装置230中的处理器2302用于读取所述存储器2301中存储的计算机程序,用于执行以下操作:
[0690]
通过通信接口2304接收来自第二节点的关联请求消息,该关联请求消息包括第二
节点支持的安全算法的信息;
[0691]
根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
[0692]
通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac长度。
[0693]
在本技术实施例中,装置230根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据装置230中配置的不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,算法选择策略可以是按照第一节点的通信需求预先配置或者定义的,例如,可以在优先选择安全性较高的算法和较长的mac长度,提高了数据安全性。
[0694]
在一种可能的实施方式中,该处理器2302,具体用于根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
[0695]
在又一种可能的实施方式中,该处理器2302,具体用于:
[0696]
根据第一算法选择策略确定信令面的目标安全算法;
[0697]
根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
[0698]
在又一种可能的实施方式中,该处理器2302,具体用于根据第一算法选择策略确定信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为信令面的目标mac长度。
[0699]
在又一种可能的实施方式中,该处理器2302,还用于通过通信接口2304向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息和信令面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
[0700]
可以看出,装置230可以在安全上下文请求消息中携带指示信令面的目标安全算法的信息和信令面的目标mac长度,以使得第二节点可以通过安全上下文请求消息获取信令面的目标安全算法和信令面的目标mac长度。进一步的,该安全上下文请求消息可以携带有第一mac,用于第二节点验证安全上下文请求消息的完整性,防止安全上下文请求消息被攻击者篡改。
[0701]
在又一种可能的实施方式中,该处理器2302,还用于通过通信接口2304向所述第二节点发送安全上下文请求消息,所述安全上下文请求消息包括所述第一mac和指示信令面的目标安全算法的信息;所述第一mac用于验证所述安全上下文请求消息的完整性,所述第一mac还用于指示所述信令面的目标mac长度。
[0702]
在又一种可能的实施方式中,在根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度之后,该处理器2302,还用于:
[0703]
通过通信接口2304向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、信令面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
[0704]
通过通信接口2304接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第
二身份认证信息用于验证第二节点的身份,第二mac用于校验所述安全上下文响应消息的完整性。
[0705]
其中,共享密钥是第一节点与第二节点之间共享的一个秘密值,可以用来生成身份验证信息便于节点验证身份。可以看出,装置230可以通过共享密钥生成第一身份认证信息,该第一身份认证信息用于第二节点验证第一节点的身份。相应的,第一节点也可以通过第二身份认证信息来验证第二节点的身份,若攻击者想要冒用第二节点的身份标识来获取信令面的目标安全算法或者信令面的目标mac长度时,由于无法伪造共享密钥,无法通过上述装置230的身份验证,进而避免了第一节点与不可信的节点通信,提高了第一节点的通信安全性。
[0706]
在又一种可能的实施方式中,该处理器2302,还用于:
[0707]
根据信令面的目标安全算法和第二mac校验安全上下文响应消息的完整性;
[0708]
根据上述共享密钥验证第二身份认证信息;
[0709]
若校验安全上下文响应消息的完整性通过且验证第二身份认证信息通过,向第二节点发送关联建立消息,该关联建立消息指示第二节点与所述第一节点之间建立关联。
[0710]
在又一种可能的实施方式中,上述安全上下文请求消息中还包括用户面的目标安全算法;该处理器2302,还用于根据第二算法选择策略确定用户面的目标安全算法,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0711]
在又一种可能的实施方式中,该处理器2302,还用于:
[0712]
获取第一业务的标识和/或第一业务的数据包大小;
[0713]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度;
[0714]
通过通信接口2304向第二节点发送资源调度消息,该资源调度消息包括用户面的目标mac长度。
[0715]
可以看出,用户面的目标mac长度可以是根据用户面的安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小在确定的,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。
[0716]
需要说明的是,各个单元的实现还可以对应参照图3所示的实施例的相应描述。该装置230为图3所示的实施例中的第一节点。
[0717]
请参见图24,图24是本技术实施例提供的一种通信装置240的结构示意图,该装置240可以为节点,也可以为节点中的一个器件。该装置240可以包括至少一个存储器2401和至少一个处理器2402。可选的,还可以包含总线2403。进一步可选的,还可以包括通信接口2404,其中,存储器2401、处理器2402和通信接口2404通过总线2403相连。
[0718]
其中,存储器2401用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2401可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0719]
处理器2402是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0720]
通信接口2404用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如
以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2404还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0721]
该装置240中的处理器2402用于读取所述存储器2401中存储的计算机程序,用于执行前述的通信方法,例如图3所描述的通信方法。
[0722]
举例说明,该装置240中的处理器2402用于读取所述存储器2401中存储的计算机程序,用于执行以下操作:
[0723]
通过通信接口2404向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息;
[0724]
通过通信接口2404接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息、信令面的目标mac长度和第一mac;其中,信令面的目标安全算法和信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0725]
在本技术实施例中,上述装置240向第一节点发送第二节点支持的安全算法的信息,第一节点根据第二节点支持的安全算法的信息,通过预先配置或者定义的算法策略确定信令面的目标安全算法和信令面的目标mac长度,然后使用该信令面的目标mac长度作为第一节点与第二节点之间信令消息的mac长度,这样一来,可以根据上述装置240中配置的不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。例如,可以在第二节点支持的算法中,选择安全性较高的算法,还可以选择较长的mac长度,提高了数据安全性。
[0726]
在一种可能的实施方式中,所述安全上下文请求消息包括第一mac;该第一mac的长度为信令面的目标mac长度;该处理器2402,具体用于通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
[0727]
在一种可能的实施方式中,所述第一mac为所述用于指示信令面的目标mac长度的信息。
[0728]
在一种可能的实施方式中,上述信令面的目标安全算法和信令面的目标mac长度为根据第一算法选择策略确定的;第一mac为根据信令面的目标安全算法生成的。
[0729]
在又一种可能的实施方式中,上述安全上下文请求消息中还包括第一身份认证信息;上述处理器2402,还用于:
[0730]
根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
[0731]
若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
[0732]
通过通信接口2404向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点之间的共享密钥生成的。
[0733]
在又一种可能的实施方式中,上述处理器2402,还用于通过通信接口2404接收来自第一节点的关联建立消息,该关联建立消息指示第二节点与第一节点之间建立关联。
[0734]
在又一种可能的实施方式中,上述安全上下文请求消息中还包括指示用户面的目标安全算法的信息;其中,该用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;上述方法还包括:
[0735]
通过通信接口2404接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;该用户面的目标mac长度对应用户面的目标安全算法,以及第一业务的标识和第一业务的数据包大小中的至少一个;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0736]
可以看出,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。
[0737]
进一步的,第一节点可以在资源调度消息中携带指示用户面的目标安全算法的信息和用户面的目标mac长度,以使得上述装置240可以通过资源调度消息获取用户面的目标安全算法和用户面的目标mac长度。
[0738]
需要说明的是,各个单元的实现还可以对应参照图3所示的实施例的相应描述。该装置240为图3所示的实施例中的第二节点。
[0739]
请参见图25,图25是本技术实施例提供的一种通信装置240的结构示意图,该装置250可以为节点,也可以为节点中的一个器件。该装置250可以包括至少一个存储器2501和至少一个处理器2502。可选的,还可以包含总线2503。进一步可选的,还可以包括通信接口2504,其中,存储器2501、处理器2502和通信接口2504通过总线2503相连。
[0740]
其中,存储器2501用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2501可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0741]
处理器2502是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0742]
通信接口2504用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2504还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0743]
该装置250中的处理器2502用于读取所述存储器2501中存储的计算机程序,用于执行前述的通信方法,例如图8所描述的通信方法。
[0744]
举例说明,该装置250中的处理器2502用于读取所述存储器2501中存储的计算机程序,用于执行以下操作:
[0745]
通过通信接口2504接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
[0746]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0747]
在本技术实施例中,上述装置250根据用户面的安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度。这样一来,不同的业务或者不同数据包大小的业务,可以确定不同的mac长度,提高mac长度的灵活性。一方面,对于秘密性较高的业务,可以使用较长的mac长度,从而难以被破解,提高了数据安全性。另一方面,对于一些对私密性要求不高或者数据包较小的消息,可以使用较短的mac长度,可以避免影响通信效率,也减少了网络传输的资源消耗。
[0748]
在一种可能的实施方式中,上述处理器2502,具体用于根据用户面的目标安全算法支持的mac长度和第一业务的标识确定用户面的目标mac长度;
[0749]
或者,根据用户面的目标安全算法支持的mac长度和第一业务的数据包大小确定用户面的目标mac长度。
[0750]
在又一种可能的实施方式中,上述处理器2502,具体用于:
[0751]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和mac长度的对应关系,将第一业务的标识对应的mac长度确定为用户面的目标mac长度;
[0752]
或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
[0753]
在又一种可能的实施方式中,上述根据用户面的目标安全算法,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度,包括:
[0754]
根据第一业务的标识和/或第一业务的数据包大小确定第二长度选择策略;
[0755]
根据第二长度选择策略和用户面的目标安全算法支持的mac长度确定用户面的目标mac长度。
[0756]
在又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0757]
不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac,从而可以满足不同业务对于安全性的需求。例如,视频上传业务属于对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。
[0758]
在又一种可能的实施方式中,上述处理器2502,还用于通过通信接口2504向第二节点发送资源调度消息,该资源调度消息中包括用户面的目标mac长度。
[0759]
在又一种可能的实施方式中,上述方法还包括:
[0760]
通过用户面的目标安全算法生成第三mac,该第三mac的长度为用户面的目标mac长度,该第三mac用于对所述第一业务的数据进行完整性保护。
[0761]
在又一种可能的实施方式中,上述处理器2502,还用于:
[0762]
获取第二节点支持的安全算法的信息;
[0763]
根据第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度,所述信令面的目标安全算法属于所述第二节点支持的安全算法的信息所指示的安全算法的集合;
[0764]
通过信令面的目标安全算法生成第四mac,该第四mac的长度为信令面的目标mac长度;
[0765]
通过通信接口2504向第二节点发送资源调度消息,该资源调度消息中包括第四mac和用户面的目标mac长度,该第四mac用于对资源调度消息进行完整性保护。
[0766]
在又一种可能的实施方式中,上述处理器2502,还用于根据第二算法选择策略确定所述用户面的目标安全算法,所述用户面的目标安全算法属于所述第二节点支持的安全算法的信息所指示的安全算法的集合。
[0767]
需要说明的是,各个单元的实现还可以对应参照图8所示的实施例的相应描述。该装置250为图8所示的实施例中的第一节点。
[0768]
请参见图26,图26是本技术实施例提供的一种通信装置260的结构示意图,该装置260可以为节点,也可以为节点中的一个器件。该装置260可以包括至少一个存储器2601和至少一个处理器2602。可选的,还可以包含总线2603。进一步可选的,还可以包括通信接口2604,其中,存储器2601、处理器2602和通信接口2604通过总线2603相连。
[0769]
其中,存储器2601用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2601可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0770]
处理器2602是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0771]
通信接口2604用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2604还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0772]
该装置260中的处理器2602用于读取所述存储器2601中存储的计算机程序,用于执行前述的通信方法,例如图8所描述的通信方法。
[0773]
举例说明,该装置260中的处理器2602用于读取所述存储器2601中存储的计算机程序,用于执行以下操作:
[0774]
通过通信接口2604向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
[0775]
通过通信接口2604接收来自第一节点的资源调度消息,该资源调度消息中包括用户面的目标mac长度;其中,用户面的目标mac长度为用户面的目标安全算法支持的mac长度,以及用户面的目标mac长度对应第一业务的标识和第一业务的数据包大小中的至少一个;该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0776]
在上述实施例中,不同业务类型的业务对完整性保护的需求是不同的,上述装置260可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据不需要进行完整新保护。
[0777]
进一步的,第一节点可以在资源调度消息中携带指示信息,以使得第二节点根据指示信息确定业务是否开启完整性保护。
[0778]
在一种可能的实施方式中,上述用户面的目标mac长度为根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个确定的。
[0779]
在又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0780]
不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac,从而可以满足不同业务对于安全性的需求。例如,视频上传业务属于对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。
[0781]
在又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集
合。
[0782]
在又一种可能的实施方式中,上述资源调度消息中还包括第四mac,上述处理器2602还用于通过用户面的目标安全算法,根据第四mac验证所述资源调度消息的消息完整性。
[0783]
需要说明的是,各个单元的实现还可以对应参照图8所示的实施例的相应描述。该装置260为图8所示的实施例中的第二节点。
[0784]
请参见图27,图27是本技术实施例提供的一种通信装置270的结构示意图,该装置270可以为节点,也可以为节点中的一个器件。该装置270可以包括至少一个存储器2701和至少一个处理器2702。可选的,还可以包含总线2603。进一步可选的,还可以包括通信接口2704,其中,存储器2701、处理器2702和通信接口2704通过总线2703相连。
[0785]
其中,存储器2601用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2701可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0786]
处理器2702是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0787]
通信接口2704用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2704还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0788]
该装置270中的处理器2702用于读取所述存储器2701中存储的计算机程序,用于执行前述的通信方法,例如图8所描述的通信方法。
[0789]
举例说明,该装置270中的处理器2702用于读取所述存储器2701中存储的计算机程序,用于执行以下操作:
[0790]
通过通信接口2704向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括第一业务的标识和/或第一业务的数据包大小;
[0791]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识和第一业务的数据包大小中的至少一个,确定用户面的目标mac长度;其中,该用户面的目标mac长度用于指示对第一业务的数据进行完整性保护的mac的长度。
[0792]
上述装置270配置了与第一节点中相同的确定用户面的目标mac长度的方法,因此上述装置270可以根据用户面的安全算法支持的mac长度,以及第一业务的标识和/或第一业务的数据包大小在确定用户面的目标mac长度,然后使用该用户面的目标mac长度作为处理第一业务时的消息的mac的长度,这样一来,不同的业务或者不同数据包大小的业务,可以确定不同长度的mac长度,提高mac长度的灵活性。
[0793]
而在上述装置270与第一节点中配置相同的确定用户面的目标mac长度的方法,可以使得第一节点通过什么样的方式来确定用户面的目标mac长度,上述装置270也使用相同的方式来确定用户面的目标mac长度。这样一来,节点无需将目标mac长度再发送给对方,节省了网络资源。
[0794]
在一种可能的实施方式中,上述处理器2702,具体用于:
[0795]
根据用户面的目标安全算法支持的mac长度,以及第一业务的标识id和mac长度的对应关系,将第一业务的id对应的mac长度确定为用户面的目标mac长度;
[0796]
或者,根据用户面的目标安全算法支持的mac长度,以及第一业务的数据包大小和
mac长度的对应关系,将第一业务的数据包大小对应的mac长度确定为用户面的目标mac长度。
[0797]
在一种可能的实施方式中,上述处理器2702,具体用于:
[0798]
根据用户面的目标安全算法支持的mac长度和第一业务的标识确定用户面的目标mac长度;
[0799]
或者,根据用户面的目标安全算法支持的mac长度和第一业务的数据包大小确定用户面的目标mac长度。
[0800]
在又一种可能的实施方式中,上述处理器2702,具体用于:
[0801]
根据所述第一业务的id和/或所述第一业务的数据包大小确定第二长度选择策略;
[0802]
根据所述第二长度选择策略和所述用户面的目标安全算法支持的mac长度确定所述用户面的目标mac长度。
[0803]
在又一种可能的实施方式中,上述第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0804]
不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护,对于需要开启完整性保护的业务,才生成对应的用户面的目标mac,从而可以满足不同业务对于安全性的需求。例如,视频上传业务属于对安全性需求较高的业务,因此视频上传业务的数据需要进行完整新保护,从而需要确定用于保护该业务的数据的mac的长度。
[0805]
在又一种可能的实施方式中,上述用户面的目标安全算法对应第二算法选择策略,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合。
[0806]
需要说明的是,各个单元的实现还可以对应参照图8所示的实施例的相应描述。该装置270为图8所示的实施例中的第二节点。
[0807]
请参见图28,图28是本技术实施例提供的一种通信装置280的结构示意图,该装置280可以为节点,也可以为节点中的一个器件。该装置280可以包括至少一个存储器2801和至少一个处理器2802。可选的,还可以包含总线2803。进一步可选的,还可以包括通信接口2804,其中,存储器2801、处理器2802和通信接口2804通过总线2703相连。
[0808]
其中,存储器2801用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2801可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0809]
处理器2802是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0810]
通信接口2804用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2804还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0811]
该装置280中的处理器2802用于读取所述存储器2801中存储的计算机程序,用于执行前述的通信方法,例如图11或者图12所描述的通信方法。
[0812]
举例说明,该装置280中的处理器2802用于读取所述存储器2801中存储的计算机程序,用于执行以下操作:
[0813]
通信接口2804接收来自第二节点的业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整性保护;
[0814]
通信接口2804向第二节点发送资源调度消息,该资源调度消息用于指示至少一个第二业务的标识对应的业务不启动完整性保护。
[0815]
可以看出,不同业务类型的业务对完整性保护的需求是不同的,上述装置可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
[0816]
进一步的,第一节点可以在资源调度消息中携带指示信息,以使得第二节点根据指示信息确定业务是否开启完整性保护。
[0817]
在一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护。
[0818]
在又一种可能的实施方式中,上述资源调度消息还用于指示用于至少一个第一业务的用户面的目标mac长度。
[0819]
可以看出,对于需要进行完整性保护的业务,上述装置280可以携带指示用户面的目标mac长度信息,用于指示对业务的数据进行完整性保护的mac的长度。
[0820]
需要说明的是,各个单元的实现还可以对应参照图11或者图12所示的实施例的相应描述。该装置280为图11或者图12所示的实施例中的第一节点。
[0821]
请参见图29,图29是本技术实施例提供的一种通信装置290的结构示意图,该装置290可以为节点,也可以为节点中的一个器件。该装置290可以包括至少一个存储器2801和至少一个处理器2902。可选的,还可以包含总线2903。进一步可选的,还可以包括通信接口2904,其中,存储器2901、处理器2902和通信接口2904通过总线2703相连。
[0822]
其中,存储器2901用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器2901可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0823]
处理器2902是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0824]
通信接口2904用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口2904还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0825]
该装置290中的处理器2902用于读取所述存储器2901中存储的计算机程序,用于执行前述的通信方法,例如图11或者图12所描述的通信方法。
[0826]
举例说明,该装置290中的处理器2902用于读取所述存储器2901中存储的计算机程序,用于执行以下操作:
[0827]
通信接口2904向第一节点发送业务属性上报响应消息,该业务属性上报响应消息包括至少一个业务标识,至少一个业务标识包含至少一个第二业务的标识,至少一个第二业务的标识对应第二业务类型,其中,类型为第二业务类型的业务的数据不需要进行完整
性保护;
[0828]
通信接口2904接收来自第一节点的资源调度消息;
[0829]
根据该资源调度消息,确定至少一个第二业务的标识对应的业务不启动完整性保护。
[0830]
可以看出,不同业务类型的业务对完整性保护的需求是不同的,第一节点可以根据第一业务的标识来确定选择是否开启完整性保护。例如,音频降噪业务属于对安全性需求较低的业务,因此音频降噪业务的数据可以不需要进行完整新保护,因此可以不确定对应音频降噪业务的mac长度。
[0831]
在又一种可能的实施方式中,上述至少一个业务标识包含至少一个第一业务的标识,至少一个第一业务的标识对应第一业务类型,其中,类型为第一业务类型的业务的数据需要进行完整性保护;上述方法还包括:
[0832]
根据上述资源调度消息,确定至少一个第一业务的标识对应的业务启动完整性保护。
[0833]
在又一种可能的实施方式中,上述资源调度消息还用于指示对至少一个第一业务的数据进行完整性保护的mac的长度。
[0834]
需要说明的是,各个单元的实现还可以对应参照图11或者图12所示的实施例的相应描述。该装置290为图11或者图12所示的实施例中的第二节点。
[0835]
请参见图30,图30是本技术实施例提供的一种通信装置300的结构示意图,该装置300可以为节点,也可以为节点中的一个器件。该装置300可以包括至少一个存储器3001和至少一个处理器3002。可选的,还可以包含总线3003。进一步可选的,还可以包括通信接口3004,其中,存储器3001、处理器3002和通信接口3004通过总线3003相连。
[0836]
其中,存储器3001用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器3001可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0837]
处理器3002是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0838]
通信接口3004用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口3004还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0839]
该装置300中的处理器3002用于读取所述存储器3001中存储的计算机程序,用于执行前述的通信方法,例如13所描述的通信方法。
[0840]
举例说明,该装置300中的处理器3002用于读取所述存储器3001中存储的计算机程序,用于执行以下操作:
[0841]
通过通信接口3004接收来自第二节点的关联请求消息,该关联请求消息中包括第二节点支持的安全算法的信息和第二节点的身份标识;
[0842]
根据第一算法选择策略确定信令面的目标安全算法以及信令面的目标mac长度,该信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;
[0843]
根据第二算法选择策略和第二节点的身份标识确定用户面的目标安全算法以及用户面的目标mac长度,该用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该用户面的目标mac长度用于指示对第一业务的数据进行完整性
保护的mac的长度;
[0844]
通过信令面的目标安全算法生成第一mac,该第一mac的长度为信令面的目标mac长度。
[0845]
在本技术实施例中,上述装置300可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,上述装置300可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
[0846]
在的一种可能的实施方式中,上述处理器3002,具体用于根据第一长度选择策略和第一算法选择策略确定信令面的目标安全算法和信令面的目标mac长度。
[0847]
在又一种可能的实施方式中,上述处理器3002,具体用于:
[0848]
根据第一算法选择策略确定信令面的目标安全算法;
[0849]
根据第一长度选择策略和信令面的目标安全算法确定信令面的目标mac长度。
[0850]
在又一种可能的实施方式中,上述处理器3002,具体用于:
[0851]
根据第一算法选择策略确定信令面的目标安全算法,该信令面的目标安全算法对应的mac长度为信令面的目标mac长度。
[0852]
在又一种可能的实施方式中,上述处理器3002,具体用于:
[0853]
根据第二算法选择策略确定用户面的目标安全算法;
[0854]
根据第二节点的身份标识确定第二长度选择策略;
[0855]
根据第二长度选择策略、用户面的目标安全算法确定信令面的目标mac长度。
[0856]
在又一种可能的实施方式中,上述处理器3002,具体用于:
[0857]
根据第二算法选择策略确定用户面的目标安全算法;
[0858]
根据用户面的目标安全算法支持的mac长度,以及第二节点的身份标识和mac长度的对应关系,将第二节点的身份标识对应的mac长度确定为用户面的目标mac长度。
[0859]
在又一种可能的实施方式中,上述处理器3002,还用于通过通信接口3004向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度和用户面的目标mac长度,该第一mac用于验证安全上下文请求消息的完整性。
[0860]
在又一种可能的实施方式中,上述处理器3002,还用于:
[0861]
通过通信接口3004向第二节点发送安全上下文请求消息,该安全上下文请求消息包括第一mac、指示信令面的目标安全算法的信息、指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一身份认证信息;其中,第一mac用于验证安全上下文请求消息的完整性,第一身份认证信息为根据第一节点与第二节点之间的共享密钥生成的;
[0862]
通过通信接口3004接收来自第二节点的安全上下文响应消息,该安全上下文响应消息包括第二身份认证信息和第二mac;其中,第二mac的长度为信令面的目标mac长度;第二身份认证信息用于验证第二节点的身份,第二mac用于校验所述安全上下文响应消息的完整性。
[0863]
在又一种可能的实施方式中,上述处理器3002,还用于:
[0864]
根据信令面的目标安全算法和第二mac校验安全上下文响应消息的完整性;
[0865]
根据上述共享密钥验证第二身份认证信息;
[0866]
若校验安全上下文响应消息的完整性通过且验证第二身份认证信息通过,向第二节点发送关联建立消息,该关联建立消息指示第二节点与所述第一节点之间建立关联。
[0867]
需要说明的是,各个单元的实现还可以对应参照图13所示的实施例的相应描述。该装置300为图13所示的实施例中的第一节点。
[0868]
请参见图31,图31是本技术实施例提供的一种通信装置310的结构示意图,该装置310可以为节点,也可以为节点中的一个器件。该装置310可以包括至少一个存储器3101和至少一个处理器3102。可选的,还可以包含总线3103。进一步可选的,还可以包括通信接口3104,其中,存储器3101、处理器3102和通信接口3104通过总线3103相连。
[0869]
其中,存储器3101用于提供存储空间,存储空间中可以存储操作系统和计算机程序等数据。存储器3101可以是ram、rom、eprom、cd-rom等等中的一种或者多种的组合。
[0870]
处理器3102是进行算术运算和/或逻辑运算的模块,具体可以是cpu、gpu、mpu、asic、fpga、cpld等处理模块中的一种或者多种的组合。
[0871]
通信接口3104用于接收外部发送的数据和/或向外部发送数据,可以为包括诸如以太网电缆等的有线链路接口,也可以是无线链路(wi-fi、蓝牙等)接口。可选的,通信接口3104还可以包括与接口耦合的发射器(如射频发射器、天线等)或者接收器等。
[0872]
该装置310中的处理器3102用于读取所述存储器3101中存储的计算机程序,用于执行前述的通信方法,例如13所描述的通信方法。
[0873]
举例说明,该装置310中的处理器3102用于读取所述存储器3101中存储的计算机程序,用于执行以下操作:
[0874]
通过通信接口3104向第一节点发送关联请求消息,该关联请求消息包括第二节点支持的安全算法的信息和第二节点的身份标识;
[0875]
通过通信接口3104接收来自第一节点的安全上下文请求消息,该安全上下文请求消息包括用于指示信令面的目标安全算法的信息、用于指示用户面的目标安全算法的信息、信令面的目标mac长度、用户面的目标mac长度和第一mac;其中,信令面的目标安全算法和信令面的目标mac长度对应第一算法选择策略,并且信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;用户面的目标安全算法和用户面的目标mac长度对应第二算法选择策略和第二节点的身份标识,并且用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;该第一mac的长度为信令面的目标mac长度;
[0876]
通过信令面的目标安全算法,根据第一mac校验安全上下文请求消息的完整性。
[0877]
在本技术实施例中,第一节点中可以配置不同的策略,来确定不同长度的mac长度,提高mac长度的灵活性。进一步的,第一节点可以根据第二节点的身份标识确定用户面的目标安全算法和用户面的目标mac,满足不同类型的节点对于mac长度的需求。上述装置310获取来自第一节点的目标mac长度,通过目标mac长度保护消息完整性。例如,一些处理重要业务的节点可以使用更长的mac长度,提高安全性。再如,一些辅助节点或者普通节点可以使用较短的mac长度,减少资源消耗,提高通信效率。
[0878]
在一种可能的实施方式中,上述信令面的目标安全算法和信令面的目标mac长度
为根据第一算法选择策略确定的,所述信令面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
[0879]
在又一种可能的实施方式中,上述用户面的目标安全算法和用户面的目标mac长度为根据第二算法选择策略确定的,所述用户面的目标安全算法属于第二节点支持的安全算法的信息所指示的安全算法的集合;第一mac为根据信令面的目标安全算法生成的。
[0880]
在又一种可能的实施方式中,上上述处理器3102,还用于:
[0881]
根据第二节点与第一节点之间的共享密钥验证第一身份认证信息;
[0882]
若校验安全上下文请求消息的完整性通过且验证第一身份认证信息通过,则通过信令面的目标安全算法生成第二mac,该第二mac的长度为信令面的目标mac长度;
[0883]
通过通信接口3104向第一节点发送安全上下文响应消息,该安全上下文响应消息中包括第二mac和第二身份认证信息;该第二身份认证信息为根据第二节点与第一节点之间的共享密钥生成的。
[0884]
在又一种可能的实施方式中,上述方法还包括:接收来自第一节点的关联建立消息,该关联建立消息指示第二节点与第一节点之间建立关联。
[0885]
需要说明的是,各个单元的实现还可以对应参照图13所示的实施例的相应描述。该装置310为图13所示的实施例中的第二节点。
[0886]
本技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在一个或多个处理器上运行时,执行图3、图7、图8或者图9所描述的通信方法。
[0887]
本技术实施例提供了一种计算机程序产品,当所述计算机程序产品在一个或多个处理器上运行时,可以实现图3、图8、图11、图12或者图13所描述的通信方法。
[0888]
本技术实施例提供了一种芯片系统,所述芯片系统包括至少一个处理器和通信接口,所述至少一个处理器用于调用至少一个存储器中存储的计算机程序,以使得所述芯片系统所在装置实现图3、图8、图11或者图12所描述的通信方法。本技术实施例提供了一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含图14、或者图16、或者图19或者图21所描述的装置,该第二节点包含图15、或者图17、或者图18、或者图20或者图22所描述的装置。
[0889]
本技术实施例提供了一种通信系统,该通信系统包括第一节点和第二节点,其中,该第一节点包含图23、或者图25、或者图28或者图30所描述的装置,该第二节点包含图24、或者图26、或者图27、或者图29或者图31所描述的装置。
[0890]
本技术实施例提供了一种智能座舱产品,所述智能座舱产品包括第一节点(例如,汽车座舱域控制器cdc),其中,该第一节点包含图14、或者图16、或者图19或者图21所描述的装置。
[0891]
进一步的,上述智能座舱产品还包括第二节点(例如,摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个),该第二节点包含图15、或者图17、或者图18、或者图20或者图22所描述的装置。
[0892]
本技术实施例公开了一种智能座舱产品,所述智能座舱产品包括第一节点(例如,汽车座舱域控制器cdc),其中,该第一节点包含图23、或者图25、或者图28或者图30所描述的装置。
[0893]
进一步的,上述智能座舱产品还包括第二节点(例如,摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个),该第二节点包含图24、或者图26、或者图27、或者图29或者图31所所描述的装置。
[0894]
本技术实施例提供了一种车辆,所述车辆包括第一节点(例如,汽车座舱域控制器cdc),其中,该第一节点包含图14、或者图16、或者图19或者图21所描述的装置。
[0895]
进一步的,上述车辆还包括第二节点(例如,摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个),该第二节点包含图15、或者图17、或者图18、或者图20或者图22所描述的装置。可替换的,上述车辆还可以替换为无人机、机器人等智能终端或者运输工具。
[0896]
本技术实施例提供了一种车辆,所述车辆包括第一节点(例如,汽车座舱域控制器cdc),其中,该第一节点包含图23、或者图25、或者图28或者图30所描述的装置。
[0897]
进一步的,上述车辆还包括第二节点(例如,摄像头、屏幕、麦克风、音响、雷达、电子钥匙、无钥匙进入或启动系统控制器等模块中的至少一个),该第二节点包含图24、或者图26、或者图27、或者图29或者图31所描述的装置。可替换的,上述车辆还可以替换为无人机、机器人等智能终端或者运输工具。
[0898]
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,可以全部或部分地实现本技术中的实施例所描述的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者通过计算机可读存储介质进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如,固态硬盘(solid state disk,ssd))等。
[0899]
本技术方法实施例中的步骤可以根据实际需要进行顺序调整、合并和删减。
[0900]
本技术装置实施例中的模块可以根据实际需要进行合并、划分和删减。
完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王勇 陈璟
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2