一种通信方法及装置、计算机可读存储介质和通信系统与流程

本技术实施例涉及无线通信领域，尤其涉及一种通信方法及装置、计算可读存储介质和通信系统。

背景技术：

1、在物联网(internet of things，iot)场景下，一些iot设备不具备直接接入网络的能力，这些iot设备需要通过其他终端设备接入网络侧，进而获得网络侧提供的服务。

2、当前，iot设备有一个信任的终端设备(userequipment，ue)或者是为同一个用户提供服务的ue，该ue被称之为主ue(host ue)。而iot设备经常离线，可以通过客属终端设备(guest ue)接入网络侧请求服务。但是guest ue是不可信的，有可能发起攻击。例如，iot设备和host ue属于一个用户，guest ue不属于该用户，则当iot设备通过guest ue请求网络侧服务时，若guest ue为恶意设备，则guest ue可能伪造iot设备的请求发起攻击。

3、如图1所示，由于iot设备无法直接连接网络侧，因此guest ue可能存在以下攻击可能性：

4、(1)guest ue可能伪造iot设备的请求，向网络侧设备请求业务数据，例如，业务数据可以包括iot设备对应的host ue的位置信息或签约信息等。

5、(2)guest ue可能伪造iot设备的请求，触发网络侧设备向host ue发送通知消息，对host ue造成骚扰。

6、基于上述攻击场景，如何预防guest ue发起攻击提升网络安全性是一个亟需解决的问题。

技术实现思路

1、本技术提供一种通信方法及装置、计算可读存储介质和通信系统，用以实现预防guest ue发起攻击提升网络安全性。

2、第一方面，本技术提供一种通信方法，该方法包括：

3、第一网元接收来自第一终端设备的服务请求消息，所述服务请求消息包括第二终端设备的标识和凭证，所述第二终端设备通过所述第一终端设备请求服务，所述凭证由第三终端设备生成；所述第一网元确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息；

4、采用上述设计，第二终端设备可以通过第一终端设备向第一网元请求服务，其中，服务请求消息包括第二终端设备的标识和凭证，第一网元可以验证凭证的有效性，并根据凭证是否有效决定是否响应服务请求消息。由于第一网元需要验证凭证，而对于未携带凭证的服务请求消息，则第一网元可以将其识别为伪造的服务请求消息，因此能够提升网络安全性，有利于减少攻击场景。

5、在一种可能的设计中，在所述第一网元确定所述凭证是否有效时，所述第一网元基于获取的所述凭证的标识与所述第三终端设备的标识的映射关系，确定所述凭证是否有效。

6、在一种可能的设计中，在所述第一网元确定所述凭证有效时，所述第一网元根据所述映射关系验证所述凭证的标识与所述第三终端设备的标识相匹配，则确定所述凭证有效。

7、采用上述设计，第一网元可以根据映射关系确定凭证有效，也即表明该凭证之前已注册，进而确定凭证有效。

8、在一种可能的设计中，在所述第一网元获取所述凭证的标识与第三终端设备的标识的映射关系时，所述第一网元存储所述凭证的标识和所述第三终端设备的标识的映射关系；或者，所述第一网元向第二网元发送查询消息，所述查询消息用于查询所述凭证的标识与所述第三终端设备的标识的映射关系；所述第一网元接收来自所述第二网元的查询响应消息，所述查询响应消息包括所述凭证的标识与所述第三终端设备的标识的映射关系。

9、采用上述设计，第一网元可以存储该映射关系，或者第一网元可以通过第二网元获得该映射关系。

10、在一种可能的设计中，在所述第一网元确定所述凭证有效时，还可以根据如下至少一项，确定所述凭证有效；所述至少一项包括：所述凭证的已使用次数小于所述凭证的最大使用次数；所述凭证的使用时间未超过所述凭证的过期时间戳；或所述第二终端设备的标识与所述凭证的标识相匹配。

11、采用上述设计可以有效减轻恶意的第一终端设备伪造服务请求发起攻击。

12、在一种可能的设计中，在所述第一网元确定所述凭证的已使用次数小于所述凭证的最大使用次数之后，所述第一网元向第二网元发送更新消息，所述更新消息用于更新所述凭证的已使用次数。

13、采用上述设计，第二网元可以保存并更新凭证的已使用次数。

14、在一种可能的设计中，所述第一网元接收来自所述第三终端设备的绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

15、采用上述设计，第一网元可以提前获得所述凭证的标识和所述第二终端设备的标识具有绑定关系。

16、在一种可能的设计中，在第一网元接收来自第一终端设备的服务请求消息之前，所述第一网元接收来自所述第三终端设备的第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证。第一网元存储所述凭证的标识与所述第三终端设备的标识的映射关系。

17、采用上述设计，第三终端设备可以生成凭证，并向第一网元注册，第一网元可以存储所述凭证的标识与所述第三终端设备的标识的映射关系，用于在接收到包括该凭证的服务请求消息时验证该凭证的有效性。

18、在一种可能的设计中，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

19、在一种可能的设计中，在所述第一网元接收来自所述第三终端设备的第一消息后，所述第一网元执行如下至少一项：确定所述第三终端设备的身份验证通过；确定所述第三终端设备具有生成凭证的能力；确定在预设时长内所述第三终端设备已注册的凭证的数量加1未达到数量阈值。

20、可以理解的是，第三终端设备可以一次性注册多个凭证，或者第三终端设备可以分多次注册多个凭证，本技术对此不作限定。第一网元可以统计在预设时长内第三终端设备已注册的凭证的数量，即已注册的凭证总数。此外，第一网元可以预配置第三终端设备在预设时长内可注册的凭证的最大数量，即数量阈值。或者第一网元可以从第二网元或其他网元处获取该数量阈值。

21、当第一网元接收到第一消息之后，第一网元可以判断当前已注册的凭证的总数加1是否小于或等于该数量阈值，若是，第一网元可以存储所凭证的标识与所述第三终端设备的标识的映射关系或向第二网元发送指示信息，所述指示信息用于指示所述凭证的标识与所述第三终端设备的标识的映射关系，即该凭证注册成功，否则，第一网元可以拒绝注册该凭证，即该凭证注册失败。

22、采用上述设计，在第一网元接收来自第三终端设备的第一消息之后，第一网元可以对第三终端设备进行验证。

23、在一种可能的设计中，所述第一网元向第二网元发送请求消息，所述请求消息用于请求所述第一终端设备的配置信息；所述第一终端设备的配置信息用于指示所述第一终端设备是否具有生成凭证的能力，和/或所述数量阈值；所述第一网元接收来自所述第二网元的所述第一终端设备的配置信息。

24、采用上述设计，第一网元可以通过其他网元(例如第二网元)获取终端设备的配置信息，进而可以根据获得的配置信息对第三终端设备进行验证。

25、在一种可能的设计中，所述第一网元向所述第二网元发送指示信息，所述指示信息用于指示所述凭证的标识与所述第三终端设备的标识的映射关系。

26、采用上述设计，第一网元可以将凭证的标识与第三终端设备的标识的映射关系保存至其他网元。

27、在一种可能的设计中，所述指示信息还包括所述凭证的过期时间戳，和/或所述凭证的最大使用次数。

28、在一种可能的设计中，所述第一消息用于请求注册所述凭证；所述第二网元向第三终端设备发送第二消息，所述第二消息用于指示所述凭证注册成功。所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

29、在一种可能的设计中，在第一网元接收来自第一终端设备的服务请求消息之前，所述第一网元接收来自所述第三终端设备的第三消息，所述第三消息包括所述第一终端设备的标识，所述第三消息用于请求所述凭证；所述第一网元生成所述凭证；所述第一网元向所述第三终端设备发送第四消息，所述第四消息包括所述凭证。第一网元存储所述凭证的标识与所述第三终端设备的标识的映射关系。

30、采用上述设计，第一网元可以根据第三终端设备的请求生成凭证，并发送给第三终端设备，进一步可以存储凭证的标识与第三终端设备的标识的映射关系，用于在接收到包括该凭证的服务请求消息时验证该凭证的有效性。

31、在一种可能的设计中，所述第三消息还包括所述凭证的业务类型或者所述凭证的服务描述信息。

32、在一种可能的设计中，在所述第一网元向所述第三终端设备发送第四消息之前，所述第一网元执行如下至少一项：确定所述第三终端设备的身份验证通过；确定所述第三终端设备具有生成凭证的能力；确定在预设时长内所述第三终端设备已注册的凭证的数量加1未达到数量阈值。

33、在一种可能的设计中，所述第一网元向第二网元发送请求消息，所述请求消息用于请求所述第一终端设备的配置信息；所述第一终端设备的配置信息用于指示所述第一终端设备是否具有生成凭证的能力，和/或所述数量阈值；所述第一网元接收来自所述第二网元的所述第一终端设备的配置信息。

34、在一种可能的设计中，所述第四消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

35、在一种可能的设计中，在所述第一网元接收来自第一终端设备的服务请求消息之后，所述第一网元向所述第三终端设备发送第一通知消息，所述第一通知消息包括所述第一终端设备的位置信息。

36、采用上述设计，触发第一网元向第三终端设备发送消息也需要凭证有效作为前提，进而可以缓解不可信的第一终端设备对第三终端设备的骚扰行为。

37、在一种可能的设计中，所述服务请求消息指示解除所述第二终端设备与所述第三终端设备的绑定关系；在所述第一网元接收来自第一终端设备的服务请求消息之后，所述第一网元向所述第三终端设备发送第二通知消息，所述第二通知消息用于指示解除所述第二终端设备与所述第三终端设备的绑定关系。

38、采用上述设计，触发第一网元向第三终端设备发送消息也需要凭证有效作为前提，进而可以缓解不可信的第一终端设备对第三终端设备的骚扰行为。

39、在一种可能的设计中，所述第一网元根据所述服务请求消息修改所述第二终端设备的qos参数。

40、在一种可能的设计中，在所述第一网元确定所述凭证无效的情况下，所述第一网元向所述第三终端设备发送第三通知消息，所述第三通知消息指示所述凭证无效的原因。

41、在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

42、第二方面，本技术提供一种通信方法，方法包括：第一终端设备接收来自第二终端设备的服务请求消息，所述服务请求消息包括凭证和第二终端设备的标识，所述第二终端设备通过所述第一终端设备请求服务；所述第一终端设备向第一网元发送所述服务请求消息。

43、采用上述设计，第一终端设备可以接收第二终端设备的服务请求消息，发送至第一网元，以及接收来自第一网元的服务响应消息并发送至第二终端设备。

44、在一种可能的设计中，所述第一终端设备接收来自所述第一网元的服务响应消息；所述第一终端设备向所述第二终端设备发送所述服务响应消息。

45、在一种可能的设计中，在第一终端设备接收来自第二终端设备的服务请求消息之前，所述第一终端设备接收来自第三终端设备的广播消息，所述广播消息包括所述凭证或所述凭证的标识。

46、在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

47、第三方面，本技术提供一种通信方法，该方法包括：第三终端设备生成凭证；所述第三终端设备向第一网元发送第一消息，所述第一消息包括所述第三终端设备的标识和所述凭证所述第三终端设备向第二终端设备发送所述凭证。

48、采用上述设计，第三终端设备可以生成凭证，并向第一网元注册，第三终端设备还可以向第二终端设备发送该凭证。可以理解的是，第三终端设备向第二终端设备发送该凭证可以在向第一网元发送第一消息之前或之后，本技术对此不作限定。

49、在一种可能的设计中，所述第二消息用于请求注册所述凭证；所述第三终端设备接收来自所述第一网元的第二消息，所述第二消息用于指示所述凭证注册成功。

50、可以理解的是，第三终端设备向第二终端设备发送该凭证也可以在第二消息之前或之后。

51、在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之前，所述第三终端设备接收来自所述第二终端设备的注册请求消息或服务请求消息。

52、在一种可能的设计中，所述第一消息还包括所述凭证的业务类型、所述凭证的服务描述信息、所述凭证的标识中的至少一项。

53、在一种可能的设计中，所述第二消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

54、在一种可能的设计中，在所述第三终端设备接收来自所述第一网元的第一消息之后，所述第三终端设备广播所述凭证或所述凭证的标识。

55、采用上述设计，接收到该凭证或凭证的标识的终端设备(例如，第一终端设备)可以保存该凭证。

56、在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之后，所述第三终端设备向所述第一网元发送绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

57、在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

58、第四方面，本技术提供一种通信方法，该方法包括：第三终端设备生成凭证；所述第三终端设备向第二终端设备发送所述凭证；所述第二终端设备根据接收到的所述凭证向第一终端设备发送服务请求消息，所述服务请求消息包括所述第二终端设备的标识和所述凭证，所述第二终端设备通过所述第一终端设备请求服务；所述第一终端设备向第一网元发送所述服务请求消息；所述第一网元确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息。

59、第五方面，本技术提供一种通信方法，该方法包括：第三终端设备向第一网元发送第三消息，所述第三消息包括所述第三终端设备的标识，所述第三消息用于请求凭证；所述第一网元向所述第三终端设备发送第四消息，所述第四消息指示所述凭证；所述第三终端设备向第二终端设备发送所述凭证；所述第二终端设备根据接收到的所述凭证向第一终端设备发送服务请求消息，所述服务请求消息包括所述第二终端设备的标识和所述凭证的标识，所述第二终端设备通过所述第一终端设备请求服务；所述第一终端设备向所述第一网元发送所述服务请求消息；所述第一网元确定所述凭证是否有效；在所述第一网元确定所述凭证有效的情况下，所述第一网元响应于所述服务请求消息。

60、第六方面，本技术提供一种通信方法，该方法包括：第三终端设备向第一网元发送第三消息，所述第三消息包括所述第三终端设备的标识，所述第三消息用于请求凭证；所述第三终端设备接收来自所述第一网元的第四消息，所述第四消息指示所述凭证注册成功；所述第三终端设备向第二终端设备发送所述凭证。

61、采用上述设计，第三终端设备可以请求第一网元为其生成凭证。

62、在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之前，所述第三终端设备接收来自所述第二终端设备的注册请求消息或服务请求消息。

63、在一种可能的设计中，所述第三消息还包括所述票据的业务类型或所述票据的服务描述信息。

64、在一种可能的设计中，所述第四消息包括所述凭证的信任凭据，所述凭证的过期时间戳，所述凭证的最大使用次数，所述凭证的标识中的至少一项。

65、在一种可能的设计中，在所述第三终端设备接收来自所述第一网元的第二消息之后，所述第三终端设备广播所述凭证或所述凭证的标识。

66、在一种可能的设计中，在所述第三终端设备向第二终端设备发送所述凭证之后，所述第三终端设备向所述第一网元发送绑定信息，所述绑定信息用于指示所述凭证的标识和所述第二终端设备的标识具有绑定关系。

67、在一种可能的设计中，所述凭证为票据，证书、令牌，或者预配置的散列值中的一种。

68、第七方面，本技术还提供一种装置。该装置可以执行上述方法设计。该装置可以是能够执行上述方法对应的功能的芯片或电路，或者是包括该芯片或电路的设备。

69、在一种可能的实现方式中，该装置包括：存储器，用于存储计算机可执行程序代码；以及处理器，处理器与存储器耦合。其中存储器所存储的程序代码包括指令，当处理器执行所述指令时，使该装置或者安装有该装置的设备执行上述任意一种可能的设计中的方法。

70、其中，该装置还可以包括通信接口，该通信接口可以是收发器，或者，如果该装置为芯片或电路，则通信接口可以是该芯片的输入/输出接口，例如输入/输出管脚等。

71、在一种可能的设计中，该装置包括相应的功能单元，分别用于实现以上方法中的步骤。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元。

72、第八方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，当所述计算机程序在装置上运行时，执行上述任意一种可能的设计中的方法。

73、第九方面，本技术提供一种计算机程序产品，所述计算机程序产品包括计算机程序，当所述计算机程序在装置上运行时，执行上述任意一种可能的设计中的方法。

74、第十方面，本技术提供一种通信系统，所述系统包括第一终端设备、第二终端设备，第三终端设备和第一网元，所述第一网元用于实现上述第一方面中的任意一种可能的设计中的方法，所述第一终端设备用于实现上述第二方面中的任意一种可能的设计中的方法，所述第三终端设备用于实现上述第三方面或第六方面中的任意一种可能的设计中的方法。