WO2023125604A1

WO2023125604A1 - 一种通信方法及装置

Info

Publication number: WO2023125604A1
Application number: PCT/CN2022/142614
Authority: WO
Inventors: 酉春华; 娄崇
Original assignee: 华为技术有限公司
Priority date: 2021-12-29
Filing date: 2022-12-28
Publication date: 2023-07-06
Also published as: CN116419222A

Abstract

本申请实施例公开了一种通信方法及装置。该方法包括：终端设备接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验；向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。采用本申请实施例，通过获取基于安全校验的***信息，防止***信息被篡改，提高了***信息的安全性。

Description

一种通信方法及装置

本申请要求于2021年12月29日提交中国国家知识产权局、申请号为202111648311.5、发明名称为“一种通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法及装置。

背景技术

***信息主要由主***块(master information block，MIB)和多个***信息块(system information block，SIB)组成，SIB主要包括SIB1和其他SIB。其中，MIB和SIB1是周期性广播的，其他SIB是可以周期性广播，也可以请求(on demand)广播的。MIB主要包括小区禁止状态(cell barred status)信息、以及接收后续SIB的物理层必要信息，例如，控制资源集(control resource set#0，CORESET#0)配置。SIB1主要包括其他***信息的调度信息和初始接入的信息。对于处于无线资源控制空闲态(radio resource control IDLE，RRC IDLE)或RRC非激活态(RRC INACTIVE)的终端设备，由于获取的***信息都是没有安全校验的，从而导致终端设备获取到的***信息可能被篡改，存在安全风险。

发明内容

本申请实施例提供一种通信方法及装置，避免***信息被篡改，提高了***信息的安全性。

第一方面，本申请实施例提供了一种通信方法，该方法应用于终端设备，或终端设备中的芯片，包括：接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验；向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。对于处于RRC非激活态的终端设备，使用基于安全校验的***信息的获取机制向网络设备请求***信息。由于在SRB1恢复后SRB1是有安全保护的，网络设备通过SRB1传输具有安全保护的***信息，避免***信息被篡改，提高了***信息的安全性。

在一种可能的设计中，接收所述第二网络设备的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。通过第二指示信息告知终端设备可以请求基于安全校验的***信息。

在另一种可能的设计中，所述第一消息为无线资源控制RRC***信息请求消息或专用***信息请求消息。

在另一种可能的设计中，接收所述第二网络设备发送的第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的；根据所述安全参数信息，对所述第二消息进行安全校验。通过对第二消息进行安全校验，保障获取到的第一***信息安全，避免***信息被篡改，提高了***信息的安全性。

在另一种可能的设计中，接收所述第二网络设备发送的所述第一***信息，所述第一系统信息是未进行安全保护的。

在另一种可能的设计中，接收所述第二网络设备发送的哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；向所述第二网络设备发送所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。在终端设备接收到的第一***信息是未进行安全保护的情况下，通过计算第一***信息的哈希值，确定接收到的所述第一***信息是否被篡改，提高了***信息的安全性。

在另一种可能的设计中，接收所述第二网络设备发送的第三消息，所述第三消息是进行安全保护的；根据所述安全保护参数，对所述第三消息进行安全校验。通过对第三消息进行安全校验，保障第三信息的安全性。

在另一种可能的设计中，所述第三消息包括第三指示信息，所述第三指示信息用于指示所述终端设备接收到的所述第一***信息是否被篡改。通过第三指示信息指示终端设备接收到的第一***信息是否被篡改，以便提示接收到的第一***信息的安全性。

在另一种可能的设计中，当所述终端设备接收到的所述第一***信息被篡改时，所述第三消息包括未被篡改的第一***信息。在第一***信息被篡改的情况下，通过重新传输第一***信息，保障***信息的安全性。

第二方面，本申请实施例提供了一种通信方法，该方法应用于第二网络设备，或第二网络设备中的芯片，所述方法包括：接收终端设备发送的第一消息，所述第一消息用于请求基于安全校验的第一***信息；向所述终端设备发送所述第一***信息。对于处于RRC非激活态的终端设备，使用基于安全校验的***信息的获取机制向网络设备请求***信息。由于在SRB1恢复后SRB1是有安全保护的，网络设备通过SRB1传输具有安全保护的***信息，避免***信息被篡改，提高了***信息的安全性。

在一种可能的设计中，向所述终端设备发送第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。通过第二指示信息告知终端设备可以请求基于安全校验的***信息。

在另一种可能的设计中，所述第一***信息包含于第二消息中，所述第二消息是进行安全保护的。通过对第二消息进行安全保护，保障第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，向第一网络设备发送第一请求；接收所述第一网络设备发送的第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据安全参数信息确定的，所述安全保护参数用于对所述第二消息进行安全保护。在进行锚定位的情况下，第二网络设备通过向第一网络设备请求安全保护参数，然后根据安全保护参数对第二消息进行安全保护，保障传输给终端设备的第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，所述第一请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。

在另一种可能的设计中，所述第一响应还用于指示进行锚定位。

在另一种可能的设计中，向第一网络设备发送第二请求，所述第二请求包括所述第一***信息；接收所述第一网络设备发送的第二响应，所述第二响应包括所述第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的。在不进行锚定位的情况下，通过第一网络设备对第一***信息进行安全保护，保障传输给终端设备的第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，所述第二请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。

在另一种可能的设计中，所述第二响应还用于指示不进行锚定位。

在另一种可能的设计中，所述第一***信息没有进行安全保护。

在另一种可能的设计中，向第一网络设备发送第三请求，所述第三请求用于请求安全校验的哈希参数；接收所述第一网络设备发送的第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。在终端设备接收到第一***信息没有进行安全保护情况下，通过向第一网络设备请求哈希参数，对第一***信息进行安全校验，保障第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，所述第三请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。

在另一种可能的设计中，所述第三响应还用于指示不进行锚定位。

在另一种可能的设计中，向所述终端设备发送哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；接收所述终端设备发送的所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。第二网络设备通过计算第一***信息的哈希值和接收到的终端设备的哈希值，确定第一***信息是否被篡改，保障第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，向所述终端设备发送第三消息，所述第三消息是进行安全保护的。通过对第三消息进行安全保护，保障信息的安全性。

在另一种可能的设计中，所述第三消息包括第三指示信息，所述第三指示信息用于指示所述终端设备接收到的所述第一***信息是否被篡改。

在另一种可能的设计中，当所述终端设备接收到的所述第一***信息被篡改时，所述第三消息包括未被篡改的第一***信息。

第三方面，本申请实施例提供了一种通信方法，该方法应用于第一网络设备，或第一网络设备中的芯片，所述方法包括：所述方法包括：获取安全参数信息；向终端设备发送第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。对于处于RRC非激活态的终端设备，使用基于安全校验的***信息的获取机制向网络设备请求***信息。由于在SRB1恢复后SRB1是有安全保护的，网络设备通过SRB1传输具有安全保护的***信息，避免***信息被篡改，提高了***信息的安全性。

在一种可能的设计中，接收第二网络设备发送的第一请求；向所述第二网络设备发送第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据所述安全参数信息确定的，所述安全保护参数用于对***信息进行安全保护。在进行锚定位的情况下，第二网络设备通过向第一网络设备请求安全保护参数，然后根据安全保护参数对第二消息进行安全保护，保障传输给终端设备的第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，接收第二网络设备发送的第二请求，所述第二请求包括所述第一***信息；向所述第二网络设备发送第二响应，所述第二响应包括第二消息，所述第二消息包括所述第一***信息，所述第二消息是根据所述安全参数信息进行安全保护的。在不进行锚定位的情况下，通过第一网络设备对第一***信息进行安全保护，保障传输给终端设备的第一***信息的安全性，避免第一***信息被篡改。

在另一种可能的设计中，接收第二网络设备发送的第三请求，所述第三请求包括请求安全校验的哈希参数；向所述第二网络设备发送第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。在终端设备接收到第一***信息没有进行安全保护情况下，通过向第一网络设备请求哈希参数，对第一***信息进行安全校验，保障第一***信息的安全性，避免第一***信息被篡改。

第四方面，本申请实施例提供了一种通信方法，该方法应用于终端设备，或终端设备中的芯片，所述方法包括：所述方法包括：向网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息；接收NAS安全保护的第一***信息。对于RRC IDLE的终端设备，网络设备通过NAS消息传输***信息，终端设备使用NAS安全机制，对***信息进行安全校验，避免了终端设备接收到被篡改的***信息，提高了***信息的安全性。

在一种可能的设计中，接收网络设备发送的指示信息，所述指示信息用于指示所述网络设备支持在所述基于安全校验的***信息。通过指示信息告知终端设备可以请求基于安全校验的***信息。

在另一种可能的设计中，通过NAS安全，对接收到的第一***信息进行安全校验。通过NAS安全对第一***信息进行校验，避免终端设备接收到被篡改的第一***信息，提高了***信息的安全性。

第五方面，本申请实施例提供了一种通信方法，该方法应用于网络设备，或网络设备中的芯片，所述方法包括：接收终端设备发送的第一消息，所述第一消息用于请求基于安全校验的第一***信息；向所述终端设备发送NAS安全保护的第一***信息。对于RRC IDLE的终端设备，网络设备通过NAS消息传输***信息，终端设备使用NAS安全机制，对***信息进行安全校验，避免终端设备接收到被篡改的***信息，提高了***信息的安全性。

在一种可能的设计中，向终端设备发送指示信息，所述指示信息用于指示所述网络设备支持在所述基于安全校验的***信息。通过指示信息告知终端设备可以请求基于安全校验的***信息。

在另一种可能的设计中，向核心网设备发送第四请求，所述第四请求包括所述终端设备请求的第一***信息；接收所述核心网设备发送的第四响应，所述第四响应包括NAS安全保护的第一***信息。通过传输NAS安全保护的第一***信息，避免终端设备接收到被篡改的第一***信息。

第六方面，本申请实施例提供了一种通信方法，该方法应用于终端设备，或终端设备中的芯片，所述方法包括：向网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息；接收网络设备发送的安全激活命令，所述安全激活命令用于激活AS安全。对于RRC IDLE的终端设备，AS安全是没有被激活的，终端设备可以请求NAS激活AS安全。网络设备通过AS安全对***信息进行安全保护，终端设备通过激活的AS安全对***信息进行安全校验，避免了终端设备接收到被篡改的***信息，提高了***信息的安全性。

在另一种可能的设计中，向网络设备发送安全激活完成消息。通过发送安全激活完成消息告知已完成激活AS安全，可以基于激活的AS安全来传输第一***信息。

第七方面，本申请实施例提供了一种通信方法，该方法应用于网络设备，或网络设备中的芯片，所述方法包括：接收终端设备发送的第一消息，所述第一消息用于请求基于安全校验的第一***信息，向终端设备发送安全激活命令，所述安全激活命令用于激活AS安全。对于RRC IDLE的终端设备，AS安全是没有被激活的，终端设备可以请求NAS激活AS安全。网络设备通过AS安全对***信息进行安全保护，终端设备通过激活的AS安全对***信息进行安全校验，避免终端设备接收到被篡改的***信息，提高了***信息的安全性。

在另一种可能的设计中，向核心网设备发送第五请求，所述第五请求包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息；接收核心网设备发送的第五响应，所述第五响应为AS安全激活命令。通过AS安全激活命令激活处于RRC IDLE的终端设备的AS安全。

在另一种可能的设计中，接收终端设备发送的安全激活完成消息。通过发送安全激活完成消息告知已完成激活AS安全，可以基于激活的AS安全来传输第一***信息。

第八方面，本申请实施例提供了一种通信装置，包括：

接收模块，用于接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验；

发送模块，用于向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

在一种可能的设计中，所述接收模块，还用于接收所述第二网络设备的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

在另一种可能的设计中，所述接收模块，还用于接收所述第二网络设备发送的第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的；

所述装置还包括：

处理模块，用于根据所述安全参数信息，对所述第二消息进行安全校验。

在另一种可能的设计中，所述接收模块，还用于接收所述第二网络设备发送的所述第一***信息，所述第一***信息是未进行安全保护的。

在另一种可能的设计中，所述接收模块，还用于接收所述第二网络设备发送的哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；

所述发送模块，还用于向所述第二网络设备发送所述第一***信息的哈希值，所述第一***信息的哈希值用于确定终端设备接收到的所述第一***信息是否被篡改。

在另一种可能的设计中，所述接收模块，还用于接收所述第二网络设备发送的第三消息，所述第三消息是进行安全保护的；

所述装置还包括：

处理模块，用于根据所述安全保护参数，对所述第三消息进行安全校验。

该通信装置执行的操作及有益效果可以参见上述第一方面所述的方法以及有益效果，重复之处不再赘述。

第九方面，本申请实施例提供了一种通信装置，包括：

接收模块，用于接收终端设备发送的第一消息，所述第一消息用于请求基于安全校验的第一***信息；

发送模块，用于向所述终端设备发送所述第一***信息。

在一种可能的设计中，所述发送模块，还用于向所述终端设备发送第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

在另一种可能的设计中，所述第一***信息包含于第二消息中，所述第二消息是进行安全保护的。

在另一种可能的设计中，所述发送模块，还用于向第一网络设备发送第一请求；

所述接收模块，还用于接收所述第一网络设备发送的第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据安全参数信息确定的，所述安全保护参数用于对所述第二消息进行安全保护。

在另一种可能的设计中，所述发送模块，还用于向第一网络设备发送第二请求，所述第二请求包括所述第一***信息；

所述接收模块，还用于接收所述第一网络设备发送的第二响应，所述第二响应包括所述第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的。

在另一种可能的设计中，所述发送模块，还用于向第一网络设备发送第三请求，所述第三请求用于请求安全校验的哈希参数；

所述接收模块，还用于接收所述第一网络设备发送的第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。

在另一种可能的设计中，所述发送模块，还用于向所述终端设备发送哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；

所述接收模块，还用于接收所述终端设备发送的所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。

在另一种可能的设计中，所述发送模块，还用于向所述终端设备发送第三消息，所述第三消息是进行安全保护的。

该通信装置执行的操作及有益效果可以参见上述第二方面所述的方法以及有益效果，重复之处不再赘述。

第十方面，本申请实施例提供了一种通信装置，包括：

获取模块，用于获取安全参数信息；

发送模块，用于向终端设备发送第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。

在一种可能的设计中，所述获取模块，还用于接收第二网络设备发送的第一请求；

所述发送模块，还用于向所述第二网络设备发送第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据所述安全参数信息确定的，所述安全保护参数用于对***信息进行安全保护。

在另一种可能的设计中，所述获取模块，还用于接收第二网络设备发送的第二请求，所述第二请求包括所述第一***信息；

所述发送模块，还用于向所述第二网络设备发送第二响应，所述第二响应包括第二消息，所述第二消息包括所述第一***信息，所述第二消息是根据所述安全参数信息进行安全保护的。

在另一种可能的设计中，所述获取模块，还用于接收第二网络设备发送的第三请求，所述第三请求包括请求安全校验的哈希参数；

所述发送模块，还用于向所述第二网络设备发送第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。

该通信装置执行的操作及有益效果可以参见上述第三方面所述的方法以及有益效果，重复之处不再赘述。

第十一方面，本申请实施例提供了一种通信装置，包括：

发送模块，用于向网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息；

接收模块，用于接收NAS安全保护的第一***信息。

在一种可能的设计中，所述接收模块，还用于接收网络设备发送的指示信息，所述指示信息用于指示所述网络设备支持在所述基于安全校验的***信息。

在另一种可能的设计中，所述装置还包括处理模块，

所述处理模块，用于通过NAS安全，对接收到的第一***信息进行安全校验。

该通信装置执行的操作及有益效果可以参见上述第四方面所述的方法以及有益效果，重复之处不再赘述。

第十二方面，本申请实施例提供了一种通信装置，包括：

发送模块，用于向所述终端设备发送NAS安全保护的第一***信息。

在一种可能的设计中，所述发送模块，还用于向终端设备发送指示信息，所述指示信息用于指示所述网络设备支持在所述基于安全校验的***信息。

在另一种可能的设计中，所述发送模块，还用于向核心网设备发送第四请求，所述第四请求包括所述终端设备请求的第一***信息；所述接收模块，还用于接收所述核心网设备发送的第四响应，所述第四响应包括NAS安全保护的第一***信息。

该通信装置执行的操作及有益效果可以参见上述第五方面所述的方法以及有益效果，重复之处不再赘述。

第十三方面，本申请实施例提供了一种通信装置，包括：

接收模块，用于接收网络设备发送的安全激活命令，所述安全激活命令用于激活AS安全。

在另一种可能的设计中，所述发送模块，还用于向网络设备发送安全激活完成消息。

该通信装置执行的操作及有益效果可以参见上述第六方面所述的方法以及有益效果，重复之处不再赘述。

第十四方面，本申请实施例提供了一种通信方装置，包括：

发送模块，用于向终端设备发送安全激活命令，所述安全激活命令用于激活AS安全。

在另一种可能的设计中，所述发送模块，还用于向核心网设备发送第五请求，所述第五请求包括原因值，所述原因为终端设备请求基于安全校验的第一***信息；所述接收模块，还用于接收核心网设备发送的第五响应，所述第五响应为AS安全激活命令。

在另一种可能的设计中，所述接收模块，还用于接收终端设备发送的安全激活完成消息。

该通信装置执行的操作及有益效果可以参见上述第七方面所述的方法以及有益效果，重复之处不再赘述。

第十五方面，本申请实施例提供了一种通信装置，该通信装置被配置为实现上述第一方面、第四方面、第六方面，以及第一方面、第四方面、第六方面中任意可能的一种可能的设计中的终端设备所执行的方法和功能，由硬件/软件实现，其硬件/软件包括与上述功能相应的模块。

第十六方面，本申请实施例提供了一种通信装置，该通信装置被配置为实现上述第一方面以及第一方面中任意可能的一种可能的设计中的第二网络设备所执行的方法和功能，由硬件/软件实现，其硬件/软件包括与上述功能相应的模块。

第十七方面，本申请实施例提供了一种通信装置，该通信装置被配置为实现上述第三方面以及第三方面中任意可能的一种可能的设计中的第一网络设备所执行的方法和功能，由硬件/软件实现，其硬件/软件包括与上述功能相应的模块。

第十八方面，本申请提供了一种通信装置，该装置可以是终端设备，也可以是终端设备中的装置，或者是能够和终端设备匹配使用的装置。其中，该通信装置还可以为芯片***。该通信装置可执行第一方面所述的方法。该通信装置的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。该模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第一方面所述的方法以及有益效果，重复之处不再赘述。

第十九方面，本申请提供了一种通信装置，该装置可以是第二网络设备，也可以是第二网络设备中的装置，或者是能够和第二网络设备匹配使用的装置。其中，该通信装置还可以为芯片***。该通信装置可执行第二方面所述的方法。该通信装置的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。该模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第二方面所述的方法以及有益效果，重复之处不再赘述。

第二十方面，本申请提供了一种通信装置，该装置可以是第一网络设备，也可以是第一网络设备中的装置，或者是能够和第一网络设备匹配使用的装置。其中，该通信装置还可以为芯片***。该通信装置可执行第三方面所述的方法。该通信装置的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。该模块可以是软件和/或硬件。该通信装置执行的操作及有益效果可以参见上述第三方面所述的方法以及有益效果，重复之处不再赘述。

第二十一方面，本申请提供了一种通信装置，所述通信装置包括处理器，当所述处理器调用存储器中的计算机程序时，如第一方面至第七方面中任意一项所述的方法被执行。

第二十二方面，本申请提供了一种通信装置，所述通信装置包括处理器和存储器，所述存储器用于存储计算机程序；所述处理器用于执行所述存储器所存储的计算机程序以使所述通信装置执行如第一方面至第七方面中任意一项所述的方法。

第二十三方面，本申请提供了一种通信装置，所述通信装置包括处理器、存储器和收发器，所述收发器，用于接收信道或信号，或者发送信道或信号；所述存储器，用于存储计算机程序；所述处理器，用于从所述存储器调用所述计算机程序执行如第一方面至第七方面中任意一项所述的方法。

第二十四方面，本申请提供了一种通信装置，所述通信装置包括处理器和接口电路，所述接口电路，用于接收计算机程序并传输至所述处理器；所述处理器运行所述计算机程序以执行如第一方面至第七方面中任意一项所述的方法。

第二十五方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，当所述计算机程序被执行时，使得如第一方面至第七方面中任意一项所述的方法被实现。

第二十六方面，本申请提供一种包括计算机程序的计算机程序产品，当所述计算机程序被执行时，使得如第一方面至第七方面中任意一项所述的方法被实现。

第二十七方面，本申请实施例提供了一种通信***，该通信***包括至少一个终端设备和至少一个网络设备，该终端设备用于执行上述第一方面、第四方面以及第六方面中的步骤，该网络设备用于执行上述第二方面、第三方面、第五方面以及第七方面中的步骤。

附图说明

为了更清楚地说明本申请实施例或背景技术中的技术方案，下面将对本申请实施例或背景技术中所需要使用的附图进行说明。

图1(A)是本申请实施例提供的一种通信***的架构示意图；

图1(B)是本申请实施例提供的另一种通信***的架构示意图；

图2是一种从RRC inactive恢复到RRC连接态的示意图；

图3是本申请实施例提供的一种通信方法的流程示意图；

图4是本申请实施例提供的另一种通信方法的流程示意图；

图5是本申请实施例提供的另一种通信方法的流程示意图；

图6是本申请实施例提供的另一种通信方法的流程示意图；

图7是本申请实施例提供的另一种通信方法的流程示意图；

图8是本申请实施例提供的一种通信装置的结构示意图；

图9是本申请实施例提供的一种通信装置的结构示意图；

图10是本申请实施例提供的一种通信装置的结构示意图；

图11是本申请实施例提供的一种终端设备的结构示意图；

图12是本申请实施例提供的一种第二网络设备的结构示意图；

图13是本申请实施例提供的一种第一网络设备的结构示意图。

具体实施方式

如图1(A)所示，图1(A)是本申请实施例提供的一种通信***的架构示意图。该通信***包括下一代无线接入网(Next generation radio access network，NG-RAN)和核心网(5GC，5rd generation core network)两部分。NG-RAN用于实现无线接入有关的功能。NG-RAN主要包括RAN节点。其中，核心网主要包括接入和移动性管理功能(access and mobility management function，AMF)实体、用户面功能(user plane function，UPF)实体。其中：

RAN节点为终端设备提供无线接入的设备，RAN节点包括5G基站(next generation node B，gNB)或LTE基站(not next generation evolved Node B，ng-eNB)。对于gNB，提供新无线(new radio，NR)用户面和控制面协议的终结点，对于ng-eNB，它提供演进的UMTS陆地无线接入网(evolved UMTS terrestrial radio access network，E-UTRAN)用户面和控制面协议栈的终结点。gNB与gNB，gNB与ng-eNB，ng-eNB与ng-eNB之间通过Xn接口进行连接。gNB和ng-eNB，他们与5GC通过下一代(next generation，NG)接口进行连接。具体的，与AMF实体通过NG-C接口进行连接，与UPF实体通过NR-U接口进行连接。

AMF实体主要负责移动网络中的移动性管理，如用户位置更新、用户注册网络、用户切换等。UPF实体主要负责对用户报文进行处理，如转发、计费等。

又如图1(B)所示，图1(B)是本申请实施例提供的另一种通信***的架构示意图。该通信***100可以包括网络设备110和终端设备101～终端设备106。应理解，可以应用本申请实施例的方法的通信***100中可以包括更多或更少的网络设备或终端设备。网络设备或终端设备可以是硬件，也可以是从功能上划分的软件或者以上二者的结合。网络设备与终端设备之间可以通过其他设备或网元通信。在该通信***100中，网络设备110可以向终端设备101～终端设备106发送下行数据。当然，终端设备101～终端设备106也可以向网络设备110发送上行数据。终端设备101～终端设备106可以是蜂窝电话、智能电话、便携式电脑、手持通信设备、手持计算设备、卫星无线电装置、全球定位***、掌上电脑(personal digital assistant，PDA)和/或用于在无线通信***100上通信的任意其它适合设备等等。网络设备110可以为是长期演进(long term evolution，LTE)和/或NR的网络设备，具体的可以是基站(NodeB)、演进型基站(eNodeB)、5G移动通信***中的基站、下一代移动通信基站(Next generation Node B，gNB)，未来移动通信***中的基站或Wi-Fi***中的接入节点。

通信***100可以采用公共陆地移动网络(public land mobile network，PLMN)、车联网(vehicle to everything，V2X)、设备到设备(device-to-device，D2D)网络、机器到机器(machine to machine，M2M)网络、物联网(internet of things，IoT)或其他网络。此外，终端设备104～终端设备106也可以组成一个通信***。在该通信***中，终端设备105可以发送下行数据给终端设备104或终端设备106。在本申请实施例中的方法可以应用于图1(B)所示的通信***100中。

第三代合作伙伴计划(3rd generation partnership project，3GPP)在5G网络中，引入了三个RRC状态：RRC空闲态(RRC IDLE)、RRC非激活态(RRC INACTIVE)、和RRC连接态(RRC CONNECTED)。

在RRC连接态下，终端设备与网络设备之间有专用的RRC连接。专用的RRC连接可以为数据无线承载(data radio bearers，DRB)或信令无线承载1(signalling radio bearers1，SRB1 的连接。

在RRC空闲态下，终端设备与网络设备没有专用的RRC连接。

在RRC非激活态下，终端设备在网络设备下移动，可以无需知会网络设备。终端设备保存自己的上下文，最后为终端设备提供服务的基站(Last serving gNB)保存终端设备的上下文、以及与AMF实体和UPF的NG连接。终端设备与网络设备的专用的RRC连接是挂起的，后续可以恢复。终端设备在RRC非激活态下执行小区重选。

RRC非激活态是5G新增的一种RRC状态，目的是使终端设备可以快速恢复到RRC连接态，而无需重新接入。RRC非激活态和RRC空闲态类似，都只能接收公共搜索空间的内容广播(paging)，可以进行小区重选，并且小区重选的原理与RRC空闲态相同。在RRC非激活态下可以获得与在RRC空闲态下相近的功耗水平，原因是在RRC非激活态的终端设备会暂停数据处理，若终端设备在同一个网络设备中移动时，则不需要与网络设备交互信息。但若UE移动超出网络设备的覆盖范围时，则需要启动无线接入网通知区域(RAN notification area，RNA)更新过程。处于RRC非激活态的UE可以有较低的数据传输恢复时延，原因是RRC非激活态的UE可以通过RRC恢复(resume)流程快速迁移到RRC连接态。

如图2所示，图2是一种从RRC inactive恢复到RRC连接态的示意图。下面以终端设备为UE，Last serving gNB为第二基站进行说明。第二基站保存UE的上下文，UE移动出第二基站的覆盖范围，进入第一基站的覆盖范围，并发起RRC恢复过程。

1.终端设备处于非激活态下，向第一基站发送RRC恢复请求(RRC resume request)，该RRC恢复请求中可以携带非激活无线网络临时标识符(inactive radio network tempory identity，I-RNTI)。

2.第一基站向第二基站发送获取UE的上下文请求(retrieve UE context request)。该获取UE的上下文请求可以包括所述I-RNTI。第二基站可以根据I-RNTI，确定终端设备的上下文。

3.第二基站向第一基站发送获取UE的上下文的响应(retrieve UE context response)。该获取UE的上下文的响应包括UE的上下文。

4.第一基站向终端设备发送RRC恢复(RRC resume)消息。UE在接收到RRC恢复消息，进入RRC连接态，RRC连接恢复。

5.UE向第一基站发送RRC恢复完成(RRC resume complete)消息。

6.第一基站向第二基站发送Xn-U地址指示(Xn-U address indication)。

所述Xn-U地址指示用于通知第二基站的数据转发的隧道地址，该数据主要为下行数据。此时，如果第二基站有UE的下行数据，那么可以将下行数据发送给第一基站，之后第一基站将下行数据发送给UE。

7.第一基站向AMF实体发送路径切换请求(path switch request)，所述路径切换请求用于切换路径，将UPF实体与第二基站的连接切换到UPF实体与第一基站的连接，之后的下行数据都是UPF实体直接发给第一基站，而不是第二基站。

8.AMF实体向第一基站发送路径切换响应(path switch response)。

9.第一基站向第二基站发送UE的上下文释放(UE context release)消息。所述UE的上下文释放消息用于通知第二基站释放UE的上下文。

RRC空闲态切换到RRC连接态的转换的信令流程，实际就是UE初始接入的过程，包含随机接入、RRC连接建立和初始上下文建立。将该信令流程与RRC非激活态切换到RRC连接态的信令流程进行对比，可以发现RRC非激活态下通过RRC恢复流程，可以节省大量的信令交互，例如在Uu口上减少了RRC重配置过程和安全模式配置过程，在NG口上减少了上下文建立过程、鉴权流程等。使得在RRC非激活态下相对于在RRC空闲态下，UE可以更快的接入网络。

***信息主要包括MIB和多个SIB，SIB主要包括SIB1和其他SIB，SIB1主要包括其他***信息的调度信息和初始接入的信息，其他SIB主要包括以下信息：(1)SIB2，包括服务小区的小区重选信息；(2)SIB3，包括服务频点和同频点的邻区的小区重选信息；(3)SIB4，包括异频点的小区重选信息；(4)SIB5，包括E-UTRA频点和邻区的小区重选信息；(5)SIB6，包括地震和海啸预警***(earthquake and tsunami warning system，ETWS)的主要通知；(6)SIB7，包括ETWS的次要通知；(7)SIB8，包括商用移动警报***(commercial mobile alert system，CMAS)的警告通知；(8)SIB9，包括全球定位***(global positioning system，GPS)时间和协调世界时(coordinated universal time，UTC)的信息；(9)SIB10，包括非公共网络(non-public network，NPN)的人类可读的网络名称(human-readable network names)信息；(10)SIB11包括IDLE和INACTIVE的测量信息；(11)SIBpos：包括定位辅助数据。

对于on demand的***信息，主要有以下几种方式：MSG1-based SI请求，MSG3-based SI请求，dedicated SI Request。

(1)MSG1-based SI。

1、终端设备向网络设备发送前导序列，所述前导序列与请求的SIB有对应关系。2、终端设备接收随机接入响应。3、终端设备通过广播接收请求的SIB。

(2)MSG3-based SI。

1、终端设备向网络设备发送前导序列。2、终端设备接收随机接入响应。3、终端设备向网络设备发送MSG3，所述MSG3中指示请求的SIB信息。4、终端设备接收竞争解决信息，5、终端设备通过广播接收请求的SIB。

(3)Dedicated SI Request。

1、终端设备向网络设备发送dedicated Request。2、终端设备通过单播接收***信息。

对于dedicated SI Request，可以用于RRC连接态的UE的***信息获取，有安全校验。

对于IDLE UE或INACTIVE UE，上述***信息的获取，都是没有安全校验的，从而导致终端设备获取到篡改的***信息，存在安全风险。为了解决上述技术问题，本申请实施例提供了如下解决方案。

如图3所示，图3是本申请实施例提供的一种通信方法的流程示意图。本申请实施例可以包括如下步骤：

S301，终端设备接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。

具体的，第一网络设备可以获取安全参数信息，然后向终端设备发送第一指示信息和安全参数信息。终端设备接收到第一指示信息和安全参数信息之后，可以获知允许使用基于安全校验的***信息的获取机制。并且，终端设备可以根据安全参数信息，确定安全保护参数。后续终端设备可以使用该安全保护参数对接收到的***信息进行安全校验。其中，安全参数信息可以为下一跳链计数(next chaining counter，NCC)，NCC用于标识一个安全秘钥。

其中，第一网络设备可以为上一次为该终端设备提供服务的基站(Last serving gNB)。终端设备当前处于RRC非激活态下，在RRC非激活态下，专用的RRC连接挂起。专用的RRC连接可以为数据无线承载(data radio bearers，DRB)或信令无线承载1(signalling radio bearers1，SRB1)的连接。

S302，终端设备接收第二网络设备发送的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

S303，终端设备向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

其中，第一消息可以为RRC***信息请求消息(RRC system information request)或专用***信息请求消息(dedicated SIB request)。RRC***信息请求消息是通过SRB0传输的，专用***信息请求消息是通过SRB1传输的。第一***信息可以为MIB或SIB1，所述SIB1可以用于传输其他***信息的调度信息。例如，其他***信息可以为on demand的***信息。

可选的，终端设备可以向第二网络设备发送RRC恢复请求(RRC resume request)。RRC恢复请求可以包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。通过RRC恢复请求，终端设备与第二网络设备之间建立SRB1。其中，RRC恢复请求是通过SRB0传输的。

其中，第一消息和RRC恢复请求可以在同一个消息中，例如，随机接入的消息3(MSG3)，也可以在不同的消息中。

S304，第二网络设备向第一网络设备发送第一请求。

其中，第一请求包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。第一网络设备接收到第一请求之后，可以根据原因值，确定是否进行锚定位(anchor relocation)。

在本申请实施例中，第一网络设备确定进行锚定位。本申请实施例适用于小数据传输(small data transmission，SDT)进行锚定位(with anchor relocation)的场景。

其中，第一请求可以为获取UE的上下文请求(retrieve UE context request)。

S305，第一网络设备向第二网络设备发送第一响应。

其中，第一响应可以包括终端设备的上下文和安全保护参数，终端设备的上下文可以包括分组数据汇聚协议(packet data convergence protocol，PDCP)配置、无线链路控制层协议(radio link control，RLC)配置、服务数据适配协议(service data adaptation protocol，SDAP)配置等等，所述安全保护参数为第一网络设备根据安全参数信息确定的。

可选的，第一响应还可以用于指示进行锚定位。例如，第一响应中一个字段中包括一个比特，当该比特为1时，则指示进行锚定位。

其中，第一响应可以为获取UE的上下文的响应(retrieve UE context response)。

S306，第二网络设备与AMF实体进行路径切换(path switch)过程。

具体的，第二网络设备可以向第一网络设备发送Xn-U地址指示(Xn-U address indication)。所述Xn-U地址指示用于通知第一网络设备的数据转发的隧道地址。然后，第二网络设备向AMF实体发送路径切换请求(path switch request)，所述路径切换请求用于切换路径，将UPF实体与第一网络设备的连接切换到UPF实体与第二网络设备的连接，之后的下行数据都是UPF实体直接发给第二网络设备，而不是第一网络设备。最后，AMF实体向第二网络设备发送路径切换响应(path switch response)。

S307，第二网络设备确定让终端设备保持在RRC非激活态下，将第一***信息封装在第二消息中，向终端设备发送第二消息。

其中，所述第二消息包括第一***信息，第二消息是使用上述接收到的安全保护参数进行安全保护的。所述第二消息可以为RRC释放(RRC release)消息，所述第二消息为通过SRB1传输的。

S308，终端设备根据S301中确定的安全保护参数，对接收到的第二消息进行安全校验。

需要说明的是，安全保护可以为完整性保护，安全校验可以为完整性校验。完整性保护可以理解为：第二网络设备根据安全保护参数计算出一个或多个比特，将一个或多比特与第二消息一起发送给终端设备，一个或多比特对第一消息起到完整性保护的作用。完整性校验可以理解为：终端设备根据安全保护参数计算出一个或多个比特，如果计算出的一个或多个比特与接收到的一个或多个比特相同，则完整性校验通过，说明接收到的第一***信息是安全的，未被篡改的。

可选的，第二网络设备向终端设备发送第二消息之后，可以向第一网络设备发送UE的上下文释放(UE context release)消息。所述UE的上下文释放消息用于通知第一网络设备释放UE的上下文。

在本申请实施例中，对于处于RRC非激活态的终端设备，使用基于安全校验的***信息的获取机制向网络设备请求***信息。由于在SRB1恢复后SRB1是有安全保护的，网络设备通过SRB1传输具有安全保护的***信息，避免终端设备接收到被篡改的***信息，提高了***信息的安全性。本申请实施例适用于SDT with anchor relocation的场景。

如图4所示，图4是本申请实施例提供的一种通信方法的流程示意图。本申请实施例可以包括如下步骤：

S401，终端设备接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。

S402，终端设备接收第二网络设备发送的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

S403，终端设备向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

可选的，终端设备可以向第二网络设备发送RRC恢复请求(RRC resume request)。RRC 恢复请求可以包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。通过RRC恢复请求，终端设备与第二网络设备之间建立SRB1。其中，RRC恢复请求是通过SRB0传输的。

其中，第一消息和RRC恢复请求可以在同一个消息中，例如，随机接入的消息3。也可以在不同的消息中。

S404，第二网络设备向第一网络设备发送第二请求。

其中，第二请求包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。第一网络设备接收到第二请求之后，可以根据原因值，确定是否进行锚定位(anchor relocation)。

其中，所述第二请求还包括所述终端设备请求的第一***信息。

在本申请实施例中，第一网络设备确定不进行锚定位。本申请实施例适用于SDT without anchor relocation的场景。

S405，第一网络设备向第二网络设备发送第二响应。

其中，第二响应可以包括终端设备的部分上下文和第二消息，第二消息包括经过安全保护的第一***信息，终端设备的部分上下文可以包括无线链路控制层协议(radio link control，RLC)配置等。其中，第二消息可以为RRC释放(RRC release)消息。

具体的，第一网络设备根据安全参数信息确定安全保护参数，然后通过安全保护参数对第一***信息进行安全保护。然后将经过安全保护的第一***信息封装在第二消息或其他消息中。第二消息或其他消息都是通过SRB1传输的。

可选的，第二响应还可以用于指示不进行锚定位。例如，第二响应中一个字段中包括一个比特，当该比特为0时，则指示不进行锚定位。

其中，第二响应可以为获取UE的上下文的响应(retrieve UE context response)。

S406，第二网络设备确定让终端设备保持在RRC非激活态下，向终端设备发送第二消息。

其中，所述第二消息包括第一***信息，第一***信息是进行安全保护的。所述第二消息可以为RRC释放(RRC release)消息，所述第二消息为通过SRB1传输的。

S407，终端设备根据S401中确定的安全保护参数，对接收到的第一***信息进行安全校验。如果安全校验通过，则说明接收到的第一***信息是安全的。

可选的，可以第二网络设备向终端设备发送第二消息之后，向第一网络设备发送UE的上下文释放(UE context release)消息。所述UE的上下文释放消息用于通知第一网络设备释放UE的上下文。

在本申请实施例中，对于处于RRC非激活态的终端设备，使用基于安全校验的***信息的获取机制向网络设备请求***信息。由于在SRB1恢复后SRB1是有安全保护的，网络设备通过SRB1传输具有安全保护的***信息，避免终端设备接收到被篡改的***信息，提高了***信息的安全性。

如图5所示，图5是本申请实施例提供的一种通信方法的流程示意图。本申请实施例可以包括如下步骤：

S501，终端设备接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。

S502，终端设备接收第二网络设备发送的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

S503，终端设备向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

其中，第一消息和RRC恢复请求可以在同一个消息中，例如，随机接入的消息3，也可以在不同的消息中。

S504，第二网络设备向终端设备发送第一***信息，所述第一***信息是未进行安全保护的。

S505，第二网络设备向第一网络设备发送第三请求。其中，所述第三请求用于请求安全校验的哈希参数(hash key)。

其中，第三请求还可以包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。第一网络设备接收到第二请求之后，可以根据原因值，确定是否进行锚定位(anchor relocation)。

其中，第三请求可以为获取UE的上下文请求(retrieve UE context request)。

S506，第二网络设备接收所述第一网络设备发送的第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。

其中，第三响应还可以包括终端设备的部分上下文息，终端设备的部分上下文可以包括终端设备的部分上下文可以包括无线链路控制层协议(radio link control，RLC)配置等。

其中，第三消息可以为RRC释放(RRC release)消息。第三消息是通过SRB1传输的。

可选的，第三响应还可以用于指示不进行锚定位。例如，第三响应中一个字段中包括一个比特，当该比特为1时，则指示进行锚定位。

S507，第二网络设备向终端设备发送哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值。

可选的，终端设备接收到哈希安全指令之后，根据哈希参数，确定第一***信息的哈希值。

其中，哈希安全指令是通过SRB1传输的。

S508，终端设备向所述第二网络设备发送所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。

可选的，第二网络设备接收到所述第一***信息的哈希值之后，根据接收到的第一网络设备的哈希参数，自身计算第一***信息的哈希值，并将计算的第一***信息的哈希值与接收到的终端设备计算的第一***信息的哈希值进行比较，如果两者相同，则确定终端设备接收的第一***信息未被篡改，如果两者不相同，则确定终端设备接收到的第一***信息被篡改。

其中，第一***信息的哈希值是通过SRB1传输的。

S509，第二网络设备向终端设备发送第三消息，所述第三消息是进行安全保护的。

其中，所述第三消息包括第三指示信息，所述第三指示信息用于指示所述终端设备接收到的所述第一***信息是否被篡改。例如，第一指示信息可以为一个比特，如果该比特为1，则确定所述终端设备接收到的所述第一***信息被篡改，如果该比特为0，则确定所述终端设备接收到的所述第一***信息未被篡改。

可选的，当所述终端设备接收到的所述第一***信息被篡改时，所述第三消息包括未被篡改的第一***信息。

S510，终端设备根据S501中确定的安全保护参数，对所述第三消息进行安全校验。如果安全校验通过，则说明接收到的第一***信息是安全的。

在本申请实施例中，对于处于RRC非激活态的终端设备，使用基于安全校验的***信息的获取机制向网络设备请求***信息。由于在SRB1恢复后SRB1是有安全保护的，网络设备通过SIB1传输哈希参数，对***信息进行安全校验，避免终端设备接收到被篡改的***信息，提高了***信息的安全性。

如图6所示，图6是本申请实施例提供的一种通信方法的流程示意图。本申请实施例可以包括如下步骤：

S601，终端设备接收网络设备发送的指示信息，所述指示信息用于指示所述网络设备支持在所述基于安全校验的***信息，其中，***信息可以通过SDT传输。

S602，终端设备向网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

可选的，终端设备可以向网络设备发送RRC小数据传输请求(RRC SDT request)。RRC SDT request可以包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。其中，RRC SDT request是通过SRB0传输的。

其中，第一消息和RRC小数据传输请求可以在同一个消息中，例如，随机接入的消息3，也可以在不同的消息中。

其中，第一***信息可以为MIB或SIB1，所述SIB1可以用于传输其他***信息的调度信息。例如，其他***信息可以为on demand的***信息。

S603，网络设备向核心网设备发送第四请求，所述第四请求包括所述终端设备请求的第一***信息。

其中，第四请求可以为小数据传输上行非接入层消息转移(SDT UL NAS message transfer)消息。核心网设备可以包括AMF实体、安全锚定功能(security anchor function，SEAF)实体等等。

S604，核心网设备对第一***信息进行NAS安全保护，向网络设备发送第四响应。

其中，第四响应包括NAS安全保护的第一***信息。第四响应可以为小数据传输下行非接入层消息转移(SDT DL NAS message transfer)消息。

S605，网络设备向终端设备发送第四消息。

其中，第四消息可以为RRC小数据传输响应(RRC SDT response)。RRC SDT response可以包括NAS安全保护的第一***信息。所述NAS安全保护的第一***信息包含于SDT DL NAS message transfer消息中。

S606，终端设备通过NAS安全，对接收到的第一***信息进行安全校验。

在本申请实施例中，对于RRC IDLE的终端设备，网络设备通过NAS消息传输***信息，终端设备使用NAS安全机制，对***信息进行安全校验，避免了终端设备接收到被篡改的***信息，提高了***信息的安全性。

如图7所示，图7是本申请实施例提供的一种通信方法的流程示意图。本申请实施例可以包括如下步骤：

S701，终端设备接收网络设备发送的指示信息，所述指示信息用于指示所述网络设备支持在所述基于安全校验的***信息，其中，***信息可以通过SDT传输。

S702，终端设备向网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

S703，网络设备向核心网设备发送第五请求。所述第五请求包括原因值，所述原因值为终端设备请求基于安全校验的第一***信息。

其中，第五请求可以为小数据传输上行非接入层消息转移(SDT UL NAS message transfer)消息。核心网设备可以包括AMF实体、安全锚定功能(security anchor function，SEAF)实体等等。

S704，核心网络设备向网络设备发送第五响应。

其中，第五响应可以为接入层(access stratum，AS)安全激活命令。

S705，网络设备向终端设备发送安全激活命令。

S706，终端设备根据AS安全激活命令，激活AS安全。在完成激活AS安全之后，终端设备可以向网络设备发送安全激活完成消息。所述安全激活完成消息用于通知已完成激活AS安全。

S707，终端设备通过激活的AS安全，接收第一***信息。

在本申请实施例中，对于RRC IDLE的终端设备，AS安全是没有被激活的，终端设备可以请求NAS激活AS安全。网络设备通过AS安全对***信息进行安全保护，终端设备通过激活的AS安全对***信息进行安全校验，避免终端设备接收到被篡改的***信息，提高了***信息的安全性。

可以理解的是，上述各个方法实施例中，由终端设备实现的方法和操作，也可以由可用于终端设备的部件(例如芯片或者电路)实现，由网络设备实现的方法和操作，也可以由可用于网络设备的部件(例如芯片或者电路)实现。

上述主要从各个交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如发射端设备或者接收端设备，为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对终端设备或者网络设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以使用硬件的形式实现，也可以使用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。下面以使用对应各个功能划分各个功能模块为例进行说明。

以上，结合图3-图7详细说明了本申请实施例提供的方法。以下，结合图8至图10详细说明本申请实施例提供的通信装置。应理解，装置实施例的描述与方法实施例的描述相互对应，因此，未详细描述的内容可以参见上文方法实施例，为了简洁，这里不再赘述。

请参见图8，图8是本申请实施例提供的一种通信装置的结构示意图。该通信装置可以包括接收模块801、处理模块802和发送模块803。接收模块801和发送模块803可以与外部进行通信，处理模块802用于进行处理，如进行安全校验等。接收模块801和发送模块803还可以称为通信接口、收发单元或收发模块。该接收模块801和发送模块803可以用于执行上文方法实施例中终端设备所执行的动作。

例如：接收模块801和发送模块803也可以称为收发模块或收发单元(包括接收单元和/或发送单元)，分别用于执行上文方法实施例中终端设备发送和接收的步骤。

在一种可能的设计中，该通信装置可实现对应于上文方法实施例中的终端设备执行的步骤或者流程，例如，可以为终端设备，或者配置于终端设备中的芯片或电路。接收模块801和发送模块803用于执行上文方法实施例中终端设备侧的收发相关操作，处理模块802用于执行上文方法实施例中终端设备的处理相关操作。

接收模块801，用于接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验；

发送模块803，用于向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。

可选的，接收模块801，还用于接收所述第二网络设备的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

可选的，所述第一消息为无线资源控制RRC***信息请求消息或专用***信息请求消息。

可选的，接收模块801，还用于接收所述第二网络设备发送的第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的；

处理模块802，用于根据所述安全参数信息，对所述第二消息进行安全校验。

可选的，接收模块801，还用于接收所述第二网络设备发送的所述第一***信息，所述第一***信息是未进行安全保护的。

可选的，接收模块801，还用于接收所述第二网络设备发送的哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；

发送模块803，还用于向所述第二网络设备发送所述第一***信息的哈希值，所述第一***信息的哈希值用于确定终端设备接收到的所述第一***信息是否被篡改。

可选的，接收模块801，还用于接收所述第二网络设备发送的第三消息，所述第三消息是进行安全保护的；

处理模块802，用于根据所述安全保护参数，对所述第三消息进行安全校验。

可选的，所述第三消息包括第三指示信息，所述第三指示信息用于指示所述终端设备接收到的所述第一***信息是否被篡改。

需要说明的是，各个模块的实现还可以对应参照图3-图7所示的方法实施例的相应描述，执行上述实施例中终端设备所执行的方法和功能。

请参见图9，图9是本申请实施例提供的一种通信装置的结构示意图。该通信装置可以包括接收模块901和发送模块902，接收模块901和发送模块902可以与外部进行通信。接收模块901和发送模块902还可以称为通信接口、收发模块或收发单元。该接收模块901和发送模块902可以用于执行上文方法实施例中第二网络设备所执行的动作。

例如：接收模块901和发送模块902也可以称为收发模块或收发单元(包括发送单元和/或接收单元)，分别用于执行上文方法实施例中第二网络设备发送和接收的步骤。

在一种可能的设计中，该通信装置可实现对应于上文方法实施例中的第二网络设备执行的步骤或者流程，例如，可以为第二网络设备，或者配置于第二网络设备中的芯片或电路。接收模块901和发送模块902用于执行上文方法实施例中第二网络设备侧的收发相关操作。

接收模块901，用于接收终端设备发送的第一消息，所述第一消息用于请求基于安全校验的第一***信息；

发送模块902，用于向所述终端设备发送所述第一***信息。

可选的，发送模块902，还用于向所述终端设备发送第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。

可选的，所述第一***信息包含于第二消息中，所述第二消息是进行安全保护的。

可选的，发送模块902，还用于向第一网络设备发送第一请求；接收模块901，还用于接收所述第一网络设备发送的第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据安全参数信息确定的，所述安全保护参数用于对所述第二消息进行安全保护。

可选的，所述第一请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。

可选的，所述第一响应还用于指示进行锚定位。

可选的，发送模块902，还用于向第一网络设备发送第二请求，所述第二请求包括所述第一***信息；

接收模块901，还用于接收所述第一网络设备发送的第二响应，所述第二响应包括所述第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的。

可选的，所述第二请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。

可选的，所述第二响应还用于指示不进行锚定位。

可选的，所述第一***信息没有进行安全保护。

可选的，发送模块902，用于向第一网络设备发送第三请求，所述第三请求用于请求安全校验的哈希参数；

接收模块901，用于接收所述第一网络设备发送的第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。

可选的，所述第三请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。

可选的，所述第三响应还用于指示不进行锚定位。

可选的，发送模块902，用于向所述终端设备发送哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；

所述接收模块901，接收所述终端设备发送的所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。

可选的，所述发送模块902，用于向所述终端设备发送第三消息，所述第三消息是进行安全保护的。

需要说明的是，各个模块的实现还可以对应参照图3-图7所示的方法实施例的相应描述，执行上述实施例中第二网络设备或网络设备所执行的方法和功能。

请参见图10，图10是本申请实施例提供的一种通信装置的结构示意图。该通信装置可以包括获取模块1001和发送模块1002，获取模块1001和发送模块1002可以与外部进行通信。获取模块1001和发送模块1002还可以称为通信接口、收发模块或收发单元。该获取模块1001和发送模块1002可以用于执行上文方法实施例中第一网络设备所执行的动作。

例如：获取模块1001和发送模块1002也可以称为收发模块或收发单元(包括发送单元和/或接收单元)，分别用于执行上文方法实施例中第一网络设备发送和接收的步骤。

在一种可能的设计中，该通信装置可实现对应于上文方法实施例中的第一网络设备执行的步骤或者流程，例如，可以为第一网络设备，或者配置于第一网络设备中的芯片或电路。获取模块1001和发送模块1002用于执行上文方法实施例中第一网络设备侧的收发相关操作。

获取模块1001，用于获取安全参数信息；

发送模块1002，用于向终端设备发送第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。

可选的，所述获取模块1001，还用于接收第二网络设备发送的第一请求；

发送模块1002，还用于向所述第二网络设备发送第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据所述安全参数信息确定的，所述安全保护参数用于对***信息进行安全保护。

可选的，所述第一响应还用于指示进行锚定位。

可选的，所述获取模块1001，还用于接收第二网络设备发送的第二请求，所述第二请求包括所述第一***信息；

所述发送模块1002，还用于向所述第二网络设备发送第二响应，所述第二响应包括第二消息，所述第二消息包括所述第一***信息，所述第二消息是根据所述安全参数信息进行安全保护的。

可选的，所述第二响应还用于指示不进行锚定位。

可选的，所述获取模块1001，还用于接收第二网络设备发送的第三请求，所述第三请求包括请求安全校验的哈希参数；

所述发送模块1002，还用于向所述第二网络设备发送第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。

可选的，所述第三响应还用于指示不进行锚定位。

需要说明的是，各个模块的实现还可以对应参照图3-图7所示的方法实施例的相应描述，执行上述实施例中第一网络设备或网络设备所执行的方法和功能。

图11是本申请实施例提供的一种终端设备的结构示意图。该终端设备可应用于如图1(A)和图1(B)所示的***中，执行上述方法实施例中终端设备的功能，或者实现上述方法实施例中终端设备执行的步骤或者流程。

如图11所示，该终端设备包括处理器1101和收发器1102。可选地，该终端设备还包括存储器1103。其中，处理器1101、收发器1102和存储器1103之间可以通过内部连接通路互相通信，传递控制和/或数据信号，该存储器1103用于存储计算机程序，该处理器1101用于从该存储器1103中调用并运行该计算机程序，以控制该收发器1102收发信号。可选地，终端设备还可以包括天线，用于将收发器1102输出的上行数据或上行控制信令通过无线信号发送出去。

上述处理器1101可以和存储器1103可以合成一个处理装置，处理器1101用于执行存储器1103中存储的程序代码来实现上述功能。具体实现时，该存储器1103也可以集成在处理器1101中，或者独立于处理器1101。该处理器1101可以与图8中的处理模块对应。

上述收发器1102可以与图8中的接收模块和发送模块对应，也可以称为收发单元或收发模块。收发器1102可以包括接收器(或称接收机、接收电路)和发射器(或称发射机、发射电路)。其中，接收器用于接收信号，发射器用于发射信号。

应理解，图11所示的终端设备能够实现图3-图7所示方法实施例中涉及终端设备的各个过程。终端设备中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述处理器1101可以用于执行前面方法实施例中描述的由终端设备内部实现的动作，而收发器1102可以用于执行前面方法实施例中描述的终端设备向网络设备发送或从网络设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

其中，处理器1101可以是中央处理器单元，通用处理器，数字信号处理器，专用集成电路，现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器1101也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理器和微处理器的组合等等。通信总线1104可以是外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图11中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信总线1104用于实现这些组件之间的连接通信。其中，本申请实施例中收发器1102用于与其他节点设备进行信令或数据的通信。存储器1103可以包括易失性存储器，例如非挥发性动态随机存取内存(nonvolatile random access memory，NVRAM)、相变化随机存取内存(phase change RAM，PRAM)、磁阻式随机存取内存(magetoresistive RAM，MRAM)等，还可以包括非易失性存储器，例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、闪存器件，例如反或闪存(NOR flash memory)或是反及闪存(NAND flash memory)、半导体器件，例如固态硬盘(solid state disk，SSD)等。存储器1103可选的还可以是至少一个位于远离前述处理器1101的存储装置。存储器1103中可选的还可以存储一组计算机程序代码或配置信息。可选的，处理器1101还可以执行存储器1103中所存储的程序。处理器可以与存储器和收发器相配合，执行上述申请实施例中终端设备的任意一种方法和功能。

图12是本申请实施例提供的一种第二网络设备的结构示意图。该第二网络设备可应用于如图1(A)和图1(B)所示的***中，执行上述方法实施例中第二网络设备的功能，或者实现上述方法实施例中第二网络设备执行的步骤或者流程。

如图12所示，该第二网络设备包括处理器1201和收发器1202。可选地，该第二网络设备还包括存储器1203。其中，处理器1201、收发器1202和存储器1203之间可以通过内部连接通路互相通信，传递控制和/或数据信号，该存储器1203用于存储计算机程序，该处理器1201用于从该存储器1203中调用并运行该计算机程序，以控制该收发器1202收发信号。可选地，第二网络设备还可以包括天线，用于将收发器1202输出的上行数据或上行控制信令通过无线信号发送出去。

上述处理器1201可以和存储器1203可以合成一个处理装置，处理器1201用于执行存储器1203中存储的程序代码来实现上述功能。具体实现时，该存储器1203也可以集成在处理器1201中，或者独立于处理器1201。

上述收发器1202可以与图9中的接收模块和发送模块对应，也可以称为收发单元或收发模块。收发器1202可以包括接收器(或称接收机、接收电路)和发射器(或称发射机、发射电路)。其中，接收器用于接收信号，发射器用于发射信号。

应理解，图12所示的第二网络设备能够实现图3-图5所示方法实施例中涉及第二网络设备的各个过程、以及实现图6-图7所示方法实施例中涉及网络设备的各个过程。第二网络设备中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述处理器1201可以用于执行前面方法实施例中描述的由第二网络设备内部实现的动作，而收发器1202可以用于执行前面方法实施例中描述的第二网络设备向终端设备发送或从终端设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

其中，处理器1201可以是前文提及的各种类型的处理器。通信总线1204可以是外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信总线1204用于实现这些组件之间的连接通信。其中，本申请实施例中设备的收发器1202用于与其他设备进行信令或数据的通信。存储器1203可以是前文提及的各种类型的存储器。存储器1203可选的还可以是至少一个位于远离前述处理器1201的存储装置。存储器1203中存储一组计算机程序代码或配置信息，且处理器1201执行存储器1203中程序。处理器可以与存储器和收发器相配合，执行上述申请实施例中第二网络设备的任意一种方法和功能。

图13是本申请实施例提供的一种第一网络设备的结构示意图。该第一网络设备可应用于如图1(A)和图1(B)所示的***中，执行上述方法实施例中第一网络设备的功能，或者实现上述方法实施例中第一网络设备执行的步骤或者流程。

如图13所示，该第一网络设备包括处理器1301和收发器1302。可选地，该第一网络设备还包括存储器1303。其中，处理器1301、收发器1302和存储器1303之间可以通过内部连接通路互相通信，传递控制和/或数据信号，该存储器1303用于存储计算机程序，该处理器1301用于从该存储器1303中调用并运行该计算机程序，以控制该收发器1302收发信号。可选地，第一网络设备还可以包括天线，用于将收发器1302输出的上行数据或上行控制信令通过无线信号发送出去。

上述处理器1301可以和存储器1303可以合成一个处理装置，处理器1301用于执行存储器1303中存储的程序代码来实现上述功能。具体实现时，该存储器1303也可以集成在处理器1301中，或者独立于处理器1301。

上述收发器1302可以与图10中的获取模块和发送模块对应，也可以称为收发单元或收发模块。收发器1302可以包括接收器(或称接收机、接收电路)和发射器(或称发射机、发射电路)。其中，接收器用于接收信号，发射器用于发射信号。

应理解，图13所示的第一网络设备能够实现图3-图5所示方法实施例中涉及第一网络设备的各个过程、以及实现图6-图7所示方法实施例中涉及网络设备的各个过程。第一网络设备中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述处理器1301可以用于执行前面方法实施例中描述的由第一网络设备内部实现的动作，而收发器1302可以用于执行前面方法实施例中描述的第一网络设备向终端设备发送或从终端设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

其中，处理器1301可以是前文提及的各种类型的处理器。通信总线1304可以是外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信总线1304用于实现这些组件之间的连接通信。其中，本申请实施例中设备的收发器1302用于与其他设备进行信令或数据的通信。存储器1303可以是前文提及的各种类型的存储器。存储器1303可选的还可以是至少一个位于远离前述处理器1301的存储装置。存储器1303中存储一组计算机程序代码或配置信息，且处理器1301执行存储器1303中程序。处理器可以与存储器和收发器相配合，执行上述申请实施例中第一网络设备的任意一种方法和功能。

本申请实施例还提供了一种芯片***，该芯片***包括处理器，用于支持终端设备或网络设备以实现上述任一实施例中所涉及的功能，例如生成或处理上述方法中所涉及的SDT数据。在一种可能的设计中，所述芯片***还可以包括存储器，所述存储器，用于终端设备或网络设备必要的程序指令和数据。该芯片***，可以由芯片构成，也可以包含芯片和其他分立器件。其中，芯片***的输入和输出，分别对应方法实施例终端设备或网络设备的接收与发送操作。

本申请实施例还提供了一种处理装置，包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是***芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序，当该计算机程序在计算机上运行时，使得该计算机执行图3-图7所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有计算机程序，当该计算机程序在计算机上运行时，使得该计算机执行图3-图7所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种通信***，其包括前述的一个或多个终端设备以及一个或多个网络设备。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

上述各个装置实施例中网络设备与终端设备和方法实施例中的网络设备或终端设备对应，由相应的模块或单元执行相应的步骤，例如接收模块和发送模块(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理模块(处理器)执行。具体模块的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

在本说明书中使用的术语“部件”、“模块”、“***”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在两个或更多个计算机之间。此外，这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地***、分布式***和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它***交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各种说明性逻辑块 (illustrative logical block)和步骤(step)，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种通信方法，其特征在于，所述方法应用于终端设备，所述方法包括：

接收第一网络设备发送的第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验；

向第二网络设备发送第一消息，所述第一消息用于请求基于安全校验的第一***信息。
如权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述第二网络设备的第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。
如权利要求1或2所述的方法，其特征在于，所述第一消息为无线资源控制RRC***信息请求消息或专用***信息请求消息。
如权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

接收所述第二网络设备发送的第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的；

根据所述安全参数信息，对所述第二消息进行安全校验。
如权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

接收所述第二网络设备发送的所述第一***信息，所述第一***信息是未进行安全保护的。
如权利要求5所述的方法，其特征在于，所述终端设备接收所述第二网络设备发送的所述第一***信息之后，还包括：

接收所述第二网络设备发送的哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；

向所述第二网络设备发送所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。
如权利要求5或6所述的方法，其特征在于，所述方法还包括：

接收所述第二网络设备发送的第三消息，所述第三消息是进行安全保护的；

根据所述安全保护参数，对所述第三消息进行安全校验。
如权利要求7所述的方法，其特征在于，所述第三消息包括第三指示信息，所述第三指示信息用于指示所述终端设备接收到的所述第一***信息是否被篡改。
如权利要求7或8所述的方法，其特征在于，当所述终端设备接收到的所述第一***信息被篡改时，所述第三消息包括未被篡改的第一***信息。
一种通信方法，其特征在于，所述方法应用于第二网络设备，所述方法包括：

接收终端设备发送的第一消息，所述第一消息用于请求基于安全校验的第一***信息；

向所述终端设备发送所述第一***信息。
如权利要求10所述的方法，其特征在于，所述方法还包括：

向所述终端设备发送第二指示信息，所述第二指示信息用于指示所述第二网络设备支持所述基于安全校验的***信息。
如权利要求10或11所述的方法，其特征在于，所述第一消息为无线资源控制RRC***信息请求消息或专用***信息请求消息。
如权利要求10-12任一项所述的方法，其特征在于，所述第一***信息包含于第二消息中，所述第二消息是进行安全保护的。
如权利要求13所述的方法，其特征在于，所述方法还包括：

向第一网络设备发送第一请求；

接收所述第一网络设备发送的第一响应，所述第一响应包括安全保护参数，所述安全保护参数为根据安全参数信息确定的，所述安全保护参数用于对所述第二消息进行安全保护。
如权利要求14所述的方法，其特征在于，所述第一请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。
如权利要求14或15所述的方法，其特征在于，所述第一响应还用于指示进行锚定位。
如权利要求13所述的方法，其特征在于，所述方法还包括：

向第一网络设备发送第二请求，所述第二请求包括所述第一***信息；

接收所述第一网络设备发送的第二响应，所述第二响应包括所述第二消息，所述第二消息包括所述第一***信息，所述第二消息是进行安全保护的。
如权利要求17所述的方法，其特征在于，所述第二请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。
如权利要求17或18所述的方法，其特征在于，所述第二响应还用于指示不进行锚定位。
如权利要求10-12任一项所述的方法，其特征在于，所述第一***信息没有进行安全保护。
如权利要求20所述的方法，其特征在于，所述方法还包括：

向第一网络设备发送第三请求，所述第三请求用于请求安全校验的哈希参数；

接收所述第一网络设备发送的第三响应，所述第三响应包括第三消息，所述第三消息包括所述哈希参数。
如权利要求21所述的方法，其特征在于，所述第三请求包括原因值，所述原因值为所述终端设备请求基于安全校验的所述第一***信息，所述原因值用于指示所述第一网络设备确定是否进行锚定位。
如权利要求21或22所述的方法，其特征在于，所述第三响应还用于指示不进行锚定位。
如权利要求20-23任一项所述的方法，其特征在于，所述方法还包括：

向所述终端设备发送哈希安全指令，所述哈希安全指令包括哈希参数，所述哈希参数用于确定所述第一***信息的哈希值；

接收所述终端设备发送的所述第一***信息的哈希值，所述第一***信息的哈希值用于确定所述终端设备接收到的所述第一***信息是否被篡改。
如权利要求20-24任一项所述的方法，其特征在于，所述方法还包括：

向所述终端设备发送第三消息，所述第三消息是进行安全保护的。
如权利要求25所述的方法，其特征在于，所述第三消息包括第三指示信息，所述第三指示信息用于指示所述终端设备接收到的所述第一***信息是否被篡改。
如权利要求25或26所述的方法，其特征在于，当所述终端设备接收到的所述第一***信息被篡改时，所述第三消息包括未被篡改的第一***信息。
一种通信方法，其特征在于，所述方法应用于第一网络设备，所述方法包括：

获取安全参数信息；

向终端设备发送第一指示信息和安全参数信息，所述第一指示信息用于指示允许使用基于安全校验的***信息的获取机制，所述安全参数信息用于对***信息进行安全校验。
一种通信装置，其特征在于，包括处理器和存储器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使得所述装置执行权利要求1-28中任一项所述的方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序，当所述计算机程序在计算机上运行时，使所述计算机执行权利要求1-28中任一项所述的方法。