本申請實施例提供一種數(shù)據(jù)傳輸方法和裝置，所述方法包括：核心網(wǎng)設(shè)備可以向基站發(fā)送基站公鑰對應(yīng)的基站私鑰，基站在向UE發(fā)送廣播消息時，通過基站私鑰簽名得到簽名信息，將簽名信息和基站公鑰攜帶在廣播消息中發(fā)送給UE。通過在廣播消息中攜帶使用基站私鑰簽名的簽名信息和基站公鑰，使得UE根據(jù)該簽名信息和基站公鑰能夠驗證消息是否來自合法基站，從而拒絕偽基站的操作，將基站公鑰攜帶在廣播消息中發(fā)送給UE，能夠避免偽基站故意發(fā)送海量垃圾公鑰耗盡UE的存儲資源，導(dǎo)致UE不可用。

技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種數(shù)據(jù)傳輸方法和裝置。

背景技術(shù)

基站和用戶設(shè)備(User equipment，UE)之間通過空口通信，一方面，UE通過空口發(fā)送給基站的信息中，除了用核心網(wǎng)(Core network，CN)公鑰加密的預(yù)認(rèn)證信息外，還包括需要基站感知的路由信息(例如切片信息或者UE能力信息等)，需要基站感知的路由信息目前沒有做加密，在空口中是明文傳輸，該需要基站感知的路由信息可能會遭受篡改，從而威脅UE或者運營商的安全。另一方面，UE無法識別廣播消息是來自偽基站還是合法基站，從而可能會遭受偽基站的攻擊。因此，需要安全機制保證UE和基站之間空口通信的安全性。

發(fā)明內(nèi)容

本申請實施例提供一種數(shù)據(jù)傳輸方法和裝置，使得UE能夠識別偽基站，避免偽基站對UE的非法操作。

本申請第一方面提供一種數(shù)據(jù)傳輸方法，包括：基站向核心網(wǎng)設(shè)備請求基站公鑰對應(yīng)的基站私鑰，所述基站向UE發(fā)送廣播消息，所述廣播消息中包括簽名信息和所述基站公鑰，所述簽名信息是所述基站通過所述基站私鑰簽名得到的。

一方面，本申請中將PKG功能集成在了已有的核心網(wǎng)設(shè)備中，例如UDM網(wǎng)元，該核心網(wǎng)設(shè)備會生成一對主公鑰MPK和主私鑰MSK，主私鑰安全地存儲在該核心網(wǎng)設(shè)備中，主公鑰安全地發(fā)放給UE。該核心網(wǎng)設(shè)備對認(rèn)證通過的合法基站，根據(jù)其身份標(biāo)識頒發(fā)對應(yīng)的基站私鑰，基站和該核心網(wǎng)設(shè)備可以復(fù)用基站和核心網(wǎng)之間已有的認(rèn)證方式進行雙向認(rèn)證，避免了重復(fù)建設(shè)。

另一方面，基站通過在廣播消息中攜帶使用基站私鑰簽名的簽名信息和基站公鑰，使得UE根據(jù)該簽名信息和基站公鑰能夠驗證消息是否來自合法基站，從而拒絕偽基站的操作，將基站公鑰攜帶在廣播消息中發(fā)送給UE，能夠避免偽基站故意發(fā)送海量垃圾公鑰耗盡UE的存儲資源，導(dǎo)致UE不可用，

一種示例性的方式中，所述廣播消息中包括第一重放參數(shù)，所述第一重放參數(shù)用于UE驗證所述廣播消息是否為重放消息。

基站通過在廣播消息中攜帶重放參數(shù)，使得UE能夠識別接收到的廣播消息是合法基站發(fā)送的，還是偽基站發(fā)送的重放消息，從而能夠避免重放攻擊。

一種示例性的方式中，所述方法還包括：

所述基站接收UE發(fā)送的所述廣播消息的響應(yīng)消息，所述廣播消息的響應(yīng)消息中包括第一加密信息，所述第一加密信息是所述UE根據(jù)所述基站公鑰和存儲的主公鑰對第一信息加密得到的；

所述基站使用所述基站私鑰對所述第一加密信息進行解密，所述基站私鑰是所述核心網(wǎng)設(shè)備根據(jù)所述基站公鑰和主私鑰生成的，所述主公鑰和所述主私鑰是所述核心網(wǎng)設(shè)備生成的一對秘鑰；

如果所述基站使用所述基站私鑰對所述第一加密信息解密失敗，則所述基站丟棄所述廣播消息的響應(yīng)消息。

UE可以使用基站公鑰和主公鑰對廣播消息的響應(yīng)消息中需要基站感知的信息進行加密，可以保證該需要基站感知的信息的安全性，從而避免了由于該需要基站感知的信息被泄露，造成用戶或者運營商的損失?；窘邮盏綇V播消息的響應(yīng)消息后，根據(jù)基站私鑰對加密信息進行解密得到需要感知的信息。

一種示例性的方式中，所述廣播消息的響應(yīng)消息中包括第二重放參數(shù)，所述方法還包括：

所述基站根據(jù)所述第二重放參數(shù)驗證所述廣播消息的響應(yīng)消息是否為重放消息；