WO2020147509A1

WO2020147509A1 - 能力上报、密钥协商方法及装置、终端、通信设备及系统

Info

Publication number: WO2020147509A1
Application number: PCT/CN2019/126746
Authority: WO
Inventors: 余万涛; 谢振华; 彭锦; 游世林
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-01-18
Filing date: 2019-12-19
Publication date: 2020-07-23
Also published as: CN111465019A; EP3913952A1; EP3913952A4; CN111465019B; US20220124493A1

Abstract

本发明实施例提供一种能力上报、密钥协商方法及装置、终端、通信设备及系统，通过终端向通信设备发送防伪基站能力指示信息，该防伪基站能力指示信息能够像通信设备指示终端的防伪基站能力。对于通信设备而言，在获取到终端发送的防伪基站能力指示信息之后，就可以确定出终端的防伪基站能力，进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程，从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪，进而降低伪基站网络攻击的风险，提升终端与基站间通信的安全性，增强用户体验。

Description

能力上报、密钥协商方法及装置、终端、通信设备及系统

技术领域

本发明涉及通信领域，尤其涉及一种能力上报、密钥协商方法及装置、终端、通信设备及系统。

背景技术

为了防止网络攻击，实现对基站的鉴别(authentic)，可以在基站及终端上发放防伪基站密钥，从而使基站利用防伪基站密钥对通信消息或消息中的部分内容进行保护。终端接收到基站发送的消息后，可以依据防伪基站密钥对基站所发送的消息进行鉴别，进而实现对基站进行真伪鉴别。不过，目前网络侧的节点设备并不清楚终端的防伪基站能力，因此，无法基于终端的防伪基站能力进行认证和密钥协商分发。

发明内容

本发明实施例提供的密钥协商方法、装置、终端、通信设备、通信系统，主要解决的技术问题是：通信设备无法了解终端的防伪基站能力，无法基于终端的防伪基站能力进行认证和密钥协商分发。

为解决上述技术问题，本发明实施例提供一种能力上报方法，包括：

向通信设备发送防伪基站能力指示信息，防伪基站能力指示信息用于向通信设备指示本终端的防伪基站能力。

本发明实施例还提供一种密钥协商方法，包括：

获取终端发送的防伪基站能力指示信息，防伪基站能力指示信息用于指示终端的防伪基站能力；

同终端进行与目标基站以及终端二者防伪基站能力相匹配的认证与密钥协商过程，目标基站为终端待接入的基站。

本发明实施例还提供一种能力上报装置，包括：

能力上报模块，设置为向通信设备发送防伪基站能力指示信息，防伪基站能力指示信息用于向通信设备指示本终端的防伪基站能力。

本发明实施例还提供一种密钥协商装置，包括：

能力确定模块，设置为获取终端发送的防伪基站能力指示信息，防伪基站能力指示信息用于指示终端的防伪基站能力；

认证协商模块，设置为同终端进行与目标基站以及终端二者防伪基站能力相匹配的认证与密钥协商过程，目标基站为终端待接入的基站。

本发明实施例还提供一种终端，盖终端包括第一处理器、第一存储器及第一通信总线；

第一通信总线设置为实现第一处理器和第一存储器之间的连接通信；

第一处理器设置为执行第一存储器中存储的一个或者多个程序，以实现上述的能力上报方法的步骤。

本发明实施例还提供一种通信设备，该通信设备包括第二处理器、第二存储器及第二通信总线；

第二通信总线设置为实现第二处理器和第二存储器之间的连接通信；

第二处理器设置为执行第二存储器中存储的一个或者多个程序，以实现上述的密钥协商方法的步骤。

本发明实施例还提供一种通信系统，所述通信系统包括上述的通信设备，以及至少一个上述的终端。

本发明实施例还提供一种存储介质，存储介质存储有能力上报程序和/或密钥协商程序，能力上报程序可被一个或者多个处理器执行，以实现如上的能力上报方法的步骤；密钥协商程序可被一个或者多个处理器执行，以实现如上的密钥协商方法的步骤。

本发明实施例的有益效果是：

根据本发明实施例提供的能力上报、密钥协商方法及装置、终端、通信设备及系统，通过终端向通信设备发送防伪基站能力指示信息，该防伪基站能力指示信息能够像通信设备指示终端的防伪基站能力。对于通信设备而言，在获取到终端发送的防伪基站能力指示信息之后，就可以确定出终端的防伪基站能力，进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程，从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪，进而降低伪基站网络攻击的风险，提升终端与基站间通信的安全性，增强用户体验。

本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本发明说明书中的记载变的显而易见。

附图说明

图1为本发明实施例一中提供的密钥协商方法的一种流程图；

图2为本发明实施例一中提供的终端进行能力上报的一种交互图；

图3为本发明实施例二中提供的能力上报装置的一种结构示意图；

图4为本发明实施例二中提供的密钥协商装置的一种结构示意图；

图5为本发明实施例二中提供的能力上报装置的另一种结构示意图；

图6为本发明实施例三中提供的终端的一种硬件结构示意图；

图7为本发明实施例三中提供的通信设备的一种硬件结构示意图；

图8为本发明实施例三中提供的通信系统的一种结构示意图；

图9为本发明实施例四中提供的移动终端密钥协商流程的一种示意图；

图10为本发明实施例四中提供的移动终端密钥协商流程的另一种示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例一：

3GPP(3rd Generation Partnership Project，第三代合作伙伴计划)制定了各种移动网络的规范，而依据这些规范部署的移动网络也正遭受各种伪基站的攻击，导致攻击能够实施的一大主要原因就是终端无法对基站进行真伪鉴别，从而接受了伪基站发送的各种指示。

为了对基站进行鉴别，必须在基站及终端上发放密钥信息，从而使基站依据这些密钥信息对发送的消息或消息中的部分内容进行保护，从而使得终端可以依据密钥信息对基站发送的消息进行鉴别，进而能够对基站进行真伪鉴别(因为伪基站无法接入移动网络获得这些密钥信息)。

在基站和终端配置防伪基站密钥信息后，由于防伪基站密钥可能采用对称密钥，也可能采用非对称密钥，这使得当终端设备接入网络时，需要启动不同的认证密钥协商过程和防伪基站密钥分发过程。但是，目前终端上报的终端能力信息中没有关于终端是否具有防伪基站能力的指示信息，使得网络侧节点，如AMF(Access Mobility Function，接入和移动管理功能)、SEAF(Security Anchor Function，安全锚点功能)、AUSF(Authentication Server Function，认证服务器功能)和UDM(Unified Data Management，统一数据管理)等不了解终端是否具有防伪基站能力，进而可能导致无法启动与终端和基站的防伪基站能力相匹配的认证和密钥协商分发过程。

为了解决现有技术中通信设备因不了解终端防伪基站能力，从而无法与终端进行与之防伪基站能力相匹配的认证及密钥协商，导致终端容易接入伪基站，受到网络攻击的问题，本实施例提供一种密钥协商方案，该方案包括终端能力上报流程与认证协商流程，其中终端能力上报流程可以通过终端执行能力上报方法实现，而认证协商流程则通过终端和通信设备共同执行密钥协商方法实现，请参见图1示出的流程图：

S102：终端向通信设备发送防伪基站能力指示信息。

防伪基站能力指示可以仅向通信设备指示终端是否具有防伪基站能力，在这种示例当中，终端和通信设备在进行认证和密钥协商时，所采用的密钥体制是预先约定好的。这样，当终端通过防伪基站能力指示信息向通信设备指示自己具有防伪基站能力时，通信设备就可以和该终端采用预先约定的密钥体制进行认证与密钥协商。

在本实施例的另外一些示例当中，防伪基站能力指示信息不仅能向通信设备指示终端是否具有防伪基站能力，而且还能向通信设备指示终端所支持的防伪基站密钥的密钥体制。例如，在一些示例当中，防伪基站能力指示信息中包括密钥体制指示信息，密钥体制指示信息用于指示终端所支持的防伪基站密钥所属的密钥体制，也即密钥体制指示信息可以表征终端所支持的防伪基站密钥是对称密钥还是非对称密钥，当然，在一些情况中，终端可以同时支持对称体制的防伪基站密钥和非对称机制的防伪基站密钥。

在本实施例中，终端可以通过能力指示信息向通信设备指示自身的防伪基站能力：终端将可以表征自己防伪基站能力的防伪基站能力指示信息携带在能力报告消息中发送给通信设备。在本实施例的一种示例当中，能力报告消息可以是指注册请求消息，也可以是指附着请求消息。在本实施例的一些示例当中，终端可以在注册请求消息中携带防伪基站能力指示信息，同时在附着请求消息中也携带防伪基站能力指示信息，也即注册请求消息和附着请求消息均属于能力报告消息。

终端在向通信设备发送能力报告消息之前，需要先确定出自己的防伪基站能力。终端的防伪基站能力可以由程序人员预先设置，也可以由用户控制。例如，在本实施例的一些示例当中，用户可以通过控制“防伪基站开关”来控制终端是否具有防伪基站能力。所以，在本实施中，终端在向通信设备发送能力报告消息之前，还会先根据预配置情况或输入指令确定本终端的防伪基站能力指示信息。

本实施例中所谓的终端可以是指用户设备UE，也可以是指其他支持移动通信的终端设备。而通信设备则可以是指AMF网元、SEAF网元、AUSF网元和UDM网元中的至少一个网络设备。应当理解的是，终端将会通过基站将能力报告消息发送给通信设备，该基站即为终端待接入的目标基站。

在本实施例的一些示例当中，终端向通信设备发送的能力报告消息中不仅包括用于指示终端防伪基站能力的防伪基站能力指示信息，也还包括用于指示其他方面能力的指示信息，而需要使用这些能力指示信息的可能是AUSF网元和UDM网元以外的其他网元，例如AMF网元和/或SEAF网元，所以，终端可以将能力报告消息先发送给AMF网元和SEAF网元中的至少一个，由AMF网元和/或SEAF网元在接收到终端的能力报告消息之后，将防伪基站能力指示信息并发送给AUSF网元和/或UDM网元。请参见图2示出的终端进行能力上报的一种交互示意图：

S202：终端将能力报告消息发送给AMF网元。

终端将能力报告消息发送给AMF网元时，是通过基站进行消息转发的，这里所说的基站即指目标基站。可以理解的是，这里只是以AMF网元为例，在本实施例其他一些示例当中，终端也可以将能力报告消息发送给SEAF网元，或者同时发送给AMF网元和SEAF网元。

S204：AMF网元从能力报告消息提取防伪基站能力指示信息。

在本实施例中，考虑到认证与密钥协商分发过程中，AUSF网元仅需要了解终端的防伪基站能力指示信息，对于能力报告消息中的其他能力指示信息并不关系，因此AMF网元接收到终端发送的能力报告消息之后，可以将能力报告消息中的防伪基站能力指示信息提取出来，并发送给AUSF网元。

S206：AMF网元将防伪基站能力指示信息发送给AUSF网元。

AMF网元从能力报告消息提取出终端的防伪基站能力指示信息后，将该防伪基站能力指示信息发送给AUSF网元。

可以理解的是，在本实施例的其他一些示例当中，AMF网元接收到能力报告消息之后，也可以将能力报告消息直接发送给AUSF网元，让AUSF网元自己从能力报告消息中提取终端的防伪基站能力指示信息。

另外，AMF网元将防伪基站能力指示信息或能力报告消息发送给AUSF网元仅仅是一种示例的情况，在其他一些示例当中，AMF网元也可以将防伪基站能力指示信息或能力报告消息发送给UDM网元。

S104：终端同通信设备进行与目标基站及本终端防伪基站能力相匹配的认证与密钥协商过程。

通信设备接收到终端所发送的能力报告消息之后，可以了解终端的防伪基站能力，然后基于终端的防伪基站能力以及目标基站的防伪基站能力同该终端进行对应的认证及密钥协商过程。可以理解的是，通信设备与终端之间进行认证及密钥协商过程是与该终端防伪基站能力及目标基站防伪基站能力相匹配的认证及密钥协商过程。

例如，如果终端的防伪基站能力指示信息表征该终端支持对称体制的防伪基站密钥，同时，目标基站也支持对称体制的防伪基站密钥，则当该终端接入并附着网络时或进行小区重选时，通信设备将启动与对称防伪基站密钥相应的认证和密钥协商分发过程。在这种情况下，二者所协商出的防伪基站密钥就是对称体制的防伪基站密钥。

例如，如果终端的防伪基站能力指示信息表征该终端支持非对称体制的防伪基站密钥，同时，目标基站也支持非对称体制的防伪基站密钥，则当该终端接入网络时或进行小区重选时，通信设备将启动与非对称防伪基站密钥相应的认证和密钥协商分发过程。在这种情况下，二者所协商出的防伪基站密钥就是非对称体制的防伪基站密钥。

终端的防伪基站能力与目标基站的防伪基站能力可以相同，也可以不同，例如，在一些示例当中，终端仅支持两种密钥体制中的一种，而目标基站可以同时支持两种密钥体制。在另外一些示例当中，终端可以同时支持两种密钥体制，而目标基站仅支持两种密钥体制中的一种。在这种情况下，通信设备开启认证和密钥协商分发过程时，可以选择进行终端和目标基站均支持的密钥体制对应的认证和密钥协商分发过程。但如果终端和目标基站仅支持某一种体制的防伪基站密钥，且二者所支持的密钥体制不同，则通信设备可以按照现有的方式启动认证和密钥协商过程。

毫无疑义的是，在通信设备在与终端进行认证与密钥协商过程之前，不仅需要根据终端的防伪基站能力指示信息确定终端的防伪基站能力，也要确定出目标基站的防伪基站能力。可以理解的是，在通信设备侧，可以预先存储由其所属运营商所部署的各基站的防伪基站能力指示信息，当获取到终端的防伪基站能力指示信息之后，通信设备可以基于能力报告消息确定出终端对应的目标基站，然后查询出目标基站的防伪基站能力指示信息，进而确定目标基站的防伪基站能力。

本发明实施例提供的能力上报方法及密钥协商方法中，终端可以通过防伪基站能力指示信息将自己的防伪基站能力上报给通信设备，让通信设备可以根据防伪基站能力指示信息了解到终端的防伪基站能力，进而在与终端进行认证与密钥协商的时候，进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程，从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪，降低了终端接入伪基站的概率，增强了终端与基站间通信的安全性，提升了终端侧的用户体验。

实施例二：

本实施例将提供一种能力上报装置，该能力上报装置可以应用于终端侧，例如，该能力上报装置可以部署在终端上，以实现终端向通信设备上报防伪基站能力的目的。请参见图3示出的该能力上报装置的一种结构示意图：

能力上报装置30包括能力上报模块302，能力上报模块302设置为向通信设备发送防伪基站能力指示信息。

本实施例还提供一种密钥协商装置，请参见图4示出的密钥协商装置的一种结构示意图：

密钥协商装置40包括能力确定模块402以及认证协商模块404，其中，能力确定模块402设置为获取终端发送的防伪基站能力指示信息，而认证协商模块404设置为同终端进行与目标基站以及终端二者防伪基站能力相匹配的认证与密钥协商过程。

可以理解的是，能力上报装置30在向通信设备发送防伪基站能力指示信息之前，需要先确定出终端的防伪基站能力，所以，在本实施例中，能力上报装置30中也还可以包括能力确定模块。另外，终端在能力上报装置30向通信设备上报防伪基站能力指示信息后，还需要与该通信设备进行认证与密钥协商，因此，在本实施例的一些示例当中，如图5所示，能力上报装置30中还可以包括密钥协商模块304。

在本实施例中，部署在终端侧的能力上报装置30中，能力上报模块302的功能可以由终端的处理器与通信单元共同实现，当能力上报装置30中包括密钥协商模块304时，密钥协商模块304的功能也可以由终端的处理器与通信单元共同实现。

而密钥协商装置40则可以部署在通信设备上，能力确定模块402以及认证协商模块404的功能均可以通过通信设备的处理器与通信单元共同实现。

防伪基站能力指示可以仅向通信设备指示终端是否具有防伪基站能力，在这种示例当中，能力上报装置30的密钥协商模块304和密钥协商装置40的认证协商模块404在进行认证和密钥协商时，所采用的密钥体制是预先约定好的。这样，当能力上报模块202通过防伪基站能力指示信息向通信设备指示终端具有防伪基站能力时，密钥协商模块304就可以和认证协商模块404采用预先约定的密钥体制进行认证与密钥协商。

在本实施例的另外一些示例当中，防伪基站能力指示信息不仅能指示终端是否具有防伪基站能力，而且还能指示终端所支持的防伪基站密钥的密钥体制。例如，在一些示例当中，防伪基站能力指示信息中包括密钥体制指示信息，密钥体制指示信息可以表征终端所支持的防伪基站密钥所属的密钥体制，例如，终端支持或采用的是对称密钥还是非对称密钥，当然，在一些情况中，终端可以同时支持对称体制的防伪基站密钥和非对称机制的防伪基站密钥。

在本实施例中，能力上报模块302可以通过能力指示信息向通信设备指示终端的防伪基站能力：能力上报模块302将可以表征终端防伪基站能力的防伪基站能力指示信息携带在能力报告消息中发送给通信设备。在本实施例的一种示例当中，能力报告消息可以是指注册请求消息，也可以是指附着请求消息。在本实施例的一些示例当中，能力上报模块302可以在注册请求消息中携带防伪基站能力指示信息，同时在附着请求消息中也携带防伪基站能力指示信息，也即注册请求消息和附着请求消息均属于能力报告消息。

能力上报模块302在向密钥协商装置40发送能力报告消息之前，需要先确定出自己的防伪基站能力。终端的防伪基站能力可以由程序人员预先设置，也可以由用户控制。例如，在本实施例的一些示例当中，用户可以通过控制“防伪基站开关”来控制终端是否具有防伪基站能力。所以，在本实施中，终端在向密钥协商装置40发送能力报告消息之前，还会先根据预配置情况或输入指令确定终端的防伪基站能力指示信息。

本实施例中所谓的终端可以是指用户设备UE，也可以是指其他支持移动通信的终端设备。而密钥协商装置40所在的通信设备则可以是指部署有AUSF网元和UDM网元中的至少一个的网络设备。应当理解的是，终端将会通过基站将能力报告消息发送给通信设备，该基站即为终端待接入的目标基站。

在本实施例的一些示例当中，能力上报模块302向密钥协商装置40发送的能力报告消息中包括用于指示终端防伪基站能力的防伪基站能力指示信息，也还包括用于指示其他方面能力的指示信息，而需要使用这些能力指示信息的可能是AUSF网元和UDM网元以外的其他网元，例如AMF网元和/或SEAF网元，所以，能力上报模块302可以将能力报告消息先发送给AMF网元和SEAF网元中的至少一个，由AMF网元和/或SEAF网元在接收到能力上报模块302的能力报告消息之后，将防伪基站能力指示信息并发送给AUSF网元和/或UDM网元。

可选地，能力上报模块302将能力报告消息发送给AMF网元时，是通过基站进行消息转发的，这里所说的基站即指目标基站。可以理解的是，这里只是以AMF网元为例，在本实施例其他一些示例当中，能力上报模块302也可以将能力报告消息发送给SEAF网元，或者同时发送给AMF网元和SEAF网元。

密钥协商装置40的能力确定模块402可以根据能力上报模块302发送的防伪基站能力指示信息确定终端的防伪基站能力：接收到能力上报模块302所发送的能力报告消息之后，能力确定模块402可以了解终端的防伪基站能力，然后由认证协商模块404基于终端的防伪基站能力以及目标基站的防伪基站能力同该终端进行对应的认证及密钥协商过程。可以理解的是，认证协商模块404与终端之间进行认证及密钥协商过程是与该终端防伪基站能力及目标基站防伪基站能力相匹配的认证及密钥协商过程。

例如，如果终端的防伪基站能力指示信息表征该终端支持对称体制的防伪基站密钥，同时，目标基站也支持对称体制的防伪基站密钥，则当该终端接入并附着网络时或进行小区重选时，认证协商模块404将启动与对称防伪基站密钥相应的认证和密钥协商分发过程。在这种情况下，二者所协商出的防伪基站密钥就是对称体制的防伪基站密钥。

例如，如果终端的防伪基站能力指示信息表征该终端支持非对称体制的防伪基站密钥，同时，目标基站也支持非对称体制的防伪基站密钥，则当该终端接入网络时或进行小区重选时，认证协商模块404将启动与非对称防伪基站密钥相应的认证和密钥协商分发过程。在这种情况下，二者所协商出的防伪基站密钥就是非对称体制的防伪基站密钥。

终端的防伪基站能力与目标基站的防伪基站能力可以相同，也可以不同，例如，在一些示例当中，终端仅支持两种密钥体制中的一种，而目标基站可以同时支持两种密钥体制。在另外一些示例当中，终端可以同时支持两种密钥体制，而目标基站仅支持两种密钥体制中的一种。在这种情况下，认证协商模块404开启认证和密钥协商分发过程时，可以选择进行终端和目标基站均支持的密钥体制对应的认证和密钥协商分发过程。但如果终端和目标基站仅支持某一种体制的防伪基站密钥，且二者所支持的密钥体制不同，则认证协商模块404可以按照现有的方式启动认证和密钥协商分发过程。

毫无疑义的是，在认证协商模块404在与终端进行认证与密钥协商过程之前，不仅需要根据终端的防伪基站能力指示信息确定终端的防伪基站能力，也要确定出目标基站的防伪基站能力。可以理解的是，在密钥协商装置40，可以预先存储由其所属运营商所部署的各基站的防伪基站能力指示信息，当获取到终端的防伪基站能力指示信息之后，密钥协商装置40可以基于能力报告消息确定出终端对应的目标基站，然后查询出目标基站的防伪基站能力指示信息，进而确定目标基站的防伪基站能力。

本发明实施例提供的能力上报装置可以通过防伪基站能力指示信息将终端的防伪基站能力上报给密钥协商装置，让密钥协商装置可以根据防伪基站能力指示信息了解到终端的防伪基站能力，进而在与终端进行认证与密钥协商的时候，进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程，从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪，降低了终端接入伪基站的概率，增强了终端与基站间通信的安全性，提升了终端侧的用户体验。

实施例三：

本实施例提供一种存储介质，该存储介质中可以存储有一个或多个可供一个或多个处理器读取、编译并执行的计算机程序，在本实施例中，该存储介质可以存储有能力上报程序和密钥协商程序中的一个，其中，能力上报程序可供一个或多个处理器执行实现前述实施例中介绍的任意一种能力上报方法。密钥协商程序可供一个或多个处理器执行实现前述实施例中介绍的任意一种密钥协商方法。

本实施例中还提供一种终端，请参见图6：终端60包括第一处理器61、第一存储器62以及用于连接第一处理器61与第一存储器62的第一通信总线63，其中第一存储器62可以为前述存储有能力上报程序的存储介质：

第一处理器61可以向通信设备发送防伪基站能力指示信息，该防伪基站能力指示信息用于向通信设备指示本终端60的防伪基站能力。

本实施例中还提供一种通信设备，如图7所示：通信设备70包括第二处理器71、第二存储器72以及用于连接第二处理器71与第二存储器72的第二通信总线73，其中第二存储器72可以为前述存储有密钥协商程序的存储介质：

第二处理器71获取终端发送的防伪基站能力指示信息，然后同终端进行与目标基站以及终端二者防伪基站能力相匹配的认证与密钥协商过程，这里所谓的目标基站是指终端待接入的基站。

终端60实现能力上报方法的细节，以及通信设备70实现密钥协商方法的细节可以参见前述实施例的介绍，这里不再赘述。

本实施例还提供一种通信系统，请参见图8，该通信系统8包括通信设备70以及至少一个终端60，可以理解的是，在本实施例的其他一些示例当中，通信系统8当中也可以同时包括多个通信设备70以及多个终端60，各终端60可以实现前述实施例中介绍的能力上报方法，而通信设备70则可以实现前述实施例中介绍的密钥协商方法。通过终端60和通信设备70的相互配合，使得通信系统8中通信设备70可以了解终端60的防伪基站能力，进而在同终端60进行认证及密钥协商时，使得认证及密钥协商过程契合终端60及对应目标基站的防伪基站能力。

本发明实施例提供的通信系统，通过终端向通信设备发送防伪基站能力指示信息，该防伪基站能力指示信息能够像通信设备指示终端的防伪基站能力。对于通信设备而言，在获取到终端发送的防伪基站能力指示信息之后，就可以确定出终端的防伪基站能力，进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程，从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪，进而降低伪基站网络攻击的风险，提升终端与基站间通信的安全性，增强用户体验。

实施例四：

为了使本领域技术人员更清楚密钥协商方案的优点与细节，本实施例将结合示例继续对前述实施例中提供的能力上报、密钥协商方法及终端、通信设备及通信系统作进一步说明：

这里假定终端为移动终端，而通信设备则是部署有AUSF网元和/或UDM网元(以下简称“AUSF/UDM”)的节点设备，另外，在本实施例中，移动终端能力上报、认证与密钥协商过程还涉及到AMF网元和/或SEAF网元(以下简称“AMF/SEAF”)：

移动终端可以配置支持防伪基站的功能。在本实施例中，移动终端设备可以预配置为支持防伪基站，也可以由用户通过移动终端设备用户界面将移动终端设备设置为支持防伪基站。

在本实施例中，支持防伪基站的移动终端获得防伪基站密钥后即可以基于获得的防伪基站密钥与本实施例支持防伪基站的基站一起实现防伪基站功能。

在本实施例中，支持防伪基站的移动终端，可以支持对称密钥体制的防伪基站密钥，也可以支持非对称密钥体制的防伪基站密钥，或者同时支持对称密钥体制的防伪基站密钥和非对称密钥体制的防伪基站密钥。移动终端的防伪基站能力可以作为一种终端能力，用防伪基站能力信息来标识。移动终端的防伪基站能力信息和基站的防伪基站能力信息可以相同，也可以不同。

在本实施例中，移动终端设备的防伪基站能力信息信息用以标识移动终端的防伪基站能力。可选地，移动终端的防伪基站能力信息可以用以识别移动终端支持或采用的防伪基站密钥是对称密钥、非对称密钥，还是同时支持或采用对称密钥和非对称密钥。

在本实施例中，具有防伪基站功能的移动终端的防伪基站密钥采用对称密钥时，当移动终端接入并附着网络时或进行小区重选时，将启动与对称防伪基站密钥相应的认证和密钥协商分发过程。

在本实施例中，具有防伪基站功能的移动终端的防伪基站密钥采用非对称密钥时，当移动终端接入网络或进行小区重选时，将启动与非对称防伪基站密钥相应的认证和密钥协商分发过程。

在本实施例中移动终端可以是用户设备UE，也可以是其他支持移动通信的终端设备。

在本实施例中，基站(即终端待接入的目标基站)可以配置支持防伪基站的功能，支持防伪基站的基站获得防伪基站密钥后即可以基于获得的防伪基站密钥与本实施例支持防伪基站的移动终端一起实现防伪基站功能。基站的防伪基站能力可以作为一种基站能力，用防伪基站能力信息来标识。

在本实施例中，支持防伪基站的基站，可以支持对称密钥体制的防伪基站密钥，也可以支持非对称密钥体制的防伪基站密钥，或者同时支持对称密钥体制的防伪基站密钥和非对称密钥体制的防伪基站密钥。

在本实施例中，基站的防伪基站能力信息用以标识基站的防伪基站能力。可选地，基站的防伪基站能力信息可以用以识别基站支持或采用的防伪基站密钥是对称密钥、非对称密钥，还是同时支持或采用对称密钥和非对称密钥。

在本实施例中，具有防伪基站功能的基站的防伪基站密钥采用对称密钥时，当支持具有与基站相同防伪基站能力的的移动终端接入并附着网络时或进行小区重选时，将启动与对称防伪基站密钥相应的认证和密钥协商分发过程。

在本实施例中，具有防伪基站功能的基站的防伪基站密钥采用非对称密钥时，当支持具有与基站相同防伪基站能力的移动终端接入网络或进行小区重选时，将启动与非对称防伪基站密钥相应的认证和密钥协商分发过程。

在本实施例中，基站可以检测并识别移动终端的防伪基站能力信息。

在本实施例的第一方面，在移动终端配置为支持防伪基站，或者用户通过用户界面将移动终端设置为支持防伪基站，并且在基站配置为支持防伪基站的情况下，当移动终端设备接入并附着网络时或进行小区重选时，图9为本实施例提供的移动终端密钥协商流程的一种示意图，具体流程包括：

S902：移动终端向AMF/SEAF发送注册请求消息。

这里的注册请求消息中携带移动终端的防伪基站能力信息，可以理解的是，注册请求消息也可以采用附着请求消息替代。

S904：AMF/SEAF向AUSF/UDM发送认证请求消息。

AMF/SEAF接收到注册请求消息后，将注册请求消息中的防伪基站能力信息提取出来，依据该防伪基站能力信息生成针对移动终端的认证请求消息发送给AUSF/UDM。

S906：AUSF/UDM确定移动终端和基站的防伪基站能力。

AUSF/UDM基于认证请求消息确定移动终端的防伪基站能力，并确定基站的防伪基站能力。

S908：AUSF/UDM启动与移动终端、基站防伪基站能力信息相匹配的认证和密钥协商过程。

在本实施例的第二方面，在移动终端设备预设值为支持防伪基站，或者用户通过用户界面将移动终端设置为支持防伪基站，并且在基站不支持防伪基站的情况下，当移动终端设备接入并附着网络时或进行小区重选时，图10为本实施例提供的移动终端密钥协商流程的另一种示意图，具体流程包括：

S1002：移动终端向AMF/SEAF发送注册请求消息。

S1004：AMF/SEAF向AUSF/UDM发送认证请求消息。

S1006：AUSF/UDM确定移动终端和基站的防伪基站能力。

S1008：AUSF/UDM启动无防伪基站能力信息相匹配的认证和密钥协商过程。

由于基站不支持防伪基站，AUSF/UDM直接启动无防伪基站功能的认证和密钥协商分发过程。

S1010：AMF/SEAF向终端发送拒绝注册信息。

可选的，在基站不支持防伪基站的情况下，网络侧节点如AMF/SEAF可以直接拒绝、丢弃或不响应移动终端的注册请求。在本实施例的另外一些示例中，AMF/SEAF可以向终端反馈拒绝注册信息，拒绝注册信息中包含拒绝注册的原因，如基站不支持防伪基站功能。

显然，本领域的技术人员应该明白，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM,ROM,EEPROM、闪存或其他存储器技术、CD-ROM，数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。所以，本发明不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims

一种能力上报方法，包括：

向通信设备发送防伪基站能力指示信息，所述防伪基站能力指示信息用于向所述通信设备指示本终端的防伪基站能力。
如权利要求1所述的能力上报方法，其中，所述向通信设备发送防伪基站能力指示信息包括：

向所述通信设备发送携带防伪基站能力指示信息的能力报告消息，所述能力报告消息包括注册请求消息、附着请求消息中的至少一种。
如权利要求2所述的能力上报方法，其中，所述向所述通信设备发送携带防伪基站能力指示信息的能力报告消息包括：

将所述能力报告消息发送给接入和移动管理功能AMF网元和安全锚点功能SEAF网元中的至少一个。
如权利要求1-3任一项所述的能力上报方法，其中，所述防伪基站能力指示信息包括密钥体制指示信息，所述密钥体制指示信息用于向所述通信设备指示本终端所支持的防伪基站密钥所属的密钥体制。
根据权利要求4所述的能力上报方法，其中，本终端支持或采用的防伪基站密钥的密钥体制包括：对称密钥，或者，非对称密钥，或者，对称密钥和非对称密钥。
一种密钥协商方法，包括：

获取终端发送的防伪基站能力指示信息，所述防伪基站能力指示信息用于指示所述终端的防伪基站能力；

同所述终端进行与目标基站以及所述终端二者防伪基站能力相匹配的认证与密钥协商过程，所述目标基站为所述终端待接入的基站。
如权利要求6所述的密钥协商方法，其中，所述获取终端发送的防伪基站能力指示信息包括：

从所述终端发送的能力报告消息中获取所述终端的防伪基站能力指示信息，所述能力报告消息包括注册请求消息、附着请求消息中的至少一种。
如权利要求7所述的密钥协商方法，其中，所述从所述终端发送的能力报告消息中获取所述终端的防伪基站能力指示信息包括：

接收AMF网元和SEAF网元中的至少一个发送所述终端的防伪基站能力指示信息，所述AMF网元和SEAF网元中的至少一个根据所述终端所发送的能力报告消息确定所述终端的防伪基站能力指示信息。
如权利要求6-8任一项所述的密钥协商方法，其中，所述防伪基站能力指示信息包括密钥体制指示信息，所述密钥体制指示信息用于指示所述终端所支持的防伪基站密钥所属的密钥体制。
根据权利要求9所述的密钥协商方法，其中，所述终端支持或采用的防伪基站密钥的密钥体制包括：对称密钥，或者，非对称密钥，或者，对称密钥和非对称密钥。
如权利要求10所述的密钥协商方法，其中，所述同所述终端进行与目标基站以及所述终端二者防伪基站能力相匹配的认证与密钥协商过程包括：

若所述终端与所述目标基站均支持对称防伪基站密钥，则与所述终端进行与对称防伪基站密钥相应的认证和密钥协商过程；

若所述终端与所述目标基站均支持非对称防伪基站密钥，则与所述终端进行与非对称防伪基站密钥相应的认证和密钥协商过程。
一种能力上报装置，包括：

能力上报模块，设置为向通信设备发送防伪基站能力指示信息，所述防伪基站能力指示信息用于向所述通信设备指示本终端的防伪基站能力。
一种密钥协商装置，包括：

能力确定模块，设置为获取终端发送的防伪基站能力指示信息，所述防伪基站能力指示信息用于指示所述终端的防伪基站能力；

认证协商模块，设置为同所述终端进行与目标基站以及所述终端二者防伪基站能力相匹配的认证与密钥协商，所述目标基站为所述终端待接入的基站。
一种终端，所述终端包括第一处理器、第一存储器及第一通信总线；

所述第一通信总线设置为实现第一处理器和第一存储器之间的连接通信；

所述第一处理器设置为执行第一存储器中存储的一个或者多个程序，以实现如权利要求1至5中任一项所述的能力上报方法的步骤。
一种通信设备，所述通信设备包括第二处理器、第二存储器及第二通信总线；

所述第二通信总线设置为实现第二处理器和第二存储器之间的连接通信；

所述第二处理器设置为执行第二存储器中存储的一个或者多个程序，以实现如权利要求6至11中任一项所述的密钥协商方法的步骤。
如权利要求15所述的通信设备，所述通信设备上部署有AUSF网元和UDM网元中的至少一个。
一种通信系统，其中，所述通信系统包括如权利要求15或16所述的通信设备，以及至少一个如权利要求14所述的终端