本发明专利技术实施例提供一种能力上报、密钥协商方法及装置、终端、通信设备及系统,通过终端向通信设备发送防伪基站能力指示信息,该防伪基站能力指示信息能够像通信设备指示终端的防伪基站能力。对于通信设备而言,在获取到终端发送的防伪基站能力指示信息之后,就可以确定出终端的防伪基站能力,进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程,从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪,进而降低伪基站网络攻击的风险,提升终端与基站间通信的安全性,增强用户体验。
【技术实现步骤摘要】
能力上报、密钥协商方法及装置、终端、通信设备及系统
本专利技术涉及通信领域,尤其涉及一种能力上报、密钥协商方法及装置、终端、通信设备及系统。
技术介绍
为了防止网络攻击,实现对基站的鉴别(authentic),可以在基站及终端上发放防伪基站密钥,从而使基站利用防伪基站密钥对通信消息或消息中的部分内容进行保护。终端接收到基站发送的消息后,可以依据防伪基站密钥对基站所发送的消息进行鉴别,进而实现对基站进行真伪鉴别。不过,目前网络侧的节点设备并不清楚终端的防伪基站能力,因此,无法基于终端的防伪基站能力进行认证和密钥协商分发。
技术实现思路
本专利技术实施例提供的密钥协商方法、装置、终端、通信设备、通信系统,主要解决的技术问题是:通信设备无法了解终端的防伪基站能力,无法基于终端的防伪基站能力进行认证和密钥协商分发。为解决上述技术问题,本专利技术实施例提供一种能力上报方法,包括:向通信设备发送防伪基站能力指示信息,防伪基站能力指示信息用于向通信设备指示本终端的防伪基站能力。本专利技术实施例还提供一种密钥协商方法,包括:获取终端发送的防伪基站能力指示信息,防伪基站能力指示信息用于指示终端的防伪基站能力;同终端进行与目标基站以及终端二者防伪基站能力相匹配的认证与密钥协商过程,目标基站为终端待接入的基站。本专利技术实施例还提供一种能力上报装置,包括:能力上报模块,用于向通信设备发送防伪基站能力指示信息,防伪基站能力指示信息用于向通信设备指示本终端的防伪基站能力。本专利技术实施例还提供一种密钥协商装置,包括:能力确定模块,用于获取终端发送的防伪基站能力指示信息,防伪基站能力指示信息用于指示终端的防伪基站能力;认证协商模块,用于同终端进行与目标基站以及终端二者防伪基站能力相匹配的认证与密钥协商过程,目标基站为终端待接入的基站。本专利技术实施例还提供一种终端,盖终端包括第一处理器、第一存储器及第一通信总线;第一通信总线用于实现第一处理器和第一存储器之间的连接通信;第一处理器用于执行第一存储器中存储的一个或者多个程序,以实现上述的能力上报方法的步骤。本专利技术实施例还提供一种通信设备,该通信设备包括第二处理器、第二存储器及第二通信总线;第二通信总线用于实现第二处理器和第二存储器之间的连接通信;第二处理器用于执行第二存储器中存储的一个或者多个程序,以实现上述的密钥协商方法的步骤。本专利技术实施例还提供一种通信系统,其特征在于,通信系统包括上述的通信设备,以及至少一个上述的终端。本专利技术实施例还提供一种存储介质,存储介质存储有能力上报程序和/或密钥协商程序,能力上报程序可被一个或者多个处理器执行,以实现如上的能力上报方法的步骤;密钥协商程序可被一个或者多个处理器执行,以实现如上的密钥协商方法的步骤。本专利技术的有益效果是:根据本专利技术实施例提供的能力上报、密钥协商方法及装置、终端、通信设备及系统,通过终端向通信设备发送防伪基站能力指示信息,该防伪基站能力指示信息能够像通信设备指示终端的防伪基站能力。对于通信设备而言,在获取到终端发送的防伪基站能力指示信息之后,就可以确定出终端的防伪基站能力,进行与该终端防伪基站能力以及目标基站防伪基站能力相匹配的认证与密钥协商过程,从而协商出同终端及目标基站防伪基站能力相匹配的防伪基站密钥供二者通信时进行基站防伪,进而降低伪基站网络攻击的风险,提升终端与基站间通信的安全性,增强用户体验。本专利技术其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本专利技术说明书中的记载变的显而易见。附图说明图1为本专利技术实施例一中提供的密钥协商方法的一种流程图;图2为本专利技术实施例一中提供的终端进行能力上报的一种交互图;图3为本专利技术实施例二中提供的能力上报装置的一种结构示意图;图4为本专利技术实施例二中提供的密钥协商装置的一种结构示意图;图5为本专利技术实施例二中提供的能力上报装置的另一种结构示意图;图6为本专利技术实施例三中提供的终端的一种硬件结构示意图;图7为本专利技术实施例三中提供的通信设备的一种硬件结构示意图;图8为本专利技术实施例三中提供的通信系统的一种结构示意图;图9为本专利技术实施例四中提供的移动终端密钥协商流程的一种示意图;图10为本专利技术实施例四中提供的移动终端密钥协商流程的另一种示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本专利技术实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。实施例一:3GPP(3rdGenerationPartnershipProject,第三代合作伙伴计划)制定了各种移动网络的规范,而依据这些规范部署的移动网络也正遭受各种伪基站的攻击,导致攻击能够实施的一大主要原因就是终端无法对基站进行真伪鉴别,从而接受了伪基站发送的各种指示。为了对基站进行鉴别,必须在基站及终端上发放密钥信息,从而使基站依据这些密钥信息对发送的消息或消息中的部分内容进行保护,从而使得终端可以依据密钥信息对基站发送的消息进行鉴别,进而能够对基站进行真伪鉴别(因为伪基站无法接入移动网络获得这些密钥信息)。在基站和终端配置防伪基站密钥信息后,由于防伪基站密钥可能采用对称密钥,也可能采用非对称密钥,这使得当终端设备接入网络时,需要启动不同的认证密钥协商过程和防伪基站密钥分发过程。但是,目前终端上报的终端能力信息中没有关于终端是否具有防伪基站能力的指示信息,使得网络侧节点,如AMF(AccessMobilityFunction,接入和移动管理功能)、SEAF(SecurityAnchorFunction,安全锚点功能)、AUSF(AuthenticationServerFunction,认证服务器功能)和UDM(UnifiedDataManagement,统一数据管理)等不了解终端是否具有防伪基站能力,进而可能导致无法启动与终端和基站的防伪基站能力相匹配的认证和密钥协商分发过程。为了解决现有技术中通信设备因不了解终端防伪基站能力,从而无法与终端进行与之防伪基站能力相匹配的认证及密钥协商,导致终端容易接入伪基站,受到网络攻击的问题,本实施例提供一种密钥协商方案,该方案包括终端能力上报流程与认证协商流程,其中终端能力上报流程可以通过终端执行能力上报方法实现,而认证协商流程则通过终端和通信设备共同执行密钥协商方法实现,请参见图1示出的流程图:S102:终端向通信设备发送防伪基站能力指示信息。防伪基站能力指示可以仅向通信设备指示终端是否具有防伪基站能力,在这种示例当中,终端和通信设备在进行认证和密钥协商时,所采用的密钥体制是预先约定好的。这样,当终端通过防伪基站能力指示信息向通信设备指示自己具有防伪基站能力时,通信设备就可以和该终端采用预先约定的密本文档来自技高网...
【技术保护点】
1.一种能力上报方法,包括:/n向通信设备发送防伪基站能力指示信息,所述防伪基站能力指示信息用于向所述通信设备指示本终端的防伪基站能力。/n
【技术特征摘要】
1.一种能力上报方法,包括:
向通信设备发送防伪基站能力指示信息,所述防伪基站能力指示信息用于向所述通信设备指示本终端的防伪基站能力。
2.如权利要求1所述的能力上报方法,其特征在于,所述向通信设备发送防伪基站能力指示信息包括:
向所述通信设备发送携带防伪基站能力指示信息的能力报告消息,所述能力报告消息包括注册请求消息、附着请求消息中的至少一种。
3.如权利要求2所述的能力上报方法,其特征在于,所述向所述通信设备发送携带防伪基站能力指示信息的能力报告消息包括:
将所述能力报告消息发送给接入和移动管理功能AMF网元和安全锚点功能SEAF网元中的至少一个。
4.如权利要求1-3任一项所述的能力上报方法,其特征在于,所述防伪基站能力指示信息包括密钥体制指示信息,所述密钥体制指示信息用于向所述通信设备指示本终端所支持的防伪基站密钥所属的密钥体制。
5.根据权利要求4所述的能力上报方法,其特征在于,本终端支持或采用的防伪基站密钥的密钥体制包括:对称密钥,或者,非对称密钥,或者,对称密钥和非对称密钥。
6.一种密钥协商方法,包括:
获取终端发送的防伪基站能力指示信息,所述防伪基站能力指示信息用于指示所述终端的防伪基站能力;
同所述终端进行与目标基站以及所述终端二者防伪基站能力相匹配的认证与密钥协商过程,所述目标基站为所述终端待接入的基站。
7.如权利要求6所述的密钥协商方法,其特征在于,所述获取终端发送的防伪基站能力指示信息包括:
从所述终端发送的能力报告消息中获取所述终端的防伪基站能力指示信息,所述能力报告消息包括注册请求消息、附着请求消息中的至少一种。
8.如权利要求7所述的密钥协商方法,其特征在于,所述从所述终端发送的能力报告消息中获取所述终端的防伪基站能力指示信息包括:
接收AMF网元和SEAF网元中的至少一个发送所述终端的防伪基站能力指示信息,所述AMF网元和SEAF网元中的至少一个根据所述终端所发送的能力报告消息确定所述终端的防伪基站能力指示信息。
9.如权利要求6-8任一项所述的密钥协商方法,其特征在于,所述防伪基站能力指示信息包括密钥体制指...
【专利技术属性】
技术研发人员:余万涛,谢振华,彭锦,游世林,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。