[发明专利]在通信系统中防止打压攻击

权利要求书

1.一种用于在包括移动站、基站、网关以及服务器的通信系统中使用的方法，所述基站被配置为与所述移动站进行无线通信，所述网关被配置为在所述基站和所述服务器之间进行连接，所述方法包括以下步骤：

将指示所述移动站的至少一个已建立的安全能力的信息存储在所述服务器中；以及

将所述信息的至少一部分从所述服务器发送到所述网关；

由此使得所述网关能够检验在所述移动站与所述基站之间协商的一个或多个安全能力与所述移动站的所述至少一个已建立的安全能力相一致。

2.如权利要求1所述的方法，其中存储在所述服务器中的所述信息被配置为使得所述网关能够防止其中攻击者假冒所述移动站以与所述基站协商低劣安全能力的打压攻击。

3.如权利要求1所述的方法，其中将所述信息的至少一部分从所述服务器发送到所述网关的步骤包括：结合所述移动站的认证过程而发送所述信息的至少一部分。

4.如权利要求3所述的方法，其中结合所述移动站的认证过程而将所述信息的至少一部分从所述服务器发送到所述网关的步骤进一步包括：在所述认证过程完成之后发送所述信息。

5.如权利要求1所述的方法，其中将信息存储在所述服务器中的步骤进一步包括：结合在所述移动站与所述服务器之间建立订购而在所述服务器中创建订购记录，并且其中所述订购记录标识了所述移动站的多个安全能力。

6.如权利要求1所述的方法，其中指示所述移动站的至少一个已建立的安全能力的信息包括PKM版本支持指示符、认证策略支持指示符、消息认证码类型支持指示符以及EAP认证类型指示符中的至少一个。

7.一种用于在包括移动站、基站以及网关的通信系统中使用的设备，所述基站被配置为与所述移动站进行无线通信，所述网关被配置为连接到所述基站，所述设备包括：

服务器，被配置为连接到所述网关，使得所述网关布置在所述基站与所述服务器之间；

所述服务器包括与存储器耦合的处理器；

其中所述服务器可在所述处理器的控制下操作以将指示所述移动站的至少一个已建立的安全能力的信息存储在所述存储器中，以及将所述信息的至少一部分从所述服务器发送到所述网关；

其中从所述服务器发送到所述网关的所述信息使得所述网关能够检验在所述移动站与所述基站之间协商的一个或多个安全能力与所述移动站的所述至少一个已建立的安全能力相一致。

8.一种用于在包括移动站、基站、网关以及服务器的通信系统中使用的方法，所述基站被配置为与所述移动站进行无线通信，所述网关被配置为在所述基站和所述服务器之间进行连接，所述服务器被配置为存储指示所述移动站的至少一个已建立的安全能力的信息，所述方法包括以下步骤：

所述基站与所述移动站协商一个或多个安全能力；

在所述基站中经由所述网关接收指示所述移动站的至少一个已建立的安全能力的所述信息的至少一部分；以及

利用所接收的信息促进所述基站与所述移动站之间的后续安全协商。

9.一种用于在包括移动站、基站、网关以及服务器的通信系统中使用的方法，所述基站被配置为与所述移动站进行无线通信，所述网关被配置为在所述基站和所述服务器之间进行连接，所述服务器被配置为存储指示所述移动站的至少一个已建立的安全能力的信息，所述方法包括以下步骤：

在所述网关中从所述服务器接收指示所述移动站的至少一个已建立的安全能力的所述信息的至少一部分；以及

在所述网关中检验在所述移动站与所述基站之间协商的一个或多个安全能力与所述移动站的所述至少一个已建立的安全能力相一致。

10.一种用于在包括移动站、基站以及服务器的通信系统中使用的设备，所述基站被配置为与所述移动站进行无线通信，所述服务器被配置存储指示所述移动站的至少一个已建立的安全能力的信息，所述设备包括：

网关，被配置为在所述基站和所述服务器之间进行连接；所述网关包括与存储器耦合的处理器；

其中所述网关可在所述处理器的控制下操作以从所述服务器接收指示所述移动站的至少一个已建立的安全能力的所述信息的至少一部分，以及检验在所述移动站与所述基站之间协商的一个或多个安全能力与所述移动站的所述至少一个已建立的安全能力相一致。