INFORMATION INTERACTION METHOD AND DEVICE

本申请要求在2017年11月3日提交中国专利局、申请号为201711071266.5、发明名称为“一种信息交互方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

本申请涉及通信技术领域，尤其涉及一种信息交互方法及装置。

目前一些通信系统中设置有终端设备和核心网设备，并且终端设备和核心网设备之间通常能够进行信息交互。例如，终端设备可将信息传输至无线接入网设备，再由无线接入网设备将该信息传输至核心网设备，实现终端设备与核心网设备的信息交互。

另外，为了保障通信系统的安全，终端设备与核心网设备之间在进行信息交互时，需要对对方进行身份认证，并对交互的信息进行数据保护。现有技术中，为了实现身份认证和数据保护，在终端设备首次接入核心网设备时，通常需要终端设备和核心网设备互相向对方传输自身的身份认证信息。这种情况下，终端设备会根据核心网设备的身份认证信息对核心网设备进行身份认证，以及核心网设备根据终端设备的身份认证信息对终端设备进行身份认证。在终端设备和核心网设备均通过身份认证后，核心网设备选择用于数据保护的完整性算法和加解密算法，并将选择的完整性算法和加解密算法传输至终端设备。终端设备确认是否支持核心网设备选择的完整性算法和加解密算法，并在确定支持后，终端设备向核心网设备发出相应的反馈。核心网设备在接收到反馈后，确认终端设备接入核心网设备。通过上述步骤，终端设备和核心网设备均对对方身份进行认证，并且完成完整性算法和加密算法的协商。之后终端设备与核心网设备进行信息时，交互的信息均进行完整性保护和加密保护，从而提高了通信系统的安全性。

但是，发明人在本申请的研究过程中发现，现有技术虽然能够保障通信系统的安全，但终端设备与核心网设备之间进行多次信息交互才能完成身份认证，以及确定用于数据保护的完整性算法和加解密算法，信息交互次数较多，并且交互的信息数据量较大，导致现有技术中存在信息交互过程耗时长，以及终端设备功耗开销高的问题。

发明内容

现有技术中，为了保障通信系统的安全，需要终端设备与核心网设备之间进行多次信息交互，且交互的信息数据量较大，导致现有技术存在信息交互过程耗时长，以及终端设备功耗开销高的问题。为了解决现有技术中的问题，本申请实施例公开一种信息交互方法及装置。

在本申请的第一方面，公开一种信息交互方法，包括：终端设备向核心网设备传输附着请求信息；所述终端设备接收所述核心网设备传输的附着接受信息，所述附着接受信息中包括所述核心网设备的第一完整性校验码；所述终端设备基于所述附着接受信息获取第 二完整性校验码；若所述第一完整性校验码和所述第二完整性校验码相同，所述终端设备获取加密的附着完成信息，并基于所述加密的附着完成信息获取第三完整性校验码，向所述核心网设备传输添加有所述第三完整性校验码且加密的附着完成信息。

通过该信息交互方法，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

结合第一方面，在第一方面第一种可能的实现方式中，所述终端设备基于所述附着接受信息获取第二完整性校验码，包括：所述终端设备基于预设的第一根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第一密钥生成算法生成第一终端密钥；所述终端设备基于所述第一终端密钥和所述附着接受信息，通过预设的第一完整性算法获取所述第二完整性校验码。

通过上述步骤，能够使终端获取第二完整性校验码，以便后续过程中，终端根据第二完整性校验码与第一完整性校验码是否相同，确定核心网身份的合法性。

结合第一方面，在第一方面第二种可能的实现方式中，所述终端设备获取加密的附着完成信息，包括：所述终端设备基于预设的第二根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第二密钥生成算法生成第二终端密钥；所述终端设备在生成附着完成信息后，基于所述第二终端密钥，通过预设的第一加解密算法对所述附着完成信息进行加密。

通过上述步骤，能够使终端对附着完成信息进行加密，以便后续过程中，核心网根据是否能够对接收到的附着完成信息进行解密，确定终端是否能够接入核心网。

结合第一方面第一种可能的实现方式，或结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，所述终端设备参数包括：终端设备身份标识和所述终端设备产生的终端随机数。其中，终端设备身份标识能够区分不同终端设备，并且终端随机数不易被仿冒，从而提高终端设备参数的安全性。

结合第一方面第一种可能的实现方式，或结合第一方面第二种可能的实现方式，在第一方面第四种可能的实现方式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。其中，核心网设备身份标识能够区分不同核心网设备，并且核心网随机数不易被仿冒，从而提高核心网设备参数的安全性。

在本申请的第二方面，公开一种信息交互方法，包括：核心网设备接收终端设备传输的附着请求信息；所述核心网设备在生成附着接受信息后，基于所述附着接受信息，获取第一完整性校验码，并向所述终端设备传输添加有所述第一完整性校验码的附着接受信息；所述核心网设备接收所述终端设备传输的加密的附着完成信息，所述附着完成信息中包含所述终端设备的第三完整性校验码；所述核心网设备基于所述加密的附着完成信息，获取第四完整性校验码；若所述第三完整性校验码与所述第四完整性校验码相同，所述核心网设备对所述加密的附着完成信息进行解密，并在解密成功后，确定所述终端设备接入核心网设备。

通过该信息交互方法，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

结合第二方面，在第二方面第一种可能的实现方式中，所述基于所述附着接受信息，获取第一完整性校验码，包括：所述核心网设备基于预设的第三根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第三密钥生成算法生成第一核心网密钥；所述核心网设备基于所述第一核心网密钥和所述附着接受信息，通过预设的第二完整性算法，获取所述第一完整性校验码。

通过上述步骤，能够使核心网设备获取第一完整性校验码，以便后续过程中，终端设备根据第二完整性校验码与第一完整性校验码是否相同，确定核心网身份的合法性。

结合第二方面，在第二方面第二种可能的实现方式中，所述核心网设备对所述加密的附着完成信息进行解密，包括：所述核心网设备基于预设的第四根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第四密钥生成算法生成第二核心网密钥；所述核心网设备基于所述第二核心网密钥，通过预设的第二加解密算法对所述加密的附着完成信息进行解密。

通过上述步骤，核心网设备能够根据是否对接收到的附着完成信息解密成功，确定终端设备是否能够接入核心网设备。

结合第二方面第一种可能的实现方式，或结合第二方面第二种可能的实现方式，在第二方面第三种可能的实现方式中，所述终端设备参数包括：终端设备身份标识和所述终端设备产生的终端随机数。

其中，终端设备身份标识能够区分不同终端设备，并且终端随机数不易被仿冒，从而提高终端设备参数的安全性。

结合第二方面第一种可能的实现方式，或结合第二方面第二种可能的实现方式，在第二方面第四种可能的实现方式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。

其中，核心网设备身份标识能够区分不同核心网设备，并且核心网随机数不易被仿冒，从而提高核心网设备参数的安全性。

在本申请的第三方面，公开一种信息交互装置，包括：第一发送模块、第一接收模块和第一处理模块；所述第一发送模块用于向核心网设备传输附着请求信息；所述第一接收模块用于接收所述核心网设备传输的附着接受信息，所述附着接受信息中包括所述核心网设备的第一完整性校验码；所述第一处理模块用于基于所述附着接受信息获取第二完整性校验码，若所述第一完整性校验码和所述第二完整性校验码相同，所述第一处理模块用于获取加密的附着完成信息，并基于所述加密的附着完成信息获取第三完整性校验码，并触发所述第一发送模块向所述核心网设备传输添加有所述第三完整性校验码且加密的附着完成信息。

通过该信息交互装置，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

结合第三方面，在第三方面第一种可能的实现方式中，所述第一处理模块具体用于基于预设的第一根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第一密钥生成算法生成第一终端密钥，并基于所述第一终端密钥和所述附着接受信息，通过预设的第一完整性算法获取所述第二完整性校验码。

结合第三方面，在第三方面第二种可能的实现方式中，所述第一处理模块具体用于基于预设的第二根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第二密钥生成算法生成第二终端密钥，并在生成附着完成信息后，基于所述第二终端密钥，通过预设的第一加解密算法对所述附着完成信息进行加密。

结合第三方面第一种可能的实现方式，或结合第三方面第二种可能的实现方式，在第三方面第三种可能的实现方式中，所述终端设备参数包括：终端设备身份标识和所述终端设备产生的终端随机数。其中，终端设备身份标识能够区分不同终端设备，并且终端随机数不易被仿冒，从而提高终端设备参数的安全性。

结合第三方面第一种可能的实现方式，或结合第三方面第二种可能的实现方式，在第三方面第四种可能的实现方式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。其中，核心网设备身份标识能够区分不同核心网设备，并且核心网随机数不易被仿冒，从而提高核心网设备参数的安全性。

在本申请的第四方面，公开一种信息交互装置，包括：第二接收模块、第二发送模块和第二处理模块，

所述第二接收模块用于接收终端设备传输的附着请求信息；所述第二处理模块用于在生成附着接受信息后，基于所述附着接受信息，获取第一完整性校验码，并触发所述第二发送模块向所述终端设备传输添加有所述第一完整性校验码的附着接受信息；所述第二接收模块还用于接收所述终端设备传输的加密的附着完成信息，所述附着完成信息中包含所述终端设备的第三完整性校验码；所述第二处理模块还用于基于所述加密的附着完成信息，获取第四完整性校验码，若所述第三完整性校验码与所述第四完整性校验码相同，所述第二处理模块对所述加密的附着完成信息进行解密，并在解密成功后，确定所述终端设备接入核心网设备。

通过该信息交互装置，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

结合第四方面，在第四方面第一种可能的实现方式中，所述第二处理模块具体用于基于预设的第三根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第三密钥生成算法生成第一核心网密钥，并基于所述第一核心网密钥和所述附着接受信息，通过预设的第二完整性算法，获取所述第一完整性校验码。

结合第四方面，在第四方面第二种可能的实现方式中，所述第二处理模块具体用于基于预设的第四根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第四密钥生成算法生成第二核心网密钥，并基于所述第二核心网密钥，通过预设的第二加解密算法对所述加密的附着完成信息进行解密。

结合第四方面第一种可能的实现方式，或结合第四方面第二种可能的实现方式，在第四方面第三种可能的实现方式中，所述终端设备参数包括：终端设备身份标识和所述终端设备产生的终端随机数。其中，终端设备身份标识能够区分不同终端设备，并且终端随机数不易被仿冒，从而提高终端设备参数的安全性。

结合第四方面第一种可能的实现方式，或结合第四方面第二种可能的实现方式，在第四方面第四种可能的实现方式中，所述核心网设备参数包括：核心网设备身份标识和所述 核心网设备产生的核心网随机数。其中，核心网设备身份标识能够区分不同核心网设备，并且核心网随机数不易被仿冒，从而提高核心网设备参数的安全性。

在本申请的第五方面，公开一种终端设备，包括：收发端口、处理器和与所述处理器相连接的存储器；其中，所述收发端口用于和核心网设备之间进行信息的收发，并将从所述核心网设备接收的信息传输至处理器；所述存储器存储有可被所述处理器执行的指令；所述处理器用于获取所述收发端口传输的报文，并通过执行所述存储器中所存储的程序或指令，实现本申请的第一方面所述的信息交互方法。

在本申请的第六方面，公开一种核心网设备，包括：收发端口、处理器和与所述处理器相连接的存储器；其中，所述收发端口用于和终端设备之间进行信息的收发，并将从所述终端设备接收的信息传输至处理器；所述存储器存储有可被所述处理器执行的指令；所述处理器用于获取所述收发端口传输的报文，并通过执行所述存储器中所存储的程序或指令，实现本申请的第二方面所述的信息交互方法。

在本申请的第七方面，本申请实施例还提供了一种计算机程序产品，包括指令，当指令在计算机上运行时，使得计算机执行本申请第一方面的方法。

在本申请的第八方面，本申请实施例还提供了一种计算机程序产品，包括指令，当指令在计算机上运行时，使得计算机执行本申请第二方面的方法。

在本申请的第九方面，本申请实施例还提供了一种计算机存储介质，该计算机存储介质可存储有程序，该程序执行时可实现第一方面提供的信息交互方法的各实施例中的部分或全部步骤。

在本申请的第十方面，本申请实施例还提供了一种计算机存储介质，该计算机存储介质可存储有程序，该程序执行时可实现第二方面提供的信息交互方法的各实施例中的部分或全部步骤。

在本申请的第十一方面，本申请实施例还提供了一种芯片，所述芯片装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现本申请第一方面所述的方法。

在本申请的第十二方面，本申请实施例还提供了一种芯片，所述芯片装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现本申请第二方面所述的方法。

在本申请的第十三方面，本申请实施例还提供了一种终端设备，包括：处理器和存储器；所述存储器用于存储计算机执行指令，当所述终端设备运行时，所述处理器执行所述存储器存储的该计算机执行指令，以使所述终端设备执行如前述第一方面或第一方面各实现方式所述的信息交互方法。

在本申请的第十四方面，本申请实施例还提供了一种核心网设备，包括：处理器和存储器；所述存储器用于存储计算机执行指令，当所述核心网设备运行时，所述处理器执行所述存储器存储的该计算机执行指令，以使所述核心网设备执行如前述第二方面或第二方面各实现方式所述的信息交互方法。

通过本申请实施例公开的方案，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。与现有技术相比，本申请实施例公开的方案，在保障了通信系统的 安全性的前提下，减少数据交互的流程，并且减少终端设备与核心网设备之间交互的信息的数据量，从而减少了终端设备与核心网设备进行信息交互过程的耗时，并能够减少终端设备的功耗开销。

图1为现有技术公开的一种通信系统的结构示意图；

图2为本申请实施例公开的一种信息交互方法的工作流程示意图；

图3为现有技术公开的一种通信系统中信息交互流程示意图；

图4为本申请实施例公开的一种通信系统中信息交互流程示意图；

图5为本申请实施例公开的一种应用于通信系统中的完整性算法的示意图；

图6为本申请实施例公开的又一种信息交互方法的工作流程示意图；

图7为本申请实施例公开的一种信息交互装置的结构示意图；

图8为本申请实施例公开的又一种信息交互装置的结构示意图。

为了保障通信系统的安全，现有技术需要终端设备与核心网设备之间进行多次信息交互，且交互的信息数据量较大，导致现有技术存在信息交互过程耗时长，以及终端设备功耗开销高的问题。为了解决现有技术中的问题，本申请实施例公开一种信息交互方法及装置。

图1是本申请的实施例应用的通信系统的架构示意图。如图1所示，该通信系统包括核心网设备110、无线接入网设备120和至少一个终端设备(如图1中的终端设备130和终端设备140)。终端设备通过无线的方式与无线接入网设备120相连，无线接入网设备120通过无线或有线方式与核心网设备110连接。核心网设备与无线接入网设备可以是独立的不同的物理设备，也可以是将核心网设备的功能与无线接入网设备的逻辑功能集成在同一个物理设备上，还可以是一个物理设备上集成了部分核心网设备的功能和部分的无线接入网设备的功能。终端设备可以是固定位置的，也可以是可移动的。图1只是示意图，该通信系统中还可以包括其它网络设备，如还可以包括无线中继设备和无线回传设备，在图1中未画出。本申请的实施例对该通信系统中包括的核心网设备、无线接入网设备和终端设备的数量不做限定。

无线接入网设备是终端设备通过无线方式接入到该通信系统中的接入设备，可以是基站NodeB、演进型基站eNodeB、5G移动通信系统中的基站、未来移动通信系统中的基站或WiFi系统、LTE-U或其他免授权频谱无线系统中的接入节点等，本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。

终端设备也可以称为终端(Terminal)、用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等。终端设备可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端设备、增强现实(Augmented Reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无 线终端、具有无线通信功能的智能电表、智能水表、环境感应器、设备标签、定位标签等等。

本申请实施例中，终端设备能够将信息传输至无线接入网设备，再由无线接入网设备将信息传输至核心网设备，并且，核心网设备还能够将信息传输至无线接入网设备，再由无线接入网设备将信息传输至终端设备。也就是说，终端设备与核心网设备之间能够通过无线接入网设备实现信息交互。

本申请实施例公开的方案能够应用于多种通信系统，具体的，可以应用于对终端设备功耗有限制的通信系统中，以通过本申请实施例公开的方案减少对终端设备的功耗。例如，可以应用于4.5G移动通信技术中的基于蜂窝网络的窄带物联网(narrow band internet of things，NB-IoT)中。这种情况下，终端设备、无线接入网设备和核心网设备即分别为NB-IoT系统中的终端设备、无线接入网设备和核心网设备，并根据本申请实施例公开的方案实现终端设备与核心网设备之间的信息交互。

当然本申请实施例还可以应用于其他具备终端设备和核心网设备，且终端设备与核心网设备之间能够进行信息交互的通信系统中，本申请实施例对此不做限定。

以下通过多个实施例对本申请公开的方案进行介绍。其中，在本申请公开的第一实施例中，公开一种信息交互方法，该方法应用于终端设备，该终端设备能够通过无线接入网设备与核心网设备之间进行信息交互。

参见图2所示的工作流程示意图，本申请第一实施例公开的所述信息交互方法包括以下步骤：

步骤S11、终端设备向核心网设备传输附着请求信息。

该步骤中，终端设备将附着请求信息传输至无线接入网设备，再由无线接入网设备传输至核心网设备，以使核心网设备能够接收到所述附着请求信息。

另外，在该附着请求信息中，可以包括终端设备参数。其中，所述终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。所述终端设备身份标识能够对不同的终端设备起到区分作用，例如可以为终端设备国际移动用户标志(international mobile subscriber identity，IMSI)。

步骤S12、所述终端设备接收所述核心网设备传输的附着接受信息，所述附着接受信息中包括所述核心网设备的第一完整性校验码。

其中，所述核心网设备接收到所述附着请求信息后，生成附着接受信息，并对所述附着接受信息进行计算，获取第一完整性校验码，将所述第一完整性校验码添加至附着接受信息中，再将添加有第一完整性校验码的附着接受信息传输至无线接入网设备。无线接入网设备会将添加有第一完整性校验码的附着接受信息传输至终端设备，从而使终端设备获取到所述附着接受信息。

步骤S13、所述终端设备基于所述附着接受信息获取第二完整性校验码。

该步骤中，终端设备通过对附着接受信息进行计算，获取第二完整性校验码。其中，终端设备在对附着接受信息进行计算时，通常根据预先设定的第一完整性算法进行计算。

另外，核心网设备通过预先设定的第二完整性算法对附着接受信息进行计算，获取第一完整性校验码，这种情况下，若允许终端设备接入核心网设备，则预先设定第一完整性算法与第二完整性算法相同。也就是说，终端设备与核心网设备采用相同的完整性算法进 行完整性验证。

步骤S14、若所述第一完整性校验码和所述第二完整性校验码相同，所述终端设备获取加密的附着完成信息，并基于所述加密的附着完成信息获取第三完整性校验码，向所述核心网设备传输添加有所述第三完整性校验码且加密的附着完成信息。

该步骤中，若所述第一完整性校验码和第二完整性校验码相同，则终端设备确定核心网设备的身份合法。也就是说，在本申请实施例中，终端设备通过完整性校验码对核心网设备进行身份认证。

在确定核心网设备的身份合法(即第一完整性校验码和第二完整性校验码相同)后，所述终端设备会生成附着完成信息，再对所述附着完成信息进行加密，从而获取加密的附着完成信息。然后，终端设备使用第一完整性算法对加密的附着完成信息进行计算，获取第三完整性校验码，再将所述第三完整性校验码添加至所述加密的附着完成信息中。

这种情况下，核心网设备在接收到附着完成信息后，能够根据第二完整性算法对附着完成信息进行计算，获取第四完整性校验码。并且，核心网设备若确定第三完整性校验码与第四完整性校验码相同，则可确定终端设备的身份合法。也就是说，核心网设备通过所述附着完成信息中包含的第三完整性校验码实现对终端设备的身份认证。其中，第一完整性算法与第二完整性算法相同。

另外，终端设备对附着完成信息进行了加密处理，以提高附着完成信息的安全性。并且，终端设备通常采用预设的第一加解密方法对附着完成信息进行加密，而核心网设备接收到附着完成信息后，采用预设的第二加解密方法对附着完成信息进行解密。若终端设备允许接入核心网设备，则预先设定第一加解密方法与第二加解密方法相同。这种情况下，在根据完整性校验码确定终端设备的身份合法后，若核心网设备能够根据第二加解密方法对附着完成信息进行解密，说明终端设备与核心网设备之间交互的信息能够互相进行加解密，则确定终端设备接入核心网设备。

进一步的，终端设备在接入核心网设备之后，终端设备与核心网设备之间能够继续进行信息交互，例如，终端设备将获取到的检测数据通过无线接入网设备传输至核心网设备，核心网设备向通过无线接入网设备向终端设备传输指令信息等。这种情况下，每次信息交互时，信息的发送端可在交互的信息中添加根据该信息计算得到的完整性校验码，以及对该信息进行加密。接收到该信息的接收端对该信息进行计算，获取相应的完整性校验，若计算获取的完整性校验码与该信息中添加的完整性校验码相同，则接收端可确定接收到的信息完整，并在确定接收到的信息完整之后，可根据预设的加解密算法进行解密，从而提高了通信系统的安全性。

本申请实施例公开一种信息交互方法，该方法中，终端设备向核心网设备传输附着请求信息；核心网设备接收到附着请求信息后，生成附着接受信息，基于该附着接受信息获取第一完整性校验码，并将该第一完整性校验码添加至附着接受信息中；终端设备接收所述核心网设备传输的附着接受信息，并基于所述附着接受信息获取第二完整性校验码；若所述第一完整性校验码和所述第二完整性校验码相同，终端设备确定核心网设备的身份合法，也就是说，终端设备通过附着接受信息中包含的第一完整性校验码实现对核心网的身份认证，并在确认核心网设备的身份合法后，终端设备生成附着完成信息并对所述附着完成信息进行加密，然后基于加密的附着完成信息获取第三完整性校验码，将所述第三完整 性校验码添加至加密的附着完成信息中，再向核心网设备传输添加有所述第三完整性校验码且加密的附着完成信息；核心网设备接收到附着完成信息后，基于该附着完成信息获取第四完整性校验码，若第三完整性校验码与第四完整性校验码相同，核心网设备确定终端设备的身份合法，也就是说，核心网设备通过附着完成信息中包含的第四完整性校验码实现对终端设备的身份认证，然后，核心网设备对附着完成信息进行解密，若解密成功，则确定终端设备接入核心网设备。

通过本申请实施例公开的信息交互方法，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

与现有技术相比，本申请实施例公开的方案，在保障通信系统安全性的前提下，减少数据交互的流程，并且减少终端设备与核心网设备之间交互的信息的数据量，从而减少了终端设备与核心网设备进行信息交互的耗时，以及减少终端设备的功耗开销。

进一步的，为了明确本申请实施例公开的方案的优势，以下对现有技术中通常采用的信息交互方法进行介绍。参见图3所示的现有技术的信息交互流程示意图，在现有技术中，终端设备首次接入核心网设备时，通常包括以下信息交互的流程：

步骤1：终端设备产生携带有终端IMSI的附着请求信息，并通过无线接入网设备将该附着请求信息传输至核心网设备。

步骤2：核心网设备在接收到终端设备发出的附着请求信息之后，获取其中包含的IMSI，再通过无线接入网设备向该终端设备发送用户身份验证请求信息，所述用户身份验证请求信息中包括核心网认证码及核心网设备产生的核心网随机数。

步骤3：终端设备在接收到核心网设备发出的用户身份验证请求信息后，根据其中包括的核心网认证码对核心网进行身份认证，若确定核心网设备的身份合法，终端设备通过预先设置的根密钥、终端设备自身产生的终端随机数及核心网随机数，生成用于对后续信息进行加密的密钥。然后，终端设备生成用户身份验证响应信息，并通过无线接入网设备向核心网设备传输所述用户身份验证响应信息，所述用户身份验证响应信息中包括终端认证码和终端随机数。也就是说，通过该步骤，终端设备能够对核心网设备进行身份认证，以及生成用于加密的密钥。

步骤4：核心网设备接收到终端设备发出的用户身份验证响应信息后，根据其中包括的终端认证码对终端设备进行身份认证。若确定终端设备的身份合法，核心网设备通过预置的根密钥、终端随机数和核心网随机数，生成用于对后续信息进行加密的密钥。其中，若允许终端设备接入核心网设备，核心网中预置的根密钥与终端中预置的根密钥相同，核心网生成密钥的方式与终端生成密钥的方式相同，这种情况下，核心网设备生成的密钥与终端设备生成的密钥相同。生成密钥后，核心网设备选择完整性算法和加密算法，并生成安全模式命令信息，所述安全模式命令信息中包括核心网设备选择的完整性算法和加密算法，并在使用完整性算法对该安全模式命令信息进行完整性保护后，通过无线接入网设备将其传输至终端。也就是说，通过该步骤，核心网设备能够对终端进行身份认证，以及生成用于加密的密钥。

步骤5：终端设备接收到核心网设备传输的安全模式命令信息后，确认自身是否支持核心网设备选择的完整性算法和加密算法。若支持，终端设备对所述安全模式命令信息进 行完整性验证，若该信息通过完整性验证，则终端设备通过无线接入网设备向核心网设备传输经过完整性保护和加密的安全模式完成信息。

步骤6：核心网设备接收到终端设备传输的安全模式完成信息后，首先对该信息进行完整性验证，若该信息通过完整性验证，再解密该信息。然后，核心网设备产生附着接受信息，并通过无线接入网设备将所述附着接受信息传输至终端设备。

步骤7：终端设备接收到核心网设备传输的附着接受信息后，确认自身是否能够接入核心网设备，若是，则通过无线接入网设备向核心网设备发送经过完整性保护和加密处理后的附着完成信息。核心网设备接收到终端传输的附着完成信息后，对附着完成信息进行完整性验证和解密，若该附着完成信息能够通过完整性验证及解密，则允许终端设备接入核心网设备，完成终端设备接入核心网设备的流程。

通过上述步骤，终端设备和核心网设备均对对方进行了身份认证，并且，完成完整性算法和加密算法的协商，之后终端设备与核心网设备之间再进行信息交互时，交互的信息都将做完整性保护和加密保护，从而提高通信系统的安全性。

但是，根据对上述步骤的描述以及图3所示的信息交互流程图可知，通过现有技术虽然能够保障通信系统的安全，但终端设备与核心网设备之间至少需要进行七次信息交互，信息交互的次数较多，且交互的信息数据量较大，导致现有技术中存在信息交互耗时长，以及终端设备功耗开销高的问题。

而采用本申请实施例公开的方案时，参见图4所示的信息交互流程示意图，终端设备与核心网设备进行信息交互时，首先由终端设备向核心网设备传输附着请求信息。接收到附着请求信息的核心网设备核心网设备生成附着接受信息，并基于所述附着接受信息获取第一完整性校验码，将第一完整性校验码添加至附着接受信息后，向终端设备传输该附着接受信息。终端设备接收到附着接受信息后，基于所述附着接受信息，获取第二完整性校验码，在第一完整性校验码和第二完整性校验码相同的情况下，生成附着完成信息并加密。然后，终端设备基于加密的附着完成信息获取第三完整性校验码，并在加密的附着完成信息中添加第三完整性校验码，将添加有第三完整性校验码且加密的附着完成信息传输至核心网设备，以便核心网设备根据接收到的附着完成信息确定是否允许终端设备接入核心网设备。

根据图4可知，本申请实施例公开的方案中，只需要在终端设备与核心网设备之间传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需终端设备与核心网设备之间进行三次信息交互即可。与现有技术相比，减少了信息交互的次数，并且减少交互信息的数据量，从而减少了终端设备与核心网设备进行信息交互的耗时，且有效的减少了终端设备的功耗开销。

进一步的，在步骤S13中，公开了所述终端设备基于所述附着接受信息获取第二完整性校验码的操作，该操作通常包括以下步骤：

首先，所述终端设备基于预设的第一根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第一密钥生成算法生成第一终端密钥。

然后，所述终端设备基于所述第一终端密钥和所述附着接受信息，通过预设的第一完整性算法获取所述第二完整性校验码。

在本申请实施例中，在终端设备中预先设置第一根密钥，并且在附着接受信息中包含 核心网设备参数。接收到附着接受信息后，终端设备根据第一根密钥、终端设备参数及附着接受信息中包含的核心网设备参数，以及第一密钥生成算法生成第一终端密钥，所述第一终端密钥用于生成完整性校验码。

另外，在核心网设备中预先设置有第三根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备能够根据第三根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第三密钥生成算法生成第一核心网密钥，所述第一核心网密钥用于生成完整性校验码。

这种情况下，若终端设备允许接入核心网设备，则根据预先的设置，第一根密钥与第三根密钥相同，第一密钥生成算法与第二密钥生成算法相同，并且，由于计算第一终端密钥与计算第一核心网密钥的过程中，均依据终端设备参数及核心网设备参数，因此，计算得到的第一终端密钥与第一核心网密钥相同。

进一步的，在终端设备中预先设置第一完整性算法，通过第一完整性算法和第一终端密钥对附着接受信息进行计算，能够得到第二完整性校验码。在核心网设备中预先设置第二完整性算法，通过第二完整性算法和第一核心网密钥对附着接受信息进行计算，能够得到第一完整性校验码。若终端设备允许接入核心网设备，则预先设置第一完整性算法与第二完整性算法相同。

由于第一终端密钥与第一核心网密钥相同，第一完整性算法与第二完整性算法相同，并且，计算第一完整性校验码与计算第二完整性校验码的过程中，均对附着接受信息进行计算，因此，在核心网设备身份合法的情况下，第一完整性校验码与第二完整性校验码相同。这种情况下，终端设备通过比较第一完整性校验码与第二完整性校验码是否相同，即可判定核心网设备的身份是否合法。

另外，本申请实施例中，终端设备根据第一根密钥、终端设备参数及核心网设备参数生成第一终端密钥。其中，终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。所述终端设备身份标识能够对不同的终端设备起到区分作用，因此不同终端设备的终端设备身份标识不同，不同终端设备生成的第一终端密钥不同，从而能够区分不同终端设备生成的第一终端密钥。

所述终端设备身份标识可以采用终端设备国际移动用户标志(international mobile subscriber identity，IMSI)，当然，还可以采用其他能够区分不同终端设备的参数作为终端设备身份标识，本申请实施例对此不做限定。

另外，终端随机数为终端设备随机生成的一个数据，将终端随机数作为终端设备参数，能够保障终端设备参数不易被仿冒，从而提高终端设备参数的安全性，进一步提高获取第一终端密钥的安全性。

其中，核心网设备参数可包括多种形式，在其中一种形式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。所述核心网设备身份标识用于对不同的核心网设备起到区分作用，因此终端设备在与不同的核心网设备进行信息交互时，核心网设备参数中的核心网设备身份标识不同，导致终端设备生成的第一终端密钥不同，从而能够区分终端设备与不同核心网设备进行信息交互时生成的第一终端密钥。

在本申请实施例中，可预先为各个核心网设备分配一个不同的核心网标签，通过核心网标签区分各个核心网设备，这种情况下，可将该核心网标签作为核心网设备身份标识。 当然，还可以采用其他能够区分不同核心网设备的参数作为核心网设备身份标识，本申请实施例对此不做限定。

另外，核心网随机数为核心网设备随机生成的一个数据，不易通过多次抓取数据被攻击，将核心网随机数作为核心网设备参数，能够保证核心网设备参数不易被仿冒，从而提高核心网设备参数的安全性，进一步提高获取第一终端密钥的安全性。

本申请实施例中，终端设备采用第一密钥生成算法生成第一终端密钥。其中，第一密钥生成算法可以为多种形式的密钥生成算法。例如，第一密钥生成算法可以为HMAC-SHA-256算法。其中，HMAC-SHA-256算法包含以下公式：

Derived Key＝HMAC-SHA-256(RootKey,S)公式(1)；

S＝FC||Algorithm Type Distinguisher||L0||NET ID||L1||NET Rand||L2||IMSI||L3||UE Rand||L4 公式(2)。

若在计算第一终端密钥时采用HMAC-SHA-256算法，则在公式(1)中，Derived Key为第一终端密钥，RootKey为终端设备中的第一根密钥，S为密钥计算参数。该公式输出的字符长度通常为256bit，在本申请实施例中，可以使用其中的低128位作为第一终端密钥。

另外，用于获取密钥计算参数S的公式(2)中，FC为预设值，通常情况下，FC＝0x015，当然，也可将FC设置为其他数值；Algorithm Type Distinguisher为预设值，例如，在计算第一终端密钥时，可设置Algorithm Type Distinguisher＝0x02；NET ID是作为核心网设备身份标识的核心网标签；L0为Algorithm Type Distinguisher的字节长度；L1为NET ID的字节长度；NET Rand为核心网随机数；L2为核心网随机数NET Rand的字节长度；IMSI是作为终端设备身份标识的终端设备国际移动用户标志；L3为IMSI的字节长度；UE Rand为终端随机数；L4为终端随机数UE Rand的字节长度。

这种情况下，可通过公式(2)获取S的值，然后将S的值带入至公式(1)，计算得到第一终端密钥。

当然，还可以采用其他形式的密钥生成算法，本申请实施例对此不作限定。

另外，终端设备基于第一终端密钥和附着接受信息，通过预设的第一完整性算法获取所述第二完整性校验码，该第一完整性算法可为多种形式，例如，第一完整性算法可采用AES-128-CMAC，其算法示意图如图5所示。该算法中，根据信息计数、信息、信息方向、固定数值参数以及用于完整性保护的密钥，计算得到完整性校验码。其中，信息为计算完整性校验码时所应用的信息，在计算第二完整性校验码时，信息即为附着接受信息；另外，若应用的信息的信息方向为上行，则信息方向通常取值为0，若应用的信息的信息方向为下行，则信息方向通常取值为1；固定数值参数通常取值为0。

当然，还可以采用其他的完整性算法，本申请实施例对此不作限定。

在本申请实施例的步骤S14中，公开终端设备获取加密的附着完成信息的操作。其中，所述终端设备获取加密的附着完成信息，包括以下步骤：

首先，所述终端设备基于预设的第二根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第二密钥生成算法生成第二终端密钥；然后，所述终端设备在生成附着完成信息后，基于所述第二终端密钥，通过预设的第一加解密算法对所述附着完成信息进行加密。

本申请实施例中，在终端设备中预先设置第二根密钥，并且在附着接受信息中包含核心网设备参数。接收到附着接受信息后，终端设备获取核心网设备参数，然后根据第二根密钥、终端设备参数及核心网设备参数，以及第二密钥生成算法生成第二终端密钥，所述第二终端密钥用于对交互的信息进行加密保护。

另外，在核心网设备中，预先设置第四根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备根据第四根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第四密钥生成算法生成第二核心网密钥，所述第二核心网密钥用于对交互的信息进行加密保护。

这种情况下，若允许终端设备接入核心网设备，则预先设置第二根密钥与第四根密钥相同，第二密钥生成算法与第四密钥生成算法相同，并且，由于计算第二终端密钥与计算第二核心网密钥的过程中，均依据终端设备参数及核心网设备参数，因此，第二终端密钥与第二核心网密钥相同。

进一步的，在终端设备中预先设置第一加解密算法，以便通过第一加解密算法对附着完成信息进行加密。在核心网设备中预先设置第二加解密算法，以便通过第二加解密算法对附着完成信息进行解密。其中，若允许终端设备接入核心网设备，则预先设置第一加解密算法与第二加解密算法相同，以便核心网设备能够对终端设备加密的信息进行解密。

另外，本申请实施例中，终端设备根据第二根密钥、终端设备参数及核心网设备参数生成第二终端密钥。其中，终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。所述终端设备身份标识能够对不同的终端设备起到区分作用，不同终端设备的终端设备身份标识不同，因此不同终端设备生成的第二终端密钥不同，从而能够区分不同终端设备生成的第二终端密钥。

所述终端设备身份标识可以采用终端设备国际移动用户标志(international mobile subscriber identity，IMSI)，当然，还可以采用其他能够区分不同终端设备的参数作为终端设备身份标识，本申请实施例对此不做限定。

另外，终端随机数为终端设备随机生成的一个数据，将终端随机数作为终端设备参数，能够保障终端设备参数不易被仿冒，从而提高终端设备参数的安全性，进一步提高获取第二终端密钥的安全性。

其中，核心网设备参数可包括多种形式，在其中一种形式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。所述核心网设备身份标识用于对不同的核心网设备起到区分作用，因此终端设备在与不同的核心网设备进行信息交互时，核心网设备参数中的核心网设备身份标识不同，导致终端设备生成的第二终端密钥不同，从而能够区分终端设备与不同核心网设备进行信息交互时生成的第二终端密钥。

在本申请实施例中，可预先为各个核心网设备分配一个不同的核心网标签，通过核心网标签区分各个核心网设备，这种情况下，可将该核心网标签作为核心网设备身份标识。当然，还可以采用其他能够区分不同核心网设备的参数作为核心网设备身份标识，本申请实施例对此不做限定。

另外，核心网随机数为核心网设备随机生成的一个数据，不易通过多次抓取数据被攻击，将核心网随机数作为核心网设备参数，能够保证核心网设备参数不易被仿冒，从而提高核心网设备参数的安全性，进一步提高获取第二终端密钥的安全性。

终端设备采用第二密钥生成算法生成第二终端密钥。其中，第二密钥生成算法可采用多种形式的密钥生成算法，例如，第二密钥生成算法也可以为HMAC-SHA-256算法。也就是说，可以通过公式(1)与公式(2)计算第二终端密钥。

Derived Key为第二终端密钥，RootKey为终端设备中的第一根密钥，S为密钥计算参数。该公式输出的字符长度通常为256bit，在本申请实施例中，可以使用其中的低128位作为第二终端密钥。

另外，用于获取密钥计算参数S的公式(2)中，FC为预设值，通常情况下，FC＝0x015，当然，也可将FC设置为其他数值；Algorithm Type Distinguisher为预设值，例如，在计算第二终端密钥时，可设置Algorithm Type Distinguisher＝0x01；NET ID是作为核心网设备身份标识的核心网标签；L0为Algorithm Type Distinguisher的字节长度；L1为NET ID的字节长度；NET Rand为核心网随机数；L2为核心网随机数NET Rand的字节长度；IMSI是作为终端设备身份标识的终端设备国际移动用户标志；L3为IMSI的字节长度；UE Rand为终端随机数；L4为终端随机数UE Rand的字节长度。

当然，还可以采用其他形式的密钥生成算法，本申请实施例对此不作限定。

进一步的，为了提高通信系统的安全性，预先设置在终端设备中的第一根密钥和第二根密钥可经过加密处理，当需要时，终端设备再对其进行解密，然后分别通过解密后的第一根密钥生成第一终端密钥，通过解密后的第二根密钥生成第二终端密钥。第一根密钥和第二根密钥的加解密方式可以相同，也可以不同，本申请实施例对此不做限定。

另外，第一根密钥和第二根密钥可为同一根密钥，即终端设备通过相同的根密钥生成第一终端密钥和第二终端密钥，或者第一根密钥和第二根密钥分别为不同的根密钥，本申请实施例对此不做限定。

在本申请实施例中，附着接受信息和附着完成信息中均包含完整性校验码，这种情况下，附着接受信息和附着完成信息的部分信息结构可如下表所示：

其中，“Sec Hdr Type”用于表示该条信息的安全类型，在本申请实施例中，若在“Sec Hdr Type”字段中设置有预设值(例如11)，则表示该条信息经过完整性保护，该条信息中设置有完整性校验码；“Reserved”为预留字段；“MAC”字段构成32位的完整性校验码；Sequence number为信息计数。

相应的，本申请通过第二实施例公开一种信息交互方法，该方法应用于核心网设备，该核心网设备可通过无线接入网设备与终端设备之间进行信息交互，该终端设备能够执行本申请第一实施例公开的信息交互方法，因此，核心网设备在执行本申请第二实施例公开的信息交互方法时，终端设备所执行的操作可参见本申请第一实施例公开的内容。

参见图6所示的工作流程示意图，本申请实施例公开的所述信息交互方法包括：

步骤S21、核心网设备接收终端设备传输的附着请求信息。

当终端设备需要接入核心网设备时，终端设备会产生附着请求信息，将附着请求信息传输至无线接入网设备，再由无线接入网设备传输至核心网设备，以使核心网设备能够接收到所述附着请求信息。

另外，在该附着请求信息中，可以包括终端设备参数。其中，所述终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。所述终端设备身份标识能够对不同的终端设备起到区分作用，可以为终端设备国际移动用户标志(international mobile subscriber identity，IMSI)。

步骤S22、所述核心网设备在生成附着接受信息后，基于所述附着接受信息，获取第一完整性校验码，并向所述终端设备传输添加有所述第一完整性校验码的附着接受信息。

核心网设备中预先设置有第二完整性算法。在接收到附着请求信息后，核心网设备能够根据预先设定的第二完整性算法对附着接受信息进行计算，获取相应的第一完整性校验码。然后，所述核心网设备将所述第一完整性校验码添加至所述附着接受信息中，并将添加所述第一完整性校验码的附着接受信息通过无线接入网设备传输至所述终端设备。

步骤S23、所述核心网设备接收所述终端设备传输的加密的附着完成信息，所述附着完成信息中包含所述终端设备的第三完整性校验码。

终端设备接收到附着接受信息后，对所述附着接受信息进行计算，获取第二完整性校验码。其中，终端设备在对附着接受信息进行计算时，通常根据预先设定的第一完整性算法进行计算。另外，核心网设备通过预先设定的第二完整性算法对附着接受信息进行计算，获取第一完整性校验码。若允许终端设备接入核心网设备，则预先设定第一完整性算法与第二完整性算法相同。也就是说，终端设备与核心网设备采用相同的完整性算法进行完整性验证。

这种情况下，若所述第一完整性校验码和第二完整性校验码相同，则终端设备确定核心网设备的身份合法。也就是说，本申请实施例中，终端设备通过完整性校验码对核心网设备进行身份认证。

在确定核心网设备的身份合法(即第一完整性校验码和第二完整性校验码相同)后，所述终端设备会生成附着完成信息，再对所述附着完成信息进行加密，从而获取加密的附着完成信息。然后，终端设备使用第一完整性算法对加密的附着完成信息进行计算，获取第三完整性校验码，再将所述第三完整性校验码添加至所述加密的附着完成信息中，通过无线接入网设备将添加有所述第三完整性校验码的附着完成信息传输至核心网设备。

步骤S24、所述核心网设备基于所述加密的附着完成信息，获取第四完整性校验码。

该步骤中，核心网设备在接收到附着完成信息后，能够根据第二完整性算法对附着完成信息进行计算，获取第四完整性校验码。

步骤S25、若所述第三完整性校验码与所述第四完整性校验码相同，所述核心网设备对所述加密的附着完成信息进行解密，并在解密成功后，确定所述终端设备接入核心网设备。

核心网设备若确定第三完整性校验码与第四完整性校验码相同，则可确定终端设备的身份合法。也就是说，核心网设备通过所述附着完成信息中包含的第三完整性校验码实现对终端设备的身份认证。

另外，终端设备对附着完成信息进行了加密处理，以提高附着完成信息的安全性。并且，终端设备通常采用预设的第一加解密方法对附着完成信息进行加密，而核心网设备接收到附着完成信息后，采用预设的第二加解密方法对附着完成信息进行解密。若终端设备允许接入核心网设备，则预先设定第一加解密方法与第二加解密方法相同。

这种情况下，在根据确定终端设备的身份合法后，若核心网设备能够根据第二加解密方法对附着完成信息进行解密，说明终端设备与核心网设备之间交互的信息能够进行加解密，则确定终端设备接入核心网设备。

进一步的，终端设备在接入核心网设备之后，终端设备与核心网设备之间能够继续进行信息交互，例如，终端设备将获取到的检测数据通过无线接入网设备传输至核心网设备，核心网设备向通过无线接入网设备向终端设备传输指令信息等。这种情况下，每次信息交互时，信息的发送端可在交互的信息中添加根据该信息计算得到的完整性校验码，以及对该信息进行加密。接收到该信息的接收端对该信息进行计算，获取相应的完整性校验，若计算获取的完整性校验码与该信息中添加的完整性校验码相同，则接收端可确定接收到的信息完整，并在确定接收到的信息完整之后，可根据预设的加解密算法进行解密，从而提高了通信系统的安全性。

本申请实施例公开一种信息交互方法，该方法中，核心网设备在接收到终端设备传输的附着请求信息之后，生成附着接受信息，基于该附着接受信息获取第一完整性校验码，并将该第一完整性校验码添加至附着接受信息中，然后将附着接受信息传输至终端设备；终端设备接收所述核心网设备传输的附着接受信息，并基于所述附着接受信息获取第二完整性校验码；若所述第一完整性校验码和所述第二完整性校验码相同，终端设备确定核心网设备的身份合法，也就是说，终端设备通过附着接受信息中包含的第一完整性校验码实现对核心网的身份认证，这种情况下，终端设备生成附着完成信息并对所述附着完成信息进行加密，然后基于加密的附着完成信息获取第三完整性校验码，将所述第三完整性校验码添加至加密的附着完成信息中，再向核心网设备传输添加有所述第三完整性校验码且加密的附着完成信息；核心网设备接收到附着完成信息后，基于该附着完成信息获取第四完整性校验码，若第三完整性校验码与第四完整性校验码相同核心网设备确定终端设备的身份合法，也就是说，核心网设备通过附着完成信息中包含的第四完整性校验码实现对终端设备的身份认证，然后，核心网设备对附着完成信息进行解密，若解密成功，则确定终端设备接入核心网设备。

参见图4所示的信息交互流程示意图，通过本申请实施例公开的信息交互方法，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

与现有技术相比，本申请实施例公开的方案，在保障通信系统安全性的前提下，减少数据交互的流程，并且减少终端设备与核心网设备之间交互的信息的数据量，从而减少了终端设备与核心网设备进行信息交互的耗时，以及减少终端设备的功耗开销。

进一步的，在步骤S22中，公开核心网设备在生成附着接受信息后，基于所述附着接受信息，获取第一完整性校验码的操作。其中，所述基于所述附着接受信息，获取第一完整性校验码，包括以下步骤：

首先，所述核心网设备基于预设的第三根密钥、核心网设备参数及所述附着请求信息 中包含的终端设备参数，通过预设的第三密钥生成算法生成第一核心网密钥；然后，所述核心网设备基于所述第一核心网密钥和所述附着接受信息，通过预设的第二完整性算法，获取所述第一完整性校验码。

本申请实施例中，在终端设备中预先设置第一根密钥，并且在附着接受信息中包含核心网设备参数。接收到附着接受信息后，终端设备根据第一根密钥、终端设备参数及附着接受信息中包含的核心网设备参数，以及第一密钥生成算法生成第一终端密钥，所述第一终端密钥用于生成完整性校验码。

相应的，在核心网设备中预先设置有第三根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备能够根据第三根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第三密钥生成算法生成第一核心网密钥，所述第一核心网密钥用于生成完整性校验码。

这种情况下，若终端设备允许接入核心网设备，则根据预先的设置，第一根密钥与第三根密钥相同，第一密钥生成算法与第二密钥生成算法相同，并且，由于计算第一终端密钥与计算第一核心网密钥的过程中，均依据终端设备参数及核心网设备参数，因此，计算得到的第一终端密钥与第一核心网密钥相同。

进一步的，在终端设备中预先设置第一完整性算法，通过第一完整性算法对附着接受信息进行计算，能够得到第二完整性校验码。在核心网设备中预先设置第二完整性算法，通过第二完整性算法对附着接受信息进行计算，能够得到第一完整性校验码。若终端设备允许接入核心网设备，则预先设置第一完整性算法与第二完整性算法相同。

由于第一终端密钥与第一核心网密钥相同，第一完整性算法与第二完整性算法相同，并且，计算第一完整性校验码与计算第二完整性校验码的过程中，均对附着接受信息进行计算，因此，在核心网设备身份合法的情况下，第一完整性校验码与第二完整性校验码相同。这种情况下，终端设备通过比较第一完整性校验码与第二完整性校验码是否相同，即可判定核心网设备的身份是否合法。

另外，本申请实施例中，核心网设备根据第三根密钥、核心网设备参数及终端设备参数生成第一核心网密钥。其中，终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。所述终端设备身份标识能够对不同的终端设备起到区分作用，不同终端设备的终端设备身份标识不同，因此能够区分核心网设备在与不同终端设备进行信息交互时，生成的第一核心网密钥。

所述终端设备身份标识可以采用终端设备国际移动用户标志(international mobile subscriber identity，IMSI)，当然，还可以采用其他能够区分不同终端设备的参数作为终端设备身份标识，本申请实施例对此不做限定。

另外，终端随机数为终端设备随机生成的一个数据，将终端随机数作为终端设备参数，能够保障终端设备参数不易被仿冒，从而提高终端设备参数的安全性，进一步提高获取第一核心网密钥的安全性。

其中，核心网设备参数可包括多种形式，在其中一种形式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。所述核心网设备身份标识用于对不同的核心网设备起到区分作用，因此不同的核心网设备生成的第一核心网密钥不同，从而能够区分不同核心网设备生成的第一核心网密钥。

在本申请实施例中，可预先为各个核心网设备分配一个不同的核心网标签，通过核心网标签区分各个核心网设备，这种情况下，可将该核心网标签作为核心网设备身份标识。当然，还可以采用其他能够区分不同核心网设备的参数作为核心网设备身份标识，本申请实施例对此不做限定。

另外，核心网随机数为核心网设备随机生成的一个数据，不易通过多次抓取数据被攻击，将核心网随机数作为核心网设备参数，能够保证核心网设备参数不易被仿冒，从而提高核心网设备参数的安全性，进一步提高获取第一核心网密钥的安全性。

本申请实施例中，核心网设备采用第三密钥生成算法生成第一核心网密钥。其中，第三密钥生成算法可以为多种形式的密钥生成算法。例如，第三密钥生成算法可以为HMAC-SHA-256算法。也就是说，核心网设备能够根据公式(1)和公式(2)生成第一核心网密钥。

其中，核心网设备在计算第一核心网密钥时采用HMAC-SHA-256算法，则在公式(1)中，Derived Key为第一核心网密钥，RootKey为核心网设备中的第三根密钥，S为密钥计算参数。公式(1)输出的字符长度通常为256bit，在本申请实施例中，可以使用其中的低128位作为第一核心网密钥。并且，用于获取密钥计算参数S的公式(2)中，FC为预设值，通常情况下，FC＝0x015，当然，也可将FC设置为其他数值；Algorithm Type Distinguisher的具体数值与计算第一终端密钥时设置的具体数值相同。例如，若在计算第一终端密钥时，Algorithm Type Distinguisher＝0x02，相应的，在计算第一核心网密钥时，Algorithm Type Distinguisher＝0x02。NET ID是作为核心网设备身份标识的核心网标签；L0为Algorithm Type Distinguisher的字节长度；L1为核心网标签NET ID的字节长度；NET Rand为核心网随机数；L2为核心网随机数NET Rand的字节长度；IMSI是作为终端设备身份标识的终端设备国际移动用户标志；L3为IMSI的字节长度；UE Rand为终端随机数；L4为终端随机数UE Rand的字节长度。

这种情况下，可通过公式(2)获取S的值，然后将S的值带入至公式(1)，计算得到第一核心网密钥。

当然，还可以采用其他形式的密钥生成算法，本申请实施例对此不作限定。

另外，核心网设备基于第一核心网密钥和附着接受信息，通过预设的第二完整性算法获取所述第一完整性校验码，该第二完整性算法可为多种形式，例如，第二完整性算法可采用AES-128-CMAC，其算法示意图如图5所示。该算法中，根据信息计数、信息、信息方向、固定数值参数以及用于完整性保护的密钥，即可计算得到完整性校验码。其中，信息为计算完整性校验码时所应用的信息，其中，在计算第一完整性校验码时，信息即为附着接受信息；另外，若应用的信息的信息方向为上行，则信息方向通常取值为0，若应用的信息的信息方向为下行，则信息方向通常取值为1；固定数值参数通常取值为0。

当然，还可以采用其他的完整性算法，本申请实施例对此不作限定。

进一步的，本申请实施例的步骤S25中，公开核心网设备对所述加密的附着完成信息进行解密的操作。所述核心网设备对所述加密的附着完成信息进行解密通常包括以下步骤：

首先，所述核心网设备基于预设的第四根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第四密钥生成算法生成第二核心网密钥；然后，所述核心网设备基于所述第二核心网密钥，通过预设的第二加解密算法对所述加密的附着完成 信息进行解密。

本申请实施例中，在终端设备中预先设置第二根密钥，并且在附着请求信息中包含终端设备参数。接收到附着接受信息后，终端设备获取核心网设备参数，然后根据第二根密钥、终端设备参数及核心网设备参数，以及第二密钥生成算法生成第二终端设备密钥，所述第二终端设备密钥用于对交互的信息进行加密保护。

另外，在核心网设备中，预先设置第四根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备根据第四根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第四密钥生成算法生成第二核心网设备密钥，所述第二核心网设备密钥用于对交互的信息进行加密保护。

这种情况下，若允许终端设备接入核心网设备，则预先设置第二根密钥与第四根密钥相同，第二密钥生成算法与第四密钥生成算法相同，并且，由于计算第二终端设备密钥与计算第二核心网设备密钥的过程中，均依据终端设备参数及核心网设备参数，因此，第二终端设备密钥与第二核心网设备密钥相同。

进一步的，在终端设备中预先设置第一加解密算法，以便通过第一加解密算法对附着完成信息进行加密。在核心网设备中预先设置第二加解密算法，以便通过第二加解密算法对附着完成信息进行解密。其中，若允许终端设备接入核心网设备，则预先设置第一加解密算法与第二加解密算法相同，以便核心网设备能够对终端设备加密的信息进行解密。

另外，本申请实施例中，核心网设备根据第四根密钥、核心网设备参数及终端设备参数生成第二核心网密钥。其中，终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。所述终端设备身份标识能够对不同的终端设备起到区分作用，不同终端设备的终端设备身份标识不同，因此能够区分核心网设备在与不同终端设备进行信息交互时，生成的第二核心网密钥。

所述终端设备身份标识可以采用终端设备国际移动用户标志(international mobile subscriber identity，IMSI)，当然，还可以采用其他能够区分不同终端设备的参数作为终端设备身份标识，本申请实施例对此不做限定。

另外，终端随机数为终端设备随机生成的一个数据，将终端随机数作为终端设备参数，能够保障终端设备参数不易被仿冒，从而提高终端设备参数的安全性，进一步提高获取第二核心网密钥的安全性。

其中，核心网设备参数可包括多种形式，在其中一种形式中，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。所述核心网设备身份标识用于对不同的核心网设备起到区分作用，因此不同的核心网设备生成的第二核心网密钥不同，从而能够区分不同核心网设备生成的第二核心网密钥。

在本申请实施例中，可预先为各个核心网设备分配一个不同的核心网标签，通过核心网标签区分各个核心网设备，这种情况下，可将该核心网标签作为核心网设备身份标识。当然，还可以采用其他能够区分不同核心网设备的参数作为核心网设备身份标识，本申请实施例对此不做限定。

另外，核心网随机数为核心网设备随机生成的一个数据，不易通过多次抓取数据被攻击，将核心网随机数作为核心网设备参数，能够保证核心网设备参数不易被仿冒，从而提高核心网设备参数的安全性，进一步提高获取第二核心网密钥的安全性。

上述步骤中，核心网设备采用第四密钥生成算法生成第二核心网密钥。其中，第四密钥生成算法可采用多种形式的密钥生成算法，例如，第四密钥生成算法也可以为HMAC-SHA-256算法。也就是说，可以通过公式(1)与公式(2)计算第二核心网密钥。

在通过HMAC-SHA-256算法计算第二核心网密钥时，Derived Key为第二核心网密钥，RootKey为核心网设备中的第四根密钥，S为密钥计算参数。该公式输出的字符长度通常为256bit，在本申请实施例中，可以使用其中的低128位作为第二核心网密钥。

另外，用于获取密钥计算参数S的公式(2)中，FC为预设值，通常情况下，FC＝0x015，当然，也可将FC设置为其他数值；Algorithm Type Distinguisher为预设值，Algorithm Type Distinguisher的具体数值与计算第二终端密钥时设置的具体数值相同，例如，若在计算第二终端密钥时，Algorithm Type Distinguisher＝0x01，相应的，在计算第二核心网密钥时，Algorithm Type Distinguisher＝0x01；NET ID是作为核心网设备身份标识的核心网标签；L0为Algorithm Type Distinguisher的字节长度；L1为核心网标签NET ID的字节长度；NET Rand为核心网随机数；L2为核心网随机数NET Rand的字节长度；IMSI是作为终端设备身份标识的终端设备国际移动用户标志；L3为IMSI的字节长度；UE Rand为终端随机数；L4为终端随机数UE Rand的字节长度。

当然，还可以采用其他形式的密钥生成算法，本申请实施例对此不作限定。

进一步的，为了提高通信系统的安全性，所述第三根密钥和第四根密钥可经过加密处理，当需要时，核心网设备再对其进行解密，然后分别通过解密后的第三根密钥生成第一核心网密钥，通过解密后的第四根密钥生成第二核心网密钥。其中，核心网设备对第三根密钥和第四根密钥进行加解密时，可采用相同的加解密算法，也可采用不同的加解密算法，本申请实施例对此不做限定。

另外，第三根密钥和第四根密钥可为同一根密钥，即核心网设备通过相同的根密钥生成第一核心网密钥和第二核心网密钥。或者，第三根密钥和第四根密钥分别为不同的根密钥，本申请实施例对此不做限定。

下述为本申请装置实施例，可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节，请参照本申请方法实施例。

本申请通过第三实施例公开一种信息交互装置。该装置应用于图1中的终端设备，该终端设备能够通过无线接入网设备与核心网设备之间进行信息交互，并执行本申请第一实施例公开的信息交互方法。

参见图7所示的结构示意图，本申请实施例公开的信息交互装置包括：第一发送模块100、第一接收模块200和第一处理模块300。

其中，所述第一发送模块100用于向核心网设备传输附着请求信息。在该附着请求信息中，可以包括终端设备参数。其中，所述终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数。

所述第一接收模块200用于接收所述核心网设备传输的附着接受信息，所述附着接受信息中包括所述核心网设备的第一完整性校验码。

核心网设备接收到所述附着请求信息后，生成附着接受信息，并对所述附着接受信息进行计算，获取第一完整性校验码，将所述第一完整性校验码添加至附着接受信息中，再通过无线接入设备将添加有第一完整性校验码的附着接受信息传输至终端设备。

所述第一处理模块300用于基于所述附着接受信息获取第二完整性校验码，若所述第一完整性校验码和所述第二完整性校验码相同，所述第一处理模块用于获取加密的附着完成信息，并基于所述加密的附着完成信息获取第三完整性校验码，并触发所述第一发送模块向所述核心网设备传输添加有所述第三完整性校验码且加密的附着完成信息。

其中，第一处理模块300通常根据预先设定的第一完整性算法进行计算，获取第二完整性校验码。另外，核心网设备通过预先设定的第二完整性算法对附着接受信息进行计算，获取第一完整性校验码，这种情况下，若允许终端设备接入核心网设备，则预先设定第一完整性算法与第二完整性算法相同。

若所述第一完整性校验码和第二完整性校验码相同，则终端设备确定核心网设备的身份合法。在确定核心网设备的身份合法后，第一处理模块300生成附着完成信息，再对所述附着完成信息进行加密，从而获取加密的附着完成信息，然后使用第一完整性算法对加密的附着完成信息进行计算，获取第三完整性校验码，再将所述第三完整性校验码添加至所述加密的附着完成信息中。

这种情况下，核心网设备在接收到附着完成信息后，能够根据第二完整性算法对附着完成信息进行计算，获取第四完整性校验码。并且，核心网设备若确定第三完整性校验码与第四完整性校验码相同，则可确定终端设备的身份合法。也就是说，核心网设备通过所述附着完成信息中包含的第三完整性校验码实现对终端设备的身份认证。其中，第一完整性算法与第二完整性算法相同。

另外，第一处理模块对附着完成信息进行了加密处理，并且通常采用预设的第一加解密方法对附着完成信息进行加密，而核心网设备接收到附着完成信息后，采用预设的第二加解密方法对附着完成信息进行解密。若终端设备允许接入核心网设备，则预先设定第一加解密方法与第二加解密方法相同。这种情况下，在根据完整性校验码确定终端设备的身份合法后，若核心网设备能够根据第二加解密方法对附着完成信息进行解密，说明终端设备与核心网设备之间交互的信息能够互相进行加解密，则确定终端设备接入核心网设备。

通过本申请实施例公开的信息交互装置，终端设备与核心网设备之间只需要传输附着请求信息、附着接受信息和附着完成信息，也就是说，只需要进行三次信息交互，即可实现对对方身份的认证及数据保护。

与现有技术相比，本申请实施例公开的方案，在保障通信系统安全性的前提下，减少数据交互的流程，并且减少终端设备与核心网设备之间交互的信息的数据量，从而减少了终端设备与核心网设备进行信息交互的耗时，以及减少终端设备的功耗开销。

进一步的，所述第一处理模块具体用于基于预设的第一根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第一密钥生成算法生成第一终端密钥，并基于所述第一终端密钥和所述附着接受信息，通过预设的第一完整性算法获取所述第二完整性校验码。

在本申请实施例中，在终端设备中预先设置第一根密钥，并且在附着接受信息中包含核心网设备参数。接收到附着接受信息后，终端设备根据第一根密钥、终端设备参数及附着接受信息中包含的核心网设备参数，以及第一密钥生成算法生成第一终端密钥，所述第一终端密钥用于生成完整性校验码。

另外，在核心网设备中预先设置有第三根密钥，并且在接收到终端设备传输的附着请 求信息后，核心网设备能够根据第三根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第三密钥生成算法生成第一核心网密钥，所述第一核心网密钥用于生成完整性校验码。

这种情况下，若终端设备允许接入核心网设备，则根据预先的设置，第一根密钥与第三根密钥相同，第一密钥生成算法与第二密钥生成算法相同，并且，由于计算第一终端密钥与计算第一核心网密钥的过程中，均依据终端设备参数及核心网设备参数，因此，计算得到的第一终端密钥与第一核心网密钥相同。

进一步的，在终端设备中预先设置第一完整性算法，通过第一完整性算法和第一终端密钥对附着接受信息进行计算，能够得到第二完整性校验码。在核心网设备中预先设置第二完整性算法，通过第二完整性算法和第一核心网密钥对附着接受信息进行计算，能够得到第一完整性校验码。若终端设备允许接入核心网设备，则预先设置第一完整性算法与第二完整性算法相同。

由于第一终端密钥与第一核心网密钥相同，第一完整性算法与第二完整性算法相同，并且，计算第一完整性校验码与计算第二完整性校验码的过程中，均对附着接受信息进行计算，因此，在核心网设备身份合法的情况下，第一完整性校验码与第二完整性校验码相同。这种情况下，终端设备通过比较第一完整性校验码与第二完整性校验码是否相同，即可判定核心网设备的身份是否合法。

进一步的，所述第一处理模块具体用于基于预设的第二根密钥、终端设备参数及所述附着接受信息中包含的核心网设备参数，通过预设的第二密钥生成算法生成第二终端密钥，并在生成附着完成信息后，基于所述第二终端密钥，通过预设的第一加解密算法对所述附着完成信息进行加密。

本申请实施例中，在终端设备中预先设置第二根密钥，并且在附着接受信息中包含核心网设备参数。接收到附着接受信息后，终端设备获取核心网设备参数，然后根据第二根密钥、终端设备参数及核心网设备参数，以及第二密钥生成算法生成第二终端密钥，所述第二终端密钥用于对交互的信息进行加密保护。

另外，在核心网设备中，预先设置第四根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备根据第四根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第四密钥生成算法生成第二核心网密钥，所述第二核心网密钥用于对交互的信息进行加密保护。

这种情况下，若允许终端设备接入核心网设备，则预先设置第二根密钥与第四根密钥相同，第二密钥生成算法与第四密钥生成算法相同，并且，由于计算第二终端密钥与计算第二核心网密钥的过程中，均依据终端设备参数及核心网设备参数，因此，第二终端密钥与第二核心网密钥相同。

进一步的，在终端设备中预先设置第一加解密算法，以便通过第一加解密算法对附着完成信息进行加密。在核心网设备中预先设置第二加解密算法，以便通过第二加解密算法对附着完成信息进行解密。其中，若允许终端设备接入核心网设备，则预先设置第一加解密算法与第二加解密算法相同，以便核心网设备能够对终端设备加密的信息进行解密。

另外，在本申请实施例中，所述终端设备参数通常包括：终端设备身份标识和所述终端设备产生的终端随机数，所述核心网设备参数包括：核心网设备身份标识和所述核心网 设备产生的核心网随机数。

相应的，本申请通过第四实施例公开一种信息交互装置，该装置应用于核心网设备，该核心网设备可通过无线接入网设备与终端设备之间进行信息交互，并执行本申请第二实施例公开的信息交互方法。

参见图8所示的结构示意图，本申请实施例公开的信息交互装置包括：第二接收模块400、第二发送模块500和第二处理模块600。

其中，所述第二接收模块400用于接收终端设备传输的附着请求信息。

其中，当终端设备需要接入核心网设备时，终端设备会产生附着请求信息，并通过无线接入网设备将其传输至第二接收模块400。在该附着请求信息中，可以包括终端设备参数。

所述第二处理模块600用于在生成附着接受信息后，基于所述附着接受信息，获取第一完整性校验码，并触发所述第二发送模块500向所述终端设备传输添加有所述第一完整性校验码的附着接受信息。

核心网设备中预先设置有第二完整性算法。在接收到附着请求信息后，第二处理模块600能够根据预先设定的第二完整性算法对附着接受信息进行计算，获取相应的第一完整性校验码。然后，所述第二处理模块600将所述第一完整性校验码添加至所述附着接受信息中，并将添加所述第一完整性校验码的附着接受信息通过无线接入网设备传输至所述终端设备。

所述第二接收模块400还用于接收所述终端设备传输的加密的附着完成信息，所述附着完成信息中包含所述终端设备的第三完整性校验码。

终端设备接收到附着接受信息后，对所述附着接受信息进行计算，获取第二完整性校验码。其中，终端设备在对附着接受信息进行计算时，通常根据预先设定的第一完整性算法进行计算。另外，核心网设备通过预先设定的第二完整性算法对附着接受信息进行计算，获取第一完整性校验码。若允许终端设备接入核心网设备，则预先设定第一完整性算法与第二完整性算法相同。也就是说，终端设备与核心网设备采用相同的完整性算法进行完整性验证。这种情况下，若所述第一完整性校验码和第二完整性校验码相同，则终端设备确定核心网设备的身份合法。

在确定核心网设备的身份合法后，所述终端设备会生成附着完成信息，再对所述附着完成信息进行加密，从而获取加密的附着完成信息。然后，终端设备使用第一完整性算法对加密的附着完成信息进行计算，获取第三完整性校验码，再将所述第三完整性校验码添加至所述加密的附着完成信息中，通过无线接入网设备将添加有所述第三完整性校验码的附着完成信息传输至核心网设备，以便核心网设备通过第二接收模块500获取该附着完成信息。

所述第二处理模块600还用于基于所述加密的附着完成信息，获取第四完整性校验码，若所述第三完整性校验码与所述第四完整性校验码相同，所述第二处理模块600对所述加密的附着完成信息进行解密，并在解密成功后，确定所述终端设备接入核心网设备。

其中，第二处理模块600能够根据第二完整性算法对附着完成信息进行计算，获取第四完整性校验码。若确定第三完整性校验码与第四完整性校验码相同，则可确定终端设备的身份合法。

另外，终端设备对附着完成信息进行了加密处理，以提高附着完成信息的安全性。并且，终端设备通常采用预设的第一加解密方法对附着完成信息进行加密，而核心网设备接收到附着完成信息后，采用预设的第二加解密方法对附着完成信息进行解密。若终端设备允许接入核心网设备，则预先设定第一加解密方法与第二加解密方法相同。

这种情况下，在根据确定终端设备的身份合法后，若核心网设备能够根据第二加解密方法对附着完成信息进行解密，说明终端设备与核心网设备之间交互的信息能够进行加解密，则确定终端设备接入核心网设备。

与现有技术相比，本申请实施例公开的方案，在保障通信系统安全性的前提下，减少数据交互的流程，并且减少终端设备与核心网设备之间交互的信息的数据量，从而减少了终端设备与核心网设备进行信息交互的耗时，以及减少终端设备的功耗开销。

进一步的，在本申请实施例中，所述第二处理模块具体用于基于预设的第三根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第三密钥生成算法生成第一核心网密钥，并基于所述第一核心网密钥和所述附着接受信息，通过预设的第二完整性算法，获取所述第一完整性校验码。

本申请实施例中，在终端设备中预先设置第一根密钥，并且在附着接受信息中包含核心网设备参数。接收到附着接受信息后，终端设备根据第一根密钥、终端设备参数及附着接受信息中包含的核心网设备参数，以及第一密钥生成算法生成第一终端密钥，所述第一终端密钥用于生成完整性校验码。

相应的，在核心网设备中预先设置有第三根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备能够根据第三根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第三密钥生成算法生成第一核心网密钥，所述第一核心网密钥用于生成完整性校验码。

这种情况下，若终端设备允许接入核心网设备，则根据预先的设置，第一根密钥与第三根密钥相同，第一密钥生成算法与第二密钥生成算法相同，并且，由于计算第一终端密钥与计算第一核心网密钥的过程中，均依据终端设备参数及核心网设备参数，因此，计算得到的第一终端密钥与第一核心网密钥相同。

进一步的，在终端设备中预先设置第一完整性算法，通过第一完整性算法对附着接受信息进行计算，能够得到第二完整性校验码。在核心网设备中预先设置第二完整性算法，通过第二完整性算法对附着接受信息进行计算，能够得到第一完整性校验码。若终端设备允许接入核心网设备，则预先设置第一完整性算法与第二完整性算法相同。

由于第一终端密钥与第一核心网密钥相同，第一完整性算法与第二完整性算法相同，并且，计算第一完整性校验码与计算第二完整性校验码的过程中，均对附着接受信息进行计算，因此，在核心网设备身份合法的情况下，第一完整性校验码与第二完整性校验码相同。这种情况下，终端设备通过比较第一完整性校验码与第二完整性校验码是否相同，即可判定核心网设备的身份是否合法。

进一步的，在本申请实施例中，所述第二处理模块具体用于基于预设的第四根密钥、核心网设备参数及所述附着请求信息中包含的终端设备参数，通过预设的第四密钥生成算法生成第二核心网密钥，并基于所述第二核心网密钥，通过预设的第二加解密算法对所述加密的附着完成信息进行解密。

本申请实施例中，在终端设备中预先设置第二根密钥，并且在附着请求信息中包含终端设备参数。接收到附着接受信息后，终端设备获取核心网设备参数，然后根据第二根密钥、终端设备参数及核心网设备参数，以及第二密钥生成算法生成第二终端设备密钥，所述第二终端设备密钥用于对交互的信息进行加密保护。

另外，在核心网设备中，预先设置第四根密钥，并且在接收到终端设备传输的附着请求信息后，核心网设备根据第四根密钥、核心网设备参数及附着请求信息中包含的终端设备参数，利用第四密钥生成算法生成第二核心网设备密钥，所述第二核心网设备密钥用于对交互的信息进行加密保护。

这种情况下，若允许终端设备接入核心网设备，则预先设置第二根密钥与第四根密钥相同，第二密钥生成算法与第四密钥生成算法相同，并且，由于计算第二终端设备密钥与计算第二核心网设备密钥的过程中，均依据终端设备参数及核心网设备参数，因此，第二终端设备密钥与第二核心网设备密钥相同。

进一步的，在终端设备中预先设置第一加解密算法，以便通过第一加解密算法对附着完成信息进行加密。在核心网设备中预先设置第二加解密算法，以便通过第二加解密算法对附着完成信息进行解密。其中，若允许终端设备接入核心网设备，则预先设置第一加解密算法与第二加解密算法相同，以便核心网设备能够对终端设备加密的信息进行解密。

另外，在本申请实施例中，所述终端设备参数包括：终端设备身份标识和所述终端设备产生的终端随机数，所述核心网设备参数包括：核心网设备身份标识和所述核心网设备产生的核心网随机数。

相应的，本申请实施例还公开一种终端设备，该终端设备包括：收发端口、处理器和与所述处理器相连接的存储器；其中，所述收发端口用于和核心网设备之间进行信息的交互，并将从所述核心网设备接收的信息传输至处理器；所述存储器存储有可被所述处理器执行的指令；所述处理器用于获取所述收发端口传输的报文，并通过执行所述存储器中所存储的程序或指令，执行本申请第一实施例中所公开的信息交互方法。

相应的，本申请实施例还公开一种核心网设备，该核心网设备包括：收发端口、处理器和与所述处理器相连接的存储器；其中，所述收发端口用于和终端设备之间进行信息的交互，并将从所述终端设备接收的信息传输至处理器；所述存储器存储有可被所述处理器执行的指令；所述处理器用于获取所述收发端口传输的报文，并通过执行所述存储器中所存储的程序或指令，执行本申请第二实施例中所公开的信息交互方法。

本申请实施例还提供一种计算机程序产品，包括指令，当指令在计算机上运行时，使得计算机执行图2所公开的方法实施例中所公开的信息交互方法。

本申请实施例还提供一种计算机程序产品，包括指令，当指令在计算机上运行时，使得计算机执行图6所公开的方法实施例中所公开的信息交互方法。

具体实现中，本申请实施例还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可实现图2或图6所公开方法实施例中的信息交互方法中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，ROM)或随机存储记忆体(random access memory，RAM)等。

本申请实施例还提供了一种芯片，所述芯片装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现 本申请第一实施例或第二实施例中所公开的信息交互方法。

需要指出，根据实施的需要，可将本申请实施例中描述的各个部件/步骤拆分为更多部件/步骤，也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤，以实现本申请的目的。

本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本申请实施方式并不构成对本申请保护范围的限定。