CN116684879A

CN116684879A - 通信方法及装置

Info

Publication number: CN116684879A
Application number: CN202210164985.6A
Authority: CN
Inventors: 孙陶然; 吴义壮; 项弘禹; 崔洋
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2022-02-22
Filing date: 2022-02-22
Publication date: 2023-09-01
Also published as: WO2023160339A1

Abstract

本申请提供一种通信方法及装置，属于通信技术领域，能够实现伪基站检测。其中，伪基站可以采用拒绝服务的方式攻击终端，使得终端选择伪基站后却始终无法接入，即终端与小区建立连接失败。这种情况下，若有第一消息指示第一终端与小区建立连接失败，则可根据该第一消息确定该小区内存在伪基站攻击，实现伪基站检测。

Description

通信方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种通信方法及装置。

背景技术

在无线通信***中，正常的基站可以向外广播***消息，以便终端可以监听到***消息，并据此接入基站，建立无线资源控制(radio resource control，RRC)连接。

但是，如果有伪基站存在，则伪基站会对终端发起攻击，以阻止终端接入正常的基站。例如，伪基站可以重放正常基站的***消息，并采用功率压制的方式，迫使终端在接收到***消息后选择伪基站附着，不仅导致终端的业务中断，还存在用户信息泄露等安全风险。然而，针对伪基站攻击，目前并没有特别有效的检测手段。

发明内容

本申请实施例提供一种通信方法及装置，以实现伪基站检测。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种通信方法。该方法包括：第一设备接收来自第一终端的第一消息，以根据第一消息确定小区内存在伪基站攻击。其中，第一消息用于指示第一终端与小区建立连接失败。

根据第一方面所述的方法可知，伪基站可以采用拒绝服务的方式攻击终端，使得终端选择伪基站后却始终无法接入，即终端与小区建立连接失败。这种情况下，若有第一消息指示第一终端与小区建立连接失败，则可根据该第一消息确定该小区内存在伪基站攻击，实现伪基站检测。

一种可能的设计方案中，第一设备根据第一消息，确定小区内存在伪基站攻击，包括：第一设备根据第一消息，确定与小区建立连接失败的终端数量，以根据终端数量大于第一阈值，确定小区内存在伪基站攻击。也就是说，在大量的终端都上报其与小区建立连接失败的情况下，第一设备才确定该小区内存在伪基站攻击，避免因某些终端误报而影响伪基站检测，进一步提高伪基站检测的准确性。

可选地，第一方面所述的方法还可以包括：第一设备预配置第一阈值。或者，第一设备接收来自网络数据分析网元或者移动性管理网元的第一阈值。如此，第一设备可以根据实际应用场景的需求，选择合适的阈值配置方式，确保伪基站检测能够适用于各种场景。例如，如果网络侧未执行过伪基站检测，则第一设备可使用自身预配置的第一阈值，以确保伪基站检测能够正常执行。如果网络侧执行过伪基站检测，则第一设备可使用网络侧先前检测所使用的第一阈值，以确保伪基站检测的准确性。

进一步的，当第一设备接收来自网络数据分析网元的第一阈值，则第一方面所述的方法还可以包括：第一设备向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第一阈值，以确保伪基站检测的准确性。

可选地，第一方面所述的方法还可以包括：第一设备根据终端数量，更新第一阈值，以提高伪基站检测的准确性。

进一步的，第一设备根据终端数量，更新第一阈值，可以包括：第一设备根据终端数量，更新预配置的第一阈值，也即第一设备自行更新第一阈值，以提高阈值更新效率。或者，第一设备向网络数据分析网元发送终端数量，以接收来自网络数据分析网元更新后的第一阈值，从而可以降低第一设备的开销，提高运行效率。

可选地，第一设备根据终端数量大于第一阈值，确定小区内存在伪基站攻击，包括：第一设备根据终端数量大于第一阈值，向接入网设备发送第二消息，并接收来自接入网设备的第三消息。其中，第二消息用于请求该小区的小区接入相关参数。第三消息包括：小区接入相关参数。小区接入相关参数包括如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。如此，第一设备根据小区接入相关参数和第二阈值，确定小区内存在伪基站攻击。可以看出，在大量的终端都上报其与小区建立连接失败的情况下，第一设备可进一步从接入网设备获取该小区的小区接入相关参数，并以此来确定该小区是否存在伪基站攻击，进一步提高伪基站检测的准确性。

进一步的，第一设备根据小区接入相关参数和第二阈值，确定小区内存在伪基站攻击包括：当小区接入相关参数和第二阈值之间的关系为如下至少一项关系中的任一项关系，确定小区内存在伪基站攻击，至少一项关系包括：切换到小区失败的次数大于第二阈值、小区内已接入的终端数量小于第二阈值、或小区内新接入的终端数量小于第二阈值。

可以看出，在上述判断逻辑中，只要小区接入相关参数中有任一项参数与对应的第二阈值间的关系与预设关系相同，便认为该项参数异常，存在伪基站攻击。而只有在小区接入相关参数中每项参数与对应的第二阈值间的关系与预设关系不同，才确定不存在伪基站攻击，确保伪基站攻击能够被准确检测出，避免漏检。例如，在终端切换到小区失败的次数大于第二阈值的情况下，即使小区内新接入的终端数量大于或等于第二阈值，第一设备仍确定小区存在伪基站攻击。

进一步的，第一方面所述的方法还可以包括：第一设备预配置第二阈值。或者，第一设备接收来自网络数据分析网元或者移动性管理网元的第二阈值。如此，第一设备可以根据实际应用场景的需求，选择合适的阈值配置方式，确保伪基站检测能够适用于各种场景。例如，如果网络侧没有执行过伪基站检测，则第一设备可使用自身预配置的第二阈值，以确保伪基站检测能够正常执行。如果网络侧执行过伪基站检测，则第一设备可使用网络侧先前检测所使用的第二阈值，以确保伪基站检测的准确性。

进一步的，当第一设备接收来自网络分析网元的第二阈值，则第一方面所述的方法还可以包括：第一设备向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第二阈值，以确保伪基站检测的准确性。

进一步的，第一方面所述的方法还可以包括：第一设备根据小区接入相关参数，更新第二阈值，以进一步提高伪基站检测的准确性。

进一步的，第一设备根据小区接入相关参数，更新第二阈值，可以包括：第一设备根据小区接入相关参数，更新预配置的第二阈值。也即第一设备自行更新第二阈值，以提高阈值更新效率。或者，第一设备向网络数据分析网元发送小区接入相关参数，以接收来自网络数据分析网元更新后的第二阈值，从而可以降低第一设备的开销，提高运行效率。

进一步的，小区接入相关参数还可以包括：在切换到小区失败时，终端所在的源小区，第一方面所述的方法还包括：在小区内存在伪基站攻击的情况下，第一设备根据源小区的位置，确定伪基站的方位，以方便找到伪基站攻击的攻击源所在位置。

进一步的，第一方面所述的方法还可以包括：第一设备向接入网设备指示开启伪基站攻击检测。例如，在接入网设备默认不开启伪基站攻击检测的情况下，需要指示接入网设备开启伪基站攻击检测，以确保接入网设备能够记录并上报小区接入相关参数，实现伪基站攻击检测。当然，在接入网设备默认开启伪基站攻击检测的情况下，第一设备也可以不指示，以降低通信开销。

一种可能的设计方案中，第一方面所述的方法还可以包括：第一设备向第一终端指示开启伪基站攻击检测。例如，在第一设备默认不开启伪基站攻击检测的情况下，需要指示接入网设备开启伪基站攻击检测，以确保第一终端在与小区建立连接失败时能够上报该事件，实现伪基站攻击检测。当然，在第一终端默认开启伪基站攻击检测的情况下，第一设备也可以不指示，以降低通信开销。

可选地，第一方面所述的方法还可以包括：第一设备根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。例如，第一设备可以判断该区域的安全等级是否比较高，例如是否大于安全等级阈值。如果安全等级比较高，则对该区域内的小区执行伪基站检测。否则，如果安全等级比较低，则不对该区域内的小区执行伪基站检测。也就是说，第一设备可只对安全等级比较高的小区执行伪基站检测，以提高设备运行效率，降低开销。

第二方面，提供一种通信方法。该方法包括：第一终端确定第一终端与小区建立连接失败，从而向第一设备发送第一消息，第一消息用于指示第一终端与小区建立连接失败。

一种可能的设计方案中，第一终端向第一设备发送第一消息，包括：在第一终端与小区建立连接失败的次数大于第三阈值的情况下，第一终端向第一设备发送第一消息。也就是说，如果第一终端与同一小区多次建立连接失败，则说明第一终端可能遭到伪基站的拒绝服务攻击。此时，第一终端向第一设备上报这一事件，触发第一设备进行伪基站检测，不仅可以提高伪基站检测的准确性，也可以确保第一设备用于伪基站检测的资源能够被有效利用，避免在没有伪基站攻击时，第一设备仍执行伪基站检测而导致资源浪费。

可选地，第二方面所述的方法还可以包括：第一终端预配置第三阈值；或者，第一终端接收来自第一设备的第三阈值。如此，第一终端可以根据实际应用场景的需求，选择合适的阈值配置方式，确保伪基站检测能够适用于各种场景。例如，如果网络侧没有执行过伪基站检测，则第一终端可使用自身预配置的第三阈值，以确保伪基站检测能够正常执行。如果网络侧执行过伪基站检测，则第一终端可使用网络侧先前检测所使用的第三阈值，以确保伪基站检测的准确性。

可选地，第二方面所述的方法还可以包括：第一终端根据第一终端与小区建立连接失败的次数，更新第三阈值，以提高伪基站检测的准确性。

进一步的，第一终端根据第一终端与小区建立连接失败的次数，更新第三阈值，包括：第一终端根据第一终端与小区建立连接失败的次数，更新预配置的第三阈值。也即第一终端自行更新第三阈值，以提高阈值更新效率。或者，第一终端向第一设备发送第一终端与小区建立连接失败的次数，以接收来自第一设备更新后的第三阈值，从而可以降低第三设备的开销，提高运行效率。

一种可能的设计方案中，第一方面所述的方法还可以包括：第一终端接收来自第一设备的指示开启伪基站攻击检测的信息。

可选地，第一消息还用于确定小区内是否存在伪基站攻击。也就是说，第一消息可以通过指示第一终端与小区建立连接失败，隐式指示小区可能存在伪基站攻击，从而触发第一设备进行伪基站检测。如此，第一终端无需额外再发送消息指示，以提高通信效率，降低通信开销。

此外，第二方面所述的通信方法的其他技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第三方面，提供一种通信方法。该方法包括：第一设备接收来自第一接入网设备的第一消息，并根据第一消息，确定小区内存在伪基站攻击。其中，第一消息用于指示小区的接入情况。

根据第三方面所述的方法可知，伪基站通过功率压制的方式发起攻击，可使得终端接入正常基站的小区受限。这种情况下，通过分析该小区的接入情况，可确定该小区内存在伪基站攻击，实现伪基站检测。

一种可能的设计方案中，小区的接入情况包括如下至少一项：切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值，表示小区内存在伪基站攻击事件。在该方案中，可以理解为第一消息本身用于指示小区的接入情况，或者第一消息中包括指示小区的接入情况的信息，即该信息可以用于指示切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值，表示小区内存在伪基站攻击事件。也就是说，在第一接入网设备可自行确定小区内存在伪基站攻击事件的情况下，第一设备仅通过判断是否接收到第一消息，或者第一消息是否携带有该信息，便可确定小区内是否存在伪基站攻击，以节约设备开销，提高设备运行效率。

另一种可能的设计方案中，第一消息包括小区接入相关参数(即可以理解为小区接入相关参数可指示小区的接入情况)，例如小区接入相关参数为以下信息中的至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。也就是说，第一接入网设备可以仅采集并上报这些参数，例如在小区接入相关参数有更新的情况下，向第一设备发送这些参数，以节约设备开销，提高设备运行效率。如此，第一设备根据第一消息，确定小区内存在伪基站攻击，包括：当小区接入相关参数和第一阈值之间的关系为如下至少一项关系中的任一项关系，确定小区内存在伪基站攻击。至少一项关系包括：切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值。

可选地，第三方面所述的方法还可以包括：第一设备预配置第一阈值。或者，第一设备接收来自网络数据分析网元或者移动性管理网元的第一阈值。

进一步的，当第一设备接收来自网络分析网元的第一阈值，则第三方面所述的方法还可以包括：第一设备向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

可选地，第三方面所述的方法还可以包括：第一设备根据小区的接入情况，更新第一阈值。

进一步的，第一设备根据小区的接入情况，更新第一阈值，包括：第一设备根据小区的接入情况，更新预配置的第一阈值。或者，在小区的接入情况由小区接入相关参数指示的情况下，第一设备向网络数据分析网元发送小区接入相关参数，以接收来自网络数据分析网元更新后的第一阈值。

再一种可能的设计方案中，第一设备根据第一消息，确定小区内存在伪基站攻击，包括：第一设备根据第一消息，向第一终端发送第二消息，以接收来自第一终端的第三消息。其中，第二消息用于请求第一终端与小区建立连接的情况，第三消息用于指示第一终端与小区建立连接失败。如此，第一设备根据第三消息，确定小区内存在伪基站攻击。可以看出，在小区的接入情况异常时，第一设备可进一步从第一终端获取第一终端与该小区建立连接的情况，并以此来确定该小区是否存在伪基站攻击，进一步提高伪基站检测的准确性。

可选地，第三方面所述的方法还可以包括：第一设备根据第一消息，确定上述小区的相邻小区的第二接入网设备。相应的，第一设备根据第一消息，向第一终端发送第二消息，包括：第一设备通过第二接入网设备，向第一终端发送第二消息。可以看出，在小区的接入情况异常，也即该小区可能遭到伪基站攻击时，第一设备可以向该小区的邻居小区，也即向正常的小区请求第一终端与该小区建立连接的情况，以获取到有效且可靠的信息，确保伪基站检测的准确性。

可选地，第三消息还用于指示第一终端与小区建立连接失败的次数大于第二阈值。也就是说，如果第一终端与同一小区多次建立连接失败，则说明第一终端可能遭到伪基站的拒绝服务攻击。此时，第一终端向第一设备上报这一事件，触发第一设备确定该小区内是否存在伪基站攻击，不仅可以提高伪基站检测的准确性，也可以确保第一设备用于伪基站检测的资源能够被有效利用，避免在没有伪基站攻击时，第一设备仍执行伪基站检测而导致资源浪费。

可选地，第一设备根据第三消息，确定小区内存在伪基站攻击，包括：第一设备根据第三消息，确定与小区建立连接失败的终端数量，并根据与小区建立连接失败的终端数量大于第三阈值，确定小区内存在伪基站攻击。

进一步的，第三方面所述的方法还可以包括：第一设备预配置第三阈值。或者，第一设备接收来自网络数据分析网元或者移动性管理网元的第三阈值。

进一步的，当第一设备接收来自网络数据分析网元的第三阈值，则第三方面所述的方法还可以包括：第一设备向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

进一步的，第三方面所述的方法还可以包括：第一设备根据与小区建立连接失败的终端数量，更新第三阈值。

进一步的，第一设备根据与小区建立连接失败的终端数量，更新第三阈值，包括：第一设备根据与小区建立连接失败的终端数量，更新预配置的第三阈值。或者，第一设备向网络数据分析网元发送与小区建立连接失败的终端数量，以接收来自网络数据分析网元更新后的第三阈值。

可选地，第三方面所述的方法还可以包括：第一设备向第一终端指示开启伪基站攻击检测。

一种可能的设计方案中，第一消息还包括：在切换到小区失败时，终端所在的源小区。第三方面所述的方法还可以包括：在小区内存在伪基站攻击的情况下，第一设备根据源小区的位置，确定伪基站的方位。

一种可能的设计方案中，第三方面所述的方法还可以包括：第一设备向第一接入网设备指示开启伪基站攻击检测。

一种可能的设计方案中，第三方面所述的方法还可以包括：第一设备根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

此外，第三方面所述的通信方法的其他技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第四方面，提供一种通信方法。该方法包括：第一接入网设备确定小区的接入情况，并向第一设备发送第一消息，第一消息用于指示小区的接入情况。

一种可能的设计方案中，第一消息中包括接入相关参数(即可以理解为小区接入相关参数可指示小区的接入情况)，例如小区接入相关参数为以下信息中的至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。

另一种可能的设计方案中，小区的接入情况包括如下至少一项：切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值。

可选地，第四方面所述的方法还可以包括：第一接入网设备预配置第一阈值；或者，第一接入网设备接收来自第一设备的第一阈值。

可选地，第四方面所述的方法还可以包括：第一接入网设备根据小区的接入情况，更新第一阈值。

进一步的，第一接入网设备根据小区的接入情况，更新第一阈值，包括：第一接入网设备根据小区的接入情况，更新预配置的第一阈值。或者，在小区的接入情况由小区接入相关参数指示的情况下，第一接入网设备向网络数据分析网元发送小区接入相关参数，以接收来自网络数据分析网元更新后的第一阈值。

一种可能的设计方案中，第四方面所述的方法还可以包括：第一接入网设备接收来自第一设备的指示开启伪基站攻击检测的信息。

可选地，小区的接入情况还用于确定小区内是否存在伪基站攻击。

此外，第四方面所述的通信方法的其他技术效果可以参考第二方面或第三方面所述的通信方法的技术效果，此处不再赘述。

第五方面，提供一种通信方法。该方法包括：第一设备获取用于小区的伪基站检测的参数，并根据该参数，向网络数据分析网元发送第一消息。该第一消息用于请求网络数据分析网元对小区执行伪基站检测。如此，第一设备接收来自网络数据分析网元针对于伪基站检测的分析结果，以根据分析结果，确定小区内存在伪基站攻击。

根据第五方面所述的方法可知，第一设备通过请求网络数据分析网元对小区执行伪基站检测，便可根据网络数据分析网元的分析结果确定是否小区内存在伪基站攻击，从而实现伪基站检测。

一种可能的设计方案中，第一消息中包括：用于小区的伪基站检测的参数，即第一设备复用该参数，通过第一消息向网络数据分析网元发送该参数，以提高通信效率。

一种可能的设计方案中，用于小区的伪基站检测的参数包括如下至少一项：第一终端与小区建立连接失败的次数、与小区建立连接失败的终端数量、切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量，即包括终端侧和网络侧的参数，以提高伪基站检测的准确性。

可选地，若用于小区的伪基站检测的参数包括：第一终端与小区建立连接失败的次数，则第一设备获取用于小区的伪基站检测的参数，包括：第一设备接收来自第一终端的第二消息，第二消息用于指示第一终端与小区建立连接失败，以便第一设备可以根据第二消息，确定第一终端与小区建立连接失败的次数。

可选地，若用于小区的伪基站检测的参数包括：与小区建立连接失败的终端数量，则第一设备获取用于小区的伪基站检测的参数，还包括：第一设备根据第二消息，确定与小区建立连接失败的终端数量。

进一步的，第五方面所述的方法还可以包括：第一设备向第一终端指示开启伪基站攻击检测。

一种可能的设计方案中，若用于小区的伪基站检测的参数包括：与小区建立连接失败的终端数量，则第一设备根据该参数，向网络数据分析网元发送第一消息，包括：第一设备根据与小区建立连接失败的终端数量大于第一阈值，向网络数据分析网元发送第一消息。也就是说，在大量的终端都上报其与小区建立连接失败，也即可能存在伪基站攻击的情况下，第一设备才请求网络数据分析网元执行伪基站检测，不仅可以提高伪基站检测的准确性，也可以确保网络数据分析网元用于伪基站检测的资源能够被有效利用，避免在没有伪基站攻击时，网络数据分析网元仍执行伪基站检测而导致资源浪费。

一种可能的设计方案中，若用于小区的伪基站检测的参数包括如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量，则第一设备获取用于小区的伪基站检测的参数，包括：第一设备接收来自接入网设备的如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。

可选地，第五方面所述的方法还可以包括：第一设备向接入网设备指示开启伪基站攻击检测。也是就说，接入网设备可以仅采集并上报上述参数，以节约接入网设备的开销，提高设备运行效率。

一种可能的设计方案中，第五方面所述的方法还可以包括：第一设备根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

一种可能的设计方案中，若用于小区的伪基站检测的参数还包括：在切换到小区失败时终端所在的源小区，则第五方面所述的方法还可以包括：在小区内存在伪基站攻击的情况下，第一设备根据源小区的位置，确定伪基站的方位。

一种可能的设计方案中，用于小区的伪基站检测的参数还包括如下至少一项：在切换到小区失败时终端所在的源小区、小区内的终端的接入时间间隔，小区内的终端的测量报告、小区内的终端的无线链路失败RLF报告、小区内的伪基站攻击事件的数量、或小区的邻区小区的标识，以进一步提供伪基站检测的准确性。

此外，第五方面所述的通信方法的其他技术效果可以参考第一方面和第三方面所述的通信方法的技术效果，此处不再赘述。

第六方面，提供一种通信方法。该方法包括：网络数据分析网元接收来自第一设备的第一消息。该第一消息用于请求网络数据分析网元对小区执行伪基站检测。如此，网络数据分析网元向第一设备发送针对于伪基站检测的分析结果。

一种可能的设计方案中，第一消息中包括：用于小区的伪基站检测的参数。

一种可能的设计方案中，用于小区的伪基站检测的参数包括如下至少一项：第一终端与小区建立连接失败的次数、与小区建立连接失败的终端数量、切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。

一种可能的设计方案中，用于小区的伪基站检测的参数还包括如下至少一项：在切换到小区失败时终端所在的源小区、小区内的终端的接入时间间隔，小区内的终端的测量报告、小区内的终端的RLF报告、小区内的伪基站攻击事件的数量、或小区的邻区小区的标识。

一种可能的设计方案中，第六方面所述的方法还可以包括：网络数据分析网元根据第一消息，对小区执行伪基站检测。

此外，第六方面所述的通信方法的其他技术效果可以参考第五方面所述的通信方法的技术效果，此处不再赘述。

第七方面，提供一种通信装置。该通信装置包括：用于执行第一方面所述的通信方法的模块，例如收发模块和处理模块。

可选地，收发模块可以包括发送模块和接收模块。其中，发送模块用于实现第七方面所述的通信装置的发送功能，接收模块用于实现第七方面所述的通信装置的接收功能。

可选地，第七方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第一方面所述的通信方法。

需要说明的是，第七方面所述的通信装置可以是网络设备，例如第一设备，如运维管理***或者移动性管理网元，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第七方面所述的通信装置的技术效果可以参考第一方面所述的通信方法的技术效果，此处不再赘述。

第八方面，提供一种通信装置。该通信装置包括：用于执行第二方面所述的通信方法的模块，例如收发模块和处理模块。

可选地，收发模块可以包括发送模块和接收模块。其中，发送模块用于实现第八方面所述的通信装置的发送功能，接收模块用于实现第八方面所述的通信装置的接收功能。

可选地，第八方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第二方面所述的通信方法。

需要说明的是，第八方面所述的通信装置可以是终端，例如第一终端，也可以是可设置于终端中的芯片(***)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

此外，第八方面所述的通信装置的技术效果可以参考第二方面所述的通信方法的技术效果，此处不再赘述。

第九方面，提供一种通信装置。该通信装置包括：用于执行第三方面所述的通信方法的模块，例如收发模块和处理模块。

可选地，收发模块可以包括发送模块和接收模块。其中，发送模块用于实现第九方面所述的通信装置的发送功能，接收模块用于实现第九方面所述的通信装置的接收功能。

可选地，第九方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第三方面所述的通信方法。

需要说明的是，第九方面所述的通信装置可以是网络设备，例如第一设备，如运维管理***或者移动性管理网元，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第九方面所述的通信装置的技术效果可以参考第三方面所述的通信方法的技术效果，此处不再赘述。

第十方面，提供一种通信装置。该通信装置包括：用于执行第四方面所述的通信方法的模块，例如收发模块和处理模块。

可选地，收发模块可以包括发送模块和接收模块。其中，发送模块用于实现第十方面所述的通信装置的发送功能，接收模块用于实现第十方面所述的通信装置的接收功能。

可选地，第十方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第四方面所述的通信方法。

需要说明的是，第十方面所述的通信装置可以是网络设备，例如第一接入网设备，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第十方面所述的通信装置的技术效果可以参考第四方面所述的通信方法的技术效果，此处不再赘述。

第十一方面，提供一种通信装置。该通信装置包括：用于执行第五方面所述的通信方法的模块，例如收发模块和处理模块。

可选地，收发模块可以包括发送模块和接收模块。其中，发送模块用于实现第十一方面所述的通信装置的发送功能，接收模块用于实现第十一方面所述的通信装置的接收功能。

可选地，第十一方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第五方面所述的通信方法。

需要说明的是，第十一方面所述的通信装置可以是网络设备，例如第一设备，如运维管理***或者移动性管理网元，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第十一方面所述的通信装置的技术效果可以参考第五方面所述的通信方法的技术效果，此处不再赘述。

第十二方面，提供一种通信装置。该通信装置包括：用于执行第六方面所述的通信方法的模块，例如收发模块和处理模块。

可选地，收发模块可以包括发送模块和接收模块。其中，发送模块用于实现第十二方面所述的通信装置的发送功能，接收模块用于实现第十二方面所述的通信装置的接收功能。

可选地，第十二方面所述的通信装置还可以包括存储模块，该存储模块存储有程序或指令。当该处理模块执行该程序或指令时，使得该通信装置可以执行第六方面所述的通信方法。

需要说明的是，第十二方面所述的通信装置可以是网络设备，例如网络数据分析网元，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，第十二方面所述的通信装置的技术效果可以参考第六方面所述的通信方法的技术效果，此处不再赘述。

第十三方面，提供一种通信装置。该通信装置包括：处理器，该处理器用于执行第一方面至第六方面中任意一种可能的实现方式所述的通信方法。

在一种可能的设计方案中，第十三方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十三方面所述的通信装置与其他通信装置通信。

在一种可能的设计方案中，第十三方面所述的通信装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面至第六方面中任一方面所述的通信方法所涉及的计算机程序和/或数据。

在本申请中，第十三方面所述的通信装置可以为第一方面、第三方面至第六方面中的网络设备，或第二方面中的终端，或者可设置于该终端或网络设备中的芯片(***)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十三方面所述的通信装置的技术效果可以参考第一方面至第六方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十四方面，提供一种通信装置。该通信装置包括：处理器，该处理器与存储器耦合，该处理器用于执行存储器中存储的计算机程序，以使得该通信装置执行第一方面至第六方面中任意一种可能的实现方式所述的通信方法。

在一种可能的设计方案中，第十四方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十四方面所述的通信装置与其他通信装置通信。

在本申请中，第十四方面所述的通信装置可以为第一方面、第三方面至第六方面中的网络设备，或第二方面中的终端，或者可设置于该终端或网络设备中的芯片(***)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十四方面所述的通信装置的技术效果可以参考第一方面至第六方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十五方面，提供了一种通信装置，包括：处理器和存储器；该存储器用于存储计算机程序，当该处理器执行该计算机程序时，以使该通信装置执行第一方面至第六方面中的任意一种实现方式所述的通信方法。

在一种可能的设计方案中，第十五方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十五方面所述的通信装置与其他通信装置通信。

在本申请中，第十五方面所述的通信装置可以为第一方面、第三方面至第六方面中的网络设备，或第二方面中的终端，或者可设置于该终端或网络设备中的芯片(***)或其他部件或组件，或者包含该终端或网络设备的装置。

此外，第十五方面所述的通信装置的技术效果可以参考第一方面至第六方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十六方面，提供了一种通信装置，包括：处理器；该处理器用于与存储器耦合，并读取存储器中的计算机程序之后，根据该计算机程序执行如第一方面至第六方面中的任意一种实现方式所述的通信方法。

在一种可能的设计方案中，第十六方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十六方面所述的通信装置与其他通信装置通信。

此外，第十六方面所述的通信装置的技术效果可以参考第一方面至第六方面中任意一种实现方式所述的通信方法的技术效果，此处不再赘述。

第十七方面，提供一种通信***。该通信***包括：第一方面所述的一个或多个网络设备，例如第一设备，如运维管理***或者移动性管理网元，以及第二方面所述的一个或多个终端，例如第一终端。或者，该通信***包括：第三方面所述的一个或多个网络设备，例如第一设备，以及第四方面所述的一个或多个网络设备，例如第一接入网设备。或者，该通信***包括：第五方面所述的一个或多个网络设备，例如第一设备，以及第六方面所述的一个或多个网络设备，例如网络数据分析网元。

第十八方面，提供一种计算机可读存储介质，包括：计算机程序或指令；当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第六方面中任意一种可能的实现方式所述的通信方法。

第十九方面，提供一种计算机程序产品，包括计算机程序或指令，当该计算机程序或指令在计算机上运行时，使得该计算机执行第一方面至第六方面中任意一种可能的实现方式所述的通信方法。

附图说明

图1为5G移动通信***的架构示意图；

图2为请求流程的流程示意图；

图3为订阅流程的流程示意图；

图4为订阅数据的流程示意图一；

图5为订阅数据的流程示意图二；

图6为建立RRC连接的流程示意图；

图7为伪基站攻击的流程示意图；

图8为本申请实施例提供的通信***的架构示意图；

图9为本申请实施例提供的通信方法的流程示意图一；

图10为本申请实施例提供的通信方法的流程示意图二；

图11为本申请实施例提供的通信方法的流程示意图三；

图12为本申请实施例提供的通信方法的流程示意图四；

图13为本申请实施例提供的通信方法的流程示意图五；

图14为本申请实施例提供的通信方法的流程示意图六；

图15为本申请实施例提供的通信方法的流程示意图七；

图16为本申请实施例提供的通信装置的结构示意图一；

图17为本申请实施例提供的通信装置的结构示意图二。

具体实施方式

方便理解，下面先介绍本申请实施例所涉及的技术术语。

1、第五代(5th generation，5G)移动通信***：

图1为5G***的架构示意图，如图1所示，5G***包括：接入网(access network，AN)和核心网(core network，CN)，还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片***。该终端也可以称为用户装置(uesr equipment，UE)、接入终端、用户单元(subscriberunit)、用户站、移动站(mobile station，MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant，PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machinetype communication，MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的路边单元(road side unit，RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网设备，也可以称为无线接入网设备(radio access network，RAN)设备。

RAN设备可以是为终端提供接入的设备。例如，RAN设备可以包括：RAN设备也可以包括5G，如新空口(new radio，NR)***中的gNB，或，5G中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB、传输点(transmission and reception point，TRP或者transmission point，TP)或传输测量功能(transmission measurementfunction，TMF)的网络节点，如基带单元(building base band unit，BBU)，或，集中单元(centralized unit，CU)或分布单元(distributed unit，DU)、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真(wirelessfidelity，WiFi)***中的接入点(access point，AP)，无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。或者，RAN设备可以也可以包括下一代移动通信***，例如6G的接入网设备，例如6G基站，或者在下一代移动通信***中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。

CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能(user plane function，UPF)网元、认证服务功能(authentication server function，AUSF)网元、接入和移动性管理功能(access and mobility management function，AMF)网元、会话管理功能(sessionmanagement function，SMF)网元、网络切片选择功能(network slice selectionfunction，NSSF)网元、网络开放功能(network exposure function，NEF)网元、网络功能仓储功能(NF repository function，NRF)网元、策略控制功能(policy control function，PCF)网元、统一数据管理(unified data management，UDM)网元、应用功能(applicationfunction，AF)网元、以及网络切片和独立非公共网络(standalone non-public network，SNPN)的鉴权授权功能(network slice-specific and SNPN authentication andauthorization function，NSSAAF)网元。

其中，UPF网元主要负责用户数据处理(转发、接收、计费等)。例如，UPF网元可以接收来自数据网络(data network，DN)的用户数据，通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议(internet protocol，IP)多媒体业务(IP multi-media srvice，IMS)、互联网(internet)等。

AUSF网元可用于执行终端的安全认证。

AMF网元主要负责移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要负责移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol，IP)地址，选择提供报文转发功能的UPF等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量(quality of service，QoS)策略、切片选择策略等。

NSSF网元可用于为终端选择网络切片。

NEF网元可用于支持能力和事件的开放。

UDM网元可用于存储用户数据，例如签约数据、鉴权/授权数据等。

AF网元主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

NSSAAF网元可用于支持切片认证和授权，以及支持使用凭据持有者的凭据访问独立非公共网络。NSSAAF网元可以通过认证、授权和计费代理(authentication，authorization，and accounting proxy，AAA-P)与认证、授权和计费服务器(authentication，authorization，and accounting server，AAA-S)交互。

2、网络数据分析功能(network data analytics function，NWDAF)网元：

许多新的通信业务场景在服务级别协议(service level agreement，SLA)的支持，其业务需求存在差异化，其业务体验也呈现出多元化、个性化发展态势，增加网络运营的复杂性。目前的5G***仍缺乏足够的智能来提供按需服务，无法进一步提高的网络资源利用率。因此，第三代合作伙伴计划(3rd generation partnership project，3GPP)拟将人工智能(artificial intelligent，AI)引入5G***，新增一个网络功能(networkfunction，NF)，例如NWDAF网元，以解决此问题。

NWDAF网元主要用于分析各类网络数据。网络数据可以包括：从NF(例如AMF网元、SMF网元、RAN设备等)获取的网络运行数据、从运维管理(operation administration andmaintenance，OAM)***获取的终端和网络相关的统计数据、从第三方AF(不属于CN的AF实体/网元)获取的应用数据等。NWDAF网元可以根据网络数据确定分析结果，向NF、OAM***或AF等反馈分析结果，以便NF、OAM***或第三方AF等可利用分析结果进行相应的优化操作。

例如，5G移动性管理相关功能(例如AMF网元)可请求NWDAF网元对终端的移动轨迹进行预测。NWDAF网元可从OAM***中获取终端的历史位置信息，并通过分析终端的历史位置信息，获得终端的移动性预测模型。NWDAF网元可以利用终端的移动性预测模型分析终端当前的位置，得到终端的移动性预测信息，并向AMF网元提供此信息。如此，AMF网元可以根据终端的移动性预测信息，制定更精准的网络策略，比如注册区域分配、辅助切换决策、移动性锚点预先选择等，实现更准确、更可靠的移动性管理。

又例如，OAM***可以请求NWDAF网元提供针对网络切片中的业务运行数据的分析结果。该分析结果可以包括：各切片是否满足SLA的信息，以及切片中的用户体验分布情况。OAM***可根据分析结果确定是否调整各网络切片的资源分配，从而优化网络切片资源的管理。

再例如，第三方AF可以从NWDAF网元订阅的网络性能预测信息。网络性能预测信息可以是业务数据传输的QoS预测，或者是服务终端的网络的负载预测。NWDAF网元可根据第三方AF的订阅，周期性或者按需地向第三方AF提供网络性能预测信息，使得第三方AF能够调整应用的运行参数。比如，车联网应用可根据QoS预测选择不同的驾驶等级，判断是否预先下载地图或导航数据，或者也可以根据网络负载的预测选择背景流量的传输时机。

3、请求或订阅：

NWDAF服务请求者(NWDAF service consumer)，例如NF、OAM***或第三方AF等，可以通过请求或者订阅的方式，向NWDAF网元发起分析请求。NWDAF网元可根据分析请求的类型和周期，从相应的NF、OAM***或第三方AF等收集数据。NWDAF网元通过分析数据可得到分析结果，从而向NWDAF服务请求者反馈分析报告(包含分析结果)。

请求流程：

图2为请求流程的流程示意图，如图2所示，请求流程包括如下步骤。

S201，NWDAF服务请求者向NWDAF网元发送信息分析请求(Nnwdaf_AnalyticsInfo_Request)消息。相应的，NWDAF网元接收来自NWDAF服务请求者的信息分析请求消息。

其中，信息分析请求消息用于请求NWDAF网元对指定类型事件/对象的数据进行分析。信息分析请求消息可以包括：分析类型(analytics ID(s))、分析目标(target ofanalytics reporting)、分析过滤信息(analytics filter information)、以及分析报告信息(analytics reporting information)。

分析类型用于指示请求的分析类型。例如，网络切片分析，NF负载分析等。

分析目标用于指示分析范围。例如，一个UE、多个UE、或者任何UE等。

分析过滤信息用于指示需要的分析信息，以进一步确定分析范围。例如，分析过滤信息用于指示切片的信息，比如单网络切片选择支撑信息(single network sliceselection assistance information，S-NSSAI)、网络切片标识、或NF标识等。以网络切片标识为例，在分析目标指示一个或多个UE的基础上，如果分析过滤信息指示某个网络切片标识，则表示请求在该网络切片上对一个或多个UE的数据进行分析。

分析报告信息用于指示分析报告的类型。分析报告信息可以包括：分析目标周期(analytics target period)、希望的分析精确度(preferred level of accuracy of theanalytics)、分析报告的时间(time when analytics information is needed)。可选地，分析报告信息还可以包括：请求最大对象数目、请求最大用户永久标识(subscriptionpermanent identifier，SUPI)数目。其中，分析目标周期用于指示分析某个时间段内的对象。如果该时间段是历史时间，则NWDAF网元可以收集并分析事件在该时间段内的数据，得到该事件的分析结果。如果该时间段是将来时间，则NWDAF网元可以预测事件在该时间段内的走向。希望的分析精确度用于指示分析成功所要达到的精确度。以事件预测为例，NWDAF网元对该事件的预测准确度达到阈值，表示预测成功。分析报告的时间用于指示最大的分析时长，如果NWDAF网元在该时长内仍未反馈分析报告，则反馈错误信息，以表示此次分析失败。请求最大对象数目用于表示分析报告中最多能包含多少个分析对象的分析结果。例如，分析对象为100个UE，请求最大对象数目指示分析报告中最多能包含10个UE的分析结果。请求最大SUPI数目用于指示分析报告中最多有多个对象的分析结果能用SUPI指示。分析报告中包含10个分析对象，最多有5个分析对象的分析结果可用这5个分析对象各自对应的SUPI指示。

S202，NWDAF网元向NWDAF服务请求者发送信息分析请求响应(Nnwdaf_AnalyticsInfo_Request response)消息。相应的，NWDAF服务请求者接收来自NWDAF网元的信息分析请求响应消息。

其中，信息分析请求响应消息中包括：NWDAF网元的分析报告。NWDAF网元可以根据上述信息分析请求消息，从相应的NF、OAM***或第三方AF等收集数据。其中，收集数据的具体实现原理可以参考下述图4和图5的相关介绍，不再赘述。NWDAF网元可根据信息分析请求消息，按指定方式分析数据得到分析结果，生成分析报告，以向NWDAF服务请求者反馈携带该分析报告的分析请求响应消息。

订阅流程：

图3为订阅流程的流程示意图，如图3所示，订阅流程包括如下步骤。

S301，NWDAF服务请求者向NWDAF网元发送分析订阅(Nnwdaf_AnalyticsSubscription_Subscribe)消息。相应的，NWDAF网元接收来自NWDAF服务请求者的分析订阅消息。

其中，分析订阅消息用于向NWDAF网元订阅指定类型数据的分析结果。分析订阅消息可以包括：分析类型、分析目标、分析过滤信息、目标通知地址(notification targetaddress)、以及分析报告信息。

与上述信息分析请求消息类似，分析类型、分析目标、以及分析过滤信息的具体实现原理，可以参考上述信息分析请求消息的相关介绍，不再赘述。

目标通知地址用于指示NWDAF网元需要向该地址发送分析报告。例如，该地址可以是NWDAF服务请求者的地址，或者其他网元的地址，对此不做具体限定。

分析报告信息用于指示分析报告的类型。分析报告信息可以包括：分析目标周期、希望的分析精确度、基本报告参数(analytics reporting parameters)、报告阈值(reporting thresholds)。可选地，分析报告信息还可以包括：请求最大对象数目、请求最大SUPI数目。与上述信息分析请求消息类似，分析目标周期、希望的分析精确度、以及请求最大对象数目、请求最大SUPI数目的具体实现原理，可以参考上述信息分析请求消息的相关介绍，不再赘述。基本报告参数包括：分析报告模式(reporting mode)、最大报告数目(Maximum number of reports)、报告持续时间(Maximum duration of reporting)、立即报告标识(Immediate reporting flag)等。分析报告模式可以包括：周期报告或者立即报告。周期报告是NWDAF网元在分析目标周期指示的时间段内，周期性上报分析报告。例如，每隔1天上报一次分析报告。立即报告是指在指定事件/对象的分析结果满足报告触发条件(立即报告标识)的情况下，NWDAF网元反馈分析报告。最大报告数目是指最多可以上报多少次分析报告，达到最大报告数目后NWDAF网元停止报告。报告持续时间是指分析报告允许的最大时长，超出该时长NWDAF网元仍未反馈分析报告，需要重新订阅。报告阈值用于指示上述基本报告参数的阈值。例如，最大报告数目的具体取值。

S302，NWDAF网元向NWDAF服务请求者发送分析订阅响应(Nnwdaf_AnalyticsSubscription_Subscribe response)消息。相应的，NWDAF服务请求者接收来自NWDAF网元的分析订阅响应消息。

其中，分析订阅响应消息用于指示订阅成功/订阅失败。

S303，NWDAF网元向NWDAF服务请求者发送分析订阅通知(Nnwdaf_AnalyticsSubscription_Notify)消息。相应的，NWDAF服务请求者接收来自NWDAF网元的分析订阅通知消息。

分析订阅通知消息中包括：分析报告。NWDAF网元可以根据上述分析订阅消息，从相应的NF、OAM***或第三方AF等收集数据。其中，收集数据的具体实现原理可以参考下述图4和图5的相关介绍，不再赘述。NWDAF网元可根据分析订阅消息，按指定方式分析数据，得到分析结果，生成分析报告，以向NWDAF服务请求者反馈携带该分析报告的分析订阅通知消息。

可以理解，NWDAF服务请求者在订阅之后，也可以向NWDAF网元发送分析去订阅(Nnwdaf_AnalyticsSubscription_Unsubscribe)消息。分析去订阅消息用于向NWDAF网元去订阅指定类型数据/时间的分析结果。相应的，NWDAF网元可以向NWDAF服务请求者返回分析去订阅响应(Nnwdaf_AnalyticsSubscription_Unsubscribe response)消息。分析去订阅响应消息用于指示该分析结果去订阅成功或失败。

以上介绍了请求或订阅的整体流程。在该整体流程中，NWDAF网元在接收到信息分析请求消息或者分析订阅消息后，可通过订阅的方式，从相应的NF、OAM***、或第三方AF收集数据。

以NF为例，图4为NWDAF网元向NF订阅数据的流程示意图，如图4所示，该流程包括如下步骤。

S401，NWDAF网元向NF发送事件订阅(Nnf_EventExposure_Subscribe)消息。相应的，NF接收来自NWDAF网元的事件订阅消息。

其中，事件订阅消息用于向NF订阅相应的事件。事件订阅消息可以包括：事件类型(event ID)、订阅目标(target of event reporting)、事件过滤信息(event filterinformation)、事件报告信息(event reporting information)、订阅通知地址(anotification target address)、订阅超时时间(an expiry time)。

事件类型用于指示订阅事件的类型。例如，UE的可达性(reachability)、UE的接入和移动性(access and mobility)等。

订阅目标用于指示订阅数据是哪个目标的数据，以确定订阅范围。例如，UE的相关数据、或协议数据单元(protocol data unit，PDU)会话的相关数据。

事件过滤信息用于进一步指示订阅事件，以进一步确定订阅范围。例如，事件过滤信息用于指示切片的信息，比如单网络切片选择支撑信息(single network sliceselection assistance information，S-NSSAI)、网络切片标识、或NF标识等。以网络切片标识为例，在订阅目标指示UE的相关数据的基础上，如果事件过滤信息指示某个网络切片标识，则表示订阅该网络切片上的UE的相关数据。

事件报告信息用于指示事件报告的类型。事件报告信息可以包括：事件报告模式(event reporting mode)、最大报告数量(maximum number of reports)、最大报告持续(maximum duration of reporting)、报告周期和定期报告、立即报告标志(immediatereporting flag)、采样比例(sampling ratio)、组报告监控时间(group reporting guardtime)。事件报告模式可以包括：事件周期报告或者事件立即报告。事件周期报告是指NF在报告周期和定期报告指示的时间段(该时间段可以是历史时间或者将来时间，类似于上述分析目标周期，不再赘述)内，周期性上报事件报告。例如，每隔1天上报一次事件报告。事件立即报告是指在事件的分析结果满足报告触发条件(事件立即报告)的情况下，NF反馈事件报告。最大报告数量是指NF最多可以上报多少次事件报告，达到最大报告数量后停止报告。最大报告持续是指事件报告允许的最大时长，超出该时长NF仍未反馈事件报告，需要重新订阅。采样比例用于指示NF以多少比例对应的对象中采集数据。例如，以1％的比例采集UE的相关数据，也即从每100个UE中采集一个UE的相关数据。组报告监控时间用于指示NF将监控时间内的事件聚合上报。例如，在1周内采集到100次事件，将这100次事件聚合一并上报。

订阅通知地址用于指示NF需要向该地址发送事件报告。例如，该地址可以是NWDAF网元的地址，或者其他网元的地址，对此不做具体限定。

订阅超时时间用于指示订阅的总时间。例如，上述报告周期和定期报告是1个月，订阅超时时间为1年，表示在1年以内，NF以每个月为单位上报事件报告。如果超过1年，则订阅结束，需要重新订阅。

S402，NF向NWDAF网元发送事件订阅响应(Nnf_EventExposure_Subscriberesponse)消息。相应的，NWDAF网元接收来自NF的事件订阅响应消息。

其中，事件订阅响应消息用于指示订阅成功/订阅失败。。

S403，NF向NWDAF网元发送事件订阅通知(Nnf_EventExposure_Notify)消息。相应的，NWDAF网元接收来自NF的事件订阅通知消息。

事件订阅通知消息中包括：事件报告。NF可以根据上述事件订阅消息，从相应的对象，例如UE或者其他网元收集相应的事件，并生成事件报告，以向NWDAF网元反馈携带该事件报告的事件订阅通知消息。

其中，NWDAF网元也可以向NF发送事件去订阅(Nnf_EventExposure_Unsubscribe)消息。事件去订阅消息用于向NF去订阅相应的事件。相应的，NF可以向NWDAF网元返回事件去订阅响应(Nnf_EventExposure_Unsubscribe response)消息。事件去订阅响应消息用于指示事件去订阅成功或失败。

以OAM***为例，图5为NWDAF网元向OAM***订阅数据的流程示意图，如图5所示，该流程包括如下步骤。

S501，NWDAF网元向OAM***发送订阅(subscribe)消息。相应的，OAM***来自NWDAF网元的订阅消息。

S502，OAM***向NWDAF网元发送订阅响应(subscribe response)消息。相应的，NWDAF网元接收来自OAM***的订阅响应消息。

其中，S501-S502的具体实现原理，可以参考上述S401-S402的相关介绍，不再赘述。

S503，OAM***准备被订阅数据。

OAM***可以根据上述订阅消息，从相应的对象，例如UE或者其他网元收集相应的数据，即准备被订阅数据。

S504，OAM***向NWDAF网元发送通知(notification)消息。相应的，NWDAF网元接收来自OAM***的通知消息。

通知消息用于通知被订阅数据准备完毕，以便NWDAF网元从OAM***获取被订阅数据。例如，NWDAF网元通过文件传输协议(file transfer protocol，FTP)获取被订阅数据。

4、无线资源控制(radio resource control，RRC)连接：

在5G***中，终端可以与RAN设备建立RRC连接，以通过RAN设备接入CN。或者，RAN设备也可拒绝与终端建立RRC连接，使得终端无法通过该RAN设备接入CN。

图6为建立RRC连接的流程示意图，如图6所示，建立RRC连接的流程包括如下步骤。

S601，终端向RAN设备发送RRC建立请求(RRC setup request)消息。相应的，RAN设备接收来自终端的RRC建立请求消息。

RRC建立请求消息用于终端请求与RAN设备建立RRC连接。

S602，RAN设备向终端发送RRC建立(RRC setup)消息。相应的，终端接收来自RAN设备的RRC建立消息。

RRC建立消息用于通知终端可以建立与RAN设备的RRC连接。RRC建立消息包括：建立RRC连接所需的配置信息。例如，RAN设备在接收RRC建立请求消息后，如果确定能够支持该终端接入，例如还预留有相应的资源，则可以为该终端分配相应的资源，并发送RRC建立消息。

S603，终端向RAN设备发送RRC建立完成(RRC setup complete)消息。相应的，RAN设备接收来自终端的RRC建立完成消息。

终端收到RRC建立消息后，可根据配置信息更改对相应的配置，实现与RAN设备同步。然后，终端可以向R AN设备发送RRC建立完成消息，用以指示RRC连接建立成功。

S604，RAN设备向终端发送RRC拒绝(RRC reject)消息。相应的，终端接收来自RAN设备的RRC拒绝消息。

RRC拒绝消息用于指示RAN设备拒绝与终端建立RRC连接。例如，RAN设备在接收RRC建立请求消息后，如果因负载过高、预留资源不足等原因，确定无法支持该终端接入，则发送RRC拒绝消息。

可以理解，S602-S603与S604为可选步骤。如果能够建立RRC连接，则执行S602-S603，否则，执行S604。

5、伪基站攻击：

伪基站也就是假基站，是一种独立存在的设备。伪基站可能被部署在正常基站(例如正常的RAN设备)的覆盖范围内，以发起伪基站攻击。例如，伪基站可模拟正常基站，向覆盖范围内的终端发送信令，以获取终端相关信息，并迫使终端执行小区重选、位置更新以及切换等操作，达到网络诈骗、隐私信息获取等目的。

图7为伪基站攻击的流程示意图，如图7所示，伪基站攻击的流程包括如下步骤。

S701，伪基站广播正常基站的***信息(system information，SI)。

正常基站的SI可以包括：主信息块(master information block，MIB)和多个***消息块(system information block，SIB)，具体包括：小区选择参数、邻区信息、信道配置信息、公共安全信息等。正常基站可以周期性地广播SI，以便终端(例如处于空闲态或非激活态的终端)监听，从而接入并附着到正常基站的小区上。但是，这种不加密的广播形式，容易被伪基站利用。例如，伪基站监听到正常基站广播的SI后，可以伪造或重放正常基站的SI。

S702，伪基站迫使终端选择伪基站附着。

在选网阶段，终端收到SI(正常基站的SI或伪基站伪造或重放的SI)后，会从SI选择一个前导码(preamble)，并向广播该SI的设备(正常基站或伪基站)发送携带该前导码的随机接入前导(random access preamble)消息，用以指示终端请求与该设备建立连接。此时，伪基站可以采用功率压制等方法，向终端发送随机接入响应(random accessresponse)消息，迫使终端优先选择接收伪基站发送的随机接入响应消息，忽视正常基站发送的随机接入响应消息。如此，终端会优先选择伪基站附着，从而向伪基站发送RRC建立请求消息。

S703，伪基站向终端发起拒绝服务(denial of service，DoS)攻击。

伪基站可以不响应终端的RRC建立请求消息，或者向终端发送RRC拒绝消息，用以阻止UE建立RRC连接，达到阻止终端接入网络的目的。如此，不仅导致终端的业务中断，还存在用户信息泄露等安全风险。然而，针对伪基站攻击，目前并没有特别有效的检测手段。

综上，针对上述技术问题，本申请实施例提出了如下技术方案，用以实现伪基站攻击检测。下面将结合附图，对本申请中的技术方案进行描述。

本申请实施例的技术方案可以应用于各种通信***，例如无线保真(wirelessfidelity，WiFi)***，车到任意物体(vehicle to everything，V2X)通信***、设备间(device-todevie，D2D)通信***、车联网通信***、第4代(4th generation，4G)移动通信***，如长期演进(long term evolution，LTE)***、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)通信***、第五代(5th generation，5G)移动通信***，如新空口(new radio，NR)***，以及未来的通信***，如第六代(6thgeneration，6G)移动通信***等。

本申请将围绕可包括多个设备、组件、模块等的***来呈现各个方面、实施例或特征。应当理解和明白的是，各个***可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例的”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例中，“信息(information)”，“信号(signal)”，“消息(message)”，“信道(channel)”、“信令(singaling)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是匹配的。“的(of)”，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是匹配的。此外，本申请提到的“/”可以用于表示“或”的关系。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图8中示出的通信***为例详细说明适用于本申请实施例的通信***。示例性的，图8为本申请实施例提供的通信方法所适用的一种通信***的架构示意图。

如图8所示，该通信***可以适用于上述5G的架构，主要包括：终端、RAN设备、AMF网元/OAM***、以及NWDAF网元。其中，终端、RAN设备、AMF网元/OAM***、以及NWDAF网元的相关功能，可以参考上述1、5G移动通信***，以及2、NWDAF网元中的相关介绍，不再赘述。NWDAF网元也可以替换为其他网元或实体，例如安全分析网元。在本申请实施例的通信***中，终端和/或RAN设备可以采集相关的数据，并向AMF网元/OAM***上报这些数据。AMF网元/OAM***可以利用NWDAF网元配置的阈值分析这些数据，或者请求NWDAF网元分析这些数据，以确定是否存在伪基站攻击，从而实现伪基站检测。

方便理解，下面将结合图9-图16，通过方法实施例具体介绍终端、RAN设备、AMF网元/OAM***、以及NWDAF网元之间的交互流程。

本申请实施例提供的通信方法可以适用于上述通信***，并应用到各种场景。在不同场景下，可以由不同设备/网元执行该通信方法的不同流程，以实现伪基站检测。

场景1：

示例性的，图9为本申请实施例提供的通信方法的流程示意图一。该通信方法主要适用于第一终端、RAN设备、AMF网元/OAM***、以及NWDAF网元之间的通信。在场景1下，AMF网元/OAM***可以触发第一终端触发执行伪基站检测，以便AMF网元/OAM***根据第一终端的数据和阈值确定是否存在伪基站攻击。

具体的，如图9所示，该通信方法的流程如下：

S901，NWDAF网元对各区域进行安全分级。

AMF网元、AF网元(图9未示出)、PCF网元(图9未示出)、或UDM网元(图9未示出)等，可以NWDAF网元请求分析，为不同区域进行安全分级。相应的，NWDAF网元可通过订阅或请求的方式，从AMF网元、AF网元(图9未示出)、PCF网元(图9未示出)、或UDM网元(图9未示出)等，收集各区域各自的区域信息，其订阅或请求的具体流程可以参考上述3、请求或订阅中的相关介绍，不再赘述。其中，一个区域可以包括：一个或多个小区。不同区域的大小可以相同或者不同，也即不同区域包括的小区数量可以相同或不同。一个区域的区域信息可以包括：该区域的业务信息、区域的位置信息等，或者也可以包括其他任何可能的信息。NWDAF网元可以根据每个区域的区域信息，评估该区域的安全等级，或者说安全级别。例如，如果一个区域的业务信息表示该区域部署的业务为对安全要求很高的业务，则该区域的安全等级也比较高。反之，如果一个区域的业务信息表示该区域部署的业务为对安全要求相对不高的业务，则该区域的安全等级也比较低。又例如，如果一个区域的位置信息表示该区域内有重要机构，例如政府、科研单位、国防单位等等，则该区域的安全等级也比较高。反之，如果一个区域的位置信息表示该区域内没有特别重要的机构，则该区域的安全等级也相对较低。

可以理解，如果一个区域包括一个小区，则安全分级是以单个小区为粒度。如果一个区域包括多个小区，则安全分级是以多个小区为粒度。具体以哪种粒度进行安全分级可以根据实际需求选择，本申请对此不做限定。

S902，NWDAF网元向AMF网元发送AMF网元对应的区域的安全等级。相应的，AMF网元接收来自NWDAF网元的AMF网元对应的区域的安全等级。

AMF网元对应的区域可以指该AMF网元负责接入和移动性管理的区域，或者也可以是其他AMF网元负责接入和移动性管理的区域，对此不做具体限定。AMF网元对应的区域可以是一个或多个区域。

其中，NWDAF可以向请求安全分析的请求方，如AMF网元、AF网元(图9未示出)、PCF网元(图9未示出)、或UDM网元(图9未示出)等，发送对应区域的安全等级。如果向AF网元(图9未示出)、PCF网元(图9未示出)、或UDM网元(图9未示出)发送对应区域的安全等级，则这些网元或实体可以向AMF网元发送对应区域的安全等级，以便AMF网元最终获得AMF网元对应的区域的安全等级。

S903，AMF网元根据AMF网元对应的区域的安全等级，确定是否对小区1执行伪基站检测。

AMF网元可判断该AMF网元对应的区域的安全等级是否比较高，例如是否大于安全等级阈值。如果安全等级比较高，例如大于安全等级阈值，则对该区域内的小区(记为小区1)执行伪基站检测。否则，如果安全等级比较低，例如小于或等于安全等级阈值，则不对小区1执行伪基站检测。也就是说，AMF网元可只对安全等级比较高的小区执行伪基站检测，以提高设备运行效率，降低开销。

AMF网元有该小区1的伪基站检测规则。例如，AMF网元预配置有小区1的伪基站检测规则。或者，AMF网元预先可以向NWDAF网元发送订阅伪基站检测阈值分析的请求消息，以便AMF网元可以接收来自NWDAF网元发送的小区1的伪基站检测规则。该伪基站检测规则可以包括如下至少一项：终端与小区1建立连接失败的次数阈值(记为阈值1)、与小区1建立连接失败的终端数量阈值(记为阈值2)、切换到小区1失败的次数阈值(记为阈值3)、小区1内已接入的终端数量阈值(记为阈值4)、或小区1内新接入的终端数量阈值(记为阈值5)。其中，阈值1可以是终端粒度的阈值，例如阈值1可以配置在第一终端本地，由第一终端自行判断与小区1连接建立失败的次数是否达到阈值1。阈值1可以为：终端因超时导致与小区1的RRC连接建立失败的次数阈值(记为阈值11)，和/或，终端因小区1的RRC拒绝导致RRC连接建立失败的次数阈值(记为阈值12)。可以看出，阈值1(阈值11和/或阈值12)是与小区1相关的阈值，以确保小区1的伪基站检测的准确性。阈值2可以是小区粒度的阈值，阈值2可以为：在单位时间内、或者在某个时间段内、或在某个时间段的每个单位时间内，与小区1建立RRC连接失败的终端数量阈值。阈值3可以是小区粒度的阈值，阈值3可以为：在单位时间内、或者在某个时间段内、或在某个时间段的每个单位时间内，小区1因未收到来自终端的随机接入请求消息而导致切换失败的次数阈值。阈值4可以是小区粒度的阈值，阈值4可以为：在单位时间内、或者在某个时间段内、或在某个时间段的每个单位时间内，小区1内已接入的终端数量阈值。阈值5可以是小区粒度的阈值，阈值5可以为：在单位时间内、或者在某个时间段内、或在某个时间段的每个单位时间内，小区1内新接入的终端数量阈值。上述各阈值各自对应的单位时间以及时间段可以相同或不同。该单位时间，上述各阈值各自对应的单位时间以及时间段的时长，可根据实际场景灵活设置，本申请实施例不做具体限定。该小区1的伪基站检测规则可以是***预先配置在AMF网元本地的规则，或者可以是AMF网元从其他网元获取的规则，例如，从PCF网元(图9未示出)、UDM网元(图9未示出)获取这些规则。小区1的伪基站检测规则可以由***或其他网元可以参考其他小区(记为小区2)的伪基站检测规则确定，或者即为小区2的伪基站检测规则。小区2可以为位于小区1附近的小区，例如小区1的邻区小区。小区1的伪基站检测规则可以由小区1的历史数据获得，例如小区1历史配置的阈值。

可以理解，S901-S903为可选步骤。例如，NWDAF网元也可以不对区域进行安全分级，以便AMF网元对对应的每个小区都执行伪基站检测，以保证检测的全面性，避免漏检。

S904，AMF网元向OAM***发送消息#A。相应的，OAM***接收来自AMF网元的消息#A。

上述S904为可选步骤。在OAM***执行小区1的伪基站检测情况下，AMF网元执行S904。此时，消息#A用于指示OAM***需要对小区1开启伪基站检测。消息#A可以为服务化接口消息，或者其他任何可能的消息，对此不做具体限定。消息#A可以包括：小区1的标识(identity，ID)、消息类型A、以及小区1的伪基站检测规则。小区1的标识用于指示OAM***需要对小区1开启伪基站检测。消息类型A用于指示消息#A为指示开启伪基站检测的消息。消息#A中的伪基站检测规则可以为小区1的部分伪基站检测规则，例如，阈值2-阈值5。阈值1可以由AMF网元为对应的终端配置，以提高OAM***的运行效率，降低开销。或者，消息#A中可以包括小区1的更多的伪基站检测规则，例如阈值1-阈值5，对此不作具体限定。

S905，AMF网元向第一终端发送消息#B。相应的，第一终端接收来自AMF网元的消息#B。

其中，AMF网元可以向AMF网元对应的区域内的终端发送消息#B。也即，第一终端位于AMF网元对应的区域内。例如，第一终端可以位于小区1或小区2内，对此不做具体限定。

消息#B可用于指示第一终端需要对小区1开启伪基站检测。消息#B可以为非接入层(non-access stratum，NAS)消息，比如注册接受(registration accept)消息、寻呼(paging)消息、UE配置更新命令(UE configuration update complete)等，或者其他任何可能的消息，对此不做具体限定。消息#B可以包括：小区1的标识、消息类型B、上报规则、以及小区1的伪基站检测规则。小区1的标识用于指示第一终端需要对小区1开启伪基站检测。消息类型B用于指示消息#B为指示开启伪基站检测的消息。上报规则可用于指示第一终端向AMF网元或OAM***上报伪基站攻击事件。由于第一终端主要检测其是否能够与小区1建立RRC连接，消息#B中小区1的伪基站检测规则，可以为与小区1建立RRC连接相关的规则，例如阈值1，以节约开销。当然，消息#B中包括阈值1仅为一种示例，不作为限定。消息#B中也可以包括小区1对应的更多阈值，例如阈值2-阈值5，甚至小区1对应的全部阈值，即阈值1-阈值5。

第一终端可以根据消息#B，对小区1执行伪基站检测。例如，第一终端可以记录第一终端与小区1建立连接失败的次数，包括：第一终端因超时导致RRC连接建立失败的次数，和/或，第一终端因RRC拒绝导致RRC连接建立失败的次数。正常情况下，第一终端在尝试接入小区1时，可以接收到来自小区1的RRC建立消息，从而正常与小区1建立RRC连接。但因为伪基站攻击等原因，第一终端无法接收到RRC建立消息，使得第一终端因超时导致RRC连接建立失败。或者，终端接收到来自伪基站的RRC拒绝消息，使得终端因RRC拒绝导致RRC连接建立失败。如此，第一终端可以记录这次失败，将第一终端因超时导致RRC连接建立失败的次数加1，或者将第一终端因RRC拒绝导致RRC连接建立失败的次数加1，并记录这次失败对应的小区标识，即小区1的标识(从伪基站重放小区1的SI中获得)，以及这次失败的时间戳。随着第一终端与小区1建立连接失败的次数不断增加，在增加到大于阈值1时，例如第一终端因超时导致RRC连接建立失败的次数大于阈值11，和/或，第一终端因RRC拒绝导致RRC连接建立失败的次数大于阈值12，第一终端可以向AMF网元/OAM***上报这种异常情况，具体实现可以参考下述S907中的相关介绍，不再赘述。

需要指出的是，AMF网元在发送消息#B之后，如果后续有新的UE切换、接入或重选到小区1内，则AMF网元可以通过UE配置更新(UE configuration update，UCU)、移动性注册、RRC恢复等流程，指示新的UE开启伪基站检测。

S906，AMF网元向RAN设备发送消息#C。相应的，RAN设备接收来自AMF网元的消息#C。

RAN设备可以为小区1所在的RAN设备。消息#C可用于指示RAN设备需要对小区1开启伪基站检测。消息#C可以为服务化接口消息，也可以为通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#C可以包括：小区1的标识、以及消息类型C。小区1的标识用于指示RAN设备需要对小区1开启伪基站检测。消息类型C用于指示消息#C为指示开启伪基站检测的消息。

RAN设备可根据消息#C，采集小区1的小区接入相关参数。小区接入相关参数可以包括如下至少一项：切换到小区1失败的次数、小区1内已接入的终端数量、或小区1内新接入的终端数量。

其中，上述切换到小区1失败的次数以为：在上述单位时间内，小区1因未收到来自终端的随机接入请求消息而导致切换失败的次数。该终端可以为位于其他小区，例如小区2内的终端。如果小区2确定将终端切换到小区1，则小区2可以向小区1发送切换请求消息。该切换请求消息中可以携带终端的标识，以便小区1知道终端将要切换到自身小区。此时，正常情况下，终端应当向小区1发送随机接入请求消息，以请求切换到小区1。但因为伪基站攻击等原因，终端可能不会向小区1发送随机接入请求消息，使得小区1无法收到来自终端的随机接入请求消息，终端切到小区1失败。这样，接入网设备1可将小区1因未收到来自终端的随机接入请求消息而导致切换失败的次数加1。按照这种方式，接入网设备1可以确定在单位时间内，小区1因未收到来自终端的随机接入请求消息而导致切换失败的次数。

上述小区1内已接入的终端数量具体可以为：在某个时间点(或者说时间戳)，小区1内已接入的终端数量。例如，在到达该时间点时，接入网设备1可以统计小区1内当前已接入的终端有多少个。

上述小区1内新接入的终端数量具体可以为：在上述单位时间内，小区1内新接入的终端数量。例如，当有终端接入小区1后，接入网设备1可以小区1内新接入的终端数量加1。按照这种方式，接入网设备1可以确定在单位时间内，小区1内新接入的终端数量。

可以理解，S906为可选步骤。例如，RAN设备默认开启对小区1伪基站检测。或者，RAN设备默认不开启对小区1伪基站检测，AMF网元/OAM***根据第一终端采集的数据，便能够确定小区1内是否存在伪基站攻击。此外，S906与S905之间的执行顺序不限定。

S907，第一终端向AMF网元/OAM***发送消息#D。相应的，AMF网元/OAM***接收来自第一终端的消息#D。

在第一终端与小区1建立连接失败的次数增加到大于阈值1时，表示小区1内存在伪基站攻击事件，也表示小区1内可能存在伪基站攻击。在此基础上，消息#D可用于指示第一终端与小区1建立连接失败，或者也用于指示小区1内存在伪基站攻击事件。消息#D可以为NAS消息，比如注册完成(registration complete)消息、服务请求(service request)消息等，或者其他任何可能的消息，对此不做具体限定。消息#D可以包括：小区1的标识、事件类型A(event type A)、第一终端与小区1建立连接失败的次数(第一终端因超时导致与小区1的RRC连接建立失败的次数，和/或，第一终端因小区1的RRC拒绝导致RRC连接建立失败的次数)、以及时间戳。其中，小区1的标识用于指示小区1存在伪基站攻击事件，也即小区1为可能存在伪基站攻击的小区。事件类型A用于指示事件类型为伪基站攻击事件。时间戳可以为一个或多个。每个时间戳可以用于指示第一终端某次与小区1建立连接失败时的时间，例如第一次失败时的时间、或最后一次失败时的时间。

可以理解，如果由AMF网元执行伪基站检测，则第一终端可以通过RAN向AMF网元发送消息#D。如果由OAM***执行伪基站检测，则第一终端可以通过RAN向OAM***发送消息#D。

S908，AMF网元/OAM***根据消息#D，确定与小区1建立连接失败的终端数量。

根据上述介绍可知，消息#D可用于指示第一终端与小区1建立连接失败。AMF网元/OAM***可以根据消息#D，将与小区1建立连接失败的终端数量加1，即统计当前有多少终端与小区1建立连接失败(或者说，统计当前有多少针对小区1的伪基站攻击事件)。随着与小区1建立连接失败的终端数量不断增加，在增加到大于阈值2时，AMF网元/OAM***可以向RAN设备请求小区1的数据，以进一步确定小区1是否存在伪基站攻击，具体实现可以参考下述S909-S910中的相关介绍，不再赘述。

S909，AMF网元/OAM***向RAN设备发送消息#E。相应的，RAN设备接收来自AMF网元/OAM***的消息#E。

消息#E用于请求RAN设备上报上述小区1的小区接入相关参数。消息#E可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#E可以包括：小区1的标识、以及消息类型D。小区1的标识用于指示RAN设备上报小区1的小区接入相关参数。消息类型D用于指示消息#E为用于请求小区接入相关参数的消息。

可选地，消息#E还可以指示时间段和/或单位时间，用以请求RAN设备上报该时间段和/或单位时间对应的小区1的小区接入相关参数。比如，RAN设备上报在该时间段内、或者该单位时间内、或者在该时间段的每个单位时间内，小区1的小区接入相关参数。假设，时间段为上周，单位时间为每一天。RAN设备可以上报上周内小区1的小区接入相关参数，或者RAN设备可以上报每一天内小区1的小区接入相关参数，RAN设备可以上报上周的每一天内小区1的小区接入相关参数。该时间段和/或单位时间可以与消息#D中的时间戳相关，例如由AMF网元/OAM***根据消息#D中的时间戳确定，以便与时间戳对应的时间段和/或单位时间匹配。或者，该时间段和/或单位时间可以与消息#D中的时间戳无关，由AMF网元/OAM***根据其他方式确定，例如预配置或者根据上述阈值对应的时间段和/或单位时间确定。或者，该时间段和/或单位时间也可是RAN设备默认的参数，即消息#D可以不指示该该时间段和/或单位时间，RAN设备默认上报该时间段和/或单位时间对应的小区1的小区接入相关参数。

可以理解，如果由AMF网元执行伪基站检测，则AMF网元可以向RAN设备发送消息#E。如果由OAM***执行伪基站检测，则OAM***可以向RAN设备发送消息#E。此外，S909和S906可以在一个步骤中执行，即AMF网元/OAM***向RAN设备指示伪基站检测的同时，也订阅小区1的小区接入相关参数。

S910，RAN设备向AMF网元/OAM***发送消息#F。相应的，AMF网元/OAM***接收来自RAN设备的消息#F。

其中，消息#F可以用于响应消息#E。消息#F可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#F可以包括：小区1的标识、消息类型E、以及小区1的小区接入相关参数，例如包括如下至少一项：切换到小区1失败的次数、小区1内已接入的终端数量、或小区1内新接入的终端数量。其中，小区1的标识可用于指示小区接入相关参数为小区1的小区接入相关参数。消息类型E可以用于指示消息#F为消息#E的响应消息。可选地，消息#F还可以包括：源小区(例如小区2)的标识。该源小区的标识用于指示在切换到小区1失败时，终端所在的源小区，用以后续在确定存在伪基站攻击的情况下，能够据此确定伪基站攻击的方位。

可以理解，如果由AMF网元执行伪基站检测，则RAN设备可以向AMF网元发送消息#F。如果由OAM***执行伪基站检测，则RAN设备可以向OAM***发送消息#F。

可以看出，在小区1可能被伪基站攻击的情况下，AMF网元/OAM***才向RAN设备请求小区接入相关参数，以确定其是否存在伪基站攻击。否则，AMF网元/OAM***不用向RAN设备请求小区接入相关参数，从而可以有效提高检测效率和设备运行效率，降低开销。

S911，AMF网元/OAM***根据小区1的小区接入相关参数，以及阈值3-阈值5，确定小区1是否存在伪基站攻击。

其中，AMF网元/OAM***可以将小区1的小区接入相关参数与阈值3-阈值5对应比较。如果小区接入相关参数和阈值3-阈值5之间的关系，为如下至少一项关系(记为预设关系1)中的任一项关系，表示小区1内存在伪基站攻击。该预设关系1可以包括：切换到小区1失败的次数大于阈值3、小区1内已接入的终端数量小于阈值4、或小区1内新接入的终端数量小于阈值5。如此，通过比较的方式可以实现快速检测出是否存在伪基站攻击，以提高检测效率和设备运行效率。

可以看出，在上述判断逻辑中，只要小区接入相关参数中有任一项参数与对应阈值间的关系与预设关系1相同，便认为该项参数异常，存在伪基站攻击。而只有在小区接入相关参数中每项参数与对应阈值间的关系与预设关系1不同，才确定不存在伪基站攻击，确保在存在伪基站攻击的情况下，其能够被准确检测出，避免漏检。例如，在终端切换到小区1失败的次数大于阈值3的情况下，即使小区1内新接入的终端数量大于或等于阈值4，AMF网元/OAM***仍确定小区1存在伪基站攻击。当然，这种判断逻辑仅为一种示例，例如也可以在小区接入相关参数中的每项参数与对应阈值间的关系与预设关系1相同的情况下，才确定小区1内存在伪基站攻击。

需要指出的是，上述通过比较的方式来进行伪基站检测仅为一种示例性的方式，不作为限定，伪基站检测也可以通过其他可能的方式实现。例如，AMF网元/OAM***可以利用机器学习模型处理上述小区1的小区接入相关参数，以及阈值3-阈值5，以根据机器学习模型输出的处理结果确定小区1是否存在伪基站攻击。比如，处理结果为取值为1，表示存在伪基站攻击。反之，处理结果为取值为0，表示不存在伪基站攻击。

可选地，在小区1存在伪基站攻击的情况下，AMF网元/OAM***还可根据上述源小区的标识，确定伪基站的方位。例如，AMF网元/OAM***可以根据源小区的标识，确定切换失败大多源自哪个源小区(记为源小区1)，从而根据该源小区1的位置，确定伪基站的方位，例如确定伪基站位于小区1指向源小区1的方向上。在此基础上，如果由AMF网元执行伪基站检测，则AMF网元可以向OAM***发送伪基站检测结果，例如小区1内存在伪基站攻击，以及伪基站的方位。如果由OAM***执行伪基站检测，则OAM***不需要发送伪基站检测结果和伪基站的方位。如此，OAM***可以根据被攻击小区，例如小区1，以及伪基站的方位，确定伪基站攻击的具***置，以进一步对伪基站攻击进行处理，比如在现实中联系运维人员或警方前往该位置进行排查等。

可选地，在小区1存在伪基站攻击的情况下，AMF网元/OAM***也可以增强发生伪基站攻击区域(包括小区1)的安全机制，例如对空口的广播和单播消息进行保护或验证，以规避伪基站攻击。

S912，AMF网元向NWDAF网元发送分析订阅消息。相应的，NWDAF网元接收来自AMF网元的分析订阅消息。

分析订阅消息用于请求NWDAF网元进行伪基站分析阈值更新，以更新小区1对应的阈值，例如阈值1-阈值5。分析订阅消息中的分析类型可以为：伪基站分析(fake BSbaseline analytics)。分析订阅消息中的分析目标可以为：小区1的标识，用以指示NWDAF网元需要收集小区1的相关数据来进行伪基站分析。可选地，分析订阅消息还可以携带阈值1-阈值5中的一个或多个阈值，用以为NWDAF网元更新阈值提供参考。此外，分析订阅消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

需要指出的是，S912可以在确定对小区1执行伪基站检测时(S903)便执行，确保阈值能够随着检测同步更新，以提高伪基站检测的准确性。当然，S912也可以在此之后(S903之后)的其他时间点执行，对此不做具体限定。

S913，NWDAF网元从RAN设备、AMF网元/OAM***收集小区1的相关参数。

其中，NWDAF网元可以根据分析订阅消息中小区1的标识，通过请求数据或订阅数据的方式，从RAN设备、AMF网元/OAM***收集小区1的相关参数。这样，RAN设备、AMF网元/OAM***可根据请求，向NWDAF网元上报小区1的相关参数，或者根据订阅，周期性地向NWDAF网元上报小区1的相关参数。此外，请求数据或订阅数据的具体流程可以参考上述3、请求或订阅中的相关介绍，不再赘述。

上述小区1的相关参数可以包括如下至少一项：小区1的标识、上述第一终端与小区1建立连接失败的次数、上述与小区1建立连接失败的终端数量、或小区1的小区接入相关参数，例如包括如下至少一项：切换到小区1失败的次数、小区1内已接入的终端数量、或小区1内新接入的终端数量。

其中，小区1的标识用于指示上述参数为小区1的相关参数。

第一终端与小区1建立连接失败的次数可以是NWDAF网元从AMF网元/OAM***上获取的参数。也就是说，在上述S907中，AMF网元/OAM***从消息#D中获取第一终端与小区1建立连接失败的次数后，可以向NWDAF网元发送第一终端与小区1建立连接失败的次数。

与小区1建立连接失败的终端数量可以是NWDAF网元从AMF网元/OAM***上获取的参数。也就是说，在上述S908中，AMF网元/OAM***在根据消息#D，确定与小区1建立连接失败的终端数量后，可以向NWDAF网元发送该终端数量。例如，AMF网元/OAM***可以在与小区1建立连接失败的终端数量小于或等于阈值2的情况下，向NWDAF网元发送该终端数量。或者，AMF网元/OAM***可以在与小区1建立连接失败的终端数量大于阈值2的情况下，向NWDAF网元发送该终端数量，对此不做具体限定。

小区1的小区接入相关参数可以是NWDAF网元从RAN设备上获取的参数。也就是说，在上述S906中，RAN设备在根据消息#C，采集到小区1的小区接入相关参数后，可以向NWDAF网元发送该小区1的小区接入相关参数。

可选地，上述小区1的相关参数中还可以包括如下至少一项：上述S909中的单位时间、小区1内的终端的接入时间间隔，小区1内的终端的测量报告(measurement report)、小区1内的终端的无线链路失败(radio link failure，RLF)报告、或小区2的标识(从AMF网元或OAM***获得)。其中，上述单位时间和这些参数可以用于指示这些参数为该单位时间内采集的参数。小区1内的终端的接入时间间隔可以为：平均接入时间间隔、最小接入时间间隔、最大接入时间间隔等等，对此不作具体限定。小区2的标识2的标识可以是NWDAF网元从AMF网元获取的参数，用于NWDAF网元获取小区2的相关参数，以便NWDAF网元可以参考小区2的相关参数来更新小区1对应的阈值。

需要说明的是，NWDAF网元向AMF网元还是OAM***请求小区1的相关数据，取决于伪基站检测由AMF网元执行还是OAM***执行。如果伪基站检测由AMF网元执行，则NWDAF网元从AMF网元收集小区1的相关数据。此时，由于不同小区可以由不同AMF网元服务，NWDAF网元需要从为小区1提供服务的AMF网元收集小区1的相关数据。例如，为小区1提供服务的AMF网元会将小区1的标识，如cell ID注册在NRF网元中。NWDAF网元可以通过该小区1的标识向NRF网元请求为小区1提供服务的AMF网元。NRF网元可以根据该小区1的标识找到该AMF网元，向NWDAF网元发送AMF网元的信息，以便NWDAF网元从该AMF网元收集小区1的相关数据。与找到AMF网元类似，NWDAF网元还可以基于小区1的标识找到该小区1所在的RAN设备，从而向该RAN设备收集小区1的相关数据。如果伪基站检测由OAM***执行，则NWDAF网元从OAM***收集小区1的相关数据。此时，由于OAM***不存在服务不同小区的情况，即所有小区都可以由同一OAM***提供服务，NWDAF网元可以直接从OAM***收集小区1的相关数据。

S914，NWDAF网元收集小区2的相关参数。

其中，小区2的相关参数与小区1的相关参数的类似。例如，小区2的相关参数可以包括如下至少一项：小区2的标识、终端与小区2建立连接失败的次数、与小区2建立连接失败的终端数量、或小区2的小区接入相关参数，例如包括如下至少一项：切换到小区2失败的次数、小区2内已接入的终端数量、或小区2内新接入的终端数量。可选地，小区2的相关参数可以包括如下至少一项：单位时间、小区2内的终端的接入时间间隔，小区2内的终端的测量报告、小区2内的终端的无线链路失败(radio link failure，RLF)报告。此外，NWDAF网元收集小区2的相关参数的实现原理与收集小区1的相关参数类似，可以参考上述S913，以及上述3、请求或订阅中的相关介绍，不再赘述。

此外，S914为可选步骤。如果上述小区1的相关参数中包括小区2的标识，则NWDAF网元可以执行S914。否则，如果上述小区1的相关参数中不包括小区2的标识，则NWDAF网元可以不执行S914。

S915，NWDAF网元根据小区1的相关参数，确定阈值1’-阈值5’。

NWDAF网元可以通过机器学习模型处理小区1的相关参数，可选地，还可以处理小区2的相关参数，或上述S912中的分析订阅消息携带的阈值，得到如下至少一项：第一终端与小区1建立连接失败的次数阈值更新值(记为阈值1’)、与小区1建立连接失败的终端数量阈值更新值(记为阈值2’)、或小区1更新的小区接入相关参数。阈值1’可以包括：终端因超时导致与小区1的RRC连接建立失败的次数阈值更新值(记为阈值11’)，和/或，终端因小区1的RRC拒绝导致RRC连接建立失败的次数阈值更新值(记为阈值12’)。小区1更新的小区接入相关参数可包括如下至少一项：切换到小区1失败的次数阈值的更新值(记为阈值3’)、小区1内已接入的终端数量阈值的更新值(记为阈值4’)、或小区1内新接入的终端数量阈值的更新值(记为阈值5’)。比如，有些小区或区域内的用户数量较多，UE被拒绝接入的事件较多，NWDAF网元对该小区或区域的相关参数进行分析，可以调高该小区或区域用于伪基站检测的阈值。同理，有些小区或区域内的用户数量较少，UE被拒绝接入的事件较少，NWDAF网元对该小区或区域的相关参数进行分析，可以降低该小区或区域用于伪基站检测的阈值。

可以理解，NWDAF网元可以通过机器学习模型处理的方式来确定阈值仅为一种示例，NWDAF网元确定阈值的具体实现形式并不限定。例如，NWDAF网元也可以通过将小区1的相关参数和小区2的相关参数比较来确定阈值。

S916，NWDAF网元向AMF网元发送分析通知消息。相应的，AMF网元接收来自NWDAF网元的分析通知消息。

其中，分析通知消息用于指示AMF网元更新阈值。分析通知消息中可以包括：小区1的标识、以及阈值1’-阈值5’，以便AMF网元将阈值1-阈值5更新为阈值1’-阈值5’。此外，分析通知消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

S917，AMF网元向OAM***发送消息#G。相应的，OAM***接收来自AMF网元的消息#G。

其中，S917为可选步骤。如果由OAM***执行伪基站检测，则AMF网元可以执行S917，以便OAM***对应更新阈值。在此基础上，消息#G可以用于指示OAM***更新阈值。消息#G可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#G可以包括：阈值1’-阈值5’或者阈值2’-阈值5’、小区1的标识、以及消息类型F。小区1的标识用于指示阈值更新是用于小区1的伪基站检测。消息类型F用于指示消息#G为用于阈值更新的消息。如此，OAM***可以根据消息#G，将阈值1-阈值5更新为阈值1’-阈值5’，或者将阈值2-阈值5更新为阈值2’-阈值5’。

S918，AMF网元向第一终端发送消息#H。相应的，第一终端接收来自AMF网元的消息#H。

消息#H可以用于指示第一终端更新阈值。消息#H可以为NAS消息，比如注册接受消息、寻呼消息、UE配置更新命令等，或者其他任何可能的消息，对此不做具体限定。消息#H可以包括：阈值1’、小区1的标识、以及消息类型G。小区1的标识用于指示阈值更新是用于小区1的伪基站检测。消息类型G用于指示消息#H为用于阈值更新的消息。如此，第一终端可以根据消息#H，将阈值1更新为阈值1’。此外，S918与S917的执行顺序不限定。

可以看出，通过NWDAF网元对数据的分析来更新伪基站检测使用的阈值，可使得后续用于伪基站检测的阈值可以越来越接近其最佳取值，使得伪基站检测可以越来越准确。此外，通过NWDAF网元更新阈值仅为一种示例，不作为限定。例如，AMF网元/OAM***可以根据如下至少一项：终端与小区1建立连接失败的次数、与小区1建立连接失败的终端数量、或小区1的小区接入相关参数，更新预配置的上述阈值。

需要说明的是，上述S912-S918也可以为可选步骤，即NWDAF网元可以更新阈值，或者也可以更新阈值。

此外，上述S901-S918示出的流程仅为场景1的一种示例，不作为限定。例如，第一终端可以直接向AMF网元/OAM***指示第一终端与小区1建立连接失败的次数大于阈值1。或者，第一终端向AMF网元/OAM***发送第一终端与小区1建立连接失败的次数，由AMF网元/OAM***确定该次数是否大于阈值1。又例如，在第一终端与小区1建立连接失败的次数大于阈值1的情况下，AMF网元/OAM***可以直接确定小区1存在伪基站攻击。再例如，在与小区1建立连接失败的终端数量大于阈值2的情况下，AMF网元/OAM***也可以直接确定小区1存在伪基站攻击。

以上结合场景1介绍了本申请实施例提供的通信方法在各个场景下的具体流程。下面结合图10介绍本申请实施例提供的通信方法在场景1的整体流程。

示例性的，图10为本申请实施例提供的通信方法的流程示意图二。该通信方法可以适用于第一设备与第一终端之间的通信的通信。其中，第一设备可以是上述场景1中的AMF网元/OAM***。第一终端仍可以是上述场景1中的第一终端。

如图10所示，该通信方法的流程如下：

S1001，第一终端确定第一终端与小区建立连接失败。

一种可能的实现方式中，当第一终端建立RRC连接失败时，第一终端记录失败的次数和对应的小区的标识。关于S1001的具体实现原理可以参考上述S905中的相关介绍，不再赘述。

S1002，第一终端向第一设备发送第一消息。相应的，第一设备接收来自第一终端的第一消息。

其中，第一消息(例如场景1中的消息#D)可用于指示第一终端与小区建立连接失败。可选地，第一消息还可以用于确定小区(例如上述场景1中的小区1)内是否存在伪基站攻击。也就是说，第一消息可以通过指示第一终端与小区建立连接失败，隐式指示小区可能存在伪基站攻击，从而触发第一设备进行伪基站检测。如此，第一终端无需额外再发送消息指示，以提高通信效率，降低通信开销。

第一消息可以为NAS消息，比如注册完成消息、服务请求消息等，或者其他任何可能的消息，对此不做具体限定。第一消息可以包括RRC连接建立失败的次数，例如第一终端与小区1建立连接失败的次数。

一种可能的实现方式中，第一终端可以在检测到第一终端与小区建立连接失败时，便向第一设备发送第一消息，以确保伪基站检测的实时性。

另一种可能的实现方式中，在第一终端与小区建立连接失败的次数大于第三阈值(例如场景1中的阈值1)的情况下，第一终端向第一设备发送第一消息，具体实现原理可以参考上述S907中的相关介绍，不再赘述。也就是说，如果第一终端与同一小区多次建立连接失败，则说明第一终端可能遭到伪基站的拒绝服务攻击。此时，第一终端向第一设备上报这一事件，触发第一设备执行伪基站检测，可以提高伪基站检测的准确性，也可以确保第一设备用于伪基站检测的资源能够被有效利用，避免在没有伪基站攻击时，第一设备仍执行伪基站检测而导致资源浪费。

其中，第一终端可以预配置第三阈值。比如，第一终端预先配置有协议预定义的第三阈值。或者，第一终端可以接收来自第一设备的第三阈值。如此，第一终端可以根据实际应用场景的需求，选择合适的阈值配置方式，确保伪基站检测能够适用于各种场景。例如，如果网络侧没有执行过伪基站检测，则第一终端可使用自身预配置的第三阈值，以确保伪基站检测能够正常执行。如果网络侧执行过伪基站检测，则第一终端可使用网络侧先前检测所使用的第三阈值，以确保伪基站检测的准确性。此外，第一终端配置第三阈值具体实现原理，可以参考上述S905中的相关介绍，不再赘述。

S1003，第一设备根据第一消息确定小区内存在伪基站攻击。

一种可能的实现方式中，第一设备可以根据第一消息，直接确定小区内存在伪基站攻击。也就是说，如果第一设备确定第一终端与小区建立连接失败，或者说确定存在第一终端与小区建立连接失败的事件，则确定该小区存在伪基站攻击。

另一种可能的实现方式中，第一设备也可以根据第一消息，确定与小区建立连接失败的终端数量，以根据与小区建立连接失败的终端数量大于第一阈值(例如场景1中的阈值2)，确定小区内存在伪基站攻击。也就是说，在大量的终端都上报其与小区建立连接失败的情况下，第一设备才确定该小区内存在伪基站攻击，避免因某些终端误报而影响伪基站检测，进一步提高伪基站检测的准确性。

其中，第一设备可以预配置第一阈值。并且，第一阈值可以根据小区历史数据分析得到。不同小区配置的第一阈值可以不同。比如，第一设备预先配置有协议预定义的第一阈值，或者，第一设备可以接收来自网络数据分析网元(也可以替换为网络安全网元，例如场景1中的NWDAF网元)或者移动性管理网元(例如场景1中的AMF网元)的第一阈值。比如，在第一设备为移动性管理网元的情况下，第一设备可以接收来自网络数据分析网元的第一阈值。可选地，第一设备可以向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第一阈值，以确保伪基站检测的准确性。或者，在第一设备为运维管理***(例如场景1中的OAM***)的情况下，第一设备可以接收来移动性管理网元的第一阈值。如此，第一设备可以根据实际应用场景的需求，选择合适的阈值配置方式，确保伪基站检测能够适用于各种场景。例如，如果网络侧未执行过伪基站检测，则第一设备可使用自身预配置的第一阈值，以确保伪基站检测能够正常执行。如果网络侧执行过伪基站检测，则第一设备可使用网络侧先前检测所使用的第一阈值，以确保伪基站检测的准确性。此外，第一设备配置第一阈值的具体实现原理，也可以参考上述S903-S904中的相关介绍，不再赘述。

在此基础上，第一设备可以根据与小区建立连接失败的终端数量大于第一阈值，直接确定小区内存在伪基站攻击。也就是说，如果第一设备确定有大量的终端与同一小区建立连接失败，则确定该小区存在伪基站攻击。此外，第一设备确定与小区建立连接失败的终端数量大于第一阈值的具体实现原理，也可以参考S908中的相关介绍，不再赘述。

或者，第一设备也可以根据与小区建立连接失败的终端数量大于第一阈值，向接入网设备发送第二消息(例如场景1中的消息#E)，并接收来自接入网设备的第三消息(例如场景1中的消息#F)。其中，第二消息可以用于请求该小区的小区接入相关参数(或者说小区接入状态参数)。第三消息包括：该小区接入相关参数。小区接入相关参数可以包括如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。进一步地，接入网设备可以上报某时间段和/或单位时间对应的小区1的小区接入相关参数。

如此，第一设备可以根据小区接入相关参数和第二阈值(例如场景1中的阈值3-阈值5)，确定小区内存在伪基站攻击，具体实现原理也可以参考上述。例如，当小区接入相关参数和第二阈值之间的关系为如下至少一项关系中的任一项关系，确定小区内存在伪基站攻击，至少一项关系包括：切换到小区失败的次数大于第二阈值(例如场景1中的阈值3)、小区内已接入的终端数量小于第二阈值(例如场景1中的阈值4)、或小区内新接入的终端数量小于第二阈值(例如场景1中的阈值5)。也就是说，只要小区接入相关参数中有任一项参数与对应的第二阈值间的关系与预设关系相同，便认为该项参数异常，存在伪基站攻击。而只有在小区接入相关参数中每项参数与对应的第二阈值间的关系与预设关系不同，才确定不存在伪基站攻击，确保伪基站攻击能够被准确检测出，避免漏检。例如，在终端切换到小区失败的次数大于第二阈值的情况下，即使小区内新接入的终端数量大于或等于第二阈值，第一设备仍确定小区存在伪基站攻击。此外，需要指出的是，第二阈值为在场景1中多种阈值的一种泛指，在不同情况下，具体的阈值类型也有所不同。

其中，第一设备预配置有协议预定义的第二阈值。并且，第二阈值可以根据小区历史数据分析得到，因此第二阈值也可以称之为历史小区接入状态参数。或者，第一设备可以接收来自网络数据分析网元或者移动性管理网元的第二阈值。比如，在第一设备为动性管理网元的情况下，第一设备可以接收来自网络数据分析网元的第二阈值。可选地，第二设备可以向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第二阈值，以确保伪基站检测的准确性。或者，在第一设备为运维管理***的情况下，第一设备可以接收来移动性管理网元的第二阈值。如此，第一设备可以根据实际应用场景的需求，选择合适的阈值配置方式，确保伪基站检测能够适用于各种场景。例如，如果网络侧没有执行过伪基站检测，则第一设备可使用自身预配置的第二阈值，以确保伪基站检测能够正常执行。如果网络侧执行过伪基站检测，则第一设备可使用网络侧先前检测所使用的第二阈值，以确保伪基站检测的准确性。此外，第一设备配置第二阈值的具体实现原理，也可以参考上述S903-S904中的相关介绍，不再赘述。

可以看出，在大量的终端都上报其与小区建立连接失败的情况下，第一设备可进一步从接入网设备获取该小区的小区接入相关参数，并以此来确定该小区是否存在伪基站攻击，以进一步提高伪基站检测的准确性。此外，第一设备根据小区接入相关参数确定小区内存在伪基站攻击的具体实现原理，也可以参考上述S909-S911中的相关介绍，不再赘述。

需要指出的是，也可以由接入网设备确定小区接入相关参数和第二阈值之间的关系，是否为上述至少一项关系中的任一项关系，以便在确定为上述至少一项关系中的任一项关系的情况下，向第一设备发送用于指示伪基站攻击的信息。如此，第一设备可以根据该信息，直接确定小区内存在伪基站攻击。

进一步地，在第一设备识别出伪基站攻击后，可以激活小区的安全机制，保护单播和广播消息。

可选地，结合上述图10所示的方法，第一种可能的设计方案中，第一设备还可以根据终端数量，更新第一阈值，以提高伪基站检测的准确性。例如，第一设备可以根据终端数量，更新预配置的第一阈值。也即第一设备自行更新第一阈值，以提高阈值更新效率。或者，第一设备也可以向网络数据分析网元发送终端数量，以接收来自网络数据分析网元更新后的第一阈值，从而可以降低第一设备的开销，提高运行效率。此外，第一设备更新第一阈值的具体实现原理也可以参考上述S912-S918中的相关介绍，不再赘述。

可选地，结合上述图10所示的方法，第二种可能的设计方案中，第一设备还可以根据小区接入相关参数，更新第二阈值，以进一步提高伪基站检测的准确性。例如，第一设备可以根据小区接入相关参数，更新预配置的第二阈值，也即第一设备自行更新第二阈值，以提高阈值更新效率。或者，第一设备也可以向网络数据分析网元发送小区接入相关参数，以接收来自网络数据分析网元更新后的第二阈值，从而可以降低第一设备的开销，提高运行效率。此外，第一设备更新第二阈值的具体实现原理也可以参考上述S912-S918中的相关介绍，不再赘述。

可选地，结合上述图10所示的方法，第三种可能的设计方案中，第一终端可以根据第一终端与小区建立连接失败的次数，更新第三阈值，以提高伪基站检测的准确性。例如，第一终端可以根据第一终端与小区建立连接失败的次数，更新预配置的第三阈值，也即第一终端自行更新第三阈值，以提高阈值更新效率。或者，第一终端向第一设备发送第一终端与小区建立连接失败的次数，以接收来自第一设备更新后的第三阈值，从而可以降低第三设备的开销，提高运行效率。此外，第一终端更新第三阈值的具体实现原理也可以参考上述S912-S918中的相关介绍，不再赘述。

可选地，结合上述图10所示的方法，第四种可能的设计方案中，上述小区接入相关参数还可以包括：在切换到小区失败时，终端所在的源小区。如此，在小区内存在伪基站攻击的情况下，第一设备还可以根据源小区的位置，确定伪基站的方位，以方便找到伪基站攻击的攻击源所在位置，具体实现原理也可以参考S911中的相关介绍，不再赘述。

可选地，结合上述图10所示的方法，第五种可能的设计方案中，第一设备向接入网设备指示开启伪基站攻击检测。相应的，接入网设备接收来自第一设备的指示开启伪基站攻击检测的信息。

其中，在接入网设备默认不开启伪基站攻击检测的情况下，需要指示接入网设备开启伪基站攻击检测，以确保接入网设备能够记录并上报小区接入相关参数，实现伪基站攻击检测。当然，在接入网设备默认开启伪基站攻击检测的情况下，第一设备也可以不指示，以降低通信开销。

此外，场景1中第五种可能的设计方案的具体实现原理，也可以参考上述S905中的相关介绍，不再赘述。

可选地，结合上述图10所示的方法，第六种可能的设计方案中，第一设备向第一终端指示开启伪基站攻击检测。相应的，第一终端接收来自第一设备的指示开启伪基站攻击检测的信息。

其中，在第一终端默认不开启伪基站攻击检测的情况下，需要指示第一终端开启伪基站攻击检测，以确保第一终端在与小区建立连接失败时能够上报该事件，实现伪基站攻击检测。当然，在第一终端默认开启伪基站攻击检测的情况下，第一设备也可以不指示，以降低通信开销。

此外，场景2中第六种可能的设计方案的具体实现原理，也可以参考上述S906中的相关介绍，不再赘述。

可选地，结合上述图10所示的方法，第七种可能的设计方案中，第一设备可以根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

其中，第一设备可以判断该区域的安全等级是否比较高，例如是否大于安全等级阈值。如果安全等级比较高，则对该区域内的小区执行伪基站检测。否则，如果安全等级比较低，则不对该区域内的小区执行伪基站检测。也就是说，第一设备可只对安全等级比较高的小区执行伪基站检测，以提高设备运行效率，降低开销。此外，区域的安全级别可替换为小区的安全级别，第一设备也可以根据小区的安全级别，确定需要对小区进行伪基站攻击检测。

此外，场景1中第七种可能的设计方案的具体实现原理，也可以参考上述S901-S903中的相关介绍，不再赘述。

综上，根据场景1中的相关介绍可知，伪基站可以采用拒绝服务的方式攻击终端，使得终端选择伪基站后却始终无法接入，即终端与小区建立连接失败。这种情况下，若有第一消息指示第一终端与小区建立连接失败，则可根据该第一消息确定该小区内存在伪基站攻击，实现伪基站检测。

场景2：

示例性的，图11为本申请实施例提供的通信方法的流程示意图三。该通信方法主要适用于第一终端、RAN设备、AMF网元/OAM***、以及NWDAF网元之间的通信。在场景2下，AMF网元/OAM***可以触发RAN设备执行伪基站检测，以便AMF网元/OAM***根据RAN设备的数据和阈值确定是否存在伪基站攻击。

具体的，如图11所示，该通信方法的流程如下：

S1101，NWDAF网元对各区域进行安全分级。

S1102，NWDAF网元向AMF网元发送AMF网元对应的区域的安全等级。相应的，AMF网元接收来自NWDAF网元的AMF网元对应的区域的安全等级。

S1103，AMF网元根据AMF网元对应的区域的安全等级，确定是否对小区1执行伪基站检测。

其中，S1101-S1103的具体实现原理与上述S901-S903中类似，可参考理解，不再赘述。

S1104，AMF网元向OAM***发送消息#1。相应的，OAM***接收来自AMF网元的消息#1。

上述S1104为可选步骤。在OAM***执行小区1的伪基站检测情况下，AMF网元执行S1104。此时，消息#1用于指示OAM***需要对小区1开启伪基站检测。消息#1可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#1可以包括：小区1的标识(identity，ID)、消息类型1、以及小区1的伪基站检测规则。小区1的标识用于指示OAM***需要对小区1开启伪基站检测。消息类型1用于指示消息#1为指示开启伪基站检测的消息。消息#1中伪基站检测规则可以为小区1的部分伪基站检测规则，例如阈值2。阈值3-阈值5可以由AMF网元为对应的RAN设备配置，以提高OAM***的运行效率，降低开销。或者，消息#1中伪基站检测规则可以为小区1的更多的伪基站检测规则，例如阈值1-阈值5，对此不作具体限定。

S1105，AMF网元向RAN设备发送消息#2。相应的，RAN设备接收来自AMF网元的消息#2。

RAN设备可以为小区1所在的RAN设备。消息#2可用于指示RAN设备需要对小区1开启伪基站检测。消息#2可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#2可以包括：小区1的标识、消息类型2、上报规则、以及小区1的伪基站检测规则。小区1的标识用于指示RAN设备需要对小区1开启伪基站检测。消息类型2用于指示消息#2为指示开启伪基站检测的消息。上报规则也可以用于指示RAN设备向AMF网元或OAM***上报伪基站攻击事件，以及还可以用于指示上报伪基站攻击事件的触发条件(也即上报的标识)，例如，数量达到阈值。由于RAN设备主要检测小区1的接入情况，消息#2中小区1的伪基站检测规则，可以为与小区1的接入情况相关的规则，例如阈值3-阈值5，以节约开销。当然，消息#2中包括阈值3-阈值5仅为一种示例，不作为限定。消息#2中也可以包括小区1对应的更多阈值，例如阈值2-阈值5，甚至小区1对应的阈值，例如阈值1-阈值5。

RAN设备可根据消息#2，采集小区1的小区接入相关参数。该小区接入相关参数可以包括如下至少一项：切换到小区1失败的次数、小区1内已接入的终端数量、或小区1内新接入的终端数量。该小区接入相关参数的具体实现原理可以参考上述S906中的相关介绍，不再赘述。之后，RAN设备可以将小区1的小区接入相关参数与阈值3-阈值5对应比较。如果小区接入相关参数和阈值3-阈值5间的关系为上述预设关系1中的任一项关系，表示小区1内可能存在伪基站攻击，小区1内存在伪基站攻击事件，也表示小区1内可能存在伪基站攻击，从而RAN设备可以向AMF网元/OAM***上报这种异常情况，具体实现可以参考下述S1107中的相关介绍，不再赘述。

可以看出，通过比较的方式可以实现快速检测出是否存在伪基站攻击事件，以提高检测效率和设备运行效率。此外，在上述判断逻辑中，只要小区接入相关参数中有任一项参数与对应阈值间的关系与预设关系1相同，便认为该项参数异常，存在伪基站攻击事件。而只有在小区接入相关参数中的每项参数与对应阈值间的关系与预设关系1不同，才确定不存在伪基站攻击事件，确保在存在伪基站攻击事件的情况下，其能够及时上报这种异常情况，避免漏检。例如，在终端切换到小区1失败的次数大于阈值3的情况下，即使小区1内新接入的终端数量大于或等于阈值4，AMF网元/OAM***仍确定小区1存在伪基站攻击事件。当然，这种判断逻辑仅为一种示例，例如也可以在小区接入相关参数中的每项参数与对应阈值间的关系与预设关系1相同的情况下，才确定小区1内存在伪基站攻击事件。

可选地，消息#2还可以指示时间段和/或单位时间，用以请求RAN设备上报该时间段和/或单位时间对应的小区1的小区接入相关参数。比如，RAN设备上报在该时间段内、或者该单位时间内、或者在该时间段的每个单位时间内，小区1的小区接入相关参数。假设，时间段为上周，单位时间为每一天。RAN设备可以上报上周内小区1的小区接入相关参数，或者RAN设备可以上报每一天内小区1的小区接入相关参数，RAN设备可以上报上周的每一天内小区1的小区接入相关参数。该时间段和/或单位时间可以由AMF网元/OAM***确定，例如预配置或者根据上述阈值对应的时间段和/或单位时间确定。或者，该时间段和/或单位时间也可是RAN设备默认的参数，即消息#2可以不指示该该时间段和/或单位时间，RAN设备默认上报该时间段和/或单位时间对应的小区1的小区接入相关参数。

S1106，AMF网元向第一终端发送消息#3。相应的，第一终端接收来自AMF网元的消息#3。

其中，AMF网元可以向AMF网元对应的区域内的终端发送消息#3。也即，第一终端位于AMF网元对应的区域内。例如，第一终端可以位于小区1或小区2内，对此不做具体限定。方便理解，场景2以第一终端位于小区2内为例进行介绍。这种情况下，AMF网元需要通过小区2所在的RAN设备向第一终端发送消息#3。

消息#3可用于指示第一终端需要对小区1开启伪基站检测。消息#3可以为NAS消息，比如注册接受消息、寻呼消息、UE配置更新命令等，或者其他任何可能的消息，对此不做具体限定。消息#3可以包括：小区1的标识、以及消息类型3。小区1的标识用于指示第一终端需要对小区1开启伪基站检测。消息类型3用于指示消息#3为指示开启伪基站检测的消息。在此基础上，第一终端可以根据消息#3，对小区1执行伪基站检测。例如，第一终端可以记录第一终端与小区1建立连接失败的次数，包括：第一终端因超时导致RRC连接建立失败的次数，和/或，第一终端因RRC拒绝导致RRC连接建立失败的次数。正常情况下，第一终端在尝试接入小区1时，可以接收到来自小区1的RRC建立消息，从而正常与小区1建立RRC连接。但因为伪基站攻击等原因，第一终端无法接收到RRC建立消息，使得第一终端因超时导致RRC连接建立失败。或者，终端接收到来自伪基站的RRC拒绝消息，使得终端因RRC拒绝导致RRC连接建立失败。如此，第一终端可以记录这次失败，将第一终端因超时导致RRC连接建立失败的次数加1，或者将第一终端因RRC拒绝导致RRC连接建立失败的次数加1，并记录这次失败对应的小区标识，即小区1的标识(从伪基站重放小区1的SI中获得)。

需要指出的是，AMF网元在发送消息#3之后，如果后续有新的UE切换、接入或重选到小区2内，则AMF网元可以通过UCU、移动性注册、RRC恢复等流程，指示新的UE开启伪基站检测。

可以理解，S1106为可选步骤。例如，第一终端默认开启对小区1伪基站检测。或者，第一终端默认不开启对小区1伪基站检测，AMF网元/OAM***根据RAN设备采集的数据，便能够确定小区1内是否存在伪基站攻击。此外，S1106与S1105之间的执行顺序不限定。

S1107，RAN设备向AMF网元/OAM***发送消息#4。相应的，AMF网元/OAM***接收来自RAN设备的消息#4。

其中，在RAN设备确定小区1内存在伪基站攻击事件的基础上，RAN设备向AMF网元/OAM***发送消息#4，用以指示小区1内存在伪基站攻击事件。消息#4可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#4可以包括：消息#4可以包括：小区1的标识、事件类型1(event type 1)、以及小区1的小区接入相关参数，例如包括如下至少一项：切换到小区1失败的次数、小区1内已接入的终端数量、或小区1内新接入的终端数量。小区1的标识用于指示小区1存在伪基站攻击事件，也即小区1为可能存在伪基站攻击的小区。事件类型1用于指示事件类型为伪基站攻击事件。可选地，消息#4还可以包括：源小区(例如小区2)的标识。该源小区的标识用于指示在切换到小区1失败时，终端所在的源小区，用以后续在确定存在伪基站攻击的情况下，能够据此确定伪基站攻击的方位。

可以理解，如果由AMF网元执行伪基站检测，则RAN设备可以向AMF网元发送消息#4。如果由OAM***执行伪基站检测，则RAN设备可以向OAM***发送消息#4。

S1108，AMF网元/OAM***向第一终端发送消息#5。相应的，第一终端接收来自AMF网元/OAM***的消息#5。

消息#5用于请求第一终端上报第一终端与小区1建立连接失败的次数(或者说上报RRC失败事件)。消息#5可以为NAS消息，比如注册接受消息、寻呼消息、UE配置更新命令等，或者其他任何可能的消息，对此不做具体限定。消息#5可以包括：小区1的标识、消息类型4、以及阈值1。小区1的标识用于指示第一终端上报第一终端与小区1建立连接失败的次数。消息类型4用于指示消息#5为用于请求第一终端与小区1建立连接失败的次数的消息。阈值1可以包括：上述阈值11和/或阈值12。

可以理解，由于第一终端位于小区2内，如果由AMF网元执行伪基站检测，则AMF网元可以通过小区2所在的RAN设备向第一终端发送消息#5。如果由OAM***执行伪基站检测，则OAM***可以通过小区2所在的RAN设备向第一终端发送消息#5。此外，S1108和S1106可以在一个步骤中执行，即AMF网元/OAM***向第一终端指示伪基站检测的同时，也订阅第一终端与小区1建立连接失败的次数。

S1109，第一终端确定第一终端与小区1建立连接失败的次数是否大于阈值1。

其中，第一终端可以将消息#5中的阈值1，与自身最新记录的第一终端与小区1建立连接失败的次数比较，以判断第一终端与小区1建立连接失败的次数是否大于阈值1。如果第一终端与小区1建立连接失败的次数小于或等于阈值1，例如，第一终端因超时导致与小区1的RRC连接建立失败的次数，以及，第一终端因小区1的RRC拒绝导致RRC连接建立失败的次数均小于或等于各自对应的阈值，则第一终端可以不响应消息#5，释放小区1的数据，例如第一终端与小区1建立连接失败的次数。如果第一终端与小区1建立连接失败的次数大于阈值1，例如，第一终端因超时导致与小区1的RRC连接建立失败的次数，以及，第一终端因小区1的RRC拒绝导致RRC连接建立失败的次数，有任一个次数大于其对应的阈值，则第一终端可以响应消息#5，向AMF网元/OAM***上报第一终端与小区1建立连接失败的次数，具体实现原理可以参考下述S1110中的相关介绍。

S1110，第一终端向AMF网元/OAM***发送消息#6。相应的，AMF网元/OAM***接收来自第一终端的消息#6。

消息#6可以用于响应消息#5。消息#6可以为NAS消息，比如注册接受消息、寻呼消息、UE配置更新命令等，或者其他任何可能的消息，对此不做具体限定。消息#6可以包括：小区1的标识、消息类型5、以及第一终端与小区1建立连接失败的次数。其中，小区1的标识可用于指示消息#6中的参数为与小区1建立连接失败的次数。消息类型5可以用于指示消息#6为消息#5的响应消息。

可以理解，如果由AMF网元执行伪基站检测，则第一终端可以通过RAN设备向AMF网元发送消息#6。如果由OAM***执行伪基站检测，则第一终端可以通过RAN设备向OAM***发送消息#6。

可以看出，在小区1可能被伪基站攻击的情况下，AMF网元/OAM***才向第一终端请求数据，以确定其是否存在伪基站攻击。否则，AMF网元/OAM***不用向第一终端请求数据，从而可以有效提高检测效率和设备运行效率，降低开销。

S1111，AMF网元/OAM***根据消息#6，确定与小区1建立连接失败的终端数量，并根据与小区1建立连接失败的终端数量和阈值2，确定小区1是否存在伪基站攻击。

根据上述介绍可知，消息#6可用于指示第一终端与小区1建立连接失败。AMF网元/OAM***可以根据消息#6，将与小区1建立连接失败的终端数量加1，即统计当前有多少终端与小区1建立连接失败(或者说，统计当前有多少终端遭受伪基站攻击事件)。随着与小区1建立连接失败的终端数量不断增加，在增加到大于阈值2时，AMF网元/OAM***确定小区1内存在伪基站攻击。

S1112，AMF网元向NWDAF网元发送分析订阅消息。相应的，NWDAF网元接收来自AMF网元的分析订阅消息。

S1113，NWDAF网元从RAN设备、AMF网元/OAM***收集小区1的相关参数。

S1114，NWDAF网元收集小区2的相关参数。

S1115，NWDAF网元根据小区1的相关参数，确定阈值1’-阈值5’。

其中，S1112-S1115的具体实现原理与上述S912-S915类似，可参考理解，不再赘述。

S1116，NWDAF网元向AMF网元发送分析通知消息。相应的，AMF网元接收来自NWDAF网元的分析通知消息。

S1117，AMF网元向OAM***发送消息#7。相应的，OAM***接收来自AMF网元的消息#7。

其中，S1117为可选步骤。如果由OAM***执行伪基站检测，则AMF网元可以执行S1117，以便OAM***对应更新阈值。在此基础上，消息#7可以用于指示OAM***更新阈值。消息#7可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#7可以包括：阈值1’-阈值2’、小区1的标识、以及消息类型6。小区1的标识用于指示阈值更新是用于小区1的伪基站检测。消息类型6用于指示消息#7为用于阈值更新的消息。如此，OAM***可以根据消息#7，将阈值1-阈值2更新为阈值1’-阈值2’。

S1118，AMF网元向RAN设备发送消息#8。相应的，RAN设备接收来自AMF网元的消息#8。

RAN设备为小区1所在的RAN设备。消息#8可以用于指示RAN设备更新阈值。消息#8可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#8可以包括：阈值3’-阈值5’、小区1的标识、以及消息类型7。小区1的标识用于指示阈值更新是用于小区1的伪基站检测。消息类型7用于指示消息#8为用于阈值更新的消息。如此，RAN设备可以根据消息#8，将阈值3-阈值5更新为阈值3’-阈值5’。可选地，AMF网元还可以将第一终端的阈值1更新为阈值1’。此外，S1118与S1117的执行顺序不限定。

需要说明的是，上述S1112-S1118也可以为可选步骤，即NWDAF网元可以更新阈值，或者也可以更新阈值。

此外，上述S1101-S1118示出的流程仅为场景2的一种示例，不作为限定。例如，RAN设备可以直接向AMF网元/OAM***指示小区接入相关参数和阈值3-阈值5之间的关系，为上述预设关系1中的任一项关系。或者，RAN设备可以向AMF网元/OAM***发送小区接入相关参数，由AMF网元/OAM***确定小区接入相关参数和阈值3-阈值5之间的关系，为上述预设关系1中的任一项关系。又例如，在小区接入相关参数和阈值3-阈值5之间的关系，为上述预设关系1中的任一项关系的情况下，AMF网元/OAM***可以直接确定小区1存在伪基站攻击。再例如，在第一终端上报第一终端与小区1建立连接失败次数大于阈值1的情况下，AMF网元/OAM***也可以直接确定小区1存在伪基站攻击。

以上结合场景2介绍了本申请实施例提供的通信方法在各个场景下的具体流程。下面结合图12介绍本申请实施例提供的通信方法在场景2的整体流程。

示例性的，图12为本申请实施例提供的通信方法的流程示意图四。该通信方法可以适用于第一设备与第一接入网设备之间的通信的通信。其中，第一设备可以是上述场景2中的AMF网元/OAM***。第一接入网设备仍可以是上述场景2中的RAN设备。

如图12所示，该通信方法的流程如下：

S1201，第一接入网设备确定小区的接入情况。

或者说，第一接入网设备监控小区接入状态。其中，小区的接入情况可以用于确定小区(例如上述场景2中的小区1)内是否存在伪基站攻击。

其中，小区的接入情况可以由小区接入相关参数指示，例如小区接入相关参数为以下信息中的至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。

或者，小区的接入情况可以包括如下至少一项：切换到小区失败的次数大于第一阈值(例如场景2中的阈值3)、小区内已接入的终端数量小于第一阈值(例如场景2中的阈值4)、或小区内新接入的终端数量小于第一阈值(例如场景2中的阈值5)，表示小区内存在伪基站攻击事件。可以理解的是，第一阈值为场景2中多种阈值的一种泛指，在不同情况下，具体的阈值类型也有所不同。

其中，第一接入网设备可以预配置第一阈值。比如，第一接入网设备预先配置有协议预定义的第一阈值。或者，第一接入网设备可以接收来自第一设备的第一阈值，对此不做具体限定。

此外，S1201的具体实现原理也可以参考上述S1105中的相关介绍，不再赘述。

S1202，第一接入网设备向第一设备发送第一消息。相应的，第一设备接收来自第一接入网设备的第一消息。

其中，第一消息(例如场景2中的消息#4)用于指示小区的接入情况。

具体的，如果小区的接入情况由小区接入相关参数指示，则第一消息包括小区接入相关参数。也就是说，第一接入网设备可以仅采集并上报这些参数，例如在小区接入相关参数有更新的情况下，向第一设备发送这些参数，以节约设备开销，提高设备运行效率。或者，如果小区的接入情况表示小区内存在伪基站攻击事件，则第一消息本身可用于指示小区的接入情况，或者第一消息中包括指示小区的接入情况的信息，即该信息可以用于指示切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值，表示小区内存在伪基站攻击事件，具体实现原理可以参考上述S1107中的相关介绍，不再赘述。

S1203，第一设备根据第一消息确定小区内存在伪基站攻击。

一种可能的实现方式中，如果第一消息包括小区接入相关参数，则第一设备可以将小区接入相关参数与第一阈值比较，以确定二者是否为上述至少一项关系中的任一项关系。该至少一项关系可以包括：切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值。此时，如果小区接入相关参数和第一阈值之间的关系为上述至少一项关系中的任一项关系，则第一设备确定小区内存在伪基站攻击。

另一种可能的实现方式中，如果第一消息本身可用于指示小区的接入情况，或者第一消息中包括指示小区的接入情况的信息，则第一设备可以根据该信息，直接确定小区内存在伪基站攻击。也是就说，在第一接入网设备可自行确定小区内存在伪基站攻击事件的情况下，第一设备仅通过判断是否接收到第一消息，或者第一消息是否携带有该信息，便可确定小区内是否存在伪基站攻击，以节约设备开销，提高设备运行效率。

可选地，第一设备可以预配置第一阈值。比如，第一设备预配置有协议预定义的第一阈值。或者，第一设备接收来自网络数据分析网元(例如场景2中的NWDAF网元)或者移动性管理网元(例如场景2中的AMF网元)的第一阈值。比如，在第一设备为动性管理网元的情况下，第一设备可以接收来自网络数据分析网元的第一阈值。可选地，第一设备可以向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第一阈值，以确保伪基站检测的准确性。或者，在第一设备为运维管理***(例如场景2中的OAM***)的情况下，第一设备可以接收来移动性管理网元的第一阈值。此外，第一设备配置第一阈值的具体实现原理与上述S1103-S1104类似，可参考理解，不再赘述。

再一种可能的实现方式中，第一设备可以根据第一消息，向第一终端发送第二消息(例如场景2中的消息#5)。例如，第一设备可以根据第一消息，确定上述小区(例如场景2中的小区1)的相邻小区的第二接入网设备。如此，第一设备可通过第二接入网设备，向第一终端发送第二消息，第二消息可以用于请求RRC失败事件，具体实现可以参考上述S1108中的相关介绍，不再赘述。相应的，第一设备可以接收来自第一终端的第三消息(例如场景2中的消息#6)，第三消息可以用于响应RRC失败事件。例如，第一设备通过第二接入网设备接收来自第一终端的第三消息，具体实现可以参考上述S1110中的相关介绍，不再赘述。可以看出，在小区的接入情况异常，也即该小区可能遭到伪基站攻击时，第一设备可以向该小区的邻居小区，也即向正常的小区请求第一终端与该小区建立连接的情况，以获取到有效且可靠的信息，确保伪基站检测的准确性。

其中，第二消息可以用于请求第一终端与小区建立连接的情况。第三消息可以用于指示第一终端与小区建立连接失败。可选地，第三消息还可以用于指示第一终端与小区建立连接失败的次数大于第二阈值(例如场景2中的阈值1)，具体实现可以参考上述S1109中的相关介绍，不再赘述，即第一终端在确定第一终端与小区建立连接失败的次数大于第二阈值的情况下，向第一设备发送第三消息。第一终端可以预配置第二阈值。比如，第一终端预先配置有协议预定义的第二阈值。或者，第一终端可以接收来自第一设备的第二阈值。可以看出，如果第一终端与同一小区多次建立连接失败，则说明第一终端可能遭到伪基站的拒绝服务攻击。此时，第一终端向第一设备上报这一事件，触发第一设备确定该小区内是否存在伪基站攻击，不仅可以提高伪基站检测的准确性，也可以确保第一设备用于伪基站检测的资源能够被有效利用，避免在没有伪基站攻击时，第一设备仍执行伪基站检测而导致资源浪费。

如此，第一设备可以根据第三消息，确定小区内存在伪基站攻击。例如，第一设备可以根据第三消息，直接定小区内存在伪基站攻击。或者，第一设备根据第三消息，确定与小区建立连接失败的终端数量，并根据与小区建立连接失败的终端数量大于第三阈值(例如场景2中的阈值2)，确定小区内存在伪基站攻击，具体实现原理可以参考上述S1111中的相关介绍，不再赘述。可以看出，在小区的接入情况异常时，第一设备可以进一步从第一终端获取第一终端与该小区建立连接的情况，并以此来确定该小区是否存在伪基站攻击，进一步提高伪基站检测的准确性。

其中，第一设备可以预配置第三阈值，例如，第一设备预配置有协议预定义的第三阈值。或者，第一设备接收来自网络数据分析网元或者移动性管理网元的第三阈值。例如，在第一设备为动性管理网元的情况下，第一设备可以接收来自网络数据分析网元的第三阈值。可选地，第一设备可以向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第三阈值，以确保伪基站检测的准确性。或者，在第一设备为运维管理***的情况下，第一设备可以接收来移动性管理网元的第三阈值。此外，第一设备配置第三阈值的具体实现原理，也可以参考上述S1103-S1104中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第一种可能的设计方案中，如果第一设备配置有第一阈值，则第一设备可以根据小区的接入情况，更新第一阈值。例如，第一设备可以根据小区的接入情况，更新预配置的第一阈值，也即第一设备自行更新第一阈值。或者，第一设备可以向网络数据分析网元发送小区的接入情况，以接收来自网络数据分析网元更新后的第一阈值。此外，第一设备更新第一阈值的具体实现原理可以参考上述S1101-S1118中的相关介绍，不再赘述。

如果第一接入网设备配置有第一阈值，则第一接入网设备可以根据小区的接入情况，更新第一阈值。例如，第一接入网设备可以根据小区的接入情况，更新预配置的第一阈值，也即第一接入网设备自行更新第一阈值。或者，在小区的接入情况由小区接入相关参数指示的情况下，第一接入网设备向网络数据分析网元发送小区接入相关参数，从而接收来自网络数据分析网元更新后的第一阈值。此外，第一接入网设备更新第一阈值的具体实现原理可以参考上述S1101-S1118中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第二种可能的设计方案中，第一终端可以根据第一终端与小区建立连接失败的次数，更新第二阈值。例如，第一终端可以根据第一终端与小区建立连接失败的次数，更新预配置的第二阈值，也即第一终端自行更新第二阈值。或者，第一终端向第一设备发送第一终端与小区建立连接失败的次数，以接收来自第一设备更新后的第二阈值。此外，第一终端更新第二阈值的具体实现原理也可以参考上述S1101-S1118中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第三种可能的设计方案中，第一设备可以根据第一设备根据与小区建立连接失败的终端数量，更新第三阈值，也即第一终端自行更新第三阈值。例如，第一设备可以根据第一设备根据与小区建立连接失败的终端数量，更新预配置的所述第三阈值。或者，第一设备可以向网络数据分析网元发送第一设备根据与小区建立连接失败的终端数量，以接收来自网络数据分析网元更新后的第三阈值。此外，第一设备更新第三阈值的具体实现原理可以参考上述S1101-S1118中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第四种可能的设计方案中，上述第一消息还可以包括：在切换到小区失败时，终端所在的源小区。如此，在小区内存在伪基站攻击的情况下，第一设备还可以根据源小区的位置，确定伪基站的方位，以方便找到伪基站攻击的攻击源所在位置，具体实现原理也可以参考S1111中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第五种可能的设计方案中，第一设备向第一接入网设备指示开启伪基站攻击检测。相应的，第一接入网设备接收来自第一设备的指示开启伪基站攻击检测的信息。

其中，在第一接入网设备默认不开启伪基站攻击检测的情况下，需要指示第一接入网设备开启伪基站攻击检测，以确保第一接入网设备能够记录并上报小区的接入情况，实现伪基站攻击检测。当然，在第一接入网设备默认开启伪基站攻击检测的情况下，第一设备也可以不指示，以降低通信开销。

此外，场景2中第五种可能的设计方案的具体实现原理也可以参考上述S1105中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第六种可能的设计方案中，第一设备向第一终端指示开启伪基站攻击检测。相应的，第一终端接收来自第一设备的指示开启伪基站攻击检测的信息。

此外，场景2中第六种可能的设计方案的具体实现原理，也可以参考上述S1106中的相关介绍，不再赘述。

可选地，结合上述图12所示的方法，第七种可能的设计方案中，第一设备可以根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

其中，第一设备可以判断该区域的安全等级是否比较高，例如是否大于安全等级阈值。如果安全等级比较高，则对该区域内的小区执行伪基站检测。否则，如果安全等级比较低，则不对该区域内的小区执行伪基站检测。也就是说，第一设备可只对安全等级比较高的小区执行伪基站检测，以提高设备运行效率，降低开销。当然，根据区域的安全级别执行伪基站攻击检测仅为一种示例，不作为限定，例如，第一设备也可以根据小区的安全级别，确定需要对小区进行伪基站攻击检测。

此外，场景2中第七种可能的设计方案的具体实现原理，也可以参考上述S1101-S1103中的相关介绍，不再赘述。

综上，根据场景2中的相关介绍可知，伪基站通过功率压制的方式发起攻击，可使得终端接入正常基站的小区受限。这种情况下，通过分析该小区的接入情况，可确定该小区内存在伪基站攻击，实现伪基站检测。

此外，场景2中的技术效果也可以参考场景1中相应的技术效果，不再赘述。

场景3：

示例性的，图13为本申请实施例提供的通信方法的流程示意图五。该通信方法主要适用于第一终端、RAN设备、AMF网元/OAM***、以及NWDAF网元之间的通信。在场景3下，AMF网元/OAM***可以触发第一终端执行伪基站检测，以便NWDAF网元可根据第一终端的数据确定是否存在伪基站攻击。

具体的，如图13所示，该通信方法的流程如下：

S1301，NWDAF网元对各区域进行安全分级。

S1302，NWDAF网元向AMF网元发送AMF网元对应的区域的安全等级。相应的，AMF网元接收来自NWDAF网元的AMF网元对应的区域的安全等级。

S1303，AMF网元根据AMF网元对应的区域的安全等级，确定是否对小区1执行伪基站检测。

其中，S1301-S1303的具体实现原理与上述S901-S903类似，可以参考理解，不再赘述。

S1304，AMF网元向OAM***发送消息#A。相应的，OAM***接收来自AMF网元的消息#A。

上述S1304为可选步骤。在OAM***执行小区1的伪基站检测情况下，AMF网元执行S904。此时，消息#A用于指示OAM***需要对小区1开启伪基站检测。消息#A可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#A可以包括：小区1的标识、消息类型A、以及小区1的伪基站检测规则。小区1的标识用于指示OAM***需要对小区1开启伪基站检测。消息类型A用于指示消息#A为指示开启伪基站检测的消息。消息#A中的伪基站检测规则可以为小区1的部分伪基站检测规则，例如阈值2。阈值1可以由AMF网元为对应的终端配置，以提高OAM***的运行效率，降低开销。或者，消息#A中可以包括小区1的更多的伪基站检测规则，例如阈值1-阈值2，对此不作具体限定。

需要说明的是，场景3中的消息#A与场景1中的消息#A只是采用同样的命名方式，以方便描述。实际应用中，场景3中的消息#A与场景1中的消息#A可以是相同或不同的消息，对此不做具限定。

S1305，AMF网元向第一终端发送消息#B。相应的，第一终端接收来自AMF网元的消息#B。

S1306，AMF网元向RAN设备发送消息#C。相应的，RAN设备接收来自AMF网元的消息#C。

S1307，第一终端向AMF网元/OAM***发送消息#D。相应的，AMF网元/OAM***接收来自第一终端的消息#D。

S1308，AMF网元/OAM***根据消息#D，确定与小区1建立连接失败的终端数量。

其中，S1305-S1308的具体实现原理与上述S905-S908类似，可参考理解，不再赘述。

S1309，AMF网元/OAM***向NWDAF网元发送信息分析请求消息。相应的，NWDAF网元接收来自AMF网元/OAM***的信息分析请求消息。

信息分析请求消息用于请求NWDAF网元进行伪基站分析，以确定是否存在伪基站攻击。信息分析请求消息中的分析类型可以为：伪基站分析。信息分析请求消息中的分析目标可以为：小区1的标识，用以指示NWDAF网元需要收集小区1的相关数据来进行伪基站分析。如果AMF网元/OAM***确定与小区1建立连接失败的终端数量大于阈值2，则可以向NWDAF网元发送信息分析请求消息。此外，信息分析请求消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

S1310，NWDAF网元从RAN设备、AMF网元/OAM***收集小区1的相关参数。

S1311，NWDAF网元收集小区2的相关参数。

其中，S1310-S1311的具体实现原理与上述S913-S914类似，可参考理解，不再赘述。

S1312，NWDAF网元根据小区1的相关参数，确定分析结果。

NWDAF网元可以通过机器学习模型处理小区1的相关参数，或者小区1和小区2的相关参数，得到分析结果。分析结果可以用于指示小区1内存在伪基站攻击的可能性，例如，分析结果包括：小区1的标识、伪基站攻击的可能(rate)值、伪基站攻击的方位。

可以理解，NWDAF网元可以通过机器学习模型处理的方式来确定阈值仅为一种示例，NWDAF网元确定分析结果的具体实现形式并不限定。例如，NWDAF网元也可以通过将小区1的相关参数和小区2的相关参数比较来确定分析结果。

S1313，NWDAF网元向AMF网元/OAM***发送信息分析请求响应消息。相应的，AMF网元接收来自NWDAF网元的信息分析请求响应消息。

其中，信息分析请求响应消息携带有上述分析结果。信息分析请求响应消息的具体实现原理，可以参考上述3、请求或订阅中的相关介绍，不再赘述。

S1314，AMF网元/OAM***根据分析结果，确定小区1内是否存在伪基站攻击。

AMF网元/OAM***可以根据分析结果，判断伪基站攻击的可能性是否大于阈值。例如，如果分析结果中伪基站攻击的可能值大于阈值，则AMF网元/OAM***确定小区1内存在伪基站攻击。否则，如果伪基站攻击的可能值小于或等于阈值，则AMF网元/OAM***确定小区1内不存在伪基站攻击。当然，AMF网元/OAM***也可以直接根据伪基站攻击的可能性，确定小区1内是否存在伪基站攻击。例如，在伪基站攻击的可能值为1或0的情况下，如果伪基站攻击的可能值为1，则确定小区1内存在伪基站攻击。反之，如果伪基站攻击的可能值为0，则确定小区1内不存在伪基站攻击。

可选地，如果由AMF网元执行伪基站检测，则AMF网元可以向OAM***发送伪基站检测结果，例如小区1内存在伪基站攻击，以及伪基站的方位。如果由OAM***执行伪基站检测，则OAM***不需要发送伪基站检测结果和伪基站的方位。如此，OAM***可以根据被攻击小区，例如小区1，以及伪基站的方位，确定伪基站攻击的具***置，以进一步对伪基站攻击进行处理，比如在现实中联系运维人员或警方前往该位置进行排查等。

S1315，AMF网元向NWDAF网元发送分析订阅消息。相应的，NWDAF网元接收来自AMF网元的分析订阅消息。

分析订阅消息用于请求NWDAF网元进行伪基站阈值更新，以更新小区1对应的阈值，例如阈值1-阈值2。分析订阅消息中的分析类型可以为：伪基站分析。分析订阅消息中的分析目标可以为：小区1的标识，用以指示NWDAF网元需要收集小区1的相关数据来进行伪基站分析。可选地，分析订阅消息还可以携带阈值1-阈值2中的一个或多个阈值，用以为NWDAF网元更新阈值提供参考。此外，分析订阅消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

需要指出的是，S1315可以在确定对小区1执行伪基站检测时(S1303)便执行，确保阈值能够随着检测同步更新，以提高伪基站检测的准确性。当然，S1315也可以在此之后(S1303之后)的其他时间点执行，对此不做具体限定。

S1316，NWDAF网元从RAN设备、AMF网元/OAM***收集小区1的相关参数。

S1317，NWDAF网元收集小区2的相关参数。

其中，S1316-S1317的具体实现原理与上述S913-S914类似，可以参考理解，不再赘述。

S1318，NWDAF网元根据小区1的相关参数，确定阈值1’-阈值2’。

NWDAF网元可以通过机器学习模型处理小区1的相关参数，或者小区1和小区2的相关参数，得到如下至少一项：第一终端与小区1建立连接失败的次数阈值更新值(记为阈值1’)、或与小区1建立连接失败的终端数量阈值更新值(记为阈值2’)。阈值1’可以包括：终端因超时导致与小区1的RRC连接建立失败的次数阈值更新值(记为阈值11’)，和/或，终端因小区1的RRC拒绝导致RRC连接建立失败的次数阈值更新值(记为阈值12’)。

S1319，NWDAF网元向AMF网元发送分析通知消息。相应的，AMF网元接收来自NWDAF网元的分析通知消息。

其中，分析通知消息用于指示AMF网元更新阈值。分析通知消息中可以包括：小区1的标识、以及阈值1’-阈值2’，以便AMF网元将阈值1-阈值2更新为阈值1’-阈值2’。此外，分析通知消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

S1320，AMF网元向OAM***发送消息#G。相应的，OAM***接收来自AMF网元的消息#G。

其中，S1320为可选步骤。如果由OAM***执行伪基站检测，则AMF网元可以执行S1320，以便OAM***对应更新阈值。在此基础上，消息#G可以用于指示OAM***更新阈值。消息#G可以为服务化接口消息，也可以是通用接口消息，或者其他任何可能的消息，对此不做具体限定。消息#G可以包括：阈值2’、小区1的标识、以及消息类型F。小区1的标识用于指示阈值更新是用于小区1的伪基站检测。消息类型F用于指示消息#G为用于阈值更新的消息。如此，OAM***可以根据消息#G，将阈值2更新为阈值2’。

需要说明的是，场景3中的消息#G与场景1中的消息#G只是采用同样的命名方式，以方便描述。实际应用中，场景3中的消息#G与场景1中的消息#G可以是相同或不同的消息，对此不做具限定。

S1321，AMF网元向第一终端发送消息#H。相应的，第一终端接收来自AMF网元的消息#H。

其中，S1321的具体实现原理与上述S918类似，可以参考理解，不再赘述。如此，通过NWDAF网元对数据的分析来更新伪基站检测使用的阈值，可使得后续用于伪基站检测的阈值可以越来越接近其最佳取值，使得伪基站检测可以越来越准确。此外，通过NWDAF网元更新阈值仅为一种示例，不作为限定。例如，AMF网元/OAM***可以根据如下至少一项：终端与小区1建立连接失败的次数、与小区1建立连接失败的终端数量、或小区1的小区接入相关参数，更新预配置的上述阈值。

需要说明的是，上述S1315-S1321也可以为可选步骤，即NWDAF网元可以更新阈值，或者也可以更新阈值。

此外，上述S1301-S1321示出的流程仅为场景3的一种示例，不作为限定。例如，第一终端可以直接向AMF网元/OAM***指示第一终端与小区1建立连接失败的次数大于阈值1。或者，第一终端向AMF网元/OAM***发送第一终端与小区1建立连接失败的次数，由AMF网元/OAM***确定该次数是否大于阈值1。又例如，在第一终端与小区1建立连接失败的次数大于阈值1的情况下，AMF网元/OAM***可以直接请求NWDAF网元进行伪基站检测。再例如，在与小区1建立连接失败的终端数量大于阈值2的情况下，AMF网元/OAM***也可以直接请求NWDAF网元进行伪基站检测。

场景4：

示例性的，图14为本申请实施例提供的通信方法的流程示意图七。该通信方法主要适用于第一终端、RAN设备、AMF网元/OAM***、以及NWDAF网元之间的通信。在场景4下，AMF网元/OAM***可以触发RAN设备执行伪基站检测，以便NWDAF网元根据RAN设备的数据确定是否存在伪基站攻击。

具体的，如图14所示，该通信方法的流程如下：

S1401，NWDAF网元对各区域进行安全分级。

S1402，NWDAF网元向AMF网元发送AMF网元对应的区域的安全等级。相应的，AMF网元接收来自NWDAF网元的AMF网元对应的区域的安全等级。

S1403，AMF网元根据AMF网元对应的区域的安全等级，确定是否对小区1执行伪基站检测。

其中，S1401-S1403的具体实现原理与上述S901-S903类似，可参考理解，不再赘述。

S1404，AMF网元向RAN设备发送消息#2。相应的，RAN设备接收来自AMF网元的消息#2。

S1405，AMF网元向第一终端发送消息#3。相应的，第一终端接收来自AMF网元的消息#3。

S1406，RAN设备向AMF网元/OAM***发送消息#4。相应的，AMF网元/OAM***接收来自RAN设备的消息#4。

S1407，AMF网元/OAM***向第一终端发送消息#5。相应的，第一终端接收来自AMF网元/OAM***的消息#5。

S1408，第一终端确定第一终端与小区1建立连接失败的次数是否大于阈值1。

S1409，第一终端向AMF网元/OAM***发送消息#6。相应的，AMF网元/OAM***接收来自第一终端的消息#6。

其中，S1404-S1409的具体实现原理与上述S1105-S1110类似，可参考理解，不再赘述。

S1410，AMF网元/OAM***向NWDAF网元发送信息分析请求消息。相应的，NWDAF网元接收来自AMF网元/OAM***的信息分析请求消息。

其中，S1410可以在AMF网元/OAM***确定存在伪基站攻击事件的情况下执行，例如在S1406之后执行。

S1411，NWDAF网元从RAN设备、AMF网元/OAM***收集小区1的相关参数。

S1412，NWDAF网元收集小区2的相关参数。

S1413，NWDAF网元根据小区1的相关参数，确定分析结果。

S1414，NWDAF网元向AMF网元/OAM***发送信息分析请求响应消息。相应的，AMF网元接收来自NWDAF网元的信息分析请求响应消息。

S1415，AMF网元/OAM***根据分析结果，确定小区1内是否存在伪基站攻击。

其中，S1410-S1415的具体实现原理与上述S1309-S1314类似，可参考理解，不再赘述。

S1416，AMF网元向NWDAF网元发送分析订阅消息。相应的，NWDAF网元接收来自AMF网元的分析订阅消息。

分析订阅消息用于请求NWDAF网元进行伪基站阈值更新，以更新小区1对应的阈值，例如阈值1、阈值3-阈值5。分析订阅消息中的分析类型可以为：伪基站分析。分析订阅消息中的分析目标可以为：小区1的标识，用以指示NWDAF网元需要收集小区1的相关数据来进行伪基站分析。可选地，分析订阅消息还可以携带阈值1、阈值3-阈值5中的一个或多个阈值，用以为NWDAF网元更新阈值提供参考。此外，分析订阅消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

其中，S1416可以在确定对小区1执行伪基站检测时(S1403)便执行，确保阈值能够随着检测同步更新，以提高伪基站检测的准确性。当然，S1416也可以在此之后(S1403之后)的其他时间点执行，对此不做具体限定。

S1417，NWDAF网元从RAN设备、AMF网元/OAM***收集小区1的相关参数。

S1418，NWDAF网元收集小区2的相关参数。

其中，S1417-S1418的具体实现原理与上述S913-S914类似，可参考理解，不再赘述。

S1419，NWDAF网元根据小区1的相关参数，确定阈值1’、阈值3’-阈值5’。

NWDAF网元可以通过机器学习模型处理小区1的相关参数，或者小区1和小区2的相关参数，得到如下至少一项：第一终端与小区1建立连接失败的次数阈值更新值(记为阈值1’)、或小区1更新的小区接入相关参数。小区1更新的小区接入相关参数可包括如下至少一项：切换到小区1失败更新的次数阈值更新值(记为阈值3’)、小区1内已接入的终端数量阈值更新值(记为阈值4’)、或小区1内新接入的终端数量阈值更新值(记为阈值5’)。

S1420，NWDAF网元向AMF网元发送分析通知消息。相应的，AMF网元接收来自NWDAF网元的分析通知消息。

其中，分析通知消息用于指示AMF网元更新阈值。分析通知消息中可以包括：小区1的标识、以及阈值1’、阈值3’-阈值5’，以便AMF网元将阈值1更新为阈值1’，将阈值3-阈值5更新为阈值3’-阈值5’。此外，分析通知消息的具体实现原理可以参考上述3、请求或订阅中的相关介绍，不再赘述。

S1421，AMF网元向第一终端发送消息#8。相应的，第一终端接收来自AMF网元的消息#8。

其中，S1421的具体实现原理与上述S1118类似，可以参考理解，不再赘述。如此，通过NWDAF网元对数据的分析来更新伪基站检测使用的阈值，可使得后续用于伪基站检测的阈值可以越来越接近其最佳取值，使得伪基站检测可以越来越准确。此外，通过NWDAF网元更新阈值仅为一种示例，不作为限定。例如，AMF网元/OAM***可以根据如下至少一项：终端与小区1建立连接失败的次数、与小区1建立连接失败的终端数量、或小区1的小区接入相关参数，更新预配置的上述阈值。

需要说明的是，上述S1416-S1421也可以为可选步骤，即NWDAF网元可以更新阈值，或者也可以更新阈值。

此外，上述S1401-S1421示出的流程仅为场景4的一种示例，不作为限定。例如，RAN设备可以直接向AMF网元/OAM***指示小区接入相关参数和阈值3-阈值5之间的关系，为上述预设关系1中的任一项关系。或者，RAN设备可以向AMF网元/OAM***发送小区接入相关参数，由AMF网元/OAM***确定小区接入相关参数和阈值3-阈值5之间的关系，为上述预设关系1中的任一项关系。又例如，在小区接入相关参数和阈值3-阈值5之间的关系，为上述预设关系1中的任一项关系的情况下，AMF网元/OAM***可以直接请求NWDAF网元进行伪基站检测。再例如，在第一终端上报第一终端与小区1建立连接失败次数大于阈值1的情况下，AMF网元/OAM***也可以直接请求NWDAF网元进行伪基站检测。

以上结合场景3-场景4介绍了本申请实施例提供的通信方法在各个场景下的具体流程。下面结合图15介绍本申请实施例提供的通信方法在场景3-场景4的整体流程。

示例性的，图15为本申请实施例提供的通信方法的流程示意图七。该通信方法可以适用于第一设备与网络数据分析网元之间的通信的通信。其中，第一设备可以是上述场景3-场景4中的AMF网元/OAM***。网络数据分析网元可以是上述场景3-场景4中的NWDAF网元。

如图15所示，该通信方法的流程如下：

S1501，第一设备获取用于小区的伪基站检测的参数。

其中，用于小区的伪基站检测的参数可以包括如下至少一项：第一终端与小区建立连接失败的次数、与小区建立连接失败的终端数量、切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量，即包括终端侧和网络侧的参数，以提高伪基站检测的准确性。可选地，用于小区的伪基站检测的参数还可以包括如下至少一项：在切换到小区失败时终端所在的源小区、小区内的终端的接入时间间隔，小区内的终端的测量报告、小区内的终端的RLF报告、小区内的伪基站攻击事件的数量、或小区的邻区小区的标识，以进一步提供伪基站检测的准确性。

一种可能的实现方式中，若用于小区的伪基站检测的参数包括：第一终端与小区建立连接失败的次数，则第一设备可以接收来自第一终端的第二消息。该第二消息可以用于指示第一终端与小区建立连接失败，以便第一设备可以根据第二消息，确定第一终端与小区建立连接失败的次数。也就是说，如果由第一终端触发伪基站检测，则第一终端可以通过上报第一终端与小区建立连接失败的次数来触发伪基站检测。例如，第一终端可以预配置第二阈值。比如，第一终端预先配置有协议预定义的第二阈值。或者，第一终端可以接收来自第一设备的第二阈值。这样，第一终端可以根据第一终端与小区建立连接失败的次数大于第二阈值(例如场景3-场景4中的阈值1)，向第一设备发送第二消息。此外，该实现方式的具体原理可以参考上述S1305和S1307，以及S1407-S1409中的相关介绍，不再赘述。

若用于小区的伪基站检测的参数包括：与小区建立连接失败的终端数量，第一设备可以根据第二消息，确定与小区建立连接失败的终端数量。也就是说，如果由第一终端触发伪基站检测，则第一设备还可以确定与小区建立连接失败的终端数量，以用于后续伪基站检测使用。

另一种可能的实现方式中，若用于小区的伪基站检测的参数包括如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量，也即该小区的小区接入相关参数，则第一设备获取用于小区的伪基站检测的参数，包括：第一设备接收来自接入网设备的如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。也就是说，如果由接入网设备触发伪基站检测，则接入网设备可以通过上报上述至少一项参数来触发伪基站检测。例如，接入网设备配置有第三阈值(例如场景3-场景4中的阈值3-阈值5)。例如，接入网设备可以预配置第三阈值。比如，接入网设备预先配置有协议预定义的第三阈值。或者，接入网设备可以接收来自第一设备的第三阈值。在此基础上，伪基站攻击对应的关系(例如场景3-场景4中预设关系1)为如下至少一项：切换到小区失败的次数大于第三阈值(例如场景3-场景4中的阈值3)、小区内已接入的终端数量小于第三阈值(例如场景3-场景4中的阈值4)、或小区内新接入的终端数量小于第三阈值(例如场景3-场景4中的阈值5)，如果小区接入相关参数与第三阈值之间满足伪基站攻击对应的关系中的任一项关系，则接入网设备向第一设备发送小区接入相关参数。此外，该实现方式的具体原理可以参考上述S1404和S1406中的相关介绍，不再赘述。需要指出的是，第三阈值为场景3-场景4中多种阈值的一种泛指，在不同情况下，具体的阈值类型也有所不同。

S1502，第一设备根据用于小区的伪基站检测的参数，向网络数据分析网元发送第一消息。相应的，网络数据分析网元接收来自第一设备的第一消息。

该第一消息(例如场景3-场景4中的信息分析请求消息、事件订阅响应消息、订阅响应消息等)用于请求网络数据分析网元对小区执行伪基站检测。可选地，第一消息中可以包括：上述用于小区的伪基站检测的参数，即复用第一消息来发送该参数，以提高通信效率。

其中，若用于小区的伪基站检测的参数包括：与小区建立连接失败的终端数量，则第一设备根据该参数，第一设备还可以根据与小区建立连接失败的终端数量大于第一阈值，向网络数据分析网元发送第一消息，具体实现原理可以参考上述S1308中的相关介绍，不再赘述。也就是说，在大量的终端都上报其与小区建立连接失败，也即可能存在伪基站攻击的情况下，第一设备才请求网络数据分析网元执行伪基站检测，不仅可以提高伪基站检测的准确性，也可以确保网络数据分析网元用于伪基站检测的资源能够被有效利用，避免在没有伪基站攻击时，网络数据分析网元仍执行伪基站检测而导致资源浪费。

其中，第一设备可以预配置第一阈值。比如，第一设备预先配置有协议预定义的第一阈值。或者，第一设备可以接收来自网络数据分析网元或者移动性管理网元(例如场景1中的AMF网元)的第一阈值。比如，在第一设备为移动性管理网元的情况下，第一设备可以接收来自网络数据分析网元的第一阈值。可选地，第一设备可以向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息，以便网络数据分析网元为其针对性地配置用于伪基站检测的第一阈值，以确保伪基站检测的准确性。或者，在第一设备为运维管理***(例如场景1中的OAM***)的情况下，第一设备可以接收来移动性管理网元的第一阈值，具体实现原理可以参考上述S1304中的相关介绍，不再赘述。

此外，S1502的具体实现原理也可以参考上述S1309-S1311，以及S1410-S1412中的相关介绍，不再赘述。

S1503，网络数据分析网元向第一设备发送针对于伪基站检测的分析结果。相应的，第一设备接收来自网络数据分析网元的分析结果。

网络数据分析网元可以根据第一消息，对小区执行伪基站检测，从而获得伪基站检测的分析结果。例如，网络数据分析网元可以根据第一消息，获取上述用于小区的伪基站检测的参数，以根据该参数对小区执行伪基站检测，获得伪基站检测的分析结果。

S1504，第一设备根据分析结果确定小区内存在伪基站攻击。

其中，S1503-S1504的具体实现原理可以参考上述S1312-S1314，以及S1413-S1415中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第一种可能的设计方案中，第一设备可以根据上述用于小区的伪基站检测的参数，如上述与小区建立连接失败的终端数量，更新第一阈值。例如，第一设备可以根据该与小区建立连接失败的终端数量，更新预配置的第一阈值，也即第一设备自行更新第一阈值。或者，第一设备可以向网络数据分析网元发送该与小区建立连接失败的终端数量，以接收来自网络数据分析网元更新后的第一阈值。此外，第一设备更新第一阈值的具体实现原理可以参考上述S1315-S1320中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第二种可能的设计方案中，第一终端可以根据上述用于小区的伪基站检测的参数，如上述第一终端与小区建立连接失败的次数，更新第二阈值。例如，第一终端可以根据第一终端与小区建立连接失败的次数，更新预配置的第二阈值，也即第一终端自行更新第二阈值。或者，第一终端向第一设备发送第一终端与小区建立连接失败的次数，以接收来自第一设备更新后的第二阈值。此外，第一终端更新第二阈值的具体实现原理，也可以参考上述S1315-S1321，以及S1416-S1421中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第三种可能的设计方案中，接入网设备可以根据上述用于小区的伪基站检测的参数，例如上述小区接入相关参数，更新三阈值。例如，接入网设备可以根据小区接入相关参数，更新预配置的第三阈值，也即接入网设备自行更新第三阈值。或者，接入网设备向网络数据分析网元发送小区接入相关参数，从而接收来自网络数据分析网元更新后的第三阈值。此外，接入网设备更新第三阈值的具体实现原理可以参考上述S1416-S1421中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第四种可能的设计方案中，上述用于小区的伪基站检测的参数还可以包括：在切换到小区失败时，终端所在的源小区。如此，在小区内存在伪基站攻击的情况下，第一设备还可以根据源小区的位置，确定伪基站的方位，以方便找到伪基站攻击的攻击源所在位置，具体实现原理也可以参考S1314以及S1415中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第五种可能的设计方案中，第一设备向接入网设备指示开启伪基站攻击检测。相应的，接入网设备接收来自第一设备的指示开启伪基站攻击检测的信息。

其中，在接入网设备默认不开启伪基站攻击检测的情况下，需要指示接入网设备开启伪基站攻击检测，以确保接入网设备能够记录并上报用于小区的伪基站检测的参数，实现伪基站攻击检测。当然，在接入网设备默认开启伪基站攻击检测的情况下，第一设备也可以不指示，以降低通信开销。

此外，场景3-场景4中第五种可能的设计方案的具体实现原理，也可以参考上述S1305以及S1404中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第六种可能的设计方案中，第一设备向第一终端指示开启伪基站攻击检测。相应的，第一终端接收来自第一设备的指示开启伪基站攻击检测的信息。

此外，场景3-场景4中第六种可能的设计方案的具体实现原理，也可以参考上述S1306，以及S1405中的相关介绍，不再赘述。

可选地，结合上述图15所示的方法，第七种可能的设计方案中，第一设备可以根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

此外，场景3-场景4中第七种可能的设计方案的具体实现原理，也可以参考上述S1301-S1303，以及S1401-S1403中的相关介绍，不再赘述。

综上，根据场景3-场景4中的相关介绍可知，第一设备通过请求网络数据分析网元对小区执行伪基站检测，便可根据网络数据分析网元的分析结果确定是否小区内存在伪基站攻击，从而实现伪基站检测。

以上结合图9-图15详细说明了本申请实施例提供的通信方法。以下结合图16-图17详细说明用于执行本申请实施例提供的通信方法的通信装置。

示例性地，图16是本申请实施例提供的通信装置的结构示意图一。如图16所示，通信装置1600包括：收发模块1601和处理模块1602。为了便于说明，图16仅示出了该通信装置的主要部件。

第一种实施例中，通信装置1600可适用于图8中所示出的通信***中，执行图9所示出的通信方法中AMF网元/OAM***的功能，或者适用于图8中所示出的通信***中，执行图10所示出的通信方法中第一设备的功能。

其中，收发模块1601，用于接收来自第一终端的第一消息。处理模块1602，用于根据第一消息确定小区内存在伪基站攻击。其中，第一消息用于指示第一终端与小区建立连接失败。

一种可能的设计方案中，处理模块1602，还用于根据第一消息，确定与小区建立连接失败的终端数量，以根据终端数量大于第一阈值，确定小区内存在伪基站攻击。

可选地，处理模块1602，还用于预配置第一阈值。或者，收发模块1601，还用于接收来自网络数据分析网元或者移动性管理网元的第一阈值。

进一步的，收发模块1601，还用于当接收来自网络数据分析网元的第一阈值，则向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

可选地，处理模块1602，还用于根据终端数量，更新第一阈值。

进一步的，处理模块1602，还用于根据终端数量，更新预配置的第一阈值。或者，处理模块1602，还用于控制收发模块1601向网络数据分析网元发送终端数量，以接收来自网络数据分析网元更新后的第一阈值。

可选地，处理模块1602，还用于根据终端数量大于第一阈值，控制收发模块1601向接入网设备发送第二消息，并接收来自接入网设备的第三消息。其中，第二消息用于请求该小区的小区接入相关参数。第三消息包括：小区接入相关参数。小区接入相关参数包括如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。如此，处理模块1602，还用于根据小区接入相关参数和第二阈值，确定小区内存在伪基站攻击。

进一步的，处理模块1602，还用于当小区接入相关参数和第二阈值之间的关系为如下至少一项关系中的任一项关系，确定小区内存在伪基站攻击。至少一项关系包括：切换到小区失败的次数大于第二阈值、小区内已接入的终端数量小于第二阈值、或小区内新接入的终端数量小于第二阈值。

进一步的，处理模块1602，还用于预配置第二阈值。或者，收发模块1601，还用于接收来自网络数据分析网元或者移动性管理网元的第二阈值。

进一步的，当收发模块1601接收来自网络分析网元的第二阈值，则收发模块1601，还用于向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

进一步的，处理模块1602，还用于根据小区接入相关参数，更新第二阈值。

进一步的，处理模块1602，还用于根据小区接入相关参数，更新预配置的第二阈值。或者，处理模块1602，还用于控制收发模块1601向网络数据分析网元发送小区接入相关参数，以接收来自网络数据分析网元更新后的第二阈值。

进一步的，小区接入相关参数还可以包括：在切换到小区失败时，终端所在的源小区，处理模块1602，还用于在小区内存在伪基站攻击的情况下，根据源小区的位置，确定伪基站的方位。

进一步的，收发模块1601，还用于向接入网设备指示开启伪基站攻击检测。

一种可能的设计方案中，收发模块1601，还用于向第一终端指示开启伪基站攻击检测。

可选地，处理模块1602，还用于根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

可选地，收发模块1601可以包括发送模块(图16中未示出)和接收模块(图16中未示出)。其中，发送模块用于实现通信装置1600的发送功能，接收模块用于实现通信装置1600的接收功能。

可选地，通信装置1600还可以包括存储模块(图16中未示出)，该存储模块存储有程序或指令。当该处理模块1602执行该程序或指令时，使得该通信装置1600可以执行图9所示的通信方法中AMF网元/OAM***的功能，或者执行图10所示的通信方法中第一设备的功能。

需要说明的是，通信装置1600可以是网络设备，例如第一设备，如运维管理***或者移动性管理网元，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

此外，通信装置1600的技术效果可以参考图9或图10所示的通信方法的技术效果，此处不再赘述。

第二种实施例中，通信装置1600可适用于图8中所示出的通信***中，执行图9所示出的通信方法中第一终端的功能，或者适用于图8中所示出的通信***中，执行图10所示出的通信方法中第一终端的功能。

其中，处理模块1602，用于确定通信装置1600与小区建立连接失败。收发模块1601，用于向第一设备发送第一消息，第一消息用于指示通信装置1600与小区建立连接失败。

一种可能的设计方案中，收发模块1601，还用于在通信装置1600与小区建立连接失败的次数大于第三阈值的情况下，向第一设备发送第一消息。

可选地，处理模块1602，还用于预配置第三阈值；或者，处理模块1602，还用于控制收发模块1601接收来自第一设备的第三阈值。

可选地，处理模块1602，还用于根据通信装置1600与小区建立连接失败的次数，更新第三阈值。

进一步的，处理模块1602，还用于根据通信装置1600与小区建立连接失败的次数，更新预配置的第三阈值。或者，处理模块1602，还用于控制收发模块1601向第一设备发送通信装置1600与小区建立连接失败的次数，以接收来自第一设备更新后的第三阈值。

一种可能的设计方案中，收发模块1601，还用于接收来自第一设备的指示开启伪基站攻击检测的信息。

可选地，第一消息还用于确定小区内是否存在伪基站攻击。

可选地，通信装置1600还可以包括存储模块(图16中未示出)，该存储模块存储有程序或指令。当该处理模块1602执行该程序或指令时，使得该通信装置1600可以执行图9或图10所示的通信方法中第一终端的功能。

需要说明的是，通信装置1600可以是终端，例如第一终端，也可以是可设置于终端中的芯片(***)或其他部件或组件，还可以是包含终端的装置，本申请对此不做限定。

第三种实施例中，通信装置1600可适用于图8中所示出的通信***中，执行图11所示出的通信方法中AMF网元/OAM***的功能，或者适用于图8中所示出的通信***中，执行图12所示出的通信方法中第一设备的功能。

其中，收发模块1601，用于接收来自第一接入网设备的第一消息。处理模块1602，用于根据第一消息，确定小区内存在伪基站攻击。其中，第一消息用于指示小区的接入情况。

一种可能的设计方案中，小区的接入情况包括如下至少一项：切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值。

另一种可能的设计方案中，第一消息中包括接入相关参数(即可以理解为小区接入相关参数可指示小区的接入情况)，例如小区接入相关参数为以下信息中的至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。处理模块1602，还用于当小区接入相关参数和第一阈值之间的关系为如下至少一项关系中的任一项关系，确定小区内存在伪基站攻击。至少一项关系包括：切换到小区失败的次数大于第一阈值、小区内已接入的终端数量小于第一阈值、或小区内新接入的终端数量小于第一阈值。

可选地，处理模块1602，还用于预配置第一阈值。或者，处理模块1602，还用于控制收发模块1601接收来自网络数据分析网元或者移动性管理网元的第一阈值。

进一步的，收发模块1601，还用于当接收来自网络分析网元的第一阈值，则向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

可选地，处理模块1602，还用于根据小区的接入情况，更新第一阈值。

进一步的，处理模块1602，还用于根据小区的接入情况，更新预配置的第一阈值。或者，在小区的接入情况由小区接入相关参数指示的情况下，处理模块1602，还用于控制收发模块1601向网络数据分析网元发送小区接入相关参数，以接收来自网络数据分析网元更新后的第一阈值。

再一种可能的设计方案中，第一设备根据第一消息，处理模块1602，还用于根据第一消息，控制收发模块1601向第一终端发送第二消息，以接收来自第一终端的第三消息。其中，第二消息用于请求第一终端与小区建立连接的情况，第三消息用于指示第一终端与小区建立连接失败。如此，处理模块1602，还用于根据第三消息，确定小区内存在伪基站攻击。

可选地，处理模块1602，还用于根据第一消息，确定上述小区的相邻小区的第二接入网设备。相应的，收发模块1601，还用于通过第二接入网设备，向第一终端发送第二消息。

可选地，第三消息还用于指示第一终端与小区建立连接失败的次数大于第二阈值。

可选地，处理模块1602，还用于根据第三消息，确定与小区建立连接失败的终端数量，并根据与小区建立连接失败的终端数量大于第三阈值，确定小区内存在伪基站攻击。

进一步的，处理模块1602，还用于预配置第三阈值。或者，处理模块1602，还用于控制收发模块1601接收来自网络数据分析网元或者移动性管理网元的第三阈值。

进一步的，收发模块1601，还用于当接收来自网络数据分析网元的第三阈值，则向网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

进一步的，处理模块1602，还用于根据与小区建立连接失败的终端数量，更新第三阈值。

进一步的，处理模块1602，还用于根据与小区建立连接失败的终端数量，更新预配置的第三阈值。或者，处理模块1602，还用于控制收发模块1601向网络数据分析网元发送与小区建立连接失败的终端数量，以接收来自网络数据分析网元更新后的第三阈值。

可选地，收发模块1601，还用于向第一终端指示开启伪基站攻击检测。

一种可能的设计方案中，第一消息还包括：在切换到小区失败时，终端所在的源小区。处理模块1602，还用于在小区内存在伪基站攻击的情况下，根据源小区的位置，确定伪基站的方位。

一种可能的设计方案中，收发模块1601，还用于向第一接入网设备指示开启伪基站攻击检测。

一种可能的设计方案中，处理模块1602，还用于根据小区所在区域的安全级别，确定需要对小区进行伪基站攻击检测。

可选地，通信装置1600还可以包括存储模块(图16中未示出)，该存储模块存储有程序或指令。当该处理模块1602执行该程序或指令时，使得该通信装置1600可以执行图11所示的通信方法中AMF网元/OAM***的功能，或者执行图12所示的通信方法中第一设备的功能。

此外，通信装置1600的技术效果可以参考图11或图12所示的通信方法的技术效果，此处不再赘述。

第四种实施例中，通信装置1600可适用于图8中所示出的通信***中，执行图11所示出的通信方法中RAN设备的功能，或者适用于图8中所示出的通信***中，执行图12所示出的通信方法中第一接入网设备的功能。

其中，处理模块1602，用于确定小区的接入情况。收发模块1601，用于向第一设备发送第一消息，第一消息用于指示小区的接入情况。

可选地，处理模块1602，还用于预配置第一阈值；或者，处理模块1602，还用于控制收发模块1601接收来自第一设备的第一阈值。

可选地，通信装置1600还可以包括存储模块(图16中未示出)，该存储模块存储有程序或指令。当该处理模块1602执行该程序或指令时，使得该通信装置1600可以执行图11所示的通信方法中RAN设备的功能，或者执行图12所示的通信方法中第一接入网设备的功能。

需要说明的是，通信装置1600可以是网络设备，例如第一接入网设备，也可以是可设置于网络设备中的芯片(***)或其他部件或组件，还可以是包含网络设备的装置，本申请对此不做限定。

第五种实施例中，通信装置1600可适用于图8中所示出的通信***中，执行图13或图14所示出的通信方法中AMF网元/OAM***的功能，或者适用于图8中所示出的通信***中，执行图15所示出的通信方法中第一设备的功能。

其中，处理模块1602，用于获取用于小区的伪基站检测的参数，并根据该参数，向网络数据分析网元发送第一消息。该第一消息用于请求网络数据分析网元对小区执行伪基站检测。如此，收发模块1601，用于接收来自网络数据分析网元针对于伪基站检测的分析结果。处理模块1602，还用于根据分析结果，确定小区内存在伪基站攻击。

可选地，若用于小区的伪基站检测的参数包括：第一终端与小区建立连接失败的次数，则处理模块1602，还用于控制收发模块1601接收来自第一终端的第二消息。第二消息用于指示第一终端与小区建立连接失败。

可选地，若用于小区的伪基站检测的参数包括：与小区建立连接失败的终端数量，则处理模块1602，还用于根据第二消息，确定与小区建立连接失败的终端数量。

进一步的，收发模块1601，还用于向第一终端指示开启伪基站攻击检测。

一种可能的设计方案中，若用于小区的伪基站检测的参数包括：与小区建立连接失败的终端数量，则处理模块1602，还用于根据与小区建立连接失败的终端数量大于第一阈值，控制收发模块1601向网络数据分析网元发送第一消息。

一种可能的设计方案中，若用于小区的伪基站检测的参数包括如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量，则处理模块1602，还用于控制收发模块1601接收来自接入网设备的如下至少一项：切换到小区失败的次数、小区内已接入的终端数量、或小区内新接入的终端数量。

可选地，收发模块1601，还用于向接入网设备指示开启伪基站攻击检测。

一种可能的设计方案中，若用于小区的伪基站检测的参数还包括：在切换到小区失败时终端所在的源小区，则第处理模块1602，还用于在小区内存在伪基站攻击的情况下，第一设备根据源小区的位置，确定伪基站的方位。

一种可能的设计方案中，用于小区的伪基站检测的参数还包括如下至少一项：在切换到小区失败时终端所在的源小区、小区内的终端的接入时间间隔，小区内的终端的测量报告、小区内的终端的RLF报告、小区内的伪基站攻击事件的数量、或小区的邻区小区的标识，以进一步提供伪基站检测的准确性。

可选地，通信装置1600还可以包括存储模块(图16中未示出)，该存储模块存储有程序或指令。当该处理模块1602执行该程序或指令时，使得该通信装置1600可以执行图13或图14所示的通信方法中AMF网元/OAM***的功能，或者执行图15所示的通信方法中第一设备的功能。

此外，通信装置1600的技术效果可以参考图13-图15所示的通信方法的技术效果，此处不再赘述。

第六种实施例中，通信装置1600可适用于图8中所示出的通信***中，执行图13或图14所示出的通信方法中NWDAF网元的功能，或者适用于图8中所示出的通信***中，执行图15所示出的通信方法中网络数据分析网元的功能。

其中，收发模块1601，用于接收来自第一设备的第一消息。该第一消息用于请求网络数据分析网元对小区执行伪基站检测。如此，处理模块1602，用于控制收发模块1601向第一设备发送针对于伪基站检测的分析结果。

一种可能的设计方案中，处理模块1602，还用于根据第一消息，对小区执行伪基站检测。

示例性地，图17为本申请实施例提供的通信装置的结构示意图二。该通信装置可以是终端，例如上述第一终端，或者网络设备，例如上述第一设备或网络数据分析网元，也可以是可设置于终端或网络设备的芯片(***)或其他部件或组件。如图17所示，通信装置1700可以包括处理器1701。可选地，通信装置1700还可以包括存储器1702和/或收发器1703。其中，处理器1701与存储器1702和收发器1703耦合，如可以通过通信总线连接。

下面结合图17对通信装置1700的各个构成部件进行具体的介绍：

其中，处理器1701是通信装置1700的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器1701是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(fieldprogrammable gate array，FPGA)。

可选地，处理器1701可以通过运行或执行存储在存储器1702内的软件程序，以及调用存储在存储器1702内的数据，执行通信装置1700的各种功能，例如执行上述图9-图15所示的通信方法。

在具体的实现中，作为一种实施例，处理器1701可以包括一个或多个CPU，例如图17中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置1200也可以包括多个处理器，例如图17中所示的处理器1701和处理器1704。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，所述存储器1702用于存储执行本申请方案的软件程序，并由处理器1701来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器1702可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1702可以和处理器1701集成在一起，也可以独立存在，并通过通信装置1700的接口电路(图17中未示出)与处理器1701耦合，本申请实施例对此不作具体限定。

收发器1703，用于与其他通信装置之间的通信。例如，通信装置1700为终端，收发器1703可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置1700为网络设备，收发器1703可以用于与终端通信，或者与另一个网络设备通信。

可选地，收发器1703可以包括接收器和发送器(图17中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器1703可以和处理器1701集成在一起，也可以独立存在，并通过通信装置1700的接口电路(图17中未示出)与处理器1701耦合，本申请实施例对此不作具体限定。

需要说明的是，图17中示出的通信装置1700的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置1700的技术效果可以参考上述方法实施例所述的通信方法的技术效果，此处不再赘述。

本申请实施例提供一种通信***。该通信***包括：图9或图10所示的一个或多个网络设备，例如第一设备或者AMF网元/OAM***，以及图9或图10所示的一个或多个终端，例如第一终端。或者，该通信***包括：图11或图12所示的一个或多个网络设备，例如第一设备或者AMF网元/OAM***，以及图11或图12所示的一个或多个网络设备，例如第一接入网设备或者RAN设备。或者，该通信***包括：图13-图15所示的一个或多个网络设备所述的一个或多个网络设备，例如第一设备或者AMF网元/OAM***，以及图13-图15所示的一个或多个网络设备，例如网络数据分析网元或者NWDAF网元。

应理解，在本申请实施例中的处理器可以是中央处理单元(central processingunit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random accessmemory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种通信方法，其特征在于，所述方法包括：

第一设备接收来自第一终端的第一消息，所述第一消息用于指示所述第一终端与小区建立连接失败；

所述第一设备根据所述第一消息，确定所述小区内存在伪基站攻击。

2.根据权利要求1所述的方法，其特征在于，所述第一设备根据所述第一消息，确定所述小区内存在伪基站攻击，包括：

所述第一设备根据所述第一消息，确定与所述小区建立连接失败的终端数量；

所述第一设备根据所述终端数量大于第一阈值，确定所述小区内存在伪基站攻击。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述第一设备预配置所述第一阈值；或者，

所述第一设备接收来自网络数据分析网元或者移动性管理网元的所述第一阈值。

4.根据权利要求3所述的方法，其特征在于，当所述第一设备接收来自所述网络数据分析网元的所述第一阈值，则所述方法还包括：

所述第一设备向所述网络数据分析网元发送订阅伪基站检测阈值分析的请求消息。

5.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述终端数量，更新所述第一阈值。

6.根据权利要求5所述的方法，其特征在于，所述第一设备根据所述终端数量，更新所述第一阈值，包括：

所述第一设备根据所述终端数量，更新预配置的所述第一阈值；或者，

所述第一设备向网络数据分析网元发送所述终端数量；接收来自所述网络数据分析网元更新后的所述第一阈值。

7.根据权利要求2所述的方法，其特征在于，所述第一设备根据所述终端数量大于第一阈值，确定所述小区内存在伪基站攻击，包括：

所述第一设备根据所述终端数量大于第一阈值，向接入网设备发送第二消息，所述第二消息用于请求所述小区的小区接入相关参数，所述小区接入相关参数包括如下至少一项：切换到所述小区失败的次数、所述小区内已接入的终端数量、或所述小区内新接入的终端数量；

所述第一设备接收来自所述接入网设备的第三消息，所述第三消息包括：所述小区接入相关参数；

所述第一设备根据所述小区接入相关参数和第二阈值，确定所述小区内存在伪基站攻击。

8.根据权利要求7所述的方法，其特征在于，所述第一设备根据所述小区接入相关参数和第二阈值，确定所述小区内存在伪基站攻击包括：当所述小区接入相关参数和第二阈值之间的关系为如下至少一项关系中的任一项关系，确定所述小区内存在伪基站攻击，所述至少一项关系包括：切换到所述小区失败的次数大于第二阈值、所述小区内已接入的终端数量小于第二阈值、或所述小区内新接入的终端数量小于第二阈值。

9.根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述第一设备预配置所述第二阈值；或者，

所述第一设备接收来自网络数据分析网元或者移动性管理网元的所述第二阈值。

10.根据权利要求9所述的方法，其特征在于，当所述第一设备接收来自所述网络分析网元的所述第二阈值，则所述方法还包括：

11.根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述小区接入相关参数，更新所述第二阈值。

12.根据权利要求11所述的方法，其特征在于，所述第一设备根据所述小区接入相关参数，更新所述第二阈值，包括：

所述第一设备根据所述小区接入相关参数，更新预配置的所述第二阈值；或者，

所述第一设备向网络数据分析网元发送所述小区接入相关参数；接收来自所述网络数据分析网元更新后的所述第二阈值。

13.根据权利要求8-12中任一项所述的方法，其特征在于，所述小区接入相关参数还包括：在切换到所述小区失败时，终端所在的源小区，所述方法还包括：

在所述小区内存在伪基站攻击的情况下，所述第一设备根据所述源小区的位置，确定所述伪基站的方位。

14.根据权利要求7-13中任一项所述的方法，其特征在于，所述方法还包括：

所述第一设备向所述接入网设备指示开启伪基站攻击检测。

15.根据权利要求1-14中任一项所述的方法，其特征在于，所述方法还包括：

所述第一设备向所述第一终端指示开启伪基站攻击检测。

16.根据权利要求14或15所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述小区所在区域的安全级别，确定需要对所述小区进行伪基站攻击检测。

17.一种通信方法，其特征在于，所述方法包括：

第一终端确定所述第一终端与小区建立连接失败；

所述第一终端向第一设备发送第一消息，所述第一消息用于指示所述第一终端与所述小区建立连接失败。

18.根据权利要求17所述的方法，其特征在于，所述第一终端向第一设备发送第一消息，包括：

在所述第一终端与所述小区建立连接失败的次数大于第三阈值的情况下，所述第一终端向所述第一设备发送所述第一消息。

19.根据权利要求18所述的方法，其特征在于，所述方法还包括：

所述第一终端预配置所述第三阈值；或者，

所述第一终端接收来自所述第一设备的所述第三阈值。

20.根据权利要求18所述的方法，其特征在于，所述方法包括：

所述第一终端根据所述第一终端与所述小区建立连接失败的次数，更新所述第三阈值。

21.根据权利要求20所述的方法，其特征在于，所述第一终端根据所述第一终端与所述小区建立连接失败的次数，更新所述第三阈值，包括：

所述第一终端根据所述第一终端与所述小区建立连接失败的次数，更新预配置的所述第三阈值；或者，

所述第一终端向所述第一设备发送所述第一终端与所述小区建立连接失败的次数；接收来自所述第一设备更新后的所述第三阈值。

22.根据权利要求17-21中任一项所述的方法，其特征在于，所述方法还包括：

所述第一终端接收来自所述第一设备的指示开启伪基站攻击检测的信息。

23.根据权利要求22所述的方法，其特征在于，所述第一消息还用于确定所述小区内是否存在伪基站攻击。

24.一种通信装置，其特征在于，所述通信装置包括：用于执行如权利要求1-16中任一项所述的通信方法的模块。

25.一种通信装置，其特征在于，所述通信装置包括：用于执行如权利要求17-23中任一项所述的通信方法的模块。

26.一种通信装置，其特征在于，所述通信装置包括：处理器；其中，

所述处理器，用于执行如权利要求1-23中任一项所述的通信方法。

27.一种通信装置，其特征在于，所述通信装置包括：处理器和存储器；所述存储器用于存储计算机指令，当所述处理器执行该指令时，以使所述通信装置执行如权利要求1-23中任一项所述的通信方法。

28.一种通信***，其特征在于，所述通信***包括：如权利要求1-16中任一项所述的第一设备、以及如权利要求17-23中任一项所述的第一终端。

29.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-23中任一项所述的通信方法。

30.一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求1-23中任一项所述的通信方法。