CN102056169A - 一种防止非法终端接入的方法、终端及系统 - Google Patents
一种防止非法终端接入的方法、终端及系统 Download PDFInfo
- Publication number
- CN102056169A CN102056169A CN2009102112458A CN200910211245A CN102056169A CN 102056169 A CN102056169 A CN 102056169A CN 2009102112458 A CN2009102112458 A CN 2009102112458A CN 200910211245 A CN200910211245 A CN 200910211245A CN 102056169 A CN102056169 A CN 102056169A
- Authority
- CN
- China
- Prior art keywords
- terminal
- access capability
- equipment
- network
- device type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种防止非法终端接入的方法,包括:网络侧在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,所述网络侧拒绝所述终端接入到网络。本发明还提供了一种防止非法终端接入的系统及一种防止非法接入的终端。本发明可以有效的防止非法用户恶意盗用MTC设备的USIM接入网络的问题,保证MTC通信的安全。
Description
技术领域
本发明涉及移动通信领域,具体涉及一种防止非法终端盗用其它设备的USIM(Universal SubscriberIdentity Module,全球用户识别卡)接入到网络的方法、终端及系统。
背景技术
近年来,M2M(Machine to Machine,机器到机器间的通信)业务逐渐开始得到应用,如物流系统、远程抄表、智能家居等应用。M2M服务商使用现有的无线网络,如GPRS(General Packet Radio service,通用分组无线业务)网络、EPS(Evolved Packet System,演进分组系统)网络等PS网络开展M2M业务。因M2M业务与H2H(Human to Human,人与人之间的通信)业务有明显的差异性,需要对现有的网络进行必要的优化,以获得最佳的网络管理与网络通讯质量。
GPRS网络是一个基于包交换的第二代移动通信网络,到了第三代移动通信系统,GPRS演进为UMTS PS(Universal Mobile Telecommunication system Packet Switch,通用移动通信系统分组交换)域。如图1所示,为UMTS PS的网络架构,该网络架构中包含如下网元:
RNS(Radio Network System,无线网络系统),RNS中包含NodeB(节点B)与RNC(Radio Network Controller,无线网络控制器),NodeB为终端提供空口连接;RNC主要用于管理无线资源以及控制NodeB。RNC与NodeB之间通过Iub口连接,终端通过RNS接入UMTS的分组域核心网(Packet Core);
SGSN(Serving GPRS Support Node)为服务GPRS支持节点,用于保存用户的路由区位置信息,负责安全和接入控制;SGSN通过Iu口与RNS相连;
GGSN(Gateway GPRS support Node)为网关GPRS支持节点,用于负责分配终端的IP地址和到外部网络的网关功能,在内部通过Gn口与SGSN相连;
HLR(Home Location Register)为归属位置寄存器,用于保存用户的签约数据和当前所在的SGSN地址,通过Gr口与SGSN相连,通过Gc口与GGSN相连;
PDN(Packet Data Network)为分组数据网络,用于为用户提供基于分组的业务网,通过Gi口与GGSN相连。
在图1中,MTC(Machine Type Communication,机器类型通信)UE需要通过GPRS网络向MTC Server或其它的MTC UE传输数据信息。GPRS网络为此次传输建立RNC-SGSN-GGSN之间的隧道,隧道基于GTP(GPRS Tunneling Protocol,GPRS隧道协议)协议,数据信息通过GTP隧道实现可靠传输。
随着无线宽带技术的发展,业务层对传输层的带宽、时延等性能要求越来越高。为提高其网络性能,降低网络建设及运营成本,3GPP致力于系统架构演进(System Architecture Evolution,简称SAE)的研究,目的是使得演进的分组网(Evolved Packet Core,简称EPC)可提供更高的传输速率、更短的传输延时、优化分组,及支持E-UTRAN(Evolved UTRAN,演进的UTRAN)、UTRAN、无线局域网(Wireless Local Area Network,简称WLAN)及其他非3GPP的接入网络之间的移动性管理。
目前SAE的架构如图2所示,其中,演进的无线接入网(Evolved Radio Access Network,简称E-RAN)中包含的网元是演进节点B(Evolved NodeB,简称eNodeB),用于为用户的接入提供无线资源;分组数据网(Packet Data Network,简称PDN)是为用户提供业务的网络;EPC提供了更低的延迟,并允许更多的无线接入系统接入,其包括如下网元:
移动管理实体(Mobility Management Entity,简称MME),是控制面功能实体,临时存储用户数据的服务器,负责管理和存储用户设备(User Equipment,简称UE)的上下文(比如用户标识、移动性管理状态、用户安全参数等),为用户分配临时标识,当UE驻扎在该跟踪区域或者该网络时,负责对该用户进行鉴权;
服务网关(Serving Gateway,简称SGW),是一个用户面实体,负责用户面数据路由处理,终结处于空闲(ECM IDLE)状态的UE的下行数据。管理和存储UE的SAE承载(bearer)上下文,比如IP承载业务参数和网络内部路由信息等。SGW是3GPP系统内部用户面的锚点,一个用户在一个时刻只能有一个SGW;
分组数据网网关(PDN Gateway,简称PGW),是负责UE接入PDN的网关,分配用户IP地址,也是3GPP和非3GPP接入系统的移动性锚点,PGW的功能还包括策略实施、计费支持。用户在同一时刻能够接入多个PGW。策略与计费实施功能实体(Policy and Charging Enforcement Function,简称PCEF)也位于PGW中;
策略与计费规则功能实体(Policy and Charging Rules Function,简称PCRF),负责向PCEF提供策略控制与计费规则;
归属用户服务器(Home Subscriber Server,简称HSS),负责永久存储用户签约数据,HSS存储的内容包括UE的国际移动用户识别码(International Mobile Subscriber Identification,简称IMSI)、PGW的IP地址。
在物理上,SGW和PGW可能合一,EPC系统用户面网元包括SGW和PGW。
机器类通信服务器(Machine Type Communication Server,简称MTC Server),主要负责对MTC设备的信息采集和数据存储/处理等工作,并可对MTC设备进行必要的管理。
机器类通信设备(Machine Type Communication Device,简称MTC UE),与UE类似,也包括UICC(Universal Integrated Circuit Card,通用集成电路卡)和ME(Mobile Equipment,移动设备),通常负责收集若干采集器的信息并通过RAN节点接入核心网,并与MTC Server交互数据。
在图2中,MTC UE需要通过SAE网络向MTC Server或其它的MTC UE传输数据信息。SAE网络为此次传输建立SGW-PGW之间的GTP隧道,数据信息通过GTP隧道实现可靠传输。
图3是现有技术下,UE接入到EPS网络,执行网络附着及IP承载建立的过程。
S301,UE为了接入到SAE网络,向eNodeB发起网络附着请求,在其中携带了IMSI(international mobile subscriber identity,国际移动用户识别码)、UE的网络接入能力、请求分配IP的指示等信息;
S302,eNodeB为UE选择一个为之服务的MME,并将附着请求转发到该MME,同时将UE的标识等重要信息也携带给该MME;
S303,MME向HSS发送鉴权数据请求消息(消息中含IMSI),HSS首先判断IMSI对应的签约数据,如果查找不到任何签约或者IMSI已被列入黑名单,则HSS向MME返回鉴权数据响应并携带合适的错误原因;如果找到IMSI对应的签约数据,则HSS向MME返回鉴权数据响应消息(含鉴权向量);
MME执行鉴权流程以验证终端IMSI的合法性,并执行安全模式流程以启用安全连接。
S304,MME向归属网的HSS发送位置更新请求,消息中携带MME的标识、UE的标识,以告知UE当前所接入的区域;
S305,HSS根据UE的标识查找出UE的签约用户数据,发送给MME。用户数据中主要包含缺省接入点名称(Access Point Name,简称APN)、带宽大小等信息;
MME接收到用户数据,检查UE是否被允许接入到网络,向HSS返回接收用户响应;若MME发现UE有漫游限制或接入限制等问题,MME将禁止UE附着,并通知HSS。
S306,HSS向MME发送确认位置更新响应;
S307,MME为UE选择一个S-GW,并向其发送建立默认承载的请求。在该请求中,MME告知S-GW必要的信息:UE的标识、MME的标识、为UE分配IP地址的指示、缺省带宽信息、PDN GW地址等;
S308,S-GW向PDN GW发送建立默认承载的请求。在该请求中,S-GW告知PDN GW必要的信息:S-GW的地址、缺省带宽信息、为UE分配IP地址的指示等;
S309,如有必要,PDN GW向PCRF请求为该UE所配置的策略和计费规则、决策信息;
S310,PDN GW根据PCRF返回的策略和计费决策信息,建立缺省承载,并向S-GW返回承载建立响应;
S311,S-GW向MME发送默认承载建立的响应;
S312,MME向eNodeB发送附着响应,表明UE的附着到网络的请求已被接受;
S313,eNodeB向UE发送无线承载建立请求,要求UE保存承载建立的重要信息,并开放相应的端口。在无线承载建立请求中携带了承载网络ID、PDN GW地址、分配给UE的IP地址、带宽信息等;
S314,UE向eNodeB发送无线承载建立响应;
S315,eNodeB通知MME附着过程完成;
S316,MME向S-GW发送更新承载请求,通知为UE服务的eNodeB的标识、地址;
S317,S-GW向MME发送更新承载响应;
S318,如果PDN GW不是HSS指定的,则MME向HSS发送位置更新请求,通知给HSS为UE所服务的PDN GW的地址信息,HSS更新该信息。
在图3中,SAE网络对UE的鉴权主要是验证IMSI的合法性。
图4是现有技术下,UE接入到GPRS网络,执行网络附着的过程。
S401,用户首次通过RNS向SGSN发起附着请求,携带附着类型、IMSI等参数。RNS根据其负载情况,以用户的IMSI(Intemational Mobile subscriber Identity,国际移动用户标识,)为请求标识将该消息路由到SGSN;
S402,SGSN向HLR请求对IMSI进行鉴权,HLR根据IMSI下载鉴权认证参数,SGSN对UE进行鉴权与认证;
S403,SGSN发送位置更新请求给HLR,携带SGSN号码与地址、IMSI等参数;
S404,HLR将与IMSI相对应的签约数据下载给SGSN,SGSN对ME进行接入控制检查,检查UE是否有区域限制或接入限制,然后返回插入数据响应给HLR。
S405,HLR确认位置更新消息,并发位置更新响应给SGSN。若位置更新请求被HLR拒绝,SGSN将拒绝UE的附着请求;
S406,SGSN为该用户分配P-TMSI(Packet-Temporate Mobile subscriber Identify,分组临时移动用户识别号码),然后将附着接受消息发给UE,携带为UE分配的P-TMSI等信息;
S407,若P-TMSI被更新,MS返回附着完成消息给SGSN进行确认,完成GPRS附着流程。
在图4中,GPRS网络对UE的鉴权主要是验证IMSI的合法性。
M2M业务是以机器终端智能交互为核心的、网络化的应用与服务。它采用智能机器终端,通过无线网络传输信息,为客户提供的信息化解决方案,用于满足客户对监控、指挥调度、数据采集和测量等方面的信息化需求。
M2M的通信对象为机器对机器,可以是人与机器之间的通信,机器与服务器之间的通信,不同智能终端之间的通信。不同应用的MTC设备具有不同的特性,如电梯等升降机设备具有低移动性、PS only属性,而监视、警报设备除具有低移动性、PS only外,还具有低数据传输和高可用性等属性。因此需要针对不同应用的MTC设备进行不同的系统优化,可有效的对MTC设备进行管理、监控、付费等。
目前现有GPRS与LTE网络中,从图3与图4的流程中可以看出,现有技术仅支持对普通移动用户身份的鉴权,即对用户的IMSI进行认证。只要IMSI在HSS中的签约没有问题,终端设备就可以接入到网络中,这是不能满足M2M应用对通信安全性的需求的。
M2M通信的引入,尤其是MTC设备的特殊性(如无人值守的户外MTC终端),因此防盗与防止非法接入到MTC服务器是非常重要的需求。在H2H应用与M2M应用共存的场景中,非法用户可能会盗用MTC终端的SIM卡插入到H2H设备中,采用H2H设备以MTC设备的IMSI非法接入到网络,不但可以享受MTC终端的费率优惠及其它个性化服务,更重要的是可以非法侵入到MTC Sever中,对MTC Server的信息安全造成极大的隐患。因此需要对网络流程进行优化以限制非法的设备采用M2M终端的USIM接入网络。
发明内容
本发明要解决的技术问题是提供一种防止非法终端接入的方法、终端及系统,使得非法终端无法接入到网络,提高通信安全。
为了解决上述问题,本发明提供了一种防止非法终端接入的方法,包括:网络侧在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,所述网络侧拒绝所述终端接入到网络。
进一步地,上述方法还可具有以下特点,所述网络侧从所述终端发送的接入请求中获取所述终端的设备类型和/或设备接入能力。
进一步地,上述方法还可具有以下特点,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
进一步地,上述方法还可具有以下特点,所述不匹配是指,终端的设备类型与所述用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备接入能力不匹配;或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配。
进一步地,上述方法还可具有以下特点,所述网络侧拒绝所述终端接入到网络时,还返回拒绝原因值给所述终端,指示所述终端为非法终端。
本发明还提供一种防止非法终端接入的系统,包括:网络侧,用于在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,拒绝所述终端接入到网络。
进一步地,上述系统还可具有以下特点,所述网络侧,用于从所述终端发送的接入请求中获取所述终端的设备类型和/或设备接入能力。
进一步地,上述系统还可具有以下特点,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
进一步地,上述系统还可具有以下特点,所述网络侧,判断终端的设备类型与所述用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配时,则认为终端的设备类型和/或设备接入能力与用户签约数据不匹配。
进一步地,上述系统还可具有以下特点,所述网络侧,还用于在拒绝所述终端接入到网络时,返回拒绝原因值给所述终端,指示所述终端为非法终端。
本发明还提供一种防止非法接入的终端,所述终端,用于在请求接入到网络时,在接入请求中携带所述终端的设备类型或/与设备接入能力。
进一步地,上述终端还可具有以下特点,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
采用本发明的方法,当非法终端盗用其它M2M设备的USIM接入到网络时,MME/SGSN可以根据设备类型/设备接入能力与签约数据的匹配关系来进行判别是否是非法设备接入。如果是H2H终端,而签约数据是M2M终端的签约,就认为是非法设备接入,反之亦然。本方法可以有效的防止非法用户恶意盗用MTC设备的USIM接入网络的问题,保证MTC通信的安全。
附图说明
图1是现有技术中GPRS网络系统架构示意图;
图2是现有技术中EPS网络系统架构示意图;
图3是现有技术中MTC UE附着到EPS网络的流程图;
图4是现有技术中MTC UE附着到GPRS网络的流程图;
图5是本发明中非法MTC UE附着到PS网络的流程图;
图6是本发明中实施例1非法MTC UE附着到EPS网络的流程图;
图7是本发明中实施例2非法MTC UE附着到EPS网络的流程图;
图8是本发明中实施例3非法MTC UE附着到GPRS网络的流程图;
图9是本发明中实施例4非法MTC UE附着到GPRS网络的流程图。
具体实施方式
下面结合附图和具体实施例对本发明所述技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
本发明中终端需要携带设备类相关信息,例如为设备类型信息,指示设备是机器类设备还是手机类设备;或者为设备接入能力信息,指示设备具有机器类接入能力还是手机类接入能力。当SGSN/MME从用户数据库下载到用户签约数据后,可以根据用户签约数据判断出是机器类签约或是手机类签约。判断方法有很多种,如在用户签约数据中可以签约M2M接入能力或H2H接入能力,也可以在用户签约数据中标记是M2M设备签约信息还是H2H设备签约信息,也可以通过不同的IMSI划分的字段来进行识别,H2H设备与M2M设备采用不同的IMSI号段,这个可以由运营商自己定义。MME/SGSN判断出终端设备信息与签约数据不匹配,就需要拒绝终端设备的接入,保证网络的安全,同时向用户数据库及终端返回拒绝的原因。
本发明提供的防止非法终端接入的方法包括:当终端请求接入到网络时,网络侧判断终端的设备信息与用户签约数据是否匹配,如果不匹配,则拒绝所述终端接入到网络。
其中,终端的设备信息由终端在接入请求中带给网络。
其中,所述设备信息可以是设备类型和/或设备接入能力。其中,设备类型可以是机器类设备(或称M2M设备)或手机类设备(或称H2H设备)。设备接入能力为机器类设备接入能力(或称M2M接入能力)或手机类设备接入能力(或称H2H接入能力)。
其中,用户签约数据中可以包含设备类型信息和/或设备接入能力信息。
其中,终端的设备信息与用户签约数据不匹配是指:终端的设备类型与用户签约数据中包含的设备类型不匹配,或,终端的设备接入能力与用户签约数据中包含的设备接入能力不匹配。终端的设备信息与用户签约数据不匹配也可以拓展为终端的设备类型与用户签约数据中包含的设备接入能力不匹配,或,终端的设备接入能力与用户签约数据中包含的设备类型不匹配。比如说终端的设备类型是H2H设备类型,用户签约数据中是M2M接入能力,则认为二者不匹配。
进一步地,网络拒绝所述终端接入时,还返回非法接入的原因值给终端,标识所述终端为非法终端。
图5是本发明所述方法的流程图,具体包括如下步骤:
S501:MTC UE通过无线接入网络向PS核心网络发起附着请求消息;
在附着请求消息中需扩展参数,增加设备信息参数;
设备信息参数可以是设备类型,指示终端是机器类设备(MTC设备)还是手机类设备(H2H设备)。设备类型也可以扩展定义不同类型的机器类设备或不同类型的手机类设备,具体可以根据运营商的需求定义;
手机类设备的设备类型可以缺省参数为空;
设备信息参数还可以是设备接入能力,指示终端具备机器类设备接入能力还是手机类设备接入能力,可以在终端网络能力的字段中扩展相关参数。设备接入能力也可以扩展定义不同类型的机器类设备接入能力或不同类型的手机类设备接入能力,具体可以根据运营商的需求定义;
手机类设备的设备接入能力可以缺省参数为空;
S502:PS核心网络发送位置更新请求给HLR/HSS,携带PS核心网络地址、IMSI等参数;
其中,HLR/HSS为用户数据库。
S503:HLR/HSS找到与IMSI对应的用户签约数据,并将用户签约数据下载给PS核心网络;
用户签约数据中根据运营商的需求可以包含设备接入能力信息,如机器类设备接入能力(M2M接入能力)与手机类设备接入能力(H2H接入能力);
用户签约数据中也可以包含设备类型信息,如机器类设备(M2M设备)与手机类设备(H2H设备);
S504:PS核心网络对终端附着请求消息中携带的设备信息与从用户数据库下载的用户签约数据进行匹配,如果不匹配,就拒绝终端的接入请求,并在插入用户数据响应中向HLR/HSS返回拒绝原因;
其中,不匹配可以是终端的设备类型与用户签约数据中指示的设备类型不一致;或者是终端的设备接入能力与用户签约数据中指示的设备接入能力不一致;或者,终端的设备类型与用户签约数据中指示的设备接入能力不一致;或者,终端的设备接入能力与用户签约数据中指示的设备类型不一致。
S505:PS核心网络发现终端携带的设备信息与用户签约数据的设备信息不匹配,拒绝终端接入网络,发送拒绝消息给终端。
其中,拒绝消息中可以携带拒绝的原因值,指示该终端是非法终端。
本发明实施例1见图6,当终端接入到EPS网络时携带设备类型参数,MME判断设备类型参数与签约数据是否匹配。本发明具体流程如下:
S601,UE为了接入到SAE网络,向eNodeB发起附着请求,在其中携带了IMSI、设备类型、UE的网络接入能力、请求分配IP的指示等信息;
设备类型可以标识终端是M2M设备还是H2H设备,也可以扩展标识是哪一类M2M设备或是哪一类H2H设备,如抄表类、监控类等M2M设备类型,可以根据运营商需求进行定义;
对于H2H设备可以缺省参数为空,即将设备类型字段设为空;
S602,eNodeB为UE选择一个为之服务的MME,并将附着请求转发到该MME,同时将UE的标识、UE的设备类型等重要信息也携带给该MME;
S603,MME向HSS发送鉴权数据请求消息(含IMSI),HSS找到IMSI对应的签约数据,并向MME返回鉴权数据响应消息(含鉴权向量);
MME执行鉴权流程以验证终端IMSI的合法性,并执行安全模式流程以启用安全连接。
S604,MME向归属网的HSS发送位置更新请求,消息中携带MME的标识、UE的标识,以告知UE当前所接入的区域;
S605,HSS根据UE的标识查找出UE的用户签约数据,发送给MME。用户签约数据中主要包含缺省接入点名称(Access Point Name,简称APN)、带宽大小等信息;
用户签约数据中可以包含设备类型,指示该设备是M2M设备还是H2H设备。若没有此信息,运营商可以通过分配不同的IMSI号段来区分是哪一类设备终端;
S606,MME接收到用户签约数据,检查UE是否被允许接入到网络,若MME发现UE有漫游限制或接入限制等问题,MME将禁止UE附着,并通知HSS。
若UE没有接入等限制,MME还需要检查终端携带的设备类型参数与用户签约数据对应的设备类型是否匹配,若不匹配,比如终端携带的是H2H设备,而用户签约数据指示的是M2M设备,MME就需要拒绝此终端的接入,并标识为非法终端接入。
S607,MME向HSS发送插入用户数据响应消息,携带UE是否允许接入、是否是非法终端等信息;
S608~S609,MME发现终端携带的设备类型与用户签约数据不匹配,就拒绝终端的附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。
本发明实施例2见图7,当终端接入到EPS网络时携带设备接入能力参数,MME判断设备接入能力参数与签约数据是否匹配。本发明具体流程如下:
S701,UE为了接入到SAE网络,向eNodeB发起附着请求,在其中携带了IMSI、设备接入能力、UE的网络接入能力、请求分配IP的指示等信息;
设备接入能力可以标识是终端具有M2M接入能力还是H2H接入能力,具体可以在终端网络能力字段中扩展此接入能力参数。设备接入能力指示也可以扩展标识是哪一类M2M接入能力或是哪一类H2H接入能力,如PS only类、高可用性类等M2M接入能力类型,可以根据运营商需求进行定义;
对于H2H接入能力可以缺省参数为空;
S702,eNodeB为UE选择一个为之服务的MME,并将附着请求转发到该MME,同时将UE的标识、UE的接入能力等重要信息也携带给该MME;
S703,MME向HSS发送鉴权数据请求消息(含IMSI),HSS找到IMSI对应的签约数据,并向MME返回鉴权数据响应消息(含鉴权向量);
MME执行鉴权流程以验证终端IMSI的合法性,并执行安全模式流程以启用安全连接。
S704,MME向归属网的HSS发送位置更新请求,消息中携带MME的标识、UE的标识,以告知UE当前所接入的区域;
S705,HSS根据UE的标识查找出UE的用户签约数据,发送给MME。用户签约数据中主要包含缺省接入点名称(Access PointName,简称APN)、带宽大小等信息;
用户签约数据中可以包含设备接入能力,指示该设备签约了M2M接入能力还是H2H接入能力;
S706,MME接收到用户签约数据,检查UE是否被允许接入到网络,向HSS返回接收用户响应;若MME发现UE有漫游限制或接入限制等问题,MME将禁止UE附着,并通知HSS;
若UE没有接入等限制,MME还需要检查终端携带的设备接入能力与用户签约数据对应的设备接入能力是否匹配,若不匹配,比如终端携带的是H2H接入能力,而用户签约数据指示的是M2M接入能力,MME就需要拒绝该终端的接入,并标识为非法终端接入。
S707,MME向HSS发送插入用户数据响应消息,携带UE是否允许接入、是否是非法终端等信息;
S708~S709,MME发现终端携带的设备接入能力与用户签约数据不匹配,就拒绝终端的附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。
本发明实施例3见图8,当终端接入到GPRS网络时携带设备类型参数,SGSN判断设备类型参数与签约数据是否匹配。本发明具体流程如下:
S801,用户首次通过RNS向SGSN发起附着请求,携带附着类型、IMSI、设备类型等参数。RNS根据其负载情况,以用户的IMSI(Intemational Mobile subscriber Identity,国际移动用户标识,)为请求标识将该消息路由到SGSN;
设备类型可以标识终端是M2M设备还是H2H设备,也可以扩展标识是哪一类M2M设备或是哪一类H2H设备,如抄表类、监控类等M2M设备,可以根据运营商需求进行定义;
对于H2H设备可以缺省参数为空;
S802,SGSN向HLR请求对IMSI进行鉴权,HLR根据IMSI下载鉴权认证参数,SGSN对UE进行鉴权与认证;
S803,SGSN发送位置更新请求给HLR,携带SGSN号码与地址、IMSI等参数;
S804,HLR将与IMSI相对应的用户签约数据下载给SGSN,用户签约数据中除包含带宽大小等信息,还可以包含设备类型,指示该设备是M2M设备还是H2H设备。若没有此信息,运营商可以通过分配不同的IMSI号段来区分是哪一类设备类型;
S805,SGSN对ME进行接入控制检查,检查UE是否有区域限制或接入限制,同时SGSN还需要检查终端携带的设备类型与用户签约数据对应的设备类型是否匹配,若不匹配,比如终端携带的是H2H设备,而用户签约数据指示的是M2M设备,MME就需要拒绝此终端的接入,并标识为非法终端接入。
S806,SGSN向HLR发送插入用户数据响应消息,携带UE是否允许接入、是否是非法终端等信息;
S807,SGSN发现终端携带的设备类型与用户签约数据不匹配,就拒绝终端的附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。
本发明实施例4见图9,当终端接入到GPRS网络时携带设备接入能力参数,SGSN判断设备接入能力与签约数据是否匹配。本发明具体流程如下:
S901,用户首次通过RNS向SGSN发起附着请求,携带附着类型、IMSI、设备接入能力等参数。RNS根据其负载情况,以用户的IMSI(Intemational Mobile subscriber Identity,国际移动用户标识,)为请求标识将该消息路由到SGSN;
设备接入能力可以标识终端具有M2M接入能力还是H2H接入能力,具体可以在终端网络能力字段中扩展此接入能力参数。接入能力参数也可以扩展标识是哪一类M2M接入能力或是哪一类H2H接入能力,如PS only类、高可用性类等M2M接入能力类型,可以根据运营商需求进行定义;
对于H2H接入能力可以缺省参数为空;
S902,SGSN向HLR请求对IMSI进行鉴权,HLR根据IMSI下载鉴权认证参数,SGSN对UE进行鉴权与认证;
S903,SGSN发送位置更新请求给HLR,携带SGSN号码与地址、IMSI等参数;
S904,HLR将与IMSI相对应的用户签约数据下载给SGSN,用户签约数据中除包含带宽大小等信息,还可以包含设备接入能力,指示该设备签约了M2M接入能力还是H2H接入能力;
S905,SGSN对ME进行接入控制检查,检查UE是否有区域限制或接入限制,同时SGSN还需要检查终端携带的设备接入能力与用户签约数据对应的设备接入能力是否匹配,若不匹配,比如终端携带的是H2H接入能力,而用户签约数据指示的是M2M接入能力,MME就需要拒绝该终端的接入,并标识为非法终端接入。
S906,SGSN向HLR发送插入用户数据响应消息,携带UE是否允许接入、是否是非法终端等信息;
S907,SGSN发现终端携带的设备接入能力与用户签约数据不匹配,就拒绝终端的附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。
本发明还提供一种防止非法终端接入的系统,包括:网络侧,用于在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,拒绝所述终端接入到网络。所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
其中,所述网络侧,用于从所述终端发送的接入请求中获取所述终端的设备类型和/或设备接入能力。
其中,所述网络侧,判断终端的设备类型与所述用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配时,则认为终端的设备类型和/或设备接入能力与用户签约数据不匹配。
其中,所述网络侧,还用于在拒绝所述终端接入到网络时,返回拒绝原因值给所述终端,指示所述终端为非法终端。
本发明还提供一种防止非法接入的终端,所述终端,用于在请求接入到网络时,在接入请求中携带所述终端的设备类型或/与设备接入能力。所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
本发明通过对用户设备信息进行检验,防止了非法终端的接入。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种防止非法终端接入的方法,其特征在于,包括:网络侧在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,所述网络侧拒绝所述终端接入到网络。
2.如权利要求1所述的方法,其特征在于,所述网络侧从所述终端发送的接入请求中获取所述终端的设备类型和/或设备接入能力。
3.如权利要求1所述的方法,其特征在于,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
4.如权利要求3所述的方法,其特征在于,所述不匹配是指,终端的设备类型与所述用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备接入能力不匹配;或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配。
5.如权利要求1至4任一所述的方法,其特征在于,所述网络侧拒绝所述终端接入到网络时,还返回拒绝原因值给所述终端,指示所述终端为非法终端。
6.一种防止非法终端接入的系统,其特征在于,包括:网络侧,用于在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,拒绝所述终端接入到网络。
7.如权利要求6所述的系统,其特征在于,所述网络侧,用于从所述终端发送的接入请求中获取所述终端的设备类型和/或设备接入能力。
8.如权利要求6所述的系统,其特征在于,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
9.如权利要求8所述的系统,其特征在于,所述网络侧,判断终端的设备类型与所述用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配时,则认为终端的设备类型和/或设备接入能力与用户签约数据不匹配。
10.如权利要求6至9任一所述的系统,其特征在于,所述网络侧,还用于在拒绝所述终端接入到网络时,返回拒绝原因值给所述终端,指示所述终端为非法终端。
11.一种防止非法接入的终端,其特征在于,所述终端,用于在请求接入到网络时,在接入请求中携带所述终端的设备类型或/与设备接入能力。
12.如权利要求11所述的终端,其特征在于,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102112458A CN102056169A (zh) | 2009-11-05 | 2009-11-05 | 一种防止非法终端接入的方法、终端及系统 |
| PCT/CN2010/077919 WO2011054251A1 (zh) | 2009-11-05 | 2010-10-20 | 一种防止非法终端接入的方法、终端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102112458A CN102056169A (zh) | 2009-11-05 | 2009-11-05 | 一种防止非法终端接入的方法、终端及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102056169A true CN102056169A (zh) | 2011-05-11 |
Family
ID=43959981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102112458A Pending CN102056169A (zh) | 2009-11-05 | 2009-11-05 | 一种防止非法终端接入的方法、终端及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102056169A (zh) |
| WO (1) | WO2011054251A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102348214A (zh) * | 2010-08-02 | 2012-02-08 | 中国移动通信集团公司 | 确定终端类型的方法、缓解网络拥塞的方法以及相关装置 |
| CN102833733A (zh) * | 2011-06-13 | 2012-12-19 | 中兴通讯股份有限公司 | 一种监控低移动性终端位置移动的方法及系统 |
| CN103020531A (zh) * | 2012-12-06 | 2013-04-03 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及系统 |
| CN103745353A (zh) * | 2014-01-23 | 2014-04-23 | 福建联迪商用设备有限公司 | 一种电子支付终端验证方法及系统 |
| CN104639509A (zh) * | 2013-11-14 | 2015-05-20 | 中国移动通信集团公司 | 一种业务处理方法和设备 |
| CN105072595A (zh) * | 2012-01-19 | 2015-11-18 | 华为技术有限公司 | 一种短消息的安全处理方法和装置 |
| WO2019184900A1 (zh) * | 2018-03-28 | 2019-10-03 | 华为技术有限公司 | 控制终端接入网络的方法及网元 |
| CN110769424A (zh) * | 2018-07-27 | 2020-02-07 | 中国联合网络通信集团有限公司 | 一种非法终端的识别方法及装置 |
| CN110881020A (zh) * | 2018-09-06 | 2020-03-13 | 大唐移动通信设备有限公司 | 一种用户签约数据的鉴权方法及数据管理网元 |
| CN112134828A (zh) * | 2019-06-25 | 2020-12-25 | 中国信息通信研究院 | 一种控制用户接入的方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100417296C (zh) * | 2005-09-20 | 2008-09-03 | 华为技术有限公司 | 一种终端接入3g网络的控制方法 |
| CN100459799C (zh) * | 2005-10-31 | 2009-02-04 | 华为技术有限公司 | 一种终端使用网络的控制系统及其控制方法 |
| GB0623321D0 (en) * | 2006-11-22 | 2007-01-03 | Vodafone Plc | Telecommunications networks and devices |
| CN101345988A (zh) * | 2007-07-13 | 2009-01-14 | 大唐移动通信设备有限公司 | 多载波系统的资源分配方法及装置 |
-
2009
- 2009-11-05 CN CN2009102112458A patent/CN102056169A/zh active Pending
-
2010
- 2010-10-20 WO PCT/CN2010/077919 patent/WO2011054251A1/zh active Application Filing
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102348214A (zh) * | 2010-08-02 | 2012-02-08 | 中国移动通信集团公司 | 确定终端类型的方法、缓解网络拥塞的方法以及相关装置 |
| CN102833733A (zh) * | 2011-06-13 | 2012-12-19 | 中兴通讯股份有限公司 | 一种监控低移动性终端位置移动的方法及系统 |
| CN102833733B (zh) * | 2011-06-13 | 2017-10-17 | 中兴通讯股份有限公司 | 一种监控低移动性终端位置移动的方法及系统 |
| CN105072595A (zh) * | 2012-01-19 | 2015-11-18 | 华为技术有限公司 | 一种短消息的安全处理方法和装置 |
| CN103020531A (zh) * | 2012-12-06 | 2013-04-03 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及系统 |
| CN103020531B (zh) * | 2012-12-06 | 2015-05-27 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及系统 |
| CN104639509B (zh) * | 2013-11-14 | 2018-06-01 | 中国移动通信集团公司 | 一种业务处理方法和设备 |
| CN104639509A (zh) * | 2013-11-14 | 2015-05-20 | 中国移动通信集团公司 | 一种业务处理方法和设备 |
| CN103745353A (zh) * | 2014-01-23 | 2014-04-23 | 福建联迪商用设备有限公司 | 一种电子支付终端验证方法及系统 |
| WO2019184900A1 (zh) * | 2018-03-28 | 2019-10-03 | 华为技术有限公司 | 控制终端接入网络的方法及网元 |
| CN110324274A (zh) * | 2018-03-28 | 2019-10-11 | 华为技术有限公司 | 控制终端接入网络的方法及网元 |
| CN110769424A (zh) * | 2018-07-27 | 2020-02-07 | 中国联合网络通信集团有限公司 | 一种非法终端的识别方法及装置 |
| CN110881020A (zh) * | 2018-09-06 | 2020-03-13 | 大唐移动通信设备有限公司 | 一种用户签约数据的鉴权方法及数据管理网元 |
| CN110881020B (zh) * | 2018-09-06 | 2021-07-23 | 大唐移动通信设备有限公司 | 一种用户签约数据的鉴权方法及数据管理网元 |
| CN112134828A (zh) * | 2019-06-25 | 2020-12-25 | 中国信息通信研究院 | 一种控制用户接入的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011054251A1 (zh) | 2011-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102056169A (zh) | 一种防止非法终端接入的方法、终端及系统 | |
| US9271222B2 (en) | Method and apparatus for implementing access to machine to machine (M2M) core network | |
| US8811984B2 (en) | Area-based access control method for terminals which carry out M2M communications in a wireless communication system | |
| CN1934889B (zh) | 允许在pdp上下文激活后阻止漫游用户呼叫的方法和通信系统 | |
| CN101583113B (zh) | 区别用户计费规则的计费方法和系统 | |
| CN102045691B (zh) | 获取物联网设备组别标识的方法及装置 | |
| CN102075909B (zh) | 一种imsi与imei绑定关系的校验方法和装置 | |
| CN104335641B (zh) | 漫游场景下的数据业务处理方法、装置和系统 | |
| CN102238520A (zh) | 一种小数据包传输的方法和系统 | |
| CN101127652B (zh) | 一种确定用户终端访问外部网络锚点的方法、装置及系统 | |
| WO2014020237A1 (en) | Method and system for communication in different networks | |
| CN102076028A (zh) | 公用承载建立的方法、数据传输方法和核心网络侧设备 | |
| CN101978716A (zh) | 用于优化用户设备pdn(分组数据网络)连接的方法 | |
| CN102056267A (zh) | 网络负荷控制方法、网络媒体网关和网络控制网元 | |
| CN102595373A (zh) | 一种对mtc终端进行移动性管理的方法和系统 | |
| CN108886680B (zh) | 通信系统、便携式终端、移动性管理设备以及通信控制方法 | |
| WO2016175578A1 (ko) | 무선 통신 시스템에서 데이터 서비스 제공 방법 및 장치 | |
| CN102045695B (zh) | 一种获取mtc服务器地址信息的方法及系统 | |
| WO2020233688A1 (zh) | 语音通信方法及其装置 | |
| CN102045897A (zh) | 群组标识上报方法及装置 | |
| CN101730193B (zh) | 一种选择网关节点的方法及系统 | |
| EP2911427A1 (en) | Method and system for differentiating subscriber | |
| CN110890967B (zh) | 一种计费处理方法、网元及网络系统 | |
| CN103079253A (zh) | 一种接入控制方法、系统以及设备 | |
| KR101809239B1 (ko) | Apn 변경 장치 및 방법과 apn 변경을 위한 무선 단말 장치 및 이를 실행하기 위한 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110511 |
|
| WD01 | Invention patent application deemed withdrawn after publication |