CN103686651B - 一种基于紧急呼叫的认证方法、设备和系统 - Google Patents
一种基于紧急呼叫的认证方法、设备和系统 Download PDFInfo
- Publication number
- CN103686651B CN103686651B CN201210335631.XA CN201210335631A CN103686651B CN 103686651 B CN103686651 B CN 103686651B CN 201210335631 A CN201210335631 A CN 201210335631A CN 103686651 B CN103686651 B CN 103686651B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- mme
- authentication data
- hss
- emergency call
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/90—Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/50—Connection management for emergency connections
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Emergency Management (AREA)
- Environmental & Geological Engineering (AREA)
- Public Health (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于紧急呼叫的认证方法、设备和系统,主要内容包括:通过在用户终端本地和HSS本地分别存储了用户终端的IMEI标识与设备密钥之间的对应关系,在用户终端向MME发送紧急呼叫请求消息时,MME从HSS处获取包含设备密钥的安全密钥,并和随机验证信息进行运算得到的第一认证数据,以及接收到用户终端发送的根据本地存储的安全密钥和接收到的验证消息计算得到的第二认证数据,并将第一认证数据与第二认证数据进行比较,在比较结果相同时,确定认证通过,允许用户终端接入通信网络,这样避免了非法的用户终端利用紧急呼叫方式恶意使用通信网络,提高了紧急呼叫的安全性,保证了通信网络的应用的安全性。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种基于紧急呼叫的认证方法、设备和系统。
背景技术
紧急呼叫是移动通信系统中一种特有的语音业务,允许移动用户在移动终端处于受限呼叫或者未插入用户识别卡(即SIM卡)的情况下,通过所处位置覆盖的移动通信网络,呼叫运营商提供的紧急呼叫中心,例如:120中心、119火警等,其中,将移动终端处于受限呼叫或者未插入用户识别卡(即SIM卡)的情况称之为紧急附着情况。
在现有技术中,移动终端在紧急附着的情况下向网络侧发出紧急呼叫,网络侧通常可以忽略移动终端的国际移动签约标识(即IMSI),允许移动终端接入核心网。此时,移动终端需要将其国际移动设备标识(即INEI)发送至网络侧;网络侧在接收到的移动终端的IMEI时,将IMEI作为移动终端紧急接入核心网的标识信息。具体地,如图1所示,为用户利用移动终端通过移动通信网络发出紧急呼叫的流程图,具体包括:
第一步:移动终端UE与所处位置的基站eNodeB建立RRC连接。
第二步:UE向eNodeB发送请求消息,所述请求消息中包含了呼叫类型和接入网络标识,其中,所述呼叫类型为紧急呼叫类型。
具体地,所述接入网络标识可以是UE保存的GUTI或者P-TMSI,可以是UE的IMSI,还可以是UE的IMEI。
第三步:eNodeB为所述UE选择一个移动管理实体MME,并将接收到的请求消息转发给MME。
第四步:MME确定自身是否具有响应紧急呼叫的能力,当确定具有响应紧急呼叫的能力时,判断接收到的请求消息中携带的UE的网络标识,执行第五步;当确定不具有响应紧急呼叫的能力时,返回拒绝响应消息。
第五步:MME在确定所述请求消息中携带的接入网络标识为GUTI或者P-TMSI时,请求UE上报IMSI,并在接收到的UE上报的IMSI时,响应请求消息,允许接入网络。
第六步:MME在确定所述请求消息中携带的接入网络标识为IMEI时,将接收到的IMEI发送至EIR进行确认,并在确认通过时,响应请求消息,允许接入网络。
由于在现有的通信系统中,MME响应终端的紧急呼叫请求时,对于UE上报的接入网络标识为IMEI后仅对所述IMEI是否被列入黑名单进行确认,并在确认所述IMEI没有被列入黑名单时,允许UE接入核心网。
这样不仅将导致不法者利用紧急呼叫这一方式进入核心网,对核心网进行恶意攻击,增加了通信网络的不安全因素,而且由于在紧急呼叫中UE和网络侧没有建立安全的通信链路,导致通信中占用的空口资源得不到相应的安全保护,使得紧急呼叫中的一些信息被窃取或者篡改,使得紧急呼叫的安全性较差。
发明内容
本发明实施例提供了一种基于紧急呼叫的认证方法、设备和系统,用于解决现有技术中当用户终端在紧急附着的情况下向网络侧发送紧急呼叫请求时,网络侧并不对发起呼叫的用户终端进行安全认证,导致紧急呼叫的安全性较差的问题。
一种基于紧急呼叫的认证方法,所述方法包括:
移动管理实体MME接收用户终端发送的携带了接入网络标识的紧急呼叫请求消息,并将接收到的接入网络标识携带在查询请求中发送至归属签约用户服务器HSS;
MME接收HSS返回的携带了验证信息和第一认证数据的查询结果,所述第一认证数据是HSS将查找的安全密钥和随机产生的验证信息进行计算得到的,其中,所述安全密钥包括设备密钥,所述设备密钥是HSS根据本地存储的接入网络标识与设备密钥之间的对应关系确定;
MME接收用户终端发送的第二认证数据,所述第二认证数据是用户终端在接收MME发送的验证信息后,利用本地存储的安全密钥和所述验证信息进行计算得到的;
MME将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
一种基于紧急呼叫的认证方法,所述方法包括:
归属签约用户服务器HSS接收移动管理实体MME发送的查询请求,所述查询请求中包含了接入网络标识,所述接入网络标识是用户终端向MME发送紧急呼叫请求消息时携带的;
HSS根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据;
HSS将随机产生的验证信息与得到的第一认证数据作为查询结果发送给MME,使得MME将得到的第一认证数据与接收到的用户终端发送的第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
一种基于紧急呼叫的认证设备,所述设备包括:
第一接收模块,用于接收用户终端发送的携带了接入网络标识的紧急呼叫请求消息,并将接收到的接入网络标识携带在查询请求中发送至归属签约用户服务器HSS;
第二接收模块,用于接收HSS返回的携带了验证信息和第一认证数据的查询结果,所述第一认证数据是HSS将查找的安全密钥和产生的验证信息进行计算得到的,其中,所述安全密钥包含设备密钥,所述设备密钥是HSS根据本地存储的接入网络标识与设备密钥之间的对应关系确定;
第三接收模块,用于接收用户终端发送的第二认证数据,所述第二认证数据是用户终端在接收MME发送的验证信息后,利用本地存储的安全密钥对所述验证信息进行计算得到的;
比较模块,用于将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
一种归属签约用户服务器HSS,所述HSS包括:
接收模块,用于接收移动管理实体MME发送的查询请求,所述查询请求中包含了接入网络标识,所述接入网络标识是用户终端向MME发送紧急呼叫请求消息时携带的;
第一认证数据计算模块,用于根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据;
发送模块,用于将随机产生的验证信息与得到的第一认证数据作为查询结果发送给MME,使得MME将得到的第一认证数据与接收到的用户终端发送的第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
一种基于紧急呼叫的认证系统,所述系统包括:
移动管理实体MME,用于接收用户终端发送的紧急呼叫请求消息,将包含了所述紧急呼叫请求消息中携带的接入网络标识的查询请求发送至HSS,并接收HSS返回的携带了验证信息和第一认证数据的查询结果,和用户终端发送的第二认证数据,将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络,以及在允许用户终端接入通信网络之后,接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的,以及将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息;
用户终端,用于发送携带了接入网络标识的紧急呼叫请求消息至MME,以及发送第二认证数据,并在允许接入通信网络之后,向MME发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是利用安全密钥进行加密后得到的;
归属签约用户服务器HSS,用于接收MME发送的携带了接入网络标识的查询请求,并根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据发送至MME,以及在允许用户终端接入通信网络之后,接收MME发送的携带紧急呼叫内容的紧急呼叫消息并进行解析。
本发明有益效果如下:
本发明实施例通过在用户终端本地和HSS本地分别存储了用户终端的IMEI标识与设备密钥之间的对应关系,在用户终端向MME发送紧急呼叫请求消息时,MME从HSS处获取包含设备密钥的安全密钥,并和随机验证信息进行运算得到的第一认证数据,以及接收到用户终端发送的根据本地存储的安全密钥和接收到的验证消息计算得到的第二认证数据,并将第一认证数据与第二认证数据进行比较,在比较结果相同时,确定认证通过,允许用户终端接入通信网络,这样避免了非法的用户终端利用紧急呼叫方式恶意使用通信网络,提高了紧急呼叫的安全性,保证了通信网络的应用的安全性。
附图说明
图1为用户利用移动终端通过移动通信网络发出紧急呼叫的流程图;
图2为本发明实施例一的一种基于紧急呼叫的认证方法的流程图;
图3为本实施例二的一种基于紧急呼叫的认证设备的结构示意图;
图4为本实施例三的一种HSS的结构示意图;
图5为本实施例四的一种基于紧急呼叫的认证系统的结构图。
具体实施方式
为了实现本发明的目的,本发明实施例公开了一种基于紧急呼叫的认证方法、设备和系统,通过在用户终端本地和HSS本地分别存储了用户终端的IMEI标识与设备密钥之间的对应关系,在用户终端向MME发送紧急呼叫请求消息时,MME从HSS处获取包含设备密钥的安全密钥,并和随机验证信息进行运算得到的第一认证数据,以及接收到用户终端发送的根据本地存储的安全密钥和接收到的验证消息计算得到的第二认证数据,并将第一认证数据与第二认证数据进行比较,在比较结果相同时,确定认证通过,允许用户终端接入通信网络,这样避免了非法的用户终端利用紧急呼叫方式恶意使用通信网络,提高了紧急呼叫的安全性,保证了通信网络的应用的安全性。
需要说明的是,在本发明方案中,网络侧和用户终端中设置了对称的设备密钥,用于网络侧对用户终端进行认证。所述设备密钥和用户终端的IMEI标识相关联,网络侧将用户终端的IMEI标识与设备密钥之间的对应关系、以及设备密钥存放在HSS中,网络侧仅能通过查询获取由设备密钥进行计算的运算结果,并不能直接获取设备密钥;合法的用户终端将自身的设备密钥存储在安全组件中,也仅能通过查询获取利用设备密钥进行计算的结果,并不能直接获取设备密钥。其中,设备密钥与IMEI标识是一一对应关系,每一个设备密钥对应唯一一个IMEI标识。
本发明各实施例中涉及的安全密钥不管是在网络侧还是用户终端侧,都是根据设定的计算方法,利用存储的设备密钥、参数信息和用户终端的接入网络标识信息进行计算得到的,网络侧和用户终端侧具有加密和解密的功能,保证信令传输过程中的安全性,以及使得利用的空口资源得到保护。
下面结合说明书附图对本发明各实施例进行详细描述。
实施例一:
如图2所示,为本发明实施例一的一种基于紧急呼叫的认证方法的流程图,所述方法包括:
步骤101:MME接收用户终端发送的携带了接入网络标识的紧急呼叫请求消息,并将接收到的接入网络标识携带在查询请求中发送至HSS。
其中,所述接入网络标识是用户终端的IMEI标识。
在步骤101中,当用户终端处于呼叫受限或者未插入SIM卡/USIM卡,且需要发起紧急呼叫请求时,用户终端将自身IMEI标识作为接入网络标识携带在紧急呼叫请求消息中发送给MME。
较优地,MME在接收到用户发送的紧急呼叫请求消息时,指示用户终端上报接入网络标识,以便于对用户终端的识别。
当MME接收到用户终端上报的接入网络标识是GUIT或者P_TMSI时,指示用户终端上报用户终端的IMSI标识;当MME接收到用户终端上报的接入网络标识是IMSI标识,指示用户终端上报用户终端的IMEI标识。
需要说明的是,当用户终端处于未插入SIM卡状态时,是没有IMSI标识的,只能向MME提供IMEI标识。
较优地,MME在接收到紧急呼叫请求消息之后,向HSS发送查询请求之前,所述方法还包括:
首先,MME根据用户终端的接入网络标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内向MME发送紧急呼叫请求的次数。
具体地,MME自身存在一个用于计算用户终端发出紧急呼叫次数的计数器,每当用户终端发送一次紧急呼叫请求消息,MME就将针对该用户终端的紧急呼叫次数增加一,并记录时间、用户终端接入网络标识和紧急呼叫次数之间的对应关系。
其次,MME判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行向HSS发送查询请求的操作。
其中,设定阈值是为了限定单位时间内一个用户终端向MME发送紧急呼叫次数,一般根据实际需要确定,这里不做具体限定。
步骤102:MME接收HSS返回的携带了验证信息和第一认证数据的查询结果。
其中:所述第一认证数据是HSS将查找的安全密钥和随机产生的验证信息进行计算得到的,其中,安全密钥中包含设备密钥,所述设备密钥是HSS根据本地存储的接入网络标识与设备密钥之间的对应关系确定。
在步骤102中,MME将接收到的紧急呼叫请求消息中携带的接入网络标识包含在查询请求中发送给HSS。
HSS在接收到MME发送的查询请求后,执行以下操作:
第一步:根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥。
第二步:利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据。
需要说明的是,计算的方式可以是利用设定的算法,也可以是按照3GPP协议中的协议规则进行计算,这里不做具体限定。
第三步:将随机产生的验证信息与得到的第一认证数据作为查询结果发送给MME。
其中:所述验证信息可以是3GPP格式的验证信息,例如,RAND;所述第一认证数据为device-challenge,所述查询结果为RAND||device-challenge,还可以是其他形式的信息,根据实际需要进行确定,这里不做限定。
步骤103:MME接收用户终端发送的第二认证数据。
其中,所述第二认证数据是用户终端在接收MME发送的验证信息后,利用本地存储的安全密钥和所述验证信息进行计算得到的。
在步骤103中,MME接收到HSS返回的查询结果,其中包含了随机验证信息,MME将该随机验证信息发送给用户终端。
用户终端在接收到该验证信息后,执行以下操作:
第一步:确定自身的IMEI标识对应的设备密钥。
第二步:利用包含确定的设备密钥的安全密钥对接收到的验证信息进行计算得到第二认证数据。
第三步:将得到的第二认证数据发送给MME。
步骤104:MME将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
在步骤104中,MME判断接收到的第一认证数据与第二认证数据是否相同,若相同,则执行认证通过,允许接入网络的操作;否则,执行认证不通过,拒绝接入网络的操作。
步骤105:在允许用户终端接入通信网络之后,MME接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的。
为了保证用户终端发送的紧急呼叫消息不被篡改,在用户终端向MME发送紧急呼叫消息时,对携带的紧急呼叫内容进行加密操作,这样保证了传输消息的安全性。
步骤106:MME将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息。
由于HSS存储了设备密钥,而安全密钥是利用设备密钥确定的,因此,MME在接收到加密的紧急呼叫消息时,需要通过HSS对接收到加密的紧急呼叫消息进行解密操作。
在本发明实施例一的方案中,通过在用户终端本地和HSS本地分别存储了用户终端的IMEI标识与设备密钥之间的对应关系,在用户终端向MME发送紧急呼叫请求消息时,MME从HSS处获取包含设备密钥的安全密钥,并和随机验证信息进行运算得到的第一认证数据,以及接收到用户终端发送的根据本地存储的安全密钥和接收到的验证消息计算得到的第二认证数据,并将第一认证数据与第二认证数据进行比较,在比较结果相同时,确定认证通过,允许用户终端接入通信网络,这样避免了非法的用户终端利用紧急呼叫方式恶意使用通信网络,提高了紧急呼叫的安全性,保证了通信网络的应用的安全性。
实施例二:
如图3所示,为本实施例二的一种基于紧急呼叫的认证设备的结构示意图,所述设备包括:第一接收模块11、第二接收模块12、第三接收模块13和比较模块14,其中:
第一接收模块11,用于接收用户终端发送的携带了接入网络标识的紧急呼叫请求消息,并将接收到的接入网络标识携带在查询请求中发送至HSS;
第二接收模块12,用于接收HSS返回的携带了验证信息和第一认证数据的查询结果,所述第一认证数据是HSS将查找的安全密钥和产生的验证信息进行计算得到的,其中,安全密钥中包含了设备密钥,所述设备密钥是HSS根据本地存储的接入网络标识与设备密钥之间的对应关系确定;
第三接收模块13,用于接收用户终端发送的第二认证数据,所述第二认证数据是用户终端在接收MME发送的验证信息后,利用本地存储的安全密钥对所述验证信息进行计算得到的;
比较模块14,用于将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
较优地,所述设备还包括:第四接收模块15和消息处理模块16,其中:
第四接收模块,用于在允许用户终端接入通信网络之后,接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的;
消息处理模块,用于将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息。
其中,所述紧急呼叫请求消息中携带了用户终端的标识。
所述设备还包括:呼叫次数确定模块17和呼叫判断模块18,其中:
呼叫次数确定模块17,用于在将接收到的接入网络标识携带在查询请求中发送至HSS之前,根据用户终端的标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内发送紧急呼叫请求的次数;
呼叫判断模块18,用于判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行将接收到的接入网络标识携带在查询请求中发送至HSS的操作。
所述比较模块14,具体用于判断接收到的第一认证数据与第二认证数据是否相同,若相同,则执行认证通过,允许接入网络的操作;否则,执行认证不通过,拒绝接入网络的操作。
实施例三:
如图4所示,为本实施例三的一种HSS的结构示意图,所述HSS包括:接收模块21、第一认证数据计算模块22和发送模块23,其中:
接收模块21,用于接收MME发送的查询请求,所述查询请求中包含了接入网络标识,所述接入网络标识是用户终端向MME发送紧急呼叫请求消息时携带的;
第一认证数据计算模块22,用于根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据;
发送模块23,用于将随机产生的验证信息与得到的第一认证数据作为查询结果发送给MME,使得MME将得到的第一认证数据与接收到的用户终端发送的第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络。
较优地,所述接入网络标识为用户终端的IMEI标识;
所述第一认证数据计算模块22,具体用于存储用户终端的IMEI标识与设备密钥之间的对应关系。
实施例四:
如图5所示,为本实施例四的一种基于紧急呼叫的认证系统的结构图,所述系统包括:MME31、用户终端32和HSS33,其中:
MME31,用于接收用户终端发送的紧急呼叫请求消息,将包含了所述紧急呼叫请求消息中携带的接入网络标识的查询请求发送至HSS,并接收HSS返回的携带了验证信息和第一认证数据的查询结果,和用户终端发送的第二认证数据,将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络,以及在允许用户终端接入通信网络之后,接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的,以及将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息;
用户终端32,用于发送携带了接入网络标识的紧急呼叫请求消息至MME,以及发送第二认证数据,并在允许接入通信网络之后,向MME发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是利用安全密钥进行加密后得到的;
HSS33,用于接收MME发送的携带了接入网络标识的查询请求,并根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据发送至MME,以及在允许用户终端接入通信网络之后,接收MME发送的携带紧急呼叫内容的紧急呼叫消息并进行解析。
较优地,所述用户终端32,具体用于在用户终端接收到MME发送的验证信息时,利用本地存储的安全密钥对接收到的验证信息进行计算得到第二认证数据。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种基于紧急呼叫的认证方法,其特征在于,所述方法包括:
移动管理实体MME接收用户终端发送的携带了接入网络标识的紧急呼叫请求消息,并将接收到的接入网络标识携带在查询请求中发送至归属签约用户服务器HSS;
MME接收HSS返回的携带了验证信息和第一认证数据的查询结果,所述第一认证数据是HSS将查找的安全密钥和随机产生的验证信息进行计算得到的,其中,所述安全密钥包含设备密钥,所述设备密钥是HSS根据本地存储的接入网络标识与设备密钥之间的对应关系确定;
MME接收用户终端发送的第二认证数据,所述第二认证数据是用户终端在接收MME发送的验证信息后,利用本地存储的安全密钥和所述验证信息进行计算得到的;
MME将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络;
其中,MME在接收到紧急呼叫请求消息之后,向HSS发送查询请求之前,所述方法还包括:
MME根据用户终端的接入网络标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内向MME发送紧急呼叫请求的次数;
MME判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行向HSS发送查询请求的操作。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在允许用户终端接入通信网络之后,MME接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的;
MME将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息。
3.如权利要求1所述的方法,其特征在于,用户终端发送的第二认证数据,具体包括:
在用户终端接收到MME发送的验证信息时,利用本地存储的安全密钥对接收到的验证信息进行计算得到第二认证数据。
4.如权利要求1~3任一所述的方法,其特征在于,MME将所述第一认证数据与所述第二认证数据进行比较,具体包括:
MME判断接收到的第一认证数据与第二认证数据是否相同,若相同,则执行认证通过,允许接入网络的操作;否则,执行认证不通过,拒绝接入网络的操作。
5.一种基于紧急呼叫的认证方法,其特征在于,所述方法包括:
归属签约用户服务器HSS接收移动管理实体MME发送的查询请求,所述查询请求中包含了接入网络标识,所述接入网络标识是用户终端向MME发送紧急呼叫请求消息时携带的;
HSS根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据;
HSS将随机产生的验证信息与得到的第一认证数据作为查询结果发送给MME,使得MME将得到的第一认证数据与接收到的用户终端发送的第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络;
其中,MME在接收到紧急呼叫请求消息之后,向HSS发送查询请求之前,所述方法还包括:
MME根据用户终端的接入网络标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内向MME发送紧急呼叫请求的次数;
MME判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行向HSS发送查询请求的操作。
6.如权利要求5所述的方法,其特征在于,所述接入网络标识为用户终端的IMEI标识;
本地存储的接入网络标识与设备密钥之间的对应关系,具体包括:
HSS本地存储用户终端的IMEI标识与设备密钥之间的对应关系。
7.一种基于紧急呼叫的认证设备,其特征在于,所述设备包括:
第一接收模块,用于接收用户终端发送的携带了接入网络标识的紧急呼叫请求消息,并将接收到的接入网络标识携带在查询请求中发送至归属签约用户服务器HSS;
第二接收模块,用于接收HSS返回的携带了验证信息和第一认证数据的查询结果,所述第一认证数据是HSS将查找的安全密钥和产生的验证信息进行计算得到的,其中,所述安全密钥包含设备密钥,所述设备密钥是HSS根据本地存储的接入网络标识与设备密钥之间的对应关系确定;
第三接收模块,用于接收用户终端发送的第二认证数据,所述第二认证数据是用户终端在接收MME发送的验证信息后,利用本地存储的安全密钥对所述验证信息进行计算得到的;
比较模块,用于将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络;
其中,所述紧急呼叫请求消息中携带了用户终端的标识;所述设备还包括:呼叫次数确定模块和呼叫判断模块,其中:
呼叫次数确定模块,用于在将接收到的接入网络标识携带在查询请求中发送至HSS之前,根据用户终端的标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内发送紧急呼叫请求的次数;
呼叫判断模块,用于判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行将接收到的接入网络标识携带在查询请求中发送至HSS的操作。
8.如权利要求7所述的设备,其特征在于,所述设备还包括:
第四接收模块,用于在允许用户终端接入通信网络之后,接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的;
消息处理模块,用于将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息。
9.如权利要求7~8任一所述的设备,其特征在于,
所述比较模块,具体用于判断接收到的第一认证数据与第二认证数据是否相同,若相同,则执行认证通过,允许接入网络的操作;否则,执行认证不通过,拒绝接入网络的操作。
10.一种归属签约用户服务器HSS,其特征在于,所述HSS包括:
接收模块,用于接收移动管理实体MME发送的查询请求,所述查询请求中包含了接入网络标识,所述接入网络标识是用户终端向MME发送紧急呼叫请求消息时携带的;
第一认证数据计算模块,用于根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据;
发送模块,用于将随机产生的验证信息与得到的第一认证数据作为查询结果发送给MME,使得MME将得到的第一认证数据与接收到的用户终端发送的第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络;
其中,MME在接收到紧急呼叫请求消息之后,向HSS发送查询请求之前,还包括:
MME根据用户终端的接入网络标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内向MME发送紧急呼叫请求的次数;
MME判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行向HSS发送查询请求的操作。
11.如权利要求10所述的HSS,其特征在于,所述接入网络标识为用户终端的IMEI标识;
所述第一认证数据计算模块,具体用于存储用户终端的IMEI标识与设备密钥之间的对应关系。
12.一种基于紧急呼叫的认证系统,其特征在于,所述系统包括:
移动管理实体MME,用于接收用户终端发送的紧急呼叫请求消息,将包含了所述紧急呼叫请求消息中携带的接入网络标识的查询请求发送至HSS,并接收HSS返回的携带了验证信息和第一认证数据的查询结果,和用户终端发送的第二认证数据,将所述第一认证数据与所述第二认证数据进行比较,并在比较结果相同时,确定认证通过,允许用户终端接入通信网络,以及在允许用户终端接入通信网络之后,接收到用户终端发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是用户终端利用安全密钥进行加密后得到的,以及将接收到的所述紧急呼叫消息发送给HSS进行解析,根据解析结果向用户终端返回响应消息;其中,MME在接收到紧急呼叫请求消息之后,向HSS发送查询请求之前,MME根据用户终端的接入网络标识与紧急呼叫请求次数之间的对应关系,查找所述用户终端在设定时长内向MME发送紧急呼叫请求的次数;MME判断查找到的呼叫请求次数是否大于设定阈值,若是,则拒绝响应用户终端的紧急呼叫请求;否则,执行向HSS发送查询请求的操作;
用户终端,用于发送携带了接入网络标识的紧急呼叫请求消息至MME,以及发送第二认证数据,并在允许接入通信网络之后,向MME发送的携带紧急呼叫内容的紧急呼叫消息,其中,所述紧急呼叫内容是利用安全密钥进行加密后得到的;
归属签约用户服务器HSS,用于接收MME发送的携带了接入网络标识的查询请求,并根据本地存储的接入网络标识与设备密钥之间的对应关系,确定查询请求中包含的接入网络标识对应的设备密钥,并利用包含该设备密钥的安全密钥和随机产生的验证信息进行计算得到第一认证数据发送至MME,以及在允许用户终端接入通信网络之后,接收MME发送的携带紧急呼叫内容的紧急呼叫消息并进行解析。
13.如权利要求12所述的系统,其特征在于,
所述用户终端,具体用于在用户终端接收到MME发送的验证信息时,利用本地存储的安全密钥对接收到的验证信息进行计算得到第二认证数据。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210335631.XA CN103686651B (zh) | 2012-09-12 | 2012-09-12 | 一种基于紧急呼叫的认证方法、设备和系统 |
PCT/CN2013/080490 WO2013185709A1 (zh) | 2012-09-12 | 2013-07-31 | 一种呼叫认证方法、设备和系统 |
EP13803875.7A EP2874367B1 (en) | 2012-09-12 | 2013-07-31 | Call authentication method, device, and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210335631.XA CN103686651B (zh) | 2012-09-12 | 2012-09-12 | 一种基于紧急呼叫的认证方法、设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103686651A CN103686651A (zh) | 2014-03-26 |
CN103686651B true CN103686651B (zh) | 2018-05-11 |
Family
ID=49757589
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210335631.XA Active CN103686651B (zh) | 2012-09-12 | 2012-09-12 | 一种基于紧急呼叫的认证方法、设备和系统 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP2874367B1 (zh) |
CN (1) | CN103686651B (zh) |
WO (1) | WO2013185709A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2526583A (en) * | 2014-05-28 | 2015-12-02 | Vodafone Ip Licensing Ltd | Access class barring for mobile terminated communication and active mobility |
US9961194B1 (en) | 2016-04-05 | 2018-05-01 | State Farm Mutual Automobile Insurance Company | Systems and methods for authenticating a caller at a call center |
US11696250B2 (en) * | 2016-11-09 | 2023-07-04 | Intel Corporation | UE and devices for detach handling |
CN107222933B (zh) * | 2017-06-27 | 2020-11-17 | 努比亚技术有限公司 | 一种通信方法、终端和计算机可读存储介质 |
CN108419229B (zh) * | 2018-01-23 | 2020-08-11 | 北京中兴高达通信技术有限公司 | 一种接入方法及设备 |
CN109348057A (zh) * | 2018-10-25 | 2019-02-15 | 维沃移动通信有限公司 | 一种呼叫方法及移动终端 |
CN112004228B (zh) * | 2019-05-27 | 2023-06-02 | 中国电信股份有限公司 | 实人认证方法及系统 |
CN113206886B (zh) * | 2021-05-08 | 2023-02-10 | 深圳市信锐网科技术有限公司 | 一种设备接入物联网平台的方法、装置、设备、介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
CN102025685A (zh) * | 2009-09-21 | 2011-04-20 | 华为技术有限公司 | 认证处理方法及装置 |
CN102055744A (zh) * | 2009-11-06 | 2011-05-11 | 中兴通讯股份有限公司 | 一种ip多媒体子系统紧急呼叫业务的实现系统及方法 |
CN102396203A (zh) * | 2009-04-16 | 2012-03-28 | 阿尔卡特朗讯公司 | 根据通信网络中的认证过程的紧急呼叫处理 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7764945B2 (en) * | 2006-03-08 | 2010-07-27 | Cisco Technology, Inc. | Method and apparatus for token distribution in session for future polling or subscription |
US9515850B2 (en) * | 2009-02-18 | 2016-12-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Non-validated emergency calls for all-IP 3GPP IMS networks |
JP5395955B2 (ja) * | 2009-07-24 | 2014-01-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおける端末識別子 |
-
2012
- 2012-09-12 CN CN201210335631.XA patent/CN103686651B/zh active Active
-
2013
- 2013-07-31 EP EP13803875.7A patent/EP2874367B1/en active Active
- 2013-07-31 WO PCT/CN2013/080490 patent/WO2013185709A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102396203A (zh) * | 2009-04-16 | 2012-03-28 | 阿尔卡特朗讯公司 | 根据通信网络中的认证过程的紧急呼叫处理 |
CN102025685A (zh) * | 2009-09-21 | 2011-04-20 | 华为技术有限公司 | 认证处理方法及装置 |
CN102055744A (zh) * | 2009-11-06 | 2011-05-11 | 中兴通讯股份有限公司 | 一种ip多媒体子系统紧急呼叫业务的实现系统及方法 |
CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
EP2874367A4 (en) | 2015-10-21 |
EP2874367B1 (en) | 2018-08-29 |
EP2874367A1 (en) | 2015-05-20 |
WO2013185709A1 (zh) | 2013-12-19 |
CN103686651A (zh) | 2014-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103686651B (zh) | 一种基于紧急呼叫的认证方法、设备和系统 | |
CN102415119B (zh) | 管理网络中不期望的服务请求 | |
US20180034635A1 (en) | GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System | |
CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
CN106899410A (zh) | 一种设备身份认证的方法及装置 | |
CN102318386A (zh) | 向网络的基于服务的认证 | |
CN103581154B (zh) | 物联网系统中的鉴权方法和装置 | |
US20200382322A1 (en) | System and method for decrypting communication exchanged on a wireless local area network | |
CN104219650B (zh) | 发送用户身份认证信息的方法及用户设备 | |
CN105898743B (zh) | 一种网络连接方法、装置及系统 | |
EP3614741B1 (en) | Processing apparatus for terminal access to 3gpp network and communication system and corresponding system and computer program product | |
CN106304264B (zh) | 一种无线网络接入方法及装置 | |
CN104662863B (zh) | 触发通信网络中的用户认证 | |
Khan et al. | Vulnerabilities of UMTS access domain security architecture | |
CN110392998A (zh) | 一种数据包校验方法及设备 | |
CN109561429A (zh) | 一种鉴权方法及设备 | |
CN106465109A (zh) | 蜂窝网络认证 | |
CN105075182B (zh) | 用于通过提供安全性信息来允许合法拦截的方法 | |
CN108738015A (zh) | 网络安全保护方法、设备及系统 | |
CN105245494B (zh) | 一种网络攻击的确定方法及装置 | |
EP3673675B1 (en) | Registering user equipment with a visited public land mobile network | |
CN101854357B (zh) | 网络认证监控方法及系统 | |
CN108243416A (zh) | 用户设备鉴权方法、移动管理实体及用户设备 | |
US11350282B2 (en) | Method and apparatus for detecting null-ciphering channels | |
CN108282775A (zh) | 面向移动专用网络的动态附加认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |