CN104780533B - D2d用户安全注册实现方法、系统及装置 - Google Patents
D2d用户安全注册实现方法、系统及装置 Download PDFInfo
- Publication number
- CN104780533B CN104780533B CN201410012286.5A CN201410012286A CN104780533B CN 104780533 B CN104780533 B CN 104780533B CN 201410012286 A CN201410012286 A CN 201410012286A CN 104780533 B CN104780533 B CN 104780533B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- eps layer
- guti
- registration message
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 110
- 230000008569 process Effects 0.000 claims description 70
- 238000012545 processing Methods 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 17
- 238000003860 storage Methods 0.000 abstract description 4
- 238000009826 distribution Methods 0.000 abstract description 2
- 238000013475 authorization Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000008447 perception Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/005—Multiple registrations, e.g. multihoming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种D2D用户安全注册实现方法、系统及装置。所述方法包括:接收用户终端发送的注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID;判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配;当均匹配时,将所述注册消息转发给ProSe服务器执行后续注册流程。本发明还公开了用于实现所述方法的装置和系统。
Description
技术领域
本发明涉及网络与信息安全技术领域,尤其涉及一种D2D用户安全注册实现方法、系统及装置。
背景技术
3GPP标准的规范了长期演进-设备到设备(Long Term Evolution-Device toDevice,LTE-D2D)的系统架构,LTE-D2D标准中也称ProSe近域服务(Proximity Services)。LTE D2D架构包含支持D2D通信的用户终端(UE)和网络设备,网络设备包括基站(eNodeB,eNB)、移动性管理实体(Mobile Managenment Entity,MME)、ProSe服务器、应用服务器(Application Server)等。
开展D2D通信的UE一般会包括支持D2D功能的应用客户端(application)和演进分组系统管理层(Evolution Packet System Layer,EPS layer)。应用客户端是UE上的某个应用的APP,可以和网络侧的应用服务器进行交互。EPS layer是D2D通信的管理模块,负责和网络侧进行D2D相关的通信,包括D2D注册、发现以及D2D通信等。Prose服务器负责对UE使用D2D进行授权。该Prose Server可以独立部署也可以和MME合设。
UE使用LTE D2D前,网络侧的Prose服务器要对该UE进行授权,授权后UE才能使用LTE D2D业务。其授权注册过程包括:
1)UE附着LTE网络,与LTE网络建立连接;
2)应用客户端向EPS管理层发起注册请求;
3)EPS管理层通过eNodeB、MME向ProSe服务器发起注册请求;
4)ProSe服务器确认该UE是否有使用D2D的权利,对该UE进行授权;
5)ProSe服务器将授权结果通知给MME;并为UE分配ProSe ID,向EPS管理层发送Prose注册应答消息;
6)MME让eNodeB给授权的UE分配D2D业务的无线网络资源;
7)EPS管理层向Prose Server发送Prose注册完成消息;并通知应用客户端Prose注册完成,并将ProSe ID发送给该应用客户端;
8)应用客户端使用ProSe ID以及application ID与应用服务器进行通信;
9)应用服务器将该UE的Prose ID分发给其他开通了ProSe功能的感兴趣的UE。
上述注册过程不论应用客户端是否签署D2D业务,均可发起。因此,就有可能导致恶意用户使用具备D2D功能的UE对网络侧发起攻击。
如图1所示的恶意用户通过恶意注册对网络侧进行恶意攻击的流程,图1中双点划线所示的椭圆中示出了没有签署D2D业务的无权用户在一次注册失败后,不断发起注册的过程。从图1中可以看出,
该恶意用户冒充签约了D2D业务的用户,不断地向网络侧的eNB、MME、Prose服务器发送注册请求。网络侧一次又一次的对其进行鉴权并返回授权失败消息,UE每次收到Prose授权失败消息后,均会再次发起D2D注册消息,由此一直重复下去(即上图的2-1到5-n),消耗eNB、MME和Prose服务器的处理资源。
当该恶意用户控制的UE足够多的时候,将会大大消耗Prose服务器的处理资源,导致Prose Server负载过大,使得系统瘫痪,影响正常用户的业务。特别需要指出的是,在感知层可以采用LTE-D2D技术M2M通信。如果攻击者控制了网络中的感知层设备以及作为网关的UE,使得不停地向网络发送非法的D2D注册请求,那么由于感知层设备数目可能非常巨大,所以Prose服务器发生拥塞,无法处理正常用户请求的可能性将非常大。
现有解决网络设备负载过重的技术是从减少交互信令消息以及扩大网络设备容量的角度考虑的。由于网络设备扩容量有限,而且容量越大设备成本越高,所以在此技术在实际应用中有一定的局限性,不能很好地解决上述恶意用户攻击所导致的网络拥塞问题。
发明内容
本发明实施例提供一种D2D用户安全注册实现方法、系统及装置,用于解决现有技术中存在的恶意用户利用注册消息攻击网络侧设备,导致网络安全存在隐患的问题。
本发明实施例提供一种D2D用户安全注册实现方法,包括以下步骤:
接收用户终端发送的注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID;
判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPSLayer ID是否匹配;
当均匹配时,将所述注册消息转发给ProSe服务器执行后续注册流程。
在一些可选的实施例中,所述接收用户终端发送的注册消息,具体包括:
MME接收基站eNodeB转发的用户终端发送的所述注册消息。
在一些可选的实施例中,上述方法还包括:
eNodeB接收到用户终端发送的所述注册消息后,判断注册消息中是否包括EPSLayer ID;当确定接收到的注册消息中包括EPS Layer ID时转发给MME;或
MME接收到用户终端发送的所述注册消息后,判断注册消息中是否包括EPS LayerID;当确定接收到的注册消息中包括EPS Layer ID时,再执行判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配的步骤。
在一些可选的实施例中,上述方法还包括:
接收用户终端发送的附着请求,根据所述附着请求对用户终端进行认证;
当认证通过时,为用户终端分配GUTI和EPS Layer ID;
向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息。
在一些可选的实施例中,上述方法还包括:
当用户终端附着成功后,接收用户终端发送的EPS Layer ID请求,为用户终端分配EPS Layer ID;
向用户终端发送携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
在一些可选的实施例中,上述方法还包括:
为用户终端重新分配GUTI和EPS Layer ID,向用户终端发送携带重新分配的GUTI和EPS Layer ID的重分配命令;或
为用户终端重新分配EPS Layer ID,向用户终端发送携带重新分配的EPS LayerID的重分配命令。
本发明实施例提供一种D2D用户安全注册实现装置,包括:
接收模块,用于接收用户终端发送的注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID;
判断模块,用于判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配;
执行模块,用于当判断模块的判断结果为均匹配时,将所述注册消息转发给Prose服务器执行后续注册流程。
在一些可选的实施例中,所述接收模块,具体用于:
接收基站eNodeB转发的用户终端发送的所述注册消息;或
接收eNodeB确定接收到的用户终端发送的注册消息中包括EPS Layer ID时转发的所述注册消息。
在一些可选的实施例中,所述接收模块,还用于:
接收到用户终端发送的所述注册消息后,判断注册消息中是否包括EPS LayerID;当确定接收到的注册消息中包括EPS Layer ID时,再执行判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配的步骤。
在一些可选的实施例中,上述装置还包括:附着处理模块;
所述附着处理模块,用于接收用户终端发送的附着请求,根据所述附着请求对用户终端进行认证;当认证通过时,为用户终端分配GUTI和EPS Layer ID;向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息;和/或
所述辅助处理模块,用于当用户终端附着成功后,接收用户终端发送的EPS LayerID请求,为用户终端分配EPS Layer ID;向用户终端发送携带分配的EPS Layer ID的EPSLayer ID请求响应消息。
在一些可选的实施例中,所述附着处理模块,还用于:
为用户终端重新分配GUTI和EPS Layer ID,向用户终端发送携带重新分配的GUTI和EPS Layer ID的重分配命令;或
为用户终端重新分配EPS Layer ID,向用户终端发送携带重新分配的EPS LayerID的重分配命令。
本发明实施例还提供一种用户终端,包括:
生成模块,用于生成注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID;
发送模块,用于发送生成的注册消息给基站eNodeB。
在一些可选的实施例中,上述用户终端还包括:接收模块;
所述生成模块,还用于生成附着请求;
所述发送模块,还用于发送附着请求给移动性管理实体MME;
所述接收模块,用于接收MME返回的的携带分配的GUTI和EPS Layer ID的附着接受消息。
在一些可选的实施例中,上述用户终端还包括:接收模块;
所述生成模块,还用于生成EPS Layer ID请求;
所述发送模块,还用于当附着成功后发送EPS Layer ID请求给MME;
所述接收模块,用于接收MME返回的携带分配的GUTI的附着接受消息,以及接收MME返回的携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
在一些可选的实施例中,所述接收模块,还用于:
接收MME发送的携带重新分配的GUTI和EPS Layer ID的重分配命令;或
接收MME发送的携带重新分配的EPS Layer ID的重分配命令。
本发明实施例还提供一种D2D用户安全注册实现系统,包括:上述的用户终端、移动性管理实体MME和Prose服务器;
所述MME中包括上述的D2D用户安全注册实现装置。
在一些可选的实施例中,上述系统还包括:
基站eNodeB,用于接收用户终端发送的注册消息并转发给MME;或接收到用户终端发送的所述注册消息,判断注册消息中是否包括EPS Layer ID,当确定接收到的注册消息中包括EPS Layer ID时转发给MME。
本发明实施例提供的D2D用户安全注册实现方法、系统及装置,在用户使用用户终端进行注册时,携带在附着过程中分配给用户的EPS Layer ID和GUTI,只有当注册消息中携带的EPS Layer ID和GUTI与网络侧存储EPS Layer ID和GUTI相匹配时,才继续后续的注册流程,从而有效地防止了恶意用户利用注册消息恶意攻击,节约了网络侧的系统资源,减轻了网络侧的处理压力,从而在不扩充网络侧设备容量的情况下,有效的避免了网络侧,尤其是Prose服务器由于被恶意用户攻击而发生拥塞的可能性,同时减少了注册过程中的信令开销,保证了正常的用户注册请求的处理速度和效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为现有技术中通过恶意注册对网络侧进行攻击的流程示意图;
图2为本发明实施例中D2D用户安全注册实现系统的结构示意图;
图3为本发明实施例中D2D用户安全注册实现方法的流程图;
图4为本发明实施例一中D2D用户安全注册实现方法的流程图;
图5为本发明实施例二中D2D用户安全注册实现方法的流程图;
图6为本发明实施例中用户终端附着过程的一种实现流程图;
图7为本发明实施例中用户终端附着过程的另一种实现流程图;
图8为本发明实施例中重分配过程的一种实现流程图;
图9为本发明实施例中重分配过程的另一种实现流程图;
图10为本发明实施例中D2D用户安全注册实现装置的结构示意图;
图11为本发明实施例中用户终端的结构示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
为了解决现有技术中未获得业务授权的用户对网络侧进行恶意攻击导致网络侧资源大量消耗,甚至导致网络设备拥塞或瘫痪的问题,本发明实施例提供一种D2D用户安全注册实现方法,通过在注册消息中携带全球唯一临时标识(Globally Unique TemporaryUE Identity,GUTI)和演进分组系统管理层标识(EPS Layer ID),在网络侧设备上进行匹配,避免了未获得业务授权的用户恶意攻击网络设备的可能性。
本发明实施例提供的D2D用户安全注册实现方法,通过如图2所示的D2D用户安全注册实现系统实现。该系统包括:用户终端21、移动性管理实体(MME)22和Prose服务器23。其中,MME22中包括D2D用户安全注册实现装置221。
D2D用户安全注册实现装置221,用于接收用户终端21发送的注册消息,该注册消息中携带网络侧分配的GUTI和EPS Layer ID;判断接收到的注册消息中包括的GUTI、EPSLayer ID与存储的GUTI、EPS Layer ID是否匹配;当均匹配时,将注册消息转发给Prose服务器23执行后续注册流程。
上述D2D用户安全注册实现系统,还包括基站(eNodeB)24,用于接收用户终端21发送的注册消息并转发给MME22;或接收到用户终端21发送的注册消息,判断注册消息中是否包括EPS Layer ID,当确定接收到的注册消息中包括EPS Layer ID时转发给MME22。
本发明实施例提供的D2D用户安全注册实现方法,其流程如图3所示,包括如下步骤:
步骤S301:接收用户终端发送的注册消息。
网络侧MME接收用户终端发送的注册消息,该注册消息中携带网络侧分配的GUTI和EPS Layer ID。其中,GUTI和EPS Layer ID为在用户终端的网络附着过程中,由网络侧分配给用户终端的,一般可以由网络侧的MME进行分配。附着过程中分配GUTI和EPS Layer ID在后续实施例中详细描述。
优选的,该注册消息中还包括用户终端ID和发现模式,发现模式包括公开模式和限制模式。
上述MME接收用户终端发送的注册消息,具体的,MME接收eNodeB转发的用户终端发送的注册消息。
可选的,eNodeB接收到用户终端发送的注册消息后,可以直接转发给MME,也可以先判断注册消息中是否包括EPS Layer ID,当确定接收到的注册消息中包括EPS Layer ID时转给MME。通过在eNodeB处先进性一次是否是业务授权用户的筛选,从而进一步节约MME的处理资源,以及减少数据传数量、节省信令开销。
步骤S302:判断接收到的注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配。当判断为是时,执行步骤S303;否则执行步骤S305。
网络侧的MME执行该判断过程,通过匹配GUTI、EPS Layer ID,对业务授权用户进行注册,并实现将恶意用户的恶意注册排除在外。
可选的,MME接收到用户终端发送的注册消息后,判断注册消息中是否包括EPSLayer ID;当确定接收到的注册消息中包括EPS Layer ID时,再执行判断接收到的注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配的步骤。这样先进行一次用户筛选,可以减少一定的数据处理量。
步骤S303:将注册消息转发给Prose服务器。
接收到的注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID均匹配时,表明用户终端为业务授权的用户终端,因此,将注册消息转发给Prose服务器。
步骤S304:Prose服务器执行后续注册流程。
Prose服务器确定用户终端为业务授权用户的用户终端后,对用户终端进行业务授权,例如:是否能够使用D2D业务以及能够使用哪种类型的D2D业务等。Prose服务器会将授权结果通知给MME,MME让eNodeB给授权的用户终端分配D2D业务的无线网络资源。
步骤S305:结束注册流程。
MME确定注册消息中的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID有任一项匹配时,认为用户终端为非业务授权用户的用户终端,结束其注册流程。
可选的,可以通知eNodeB不在接收和处理该用户终端发送的注册消息,从而进一步节约eNodeB的处理资源。
下面通过具体的实施例详细说明上述D2D用户安全注册实现方法的实现流程。
实施例一
本发明实施例一提供的D2D用户安全注册实现方法,直接在MME上进行是否是业务授权用户的判别,其流程如图4所示,包括如下步骤:
步骤S401:用户终端与网络侧建立LTE连接。
UE附着LTE网络,与LTE网络建立连接,涉及到与网络侧的eNodeB、MME、Prose服务器和HSS等网络实体建立网络连接,以便后续使用应用服务器中的各种应用。
步骤S402:用户终端向eNodeB发送注册消息。
注册消息中携带在附着过程中网络侧分配给用户终端的GUTI和EPS Layer ID。
用户终端中可以包括应用客户端和EPS管理层,应用客户端向EPS管理层发起Prose注册请求,该消息包括应用客户端ID和发现模式(公开还是限制)等信息。EPS管理层向Prose服务器发起Prose注册请求,该消息包括应用客户端ID,GUTI,EPS Layer ID,Prose注册消息指示,发现模式(公开还是限制)等信息。
步骤S403:eNodeB向MME转发注册消息。
网络侧的基站eNodeB接收到应用客户端发送的注册消息后,将注册消息转发给网络侧的MME处理。
步骤S404:MME进行GUTI和EPS Layer ID匹配。
MME接收到注册消息后,判断注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配;当匹配时,执行步骤S405继续后续注册流程;当不匹配时,丢弃该注册消息,结束注册流程。
步骤S405:MME将注册消息转发给Prose服务器。
步骤S406:Prose服务器进行业务授权。
Prose服务器接收到注册消息后,检查该用户终端的D2D业务权限,并进行业务授权,授权认证通过时,执行后续注册流程。
步骤S407:为用户终端分配无线网络资源以及进行授权响应
Prose服务器会将授权结果通知给MME,MME让eNodeB给授权的用户终端分配D2D业务的无线网络资源。Prose服务器向通过MME、eNodeB向用户终端发送注册应答消息为用户分配Prose ID,接收到用户终端返回的注册完成消息时,完成注册流程。
上述方法仅在MME判断注册消息是否合法,从上述流程可以看出,如果是一个没有签署D2D业务的恶意的用户终端,它不会有EPS Layer ID或者它使用的是假冒的EPS LayerID,所以通过MME验证GUTI和EPS Layer ID是否匹配本地保存的GUTI和EPS Layer ID的方式能够阻止恶意UE向Prose服务器发送注册消息,从而保护Prose服务器不受恶意攻击的影响。
实施例二
本发明实施例二提供的D2D用户安全注册实现方法,先在eNodeB上初步进行是否是业务授权用户的筛选,再在MME上进行是否是业务授权用户的判别,其流程如图5所示,包括如下步骤:
步骤S501:用户终端与网络侧建立LTE连接。
UE附着LTE网络,与LTE网络建立连接,涉及到与网络侧的eNodeB、MME、Prose服务器和HSS等网络实体建立网络连接,以便后续使用应用服务器中的各种应用。
步骤S502:用户终端向eNodeB发送注册消息。
注册消息中携带在附着过程中网络侧分配给用户终端的GUTI和EPS Layer ID。
用户终端中可以包括应用客户端和EPS管理层,应用客户端向EPS管理层发起Prose注册请求,该消息包括应用客户端ID和发现模式(公开还是限制)等信息。EPS管理层向Prose服务器发起Prose注册请求,该消息包括应用客户端ID,GUTI,EPS Layer ID,Prose注册消息指示,发现模式(公开还是限制)等信息。
步骤S503:eNodeB判断注册消息中是否包括EPS Layer ID。
网络侧的基站eNodeB接收到应用客户端发送的所述注册消息后,判断注册消息中是否包括EPS Layer ID,当判断为是时,才将注册消息转发给网络侧的MME,如果不包含,则丢弃该注册消息,实现注册消息合法性的初步筛选。
步骤S504:eNodeB向MME转发注册消息。
步骤S505:MME进行GUTI和EPS Layer ID匹配。
MME接收到注册消息后,判断注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配;当匹配时,执行步骤S506继续后续注册流程;当不匹配时,丢弃该注册消息,结束注册流程。
步骤S506:MME将注册消息转发给Prose服务器。
步骤S507:Prose服务器进行业务授权。
Prose服务器接收到注册消息后,检查该用户终端的D2D业务权限,并进行业务授权,授权认证通过时,执行后续注册流程。
步骤S508:为用户终端分配无线网络资源以及进行授权响应
Prose服务器会将授权结果通知给MME,MME让eNodeB给授权的用户终端分配D2D业务的无线网络资源。Prose服务器向通过MME、eNodeB向用户终端发送注册应答消息为用户分配Prose ID,接收到用户终端返回的注册完成消息时,完成注册流程。
上述方法在eNodeB和MME处实现判断注册消息是否合法,用户终端在Prose注册请求消息中带上GUTI和EPS Layer ID,并指示eNodeB该消息是Prose注册请求消息。当eNodeB收到该注册消息后,发现是Prose注册请求消息,首先检查该注册消息中是否有EPS LayerID。如果没有,就丢弃该注册消息,如果有则将该注册消息转发给MME。MME收到该注册请求消息后,将收到的GUTI与EPS Layer ID与本地存储的GUTI与EPS Layer ID比对,看是否匹配。如果不匹配,则丢弃该消息。否则,转发给Prose服务器进行D2D业务注册授权。从上述流程可以看出,如果是一个没有签署D2D业务的UE,它不会有EPS Layer ID。所以在eNodeB处就能够禁掉Prose业务注册消息,保护Prose服务器不受本文前面描述的恶意攻击;由于eNB只具备判断EPS Layer是否存在的功能,不具备验证EPS Layer ID是否合法的功能,所以通过MME验证GUTI和EPS Layer ID是否匹配本地保存的GUTI和EPS Layer ID的方式能够阻止攻击者假冒EPS Layer ID的攻击,从而保护Prose服务器不受恶意攻击的影响。
如果用户终端是签约了D2D业务的用户终端,那么MME给用户终端分发EPS LayerID。该EPS Layer ID将和GUTI一样,作为安全上下文的一部分保存在用户终端上,用于下次跟网络建立连接的时候使用。注册消息中包括的GUTI、EPS Layer ID是在用户终端的网络附着过程中分配给用户终端的,其EPS Layer ID分配过程可以有多种方式,下面具体描述两种分配过程:
方式一:
针对用户终端无安全上下文时附着LTE网络的过程,该过程包括:MME接收用户终端发送的附着请求,根据附着请求对用户终端进行认证;当认证通过时,为用户终端分配GUTI和EPS Layer ID;向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息。
图6为方式一中用户终端网络附着过程的流程图,该附着过程具体可以包括如下步骤:
步骤S601:MME接收用户终端发送的附着请求。
用户终端向网络侧的MME发送附着请求,MME接收终端发送的附着请求并处理。
步骤S602:MME向HSS获取认证向量以及UE是否签署D2D业务的信息。
步骤S603:UE和HSS之间执行AKA认证过程。
步骤S604:UE和MME执行SMC过程,对信令和数据启动安全保护。
步骤S605:MME给用户终端分配GUTI和EPS Layer ID。
如果该用户终端签署了D2D业务,那么MME给用户终端分配GUTI和EPS Layer ID,否则只分配GUTI。MME将GUTI和EPS Layer ID存储在一起。
步骤S606:MME向用户终端发送附着接受消息。
MME将EPS Layer ID和GUTI一起放到附着接受消息中发送给用户终端。用户终端将EPS Layer ID作为安全上下文的一部分和GUTI一起保存。
上述只描述了本申请相关的关键步骤,相对标准协议中的附着过程省略了一些步骤,如eNodeB转发附着请求以及SMC消息等等。
方式二:
针对用户终端使用单独的信令向MME申请EPS Layer ID的附着LTE网络的过程,该过程包括:MME接收用户终端发送的附着请求,根据附着请求对用户终端进行认证;当认证通过时,向用户终端发送携带分配的GUTI的附着接受消息;MME接收用户终端发送的EPSLayer ID请求,为用户终端分配EPS Layer ID;向用户终端发送携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
图7为方式二中用户终端网络附着过程的流程图,该附着过程包括如下步骤:
步骤S701:MME接收用户终端发送的附着请求。
用户终端向网络侧的MME发送附着请求,MME接收终端发送的附着请求并处理。
步骤S702:对UE进行认证。
认证过程包括上述图6所示的MME向HSS获取认证向量以及UE是否签署D2D业务的信息的过程,UE和HSS之间执行AKA认证过程,UE和MME执行SMC的过程。
步骤S703:MME给用户终端分配GUTI。
认证通过后,MME给用户终端分配GUTI并将GUTI存储。
步骤S704:MME向用户终端发送附着接受消息。
MME将GUTI放到附着接受消息中发送给用户终端。
步骤S705:MME接收用户终端发送的EPS Layer ID请求。
步骤S706:MME给用户终端分配EPS Layer ID。
如果该用户终端签署了D2D业务,那么MME给用户终端分配EPS Layer ID,并将GUTI和EPS Layer ID存储在一起。
该方式在用户终端附着成功后,接收用户终端发送的EPS Layer ID请求,为用户终端分配EPS Layer ID。
步骤S707:MME向用户终端发送EPS Layer ID请求响应消息。
MME发送的EPS Layer ID请求响应消息中携带分配的EPS Layer ID。
用户终端接收到EPS Layer ID请求响应消息后,将EPS Layer ID作为安全上下文的一部分和GUTI一起保存。
上述只描述了本申请相关的关键步骤,相对标准协议中的附着过程省略了一些步骤,如eNodeB转发附着请求以及SMC消息等。
用户终端的网络附着过程中为用户终端分配GUTI、EPS Layer ID之后,网络侧还可能为用户终端重分配,重分配过程具体描述如下:
图8为重分配过程的一种实现流程图,该附着过程包括如下步骤:
步骤S801:MME为用户终端重新分配GUTI和EPS Layer ID。
MME分配新的GUTI和EPS Layer ID,并将EPS Layer ID和GUTI一起保存。
步骤S802:MME向用户终端发送携带重新分配的GUTI和EPS Layer ID的重分配命令。
步骤S803:重分配完成命令。
用户终端向MME发送GUTI重分配完成命令。
上述图8所示的过程中,MME在GUTI重分配过程中分配EPS Layer ID。
图9为重分配过程的另一种实现流程图,该附着过程包括如下步骤:
步骤S901:MME为用户终端重新分配EPS Layer ID。
MME分配新的EPS Layer ID,并将EPS Layer ID和GUTI一起保存。
步骤S902:MME向用户终端发送携带重新分配的EPS Layer ID的重分配命令。
步骤S903:重分配完成命令。
用户终端向MME发送EPS Layer ID重分配完成消息。
上述图9所示的过程中,MME在独立的流程中发起EPS Layer ID重分配的过程。
基于同一发明构思,本发明实施例还提供用于实现上述D2D用户安全注册实现方法的装置,例如:如图2所示的MME中包括的D2D用户安全注册实现装置以及用户终端。
上述D2D用户安全注册实现装置的结构如图10所示,包括:接收模块101、判断模块102和执行模块103。
接收模块101,用于接收用户终端发送的注册消息,该注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID。
判断模块102,用于判断接收到的注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配。
执行模块103,用于当判断模块102的判断结果为均匹配时,将注册消息转发给Prose服务器执行后续注册流程。
优选的,上述接收模块101,具体用于:接收基站eNodeB转发的用户终端发送的注册消息;或接收eNodeB确定接收到的用户终端发送的注册消息中包括EPS Layer ID时转发的注册消息。
优选的,上述接收模块101,还用于接收到用户终端发送的注册消息后,判断注册消息中是否包括EPS Layer ID;当确定接收到的注册消息中包括EPS Layer ID时,再执行判断接收到的所述注册消息中包括的GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配的步骤。
优选的,上述D2D用户安全注册实现装置,还包括:附着处理模块104;
附着处理模块104,用于接收用户终端发送的附着请求,根据附着请求对用户终端进行认证;当认证通过时,为用户终端分配GUTI和EPS Layer ID;向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息;和/或附着处理模块104,用于当用户终端附着成功后;接收用户终端发送的EPS Layer ID请求,为用户终端分配EPS Layer ID;向用户终端发送携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
优选的,上述附着处理模块104,还用于为用户终端重新分配GUTI和EPS LayerID,向用户终端发送携带重新分配的GUTI和EPS Layer ID的重分配命令;或为用户终端重新分配EPS Layer ID,向用户终端发送携带重新分配的EPS Layer ID的重分配命令。
上述用户终端的结构如图11所示,包括生成模块111和发送模块112。
生成模块111,用于生成注册消息,该注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID。
发送模块112,用于发送生成的注册消息给基站eNodeB。
优选的,上述用户终端还包括:接收模块113。
生成模块111,还用于生成附着请求。
发送模块112,还用于发送附着请求给移动性管理实体MME。
接收模块113,用于接收MME返回的的携带分配的GUTI和EPS Layer ID的附着接受消息。
优选的,上述用户终端包括的接收模块113还具有如下功能:
生成模块111,还用于生成EPS Layer ID请求。
发送模块112,还用于当附着成功后发送EPS Layer ID请求给MME。
接收模块113,用于接收MME返回的携带分配的GUTI的附着接受消息,以及接收MME返回的携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
优选的,上述接收模块,还用于接收MME发送的携带重新分配的GUTI和EPS LayerID的重分配命令;或接收MME发送的携带重新分配的EPS Layer ID的重分配命令。
本发明实施例提供的上述D2D用户安全注册实现方法、系统及装置,由MME给签约了D2D业务的UE分配EPS管理层ID,即EPS Layer ID,当UE需要向网络注册D2D业务时,在注册消息中带上EPS Layer ID。MME收到D2D注册消息,判断EPS Layer ID和GUTI是否与当初分配的EPS Layer ID和GUTI匹配,如果不匹配直接丢弃该消息。如果匹配则将注册消息转发给Prose服务器进行Prose授权处理。从而实现将非法的注册消息在eNodeB和MME处禁掉,使得这些非法注册消息没有机会消耗Prose服务器的资源,影响Prose服务器的正常工作。需要说明的是,直接由Prose服务器进行判断EPS Layer ID和GUTI是否与当初分配的EPSLayer ID和GUTI匹配的方法也能够解决恶意用户攻击的问题
优选的,eNodeB收到D2D注册消息,判断该注册消息中是否有EPS Layer ID,如果没有就直接丢弃该消息;如果有EPS Layer ID,则将该注册消息转发给MME,进一步在eNodeB即将恶意攻击的注册消息排除掉,从而取得更好的效果。
上述为防止恶意用户利用D2D注册消息发起攻击的安全机制,可实现在eNB和/或MME处阻止恶意用户对Prose服务器的攻击行为,能有效阻止恶意用户通过D2D注册引发网络设备负载过重的问题,保证Prose服务器的正常运行,从而保证网络设备能够正常运行和合法用户的正常业务。并且该方案对现有设备和信令改动小,不会带来很多成本问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种设备到设备D2D用户安全注册实现方法,其特征在于,包括:
接收用户终端发送的注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID;
判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPSLayer ID是否匹配;
当均匹配时,将所述注册消息转发给ProSe服务器执行后续注册流程;
还包括:
接收用户终端发送的附着请求,根据所述附着请求对用户终端进行认证;
当认证通过时,为用户终端分配GUTI和EPS Layer ID;
向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息;
其中,没有签署D2D业务的用户终端不会有EPS Layer ID。
2.如权利要求1所述的方法,其特征在于,所述接收用户终端发送的注册消息,具体包括:
MME接收基站eNodeB转发的用户终端发送的所述注册消息。
3.如权利要求2所述的方法,其特征在于,还包括:
eNodeB接收到用户终端发送的所述注册消息后,判断注册消息中是否包括EPS LayerID;当确定接收到的注册消息中包括EPS Layer ID时转发给MME;或
MME接收到用户终端发送的所述注册消息后,判断注册消息中是否包括EPS Layer ID;当确定接收到的注册消息中包括EPS Layer ID时,再执行判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配的步骤。
4.如权利要求1所述的方法,其特征在于,还包括:
当用户终端附着成功后,接收用户终端发送的EPS Layer ID请求,为用户终端分配EPSLayer ID;
向用户终端发送携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
5.如权利要求1或4所述的方法,其特征在于,还包括:
为用户终端重新分配GUTI和EPS Layer ID,向用户终端发送携带重新分配的GUTI和EPS Layer ID的重分配命令;或
为用户终端重新分配EPS Layer ID,向用户终端发送携带重新分配的EPS Layer ID的重分配命令。
6.一种D2D用户安全注册实现装置,其特征在于,包括:
接收模块,用于接收用户终端发送的注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID;
判断模块,用于判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配;
执行模块,用于当判断模块的判断结果为均匹配时,将所述注册消息转发给Prose服务器执行后续注册流程;
还包括:附着处理模块;
所述附着处理模块,用于接收用户终端发送的附着请求,根据所述附着请求对用户终端进行认证;当认证通过时,为用户终端分配GUTI和EPS Layer ID;向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息;其中,没有签署D2D业务的用户终端不会有EPSLayer ID。
7.如权利要求6所述的装置,其特征在于,所述接收模块,具体用于:
接收基站eNodeB转发的用户终端发送的所述注册消息;或
接收eNodeB确定接收到的用户终端发送的注册消息中包括EPS Layer ID时转发的所述注册消息。
8.如权利要求7所述的装置,其特征在于,所述接收模块,还用于:
接收到用户终端发送的所述注册消息后,判断注册消息中是否包括EPS Layer ID;当确定接收到的注册消息中包括EPS Layer ID时,再执行判断接收到的所述注册消息中包括的所述GUTI、EPS Layer ID与存储的GUTI、EPS Layer ID是否匹配的步骤。
9.如权利要求6所述的装置,其特征在于,所述附着处理模块,用于当用户终端附着成功后,接收用户终端发送的EPS Layer ID请求,为用户终端分配EPS Layer ID;向用户终端发送携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
10.如权利要求6或9所述的装置,其特征在于,所述附着处理模块,还用于:
为用户终端重新分配GUTI和EPS Layer ID,向用户终端发送携带重新分配的GUTI和EPS Layer ID的重分配命令;或
为用户终端重新分配EPS Layer ID,向用户终端发送携带重新分配的EPS Layer ID的重分配命令。
11.一种用户终端,其特征在于,包括:
生成模块,用于生成注册消息,所述注册消息中携带网络侧分配的全球唯一临时标识GUTI和演进分组系统管理层标识EPS Layer ID,其中,网络侧接收用户终端发送的附着请求,根据所述附着请求对用户终端进行认证;当认证通过时,为用户终端分配GUTI和EPSLayer ID;向用户终端发送携带分配的GUTI和EPS Layer ID的附着接受消息,其中,没有签署D2D业务的用户终端不会有EPS Layer ID;
发送模块,用于发送生成的注册消息给基站eNodeB。
12.如权利要求11所述的用户终端,其特征在于,还包括:接收模块;
所述生成模块,还用于生成附着请求;
所述发送模块,还用于发送附着请求给移动性管理实体MME;
所述接收模块,用于接收MME返回的的携带分配的GUTI和EPS Layer ID的附着接受消息。
13.如权利要求11所述的用户终端,其特征在于,还包括:接收模块;
所述生成模块,还用于生成EPS Layer ID请求;
所述发送模块,还用于当附着成功后发送EPS Layer ID请求给MME;
所述接收模块,用于接收MME返回的携带分配的GUTI的附着接受消息,以及接收MME返回的携带分配的EPS Layer ID的EPS Layer ID请求响应消息。
14.如权利要求12或13所述的用户终端,其特征在于,所述接收模块,还用于:
接收MME发送的携带重新分配的GUTI和EPS Layer ID的重分配命令;或
接收MME发送的携带重新分配的EPS Layer ID的重分配命令。
15.一种D2D用户安全注册实现系统,其特征在于,包括:如权利要求11-14任一所述的用户终端、移动性管理实体MME和Prose服务器;
所述MME中包括如权利要求6-10任一所述的D2D用户安全注册实现装置。
16.如权利要求15所述的系统,其特征在于,还包括:
基站eNodeB,用于接收用户终端发送的注册消息并转发给MME;或接收到用户终端发送的所述注册消息,判断注册消息中是否包括EPS Layer ID,当确定接收到的注册消息中包括EPS Layer ID时转发给MME。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410012286.5A CN104780533B (zh) | 2014-01-10 | 2014-01-10 | D2d用户安全注册实现方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410012286.5A CN104780533B (zh) | 2014-01-10 | 2014-01-10 | D2d用户安全注册实现方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104780533A CN104780533A (zh) | 2015-07-15 |
| CN104780533B true CN104780533B (zh) | 2018-09-04 |
Family
ID=53621702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410012286.5A Active CN104780533B (zh) | 2014-01-10 | 2014-01-10 | D2d用户安全注册实现方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104780533B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111260304B (zh) * | 2019-11-26 | 2024-03-08 | 上海赛连信息科技有限公司 | 一种试用账户管理和发放方法和装置 |
| CN114828011B (zh) * | 2022-04-26 | 2024-11-12 | 中国电信股份有限公司 | 接入控制方法、装置和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039463A (zh) * | 2007-04-30 | 2007-09-19 | 中兴通讯股份有限公司 | 基于点对点短消息的短消息转发计数系统及计数方法 |
| CN102282901A (zh) * | 2009-01-16 | 2011-12-14 | 诺基亚公司 | 在蜂窝网络中实现装置到装置通信 |
| CN103209412A (zh) * | 2012-01-17 | 2013-07-17 | 华为技术有限公司 | 建立设备到设备连接的方法、设备和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8666403B2 (en) * | 2009-10-23 | 2014-03-04 | Nokia Solutions And Networks Oy | Systems, methods, and apparatuses for facilitating device-to-device connection establishment |
-
2014
- 2014-01-10 CN CN201410012286.5A patent/CN104780533B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039463A (zh) * | 2007-04-30 | 2007-09-19 | 中兴通讯股份有限公司 | 基于点对点短消息的短消息转发计数系统及计数方法 |
| CN102282901A (zh) * | 2009-01-16 | 2011-12-14 | 诺基亚公司 | 在蜂窝网络中实现装置到装置通信 |
| CN103209412A (zh) * | 2012-01-17 | 2013-07-17 | 华为技术有限公司 | 建立设备到设备连接的方法、设备和系统 |
Non-Patent Citations (1)
| Title |
|---|
| Study on architecture enhancements to support Proximity-based Services (ProSe);3rd generation partnership project;《3GPP TR 23.703 V1.0.0》;20131205;第67-69页、第224-229页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104780533A (zh) | 2015-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2023513583A (ja) | プライベートネットワークにおける緊急サービスを処理するための方法、装置、およびコンピュータプログラム製品 | |
| EP3395091B1 (en) | Authentication and key agreement in communication network | |
| CN105706390B (zh) | 在无线通信网络中执行设备到设备通信的方法和装置 | |
| EP3713271B1 (en) | Method and device for requesting connection recovery | |
| CN104104516B (zh) | 一种Portal认证方法和设备 | |
| US11246033B2 (en) | Authentication method, and related device and system | |
| US20200228543A1 (en) | Secure group creation in proximity based service communication | |
| US20180167913A1 (en) | Communication method and related apparatus | |
| JP6279821B2 (ja) | ワイヤレス通信においてメッセージを認証すること | |
| JP2016538770A (ja) | 統合されたメッシュ認証および関連付けのためのシステムおよび方法 | |
| CN108701278B (zh) | 用于经由第二运营商网络向连接到第一运营商网络的用户设备提供服务的方法 | |
| WO2018205148A1 (zh) | 一种数据包校验方法及设备 | |
| WO2017167102A1 (zh) | 消息完整性认证信息的生成和验证方法、装置及验证系统 | |
| EP3275118A1 (en) | Asset authentication in a dynamic, proximity-based network of communication devices | |
| CN109803456B (zh) | 一种请求恢复连接的方法及装置 | |
| CN104780533B (zh) | D2d用户安全注册实现方法、系统及装置 | |
| CN104661218A (zh) | 基站及其使用者设备认证方法 | |
| WO2018054272A1 (zh) | 数据的发送方法和装置、计算机存储介质 | |
| CN105592433B (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
| EP3028429B1 (en) | Local communication interception | |
| WO2014047923A1 (zh) | 接入网络的方法和装置 | |
| CN103517267B (zh) | 确定实际码号的系统、方法及设备 | |
| US20240380730A1 (en) | Enabling distributed non-access stratum terminations | |
| CN108540493A (zh) | 认证方法、用户设备、网络实体以及业务侧服务器 | |
| KR20230021616A (ko) | 4g 또는 5g 네트워크에서의 공격들에 대해 강화된 사용자 장비 보안 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |