CN109803260B - 拒绝接入方法、装置及系统 - Google Patents
拒绝接入方法、装置及系统 Download PDFInfo
- Publication number
- CN109803260B CN109803260B CN201711144738.5A CN201711144738A CN109803260B CN 109803260 B CN109803260 B CN 109803260B CN 201711144738 A CN201711144738 A CN 201711144738A CN 109803260 B CN109803260 B CN 109803260B
- Authority
- CN
- China
- Prior art keywords
- access
- message
- base station
- terminal
- check value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/18—Management of setup rejection or failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
- H04W48/06—Access restriction performed under specific conditions based on traffic conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/19—Connection re-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/20—Interfaces between hierarchically similar devices between access points
Abstract
本发明提供了一种拒绝接入方法、装置及系统,其中,该方法包括:第一基站接收终端的接入请求;所述第一基站向所述终端发送拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。通过本发明,解决了相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种拒绝接入方法、装置及系统。
背景技术
第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)提出了一种拒绝非激活态终端接入的方案,如图1所示,图1为本发明相关技术中拒绝接入的流程示意图,其中,基站系统用于与终端建立无线连接,从而使得终端可以接入移动网络,该方案的流程包括如下步骤:
步骤101:终端UE曾通过A基站系统(比如gNB,或eNB1)接入无线移动网络,A基站系统保留有UE相关的安全信息,包括密钥,而后UE进入非激活状态,在该状态下,UE和A基站系统仍旧会保留通讯用的信息,包括安全信息,但都将无线连接资源释放;
步骤102:终端某个时候希望重新恢复接入移动网络,但UE可能移动到了B基站系统的覆盖之下,UE向B基站系统发送恢复接入请求,比如发送RRC Resume Request消息;
步骤103:B基站系统接收到恢复接入请求,希望终端在等待一段时间后再尝试重新恢复接入,于是向UE发送拒绝接入消息,比如发送Reject消息。
相关技术中,如果由于Reject消息没有任何安全保护,非法基站也可以发送拒绝接入消息给终端,从而使终端始终无法接入网络,甚至非法基站通过发送很短的等待尝试时间信息,使得终端频繁发送恢复接入请求并被拒绝,导致终端电力耗尽。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种拒绝接入方法、装置及系统,以至少解决相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题。
根据本发明的一个实施例,提供了一种拒绝接入方法,包括:第一基站接收终端的接入请求;所述第一基站向所述终端发送拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,在所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:所述第一基站向第二基站发送请求消息,其中,所述请求消息携带所述拒绝接入消息的部分或全部内容;
所述第一基站接收所述第二基站反馈的响应消息,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
可选地,在所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:所述第一基站向第二基站发送安全信息请求;
所述第一基站接收所述第二基站反馈的安全信息响应,其中,所述安全信息响应携带所述密钥;
所述第一基站根据所述密钥和所述拒绝接入消息的部分或全部内容生成所述校验值。
可选地,所述第一基站向所述终端发送拒绝接入消息包括:在所述第一基站具备以下条件至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端大于第二阈值。
可选地,所述第二基站在所述终端向所述第一基站发送所述接入请求之前,释放与所述终端的连接。
根据本发明的一个实施例,提供了另一种拒绝接入方法,包括:终端向第一基站发送接入请求;所述终端接收所述第一基站反馈的拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,在所述终端接收所述第一基站反馈的拒绝接入消息之后,所述终端根据所述密钥和所述拒绝接入消息的部分内容或全部内容计算得到校验值;在计算得到的校验值与接收到的校验值相同时,接受所述拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃所述拒绝接入消息。
根据本发明的一个实施例,提供了又一种拒绝接入方法,包括:第二基站接收来自第一基站的针对终端的请求消息;所述第二基站向所述第一基站发送响应消息;其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
可选地,所述第二基站在接收来自所述第一基站的所述请求消息之前,释放与所述终端的连接。
根据本发明的另一个实施例,提供了一种拒绝接入装置,应用在第一基站,包括:第一接收模块,用于接收终端的接入请求;第一发送模块,用于向所述终端发送拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,所述装置还包括:第二发送模块,用于在所述第一发送模块向所述终端发送拒绝接入消息之前,向第二基站发送请求消息,其中,所述请求消息携带所述拒绝接入消息的部分或全部内容;第二接收模块,用于接收所述第二基站反馈的响应消息,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
可选地,所述装置还包括:第三发送模块,用于在所述第一发送模块向所述终端发送拒绝接入消息之前,向第二基站发送安全信息请求;第三接收模块,用于接收所述第二基站反馈的安全信息响应,其中,所述安全信息响应携带所述密钥;生成模块,用于根据所述密钥和所述拒绝接入消息的部分或全部内容生成所述校验值。
可选地,所述第一发送模块包括:发送单元,用于在所述第一基站具备以下条件至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端大于第二阈值。
根据本发明的另一个实施例,提供了一种拒绝接入装置,应用在终端,包括:发送模块,用于向第一基站发送接入请求;接收模块,用于接收所述第一基站反馈的拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,所述装置还包括:计算模块,用于在所述接收模块接收所述第一基站反馈的拒绝接入消息之后,根据所述密钥和所述拒绝接入消息的部分内容或全部内容计算得到校验值;
处理模块,用于在计算得到的校验值与接收到的校验值相同时,接受所述拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃所述拒绝接入消息。
根据本发明的另一个实施例,提供了一种拒绝接入装置,应用在第二基站,包括:接收模块,用于接收来自第一基站的针对终端的请求消息;发送模块,用于向所述第一基站发送响应消息;其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
根据本发明的又一个实施例,提供了一种拒绝接入系统,包括第一基站、终端,所述第一基站包括:第一接收模块,用于接收终端的接入请求;第一发送模块,用于向所述终端发送拒绝接入消息;所述终端包括:第二发送模块,用于向第一基站发送接入请求;第二接收模块,用于接收所述第一基站反馈的拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,所述系统还包括第二基站,其中,所述第二基站包括:第三接收模块,用于接收来自第一基站的针对终端的请求消息;第三发送模块,用于向所述第一基站发送响应消息;其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
通过本发明,通过在拒绝接入消息中携带基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值,终端在接收到拒绝接入消息可以使用校验值进行合法性校验,以确定发送基站的合法性,解决了相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题,提高了基站与终端间交互的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明相关技术中拒绝接入的流程示意图;
图2是根据本发明实施例的一种拒绝接入方法的流程图;
图3是根据本发明实施例的另一种拒绝接入方法的流程图;
图4是根据本发明实施例的一种拒绝接入装置的结构框图;
图5是根据本发明实施例的另一种拒绝接入装置的结构框图;
图6是根据本发明实施例的拒绝接入系统的结构框图;
图7为本发明实施例的拒绝接入的流程示意图一;
图8为本发明实施例的拒绝接入的流程示意图二;
图9为本发明实施例的拒绝接入的流程示意图三。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例运行的网络架构包括:基站、终端,其中,基站与终端之间进行交互。
在本实施例中提供了一种运行于上述网络架构的拒绝接入方法,图2是根据本发明实施例的一种拒绝接入方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,第一基站接收终端的接入请求;
步骤S204,第一基站向终端发送拒绝接入消息;拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
通过上述步骤,通过在拒绝接入消息中携带拒绝接入消息的部分内容或全部内容生成的校验值,终端在接收到拒绝接入消息可以使用校验值进行合法性校验,以确定发送基站的合法性,解决了相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题,提高了基站与终端间交互的安全性。
可选地,上述步骤的执行主体可以为基站,如gNB,eNB,NB等,但不限于此。
可选的,拒绝接入请求还可以携带:用于指示所述终端下次尝试接入的等待时间。
可选地,本实施例的方法还包括获取该校验值,可以通过以下方式获取和得到。
在第一基站向终端发送拒绝接入消息之前,方法还包括:
S11,第一基站向第二基站发送请求消息,其中,请求消息携带拒绝接入消息的部分或全部内容;
S12,第一基站接收第二基站反馈的响应消息,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。生成校验值的方式可以有多种,比如以密钥和等待尝试时间为参数计算HMAC-SHA-256函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值。
作为另一种方式,在第一基站向终端发送拒绝接入消息之前,方法还包括:
S21,第一基站向第二基站发送安全信息请求;
S22,第一基站接收第二基站反馈的安全信息响应,其中,安全信息响应携带密钥;
S23,第一基站根据密钥和拒绝接入消息的部分或全部内容生成校验值。生成校验值(也叫令牌)的方式可以有多种,比如以密钥和等待尝试时间为参数计算哈希消息认证码-安全散列算法-256(Hash-based Message Authentication Code-Secure HashAlgorithm-256,简称为HMAC-SHA-256)函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值,这类Hash算法可将输入值映射为一个固定长度的值,且发生冲突的可能性非常低,即不同输入得到相同输出的可能性非常低,从而使得通过比较输出值可以判断输入值是否相同。
可选的,在第一基站当前拥塞系数大于第一阈值,和/或,当前已接入的终端大于第二阈值时,向终端发送拒绝接入消息。
在本实施例中,第二基站在终端向第一基站发送接入请求之前,释放与终端的连接。在终端接入到第二基站时,第二基站保存了终端的相关信息,如密钥等。
在本实施例中提供了另一种运行于上述网络架构的拒绝接入方法,图3是根据本发明实施例的另一种拒绝接入方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,终端向第一基站发送接入请求;
步骤S304,终端接收第一基站反馈的拒绝接入消息;其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,在终端接收第一基站反馈的拒绝接入消息之后,方法还包括:
S31,终端根据密钥和拒绝接入消息的部分内容或全部内容计算得到校验值;
S32,在计算得到的校验值与接收到的校验值相同时,接受拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃拒绝接入消息。密钥可以预先预置在终端内。
本实施例还提供了一种拒绝接入方法,包括:第二基站接收来自第一基站的针对终端的请求消息;第二基站向第一基站发送响应消息;其中,请求消息携带:针对终端的拒绝接入消息的部分或全部内容,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
可选的,第二基站在接收来自第一基站的请求消息之前,释放与终端的连接。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种拒绝接入装置,系统,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的一种拒绝接入装置的结构框图,应用在第一基站,如图4所示,该装置包括:
第一接收模块40,用于接收终端的接入请求;
第一发送模块42,用于向终端发送拒绝接入消息;
其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,装置还包括:第二发送模块,用于在第一发送模块向终端发送拒绝接入消息之前,向第二基站发送请求消息,其中,请求消息携带拒绝接入消息的部分或全部内容;
第二接收模块,用于接收第二基站反馈的响应消息,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
可选的,装置还包括:第三发送模块,用于在第一发送模块向终端发送拒绝接入消息之前,向第二基站发送安全信息请求;
第三接收模块,用于接收第二基站反馈的安全信息响应,其中,安全信息响应携带密钥;
生成模块,用于根据密钥和拒绝接入消息的部分或全部内容生成校验值。
可选的,第一发送模块包括:发送单元,用于在第一基站具备以下条件至少之一时,向终端发送拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端大于第二阈值。
图5是根据本发明实施例的另一种拒绝接入装置的结构框图,应用在终端,包括:
发送模块50,用于向第一基站发送接入请求;
接收模块52,用于接收第一基站反馈的拒绝接入消息;
其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
装置还包括:计算模块,用于在接收模块接收第一基站反馈的拒绝接入消息之后,根据密钥和拒绝接入消息的部分内容或全部内容计算得到校验值;
处理模块,用于在计算得到的校验值与接收到的校验值相同时,接受拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃拒绝接入消息。
本实施例还提供了一种拒绝接入装置,应用在第二基站,包括:接收模块,用于接收来自第一基站的针对终端的请求消息;发送模块,用于向第一基站发送响应消息;其中,请求消息携带:针对终端的拒绝接入消息的部分或全部内容,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
图6是根据本发明实施例的拒绝接入系统的结构框图,包括第一基站60、终端62。
第一基站60包括:
第一接收模块600,用于接收终端的接入请求;
第一发送模块602,用于向终端发送拒绝接入消息;
终端62包括:
第二发送模块620,用于向第一基站发送接入请求;
第二接收模块622,用于接收第一基站反馈的拒绝接入消息;
其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,系统还包括第二基站,其中,第二基站包括:第三接收模块,用于接收来自第一基站的针对终端的请求消息;第三发送模块,用于向第一基站发送响应消息;其中,请求消息携带:针对终端的拒绝接入消息的部分或全部内容,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
第一基站60和终端62还可以包括上述内容所包括的一个或多个装置。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本实施例是根据本申请的可选实施例,用于结合具体的实施方式进行详细说明。
本实施例提供了一种拒绝非激活态终端接入的方法及装置。
实施方式一
图7为本发明实施例的拒绝接入的流程示意图一,如图7所示,该流程包括:
步骤201~202:与图1的步骤101~102相同;
步骤203:B基站系统接收到恢复接入请求,由于自身拥塞等原因,希望终端在等待一段时间后再尝试重新恢复接入,于是向A基站系统发送无法服务请求,比如发送ServiceDeny Request消息,可以携带等待尝试时间信息,比如wait timer;
步骤204:A基站系统可确认等待尝试时间信息,等待尝试时间信息可以是接收自B基站系统的,也可是A基站系统自己生成的,A基站系统基于与UE相关的密钥及等待尝试时间计算令牌,比如以密钥和等待尝试时间为参数计算HMAC-SHA-256函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值;
步骤205,A基站系统向B基站系统发送无法服务响应,比如发送Service DenyResponse消息,携带等待尝试时间信息和计算到的令牌;
步骤206:B基站系统向UE发送拒绝接入消息,比如发送Reject消息,携带收到的等待尝试时间信息和令牌,终端使用相同的计算方法计算令牌,并比较计算的令牌和收到的令牌是否相同,如果相同则接受该拒绝接入消息,否则不接受,比如丢弃该消息。
实施方式二
图8为本发明实施例的拒绝接入的流程示意图二,如图8所示,该流程包括:
步骤301~302:与图1的步骤101~102相同;
步骤303:B基站系统接收到恢复接入请求,由于自身拥塞等原因,希望终端在等待一段时间后再尝试重新恢复接入,于是向A基站系统发送安全信息请求,比如发送SecurityInfo Request消息;
步骤304,A基站系统向B基站系统发送安全信息响应,比如发送Security InfoResponse消息,携带UE相关的安全信息,包括密钥;
步骤305:B基站系统基于与UE相关的密钥及等待尝试时间计算令牌,比如以密钥和等待尝试时间为参数计算HMAC-SHA-256函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值;
步骤306:B基站系统向UE发送拒绝接入消息,比如发送Reject消息,携带等待尝试时间信息和令牌,终端使用相同的计算方法计算令牌,并比较计算的令牌和收到的令牌是否相同,如果相同则接受该拒绝接入消息,否则不接受,比如丢弃该消息。
实施方式三
图9为本发明实施例的拒绝接入的流程示意图三,如图9所示,该流程包括:
步骤401~402:与图1的步骤101~102相同;
步骤403:B基站系统接收到恢复接入请求,由于自身拥塞等原因,希望终端在等待一段时间后再尝试重新恢复接入,于是向A基站系统发送转发请求,比如发送ForwardRequest消息,可以携带B基站要发送给UE的拒绝接入消息,比如Reject消息,该拒绝接入消息可以携带等待尝试时间信息,比如wait timer;
步骤404:A基站系统可确认拒绝UE的接入,拒绝接入消息可以是接收自B基站系统的,也可是A基站系统自己生成的,A基站系统基于与UE相关的密钥及拒绝接入消息计算消息校验码,比如以密钥和拒绝接入消息的内容为参数计算HMAC-SHA-256函数的值;
步骤405,A基站系统向B基站系统发送转发响应,比如发送Forward Response消息,携带处理过的拒绝接入消息,即该拒绝接入消息携带消息校验码;
步骤406:B基站系统向UE发送拒绝接入消息,终端使用A基站相同的计算方法计算消息校验码,并比较计算的消息校验码和收到的消息校验码是否相同,如果相同则接受该拒绝接入消息,否则不接受,比如丢弃该消息。
实施例4
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项所述的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,接收终端的接入请求;
S2,向终端发送拒绝接入消息;其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的实施例还提供了一种处理器,该处理器用于运行程序,其中,该程序运行时执行上述任一项方法中的步骤。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,接收终端的接入请求;
S2,向终端发送拒绝接入消息;其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种拒绝接入的方法,包括:
由第一基站接收终端的恢复接入请求;
由所述第一基站向所述终端发送拒绝接入消息,所述拒绝接入消息包括:
校验值,所述校验值由不同于所述第一基站的第二基站基于所述终端的密钥和所述拒绝接入消息生成,所述校验值用于所述终端确定是否丢弃所述拒绝接入消息,以及
等待时间,所述等待时间指示所述终端发送另一个恢复接入请求的时间。
2.根据权利要求1所述的方法,其特征在于,在由所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:
由所述第一基站向所述第二基站发送请求消息,所述请求消息包括所述拒绝接入消息的部分内容或全部内容;
由所述第一基站接收来自所述第二基站的响应消息,所述响应消息包括基于所述密钥和所述拒绝接入消息生成的所述校验值。
3.根据权利要求1所述的方法,其特征在于,由所述第一基站向所述终端发送拒绝接入消息,包括:
当满足以下至少之一时,由所述第一基站向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,或当前已接入的终端的数量大于第二阈值。
4.一种拒绝接入的方法,包括:
由终端向第一基站发送恢复接入请求;
由所述终端接收来自所述第一基站的拒绝接入消息,所述拒绝接入消息包括:
校验值,所述校验值由不同于所述第一基站的第二基站基于所述终端的密钥和所述拒绝接入消息生成,以及
等待时间,所述等待时间指示所述终端发送另一个恢复接入请求的时间;
根据所述密钥和所述拒绝接入消息,由所述终端确定另一个校验值;以及
当所述另一个校验值与所接收到的校验值相同时,接受所述拒绝接入消息,或
当所述另一个校验值与所接收到的校验值不同时,丢弃所述拒绝接入消息。
5.一种拒绝接入的装置,包括:
至少一个处理器,所述至少一个处理器被配置为:
接收终端的恢复接入请求;
向所述终端发送拒绝接入消息,所述拒绝接入消息包括:
校验值,所述校验值由不同于所述装置的基站基于所述终端的密钥和所述拒绝接入消息生成,所述校验值用于所述终端确定是否丢弃所述拒绝接入消息,以及
等待时间,所述等待时间指示所述终端发送另一个恢复接入请求的时间。
6.根据权利要求5所述的装置,其特征在于,所述至少一个处理器被配置为:在向所述终端发送所述拒绝接入消息之前,
向所述基站发送请求消息,所述请求消息包括所述拒绝接入消息的部分或全部内容;以及
接收来自所述基站的响应消息,所述响应消息包括基于所述密钥和所述拒绝接入消息生成的所述校验值。
7.根据权利要求5所述的装置,其特征在于,所述至少一个处理器被配置为通过以下方式向所述终端发送所述拒绝接入消息:
当满足以下至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,或当前已接入的终端的数量大于第二阈值。
8.一种拒绝接入的装置,包括:
至少一个处理器,所述至少一个处理器被配置为:
向第一基站发送恢复接入请求;
响应于所述恢复接入请求,接收来自所述第一基站的拒绝接入消息,所述拒绝接入消息包括:
校验值,所述校验值由不同于所述第一基站的第二基站基于终端的密钥和所述拒绝接入消息生成,以及
等待时间,所述等待时间指示所述终端发送另一个恢复接入请求的时间;
根据所述密钥和所述拒绝接入消息确定另一个校验值;以及
当所述另一个校验值与所接收到的校验值相同时,接受所述拒绝接入消息,或
当所述另一个校验值与所接收到的校验值不同时,丢弃所述拒绝接入消息。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求1至4中任一项所述的方法。
Priority Applications (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210083511.9A CN114501448A (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
CN201711144738.5A CN109803260B (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
PCT/CN2018/099811 WO2019095746A1 (zh) | 2017-11-17 | 2018-08-10 | 拒绝接入方法、装置及系统、存储介质和处理器 |
RU2020119750A RU2746890C1 (ru) | 2017-11-17 | 2018-08-10 | Способ, устройство и система отклонения доступа, носитель информации и процессор |
EP18877661.1A EP3713273A4 (en) | 2017-11-17 | 2018-08-10 | METHOD, DEVICE AND SYSTEM FOR REJECTING ACCESS, AND STORAGE MEDIUM AND PROCESSOR |
KR1020207017196A KR102344352B1 (ko) | 2017-11-17 | 2018-08-10 | 액세스 거부 방법, 장치, 및 시스템, 및 저장 매체 및 프로세서 |
JP2020526952A JP7045455B2 (ja) | 2017-11-17 | 2018-08-10 | アクセス拒否方法、装置、およびシステム、ならびに記憶媒体およびプロ |
CA3082504A CA3082504C (en) | 2017-11-17 | 2018-08-10 | Access rejection method, apparatus and system, and storage medium and processor |
US16/874,515 US11516727B2 (en) | 2017-11-17 | 2020-05-14 | Access rejection method, apparatus and system, and storage medium and processor |
US17/994,733 US11716673B2 (en) | 2017-11-17 | 2022-11-28 | Access rejection method, apparatus and system, and storage medium and processor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711144738.5A CN109803260B (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210083511.9A Division CN114501448A (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109803260A CN109803260A (zh) | 2019-05-24 |
CN109803260B true CN109803260B (zh) | 2022-01-11 |
Family
ID=66540026
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210083511.9A Pending CN114501448A (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
CN201711144738.5A Active CN109803260B (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210083511.9A Pending CN114501448A (zh) | 2017-11-17 | 2017-11-17 | 拒绝接入方法、装置及系统 |
Country Status (8)
Country | Link |
---|---|
US (2) | US11516727B2 (zh) |
EP (1) | EP3713273A4 (zh) |
JP (1) | JP7045455B2 (zh) |
KR (1) | KR102344352B1 (zh) |
CN (2) | CN114501448A (zh) |
CA (1) | CA3082504C (zh) |
RU (1) | RU2746890C1 (zh) |
WO (1) | WO2019095746A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113811022B (zh) * | 2021-08-12 | 2024-03-12 | 天翼物联科技有限公司 | 异常终端拒绝方法、系统、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022330A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 提高密钥管理授权消息安全性的方法和模块 |
CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
CN103155614A (zh) * | 2010-10-22 | 2013-06-12 | 高通股份有限公司 | 漫游网络中接入终端身份的认证 |
CN103945358A (zh) * | 2014-04-17 | 2014-07-23 | 福建三元达通讯股份有限公司 | 一种私有小区安全接入的方法、私有小区、用户终端及系统 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2340344A (en) * | 1998-07-29 | 2000-02-16 | Nokia Mobile Phones Ltd | Bilateral Data Transfer Verification for Programming a Cellular Phone |
KR100689508B1 (ko) * | 2003-09-04 | 2007-03-02 | 삼성전자주식회사 | 통신 시스템에서 핸드오버 수행 방법 |
KR20080081753A (ko) * | 2007-03-06 | 2008-09-10 | 한국전자통신연구원 | 기지국 제어 중심의 멀티홉 릴레이 망에서 트랜스페어런트rs간 핸드오버 절차 |
KR100981965B1 (ko) * | 2007-11-06 | 2010-09-13 | 한국전자통신연구원 | 이동통신 시스템에서의 인트라 핸드오버 방법 |
US8086267B2 (en) * | 2009-02-19 | 2011-12-27 | Ford Global Technologies, Llc | System and method for provisioning a wireless networking connection |
EP2966888A1 (en) * | 2009-03-05 | 2016-01-13 | Interdigital Patent Holdings, Inc. | Method and apparatus for h(e)nb integrity verification and validation |
WO2010150052A2 (en) * | 2009-06-24 | 2010-12-29 | Nokia Corporation | Methods and apparatuses for avoiding denial of service attacks by rogue access points |
EP3570628B1 (en) * | 2011-08-12 | 2020-12-30 | BlackBerry Limited | Handling a connection in a wireless communication system |
CN102595561B (zh) * | 2012-03-30 | 2015-04-29 | 华为技术有限公司 | 无线资源控制连接重建的方法及终端 |
WO2014054916A2 (ko) * | 2012-10-04 | 2014-04-10 | 엘지전자 주식회사 | 무선 통신 시스템에서 지연 용인 정보 핸들링을 기반으로 하는 운영 방법 및 이를 지원하는 장치 |
JP6218166B2 (ja) * | 2013-03-04 | 2017-10-25 | 国立研究開発法人情報通信研究機構 | 基地局間ハンドオーバ方法 |
CN104302011A (zh) * | 2013-07-16 | 2015-01-21 | 中兴通讯股份有限公司 | 一种无线资源控制连接重建立的方法、系统及装置 |
WO2016095139A1 (en) | 2014-12-17 | 2016-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for mobility management |
US10285060B2 (en) | 2015-10-30 | 2019-05-07 | Alcatel-Lucent Usa Inc. | Preventing attacks from false base stations |
EP3193557B1 (en) | 2016-01-12 | 2020-04-22 | HTC Corporation | Device and method of handling radio resource control connection |
US10772033B2 (en) * | 2016-01-27 | 2020-09-08 | Mediatek Singapore Pte. Ltd. | Avoiding reselection of a fake cell in a wireless communication network |
US10873464B2 (en) * | 2016-03-10 | 2020-12-22 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
US20170332436A1 (en) * | 2016-05-13 | 2017-11-16 | Htc Corporation | Device and Method Handling a Radio Resource Control Connection Resume Procedure |
US10367677B2 (en) * | 2016-05-13 | 2019-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Network architecture, methods, and devices for a wireless communications network |
US10349318B2 (en) * | 2016-07-13 | 2019-07-09 | Samsung Electronics Co., Ltd. | Access control method and apparatus for use in mobile communication |
KR102358095B1 (ko) * | 2016-08-11 | 2022-02-04 | 삼성전자 주식회사 | 저전력 rrc 운용 방법 및 장치 |
KR20180035638A (ko) * | 2016-09-29 | 2018-04-06 | 삼성전자주식회사 | RRC Inactive 및 active 상태에서 data 전송 결정 및 방법 및 장치 |
WO2018131956A1 (en) * | 2017-01-16 | 2018-07-19 | Samsung Electronics Co., Ltd. | Method and apparatus for communication in wireless mobile communication system |
KR102222830B1 (ko) * | 2017-03-21 | 2021-03-04 | 삼성전자 주식회사 | 이동통신에서 연결 모드의 비연속 수신 모드를 지원하는 방법 및 장치 |
EP3603122A4 (en) * | 2017-03-23 | 2020-10-21 | Nokia Technologies Oy | MOBILITY SUPPORT DURING A STATE OF LOW ACTIVITY |
CN107071775B (zh) * | 2017-05-15 | 2020-10-09 | 奇酷互联网络科技(深圳)有限公司 | 移动终端及其重定向接入基站的方法和装置 |
US11564097B2 (en) * | 2017-06-14 | 2023-01-24 | Samsung Electronics Co., Ltd. | Method and user equipment for handling of integrity check failures of PDCP PDUS |
CN110999523A (zh) * | 2017-06-14 | 2020-04-10 | 三星电子株式会社 | 重新连接与无线接入网节点的无线资源控制连接的方法和用户设备 |
CN109803258B (zh) * | 2017-11-16 | 2021-10-19 | 华为技术有限公司 | 一种请求恢复连接的方法及装置 |
US11153792B2 (en) * | 2018-04-18 | 2021-10-19 | Qualcomm Incorporated | Signaling for inactive mobility |
-
2017
- 2017-11-17 CN CN202210083511.9A patent/CN114501448A/zh active Pending
- 2017-11-17 CN CN201711144738.5A patent/CN109803260B/zh active Active
-
2018
- 2018-08-10 RU RU2020119750A patent/RU2746890C1/ru active
- 2018-08-10 WO PCT/CN2018/099811 patent/WO2019095746A1/zh unknown
- 2018-08-10 JP JP2020526952A patent/JP7045455B2/ja active Active
- 2018-08-10 EP EP18877661.1A patent/EP3713273A4/en active Pending
- 2018-08-10 KR KR1020207017196A patent/KR102344352B1/ko active IP Right Grant
- 2018-08-10 CA CA3082504A patent/CA3082504C/en active Active
-
2020
- 2020-05-14 US US16/874,515 patent/US11516727B2/en active Active
-
2022
- 2022-11-28 US US17/994,733 patent/US11716673B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101022330A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 提高密钥管理授权消息安全性的方法和模块 |
CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
CN103155614A (zh) * | 2010-10-22 | 2013-06-12 | 高通股份有限公司 | 漫游网络中接入终端身份的认证 |
CN103945358A (zh) * | 2014-04-17 | 2014-07-23 | 福建三元达通讯股份有限公司 | 一种私有小区安全接入的方法、私有小区、用户终端及系统 |
Non-Patent Citations (1)
Title |
---|
LS on security during Resume reject in INACTIVE state in NR;New Radio (NR) Access Technology;《3GPP TSG-RAN WG2 Meeting #99bis》;20171013;全文 * |
Also Published As
Publication number | Publication date |
---|---|
JP7045455B2 (ja) | 2022-03-31 |
CN109803260A (zh) | 2019-05-24 |
KR102344352B1 (ko) | 2021-12-28 |
US20200404575A1 (en) | 2020-12-24 |
EP3713273A1 (en) | 2020-09-23 |
US11716673B2 (en) | 2023-08-01 |
JP2021503809A (ja) | 2021-02-12 |
EP3713273A4 (en) | 2021-08-04 |
RU2746890C1 (ru) | 2021-04-21 |
WO2019095746A1 (zh) | 2019-05-23 |
CN114501448A (zh) | 2022-05-13 |
US20230093723A1 (en) | 2023-03-23 |
CA3082504A1 (en) | 2019-05-23 |
US11516727B2 (en) | 2022-11-29 |
KR20200087226A (ko) | 2020-07-20 |
CA3082504C (en) | 2022-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681546B2 (en) | Processing method for sim card equipped terminal access to 3GPP network and apparatus | |
CN102396203A (zh) | 根据通信网络中的认证过程的紧急呼叫处理 | |
US11706618B2 (en) | Data packet verification method and device | |
Pratas et al. | Massive machine-type communication (mMTC) access with integrated authentication | |
EP3284232B1 (en) | Wireless communications | |
CN112492590A (zh) | 一种通信方法及装置 | |
WO2016020012A1 (en) | Authentication procedure in a control node | |
US20170054642A1 (en) | Prioritising sip messages | |
US11716673B2 (en) | Access rejection method, apparatus and system, and storage medium and processor | |
WO2020221067A1 (zh) | 用于移动注册的方法和装置 | |
CN110754101B (zh) | 用于保护与用户设备相关联的订户信息的方法、系统和计算机可读存储介质 | |
WO2016087398A1 (en) | Methods, nodes and devices for ensuring security of service requests | |
CN110830421A (zh) | 数据传输方法和设备 | |
CN113709729B (zh) | 数据处理方法、装置、网络设备及终端 | |
CN112508482A (zh) | 基于区块链的物流快递签收管理方法、系统及存储介质 | |
CN108076460B (zh) | 一种进行鉴权的方法及终端 | |
CN105828330A (zh) | 一种接入方法及装置 | |
CN110418343A (zh) | 寻呼方法、网络设备及终端 | |
WO2016180145A1 (zh) | 一种无线网络鉴权方法及核心网网元、接入网网元、终端 | |
US20220217161A1 (en) | Counteractions against suspected identity imposture | |
CN109309667B (zh) | 接口调用的认证方法和装置,存储介质和电子设备 | |
CN115884187A (zh) | 消息传输方法及通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |