CN110324819A - 副卡终端的管理方法和管理服务器 - Google Patents

Abstract

本发明提供一种副卡终端的管理方法和管理服务器，属于通信技术领域，其可至少部分解决现有的副卡终端被盗时存在安全风险以及用户处理不便的问题。本发明的管理方法包括：判断副卡终端与主卡终端当前是否位于同一位置；若否，则获取主卡终端和副卡终端的历史访问IP地址记录，以得到历史访问信息；查询历史访问信息中是否存在副卡终端当前所访问的IP地址；若不存在，则对副卡终端的网络访问功能进行锁定，并向副卡终端发送安全验证请求；接收副卡终端发送的待验证信息，并对待验证信息进行安全验证；当待验证信息通过安全验证时，则解除对副卡终端的网络访问功能的锁定；当待验证信息未通过安全验证时，则维持对副卡终端的网络访问功能的锁定。

Description

副卡终端的管理方法和管理服务器

技术领域

本发明属于通信技术领域，具体涉及一种副卡终端的管理方法和一种副卡终端的管理服务器。

背景技术

通信运营商现已能够提供一号多终端的业务。例如手机作为主卡终端，智能手环作为副卡终端，手机和智能手环享用同一电话号码。具体实现形式可以是智能手环中设置嵌入式SIM卡(也称Embedded-SIM卡或者eSIM卡)。当然同一主卡终端也可以对应多个副卡终端。

若副卡终端被盗，现有的处理方法是主卡终端的用户拨打客服电话或者到营业厅对副卡终端进行挂失。如果用户没有察觉副卡终端丢失，将会给客户带来一定的安全风险，例如会泄漏个人隐私。故这种处理方法时效性差，安全性低。

发明内容

本发明至少部分解决现有的处理副卡终端被盗方式时效性差安全性低的问题，提供一种副卡终端的管理方法和管理服务器。

解决本发明技术问题所采用的技术方案是一种副卡终端的管理方法，副卡终端对应一主卡终端，该管理方法包括：

判断副卡终端与主卡终端当前是否位于同一位置；

若判断结果为否，则获取主卡终端和副卡终端的历史访问IP地址记录，以得到历史访问信息；

查询历史访问信息中是否存在副卡终端当前所访问的IP地址；

若不存在，则对副卡终端的网络访问功能进行锁定，并向副卡终端发送安全验证请求；

接收副卡终端发送的待验证信息，并对待验证信息进行安全验证；

当待验证信息通过安全验证时，则解除对副卡终端的网络访问功能的锁定；

当待验证信息未通过安全验证时，则维持对副卡终端的网络访问功能的锁定。

可选地，所述判断副卡终端与主卡终端当前是否位于同一位置包括判断副卡终端与主卡终端当前是否位于同一网络服务小区，如是则判定二者处于同一位置，若否则判定二者没有处于同一位置。

可选地，所述向副卡终端发送安全验证请求包括：

将安全验证请求进行封装，并发送至副卡终端所归属的呼叫会话控制功能实体，以供副卡终端所归属的呼叫会话控制功能实体对安全验证请求进行二次封装并经副卡终端所归属的多媒体电话应用服务器发送至副卡终端。

可选地，所述接收副卡终端发送的待验证信息包括：

经由呼叫会话控制功能实体接收183消息，并从183消息中解析出待验证信息。

可选地，所述对副卡终端的网络访问功能进行锁定包括：

向副卡终端所归属的呼叫会话控制功能实体发送锁定指令，以供呼叫会话控制功能实体通过应用服务器将锁定指令发送至副卡终端。

解决本发明技术问题所采用的技术方案是一种副卡终端的管理服务器，副卡终端对应一主卡终端，该管理服务器包括：

判断模块，用于判断副卡终端与主卡终端当前是否位于同一位置，若判断结果为否，则向查询模块发送查询指令；

IP地址记录模块，用于记录主卡终端和副卡终端所访问的IP地址；

查询模块，用于接收到查询指令后，从IP地址记录模块获取主卡终端和副卡终端的历史访问IP地址记录，以得到历史访问信息，查询历史访问信息中是否存在副卡终端当前所访问的IP地址，若不存在，则向锁定模块发送锁定指令以及向验证模块发送验证启动指令；

锁定模块，用于在接收到锁定指令后对副卡终端的网络访问功能进行锁定，以及用于在接收到解锁指令后对副卡终端的网络访问功能进行解锁；

验证模块，用于在接收到验证启动指令后向副卡终端发送安全验证请求，接收副卡终端发送的待验证信息，并对待验证信息进行安全验证，当待验证信息通过安全验证时，向锁定模块发送解锁指令。

可选地，所述判断模块具体用于判断副卡终端与主卡终端当前是否位于同一网络服务小区，如是则判定二者处于同一位置，若否则判定二者没有处于同一位置。

可选地，所述验证模块具体用于：将安全验证请求进行封装，并发送至副卡终端所归属的呼叫会话控制功能实体，以供副卡终端所归属的呼叫会话控制功能实体对安全验证请求进行二次封装并经副卡终端所归属的多媒体电话应用服务器发送至副卡终端。

可选地，所述验证模块具体经由呼叫会话控制功能实体接收183消息，并从183消息中解析出待验证信息。

可选地，所述锁定模块具体用于：向副卡终端所归属的呼叫会话控制功能实体发送锁定指令，以供呼叫会话控制功能实体通过应用服务器将锁定指令发送至副卡终端。

基于以上方法，可以自动判断出副卡终端是否确实被遗失，并且在判断副卡终端被遗失后对副卡终端进行锁定，从而保护用户的信息安全。由于以上方法均可通过通信网络自动运行，也免去了用户拨打客户或者去营业厅办理挂失的繁琐工作。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1为本发明的实施例的一种副卡终端的管理方法的流程图；

图2为本发明的实施例的一种副卡终端的管理服务器的框图；

图3为图2所示副卡终端的管理服务器参与的网络架构示意图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

作为本发明的一个实施例，如图3所示，提供一种副卡终端2b的管理方法，副卡终端2b对应一主卡终端2a。其中该管理方法可以由管理服务器1执行。

为了便于理解，首先对副卡终端2b所处的网络架构进行介绍。当然本实施例所提供的方法也可应用于其他类型的网络架构中。

管理服务器1负责一号多卡业务的签约、授权、管理。具体负责登记用户的白名单的特殊需求，然后，将该信息发送给运营商的网元，再发指令给运营商网络中的媒体网关控制功能(MGCF)，由MGCF根据接收的指令播放不同的回铃音。从而实现对于不同的来电号码，用户的听到不同的播放音的功能。

一号多终端用户使用的主卡终端2a和副卡终端2b需要支持电路交换(CS，CircuitSwitched)域语音或电路域回落(CSFB，CS Fall Back)或长期演进语音承载(VoLTE)等基本功能。优选地，它们还支持高清语音/视频、补充业务等。主卡终端2a的主要功能是与附卡终端绑定，负责向管理服务器1申请网络鉴权，负责向管理服务器1请求获取业务状态，负责根据管理服务器1返回的服务器地址进行一号多卡业务签约，负责接收业务开通通知，实现一号多卡业务中主卡终端2a的业务；副卡终端2b负责实现一号多终端业务中附卡的业务，例如接听电话。

在图3中所示的网络架构中，UTRAN即UMTS Terrestrial Radio Access Network中文为UMTS陆地无线接入网。UTRAN是一种全新的接入网，是UMTS最重要的一种接入方式，适用范围最广。UTRAN由NodeB和无线网络控制器(RNC，,Radio Network Controlle)构成，NodeB相当于GSM BTS，RNC相当于GSM BSC。GERAN(GSM EDGE Radio Access Network)是GSM/EDGE无线通讯网络的缩写，是GSM/EDGE的无线接入部分。业务交换点(ServiceSwitching Point，SSP)中存储用户数据和业务逻辑。HLR的英文全称为Home LocationRegister，中文含义为归属位置寄存器，它是一个负责移动用户管理的数据库，永久存储和记录所辖区域内用户的签约数据，并动态地更新用户的位置信息，以便在呼叫业务中提供被呼叫用户的网络路由。IMS–AGW即IMS接入网关。业务控制点(SCP)，是决定呼叫如何处理的智能网要素，它利用TCAP协议提供传输和必要的(低级)应用程序指示。NodeB、无线网络控制器(RNC，Radio Network Controller)和演进型NodeB(eNodeB)主要负责无线资源管理功能，寻呼信息的调度传输，广播信息的调度传输以及设置和提供信号的测量等。移动交换中心(MSC，MSC Server)主要完成电路域语音呼叫控制及业务触发等功能。对于VoLTE语音，主要包括移动管理实体(Mobility Management Entity，MME)、服务网关(ServingGateWay，S-GW)、PDN网关(P-GW)、归属签约用户服务器(Home Subscriber Server，HSS)等网元，演进的分组系统(EPS，Evolved Packet System)网络配合IP多媒体子系统(IMS)系统完成代理呼叫会话控制功能(Proxy-Call Session Control Funtion，P-CSCF)发现，初始附着的信令默认承载建立，语音及视频等业务专有承载的建立等。归属签约用户服务器(HSS)负责接收主卡终端2a和副卡终端2b的网元开通及签约请求，实现主卡终端2a和副卡终端2b数据升级和/或开通配置；负责管理主卡终端2a和副卡终端2b的主被叫，实现电路域语音呼叫的业务处理。IP多媒体子系统(IMS)主要完成呼叫控制、一号多终端主叫改号及被叫同振等功能。其中P-CSCF、I-CSCF、S-CSCF均支持鉴权、信令安全性保护、信令压缩等。多媒体电话(MMTel，MultiMedia Telephony)应用服务器(AS)负责接收主附卡的网元开通及签约请求，完成签约数据配置；并负责控制并提供主附卡的语音呼叫业务；负责实现附卡主叫号码显示修改；负责实现主号码一号多卡功能。

参照图1，本发明实施例所提供的管理方法包括以下步骤：

在步骤S1中，判断副卡终端2b与主卡终端2a当前是否位于同一位置；

若上述判断结果为否，则执行步骤S2：获取主卡终端2a和副卡终端2b的历史访问IP地址记录，以得到历史访问信息。若判断结果为是，则认为副卡终端2b状态正常，对副卡终端2b不做处理；

在步骤S3中，查询历史访问信息中是否存在副卡终端2b当前所访问的IP地址；

若步骤S3中所查询的历史访问信息中不存在副卡终端2b当前所访问的IP地址，本实施例所提供的管理方法还可以包括：则执行步骤S4：对副卡终端2b的网络访问功能进行锁定，并向副卡终端2b发送安全验证请求。

若步骤S3中所查询的历史访问信息中存在副卡终端2b当前所访问的IP地址，则认为副卡终端2b状态正常，对副卡终端2b不做处理。

在步骤S5中，接收副卡终端2b发送的待验证信息，并对待验证信息进行安全验证；

当待验证信息通过安全验证时，则执行步骤S6：解除对副卡终端2b的网络访问功能的锁定；

当待验证信息未通过安全验证时，则执行步骤S7：维持对副卡终端2b的网络访问功能的锁定。

具体地，在步骤S1中，“同一位置”可以是指同一网络服务小区。如过副卡终端2b与主卡终端2a位于同一网络服务小区，则判定二者处于同一位置，若副卡终端2b与主卡终端2a位于不同网络服务小区，则判定二者没有处于同一位置。

当然，在步骤S1中，也可以是判断主卡终端2a与副卡终端2b的GPS定位坐标的直线距离是否超出设定阈值，如果超出则判定二者没有处于同一位置，如果没有超出则判定二者处于同一位置。

在具体的网络环境中，主卡终端2a、副卡终端2b在注册到IP多媒体子系统(IMS，IPMultimedia Subsystem)网络的时候，会通过注册(REGISTER)消息完成注册。注册完成后，主卡终端2a和副卡终端2b分别会发订阅(subscribe)消息，向IMS网络订阅自己的状态信息，并且要求IMS网络及时同步跟他相关的状态信息。主卡终端2a和副卡终端2b分别会在后续与IMS网络侧交互的邀请(INVITE)消息中上报自己的位置，在邀请消息中的PANI字段中携带自己的位置信息。

主卡终端2a和副卡终端2b注册到IMS网络的具体步骤如下：

1、向找到的代理呼叫会话控制功能(P-CSCF，Proxy-Call Session ControlFuntion)发送一个SIP注册(SIPREGISTER)请求。该SIP注册请求包含：一个需要被注册的用户标识符和所属地域名(I-CSCF的地址)。

2、P-CSCF对这个REGISTER请求进行处理，并使用提供的所属地域名来解析出I-CSCF的一个IP地址。这个I-CSCF联系HSS，并进行S-CSCF选择

3、在完成S-CSCF选择之后，I-CSCF把这个REGISTER请求转发给选择的S-CSCF。

4、S-CSCF会发现用户没有被授权，因此它会从HSS获取认证数据并用“401未授权”应答来质疑用户。接着，UE会计算出这个质疑的应答并给P-CSCF发送一个新的包含这个应答的REGISTER。

5、P-CSCF会再一次找到I-CSCF，而接着I-CSCF会再一次找到S-CSCF。

6、S-CSCF最终会检查这个应答，如果正确则从HSS下载用户描述，并发送一个“200OK”表示接受这个注册。

经过上述步骤S1-S4，可初步判定副卡终端2b存在被盗风险，此时对副卡终端2b的网络访问功能进行锁定，可以有效保护用户免遭潜在的安全风险。具体锁定的方式可以是：向副卡终端2b所归属的呼叫会话控制功能实体发送锁定指令，以供呼叫会话控制功能实体通过应用服务器将锁定指令发送至副卡终端2b。

对副卡终端2b的锁定可通过网络侧实现。例如由IMS网络的CSCF发送锁定指令给应用服务器(AS)。应用服务器发送PUR(Profile-Update-Request)消息给HSS，由HSS更新其保存的副卡终端2b的用户数据。如副卡终端2b被锁定，当副卡终端2b发起呼叫或联网请求时，应用服务器会拒绝该请求。具体地，如果应用服务器有缓存记录，该缓存记录需拒绝该副卡终端2b的呼叫或联网请求，则应用服务器发送183消息给副卡终端2b，从而拒绝该副卡终端2b的呼叫或联网请求。如果应用服务器没有上述缓存记录，则应用服务器会发送UDR(User-Data-Request)消息给HSS，HSS会告知应用服务器是否要拒绝该副卡终端2b的呼叫或联网请求。从而应用服务器根据HSS返回的消息拒绝该副卡终端2b的呼叫或联网请求。

安全验证请求例如是请求副卡终端2b的持有者输入主卡终端2a在管理服务器1预存的密码。

具体的信息流例如是：将安全验证请求进行封装，并发送至副卡终端2b所归属的呼叫会话控制功能实体(CSCF)，以供副卡终端2b所归属的呼叫会话控制功能实体对安全验证请求进行二次封装并经副卡终端2b所归属的多媒体电话应用服务器(MMTEL AS)发送至副卡终端2b。其中，多媒体电话应用服务器也会对该安全验证请教再次进行打包。

优选地在步骤S5中，接收待验证信息的具体流程例可以包括：副卡终端2b收到网络侧发来的安全验证请求后，由副卡终端2b的持有者输入主卡终端2a预设的密码。

副卡终端2b将其持有者所输入的密码加密后封装到183消息中，副卡终端2b将该消息发送给基站，基站再将183消息发送给CSCF，CSCF发送给管理服务器1。

管理服务器1收到副卡终端2b发来的待验证信息后，提取出待验证信息中的密码，再与主卡终端2a预先设置的密码进行对比，如果密码一致，则验证通过，否则验证不通过。

具体地，步骤S6可以包括管理服务器1对待验证信息的验证如果通过，则发送解锁消息给CSCF，CSCF再将解锁消息发给基站，基站再将解锁消息发送给副卡终端2b，解除对副卡终端2b的锁定，副卡终端2b可以进行正常的使用。如果管理服务器1对副卡终端2b所提供的待验证信息的验证不通过，则在步骤S7中，网络侧对副卡终端2b进行锁定，副卡终端2b无法使用网络功能。

基于以上方法，可以自动判断出副卡终端2b是否确实被遗失或被盗，并且在判断副卡终端2b被遗失或被盗后对副卡终端2b进行锁定，从而保护用户的信息安全。由于以上方法均可通过通信网络自动运行，也免去了用户拨打客户或者去营业厅办理挂失的繁琐工作。

本发明中的副卡终端2b与主终端可以具有被叫同振功能，该功能由AS实现。主终端设备被叫AS收到被叫号码为主卡终端2a号码的被叫要求请求后，执行正常的主卡终端2a号码的被叫呼叫业务逻辑；同时AS再发送一条Request-URI和To头域均携带副卡终端2b卡号码信息的INVITE请求，并在请求中携带指示同振业务或附卡终端卡属性的标识。用户的一号多终端的开通和签约、管理可由管理服务器1来完成。在主卡终端2a和附卡终端在IMS上注册成功之后，AS会向管理服务器1发起查询，以确认该用户是签约并开通了一号多终端业务，这样，就能明确主卡终端2a和附卡终端是同一个号码。当主卡终端2a和副卡终端2b中的一方接听来电后，主卡终端2a被叫AS释放其他呼叫。

作为本发明的第二个实施例，提供一种副卡终端2b的管理服务器1，用以执行实施例1的管理方法。各模块的详细工作原理可参照实施例1。其中，副卡终端2b对应一主卡终端2a，该管理服务器1包括：

判断模块11，用于判断副卡终端2b与主卡终端2a当前是否位于同一位置，若判断结果为否，则向查询模块13发送查询指令；

IP地址记录模块12，用于记录主卡终端2a和副卡终端2b所访问的IP地址；

查询模块13，用于接收到查询指令后，从IP地址记录模块12获取主卡终端2a和副卡终端2b的历史访问IP地址记录，以得到历史访问信息，查询历史访问信息中是否存在副卡终端2b当前所访问的IP地址，若不存在，则向锁定模块14发送锁定指令以及向验证模块15发送验证启动指令；

锁定模块14，用于在接收到锁定指令后对副卡终端2b的网络访问功能进行锁定，以及用于在接收到解锁指令后对副卡终端2b的网络访问功能进行解锁；

验证模块15，用于在接收到验证启动指令后向副卡终端2b发送安全验证请求，接收副卡终端2b发送的待验证信息，并对待验证信息进行安全验证，当待验证信息通过安全验证时，向锁定模块14发送解锁指令。

该管理服务器1可以实现自动判断出副卡终端2b是否确实被遗失或被盗，并且在判断副卡终端2b被遗失或被盗后对副卡终端2b进行锁定，从而保护用户的信息安全。由于以上方法均可通过通信网络自动运行，也免去了用户拨打客户或者去营业厅办理挂失的繁琐工作。

可选地，所述判断模块11具体用于判断副卡终端2b与主卡终端2a当前是否位于同一网络服务小区，如是则判定二者处于同一位置，若否则判定二者没有处于同一位置。

可选地，所述验证模块15具体用于：将安全验证请求进行封装，并发送至副卡终端2b所归属的呼叫会话控制功能实体，以供副卡终端2b所归属的呼叫会话控制功能实体对安全验证请求进行二次封装并经副卡终端2b所归属的多媒体电话应用服务器发送至副卡终端2b。

可选地，所述锁定模块具体用于：向副卡终端2b所归属的呼叫会话控制功能实体发送锁定指令，以供呼叫会话控制功能实体通过应用服务器将锁定指令发送至副卡终端2b。

当然，管理服务器1的功能可以进一步扩充。例如管理服务器1负责接收主卡终端2a发送的鉴权请求，负责接收主卡终端2a发送的业务查询请求，负责接收主卡终端2a发送的一号多卡业务开通和签约请求，处理用户的设置等。管理服务器1还负责向3GPP AAA代理转发鉴权请求，负责向IT支撑系统查询用户业务状态，接收来自IT支撑系统的用户开通状态变化通知，负责向终端发送服务器的地址和签约数据，负责维护主附卡绑定关系，主附卡业务开通状态。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种副卡终端的管理方法，副卡终端与主卡终端相对应，其特征在于，所述管理方法包括：

判断副卡终端与主卡终端当前是否位于同一位置；

若判断结果为否，则获取主卡终端和副卡终端的历史访问IP地址记录，以得到历史访问信息；

查询历史访问信息中是否存在副卡终端当前所访问的IP地址；

若不存在，则对副卡终端的网络访问功能进行锁定，并向副卡终端发送安全验证请求；

接收副卡终端发送的待验证信息，并对待验证信息进行安全验证；

当待验证信息通过安全验证时，则解除对副卡终端的网络访问功能的锁定；

当待验证信息未通过安全验证时，则维持对副卡终端的网络访问功能的锁定。

2.根据权利要求1所述的管理方法，其特征在于，所述判断副卡终端与主卡终端当前是否位于同一位置包括判断副卡终端与主卡终端当前是否位于同一网络服务小区，如是则判定二者处于同一位置，若否则判定二者没有处于同一位置。

3.根据权利要求1所述的管理方法，其特征在于，所述向副卡终端发送安全验证请求的步骤包括：

将安全验证请求进行封装，并发送至副卡终端所归属的呼叫会话控制功能实体，以供副卡终端所归属的呼叫会话控制功能实体对安全验证请求进行二次封装并经副卡终端所归属的多媒体电话应用服务器发送至副卡终端。

4.根据权利要求1至3中任意一项所述的管理方法，其特征在于，所述接收副卡终端发送的待验证信息包括：

经由呼叫会话控制功能实体接收183消息，并从183消息中解析出待验证信息。

5.根据权利要求1至3中任意一项所述的管理方法，其特征在于，所述对副卡终端的网络访问功能进行锁定包括：

向副卡终端所归属的呼叫会话控制功能实体发送锁定指令，以供呼叫会话控制功能实体通过应用服务器将锁定指令发送至副卡终端。

6.一种副卡终端的管理服务器，副卡终端与主卡终端相对应，其特征在于，所述管理服务器包括：

判断模块，用于判断副卡终端与主卡终端当前是否位于同一位置，若判断结果为否，则向查询模块发送查询指令；

IP地址记录模块，用于记录主卡终端和副卡终端所访问的IP地址；

查询模块，用于接收到查询指令后，从IP地址记录模块获取主卡终端和副卡终端的历史访问IP地址记录，以得到历史访问信息，查询历史访问信息中是否存在副卡终端当前所访问的IP地址，若不存在，则向锁定模块发送锁定指令以及向验证模块发送验证启动指令；

锁定模块，用于在接收到锁定指令后对副卡终端的网络访问功能进行锁定，以及用于在接收到解锁指令后对副卡终端的网络访问功能进行解锁；

验证模块，用于在接收到验证启动指令后向副卡终端发送安全验证请求，接收副卡终端发送的待验证信息，并对待验证信息进行安全验证，当待验证信息通过安全验证时，向锁定模块发送解锁指令。

7.根据权利要求6所述的管理服务器，其特征在于，所述判断模块具体用于判断副卡终端与主卡终端当前是否位于同一网络服务小区，如是则判定二者处于同一位置，若否则判定二者没有处于同一位置。

8.根据权利要求6所述的管理服务器，其特征在于，所述验证模块用于：

将安全验证请求进行封装，并发送至副卡终端所归属的呼叫会话控制功能实体，以供副卡终端所归属的呼叫会话控制功能实体对安全验证请求进行二次封装并经副卡终端所归属的多媒体电话应用服务器发送至副卡终端。

9.根据权利要求6至8中任意一项所述的管理服务器，其特征在于，所述验证模块具体经由呼叫会话控制功能实体接收183消息，并从183消息中解析出待验证信息。

10.根据权利要求6至8中任意一项所述的管理服务器，其特征在于，所述锁定模块用于：

向副卡终端所归属的呼叫会话控制功能实体发送锁定指令，以供呼叫会话控制功能实体通过应用服务器将锁定指令发送至副卡终端。