CN110536290B - 一种寻呼处理方法及装置 - Google Patents
一种寻呼处理方法及装置 Download PDFInfo
- Publication number
- CN110536290B CN110536290B CN201910047972.9A CN201910047972A CN110536290B CN 110536290 B CN110536290 B CN 110536290B CN 201910047972 A CN201910047972 A CN 201910047972A CN 110536290 B CN110536290 B CN 110536290B
- Authority
- CN
- China
- Prior art keywords
- paging
- identifier
- paging message
- indication information
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 54
- 238000012545 processing Methods 0.000 claims abstract description 199
- 238000000034 method Methods 0.000 claims abstract description 184
- 230000008569 process Effects 0.000 claims abstract description 56
- 238000004891 communication Methods 0.000 claims description 65
- 230000011664 signaling Effects 0.000 claims description 44
- 238000007726 management method Methods 0.000 description 241
- 230000006870 function Effects 0.000 description 107
- 238000010586 diagram Methods 0.000 description 28
- 238000012795 verification Methods 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 10
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 9
- 230000006399 behavior Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 6
- 230000001143 conditioned effect Effects 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W68/00—User notification, e.g. alerting and paging, for incoming communication, change of service or the like
- H04W68/005—Transmission of information for alerting of incoming communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种寻呼处理方法及装置,以解决现有技术中终端设备容易受到伪网络的寻呼攻击的问题。所述方法包括:移动管理网元使用与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到第一寻呼标识,向基站发送第一寻呼消息;所述基站向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;所述终端设备根据所述第一指示信息,使用所述安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息。
Description
本申请要求在2018年5月24日提交中国专利局、申请号为201810510941.8、发明名称为“一种寻呼处理方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及无线通信技术领域,尤其涉及一种寻呼处理方法及装置。
背景技术
基站寻呼(paging)终端设备时所使用的寻呼信道是公共信道,寻呼信道上承载的信息都是以明文(未进行安全保护)方式传输,因此终端设备无法区分寻呼消息是伪网络发送的还是真实基站发送的,在接收到寻呼消息之后都会正常响应。
伪网络通过提高自身的发射能量,吸引终端设备驻留到伪网络后,能够获取到终端设备的寻呼标识,并且伪网络可以通过终端设备获取真实基站的系统信息,对真实基站的系统信息进行分析计算,并结合获取到的寻呼标识,得到真实基站发送寻呼消息的时域信息,其中,伪网络具有基站以及移动管理网元的功能。伪网络获得真实基站发送寻呼消息的时域信息以及终端设备的寻呼标识后,能够将自己伪装成真实基站,在真实基站向终端设备发送寻呼消息的时域上,频繁向终端设备发起寻呼消息,对终端设备进行寻呼攻击,影响终端设备与网络侧的正常通信。
发明内容
本申请提供一种寻呼处理方法及装置,以解决现有技术中终端设备容易受到伪网络的寻呼攻击的问题。
第一方面,本申请提供了一种寻呼处理方法,所述方法包括:终端设备接收第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;所述终端设备根据所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识,并根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息。
通过上述方法,所述终端设备在接收到第一寻呼消息时,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识,并根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,在4G网络中,所述移动管理网元可以是移动管理实体MME;在5G网络中,所述移动管理网元可以是接入与移动管理功能AMF实体。
一个可能的实施方式中,所述终端设备具体通过以下方法处理所述第一寻呼消息:
所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,
所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
由于伪网络无法获得所述终端设备与移动管理网元协商的安全上下文,因此所述终端设备在所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息,可以有效避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,所述终端设备还可以接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述终端设备忽略所述第二寻呼消息;或者,
所述终端设备还可以接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
由于伪网络发送给的寻呼消息中携带的寻呼标识通常不会进行安全保护处理,也不会携带所述第一指示信息,即伪网络发送的寻呼消息通常为所述第二寻呼消息,因此,所述终端设备忽略所述第二寻呼消息,可以避免伪网络对所述终端设备的寻呼攻击,进而使得所述终端设备可以与真实基站正常通信。
一个可能的实施方式中,所述终端设备接收第一寻呼消息之前,还确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
一个可能的实施方式中,所述终端设备具体通过以下步骤确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息:
所述终端设备向所述移动管理网元发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述终端设备接收所述移动管理网元发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息;
所述终端设备根据所述第四指示信息,确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
一个可能的实施方式中,在4G网络中,所述注册请求可以为附着请求(attachrequest)或跟踪区域更新请求(TAU request);在5G网络中为registration request。相应地,当所述注册请求为附着请求时,所述注册接受消息为附着接收(attach accept)消息,当所述注册请求为跟踪区域更新请求时,所述注册接受消息为跟踪区域更新接受(TAUaccept)消息,当所述注册请求为registration request时,所述注册接受消息为registration accept消息。
第二方面,本申请提供了一种寻呼处理方法,所述方法包括:移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识,并向基站发送寻呼消息,所述寻呼消息中包括所述终端设备的寻呼标识以及所述安全保护的寻呼标识。
通过上述方法,所述移动管理网元使用与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识,并向基站发送携带所述终端设备的寻呼标识以及所述安全保护的寻呼标识的寻呼消息,使得所述基站可以向所述终端设备发送携带安全保护的寻呼标识的寻呼消息,可以增加所述终端设备接收到的寻呼消息的安全性,进而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,在4G网络中,所述移动管理网元可以是移动管理实体MME;在5G网络中,所述移动管理网元可以是接入与移动管理功能AMF实体。
一个可能的实施方式中,所述移动管理网元可以通过以下方式对所述终端设备的寻呼标识进行安全保护:所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密,或者进行完整性保护,或者进行加密以及完整性保护,或者进行完整性保护以及抗重放处理,或者进行加密、完整性保护以及抗重放处理。
一个可能的实施方式中,所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护之前,还确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;将所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备。
一个可能的实施方式中,所述移动管理网元通过以下步骤确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息:接收所述终端设备发送的注册请求,所述注册请求中携带所述终端设备支持携带安全保护的寻呼标识的寻呼消息的指示信息;根据所述注册请求中携带的所述指示信息,确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息。此时,所述移动管理网元通过向所述终端设备发送注册接受消息,将移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备,其中,所述注册接受消息中携带所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息。
一个可能的实施方式中,在4G网络中,所述注册请求可以为附着请求(attachrequest)或跟踪区域更新请求(TAU request);在5G网络中为registration request。相应地,当所述注册请求为附着请求时,所述注册接受消息为附着接收(attach accept)消息,当所述注册请求为跟踪区域更新请求时,所述注册接受消息为跟踪区域更新接受(TAUaccept)消息,当所述注册请求为registration request时,所述注册接受消息为registration accept消息。
第三方面,本申请提供了一种寻呼处理方法,所述方法包括:基站接收移动管理网元发送的第一寻呼消息,所述第一寻呼消息携带第一寻呼标识以及第二寻呼标识,所述第一寻呼标识为所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述第二寻呼标识进行安全保护后得到的,所述第二寻呼标识为所述终端设备的寻呼标识;所述基站向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。
通过上述方法,所述基站接收移动管理网元发送的第一寻呼消息,根据所述第一寻呼消息中的第二寻呼标识,确定所要寻呼的终端设备,并向所述终端设备发送第二寻呼消息,所述第二呼消息中携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识,可以增加所述终端设备接收到的第二寻呼消息的安全性,进而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,在4G网络中,所述移动管理网元可以是移动管理实体MME;在5G网络中,所述移动管理网元可以是接入与移动管理功能AMF实体。
第四方面,本申请提供了一种寻呼处理方法,所述方法包括:终端设备接收第一网络设备发送的第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;所述终端设备与所述第一网络设备之间通信链路的状态为未激活态时,所述终端设备根据所述第一指示信息,使用与所述第一网络设备协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识,并根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息。
通过上述方法,终端设备接在所述终端设备与第一网络设备之间的通信链路为未激活态时,根据所述第一网络设备发送的第一寻呼消息中的第一指示信息,使用与所述第一网络设备协商的安全上下文,对所述第一寻呼消息中的第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识一致的情况下,才响应所述第一寻呼消息,否则,忽略所述寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,所述终端设备可以通过以下方法处理所述第一寻呼消息,:所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
由于伪网络无法获得所述终端设备与第一网络设备协商的安全上下文,因此所述终端设备在所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息,可以有效避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,所述方法还包括:所述终端设备接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述终端设备忽略所述第二寻呼消息;或者,所述终端设备接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
由于伪网络发送给的寻呼消息中携带的寻呼标识通常不会进行安全保护处理,也不会携带所述第一指示信息,即伪网络发送的寻呼消息通常为所述第二寻呼消息,因此,所述终端设备忽略所述第二寻呼消息,可以避免伪网络对所述终端设备的寻呼攻击,进而使得所述终端设备可以与真实网络正常通信。
一个可能的实施方式中,所述终端设备接收第一寻呼消息之前,还所述终端设备确定第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
一个可能的实施方式中,所述终端设备可以通过以下方法确定第二网络设备支持携带安全保护的寻呼标识的寻呼消息:所述终端设备向所述第二网络设备发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;所述终端设备接收所述第二网络设备发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息;所述终端设备根据所述第四指示信息,确定所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
第五方面,本申请提供了一种寻呼处理方法,所述方法包括:第一网络设备接收到下行数据包或者下行信令包后,使用所述第一网络设备与终端设备协商的安全上下文,对终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识,并向所述终端设备发送寻呼消息,所述寻呼消息携带所述安全保护的寻呼标识以及用于指示所述携带的寻呼标识为安全保护的寻呼标识的指示信息。
通过上述方法,在第一网络设备与终端设备之间的通信链路处于未激活态时,所述第一网络设备使用与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识,并向所述终端设备发送携带所述终端设备的寻呼标识以及所述安全保护的寻呼标识的寻呼消息,可以增加所述终端设备接收到的寻呼消息的安全性,进而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,所述第一网络设备可以通过以下方式对所述终端设备的寻呼标识进行安全保护:所述第一网络设备使用所述第一网络设备与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密,或者进行完整性保护,或者进行加密以及完整性保护,或者进行完整性保护以及抗重放处理,或者进行加密、完整性保护以及抗重放处理。
一种可能的实施方式中,所述第一网络设备接收到下行数据包或者下行信令包之前,还确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
一种可能的实施方式中,所述第一网络设备具体通过以下步骤确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息:所述第一网络设备接收所述第二网络设备发送的指示信息,所述第二网络设备发送的指示信息用于指示所述第二网络设备以及所述终端设备支持携带安全保护的寻呼标识的寻呼消息;所述第一网络设备根据所述第二网络设备发送的指示信息,确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
第六方面,本申请提供了一种寻呼处理方法,所述方法包括:终端设备统计在第一设定时长内接收的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于第一阈值时,向基站发送用于维持与所述基站之间的通信连接的数据包或信令包。
通过上述方法,所述终端设备统计在第一设定时长内接收的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于第一阈值时,向基站发送用于维持与所述基站之间的通信连接的数据包或信令包,使得所述终端设备处于连接态,由于终端设备处于连接态时不会响应寻呼消息,因此可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,所述终端设备通过以下方式向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包:所述终端设备在第二设定时长内,按照设定周期向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包;其中,所述设定周期小于第二阈值,所述第二阈值为所述终端设备与所述基站之间的通信连接维持的时长。
通过上述方法,所述终端设备按照设定周期向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包,使得所述终端设备在所述第二时长内处于连接态,由于终端设备处于连接态时不会响应寻呼消息,因此,可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,所述寻呼消息中携带固定寻呼标识,或者所述寻呼消息中携带临时寻呼标识。
一个可能的实施方式中,所述寻呼消息包括第一类寻呼消息和第二类寻呼消息,所述第一类寻呼消息中携带固定寻呼标识,所述第二类寻呼消息中携带临时寻呼标识;所述终端设备统计的寻呼消息的次数为在所述第一设定时长内接收的第一类寻呼消息的次数以及第二类寻呼消息的次数之和。
一个可能的实施方式中,所述终端设备分别统计在所述第一设定时长内从不同基站接收的寻呼消息的次数,所述终端设备在确定从任意一个基站接收的寻呼消息的次数大于或等于所述第一阈值时,向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包。
第七方面,本申请提供了一种寻呼处理方法,所述方法包括:终端设备统计在设定时长内接收的携带临时寻呼标识的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于设定阈值时,向移动管理网元发送用于请求分配全球唯一临时标识GUTI的指示信息;所述终端设备接收所述移动管理网元发送的GUTI,根据接收到的GUTI,处理携带临时寻呼标识的寻呼消息。
通过上述方法,所述终端设备统计在设定时长内接收的携带临时寻呼标识的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于设定阈值时,向移动管理网元发送用于请求分配全球唯一临时标识GUTI的指示信息,并接收所述移动管理网元分配的GUTI,根据所述移动网元分配的GUTI,处理携带临时寻呼标识的寻呼消息。由于伪网络无法获得所述移动管理网元根据所述指示信息,为所述终端设备分配GUTI,即伪网络发送给所述终端设备的寻呼消息中不会携带所述移动管理网元为所述终端设备分配的新GUTI,因此所述终端设备获得所述移动管理网元为所述终端设备分配的新GUTI后,不会响应伪网络发送的寻呼消息,进而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,在4G网络中,所述移动管理网元可以是移动管理实体MME;在5G网络中,所述移动管理网元可以是接入与移动管理功能AMF实体。
一个可能的实施方式中,所述终端设备向移动管理网元通过以下方式发送用于请求分配GUTI的指示信息:所述终端设备向所述移动管理网元发送位置更新请求,所述位置更新请求中携带所述用于请求分配GUTI的指示信息。此时,所述终端设备通过以下方式接收所述移动管理网元发送的GUTI:所述终端设备接收所述移动管理网元发送的位置更新接受消息,所述位置更新接受消息中携带所述移动管理网元为所述终端设备分配的GUTI。
一个可能的实施方式中,在4G网络中,所述位置更新请求为跟踪区域更新请求(TAU request);在5G网络中,所述位置更新请求为registration request。相应地,当所述位置更新请求为跟踪区域更新请求时,所述位置更新接受消息为跟踪区域更新接受(TAUaccept)消息,当所述位置更新请求为registration request时,所述位置更新接受消息为registration accept消息。
一个可能的实施方式中,所述终端设备通过以下方式接收所述移动管理网元发送的GUTI:
所述终端设备接收所述移动管理网元发送的GUTI重分配消息,其中,所述GUTI重分配消息中携带所述移动管理网元为所述终端设备分配的GUTI;或者,
所述终端设备接收所述移动管理网元发送的配置更新消息,其中,所述配置更新消息中携带所述移动管理网元为所述终端设备分配的GUTI。
一个可能的实施方式中,所述终端设备具体通过以下步骤处理携带临时寻呼标识的寻呼消息:所述终端设备根据接收到的GUTI,确定所述终端设备当前的临时寻呼标识;当所述终端设备接收到的寻呼消息中携带的临时寻呼标识,与所述终端设备当前的临时寻呼标识一致时,所述终端设备响应所述寻呼消息,当所述终端设备接收到的寻呼消息中携带的临时寻呼标识,与所述终端设备当前的临时寻呼标识不一致时,所述终端设备忽略所述寻呼消息。
第八方面,本申请提供了一种寻呼处理方法,所述方法包括:移动管理网元接收终端设备发送的用于请求分配全球唯一临时标识GUTI的指示信息,根据所述指示信息,为所述终端设备分配GUTI,并将所述GUTI发送给所述终端设备。
通过上述方法,所述移动管理网元可以根据所述终端设备发送的用于请求分配全球唯一临时标识GUTI的指示信息,为所述终端设备分配GUTI,并将所述GUTI发送给所述终端设备,使得所述终端设备可以根据所述移动管理网元分配的GUTI,处理携带临时寻呼标识的寻呼消息。由于伪网络无法获得所述移动管理网元为所述终端设备分配GUTI,即伪网络发送给所述终端设备的寻呼消息中不会携带所述移动管理网元为所述终端设备分配的新GUTI,因此所述终端设备获得所述移动管理网元为所述终端设备分配的新GUTI后,不会响应伪网络发送的寻呼消息,进而可以避免伪网络对所述终端设备的寻呼攻击。
一个可能的实施方式中,在4G网络中,所述移动管理网元可以是移动管理实体MME;在5G网络中,所述移动管理网元可以是接入与移动管理功能AMF实体。
一个可能的实施方式中,所述移动管理网元通过以下方式接收终端设备发送的用于请求分配全球唯一临时标识GUTI的指示信息:所述移动管理网元接收所述终端设备发送的位置更新请求,所述位置更新请求中携带所述用于请求分配GUTI的指示信息。此时,所述移动管理网元通过以下方式将所述GUTI发送给所述终端设备:所述移动管理网元向所述终端设备发送位置更新接受消息,所述位置更新接受消息中携带所述GUTI。
一个可能的实施方式中,在4G网络中,所述位置更新请求为跟踪区域更新请求(TAU request);在5G网络中,所述位置更新请求为registration request。相应地,当所述位置更新请求为跟踪区域更新请求时,所述位置更新接受消息为跟踪区域更新接受(TAUaccept)消息,当所述位置更新请求为registration request时,所述位置更新接受消息为registration accept消息。
一个可能的实施方式中,所述移动管理网元通过以下方式将所述GUTI发送给所述终端设备:所述移动管理网元向所述终端设备发送GUTI重分配消息,所述GUTI重分配消息中携带所述GUTI;或者,所述移动管理网元向所述终端设备发送配置更新消息,所述配置更新消息中携带所述GUTI。
第九方面,本申请提供了一种终端设备,所述终端设备具有实现上述第一方面方法实例中终端设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述终端设备的结构中包括接收单元、发送单元和处理单元,这些单元可以执行上述第一方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述终端设备的结构中包括发射器、接收器、控制器/处理器和调制解调处理器,所述控制器/处理器被配置为支持所述终端设备执行上述第一方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述终端设备必要的程序指令和数据。
第十方面,本申请提供了一种移动管理网元,所述移动管理网元具有实现上述第二方面方法实例移动管理网元行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述移动管理网元的结构中包括接收单元、发送单元和处理单元,这些单元可以执行上述第二方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述移动管理网元的结构中包括接收器/接收器、控制器/处理器、存储器以及通信单元,所述控制器/处理器被配置为支持所述移动管理网元执行上述第二方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述移动管理网元必要的程序指令和数据。
第十一方面,本申请提供了一种基站,所述基站具有实现上述第三方面方法实例基站行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述基站的结构中包括接收单元和发送单元,这些单元可以执行上述第三方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述基站的结构中包括接收器/接收器、控制器/处理器、存储器以及通信单元,所述控制器/处理器被配置为支持所述移动管理网元执行上述第三方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述基站必要的程序指令和数据。
第十二方面,本申请提供了一种终端设备,所述终端设备具有实现上述第四方面方法实例中终端设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述终端设备的结构中包括接收单元和处理单元,这些单元可以执行上述第四方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述终端设备的结构中包括发射器、接收器、控制器/处理器和调制解调处理器,所述控制器/处理器被配置为支持所述终端设备执行上述第四方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述终端设备必要的程序指令和数据。
第十三方面,本申请提供了一种网络设备,所述网络设备具有实现上述第五方面方法实例第一网络设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述网络设备的结构中包括接收单元、处理单元和发送单元,这些单元可以执行上述第五方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述网络设备的结构中包括接收器/接收器、控制器/处理器、存储器以及通信单元,所述控制器/处理器被配置为支持所述网络设备执行上述第五方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述网络设备必要的程序指令和数据。
第十四方面,本申请提供了一种终端设备,所述终端设备具有实现上述第六方面方法实例中终端设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述终端设备的结构中包括接收单元和处理单元,这些单元可以执行上述第六方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述终端设备的结构中包括发射器、接收器、控制器/处理器和调制解调处理器,所述控制器/处理器被配置为支持所述终端设备执行上述第六方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述终端设备必要的程序指令和数据。
第十五方面,本申请提供了一种终端设备,所述终端设备具有实现上述第七方面方法实例中终端设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述终端设备的结构中包括接收单元、发送单元和处理单元,这些单元可以执行上述第七方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述终端设备的结构中包括发射器、接收器、控制器/处理器和调制解调处理器,所述控制器/处理器被配置为支持所述终端设备执行上述第七方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述终端设备必要的程序指令和数据。
第十六方面,本申请提供了一种移动管理网元,所述移动管理网元具有实现上述第八方面方法实例移动管理网元行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述移动管理网元的结构中包括接收单元、发送单元和分配单元,这些单元可以执行上述第八方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述移动管理网元的结构中包括接收器/接收器、控制器/处理器、存储器以及通信单元,所述控制器/处理器被配置为支持所述移动管理网元执行上述第八方面提供的方法中相应的功能。所述存储器与所述控制器/处理器耦合,其保存所述移动管理网元必要的程序指令和数据。
第十七方面,本申请提供了一种通信系统,所述通信系统包括上述第一方面所述的终端设备、上述第二方面所述的移动管理网元以及所述第三方面所述的基站。
第十八方面,本申请提供了一种通信系统,所述通信系统包括上述第一方面所述的终端设备、上述第四方面所述的移动管理网元以及所述第五方面所述的网络设备。
第十九方面,本申请还提供了一种通信系统,所述通信系统包括上述第七方面所述的终端设备以及所述第八方面所述的移动管理网元。
第二十方面,本申请还提供一种计算机可读存储介质,所述计算机存储介质上存储有计算机可执行指令,当所述指令在计算机上运行时,使得所述计算机执行上述任一方面的任意一种实施方式提供的方法。
第二十一方面,本申请还提供了一种包含指令的计算机程序产品,当所述指令在计算机上运行时,使得计算机执行上述任一方面中的任一种方法。
附图说明
图1为本申请实施例提供的4G网络架构的示意图;
图2为本申请实施例提供的5G网络架构的示意图;
图3为本申请实施例提供的第一种寻呼处理方法的流程示意图;
图4为本申请具体实施例一的方法流程示意图;
图5为本申请具体实施例二的方法流程示意图;
图6为本申请实施例提供的第二种寻呼处理方法的流程示意图;
图7为本申请实施例提供的第三种寻呼处理方法的流程示意图;
图8为本申请具体实施例三的方法流程示意图;
图9为本申请具体实施例四的方法流程示意图;
图10为本申请实施例提供的一种寻呼处理装置的结构示意图;
图11为本申请实施例提供的一种寻呼处理装置的结构示意图;
图12为本申请实施例提供的一种寻呼处理装置的结构示意图;
图13为本申请实施例提供的一种寻呼处理装置的结构示意图;
图14为本申请实施例提供的一种寻呼处理装置的结构示意图;
图15为本申请实施例提供的一种寻呼处理装置的结构示意图;
图16为本申请实施例提供的一种终端设备的结构示意图;
图17为本申请实施例提供的一种移动管理网元的结构示意图;
图18为本申请实施例提供的一种基站的结构示意图;
图19为本申请实施例提供的第四种寻呼处理方法的流程示意图;
图20为本申请具体实施例五的方法流程示意图;
图21为本申请实施例提供的一种寻呼处理装置的结构示意图;
图22为本申请实施例提供的一种寻呼处理装置的结构示意图;
图23为本申请实施例提供的一种终端设备的结构示意图;
图24为本申请实施例提供的一种第一网络设备的结构示意图。
具体实施方式
现有技术中终端设备无法区分寻呼消息是伪网络发送的还是真实基站发送的,在接收到寻呼消息之后都会正常响应,当终端设备接收到的寻呼消息中携带国际移动用户标识(international mobile subscriber identity,IMSI)时,终端设备先进行本地注册,再重新附着,当终端设备接收到的寻呼消息中携带临时移动用户标识(temporaryinternational mobile subscriber identity,S-TMSI)时,终端设备向移动管理网元发起业务(service)流程。
当伪网络频繁向终端设备发送携带IMSI的寻呼消息时,终端设备就会频繁地进行本地去注册以及重新附着,导致用户无法获得正常服务。当伪网络频繁向终端设备发送携带S-TMSI的寻呼消息时,终端设备就会频繁地在空闲态和连接态之间切换,增加终端设备的功耗,降低终端设备的续航能力,进而影响用户体验。
为了解决现有技术中存在的上述问题,本申请提供一种寻呼处理方法及装置。其中,本申请所述方法和装置基于同一发明构思,由于所述方法和所述装置解决问题的原理相似,因此所述装置与方法的实施可以相互参见,重复之处不再赘述。
以下,对本申请实施例涉及部分用语进行解释说明,以便于本领域技术人员理解。
(1)IMSI,是区别移动用户的标志,储存在用户识别模块(subscriber identitymodule,SIM)卡或者全球用户身份模块(universal subscriber identity module,USIM)卡中。IMSI由移动国家码(mobile country code,MCC)、移动网络号码(mobile networkcode,MNC)和移动用户识别号码(mobile subscriber identification number,MSIN)组成。
其中,MCC的资源由国际电信联盟(international telecommunication union,ITU)在全世界范围内统一分配和管理,唯一识别移动用户所属的国家。MNC用于识别移动用户所归属的移动通信网。在同一个国家内,如果有多个公共陆地移动网(public landmobile network,PLMN),一般某个国家的一个运营商对应一个PLMN,可以通过MNC来进行区别,即每一个PLMN都要分配唯一的MNC。MSIN用于识别某一移动通信网中的移动用户。
(2)全球唯一临时标识(global unique temporary identity,GUTI),由核心网(core network,CN)分配,在网络中唯一标识终端设备,可以减少IMSI或IMEI等用户私有参数暴露在网络传输中。
(3)注册请求,在第四代移动通信技术(4th-generation,4G)网络中指附着请求(attach request)或跟踪区域更新请求(TAU request);在第五代移动通信技术(5th-generation,5G)网络中,即为注册请求(registration request)。
(4)安全保护,包括加密,完整性保护,加密与完整性保护相结合,完整性保护与抗重放处理相结合,或者加密与完整性保护、抗重放处理相结合等方式。发送端或者接收端按照双方约定的安全上下文对数据进行安全保护处理,使得对端通过所述约定的安全上下文对获得数据进行解安全保护处理,对获得的数据的安全性进行验证,以增加数据传输的安全性。
(5)解安全保护,包括解密,完整性验证,解密和完整性验证、完整性验证和抗重放验证,或者解密、完整性验证和抗重放验证等,为安全保护的逆过程,用于验证安全保护的数据的安全性。
(6)位置更新请求,在4G网络中指TAU request,在5G网络中指registrationrequest。
(7)和/或,描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
本申请提供的寻呼处理方法既适用于4G网络架构,也适用于5G网络架构,以及未来的演进通信网络中。本申请适用的一种可能的网络架构,如图1所示,该网络架构为4G网络架构。该4G网络架构中的网元包括终端设备和移动管理实体(mobility managemententity,MME),图1中以终端设备为用户设备(user equipment,UE)为例。网络架构还包括服务GPRS支持节点(serving GPRS support node,SGSN)、归属签约服务器(home subscriberserver,HSS)、服务网关(serving gateway,S-GW)、分组数据网络网关(packet datanetwork gateway,PDN gateway,P-GW)、策略与计费规则功能(policy and chargingrules function,PCRF)实体、演进的通用陆基无线接入网(evolved universalterrestrial radio access network,E-TURAN)等。
E-UTRAN由多个演进基站(evolved nodeB,eNodeB)组成,eNodeB之间通过X2接口彼此互联,eNodeB与演进分组核心网(evolved packet core,EPC)之间通过S1接口交互,而eNodeB与UE通过长期演进(long term evolution,LTE)-Uu互联。
MME的主要功能是支持非接入层(non access stratum,NAS)信令及其安全、跟踪区域(track area,TA)列表的管理、P-GW和S-GW的选择、跨MME切换时进行MME的选择、在向2G/3G接入系统切换过程中进行SGSN的选择、用户的鉴权、漫游控制以及承载管理、第三代合作伙伴计划(3rd generation partnership project,3GPP)不同接入网络的核心网络节点之间的移动性管理。
S-GW是终止于E-UTRAN接口的网关,其主要功能包括:进行基站间切换时,作为本地锚定点,并协助完成基站的重排序功能;在3GPP不同接入系统间切换时,作为移动性锚点;执行合法侦听功能;进行数据包的路由和前转;在上行和下行传输层进行分组标记;用于运营商间的计费等。
P-GW是面向PDN终结于SGi接口的网关,如果UE访问多个PDN,UE将对应一个或多个P-GW。P-GW的主要功能包括基于用户的包过滤功能、合法侦听功能、UE的网络之间互连的协议(internet protocol,IP)地址分配功能、在上行链路中进行数据包传送级标记、进行上下行服务等级计费以及服务水平门限的控制、进行基于业务的上下行速率的控制等。
HSS是用于存储用户签约信息的数据库,归属网络中可以包含一个或多个HSS。HSS负责保存跟用户相关的信息,例如用户标识、编号和路由信息、安全信息、位置信息、概要(Profile)信息等。
SGSN可以用于2G/3G和E-UTRAN 3GPP接入网间移动时,进行信令交互,包括对P-GW和S-GW的选择,同时为切换到E-UTRAN 3GPP接入网的用户进行MME的选择。
PCRF实体终结于Rx接口和Gx接口,非漫游场景时,在HPLMN中只有一个PCRF跟UE的一个IP连通性接入网络(ip-connectivity access network),IP-CAN会话相关;在漫游场景并且业务流是本地疏导时,可能会有两个PCRF跟一个UE的IP-CAN会话相关。
本申请适用的另一种可能的网络架构示意图,如图2所示,该网络架构为5G网络架构。该5G网络架构中的网元包括终端设备以及接入与移动管理功能(access and mobilitymanagement function,AMF)实体,图2中以终端设备为UE为例。网络架构还包括无线接入网(radio access network,RAN)、用户面功能(user plane function,UPF)实体、数据网络(data network,DN)、会话管理功能(session management function,SMF)实体、认证服务功能实体(authentication server function,AUSF)、统一数据管理(unified datamanagement,UDM)实体、策略控制功能(policy control function,PCF)实体(图2中未示出)、应用功能(application function,AF)实体(图2中未示出)以及认证信任状存储和处理功能(authentication credential repository and processing function,ARPF)实体(图2中未示出)等。
RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。RAN设备包括但不限于:5G中的(gnodeB,gNB)、eNodeB、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiverstation,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(baseband unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换中心等,此外,还可以包括无线保真(wirelessfidelity,wifi)接入点(access point,AP)等。
AMF实体负责终端的接入管理和移动性管理,在实际应用中,其包括了LTE中网络框架中MME里的移动性管理功能,并加入了接入管理功能。
SMF实体负责会话管理,如用户的会话建立等。
UPF实体是用户面的功能网元,主要负责连接外部网络,其包括了LTE的服务网关(serving gateway,SGW)和公用数据网网关(public data network GateWay,PDN-GW)的相关功能。
DN负责为终端提供服务的网络,如一些DN为终端提供上网功能,另一些DN为终端提供短信功能等等。SEAF实体用于完成对UE的认证过程,在5G中,SEAF的功能可以合并到AMF实体中。
AUSF实体具有鉴权服务功能,用于终结SEAF请求的认证功能。AMF网元负责终端的接入管理和移动性管理,在实际应用中,其包括了LTE中MME的移动性管理功能,并加入了接入管理功能。
ARPF实体具有认证凭证存储和处理功能,用于存储用户的长期认证凭证,如永久密钥K等。在5G中,ARPF的功能可以合并到UDM实体中。
UDM实体可存储用户的签约信息,实现类似于4G中的HSS的后端。
本申请中的终端设备,是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。
如图3所示,本申请提供的第一种寻呼处理方法,应用于在终端设备处于空闲态时,网络侧设备需要与终端设备进行通信的场景下,适用于上述图1所示的4G通信系统以及图2所示的5G通信系统。所述方法包括以下步骤:
S301:移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到第一寻呼标识。
其中,所述终端设备的寻呼标识(paging UE identity或者UE paging identity)可以是固定寻呼标识(即固定不变的寻呼标识),例如4G网络中的IMSI,5G网络中的用户永久标识(subscription permanent identifier,SUPI)或用户隐藏标识(subscriptionconcealed identifier,SUCI);所述终端设备的寻呼标识也可以是所述移动管理网元分配的临时寻呼标识,例如4G网络中的S-TMSI,5G网络中的5G-S-TMSI。
需要说明的是,本申请并不对所述移动管理网元进行限定,所述移动管理网元可以是4G网络中的MME,也可以是5G网络中的AMF实体,还可以是未来通信网络中的具有移动管理功能的网元。
S302:所述移动管理网元向基站发送第一寻呼消息,所述第一寻呼消息中包括所述终端设备的寻呼标识以及所述第一寻呼标识。
其中,在4G网络中所述基站可以是eNB、宏基站、微基站(也称为“小基站”)、微微基站、AP、TP、BSC、BTS、BBU、RNC、家庭基站或移动交换中心等,在5G网络中所述基站可以是上述4G网络中的任意一个设备,也可以是gNB或TRP等。所述基站也可以是未来网络中的基站。
相应地,所述基站接收所述移动管理网元发送的第一寻呼消息。
S303:所述基站向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。
相应地,所述终端设备接收所述第二寻呼消息。
一个可能的实施方式中,携带所述第一指示信息的第二寻呼消息也可以是伪网络发送的。当所述第一寻呼消息是伪网络发送的时,所述第一寻呼标识是所述伪网络使用某种安全上下文(由于所述伪网络无法获得所述终端设备与移动管理网元协商的安全上下文,因此伪网络所使用的安全上下文和所述终端设备与所述移动管理网元协商的安全上下文不同),对所述终端设备的寻呼标识进行安全保护得到的。
S304:所述终端设备根据所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识。
S305:所述终端设备根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息。
一个可能的实施方式中,所述终端设备还可以接收第三寻呼消息,其中,所述第三寻呼消息中没有携带所述第一指示信息,或者所述第三寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
由于伪网络发送给的寻呼消息中携带的寻呼标识通常不会进行安全保护处理,也不会携带所述第一指示信息,即伪网络发送的寻呼消息通常为所述第三寻呼消息,因此,所述终端设备忽略所述第三寻呼消息,可以避免伪网络对所述终端设备的寻呼攻击,进而使得所述终端设备可以与真实基站正常通信。
一个可能的实施方式中,在执行步骤S301之前,所述移动管理网元还要确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息,并将所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备,使得所述终端设备能够根据所述移动管理网元发送的指示信息,确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
其中,所述移动管理网元与所述终端设备互相确定对方支持携带安全保护的寻呼标识的寻呼消息的方法具体包括以下步骤:
i、所述终端设备向所述移动管理网元发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述移动管理网元接收所述终端设备发送的注册请求。
其中,在4G网络中,所述注册请求可以是附着请求(attach request)或跟踪区域更新请求(TAU request,其中TAU为trace area update的缩写);在5G网络中为registration request。
需要说明的是,本申请实施例并不对所述第三指示信息在所述注册请求中的具体格式进行限定,所述第三指示信息可以携带在所述注册请求中现有的信元的预留项中,例如,当所述注册请求为attach request时,所述第三指示信息可以携带在UE networkcapability信元的预留项中;或者,所述第三指示信息也可以携带在所述注册请求的新信元中。
ii、所述移动管理网元根据所述注册请求,确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息。
iii、所述移动管理网元向所述终端设备发送注册接受消息,其中,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息,所述注册接受消息为所述注册请求的响应消息。
相应地,所述终端设备接收所述移动管理网元发送的注册接受消息。
其中,当所述注册请求为attach request时,所述注册接受消息为附着接受(attach accept)消息,当所述注册请求为TAU request时,所述注册接受消息为TAU接受(TAU accept)消息,当所述注册请求为registration request时,所述注册接受消息为registration accept消息。
需要说明的是,本申请实施例并不对所述第四指示信息在所述注册请求中的具体格式进行限定,所述第四指示信息可以携带在所述注册接受消息中现有的信元的预留项中,例如,当所述注册请求为attach accept时,所述第四指示信息可以携带在EPS networkfeature support信元的预留项中;或者,所述第四指示信息也可以携带在所述注册接受消息的新信元中。
iv、所述终端设备根据所述第四指示信息,确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
一个可能的实施方式中,在执行步骤301时,所述移动管理网元可以通过但不限于以下五种方式对所述终端设备的寻呼标识进行安全保护:
方式a、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密。
方式b、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行完整性保护。
方式c、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密,然后对加密的寻呼标识进行完整性保护。
方式d、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行完整性保护,并进行抗重放处理。
方式e、所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密,然后对加密的寻呼标识进行完整性保护,并进行抗重放处理。
在上述五种方式中,所述安全上下文中包括对所述终端设备的寻呼标识进行加密和/或完整性保护所需的密钥以及相应的加密算法。
相应地,在执行步骤304时,所述终端设备可以通过但不限于以下方式对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识:
方式A、当所述移动管理网元采用上述方式a对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述移动管理网元约定的安全上下文,对所述第一寻呼标识进行解密,得到所述第二寻呼标识。
方式B、当所述移动管理网元采用上述方式b对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述移动管理网元约定的安全上下文,对所述第一寻呼标识进行完整性验证,得到所述第二寻呼标识。
方式C、当所述移动管理网元采用上述方式c对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述移动管理网元约定的安全上下文,对所述第一寻呼标识进行完整性验证以及解密,得到所述第二寻呼标识。
方式D、当所述移动管理网元采用上述方式d对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述移动管理网元约定的安全上下文,对所述第一寻呼标识进行完整性验证,得到所述第二寻呼标识,并进行抗重放验证。
方式E、当所述移动管理网元采用上述方式e对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述移动管理网元约定的安全上下文,对所述第一寻呼标识进行完整性验证以及解密,得到所述第二寻呼标识,并进行抗重放验证。
一个具体的实施方式中,在执行步骤305时,所述终端设备具体可以通过以下任一方式处理所述第一寻呼消息:
方式①:所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识一致时,即所述终端设备确定所述第二寻呼消息为真实基站发送的寻呼消息时,响应所述第二寻呼消息。
具体地,当所述第二寻呼标识为固定寻呼标识,且所述第二寻呼标识与所述终端设备的身份标识一致时,所述终端设备进行本地注册,并重新进行注册流程;当所述第二寻呼标识为临时寻呼标识,且所述第二寻呼标识与所述终端设备的身份标识一致时,所述终端设备向所述移动管理网元发送业务请求(service request),完成service流程。
方式2○:所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识不一致时,即所述终端设备确定所述第二寻呼消息不是真实基站发送的寻呼消息时,忽略所述第二寻呼消息。
具体地,所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识不一致时,所述终端设备可以不响应所述第二寻呼消息,或者直接丢弃所述第二寻呼消息。
由于伪网络无法获得所述终端设备与移动管理网元协商的安全上下文,因此所述终端设备在所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第二寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第二寻呼消息,可以有效避免伪网络对所述终端设备的寻呼攻击。
在本申请实施例中,所述终端设备在接收到携带所述第一指示信息的第二寻呼消息时,使用与所述移动管理网元协商的安全上下文,对所述第二寻呼消息中的第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识一致的情况下,才响应所述第二寻呼消息,否则,忽略所述寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述终端设备的寻呼攻击。
下面通过具体实施例一对本申请实施例提供的第一种寻呼处理方法应用在5G网络下的场景,进行详细说明。其中,所述移动管理网元为AMF实体,所述终端设备以UE为例。如图4所示,所述方法包括以下步骤:
S401:UE向AMF实体发送registration request。其中,所述registrationrequest中携带第三指示信息,所述第三指示信息用于指示所述UE支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述AMF实体接收所述registration request。
S402:所述AMF实体根据所述registration request中的第三指示信息,确定所述UE支持携带安全保护的寻呼标识的寻呼消息。
S403:所述AMF实体向所述UE发送registration accept消息,其中,所述registration accept消息中携带第四指示信息,所述第四指示信息用于指示所述AMF实体支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述UE接收所述registration accept消息。
可选地,所述UE接收所述registration accept消息之后,还可以向所述AMF实体发送注册完成(registration complete)消息。
S404:所述UE根据所述registration accept中的第四指示信息,确定所述AMF实体支持携带安全保护的寻呼标识的寻呼消息。
通过上述步骤S401至步骤S404,所述UE确定所述AMF实体支持携带安全保护的寻呼标识的寻呼消息,所述AMF实体确定所述UE支持携带安全保护的寻呼标识的寻呼消息,进而使得所述AMF实体可以通过携带安全保护的寻呼标识的寻呼消息寻呼所述UE。
S405:所述AMF实体确定需要与所述UE通信时,使用与所述UE协商的安全上下文,对所述UE的寻呼标识进行安全保护,得到第一寻呼标识;
S406:所述AMF实体向基站发送第一寻呼消息,所述第一寻呼消息中包括所述UE的寻呼标识以及所述第一寻呼标识。
相应地,所述基站接收所述第一寻呼消息。
S407:所述基站向所述UE发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。
相应地,所述UE接收所述第二寻呼消息。
S408:所述UE根据所述第一指示信息,使用与所述AMF实体协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识。
S409:所述UE判断所述第二寻呼标识与所述UE的身份标识是否一致,若是,执行S410a,否则执行S410b。
S410a:所述UE响应所述第二寻呼消息。
S410b:所述UE忽略所述第二寻呼消息。
可选地,在所述UE执行S404之后,还可以直接执行步骤S411:伪网络向所述UE发送第三寻呼消息,所述第三寻呼消息中不携带所述第一指示信息。所述UE接收所述第三寻呼消息后,直接执行S412:忽略所述第三寻呼消息。
下面通过具体实施例二对本申请实施例提供的第一种寻呼处理方法应用在4G网络下的场景,进行详细说明。其中,所述移动管理网元为MME,所述终端设备以UE为例,所述UE发送的注册请求以attach request为例。如图5所示,所述方法包括以下步骤:
S501:UE向MME发送attach request。其中,所述attach request中携带第三指示信息,所述第三指示信息用于指示所述UE支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述MME接收所述attach request。
S502:所述MME根据所述attach request中的第三指示信息,确定所述UE支持携带安全保护的寻呼标识的寻呼消息。
S503:所述MME向所述UE发送attach accept消息,其中,所述attach accept消息中携带第四指示信息,所述第四指示信息用于指示所述MME支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述UE接收所述MME发送的所述attach accept消息。
S504:所述UE根据所述attach accept消息中的第四指示信息,确定所述MME支持携带安全保护的寻呼标识的寻呼消息。
通过上述步骤S501至步骤S504,所述UE确定所述MME支持携带安全保护的寻呼标识的寻呼消息,所述MME确定所述UE支持携带安全保护的寻呼标识的寻呼消息,进而使得所述MME可以通过携带安全保护的寻呼标识的寻呼消息寻呼所述UE。
S505:所述UE向所述MME发送attach complete消息。
相应地,所述MME接收所述attach complete消息。
S506:所述MME确定需要与所述UE通信时,使用与所述UE协商的安全上下文,对所述UE的寻呼标识进行安全保护,得到第一寻呼标识。
其中,所述UE的寻呼标识可以是IMSI或者S-TMSI。
S507:所述MME向基站发送第一寻呼消息,所述第一寻呼消息中包括所述UE的寻呼标识以及所述第一寻呼标识。
S508:所述基站向所述UE发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。
相应地,所述UE接收所述第二寻呼消息。
S509:所述UE根据所述第一指示信息,使用与所述MME协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识。
S510:所述UE判断所述第二寻呼标识与所述UE的身份标识是否一致,若是,执行S511a,否则执行S511b。
S511a:所述UE响应所述第二寻呼消息。
S511b:所述UE忽略所述第二寻呼消息。
可选地,在所述UE执行S504之后,还可以直接执行步骤S512:伪网络向所述UE发送第三寻呼消息,所述第三寻呼消息中不携带所述第一指示信息。所述UE接收所述第三寻呼消息后,直接执行S513:忽略所述第三寻呼消息。
如图6所示,本申请提供的第二种寻呼处理方法,可以应用于在终端设备处于空闲态时,网络侧设备需要与终端设备进行通信的场景下。所述方法包括以下步骤:
S601:终端设备统计在第一设定时长内接收的寻呼消息的次数。
S602:所述终端设备确定统计的所述寻呼消息的次数大于或等于第一阈值时,向基站发送用于维持与所述基站之间的通信连接的数据包或信令包。
其中,所述通信连接可以是用于传输信令的信令连接,也可以是用于传输数据包的数据连接。
一个可能的实施方式中,所述终端设备接收所述寻呼消息,并确定统计的所述寻呼消息的次数小于所述第一阈值时,所述终端设备响应所述寻呼请求。例如,所述终端设备接收的寻呼消息中携带IMSI,并确定统计的所述寻呼消息的次数小于所述第一阈值时,所述终端设备进行本地注册,并重新进行attach流程,又如,所述终端设备接收的寻呼消息中携带S-TMSI,并确定统计的所述寻呼消息的次数小于所述第一阈值时,所述终端设备向MME发送service request,进行service流程。
一个可能的实施方式中,所述终端设备可以通过但不限于以下几种方式中的任一种确定统计的所述寻呼消息的次数大于或等于第一阈值:
方式一、当所述寻呼消息中携带固定寻呼标识,即所述寻呼消息为第一类寻呼消息时,所述终端设备统计接收到的所述第一类寻呼消息的次数,确定统计的所述第一类寻呼消息的次数大于或等于所述第一阈值。
方式二、当所述寻呼消息中携带临时寻呼标识,即所述寻呼消息为第二类寻呼消息时,所述终端设备统计接收到的所述第二类寻呼消息的次数,确定统计的所述第二类寻呼消息的次数大于或等于所述第一阈值。
方式三、当所述寻呼消息包括所述第一类寻呼消息以及所述第二类寻呼消息时,所述终端设备可以分别统计接收到的所述第一类寻呼消息的次数以及接收到的所述第二类寻呼消息的次数,确定统计的所述第一类寻呼消息的次数大于或等于所述第一阈值,且所述第二类寻呼消息的次数大于或等于所述第一阈值;或者,所述终端设备可以统计接收到的所述第一类寻呼消息的次数与接收到的所述第二类寻呼消息的次数之和,确定统计的寻呼消息的次数之和大于或等于所述第一阈值。
方式四、所述终端设备分别统计在所述第一设定时长内从不同基站接收的寻呼消息的次数,确定从任意一个基站接收的寻呼消息的次数大于或等于所述第一阈值。
一个具体的实施方式中,所述终端设备通过以下步骤向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包:所述终端设备在第二设定时长内,按照设定周期向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包,所述设定周期小于第二阈值,所述第二阈值为所述终端设备与所述基站之间的通信连接维持的时长。例如,所述第二阈值可以为协议规定的基站的UE不活动定时器的定时时长。
所述终端设备按照设定周期向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包,使得所述终端设备在所述第二时长内处于连接态,由于所述终端设备处于连接态时不会响应寻呼消息,因此可以避免伪网络对所述终端设备的寻呼攻击。
在本申请实施例中,所述终端设备统计在第一设定时长内接收的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于第一阈值时,向基站发送用于维持与所述基站之间的通信连接的数据包或信令包,使得所述终端设备处于连接态,而所述终端设备处于连接态时不会响应寻呼消息,因此,在伪网络向所述终端设备频繁发送寻呼消息时,不响应寻呼消息,可以避免伪网络对所述终端设备的寻呼攻击。
如图7所示,本申请提供的第三种寻呼处理方法,可以应用于在终端设备处于空闲态时,网络侧设备需要与终端设备进行通信的场景下。所述方法包括以下步骤:
S701:终端设备统计在设定时长内接收的携带临时寻呼标识的寻呼消息的次数。
具体地,所述终端设备可以在设置的寻呼计数定时器启动后,统计所述寻呼计数定时器对应的定时时长内接收的携带临时寻呼标识的寻呼消息的次数,所述寻呼计数定时器对应的定时时长为所述设定时长。其中,所述终端设备可以在接收到首个携带临时寻呼标识的寻呼消息时,启动所述寻呼计数定时器,或者按照预设周期启动所述寻呼计数定时器。
S702:所述终端设备确定统计的所述寻呼消息的次数大于或等于设定阈值时,向移动管理网元发送用于请求分配全球唯一临时标识GUTI的指示信息;
相应地,所述移动管理网元接收终端设备发送的用于请求分配全球唯一临时标识GUTI的指示信息。
S703:所述移动管理网元根据所述指示信息,为所述终端设备分配GUTI。
其中,所述移动管理网元为所述终端设备分配GUTI与所述终端设备当前接收到的寻呼消息中携带的临时寻呼标识不同。
S704:所述移动管理网元将所述GUTI发送给所述终端设备。
相应地,所述终端设备接收所述移动管理网元发送的GUTI。
S705:所述终端设备根据接收到的GUTI,处理携带临时寻呼标识的寻呼消息。
一个可能的实施方式中,所述终端设备接收所述携带临时寻呼标识的寻呼消息,并确定统计的所述寻呼消息的次数小于所述设定阈值时,所述终端设备响应所述寻呼请求。例如,所述终端设备接收的寻呼消息中携带S-TMSI,并确定统计的所述寻呼消息的次数小于所述设定阈值时,所述终端设备向MME发送service request,进行service流程。
一个可能的实施方式中,在步骤S702-S704中,所述终端设备可以通过但不限于以下任一方式获得所述移动管理网元发送用于请求分配GUTI的指示信息:
方式1、所述终端设备向所述移动管理网元发送位置更新请求,所述位置更新请求中携带所述用于请求分配GUTI的指示信息;所述移动管理网元接收所述位置更新请求后,向所述终端设备发送位置更新接受消息,所述位置更新接受消息中携带所述分配的GUTI;所述终端设备接收所述位置更新接受消息,从所述位置更新消息中获取所述移动管理网元为所述终端设备分配的GUTI。
其中,在4G网络中,所述位置更新请求为TAU request,相应的所述位置更新接受消息为TAU accept消息;在5G网络中,所述位置更新请求为registration request,相应的所述位置更新接受消息为registration accept消息。
需要说明的是,本申请实施例并不对所述用于请求分配GUTI的指示信息在所述位置更新请求中的具体携带方式以及所述移动管理网元分配的GUTI在所述位置更新接受消息中的具体携带方式进行限定。所述用于请求分配GUTI的指示信息可以携带在所述位置更新请求中现有的信元的预留项中,例如,所述用于请求分配GUTI的指示信息携带在TAUrequest中的EPS更新类型(EPS update type)信元中;或者,所述用于请求分配GUTI的指示信息也可以携带在所述位置更新请求的新信元中。当所述位置更新接受消息的现有的信元中存在用于携带GUTI的信元时,所述移动管理网元分配的GUTI可以携带在所述位置更新接受消息中现有的信元中,例如,TAU accept消息的GUTI信元,registration accept消息的5G GUTI信元中;当所述位置更新接受消息的现有的信元中不存在用于携带GUTI的信元时,所述移动管理网元分配的GUTI可以携带在所述位置更新接受消息中现有的信元的预留项中,或者,所述用于移动管理网元分配的GUTI也可以携带在所述位置更新接受消息的新信元中。
方式2、所述移动管理网元向所述终端设备发送GUTI重分配(GUTI reallocationcommand)消息,所述GUTI重分配消息中携带所述GUTI。
相应地,所述终端设备接收所述移动管理网元发送的GUTI重分配消息,从所述GUTI重分配消息中获取所述移动管理网元为所述终端设备分配的GUTI。
方式3、所述移动管理网元向所述终端设备发送配置更新(generic UEconfiguration update)消息,所述配置更新消息中携带所述GUTI。
相应地,所述终端设备接收所述移动管理网元发送的配置更新消息,从所述配置更新消息中获取所述移动管理网元为所述终端设备分配的GUTI。
一个可能的实施方式中,在步骤S705中,所述终端设备根据接收到的GUTI,处理携带临时寻呼标识的寻呼消息具体包括:所述终端设备根据接收到的GUTI,确定所述终端设备当前的临时寻呼标识;当所述终端设备接收到的寻呼消息中携带的临时寻呼标识,与所述终端设备当前的临时寻呼标识一致时,所述终端设备响应所述寻呼消息,当所述终端设备接收到的寻呼消息中携带的临时寻呼标识,与所述终端设备当前的临时寻呼标识不一致时,所述终端设备忽略所述寻呼消息。
具体地,当所述终端设备接收到的寻呼消息中携带的临时寻呼标识,与所述终端设备当前的临时寻呼标识不一致时,所述终端设备不响应所述寻呼消息,或者直接丢弃所述寻呼消息。
在本申请实施例中,所述终端设备统计在设定时长内接收的携带临时寻呼标识的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于设定阈值时,向移动管理网元发送用于请求分配全球唯一临时标识GUTI的指示信息;所述移动管理网元接收所述指示信息后,根据所述指示信息,为所述终端设备分配GUTI,并将分配的GUTI发送给所述终端设备,所述终端设备根据所述移动网元分配的GUTI,处理携带临时寻呼标识的寻呼消息。由于伪网络无法获得所述移动管理网元根据所述指示信息,为所述终端设备分配GUTI,即伪网络发送给所述终端设备的寻呼消息中不会携带所述移动管理网元为所述终端设备分配的新GUTI对应的寻呼标识,因此所述终端设备获得所述移动管理网元为所述终端设备分配的新GUTI后,不会响应伪网络发送的寻呼消息,进而可以避免伪网络对所述终端设备的寻呼攻击。
下面通过具体实施例三对本申请实施例提供的第三种寻呼处理方法应用在5G网络下的场景,进行详细说明。其中,所述移动管理网元为AMF实体,所述终端设备以UE为例。如图8所示,所述方法包括以下步骤:
S801:UE启动寻呼计数定时器,统计所述寻呼计数定时器对应的定时时长内接收到的寻呼消息,该寻呼消息中携带临时寻呼标识;
S802:所述UE判断统计的寻呼消息的次数是否大于或等于所述设定阈值,若不是,执行步骤803,否则执行S805。
S803:所述UE向AMF实体发送service request。
S804:所述AMF实体接收所述service request后,向所述UE发送业务接受(service accept)消息,完成service流程。
S805:所述UE向AMF实体发送registration request,所述registration request中携带用于请求分配GUTI的指示信息。
S806:所述AMF实体根据registration request中的用于请求分配GUTI的指示信息,为所述UE分配GUTI。
S807:所述AMF实体向所述UE发送registration accept消息,所述registrationaccept消息中携带所述AMF实体分配的GUTI。
S808:所述UE接收所述registration accept消息后,根据所述AMF实体分配的GUTI,处理接收到的携带临时寻呼标识的寻呼消息。
其中,所述UE接收所述registration accept消息之后,还可以向所述AMF实体发送registration complete消息。
下面通过具体实施例四对本申请实施例提供的第三种寻呼处理方法应用在4G网络下的场景,进行详细说明。其中,所述移动管理网元为MME,所述终端设备以UE为例。如图9所示,所述方法包括以下步骤:
S901:UE启动寻呼计数定时器,统计所述寻呼计数定时器对应的定时时长内接收到的寻呼消息,该寻呼消息中携带S-TMSI;
S902:所述UE判断统计的寻呼消息的次数是否大于或等于所述设定阈值,若不是,执行步骤903,否则执行S905。
S903:所述UE向MME发送service request。
S904:所述MME接收所述service request后,向所述UE发送service accept消息,完成service流程。
S905:所述UE向MME发送TAU request,所述TAU request中携带用于请求分配GUTI的指示信息。
S906:所述MME接收所述TAU request后,根据所述TAU request中的用于请求分配GUTI的指示信息,为所述UE分配GUTI。
S907:所述MME向所述UE发送TAU accept消息,所述TAU accept消息中携带所述MME分配的GUTI。
S908:所述UE接收所述TAU accept消息后,根据所述MME分配的GUTI,处理接收到的携带S-TMSI的寻呼消息。
其中,所述UE接收所述TAU accept消息之后,还可以向所述MME发送跟踪区域更新完成(TAU complete)消息。
本申请实施例提供了一种寻呼处理装置,所述终端设备用于实现如图3至图5所示的寻呼处理方法中终端设备的功能。如图10所示,所述终端设备1000中包括:接收单元801和处理单元802。
所述接收单元1001,用于接收第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。
所述处理单元1002,用于根据所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识;以及,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息。
一个可能的实施方式中,所述处理单元1002具体用于:确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
一个可能的实施方式中,所述接收单元1001还用于:接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述处理单元1002还用于忽略所述第二寻呼消息;
或者,所述接收单元1001还用于:接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述处理单元1002还用于忽略所述第二寻呼消息。
一个可能的实施方式中,在所述接收单元1001接收第一寻呼消息之前,所述处理单元1002还用于:确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
一个可能的实施方式中,所述寻呼处理装置1000还包括发送单元1003,用于:向所述移动管理网元发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述接收单元1001还用于:接收所述移动管理网元发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息;
所述处理单元1002具体用于:根据所述第四指示信息,确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
其中,所述接收单元1001对应的实体设备可以为接收器,所述处理单元1002对应的实体设备可以为处理器,所述发送单元1003对应的实体设备可以为发射器。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置能够在接收到携带所述第一指示信息的第二寻呼消息时,使用与所述移动管理网元协商的安全上下文,对所述第二寻呼消息中的第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识一致的情况下,才响应所述第二寻呼消息,否则,忽略所述寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述寻呼处理装置的寻呼攻击。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置用于实现如图3至图5所示的寻呼处理方法。如图11所示,所述寻呼处理装置1100中包括:处理单元1101和发送单元1102。
所述处理单元1101,用于使用与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识。
所述发送单元1102,用于向基站发送寻呼消息,所述寻呼消息中包括所述终端设备的寻呼标识以及所述安全保护的寻呼标识。
一个可能的实施方式中,所述处理单元1101在使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护之前,还用于:确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述发送单元1102还用于:将所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备。
一个可能的实施方式中,所述寻呼处理装置1100还包括接收单元1103,用于:接收所述终端设备发送的注册请求,所述注册请求中携带所述终端设备支持携带安全保护的寻呼标识的寻呼消息的指示信息;
所述处理单元1101具体用于:根据所述注册请求中携带的所述指示信息,确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述发送单元1102具体用于:向所述终端设备发送注册接受消息,其中,所述注册接受消息中携带所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息。
其中,所述处理单元1101对应的实体设备可以为处理器,所述发送单元1102对应的实体设备可以为发射器,所述接收单元1103对应的实体设备可以为接收器。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置能够使用与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识,并向基站发送寻呼消息,所述寻呼消息中包括所述终端设备的寻呼标识以及所述安全保护的寻呼标识,通过所述基站向所述终端设备发送携带所述安全保护的寻呼标识的寻呼消息,使得所述终端设备在接收到所述基站发送的寻呼消息后,对该寻呼消息中的安全保护的寻呼标识进行解安全保护处理,根据解安全保护处理后的寻呼标识以及所述终端设备的身份标识,处理所述基站发送的寻呼消息,在所述解安全保护处理后的寻呼标识与所述终端设备的身份标识一致的情况下,才响应所述基站发送的寻呼消息,否则,忽略所述基站发送的寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述终端设备的寻呼攻击。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置用于实现如图3至图5所示的寻呼处理方法。如图12所示,所述寻呼处理装置1200中包括:接收单元1201、处理单元1202和发送单元1203。
所述接收单元1201,用于接收移动管理网元发送的第一寻呼消息,所述第一寻呼消息携带第一寻呼标识以及第二寻呼标识,所述第一寻呼标识为所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述第二寻呼标识进行安全保护后得到的,所述第二寻呼标识为所述终端设备的寻呼标识;
所述处理单元1202用于:根据所述第二寻呼标识,确定所述移动管理网元所要寻呼的所述终端设备;
所述发送单元1203,用于向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。
其中,所述接收单元1201对应的实体设备可以为接收器,所述处理单元1202对应的实体设备可以为处理器,所述发送单元1203对应的实体设备可以为发射器。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置能够接收移动管理网元发送的第一寻呼消息,所述第一寻呼消息携带第一寻呼标识以及第二寻呼标识,并向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识,使得所述终端设备在接收到所述第二寻呼消息后,对所述第二寻呼消息中的第一寻呼标识进行解安全保护处理,根据解安全保护处理后的寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息,在所述解安全保护处理后的寻呼标识与所述终端设备的身份标识一致的情况下,才响应所述第二寻呼消息,否则,忽略所述第二寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述终端设备的寻呼攻击。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置用于实现如图6所示的寻呼处理方法。如图13所示,所述寻呼处理装置1300中包括:接收单元1301、处理单元1302和发送单元1303。
所述接收单元1301,用于接收寻呼消息。
所述处理单元1302,用于统计在第一设定时长内接收的寻呼消息的次数;以及,确定统计的所述寻呼消息的次数大于或等于第一阈值。
所述发送单元1303,用于在所述处理单元1302确定统计的所述寻呼消息的次数大于或等于第一阈值时,向基站发送用于维持与所述基站之间的通信连接的数据包或信令包。
一个可能的实施方式中,所述发送单元1302具体用于:在第二设定时长内,按照设定周期向所述基站发送用于维持与所述基站之间的通信连接的数据包或信令包;其中,所述设定周期小于第二阈值,所述第二阈值为所述终端设备与所述基站之间的通信连接维持的时长。
一个可能的实施方式中,所述寻呼消息中携带固定寻呼标识,或者所述寻呼消息中携带临时寻呼标识。
一个可能的实施方式中,所述寻呼消息包括第一类寻呼消息和第二类寻呼消息,所述第一类寻呼消息中携带固定寻呼标识,所述第二类寻呼消息中携带临时寻呼标识;所述终端设备统计的寻呼消息的次数为在所述第一设定时长内接收的第一类寻呼消息的次数以及第二类寻呼消息的次数之和。
一个可能的实施方式中,所述处理单元1302分别统计在所述第一设定时长内从不同基站接收的寻呼消息的次数;以及,确定从任意一个基站接收的寻呼消息的次数大于或等于所述第一阈值。
其中,所述接收单元1301对应的实体设备可以为接收器,所述处理单元1302对应的实体设备可以为处理器,所述发送单元1303对应的实体设备可以为发射器。
在本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置能够统计在第一设定时长内接收的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于第一阈值时,向基站发送用于维持与所述基站之间的通信连接的数据包或信令包,使得所述寻呼处理装置处于连接态,由于当所述寻呼处理装置处于连接态时不会响应寻呼消息,因此,可以避免伪网络对所述寻呼处理装置的寻呼攻击。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置用于实现如图7至图9所示的寻呼处理方法中终端设备的功能。如图14所示,所述寻呼处理装置1400中包括:接收单元1401、处理单元1402和发送单元1403。
所述接收单元1401,用于接收携带临时寻呼标识的寻呼消息。
所述处理单元1402,用于统计在设定时长内接收的携带临时寻呼标识的寻呼消息的次数;以及,确定统计的所述寻呼消息的次数大于或等于设定阈值。
所述发送单元1403,用于在所述处理单元1402确定统计的所述寻呼消息的次数大于或等于设定阈值时,向移动管理网元发送用于请求分配全球唯一临时标识GUTI的指示信息。
所述接收单元1401还用于:接收所述移动管理网元发送的GUTI。
所述处理单元1402还用于:根据所述接收单元1401接收到的GUTI,处理携带临时寻呼标识的寻呼消息。
一个可能的实施方式中,所述发送单元1403具体用于:向所述移动管理网元发送位置更新请求,所述位置更新请求中携带所述用于请求分配GUTI的指示信息;
所述接收单元1401具体用于:接收所述移动管理网元发送的位置更新接受消息,所述位置更新接受消息中携带所述移动管理网元为所述终端设备分配的GUTI。
一个可能的实施方式中,所述接收单元1401具体用于:接收所述移动管理网元发送的GUTI重分配消息,其中,所述GUTI重分配消息中携带所述移动管理网元为所述终端设备分配的GUTI;或者,接收所述移动管理网元发送的配置更新消息,其中,所述配置更新消息中携带所述移动管理网元为所述终端设备分配的GUTI。
其中,所述接收单元1401对应的实体设备可以为接收器,所述处理单元1402对应的实体设备可以为处理器,所述发送单元1403对应的实体设备可以为发射器。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置能够统计在设定时长内接收的携带临时寻呼标识的寻呼消息的次数,在确定统计的所述寻呼消息的次数大于或等于设定阈值时,向移动管理网元发送用于请求分配全球唯一临时标识GUTI的指示信息;所述寻呼处理装置在接收到所述移动管理网元发送的GUTI后,根据所述移动网元发送的GUTI,处理携带临时寻呼标识的寻呼消息。由于伪网络无法获得所述移动管理网元根据所述指示信息,为所述终端设备分配GUTI,即伪网络发送给所述终端设备的寻呼消息中不会携带所述移动管理网元为所述终端设备分配的新GUTI对应的寻呼标识,因此所述呼处理装置获得所述移动管理网元发送的新GUTI后,不会响应伪网络发送的寻呼消息,进而可以避免伪网络对所述呼处理装置的寻呼攻击。
本申请实施例还提供了一种呼处理装置,所述呼处理装置用于实现如图7至图9所示的寻呼处理方法。如图15所示,所述呼处理装置1500中包括:接收单元1501、分配单元1502和发送单元1503。
所述接收单元1501,用于接收终端设备发送的用于请求分配全球唯一临时标识GUTI的指示信息。
所述分配单元1502,用于所述指示信息,为所述终端设备分配GUTI。
所述发送单元1503,用于将所述GUTI发送给所述终端设备。
一种可能的实施方式中,所述接收单元1501具体用于:接收所述终端设备发送的位置更新请求,所述位置更新请求中携带所述用于请求分配GUTI的指示信息;
所述发送单元1503具体用于:向所述终端设备发送位置更新接受消息,所述位置更新接受消息中携带所述GUTI。
一种可能的实施方式中,所述发送单元1503具体用于:向所述终端设备发送GUTI重分配消息,所述GUTI重分配消息中携带所述GUTI;或者,向所述终端设备发送配置更新消息,所述配置更新消息中携带所述GUTI。
其中,所述接收单元1501对应的实体设备可以为接收器,所述分配单元1502对应的实体设备可以为处理器,所述发送单元1503对应的实体设备可以为发射器。
本申请实施例提供了一种寻呼处理装置,所述寻呼处理装置能够接收终端设备发送的用于请求分配全球唯一临时标识GUTI的指示信息,根据所述指示信息,为所述终端设备分配GUTI,并将分配的GUTI发送给所述终端设备,使得所述终端设备根据所述移动网元分配的GUTI,处理携带临时寻呼标识的寻呼消息。由于伪网络无法获得所述寻呼处理装置根据所述指示信息,为所述终端设备分配GUTI,即伪网络发送给所述终端设备的寻呼消息中不会携带所述寻呼处理装置为所述终端设备分配的新GUTI对应的寻呼标识,因此所述终端设备获得所述寻呼处理装置为所述终端设备分配的新GUTI后,不会响应伪网络发送的寻呼消息,进而可以避免伪网络对所述终端设备的寻呼攻击。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。在本申请的实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
图16示出了上述实施例中所涉及的终端设备的一种可能的设计结构的简化示意图。所述终端设备包括发射器1601,接收器1602,控制器/处理器1603,存储器1604和调制解调处理器1605。
所述发射器1601调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。所述接收器1602调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在所述调制解调处理器1605中,编码器1606接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器1607进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1609处理(例如,解调)该输入采样并提供符号估计。解码器1608处理(例如,解交织和解码)该符号估计并提供发送给UE的已解码的数据和信令消息。编码器1606、调制器1607、解调器1609和解码器1608可以由合成的调制解调处理器1605来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。
所述控制器/处理器1603对终端设备的动作进行控制管理,用于执行上述实施例中由终端设备进行的处理。例如用于控制终端设备根据第二寻呼消息中携带的所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息和/或本发明所描述的技术的其他过程。作为示例,所述控制器/处理器1603用于支持终端设备执行图3中的步骤S304和S305,图4中的步骤S404、S408至S410a(或S410b)和S412,图5中的步骤S504、S509至S511a(或S511b)和S513,图6中的步骤S601和S602,图7中的步骤S701、S702和S705,图8中的步骤S801、S802、S805和S808,图9中的步骤S901、S902、S905和S908。
所述存储器1604用于存储用于所述终端设备1600涉及的程序代码和数据。
需要说明的是,本申请实施例提供的所述终端设备1600用于实现图3至图5所示的寻呼处理方法,或者图6所示的寻呼处理方法,或者图7至图9所示的寻呼处理方法中终端设备的功能,此处仅对所述终端设备1600中各个模块之间的连接关系进行了描述,所述终端设备1600处理寻呼消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述,此处不再赘述。
图17示出了上述实施例中所涉及的移动管理网元的一种可能的结构示意图。所述移动管理网元1700包括:发射器/接收器1701,控制器/处理器1702以及存储器1703。
所述发射器/接收器1701用于支持移动管理网元与上述实施例中所述的终端设备之间收发信息,以及支持所述终端设备与其他终端设备之间进行无线电通信。所述控制器/处理器1702执行各种用于与终端设备通信的功能。在上行链路,来自所述终端设备的上行链路信号经由天线接收,由接收器1701进行调解,并进一步由所述控制器/处理器1172进行处理来恢复终端设备所发送到业务数据和信令信息。在下行链路上,业务数据和信令消息由所述控制器/处理器1702进行处理,并由发射器1701进行调解来产生下行链路信号,并经由天线发射给终端设备。所述控制器/处理器1702还执行图3至图5,图7至图9中涉及移动管理网元的处理过程和/或用于本申请所描述的技术的其他过程。
所述存储器1703用于存储移动管理网元的程序代码和数据。所述移动管理网元1700还可以包括通信单元1704,所述通信单元1704用于支持移动管理网元与其他网络实体进行通信。例如,用于支持移动管理网元与图1(或图2)中示出的其他通信网络实体间进行通信,例如图1中的SGSN、SGW或PGW等,又如图2中的AUSF实体或SMF等。
需要说明的是,本申请实施例提供的所述移动管理网元1700用于实现图3至图5所示的寻呼处理方法或者图7至图9所示的寻呼处理方法中移动管理网元的功能,此处仅对所述移动管理网元1700中各个模块之间的连接关系进行了描述,所述移动管理网元1700处理寻呼消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述,此处不再赘述。
图18示出了上述实施例中所涉及的基站的一种可能的结构示意图。所述基站1800包括:发射器/接收器1801,控制器/处理器1802以及存储器1803。
所述发射器/接收器1801用于支持移动管理网元与上述实施例中所述的终端设备之间收发信息,以及支持所述终端设备与其他终端设备之间进行无线电通信。所述控制器/处理器1802执行各种用于与终端设备通信的功能。在上行链路,来自所述终端设备的上行链路信号经由天线接收,由接收器1801进行调解,并进一步由所述控制器/处理器1802进行处理来恢复终端设备所发送到业务数据和信令信息。在下行链路上,业务数据和信令消息由所述控制器/处理器1802进行处理,并由发射器1801进行调解来产生下行链路信号,并经由天线发射给终端设备。所述控制器/处理器1802还执行图3至图5中涉及移动管理网元的处理过程和/或用于本申请所描述的技术的其他过程。
所述存储器1803用于存储移动管理网元的程序代码和数据。所述基站1800还可以包括通信单元1804,所述通信单元1804用于支持移动管理网元与其他网络实体进行通信。例如,用于支持移动管理网元与图1(或图2)中示出的其他通信网络实体间进行通信,例如图1中的SGSN、SGW或PGW等,又如图2中的AUSF实体或SMF等。
需要说明的是,本申请实施例提供的所述基站1800用于实现图3至图5所示的寻呼处理方法中基站的功能,此处仅对所述基站1800中各个模块之间的连接关系进行了描述,所述基站1800处理寻呼消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述,此处不再赘述。
如图19所示,本申请实施例提供的第四种寻呼处理方法,应用于在终端设备与第一网络设备(接入网设备)之间的通信链路处于未激活态、且第一网路设备与第二网络设备(核心网设备)之间的通信链路处于连接态时,即所述终端设备以及所述接入网设备处于无线资源控制(radio resource control,RRC)INACTIVE状态,网络侧设备需要与终端设备进行通信的场景下,主要适用于上述图2所示的5G通信系统。所述方法包括以下步骤:
S1901:第一网络设备接收到下行数据包或者下行信令包后,使用所述第一网络设备与终端设备协商的安全上下文,对终端设备的寻呼标识进行安全保护,得到第一寻呼标识。
其中,所述第一网络设备具体可以为5G网络中的基站(gNB)或TRP等,也可以是未来网络中的基站。发送所述下行信令包或者下行数据包的设备为核心网设备,发送所述下行信令包的设备可以是移动管理网元,例如5G网络中的AMF实体,发送所述下行数据包的设备可以是用户面管理网元,例如5G网络中的UPF实体。所述第一网络设备能够接收到下行数据包或者下行信令包,说明此时所述第一网络设备与核心网设备之间的通信链路处于连接态。所述终端设备的寻呼标识可以为未激活状态下的无线网络临时标识(inactive-radionetwork temporary identifier,I-RNTI)。
S1902:所述第一网络设备向所述终端设备发送第一寻呼消息,所述第一寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识。此时,所述第一网络设备与所述终端设备之间的通信链路处于未激活态。
其中,所述终端设备与所述第一网络设备协商的安全上下文为RRC层的安全上下文,可以通过非接入层(non-access stratum,NAS)的安全上下文(即所述终端设备与移动管理网元协商的安全上下文)衍生得到。
相应地,所述终端设备接收第一网络设备发送的所述第一寻呼消息。
S1903:所述终端设备与所述第一网络设备之间通信链路的状态为未激活态时,所述终端设备根据所述第一指示信息,使用与所述第一网络设备协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识。
此时,所述终端设备以及所述第一网络设备处于RRC INACTIV状态。
S1904:所述终端设备根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息。
示例性的,所述终端设备还可以接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述终端设备忽略所述第二寻呼消息;或者,所述终端设备接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
由于伪网络发送给的寻呼消息中携带的寻呼标识通常不会进行安全保护处理,也不会携带所述第一指示信息,即伪网络发送的寻呼消息通常为所述第二寻呼消息,因此,所述终端设备忽略所述第二寻呼消息,可以避免伪网络对所述终端设备的寻呼攻击,进而使得所述终端设备可以与真实网络正常通信。
示例性的,所述第一网络设备在接收到下行数据包或者下行信令包之前,还要确定所述终端设备以及第二网络设备均支持携带安全保护的寻呼标识的寻呼消息。其中,所述第一网络设备确定所述终端设备以及第二网络设备均支持携带安全保护的寻呼标识的寻呼消息具体包括:
步骤A:所述第二网络设备向所述第一网络设备发送指示信息,所述第二网络设备发送的指示信息用于指示所述第二网络设备以及所述终端设备支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述第一网络设备接收所述第二网络设备发送的指示信息。
步骤B:所述第一网络设备根据所述第二网络设备发送的指示信息,确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
其中,所述第二网络设备向所述第一网络设备发送指示信息之前,所述第二网络设备还要确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息。所述第二网络设备还要确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息后,将所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备,使得所述终端设备能够根据所述第二网络设备发送的指示信息,确定所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
其中,所述第二网络设备与所述终端设备互相确定对方支持携带安全保护的寻呼标识的寻呼消息的方法具体包括以下步骤:
1、所述终端设备向所述第二网络设备发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
相应地,所述第二网络设备接收所述终端设备发送的注册请求。其中,在5G网络中所述注册请求可以是注册请求registration request消息。
需要说明的是,本申请实施例并不对所述第三指示信息在所述注册请求中的具体格式进行限定,所述第三指示信息可以携带在所述注册请求中现有的信元的预留项中。
2、所述第二网络设备根据所述注册请求,确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息。
其中,所述第二网络设备确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息之后,还可以向所述第一网络设备发送用于指示所述第二网络设备以及所述终端设备支持携带安全保护的寻呼标识的寻呼消息的指示信息,以使所述第一网络设备确定所述终端设备以及第二网络设备均支持携带安全保护的寻呼标识的寻呼消息。
例如,在5G网络中,所述第二网络设备在确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息之后,可以通过初始用户上下文建立请求initial UE context setuprequest消息,将用于指示所述第二网络设备以及所述终端设备支持携带安全保护的寻呼标识的寻呼消息的指示信息发送给所述第一网络设备。
3、所述第二网络设备向所述终端设备发送注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述终端设备接收所述第二网络设备发送的注册接受消息。其中,当所述注册请求为registration request消息时,所述注册接受消息为registration accept消息。
需要说明的是,本申请实施例并不对所述第四指示信息在所述注册请求中的具体格式进行限定,所述第四指示信息可以携带在所述注册接受消息中现有的信元的预留项中。例如,当所述注册接受消息为registration accept消息时,所述第四指示信息可以携带在5GS network feature support信元的预留项中。
4、所述终端设备根据所述第四指示信息,确定所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
示例性的,在执行步骤S1901时,所述第一网络设备可以通过但不限于以下任一方式对所述终端设备的寻呼标识进行安全保护:
方式1、所述第一网络设备使用所述第一网络设备与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密;或者,
方式2、所述第一网络设备使用所述第一网络设备与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行完整性保护;或者,
方式3、所述第一网络设备使用所述第一网络设备与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密,然后对加密的寻呼标识进行完整性保护;或者,
方式4、所述第一网络设备使用所述第一网络设备与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行完整性保护,并进行抗重放处理;或者,
方式5、所述第一网络设备使用所述第一网络设备与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行加密,然后对加密的寻呼标识进行完整性保护,并进行抗重放处理。
在上述五种方式中,所述安全上下文中包括对所述终端设备的寻呼标识进行加密和/或完整性保护所需的密钥以及相应的加密算法。
相应地,在执行步骤S1903时,所述终端设备可以通过但不限于以下任一方式对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识:
方式一、当所述第一网络设备采用上述方式1对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述第一网络设备约定的安全上下文,对所述第一寻呼标识进行解密,得到所述第二寻呼标识;或者,
方式二、当所述第一网络设备采用上述方式2对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述第一网络设备约定的安全上下文,对所述第一寻呼标识进行完整性验证,得到所述第二寻呼标识;或者,
方式三、当所述第一网络设备采用上述方式3对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述第一网络设备约定的安全上下文,对所述第一寻呼标识进行完整性验证以及解密,得到所述第二寻呼标识;或者,
方式四、当所述第一网络设备采用上述方式4对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述第一网络设备约定的安全上下文,对所述第一寻呼标识进行完整性验证,得到所述第二寻呼标识,并进行抗重放验证;或者,
方式五、当所述第一网络设备采用上述方式5对所述终端设备的寻呼标识进行安全保护时,所述终端设备使用与所述第一网络设备约定的安全上下文,对所述第一寻呼标识进行完整性验证以及解密,得到所述第二寻呼标识,并进行抗重放验证;或者,
一个具体的实施方式中,在执行步骤S1904时,所述终端设备具体可以通过以下任一方式处理所述第一寻呼消息:
方式I:所述终端设备确定所述第一寻呼标识与所述终端设备的身份标识一致时,即所述终端设备确定所述第一寻呼消息为真实网络发送的寻呼消息时,响应所述第一寻呼消息;或者,
方式II:所述终端设备确定所述第一寻呼标识与所述终端设备的身份标识不一致时,即所述终端设备确定所述第一寻呼消息不是真实网络发送的寻呼消息时,忽略所述第一寻呼消息。
具体地,所述终端设备确定所述第一寻呼标识与所述终端设备的身份标识不一致时,所述终端设备可以不响应所述第一寻呼消息,或者直接丢弃所述第一寻呼消息。
由于伪网络无法获得所述终端设备与所述第一网络设备协商的安全上下文,因此所述终端设备在所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息,可以有效避免伪网络对所述终端设备的寻呼攻击。
在本申请实施例中,终端设备接收第一网络设备发送第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及用于指示所述第一寻呼标识为安全保护的寻呼标识的第一指示信息;若所述终端设备与第一网络设备之间的通信链路为未激活态,所述终端设备使用与所述第一网络设备协商的安全上下文,对所述第一寻呼消息中的第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息,在所述第二寻呼标识与所述终端设备的身份标识一致的情况下,才响应所述第一寻呼消息,否则,忽略所述寻呼消息,而不是接收到寻呼消息就响应,因而可以避免伪网络对所述终端设备的寻呼攻击。
下面通过具体实施例五对本申请实施例提供的第一种寻呼处理方法应用在5G网络下的场景,进行详细说明。其中,以所述第一网络设备为gNB,所述第二网络设备为AMF实体,所述终端设备UE为例。如图20所示,所述方法包括以下步骤:
S2001:UE向AMF实体发送registration request消息。其中,所述registrationrequest消息中携带第三指示信息,所述第三指示信息用于指示所述UE支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述AMF实体接收所述registration request消息。
S2002:所述AMF实体根据所述registration request消息中的第三指示信息,确定所述UE支持携带安全保护的寻呼标识的寻呼消息。
S2003:所述AMF向所述gNB发送initial UE context setup request消息,所述初始用户上下文建立请求initial UE context setup request消息中携带用于指示所述AMF以及所述UE支持携带安全保护的寻呼标识的寻呼消息的指示信息。
相应地,所述gNB接收所述initial UE context setup request消息。
S2004:所述gNB根据所述initial UE context setup request消息中携带的指示信息,确定所述AMF以及所述UE支持携带安全保护的寻呼标识的寻呼消息。
S2005:所述AMF实体向所述UE发送registration accept消息,其中,所述registration accept消息中携带第四指示信息,所述第四指示信息用于指示所述AMF实体支持携带安全保护的寻呼标识的寻呼消息。
相应地,所述UE接收所述registration accept消息。此时,所述UE与网络侧之间建立协议数据单元(protocol data unit,PDU)会话(session),能够进行数据传输。
可选地,所述UE接收所述registration accept消息之后,还可以向所述AMF实体发送注册完成(registration complete)消息。
S2006:所述UE根据所述registration accept中的第四指示信息,确定所述AMF实体支持携带安全保护的寻呼标识的寻呼消息。
通过上述步骤S2001至步骤S2006,所述UE确定所述AMF实体支持携带安全保护的寻呼标识的寻呼消息,所述AMF实体确定所述UE支持携带安全保护的寻呼标识的寻呼消息,所述gNB可以确定所述AMF以及所述UE支持携带安全保护的寻呼标识的寻呼消息,进而使得所述gNB在所述gNB与所述UE之间的通信链路为未激活态时,可以通过携带安全保护的寻呼标识的寻呼消息寻呼所述UE。
S2007:UPF实体向所述gNB发送下行数据包。
相应地,所述gNB接收所述UPF发送的下行数据包。
S2008:所述gNB使用与所述UE协商的安全上下文对所述UE的寻呼标识进行安全保护,得到第一寻呼标识。
S2009:所述gNB向所述UE发送第一寻呼消息,所述第一寻呼消息中携带所述第一寻呼标识以及第一指示信息。
相应地,所述UE接收所述第一寻呼消息。
S2010:所述UE与所述gNB之间的通信链路处于未激活态时,所述UE根据所述第一指示信息,使用与所述gNB协商的安全上下文,对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识。
S2011:所述UE判断所述第二寻呼标识与所述UE的身份标识是否一致,若是,执行S2012a,否则执行S2012b。
S2012a:所述UE响应所述第一寻呼消息。
S2012b:所述UE忽略所述第一寻呼消息。
可选地,在所述UE执行S2006之后,还可以直接执行步骤S2013:伪网络向所述UE发送第二寻呼消息,所述第二寻呼消息中不携带所述第一指示信息。所述UE接收所述第二寻呼消息后,直接执行S2014:忽略所述第二寻呼消息。
上述本申请提供的实施例中,分别从终端设备、第一网络设备、以及第二网络设备之间交互的角度对本申请实施例提供的方法进行了介绍。可以理解的是,各个网元,例如终端设备、第一网络设备为了实现上述本申请实施例提供的方法中的各功能,终端设备和第一网络设备包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对终端设备、第一网络设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图21示出了上述和实施例中涉及的寻呼处理装置的一种可能的组成示例图一,该寻呼处理装置能执行本申请第四种方法实施例中任一可能实施方式中终端设备所执行的步骤。如图21所示,所述寻呼处理装置为终端设备或支持终端设备实现第四种方法实施例中提供的方法的寻呼处理装置,例如该寻呼处理装置可以是芯片系统。所述寻呼处理装置可以包括:接收单元2101和处理单元2102。
所述接收单元2101,用于支持寻呼处理装置执行本申请第四种方法实施例中描述的方法。例如,所述接收单元2101,用于执行或用于支持寻呼处理装置执行图19所示的寻呼处理方法中的S1902,图20所示的寻呼处理方法中的S2005、S2009和S2013。
所述处理单元2102,用于支持寻呼处理装置执行图19寻呼处理方法中的S1903、S1904,图20所示的寻呼处理方法中的S2006、S2010、S2011、S2012a、S2012b以及S2014。
进一步的,所述寻呼处理装置还可以包括发送单元2103。接收单元2103,用于支持寻呼处理装置执行图20所示的寻呼处理方法中的S2001。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本申请实施例提供的寻呼处理装置,用于执行上述任意实施例的方法,因此可以达到与上述实施例的方法相同的效果。
接收单元对应的实体设备可以为接收器,发送单元对应的实体设备可以为发射器,处理单元对应的实体设备可以为处理器。
在采用对应各个功能划分各个功能模块的情况下,图22示出了上述和实施例中涉及的寻呼处理装置的一种可能的组成示例图二,该寻呼处理能执行本申请第四种方法实施例中任一可能实施方式中第一网络设备所执行的步骤。如图22所示,所述寻呼处理装置为第一网络设备或支持第一网络设备实现第四种方法实施例中提供的方法的寻呼处理装置,例如该寻呼处理装置可以是芯片系统。该寻呼处理装置可以包括:接收单元2201、处理单元2202和发送单元2203。
所述接收单元2201,用于支持寻呼处理装置执行本申请第四种方法实施例中描述的方法。例如,所述接收单元2201,用于执行或用于支持寻呼处理装置执行图19所示的寻呼处理方法中的S1901,图20所示的寻呼处理方法中的S2003和S2007。
所述处理单元2202,用于支持寻呼处理装置执行图19寻呼处理方法中的S1901,图20所示的寻呼处理方法中的S2004和S2008。
所述发送单元2203,用于支持寻呼处理装置执行图19寻呼处理方法中的S1902,图20所示的寻呼处理方法中的S2009。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本申请实施例提供的寻呼处理装置,用于执行上述任意实施例的方法,因此可以达到与上述实施例的方法相同的效果。
接收单元对应的实体设备可以为接收器,发送单元对应的实体设备可以为发射器,处理单元对应的实体设备可以为处理器。
图23示出了上述第四种方法实施例中所涉及的终端设备的一种可能的设计结构的简化示意图。所述终端设备包括发射器2301,接收器2302,控制器/处理器2303,存储器2304和调制解调处理器2305。
所述发射器2301调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。所述接收器2302调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在所述调制解调处理器2305中,编码器2306接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器2307进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器2309处理(例如,解调)该输入采样并提供符号估计。解码器2308处理(例如,解交织和解码)该符号估计并提供发送给UE的已解码的数据和信令消息。编码器2306、调制器2307、解调器2309和解码器2308可以由合成的调制解调处理器2305来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。
所述控制器/处理器2303对终端设备的动作进行控制管理,用于执行上述实施例中由终端设备进行的处理。例如用于控制终端设备根据第二寻呼消息中携带的所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识,根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第二寻呼消息和/或本发明所描述的技术的其他过程。作为示例,所述控制器/处理器2303用于支持终端设备执行图19中的步骤S1903、S1904,图20中的步骤S2006、S2010、S2011、S2012a、S2012b以及S2014。
所述存储器2304用于存储用于所述终端设备2300涉及的程序代码和数据。
需要说明的是,本申请实施例提供的所述终端设备2300用于实现图19以及图20所示的寻呼处理方中终端设备的功能,此处仅对所述终端设备2300中各个模块之间的连接关系进行了描述,所述终端设备2300处理寻呼消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述,此处不再赘述。
图24示出了上述实施例中所涉及的第一网络设备的一种可能的结构示意图。所述第一网络设备2400包括:发射器/接收器2401,控制器/处理器2402以及存储器2403。
所述发射器/接收器2401用于支持第一网络设备与上述实施例中所述的终端设备之间收发信息,以及支持所述终端设备与其他终端设备之间进行无线电通信。所述控制器/处理器2402执行各种用于与终端设备通信的功能。在上行链路,来自所述终端设备的上行链路信号经由天线接收,由接收器2401进行调解,并进一步由所述控制器/处理器2402进行处理来恢复终端设备所发送到业务数据和信令信息。在下行链路上,业务数据和信令消息由所述控制器/处理器2402进行处理,并由发射器2401进行调解来产生下行链路信号,并经由天线发射给终端设备。所述控制器/处理器2402还执行图19和图20中涉及第一网络设备的处理过程和/或用于本申请所描述的技术的其他过程。
所述存储器2403用于存储第一网络设备的程序代码和数据。所述第一网络设备2400还可以包括通信单元2404,所述通信单元2404用于支持第一网络设备与其他网络实体进行通信。例如,用于支持第一网络设备与图2中示出的其他通信网络实体间进行通信,如图2中的AUSF实体或SMF等。
需要说明的是,本申请实施例提供的所述第一网络设备2400用于实现图19以及图20所示的寻呼处理方法中第一网络设备的功能,此处仅对所述第一网络设备2400中各个模块之间的连接关系进行了描述,所述第一网络设备2400处理寻呼消息的具体方案以及具体执行的动作参见上述方法实施例中的相关描述,此处不再赘述。
综上所述,本申请实例提供了一种寻呼处理方法以及装置,通过对寻呼消息中的关键信息寻呼标识进行安全保护,或者在终端设备频繁接收到寻呼消息后,通过使终端设备在一定时间内保持连接态,或者从移动管理网元获取新的GUTI,以增加伪网络持续对中设备进行寻呼攻击的难度,进而可以避免伪网络对终端设备的寻呼攻击,减少终端设备的不必要功耗,提升用体验。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (28)
1.一种寻呼处理方法,其特征在于,包括:
终端设备接收第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;
所述终端设备根据所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识;
所述终端设备根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述终端设备接收第一寻呼消息之前,还包括:
所述终端设备确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
2.如权利要求1所述的方法,其特征在于,所述终端设备根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息,包括:
所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,
所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述终端设备接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述终端设备忽略所述第二寻呼消息;或者,
所述终端设备接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
4.如权利要求1所述的方法,其特征在于,所述终端设备确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息,包括:
所述终端设备向所述移动管理网元发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述终端设备接收所述移动管理网元发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息;
所述终端设备根据所述第四指示信息,确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
5.一种寻呼处理方法,其特征在于,包括:
移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识;
所述移动管理网元向基站发送寻呼消息,所述寻呼消息中包括所述终端设备的寻呼标识以及所述安全保护的寻呼标识;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护之前,还包括:
所述移动管理网元确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述移动管理网元将所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备。
6.如权利要求5所述的方法,其特征在于,所述移动管理网元确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息,包括:
所述移动管理网元接收所述终端设备发送的注册请求,所述注册请求中携带所述终端设备支持携带安全保护的寻呼标识的寻呼消息的指示信息;
所述移动管理网元根据所述指示信息,确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述移动管理网元将移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备,包括:
所述移动管理网元向所述终端设备发送注册接受消息,其中,所述注册接受消息中携带所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息。
7.一种寻呼处理方法,其特征在于,包括:
基站接收移动管理网元发送的第一寻呼消息,所述第一寻呼消息携带第一寻呼标识以及第二寻呼标识,所述第一寻呼标识为所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述第二寻呼标识进行安全保护后得到的,所述第二寻呼标识为所述终端设备的寻呼标识;
所述基站向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述终端设备支持携带安全保护的寻呼标识的寻呼消息。
8.一种寻呼处理方法,其特征在于,包括:
终端设备接收第一网络设备发送的第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;
所述终端设备与所述第一网络设备之间通信链路的状态为未激活态时,所述终端设备根据所述第一指示信息,使用与所述第一网络设备协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识;
所述终端设备根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述终端设备接收第一寻呼消息之前,还包括:
所述终端设备确定第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
9.如权利要求8所述的方法,其特征在于,所述终端设备根据所述第二寻呼标识以及所述终端设备的身份标识,处理所述第一寻呼消息,包括:
所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,
所述终端设备确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
10.如权利要求8或9所述的方法,其特征在于,所述方法还包括:
所述终端设备接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述终端设备忽略所述第二寻呼消息;或者,
所述终端设备接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
11.如权利要求8所述的方法,其特征在于,所述终端设备确定第二网络设备支持携带安全保护的寻呼标识的寻呼消息,包括:
所述终端设备向所述第二网络设备发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述终端设备接收所述第二网络设备发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息;
所述终端设备根据所述第四指示信息,确定所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
12.一种寻呼处理方法,其特征在于,包括:
第一网络设备接收到下行数据包或者下行信令包后,使用所述第一网络设备与终端设备协商的安全上下文,对终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识;
所述第一网络设备向所述终端设备发送寻呼消息,所述寻呼消息携带所述安全保护的寻呼标识以及用于指示所述携带的寻呼标识为安全保护的寻呼标识的指示信息;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述第一网络设备接收到下行数据包或者下行信令包之前,还包括:
所述第一网络设备确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
13.如权利要求12所述的方法,其特征在于,所述第一网络设备确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息,包括:
所述第一网络设备接收所述第二网络设备发送的指示信息,所述第二网络设备发送的指示信息用于指示所述第二网络设备以及所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述第一网络设备根据所述第二网络设备发送的指示信息,确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
14.一种寻呼处理装置,其特征在于,包括:接收单元和处理单元;
所述接收单元,用于接收第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;
所述处理单元,用于根据所述接收单元接收的所述第一寻呼消息中的所述第一指示信息,使用与移动管理网元协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识;以及根据所述第二寻呼标识以及终端设备的身份标识,处理所述第一寻呼消息;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
在所述接收单元接收第一寻呼消息之前,所述处理单元还用于:
确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
15.如权利要求14所述的装置,其特征在于,所述处理单元具体用于:
确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,
确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
16.如权利要求14或15所述的装置,其特征在于,所述接收单元还用于:
接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述终端设备忽略所述第二寻呼消息;或者,
接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述终端设备忽略所述第二寻呼消息。
17.如权利要求14所述的装置,其特征在于,还包括:
发送单元,用于向所述移动管理网元发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述接收单元还用于:接收所述移动管理网元发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息;
所述处理单元具体用于:根据所述第四指示信息,确定所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息。
18.一种寻呼处理装置,其特征在于,包括:处理单元和发送单元;
所述处理单元用于:使用与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识;
所述发送单元用于向基站发送寻呼消息,所述寻呼消息中包括所述终端设备的寻呼标识以及所述安全保护的寻呼标识;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述处理单元在使用移动管理网元与终端设备协商的安全上下文,对所述终端设备的寻呼标识进行安全保护之前,还用于:
确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述发送单元还用于:将移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息,发送给所述终端设备。
19.如权利要求18所述的装置,其特征在于,还包括:
接收单元,用于接收所述终端设备发送的注册请求,所述注册请求中携带所述终端设备支持携带安全保护的寻呼标识的寻呼消息的指示信息;
所述处理单元具体用于:根据所述接收单元接收的所述注册请求中携带的所述指示信息,确定所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述发送单元具体用于:向所述终端设备发送注册接受消息,其中,所述注册接受消息中携带所述移动管理网元支持携带安全保护的寻呼标识的寻呼消息的指示信息。
20.一种寻呼处理装置,其特征在于,包括接收单元、发送单元和处理单元;
所述接收单元,用于收移动管理网元发送的第一寻呼消息,所述第一寻呼消息携带第一寻呼标识以及第二寻呼标识,所述第一寻呼标识为所述移动管理网元使用所述移动管理网元与终端设备协商的安全上下文,对所述第二寻呼标识进行安全保护后得到的,所述第二寻呼标识为所述终端设备的寻呼标识;
所述处理单元,用于根据所述第二寻呼标识,确定所述移动管理网元所要寻呼的所述终端设备;
所述发送单元用于:向所述终端设备发送第二寻呼消息,所述第二寻呼消息携带所述第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述终端设备支持携带安全保护的寻呼标识的寻呼消息。
21.一种寻呼处理装置,其特征在于,包括接收单元和处理单元:
所述接收单元,用于接收第一网络设备发送的第一寻呼消息,所述第一寻呼消息中携带第一寻呼标识以及第一指示信息,所述第一指示信息用于指示所述第一寻呼标识为安全保护的寻呼标识;
所述处理单元,用于在确定所述装置与所述第一网络设备之间通信链路的状态为未激活态时,根据所述第一指示信息,使用与所述第一网络设备协商的安全上下文对所述第一寻呼标识进行解安全保护处理,得到第二寻呼标识;以及,根据所述第二寻呼标识以及终端设备的身份标识,处理所述第一寻呼消息;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述处理单元还用于:
在所述接收单元接收第一寻呼消息之前,确定第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
22.如权利要求21所述的装置,其特征在于,所述处理单元具体用于:确定所述第二寻呼标识与所述终端设备的身份标识一致时,响应所述第一寻呼消息;或者,
确定所述第二寻呼标识与所述终端设备的身份标识不一致时,忽略所述第一寻呼消息。
23.如权利要求21或22所述的装置,其特征在于,所述接收单元还用于接收第二寻呼消息,所述第二寻呼消息中没有携带所述第一指示信息;所述处理单元还用于:忽略所述第二寻呼消息;或者,
所述接收单元还用于接收第二寻呼消息,所述第二寻呼消息中携带第三寻呼标识和第二指示信息,且所述第二指示信息用于指示所述第三寻呼标识为明文;所述处理单元还用于:忽略所述第二寻呼消息。
24.如权利要求21所述的装置,其特征在于,还包括:发送单元,用于向所述第二网络设备发送注册请求,所述注册请求中携带第三指示信息,所述第三指示信息用于指示所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述接收单元还用于:接收所述第二网络设备发送的注册接受消息,所述注册接受消息中携带第四指示信息,所述第四指示信息用于指示所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息;
所述处理单元具体用于:根据所述第四指示信息,确定所述第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
25.一种寻呼处理装置,其特征在于,包括接收单元、处理单元和发送单元;
所述接收单元,用于接收下行数据包或者下行信令包;
所述处理单元,用于在所述接收单元接收下行数据包或者下行信令包之后,使用第一网络设备与终端设备协商的安全上下文,对终端设备的寻呼标识进行安全保护,得到安全保护的寻呼标识;
所述发送单元,用于向所述终端设备发送寻呼消息,所述寻呼消息携带所述安全保护的寻呼标识以及用于指示所述携带的寻呼标识为安全保护的寻呼标识的指示信息;
所述安全保护包括以下一个或多个:加密、完整性保护和抗重放处理;
所述处理单元还用于:
在所述接收单元接收下行数据包或者下行信令包之前,确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
26.如权利要求25所述的装置,其特征在于,所述接收单元还用于:接收所述第二网络设备发送的指示信息,所述第二网络设备发送的指示信息用于指示所述第二网络设备以及所述终端设备支持携带安全保护的寻呼标识的寻呼消息;
所述处理单元具体用于:根据所述第二网络设备发送的指示信息,确定所述终端设备以及第二网络设备支持携带安全保护的寻呼标识的寻呼消息。
27.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行权利要求1-7任一项所述的方法。
28.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令在被所述计算机调用时用于使所述计算机执行权利要求8-13任一项所述的方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2019/088203 WO2019223769A1 (zh) | 2018-05-24 | 2019-05-23 | 一种寻呼处理方法及装置 |
EP19808078.0A EP3817421A4 (en) | 2018-05-24 | 2019-05-23 | PAGING PROCESSING METHOD AND DEVICE |
US17/100,351 US20210076353A1 (en) | 2018-05-24 | 2020-11-20 | Paging processing method and apparatus |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2018105109418 | 2018-05-24 | ||
CN201810510941 | 2018-05-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110536290A CN110536290A (zh) | 2019-12-03 |
CN110536290B true CN110536290B (zh) | 2022-03-29 |
Family
ID=68659279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910047972.9A Active CN110536290B (zh) | 2018-05-24 | 2019-01-18 | 一种寻呼处理方法及装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20210076353A1 (zh) |
EP (1) | EP3817421A4 (zh) |
CN (1) | CN110536290B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113395697B (zh) * | 2020-03-12 | 2023-09-22 | 华为技术有限公司 | 传输寻呼信息的方法和通信装置 |
CN113543111A (zh) * | 2020-04-14 | 2021-10-22 | 中兴通讯股份有限公司 | 信息获取方法和装置、电子设备、计算机可读存储介质 |
CN113973358A (zh) * | 2020-07-24 | 2022-01-25 | 华为技术有限公司 | 一种通信方法及装置 |
CN113973359A (zh) * | 2020-07-24 | 2022-01-25 | 华为技术有限公司 | 一种通信方法及装置 |
WO2022036336A1 (en) * | 2020-08-13 | 2022-02-17 | Alibaba Group Holding Limited | Network communication method and apparatus |
CN117915458A (zh) * | 2021-10-15 | 2024-04-19 | 北京小米移动软件有限公司 | 一种寻呼分组的方法、装置、终端设备、基站及存储介质 |
CN117675214A (zh) * | 2022-08-26 | 2024-03-08 | 维沃移动通信有限公司 | 寻呼消息处理方法、装置、通信设备及可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105142136A (zh) * | 2014-06-03 | 2015-12-09 | 展讯通信(上海)有限公司 | 一种防伪基站攻击的方法 |
CN105208552A (zh) * | 2015-09-06 | 2015-12-30 | 集怡嘉数码科技(深圳)有限公司 | 一种移动终端与智能卡绑定的实现方法 |
KR101625037B1 (ko) * | 2015-11-23 | 2016-05-27 | 주식회사 엘앤제이테크 | Lte 망 초기 접속 구간에서 ue 식별 파라미터의 암호화 방법 |
WO2017135702A1 (en) * | 2016-02-02 | 2017-08-10 | Samsung Electronics Co., Ltd. | Method and apparatus for managing non-integrity protected message |
CN107147614A (zh) * | 2017-03-14 | 2017-09-08 | 中国科学院信息工程研究所 | 一种通信安全处理的方法、信令处理器、用户设备及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080057982A1 (en) * | 2006-09-05 | 2008-03-06 | Research In Motion Limited | High-capacity paging method, and associated apparatus, with reduced probability of false page match |
JP6585185B2 (ja) * | 2015-04-10 | 2019-10-02 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ページングメッセージ送信方法、基地局、およびユーザ機器 |
US10149168B2 (en) * | 2015-12-16 | 2018-12-04 | Qualcomm Incorporated | Secured paging |
EP3566409B1 (en) * | 2017-01-04 | 2020-04-08 | Telefonaktiebolaget LM Ericsson (PUBL) | Paging in a wireless communication system |
-
2019
- 2019-01-18 CN CN201910047972.9A patent/CN110536290B/zh active Active
- 2019-05-23 EP EP19808078.0A patent/EP3817421A4/en active Pending
-
2020
- 2020-11-20 US US17/100,351 patent/US20210076353A1/en not_active Abandoned
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105142136A (zh) * | 2014-06-03 | 2015-12-09 | 展讯通信(上海)有限公司 | 一种防伪基站攻击的方法 |
CN105208552A (zh) * | 2015-09-06 | 2015-12-30 | 集怡嘉数码科技(深圳)有限公司 | 一种移动终端与智能卡绑定的实现方法 |
KR101625037B1 (ko) * | 2015-11-23 | 2016-05-27 | 주식회사 엘앤제이테크 | Lte 망 초기 접속 구간에서 ue 식별 파라미터의 암호화 방법 |
WO2017135702A1 (en) * | 2016-02-02 | 2017-08-10 | Samsung Electronics Co., Ltd. | Method and apparatus for managing non-integrity protected message |
CN107147614A (zh) * | 2017-03-14 | 2017-09-08 | 中国科学院信息工程研究所 | 一种通信安全处理的方法、信令处理器、用户设备及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20210076353A1 (en) | 2021-03-11 |
EP3817421A1 (en) | 2021-05-05 |
CN110536290A (zh) | 2019-12-03 |
EP3817421A4 (en) | 2021-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110536290B (zh) | 一种寻呼处理方法及装置 | |
CN111278107B (zh) | 信息传送的方法及通信设备 | |
CN112205041B (zh) | 一种寻呼消息传输方法和相关设备 | |
US9769867B2 (en) | Optimization of power consumption in dual SIM mobiles in connected mode in a wireless network | |
CN106465265B (zh) | 用于向ran节点指示省电模式配置的用户设备和方法 | |
EP3086597B1 (en) | Method and device for controlling congestion in mobile communication system | |
JP2023018061A (ja) | 通信システム、移動端末、基地局、移動管理装置および関門装置 | |
CN107836135B (zh) | 在无线通信系统中由终端发送和接收数据的方法和设备 | |
KR101813602B1 (ko) | 핸드오버 절차에서 단말을 배치하기 위한 방법 및 시스템 | |
EP3416430A2 (en) | Device and method of handling mobility between long-term evolution network and fifth generation network | |
CN108476544B (zh) | 移动性管理的方法、用户设备和基站 | |
CN110199568B (zh) | 连接恢复方法、接入和移动性管理功能实体及用户设备 | |
JP2019050437A (ja) | 端末装置、c−sgnおよび通信制御方法 | |
CN109788474A (zh) | 一种消息保护的方法及装置 | |
CN113382468B (zh) | 本地网络设备的地址分配方法、电子设备及存储介质 | |
CN104349309A (zh) | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 | |
JP2019050435A (ja) | 端末装置、c−sgnおよび通信制御方法 | |
US11184875B2 (en) | Paging method and apparatus for wireless communication | |
CN113692033B (zh) | 信息传输方法和设备 | |
WO2012051752A1 (en) | Serving gateway for handling communications of mobile terminal | |
CN109429348B (zh) | 一种数据的处理方法、移动性管理设备和终端设备 | |
EP4336878A1 (en) | Method and device for controlling congestion in mobile communication system | |
CN109314915B (zh) | 数据传输的方法、接入网设备、终端设备和网络实体 | |
CN102625366A (zh) | 中继系统的过载控制方法及系统 | |
WO2019223769A1 (zh) | 一种寻呼处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |