CN110536295B - 初始接入控制方法、装置、终端、智能卡及存储介质 - Google Patents
初始接入控制方法、装置、终端、智能卡及存储介质 Download PDFInfo
- Publication number
- CN110536295B CN110536295B CN201910024425.9A CN201910024425A CN110536295B CN 110536295 B CN110536295 B CN 110536295B CN 201910024425 A CN201910024425 A CN 201910024425A CN 110536295 B CN110536295 B CN 110536295B
- Authority
- CN
- China
- Prior art keywords
- initial access
- message
- base station
- terminal
- security control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种初始接入控制方法、装置、终端、智能卡及存储介质,在进行在初始接入完成之前,当从基站接收到消息时,如果判断接收到的消息为非初始接入注册流程的消息,则确定不对该消息进行处理,在某些实施过程中,可避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,从而提升终端初始接入过程的安全性。
Description
技术领域
本发明实施例涉及但不限于通信领域,具体而言,涉及但不限于一种初始接入控制方法、装置、终端、智能卡及存储介质。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)制定了各种移动网络的规范,而依据这些规范部署的移动网络也正遭受各种伪基站的攻击。
目前对于伪基站的攻击的防范主要是针对移动终端接入核心网之后的阶段所进行的;在移动终端接入核心网的初始接入过程阶段的防范控制则处于空白。在相关技术中,移动终端在初始接入核心网完成之前(也即初始接入过程中),其并不具备辨别基站是否为伪基站的能力,而在其初始接入过程中会收到基站所发送的消息,且基站在移动终端初始接入过程中,除了可以发送初始接入注册流程的相关消息外,还可发送初始接入注册流程之外的其他消息,例如紧急通知等消息。在相关技术中,不管是基站发送哪种消息,移动终端都会进行接收处理。这就导致在移动终端初始接入核心网过程中,如果伪基站向移动终端发送了初始接入注册流程之外的其他消息,移动终端接收到该消息之后进行直接处理而存在被伪基站攻击的安全隐患,导致移动终端的初始接入过程的安全性低。
发明内容
本发明实施例提供的初始接入控制方法、装置、终端、智能卡及存储介质,主要解决的技术问题是:解决相关技术针对终端在初始接入核心网之前这一阶段无防范伪基站攻击的措施,导致终端初始接入过程安全性低。
为解决上述技术问题,本发明实施例提供一种初始接入控制方法,包括:
在初始接入完成之前,从基站接收消息;
在接收到的所述消息为非初始接入注册流程的消息时,确定不对所述消息进行处理。
为解决上述技术问题,本发明实施例提供一种初始接入控制装置,包括:
消息接收模块,用于在初始接入完成之前,从基站接收消息;
控制模块,用于在所述消息接收模块接收到的所述消息为非初始接入注册流程的消息时,确定不对所述消息进行处理。
为解决上述技术问题,本发明实施例还提供一种终端,包括第一处理器、第一存储器和第一通信总线;
所述第一通信总线用于将所述第一处理器和第一存储器连接;
所述第一处理器用于执行所述第一存储器中存储的计算机程序,以实现如上所述的初始接入控制方法的步骤。
为解决上述技术问题,本发明实施例还提供一种智能卡,包括第二处理器、第二存储器、第二通信总线以及通信接口;
所述第二通信总线用于将所述第二处理器和第二存储器连接,所述通信接口用于将所述第二存储器与所述智能卡所在终端内的第一处理器连接;
所述第二处理器或所述第一处理器用于执行所述第二存储器中存储的计算机程序,以实现如上所述的初始接入控制方法的步骤。
为解决上述技术问题,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现如上所述的初始接入控制方法的步骤。
本发明的有益效果是:
根据本发明实施例提供的初始接入控制方法、装置、终端、智能卡及存储介质,在进行在初始接入完成之前,当从基站接收到消息时,如果判断接收到的消息为非初始接入注册流程的消息,则确定不对该消息进行处理,进而可避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,从而提升终端初始接入过程的安全性。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本发明实施例一提供的初始接入控制方法流程示意图;
图2为本发明实施例一提供的确定对消息是否进行处理的流程示意图;
图3为本发明实施例二提供的初始接入控制装置结构示意图;
图4为本发明实施例三提供的终端结构示意图;
图5为本发明实施例三提供的智能卡结构示意图;
图6为本发明实施例三提供的通信系统结构示意图;
图7为本发明实施例三提供的终端安全初始接入控制流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
针对相关技术在终端接入核心网的初始接入过程中,对于为基站的防范控制处于空白的问题,本实施例提供了一种初始接入控制方法,该初始接入控制方法可实现在终端接入核心网的初始接入过程中尽可能避免伪基站对终端造成攻击,从而提升终端的初始接入的安全性和用户体验的满意度。
为了便于理解,本实施例下面以图1所示的初始接入控制方法为示例进行说明,参见图1所示,其包括:
S101:在初始接入完成之前,从基站接收消息。
本步骤中的在初始接入完成之前,是指终端在初始接入当前待接入的核心网之前;本步骤中的基站是指对应当前待接入的核心网的基站。应当理解的是,本实施例中的终端可以为各种能通过基站与核心网进行通信的通信终端,可以包括各种移动终端(例如各种智能手机、个人数字助手等),也可为能通过基站与核心网通信的非移动类终端,例如各种固定设置于车辆上的车载通信终端等。
应当理解的是,本实施例中的基站可以根据当前的网络环境而具有不同的名称或形态等;例如一种示例中,该基站可为但不限于3G网络中的3G基站NodeB(NB),4G网络中4G基站eNB(evolved NodeB)。5G网络中5G基站gNB。
在本实施例的一种示例中,终端在初始接入当前待接入的核心网之前,也可称为初始接入过程中。此处的核心网可能是终端自身归属的核心网(以下简称home network,归属网络),也可能是为终端服务的核心网(以下简称serving network,服务网络,或Visitednetwork,拜访网络)。
应当理解的是,终端在初始接入核心网之前,从对应的基站所接收到的消息可能是初始接入注册流程的各种消息,也可能是非初始接入注册流程的各种消息。当为初始接入注册流程的各种消息时,具体的消息类型和内容则可根据具体的初始接入验证机制等确定,例如可包括但不限于认证请求消息、挑战请求消息、认证响应消息。本实施例中非初始接入注册流程的各种消息也可根据具体的应用场景灵活确定,例如可以包括但不限于各种紧急通知消息。
S102:在接收到的消息为非初始接入注册流程的消息时,确定不对该消息进行处理。
在本实施例的一种示例中,当接收到的消息为初始接入注册流程的消息时,可对该消息进行处理。该处理可为对该消息进行正常处理。且在本实施例中,如果该初始接入注册流程的消息为伪基站发送的时,则可通过后续的注册认证流程机制识别出,进而避免伪基站的攻击。具体的注册认证流程机制则可采用本发明申请日之前的各种能识别出伪基站发送初始接入注册流程的消息的各种机制,在此不再赘述。
在本实施例的一种示例中,在终端侧,当其在初始接入过程中,在接收到基站发的消息不是非初始接入注册流程的消息时,终端可直接确定不对该消息进行处理。从而避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,从而提升终端初始接入过程的安全性。在一种示例中,可通过协议统一约定该处理方式,此时终端只要确定是在初始接入过程中接收到基站发的非初始接入注册流程的消息就直接确定不对其进行处理。这种控制机制简单、可靠,且控制效率高。
在本实施例的另一示例中,还可在终端侧预先设置初始接入安全控制策略;然后终端在初始接入过程中接收到基站发的消息不是非初始接入注册流程的消息时,可根据该初始接入安全控制策略确定是否对该非初始接入注册流程的消息进行处理。例如当预设的在初始接入安全控制策略为不接受当前待接入网络对应的基站发送的非初始接入注册流程的消息时,则确定不对该消息进行处理。例如,此时确定不对接收到的上述消息进行处理之前,可参见图2所示,包括:
S201:获取预设的初始接入安全控制策略。
应当理解的是,该初始接入安全控制策略可以设置在终端本地,且可设置于终端自身的存储模块中,或终端内与终端在物理上可分离的其他部件的存储模块中。该初始接入安全控制策略也可根据需求设置在终端本地之外,例如设置在其他可该终端通信的设备上,在需时该终端可通过通信实时从该设备上读取。
S202:在获取的初始接入安全控制策略为不接受上述基站发送的非初始接入注册流程的消息时,确定不对上述消息进行处理。
在本步骤中,当获取的初始接入安全控制策略为接受上述基站发送的非初始接入注册流程的消息时,则可对上述消息进行正常处理。
这种方式也可能尽可能避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生。且可针对终端待接入的各网络的初始接入安全控制策略进行灵活设置,例如:
一种示例中针对某一个或某一类型的终端,可设置其待接入的各网络的初始接入安全控制策略都为:不接受对应的基站发送的非初始接入注册流程的消息;
又例如,根据应用场景需求,针对某一个或某一类型的终端(例如测试用终端),可设置其待接入的各网络的初始接入安全控制策略都为:接受对应的基站发送的非初始接入注册流程的消息;
又例如,针对终端还可根据需求设置其待接入不同网络的初始接入安全控制策略不同,例如,在本示例中,初始接入安全控制策略可包括第一安全控制策略和第二安全控制策略;
其中,第一安全控制策略包括在初始接入过程中,不接受基站发送的非初始接入注册流程的消息的网络名单;
第二安全控制策略包括在初始接入过程中,接受基站发送的非初始接入注册流程的消息的网络名单。
例如,针对某一终端,其归属网络为深圳移动,其服务网络包括广州移动,惠州移动、重庆移动等。假设深圳移动和重庆移动网络的网络环境很好,基本没有伪基站,则可设置深圳移动和重庆移动属于第二安全控制策略的网络名单中的网络;则可设置广州移动和惠州移动属于第一安全控制策略的网络名单中的网络。
以上几种初始接入安全控制策略的内容都仅仅是便于理解的说明,应当理解的是本实施例中初始接入安全控制策略的具体设置可以根据需求灵活变换。
且应当理解的是,采用图2所示的确定方式时,在本实施例上述S102中的确定不对消息进行处理之前,可包括预设初始接入安全控制策略。在本实施例中,预设初始接入安全控制策略可采用但不限于以下方式中的至少一种:
方式一:接收写入的初始接入安全控制策略;本方式可支持终端用户或维护人员或开发人员等通过配置设备或直接在终端上操作向终端写入的初始接入安全控制策略。也即终端可通过与上述示例人员交互实现初始接入安全控制策略的配置。应当理解的是,通过配置设备写入时,该配置设备可为各种能与终端建立有线或无线通信实现数据写入的配置设备。直接在终端上写入时,可选的,可在终端上设置一人机交互界面以供写入相应的初始接入安全控制策略;
方式二:与归属核心网的网元进行网络信令交互,从网络信令中获取初始接入安全控制策略。
在本实施例中,终端在之前(例如上一次)与归属核心网的网元建立通信连接后,可以通过与相应的归属核心网的网元(例如可为但不限于Authentication SystemFunction,鉴权系统功能网元,也即AUSF网元)进行网络信令交互,并用该网元发送的网络信令中获取到初始接入安全控制策略。
在本实施例的一种示例中,当采用方式一在终端上设置初始接入安全控制策略时,终端在接收写入的初始接入安全控制策略之后,可选的可将该初始接入安全控制策略发给归属核心网,例如发给AUSF网元,以供该终端归属核心网进行后续的分析以及管理。
在本实施例的一种示例中,在上述S102中确定接收到的消息为非初始接入注册流程的消息时,还可执行以下步骤中的至少之一:
向核心网发送密钥获取请求,以请求获取对应的密钥;该核心网可为上述基站对应的核心网。
将接收到的非初始接入注册流程的消息进行记录,并在终端初始接入完成之后将记录的消息发给接入的核心网网元,该网元可能为但不限于AUSF网元或接入与移动性控制功能(AMF,Access and Mobility control Function)网元,使得网络可以根据终端上报的消息进行数据分析。
在本实施例中,向核心网发送密钥获取请求,以请求获取对应的密钥时,具体获取的什么密钥可以根据具体需求灵活设定。例如可包括但不限于请求获取与基站上存储的私钥所对应的公钥;在一种示例中,为了对基站进行鉴别(authentic),可在基站及终端上发放密钥信息,使基站依据这些密钥信息对发送的消息或消息中的部分内容进行保护,从而使得终端可以依据密钥信息对基站发送的消息进行鉴别,进而能够对基站进行真伪鉴别(伪基站无法接入移动网络获得这些密钥信息)。终端可通过与核心网功能的信令通道获取移动网络的公钥,移动网络的基站存放移动网络的私钥,使得基站可以使用私钥对发送的消息进行数字签名,终端可以使用公钥对消息的数字签名进行验证,从而实现对消息的完整性验证及对基站真伪的鉴别;在本实施例中,终端可在初始接入过程中(例如可具体在初始接入完成的最后一个步骤)向上述基站对应的核心网发送获取该核心网公钥的密钥获取请求;
另外,可选的,在本实施例中,向核心网发送密钥获取请求之前,还可包括以下至少之一:
确定当前就接收到的非初始接入注册流程的消息为初始接入过程中从基站接收到的第一条消息;此时终端上一般还没有基站上存储的私钥所对应的公钥;
确定当前终端本地没有密钥获取请求所请求获取的密钥;这种方式在终端当前没有时再进行获取,可避免重复获取,可进一步提升资源利用率。
当然,在本实施例的一些示例中,也可直接向上述基站对应的核心网发送密钥获取请求,以请求获取对应的密钥。
可见,通过本实施例提供的初始接入控制方法,可在终端初始接入完成之前从基站接收到非初始接入注册流程的消息时,控制终端不对该消息进行处理,避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,提升终端初始接入过程的安全性。
实施例二:
本实施例提供一种初始接入控制装置,该初始接入控制装置可直接设置在终端内,或设置在与终端可分离的部件内,参见图3所示,其包括:
消息接收模块301,用于在终端初始接入完成之前,从基站接收消息。
控制模块302,用于在消息接收模块301接收到的消息为非初始接入注册流程的消息时,确定不对该消息进行处理。
在本实施例的一种示例中,控制模块302在接收到的消息为初始接入注册流程的消息时,可用于对该消息进行处理。该处理可为对该消息进行正常处理。
在本实施例的一种示例中,控制模块302在接收到基站发的消息不是非初始接入注册流程的消息时,可直接确定不对该消息进行处理。从而避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,从而提升终端初始接入过程的安全性。此时控制模块302只要确定是在初始接入过程中接收到基站发的非初始接入注册流程的消息就直接确定不对其进行处理。这种控制机制简单、可靠,且控制效率高。
在本实施例的另一示例中,控制模块302还可用于在终端侧预先设置初始接入安全控制策略;然后在终端初始接入过程中接收到基站发的消息不是非初始接入注册流程的消息时,控制模块302可根据该初始接入安全控制策略确定是否对该非初始接入注册流程的消息进行处理。这种方式也可能尽可能避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生。
应当理解的是,本实施例中针对终端待接入的各网络的初始接入安全控制策略进行灵活设置,例如:
一种示例中针对某一个或某一类型的终端,可设置其待接入的各网络的初始接入安全控制策略都为:不接受对应的基站发送的非初始接入注册流程的消息;或为,接受对应的基站发送的非初始接入注册流程的消息;
又例如,针对终端还可根据需求设置其待接入不同网络的初始接入安全控制策略不同。例如,在本示例中,初始接入安全控制策略可包括第一安全控制策略和第二安全控制策略;其中,第一安全控制策略包括在初始接入过程中,不接受基站发送的非初始接入注册流程的消息的网络名单;第二安全控制策略包括在初始接入过程中,接受基站发送的非初始接入注册流程的消息的网络名单。
在本实施例中,预设初始接入安全控制策略可采用但不限于以下方式中的至少一种:
方式一:控制模块302接收写入的初始接入安全控制策略;本方式可支持终端用户或维护人员或开发人员等通过配置设备或直接在终端上操作向终端写入的初始接入安全控制策略。
方式二:控制模块302与归属核心网的网元进行网络信令交互,从网络信令中获取初始接入安全控制策略。
在本实施例的一种示例中,控制模块302在采用方式一在终端上设置初始接入安全控制策略时,控制模块302在接收写入的初始接入安全控制策略之后,可选的可将该初始接入安全控制策略发给归属核心网,例如发给AUSF网元,以供该终端归属核心网进行后续的分析以及管理。
在本实施例的一种示例中,控制模块302确定接收到的消息为非初始接入注册流程的消息时,还可用于执行以下步骤中的至少之一:
向上述基站对应的核心网发送密钥获取请求,以请求获取对应的密钥。
将接收到的非初始接入注册流程的消息进行记录,并在终端初始接入完成之后将记录的消息发给接入的核心网网元。
在本实施例中,控制模块302向上述基站对应的核心网发送密钥获取请求,以请求获取对应的密钥时,具体获取的什么密钥可以根据具体需求灵活设定。且可选的,控制模块302向核心网发送密钥获取请求之前,还可包括以下至少之一:
确定当前就接收到的非初始接入注册流程的消息为初始接入过程中从基站接收到的第一条消息;此时终端上一般还没有基站上存储的私钥所对应的公钥;
确定当前终端本地没有密钥获取请求所请求获取的密钥;这种方式在终端当前没有时再进行获取,可避免重复获取,可进一步提升资源利用率。
当然,在本实施例的一些示例中,控制模块302也可直接向上述基站对应的核心网发送密钥获取请求,以请求获取对应的密钥。
应当理解的是,本实施例中的消息接收模块301和控制模块302的功能可通过终端内的处理器或与终端可分离的部件内的处理器实现,从而实现在终端初始接入完成之前从基站接收到非初始接入注册流程的消息时,控制终端不对该消息进行处理,避免终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,提升用户体验的满意度。
实施例三:
本实施例提供了一种终端,本实施例中的终端可以为各种能通过基站与核心网进行通信的通信终端,可以包括各种移动终端,也可为能通过基站与核心网通信的非移动类终端。参见图4所示,其包括第一处理器401、第一存储器402和第一通信总线403;
第一通信总线403用于将第一处理器401和第一存储器402连接;
第一处理器401用于执行第一存储器402中存储的计算机程序,以实现如上各实施例所示的初始接入控制方法的步骤。此处的第一存储器402可为终端自身的存储器;其可不包括能与终端分离的终端部件上设置的存储器;当然根据需求也可设置为包括能与终端分离的终端部件上设置的存储器。
本实施例还提供了一种智能卡,该智能卡可为各种与终端配合使用的智能卡,也可为能单独工作使用的智能卡。其中一种示例中该智能卡可为但不限于UICC卡(UniversalIntegrated Circuit Card,通用集成电路卡),且该UICC卡可包括但不限于用户标识模块(Subscriber Identity Module,SIM)、通用用户标识模块(Universal SubscriberIdentity Module,USIM)、IP多媒体业务标识模块(IP Multi Media Service IdentityModule,ISIM)中的至少一个模块;其中,参见图5所示,其包括第二处理器(可为但不限于各种微处理器或微控制器)501、第二存储器502、第二通信总线503以及通信接口(图中未示出);
第二通信总线503用于将第二处理器501和第二存储器502连接,通信接口用于将第二存储器502与智能卡所在终端内的第一处理器连接;
第二处理器501或第一处理器用于执行第二存储器中存储的计算机程序,以实现如上各实施例所示的初始接入控制方法的步骤。也即在本实施例中,可直接由智能卡中的第二处理器501调用智能卡的第二存储器502中的计算机程序实现如上各实施例所示的初始接入控制方法的步骤;也可由终端内的第一处理器调用智能卡的第二存储器502中的计算机程序实现如上各实施例所示的初始接入控制方法的步骤。具体采用哪种方式可以根据需求灵活设定。
本实施例还提供了一种计算机可读存储介质,该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically Erasable Programmable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
在一种示例中,本实施例中的计算机可读存储介质可用于存储一个或者多个计算机程序,该一个或者多个计算机程序可被一个或者多个处理器(可以为上述第一处理器或第二处理器)执行,以实现如上各实施例所示的初始接入控制方法的步骤。本实施例中的计算机可读存储介质可以直接设置在终端内,也可设置在与终端可分离的部件(例如UICC卡)内。
本实施例还提供了一种计算机程序(或称计算机软件),该计算机程序可以分布在计算机可读介质上,由可计算装置来执行,以实现如上各实施例所示的初始接入控制方法的至少一个步骤;并且在某些情况下,可以采用不同于上述实施例所描述的顺序执行所示出或描述的至少一个步骤。
本实施例还提供了一种计算机程序产品,包括计算机可读装置,该计算机可读装置上存储有如上所示的计算机程序。本实施例中该计算机可读装置可包括如上所示的计算机可读存储介质。
为了便于理解,本实施例下面以终端为移动终端为示例对本发明作进一步示例说明。
请参见图6所示,本实施例所示例的系统包括移动终端61和基站62,其中移动终端包括终端本体601和安全功能602,其中安全功能602可通过为上述初始接入控制装置,其设置于终端本体601中,通过移动终端61的内部器件接口S1与终端本体601交互,以提供对终端本体601接收或发送的信息进行安全处理。根据上述分析示例可知,该安全功能602可以是运行于终端本体601内的软件功能,或运行于UICC卡等独立于终端本体601并与终端本体601一同组成移动终端61的安全硬件中。
终端本体601:包括移动终端61的通讯、计算、存储等硬件设备,用于通过空中信令与数据接口S2与基站62交互;
移动终端61:包含终端本体601和安全功能602;
基站62:为移动网络的接入网软件功能或硬件设备,用于与移动终端61通过控制信令与数据接口S2交互,为移动终端61提供通讯等各项移动网络提供的服务,其可为eNB或gNB。
基于图6所示的通信系统,本实施例下面结合一个完整的终端安全初始接入控制流程进行示例说明。请参见图7所示,包括:
S701:移动终端上配置了初始接入安全控制策略,具体为不接受初始接入注册流程之外的消息。
如上分析所述,配置过程可以通过用户交互进行,也可以通过移动终端在归属网络时与网络的信令交互进行。
S702:基站要发送消息,该消息可以是广播消息,也可以是发给某个移动终端的。基站可基于其上存储的基站保护密钥(例如移动网络私钥)对该消息的部分或全部内容进行安全处理,比如做完保操作和/或加密操作,如果做了完保操作,则在处理后的消息中添加完保操作生成的消息验证码MAC,再添加进基站标识idx,最终形成消息A,基站将处理后生成的消息A发送出去。
如果有多套基站保护根密钥,消息A中还可携带密钥标识kid。
S703:移动终端收到基站发送的消息A。具体的,移动终端收到该消息A。如果该消息不是初始接入注册流程的消息,则移动终端判断初始接入安全控制策略;如果初始接入安全控制策略为接受所有消息,则转S704;如果初始接入安全控制策略为不接收注册流程之外的消息,则转S705。
S704:移动终端对接收到的消息A进行进一步处理。
S705:移动终端拒绝对接收到的消息A进行进一步处理(例如可直接丢弃),还可以向网络发送密钥提供请求,也可以将信息记录下来以便后续接入网络之后向网络汇报相关情况,使得网络可以进行数据分析。
通过图7所示的初始接入安全控制过程,移动终端在初始接入完成之前从基站接收到非初始接入注册流程的消息时可直接不对该消息进行处理,避免移动终端在初始接入完成之前处理伪基站发送的非初始接入注册流程的消息而被伪基站攻击的情况发生,提升初始接入控制的安全性和满意度。
可见,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (13)
1.一种初始接入控制方法,包括:
在初始接入完成之前,从基站接收消息;
在接收到的所述消息为非初始接入注册流程的消息时,确定不对所述消息进行处理。
2.如权利要求1所述的初始接入控制方法,其特征在于,所述确定不对所述消息进行处理之前,还包括:
获取预设的初始接入安全控制策略;
在所述初始接入安全控制策略为不接受所述基站发送的非初始接入注册流程的消息时,确定不对所述消息进行处理。
3.如权利要求1所述的初始接入控制方法,其特征在于,在接收到的所述消息为非初始接入注册流程的消息时,所述方法还包括以下至少之一:
向核心网发送密钥获取请求;
将所述消息进行记录,并在所述初始接入完成之后将记录的消息发给接入的核心网网元。
4.如权利要求3所述的初始接入控制方法,其特征在于,所述向核心网发送密钥获取请求之前,还包括:确定所述消息为初始接入过程中从所述基站接收到的第一条消息,或确定当前本地没有所述密钥获取请求所请求获取的密钥。
5.如权利要求1-4任一项所述的初始接入控制方法,其特征在于,所述方法还包括:
在接收到的所述消息为初始接入注册流程的消息时,对所述消息进行处理。
6.如权利要求2-4任一项所述的初始接入控制方法,其特征在于,预设所述初始接入安全控制策略包括以下至少之一:
接收写入的初始接入安全控制策略;
与归属核心网的网元进行网络信令交互,从所述网络信令中获取初始接入安全控制策略。
7.如权利要求6所述的初始接入控制方法,其特征在于,预设所述初始接入安全控制策略包括接收写入的初始接入安全控制策略时,所述方法还包括:
在接收写入的初始接入安全控制策略之后,将所述初始接入安全控制策略发给归属核心网。
8.如权利要求2-4任一项所述的初始接入控制方法,其特征在于,所述初始接入安全控制策略包括第一安全控制策略和第二安全控制策略;
所述第一安全控制策略包括在初始接入过程中,不接受基站发送的非初始接入注册流程的消息的网络名单;
所述第二安全控制策略包括在初始接入过程中,接受基站发送的非初始接入注册流程的消息的网络名单。
9.一种初始接入控制装置,其特征在于,包括:
消息接收模块,用于在初始接入完成之前,从基站接收消息;
控制模块,用于在所述消息接收模块接收到的所述消息为非初始接入注册流程的消息时,确定不对所述消息进行处理。
10.如权利要求9所述的初始接入控制装置,其特征在于,所述控制模块还用于确定不对所述消息进行处理之前,获取预设的初始接入安全控制策略,在所述初始接入安全控制策略为不接受所述基站发送的非初始接入注册流程的消息时,才确定不对所述消息进行处理。
11.一种终端,其特征在于,包括第一处理器、第一存储器和第一通信总线;
所述第一通信总线用于将所述第一处理器和第一存储器连接;
所述第一处理器用于执行所述第一存储器中存储的计算机程序,以实现如权利要求1-8任一项所述的初始接入控制方法的步骤。
12.一种智能卡,其特征在于,包括第二处理器、第二存储器、第二通信总线以及通信接口;
所述第二通信总线用于将所述第二处理器和第二存储器连接,所述通信接口用于将所述第二存储器与所述智能卡所在终端内的第一处理器连接;
所述第二处理器或所述第一处理器用于执行所述第二存储器中存储的计算机程序,以实现如权利要求1-8任一项所述的初始接入控制方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现如权利要求1-8任一项所述的初始接入控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910024425.9A CN110536295B (zh) | 2019-01-10 | 2019-01-10 | 初始接入控制方法、装置、终端、智能卡及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910024425.9A CN110536295B (zh) | 2019-01-10 | 2019-01-10 | 初始接入控制方法、装置、终端、智能卡及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110536295A CN110536295A (zh) | 2019-12-03 |
| CN110536295B true CN110536295B (zh) | 2023-01-06 |
Family
ID=68659178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910024425.9A Active CN110536295B (zh) | 2019-01-10 | 2019-01-10 | 初始接入控制方法、装置、终端、智能卡及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110536295B (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795499B (zh) * | 2009-02-02 | 2014-03-12 | 中兴通讯股份有限公司 | 家庭基站系统中实现接入控制的方法及家庭基站网关 |
| CN102833739B (zh) * | 2012-08-24 | 2015-07-01 | 大唐移动通信设备有限公司 | 一种初始非接入层消息的传输方法、装置及系统 |
| EP2787782B1 (en) * | 2013-04-01 | 2018-05-30 | Samsung Electronics Co., Ltd. | Location registration method and apparatus of terminal in mobile communication system |
| CN105992210B (zh) * | 2015-02-09 | 2019-06-28 | 中国移动通信集团湖北有限公司 | 移动伪基站定位方法、系统、定位设备及定位服务器 |
| CN107734592B (zh) * | 2016-08-12 | 2019-12-10 | 电信科学技术研究院 | 一种核心网选择方法、接入网实体、ue及系统 |
| CN108235312A (zh) * | 2018-01-16 | 2018-06-29 | 奇酷互联网络科技(深圳)有限公司 | 移动终端的通信控制方法、装置及移动终端 |
-
2019
- 2019-01-10 CN CN201910024425.9A patent/CN110536295B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110536295A (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6732948B2 (ja) | 仮想ユーザ識別モジュール認証方法および装置 | |
| CN101577908B (zh) | 用户设备验证方法、设备标识寄存器以及接入控制系统 | |
| US8931065B2 (en) | OTA bootstrap method and system | |
| US20210289353A1 (en) | Network access authentication method and device | |
| WO2016131289A1 (zh) | 无线热点安全性检测方法、装置及用户设备 | |
| KR20160143333A (ko) | 이중 채널을 이용한 이중 인증 방법 | |
| CN107659935B (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
| WO2017219587A1 (zh) | 主从设备切换方法、从设备、管理服务器及存储介质 | |
| CN112165458B (zh) | 一种实名认证方法、装置及终端 | |
| CN113411286B (zh) | 基于5g技术的访问处理方法及装置、电子设备、存储介质 | |
| WO2015096483A1 (zh) | 一种终端应用的注册方法、装置和系统 | |
| CN110536295B (zh) | 初始接入控制方法、装置、终端、智能卡及存储介质 | |
| CN109756871A (zh) | 设备到设备的业务限制方法、终端以及存储介质 | |
| CN106888447B (zh) | 副usim应用信息的处理方法及系统 | |
| GB2520938A (en) | Mobile device location | |
| US20220232382A1 (en) | Controlling provision of access to restricted local operator services by user equipment | |
| CN114339720A (zh) | 一种云卡鉴权方法、装置、终端及存储介质 | |
| CN113079514A (zh) | 一种入网校验方法、装置及计算机可读存储介质 | |
| CN103843378A (zh) | 用于将安全装置绑定到无线电话的方法 | |
| US11272357B2 (en) | Method and device for determining SIM card information | |
| CN110839219A (zh) | 终端接入蜂窝网络的方法以及蜂窝网络系统 | |
| CN111465019B (zh) | 能力上报、密钥协商方法及装置、终端、通信设备及系统 | |
| CN112333784B (zh) | 安全上下文的处理方法、第一网元、终端设备及介质 | |
| KR20140055675A (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
| CN111615073B (zh) | 一种面向5g基站的实时数据共享方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |