CN110636508B - 一种拒绝服务Detach控制方法及网络设备 - Google Patents
一种拒绝服务Detach控制方法及网络设备 Download PDFInfo
- Publication number
- CN110636508B CN110636508B CN201810661581.1A CN201810661581A CN110636508B CN 110636508 B CN110636508 B CN 110636508B CN 201810661581 A CN201810661581 A CN 201810661581A CN 110636508 B CN110636508 B CN 110636508B
- Authority
- CN
- China
- Prior art keywords
- terminal
- instruction
- user identification
- imsi
- imei
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种拒绝服务Detach控制方法及网络设备,其方法包括:从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识;其中,第二用户标识的类型与第一用户标识的类型不同;发送请求上报终端的第二用户标识的请求消息;根据请求消息的响应结果,确定是否响应Detach指令。本发明通过上述技术方案,网络设备可以检验Detach指令是否为真实用户做出的,以防止用户被冒用执行Detach操作,实现防止拒绝服务攻击,提高网络安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种拒绝服务Detach控制方法及网络设备。
背景技术
近年来,随着传统全球移动通信(Global System for Mobile Communication,GSM)系统各项技术趋于成熟,针对GSM系统的攻击报道和事件日益增多,其中一种威胁为拒绝服务攻击。针对GSM系统中用户被叫进行拒绝服务攻击的实现原理为:恶意终端利用GSM系统对无线侧上报拒绝服务(Detach),来对其他用户进行拒绝服务的攻击。目前暂无方法或技术手段能有效解决仿冒用户标识进行的拒绝服务攻击,网络安全性较差。
发明内容
本发明提供一种拒绝服务Detach控制方法及网络设备,解决了非法Detach指令攻击导致的网络安全性较差的问题。
本发明的实施例提供一种拒绝服务Detach控制方法,应用于网络设备侧,包括:
从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识;
发送请求上报终端的第二用户标识的请求消息,其中,第二用户标识的类型与第一用户标识的类型不同;
根据请求消息的响应结果,确定是否响应Detach指令。
其中,根据请求消息的响应结果,确定是否响应Detach指令的步骤,包括:
若未接收到终端针对请求消息的响应消息,则不响应Detach指令;
若接收到终端根据请求消息上报的响应消息,则根据响应消息携带的第二用户标识,确定是否响应Detach指令。
其中,根据响应消息携带的第二用户标识,确定是否响应Detach指令的步骤,包括:
若响应消息携带的第二用户标识对应的用户标识与第一用户标识一致,或者,响应消息携带的第二用户标识与第一用户标识对应的用户标识一致,则响应Detach指令;
否则,不响应Detach指令。
其中,第一用户标识包括:国际移动用户识别码IMSI或临时移动用户识别码TMSI;
第二用户标识包括:IMSI或国际移动设备识别码IMEI。
其中,从终端侧接收拒绝服务Detach指令的步骤之前,还包括:
接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
建立IMSI与IMEI的第一关联关系。
其中,从终端侧接收拒绝服务Detach指令的步骤之前,还包括:
接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
为终端分配TMSI,并建立TMSI与IMSI的第二关联关系,或TMSI与IMEI的第三关联关系。
本发明的实施例还提供了一种网络设备,包括:处理器;与处理器相连接的存储器,以及与处理器相连接的收发机;其中,处理器用于调用并执行存储器中所存储的程序和数据,
收发机用于:从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识;以及
发送请求上报终端的第二用户标识的请求消息,其中,第二用户标识的类型与第一用户标识的类型不同;
处理器用于:根据请求消息的响应结果,确定是否响应Detach指令。
其中,处理器用于:
若未接收到终端针对请求消息的响应消息,则忽略Detach指令;
若接收到终端根据请求消息上报的响应消息,则根据响应消息携带的第二用户标识,确定是否响应Detach指令。
其中,处理器用于:
若响应消息携带的第二用户标识对应的用户标识与第一用户标识一致,或者,响应消息携带的第二用户标识与第一用户标识对应的用户标识一致,则响应Detach指令;
否则,忽略Detach指令。
其中,第一用户标识包括:国际移动用户识别码IMSI或临时移动用户识别码TMSI;
第二用户标识包括:IMSI或国际移动设备识别码IMEI。
其中,收发机还用于:接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
处理器用于:建立IMSI与IMEI的第一关联关系。
其中,收发机还用于:接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
处理器用于:为终端分配TMSI,并建立TMSI与IMSI的第二关联关系,或TMSI与IMEI的第三关联关系。
本发明的实施例还提供了一种网络设备,包括:
第一接收模块,用于从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识;
第一发送模块,用于发送请求上报终端的第二用户标识的请求消息;
处理模块,用于根据请求消息的响应结果,确定是否响应Detach指令。
本发明的实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述网络设备侧的拒绝服务Detach控制方法的步骤,或者实现上述终端侧的拒绝服务Detach控制方法的步骤。
本发明的上述技术方案的有益效果是:通过上述技术方案,网络设备可以检验Detach指令是否为真实用户做出的,以防止用户被冒用执行Detach操作,实现防止拒绝服务攻击,提高网络安全性。
附图说明
图1表示本发明实施例网络设备侧的拒绝服务Detach控制方法的流程示意图;
图2表示本发明实施例网络设备的模块结构示意图;
图3表示本发明实施例网络设备的功能模块框架图;
图4表示本发明实施例网络设备执行记录检测功能的流程示意图一;
图5表示本发明实施例网络设备执行校验标识功能的流程示意图一;
图6表示本发明实施例网络设备执行校验标识功能的流程示意图二;
图7表示本发明实施例网络设备执行记录检测功能的流程示意图二;
图8表示本发明实施例网络设备执行校验标识功能的流程示意图三;
图9表示本发明实施例网络设备执行校验标识功能的流程示意图四;
图10表示本发明实施例网络设备执行记录检测功能的流程示意图三;
图11表示本发明实施例网络设备执行校验标识功能的流程示意图五;
图12表示本发明实施例网络设备执行校验标识功能的流程示意图六;
图13表示本发明实施例的网络设备框图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
如图1所示,本发明的实施例提供了一种拒绝服务Detach控制方法,具体包括以下步骤:
步骤11:从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识。
其中,第一用户标识包括但不限于:临时移动用户识别码(Temporary MobileSubscriber Identity,TMSI)或国际移动用户识别码(International Mobile SubscriberIdentification Number,IMSI)。终端为在网终端,即已经在运营商进行开户的终端。Detach指令又被称为关机指令。
值得指出的是,这里所说的网络设备可以是移动交换中心(Mobile SwitchingCenter,MSC)或拜访位置寄存器VLR。
步骤12:发送请求上报终端的第二用户标识的请求消息。
其中,第二用户标识包括:IMSI或国际移动设备识别码(International MobileEquipment Identity,IMEI)。第二用户标识的类型与所述第一用户标识的类型不同。也就是说,若第一用户标识为IMSI,那么第二用户标识为IMEI。若第一用户标识为TMSI,那么第二用户标识为IMSI或IMEI。网络设备在接收到携带有终端的第一用户标识的Detach指令后,主动触发一次用户标识过程(Identification procedure),值得指出的是,这里所说的用户标识过程与其他流程中的用户标识过程一致,并未增加新的信令,这样终端侧无需做任何改进。
终端在接收到请求消息后,根据请求消息上报或不上报第二用户标识,这样产生针对该请求消息的响应结果。
步骤13:根据请求消息的响应结果,确定是否响应Detach指令。
这里所说的响应结果包括接收到第二用户标识或未接收到第二用户标识。其中,未接收到第二用户标识可以是终端未上报第二用户标识,也可以是终端上报了第二用户标识但网络设备未成功接收。
其中,步骤13包括:若未接收到终端针对请求消息的响应消息,则不响应Detach指令;这里是说,若网络设备未接收到终端上报的第二用户标识,则不执行Detach指令的响应操作。即网络设备在接收到Detach指令后,主动触发一次用户标识过程要求终端上报该终端的第二用户标识,如终端未响应该过程中请求消息(Identity Request),则网络设备不执行用户的Detach操作。
若接收到终端根据请求消息上报的响应消息,则根据响应消息携带的第二用户标识,确定是否响应Detach指令。
具体地,根据响应消息携带的第二用户标识,确定是否响应Detach指令的步骤包括:若响应消息携带的第二用户标识对应的用户标识与第一用户标识一致,或者,响应消息携带的第二用户标识与第一用户标识对应的用户标识一致,则响应Detach指令;否则,不响应Detach指令。
在终端响应该过程的请求消息并提供IMSI或IMEI的情况下:
以Detach指令中携带IMSI为例,若网络设备接收到终端返回的IMEI,则查询预先建立并存储的IMSI-IMEI关联关系表。若在该表中未查询到与该IMSI对应的IMEI,或者从该表中未查询到与该IMEI对应的IMSI,则不响应该Detach指令。
若在该表中查询到与终端上报的IMEI对应用户标识为IMSI',则比较IMSI'是否与Detach指令中携带的IMSI一致,若不一致,则不执行该Detach操作;若一致,则执行该Detach指令的响应操作。
若在该表中查询到与Detach指令中携带的IMSI对应用户标识为IMEI',则比较IMEI'是否与终端上报的IMEI一致,若不一致,则不执行该Detach操作;若一致,则执行该Detach指令的响应操作。
以Detach指令中携带TMSI为例,若网络设备接收到终端返回的IMSI,则查询预先建立并存储的IMSI-TMSI关联关系表。若在该表中未查询到与该IMSI对应的TMSI,或者从该表中未查询到与该TMSI对应的IMSI,则不响应该Detach指令。
若在该表中查询到与终端上报的IMSI对应用户标识为TMSI',则比较TMSI'是否与Detach指令中携带的TMSI一致,若不一致,则不执行该Detach操作;若一致,则执行该Detach指令的响应操作。
若在该表中查询到与Detach指令中携带的TMSI对应用户标识为IMSI',则比较IMSI'是否与终端上报的IMSI一致,若不一致,则不执行该Detach操作;若一致,则执行该Detach指令的响应操作。
或者,以Detach指令中携带TMSI为例,若网络设备接收到终端返回的IMEI,则查询预先建立并存储的IMEI-TMSI关联关系表。若在该表中未查询到与该IMEI对应的TMSI,或者从该表中未查询到与该TMSI对应的IMEI,则不响应该Detach指令。
若在该表中查询到与终端上报的IMEI对应用户标识为TMSI',则比较TMSI'是否与Detach指令中携带的TMSI一致,若不一致,则不执行该Detach操作;若一致,则执行该Detach指令的响应操作。
若在该表中查询到与Detach指令中携带的TMSI对应用户标识为IMEI',则比较IMEI'是否与终端上报的IMEI一致,若不一致,则不执行该Detach操作;若一致,则执行该Detach指令的响应操作。
其中,步骤11之前还包括:接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;建立IMSI与IMEI的第一关联关系,即生成IMSI-IMEI关联关系表并存储。
或者,步骤11之前包括:接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;为终端分配TMSI,并建立TMSI与IMSI的第二关联关系,即生成IMSI-TMSI关联关系表并存储。或建立TMSI与IMEI的第三关联关系,即生成IMEI-TMSI关联关系表并存储。
本发明实施例的拒绝服务Detach控制方法中,网络设备在接收到携带第一用户标识的Detach指令时,增加要求上报终端第二用户标识的步骤,以校验该Detach指令是否为真实用户上报的指令,以防止拒绝服务攻击目的的恶意攻击行为,提高网络安全性。
以上实施例分别就本发明的拒绝服务Detach控制方法做出介绍,下面本实施例将结合附图对其对应的网络设备做进一步说明。
具体地,如图2所示,本发明实施例的网络设备200包括:
第一接收模块210,用于从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识;
第一发送模块220,用于发送请求上报终端的第二用户标识的请求消息,其中,第二用户标识的类型与第一用户标识的类型不同;
处理模块230,用于根据请求消息的响应结果,确定是否响应Detach指令。
其中,处理模块230包括:
第一处理子模块,用于若未接收到终端针对请求消息的响应消息,则不响应Detach指令;
第二处理子模块,用于若接收到终端根据请求消息上报的响应消息,则根据响应消息携带的第二用户标识,确定是否响应Detach指令。
其中,第二处理子模块包括:
第一处理单元,用于若响应消息携带的第二用户标识对应的用户标识与第一用户标识一致,或者,响应消息携带的第二用户标识与第一用户标识对应的用户标识一致,则响应Detach指令;
第二处理单元,用于否则,不响应Detach指令。
其中,第一用户标识包括:国际移动用户识别码IMSI或临时移动用户识别码TMSI;
第二用户标识包括:IMSI或国际移动设备识别码IMEI。
其中,网络设备200还包括:
第二接收模块,用于接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
第一创建模块,用于:建立IMSI与IMEI的第一关联关系。
其中,该网络设备200还包括:
第三接收模块,用于接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
第二创建模块,用于为终端分配TMSI,并建立TMSI与IMSI的关联关系。
在一种优选实施中,该网络设备包括如图3所示的功能模块:记录检测功能和校验标识功能。其中:
记录检测功能主要用于:在终端入网时,记录终端IMSI与TMSI之间的关联关系表;在检测到终端上报Detach指令携带有TMSI时,进入校验标识功能。
校验标识功能主要用于:在接收到Detach指令后,主动触发一次用户标识过程(Identification procedure),要求用户上报该终端的IMSI。如终端未响应该过程的请求消息(Identity Request),则VLR不执行终端的Detach操作。若终端响应该过程的请求消息,并提供终端的IMSI,则查验VLR中存储的IMSI与TMSI之间的关联关系表。
从该表中查询该IMSI对应TMSI,若未从该表中查询到该IMSI对应TMSI,则VLR不执行Detach操作。或者若从IMSI与TMSI之间的关联关系表中查询到该IMSI对应TMSI,则用从表中查询到TMSI与Detach指令携带的TMSI进行比较,如果不一致,则VLR不执行该Detach操作;如一致,则VLR执行该Detach指令上报中TMSI的响应操作。
或者,从该表中查询Detach指令中携带的TMSI对应IMSI,若未从该表中查询到该TMSI对应IMSI,则VLR不执行Detach操作。或者若从该表中查询到该TMSI对应IMSI,则用从表中查询到IMSI与终端上报的IMSI进行比较,如果不一致,则VLR不执行该Detach操作;如一致,则VLR执行该Detach指令的响应操作。
场景一
具体地,如图4所示,执行记录检测功能时,包括以下步骤:
步骤41:接收终端的入网信息,该入网信息中携带有终端的IMSI。
步骤42:为终端分配TMSI,并建立IMSI与TMSI的关联关系。
步骤43:检测终端发送的Detach指令,该Detach指令中携带有终端的TMSI。
步骤44:执行校验标识功能。
具体地,如图5所示,执行校验标识功能时,包括以下步骤:
步骤51:发送请求终端上报IMSI的请求消息,如Identity Request指令。
步骤52:检测终端是否返回IMSI。若是,则执行步骤53,否则执行步骤56。
步骤53:查询TMSI-IMSI关联关系表,检测是否存在与IMSI对应的TMSI。若是,则执行步骤54,否则执行步骤56。
步骤54:检测查询到的TMSI是否与Detach指令中携带的TMSI一致。若是,则执行步骤55,否则执行步骤56。
步骤55:响应Detach指令,即执行Detach指令的响应操作。
步骤56:不响应Detach指令,即不执行Detach指令的响应操作。
或者,如图6所示,执行校验标识功能时,包括以下步骤:
步骤61:发送请求终端上报IMSI的请求消息,如Identity Request指令。
步骤62:检测终端是否返回IMSI。若是,则执行步骤63,否则执行步骤66。
步骤63:查询TMSI-IMSI关联关系表,检测是否存在与Detach指令中携带的TMSI对应的IMSI。若是,则执行步骤64,否则执行步骤66。
步骤64:检测查询到的IMSI是否与终端返回的IMSI一致。若是,则执行步骤65,否则执行步骤66。
步骤65:响应Detach指令,即执行Detach指令的响应操作。
步骤66:不响应Detach指令,即不执行Detach指令的响应操作。
场景二
具体地,如图7所示,执行记录检测功能时,包括以下步骤:
步骤71:接收终端的入网信息,该入网信息中携带有终端的IMEI。
步骤72:为终端分配TMSI,并建立IMEI与TMSI的关联关系。
步骤73:检测终端发送的Detach指令,该Detach指令中携带有终端的TMSI。
步骤74:执行校验标识功能。
具体地,如图8所示,执行校验标识功能时,包括以下步骤:
步骤81:发送请求终端上报IMEI的请求消息,如Identity Request指令。
步骤82:检测终端是否返回IMEI。若是,则执行步骤83,否则执行步骤86。
步骤83:查询TMSI-IMEI关联关系表,检测是否存在与IMEI对应的TMSI。若是,则执行步骤84,否则执行步骤86。
步骤84:检测查询到的TMSI是否与Detach指令中携带的TMSI一致。若是,则执行步骤85,否则执行步骤86。
步骤85:响应Detach指令,即执行Detach指令的响应操作。
步骤86:不响应Detach指令,即不执行Detach指令的响应操作。
或者,如图9所示,执行校验标识功能时,包括以下步骤:
步骤91:发送请求终端上报IMEI的请求消息,如Identity Request指令。
步骤92:检测终端是否返回IMEI。若是,则执行步骤93,否则执行步骤96。
步骤93:查询TMSI-IMEI关联关系表,检测是否存在与Detach指令中携带的TMSI对应的IMEI。若是,则执行步骤94,否则执行步骤96。
步骤94:检测查询到的IMEI是否与终端返回的IMEI一致。若是,则执行步骤95,否则执行步骤96。
步骤95:响应Detach指令,即执行Detach指令的响应操作。
步骤96:不响应Detach指令,即不执行Detach指令的响应操作。
场景三
具体地,如图10所示,执行记录检测功能时,包括以下步骤:
步骤101:接收终端的入网信息,该入网信息中携带有终端的IMEI。
步骤102:建立IMSI与IMEI的关联关系。
步骤103:检测终端发送的Detach指令,该Detach指令中携带有终端的IMSI。
步骤104:执行校验标识功能。
具体地,如图11所示,执行校验标识功能时,包括以下步骤:
步骤111:发送请求终端上报IMEI的请求消息,如Identity Request指令。
步骤112:检测终端是否返回IMEI。若是,则执行步骤113,否则执行步骤116。
步骤113:查询IMEI-IMSI关联关系表,检测是否存在与IMEI对应的IMSI。若是,则执行步骤114,否则执行步骤116。
步骤114:检测查询到的IMSI是否与Detach指令中携带的IMSI一致。若是,则执行步骤115,否则执行步骤116。
步骤115:响应Detach指令,即执行Detach指令的响应操作。
步骤116:不响应Detach指令,即不执行Detach指令的响应操作。
或者,如图12所示,执行校验标识功能时,包括以下步骤:
步骤121:发送请求终端上报IMEI的请求消息,如Identity Request指令。
步骤122:检测终端是否返回IMEI。若是,则执行步骤123,否则执行步骤126。
步骤123:查询IMEI-IMSI关联关系表,检测是否存在与Detach指令中携带的IMSI对应的IMEI。若是,则执行步骤124,否则执行步骤126。
步骤124:检测查询到的IMEI是否与终端返回的IMEI一致。若是,则执行步骤125,否则执行步骤126。
步骤125:响应Detach指令,即执行Detach指令的响应操作。
步骤126:不响应Detach指令,即不执行Detach指令的响应操作。
本发明的网络设备实施例是与上述方法的实施例对应的,上述方法实施例中的所有实现手段均适用于该网络设备的实施例中,也能达到相同的技术效果。该网络设备在接收到携带第一用户标识的Detach指令时,增加要求上报终端第二用户标识的步骤,以校验该Detach指令是否为真实用户上报的指令,以防止拒绝服务攻击目的的恶意攻击行为,提高网络安全性。
为了更好的实现上述目的,如图13所示,本发明的实施例还提供了一种网络设备,该网络设备包括:处理器1300;通过总线接口与所述处理器1300相连接的存储器1320,以及通过总线接口与处理器1300相连接的收发机1310;所述存储器1320用于存储所述处理器在执行操作时所使用的程序和数据;通过所述收发机1310发送数据信息或者导频,还通过所述收发机1310接收上行控制信道;当处理器1300调用并执行所述存储器1320中所存储的程序和数据时,实现如下的功能:
收发机1310,用于在处理器1300的控制下接收和发送数据,具体用于:从终端侧接收拒绝服务Detach指令,其中,Detach指令携带有终端的第一用户标识;以及发送请求上报终端的第二用户标识的请求消息,其中,第二用户标识的类型与第一用户标识的类型不同。
处理器1300用于读取存储器1320中的程序,执行下列过程:根据请求消息的响应结果,确定是否响应Detach指令。
其中,处理器1300用于:
若未接收到终端针对请求消息的响应消息,则不响应Detach指令;
若接收到终端根据请求消息上报的响应消息,则根据响应消息携带的第二用户标识,确定是否响应Detach指令。
其中,处理器1300用于:
若响应消息携带的第二用户标识对应的用户标识与第一用户标识一致,或者,响应消息携带的第二用户标识与第一用户标识对应的用户标识一致,则响应Detach指令;
否则,不响应Detach指令。
其中,第一用户标识包括:国际移动用户识别码IMSI或临时移动用户识别码TMSI;
第二用户标识包括:IMSI或国际移动设备识别码IMEI。
其中,收发机1310还用于:接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
处理器用于:建立IMSI与IMEI的第一关联关系。
其中,收发机还用于:接收终端的入网信息,入网信息中携带有终端的IMSI和IMEI;
处理器1300用于:为终端分配TMSI,并建立TMSI与IMSI的第二关联关系,或TMSI与IMEI的第三关联关系。
其中,在图13中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1300代表的一个或多个处理器和存储器1320代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1310可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1300负责管理总线架构和通常的处理,存储器1320可以存储处理器1300在执行操作时所使用的数据。
本领域技术人员可以理解,实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过计算机程序来指示相关的硬件来完成,所述计算机程序包括执行上述方法的部分或者全部步骤的指令;且该计算机程序可以存储于一可读存储介质中,存储介质可以是任何形式的存储介质。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述拒绝服务Detach控制方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
此外,需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行,某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言,能够理解本发明的方法和装置的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (14)
1.一种拒绝服务Detach控制方法,应用于网络设备侧,其特征在于,包括:
从终端侧接收拒绝服务Detach指令,其中,所述Detach指令携带有所述终端的第一用户标识;
发送请求上报所述终端的第二用户标识的请求消息,其中,所述第二用户标识的类型与所述第一用户标识的类型不同;
根据所述请求消息的响应结果,确定是否响应所述Detach指令;其中,所述响应结果包括接收到第二用户标识或未接收到第二用户标识。
2.根据权利要求1所述的拒绝服务Detach控制方法,其特征在于,根据所述请求消息的响应结果,确定是否响应所述Detach指令的步骤,包括:
若未接收到所述终端针对所述请求消息的响应消息,则不响应所述Detach指令;
若接收到所述终端根据所述请求消息上报的响应消息,则根据所述响应消息携带的所述第二用户标识,确定是否响应所述Detach指令。
3.根据权利要求2所述的拒绝服务Detach控制方法,其特征在于,根据所述响应消息携带的所述第二用户标识,确定是否响应所述Detach指令的步骤,包括:
若所述响应消息携带的所述第二用户标识对应的用户标识与所述第一用户标识一致,或者,所述响应消息携带的所述第二用户标识与所述第一用户标识对应的用户标识一致,则响应所述Detach指令;
否则,不响应所述Detach指令。
4.根据权利要求1至3任一项所述的拒绝服务Detach控制方法,其特征在于,所述第一用户标识包括:国际移动用户识别码IMSI或临时移动用户识别码TMSI;
所述第二用户标识包括:IMSI或国际移动设备识别码IMEI。
5.根据权利要求4所述的拒绝服务Detach控制方法,其特征在于,从终端侧接收拒绝服务Detach指令的步骤之前,还包括:
接收所述终端的入网信息,所述入网信息中携带有所述终端的IMSI和IMEI;
建立所述IMSI与所述IMEI的第一关联关系。
6.根据权利要求4所述的拒绝服务Detach控制方法,其特征在于,从终端侧接收拒绝服务Detach指令的步骤之前,还包括:
接收所述终端的入网信息,所述入网信息中携带有所述终端的IMSI和IMEI;
为所述终端分配TMSI,并建立所述TMSI与所述IMSI的第二关联关系,或所述TMSI与所述IMEI的第三关联关系。
7.一种网络设备,其特征在于,包括:处理器;与所述处理器相连接的存储器,以及与处理器相连接的收发机;其中,所述处理器用于调用并执行所述存储器中所存储的程序和数据,
所述收发机用于:从终端侧接收拒绝服务Detach指令,其中,所述Detach指令携带有所述终端的第一用户标识;以及
发送请求上报所述终端的第二用户标识的请求消息,其中,所述第二用户标识的类型与所述第一用户标识的类型不同;
所述处理器用于:根据所述请求消息的响应结果,确定是否响应所述Detach指令;其中,所述响应结果包括接收到第二用户标识或未接收到第二用户标识。
8.根据权利要求7所述的网络设备,其特征在于,所述处理器用于:
若未接收到所述终端针对所述请求消息的响应消息,则不响应所述Detach指令;
若接收到所述终端根据所述请求消息上报的响应消息,则根据所述响应消息携带的所述第二用户标识,确定是否响应所述Detach指令。
9.根据权利要求8所述的网络设备,其特征在于,所述处理器用于:
若所述响应消息携带的所述第二用户标识对应的用户标识与所述第一用户标识一致,或者,所述响应消息携带的所述第二用户标识与所述第一用户标识对应的用户标识一致,则响应所述Detach指令;
否则,不响应所述Detach指令。
10.根据权利要求7至9任一项所述的网络设备,其特征在于,所述第一用户标识包括:国际移动用户识别码IMSI或临时移动用户识别码TMSI;
所述第二用户标识包括:IMSI或国际移动设备识别码IMEI。
11.根据权利要求10所述的网络设备,其特征在于,所述收发机还用于:接收所述终端的入网信息,所述入网信息中携带有所述终端的IMSI和IMEI;
所述处理器用于:建立所述IMSI与所述IMEI的第一关联关系。
12.根据权利要求10所述的网络设备,其特征在于,述收发机还用于:接收所述终端的入网信息,所述入网信息中携带有所述终端的IMSI和IMEI;
所述处理器还用于:为所述终端分配TMSI,并建立所述TMSI与所述IMSI的第二关联关系,或所述TMSI与所述IMEI的第三关联关系。
13.一种网络设备,其特征在于,包括:
第一接收模块,用于从终端侧接收拒绝服务Detach指令,其中,所述Detach指令携带有所述终端的第一用户标识;
第一发送模块,用于发送请求上报所述终端的第二用户标识的请求消息;
处理模块,用于根据所述请求消息的响应结果,确定是否响应所述Detach指令;其中,所述响应结果包括接收到第二用户标识或未接收到第二用户标识。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的拒绝服务Detach控制方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810661581.1A CN110636508B (zh) | 2018-06-25 | 2018-06-25 | 一种拒绝服务Detach控制方法及网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810661581.1A CN110636508B (zh) | 2018-06-25 | 2018-06-25 | 一种拒绝服务Detach控制方法及网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636508A CN110636508A (zh) | 2019-12-31 |
| CN110636508B true CN110636508B (zh) | 2023-05-09 |
Family
ID=68967359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810661581.1A Active CN110636508B (zh) | 2018-06-25 | 2018-06-25 | 一种拒绝服务Detach控制方法及网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636508B (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7617524B2 (en) * | 2005-06-14 | 2009-11-10 | Nokia Corporation | Protection against denial-of-service attacks |
| CN100466836C (zh) * | 2007-01-30 | 2009-03-04 | 华为技术有限公司 | 一种临时移动用户识别码校验方法及装置以及通讯系统 |
| CN101039326A (zh) * | 2007-04-28 | 2007-09-19 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN101136922B (zh) * | 2007-04-28 | 2011-04-13 | 华为技术有限公司 | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 |
| CN105245494B (zh) * | 2015-08-26 | 2018-10-19 | 华为技术有限公司 | 一种网络攻击的确定方法及装置 |
-
2018
- 2018-06-25 CN CN201810661581.1A patent/CN110636508B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636508A (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8706085B2 (en) | Method and apparatus for authenticating communication device | |
| WO2020215291A1 (zh) | 一种多卡用户设备及其通讯方法、网络设备 | |
| US8931065B2 (en) | OTA bootstrap method and system | |
| US12003364B2 (en) | Compromised network node detection system | |
| CN101959182B (zh) | 实现移动终端的一号多卡的方法和系统 | |
| US20160021532A1 (en) | Method for preventing fraud or misuse based on a risk scoring approach when using a service of a service provider, system for preventing fraud or misuse, and mobile communication network for preventing fraud or misuse | |
| EP2874367B1 (en) | Call authentication method, device, and system | |
| CN114697945B (zh) | 发现响应消息的生成方法及装置、发现消息的处理方法 | |
| US11184773B2 (en) | Security auditing system and method | |
| CN102098659A (zh) | 一种快速校验国际移动设备标识的方法及系统 | |
| CN114928843A (zh) | 伪基站防御方法、装置、通信设备及可读存储介质 | |
| EP4052499B1 (en) | Sim swap fraud detection | |
| EP2584814B1 (en) | Method and radio network control for tracking the international mobile station equipment identity of user equipment | |
| CN113795002A (zh) | 垃圾短信的拦截方法、装置和计算机可读存储介质 | |
| US9948672B2 (en) | Simulating unauthorized use of a cellular communication network | |
| CN110636508B (zh) | 一种拒绝服务Detach控制方法及网络设备 | |
| US8380165B1 (en) | Identifying a cloned mobile device in a communications network | |
| CN109348053B (zh) | 电话号码标记处理方法、服务器、终端设备及计算机可读存储介质 | |
| CN110234106B (zh) | 检测vlr是否验证被叫终端的识别响应的方法及装置 | |
| CN101998408B (zh) | 一种防止复制卡盗用业务功能的方法及系统 | |
| CN105682082A (zh) | 终端识别方法和装置 | |
| CN110234105B (zh) | 检测vlr是否验证拒绝服务指令的方法及装置 | |
| CN115022877B (zh) | 终端鉴权方法、装置、电子设备及计算机可读存储介质 | |
| EP4181554A1 (en) | Traffic control server and method | |
| CN101330742B (zh) | 电路域用户设备注册/注销个人网络管理业务的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |