CN111132162A - 一种终端信息的获取方法及装置 - Google Patents

一种终端信息的获取方法及装置 Download PDF

Info

Publication number
CN111132162A
CN111132162A CN201911370737.1A CN201911370737A CN111132162A CN 111132162 A CN111132162 A CN 111132162A CN 201911370737 A CN201911370737 A CN 201911370737A CN 111132162 A CN111132162 A CN 111132162A
Authority
CN
China
Prior art keywords
terminal information
request message
mobile terminal
information
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911370737.1A
Other languages
English (en)
Other versions
CN111132162B (zh
Inventor
孙强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd Chengdu Branch
Original Assignee
New H3C Technologies Co Ltd Chengdu Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd Chengdu Branch filed Critical New H3C Technologies Co Ltd Chengdu Branch
Priority to CN201911370737.1A priority Critical patent/CN111132162B/zh
Publication of CN111132162A publication Critical patent/CN111132162A/zh
Application granted granted Critical
Publication of CN111132162B publication Critical patent/CN111132162B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供了一种终端信息的获取方法及装置,应用于园区的安全网关,安全网关与基站连接且安全网关与核心网设备连接,该方法包括:通过基站接收移动终端发送的初始附着请求报文;将初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文;将目标附着请求报文发送给核心网设备;接收核心网设备根据非法信息触发的针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端;通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文,身份验证响应报文包括移动终端的固有终端信息。应用本申请实施例提供的技术方案,实现降低网络部署成本,提高管控成功率,优化安全管控效果。

Description

一种终端信息的获取方法及装置
技术领域
本申请涉及网络安全技术领域,特别是涉及一种终端信息的获取方法及装置。
背景技术
随着移动通信技术的飞速发展,移动终端已成为人们生活、工作和社交的必须工具。移动终端在给人们带来巨大便利的同时,也给移动终端的安全管理带来了巨大的挑战。例如,一些园区需要对移动终端进行合法性、网络访问权限等进行严格的安全管控。然而,移动运营商提供的是一种“公网”服务,也就是,移动运营商设置的基站和核心网设备提供的一种“公网”服务,很难由移动运营商设置的基站和核心网设备实现为园区内的移动终端提供特定的安全管控服务。
为了有效地对园区内的移动终端进行安全管控,在园区内设置终端信息捕捉器来获取终端信息。其中,终端信息捕捉器的信号强度远远高于移动运营商设置的基站的信号强度。这样移动终端就会选择接入终端信息捕捉器。终端信息捕捉器向接入的移动终端发送身份验证请求报文。移动终端基于身份验证请求报文,将自身的终端信息发送给终端信息捕捉器,以使终端信息捕捉器获取到终端信息,进而基于获取的终端信息对移动终端进行安全校验,确定移动终端是否为合法终端。这样,终端信息捕捉器将合法的移动终端释放回移动运营商设置的基站,使合法的移动终端正常接入网络,不释放非法的移动终端,使非法的移动终端不能接入网络。
采用上述方式,对园区内的移动终端进行安全管控,获取终端信息时,需要设置发射功率很大终端信息捕捉器,以保证终端信息捕捉器的信号强度远远高于移动运营商设置的基站的信号强度,终端信息捕捉器的信号强度压制移动运营商设置的基站的信号强度,促使移动终端接入终端信息捕捉器,这导致网络部署成本较高。另外,终端信息捕捉器的发射功率的精度很难控制,容易造成园区的某些区域中终端信息捕捉器的信号强度低于移动运营商设置的基站的信号强度,这使得无法对这些区域内的移动终端进行安全管控,管控成功率较低,安全管控效果较差。
发明内容
本申请实施例的目的在于提供一种终端信息的获取方法及装置,以实现降低网络部署成本,提高管控成功率,优化安全管控效果。具体技术方案如下:
第一方面,本申请实施例提供了一种终端信息的获取方法,应用于园区的安全网关,所述安全网关与基站连接,且所述安全网关与核心网设备连接,所述方法包括:
通过基站接收移动终端发送的初始附着请求报文,所述初始附着请求报文包括所述移动终端的临时终端信息;
将所述初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文;
将所述目标附着请求报文发送给所述核心网设备;
接收所述核心网设备根据所述非法信息触发的针对所述移动终端的身份验证请求报文,并通过所述基站将所述身份验证请求报文转发给移动终端;
通过所述基站接收所述移动终端根据所述身份验证请求报文发送的身份验证响应报文,所述身份验证响应报文包括所述移动终端的固有终端信息。
第二方面,本申请实施例提供了一种终端信息的获取装置,应用于园区的安全网关,所述安全网关与基站连接,且所述安全网关与核心网设备连接,所述装置包括:
第一发送单元,用于通过基站接收移动终端发送的初始附着请求报文,所述初始附着请求报文包括所述移动终端的临时终端信息;
修改单元,用于将所述初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文;
第二发送单元,用于将所述目标附着请求报文发送给所述核心网设备;
第一接收单元,用于接收所述核心网设备根据所述非法信息触发的针对所述移动终端的身份验证请求报文,并通过所述基站将所述身份验证请求报文转发给移动终端;
第二接收单元,用于通过所述基站接收所述移动终端根据所述身份验证请求报文发送的身份验证响应报文,所述身份验证响应报文包括所述移动终端的固有终端信息。
第三方面,本申请实施例提供了一种安全网关,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面提供的任一所述的方法步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面提供的任一所述的方法步骤。
本申请实施例提供的一种终端信息的获取方法及装置,在基站和核心网设备之间部署了一个安全网关。安全网关通过将初始附着请求报文中的临时终端信息修改为非法信息,使得核心网设备发起对移动终端进行身份验证,进而获取到移动终端的固有终端信息。这里的安全网关不需要通过高功率射频信号压制基站的信号来获取用户终端接入,降低了网络部署成本。另外,园区内的所有移动终端接入网络时,均通过基站与核心网设备,而安全网关部署在基站与核心网设备之间,因此,安全网关可以获取到园区内的所有移动终端的固有终端信息,实现对园区内的所有移动终端安全管控,提高了管控成功率,优化了安全管控效果。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中终端信息的获取系统的一种结构示意图;
图2为本申请实施例提供的终端信息的获取系统的一种结构示意图;
图3为本申请实施例提供的终端信息的获取方法的第一种流程示意图;
图4为本申请实施例提供的终端信息的获取方法的第二种流程示意图;
图5为本申请实施例提供的终端信息的获取方法的第三种流程示意图;
图6为本申请实施例提供的终端信息的获取方法的第四种流程示意图;
图7为本申请实施例提供的终端信息的获取装置的一种结构示意图;
图8为本申请实施例提供的安全网关的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为便于理解,下面对本申请实施例中出现的词语进行解释说明。
附着,是指移动终端接入移动通信网络的过程。
移动终端的终端信息,包括临时终端信息、固有终端信息、移动终端最后访问的TAI(Tracking Area identity,跟踪区标识)、移动终端当前所在小区的TAI和、移动终端当前所在小区的ECGI(Evolved Cell Global Identity,演进的小区全局标识)等信息。其中,临时终端信息可以包括GUTI(Globally Unique Temporary Identity,全球唯一临时标识)、IP(Internet Protocol,网络协议)地址等,固有终端信息可以包括IMSI(International Mobile Subscriber Identification,国际移动用户识别码)、MAC(MediaAccess Control,媒体访问控制)等。
如图1所示的终端信息的获取系统,包括移动终端11-13、基站14、终端信息捕捉器15和核心网设备16。其中,终端信息捕捉器15的信号强度远远高于移动运营商设置的基站的信号强度,使终端信息捕捉器15的信号强度压制基站14的信号强度。终端信息捕捉器15相当于一个基站。基站14和核心网设备16为移动运营商设置的设备。终端信息的获取系统可以包括一个或多个移动终端,本申请实施例仅以3个移动终端为例进行说明。下面以移动终端11即为网络为例进行说明。
移动终端11需要接入网络时,选择接入信号强度大的终端信息捕捉器15,即向终端信息捕捉器15发送附着请求报文a。终端信息捕捉器15接收到附着请求报文a后,向移动终端11发送身份验证请求报文a。
移动终端11接收到身份验证请求报文a后,生成携带移动终端11的终端信息11的身份验证响应报文a,将身份验证响应报文a发送给终端信息捕捉器15。
终端信息捕捉器15接收身份验证响应报文a,进而从身份验证响应报文a中获取到移动终端11的终端信息。
此时,终端信息捕捉器15可以获取到移动终端11的终端信息,进而基于移动终端11的终端信息,对移动终端11进行安全监控。具体的,终端信息捕捉器15检测移动终端11的终端信息是否为合法终端信息。若检测到移动终端11的终端信息为合法终端信息,则终端信息捕捉器15将移动终端11释放回基站14。例如,终端信息捕捉器15将后续用接收的移动终端11发送数据报文转发给基站11。基站11将数据报文转发给核心网设备16,进而核心网设备16将数据报文转发至网络,实现移动终端11访问网络。
若检测到移动终端11的终端信息为非法终端信息,则终端信息捕捉器15不将移动终端11释放回基站14,拒绝移动终端11接入网络。例如,终端信息捕捉器15丢弃后续用接收的移动终端11发送数据报文,拒绝将数据报文转发给基站11,实现拒绝移动终端11访问网络。
采用上述方式,对园区内的移动终端进行安全管控,获取终端信息时,需要设置发射功率很大终端信息捕捉器,这导致网络部署成本较高。另外,终端信息捕捉器的发射功率的精度很难控制,容易造成园区的某些区域中终端信息捕捉器的信号强度低于移动运营商设置的基站的信号强度,这使得无法对这些区域内的移动终端进行安全管控,管控成功率较低,安全管控效果较差。
为解决上述问题,本申请实施例提供了一种终端信息的获取系统,如图2所示,包括移动终端21-23、基站24、安全网关25和核心网设备26。安全网关25部署在基站24和核心网设备26之间,安全网关25为透明部署。本申请实施例中,终端信息的获取系统可以包括一个或多个移动终端,这里仅以3个为例进行说明,并不起限定作用。
基于该终端信息的获取系统,安全网关通过将移动终端发送的初始附着请求报文中的临时终端信息修改为非法信息,使得核心网设备发起对移动终端进行身份验证,进而获取到移动终端的固有终端信息。这里的安全网关不需要通过高功率射频信号压制基站的信号来获取用户终端接入,降低了网络部署成本。另外,园区内的所有移动终端接入网络时,均通过基站与核心网设备,而安全网关部署在基站与核心网设备之间,因此,安全网关可以获取到园区内的所有移动终端的固有终端信息,实现对园区内的所有移动终端安全管控,提高了管控成功率,优化了安全管控效果。
基于上述终端信息的获取系统,本申请实施例提供了一种终端信息的获取方法。参考图3,图3为本申请实施例提供的终端信息的获取方法的第一种流程示意图。该方法应用于园区的安全网关,安全网关与基站连接,且安全网关与核心网设备连接,如上述图2所示的安全网关25。该方法包括如下步骤。
步骤31,通过基站接收移动终端发送的初始附着请求报文,初始附着请求报文包括移动终端的临时终端信息。
园区内的移动终端需要接入网络时,向基站发送附着请求报文(如AttachRequest报文)。该附着请求报文中可以包括但不限于终端信息、移动终端最后访问的TAI、移动终端当前所在小区的TAI和、移动终端当前所在小区的ECGI等信息。附着请求报文包括的终端信息可以为临时终端信息或固有终端信息。
基站接收到移动终端发送的附着请求报文后,可以将该附着请求报文作为初始附着请求报文转发给核心网设备。由于安全网关位于基站和核心网设备之间,因此,安全网关获取到初始附着请求报文。
步骤32,将初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文。
安全网关接收到初始附着请求报文后,若检测到初始附着请求报文中携带临时终端信息,则将初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文。
其中,非法信息可以根据实际需要进行设定。非法信息的具体设定,下面会进行详细说明,此处不再展开说明。
步骤33,将目标附着请求报文发送给核心网设备。
安全网关得到目标附着请求报文后,将目标附着请求报文发送给核心网设备。核心网设备接收到目标附着请求报文,由于目标附着请求报文中的临时终端信息已被修改为非法信息,因此,核心网设备不会查询到与目标附着请求报文中的非法信息匹配的临时终端信息,不能确定移动终端的身份,进而依据通信协议,触发身份验证,向移动终端发送身份验证请求报文。由于安全网关位于移动终端和核心网设备之间,因此,安全网关获取到身份验证请求报文。
步骤34,接收核心网设备根据非法信息触发的针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端。
安全网关接收核心网设备发送的针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端。移动终端根据身份验证请求报文获取移动终端的固有终端信息,生成携带固有终端信息的身份验证响应报文,向核心网设备发送身份验证响应报文。具体的,移动终端将身份验证响应报文发送给基站,基站将身份验证响应报文转发给核心网设备,中间安全网关。
步骤35,通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文,身份验证响应报文包括移动终端的固有终端信息。
移动终端将身份验证响应报文发送给核心网设备时,身份验证响应报文的传输经过安全网关。安全网关就可以从身份验证响应报文获取到移动终端的固有终端信息。这样,安全网关就可以基于获取的固有终端信息对移动终端进行安全管控。
本申请实施例提供的一种终端信息的获取方法中,在基站和核心网设备之间部署了一个安全网关。安全网关通过将初始附着请求报文中的临时终端信息修改为非法信息,使得核心网设备发起对移动终端进行身份验证,进而获取到移动终端的固有终端信息。这里的安全网关不需要通过高功率射频信号压制基站的信号来获取用户终端接入,降低了网络部署成本。另外,园区内的所有移动终端接入网络时,均通过基站与核心网设备,而安全网关部署在基站与核心网设备之间,因此,安全网关可以获取到园区内的所有移动终端的固有终端信息,实现对园区内的所有移动终端安全管控,提高了管控成功率,优化了安全管控效果。
基于上述终端信息的获取系统和方法,本申请实施例还提供了一种终端信息的获取方法。参考图4,图4为本申请实施例提供的终端信息的获取方法的第二种流程示意图。该方法应用于园区的安全网关,安全网关与基站连接,且安全网关与核心网设备连接,如上述图2所示的安全网关25。该方法可以包括如下步骤。
步骤41,通过基站接收移动终端发送的初始附着请求报文,初始附着请求报文包括移动终端的临时终端信息。步骤41与步骤31相同。
步骤42,将初始附着请求报文包括的临时终端信息的预设字段中的值修改为预设值,得到目标附着请求报文,预设值用于表征临时终端信息为非法信息。
临时终端信息包括多个字段。预设字段可以为临时终端信息包括的多个字段中的任一个或多个字段。安全网关确定初始附着请求报文包括的临时终端信息的预设字段,将预设字段中的值修改为预设值,得到目标附着请求报文。
本申请实施例中,临时终端信息包括GUTI,GUTI由MCC(Mobile Country Code,移动用户国家代号)、MNC(Mobile Network Code,移动用户网络代号)、MMEGI(MobilityManagement Entity Group Identity,核心网移动性管理实体组标识)、MMEC(MobilityManagement Entity Code,核心网移动性管理实体编码)、M-TMSI(Serving-TemporaryMobile Subscriber Identity,临时移动用户标识)构造。预设字段可以包括MCC字段、MNC字段、MMEGI字段、MMEC字段、M-TMSI字段中的一个或多个字段。预设值可以为0、1等数值。
一个示例中,上述预设字段包括MCC字段和MNC字段,预设值为0。
通信协议中规定,MCC字段和MNC字段中的值不能全为0。MCC字段和MNC字段中的值全为0表征临时终端信息是非法信息。因此,若安全网关向核心网设备发送的目标附着请求报文中,临时终端信息的MCC字段和MNC字段中的值为0,则核心网设备依据目标附着请求报文包括的临时终端信息,必不会找到与目标附着请求报文中的临时终端信息匹配的临时终端信息,进而依据通信协议,发起身份验证,即向移动终端发送针对移动终端的身份验证请求报文。
另一个示例中,上述预设字段包括GUTI的所有字段,即上述预设字段包括MCC字段、MNC字段、MMEGI字段、MMEC字段、M-TMSI字段,预设值为与网络中存在临时终端信息所包括的字段中的值不同的固定值。临时终端信息所包括的字段中的值即为GUTI的所有字段中的值。临时终端信息所包括的字段中的值为固定值时,网络中不存在该临时终端信息,该临时终端信息为非法信息。例如,固定值为111111111,网络中不存在为111111111的临时终端信息,因此,111111111的临时终端信息为非法信息。
若安全网关向核心网设备发送的目标附着请求报文中,临时终端信息所包括的字段中的值为固定值,则核心网设备依据目标附着请求报文包括的临时终端信息,必不会找到与目标附着请求报文中的临时终端信息匹配的临时终端信息,进而依据通信协议,发起身份验证。
步骤43,将目标附着请求报文发送给核心网设备。步骤43与步骤33相同。
步骤44,接收核心网设备根据非法信息触发的针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端。步骤44与步骤34相同。
步骤45,通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文,身份验证响应报文包括移动终端的固有终端信息。步骤45与步骤35相同。
采用本申请实施例提供的技术方案,在实现对园区内的所有移动终端安全管控,提高管控成功率,优化安全管控效果的同时,提高了对园区内的所有移动终端安全管控的可靠性。
基于上述终端信息的获取系统和方法,本申请实施例还提供了一种终端信息的获取方法。参考图5,图5为本申请实施例提供的终端信息的获取方法的第三种流程示意图。该方法应用于园区的安全网关,安全网关与基站连接,且安全网关与核心网设备连接,如上述图2所示的安全网关25。该方法可以包括如下步骤。
步骤51,通过基站接收移动终端发送的初始附着请求报文,初始附着请求报文包括移动终端的临时终端信息。步骤51与步骤31相同。
步骤52,对初始附着请求报文包括的临时终端信息所包括的字段中的值进行取反处理,得到目标附着请求报文,其中,取反处理后的临时终端信息为非法信息。
初始附着请求报文包括的临时终端信息为合法的临时终端信息,即使是非法用户发送的初始附着请求报文,为了实现攻击的目的,该初始附着请求报文包括的临时终端信息也会伪装成合法的临时终端信息。安全网关对合法的临时终端信息所包括的字段中的值进行取反处理,得到的临时终端信息就是非法信息。安全网关将携带取反处理后的临时终端信息的初始附着请求报文,作为目标附着请求报文。
若安全网关向核心网设备发送的目标附着请求报文中,临时终端信息为取反处理后的临时终端信息,则核心网设备依据目标附着请求报文包括的临时终端信息,必不会找到与目标附着请求报文中的临时终端信息匹配的临时终端信息,进而依据通信协议,发起身份验证。
步骤53,将目标附着请求报文发送给核心网设备。步骤53与步骤33相同。
步骤54,接收核心网设备根据非法信息触发针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端。步骤54与步骤34相同。
步骤55,通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文,身份验证响应报文包括移动终端的固有终端信息。步骤55与步骤35相同。
采用本申请实施例提供的技术方案,在实现对园区内的所有移动终端安全管控,提高管控成功率,优化安全管控效果的同时,进一步提高了对园区内的所有移动终端安全管控的可靠性。
基于上述终端信息的获取系统和方法,本申请实施例还提供了一种终端信息的获取方法。参考图6,图6为本申请实施例提供的终端信息的获取方法的第四种流程示意图。该方法应用于园区的安全网关,安全网关与基站连接,且安全网关与核心网设备连接,如上述图2所示的安全网关25。安全网关中存储有合法终端信息。这里,合法终端信息可以存储在白名单中,也可以存储在其他预设区域内,本申请实施例对此不进行限定。本申请实施例中,上述终端信息的获取方法可以包括如下步骤。
步骤61,通过基站接收移动终端发送的初始附着请求报文,初始附着请求报文包括移动终端的临时终端信息。步骤61与步骤31相同。
步骤62,将初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文。步骤62与步骤32相同。
步骤63,将目标附着请求报文发送给核心网设备。步骤63与步骤33相同。
步骤64,接收核心网设备根据非法信息触发的针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端。步骤64与步骤34相同。
步骤65,通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文,身份验证响应报文包括移动终端的固有终端信息。步骤65与步骤35相同。
步骤66,若固有终端信息与合法终端信息不匹配,则拒绝移动终端接入网络。
安全网关在获取到移动终端的固有终端信息后,可将固有终端信息与预先存储的合法终端信息。若固有终端信息与合法终端信息不匹配,则安全网关拒绝移动终端接入网络。例如,安全网关丢弃移动终端发送的数据报文,或向移动终端访问错误的信息,或限制移动终端的访问速率等。若固有终端信息与合法终端信息匹配,则安全网关正常放行移动终端发送的数据报文,移动终端可正常接入网络。
采用本申请实施例提供的技术方案,在安全网关中存储有合法终端信息,在获取到移动终端的固定终端信息后,比较固有终端信息与合法终端信息,实现对对园区内的移动终端安全管控。
基于上述终端信息的获取系统和方法,本申请实施例还提供了一种终端信息的获取装置。参考图7,图7为本申请实施例提供的终端信息的获取装置的一种流程示意图。该终端信息的获取装置应用于园区的安全网关,安全网关与基站连接,且安全网关与核心网设备连接。该装置包括:第一发送单元71、修改单元72、第二发送单元73、第一接收单元74、第二接收单元75。
第一发送单元71,用于通过基站接收移动终端发送的初始附着请求报文,初始附着请求报文包括移动终端的临时终端信息;
修改单元72,用于将初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文;
第二发送单元73,用于将目标附着请求报文发送给核心网设备;
第一接收单元74,用于接收核心网设备根据非法信息触发的针对移动终端的身份验证请求报文,并通过基站将身份验证请求报文转发给移动终端;
第二接收单元75,用于通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文,身份验证响应报文包括移动终端的固有终端信息。
一个可选的实施例中,修改单元72,具体可以用于:
将初始附着请求报文包括的临时终端信息的预设字段中的值修改为预设值,得到目标附着请求报文,其中,预设值用于表征临时终端信息为非法信息。
一个可选的实施例中,修改单元72,具体可以用于:
对初始附着请求报文包括的临时终端信息所包括的字段中的值进行取反处理,得到目标附着请求报文,其中,取反处理后的临时终端信息为非法信息。
一个可选的实施例中,安全网关中存储有合法终端信息;上述终端信息的获取装置还可以包括:
拒绝单元,用于在通过基站接收移动终端根据身份验证请求报文发送的身份验证响应报文之后,若固有终端信息与合法终端信息不匹配,则拒绝移动终端接入网络。
一个可选的实施例中,临时终端信息包括GUTI,固有终端信息包括IMSI;预设字段为GUTI包括的MCC字段和MNC字段;预设值为0。
本申请实施例提供的一种终端信息的获取装置,在基站和核心网设备之间部署了一个安全网关。安全网关通过将初始附着请求报文中的临时终端信息修改为非法信息,使得核心网设备发起对移动终端进行身份验证,进而获取到移动终端的固有终端信息。这里的安全网关不需要通过高功率射频信号压制基站的信号来获取用户终端接入,降低了网络部署成本。另外,园区内的所有移动终端接入网络时,均通过基站与核心网设备,而安全网关部署在基站与核心网设备之间,因此,安全网关可以获取到园区内的所有移动终端的固有终端信息,实现对园区内的所有移动终端安全管控,提高了管控成功率,优化了安全管控效果。
基于上述终端信息的获取系统和方法,本申请实施例还提供了一种安全网关,如图8所示,包括处理器81和机器可读存储介质82,机器可读存储介质82存储有能够被处理器81执行的机器可执行指令。处理器81被机器可执行指令促使实现上述图3-图6所示的任一步骤。
基于上述终端信息的获取系统和方法,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图3-图6所示的任一步骤。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于终端信息的获取装置、安全网关、机器可读存储介质实施例而言,由于其基本相似于终端信息的获取方法实施例,所以描述的比较简单,相关之处参见终端信息的获取方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (10)

1.一种终端信息的获取方法,其特征在于,应用于园区的安全网关,所述安全网关与基站连接,且所述安全网关与核心网设备连接,所述方法包括:
通过基站接收移动终端发送的初始附着请求报文,所述初始附着请求报文包括所述移动终端的临时终端信息;
将所述初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文;
将所述目标附着请求报文发送给所述核心网设备;
接收所述核心网设备根据所述非法信息触发的针对所述移动终端的身份验证请求报文,并通过所述基站将所述身份验证请求报文转发给移动终端;
通过所述基站接收所述移动终端根据所述身份验证请求报文发送的身份验证响应报文,所述身份验证响应报文包括所述移动终端的固有终端信息。
2.根据权利要求1所述的方法,其特征在于,所述将所述初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文,包括:
将所述初始附着请求报文包括的所述临时终端信息的预设字段中的值修改为预设值,得到目标附着请求报文,其中,所述预设值用于表征所述临时终端信息为非法信息;或者
对所述初始附着请求报文包括的所述临时终端信息所包括的字段中的值进行取反处理,得到目标附着请求报文,其中,取反处理后的临时终端信息为非法信息。
3.根据权利要求1或2所述的方法,其特征在于,所述安全网关中存储有合法终端信息;
在通过所述基站接收所述移动终端根据所述身份验证请求报文发送的身份验证响应报文之后,所述方法还包括:
若所述固有终端信息与所述合法终端信息不匹配,则拒绝所述移动终端接入网络。
4.根据权利要求2所述的方法,其特征在于,所述临时终端信息包括全球唯一临时标识GUTI,所述固有终端信息包括国际移动用户识别码IMSI;
所述预设字段为所述GUTI包括的移动用户国家代号MCC字段和移动用户网络代号MNC字段;所述预设值为0。
5.一种终端信息的获取装置,其特征在于,应用于园区的安全网关,所述安全网关与基站连接,且所述安全网关与核心网设备连接,所述装置包括:
第一发送单元,用于通过基站接收移动终端发送的初始附着请求报文,所述初始附着请求报文包括所述移动终端的临时终端信息;
修改单元,用于将所述初始附着请求报文中的临时终端信息修改为非法信息,得到目标附着请求报文;
第二发送单元,用于将所述目标附着请求报文发送给所述核心网设备;
第一接收单元,用于接收所述核心网设备根据所述非法信息触发的针对所述移动终端的身份验证请求报文,并通过所述基站将所述身份验证请求报文转发给移动终端;
第二接收单元,用于通过所述基站接收所述移动终端根据所述身份验证请求报文发送的身份验证响应报文,所述身份验证响应报文包括所述移动终端的固有终端信息。
6.根据权利要求5所述的装置,其特征在于,所述修改单元,具体用于:
将所述初始附着请求报文包括的所述临时终端信息的预设字段中的值修改为预设值,得到目标附着请求报文,其中,所述预设值用于表征所述临时终端信息为非法信息;或者
对所述初始附着请求报文包括的所述临时终端信息所包括的字段中的值进行取反处理,得到目标附着请求报文,其中,取反处理后的临时终端信息为非法信息。
7.根据权利要求5或6所述的装置,其特征在于,所述安全网关中存储有合法终端信息;所述装置还包括:
拒绝单元,用于在通过所述基站接收所述移动终端根据所述身份验证请求报文发送的身份验证响应报文之后,若所述固有终端信息与所述合法终端信息不匹配,则拒绝所述移动终端接入网络。
8.根据权利要求6所述的装置,其特征在于,所述临时终端信息包括全球唯一临时标识GUTI,所述固有终端信息包括国际移动用户识别码IMSI;
所述预设字段为所述GUTI包括的移动用户国家代号MCC字段和移动用户网络代号MNC字段;所述预设值为0。
9.一种安全网关,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
CN201911370737.1A 2019-12-26 2019-12-26 一种终端信息的获取方法及装置 Active CN111132162B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911370737.1A CN111132162B (zh) 2019-12-26 2019-12-26 一种终端信息的获取方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911370737.1A CN111132162B (zh) 2019-12-26 2019-12-26 一种终端信息的获取方法及装置

Publications (2)

Publication Number Publication Date
CN111132162A true CN111132162A (zh) 2020-05-08
CN111132162B CN111132162B (zh) 2022-11-22

Family

ID=70503435

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911370737.1A Active CN111132162B (zh) 2019-12-26 2019-12-26 一种终端信息的获取方法及装置

Country Status (1)

Country Link
CN (1) CN111132162B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286894A (zh) * 2008-05-07 2008-10-15 中国网络通信集团公司长沙市分公司 一种针对ip网络中非法接入的检测及控制方法
CN101959181A (zh) * 2009-07-20 2011-01-26 中兴通讯股份有限公司 多无线网络协同的网络架构及方法
CN103404182A (zh) * 2012-12-26 2013-11-20 华为技术有限公司 一种防止业务非法访问的方法和装置
EP2790454A1 (en) * 2011-12-06 2014-10-15 Datang Mobile Communications Equipment Co., Ltd. Method for attaching e-utran and mobility management entity
CN105282270A (zh) * 2015-11-03 2016-01-27 北京星网锐捷网络技术有限公司 一种防止ip地址冒用的方法、装置及系统
WO2017019118A1 (en) * 2015-07-28 2017-02-02 Intel Corporation Network attach process through a combined general packet radio service (gprs) attach message and a packet data protocol (pdp) context activation procedure
CN106559917A (zh) * 2015-09-30 2017-04-05 中国移动通信集团公司 用户设备初始附着方法及系统
CN109982325A (zh) * 2019-04-08 2019-07-05 上海载德信息科技有限公司 一种获取移动终端信息的方法、装置、设备及存储介质
CN110048988A (zh) * 2018-01-15 2019-07-23 华为技术有限公司 消息的发送方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286894A (zh) * 2008-05-07 2008-10-15 中国网络通信集团公司长沙市分公司 一种针对ip网络中非法接入的检测及控制方法
CN101959181A (zh) * 2009-07-20 2011-01-26 中兴通讯股份有限公司 多无线网络协同的网络架构及方法
EP2790454A1 (en) * 2011-12-06 2014-10-15 Datang Mobile Communications Equipment Co., Ltd. Method for attaching e-utran and mobility management entity
CN103404182A (zh) * 2012-12-26 2013-11-20 华为技术有限公司 一种防止业务非法访问的方法和装置
WO2017019118A1 (en) * 2015-07-28 2017-02-02 Intel Corporation Network attach process through a combined general packet radio service (gprs) attach message and a packet data protocol (pdp) context activation procedure
CN106559917A (zh) * 2015-09-30 2017-04-05 中国移动通信集团公司 用户设备初始附着方法及系统
CN105282270A (zh) * 2015-11-03 2016-01-27 北京星网锐捷网络技术有限公司 一种防止ip地址冒用的方法、装置及系统
CN110048988A (zh) * 2018-01-15 2019-07-23 华为技术有限公司 消息的发送方法和装置
CN109982325A (zh) * 2019-04-08 2019-07-05 上海载德信息科技有限公司 一种获取移动终端信息的方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
""24301-8a0"", 《3GPP SPECS\24_SERIES》, 14 June 2011 (2011-06-14) *
王嘉嘉等: "LTE系统附着过程研究", 《电子产品世界》, no. 02, 4 February 2013 (2013-02-04) *

Also Published As

Publication number Publication date
CN111132162B (zh) 2022-11-22

Similar Documents

Publication Publication Date Title
US10117163B2 (en) Network access method and mobile communication terminal
US20090217038A1 (en) Methods and Apparatus for Locating a Device Registration Server in a Wireless Network
US9992760B2 (en) Method for updating RPLMN information and user equipment
US11233817B2 (en) Methods and apparatus for end device discovering another end device
CN106534289B (zh) 自动化测试方法、装置及系统
EP2991440B1 (en) Method and device for connecting to network
CN104602241A (zh) 伪基站的判定方法及移动终端
JP2013123271A (ja) 制限されたエリアへの移動体機器のローミングを処理するための方法
CN108024204B (zh) 本地网络的连接方法、装置及系统
CN108616805B (zh) 一种紧急号码的配置、获取方法及装置
CN103493541A (zh) 切换运营商网络的方法及终端
EP4135378A1 (en) Method, apparatus and device for controlling network slice authentication, and storage medium
CN109068330A (zh) 伪基站识别处理方法、设备及存储介质
US9131365B2 (en) Methods, apparatuses and computer program products for securing communications
CN111065049B (zh) 一种蓝牙设备的定位方法和装置
US20190332824A1 (en) Handling wireless client devices associated with a role indicating a stolen device
US11792633B2 (en) Device authentication verification for device registration
CN105704716A (zh) VoWi-Fi网络的接入方法及接入装置
US10251119B2 (en) Method and apparatus for handling reject
CN111132162B (zh) 一种终端信息的获取方法及装置
US20070206632A1 (en) Notification method according to conversion of communication service in mobile communication terminal
WO2016188022A1 (zh) 漫游方法、漫游服务器、移动终端及系统
EP3085047B1 (en) Method of improving security in a communication network and authentication entity
WO2020114137A1 (zh) 一种报文的处理方法、装置以及系统
CN111630883B (zh) 传输数据的方法、装置、通信设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant