CN114501448A - 拒绝接入方法、装置及系统 - Google Patents

拒绝接入方法、装置及系统 Download PDF

Info

Publication number
CN114501448A
CN114501448A CN202210083511.9A CN202210083511A CN114501448A CN 114501448 A CN114501448 A CN 114501448A CN 202210083511 A CN202210083511 A CN 202210083511A CN 114501448 A CN114501448 A CN 114501448A
Authority
CN
China
Prior art keywords
access
message
base station
terminal
check value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210083511.9A
Other languages
English (en)
Inventor
谢振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202210083511.9A priority Critical patent/CN114501448A/zh
Publication of CN114501448A publication Critical patent/CN114501448A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/18Management of setup rejection or failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/06Access restriction performed under specific conditions based on traffic conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/19Connection re-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/20Interfaces between hierarchically similar devices between access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种拒绝接入方法、装置及系统,其中,该方法包括:第一基站接收终端的接入请求;所述第一基站向所述终端发送拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。通过本发明,解决了相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题。

Description

拒绝接入方法、装置及系统
本申请是申请号为“201711144738.5”,申请日为“2017年11月17日”,题目为“拒绝接入方法、装置及系统”的中国专利申请的分案申请。
技术领域
本发明涉及通信领域,具体而言,涉及一种拒绝接入方法、装置及系统。
背景技术
第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)提出了一种拒绝非激活态终端接入的方案,如图1所示,图1为本发明相关技术中拒绝接入的流程示意图,其中,基站系统用于与终端建立无线连接,从而使得终端可以接入移动网络,该方案的流程包括如下步骤:
步骤101:终端UE曾通过A基站系统(比如gNB,或eNB1)接入无线移动网络,A基站系统保留有UE相关的安全信息,包括密钥,而后UE进入非激活状态,在该状态下,UE和A基站系统仍旧会保留通讯用的信息,包括安全信息,但都将无线连接资源释放;
步骤102:终端某个时候希望重新恢复接入移动网络,但UE可能移动到了B基站系统的覆盖之下,UE向B基站系统发送恢复接入请求,比如发送RRC Resume Request消息;
步骤103:B基站系统接收到恢复接入请求,希望终端在等待一段时间后再尝试重新恢复接入,于是向UE发送拒绝接入消息,比如发送Reject消息。
相关技术中,如果由于Reject消息没有任何安全保护,非法基站也可以发送拒绝接入消息给终端,从而使终端始终无法接入网络,甚至非法基站通过发送很短的等待尝试时间信息,使得终端频繁发送恢复接入请求并被拒绝,导致终端电力耗尽。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种拒绝接入方法、装置及系统,以至少解决相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题。
根据本发明的一个实施例,提供了一种拒绝接入方法,包括:第一基站接收终端的接入请求;所述第一基站向所述终端发送拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,在所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:所述第一基站向第二基站发送请求消息,其中,所述请求消息携带所述拒绝接入消息的部分或全部内容;
所述第一基站接收所述第二基站反馈的响应消息,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
可选地,在所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:所述第一基站向第二基站发送安全信息请求;
所述第一基站接收所述第二基站反馈的安全信息响应,其中,所述安全信息响应携带所述密钥;
所述第一基站根据所述密钥和所述拒绝接入消息的部分或全部内容生成所述校验值。
可选地,所述第一基站向所述终端发送拒绝接入消息包括:在所述第一基站具备以下条件至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端大于第二阈值。
可选地,所述第二基站在所述终端向所述第一基站发送所述接入请求之前,释放与所述终端的连接。
根据本发明的一个实施例,提供了另一种拒绝接入方法,包括:终端向第一基站发送接入请求;所述终端接收所述第一基站反馈的拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,在所述终端接收所述第一基站反馈的拒绝接入消息之后,所述终端根据所述密钥和所述拒绝接入消息的部分内容或全部内容计算得到校验值;在计算得到的校验值与接收到的校验值相同时,接受所述拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃所述拒绝接入消息。
根据本发明的一个实施例,提供了又一种拒绝接入方法,包括:第二基站接收来自第一基站的针对终端的请求消息;所述第二基站向所述第一基站发送响应消息;其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
可选地,所述第二基站在接收来自所述第一基站的所述请求消息之前,释放与所述终端的连接。
根据本发明的另一个实施例,提供了一种拒绝接入装置,应用在第一基站,包括:第一接收模块,用于接收终端的接入请求;第一发送模块,用于向所述终端发送拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,所述装置还包括:第二发送模块,用于在所述第一发送模块向所述终端发送拒绝接入消息之前,向第二基站发送请求消息,其中,所述请求消息携带所述拒绝接入消息的部分或全部内容;第二接收模块,用于接收所述第二基站反馈的响应消息,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
可选地,所述装置还包括:第三发送模块,用于在所述第一发送模块向所述终端发送拒绝接入消息之前,向第二基站发送安全信息请求;第三接收模块,用于接收所述第二基站反馈的安全信息响应,其中,所述安全信息响应携带所述密钥;生成模块,用于根据所述密钥和所述拒绝接入消息的部分或全部内容生成所述校验值。
可选地,所述第一发送模块包括:发送单元,用于在所述第一基站具备以下条件至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端大于第二阈值。
根据本发明的另一个实施例,提供了一种拒绝接入装置,应用在终端,包括:发送模块,用于向第一基站发送接入请求;接收模块,用于接收所述第一基站反馈的拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,所述装置还包括:计算模块,用于在所述接收模块接收所述第一基站反馈的拒绝接入消息之后,根据所述密钥和所述拒绝接入消息的部分内容或全部内容计算得到校验值;
处理模块,用于在计算得到的校验值与接收到的校验值相同时,接受所述拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃所述拒绝接入消息。
根据本发明的另一个实施例,提供了一种拒绝接入装置,应用在第二基站,包括:接收模块,用于接收来自第一基站的针对终端的请求消息;发送模块,用于向所述第一基站发送响应消息;其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
根据本发明的又一个实施例,提供了一种拒绝接入系统,包括第一基站、终端,所述第一基站包括:第一接收模块,用于接收终端的接入请求;第一发送模块,用于向所述终端发送拒绝接入消息;所述终端包括:第二发送模块,用于向第一基站发送接入请求;第二接收模块,用于接收所述第一基站反馈的拒绝接入消息;其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,所述系统还包括第二基站,其中,所述第二基站包括:第三接收模块,用于接收来自第一基站的针对终端的请求消息;第三发送模块,用于向所述第一基站发送响应消息;其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
通过本发明,通过在拒绝接入消息中携带基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值,终端在接收到拒绝接入消息可以使用校验值进行合法性校验,以确定发送基站的合法性,解决了相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题,提高了基站与终端间交互的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明相关技术中拒绝接入的流程示意图;
图2是根据本发明实施例的一种拒绝接入方法的流程图;
图3是根据本发明实施例的另一种拒绝接入方法的流程图;
图4是根据本发明实施例的一种拒绝接入装置的结构框图;
图5是根据本发明实施例的另一种拒绝接入装置的结构框图;
图6是根据本发明实施例的拒绝接入系统的结构框图;
图7为本发明实施例的拒绝接入的流程示意图一;
图8为本发明实施例的拒绝接入的流程示意图二;
图9为本发明实施例的拒绝接入的流程示意图三。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例运行的网络架构包括:基站、终端,其中,基站与终端之间进行交互。
在本实施例中提供了一种运行于上述网络架构的拒绝接入方法,图2是根据本发明实施例的一种拒绝接入方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,第一基站接收终端的接入请求;
步骤S204,第一基站向终端发送拒绝接入消息;拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
通过上述步骤,通过在拒绝接入消息中携带拒绝接入消息的部分内容或全部内容生成的校验值,终端在接收到拒绝接入消息可以使用校验值进行合法性校验,以确定发送基站的合法性,解决了相关技术中终端无法对拒绝接入消息进行合法性校验的技术问题,提高了基站与终端间交互的安全性。
可选地,上述步骤的执行主体可以为基站,如gNB,eNB,NB等,但不限于此。
可选的,拒绝接入请求还可以携带:用于指示所述终端下次尝试接入的等待时间。
可选地,本实施例的方法还包括获取该校验值,可以通过以下方式获取和得到。
在第一基站向终端发送拒绝接入消息之前,方法还包括:
S11,第一基站向第二基站发送请求消息,其中,请求消息携带拒绝接入消息的部分或全部内容;
S12,第一基站接收第二基站反馈的响应消息,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。生成校验值的方式可以有多种,比如以密钥和等待尝试时间为参数计算HMAC-SHA-256函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值。
作为另一种方式,在第一基站向终端发送拒绝接入消息之前,方法还包括:
S21,第一基站向第二基站发送安全信息请求;
S22,第一基站接收第二基站反馈的安全信息响应,其中,安全信息响应携带密钥;
S23,第一基站根据密钥和拒绝接入消息的部分或全部内容生成校验值。生成校验值(也叫令牌)的方式可以有多种,比如以密钥和等待尝试时间为参数计算哈希消息认证码-安全散列算法-256(Hash-based Message Authentication Code-Secure HashAlgorithm-256,简称为HMAC-SHA-256)函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值,这类Hash算法可将输入值映射为一个固定长度的值,且发生冲突的可能性非常低,即不同输入得到相同输出的可能性非常低,从而使得通过比较输出值可以判断输入值是否相同。
可选的,在第一基站当前拥塞系数大于第一阈值,和/或,当前已接入的终端大于第二阈值时,向终端发送拒绝接入消息。
在本实施例中,第二基站在终端向第一基站发送接入请求之前,释放与终端的连接。在终端接入到第二基站时,第二基站保存了终端的相关信息,如密钥等。
在本实施例中提供了另一种运行于上述网络架构的拒绝接入方法,图3是根据本发明实施例的另一种拒绝接入方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,终端向第一基站发送接入请求;
步骤S304,终端接收第一基站反馈的拒绝接入消息;其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,在终端接收第一基站反馈的拒绝接入消息之后,方法还包括:
S31,终端根据密钥和拒绝接入消息的部分内容或全部内容计算得到校验值;
S32,在计算得到的校验值与接收到的校验值相同时,接受拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃拒绝接入消息。密钥可以预先预置在终端内。
本实施例还提供了一种拒绝接入方法,包括:第二基站接收来自第一基站的针对终端的请求消息;第二基站向第一基站发送响应消息;其中,请求消息携带:针对终端的拒绝接入消息的部分或全部内容,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
可选的,第二基站在接收来自第一基站的请求消息之前,释放与终端的连接。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种拒绝接入装置,系统,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的一种拒绝接入装置的结构框图,应用在第一基站,如图4所示,该装置包括:
第一接收模块40,用于接收终端的接入请求;
第一发送模块42,用于向终端发送拒绝接入消息;
其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,装置还包括:第二发送模块,用于在第一发送模块向终端发送拒绝接入消息之前,向第二基站发送请求消息,其中,请求消息携带拒绝接入消息的部分或全部内容;
第二接收模块,用于接收第二基站反馈的响应消息,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
可选的,装置还包括:第三发送模块,用于在第一发送模块向终端发送拒绝接入消息之前,向第二基站发送安全信息请求;
第三接收模块,用于接收第二基站反馈的安全信息响应,其中,安全信息响应携带密钥;
生成模块,用于根据密钥和拒绝接入消息的部分或全部内容生成校验值。
可选的,第一发送模块包括:发送单元,用于在第一基站具备以下条件至少之一时,向终端发送拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端大于第二阈值。
图5是根据本发明实施例的另一种拒绝接入装置的结构框图,应用在终端,包括:
发送模块50,用于向第一基站发送接入请求;
接收模块52,用于接收第一基站反馈的拒绝接入消息;
其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
装置还包括:计算模块,用于在接收模块接收第一基站反馈的拒绝接入消息之后,根据密钥和拒绝接入消息的部分内容或全部内容计算得到校验值;
处理模块,用于在计算得到的校验值与接收到的校验值相同时,接受拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃拒绝接入消息。
本实施例还提供了一种拒绝接入装置,应用在第二基站,包括:接收模块,用于接收来自第一基站的针对终端的请求消息;发送模块,用于向第一基站发送响应消息;其中,请求消息携带:针对终端的拒绝接入消息的部分或全部内容,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
图6是根据本发明实施例的拒绝接入系统的结构框图,包括第一基站60、终端62。
第一基站60包括:
第一接收模块600,用于接收终端的接入请求;
第一发送模块602,用于向终端发送拒绝接入消息;
终端62包括:
第二发送模块620,用于向第一基站发送接入请求;
第二接收模块622,用于接收第一基站反馈的拒绝接入消息;
其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选的,系统还包括第二基站,其中,第二基站包括:第三接收模块,用于接收来自第一基站的针对终端的请求消息;第三发送模块,用于向第一基站发送响应消息;其中,请求消息携带:针对终端的拒绝接入消息的部分或全部内容,其中,响应消息携带基于密钥和拒绝接入消息的部分或全部内容生成的校验值。
第一基站60和终端62还可以包括上述内容所包括的一个或多个装置。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本实施例是根据本申请的可选实施例,用于结合具体的实施方式进行详细说明。
本实施例提供了一种拒绝非激活态终端接入的方法及装置。
实施方式一
图7为本发明实施例的拒绝接入的流程示意图一,如图7所示,该流程包括:
步骤201~202:与图1的步骤101~102相同;
步骤203:B基站系统接收到恢复接入请求,由于自身拥塞等原因,希望终端在等待一段时间后再尝试重新恢复接入,于是向A基站系统发送无法服务请求,比如发送ServiceDeny Request消息,携带等待尝试时间信息,比如wait timer;
步骤204:A基站系统基于与UE相关的密钥及等待尝试时间计算令牌,比如以密钥和等待尝试时间为参数计算HMAC-SHA-256函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值;
步骤205,A基站系统向B基站系统发送无法服务响应,比如发送Service DenyResponse消息,携带等待尝试时间信息和计算到的令牌;
步骤206:B基站系统向UE发送拒绝接入消息,比如发送Reject消息,携带收到的等待尝试时间信息和令牌,终端使用相同的计算方法计算令牌,并比较计算的令牌和收到的令牌是否相同,如果相同则接受该拒绝接入消息,否则不接受,比如丢弃该消息。
实施方式二
图8为本发明实施例的拒绝接入的流程示意图二,如图8所示,该流程包括:
步骤301~302:与图1的步骤101~102相同;
步骤303:B基站系统接收到恢复接入请求,由于自身拥塞等原因,希望终端在等待一段时间后再尝试重新恢复接入,于是向A基站系统发送安全信息请求,比如发送SecurityInfo Request消息;
步骤304,A基站系统向B基站系统发送安全信息响应,比如发送Security InfoResponse消息,携带UE相关的安全信息,包括密钥;
步骤305:B基站系统基于与UE相关的密钥及等待尝试时间计算令牌,比如以密钥和等待尝试时间为参数计算HMAC-SHA-256函数的值,或将密钥和等待尝试时间拼接为一个字符串计算其SHA-256函数的值;
步骤306:B基站系统向UE发送拒绝接入消息,比如发送Reject消息,携带等待尝试时间信息和令牌,终端使用相同的计算方法计算令牌,并比较计算的令牌和收到的令牌是否相同,如果相同则接受该拒绝接入消息,否则不接受,比如丢弃该消息。
实施方式三
图9为本发明实施例的拒绝接入的流程示意图三,如图9所示,该流程包括:
步骤401~402:与图1的步骤101~102相同;
步骤403:B基站系统接收到恢复接入请求,由于自身拥塞等原因,希望终端在等待一段时间后再尝试重新恢复接入,于是向A基站系统发送转发请求,比如发送ForwardRequest消息,携带B基站要发送给UE的拒绝接入消息,比如Reject消息,该拒绝接入消息携带等待尝试时间信息,比如wait timer;
步骤404:A基站系统基于与UE相关的密钥及拒绝接入消息计算消息校验码,比如以密钥和拒绝接入消息的内容为参数计算HMAC-SHA-256函数的值;
步骤405,A基站系统向B基站系统发送转发响应,比如发送ForwardResponse消息,携带处理过的拒绝接入消息,即该拒绝接入消息携带消息校验码;
步骤406:B基站系统向UE发送拒绝接入消息,终端使用A基站相同的计算方法计算消息校验码,并比较计算的消息校验码和收到的消息校验码是否相同,如果相同则接受该拒绝接入消息,否则不接受,比如丢弃该消息。
实施例4
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项所述的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,接收终端的接入请求;
S2,向终端发送拒绝接入消息;其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的实施例还提供了一种处理器,该处理器用于运行程序,其中,该程序运行时执行上述任一项方法中的步骤。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,接收终端的接入请求;
S2,向终端发送拒绝接入消息;其中,拒绝接入消息携带:基于终端的密钥和拒绝接入消息的部分内容或全部内容生成的校验值。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (23)

1.一种拒绝接入方法,其特征在于,包括:
第一基站接收终端的接入请求;
所述第一基站向所述终端发送拒绝接入消息;
其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
2.根据权利要求1所述的方法,其特征在于,在所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:
所述第一基站向第二基站发送请求消息,其中,所述请求消息携带所述拒绝接入消息的部分或全部内容;
所述第一基站接收所述第二基站反馈的响应消息,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
3.根据权利要求1所述的方法,其特征在于,在所述第一基站向所述终端发送拒绝接入消息之前,所述方法还包括:
所述第一基站向第二基站发送安全信息请求;
所述第一基站接收所述第二基站反馈的安全信息响应,其中,所述安全信息响应携带所述密钥;
所述第一基站根据所述密钥和所述拒绝接入消息的部分或全部内容生成所述校验值。
4.根据权利要求1所述的方法,其特征在于,所述第一基站向所述终端发送拒绝接入消息包括:
在所述第一基站具备以下条件至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端的数量大于第二阈值。
5.根据权利要求1所述的方法,其特征在于,所述拒绝接入消息的部分内容包含用于指示所述终端下次尝试接入的等待时间。
6.根据权利要求2或3所述的方法,其特征在于,所述第二基站在所述终端向所述第一基站发送所述接入请求之前,释放与所述终端的连接。
7.一种拒绝接入方法,其特征在于,包括:
终端向第一基站发送接入请求;
所述终端接收所述第一基站反馈的拒绝接入消息;
其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
8.根据权利要求7所述的方法,其特征在于,在所述终端接收所述第一基站反馈的拒绝接入消息之后,所述方法还包括:
所述终端根据所述密钥和所述拒绝接入消息的部分内容或全部内容计算得到校验值;
在计算得到的校验值与接收到的校验值相同时,接受所述拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃所述拒绝接入消息。
9.根据权利要求7所述的方法,其特征在于,所述拒绝接入消息的部分内容包含用于指示所述终端下次尝试接入的等待时间。
10.一种拒绝接入方法,其特征在于,包括:
第二基站接收来自第一基站的针对终端的请求消息;
所述第二基站向所述第一基站发送响应消息;
其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分内容或全部内容,其中,所述响应消息携带基于密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
11.根据权利要求10所述的方法,其特征在于,所述拒绝接入消息的部分内容包含用于指示所述终端下次尝试接入的等待时间。
12.根据权利要求10所述的方法,其特征在于,所述第二基站在接收来自所述第一基站的所述请求消息之前,释放与所述终端的连接。
13.一种拒绝接入装置,其特征在于,应用在第一基站,包括:
第一接收模块,用于接收终端的接入请求;
第一发送模块,用于向所述终端发送拒绝接入消息;
其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第二发送模块,用于在所述第一发送模块向所述终端发送拒绝接入消息之前,向第二基站发送请求消息,其中,所述请求消息携带所述拒绝接入消息的部分或全部内容;
第二接收模块,用于接收所述第二基站反馈的响应消息,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
15.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第三发送模块,用于在所述第一发送模块向所述终端发送拒绝接入消息之前,向第二基站发送安全信息请求;
第三接收模块,用于接收所述第二基站反馈的安全信息响应,其中,所述安全信息响应携带所述密钥;
生成模块,用于根据所述密钥和所述拒绝接入消息的部分或全部内容生成所述校验值。
16.根据权利要求13所述的装置,其特征在于,所述第一发送模块包括:
发送单元,用于在所述第一基站具备以下条件至少之一时,向所述终端发送所述拒绝接入消息:当前拥塞系数大于第一阈值,当前已接入的终端的数量大于第二阈值。
17.一种拒绝接入装置,其特征在于,应用在终端,包括:
发送模块,用于向第一基站发送接入请求;
接收模块,用于接收所述第一基站反馈的拒绝接入消息;
其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:
计算模块,用于在所述接收模块接收所述第一基站反馈的拒绝接入消息之后,根据所述密钥和所述拒绝接入消息的部分内容或全部内容计算得到校验值;
处理模块,用于在计算得到的校验值与接收到的校验值相同时,接受所述拒绝接入消息,在计算得到的校验值与接收到的校验值不相同时,丢弃所述拒绝接入消息。
19.一种拒绝接入装置,其特征在于,应用在第二基站,包括:
接收模块,用于接收来自第一基站的针对终端的请求消息;
发送模块,用于向所述第一基站发送响应消息;
其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于密钥和所述拒绝接入消息的部分或全部内容生成的校验值。
20.一种拒绝接入系统,包括第一基站、终端,其特征在于,
所述第一基站包括:
第一接收模块,用于接收终端的接入请求;
第一发送模块,用于向所述终端发送拒绝接入消息;
所述终端包括:
第二发送模块,用于向第一基站发送接入请求;
第二接收模块,用于接收所述第一基站反馈的拒绝接入消息;
其中,所述拒绝接入消息携带:基于所述终端的密钥和所述拒绝接入消息的部分内容或全部内容生成的校验值。
21.根据权利要求20所述的系统,其特征在于,所述系统还包括第二基站,其中,所述第二基站包括:
第三接收模块,用于接收来自第一基站的针对终端的请求消息;
第三发送模块,用于向所述第一基站发送响应消息;
其中,所述请求消息携带:针对所述终端的拒绝接入消息的部分或全部内容,其中,所述响应消息携带基于所述密钥和所述拒绝接入消息的部分或全部内容生成的所述校验值。
22.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行权利要求1至12中任一项所述的方法。
23.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至12中任一项所述的方法。
CN202210083511.9A 2017-11-17 2017-11-17 拒绝接入方法、装置及系统 Pending CN114501448A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210083511.9A CN114501448A (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202210083511.9A CN114501448A (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统
CN201711144738.5A CN109803260B (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201711144738.5A Division CN109803260B (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统

Publications (1)

Publication Number Publication Date
CN114501448A true CN114501448A (zh) 2022-05-13

Family

ID=66540026

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202210083511.9A Pending CN114501448A (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统
CN201711144738.5A Active CN109803260B (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201711144738.5A Active CN109803260B (zh) 2017-11-17 2017-11-17 拒绝接入方法、装置及系统

Country Status (8)

Country Link
US (2) US11516727B2 (zh)
EP (1) EP3713273A4 (zh)
JP (1) JP7045455B2 (zh)
KR (1) KR102344352B1 (zh)
CN (2) CN114501448A (zh)
CA (1) CA3082504C (zh)
RU (1) RU2746890C1 (zh)
WO (1) WO2019095746A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113811022B (zh) * 2021-08-12 2024-03-12 天翼物联科技有限公司 异常终端拒绝方法、系统、装置及存储介质

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2340344A (en) * 1998-07-29 2000-02-16 Nokia Mobile Phones Ltd Bilateral Data Transfer Verification for Programming a Cellular Phone
KR100689508B1 (ko) * 2003-09-04 2007-03-02 삼성전자주식회사 통신 시스템에서 핸드오버 수행 방법
CN101022330A (zh) * 2006-02-13 2007-08-22 华为技术有限公司 提高密钥管理授权消息安全性的方法和模块
KR20080081753A (ko) * 2007-03-06 2008-09-10 한국전자통신연구원 기지국 제어 중심의 멀티홉 릴레이 망에서 트랜스페어런트rs간 핸드오버 절차
KR100981965B1 (ko) * 2007-11-06 2010-09-13 한국전자통신연구원 이동통신 시스템에서의 인트라 핸드오버 방법
US8086267B2 (en) * 2009-02-19 2011-12-27 Ford Global Technologies, Llc System and method for provisioning a wireless networking connection
KR101607363B1 (ko) * 2009-03-05 2016-03-29 인터디지탈 패튼 홀딩스, 인크 H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치
EP2446654A2 (en) * 2009-06-24 2012-05-02 Nokia Corp. Methods and apparatuses for avoiding denial of service attacks by rogue access points
CN101951603B (zh) * 2010-10-14 2013-05-22 中国电子科技集团公司第三十研究所 一种无线局域网接入控制方法及系统
US9112905B2 (en) * 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
EP3570628B1 (en) * 2011-08-12 2020-12-30 BlackBerry Limited Handling a connection in a wireless communication system
CN102595561B (zh) * 2012-03-30 2015-04-29 华为技术有限公司 无线资源控制连接重建的方法及终端
EP2906011B1 (en) * 2012-10-04 2018-01-10 LG Electronics Inc. Method for operating based on delay-tolerance information handling in wireless communication system and apparatus supporting same
JP6218166B2 (ja) * 2013-03-04 2017-10-25 国立研究開発法人情報通信研究機構 基地局間ハンドオーバ方法
CN104302011A (zh) * 2013-07-16 2015-01-21 中兴通讯股份有限公司 一种无线资源控制连接重建立的方法、系统及装置
CN103945358B (zh) * 2014-04-17 2017-10-27 福建三元达网络技术有限公司 一种私有小区安全接入的方法、私有小区、用户终端及系统
KR101983114B1 (ko) 2014-12-17 2019-05-29 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 이동성 관리를 위한 방법 및 장치
US10285060B2 (en) 2015-10-30 2019-05-07 Alcatel-Lucent Usa Inc. Preventing attacks from false base stations
EP3193557B1 (en) 2016-01-12 2020-04-22 HTC Corporation Device and method of handling radio resource control connection
US10772033B2 (en) * 2016-01-27 2020-09-08 Mediatek Singapore Pte. Ltd. Avoiding reselection of a fake cell in a wireless communication network
US10873464B2 (en) * 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US20170332436A1 (en) * 2016-05-13 2017-11-16 Htc Corporation Device and Method Handling a Radio Resource Control Connection Resume Procedure
US10367677B2 (en) * 2016-05-13 2019-07-30 Telefonaktiebolaget Lm Ericsson (Publ) Network architecture, methods, and devices for a wireless communications network
WO2018012904A1 (en) * 2016-07-13 2018-01-18 Samsung Electronics Co., Ltd. Access control method and apparatus for use in mobile communication
US10917786B2 (en) * 2016-08-11 2021-02-09 Samsung Electronics Co., Ltd. Low power RRC operating method and device
KR20180035638A (ko) * 2016-09-29 2018-04-06 삼성전자주식회사 RRC Inactive 및 active 상태에서 data 전송 결정 및 방법 및 장치
WO2018131956A1 (en) * 2017-01-16 2018-07-19 Samsung Electronics Co., Ltd. Method and apparatus for communication in wireless mobile communication system
KR102222830B1 (ko) * 2017-03-21 2021-03-04 삼성전자 주식회사 이동통신에서 연결 모드의 비연속 수신 모드를 지원하는 방법 및 장치
EP3603122A4 (en) * 2017-03-23 2020-10-21 Nokia Technologies Oy MOBILITY SUPPORT DURING A STATE OF LOW ACTIVITY
CN107071775B (zh) * 2017-05-15 2020-10-09 奇酷互联网络科技(深圳)有限公司 移动终端及其重定向接入基站的方法和装置
WO2018230980A1 (en) * 2017-06-14 2018-12-20 Samsung Electronics Co., Ltd. Method and user equipment (ue) for reconnecting rrc connection with radio access network (ran) node
WO2018230974A1 (en) * 2017-06-14 2018-12-20 Samsung Electronics Co., Ltd. Method and user equipment for handling of integrity check failures of pdcp pdus
CN109803258B (zh) * 2017-11-16 2021-10-19 华为技术有限公司 一种请求恢复连接的方法及装置
US11153792B2 (en) * 2018-04-18 2021-10-19 Qualcomm Incorporated Signaling for inactive mobility

Also Published As

Publication number Publication date
US11516727B2 (en) 2022-11-29
CN109803260A (zh) 2019-05-24
EP3713273A4 (en) 2021-08-04
CN109803260B (zh) 2022-01-11
JP7045455B2 (ja) 2022-03-31
CA3082504C (en) 2022-09-27
US20230093723A1 (en) 2023-03-23
RU2746890C1 (ru) 2021-04-21
WO2019095746A1 (zh) 2019-05-23
CA3082504A1 (en) 2019-05-23
KR20200087226A (ko) 2020-07-20
US11716673B2 (en) 2023-08-01
JP2021503809A (ja) 2021-02-12
EP3713273A1 (en) 2020-09-23
US20200404575A1 (en) 2020-12-24
KR102344352B1 (ko) 2021-12-28

Similar Documents

Publication Publication Date Title
EP3223549B1 (en) Wireless network access method and access apparatus, client and storage medium
EP2472928B1 (en) Method and device for authentication processing
US10681546B2 (en) Processing method for sim card equipped terminal access to 3GPP network and apparatus
US11706618B2 (en) Data packet verification method and device
CN102396203A (zh) 根据通信网络中的认证过程的紧急呼叫处理
Pratas et al. Massive machine-type communication (mMTC) access with integrated authentication
EP3284232B1 (en) Wireless communications
CN109729000B (zh) 一种即时通信方法及装置
KR102095136B1 (ko) 보안 요소를 인증하기 위한 적어도 하나의 인증 파라미터를 교체하는 방법, 및 대응하는 보안 요소
WO2016020012A1 (en) Authentication procedure in a control node
US11716673B2 (en) Access rejection method, apparatus and system, and storage medium and processor
CN111464306A (zh) 认证处理方法、装置、存储介质及电子装置
CN113302895B (zh) 用于认证无线通信设备群组的方法和装置
CN110087338B (zh) 一种窄带物联网进行鉴权的方法及设备
CN105828330A (zh) 一种接入方法及装置
CN113709729B (zh) 数据处理方法、装置、网络设备及终端
CN112508482A (zh) 基于区块链的物流快递签收管理方法、系统及存储介质
CN113519173B (zh) 用于验证设备类别的无线设备和网络节点以及相应方法
CN109309667B (zh) 接口调用的认证方法和装置,存储介质和电子设备
US11991190B2 (en) Counteractions against suspected identity imposture
CN111464482A (zh) 认证处理方法、装置、存储介质及电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination