CN114928843A - 伪基站防御方法、装置、通信设备及可读存储介质 - Google Patents
伪基站防御方法、装置、通信设备及可读存储介质 Download PDFInfo
- Publication number
- CN114928843A CN114928843A CN202110136985.0A CN202110136985A CN114928843A CN 114928843 A CN114928843 A CN 114928843A CN 202110136985 A CN202110136985 A CN 202110136985A CN 114928843 A CN114928843 A CN 114928843A
- Authority
- CN
- China
- Prior art keywords
- base station
- information
- pseudo base
- signature
- broadcast message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/10—Scheduling measurement reports ; Arrangements for measurement reports
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种伪基站防御方法、装置、通信设备及可读存储介质,属于通信技术领域。具体实现方案包括:终端接收基站发送的广播消息;识别所述广播消息中是否包括签名;在识别出所述广播消息中包括签名的情况下,验证所述签名是否正确;在验证出所述签名正确的情况下,确定所述基站为合法基站;或者,在验证出所述签名不正确的情况下,确定所述基站为伪基站。根据本发明实施例中的方案,通过合法基站在其广播消息中添加签名,可以使得终端比如空闲态终端有效识别伪基站,从而实现对伪基站的防御,避免伪基站在鉴权流程之前欺骗终端的接入。
Description
技术领域
本发明属于通信技术领域,具体涉及一种伪基站防御方法、装置、通信设备及可读存储介质。
背景技术
网络与终端之间的双向鉴权解决了终端可能会接入到伪基站,并与伪基站进行通信的问题。但是,当终端处于空闲态时,终端并不会对驻留基站进行验证,而是直接接受基站下发的广播信息,因此存在空闲态终端驻留在伪基站,并接受伪基站的广播消息或者与伪基站进行一些初步的交互的问题。
发明内容
本发明实施例的目的是提供一种伪基站防御方法、装置、通信设备及可读存储介质,以解决空闲态终端如何识别伪基站的问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,提供了一种伪基站防御方法,应用于终端,包括:
接收基站发送的广播消息;
识别所述广播消息中是否包括签名;
在识别出所述广播消息中包括签名的情况下,验证所述签名是否正确;
在验证出所述签名正确的情况下,确定所述基站为合法基站;或者,在验证出所述签名不正确的情况下,确定所述基站为伪基站。
第二方面,提供了一种伪基站防御方法,应用于基站,包括:
获取待发送的广播消息;
对所述广播消息进行签名;其中,所述签名用于确定所述基站为合法基站;
向终端发送签名后的广播消息。
第三方面,提供了一种伪基站防御方法,应用于监控平台,包括:
接收基站转发的终端上报的测量报告,所述测量报告中包括伪基站信息;
根据所述伪基站信息,识别伪基站。
第四方面,提供了一种伪基站防御装置,应用于终端,包括:
第一接收模块,用于接收基站发送的广播消息;
第一识别模块,用于识别所述广播消息中是否包括签名;
验证模块,用于在识别出所述广播消息中包括签名的情况下,验证所述签名是否正确;
确定模块,用于在验证出所述签名正确的情况下,确定所述基站为合法基站;或者,在验证出所述签名不正确的情况下,确定所述基站为伪基站。
第五方面,提供了一种伪基站防御装置,应用于基站,包括:
第一获取模块,用于获取待发送的广播消息;
签名模块,用于对所述广播消息进行签名;其中,所述签名用于确定所述基站为合法基站;
第一发送模块,用于向终端发送签名后的广播消息。
第六方面,提供了一种伪基站防御装置,应用于监控平台,包括:
第三接收模块,用于接收基站转发的终端上报的测量报告,所述测量报告中包括伪基站信息;
第三识别模块,用于根据所述伪基站信息,识别伪基站。
第七方面,本发明实施例提供了一种通信设备,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤,或者实现如第二方面所述的方法的步骤,或者实现如第三方面所述的方法的步骤。
第八方面,本发明实施例提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤,或者实现如第二方面所述的方法的步骤,或者实现如第三方面所述的方法的步骤。
在本发明实施例中,终端可以接收基站发送的广播消息,识别广播消息中是否包括签名,在识别出广播消息中包括签名的情况下,验证签名是否正确,在验证出签名正确的情况下,确定基站为合法基站;或者,在验证出签名不正确的情况下,确定基站为伪基站。这样,通过合法基站在其广播消息中添加签名,可以使得终端比如空闲态终端有效识别伪基站,从而实现对伪基站的防御,避免伪基站在鉴权流程之前欺骗终端的接入。
附图说明
图1是本发明实施例提供的一种伪基站防御方法的流程图;
图2是本发明实施例中的伪基站防御过程的流程图;
图3是本发明实施例提供的另一种伪基站防御方法的流程图;
图4是本发明实施例提供的另一种伪基站防御方法的流程图;
图5是本发明实施例中的识别伪基站过程的流程图;
图6是本发明实施例中的伪基站防御系统的结构示意图;
图7是本发明实施例中的伪基站防御过程的流程图;
图8是本发明实施例提供的一种伪基站防御装置的结构示意图;
图9是本发明实施例提供的另一种伪基站防御装置的结构示意图;
图10是本发明实施例提供的另一种伪基站防御装置的结构示意图;
图11是本发明实施例提供的一种通信设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
值得指出的是,本发明实施例描述的技术不限于长期演进型(Long TermEvolution,LTE)/LTE的演进(LTE-Advanced,LTE-A)系统,还可用于其他无线通信系统,比如5G/6G通信系统等。
下面结合附图,通过具体的实施例及其应用场景对本发明实施例提供的伪基站防御方法进行详细地说明。
请参见图1,图1是本发明实施例提供的一种伪基站防御方法的流程图,该方法应用于终端,如图1所示,该方法包括如下步骤:
步骤11:接收基站发送的广播消息。
本实施例中,基站发送的广播消息包括但不限于系统广播消息,比如主系统信息块(Master Information Block,MIB)、系统信息块(System Information Block,SIB)等。该SIB可选为SIB2/SIB3等。
步骤12:识别广播消息中是否包括签名。
本实施例中,广播消息中包括的签名可选为数字签名,可以采用对称加密/非对称加密的方法,由合法基站通过在其广播消息中添加数字签名,以杜绝伪基站在鉴权流程之前欺骗终端的接入。
步骤13:在识别出广播消息中包括签名的情况下,验证签名是否正确。
本实施例中,终端在验证签名是否正确时,可以利用预设解密密钥或者从核心网网元接收的解密密钥来验证签名是否正确。
可选的,本实施例中可以引入基于公钥的签名技术,由核心网网元为每个合法基站配置公私密钥对。同时,合法基站支持私钥对广播消息进行签名,并下发携带签名的广播消息。终端支持相应的公钥对接收到的广播消息中的签名进行验证,以判定相应基站是否为伪基站。
可选的,终端可以从核心网网元接收解密密钥(如配置的公私密钥对中的公钥),并利用该解密密钥验证签名是否正确。
步骤14:在验证出签名正确的情况下,确定基站为合法基站;或者,在验证出签名不正确的情况下,确定基站为伪基站。
本发明实施例的伪基站防御方法,终端可以接收基站发送的广播消息,识别广播消息中是否包括签名,在识别出广播消息中包括签名的情况下,验证签名是否正确,在验证出签名正确的情况下,确定基站为合法基站;或者,在验证出签名不正确的情况下,确定基站为伪基站。这样,通过合法基站在其广播消息中添加签名,可以使得终端比如空闲态终端有效识别伪基站,从而实现对伪基站的防御,避免伪基站在鉴权流程之前欺骗终端的接入。
本发明实施例中,在确定基站为伪基站之后,终端可以记录该基站的伪基站信息,并在接入合法基站之后,通过测量报告(Measurement Report,MR)上报伪基站信息,以便判断终端的驻留基站的真实性。这样,可以实现对终端的测量报告进行增强,即在终端的测量报告中增加伪基站信息并上报给网络侧,从而使得网络侧基于伪基站信息识别伪基站,保证测量报告不被虚假注入。
可选的,上述伪基站信息可以包括以下至少一项:
基站的第一信息;其中,该第一信息可以包括以下至少一项:频点号、跟踪区编码(Tracking Area Code,TAC值)、小区信息(比如小区号)、邻小区信息(比如邻小区号)、位置信息;
从基站接收到的包括拒绝原因值的拒绝REJECT消息;比如reject_info,此可以有助于检测DoS攻击,比如存在恶意的REJECT消息,确定相应基站为伪基站;
关于基站的接收信号信息;比如signal_info,此可以有助于检测DoS攻击,比如存在不稳定的无线电信号,确定相应基站为伪基站。
其中,关于基站的接收信号信息可以包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;比如该信息为sign_info;
MIB信息,比如MIB的哈希值(如hash of MIB);
SIB信息,比如SIB的编号和哈希值的列表(如list of{SIB number,hash of theSIB});
切换失败信息(如Xn_info);比如,该切换失败信息可以包括切换失败的原因值,以检测伪基站的切换劫持攻击。
需指出的,上述伪基站信息中所涉及的基站,表示的是被终端判定为伪基站的基站,可以为一个也可以为多个。
如图2所示,本申请实施例中的伪基站防御过程可以包括:1)核心网网元为每个合法基站(也可称为:真基站)配置公私密钥对,当终端进入到一个跟踪区后,网络向终端发送该跟踪区下基站的公钥;2)基站使用私钥对其广播的系统消息进行签名,并发送携带签名的广播消息;3)空闲态的终端接收到基站下发的广播消息后,使用基站公钥与终端时间验证广播消息中签名的正确性,以判断驻留基站的真实性,防止驻留在伪基站。在此过程中,合法基站向终端发送携带签名的广播消息,在验证签名通过后,终端可选择驻留合法基站。伪基站向终端发送不携带签名或者携带虚假签名的广播消息,终端不接受此广播消息。
当终端处于空闲状态时,通过接收的驻留基站配置信息建立测量报告,测量报告中可以包括小区标识、小区信号强度、签名的广播消息等信息。当终端从空闲态转换到连接态后,终端与网络之间通过了双向认证并建立了有完整性保护的安全上下文,就可以通过安全的无线信道向其接入的合法基站发送其在空闲态驻留基站的测量报告。合法基站可通过收集的多个测量报告过滤错误报告,并可以通过分析测量报告判断终端驻留基站的真实性。
请参见图3,图3是本发明实施例提供的一种伪基站防御方法的流程图,该方法应用于基站,如图3所示,该方法包括如下步骤:
步骤31:获取待发送的广播消息。
本实施例中,此广播消息包括但不限于系统广播消息,比如MIB、SIB等。该SIB可选为SIB2/SIB3等。
步骤32:对广播消息进行签名。
其中,该签名用于确定相应基站为合法基站。该签名可选为数字签名,可以采用对称加密/非对称加密的方法,由合法基站通过在其广播消息中添加数字签名,以杜绝伪基站在鉴权流程之前欺骗终端的接入。
可选的,本实施例中可以引入基于公钥的签名技术,由核心网网元为每个合法基站配置公私密钥对。同时,合法基站支持私钥对广播消息进行签名,并下发携带签名的广播消息。终端支持相应的公钥对接收到的广播消息中的签名进行验证,以判定相应基站是否为伪基站。
可选的,基站可以从核心网网元接收加密密钥,并利用该加密密钥,对广播消息进行签名。比如,基站可以接收核心网网元配置的公私密钥对,并利用该公私密钥对中的私钥,对广播消息进行签名。
一种实施方式中,根据具体广播消息的配置,考虑到计算量和效率,在对广播消息进行签名时,可以只对部分重要广播消息进行签名,如只对SIB3消息进行签名,只验证SIB3消息签名的正确性,该SIB3消息中携带小区重选信息。
步骤33:向终端发送签名后的广播消息。
可理解的,终端在接收到基站发送的签名后的广播消息后,即可验证签名是否正确,并在验证出签名正确的情况下,确定基站为合法基站;或者,在验证出签名不正确的情况下,确定基站为伪基站。
本发明实施例的伪基站防御方法,基站在获取待发送的广播消息后,可以对广播消息进行签名,并向终端发送签名后的广播消息。这样,通过合法基站在其广播消息中添加签名,可以使得终端比如空闲态终端有效识别伪基站,从而实现对伪基站的防御,避免伪基站在鉴权流程之前欺骗终端的接入。
可选的,在本发明实施例中,基站即合法基站在与终端建立连接之后,可以接收终端通过测量报告上报的伪基站信息,并根据所述伪基站信息,识别伪基站。
可选的,为了与现有通信系统兼容以及避免基站资源的占用,本实施例中可以引入监控平台,由监控平台来根据伪基站信息识别伪基站。也就是说,基站在通过测量报告接收到伪基站信息之后,可以将伪基站信息转发至监控平台,由监控平台根据伪基站信息识别伪基站。
可选的,上述伪基站信息可以包括以下至少一项:
第一基站的第一信息;其中,该第一信息可以包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
可理解的,上述的第一基站表示的是被终端判定为伪基站的基站,可以为一个基站也可以为多个基站。
请参见图4,图4是本发明实施例提供的一种伪基站防御方法的流程图,该方法应用于监控平台。比如,该监控平台可选为运营商的操作维护管理中心(OperationAdministration and Maintenance,OAM)。如图4所示,该方法包括如下步骤:
步骤41:接收基站转发的终端上报的测量报告。
本实施例中,测量报告中包括伪基站信息。可选的,伪基站信息可以包括以下至少一项:
第一基站的第一信息;其中,该第一信息可以包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息。
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息;比如,该切换失败信息可以包括切换失败的原因值,以检测伪基站的切换劫持攻击。
可理解的,上述的第一基站表示的是被终端判定为伪基站的基站,可以为一个基站也可以为多个基站。
步骤42:根据伪基站信息,识别伪基站。
本实施例的伪基站防御方法,可以由监控平台接收基站转发的终端上报的测量报告,该测量报告中包括伪基站信息,并根据伪基站信息,识别伪基站。由此,可以有效对伪基站进行识别。
可选的,如图5所示,监控平台根据MR中的伪基站信息/异常广播消息来识别伪基站的过程可以包括如下步骤:
步骤51:在第一基站的频点号、TAC值、小区信息、邻小区信息和/或位置信息出现异常的情况下,确定第一基站为伪基站;否则,确定第一基站为正常基站即合法基站。
其中,对于频率异常,若第一基站的TAC范围内出现了不存在的频点号,可以确定第一基站为伪基站。对于TAC异常,若出现了第一基站的地理区域范围内不存在的TAC号码,或者TAC号码格式异常或超出范围,可以确定第一基站为伪基站。对于小区异常,若出现了第一基站的地理区域范围内或TAC范围内不存在的小区号,可以确定第一基站为伪基站。对于邻小区异常,若出现了第一基站的地理区域范围内或TAC范围内不存在的邻小区号,可以确定第一基站为伪基站。
步骤52:在拒绝消息中的拒绝原因值异常,或者拒绝消息的反馈时间超时的情况下,确定第一基站为伪基站;否则,确定第一基站为正常基站。
步骤53:在广播消息不包括签名(对应区域基站一分配密钥对),或者广播消息包括的签名没有验证通过的情况下,确定第一基站为伪基站。
步骤54:在MIB信息或SIB信息的验证不通过的情况下,确定第一基站为伪基站;否则,确定第一基站为正常基站。
步骤55:在切换失败信息中的切换失败次数超过预设阈值的情况下,确定第一基站为伪基站;否则,确定第一基站为正常基站。
需指出的,本实施例在识别伪基站时,可以从步骤51至步骤55中选择至少一者,可以按照或者不按照步骤51至步骤55的顺序执行,即本实施例不限定上述步骤51至步骤55的执行顺序。
可选的,监控平台还可以根据伪基站信息中的位置信息,进行伪基站的定位,以实现定位终端收到相应广播消息的来源。
可选的,为了增强伪基站的识别准确度,本实施例中还可以设置专门的信号监测点,比如在伪基站频发的地区设置信号监测点,对当前网络信号进行测量,以保证测量报告不被虚假注入。监控平台可以从信号监测点获取异常广播消息,并根据获取的伪基站信息以及异常广播消息,识别伪基站。
其中,异常广播消息的特征主要包括:频率异常、TAC值异常、小区异常、邻小区异常等。频率异常可以是出现了TAC范围内不存在的频点。TAC值异常可以是出现了某一地理区域范围内不存在的TAC号码,或者TAC号码格式异常或超出范围。小区异常可以是出现了某一地理区域范围或TAC范围内不存在的小区号。邻小区异常可以是出现了某一地理区域范围或TAC范围内不存在的邻小区号。
下面结合图6和图7对本申请实施例中的伪基站防御过程进行说明。
其中,图6为本申请实施例中的伪基站防御系统的结构示意图,图7为本申请实施例中的伪基站防御过程的流程图。如图6所示,本实施例中的伪基站防御系统主要包括基站、信号监测点和监控平台,其中监控平台和基站直接与核心网网元连接。
可选的,核心网网元可以引入基于公钥的签名技术,为每个合法基站配置公私密钥对。基站支持私钥对广播消息进行签名,并下发携带签名的广播消息。终端支持相应的公钥对接收到的广播消息中的签名进行验证,以判定相应基站是否为伪基站。信号监测点具备广播信息监测功能,对于异常广播消息进行筛选过滤,上报监控平台。监控平台可以是运营商的OAM。
如图7所示,本实施例中的伪基站防御过程可以包括:
步骤1:核心网网元为每个合法基站配置公私密钥对,具体可采用预配置的方式或者公钥基础设施(Public Key Infrastructure,PK I)的方式,同时在初始附着/注册时基站下发自己的公钥。
步骤2a和步骤2b:当终端进行重选或切换时,可以监听基站下行广播信道消息。此过程中,合法基站发送携带签名的广播消息,伪基站发送广播消息或者携带伪造签名的广播消息。
步骤3:终端若识别出广播消息携带签名,则验证签名是否正确。
步骤4a:若验证签名正确,则选择驻留。
步骤4b:若验证失败,则认为该基站为伪基站,并记录该基站的伪基站信息,并继续搜索信号,选择合法基站接入。其中,可以通过选择第二(或低一级)优先级别的基站进行接入。
可选的,若广播消息中不携带签名,可以记录不带签名的信息。此外,若某基站的广播消息不携带签名,可以选择接入,但当AS安全激活后,该不带签名的广播信息随MR进行上报。
步骤5:在接入合法基站之后,通过测量报告MR上报之前记录的伪基站信息。
可选的,若频繁收到某区域的伪基站信息,可以根据终端上报的伪基站的位置信息,对伪基站实现精准定位。此伪基站信息可以如上实施例中所述,在此不再赘述。
步骤6:合法基站将获取的测量报告转发至监控平台。
步骤7:信号监测点监测是否有异常广播消息。
步骤8:信号监测点将异常广播消息上报至监控平台。
步骤9:监控平台对MR和异常广播消息进行筛选和验证,综合判定是否存在伪基站。具体的判定过程可以如上图5所示,在此不再赘述。
请参见图8,图8是本发明实施例提供的一种伪基站防御装置的结构示意图,该装置应用于终端,如图8所示,该伪基站防御装置80包括:
第一接收模块81,用于接收基站发送的广播消息;
第一识别模块82,用于识别所述广播消息中是否包括签名;
验证模块83,用于在识别出所述广播消息中包括签名的情况下,验证所述签名是否正确;
确定模块84,用于在验证出所述签名正确的情况下,确定所述基站为合法基站;或者,在验证出所述签名不正确的情况下,确定所述基站为伪基站。
可选的,所述伪基站防御装置80还包括:
记录模块,用于在确定所述基站为伪基站之后,记录所述基站的伪基站信息;
上报模块,用于在所述终端接入合法基站之后,通过测量报告上报所述伪基站信息。
可选的,所述伪基站信息包括以下至少一项:
所述基站的第一信息;其中,该第一信息可以包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从所述基站接收到的包括拒绝原因值的拒绝消息;
关于所述基站的接收信号信息;
其中,所述关于所述基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
可选的,所述第一接收模块81,还用于从核心网网元接收解密密钥;
所述验证模块83,还用于利用所述解密密钥,验证所述签名是否正确。
可理解的,本发明实施例的伪基站防御装置80,可以实现上述图1所示的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
请参见图9,图9是本发明实施例提供的一种伪基站防御装置的结构示意图,该装置应用于基站,如图9所示,该伪基站防御装置90包括:
第一获取模块91,用于获取待发送的广播消息;
签名模块92,用于对所述广播消息进行签名;其中,所述签名用于确定所述基站为合法基站;
第一发送模块93,用于向终端发送签名后的广播消息。
可选的,所述伪基站防御装置90还包括:
第二接收模块,用于在与所述终端建立连接之后,接收所述终端通过测量报告上报的伪基站信息;
第二识别模块,用于根据所述伪基站信息,识别伪基站。
可选的,所述第二识别模块具体用于:将所述伪基站信息转发至监控平台,由所述监控平台根据所述伪基站信息识别伪基站。
可选的,所述伪基站信息包括以下至少一项:
第一基站的第一信息;其中,该第一信息可以包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
可选的,所述第二接收模块,还用于:从核心网网元接收加密密钥;
所述签名模块92,还用于利用所述加密密钥,对所述广播消息进行签名。
可理解的,本发明实施例的伪基站防御装置90,可以实现上述图3所示的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
请参见图10,图10是本发明实施例提供的一种伪基站防御装置的结构示意图,该装置应用于监控平台,如图10所示,该伪基站防御装置100包括:
第三接收模块101,用于接收基站转发的终端上报的测量报告,所述测量报告中包括伪基站信息;
第三识别模块102,用于根据所述伪基站信息,识别伪基站。
可选的,所述伪基站信息包括以下至少一项:
第一基站的第一信息;其中,该第一信息可以包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
可选的,所述第三识别模块102还用于以下任意一项:
在所述第一基站的频点号、TAC值、小区信息、邻小区信息和/或位置信息出现异常的情况下,确定所述第一基站为伪基站;
在所述拒绝消息中的拒绝原因值异常,或者所述拒绝消息的反馈时间超时的情况下,确定所述第一基站为伪基站;
在所述广播消息不包括签名,或者所述广播消息包括的签名没有验证通过的情况下,确定所述第一基站为伪基站;
在所述MIB信息或SIB信息的验证不通过的情况下,确定所述第一基站为伪基站;
在所述切换失败信息中的切换失败次数超过预设阈值的情况下,确定所述第一基站为伪基站。
可选的,所述伪基站防御装置100还包括:
第二获取模块,用于从信号监测点获取异常广播消息;
所述第三识别模块102还用于:根据所述伪基站信息以及所述异常广播消息,识别伪基站。
可理解的,本发明实施例的伪基站防御装置100,可以实现上述图4所示的方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
此外,本发明实施例还提供了一种通信设备,包括处理器111,存储器112,存储在存储器112上并可在所述处理器111上运行的程序或指令,该程序或指令被处理器111执行时实现上述伪基站防御方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。该通信设备可选为终端、基站或者监控平台。
本发明实施例还提供了一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时可实现上述伪基站防御方法实施例的各个过程且能达到相同的技术效果,为避免重复,这里不再赘述。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台服务分类设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (28)
1.一种伪基站防御方法,应用于终端,其特征在于,包括:
接收基站发送的广播消息;
识别所述广播消息中是否包括签名;
在识别出所述广播消息中包括签名的情况下,验证所述签名是否正确;
在验证出所述签名正确的情况下,确定所述基站为合法基站;或者,在验证出所述签名不正确的情况下,确定所述基站为伪基站。
2.根据权利要求1所述的方法,其特征在于,在确定所述基站为伪基站之后,所述方法还包括:
记录所述基站的伪基站信息;
在所述终端接入合法基站之后,通过测量报告上报所述伪基站信息。
3.根据权利要求2所述的方法,所述伪基站信息包括以下至少一项:
所述基站的第一信息;
从所述基站接收到的包括拒绝原因值的拒绝消息;
关于所述基站的接收信号信息;
其中,所述第一信息包括以下至少一项:频点号、跟踪区编码TAC值、小区信息、邻小区信息、位置信息;
其中,所述关于所述基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
主系统信息块MIB信息;
系统信息块SIB信息;
切换失败信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从核心网网元接收解密密钥;
所述验证所述签名是否正确,包括:
利用所述解密密钥,验证所述签名是否正确。
5.一种伪基站防御方法,应用于基站,其特征在于,包括:
获取待发送的广播消息;
对所述广播消息进行签名;其中,所述签名用于确定所述基站为合法基站;
向终端发送签名后的广播消息。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
从核心网网元接收加密密钥;
所述对所述广播消息进行签名,包括:
利用所述加密密钥,对所述广播消息进行签名。
7.根据权利要求6所述的方法,其特征在于,所述从核心网网元接收加密密钥,包括:
接收所述核心网网元配置的公私密钥对;
所述利用所述加密密钥,对所述广播消息进行签名,包括:
利用所述公私密钥对中的私钥,对所述广播消息进行签名。
8.根据权利要求5所述的方法,其特征在于,所述向终端发送签名后的广播消息之后,所述方法还包括:
在与所述终端建立连接之后,接收所述终端通过测量报告上报的伪基站信息;
根据所述伪基站信息,识别伪基站。
9.根据权利要求8所述的方法,其特征在于,所述根据所述伪基站信息,识别伪基站,包括:
将所述伪基站信息转发至监控平台,由所述监控平台根据所述伪基站信息识别伪基站。
10.根据权利要求8所述的方法,其特征在于,所述伪基站信息包括以下至少一项:
第一基站的如下信息中的至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
11.一种伪基站防御方法,应用于监控平台,其特征在于,包括:
接收基站转发的终端上报的测量报告,所述测量报告中包括伪基站信息;
根据所述伪基站信息,识别伪基站。
12.根据权利要求11所述的方法,其特征在于,所述伪基站信息包括以下至少一项:
第一基站的第一信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述第一信息包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
13.根据权利要求12所述的方法,其特征在于,所述根据所述伪基站信息,识别伪基站,包括以下任意一项:
在所述第一基站的频点号、TAC值、小区信息、邻小区信息和/或位置信息出现异常的情况下,确定所述第一基站为伪基站;
在所述拒绝消息中的拒绝原因值异常,或者所述拒绝消息的反馈时间超时的情况下,确定所述第一基站为伪基站;
在所述广播消息不包括签名,或者所述广播消息包括的签名没有验证通过的情况下,确定所述第一基站为伪基站;
在所述MIB信息或SIB信息的验证不通过的情况下,确定所述第一基站为伪基站;
在所述切换失败信息中的切换失败次数超过预设阈值的情况下,确定所述第一基站为伪基站。
14.根据权利要求11所述的方法,其特征在于,所述方法还包括:
从信号监测点获取异常广播消息;
所述根据所述伪基站信息,识别伪基站,包括:
根据所述伪基站信息以及所述异常广播消息,识别伪基站。
15.根据权利要求11所述的方法,其特征在于,所述方法还包括:
根据所述伪基站信息中的位置信息,进行伪基站的定位。
16.一种伪基站防御装置,应用于终端,其特征在于,包括:
第一接收模块,用于接收基站发送的广播消息;
第一识别模块,用于识别所述广播消息中是否包括签名;
验证模块,用于在识别出所述广播消息中包括签名的情况下,验证所述签名是否正确;
确定模块,用于在验证出所述签名正确的情况下,确定所述基站为合法基站;或者,在验证出所述签名不正确的情况下,确定所述基站为伪基站。
17.根据权利要求16所述的装置,其特征在于,所述装置还包括:
记录模块,用于在确定所述基站为伪基站之后,记录所述基站的伪基站信息;
上报模块,用于在所述终端接入合法基站之后,通过测量报告上报所述伪基站信息。
18.根据权利要求17所述的装置,所述伪基站信息包括以下至少一项:
所述基站的如下信息中的至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
从所述基站接收到的包括拒绝原因值的拒绝消息;
关于所述基站的接收信号信息;
其中,所述关于所述基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
19.一种伪基站防御装置,应用于基站,其特征在于,包括:
第一获取模块,用于获取待发送的广播消息;
签名模块,用于对所述广播消息进行签名;其中,所述签名用于确定所述基站为合法基站;
第一发送模块,用于向终端发送签名后的广播消息。
20.根据权利要求19所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于在与所述终端建立连接之后,接收所述终端通过测量报告上报的伪基站信息;
第二识别模块,用于根据所述伪基站信息,识别伪基站。
21.根据权利要求20所述的装置,其特征在于,
所述第二识别模块具体用于:将所述伪基站信息转发至监控平台,由所述监控平台根据所述伪基站信息识别伪基站。
22.根据权利要求20所述的装置,其特征在于,所述伪基站信息包括以下至少一项:
第一基站的第一信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述第一信息包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
23.一种伪基站防御装置,应用于监控平台,其特征在于,包括:
第三接收模块,用于接收基站转发的终端上报的测量报告,所述测量报告中包括伪基站信息;
第三识别模块,用于根据所述伪基站信息,识别伪基站。
24.根据权利要求23所述的装置,其特征在于,所述伪基站信息包括以下至少一项:
第一基站的第一信息;
从第一基站接收到的包括拒绝原因值的拒绝消息;
关于第一基站的接收信号信息;
其中,所述第一信息包括以下至少一项:频点号、TAC值、小区信息、邻小区信息、位置信息;
其中,所述关于第一基站的接收信号信息包括以下至少一项:
用于指示广播消息中包括签名,或者广播消息中不包括签名的信息;
MIB信息;
SIB信息;
切换失败信息。
25.根据权利要求24所述的装置,其特征在于,所述第三识别模块还用于以下任意一项:
在所述第一基站的频点号、TAC值、小区信息、邻小区信息和/或位置信息出现异常的情况下,确定所述第一基站为伪基站;
在所述拒绝消息中的拒绝原因值异常,或者所述拒绝消息的反馈时间超时的情况下,确定所述第一基站为伪基站;
在所述广播消息不包括签名,或者所述广播消息包括的签名没有验证通过的情况下,确定所述第一基站为伪基站;
在所述MIB信息或SIB信息的验证不通过的情况下,确定所述第一基站为伪基站;
在所述切换失败信息中的切换失败次数超过预设阈值的情况下,确定所述第一基站为伪基站。
26.根据权利要求23所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于从信号监测点获取异常广播消息;
所述第三识别模块还用于:根据所述伪基站信息以及所述异常广播消息,识别伪基站。
27.一种通信设备,其特征在于,包括处理器,存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-4中任一项所述的伪基站防御方法的步骤,或者实现如权利要求5-10中任一项所述的伪基站防御方法的步骤,或者实现如权利要求11-15中任一项所述的伪基站防御方法的步骤。
28.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-4中任一项所述的伪基站防御方法的步骤,或者实现如权利要求5-10中任一项所述的伪基站防御方法的步骤,或者实现如权利要求11-15中任一项所述的伪基站防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110136985.0A CN114928843A (zh) | 2021-02-01 | 2021-02-01 | 伪基站防御方法、装置、通信设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110136985.0A CN114928843A (zh) | 2021-02-01 | 2021-02-01 | 伪基站防御方法、装置、通信设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114928843A true CN114928843A (zh) | 2022-08-19 |
Family
ID=82804240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110136985.0A Pending CN114928843A (zh) | 2021-02-01 | 2021-02-01 | 伪基站防御方法、装置、通信设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114928843A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024098187A1 (en) * | 2022-11-07 | 2024-05-16 | Apple Inc. | Authenticating system information blocks using digital signatures |
| WO2024104082A1 (zh) * | 2022-11-16 | 2024-05-23 | 维沃移动通信有限公司 | 信息处理方法、装置及终端 |
-
2021
- 2021-02-01 CN CN202110136985.0A patent/CN114928843A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024098187A1 (en) * | 2022-11-07 | 2024-05-16 | Apple Inc. | Authenticating system information blocks using digital signatures |
| WO2024104082A1 (zh) * | 2022-11-16 | 2024-05-23 | 维沃移动通信有限公司 | 信息处理方法、装置及终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9628994B1 (en) | Statistical system and method for catching a man-in-the-middle attack in 3G networks | |
| CN110312305B (zh) | 终端设备的位置确定方法和设备 | |
| CN105516986B (zh) | 一种检测伪基站的方法、终端、数据处理器以及系统 | |
| US7716740B2 (en) | Rogue access point detection in wireless networks | |
| US20220060901A1 (en) | Source base station, ue, method in wireless communication system | |
| CN105451232A (zh) | 伪基站检测方法、系统及终端、服务器 | |
| CN108012271B (zh) | 一种伪基站发现方法及装置 | |
| US20190387408A1 (en) | Wireless access node detecting method, wireless network detecting system and server | |
| EP2874367B1 (en) | Call authentication method, device, and system | |
| CN114928843A (zh) | 伪基站防御方法、装置、通信设备及可读存储介质 | |
| CN106899948B (zh) | 伪基站发现方法、系统、终端及服务器 | |
| CN108093404B (zh) | 一种信息处理方法及装置 | |
| CN111328078B (zh) | 一种定位伪基站的方法及装置 | |
| US20200245148A1 (en) | Detection of internet-of-things devices in enterprise networks | |
| WO2017128762A1 (zh) | 一种伪基站的识别方法及装置 | |
| WO2014094489A1 (en) | Preventing clients from accessing a rogue access point | |
| CN112073968B (zh) | 基于相位误差漂移范围的全模型伪ap检测方法及检测装置 | |
| WO2015135371A1 (zh) | 一种小区接入方法和设备 | |
| US9948672B2 (en) | Simulating unauthorized use of a cellular communication network | |
| CN106941690B (zh) | 一种数据质量确定方法和装置 | |
| CN109219049B (zh) | 伪基站识别方法、装置及计算机可读存储介质 | |
| CN113015080A (zh) | 伪基站识别定位方法、装置、电子设备及存储介质 | |
| CN111405548A (zh) | 一种钓鱼wifi的检测方法及装置 | |
| EP3048757A1 (en) | Authentication server testing method and system | |
| Guezguez et al. | Observation-based detection of femtocell attacks in wireless mobile networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |