WO2018098641A1

WO2018098641A1 - 一种网络安全防护方法及设备

Info

Publication number: WO2018098641A1
Application number: PCT/CN2016/107756
Authority: WO
Inventors: 洪泓; 王爱成
Original assignee: 华为技术有限公司
Priority date: 2016-11-29
Filing date: 2016-11-29
Publication date: 2018-06-07
Also published as: CN109845215A

Abstract

一种网络安全防护方法及设备，用以避免SIM卡被复制后，伪终端的非法操作带来的危害。该方法包括核心网设备确定未保存终端的标识模块与终端的射频指纹RFF的对应关系时，向基站发送RFF初始采集指示，RFF初始采集指示携带终端的标识信息；核心网设备接收基站根据RFF初始采集指示反馈的终端的RFF，保存终端的标识模块与终端的RFF的对应关系；在核心网设备对终端发起鉴权时，核心网设备向基站发送RFF采集指示，RFF采集指示携带终端的标识信息；核心网设备接收基站根据RFF采集指示反馈的RFF采集信息，并根据RFF采集信息判断终端的RFF认证是否成功。

Description

一种网络安全防护方法及设备

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种网络安全防护方法及设备。

背景技术

随着移动支付领域以及网络技术的发展，对终端的身份识别有了更高的安全性需求。现有终端身份识别技术依赖用户识别模块(Subscriber Identity Module，SIM)卡以及机身序列等数字化方式，而随着物理攻击以及旁路攻击等技术能力的提升，这些终端身份识别技术变得不够可靠。攻击者可能通过操作伪终端，实施金融盗窃或危害公共安全的操作，如图1所示，目前的长期演进(Long Term Evolution，LTE)网络无法识别具有相同SIM卡的终端和伪终端。

具体的，参阅图2所示，现有的网络对终端的鉴权过程为：核心网设备(Evolved Packet Core，EPC)向用户设备(User Equipment，UE)发起鉴权请求，终端根据鉴权请求中的参数和自身SIM卡中保存的参数计算一个响应数(RES)值并返回给EPC。EPC检查本地根据已存的SIM卡中的参数和鉴权请求中的参数计算的响应数(XRES)值是否与终端上报的RES值一致，若一致则鉴权成功。

由此可知，网络对终端的鉴权是基于SIM卡的，当SIM卡被复制后插入另一个终端时，令原SIM卡对应的终端为目标终端，复制后的SIM卡对应的终端为伪终端，该伪终端由于与目标终端的SIM卡信息相同，因此可以鉴权通过，获得同目标终端完全一致的合法身份，在伪终端接入网络后可实施转账等金融操作。

因此，现有的网络对终端的鉴权过程无法抵御SIM卡被复制后，伪终端的非法操作带来危害。

发明内容

本发明实施例提供一种网络安全防护方法及设备，用以避免SIM卡被复制后，伪终端的非法操作带来的危害。

第一方面，提供一种网络安全防护方法，包括：核心网设备向基站发送射频指纹RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息，然后接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并保存所述终端的标识模块与所述终端的RFF的对应关系。通过上述方法获得首次入网终端的RFF。之后在所述核心网设备对所述终端发起鉴权时，向所述基站发送RFF采集指示，所述RFF采集指示携带所述终端的标识信息，然后接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功，即利用已保存的RFF与新采集的RFF进行比较，判断终端的RFF认证是否成功，避免SIM卡被复制后，伪终端成功接入网络，实施非法操作给用户带来的危害。相较于现有技术中由于网络只识别SIM是否合法，并不感知终端的物理层特征，采用本发明实施例提供的方法在终端认证过程中，新增了对终端射频指纹的提取和分析认证。由于增加了终端物理层特征的认证，可将真终端和伪终端区分出来，因此可解决目前方案的不足，显著提高了网络侧对终端的安全防护能力。

在一种可能的实现方式中，所述标识模块为用户识别模块SIM或全球用户识别模块USIM。因此，本发明实施例提供的方法不限于识别模块的类型，也可是未来可能的识别模块。

在一种可能的实现方式中，所述RFF采集指示还携带所述标识模块对应的终端的RFF；此时，所述核心网设备接收所述基站反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功，包括：所述核心网设备接收所述基站根据所述RFF采集指示反馈的RFF采集信息，所述RFF采集信息携带RFF比对信息，所述RFF比对信息是所述基站根据所述基站采集到的RFF与所述RFF采集指示携带的RFF生成的，即由基站完成已保存RFF与新采集RFF的比对，并将比对结果反馈给核心网设备。若所述RFF比对信息指示所述基站采集到的RFF与所述RFF采集指示携带的RFF一致，则所述核心网设备判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。

在一种可能的实现方式中，所述核心网设备接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功，包括：所述核心网设备接收所述基站反馈的RFF采集信息，所述RFF采集信息携带所述基站采集到的RFF，所述基站采集到的RFF为所述RFF采集指示携带的所述终端的标识信息对应的终端的RFF；所述核心网设备判断所述基站采集到的RFF与存储的所述标识模块对应的终端的RFF是否一致，若一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。因此，本发明实施例提供的方法提供了已保存RFF与新采集RFF的进行比对的多种实现方式。

在一种可能的实现方式中，还包括：所述核心网设备判断所述终端的RFF认证失败时，启动所述终端的用户身份识别；所述核心网设备确定所述终端的用户身份识别结果为识别通过时，向所述基站发送RFF初始采集指示，所述RFF初始采集指示携带所述终端的标识信息；所述核心网设备接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并更新所述终端的标识模块与所述终端的RFF对应关系。因此，采用本发明实施例提供的方法当RFF认证失败时，考虑到可能是用户更换手机，此时执行用户身份识别流程，当识别通过时，重新采集当前标识模块对应终端的RFF。

应理解的是，核心网设备判断终端的RFF认证失败时，表明终端不是首次入网，此时可能是用户采用原标识模块、或者新补办的标识模块、或者非法复制的标识模块安装在了其他终端上，因此可能出现伪终端将要进行非法操作的场景。

若终端的用户身份识别结果为识别通过，则表明是原标识模块或者新补办的标识模块安装在了其他终端上，不是非法复制的标识模块安装在了其他终端上。因此，由于标识模块安装在了其他终端上，即标识模块不在原终端上，安装在了新终端上，所以原终端与标识模块绑定关系需要解除，RFF认证无法通过，此时需要更新终端的标识模块与终端的RFF的对应关系，以建立标识模块与新终端绑定关系。

若终端的用户身份识别结果为识别不通过，则表明是非法复制的标识模块安装在了其他终端上，RFF认证无法通过，此时，核心网设备拒绝为该终端提供后续服务，避免了标识模块被非法复制后终端的非法操作带来的危害，提高了网络侧对终端的安全防护能力。

第二方面、一种网络安全防护方法，包括：基站接收所述核心网设备发送的RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；所述基站根据所述终端的标识信息，采集所述标识信息对应终端的RFF，并将采集到的RFF反馈至所述核心网设备，以使所述核心网设备保存所述终端的标识模块与所述终端的RFF的对应关系；；基站接收核心网设备发送的RFF采集指示，所述RFF采集指示携带所述终端的标识信息；所述基站根据所述终端的标识信息，采集所述标识信息对应终端的RFF；所述基站根据采集到的RFF生成RFF采集信息反馈至所述核心网设备，以使所述核心网设备根据所述RFF采集信息判断所述终端的RFF认证是否成功。因此，基站执行核心网设备发送的RFF初始采集指示，以使核心网设备保存所述终端的标识模块与所述终端的RFF对应关系，基站后续执行RFF采集指示，以使核心网设备判断本次采集的RFF与已存的RFF是否一致，对终端进行RFF认证。

在一种可能的实现方式中，所述RFF采集指示还携带标识模块对应的终端的RFF；所述基站根据采集到的RFF生成RFF采集信息，包括：所述基站根据采集到的RFF与所述RFF采集指示携带的RFF生成RFF比对信息作为RFF采集信息。

在一种可能的实现方式中，所述标识模块为用户识别模块SIM或全球用户识别模块USIM。

在一种可能的实现方式中，所述基站根据采集到的RFF生成RFF采集信息，包括：所述基站将采集到的RFF作为RFF采集信息。因此，基站可以采用多种方式向核心网设备反馈RFF采集信息。

第三方面、一种网络安全防护设备，包括：收发器和与所述收发器耦合的处理器；所述处理器，用于：通过所述收发器向基站发送射频指纹RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；通过所述收发器接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并保存所述终端的标识模块与所述终端的RFF的对应关系；在对所述终端发起鉴权时，通过所述收发器向所述基站发送RFF采集指示，所述RFF采集指示携带所述终端的标识信息；通过接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功。

在一种可能的实现方式中，所述RFF采集指示还携带所述标识模块对应的终端的RFF；所述处理器，具体用于：通过所述收发器接收所述基站反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功时，通过所述收发器接收所述基站根据所述RFF采集指示反馈的RFF采集信息，所述RFF采集信息携带RFF比对信息，所述RFF比对信息是所述基站根据所述基站采集到的RFF与所述RFF采集指示携带的RFF生成的；若所述RFF比对信息指示所述基站采集到的RFF与所述RFF采集指示携带的RFF一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。

在一种可能的实现方式中，所述处理器，具体用于：通过所述收发器接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功时，通过所述收发器接收所述基站反馈的RFF采集信息，所述RFF采集信息携带所述基站采集到的RFF，所述基站采集到的RFF为所述RFF采集指示携带的所述终端的标识信息对应的终端的RFF；判断所述基站采集到的RFF与存储的所述标识模块对应的终端的RFF是否一致，若一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。

在一种可能的实现方式中，所述处理器，还用于：判断所述终端的RFF认证失败时，启动所述终端的用户身份识别；确定所述终端的用户身份识别结果为识别通过时，向所述基站发送RFF初始采集指示，所述RFF初始采集指示携带所述终端的标识信息；通过所述收发器接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并更新所述终端的标识模块与所述终端的RFF对应关系。

第四方面、一种网络安全防护设备，包括：收发器和与所述收发器耦合的处理器；所述处理器，用于：通过所述收发器接收所述核心网设备发送的RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；根据所述终端的标识信息，采集所述标识信息对应终端的RFF，并将采集到的RFF反馈至所述核心网设备，以使所述核心网设备保存所述终端的标识模块与所述终端的RFF的对应关系；通过所述收发器接收核心网设备发送的RFF采集指示，所述RFF采集指示携带所述终端的标识信息；根据所述终端的标识信息，采集所述标识信息对应终端的RFF；根据采集到的RFF生成RFF采集信息反馈至所述核心网设备，以使所述核心网设备根据所述RFF采集信息判断所述终端的RFF认证是否成功。

在一种可能的实现方式中，所述RFF采集指示还携带标识模块对应的终端的RFF；所述处理器，具体用于：根据采集到的RFF生成RFF采集信息时，根据采集到的RFF与所述RFF采集指示携带的RFF生成RFF比对信息作为RFF采集信息。

在一种可能的实现方式中，所述处理器，具体用于：根据采集到的RFF生成RFF采集信息，将采集到的RFF作为RFF采集信息。

附图说明

图1为本发明背景技术中攻击者利用伪终端实施非法操作的示意图；

图2为本发明背景技术中网络对终端的鉴权过程示意图；

图3为本发明实施例中网络安全防护方法的概述流程图；

图4为本发明实施例中核心网通过基站采集终端RFF存储标识模块与RFF对应关系的示意图；

图5(a)为本发明实施例中核心网对终端的RFF认证过程示意图之一；

图5(b)为本发明实施例中核心网对终端的RFF认证过程示意图之二；

图6为本发明实施例中RFF认证过程的具体流程；

图7为本发明实施例中网络安全防护设备的结构示意图之一；

图8为本发明实施例中网络安全防护设备的结构示意图之二。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

本发明实施例中提到的射频指纹(Radio Frequency Fingerprint，RFF)是指根据无线终端射频电路中电路走线、射频功放、天线等模拟器件存在固有容差，由接收机提取的不同型号以及同一型号不同无线终端分别对应的发射电磁波的独特且唯一的射频特征。

其中，现有的射频指纹提取算法较多，可大致分为提取瞬态响应特征的(频率跳变)算法，提取稳态响应特征的算法以及基于星座轨迹图畸变算法等。

参阅图3所示，本发明实施例提供一种网络安全防护方法，该方法包括：

步骤300：核心网设备确定未保存终端的标识模块与所述终端的射频指纹RFF的对应关系时，向基站发送射频指纹RFF初始采集指示，RFF初始采集指示携带终端的标识信息。

步骤310：基站根据终端的标识信息，采集标识信息对应终端的RFF。

步骤320：基站根据RFF初始采集指示向核心网设备反馈终端的RFF。

步骤330：核心网设备保存终端的标识模块与终端的RFF的对应关系。

具体的，针对上述步骤300～步骤330，核心网设备确定未存储终端的标识模块对应的RFF时，表明终端是首次入网，即终端的标识模块未被使用过，此时，参阅图4所示，核心网设备需要向基站发送RFF初始采集指示，RFF初始采集指示携带终端的标识信息。基站根据终端的标识信息，采集标识信息对应终端的RFF，并将采集到的RFF反馈至核心网设备。核心网设备接收基站根据RFF初始采集指示反馈的终端的RFF，并保存保存终端的标识模块与终端的RFF的对应关系，即当终端为首次入网时，需要通过基站采集当前标识模块所在终端的RFF，建立该标识模块与安装该标识模块终端的绑定关系。

可选地，标识模块为SIM或全球用户识别模块全球用户识别模块(Universal Subscriber Identity Module，USIM)。

可选地，可以将小区标识加终端标识作为终端的标识信息，此外，还可选择唯一标识终端的其他信息作为终端的标识信息，这里不做具体限定。

步骤340：核心网设备对终端发起鉴权。

应理解的是，核心网设备对终端的RFF认证过程，可以与核心网设备对终端的鉴权过程同时进行，或在核心网设备对终端鉴权成功后开始执行。

核心网设备对终端的鉴权过程与现有技术一致，此处不再赘述。

步骤350：核心网设备向基站发送RFF采集指示，RFF采集指示携带终端的标识信息。

具体的，核心网设备已存储终端的标识模块与终端的RFF的对应关系，表明终端不是首次入网，即终端的标识模块已经使用过，该标识模块对应终端的RFF已经由基站采集过，并将终端的标识模块与RFF的对应关系存储在核心网设备中，由于每个终端的RFF是惟一的，因此该标识模块与安装该标识模块终端具有绑定关系，核心网设备利用这种绑定关系，通过基站再次采集终端的RFF，以确定是否满足原绑定关系，分析出当前终端是否为伪终端。

步骤360：基站根据终端的标识信息，采集标识信息对应终端的RFF。

具体的，终端在与基站进行通信的过程中，会发送上行信号至基站，基站可基于该上行信号，通过射频指纹提取算法获得RFF。

步骤370：基站根据采集到的RFF生成RFF采集信息反馈至核心网设备。

参阅图5(a)和图5(b)所示，在执行步骤370时，基站可以采用但不限于以下两种方式生成RFF采集信息：

第一种方式：RFF采集指示还携带标识模块对应的终端的RFF时，基站根据采集到的RFF与RFF采集指示携带的RFF生成RFF比对信息作为RFF采集信息。

第二种方式：基站将采集到的RFF直接作为RFF采集信息。

步骤380：核心网设备接收基站根据RFF采集指示反馈的RFF采集信息，并根据RFF采集信息判断终端的RFF认证是否成功。

参阅图5(a)和图5(b)所示，对应步骤380，在核心网设备执行步骤370时，可以采用但不限于以下两种方式：

第一种方式：RFF采集指示还携带标识模块对应的终端的RFF时，核心网设备接收基站根据RFF采集指示反馈的RFF采集信息，RFF采集信息携带RFF比对信息，RFF比对信息是基站根据基站采集到的RFF与RFF采集指示携带的RFF生成的。

若RFF比对信息指示基站采集到的RFF与RFF采集指示携带的RFF一致，则核心网设备判断终端的RFF认证成功，否则，判断终端的RFF认证失败。

第二种方式：核心网设备接收基站反馈的RFF采集信息，RFF采集信息携带基站采集到的RFF，其中，基站采集到的RFF为RFF采集指示携带标识信息对应的终端的RFF。

核心网设备判断基站采集到的RFF与存储的标识模块对应的RFF是否一致，若一致，则判断终端的RFF认证成功，否则，判断终端的RFF认证失败。

此外，在执行完步骤340后，核心网设备判断终端的RFF认证失败时，启动终端的用户身份识别。

应理解的是，针对终端的用户身份识别过程可以为现有过程，例如，根据终端用户之前预留信息对当前终端用户进行用户身份识别，这里的预留信息可以为针对预设问题的答案，例如，小学的名称，最喜欢吃的水果等。本申请对用户身份识别过程不做具体限定。

核心网设备确定终端的用户身份识别结果为识别通过时，向基站发送RFF初始采集指示，RFF初始采集指示携带终端的标识信息。基站根据终端的标识信息，采集标识信息对应终端的RFF，并将采集到的RFF反馈至核心网设备。核心网设备接收基站根据RFF初始采集指示反馈的终端的RFF，并更新终端的标识模块与终端的RFF的对应关系。这里与如图4所示的过程一致。

参阅图6所示，RFF认证过程的具体流程为：

S601：EPC启动对UE的鉴权过程。

S602：EPC判断UE是否为首次入网。

EPC通过是否存储有UE的SIM对应的UE的RFF判断UE是否为首次入网，若是执行S603，否则，执行S608。

S603：EPC向eNB发送RFF采集指示。

该RFF采集指示中携带UE的标识信息，该标识信息中包括UE的标识和UE所在小区的标识。

S604：eNB根据EPC发送的RFF采集指示采集RFF，生成RFF采集信息反馈至EPC。

具体的，eNB根据EPC发送的RFF采集指示采集标识信息对应UE的RFF，并将采集到的RFF作为RFF采集信息反馈至EPC。

S605：EPC根据RFF采集信息判断针对UE的RFF认证是否成功。

若是，执行S606，否则执行S607。

S606：EPC继续进行针对UE的鉴权过程，在鉴权成功后，为UE提供服务，流程结束。

S607：EPC启动针对UE的用户身份识别过程。判断用户身份识别结果是否为识别通过，若是执行S608，否则执行S611。

例如，EPC向UE发送预留问题，并接收UE回复的针对预留问题的答案，当已存的针对预留问题的答案与UE回复的针对预留问题的答案一致时，则EPC确定用户身份识别结果为识别通过，当已存的针对预留问题的答案与UE回复的针对预留问题的答案不一致时，则EPC确定用户身份识别结果为识别不通过。

S608：EPC向eNB发送RFF初始采集指示。

该RFF初始采集指示中携带UE的标识信息。

S609:eNB根据RFF初始采集指示采集RFF，并上报至EPC。

S610:EPC接收eNB反馈的RFF，并存储该SIM与eNB采集到的RFF的对应关系，流程结束。

S611：EPC确定该UE的RFF认证不通过，拒绝为该UE提供后续服务，流程结束。

参阅图7所示，本发明实施例提供一种网络安全防护设备，例如，核心网设备，包括：收发器701和与所述收发器耦合的处理器702；

所述处理器702，用于：通过所述收发器向基站发送射频指纹RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；通过所述收发器接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并保存所述终端的标识模块与所述终端的RFF的对应关系；在对所述终端发起鉴权时，通过所述收发器向所述基站发送RFF采集指示，所述RFF采集指示携带所述终端的标识信息；通过接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功。

在一种可能的实现方式中，所述RFF采集指示还携带所述标识模块对应的终端的RFF；

所述处理器702，具体用于：通过所述收发器接收所述基站反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功时，通过所述收发器接收所述基站根据所述RFF采集指示反馈的RFF采集信息，所述RFF采集信息携带RFF比对信息，所述RFF比对信息是所述基站根据所述基站采集到的RFF与所述RFF采集指示携带的RFF生成的；若所述RFF比对信息指示所述基站采集到的RFF与所述RFF采集指示携带的RFF一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。

在一种可能的实现方式中，所述处理器702，具体用于：通过所述收发器接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功时，通过所述收发器接收所述基站反馈的RFF采集信息，所述RFF采集信息携带所述基站采集到的RFF，所述基站采集到的RFF为所述RFF采集指示携带的所述终端的标识信息对应的终端的RFF；判断所述基站采集到的RFF与存储的所述标识模块对应的终端的RFF是否一致，若一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。

在一种可能的实现方式中，所述处理器702，还用于：判断所述终端的RFF认证失败时，启动所述终端的用户身份识别；确定所述终端的用户身份识别结果为识别通过时，向所述基站发送RFF初始采集指示，所述RFF初始采集指示携带所述终端的标识信息；通过所述收发器接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并更新所述终端的标识模块与所述终端的RFF对应关系。

参阅图8所示，本发明实施例提供一种网络安全防护设备，例如基站，包括：收发器801和与所述收发器耦合的处理器802；

所述处理器802，用于：通过所述收发器接收所述核心网设备发送的RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；根据所述终端的标识信息，采集所述标识信息对应终端的RFF，并将采集到的RFF反馈至所述核心网设备，以使所述核心网设备保存所述终端的标识模块与所述终端的RFF的对应关系；通过所述收发器接收核心网设备发送的RFF采集指示，所述RFF采集指示携带所述终端的标识信息；根据所述终端的标识信息，采集所述标识信息对应终端的RFF；根据采集到的RFF生成RFF采集信息反馈至所述核心网设备，以使所述核心网设备根据所述RFF采集信息判断所述终端的RFF认证是否成功。

在一种可能的实现方式中，所述RFF采集指示还携带标识模块对应的终端的RFF；

所述处理器802，具体用于：根据采集到的RFF生成RFF采集信息时，根据采集到的RFF与所述RFF采集指示携带的RFF生成RFF比对信息作为RFF采集信息。

在一种可能的实现方式中，所述处理器802，具体用于：根据采集到的 RFF生成RFF采集信息，将采集到的RFF作为RFF采集信息。

综上所述，相较于现有技术中由于网络只识别SIM是否合法，并不感知终端的物理层特征，采用本发明实施例提供的方法在终端认证过程中，新增了对终端射频指纹的提取和分析认证。由于增加了终端物理层特征的认证，可将真终端和伪终端区分出来，因此可解决目前方案的不足，显著提高了网络侧对终端的安全防护能力。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令处理器完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质是非短暂性(英文：non-transitory)介质，例如随机存取存储器，只读存储器，快闪存储器，硬盘，固态硬盘，磁带(英文：magnetic tape)，软盘(英文：floppy disk)，光盘(英文：optical disc)及其任意组合。

本发明是参照本发明实施例的方法和设备各自的流程图和方框图来描述的。应理解可由计算机程序指令实现流程图和方框图中的每一流程和方框、以及流程图和方框图中的流程和方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能的装置。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

一种网络安全防护方法，其特征在于，包括：

核心网设备确定未保存终端的标识模块与所述终端的射频指纹RFF的对应关系时，向基站发送RFF初始采集指示，所述RFF初始采集指示携带所述终端的标识信息；

所述核心网设备接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，保存所述终端的标识模块与所述终端的RFF的对应关系；

在所述核心网设备对所述终端发起鉴权时，所述核心网设备向所述基站发送RFF采集指示，所述RFF采集指示携带所述终端的标识信息；

所述核心网设备接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功。
如权利要求1所述的方法，其特征在于，所述标识模块为用户识别模块SIM或全球用户识别模块USIM。
如权利要求1或2所述的方法，其特征在于，所述RFF采集指示还携带所述标识模块对应的终端的RFF；

所述核心网设备接收所述基站反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功，包括：

所述核心网设备接收所述基站根据所述RFF采集指示反馈的RFF采集信息，所述RFF采集信息携带RFF比对信息，所述RFF比对信息是所述基站根据所述基站采集到的RFF与所述RFF采集指示携带的RFF生成的；

若所述RFF比对信息指示所述基站采集到的RFF与所述RFF采集指示携带的RFF一致，则所述核心网设备判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。
如权利要求1或2所述的方法，其特征在于，所述核心网设备接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功，包括：

所述核心网设备接收所述基站反馈的RFF采集信息，所述RFF采集信息携带所述基站采集到的RFF，所述基站采集到的RFF为所述RFF采集指示携带的所述终端的标识信息对应的终端的RFF；

所述核心网设备判断所述基站采集到的RFF与存储的所述标识模块对应的终端的RFF是否一致，若一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。
如权利要求3或4所述的方法，其特征在于，还包括：

所述核心网设备判断所述终端的RFF认证失败时，启动所述终端的用户身份识别；

所述核心网设备确定所述终端的用户身份识别结果为识别通过时，向所述基站发送RFF初始采集指示，所述RFF初始采集指示携带所述终端的标识信息；

所述核心网设备接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并更新所述终端的标识模块与所述终端的RFF对应关系。
一种网络安全防护方法，其特征在于，包括：

基站接收所述核心网设备发送的RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；

所述基站根据所述终端的标识信息，采集所述标识信息对应终端的RFF，并将采集到的RFF反馈至所述核心网设备，以使所述核心网设备保存所述终端的标识模块与所述终端的RFF的对应关系；

基站接收核心网设备发送的RFF采集指示，所述RFF采集指示携带所述终端的标识信息；

所述基站根据所述终端的标识信息，采集所述标识信息对应终端的RFF；

所述基站根据采集到的RFF生成RFF采集信息反馈至所述核心网设备，以使所述核心网设备根据所述RFF采集信息判断所述终端的RFF认证是否成功。
如权利要求6所述的方法，其特征在于，所述RFF采集指示还携带标识模块对应的终端的RFF；

所述基站根据采集到的RFF生成RFF采集信息，包括：

所述基站根据采集到的RFF与所述RFF采集指示携带的RFF生成RFF比对信息作为RFF采集信息。
如权利要求7所述的方法，其特征在于，所述标识模块为用户识别模块SIM或全球用户识别模块USIM。
如权利要求6所述的方法，其特征在于，所述基站根据采集到的RFF生成RFF采集信息，包括：

所述基站将采集到的RFF作为RFF采集信息。
一种网络安全防护设备，其特征在于，包括：收发器和与所述收发器耦合的处理器；

所述处理器，用于：

通过所述收发器向基站发送射频指纹RFF初始采集指示，所述RFF初始采集指示携带终端的标识信息；

通过所述收发器接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并保存所述终端的标识模块与所述终端的RFF的对应关系；

在对所述终端发起鉴权时，通过所述收发器向所述基站发送RFF采集指示，所述RFF采集指示携带所述终端的标识信息；

通过接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功。
如权利要求10所述的设备，其特征在于，所述标识模块为用户识别模块SIM或全球用户识别模块USIM。
如权利要求10或11所述的设备，其特征在于，所述RFF采集指示还携带所述标识模块对应的终端的RFF；

所述处理器，具体用于：

通过所述收发器接收所述基站反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功时，通过所述收发器接收所述基站根据所述RFF采集指示反馈的RFF采集信息，所述RFF采集信息携带RFF比对信息，所述RFF比对信息是所述基站根据所述基站采集到的RFF与所述RFF采集指示携带的RFF生成的；

若所述RFF比对信息指示所述基站采集到的RFF与所述RFF采集指示携带的RFF一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。
如权利要求10或11所述的设备，其特征在于，所述处理器，具体用于：

通过所述收发器接收所述基站根据所述RFF采集指示反馈的RFF采集信息，并根据所述RFF采集信息判断所述终端的RFF认证是否成功时，通过所述收发器接收所述基站反馈的RFF采集信息，所述RFF采集信息携带所述基站采集到的RFF，所述基站采集到的RFF为所述RFF采集指示携带的所述终端的标识信息对应的终端的RFF；

判断所述基站采集到的RFF与存储的所述标识模块对应的终端的RFF是否一致，若一致，则判断所述终端的RFF认证成功，否则，判断所述终端的RFF认证失败。
如权利要求12或13所述的设备，其特征在于，所述处理器，还用于：

判断所述终端的RFF认证失败时，启动所述终端的用户身份识别；

确定所述终端的用户身份识别结果为识别通过时，向所述基站发送RFF初始采集指示，所述RFF初始采集指示携带所述终端的标识信息；

通过所述收发器接收所述基站根据所述RFF初始采集指示反馈的所述终端的RFF，并更新所述终端的标识模块与所述终端的RFF对应关系。
一种网络安全防护设备，其特征在于，包括：收发器和与所述收发器耦合的处理器；

所述处理器，用于：

通过所述收发器接收所述核心网设备发送的RFF初始采集指示，所述 RFF初始采集指示携带终端的标识信息；

根据所述终端的标识信息，采集所述标识信息对应终端的RFF，并将采集到的RFF反馈至所述核心网设备，以使所述核心网设备保存所述终端的标识模块与所述终端的RFF的对应关系；

通过所述收发器接收核心网设备发送的RFF采集指示，所述RFF采集指示携带所述终端的标识信息；

根据所述终端的标识信息，采集所述标识信息对应终端的RFF；

根据采集到的RFF生成RFF采集信息反馈至所述核心网设备，以使所述核心网设备根据所述RFF采集信息判断所述终端的RFF认证是否成功。
如权利要求15所述的设备，其特征在于，所述RFF采集指示还携带标识模块对应的终端的RFF；

所述处理器，具体用于：

根据采集到的RFF生成RFF采集信息时，根据采集到的RFF与所述RFF采集指示携带的RFF生成RFF比对信息作为RFF采集信息。
如权利要求16所述的设备，其特征在于，所述标识模块为用户识别模块SIM或全球用户识别模块USIM。
如权利要求15所述的设备，其特征在于，所述处理器，具体用于：

根据采集到的RFF生成RFF采集信息，将采集到的RFF作为RFF采集信息。