WO2019237926A1

WO2019237926A1 - 一种限制终端设备接入的方法及装置

Info

Publication number: WO2019237926A1
Application number: PCT/CN2019/089137
Authority: WO
Inventors: 胡力; 陈璟; 潘凯
Original assignee: 华为技术有限公司
Priority date: 2018-06-13
Filing date: 2019-05-29
Publication date: 2019-12-19
Also published as: EP3780688B1; CN110602697B; CN110602697A; US11678187B2; US20210058789A1; EP3780688A4; EP3780688A1

Abstract

本申请提供一种限制终端设备接入的方法及装置。该方法包括：接入网设备接收来自终端设备的第一标识，第一标识用于标识终端设备；若第一标识和第二标识匹配，则接入网设备限制终端设备的接入；其中，第二标识用于标识存在异常行为的终端设备。基于该方案，接入网设备中预先记录了存在异常行为的终端设备的第二标识，当有终端设备向接入网设备发送第一标识，以请求建立连接或请求恢复连接时，则接入网设备先根据第一标识，判断第一标识是否与接入网设备记录的第二标识匹配，若匹配，表明该第一标识对应的终端设备是存在异常行为的终端设备，因而接入网设备限制该终端设备的接入，从而实现有效控制终端设备的攻击。

Description

一种限制终端设备接入的方法及装置

本申请要求在2018年6月13日提交中华人民共和国知识产权局、申请号为201810609145.X、发明名称为“一种限制终端设备接入的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及移动通信技术领域，尤其涉及一种限制终端设备接入的方法及装置。

背景技术

在一些业务场景中，有些终端设备通常实现简单，安全防护差，容易被攻击者攻击，成为攻击者控制的设备。一种攻击的示例是，攻击者可以利用病毒软件快速控制大量的终端设备，形成自己控制的僵尸网络。当规模达到一定数值，攻击者可以控制这些终端设备对某个服务器同时发起大量连接，使服务器不堪重负而宕机，造成拒绝服务(Denial of Service，DoS)攻击。

因此，如何有效控制终端设备的攻击，则是有待解决的问题。

发明内容

本申请提供一种限制终端设备接入的方法及装置，用以实现有效控制终端设备的攻击。

第一方面，本申请提供一种限制终端设备接入的方法，该方法包括：接入网设备接收来自第一终端设备的第一标识，第一标识用于标识第一终端设备；若第一标识和第二标识匹配，则接入网设备限制第一终端设备的接入；其中，第二标识用于标识存在异常行为的终端设备。基于该方案，接入网设备中预先记录了存在异常行为的终端设备的第二标识，当有第一终端设备向接入网设备发送第一标识，以请求建立连接或请求恢复连接时，则接入网设备先根据第一标识，判断第一标识是否与接入网设备记录的第二标识匹配，若匹配，表明该第一标识对应的第一终端设备是存在异常行为的终端设备，因而接入网设备限制该第一终端设备的接入，从而实现有效控制终端设备的攻击。

这里的终端设备出现的异常行为，例如可以包括：终端设备出现信令异常，流量异常，业务异常等等。其中，信令异常可以包括信令行为异常，终端位置异常，信令参数异常等。流量异常可以包括流量内容异常，流量特征异常，访问对象异常，协议应用异常等。业务异常可以包括语音短信异常，彩信异常，套餐异常等。

在一种可能的实现方式中，接入网设备还可以将第一标识与第二标识进行匹配。例如可以通过以下方法但不限于以下方法，将第一标识与第二标识进行匹配：

实现方法一，接入网设备将第一标识与第二标识进行匹配。

在第四代(the 4th generation，4G)通信中，第一标识是全局唯一的临时标识(Globally Unique Temporary Identity，GUTI)，第二标识是GUTI；或者，第一标识是S-TMSI，第二标识是系统架构演进临时移动台标识符(System Architecture Evolution Temporary Mobile Station Identifier，S-TMSI)；或者，第一标识是GUTI的哈希值，第二标识是GUTI的哈希值；或者，第一标识是S-TMSI的哈希值，第二标识是S-TMSI的哈希值。

在第五代(the 5th generation，5G)通信中，第一标识是5G全局唯一的临时标识(5G-Globally Unique Temporary Identity，5G-GUTI)，第二标识是5G-GUTI；或者，第一标识是5G系统架构演进临时移动台标识符(5G-System Architecture Evolution Temporary Mobile Station Identifier，5G-S-TMSI)，第二标识是5G-S-TMSI；或者，第一标识是5G-GUTI的哈希值，第二标识是5G-GUTI的哈希值；或者，第一标识是5G-S-TMSI的哈希值，第二标识是5G-S-TMSI的哈希值。

实现方法二，接入网设备根据第二标识确定终端设备的第三标识；接入网设备将第一标识与第三标识进行匹配。

在4G通信中，第一标识是S-TMSI，第二标识是GUTI，第三标识是S-TMSI；或者，第一标识是GUTI的哈希值，第二标识是GUTI，第三标识是GUTI的哈希值；或者，第一标识是S-TMSI的哈希值，第二标识是S-TMSI，第三标识是S-TMSI的哈希值。或者，第一标识是S-TMSI，第二标识是eNB UE S1AP ID或MME UE S1AP ID，第三标识是S-TMSI。

其中，eNB是4G中的基站(evolved NodeB)的简称，UE是用户设备(user equipment)的简称，S1AP是S1应用协议(S1Application Protocol)的简称，ID是标识(identification)的简称，MME是移动性管理实体(mobility management entity)的简称。

在5G通信中，第一标识是5G-S-TMSI，第二标识是5G-GUTI，第三标识是5G-S-TMSI；或者，第一标识是5G-GUTI的哈希值，第二标识是5G-GUTI，第三标识是5G-GUTI的哈希值；或者，第一标识是5G-S-TMSI的哈希值，第二标识是5G-S-TMSI，第三标识是5G-S-TMSI的哈希值。或者，第一标识是5G-S-TMSI，第二标识是gNB UE N2AP ID或AMF UE N2AP ID，第三标识是5G-S-TMSI。

其中，gNB是5G中的基站(next generation NodeB)的简称，N2AP是N2应用协议(N2 Application Protocol)的简称，AMF是接入与移动性管理功能(access and mobility management function)的简称。

实现方法三，接入网设备根据第一标识确定第一终端设备的第四标识；接入网设备将第四标识与第二标识进行匹配。

在4G通信中，第一标识是GUTI，第二标识是S-TMSI，第四标识是S-TMSI；或者，第一标识是S-TMSI，第二标识是S-TMSI的哈希值，第四标识是S-TMSI的哈希值；或者，第一标识是GUTI，第二标识是GUTI的哈希值，第四标识是GUTI的哈希值。

在5G通信中，第一标识是5G-GUTI，第二标识是5G-S-TMSI，第四标识是5G-S-TMSI；或者，第一标识是5G-S-TMSI，第二标识是5G-S-TMSI的哈希值，第四标识是5G-S-TMSI的哈希值；或者，第一标识是5G-GUTI，第二标识是5G-GUTI的哈希值，第四标识是5G-GUTI的哈希值。

实现方法四，接入网设备根据第一标识确定第一终端设备的第五标识，根据第二标识确定终端设备的第六标识；接入网设备将第五标识与第六标识进行匹配。

在4G通信中，第一标识是S-TMSI，第五标识是S-TMSI的哈希值，第二标识是GUTI，第六标识是S-TMSI的哈希值；或者，第一标识是S-TMSI，第五标识是S-TMSI的哈希值，第二标识是eNB UE S1AP ID或MME UE S1AP ID，第六标识是S-TMSI的哈希值。

在5G通信中，第一标识是5G-S-TMSI，第五标识是5G-S-TMSI的哈希值，第二标识是5G-GUTI，第六标识是5G-S-TMSI的哈希值；或者，第一标识是5G-S-TMSI，第五标识是5G-S-TMSI的哈希值，第二标识是gNB UE N2AP ID或AMF UE N2AP ID，第六标识是5G-S-TMSI的哈希值。

在一种可能的实现方式中，接入网设备将第一标识与第二标识进行匹配之前，接入网设备还可以接收来自安全功能网元的上述第二标识。

在一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识之后，接入网设备还可以启动计时器。则接入网设备限制第一终端设备的接入，具体包括：若计时器未超时，则接入网设备限制第一终端设备的接入。基于该方案，接入网设备在定时器超时前，对存在异常行为的终端设备进行限制，在定时器超时后，则不再对这些终端设备进行限制，有助于避免在终端设备恢复正常后仍然不能接入到接入设备。

在一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识之后，接收来自第一终端设备的第一标识之前，接入网设备还可以释放接入网设备与终端设备之间的连接。基于该方案，接入网设备对于存在异常行为的终端设备，当该终端设备当前处于连接态时，则可以释放与该终端设备之间的连接，从而减轻接入网设备的负载，有助于避免存在异常行为的终端设备对接入网设备造成攻击。

在一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识，具体包括：接入网设备接收来自安全功能网元的第一消息，第一消息包括第二标识，第一消息用于指示终端设备为限制接入的终端设备。

在又一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识，具体包括：接入网设备接收来自安全功能网元的第二标识和指示信息，指示信息用于指示终端设备为限制接入的终端设备。

在一种可能的实现方式中，接入网设备在限制第一终端设备的接入之后，还可以向第一终端设备发送原因值，原因值用于指示限制第一终端设备接入的原因为安全原因。

第二方面，本申请提供一种限制终端设备接入的方法，该方法包括：接入网设备接收来自终端设备的第一标识，第一标识用于标识终端设备；接入网设备根据第一标识，获取终端设备的上下文；若终端设备的上下文包括限制指示，则接入网设备限制终端设备的接入，限制指示用于终端设备为限制接入的终端设备。基于该方案，若终端设备存在异常行为，则接入网设备可以在该终端设备的上下文中记录限制指示，该限制指示用于指示该终端设备为限制接入的终端设备，从而后续若有终端设备向接入网设备发送第一标识，比如不活跃态的终端设备向接入网设备发送第一标识，以用于请求恢复连接，则接入网设备可以根据第一标识，获取该终端设备的上下文，若该终端设备的上下文中包括限制指示，表明该终端设备是一个限制接入的终端设备，因而接入网设备可以限制该终端设备的接入。从而实现有效控制存在异常行为的终端设备的攻击。当然，若该终端设备的上下文中不包括限制指示，表明该终端设备是正常的终端设备，则接入网设备可以不实施限制该终端设备的接入的操作。

在一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识，第二标识用于标识存在异常行为的终端设备；接入网设备根据第二标识，向终端设备的上下文中添加限制指示。

在一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识之后，接入网设备还可以启动计时器。则接入网设备限制终端设备的接入，包括：若计时器未超时，则接入网设备限制终端设备的接入。基于该方案，接入网设备在定时器超时前，对存在异常行为的终端设备进行限制，在定时器超时后，则不再对这些终端设备进行限制，有助于避免在终端设备恢复正常后仍然不能接入到接入设备。

在一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识，包括：接入网设备接收来自安全功能网元的第一消息，第一消息包括第二标识，第一消息用于指示终端设备为限制接入的终端设备。

在又一种可能的实现方式中，接入网设备接收来自安全功能网元的第二标识，包括：接入网设备接收来自安全功能网元的第二标识和指示信息，指示信息用于指示终端设备为限制接入的终端设备。

在一种可能的实现方式中，接入网设备向终端设备发送原因值，原因值用于指示限制终端设备接入的原因为安全原因。

第三方面，本申请提供一种限制终端设备接入的方法，该方法包括：终端设备向接入网设备发送终端设备的第一标识，第一标识用于标识终端设备；终端设备接收来自接入网设备的拒绝消息，拒绝消息包括原因值，原因值用于指示限制终端设备接入的原因为安全原因。基于该方案，若终端设备是存在异常行为的终端，则接入网设备可以以安全原因，限制终端设备的接入。从而实现有效控制存在异常行为的终端设备的攻击。

在一种可能的实现方式中，终端设备根据原因值，等待设定时长后再次尝试接入。

第四方面，本申请提供一种限制终端设备接入的方法，该方法包括：安全功能网元根据终端设备的流量数据，确定终端设备存在异常行为；安全功能网元向接入网设备发送终端设备的第二标识，第二标识用于标识终端设备。基于该方案，当安全功能网元确定终端设备存在异常行为时，则将该终端设备的第二标识发送给接入网设备，使得接入网设备可以根据该第二标识，限制该终端设备的接入。从而实现有效控制存在异常行为的终端设备的攻击。

其中，这里的流量数据可以包括终端设备的控制面流量或其特征数据、用户面流量或其特征数据等。

在一种可能的实现方式中，安全功能网元向接入网设备发送终端设备的第二标识，包括：安全功能网元向接入网设备发送第一消息，第一消息包括第二标识，第一消息用于指示终端设备为限制接入的终端设备。

在又一种可能的实现方式中，安全功能网元向接入网设备发送终端设备的第二标识，包括：安全功能网元向接入网设备发送第二标识和指示信息，指示信息用于指示终端设备为限制接入的终端设备。

第五方面，本申请提供一种装置，该装置可以是接入网设备、终端设备、安全功能网元，也可以是芯片。该装置具有实现上述第一方面、或者第二方面、或者第三方面、或者第四方面中任意一个方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第六方面，提供了一种装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第一方面或第一方面中任一所述的限制终端设备接入的方法、或者以使该装置执行如上述第二方面或第二方面中任一所述的限制终端设备接入的方法、或者以使该装置执行如上述第三方面或第三方面中任一所述的限制终端设备接入的方法、或者以使该装置执行如上述第四方面或第四方面中任一所述的限制终端设备接入的方法。

第七方面，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第八方面，本申请还提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第九方面，本申请还提供一种系统，该系统包括上述第一方面或第一方面的任一实施例中的接入网设备，和，上述第四方面或第四方面的任一实施例中的安全功能网元。进一步地，该系统还可以包括上述第三方面或第三方面的任一实施例中的终端设备。

第十方面，本申请还提供一种系统，该系统包括上述第二方面或第二方面的任一实施例中的接入网设备，和，上述第四方面或第四方面的任一实施例中的安全功能网元。进一步地，该系统还可以包括上述第三方面或第三方面的任一实施例中的终端设备。

本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

图1为本申请提供的一种可能的网络架构示意图；

图2为本申请提供的一种限制终端设备接入的方法流程图；

图3为本申请提供的又一种限制终端设备接入的方法流程图；

图4为本申请提供的一种装置示意图；

图5为本申请提供的一种安全功能网元示意图；

图6为本申请提供的一种终端设备示意图；

图7为本申请提供的接入网设备示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图1所示，为本申请适用的一种可能的网络架构示意图。该网络架构包括终端设备、接入网设备和安全功能网元。当然，该网络架构还可以包括核心网设备。

终端设备是一种具有无线收发功能的设备，可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。

接入网设备，是一种为终端设备提供无线通信功能的设备。接入网设备例如包括但不限于：5G中的下一代基站(g nodeB，gNB)、4G中的演进型节点B(evolved node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station，BTS)、家庭基站(例如，home evolved nodeB，或home node B，HNB)、基带单元(baseBand unit，BBU)、传输点(transmitting and receiving point，TRP)、发射点(transmitting point， TP)、移动交换中心等。

本申请中的核心网设备，例如可以是5G中的AMF网元，还可以是4G中的MME。其中，AMF网元具有接入与移动管理功能，是非接入层(non access stratum，NAS)信令的终结点，负责接入认证和移动性管理等功能。MME是NAS信令的终结点，负责接入认证和移动性管理功能，还负责会话管理功能。

本申请中的安全功能网元，具备安全功能，可以对终端设备的流量数据进行分析，发现其中的恶意流量，即发现其中存在异常行为的终端设备。在具体实现中，在5G中，安全功能网元可以集成于网络数据分析功能(NetWork Data Analysis Function，NWDAF)实体中、或集成于操作、管理和维护(Operation,Administration and Maintenance，OAM)实体中、或集成于应用功能(Application Function，AF)实体中。在4G中，安全功能网元可以集成于应用服务器(Application Server，AS)中。

其中，OAM实体也可以称为网络管理系统，用于提供一组网络管理功能，包括故障监测，故障申告，故障定位，以及故障修复等。

NWDAF实体，用于提供大数据分析服务，该实体可以从3GPP网络收集数据，并进行大数据分析，从而提供更佳的策略。

AF实体，用于提供应用服务，这种应用服务可以是第三方提供的，也可以是运营商提供的。

AS，用于提供应用服务，这种应用服务可以是第三方提供的，也可以是运营商提供的。

可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能，或者是平台(例如,云平台)上实例化的虚拟化功能。

下面结合附图，对本申请提供的限制终端设备接入的方法做具体介绍。

如图2所示，为本申请提供的一种限制终端设备接入的方法，包括以下步骤：

步骤201，安全功能网元根据终端设备的流量数据，确定存在异常行为的终端设备。

其中，流量数据可以包括终端设备的控制面流量或其特征数据、用户面流量或其特征数据等。

终端设备出现的异常行为，例如可以包括：终端设备出现信令异常，流量异常，业务异常等等。其中，信令异常可以包括信令行为异常，终端位置异常，信令参数异常等。流量异常可以包括流量内容异常，流量特征异常，访问对象异常，协议应用异常等。业务异常可以包括语音短信异常，彩信异常，套餐异常等。

步骤202，安全功能网元向接入网设备发送终端设备的第二标识，该第二标识用于标识存在异常行为的终端设备。相应的，接入网设备可以接收到该第二标识。

作示例，下面给出安全功能网元向接入网设备发送第二标识的两种具体实现方法。

实现方法一，安全功能网元向接入网设备发送第一消息，第一消息包括第二标识，第一消息用于指示终端设备为限制接入的终端设备。

即第一消息本身具有指示功能，具体用于指示第一消息中的第二标识所标识的终端设备为限制接入的终端设备。

这里的第一消息，也可以称为通知消息等，本申请对该消息的具体名称不做限定。

实现方法二，安全功能网元向接入网设备发送第二标识和指示信息，指示信息用于指示终端设备为限制接入的终端设备。

比如，第二标识和指示信息可以是携带于同一个消息中发送至接入网设备的，也可以是通过两个消息分别发送至接入网设备的。

该实现方法二中，是通过一个额外的指示信息，指示终端设备为限制接入的终端设备。

接入网设备在接收到第二标识后，可以存储第二标识。例如可以以列表的形式，将第二标识存储于接入网设备的存储空间中或存储于接入网设备之外的一个存储空间中，如存储于统一数据管理(unified data management，UDM)网元中。

下面以按照列表的存储方式为例进行说明。如表1所示，为接入网设备存储的限制接入的终端设备的标识。

表1

限制接入的终端设备的第二标识
UE ID1
UE ID2
UE ID3
……

需要说明的是，本申请中第二标识用于标识存在异常行为的终端设备，因此接入网设备记录的任一个限制接入的终端设备的标识均可以称为第二标识。如表1所示，UE ID1、UE ID2、UE ID3均可以称为第二标识，UE ID1、UE ID2、UE ID3所分别标识的终端设备，均为限制接入的终端设备。

本申请中，第二标识的实现方式可以包括但不限于以下实现方式：

在4G中，第二标识可以是S-TMSI、S-TMSI的哈希值、GUTI、GUTI的哈希值、eNB UE S1AP ID、或MME UE S1AP ID。

在5G中，第二标识可以是5G-S-TMSI、5G-S-TMSI的哈希值、5G-GUTI、5G-GUTI的哈希值、gNB UE N2AP ID、或AMF UE N2AP ID。

当然，在未来通信，如第六代(the 6th generation,6G)通信中，第二标识还可以是其他标识，本申请不做限定。

需要说明的是，该步骤202也可以由以下步骤202A和步骤202B替换：

步骤202A，安全功能网元向核心网设备发送终端设备的第二标识，该第二标识用于标识存在异常行为的终端设备。相应的，核心网设备可以接收到该第二标识。

该核心网设备可以是AMF网元或MME。

步骤202B，核心网设备向接入网设备发送终端设备的第二标识。相应的，接入网设备可以接收到该第二标识。

步骤203，接入网设备释放与终端设备之间的连接。该步骤203为可选步骤。

比如，当限制接入的终端设备为连接态的终端设备时，则接入网设备可以通过执行步骤203，释放与该终端设备之间的连接，从而可以降低接入网设备的负载。

再比如，当限制接入的终端设备为不活跃态的终端设备时，则接入网设备可以通过执行步骤203，释放与该终端设备之间的连接，从而可以降低接入网设备的负载。

再比如，当限制接入的终端设备为不活跃态的终端设备时，则接入网设备也可以不执行步骤203。

在5G中，引入了不活跃态，当终端设备从连接态进入不活跃态时，基站将挂起终端设备，此时，终端设备和接入网设备删除部分接入层(access stratum，AS)上下文，以及保留部分AS上下文，例如可以保留接入层密钥(5G中可以称为KgNB)、终端设备的安全能力、终端设备和终端设备接入的源基站之间通信的安全算法(包括完整性保护算法和加密算法)等。当终端设备处于不活跃态时，由于终端设备上保留了部分AS上下文，因此相较于终端设备从空闲态进入连接态，终端设备从不活跃态进入连接态会更加快速。

这里，若接入网设备决定释放与终端设备之间的连接，则可以通过以下任一方法实现：

方法一，若第二标识是S-TMSI、5G-S-TMSI、GUTI、5G-GUTI、gNB UE N2AP ID或AMF UE N2AP ID、eNB UE S1AP ID或MME UE S1AP ID中的任一个，则可以根据第二标识，确定第二标识所标识的终端设备，然后释放与该终端设备之间的连接。

方法二，若第二标识是S-TMSI或GUTI，则接入网设备还可以接收eNB UE S1AP ID或MME UE S1AP ID，然后根据eNB UE S1AP ID或MME UE S1AP ID，确定第二标识所标识的终端设备，然后释放与终端设备之间的连接。若第二标识是5G-S-TMSI或5G-GUTI，则接入网设备还可以接收gNB UE N2AP ID或AMF UE N2AP ID，然后根据gNB UE N2AP ID或AMF UE N2AP ID，确定第二标识所标识的终端设备，然后释放与终端设备之间的连接。

通过执行上述步骤201-步骤202，或者执行步骤201-步骤203，可实现由安全功能网元确定存在异常行为的终端设备，并将这些终端设备的第二标识发送给接入网设备，由接入网设备存储这些终端设备的第二标识。由此，当后续有终端设备，如第一终端设备向接入网设备请求建立连接时，则接入网设备可以根据存储的第二标识，判断该第一终端设备是否为限制接入的终端设备，并根据判断结果，决策是否限制该终端设备的接入。从而可实现对存在异常行为的终端设备进行限制接入。

下面对第一终端设备请求接入的过程进行具体说明。需要说明的是，这里的第一终端设备可以是接入网设备存储的第二标识所标识的终端设备中的某个终端设备，也可以不是接入网设备存储的第二标识所标识的终端设备中的任一终端设备。

步骤204，第一终端设备向接入网设备发送第一终端设备的第一标识，第一标识用于标识第一终端设备。相应的，接入网设备可以接收该第一标识。

这里的第一终端设备可以是空闲态的终端设备或不活跃态的终端设备。

当该第一终端设备是空闲态的终端设备时，该步骤204可以通过以下方法实现：第一终端设备向接入网设备发送第一请求消息，该第一请求消息包括第一终端设备的第一标识，该第一请求消息用于请求建立无线资源控制(radio resource control，RRC)连接。该第一请求消息也可以称为请求消息、或称为连接建立请求消息、或有其他名称。

当该第一终端设备是不活跃态的终端设备时，该步骤204可以通过以下方法实现：第一终端设备向接入网设备发送第二请求消息，该第二请求消息包括第一终端设备的第一标识，该第二请求消息用于请求恢复RRC连接。该第二请求消息也可以称为请求消息、或称为连接恢复请求消息、或有其他名称。

步骤205，接入网设备将第一标识和第二标识进行匹配。

这里的“匹配”，指的是第一标识和第二标识所指示的终端设备是同一个终端设备。

若第一标识和第二标识匹配，表明该第一终端设备是限制接入的终端设备，则执行步骤206。

若第一标识和第二标识不匹配，表明该第一终端不是限制接入的终端设备，即该第一终端设备是正常的终端设备，则接入网设备可以不限制该第一终端设备的接入，因而可以建立与第一终端设备之间的连接。

下面介绍几种将第一标识和第二标识进行匹配的实现方法。

实现方法一，接入网设备将第一标识与第二标识进行匹配。

在4G通信中，第一标识是GUTI，第二标识是GUTI；或者，第一标识是S-TMSI，第二标识是S-TMSI；或者，第一标识是GUTI的哈希值，第二标识是GUTI的哈希值；或者，第一标识是S-TMSI的哈希值，第二标识是S-TMSI的哈希值。

在5G通信中，第一标识是5G-GUTI，第二标识是5G-GUTI；或者，第一标识是5G-S-TMSI，第二标识是5G-S-TMSI；或者，第一标识是5G-GUTI的哈希值，第二标识是5G-GUTI的哈希值；或者，第一标识是5G-S-TMSI的哈希值，第二标识是5G-S-TMSI的哈希值。

步骤206，接入网设备限制第一终端设备的接入。

作为一种实现方式，接入网设备限制第一终端设备的接入可以是接入网设备向第一终端设备发送拒绝消息，该拒绝消息用于拒绝第一终端设备的接入。可选的，该拒绝消息还可以包括原因值，原因值用于指示限制第一终端设备接入的原因为安全原因。

作为又一种实现方式，接入网设备限制第一终端设备的接入还可以是接入网设备不执行后续操作。即接入网设备既不向第一终端设备发送拒绝消息，也不执行建立与第一终端设备之间的连接，从而第一终端设备无法接入到接入网设备，达到限制第一终端设备接入的目的。

可选的，在步骤203之后还可以包括以下步骤207。

步骤207，第一终端设备在等待设定时长后，再次尝试接入。

例如，当拒绝消息包括原因值，且该原因值为安全原因，则第一终端设备可以根据该原因值等待设定时长后，再次尝试接入。该设定时长可以是由接入网设备通过步骤206发送至第一终端设备的，也可以是由第一终端设备自身设置的。

其中，尝试接入指的是，第一终端设备直接向第一接入设备发起建立或恢复连接的请求。或者，尝试接入指的是，第一终端设备随机生成0至1之间的一个值，若该值小于预设值(该预设值可以是由接入网设备通过步骤206发送至第一终端设备或由第一终端设备预先设置的)，则第一终端设备向第一接入设备发起建立或恢复连接的请求。若该值大于或等于预设值，则不发起建立或恢复连接的请求。

通过上述方法，接入网设备中预先记录了存在异常行为的终端设备的第二标识，当有第一终端设备向接入网设备发送第一标识，以请求建立连接或请求恢复连接时，则接入网设备先根据第一标识，判断第一标识是否与接入网设备记录的第二标识匹配，若匹配，表明该第一标识对应的第一终端设备是存在异常行为的终端设备，因而接入网设备限制该第一终端设备的接入，从而实现有效控制终端设备的攻击。

作为一种实现方式，上述步骤202中，若安全功能网元以列表的形式向接入网设备发送了多个第二标识，则接入网设备在接收到第二标识之后，还可以启动一个定时器，该定时器是针对该列表中的所有第二标识所标识的终端设备的。该定时器用于指示限制第二标识所标识的终端设备的时长。比如，安全功能网元向接入网设备发送的是如表1所示的列表，包括了UE ID1、UE ID2和UE ID3，则该定时器用于指示限制UE ID1、UE ID2和UE ID3所标识的终端设备的时长。即在该定时器超时前，若有第二标识所标识的终端设备中的任一终端设备向接入网设备请求接入到核心网设备，则核心网设备将会限制该终端设备的接入。

作为又一种实现方式，上述步骤202中，若安全功能网元以列表的形式向接入网设备发送了多个第二标识或者是单独向接入网设备发送每个第二标识，则接入网设备在接收到第二标识之后，还可以针对每个第二标识，分别启动一个定时器，该定时器是针对该第二标识所标识的终端设备的。该定时器用于指示限制第二标识所标识的终端设备的时长。比如，接入网设备在接收到UE ID1后为UE ID1所标识的终端设备启动第一定时器，在接收到UE ID2后为UE ID2所标识的终端设备启动第二定时器，在接收到UE ID3后为UE ID3所标识的终端设备启动第三定时器等等，每个定时器分别用于指示限制一个终端设备的时长。即在第一定时器超时前，若UE ID1所标识的终端设备向接入网设备请求接入到核心网设备，则核心网设备将会限制该终端设备的接入。在第二定时器超时前，若UE ID2所标识的终端设备向接入网设备请求接入到核心网设备，则核心网设备将会限制该终端设备的接入。在第三定时器超时前，若UE ID3所标识的终端设备向接入网设备请求接入到核心网设备，则核心网设备将会限制该终端设备的接入。

作为又一种实现方式，还可以是接入网设备在步骤205中确定第一标识和第二标识不匹配之后，为该第一终端设备启动一个定时器，该定时器用于指示限制该第一终端设备接入的时长。

需要说明的是，上述任一定时器的时长，可以是由接入网设备自身设置的，也可以是由安全功能网元向接入网设备指定的，本申请对此不作限定。

如图3所示，为本申请提供的又一种限制终端设备接入的方法，该方法包括以下步骤：

步骤301-步骤302，同实施例2的步骤201-步骤202，可参考前述描述。

步骤303，接入网设备根据第二标识，向终端设备的上下文中添加限制指示。

这里的终端设备可以是不活跃态的终端设备。

当然，在未来通信，如6G通信中，第二标识还可以是其他标识，本申请不做限定。

接入网设备在接收到第二标识后，根据第二标识确定终端设备的上下文，然后在终端设备的上下文中添加限制指示，该限制指示用于终端设备为限制接入的终端设备。

通过执行上述步骤301-步骤303，可实现由安全功能网元确定存在异常行为的终端设备，并将这些终端设备的第二标识发送给接入网设备，由接入网设备根据第二标识，分别在相应的终端设备的终端上下文中添加限制指示，从而指示该终端设备是需要限制接入的终端设备。由此，当后续有终端设备，如第一终端设备向接入网设备请求恢复连接时，则接入网设备可以根据第一终端设备的上下文，判断该第一终端设备是否为限制接入的终端设备，并根据判断结果，决策是否限制该终端设备的接入。从而可实现对存在异常行为的终端设备进行限制接入。

下面对第一终端设备请求接入的过程进行具体说明。需要说明的是，这里的第一终端设备的上下文中可能有限制指示(即通过上述步骤301-步骤303添加至上下文中的)，也可能没有限制指示。

步骤304，第一终端设备向接入网设备发送第一终端设备的第一标识，第一标识用于标识第一终端设备。相应的，接入网设备可以接收到该第一标识。

这里的第一终端设备可以是不活跃态的终端设备。

作为一种实现方式，该步骤304可以通过以下方法实现：第一终端设备向接入网设备发送请求消息，该请求消息包括第一终端设备的第一标识，该请求消息用于请求恢复RRC连接。该请求消息也可以称为连接恢复请求消息、或有其他名称。

这里的第一标识，例如可以是S-TMSI、5G-S-TMSI、GUTI、5G-GUTI、或不活跃-无线网络临时标识(INACTIVE-Radio Network Temporary Identifier，I-RNTI)，或者还可以是S-TMSI的哈希值、5G-S-TMSI的哈希值、GUTI的哈希值、5G-GUTI的哈希值、或I-RNTI的哈希值。

步骤305，接入网设备判断第一终端设备的上下文中是否包括限制指示。

接入网设备根据第一标识，获取第一终端设备的上下文，并判断该上下文中是否包括限制指示。

若该上下文中包括限制指示，表明该第一终端设备是限制接入的终端设备，则执行步骤306。

若该上下文中不包括限制指示，表明该第一终端不是限制接入的终端设备，即该第一终端设备是正常的终端设备，则接入网设备不需要限制该第一终端设备的接入，因而可以建立与第一终端设备之间的连接。

步骤306，同图2所示的实施例的步骤206，可参考前述描述。

可选的，在步骤306之后还可以包括步骤307。该步骤307同图2所示的实施例的步骤207，可参考前述描述。

通过上述方法，接入网设备中预先在存在异常行为的终端设备的上下文中记录了限制指示，当有第一终端设备向接入网设备发送第一标识，以请求恢复连接时，则接入网设备先根据第一标识，判断第一终端设备的上下文中是否包括限制指示，若包括限制指示，表明该第一终端设备是存在异常行为的终端设备，因而接入网设备限制该第一终端设备的接入，从而实现有效控制终端设备的攻击。

作为又一种实现方式，接入网设备在根据第二标识向相应的终端设备的上下文中添加了限制指示之后，还可以启动一个定时器，该定时器是针对该第二标识所标识的终端设备的。该定时器用于指示限制第二标识所标识的终端设备的时长。

作为又一种实现方式，还可以是接入网设备在步骤305中确定第一终端设备的上下文中包括限制指示之后，为该第一终端设备启动一个定时器，该定时器用于指示限制该第一终端设备接入的时长。

可以理解的是，上述实现各网元为了实现上述功能，其包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在采用集成的单元的情况下，图4示出了本发明实施例中所涉及的装置的可能的示例性框图，该装置400可以以软件的形式存在。装置400可以包括：处理单元402和通信单元403。作为一种实现方式，该通信单元403可以包括接收单元和发送单元。处理单元402用于对装置400的动作进行控制管理。通信单元403用于支持装置400与其他网络实体的通信。装置400还可以包括存储单元401，用于存储装置400的程序代码和数据。

其中，处理单元402可以是处理器或控制器，例如可以是通用中央处理器(central processing unit，CPU)，通用处理器，数字信号处理(digital signal processing，DSP)，专用集成电路(application specific integrated circuits，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元403可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口。存储单元401可以是存储器。

该装置400可以为接入网设备或接入网设备中的芯片。处理单元402可以支持装置400执行上文中各方法示例中接入网设备的动作，例如，处理单元402用于支持装置400执行图2中的步骤205，图3中的步骤303和步骤305，和/或用于本文所描述的技术的其它过程。通信单元403用于支持装置400与安全功能网元、终端设备的通信。例如，通信单元用于支持装置400执行图2中的步骤202-步骤204和步骤206，图3中的步骤302、步骤304和步骤306。

具体地，当通信单元403包括发送单元和接收单元时，在一个实施例中，接收单元，用于接收来自第一终端设备的第一标识，所述第一标识用于标识所述第一终端设备；处理单元，用于若所述第一标识和第二标识匹配，则限制所述第一终端设备的接入；其中，所述第二标识用于标识存在异常行为的终端设备。

在一种可能的实现方式中，所述处理单元，还用于将所述第一标识与所述第二标识进行匹配。

在一种可能的实现方式中，所述处理单元，具体用于根据所述第二标识，确定所述终端设备的第三标识；所述接入网设备将所述第一标识与所述第三标识进行匹配。

在一种可能的实现方式中，所述处理单元，具体用于：根据所述第一标识，确定所述第一终端设备的第四标识；将所述第四标识与所述第二标识进行匹配。

在一种可能的实现方式中，所述接收单元，还用于在所述处理单元将所述第一标识与所述第二标识进行匹配之前，接收来自安全功能网元的所述第二标识。

在一种可能的实现方式中，所述处理单元，具体用于在所述接收单元接收来自安全功能网元的第二标识之后，启动计时器；若所述计时器未超时，则所述接入网设备限制所述第一终端设备的接入。

在一种可能的实现方式中，所述接收单元，具体用于：接收来自所述安全功能网元的第一消息，所述第一消息包括所述第二标识，所述第一消息用于指示所述终端设备为限制接入的终端设备；或者，接收来自所述安全功能网元的所述第二标识和指示信息，所述指示信息用于指示所述终端设备为限制接入的终端设备。

在一种可能的实现方式中，所述处理单元，还用于在所述接收单元接收来自安全功能网元的所述第二标识之后，所述接收单元接收来自所述第一终端设备的所述第一标识之前，释放与所述终端设备之间的连接。

在一种可能的实现方式中，所述发送单元，用于向所述第一终端设备发送原因值，所述原因值用于指示限制所述第一终端设备接入的原因为安全原因。

具体地，当通信单元403包括发送单元和接收单元时，在又一个实施例中，接收单元，用于接收来自终端设备的第一标识，所述第一标识用于标识所述终端设备；处理单元，用于根据所述第一标识，获取所述终端设备的上下文；若所述终端设备的上下文包括限制指示，则限制所述终端设备的接入，所述限制指示用于所述终端设备为限制接入的终端设备。

在一种可能的实现方式中，所述接收单元，还用于接收来自安全功能网元的第二标识，所述第二标识用于标识存在异常行为的所述终端设备；所述处理单元，还用于根据所述第二标识，向所述终端设备的上下文中添加所述限制指示。

在一种可能的实现方式中，所述处理单元，具体用于在所述接收单元来自安全功能网元的第二标识之后，启动计时器；若所述计时器未超时，则限制所述终端设备的接入。

在一种可能的实现方式中，所述发送单元，用于向所述终端设备发送原因值，所述原因值用于指示限制所述终端设备接入的原因为安全原因。

该装置400还可以是本申请所涉及的安全功能网元或安全功能网元中的芯片。处理单元402可以支持装置400执行上文中各方法示例中安全功能网元的动作，例如，处理单元402用于支持装置400执行图2中的步骤201，图3中的步骤301。通信单元403可以支持装置400与接入网设备之间的通信，例如，通信单元403用于支持装置400执行图2中的步骤203和步骤206。

具体地，当通信单元403包括发送单元和接收单元时，在一个实施例中，处理单元，用于根据终端设备的流量数据，确定所述终端设备存在异常行为；发送单元，用于向接入网设备发送所述终端设备的第二标识，所述第二标识用于标识所述终端设备。

在一种可能的实现方式中，所述发送单元，具体用于：向所述接入网设备发送第一消息，所述第一消息包括所述第二标识，所述第一消息用于指示所述终端设备为限制接入的终端设备；或者，向所述接入网设备发送所述第二标识和指示信息，所述指示信息用于指示所述终端设备为限制接入的终端设备。

该装置400还可以是本申请所涉及的终端设备(或第一终端设备)，或终端设备 (或第一终端设备)中的芯片。处理单元402可以支持装置400执行上文中各方法示例中终端设备(第一终端设备)的动作，例如，处理单元402用于支持装置400执行图2中的步骤207，图3中的步骤307，和/或用于本文所描述的技术的其它过程。通信单元403可以支持装置400与接入网设备之间的通信，例如，通信单元403用于支持装置400执行图2中的步骤203，步骤204步骤206，图3中的步骤304和步骤306。

具体地，当通信单元403包括发送单元和接收单元时，在一个实施例中，发送单元，用于向接入网设备发送所述终端设备的第一标识，所述第一标识用于标识所述终端设备；

接收单元，用于接收来自所述接入网设备的拒绝消息，所述拒绝消息包括原因值，所述原因值用于指示限制所述终端设备接入的原因为安全原因。

在一种可能的实现方式中，所述处理单元，用于根据所述原因值，等待设定时长后再次尝试接入。

参阅图5所示，为本申请提供的一种装置示意图，该装置可以是上述安全功能网元。该装置500包括：处理器502、通信接口503、存储器501。可选的，装置500还可以包括通信线路504。其中，通信接口503、处理器502以及存储器501可以通过通信线路504相互连接；通信线路504可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。所述通信线路504可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器502可以是一个CPU，微处理器，ASIC，或一个或多个用于控制本申请方案程序执行的集成电路。

通信接口503，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)，有线接入网等。

存储器501可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically er服务器able programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路504与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器501用于存储执行本申请方案的计算机执行指令，并由处理器502来控制执行。处理器502用于执行存储器501中存储的计算机执行指令，从而实现本申请上述实施例提供的限制终端设备接入的方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

图6示出了本发明实施例中所涉及的终端设备的一种可能的设计结构的简化示意图。所述终端600包括发射器601，接收器602和处理器603。其中，处理器603也可以为控制器，图6中表示为“控制器/处理器603”。可选的，所述终端600还可以包括调制解调处理器605，其中，调制解调处理器605可以包括编码器606、调制器607、解码器608和解调器609。

在一个示例中，发射器601调节(例如，模拟转换、滤波、放大和上变频等)输出采样并生成上行链路信号，该上行链路信号经由天线发射给上述实施例中所述的接入网设备。在下行链路上，天线接收上述实施例中接入网设备发射的下行链路信号。接收器602调节(例如，滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器605中，编码器606接收要在上行链路上发送的业务数据和信令消息，并对业务数据和信令消息进行处理(例如，格式化、编码和交织)。调制器607进一步处理(例如，符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器609处理(例如，解调)该输入采样并提供符号估计。解码器608处理(例如，解交织和解码)该符号估计并提供发送给终端600的已解码的数据和信令消息。编码器606、调制器607、解调器609和解码器608可以由合成的调制解调处理器605来实现。这些单元根据无线接入网采用的无线接入技术(例如，LTE及其他演进系统的接入技术)来进行处理。需要说明的是，当终端600不包括调制解调处理器605时，调制解调处理器605的上述功能也可以由处理器603完成。

处理器603对终端设备600的动作进行控制管理，用于执行上述本发明实施例中由终端设备600进行的处理过程。例如，处理器603还用于执行图2-图3所示方法中涉及终端设备(或第一终端设备)的处理过程和/或本申请所描述的技术方案的其他过程。

进一步的，终端设备600还可以包括存储器604，存储器604用于存储用于终端设备600的程序代码和数据。

图7示出了本发明实施例提供的接入网设备的一种可能的结构示意图。接入网设备700包括处理器702和通信接口704。其中，处理器702也可以为控制器，图7中表示为“控制器/处理器702”。通信接口704用于支持接入网设备与其他网元(例如安全功能网元)进行通信。进一步的，接入网设备700还可以包括发射器/接收器701。所述发射器/接收器701用于支持接入网设备与上述实施例中的终端设备(或第一终端设备)之间进行无线电通信。所述处理器702可以执行各种用于与终端设备(或第一终端设备)通信的功能。在上行链路，来自终端设备(或第一终端设备)的上行链路信号经由天线接收，由接收器701进行解调(例如将高频信号解调为基带信号)，并进一步由处理器702进行处理来恢复终端设备(或第一终端设备)发送的业务数据和信令信息。在下行链路上，业务数据和信令消息由处理器702进行处理，并由发射器701进行调制(例如将基带信号调制为高频信号)来产生下行链路信号，并经由天线发射给终端设备(或第一终端设备)。需要说明的是，上述解调或调制的功能也可以由处理器702完成。

例如，处理器702还用于执行图2-图3所示方法中涉及接入网设备的处理过程和/或本申请所描述的技术方案的其他过程。

进一步的，接入网设备700还可以包括存储器703，存储器703用于存储接入网设备700的程序代码和数据。

可以理解的是，图7仅仅示出了接入网设备700的简化设计。在实际应用中，接入网设备700可以包括任意数量的发射器，接收器，处理器，控制器，存储器，通信单元等，而所有可以实现本发明实施例的接入网设备都在本发明实施例的保护范围之内。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器，数字信号处理器，专用集成电路(ASIC)，现场可编程门阵列(FPGA)或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中，ASIC可以设置于终端设备中。可选地，处理器和存储媒介也可以设置于终端设备中的不同的部件中。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。

Claims

一种限制终端设备接入的方法，其特征在于，包括：

接入网设备接收来自第一终端设备的第一标识，所述第一标识用于标识所述第一终端设备；

若所述第一标识和第二标识匹配，则所述接入网设备限制所述第一终端设备的接入；其中，所述第二标识用于标识存在异常行为的终端设备。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述接入网设备将所述第一标识与所述第二标识进行匹配。
根据权利要求2所述的方法，其特征在于，所述接入网设备将所述第一标识与所述第二标识进行匹配，包括：所述接入网设备根据所述第二标识，确定所述终端设备的第三标识；所述接入网设备将所述第一标识与所述第三标识进行匹配。
根据权利要求2所述的方法，其特征在于，所述接入网设备将所述第一标识与所述第二标识进行匹配，包括：

所述接入网设备根据所述第一标识，确定所述第一终端设备的第四标识；

所述接入网设备将所述第四标识与所述第二标识进行匹配。
根据权利要求2-4任一所述的方法，其特征在于，所述接入网设备将所述第一标识与所述第二标识进行匹配之前，所述方法还包括：

所述接入网设备接收来自安全功能网元的所述第二标识。
根据权利要求5所述的方法，其特征在于，所述接入网设备接收来自安全功能网元的所述第二标识之后，还包括：

所述接入网设备启动计时器；

所述接入网设备限制所述第一终端设备的接入，包括：

若所述计时器未超时，则所述接入网设备限制所述第一终端设备的接入。
根据权利要求5或6所述的方法，其特征在于，所述接入网设备接收来自安全功能网元的所述第二标识之后，接收来自所述第一终端设备的所述第一标识之前，还包括：

所述接入网设备释放与所述终端设备之间的连接。
根据权利要求5-7任一所述的方法，其特征在于，所述接入网设备接收来自安全功能网元的所述第二标识，包括：

所述接入网设备接收来自所述安全功能网元的第一消息，所述第一消息包括所述第二标识，所述第一消息用于指示所述终端设备为限制接入的终端设备；或者，

所述接入网设备接收来自所述安全功能网元的所述第二标识和指示信息，所述指示信息用于指示所述终端设备为限制接入的终端设备。
根据权利要求1-8任一所述的方法，其特征在于，所述方法还包括：

所述接入网设备向所述第一终端设备发送原因值，所述原因值用于指示限制所述第一终端设备接入的原因为安全原因。
一种限制终端设备接入的方法，其特征在于，包括：

所述接入网设备接收来自终端设备的第一标识，所述第一标识用于标识所述终端设备；

所述接入网设备根据所述第一标识，获取所述终端设备的上下文；

若所述终端设备的上下文包括限制指示，则所述接入网设备限制所述终端设备的接入，所述限制指示用于所述终端设备为限制接入的终端设备。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述接入网设备接收来自安全功能网元的第二标识，所述第二标识用于标识存在异常行为的所述终端设备；

所述接入网设备根据所述第二标识，向所述终端设备的上下文中添加所述限制指示。
根据权利要求11所述的方法，其特征在于，所述接入网设备接收来自安全功能网元的第二标识之后，还包括：

所述接入网设备启动计时器；

所述接入网设备限制所述终端设备的接入，包括：

若所述计时器未超时，则所述接入网设备限制所述终端设备的接入。
根据权利要求11或12所述的方法，其特征在于，所述接入网设备接收来自安全功能网元的第二标识，包括：

所述接入网设备接收来自所述安全功能网元的第一消息，所述第一消息包括所述第二标识，所述第一消息用于指示所述终端设备为限制接入的终端设备；或者，

所述接入网设备接收来自所述安全功能网元的所述第二标识和指示信息，所述指示信息用于指示所述终端设备为限制接入的终端设备。
根据权利要求10-13任一所述的方法，其特征在于，所述方法还包括：

所述接入网设备向所述终端设备发送原因值，所述原因值用于指示限制所述终端设备接入的原因为安全原因。
一种装置，其特征在于，包括：

接收单元，用于接收来自第一终端设备的第一标识，所述第一标识用于标识所述第一终端设备；

处理单元，用于若所述第一标识和第二标识匹配，则限制所述第一终端设备的接入；其中，所述第二标识用于标识存在异常行为的终端设备。
根据权利要求15所述的装置，其特征在于，所述处理单元，还用于将所述第一标识与所述第二标识进行匹配。
根据权利要求16所述的装置，其特征在于，所述处理单元，具体用于根据所述第二标识，确定所述终端设备的第三标识；所述接入网设备将所述第一标识与所述第三标识进行匹配。
根据权利要求16所述的装置，其特征在于，所述处理单元，具体用于：

根据所述第一标识，确定所述第一终端设备的第四标识；

将所述第四标识与所述第二标识进行匹配。
根据权利要求16-18任一所述的装置，其特征在于，所述接收单元，还用于在所述处理单元将所述第一标识与所述第二标识进行匹配之前，接收来自安全功能网元的所述第二标识。
根据权利要求19所述的装置，其特征在于，所述处理单元，具体用于在所述接收单元接收来自安全功能网元的所述第二标识之后，启动计时器；若所述计时器未超时，则所述接入网设备限制所述第一终端设备的接入。
根据权利要求19或20所述的装置，其特征在于，所述处理单元，还用于在所述接收单元接收来自安全功能网元的所述第二标识之后，所述接收单元接收来自所述第一终端设备的所述第一标识之前，释放与所述终端设备之间的连接。
根据权利要求19-21任一所述的装置，其特征在于，所述接收单元，具体用于：

接收来自所述安全功能网元的第一消息，所述第一消息包括所述第二标识，所述第一消息用于指示所述终端设备为限制接入的终端设备；或者，

接收来自所述安全功能网元的所述第二标识和指示信息，所述指示信息用于指示所述终端设备为限制接入的终端设备。
根据权利要求15-22任一所述的装置，其特征在于，所述装置还包括发送单元，用于向所述第一终端设备发送原因值，所述原因值用于指示限制所述第一终端设备接入的原因为安全原因。
一种装置，其特征在于，包括：

接收单元，用于接收来自终端设备的第一标识，所述第一标识用于标识所述终端设备；

处理单元，用于根据所述第一标识，获取所述终端设备的上下文；若所述终端设备的上下文包括限制指示，则限制所述终端设备的接入，所述限制指示用于所述终端设备为限制接入的终端设备。
根据权利要求24所述的装置，其特征在于，所述接收单元，还用于接收来自安全功能网元的第二标识，所述第二标识用于标识存在异常行为的所述终端设备；

所述处理单元，还用于根据所述第二标识，向所述终端设备的上下文中添加所述限制指示。
根据权利要求25所述的装置，其特征在于，所述处理单元，具体用于在所述接收单元来自安全功能网元的第二标识之后，启动计时器；若所述计时器未超时，则限制所述终端设备的接入。
根据权利要求25或26所述的装置，其特征在于，所述接收单元，具体用于：

接收来自所述安全功能网元的第一消息，所述第一消息包括所述第二标识，所述第一消息用于指示所述终端设备为限制接入的终端设备；或者，

接收来自所述安全功能网元的所述第二标识和指示信息，所述指示信息用于指示所述终端设备为限制接入的终端设备。
根据权利要求24-27任一所述的装置，其特征在于，所述装置还包括发送单元，用于向所述终端设备发送原因值，所述原因值用于指示限制所述终端设备接入的原因为安全原因。