CN108924841B - 安全保护方法、装置、移动终端、基站和mme设备 - Google Patents
安全保护方法、装置、移动终端、基站和mme设备 Download PDFInfo
- Publication number
- CN108924841B CN108924841B CN201710164866.XA CN201710164866A CN108924841B CN 108924841 B CN108924841 B CN 108924841B CN 201710164866 A CN201710164866 A CN 201710164866A CN 108924841 B CN108924841 B CN 108924841B
- Authority
- CN
- China
- Prior art keywords
- nas
- signaling
- mobile terminal
- base station
- rrc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种非接入层NAS拒绝信令的安全保护方法、装置、移动终端、基站和MME设备,所述方法包括:获取移动性管理实体MME设备发送的第一NAS拒绝信令;根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;其中所述移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。本发明能够解决基站对NAS信令不进行解析,直接透传,造成用户进入伪基站覆盖范围内时,被强制连接到伪基站设备上,受到伪基站攻击的问题。
Description
技术领域
本发明涉及无线通讯技术领域,尤其是指一种非接入层NAS拒绝信令的安全保护方法、装置、移动终端、基站和MME设备。
背景技术
目前,现网中发现存在通过大功率信号吸入用户的伪基站,用户手机信号被强制连接到伪基站设备上,导致手机无法正常使用运营商提供的服务,一般会出现暂时脱网8~12秒后恢复正常的现象,部分手机则必须开关机才能重新入网。此外伪基站的存在还会导致手机用户频繁地更新位置,使得该区域的无线网络资源紧张并出现网络拥塞现象,对用户体验造成极不好的影响。
当前所存在的伪基站中包括4G伪基站和2G伪基站。其中2G伪基站设置运营商GSM(全球移动通信***,Global System for Mobile Communications)频点,且发射高功率信号。当进入伪基站覆盖范围内,大功率4G伪基站吸入用户,并触发其发起TAU(跟踪区更新,Tracking Area Update)请求,4G伪基站拒绝TAU,通过RRC(Radio Resource Control,无线资源控制)Connection Release(连接释放)携带GSM频点为高优先级将用户重定向到2G,大功率2G伪基站吸入用户。
因此,现有技术中,由于基站对NAS信令不进行解析,直接透传,造成用户进入伪基站覆盖范围内时,被强制连接到伪基站设备上,受到恶意攻击,从而影响用户体验。
发明内容
本发明技术方案的目的是提供一种非接入层NAS拒绝信令的安全保护方法、装置、移动终端、基站和MME设备,以防止用户受到伪基站攻击。
本发明提供一种非接入层NAS拒绝信令的安全保护方法,应用于基站,其中,所述方法包括:
获取移动性管理实体MME设备发送的第一NAS拒绝信令;
根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;其中所述移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。
优选地,所述的安全保护方法,其中,所述根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文的步骤之后,所述方法还包括:
向所述移动终端下发第二NAS拒绝信令。
优选地,所述的安全保护方法,其中,所述获取移动性管理实体MME设备发送的第一NAS拒绝信令的步骤包括:
接收所述MME设备发送的初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示;
根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。
优选地,所述的安全保护方法,其中,所述根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文的步骤包括:
保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥;
向所述移动终端下发RRC安全模式建立指示;
接收所述移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文。
本发明实施例还提供另一种非接入层NAS拒绝信令的安全保护方法,应用于移动终端,其中,所述方法包括:
向MME设备发送NAS请求后,接收一NAS拒绝信令;
判断是否存在已建立的无线资源控制RRC安全上下文;
当不存在所述RRC安全上下文时,生成连接异常信息。
优选地,所述的安全保护方法,其中,所述生成连接异常信息之后,所述方法还包括:
当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
优选地,所述的安全保护方法,其中,所述判断是否存在已建立的无线资源控制RRC安全上下文的步骤之后,所述方法还包括:
当判断存在所述RRC安全上下文,接收到携带GSM频点的RRC连接释放消息时,根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
优选地,所述的安全保护方法,其中,所述接收一NAS拒绝信令的步骤之前,所述方法还包括:
向MME设备发送NAS请求,其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。
本发明实施例还提供另一种非接入层NAS拒绝信令的安全保护方法,应用于移动性管理实体MME设备,其中,所述方法包括:
接收移动终端发送的NAS请求;
根据所述NAS请求,向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令。
优选地,所述的安全保护方法,其中,所述向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令的步骤中:
向所述基站发送初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示所述NAS信令为所述NAS拒绝信令。
优选地,所述的安全保护方法,其中,所述接收移动终端发送的NAS请求的步骤中,所述NAS请求为接入请求消息或者跟踪区更新请求消息。
本发明实施例还提供一种非接入层NAS拒绝信令的安全保护装置,应用于基站,其中,所述装置包括:
信令获取模块,用于获取移动性管理实体MME设备发送的第一NAS拒绝信令;
第一处理模块,用于根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;其中所述移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。
优选地,所述的安全保护装置,其中,所述装置还包括:
第一信令发送模块,用于向所述移动终端下发第二NAS拒绝信令。
优选地,所述的安全保护装置,其中,所述信令获取模块包括:
第一消息接收单元,用于接收所述MME设备发送的初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示;
指示确认单元,用于根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。
优选地,所述的安全保护装置,其中,所述第一处理模块包括:
保存单元,用于保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥;
指示发送单元,用于向所述移动终端下发RRC安全模式建立指示;
第二消息接收单元,用于接收所述移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文。
本发明还提供一种基站,其中,包括如上任一项所述的安全保护装置。
本发明实施例还提供另一种非接入层NAS拒绝信令的安全保护装置,应用于移动终端,其中,所述装置包括:
拒绝信令接收模块,用于向MME设备发送NAS请求后,接收一NAS拒绝信令;
判断模块,用于判断是否存在已建立的无线资源控制RRC安全上下文;
信息生成模块,用于当不存在所述RRC安全上下文时,生成连接异常信息。
优选地,所述的安全保护装置,其中,所述装置还包括:
第二处理模块,用于当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
优选地,所述的安全保护装置,其中,所述装置还包括:
第三处理模块,用于当判断存在所述RRC安全上下文,接收到携带GSM频点的RRC连接释放消息时,根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
优选地,所述的安全保护装置,其中,所述装置还包括:
请求消息发送模块,用于向MME设备发送NAS请求,其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。
本发明还提供一种移动终端,其中,包括如上任一项的安全保护装置。
本发明还提供另一种非接入层NAS拒绝信令的安全保护装置,应用于移动性管理实体MME设备,其中,所述装置包括:
请求接收模块,用于接收移动终端发送的NAS请求;
第二信令发送模块,用于根据所述NAS请求,向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令。
优选地,所述的安全保护装置,其中,所述第二信令发送模块具体用于:
向所述基站发送初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示所述NAS信令为所述NAS拒绝信令。
优选地,所述的安全保护装置,其中,所述请求接收模块所接收所述NAS请求为接入请求消息或者跟踪区更新请求消息。
本发明还提供一种移动性管理实体MME设备,其中,包括如上任一项所述的安全保护装置。
本发明具体实施例上述技术方案中的至少一个具有以下有益效果:
本发明实施例所述方法和装置,当MME设备(核心网)拒绝移动终端的NAS请求时,向基站发送NAS拒绝信令,基站收到该NAS拒绝信令时,与移动终端之间建立RRC安全上下文,因此采用上述方式在MME设备和基站的S1接口上,引入拒绝NAS请求的NAS拒绝信令,基站根据该NAS拒绝信令建立RRC层安全上下文,以对拒绝NAS请求的NAS拒绝信令进行保护,对4G安全进行增强,从而解决基站对NAS信令不进行解析,直接透传,造成用户进入伪基站覆盖范围内时,被强制连接到伪基站设备上,受到伪基站攻击的问题。
附图说明
图1为本发明实施例一所述安全保护方法的流程示意图;
图2为本发明实施例二所述安全保护方法的流程示意图;
图3为本发明实施例三所述安全保护方法的流程示意图;
图4为本发明实施例四所述安全保护方法的流程示意图;
图5为本发明实施例五所述安全保护装置的结构示意图;
图6为本发明实施例六所述安全保护装置的结构示意图;
图7本发明实施例七所述安全保护装置的结构示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
实施例一
本发明实施例一所述非接入层NAS拒绝信令的安全保护方法,应用于基站,参阅图1所示,所述方法包括:
S110,获取移动性管理实体MME设备发送的第一NAS拒绝信令;
S120,根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;其中所述移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。
本发明实施例一所述安全保护方法,当MME设备(核心网)拒绝移动终端的NAS请求时,向基站发送第一NAS拒绝信令,基站收到该第一NAS拒绝信令时,与移动终端之间建立RRC安全上下文,因此采用上述方式在MME设备和基站的S1接口上,引入拒绝NAS请求的NAS拒绝信令,基站根据该NAS拒绝信令建立RRC层安全上下文,以对拒绝NAS请求的NAS拒绝信令进行保护,对4G安全进行增强,从而解决基站对NAS信令不进行解析,直接透传,造成用户进入伪基站覆盖范围内时,被强制连接到伪基站设备上,受到伪基站攻击的问题。
具体地,实施例一中,当步骤S120,与移动终端之间建立RRC安全上下文的步骤之后,所述安全保护方法还包括:
向移动终端下发第二NAS拒绝信令。
当移动终端接收基站发送的第二NAS拒绝信令之后,判断是否存在已建立的RRC安全上下文,如果没有则判断出现异常,生成连接异常信息,并进一步当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的携带GSM频点的RRC连接释放消息,重定向至当前小区之外的另一小区,以避免被连接至伪基站。
另外,步骤S120中,获取移动性管理实体MME设备发送的第一NAS拒绝信令的步骤包括:
接收MME设备发送的初始上下文建立请求消息;所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示;
根据NAS拒绝指示确定初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。
具体地,MME设备发送的初始上下文建立请求消息中所携带的NAS拒绝指示可以占用1位的字节,且对基站可见,使基站可以根据NAS拒绝指示判断初始上下文建立请求消息中携带的NAS信令为NAS拒绝信令。
另外,步骤S120中,根据第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文的步骤包括:
保存第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥;
向移动终端下发RRC安全模式建立指示;
接收移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文。
通过上述的步骤,基站与移动终端之间建立RRC安全上下文。
本发明实施例的另一方面,移动终端向MME设备发送NAS请求,MME设备拒绝所述NAS请求时向基站发送第一NAS拒绝信令,其中移动终端向MME设备所发送的NAS请求可以为接入(Attach)请求消息,或者为跟踪区更新(TAU)请求消息。
本发明实施例一所述安全保护方法,通过上述的过程对4G安全性进行增强,提供一种针对4G网络NAS拒绝信令的安全保护机制,MME设备需要向基站发送NAS拒绝信令,基站根据所接收的NAS拒绝信令建立RRC安全上下文,从而防止用户被吸入4G伪基站后被重定到2G伪基站。
实施例二
本发明实施例二所述非接入层NAS拒绝信令的安全保护方法,应用于移动终端,参阅图2所示,所述方法包括:
S210,向MME设备发送NAS请求后,接收一NAS拒绝信令;
S220,判断是否存在已建立的无线资源控制RRC安全上下文;
S230,当不存在所述RRC安全上下文时,生成连接异常信息。
进一步地,在步骤S230之后,所述方法还包括:
当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
采用上述方式,形成针对4G网络NAS拒绝信令的安全保护机制,当移动终端收到NAS拒绝信令之后,需要先判断是否存在已建立的RRC安全上下文,如果没有则判断存在异常,当接收到携带GSM频点的RRC连接释放消息时,拒绝重定向至当前小区之外的另一小区,以防止被吸入4G伪基站后被重定到2G伪基站。
此外,本发明实施例所述方法的另一方面,在步骤S220之后,所述方法还包括:
当存在所述RRC安全上下文,接收到携带GSM频点的RRC连接释放消息时,根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
在步骤S220之后,判断存在RRC安全上下文时,则确定当前为连接正常情况,能够根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
另外,步骤S210中,接收一NAS拒绝信令的步骤之前,所述方法还包括:
向MME设备发送NAS请求,其中所述NAS请求包括接入(Attach)请求消息或者跟踪区更新(TAU)请求消息。
其中,步骤S210中,所接收的NAS拒绝信令为基站或MME设备根据该NAS请求所发送。
本发明实施例二所述安全保护方法,移动终端收到NAS拒绝信令之后,需要先判断是否存在已建立的RRC安全上下文,如果没有则判断存在异常,从而对NAS拒绝信令进行安全保护,防止被吸入4G伪基站后被重定到2G伪基站。
实施例三
本发明实施例三所述非接入层NAS拒绝信令的安全保护方法,应用于移动性管理实体MME设备,其中,如图3所示,所述方法包括:
S310,接收移动终端发送的NAS请求;
S320,根据所述NAS请求,向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令。
上述实施例所述安全保护方法,对4G安全性进行增强,当拒绝移动终端的NAS请求时,MME设备需要向基站发送NAS拒绝信令,使得基站根据所接收的NAS拒绝信令建立RRC安全上下文,从而防止用户被吸入4G伪基站后被重定到2G伪基站。
较佳地,上述步骤S320,向移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令的步骤中:
向所述基站发送初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示所述NAS信令为所述NAS拒绝信令。
具体地,MME设备发送的初始上下文建立请求消息中所携带的NAS拒绝指示可以占用1位的字节,且对基站可见,使基站可以根据NAS拒绝指示判断初始上下文建立请求消息中携带的NAS信令为NAS拒绝信令。
另外,步骤S310,接收移动终端发送的NAS请求的步骤中,所述NAS请求为接入请求消息或者跟踪区更新请求消息。
本发明实施例三所述安全保护方法,当拒绝移动终端的NAS请求时,MME设备需要向基站发送NAS拒绝信令,使得基站根据所接收的NAS拒绝信令建立RRC安全上下文,从而对NAS拒绝信令进行安全保护,实现4G的安全性增强,防止用户被吸入4G伪基站后被重定到2G伪基站。
实施例四
结合图4,当移动终端、基站与MME设备,分别采用本发明实施例所述非接入层NAS拒绝信令的安全保护方法时具体包括如下的步骤:
S410,移动终端通过基站向MME设备发送NAS请求;
S420,MME设备向移动终端对应的基站发送初始上下文建立请求消息,其中该初始上下文建立请求消息中携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示该NAS信令为NAS拒绝信令(如为Attach拒绝信令或者TAU拒绝信令);
S430,基站根据接收初始上下文建立请求消息,根据该初始上下文建立请求消息中的NAS拒绝指示判断所携带的NAS信令为NAS拒绝信令;保存初始上下文建立请求消息内所记录的移动终端安全能力参数和密钥;
S440,向移动终端下发RRC安全模式建立指示;
S450,接收移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文;
S460,向移动终端下发NAS拒绝信令;
S470,移动终端收到NAS拒绝信令,判断是否存在已建立的RRC安全上下文,如果不存在则判断连接出现异常。
采用上述的过程,能够对4G安全进行增强,实现4G网络NAS拒绝信令的安全保护,从而解决基站对NAS信令不进行解析,直接透传,造成用户进入伪基站覆盖范围内时,被强制连接到伪基站设备上,受到伪基站攻击的问题。
实施例五
本发明实施例五提供一种非接入层NAS拒绝信令的安全保护装置,应用于基站,参阅图5,所述装置包括:
信令获取模块,用于获取移动性管理实体MME设备发送的第一NAS拒绝信令;
第一处理模块,用于根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;其中所述移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。
本发明实施例五所述安全保护装置,在MME设备和基站的S1接口上,引入拒绝NAS请求的NAS拒绝信令,基站根据该NAS拒绝信令建立RRC层安全上下文,以对拒绝NAS请求的NAS拒绝信令进行保护,对4G安全进行增强,解决基站对NAS信令不进行解析,直接透传,造成用户进入伪基站覆盖范围内时,被强制连接到伪基站设备上,受到伪基站攻击的问题。
较佳地,结合图5所示,所述装置还包括:
第一信令发送模块,用于向所述移动终端下发第二NAS拒绝信令。
当移动终端接收基站发送的第二NAS拒绝信令之后,判断是否存在已建立的RRC安全上下文,如果没有则判断出现异常,生成连接异常信息,并进一步当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的携带GSM频点的RRC连接释放消息,重定向至当前小区之外的另一小区,以避免被连接至伪基站。
具体地,所述信令获取模块包括:
第一消息接收单元,用于接收所述MME设备发送的初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示;
指示确认单元,用于根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。
具体地,MME设备发送的初始上下文建立请求消息中所携带的NAS拒绝指示可以占用1位的字节,且对基站可见,使基站可以根据NAS拒绝指示判断初始上下文建立请求消息中携带的NAS信令为NAS拒绝信令。
进一步参阅图5,所述第一处理模块包括:
保存单元,用于保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥;
指示发送单元,用于向所述移动终端下发RRC安全模式建立指示;
第二消息接收单元,用于接收所述移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文。
本发明实施例还提供一种基站,其中,包括如上所述的安全保护装置。本领域技术人员应该能够理解包括上述安全保护装置的基站的具体结构,在此不再详细描述。
实施例六
本发明实施例六提供一种非接入层NAS拒绝信令的安全保护装置,应用于移动终端,参阅图6所示,所述装置包括:
拒绝信令接收模块,用于向MME设备发送NAS请求后,接收一NAS拒绝信令;
判断模块,用于判断是否存在已建立的无线资源控制RRC安全上下文;
信息生成模块,用于当不存在所述RRC安全上下文时,生成连接异常信息。
采用本发明实施例所述安全保护装置,当移动终端收到NAS拒绝信令之后,需要先判断是否存在已建立的RRC安全上下文,如果没有则判断存在异常,从而对NAS拒绝信令进行安全保护,防止被吸入4G伪基站后被重定到2G伪基站。
因此,结合图6,所述装置还包括:
第二处理模块,用于当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
另外,所述装置还包括:
第三处理模块,用于当判断存在所述RRC安全上下文,接收到携带GSM频点的RRC连接释放消息时,根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
此外,所述装置还包括:
请求消息发送模块,用于向MME设备发送NAS请求,其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。
本发明实施例所述安全保护装置,当移动终端收到NAS拒绝信令之后,需要先判断是否存在已建立的RRC安全上下文,如果没有则判断存在异常,当接收到携带GSM频点的RRC连接释放消息时,拒绝重定向至当前小区之外的另一小区,以防止被吸入4G伪基站后被重定到2G伪基站。
本发明实施例还提供一种移动终端,包括如上所述的安全保护装置。本领域技术人员应该能够了解包括如上安全保护装置的移动终端,在此不再详细描述。
实施例七
本发明实施例七提供一种非接入层NAS拒绝信令的安全保护装置,应用于移动性管理实体MME设备,如图7所示,所述装置包括:
请求接收模块,用于接收移动终端发送的NAS请求;
第二信令发送模块,用于根据所述NAS请求,向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令。
上述实施例所述安全保护装置,当拒绝移动终端的NAS请求时,MME设备需要向基站发送NAS拒绝信令,使得基站根据所接收的NAS拒绝信令建立RRC安全上下文,从而防止用户被吸入4G伪基站后被重定到2G伪基站。
较佳地,所述第二信令发送模块具体用于:
向所述基站发送初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示所述NAS信令为所述NAS拒绝信令。
另外,所述请求接收模块所接收所述NAS请求为接入请求消息或者跟踪区更新请求消息。
本发明实施例还提供一种移动性管理实体MME设备,包括如上任一项所述的安全保护装置,本领域技术人员应该能够了解包括如上安全保护装置的MME设备,在此不再详细描述。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (15)
1.一种非接入层NAS拒绝信令的安全保护方法,应用于基站,其特征在于,所述方法包括:
接收MME设备发送的初始上下文建立请求消息;所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示;其中移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述初始上下文建立请求消息;所述NAS请求为接入请求消息或者跟踪区更新请求消息;
根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为第一NAS拒绝信令;
根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;
向所述移动终端下发第二NAS拒绝信令。
2.根据权利要求1所述的安全保护方法,其特征在于,所述根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文的步骤包括:
保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥;
向所述移动终端下发RRC安全模式建立指示;
接收所述移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文。
3.一种非接入层NAS拒绝信令的安全保护方法,应用于移动终端,其特征在于,所述方法包括:
向MME设备发送NAS请求后,所述MME设备拒绝所述NAS请求时向所述移动终端对应的基站发送初始上下文建立请求消息,所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示的情况下,所述移动终端与对应的基站之间建立无线资源控制RRC安全上下文;其中,所述基站根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为第一NAS拒绝信令;
在所述基站与所述移动终端之间建立RRC安全上下文之后,所述移动终端接收所述基站发送的第二NAS拒绝信令;
根据所述第二NAS拒绝信令,判断是否存在已建立的无线资源控制RRC安全上下文;
当不存在所述RRC安全上下文时,生成连接异常信息;
其中,所述方法还包括:
向MME设备发送NAS请求,其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。
4.根据权利要求3所述的安全保护方法,其特征在于,所述生成连接异常信息之后,所述方法还包括:
当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
5.根据权利要求3所述的安全保护方法,其特征在于,所述判断是否存在已建立的无线资源控制RRC安全上下文的步骤之后,所述方法还包括:
当判断存在所述RRC安全上下文,接收到携带GSM频点的RRC连接释放消息时,根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
6.一种非接入层NAS拒绝信令的安全保护方法,应用于移动性管理实体MME设备,其特征在于,所述方法包括:
接收移动终端发送的NAS请求;
根据所述NAS请求,向所述移动终端对应的基站发送初始上下文建立请求消息,所述初始上下文建立请求消息携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示所述NAS信令为第一NAS拒绝信令,以使得所述基站根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文,并向所述移动终端下发第二NAS拒绝信令;
所述NAS请求为接入请求消息或者跟踪区更新请求消息。
7.一种非接入层NAS拒绝信令的安全保护装置,应用于基站,其特征在于,所述装置包括信令获取模块、第一处理模块和第一信令发送模块,其中:
所述信令获取模块包括第一消息接收单元和指示确认单元;所述第一消息接收单元,用于接收MME设备发送的初始上下文建立请求消息;其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示;所述指示确认单元,用于根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为第一NAS拒绝信令;
所述第一处理模块,用于根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文;其中所述移动终端向所述MME设备发送NAS请求,所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令;
所述第一信令发送模块,用于向所述移动终端下发第二NAS拒绝信令;
其中,所述NAS请求为接入请求消息或者跟踪区更新请求消息。
8.根据权利要求7所述的安全保护装置,其特征在于,所述第一处理模块包括:
保存单元,用于保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥;
指示发送单元,用于向所述移动终端下发RRC安全模式建立指示;
第二消息接收单元,用于接收所述移动终端反馈的RRC安全模式完成消息,与移动终端之间建立无线资源控制RRC安全上下文。
9.一种非接入层NAS拒绝信令的安全保护装置,应用于移动终端,其特征在于,所述装置包括:
拒绝信令接收模块,用于向MME设备发送NAS请求后,所述MME设备拒绝所述NAS请求时向所述移动终端对应的基站发送初始上下文建立请求消息,所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示的情况下,与对应的基站之间建立无线资源控制RRC安全上下文;以及在所述基站与所述移动终端之间建立RRC安全上下文之后,接收所述基站发送的第二NAS拒绝信令;其中,所述基站根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为第一NAS拒绝信令;
判断模块,用于根据所述第二NAS拒绝信令,判断是否存在已建立的无线资源控制RRC安全上下文;
信息生成模块,用于当不存在所述RRC安全上下文时,生成连接异常信息;
请求消息发送模块,用于向MME设备发送所述NAS请求,其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。
10.根据权利要求9所述的安全保护装置,其特征在于,所述装置还包括:
第二处理模块,用于当接收到携带GSM频点的RRC连接释放消息时,拒绝根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
11.根据权利要求9所述的安全保护装置,其特征在于,所述装置还包括:
第三处理模块,用于当判断存在所述RRC安全上下文,接收到携带GSM频点的RRC连接释放消息时,根据所接收的RRC连接释放消息,重定向至当前小区之外的另一小区。
12.一种非接入层NAS拒绝信令的安全保护装置,应用于移动性管理实体MME设备,其特征在于,所述装置包括:
请求接收模块,用于接收移动终端发送的NAS请求;
第二信令发送模块,用于根据所述NAS请求,向所述移动终端对应的基站发送初始上下文建立请求消息,所述初始上下文建立请求消息携带NAS信令和NAS拒绝指示,通过所述NAS拒绝指示表示所述NAS信令为第一NAS拒绝信令,以使得所述基站根据所述第一NAS拒绝信令,与移动终端之间建立无线资源控制RRC安全上下文,并向所述移动终端下发第二NAS拒绝信令;其中,所述请求接收模块所接收所述NAS请求为接入请求消息或者跟踪区更新请求消息。
13.一种基站,其特征在于,包括如权利要求7至8任一项所述的安全保护装置。
14.一种移动终端,其特征在于,包括如权利要求9至11任一项所述的安全保护装置。
15.一种移动性管理实体MME设备,其特征在于,包括如权利要求12所述的安全保护装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710164866.XA CN108924841B (zh) | 2017-03-20 | 2017-03-20 | 安全保护方法、装置、移动终端、基站和mme设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710164866.XA CN108924841B (zh) | 2017-03-20 | 2017-03-20 | 安全保护方法、装置、移动终端、基站和mme设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108924841A CN108924841A (zh) | 2018-11-30 |
| CN108924841B true CN108924841B (zh) | 2021-11-19 |
Family
ID=64402302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710164866.XA Active CN108924841B (zh) | 2017-03-20 | 2017-03-20 | 安全保护方法、装置、移动终端、基站和mme设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108924841B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101505479A (zh) * | 2009-03-16 | 2009-08-12 | 中兴通讯股份有限公司 | 一种认证过程中安全上下文协商方法和*** |
| CN102187599A (zh) * | 2008-08-15 | 2011-09-14 | 三星电子株式会社 | 在移动通信***中安全保护的非接入层面协议操作支持方法 |
| WO2013066350A1 (en) * | 2011-11-04 | 2013-05-10 | Panasonic Corporation | Apparatus and method for delayed response handling in mobile communication congestion control |
| WO2014047933A1 (en) * | 2012-09-29 | 2014-04-03 | Qualcomm Incorporated | Method and apparatus for rrc message combining |
-
2017
- 2017-03-20 CN CN201710164866.XA patent/CN108924841B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102187599A (zh) * | 2008-08-15 | 2011-09-14 | 三星电子株式会社 | 在移动通信***中安全保护的非接入层面协议操作支持方法 |
| CN101505479A (zh) * | 2009-03-16 | 2009-08-12 | 中兴通讯股份有限公司 | 一种认证过程中安全上下文协商方法和*** |
| WO2013066350A1 (en) * | 2011-11-04 | 2013-05-10 | Panasonic Corporation | Apparatus and method for delayed response handling in mobile communication congestion control |
| WO2014047933A1 (en) * | 2012-09-29 | 2014-04-03 | Qualcomm Incorporated | Method and apparatus for rrc message combining |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108924841A (zh) | 2018-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108353444B (zh) | 用户装置、基站、连接建立方法、以及上下文信息获取方法 | |
| EP2890166B1 (en) | METHOD, USER EQUIPMENT AND REMOTE MANAGEMENT PLATFORM FOR HANDOVER BETWEEN OPERATOR NETWORKs | |
| CN108696872B (zh) | 一种重定向方法及装置 | |
| CN105722090A (zh) | 自动识别伪基站的控制方法和装置 | |
| CN104883217A (zh) | 一种传输卫星报文的方法、***和设备 | |
| US11109222B2 (en) | Information processing method and device, computer-readable storage medium and electronic device | |
| CN108882278B (zh) | 数据链路监测方法、设备、装置以及计算机可读存储介质 | |
| CN108093404B (zh) | 一种信息处理方法及装置 | |
| CN106488456A (zh) | 一种基站注册方法和装置、及移动终端 | |
| CN112369056A (zh) | 可操作以恢复用户设备能力标识的装置和方法 | |
| US10511956B2 (en) | Device association method and related device | |
| CN103413091B (zh) | 恶意行为的监控方法及装置 | |
| EP3200485A1 (en) | All-group calling method, system, related device and computer storage medium | |
| US9338611B2 (en) | Wireless communication apparatus, data distribution apparatus, and data updating method | |
| KR20160043003A (ko) | 호출 서비스의 실현 방법 및 장치, 지시 정보의 송신 방법 및 장치 | |
| CN108924841B (zh) | 安全保护方法、装置、移动终端、基站和mme设备 | |
| CN111565478B (zh) | 伪网络设备识别方法、装置、设备及存储介质 | |
| CN102858026A (zh) | 一种触发特定位置终端的方法、***和终端 | |
| KR101809239B1 (ko) | Apn 변경 장치 및 방법과 apn 변경을 위한 무선 단말 장치 및 이를 실행하기 위한 기록매체 | |
| CN112770107B (zh) | 一种承载的修改方法及相关装置 | |
| TW201446030A (zh) | 動態停用公眾示警系統 | |
| CN112567780B (zh) | 一种伪基站识别方法及装置 | |
| WO2022058017A1 (en) | Early data transmission (edt) for radio access networks with separated cu-cp | |
| CN112738789A (zh) | Sim卡加锁方法、装置、存储介质及电子设备 | |
| JPH09247748A (ja) | 緊急呼制御方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |