CN111030964A - 一种响应Detach指令的方法和设备 - Google Patents
一种响应Detach指令的方法和设备 Download PDFInfo
- Publication number
- CN111030964A CN111030964A CN201811173162.XA CN201811173162A CN111030964A CN 111030964 A CN111030964 A CN 111030964A CN 201811173162 A CN201811173162 A CN 201811173162A CN 111030964 A CN111030964 A CN 111030964A
- Authority
- CN
- China
- Prior art keywords
- network element
- terminal
- detach
- sent
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种响应Detach指令的方法和设备,用以解决核心网无法有效防御Detach攻击的问题。本发明实施例首先用于提供呼叫服务的第一网元将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;然后所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端;所述第一网元将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;最后所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。此方法在终端发送Detach指令后,通过增加鉴权步骤,有效防御了Detach攻击,提高安全性。
Description
技术领域
本发明涉及电路域核心网安全技术领域,特别涉及一种响应Detach指令的方法和设备。
背景技术
近年来,随着传统GSM(全球移动通信***Global System for MobileCommunication)移动通信***各项技术趋于成熟,针对GSM***的攻击报道和事件日益增多,在这些大量的相关报道中常提及的其中一种威胁即为Detach (分离)攻击。
Detach攻击主要指仿冒用户身份的黑客通过向网络侧发送Detach指令,从而使指定用户的业务状态变为不可用状态,在Detach攻击发生时,监控设备或是防御设备可能还未发现任何异常,指定用户的业务状态就已经变为不可用状态。一旦指定用户收到了Detach攻击,则有可能会向指定用户周围亲属进行诈骗,造成其巨大的经济损失和风险,因此预防Detach攻击愈发的重要。
其中,Detach攻击的实现原理为:终端通过SIM与网络侧建立无线信道,终端在该信道上发送Detach指令,因GSM机制目前无法对Detach攻击进行预防,因此终端在该信道上发送Detach指令后,网络侧不会对发送Detach指令的终端进行身份识别,而是网络侧在收到终端发送的Detach指令后,直接将 Detach指令中指定用户在网络侧中的Attach(附着)状态修改为Detach状态,从而使指定用户的业务状态变为不可用状态。
目前针对Detach攻击问题,有方案提出:利用在终端入网时,通过对分配给终端的TMSI(Temporary Mobile Subscriber Identity,临时移动用户标识)进行签名,将该签名与分配给终端的TMSI一起在入网时传送给终端,来防止Detach攻击。但该方法网络改造难度大,终端厂家和型号多,难以实现,综上所述,目前核心网没有有效防御Detach攻击的方法。
发明内容
本发明实施例提供一种响应Detach指令的方法和设备,用以解决核心网无法有效防御Detach攻击的问题。
第一方面,本发明实施例提供的一种响应Detach指令的方法包括:
首先用于提供呼叫服务的第一网元将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;然后所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端;所述第一网元将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;最后所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
上述方法,第一网元将收到的终端发送的Detach指令中携带的终端标识发送给第二网元,并将第二网元发送的鉴权参数发送给终端进行鉴权,再将终端发的鉴权请求响应消息发送给第二网元进行校验,第一网元根据校验结果确定是否执行Detach指令。使得第一网元在收到终端发送的Detach指令后,通过增加鉴权步骤,确定第一网元接收到的Detach指令是否是真实用户上报的指令,若发送Detach指令的用户无法通过鉴权,则第一网元确定收到的Detach 指令并非真实用户发送的,因此,第一网元对接收到的无法通过鉴权的用户发送的Detach指令,不进行执行Detach操作,有效的防止了仿冒身份的用户通过向第一网元发送Detach指令,而对指定用于造成的Detach攻击,提高安全性。
在一种可能的实现方式中,若校验结果为通过,则所述第一网元向所述第二网元发送Detach指令;或若校验结果为不通过,则所述第一网元不向所述第二网元发送Detach指令。
上述方法,第一网元根据第二网元发送的校验结果是否为通过从而第一网元确定是否向第二网元发送执行Detach指令,有效的阻止了Detach攻击。
在一种可能的实现方式中,所述第一网元确定在设定时长内接收到所述终端发送的鉴权请求响应消息。
上述方法,第一网元设定一个固定的接收鉴权请求响应消息的时长,从而判断第一网元接收到终端发送的鉴权请求响应消息的时长是否在固定时长内,由此决定后续操作步骤。
在一种可能的实现方式中,若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则所述第一网元终止针对所述终端的Detach操作。
上述方法,第一网元若在设定时长内没有接收到终端发送的鉴权请求响应消息,第一网元终止Detach操作,从而减少了接收鉴权请求响应消息中过多等待时间,减少***开销。
第二方面,本发明实施例提供的一种响应Detach指令的方法包括:
首先用于存储信息的第二网元在接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;然后所述第二网元对所述终端通过所述第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;最后所述第二网元在收到所述第一网元发送的Detach指令后,对所述终端执行Detach操作。
上述方法,在终端发送Detach指令后,增加了鉴权步骤,第一网元将收到的Detach指令中携带的终端标识发送给第二网元,并将第二网元发送的鉴权参数发送给终端进行鉴权,再将终端发的鉴权请求响应消息发送给第二网元进行校验,由此根据校验结果确定是否执行Detach指令,因此,通过增加鉴权步骤,有效的解决了Detach攻击的问题。
第三方面,本发明实施例提供的一种响应Detach指令的方法包括:
首先终端向用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;然后所述终端根据接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;最后所述终端将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的 Detach指令。
上述方法,在终端发送Detach指令后,增加了鉴权步骤,第一网元将收到的Detach指令中携带的终端标识发送给第二网元,并将第二网元发送的鉴权参数发送给终端进行鉴权,再将终端发的鉴权请求响应消息发送给第二网元进行校验,由此根据校验结果确定是否执行Detach指令,因此,通过增加鉴权步骤,有效的解决了Detach攻击的问题。
第四方面,本发明实施例提供一种响应Detach指令的设备,包括:处理器以及收发机:
所述处理器,用于通过收发机将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;通过收发机将接收到的所述第二网元发送的鉴权参数发送给所述终端;通过收发机将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
第五方面,本发明实施例提供一种响应Detach指令的设备,包括:处理器以及收发机:
所述处理器,用于在通过收发机接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;对所述终端通过收发机向第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;在收到所述第一网元通过收发机发送的 Detach指令后,对所述终端执行Detach操作。
第六方面,本发明实施例提供一种响应Detach指令的设备,包括:处理器以及收发机:
所述处理器,用于通过收发机向用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;根据收发机接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;通过收发机将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的Detach指令。
第七方面,本发明实施例还提供了一种响应Detach指令的设备,该设备包括:
至少一个处理网元以及至少一个存储网元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行上述第一方面的各实施例的功能。
第八方面,本发明实施例还提供了一种响应Detach指令的设备,该设备包括:
至少一个处理网元以及至少一个存储网元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行上述第二方面的各实施例的功能。
第九方面,本发明实施例还提供了一种响应Detach指令的设备,该设备包括:
至少一个处理网元以及至少一个存储网元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行上述第三方面的各实施例的功能。
第十方面,一种计算机可存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述方法的步骤。
第十一方面,本申请还提供一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面至第三方面任一所述方法的步骤。
另外,第四方面至第九方面中任一一种实现方式所带来的技术效果可参见第一方面至第三方面中不同实现方式所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明实施例的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一种响应Detach指令的***结构示意图;
图2为本发明实施例一种响应Detach指令的设备交互示意图;
图3为本发明实施例第一种响应Detach指令的设备结构示意图;
图4为本发明实施例第二种响应Detach指令的设备结构示意图;
图5为本发明实施例第三种响应Detach指令的设备结构示意图;
图6为本发明实施例第四种响应Detach指令的设备结构示意图;
图7为本发明实施例第五种响应Detach指令的设备结构示意图;
图8为本发明实施例第六种响应Detach指令的设备结构示意图;
图9为本发明实施例第一种响应Detach指令的方法示意图;
图10为本发明实施例第二种响应Detach指令的方法示意图;
图11为本发明实施例第三种响应Detach指令的方法示意图;
图12为本发明实施例一种响应Detach指令的方法流程示意图。
具体实施方式
为了使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施例作进一步地详细描述,显然,所描述的实施例仅仅是本发明实施例一部份实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明实施例保护的范围。
下面对文中出现的一些词语进行解释:
(1)本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
(2)“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如, A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
(3)本发明实施例所指的“终端”是指能够支持该鉴权的方法的终端。
(4)本发明实施例所指的“IMSI(International Mobile SubscriberIdentification Number,国际移动用户标识)”是区别移动用户的标志,储存在 SIM卡中,可用于区别移动用户的有效信息。
(5)本发明实施例所指的“TMSI”是采用TMSI来临时代替IMSI的目的为了加强***的保密性,防止非法个人或团体通过监听无线路径上的信令窃取 IMSI或跟踪用户的位置。
如图1所示,本发明实施例提供一种响应Detach指令的***,该***包括:
提供呼叫服务的第一网元100,用于将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;将接收到的所述第二网元发送的鉴权参数发送给所述终端;将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令;
存储信息的第二网元101,用于在接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端;对所述终端通过所述第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;在收到所述第一网元发送的Detach指令后,对所述终端执行Detach操作;
终端102,用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;根据接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证。
本发明实施例中,在第一网元收到终端发送的Detach指令及指令中携带的终端标识后,发送给第二网元,第二网元将确定的鉴权参数发送给第一网元,第一网元将鉴权参数发送给终端进行鉴权,并将终端发送给的鉴权请求响发送给第二网元,第二网元对收到的鉴权请求响应消息进行校验并将校验结果发送给第一网元,第一网元根据校验结果确定是否执行Detach指令。本发明实施例中第一网元在收到终端发送的Detach指令后,通过增加鉴权步骤,确定第一网元接收到的Detach指令是否是真实用户上报的指令,若发送Detach指令的用户无法通过鉴权,则第一网元确定收到的Detach指令并非真实用户发送的,因此,第一网元对接收到的无法通过鉴权的用户发送的Detach指令,不进行执行 Detach操作,有效的防止了仿冒身份的用户通过向第一网元发送Detach指令,而对指定用于造成的Detach攻击,提高了安全性。
本发明实施例中当终端向第一网元发送Detach指令,且第一网元在接收到Detach指令时,增加对终端鉴权的步骤,来校验该Detach指令是否为真实用户上报指令,以防止对终端的恶意攻击行为。
具体的,终端向第一网元发送Detach指令,且所述Detach指令中携带终端标识。
其中,所述终端标识可以用不同信息进行表示,且所述终端标识可以是一个信息,也可以是多个信息的组合,例如:
表示信息1:电话号码。
所述电话号码指发送Detach指令的终端中SIM卡绑定的电话号码,即终端发送Detach指令时,所携带的终端标识是电话号码。
表示信息2:移动用户识别码。
其中,所述移动用户识别码包括两种,一种为IMSI,一种为TMSI,即终端发送Detach指令时,所携带的终端标识是移动用户识别码,且所述移动用户识别码可能是IMSI,也可能是TMSI。
表示信息3:电话号码+移动用户识别码。
即终端发送Detach指令时,所携带的终端标识是电话号码与移动用户识别码的信息组合。
所述第一网元收到终端发送的Detach指令后,获取所述Detach指令中携带的终端标识。
其中,所述第一网元对获取的所述终端标识进行判断,根据判断结果,后续执行步骤也不尽相同,下面列举几种。
判断结果1:第一网元获取的终端标识中有IMSI,则所述第一网元再确定终端标识中有IMSI后,直接向第二网元发送Detach指令。
因第一网元获取到的终端标识中有IMSI,因此第一网元可以确认该Detach 指令为真实用户上报指令,由此第一网元在确定收到的Detach指令为真实用户上报指令后,直接向第二网元发送执行Detach指令。
而第二网元在收到第一网元的指令为执行Detach指令后,对Detach指令中的终端标识对应的终端执行Detach操作。
判断结果2:第一网元获取的终端标识中没有IMSI,则所述第一网元再确定终端标识中没有IMSI后,将获取到的所述终端标识发送给第二网元。
第二网元在收到第一网元的指令为获取鉴权参数的指令后,如表1所示,第二网元根据终端标识与鉴权参数的绑定关系,确定第一网元发送的获取鉴权参数指令中携带的终端标识对应的鉴权参数,第二网元将确定的鉴权参数发送给第一网元。
其中,第二网元中终端标识与鉴权参数的绑定关系可以如下表所示:
表1终端标识与鉴权参数的绑定关系
其中,第一网元接收第二网元发送的鉴权参数,并将鉴权参数发送给所述终端。
所述终端在接收到第一网元发送的鉴权信息后,确定鉴权请求响应消息。
其中,本发明实施例中终端可根据如下方式确定鉴权请求响应消息。
终端在接收到第一网元发送的鉴权信息后,结合终端SIM卡与运营商之间加密数据传递的密钥ki,经过鉴权***中的鉴权算法A3,从而计算出鉴权请求响应消息。
其中,终端在确定鉴权请求响应消息后,将所述鉴权请求响应消息发送给第一网元。
其中,第一网元若在确定的设定时长内接收到所述终端发送的鉴权请求响应消息,则第一网元将收到的鉴权请求响应消息发送给第二网元。
比如,第一网元确定的设定时长为2S,所述第一网元在将鉴权消息发送给所述终端后,在2S内收到的所述终端发送的鉴权请求信息,则所述第一网元接收所述终端发送的鉴权请求响应消息,并将所述鉴权请求响应消息发送给所述第二网元。
其中,所述第二网元在收到所述第一网元发送的鉴权请求响应消息1后,如表2所示根据第二网元中终端标识与鉴权请求响应消息的绑定关系,确定第二网元中所述终端标识对应的鉴权请求响应消息2。
| 终端标识 | 鉴权请求响应消息 |
| 460-00-4777770001 | a6:f8:d7:d2 |
| 460-00-4256670001 | af:97:d9:a1 |
| 460-00-2537000701 | e2:cb:f8:17 |
表2终端标识与鉴权请求响应消息的绑定关系
第二网元将接收到的第一网元发送的鉴权请求响应消息1与第二网元中根据所述终端标识确定的鉴权请求响应消息2进行校验,判断鉴权请求响应消息 1是否与鉴权请求响应消息2一致。
第二网元将校验结果发送给第一网元,所述第一网元判断收到的第二网元发送的校验结果是否为一致,若校验结果为不一致,则第一网元终止Detach指令;若校验结果为一致,则第一网元向所述第二网元发送Detach指令。
第一网元若在确定的设定时长内没有接收到所述终端发送的鉴权请求响应消息,则终止针对所述终端的Detach操作。
比如,第一网元确定的设定时长为2S,所述第一网元在将鉴权消息发送给所述终端后,在2S内并没有收到的所述终端发送的鉴权请求响应信息,则所述第一网元终止针对所述终端的Detach操作。
通过上述方法,第一网元设定一个固定的接收鉴权请求响应消息的时长,从而判断第一网元在确定时长内是否接收到终端发送的鉴权请求响应消息,若第一网元若在设定时长内没有接收到终端发送的鉴权请求响应消息,第一网元终止Detach操作,从而减少了第一网元等待终端发送鉴权请求响应消息的时间。
下面结合说明书附图对本发明实施例中一种响应Detach指令的方法做进一步详细描述,其中,本发明实施例中的第一网元可以是MSC(移动交换中心,mobile switchingcenter)网元,第二网元可以是VLR(Visitor Location Register,拜访位置寄存器)网元,鉴权参数可以是RAND(Random Number,随机数) 参数,鉴权请求响应消息可以是SRES(SignResponse,符号响应)消息。
其中,进行鉴权的过程示意图如图2所示,选取终端标识中不含有IMSI,且鉴权通过的情况进行各个步骤的说明:
步骤1:终端向MSC网元发送Detach指令,指令中携带终端标识。
步骤2:MSC网元接收Detach指令,获取指令中携带终端标识。
步骤3:MSC网元将终端标识发送给VLR网元。
步骤4:VLR网元根据终端标识与RAND参数的绑定关系,确定收到的终端标识对应的RAND参数。
步骤5:VLR网元将确定的RAND参数发送给MSC网元。
步骤6:MSC网元将收到的RAND参数发送给终端。
步骤7:终端根据收到的RAND参数确定SRES消息。
步骤8:终端将SRES消息发送给MSC网元。
步骤9:MSC网元将收到的SRES消息发送给VLR网元。
步骤10:VLR网元对收到的SRES消息进行校验。
步骤11:VLR网元将校验结果发送给MSC网元。
步骤12:MSC网元确定收到的校验结果为校验通过结果。
步骤13:MSC网元向VLR网元发送执行Detach指令。
步骤14:VLR网元收到MSC网元发送的Detach指令后,执行Detach指令。
在一些可能的实施方式中,本发明实施例提供的对一种响应Detach指令的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序代码在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书中描述的根据本发明各种示例性实施方式的进行鉴权的方法中的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
根据本发明的实施方式的用于数据转发控制的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在服务器设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被信息传输、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由周期网络动作***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++ 等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网 (WAN)—连接到用户计算设备,或者,可以连接到外部计算设备。
如图3所示,本发明实施例提供一种响应Detach指令的设备,包括:处理器300以及收发机301:
所述处理器300,用于通过收发机将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;通过收发机将接收到的所述第二网元发送的鉴权参数发送给所述终端;通过收发机将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
可选的,所述处理器300具体用于:
若校验结果为通过,则通过收发机向所述第二网元发送Detach指令;或,
若校验结果为不通过,则不向所述第二网元发送Detach指令。
可选的,所述处理器300具体用于:
确定在设定时长内接收到所述终端发送的鉴权请求响应消息。
可选的,所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端之后,所述处理器300具体用于:
若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则终止针对所述终端的Detach操作。
如图4所示,本发明提供一种响应Detach指令的设备,该设备包括:
至少一个处理网元400以及至少一个存储单401元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行下列过程:
将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;将接收到的所述第二网元发送的鉴权参数发送给所述终端;将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
可选的,所述处理网元400具体用于:
若校验结果为通过,则向所述第二网元发送Detach指令;或,
若校验结果为不通过,则不向所述第二网元发送Detach指令。
可选的,所述处理网元400还用于:
确定在设定时长内接收到所述终端发送的鉴权请求响应消息。
可选的,所述处理网元400还用于:
若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则终止针对所述终端的Detach操作。
如图5所示,本发明实施例提供一种响应Detach指令的设备,包括:处理器500以及收发机501:
所述处理器:用于在通过收发机接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;对所述终端通过收发机向第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;在收到所述第一网元通过收发机发送的 Detach指令后,对所述终端执行Detach操作。
如图6所示,本发明提供一种响应Detach指令的设备,该设备包括:
至少一个处理网元600以及至少一个存储单601元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行下列过程:
在接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;对所述终端通过所述第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;在收到所述第一网元发送的Detach指令后,对所述终端执行Detach操作。
如图7所示,本发明实施例提供一种响应Detach指令的设备,包括:处理器700以及收发机701:
所述处理器:用于通过收发机向用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;根据收发机接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;通过收发机将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的Detach指令。
如图8所示,本发明提供一种响应Detach指令的设备,该设备包括:
至少一个处理网元800以及至少一个存储单801元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行下列过程:
向用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;根据接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的Detach指令。
本发明实施例还提供一种非易失性可读存储介质,包括程序代码,当所述程序代码在计算设备上运行时,所述程序代码用于使所述计算设备执行鉴权的方法的步骤。
基于同一发明构思,本发明实施例中还提供了一种响应Detach指令的方法,由于该方法对应的设备是本发明实施例响应Detach指令的设备,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见***的实施,重复之处不再赘述。
如图9所示,本发明实施例提供的一种响应Detach指令的方法,具体包括以下步骤:
步骤900、用于提供呼叫服务的第一网元将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;
步骤901、所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端;
步骤902、所述第一网元将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;
步骤903、所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
可选的,所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令,包括:
若校验结果为通过,则所述第一网元向所述第二网元发送Detach指令;或,
若校验结果为不通过,则所述第一网元不向所述第二网元发送Detach指令。
可选的,所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端之后,将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验之前,还包括:
所述第一网元确定在设定时长内接收到所述终端发送的鉴权请求响应消息。
可选的,所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端之后,还包括:
若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则所述第一网元终止针对所述终端的Detach操作。
基于同一发明构思,本发明实施例中还提供了一种响应Detach指令的方法,由于该方法对应的设备是本发明实施例响应Detach指令的设备,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见***的实施,重复之处不再赘述。
如图10所示,本发明实施例还提供一种响应Detach指令的方法,该方法包括:
步骤1000、用于存储信息的第二网元在接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;
步骤1001、所述第二网元对所述终端通过所述第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;
步骤1002、所述第二网元在收到所述第一网元发送的Detach指令后,对所述终端执行Detach操作。
基于同一发明构思,本发明实施例中还提供了一种响应Detach指令的方法,由于该方法对应的设备是本发明实施例响应Detach指令的设备,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见***的实施,重复之处不再赘述。
如图11所示,本发明实施例还提供一种响应Detach指令的方法,该方法包括:
步骤1100、终端向用于提供呼叫服务的第一网元发送包含终端标识的 Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;
步骤1101、所述终端根据接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;
步骤1102、所述终端将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的Detach指令。
上述本申请提供的实施例中,从终端以及基站作为执行主体的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,终端以及基站可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
如图12所示,本发明实施例提供的一种响应Detach指令的方法,具体包括以下步骤:
步骤1200、终端向用于提供呼叫服务的第一网元发送包含终端标识的 Detach指令;
步骤1201、第一网元将接收到的终端发送的Detach指令;
步骤1202、第一网元将接收到的终端发送的Detach指令中的终端标识发送给第二网元;
步骤1203、第二网元在接收到第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数发送给第一网元;
步骤1204、第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端;
步骤1205、终端根据接收到的第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;
步骤1206、所述终端将所述鉴权请求响应消息发送给第一网元;
步骤1207、第一网元确定是否在设定时长内接收到终端发送的鉴权请求响应消息,若是,执行步骤1208,若否执行步骤1209;
步骤1208、第一网元将所述终端发送的鉴权请求响应消息发送给第二网元进行校验;
步骤1209、若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则第一网元终止针对所述终端的Detach操作。
步骤1210、第二网元对第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给第一网元。
步骤1211、第一网元接收第二网元发送的校验结果,并确定所述校验结果是否为通过,若是,执行步骤1212,若否,执行步骤1213。
步骤1212、第一网元向所述第二网元发送Detach指令。
步骤1213、第一网元终止针对所述终端的Detach操作。
步骤1214、第二网元在收到第一网元发送的Detach指令后,对所述终端执行Detach操作。
以上参照示出根据本申请实施例的方法、装置(***)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行***来使用或结合指令执行***而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行***、装置或设备使用,或结合指令执行***、装置或设备使用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种响应Detach指令的方法,其特征在于,该方法包括:
用于提供呼叫服务的第一网元将接收到的终端发送的分离Detach指令中的终端标识发送给用于存储信息的第二网元;
所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端;
所述第一网元将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;
所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
2.如权利要求1所述的方法,其特征在于,所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令,包括:
若校验结果为通过,则所述第一网元向所述第二网元发送Detach指令;或
若校验结果为不通过,则所述第一网元不向所述第二网元发送Detach指令。
3.如权利要求1所述的方法,其特征在于,所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端之后,将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验之前,还包括:
所述第一网元确定在设定时长内接收到所述终端发送的鉴权请求响应消息。
4.如权利要求3所述的方法,其特征在于,所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端之后,还包括:
若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则所述第一网元终止针对所述终端的Detach操作。
5.一种响应Detach指令的方法,其特征在于,该方法包括:
用于存储信息的第二网元在接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;
所述第二网元对所述终端通过所述第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;
所述第二网元在收到所述第一网元发送的Detach指令后,对所述终端执行Detach操作。
6.一种响应Detach指令的方法,其特征在于,该方法包括:
终端向用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;
所述终端根据接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;
所述终端将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的Detach指令。
7.一种响应Detach指令的设备,其特征在于,包括:处理器以及收发机:
所述处理器,用于通过收发机将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元;通过收发机将接收到的所述第二网元发送的鉴权参数发送给所述终端;通过收发机将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验;根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。
8.如权利要求7所述的设备,其特征在于,所述处理器具体用于:
若校验结果为通过,则通过收发机向所述第二网元发送Detach指令;或
若校验结果为不通过,则不向所述第二网元发送Detach指令。
9.如权利要求7所述的设备,其特征在于,所述处理器还用于:
确定在设定时长内接收到所述终端发送的鉴权请求响应消息。
10.如权利要求9所述的设备,其特征在于,所述处理器还用于:
若在设定时长内未接收到所述终端发送的鉴权请求响应消息,则终止针对所述终端的Detach操作。
11.一种响应Detach指令的设备,其特征在于,包括:处理器以及收发机:
所述处理器,用于在通过收发机接收到用于提供呼叫服务的第一网元发送的终端标识后,将与所述终端标识绑定的鉴权参数通过所述第一网元发送给终端,其中所述终端标识是所述第一网元收到的来自终端的Detach指令中的终端标识;对所述终端通过收发机向第一网元发送的鉴权请求响应消息进行校验,并将校验结果发送给所述第一网元;在收到所述第一网元通过收发机发送的Detach指令后,对所述终端执行Detach操作。
12.一种响应Detach指令的设备,其特征在于,包括:处理器以及收发机:
所述处理器,用于通过收发机向用于提供呼叫服务的第一网元发送包含终端标识的Detach指令,以使所述第一网元将所述终端标识发送给用于存储信息的第二网元;根据收发机接收到所述第二网元通过所述第一网元发送的与所述终端标识绑定的鉴权参数,确定鉴权请求响应消息;通过收发机将所述鉴权请求响应消息通过所述第一网元发送给所述第二网元进行验证,以使所述第一网元根据校验结果确定是否向所述第二网元发送执行针对所述终端Detach操作的Detach指令。
13.一种响应Detach指令的设备,其特征在于,该设备包括:至少一个处理网元以及至少一个存储网元,其中,所述存储网元存储有程序代码,当所述程序代码被所述处理网元执行时,使得所述处理网元执行权利要求1~4任一所述方法的步骤或权利要求5或权利要求6所述方法的步骤。
14.一种计算机可存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~4任一所述方法的步骤或权利要求5所述方法的步骤或权利要求6所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811173162.XA CN111030964A (zh) | 2018-10-09 | 2018-10-09 | 一种响应Detach指令的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811173162.XA CN111030964A (zh) | 2018-10-09 | 2018-10-09 | 一种响应Detach指令的方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111030964A true CN111030964A (zh) | 2020-04-17 |
Family
ID=70190556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811173162.XA Pending CN111030964A (zh) | 2018-10-09 | 2018-10-09 | 一种响应Detach指令的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111030964A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060073811A1 (en) * | 1998-07-07 | 2006-04-06 | Nokia Networks Oy | System and method for authentication in a mobile communications system |
| CN101400054A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 保护用户终端的隐私的方法、***和设备 |
| CN101873567A (zh) * | 2009-04-27 | 2010-10-27 | 华为终端有限公司 | 一种移动终端去附着的方法、***和装置 |
| EP2403283A1 (en) * | 2004-04-26 | 2012-01-04 | Nokia Corporation | Improved subscriber authentication for unlicensed mobile access signaling |
| CN104822146A (zh) * | 2009-04-27 | 2015-08-05 | 皇家Kpn公司 | 管理网络中不期望的服务请求 |
| CN107509197A (zh) * | 2017-08-24 | 2017-12-22 | 青岛海信移动通信技术股份有限公司 | 非法小区识别方法及终端 |
| CN108076461A (zh) * | 2016-11-18 | 2018-05-25 | 华为技术有限公司 | 一种鉴权方法、基站、用户设备和核心网网元 |
| CN108123917A (zh) * | 2016-11-29 | 2018-06-05 | ***通信有限公司研究院 | 一种物联网终端的认证凭证更新的方法及设备 |
-
2018
- 2018-10-09 CN CN201811173162.XA patent/CN111030964A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060073811A1 (en) * | 1998-07-07 | 2006-04-06 | Nokia Networks Oy | System and method for authentication in a mobile communications system |
| EP2403283A1 (en) * | 2004-04-26 | 2012-01-04 | Nokia Corporation | Improved subscriber authentication for unlicensed mobile access signaling |
| CN101400054A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 保护用户终端的隐私的方法、***和设备 |
| CN101873567A (zh) * | 2009-04-27 | 2010-10-27 | 华为终端有限公司 | 一种移动终端去附着的方法、***和装置 |
| CN104822146A (zh) * | 2009-04-27 | 2015-08-05 | 皇家Kpn公司 | 管理网络中不期望的服务请求 |
| CN108076461A (zh) * | 2016-11-18 | 2018-05-25 | 华为技术有限公司 | 一种鉴权方法、基站、用户设备和核心网网元 |
| CN108123917A (zh) * | 2016-11-29 | 2018-06-05 | ***通信有限公司研究院 | 一种物联网终端的认证凭证更新的方法及设备 |
| CN107509197A (zh) * | 2017-08-24 | 2017-12-22 | 青岛海信移动通信技术股份有限公司 | 非法小区识别方法及终端 |
Non-Patent Citations (3)
| Title |
|---|
| A JAJSZCZYK: "《A Guide to the wireless engineering body of knowledge》", 31 December 2012 * |
| 啜钢,王文博,常永宁,全庆一: "《移动通信原理与***》", 28 February 2015 * |
| 罗海军: "基于位置更新信令数据的伪基站侦测研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113167B (zh) | 一种智能终端的信息保护方法、***以及可读存储介质 | |
| US11963004B2 (en) | Detection of a rerouting of a communication channel of a telecommunication device connected to an NFC circuit | |
| US10231124B2 (en) | Anti-theft method and client for a mobile terminal | |
| CN109345245B (zh) | 基于区块链的短信验证方法、设备、网络及存储介质 | |
| CN106850209A (zh) | 一种身份认证方法及装置 | |
| US9185561B2 (en) | Protection against rerouting in an NFC circuit communication channel | |
| US20130059567A1 (en) | Protection of a communication channel between a security module and an nfc circuit | |
| CN104199654A (zh) | 开放平台的调用方法及装置 | |
| EP3384629A1 (en) | System and method for tamper-resistant device usage metering | |
| JP2019510316A (ja) | アカウントリンキング及びサービス処理提供の方法及びデバイス | |
| CN107623907B (zh) | eSIM卡锁网方法、终端及锁网认证服务器 | |
| CN104767713A (zh) | 账号绑定的方法、服务器及*** | |
| CN109743306B (zh) | 一种账号安全性评估方法、***、设备及介质 | |
| CN206993151U (zh) | 网络信令安全验证*** | |
| CN105873045B (zh) | 软sim卡的安全保护方法、装置、***及终端 | |
| CN103441989B (zh) | 一种鉴权、信息处理方法及装置 | |
| CN104918244A (zh) | 一种终端及终端通信方法 | |
| CN111030964A (zh) | 一种响应Detach指令的方法和设备 | |
| CN106899482A (zh) | 防止过号的处理方法及装置 | |
| CN111328073B (zh) | 一种七号信令风险防御方法及装置 | |
| CN106156650A (zh) | 数据保护***及方法 | |
| CN106327187B (zh) | 信息处理方法及装置 | |
| CN110830465B (zh) | 一种访问UKey的安全防护方法、服务器和客户端 | |
| CN110234106B (zh) | 检测vlr是否验证被叫终端的识别响应的方法及装置 | |
| KR101331575B1 (ko) | 전화인증 우회 해킹 차단 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200417 |