WO2012068963A1

WO2012068963A1 - 一种克隆设备的检测方法和装置

Info

Publication number: WO2012068963A1
Application number: PCT/CN2011/082284
Authority: WO
Inventors: 丁馥昊; 朱戈; 周俊超
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-11-25
Filing date: 2011-11-16
Publication date: 2012-05-31
Also published as: CN102098674B; CN102098674A

Abstract

本发明公开了一种克隆设备的检测方法和装置，所述方法包括：鉴权、授权、计费（AAA）服务器接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。本发明解决了在分组域网络中避免非法克隆终端接入网络的问题，使运营商和合法终端用户及时发现被非法克隆的设备，采取合适的处理方案，减少经济上的损失。与先有技术相比，本发明不需要增加额外设备，不需要修改接入服务器和终端，对***的影响最小，实现成本和难度都很低。

Description

一种克隆设备的检测方法和装置

技术领域

本发明涉及通信领域的分组域***，尤其涉及一种克隆设备的检测方法和装置。

背景技术

在分组域***中，一般都釆用鉴权、授权和计费（AAA )服务器作为用户认证中心，来实现对接入分组网络的用户或设备进行认证和授权。为了防止用户账号和密码被盗用，通常将用户的账号与终端设备标识在 AAA服务器中进行绑定，来达到保护用户安全的目的。例如在 CDMA ( Code Division Multiple Access , 码分多址）分组网络中，釆用将用户账户与用户的 IMSI ( International Mobile Subscriber Identification Number, 国际移动用户 i只另 ll码 ) 号码在 AAA服务器中实现绑定方式；在 WiMAX***中还加入了公钥基础设施（ Public Key Infrastructure, 缩写 PKI )架构，釆用 χ.509证书与终端设备的 MAC ( Media Access Control, 媒体接入控制）地址绑定的方式，实现对设备合法性的认证。但是当终端设备标识连同用户账户密码被盗用之后，不法分子可以使用获得信息克隆出与被盗终端设备信息完全一致的设备，用于非法接入网络，对于接入网络服务器和 AAA服务器来说，无法区分哪个终端设备是合法用户；如果将合法用户和非法用户都接入到网络中后，非法用户使用网络发生的费用都会记到合法用户上，给运营商和合法用户都带来了经济上的损失。

虽然在分组网络的接入服务器上，可以实现克隆终端的检测功能，保证一个设备标识只能允许一个用户接入，同时发现相同终端设备试图发起多个接入会话时可以识别出所述终端设备可能被克隆，发起告警或其他方式通知运营商或用户。但当克隆设备从不同接入服务器接入时，接入服务器就无能为力了，因为多个接入服务器间无法共享终端会话信息。发明内容本发明要解决的技术问题是提供了一种克隆设备的检测方法和装置，避免了一个账户由多个终端设备同时接入网络的情况，减少了运营商和合法终端用户经济上的损失。

为解决上述技术问题，本发明提供了一种克隆设备的检测方法，所述方法包括：鉴权、授权、计费（AAA )服务器接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。

可选的，所述方法还包括：所述 AAA服务器保存已接入网络的终端的会话信息，所述会话信息包含所述已接入网络的终端的设备标识信息。

可选的，所述方法还包括：所述 AAA服务器检测到克隆设备后，发送告警信息给所述终端和与所述终端具备相同设备标识信息的终端；和 /或，发送告警信息给运营商。

可选的，所述方法还包括：当发现存在克隆设备后，所述 AAA服务器执行如下操作之一：

允许所述终端接入 ,强制与所述终端具有相同设备标识信息的终端下线；或者，允许所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；

或者，拒绝所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；

或者，拒绝所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；

或者，允许所述终端接入，告知所述终端所属的接入服务器和与所述终端具有相同设备标识信息的终端所属的接入服务器检测到克隆设备，由所述接入服务器处理。

可选的，所述 AAA服务器是在允许所述终端接入网络前，或在所述终端接入网络后，检测是否存在克隆设备。

本发明还提供了一种克隆设备的检测装置，位于鉴权、授权、计费（AAA ) 服务器上，其中，所述检测装置设置为：接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。

可选的，所述检测装置还设置为保存已接入网络的终端的会话信息，所述会话信息包含所述已接入网络的终端的设备标识信息。

可选的，所述检测装置还设置为：检测到克隆设备后，发送告警信息给所述终端和与所述终端具备相同标识信息的终端；和 /或，发送告警信息给运营商。

可选的，所述检测装置还设置为当发现存在克隆设备后，执行如下操作之一：

或者，允许所述终端接入，告知所述终端和与所述终端具有相同设备标识信息的终端所属的接入服务器检测到克隆设备，由所述接入服务器处理。

可选的，所述检测装置是设置为在允许所述终端接入网络前，或在所述终端接入网络后，检测是否存在克隆设备。

本发明解决了在分组域网络中避免非法克隆终端接入网络的问题，使运营商和合法终端用户及时发现被非法克隆的设备，釆取合适的处理方案，减少经济上的损失。与现有技术相比，不需要增加额外设备，不需要修改接入服务器和终端，对***的影响最小，实现成本和难度都很低。附图概述

图 1为本发明实施方式釆用的装置结构图；图 2为本发明实施方式实现的克隆设备检测流程图；

图 3为本发明实施方式的第一种策略在 CDMA***中实现克隆设备检测功能的流程图；

图 4为本发明实施方式的第一种策略在 WiMAX***中实现克隆设备检测功能的流程图。

本发明的较佳实施方式

下文中将结合附图对本发明的实施方式进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

本发明实施方式提供了一种克隆设备的检测方法，所述方法包括：鉴权、授权、计费（AAA )服务器接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。

所述方法还可包括：所述 AAA服务器保存已接入网络的终端的会话信息，所述会话信息包含所述已接入网络的终端的设备标识信息。所述 AAA服务器检测到克隆设备后，发送告警信息给所述终端和与所述终端具备相同设备标识信息的终端；和 /或，发送告警信息给运营商。当发现存在克隆设备后，所述 AAA服务器执行如下操作之一：允许所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；或者，允许所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；或者，拒绝所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；或者，拒绝所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；或者，允许所述终端接入，告知所述终端所属的接入服务器和与所述终端具有相同设备标识信息的终端所属的接入服务器检测到克隆设备，由所述接入服务器处理。其中，所述 AAA服务器在允许所述终端接入网络前，或在所述终端接入网络后，检测是否存在克隆设备。

如图 2所示，本发明实施方式实现的克隆设备检测流程图，具体描述如下：

( 201 )终端 1向接入服务器 1发起接入请求，接入服务器 1收到后发送接入请求消息给 AAA服务器， AAA服务器允许终端 1接入，并保存会话信息，会话信息中至少包括设备标识信息和接入服务器标识信息；

( 202 )终端 2向接入服务器 2发起接入请求，接入服务器 2收到后发送接入请求消息给 AAA服务器；

( 203 ) AAA服务器根据接入请求中携带的设备标识信息作为条件在

AAA服务器保存的会话信息中查询是否已经有相同设备标识信息的终端通过接入服务器接入的会话存在；

( 204 )若有，则认为此设备标识信息对应的终端设备被克隆，执行克隆设备处理流程；

( 205 )若没有，认为此设备标识信息对应的终端为正常设备，允许终端

2用户接入，并保存会话信息。

其中，在本发明另一实施例中，步骤（203 )之前， AAA服务器接收到接入请求消息后，允许终端 2用户接入，并保存会话信息，然后再执行步骤 ( 203 ) , 进行克隆设备检测。

本发明实施方式在实现克隆设备检测的基础上，还提供了相应的处理策略，具体描述如下：步骤 1 : 终端 1向接入服务器 1发起接入请求；

步骤 2: 接入服务器 1收到接入请求消息后，确定为终端 1进行鉴权，发送接入请求消息给 AAA服务器；

步骤 3: AAA服务器收到接入请求消息后对终端 1进行合法性的认证，根据接入请求中的携带的设备标识信息作为条件在 AAA服务器保存的会话信息中查询是否已经有相同设备信息的终端通过入服务器接入的会话存在；若没有，给接入服务器 1返回接入响应消息，并保存会话信息，会话信息中至少包括设备标识信息和接入服务器标识信息；

步骤 4: 接入服务器 1根据 AAA服务器发送的接入响应消息，允许终端

1接入分组网络使用分组业务；

步骤 5: 终端 2向接入服务器 2发起接入请求；

步骤 6: 接入服务器 2收到接入请求消息后，确定为终端 2进行鉴权，发送接入请求消息给 AAA服务器；

步骤 7: AAA服务器对终端 2进行合法性认证，根据接入请求中的携带的设备标识信息作为条件在 AAA服务器保存的会话信息中查询是否已经有相同设备标识信息的终端通过入服务器接入的会话存在；若检测到终端 1的设备标识信息与终端 2的设备标识信息相同，且终端 1 已经接入网络并正在使用分组业务，则表示终端 1和终端 2之间存在克隆设备，可以釆用下面五种策略之一进行处理：

第一种策略，允许终端 2接入，强制终端 1下线；

步骤 8A： AAA服务器给接入服务器 2返回接入响应消息，同时向接入服务器 1发送强制终端 1下线的请求，且 AAA服务器触发克隆终端告警信息，通知运营商及时处理；

步骤 9A: 接入服务器 2根据 AAA服务器发送的接入响应消息，允许终端 2接入网络，使用分组业务；

步骤 10A: 与此同时，接入服务器 1收到 AAA的强制终端 1下线请求，强制终端 1下线，此时终端 1异常下线，会引起用户警惕，也会及时通知运营商协同处理。

第二种策略，拒绝终端 2接入，保持终端 1会话；

步骤 8B: AAA服务器拒绝终端 2接入，给接入服务器 2返回拒绝消息，同时， AAA触发克隆终端告警信息，通知运营商及时处理。

第三种策略，拒绝终端 2接入，强制终端 1下线；

步骤 8C: AAA服务器拒绝终端 2接入，给接入服务器 2返回拒绝消息，同时，向接入服务器 1发送强制终端 1下线的请求，且 AAA服务器触发克隆终端告警信息，通知运营商及时处理；

步骤 9C: 与此同时，接入服务器 1收到 AAA服务器的强制终端 1下线请求，强制终端 1下线，此时终端 1异常下线，会引起用户警惕，也会及时通知运营商协同处理。第四种策略，允许终端 2接入，保持终端 1会话；

步骤 8D: AAA服务器给接入服务器 2返回接入响应消息，同时， AAA 服务器触发克隆终端告警信息，通知运营商及时处理；

步骤 9D: 接入服务器 2根据 AAA服务器发送的接入响应消息，允许终端 2接入分组网络，使用分组业务。

第五种策略，允许终端 2接入，保持终端 1会话，通知接入服务器 1和接入服务器 2发现克隆设备，由接入服务器 1和接入服务器 2处理。接入服务器 1可以继续保持终端 1的会话，也可以强制终端 1下线；接入服务器 2 可以保持终端 2的会话，也可以强制终端 2下线。

以下实施例以 CDMA和 WiMAX***为例 ,但不限于 CDMA和 WiMAX ***，所有釆用鉴权、授权及计费 AAA服务器实现接入鉴权功能的***，都可应用本发明所提供的方法实现克隆设备检测的功能。

图 3为按本发明实施方式的第一种策略在 CDMA***中实现克隆设备检测功能的流程图，此实施例中， AAA服务器返回给分组数据服务节点 PDSN 接入响应后，立即触发强制终端下线请求。其步骤具体描述如下：

步骤 301 : 移动终端 MT1与分组数据服务节点 PDSN1之间进行链路控制协议（ Link Control Protocol , 简称 LCP )及鉴权过程的协商；

步骤 302: 分组数据服务节点 PDSN1将接入请求消息发送给 AAA服务哭口.？

步骤 303： AAA服务器将接入响应消息发给分组数据服务节点 PDSN1 , 包含移动终端 MT1使用 CDMA分组网络的授权信息，并记录移动终端 MT1 的会话信息，包括分组数据服务节点 PDSN1 的标识、分组数据服务节点 PDSN1的 IP地址、 MT1的终端标识国际移动用户识别码 IMSI ( International Mobile Subscriber Identification Number )等；

步骤 304: 移动终端 MT1与分组数据服务节点 PDSN1之间进行 IP控制协议（ IP Control Protocol,简称 IPCP )阶段的协商，分组数据服务节点 PDSNl 将分配的 IP地址信息发送给移动终端 MT1 ;

步骤 305:移动终端 MT2与分组数据服务节点 PDSN2之间进行 LCP( Link Control Protocol: 链路控制协议）及鉴权过程的协商；

步骤 306: 分组数据服务节点 PDSN2将接入请求消息发送给 AAA服务哭.

口？

步骤 307: AAA服务器将接入响应消息发给分组数据服务节点 PDSN2, 包含移动终端 MT2使用 CDMA分组网络的授权信息，并记录移动终端 MT2 的会话信息，包括分组数据服务节点 PDSN2 的标识、分组数据服务节点 PDSN2的 IP地址、 MT2的终端标识国际移动用户识别码 IMSI等；

步骤 308: 移动终端 MT2与分组数据服务节点 PDSN2之间进行 IP控制协议（ IP Control Protocol,简称 IPCP )阶段的协商 ,分组数据服务节点 PDSN2 将分配的 IP地址信息发送给移动终端 MT2;

步骤 309: AAA服务器检测到移动终端 MT1与移动终端 MT2具有相同的 IMSI, 则触发强制移动终端 MT1下线请求 Disconnect Message, 发送给分组数据服务节点 PDSN1 , 根据记录的移动终端 MT1 的会话信息，下线请求消息中至少包括：分组数据服务节点 PDSN1的标识、移动终端 MT1的 IMSI 等；

步骤 310: AAA服务器触发克隆终端告警，告警信息中包括移动终端 MT1的 IMSI、分组数据服务节点 PDSN1的标识和 IP地址、分组数据服务节点 PDSN2的标识和 IP地址等；

步骤 311 : 移动终端 MT1结束数据业务，退出 CDMA分组网络。

图 4为按本发明实施方式的第一种策略在 WiMAX***中实现克隆设备检测功能的流程图，此实施例 AAA服务器返回给接入服务网关 ASN-GW接入响应后，立即触发强制终端下线请求。其步骤具体描述如下：

步骤 401 : WiMAX终端 UE1通过无线接口经由 WiMAX的基站 BS(Base Station)向接入服务网关 ASN-GW1请求接入网络；步骤 402:接入服务网关 ASN-GW1将接入请求消息发送给 AAA服务器；步骤 403： AAA服务器将接入响应消息发给接入服务网关 ASN-GW1 , 包含 WiMAX终端 UE1使用 WiMAX网络的授权信息 , 并记录 WiMAX终端 UE1 的会话信息，包括接入服务网关 ASN-GW1 的标识、接入服务网关 ASN-GW1的 IP地址、 UE1的终端标识 MAC ( Media Access Control )地址、 UE1终端接入用户名等；

步骤 404: 接入服务网关 ASN-GW1向 WiMAX终端 UE1响应认证成功消息，根据授权信息会话，允许 WiMAX终端 UE1使用 WiMAX网络；

步骤 405: WiMAX终端 UE2通过无线接口经由 WiMAX的基站 BS向接入服务网关 ASN-GW2请求接入网络；

步骤 406:接入服务网关 ASN-GW2将接入请求消息发送给 AAA服务器；步骤 407: AAA服务器将接入响应消息发给接入服务网关 ASN-GW2, 包含 WiMAX终端 UE2使用 WiMAX网络的授权信息 , 并记录 WiMAX终端 UE2 的会话信息，包括接入服务网关 ASN-GW2 的标识、接入服务网关 ASN-GW2的 IP地址、 UE2的终端标识 MAC地址、 UE2终端接入用户名等；步骤 408: 接入服务网关 ASN-GW2向 WiMAX终端 UE2响应认证成功消息，根据授权信息会话，允许 WiMAX终端 UE2使用 WiMAX网络；

步骤 409: AAA服务器检测到 WiMAX终端 UE1与 WiMAX终端 UE2 具有相同的 MAC地址，则触发强制 WiMAX终端 UE1下线请求 Disconnect Message, 发送给分组服务网关 ASN-GW1 , 根据记录的 WiMAX终端 UE1 的会话信息，下线请求消息中至少包括：分组服务网关 ASN-GW1 的标识、 WiMAX终端 UE1的 MAC地址等；

步骤 410: AAA服务器触发克隆终端告警，告警信息包括 WiMAX终端 UE1的 MAC地址、分组服务网关 ASN-GW1的标识和 IP地址、分组服务网关 ASN-GW2的标识和 IP地址、 WiMAX终端 UE1接入时使用的用户名、 WiMAX终端 UE2接入时使用的用户名等；

步骤 411 : WiMAX终端 UE1结束数据业务，退出 WiMAX网络。本发明实施方式还提供了一种克隆设备的检测装置，位于鉴权、授权、计费（AAA )服务器上，其中，所述检测装置，设置为接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。

所述检测装置还可设置为保存已接入网络的终端的会话信息，所述会话信息包含所述已接入网络的终端的设备标识信息。所述检测装置还用于检测到克隆设备后，发送告警信息给所述终端和与所述终端具备相同设备标识信息的终端；和 /或，发送告警信息给运营商。

所述检测装置还可设置为当发现存在克隆设备后，执行如下操作之一：允许所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；或者，允许所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；或者，拒绝所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；或者，拒绝所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；或者，允许所述终端接入，告知所述终端所属的接入服务器和与所述终端具有相同设备标识信息的终端所属的接入服务器检测到克隆设备，由所述接入服务器处理。

所述检测装置可以设置为在允许所述终端接入网络前，或在所述终端接入网络后，检测是否存在克隆设备。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上实施例仅用以说明本发明的技术方案而非限制，仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。工业实用性

上述方案在对已有***改动及影响最小的情况下实现了克隆设备检测的功能，在用户接入认证时识别是否存在克隆设备的可能，给出告警并进行相应的处理，提醒运营商和终端用户设备被克隆，从而达到尽可能检测到克隆设备的目的。

Claims

权利要求书

1、一种克隆设备的检测方法，其包括：

鉴权、授权、计费（AAA )服务器接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。

2、如权利要求 1所述的方法，其还包括：所述 AAA服务器保存已接入网络的终端的会话信息，所述会话信息包含所述已接入网络的终端的设备标识信息。

3、如权利要求 1所述的方法，其还包括：所述 AAA服务器检测到克隆设备后，发送告警信息给所述终端和与所述终端具备相同设备标识信息的终端；和 /或，发送告警信息给运营商。

4、如权利要求 1所述的方法，其还包括：当发现存在克隆设备后，所述 AAA服务器执行如下操作之一：

允许所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；或者，允许所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；

5、如权利要求 1所述的方法，其中，所述 AAA服务器是在允许所述终端接入网络前，或在所述终端接入网络后，检测是否存在克隆设备。

6、一种克隆设备的检测装置，位于鉴权、授权、计费（AAA )服务器上，其设置为：接收到终端的接入请求时，如果检测到已存在与所述终端的设备标识信息相同的终端的会话，则表示存在克隆设备。

7、如权利要求 6所述的装置，其还设置为：保存已接入网络的终端的会话信息，所述会话信息包含所述已接入网络的终端的设备标识信息。

8、如权利要求 6所述的装置，其还设置为：检测到克隆设备后，发送告警信息给所述终端和与所述终端具备相同设备标识信息的终端；和 /或，发送告警信息给运营商。

9、如权利要求 6所述的装置，其还设置为当发现存在克隆设备后，执行如下操作之一：允许所述终端接入，强制与所述终端具有相同设备标识信息的终端下线；或者，允许所述终端接入，保持与所述终端具有相同设备标识信息的终端的会话；

10、如权利要求 6所述的装置，其是设置为在允许所述终端接入网络前，或在所述终端接入网络后，检测是否存在克隆设备。