检测中间人攻击的方法与装置与流程

文档序号：15569179发布日期：2018-09-29 04:03阅读：217来源：国知局

本发明涉及通讯领域，尤其涉及一种检测中间人攻击的方法与装置。

背景技术：

随着信息化的快速发展和网络资源的日益丰富，有限的空口带宽使得主基站(masterenb，简称：menb)的服务能力已无法满足用户的需求，并且，昂贵的基站建设成本和无线的高频率也增加了基站室内覆盖的难度。所以，为了提高用户面数据的吞吐量，通过将低成本的辅基站(secondaryenb，简称：senb)与menb联合组网，由senb分担menb的部分流量，可以解决上述问题，其中，主基站为宏基站(marcoenb/cell)，辅基站为小基站(smallcell),小基站包含picocell/enb,femtocell/enb，可以称为微基站或毫基站。

用户终端(userequipment，简称：ue)同时和menb、senb保持双向连接(dualconnectivity)，ue与menb之间进行空口控制面信令交互，ue与menb、senb之间同时传输用户面数据，由于ue与senb之间的用户面数据仅通过加密处理进行保护，因此，ue与senb之间可能存在中间人攻击(man-in-the-middleattack，简称：中间人攻击)，使得ue与senb之间交互的用户数据有被插入、篡改、转发的风险，导致用户业务被盗用、合法监听变得不可靠等后果。

在现有通信网络中，ue通过对ue与enb之间承载的发送和接收包的计数值(pdcpcount，其中pdcp:packetdataconvergenceprotocol,分组数据汇聚层)进行识别后上报至enb，进而使得enb检测是否存在中间人攻击。具体过程为：enb向ue发送计数检测(countercheck)消息，在计数检查请求消息中携带着ue与enb之间承载所有承载对应的多个第一pdcp计数值；ue分别比较每个第一pdcp计数值和已存储的每条承载的第二pdcp计数值是否相同；如果所有承载的每个第一pdcp计数值与第二pdcp计数值全部相同，则ue向enb发送检查响应消息，且该检查响应消息不携带任何pdcp计数值；如果不同，则ue向enb发送检查响应消息，且该检查响应消息携带不同的第二pdcp计数值；enb对检查响应消息进行校验处理，如果检查响应消息未携带任何pdcp计数值，则检测流程结束，enb确定与ue之间未存在中间人攻击；如果检查响应消息携带不同的第二pdcp计数值，则enb确定与ue之间存在中间人攻击，从而enb向移动性管理实体(mobilitymanagemententity，简称：mme)或者操作维护服务器(operation&maintenanceserver，简称：o&m)发送通知消息，mme或者o&m进行后续的处理，可能释放ue与enb之间的承载。

从上可知，对ue和enb之间是否存在中间人攻击是通过空口控制面信令交互进行检测的，而在ue与menb、senb保持双连接的场景下，senb和ue之间并没有空口控制面信令进行交互，使得senb在此场景下，无法检测senb和ue之间是否有中间人进行攻击。

技术实现要素：

本发明实施例提供了一种检测中间人攻击的方法与装置，可以在ue与menb、senb保持双连接的场景下,检测senb与ue是否被中间人攻击。

在第一方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

宏基站menb接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值；

所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,所述第二标识信息是与所述演进随机接入承载erab对应的无线数据承载drb；

所述menb接收所述用户终端根据所述第二检查请求消息生成的第一检查响应消息，所述第一检查响应消息包括所述第二标识信息和所述第二数据包计数值；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，所述menb判定所述senb与所述用户终端之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，所述menb判定所述senb与所述用户终端之间存在中间人攻击。

结合第一方面，在第一种可能的实现方式中，所述第一检查请求消息还包括所述senb的标识；

所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于使得所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，具体包括：

所述menb根据所述第一标识信息和所述senb的标识生成第二检查请求消息，并向用户终端发送第二检查请求消息，以使得所述用户终端根据所述第二检查请求消息获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述第一检查请求消息包括至少两个所述第一标识信息和对应的所述第一数据包计数值，所述第一检查响应消息包括至少两个所述第二标识信息和对应的所述第二数据包计数值；

所述当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，所述menb判定所述senb与所述用户终端之间存在中间人攻击，具体包括：

当至少一个所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值不相同时，所述menb判定所述senb与所述用户终端之间存在中间人攻击；

所述当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，所述menb判定所述senb与所述用户终端之间未存在中间人攻击，具体包括：

当所有的所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值都相同时，所述menb判定所述senb与所述用户终端之间未存在中间人攻击。

结合第一方面或第一方面的第一种、第二种可能的实现方式，在第三种可能的实现方式中，所述menb判定所述senb与所述用户终端之间未存在中间人攻击之后还包括：

所述menb向所述senb发送第二检查响应消息，所述第二检查响应消息中包含第二指示信息，所述第二指示信息用于指示所述senb与所述ue之间未存在中间人攻击。

结合第一方面或第一方面的第一种、第二种、第三种可能的实现方式，在第四种可能的实现方式中，所述menb判定所述senb与所述用户终端之间存在中间人攻击之后还包括：

所述menb向移动性管理实体mme或操作维护服务器o&m发送异常报告。

结合第一方面或第一方面的第一种、第二种、第三种、第四种可能的实现方式，在第五种可能的实现方式中，所述menb判定所述senb与所述用户终端之间存在中间人攻击之后还包括：

所述menb向所述senb发送第三响应检查消息，所述第三响应检查消息中包含第三指示信息，所述第三指示信息用于指示所述senb与所述用户终端之间存在中间人攻击。

在第二方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息；

所述senb接收所述menb发送的所述检查响应消息；

当所述检查响应消息为第二检查响应消息时，所述第二检查响应消息包含第二指示信息，所述senb根据所述第二指示信息确定所述senb与所述用户终端之间未存在中间人攻击；

当所述检查响应消息为第三检查响应消息时，所述第三检查响应消息包含第三指示信息，所述senb根据所述第三指示信息确定所述senb与所述用户终端之间存在中间人攻击，并采取预设措施进行处理。

结合第二方面，在第二方面的第一种可能的实现方式中，所述第一检查请求消息中还包括所述senb的标识；

所述辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，具体包括：

所述辅基站senb向所述menb发送第一检查请求消息，所述第一检查请求消息包括所述senb的标识、所述erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息和所述senb的标识生成第二检查请求消息，并向所述用户终端发送第二检查请求消息。

在第三方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

用户终端接收所述menb发送的第二检查请求消息，所述第二检查请求消息中包括演进随机接入承载erab的第一标识信息对应的第二标识信息，所述第二标识信息是与所述erab对应的无线数据承载drb；

所述用户终端获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值；

所述用户终端将所述第二标识信息以及所述第二标识信息对应的第二数据包计数值发送到所述menb，以使得所述menb根据第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击。

在第四方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

所述menb根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同,所述第二标识信息是与所述erab对应的无线数据承载drb；

所述menb接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，以使得所述senb根据所述响应消息进行处理。

结合第四方面，在第四方面的第一种可能的实现方式中，所述第一检查请求消息还包括所述senb的标识；

所述menb根据所述senb的标识、所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同。

结合第四方面或者第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述menb接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，以使得所述senb根据所述响应消息进行处理之后还包括：

当所述menb接收到所述senb发送的异常报告时，所述menb向移动性管理实体mme或操作维护服务器o&m发送异常报告。

在第五方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息包含第一指示信息，所述第一指示信息用于指示所述menb向用户终端发送第二检查请求消息；

所述senb接收所述menb发送的检查响应消息；

所述senb根据所述检查响应消息确定是否存在中间人攻击；

当确定存在所述中间人攻击时，所述senb采取预设措施进行处理并向所述menb发送异常报告。

在第六方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

用户终端接收宏基站menb发送的第二检查请求消息，所述第二检查请求消息包括演进随机接入承载erab的第一标识信息对应的第二标识信息和所述第一标识信息对应的第一数据包计数值，所述第二标识信息是与所述erab对应的无线数据承载drb；

所述用户终端获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值；

所述用户终端根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述用户终端之间是否存在中间人攻击；

所述用户终端根据所述判定的结果生成检查响应消息，并将所述检查响应消息发送到所述menb。

结合第六方面，在第六方面的第一种可能的实现方式中，所述用户终端根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述用户终端之间是否存在中间人攻击，具体包括：

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，所述用户终端判定所述senb与所述用户终端之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，所述用户终端判定所述senb与所述用户终端之间存在中间人攻击。

在第七方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

宏基站menb接收辅基站senb发送的第一检查请求消息；

所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

所述menb接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，所述响应消息中包括所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述senb根据所述第一数据包计数值判定是否存在中间人攻击。

结合第七方面，在第七方面的第一种可能的实现方式中，所述第一检查请求消息还包括所述senb的标识；

所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值，包括：

所述menb根据所述senb的标识和所述第一检查请求消息生成第二检查请求消息，并向所述用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值。

结合第七方面或第七方面的第一种可能的实现方式，在第七方面的第二种可能的实现方式中，所述menb接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb之后还包括：

当所述menb接收到所述senb发送的异常报告时，所述menb向移动性管理实体mme或操作维护服务器o&m发送所述异常报告。

在第八方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息用于使所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送所述第二检查请求消息；

所述senb接收所述menb发送的检查响应消息，所述检查响应消息中包含无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

所述senb根据所述第一标识信息，获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，所述第二标识信息为与所述drb对应的演进随机接入承载erab；

所述senb根据所述第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击；

当判定存在所述中间人攻击时，所述senb采取预设措施进行处理并向所述menb发送异常报告。

结合第八方面，在第八方面的第一种可能的实现方式中，所述senb根据所述第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击，具体包括：

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，所述senb判定所述senb与所述用户终端之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，所述senb判定所述senb与所述用户终端之间存在中间人攻击。

在第九方面，本发明实施例提供了一种检测中间人攻击的方法，所述方法包括：

用户终端接收宏基站menb发送的第二检查请求消息；

所述用户终端根据所述第二检查请求消息获取无线数据承载drb的第一标识信息以及所述第一标识信息对应的第一数据包计数值；

所述用户终端向所述menb发送检查响应消息，所述检查响应消息中包含所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述menb将所述检查响应消息发送给辅基站senb，并使得所述senb根据所述第一数据包计数值判定所述senb与所述用户终端之间是否存在中间人攻击。

在第十方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

接收单元，用于接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值；

发送单元，用于根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,所述第二标识信息是与所述演进随机接入承载erab对应的无线数据承载drb；

所述接收单元，还用于接收所述用户终端根据所述第二检查请求消息生成的第一检查响应消息，所述第一检查响应消息包括所述第二标识信息和所述第二数据包计数值；

判定单元，用于当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述用户终端之间未存在中间人攻击；当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述用户终端之间存在中间人攻击。

结合第十方面，在第十方面的第一种实现方式中，所述接收单元接收的所述第一检查请求消息还包括所述senb的标识；

所述发送单元，还用于根据所述第一标识信息和所述senb的标识生成第二检查请求消息，并向用户终端发送第二检查请求消息，以使得所述用户终端根据所述第二检查请求消息获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值。

结合第十方面或第十方面的第一种可能的实现方式，在第二种可能的实现方式中，所述接收单元接收的所述第一检查请求消息包括至少两个所述第一标识信息和对应的所述第一数据包计数值，所述接收单元接收的所述第一检查响应消息包括至少两个所述第二标识信息和对应的所述第二数据包计数值；

所述判定单元具体用于，当至少一个所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值不相同时，判定所述senb与所述用户终端之间存在中间人攻击；

所述判定单元具体用于，当所有的所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值都相同时，判定所述senb与所述用户终端之间未存在中间人攻击。

结合第十方面或第十方面的第一种、第二种可能的实现方式，在第三种可能的实现方式中，所述发送单元，还用于向所述senb发送第二检查响应消息，所述第二检查响应消息中包含第二指示信息，所述第二指示信息用于指示所述senb与所述ue之间未存在中间人攻击。

结合第十方面或第十方面的第一种、第二种、第三种可能的实现方式，在第四种可能的实现方式中，所述发送单元，还用于向移动性管理实体mme或操作维护服务器o&m发送异常报告。

结合第十方面或第十方面的第一种、第二种、第三种、第四种可能的实现方式，在第十方面的第五种可能的实现方式中，所述发送单元，还用于向所述senb发送第三响应检查消息，所述第三响应检查消息中包含第三指示信息，所述第三指示信息用于指示所述senb与所述用户终端之间存在中间人攻击。

在第十一方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

发送单元，用于向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息；

接收单元，用于接收所述menb发送的所述检查响应消息；

确定单元，用于当所述检查响应消息为第二检查响应消息时，所述第二检查响应消息包含第二指示信息，所述senb根据所第二指示信息确定所述senb与所述用户终端之间未存在中间人攻击；当所述检查响应消息为第三检查响应消息时，所述第三检查响应消息包含第三指示信息，所述senb根据所述第三指示信息确定所述senb与所述用户终端之间存在中间人攻击，并采取预设措施进行处理。

结合第十一方面，在第十一方面的第一种可能的实现方式中，所述发送单元发送的所述第一检查请求消息中还包括所述senb的标识；

所述发送单元具体用于，向所述menb发送第一检查请求消息，所述第一检查请求消息包括所述装置的标识、所述erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息和所述装置的标识生成第二检查请求消息，并向所述用户终端发送第二检查请求消息。

在第十二方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

接收单元，用于接收所述menb发送的第二检查请求消息，所述第二检查请求消息中包括演进随机接入承载erab的第一标识信息对应的第二标识信息，所述第二标识信息是与所述erab对应的无线数据承载drb；

获取单元，用于获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值；

发送单元，用于将所述第二标识信息以及所述第二标识信息对应的第二数据包计数值发送到所述menb，以使得所述menb根据第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击。

在第十三方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

发送单元，用于根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同,所述第二标识信息是与所述erab对应的无线数据承载drb；

所述接收单元还用于，接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，以使得所述senb根据所述响应消息进行处理。

结合第十三方面，在第十三方面的第一种可能的实现方式中，所述接收单元接收的所述第一检查请求消息还包括所述senb的标识；

所述发送单元具体用于，根据所述senb的标识、所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同。

结合第十三方面或第十三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述发送单元还用于，当所述接收单元接收到所述senb发送的异常报告时，向移动性管理实体mme或操作维护服务器o&m发送异常报告。

在第十四方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

发送单元，用于向宏基站menb发送第一检查请求消息，所述第一检查请求消息包含第一指示信息，所述第一指示信息用于指示所述menb向用户终端发送第二检查请求消息；

接收单元，用于接收所述menb发送的检查响应消息；

确定单元，用于根据所述检查响应消息确定是否存在中间人攻击；

所述发送单元还用于，当所述确定单元确定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

在第十五方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

接收单元，用于接收宏基站menb发送的第二检查请求消息，所述第二检查请求消息包括演进随机接入承载erab的第一标识信息对应的第二标识信息和所述第一标识信息对应的第一数据包计数值，所述第二标识信息是与所述erab对应的无线数据承载drb；

获取单元，用于获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值；

判定单元，用于根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述装置之间是否存在中间人攻击；

发送单元，用于根据所述判定单元判定的结果生成检查响应消息，并将所述检查响应消息发送到所述menb。

结合第十五方面，在第十五方面的第一种可能的实现方式中，当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述装置之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述装置之间存在中间人攻击。

在第十六方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

接收单元，用于接收辅基站senb发送的第一检查请求消息；

发送单元，用于根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

所述接收单元还用于，接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，所述响应消息中包括所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述senb根据所述第一数据包计数值判定是否存在中间人攻击。

结合第十六方面，在第十六方面的第一种可能的实现方式中，所述接收单元接收的所述第一检查请求消息还包括所述senb的标识；

所述发送单元具体用于，根据所述senb的标识和所述第一检查请求消息生成第二检查请求消息，并向所述用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值。

结合第十六方面或第十六方面的第一种可能的实现方式，在第二种肯恩改的实现方式中，所述发送单元还用于，当所述接收单元接收到所述senb发送的异常报告时，向移动性管理实体mme或操作维护服务器o&m发送所述异常报告。

在第十七方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

发送单元，用于向宏基站menb发送第一检查请求消息，所述第一检查请求消息用于使所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送所述第二检查请求消息；

接收单元，用于接收所述menb发送的检查响应消息，所述检查响应消息中包含无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

获取单元，用于根据所述第一标识信息，获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，所述第二标识信息为与所述drb对应的演进随机接入承载erab；

判定单元，用于根据所述第一数据包计数值和所述第二数据包判定是否存在中间人攻击；

所述发送单元还用于，当所述判定单元判定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

结合第十七方面，在第十七方面的第一种可能的实现方式中，所述判定单元具体用于，

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述装置与所述用户终端之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述装置与所述用户终端之间存在中间人攻击。

在第十八方面，本发明实施例提供了一种检测中间人攻击的装置，所述装置包括：

接收单元，用于接收宏基站menb发送的第二检查请求消息；

获取单元，用于根据所述第二检查请求消息获取无线数据承载drb的第一标识信息以及所述第一标识信息对应的第一数据包计数值；

发送单元，用于向所述menb发送检查响应消息，所述检查响应消息中包含所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述menb将所述检查响应消息发送给辅基站senb，并使得所述senb根据所述第一数据包计数值判定所述senb与所述装置之间是否存在中间人攻击。

因此，通过应用本发明实施例提供的检测中间人攻击的方法与装置，senb发起中间人攻击检测，menb接收senb发送的包括senb与ue之间承载的第一数据包计数值，并根据senb发送的第一数据包计数值要求ue上报自身与senb之间承载第二数据包计数值；当第一数据包计数值与第二数据包计数值相同时，menb确定senb与用户终端之间未存在中间人攻击，并告知senb。从而能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。

附图说明

图1为本发明实施例一提供的检测中间人攻击的方法流程图；

图2为本发明实施例二提供的检测中间人攻击的方法流程图；

图3为本发明实施例三提供的检测中间人攻击的方法流程图；

图4为本发明实施例提供的检测中间人攻击的信令图；

图5为本发明实施例四提供的检测中间人攻击的方法流程图；

图6为本发明实施例五提供的检测中间人攻击的方法流程图；

图7为本发明实施例六提供的检测中间人攻击的方法流程图；

图8为本发明实施例提供的检测中间人攻击的信令图；

图9为本发明实施例七提供的检测中间人攻击的方法流程图；

图10为本发明实施例八提供的检测中间人攻击的方法流程图；

图11为本发明实施例九提供的检测中间人攻击的方法流程图；

图12为本发明实施例提供的检测中间人攻击的信令图；

图13为本发明实施例十提供的检测中间人攻击的装置结构示意图；

图14为本发明实施例十一提供的检测中间人攻击的装置结构示意图；

图15为本发明实施例十二提供的检测中间人攻击的装置结构示意图；

图16为本发明实施例十三提供的检测中间人攻击的装置结构示意图；

图17为本发明实施例十四提供的检测中间人攻击的装置结构示意图；

图18为本发明实施例十五提供的检测中间人攻击的装置结构示意图；

图19为本发明实施例十六提供的检测中间人攻击的装置结构示意图；

图20为本发明实施例十七提供的检测中间人攻击的装置结构示意图；

图21为本发明实施例十八提供的检测中间人攻击的装置结构示意图；

图22为本发明实施例十九提供的检测中间人攻击的装置硬件结构示意图

图23为本发明实施例二十提供的检测中间人攻击的装置硬件结构示意图

图24为本发明实施例二十一提供的检测中间人攻击的装置硬件结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

实施例一

下面以图1为例详细说明本发明实施例一提供的检测中间人攻击的方法，图1为本发明实施例一提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为宏基站menb。如图1所示，该实施例具体包括以下步骤：

步骤110、宏基站menb接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值。

具体地，senb启动对senb与ue之间的承载的检测，senb向menb发送第一检查请求消息，所述第一检查请求消息包括senb与ue之间的演进随机接入承载(evolvedrandomaccessbearer简称：erab)的第一标识信息和第一标识信息对应的第一数据包计数值。

menb接收第一检查请求消息。

所述第一数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数。

可以理解的是，在senb与ue之间具有多条承载，每条承载具有1个第一标识信息。在本发明实施例中，在第一检查请求消息中可包含了至少1个与某一条承载对应的第一标识信息和至少1个与第一标识信息所对应的第一数据包计数值。

步骤120、所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，所述第二标识信息是与所述演进随机接入承载erab对应的无线数据承载drb。

具体地，menb接收到第一检查请求消息后，确定senb启动对senb与用户终端ue之间的承载的检测，menb从第一检查请求消息中获取第一标识信息和第一数据包计数值。

menb将第一数据包计数值存储在本地，根据第一标识信息生成第二检查请求消息，所述第二检查请求消息包含第一指示信息，该第一指示信息用于指示ue获取与第一标识信息匹配的ue与senb之间的数据无线承载(dataradiobearer，简称：drb)的第二标识信息和第二标识信息对应的第二数据包计数值。

所述第二数据包计数值反映的是ue统计的senb与ue之间承载的发送和接收数据包的计数。

需要说明的是，由于在步骤110中，在第一检查请求消息中可包含了至少两个某一条承载的第一标识信息和至少两个所对应的第一数据包计数值，因此，ue在获取第二标识信息和第二数据包计数值时，ue根据每个第一标识信息，获取与每个第一标识信息对应的第二标识信息和与第二标识对应的第二数据包计数值。

步骤130、所述menb接收所述用户终端根据所述第二检查请求消息生成的第一检查响应消息，所述第一检查响应消息包括所述第二标识信息和所述第二数据包计数值。

具体地，ue根据第二检查请求消息，获取与第一标识信息匹配的第二标识信息和第二数据包计数值。ue将获取的第二标识信息和第二数据包计数值携带在第一检查响应消息中，并向menb发送第一检查响应消息。

menb接收ue发送的第一检查响应消息。

步骤140、当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，所述menb判定所述senb与所述用户终端之间未存在中间人攻击。

具体地，menb比较第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值相同，则menb判定senb与ue之间未存在中间人攻击。

根据前述步骤110和步骤120的描述，由于第一标识信息、第二标识信息、第一数据包计数值、第二数据包计数值的数量为至少1个，且每个第一标识信息与每个第二标识信息匹配对应，因此，menb比较第一数据包计数值与第二数据包计数值是否相同具体为menb比较每个第一标识信息对应的第一数据包计数值与每个第一标识信息匹配的第二标识信息对应的第二数据包计数值是否相同。

当所有的第一标识信息对应的第一数据包计数值与第一标识信息匹配的第二标识信息对应的第二数据包计数值都相同时，menb判定senb与ue之间未存在中间人攻击。

menb判定senb与ue之间存在未中间人攻击后，menb向senb发送第二检查响应消息，所述第二检查响应消息包含第二指示信息，所述第二指示信息用于指示senb与ue之间未存在中间人攻击；其中该第二指示消息可以为空，也可以包含字符串等，例如“不存在中间人攻击”字样的字符串。

步骤150、当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，所述menb判定所述senb与所述用户终端之间存在中间人攻击。

具体地，menb比较第一数据包计数值与第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值不同，则menb确定senb与ue之间存在中间人攻击。

进一步地，当至少一个第一标识信息对应的第一数据包计数值与第一标识信息匹配的第二标识信息对应的第二数据包计数值不相同时，menb判定senb与ue之间存在中间人攻击。

menb判定senb与ue之间存在中间人攻击后，menb向senb发送第三检查响应消息，所述第三检查响应消息用于指示senb与ue之间存在中间人攻击。进一步地，所述第三检查响应消息还可以包括所有的与第一标识信息对应的第一数据包计数值不同的第二数据包计数值，以及第二数据包计数值对应的第一标识信息，以使得senb确定senb与用户终端之间存在中间人攻击；所述第三响应消息也可以只包含判定结果，比如包含存在中间人攻击或者不存在中间人攻击。

menb向senb发送第三检查响应消息后，menb还向移动性管理实体mme或操作维护服务器o&m发送异常报告，以便mme或o&m采取进一步措施，其中，作为示例而非限定，所述进一步措施具体为释放或者删除senb与用户终端之间的承载，或者，mme或o&m对接收的异常报告进行统计，当异常报告的个数超过数量阈值时，对senb与用户终端之间的承载进行处理。

可选地，本发明实施例步骤110中第一检查请求消息还包括senb的标识。

本发明实施例步骤120中menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于使得所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，具体包括：

menb根据第一标识信息和senb的标识生成第二检查请求消息，并向ue发送第二检查请求消息，以使得ue根据第二检查请求消息获取与第一标识信息和senb的标识匹配的第二标识信息和第二标识信息对应的第二数据包计数值。

进一步地，当第一检查请求消息包括senb的标识时，所述第二标识信息为senb分配。

进一步地，当第一检查请求消息未包括senb的标识时，所述第二标识信息为menb分配。

在本发明实施例中，当第一检查请求消息包括senb的标识时，所述senb的标识还携带在后续的检查响应消息中，以使得接收方根据标识确定第二标识信息为senb分配的。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，menb接收senb发送的包括senb与ue之间承载的第一数据包计数值，并根据senb发送的第一数据包计数值要求ue上报自身与senb之间承载第二数据包计数值；当第一数据包计数值与第二数据包计数值不同时，menb确定senb与用户终端之间未存在中间人攻击，并告知senb。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例二

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图2为例详细说明本发明实施例二提供的检测中间人攻击的方法，图2为本发明实施例二提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为辅基站senb。如图2所示，该实施例具体包括以下步骤：

步骤210、辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息。

menb接收第一检查请求消息，根据第一标识信息生成第二检查请求消息，并向ue发送第二检查请求消息。

在前述实施例一中，已经详细说明menb根据第一数据包计数值以及ue上报的第二数据包计数值判定senb与ue之间是否存在中间人攻击的过程，在此不再复述。

所述第二数据包计数值为与第一标识信息匹配的第二标识信息对应的数据包计数值。

步骤220、所述senb接收所述menb发送的所述检查响应消息。

步骤230、当所述检查响应消息为第二检查响应消息时，所述第二检查响应消息包含第二指示信息，所述senb根据所述第二指示信息确定所述senb与所述用户终端之间未存在中间人攻击。

具体地，如果menb判定senb与ue之间未存在中间人攻击，则menb确定的检查响应消息为第二检查响应消息，所述第二检查响应消息包含第二指示信息，senb根据第二指示信息确定senb与ue之间未存在中间人攻击。

在前述实施例一中，已经详细说明第二检查响应消息的具体实现过程，在此不再复述。

步骤240、当所述检查响应消息为第三检查响应消息时，所述第三检查响应消息包含第三指示信息，所述senb根据所述第三指示信息确定所述senb与所述用户终端之间存在中间人攻击，并采取预设措施进行处理。

具体地，如果menb判定senb与ue之间存在中间人攻击，则menb确定的检查响应消息为第三检查响应消息，所述第三检查响应消息包含第三指示信息，senb根据第三指示信息确定senb与ue之间存在中间人攻击。

在前述实施例一中，已经详细说明第三检查响应消息的具体实现过程，在此不再复述。

可选地，在本发明实施例步骤210中senb向menb发送的第一检查请求消息中还包括senb的标识；

本发明实施例步骤210中辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，具体包括：

senb向menb发送第一检查请求消息，所述第一检查请求消息包括senb的标识、erab的第一标识信息和第一标识信息对应的第一数据包计数值，第一检查请求消息用于使得menb根据第一标识信息和senb的标识生成第二检查请求消息，并向用户终端发送第二检查请求消息。

进一步地，当第一检查请求消息包括senb的标识时，所述第二标识信息为senb分配。

进一步地，当第一检查请求消息未包括senb的标识时，所述第二标识信息为menb分配。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，senb接收menb发送的检查响应消息，并根据检查响应消息确定自身与ue之间是否存在中间人攻击。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。

实施例三

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图3为例详细说明本发明实施例三提供的检测中间人攻击的方法，图3为本发明实施例三提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为用户终端ue。如图3所示，该实施例具体包括以下步骤：

步骤310、用户终端接收所述menb发送的第二检查请求消息，所述第二检查请求消息中包括演进随机接入承载erab的第一标识信息对应的第二标识信息，所述第二标识信息为所述erab对应的无线数据承载drb(dataradiobearer，简称：drb)。

具体地，senb启动对senb与ue之间的承载的检测，senb向menb发送第一检查请求消息，menb接收第一检查请求消息，并根据第一检查请求消息生成第二检查请求消息，所述第二检查请求消息中包括第一标识信息。

在前述实施例一中，已经详细说明menb生成第二检查请求消息的详细过程以及第一标识信息所表示的意义，在此不再复述。

所述第一标识信息为senb与ue之间的演进随机接入承载(evolvedrandomaccessbearer简称：erab)标识。

步骤320、所述用户终端获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值。

具体地，ue获取与所述第二标识信息对应的第二数据包计数值。

所述第二数据包计数值反映的是ue统计的senb与ue之间承载的发送和接收数据包的计数。

步骤330、所述用户终端将所述第二标识信息以及所述第二标识信息对应的第二数据包计数值发送到所述menb，以使得所述menb根据所述第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击。

具体地，ue向menb发送获取的第二标识信息和第二标识信息对应的第二数据包计数值，以使得menb根据第一数据包计数值和第二数据包计数值判定是否存在中间人攻击。

进一步地，所述第一数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数，且第一数据包计数值与第一标识信息对应。

在前述实施例一中，已经详细说明menb根据第一数据包计数值和第二数据包计数值判定是否存在中间人攻击的详细过程，在此不再复述。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，ue根据第一标识信息获取第二标识信息和第二数据包计数值，并向menb发送第二数据包计数值，以使得menb根据第一数据包计数值和第二数据包计数值判定senb与ue之间是否存在中间人攻击，并告知senb。解决了现有技术中对于senb分担menb流量的场景具有一定的局限性问题，实现了menb、senb和ue共同参与对中间人攻击进行检测。

进一步地，图4为本发明实施例一、实施例二、实施例三提供的检测中间人攻击的信令图；图4所示的信令图详细的展示了ue、menb以及senb之间的交互流程，在图4中menb对第一数据包计数值和第二数据包计数值进行识别，实现了检测中间人攻击的方法，图4中的检测中间人攻击的方法均可按照前述实施例描述的过程执行，在此不再复述。

实施例四

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图5为例详细说明本发明实施例四提供的检测中间人攻击的方法，图5为本发明实施例四提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为宏基站menb。如图5所示，该实施例具体包括以下步骤：

步骤510、宏基站menb接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值。

所述第一数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数。

可以理解的是，在senb与ue之间具有多条承载，每条承载具有1个第一标识信息。在本发明实施例中，在第一检查请求消息中包括了至少两个与某一条承载对应的第一标识信息和与第一标识信息对应的第一数据包计数值。

menb接收第一检查请求消息。

步骤520、所述menb根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一数据包计数值和第二数据包计数值是否相同，所述第二标识信息是与所述erab对应的无线数据承载drb。

具体地，menb接收到第一检查请求消息后，确定senb启动对senb与ue之间的承载的检测，menb从第一检查请求消息中获取第一标识信息和第一数据包计数值。

menb根据第一标识信息和第一数据包计数值生成第二检查请求消息，并向ue发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示ue获取与第一标识信息匹配的第二标识信息和第二标识信息对应的第二数据包计数值，并比较第一数据包计数值和第二数据包计数值是否相同。

进一步地，在本发明实施例中，ue可根据第一指示信息获取与第一标识信息匹配的ue与senb之间的数据无线承载(dataradiobearer，简称：drb)的第二标识信息和第二标识信息对应的第二数据包计数值。

所述第二数据包计数值反映的是ue统计的senb与ue之间承载的发送和接收数据包的计数。

需要说明的是，由于在步骤510中，在第一检查请求消息中可包含了至少两个某一条承载的第一标识信息和对应的第一数据包计数值，因此，ue在获取第二标识信息和第二数据包计数值时，ue根据每个第一标识信息，获取与每个第一标识信息对应的第二标识信息和与第二标识对应的第二数据包计数值。

步骤530、所述menb接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，以使得所述senb根据所述检查响应消息进行处理。

具体地，ue比较第一数据包计数值和第二数据包计数值是否相同，并根据比较结果生成检查响应消息，ue向menb发送检查响应消息。

根据前述步骤510和步骤520的描述，由于第一标识信息、第二标识信息、第一数据包计数值、第二数据包计数值的数量为至少两个，且每个第一标识信息与每个第二标识信息匹配对应，因此，ue比较第一数据包计数值与第二数据包计数值是否相同具体为ue比较每个第一标识信息对应的第一数据包计数值与每个第一标识信息匹配的第二标识信息对应的第二数据包计数值是否相同。

当所有的第一标识信息对应的第一数据包计数值与第一标识信息匹配的第二标识信息对应的第二数据包计数值都相同时，ue判定senb与ue之间未存在中间人攻击。

当至少两个第一标识信息对应的第一数据包计数值与第一标识信息匹配的第二标识信息对应的第二数据包计数值不相同时，ue判定senb与ue之间存在中间人攻击。

menb接收ue根据比较、判定结果发送的检查响应消息，并将检查响应消息发送给senb，以使得senb根据响应消息进行处理。

在本发明的一个实施例中，ue识别第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值相同，则ue判定senb与ue之间未存在中间人攻击，并生成第一检查响应消息。menb接收ue发送的第一检查响应消息，并将第一检查响应消息发送给senb，以使得senb根据第一检查响应消息进行处理；其中所述第一检查响应消息包含第一指示消息，所述第一指示消息可以为空也可以为字符串，例如“否”或者“未存在中间人攻击”等字符串标识。

在本发明另一个实施例中，ue识别第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值不同，则ue判定senb与ue之间存在中间人攻击，并生成第二检查响应消息。menb接收ue发送的第二检查响应消息，并将第二检查响应消息发送给senb，以使得senb根据第二检查响应消息进行处理；其中所述第二检查响应消息包括第二指示信息，所述第二指示信息息还可以包括所有的与第一标识信息对应的第一数据包计数值不同的第二数据包计数值，以及第二数据包计数值对应的第一标识信息，以使得senb确定senb与用户终端之间存在中间人攻击；所述第三响应消息也可以只包含判定结果，比如包含存在中间人攻击或者不存在中间人攻击。

在本发明实施例中，senb根据检查响应消息确定senb与ue之间是否存在中间人攻击。当senb根据检查响应消息确定senb与ue之间存在中间人攻击时，senb向menb发送异常报告。

可选地，在本发明实施例步骤510中发送的第一检查请求消息还包括senb的标识。

本发明实施例步骤520中menb根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一数据包计数值和第二数据包计数值是否相同，具体包括：

menb根据senb的标识、第一标识信息和第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向ue发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示ue获取与第一标识信息匹配的第二标识信息和第二标识信息对应的第二数据包计数值,并比较第一数据包计数值和第二数据包计数值是否相同。

进一步地，当第一检查请求消息包括senb的标识时，所述第二标识信息为senb分配。

进一步地，当第一检查请求消息未包括senb的标识时，所述第二标识信息为menb分配。

可选地，在本发明实施例步骤530之后还包括menb向mme或o&m发送异常报告的步骤。

具体地，当menb接收到senb发送的异常报告时，menb向mme或o&m发送异常报告。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，menb根据senb发送的第一检查请求消息，向ue发送第二检查请求消息，当ue根据第二检查请求消息判定senb与ue之间存在中间人攻击时，menb接收ue发送的检查响应消息，并将检查响应消息转发至senb。使用本发明提供的技术方案，可以在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。

实施例五

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图6为例详细说明本发明实施例五提供的检测中间人攻击的方法，图6为本发明实施例五提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为辅基站senb。如图6所示，该实施例具体包括以下步骤：

步骤610、辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息包含第一指示信息，所述第一指示信息用于指示所述menb向用户终端发送第二检查请求消息。

具体地，senb启动对senb与ue之间的承载的检测，senb向menb发送第一检查请求消息，所述第一检查请求消息包含第一指示信息，所述第一指示信息用于指示menb向ue发送第二检查请求消息。

在前述实施例四中已详细说明第一检查请求消息携带的内容，以及menb根据第一指示信息向ue发送第二检查请求消息的详细过程，在此不再复述。

步骤620、所述senb接收所述menb发送的检查响应消息。

具体地，menb向ue发送第二检查请求消息，以使得ue根据第二检查请求消息判定senb与ue之间是否存在中间人攻击，并根据判定结果向menb发送检查响应消息。menb向senb发送检查响应消息。

步骤630、所述senb根据所述检查响应消息确定是否存在中间人攻击。

具体地，senb接收检查响应消息，并根据检查响应消息确定是否存在中间人攻击。

进一步地，当检查响应消息中携带ue反馈的数据包计数值时，senb确定senb与ue之间存在中间人攻击。

步骤640、当确定存在所述中间人攻击时，所述senb采取预设措施进行处理并向所述menb发送异常报告。

具体地，当senb确定存在中间人攻击时，senb采取预设措施进行处理并向menb发送异常报告，以使得menb向移动性管理实体mme或操作维护服务器o&m发送异常报告。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，当ue判定senb与ue之间存在中间人攻击时，senb接收menb发送的检查响应消息，并确定自身与ue之间是否存在中间人攻击。使用本发明提供的技术方案，可以在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例六

为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图7为例详细说明本发明实施例六提供的检测中间人攻击的方法，图7为本发明实施例六提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为用户终端ue。如图7所示，该实施例具体包括以下步骤：

步骤710、用户终端接收宏基站menb发送的第二检查请求消息，所述第二检查请求消息包括演进随机接入承载erab的第一标识信息对应的第二标识信息和所述第一标识信息对应的第一数据包计数值，所述第二标识信息是与所述erab对应的无线数据承载drb(dataradiobearer，简称：drb)。

具体地，ue接收menb发送的第二检查请求消息，所述第二检查请求消息包括senb与ue之间的演进随机接入承载(evolvedrandomaccessbearer简称：erab)的第一标识信息和第一标识信息对应的第一数据包计数值。

所述第一数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数。

在前述实施例四中已详细说明menb根据senb发送的第一检查请求消息生成第二检查请求消息并向ue发送第二检查请求消息的详细过程，以及第一检查请求消息携带的内容，在此不再复述。

步骤720、所述用户终端获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值。

具体地，ue根据第二检查请求消息包括的第一标识信息，获取与第一标识信息对应的第二标识信息，以及第二标识信息对应的第二数据包计数值。

进一步地，在本发明实施例中，ue获取所述第二标识信息和第二标识信息对应的第二数据包计数值。

所述第二数据包计数值反映的是ue统计的senb与ue之间承载的发送和接收数据包的计数。

步骤730、所述用户终端根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述用户终端之间是否存在中间人攻击。

具体地，ue比较第一数据包计数值和第二数据包计数值是否相同，当第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值相同时，ue判定senb与ue之间未存在中间人攻击；

当第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值不同时，ue判定senb与ue之间存在中间人攻击。

进一步地，根据前述步骤720的描述，由于第一标识信息、第二标识信息、第一数据包计数值、第二数据包计数值的数量为至少两个，且每个第一标识信息与每个第二标识信息匹配对应，因此，ue比较第一数据包计数值与第二数据包计数值是否相同具体为ue比较每个第一标识信息对应的第一数据包计数值与每个第一标识信息匹配的第二标识信息对应的第二数据包计数值是否相同。

步骤740、所述用户终端根据所述判定的结果生成检查响应消息，并将所述检查响应消息发送到所述menb。

具体地，ue根据步骤730的判定结果生成检查响应消息，并向menb发送检查响应消息。

进一步地，在一种实现方式中，ue识别第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值相同，则ue判定senb与ue之间未存在中间人攻击，并生成第一检查响应消息。menb接收ue发送的第一检查响应消息，并将第一检查响应消息发送给senb，以使得senb根据第一响应消息进行处理。

在另一种实现方式中，ue识别第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值不同，则ue判定senb与ue之间存在中间人攻击，并生成第二检查响应消息。menb接收ue发送的第二检查响应消息，并将第二检查响应消息发送给senb，以使得senb根据第二响应消息进行处理。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，ue根据menb发送的第二检查请求消息，判定senb与ue之间是否存在中间人攻击。当ue判定senb与ue之间存在中间人攻击时，ue向menb发送检查响应消息。使用本发明提供的技术方案，可以在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。进一步地，图8为本发明实施例四、实施例五、实施例六提供的检测中间人攻击的信令图；图8所示的信令图详细的展示了ue、menb以及senb之间的交互流程，在图8中ue对第一数据包计数值和第二数据包计数值进行比较，实现了检测中间人攻击的方法，图8中的检测中间人攻击的方法均可按照前述实施例描述的过程执行，在此不再复述。

实施例七

为便于对本发明实时的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图9为例详细说明本发明实施例七提供的检测中间人攻击的方法，图9为本发明实施例七提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为宏基站menb。如图9所示，该实施例具体包括以下步骤：

步骤910、宏基站menb接收辅基站senb发送的第一检查请求消息。

具体地，senb启动对senb与ue之间的承载的检测，senb向menb发送第一检查请求消息，所述第一检查请求消息用于使menb向用户终端发送第二检查请求消息。

步骤920、所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值。

具体地，menb接收到第一检查请求消息后，确定senb启动对senb与ue之间的承载的检测，menb根据第一检查请求消息，确定senb希望接收ue上报的senb与ue之间承载的数据包计数值，menb生成第二检查请求消息，并向ue发送第二检查请求消息。

进一步地，所述第二检查请求消息包括第一指示信息，在本发明实施例中，ue可根据第一指示信息获取ue与senb之间的数据无线承载(dataradiobearer，简称：drb)的第一标识信息和第一标识信息对应的第一数据包计数值。

所述第一数据包计数值反映的是ue统计的senb与ue之间承载的发送和接收数据包的计数。

可以理解的是，在senb与ue之间具有多条承载，每条承载上具有指定的业务。在本发明实施例中，senb可向menb发送一个第一检查请求消息，以使得ue将自身与senb之间全部承载对应的至少两个第一数据包计数值进行上报。

步骤930、所述menb接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，所述响应消息中包括所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述senb根据所述第一数据包计数值判定是否存在中间人攻击。

具体地，ue根据第二检查请求消息，获取第一标识信息和第一数据包计数值。ue将获取的第一标识信息和第一数据包计数值携带在检查响应消息中，并向menb发送检查响应消息。

menb接收ue发送的第一检查响应消息。

所述检查响应消息中包括所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述senb根据所述第一数据包计数值判定是否存在中间人攻击。

可选地，在本发明实施例步骤910中menb接收的第一检查请求消息还包括senb的标识。

本发明实施例步骤920中menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值，具体包括：

menb根据senb的标识和第一检查请求消息生成第二检查请求消息，并向ue发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示ue获取第一标识信息和第一标识信息对应的第一数据包计数值。

进一步地，当第一检查请求消息包括senb的标识时，所述第一标识信息为senb分配。

进一步地，当第一检查请求消息未包括senb的标识时，所述第一标识信息为menb分配。

在本发明实施例中，当第一检查请求消息包括senb的标识时，所述senb的标识还携带在后续的检查响应消息中，以使得接收方根据标识确定第一标识信息为senb分配的。

可选地，在本发明实施例步骤930之后，还包括menb向mme或o&m发送异常报告的步骤。

具体地，当menb接收到senb发送的异常报告时，menb向mme或o&m发送异常报告。

所述senb发送的异常报告具体为senb根据第一数据包计数值以及senb获取的自身存储的第二数据包计数值判定是否存在中间人攻击后生成的。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，menb根据senb发送的第一检查请求消息向ue发送第二检查请求消息，并将ue反馈的检查响应消息转发给senb。以使得senb判定自身与ue之间是否存在中间人攻击，并告知menb。使用本发明提供的技术方案，可以在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例八

为便于对本发明实时的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图10为例详细说明本发明实施例七提供的检测中间人攻击的方法，图10为本发明实施例七提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为辅基站senb。如图10所示，该实施例具体包括以下步骤：

步骤1010、辅基站senb向宏基站menb发送第一检查请求消息，所述第一检查请求消息用于使所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送所述第二检查请求消息。

具体地，senb启动对senb与ue之间的承载的检测，senb向menb发送第一检查请求消息，所述第一检查请求消息用于使menb生成并向ue发送第二检查请求消息。

在前述实施例八中已详细说明menb生成并向ue发送第二检查请求消息的详细过程，在此不再复述。

步骤1020、所述senb接收所述menb发送的检查响应消息，所述检查响应消息中包含无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值。

具体地，ue根据第二检查请求消息获取ue与senb之间的数据无线承载(dataradiobearer，简称：drb)的第一标识信息和第一标识信息对应的第一数据包计数值，将第一标识信息和第一数据包计数值携带在检查响应消息中，并向menb发送检查响应消息。

menb向senb发送检查响应消息。

所述第一数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数。

可以理解的是，在senb与ue之间具有多条承载，每条承载具有1个第一标识信息。在本发明实施例中，在第一检查请求消息中可包含了至少两个与某一条承载对应的第一标识信息和第一数据包计数值。

步骤1030、所述senb根据所述第一标识信息，获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，所述第二标识信息为与所述drb对应的演进随机接入承载erab。

具体地，senb接收到检查响应消息后，从检查响应消息中获取第一标识信息和第一数据包计数值。senb根据第一标识信息获取与第一标识信息对应的senb与ue之间的演进随机接入承载(evolvedrandomaccessbearer简称：erab)的第二标识信息和第二标识信息对应的第二数据包计数值。

所述第二数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数。

需要说明的是，由于在步骤1020中，在检查响应消息中包括至少两个第一标识信息，因此，senb在获取与第一标识信息匹配的第二标识信息以及第二数据包计数值时，senb根据每个第一标识信息，获取与每个第一标识信息匹配的第二标识信息以及与第二标识信息对应的第二数据包计数值。

步骤1040、所述senb根据所述第一数据包计数值和所述第二数据包计数值确定是否存在中间人攻击。

具体地，senb识别第一数据包计数值与第二数据包计数值是否相同；如果第一数据包计数值与第二数据包计数值相同，则senb确定senb与ue之间未存在中间人攻击，如果第一数据包计数值与第二数据包计数值不同，则senb确定senb与ue之间存在中间人攻击。

根据前述步骤1020和步骤1030的描述，由于第一标识信息、第二标识信息、第一数据包计数值、第二数据包计数值为至少两个，且每个第一标识信息与每个第二标识信息匹配对应，因此，senb判定第一数据包计数值与第二数据包计数值是否相同具体为senb识别每个第二标识信息对应的第一数据包计数值与每个第二标识信息匹配的第一标识信息对应的第二数据包计数值是否相同。

当第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值相同时，senb判定senb与ue之间未存在中间人攻击；

即当所有的第一标识信息对应的第一数据包计数值与第一标识信息匹配的第二标识信息对应的第二数据包计数值都相同时，senb判定senb与ue之间未存在中间人攻击。

当第一标识信息对应的第一数据包计数值与第二标识信息对应的第二数据包计数值不同时，senb判定senb与ue之间存在中间人攻击。

即当至少一个第一标识信息对应的第一数据包计数值与第一标识信息匹配的第二标识信息对应的第二数据包计数值不相同时，senb判定senb与ue之间存在中间人攻击。

步骤1050、当确定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

具体地，senb确定senb与ue之间存在中间人攻击后，senb采取预设措施进行处理并向menb发送异常报告，以使得menb向mme或o&m发送异常报告，以便mme或o&m采取进一步措施，其中，作为示例而非限定，所述进一步措施具体为释放或者删除senb与用户终端之间的承载，或者，mme或o&m对接收的异常报告进行统计，当异常报告的个数超过数量阈值时，对senb与用户终端之间的承载进行处理。

可选地，本发明实施例步骤1010中第一检查请求消息还包括senb的标识，所述第二检查请求消息还包括senb的标识。

进一步地，当第一检查请求消息包括senb的标识时，所述第一标识信息为senb分配。

进一步地，当第一检查请求消息未包括senb的标识时，所述第一标识信息为menb分配。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，并要求ue上报ue与senb之间承载的第一数据包计数值，senb根据第一数据包计数值以及获取的自身存储的第二数据包计数值判定判定自身与ue之间是否存在中间人攻击，并告知menb。使用本发明提供的技术方案，可以在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例九

为便于对本发明实时的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。

下面以图11为例详细说明本发明实施例七提供的检测中间人攻击的方法，图11为本发明实施例七提供的检测中间人攻击的方法流程图，在本发明实施例中实施主体为用户终端ue。如图11所示，该实施例具体包括以下步骤：

步骤1110、用户终端接收宏基站menb发送的第二检查请求消息。

具体地，senb启动对senb与ue之间的承载的检测，senb向menb发送第一检查请求消息，所述第一检查请求消息用于使menb生成并向ue发送第二检查请求消息。

ue接收menb发送的第二检查请求消息。

在前述实施例八中已详细说明menb生成并向ue发送第二检查请求消息的详细过程，在此不再复述。

步骤1120、所述用户终端根据所述第二检查请求消息获取无线数据承载drb的第一标识信息以及所述第一标识信息对应的第一数据包计数值。

具体地，ue根据第二检查请求消息获取ue与senb之间的数据无线承载(dataradiobearer，简称：drb)的第一标识信息和第一标识信息对应的第一数据包计数值。

所述第一数据包计数值具体反映的是senb统计的senb与ue之间承载的发送和接收数据包的计数。

可以理解的是，在senb与ue之间具有多条承载，每条承载具有1个第一标识信息。在本发明实施例中，在第一检查请求消息中可包含了至少两个与某一条承载对应的第一标识信息和对应的第一数据包计数值。

步骤1130、所述用户终端向所述menb发送检查响应消息，所述检查响应消息中包含所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述menb将所述检查响应消息发送给辅基站senb，并使得所述senb根据所述第一数据包计数值判定所述senb与所述用户终端之间是否存在中间人攻击。

具体地，ue将获取的第一标识信息和第一数据包计数值携带在检查响应消息中，并向menb发送检查响应消息。

所述检查响应消息中包含第一标识信息和第一标识信息对应的第一数据包计数值，以使得menb将检查响应消息发送给senb，并使得senb根据第一数据包计数值判定senb与ue之间是否存在中间人攻击。

可选地，在本发明实施例步骤910中menb接收的第一检查请求消息还包括senb的标识。

进一步地，当第一检查请求消息包括senb的标识时，所述第一标识信息为senb分配。

进一步地，当第一检查请求消息未包括senb的标识时，所述第一标识信息为menb分配。

因此，通过应用本发明实施例提供的检测中间人攻击的方法，senb发起中间人攻击检测，ue接收menb发送的第二检查请求消息，并根据第二检查请求消息向menb发送检查响应消息，menb将检查响应消息转发至senb，以使得senb判定自身与ue之间是否存在中间人攻击。

解决了现有技术中对于senb分担menb流量的场景具有一定的局限性问题，实现了menb、senb和ue共同参与对中间人攻击进行检测。

进一步地，图12为本发明实施例七、实施例八、实施例九提供的检测中间人攻击的信令图；图12所示的信令图详细的展示了ue、menb以及senb之间的交互流程，在图12中senb对第一数据包计数值和第二数据包计数值进行比较，实现了检测中间人攻击的方法，图12中的检测中间人攻击的方法均可按照前述实施例描述的过程执行，在此不再复述。

实施例十

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图13所示，用于实现本发明前述实施例一中的中间人攻击的方法。所述装置包括以下单元：接收单元1310、发送单元1320以及判定单元1330。

所述装置包括的接收单元1310，用于接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值；

发送单元1320，用于根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,所述第二标识信息是与所述演进随机接入承载erab对应的无线数据承载drb；

所述接收单元1310，还用于接收所述用户终端根据所述第二检查请求消息生成的第一检查响应消息，所述第一检查响应消息包括所述第二标识信息和所述第二数据包计数值；

判定单元1330，用于当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述用户终端之间未存在中间人攻击；当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述用户终端之间存在中间人攻击。

所述接收单元1310接收的所述第一检查请求消息还包括所述senb的标识；

所述发送单元1320，还用于根据所述第一标识信息和所述senb的标识生成第二检查请求消息，并向用户终端发送第二检查请求消息，以使得所述用户终端根据所述第二检查请求消息获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值。

所述接收单元1310接收的所述第一检查请求消息包括至少两个所述第一标识信息和对应的所述第一数据包计数值，所述接收单元接收的所述第一检查响应消息包括至少两个所述第二标识信息和对应的所述第二数据包计数值；

所述判定单元1330具体用于，当至少一个所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值不相同时，判定所述senb与所述用户终端之间存在中间人攻击；

所述判定单元1330具体用于，当所有的所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值都相同时，判定所述senb与所述用户终端之间未存在中间人攻击。

所述发送单元1320，还用于向所述senb发送第二检查响应消息，所述第二检查响应消息中包含第二指示信息，所述第二指示信息用于指示所述senb与所述ue之间未存在中间人攻击。

所述发送单元1320，还用于向移动性管理实体mme或操作维护服务器o&m发送异常报告。

所述发送单元1320，还用于向所述senb发送第三响应检查消息，所述第三响应检查消息中包含第三指示信息，所述第三指示信息用于指示所述senb与所述用户终端之间存在中间人攻击。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，menb接收senb发送的包括senb与ue之间承载的第一数据包计数值，并根据senb发送的第一数据包计数值要求ue上报自身与senb之间承载第二数据包计数值；当第一数据包计数值与第二数据包计数值不同时，menb确定senb与用户终端之间未存在中间人攻击，并告知senb。使用本发明的技术方案及装置，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十一

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图14所示，用于实现本发明前述实施例二中的中间人攻击的方法。所述装置包括以下单元：发送单元1410、接收单元1420以及确定单元1430。

所述装置包括的发送单元1410，用于向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息；

接收单元1420，用于接收所述menb发送的所述检查响应消息；

确定单元1430，用于当所述检查响应消息为第二检查响应消息时，所述第二检查响应消息包含第二指示信息，所述senb根据所第二指示信息确定所述senb与所述用户终端之间未存在中间人攻击；当所述检查响应消息为第三检查响应消息时，所述第三检查响应消息包含第三指示信息，所述senb根据所述第三指示信息确定所述senb与所述用户终端之间存在中间人攻击，并采取预设措施进行处理。

所述发送单元1410发送的所述第一检查请求消息中还包括所述senb的标识；

所述发送单元1410具体用于，向所述menb发送第一检查请求消息，所述第一检查请求消息包括所述装置的标识、所述erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息和所述装置的标识生成第二检查请求消息，并向所述用户终端发送第二检查请求消息。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，senb接收menb发送的检查响应消息，并根据检查响应消息确定自身与ue之间是否存在中间人攻击。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十二

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图15所示，用于实现本发明前述实施例三中的中间人攻击的方法。所述装置包括以下单元：接收单元1510、获取单元1520以及发送单元1530。

所述装置包括的接收单元1510，用于接收所述menb发送的第二检查请求消息，所述第二检查请求消息中包括演进随机接入承载erab的第一标识信息对应的第二标识信息，所述第二标识信息是与所述erab对应的无线数据承载drb。

获取单元1520，用于获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值。

发送单元1530，用于将所述第二标识信息以及所述第二标识信息对应的第二数据包计数值发送到所述menb，以使得所述menb根据第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，ue根据第一标识信息获取第二标识信息和第二数据包计数值，并向menb发送第二数据包计数值，以使得menb根据第一数据包计数值和第二数据包计数值判定senb与ue之间是否存在中间人攻击，并告知senb。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。

实施例十三

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图16所示，用于实现本发明前述实施例四中的中间人攻击的方法。所述装置包括以下单元：接收单元1610以及发送单元1620。

所述装置包括的接收单元1610，用于接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值；

发送单元1620，用于根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同,所述第二标识信息是与所述erab对应的无线数据承载drb；

所述接收单元1610还用于，接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，以使得所述senb根据所述响应消息进行处理。

所述接收单元1610接收的所述第一检查请求消息还包括所述senb的标识；

所述发送单元1620具体用于，根据所述senb的标识、所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同。

所述发送单元1620还用于，当所述接收单元接收到所述senb发送的异常报告时，向移动性管理实体mme或操作维护服务器o&m发送异常报告。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，menb根据senb发送的第一检查请求消息，向ue发送第二检查请求消息，当ue根据第二检查请求消息判定senb与ue之间存在中间人攻击时，menb接收ue发送的检查响应消息，并将检查响应消息转发至senb。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十四

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图17所示，用于实现本发明前述实施例五中的中间人攻击的方法。所述装置包括以下单元：发送单元1710、接收单元1720以及确定单元1730。

所述装置包括的发送单元1710，用于向宏基站menb发送第一检查请求消息，所述第一检查请求消息包含第一指示信息，所述第一指示信息用于指示所述menb向用户终端发送第二检查请求消息；

接收单元1720，用于接收所述menb发送的检查响应消息；

确定单元1730，用于根据所述检查响应消息确定是否存在中间人攻击；

所述发送单元1710还用于，当所述确定单元确定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，当ue判定senb与ue之间存在中间人攻击时，senb接收menb发送的检查响应消息，并确定自身与ue之间是否存在中间人攻击。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十五

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图18所示，用于实现本发明前述实施例六中的中间人攻击的方法。所述装置包括以下单元：接收单元1810、获取单元1820、判定单元1830以及发送单元1840。

所述装置包括的接收单元1810，用于接收宏基站menb发送的第二检查请求消息，所述第二检查请求消息包括演进随机接入承载erab的第一标识信息对应的第二标识信息和所述第一标识信息对应的第一数据包计数值，所述第二标识信息是与所述erab对应的无线数据承载drb。

获取单元1820，用于获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值。

判定单元1830，用于根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述装置之间是否存在中间人攻击；

发送单元1840，用于根据所述判定单元判定的结果生成检查响应消息，并将所述检查响应消息发送到所述menb。

所述判定单元1830具体用于，当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述装置之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述装置之间存在中间人攻击。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，ue根据menb发送的第二检查请求消息，判定senb与ue之间是否存在中间人攻击。当ue判定senb与ue之间存在中间人攻击时，ue向menb发送检查响应消息。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十六

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图19所示，用于实现本发明前述实施例七中的中间人攻击的方法。所述装置包括以下单元：接收单元1910以及发送单元1920。

所述装置包括的接收单元1910，用于接收辅基站senb发送的第一检查请求消息；

发送单元1920，用于根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

所述接收单元1910还用于，接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，所述响应消息中包括所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述senb根据所述第一数据包计数值判定是否存在中间人攻击。

所述接收单元1910接收的所述第一检查请求消息还包括所述senb的标识；

所述发送单元1920具体用于，根据所述senb的标识和所述第一检查请求消息生成第二检查请求消息，并向所述用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值。

所述发送单元1920还用于，当所述接收单元接收到所述senb发送的异常报告时，向移动性管理实体mme或操作维护服务器o&m发送所述异常报告。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，menb根据senb发送的第一检查请求消息向ue发送第二检查请求消息，并将ue反馈的检查响应消息转发给senb。以使得senb判定自身与ue之间是否存在中间人攻击，并告知menb。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十七

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图20所示，用于实现本发明前述实施例八中的中间人攻击的方法。所述装置包括以下单元：发送单元2010、接收单元2020、获取单元2030以及判定单元2040。

所述装置包括的发送单元2010，用于向宏基站menb发送第一检查请求消息，所述第一检查请求消息用于使所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送所述第二检查请求消息；

接收单元2020，用于接收所述menb发送的检查响应消息，所述检查响应消息中包含无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

获取单元2030，用于根据所述第一标识信息，获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，所述第二标识信息为与所述drb对应的演进随机接入承载erab；

判定单元2040，用于根据所述第一数据包计数值和所述第二数据包判定是否存在中间人攻击；

所述发送单元2010还用于，当所述判定单元判定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

所述判定单元2040具体用于，当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述装置与所述用户终端之间未存在中间人攻击；

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，并要求ue上报ue与senb之间承载的第一数据包计数值，senb根据第一数据包计数值以及获取的自身存储的第二数据包计数值判定自身与ue之间是否存在中间人攻击，并告知menb。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十八

相应地，本发明实施例还提供了一种检测中间人攻击的装置，其实现结构如图21所示，用于实现本发明前述实施例九中的中间人攻击的方法。所述装置包括以下单元：接收单元2110、获取单元2120以及发送单元2130。

所述装置包括的接收单元2110，用于接收宏基站menb发送的第二检查请求消息；

获取单元2120，用于根据所述第二检查请求消息获取无线数据承载drb的第一标识信息以及所述第一标识信息对应的第一数据包计数值；

发送单元2130，用于向所述menb发送检查响应消息，所述检查响应消息中包含所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述menb将所述检查响应消息发送给辅基站senb，并使得所述senb根据所述第一数据包计数值判定所述senb与所述装置之间是否存在中间人攻击。

因此，通过应用本发明实施例提供的检测中间人攻击的装置，senb发起中间人攻击检测，ue接收menb发送的第二检查请求消息，并根据第二检查请求消息向menb发送检查响应消息，menb将检查响应消息转发至senb，以使得senb判定自身与ue之间是否存在中间人攻击。使用本发明的技术方案，能够在senb分担menb流量的场景下，使得menb、senb和ue共同参与对中间人攻击进行检测。实施例十九

另外，本发明实施例十提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例一中的检测中间人攻击的方法，如图22所示，所述检测中间人攻击的装置包括：网络接口2210、处理器2220和存储器2230。系统总线2240用于连接网络接口2210、处理器2220和存储器2230。

网络接口2210用于与ue、senb进行交互通信。

存储器2230可以是永久存储器，例如硬盘驱动器和闪存，存储器2230用于存储应用程序，所述应用程序包括可用于使处理器2220访问并执行如下指令：

接收辅基站senb发送的第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值；

根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,所述第二标识信息是与所述演进随机接入承载erab对应的无线数据承载drb；

接收所述用户终端根据所述第二检查请求消息生成的第一检查响应消息，所述第一检查响应消息包括所述第二标识信息和所述第二数据包计数值；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述用户终端之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述用户终端之间存在中间人攻击。

进一步地，所述第一检查请求消息还包括所述senb的标识；

进一步地，所述存储器2230存储应用程序还包括可用于使所述处理器2220执行根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于使得所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值过程的指令为：

根据所述第一标识信息和所述senb的标识生成第二检查请求消息，并向用户终端发送第二检查请求消息，以使得所述用户终端根据所述第二检查请求消息获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值。

进一步地，所述第一检查请求消息包括至少两个所述第一标识信息和对应的所述第一数据包计数值，所述第一检查响应消息包括至少两个所述第二标识信息和对应的所述第二数据包计数值；

进一步地，所述存储器2230存储应用程序还包括可用于使所述处理器2220执行当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述用户终端之间存在中间人攻击过程的指令为：

当至少一个所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值不相同时，判定所述senb与所述用户终端之间存在中间人攻击；

进一步地，所述存储器2230存储应用程序还包括可用于使所述处理器2220执行当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述用户终端之间未存在中间人攻击过程的指令为：

当所有的所述第一标识信息对应的所述第一数据包计数值与所述第一标识信息匹配的所述第二标识信息对应的所述第二数据包计数值都相同时，判定所述senb与所述用户终端之间未存在中间人攻击。

进一步地，所述存储器2230存储的应用程序还包括可用于使所述处理器2220执行以下过程的指令：

向所述senb发送第二检查响应消息，所述第二检查响应消息中包含第二指示信息，所述第二指示信息用于指示所述senb与所述ue之间未存在中间人攻击。

进一步地，所述存储器2230存储的应用程序还包括可用于使所述处理器2220执行以下过程的指令：

向移动性管理实体mme或操作维护服务器o&m发送异常报告。

进一步地，所述存储器2230存储的应用程序还包括可用于使所述处理器2220执行以下过程的指令：

向所述senb发送第三响应检查消息，所述第三响应检查消息中包含第三指示信息，所述第三指示信息用于指示所述senb与所述用户终端之间存在中间人攻击。

另外，本发明实施例十三提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例四中的检测中间人攻击的方法，如图22所示。

存储器2230可以是永久存储器，例如硬盘驱动器和闪存，存储器2230用于存储应用程序，所述应用程序包括可用于使处理器2220访问并执行如下指令：

根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同,所述第二标识信息是与所述erab对应的无线数据承载drb；

接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，以使得所述senb根据所述响应消息进行处理。

进一步地，所述第一检查请求消息还包括所述senb的标识；

进一步地，所述存储器2230存储应用程序还包括可用于使所述处理器2220执行根据所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同过程的指令为：

根据所述senb的标识、所述第一标识信息和所述第一标识信息对应的第一数据包计数值生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取与所述第一标识信息和所述senb的标识匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值,并比较所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值是否相同。

进一步地，所述存储器2230存储的应用程序还包括可用于使所述处理器2220执行以下过程的指令：

当所述menb接收到所述senb发送的异常报告时，向移动性管理实体mme或操作维护服务器o&m发送异常报告。

另外，本发明实施例十六提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例七中的检测中间人攻击的方法，如图22所示。

存储器2230可以是永久存储器，例如硬盘驱动器和闪存，存储器2230用于存储应用程序，所述应用程序包括可用于使处理器2220访问并执行如下指令：

接收辅基站senb发送的第一检查请求消息；

根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

接收所述用户终端根据所述第二检查请求消息生成的检查响应消息，并将所述检查响应消息发送给所述senb，所述响应消息中包括所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述senb根据所述第一数据包计数值判定是否存在中间人攻击。

进一步地，所述第一检查请求消息还包括所述senb的标识；

进一步地，所述存储器2230存储应用程序还包括可用于使所述处理器2220执行根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示所述用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值过程的指令为：

根据所述senb的标识和所述第一检查请求消息生成第二检查请求消息，并向所述用户终端发送第二检查请求消息，所述第二检查请求消息中包含第一指示信息，所述第一指示信息用于指示用户终端获取无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值。

进一步地，所述存储器2230存储的应用程序还包括可用于使所述处理器2220执行以下过程的指令：

当所述装置接收到所述senb发送的异常报告时，向移动性管理实体mme或操作维护服务器o&m发送所述异常报告。

实施例二十

另外，本发明实施例十一提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例二中的检测中间人攻击的方法，如图23所示，所述检测中间人攻击的装置包括：网络接口2310、处理器2320和存储器2330。系统总线2340用于连接网络接口2310、处理器2320和存储器2330。

网络接口2310用于与menb、ue进行交互通信。

存储器2330可以是永久存储器，例如硬盘驱动器和闪存，存储器2330用于存储应用程序，所述应用程序包括可用于使处理器2320访问并执行如下指令：

向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息；

接收所述menb发送的所述检查响应消息；

当所述检查响应消息为第二检查响应消息时，所述第二检查响应消息包含第二指示信息，根据所述第二指示信息确定所述装置与所述用户终端之间未存在中间人攻击；

当所述检查响应消息为第三检查响应消息时，所述第三检查响应消息包含第三指示信息，根据所述第三指示信息确定所述装置与所述用户终端之间存在中间人攻击，并采取预设措施进行处理。

进一步地，所述第一检查请求消息还包括所述装置的标识；

进一步地，所述存储器2330存储应用程序还包括可用于使所述处理器2320执行向宏基站menb发送第一检查请求消息，所述第一检查请求消息包括演进随机接入承载erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息生成第二检查请求消息，并向用户终端发送第二检查请求消息过程的指令为：

向所述menb发送第一检查请求消息，所述第一检查请求消息包括所述装置的标识、所述erab的第一标识信息和所述第一标识信息对应的第一数据包计数值，所述第一检查请求消息用于使得所述menb根据所述第一标识信息和所述senb的标识生成第二检查请求消息，并向所述用户终端发送第二检查请求消息。

另外，本发明实施例十四提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例五中的检测中间人攻击的方法，如图23所示。

存储器2330可以是永久存储器，例如硬盘驱动器和闪存，存储器2330用于存储应用程序，所述应用程序包括可用于使处理器2320访问并执行如下指令：

向宏基站menb发送第一检查请求消息，所述第一检查请求消息包含第一指示信息，所述第一指示信息用于指示所述menb向用户终端发送第二检查请求消息；

接收所述menb发送的检查响应消息；

根据所述检查响应消息确定是否存在中间人攻击；

当确定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

另外，本发明实施例十七提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例八中的检测中间人攻击的方法，如图23所示。

存储器2330可以是永久存储器，例如硬盘驱动器和闪存，存储器2330用于存储应用程序，所述应用程序包括可用于使处理器2320访问并执行如下指令：

b向宏基站menb发送第一检查请求消息，所述第一检查请求消息用于使所述menb根据所述第一检查请求消息生成第二检查请求消息，并向用户终端发送所述第二检查请求消息；

接收所述menb发送的检查响应消息，所述检查响应消息中包含无线数据承载drb的第一标识信息和所述第一标识信息对应的第一数据包计数值；

根据所述第一标识信息，获取与所述第一标识信息匹配的第二标识信息和所述第二标识信息对应的第二数据包计数值，所述第二标识信息为与所述drb对应的演进随机接入承载erab；

根据所述第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击；

当判定存在所述中间人攻击时，采取预设措施进行处理并向所述menb发送异常报告。

进一步地，所述存储器2330存储应用程序还包括可用于使所述处理器2320执行根据所述第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击过程的指令为：

实施例二十一

另外，本发明实施例十二提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例三中的检测中间人攻击的方法，如图24所示，所述检测中间人攻击的装置包括：网络接口2410、处理器2420和存储器2430。系统总线2440用于连接网络接口2410、处理器2420和存储器2430。

网络接口2410用于与ue、menb进行交互通信。

存储器2430可以是永久存储器，例如硬盘驱动器和闪存，存储器2430用于存储应用程序，所述应用程序包括可用于使处理器2420访问并执行如下指令：

接收所述menb发送的第二检查请求消息，所述第二检查请求消息中包括演进随机接入承载erab的第一标识信息对应的第二标识信息，所述第二标识信息是与所述erab对应的无线数据承载drb。

获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值。

将所述第二标识信息以及所述第二标识信息对应的第二数据包计数值发送到所述menb，以使得所述menb根据第一数据包计数值和所述第二数据包计数值判定是否存在中间人攻击。

另外，本发明实施例十四提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例六中的检测中间人攻击的方法，如图23所示。

存储器2330可以是永久存储器，例如硬盘驱动器和闪存，存储器2330用于存储应用程序，所述应用程序包括可用于使处理器2320访问并执行如下指令：

接收宏基站menb发送的第二检查请求消息，所述第二检查请求消息包括演进随机接入承载erab的第一标识信息对应的第二标识信息和所述第一标识信息对应的第一数据包计数值，所述第二标识信息是与所述erab对应的无线数据承载drb。

获取与所述第一标识信息对应的第二标识信息，以及所述第二标识信息对应的第二数据包计数值。

根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述装置之间是否存在中间人攻击；

根据所述判定的结果生成检查响应消息，并将所述检查响应消息发送到所述menb。

进一步地，所述存储器2430存储应用程序还包括可用于使所述处理器2420执行根据第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值判定辅基站senb与所述用户终端之间是否存在中间人攻击过程的指令为：

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值相同时，判定所述senb与所述装置之间未存在中间人攻击；

当所述第一标识信息对应的第一数据包计数值与所述第二标识信息对应的第二数据包计数值不同时，判定所述senb与所述装置之间存在中间人攻击。

另外，本发明实施例十八提供的检测中间人攻击的装置还可以采用的实现方式如下，用以实现前述本发明实施例十二中的检测中间人攻击的方法，如图23所示。

存储器2330可以是永久存储器，例如硬盘驱动器和闪存，存储器2330用于存储应用程序，所述应用程序包括可用于使处理器2320访问并执行如下指令：

接收宏基站menb发送的第二检查请求消息；

根据所述第二检查请求消息获取无线数据承载drb的第一标识信息以及所述第一标识信息对应的第一数据包计数值；

向所述menb发送检查响应消息，所述检查响应消息中包含所述第一标识信息和所述第一标识信息对应的第一数据包计数值，以使得所述menb将所述检查响应消息发送给辅基站senb，并使得所述senb根据所述第一数据包计数值判定所述senb与所述装置之间是否存在中间人攻击。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：吴荣;何承东;甘露
技术所有人：华为技术有限公司
我是此专利的发明人

上一篇：深水型倒伞曝气机叶轮的制作方法
上一篇：避免LEVAPOR填料随着水流进入二沉池内的方法与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。