专利名称:用户设备被非法使用的检测方法及检测装置的制作方法
技术领域:
本发明涉及移动通信技术领域,尤其涉及一种用户设备被非法使用的检测方法及 检测装置。
背景技术:
3GPP无线核心网包括通用无线分组业务(General Packet Radio Service,简称 为GPRS)网络、系统长期演进(System Architecture Evolution,简称为SAE)网络、通用移 动通信系统(Universal Mobile Telecommunications System,简称为 UMTS),其中,SAE 也 可以称为EPS (演进的分组系统,Evolved Packet System)。图1是根据现有技术的用户设备通过SAE和/或UMTS接入MTC Server的网络示 意图,图1示出了 UE (User Equipment,用户设备)通过SAE和/或UMTS接入IMS的紧急呼 叫所涉及的主要网元,其中,实线表示信令,虚线表示用户的IP通道。通过UMTS接入时,UE 又可称为MS (Mobile Mation,移动台)。如图1 所示,UE 通过 SAE 和 / 或 UMTS 接入 MTC Server (Machine Type Communication Server,机器类型通信服务器)所涉及的主要网元包括SAE网络部分的网 元、UMTS网络部分的网元以及MTC Server。这时UE又可称为MTC Device (MTC设备)。其中,SAE网络部分的网元用于提供承载管理和移动性管理。SAE网络部分的网元 包括增强的无线基站(eNodeB)、移动性管理实体(Mobility Management Entity,简称为 MME)、以及用户面数据路由处理网元(SAE Gff) ;SAE GW包括分组数据网网关(Packet Data Network Gateway,简称为PGW)和服务网关(Serving GW,简称为S-GW) ;MME负责管理和存 储UE的上下文(例如,UE标识/用户标识、移动性管理状态、用户安全参数等),为用户分 配临时标识,当UE驻扎在跟踪区域或者网络时,负责对UE进行鉴权。eNodeB接入又称为长 期演进(Long Term Evolution,简称为LTE)接入。P-Gff是SAE系统内的移动锚点,是SAE与分组数据网络(Packet Data Network, 简称为PDN)的边界网关,负责PDN的接入、在SAE与PDN间转发数据等功能。UMTS 网络主要由 3GPP 无线接入网络(GSM EDGE Radio Access Network/UMTS Terrestrial Radio Access Network, GERAN/UTRAN,统称 RAN)、服务 GPRS 支持节点 (Serving GPRS Support Node,SGSN)、网关 GPRS 支持节点(Gateway GPRS Support Node, GGSN)构成。在UMTS中,用户终端UE也被称为MS (Mobile Mation,移动台)。在实际应用中,部署在户外无人看管的区域的用户设备,可能被盗或被非法使用, 但是现有技术中,核心网的移动性管理网元,例如SAE网络中的MME或UMTS网络中的SGSN, 缺少对用户设备是否被非法使用的检测功能,因此用户设备存在安全性问题。
发明内容
有鉴于此,本发明提供了一种用户设备被非法使用的检测方案,用以解决现有技 术中,核心网的移动性管理网元缺少对用户设备是否被非法使用的检测功能的问题。
根据本发明的一个方面,提供了一种用户设备被非法使用的检测方法。根据本发明的用户设备被非法使用的检测方法包括核心网的移动性管理网元接 收用户设备在请求接入时上报的接入信息;移动性管理网元接收移动用户管理数据库保存 的用户设备的签约信息;移动性管理网元将接入信息与签约信息进行比较,判断用户设备 是否被非法使用。进一步地,如果判断用户备被非法使用,上述方法还包括移动性管理网元拒绝用 户设备接入,记录并上报用户设备被非法使用的信息。优选地,上述接入信息包括以下至少之一用户设备的国际移动用户识别码 IMSI、用户设备的标识MEID、用户设备的接入点位置信息Cell ID、用户设备的能力信息。优选地,上述签约信息包括以下至少之一用户设备的IMSI与MEID的绑定关系, 用户设备的接入点位置信息Cell ID、用户设备的能力信息。优选地,移动性管理网元在以下判断结果至少之一为否的情况下,确定用户设备 被非法使用移动性管理网元判断接入信息中的IMSI和MEID是否符合签约信息中的IMSI 与MEID的绑定关系;移动性管理网元判断接入信息中的Cell ID与签约信息中的Cell ID 是否一致;移动性管理网元判断接入信息中的用户设备的能力信息与签约信息中的用户设 备的能力信息是否一致。优选地,上述用户设备的能力信息包括用户设备的接入能力信息。进一步地,移动性管理网元接收用户设备在请求接入时上报的接入信息包括移 动性管理网元接收用户设备发起的附着请求,获取附着请求中携带的所述接入信息。优选地,上述移动性管理网元包括移动性管理实体;上述移动用户管理数据库 包括用户设备的归属用户服务器。优选地,上述移动性管理网元包括服务GPRS支持节点;移动用户管理数据库包 括用户设备的归属位置寄存器。根据本发明的另一个方面,提供了一种用户设备被非法使用的检测装置。根据本发明的用户设备被非法使用的检测装置包括接入信息接收模块、签约信 息接收模块以及判断模块,其中,接入信息接收模块,用于接收用户设备在请求接入时上报 的接入信息;签约信息接收模块,用于接收移动用户管理数据库保存的用户设备的签约信 息;判断模块,用于根据接入信息接收模块接收到的接入信息以及签约信息接收模块接收 到的签约信息,判断用户设备是否被非法使用。进一步地,上述装置还包括发送模块,用于在判断模块判断用户设备被非法使用 的情况下,上报用户设备被非法使用的信息。通过本发明的上述至少一个方案,移动性管理网元通过比较用户设备在接入时上 报的接入信息以及移动用户管理数据库保存的用户设备的签约信息,判断用户设备是否被 非法使用,从而解决了用户终端在实际应用中存在的安全性问题。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实 施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1是根据现有技术的用户设备通过SAE和/或UMTS接入MTC Server的网络示 意图;图2是根据本发明实施例的用户设备被非法使用的检测方法流程图;图3是根据本发明实施例一的流程图;图4是根据本发明实施例二的流程图;图5是根据本发明实施例三的流程图;图6是根据本发明实施例的用户设备被非法使用的检测装置的结构示意图。
具体实施例方式功能概述在本发明实施例中,核心网的移动性管理网元接收用户终端在接入时上报的接入 信息以及移动用户管理数据库保存的用户设备的签约信息,通过比较上述判断接入信息及 签约信息,判断用户终端是否被非法使用。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实 施例仅用于说明和解释本发明,并不用于限定本发明。根据本发明实施例,首先提供了一种用户设备被非法使用的检测方法。图2是根据本发明实施例的用户设备被非法使用的检测方法流程图,如图2所示, 该方法包括以下流程(步骤202-步骤206)步骤202、核心网的移动性管理网元接收用户设备在请求接入时上报的接入信 息;在具体实施过程中,用户设备向移动管理网元发起附着请求,请求接入,该附着 请求中携带用户设备的接入信息,具体可以但不限于包括以下至少之一用户标识(该用 户设备的IMSI),该用户设备标识(MEID),该用户设备的能力(例如支持LTE接入或支持 UTRAN 接入)。此外,上述附着请求可以通过接入网元转发,在转发的过程中,可以在接入信息中 增加该用户设备的接入点位置信息(该用户设备当前驻留的小区标识Cell ID)。步骤204、移动性管理网元接收移动用户管理数据库保存的用户设备的签约信 息;在具体的实施过程中,移动性管理网元向移动用户管理数据库发送获取签约数据 的请求,可以通过发送位置更新请求来实现,在该请求中需要携带上述用户设备的用户识 别码IMSI。用户管理数据库接收到获取签约数据的请求后,根据该清求中的IMSI,确定上述 用户设备的签约信息,其中,签约信息可以但不限于包括以下至少之一上述用户设备的接 入点位置信息(驻留小区标识Cell ID),用户标识与用户设备标识的绑定关系(IMSI绑定 MEID),上述用户设备的能力(例如该设备只具备UTRAN接入能力)。
步骤206、移动性管理网元将上述接入信息与上述签约信息进行比较,判断上述用 户设备是否被非法使用。在具体实施过程中,移动性管理网元通过以下判断,判断上述用户设备是否被非 法使用,如果以下判断至少一项为否,则确定用户设备被非法使用。(1)、移动性管理网元判断接入信息中的IMSI和MEID是否符合签约信息中的IMSI 与MEID的绑定关系;O)、移动性管理网元判断接入信息中的Cell ID与签约信息中的Cell ID是否一 致;(3)、移动性管理网元判断接入信息中的用户设备的能力信息与签约信息中的用 户设备的能力信息是否一致。在具体的实施过程中,执行步骤206之后,如果确定了当前用户设备被非法使用, 移动性管理网元拒绝该用户设备接入,记录并向应用服务器(例如MTC Server)和/或用 户管理数据库上报该用户设备被非法使用的信息。在具体的实施过程中,执行步骤206之后,如果确定当前用户设备没有被非法使 用,则允许该用户设备接入。下面通过具体的实施例对上述用户设备被非法使用的检测方法进行详细介绍,需 要说明的是,在以下实施例中,通过SAE或UMTS接入MTC Server,但该方法并不限于MTC应 用服务,同样适用于其他应用服务。在以下实施例中,如果用户设备通过SAE接入MTC Server,则移动性管理网元为 MME,移动用户管理数据库为HSS(归属用户服务器),接入网元为eNodeB;如果用户设备通 过UMTS接入MTC Server,则移动性管理网元为SGSN,移动用户管理数据库为HLR(归属位 置寄存器),接入网元为RAN。实施例一在本实施例中,用户设备UE (MTC Device)通过SAE/UMTS初始接入MME1/SGSN1,之 后又接入MME2/SGSN2。图3是根据本发明实施例一的流程图,如图3所示,具体流程包括以下步骤(步骤 301-步骤 310)步骤301、用户设备向MMEl/SGSm发起附着请求,其中携带用户设备的能力,如支 持LTE接入,以及用户的身份标识如IMSIl和MEID2。此外该消息是通过eNodeB/RAN转发 的,eNodeB/RAN会在该消息以外增加用户当前的小区标识Cell IDl发给MMEl ;当用户没 有在附着请求中携带MEID2时,MMEl可以直接发送身份请求给用户设备,请求其发送MEID2 给 MMEl ;步骤302、MME1/SGSN1向HSS/HLR发送位置更新请求,其中携带用户身份IMSI ;步骤303、HSS/HLR向MMEl/SGSW发送位置更新回复,其中携带用户签约信息,具 体可以是,但不限于接入点位置(如CELL ID2,小区标识),或者用户设备的能力(该设备 只有UTRAN接入能力),或者用户标识与用户设备标识的对应关系(如用户标识IMSIl和用 户设备标识MEID1);步骤304、MME1/SGSN1检查用户签约信息与接入信息,发现有不一致的地方,如 接入点位置不同,和/或用户设备能力不同,和/或用户标识与用户设备标识的对应关系不同(签约IMSIl和MEIDl,但是实际接入时是IMSIl和MEID2),因此认为该设备被非法使用, 记录下该用户为非法使用状态,发送附着拒绝消息给用户设备;步骤305、用户设备接入到另外一个MME2/SGSN2,可以是由于位置改变引起的MME 改变。用户设备向MME2/SGSN2发起附着请求;步骤306、MME2/SGSN2向HSS/HLR发起位置更新请求,其中携带用户身份;步骤307、HSS/HLR收到上述请求后,发现当前有MMEl/SGSW注册为该用户服务, 因此向MMEl/SGSm发送删除位置,其中包含用户身份;步骤308、MMEl/SGSm收到上述删除位置消息后,根据用户身份,检查自身保存的 用户设备当前的状态为非法使用,因此向HSS/HLR发送删除位置回复消息,该消息同时包 含有该用户设备被非法使用指示;步骤309、HSS/HLR记录下上述用户设备被非法使用指示,向MME2/SGSN2发送位置 更新回复,其中包含有该用户被非法使用指示;步骤310、MME2/SGSN2根据接收到的上述用户设备被非法使用指示,发送附着拒 绝消息给用户设备。实施例二在本实施例中,用户设备UE (MTC Device)通过SAE/UMTS初始接入MME1/SGSN1,之 后又接入MME2/SGSN2,与实施例一不同的是,MME1/SGSN1发现用户设备被非法使用后,立 即通知HSS/HLR。图4是根据本发明实施例二的流程图,如图4所示,具体流程包括以下步骤(步骤 401-步骤 410)其中,步骤401-404与步骤301—304相同;步骤405、MME1/SGSN1根据用户设备被非法使用状态,向HSS发起清除用户设备, 该消息中包含用户设备被非法使用指示,以及用户身份IMSI ;步骤406、HSS/HLR记录下该用户设备被非法使用状态,向MMEl/SGSm发送清除用 户设备回复;步骤407-408与步骤305-306相同;步骤409、HSS/HLR根据自身保存的该用户设备被非法使用状态,向MME2发送更新 位置回复,其中包含该用户设备被非法使用指示;步骤410、MME2/SGSN2根据接收到的上述用户设备被非法使用指示,向用户设备 发送附着拒绝。实施例三在本实施例中,MME/HSS或者SGSN/HLR获知用户设备被非法使用后,通知MTC Server。图5是根据本发明实施例三的流程图,如图5所示,该流程包括以下步骤(步骤 501-步骤 502)步骤501、在第一实施例和第二实施例中,当MME/HSS或者SGSN/HLR知道该用户设 备被非法使用时,向MTC Server发送用户设备被非法使用告警消息,其中告警消息包含该 用户设备的身份,如IMSI ;步骤502、MTC Server接受到上述告警消息后,向发送方回复接收确认。
根据本发明实施例,还提供了 一种用户设备被非法使用的检测装置,该装置可以 设置在核心网的移动性管理网元中,也可以单独设置。图6是根据本发明实施例的用户设备被非法使用的检测装置的结构示意图。如图 6所示,该装置包括接入信息接收模块61、签约信息接收模块62以及判断模块63,其中, 接入信息接收模块61,用于接收用户设备在请求接入时上报的接入信息;签约信息接收模 块62,用于接收移动用户管理数据库保存的用户设备的签约信息;判断模块63,用于根据 接入信息接收模块61接收到的接入信息以及签约信息接收模块62接收到的签约信息,判 断用户设备是否被非法使用。优选地,上述装置还可以包括发送模块64,用于在判断模块63判断用户设备被 非法使用的情况下,上报用户设备被非法使用的信息。如上所述,借助本发明实施例提供的技术方案,移动性管理网元通过比较用户终 端在接入时上报的接入信息以及移动用户管理数据库保存的用户设备的签约信息,判断用 户终端是否被非法使用,如果被非法使用则拒绝该用户设备接入,从而防止了用户设备被 非法使用,解决了用户终端在实际应用中存在的安全性问题。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种用户设备被非法使用的检测方法,其特征在于,包括核心网的移动性管理网元接收用户设备在请求接入时上报的接入信息; 所述移动性管理网元接收移动用户管理数据库保存的所述用户设备的签约信息; 所述移动性管理网元将所述接入信息与所述签约信息进行比较,判断所述用户设备是 否被非法使用。
2.根据权利要求1所述的方法,其特征在于,如果判断所述用户备被非法使用,则所述 方法还包括所述移动性管理网元拒绝所述用户设备接入,记录并上报所述用户设备被非法使用的 fn息ο
3.根据权利要求2所述的方法,其特征在于,所述接入信息包括以下至少之一所述用 户设备的国际移动用户识别码IMSI、所述用户设备的标识MEID、所述用户设备的接入点位 置信息Cell ID、所述用户设备的能力信息。
4.根据权利要求3所述的方法,其特征在于,所述签约信息包括以下至少之一所述用 户设备的IMSI与MEID的绑定关系,所述用户设备的接入点位置信息Cell ID、所述用户设 备的能力信息。
5.根据权利要求4所述的方法,其特征在于,所述移动性管理网元在以下判断结果至 少之一为否的情况下,确定所述用户设备被非法使用所述移动性管理网元判断所述接入信息中的IMSI和MEID是否符合所述签约信息中的 IMSI与MEID的绑定关系;所述移动性管理网元判断所述接入信息中的Cell ID与所述签约信息中的Cell ID是 否一致;所述移动性管理网元判断所述接入信息中的用户设备的能力信息与所述签约信息中 的用户设备的能力信息是否一致。
6.根据权利要求3至5中任一项所述的方法,其特征在于,所述用户设备的能力信息包 括所述用户设备的接入能力信息。
7.根据权利要求1至5任一项所述的方法,其特征在于,所述移动性管理网元接收用户 设备在请求接入时上报的接入信息包括所述移动性管理网元接收所述用户设备发起的附着请求,获取所述附着请求中携带的 所述接入信息。
8.根据权利要求7所述的方法,其特征在于, 所述移动性管理网元包括移动性管理实体;所述移动用户管理数据库包括所述用户设备的归属用户服务器。
9.根据权利要求7所述的方法,其特征在于, 所述移动性管理网元包括服务GPRS支持节点;所述移动用户管理数据库包括所述用户设备的归属位置寄存器。
10.一种用户设备被非法使用的检测装置,其特征在于,包括接入信息接收模块,用于接收用户设备在请求接入时上报的接入信息; 签约信息接收模块,用于接收移动用户管理数据库保存的所述用户设备的签约信息; 判断模块,用于根据所述接入信息接收模块接收到的所述接入信息以及所述签约信息接收模块接收到的所述签约信息,判断所述用户设备是否被非法使用。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括 发送模块,用于在所述判断模块判断所述用户设备被非法使用的情况下,上报所述用 户设备被非法使用的信息。
全文摘要
本发明公开了一种用户设备被非法使用的检测方法及检测装置,在上述方法中,核心网的移动性管理网元接收用户设备在请求接入时上报的接入信息;移动性管理网元接收移动用户管理数据库保存的用户设备的签约信息;移动性管理网元将接入信息与签约信息进行比较,判断用户设备是否被非法使用。通过本发明提供的技术方案,解决了用户终端在实际应用中存在的安全性问题。
文档编号H04W12/00GK102045688SQ20091017985
公开日2011年5月4日 申请日期2009年10月15日 优先权日2009年10月15日
发明者宗在峰, 朱春晖 申请人:中兴通讯股份有限公司