专利名称:一种防止非法终端接入的方法、终端及系统的制作方法
技术领域:
本发明涉及移动通信领域,具体涉及一种防止非法终端盗用其它设备的 USIM(Universal SubscriberIdentity Module,全球用户识别卡)接入到网络的方法、终端 及系统。
背景技术:
近年来,M2M(Machine to Machine,机器到机器间的通信)业务逐渐开始得 到应用,如物流系统、远程抄表、智能家居等应用。M2M服务商使用现有的无线网络,如 GPRS (General Packet Radio service,通用分组无线业务)网络、EPS (Evolved Packet System,演进分组系统)网络等PS网络开展M2M业务。因M2M业务与H2H(Human to Human, 人与人之间的通信)业务有明显的差异性,需要对现有的网络进行必要的优化,以获得最 佳的网络管理与网络通讯质量。GPRS网络是一个基于包交换的第二代移动通信网络,到了第三代移动通信系统, GPRS 演进为 UMTS PS(Universal Mobile Telecommunication system Packet Switch,通 用移动通信系统分组交换)域。如图1所示,为UMTS PS的网络架构,该网络架构中包含如 下网元RNS (Radio Network System,无线网络系统),RNS 中包含 NodeB (节点 B)与 RNC (Radio Network Controller,无线网络控制器),NodeB为终端提供空口连接;RNC主要 用于管理无线资源以及控制NodeB。RNC与NodeB之间通过Iub 口连接,终端通过RNS接入 UMTS的分组域核心网(Packet Core);SGSN(Serving GPRS Support Node)为服务GPRS支持节点,用于保存用户的路由 区位置信息,负责安全和接入控制;SGSN通过Iu 口与RNS相连;GGSN(Gateway GPRS support Node)为网关GPRS支持节点,用于负责分配终端的 IP地址和到外部网络的网关功能,在内部通过口与SGSN相连;HLR(Home Location Register)为归属位置寄存器,用于保存用户的签约数据和 当前所在的SGSN地址,通过Gr 口与SGSN相连,通过Gc 口与GGSN相连;PDN(Packet Data Network)为分组数据网络,用于为用户提供基于分组的业务 网,通过Gi 口与GGSN相连。在图1 中,MTC(Machine Type Communication,机器类型通信)UE需要通过GPRS 网 络向MTC krver或其它的MTC UE传输数据信息。GPRS网络为此次传输建立RNC-SGSN-GGSN 之间的隧道,隧道基于GTP(GPRS Tunneling Protocol, GPRS隧道协议)协议,数据信息通 过GTP隧道实现可靠传输。随着无线宽带技术的发展,业务层对传输层的带宽、时延等性能要求越来越 高。为提高其网络性能,降低网络建设及运营成本,3GPP致力于系统架构演进(System Architecture Evolution,简称SAE)的研究,目的是使得演进的分组网(Evolved Packet Core,简称EPC)可提供更高的传输速率、更短的传输延时、优化分组,及支持E-UTRAN(Evolved UTRAN,演进的 UTRAN)、UTRAN、无线局域网(Wireless Local Area Network,简称WLAN)及其他非3GPP的接入网络之间的移动性管理。目前SAE的架构如图2所示,其中,演进的无线接入网(Evolved Radio Access Network,简称Ε-RAN)中包含的网元是演进节点B (Evolved NodeB,简称eNodeB),用于为用 户的接入提供无线资源;分组数据网(Packet Data Network,简称PDN)是为用户提供业务 的网络;EPC提供了更低的延迟,并允许更多的无线接入系统接入,其包括如下网元移动管理实体(Mobility Management Entity,简称MME),是控制面功能实体,临 时存储用户数据的服务器,负责管理和存储用户设备(User Equipment,简称UE)的上下文 (比如用户标识、移动性管理状态、用户安全参数等),为用户分配临时标识,当UE驻扎在该 跟踪区域或者该网络时,负责对该用户进行鉴权;服务网关(Serving (Gateway,简称SGW),是一个用户面实体,负责用户面数据路由 处理,终结处于空闲(ECM IDI^)状态的UE的下行数据。管理和存储UE的SAE承载(bearer) 上下文,比如IP承载业务参数和网络内部路由信息等。SGW是3GPP系统内部用户面的锚 点,一个用户在一个时刻只能有一个SGW ;分组数据网网关(PDN (Gateway,简称PGW),是负责UE接入PDN的网关,分配用户 IP地址,也是3GPP和非3GPP接入系统的移动性锚点,PGff的功能还包括策略实施、计费支 持。用户在同一时刻能够接入多个PGW。策略与计费实施功能实体(Policy and Charging Enforcement Function,简称 PCEF)也位于 PGW 中;策略与计费规则功能实体(Policyand Charging Rules Function,简称 PCRF), 负责向PCEF提供策略控制与计费规则;归属用户服务器(Home Subscriber Server,简称HSS),负责永久存储用户签约数 据,HSS存储的内容包括UE的国际移动用户识别码(International Mobile Subscriber Identification,简称 IMSI)、PGff 的 IP 地址。在物理上,SGff和PGW可能合一,EPC系统用户面网元包括SGW和PGW。机器类通信服务器(MachineType Communication Server,简称MTC Server),主 要负责对MTC设备的信息采集和数据存储/处理等工作,并可对MTC设备进行必要的管理。机器类通信设备(MachineType Communication Device,简称 MTC UE),与 UE 类 似,也包括 UICC (Universal Integrated Circuit Card,通用集成电路卡)和 ME (Mobile Equipment,移动设备),通常负责收集若干采集器的信息并通过RAN节点接入核心网,并与 MTC Server交互数据。在图2中,MTC UE需要通过SAE网络向MTC Server或其它的MTC UE传输数据信 息。SAE网络为此次传输建立SGW-PGW之间的GTP隧道,数据信息通过GTP隧道实现可靠传输。图3是现有技术下,UE接入到EPS网络,执行网络附着及IP承载建立的过程。S301, UE为了接入到SAE网络,向eNodeB发起网络附着请求,在其中携带了 IMSI (international mobile subscriber identity,国际移动用户识别码)、UE 的网络接 入能力、请求分配IP的指示等信息;S302,eNodeB为UE选择一个为之服务的MME,并将附着请求转发到该MME,同时将 UE的标识等重要信息也携带给该MME ;4
S303,MME向HSS发送鉴权数据请求消息(消息中含IMSI),HSS首先判断IMSI对 应的签约数据,如果查找不到任何签约或者IMSI已被列入黑名单,则HSS向MME返回鉴权 数据响应并携带合适的错误原因;如果找到IMSI对应的签约数据,则HSS向MME返回鉴权 数据响应消息(含鉴权向量);MME执行鉴权流程以验证终端IMSI的合法性,并执行安全模式流程以启用安全连接。S304,MME向归属网的HSS发送位置更新请求,消息中携带MME的标识、UE的标识, 以告知UE当前所接入的区域;S305, HSS根据UE的标识查找出UE的签约用户数据,发送给MME。用户数据中主 要包含缺省接入点名称(Access Point Name,简称APN)、带宽大小等信息;MME接收到用户数据,检查UE是否被允许接入到网络,向HSS返回接收用户响应; 若MME发现UE有漫游限制或接入限制等问题,MME将禁止UE附着,并通知HSS。S306, HSS向MME发送确认位置更新响应;S307, MME为UE选择一个S_GW,并向其发送建立默认承载的请求。在该请求中, MME告知S-GW必要的信息UE的标识、MME的标识、为UE分配IP地址的指示、缺省带宽信 息、PDN GW地址等;S308, S-Gff向PDN Gff发送建立默认承载的请求。在该请求中,S-GW告知PDN Gff 必要的信息=S-GW的地址、缺省带宽信息、为UE分配IP地址的指示等;S309,如有必要,PDN Gff向PCRF请求为该UE所配置的策略和计费规则、决策信 息;S310, PDN Gff根据PCRF返回的策略和计费决策信息,建立缺省承载,并向S-GW返 回承载建立响应;S311,S-Gff向MME发送默认承载建立的响应;S312,MME向eNodeB发送附着响应,表明UE的附着到网络的请求已被接受;S313,eNodeB向UE发送无线承载建立请求,要求UE保存承载建立的重要信息,并 开放相应的端口。在无线承载建立请求中携带了承载网络ID、PDN GW地址、分配给UE的IP 地址、带宽信息等;S314,UE向eNodeB发送无线承载建立响应;S315,eNodeB通知MME附着过程完成;S316,MME向S-GW发送更新承载请求,通知为UE服务的eNodeB的标识、地址;S317,S-Gff向MME发送更新承载响应;S318,如果PDN GW不是HSS指定的,则MME向HSS发送位置更新请求,通知给HSS 为UE所服务的PDN Gff的地址信息,HSS更新该信息。在图3中,SAE网络对UE的鉴权主要是验证IMSI的合法性。图4是现有技术下,UE接入到GPRS网络,执行网络附着的过程。S401,用户首次通过RNS向SGSN发起附着请求,携带附着类型、IMSI等参数。RNS 根据其负载情况,以用户的IMSI (International Mobile subscriber Identity,国际移动 用户标识,)为请求标识将该消息路由到SGSN ;S402, SGSN向HLR请求对IMSI进行鉴权,HLR根据IMSI下载鉴权认证参数,SGSN对UE进行鉴权与认证;S403, SGSN发送位置更新请求给HLR,携带SGSN号码与地址、IMSI等参数;S404, HLR将与IMSI相对应的签约数据下载给SGSN,SGSN对ME进行接入控制检 查,检查UE是否有区域限制或接入限制,然后返回插入数据响应给HLR。S405,HLR确认位置更新消息,并发位置更新响应给SGSN。若位置更新请求被HLR 拒绝,SGSN将拒绝UE的附着请求;S406, SGSN 为该用户分配 P-TMSI (Packet-iTemporate Mobile subscriber Identify,分组临时移动用户识别号码),然后将附着接受消息发给UE,携带为UE分配的 P-TMSI等信息;S407,若P-TMSI被更新,MS返回附着完成消息给SGSN进行确认,完成GPRS附着流程。在图4中,GPRS网络对UE的鉴权主要是验证IMSI的合法性。M2M业务是以机器终端智能交互为核心的、网络化的应用与服务。它采用智能机器 终端,通过无线网络传输信息,为客户提供的信息化解决方案,用于满足客户对监控、指挥 调度、数据采集和测量等方面的信息化需求。M2M的通信对象为机器对机器,可以是人与机器之间的通信,机器与服务器之间的 通信,不同智能终端之间的通信。不同应用的MTC设备具有不同的特性,如电梯等升降机设 备具有低移动性、PS only属性,而监视、警报设备除具有低移动性、PS only外,还具有低数 据传输和高可用性等属性。因此需要针对不同应用的MTC设备进行不同的系统优化,可有 效的对MTC设备进行管理、监控、付费等。目前现有GPRS与LTE网络中,从图3与图4的流程中可以看出,现有技术仅支持 对普通移动用户身份的鉴权,即对用户的IMSI进行认证。只要IMSI在HSS中的签约没有 问题,终端设备就可以接入到网络中,这是不能满足M2M应用对通信安全性的需求的。M2M通信的引入,尤其是MTC设备的特殊性(如无人值守的户外MTC终端),因此 防盗与防止非法接入到MTC服务器是非常重要的需求。在H2H应用与M2M应用共存的场景 中,非法用户可能会盗用MTC终端的SIM卡插入到H2H设备中,采用H2H设备以MTC设备的 IMSI非法接入到网络,不但可以享受MTC终端的费率优惠及其它个性化服务,更重要的是 可以非法侵入到MTC Sever中,对MTC krver的信息安全造成极大的隐患。因此需要对网 络流程进行优化以限制非法的设备采用M2M终端的USIM接入网络。
发明内容
本发明要解决的技术问题是提供一种防止非法终端接入的方法、终端及系统,使 得非法终端无法接入到网络,提高通信安全。为了解决上述问题,本发明提供了一种防止非法终端接入的方法,包括网络侧在 终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹 配,如果不匹配,所述网络侧拒绝所述终端接入到网络。进一步地,上述方法还可具有以下特点,所述网络侧从所述终端发送的接入请求 中获取所述终端的设备类型和/或设备接入能力。进一步地,上述方法还可具有以下特点,所述设备类型是指手机类设备或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。进一步地,上述方法还可具有以下特点,所述不匹配是指,终端的设备类型与所述 用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的 设备接入能力不匹配;或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹 配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配。进一步地,上述方法还可具有以下特点,所述网络侧拒绝所述终端接入到网络时, 还返回拒绝原因值给所述终端,指示所述终端为非法终端。本发明还提供一种防止非法终端接入的系统,包括网络侧,用于在终端请求接入 到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹 配,拒绝所述终端接入到网络。进一步地,上述系统还可具有以下特点,所述网络侧,用于从所述终端发送的接入 请求中获取所述终端的设备类型和/或设备接入能力。进一步地,上述系统还可具有以下特点,所述设备类型是指手机类设备或者机器 类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。进一步地,上述系统还可具有以下特点,所述网络侧,判断终端的设备类型与所述 用户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的 设备接入能力不匹配,或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹 配,或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配时,则认为终端的 设备类型和/或设备接入能力与用户签约数据不匹配。进一步地,上述系统还可具有以下特点,所述网络侧,还用于在拒绝所述终端接入 到网络时,返回拒绝原因值给所述终端,指示所述终端为非法终端。本发明还提供一种防止非法接入的终端,所述终端,用于在请求接入到网络时,在 接入请求中携带所述终端的设备类型或/与设备接入能力。进一步地,上述终端还可具有以下特点,所述设备类型是指手机类设备或者机器 类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。采用本发明的方法,当非法终端盗用其它M2M设备的USIM接入到网络时,MME/ SGSN可以根据设备类型/设备接入能力与签约数据的匹配关系来进行判别是否是非法设 备接入。如果是H2H终端,而签约数据是M2M终端的签约,就认为是非法设备接入,反之亦 然。本方法可以有效的防止非法用户恶意盗用MTC设备的USIM接入网络的问题,保证MTC 通信的安全。
图1是现有技术中GPRS网络系统架构示意图;图2是现有技术中EPS网络系统架构示意图;图3是现有技术中MTC UE附着到EPS网络的流程图;图4是现有技术中MTC UE附着到GPRS网络的流程图;图5是本发明中非法MTC UE附着到PS网络的流程图;图6是本发明中实施例1非法MTC UE附着到EPS网络的流程图;图7是本发明中实施例2非法MTC UE附着到EPS网络的流程图8是本发明中实施例3非法MTC UE附着到GPRS网络的流程图;图9是本发明中实施例4非法MTC UE附着到GPRS网络的流程图。
具体实施例方式下面结合附图和具体实施例对本发明所述技术方案作进一步的详细描述,以使本 领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。本发明中终端需要携带设备类相关信息,例如为设备类型信息,指示设备是机器 类设备还是手机类设备;或者为设备接入能力信息,指示设备具有机器类接入能力还是手 机类接入能力。当SGSN/MME从用户数据库下载到用户签约数据后,可以根据用户签约数据 判断出是机器类签约或是手机类签约。判断方法有很多种,如在用户签约数据中可以签约 M2M接入能力或H2H接入能力,也可以在用户签约数据中标记是M2M设备签约信息还是H2H 设备签约信息,也可以通过不同的IMSI划分的字段来进行识别,H2H设备与M2M设备采用 不同的IMSI号段,这个可以由运营商自己定义。MME/SGSN判断出终端设备信息与签约数据 不匹配,就需要拒绝终端设备的接入,保证网络的安全,同时向用户数据库及终端返回拒绝 的原因。本发明提供的防止非法终端接入的方法包括当终端请求接入到网络时,网络侧 判断终端的设备信息与用户签约数据是否匹配,如果不匹配,则拒绝所述终端接入到网络。其中,终端的设备信息由终端在接入请求中带给网络。其中,所述设备信息可以是设备类型和/或设备接入能力。其中,设备类型可以是 机器类设备(或称M2M设备)或手机类设备(或称H2H设备)。设备接入能力为机器类设 备接入能力(或称M2M接入能力)或手机类设备接入能力(或称H2H接入能力)。其中,用户签约数据中可以包含设备类型信息和/或设备接入能力信息。其中,终端的设备信息与用户签约数据不匹配是指终端的设备类型与用户签约 数据中包含的设备类型不匹配,或,终端的设备接入能力与用户签约数据中包含的设备接 入能力不匹配。终端的设备信息与用户签约数据不匹配也可以拓展为终端的设备类型与用 户签约数据中包含的设备接入能力不匹配,或,终端的设备接入能力与用户签约数据中包 含的设备类型不匹配。比如说终端的设备类型是H2H设备类型,用户签约数据中是M2M接 入能力,则认为二者不匹配。进一步地,网络拒绝所述终端接入时,还返回非法接入的原因值给终端,标识所述 终端为非法终端。图5是本发明所述方法的流程图,具体包括如下步骤S501 =MTC UE通过无线接入网络向PS核心网络发起附着请求消息;在附着请求消息中需扩展参数,增加设备信息参数;设备信息参数可以是设备类型,指示终端是机器类设备(MTC设备)还是手机类设 备(H2H设备)。设备类型也可以扩展定义不同类型的机器类设备或不同类型的手机类设 备,具体可以根据运营商的需求定义;手机类设备的设备类型可以缺省参数为空;设备信息参数还可以是设备接入能力,指示终端具备机器类设备接入能力还是手机类设备接入能力,可以在终端网络能力的字段中扩展相关参数。设备接入能力也可以扩 展定义不同类型的机器类设备接入能力或不同类型的手机类设备接入能力,具体可以根据 运营商的需求定义;手机类设备的设备接入能力可以缺省参数为空;S502 =PS核心网络发送位置更新请求给HLR/HSS,携带PS核心网络地址、IMSI等 参数;其中,HLR/HSS为用户数据库。S503 HLR/HSS找到与IMSI对应的用户签约数据,并将用户签约数据下载给PS核 心网络;用户签约数据中根据运营商的需求可以包含设备接入能力信息,如机器类设备接 入能力(M2M接入能力)与手机类设备接入能力(H2H接入能力);用户签约数据中也可以包含设备类型信息,如机器类设备(M2M设备)与手机类设 备(H2H设备);S504 =PS核心网络对终端附着请求消息中携带的设备信息与从用户数据库下载 的用户签约数据进行匹配,如果不匹配,就拒绝终端的接入请求,并在插入用户数据响应中 向HLR/HSS返回拒绝原因;其中,不匹配可以是终端的设备类型与用户签约数据中指示的设备类型不一致; 或者是终端的设备接入能力与用户签约数据中指示的设备接入能力不一致;或者,终端的 设备类型与用户签约数据中指示的设备接入能力不一致;或者,终端的设备接入能力与用 户签约数据中指示的设备类型不一致。S505 =PS核心网络发现终端携带的设备信息与用户签约数据的设备信息不匹配, 拒绝终端接入网络,发送拒绝消息给终端。其中,拒绝消息中可以携带拒绝的原因值,指示该终端是非法终端。本发明实施例1见图6,当终端接入到EPS网络时携带设备类型参数,MME判断设 备类型参数与签约数据是否匹配。本发明具体流程如下S601,UE为了接入到SAE网络,向eNodeB发起附着请求,在其中携带了 IMSI、设备 类型、UE的网络接入能力、请求分配IP的指示等信息;设备类型可以标识终端是M2M设备还是H2H设备,也可以扩展标识是哪一类M2M 设备或是哪一类H2H设备,如抄表类、监控类等M2M设备类型,可以根据运营商需求进行定 义;对于H2H设备可以缺省参数为空,即将设备类型字段设为空;S602, eNodeB为UE选择一个为之服务的MME,并将附着请求转发到该MME,同时将 UE的标识、UE的设备类型等重要信息也携带给该MME ;S603,MME向HSS发送鉴权数据请求消息(含IMSI),HSS找到IMSI对应的签约数 据,并向MME返回鉴权数据响应消息(含鉴权向量);MME执行鉴权流程以验证终端IMSI的合法性,并执行安全模式流程以启用安全连接。S604,MME向归属网的HSS发送位置更新请求,消息中携带MME的标识、UE的标识, 以告知UE当前所接入的区域;
S605,HSS根据UE的标识查找出UE的用户签约数据,发送给MME。用户签约数据 中主要包含缺省接入点名称(Access Point Name,简称APN)、带宽大小等信息;用户签约数据中可以包含设备类型,指示该设备是M2M设备还是H2H设备。若没 有此信息,运营商可以通过分配不同的IMSI号段来区分是哪一类设备终端;S606,MME接收到用户签约数据,检查UE是否被允许接入到网络,若MME发现UE有 漫游限制或接入限制等问题,MME将禁止UE附着,并通知HSS。若UE没有接入等限制,MME还需要检查终端携带的设备类型参数与用户签约数据 对应的设备类型是否匹配,若不匹配,比如终端携带的是H2H设备,而用户签约数据指示的 是M2M设备,MME就需要拒绝此终端的接入,并标识为非法终端接入。S607,MME向HSS发送插入用户数据响应消息,携带UE是否允许接入、是否是非法 终端等信息;S608 S609,MME发现终端携带的设备类型与用户签约数据不匹配,就拒绝终端 的附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。本发明实施例2见图7,当终端接入到EPS网络时携带设备接入能力参数,MME判 断设备接入能力参数与签约数据是否匹配。本发明具体流程如下S701,UE为了接入到SAE网络,向eNodeB发起附着请求,在其中携带了 IMSI、设备 接入能力、UE的网络接入能力、请求分配IP的指示等信息;设备接入能力可以标识是终端具有M2M接入能力还是H2H接入能力,具体可以在 终端网络能力字段中扩展此接入能力参数。设备接入能力指示也可以扩展标识是哪一类 M2M接入能力或是哪一类H2H接入能力,如PS only类、高可用性类等M2M接入能力类型,可 以根据运营商需求进行定义;对于H2H接入能力可以缺省参数为空;S702,eNodeB为UE选择一个为之服务的MME,并将附着请求转发到该MME,同时将 UE的标识、UE的接入能力等重要信息也携带给该MME ;S703,MME向HSS发送鉴权数据请求消息(含IMSI),HSS找到IMSI对应的签约数 据,并向MME返回鉴权数据响应消息(含鉴权向量);MME执行鉴权流程以验证终端IMSI的合法性,并执行安全模式流程以启用安全连接。S704,MME向归属网的HSS发送位置更新请求,消息中携带MME的标识、UE的标识, 以告知UE当前所接入的区域;S705, HSS根据UE的标识查找出UE的用户签约数据,发送给MME。用户签约数据 中主要包含缺省接入点名称(Access PointName,简称APN)、带宽大小等信息;用户签约数据中可以包含设备接入能力,指示该设备签约了 M2M接入能力还是 H2H接入能力;S706,MME接收到用户签约数据,检查UE是否被允许接入到网络,向HSS返回接收 用户响应;若MME发现UE有漫游限制或接入限制等问题,MME将禁止UE附着,并通知HSS ;若UE没有接入等限制,MME还需要检查终端携带的设备接入能力与用户签约数据 对应的设备接入能力是否匹配,若不匹配,比如终端携带的是H2H接入能力,而用户签约数 据指示的是M2M接入能力,MME就需要拒绝该终端的接入,并标识为非法终端接入。
S707,MME向HSS发送插入用户数据响应消息,携带UE是否允许接入、是否是非法 终端等信息;S708 S709,MME发现终端携带的设备接入能力与用户签约数据不匹配,就拒绝 终端的附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。本发明实施例3见图8,当终端接入到GPRS网络时携带设备类型参数,SGSN判断 设备类型参数与签约数据是否匹配。本发明具体流程如下S801,用户首次通过RNS向SGSN发起附着请求,携带附着类型、IMSI、设备类型等 参数。RNS 根据其负载情况,以用户的 IMSiantemational Mobile subscriber Identity, 国际移动用户标识,)为请求标识将该消息路由到SGSN ;设备类型可以标识终端是M2M设备还是H2H设备,也可以扩展标识是哪一类M2M 设备或是哪一类H2H设备,如抄表类、监控类等M2M设备,可以根据运营商需求进行定义;对于H2H设备可以缺省参数为空;S802, SGSN向HLR请求对IMSI进行鉴权,HLR根据IMSI下载鉴权认证参数,SGSN 对UE进行鉴权与认证;S803, SGSN发送位置更新请求给HLR,携带SGSN号码与地址、IMSI等参数;S804, HLR将与IMSI相对应的用户签约数据下载给SGSN,用户签约数据中除包含 带宽大小等信息,还可以包含设备类型,指示该设备是M2M设备还是H2H设备。若没有此信 息,运营商可以通过分配不同的IMSI号段来区分是哪一类设备类型;S805,SGSN对ME进行接入控制检查,检查UE是否有区域限制或接入限制,同时 SGSN还需要检查终端携带的设备类型与用户签约数据对应的设备类型是否匹配,若不匹 配,比如终端携带的是H2H设备,而用户签约数据指示的是M2M设备,MME就需要拒绝此终 端的接入,并标识为非法终端接入。S806, SGSN向HLR发送插入用户数据响应消息,携带UE是否允许接入、是否是非 法终端等信息;S807,SGSN发现终端携带的设备类型与用户签约数据不匹配,就拒绝终端的附着 请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。本发明实施例4见图9,当终端接入到GPRS网络时携带设备接入能力参数,SGSN 判断设备接入能力与签约数据是否匹配。本发明具体流程如下S901,用户首次通过RNS向SGSN发起附着请求,携带附着类型、IMSI、设备接入 能力等参数。RNS根据其负载情况,以用户的IMSI (International Mobile subscriber Identity,国际移动用户标识,)为请求标识将该消息路由到SGSN ;设备接入能力可以标识终端具有M2M接入能力还是H2H接入能力,具体可以在终 端网络能力字段中扩展此接入能力参数。接入能力参数也可以扩展标识是哪一类M2M接入 能力或是哪一类H2H接入能力,如PS only类、高可用性类等M2M接入能力类型,可以根据 运营商需求进行定义;对于H2H接入能力可以缺省参数为空;S902, SGSN向HLR请求对IMSI进行鉴权,HLR根据IMSI下载鉴权认证参数,SGSN 对UE进行鉴权与认证;S903, SGSN发送位置更新请求给HLR,携带SGSN号码与地址、IMSI等参数;
S904, HLR将与IMSI相对应的用户签约数据下载给SGSN,用户签约数据中除包含 带宽大小等信息,还可以包含设备接入能力,指示该设备签约了 M2M接入能力还是H2H接入 能力;S905, SGSN对ME进行接入控制检查,检查UE是否有区域限制或接入限制,同时 SGSN还需要检查终端携带的设备接入能力与用户签约数据对应的设备接入能力是否匹配, 若不匹配,比如终端携带的是H2H接入能力,而用户签约数据指示的是M2M接入能力,MME就 需要拒绝该终端的接入,并标识为非法终端接入。S906, SGSN向HLR发送插入用户数据响应消息,携带UE是否允许接入、是否是非 法终端等信息;S907,SGSN发现终端携带的设备接入能力与用户签约数据不匹配,就拒绝终端的 附着请求,并携带非法终端接入的原因值给UE,指示UE是非法终端。本发明还提供一种防止非法终端接入的系统,包括网络侧,用于在终端请求接入 到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹 配,拒绝所述终端接入到网络。所述设备类型是指手机类设备或者机器类设备;所述设备接 入能力是指手机类设备接入能力或者机器类设备接入能力。其中,所述网络侧,用于从所述终端发送的接入请求中获取所述终端的设备类型 和/或设备接入能力。其中,所述网络侧,判断终端的设备类型与所述用户签约数据中的设备类型不匹 配,或者,终端的设备接入能力与所述用户签约数据中的设备接入能力不匹配,或者,终端 的设备类型与所述用户签约数据中的设备接入能力不匹配,或者,终端的设备接入能力与 所述用户签约数据中的设备类型不匹配时,则认为终端的设备类型和/或设备接入能力与 用户签约数据不匹配。其中,所述网络侧,还用于在拒绝所述终端接入到网络时,返回拒绝原因值给所述 终端,指示所述终端为非法终端。本发明还提供一种防止非法接入的终端,所述终端,用于在请求接入到网络时,在 接入请求中携带所述终端的设备类型或/与设备接入能力。所述设备类型是指手机类设备 或者机器类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。本发明通过对用户设备信息进行检验,防止了非法终端的接入。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。1权利要求
1.一种防止非法终端接入的方法,其特征在于,包括网络侧在终端请求接入到网络 时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,所述 网络侧拒绝所述终端接入到网络。
2.如权利要求1所述的方法,其特征在于,所述网络侧从所述终端发送的接入请求中 获取所述终端的设备类型和/或设备接入能力。
3.如权利要求1所述的方法,其特征在于,所述设备类型是指手机类设备或者机器类 设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
4.如权利要求3所述的方法,其特征在于,所述不匹配是指,终端的设备类型与所述用 户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设 备接入能力不匹配;或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配, 或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配。
5.如权利要求1至4任一所述的方法,其特征在于,所述网络侧拒绝所述终端接入到网 络时,还返回拒绝原因值给所述终端,指示所述终端为非法终端。
6.一种防止非法终端接入的系统,其特征在于,包括网络侧,用于在终端请求接入到 网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配, 拒绝所述终端接入到网络。
7.如权利要求6所述的系统,其特征在于,所述网络侧,用于从所述终端发送的接入请 求中获取所述终端的设备类型和/或设备接入能力。
8.如权利要求6所述的系统,其特征在于,所述设备类型是指手机类设备或者机器类 设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
9.如权利要求8所述的系统,其特征在于,所述网络侧,判断终端的设备类型与所述用 户签约数据中的设备类型不匹配,或者,终端的设备接入能力与所述用户签约数据中的设 备接入能力不匹配,或者,终端的设备类型与所述用户签约数据中的设备接入能力不匹配, 或者,终端的设备接入能力与所述用户签约数据中的设备类型不匹配时,则认为终端的设 备类型和/或设备接入能力与用户签约数据不匹配。
10.如权利要求6至9任一所述的系统,其特征在于,所述网络侧,还用于在拒绝所述终 端接入到网络时,返回拒绝原因值给所述终端,指示所述终端为非法终端。
11.一种防止非法接入的终端,其特征在于,所述终端,用于在请求接入到网络时,在接 入请求中携带所述终端的设备类型或/与设备接入能力。
12.如权利要求11所述的终端,其特征在于,所述设备类型是指手机类设备或者机器 类设备;所述设备接入能力是指手机类设备接入能力或者机器类设备接入能力。
全文摘要
本发明提供了一种防止非法终端接入的方法,包括网络侧在终端请求接入到网络时,判断终端的设备类型和/或设备接入能力与用户签约数据是否匹配,如果不匹配,所述网络侧拒绝所述终端接入到网络。本发明还提供了一种防止非法终端接入的系统及一种防止非法接入的终端。本发明可以有效的防止非法用户恶意盗用MTC设备的USIM接入网络的问题,保证MTC通信的安全。
文档编号H04W12/08GK102056169SQ20091021124
公开日2011年5月11日 申请日期2009年11月5日 优先权日2009年11月5日
发明者李志军, 谢宝国 申请人:中兴通讯股份有限公司