安全保护方法、装置、移动终端、基站和MME设备与流程

本发明涉及无线通讯技术领域，尤其是指一种非接入层nas拒绝信令的安全保护方法、装置、移动终端、基站和mme设备。

背景技术

目前，现网中发现存在通过大功率信号吸入用户的伪基站，用户手机信号被强制连接到伪基站设备上，导致手机无法正常使用运营商提供的服务，一般会出现暂时脱网8～12秒后恢复正常的现象，部分手机则必须开关机才能重新入网。此外伪基站的存在还会导致手机用户频繁地更新位置，使得该区域的无线网络资源紧张并出现网络拥塞现象，对用户体验造成极不好的影响。

当前所存在的伪基站中包括4g伪基站和2g伪基站。其中2g伪基站设置运营商gsm(全球移动通信系统，globalsystemformobilecommunications)频点，且发射高功率信号。当进入伪基站覆盖范围内，大功率4g伪基站吸入用户，并触发其发起tau(跟踪区更新，trackingareaupdate)请求，4g伪基站拒绝tau，通过rrc(radioresourcecontrol，无线资源控制)connectionrelease(连接释放)携带gsm频点为高优先级将用户重定向到2g，大功率2g伪基站吸入用户。

因此，现有技术中，由于基站对nas信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到恶意攻击，从而影响用户体验。

技术实现要素：

本发明技术方案的目的是提供一种非接入层nas拒绝信令的安全保护方法、装置、移动终端、基站和mme设备，以防止用户受到伪基站攻击。

本发明提供一种非接入层nas拒绝信令的安全保护方法，应用于基站，其中，所述方法包括：

获取移动性管理实体mme设备发送的第一nas拒绝信令；

根据所述第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文；其中所述移动终端向所述mme设备发送nas请求，所述mme设备拒绝所述nas请求时向所述基站发送所述第一nas拒绝信令。

优选地，所述的安全保护方法，其中，所述根据所述第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文的步骤之后，所述方法还包括：

向所述移动终端下发第二nas拒绝信令。

优选地，所述的安全保护方法，其中，所述获取移动性管理实体mme设备发送的第一nas拒绝信令的步骤包括：

接收所述mme设备发送的初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示；

根据所述nas拒绝指示确定所述初始上下文建立请求消息中携带的nas信令为所述第一nas拒绝信令。

优选地，所述的安全保护方法，其中，所述根据所述第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文的步骤包括：

保存所述第一nas拒绝信令内所记录的移动终端安全能力参数和密钥；

向所述移动终端下发rrc安全模式建立指示；

接收所述移动终端反馈的rrc安全模式完成消息，与移动终端之间建立无线资源控制rrc安全上下文。

本发明实施例还提供另一种非接入层nas拒绝信令的安全保护方法，应用于移动终端，其中，所述方法包括：

向mme设备发送nas请求后，接收一nas拒绝信令；

判断是否存在已建立的无线资源控制rrc安全上下文；

当不存在所述rrc安全上下文时，生成连接异常信息。

优选地，所述的安全保护方法，其中，所述生成连接异常信息之后，所述方法还包括：

当接收到携带gsm频点的rrc连接释放消息时，拒绝根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

优选地，所述的安全保护方法，其中，所述判断是否存在已建立的无线资源控制rrc安全上下文的步骤之后，所述方法还包括：

当判断存在所述rrc安全上下文，接收到携带gsm频点的rrc连接释放消息时，根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

优选地，所述的安全保护方法，其中，所述接收一nas拒绝信令的步骤之前，所述方法还包括：

向mme设备发送nas请求，其中所述nas请求包括接入请求消息或者跟踪区更新请求消息。

本发明实施例还提供另一种非接入层nas拒绝信令的安全保护方法，应用于移动性管理实体mme设备，其中，所述方法包括：

接收移动终端发送的nas请求；

根据所述nas请求，向所述移动终端对应的基站发送用于拒绝所述nas请求的nas拒绝信令。

优选地，所述的安全保护方法，其中，所述向所述移动终端对应的基站发送用于拒绝所述nas请求的nas拒绝信令的步骤中：

向所述基站发送初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示，通过所述nas拒绝指示表示所述nas信令为所述nas拒绝信令。

优选地，所述的安全保护方法，其中，所述接收移动终端发送的nas请求的步骤中，所述nas请求为接入请求消息或者跟踪区更新请求消息。

本发明实施例还提供一种非接入层nas拒绝信令的安全保护装置，应用于基站，其中，所述装置包括：

信令获取模块，用于获取移动性管理实体mme设备发送的第一nas拒绝信令；

第一处理模块，用于根据所述第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文；其中所述移动终端向所述mme设备发送nas请求，所述mme设备拒绝所述nas请求时向所述基站发送所述第一nas拒绝信令。

优选地，所述的安全保护装置，其中，所述装置还包括：

第一信令发送模块，用于向所述移动终端下发第二nas拒绝信令。

优选地，所述的安全保护装置，其中，所述信令获取模块包括：

第一消息接收单元，用于接收所述mme设备发送的初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示；

指示确认单元，用于根据所述nas拒绝指示确定所述初始上下文建立请求消息中携带的nas信令为所述第一nas拒绝信令。

优选地，所述的安全保护装置，其中，所述第一处理模块包括：

保存单元，用于保存所述第一nas拒绝信令内所记录的移动终端安全能力参数和密钥；

指示发送单元，用于向所述移动终端下发rrc安全模式建立指示；

第二消息接收单元，用于接收所述移动终端反馈的rrc安全模式完成消息，与移动终端之间建立无线资源控制rrc安全上下文。

本发明还提供一种基站，其中，包括如上任一项所述的安全保护装置。

本发明实施例还提供另一种非接入层nas拒绝信令的安全保护装置，应用于移动终端，其中，所述装置包括：

拒绝信令接收模块，用于向mme设备发送nas请求后，接收一nas拒绝信令；

判断模块，用于判断是否存在已建立的无线资源控制rrc安全上下文；

信息生成模块，用于当不存在所述rrc安全上下文时，生成连接异常信息。

优选地，所述的安全保护装置，其中，所述装置还包括：

第二处理模块，用于当接收到携带gsm频点的rrc连接释放消息时，拒绝根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

优选地，所述的安全保护装置，其中，所述装置还包括：

第三处理模块，用于当判断存在所述rrc安全上下文，接收到携带gsm频点的rrc连接释放消息时，根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

优选地，所述的安全保护装置，其中，所述装置还包括：

请求消息发送模块，用于向mme设备发送nas请求，其中所述nas请求包括接入请求消息或者跟踪区更新请求消息。

本发明还提供一种移动终端，其中，包括如上任一项的安全保护装置。

本发明还提供另一种非接入层nas拒绝信令的安全保护装置，应用于移动性管理实体mme设备，其中，所述装置包括：

请求接收模块，用于接收移动终端发送的nas请求；

第二信令发送模块，用于根据所述nas请求，向所述移动终端对应的基站发送用于拒绝所述nas请求的nas拒绝信令。

优选地，所述的安全保护装置，其中，所述第二信令发送模块具体用于：

向所述基站发送初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示，通过所述nas拒绝指示表示所述nas信令为所述nas拒绝信令。

优选地，所述的安全保护装置，其中，所述请求接收模块所接收所述nas请求为接入请求消息或者跟踪区更新请求消息。

本发明还提供一种移动性管理实体mme设备，其中，包括如上任一项所述的安全保护装置。

本发明具体实施例上述技术方案中的至少一个具有以下有益效果：

本发明实施例所述方法和装置，当mme设备(核心网)拒绝移动终端的nas请求时，向基站发送nas拒绝信令，基站收到该nas拒绝信令时，与移动终端之间建立rrc安全上下文，因此采用上述方式在mme设备和基站的s1接口上，引入拒绝nas请求的nas拒绝信令，基站根据该nas拒绝信令建立rrc层安全上下文，以对拒绝nas请求的nas拒绝信令进行保护，对4g安全进行增强，从而解决基站对nas信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到伪基站攻击的问题。

附图说明

图1为本发明实施例一所述安全保护方法的流程示意图；

图2为本发明实施例二所述安全保护方法的流程示意图；

图3为本发明实施例三所述安全保护方法的流程示意图；

图4为本发明实施例四所述安全保护方法的流程示意图；

图5为本发明实施例五所述安全保护装置的结构示意图；

图6为本发明实施例六所述安全保护装置的结构示意图；

图7本发明实施例七所述安全保护装置的结构示意图。

具体实施方式

为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

实施例一

本发明实施例一所述非接入层nas拒绝信令的安全保护方法，应用于基站，参阅图1所示，所述方法包括：

s110，获取移动性管理实体mme设备发送的第一nas拒绝信令；

s120，根据所述第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文；其中所述移动终端向所述mme设备发送nas请求，所述mme设备拒绝所述nas请求时向所述基站发送所述第一nas拒绝信令。

本发明实施例一所述安全保护方法，当mme设备(核心网)拒绝移动终端的nas请求时，向基站发送第一nas拒绝信令，基站收到该第一nas拒绝信令时，与移动终端之间建立rrc安全上下文，因此采用上述方式在mme设备和基站的s1接口上，引入拒绝nas请求的nas拒绝信令，基站根据该nas拒绝信令建立rrc层安全上下文，以对拒绝nas请求的nas拒绝信令进行保护，对4g安全进行增强，从而解决基站对nas信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到伪基站攻击的问题。

具体地，实施例一中，当步骤s120，与移动终端之间建立rrc安全上下文的步骤之后，所述安全保护方法还包括：

向移动终端下发第二nas拒绝信令。

当移动终端接收基站发送的第二nas拒绝信令之后，判断是否存在已建立的rrc安全上下文，如果没有则判断出现异常，生成连接异常信息，并进一步当接收到携带gsm频点的rrc连接释放消息时，拒绝根据所接收的携带gsm频点的rrc连接释放消息，重定向至当前小区之外的另一小区，以避免被连接至伪基站。

另外，步骤s120中，获取移动性管理实体mme设备发送的第一nas拒绝信令的步骤包括：

接收mme设备发送的初始上下文建立请求消息；所述初始上下文建立请求消息中携带nas信令和nas拒绝指示；

根据nas拒绝指示确定初始上下文建立请求消息中携带的nas信令为所述第一nas拒绝信令。

具体地，mme设备发送的初始上下文建立请求消息中所携带的nas拒绝指示可以占用1位的字节，且对基站可见，使基站可以根据nas拒绝指示判断初始上下文建立请求消息中携带的nas信令为nas拒绝信令。

另外，步骤s120中，根据第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文的步骤包括：

保存第一nas拒绝信令内所记录的移动终端安全能力参数和密钥；

向移动终端下发rrc安全模式建立指示；

接收移动终端反馈的rrc安全模式完成消息，与移动终端之间建立无线资源控制rrc安全上下文。

通过上述的步骤，基站与移动终端之间建立rrc安全上下文。

本发明实施例的另一方面，移动终端向mme设备发送nas请求，mme设备拒绝所述nas请求时向基站发送第一nas拒绝信令，其中移动终端向mme设备所发送的nas请求可以为接入(attach)请求消息，或者为跟踪区更新(tau)请求消息。

本发明实施例一所述安全保护方法，通过上述的过程对4g安全性进行增强，提供一种针对4g网络nas拒绝信令的安全保护机制，mme设备需要向基站发送nas拒绝信令，基站根据所接收的nas拒绝信令建立rrc安全上下文，从而防止用户被吸入4g伪基站后被重定到2g伪基站。

实施例二

本发明实施例二所述非接入层nas拒绝信令的安全保护方法，应用于移动终端，参阅图2所示，所述方法包括：

s210，向mme设备发送nas请求后，接收一nas拒绝信令；

s220，判断是否存在已建立的无线资源控制rrc安全上下文；

s230，当不存在所述rrc安全上下文时，生成连接异常信息。

进一步地，在步骤s230之后，所述方法还包括：

当接收到携带gsm频点的rrc连接释放消息时，拒绝根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

采用上述方式，形成针对4g网络nas拒绝信令的安全保护机制，当移动终端收到nas拒绝信令之后，需要先判断是否存在已建立的rrc安全上下文，如果没有则判断存在异常，当接收到携带gsm频点的rrc连接释放消息时，拒绝重定向至当前小区之外的另一小区，以防止被吸入4g伪基站后被重定到2g伪基站。

此外，本发明实施例所述方法的另一方面，在步骤s220之后，所述方法还包括：

当存在所述rrc安全上下文，接收到携带gsm频点的rrc连接释放消息时，根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

在步骤s220之后，判断存在rrc安全上下文时，则确定当前为连接正常情况，能够根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

另外，步骤s210中，接收一nas拒绝信令的步骤之前，所述方法还包括：

向mme设备发送nas请求，其中所述nas请求包括接入(attach)请求消息或者跟踪区更新(tau)请求消息。

其中，步骤s210中，所接收的nas拒绝信令为基站或mme设备根据该nas请求所发送。

本发明实施例二所述安全保护方法，移动终端收到nas拒绝信令之后，需要先判断是否存在已建立的rrc安全上下文，如果没有则判断存在异常，从而对nas拒绝信令进行安全保护，防止被吸入4g伪基站后被重定到2g伪基站。

实施例三

本发明实施例三所述非接入层nas拒绝信令的安全保护方法，应用于移动性管理实体mme设备，其中，如图3所示，所述方法包括：

s310，接收移动终端发送的nas请求；

s320，根据所述nas请求，向所述移动终端对应的基站发送用于拒绝所述nas请求的nas拒绝信令。

上述实施例所述安全保护方法，对4g安全性进行增强，当拒绝移动终端的nas请求时，mme设备需要向基站发送nas拒绝信令，使得基站根据所接收的nas拒绝信令建立rrc安全上下文，从而防止用户被吸入4g伪基站后被重定到2g伪基站。

较佳地，上述步骤s320，向移动终端对应的基站发送用于拒绝所述nas请求的nas拒绝信令的步骤中：

向所述基站发送初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示，通过所述nas拒绝指示表示所述nas信令为所述nas拒绝信令。

具体地，mme设备发送的初始上下文建立请求消息中所携带的nas拒绝指示可以占用1位的字节，且对基站可见，使基站可以根据nas拒绝指示判断初始上下文建立请求消息中携带的nas信令为nas拒绝信令。

另外，步骤s310，接收移动终端发送的nas请求的步骤中，所述nas请求为接入请求消息或者跟踪区更新请求消息。

本发明实施例三所述安全保护方法，当拒绝移动终端的nas请求时，mme设备需要向基站发送nas拒绝信令，使得基站根据所接收的nas拒绝信令建立rrc安全上下文，从而对nas拒绝信令进行安全保护，实现4g的安全性增强，防止用户被吸入4g伪基站后被重定到2g伪基站。

实施例四

结合图4，当移动终端、基站与mme设备，分别采用本发明实施例所述非接入层nas拒绝信令的安全保护方法时具体包括如下的步骤：

s410，移动终端通过基站向mme设备发送nas请求；

s420，mme设备向移动终端对应的基站发送初始上下文建立请求消息，其中该初始上下文建立请求消息中携带nas信令和nas拒绝指示，通过所述nas拒绝指示表示该nas信令为nas拒绝信令(如为attach拒绝信令或者tau拒绝信令)；

s430，基站根据接收初始上下文建立请求消息，根据该初始上下文建立请求消息中的nas拒绝指示判断所携带的nas信令为nas拒绝信令；保存初始上下文建立请求消息内所记录的移动终端安全能力参数和密钥；

s440，向移动终端下发rrc安全模式建立指示；

s450，接收移动终端反馈的rrc安全模式完成消息，与移动终端之间建立无线资源控制rrc安全上下文；

s460，向移动终端下发nas拒绝信令；

s470，移动终端收到nas拒绝信令，判断是否存在已建立的rrc安全上下文，如果不存在则判断连接出现异常。

采用上述的过程，能够对4g安全进行增强，实现4g网络nas拒绝信令的安全保护，从而解决基站对nas信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到伪基站攻击的问题。

实施例五

本发明实施例五提供一种非接入层nas拒绝信令的安全保护装置，应用于基站，参阅图5，所述装置包括：

信令获取模块，用于获取移动性管理实体mme设备发送的第一nas拒绝信令；

第一处理模块，用于根据所述第一nas拒绝信令，与移动终端之间建立无线资源控制rrc安全上下文；其中所述移动终端向所述mme设备发送nas请求，所述mme设备拒绝所述nas请求时向所述基站发送所述第一nas拒绝信令。

本发明实施例五所述安全保护装置，在mme设备和基站的s1接口上，引入拒绝nas请求的nas拒绝信令，基站根据该nas拒绝信令建立rrc层安全上下文，以对拒绝nas请求的nas拒绝信令进行保护，对4g安全进行增强，解决基站对nas信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到伪基站攻击的问题。

较佳地，结合图5所示，所述装置还包括：

第一信令发送模块，用于向所述移动终端下发第二nas拒绝信令。

当移动终端接收基站发送的第二nas拒绝信令之后，判断是否存在已建立的rrc安全上下文，如果没有则判断出现异常，生成连接异常信息，并进一步当接收到携带gsm频点的rrc连接释放消息时，拒绝根据所接收的携带gsm频点的rrc连接释放消息，重定向至当前小区之外的另一小区，以避免被连接至伪基站。

具体地，所述信令获取模块包括：

第一消息接收单元，用于接收所述mme设备发送的初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示；

指示确认单元，用于根据所述nas拒绝指示确定所述初始上下文建立请求消息中携带的nas信令为所述第一nas拒绝信令。

具体地，mme设备发送的初始上下文建立请求消息中所携带的nas拒绝指示可以占用1位的字节，且对基站可见，使基站可以根据nas拒绝指示判断初始上下文建立请求消息中携带的nas信令为nas拒绝信令。

进一步参阅图5，所述第一处理模块包括：

保存单元，用于保存所述第一nas拒绝信令内所记录的移动终端安全能力参数和密钥；

指示发送单元，用于向所述移动终端下发rrc安全模式建立指示；

第二消息接收单元，用于接收所述移动终端反馈的rrc安全模式完成消息，与移动终端之间建立无线资源控制rrc安全上下文。

本发明实施例还提供一种基站，其中，包括如上所述的安全保护装置。本领域技术人员应该能够理解包括上述安全保护装置的基站的具体结构，在此不再详细描述。

实施例六

本发明实施例六提供一种非接入层nas拒绝信令的安全保护装置，应用于移动终端，参阅图6所示，所述装置包括：

拒绝信令接收模块，用于向mme设备发送nas请求后，接收一nas拒绝信令；

判断模块，用于判断是否存在已建立的无线资源控制rrc安全上下文；

信息生成模块，用于当不存在所述rrc安全上下文时，生成连接异常信息。

采用本发明实施例所述安全保护装置，当移动终端收到nas拒绝信令之后，需要先判断是否存在已建立的rrc安全上下文，如果没有则判断存在异常，从而对nas拒绝信令进行安全保护，防止被吸入4g伪基站后被重定到2g伪基站。

因此，结合图6，所述装置还包括：

第二处理模块，用于当接收到携带gsm频点的rrc连接释放消息时，拒绝根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

另外，所述装置还包括：

第三处理模块，用于当判断存在所述rrc安全上下文，接收到携带gsm频点的rrc连接释放消息时，根据所接收的rrc连接释放消息，重定向至当前小区之外的另一小区。

此外，所述装置还包括：

请求消息发送模块，用于向mme设备发送nas请求，其中所述nas请求包括接入请求消息或者跟踪区更新请求消息。

本发明实施例所述安全保护装置，当移动终端收到nas拒绝信令之后，需要先判断是否存在已建立的rrc安全上下文，如果没有则判断存在异常，当接收到携带gsm频点的rrc连接释放消息时，拒绝重定向至当前小区之外的另一小区，以防止被吸入4g伪基站后被重定到2g伪基站。

本发明实施例还提供一种移动终端，包括如上所述的安全保护装置。本领域技术人员应该能够了解包括如上安全保护装置的移动终端，在此不再详细描述。

实施例七

本发明实施例七提供一种非接入层nas拒绝信令的安全保护装置，应用于移动性管理实体mme设备，如图7所示，所述装置包括：

请求接收模块，用于接收移动终端发送的nas请求；

第二信令发送模块，用于根据所述nas请求，向所述移动终端对应的基站发送用于拒绝所述nas请求的nas拒绝信令。

上述实施例所述安全保护装置，当拒绝移动终端的nas请求时，mme设备需要向基站发送nas拒绝信令，使得基站根据所接收的nas拒绝信令建立rrc安全上下文，从而防止用户被吸入4g伪基站后被重定到2g伪基站。

较佳地，所述第二信令发送模块具体用于：

向所述基站发送初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带nas信令和nas拒绝指示，通过所述nas拒绝指示表示所述nas信令为所述nas拒绝信令。

另外，所述请求接收模块所接收所述nas请求为接入请求消息或者跟踪区更新请求消息。

本发明实施例还提供一种移动性管理实体mme设备，包括如上任一项所述的安全保护装置，本领域技术人员应该能够了解包括如上安全保护装置的mme设备，在此不再详细描述。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。