安全保护方法、装置、移动终端、基站和MME设备制造方法及图纸

本发明专利技术提供一种非接入层NAS拒绝信令的安全保护方法、装置、移动终端、基站和MME设备，所述方法包括：获取移动性管理实体MME设备发送的第一NAS拒绝信令；根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文；其中所述移动终端向所述MME设备发送NAS请求，所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。本发明专利技术能够解决基站对NAS信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到伪基站攻击的问题。

【技术实现步骤摘要】
安全保护方法、装置、移动终端、基站和MME设备
本专利技术涉及无线通讯
，尤其是指一种非接入层NAS拒绝信令的安全保护方法、装置、移动终端、基站和MME设备。
技术介绍
目前，现网中发现存在通过大功率信号吸入用户的伪基站，用户手机信号被强制连接到伪基站设备上，导致手机无法正常使用运营商提供的服务，一般会出现暂时脱网8～12秒后恢复正常的现象，部分手机则必须开关机才能重新入网。此外伪基站的存在还会导致手机用户频繁地更新位置，使得该区域的无线网络资源紧张并出现网络拥塞现象，对用户体验造成极不好的影响。当前所存在的伪基站中包括4G伪基站和2G伪基站。其中2G伪基站设置运营商GSM(全球移动通信系统，GlobalSystemforMobileCommunications)频点，且发射高功率信号。当进入伪基站覆盖范围内，大功率4G伪基站吸入用户，并触发其发起TAU(跟踪区更新，TrackingAreaUpdate)请求，4G伪基站拒绝TAU，通过RRC(RadioResourceControl，无线资源控制)ConnectionRelease(连接释放)携带GSM频点为高优先级将用户重定向到2G，大功率2G伪基站吸入用户。因此，现有技术中，由于基站对NAS信令不进行解析，直接透传，造成用户进入伪基站覆盖范围内时，被强制连接到伪基站设备上，受到恶意攻击，从而影响用户体验。
技术实现思路
本专利技术技术方案的目的是提供一种非接入层NAS拒绝信令的安全保护方法、装置、移动终端、基站和MME设备，以防止用户受到伪基站攻击。本专利技术提供一种非接入层NAS拒绝信令的安全保护方法，应用于基站，其中，所述方法包括：获取移动性管理实体MME设备发送的第一NAS拒绝信令；根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文；其中所述移动终端向所述MME设备发送NAS请求，所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。优选地，所述的安全保护方法，其中，所述根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文的步骤之后，所述方法还包括：向所述移动终端下发第二NAS拒绝信令。优选地，所述的安全保护方法，其中，所述获取移动性管理实体MME设备发送的第一NAS拒绝信令的步骤包括：接收所述MME设备发送的初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示；根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。优选地，所述的安全保护方法，其中，所述根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文的步骤包括：保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥；向所述移动终端下发RRC安全模式建立指示；接收所述移动终端反馈的RRC安全模式完成消息，与移动终端之间建立无线资源控制RRC安全上下文。本专利技术实施例还提供另一种非接入层NAS拒绝信令的安全保护方法，应用于移动终端，其中，所述方法包括：向MME设备发送NAS请求后，接收一NAS拒绝信令；判断是否存在已建立的无线资源控制RRC安全上下文；当不存在所述RRC安全上下文时，生成连接异常信息。优选地，所述的安全保护方法，其中，所述生成连接异常信息之后，所述方法还包括：当接收到携带GSM频点的RRC连接释放消息时，拒绝根据所接收的RRC连接释放消息，重定向至当前小区之外的另一小区。优选地，所述的安全保护方法，其中，所述判断是否存在已建立的无线资源控制RRC安全上下文的步骤之后，所述方法还包括：当判断存在所述RRC安全上下文，接收到携带GSM频点的RRC连接释放消息时，根据所接收的RRC连接释放消息，重定向至当前小区之外的另一小区。优选地，所述的安全保护方法，其中，所述接收一NAS拒绝信令的步骤之前，所述方法还包括：向MME设备发送NAS请求，其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。本专利技术实施例还提供另一种非接入层NAS拒绝信令的安全保护方法，应用于移动性管理实体MME设备，其中，所述方法包括：接收移动终端发送的NAS请求；根据所述NAS请求，向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令。优选地，所述的安全保护方法，其中，所述向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令的步骤中：向所述基站发送初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示，通过所述NAS拒绝指示表示所述NAS信令为所述NAS拒绝信令。优选地，所述的安全保护方法，其中，所述接收移动终端发送的NAS请求的步骤中，所述NAS请求为接入请求消息或者跟踪区更新请求消息。本专利技术实施例还提供一种非接入层NAS拒绝信令的安全保护装置，应用于基站，其中，所述装置包括：信令获取模块，用于获取移动性管理实体MME设备发送的第一NAS拒绝信令；第一处理模块，用于根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文；其中所述移动终端向所述MME设备发送NAS请求，所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。优选地，所述的安全保护装置，其中，所述装置还包括：第一信令发送模块，用于向所述移动终端下发第二NAS拒绝信令。优选地，所述的安全保护装置，其中，所述信令获取模块包括：第一消息接收单元，用于接收所述MME设备发送的初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示；指示确认单元，用于根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。优选地，所述的安全保护装置，其中，所述第一处理模块包括：保存单元，用于保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥；指示发送单元，用于向所述移动终端下发RRC安全模式建立指示；第二消息接收单元，用于接收所述移动终端反馈的RRC安全模式完成消息，与移动终端之间建立无线资源控制RRC安全上下文。本专利技术还提供一种基站，其中，包括如上任一项所述的安全保护装置。本专利技术实施例还提供另一种非接入层NAS拒绝信令的安全保护装置，应用于移动终端，其中，所述装置包括：拒绝信令接收模块，用于向MME设备发送NAS请求后，接收一NAS拒绝信令；判断模块，用于判断是否存在已建立的无线资源控制RRC安全上下文；信息生成模块，用于当不存在所述RRC安全上下文时，生成连接异常信息。优选地，所述的安全保护装置，其中，所述装置还包括：第二处理模块，用于当接收到携带GSM频点的RRC连接释放消息时，拒绝根据所接收的RRC连接释放消息，重定向至当前小区之外的另一小区。优选地，所述的安全保护装置，其中，所述装置还包括：第三处理模块，用于当判断存在所述RRC安全上下文，接收到携带GSM频点的RRC连接释放消息时，根据所接收的RRC连接释放消息，重定向至当前小区之外的另一小区。优选地，所述的安全保护装置，其中，所述装置还包括：请求消息发送模块，用于向MME设备发送NAS请求，其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。本专利技术还提供一本文档来自技高网...

【技术保护点】
1.一种非接入层NAS拒绝信令的安全保护方法，应用于基站，其特征在于，所述方法包括：获取移动性管理实体MME设备发送的第一NAS拒绝信令；根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文；其中所述移动终端向所述MME设备发送NAS请求，所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。

【技术特征摘要】
1.一种非接入层NAS拒绝信令的安全保护方法，应用于基站，其特征在于，所述方法包括：获取移动性管理实体MME设备发送的第一NAS拒绝信令；根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文；其中所述移动终端向所述MME设备发送NAS请求，所述MME设备拒绝所述NAS请求时向所述基站发送所述第一NAS拒绝信令。2.根据权利要求1所述的安全保护方法，其特征在于，所述根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文的步骤之后，所述方法还包括：向所述移动终端下发第二NAS拒绝信令。3.根据权利要求1所述的安全保护方法，其特征在于，所述获取移动性管理实体MME设备发送的第一NAS拒绝信令的步骤包括：接收所述MME设备发送的初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示；根据所述NAS拒绝指示确定所述初始上下文建立请求消息中携带的NAS信令为所述第一NAS拒绝信令。4.根据权利要求1所述的安全保护方法，其特征在于，所述根据所述第一NAS拒绝信令，与移动终端之间建立无线资源控制RRC安全上下文的步骤包括：保存所述第一NAS拒绝信令内所记录的移动终端安全能力参数和密钥；向所述移动终端下发RRC安全模式建立指示；接收所述移动终端反馈的RRC安全模式完成消息，与移动终端之间建立无线资源控制RRC安全上下文。5.一种非接入层NAS拒绝信令的安全保护方法，应用于移动终端，其特征在于，所述方法包括：向MME设备发送NAS请求后，接收一NAS拒绝信令；判断是否存在已建立的无线资源控制RRC安全上下文；当不存在所述RRC安全上下文时，生成连接异常信息。6.根据权利要求5所述的安全保护方法，其特征在于，所述生成连接异常信息之后，所述方法还包括：当接收到携带GSM频点的RRC连接释放消息时，拒绝根据所接收的RRC连接释放消息，重定向至当前小区之外的另一小区。7.根据权利要求5所述的安全保护方法，其特征在于，所述判断是否存在已建立的无线资源控制RRC安全上下文的步骤之后，所述方法还包括：当判断存在所述RRC安全上下文，接收到携带GSM频点的RRC连接释放消息时，根据所接收的RRC连接释放消息，重定向至当前小区之外的另一小区。8.根据权利要求5所述的安全保护方法，其特征在于，所述接收一NAS拒绝信令的步骤之前，所述方法还包括：向MME设备发送NAS请求，其中所述NAS请求包括接入请求消息或者跟踪区更新请求消息。9.一种非接入层NAS拒绝信令的安全保护方法，应用于移动性管理实体MME设备，其特征在于，所述方法包括：接收移动终端发送的NAS请求；根据所述NAS请求，向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令。10.根据权利要求9所述的安全保护方法，其特征在于，所述向所述移动终端对应的基站发送用于拒绝所述NAS请求的NAS拒绝信令的步骤中：向所述基站发送初始上下文建立请求消息；其中所述初始上下文建立请求消息中携带NAS信令和NAS拒绝指示，通过所述NAS拒绝指示表示所述NAS信令为所述NAS拒绝信令。11.根据权利要求9所述的安全保护方法，其特征在于，所述接收移动终端发送的NAS请求的步骤中，所述NAS请求为接入请求消息或者跟踪区更新请求消息。12.一种非接入层NAS拒绝信令的安全保护装置，应用于基站，其特征在于，所述装置包括：信令获取模块...

【专利技术属性】
技术研发人员：阮航，王小旭，王曦泽，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团公司，
类型：发明
国别省市：北京,11