本发明专利技术提供一种仿冒攻击的防护方法、装置及网络设备,涉及核心网安全技术领域。该方法包括:向终端发送携带有第一国际移动用户识别码IMSI的识别请求消息;接收终端基于识别请求消息发送的携带有第二IMSI的识别响应消息;在第二IMSI与第一IMSI不一致时,若第二IMSI在黑名单中,则拒绝终端的业务流程。本发明专利技术的方案,解决了被叫业务被劫持导致的业务安全性低的问题。问题。问题。
【技术实现步骤摘要】
一种仿冒攻击的防护方法、装置及网络设备
[0001]本专利技术涉及核心网安全
,特别是指一种仿冒攻击的防护方法、装置及网络设备。
技术介绍
[0002]随着全球移动通信系统(Global System for Mobile communications,GSM)各项技术趋于成熟,针对GSM系统的攻击报道和事件日益增多,在这些大量的相关报道中常提及的其中一种威胁即为劫持被叫业务(通话或短信)。
[0003]针对GSM系统中被叫业务进行劫持的实现原理为:利用GSM系统在执行被叫业务过程中,并未严格检查通过触发主叫流程所上报的假冒签署响应(Signed RESponse,SRES)/国际移动用户识别码(International Mobile Subscriber Identity,IMSI)参数与被叫用户是否对应一致所暴露出来的绕过漏洞。在监测到在触发被叫业务的寻呼请求(PagingRequest)消息时,主动触发一次主叫业务消息,如连接管理(connect management,CM)层业务请求(Service Request)消息,同时利用主叫流程中所附带的鉴权和识别流程,并用其他合法入网的用户识别卡(Subscriber Identity Module,SIM)中长期密钥Ki计算鉴权响应(Authentication Response)所需要SRES参数或识别响应(Identity Response)所要求上报IMSI信息,返回给GSM网络。用在被叫呼叫中插入主叫流程,并用主叫流程中用户校验步骤(鉴权和识别流程)来替代被叫流程中用户校验步骤,以实现对被叫业务的劫持(劫持通话和拦截短信)。
[0004]用于用户校验的鉴权和识别流程,一直沿用到了后续的长期演进(Long Term Evolution,LTE)移动通信网络组网中,即LTE组网中也是通过鉴权和识别流程来对用户进行校验。上述利用其它合法入网的全球用户识别卡(Universal Subscriber Identity Module,USIM)中长期密钥K和IMSI信息假冒用户,对LTE的电路域回落(Circuit Switched Fallback,CSFB)场景中用户的被叫业务环节通过主动触发主叫类业务的攻击方法仍然有效;同样对LTE用户在附着(Attach)过程中需要鉴权和识别流程进行校验的环节同样有效,也可利用其它合法入网USIM卡中长期密钥K和IMSI信息假冒用户进行入网验证,以实现对被叫业务的劫持(劫持通话和拦截短信)。
技术实现思路
[0005]本专利技术的目的是提供一种仿冒攻击的防护方法、装置及网络设备,解决被叫业务被劫持导致的业务安全性低的问题。
[0006]为达到上述目的,本专利技术的实施例提供一种仿冒攻击的防护方法,应用于网络设备,包括:
[0007]向终端发送携带有第一国际移动用户识别码IMSI的识别请求消息;
[0008]接收终端基于识别请求消息发送的携带有第二IMSI的识别响应消息;
[0009]在第二IMSI与第一IMSI不一致时,若第二IMSI在黑名单中,则拒绝终端的业务流
程。
[0010]可选地,所述方法还包括:
[0011]在所述第二IMSI与所述第一IMSI一致时,继续执行所述终端的业务流程。
[0012]可选地,所述方法还包括:
[0013]在所述第二IMSI与所述第一IMSI不一致时,若所述第二IMSI不在所述黑名单中,则将所述第二IMSI、第一IMSI以及所述终端的临时移动用户识别码TMSI发送给统计分析功能;
[0014]其中,所述统计分析功能用于基于所述第二IMSI、第一IMSI以及所述终端的TMSI生成所述黑名单。
[0015]可选地,所述方法还包括:
[0016]若所述第二IMSI对应不同IMSI的记录和/或所述第二IMSI对应不同TMSI的记录超过设定阈值,则将所述第二IMSI加入所述黑名单中,并拒绝所述终端的业务流程。
[0017]可选地,所述业务流程包括:位置更新流程、附着流程、主被叫流程或电路域回落CSFB流程。
[0018]可选地,所述拒绝所述终端的业务流程,包括:
[0019]若所述业务流程为位置更新流程,则禁止所述终端进行位置更新;
[0020]若所述业务流程为附着流程,则禁止所述终端进行位置更新;
[0021]若所述业务流程为主被叫流程,则拒绝所述终端的主被叫业务;
[0022]若所述业务流程为CSFB流程,则拒绝所述终端的CSFB业务。
[0023]为达到上述目的,本专利技术的实施例提供一种仿冒攻击的防护装置,应用于网络侧设备,包括:
[0024]发送模块,用于向终端发送携带有第一国际移动用户识别码IMSI的识别请求消息;
[0025]接收模块,用于接收终端基于识别请求消息发送的携带有第二IMSI的识别响应消息;
[0026]第一处理模块,用于在第二IMSI与第一IMSI不一致时,若第二IMSI在黑名单中,则拒绝终端的业务流程。
[0027]可选地,所述装置还包括:
[0028]第二处理模块,用于在所述第二IMSI与所述第一IMSI一致时,继续执行所述终端的业务流程。
[0029]可选地,所述装置还包括:
[0030]第三处理模块,用于在所述第二IMSI与所述第一IMSI不一致时,若所述第二IMSI不在所述黑名单中,则将所述第二IMSI、第一IMSI以及所述终端的临时移动用户识别码TMSI发送给统计分析功能;
[0031]其中,所述统计分析功能用于基于所述第二IMSI、第一IMSI以及所述终端的TMSI生成所述黑名单。
[0032]可选地,所述第一处理模块还用于:若所述第二IMSI对应不同IMSI的记录和/或所述第二IMSI对应不同TMSI的记录超过设定阈值时,将所述第二IMSI加入所述黑名单中,并拒绝所述终端的业务流程。
[0033]可选地,所述业务流程包括:位置更新流程、附着流程、主被叫流程或电路域回落CSFB流程。
[0034]可选地,所述第一处理模块包括:
[0035]第一处理单元,用于若所述业务流程为位置更新流程,则禁止所述终端进行位置更新;
[0036]第二处理单元,用于若所述业务流程为附着流程,则禁止所述终端进行位置更新;
[0037]第三处理单元,用于若所述业务流程为主被叫流程,则拒绝所述终端的主被叫业务;
[0038]第四处理单元,用于若所述业务流程为CSFB流程,则拒绝所述终端的CSFB业务。
[0039]为达到上述目的,本专利技术的实施例提供一种移动终端,包括处理器和收发机,其中,
[0040]收发机用于:向终端发送携带有第一国际移动用户识别码IMSI的识别请求消息;以及,接收终端基于识别请求消息发送的携带有第二IMSI的识别响应消息;
[0041]处理器用于:在第二IMSI与第一IMSI不一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种仿冒攻击的防护方法,应用于网络设备,其特征在于,包括:向终端发送携带有第一国际移动用户识别码IMSI的识别请求消息;接收所述终端基于所述识别请求消息发送的携带有第二IMSI的识别响应消息;在所述第二IMSI与所述第一IMSI不一致时,若所述第二IMSI在黑名单中,则拒绝所述终端的业务流程。2.根据权利要求1所述的仿冒攻击的防护方法,其特征在于,还包括:在所述第二IMSI与所述第一IMSI一致时,继续执行所述终端的业务流程。3.根据权利要求1所述的仿冒攻击的防护方法,其特征在于,还包括:在所述第二IMSI与所述第一IMSI不一致时,若所述第二IMSI不在所述黑名单中,则将所述第二IMSI、第一IMSI以及所述终端的临时移动用户识别码TMSI发送给统计分析功能;其中,所述统计分析功能用于基于所述第二IMSI、第一IMSI以及所述终端的TMSI生成所述黑名单。4.根据权利要求3所述的仿冒攻击的防护方法,其特征在于,还包括:若所述第二IMSI对应不同IMSI的记录和/或所述第二IMSI对应不同TMSI的记录超过设定阈值,则将所述第二IMSI加入所述黑名单中,并拒绝所述终端的业务流程。5.根据权利要求1至4任一项所述的仿冒攻击的防护方法,其特征在于,所述业务流程包括:位置更新流程、附着流程、主被叫流程或电路域回落CSFB流程。6.根据权利要求5所述的仿冒攻击的防护方法,其特征在于,所述拒绝所述终端的业务流程,包括:若所述业务流程为位置更新流程,则禁止所述终端进...
【专利技术属性】
技术研发人员:王峰生,王黎明,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。