[发明专利]一种响应Detach指令的方法和设备

说明书

本发明实施例公开了一种响应Detach指令的方法和设备，用以解决核心网无法有效防御Detach攻击的问题。本发明实施例首先用于提供呼叫服务的第一网元将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元；然后所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端；所述第一网元将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验；最后所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。此方法在终端发送Detach指令后，通过增加鉴权步骤，有效防御了Detach攻击，提高安全性。

技术领域

本发明涉及电路域核心网安全技术领域，特别涉及一种响应Detach指令的方法和设备。

背景技术

近年来，随着传统GSM(全球移动通信系统Global System for MobileCommunication)移动通信系统各项技术趋于成熟，针对GSM系统的攻击报道和事件日益增多，在这些大量的相关报道中常提及的其中一种威胁即为Detach (分离)攻击。

Detach攻击主要指仿冒用户身份的黑客通过向网络侧发送Detach指令，从而使指定用户的业务状态变为不可用状态，在Detach攻击发生时，监控设备或是防御设备可能还未发现任何异常，指定用户的业务状态就已经变为不可用状态。一旦指定用户收到了Detach攻击，则有可能会向指定用户周围亲属进行诈骗，造成其巨大的经济损失和风险，因此预防Detach攻击愈发的重要。

其中，Detach攻击的实现原理为：终端通过SIM与网络侧建立无线信道，终端在该信道上发送Detach指令，因GSM机制目前无法对Detach攻击进行预防，因此终端在该信道上发送Detach指令后，网络侧不会对发送Detach指令的终端进行身份识别，而是网络侧在收到终端发送的Detach指令后，直接将 Detach指令中指定用户在网络侧中的Attach(附着)状态修改为Detach状态，从而使指定用户的业务状态变为不可用状态。

目前针对Detach攻击问题，有方案提出：利用在终端入网时，通过对分配给终端的TMSI(Temporary Mobile Subscriber Identity，临时移动用户标识)进行签名，将该签名与分配给终端的TMSI一起在入网时传送给终端，来防止Detach攻击。但该方法网络改造难度大，终端厂家和型号多，难以实现，综上所述，目前核心网没有有效防御Detach攻击的方法。

发明内容

本发明实施例提供一种响应Detach指令的方法和设备，用以解决核心网无法有效防御Detach攻击的问题。

第一方面，本发明实施例提供的一种响应Detach指令的方法包括：

首先用于提供呼叫服务的第一网元将接收到的终端发送的Detach指令中的终端标识发送给用于存储信息的第二网元；然后所述第一网元将接收到的所述第二网元发送的鉴权参数发送给所述终端；所述第一网元将所述终端发送的鉴权请求响应消息发送给所述第二网元进行校验；最后所述第一网元根据所述第二网元发送的校验结果确定是否向所述第二网元发送Detach指令。

上述方法，第一网元将收到的终端发送的Detach指令中携带的终端标识发送给第二网元，并将第二网元发送的鉴权参数发送给终端进行鉴权，再将终端发的鉴权请求响应消息发送给第二网元进行校验，第一网元根据校验结果确定是否执行Detach指令。使得第一网元在收到终端发送的Detach指令后，通过增加鉴权步骤，确定第一网元接收到的Detach指令是否是真实用户上报的指令，若发送Detach指令的用户无法通过鉴权，则第一网元确定收到的Detach 指令并非真实用户发送的，因此，第一网元对接收到的无法通过鉴权的用户发送的Detach指令，不进行执行Detach操作，有效的防止了仿冒身份的用户通过向第一网元发送Detach指令，而对指定用于造成的Detach攻击，提高安全性。