一種終端使用網絡的控制系統及其控制方法
2023-05-24 19:20:56
專利名稱:一種終端使用網絡的控制系統及其控制方法
技術領域:
本發明涉及移動通信中的安全領域,具體來說,涉及一種終端使用網絡的控制系統及其控制方法。
背景技術:
在移動通信中,是採用設備識別號來對移動終端進行管理的。例如,在公共陸地移動通信網(Public land Mobile Network,PLMN)中設有一個功能單元,稱作設備識別寄存器(Equipment Identity Register,EIR),主要負責管理網絡中移動終端的設備標識。在GSM網絡中該設備標識是指國際行動裝置標識(IMEI),在CDMA網絡中該設備標識是指電子序列號(ESN)。下述以GSM網絡為例來進行敘述。
在GSM網絡中的IMEI碼,是一個移動終端的唯一標識,且是不可更改的,其主要目的是防止未授權(如,被盜的或者有故障未經型號認證)的行動裝置在網絡中使用。
在設備識別寄存器中存儲有三種終端設備標識的清單表白名單、黑名單及灰名單。白名單中存儲的是允許使用網絡的終端標識,黑名單中存儲的是不允許使用網絡的終端標識,灰名單中存儲的是網絡可能需要跟蹤或其它處理的終端標識,是否允許使用由運營商決定。
網絡可以在任意需要的時候(包括接入或呼叫過程中),要求對移動終端進行IMEI的檢查,如果設備識別寄存器返回該終端IMEI為非法號碼(如在黑名單中或不在白名單中),則拒絕該移動終端使用網絡。圖1顯示了一種常用的行動網路(如GSM網絡)參考模型中,該設備識別寄存器所在的位置。在該GSM網絡參考模型中,主要包括三部份的結構基站子系統(BSS)、網路子系統(NSS)及操作支持子系統(OSS)。其中,基站子系統中又包括多個基站收發信臺(BTS)及基站控制器(BSC);網路子系統中包括移動業務交換中心(MSC)、訪客位置寄存器(VLR)、歸屬用戶位置寄存器(HLR)、鑑權中心(AUC)、操作維護中心(OMC)及行動裝置識別寄存器(EIR);操作支持子系統包括網路管理中心(NMC)、數據後處理系統(DPPS)、安全性管理中心(SEMC)及用戶識別卡個人化中心(PCS)。其中,移動終端作為移動臺(MS),可以與基站收發信臺進行交互;移動業務交換中心可連接公用數據網(PDN)、公用電話網(PSTN)、綜合業務數字網(ISDN)。
目前,存在有一些未授權用戶使用網絡的情況,如當移動終端失竊後,盜用者一般可通過換卡的方法重新使用該移動終端(由於網絡運營商在用戶入網時並沒有對移動終端的IMEI碼實行驗證)。
現在也出現了一些方法以防止未授權的(下面以被盜的終端為例進行說明)移動終端的使用網絡例如,在現有的一種方法中,對設備識別寄存器中的白名單、黑名單及灰名單需要管理人員來設置的。用戶到設備識別寄存器的管理中心登記其被盜的終端,將被盜終端的IMEI碼加入黑名單,從而達到阻止該被盜終端重新使用網絡的目的。當有用戶用該被盜終端進行註冊或發起呼叫時,移動交換中心(MSC)和訪客位置寄存器(VLR)可以向移動臺終端(如手機)請求IMEI,並把該請求到的IMEI碼發送給設備識別寄存器,設備識別寄存器將收到的IMEI碼與白清單、黑清單及灰清單中的號碼進行比較,把比較結果發送給移動中心(MSC)/訪客位置寄存器(VLR),MSC/VLR根據比較的結果決定是否允許該移動臺設備接入網絡,或者可以追蹤該終端的相關信息(諸如位置信息)。
在該種方法中,終端被盜後需要終端的原始使用者到設備識別寄存器管理中心登記,將被盜終端人為加入黑名單後,網絡才能阻止被盜終端重新使用網絡。如果用戶丟失終端後不去或暫時無法去設備識別寄存器管理中心登記,盜用者換卡後仍可使用被盜的終端(被盜終端的使用者一般都會在換卡後才使用該終端),故現有的這種方法仍不能完全、及時地防止未授權終端(如換卡後的被盜終端)使用網絡。
發明內容
本發明所要解決的技術問題在於,為解決現有網絡中不能完全有效地阻止未授權終端使用網絡的不足,而提供一種終端使用網絡的控制系統及方法,當未授權終端企圖使用網絡時,網絡可自動檢測到該未授權終端,並可阻止其使用網絡。
本發明為解決其技術問題所採用的技術方案是提供一種終端使用網絡的控制系統,在該網絡中至少包括有可接收終端註冊的網絡交換中心,進一步包括有與該網絡交換中心交互的終端設備識別中心,在該終端設備識別中心中預先存儲有網絡的籤約終端用戶的鑑權信息;所述網絡交換中心可接收終端用戶註冊信息,根據該終端的註冊信息中的終端設備標識,向終端設備識別中心請求的該終端用戶鑑權信息,並根據其返回結果,確定該終端是否可以被允許接入該網絡。
在本發明的終端使用網絡的控制系統中,所述籤約終端用戶的鑑權信息包括終端設備標識、籤約網絡分配給用戶的網絡標識及終端校驗鑑權信息,所述終端校驗鑑權信息為校驗密碼或具有生物特徵的信息。
在本發明的終端使用網絡的控制系統中,所述終端設備識別中心中設有用於存諸不允許接入網絡的終端的終端設備標識的黑名單。
在本發明的終端使用網絡的控制系統中,所述終端設備標識為IMEI碼或ESN碼。
在本發明的終端使用網絡的控制系統中,所述網絡交換中心與終端設備識別中心之間的接口協議為Map協議、Diameter協議或Radius協議。
在本發明的終端使用網絡的控制系統中,所述終端為支持插卡且具有唯一終端標識的終端,所述插卡包括SIM、USIM、ISIM卡。
在本發明的終端使用網絡的控制系統中,所述網絡為PLMN網絡、NGN網絡、WCDMA網絡或CDMA2000網絡。
本發明還提供一種終端使用網絡的控制方法,包括(a)終端向網絡交換中心發送註冊信息,所述註冊信息中至少包含有該終端的終端設備標識;(b)網絡交換中心接收該註冊信息,對其進行鑑權,向終端設備識別中心查詢預先存儲於其中的關於該終端的鑑權信息,所述鑑權信息包括終端設備標識、籤約網絡分配給用戶的網絡標識及終端校驗鑑權信息;(c)網絡交換中心根據終端設備識別中心返回的鑑權信息,確定該終端是否可被允許接入該網絡。
在本發明的終端使用網絡的控制方法中,所述鑑權信息包括終端設備標識、籤約網絡分配給用戶的網絡標識及終端校驗鑑權信息。
在本發明的終端使用網絡的控制方法中,所述步驟(c)進一步包括如果該終端設備標識已在終端設備識別中心的黑名單中,則終端設備識別中心返回一消息給網絡交換中心,網絡交換中心根據該消息阻止該終端接入網絡。
在本發明的終端使用網絡的控制方法中,所述步驟(c)進一步包括(c1)所述終端設備識別中心將存儲於其內的與該終端對應的用戶網絡標識和終端校驗鑑權信息傳送給網絡交換中心;(c2)網絡交換中心比較終端設備識別中心傳送的用戶網絡標識和終端註冊信息中攜帶的用戶網絡標識是否一致;如果一致,則該次終端鑑權通過;如果不一致,轉入下一步;(c3)網絡交換中心要求用戶輸入終端校驗鑑權信息,並將其與終端設備識別中心返回的終端校驗鑑權信息相比較;(c4)如果步驟(c3)中該兩個終端校驗鑑權信息相同,則該次終端鑑權通過;(c5)如果步驟(c3)中該兩個終端校驗鑑權信息不相同,則網絡交換中心阻止該終端接入網絡,並可選擇將該終端設備標識加入終端設備識別中心的黑名單中。
在本發明的終端使用網絡的控制方法中,如果步驟(c1)中,終端設備識別中心所傳送的用戶網絡標識為加密的,則進一步包括網絡中心對該加密的用戶網絡標識進行解密的步驟。
在本發明的終端使用網絡的控制方法中,在步驟(c5)中進一步包括判斷用戶輸入的終端校驗鑑權信息的次數是否達到預設值;如果未達預設值,要求用戶再次輸入終端校驗鑑權信息,並轉入步驟(c3);如果達到預設值,則網絡交換中心阻止該終端接入網絡,並可選擇將該終端設備標識加入終端設備識別中心的黑名單中。
在本發明的終端使用網絡的控制方法中,所述終端校驗鑑權信息為校驗密碼或具有生物特徵的信息。
實施本發明的終端使用網絡的控制系統及其控制方法,具有如下有益效果通過預先在終端設備識別中心存儲有入網終端的相關信息(終端設備標識、網絡標識及終端校驗鑑權信息),當該終端進行入網註冊時,對該終端的終端設備標識、網絡標識及終端校驗鑑權信息與存儲在終端設備識別中心的相關信息進行比較,能夠及時有效地檢測出未授權終端,防止未授權終端(如換卡後的被盜終端)接入網絡。
圖1是現有技術移動通信網絡的參考模型示意圖;圖2是本發明的第一實施例的示意圖;圖3是本發明的第二實施例的示意圖;圖4是本發明終端使用網絡的控制方法的流程圖。
具體實施例方式
本發明提供一種終端使用網絡的控制系統及其控制方法,當終端企圖接入網絡時,網絡可自動檢測該終端是否為未授權終端,如果為未授權終端,則可阻止其使用該網絡。
如圖2所示,是本發明的第一實施例的示意圖。其中,僅是示意性地畫出了一種運營商的網絡。本發明所涉及到的終端,是指具有唯一終端設備標識且可獲得運營商分配的網絡標識的終端,如帶有SIM(用戶標識模塊)卡、USIM(通用用戶標識模塊)卡及ISIM(IMS用戶標識模塊)卡等的手機、PDA、筆記本電腦及其他終端設備,甚至是固定終端(如,下一代網絡的IMS終端)。而所述網絡是指行動網路,諸如PLMN網絡(包括GSM網和CDMA網),及適用於TISPAN及國際電聯(ITU-T)定義的下一代網絡(NGN)和3GPP、3GPP2定義的寬帶碼分多址(WCDMA)、CDMA2000網絡等。其中,在該運營商的網絡中,至少設有一個網絡交換中心(圖中僅畫出一個),並設有一個終端設備識別中心。而網絡交換中心是指能處理用戶的呼叫及進行鑑權處理的實體(在本發明中,該網絡交換中心也可以是其他的能進行會話處理的功能實體),其中,終端設備識別中心本質上是一個資料庫,其預先存儲有該網絡運營商籤約用戶的鑑權信息,其對終端設備標識的管理與EIR對終端設備標識的管理類似,其也設有一個黑名單,在黑名單裡面存儲有不允許接入該網絡的終端設備標識。網絡交換中心與終端設備識別中心之間的交互是通過,網絡交換中心向終端設備識別中心發送查詢信息,而設備識別中心向網絡交換中心回饋查詢結果來實現。其中,網絡交換中心與終端設備識別中心之間的接口協議可以是諸如MAP協議、Diameter協議及Radius協議等。另外,該終端設備中心可以通過輸入裝置來對其內部的資料進行維護。
網絡運營商籤約用戶的鑑權信息是預先存儲在終端設備識別中心中的。例如,當每個用戶購買終端時,籤約網絡運營商,並選擇由自己或由該網絡的運營商將其鑑權信息送到終端設備識別中心進行登記。此時,進行登記的鑑權信息主要包括有終端設備標識、籤約網絡分配給用戶的網絡標識及該終端校驗鑑權信息。其中終端設備標識可以提前存儲在終端設備識別中心(例如,在終端出廠時,向終端設備識別中心登記)。該終端校驗鑑權信息可以是校驗密碼或其他一些帶有生物特徵的信息(例如用戶的指紋信息、個人籤名信息、視網膜信息等),其中以校驗密碼最為常用,如果採用校驗密碼的形式,可以先由運營商設定後告知用戶,也可由用戶自己設定的,且用戶可以對該終端校驗密碼進行更改,該更改可以是人工方式或自動方式進行,人工方式可以採用諸如到網絡運營商或終端設備識別中心的營業廳登記更改;自動方式可以是,例如由運營商或終端設備識別中心提供語音服務進行語音撥入,或者其提供的WEB服務進行登錄操作界面進行更改。終端設備識別中心對運營商送來的用戶網絡標識透明存儲,該用戶網絡標識可以是經過運營商加密的。
上述圖2所示的實施例中,該終端設備識別中心可用於對該運營商網絡中的終端設備進行鑑權。如圖3所示,是本發明的第二實施例的示意圖,其適用於對不同的運營商網絡中的所有終端設備進行統一鑑權。該終端設備識別中心設在獨立的第三方監管處,例如可以在全國或全球對於同一種網絡終端建立一個統一管理的終端設備識別中心。圖中僅畫出了兩個運營商網絡,本發明不限於此。與第一實施例類似,該終端設備識別中心預先存儲有所有運營商網絡的終端的鑑權信息。
本發明的原理簡述如下設有一個可與運營商網絡中網絡交換中心的終端設備識別中心,且在該終端設備識別中心中預先存儲有網絡的籤約終端用戶的鑑權信息。當終端向該網絡發起註冊時,網絡交換中心對該終端進行鑑權,將該終端的註冊信息中的相關信息與存儲在終端設備識別中心的鑑權信息進行比較,以確定該終端是否可以被允許接入該網絡。其中所述終端向網絡發起的註冊,包括當該終端第一次使用時向網絡的註冊;該終端每次開機時向網絡的註冊;或者該終端在使用中定期的向網絡的註冊(如每隔數小時向網絡發起一次註冊)。
下面結合圖4,對本發明的流程圖進行詳細說明。
在本發明中,首先需要將終端用戶的鑑權信息向終端設備識別中心進行登記(可參見上面的敘述)。
在步驟S30中,當一個終端在網絡中發起註冊時,網絡交換中心會獲得終端所發送的註冊信息中的終端設備標識(該註冊信息中還攜帶有該終端的網絡標識)。
在步驟S31中,該網絡交換中心將該終端設備標識傳送給終端設備識別中心,終端設備識別中心判斷該終端設備標識是否在其黑名單中。
如果步驟S31判斷該終端設備標識在其黑名單中,則返回一消息給給網絡交換中心,網絡交換中心根據該消息獲知該終端設備處於黑名單之列,則進行步驟35的註冊失敗流程,阻止該設備接入該網絡。
需要說明一下,對於終端設備識別中心中沒有登記的終端不支持該防盜功能,查詢不到其終端設備標識的處理按運營商的策略進行,如果僅就防盜功能來說,應該按終端鑑權成功處理,繼續原有網絡中的正常註冊流程。
如果步驟S31判斷該終端設備標識未在終端設備識別中心的黑名單中,則在步驟S33中,終端設備識別中心返回存儲於其內的與該終端對應的用戶網絡標識和終端校驗鑑權信息給網絡交換中心。
在步驟S34中,網絡交換中心比較終端設備識別中心中存儲的用戶網絡標識和終端註冊信息報上來的用戶網絡標識是否一致。如果終端設備識別中心中存儲的用戶網絡標識是運營商加密過的,則在網絡交換中心中還需要進行相應的解密操作。
如果步驟S34中判斷兩者為一致,則步驟轉至步驟S390,該終端鑑權通過。
如果步驟S34中判斷兩者不一致,則在步驟S36中,要求用戶輸入終端校驗鑑權信息(如一校驗密碼),在另外一些實施例中,可以要求用戶輸入其他的諸如包括生物特徵的信息,如指紋,這需要所述的終端具有指紋掃描的功能。
並在步驟S37中,該網絡交換中心比較該用戶輸入的終端校驗鑑權信息與終端設備識別中心返回的終端校驗鑑權信息是否相同。
如果步驟S37中兩個終端校驗鑑權信息相同,則轉至步驟390,繼續註冊流程。
如果步驟S37中兩個終端校驗鑑權信息不同,則在步驟S38中判斷是否用戶已經輸入了預定次數的終端校驗鑑權信息,如果沒有,則轉至步驟S36重複比較終端校驗鑑權信息的步驟。
如果已經達到了預定次數,則網絡交換中心會認為該終端是非法終端,則會註冊失敗,則可選擇將該終端設備標識加入終端設備識別中心的黑名單中(步驟S39)。
本發明是,利用先對照終端設備識別中心的黑名單,再判斷來自終端設備識別中心的用戶網絡標識和終端註冊報上來的用戶網絡標識是否一致,如果不一致,則網絡交換中心要求終端使用者輸入終端校驗鑑權信息,輸入正確則終端鑑權成功,鑑權成功後,繼續後續的正常的註冊流程;否則失敗。允許用戶輸入若干次終端校驗鑑權信息(例如三次),如果都失敗則把該終端放進終端設備識別中心的黑名單(根據運營商策略可選)。
此處設定終端校驗鑑權信息考慮了用戶臨時更換帶有用戶網絡標識的SIM、USIM、ISIM卡,或長久更換但還沒有及時更新終端設備識別中心中信息的情況,這時終端設備識別中心中存儲的用戶網絡標識和終端註冊報上來的用戶網絡標識將不一致,但允許其通過終端校驗鑑權信息註冊成功。
以上過程可以在原有終端註冊流程之後或之前進行,也可合併進原有註冊流程中。該終端鑑權過程只在終端註冊時進行,不影響用戶正常呼叫的接續。
本發明提出了一個通用的由網絡自動檢測未授權終端(如換卡後的被盜終端)並阻止其使用網絡的方案,可以及時有效地防止未授權終端連入網絡。
權利要求
1.一種終端使用網絡的控制系統,包括有可接收終端註冊的網絡交換中心,其特徵在於,所述系統進一步包括有與該網絡交換中心交互的終端設備識別中心,在所述終端設備識別中心中存儲有網絡的籤約終端的用戶鑑權信息;所述網絡交換中心可接收終端用戶註冊信息,根據所述註冊信息中的終端設備標識,向終端設備識別中心請求所述終端的用戶鑑權信息,根據該用戶鑑權信息確定是否允許所述終端接入網絡。
2.如權利要求1所述的終端使用網絡的控制系統,其特徵在於,所述籤約終端用戶的鑑權信息包括終端設備標識、籤約網絡分配給用戶的網絡標識及終端校驗鑑權信息,所述終端校驗鑑權信息為校驗密碼或具有生物特徵的信息。
3.如權利要求1所述的終端使用網絡的控制系統,其特徵在於,所述終端設備識別中心中設有用於存儲不允許接入網絡的終端的終端設備標識的黑名單。
4.如權利要求1至3任一項所述的終端使用網絡的控制系統,其特徵在於,所述終端設備標識為IMEI碼或ESN碼。
5.如權利要求4任一項所述的終端使用網絡的控制系統,其特徵在於,所述網絡交換中心與終端設備識別中心之間的接口協議為Map協議、Diameter協議或Radius協議。
6.如權利要求5所述的終端使用網絡的控制系統,其特徵在於,所述網絡為PLMN網絡、NGN網絡、WCDMA網絡或CDMA2000網絡。
7.一種終端使用網絡的控制方法,其特徵在於,包括(a)終端向網絡交換中心發送註冊信息,所述註冊信息中包含有所述終端的終端設備標識;(b)網絡交換中心接收該註冊信息,向終端設備識別中心查詢所述終端的鑑權信息,對該終端進行鑑權;(c)網絡交換中心根據所述終端設備識別中心返回的鑑權信息,確定是否允許所述終端接入網絡。
8.如權利要求7所述的終端使用網絡的控制方法,其特徵在於,所述鑑權信息包括終端設備標識、籤約網絡分配給用戶的網絡標識及終端校驗鑑權信息。
9.如權利要求8所述的終端使用網絡的控制方法,其特徵在於,所述步驟(c)進一步包括如果該終端設備標識已在終端設備識別中心的黑名單中,則終端設備識別中心返回一消息給網絡交換中心,網絡交換中心根據該消息阻止該終端接入網絡。
10.如權利要求8所述的終端使用網絡的控制方法,其特徵在於,所述步驟(c)進一步包括(c1)所述終端設備識別中心將存儲於其內的與該終端對應的用戶網絡標識和終端校驗鑑權信息傳送給網絡交換中心;(c2)網絡交換中心比較終端設備識別中心傳送的用戶網絡標識和終端註冊信息中攜帶的用戶網絡標識是否一致;如果一致,則該次終端鑑權通過;如果不一致,轉入下一步;(c3)網絡交換中心要求用戶輸入終端校驗鑑權信息,並將其與終端設備識別中心返回的終端校驗鑑權信息相比較;(c4)如果步驟(c3)中該兩個終端校驗鑑權信息相同,則該次終端鑑權通過;(c5)如果步驟(c3)中該兩個終端校驗鑑權信息不相同,則網絡交換中心阻止該終端接入網絡,並可選擇將該終端設備標識加入終端設備識別中心的黑名單中。
11.如權利要求10所述的終端使用網絡的控制方法,其特徵在於,如果步驟(c1)中,終端設備識別中心所傳送的用戶網絡標識為加密的,則進一步包括網絡中心對該加密的用戶網絡標識進行解密的步驟。
12.如權利要求10所述的終端使用網絡的控制方法,其特徵在於,在步驟(c5)中進一步包括判斷用戶輸入的終端校驗鑑權信息的次數是否達到預設值;如果未達預設值,要求用戶再次輸入終端校驗鑑權信息,並轉入步驟(c3);如果達到預設值,網絡交換中心阻止該終端接入網絡,並可選擇將該終端設備標識加入終端設備識別中心的黑名單中。
13.如權利要求7至12任一項所述的終端使用網絡的控制方法,其特徵在於,所述終端校驗鑑權信息為校驗密碼或具有生物特徵的信息。
全文摘要
本發明提供一種終端使用網絡的控制系統,至少包括有可接收終端註冊的網絡交換中心及與該網絡交換中心交互的終端設備識別中心,在該終端設備識別中心中預先存儲有網絡籤約終端用戶的鑑權信息;網絡交換中心接收終端用戶註冊信息,向終端設備識別中心請求的該終端用戶鑑權信息,並根據其返回結果,確定該終端是否可以被允許接入該網絡。本發明還提供一種終端使用網絡的控制方法。在本發明中,當有終端進行入網註冊時,對該終端相關信息與預先存儲在終端設備識別中心的鑑權信息進行比較,確認其是否通過鑑權,可及時有效地防止未授權的終端(如換卡後的被盜終端)使用網絡。
文檔編號H04W12/06GK1874595SQ20051010091
公開日2006年12月6日 申請日期2005年10月31日 優先權日2005年10月31日
發明者時書鋒, 閻學霞 申請人:華為技術有限公司