一种通信安全防护方法、装置和计算机可读存储介质与流程

1.本发明涉及移动通信技术领域，尤其涉及一种通信安全防护方法、装置和计算机可读存储介质。


背景技术：

2.近年来，gsm移动通信系统各项技术趋于成熟。当前的通信过程可以接受基于通过主动触发的非电路域其他业务所建立的无线空口链路进行后续的被叫业务处理。但在实际应用过程中，移动交换中心(msc)在处理b用户的被叫业务时，用户a(非法用户)可替代用户b主动触发一次主叫非电路域其他业务来绕过msc不严格的检查，实现劫持用户b的被叫业务。


技术实现要素：

3.有鉴于此，本发明实施例期望提供一种通信安全防护方法、装置和计算机可读存储介质。
4.为达到上述目的，本发明实施例的技术方案是这样实现的：
5.本发明实施例提供了一种通信安全防护方法，该方法应用于核心网设备，包括：
6.确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；
7.对所述被叫终端执行身份识别流程以及身份鉴权流程；
8.确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
9.可选的，所述确定身份识别流程以及身份鉴权流程均通过后，该方法还包括：
10.对所述被叫终端再次执行身份识别流程以及身份鉴权流程；
11.确定本次身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
12.可选的，所述终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务之后，该方法还包括：
13.重新发起对所述被叫终端的寻呼。
14.可选的，该方法还包括：
15.确定所述被叫终端结束自身发起的所述非电路域其他业务；
16.继续执行所述被叫终端的被叫业务。
17.其中，所述对所述被叫终端执行身份识别流程，包括：
18.向所述被叫终端发送识别请求；
19.接收所述被叫终端返回的识别响应；
20.判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份
标识信息是否一致；如果一致，则继续进行身份鉴权流程；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
21.其中，所述判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致，包括：
22.判断所述识别响应所携带的国际移动用户识别码imsi与已记录的该被叫终端注册时的imsi是否一致；或者，
23.判断所述识别响应所携带的国际移动设备识别码imei与已记录的该被叫终端注册时的imei是否一致。
24.其中，对所述被叫终端执行身份鉴权流程，包括：
25.向所述被叫终端发送鉴权请求；
26.接收所述被叫终端返回的鉴权响应；
27.判断所述鉴权响应所携带的响应值sres是否与核心网设备计算所得的响应值sres相同，如果相同，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
28.本发明实施例还提供了一种通信安全防护装置，该装置应用于核心网设备，包括：
29.确定模块，用于确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；
30.识别鉴权模块，用于对所述被叫终端执行身份识别流程以及身份鉴权流程；确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
31.本发明实施例还提供了一种通信安全防护装置，该装置包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，
32.其中，所述处理器用于运行所述计算机程序时，执行上述方法的步骤。
33.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤。
34.本发明实施例提供的通信安全防护方法、装置和计算机可读存储介质，核心网设备确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；对所述被叫终端执行身份识别流程以及身份鉴权流程；确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。可见，本发明实施例基于身份识别流程和身份鉴权流程对被叫用户进行合法性认证，身份识别流程以及身份鉴权流程均通过才允许所述被叫终端发起所述非电路域其他业务，防止劫持用户被叫业务问题，提高了通信过程的安全性，保证用户的隐私和权益。
35.此外，本发明实施例还在确定身份识别流程以及身份鉴权流程均通过后，对所述被叫终端再次执行身份识别流程以及身份鉴权流程。因此，可进一步提高被叫终端的业务的安全性，防止被叫业务被恶意劫持。
附图说明
36.图1为本发明实施例所述通信安全防护方法流程示意图；
37.图2为本发明实施例所述通信安全防护装置结构示意图一；
38.图3为本发明实施例所述通信安全防护装置结构示意图二；
39.图4为本发明场景实施例寻呼阶段被叫主动触发非电路域业务流程一；
40.图5为本发明场景实施例寻呼阶段被叫主动触发非电路域业务流程二。
具体实施方式
41.下面结合附图和实施例对本发明进行描述。
42.相关技术中，终端在特定位置区被寻呼时，可以通过主动触发cm service request请求非电路域业务来响应被叫业务的pagingrequest消息；终端在非特定位置区被寻呼时，可以通过主动触发cm service request请求非电路域业务来响应被叫业务的pagingrequest消息。
43.在对移动交换中心(msc)功能处理描述中，仅要求了可以接受基于通过主动触发的非电路域其他业务所建立的无线空口链路进行后续的被叫业务处理，但未明确要求此时的核心网设备应是基于此次被叫用户所对应的合法入网终端所触发主叫非电路域其他业务建立的无线空口链路，造成了msc在处理被叫用户的被叫业务时，可以利用另一非法用户替代被叫用户主动触发一次主叫非电路域其他业务绕过移动交换中心(msc)不严格的检查，实现劫持被叫用户的被叫业务。
44.基于此，本发明实施例提出一种通信安全防护方法，以解决上述通信中要求不明确造成的劫持用户被叫业务问题。如图1所示，该方法应用于核心网设备，包括：
45.步骤101：确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；
46.步骤102：对所述被叫终端执行身份识别流程以及身份鉴权流程；
47.步骤103：确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
48.本发明实施例中，所述核心网设备可为msc或拜访位置寄存器(vlr)。
49.一个实施例中，所述确定身份识别流程以及身份鉴权流程均通过后，该方法还包括：
50.对所述被叫终端再次执行身份识别流程以及身份鉴权流程；
51.确定本次身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
52.这样，本实施例可进一步提高被叫终端的业务的安全性，防止被叫业务被恶意劫持。
53.一个实施例中，所述终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务之后，该方法还包括：
54.重新发起对所述被叫终端的寻呼。
55.一个实施例中，该方法还包括：
56.确定所述被叫终端结束自身发起的所述非电路域其他业务；
57.继续执行所述被叫终端的被叫业务。
58.本发明实施例中，所述对所述被叫终端执行身份识别流程，包括：
59.向所述被叫终端发送识别请求；
60.接收所述被叫终端返回的识别响应；
61.判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致；如果一致，则继续进行身份鉴权流程；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
62.本发明实施例中，所述判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致，包括：
63.判断所述识别响应所携带的国际移动用户识别码imsi与已记录的该被叫终端注册时的imsi是否一致；或者，
64.判断所述识别响应所携带的国际移动设备识别码imei与已记录的该被叫终端注册时的imei是否一致。
65.本发明实施例中，对所述被叫终端执行身份鉴权流程，包括：
66.向所述被叫终端发送鉴权请求；
67.接收所述被叫终端返回的鉴权响应；
68.判断所述鉴权响应所携带的响应值sres是否与核心网设备计算所得的响应值sres相同，如果相同，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
69.为了实现上述方法实施例，本发明实施例还提供了一种通信安全防护装置，如图2所示，该装置应用于核心网设备，包括：
70.确定模块201，用于确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；
71.识别鉴权模块202，用于对所述被叫终端执行身份识别流程以及身份鉴权流程；确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
72.一个实施例中，所述识别鉴权模块202确定身份识别流程以及身份鉴权流程均通过后，还用于对所述被叫终端再次执行身份识别流程以及身份鉴权流程；
73.确定本次身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
74.这样，本实施例可进一步提高对被叫终端的业务的安全性，防止被叫业务被恶意劫持。
75.一个实施例中，如图3所示，该装置还包括：呼叫处理模块203；
76.所述识别鉴权模块202终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务之后，所述呼叫处理模块203，用于重新发起对所述被叫终端的寻呼。
77.一个实施例中，所述呼叫处理模块203，还用于确定所述被叫终端结束自身发起的所述非电路域其他业务；
78.继续执行所述被叫终端的被叫业务。
79.本发明实施例中，所述识别鉴权模块202对所述被叫终端执行身份识别流程，包括：
80.向所述被叫终端发送识别请求；
81.接收所述被叫终端返回的识别响应；
82.判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致；如果一致，则继续进行身份鉴权流程；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
83.本发明实施例中，所述识别鉴权模块202判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致，包括：
84.判断所述识别响应所携带的国际移动用户识别码imsi与已记录的该被叫终端注册时的imsi是否一致；或者，
85.判断所述识别响应所携带的国际移动设备识别码imei与已记录的该被叫终端注册时的imei是否一致。
86.本发明实施例中，识别鉴权模块202对所述被叫终端执行身份鉴权流程，包括：
87.向所述被叫终端发送鉴权请求；
88.接收所述被叫终端返回的鉴权响应；
89.判断所述鉴权响应所携带的响应值sres是否与核心网设备计算所得的响应值sres相同，如果相同，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
90.本发明实施例还提供了一种通信安全防护装置，该装置包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，
91.其中，所述处理器用于运行所述计算机程序时，执行：
92.确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；
93.对所述被叫终端执行身份识别流程以及身份鉴权流程；
94.确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
95.所述确定身份识别流程以及身份鉴权流程均通过后，所述处理器还用于运行所述计算机程序时，执行：
96.对所述被叫终端再次执行身份识别流程以及身份鉴权流程；
97.确定本次身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
98.所述终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务之后，所述处理器还用于运行所述计算机程序时，执行：
99.重新发起对所述被叫终端的寻呼。
100.所述处理器还用于运行所述计算机程序时，执行：
101.确定所述被叫终端结束自身发起的所述非电路域其他业务；
102.继续执行所述被叫终端的被叫业务。
103.所述对所述被叫终端执行身份识别流程时，所述处理器还用于运行所述计算机程序时，执行：
104.向所述被叫终端发送识别请求；
105.接收所述被叫终端返回的识别响应；
106.判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致；如果一致，则继续进行身份鉴权流程；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
107.所述判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致时，所述处理器还用于运行所述计算机程序时，执行：
108.判断所述识别响应所携带的国际移动用户识别码imsi与已记录的该被叫终端注册时的imsi是否一致；或者，
109.判断所述识别响应所携带的国际移动设备识别码imei与已记录的该被叫终端注册时的imei是否一致。
110.对所述被叫终端执行身份鉴权流程时，所述处理器还用于运行所述计算机程序时，执行：
111.向所述被叫终端发送鉴权请求；
112.接收所述被叫终端返回的鉴权响应；
113.判断所述鉴权响应所携带的响应值sres是否与核心网设备计算所得的响应值sres相同，如果相同，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
114.需要说明的是：上述实施例提供的装置在进行通信安全防护时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将设备的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的装置与相应方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
115.在示例性实施例中，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器；也可以是包括上述存储器之一或任意组合的各种设备，如移动电话、计算机、平板设备、个人数字助理等。
116.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，执行：
117.确定被寻呼的被叫终端触发非电路域其他业务；所述非电路域其他业务为：与所述被叫终端当前进行的被叫业务不同的非电路域业务；
118.对所述被叫终端执行身份识别流程以及身份鉴权流程；
119.确定身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
120.所述确定身份识别流程以及身份鉴权流程均通过后，所述计算机程序被处理器运行时，还执行：
121.对所述被叫终端再次执行身份识别流程以及身份鉴权流程；
122.确定本次身份识别流程以及身份鉴权流程均通过，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
123.所述终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务之后，所述计算机程序被处理器运行时，还执行：
124.重新发起对所述被叫终端的寻呼。
125.所述计算机程序被处理器运行时，还执行：
126.确定所述被叫终端结束自身发起的所述非电路域其他业务；
127.继续执行所述被叫终端的被叫业务。
128.所述对所述被叫终端执行身份识别流程时，所述计算机程序被处理器运行时，还执行：
129.向所述被叫终端发送识别请求；
130.接收所述被叫终端返回的识别响应；
131.判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致；如果一致，则继续进行身份鉴权流程；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
132.所述判断所述识别响应所携带的身份标识信息与已记录的该被叫终端注册时的身份标识信息是否一致时，所述计算机程序被处理器运行时，还执行：
133.判断所述识别响应所携带的国际移动用户识别码imsi与已记录的该被叫终端注册时的imsi是否一致；或者，
134.判断所述识别响应所携带的国际移动设备识别码imei与已记录的该被叫终端注册时的imei是否一致。
135.对所述被叫终端执行身份鉴权流程时，所述计算机程序被处理器运行时，还执行：
136.向所述被叫终端发送鉴权请求；
137.接收所述被叫终端返回的鉴权响应；
138.判断所述鉴权响应所携带的响应值sres是否与核心网设备计算所得的响应值sres相同，如果相同，则允许所述被叫终端发起所述非电路域其他业务；否则，终止对被叫终端的寻呼以及所述被叫终端触发的非电路域其他业务。
139.下面结合场景实施例对本发明进行描述。
140.实施例一
141.本实施例要求网络侧(核心网设备)在处理对于用户b(被叫用户)的呼叫时，应记录b相关鉴权和开户对应imsi信息，在寻呼阶段，对于用户b主动触发非电路域其他业务时，执行鉴权和识别流程应严格执行相关检查，对于上报的鉴权响应和识别响应信息如非用户b所属信息，直接终止该次被叫及主叫类业务，重新发起对用户b的被叫寻呼。
142.寻呼阶段被叫主动触发非电路域业务流程如图4所示，包括：
143.步骤401：触发对用户b的寻呼；
144.步骤402：判断用户b是否触发主叫非电路域业务；如果是，则执行步骤403；否则执行步骤409；
145.步骤403：触发对用户b的身份识别流程；
146.步骤404：判断收到的识别响中的应imsi或imei是否为用户b注册时记录的imsi或imei，如果是，则执行步骤405；否则执行步骤408；
147.步骤405：触发对用户b的身份鉴权流程；
148.步骤406：判断收到的鉴权响应所携带的响应值sres是否为用户b所需的sres；如果是，则执行步骤407；否则执行步骤408；
149.步骤407：允许用户b发起主叫非电路域业务；
150.步骤408：终止对用户b的寻呼和所述用户b发起的主叫非电路域业务，并返回步骤401，重新触发对用户b的寻呼；
151.步骤409：执行所述被叫终端的被叫业务。
152.实施例二
153.本实施例要求网络侧(核心网设备)在处理对于用户b(被叫用户)的呼叫时，应记录b相关鉴权和开户对应imsi信息；在寻呼阶段，对于用户b主动触发非电路域其他业务时，执行完成由主动触发非电路域其他业务所触发鉴权和识别流程后，二次触发对用户b的鉴权响应和识别响应，如果二次触发上报的鉴权响应和识别响应信息非用户b所属信息，直接终止该次被叫及主叫类业务，重新发起对用户b的被叫寻呼。
154.寻呼阶段被叫主动触发非电路域业务流程如图5所示，包括：
155.步骤501：触发对用户b的寻呼；
156.步骤502：判断用户b是否触发主叫非电路域业务；如果是，则执行步骤503；否则执行步骤510；
157.步骤503：对所述被叫终端执行身份识别流程以及身份鉴权流程；
158.需要说明的是，该步骤与实施例一中步骤403至步骤409相同，步骤408同本实施例的步骤509；步骤409同本实施例的步骤510；
159.步骤504：再次触发对用户b的身份识别流程；
160.步骤505：判断收到的识别响应中的imsi或imei是否为用户b注册时记录的imsi或imei，如果是，则执行步骤506；否则执行步骤509；
161.步骤506：触发对用户b的身份鉴权流程；
162.步骤507：判断收到的鉴权响应所携带的响应值sres是否为用户b所需的sres；如果是，则执行步骤508；否则执行步骤509；
163.步骤508：允许用户b发起主叫非电路域业务；
164.步骤509：终止对用户b的寻呼和所述用户b发起的主叫非电路域业务，并返回步骤501，重新触发对用户b的寻呼；
165.步骤510：执行所述被叫终端的被叫业务。
166.以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。