[0001] 本申请涉及通信技术领域，尤其涉及一种阻止恶意用户接入的通信方法及装置。

[0002] 无线通信系统承载着网络通信任务，为用户提供语音、网页浏览、多媒体业务等多种服务。随着第五代(5G)无线通信的发展和无线业务需求的增加，无线通信网络在满足增强移动宽带、超可靠低时延通信和大规模机器类通信进行了广泛的研究。

[0003] 5G网络基于软件定义切片平台与边缘计算，利用人工智能与大数据挖掘的融合，推动垂直行业与移动网络深度融合，以支持多样化的应用场景，而网络边缘化、软件虚拟化导致网络安全边界模糊，网络安全架构所引发的安全问题日益凸显。同时，无线通信网络易成为攻击者的目标，攻击者通过执行非法操作，影响其他合法用户的正常使用，甚至引发各种安全问题。例如攻击者会针对用户和网络发起假冒、伪造、篡改、重放等主动攻击，或者通过窃听、追踪等方式发起被动攻击。

[0004] 目前，针对5G、工业互联网等融合领域的安全防护需求，以及用户攻击通信系统导致无法正常访问、通信系统瘫痪等问题，需要一种安全高效的通信方案。

[0036] 下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

[0037] 下面参考附图描述本申请实施例的阻止恶意用户接入的通信方法、装置及设备。

[0038] 图1为本申请实施例所提供的一种阻止恶意用户接入的通信方法的流程示意图，如图1所示，该方法包括：

[0039] 步骤101，获取检测范围内的无线信号，根据信号频率表从无线信号中确定处于预设频段的目标信号。

[0040] 本申请实施例的阻止恶意用户接入的通信方法，可以应用于基站或接入点。

[0041] 本实施例中，基站/接入点识别自然噪声中的无线信号，进而动态检测自身检测范围内的无线信号。通过对照无线电管理机构核准的授权信号频率表，检测信号是否在正确的频段以确定非授权信号，实现非授权信号的检测。其中，对于处于预设频段的目标信号，进一步提取目标信号的信号特征；对于不处于预设频段的信号，确定为非授权信号，基站/接入点拒绝非授权信号的接入。

[0042] 步骤102，提取目标信号的信号特征，根据恶意信号识别模型对信号特征进行处理，获取目标信号的类别。

[0043] 本实施例中，针对目标信号因非法发射、移频发射、超电平发射和超带宽发射等原因出现异常的情况，提取目标信号的信号特征，并对提取到的信号特征进行降维处理，即去除冗余特征。

[0044] 其中，目标信号的信号特征包括但不限于信号的带宽、中心频率、功率峰值、瞬时相位的统计特征、信号的小波域特征、循环平稳特征、高阶统计量。

[0045] 本实施例中，根据恶意信号识别模型对信号特征进行处理，获取目标信号的类别，目标信号的类别包括合法信号和恶意信号。

[0046] 作为一种可能的实现方式，恶意信号识别模型通过以下方式实现：通过无监督学习将样本信号的信号特征映射到低维空间，并在随机的子空间对样本信号进行聚类，为聚类结果分配第一类别标号；根据标注有第二类别标号的样本信号进行有监督学习；对比第一类别标号和第二类别标号进行类别匹配，根据匹配结果训练恶意信号识别模型。

[0047] 具体地，S1、从所有样本点中随机选择k个点作为初始簇中心，基于欧几里德度量标准将每个样本点划分到距离最近的初始簇中心点对应的簇中。进而，将各簇中所有样本的中心点作为新的簇中心，以替代原有中心点。当中心点不变或达到预定迭代次数时，通过迭代得到簇内误差平方和最小，算法终止。

[0048] S2、利用支持向量机在特征空间中确定分类超平面，该分类超平面用于将样本分开，且在准确划分所有训练集样本的情况下，同时使分类间隔达到最大化。进而，通过局部收敛极值得到全局最优解。

[0049] S3、利用少数部分有标号的数据进行有监督学习，对比有监督和无监督的类别标号进行类别匹配，其中，类别包括恶意信号以及合法信号。

[0050] 步骤103，若目标信号的类别为合法信号，则根据预设的检测策略对终端信息进行检测，以根据终端信息的检测结果进行通信。

[0051] 步骤104，若目标信号的类别为恶意信号，则拒绝目标信号的接入。

[0052] 本实施例中，若目标信号的类别为合法信号，则根据预设的检测策略对终端信息进行检测；若目标信号的类别为恶意信号，则拒绝目标信号的接入。具体地，拒绝信号接入通过如下方式实现：基站/接入点下发控制信息，使信号的上行发射功率最低，且最长延迟时间发起上行随机接入。

[0053] 举例而言，如图2所示，基站/接入点识别自然噪声中的无线信号，对照授权信号频率表确定授权信号和非授权信号，对于非授权信号，拒绝该信号的接入。对于授权信号提取信号特征并降维，通过恶意信号识别模型确定该授权信号是否为恶意信号，若是，则拒绝该信号的接入，若否，则执行终端信息检测。

[0054] 本申请实施例的阻止恶意用户接入的通信方法，通过恶意信号识别模型识别无线信号中的恶意信号，对于合法信号执行终端检测，对于恶意信号拒绝接入，相对于依靠“外挂式”、“补丁式”等网络安全机制，仅立足于无线通信的边界安全防护技术，实现了基于内生安全的信号识别，有效应对5G、工业互联网等融合领域高效高可用的安全防护需求，能够阻止恶意信号接入，提高通信安全性。

[0055] 基于上述实施例，图3为本申请实施例所提供的另一种阻止恶意用户接入的通信方法的流程示意图，如图3所示，在确定目标信号的类别为合法信号后，该方法还包括：

[0056] 步骤201，获取终端的功率信息，根据功率信息确定处于预设功率范围的目标终端。

[0057] 本实施例中，确定目标信号的类别为合法信号后，根据预设的检测策略对终端信息进行检测。具体地，终端向基站申请上行资源时，通过MSG1，即preamble发送中隐式通知基站/接入点关于UE的功率等级，对终端信息进行检测。

[0058] 作为一种示例，UE功率等级包括：23dBm、20dBm和14dBm，若终端的功率信息大于23dBm，或者小于14dBm，则确定该终端为异常终端；若终端的功率信息处于14dBm-23dBm之间，则将该终端作为目标终端。

[0059] 需要说明的是，基站/接入点根据终端的功率信息，当终端自身功率在14dBm-23dBm，且在Msg2中包含终端设备已经发送的前导码时，确定随机接入响应成功，否则，确定随机接入响应接收不成功，需要重新接入。

[0060] 步骤202，获取目标终端对应的前导码，若目标终端的终端响应消息中存在与前导码相同的前导标识，则确定目标终端为合法终端，并执行用户业务识别流程。

[0061] 本实施例中，针对初始接入、连接接入、切换等不同场景，Msg3中可包含不同内容。若终端响应消息中的某个随机接入前导标识与基站/接入点发送的前导码相同，则确定该终端为合法终端，响应接收成功。

[0062] 步骤203，若终端响应消息中未识别到与前导码相同的前导标识，则重新发送前导码，并统计前导码的重传次数。

[0063] 本实施例中，若终端响应消息中未识别到与前导码相同的前导标识，则基站/接入点重新发送前导码，且发送前导码的传输次数加1，并统计前导码的重传次数。

[0064] 可选地，若终端接收到响应消息，但未正确解析响应消息无法识别终端的前导码，则认为该次响应消息的接收失败，基站/接入点重新发送前导码，且发送前导码的传输次数加1。

[0065] 步骤204，当重传次数大于预设次数时，确定目标终端为恶意终端，拒绝目标终端的业务请求。

[0066] 本实施例中，若前导码的重传次数大于预设次数，则确定目标终端为恶意终端，拒绝目标终端的业务请求。具体地，下行发送随机接入响应，随机接入响应中包括使恶意终端的上行发射功率最低，且最长延迟时间发起上行接入消息。

[0067] 举例而言，如图4所示，基站/接入点对随机接入过程中检测终端信息，并根据终端的功率确定是否为异常终端，若为异常终端，则拒绝该终端的业务请求。若非异常终端，则获取基站/接入点发送前导码的重传次数，根据重传次数确定是否为恶意终端，若是，则拒绝该终端的业务请求，若否，则执行用户业务识别。

[0068] 本申请实施例的阻止恶意用户接入的通信方法，实现了基于内生安全的终端识别，能够识别恶意终端并拒绝恶意终端的业务请求，进一步提高了通信安全性。

[0069] 基于上述实施例，图5为本申请实施例所提供的另一种阻止恶意用户接入的通信方法的流程示意图，如图5所示，在确定目标终端为合法终端后，该方法还包括：

[0070] 步骤301，获取用户业务数据的统计特征。

[0071] 其中，统计特征包括数据到达间隔、流持续时间。

[0072] 本实施例中，确定目标终端为合法终端后，执行用户业务识别流程。具体地，基站/接入点利用网络边缘设备的储存能力和数据处理能力，统计分组数据到达间隔、流持续时间等统计特征。

[0073] 步骤302，将统计特征输入随机森林模型进行处理，获取用户类别。

[0074] 本实施例中，利用集成学习中的随机森林算法实现分类和识别，用户类别包括合法用户和恶意用户。

[0075] 作为一种示例，若在单位时间内接收到大于N次相同的无线随机接入信号，且接入后业务平均持续时长少于预设时长，则确定用户类别为恶意用户；否则，确定用户类别为合法用户。

[0076] 在本申请的一个实施例中，随机森林模型通过以下方式得到：通过随机可重复抽取的方式从原始样本集中抽取样本，获取K个训练集；根据抽取的样本构造决策树，其中，K个训练集对应K个决策树模型；获取K个决策树模型中每个决策树模型的预测结果，根据每个决策树模型的预测结果训练K个决策树模型。

[0077] 具体地，基于Bootstrap抽样方法从原始样本集中随机可重复抽取N个训练样本，共进行K轮抽取，得到K个训练集。通过上述步骤选定的样本构造决策树，其中，决策树节点划分规则如下：不重复选择地随机选择d个特征，根据目标函数要求，使用选定的特征对节点进行划分，目标函数要求例如最大化信息增益。重复上述过程1～2000次。汇总每棵决策树的类别并进行多数投票，生成决策树的预测结果，由K个模型的预测结果的均值生成用户类别，用户类别包括恶意用户和合法用户。

[0078] 步骤303，若用户类别为恶意用户，则通知核心网将用户加入恶意用户黑名单。

[0079] 举例而言，如图6所示，基站/接入点统计分组数据到达间隔、流持续时间等特征，通过随机森林算法识别用户类别。若为恶意用户，则告知核心网将用户加入黑名单，若不为恶意用户，则执行核心网认证。

[0080] 步骤304，若用户类别为合法用户，则执行核心网认证流程。

[0081] 本实施例中，执行核心网认证流程包括：对每个待接入用户进行识别，根据恶意用户黑名单与待接入用户的识别结果进行比对；若待接入用户为恶意用户，则拒绝待接入用户的授权和认证；若待接入用户不为恶意用户，则通过基于对称密码体制的认证协议进行认证，若认证成功，则允许为待接入用户建立与业务系统之间的通信链路，若认证失败，则拒绝提供业务。

[0082] 作为一种示例，当发起分组数据业务时，用户将公钥加密后的密文SUCI(Subscription Concealed Identifier，用户隐藏标识)发送给基站，由基站上传至核心网，以在核心网侧对每个待接入用户的对应终端进行识别。

[0083] 具体地，S1、用户向基站发起接入网络的请求，发送SUCI，即加密后的SUPI(Subscription Permanent Identifier，用户永久标识)或者GUTI(Globally Unique Temporary UE Identity，临时UE标识)；

[0084] S2、基站接收到SUCI后，转发至核心网的SEAF(SEcurity Anchor Function，安全锚函数)；

[0085] S3、SEAF接收并解析信令，若解析到GUTI则匹配对应的SUPI，若解析到SUCI则不解密，并向AUSF(Authentication Server Function AU，身份验证服务器功能)调用鉴权算法；

[0086] S4、在UDM中调用解密算法将SUCI解密为SUPI，从而在核心网侧对每个待接入用户的对应终端进行识别。其中，SUCI的解密算法执行一次，设置在核心网的UDM中。

[0087] S5、通过导入恶意用户黑名单，与用户对应终端的识别结果进行比对。若是恶意用户，则拒绝恶意用户的授权和认证，以禁止恶意用户再次发起接入基站请求。若不为恶意用户，则通过基于对称密码体制的认证协议进行认证，若认证成功，则允许为待接入用户建立与业务系统之间的通信链路，若认证失败，则拒绝为待接入用户建立与业务系统之间的通信链路。

[0088] 可选地，基于对称密码体制的二次认证协议如下方式实现：

[0089] S441，生成随机数RANDDN，根据RANDDN和IDDN计算M1，进而根据M1和RANDDN生成h1；

[0090] 将(M1,h1)发送给用户；

[0091] S442，对接收到的M1进行解密得RANDDN和IDDN，进而根据RANDDN和IDDN计算h1，并将计算得到的与接收到的h1进行比较。若数值不相等，终止会话。否则，生成随机数RANDUE，根据RANDUE和IDUE计算M2，进而根据M2和RANDUE生成消息验证码h2；

[0092] 将(M2,h2)发送给DN-AAA；

[0093] S443，对接收到的M2进行解密得RANDUE和IDUE，进而根据RANDUE和IDUE计算h2并与接收到的h2进行比较。若数值不相等，则认证失败。否则，认证成功，由RANDUE计算M3，根据M3生成h3；

[0094] 将(M3,h3)发送给用户；

[0095] S444，对接收到的M3进行解密得RANDUE，根据RANDUE计算h3并与接收到的h3进行比较。若数值不相等，认证失败；否则，认证成功，将认证成功消息发送给DN-AAA。

[0096] 由此，本实施例中针对5G网络为垂直行业提供服务，满足不同行业用户特殊的安全需求，为特定业务提供数据通道前引入二次认证，即在用户接入网络时所做认证之后为特定业务建立数据通道进行的认证。举例而言，当5G网络用于为高保障业务系统提供通信时，用户通过接入认证后，进一步利用业务相关的信任状与用户终端进行认证，并在认证通过的情况下允许5G网络为用户建立与高保障业务系统间的通信链路，从而提升对业务系统的保护。

[0097] 可选地，核心网导入恶意用户黑名单，识别确定恶意用户并拒绝其通过授权认证，禁止恶意用户发起再接入基站/接入点的请求。核心网将基站/接入点上报的恶意用户黑名单存储在本地用户黑名单数据库中。核心网和基站/接入点通过反馈链路交换新增的黑名单，根据交换的信息更新本地存储的黑名单数据库。

[0098] 举例而言，如图7所示，在核心网侧对每个待接入用户进行识别，导入恶意用户黑名单进行匹配。若为恶意用户，则拒绝恶意用户的授权和认证，若不为恶意用户，则执行二次认证。

[0099] 本申请实施例的阻止恶意用户接入的通信方法，，实现了基于内生安全的用户识别，能够识别恶意用户并阻止恶意用户接入，进一步提高了通信安全性。综上，本申请基于统一认证框架，充分利用网络边缘设备的储存能力和数据处理能力，综合考虑增加内生安全的用户接入机制，提出了一种能够阻止恶意用户接入的通信方法流程。基于统一的认证框架，依靠聚合不同安全协议与安全机制实现“内聚而治”的网络安全治理，具备针对一般性网络攻击自我发现、自我修复的自主驱动力，保障通信网络安全，提供了一种促进网络进化到“内生安全”时代的解决方案。另外，本发明方法操作步骤方便，具有较好的推广前景。

[0100] 为了实现上述实施例，本申请还提出一种阻止恶意用户接入的通信装置。

[0101] 图8为本申请实施例所提供的一种阻止恶意用户接入的通信装置的结构示意图，如图8所示，该装置包括：获取模块10，信号识别模块20，第一信号处理模块30，第二信号处理模块40。

[0102] 其中，获取模块10，用于获取检测范围内的无线信号，根据信号频率表从所述无线信号中确定处于预设频段的目标信号。

[0103] 信号识别模块20，用于提取所述目标信号的信号特征，根据恶意信号识别模型对所述信号特征进行处理，获取所述目标信号的类别。

[0104] 第一信号处理模块30，用于若所述目标信号的类别为合法信号，则根据预设的检测策略对终端信息进行检测，以根据终端信息的检测结果进行通信。

[0105] 第二信号处理模块40，若所述目标信号的类别为恶意信号，则拒绝所述目标信号的接入。

[0106] 在本申请的一个实施例中，该装置还包括：终端接入模块，用于获取终端的功率信息，根据所述功率信息确定处于预设功率范围的目标终端；获取所述目标终端对应的前导码，若所述目标终端的终端响应消息中存在与所述前导码相同的前导标识，则确定所述目标终端为合法终端，并执行用户业务识别流程；若所述终端响应消息中未识别到与所述前导码相同的前导标识，则重新发送所述前导码，并统计所述前导码的重传次数；当所述重传次数大于预设次数时，确定所述目标终端为恶意终端，拒绝所述目标终端的业务请求。

[0107] 在本申请的一个实施例中，该装置还包括：业务接入模块，用于获取用户业务数据的统计特征，所述统计特征包括数据到达间隔、流持续时间；将所述统计特征输入随机森林模型进行处理，获取用户类别；若所述用户类别为合法用户，则执行核心网认证流程；若所述用户类别为恶意用户，则通知所述核心网将用户加入恶意用户黑名单。

[0108] 在本申请的一个实施例中，该装置还包括：认证模块，用于对每个待接入用户进行识别，根据所述恶意用户黑名单与待接入用户的识别结果进行比对；若所述待接入用户为恶意用户，则拒绝所述待接入用户的授权和认证；若所述待接入用户不为恶意用户，则通过基于对称密码体制的认证协议进行认证，若认证成功，则允许为所述待接入用户建立与业务系统之间的通信链路。

[0109] 在本申请的一个实施例中，信号特征包括带宽、中心频率、功率峰值、瞬时相位的统计特征、小波域特征、循环平稳特征和高阶统计量。

[0110] 在本申请的一个实施例中，恶意信号识别模型通过以下步骤训练得到：通过无监督学习将样本信号的信号特征映射到低维空间，并在子空间对所述样本信号进行聚类，为聚类结果分配第一类别标号；根据标注有第二类别标号的样本信号进行有监督学习；对比第一类别标号和第二类别标号进行类别匹配，根据匹配结果训练所述恶意信号识别模型。

[0111] 在本申请的一个实施例中，随机森林模型通过以下步骤训练得到：通过随机可重复抽取的方式从原始样本集中抽取样本，获取K个训练集；根据抽取的样本构造决策树，其中，所述K个训练集对应K个决策树模型；获取所述K个决策树模型中每个决策树模型的预测结果，根据每个决策树模型的预测结果训练所述K个决策树模型。

[0112] 前述实施例对阻止恶意用户接入的通信方法的解释说明同样适用于本实施例的阻止恶意用户接入的通信装置，此处不再赘述。

[0113] 本申请实施例的阻止恶意用户接入的通信装置，实现了基于内生安全的恶意信号识别、恶意终端识别以及恶意用户识别，有效应对5G、工业互联网等融合领域高效高可用的安全防护需求，阻止恶意用户接入，提高了通信安全性。并且，基于统一认证框架，充分利用网络边缘设备的储存能力和数据处理能力，综合考虑增加内生安全的用户接入机制，提出了一种能够阻止恶意用户接入的通信方法流程。

[0114] 为了实现上述实施例，本申请还提出一种计算机设备，包括处理器和存储器；其中，处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于实现如前述任一实施例所述的阻止恶意用户接入的通信方法。

[0115] 为了实现上述实施例，本申请还提出一种计算机程序产品，当计算机程序产品中的指令被处理器执行时实现如前述任一实施例所述的阻止恶意用户接入的通信方法。

[0116] 为了实现上述实施例，本申请还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如前述任一实施例所述的阻止恶意用户接入的通信方法。

[0117] 在本申请的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

[0118] 在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

[0119] 尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。