CN106332067B - 防止无线网络中直径信令攻击的方法、装置和系统 - Google Patents
防止无线网络中直径信令攻击的方法、装置和系统 Download PDFInfo
- Publication number
- CN106332067B CN106332067B CN201510344865.4A CN201510344865A CN106332067B CN 106332067 B CN106332067 B CN 106332067B CN 201510344865 A CN201510344865 A CN 201510344865A CN 106332067 B CN106332067 B CN 106332067B
- Authority
- CN
- China
- Prior art keywords
- diameter
- request message
- hss
- source
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4588—Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/654—International mobile subscriber identity [IMSI] numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种防止无线网络中Diameter信令攻击的方法、装置和系统,该方法包括:接收归属用户服务器HSS发送的Diameter请求消息,Diameter请求消息携带源域名和用户身份标识;判断源域名与用户身份标识的绑定关系是否正确;在绑定关系不正确的情况下,丢弃Diameter请求消息或者向HSS发送Diameter响应消息,其中Diameter响应消息携带失败码。本发明实施例中,当Diameter请求消息携带的源域名与用户身份标识的绑定关系不正确时丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
Description
技术领域
本发明涉及通信领域,尤其涉及防止无线网络中直径(Diameter)信令攻击的方法、装置和系统。
背景技术
当用户接入网络后,为其提供服务的移动管理实体(Mobile Management Entity,简称MME)或服务通用分组无线业务(General Packet Radio Service,简称GPRS)支持节点(Serving GPRS Support Node,简称SGSN)和该用户归属的归属用户服务器(HomeSubscriber Server,简称HSS)属于同一个运营商时,对于该用户来讲,称为非漫游场景。当用户接入网络后,为其提供服务的MME或SGSN和该用户归属的HSS属于不同的运营商时,对于该用户来讲,称为漫游场景。
第四代移动通信系统(The 4th Generation Mobile Communication System,简称4G)网络中,当MME或SGSN和HSS属于同一个运营商时,S6a或S6d接口两边的网元都是运营商可控的,因此没有安全风险。
但是,如果MME或SGSN和HSS属于不同的运营商时,比如MME或SGSN属于运营商A,HSS属于和运营商A签署了漫游协议的运营商B,就存在下面的安全威胁:
运营商B可能开放自己的网络能力给第3方,第3方可能通过HSS对运营商A的MME或SGSN发起攻击,或者,运营商B内部恶意人员可能直接通过HSS对运营商A的MME或SGSN发起如下攻击:
伪造取消位置请求(Cancel Location Request)消息通知MME或SGSN撤销运营商A的某合法用户的签约或者由于发生了新的MME位置更新过程,该MME已经被取消,从而导致该用户退网,也可称为拒绝服务(Denial Of Service,简称DOS)攻击;
伪造插入签约数据请求(Insert Subscriber Data Request)消息或删除签约数据请求(Delete Subscriber Data Request)消息通知MME或SGSN修改或删除保存的运营商A的某合法用户用户的签约数据(比如增加或者降低签约的包月带宽),从而导致计费纠纷;
伪造复位请求(Reset Request)消息通知MME或SGSN:由于HSS重启,丢失了当前正为运营商A的某些用户服务的MME或SGSN的标识,从而导致MME或SGSN为这些受影响用户发起恢复流程,增加MME或SGSN处理负担(DOS攻击)。
根据第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)标准TS 33.210规定,S6a/S6d接口上可以部署互联网协议安全性(Internet ProtocolSecurity,简称IPSEC),以保护S6a/S6d接口安全,比如MME或SGSN和HSS之间的身份认证、IP层之上数据的完整性和机密性。但是由于上述攻击是属于IP层之上的Diameter信令层面的攻击,即使MME或SGSN和HSS之间通过了身份认证,并且IP层之上保证了完整性和机密性,攻击者仍然可以通过发送Diameter信令发起攻击。这将极大地影响网络的安全性能。
发明内容
本发明实施例提供了一种防止无线网络中Diameter信令攻击的方法、装置和系统,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
第一方面,提供了一种防止无线网络中Diameter信令攻击的方法,包括:移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;判断所述源域名与所述用户身份标识的第一绑定关系是否正确;在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息或者向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
结合第一方面,在第一种可能的实现方式中,还包括:在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
结合第一种可能的实现方式,在第二种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述方法还包括:在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确;在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在所述第二绑定关系正确的情况下,继续进行业务处理。
结合第一种可能的实现方式,在第三种可能的实现方式中,还包括:在与所述HSS之间不存在所述DRA的情况下,继续进行业务处理。
结合第一种可能的实现方式,在第四种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述Diameter代理在与所述HSS之间存在所述DRA的情况下,继续进行业务处理包括:在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在所述源IP地址属于所述IP网段的情况下,继续进行业务处理。
结合第一种至第四种可能的实现方式中的任一种可能的实现方式,在第五种可能的实现方式中,所述根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA包括:在所述Diameter请求消息未携带路由记录参数的情况下,确定与所述HSS之间不存在所述DRA;在所述Diameter请求消息携带路由记录参数的情况下,确定与所述HSS之间存在所述DRA。
结合第一方面或上述任一种可能的实现方式,在第六种可能的实现方式中,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
结合第一方面或上述任一种可能的实现方式,在第七种可能的实现方式中,所述Diameter请求消息为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。
结合第一方面或第一种至第六种可能的实现方式中的任一种可能的实现方式,在第八种可能的实现方式中,所述Diameter响应消息为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。
结合第一种至第三种可能的实现方式中的任一种可能的实现方式,在第九种可能的实现方式中,在所述Diameter请求消息为取消位置请求消息,且所述取消位置请求消息携带的取消类型参数表示MME更新过程或SGSN更新过程的情况下,所述MME或SGSN继续进行业务处理包括:判断是否已收到上下文请求消息或标识请求消息;在没有收到所述上下文请求消息或所述标识请求消息时,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在已收到所述上下文请求消息或所述标识请求消息时,继续进行业务处理。
结合第一方面或第一种至第六种可能的实现方式中的任一种可能的实现方式,在第十种可能的实现方式中,当所述Diameter请求消息为复位请求消息时,所述用户身份标识为用户身份标识列表,所述判断所述源域名与所述用户身份标识的第一绑定关系是否正确包括:判断所述源域名与所述用户身份标识列表中的所有用户身份标识的第一绑定关系是否正确。
第二方面,提供了一种防止无线网络中Diameter信令攻击的装置,包括:收发单元,用于接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;处理单元,用于判断所述源域名与所述用户身份标识的第一绑定关系是否正确;所述处理单元还用于,在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,所述收发单元还用于,在所述第一绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
结合第二方面,在第二方面的第一种可能的实现方式中,所述处理单元还用于:在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述处理单元还用于:在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确;在所述第二绑定关系正确的情况下,继续进行业务处理;在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,所述收发单元还用于,在所述第二绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
结合第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,在与所述HSS之间不存在所述DRA的情况下,继续进行业务处理。
结合第二方面的第一种可能的实现方式,在第二方面的第四种可能的实现方式中,所述装置为Diameter代理,所述Diameter请求消息还携带源IP地址,所述处理单元具体用于:在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;在所述源IP地址属于所述IP网段的情况下,继续进行业务处理;在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息;或者,所述收发单元还用于,在所述源IP地址不属于所述IP网段的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
结合第二方面的第一种至第四种可能的实现方式中的任一种可能的实现方式,在第二方面的第五种可能的实现方式中,所述处理单元具体用于:在所述Diameter请求消息未携带路由记录参数的情况下,确定与所述HSS之间不存在所述DRA;在所述Diameter请求消息携带路由记录参数的情况下,确定与所述HSS之间存在所述DRA。
结合第二方面或第二方面的上述任一种可能的实现方式,在第二方面的第六种可能的实现方式中,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
结合第二方面或第二方面的上述任一种可能的实现方式,在第二方面的第七种可能的实现方式中,所述Diameter请求消息为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。
结合第二方面或第二方面的第一种至第六种可能的实现方式中的任一种可能的实现方式,在第二方面的第八种可能的实现方式中,所述Diameter响应消息为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。
第三方面,提供了一种具备防止无线网络中Diameter信令攻击功能的移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理,包括:收发器,用于接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;处理器,用于判断所述源域名与所述用户身份标识的第一绑定关系是否正确;所述处理器还用于,在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,所述收发器还用于,在所述处理器确定所述第一绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器还用于:在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述处理器还用于:在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确;在所述第二绑定关系正确的情况下,继续进行业务处理;在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,所述收发器还用于,在所述第二绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
结合第三方面的第一种可能的实现方式,在第三方面的第三种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述处理器具体用于:在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;在所述源IP地址属于所述IP网段的情况下,继续进行业务处理;在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息;或者,所述收发器还用于,在所述源IP地址不属于所述IP网段的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
结合第三方面或第三方面的上述任一种可能的实现方式,在第三方面的第四种可能的实现方式中,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
第四方面,提供了一种防止无线网络中Diameter信令攻击的系统,包括移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理和归属用户服务器HSS,
所述HSS用于向所述MME或SGSN或Diameter代理发送Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;
所述MME或SGSN或Diameter代理用于:
接收所述Diameter请求消息;
判断所述Diameter请求消息携带的所述源域名与所述用户身份标识的第一绑定关系是否正确;
在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息或者向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
结合第四方面,在第四方面的第一种可能的实现方式中,所述MME或SGSN或Diameter代理还用于:在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述MME或SGSN或Diameter代理还用于:在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确;在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在所述第二绑定关系正确的情况下,继续进行业务处理。
结合第四方面的第一种可能的实现方式,在第四方面的第三种可能的实现方式中,所述Diameter请求消息还携带源IP地址,所述Diameter代理具体用于:在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在所述源IP地址属于所述IP网段的情况下,继续进行业务处理。
结合第四方面或第四方面的上述任一种可能的实现方式,在第四方面的第四种可能的实现方式中,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
基于上述技术方案,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是漫游场景下网络攻击的示意图。
图2是根据本发明实施例的防止无线网络中Diameter信令攻击的方法的示意性流程图。
图3是根据本发明另一实施例的防止无线网络中Diameter信令攻击的方法的示意性流程图。
图4是根据本发明实施例的防止无线网络中Diameter信令攻击的装置的示意性框图。
图5是根据本发明另一实施例的防止无线网络中Diameter信令攻击的装置的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
本申请的说明书和权利要求书及附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”不是排他的。例如包括了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,还可以包括没有列出的步骤或单元。
下面结合图1描述可能存在的几种攻击模式。
如图1所示,假设有HSS1、HSS2、HSS3,分别对应运营商A、B、C,其中MME和HSS1都属于运营商A,攻击者从HSS2侧发起:
1)攻击模式1:源域名或主机名和国际移动用户识别码(International MobileSubscriber Identification Number,简称IMSI)属于不同的运营商:攻击者在攻击信令中直接使用HSS2自己的域名或主机名,但IMSI归属其他HSS(如HSS1或HSS3);
2)攻击模式2:源域名或主机名和IMSI属于不同的运营商:通常情况下,攻击者可以根据IMSI中的国家码、网络码推导出其归属HSS(如HSS1)的域名或主机名,因此攻击者也可能在攻击信令中直接伪造其他HSS(如HSS3)的域名或主机名,但IMSI归属其他另外的HSS(如HSS1);
3)攻击模式3:源域名或主机名和IMSI属于同一个运营商:攻击者也可能在攻击信令中直接伪造其他HSS(如HSS1)的域名或主机名,IMSI也归属HSS1,此时HSS1对应的运营商与MME所在的运营商为同一运营商;
4)攻击模式4:域名或主机名和IMSI属于同一个运营商:攻击者也可能在攻击信令中直接伪造其他HSS(如HSS3)的域名或主机名,IMSI也归属HSS3。
在实际组网中,为了提升性能,HSS和MME(或SGSN)之间可能会部署1个或者多个Diameter代理。有两种Diameter代理:Diameter边缘代理(Diameter Edge Agent,简称DEA)、Diameter中继代理(Diameter Relay Agent,简称DRA)。例如,DEA通常可以部署在运营商的网络边界,用于和其他运营商的设备对接。DEA通常有两个,以负荷分担方式工作(如DEA1和DEA2),如图1所示。应理解,图1仅是示意性的,DEA还可以兼具DEA和DRA的功能。
值得注意的是,图1仅以运营商A内部的DEA或DRA组网为例进行描述,运营商B、C内部的组网也是类似的,即每个运营商边界都会部署DEA。
图2根据本发明实施例的防止无线网络中Diameter信令攻击的方法200的示意性流程图。方法200可以由MME或SGSN执行。当MME或SGSN与HSS之间存在Diameter代理时,如图1所示,HSS发出的Diameter请求消息先到达Diameter代理,此时方法200也可以由Diameter代理执行,为便于描述,下文中以DEA为例进行描述。
如图2所示,方法200包括如下内容。
210、接收归属用户服务器HSS发送的Diameter请求消息,Diameter请求消息携带源域名和用户身份标识。
其中,Diameter请求消息为以下任一种:取消位置请求(Cancel locationrequest)消息、插入签约数据请求消息(Insert Subscriber Data request)、删除签约数据请求消息(Delete Subscriber Data request)、复位请求消息(reset request)。其中,对于reset request消息,上述Diameter请求消息携带的用户身份标识应为用户身份标识列表(user ID list)参数,该用户身份标识列表包括一个或多个用户身份标识。
应理解,Diameter请求消息还可以携带其他信息,例如源主机名、目的域名、目的主机名、源IP地址等。
用户身份标识(user-name)为国际移动用户识别码(International MobileSubscriber Identity Number,IMSI)。
220、判断源域名与用户身份标识的第一绑定关系是否正确。
230、在第一绑定关系不正确的情况下,丢弃Diameter请求消息或者向HSS发送Diameter响应消息,其中Diameter响应消息携带失败码。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
本发明实施例能够有效防止上文所述攻击模式1和攻击模式2的攻击。
在步骤220中,可以根据多种方法判断Diameter请求消息中携带的源域名与用户身份标识的第一绑定关系是否正确。
例如,MME或SGSN或DEA在用户设备(User Equipment,简称UE)附着过程或者跟踪区更新(Tracking Area Update,简称TAU)过程中,收到HSS的位置更新响应(Updatelocation answer,简称ULA)消息后,保存ULA中的源域名(origin-realm)和位置更新请求(Update Location Request,简称ULR)消息中用户身份标识(user-name)的正确的绑定关系。比较该预先保存的正确的绑定关系和第一绑定关系,即可判断Diameter请求消息中携带的用户身份标识和源域名的第一绑定关系是否正确。
或者,用户身份标识为IMSI时,MME或SGSN或DEA可以根据IMSI确定该IMSI绑定的正确的源域名。例如,某用户的IMSI为460880755088888,此处国家码为460,网络码为88,因此,根据3GPP标准中关于域名的定义,MME或SGSN或DEA可以推导出该IMSI对应的HSS的域名为epc.mnc88.mcc460.3gppnetwork.org。进而就可以判断Diameter请求消息中携带的用户身份标识和源域名的第一绑定关系是否正确。
或者,可以提前配置IMSI和其归属的HSS的源域名(origin-realm)的正确的绑定关系。比较该预先配置的正确的绑定关系和第一绑定关系,即可判断Diameter请求消息中携带的用户身份标识和源域名的第一绑定关系是否正确。
应理解,可选地,步骤220中还可以判断Diameter请求消息中携带的(源域名,源主机名)与用户身份标识的第一绑定关系是否正确。方法同上面所述类似,在此不再赘述。
其中对于reset request消息,在步骤220包括:判断源域名与用户身份标识列表中的所有用户身份标识的第一绑定关系是否正确。相应地,当源域名与用户身份标识列表中的所有用户身份标识的绑定关系正确时,确定第一绑定关系正确;当源域名与用户身份标识列表中的任一用户身份标识的绑定关系不正确,则确定第一绑定关系不正确。
例如,可以依次判断Diameter请求消息中携带的源域名与用户身份标识列表中的每一个用户身份标识的第一绑定关系是否正确。
可选地,作为另一个实施例,方法200还包括:在第一绑定关系正确的情况下,继续进行业务处理。
可选地,作为另一实施例,方法200还包括:
在第一绑定关系正确的情况下,根据Diameter请求消息判断与HSS之间是否存在Diameter中继代理DRA;
在与HSS之间存在DRA的情况下,继续进行业务处理。
可选地,作为另一实施例,Diameter请求消息还携带源IP地址,方法200还包括:
在第一绑定关系正确,且与HSS之间不存在DRA的情况下,判断源IP地址与源域名和/或源主机名的第二绑定关系是否正确;
在第二绑定关系正确的情况下,继续进行业务处理;
在第二绑定关系不正确的情况下,丢弃Diameter请求消息或向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
应理解,可选地,在第一绑定关系正确,且与HSS之间不存在DRA的情况下,也可以继续进行业务处理。这是由于如果MME或SGSN或DEA与HSS之间没有DRA,可以认为MME或SGSN或DEA和HSS属于同一个运营商,因此MME或SGSN或DEA可以继续进行业务处理。
具体地,根据Diameter请求消息判断与HSS之间是否存在Diameter中继代理DRA包括:
在Diameter请求消息未携带路由记录参数的情况下,确定与HSS之间不存在DRA;
在Diameter请求消息携带路由记录参数的情况下,确定于HSS之间存在DRA。
这是由于DRA会在Diameter请求消息中增加路由记录(Route-Record)参数,因此根据Diameter消息中是否携带路由记录参数即可判断与HSS之间是否存在DRA。其中,该路由记录包括上一跳节点的身份标识,例如源域名和/或源主机名。
可选地,方法200由MME或SGSN执行时,继续进行业务处理包括:
在Diameter请求消息为取消位置请求,且该Diameter请求消息携带的取消类型参数表示MME更新过程(MME-Update Procedure)或SGSN更新过程(SGSN-Update Procedure)的情况下,判断是否已收到上下文请求消息或标识请求消息;
在没有收到上下文请求消息或标识请求消息时,则丢弃Diameter请求消息或向HSS发送Diameter响应消息,Diameter响应消息携带失败码;
在已收到上下文请求消息或标识请求消息时,继续进行业务处理。
可选地,作为另一实施例,方法200由DEA执行,Diameter请求消息还携带源IP地址,在与HSS之间存在DRA的情况下,继续进行业务处理包括:
在DEA与HSS之间存在DRA的情况下,判断源域名与DEA的域名是否一致;
在源域名与DEA的域名一致的情况下,判断源IP地址是否属于DEA所属网络的IP网段;
在源IP地址属于该IP网段的情况下,继续进行业务处理;
在源IP地址不属于该IP网段的情况下,丢弃Diameter请求消息或向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
本发明实施例能够有效防止上文所述攻击模式3的攻击。
可选地,作为另一实施例,方法200由DEA执行,Diameter请求消息还携带源IP地址,继续进行业务处理包括:
在第一绑定关系正确,且DEA与HSS之间存在DRA的情况下,判断源域名与DEA的域名是否一致;
在源域名与DEA的域名不一致的情况下,继续进行业务处理。
如前面描述的攻击模式4:攻击者也可能在攻击信令中直接伪造其他运营商的HSS的域名或主机名和其他运营商的IMSI(即受害者的IMSI)。假设DEA属于图1所示运营商A,攻击者在攻击信令中伪造运营商C HSS3的域名和主机名。由于DEA并不属于运营商C,因此攻击者的消息达到DEA时,DEA无法检查Diameter请求消息中IP层的源IP地址是否属于运营商C的IP网段,因此只能发给MME或SGSN作进一步处理。
需要说明的是,这种攻击模式只有当满足如下条件时攻击才能成功:该IMSI对应的HSS3的用户(即受害者)正好漫游到运营商A的网络;该漫游用户正好是由该MME或SGSN服务。
根据上述分析,可以认为在源域名与DEA的域名不一致的情况下,继续进行业务处理的风险很小。
可选地,Diameter请求消息还携带目的域名,方法200还包括:
判断目的域名与自身的域名是否一致;
在目的域名与自身的域名不一致的情况下,丢弃Diameter请求消息或向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
应理解,还可以判断Diameter请求消息中携带的目的主机名与自身的主机名是否一致。
相应地,在目的域名与自身的域名不一致,或目的主机名与自身的主机名不一致,或者(目的域名,目的主机名)与(自身的域名,自身的主机名)不一致的情况下,丢弃Diameter请求消息或者向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
同样,(目的域名,目的主机名)表示目的域名和目的主机名的组合,(自身的域名,自身的主机名)表示自身的域名和自身的主机名的组合。
本发明实施例中的Diameter响应消息可以为取消位置响应(Cancel locationanswer)、插入签约数据响应(Insert Subscriber Data answer)、删除签约数据响应(Delete Subscriber Data answer)、或复位响应(reset answer)。当Diameter响应消息携带失败码时,该失败码携带在结果(result)参数中,失败码可以表示拒绝或不允许继续处理Diameter请求消息,或者其他失败码。
需要说明的是,当方法200由DEA执行时,继续进行业务处理指的是DEA向MME或SGSN发送该Diameter请求消息;当方法200由MME或SGSN执行时,继续进行业务处理指的是根据常规流程对Diameter请求消息做进一步处理,进一步的处理流程与现有技术中的处理流程类似,在此不再赘述。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识(或者用户身份标识列表)的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
下面结合图3详细描述根据本发明实施例的防止无线网络中Diameter信令攻击的方法200。图3所示的根据本发明实施例的防止无线网络中Diameter信令攻击的方法300为方法200的具体例子。
301、HSS向MME或SGSN或DEA发送一条Diameter请求消息,例如取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、或复位请求消息,其中携带目的主机名、目的域名、源主机名、源域名、用户身份标识等参数。
其中,对于复位请求消息,用户身份标识为用户身份标识列表(User ID list),该用户身份标识列表包括一个或多个用户身份标识。用户身份标识即用户的IMSI。
302、MME或SGSN或DEA判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确:如果正确,执行步骤303;如果不正确,执行步骤306a或306b。
应注意,对于复位请求消息,需要判断Diameter请求消息携带的源域名与用户身份标识列表中的所有用户身份标识的绑定关系。
可选地,MME或SGSN或DEA判断Diameter请求消息携带的(源域名,源主机名)与用户身份标识的绑定关系。
需要说明的是,步骤303是可选步骤,也就是说,MME或SGSN或DEA判断Diameter请求消息携带的源域名与用户身份标识的绑定关系正确时,也可以直接执行步骤305。
303、MME或SGSN或DEA判断与HSS之间是否存在DRA:如果不存在DRA,执行步骤304;如果存在DRA,则执行步骤305。
具体地,如果收到的Diameter请求消息中携带路由记录参数,则确定MME或SGSN或DEA与HSS之间有DRA,反之,则确定MME或SGSN或DEA与HSS之间没有DRA。
可选地,当MME或SGSN或DEA与HSS之间不存在DRA时,还可以直接执行步骤305。
可选地,当DEA与HSS之间存在DRA时,DEA还可以执行如下操作:
a)判断源域名与自身的域名是否一致:
b)如果一致,可以进一步判断Diameter请求消息携带的源IP地址是否属于DEA所属网络的IP网段:b1)如果源IP地址不属于DEA所属网络的IP网段,执行步骤306a或306b;b2)如果源IP地址属于DEA所属网络的IP网段,则将该Diameter请求消息发送至MME或SGSN作进一步处理,MME或SGSN接收到该Diameter请求消息后将执行步骤305。
可选地,当MME或SGSN或DEA与HSS之间存在DRA时,还可以执行如下操作:
c)判断源域名与自身的域名是否一致:
d)如果不一致,DEA则将该Diameter请求消息发送至MME或SGSN作进一步处理,MME或SGSN接收到该Diameter请求消息后将执行步骤305。
304、MME或SGSN或DEA判断Diameter请求消息携带的源域名和/或源主机名与源IP地址的绑定关系否正确:在该绑定关系正确的情况下,执行步骤305;在该绑定关系不正确的情况下,执行步骤306a或306b。
305、MME或SGSN或DEA继续进行业务处理。
MME或SGSN继续进行业务处理意味着MME或SGSN可以根据常规处理流程对该Diameter请求消息作进一步处理。
可选地,在Diameter请求消息为取消位置请求,且该Diameter请求消息携带的取消类型参数为MME-Update Procedure或SGSN-Update Procedure的情况下,MME或SGSN还可以判断是否以前收到过上下文请求消息或标识请求消息;在以前收到过上下文请求消息或标识请求消息时,继续进行业务处理;在以前没有收到过上下文请求消息或标识请求消息时,执行步骤306a或306b。
DEA继续进行业务处理意味着DEA将该Diameter请求消息发送至MME或SGSN作进一步处理。
306a、MME或SGSN或DEA丢弃该Diameter请求消息。或者,
306b、MME或SGSN或DEA向HSS发一条Diameter响应消息,例如取消位置响应、插入签约数据响应、删除签约数据响应或复位响应,Diameter响应消息携带失败码,该失败码可以携带在result参数中,失败码可以表示拒绝或不允许继续处理Diameter请求消息,或者为其他失败码。
其中步骤306a或306b两者只执行其中之一。
可选地,在步骤302至305之间还可以判断Diameter请求消息中携带的(目的域名,目的主机名)与(自身的域名,自身的主机名)是否一致:如果一致,继续进行下一步的处理;如果不一致,则执行步骤306a或306b。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
应注意,图3的这个例子是为了帮助本领域技术人员更好地理解本发明实施例,而非要限制本发明实施例的范围。本领域技术人员根据所给出的图3的例子,显然可以进行各种等价的修改或变化,这样的修改或变化也落入本发明实施例的范围内。
应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
上文结合图2和图3详细描述了根据本发明实施例的防止无线网络中Diameter信令攻击的方法,下面结合图4和图5详细描述根据本发明实施例的防止无线网络中Diameter信令攻击的装置。
图4是根据本发明实施例的防止无线网络中Diameter信令攻击的装置400的示意性框图。如图4所示,装置400包括:收发单元410和处理单元420。
收发单元410用于接收归属用户服务器HSS发送的Diameter请求消息,Diameter请求消息携带源域名和用户身份标识;
处理单元420用于判断源域名与用户身份标识的第一绑定关系是否正确;
处理单元420还用于在第一绑定关系不正确的情况下,丢弃Diameter请求消息;或者,
收发单元410还用于,在第一绑定关系不正确的情况下,向HSS发送Diameter响应消息,其中Diameter响应消息携带失败码。
其中,失败码可以表示拒绝或不允许继续处理Diameter请求消息。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
可选地,处理单元420还用于,在第一绑定关系正确的情况下,继续进行业务处理。
可选地,作为另一实施例,处理单元420还用于:
在第一绑定关系正确的情况下,根据Diameter请求消息判断与HSS之间是否存在Diameter中继代理DRA;
在与HSS之间存在DRA的情况下,继续进行业务处理。
可选地,作为另一实施例,Diameter请求消息还携带源IP地址,处理单元420还用于:
在与HSS之间不存在DRA的情况下,判断源IP地址与源域名和/或源主机名的第二绑定关系是否正确;
在第二绑定关系正确的情况下,继续进行业务处理;
在第二绑定关系不正确的情况下,丢弃Diameter请求消息;或者,
收发单元410还用于,在第二绑定关系不正确的情况下,向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
可选地,作为另一实施例,处理单元420还用于,在与HSS之间不存在DRA的情况下,继续进行业务处理。
可选地,作为另一实施例,装置400为Diameter代理,Diameter请求消息还携带源IP地址,处理单元420具体用于:
在与HSS之间存在DRA的情况下,判断源域名与Diameter代理的域名是否一致;
在源域名与Diameter代理的域名一致的情况下,判断源IP地址是否属于Diameter代理所属网络的IP网段;
在源IP地址属于IP网段的情况下,继续进行业务处理;
在源IP地址不属于IP网段的情况下,丢弃Diameter请求消息;或者,
收发单元420还用于,在源IP地址不属于IP网段的情况下,向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
可选地,作为另一实施例,处理单元420具体用于:
在Diameter请求消息未携带路由记录参数的情况下,确定与HSS之间不存在DRA;
在Diameter请求消息携带路由记录参数的情况下,确定与HSS之间存在DRA。
Diameter请求消息可以为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。
相应地,Diameter响应消息可以为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。
可选地,作为另一实施例,Diameter请求消息为取消位置请求消息,且取消位置请求消息携带的取消类型参数表示MME更新过程或SGSN更新过程的情况下,处理单元420具体用于:
判断是否已收到上下文请求消息或标识请求消息;
在没有收到上下文请求消息或标识请求消息时,丢弃Diameter请求消息;或者,
收发单元410还用于,向HSS发送Diameter响应消息,Diameter响应消息携带失败码;
处理单元420具体用于,在已收到上下文请求消息或标识请求消息时,继续进行业务处理。
可选地,当Diameter请求消息为复位请求消息时,用户身份标识为用户身份标识列表,处理单元420具体用于,判断源域名与用户身份标识列表中的所有用户身份标识的第一绑定关系是否正确。其中,用户身份标识列表包括至少一个用户身份标识。
应理解,根据本发明实施例的装置400可对应于根据本发明实施例的防止无线网络中Diameter信令攻击的方法200中的MME或SGSN或Diameter代理,并且装置400中的各个单元或模块的上述和其它操作和/或功能分别为了实现图2和图3中的各个方法200和方法300的相应流程,为了简洁,在此不再赘述。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
图5是根据本发明实施例的具备防止无线网络中Diameter信令攻击功能的装置500的示意性框图。装置500可以为MME或SGSN或Diameter代理。如图5所示,装置500包括:包括处理器510、存储器520、总线系统530和收发器540。其中,处理器510、存储器520和收发器540通过总线系统530相连,该存储器520用于存储指令,该处理器510用于执行该存储器520存储的指令。
收发器540用于接收归属用户服务器HSS发送的Diameter请求消息,Diameter请求消息携带源域名和用户身份标识;
处理器510用于判断源域名与用户身份标识的第一绑定关系是否正确;
处理器510还用于在第一绑定关系不正确的情况下,丢弃Diameter请求消息;或者,
收发器540还用于,在处理器510确定第一绑定关系不正确的情况下,向HSS发送Diameter响应消息,其中Diameter响应消息携带失败码。
其中,失败码可以表示拒绝或不允许继续处理Diameter请求消息。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
应理解,在本发明实施例中,该处理器510可以是中央处理单元(CentralProcessing Unit,CPU),该处理器510还可以是其他通用处理器、数字信号处理器(DigitalSignal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器520可以包括只读存储器和随机存取存储器,并向处理器510提供指令和数据。存储器520的一部分还可以包括非易失性随机存取存储器。例如,存储器520还可以存储设备类型的信息。
该总线系统530除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统530。
在实现过程中,上述方法的各步骤可以通过处理器510中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器520,处理器510读取存储器520中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
可选地,处理器510还用于,在第一绑定关系正确的情况下,继续进行业务处理。
可选地,作为另一实施例,处理器510还用于:
在第一绑定关系正确的情况下,根据Diameter请求消息判断与HSS之间是否存在Diameter中继代理DRA;
在与HSS之间存在DRA的情况下,继续进行业务处理。
可选地,作为另一实施例,Diameter请求消息还携带源IP地址,处理器510还用于:
在与HSS之间不存在DRA的情况下,判断源IP地址与源域名和/或源主机名的第二绑定关系是否正确;
在第二绑定关系正确的情况下,继续进行业务处理;
在第二绑定关系不正确的情况下,丢弃Diameter请求消息;或者,
收发器540还用于,在处理器510确定第二绑定关系不正确的情况下,向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
可选地,作为另一实施例,处理器510还用于,在与HSS之间不存在DRA的情况下,继续进行业务处理。
可选地,作为另一实施例,装置500为Diameter代理,Diameter请求消息还携带源IP地址,处理器510具体用于:
在与HSS之间存在DRA的情况下,判断源域名与Diameter代理的域名是否一致;
在源域名与Diameter代理的域名一致的情况下,判断源IP地址是否属于Diameter代理所属网络的IP网段;
在源IP地址属于IP网段的情况下,继续进行业务处理;
在源IP地址不属于IP网段的情况下,丢弃Diameter请求消息;或者,
收发器540还用于,在处理器510确定源IP地址不属于IP网段的情况下,向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
可选地,作为另一实施例,处理器510具体用于:
在Diameter请求消息未携带路由记录参数的情况下,确定与HSS之间不存在DRA;
在Diameter请求消息携带路由记录参数的情况下,确定与HSS之间存在DRA。
Diameter请求消息可以为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。
相应地,Diameter响应消息可以为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。
可选地,作为另一实施例,Diameter请求消息为取消位置请求消息,且取消位置请求消息携带的取消类型参数表示移动管理实体MME更新过程或服务通用分组无线业务支持节点SGSN更新过程的情况下,处理器510具体用于:
判断是否已收到上下文请求消息或标识请求消息;
在已收到上下文请求消息或标识请求消息时,继续进行业务处理;
在没有收到上下文请求消息或标识请求消息时,丢弃Diameter请求消息;或者,
收发器540还用于,在处理器510确定没有收到上下文请求消息或标识请求消息时,向HSS发送Diameter响应消息,Diameter响应消息携带失败码。
可选地,当Diameter请求消息为复位请求消息时,用户身份标识为用户身份标识列表,处理器510具体用于,判断源域名与用户身份标识列表的所有用户身份标识的第一绑定关系是否正确。其中,用户身份标识列表包括至少一个用户身份标识。
应理解,根据本发明实施例的装置500可对应于根据本发明实施例的防止无线网络中Diameter信令攻击的方法200中的MME或SGSN或Diameter代理或者根据本发明实施例的防止无线网络中Diameter信令攻击的装置400,并且装置500中的各个单元或模块的上述和其它操作和/或功能分别为了实现图2和图3中的各个方法200和方法300的相应流程,为了简洁,在此不再赘述。
本发明实施例中,通过判断Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
本发明实施例还提供了一种防止无线网络中Diameter信令攻击的系统,该系统包括MME或SGSN或Diameter代理和归属用户服务器HSS。
HSS用于向所述MME或SGSN或Diameter代理发送Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;
MME或SGSN或Diameter代理用于:
接收Diameter请求消息;
判断Diameter请求消息携带的源域名与用户身份标识的第一绑定关系是否正确;
在第一绑定关系不正确的情况下,丢弃Diameter请求消息或者向HSS发送Diameter响应消息,其中Diameter响应消息携带失败码。
本发明实施例中,MME或SGSN或Diameter代理判断HSS发送的Diameter请求消息携带的源域名与用户身份标识的绑定关系是否正确,在绑定关系不正确的情况下丢弃Diameter请求消息或发送携带失败码的Diameter响应消息,能够防止Diameter信令攻击,进而能够提高网络的安全性能。
应理解,根据本发明实施例的系统中的MME或SGSN或Diameter代理可对应于根据本发明实施例的防止无线网络中Diameter信令攻击的方法200中的MME或SGSN或Diameter代理、以及根据本发明实施例的防止无线网络中Diameter信令攻击的装置400和根据本发明实施例的防止无线网络中Diameter信令攻击的装置500,为了简洁,在此不再赘述。
应理解,在本发明实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (30)
1.一种防止无线网络中直径Diameter信令攻击的方法,其特征在于,包括:
移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;
判断所述源域名与所述用户身份标识的第一绑定关系是否正确;
在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息或者向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;
在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
3.根据权利要求2所述的方法,其特征在于,所述Diameter请求消息还携带源IP地址,所述方法还包括:
在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确,所述源主机名是由所述Diameter请求消息携带的;
在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;
在所述第二绑定关系正确的情况下,继续进行业务处理。
4.根据权利要求2所述的方法,其特征在于,还包括:
在与所述HSS之间不存在所述DRA的情况下,继续进行业务处理。
5.根据权利要求2所述的方法,其特征在于,所述Diameter请求消息还携带源IP地址,所述Diameter代理在与所述HSS之间存在所述DRA的情况下,继续进行业务处理包括:
在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;
在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;
在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;
在所述源IP地址属于所述IP网段的情况下,继续进行业务处理。
6.根据权利要求2至5中任一项所述的方法,其特征在于,所述根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA包括:
在所述Diameter请求消息未携带路由记录参数的情况下,确定与所述HSS之间不存在所述DRA;
在所述Diameter请求消息携带路由记录参数的情况下,确定与所述HSS之间存在所述DRA。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
8.根据权利要求1至5中任一项所述的方法,其特征在于,所述Diameter请求消息为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。
9.根据权利要求1至5中任一项所述的方法,其特征在于,所述Diameter响应消息为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。
10.根据权利要求2至4中任一项所述的方法,其特征在于,在所述Diameter请求消息为取消位置请求消息,且所述取消位置请求消息携带的取消类型参数表示MME更新过程或SGSN更新过程的情况下,所述MME或SGSN继续进行业务处理包括:
判断是否已收到上下文请求消息或标识请求消息;
在没有收到所述上下文请求消息或所述标识请求消息时,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;
在已收到所述上下文请求消息或所述标识请求消息时,继续进行业务处理。
11.根据权利要求1至5中任一项所述的方法,其特征在于,当所述Diameter请求消息为复位请求消息时,所述用户身份标识为用户身份标识列表,所述判断所述源域名与所述用户身份标识的第一绑定关系是否正确包括:
判断所述源域名与所述用户身份标识列表中的所有用户身份标识的第一绑定关系是否正确。
12.一种防止无线网络中直径Diameter信令攻击的装置,其特征在于,包括:
收发单元,用于接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;
处理单元,用于判断所述源域名与所述用户身份标识的第一绑定关系是否正确;
所述处理单元还用于,在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,
所述收发单元还用于,在所述处理单元确定所述第一绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
13.根据权利要求12所述的装置,其特征在于,所述处理单元还用于:
在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;
在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
14.根据权利要求13所述的装置,其特征在于,所述Diameter请求消息还携带源IP地址,所述处理单元还用于:
在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确,所述源主机名是由所述Diameter请求消息携带的;
在所述第二绑定关系正确的情况下,继续进行业务处理;
在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,
所述收发单元还用于,在所述处理单元确定所述第二绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
15.根据权利要求13所述的装置,其特征在于,所述处理单元还用于,在与所述HSS之间不存在所述DRA的情况下,继续进行业务处理。
16.根据权利要求13所述的装置,其特征在于,所述装置为Diameter代理,所述Diameter请求消息还携带源IP地址,所述处理单元具体用于:
在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;
在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;
在所述源IP地址属于所述IP网段的情况下,继续进行业务处理;
在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息;或者,
所述收发单元还用于,在所述处理单元确定所述源IP地址不属于所述IP网段的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
17.根据权利要求13至16中任一项所述的装置,其特征在于,所述处理单元具体用于:
在所述Diameter请求消息未携带路由记录参数的情况下,确定与所述HSS之间不存在所述DRA;
在所述Diameter请求消息携带路由记录参数的情况下,确定与所述HSS之间存在所述DRA。
18.根据权利要求12至16中任一项所述的装置,其特征在于,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
19.根据权利要求12至16中任一项所述的装置,其特征在于,所述Diameter请求消息为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。
20.根据权利要求12至16任一项所述的装置,其特征在于,所述Diameter响应消息为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。
21.一种具备防止无线网络中直径Diameter信令攻击功能的通信设备,所述通信设备为移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理,其特征在于,所述通信设备包括:
收发器,用于接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;
处理器,用于判断所述源域名与所述用户身份标识的第一绑定关系是否正确;
所述处理器还用于,在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,
所述收发器还用于,在所述处理器确定所述第一绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
22.根据权利要求21所述的通信设备,其特征在于,所述处理器还用于:
在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;
在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
23.根据权利要求22所述的通信设备,其特征在于,所述Diameter请求消息还携带源IP地址,
所述处理器还用于:
在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确,所述源主机名是由所述Diameter请求消息携带的;
在所述第二绑定关系正确的情况下,继续进行业务处理;
在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,
所述收发器还用于,在所述处理器确定所述第二绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
24.根据权利要求22所述的通信设备,其特征在于,所述Diameter请求消息还携带源IP地址,
所述处理器具体用于:
在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;
在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;
在所述源IP地址属于所述IP网段的情况下,继续进行业务处理;
在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息;或者,
所述收发器还用于,在所述处理器确定所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。
25.根据权利要求21至24中任一项所述的通信设备,其特征在于,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
26.一种防止无线网络中直径Diameter信令攻击的系统,其特征在于,包括移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理和归属用户服务器HSS,
所述HSS用于向所述MME或SGSN或Diameter代理发送Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;
所述MME或SGSN或Diameter代理用于:
接收所述Diameter请求消息;
判断所述Diameter请求消息携带的所述源域名与所述用户身份标识的第一绑定关系是否正确;
在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息或者向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
27.根据权利要求26所述的系统,其特征在于,
所述MME或SGSN或Diameter代理还用于:
在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;
在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。
28.根据权利要求27所述的系统,其特征在于,所述Diameter请求消息还携带源IP地址,
所述MME或SGSN或Diameter代理还用于:
在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确,所述源主机名是由所述Diameter请求消息携带的;
在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;
在所述第二绑定关系正确的情况下,继续进行业务处理。
29.根据权利要求27所述的系统,其特征在于,所述Diameter请求消息还携带源IP地址,所述Diameter代理具体用于:
在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;
在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;
在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;
在所述源IP地址属于所述IP网段的情况下,继续进行业务处理。
30.根据权利要求26至29中任一项所述的系统,其特征在于,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510344865.4A CN106332067B (zh) | 2015-06-19 | 2015-06-19 | 防止无线网络中直径信令攻击的方法、装置和系统 |
PCT/CN2016/072652 WO2016201990A1 (zh) | 2015-06-19 | 2016-01-29 | 防止无线网络中直径信令攻击的方法、装置和系统 |
US15/847,094 US20180109953A1 (en) | 2015-06-19 | 2017-12-19 | Method, Apparatus, and System for Preventing Diameter Signaling Attack in Wireless Network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510344865.4A CN106332067B (zh) | 2015-06-19 | 2015-06-19 | 防止无线网络中直径信令攻击的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106332067A CN106332067A (zh) | 2017-01-11 |
CN106332067B true CN106332067B (zh) | 2020-02-21 |
Family
ID=57544930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510344865.4A Active CN106332067B (zh) | 2015-06-19 | 2015-06-19 | 防止无线网络中直径信令攻击的方法、装置和系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20180109953A1 (zh) |
CN (1) | CN106332067B (zh) |
WO (1) | WO2016201990A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800664B (zh) | 2016-08-31 | 2021-06-15 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
US10470154B2 (en) | 2016-12-12 | 2019-11-05 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber location information |
US10237721B2 (en) | 2017-01-17 | 2019-03-19 | Oracle International Corporation | Methods, systems, and computer readable media for validating a redirect address in a diameter message |
US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
CN110365719B (zh) * | 2018-03-26 | 2021-10-01 | 华为技术有限公司 | 一种数据处理的方法以及相关设备 |
US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
US10306459B1 (en) | 2018-07-13 | 2019-05-28 | Oracle International Corporation | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) |
US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
CN111163033B (zh) * | 2018-10-18 | 2021-08-03 | 华为技术有限公司 | 消息转发方法、装置、通信网元及计算机可读存储介质 |
CN109257376B (zh) * | 2018-11-02 | 2021-10-01 | 中国人民解放军战略支援部队信息工程大学 | IMS网络Diameter畸形碎片攻击检测装置及方法 |
US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
CN114553826B (zh) * | 2022-01-11 | 2023-10-17 | 阿里巴巴(中国)有限公司 | 域名管理方法、装置、电子设备、介质及程序产品 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101448243A (zh) * | 2008-04-11 | 2009-06-03 | 中兴通讯股份有限公司 | 一种实现用户注册的方法 |
CN103814583A (zh) * | 2011-09-20 | 2014-05-21 | 阿尔卡特朗讯 | 实施主服务控制功能以用于促进增强型载波间增值服务的方法 |
CN107800664A (zh) * | 2016-08-31 | 2018-03-13 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1299533C (zh) * | 2004-01-07 | 2007-02-07 | 华为技术有限公司 | 一种用户到归属签约用户服务器进行注册的方法 |
CN101594616B (zh) * | 2009-07-08 | 2012-05-23 | 华为终端有限公司 | 认证方法、服务器、用户设备及通信系统 |
WO2012004071A1 (en) * | 2010-07-09 | 2012-01-12 | Nokia Siemens Networks Oy | Apparatus, method and system for node discovering |
-
2015
- 2015-06-19 CN CN201510344865.4A patent/CN106332067B/zh active Active
-
2016
- 2016-01-29 WO PCT/CN2016/072652 patent/WO2016201990A1/zh active Application Filing
-
2017
- 2017-12-19 US US15/847,094 patent/US20180109953A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101448243A (zh) * | 2008-04-11 | 2009-06-03 | 中兴通讯股份有限公司 | 一种实现用户注册的方法 |
CN103814583A (zh) * | 2011-09-20 | 2014-05-21 | 阿尔卡特朗讯 | 实施主服务控制功能以用于促进增强型载波间增值服务的方法 |
CN107800664A (zh) * | 2016-08-31 | 2018-03-13 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
Non-Patent Citations (1)
Title |
---|
Pseudo-CR on the review of the IETF Diameter overload solution;Alcatel-Lucent;《3GPP TSG CT WG4 Meeting #64;C4-14150》;20140110;全文 * |
Also Published As
Publication number | Publication date |
---|---|
US20180109953A1 (en) | 2018-04-19 |
CN106332067A (zh) | 2017-01-11 |
WO2016201990A1 (zh) | 2016-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106332067B (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
Kim et al. | Touching the untouchables: Dynamic security analysis of the LTE control plane | |
US11496496B2 (en) | Method and system for user plane traffic characteristics and network security | |
EP3662630B1 (en) | Methods, systems, and computer readable media for mobility management entity (mme) authentication for outbound roaming subscribers using diameter edge agent (dea) | |
Jover et al. | Security and protocol exploit analysis of the 5G specifications | |
CN107800664B (zh) | 一种防止信令攻击方法及装置 | |
JP4758442B2 (ja) | 無認可移動体アクセスネットワークにおけるセキュリティの提供 | |
WO2018040565A1 (zh) | 一种防止信令攻击方法及装置 | |
Holtmanns et al. | User location tracking attacks for LTE networks using the interworking functionality | |
Xenakis et al. | An advanced persistent threat in 3G networks: Attacking the home network from roaming networks | |
JP4690423B2 (ja) | コアネットワークの方法及び装置 | |
CN108370371B (zh) | 对抗计费欺诈的检测方法 | |
CN110754101B (zh) | 用于保护与用户设备相关联的订户信息的方法、系统和计算机可读存储介质 | |
CN110892745B (zh) | 用于服务提供商网络中的基于位置的安全性的方法和系统 | |
CN107786981B (zh) | 一种防止信令攻击方法及装置 | |
CN116471591A (zh) | 用于提供呼叫智能的方法、系统和计算机可读介质 | |
CN112567779A (zh) | 用diameter边缘代理为出站漫游订户执行时间距离安全对策的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |