CN107800664B - 一种防止信令攻击方法及装置 - Google Patents
一种防止信令攻击方法及装置 Download PDFInfo
- Publication number
- CN107800664B CN107800664B CN201610796695.8A CN201610796695A CN107800664B CN 107800664 B CN107800664 B CN 107800664B CN 201610796695 A CN201610796695 A CN 201610796695A CN 107800664 B CN107800664 B CN 107800664B
- Authority
- CN
- China
- Prior art keywords
- request message
- management node
- diameter request
- domain name
- mobile management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种防止信令攻击方法及装置,所述方法包括:接收移动管理节点(MME)或服务通用分组无线服务技术(GPRS)支持节点(SGSN)发送的diameter请求消息;判断所述diameter请求消息是否从漫游接口接收;当所述diameter请求消息是从漫游接口接收时,判断所述diameter请求消息的特征参数是否合法;若所述diameter请求消息的特征参数不合法,则丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN。从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
Description
技术领域
本发明涉及通信领域,具体涉及一种防止信令攻击方法及装置。
背景技术
移动管理节点(Mobility Management Entity,简称MME)、服务GPRS支持节点(Serving GPRS Support Node,简称SGSN)以及归属签约用户服务器(Home SubscriberServer,简称HSS)都是移动通信网络中的重要网元。其中,MME负责信令处理部分,SGSN主要完成分组数据包的路由转发、移动性管理、会话管理等功能,HSS用于支持用于处理调用/会话的IP多媒体子系统(IP Multimedia Subsystem,简称IMS)网络实体的主要用户数据库。
在第四代移动通信技术(The 4th Generation mobile communicationtechnology,简称4G)网络中,MME(SGSN)和HSS之间基于DIAMETER协议进行通信,并且在实际组网中为了提升性能,MME(SGSN)和HSS之间通常会部署1个或者多个Diameter代理,包括:Diameter边缘代理DEA和Diameter中继代理DRA,该边缘代理通常部署在运营商的网络边界,用于和其他运营商的设备对接。当MME(SGSN)和HSS不属于同一运营商时,攻击者可能对Diameter层的内容进行修改,造成通信安全隐患。
发明内容
本发明实施例提供了一种防止信令攻击方法及装置,以期可以防止Diameter信令攻击,提高通信安全性。
第一方面,本发明实施例提供了一种防止信令攻击方法,该方法包括:HSS或边缘节点接收移动管理节点(MME)或服务通用分组无线服务技术(GPRS)支持节点(SGSN)发送的diameter请求消息;然后HSS或边缘节点再判断该diameter请求消息是否从漫游接口接收;当该diameter请求消息是从漫游接口接收时,HSS或边缘节点再判断该diameter请求消息的特征参数是否合法;若所述diameter请求消息的特征参数不合法,则HSS或边缘节点丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN。
本发明实施例提供的方案中,通过HSS或边缘节点对来自于MME/SGSN的diameter请求消息中的各参数的合法性进行判断,并在各特征参数不合法时,丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME/SGSN,从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
在一个可能的设计中,上述特征参数包括MME或SGSN的源互联网协议号(IP)地址;HSS或边缘节点判断该diameter请求消息是否从漫游接口接收,包括:判断源IP地址和接收该diameter请求消息的HSS或边缘节点的IP地址是否属于同一网段;从而当源IP地址和接收diameter请求消息的HSS或边缘节点的IP地址不属于同一网段时,HSS或边缘节点确定接收该diameter请求消息是从漫游接口收到。
在一个可能的设计中,上述特征参数包括MME或SGSN的源IP地址,HSS或边缘节点判断源IP地址是否属于HSS或边缘节点所属运营商授权的IP地址集合;当源IP地址不属于HSS或边缘节点所属运营商授权的IP地址集合时,HSS或边缘节点确定所述diameter请求消息是从漫游接口收到。
本发明实施例提供的方案中,通过判断diameter请求消息是否从漫游接口接收,从而可以只对HSS或边缘节点从漫游接口接收到的diameter请求消息进行防攻击处理,提高防攻击效率。
在一个可能的设计中,上述特征参数包括移动管理节点源域名;HSS或边缘节点判断diameter请求消息的特征参数是否合法,包括:HSS或边缘节点判断移动管理节点源域名是否属于预设移动管理节点源域名集合;从而当移动管理节点源域名不属于预设移动管理节点源域名集合时,HSS或边缘节点确定该diameter请求消息的移动管理节点源域名不合法。通过进一步利用移动管理节点源域名判断diameter请求消息的合法性,从而能更有效防止攻击者在各攻击路径上的攻击,提高通信安全。
在一个可能的设计中,上述特征参数包括移动管理节点源主机名;HSS或边缘节点判断diameter请求消息的特征参数是否合法,包括:HSS或边缘节点判断移动管理节点源主机名是否属于预设移动管理节点源主机名集合;从而当移动管理节点源主机名不属于预设移动管理节点源主机名集合时,HSS或边缘节点确定该diameter请求消息的移动管理节点源主机名不合法。通过进一步利用移动管理节点源主机名判断diameter请求消息的合法性,从而能更有效防止攻击者在各攻击路径上的攻击,提高通信安全。
在一个可能的设计中,上述特征参数包括访问公共陆地网络标识visitedPLMNid;HSS或边缘节点判断diameter请求消息的特征参数是否合法,包括:HSS或边缘节点判断visited PLMN id是否属于预设visited PLMN id集合;从而在visited PLMN id不属于预设visited PLMN id集合时,HSS或边缘节点确定该diameter请求消息的visited PLMN id不合法。通过进一步利用visited PLMN id判断diameter请求消息的合法性,从而能更有效防止攻击者在各攻击路径上的攻击,提高通信安全。
在一个可能的设计中,当移动管理节点源域名和visited PLMN id均合法时,HSS或边缘节点丢弃diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN之前,该方法还包括:HSS或边缘节点判断移动管理节点源域名和visited PLMN id是否匹配;并在移动管理节点源域名与visited PLMN id不匹配时,执行丢弃diameter请求消息或返回携带错误码的diameter响应消息给所述MME的步骤。通过进一步判断移动管理节点源域名和visited PLMN id是否匹配,以进一步判断diameter请求消息的合法性,从而能更有效防止攻击者在各攻击路径上的攻击,提高通信安全。
在一个可能的设计中,HSS或边缘节点判断移动管理节点源域名和visited PLMNid是否匹配,包括:HSS或边缘节点判断移动管理节点源域名和visited PLMN id在预设对端参数的映射集合中是否具有映射关系,预设对端参数包括移动管理节点源域名和visited PLMN id;在移动管理节点源域名和visited PLMNid在预设对端参数的映射集合中不具有映射关系时,HSS或边缘节点确定该移动管理节点源域名与visited PLMN id不匹配。
在一个可能的设计中,当diameter请求消息的移动管理节点源域名不合法时,上述错误码包括移动管理节点源域名无效;当diameter请求消息的移动管理节点主机名不合法时,上述错误码包括移动管理节点源主机名无效;当diameter请求消息的visited PLMNid不合法时,上述错误码包括visited PLMN id无效;当移动管理节点源域名与visitedPLMN id不匹配时,上述错误码包括参数匹配无效。通过在不同的参数不合法或不匹配时,预设不同的错误码返回给MME/SGSN,从而使MME/SGSN接收到该diameter响应消息后能准确地知道攻击者的攻击路径,以做出攻击防范,提高通信安全。
第二方面,本发明实施例提供一种防止信令攻击装置,该防止信令攻击装置具有实现上述第一方面的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,该防止信令攻击装置可以包括HSS。
在一个可能的设计中,该防止信令攻击装置可以包括边缘节点。
第三方面,本发明实施例提供一种防止信令攻击装置,该防止信令攻击装置包括处理器、接收器和发射器,所述处理器被配置为支持终端执行上述方法中相应的功能。所述接收器和发射器用于支持防止信令攻击装置与MME/SGSN之间的通信。进一步的,中继设备还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第四方面,本发明实施例提供一种计算机存储介质,用于储存为上述用于第二方面所述的防止信令攻击装置所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
相较于现有技术,本发明实施例提供的方案中,HSS或边缘节点接收MME或SGSN发送的diameter请求消息;当该diameter请求消息是从漫游接口接收时,HSS或边缘节点判断该diameter请求消息的特征参数是否合法,并在diameter请求消息的特征参数不合法,丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN,从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的MME(SGSN)与HSS通信的网络架构图;
图2-a是本发明实施例提供的第一组网图;
图2-b是本发明实施例提供的第二组网图;
图3-a是本发明实施例提供的一种Diameter信令攻击流程示意图;
图3-b是本发明实施例提供的另一种Diameter信令攻击流程示意图;
图3-c是本发明实施例提供的另一种Diameter信令攻击流程示意图;
图3-d是本发明实施例提供的又一种Diameter信令攻击流程示意图;
图4是本发明实施例提供的S6a/S6d接口协议栈;
图5是本发明实施例提供的一种防止信令攻击方法的流程示意图;
图6为本发明实施例提供的另一种防止信令攻击方法的流程示意图;
图7是本发明实施例提供的一种防止信令攻击装置的结构示意图;
图8为本发明实施例提供的另一种防止信令攻击装置的结构示意图。
具体实施方式
本发明实施例提供了一种防止信令攻击方法及装置,以期可以防止Diameter信令攻击,提高通信安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先参见图1,图1是本发明实施例提供的MME(SGSN)与HSS通信的网络架构图,在本发明实施例中,在4G网络中,MME(SGSN)与HSS之间的S6a(S6d)接口的协议是基于DIAMETER协议的,在该网络架构图中,当用户接入网络后,为其提供服务的MME(SGSN)和该用户归属的HSS属于不同的运营商,此时称为漫游场景。
在本发明实施例中,基于该架构图,MME可以向HSS发送如下信息:1.PurgeUE,MME(SGSN)通知HSS已经删除UE的签约数据(比如由于UE连续几天不活跃);2.Updatelocation,用于MME(SGSN)通知HSS位置更新(将当前服务MME标识通知HSS)或MME(SGSN)将终端信息或UE SRVCC信息告知HSS;3.Authentication Information Retrieval,用于MME(SGSN)从HSS获取鉴权数据;4.Notification,用于MME(SGSN)通知HSS:终端信息或UESRVCC信息更新、动态更新的PDN发生变化、终端可达或者终端有足够的内存接受短信。
实际组网中,为了提升性能,HSS和MME(SGSN)之间通常会部署1个或者多个Diameter代理。在本发明实施例中,有两种Diameter代理:Diameter边缘代理DEA、Diameter中继代理DRA。DEA通常部署在运营商的网络边界,用于和其他运营商的设备对接。具体组网图可参见图2-a和图2-b,图2-a是本发明实施例提供的第一组网图,图2-b是本发明实施例提供的第二组网图。
在本发明实施例中,基于图2-a和图2-b所示的组网图,在第二代移动通信技术2G网络和第三代移动通信技术3G网络中,攻击者可能通过漫游接口对其他签署了漫游协议的运营商的网络进行攻击。在4G网络中,当MME(SGSN)和HSS(CSS)属于同一个运营商时,S6a/S6d接口两边的网元都是运营商可控的,因此没有安全风险。
但是,如果MME(SGSN)和HSS属于不同的运营商时,比如MME(SGSN)属于运营商B,HSS属于和运营商B签署了漫游协议的运营商A,就存在下面的安全威胁:
运营商B可能开放自己的网络能力给第三方,第三方可能通过MME对运营商A的HSS发起攻击,或者,运营商B内部恶意人员可能直接通过MME对运营商A的HSS发起如下攻击:
攻击路径1:伪造AIR消息(伪造访问公共陆地网络标识(Visited Public LandMobile Network ID,简称Visited PLMN ID)参数)从HSS上获取鉴权向量,从而导致:1.对HSS形成分布式拒绝服务(Distributed Denial of Service,简称DDOS)攻击;2.终端认证过程中,不仅增加了延时,给用户造成不好的体验,使得HSS/全球用户识别卡(UniversalSubscriber Identity Module,简称USIM)卡的序列号(sequence number,简称SQN)不同步,也加重了网络侧(演进式基站(evolved Node B,简称eNB)/MME/SGSN/HSS)信令处理的负担。
具体地,参见图3-a,图3-a是本发明实施例提供的一种Diameter信令攻击流程示意图,如图3-a所示,MME/SGSN通过AIR消息从HSS申请认证信息,其中带有Visited PLMNID。HSS使用该信息参与生成一组或多组的鉴权向量集,再将鉴权向量集通过AIR消息传送给MME/SGSN,此时黑客可能利用MME/SGSN把visited PLMN id参数填成其他运营商的(例如C)id,从而非法获取鉴权矢量。基于上述攻击,将可能带来如下安全威胁:
1、AIR一次最多能申请5个鉴权向量,HSS生成鉴权矢量的算法会消耗中央处理器(Central Processing Unit,CPU)/内存处理资源。如果攻击者短时间内发送大量AIR,会对HSS形成DDOS攻击;
2、通过反复攻击,攻击者获取该终端(User Equipment,简称UE)的多组鉴权向量后,会造成HSS和UE/USIM卡之间的SQN不同步,因此网络侧servingMME/SGSN下次再对UE认证时,UE会发送认证同步失败消息给servingMME/SGSN,serving MME/SGSN会发送AIR消息给HSS,HSS同步SQN后,再次发送鉴权矢量给MME/SGSN,MME/SGSN再次对UE进行认证,至到成功为止。从而导致UE认证过程中,不仅增加了延时,给用户造成不好的体验,也加重了网络侧(eNB/MME/SGSN/HSS)信令处理的负担。
3、如下场景:运营商A的UE到外地漫游,有运营商B和C可供选择,运营商C的资费高或服务差,UE更愿意选择运营商B。如果运营商C利用本问题就可以假冒运营商B申请到鉴权向量,并假冒运营商B完成对UE的认证。实现欺骗用户入网的目的。
攻击路径2:伪造更新位置请求(Update Location Request,简称ULR)导致用户下线:1、伪造Visited PLMN ID参数为其他运营商的PLMN ID,但源域名/源主机名使用真实的,因此源域名/源主机名和visited PLMN ID不一致;或者2、伪造Visited PLMN ID参数为其他运营商(如A)的PLMN ID,并且源域名/源主机名也伪造为其他运营商(如A)的,因此源域名/源主机名和visited PLMN ID一致,但与HSS上配置的流控制传输协议(StreamControl Transmission Protocol,简称SCTP)链接对端信息(对端域名/对端主机名/对端互联网协议号(Internet Protocol,简称IP)/对端PLMN ID)不一致。
具体地,参见图3-b,图3-b是本发明实施例提供的另一种Diameter信令攻击流程示意图,如图3-b所示,HSS收到MME/SGSN的ULR消息后:1、通知旧的MME/SGSN不再为该用户服务,此时旧的MME/SGSN删除用户承载;2、返回用户签约数据给新的MME/SGSN。此时攻击者可以把ULR消息中的originrealm/host和/或visited PLMN id参数伪造成其他运营商的,从而可能可能带来如下安全威胁:1、导致用户下线(DOS攻击);2、窃取用户隐私数据(信息泄漏)。
攻击路径3:伪造NOR来更新HSS中的IMEI信息和PDN-GW信息,还有APN信息。HSS会在ULA中将该错误的信息下发给MME/SGSN,可能导致用户无法上网:伪造源域名/源主机名为其他运营商的。
具体地,参见图3-c,图3-c是本发明实施例提供的另一种Diameter信令攻击流程示意图,如图3-c所示,HSS收到NOR消息后:1、更新该用户的PGW信息,接入点(Access PointName,简称APN)信息。2、后续收到MME/SGSN的ULR消息后,会把这些信息通过ULA返回给MME/SGSN,然后MME//SGSN可以把origin realm参数填成其他运营商的(例如C),并且PGW信息和APN信息任意填写,从而导致如下安全威胁:由于PGW信息和APN信息是伪造的,将导致用户无法上网。
攻击路径4:伪造PUR消息导致用户下线:伪造源域名/源主机名为其他运营商的。具体地,参见图3-d,图3-d是本发明实施例提供的又一种Diameter信令攻击流程示意图,如图3-d所示,HSS收到PUR消息后,清除该用户的相关信息,然后MME/SGSN可以把originrealm参数伪造成其他运营商(例如C),从而导致如下安全威胁:导致用户下线。
在本发明实施例中,根据3GPP标准TS 33.210规定,S6a/S6d接口上可以部署IPSEC,以保护S6a/S6d接口安全,比如MME(SGSN)和HSS之间的身份认证、IP层之上数据的完整性和机密性,参见图4,图4是本发明实施例提供的S6a/S6d接口协议栈。但是由于上述四种攻击是属于IP层之上的diameter信令层面的攻击,即使MME(SGSN)和HSS之间通过了身份认证,并且IP层之上保证了完整性和机密性,攻击者仍然可以通过发送正常的diameter信令发起攻击,因此,常规的IPSEC机制并不能防范这种攻击,需要考虑IP之上的应用层面(例如DIAMETER层面)的保护。
参见图5,图5是本发明实施例提供的一种防止信令攻击方法的流程示意图,如图5所示,该方法可以包括以下步骤:
S501、接收移动管理节点(MME)或服务通用分组无线服务技术(GPRS)支持节点(SGSN)发送的diameter请求消息。
在本发明实施例中,可以由HSS和/或边缘节点接收MME/SGSN发送的diameter请求消息。
其中,该边缘节点是指位于某个安全域的边界,同时与相邻两个安全域内的网元通信的防火墙。例如,可以为图2-a中的DEA1/DRA1,图2-b中的DEA1/DRA1或DEA2/DRA2。
具体地,在本发明实施例中,该diameter请求消息可以为以下消息中的至少一种:
鉴权信息获取AIR消息、更新位置请求ULR消息、通知请求NOR消息以及清除请求PUR消息。
S502、判断所述diameter请求消息是否从漫游接口接收。
在本发明实施例中,由于攻击者在对HSS发起攻击时,均为在HSS与MME/SGSN不属于同一运营商时对diameter请求消息中的相关参数进行修改而发起的,而当HSS与MME/SGSN不属于同一运营商时,HSS或边缘节点通过漫游接口进行通信,所以为了防止上述几种攻击,只需要对从漫游接口接收到diameter请求消息进行合法性判断,而在HSS与MME/SGSN属于同一运营商时,也即对于从其它非漫游接口接收到的消息时,则不需要进行安全性判断。
可选地,在本发明的一个实施例中,所述特征参数包括所述MME或SGSN的源互联网协议号(IP)地址;
所述判断所述diameter请求消息是否从漫游接口接收,包括:
判断所述源IP地址和接收所述diameter请求消息的归属签约用户服务器(HSS)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述diameter请求消息的HSS或边缘节点的IP地址不属于同一网段时,确定接收所述diameter请求消息是从漫游接口收到;或者,
判断所述源IP地址是否属于所述HSS或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述HSS或边缘节点所属运营商授权的IP地址集合时,确定所述diameter请求消息是从漫游接口收到。
具体地,该IP地址集合可以存储在HSS或边缘节点中。
举例说明,在本发明的一个示例中,若HSS属于运营商B,则该IP地址集合为运营商B所支持的所有IP地址的集合。
具体地,该IP地址集合可以为各个独立的IP地址,例如,192.168.6.28,192.168.6.78等IP地址,也可以为某段IP地址,例如,用192.168.6.0表示从192.168.6.0至192.168.6.255之间的IP地址段。
可以理解,当MME/SGSN和HSS/边缘节点的IP地址属于同一网段时,可以认为MME/SGSN和HSS/边缘节点不属于漫游通信,而MME/SGSN的源IP地址属于HSS/边缘节点所属运营商授权的IP地址集合时,则说明MME/SGSN和HSS/边缘节点属于同一运营商,此时MME/SGSN和HSS/边缘节点也不属于漫游通信。通过判断diameter请求消息是从漫游接口收到,可以只对从漫游接口接收到的diameter请求消息进行防攻击处理,提高防攻击效率。
S503、当所述diameter请求消息是从漫游接口接收时,判断所述diameter请求消息的特征参数是否合法。
可选地,该diameter请求消息的特征参数包括以下信息中的至少一种:
所述MME或SGSN的源互联网协议号(IP)地址、移动管理节点源域名、移动管理节点源主机名以及访问公共陆地网络标识visited PLMN id。
其中,MME或SGSN的源IP地址以及visited PLMN id可以用于标识MME或SGSN的运营商,例如,若该消息为MME发送的,则该源IP地址以及visited PLMNid可以反映MME所属运营商的信息,例如,该源IP地址为MME所属运营商B授权的IP地址;移动管理节点源域名和移动管理节点源主机名可以用于唯一标识MME或SGSN的物理终端标识。
可选地,也可以在diameter请求消息中携带其它用于标识MME/SGSN所属运营商的信息,以及其实用于标识MME/SGSN的物理终端标识。
S504、若所述diameter请求消息的特征参数不合法,则丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN。
其中,该错误码可以用于diameter请求消息的不合法类型,也即HSS和/或边缘节点拒绝diameter请求消息的原因。
可选地,在本发明的一个实施例中,当所述diameter请求消息的移动管理节点源域名不合法时,所述错误码包括移动管理节点源域名无效;
当所述diameter请求消息的移动管理节点主机名不合法时,所述错误码包括移动管理节点源主机名无效;
当所述diameter请求消息的visited PLMN id不合法时,所述错误码包括visitedPLMN id无效;
当所述移动管理节点源域名与所述visited PLMN id不匹配时,所述错误码包括参数匹配无效。
可选地,若该diameter请求消息的特征参数合法,此时说明该diameter请求消息合法,故此时可继续正常的业务处理。
可以看出,本实施例的方案中,HSS或边缘节点接收MME或SGSN发送的diameter请求消息;当该diameter请求消息是从漫游接口接收时,HSS或边缘节点判断该diameter请求消息的特征参数是否合法,并在diameter请求消息的特征参数不合法,丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN,从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
可选地,在本发明的一个实施例中,所述特征参数包括移动管理节点源域名;
所述判断所述diameter请求消息的特征参数是否合法,包括:
判断所述移动管理节点源域名是否属于预设移动管理节点源域名集合;
当所述移动管理节点源域名不属于预设移动管理节点源域名集合时,确定所述diameter请求消息的移动管理节点源域名不合法。
可选地,当diameter请求消息中的移动管理节点源域名属于预设移动管理节点源域名集合时,确定该diameter请求消息的移动管理节点源域名合法。
具体地,该预设移动管理节点源域名集合可以预先配置在HSS或边缘节点上。
更进一步,具体地,可以在HSS或边缘节点上配置合法的管理节点源域名列表,然后再判断diameter请求消息中的移动管理节点源域名是否在上述列表中。
优选地,可以在HSS或边缘节点上配置下述表格,然后再判断diameter请求消息中的移动管理节点源域名是否在下述表格中,该表格中包括了HSS所有授权的运营商IP以及PLMN id,例如,中国移动的HSS要预先配置所有签了漫游协议的其他运营商(比如法国电信,美国电信,……)等信息。
| 对端IP | 对端域名/主机名 | 对端PLMN id | |
| 1 | 对端IP1 | 对端域名1/主机名1 | 对端PLMN id1 |
| 2 | 对端IP2 | 对端域名2/主机名2 | 对端IP2 |
| 3 | ... | ... | ... |
可以理解,由于移动管理节点源域名可以反映MME/SGSN的终端标识,所以通过判断diameter请求消息中的移动管理节点源域名参数,可以有效防止攻击者在各路径上的攻击,提高通信安全。
可选地,在本发明的一个实施例中,所述特征参数包括移动管理节点源主机名;
所述判断所述diameter请求消息的特征参数是否合法,包括:
判断所述移动管理节点源主机名是否属于预设移动管理节点源主机名集合;
当所述移动管理节点源主机名不属于预设移动管理节点源主机名集合时,确定所述diameter请求消息的移动管理节点源主机名不合法。
可选地,当diameter请求消息中的移动管理节点源主机名属于预设移动管理节点源域名集合时,确定该diameter请求消息的移动管理节点源主机名合法。
具体地,该预设移动管理节点源域名集合可以预先配置在HSS或边缘节点上。
更进一步,具体地,可以在HSS或边缘节点上配置合法的移动管理节点源主机名列表,然后再判断diameter请求消息中的移动管理节点源主机名是否在上述列表中。
优选地,可以在HSS或边缘节点上配置下述表格,然后再判断diameter请求消息中的移动管理节点源主机名是否在下述表格中。
| 对端IP | 对端域名/主机名 | 对端PLMN id | |
| 1 | 对端IP1 | 对端域名1/主机名1 | 对端PLMN id1 |
| 2 | 对端IP2 | 对端域名2/主机名2 | 对端PLMN id12 |
| 3 | ... | ... | ... |
可以理解,由于移动管理节点源主机名可以反映MME/SGSN的终端标识,所以通过进一步判断diameter请求消息中的移动管理节点源主机名参数,可以更有效地防止攻击者在各路径上的攻击,提高通信安全。
可选地,在本发明的一个实施例中,所述特征参数包括访问公共陆地网络标识visited PLMN id;
所述判断所述diameter请求消息的特征参数是否合法,包括:
判断所述visited PLMN id是否属于预设visited PLMN id集合;
在所述visited PLMN id不属于预设visited PLMN id集合时,确定所述diameter请求消息的visited PLMN id不合法。
可选地,当diameter请求消息中的visited PLMN id属于visited PLMN id集合时,确定该diameter请求消息的visited PLMN id合法。
具体地,该预设visited PLMN id集合可以预先配置在HSS或边缘节点上。
更进一步,具体地,可以在HSS或边缘节点上配置合法的visited PLMN id列表,然后再判断diameter请求消息中的visited PLMN id是否在上述列表中。
优选地,可以在HSS或边缘节点上配置下述表格,然后再判断diameter请求消息中的visited PLMN id是否在下述表格中。
| 对端IP | 对端域名/主机名 | 对端PLMN id | |
| 1 | 对端IP1 | 对端域名1/主机名1 | 对端PLMN id1 |
| 2 | 对端IP2 | 对端域名2/主机名2 | 对端PLMN id12 |
| 3 | ... | ... | ... |
可以理解,由于visited PLMN id可以反映MME/SGSN所属运营商,所以通过进一步判断diameter请求消息中的visited PLMN id参数是否合法,可以更有效地防止攻击者在各路径上的攻击,提高通信安全。
可选地,在本发明的一个实施例中,当所述移动管理节点源域名和所述visitedPLMN id合法时,所述丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN之前,所述方法还包括:
判断所述移动管理节点源域名和所述visited PLMN id是否匹配;
在所述移动管理节点源域名与所述visited PLMN id不匹配时,执行丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME的步骤。
其中,移动管理节点源域名和visited PLMN id匹配是指当移动管理节点源域名和visited PLMN id均合法时,移动管理节点源域名和visited PLMN id这两个参数是否属于同一消息源携带的,当不是时,可能是攻击者对diameter请求消息中的参数进行更改,此时可能具有安全隐患。
举例说明,在本发明的一个示例中,若对于MME来说,其具有移动管理节点源域名1以及visited PLMN id 2(可以为MME所属运营商授权的一个visited PLMN id),而如果此时visited PLMN id为visited PLMN id 3,此时可确定移动管理节点源域名与visitedPLMN id不匹配。
可选地,当所述移动管理节点源域名和所述visited PLMN id合法时,并且所述移动管理节点源域名与所述visited PLMN id匹配时,确定diameter请求消息合法,此时可继续正常业务。
可选地,在本发明的一个实施例中,所述判断所述移动管理节点源域名和所述visited PLMN id是否匹配,包括:
判断所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中是否具有映射关系,所述预设对端参数包括所述移动管理节点源域名和所述visitedPLMN id;
在所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中不具有映射关系时,确定所述移动管理节点源域名与所述visited PLMN id不匹配。
举例说明,可以在HSS或边缘节点上配置下述表格(预设对端参数的映射集合),然后再判断diameter请求消息中的源IP和visited PLMN id是否在下述表格中的同一行中,例如当移动管理节点源域名与visited PLMN id均属于第1行时,也即分别为对端域名1和对端PLMN id1,则确定移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中不具有映射关系,而若移动管理节点源域名为对端域名1,visited PLMN id为对端PLMN id2时,通过下述表格可知,移动管理节点源域名与visited PLMN id不具有映射关系,此时可确定移动管理节点源域名与visited PLMN id不匹配。
| 对端IP | 对端域名/主机名 | 对端PLMN id | |
| 1 | 对端IP1 | 对端域名1/主机名1 | 对端PLMN id1 |
| 2 | 对端IP2 | 对端域名2/主机名2 | 对端PLMN id12 |
| 3 | ... | ... | ... |
可选地,在本发明的一个实施例中,在所述移动管理节点源域名和所述visitedPLMN id在预设对端参数的映射集合中具有映射关系时,确定所述移动管理节点源域名与所述visited PLMN id匹配,此时可继续正常业务。
可以理解,通过进一步判断移动管理节点源域名和visited PLMN id是否匹配,能更有效地防止攻击者利用diameter请求消息进行攻击,提高通信安全。
为了便于更好地理解和实施本发明实施例的上述方案,下面结合图5对本发明实施例进一步说明。
参见图6,图6为本发明实施例提供的另一种防止信令攻击方法的流程示意图。图6所示的方法中,与图5所示方法相同或类似的内容可以参考图5中的详细描述,此处不再赘述。如图6所示,该方法可以包括以下步骤:
S601、在HSS或边缘节点上预先配置MME/SGSN的预设特征参数集合。
具体地,可以配置HSS或边缘节点授权的MME/SGSN的预设特征参数列表(对端ip,对端域名/对端主机名,对端PLMN ID)。
S602、HSS或边缘节点接收MME/SGSN发送的diameter请求消息。
可选地,该diameter请求消息中包括以下信息中的至少一种:
所述MME或SGSN的源IP地址、移动管理节点源域名、移动管理节点源主机名以及visited PLMN id。
S603、判断该diameter请求消息是否从漫游接口接收。
可选地,当该diameter请求消息是从漫游接口接收时,执行步骤S604。
可选地,当该diameter请求消息不是从漫游接口接收时,执行步骤S609。
S604、判断移动管理节点源域名是否属于预设移动管理节点源域名集合。
可选地,当移动管理节点源域名属于预设移动管理节点源域名集合时,执行步骤S605。
可选地,当移动管理节点源域名不属于预设移动管理节点源域名集合时,执行步骤S608。
S605、判断移动管理节点源主机名是否属于预设移动管理节点源主机名集合。
可选地,当移动管理节点源主机名属于预设移动管理节点源主机名集合时,执行步骤S606。
可选地,当移动管理节点源主机名不属于预设移动管理节点源主机名集合时,执行步骤S608。
S606、判断visited PLMN id是否属于预设visited PLMN id集合。
可选地,当visited PLMN id属于预设visited PLMN id集合,执行步骤S607。
可选地,当visited PLMN id不属于预设visited PLMN id集合,执行步骤S608。
S607、判断移动管理节点源域名和visited PLMN id是否匹配。
在本发明实施例中,当移动管理节点源域名和visited PLMN id均合法时,也即步骤S604和步骤S606的判断结果为肯定时,执行判断移动管理节点源域名和visited PLMNid是否匹配的步骤。
可选地,当移动管理节点源域名和visited PLMN id匹配时,执行步骤S609。
可选地,当移动管理节点源域名和visited PLMN id不匹配时,执行步骤S608。
S608、确定diameter请求消息不合法。
在本发明实施例中,此时HSS和/边缘节点将丢弃该diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN。
S609、确定diameter请求消息合法。
在本发明实施例中,此时HSS和/边缘节点将继续正常业务。
可以看出,本实施例的方案中,HSS或边缘节点接收MME或SGSN发送的diameter请求消息;当该diameter请求消息是从漫游接口接收时,HSS或边缘节点判断该diameter请求消息的特征参数是否合法,并在diameter请求消息的特征参数不合法,丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN,从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
需要说明,上述步骤S603-S607均为可选的步骤,且步骤S603-S606之间没有严格的执行先后顺序,例如,可先执行步骤S606,再执行步骤S604,但步骤S607需要在步骤S604和步骤S606的判断结果为肯定时才执行。
可以看出,本实施例的方案中,HSS或边缘节点接收MME或SGSN发送的diameter请求消息;当该diameter请求消息是从漫游接口接收时,HSS或边缘节点判断该diameter请求消息的特征参数是否合法,并在diameter请求消息的特征参数不合法,丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN,从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
参见图7,图7是本发明实施例提供的一种防止信令攻击装置的结构示意图,用于实现本发明实施例公开的防止信令攻击方法。其中,如图7所示,本发明实施例提供的一种防止信令攻击装置700可以包括:
接收模块710、判断模块720和响应模块730。
接收模块710,用于接收移动管理节点(MME)或服务通用分组无线服务技术(GPRS)支持节点(SGSN)发送的diameter请求消息。
在本发明实施例中,该防止攻击装置700具体可以为HSS和/或边缘节点,所以可以由HSS和/或边缘节点接收MME/SGSN发送的diameter请求消息。
其中,该边缘节点是指位于某个安全域的边界,同时与相邻两个安全域内的网元通信的防火墙。
具体地,在本发明实施例中,该diameter请求消息可以包括以下消息中的至少一种:
鉴权信息获取AIR消息、更新位置请求ULR消息、通知请求NOR消息以及清除请求PUR消息。
判断模块720,用于判断所述diameter请求消息是否从漫游接口接收。
可选地,在本发明的一个实施例中,所述特征参数包括所述MME或SGSN的源互联网协议号(IP)地址;
所述判断模块720判断所述diameter请求消息是否从漫游接口接收具体为:
判断所述源IP地址和接收所述diameter请求消息的归属签约用户服务器(HSS)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述diameter请求消息的HSS或边缘节点的IP地址不属于同一网段时,确定接收所述diameter请求消息是从漫游接口收到;或者,
判断所述源IP地址是否属于所述HSS或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述HSS或边缘节点所属运营商授权的IP地址集合时,确定所述diameter请求消息是从漫游接口收到。
具体地,该IP地址集合可以存储在HSS或边缘节点中。
所述判断模块720,还用于当所述diameter请求消息是从漫游接口接收时,判断所述diameter请求消息的特征参数是否合法。
可选地,该diameter请求消息的特征参数包括以下信息中的至少一种:
所述MME或SGSN的源互联网协议号(IP)地址、移动管理节点源域名、移动管理节点源主机名以及访问公共陆地网络标识visited PLMN id。
响应模块730,用于若所述diameter请求消息的特征参数不合法,则丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN。
其中,该错误码可以用于diameter请求消息的不合法类型,也即HSS和/或边缘节点拒绝diameter请求消息的原因。
可选地,在本发明的一个实施例中,当所述diameter请求消息的移动管理节点源域名不合法时,所述错误码包括移动管理节点源域名无效;
当所述diameter请求消息的移动管理节点主机名不合法时,所述错误码包括移动管理节点源主机名无效;
当所述diameter请求消息的visited PLMN id不合法时,所述错误码包括visitedPLMN id无效;
当所述移动管理节点源域名与所述visited PLMN id不匹配时,所述错误码包括参数匹配无效。
可选地,若该diameter请求消息的特征参数合法,此时说明该diameter请求消息合法,故此时可继续正常的业务处理。
可选地,在本发明的一个实施例中,所述特征参数包括移动管理节点源域名;
所述判断模块720判断所述diameter请求消息的特征参数是否合法具体为:
判断所述移动管理节点源域名是否属于预设移动管理节点源域名集合;
当所述移动管理节点源域名不属于预设移动管理节点源域名集合时,确定所述diameter请求消息的移动管理节点源域名不合法。
可选地,当diameter请求消息中的移动管理节点源域名属于预设移动管理节点源域名集合时,确定该diameter请求消息的移动管理节点源域名合法。
具体地,该预设移动管理节点源域名集合可以预先配置在HSS或边缘节点上。
可选地,在本发明的一个实施例中,所述特征参数包括移动管理节点源主机名;
所述判断模块720判断所述diameter请求消息的特征参数是否合法具体为:
判断所述移动管理节点源主机名是否属于预设移动管理节点源主机名集合;
当所述移动管理节点源主机名不属于预设移动管理节点源主机名集合时,确定所述diameter请求消息的移动管理节点源主机名不合法。
可选地,当diameter请求消息中的移动管理节点源主机名属于预设移动管理节点源域名集合时,确定该diameter请求消息的移动管理节点源主机名合法。
具体地,该预设移动管理节点源域名集合可以预先配置在HSS或边缘节点上。
可选地,在本发明的一个实施例中,所述特征参数包括访问公共陆地网络标识visited PLMN id;
所述判断模块720判断所述diameter请求消息的特征参数是否合法具体为:
判断所述visited PLMN id是否属于预设visited PLMN id集合;
在所述visited PLMN id不属于预设visited PLMN id集合时,确定所述diameter请求消息的visited PLMN id不合法。
可选地,当diameter请求消息中的visited PLMN id属于visited PLMN id集合时,确定该diameter请求消息的visited PLMN id合法。
具体地,该预设visited PLMN id集合可以预先配置在HSS或边缘节点上。
可选地,在本发明的一个实施例中,当所述移动管理节点源域名和所述visitedPLMN id合法时,
所述判断模块720还用于:判断所述移动管理节点源域名和所述visited PLMN id是否匹配;
在所述判断模块720确定所述移动管理节点源域名与所述visited PLMN id不匹配时,所述响应模块730执行丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME的步骤。
可选地,当所述移动管理节点源域名和所述visited PLMN id合法时,并且所述移动管理节点源域名与所述visited PLMN id匹配时,确定diameter请求消息合法,此时可继续正常业务。
可选地,在本发明的一个实施例中,所述判断模块720判断所述移动管理节点源域名和所述visited PLMN id是否匹配具体为:
判断所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中是否具有映射关系,所述预设对端参数包括所述移动管理节点源域名和所述visitedPLMN id;
在所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中不具有映射关系时,确定所述移动管理节点源域名与所述visited PLMN id不匹配。
可选地,在本发明的一个实施例中,在所述移动管理节点源域名和所述visitedPLMN id在预设对端参数的映射集合中具有映射关系时,确定所述移动管理节点源域名与所述visited PLMN id匹配,此时可继续正常业务。
可以看出,本实施例的方案中,防信令攻击装置700(具体为HSS或边缘节点)接收MME或SGSN发送的diameter请求消息;当该diameter请求消息是从漫游接口接收时,HSS或边缘节点判断该diameter请求消息的特征参数是否合法,并在diameter请求消息的特征参数不合法,丢弃该diameter请求消息或返回携带错误码的diameter响应消息给MME或SGSN,从而能有效阻断黑客利用各个攻击路径对HSS或边缘节点进行攻击,提高通信安全。
在本实施例中,防信令攻击装置700是以单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specific integrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
可以理解的是,本实施例的防信令攻击装置700的各功能单元的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
参见图8,参见图8,图8为本发明实施例提供的另一种防止信令攻击装置的结构示意图,如图8所示,该防止信令攻击装置800包括:
发射器/接收器801和处理器802。其中,处理器802也可以为控制器,图8中表示为“控制器/处理器802”。所述发射器/接收器801用于支持防止信令攻击装置800(具体可以为HSS或边缘节点)与上述实施例中的所述MME或SGSN之间收发信息,以及支持所述HSS或边缘节点与其他设备之间进行无线电通信。所述处理器802执行各种用于与防止信令攻击装置800通信的功能。在上行链路,来自所述MME或SGSN的上行链路信号经由天线接收,由接收器801进行解调(例如将高频信号解调为基带信号),并进一步由处理器802进行处理来恢复防止信令攻击装置800所发送到业务数据和信令信息。在下行链路上,业务数据和信令消息由处理器802进行处理,并由发射器801进行调制(例如将基带信号调制为高频信号)来产生下行链路信号,并经由天线发射给HSS或边缘节点。需要说明的是,上述解调或调制的功能也可以由处理器802完成。例如,处理器802还用于执行上述方法实施例中的相应步骤,和/或本发明实施例所描述的技术方案的其他过程。
进一步的,防止信令攻击装置800还可以包括存储器803,存储器803用于存储防止信令攻击装置800的程序代码和数据。此外,防止信令攻击装置800还可以包括通信单元804。通信单元804用于支持防止信令攻击装置与其他网络实体(例如核心网中的网络设备等)进行通信。例如,在LTE系统中,该通信单元804也可以是S1-MME接口,用于支持防止信令攻击装置与移动性管理实体(Mobility Management Entity,MME)进行通信。
可以理解的是,图8仅仅示出了防止信令攻击装置800的简化设计。在实际应用中,防止信令攻击装置800可以包含任意数量的发射器,接收器,处理器,控制器,存储器,通信单元等,而所有可以实现本发明实施例的防止信令攻击装置都在本发明实施例的保护范围之内。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任何防止信令攻击方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明的各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (14)
1.一种防止信令攻击方法,其特征在于,所述方法包括:
接收移动管理节点(MME)或服务通用分组无线服务技术(GPRS)支持节点(SGSN)发送的diameter请求消息;
判断所述diameter请求消息是否从漫游接口接收;
当所述diameter请求消息是从漫游接口接收时,判断所述diameter请求消息的特征参数是否合法;
若所述diameter请求消息的特征参数不合法,则丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN;
其中,所述特征参数包括访问公共陆地网络标识visited PLMN id;
所述判断所述diameter请求消息的特征参数是否合法,包括:
判断所述visited PLMN id是否属于预设visited PLMN id集合,所述预设visitedPLMN id集合预先配置在归属签约用户服务器(HSS)或边缘节点上;
在所述visited PLMN id不属于预设visited PLMN id集合时,确定所述diameter请求消息的visited PLMN id不合法。
2.根据权利要求1所述的方法,其特征在于,所述特征参数包括所述MME或SGSN的源互联网协议号(IP)地址;
所述判断所述diameter请求消息是否从漫游接口接收,包括:
判断所述源IP地址和接收所述diameter请求消息的归属签约用户服务器(HSS)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述diameter请求消息的HSS或边缘节点的IP地址不属于同一网段时,确定接收所述diameter请求消息是从漫游接口收到;或者,
判断所述源IP地址是否属于所述HSS或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述HSS或边缘节点所属运营商授权的IP地址集合时,确定所述diameter请求消息是从漫游接口收到。
3.根据权利要求1或2所述的方法,其特征在于,所述特征参数还包括移动管理节点源域名;
所述判断所述diameter请求消息的特征参数是否合法,包括:
判断所述移动管理节点源域名是否属于预设移动管理节点源域名集合;
当所述移动管理节点源域名不属于预设移动管理节点源域名集合时,确定所述diameter请求消息的移动管理节点源域名不合法。
4.根据权利要求1或2所述的方法,其特征在于,所述特征参数还包括移动管理节点源主机名;
所述判断所述diameter请求消息的特征参数是否合法,包括:
判断所述移动管理节点源主机名是否属于预设移动管理节点源主机名集合;
当所述移动管理节点源主机名不属于预设移动管理节点源主机名集合时,确定所述diameter请求消息的移动管理节点源主机名不合法。
5.根据权利要求3所述的方法,其特征在于,当所述移动管理节点源域名和所述visited PLMN id合法时,所述丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN之前,所述方法还包括:
判断所述移动管理节点源域名和所述visited PLMN id是否匹配;
在所述移动管理节点源域名与所述visited PLMN id不匹配时,执行丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME的步骤。
6.根据权利要求5所述的方法,其特征在于,所述判断所述移动管理节点源域名和所述visited PLMN id是否匹配,包括:
判断所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中是否具有映射关系,所述预设对端参数包括所述移动管理节点源域名和所述visited PLMNid;
在所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中不具有映射关系时,确定所述移动管理节点源域名与所述visited PLMN id不匹配。
7.一种防止信令攻击装置,其特征在于,所述装置包括:
接收模块,用于接收移动管理节点(MME)或服务通用分组无线服务技术(GPRS)支持节点(SGSN)发送的diameter请求消息;
判断模块,用于判断所述diameter请求消息是否从漫游接口接收;
所述判断模块,还用于当所述diameter请求消息是从漫游接口接收时,判断所述diameter请求消息的特征参数是否合法;
响应模块,用于若所述diameter请求消息的特征参数不合法,则丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME或所述SGSN;
其中,所述特征参数包括访问公共陆地网络标识visited PLMN id;
所述判断模块判断所述diameter请求消息的特征参数是否合法具体为:
判断所述visited PLMN id是否属于预设visited PLMN id集合,所述预设visitedPLMN id集合预先配置在归属签约用户服务器(HSS)或边缘节点上;
在所述visited PLMN id不属于预设visited PLMN id集合时,确定所述diameter请求消息的visited PLMN id不合法。
8.根据权利要求7所述的装置,其特征在于,所述特征参数包括所述MME或SGSN的源互联网协议号(IP)地址;
所述判断模块判断所述diameter请求消息是否从漫游接口接收具体为:
判断所述源IP地址和接收所述diameter请求消息的归属签约用户服务器(HSS)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述diameter请求消息的HSS或边缘节点的IP地址不属于同一网段时,确定接收所述diameter请求消息是从漫游接口收到;或者,
判断所述源IP地址是否属于所述HSS或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述HSS或边缘节点所属运营商授权的IP地址集合时,确定所述diameter请求消息是从漫游接口收到。
9.根据权利要求7或8所述的装置,其特征在于,所述特征参数还包括移动管理节点源域名;
所述判断模块判断所述diameter请求消息的特征参数是否合法具体为:
判断所述移动管理节点源域名是否属于预设移动管理节点源域名集合;
当所述移动管理节点源域名不属于预设移动管理节点源域名集合时,确定所述diameter请求消息的移动管理节点源域名不合法。
10.根据权利要求7或8所述的装置,其特征在于,所述特征参数还包括移动管理节点源主机名;
所述判断模块判断所述diameter请求消息的特征参数是否合法具体为:
判断所述移动管理节点源主机名是否属于预设移动管理节点源主机名集合;
当所述移动管理节点源主机名不属于预设移动管理节点源主机名集合时,确定所述diameter请求消息的移动管理节点源主机名不合法。
11.根据权利要求9所述的装置,其特征在于,当所述移动管理节点源域名和所述visited PLMN id合法时,
所述判断模块还用于:判断所述移动管理节点源域名和所述visited PLMN id是否匹配;
在所述判断模块确定所述移动管理节点源域名与所述visited PLMN id不匹配时,所述响应模块执行丢弃所述diameter请求消息或返回携带错误码的diameter响应消息给所述MME的步骤。
12.根据权利要求11所述的装置,其特征在于,所述判断模块判断所述移动管理节点源域名和所述visited PLMN id是否匹配具体为:
判断所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中是否具有映射关系,所述预设对端参数包括所述移动管理节点源域名和所述visited PLMNid;
在所述移动管理节点源域名和所述visited PLMN id在预设对端参数的映射集合中不具有映射关系时,确定所述移动管理节点源域名与所述visited PLMN id不匹配。
13.一种防止信令攻击装置,其特征在于,所述装置包括处理器、接收器和发射器,所述处理器被配置为执行如权利要求1-6任一项所述的方法。
14.一种计算机存储介质,其特征在于,所述计算机存储介质存储有程序,所述程序被执行时实现如权利要求1-6任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610796695.8A CN107800664B (zh) | 2016-08-31 | 2016-08-31 | 一种防止信令攻击方法及装置 |
| PCT/CN2017/080375 WO2018040567A1 (zh) | 2016-08-31 | 2017-04-13 | 一种防止信令攻击方法及装置 |
| EP17844875.9A EP3493569A4 (en) | 2016-08-31 | 2017-04-13 | METHOD AND DEVICE FOR PREVENTING SIGNALING ATTACK |
| US16/288,121 US11089479B2 (en) | 2016-08-31 | 2019-02-28 | Signaling attack prevention method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610796695.8A CN107800664B (zh) | 2016-08-31 | 2016-08-31 | 一种防止信令攻击方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107800664A CN107800664A (zh) | 2018-03-13 |
| CN107800664B true CN107800664B (zh) | 2021-06-15 |
Family
ID=61300138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610796695.8A Active CN107800664B (zh) | 2016-08-31 | 2016-08-31 | 一种防止信令攻击方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11089479B2 (zh) |
| EP (1) | EP3493569A4 (zh) |
| CN (1) | CN107800664B (zh) |
| WO (1) | WO2018040567A1 (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106332067B (zh) * | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
| EP3794798A4 (en) * | 2018-05-16 | 2022-01-19 | Nokia Technologies Oy | ERROR HANDLING FRAMEWORK FOR SECURITY MANAGEMENT IN A COMMUNICATION SYSTEM |
| US11729863B2 (en) * | 2018-05-23 | 2023-08-15 | Federated Wireless, Inc. | Cloud-based interworking gateway service |
| US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
| US10834045B2 (en) * | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
| CN111163033B (zh) * | 2018-10-18 | 2021-08-03 | 华为技术有限公司 | 消息转发方法、装置、通信网元及计算机可读存储介质 |
| CN109246144A (zh) * | 2018-10-31 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | Ims网络中hss越权访问检测装置及方法 |
| US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
| US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
| CN113067907B (zh) * | 2020-01-02 | 2023-04-07 | 中国移动通信有限公司研究院 | 一种边缘应用寻址的方法和相关设备 |
| CN112511533A (zh) * | 2020-05-20 | 2021-03-16 | 郝鹏 | 基于区块链和云计算的通信数据处理方法、系统及平台 |
| US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
| US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
| US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
| CN114423050A (zh) * | 2021-12-10 | 2022-04-29 | 锐捷网络股份有限公司 | 一种amf选择方法和装置 |
| CN114339767B (zh) * | 2021-12-30 | 2024-04-05 | 恒安嘉新(北京)科技股份公司 | 一种信令检测方法、装置、电子设备及存储介质 |
| CN114268509B (zh) * | 2021-12-30 | 2023-07-21 | 天翼物联科技有限公司 | 防范“僵尸”终端ddos攻击的方法以及系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448243B (zh) | 2008-04-11 | 2011-09-21 | 中兴通讯股份有限公司 | 一种实现用户注册的方法 |
| WO2011047382A2 (en) * | 2009-10-16 | 2011-04-21 | Tekelec | Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality |
| US8750825B2 (en) * | 2010-09-25 | 2014-06-10 | Tekelec, Inc. | Methods, systems, and computer readable media for inter-carrier roaming cost containment |
| EP2666263B1 (en) * | 2011-01-21 | 2019-07-24 | Tekelec, Inc. | Methods, systems, and computer readable media for screening diameter messages within a diameter signaling router (dsr) having a distributed message processor architecture |
| US9713053B2 (en) * | 2011-07-06 | 2017-07-18 | Mobileum, Inc. | Network traffic redirection (NTR) in long term evolution (LTE) |
| JP5859129B2 (ja) * | 2011-09-20 | 2016-02-10 | アルカテル−ルーセント | 拡張型キャリア間付加価値サービスを容易にするためのマスタ・サービス制御機能を実施する方法 |
| US9060263B1 (en) * | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
| US9871765B2 (en) * | 2012-09-04 | 2018-01-16 | Alcatel Lucent | DIAMETER firewall using reception IP address or peer identity |
| US9071928B2 (en) * | 2012-09-11 | 2015-06-30 | Cellco Partnership | Trusted mode location service for mobile device access to private network based applications |
| CN105991597A (zh) * | 2015-02-15 | 2016-10-05 | 中兴通讯股份有限公司 | 认证处理方法及装置 |
| CN106332067B (zh) | 2015-06-19 | 2020-02-21 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| US10623951B2 (en) * | 2016-03-09 | 2020-04-14 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
-
2016
- 2016-08-31 CN CN201610796695.8A patent/CN107800664B/zh active Active
-
2017
- 2017-04-13 WO PCT/CN2017/080375 patent/WO2018040567A1/zh unknown
- 2017-04-13 EP EP17844875.9A patent/EP3493569A4/en not_active Ceased
-
2019
- 2019-02-28 US US16/288,121 patent/US11089479B2/en active Active
Non-Patent Citations (3)
| Title |
|---|
| 3GPP.3rd Generation Partnership Project * |
| Numbering, addressing and identification (Release 13).《3GPP TS 23.003 V13.6.0》.2016,全文. * |
| Technical Specification Group Core Network and Terminals * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107800664A (zh) | 2018-03-13 |
| US20190200232A1 (en) | 2019-06-27 |
| EP3493569A1 (en) | 2019-06-05 |
| US11089479B2 (en) | 2021-08-10 |
| WO2018040567A1 (zh) | 2018-03-08 |
| EP3493569A4 (en) | 2019-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107800664B (zh) | 一种防止信令攻击方法及装置 | |
| US10972917B2 (en) | Signaling attack prevention method and apparatus | |
| CN106332067B (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| KR102408155B1 (ko) | 비밀 식별자를 사용하는 사용자 장비에 관련된 동작 | |
| EP2403283A1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| CN109039436A (zh) | 一种卫星安全接入认证的方法及系统 | |
| US20190200411A1 (en) | Infrastructure-Based D2D Connection Setup Using OTT Services | |
| CN105704716A (zh) | VoWi-Fi网络的接入方法及接入装置 | |
| US11032699B2 (en) | Privacy protection capabilities | |
| US10492056B2 (en) | Enhanced mobile subscriber privacy in telecommunications networks | |
| US20220408253A1 (en) | Method and System for Authenticating a Base Station | |
| Mashukov | Diameter Security: An Auditor's Viewpoint | |
| US11576232B2 (en) | Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device | |
| Kotte | Analysis and Experimental Verification of Diameter Attacks in Long Term Evolution Networks | |
| US11381387B2 (en) | Proof-of-presence indicator | |
| CN107786981B (zh) | 一种防止信令攻击方法及装置 | |
| US20240196206A1 (en) | Methods and Devices in Communication Network | |
| Alonso et al. | Debilities of the UMTS Security Mode Set-Up Procedure and Attacks against UMTS/HSPA Device | |
| Mashukov | 2 Tools Used | |
| Cámara et al. | A TELCO ODYSSEY 5G SUCI-CRACKER AND SCTP-HIJACKER |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |