CN108307385A - 一种防止信令攻击方法及装置 - Google Patents
一种防止信令攻击方法及装置 Download PDFInfo
- Publication number
- CN108307385A CN108307385A CN201610796869.0A CN201610796869A CN108307385A CN 108307385 A CN108307385 A CN 108307385A CN 201610796869 A CN201610796869 A CN 201610796869A CN 108307385 A CN108307385 A CN 108307385A
- Authority
- CN
- China
- Prior art keywords
- message
- gtp
- imsi
- address
- plmn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/142—Denial of service attacks against network infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种防止信令攻击方法及装置,所述方法包括:接收服务网关(SGW)发送的基于通用分组无线服务技术(GPRS)隧道协议(GTP‑C)消息;判断所述GTP‑C消息是否从S8接口接收;当所述GTP‑C消息是从所述S8接口接收时,判断所述GTP‑C消息的第一特征参数是否合法,所述第一特征参数包括以下参数中的至少一种:所述GTP‑C消息的消息源端的标识、用户的国际移动用户标识(IMSI);若所述GTP‑C消息的第一特征参数不合法,则丢弃所述GTP‑C消息或返回携带错误码原因值的GTP‑C响应消息给所述SGW。从而能有效阻断黑客利用各个攻击路径对PGW进行攻击,提高通信安全。
Description
技术领域
本发明涉及通信领域,具体涉及一种防止信令攻击方法及装置。
背景技术
服务网关(Serving GateWay,简称SGW)和公用数据网网关(Public Data NetworkGateWay,简称PGW)都是移动通信网络中的重要网元,SGW负责用户数据转发的数据面功能,PGW提供用户的会话管理和承载控制、数据转发、互联网协议(Internet Protocol,简称IP)地址分配以及非第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)用户接入等功能。
在第四代移动通信技术(The 4th Generation mobile communicationtechnology,简称4G)网络中,SGW和PGW之间基于通用分组无线服务技术隧道协议(GeneralPacket Radio Service Tunnelling Protocol,简称GTP)协议中的GTP-C协议定义的第五数据接口或第八数据接口S5/S8接口进行通信,当SGW和PGW属于同一运营商时,SGW和PGW之间通过S5接口进行通信,此时通信安全,而当SGW和PGW属于不同的运营商时,SGW和PGW之间通过S8接口进行通信,此时黑客将有可能利用SGW对PGW进行攻击,造成通信安全隐患。
发明内容
本发明实施例提供了一种防止信令攻击方法及装置,以期可以防止GTP-C信令攻击,提高通信安全性。
第一方面,本发明实施例提供了一种防止信令攻击方法,该方法包括:PGW或边缘节点接收服务网关(SGW)发送的基于通用分组无线服务技术(GPRS)隧道协议(GTP-C)消息;然后PGW或边缘节点再判断该GTP-C消息是否从S8接口接收;当GTP-C消息是从S8接口接收时,PGW或边缘节点再判断GTP-C消息的第一特征参数是否合法,其中,第一特征参数包括以下参数中的至少一种:GTP-C消息的消息源端的标识、用户的国际移动用户标识(IMSI);并在GTP-C消息的第一特征参数不合法时,PGW或边缘节点丢弃GTP-C消息或返回携带错误码原因值的GTP-C响应消息给SGW。
本发明实施例提供的方案中,通过对GTP-C消息中的各参数的合法性进行判断,并在各特征参数不合法时,丢弃该GTP-C消息或返回携带错误码原因值的GTP-C响应消息给SGW,从而能有效阻断黑客利用各个攻击路径对SGW进行攻击,提高通信安全。
在一个示例中,所述IMSI通过GTP-C消息携带或通过GTP-C消息携带的隧道端点标识符TEID获取。由于GTP-C消息中可能携带IMSI,也可能携带的为TEID,所以当在GTP-C消息中携带的为TEID时,可通过该TEID找到IMSI。
在一个可能的设计中,该GTP-C消息还包括SGW的源互联网协议号(IP)地址;PGW或边缘节点判断GTP-C消息是否从S8接口接收,包括:判断源IP地址和接收GTP-C消息的公用数据网关(PGW)或边缘节点的IP地址是否属于同一网段;并在源IP地址和接收GTP-C消息的PGW或边缘节点的IP地址不属于同一网段时,PGW或边缘节点确定接收所述GTP-C消息是从S8接口收到;或者,PGW或边缘节点判断源IP地址是否属于PGW或边缘节点所属运营商授权的IP地址集合;当源IP地址不属于PGW或边缘节点所属运营商授权的IP地址集合时,PGW或边缘节点确定该GTP-C消息是从S8接口收到。
本发明实施例提供的方案中,通过判断GTP-C消息是否从S8接口接收,从而可以只对PGW或边缘节点从S8接口接收到的GTP-C进行防攻击处理,提高防攻击效率。
在一个可能的设计中,该GTP-C消息还包括SGW的源互联网协议号(IP)地址,第一特征参数包括GTP-C消息的消息源端的标识;PGW或边缘节点判断GTP-C消息的第一特征参数是否合法,包括:PGW或边缘节点判断该源IP地址是否属于预设IP地址集合;当该源IP地址不属于预设IP地址集合时,PGW或边缘节点确定所述标识不属于合法标识;或者,PGW或边缘节点向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送该源IP地址,以使MME和/或HSS判断该源IP地址是否属于预设IP集合;然后PGW或边缘节点再接收MME和/或HSS返回的所述运营商归属判断结果;当运营商归属结果为所述IP地址不属于预设IP地址集合时,PGW或边缘节点确定该消息源端的标识不属于合法标识。通过在PGW或边缘节点上或者MME或HSS上预设合法的IP地址集合并判断GTP-C消息的源IP地址是否在该IP地址集合中,从而可进一步确定防止黑客伪造GTP-C消息的IP地址对SGW进行信令攻击,提高通信安全。
在一个可能的设计中,该GTP-C消息还包括SGW的公共陆地移动网络号(PLMN ID),第一特征参数包含GTP-C消息的消息源端的标识;PGW或边缘节点判断GTP-C消息的第一特征参数是否合法,包括:判断该PLMN ID是否属于预设PLMN ID集合;当该PLMN ID不属于预设PLMN ID集合时,PGW或边缘节点确定该GTP-C消息的标识属于不合法标识;或者,PGW或边缘节点向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送该PLMN ID,以使MME和/或HSS判断该PLMN ID是否属于预设PLMN ID集合,然后PGW或边缘节点再接收MME和/或所述HSS返回的运营商归属判断结果;当所述运营商归属结果为PLMN ID不属于预设PLMNID时,PGW或边缘节点确定所述标识属于不合法标识。通过在PGW或边缘节点上或者MME或HSS上预设合法的PLMN ID集合并判断GTP-C消息的源IP地址是否在该IP地址集合中,从而可进一步确定防止黑客伪造GTP-C消息的IP地址对SGW进行信令攻击,提高通信安全。
在一个可能的设计中,该GTP-C消息还包括PLMN ID,该第一特征参数为GTP-C消息的消息源端的标识;PGW或边缘节点判断GTP-C消息的第一特征参数是否合法,包括:PGW或边缘节点判断该IP地址是否属于预设IP地址集合且判断该PLMN ID是否属于预设PLAM ID集合;当该源IP地址不属于预设IP地址集合和/或该PLMN ID属于预设PLMN ID集合时,PGW或边缘节点确定该标识属于不合法标识;或者,
PGW或边缘节点向归属签约用户服务器(HSS)发送该源IP地址以及该PLMN ID,以使HSS判断该IP地址是否属于预设IP地址集合和/或判断该PLMN ID是否属于预设PLMN ID集合;然后PGW或边缘节点再接收MME和/或HSS返回的所述运营商归属判断结果;并且当运营商归属判断结果为源IP地址不属于预设IP地址集合和/或PLMN ID不属于预设PLMN ID集合时,PGW或边缘节点确定该标识属于不合法标识;或者,
PGW或边缘节点向移动管理节点功能(MME)发送该源IP地址以及PLMN ID,以使HSS判断该IP地址是否属于预设IP地址集合和/或判断该PLMN ID是否属于预设PLMN ID集合;然后PGW或边缘节点再接收MME和/或HSS返回的运营商归属判断结果;当该运营商归属判断结果为源IP地址不属于预设IP地址集合和/或PLMN ID不属于预设PLMN ID集合时,PGW或边缘节点确定所述标识为不合法标识。同时通过源IP地址以及PLMN ID判断GTP-C消息源端的合法性,使得判断更为准确,提高通信安全。
在一个可能的设计中,该第一特征参数包括IMSI;PGW或边缘节点判断GTP-C消息的第一特征参数是否合法,包括:PGW或边缘节点判断该IMSI是否为PGW所属运营商授权的IMSI;当该IMSI不为PGW所属运营商授权的IMSI时,PGW或边缘节点确定该GTP-C消息的IMSI为不合法IMSI。由于IMSI为通过该SGW发送GTP-C消息的终端用户标识码,也即发送该GTP-C消息的消息源,从而通过GTP-C消息中的IMSI来判断GTP-C消息的合法性,能准确地判断该GTP-C是否为合法的终端用户所发送,防止黑客利用GTP-C信令恶意攻击,提高通信安全。
在一个可能的设计中,该第一特征参数包括IMSI;PGW或边缘节点判断该GTP-C消息的第一特征参数是否合法,包括:PGW或边缘节点判断该IMSI是否有漫游访问权限;当该IMSI没有漫游访问权限时,PGW或边缘节点确定该GTP-C消息的IMSI为不合法IMSI。通过进一步判断IMSI是否有漫游访问权限来确定GTP-C消息是否合法,从而可以进一步提高防止GTP-C信令攻击安全性,提高通信安全。
在一个可能的设计中,PGW或边缘节点判断IMSI是否有漫游访问权限,具体包括:在PGW或边缘节点上存储预设漫游访问权限用户IMSI集合,然后PGW或边缘节点判断IMSI是否属于预设漫游访问权限用户IMSI集合;当IMSI不属于预设漫游访问权限用户IMSI集合时,PGW或边缘节点确定该GTP-C消息的IMSI为不合法IMSI;或者,
PGW或边缘节点向HSS发送漫游访问权限判断请求,以使HSS判断IMSI是否属于预设漫游访问权限用户IMSI集合;然后PGW或边缘节点再接收HSS返回的漫游访问权限判断结果;当该漫游访问权限判断结果为IMSI不属于预设漫游访问权限用户IMSI集合时,PGW或边缘节点确定所述GTP-C消息的IMSI为不合法IMSI;或者,
PGW或边缘节点向MME发送漫游访问权限判断请求,以使MME判断IMSI是否属于预设漫游访问权限用户IMSI集合;然后PGW或边缘节点再接收MME返回的漫游访问权限判断结果;当该漫游访问权限判断结果为IMSI不属于预设漫游访问权限用户IMSI集合时,PGW或边缘节点确定该GTP-C消息的IMSI为不合法IMSI。可通过判断GTP-C消息中的IMSI是否为具有漫游访问权限用户IMSI集合,以确定GTP-C消息是否合法,从而可以进一步提高防止GTP-C信令攻击安全性,提高通信安全。
在一个可能的设计中,该GTP-C消息包括第二特征参数,该方法还包括:PGW或边缘节点判断该第二特征参数和与该GTP-C消息对应的终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致;当所述第二特征参数和与所述GTP-C消息对应终端附着之前收到的create session request消息中携带的第二特征参数不一致时PGW或边缘节点确定该GTP-C消息不合法,所述第二特征参数包括以下参数中的至少一种:所述源IP地址和隧道端点标识符(TEID)。通过进一步判断GTP-C消息的终端用户的身份以及终端所属运营商的一致性,从而可进一步确定该GTP-C消息的合法性,保证通信安全。
在一个示例中,在PGW或边缘节点判断第二特征参数和终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致之前,该还包括:PGW或边缘节点判断终端是否附着;并在终端附着时,PGW或边缘节点执行判断第二特征参数和终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致的步骤;而在终端未附着时,PGW或边缘节点执行判断该IMSI是否属于预设漫游访问权限用户IMSI集合的步骤。在终端附着和不附着时执行不同的步骤,使GTP-C消息的判断流程更全面,防止信令攻击更强。
第二方面,本发明实施例提供一种防止信令攻击装置,该防止信令攻击装置具有实现上述第一方面的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,该防止信令攻击装置可以包括PGW。
在一个可能的设计中,该防止信令攻击装置可以包括边缘节点。
第三方面,本发明实施例提供一种防止信令攻击装置,该防止信令攻击装置包括处理器、接收器和发射器,所述处理器被配置为支持终端执行上述方法中相应的功能。所述接收器和发射器用于支持防止信令攻击装置与PGW之间的通信。进一步的,中继设备还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第四方面,本发明实施例提供一种计算机存储介质,用于储存为上述用于第二方面所述的防止信令攻击装置所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
相较于现有技术,本发明实施例提供的方案中,PGW或边缘节点接收到SGW发送的GTP-C消息后,通过在GTP-C消息从S8接口接收到时,判断该GTP-C消息中携带的特征参数是否合法,并在特征参数不合法时,丢弃该GTP-C消息或返回携带错误码原因值的GTP-C响应消息给SGW,从而能有效阻断黑客利用各个攻击路径对PGW进行攻击,提高通信安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的SGW与PGW通信的网络架构图;
图2是本发明实施例提供的一种信令攻击示意图;
图3是本发明实施例提供的S8接口协议栈;
图4是本发明实施例提供的一种防止信令攻击方法的流程示意图;
图5是本发明实施例提供的另一种防止信令攻击方法的流程示意图;
图6是本发明实施例提供的一种防止信令攻击装置的结构示意图;
图7为本发明实施例提供的另一种防止信令攻击装置的结构示意图。
具体实施方式
本发明实施例提供了一种防止信令攻击方法及装置,以期可以防止GTP-C信令攻击,提高通信安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先参见图1,图1是本发明实施例提供的SGW与PGW通信的网络架构图,其中,如图1所示,当SGW/PGW部署位于同一个运营商时,其接口称为S5接口,而当SGW和PGW属于不同的运营商时,其接口称为S8接口。
在本发明实施例中,SGW和PGW要通过S8接口相互通讯,必须满足如下条件:1、SGW所属运营商和PGW所属运营商必须签署了漫游协议;以及2、SGW发送给PGW的消息中的国际移动用户标识(International Mobile Subscriber Identification Number,简称IMSI)必须归属于PGW所属运营商,并且该用户具备在SGW所属运营商网络的漫游访问权限。
当SGW和PGW属于不同的运营商时,此时SGW和PGW属于不同的安全域,因此存在通过S8接口攻击对端网元的可能。
参见图2,图2是本发明实施例提供的一种信令攻击示意图。在图2所示的网络架构中,运营商B的PGW可以通过S8接口对运营商A的SGW进行如下攻击:
1、攻击路径1:黑客利用运营商B的SGW,通过S8接口向运营商A的PGW发送createsession request消息,其中IMSI参数任意填写,PGW为对应的IMSI分配的IP地址。
从而可能造成安全威胁1:消耗PGW CPU/内存资源,造成DOS攻击;或者,消耗PGWIP地址池,并且不会释放,当地址池耗尽时,将造成不能为正常的用户分配IP,从而无法访问网络。
2、攻击路径2:黑客利用运营商B的SGW,通过S8接口向运营商A的PGW发送createsession request消息,其中IMSI参数为已附着UE的IMSI。从而造成安全威胁2:已随着终端被强制退网,无法访问网络业务。
3、攻击路径3:黑客利用运营商B的SGW,通过S8接口向运营商A的PGW发送modifybearer request消息,其中IMSI参数为已附着用户终端的IMSI,PGW回响应消息表示承载修改成功。从而可造成安全威胁3:该终端的用户面下行链路(PGW->SGW)的数据被劫持到攻击者所在的机器上,造成用户隐私泄漏。
在本发明实施例中,为了保证S8接口上的信令安全,已在S8接口上部署Internet协议安全性IPSEC,以保护S8接口上的GTP-C信令安全,比如SGW和PGW之间的身份认证、IP层之上数据的完整性和机密性。参见图3,图3是本发明实施例提供的S8接口协议栈。但是由于上述三种攻击均属于IP层之上的GTP-C信令层面的攻击,即使PGW和SGW之间通过了身份认证,并且IP层之上保证了完整性和机密性,攻击者仍然可以通过发送正常的GTP-C信令发起攻击。因此,常规的IPSEC机制并不能防范这种攻击,需要考虑IP之上的应用层面(例如GTP-C层面)的保护。
参见图4,图4是本发明实施例提供的一种防止信令攻击方法的流程示意图,如图4所示,该方法可以包括以下步骤:
S401、接收服务网关(SGW)发送的基于通用分组无线服务技术(GPRS)隧道协议(GTP-C)消息。
在本发明实施例中,可以由PGW接收SGW发送的GTP-C消息,也可以由边缘节点(GTP-C aware)接收SGW发送的GTP-C消息。
可选地,该边缘节点可以为运营商网络的边界处部署的对GTP-C协议感知的防火墙。
具体地,在本发明实施例中,该GTP-C消息可以为create session request(IMSI,…)、modify bearer request(serving network,…)、delete session request(teid,…)消息等。
可选地,该GTP-C消息包括以下信息中的至少一种:
所述SGW的源IP地址、所述SGW的公共陆地移动网络标识(Public Land MobileNetwork ID,简称PLMN ID),用户的国际移动用户标识(IMSI)。
S402、判断所述GTP-C消息是否从S8接口接收。
在本发明实施例中,由于黑客在利用运营商B的SGW攻击运营商A的PGW时,都是通过S8接口发送GTP-C攻击消息,所以为了防止上述几种攻击,只需要对从S8接口接收到GTP-C消息进行合法性判断,而对于S5接口或其它安全接口接收到的消息时,则不需要进行安全性判断。
可选地,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址;
所述判断所述GTP-C消息是否从S8接口接收,包括:
判断所述源IP地址和接收所述GTP-C消息的公用数据网关(PGW)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述GTP-C消息的PGW或边缘节点的IP地址不属于同一网段时,确定接收所述GTP-C消息是从S8接口收到;或者,
判断所述源IP地址是否属于所述PGW或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述PGW或边缘节点所属运营商授权的IP地址集合时,确定所述GTP-C消息是从S8接口收到。
具体地,该IP地址集合可以存储在PGW或边缘节点中。
举例说明,在本发明的一个示例中,若SGW属于运营商B,则该IP地址集合为运营商B所支持的所有IP地址的集合。
具体地,该IP地址集合可以为各个独立的IP地址,例如,192.168.6.28,192.168.6.78等IP地址,也可以为某段IP地址,例如,用192.168.6.0表示从192.168.6.0至192.168.6.255之间的IP地址段。
可以理解,通过GTP-C消息是否从S8接口接收,可以只对PGW或边缘节点从S8接口接收到的GTP-C进行防攻击处理,提高防攻击效率。
S403、当所述GTP-C消息是从所述S8接口接收时,判断所述GTP-C消息的第一特征参数是否合法。
其中,所述第一特征参数包括以下参数中的至少一种:所述GTP-C消息的消息源端的标识、用户的国际移动用户标识(IMSI)。
其中,GTP-C消息的消息源端的标识是指用于表示发送该GTP-C消息的终端源所属的运营商信息,例如,若该消息为SGW发送的,则该GTP-C消息为SGW所属运营商的信息。
具体地,该GTP-C消息的消息源端可以用SGW的源IP地址或者SGW的PLMN ID表示。
其中,IMSI是用于唯一标识通过PGW发送GTP-C消息的终端用户的识别码。
具体地,由于GTP-C消息中将直接携带IMSI,或者携带TEID,从而所述IMSI通过所述GTP-C消息携带或通过所述GTP-C消息携带的隧道端点标识符(Tunnel endpointidentification,简称TEID)获取。
可选地,也可以在该GTP-C消息中包含其它用于唯一标识通过SGW发送该GTP-C消息的终端用户的识别码。
S404、若所述GTP-C消息的第一特征参数不合法,则丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
其中,错误码原因值是指用于反映该GTP-C消息的特征参数的不合法类型的数值,例如,当该GTP-C消息中携带的IMSI参数不合法时,将在GTP-C响应消息中携带某一错误码原因值用于表示该IMSI参数不合法,而当该GTP-C消息中的源IP参数不合法时,将可以在该GTP-C响应消息中携带另一错误码原因值用于表示该源IP参数不合法。
可选地,若该GTP-C消息的特征参数合法,此时说明该GTP-C消息合法,故此时可继续正常的业务处理。
可以看出,本实施例的方案中,PGW或边缘节点接收到SGW发送的GTP-C消息后,通过在GTP-C消息从S8接口接收到时,判断该GTP-C消息中携带的特征参数是否合法,并在特征参数不合法时,丢弃该GTP-C消息或返回携带错误码原因值的GTP-C响应消息给SGW,从而能有效阻断黑客利用各个攻击路径对PGW进行攻击,提高通信安全。
可选地,在本发明的一个实施例中,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址,所述第一特征参数包括所述GTP-C消息的消息源端的标识;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述源IP地址是否属于预设IP地址集合;当所述源IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识;或者,向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述源IP地址,以使所述MME和/或所述HSS判断所述源IP地址是否属于预设IP地址集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识。
可选地,当该GTP-C消息为modify bearer request且所述源IP地址属于预设IP地址集合时,确定所述标识属于合法标识。
可选地,当该GTP-C消息为create/delete session request时,且所述源IP地址属于预设IP地址集合时,继续执行其它判断GTP-C消息是否合法的步骤。
可选地,当该GTP-C消息为modify bearer request且所述运营商归属判断结果为所述源IP地址属于预设IP地址集合时确定所述GTP-C消息的源IP地址合法。
可选地,当该GTP-C消息为create/delete session request时,且所述运营商归属判断结果为所述源IP地址属于预设IP地址集合时继续执行其它判断GTP-C消息是否合法的步骤。
其中,该预设IP地址集合是指PGW所属运营商允许的漫游运营商授权的IP地址集合。
具体地,该预设IP地址集合可预先配置在PGW或边缘节点上。
更进一步,具体地,可以在PGW或边缘节点中配置PGW所属运营商允许的漫游运营商列表(对端SGW IP,对端公共陆地移动网络标识(Public Land Mobile Network ID,简称PLMN ID)),然后再判断该源IP地址是否在上述列表中。
具体地,该IP地址集合可以为各个独立的IP地址,例如,192.168.6.28,192.168.6.78等IP地址;也可以为某段IP地址,例如,用192.168.6.0表示从192.168.6.0至192.168.6.255之间的IP地址段。
具体地,该预设IP地址集合可预先配置在HSS或MME上。
更进一步,具体地,可以在HSS或MME中配置PGW所属运营商允许的漫游运营商列表(对端PGW IP,对端PLMN ID),然后PGW或边缘节点再将该源IP地址发送给HSS或MME,然后HSS或MME再判断该源IP地址是否在上述列表中得到运营商归属判断结果返回给PGW或边缘节点,当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合时确定所述GTP-C消息的源IP地址不合法。
可以理解,通过不同的方式判断源IP地址是否合法,使得防攻击方法更为灵活。
可选地,在本发明的一个实施例中,所述GTP-C消息还包括所述SGW的公共陆地移动网络号(PLMN ID),所述第一特征参数包含所述GTP-C消息的消息源端的标识;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述PLMN ID是否属于预设PLMN ID集合;当所述PLMN ID不属于预设PLMN ID集合时,确定所述GTP-C消息的标识属于不合法标识;或者,
向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述PLMN ID,以使所述MME和/或所述HSS判断所述PLMN ID是否属于预设PLMN ID集合接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述PLMN ID不属于预设PLMN ID时,确定所述标识属于不合法标识。
可选地,当该GTP-C消息为modify bearer request且所述PLMN ID属于预设PLMNID集合时,确定所述标识属于合法标识。
可选地,当该GTP-C消息为create/delete session request时,且所述PLMN ID属于预设PLMN ID集合时,继续执行其它判断GTP-C消息是否合法的步骤。
可选地,当该GTP-C消息为modify bearer request且所述运营商归属判断结果为所述PLMN ID属于预设PLMN ID集合时确定所述标识属于合法标识。
可选地,当该GTP-C消息为modify bearer request且所述运营商归属判断结果为所述PLMN ID属于预设PLMN ID集合时继续执行其它判断GTP-C消息是否合法的步骤。
具体地,该预设PLMN ID集合可预先配置在PGW或边缘节点上。
更进一步,具体地,可以在HSS或MME中配置PGW所属运营商允许的漫游运营商列表(对端PGW IP,对端PLMN ID),然后PGW或边缘节点再将该源IP地址发送给HSS或MME,然后HSS或MME再判断该源PLMN ID是否在上述列表中得到运营商归属判断结果返回给PGW或边缘节点,当所述运营商归属判断结果为所述PLMN ID不属于预设PLMN ID集合时确定所述标识属于不合法标识。
可以理解,通过不同的方式判断PLMN ID是否合法,使得防攻击方法更为灵活。
可选地,在本发明的一个实施例中,所述GTP-C消息包括IP以及PLMN ID,所述第一特征参数为所述GTP-C消息的消息源端的标识;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述IP地址是否属于预设IP地址集合且判断所述PLMN ID是否属于预设PLAMID集合;当所述源IP地址不属于预设IP地址集合和/或所述PLMN ID属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向归属签约用户服务器(HSS)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向移动管理节点功能(MME)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识。
举例说明,在本发明的一个示例中,当该GTP-C消息为create/delete sessionrequest,可以检查其源IP是否在上述列表。
举例说明,在本发明的另一个示例中,当该GTP-C消息为modify bearer request,检查其源IP和/或serving network参数(例如为PLMN ID)的MCC/MNC是否在上述列表中。
举例说明,在本发明的一个示例中,当该GTP-C消息为create/delete sessionrequest,可以将SGW的源IP发送给HSS或MME。
举例说明,在本发明的另一个示例中,当该GTP-C消息为modify bearer request时,可以将其源IP和/或serving network参数(例如为PLMN ID)的MCC/MNC发送给HSS或MME。
可以理解,由于GTP-C消息的源IP地址能够反映对端SGW的运营商,所以可通过源IP地址判断对端SGW是否在允许的漫游运营商列表中,以在对端SGW不是允许的漫游运营商列表时确定该GTP-C消息不合法,也即该GTP-C消息可能来自于黑客攻击,为了保证通信安全,此时将丢弃该消息,或进一步地,也可将携带错误码的GTP-C响应消息发送给SGW。
可选地,也可以通过其它可以反映GTP-C消息的网络号的参数来判断SGW所属的运营商是否为PGW允许的漫游运营商。
更进一步,具体地,可以通过在PGW或边缘节点(GTP-c aware)上预先配置允许的漫游运营商信息列表,该漫游运营商信息列表包括发送该GTP-C消息的对端SGW IP地址以对端SGW的PLMN ID,然后再检查该GTP-C消息中的SGW的源IP地址和/或PLMN ID是否在上述漫游运营商信息列表中,若SGW的源IP地址和/或PLMN ID属于上述漫游运营商信息列表中,则确定SGW所属的运营商为PGW授权的运营商,否则,若SGW的源IP地址和/或PLMN ID不属于上述漫游运营商信息列表中,则确定SGW所属的运营商不为PGW授权的运营商,也即该GTP-C消息可能来自于黑客攻击,为了保证通信安全,此时将丢弃该消息,或进一步地,也可将携带错误码的GTP-C响应消息发送给SGW。
或者,具体地,可在HSS和/或MME上预先配置允许的漫游运营商信息列表,该漫游运营商信息列表包括发送该GTP-C消息的对端SGW IP地址以对端SGW的PLMN ID,然后PGW或边缘节点(GTP-c aware)将对端SGW的源IP地址和/或PLMN ID发给HSS和/或MME,HSS和/或MME将判断该源IP地址和/或PLMN ID是否在该漫游运营商信息列表中得到运营商归属判断结果,并将该结果返回给PGW或边缘节点。若SGW的源IP地址和/或PLMN ID在该漫游运营商信息列表中,则确定SGW所属的运营商为PGW授权的运营商,否则,若SGW的源IP地址和/或PLMN ID不属于上述漫游运营商信息列表中,则确定SGW所属的运营商不为PGW授权的运营商,也即该GTP-C消息可能来自于黑客攻击,为了保证通信安全,此时将丢弃该消息,或进一步地,也可将携带错误码的GTP-C响应消息发送给SGW。
可以理解,由于SGW的IP地址和/或PLMN ID能够反映SGW所属的运营商,所以可通过SGW的IP地址和/或PLMN ID来确定SGW所属的运营商是否为PGW允许的漫游运营商,并进一步判断消息是否合法。
可选地,在本发明的一个实施例中,所述第一特征参数包括所述IMSI;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述IMSI是否为所述PGW所属运营商授权的IMSI;
当所述IMSI不为所述PGW所属运营商授权的IMSI时,确定所述GTP-C消息的IMSI为不合法IMSI。
具体地,PGW或边缘节点检查IMSI的移动国家码(Mobile Country Code,简称MCC)和/或移动网络号码(Mobile Network Code,简称MNC)是否和PGW所属MCC和/或MNC一致,从而判断该IMSI是否合法。
更进一步,具体地,可通过在PGW或边缘节点上预先配置PGW所属的MCC和/或MNC列表,然后再检查GTP-C消息中的IMSI的MCC和/或MNC是否在上述列表中,以判断该IMSI是否合法。
其中,移动国家码MCC资源由国际电联(ITU)统一分配和管理,唯一识别移动用户所属的国家,共3位,中国为460;移动网络号码MNC用于识别移动客户所属的移动网络,例如中国移动的MNC为00、02、04和07,中国联通的MNC为01、06,中国电信的MNC为03、05。
可以理解,由于IMSI为通过该SGW发送GTP-C消息的终端用户标识码,也即发送该GTP-C消息的消息源,从而通过GTP-C消息中的IMSI来判断GTP-C消息的合法性,能准确地判断该GTP-C是否为合法的终端用户所发送,防止黑客利用GTP-C信令恶意攻击,提高通信安全。
可选地,在本发明的一个实施例中,所述第一特征参数包括所述IMSI;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述IMSI是否有漫游访问权限;
当所述IMSI没有漫游访问权限时,确定所述GTP-C消息的IMSI为不合法IMSI。
其中,漫游访问权限是指在SGW与PGW属于不同运营商时,SGW的终端用户可以通过SGW访问PGW的访问权限。
可以理解,通过进一步判断IMSI是否有漫游访问权限来确定GTP-C消息是否合法,从而可以进一步提高防止GTP-C信令攻击安全性,提高通信安全。
具体地,在本发明的一个实施例中,所述判断所述IMSI是否有漫游访问权限,包括:
判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;当所述IMSI不属于预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;或者,
向所述HSS发送漫游访问权限判断请求,以使所述HSS判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述HSS返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;
向所述MME发送漫游访问权限判断请求,以使所述MME判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述MME返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI。
其中,预设漫游访问权限用户IMSI集合是指当SGW与PGW不属于同一运营商时,通过SGW发送该GTP-C消息的、具有访问PGW的权限的终端用户。
可选地,当所述IMSI属于预设漫游访问权限用户IMSI集合时或者所述漫游访问权限判断结果为所述IMSI属于所述预设漫游访问权限用户IMSI集合时,确定GTP-C消息的IMSI为合法IMSI。
具体地,在本发明的一个实施例中,可以通过在PGW上预先配置允许访问的预设漫游访问权限用户终端列表,然后再判断发送GTP-C消息的终端是否在该预设漫游访问权限用户终端列表中,以在该终端不为预设漫游访问权限用户终端时,确定所述GTP-C消息的IMSI为不合法IMSI,然后再丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
具体地,在本发明的另一个实施例中,可以HSS上部署预设漫游访问权限用户终端列表(该预设漫游访问权限用户终端列表为各用户终端的IMSI),然后由PGW向HSS发送漫游访问权限判断请求,该漫游访问权限判断请求中包括发送GTP-C消息的IMSI,该判断请求消息用于请求HSS判断该IMSI所对应的终端是否具有漫游访问权限,然后HSS通过该IMSI判断该终端是否为具有漫游访问权限的用户终端,并将漫游访问权限判断结果返回给PGW,以使PGW在所述第一终端不为预设漫游访问权限用户终端时,确定所述GTP-C消息的IMSI为不合法IMSI,然后再丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
具体在,在本发明的一个实施例中,可以在MME上部署预设漫游访问权限用户终端列表(该预设漫游访问权限用户终端列表为各用户终端的IMSI),然后由PGW向SGW发送漫游访问权限判断请求,SGW再将该漫游访问权限判断请求发送至MME,该漫游访问权限判断请求中包括终端的IMSI,该漫游访问权限判断结果用于请求MME判断该IMSI所对应的终端是否具有漫游访问权限,然后MME通过该IMSI判断该终端是否为具有漫游访问权限的用户终端,并将漫游访问权限判断结果通过SGW发送给PGW,以使PGW在该终端不为预设漫游访问权限用户终端时,确定所述GTP-C消息的IMSI为不合法IMSI,然后再丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
可以理解,通过判断SGW所属运营商网络的用户的漫游访问权限,可进一步确定该GTP-C消息的合法性,保证通信安全。
可选地,在本发明的一个实施例中,所述GTP-C消息包括第二特征参数,所述方法还包括:
判断所述第二特征参数和与所述GTP-C消息对应终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致;
当所述第二特征参数和所述终端附着之前收到的create session request消息中携带的第二特征参数不一致时确定所述GTP-C消息不合法,所述第二特征参数包括以下参数中的至少一种:所述源IP地址和隧道端点标识符(Tunnel endpoint identification,简称TEID)。
其中,源IP地址和TEID是分别用于标识GTP-C消息的终端用户的身份以及运营商。
具体地,该SGW信息(IP和/或teid)可以在Sender F-TEID for Control Plane信元中携带。
可选地,该第二特征参数也可以为PLMN ID和TEID。
可以理解,通过进一步判断GTP-C消息的终端用户的身份以及终端所属运营商的一致性,从而可进一步确定该GTP-C消息的合法性,保证通信安全。
可选地,在本发明的一个实施例中,在判断所述第二特征参数和所述终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致之前,所述方法还包括:
判断终端是否附着;
在终端附着时,执行判断所述第二特征参数和所述终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致的步骤;
在终端未附着时,执行判断所述IMSI是否属于预设漫游访问权限用户IMSI集合的步骤。
具体地,由该IMSI可以通过所述GTP-C消息携带或通过所述GTP-C消息携带的隧道端点标识符(Tunnel endpoint identification,简称TEID)获取。
可以理解,由于在终端附着,该IMSI附着于某个运营商,所以可判断该IMSI是否为PGW所属运营商授权的IMSI以判断GTP-C消息是否合法,而在该第一终端未附着时,则由于该终端不属于任何运营商,所以此时可通过判断该GTP-C消息中的SGW信息与以前附着于PGW的终端发送的create session request消息的SGW信息是否一致,以判断该GTP-C消息的合法性。
为了便于更好地理解和实施本发明实施例的上述方案,下面结合图5对本发明实施例进一步说明。
参见图5,图5为本发明实施例提供的另一种防止信令攻击方法的流程示意图。图5所示的方法中,与图4所示方法相同或类似的内容可以参考图4中的详细描述,此处不再赘述。如图5所示,该方法可以包括以下步骤:
S501、PGW接收SGW发送的GTP-C消息。
其中,该GTP-C消息中包括通过该SGW发送该GTP-C消息的第一终端的IMSI。
具体地,该IMSI包含在GTP-C消息的TEID中。
S502、判断该GTP-C消息是否从S8接口接收。
可选地,若该GTP-C消息不从S8接口接收,此时将执行步骤S509。
可选地,若该GTP-C消息从S8接口接收,此时将执行步骤S503。
S503、判断GTP-C消息的消息源端的标识是否合法。
可选地,若GTP-C消息的消息源端的标识合法,且该GTP-C消息为modify bearerrequest消息,此时将执行步骤S509。
可选地,若GTP-C消息的消息源端的标识合法,且该GTP-C消息为create/deletesession request消息,此时将执行步骤S504。
可选地,若GTP-C消息的消息源端的标识不合法,此时将执行步骤S508。
S504、判断该GTP-C消息对应终端是否已附着。
可选地,若该GTP-C消息对应终端已附着,此时将执行步骤S505。
可选地,若该GTP-C消息对应终端未已附着,此时将执行步骤S506。
S505、判断该GTP-C消息中SGW信息和与该GTP-C消息对应终端附着之前收到的创建会话请求create session request消息中携带的SGW信息是否一致。
其中,SGW信息可以为IP和/或TEID。
可选地,该GTP-C消息中SGW信息和与该GTP-C消息对应终端附着之前收到的创建会话请求create session request消息中携带的SGW信息不一致,此时将执行步骤S508。
可选地,该GTP-C消息中SGW信息和与该GTP-C消息对应终端附着之前收到的创建会话请求create session request消息中携带的SGW信息一致,此时将执行步骤S509。
S506、判断IMSI是否为PGW所属运营商授权的IMSI。
可选地,若该IMSI为PGW所属运营商授权的IMSI,此时将执行步骤S507。
可选地,若该IMSI不为PGW所属运营商授权的IMSI,此时将执行步骤S508。
S507、判断IMSI是否有漫游访问权限。
可选地,若IMSI有漫游访问权限,此时将执行步骤S509。
可选地,若IMSI没有漫游访问权限,此时将执行步骤S508。
S508、确定GTP-C消息不合法。
在本发明实施例中,此时PGW或边缘节点(GTP-c aware)将丢弃该GTP-C消息或返回携带错误码的GTP-C响应消息。
S509、确定GTP-C消息合法。
在本发明实施例中,此时PGW或边缘节点(GTP-c aware)将继续正常的业务处理。
需要说明,上述步骤S502、S503、S504、S505和S507均为可选的步骤,且步骤S504、S505和步骤S506的顺序可以互换,也即也可以先执行步骤S506,再执行步骤S504和S505;以及步骤S504、S505和步骤S506、S507的顺序可以互换,也即也可以先执行步骤S506和S507,再执行步骤S504和S505。
可以看出,本实施例的方案中,PGW或边缘节点接收到SGW发送的GTP-C消息后,通过在GTP-C消息从S8接口接收到时,判断该GTP-C消息中携带的特征参数是否合法,并在特征参数不合法时,丢弃该GTP-C消息或返回携带错误码原因值的GTP-C响应消息给SGW,从而能有效阻断黑客利用各个攻击路径对PGW进行攻击,提高通信安全。
参见图6,图6是本发明实施例提供的一种防止信令攻击装置的结构示意图,用于实现本发明实施例公开的防止信令攻击方法。其中,如图6所示,本发明实施例提供的一种防止信令攻击装置600可以包括:
接收模块610、判断模块620和响应模块630。
接收模块610,用于接收服务网关(SGW)发送的基于通用分组无线服务技术(GPRS)隧道协议(GTP-C)消息。
具体地,该防止信令攻击装置600可以为PGW或边缘节点,也即可以由PGW接收SGW发送的GTP-C消息,也可以由边缘节点(GTP-C aware)接收SGW发送的GTP-C消息。
可选地,该边缘节点可以为运营商网络的边界处部署的对GTP-C协议感知的防火墙。
具体地,在本发明实施例中,该GTP-C消息可以为create session request(IMSI,…)、modify bearer request(serving network,…)、delete session request(teid,…)消息等。
可选地,该GTP-C消息包括以下信息中的至少一种:
所述SGW的源IP地址、所述SGW的公共陆地移动网络标识(Public Land MobileNetwork ID,简称PLMN ID),用户的国际移动用户标识(IMSI)。
判断模块620,用于判断所述GTP-C消息是否从S8接口接收。
在本发明实施例中,由于黑客在利用运营商B的SGW攻击运营商A的PGW时,都是通过S8接口发送GTP-C攻击消息,所以为了防止上述几种攻击,只需要对从S8接口接收到GTP-C消息进行合法性判断,而对于S5接口或其它安全接口接收到的消息时,则不需要进行安全性判断。
可选地,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址;
所述判断模块620判断所述GTP-C消息是否从S8接口接收时具体为:
判断所述源IP地址和接收所述GTP-C消息的公用数据网关(PGW)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述GTP-C消息的PGW或边缘节点的IP地址不属于同一网段时,确定接收所述GTP-C消息是从S8接口收到;或者,
判断所述源IP地址是否属于所述PGW或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述PGW或边缘节点所属运营商授权的IP地址集合时,确定所述GTP-C消息是从S8接口收到。
可选地,该IP地址集体可以存储在该防止信令攻击装置600中。
具体地,该IP地址集合可以存储在PGW或边缘节点中。
所述判断模块620,还用于:当所述GTP-C消息是从所述S8接口接收时,判断所述GTP-C消息的第一特征参数是否合法,所述第一特征参数包括以下参数中的至少一种:所述GTP-C消息的消息源端、用户的国际移动用户标识(IMSI)。
响应模块630,用于若所述GTP-C消息的第一特征参数不合法,则丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
可选地,在本发明的一个实施例中,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址,所述第一特征参数包括所述GTP-C消息的消息源端的标识;
所述判断模块620判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述源IP地址是否属于预设IP地址集合;当所述源IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识;或者,向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述源IP地址,以使所述MME和/或所述HSS判断所述源IP地址是否属于预设IP地址集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识。
可选地,在本发明的一个实施例中,所述GTP-C消息还包括所述SGW的公共陆地移动网络号(PLMN ID),所述第一特征参数包含所述GTP-C消息的消息源端的标识;
所述判断模块620判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述PLMN ID是否属于预设PLMN ID集合;当所述PLMN ID不属于预设PLMN ID集合时,确定所述GTP-C消息的标识属于不合法标识;或者,
向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述PLMN ID,以使所述MME和/或所述HSS判断所述PLMN ID是否属于预设PLMN ID集合接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述PLMN ID不属于预设PLMN ID时,确定所述标识属于不合法标识。
其中,该预设IP地址集合是指PGW所属运营商允许的漫游运营商授权的IP地址集合。
其中,该预设PLMN ID集合可预先配置在PGW或边缘节点上。
具体地,该预设IP地址集合可预先配置在PGW或边缘节点上。
可选地,在本发明的一个实施例中,所述GTP-C消息还包括PLMN ID,所述第一特征参数为所述GTP-C消息的消息源端的标识;
所述判断模块620判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述IP地址是否属于预设IP地址集合且判断所述PLMN ID是否属于预设PLAMID集合;当所述源IP地址不属于预设IP地址集合和/或所述PLMN ID属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向归属签约用户服务器(HSS)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向移动管理节点功能(MME)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识。
可选地,在本发明的一个实施例中,所述第一特征参数包括所述IMSI;
所述判断模块620判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述IMSI是否为所述PGW所属运营商授权的IMSI;
当所述IMSI不为所述PGW所属运营商授权的IMSI时,确定所述GTP-C消息的IMSI为不合法IMSI。
可选地,在本发明的一个实施例中,所述第一特征参数包括所述IMSI;
所述判断模块620判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述IMSI是否有漫游访问权限;
当所述IMSI没有漫游访问权限时,确定所述GTP-C消息的IMSI为不合法IMSI。
其中,IMSI是用于唯一标识通过PGW发送GTP-C消息的终端用户的识别码。
具体地,由于GTP-C消息中将直接携带IMSI,或者携带TEID,从而所述IMSI通过所述GTP-C消息携带或通过所述GTP-C消息携带的TEID获取。
可选地,在本发明的一个实施例中,所述判断模块620判断所述IMSI是否有漫游访问权限具体为:
判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;当所述IMSI不属于预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;或者,
向所述HSS发送漫游访问权限判断请求,以使所述HSS判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述HSS返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;
向所述MME发送漫游访问权限判断请求,以使所述MME判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述MME返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI。
可选地,在本发明的一个实施例中,所述GTP-C消息包括第二特征参数,所述判断模块620还用于:
判断所述第二特征参数和所述终端附着之前收到的创建会话请求createsession request消息中携带的第二特征参数是否一致;
当所述第二特征参数和与所述GTP-C消息对应终端附着之前收到的createsession request消息中携带的第二特征参数不一致时确定所述GTP-C消息不合法,所述第二特征参数包括以下参数中的至少一种:所述源IP地址和隧道端点标识符(TEID)。
可选地,在本发明的一个实施例中,在判断所述第二特征参数和所述终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致之前,所述方法还包括:
判断终端是否附着;
在终端附着时,执行判断所述第二特征参数和所述终端附着之前收到的创建会话请求create session request消息中携带的第二特征参数是否一致的步骤;
在终端未附着时,执行判断所述IMSI是否属于预设漫游访问权限用户IMSI集合的步骤。
可以看出,本实施例的方案中,防信令攻击装置600(具体为PGW或边缘节点)接收到SGW发送的GTP-C消息后,通过在GTP-C消息从S8接口接收到时,判断该GTP-C消息中携带的特征参数是否合法,并在特征参数不合法时,丢弃该GTP-C消息或返回携带错误码原因值的GTP-C响应消息给SGW,从而能有效阻断黑客利用各个攻击路径对PGW进行攻击,提高通信安全。
在本实施例中,防信令攻击装置600是以单元的形式来呈现。这里的“单元”可以指特定应用集成电路(application-specific integrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
可以理解的是,本实施例的防信令攻击装置600的各功能单元的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
参见图7,参见图7,图7为本发明实施例提供的另一种防止信令攻击装置的结构示意图,如图7所示,该防止信令攻击装置700包括:
发射器/接收器701和处理器702。其中,处理器702也可以为控制器,图7中表示为“控制器/处理器702”。所述发射器/接收器701用于支持防止信令攻击装置700(具体可以为PGW或边缘节点)与上述实施例中的所述SGW之间收发信息,以及支持所述PGW与其他设备之间进行无线电通信。所述处理器702执行各种用于与防止信令攻击装置700通信的功能。在上行链路,来自所述SGW的上行链路信号经由天线接收,由接收器701进行解调(例如将高频信号解调为基带信号),并进一步由处理器702进行处理来恢复防止信令攻击装置700所发送到业务数据和信令信息。在下行链路上,业务数据和信令消息由处理器702进行处理,并由发射器701进行调制(例如将基带信号调制为高频信号)来产生下行链路信号,并经由天线发射给SGW。需要说明的是,上述解调或调制的功能也可以由处理器702完成。例如,处理器702还用于执行上述方法实施例中的相应步骤,和/或本发明实施例所描述的技术方案的其他过程。
进一步的,防止信令攻击装置700还可以包括存储器703,存储器703用于存储防止信令攻击装置700的程序代码和数据。此外,防止信令攻击装置700还可以包括通信单元704。通信单元704用于支持防止信令攻击装置与其他网络实体(例如核心网中的网络设备等)进行通信。例如,在LTE系统中,该通信单元704也可以是S1-MME接口,用于支持防止信令攻击装置与移动性管理实体(Mobility Management Entity,MME)进行通信。
可以理解的是,图7仅仅示出了防止信令攻击装置700的简化设计。在实际应用中,防止信令攻击装置700可以包含任意数量的发射器,接收器,处理器,控制器,存储器,通信单元等,而所有可以实现本发明实施例的防止信令攻击装置都在本发明实施例的保护范围之内。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的任何防止信令攻击方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明的各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (18)
1.一种防止信令攻击方法,其特征在于,所述方法包括:
接收服务网关(SGW)发送的基于通用分组无线服务技术(GPRS)隧道协议(GTP-C)消息;
判断所述GTP-C消息是否从S8接口接收;
当所述GTP-C消息是从所述S8接口接收时,判断所述GTP-C消息的第一特征参数是否合法,所述第一特征参数包括以下参数中的至少一种:所述GTP-C消息的消息源端的标识、用户的国际移动用户标识(IMSI);
若所述GTP-C消息的第一特征参数不合法,则丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
2.根据权利要求1所述的方法,其特征在于,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址;
所述判断所述GTP-C消息是否从S8接口接收,包括:
判断所述源IP地址和接收所述GTP-C消息的公用数据网关(PGW)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述GTP-C消息的PGW或边缘节点的IP地址不属于同一网段时,确定接收所述GTP-C消息是从S8接口收到;或者,
判断所述源IP地址是否属于所述PGW或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述PGW或边缘节点所属运营商授权的IP地址集合时,确定所述GTP-C消息是从S8接口收到。
3.根据权利要求1或2所述的方法,其特征在于,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址,所述第一特征参数包括所述GTP-C消息的消息源端的标识;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述源IP地址是否属于预设IP地址集合;当所述源IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识;或者,向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述源IP地址,以使所述MME和/或所述HSS判断所述源IP地址是否属于预设IP地址集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述GTP-C消息还包括所述SGW的公共陆地移动网络号(PLMN ID),所述第一特征参数包含所述GTP-C消息的消息源端的标识;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述PLMN ID是否属于预设PLMN ID集合;当所述PLMN ID不属于预设PLMN ID集合时,确定所述GTP-C消息的标识属于不合法标识;或者,
向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述PLMN ID,以使所述MME和/或所述HSS判断所述PLMN ID是否属于预设PLMN ID集合,接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述PLMN ID不属于预设PLMN ID时,确定所述标识属于不合法标识。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述GTP-C消息还包括PLMN ID以及所述SGW的源互联网协议号(IP)地址,所述第一特征参数为所述GTP-C消息的消息源端的标识;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述IP地址是否属于预设IP地址集合且判断所述PLMN ID是否属于预设PLAM ID集合;当所述源IP地址不属于预设IP地址集合和/或所述PLMN ID属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向归属签约用户服务器(HSS)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向移动管理节点功能(MME)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识为不合法标识。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述第一特征参数包括所述IMSI;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述IMSI是否为所述PGW所属运营商授权的IMSI;
当所述IMSI不为所述PGW所属运营商授权的IMSI时,确定所述GTP-C消息的IMSI为不合法IMSI。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述第一特征参数包括所述IMSI;
所述判断所述GTP-C消息的第一特征参数是否合法,包括:
判断所述IMSI是否有漫游访问权限;
当所述IMSI没有漫游访问权限时,确定所述GTP-C消息的IMSI为不合法IMSI。
8.根据权利要求7所述的方法,其特征在于,所述判断所述IMSI是否有漫游访问权限,包括:
判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;当所述IMSI不属于预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;或者,
向所述HSS发送漫游访问权限判断请求,以使所述HSS判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述HSS返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;或者,
向所述MME发送漫游访问权限判断请求,以使所述MME判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述MME返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI。
9.根据权利要求1至8任一项所述的方法,其特征在于,所述GTP-C消息包括第二特征参数和所述SGW的源互联网协议号(IP)地址,所述方法还包括:
判断所述第二特征参数和所述终端附着之前收到的创建会话请求create sessionrequest消息中携带的第二特征参数是否一致;
当所述第二特征参数和与所述GTP-C消息对应终端附着之前收到的create sessionrequest消息中携带的第二特征参数不一致时确定所述GTP-C消息不合法,所述第二特征参数包括以下参数中的至少一种:所述源IP地址和隧道端点标识符(TEID)。
10.一种防止信令攻击装置,其特征在于,所述装置包括:
接收模块,用于接收服务网关(SGW)发送的基于通用分组无线服务技术(GPRS)隧道协议(GTP-C)消息;
判断模块,用于判断所述GTP-C消息是否从S8接口接收;
所述判断模块,还用于:当所述GTP-C消息是从所述S8接口接收时,判断所述GTP-C消息的第一特征参数是否合法,所述第一特征参数包括以下参数中的至少一种:所述GTP-C消息的消息源端、用户的国际移动用户标识(IMSI);
响应模块,用于若所述GTP-C消息的第一特征参数不合法,则丢弃所述GTP-C消息或返回携带错误码原因值的GTP-C响应消息给所述SGW。
11.根据权利要求10所述的装置,其特征在于,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址;
所述判断模块判断所述GTP-C消息是否从S8接口接收时具体为:
判断所述源IP地址和接收所述GTP-C消息的公用数据网关(PGW)或边缘节点的IP地址是否属于同一网段;当所述源IP地址和接收所述GTP-C消息的PGW或边缘节点的IP地址不属于同一网段时,确定接收所述GTP-C消息是从S8接口收到;或者,
判断所述源IP地址是否属于所述PGW或边缘节点所属运营商授权的IP地址集合;当所述源IP地址不属于所述PGW或边缘节点所属运营商授权的IP地址集合时,确定所述GTP-C消息是从S8接口收到。
12.根据权利要求10或11所述的装置,其特征在于,所述GTP-C消息还包括所述SGW的源互联网协议号(IP)地址,所述第一特征参数包括所述GTP-C消息的消息源端的标识;
所述判断模块判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述源IP地址是否属于预设IP地址集合;当所述源IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识;或者,向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述源IP地址,以使所述MME和/或所述HSS判断所述源IP地址是否属于预设IP地址集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述IP地址不属于预设IP地址集合时,确定所述标识不属于合法标识。
13.根据权利要求10至12任一项所述的装置,其特征在于,所述GTP-C消息还包括所述SGW的公共陆地移动网络号(PLMN ID),所述第一特征参数包含所述GTP-C消息的消息源端的标识;
所述判断模块判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述PLMN ID是否属于预设PLMN ID集合;当所述PLMN ID不属于预设PLMN ID集合时,确定所述GTP-C消息的标识属于不合法标识;或者,
向归属签约用户服务器(HSS)和/或移动管理节点功能(MME)发送所述PLMN ID,以使所述MME和/或所述HSS判断所述PLMN ID是否属于预设PLMN ID集合,接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属结果为所述PLMN ID不属于预设PLMN ID时,确定所述标识属于不合法标识。
14.根据权利要求10至13任一项所述的装置,其特征在于,所述GTP-C消息还包括PLMNID和所述SGW的源互联网协议号(IP)地址,所述第一特征参数为所述GTP-C消息的消息源端的标识;
所述判断模块判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述IP地址是否属于预设IP地址集合且判断所述PLMN ID是否属于预设PLAM ID集合;当所述源IP地址不属于预设IP地址集合和/或所述PLMN ID属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向归属签约用户服务器(HSS)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识;或者,
向移动管理节点功能(MME)发送所述源IP地址以及所述PLMN ID,以使所述HSS判断所述IP地址是否属于预设IP地址集合和/或判断所述PLMN ID是否属于预设PLMN ID集合;接收所述MME和/或所述HSS返回的所述运营商归属判断结果;当所述运营商归属判断结果为所述源IP地址不属于预设IP地址集合和/或所述PLMN ID不属于预设PLMN ID集合时,确定所述标识属于不合法标识。
15.根据权利要求10至14任一项所述的装置,其特征在于,所述第一特征参数包括所述IMSI;
所述判断模块判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述IMSI是否为所述PGW所属运营商授权的IMSI;
当所述IMSI不为所述PGW所属运营商授权的IMSI时,确定所述GTP-C消息的IMSI为不合法IMSI。
16.根据权利要求10至15任一项所述的装置,其特征在于,所述第一特征参数包括所述IMSI;
所述判断模块判断所述GTP-C消息的第一特征参数是否合法具体为:
判断所述IMSI是否有漫游访问权限;
当所述IMSI没有漫游访问权限时,确定所述GTP-C消息的IMSI为不合法IMSI。
17.根据权利要求16所述的装置,其特征在于,所述判断模块判断所述IMSI是否有漫游访问权限具体为:
判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;当所述IMSI不属于预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;或者,
向所述HSS发送漫游访问权限判断请求,以使所述HSS判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述HSS返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI;或者,
向所述MME发送漫游访问权限判断请求,以使所述MME判断所述IMSI是否属于预设漫游访问权限用户IMSI集合;接收所述MME返回的所述漫游访问权限判断结果;当所述漫游访问权限判断结果为所述IMSI不属于所述预设漫游访问权限用户IMSI集合时,确定所述GTP-C消息的IMSI为不合法IMSI。
18.根据权利要求10至17任一项所述的装置,其特征在于,所述GTP-C消息包括第二特征参数和所述SGW的源互联网协议号(IP)地址,所述判断模块还用于:
判断所述第二特征参数和所述终端附着之前收到的创建会话请求create sessionrequest消息中携带的第二特征参数是否一致;
当所述第二特征参数和与所述GTP-C消息对应终端附着之前收到的create sessionrequest消息中携带的第二特征参数不一致时确定所述GTP-C消息不合法,所述第二特征参数包括以下参数中的至少一种:所述源IP地址和隧道端点标识符(TEID)。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610796869.0A CN108307385B (zh) | 2016-08-31 | 2016-08-31 | 一种防止信令攻击方法及装置 |
| PCT/CN2017/080347 WO2018040565A1 (zh) | 2016-08-31 | 2017-04-13 | 一种防止信令攻击方法及装置 |
| EP17844873.4A EP3496439B1 (en) | 2016-08-31 | 2017-04-13 | Method and device for preventing signaling attack |
| US16/289,106 US10972917B2 (en) | 2016-08-31 | 2019-02-28 | Signaling attack prevention method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610796869.0A CN108307385B (zh) | 2016-08-31 | 2016-08-31 | 一种防止信令攻击方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108307385A true CN108307385A (zh) | 2018-07-20 |
| CN108307385B CN108307385B (zh) | 2021-06-29 |
Family
ID=61300142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610796869.0A Active CN108307385B (zh) | 2016-08-31 | 2016-08-31 | 一种防止信令攻击方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10972917B2 (zh) |
| EP (1) | EP3496439B1 (zh) |
| CN (1) | CN108307385B (zh) |
| WO (1) | WO2018040565A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114902714A (zh) * | 2019-12-31 | 2022-08-12 | 甲骨文国际公司 | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE112018000995B4 (de) * | 2017-02-24 | 2021-10-28 | Kyocera Corporation | Funkkommunikationsvorrichtung und steuerverfahren davon |
| US10834136B2 (en) | 2017-06-15 | 2020-11-10 | Palo Alto Networks, Inc. | Access point name and application identity based security enforcement in service provider networks |
| US10721272B2 (en) | 2017-06-15 | 2020-07-21 | Palo Alto Networks, Inc. | Mobile equipment identity and/or IOT equipment identity and application identity based security enforcement in service provider networks |
| US10812532B2 (en) | 2017-06-15 | 2020-10-20 | Palo Alto Networks, Inc. | Security for cellular internet of things in mobile networks |
| US11050789B2 (en) | 2017-06-15 | 2021-06-29 | Palo Alto Networks, Inc. | Location based security in service provider networks |
| US10708306B2 (en) * | 2017-06-15 | 2020-07-07 | Palo Alto Networks, Inc. | Mobile user identity and/or SIM-based IoT identity and application identity based security enforcement in service provider networks |
| US11265700B2 (en) * | 2018-11-30 | 2022-03-01 | Qualcomm Incorporated | Methods and systems for detecting and responding to paging channel attacks |
| US11284459B2 (en) | 2020-05-29 | 2022-03-22 | Ibasis, Inc. | Data access security |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101163264A (zh) * | 2007-11-14 | 2008-04-16 | 中兴通讯股份有限公司 | 一种移动通信系统中的数据业务接入控制方法 |
| CN101888635A (zh) * | 2010-06-30 | 2010-11-17 | 中兴通讯股份有限公司 | 一种检测伪造gtp数据的方法和信令监测系统 |
| CN101997836A (zh) * | 2009-08-13 | 2011-03-30 | 西门子(中国)有限公司 | 用于操作分组数据协议上下文的方法和装置 |
| CN102638442A (zh) * | 2011-02-15 | 2012-08-15 | 西门子公司 | 检测gtp攻击的系统和方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030081607A1 (en) * | 2001-10-30 | 2003-05-01 | Alan Kavanagh | General packet radio service tunneling protocol (GTP) packet filter |
| US8948019B2 (en) * | 2011-12-12 | 2015-02-03 | Korea Internet & Security Agency | System and method for preventing intrusion of abnormal GTP packet |
| WO2014009439A1 (en) * | 2012-07-10 | 2014-01-16 | Nec Europe Ltd. | Reporting user related information in a mobile communication network |
| JP5966092B2 (ja) * | 2012-11-14 | 2016-08-10 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | コンテンツベースの過負荷保護 |
| US8982842B2 (en) | 2012-11-16 | 2015-03-17 | Tektronix, Inc. | Monitoring 3G/4G handovers in telecommunication networks |
| CN104427483B (zh) * | 2013-09-03 | 2018-06-26 | 中国移动通信集团广东有限公司 | 一种通过lte网络实现漫游的方法及系统 |
| US10771475B2 (en) | 2015-03-23 | 2020-09-08 | Extreme Networks, Inc. | Techniques for exchanging control and configuration information in a network visibility system |
| US10530688B2 (en) * | 2015-06-17 | 2020-01-07 | Extreme Networks, Inc. | Configuration of load-sharing components of a network visibility router in a network visibility system |
| US10243813B2 (en) * | 2016-02-12 | 2019-03-26 | Extreme Networks, Inc. | Software-based packet broker |
| US9942780B2 (en) | 2016-08-25 | 2018-04-10 | Ibasis, Inc. | Automated action based on roaming satisfaction indicator |
-
2016
- 2016-08-31 CN CN201610796869.0A patent/CN108307385B/zh active Active
-
2017
- 2017-04-13 WO PCT/CN2017/080347 patent/WO2018040565A1/zh unknown
- 2017-04-13 EP EP17844873.4A patent/EP3496439B1/en active Active
-
2019
- 2019-02-28 US US16/289,106 patent/US10972917B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101163264A (zh) * | 2007-11-14 | 2008-04-16 | 中兴通讯股份有限公司 | 一种移动通信系统中的数据业务接入控制方法 |
| CN101997836A (zh) * | 2009-08-13 | 2011-03-30 | 西门子(中国)有限公司 | 用于操作分组数据协议上下文的方法和装置 |
| CN101888635A (zh) * | 2010-06-30 | 2010-11-17 | 中兴通讯股份有限公司 | 一种检测伪造gtp数据的方法和信令监测系统 |
| CN102638442A (zh) * | 2011-02-15 | 2012-08-15 | 西门子公司 | 检测gtp攻击的系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| BHANU TEJA KOTTE: "Analysis and Experimental Verification of Diameter Attacks in Long Term Evolution Networks", 《MASTER"S THESIS》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114902714A (zh) * | 2019-12-31 | 2022-08-12 | 甲骨文国际公司 | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 |
| CN114902714B (zh) * | 2019-12-31 | 2023-11-24 | 甲骨文国际公司 | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3496439A4 (en) | 2019-08-07 |
| EP3496439B1 (en) | 2023-04-26 |
| US10972917B2 (en) | 2021-04-06 |
| CN108307385B (zh) | 2021-06-29 |
| US20190200233A1 (en) | 2019-06-27 |
| EP3496439A1 (en) | 2019-06-12 |
| WO2018040565A1 (zh) | 2018-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108307385A (zh) | 一种防止信令攻击方法及装置 | |
| CN107800664B (zh) | 一种防止信令攻击方法及装置 | |
| CN106376003B (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
| CN102017677B (zh) | 通过非3gpp接入网的接入 | |
| CN105828413B (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| CN103491076B (zh) | 一种网络攻击的防范方法和系统 | |
| CN106332067A (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| CN103313239B (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| EP3818740B1 (en) | Method and system for integrity protection of user plane signaling messages in wireless network | |
| CN107438074A (zh) | 一种DDoS攻击的防护方法及装置 | |
| CN109788474A (zh) | 一种消息保护的方法及装置 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| US20220279471A1 (en) | Wireless communication method for registration procedure | |
| CN112752306A (zh) | 一种业务分流方法、终端、系统和存储介质 | |
| CN110870256B (zh) | 用于操作电信网络的方法、系统和计算机可读介质 | |
| US9730074B2 (en) | System, methods and apparatuses for providing network access security control | |
| US8761007B1 (en) | Method and apparatus for preventing a mobile device from creating a routing loop in a network | |
| KR102489245B1 (ko) | 무선 통신 시스템에서 규칙 정보를 전송하는 방법 및 장치. | |
| US11722890B2 (en) | Methods and systems for deriving cu-up security keys for disaggregated gNB architecture | |
| WO2017108009A1 (zh) | Diameter信令发送方法和装置 | |
| CN105052183A (zh) | 近距离发现方法和装置 | |
| WO2018040568A1 (zh) | 一种防止信令攻击方法及装置 | |
| Kim et al. | Towards Securing Availability in 5G: Analyzing the Injection Attack Impact on Core Network | |
| Kitana | Impact of mobile botnet on long term evolution networks: a distributed denial of service attack perspective | |
| Jingade | Research, analysis, and implementation of security attacks in 5G and IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |