CN111163033B - 消息转发方法、装置、通信网元及计算机可读存储介质 - Google Patents
消息转发方法、装置、通信网元及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111163033B CN111163033B CN201811215259.2A CN201811215259A CN111163033B CN 111163033 B CN111163033 B CN 111163033B CN 201811215259 A CN201811215259 A CN 201811215259A CN 111163033 B CN111163033 B CN 111163033B
- Authority
- CN
- China
- Prior art keywords
- network element
- network
- request message
- terminal device
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W68/00—User notification, e.g. alerting and paging, for incoming communication, change of service or the like
- H04W68/02—Arrangements for increasing efficiency of notification or paging channel
Abstract
本申请实施例提供一种消息转发方法、装置及通信网元,该方法包括:接收第一网元发送的第一请求消息,该第一请求消息用于请求对终端设备进行位置更新。根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信,再根据上述第一网元是否可信,确定是否转发上述第一请求消息。其中,上述第二网元为在上述第一网元发送上述第一请求消息前上述终端设备所在网络的网元。该方法根据第一网元和第二网元是否为相关网元,确定第一网元是否可信,并在第一网元不可信时,拦截第一请求消息,从而阻止攻击者利用不可信的第一网元的攻击行为,保证了终端设备的安全。
Description
技术领域
本申请实施例涉及通信技术,尤其涉及一种消息转发方法、装置及通信网元。
背景技术
信令网是移动通信网络的重要组成部分,是公共信道信令系统传送信令的专用数据支撑网。移动通信网络中的网元可以通过信令网进行信令转接。一些信令网,例如7号信令网 (Signaling System No.7,SS7)和Diameter信令网,是基于信任的网络,对于这些信令网来说,接收到的数据请求均是可信任的。而随着移动通信网络的不断发展,接入信令网的网元越来越多,可能会出现攻击者通过接入信令网对终端设备发起攻击的情况。其中,一种可能的攻击方式为:攻击者仿冒终端设备漫游地服务器,向归属域发起位置更新消息,欺骗归属域设备将终端设备的短信和呼叫路由到攻击者所控制的设备上,以达到监听呼叫内容或者获取验证码的目的。这种攻击可能造成用户信息的严重泄露,产生重大的安全问题。
因此,如何应对攻击者的上述攻击行为,避免终端设备遭受攻击,是亟待解决的问题。
发明内容
本申请实施例第一方面提供一种消息转发方法,该方法包括:
接收第一网元发送的第一请求消息,该第一请求消息用于请求对终端设备进行位置更新。根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信,再根据上述第一网元是否可信,确定是否转发上述第一请求消息。其中,上述第二网元为在上述第一网元发送上述第一请求消息前上述终端设备所在网络的网元。
该方法中,根据第一网元和第二网元是否为相关网元,确定第一网元是否可信,并在第一网元不可信时,拦截第一请求消息,从而阻止攻击者利用不可信的第一网元的攻击行为,保证了终端设备的安全。
在一种可能的设计中,可以通过如下方式确定第一网元是否可信:
若上述第一网元和上述第二网元之间满足下述第一条件中的至少一项,则确定上述第一网元和第二网元为相关网元,进而,若上述第一网元和第二网元为相关网元,则确定上述第一网元可信。
其中,上述的第一条件,包括:
在第一预设时段内,上述第一网元和上述第二网元之间的位置更新次数达到预设次数。
在上述第一预设时段内,上述第一网元和上述第二网元之间的位置更新的数据符合正态分布。
在第二预设时段内,上述第一网元至上述第二网元的位置更新次数与上述第二网元至上述第一网元的位置更新次数的第一差值小于第一预设差值。
在一种可能的设计中,上述根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信,包括:
若上述第一网元和上述第二网元不为相关网元,则根据对上述终端设备的寻呼响应信息,确定上述第一网元是否可信。
在一种可能的设计中,上述根据对上述终端设备的寻呼响应信息,确定上述第一网元是否可信,包括:
若上述寻呼响应信息指示上述终端设备位于上述第二网元,则确定上述第一网元不可信。
在一种可能的设计中,上述根据对上述终端设备的寻呼响应信息,确定上述第一网元是否可信,包括:
若上述寻呼响应信息所指示的时长大于零,则根据上述所指示的时长以及上述第一网元和上述第二网元之间的位置更新的时间间隔,确定上述第一网元是否可信。
在一种可能的设计中,上述根据上述所指示的时长以及上述第一网元和上述第二网元之间的位置更新的时间间隔,确定上述第一网元是否可信,包括:
若上述所指示的时长与上述时间间隔的第二差值小于第二预设差值,则确定上述第一网元不可信。
在一种可能的设计中,在根据上述第一网元与第二网元是否为相关网元,确定第一网元是否可信之前,还可以查询预先保存的第二网元的标识。
在一种可能的设计中,在根据上述第一网元与第二网元是否为相关网元,确定第一网元是否可信之前,还可以从第三网元获取所述第二网元的标识。
在一种可能的设计中,可以通过如下方式从第三网元获取所述第二网元的标识:
向上述第三网元发送第二请求消息,上述第二请求消息用于请求获取上述第二网元的标识。
接收上述第三网元发送的上述第二网元的标识。
在一种可能的设计中,还包括:
向上述第二网元发送第三请求消息,上述第三请求消息用于请求上述第二网元对上述终端设备发起寻呼。
接收上述第二网元发送的寻呼响应信息。
在一种可能的设计中,还可以通过如下方式从第三网元获取所述第二网元的标识:
向上述第三网元发送第四请求消息,上述第四请求消息用于请求获取上述第二网元的标识,以及,请求上述第三网元指示上述第二网元对上述终端设备发起寻呼。
接收上述第三网元发送的上述第二网元的标识,以及上述终端设备的寻呼响应信息。
本申请实施例第二方面提供一种消息转发装置,该装置可以是通信网元,也可以是能够支持通信网元执行上述第一方面设计示例中的通信网元所执行的相应功能的装置,例如该装置可以是通信网元中的装置或者芯片系统,该装置可以包括接收模块和处理模块,这些模块可以执行上述第一方面设计示例中的通信网元所执行的相应功能,具体的:
接收模块,用于接收第一网元发送的第一请求消息,上述第一请求消息用于请求对终端设备进行位置更新。
处理模块,用于根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信。其中,上述第二网元为在上述第一网元发送上述第一请求消息前上述终端设备所在网络的网元。
处理模块,还用于根据上述第一网元是否可信,确定是否转发上述第一请求消息。
在一种可能的设计中,根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信的方法,以及获取第二网元的标识的方法可以参见第一方面中的具体描述,此处不再具体限定。
本申请实施例第三方面提供一种通信网元,所述通信网元包括处理器,用于实现上述第一方面描述的方法中的功能。所述通信网元还可以包括存储器,用于存储程序指令和数据。所述存储器与所述处理器耦合,所述处理器可以调用并执行所述存储器中存储的程序指令,用于实现上述第一方面描述的方法中通信网元的功能。所述通信网元还可以包括通信接口,所述通信接口用于该通信网元与其它设备进行通信。示例性地,该其它设备为第一网元。
在一种可能的设计中,该通信网元包括:
通信接口;
存储器,用于存储程序指令;
处理器,用于接收第一网元发送的第一请求消息,以及,根据第一网元与第二网元是否为相关网元,确定第一网元是否可信,以及,根据第一网元是否可信,确定是否转发第一请求消息。
在一种可能的设计中,根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信的方法,以及获取第二网元的标识的方法可以参见第一方面中的具体描述,此处不再具体限定。
本申请实施例第四方面提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,还可以包括通信接口,用于实现上述方法中通信网元的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
本申请实施例第五方面提供一种计算机程序产品,所述计算机程序产品包括计算机程序代码,当所述计算机程序代码被计算机执行时,使得所述计算机执行上述第一方面所述的方法。
本申请实施例第六方面提供一种计算机可读存储介质,所述计算机存储介质存储有计算机指令,当所述计算机指令被计算机执行时,使得所述计算机执行上述第一方面所述的方法。
本申请实施例第七方面提供一种系统,所述系统包括第三方面所述的通信网元。
附图说明
图1为SS7网络中攻击者仿冒终端设备的漫游地服务器进行攻击的流程示意图;
图2为本申请实施例在SS7网络下应用时的示例性系统架构图;
图3为本申请实施例在Diameter网络下应用时的示例性系统架构图;
图4为本申请实施例提供的消息转发方法的交互流程图;
图5为转发网元保存第二网元的标识时转发网元转发第一请求消息的交互流程图;
图6为转发网元向第三网元发送第二请求消息的方式下转发网元转发第一请求消息的交互流程图;
图7为转发网元向第三网元发送第二请求消息的方式下转发网元转发第一请求消息的交互流程图;
图8为本申请实施例提供的一种消息转发装置的模块结构图;
图9为本申请实施例提供的一种消息转发装置的模块结构图;
图10为本申请实施例提供的通信网元1000的实体框图。
具体实施方式
本申请实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在 A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
以7号信令系统(Signaling System No.7,SS7)为例,图1为SS7网络中攻击者仿冒终端设备的漫游地服务器进行攻击的流程示意图,如图1所示,假设该终端设备为终端设备A,攻击的流程为:
S101、攻击者仿冒终端设备A的漫游地移动交换中心(mobile switching center,MSC) 或拜访地位置寄存器(visitor location register,VLR)从终端设备A的归属地位置寄存器(home location register,HLR)获取终端设备A的国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)。
为便于描述,本示例中统一将MSC或VLR统称为“服务器”。
S102、攻击者仿冒终端设备A的漫游地服务器向终端设备的HLR发送位置更新请求(MAP_LOCATION_UPDATE_REQ)。
在该位置更新请求中携带获取到的终端设备A的IMSI,以及,攻击者仿冒的终端设备A 的漫游地服务器的标识。
其中,服务器的标识可以是MSC或VLR的全局名(Global Title,GT)。
S103、终端设备A的HLR向攻击者仿冒的漫游地MSC或VLR返回位置更新响应 (MAP_LOCATION_UPDATE_RSP)。
在此过程中,HLR将其中保存的终端设备A的服务器的标识修改为攻击者仿冒的漫游地服务器的标识。
S104、短消息中心(Short Message Service Center,SMSC)接收到验证码短消息,该验证码短消息的接收方为终端设备A。
S105、SMSC从HLR获取终端设备A的服务器的标识。
SMSC确定验证码短消息的接收方为终端设备A之后,从终端设备A的HLR获取终端设备A的服务器的标识,即攻击者仿冒的漫游地服务器的标识。
S106、SMSC将验证码短消息路由到上述仿冒的漫游地服务器。
短消息被路由到仿冒的漫游地服务器后,攻击者即可窃取到终端设备A所属用户的验证码信息。该验证码可以是银行验证码等,该验证码被攻击者窃取后,可能对终端设备A所属用户的隐私、利益等造成严重损害。
本申请实施例所提供的方案,旨在防止上述的攻击行为。
本申请实施例所提供的方案,可以适用于不同接入技术下的信令网络,例如3G接入技术下的SS7网络,4G接入技术下的直径(Diameter)网络以及5G接入技术下的信令网络等,本申请实施例对此不做具体限定。
图2为本申请实施例在SS7网络下应用时的示例性系统架构图,如图2所示,SS7网络涉及终端设备的归属网络、终端设备漫游到的网络以及攻击网络。终端设备的归属网络中包括MSC/VLR,HLR以及信令转接点(Signalling Transfer Point,STP),其中,HLR中保存了该HLR控制的所有存在的移动用户的信息,包括IMSI、服务项目信息、当前位置等。HLR 可以与MSC合设,也可以与MSC分设,图2中以二者分设进行示例。STP负责将接收到的信令消息转接到其他节点,STP可以部署在归属网络的边界以用来与其他运营商进行对接。在一个特定的时刻,终端设备可能位于归属网络内的MSC/VLR,也可能漫游到其他网络,例如位于图2所示例的漫游网络内的MSC/VLR。另外,在本申请实施例所涉及的场景下,攻击者还可能利用图2所示例的攻击网络,仿冒成终端设备的漫游网络,由攻击网络中的 MSC/VLR向归属网络的HLR发起位置更新请求。
当攻击者利用攻击网络向归属网络的HLR发起位置更新请求时,需要由STP转发,因此,作为一种可能的设计,本申请实施例可以通过在图2所示的STP中增加处理过程,以确定该位置更新请求是否为合法请求,进而确定是否拦截该位置请求,以避免受到攻击。
但是,需要说明的是,在具体实施过程中,上述拦截处理也可以通过其他的网元来执行,本申请实施例对此不做具体限定。
图3为本申请实施例在Diameter网络下应用时的示例性系统架构图,如图3所示,Diameter网络涉及终端设备的归属网络、终端设备漫游到的网络以及攻击网络。终端设备的归属网络中包括家庭用户服务(Home Subscriber Service,HSS)、移动管理实体(Mobility Management Entity,MME)以及Diameter边界代理(Diameter edge agent,DEA),DEA也可以替换为Diameter协议转发设备(Diameter Routing Agent,DRA),其中,HSS是一个包含控制用户数据库和支持处理呼叫和会话的IP多媒体子系统(IP multimediasubsystem,IMS) 网络实体的软件的系统。HSS包括用户描述,执行用户认证和许可,并能够提供关于用户物理位置的信息。MME负责信令处理,具体可以包括接入控制、移动性管理、会话管理以及网元选择等,其中,接入控制可以包括安全和许可控制,移动性管理可以包括终端设备接入网络,会话管理包括对演进的分组核心网络(Evolved Packet Core,EPC)承载的建立、修改和释放。DEA作为信令转发设备,可以部署在归属网络的边界以用来与漫游伙伴或IPX运营商对接。
在一个特定的时刻,终端设备可能位于归属网络内的MME,也可能漫游到其他网络,例如位于图3所示例的漫游网络内的MME。另外,在本申请实施例所涉及的场景下,攻击者还可能利用图3所示例的攻击网络,仿冒成终端设备的漫游网络,由攻击网络中的MME向归属网络的HSS发起位置更新请求。
当攻击者利用攻击网络向归属网络的HSS发起位置更新请求时,需要由DEA转发,因此,作为一种可能的设计,本申请实施例可以通过在图3所示的DEA中增加处理过程,以确定该位置更新请求是否为合法请求,进而确定是否拦截该位置请求,以避免受到攻击。
但是,需要说明的是,在具体实施过程中,上述拦截处理也可以通过其他的网元来执行,本申请实施例对此不做具体限定。
为便于描述,本申请以下实施例将确定拦截或转发请求消息的通信网元统称为“转发网元”,本领域技术人员可以理解的是,在不同接入技术的信令网络中,该转发网元具体可以是不同的网元。例如,在SS7网络中,该转发网元可以是STP,或者SS7网络中的其他网元。又例如,在Diameter网络中,该转发网元可以是DEA,或者是DRA,或者是Diameter网络中的其他网元。
图4为本申请实施例提供的消息转发方法的交互流程图,如图4所示,该方法所涉及的交互流程为:
S401、第一网元向转发网元发送第一请求消息。
其中,该第一请求消息用于请求对终端设备进行位置更新。
可选的,上述第一请求消息中可以携带终端设备的IMSI以及第一网元的标识。在SS7 网络中,第一网元的标识可以是第一网元的GT。在Diameter网络中,第一网元的标识可以是第一网元的主机名。
示例性的,在SS7网络中,上述第一网元可能是终端设备的归属网络中的MSC或VLR,也可能是终端设备实际漫游到的网络中的MSC或VLR,也可能是攻击者仿冒的漫游网络中的MSC或VLR。
第一网元所发出的第一请求消息的目的接收方为终端设备的HLR,该第一请求消息首先被发送到转发网元,由转发网元按照下述的过程确定将该第一请求消息转发至HLR,或者拦截该第一请求消息。
S402、转发网元获取第二网元的标识。
其中,上述第二网元是指在第一网元发送第一请求消息前终端设备所在网络的网元。
具体实施过程中,终端设备的位置发生改变,执行了新的位置更新后,终端设备对应的第二网元会相应发生改变。
示例性的,在SS7网络中,第二网元可以是第一网元发送第一请求消息前终端设备所在网络的MSC或VLR,第二网元的标识可以是MSC或VLR的GT。
示例性的,在Diameter网络中,第二网元可以是第一网元发送第一请求消息前终端设备所在网络的MME,第二网元的标识可以是MME的主机名。
可选的,第二网元的标识可以保存在归属网络的HLR或HSS中,转发网元可以从HLR或HSS中获取。或者,转发网元也可以自行保存第二网元的标识。
转发网元获取第二网元的标识的具体过程将在下述实施例中进行详细说明。
S403、转发网元确定第一网元和第二网元是否为相关网元。
可选的,转发网元可以根据上述第一网元和上述第二网元是否为相关网元,确定上述第一网元是否可信。
可选的,上述相关网元可以指相同的网元或相邻的网元。
可选的,如果第一网元和第二网元相同的网元,或者第一网元和第二网元为相邻的网元,则转发网元可以确定第一网元可信。如果第一网元和第二网元既不是相同的网元,也不是相邻的网元,则转发网元进一步根据寻呼响应信息确定第一网元是否可信。
可选的,转发网元可以首先从上述第一请求消息中读取第一网元的标识,并基于第一网元的标识和第二网元的标识确定第一网元和第二网元是否为相关网元。
在一种可选方式中,转发网元可以首先对第一网元的标识和第二网元的标识进行比较,如果第一网元的标识与第二网元的标识相同,则可以确定第一网元和第二网元为相同的网元,进而,可以确定第一网元可信。如果第一网元的标识和第二网元的标识不相同,则可以进一步判断第一网元和第二网元是否为相邻的网元,如果第一网元和第二网元为相邻的网元,则可以确定第一网元可信,如果第一网元和第二网元不为相邻的网元,则可以进一步根据后续的寻呼响应信息确定第一网元是否可信。
在另一种可选方式中,转发网元也可以首先判断第一网元和第二网元是否为相邻的网元,如果第一网元和第二网元为相邻的网元,则确定第一网元可信,如果第一网元和第二网元不为相邻的网元,则进一步通过上述比较标识的方式判断第一网元和第二网元是否为相同的网元,如果第一网元和第二网元为相同的网元,则可以确定第一网元可信,如果第一网元和第二网元不为相同的网元,则可以进一步根据寻呼响应信息确定第一网元是否可信。
以下首先说明转发网元判断第一网元和第二网元是否为相邻的过程。
可选的,转发网元可以判断第一网元和第二网元之间是否满足如下第一条件中的至少一项,如果满足,则确定第一网元和第二网元为相邻网元。
上述第一条件包括:
(1)在第一预设时段内,第一网元和第二网元之间的位置更新次数达到预设次数。
可选的,对于终端设备来说,持有该终端设备的用户在一定时段内的活动范围应比较固定,相应的,终端设备位置更新前和位置更新后所在的相邻网元应比较固定。因此,转发网元可以判断在第一预设时段内,第一网元和第二网元之间的位置更新次数是否达到预设次数,其中,第一网元和第二网元之间的位置更新次数可以是从第一网元到第二网元的位置更新的次数与从第二网元到第一网元的位置更新的次数之和。如果第一网元和第二网元之间的位置更新次数达到预设次数,则说明第一网元和第二网元属于用户活动范围内的网元的概率较大,进而第一网元和第二网元为相邻网元的概率较大。
可选的,转发网元可以基于第一网元和标识和第二网元的标识,获取第一预设时段内第一网元到第二网元的位置更新次数,以及第二网元到第一网元的位置更新次数,进而计算出第一网元和第二网元之间的位置更新次数,再判断该位置更新次数是否达到上述预设次数。
示例性的,上述第一预设时段可以为时长为24小时的时段,例如,当前时间之前的24 小时。
(2)在上述第一预设时段内,上述第一网元和上述第二网元之间的位置更新的数据符合正态分布。
如果第一网元和第二网元为相邻网元,则第一网元和第二网元之间的位置更新的数据应符合正态分布。例如,在一天时间内,第一网元和第二网元之间的位置更新从早到晚呈正态分布。
可选的,第一网元和第二网元之间的位置更新的数据可以包括每次位置更新时,更新前终端设备所在网元的标识和更新后终端设备所在网元的标识,以及每次位置更新的时间。
可选的,转发网元在获取到第一网元和第二网元之间的位置更新的数据后,判断这些数据是否符合正态分布,如果符合正态分布,则第一网元和第二网元为相邻网元的概率较大。
(3)在第二预设时段内,第一网元至第二网元的位置更新次数与第二网元至第一网元的位置更新次数的第一差值小于第一预设差值。
可选的,上述第二预设时段可以为大于上述第一预设时段的时段。
示例的,上述第一预设时段为时长为24小时的时段,上述第二预设时段为时长为一个月的时段,例如,当前时间之前的一个月。
可选的,对于终端设备来说,持有该终端设备的用户在其活动范围内,从A地到B地的移动次数与从B地到A地的移动次数之间的差值应在一定的差值范围内,因此,可选的,转发网元可以在获取到第一网元和第二网元之间的位置更新的数据后,计算从第一网元到第二网元的位置更新的次数与第二网元到第一网元的位置更新的次数之间的差值,如果该差值小于第一预设差值,则说明第一网元到第二网元的位置更新与第二网元到第一网元的位置更新的差值在合理的差值范围,则第一网元和第二网元为相邻网元的概率较大。
可选的,在具体实施过程中,转发网元可以在第一网元和第二网元之间的位置更新数据满足上述所有条件时确定第一网元和第二网元为相邻网元,也可以在第一网元和第二网元之间的位置更新数据满足上述一部分条件时确定第一网元和第二网元为相邻网元。
如果转发网元确定第一网元和第二网元为相关网元,则转发网元确定第一网元可信,进而确定转发上述第一请求消息,进而,转发网元直接执行下述步骤S405对第一请求消息进行转发。示例性的,在SS7网络中,转发网元将第一请求消息转发给HLR,由HLR进行位置更新的处理。
如果转发网元确定第一网元和第二网元不为相关网元,则继续执行下述步骤S404,进一步确定第一网元是否可信。
S404、转发网元根据寻呼响应信息确定第一网元是否可信。
可选的,在本步骤之前,转发网元可以首先获取上述寻呼响应信息,上述寻呼响应信息可以通过与第三网元或第二网元进行交互来获取,获取寻呼响应信息的过程将在下述实施例中进行详细说明。
可选的,上述寻呼响应信息可以指示时长信息,该时长可以为0,也可以为大于0的数值。
可选的,转发网元读取寻呼响应信息所指示的时长信息。
如果上述时长为0,则说明寻呼响应信息指示终端设备当前位于第二网元,因此,此时终端设备不可能位于第二网元,因此,从第二网元之外的第一网元发送来的第一请求消息必然为非法的攻击消息,则转发网元可以确定第一网元不可信,相应的,转发网元可以拦截第二网元所发送的第一请求消息,不对其进行转发,从而避免攻击者利用第一网元进行攻击。
如果寻呼响应信息所指示的时长大于0,即上述时长为大于0的数值,则转发网元可以根据所指示的时长以及第一网元和第二网元之间的位置更新的时间间隔,确定第一网元是否可信。
可选的,如果寻呼响应所指示的时长表示终端设备最后一次与第二网元交互的时间到当前时间的时长。
可选的,第一网元和第二网元之间的位置更新的时间间隔可以通过对大量的在第一网元和第二网元之间的位置更新的数据进行统计得到。该统计到的时间间隔可能为一个,也可能为多个。当该时间间隔为多个时,可以通过预设的计算得到一个时间间隔。示例性的,当该时间间隔为多个时,可以选择其中最小的一个时间间隔作为与上述所指示的时长进行比较的时间间隔。
可选的,转发网元可以计算寻呼响应信息所指示的时长与上述时间间隔之间的第二差值,若该第二差值小于第二预设差值,则可以确定第一网元不可信,相应的,转发网元可以拦截第二网元所发送的第一请求消息,不对其进行转发,从而避免攻击者利用第一网元进行攻击。如果若该第二差值大于等于第二预设差值,则可以确定第以网元可信,转发网元继续执行下述步骤S405对第一请求消息进行转发。
在上述过程中,如果寻呼响应所指示的时长大于0,则说明终端设备不再同第二网元交互,并且最后一次与第二网元交互的时间到当前时间的时长(假设为时长A)为上述所指示的时间。如果终端设备不与第二网元交互后,移动到了第一网元,则时长A的值应满足第一网元和第二网元之间的位置更新的合理时间,即,如果时长A是合理的,则时长A与上述时间间隔的差值应小于一个预设值,如果上述时间间隔减去时长A的差值大于等于第二预设差值,则说明时长A过短,终端设备不可能在过短的时间内从第二网元移动到第一网元,因此可以确定第一网元不可信。
以下通过一个示例进行说明。
假设在SS7网络中,转发网元接收到一个MSC1的请求消息,以请求对终端设备A进行位置更新。转发网元从HLR查询到终端设备A在当前时间前位于MSC2,则转发网元指示MSC2进行寻呼,并获取到MSC2的寻呼响应中的时长,假设该时长为1小时。转发网元通过对MSC1和MSC2之间的位置更新进行统计,获知MSC1和MSC2之间的位置更新的时间间隔为5小时,即终端设备从MSC1移动到MSC2所需的正常的时间为5小时。假设第二预设差值为0.5小时。转发网元计算出时长和时间间隔的差值为4小时,该差值远远大于0.5小时的预设差值。则说明,在正常情况下,终端设备从MSC2移动到MSC1,需要大约5小时,而MSC2在终端设备A不与MSC1交互后的1小时即发起针对终端设备A位置更新请求,即认为终端设备A经过1小时即从MSC2移动到MSC1,这显然不合理,因此,转发网元可以确定第一网元不可信。
可选的,在上述实施例中,转发网元在拦截第一请求消息的同时,也可以记录该第一请求消息。
S405、转发网元转发上述第一请求消息。
示例性的,在SS7网络中,转发网元可以将第一请求消息转发给HLR。
示例性的,在Diameter网络中,转发网元可以将第一请求消息转发给HSS。
本实施例中,转发网元根据第一网元和第二网元是否为相关网元,确定第一网元是否可信,并在第一网元不可信时,拦截第一请求消息,从而阻止攻击者利用不可信的第一网元的攻击行为,保证了终端设备的安全。
以下说明上述步骤S402中转发网元获取第二网元的标识以及步骤S404之前获取寻呼响应信息的具体方法。
可选的,转发网元可以通过如下两种方式中的任意一种来获取第二网元的标识。
(1)转发网元保存第二网元的标识
可选的,转发网元可以收集终端设备实际所位于的第二网元的标识,并将收集到的终端设备的标识及其所位于的第二网元的标识保存起来。当需要获取第二网元的标识时,转发网元可以根据终端设备的标识查询预先保存的终端设备所位于的第二网元的标识。
可选的,转发网元可以在终端设备进行位置更新时收集终端设备所位于的第二网元的标识并进行保存。
示例性的,转发网元经过上述步骤S405转发了第一网元发送的第一请求消息后,可以获知终端设备当前所位于的网元,即第一网元,则转发网元可以将该第一网元的标识记录下来。当再次收到新的第一请求消息后,转发网元即可根据记录的第一网元的标识识别发送新的第一请求消息的网元是否可信。
针对该方式,在上述步骤S404之前,转发网元可以向第二网元发送请求消息,以请求第二网元对终端设备进行寻呼,并由第二网元向转发网元返回上述寻呼响应信息。
可选的,对终端设备进行寻呼,可以获取终端设备的当前位置和状态。
示例性的,在SS7网络中,转发网元可以向作为第二网元的MSC或VLR发送提供用户信息(Provide Subscriber Info,PSI)消息,在该PSI消息中携带寻呼指示,以指示MSC或VLR对终端设备进行寻呼。
示例性的,在Diameter网络中,转发网元可以向作为第二网元的MME发送插入用户数据请求(Insert Subscriber Data-Request,IDR)消息,在该IDR消息中携带寻呼指示,以指示 MME对终端设备进行寻呼。
第二网元接收到寻呼指示后,通过与无线网络交互,对终端设备进行寻呼,以获取终端设备的当前位置和状态。
图5为转发网元保存第二网元的标识时转发网元转发第一请求消息的交互流程图,如图 5所示,该交互流程为:
S501、第一网元向转发网元发送第一请求消息。
该步骤的具体执行过程与上述步骤S401相同,可以参照上述步骤S401,此处不再赘述。
S502、转发网元查询预先保存的终端设备所位于的第二网元的标识。
S503、转发网元确定第一网元和第二网元是否为相关网元。
该步骤的具体执行过程与上述步骤S403相同,可以参照上述步骤S403,此处不再赘述。
S504、转发网元向第二网元发送请求寻呼的请求消息。
S505、第二网元进行寻呼后,向转发网元发送寻呼响应信息。
S506、第一网元和第二网元不为相关网元时,转发网元根据寻呼响应信息确定第一网元是否可信。
该步骤的具体执行过程与上述步骤S404相同,可以参照上述步骤S404,此处不再赘述。
S507、转发网元转发第一请求消息。
(2)转发网元从第三网元获取第二网元的标识
该第三网元可以是保存终端设备的信息的网元。例如,在SS7网络中,该第三网元可以是HLR,在Diameter网络中,该第三网元可以是HSS。
可选的,转发网元可以通过两种方式中的任意一种从第三网元获取第二网元的标识。
第一种方式中,转发网元可以向第三网元发送第二请求消息,该第二请求消息用于请求获取第二网元的标识。当第三网元向转发网元返回第二网元的标识后,转发网元在上述步骤 S404之前,可以向第二网元发送第三请求消息,该第三请求消息用于请求第二网元对终端设备发起寻呼,第二网元进行寻呼后,向转发网元返回寻呼响应信息。
在该第一种方式中,转发网元仅通过与第三网元交互获取第二网元的标识,而请求寻呼以及接收寻呼响应信息通过转发网元与第二网元交互来执行。
图6为转发网元向第三网元发送第二请求消息的方式下转发网元转发第一请求消息的交互流程图,如图6所示,该交互流程包括:
S601、第一网元向转发网元发送第一请求消息。
该步骤的具体执行过程与上述步骤S401相同,可以参照上述步骤S401,此处不再赘述。
S602、转发网元向第三网元发送第二请求消息。
S603、第三网元向转发网元发送第二网元的标识。
S604、转发网元确定第一网元和第二网元是否为相关网元。
该步骤的具体执行过程与上述步骤S403相同,可以参照上述步骤S403,此处不再赘述。
S605、转发网元向第二网元发送第三请求消息,以请求第二网元进行寻呼。
S606、第二网元进行寻呼后,向转发网元发送寻呼响应信息。
S607、第一网元和第二网元不为相关网元时,转发网元根据寻呼响应信息确定第一网元是否可信。
该步骤的具体执行过程与上述步骤S404相同,可以参照上述步骤S404,此处不再赘述。
S608、转发网元转发第一请求消息。
第二种方式中,转发网元可以向第三网元发送第四请求消息,该第四请求消息用于请求获取第二网元的标识,以及,请求该第三网元指示第二网元对终端设备发起寻呼,第三网元根据第四请求消息,向转发网元返回第二网元的标识,同时,向第二网元发起寻呼,并在接收到寻呼响应信息后,向转发网元发送寻呼响应信息。可选的,第三网元可以在接收到寻呼响应信息后将第二网元的标识和寻呼响应信息一同发送给转发网元,或者,也可以分别发送,本申请实施例对此不做具体限定。
在该第二种方式中,转发网元仅与第三网元交互,以获取第二网元的标识以及寻呼响应信息,转发网元不与第二网元进行交互。
图7为转发网元向第三网元发送第二请求消息的方式下转发网元转发第一请求消息的交互流程图,如图7所示,该交互流程包括:
S701、第一网元向转发网元发送第一请求消息。
该步骤的具体执行过程与上述步骤S401相同,可以参照上述步骤S401,此处不再赘述。
S702、转发网元向第三网元发送第四请求消息。
S703、第三网元与第二网元交互,以对终端设备进行寻呼。
S704、第三网元向转发网元发送第二网元的标识以及寻呼响应信息。
S705、转发网元确定第一网元和第二网元是否为相关网元。
该步骤的具体执行过程与上述步骤S403相同,可以参照上述步骤S403,此处不再赘述。
S706、第一网元和第二网元不为相关网元时,转发网元根据寻呼响应信息确定第一网元是否可信。
该步骤的具体执行过程与上述步骤S404相同,可以参照上述步骤S404,此处不再赘述。
S707、转发网元转发第一请求消息。
上述本申请提供的实施例中,分别从通信网元(在上述实施例中统称为“转发网元”)、第一网元、第二网元以及这些网元交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,通信网元可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
图8为本申请实施例提供的一种消息转发装置的模块结构图,该装置可以为通信网元,也可以为能够支持通信网元实现本申请实施例提供的方法中的通信网元的功能的装置,例如该装置可以是通信网元中的装置或芯片系统,如图8所示,该装置包括:接收模块801和处理模块802。在本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
接收模块801,用于接收第一网元发送的第一请求消息,所述第一请求消息用于请求对终端设备进行位置更新。
处理模块802,用于根据上述第一网元与第二网元是否为相关网元,确定上述第一网元是否可信。其中,上述第二网元为在上述第一网元发送上述第一请求消息前上述终端设备所在网络的网元。
处理模块802,还用于根据上述第一网元是否可信,确定是否转发上述第一请求消息。
在一个可能的设计中,处理模块802具体用于:
在上述第一网元和上述第二网元之间满足第一条件中的至少一项时,确定上述第一网元和第二网元为相关网元。
若所述第一网元和第二网元为相关网元,则确定上述第一网元可信。
其中,上述第一条件,包括:
在第一预设时段内,上述第一网元和上述第二网元之间的位置更新次数达到预设次数。
在上述第一预设时段内,上述第一网元和上述第二网元之间的位置更新的数据符合正态分布。
在第二预设时段内,上述第一网元至上述第二网元的位置更新次数与上述第二网元至上述第一网元的位置更新次数的第一差值小于第一预设差值。
在一个可能的设计中,处理模块802具体用于:
在上述第一网元和上述第二网元不为相关网元时,根据对上述终端设备的寻呼响应信息,确定上述第一网元是否可信。
在一个可能的设计中,处理模块802具体用于:
在上述寻呼响应信息指示上述终端设备位于上述第二网元时,确定上述第一网元不可信。
在一个可能的设计中,处理模块802具体用于:
在上述寻呼响应信息所指示的时长大于零时,根据上述所指示的时长以及上述第一网元和上述第二网元之间的位置更新的时间间隔,确定上述第一网元是否可信。
在一个可能的设计中,处理模块802具体用于:
在上述所指示的时长与上述时间间隔的第二差值小于第二预设差值时,确定上述第一网元不可信。
在一个可能的设计中,处理模块802还用于:
查询预先保存的上述第二网元的标识。
在一个可能的设计中,处理模块802还用于:
从第三网元获取上述第二网元的标识。
图9为本申请实施例提供的一种消息转发装置的模块结构图,如图9所示,在一个可能的设计中,上述装置还包括:发送模块803。
发送模块803,用于向上述第三网元发送第二请求消息,该第二请求消息用于请求获取所述第二网元的标识。
接收模块801,还用于接收上述第三网元发送的上述第二网元的标识。
在一个可能的设计中,发送模块803,还用于向上述第二网元发送第三请求消息,该第三请求消息用于请求上述第二网元对上述终端设备发起寻呼。
接收模块801,还用于接收上述第二网元发送的寻呼响应信息。
在一个可能的设计中,发送模块803,还用于向上述第三网元发送第四请求消息,该第四请求消息用于请求获取上述第二网元的标识,以及,请求上述第三网元指示上述第二网元对上述终端设备发起寻呼。
接收模块801,还用于接收上述第三网元发送的上述第二网元的标识,以及上述终端设备的寻呼响应信息。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
如图10所示为本申请实施例提供的通信网元1000,用于实现上述方法中通信网元的功能。通信网元1000包括至少一个处理器1020,用于实现本申请实施例提供的方法中通信网元的功能。示例性地,处理器1020可以根据第一网元与第二网元是否为相关网元,确定第一网元是否可信,具体参见方法示例中的详细描述,此处不做赘述。
通信网元1000还可以包括至少一个存储器1030,用于存储程序指令和/或数据。存储器 1030和处理器1020耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器 1020可能和存储器1030协同操作。处理器1020可能执行存储器1030中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。
通信网元1000还可以包括通信接口1010,用于通过传输介质和其它设备进行通信,从而用于通信网元1000中的装置可以和其它设备进行通信。在本申请实施例中,通信接口可以是能够进行通信的任意形式的接口,如模块、电路、总线或其组合等。可选的,该通信接口 1010可以为收发器。示例性地,该其它设备可以是第一网元。处理器1020利用通信接口1010 收发数据,并用于实现上述方法实施例中所述的通信网元所执行的方法。
本申请实施例中不限定上述通信接口1010、处理器1020以及存储器1030之间的具体连接介质。本申请实施例在图10中以存储器1030、处理器1020以及通信接口1010之间通过总线1040连接,总线在图10中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图 10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器可以是非易失性存储器,比如硬盘(hard disk drive,HDD) 或固态硬盘(solid-state drive,SSD)等,还可以是易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本申请实施例提供的方法中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(digital video disc,简称DVD))、或者半导体介质(例如,SSD)等。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (13)
1.一种消息转发方法,其特征在于,包括:
接收第一网元发送的第一请求消息,所述第一请求消息用于请求对终端设备进行位置更新;
判断所述第一网元与第二网元是否为相关网元,在判断出所述第一网元与第二网元为相关网元,则确定所述第一网元可信,在判断出所述第一网元与第二网元不为相关网元,则根据对所述终端设备的寻呼响应信息,确定所述第一网元是否可信;其中,所述第二网元为在所述第一网元发送所述第一请求消息前所述终端设备所在网络的网元;
若所述第一网元可信,确定转发所述第一请求消息,若所述第一网元不可信,确定不转发所述第一请求消息。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一网元与第二网元是否为相关网元,包括:
若所述第一网元和所述第二网元之间满足第一条件中的至少一项,则确定所述第一网元和第二网元为相关网元;
其中,所述第一条件,包括:
在第一预设时段内,所述第一网元和所述第二网元之间的位置更新次数达到预设次数;
在所述第一预设时段内,所述第一网元和所述第二网元之间的位置更新的数据符合正态分布;
在第二预设时段内,所述第一网元至所述第二网元的位置更新次数与所述第二网元至所述第一网元的位置更新次数的第一差值小于第一预设差值。
3.根据权利要求1所述的方法,其特征在于,所述根据对所述终端设备的寻呼响应信息,确定所述第一网元是否可信,包括:
若所述寻呼响应信息指示所述终端设备位于所述第二网元,则确定所述第一网元不可信。
4.根据权利要求1所述的方法,其特征在于,所述根据对所述终端设备的寻呼响应信息,确定所述第一网元是否可信,包括:
若所述寻呼响应信息所指示的时长大于零,则根据所述所指示的时长以及所述第一网元和所述第二网元之间的位置更新的时间间隔,确定所述第一网元是否可信。
5.根据权利要求4所述的方法,其特征在于,所述根据所述所指示的时长以及所述第一网元和所述第二网元之间的位置更新的时间间隔,确定所述第一网元是否可信,包括:
若所述所指示的时长与所述时间间隔的第二差值小于第二预设差值,则确定所述第一网元不可信。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述判断所述第一网元与第二网元是否为相关网元之前,还包括:
查询预先保存的所述第二网元的标识。
7.根据权利要求1、3-5任一项所述的方法,其特征在于,所述判断所述第一网元与第二网元是否为相关网元之前,还包括:
从第三网元获取所述第二网元的标识。
8.根据权利要求7所述的方法,其特征在于,所述从第三网元获取所述第二网元,包括:
向所述第三网元发送第二请求消息,所述第二请求消息用于请求获取所述第二网元的标识;
接收所述第三网元发送的所述第二网元的标识。
9.根据权利要求8所述的方法,其特征在于,还包括:
向第二网元发送第三请求消息,所述第三请求消息用于请求所述第二网元对所述终端设备发起寻呼;
接收所述第二网元发送的寻呼响应信息。
10.根据权利要求7所述的方法,其特征在于,所述从第三网元获取所述第二网元的标识,包括:
向所述第三网元发送第四请求消息,所述第四请求消息用于请求获取所述第二网元的标识,以及,请求所述第三网元指示所述第二网元对所述终端设备发起寻呼;
接收所述第三网元发送的所述第二网元的标识,以及所述终端设备的寻呼响应信息。
11.一种消息转发装置,其特征在于,包括:
接收模块,用于接收第一网元发送的第一请求消息,所述第一请求消息用于请求对终端设备进行位置更新;
处理模块,用于判断所述第一网元与第二网元是否为相关网元,在判断出所述第一网元与第二网元为相关网元,则确定所述第一网元可信,在判断出所述第一网元与第二网元不为相关网元,则根据对所述终端设备的寻呼响应信息,确定所述第一网元是否可信;其中,所述第二网元为在所述第一网元发送所述第一请求消息前所述终端设备所在网络的网元;
所述处理模块,还用于若所述第一网元可信,确定转发所述第一请求消息,若所述第一网元不可信,确定不转发所述第一请求消息。
12.一种通信网元,其特征在于,包括:
存储器和处理器;
所述处理器用于与所述存储器耦合,读取并执行所述存储器中存储的指令,以实现权利要求1-10任一项所述的方法。
13.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机指令,当所述计算机指令被计算机执行时,使得所述计算机执行权利要求1-10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811215259.2A CN111163033B (zh) | 2018-10-18 | 2018-10-18 | 消息转发方法、装置、通信网元及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811215259.2A CN111163033B (zh) | 2018-10-18 | 2018-10-18 | 消息转发方法、装置、通信网元及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111163033A CN111163033A (zh) | 2020-05-15 |
| CN111163033B true CN111163033B (zh) | 2021-08-03 |
Family
ID=70554317
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811215259.2A Active CN111163033B (zh) | 2018-10-18 | 2018-10-18 | 消息转发方法、装置、通信网元及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111163033B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996379A (zh) * | 2021-10-19 | 2023-04-21 | 华为技术有限公司 | 远程证明的方法、装置、设备、系统及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106332067A (zh) * | 2015-06-19 | 2017-01-11 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| CN106470421A (zh) * | 2015-08-20 | 2017-03-01 | 中国移动通信集团公司 | 一种防止恶意终端非法占用核心网资源的方法和设备 |
| CN107800664A (zh) * | 2016-08-31 | 2018-03-13 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104272707B (zh) * | 2012-04-27 | 2018-04-06 | 交互数字专利控股公司 | 支持邻近发现过程的方法和装置 |
-
2018
- 2018-10-18 CN CN201811215259.2A patent/CN111163033B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106332067A (zh) * | 2015-06-19 | 2017-01-11 | 华为技术有限公司 | 防止无线网络中直径信令攻击的方法、装置和系统 |
| CN106470421A (zh) * | 2015-08-20 | 2017-03-01 | 中国移动通信集团公司 | 一种防止恶意终端非法占用核心网资源的方法和设备 |
| CN107800664A (zh) * | 2016-08-31 | 2018-03-13 | 华为技术有限公司 | 一种防止信令攻击方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111163033A (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7234342B2 (ja) | Diameterエッジエージェントを利用して下りローミング加入者のために時間距離セキュリティ対策を行うための方法、システム、およびコンピュータ読み取り可能な媒体 | |
| EP2457394B1 (en) | Terminal identifiers in a communications network | |
| US7660580B2 (en) | Inbound roamer call control system | |
| CN112335271A (zh) | 用于网络节点验证的方法、系统和计算机可读介质 | |
| TW589907B (en) | Method and system of multicast management mechanism for mobile networks | |
| US11700510B2 (en) | Methods, systems, and computer readable media for short message delivery status report validation | |
| CN101904188B (zh) | 通过强制位置再登记来阻止使用被盗终端的方法和系统 | |
| JP2009510960A (ja) | 移動体ネットワークにおいてホーム・ロケーション・レジスタを更新する方法およびシステム | |
| EP3596985B1 (en) | Method and apparatus for protection of privacy in paging of user equipment | |
| US6173174B1 (en) | Method and apparatus for automated SSD updates on an a-key entry in a mobile telephone system | |
| KR20130121156A (ko) | 모바일 통신 디바이스들을 위한 모바일 착신 로밍 전달 | |
| CN107105399B (zh) | 一种数据处理方法及服务器、网元 | |
| CN104717600B (zh) | 一种m2m终端/终端外设的可及性管理方法及设备 | |
| CN111163033B (zh) | 消息转发方法、装置、通信网元及计算机可读存储介质 | |
| US6226511B1 (en) | Method and apparatus for configuration of authentication center operations in a mobile telephone system | |
| US8792424B2 (en) | Interworking function between an intelligent network and a home location register/home subscriber server | |
| US20130023244A1 (en) | Method, network entity, telecommunications network and computer program product for handling subscription data in a telecommunications network | |
| CN107911813B (zh) | 透明模式的移动用户身份管理方法及系统 | |
| WO2018205145A1 (en) | Method and apparatus for allocating registration area | |
| EP2871875B1 (en) | Security method for the verification of an information retrieval request | |
| JP7192267B2 (ja) | 利用制限情報管理システム、利用制限情報管理装置、利用制限方法、及びプログラム | |
| CN108391271B (zh) | 一种虚假位置更新识别方法 | |
| CN101137222A (zh) | 一种接入鉴权处理方法和系统及装置 | |
| US20230056017A1 (en) | Method and apparatus for detecting abnormal roaming request | |
| WO2021200006A1 (ja) | 学習装置、判定システム、学習方法及び非一時的なコンピュータ可読媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |