CN114423008A - 终端身份溯源方法、设备及计算机可读存储介质 - Google Patents
终端身份溯源方法、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114423008A CN114423008A CN202210177790.5A CN202210177790A CN114423008A CN 114423008 A CN114423008 A CN 114423008A CN 202210177790 A CN202210177790 A CN 202210177790A CN 114423008 A CN114423008 A CN 114423008A
- Authority
- CN
- China
- Prior art keywords
- terminal
- tunnel
- information
- session
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种终端身份溯源方法、设备及计算机可读存储介质,终端身份溯源方法包括:对N4接口的会话管理流程流量进行解析,以建立终端隧道表,所述终端隧道表用于记录终端的身份信息与分配给所述终端的隧道信息;对N3接口的业务流量进行解析,以建立隧道负载表,所述隧道负载表用于记录隧道信息与所述隧道的负载流信息;根据所述终端隧道表与隧道负载表,建立终端负载表,所述终端负载表用于记录所述终端的身份信息与所述终端对应的负载流信息;根据所述终端负载表对要检测的负载流信息进行检测。本公开能够在5G专网环境下对终端身份进行溯源定位。
Description
技术领域
本公开实施例涉及但不限于移动通信技术领域,尤其涉及一种终端身份溯源方法、设备及计算机可读存储介质。
背景技术
5G网络的架构不同于常规互联网,终端入网分为信令域和业务域。信令域是终端和5G核心网的信令交互,终端入网需要先通过信令域进行身份认证,身份认证通过后5G核心网会分配一个临时身份标识(5G Globally Unique Temporary Identifier,5G-GUTI),通过这个临时身份标识和信令域进行交互。为了保证终端业务通信,还会给认证通过的终端分配业务隧道,业务域会通过分配的隧道进行业务流量传输。如果有终端发起了攻击,通过对业务域流量进行监测,即使识别到了这个攻击,也无法确定出攻击流对应的终端。
发明内容
本公开实施例提供了一种终端身份溯源方法、设备及计算机可读存储介质,能够在5G专网环境下对终端身份进行溯源定位。
本公开实施例提供了一种终端身份溯源方法,包括:对N4接口的会话管理流程流量进行解析,以建立终端隧道表,所述终端隧道表用于记录终端的身份信息与分配给所述终端的隧道信息;对N3接口的业务流量进行解析,以建立隧道负载表,所述隧道负载表用于记录隧道信息与所述隧道的负载流信息;根据所述终端隧道表与隧道负载表,建立终端负载表,所述终端负载表用于记录所述终端的身份信息与所述终端对应的负载流信息;根据所述终端负载表对要检测的负载流信息进行检测。
在一些示例性实施方式中,所述会话管理流程包括会话创建流程和会话修改流程,所述对N4接口的会话管理流程流量进行解析,包括:对N4接口的会话创建流程流量进行解析,记录终端的身份信息与分配给所述终端的上行隧道信息以及当前会话流程的会话层信息;对N4接口的会话修改流程流量进行解析,根据所述当前会话流程的会话层信息,确定所述终端的下行隧道信息。
在一些示例性实施方式中,所述上行隧道信息包括所述上行隧道的隧道端点标识符和上行隧道通信的目的IP地址,所述下行隧道信息包括所述下行隧道的隧道端点标识符和下行隧道通信的目的IP地址。
在一些示例性实施方式中,所述当前会话流程的会话层信息包括:所述当前会话流程的会话端点标识符和会话IP地址。
在一些示例性实施方式中,所述负载流信息包括源IP地址、目的IP地址、源端口号和目的端口号。
在一些示例性实施方式中,所述负载流信息包括源IP地址、目的IP地址、源端口号、目的端口号和协议号。
在一些示例性实施方式中,所述终端的身份信息包括所述终端的国际移动用户标识码或用户永久标识符。
在一些示例性实施方式中,所述根据所述终端负载表对要检测的负载流信息进行检测,包括:对N3接口的隧道负载流进行安全检测;当检测到安全攻击时,获取攻击流信息;根据所述终端负载表确定所述攻击流信息对应的终端。
本公开实施例还提供了一种终端身份溯源设备,包括存储器;和连接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如以上任一项所述的终端身份溯源方法的步骤。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如以上任一项所述的终端身份溯源方法。
本公开实施例的终端身份溯源方法、设备及计算机存储介质,通过对N4接口的会话管理流程流量进行解析,建立终端隧道表;对N3接口的业务流量进行解析,建立隧道负载表;根据终端隧道表与隧道负载表,建立终端负载表,根据终端负载表对要检测的负载流信息进行检测,从而实现了在5G专网环境下对终端身份进行溯源定位,能够帮助5G专网的网络防护实现闭环效果。
本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
附图用来提供对本公开技术方案的理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为一种5G系统的结构示意图;
图2为本公开示例性实施例一种终端身份溯源方法的流程示意图;
图3为一种SMF网元和UPF网元之间的会话管理过程示意图;
图4为本公开示例性实施例另一种终端身份溯源方法的流程示意图;
图5为本公开示例性实施例一种终端身份溯源设备的模块化示意图;
图6为本公开示例性实施例一种终端身份溯源设备的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,下文中将结合附图对本公开的实施例进行详细说明。需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
除非另外定义,本公开实施例公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出该词前面的元件或物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
第五代(Fifth Generation,5G)移动通信系统架构由若干的网络功能(NetworkFunction,NF)构成。其中,会话管理功能(Session Management Function,SMF)为控制平面网元,可以对会话的建立、修改和释放进行管理,还可以对用户终端的IP进行分配和管理等。用户平面功能(User Plane Function,UPF)为数据平面网元,可以作为无线接入技术(Radio Access Technology,RAT)的移动锚点,还可以响应于SMF网元的请求对用户终端的IP进行分配,还可以作为协议数据单元(Protocol Data Unit,PDU)会话与外部数据网络(DN)的连接点,还可以进行分组路由和转发等。N4接口为SMF网元与UPF网元之间的接口,在建立用户终端(User Equipment,UE)的PDU Session流程中,会同步建立N4 Session,又称PFCP Session。N4接口的应用层协议采用分组交换控制(Packet Forwarding ControlProtocol,PFCP)协议,用于定义UPF网元对PDU进行标识、转发、缓存、标记、报告和多接入的方式。
如图1所示,5G专网网络结构包含终端、基站、5G核心网、UPF网元、多接入边缘计算(Multi-Access Edge Computing,MEC)网元等,其中,终端就是用户设备,终端上网需要5G核心网对其进行身份认证后,由SMF网元和UPF网元通过N4接口为每个终端建立会话隧道,该隧道用于基站和UPF网元之间的通信(通过N3接口)。N4接口采用PFCP协议进行终端会话管理,终端会话管理分为会话创建流程、会话修改流程和会话删除流程。N3接口采用GTP(GPRS Tunneling Protocol)作为隧道协议,终端的业务数据都是通过隧道负载进行传输。终端的入网信息都是通过隧道进行传输,普通网络安全设备可以做到将隧道剥离,然后对真实的用户流量进行流量安全监测,但是通常难以对攻击的终端溯源定位。
要进行终端溯源需要结合5G专网中终端的认证流程,而本公开的终端身份溯源方法只需要采集N3接口和N4接口的流量,即可进行业务域攻击流量溯源定位。
如图2所示,本公开实施例提供了一种终端身份溯源方法,包括:
步骤201:对N4接口的会话管理流程流量进行解析,以建立终端隧道表,该终端隧道表用于记录终端的身份信息与分配给终端的隧道信息;
在一些示例性实施方式中,会话管理流程可以包括会话创建流程、会话修改流程和会话删除流程。
本实施例中,如图3所示,通过导出SMF网元与UPF网元之间通信的所有信令包,可以获取SMF网元向UPF网元发送的会话建立请求消息(Session Establishment Request)、UPF网元向SMF网元返回的会话建立响应消息(Session Establishment Response)、SMF网元向UPF网元发送的会话修改请求消息(Session Modification Request)、UPF网元向SMF网元返回的会话修改响应消息(Session Modification Response)、SMF网元向UPF网元发送的会话删除请求消息(Session Deletion Request)和UPF网元向SMF网元返回的会话删除响应消息(Session Deletion Response)。
会话建立请求消息主要用于终端有上网需求时,由SMF网元向UPF网元发起请求,让UPF建立(或者由SMF建立并告知UPF)该终端上网的上行隧道。会话修改请求消息也是SMF向UPF发起的请求,用于将基站建立的终端上网的下行隧道告知给UPF。其中,上行隧道指的是从基站到UPF网元,下行隧道指的是从UPF网元到基站,每个隧道都带有隧道端点标识符(Tunnel Endpoint Identifier,TEID)和隧道通信的目的IP地址。
在一些示例性实施方式中,会话建立请求消息可以携带终端的身份信息。示例性的,终端的身份信息可以包括终端的身份标识(Identity document,ID)。终端的身份标识可以包括:终端的国际移动用户标识码(International Mobile Subscriber Identity,IMSI)或用户永久标识符(Subscription Permanent Identifier,SUPI)。
在电信系统中,网络运营商为每个SIM卡分配一个唯一的标识符,该标识符在4G之前称为IMSI,而在5G则称为SUPI。由于用户及其网络提供商之间的身份验证基于共享的对称密钥,因此只能在用户标识之后进行。但是,如果IMSI/SUPI值是通过无线电访问链路以明文形式发送的,则可以使用这些永久标识符来识别、定位和跟踪用户。
为避免这种隐私泄露,访问网络为终端分配了临时标识符(称为临时移动用户识别码(TMSI,Temporary Mobile Subscriber Identity),直到3G系统以及用于4G和5G系统的临时身份标识(Globally Unique Temporary Identifier,GUTI)。这些频繁更改的临时标识符随后用于无线电访问链路上的标识目的。但是,在某些情况下,无法通过使用临时标识符进行身份验证,例如当用户首次在网络上注册并且尚未分配临时标识符时,另一种情况是访问网络无法解析IMSI/SUPI。
在一些示例性实施方式中,会话建立请求消息还可以携带SMF网元给UPF网元分配的会话端点标识符(Session Endpoint Identifier,SEID)和会话IP地址(该SEID和会话IP地址用于关联会话修改流程,该会话IP地址即为会话修改请求消息的目的IP地址)等。
在一些示例性实施方式中,会话建立请求消息还可以携带UPF网元的隧道端点标识符(Tunnel Endpoint Identifier,TEID)和上行隧道通信的目的IP地址。
SMF网元可以根据UPF网元返回的会话建立响应消息判断是否响应成功。
在一些示例性实施方式中,SMF网元向UPF网元发送的会话修改请求消息可以携带SMF网元给UPF网元分配的SEID和会话IP地址(该SEID和会话建立请求消息中的SEID一致并且该会话修改请求消息的目的IP地址是会话建立请求消息中的会话IP地址)、基站(gNB)的TEID及下行隧道通信的目的IP地址等信息。
SMF网元可以根据会话修改响应消息判断是否响应成功。
在一些示例性实施方式中,对N4接口的会话管理流程流量进行解析,可以包括如下步骤:
对N4接口的会话创建流程流量进行解析,记录终端的身份信息与分配给该终端的上行隧道信息以及当前会话流程的会话层信息;
对N4接口的会话修改流程流量进行解析,根述当前会话流程的会话层信息,确定该终端的下行隧道信息。
示例性的,上行隧道信息包括上行隧道的隧道端点标识符和上行隧道通信的目的IP地址。
示例性的,下行隧道信息包括下行隧道的隧道端点标识符和下行隧道通信的目的IP地址。
示例性的,当前会话流程的会话层信息包括:当前会话流程的会话端点标识符和会话IP地址(即会话修改请求消息的目的IP地址)。
本实施例中,通过对N4接口的会话创建流程流量和会话修改流程流量进行解析,如果会话创建流程的消息中携带的SEID和会话IP地址与会话修改流程的消息中携带的SEID和会话IP地址一致,则表示该会话创建流程和会话修改流程属于同一终端的关联流程,且从会话创建流程的消息中,可以获取终端的身份信息与该终端的上行隧道信息,从会话修改流程的消息中,可以获取该终端的下行隧道信息。
步骤202:对N3接口的业务流量进行解析,以建立隧道负载表,该隧道负载表用于记录隧道信息与隧道的负载流信息;
GTP是一组基于IP的高层协议,位于TCP/IP或UDP/IP等协议上,主要用于在GSM、UMTS和LTE网络中支持通用分组无线服务(GPRS)的通讯协议。GTP协议主要分为GTP-C和GTP-U协议,其中,GTP-C属于控制层协议,用在GPRS核心网内传输GPRS网关支持结点(Gateway GPRS Support Node,GGSN)和GPRS服务支持结点(Serving GPRS SupportNodes,SGSN)之间的信令,用于建立、管理、使用、释放请求信息;GTP-U属于传输层协议,用于在GPRS核心网内,无线接入与核心网之间传送用户数据。N3接口传输的是用户面数据,基本为GTP-U数据。
在一些示例性实施方式中,负载流信息可以包括流的四元组信息,即源IP地址、目的IP地址、源端口号和目的端口号。
在另一些示例性实施方式中,负载流信息可以包括流的五元组信息,即源IP地址、目的IP地址、源端口号、目的端口号和传输层协议号。
步骤203:根据终端隧道表与隧道负载表,建立终端负载表,终端负载表用于记录终端的身份信息与终端对应的负载流信息;
本实施例中,通过将步骤201生成的终端隧道表与步骤202生成的隧道负载表进行信息关联,生成终端负载表,并根据变化对终端负载表进行实时更新。
步骤204:根据终端负载表对要检测的负载流信息进行检测。
在一些示例性实施方式中,根据终端负载表对要检测的负载流信息进行检测,包括:
对N3接口的隧道负载流进行安全检测;
当检测到安全攻击时,获取攻击流信息;
根据终端负载表确定攻击流信息对应的终端。
本公开提出的终端身份溯源方法,除了用于对攻击流的源头进行终端溯源,也可以用于其他任意需要终端溯源的场景中,本公开实施例对此不作限制。
本公开提出的终端身份溯源方法,包括N3接口和N4接口的流量分析,以及N3接口和N4接口流量关联两部分,其中,流量分析是为了确定出接口流量中包含的终端信息、隧道信息和攻击流信息;流量关联则是将终端信息和隧道信息绑定以及隧道信息和攻击流信息绑定,这样就能够将终端信息和攻击流信息绑定,从而进行攻击终端溯源定位。
在一些示例性实施例中,如图4所示,该终端身份溯源方法可以包括如下步骤:
步骤401:解析N4接口的会话创建流程流量,获取用户永久标识符(SUPI)、终端N3接口上行隧道的TEID和上行隧道通信的目的IP地址、当前会话流程的SEID和会话IP地址(即会话修改请求消息的目的IP地址)。
步骤402:解析N4接口的会话修改流程流量,获取当前会话流程的SEID和会话修改请求消息的目的IP地址(即UPF网元的IP地址)、终端N3接口下行隧道的TEID和下行隧道通信的目的IP地址。
步骤403:根据获取到的当前会话流程的SEID和会话修改请求消息的目的IP地址是否一致,将当前终端的会话创建流程信息和会话修改流程信息相关联,通过整合两者信息就能确定出当前终端对应的上行隧道信息和下行隧道信息,这里将这些信息保存下来。由于终端会移动,对应的隧道信息也是会变化的,但是用户永久标识符(SUPI)不会改变,因此我们可以根据解析到的数据依照用户永久标识符(SUPI)来进行实时更新。
步骤404:对于终端的业务流量都是通过N3接口采用GTP隧道协议从基站发送UPF网元。这里需要对GTP隧道协议进行剥离,在剥离过程中需要获取当前隧道流量的TEID值以及对应的隧道通信的目的IP地址,然后将负载数据进行安全监测。在这里我们需要提取信息有隧道的TEID和隧道通信的目的IP地址,以及隧道负载流的五元组信息。
步骤405:现在我们能够从5G专网流量里面掌握终端的身份信息和对应的隧道信息,以及隧道的负载流信息。因此,只需要将N3接口获取到的隧道标识TEID和隧道通信的目的IP地址,同N4接口获取的每一个终端里面的隧道标识TEID和隧道通信的目的IP地址进行一一比对,如果比对成功就能够标识出终端对应了哪些隧道负载流信息。
步骤406:如果在5G专网中网络安全设备发现了攻击流,提取对应的五元组信息以及关联好的终端对应的隧道负载流信息进行查询,即可溯源到攻击流的终端信息。
本公开提供的终端身份溯源方法,只需要采集N3接口和N4接口的流量即可进行业务域流量溯源。本公开适用于5G专网环境下的终端溯源定位,例如,可以用于对攻击流或其他任意流量进行溯源定位。
如图5所示,本公开实施例还提供了一种终端身份溯源设备,可以包括流量解析模块501、信息关联模块502和安全监测模块503,其中:
流量解析模块501,负责解析N3接口和N4接口的流量,根据解析到的流量信息分别生成终端隧道表和隧道负载表;
信息关联模块502,负责将流量解析模块501生成的终端隧道表和隧道负载表进行关联,关联后生成终端负载表用于查询,并根据变化实时更新终端负载表;还负责接收安全监测模块503输出的攻击流的五元组信息,然后根据终端负载表进行终端查询,输出攻击流对应的终端信息;
安全监测模块503,负责对N3接口的隧道负载流进行安全监测,如果监测到攻击,获取攻击流的五元组信息并发送至信息关联模块502。
在一些示例性实施例中,会话管理流程可以包括会话创建流程、会话修改流程和会话删除流程,流量解析模块501解析N4接口的流量,可以包括:
对N4接口的会话创建流程流量进行解析,记录终端的身份信息与分配给所述终端的上行隧道信息以及当前会话流程的会话层信息;
对N4接口的会话修改流程流量进行解析,根据所述当前会话流程的会话层信息,确定所述终端的下行隧道信息。
本公开实施例还提供了一种终端身份溯源设备,包括存储器;和连接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如前任一项所述的终端身份溯源方法的步骤。
在一个示例中,如图6所示,终端身份溯源设备可包括:处理器610、存储器620、总线系统630和收发器640,其中,该处理器610、该存储器620和该收发器640通过该总线系统630相连,该存储器620用于存储指令,该处理器610用于执行该存储器620存储的指令,以控制该收发器640发送信号。具体地,收发器640可在处理器610的控制下获取N4接口的会话管理流程流量以及N3接口的业务流量,处理器610对N4接口的会话管理流程流量进行解析,以建立终端隧道表,所述终端隧道表用于记录终端的身份信息与分配给所述终端的隧道信息;对N3接口的业务流量进行解析,以建立隧道负载表,所述隧道负载表用于记录隧道信息与所述隧道的负载流信息;根据所述终端隧道表与隧道负载表,建立终端负载表,所述终端负载表用于记录所述终端的身份信息与所述终端对应的负载流信息;根据所述终端负载表对要检测的负载流信息进行检测。
应理解,处理器610可以是中央处理单元(Central Processing Unit,CPU),处理器610还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器610也可以是任何常规的处理器等。
存储器620可以包括只读存储器和随机存取存储器,并向处理器610提供指令和数据。存储器620的一部分还可以包括非易失性随机存取存储器。例如,存储器620还可以存储设备类型的信息。
总线系统630除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。
在实现过程中,该终端身份溯源设备所执行的处理可以通过处理器610中的硬件的集成逻辑电路或者软件形式的指令完成。即本公开实施例的方法步骤可以体现为硬件处理器执行完成,或者用处理器610中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等存储介质中。该存储介质位于存储器620,处理器610读取存储器620中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
本公开实施例还提供了一种计算机存储介质,该计算机存储介质存储有可执行指令,该可执行指令被处理器执行时可以实现本公开上述任一实施例提供的终端身份溯源方法,该终端身份溯源方法可以对N4接口的会话管理流程流量进行解析,以建立终端隧道表,所述终端隧道表用于记录终端的身份信息与分配给所述终端的隧道信息;对N3接口的业务流量进行解析,以建立隧道负载表,所述隧道负载表用于记录隧道信息与所述隧道的负载流信息;根据所述终端隧道表与隧道负载表,建立终端负载表,所述终端负载表用于记录所述终端的身份信息与所述终端对应的负载流信息;根据所述终端负载表对要检测的负载流信息进行检测,从而实现了5G专网环境下的终端溯源定位。通过执行可执行指令驱动终端身份溯源的方法与本公开上述实施例提供的终端身份溯源方法基本相同,在此不做赘述。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本公开所揭露的实施方式如上,但所述的内容仅为便于理解本公开而采用的实施方式,并非用以限定本公开。任何本公开所属领域内的技术人员,在不脱离本公开所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本公开的保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (10)
1.一种终端身份溯源方法,其特征在于,包括:
对N4接口的会话管理流程流量进行解析,以建立终端隧道表,所述终端隧道表用于记录终端的身份信息与分配给所述终端的隧道信息;
对N3接口的业务流量进行解析,以建立隧道负载表,所述隧道负载表用于记录隧道信息与所述隧道的负载流信息;
根据所述终端隧道表与隧道负载表,建立终端负载表,所述终端负载表用于记录所述终端的身份信息与所述终端对应的负载流信息;
根据所述终端负载表对要检测的负载流信息进行检测。
2.根据权利要求1所述的终端身份溯源方法,其特征在于,所述会话管理流程包括会话创建流程和会话修改流程,所述对N4接口的会话管理流程流量进行解析,包括:
对N4接口的会话创建流程流量进行解析,记录终端的身份信息与分配给所述终端的上行隧道信息以及当前会话流程的会话层信息;
对N4接口的会话修改流程流量进行解析,根据所述当前会话流程的会话层信息,确定所述终端的下行隧道信息。
3.根据权利要求2所述的终端身份溯源方法,其特征在于,所述上行隧道信息包括所述上行隧道的隧道端点标识符和上行隧道通信的目的IP地址,所述下行隧道信息包括所述下行隧道的隧道端点标识符和下行隧道通信的目的IP地址。
4.根据权利要求2所述的终端身份溯源方法,其特征在于,所述当前会话流程的会话层信息包括:所述当前会话流程的会话端点标识符和会话IP地址。
5.根据权利要求1所述的终端身份溯源方法,其特征在于,所述负载流信息包括源IP地址、目的IP地址、源端口号和目的端口号。
6.根据权利要求1所述的终端身份溯源方法,其特征在于,所述负载流信息包括源IP地址、目的IP地址、源端口号、目的端口号和协议号。
7.根据权利要求1所述的终端身份溯源方法,其特征在于,所述终端的身份信息包括所述终端的国际移动用户标识码或用户永久标识符。
8.根据权利要求1所述的终端身份溯源方法,其特征在于,所述根据所述终端负载表对要检测的负载流信息进行检测,包括:
对N3接口的隧道负载流进行安全检测;
当检测到安全攻击时,获取攻击流信息;
根据所述终端负载表确定所述攻击流信息对应的终端。
9.一种终端身份溯源设备,其特征在于,包括存储器;和连接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至8中任一项所述的终端身份溯源方法的步骤。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1至8中任一项所述的终端身份溯源方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210177790.5A CN114423008A (zh) | 2022-02-25 | 2022-02-25 | 终端身份溯源方法、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210177790.5A CN114423008A (zh) | 2022-02-25 | 2022-02-25 | 终端身份溯源方法、设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114423008A true CN114423008A (zh) | 2022-04-29 |
Family
ID=81260794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210177790.5A Pending CN114423008A (zh) | 2022-02-25 | 2022-02-25 | 终端身份溯源方法、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114423008A (zh) |
-
2022
- 2022-02-25 CN CN202210177790.5A patent/CN114423008A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7234342B2 (ja) | Diameterエッジエージェントを利用して下りローミング加入者のために時間距離セキュリティ対策を行うための方法、システム、およびコンピュータ読み取り可能な媒体 | |
US10334419B2 (en) | Methods, systems, and computer readable media for optimizing machine type communication (MTC) device signaling | |
CN108702381B (zh) | 一种消息传输方法及核心网接口设备 | |
US10129110B2 (en) | Apparatus and method of identifying a user plane identifier of a user device by a monitoring probe | |
KR20120026178A (ko) | 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치 | |
US8804716B2 (en) | Methods, systems, and computer readable media for evolved general packet radio service (GPRS) tunneling protocol (eGTP) indirect tunneling in a voice over LTE (VoLTE) simulation | |
US9332426B2 (en) | Communication system, communication method, and communication program | |
CN112788644B (zh) | 一种移动网络中业务数据的边缘分流系统和方法 | |
US10785688B2 (en) | Methods and systems for routing mobile data traffic in 5G networks | |
CN105611533B (zh) | 完整性校验码mic检查方法及装置 | |
US11258831B2 (en) | LI for mobility in S8HR | |
US9510377B2 (en) | Method and apparatus for managing session based on general packet radio service tunneling protocol network | |
CN107277882B (zh) | 一种数据路由方法、装置和基站 | |
US10251119B2 (en) | Method and apparatus for handling reject | |
US11039338B2 (en) | Methods, systems, and computer readable media for control plane traffic filtering in a control and user plane separation (CUPS) environment | |
CN114268970A (zh) | 网络能力开放方法、设备及存储介质 | |
CN111226452B (zh) | 一种业务策略创建方法及装置 | |
CN114423008A (zh) | 终端身份溯源方法、设备及计算机可读存储介质 | |
CN113453215B (zh) | 一种获取终端标识的方法及装置 | |
US10887768B2 (en) | Mobile traffic redirection system | |
WO2018108012A1 (zh) | 一种网络功能实体进行无状态处理的方法及装置 | |
CN115065995B (zh) | 关联信息管理方法、装置、电子设备及存储介质 | |
CN106161513B (zh) | 实现快速内容分发的方法及设备 | |
CN108055200B (zh) | 一种数据包发送方法、移动路由器及网络设备 | |
WO2021000820A1 (zh) | 通信方法和相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |