WO2017108009A1 - Diameter信令发送方法和装置 - Google Patents
Diameter信令发送方法和装置 Download PDFInfo
- Publication number
- WO2017108009A1 WO2017108009A1 PCT/CN2016/112681 CN2016112681W WO2017108009A1 WO 2017108009 A1 WO2017108009 A1 WO 2017108009A1 CN 2016112681 W CN2016112681 W CN 2016112681W WO 2017108009 A1 WO2017108009 A1 WO 2017108009A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- dra
- diameter signaling
- country
- information
- diameter
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2466—Traffic characterised by specific attributes, e.g. priority or QoS using signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
Abstract
本发明提供了一种Diameter信令发送方法和装置。其中,该方法包括:DRA接收Diameter信令;DRA判断Diameter信令的上一跳节点是否为业务节点;在判断结果为是的情况下,DRA清除Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中,其中,第二路径信息包括:Diameter信令的上一跳节点的标识信息;DRA发送Diameter信令。通过本发明,解决了Diameter信令被伪造导致的Diameter信令网络安全性低的问题,提升了Diameter信令网络的安全性。
Description
本发明涉及通信领域,具体而言,涉及一种Diameter信令发送方法和装置。
Diameter(直径)信令是信令系统#7(Signaling System#7,简称为SS7)(移动应用部分(Mobile Application Part,简称为MAP)协议)信令的换代技术,广泛应用于第四代移动通信技术(4G)相关的网络中。图1是根据相关技术的核心分组网演进(Evolved Packet Core,简称为EPC)、IP多媒体子系统(IP Multimedia Subsystem,简称为IMS)、策略计费控制(Policy Control and Charging,简称为PCC)的示意图,图1中示出了EPC、IMS、PCC的部分相关网元和Diameter信令接口(图1中虚线表示Diameter信令接口)。虽然,4G核心网络发生了很大的变化,但是基本业务类似,技术原理相似,第二代移动通信技术(2G)/第三代移动通信技术(3G)网络的攻击方式很多可类推到4G网络。
对于2G/3G移动网络的MAP信令,存在着各种网络攻击手段,全球移动系统通讯协会(Global System for Mobile Communications assembly,简称为GSMA)在规范中总结了如下5类攻击方式:
A:跟踪,获取用户当前的位置信息;B:拦截,拦截用户的呼叫,短信;C:DoS攻击,造成用户或者网络的正常业务无法进行;D:欺骗;E:垃圾广告。
针对MAP信令安全,GSMA给出的防御措施是对3类消息进行限定:
第一类,仅在归属网络传递的消息,例如:SendRoutingInfo(发送路由信息)、SendRoutingInfo for GPRS(用于通用分组无线业务的发送路由信息)、SendRoutingInfo for LCS(用于定位服务的发送路由信息)、SendIMSI(发送国际移动用户识别码)、AnyTimeInterogation(任何时间协商)、AnyTimeSubscriberInterrogation(任何时间订户协商)、AnyTimeModification(任何时间修改)、SendIdentification(发送标识);
第二类,仅从归属网络发送到漫游网络的消息,例如:InsertSubscriberData(插入订户数据)、DeleteSubscriberData(删除订户数据)、Reset(重启)、ForwardCheckSSIndication(前向补充业务检查指示)、ProvideSubscriberInfo(提供订户信息)、NoteSubscriberDataModified(注意订户数据修改)、ActivateTraceMode(激活跟踪模式)、ProvideRoamingNumber(提供漫游号码)、SetReportingState(设置报告状态)、RemoteUserFree、ISTCommand(IST命令)、AlertServiceCentre(警告服务中心)、CancelLocation(取消定位);
第三类,仅从漫游网络发送到归属网络的消息,例如:RegisterSS(注册补充业务)、
LocationUpdate(本地更新)、ForwardSM(前向短消息)、processUnstructuredSS(处理非结构补充业务)。
上述防御措施可以在端局进行,GSMA更加推荐在信令转接点(Signaling Transfer Point,简称为STP)进行。
对于MAP信令,GSMA技术涉及的“漫游网络”和“归属网络”主要是通过MAP消息的主、被叫全局码(Global Title,简称为GT)和/或用户的国际移动用户识别码(International Mobile Subscriber Identification Nnumber,简称为IMSI)/移动台国际综合业务数字网(Integrated Services Digital Network,简称为ISDN)/公共交换电话网络(Public Switched Telephone Network,简称为PSTN)识别号码(Mobile Subscriber International ISDN/PSTN number,简称为MSISDN)标识进行判断。
研究过程中发现,上述防御方式存在下列缺陷:如果主/被叫GT和/或用户的IMSI/MSISDN标识都是伪造的,且STP无法识别其真伪,则会造成防御失效。
对于4G核心网来说,Diameter路由代理(Diameter Routing Agent,简称为DRA)相当于七号信令网中的STP。可以将GSMA技术在Diameter信令网络中实现,但是仍需解决防止黑客伪造信令内容的问题。
目前,Diameter信令网络的其他安全措施还有:黑名单和白名单。研究过程中发现,由于攻击点难以预知且不可穷尽,因此,黑名单效果欠佳;当攻击者将消息伪装成白名单的消息时,白名单的防御措施也会失效。
发明内容
本发明实施例提供了一种Diameter信令发送方法和装置,以至少解决相关技术中Diameter信令被伪造导致的Diameter信令网络安全性低的问题。
根据本发明实施例的一个方面,提供了一种Diameter信令发送方法,包括:DRA接收Diameter信令;所述DRA判断所述Diameter信令的上一跳节点是否为业务节点;在判断结果为是的情况下,所述DRA清除所述Diameter信令中的第一路径信息,并添加第二路径信息至所述Diameter信令中,其中,所述第二路径信息包括:所述Diameter信令的上一跳节点的标识信息;所述DRA发送所述Diameter信令。
可选地,在所述DRA判断所述Diameter信令的上一跳节点是否为所述业务节点之后,所述方法还包括:在判断结果为否的情况下,所述DRA保留所述Diameter信令中的第一路径信息,并添加所述第二路径信息至所述Diameter信令中;所述DRA发送所述Diameter信令。
可选地,在所述DRA为落地DRA的情况下,所述DRA发送所述Diameter信令包括:所述DRA根据所述第二路径信息和所述Diameter信令所属的消息集合,判断所述Diameter信令是否满足预定条件,其中,所述消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;在判断结果为是的情
况下,所述DRA发送所述Diameter信令。
可选地,在所述Diameter信令所属的消息集合为归属国向漫游国发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述Diameter信令的IMSI查询到的国家运营商为第一国运营商;所述Diameter信令的源主机与根据IMSI查询到的第一国运营商构成信任关系;所述Diameter信令的所述第二路径信息包括第一国关口DRA信息,其中,所述第一国关口DRA信息为根据IMSI查询到的第一国运营商的关口DRA信息;所述Diameter信令的所述第二路径信息包括第二国关口DRA信息,其中,所述第二国关口DRA信息为所述DRA所在国的运营商的关口DRA信息;所述Diameter信令的所述第二路径信息中最多包含两个国家的关口DRA信息。
可选地,在所述Diameter信令所属的消息集合为漫游国向归属国发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述Diameter信令的IMSI查询到的国家运营商为第二国运营商,其中,所述第二国运营商为所述DRA所在国的运营商;根据所述Diameter信令的源主机查询到的国家运营商为第一国运营商;所述Diameter信令的所述第二路径信息包括第一国关口DRA信息,其中,所述第一国关口DRA为根据源主机查询到的第一国运营商的关口DRA信息;所述Diameter信令的所述第二路径信息包括第二国关口DRA信息,其中,所述第二国关口DRA信息为所述DRA所在国的运营商的关口DRA信息;所述Diameter信令的所述第二路径信息中最多包含两个国家的关口DRA信息。
可选地,在所述Diameter信令所属的消息集合为仅在归属国内发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述Diameter信令的IMSI或者MSISDN查询到的国家运营商为第二国运营商;根据所述Diameter信令的源主机查询到的国家运营商为第二国运营商;所述Diameter信令的所述第二路径信息中仅包含第二国运营商的关口DRA信息;其中,所述第二国运营商为所述DRA所在国的运营商。
根据本发明实施例的一个方面,提供了一种Diameter信令发送方法,包括:业务节点生成Diameter信令;所述业务节点添加第三路径信息至所述Diameter信令中,其中,所述第三路径信息为除所述Diameter信令的归属国运营商的关口DRA信息、以及除所述Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的关口DRA信息;所述业务节点发送所述Diameter信令。
可选地,在所述业务节点生成所述Diameter信令之后,所述方法还包括:所述业务节点判断第一DRA是否具备清除所述Diameter信令中的第一路径信息的能力,其中,所述第一DRA为所述Diameter消息的下一跳DRA;其中,所述业务节点添加第三路径信息至所述Diameter信令中包括:在判断结果为否的情况下,所述业务节点添加所述第三路径信息至所述Diameter信令中。
可选地,在所述业务节点发送所述Diameter信令之后,所述方法还包括:落地DRA接收所述Diameter信令;所述落地DRA根据所述第三路径信息,确定所述Diameter信令的路径为伪造路径。
根据本发明实施例的一个方面,提供了一种Diameter信令发送装置,应用于DRA,包括:接收模块,设置为接收Diameter信令;判断模块,设置为判断所述Diameter信令的上一跳节点是否为业务节点;第一处理模块,设置为在判断结果为是的情况下,清除所述Diameter信令中的第一路径信息,并添加第二路径信息至所述Diameter信令中,其中,所述第二路径信息包括:所述Diameter信令的上一跳节点的标识信息;第一发送模块,设置为发送所述Diameter信令。
可选地,所述装置还包括:第二处理模块,设置为在判断结果为否的情况下,保留所述Diameter信令中的第一路径信息,并添加所述第二路径信息至所述Diameter信令中;第二发送模块,设置为发送所述Diameter信令。
可选地,所述第一发送模块或者所述第二发送模块分别包括:判断单元,设置为在所述DRA为落地DRA的情况下,根据所述第二路径信息和所述Diameter信令所属的消息集合,判断所述Diameter信令是否满足预定条件,其中,所述消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;发送单元,设置为在判断结果为是的情况下,发送所述Diameter信令。
根据本发明实施例的一个方面,提供了一种Diameter信令发送装置,应用于业务节点,包括:生成模块,设置为生成Diameter信令;处理模块,添加第三路径信息至所述Diameter信令中,其中,所述第三路径信息为除所述Diameter信令的归属国运营商的关口DRA信息、以及除所述Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的关口DRA信息;发送模块,设置为发送所述Diameter信令。
可选地,所述装置还包括:判断模块,设置为判断第一DRA是否具备清除所述Diameter信令中的第一路径信息的能力,其中,所述第一DRA为所述Diameter消息的下一跳DRA;其中,所述处理模块设置为:在判断模块的判断结果为否的情况下,添加所述第三路径信息至所述Diameter信令中。
根据本发明的另一实施例,还提供了一种存储介质,所述存储介质上存储了以执行上述实施例所提供的Diameter信令发送方法的计算机程序。
通过本发明实施例,采用DRA接收Diameter信令;DRA判断Diameter信令的上一跳节点是否为业务节点;在判断结果为是的情况下,DRA清除Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中,其中,第二路径信息包括:Diameter信令的上一跳节点的标识信息;DRA发送Diameter信令的方式,解决了Diameter信令被伪造导致的Diameter信令网络安全性低的问题,提升了Diameter信令网络的安全性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的核心分组网演进EPC、IMS、PCC的示意图;
图2是根据本发明实施例的Diameter信令发送的流程图一;
图3是根据本发明实施例的Diameter信令发送方法的流程图二;
图4是根据本发明实施例的Diameter信令发送装置的结构框图一;
图5是根据本发明实施例的Diameter信令发送装置的可选结构框图;
图6是根据本发明实施例的Diameter信令发送装置的结构框图二;
图7是根据本发明可选实施例的MAP信令的消息分类的示意图;
图8是根据本发明可选实施例的Diameter信令网络的结构示意图;
图9是根据本发明可选实施例的归属国向漫游国发送的消息的检查的流程图;
图10是根据本发明可选实施例的漫游国向归属国发送的消息的检查的流程图;
图11是根据本发明可选实施例的仅归属国内发送的消息的检查的流程图;
图12是根据本发明可选实施例的DRA规正业务节点消息的流程图。
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明的实施例可以应用于4G核心网,例如,该核心网架构可以包括分组网演进(Evolved Packet Core,简称为EPC)、IP多媒体子系统(IP Multimedia Subsystem,简称为IMS)和策略计费控制(Policy Control and Charging,简称为PCC),其中,在该核心网中,可通过Diameter路由代理(Diameter Routing Agent,简称为DRA)进行Diameter信令接口。其中,DRA可以是单设的专用服务器,也可以是与其它网元合设,在本发明中并不限定其具体的形式。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
在本实施例中提供了一种Diameter信令发送方法,图2是根据本发明实施例的Diameter信令发送的流程图一,如图2所示,该流程包括如下步骤:
步骤S202,DRA接收Diameter信令;
步骤S204,DRA判断Diameter信令的上一跳节点是否为业务节点;
步骤S206,在判断结果为是的情况下,DRA清除Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中,其中,第二路径信息包括:Diameter信令的上一跳节点的标识信息;
步骤S208,DRA发送Diameter信令。
通过上述步骤,在从业务节点接收到Diameter信令后,将Diameter信令中的第一路径信息清除,并由DRA在Diameter信令中将上一跳节点的标识信息作为第二路径信息添加到Diameter信令中。通过该方式,可以杜绝业务节点伪造Diameter信令中的路径信息,解决了Diameter信令被伪造导致的Diameter信令网络安全性低的问题,提升了Diameter信令网络的安全性。
如果Diameter信令的上一跳不是业务节点,即在步骤S204中判断结果为否的情况下,DRA保留Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中。这样,不与业务节点直接连接的DRA依次将该DRA的上一跳节点的标识信息添加到Diameter信令中,从而使得Diameter信令中形成了完整的路径链,指示该Diameter信令经过的所有节点的路径信息。
在Diameter信令网络中,业务节点为Diameter信令的发起节点或者接收端节点;在上述步骤S204中所指的业务节点为Diameter信令的发起节点,例如,移动性管理实体Mobility Management Entity,简称为MME)等。
可选地,在DRA为落地DRA的情况下,在DRA发送Diameter信令时,DRA根据第二路径信息和Diameter信令所属的消息集合,判断Diameter信令是否满足预定条件;在判断结果为是的情况下,DRA发送Diameter信令。其中,消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合。通过对不同的Diameter信令所属的消息集合的不同,可以设置不同的预定条件,通过对Diameter信令中的路径信息的判断,可以进一步识别伪造信令。
其中,上述的落地DRA是指Diameter信令从发起端到接收端的路径上的最后一个DRA,该DRA接收到Diameter信令之后,该DRA将会将Diameter信令发送给位于Diameter接收端的业务节点。
上述的预定条件可以根据需要进行设置。
例如,在Diameter信令所属的消息集合为归属国向漫游国发送的消息集合的情况下,预定条件包括但不限于以下至少之一:根据Diameter信令的IMSI查询到的国家运营商为第一国运营商;Diameter信令的源主机与根据IMSI查询到的第一国运营商构成信任关系;Diameter信令的第二路径信息包括第一国关口DRA信息,其中,第一国关口DRA信息为根据IMSI查询到的第一国运营商的关口DRA信息;Diameter信令的第二路径信息包括第二国关口DRA信息,其中,第二国关口DRA信息为DRA所在国的运营商的关口DRA信息;Diameter信令的第二路径信息中最多包含两个国家的关口DRA信息。
例如,在Diameter信令所属的消息集合为漫游国向归属国发送的消息集合的情况下,预定条件包括但不限于以下至少之一:根据Diameter信令的IMSI查询到的国家运营商为第二国运营商,其中,第二国运营商为DRA所在国的运营商;根据Diameter信令的源主机查询到的
国家运营商为第一国运营商;Diameter信令的第二路径信息包括第一国关口DRA信息,其中,第一国关口DRA为根据源主机查询到的第一国运营商的关口DRA信息;Diameter信令的第二路径信息包括第二国关口DRA信息,其中,第二国关口DRA信息为DRA所在国的运营商的关口DRA信息;Diameter信令的第二路径信息中最多包含两个国家的关口DRA信息。
例如,在Diameter信令所属的消息集合为仅在归属国内发送的消息集合的情况下,预定条件包括但不限于以下至少之一:根据Diameter信令的IMSI或者MSISDN查询到的国家运营商为第二国运营商;根据Diameter信令的源主机查询到的国家运营商为第二国运营商;Diameter信令的第二路径信息中仅包含第二国运营商的关口DRA信息;其中,第二国运营商为DRA所在国的运营商。
其中,可以根据Diameter信令的命令码(Command Code)和/或应用接口判断该Diameter信令所属的消息集合。另外,在判断Diameter信令是否满足上述预定条件时,多个预定条件的判断顺序在本发明实施例中并不作限定。
本发明实施例中的路径信息添加在Diameter信令的路由记录(Route-Record)属性值对(Attribute-Value Pair,简称为AVP)中。
本发明实施例还提供了一种Diameter信令发送方法,图3是根据本发明实施例的Diameter信令发送方法的流程图二,如图3所示,该流程包括如下步骤:
步骤S302,业务节点生成Diameter信令;
步骤S304,业务节点添加第三路径信息至Diameter信令中,其中,第三路径信息为除Diameter信令的归属国运营商的关口DRA信息、以及除Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的关口DRA信息;
步骤S306,业务节点发送Diameter信令。
通过上述步骤,业务节点在生成的Diameter信令中添加第三个国家(即上述的其他国家)的关口DRA信息作为路径信息。如果入局的DRA不具备清除业务节点发送的Diameter信令中路径信息的能力,则落地DRA接收到的Diameter信令的路径信息将同时存在三个国家的关口DRA信息,而Diameter信令中存在三个国家的关口DRA信息在现有的Diameter信令网络中也属于不合法的路径信息,因此,通过该方式,使得后续的DRA(例如落地DRA)可以根据Diameter信令的路径信息判断出该Diameter信令的路径为伪造路径,从而解决了Diameter信令被伪造导致的Diameter信令网络安全性低的问题,提升了Diameter信令网络的安全性。
通过图2所示的Diameter信令发送方法需要Diameter信令的发起国的DRA对Diameter信令中的路径信息进行清除处理;然而,考虑到有些国家可能不允许该国的DRA清除Diameter信令中的路径信息,则可以采用图3所示的Diameter信令发送方法,通过业务节点对Diameter信令添加第三路径信息,使得Diameter信令不符合目前Diameter信令网络的协议规范。在落地DRA接收Diameter信令之后;落地DRA可以根据第三路径信息,则可确定Diameter信令的路径为伪造路径。
可选地,在步骤S302之后,业务节点还可以判断第一DRA是否具备清除Diameter信令中的第一路径信息的能力,其中,第一DRA为Diameter消息的下一跳DRA;相应的,在步骤S304中,在判断结果为否的情况下,业务节点添加第三路径信息至Diameter信令中。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种Diameter信令发送装置,该装置应用于DRA中,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。
图4是根据本发明实施例的Diameter信令发送装置的结构框图一,如图4所示,该装置包括:接收模块42、判断模块44、第一处理模块46和第一发送模块48,其中,
接收模块42,设置为接收Diameter信令;判断模块44,耦合至接收模块42,设置为判断Diameter信令的上一跳节点是否为业务节点;第一处理模块46,耦合至判断模块44,设置为在判断结果为是的情况下,清除Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中,其中,第二路径信息包括:Diameter信令的上一跳节点的标识信息;第一发送模块48,耦合至第一处理模块46,设置为发送Diameter信令。
图5是根据本发明实施例的Diameter信令发送装置的可选结构框图,如图5所示,可选地,装置还可以包括:第二处理模块52,耦合至判断模块44,设置为在判断结果为否的情况下,保留Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中;第二发送模块54,耦合至第二处理模块52,设置为发送Diameter信令。
可选地,第一发送模块46或者第二发送模块54分别包括:判断单元,设置为在DRA为落地DRA的情况下,根据第二路径信息和Diameter信令所属的消息集合,判断Diameter信令是否满足预定条件,其中,消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;发送单元,耦合至判断单元,设置为在判断结果为是的情况下,发送Diameter信令。
在本实施例中还提供了一种Diameter信令发送装置,该装置应用于业务节点中,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。
图6是根据本发明实施例的Diameter信令发送装置的结构框图二,如图6所示,该装置包括:生成模块62、处理模块66和发送模块68,其中,
生成模块62,设置为生成Diameter信令;处理模块66,耦合至生成模块62,设置为添加第三路径信息至Diameter信令中,其中,第三路径信息为除Diameter信令的归属国运营商的关口DRA信息、以及除Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的
关口DRA信息;发送模块68,耦合至处理模块66,设置为发送Diameter信令。
可选地,该装置还可以包括判断模块64,耦合在生成模块62和处理模块66之间,设置为判断第一DRA是否具备清除Diameter信令中的第一路径信息的能力,其中,第一DRA为Diameter消息的下一跳DRA;处理模块66设置为:在判断模块64的判断结果为否的情况下,添加第三路径信息至Diameter信令中。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述模块分别位于多个处理器中。
本发明的实施例还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
本发明的实施例还提供了一种存储介质。在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
步骤S202,DRA接收Diameter信令;
步骤S204,DRA判断Diameter信令的上一跳节点是否为业务节点;
步骤S206,在判断结果为是的情况下,DRA清除Diameter信令中的第一路径信息,并添加第二路径信息至Diameter信令中,其中,第二路径信息包括:Diameter信令的上一跳节点的标识信息;
步骤S208,DRA发送Diameter信令。
本发明的实施例还提供了一种存储介质。在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
步骤S302,业务节点生成Diameter信令;
步骤S304,业务节点添加第三路径信息至Diameter信令中,其中,第三路径信息为除Diameter信令的归属国运营商的关口DRA信息、以及除Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的关口DRA信息;
步骤S306,业务节点发送Diameter信令。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
为了使本发明实施例的描述更加清楚,下面结合可选实施例进行描述和说明。
为了克服现有GSMA技术中存在的无法识别伪装的源地址或者IMSI号码等信令内容的问题和缺陷,本发明实施例中提供了一种识别伪装的源地址或者IMSI号码的方法、装置和系统,包括如下技术方案:
步骤1,DRA接收到业务节点的消息(即Diameter信令)时,将消息中的Route-Record AVP全部清除,确保此Route-Record AVP不被黑客伪造;
步骤2,每个DRA在转发任何Diameter请求消息时,将上一跳的DRA或业务节点记录到Route-Record AVP中,形成一个Route-Record AVP链,完整体现该Diameter请求消息所经过的所有DRA节点或业务节点组成的路径;
步骤3,当DRA转发Diameter请求消息到业务节点前,对三类消息(即“归属国向漫游国发送的消息”、“漫游国向归属国发送的消息”、“仅归属国内发送的消息”)增加漫游国关口DRA、落地国关口DRA的检查,通过检查识别伪造信令内容的消息,并屏蔽无法通过上述全部检查的消息。
步骤4,反Route-Record AVP伪造。当发起业务的国家的DRA不对Route-Record AVP进行规正(即在业务节点发出的消息中携带有路径信息,但发起业务的国家的DRA不将该消息中的Route-Record AVP全部清除)时,业务节点可在发出去的消息中包含一组Route-Record AVP,用以伪造第三国的路径。落地DRA在转发Diameter请求消息到业务节点前,检查其路径中是否包含迂回路径或者包含三个或者三个以上国家关口DRA信息,如果包括,则确认其为伪造路径,屏蔽该消息。通过该方式,实现了在不改变DRA流程的情况下,通过主动伪造第三国的路径,利用了现有的伪造路径识别功能,实现了对存在安全隐患的消息识别和屏蔽。
步骤5,当所有检查通过后,DRA转发Diameter请求消息到业务节点。
通过上述步骤,由于Diameter信令的特殊性:业务节点发出消息时并不携带路径信息,路径信息(即一个或者多个Route-Record AVP)由转发该消息的DRA节点逐个在消息中添加。此外,由于DRA节点比业务节点的可信度高,因此,DRA添加的路径信息更可靠。通过上述的处理后,则可以使用Diameter请求消息中携带的路径信息来验证其源主机名/域名/IMSI号码的一致性或者其是否为合法路径,从而识别伪造Diameter信令,大大提高了网络的防御能力。采用该方式可以有效防御那种“躲在一隅,攻击全球”的攻击方式。
此外,对“归属国向漫游国发送的消息”、“漫游国向归属国发送的消息”、“仅归属国内发送的消息”可以分别根据这些消息的特点进一步制定预定条件,实现更高的可靠性。
下面结合附图和实例对本发明可选实施例进行描述和说明。
图7是根据本发明可选实施例的MAP信令的消息分类的示意图,如图7所示,①表示“仅归属国内发送的消息”的传递范围;②表示“归属国向漫游国发送的消息”的传递范围;③表示“漫游国向归属国发送的消息”的传递范围。Diameter信令也按照MAP信令的分类方法分为三类。
图8是根据本发明可选实施例的Diameter信令网络的结构示意图,如图8所示,Diameter信令网络分为三层,分别为:底层的是业务节点;中间层的国内DRA转接层;最上层的国际DRA(iDRA)信令转接层。另外,图8中示意性示出了Diameter信令的传递路径。
为了使本发明实施例更容易被理解,本发明可选实施例中对参数的配置进行了介绍。需要说明的是,下列的参数的配置仅作为示例性说明,本发明实施例并不限于下列具体的参数配置的值;即实际配置值可以根据现实需要和相关协议进行修改,并不限于下列示意的具体参数配置。
1、配置“国家运营商网络名称,关口DRA主机”关系,其中,
国家运营商网络名称为全称域名(Fully Qualified Domain Name,简称为FQDN)字符串,最长128字节;关口DRA主机为FQDN字符串,最长128字节;
需要说明的是,当一个国家运营商网络名称有多个关口DRA进行负荷分担时,这多个关口DRA主机都需要配置在“国家运营商网络名称,关口DRA主机”关系中。
2、配置“国家运营商网络名称,业务主机,业务主机应用ID集合”关系,其中,
国家运营商网络名称为FQDN字符串,最长128字节;业务主机为FQDN字符串,最长128字节;业务主机应用ID集合:即Application ID的集合,表示该主机支持的合法应用;
需要说明的是,当一个国家运营商网络名称有多个业务主机时,多个业务主机都需要配置在“国家运营商网络名称,业务主机,业务主机应用ID集合”关系中;当一个业务主机可同时支持多个接口,例如:PCRF,同时支持Gxx、Gx、Rx、S9、Sd、Gy等接口时,多个接口都需要配置在“国家运营商网络名称,业务主机,业务主机应用ID集合”关系中。
3、配置“国家运营商网络名称,IMSI号段”关系,其中,
国家运营商网络名称为FQDN字符串,最长128字节;IMSI号段为十进制码,最长15字节;
需要说明的是,当一个国家运营商网络名称有多个IMSI号段时,多个IMSI号段都需要配置在“国家运营商网络名称,IMSI号段”关系中。
4、配置“国家运营商网络名称,公有用户标识(Public User Identity,简称为PUI)号段”关系,其中,
国家运营商网络名称为FQDN字符串,最长128字节;PUI号段为字符串,最长128字节;
需要说明的是,当一个国家运营商网络名称有多个PUI号段时,多个PUI号段都需要配置在“国家运营商网络名称,PUI号段”关系中。
5、配置本国家运营商网络名称。
在完成参数配置后,则可以根据消息所属图7中消息的类型,分别设计鉴别流程。
图9是根据本发明可选实施例的归属国向漫游国发送的消息的检查的流程图,如图9所示,假设A国为Diameter消息发送方的归属国,B国为Diameter消息发送方的漫游国,该流程包括如下步骤:
步骤S901,B国的DRA接收到Diameter消息(即Diameter信令),路由分析下一节点是业务节点;
步骤S902:B国的DRA按照该Diameter消息的命令码和应用接口判断是否属于归属国向漫游国消息集合,如果是,则继续。否则按照其他判定逻辑处理。
步骤S903:B国的DRA按照“国家运营商网络名称,IMSI号段”获取IMSI对应的国家运营商网络名称,如果是它国运营商(即,除B国之外的其他国家的运营商),则继续。否则按照其他判定逻辑处理。
步骤S904:B国的DRA按照“国家运营商网络名称,业务主机”检查消息的源主机名,如果与按照IMSI获取的国家运营商网络名称构成信任关系。则继续,否则判定为非法消息,丢弃。
步骤S905:B国的DRA按照“国家运营商网络名称,关口DRA主机”和该请求消息的Route-Record链,判定Route-Record链是否包含B国的关口DRA。是则继续。如果不匹配,判定为非法消息,丢弃。
步骤S906:B国的DRA按照“国家运营商网络名称,关口DRA主机”检查消息的Route-Record链,如果含A国的关口DRA,则继续。否则判定为非法消息,丢弃。
步骤S907:B国的DRA检查消息的Route-Record AVP链,如果最多含两个国家的关口DRA,则继续。否则判定为伪造Route-Record消息,丢弃。
通过图9所示的内容核查和Route-Record路径信息检查,例如,对于Diameter信令S6a接口的CLR请求消息,攻击者如果通过第三国发起合法用户的信息删除攻击,DRA可以识别出来并丢弃。
图10是根据本发明可选实施例的漫游国向归属国发送的消息的检查的流程图,如图10所示,假设A国为Diameter消息发送方的归属国,B国为Diameter消息发送方的漫游国,该流程包括如下步骤:
步骤S1001:A国的DRA接收到Diameter消息,路由分析下一节点是业务节点;
步骤S1002:A国的DRA按照该Diameter消息的命令码是否属于漫游国向归属国发送的消息集合,如果是,则继续。否则按照其他判定逻辑处理。
步骤S1003:A国的DRA按照“国家运营商网络名称,IMSI号段”获取IMSI对应的国
家运营商网络名称,如果是A国运营商,则继续。否则丢弃。
步骤S1004:A国的DRA按照“国家运营商网络名称,业务主机”获取源主机名对应的国家运营商网络名称,如果是它国运营商(即,除A国之外的其他国家的运营商),则继续。否则按照其他判定逻辑处理。
步骤S1005:A国的DRA按照“国家运营商网络名称,关口DRA主机”和该请求消息的Route-Record链,判定Route-Record链是否包含B国的关口DRA。是则继续。如果不匹配,判定为非法消息,丢弃。
步骤S1006:A国的DRA按照“国家运营商网络名称,关口DRA主机”检查消息的Route-Record链,如果含A国的关口DRA,则继续。否则判定为非法消息,丢弃。
步骤S1007:A国的DRA检查消息的Route-Record AVP链,如果最多含两个国家的关口DRA,则继续。否则判定为伪造Route-Record消息,丢弃。
通过图10所示的内容核查和Route-Record路径信息检查,例如,对于Diameter信令S6a接口的PUR请求消息,攻击者如果通过第三国发起合法用户的信息漫游信息删除,DRA可以识别出来并丢弃。
图11是根据本发明可选实施例的仅归属国内发送的消息的检查的流程图,如图11所示,假设A国为Diameter消息发送方的归属国,该流程包括如下步骤:
步骤S1101:A国的DRA接收到Diameter消息,路由分析下一节点是业务节点;
步骤S1102:A国的DRA按照该Diameter消息的命令码是否属于仅归属国内发送的消息集合,如果是,则继续。否则按照其他判定逻辑处理。
步骤S1103:A国的DRA按照“国家运营商网络名称,IMSI号段”检查消息的IMSI或者MSISDN,如果匹配的国家是A国,则继续,否则判定为非法消息,丢弃。
步骤S1104:A国的DRA按照“国家运营商网络名称,业务主机”获取源主机名对应的国家运营商网络名称,如果是A国运营商,则继续。否则判定为非法消息,丢弃。
步骤S1105:A国的DRA按照“国家运营商网络名称,关口DRA主机”检查消息的Route-Record链,如果不含它国(即除A国之外的其他国家)的关口DRA,则继续。否则判定为非法消息,丢弃。
通过图11所示的内容核查和Route-Record路径信息检查,例如,对于Sh接口的UDR请求消息,攻击者如果通过第三国发起到IMS-HSS的用户数据请求(旨在非法获取用户签约信息),DRA可以识别出来并丢弃。
图12是根据本发明可选实施例的DRA规正业务节点消息的流程图,如图12所示,该流程包括如下步骤:
步骤S1201:DRA接收到Diameter请求消息,如果是业务节点发起,则将Route-Record AVP全部清除;
步骤S1202:后续进行正常业务处理。
通过上述步骤,如果Diameter信令的入局为业务节点,则无论Route-Record AVP携带的路径信息有多少,将会全部删除这些路径信息,保证了后续传递的Diameter信令中不会携带业务节点添加的Route-Record AVP信息。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
- 一种Diameter信令发送方法,包括:Diameter路由代理DRA接收Diameter信令;所述DRA判断所述Diameter信令的上一跳节点是否为业务节点;在判断结果为是的情况下,所述DRA清除所述Diameter信令中的第一路径信息,并添加第二路径信息至所述Diameter信令中,其中,所述第二路径信息包括:所述Diameter信令的上一跳节点的标识信息;所述DRA发送所述Diameter信令。
- 根据权利要求1所述的方法,其中,在所述DRA判断所述Diameter信令的上一跳节点是否为所述业务节点之后,所述方法还包括:在判断结果为否的情况下,所述DRA保留所述Diameter信令中的第一路径信息,并添加所述第二路径信息至所述Diameter信令中;所述DRA发送所述Diameter信令。
- 根据权利要求1或2所述的方法,其中,在所述DRA为落地DRA的情况下,所述DRA发送所述Diameter信令包括:所述DRA根据所述第二路径信息和所述Diameter信令所属的消息集合,判断所述Diameter信令是否满足预定条件,其中,所述消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;在判断结果为是的情况下,所述DRA发送所述Diameter信令。
- 根据权利要求3所述的方法,其中,在所述Diameter信令所属的消息集合为归属国向漫游国发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述Diameter信令的国际移动用户识别码IMSI查询到的国家运营商为第一国运营商;所述Diameter信令的源主机与根据IMSI查询到的第一国运营商构成信任关系;所述Diameter信令的所述第二路径信息包括第一国关口DRA信息,其中,所述第一国关口DRA信息为根据IMSI查询到的第一国运营商的关口DRA信息;所述Diameter信令的所述第二路径信息包括第二国关口DRA信息,其中,所述第二国关口DRA信息为所述DRA所在国的运营商的关口DRA信息;所述Diameter信令的所述第二路径信息中最多包含两个国家的关口DRA信息。
- 根据权利要求3所述的方法,其中,在所述Diameter信令所属的消息集合为漫游国向归属国发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述Diameter信令的国际移动用户识别码IMSI查询到的国家运营商为第二国运营商,其中,所述第二国运营商为所述DRA所在国的运营商;根据所述Diameter信令的源主机查询到的国家运营商为第一国运营商;所述Diameter信令的所述第二路径信息包括第一国关口DRA信息,其中,所述第一国关口DRA为根据源主机查询到的第一国运营商的关口DRA信息;所述Diameter信令的所述第二路径信息包括第二国关口DRA信息,其中,所述第二国关口DRA信息为所述DRA所在国的运营商的关口DRA信息;所述Diameter信令的所述第二路径信息中最多包含两个国家的关口DRA信息。
- 根据权利要求3所述的方法,其中,在所述Diameter信令所属的消息集合为仅在归属国内发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述Diameter信令的国际移动用户识别码IMSI或者移动台国际ISDN/PSTN识别号码MSISDN查询到的国家运营商为第二国运营商;根据所述Diameter信令的源主机查询到的国家运营商为第二国运营商;所述Diameter信令的所述第二路径信息中仅包含第二国运营商的关口DRA信息;其中,所述第二国运营商为所述DRA所在国的运营商。
- 一种Diameter信令发送方法,包括:业务节点生成Diameter信令;所述业务节点添加第三路径信息至所述Diameter信令中,其中,所述第三路径信息为除所述Diameter信令的归属国运营商的关口Diameter路由代理DRA信息、以及除所述Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的关口DRA信息;所述业务节点发送所述Diameter信令。
- 根据权利要求7所述的方法,其中,在所述业务节点生成所述Diameter信令之后,所述方法还包括:所述业务节点判断第一DRA是否具备清除所述Diameter信令中的第一路径信息的能力,其中,所述第一DRA为所述Diameter消息的下一跳DRA;其中,所述业务节点添加第三路径信息至所述Diameter信令中包括:在判断结果为否的情况下,所述业务节点添加所述第三路径信息至所述Diameter信令中。
- 根据权利要求7或8所述的方法,其中,在所述业务节点发送所述Diameter信令之后,所述方法还包括:落地DRA接收所述Diameter信令;所述落地DRA根据所述第三路径信息,确定所述Diameter信令的路径为伪造路径。
- 一种Diameter路由代理DRA,包括:接收模块,设置为接收Diameter信令;判断模块,设置为判断所述Diameter信令的上一跳节点是否为业务节点;第一处理模块,设置为在判断结果为是的情况下,清除所述Diameter信令中的第一路径信息,并添加第二路径信息至所述Diameter信令中,其中,所述第二路径信息包括:所述Diameter信令的上一跳节点的标识信息;第一发送模块,设置为发送所述Diameter信令。
- 根据权利要求9所述的DRA,其中,所述DRA还包括:第二处理模块,设置为在判断结果为否的情况下,保留所述Diameter信令中的第一路径信息,并添加所述第二路径信息至所述Diameter信令中;第二发送模块,设置为发送所述Diameter信令。
- 根据权利要求9或10所述的DRA,其中,所述第一发送模块或者所述第二发送模块分别包括:判断单元,设置为在所述DRA为落地DRA的情况下,根据所述第二路径信息和所述Diameter信令所属的消息集合,判断所述Diameter信令是否满足预定条件,其中,所述消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;发送单元,设置为在判断结果为是的情况下,发送所述Diameter信令。
- 一种Diameter信令发送装置,应用于业务节点,包括:生成模块,设置为生成Diameter信令;处理模块,设置为添加第三路径信息至所述Diameter信令中,其中,所述第三路径信息为除所述Diameter信令的归属国运营商的关口Diameter路由代理DRA信息、以及除所述Diameter信令的漫游国运营商的关口DRA信息之外的其他国家的关口DRA信息;发送模块,设置为发送所述Diameter信令。
- 根据权利要求13所述的装置,其中,所述装置还包括:判断模块,设置为判断第一DRA是否具备清除所述Diameter信令中的第一路径信息的能力,其中,所述第一DRA为所述Diameter消息的下一跳DRA;其中,所述处理模块设置为:在判断模块的判断结果为否的情况下,添加所述第三路径信息至所述Diameter信令中。
- 一种计算机可读存储介质,所述存储介质上存储了以执行权利要求1和权利要求7至少一个中所述的Diameter信令发送方法的步骤的计算机程序。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510992477.7A CN106921570B (zh) | 2015-12-24 | 2015-12-24 | Diameter信令发送方法和装置 |
CN201510992477.7 | 2015-12-24 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2017108009A1 true WO2017108009A1 (zh) | 2017-06-29 |
Family
ID=59089143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2016/112681 WO2017108009A1 (zh) | 2015-12-24 | 2016-12-28 | Diameter信令发送方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN106921570B (zh) |
WO (1) | WO2017108009A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109246144A (zh) * | 2018-10-31 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | Ims网络中hss越权访问检测装置及方法 |
CN111277552B (zh) * | 2018-12-05 | 2022-06-14 | 中国移动通信集团广西有限公司 | 一种对直径信令安全威胁识别的方法、装置及存储介质 |
CN112954625B (zh) * | 2021-03-02 | 2022-03-11 | 武汉绿色网络信息服务有限责任公司 | 信令传输方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247321A (zh) * | 2007-02-14 | 2008-08-20 | 华为技术有限公司 | 在基于直径协议的网络中进行路由诊断的方法、装置及系统 |
CN103385012A (zh) * | 2010-12-23 | 2013-11-06 | 泰克莱克股份有限公司 | 用于修改要发往计费功能节点的 Diameter 信令消息的方法、系统和计算机可读介质 |
US20140043969A1 (en) * | 2012-08-10 | 2014-02-13 | Ibasis, Inc. | Signaling Traffic Reduction In Mobile Communication Systems |
CN103650543A (zh) * | 2013-06-28 | 2014-03-19 | 华为技术有限公司 | 一种路由消息传输方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8750126B2 (en) * | 2009-10-16 | 2014-06-10 | Tekelec, Inc. | Methods, systems, and computer readable media for multi-interface monitoring and correlation of diameter signaling information |
WO2011100603A2 (en) * | 2010-02-12 | 2011-08-18 | Tekelec | Methods, systems, and computer readable media for providing peer routing at a diameter node |
CN104350711B (zh) * | 2012-06-11 | 2018-11-06 | 泰科来股份有限公司 | 用于在diameter信令路由器处路由diameter消息的方法、系统及装置 |
JP5681772B1 (ja) * | 2013-09-24 | 2015-03-11 | 株式会社Nttドコモ | Ipマルチメディアサブシステム、プロキシセッション制御装置及び通信制御方法 |
-
2015
- 2015-12-24 CN CN201510992477.7A patent/CN106921570B/zh active Active
-
2016
- 2016-12-28 WO PCT/CN2016/112681 patent/WO2017108009A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247321A (zh) * | 2007-02-14 | 2008-08-20 | 华为技术有限公司 | 在基于直径协议的网络中进行路由诊断的方法、装置及系统 |
CN103385012A (zh) * | 2010-12-23 | 2013-11-06 | 泰克莱克股份有限公司 | 用于修改要发往计费功能节点的 Diameter 信令消息的方法、系统和计算机可读介质 |
US20140043969A1 (en) * | 2012-08-10 | 2014-02-13 | Ibasis, Inc. | Signaling Traffic Reduction In Mobile Communication Systems |
CN103650543A (zh) * | 2013-06-28 | 2014-03-19 | 华为技术有限公司 | 一种路由消息传输方法及装置 |
Non-Patent Citations (1)
Title |
---|
ORANGE: "Pseudo-CR on Security Aspects", 3GPP TSG CT4 MEETING #70BIS C4-151682, 16 October 2015 (2015-10-16), XP050999220 * |
Also Published As
Publication number | Publication date |
---|---|
CN106921570A (zh) | 2017-07-04 |
CN106921570B (zh) | 2020-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7133010B2 (ja) | Diameterエッジエージェント(DEA:DIAMETER EDGE AGENT)を用いる、アウトバウンドローミング加入者に対するモビリティ管理エンティティ(MME:MOBILITY MANAGEMENT ENTITY)認証のための、方法、システム、およびコンピュータ読み取り可能な媒体 | |
US10306459B1 (en) | Methods, systems, and computer readable media for validating a visitor location register (VLR) using a signaling system No. 7 (SS7) signal transfer point (STP) | |
CN114902714B (zh) | 使用diameter代理和信号传输点(stp)来实现间接的通用分组无线电服务(gprs)隧道协议(gtp)防火墙过滤的方法、系统和计算机可读介质 | |
CN108494769B (zh) | 一种Tor匿名网络中隐藏服务的溯源方法 | |
US10893069B2 (en) | Diameter edge agent attack detection | |
JP5732550B2 (ja) | ダイアメータシグナリングメッセージを強化するための方法、システム、およびコンピュータ可読媒体 | |
US8908864B2 (en) | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions | |
WO2016201990A1 (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
CN109450841B (zh) | 一种基于云+端设备按需联动模式的抗大规模DDoS攻击的防御方法 | |
WO2016110093A1 (zh) | D2d模式b发现的安全方法、终端和系统、存储介质 | |
US20130094519A1 (en) | Processing messages with incomplete primary identification information | |
WO2010051694A1 (zh) | 消息识别方法、装置及系统 | |
WO2017108009A1 (zh) | Diameter信令发送方法和装置 | |
US20160227394A1 (en) | Hiding Diameter Network Topology | |
CN111277552B (zh) | 一种对直径信令安全威胁识别的方法、装置及存储介质 | |
US9027139B2 (en) | Method for malicious attacks monitoring | |
US10349281B2 (en) | Detection method against charging fraud | |
US9264885B2 (en) | Method and system for message transmission control, method and system for register/update | |
US20180337950A1 (en) | Originator-based network restraint system for identity-oriented networks | |
CN111163033B (zh) | 消息转发方法、装置、通信网元及计算机可读存储介质 | |
US20180027415A1 (en) | Reducing fraudulent activity associated with mobile networks | |
KR102440411B1 (ko) | 비정상 로밍 요청 탐지 방법 및 장치 | |
CN108366364B (zh) | 一种异常map操作的判别处理方法 | |
CN112219381B (zh) | 用于基于数据分析的消息过滤的方法和装置 | |
de Carvalho Macedo et al. | Attacks to mobile networks using SS7 vulnerabilities: a real traffic analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16877819 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 16877819 Country of ref document: EP Kind code of ref document: A1 |