【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及防止无线网络中直径(Diameter)信令攻击的方法、装置和系统。
技术介绍
当用户接入网络后,为其提供服务的移动管理实体(MobileManagementEntity,简称MME)或服务通用分组无线业务(GeneralPacketRadioService,简称GPRS)支持节点(ServingGPRSSupportNode,简称SGSN)和该用户归属的归属用户服务器(HomeSubscriberServer,简称HSS)属于同一个运营商时,对于该用户来讲,称为非漫游场景。当用户接入网络后,为其提供服务的MME或SGSN和该用户归属的HSS属于不同的运营商时,对于该用户来讲,称为漫游场景。第四代移动通信系统(The4thGenerationMobileCommunicationSystem,简称4G)网络中,当MME或SGSN和HSS属于同一个运营商时,S6a或S6d接口两边的网元都是运营商可控的,因此没有安全风险。但是,如果MME或SGSN和HSS属于不同的运营商时,比如MME或SGSN属于运营商A,HSS属于和运营商A签署了漫游协议的运营商B,就存在下面的安全威胁:运营商B可能开放自己的网络能力给第3方,第3方可能通过HSS对运营商A的MME或SGSN发起攻击,或者,运营商B内部恶意人员可能直接通过HSS对运营商A的MME或SGSN发起如下攻击:伪造取消位置请求(CancelLocationRequest)消息通知MME或SGSN撤销运营商A的某合法用户的签约或者由于发生了新的MME位置更新过程,该MME已经被取消,从 ...
【技术保护点】
一种防止无线网络中Diameter信令攻击的方法,其特征在于,包括:移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;判断所述源域名与所述用户身份标识的第一绑定关系是否正确;在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息或者向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。
【技术特征摘要】
1.一种防止无线网络中Diameter信令攻击的方法,其特征在于,包括:移动管理实体MME或服务通用分组无线业务支持节点SGSN或Diameter代理接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;判断所述源域名与所述用户身份标识的第一绑定关系是否正确;在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息或者向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。2.根据权利要求1所述的方法,其特征在于,还包括:在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。3.根据权利要求2所述的方法,其特征在于,所述Diameter请求消息还携带源IP地址,所述方法还包括:在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确;在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在所述第二绑定关系正确的情况下,继续进行业务处理。4.根据权利要求2所述的方法,其特征在于,还包括:在与所述HSS之间不存在所述DRA的情况下,继续进行业务处理。5.根据权利要求2所述的方法,其特征在于,所述Diameter请求消息还携带源IP地址,所述Diameter代理在与所述HSS之间存在所述DRA的情况下,继续进行业务处理包括:在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;在所述源IP地址不属于所述IP网段的情况下,丢弃所述Diameter请求
\t消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在所述源IP地址属于所述IP网段的情况下,继续进行业务处理。6.根据权利要求2至5中任一项所述的方法,其特征在于,所述根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA包括:在所述Diameter请求消息未携带路由记录参数的情况下,确定与所述HSS之间不存在所述DRA;在所述Diameter请求消息携带路由记录参数的情况下,确定与所述HSS之间存在所述DRA。7.根据权利要求1至6中任一项所述的方法,其特征在于,所述失败码表示拒绝或不允许继续处理所述Diameter请求消息。8.根据权利要求1至7中任一项所述的方法,其特征在于,所述Diameter请求消息为以下任一种:取消位置请求消息、插入签约数据请求消息、删除签约数据请求消息、复位请求消息。9.根据权利要求1至7中任一项所述的方法,其特征在于,所述Diameter响应消息为以下任一种:取消位置响应消息、插入签约数据响应消息、删除签约数据响应消息、复位响应消息。10.根据权利要求2至4中任一项所述的方法,其特征在于,在所述Diameter请求消息为取消位置请求消息,且所述取消位置请求消息携带的取消类型参数表示MME更新过程或SGSN更新过程的情况下,所述MME或SGSN继续进行业务处理包括:判断是否已收到上下文请求消息或标识请求消息;在没有收到所述上下文请求消息或所述标识请求消息时,丢弃所述Diameter请求消息或向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码;在已收到所述上下文请求消息或所述标识请求消息时,继续进行业务处理。11.根据权利要求1至7中任一项所述的方法,其特征在于,当所述Diameter请求消息为复位请求消息时,所述用户身份标识为用户身份标识列表,所述判断所述源域名与所述用户身份标识的第一绑定关系是否正确包
\t括:判断所述源域名与所述用户身份标识列表中的所有用户身份标识的第一绑定关系是否正确。12.一种防止无线网络中Diameter信令攻击的装置,其特征在于,包括:收发单元,用于接收归属用户服务器HSS发送的Diameter请求消息,所述Diameter请求消息携带源域名和用户身份标识;处理单元,用于判断所述源域名与所述用户身份标识的第一绑定关系是否正确;所述处理单元还用于,在所述第一绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,所述收发单元还用于,在所述处理单元确定所述第一绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,其中所述Diameter响应消息携带失败码。13.根据权利要求12所述的装置,其特征在于,所述处理单元还用于:在所述第一绑定关系正确的情况下,根据所述Diameter请求消息判断与所述HSS之间是否存在Diameter中继代理DRA;在与所述HSS之间存在所述DRA的情况下,继续进行业务处理。14.根据权利要求13所述的装置,其特征在于,所述Diameter请求消息还携带源IP地址,所述处理单元还用于:在与所述HSS之间不存在所述DRA的情况下,判断所述源IP地址与所述源域名和/或源主机名的第二绑定关系是否正确;在所述第二绑定关系正确的情况下,继续进行业务处理;在所述第二绑定关系不正确的情况下,丢弃所述Diameter请求消息;或者,所述收发单元还用于,在所述处理单元确定所述第二绑定关系不正确的情况下,向所述HSS发送Diameter响应消息,所述Diameter响应消息携带失败码。15.根据权利要求13所述的装置,其特征在于,所述处理单元还用于,在与所述HSS之间不存在所述DRA的情况下,继续进行业务处理。16.根据权利要求13所述的装置,其特征在于,所述装置为Diameter
\t代理,所述Diameter请求消息还携带源IP地址,所述处理单元具体用于:在与所述HSS之间存在所述DRA的情况下,判断所述源域名与所述Diameter代理的域名是否一致;在所述源域名与所述Diameter代理的域名一致的情况下,判断所述源IP地址是否属于所述Diameter代理所属网络的IP网段;在所述源IP地址属于所述IP网段的情况下,继续进行业务处理...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。