本发明专利技术涉及一种用于操作分组数据协议上下文的方法和装置,其中,该方法包括:当通用分组无线电服务支持节点接收到用于请求对分组数据协议上下文进行更新或删除操作的消息时,检查所述通用分组无线电服务支持节点中是否存在其所包括的TEID和至少一个指定的信息单元的内容分别与所述消息所包括的TEID和所述至少一个指定的信息单元的内容相同的分组数据协议上下文;以及,当检查结果为肯定时,对所述通用分组无线电服务支持节点中所存在的所述分组数据协议上下文执行所述更新或删除操作。利用该方法和装置,可以防止GPRS网络的GSN中所包括的PDP上下文被非法更新或删除。
【技术实现步骤摘要】
本专利技术涉及通用分组无线电服务网络,尤其涉及一种用于操作分组数据协议上下文的方法和装置。
技术介绍
图1是示出现有的通用分组无线电服务(GPRS)网络结构的概要示意图。如图1所 示,GPRS网络包括有服务GPRS支持节点(SGSN) 10和网关GPRS支持节点(GGSN)20,其中, SGSN 10用于向移动终端提供数据支持服务,而GGSN 20用于提供数据网关服务。SGSW0和 GGSN 20统称为通用分组无线电服务支持节点(GSN)。在GPRS网络中,Gn、Gp和Gi是三个 重要的接口,其中Gn接口用于SGSN10/GGSN 20和与其处于相同公共陆地移动网络(PLMN) 中的其它实体进行通信,Gp接口用于SGSN10/GGSN 20和其它PLMN的SGSN/GGSN进行通信, 以及Gi接口用于GGSN 20与其他分组数据网例如因特网和公司网等进行通信。GSN之间采用GTP (GPRS隧道协议)来封装来自移动终端或者来自外部分组数据网 的会话,该会话以PDP上下文的形式被封装在GTP隧道中,并且GSN通过GTP控制平面消息 来管理PDP上下文,例如创建、删除、更新上下文。每一个PDP上下文由隧道端点标识符(TEID)来标识。当例如移动终端出现漫游 越区或者数据通信的QoS发生变化等情况时,SGSN 10和GGSN 20为该数据通信所创建的 PDP上下文被更新。当移动终端数据通信完成时,SGSN 10和GGSN 20为该数据通信所创建 的PDP上下文被删除。GPRS网络的规范提供了用于请求对PDP上下文进行更新操作的更新PDP上下文 请求消息(Update PDP Context Request)和用于请求对PDP上下文进行删除操作的删除 PDP上下文请求消息(DeletePDP Context Request)。当或GGSN 20接收到更新PDP上下 文请求消息时,GGSN 20在没有验证该更新PDP上下文请求消息的发送方的身份的情况下, 就利用该更新PDP上下文请求消息所包含的信息来更新GGSN 20中其所包括的TEID与该 更新PDP上下文请求消息所包括的TEID相同的PDP上下文。类似地,当SGSN 10 (或GGSN 20)接收到删除PDP上下文请求消息时,SGSN 10 (或GGSN 20)在没有验证该删除PDP上下 文请求消息的发送方的身份的情况下,就删除SGSN 10 (或GGSN 20)中其所包括的TEID与 该删除PDP上下文请求消息所包括的TEID相同的PDP上下文。目前,已经出现黑客通过从例如Gp接口发起GTP攻击来破坏GPRS网络的行为。为 了防止从Gp接口通过发送恶意GTP数据分组来发起GTP攻击,一种现有的解决方案是在Gp 接口处设置防火墙(FW),以过滤掉恶意GTP数据分组。然而,在Gp接口处设置的防火墙不能过滤掉黑客从Gp接口向GPRS网络中的GSN 所发送的伪造的更新PDP上下文请求消息和删除PDP上下文请求消息,从而在Gp接口处设 置防火墙不能防止黑客非法更新或删除GPRS网络中的SGSN和GGSN中所包括的PDP上下 文,而SGSN和GGSN中所包括的PDP上下文被非法更新或删除将会造成在GPRS网络中移动 终端的数据通信出现异常。
技术实现思路
考虑到现有技术的上述问题,本专利技术的实施例提供一种用于操作分组数据协议上 下文的方法和装置,利用该方法和装置,可以防止GPRS网络的GSN中所包括的PDP上下文 被非法更新或删除。按照本专利技术的一种用于操作分组数据协议上下文的方法,包括步骤当通用分组 无线电服务支持节点接收到用于请求对分组数据协议上下文进行更新或删除操作的消息 时,检查所述通用分组无线电服务支持节点中是否存在其所包括的TEID和至少一个指定 的信息单元的内容分别与所述消息所包括的TEID和所述至少一个指定的信息单元的内容 相同的分组数据协议上下文;以及,当检查结果为肯定时,对所述通用分组无线电服务支持 节点中所存在的所述分组数据协议上下文执行所述更新或删除操作。按照本专利技术的一种用于操作分组数据协议上下文的装置,包括检查模块,用于当 通用分组无线电服务支持节点接收到用于请求对分组数据协议上下文进行更新或删除操 作的消息时,检查所述GSN中是否存在其所包括的TEID和至少一个指定的信息单元的内容 分别与所述消息所包括的TEID和所述至少一个指定的信息单元的内容相同的分组数据协 议上下文;以及,执行模块,用于当检查结果为肯定时,对所述通用分组无线电服务支持节 点中所存在的所述分组数据协议上下文执行所述更新或删除操作。按照本专利技术的一种通用分组无线电服务支持节点,包括接收模块,用于接收用于 请求对分组数据协议上下文进行更新或删除操作的消息;检查模块,用于检查所述通用分 组无线电服务支持节点中是否存在其所包括的TEID和至少一个指定的信息单元的内容分 别与所述消息所包括的TEID和所述至少一个指定的信息单元的内容相同的分组数据协议 上下文;以及,执行模块,用于当检查结果为肯定时,对所述通用分组无线电服务支持节点 中所存在的所述分组数据协议上下文执行所述更新或删除操作。附图说明本专利技术的特点、特征和优点通过以下结合附图的详细描述将变得更加显而易见。 其中图1是示出现有的GPRS网络结构的概要示意图;图2是示出按照本专利技术第一实施例的用于操作PDP上下文的方法的流程示意图; 以及图3是示出按照本专利技术第二实施例的用于操作PDP上下文的方法的流程示意图。 具体实施例方式在详细描述本专利技术的各个实施例之前,首先简述黑客能够从GPRS网络的接口发 送伪造的更新PDP上下文请求消息或者删除PDP上下文请求消息来达到非法更新或删除 GPRS网络的GSN(SGSN和GGSN)中所包括的PDP上下文的原因。由前面的
技术介绍
部分的描述可知,GPRS网络的GSN在收到更新PDP上下文请求 消息或者删除PDP上下文请求消息时,并不验证更新PDP上下文请求消息或者删除PDP上 下文请求消息的发送方的身份,直接查找所包括的其TEID与更新PDP上下文请求消息或者5删除PDP上下文请求消息所包括的TEID相同的PDP上下文,并更新或删除该查找出的PDP 上下文。由于GPRS网络的规范是对公众公开的,所以黑客很容易能获得更新PDP上下文请 求消息和删除PDP上下文请求消息的消息格式,从而就能了解更新PDP上下文请求消息和 删除PDP上下文请求消息中包括TEID在内的各个信息单元。而且,TEID的取值范围是确 定的。因此,黑客能够遍历TEID的可能取值,伪造多个更新PDP上下文请求消息或删除PDP 上下文请求消息(各个更新PDP上下文请求消息或删除PDP上下文请求消息所包括的TEID 取不同的值)。如果GPRS网络的某些接口例如Gp接口缺乏有效防护,黑客可以将这些伪 造的更新PDP上下文请求消息或删除PDP上下文请求消息通过该接口发送给GSN。当GSN 收到这些伪造的更新PDP上下文请求消息或删除PDP上下文请求消息时,如果GSN所包括 的PDP上下文中存在其TEID与这些伪造的更新PDP上下文请求消息或删除PDP上下文请 求消息所包括的TEID相同的PDP上下文,则该存在的PDP上下文就会被非法本文档来自技高网...
【技术保护点】
一种用于操作分组数据协议上下文的方法,包括步骤: 当通用分组无线电服务支持节点接收到用于请求对分组数据协议上下文进行更新或删除操作的消息时,检查所述通用分组无线电服务支持节点中是否存在其所包括的TEID和至少一个指定的信息单元的内容分别与所述消息所包括的TEID和所述至少一个指定的信息单元的内容相同的分组数据协议上下文;以及 当检查结果为肯定时,对所述通用分组无线电服务支持节点中所存在的所述分组数据协议上下文执行所述更新或删除操作。
【技术特征摘要】
1.一种用于操作分组数据协议上下文的方法,包括步骤当通用分组无线电服务支持节点接收到用于请求对分组数据协议上下文进行更新或 删除操作的消息时,检查所述通用分组无线电服务支持节点中是否存在其所包括的TEID 和至少一个指定的信息单元的内容分别与所述消息所包括的TEID和所述至少一个指定的 信息单元的内容相同的分组数据协议上下文;以及当检查结果为肯定时,对所述通用分组无线电服务支持节点中所存在的所述分组数据 协议上下文执行所述更新或删除操作。2.如权利要求1所述的方法,其中,还包括步骤当所述通用分组无线电服务支持节点接收到所述消息时,确定所述消息是否来自可能 被攻击的接口 ;以及当确定结果为肯定时,检查所述通用分组无线电服务支持节点中是否存在其所包括的 TEID和至少一个指定的信息单元的内容分别与所述消息所包括的TEID和所述至少一个指 定的信息单元的内容相同的分组数据协议上下文。3.如权利要求2所述的方法,其中,还包括步骤当所述确定结果为否定时,直接对所 述通用分组无线电服务支持节点中其所包括的TEID与所述消息所包括的TEID相同的分组 数据协议上下文进行更新操作或删除操作。4.如权利要求1或2所述的方法,其中,还包括步骤当所述检查结果为否定时,不对所述通用分组无线电服务支持节点中存在的所述分组 数据协议上下文执行所述更新或删除操作。5.如权利要求1所述的方法,其中,所述至少一个指定的信息单元是被强制地或有条 件地包括在所述接收的消息中的信息单元。6.一种用于操作分组数据协议上下文的装置,包括检查模块,用于当通用分组无线电服务支持节点接收到用于请求对分组数据协议上下 文进行更新或删除操作的消息时,检查所述GSN中是否存在其所包括的TEID和至少一个指 定的信息单元的内容分别与所述消息所包括的TEID和所述至少一个指定的信息单元的内 容相同的分组数据协议上下文;以及执行模块,用于当检查结果为肯定时,对所述通用分组无线电服务支持节点中所存在 的所述分组数据协议上下文执行所述更新或删除操作。7.如权利要求6所述的装置,其中,还包括确定模块,用于当所述通用分组无线电服务 支持节点接收到所述消息时,确定所述消息是否来自可能被攻击的接口,以及所述检查模块进一步用于当确定结果为肯定时,检查所述通用分组无线电服务支持节 点中是否存在其所包括的TEID和至少一个指定的信息单元的内容分别与所述消息所包括 的TEID和所述至少一个指定...
【专利技术属性】
技术研发人员:隋爱芬,郭代飞,
申请(专利权)人:西门子中国有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。