一种移动网络基于回传链路检测的制造技术

本发明专利技术属于移动通信安全技术领域，公开一种移动网络基于回传链路检测的

【技术实现步骤摘要】
一种移动网络基于回传链路检测的IPv6地址分配防护方法及装置


[0001]本专利技术涉及移动通信安全
，尤其涉及一种移动网络基于回传链路检测的
IPv6
地址分配防护方法及装置
。

技术介绍

[0002]IPv6
是
5G
和物联网的基础协议，可以极大地提升网络效率
。
通过
5G
技术实现终端互联互通，而
IPv6
作为替代
IPv4
的新一代互联网协议，为海量机器类通信提供充足的
IP
地址，使得
5G
联网终端的永久在线成为可能
。
同时
IPv6
协议从设计层面考虑了移动终端
、
网络侧和应用侧的需求，以保证物联网的安全性
、
可靠性和服务质量
。IPv6
和
5G
网络的天然互补，同步发展，将高效支撑移动互联网
、
物联网
、
工业互联网
、
云计算
、
大数据
、
人工智能等新兴领域快速发展，有效满足未来业务的新需求
。
在
3GPP
标准设计和设备实现上，
5G
已能良好地支持
IPv6
协议
。
[0003]IPv6
使用两种地址自动配置协议，分别为无状态地址自动配置协议
(SLAAC)
和
IPv6
动态服务端配置协议
(DHCPv6)。SLAAC
模式下，主机不需要服务端对地址进行管理，直接根据网络中的路由器通告信息与本地
MAC
地址结合计算出主机
IPv6
地址，实现地址自动配置；
DHCPv6
由
DHCPv6
服务端管理地址池，主机从服务端请求并获取
IPv6
地址及其他信息，达到地址自动配置的目的
。
[0004]在
5G
中，
UE(
终端
)
的
IPv6
地址在
PDU(
协议数据单元
)
会话建立过程中由
5GC(5G
核心网
)
给其分配，并采用
SLAAC(
无状态地址自动配置
)
协议，实现
UE
的
IPv6
无状态地址自动配置
。
通过
PDU
会话建立过程，
UE
建立了从
gNB(
下一代基站
)
经由
UPF(User Plane Function
，用户平面功能网元
)
到达
SMF(Session Management Function
，核心网网元
)
的
(gNB
→
UPF
→
SMF)
的双向
GTP
隧道，用来进行后续
SLAAC
过程，以获取
SMF
通告的前缀信息
。
其申请框架如图1所示
。
[0005]用户申请
IPv6
地址正常过程描述如下：
[0006]UE
通过
UPF
向
SMF
发送
Router Solicitation(
路由器请求
)
消息
(RS
消息
)
，
RS
消息的源地址为
UE
本地链路地址，目的地址为
(ff02::2)
，路由为
UE
→
gNB
→
UPF
→
SMF
，其中
gNB
经
UPF
至
SMF
段为
GTP
协议，以“目的地址
+
目的
TEID(
隧道端点标识
)”来标识隧道
。
[0007]SMF
收到
RS
消息后，根据
TEID
号来确定相应的
UE。SMF
将
UE
的前缀封装在
Router Advertisement(
路由通告
)
消息
(RA
消息
)
中发送给
UE。RA
消息的源地址为
SMF
本地链路地址，目的地址为
(ff02::1)
，路由为
SMF
→
UPF
→
gNB
→
UE
，其中
SMF
经
UPF
至
gNB
段为
GTP
协议，以“目的地址
+
目的
TEID”来标识
GTP
隧道
。
如图2所示
。
[0008]可见，
5G
中
UE
的
IPv6
地址分配依赖于已经建立的
PDU
会话承载通道，通过
gNB、UPF
与
SMF
之间的
GTP
隧道进行
RS/RA
消息的交互，从而实现
SLAAC
模式的地址分配过程
。
若在
GTP
传输过程中有黑客
(GTP
‑
Hacker)
介入，利用
GTP
隧道的路由转发规则实现
RS/RA
路由欺骗
。
如假设同一
UPF
下有
N
个
gNB
，将
GTP
‑
Hacker
介入到其中一个
gNB1
，修改
GTP
隧道信息，则可实
现从
gNB1
至其它
gNB
下
UE
的路由欺骗，也可针对用户发起
DDOS、
针对核心网发起地址资源耗尽等攻击
。
如图3‑4所示
。
[0009]现有的移动网络体系架构以及
GTP
相关标准协议并未对
GTP
安全性做出检测规范
。
业界已对
GTP
协议安全威胁做出披露，聚焦于
GTP
‑
C
畸形消息本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种移动网络基于回传链路检测的
IPv6
地址分配防护方法，其特征在于，包括：步骤1：
5G
终端
UE
接入网络，与核心网建立
PDU
会话，申请
IPv6
地址；步骤2：核心网网元
SMF
为
UE
分配接口标识，并发送给
UE
，为
UE
建立好
PDU
会话承载，以及
N3
及
N4
口
GTP
‑
U
隧道；步骤3：
UE
根据
SMF
发送的接口标识，生成本地地址，并利用已经建立好的
PDU
承载，按照
SLAAC
协议发起
IPv6
地址前缀申请流程；步骤4：
UE
向基站发送路由器请求
RS
消息，
RS
消息从基站通过
N3
接口到达用户平面功能网元
UPF
；步骤5：
UPF
收到消息后提取隧道及
RS
消息特征，根据回传链路安全检测五元组确定
UE
，同时查找
SMF
下发的
UE
在
N3
的隧道信息，分析收到的数据包隧道源地址是否匹配此
UE
的信息；步骤6：如果
UPF
检测隧道信息与
UE
的信息不匹配，则
UPF
丢弃此数据包，否则执行步骤7；步骤7：
UPF
检索
UE
在
N4
口的隧道消息，将
RS
消息通过
N4
隧道转发至
SMF
；步骤8：
SMF
收到消息后提取隧道及
RS
消息特征，根据回传链路安全检测五元组确定
UE
，同时查找
UE
在
N4
的隧道信息，分析收到的数据包隧道源地址是否匹配此
UE
的信息；步骤9：如果
SMF
检测隧道信息与
UE
的信息不匹配，则丢弃此数据包，否则执行步骤
10
；步骤
10
：
SMF
检索用户
IPv6
前缀，并回复路由通告
RA
消息，通过
N4
隧道发送给
UPF
；步骤
11
：
UPF
提取
N4
隧道及
RA
消息特征，根据回传链路安全检测五元组确定
UE
，同时查找
UE
在
N4
的隧道信息，分析收到的数据包隧道源地址是否匹配此
UE
的信息；步骤
12
：如果
UPF
检测隧道信息与
UE
的信息不匹配，则
UPF
丢弃此数据包，否则执行步骤
13
；步骤
13
：
UPF
检索
UE
在
N3
口的隧道消息，将
RA
消息通过
N3
隧道转发至基站；步骤
14
：
UE
收到
RA
消息，提取前缀，形成
UE
的
IPv6
地址
。2.
根据权利要求1所述的一种移动网络基于回传链路检测的
IPv6
地址分配防护方法，其特征在于，所述步骤4中，
RS
消息包括
UE
的本地地址和目的地址
ff02::2。3.
根据权利要求1所述的一种移动网络基于回传链路检测的
IPv6
地址分配防护方法，其特征在于，所述步骤5中，回传链路安全检测五元组包括：
N3
源地址
+
隧道标识，
N3
隧道目标地址
+
隧道标识，
RS
特征
。4.
根据权利要求1所述的一种移动网络基于回传链路检测的
IPv6
地址分配防护方法，其特征在于，所述步骤8中，回传链路安全检测五元组包括：
N4<...

【专利技术属性】
技术研发人员：许明艳，季新生，游伟，汤红波，杨杰，王凯，赵宇，柏溢，郭中孚，周德强，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：