专利名称:关联umts/gsm网络中的ip层业务和无线层单元的方法和系统的制作方法
关联UMTS/GSM网络中的IP层业务和无线层单元的方法和系统
背景技术:
近来无线网络技术革新越来越关注无线网络安全和通用无线网络觉察,特别是随 着第三代3G多媒体技术的发展。无线网络由于设备间接口的特性而比有线网络更易于受 到安全威胁和入侵。例如,在已知的信令攻击中,互联网主机由于发送少量分组而使得无线网络超载,其触发了过量的信令/寻呼事件。作为另一个例子,在已知的能量攻击中,互联网主机发送 适当时控的分组以阻止移动单元进入睡眠模式。这种攻击利用移动单元的节能功能并且会 大大缩短其电池寿命。图1示出了传统通用移动电信系统(UMTS)网络的几个基本部件。如所示,UMTS网络100通常包括用户设备(UE)域110、UMTS陆上无线接入网 (UTRAN) 120以及通用分组无线业务(GPRS)核心网130。UE域110包括多个UE或移动台 111等,并且与UTRAN 120无线通信。移动台111可以是例如蜂窝电话、无线PDA、配备有 “WiFi”的计算机等。UTRAN 120包括基站(节点B) 121、无线网络控制器(RNC) 123等,并且 用作UE 110与核心网130之间的媒介。S卩,UTRAN 120通过空中接口与移动台111通信。核心网130包括至少一个服务GPRS支持节点(SGSN) 131和网关GPRS支持节点 (GGSN) 133。SGSN 131和GGSN 133利用GPRS隧道协议(GTP)、经由Gn接口 135相互通信, 该GTP协议是GPRS核心网的标准IP协议。GGSN 133经由Gi接口 137与外部网络通信,例 如互联网。全球移动通信系统(GSM)网络(即UMTS前身)使用相似的部件。UMTS/GSM网络的传统网络结构在现有技术中是已知的,因此在这里不再赘述。
发明内容
许多安全威胁和网络异常(例如信令攻击和能量攻击)是由IP层活动导致的,但 却影响了无线层网络部件。然而,在不知道基础无线级的状态的情况下,这些攻击无法在IP 级检测到。因此,本发明提供了一种将IP层网络业务关联于基础无线层网络单元的方法。本发明涉及一种用于关联网络中的IP层业务和无线层网络单元的关联模块。根 据一个示例性实施例,所述关联模块包括RNC分析器、Gn嗅探单元和/或映射单元。RNC分 析器被配置成从至少一个RNC收集无线层网络单元信息。所述Gn嗅探单元被配置成从服 务GPRS支持节点与网关GPRS支持节点之间的至少一个Gn接口收集无线层网络单元信息 和IP层业务信息。所述映射单元被配置成基于所收集的IP层业务信息和无线层网络单元 信息来映射网络中的IP层业务和无线层网络单元。本发明还涉及一种用于关联网络中的IP层业务和无线层网络单元的方法。根据 另一个示例性实施例,所述方法包括收集无线层网络单元信息、收集IP层业务信息、和/或 映射网络中的IP层业务和无线层网络单元。所述无线层网络单元信息是从至少一个RNC 和服务GPRS支持节点与网关GPRS支持节点之间的至少一个Gn接口被收集的。IP层业务 信息也是从至少一个Gn接口被收集的。所述网络中的IP层业务和无线层网络单元是基于所收集的IP层业务信息和无线层网络单元信息而被映射的。
参考附图,通过阅读下面给出的说明性而非限制性的详细描述,可以更好地理解 本发明,其中相似的单元用相似的参考号码标记。图1示出了传统通用移动电信系统(UMTS)网络的几个基本部件;图2示出了根据本发明一个示例性实施例的、结合图1的传统UMTS网络使用的关 联模块;图3示出了示例性UMTS/GSM网络,其中出于说明的目的而选择性地示出了几个部 件;图4示出了根据本发明一个示例性实施例的、由RNC分析器构造的针对图3中的 网络部件的示例性提供数据表;图5示出了根据本发明一个示例性实施例的、由Gn嗅探单元构造的针对图3的网 络部件的示例性IP业务数据表;图6示出了根据本发明一个示例性实施例的、由映射单元构造的用于将图3的部 件映射到相应IP层业务的示例性动态关联表;图7示出了根据本发明一个示例性实施例的用于关联IP层和无线层业务的方法。
具体实施例方式这里公开了本发明的详细的示例性实施例。然而,这里公开的指定的结构和功能 细节仅是为了说明示例性实施例。而示例性实施例可以以许多替代形式体现并且不应当被 看作仅限于这里说明的实施例。因此,尽管能够对示例性实施例实现各种不同的修改和替换形式,然而其实施例 作为实例而显示在附图中并且将在这里详细描述。然而应当理解,本发明并不限于这里公 开的特定形式,相反本发明覆盖了落入示例性实施例范围内的所有的修改、等价物和替换 方案。在对附图的描述中,相似的号码表示相似的单元。应当理解,尽管术语“第一”、“第二”等在这里可被用来描述各种不同的单元,然而 这些单元不限于这些术语。这些术语仅用来区分各单元。例如,第一单元可以被称为第二 单元,类似地第二单元可以被称为第一单元,这不会脱离示例性实施例的范围。如这里所使 用的那样,术语“和/或”包括一个或多个所列出的有关术语的全部组合。应当理解,当一个单元被描述成“连接”或“耦合”到另一单元时,它可以直接连接 或耦合到另一单元,或者也可以存在中间单元。相反,当一个单元被描述成“直接连接”或 “直接耦合”到另一单元时,不存在中间单元。用来描述单元间的关系的其他词语应当以类 似的方式来解释(例如“在…之间”与“直接在…之间”,“相邻”与“直接相邻”等)。这里使用的术语只是为了描述特定实施例而不旨在限制本发明。如这里所使用的 那样,单数“一个”也包括复数,除非上下文明确指示。还应当理解,这里使用的术语“包括” 指明了所陈述的特征、整数、步骤、操作、单元和/或部件的存在,但并不排除也存在一个或 多个其他特征、整数、步骤、操作、单元、部件和/或其组合。还应当指出,在一些可选实施例中,所指出的功能/动作可以以不同于图中的顺序进行。例如,相继显示的两个图事实上可以被几乎同时执行或有时也可以以相反顺序执 行,这取决于所涉及的功能/动作。许多安全威胁和网络异常(例如信令攻击和能量攻击)是由IP层活动导致的,但 却影响无线层网络部件。然而,在不知道基础无线级的状态的情况下,这些攻击无法在IP 级检测到。此外,在没有将无线层信息关联于IP层的情况下,攻击源无法只用无线层信息 识别出来。因此,本发明提供了一种将IP层网络业务关联于基础无线层网络单元的方法。图2示出了根据本发明一个示例性实施例的、与图1的传统UMTS网络相结合地使用的关联模块。如所示,关联模块200从RNC 123和Gn接口 135收集信息。关联模块200包括 RNC分析器210、Gn嗅探单元220和映射单元230。RNC分析器210从RNC单元123收集信 息,而Gn嗅探单元220从Gn接口 135收集信息。映射单元230连接到RNC分析器210和 Gn嗅探单元220 二者。RNC分析器210从RNC 123收集和分析信息。当移动台111希望连接到期望的服 务时,移动台111发送呼叫建立请求消息给节点B 121,该消息由相应的RNC 123处理。RNC 123追踪与移动台111有关的一些信息,包括针对UMTS网络的关联的服务区身份(SAI)和 针对GSM网络的关联的小区全球识别(CGI)。通常,SAI/CGI定位技术通过识别所关注的特 定移动用户的公共陆地移动网络ID、位置区域代码和服务区代码来确定移动用户所位于的 当前小区。SAI/CGI被用来确定移动台111的物理位置,这使之能够提供包括移动互联网的 各种与位置有关的服务。对于所有激活的呼叫,这个信息被保存在RNC 123的配置文件中。RNC分析器210导出来自RNC 123的提供数据的静态表。如这里所使用的那样,静 态表的更改比动态表要慢。例如,RNC分析器210可以向RNC 123查询存储于其配置文件中 的信息。可选地,RNC分析器210可以例如从第三方源接收提供数据的人工输入。提供数 据映射了哪些SAI/CGI由RNC 123服务。尽管图2为了说明示出了单个RNC 123和单个移 动台111,然而本领域技术人员应当认识到,多个RNC可以存在于给定网络中,并且多个或 零个移动台可以连接到每个RNC。因此,通常RNC分析器210从给定网络中的所有相关RNC 收集包括SAI/CGI信息的提供数据。图3示出了示例性网络300,其中为了说明而选择性地示出了几个部件。如所示, 第一和第二移动台301和303与公共第一节点B 311通信并且关联于第一 RNC 321。第一 RNC 321通过第一 SGSN 331访问GPRS服务。第三移动台305与第二节点B 313通信并且 关联于第二 RNC 323。第二 RNC 323通过第二 SGSN 333访问GPRS服务。本领域技术人员 应当认识到,每个SGSN可以服务于不止一个RNC,并且给定RNC可以不主动与任何移动台通 信。例如,第三节点B 315被显示为没有与任何移动台连接并且关联于第三RNC 325。第三 RNC 325也通过第二 SGSN 333访问GPRS服务。图4示出了由根据本发明一个示例性实施例所构造的、针对图3的网络部件的示 例性提供数据表。如所示,该表映射用户位置信息(SAI/CGI)和网络内的相应RNC。在图 4的例子中,参考图3,表示成RNCl的第一 RNC 321服务于表示成位置1的第一位置(SAI/ CGI)。表示成RNC2的第二 RNC 323服务于表示成位置2的第二位置(SAI/CGI)。表示成 RNC3的第三RNC 325服务于表示成位置3的第三位置。这个映射针对每个有关的附加RNC 继续进行。参考图2,这个表由RNC分析器210发送到映射单元230。
再次参考图2,Gn嗅探单元220从SGSN 131和GGSN 133之间的Gn接口 135收集 和分析数据。图1和2为了说明而示出了单个SGSN,然而本领域技术人员应当认识到,多 个SGSN可以利用相应数目的分离的Gn接口而连接到给定GGSN。因此,尽管为了说明而将
Gn嗅探单元220显示成仅嗅探一个Gn接口,然而Gn嗅探单元220能够同时嗅探多个Gn接口Gn接口支持使用GPRS隧道协议(GTP)分组的通信,这包括GTP控制平面(GTP_c) 和GTP用户平面(GTP-u)消息。GTP-c消息被用来承载与无线信令有关的信息,而GTP-d消 息被用来承载封装的IP数据业务。当移动单元111希望开始新的数据会话时,例如经由与互联网的连接检查电子邮 件,利用GTP-c分组建立新的分组数据协议(PDP)上下文。PDP上下文是包含了用户在进 行激活会话时的会话信息的数据结构。当移动台111希望使用GPRS服务时,它与其相应的 SGSN 131建立PDP上下文。当新的PDP上下文被建立时,SGSN 131发送创建PDP上下文请 求消息至GGSN 133。GGSN 133返回创建PDP上下文响应消息。对于成功的PDP上下文创建而言,请求/响应消息对通常包含下列字段国际移 动用户识别码(IMSI)、国际移动设备识别码(IMEI)、用户位置信息(SAI或CGI)、终端用户 地址(IP地址)、隧道端点标识符(TEID)和SGSN地址。Gn嗅探单元220嗅探Gn接口 135 并从在SGSNl31与GGSN 133之间经过的GTP_c分组中解码PDP上下文信息,从而针对每个 PDP上下文收集上述信息。由于PDP上下文信息是从GTP-c分组中被解码的,因此Gn嗅探 单元220将来自每个激活的数据会话的上文列出的导出信息字段传递至映射单元230。图5示出了针对图3的示例性网络部件的、映射来自由Gn嗅探单元220嗅探出的 数据的SAI/CGI信息、PDP上下文信息和终端的示例性表。如图5所示,并且参考图3,利用 嗅探出的PDP上下文信息“abc”将对应于移动台301的第一终端IMEIl映射到SAI/CGI位 置1。利用嗅探出的PDP上下文信息“def”将对应于移动台303的第二终端IMEI2也映射 到SAI/CGI位置1。利用嗅探出的PDP上下文信息“xyz”将对应于移动台305的第三终端 IMEI3映射到SAI/CGI位置2。PDP上下文信息字段“abc”、“def ”、“xyz”等实际上可以表 示各种嗅探出的GTP-c消息的标识符,例如网络服务接入点标识符(NSAPI)等。PDP上下文 信息可以被用来进一步映射上述的IMSI、IP地址、TEID和SGSN地址字段。尽管移动台301 和303在这里被显示成具有相同的SAI/CGI位置,然而每个RNC都可以服务于不止一个服 务区域或小区,因此共享公共RNC的移动台可以实际上具有不同的SAI/CGI位置信息。映射单元230利用作为由RNC分析器210和Gn嗅探单元220提供的信息之间的 公共邻接字段的SAI或CGI字段来将IP层业务关联于基础无线层网络部件。这样,映射单 元230创建了将每个收集的移动台映射到其相应RNC、IMSI, IMEI, SAI/CGI、IP地址、TEID 和SGSN地址的动态表。图6示出了由根据本发明一个示例性实施例的映射单元所构造的、将图3的部件 映射到相应IP层业务的示例性动态关联表。在该表中,无线层部件和IP层业务的映射是利 用上述每个信息字段来构造的,包括IMEI、RNC、SAI/CGI、IMSI、IP地址、TEID和SGSN地址。 例如,如图5所示,被Gn嗅探单元220映射到IMEIl和PDP上下文信息(从中导出IMSIU IP地址1、TEID1和SGSN1)的移动台301还从图4的提供数据中被映射到RNC1。剩余的移 动台303和305以类似的方式被映射。
所讨论的PDP上下文因而无疑是主PDP上下文,其具有与其关联的唯一IP地址。 另一方面,次级PDP上下文与另一个PDP上下文共享一个IP地址。次级PDP上下文是基于 现有PDP上下文而被创建的(以共享该IP地址)并且可以具有不同的服务质量(QoS)需 求。此外,其他PDP上下文信息(包括更新PDP上下文和删除PDP上下文信息)可以在SGSN 131与GGSN 133之间被交换以更改特定的GPRS会话。这些消息也以与上文所讨论的相似 的方式被Gn嗅探单元220嗅探、分析并传递至映射单元230,从而确保IP层和无线层业务 的动态映射被更新并且是最新的。如下文将更详细讨论的那样,这些关联表为网络攻击/异常检测提供了重要的输 入。图7示出了根据本发明一个示例性实施例的用于关联IP层和无线层业务的方法。参考图2和7,在步骤S710中,从RNC 123收集提供数据,其包括由每个RNC 123 服务的SAI/CGI。在步骤S720中,每个RNC 123被映射到其相应的SAI/CGI。如上文所讨 论的,这个映射提供了与无线层部件有关的信息。在步骤730中,经过每个Gn接口 135的GTP分组被嗅探以获得与网络中的IP业 务有关的信息。在步骤S740中,所截获的GTP消息被解码。如上文所讨论的,利用经过每 个Gn接口 135的GTP-c分组所传送的PDP上下文信息包含于IP业务有关的信息,这包括 IMSI, IMEI、用户位置信息(SAI/CGI)、终端用户地址、TEID和SGSN地址字段。在步骤S750中,从GTP分组中解码的PDP上下文信息字段被关联于从每个RNC 123收集的数据。如上文所述,两组数据都包括SAI/CGI字段,因此,利用SAI/CGI字段作为 公共链接来创建将网络中的IP业务映射到基础无线层部件的表。为了实现动态的关联表,经常用当前的IP层业务和无线层部件信息来更新它。如 图7所示,一旦解码的Gn接口信息和RNC提供数据被关联以在步骤S750中构成关联表,处 理就返回收集步骤S710和嗅探步骤S720。因此,根据本发明一个示例性实施例的方法提供 了一种将IP层业务动态关联于基础无线层网络单元的方式。如之前间接提到的那样,根据本发明一个示例性实施例所导出的上述IP和无线 层关联信息可以被用来减轻网络安全威胁。例如,关联信息可以被用来识别向无线网络发 送恶意业务的特定互联网主机。如果用户被过量的信令分组攻击,如已知的信令攻击那样, 攻击源可以利用关联表而被追踪回该恶意互联网主机,如图6的例子所示,从而桥接无线 和IP层。此外,该关联表也可以被用来检测来自针对特定RNC或移动台的数据业务的攻 击。例如,由于负责给定攻击的GTP-d分组包含与TEID和IP地址有关的信息,因此当分析 这些分组时,攻击所针对的特定移动台和RNC可以利用该关联表而被导出。此外,给定GGSN 与互联网之间的Gi接口(图1中显示为Gi接口 137)上的可能有害的数据分组包含目标 移动台的IP地址字段。因此,也可以利用所述关联表针对目标移动台和所经过的RNC来分 析这些分组。作为另一个例子,参考图2,通过GPRS核心网130向其他移动台111发送攻击业务 的有危害的用户也可以被识别出来,包括识别用户的IP地址。承载特定IP流(例如web 会话)的RNC 123、SGSN 131禾口 GGSN 133也可以被识别。根据本发明的关联系统和方法也可以被实现成较大的网络安全防御系统的一部分。 已经描述了示例性实施例,显然相应的方式可以变化成许多方式。例如,本发明不 必专门应用于网络安全。本发明提供了一种识别受到进入IP业务攻击的网络资源(例如 手机电池、RNC)的方式,这自然在许多非安全应用中也是有用的。这种变型不被认为是脱离了本发明的精神和范围,并且本领域技术人员应当清 楚,所有这种修改都旨在包含于下面的权利要求的范围内。
权利要求
一种用于关联网络中的IP层业务和无线层网络单元的关联模块(200),所述关联模块包括RNC分析器(210),其被配置成从至少一个RNC收集无线层网络单元信息;Gn嗅探单元(220),其被配置成从服务GPRS支持节点与网关GPRS支持节点之间的至少一个Gn接口收集无线层网络单元信息和IP层业务信息;和映射单元(230),其被配置成基于所收集的IP层业务信息和所收集的无线层网络单元信息来映射所述网络中的IP层业务和无线层网络单元。
2.根据权利要求1所述的关联模块,其中,由所述RNC分析器收集的所述无线层网络单 元信息包括标识了由每个RNC服务的至少一个服务区身份或小区全球识别的提供数据。
3.根据权利要求1所述的关联模块,其中,所述Gn嗅探单元通过从经过每个Gn接口所 发送的GPRS隧道协议消息中解码PDP上下文信息来收集所述无线层网络单元信息和所述 IP层业务信息。
4.根据权利要求1所述的关联模块,其中,由所述RNC分析器收集的信息和由所述Gn 嗅探单元收集的信息每个都包括服务区身份或小区全球识别字段,并且所述映射单元使用 该服务区身份或小区全球识别字段作为公共字段以根据所收集的IP层业务信息和所收集 的无线层网络单元信息来映射所述IP层业务和所述无线层网络单元。
5.根据权利要求1所述的关联模块,其中,所述映射单元持续地更新所述IP层业务和 所述无线层网络单元的映射。
6.一种用于关联网络中的IP层业务和无线层网络单元的方法,所述方法包括从至少一个RNC收集(S710)无线层网络单元信息;从服务GPRS支持节点与网关GPRS支持节点之间的至少一个Gn接口收集(S730)无线 层网络单元信息和IP层业务信息;和基于所收集的IP层业务信息和所收集的无线层网络单元信息来映射(S750)所述网络 中的所述IP层业务和所述无线层网络单元。
7.根据权利要求6所述的方法,还包括基于包含在收集自所述至少一个RNC分析器的无线层网络单元信息内的提供数据,来 识别由每个RNC服务的至少一个服务区身份或小区全球识别。
8.根据权利要求6所述的方法,其中,收集自所述至少一个Gn接口的信息是从经过每 个使用GPRS隧道协议消息的Gn接口所发送的PDP上下文信息中被解码的。
9.根据权利要求6所述的方法,其中,收集自所述至少一个RNC的信息和收集自所述至 少一个Gn接口的信息每个都包括服务区身份或小区全球识别字段,并且所述映射步骤使 用该服务区身份或小区全球识别字段作为公共字段来映射所述IP层业务和所述无线层网 络单元。
10.根据权利要求6所述的方法,还包括持续地更新所述IP层业务和所述无线层网络单元的映射。
全文摘要
本发明涉及一种用于关联网络中的IP层业务和无线层网络单元的关联模块(200)。根据一个示例性实施例,该关联模块包括RNC分析器(210)、Gn嗅探单元(220)和/或映射单元(230)。该RNC分析器被配置成从至少一个RNC收集无线层网络单元信息。该Gn嗅探单元被配置成从服务GPRS支持节点和网关GPRS支持节点之间的至少一个Gn接口来收集无线层网络单元信息和IP层业务信息。该映射单元被配置成基于所收集的IP层业务信息和无线层网络单元信息来映射该网络中的IP层业务和无线层网络单元。也公开了一种用于关联网络中的IP层业务和无线层网络单元的方法。
文档编号H04W12/12GK101803416SQ200880107785
公开日2010年8月11日 申请日期2008年9月16日 优先权日2007年9月28日
发明者A·I·穆卡莱德, K·E·莫丘卢斯基, R·S·盖德, S·C·米勒, S·诺登, 卜天 申请人:朗讯科技公司