用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质的制作方法

专利名称：用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质的制作方法
技术领域：
本文描述的主题涉及用于直径网络(Diameter network)中的通信的方法和系统。特别地，本文描述的主题涉及用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质。
背景技术：
在直径网络中，网络中的节点之间的消息和通信包括用于标识该网络中的每个节点的名称和位置的信息。例如，当请求消息被发送给服务器时，该服务器的响应包括给网络的用于标识该服务器的信息。直径消息以请求-应答消息的格式存在。所有的应答消息都经由与通过使用逐跳传输来路由请求消息的路径相同的路径返回到请求源。当一个直径节点需要来自另一直径节点的信息时，第一直径节点发送用于标识别它自己和它的范围(realm)或域以及用于标识该第一直径节点向其请求信息的直径节点的范围或域的请求。从接收请求的直径节点返回的直径应答消息将包括用于标识接收直径节点以及它的范围或域的信息。直径节点之间的消息交换或交互对于执行各种功能而言是必不可少的。例如，移动性管理实体(MME)和归属用户服务器(HSS)进行交互以用于认证、授权和/或计费(AAA)目的。这种交互在第三代合作伙伴计划(3GPP)技术规范TS 29.272 V9. O. O. O (下文中称为“技术规范”)中公开，该技术规范的公开内容通过引用而被整体合并到本文。虽然该技术规范公开了用于在MME与HSS节点之间通信的过程、消息参数和协议，但是直径节点之间的交互呈现各种问题，诸如路由、安全性和网络监控，这些在该技术规范中并没有得到充分地解决。因此，鉴于与直径节点之间的交互相关联的这些缺点，需要用于具有集成的监控和/或防火墙功能的直径信令路由器的方法、系统和计算机可读介质。

发明内容
根据一个方面，本文描述的主题包括用于具有集成的监控功能的直径信令路由器的系统。该系统包括直径信令路由器，所述直径信令路由器包括用于从第一直径节点接收具有直径信息的第一直径消息的网络接口。该系统还包括位于直径信令路由器中的用于复制所述第一直径消息的至少一部分并向应用提供与所述第一直径消息相关联的复制信息的集成的监控模块。根据另一方面，本文描述的主题包括用于在直径信令路由器处提供集成的监控功能的方法。 该方法包括在网络接口处从第一直径节点接收具有直径信息的第一直径消息。该方法还包括复制第一直径消息的至少一部分并向应用提供与第一直径消息相关联的复制信息。根据另一方面，本文描述的主题包括用于直径路由和防火墙过滤的系统。该系统包括直径信令路由器，所述直径信令路由器包括用于从第一直径节点接收具有直径信息的第一直径消息的网络接口。该直径信令路由器还包括用于确定第一直径消息是否满足防火墙策略的防火墙模块。所述防火墙策略基于第一直径消息中的直径信息的至少一部分。直径信令路由器进一步包括路由模块，用于响应于第一直径消息满足防火墙策略而通过使用直径信息向第二直径节点转发第一直径消息的至少一部分。根据另一方面，本文描述的主题包括用于直径信令路由器处的直径路由和防火墙过滤的方法。该方法包括在网络接口处从第一直径节点接收具有直径信息的第一直径消息。该方法还包括确定第一直径消息是否满足防火墙策略。所述防火墙策略基于第一直径消息中的直径信息的至少一部分。该方法进一步包括响应于第一直径消息满足防火墙策略而通过使用直径信息向第二直径节点转发第一直径消息的至少一部分。本文描述的用于向直径信令路由器提供集成的监控和/或防火墙功能的主题可以用硬件、硬件和软件的组合、固件、或硬件、软件和固件的任意组合来实施。因此，本文使用的术语“功能”或“模块”指代用于实施本文描述的特征的硬件、硬件和软件的组合、固件或硬件、软件和固件的任意组合。在一个示例性的实现方式中，本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实施，当所述计算机可执行指令由计算机的处理器执行时控制该计算机执行各种步骤。适用于实施本文描述的主题的示例性计算机可读介质包括非短暂性设备，诸如磁盘存储器设备、芯片存储器设备、可编程逻辑器件和专用集成电路。另外，实施本文描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布到多个设备或计算平台上。如本文使用的，术语“节点”指代包括一个或多个处理器和存储器的物理计算平台。


现在将参照附图来解释本文描述的主题的优选实施例，其中，类似的参考标记表示类似的元件，其中图I是示出了根据本文描述的主题的实施例的包括本发明的示例性LTE网络的框图；图2是示出了根据本文描述的主题的实施例在中继模式中经由直径信令路由器来路由消息的信令消息流图；图3是示出了根据本文描述的主题的实施例在代理模式中经由直径信令路由器来路由消息的信令消息流图；图4是示出了根据本文描述的主题的实施例经由直径信令路由器向外部网关路由消息的信令消息流图；图5是示出了根据本文描述的主题的实施例用于存储可由直径信令路由器用来将LTE用户标识信息转换成LTE节点寻址或路由信息的数据的示例性表格的图6是示出了根据本文描述的主题的实施例使用地址解析经由直径信令路由器来路由消息的信令消息流图；图7是示出了根据本文描述的主题的实施例直径信令路由器提供防火墙功能的信令消息流图；图8是示出了根据本文描述的主题的实施例直径信令路由器提供网络地址转换(NAT)功能的信令消息流图；图9A是示出了根据本文描述的主题的实施例基于设备标识寄存器(EIR)数据库响应来屏蔽消息的信令消息流图；图9B是示出了根据本文描述的主题的实施例基于设备标识寄存器(EIR)数据库响应来路由消息的信令消息流图；
图10是示出了根据本文描述的主题的实施例直径信令路由器提供集成的消息监控功能的信令消息流图；图11是示出了根据本文描述的主题的实施例直径路由和防火墙过滤的示例性步骤的流程图；图12是示出了根据本文描述的主题的实施例用于监控直径信令消息的示例性步骤的流程图；以及图13是示出了根据本文描述的主题的实施例用于路由直径信令消息的示例性步骤的流程图。
具体实施例根据本文公开的主题，提供了具有集成的监控和/或防火墙功能的直径信令路由器的方法、系统和计算机可读介质。现在将详细地参照本文描述的主题的示例性实施例，其中的示例在附图中示出。在可能的情况下，在整个附图中，相同的参考标记将用于指代相同或类似的元件。图I是示出了根据本文描述的主题的实施例包括直径信令路由器的示例性长期演进(LTE)网络112的框图。参照图1，网络112可以包括用户设备(UE) 100、e节点B 102(这里也称为收发机节点)、移动性管理实体(MME) 104、直径信令路由器106、设备标识寄存器(EIR)数据库108、归属用户服务器(HSS)、认证、授权和计费(AAA)服务器(下文中总称为HSS/AAA) 110。UE 100 (例如，移动手持设备)连接到执行与基站收发信台(BTS)相类似的无线电接入功能的e节点B或收发机节点102。收发信机节点102可以向移动性管理实体(MME)104提供与UE相关的信息(例如，与位置或移动性相关的数据)或UE发起的消息。MME 104执行对UE 100的跟踪，而且可以经由直径信令路由器106向LTE网络112中的其他节点传递信息(例如，与移动性相关的信息)。直径信令路由器106可以是用于路由直径信令消息的任意适当的实体。例如，直径信令路由器106可以是LTE信令路由器、LTE直径信令路由器、直径代理、直径路由代理或直径重定向代理。路由器106可以包括用于处理各种消息的功能。在一个实施例中，这种功能可以包括在一个或多个模块(例如，防火墙模块、网络地址转换(NAT)模块、用户位置模块和路由模块)中。应当意识到，本文使用的功能和模块指代用于实施本文描述的特征的硬件、软件、固件或硬件、软件和固件的任意组合。在各种实施例中，路由器106可以包括直径代理、直径路由代理或直径重定向代理。例如，路由器106可以操作在代理模式、中继模式和/或重定向模式中，如在下面更详细描述的。在一个实施例中，路由器106可以屏蔽、转发、重定向和/或转发消息至各种网络节点，诸如MME 104、HSS/AAA 110、EIR数据库108和其他与直径相关的节点。在一个实施例中，路由器106可以经由一个或多个信令接口与MME104、HSS/AAA110、EIR数据库108和其他与LTE相关的节点进行通信。例如，路由器106可以经由一个或多个LTE S6接口来在MME 104与HSS/AAA 110之间交换或传递消息。在第二示例中，路由器106可以经由一个或多个LTE S13接口在EIR数据库108之间交换或传递消息。 在另一实施例中，路由器106可以经由一个或多个非LTE信令接口与不与LTE相关的节点进行通信。例如，路由器106可以通过使用与IP多媒体子系统(MS)相关的接口来与MS节点(诸如呼叫会话控制功能(CSCF))进行通信。例如，路由器106可以经由Cx直径接口从CSCF接收直径消息。在一个实施例中，直径信令路由器106包括防火墙和/或NAT功能。如下面将进一步详细描述的，防火墙功能可以包括使用一个或多个策略或规则来确定是允许消息被进一步处理(例如，由处理器106路由或转发)还是拒绝消息被进一步处理。另外，如下面将进一步详细描述的，直径信令路由器106可以包括用于修改接收到的直径信令消息中的信息或基于接收到的消息生成新的直径信令消息的NAT功能。另外，路由器106可以通过使用EIR数据库108来执行设备认证。EIR数据库108(这里也称为EIR节点)包括与设备或UE 100的标识相关联的信息。在一个实施例中，EIR数据库108可以包括设备标识符(例如，国际移动设备标识符(IMEI))和它们的关于网络可接入性的关联状态的列表。例如，EIR数据库108可以包括被允许使用节点或网络的设备标识符列表(例如，白名单)。在另一示例中，EIR数据库108可以包括不被允许使用节点或网络的设备标识符列表(例如，黑名单)。在第三示例中，EIR数据库108可以包括针对各种设备(例如，被盗设备、紧急设备)和/或状况(例如，常规负载活动、重负载活动)的白名单和黑名单。HSS/AAA 110表示HSS和/或AAA服务器。在一个实施例中，HSS/AAA110可以包括HSS功能。例如，HSS/AAA 110可以保持与用户相关的信息，诸如用户标识、用于用户认证和授权的控制信息、位置信息和用户简档数据。在一个实施例中，HSS/AAA 110还可以包括AAA功能。例如，HSS/AAA功能110可以执行与用户相关联的认证、授权和计费功能。在另一实施例中，AAA功能可以由与HSS分离或独立于HSS的节点来执行，或者在这些节点处执行。应当意识到，直径信令路由器106可以另外地连接到其他网络节点，诸如多媒体消息服务中心(丽SC)、策略计费规则功能(PCRF)和策略与计费实施功能(PCEF)，以向网络用户提供额外的功能和服务。图2是示出了根据本文描述的主题的实施例经由直径信令路由器106来路由消息的信令消息流图。在图2所示的实施例中，描述了示例性LTE网络112的一部分，而且路由器106被配置成操作在中继模式中。在一个实施例中，操作在中继模式中的路由器106可以接收发往其他位置或节点的消息，而且通过使用接收到的消息中的信息和/或其他可访问信息(例如，用户/节点位置数据库、域名系统(DNS)数据库等)，可以向适当的目的地中继或转发接收到的消息的至少一部分。如上所述，在一个实施例中，路由器106包括用于接收或处理一个或多个直径信令消息的功能。例如，路由器106可以经由LTE S6接口、LTE S13接口或其他与LTE相关的接口来接收和处理直径消息。在一个实施例中，接收到的直径消息可以包括在上文中被整体合并到本文中的技术规范中定义的一个或多个消息。例如，直径消息可以包括更新位置请求(ULR)消息、更新位置应答(ULA)消息、认证信息请求(AIR)消息、认证信息应答(AIA)消息、取消位置请求(CLR)消息、取消位置应答(CLA)消息、插入用户数据请求(IDR)消息、插入用户数据应答(IDA)消息、删除用户数据请求(DSR)消息、删除用户数据应答(DSA)消息、清除UE请求(PUR)消息、清除UE应答(PUA)消息、复位请求(RSR)消息、复位应答(RSA)消息、通知请求(NOR)消息、通知应答(NOA)消息、ME标识检查请求(ECR)消息和ME标识检查应答(ECA)消 息中的一个或多个。在图2所示的实施例中，MME 104被配置成用于接收来自UE 100或相关联的网络节点的与位置相关的消息，并通过使用直径信令路由器106来与或尝试与一个或多个HSS/AAA 110进行通信。在一个实施例中，MME104、路由器106和HSS/AAA 110可以经由一个或多个LTE S6接口交换消息。参照图2，直径消息在MME 104处被接收。在一个实施例中，接收到的直径消息是被称为跟踪区域更新(TAU)消息的注册消息。当UE 100检测到进入之前没有在MME 104中注册的供UE 100使用的跟踪区域时，TAU消息或注册消息可以由UE 100发起。TAU消息可以包括与UE相关的信息，诸如国际移动用户标识(MSI)值。在一个实施例中，响应于接收到直径消息，MME 104可以生成并发起发往HSS/AAA110的直径消息。在一个实施例中，响应于接收到TAU消息，MME 104可以生成并发起更新位置请求(ULR)消息。该ULR消息可以包括各种参数，诸如与TAU消息相关联的MSI值。在一个实施例中，MME 104不能确定或不能提供用于向特定HSS/AAA110发送所生成的消息的寻址或路由信息。在该实施例中，路由器106可以被配置成接收并路由这种消息。在另一实施例中，路由器106可以被配置成接收并转发可路由消息(例如，通过使用可访问的数据库)。在再一实施例中，路由器106可以被配置成路由、阻止或重定向消息。直径信令路由器106可以接收由MME 104发布的消息。例如，如图2所示，路由器106接收由MME 104发起的ULR消息。路由器106可以检查接收到的消息，并确定是否和/或如何路由该消息。例如，或许期望网络运营商在通信网络中包括多个HSS/AAA 110，以分散或降低任意特定HSS/AAA 110上的处理负载。如果多个HSS/AAA 110中的每一个被均等地设定，SP包括同一用户数据的副本，则HSS/AAA 110可以以负载共享方式进行操作。这样，没有必要确定哪个HSS/AAA 110保持特定用户的数据。然而，如果HSS/AAA 110不包括相同的数据，则在尝试路由消息时可能有必要识别包含特定用户的数据的HSS/AAA 110。在用户被多个HSS/AAA 110处理的实施例中，路由器106可以使用頂SI值和/或其他信息来确定用于适当目的地的寻址或路由信息。例如，路由器106可以包括用于访问一个或多个用户/节点位置数据库的功能(例如，位于用户位置模块中)。位置数据库可以存储与用户相关的信息(例如，頂SI值或IMSI值范围)与适当节点(诸如服务HSS/AAA 110)之间的关联。在一个实施例中，位置数据库可以包括包含基于范围的部分的分层数据结构，所述基于范围的部分包括用户标识符(例如，MSI值)群和/或范围与关联节点标识符(例如，HSS/AAA 110的URI)之间的关联。类似地，该数据库还可以包含基于例外情况的部分，其包括用户标识符与关联节点标识符之间的为基于范围的部分中的关联的例外或与基于范围的部分中的关联不同的关联。在路由器106包括用户/节点位置数据库访问功能的情况中，路由器106可以使用与接收到的消息相关联的与用户相关的信息(例如，IMSI值或其一部分)来执行对位置数据库的一个或多个查找。例如，路由器106可以使用与接收到的ULR消息相关联的IMSI值来搜索位置数据库的基于例外情况的部分。如果在位置数据库的基于例外情况的部分中找至IJ匹配条目，则关联节点标识信息可以被获得并在路由直径消息(例如，向通过查找识别的HSS/AAA 110转发消息)中使用。如果在位置数据库的基于例外情况的部分中没有匹配，则可以随后搜索基于范围的部分。
在一个实施例中，路由器106搜索基于例外情况的部分来确定IMSI值或其一部分是否与由条目规定的指定标识符群相关联。例如，IMSI值可以是14或15个数位值。IMSI值可以包括表示各种与用户相关的信息的部分，诸如3个数位表示移动国家码(MCC)，随后的2-3个数位表示移动网络码，而剩余数位表示网络顾客群中的移动站标识号(MSIN)。在一个实施例中，路由器106可以仅使用IMSI值的一部分(例如，MNC)来确定哪个HSS/AAA 110是恰当的目的地。例如，在网络100中，每个HSS/AAA 110可以保持特定服务供应商(例如，Verizon、AT&T或T-Mobile)的用户的与用户相关的信息。在这样的示例中，路由器106可以使用与接收到的消息相关联的MSI值的MNC (例如，“012”或“12”是MSI倌“310012353464342”的MNC)来确定该消息应当被路由到与该MNC相关联的HSS/AAA 110(例如，MNC “12”与Verizon相关联)。在一个实施例中，如果在基于范围的部分110中存在匹配，则关联的节点标识信息可以被获得并被用于转发直径消息。例如，寻址或路由信息可以用于向着通过查找识别到的HSS/AAA 110转发ULR消息。在一个实施例中，如果匹配不存在，则路由器106可以向默认节点路由消息。在另一实施例中，路由器106可以通知发起节点(例如，MME 104)或之前的跳接收到的消息是不可路由的。例如，路由器106可以生成并向MME 104发起用于指示特定消息的目的地是未知的、不准确的或不可路由的错误消息。在一个实施例中，在确定了接收到的消息的恰当目的地(例如，HSS/AAA 2110)之后，路由器106可以修改所述消息，以例如包括目的地信息。在可替换的实施例中，路由器106可以不修改所述消息。路由器106可以向恰当的目的地路由消息。例如，在图2中，路由器106可以向HSS/AAA2110中继或发送修改后的ULR消息。在一个实施例中，HSS/AAA 2 110可以接收直径消息并进行响应。例如，响应于接收到ULR消息，HSS/AAA 2 110可以发送用于指示位置信息被接收到并被存储的更新位置应答(ULA)消息。在一个实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 2110)可以由路由器106处理或路由。例如，路由器106可以使用所存储的状态信息或其他信息(例如，消息中的寻址或路由信息)来向MME 104发送响应消息。在另一实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 2 110)可以不由路由器106处理或路由。例如，HSS/AAA 2 110可以提供目的地寻址或路由信息以用于在没有路由器106的情况下向MME 104发送消息。图3是示出了根据本文描述的主题的实施例经由直径信令路由器106来路由消息的第二信令消息流图。在图3所示的实施例中，描述了示例性LTE网络112的一部分，而且路由器106被配置成操作在代理模式中。在一个实施例中，操作在代理模式中的路由器106可以接收被寻址到它自身的消息，而且可以通过使用接收到的消息中的信息和/或其他可访问信息来向其他位置或节点路由接收到的消息的至少一部分。路由器还可以被配置成接收对应于被路由的消息的响应 消息，而且可以向恰当的目的地(例如，发起关联查询消息的节点)路由该响应消息或该响应消息的一部分。在图3所示的实施例中，除了这里所公开的，图3中描绘的节点基本上与参照图2描述的节点相同。另外，图3中的前两个消息(图3，消息I和2)基本上与图2中的前两个消息相同。因此，这里将不再重复对这些节点和前两个消息的描述。在图3所示的实施例中，响应于接收到直径消息，路由器106可以基于原始接收到的消息来生成并发起新的直径消息。例如，路由器106可以终止接收到的ULR消息，并使用该消息中的信息(诸如頂SI值或其一部分)来确定向哪个HSS/AAA 100发送接收到的ULR消息的至少一部分。在确定了恰当的目的地(例如，HSS/AAA 2 110)之后，路由器106可以生成新的ULR消息，并包括该恰当目的地的寻址或路由信息，而且可以向该目的地(例如，HSS/AAA 2 110)路由该新的ULR消息。在可替代的实施例中，路由器106可以接收直径消息，而且通过使用MSI来确定或识别恰当的目的地，向该恰当的目的地(例如，HSS/AAA 2110)路由消息。在该实施例中，路由器106可以或可以不修改该消息来包括目的地信息。HSS/AAA 2 110可以接收直径消息并进行响应。例如，响应于接收到ULR消息，HSS/AAA 2 110可以发送用于指示位置信息被接收到并被存储的ULA消息。在一个实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 2 110)可以由路由器106处理或路由。例如，如图3所示，路由器106可以接收来自HSS/AAA 2 110的ULR消息。路由器106可以终止ULA消息，并生成基于从HSS/AAA 2 110接收到的ULA消息的新ULA消息。在一个实施例中，所生成的ULA消息可以包括与路由器106相关联的源寻址或路由信息和/或其他信息，以便路由器106用作HSS/AAA 2 110的代理。在该实施例中，路由器106可以向恰当的目的地(例如，发起关联查询消息的节点)路由所生成的消息。在另一实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 2 110)可以不由路由器106处理或路由。例如，HSS/AAA 2 110可以提供目的地寻址或路由信息以用于在没有路由器106的情况下向MME104发送消息。图4是示出了根据本文描述的主题的实施例经由直径信令路由器106来路由消息的另一信令消息程图。在图4所示的实施例中，描述了示例性LTE网络112的一部分，而且MME 104被配置成通过使用直径信令路由器106与网络直径网关(这里也称为外部网关)400的外部进行通信。
外部网关400表示与漫游或外来用户(诸如不与当前网络或服务供应商相关联的用户)相关联的实体。例如，外部网关400可以被联系，以用于接收或提供与外来用户相关联的与AAA相关或与移动性相关的信息。在该实施例中，路由器106可以包括用于向恰当的外部网关400路由由MME104发送的消息的至少一部分的功能。除了本文公开的，图4中描绘的其他节点基本上与参照图3描述的节点相同。另夕卜，图4中的消息(图4，消息1-5)基本上与图3中的消息相同，除了图4中的消息与外部网关400相关联或者是发往外部网关400的。因此，这里将不再重复对这些节点和消息的描述。在图4所示的实施例中，响应于接收到与外部网关400相关联或发往外部网关400的直径消息，路由器106可以基于原始接收到的消息来生成并发起新的直径消息。例如，路由器106可以终止接收到的ULR消息，并使用该消息中的信息(诸如IMSI值或其一部分)来确定向哪个恰当的节点路由接收到的ULR消息的至少一部分。在确定了恰当的目的地(例如，外部网关400)之后，路由器106可以生成新的ULR消息，并包括该恰当目的地的寻址或 路由信息，而且可以向该目的地(例如，外部网关400 )路由该新的ULR消息。在另一实施例中，路由器106可以接收直径消息，而且通过使用MSI来确定或识别恰当的目的地，向该恰当的目的地(例如，外部网关400)路由消息。在该实施例中，路由器106可以或可以不修改该消息来包括目的地信息。在再一实施例中，路由器106可以接收直径消息，而且通过使用MSI来确定或识别恰当的目的地，确定不路由消息。在该实施例中，路由器106可以被配置成操作在重定向模式中。 在一个实施例中，在重定向模式中，路由器106可以确定目的地或节点以用于进一步处理。路由器可以发送消息或以其他方式将寻址或路由信息通知给发起节点(例如，MME 104)或之前跳，以用于与恰当的节点进行通信。例如，路由器106可以确定ULR消息应当被发送给外部网关400。在该示例中，路由器106或许不能与外部网关400通信，而且可以向MME104提供寻址或路由信息以便MME 104能够将ULR消息重定向到网关400。外部网关400可以接收直径消息并进行响应。例如，响应于接收到ULR消息，外部网关400可以发送用于指示位置信息被接收到并被存储的ULA消息。在一个实施例中，对应于被路由的消息的响应消息(例如，来自外部网关400)可以由路由器106处理或路由。例如，如图4所示，路由器106可以接收来自外部网关400的ULR消息。路由器106可以终止ULA消息，并生成基于从外部网关400接收到的ULA消息的新ULA消息。在一个实施例中，所生成的ULA消息可以包括与路由器106相关联的源寻址或路由信息和/或其他信息，以便路由器106用作外部网关400的代理。路由器可以向恰当的目的地(例如，发起关联查询消息的节点)路由所生成的消息。在另一实施例中，对应于被路由的消息的响应消息(例如，来自外部网关400 )可以不由路由器106处理或路由。例如，外部网关400可以提供目的地寻址或路由信息以用于在没有路由器106的情况下向MME 104发送消息。图5是示出了根据本文描述的主题的实施例的用于存储可由直径信令路由器106用来将LTE用户标识信息转换成LTE节点寻址或路由信息的信息的示例性表格的图。特别地，图5描绘了包括可由路由器106访问和/或存储的示例性数据的表格500。表格500包括LTE用户ID字段、LTE网络节点统一资源标识符(URI)字段、LTE网络节点全限定域名(FQDN)字段和LTE网络节点互联网协议(IP)地址字段。用户ID字段可以包括LTE用户或设备标识符(或它们的一部分)，诸如MSI、移动用户综合业务数字网(MSISDN)号、短代码、URI、IMEI和移动标识号(MIN)。LTE网络节点URI、FQDN和IP地址字段表示用于存储与用户ID或用户群相关联的节点的寻址或路由信息的字段。例如，表格500可以包括用户位置信息(例如，在上面公开的位置数据库中找到的)。在该示例中，表格500可以包括具有用户ID字段中的IMSI值(例如，IMSI值“310012353464342”)和网络节点 URI 字段中的 URI 值(例如，URI 值=^aaa://host,example, com: 1813; transport=udp; protocol=radius，，)的条目。URI 值可以与针对由 IMSI值标识的用户的服务HSS/AAA 110(例如，HSS/AAA 2 110)相关联。在第二示例中，表格500 可以包括具有用户ID字段中的MSI值的一部分(例如，MSI部分值“314024*”)和网络节点FQDN字段中的FQDN值(例如，FQDN值HSS1@VZW. NET)的条目。该表格条目可以指示与由FQDN值所标识的特定节点相关联的用户群(例如，它们的IMSI值的初始6个数位相同的用户)。在第三示例中，表格500可以包括具有用户ID字段中的IMSI值或其一部分(例如，IMSI值“310012353464342”)和用于标识关联节点的一种或多种类型的网络节点标识符的条目。这样，在第三示例中，路由器106可以使用URI、FQDN和/或IP地址信息来向恰当的网络节点路由消息以进行处理。应当意识到，由路由器106存储、访问或使用的信息可以根据所涉及的通信网络、配置、消息和网络节点而不同。例如，寻址或路由信息的类型可以针对网络节点而改变。在一个实施例中，每个条目可以包括用户ID或其一部分以及网络节点统一资源标识符(URI)字段、网络节点全限定域名(FQDN)字段和网络节点互联网协议(IP)地址字段中针对一个关联节点的寻址或路由信息。在该实施例中，多个条目可以用于标识额外的节点。在另一实施例中，每个条目可以包括一个或多个关联节点(例如，备份或辅助节点地址)。在该实施例中，额外字段(例如，备份节点字段)可以用于标识额外节点。在一些实施例中，表格500可以包括用于识别关联节点当前是否可用的一个或多个状态字段。图6是示出了根据本文描述的主题的实施例的经由直径信令路由器106来路由消息的另一信令消息流图。在图6所示的实施例中，描绘了示例性LTE网络112的一部分，而且路由器106被配置成用于访问DNS数据库600并在确定是否和/或如何路由直径消息时使用该信息。DNS数据库600表示用于保持与用户相关或与节点相关的映射信息的存储元件或功能。例如，DNS数据库600可以包括用户标识符(例如，IMSI值、用户URI、MSISDN号)与关联节点的寻址或路由信息(例如，URI、FQDN、IP地址)之间的关联，诸如表格500中的信息。在一个实施例中，DNS数据库600可以将IMSI值与URI值关联。在该实施例中，数据库600可以用于执行MSI至URI的查询或查找(这里也称为UTI浏览(dip))。在一个实施例中，数据库600可以被定位为路由器106的外部节点或与路由器106分离的节点。在另一实施例中，数据库600可以与路由器106位于同一位置处或与路由器106集成。除了本文公开的，图6中描绘的其他节点基本上与参照图2描述的节点相同。另夕卜，图6中的前两个消息(图6，消息I和2)基本上与图2中的前两个消息相同。因此，这里将不再重复对这些节点和前两个消息的描述。
参照图6，响应于接收到具有用户或节点标识信息的直径消息，路由器106可以使用该标识信息(例如，IMSI值)来查询DNS数据库600在一个实施例中，查询消息可以包括用于确定关联节点(例如，服务HSS/AAA 100)的寻址或路由信息(例如，URI地址)的MSI值。DNS数据库节点(例如，DNS服务器)可以接收该查询消息，对数据库600执行一次或多次查找，并基于查找的结果进行响应。在另一实施例中，查询消息可以包括用于确定可替换的寻址或路由信息(例如，关联节点的URI地址)的IMSI值和/或路由信息(例如，关联节点的FQDN或IP地址)。例如，路由器106或许不能使用FQDN值来路由消息，相反地或许需要URI或IP地址。这样，路由器106可以发起包括用于标识目的地的FQDN值的DNS查询消息。在该示例中，DNS响应消息可以包括与FQDN值相关联的IP地址。路由器106可以使用返回的IP地址来向目的地路由消息。在一个实施例中，DNS数据库节点(例如，DNS服务器)可以接收该查询消息，对数据库600执行一次或多次查找，并基于查找的结果进行响应。如果在位置数据库600中找到匹配，则关联的标识信息可以被获得并用于向通过查找识别的节点路由直径消息。例如，如图6所示，DNS数据库节点可以向路由106发送响应消息以用于提供关联节点的恰当路由信息(例如，与HSS/AAA 110相关联的会话初始化协议(SIP)URI )。如果没有匹配，则DNS数据库节点可以向路由106发送用于指示没有找到恰当的路由信息的响应消息。在一个实施例中，如果响应消息指示没有匹配，则路由器106可以向与网络或服务供应商相关联的默认节点路由消息。在另一实施例中，如果响应消息指示没有匹配，则路由器106可以通知发起节点(例如，MME 104)或之前的跳接收到的消息是不可路由的。例如，路由器106可以生成并向MME 104发起用于指示特定消息的目的地是未知的、不准确的或不可路由的错误消息。响应于接收到包括路由信息的响应消息，路由器106可以使用该路由信息来向由该路由信息所标识的目的地路由消息。在一个实施例中，路由器106可以基于原始接收到的消息来生成并发起新的直径消息。该新的直径消息可以包括恰当目的地的寻址或路由信息。例如，如图6所示，由ITU服务器返回的路由信息可以标识网络内URI，诸如HSS/AAA110。在该示例中，新的直径消息可以包括HSS/AAA 110的路由信息并相应地路由该消息。在所返回的路由信息标识了属于另一网络(例如，外部的(ported out)网络)的用户的实施例中，路由器106可以操作在中继模式中，并将直径消息转发给该外部网络。被转发的直径消息可以或可以不被修改以包括目的地信息。在再一实施例中，路由器106可以操作在代理模式中，并代表发起MME 104来联系网络外的HSS/AAA 110。在又一实施例中，路由器106可以操作在重定向模式中，并向发起MME 104进行回应。路由器106可以指示MME 104联系恰当的节点。应当意识到，这些实施例可以与上面示出和讨论的中继、代理和重定向实施例相类似。HSS/AAA 110可以接收直径消息并进行响应。例如，响应于接收到ULR消息，HSS/AAA 110可以发送用于指示位置信息被接收到并被存储的ULA消息。在一个实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 110)可以由路由器106处理或路由。例如，如图6所示，路由器106可以接收来自HSS/AAA 110的ULR消息。路由器106可以终止ULA消息，并生成基于从HSS/AAA 110接收到的ULA消息的新ULA消息。在一个实施例中，所生成的ULA消息可以包括与路由器106相关联的源寻址或路由信息和/或其他信息，以便路由器106用作HSS/AAA 110的代理。路由器106可以向恰当的目的地(例如，发起关联查询消息的节点)路由所生成的消息。在另一实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 110)可以不由路由器106处理或路由。例如，HSS/AAA 110可以提供目的地寻址或路由信息以用于在没有路由器106的情况下向MME104发送消息。图7是示出了根据本文描述的主题的实施例直径信令路由器提供防火墙功能的的信令消息流图。在图7所示的实施例中，描述了示例性LTE网络112的一部分，而且路由器106包括防火墙/NAT模块700。直径信令路由器106可以包括接收来自网络节点(例如MME 104或HSS 110)的直径信令消息的网络接口 702。防火墙/NAT模块700基于直径信令消息的直径部分中的信息来过滤直径信令消息。对于通过过滤或满足直径防火墙策略的消息，路由模块704向不同的直径节点路由这些消息。防火墙/NAT模块700可以用与硬件和/或固件相组合的软件来实施。应当意识 至|J，防火墙/NAT模块700可以包括在一个或多个模块(例如，防火墙模块、NAT模块、防火墙/NAT模块)中。例如，防火墙模块可以包括本文描述的任意或所有功能。在一个实施例中，包括防火墙/NAT模块700的路由器106可操作以实施一个或多个防火墙策略规则和/或执行NAT。例如，路由器106可以执行直径路由器和防火墙过滤功能。防火墙/NAT模块700可以包括用于访问一个或多个数据库(诸如防火墙策略规则数据库706)的功能。规则数据库706可以包括与策略和/或规则相关联的信息，所述策略和/或规则用于确定是允许还是拒绝接收到的消息的进一步处理。例如，规则可以用于确定是否由路由器106将接收到的消息转发给目的地。在一个实施例中，策略包括数据库706中的一个或多个规则。所述规则可以涉及与消息或用户相关联的各种特性或状况，例如用户、发源网络、目的地节点、目的地网络、设备、设备供应商、网络状况、消息特性和/或消息参数。在一个实施例中，数据库706可以包括用于指示与消息和/或用户相关联的特性的规则，以用于允许由路由器106来转发或处理消息。数据库706还可以包括用于指示与消息和/或用户相关联的特性的规则，以用于拒绝或阻止消息被路由器106路由或进一步处理。在一个实施例中，数据库706可以包括各种数据结构，用于表示用户、设备或用户群(例如，特定服务供应商的用户)的防火墙策略或防火墙规则。例如，数据库706可以包括针对不同服务供应商的用户的一个或多个策略表。在一个实施例中，规则可以与消息参数、值、参数长度、消息长度、目的地、发源地、会话、由网络地址转换器处理的直径消息中的网络地址、不由网络地址转换器处理的直径消息中的网络地址、网络参数的排除、网络参数的包括、消息类型、接收消息的方式、一天的时间和一星期的时间中的至少一者。在一个实施例中，策略或规则还可以包括用于访问数据结构的信息。例如，防火墙策略规则可以指定针对直径消息中的参数的白名单和/或黑名单(例如，针对MSI、MSISDN、SGSN、拜访PLMN-ID等的黑名单和/或白名单)。例如，防火墙策略可以包括用于访问与特定网络中的紧急设备相关联的白名单的信息。在第二示例中，防火墙策略可以包括用于访问与被盗设备相关联的黑名单的信息。
在路由器106包括防火墙/NAT模块700的实施例中，路由器106可以被配置成用于接收、检查和/或修改一个或多个直径消息。例如，路由器106 (例如，使用防火墙/NAT模块700)可以被配置成用于检查和/或修改直径消息中的信息。例如，可检查和/或可修改的直径信息可以包括直径报头部分信息、直径版本、直径消息长度、直径标志、命令代码(CC)、直径应用标识符(ID)、逐跳ID、端到端ID、直径数据部分信息、直径属性值对(AVP)、AVP参数、AVP代码、AVP标志、AVP长度、厂商ID、AVP数据、参数、用户标识符、设备标识符、国际移动用户标识符(MSI)、移动用户综合业务数字网(MSISDN)号、短代码、统一资源标识符(URI )、国际移动设备标识符(IMEI )、移动标识号(MIN)、认证-会话-状态参数、原始主机参数、原始范围参数、目的地主机参数、目的地范围参数、用户名参数、被支持的特征参数、终端信息参数、RAT类型参数、ULR标志参数、拜访PLMN-ID参数、SGSN号参数、代理信息参数和路由记录参数。在图7所示的实施例中，MME 104被配置成通过使用直径信令路由器106而与或尝试与一个或多个HSS和/或AAA服务器(下文中称为HSS/AAA) 110进行通信。路由器106 可以提供防火墙功能。在一个实施例中，MME 104、路由器106和HSS/AAA 110可以经由一个或多个LTE接口(诸如S6接口)交换消息。经由LTE S6接口或其他与LTE相关的接口发送或接收的直径消息可以包括在上述的全部内容被合并到本文中的技术规范中定义的一个或多个消息。如图7所示，直径消息可以在MME 104处被接收。在一个实施例中，接收到的直径消息是被称为跟踪区域更新(TAU)消息的注册消息。TAU消息可以包括与UE相关的信息，诸如国际移动用户标识(MSI)值。响应于接收到直径消息，MME 104可以生成并发起发往HSS/AAA 110的直径消息。在一个实施例中，响应于接收到TAU消息，MME 104可以生成并发起ULR消息。该ULR消息可以包括与TAU消息相关联的MSI值。在一个实施例中，直径信令路由器106可以接收由MME 104发起的消息。例如，如图7所示，路由器106接收由MME 104发起的ULR消息。路由器106可以使用防火墙/NAT模块700来检查接收到的消息并确定是否和/或如何处理该消息。在一个实施例中，使用防火墙/NAT模块700的路由器106可以访问数据库706，以用于确定接收到的消息是否满足相关防火墙策略。例如，路由器106可以通过使用与接收到的直径消息相关联的MSI值和/或其他参数来查询数据库706。在一个实施例中，如果接收到的直径消息满足相关防火墙策略(例如，由与所述消息相关联的IMSI值和/或其他信息确定的)，则路由器106可以向恰当的目的地(例如，HSS/AAA 110)路由直径消息。如果接收到的直径消息不满足相关防火墙策略，则路由器106可以执行减轻动作。在一个实施例中，减轻动作可以包括但不局限于丢弃直径消息、生成错误代码、生成错误消息、向直径节点传递错误消息、生成事件记录、生成日志条目、修改直径消息、基于第一直径消息生成第二直径消息；修改直径消息中的信息、修改直径消息以满足防火墙策略、触发NAT针对直径消息的处理、触发消息的路由以及修改实体。响应于接收到关于接收到的直径消息不能满足防火墙策略的指示，(例如，使用防火墙/NAT模块700的)路由器106可以拒绝、停止或阻止对接收到的消息的进一步处理。路由器106还可以生成并向发起实体(例如，MME 104)发起用于指示消息被阻止或者拒绝被转发或路由的消息。例如，如图7所示，(例如，使用防火墙/NAT模块700的)路由器106可以确定与接收到的消息的MSI值相关联的规则没有得到满足，而且随后可以发送用于指示该消息被阻止或被拒绝进一步处理的ULA消息。在策略包括多个规则的一个实施例中，如果这些规则中的一个或多个规则没有得至IJ满足(例如，一个或多个参数或特性指示被阻止的状态)，则路由器106可以拒绝或阻止该消息。在策略包括多个规则的另一实施例中，如果这些规则中的一个或多个规则得到满足(例如，一个或多个参数或特性指示允许状态)，则该消息可以被允许由路由器106进一步处理。在一个实施例中，策略或规则可以与各种优先级或相关性值相关联。例如，消息可以与与被阻止的状态相关联的不期望特性相关联，而且还可以与与被允许状态相关联的期望特性相关联。在这样的情况下，优先级或相关性信息可以用于确定策略是否得到满足。
应当意识到，本文的当前主题设想使用各种恰当的策略和规则。在一个实施例中，(例如，使用防火墙/NAT模块700的)路由器106可以根据网络配置、网络活动和各种其他因素来施加特定策略或规则。例如，可以基于可疑网络活动来施加动态策略，以便防止或减轻拒绝服务(DoS)攻击或其他安全性问题。图8是示出了根据本文描述的主题的实施例直径信令路由器提供网络地址转换(NAT)功能的信令消息流图。在图8所示的实施例中，描述了示例性LTE网络112的一部分，而且路由器106包括上面描述的防火墙/NAT模块700。在该实施例中，使用防火墙/NAT模块700的路由器106可以执行与NAT相关的功能，例如地址转换和/或其他参数修改，以用于节点之间的通信。在一个实施例中，防火墙/NAT模块700可以包括用于访问NAT数据库800的功能，NAT数据库800用于保持与NAT相关的信息。数据库800可以包括与NAT策略和/或NAT规则相关联的信息，NAT策略和/或NAT规则用于确定是否修改和/或如何修改接收到的消息或者基于接收到的消息来生成消息(例如，用正在转发或路由消息的外部节点标识符来替换内部节点标识符)。在一个实施例中，NAT数据库800可以包括各种数据结构，所述各种数据结构用于表示用户、设备或用户群(例如，特定服务供应商或小区的用户)的NAT策略或NAT规则。例如，数据库800可以包括针对不同服务供应商的用户的一个或多个策略表。在一个实施例中，数据库800可以包括与与NAT相关的功能相关联的信息(例如，状态信息、策略、规则)。例如，(例如，使用防火墙/NAT模块700的)路由器106可以在向HSS/AAA 110路由接收到的直径消息之前改变或修改该直径消息中的任意参数的值，而且可以在数据库800中保持原始参数信息或其他相关数据。在一个实施例中，(例如，使用防火墙/NAT模块700的)路由器106可以使用所保持的信息(例如，数据库800中所存储的信息)来提供对相关或相应消息(诸如由HSS/AAA110所返回的响应消息)的关联NAT处理。在另一实施例中，路由器106可以在不保持原始消息信息的情况下对相关或相应消息(诸如由HSS/AAA 110返回的响应消息)执行关联NAT处理。例如，消息参数值可以标识用在响应消息上的特定NAT策略。在图8所示的实施例中，MME 104被配置成通过使用直径信令路由器106而与或尝试与一个或多个HSS和/或AAA服务器(下文中称为HSS/AAA) 110进行通信。路由器106可以提供防火墙功能。在一个实施例中，MME 104、路由器106和HSS/AAA 110可以经由一个或多个LTE S6接口交换消息。经由LTE S6接口或其他与LTE相关的接口发送或接收的直径消息可以包括在上述的全部内容被合并到本文中的技术规范中定义的一个或多个消息。如图8所示，直径消息可以在MME 104处被接收。在一个实施例中，接收到的直径消息是被称为跟踪区域更新(TAU)消息的注册消息。TAU消息可以包括与UE相关的信息，诸如国际移动用户标识(MSI)值。响应于接收到直径消息，MME 104可以生成并发起发往HSS/AAA 110的直径消息。在一个实施例中，响应于接收到TAU消息，MME 104可以生成并发起ULR消息。该ULR消息可以包括与TAU消息相关联的MSI值。在一个实施例中，直径信令路由器106可以接收由MME 104发起的消息。例如，如图8所示，路由器106接收由MME 104发起的ULR消息。路由器106可以使用防火墙/NAT 模块800来检查接收到的消息并确定是否和/或如何路由该消息。在一个实施例中，(例如，使用防火墙/NAT模块700的)路由器106访问NAT数据库800以做出该确定。在一个实施例中，路由器106可以使用防火墙/NAT模块700来确定在路由消息之前是否执行与NAT相关的功能。例如，在确定了允许消息被进一步处理(例如，被路由)和确定了恰当的目的地之后，路由器106可以执行与NAT相关的功能。在第二示例中，在确定了消息的恰当目的地之前或之后都可以由与NAT相关的功能来并发地修改消息。在一个实施例中，确定是否执行与NAT相关的功能可以基于NAT策略或NAT规则。例如，NAT数据库800可以包括将特定事务与用于修改关联消息中的原始主机和原始范围值的信息相关联的条目。在该示例中，路由器106可以通过使用与接收到的直径消息相关联的頂SI值和/或其他事务标识参数来查询NAT数据库800。NAT数据库800可以指示与该用户或事务相关联的消息将需要修改一个或多个参数值。在一个实施例中，(例如，使用防火墙/NAT模块700的)路由器106可以在路由消息之前修改该消息的参数值。例如，如图8所示，路由器106可以修改ULR消息的原始主机和原始范围参数值，以便ULR消息看起来源自与目的地的相同的范围。路由器106可以向HSS/AAA 110转发修改后的ULR消息。在一个实施例中，HSS/AAA 110可以接收直径消息并进行响应。例如，响应于接收至IJULI^H、，HSS/AAA 110可以发送用于指示位置信息被接收到并被存储的ULA消息。在一个实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 110)可以由路由器106处理或路由。例如，如图8所示，路由器106可以接收来自HSS/AAA 110的ULR消息。在一个实施例中，(例如，使用防火墙/NAT模块700的)路由器106可以对相关或相应消息(诸如由HSS/AAA 110所返回的响应消息)执行关联的反向NAT处理。例如,路由器106可以使用数据库800来获得原始参数或其他信息，以在转发接收到的消息之前对该消息进行修改。在第二示例中，路由器106可以使用数据库800中的信息来基于接收到的消息生成新的消息。如图8所示，所生成的ULA消息可以包括与MME 104相关联的目的地寻址或路由信息。路由器106可以向恰当的目的地(例如，发起关联查询消息的节点)路由所生成的消肩、O在另一实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 110)可以不由路由器106处理或路由。例如，HSS/AAA 110可以提供目的地寻址或路由信息以用于在没有路由器106的情况下向MME104发送消息。
应当意识到，可由(例如，使用防火墙/NAT模块700的)路由器106施加各种NAT策略或NAT规则。另外，一个或多个策略或规则可以具有更高或更低的优先级。还应当意识到，本文的当前主题设想使用各种恰当的策略和规则。在一个实施例中，包括防火墙/NAT模块700的路由器106可以根据网络配置、网络活动和各种其他因素来执行与NAT相关的功能。例如，可以基于网络拥塞来施加NAT策略，例如某些特征或服务质量(QoS)参数被修改以降低带宽使用。图9A是示出了根据本文描述的主题的实施例的基于设备标识寄存器(EIR)数据库响应来屏蔽消息的信令消息流图。在图9所示的实施例中，描述了示例性LTE网络112的一部分，而且路由器106被配置成用于执行设备授权。在一个实施例中，(例如，使用防火墙/NAT模块700的)路由器106被配置成访问设备标识寄存器(EIR)数据库108以授权或阻止设备。例如，防火墙/NAT模块700可以包括用于访问EIR数据库108以确定设备是被授权还是被阻止的功能。在一个实施例中，查询EIR数据库108可以被称为执行EIR浏览。如上所述，EIR数据库108包括与设备或UE标识相关联的信息。在一个实施例中，EIR数据库108可以包括设备标识符(例如，国际移动设备标识符(MEI))和关于网络可接 入性的关联状态的列表。例如，EIR数据库108可以包括被允许使用节点或网络的设备标识符列表(例如，白名单)或不被允许使用节点或网络的设备标识符列表(例如，黑名单)。在一个实施例中，执行EIR浏览包括访问EIR数据库108以确定与直径消息相关联的与设备相关的信息是否存在于EIR数据库108中以及基于确定与该直径消息相关联的与设备相关的信息是否存在于EIR数据库108中的响应，来允许或阻止直径消息。在图9Α所示的实施例中，直径消息在MME 104处被接收到。如图9Α所示，接收到的直径消息可以是包括頂EI和MSI值的TAU消息。响应于接收到直径消息，MME 104可以生成并发起发往HSS/AAA 110的直径消息。例如，响应于接收到TAU消息，MME 104可以生成并发起ULR消息。该ULR消息可以包括与TAU消息相关联的MSI和MEI值。在图9Α中，直径信令路由器106可以接收由MME 104发起的消息。例如，路由器106可以接收由MME 104发起的ULR消息。路由器106可以使用防火墙/NAT模块700来检查接收到的消息并确定是否和/或如何路由该消息。(例如，使用防火墙/NAT模块700的)路由器106可以使用MEI值来查询EIR数据库108，以获得与IMEI值相关联的授权信息。EIR数据库108或恰当的节点(例如，EIR数据库服务器)可以进行响应，以用于指示MEI值或关联设备或用户被阻止或不被允许。在一个实施例中，响应于接收到用于指示与消息相关联的IMEI值被阻止的消息，(例如，使用防火墙/NAT模块700的)路由器106可以拒绝、停止或阻止对接收到的消息的进一步处理。路由器106还可以生成并向发起实体(例如，MME 104)发起用于指示消息被阻止或者拒绝被转发或路由的消息。例如，如图9Α所示，(例如，使用防火墙/NAT模块700的)路由器106可以确定接收到的消息的頂EI值被阻止，而且随后可以发送用于指示与该MEI值相关联的消息被阻止或被拒绝进一步处理的ULA消息。这样，(例如，使用防火墙/NAT模块700的)路由器106可以屏蔽或避免HSS/AAA100或其他网络节点进行不必要的信令业务，从而降低网络资源上的负载。在一个实施例中，EIR数据库108可以位于路由器106的外部。在另一实施例中，EIR数据库108可以与路由器106位于同一位置处或与路由器106集成。图9B是示出了根据本文描述的主题的实施例基于设备标识寄存器(EIR)数据库响应来路由消息的信令消息流图。在图9B所示的实施例中，图9B中所描绘的节点基本上与参照图9A描述的节点相同。另外，图9B中的前三个消息(图9B,消息1、2和3)基本上与图9A中的前三个消息相同。因此，这里将不再重复对这些节点和前三个消息的描述。在图9B所示的实施例中，响应于用于确定设备授权的EIR查询，返回被允许或被授权的响应消息。在一个实施例中，响应于接收到被允许或被授权的消息，路由器106可以执行进一步的处理(例如，路由于被授权设备相关联的消息)。例如，如图9B所示，路由器106可以向恰当的HSS/AAA 110路由与被授权的MEI相关联的ULR消息。HSS/AAA 110可以接收直径消息并进行响应。例如，响应于接收到ULR消息，HSS/AAA 110可以发送用于指示位置信息被接收到并被存储的ULA消息。在图9B所示的实施例中，对应于被路由的消息的响应消息(例如，来自HSS/AAA 110)可以由路由器106处理或路由。在另一实施例中，对应于被路 由的消息的响应消息(例如，来自HSS/AAA110)可以不由路由器106处理或路由。图10是示出了根据本文描述的主题的实施例直径信令路由器提供集成的消息监控功能的信令消息流图。在图10所示的实施例中，描述了示例性LTE网络112的一部分，而且路由器106被配置成用于执行消息监控。在一个实施例中，路由器106包括用于监控通过或穿过节点的直径信令消息业务的消息监控(MM)功能。MM模块1000可以以与硬件和/或固件相组合的软件形式实施。路由器106还可以包括上面描述的网络接口 702和路由模块704。在一个示例性实施例中，直径路由器106可以包括用于接收来自多个不同源的信令消息的多个网络接口 702。集成的监控模块1000可以被实施为与每个网络接口 702相关联的消息复制功能，该消息复制功能识别并复制由每个网络接口 702接收到的直径信令消息。路由模块704向其目的地路由由每个网络接口 702接收到的原始直径信令消息。丽模块1000可以复制来自穿过直径信令路由器106的直径信令消息的信息。例如，MM模块1000可以识别并复制与媒体会话的建立、进展和拆除相关联的直径信令消息，并生成或提供用于生成会话的事务详细记录(TDR)的信息。在另一示例中，MM模块1000可以生成或提供用于生成针对穿过路由器106的直径信令消息的使用测量信息(诸如占线计数(peg count))的信息。这种占线计数例如可以是可配置的，以便网络运营商能够获得来自特定源和/或通过路由器106去往特定目的地的特定类型的直径信令消息的计数。在一个实施例中，MM模块1000可以向一个或多个应用提供与观察到的直径消息相关联的信息(例如，被复制部分)。例如，用于接收由路由器106提供的被复制信息的应用可以包括开账单应用、开账单验证应用、TDR生成应用、TDR数据库应用、合法监视应用、网络分析应用、网络统计应用和欺诈减轻应用。在一个实施例中，用于接收由路由器106提供的被复制信息的应用可以与路由器106位于同一位置处或与路由器106相集成。在另一实施例中，用于接收由路由器106提供的被复制信息的应用可以位于路由器106外部。在图10所示的实施例中，(例如，使用丽模块1000的)路由器106可配置成用于监控通过节点的直径信令消息。在一个实施例中，被监控的消息可以包括上文中被整体合并到本文中的技术规范中定义的一个或多个消息。
(例如，使用MM模块1000的)路由器106可以维持或提供用于维持TDR数据库1002的信息。TDR数据库1002可以包括用于存储与观察到的消息相关联的一个或多个TDR的功能。在一个实施例中，TDR可以包括观察到的直径消息的完整副本、观察到的直径消息的一部分和与观察到的直径信令业务相关联的信息(例如，统计、度量)中的至少一者。在一个实施例中，TDR数据库1002可以与路由器106位于同一位置处或与路由器106集成。在另一实施例中，TDR数据库1002可以位于路由器106的外部。在图10所示的实施例中，所描绘的消息基本上与参照图3所描述的消息相同，因此这里将不再重复对它们的描述。然而，在图10所示的实施例中，通过路由器106的消息、其一部分或者与该消息相关联的信息中的一者或多者均可以被复制，而且可以使用MM模块1000将所复制的信息提供给应用。例如，TDR生成应用可以使用由路由器106提供的复制信息来生成一个或多个TDR。TDR生成应用或其他实体可以是生成TDR数据库1002中的一个或多个TDR。TDR可以包括与例如经由LTE接口(例如LTE S6或S13接口)穿过路由器106的消息相关联的信息。 路由器106或另一实体(例如，计费模块或网络运营商)可以将与TDR相关的信息用于各种目的，例如，网络分析、计费、开账单目的。在第二示例中，运TDR相关的信息可以用于消息的合法监视。应当意识到，各种其他使用和目的是显而易见的而且位于本公开的范围内。图11是示出了根据本文描述的主题的实施例直径路由和防火墙过滤的示例性步骤的流程图。在一个实施例中，本文描述的一个或多个示例性步骤可以在直径信令路由器106处执行或者由直径信令路由器106执行。参照图11，在步骤1100中，可以经由网络接口接收来自第一直径节点的具有直径信息的第一直径消息。例如，可以如图2所示那样接收ULR消息。在一个实施例中，第一直径节点可以是MME (例如，MME 104)。在另一实施例中，第一直径节点可以是HSS或AAA (例如，HSS/AAA 110)。在步骤1102中，可以确定第一直径消息是否满足防火墙策略的要求，其中防火墙策略基于第一直径消息中的直径信息的至少一部分。在一个实施例中，该一部分包括直径报头部分和直径数据部分中的任意信息。例如，直径报头部分可以包括关于直径版本、直径消息长度、直径标志、命令代码(CC)、直径应用标识符(ID)、逐跳ID和端到端ID的信息。在一个实施例中，直径数据部分可以包括与属性值对相关联的任意信息。例如，直径数据部分可以包括关于AVP代码、AVP标志、AVP长度、厂商ID和AVP数据的信息。在一个实施例中，防火墙策略包括用于确定直径消息是否与期望特性相关联的规贝U、用于确定直径消息是否与不期望特性相关联的规则、用于访问数据结构以确定直径消息是否满足防火墙策略的信息、用于访问白名单的信息和用于访问黑名单的信息中的至少一者O在一个实施例中，防火墙模块可以确定第一直径消息是否满足防火墙策略。在该实施例中，防火墙模块可以包括上面描述的任意或所有防火墙/NAT模块700。例如，防火墙模块可以包括用于对第一直径消息执行网络地址转换(NAT)处理并对第一直径消息执行NAT的网络地址转换(NAT)模块。在一个实施例中，NAT模块还可以被配置成对以第一直径节点为目的地的、对应于第一直径消息的响应消息执行NAT处理。
在步骤1104中，响应于确定第一直径消息满足防火墙策略，使用直径信息来向第二直径节点转发第一直径消息的至少一部分。在一个实施例中，路由模块可以通过使用直径信息来向第二直径节点转发第一直径消息的至少一部分。在该实施例中，路由模块可以包括上面描述的任意或所有转发和路由功能。例如，可以如图2所示那样路由ULR消息。在一个实施例中，第二直径节点可以是HSS或AAA(例如，HSS/AAA 110)。在另一实施例中，第二直径节点可以是MME (例如，MME 104)。在一个实施例中，路由器106或防火墙模块可以包括减轻模块,用于响应于第一直径消息未能满足防火墙策略而执行减轻动作。在一个实施例中，减轻动作可以包括丢弃第一直径消息、生成错误代码、生成错误消息、向直径节点传递错误消息、生成事件记录、生成日志条目、修改第一直径消息、基于第一直径消息生成第二直径消息；修改第一直径消息中的直径信息、将第一直径消息修改为满足防火墙策略、触发针对直径消息的NAT处理、触发路由模块处理修改后的第一直径消息、触发路由模块处理第二直径消息以及通知实体。图12是示出了根据本文描述的主题的实施例用于监控直径信令消息的示例性步骤的流程图。在一个实施例中，本文描述的一个或多个示例性步骤可以在直径信令路由器106处执行或者由直径信令路由器106执行。 参照图12，在步骤1200中，可以经由网络接口接收来自第一直径节点的具有直径信息的第一直径消息。例如，可以如图2所示那样接收ULR消息。在一个实施例中，接口可以包括LTE接口，诸如S6接口或S13接口。在一个实施例中，第一直径节点可以是MME (例如，MME 104)、邯5、八八八服务器(例如，邯5/八八八110)和EIR节点中的至少一者。在步骤1202，第一直径消息的至少一部分可以被复制，而且与第一直径消息相关联的复制信息可以被提供给应用。例如，监控模块可以包括用于向开账单应用、开账单验证应用、TDR生成应用、TDR数据库应用、合法监视应用、网络分析应用和欺诈减轻应用中的至少一者提供复制信息的功能。在一个实施例中，第一直径消息的被复制部分包括以下中的至少一者第一直径消息的副本、第一直径消息的一部分和与第一直径消息相关联的统计。例如，统计可以包括关于会话的特性(例如，会话中交换的分组的数量以及带宽使用)。在一个实施例中，监控模块可以包括用于更新或向应用(例如，网络统计或度量应用)提供的信息以用于基于第一直径消息来更新LTE网络使用测量信息的功能。图13是示出了根据本文描述的主题的实施例用于路由直径信令消息的示例性步骤的流程图。在一个实施例中，本文描述的一个或多个示例性步骤可以在直径信令路由器106处执行或者由直径信令路由器106执行。参照图13，在步骤1300中，可以经由LTE接口接收来自第一直径节点的具有LTE用户标识信息的第一直径消息。例如，可以如图2所示那样接收ULR消息。在一个实施例中，LTE用户标识信息可以包括用户标识符、设备标识符、国际移动用户标识符(MSI)、移动用户综合业务数字网(MSISDN)号、短代码、统一资源标识符(URI)、国际移动设备标识符aMEI)、移动标识号(MIN)中的一者或多者。在步骤1302，可以确定对应于LTE用户标识信息的LTE节点寻址或路由信息。在一个实施例中，用户位置模块可以确定对应于LTE用户标识信息的LTE节点寻址或路由信息。在该实施例中，用户位置模块可以包括上面描述的任意或所有功能。例如，用户位置模块可以查看或检查接收到的消息中的LTE用户标识信息。在一个实施例中，用户位置模块可以查询一个或多个数据库以获得用于转发第一直径消息的LTE寻址或路由信息。在一个实施例中，一个或多个数据库可以包括以下中的至少ー者用于关联用户标识符群和关联节点的寻址或路由信息的基于范围的部分，以及用于关联(该关联于基于范围的部分中的关联不同)用户标识符和关联节点的寻址或路由信息的基于例外情况的部分。在一个实施例中，用户位置模块可以执行地址解析，以确定寻址或路由信息。例如，用户位置模块可以获得寻址或路由信息，并确定该寻址或路由信息需要被解析(例如， 寻址或路由信息可以是非优选格式，诸如FQDN值或不可路由地址)。用户位置模块可以查询DNS服务器或其他恰当的节点，以获得适合的或优选的寻址或路由信息(例如，SIP URI)。在一个实施例中，寻址或路由信息可以包括节点标识符、统ー资源标识符(URI)、全限定域名(FQDN)和互联网协议(IP)地址中的一者或多者。在步骤1304，响应于确定LTE节点寻址或路由信息对应于LTE用户标识别信息，通过使用LTE节点寻址或路由信息，可以转发第一直径消息的至少一部分。在一个实施例中，路由模块可以执行转发。在该实施例中，路由模块可以包括上面描述的任意或所有转发和路由功能。例如，可以如图2所示那样路由ULR消息。在一个实施例中，转发第一直径消息的至少一部分可以包括基于第一直径消息生成新的消息。在一个实施例中，直径信令路由器可以被配置成用于在中继模式中进行转发，以便向第二直径节点中继第一直径消息。在另ー实施例中，直径信令路由器可以被配置成在代理模式中进行转发，以便直径信令路由器用作第一直径节点或第二直径节点的代理。在再一实施例中，直径信令路由器可以被配置成在重定向模式中进行转发，以便指示第一直径节点向第二直径节点转发第一直径消息。在一个实施例中，节点可以包括归属用户服务器(HSS)，网关节点，外部网关节点，服务器，移动性管理实体(MME)节点，认证、授权和计费(AAA)服务器，策略和收费规则功能(PCRF)，策略和收费实加功能(PCEF)和设备标识寄存器(EIR)节点中的一者。上面已经描述了用于执行各种与消息处理相关(例如，路由和安全性)的功能的各种基于LTE的实施例。应当意识到，上面的示例是说明性的，而且在不背离本文描述的主题的范围的情况下，本文描述的功能可以被实施以与各种直径消息、各种与直径相关的接ロ和各种与直径相关的节点(包括上面未明确描述的消息、接口和节点)一起使用或者应用于各种直径消息、各种ー直径相关的接口和各种与直径相关的节点。在不背离本文描述的主题的范围的情况下，本文描述的任意实施例可以彼此组合。例如，在不背离本文描述的主题的范围的情况下，上面描述的具有集成的监控功能的直径信令路由器的上述实施例中的任意实施例都可以与具有防火墙过滤功能的直径信令路由器的上述实施例中的任意实施例相组合，以产生具有集成的监控和防火墙过滤功能的直径信令路由器。应当理解，在不背离本文描述的主题的范围的情况下，可以改变本文描述的主题的各种细节。另外，前面的描述仅是出于说明的目的，而不用于限制的目的。
权利要求
1.ー种用于监控直径信令消息的系统，所述系统包括 直径信令路由器，其包括 网络接ロ，用于从第一直径节点接收具有直径信息的第一直径消息；以及 位于所述直径信令路由器中的集成的监控模块，用于复制所述第一直径消息的至少ー部分，并向应用提供与所述第一直径消息相关联的被复制的信息。
2.根据权利要求I所述的系统，其中，所述接ロ包括长期演进(LTE)接ロ。
3.根据权利要求I所述的系统，其中，所述第一直径消息包括以下各项中的一个更新位置请求(ULR)消息、更新位置应答(ULA)消息、认证信息请求(AIR)消息、认证信息应答(AIA)消息、取消位置请求(CLR)消息、取消位置应答(CLA)消息、插入用户数据请求(IDR)消息、插入用户数据应答(IDA)消息、删除用户数据请求(DSR)消息、删除用户数据应答(DSA)消息、清除UE请求(PUR)消息、清除UE应答(PUA)消息、复位请求(RSR)消息、复位应答(RSA)消息、通知请求(NOR)消息、通知应答(NOA)消息、ME标识检查请求(ECR)消息和ME标识检查应答(ECA)消息。
4.根据权利要求I所述的系统，其中，所述第一直径消息的被复制部分包括以下各项中的至少ー个參数、用户标识符、设备标识符、国际移动用户标识符(IMSI)、移动用户综合业务数字网(MSISDN)号、短代码、统ー资源标识符(URI)、国际移动设备标识符(MEI)、移动标识号(MIN)、认证-会话-状态參数、起源主机參数、起源范围參数、目的地主机參数、目的地范围參数、用户名參数、被支持的特征參数、终端信息參数、RAT类型參数、ULR标志參数、拜访的PLMN Id參数、SGSN号參数、AVP參数、代理信息參数和路由记录參数。
5.根据权利要求I所述的系统，其中，所述监控模块被配置成检查所述第一直径消息中的所述直径信息，以确定要提供的与所述第一直径消息相关联的信息。
6.根据权利要求I所述的系统，所述监控模块被配置成向开账单应用、开账单验证应用、TDR生成应用、TDR数据库应用、合法监视应用、网络分析应用、网络统计应用和欺诈减轻应用中的至少ー个提供与所述第一直径消息相关联的被复制的信息。
7.根据权利要求I所述的系统，其中，所述监控模块被配置成生成或向应用提供用于基于所述第一直径消息中的信息来生成事务详细记录(TDR)的信息。
8.根据权利要求7所述的系统，其中，所述应用被配置成在数据库中保持所述TDR。
9.根据权利要求I所述的系统，其中，与所述第一直径消息相关联的信息包括以下各项中的至少ー个所述第一直径消息的副本、所述第一直径消息的一部分和与所述第一直径消息相关联的统计。
10.根据权利要求I所述的系统，其中，所述第一直径节点是以下各项中的至少ー个归属用户服务器(HSS)，移动性管理实体(MME)节点，认证、授权和计费(AAA)服务器，策略收费规则功能単元(PCRF)，策略和收费施加功能単元(PCEF)，订制简档库(SPR)，在线收费系统(0CS)，IP多媒体子系统(IMS)呼叫会话控制功能单元(CSCF)和设备标识寄存器(EIR)节点。
11.根据权利要求I所述的系统，其中，所述监控模块被配置成更新或向应用提供用于基于所述第一直径消息更新LTE网络使用測量信息的信息。
12.—种用于监控直径信令消息的方法,所述方法包括 在直径信令路由器处在网络接ロ处从第一直径节点接收具有直径信息的第一直径消息；以及 复制所述第一直径消息的至少一部分并向应用提供与所述第一直径消息相关联的被复制的信息。
13.根据权利要求12所述的方法，其中，所述接ロ包括长期演进(LTE)接ロ。
14.根据权利要求12所述的方法，其中 ，所述第一直径消息包括以下各项中的一个更新位置请求(ULR)消息、更新位置应答(ULA)消息、认证信息请求(AIR)消息、认证信息应答(AIA)消息、取消位置请求(CLR)消息、取消位置应答(CLA)消息、插入用户数据请求(IDR)消息、插入用户数据应答(IDA)消息、删除用户数据请求(DSR)消息、删除用户数据应答(DSA)消息、清除UE请求(PUR)消息、清除UE应答(PUA)消息、复位请求(RSR)消息、复位应答(RSA)消息、通知请求(NOR)消息、通知应答(NOA)消息、ME标识检查请求(ECR)消息和ME标识检查应答(ECA)消息。
15.根据权利要求12所述的方法，其中，所述第一直径消息的被复制部分包括以下各项中的至少ー个參数、用户标识符、设备标识符、国际移动用户标识符(頂SI)、移动用户综合业务数字网(MSISDN)号、短代码、统ー资源标识符(URI)、国际移动设备标识符(IMEI)、移动标识号(MIN)、认证-会话-状态參数、起源主机參数、起源范围參数、目的地主机參数、目的地范围參数、用户名參数、被支持的特征參数、終端信息參数、RAT类型參数、ULR标志參数、拜访的PLMN Id參数、SGSN号參数、AVP參数、代理信息參数和路由记录參数。
16.根据权利要求12所述的方法，其中，监控包括检查所述第一直径消息中的所述直径信息，以确定要提供的与所述第一直径消息相关联的信息。
17.根据权利要求12所述的方法，其中，所述应用包括开账单应用、开账单验证应用、TDR生成应用、TDR数据库应用、合法监视应用、网络分析应用、网络统计应用和欺诈减轻应用中的至少ー个。
18.根据权利要求12所述的方法，其中，向应用提供与所述第一直径节点相关联的信息包括生成或向应用提供用于基于所述第一直径消息中的信息来生成事务详细记录(TDR)的信息。
19.根据权利要求18所述的方法，其中，生成所述TDR包括在数据库中保持所述TDR。
20.根据权利要求12所述的系统，其中，与所述第一直径消息相关联的信息包括以下各项中的至少ー个所述第一直径消息的副本、所述第一直径消息的一部分和与所述第一直径消息相关联的统计。
21.根据权利要求12所述的方法，其中，所述第一直径节点是以下各项中的至少ー个归属用户服务器(HSS)，网关节点，外部网关，服务器，移动性管理实体(MME)节点，认证、授权和计费(AAA)服务器，策略收费规则功能単元(PCRF)，策略和收费施加功能単元(PCEF)和设备标识寄存器(EIR)节点。
22.根据权利要求12所述的方法，其中，监控包括更新或提供用于基于所述第一直径消息来更新LTE网络使用測量信息的信息。
23.一种其上存储有可执行指令的非暂时性计算机可读介质，所述可执行指令在被计算机的处理器执行时控制所述计算机执行包括以下步骤的步骤 在直径信令路由器处 在网络接ロ处从第一直径节点接收具有直径信息的第一直径消息；以及复制所述第一直径消息的至少一部分并向应用提供与所述第一直径消息相关联的被复制的信息。
24.一种用于直径路由和防火墙过滤的系统，所述系统包括 直径信令路由器，其包括 网络接ロ，用于从第一直径节点接收具有直径信息的第一直径消息； 防火墙模块，用于确定所述第一直径消息是否满足防火墙策略，其中，所述防火墙策略是基于所述第一直径消息中的所述直径信息的至少一部分的；以及 路由模块，用于响应于所述第一直径消息满足所述防火墙策略而通过使用所述直径信息来向第二直径节点转发所述第一直径消息的至少一部分。
25.根据权利要求24所述的系统，其中，所述直径信令路由器包括减轻模块，用于响应于所述第一直径消息未能满足所述防火墙策略而执行减轻动作。
26.根据权利要求24所述的系统，其中，减轻动作包括以下各项中的至少ー个丢弃所述第一直径消息，生成错误代码，生成错误消息，向所述第一直径节点传递错误消息，生成事件记录，生成日志条目，修改所述第一直径消息，基于所述第一直径消息生成第二直径消息；修改所述第一直径消息中的所述直径信息，将所述第一直径消息修改为满足所述防火墙策略，触发针对直径消息的网络地址转换(NAT)处理，触发所述路由模块处理修改后的第一直径消息，触发所述路由模块处理所述第二直径消息，以及通知实体。
27.根据权利要求24所述的系统，其中，所述防火墙模块包括网络地址转换(NAT)模块，用于对所述第一直径消息执行网络地址转换(NAT)处理。
28.根据权利要求27所述的系统，其中，所述NAT模块被配置成对以所述第一直径节点为目的地的、对应于所述第一直径消息的响应消息执行NAT处理。
29.根据权利要求24所述的系统，其中，所述防火墙策略包括以下各项中的至少ー个用于确定所述第一直径消息是否与一个或多个期望特性相关联的规则，用于确定所述第一直径消息是否与ー个或多个不期望特性相关联的规则，用于访问一数据结构以确定所述第一直径消息是否满足防火墙策略的信息，用于访问白名单的信息和用于访问黑名单的信息。
30.根据权利要求29所述的系统，其中，所述不期望特性或所述期望特性包括以下各项中的至少ー个直径消息中的直径信息的ー个或多个部分、属性值对(AVP)、消息參数、值、參数长度、消息长度、目的地、起源、会话、由网络地址转换(NAT)模块处理的直径消息中的网络地址、不由网络地址转换(NAT)模块处理的直径消息中的网络地址、消息參数的排除、消息參数的包括、消息类型、接收消息的方式、一天中的时间和一星期中的时间。
31.根据权利要求24所述的系统，其中，所述防火墙模块包括用于通过使用来自所述第一直径消息的信息来执行设备标识寄存器(EIR)浏览的功能単元。
32.根据权利要求31所述的系统，其中，所述用于执行EIR浏览的功能単元包括用于存储在确定用户设备是被授权还是被阻止时使用的与设备相关的信息的EIR数据库，和用于访问所述EIR数据库以确定与所述第一直径消息相关联的与设备相关的信息是否存在于所述EIR数据库中的EIR浏览功能単元。
33.根据权利要求24所述的系统，其中，所述第一直径节点是归属用户服务器(HSS)。
34.根据权利要求33所述的系统，其中，所述第二直径节点是移动性管理实体(MME)。
35.根据权利要求24所述的系统，其中，所述第一直径节点是移动性管理实体(MME)。
36.根据权利要求35所述的系统，其中，所述第二直径节点是归属用户服务器(HSS)。
37.根据权利要求24所述的系统，其中，所述第一直径消息包括以下各项中的一个更新位置请求(ULR)消息、更新位置应答(ULA)消息、认证信息请求(AIR)消息、认证信息应答(AIA)消息、取消位置请求(CLR)消息、取消位置应答(CLA)消息、插入用户数据请求(IDR)消息、插入用户数据应答(IDA)消息、删除用户数据请求(DSR)消息、删除用户数据应答(DSA)消息、清除UE请求(PUR)消息、清除UE应答(PUA)消息、复位请求(RSR)消息、复位应答(RSA)消息、通知请求(NOR)消息、通知应答(NOA)消息、ME标识检查请求(ECR)消息和ME标识检查应答(ECA)消息。
38.根据权利要求24所述的系统，其中，所述第一直径信息中的所述直径信息包括以下各项中的至少ー个直径报头部分信息、直径版本、直径消息长度、直径标志、命令代码(CC)、直径应用标识符(ID)、逐跳ID、端到端ID、直径数据部分信息、直径属性值对(AVP)、AVP參数、AVP代码、AVP标志、AVP长度、厂商ID、AVP数据、參数、用户标识符、设备标识符、国际移动用户标识符(頂SI)、移动用户综合业务数字网(MSISDN)号、短代码、统ー资源标识符(URI)、国际移动设备标识符(頂EI)、移动标识号(MIN)、认证-会话-状态參数、起源主机參数、起源范围參数、目的地主机參数、目的地范围參数、用户名參数、被支持的特征參数、终端信息參数、RAT类型參数、ULR标志參数、拜访的PLMN Id參数、SGSN号參数、代理信息參数和路由记录參数。
39.一种用于直径路由和防火墙过滤的方法，所述方法包括 在直径信令路由器处 在网络接ロ处从第一直径节点接收具有直径信息的第一直径消息； 确定所述第一直径消息是否满足防火墙策略，其中，所述防火墙策略是基于所述第一直径消息中的所述直径信息的至少一部分的；以及 响应于所述第一直径消息满足所述防火墙策略而通过使用所述直径信息来向第二直径节点转发所述第一直径消息的至少一部分。
40.根据权利要求39所述的方法，包括响应于所述第一直径消息未能满足所述防火墙策略而执行减轻动作。
41.根据权利要求39所述的方法，其中，所述第一直径消息的直径应用级部分包括直径属性值对(AVP)。
42.根据权利要求40所述的方法，其中，执行减轻动作包括以下各项中的至少ー个丢弃所述第一直径消息，生成错误代码，生成错误消息，向直径节点传递错误消息，生成事件记录，生成日志条目，修改所述第一直径消息，基于所述第一直径消息生成第二直径消息；修改所述第一直径消息中的所述直径信息，将所述第一直径消息修改为满足所述防火墙策略，触发针对直径消息的NAT处理，触发路由模块处理修改后的第一直径消息,触发所述路由模块处理所述第二直径消息，以及通知实体。
43.根据权利要求39所述的方法，其中，确定所述第一直径消息是否满足防火墙策略包括确定是否对所述第一直径消息执行网络地址转换(NAT)处理。
44.根据权利要求43所述的方法，其中，响应于确定要执行NAT处理，对所述第一消息执行NAT处理并对相应的以所述第一直径节点为目的地的响应消息执行NAT处理。
45.根据权利要求39所述的方法，其中，所述防火墙策略包括以下各项中的至少一个用于确定所述第一直径消息是否与一个或多个期望特性相关联的规则，用于确定所述第一直径消息是否与一个或多个不期望特性相关联的规则，用于访问一数据结构以确定所述第一直径消息是否满足防火墙策略的信息，用于访问白名单的信息和用于访问黑名单的信肩、O
46.根据权利要求45所述的方法，其中，所述不期望特性或所述期望特性包括以下各项中的至少一个直径消息中的直径信息的一个或多个部分、消息参数、属性值对(AVP)、值、参数长度、消息长度、目的地、起源、会话、由网络地址转换(NAT )模块处理的直径消息中的网络地址、不由网络地址转换(NAT)模块处理的直径消息中的网络地址、消息参数的排除、消息参数的包括、消息类型、接收消息的方式、一天中的时间和一星期中的时间。
47.根据权利要求39所述的方法，其中，确定所述第一直径消息是否满足防火墙策略包括对所述第一直径消息执行设备标识寄存器(EIR)浏览。
48.根据权利要求47所述的系统，其中，执行EIR浏览包括访问EIR数据库以确定与所述第一直径消息相关联的与设备相关或与用户相关的信息是否存在于所述EIR数据库中，以及基于对确定与所述第一直径消息相关联的与设备相关的信息是否存在于所述EIR数据库中的响应来允许或阻止所述第一直径消息。
49.根据权利要求39所述的方法，其中，所述第一直径节点是归属用户服务器(HSS)。
50.根据权利要求49所述的方法，其中，所述第二直径节点是移动性管理实体(MME)。
51.根据权利要求39所述的方法，其中，所述第一直径节点是移动性管理实体(MME)。
52.根据权利要求51所述的方法，其中，所述第二直径节点是归属用户服务器(HSS)。
53.根据权利要求39所述的方法，其中，所述第一直径消息包括以下各项中的一个更新位置请求(ULR)消息、更新位置应答(ULA)消息、认证信息请求(AIR)消息、认证信息应答(AIA)消息、取消位置请求(CLR)消息、取消位置应答(CLA)消息、插入用户数据请求(IDR)消息、插入用户数据应答(IDA)消息、删除用户数据请求(DSR)消息、删除用户数据应答(DSA)消息、清除UE请求(PUR)消息、清除UE应答(PUA)消息、复位请求(RSR)消息、复位应答(RSA)消息、通知请求(NOR)消息、通知应答(NOA)消息、ME标识检查请求(ECR)消息和ME标识检查应答(ECA)消息。
54.根据权利要求39所述的方法，其中，所述第一直径信息中的所述直径信息包括以下各项中的至少一个直径报头部分信息、直径版本、直径消息长度、直径标志、命令代码(CC)、直径应用标识符(ID)、逐跳ID、端到端ID、直径数据部分信息、直径属性值对(AVP)、AVP参数、AVP代码、AVP标志、AVP长度、厂商ID、AVP数据、参数、用户标识符、设备标识符、国际移动用户标识符(MSI)、移动用户综合业务数字网(MSISDN)号、短代码、统一资源标识符(URI )、国际移动设备标识符(MEI )、移动标识号(MIN)、认证-会话-状态参数、起源主机参数、起源范围参数、目的地主机参数、目的地范围参数、用户名参数、被支持的特征参数、终端信息参数、RAT类型参数、ULR标志参数、拜访的PLMN Id参数、SGSN号参数、代理信息参数和路由记录参数。
55.—种其上存储有可执行指令的非暂时性计算机可读介质，所述可执行指令在被计算机的处理器执行时控制所述计算机执行包括以下步骤的步骤 在直径信令路由器处在网络接口处从第一直径节点接收具有直径信息的第一直径消息； 确定所述第一直径消息是否满足防火墙策略，其中，所述防火墙策略是基于所述第一直径消息中的所述直径信息的至少一部分的；以及 响应于所述第一直径消息满足所述防火墙策略而通过使用所述直径信息来向第二直径节点转发所述第一直径消息的至少一部分。
全文摘要
根据一个方面，本文描述的主题包括用于具有监控功能的直径信令路由器的系统。该系统包括直径信令路由器，所述直径信令路由器包括用于接收来自第一直径节点的具有直径信息的第一直径消息的网络接口。该系统还包括位于直径信令路由器中的、用于复制第一直径消息的至少一部分并向应用提供与第一直径消息相关联的被复制的信息的集成监控模块。
文档编号H04W8/04GK102656845SQ201080056996
公开日2012年9月5日 申请日期2010年10月18日 优先权日2009年10月16日
发明者P·J·马尔西科, T·M·麦卡恩 申请人:泰克莱克公司