一种防止信令攻击方法及装置与流程

文档序号：14993852发布日期：2018-07-20 23:09阅读：317来源：国知局

本发明涉及通信领域，具体涉及一种防止信令攻击方法及装置。

背景技术：

服务网关(servinggateway，简称sgw)和公用数据网网关(publicdatanetworkgateway，简称pgw)都是移动通信网络中的重要网元，sgw负责用户数据转发的数据面功能，pgw提供用户的会话管理和承载控制、数据转发、互联网协议(internetprotocol，简称ip)地址分配以及非第三代合作伙伴计划(3rdgenerationpartnershipproject，简称3gpp)用户接入等功能。

在第四代移动通信技术(the4thgenerationmobilecommunicationtechnology，简称4g)网络中，sgw和pgw之间基于通用分组无线服务技术隧道协议(generalpacketradioservicetunnellingprotocol，简称gtp)协议中的gtp-c协议定义的第五数据接口或第八数据接口s5/s8接口进行通信，当sgw和pgw属于同一运营商时，sgw和pgw之间通过s5接口进行通信，此时通信安全，而当sgw和pgw属于不同的运营商时，sgw和pgw之间通过s8接口进行通信，此时黑客将有可能利用sgw对pgw进行攻击，造成通信安全隐患。

技术实现要素：

本发明实施例提供了一种防止信令攻击方法及装置，以期可以防止gtp-c信令攻击，提高通信安全性。

第一方面，本发明实施例提供了一种防止信令攻击方法，该方法包括：pgw或边缘节点接收服务网关(sgw)发送的基于通用分组无线服务技术(gprs)隧道协议(gtp-c)消息；然后pgw或边缘节点再判断该gtp-c消息是否从s8接口接收；当gtp-c消息是从s8接口接收时，pgw或边缘节点再判断gtp-c消息的第一特征参数是否合法，其中，第一特征参数包括以下参数中的至少一种：gtp-c消息的消息源端的标识、用户的国际移动用户标识(imsi)；并在gtp-c消息的第一特征参数不合法时，pgw或边缘节点丢弃gtp-c消息或返回携带错误码原因值的gtp-c响应消息给sgw。

本发明实施例提供的方案中，通过对gtp-c消息中的各参数的合法性进行判断，并在各特征参数不合法时，丢弃该gtp-c消息或返回携带错误码原因值的gtp-c响应消息给sgw，从而能有效阻断黑客利用各个攻击路径对sgw进行攻击，提高通信安全。

在一个示例中，所述imsi通过gtp-c消息携带或通过gtp-c消息携带的隧道端点标识符teid获取。由于gtp-c消息中可能携带imsi，也可能携带的为teid，所以当在gtp-c消息中携带的为teid时，可通过该teid找到imsi。

在一个可能的设计中，该gtp-c消息还包括sgw的源互联网协议号(ip)地址；pgw或边缘节点判断gtp-c消息是否从s8接口接收，包括：判断源ip地址和接收gtp-c消息的公用数据网关(pgw)或边缘节点的ip地址是否属于同一网段；并在源ip地址和接收gtp-c消息的pgw或边缘节点的ip地址不属于同一网段时，pgw或边缘节点确定接收所述gtp-c消息是从s8接口收到；或者，pgw或边缘节点判断源ip地址是否属于pgw或边缘节点所属运营商授权的ip地址集合；当源ip地址不属于pgw或边缘节点所属运营商授权的ip地址集合时，pgw或边缘节点确定该gtp-c消息是从s8接口收到。

本发明实施例提供的方案中，通过判断gtp-c消息是否从s8接口接收，从而可以只对pgw或边缘节点从s8接口接收到的gtp-c进行防攻击处理，提高防攻击效率。

在一个可能的设计中，该gtp-c消息还包括sgw的源互联网协议号(ip)地址，第一特征参数包括gtp-c消息的消息源端的标识；pgw或边缘节点判断gtp-c消息的第一特征参数是否合法，包括：pgw或边缘节点判断该源ip地址是否属于预设ip地址集合；当该源ip地址不属于预设ip地址集合时，pgw或边缘节点确定所述标识不属于合法标识；或者，pgw或边缘节点向归属签约用户服务器(hss)和/或移动管理节点功能(mme)发送该源ip地址，以使mme和/或hss判断该源ip地址是否属于预设ip集合；然后pgw或边缘节点再接收mme和/或hss返回的所述运营商归属判断结果；当运营商归属结果为所述ip地址不属于预设ip地址集合时，pgw或边缘节点确定该消息源端的标识不属于合法标识。通过在pgw或边缘节点上或者mme或hss上预设合法的ip地址集合并判断gtp-c消息的源ip地址是否在该ip地址集合中，从而可进一步确定防止黑客伪造gtp-c消息的ip地址对sgw进行信令攻击，提高通信安全。

在一个可能的设计中，该gtp-c消息还包括sgw的公共陆地移动网络号(plmnid)，第一特征参数包含gtp-c消息的消息源端的标识；pgw或边缘节点判断gtp-c消息的第一特征参数是否合法，包括：判断该plmnid是否属于预设plmnid集合；当该plmnid不属于预设plmnid集合时，pgw或边缘节点确定该gtp-c消息的标识属于不合法标识；或者，pgw或边缘节点向归属签约用户服务器(hss)和/或移动管理节点功能(mme)发送该plmnid，以使mme和/或hss判断该plmnid是否属于预设plmnid集合，然后pgw或边缘节点再接收mme和/或所述hss返回的运营商归属判断结果；当所述运营商归属结果为plmnid不属于预设plmnid时，pgw或边缘节点确定所述标识属于不合法标识。通过在pgw或边缘节点上或者mme或hss上预设合法的plmnid集合并判断gtp-c消息的源ip地址是否在该ip地址集合中，从而可进一步确定防止黑客伪造gtp-c消息的ip地址对sgw进行信令攻击，提高通信安全。

在一个可能的设计中，该gtp-c消息还包括plmnid，该第一特征参数为gtp-c消息的消息源端的标识；pgw或边缘节点判断gtp-c消息的第一特征参数是否合法，包括：pgw或边缘节点判断该ip地址是否属于预设ip地址集合且判断该plmnid是否属于预设plamid集合；当该源ip地址不属于预设ip地址集合和/或该plmnid属于预设plmnid集合时，pgw或边缘节点确定该标识属于不合法标识；或者，

pgw或边缘节点向归属签约用户服务器(hss)发送该源ip地址以及该plmnid，以使hss判断该ip地址是否属于预设ip地址集合和/或判断该plmnid是否属于预设plmnid集合；然后pgw或边缘节点再接收mme和/或hss返回的所述运营商归属判断结果；并且当运营商归属判断结果为源ip地址不属于预设ip地址集合和/或plmnid不属于预设plmnid集合时，pgw或边缘节点确定该标识属于不合法标识；或者，

pgw或边缘节点向移动管理节点功能(mme)发送该源ip地址以及plmnid，以使hss判断该ip地址是否属于预设ip地址集合和/或判断该plmnid是否属于预设plmnid集合；然后pgw或边缘节点再接收mme和/或hss返回的运营商归属判断结果；当该运营商归属判断结果为源ip地址不属于预设ip地址集合和/或plmnid不属于预设plmnid集合时，pgw或边缘节点确定所述标识为不合法标识。同时通过源ip地址以及plmnid判断gtp-c消息源端的合法性，使得判断更为准确，提高通信安全。

在一个可能的设计中，该第一特征参数包括imsi；pgw或边缘节点判断gtp-c消息的第一特征参数是否合法，包括：pgw或边缘节点判断该imsi是否为pgw所属运营商授权的imsi；当该imsi不为pgw所属运营商授权的imsi时，pgw或边缘节点确定该gtp-c消息的imsi为不合法imsi。由于imsi为通过该sgw发送gtp-c消息的终端用户标识码，也即发送该gtp-c消息的消息源，从而通过gtp-c消息中的imsi来判断gtp-c消息的合法性，能准确地判断该gtp-c是否为合法的终端用户所发送，防止黑客利用gtp-c信令恶意攻击，提高通信安全。

在一个可能的设计中，该第一特征参数包括imsi；pgw或边缘节点判断该gtp-c消息的第一特征参数是否合法，包括：pgw或边缘节点判断该imsi是否有漫游访问权限；当该imsi没有漫游访问权限时，pgw或边缘节点确定该gtp-c消息的imsi为不合法imsi。通过进一步判断imsi是否有漫游访问权限来确定gtp-c消息是否合法，从而可以进一步提高防止gtp-c信令攻击安全性，提高通信安全。

在一个可能的设计中，pgw或边缘节点判断imsi是否有漫游访问权限，具体包括：在pgw或边缘节点上存储预设漫游访问权限用户imsi集合，然后pgw或边缘节点判断imsi是否属于预设漫游访问权限用户imsi集合；当imsi不属于预设漫游访问权限用户imsi集合时，pgw或边缘节点确定该gtp-c消息的imsi为不合法imsi；或者，

pgw或边缘节点向hss发送漫游访问权限判断请求，以使hss判断imsi是否属于预设漫游访问权限用户imsi集合；然后pgw或边缘节点再接收hss返回的漫游访问权限判断结果；当该漫游访问权限判断结果为imsi不属于预设漫游访问权限用户imsi集合时，pgw或边缘节点确定所述gtp-c消息的imsi为不合法imsi；或者，

pgw或边缘节点向mme发送漫游访问权限判断请求，以使mme判断imsi是否属于预设漫游访问权限用户imsi集合；然后pgw或边缘节点再接收mme返回的漫游访问权限判断结果；当该漫游访问权限判断结果为imsi不属于预设漫游访问权限用户imsi集合时，pgw或边缘节点确定该gtp-c消息的imsi为不合法imsi。可通过判断gtp-c消息中的imsi是否为具有漫游访问权限用户imsi集合，以确定gtp-c消息是否合法，从而可以进一步提高防止gtp-c信令攻击安全性，提高通信安全。

在一个可能的设计中，该gtp-c消息包括第二特征参数，该方法还包括：pgw或边缘节点判断该第二特征参数和与该gtp-c消息对应的终端附着之前收到的创建会话请求createsessionrequest消息中携带的第二特征参数是否一致；当所述第二特征参数和与所述gtp-c消息对应终端附着之前收到的createsessionrequest消息中携带的第二特征参数不一致时pgw或边缘节点确定该gtp-c消息不合法，所述第二特征参数包括以下参数中的至少一种：所述源ip地址和隧道端点标识符(teid)。通过进一步判断gtp-c消息的终端用户的身份以及终端所属运营商的一致性，从而可进一步确定该gtp-c消息的合法性，保证通信安全。

在一个示例中，在pgw或边缘节点判断第二特征参数和终端附着之前收到的创建会话请求createsessionrequest消息中携带的第二特征参数是否一致之前，该还包括：pgw或边缘节点判断终端是否附着；并在终端附着时，pgw或边缘节点执行判断第二特征参数和终端附着之前收到的创建会话请求createsessionrequest消息中携带的第二特征参数是否一致的步骤；而在终端未附着时，pgw或边缘节点执行判断该imsi是否属于预设漫游访问权限用户imsi集合的步骤。在终端附着和不附着时执行不同的步骤，使gtp-c消息的判断流程更全面，防止信令攻击更强。

第二方面，本发明实施例提供一种防止信令攻击装置，该防止信令攻击装置具有实现上述第一方面的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，该防止信令攻击装置可以包括pgw。

在一个可能的设计中，该防止信令攻击装置可以包括边缘节点。

第三方面，本发明实施例提供一种防止信令攻击装置，该防止信令攻击装置包括处理器、接收器和发射器，所述处理器被配置为支持终端执行上述方法中相应的功能。所述接收器和发射器用于支持防止信令攻击装置与pgw之间的通信。进一步的，中继设备还可以包括存储器，所述存储器用于与处理器耦合，其保存终端必要的程序指令和数据。

第四方面，本发明实施例提供一种计算机存储介质，用于储存为上述用于第二方面所述的防止信令攻击装置所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

相较于现有技术，本发明实施例提供的方案中，pgw或边缘节点接收到sgw发送的gtp-c消息后，通过在gtp-c消息从s8接口接收到时，判断该gtp-c消息中携带的特征参数是否合法，并在特征参数不合法时，丢弃该gtp-c消息或返回携带错误码原因值的gtp-c响应消息给sgw，从而能有效阻断黑客利用各个攻击路径对pgw进行攻击，提高通信安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的sgw与pgw通信的网络架构图；

图2是本发明实施例提供的一种信令攻击示意图；

图3是本发明实施例提供的s8接口协议栈；

图4是本发明实施例提供的一种防止信令攻击方法的流程示意图；

图5是本发明实施例提供的另一种防止信令攻击方法的流程示意图；

图6是本发明实施例提供的一种防止信令攻击装置的结构示意图；

图7为本发明实施例提供的另一种防止信令攻击装置的结构示意图。

具体实施方式

本发明实施例提供了一种防止信令攻击方法及装置，以期可以防止gtp-c信令攻击，提高通信安全性。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象，而非用于描述特定顺序。此外，术语“包括”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先参见图1，图1是本发明实施例提供的sgw与pgw通信的网络架构图，其中，如图1所示，当sgw/pgw部署位于同一个运营商时，其接口称为s5接口，而当sgw和pgw属于不同的运营商时，其接口称为s8接口。

在本发明实施例中，sgw和pgw要通过s8接口相互通讯，必须满足如下条件：1、sgw所属运营商和pgw所属运营商必须签署了漫游协议；以及2、sgw发送给pgw的消息中的国际移动用户标识(internationalmobilesubscriberidentificationnumber，简称imsi)必须归属于pgw所属运营商，并且该用户具备在sgw所属运营商网络的漫游访问权限。

当sgw和pgw属于不同的运营商时，此时sgw和pgw属于不同的安全域，因此存在通过s8接口攻击对端网元的可能。

参见图2，图2是本发明实施例提供的一种信令攻击示意图。在图2所示的网络架构中，运营商b的pgw可以通过s8接口对运营商a的sgw进行如下攻击：

1、攻击路径1：黑客利用运营商b的sgw，通过s8接口向运营商a的pgw发送createsessionrequest消息，其中imsi参数任意填写，pgw为对应的imsi分配的ip地址。

从而可能造成安全威胁1：消耗pgwcpu/内存资源，造成dos攻击；或者，消耗pgwip地址池，并且不会释放，当地址池耗尽时，将造成不能为正常的用户分配ip，从而无法访问网络。

2、攻击路径2：黑客利用运营商b的sgw，通过s8接口向运营商a的pgw发送createsessionrequest消息，其中imsi参数为已附着ue的imsi。从而造成安全威胁2：已随着终端被强制退网，无法访问网络业务。

3、攻击路径3：黑客利用运营商b的sgw，通过s8接口向运营商a的pgw发送modifybearerrequest消息，其中imsi参数为已附着用户终端的imsi，pgw回响应消息表示承载修改成功。从而可造成安全威胁3：该终端的用户面下行链路(pgw->sgw)的数据被劫持到攻击者所在的机器上，造成用户隐私泄漏。

在本发明实施例中，为了保证s8接口上的信令安全，已在s8接口上部署internet协议安全性ipsec，以保护s8接口上的gtp-c信令安全，比如sgw和pgw之间的身份认证、ip层之上数据的完整性和机密性。参见图3，图3是本发明实施例提供的s8接口协议栈。但是由于上述三种攻击均属于ip层之上的gtp-c信令层面的攻击，即使pgw和sgw之间通过了身份认证，并且ip层之上保证了完整性和机密性，攻击者仍然可以通过发送正常的gtp-c信令发起攻击。因此，常规的ipsec机制并不能防范这种攻击，需要考虑ip之上的应用层面(例如gtp-c层面)的保护。

参见图4，图4是本发明实施例提供的一种防止信令攻击方法的流程示意图，如图4所示，该方法可以包括以下步骤：

s401、接收服务网关(sgw)发送的基于通用分组无线服务技术(gprs)隧道协议(gtp-c)消息。

在本发明实施例中，可以由pgw接收sgw发送的gtp-c消息，也可以由边缘节点(gtp-caware)接收sgw发送的gtp-c消息。

可选地，该边缘节点可以为运营商网络的边界处部署的对gtp-c协议感知的防火墙。

具体地，在本发明实施例中，该gtp-c消息可以为createsessionrequest(imsi,…)、modifybearerrequest(servingnetwork,…)、deletesessionrequest(teid,…)消息等。

可选地，该gtp-c消息包括以下信息中的至少一种：

所述sgw的源ip地址、所述sgw的公共陆地移动网络标识(publiclandmobilenetworkid，简称plmnid)，用户的国际移动用户标识(imsi)。

s402、判断所述gtp-c消息是否从s8接口接收。

在本发明实施例中，由于黑客在利用运营商b的sgw攻击运营商a的pgw时，都是通过s8接口发送gtp-c攻击消息，所以为了防止上述几种攻击，只需要对从s8接口接收到gtp-c消息进行合法性判断，而对于s5接口或其它安全接口接收到的消息时，则不需要进行安全性判断。

可选地，所述gtp-c消息还包括所述sgw的源互联网协议号(ip)地址；

所述判断所述gtp-c消息是否从s8接口接收，包括：

判断所述源ip地址和接收所述gtp-c消息的公用数据网关(pgw)或边缘节点的ip地址是否属于同一网段；当所述源ip地址和接收所述gtp-c消息的pgw或边缘节点的ip地址不属于同一网段时，确定接收所述gtp-c消息是从s8接口收到；或者，

判断所述源ip地址是否属于所述pgw或边缘节点所属运营商授权的ip地址集合；当所述源ip地址不属于所述pgw或边缘节点所属运营商授权的ip地址集合时，确定所述gtp-c消息是从s8接口收到。

具体地，该ip地址集合可以存储在pgw或边缘节点中。

举例说明，在本发明的一个示例中，若sgw属于运营商b，则该ip地址集合为运营商b所支持的所有ip地址的集合。

具体地，该ip地址集合可以为各个独立的ip地址，例如，192.168.6.28，192.168.6.78等ip地址，也可以为某段ip地址，例如，用192.168.6.0表示从192.168.6.0至192.168.6.255之间的ip地址段。

可以理解，通过gtp-c消息是否从s8接口接收，可以只对pgw或边缘节点从s8接口接收到的gtp-c进行防攻击处理，提高防攻击效率。

s403、当所述gtp-c消息是从所述s8接口接收时，判断所述gtp-c消息的第一特征参数是否合法。

其中，所述第一特征参数包括以下参数中的至少一种：所述gtp-c消息的消息源端的标识、用户的国际移动用户标识(imsi)。

其中，gtp-c消息的消息源端的标识是指用于表示发送该gtp-c消息的终端源所属的运营商信息，例如，若该消息为sgw发送的，则该gtp-c消息为sgw所属运营商的信息。

具体地，该gtp-c消息的消息源端可以用sgw的源ip地址或者sgw的plmnid表示。

其中，imsi是用于唯一标识通过pgw发送gtp-c消息的终端用户的识别码。

具体地，由于gtp-c消息中将直接携带imsi，或者携带teid，从而所述imsi通过所述gtp-c消息携带或通过所述gtp-c消息携带的隧道端点标识符(tunnelendpointidentification，简称teid)获取。

可选地，也可以在该gtp-c消息中包含其它用于唯一标识通过sgw发送该gtp-c消息的终端用户的识别码。

s404、若所述gtp-c消息的第一特征参数不合法，则丢弃所述gtp-c消息或返回携带错误码原因值的gtp-c响应消息给所述sgw。

其中，错误码原因值是指用于反映该gtp-c消息的特征参数的不合法类型的数值，例如，当该gtp-c消息中携带的imsi参数不合法时，将在gtp-c响应消息中携带某一错误码原因值用于表示该imsi参数不合法，而当该gtp-c消息中的源ip参数不合法时，将可以在该gtp-c响应消息中携带另一错误码原因值用于表示该源ip参数不合法。

可选地，若该gtp-c消息的特征参数合法，此时说明该gtp-c消息合法，故此时可继续正常的业务处理。

可以看出，本实施例的方案中，pgw或边缘节点接收到sgw发送的gtp-c消息后，通过在gtp-c消息从s8接口接收到时，判断该gtp-c消息中携带的特征参数是否合法，并在特征参数不合法时，丢弃该gtp-c消息或返回携带错误码原因值的gtp-c响应消息给sgw，从而能有效阻断黑客利用各个攻击路径对pgw进行攻击，提高通信安全。

可选地，在本发明的一个实施例中，所述gtp-c消息还包括所述sgw的源互联网协议号(ip)地址，所述第一特征参数包括所述gtp-c消息的消息源端的标识；

所述判断所述gtp-c消息的第一特征参数是否合法，包括：

判断所述源ip地址是否属于预设ip地址集合；当所述源ip地址不属于预设ip地址集合时，确定所述标识不属于合法标识；或者，向归属签约用户服务器(hss)和/或移动管理节点功能(mme)发送所述源ip地址，以使所述mme和/或所述hss判断所述源ip地址是否属于预设ip地址集合；接收所述mme和/或所述hss返回的所述运营商归属判断结果；当所述运营商归属结果为所述ip地址不属于预设ip地址集合时，确定所述标识不属于合法标识。

可选地，当该gtp-c消息为modifybearerrequest且所述源ip地址属于预设ip地址集合时，确定所述标识属于合法标识。

可选地，当该gtp-c消息为create/deletesessionrequest时，且所述源ip地址属于预设ip地址集合时，继续执行其它判断gtp-c消息是否合法的步骤。

可选地，当该gtp-c消息为modifybearerrequest且所述运营商归属判断结果为所述源ip地址属于预设ip地址集合时确定所述gtp-c消息的源ip地址合法。

可选地，当该gtp-c消息为create/deletesessionrequest时，且所述运营商归属判断结果为所述源ip地址属于预设ip地址集合时继续执行其它判断gtp-c消息是否合法的步骤。

其中，该预设ip地址集合是指pgw所属运营商允许的漫游运营商授权的ip地址集合。

具体地，该预设ip地址集合可预先配置在pgw或边缘节点上。

更进一步，具体地，可以在pgw或边缘节点中配置pgw所属运营商允许的漫游运营商列表(对端sgwip,对端公共陆地移动网络标识(publiclandmobilenetworkid，简称plmnid))，然后再判断该源ip地址是否在上述列表中。

具体地，该ip地址集合可以为各个独立的ip地址，例如，192.168.6.28，192.168.6.78等ip地址；也可以为某段ip地址，例如，用192.168.6.0表示从192.168.6.0至192.168.6.255之间的ip地址段。

具体地，该预设ip地址集合可预先配置在hss或mme上。

更进一步，具体地，可以在hss或mme中配置pgw所属运营商允许的漫游运营商列表(对端pgwip,对端plmnid)，然后pgw或边缘节点再将该源ip地址发送给hss或mme，然后hss或mme再判断该源ip地址是否在上述列表中得到运营商归属判断结果返回给pgw或边缘节点，当所述运营商归属判断结果为所述源ip地址不属于预设ip地址集合时确定所述gtp-c消息的源ip地址不合法。

可以理解，通过不同的方式判断源ip地址是否合法，使得防攻击方法更为灵活。

可选地，在本发明的一个实施例中，所述gtp-c消息还包括所述sgw的公共陆地移动网络号(plmnid)，所述第一特征参数包含所述gtp-c消息的消息源端的标识；

所述判断所述gtp-c消息的第一特征参数是否合法，包括：

判断所述plmnid是否属于预设plmnid集合；当所述plmnid不属于预设plmnid集合时，确定所述gtp-c消息的标识属于不合法标识；或者，

向归属签约用户服务器(hss)和/或移动管理节点功能(mme)发送所述plmnid，以使所述mme和/或所述hss判断所述plmnid是否属于预设plmnid集合接收所述mme和/或所述hss返回的所述运营商归属判断结果；当所述运营商归属结果为所述plmnid不属于预设plmnid时，确定所述标识属于不合法标识。

可选地，当该gtp-c消息为modifybearerrequest且所述plmnid属于预设plmnid集合时，确定所述标识属于合法标识。

可选地，当该gtp-c消息为create/deletesessionrequest时，且所述plmnid属于预设plmnid集合时，继续执行其它判断gtp-c消息是否合法的步骤。

可选地，当该gtp-c消息为modifybearerrequest且所述运营商归属判断结果为所述plmnid属于预设plmnid集合时确定所述标识属于合法标识。

可选地，当该gtp-c消息为modifybearerrequest且所述运营商归属判断结果为所述plmnid属于预设plmnid集合时继续执行其它判断gtp-c消息是否合法的步骤。

具体地，该预设plmnid集合可预先配置在pgw或边缘节点上。

更进一步，具体地，可以在hss或mme中配置pgw所属运营商允许的漫游运营商列表(对端pgwip,对端plmnid)，然后pgw或边缘节点再将该源ip地址发送给hss或mme，然后hss或mme再判断该源plmnid是否在上述列表中得到运营商归属判断结果返回给pgw或边缘节点，当所述运营商归属判断结果为所述plmnid不属于预设plmnid集合时确定所述标识属于不合法标识。

可以理解，通过不同的方式判断plmnid是否合法，使得防攻击方法更为灵活。

可选地，在本发明的一个实施例中，所述gtp-c消息包括ip以及plmnid，所述第一特征参数为所述gtp-c消息的消息源端的标识；

所述判断所述gtp-c消息的第一特征参数是否合法，包括：

判断所述ip地址是否属于预设ip地址集合且判断所述plmnid是否属于预设plamid集合；当所述源ip地址不属于预设ip地址集合和/或所述plmnid属于预设plmnid集合时，确定所述标识属于不合法标识；或者，

向归属签约用户服务器(hss)发送所述源ip地址以及所述plmnid，以使所述hss判断所述ip地址是否属于预设ip地址集合和/或判断所述plmnid是否属于预设plmnid集合；接收所述mme和/或所述hss返回的所述运营商归属判断结果；当所述运营商归属判断结果为所述源ip地址不属于预设ip地址集合和/或所述plmnid不属于预设plmnid集合时，确定所述标识属于不合法标识；或者，

向移动管理节点功能(mme)发送所述源ip地址以及所述plmnid，以使所述hss判断所述ip地址是否属于预设ip地址集合和/或判断所述plmnid是否属于预设plmnid集合；接收所述mme和/或所述hss返回的所述运营商归属判断结果；当所述运营商归属判断结果为所述源ip地址不属于预设ip地址集合和/或所述plmnid不属于预设plmnid集合时，确定所述标识属于不合法标识。

举例说明，在本发明的一个示例中，当该gtp-c消息为create/deletesessionrequest，可以检查其源ip是否在上述列表。

举例说明，在本发明的另一个示例中，当该gtp-c消息为modifybearerrequest，检查其源ip和/或servingnetwork参数(例如为plmnid)的mcc/mnc是否在上述列表中。

举例说明，在本发明的一个示例中，当该gtp-c消息为create/deletesessionrequest，可以将sgw的源ip发送给hss或mme。

举例说明，在本发明的另一个示例中，当该gtp-c消息为modifybearerrequest时，可以将其源ip和/或servingnetwork参数(例如为plmnid)的mcc/mnc发送给hss或mme。

可以理解，由于gtp-c消息的源ip地址能够反映对端sgw的运营商，所以可通过源ip地址判断对端sgw是否在允许的漫游运营商列表中，以在对端sgw不是允许的漫游运营商列表时确定该gtp-c消息不合法，也即该gtp-c消息可能来自于黑客攻击，为了保证通信安全，此时将丢弃该消息，或进一步地，也可将携带错误码的gtp-c响应消息发送给sgw。

可选地，也可以通过其它可以反映gtp-c消息的网络号的参数来判断sgw所属的运营商是否为pgw允许的漫游运营商。

更进一步，具体地，可以通过在pgw或边缘节点(gtp-caware)上预先配置允许的漫游运营商信息列表，该漫游运营商信息列表包括发送该gtp-c消息的对端sgwip地址以对端sgw的plmnid，然后再检查该gtp-c消息中的sgw的源ip地址和/或plmnid是否在上述漫游运营商信息列表中，若sgw的源ip地址和/或plmnid属于上述漫游运营商信息列表中，则确定sgw所属的运营商为pgw授权的运营商，否则，若sgw的源ip地址和/或plmnid不属于上述漫游运营商信息列表中，则确定sgw所属的运营商不为pgw授权的运营商，也即该gtp-c消息可能来自于黑客攻击，为了保证通信安全，此时将丢弃该消息，或进一步地，也可将携带错误码的gtp-c响应消息发送给sgw。

或者，具体地，可在hss和/或mme上预先配置允许的漫游运营商信息列表，该漫游运营商信息列表包括发送该gtp-c消息的对端sgwip地址以对端sgw的plmnid，然后pgw或边缘节点(gtp-caware)将对端sgw的源ip地址和/或plmnid发给hss和/或mme，hss和/或mme将判断该源ip地址和/或plmnid是否在该漫游运营商信息列表中得到运营商归属判断结果，并将该结果返回给pgw或边缘节点。若sgw的源ip地址和/或plmnid在该漫游运营商信息列表中，则确定sgw所属的运营商为pgw授权的运营商，否则，若sgw的源ip地址和/或plmnid不属于上述漫游运营商信息列表中，则确定sgw所属的运营商不为pgw授权的运营商，也即该gtp-c消息可能来自于黑客攻击，为了保证通信安全，此时将丢弃该消息，或进一步地，也可将携带错误码的gtp-c响应消息发送给sgw。

可以理解，由于sgw的ip地址和/或plmnid能够反映sgw所属的运营商，所以可通过sgw的ip地址和/或plmnid来确定sgw所属的运营商是否为pgw允许的漫游运营商，并进一步判断消息是否合法。

可选地，在本发明的一个实施例中，所述第一特征参数包括所述imsi；

所述判断所述gtp-c消息的第一特征参数是否合法，包括：

判断所述imsi是否为所述pgw所属运营商授权的imsi；

当所述imsi不为所述pgw所属运营商授权的imsi时，确定所述gtp-c消息的imsi为不合法imsi。

具体地，pgw或边缘节点检查imsi的移动国家码(mobilecountrycode，简称mcc)和/或移动网络号码(mobilenetworkcode，简称mnc)是否和pgw所属mcc和/或mnc一致，从而判断该imsi是否合法。

更进一步，具体地，可通过在pgw或边缘节点上预先配置pgw所属的mcc和/或mnc列表，然后再检查gtp-c消息中的imsi的mcc和/或mnc是否在上述列表中，以判断该imsi是否合法。

其中，移动国家码mcc资源由国际电联(itu)统一分配和管理，唯一识别移动用户所属的国家，共3位，中国为460；移动网络号码mnc用于识别移动客户所属的移动网络，例如中国移动的mnc为00、02、04和07，中国联通的mnc为01、06，中国电信的mnc为03、05。

可以理解，由于imsi为通过该sgw发送gtp-c消息的终端用户标识码，也即发送该gtp-c消息的消息源，从而通过gtp-c消息中的imsi来判断gtp-c消息的合法性，能准确地判断该gtp-c是否为合法的终端用户所发送，防止黑客利用gtp-c信令恶意攻击，提高通信安全。

可选地，在本发明的一个实施例中，所述第一特征参数包括所述imsi；

所述判断所述gtp-c消息的第一特征参数是否合法，包括：

判断所述imsi是否有漫游访问权限；

当所述imsi没有漫游访问权限时，确定所述gtp-c消息的imsi为不合法imsi。

其中，漫游访问权限是指在sgw与pgw属于不同运营商时，sgw的终端用户可以通过sgw访问pgw的访问权限。

可以理解，通过进一步判断imsi是否有漫游访问权限来确定gtp-c消息是否合法，从而可以进一步提高防止gtp-c信令攻击安全性，提高通信安全。

具体地，在本发明的一个实施例中，所述判断所述imsi是否有漫游访问权限，包括：

判断所述imsi是否属于预设漫游访问权限用户imsi集合；当所述imsi不属于预设漫游访问权限用户imsi集合时，确定所述gtp-c消息的imsi为不合法imsi；或者，

向所述hss发送漫游访问权限判断请求，以使所述hss判断所述imsi是否属于预设漫游访问权限用户imsi集合；接收所述hss返回的所述漫游访问权限判断结果；当所述漫游访问权限判断结果为所述imsi不属于所述预设漫游访问权限用户imsi集合时，确定所述gtp-c消息的imsi为不合法imsi；

向所述mme发送漫游访问权限判断请求，以使所述mme判断所述imsi是否属于预设漫游访问权限用户imsi集合；接收所述mme返回的所述漫游访问权限判断结果；当所述漫游访问权限判断结果为所述imsi不属于所述预设漫游访问权限用户imsi集合时，确定所述gtp-c消息的imsi为不合法imsi。

其中，预设漫游访问权限用户imsi集合是指当sgw与pgw不属于同一运营商时，通过sgw发送该gtp-c消息的、具有访问pgw的权限的终端用户。

可选地，当所述imsi属于预设漫游访问权限用户imsi集合时或者所述漫游访问权限判断结果为所述imsi属于所述预设漫游访问权限用户imsi集合时，确定gtp-c消息的imsi为合法imsi。

具体地，在本发明的一个实施例中，可以通过在pgw上预先配置允许访问的预设漫游访问权限用户终端列表，然后再判断发送gtp-c消息的终端是否在该预设漫游访问权限用户终端列表中，以在该终端不为预设漫游访问权限用户终端时，确定所述gtp-c消息的imsi为不合法imsi，然后再丢弃所述gtp-c消息或返回携带错误码原因值的gtp-c响应消息给所述sgw。

具体地，在本发明的另一个实施例中，可以hss上部署预设漫游访问权限用户终端列表(该预设漫游访问权限用户终端列表为各用户终端的imsi)，然后由pgw向hss发送漫游访问权限判断请求，该漫游访问权限判断请求中包括发送gtp-c消息的imsi，该判断请求消息用于请求hss判断该imsi所对应的终端是否具有漫游访问权限，然后hss通过该imsi判断该终端是否为具有漫游访问权限的用户终端，并将漫游访问权限判断结果返回给pgw，以使pgw在所述第一终端不为预设漫游访问权限用户终端时，确定所述gtp-c消息的imsi为不合法imsi，然后再丢弃所述gtp-c消息或返回携带错误码原因值的gtp-c响应消息给所述sgw。

具体在，在本发明的一个实施例中，可以在mme上部署预设漫游访问权限用户终端列表(该预设漫游访问权限用户终端列表为各用户终端的imsi)，然后由pgw向sgw发送漫游访问权限判断请求，sgw再将该漫游访问权限判断请求发送至mme，该漫游访问权限判断请求中包括终端的imsi，该漫游访问权限判断结果用于请求mme判断该imsi所对应的终端是否具有漫游访问权限，然后mme通过该imsi判断该终端是否为具有漫游访问权限的用户终端，并将漫游访问权限判断结果通过sgw发送给pgw，以使pgw在该终端不为预设漫游访问权限用户终端时，确定所述gtp-c消息的imsi为不合法imsi，然后再丢弃所述gtp-c消息或返回携带错误码原因值的gtp-c响应消息给所述sgw。

可以理解，通过判断sgw所属运营商网络的用户的漫游访问权限，可进一步确定该gtp-c消息的合法性，保证通信安全。

可选地，在本发明的一个实施例中，所述gtp-c消息包括第二特征参数，所述方法还包括：

判断所述第二特征参数和与所述gtp-c消息对应终端附着之前收到的创建会话请求createsessionrequest消息中携带的第二特征参数是否一致；

当所述第二特征参数和所述终端附着之前收到的createsessionrequest消息中携带的第二特征参数不一致时确定所述gtp-c消息不合法，所述第二特征参数包括以下参数中的至少一种：所述源ip地址和隧道端点标识符(tunnelendpointidentification，简称teid)。

其中，源ip地址和teid是分别用于标识gtp-c消息的终端用户的身份以及运营商。

具体地，该sgw信息(ip和/或teid)可以在senderf-teidforcontrolplane信元中携带。

可选地，该第二特征参数也可以为plmnid和teid。

可以理解，通过进一步判断gtp-c消息的终端用户的身份以及终端所属运营商的一致性，从而可进一步确定该gtp-c消息的合法性，保证通信安全。

可选地，在本发明的一个实施例中，在判断所述第二特征参数和所述终端附着之前收到的创建会话请求createsessionrequest消息中携带的第二特征参数是否一致之前，所述方法还包括：

判断终端是否附着；

在终端附着时，执行判断所述第二特征参数和所述终端附着之前收到的创建会话请求createsessionrequest消息中携带的第二特征参数是否一致的步骤；

在终端未附着时，执行判断所述imsi是否属于预设漫游访问权限用户imsi集合的步骤。

具体地，由该imsi可以通过所述gtp-c消息携带或通过所述gtp-c消息携带的隧道端点标识符(tunnelendpointidentification，简称teid)获取。

可以理解，由于在终端附着，该imsi附着于某个运营商，所以可判断该imsi是否为pgw所属运营商授权的imsi以判断gtp-c消息是否合法，而在该第一终端未附着时，则由于该终端不属于任何运营商，所以此时可通过判断该gtp-c消息中的sgw信息与以前附着于pgw的终端发送的createsessionrequest消息的sgw信息是否一致，以判断该gtp-c消息的合法性。

为了便于更好地理解和实施本发明实施例的上述方案，下面结合图5对本发明实施例进一步说明。

参见图5，图5为本发明实施例提供的另一种防止信令攻击方法的流程示意图。图5所示的方法中，与图4所示方法相同或类似的内容可以参考图4中的详细描述，此处不再赘述。如图5所示，该方法可以包括以下步骤：

s501、pgw接收sgw发送的gtp-c消息。

其中，该gtp-c消息中包括通过该sgw发送该gtp-c消息的第一终端的imsi。

具体地，该imsi包含在gtp-c消息的teid中。

s502、判断该gtp-c消息是否从s8接口接收。

可选地，若该gtp-c消息不从s8接口接收，此时将执行步骤s509。

可选地，若该gtp-c消息从s8接口接收，此时将执行步骤s503。

s503、判断gtp-c消息的消息源端的标识是否合法。

可选地，若gtp-c消息的消息源端的标识合法，且该gtp-c消息为modifybearerrequest消息，此时将执行步骤s509。

可选地，若gtp-c消息的消息源端的标识合法，且该gtp-c消息为create/deletesessionrequest消息，此时将执行步骤s504。

可选地，若gtp-c消息的消息源端的标识不合法，此时将执行步骤s508。

s504、判断该gtp-c消息对应终端是否已附着。

可选地，若该gtp-c消息对应终端已附着，此时将执行步骤s505。

可选地，若该gtp-c消息对应终端未已附着，此时将执行步骤s506。

s505、判断该gtp-c消息中sgw信息和与该gtp-c消息对应终端附着之前收到的创建会话请求createsessionrequest消息中携带的sgw信息是否一致。

其中，sgw信息可以为ip和/或teid。

可选地，该gtp-c消息中sgw信息和与该gtp-c消息对应终端附着之前收到的创建会话请求createsessionrequest消息中携带的sgw信息不一致，此时将执行步骤s508。

可选地，该gtp-c消息中sgw信息和与该gtp-c消息对应终端附着之前收到的创建会话请求createsessionrequest消息中携带的sgw信息一致，此时将执行步骤s509。

s506、判断imsi是否为pgw所属运营商授权的imsi。

可选地，若该imsi为pgw所属运营商授权的imsi，此时将执行步骤s507。

可选地，若该imsi不为pgw所属运营商授权的imsi，此时将执行步骤s508。

s507、判断imsi是否有漫游访问权限。

可选地，若imsi有漫游访问权限，此时将执行步骤s509。

可选地，若imsi没有漫游访问权限，此时将执行步骤s508。

s508、确定gtp-c消息不合法。

在本发明实施例中，此时pgw或边缘节点(gtp-caware)将丢弃该gtp-c消息或返回携带错误码的gtp-c响应消息。

s509、确定gtp-c消息合法。

在本发明实施例中，此时pgw或边缘节点(gtp-caware)将继续正常的业务处理。

需要说明，上述步骤s502、s503、s504、s505和s507均为可选的步骤，且步骤s504、s505和步骤s506的顺序可以互换，也即也可以先执行步骤s506，再执行步骤s504和s505；以及步骤s504、s505和步骤s506、s507的顺序可以互换，也即也可以先执行步骤s506和s507，再执行步骤s504和s505。

参见图6，图6是本发明实施例提供的一种防止信令攻击装置的结构示意图，用于实现本发明实施例公开的防止信令攻击方法。其中，如图6所示，本发明实施例提供的一种防止信令攻击装置600可以包括：

接收模块610、判断模块620和响应模块630。

接收模块610，用于接收服务网关(sgw)发送的基于通用分组无线服务技术(gprs)隧道协议(gtp-c)消息。

具体地，该防止信令攻击装置600可以为pgw或边缘节点，也即可以由pgw接收sgw发送的gtp-c消息，也可以由边缘节点(gtp-caware)接收sgw发送的gtp-c消息。

可选地，该边缘节点可以为运营商网络的边界处部署的对gtp-c协议感知的防火墙。

具体地，在本发明实施例中，该gtp-c消息可以为createsessionrequest(imsi,…)、modifybearerrequest(servingnetwork,…)、deletesessionrequest(teid,…)消息等。

可选地，该gtp-c消息包括以下信息中的至少一种：

所述sgw的源ip地址、所述sgw的公共陆地移动网络标识(publiclandmobilenetworkid，简称plmnid)，用户的国际移动用户标识(imsi)。

判断模块620，用于判断所述gtp-c消息是否从s8接口接收。

可选地，所述gtp-c消息还包括所述sgw的源互联网协议号(ip)地址；

所述判断模块620判断所述gtp-c消息是否从s8接口接收时具体为：

可选地，该ip地址集体可以存储在该防止信令攻击装置600中。

具体地，该ip地址集合可以存储在pgw或边缘节点中。

所述判断模块620，还用于：当所述gtp-c消息是从所述s8接口接收时，判断所述gtp-c消息的第一特征参数是否合法，所述第一特征参数包括以下参数中的至少一种：所述gtp-c消息的消息源端、用户的国际移动用户标识(imsi)。

响应模块630，用于若所述gtp-c消息的第一特征参数不合法，则丢弃所述gtp-c消息或返回携带错误码原因值的gtp-c响应消息给所述sgw。

可选地，在本发明的一个实施例中，所述gtp-c消息还包括所述sgw的源互联网协议号(ip)地址，所述第一特征参数包括所述gtp-c消息的消息源端的标识；