Diameter信令发送方法和装置与流程
本发明涉及通信领域,具体而言,涉及一种diameter信令发送方法和装置。
背景技术:
diameter(直径)信令是信令系统#7(signalingsystem#7,简称为ss7)(移动应用部分(mobileapplicationpart,简称为map)协议)信令的换代技术,广泛应用于第四代移动通信技术(4g)相关的网络中。图1是根据相关技术的核心分组网演进(evolvedpacketcore,简称为epc)、ip多媒体子系统(ipmultimediasubsystem,简称为ims)、策略计费控制(policycontrolandcharging,简称为pcc)的示意图,图1中示出了epc、ims、pcc的部分相关网元和diameter信令接口(图1中虚线表示diameter信令接口)。虽然,4g核心网络发生了很大的变化,但是基本业务类似,技术原理相似,第二代移动通信技术(2g)/第三代移动通信技术(3g)网络的攻击方式很多可类推到4g网络。
对于2g/3g移动网络的map信令,存在着各种网络攻击手段,全球移动系统通讯协会(globalsystemformobilecommunicationsassembly,简称为gsma)在规范中总结了如下5类攻击方式:
a:跟踪,获取用户当前的位置信息;b:拦截,拦截用户的呼叫,短信;c:dos攻击,造成用户或者网络的正常业务无法进行;d:欺骗;e:垃圾广告。
针对map信令安全,gsma给出的防御措施是对3类消息进行限定:
第一类,仅在归属网络传递的消息,例如:sendroutinginfo、sendroutinginfoforgprs、sendroutinginfoforlcs、sendimsi、anytimeinterogation、anytimesubscriberinterrogation、anytimemodification、sendidentification;
第二类,仅从归属网络发送到漫游网络的消息,例如:insertsubscriberdata、deletesubscriberdata、reset、forwardcheckssindication、providesubscriberinfo、notesubscriberdatamodified、activatetracemode、provideroamingnumber、setreportingstate、remoteuserfree、istcommand、alertservicecentre、cancellocation;
第三类,仅从漫游网络发送到归属网络的消息,例如:registerss、locationupdate、forwardsm、processunstructuredss。
上述防御措施可以在端局进行,gsma更加推荐在信令转接点(signalingtransferpoint,简称为stp)进行。
对于map信令,gsma技术涉及的“漫游网络”和“归属网络”主要是通过map消息的主、被叫全局码(globaltitle,简称为gt)和/或用户的国际移动用户识别码(internationalmobilesubscriberidentificationnnumber,简称为imsi)/移动台国际综合业务数字网(integratedservicesdigitalnetwork,简称为isdn)/公共交换电话网络(publicswitchedtelephonenetwork,简称为pstn)识别号码(mobilesubscriberinternationalisdn/pstnnumber,简称为msisdn)标识进行判断。
研究过程中发现,上述防御方式存在下列缺陷:如果主/被叫gt和/或用户的imsi/msisdn标识都是伪造的,且stp无法识别其真伪,则会造成防御失效。
对于4g核心网来说,diameter路由代理(diameterroutingagent,简称为dra)相当于七号信令网中的stp。可以将gsma技术在diameter信令网络中实现,但是仍需解决防止黑客伪造信令内容的问题。
目前,diameter信令网络的其他安全措施还有:黑名单和白名单。研究过程中发现,由于攻击点难以预知且不可穷尽,因此,黑名单效果欠佳;当攻击者将消息伪装成白名单的消息时,白名单的防御措施也会失效。
技术实现要素:
本发明提供了一种diameter信令发送方法和装置,以至少解决相关技术中diameter信令被伪造导致的diameter信令网络安全性低的问题。
根据本发明的一个方面,提供了一种diameter信令发送方法,包括:dra接收diameter信令;所述dra判断所述diameter信令的上一跳节点是否为业务节点;在判断结果为是的情况下,所述dra清除所述diameter信令中的第一路径信息,并添加第二路径信息至所述diameter信令中,其中,所述第二路径信息包括:所述diameter信令的上一跳节点的标识信息;所述dra发送所述diameter信令。
可选地,在所述dra判断所述diameter信令的上一跳节点是否为所述业务节点之后,所述方法还包括:在判断结果为否的情况下,所述dra保留所述diameter信令中的第一路径信息,并添加所述第二路径信息至所述diameter信令中;所述dra发送所述diameter信令。
可选地,在所述dra为落地dra的情况下,所述dra发送所述diameter信令包括:所述dra根据所述第二路径信息和所述diameter信令所属的消息集合,判断所述diameter信令是否满足预定条件,其中,所述消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;在判断结果为是的情况下,所述dra发送所述diameter信令。
可选地,在所述diameter信令所属的消息集合为归属国向漫游国发送的消息集合的 情况下,所述预定条件包括以下至少之一:根据所述diameter信令的imsi查询到的国家运营商为第一国运营商;所述diameter信令的源主机与根据imsi查询到的第一国运营商构成信任关系;所述diameter信令的所述第二路径信息包括第一国关口dra信息,其中,所述第一国关口dra信息为根据imsi查询到的第一国运营商的关口dra信息;所述diameter信令的所述第二路径信息包括第二国关口dra信息,其中,所述第二国关口dra信息为所述dra所在国的运营商的关口dra信息;所述diameter信令的所述第二路径信息中最多包含两个国家的关口dra信息。
可选地,在所述diameter信令所属的消息集合为漫游国向归属国发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述diameter信令的imsi查询到的国家运营商为第二国运营商,其中,所述第二国运营商为所述dra所在国的运营商;根据所述diameter信令的源主机查询到的国家运营商为第一国运营商;所述diameter信令的所述第二路径信息包括第一国关口dra信息,其中,所述第一国关口dra为根据源主机查询到的第一国运营商的关口dra信息;所述diameter信令的所述第二路径信息包括第二国关口dra信息,其中,所述第二国关口dra信息为所述dra所在国的运营商的关口dra信息;所述diameter信令的所述第二路径信息中最多包含两个国家的关口dra信息。
可选地,在所述diameter信令所属的消息集合为仅在归属国内发送的消息集合的情况下,所述预定条件包括以下至少之一:根据所述diameter信令的imsi或者msisdn查询到的国家运营商为第二国运营商;根据所述diameter信令的源主机查询到的国家运营商为第二国运营商;所述diameter信令的所述第二路径信息中仅包含第二国运营商的关口dra信息;其中,所述第二国运营商为所述dra所在国的运营商。
根据本发明的一个方面,提供了一种diameter信令发送方法,包括:业务节点生成diameter信令;所述业务节点添加第三路径信息至所述diameter信令中,其中,所述第三路径信息为除所述diameter信令的归属国运营商的关口dra信息、以及除所述diameter信令的漫游国运营商的关口dra信息之外的其他国家的关口dra信息;所述业务节点发送所述diameter信令。
可选地,在所述业务节点生成所述diameter信令之后,所述方法还包括:所述业务节点判断第一dra是否具备清除所述diameter信令中的第一路径信息的能力,其中,所述第一dra为所述diameter消息的下一跳dra;其中,所述业务节点添加第三路径信息至所述diameter信令中包括:在判断结果为否的情况下,所述业务节点添加所述第三路径信息至所述diameter信令中。
可选地,在所述业务节点发送所述diameter信令之后,所述方法还包括:落地dra接收所述diameter信令;所述落地dra根据所述第三路径信息,确定所述diameter信令的路径为伪造路径。
根据本发明的一个方面,提供了一种diameter信令发送装置,应用于dra,包括:接收模块,用于接收diameter信令;判断模块,用于判断所述diameter信令的上一跳节点是否为业务节点;第一处理模块,用于在判断结果为是的情况下,清除所述diameter信令中的第一路径信息,并添加第二路径信息至所述diameter信令中,其中,所述第二路径信息包括:所述diameter信令的上一跳节点的标识信息;第一发送模块,用于发送所述diameter信令。
可选地,所述装置还包括:第二处理模块,用于在判断结果为否的情况下,保留所述diameter信令中的第一路径信息,并添加所述第二路径信息至所述diameter信令中;第二发送模块,用于发送所述diameter信令。
可选地,所述第一发送模块或者所述第二发送模块分别包括:判断单元,用于在所述dra为落地dra的情况下,根据所述第二路径信息和所述diameter信令所属的消息集合,判断所述diameter信令是否满足预定条件,其中,所述消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;发送单元,用于在判断结果为是的情况下,发送所述diameter信令。
根据本发明的一个方面,提供了一种diameter信令发送装置,应用于业务节点,包括:生成模块,用于生成diameter信令;处理模块,添加第三路径信息至所述diameter信令中,其中,所述第三路径信息为除所述diameter信令的归属国运营商的关口dra信息、以及除所述diameter信令的漫游国运营商的关口dra信息之外的其他国家的关口dra信息;发送模块,用于发送所述diameter信令。
可选地,所述装置还包括:判断模块,用于判断第一dra是否具备清除所述diameter信令中的第一路径信息的能力,其中,所述第一dra为所述diameter消息的下一跳dra;其中,所述处理模块用于:在判断模块的判断结果为否的情况下,添加所述第三路径信息至所述diameter信令中。
通过本发明,采用dra接收diameter信令;dra判断diameter信令的上一跳节点是否为业务节点;在判断结果为是的情况下,dra清除diameter信令中的第一路径信息,并添加第二路径信息至diameter信令中,其中,第二路径信息包括:diameter信令的上一跳节点的标识信息;dra发送diameter信令的方式,解决了diameter信令被伪造导致的diameter信令网络安全性低的问题,提升了diameter信令网络的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的核心分组网演进epc、ims、pcc的示意图;
图2是根据本发明实施例的diameter信令发送的流程图一;
图3是根据本发明实施例的diameter信令发送方法的流程图二;
图4是根据本发明实施例的diameter信令发送装置的结构框图一;
图5是根据本发明实施例的diameter信令发送装置的可选结构框图;
图6是根据本发明实施例的diameter信令发送装置的结构框图二;
图7是根据本发明可选实施例的map信令的消息分类的示意图;
图8是根据本发明可选实施例的diameter信令网络的结构示意图;
图9是根据本发明可选实施例的归属国向漫游国发送的消息的检查的流程图;
图10是根据本发明可选实施例的漫游国向归属国发送的消息的检查的流程图;
图11是根据本发明可选实施例的仅归属国内发送的消息的检查的流程图;
图12是根据本发明可选实施例的dra规正业务节点消息的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
在本实施例中提供了一种diameter信令发送方法,图2是根据本发明实施例的diameter信令发送的流程图一,如图2所示,该流程包括如下步骤:
步骤s202,dra接收diameter信令;
步骤s204,dra判断diameter信令的上一跳节点是否为业务节点;
步骤s206,在判断结果为是的情况下,dra清除diameter信令中的第一路径信息,并添加第二路径信息至diameter信令中,其中,第二路径信息包括:diameter信令的上一跳节点的标识信息;
步骤s208,dra发送diameter信令。
通过上述步骤,在从业务节点接收到diameter信令后,将diameter信令中的第一路径信息清除,并由dra在diameter信令中将上一跳节点的标识信息作为第二路径信息添加到diameter信令中。通过该方式,可以杜绝业务节点伪造diameter信令中的路径信息,解决了diameter信令被伪造导致的diameter信令网络安全性低的问题,提升 了diameter信令网络的安全性。
如果diameter信令的上一跳不是业务节点,即在步骤s204中判断结果为否的情况下,dra保留diameter信令中的第一路径信息,并添加第二路径信息至diameter信令中。这样,不与业务节点直接连接的dra依次将该dra的上一跳节点的标识信息添加到diameter信令中,从而使得diameter信令中形成了完整的路径链,指示该diameter信令经过的所有节点的路径信息。
在diameter信令网络中,业务节点为diameter信令的发起节点或者接收端节点;在上述步骤s204中所指的业务节点为diameter信令的发起节点,例如,移动性管理实体mobilitymanagemententity,简称为mme)等。
可选地,在dra为落地dra的情况下,在dra发送diameter信令时,dra根据第二路径信息和diameter信令所属的消息集合,判断diameter信令是否满足预定条件;在判断结果为是的情况下,dra发送diameter信令。其中,消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合。通过对不同的diameter信令所属的消息集合的不同,可以设置不同的预定条件,通过对diameter信令中的路径信息的判断,可以进一步识别伪造信令。
其中,上述的落地dra是指diameter信令从发起端到接收端的路径上的最后一个dra,该dra接收到diameter信令之后,该dra将会将diameter信令发送给位于diameter接收端的业务节点。
上述的预定条件可以根据需要进行设置。
例如,在diameter信令所属的消息集合为归属国向漫游国发送的消息集合的情况下,预定条件包括但不限于以下至少之一:根据diameter信令的imsi查询到的国家运营商为第一国运营商;diameter信令的源主机与根据imsi查询到的第一国运营商构成信任关系;diameter信令的第二路径信息包括第一国关口dra信息,其中,第一国关口dra信息为根据imsi查询到的第一国运营商的关口dra信息;diameter信令的第二路径信息包括第二国关口dra信息,其中,第二国关口dra信息为dra所在国的运营商的关口dra信息;diameter信令的第二路径信息中最多包含两个国家的关口dra信息。
例如,在diameter信令所属的消息集合为漫游国向归属国发送的消息集合的情况下,预定条件包括但不限于以下至少之一:根据diameter信令的imsi查询到的国家运营商为第二国运营商,其中,第二国运营商为dra所在国的运营商;根据diameter信令的源主机查询到的国家运营商为第一国运营商;diameter信令的第二路径信息包括第一国关口dra信息,其中,第一国关口dra为根据源主机查询到的第一国运营商的关口dra信息;diameter信令的第二路径信息包括第二国关口dra信息,其中,第二国关口dra信息为dra所在国的运营商的关口dra信息;diameter信令的第二路径信息中最多包含两个国家的关口dra信息。
例如,在diameter信令所属的消息集合为仅在归属国内发送的消息集合的情况下,预定条件包括但不限于以下至少之一:根据diameter信令的imsi或者msisdn查询到的国家运营商为第二国运营商;根据diameter信令的源主机查询到的国家运营商为第二国运营商;diameter信令的第二路径信息中仅包含第二国运营商的关口dra信息;其中,第二国运营商为dra所在国的运营商。
其中,可以根据diameter信令的命令码(commandcode)和/或应用接口判断该diameter信令所属的消息集合。另外,在判断diameter信令是否满足上述预定条件时,多个预定条件的判断顺序在本发明实施例中并不作限定。
本发明实施例中的路径信息添加在diameter信令的路由记录(route-record)属性值对(attribute-valuepair,简称为avp)中。
本发明实施例还提供了一种diameter信令发送方法,图3是根据本发明实施例的diameter信令发送方法的流程图二,如图3所示,该流程包括如下步骤:
步骤s302,业务节点生成diameter信令;
步骤s304,业务节点添加第三路径信息至diameter信令中,其中,第三路径信息为除diameter信令的归属国运营商的关口dra信息、以及除diameter信令的漫游国运营商的关口dra信息之外的其他国家的关口dra信息;
步骤s306,业务节点发送diameter信令。
通过上述步骤,业务节点在生成的diameter信令中添加第三个国家(即上述的其他国家)的关口dra信息作为路径信息。如果入局的dra不具备清除业务节点发送的diameter信令中路径信息的能力,则落地dra接收到的diameter信令的路径信息将同时存在三个国家的关口dra信息,而diameter信令中存在三个国家的关口dra信息在现有的diameter信令网络中也属于不合法的路径信息,因此,通过该方式,使得后续的dra(例如落地dra)可以根据diameter信令的路径信息判断出该diameter信令的路径为伪造路径,从而解决了diameter信令被伪造导致的diameter信令网络安全性低的问题,提升了diameter信令网络的安全性。
通过图2所示的diameter信令发送方法需要diameter信令的发起国的dra对diameter信令中的路径信息进行清除处理;然而,考虑到有些国家可能不允许该国的dra清除diameter信令中的路径信息,则可以采用图3所示的diameter信令发送方法,通过业务节点对diameter信令添加第三路径信息,使得diameter信令不符合目前diameter信令网络的协议规范。在落地dra接收diameter信令之后;落地dra可以根据第三路径信息,则可确定diameter信令的路径为伪造路径。
可选地,在步骤s302之后,业务节点还可以判断第一dra是否具备清除diameter信令中的第一路径信息的能力,其中,第一dra为diameter消息的下一跳dra;相应 的,在步骤s304中,在判断结果为否的情况下,业务节点添加第三路径信息至diameter信令中。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种diameter信令发送装置,该装置应用于dra中,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。
图4是根据本发明实施例的diameter信令发送装置的结构框图一,如图4所示,该装置包括:接收模块42、判断模块44、第一处理模块46和第一发送模块48,其中,
接收模块42,用于接收diameter信令;判断模块44,耦合至接收模块42,用于判断diameter信令的上一跳节点是否为业务节点;第一处理模块46,耦合至判断模块44,用于在判断结果为是的情况下,清除diameter信令中的第一路径信息,并添加第二路径信息至diameter信令中,其中,第二路径信息包括:diameter信令的上一跳节点的标识信息;第一发送模块48,耦合至第一处理模块46,用于发送diameter信令。
图5是根据本发明实施例的diameter信令发送装置的可选结构框图,如图5所示,可选地,装置还可以包括:第二处理模块52,耦合至判断模块44,用于在判断结果为否的情况下,保留diameter信令中的第一路径信息,并添加第二路径信息至diameter信令中;第二发送模块54,耦合至第二处理模块52,用于发送diameter信令。
可选地,第一发送模块46或者第二发送模块54分别包括:判断单元,用于在dra为落地dra的情况下,根据第二路径信息和diameter信令所属的消息集合,判断diameter信令是否满足预定条件,其中,消息集合包括以下之一:归属国向漫游国发送的消息集合、漫游国向归属国发送的消息集合、仅在归属国内发送的消息集合;发送单元,耦合至判断单元,用于在判断结果为是的情况下,发送diameter信令。
在本实施例中还提供了一种diameter信令发送装置,该装置应用于业务节点中,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。
图6是根据本发明实施例的diameter信令发送装置的结构框图二,如图6所示,该装置包括:生成模块62、处理模块66和发送模块68,其中,
生成模块62,用于生成diameter信令;处理模块66,耦合至生成模块62,用于添加第三路径信息至diameter信令中,其中,第三路径信息为除diameter信令的归属国运营商的关口dra信息、以及除diameter信令的漫游国运营商的关口dra信息之外 的其他国家的关口dra信息;发送模块68,耦合至处理模块66,用于发送diameter信令。
可选地,该装置还可以包括判断模块64,耦合在生成模块62和处理模块66之间,用于判断第一dra是否具备清除diameter信令中的第一路径信息的能力,其中,第一dra为diameter消息的下一跳dra;处理模块66用于:在判断模块64的判断结果为否的情况下,添加第三路径信息至diameter信令中。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述模块分别位于多个处理器中。
本发明的实施例还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
本发明的实施例还提供了一种存储介质。在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
步骤s202,dra接收diameter信令;
步骤s204,dra判断diameter信令的上一跳节点是否为业务节点;
步骤s206,在判断结果为是的情况下,dra清除diameter信令中的第一路径信息,并添加第二路径信息至diameter信令中,其中,第二路径信息包括:diameter信令的上一跳节点的标识信息;
步骤s208,dra发送diameter信令。
本发明的实施例还提供了一种存储介质。在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
步骤s302,业务节点生成diameter信令;
步骤s304,业务节点添加第三路径信息至diameter信令中,其中,第三路径信息为除diameter信令的归属国运营商的关口dra信息、以及除diameter信令的漫游国运营商的关口dra信息之外的其他国家的关口dra信息;
步骤s306,业务节点发送diameter信令。
可选地,在本实施例中,上述存储介质可以包括但不限于:u盘、只读存储器(read-onlymemory,简称为rom)、随机存取存储器(randomaccessmemory,简称为ram)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
为了使本发明实施例的描述更加清楚,下面结合可选实施例进行描述和说明。
为了克服现有gsma技术中存在的无法识别伪装的源地址或者imsi号码等信令内容的问题和缺陷,本发明实施例中提供了一种识别伪装的源地址或者imsi号码的方法、装置和系统,包括如下技术方案:
步骤1,dra接收到业务节点的消息(即diameter信令)时,将消息中的route-recordavp全部清除,确保此route-recordavp不被黑客伪造;
步骤2,每个dra在转发任何diameter请求消息时,将上一跳的dra或业务节点记录到route-recordavp中,形成一个route-recordavp链,完整体现该diameter请求消息所经过的所有dra节点或业务节点组成的路径;
步骤3,当dra转发diameter请求消息到业务节点前,对三类消息(即“归属国向漫游国发送的消息”、“漫游国向归属国发送的消息”、“仅归属国内发送的消息”)增加漫游国关口dra、落地国关口dra的检查,通过检查识别伪造信令内容的消息,并屏蔽无法通过上述全部检查的消息。
步骤4,反route-recordavp伪造。当发起业务的国家的dra不对route-recordavp进行规正(即在业务节点发出的消息中携带有路径信息,但发起业务的国家的dra不将该消息中的route-recordavp全部清除)时,业务节点可在发出去的消息中包含一组route-recordavp,用以伪造第三国的路径。落地dra在转发diameter请求消息到业务节点前,检查其路径中是否包含迂回路径或者包含三个或者三个以上国家关口dra信息,如果包括,则确认其为伪造路径,屏蔽该消息。通过该方式,实现了在不改变dra流程的情况下,通过主动伪造第三国的路径,利用了现有的伪造路径识别功能,实现了对存在安全隐患的消息识别和屏蔽。
步骤5,当所有检查通过后,dra转发diameter请求消息到业务节点。
通过上述步骤,由于diameter信令的特殊性:业务节点发出消息时并不携带路径信息,路径信息(即一个或者多个route-recordavp)由转发该消息的dra节点逐个在消息中添加。此外,由于dra节点比业务节点的可信度高,因此,dra添加的路径信息更可靠。通过上述的处理后,则可以使用diameter请求消息中携带的路径信息来验证其源主机名/域名/imsi号码的一致性或者其是否为合法路径,从而识别伪造diameter信令,大大提高了网络的防御能力。采用该方式可以有效防御那种“躲在一隅,攻击全球”的攻击方式。
此外,对“归属国向漫游国发送的消息”、“漫游国向归属国发送的消息”、“仅归属国内发送的消息”可以分别根据这些消息的特点进一步制定预定条件,实现更高的可靠性。
下面结合附图和实例对本发明可选实施例进行描述和说明。
图7是根据本发明可选实施例的map信令的消息分类的示意图,如图7所示,①表示“仅归属国内发送的消息”的传递范围;②表示“归属国向漫游国发送的消息”的传递范围;③表示“漫游国向归属国发送的消息”的传递范围。diameter信令也按照map信令的分类方法分为三类。
图8是根据本发明可选实施例的diameter信令网络的结构示意图,如图8所示,diameter信令网络分为三层,分别为:底层的是业务节点;中间层的国内dra转接层;最上层的国际dra(idra)信令转接层。另外,图8中示意性示出了diameter信令的传递路径。
为了使本发明实施例更容易被理解,本发明可选实施例中对参数的配置进行了介绍。需要说明的是,下列的参数的配置仅作为示例性说明,本发明实施例并不限于下列具体的参数配置的值;即实际配置值可以根据现实需要和相关协议进行修改,并不限于下列示意的具体参数配置。
1、配置“国家运营商网络名称,关口dra主机”关系,其中,
国家运营商网络名称为全称域名(fullyqualifieddomainname,简称为fqdn)字符串,最长128字节;关口dra主机为fqdn字符串,最长128字节;
需要说明的是,当一个国家运营商网络名称有多个关口dra进行负荷分担时,这多个关口dra主机都需要配置在“国家运营商网络名称,关口dra主机”关系中。
2、配置“国家运营商网络名称,业务主机,业务主机应用id集合”关系,其中,
国家运营商网络名称为fqdn字符串,最长128字节;业务主机为fqdn字符串,最长128字节;业务主机应用id集合:即applicationid的集合,表示该主机支持的合法应用;
需要说明的是,当一个国家运营商网络名称有多个业务主机时,多个业务主机都需要配置在“国家运营商网络名称,业务主机,业务主机应用id集合”关系中;当一个业务主机可同时支持多个接口,例如:pcrf,同时支持gxx、gx、rx、s9、sd、gy等接口时,多个接口都需要配置在“国家运营商网络名称,业务主机,业务主机应用id集合”关系中。
3、配置“国家运营商网络名称,imsi号段”关系,其中,
国家运营商网络名称为fqdn字符串,最长128字节;imsi号段为十进制码,最长15字节;
需要说明的是,当一个国家运营商网络名称有多个imsi号段时,多个imsi号段都需要配置在“国家运营商网络名称,imsi号段”关系中。
4、配置“国家运营商网络名称,公有用户标识(publicuseridentity,简称为pui) 号段”关系,其中,
国家运营商网络名称为fqdn字符串,最长128字节;pui号段为字符串,最长128字节;
需要说明的是,当一个国家运营商网络名称有多个pui号段时,多个pui号段都需要配置在“国家运营商网络名称,pui号段”关系中。
5、配置本国家运营商网络名称。
在完成参数配置后,则可以根据消息所属图7中消息的类型,分别设计鉴别流程。
图9是根据本发明可选实施例的归属国向漫游国发送的消息的检查的流程图,如图9所示,假设a国为diameter消息发送方的归属国,b国为diameter消息发送方的漫游国,该流程包括如下步骤:
步骤s901,b国的dra接收到diameter消息(即diameter信令),路由分析下一节点是业务节点;
步骤s902:b国的dra按照该diameter消息的命令码和应用接口判断是否属于归属国向漫游国消息集合,如果是,则继续。否则按照其他判定逻辑处理。
步骤s903:b国的dra按照“国家运营商网络名称,imsi号段”获取imsi对应的国家运营商网络名称,如果是它国运营商(即,除b国之外的其他国家的运营商),则继续。否则按照其他判定逻辑处理。
步骤s904:b国的dra按照“国家运营商网络名称,业务主机”检查消息的源主机名,如果与按照imsi获取的国家运营商网络名称构成信任关系。则继续,否则判定为非法消息,丢弃。
步骤s905:b国的dra按照“国家运营商网络名称,关口dra主机”和该请求消息的route-record链,判定route-record链是否包含b国的关口dra。是则继续。如果不匹配,判定为非法消息,丢弃。
步骤s906:b国的dra按照“国家运营商网络名称,关口dra主机”检查消息的route-record链,如果含a国的关口dra,则继续。否则判定为非法消息,丢弃。
步骤s907:b国的dra检查消息的route-recordavp链,如果最多含两个国家的关口dra,则继续。否则判定为伪造route-record消息,丢弃。
通过图9所示的内容核查和route-record路径信息检查,例如,对于diameter信令s6a接口的clr请求消息,攻击者如果通过第三国发起合法用户的信息删除攻击,dra可以识别出来并丢弃。
图10是根据本发明可选实施例的漫游国向归属国发送的消息的检查的流程图,如图10所示,假设a国为diameter消息发送方的归属国,b国为diameter消息发送方的漫游国,该流程包括如下步骤:
步骤s1001:a国的dra接收到diameter消息,路由分析下一节点是业务节点;
步骤s1002:a国的dra按照该diameter消息的命令码是否属于漫游国向归属国发送的消息集合,如果是,则继续。否则按照其他判定逻辑处理。
步骤s1003:a国的dra按照“国家运营商网络名称,imsi号段”获取imsi对应的国家运营商网络名称,如果是a国运营商,则继续。否则丢弃。
步骤s1004:a国的dra按照“国家运营商网络名称,业务主机”获取源主机名对应的国家运营商网络名称,如果是它国运营商(即,除a国之外的其他国家的运营商),则继续。否则按照其他判定逻辑处理。
步骤s1005:a国的dra按照“国家运营商网络名称,关口dra主机”和该请求消息的route-record链,判定route-record链是否包含b国的关口dra。是则继续。如果不匹配,判定为非法消息,丢弃。
步骤s1006:a国的dra按照“国家运营商网络名称,关口dra主机”检查消息的route-record链,如果含a国的关口dra,则继续。否则判定为非法消息,丢弃。
步骤s1007:a国的dra检查消息的route-recordavp链,如果最多含两个国家的关口dra,则继续。否则判定为伪造route-record消息,丢弃。
通过图10所示的内容核查和route-record路径信息检查,例如,对于diameter信令s6a接口的pur请求消息,攻击者如果通过第三国发起合法用户的信息漫游信息删除,dra可以识别出来并丢弃。
图11是根据本发明可选实施例的仅归属国内发送的消息的检查的流程图,如图11所示,假设a国为diameter消息发送方的归属国,该流程包括如下步骤:
步骤s1101:a国的dra接收到diameter消息,路由分析下一节点是业务节点;
步骤s1102:a国的dra按照该diameter消息的命令码是否属于仅归属国内发送的消息集合,如果是,则继续。否则按照其他判定逻辑处理。
步骤s1103:a国的dra按照“国家运营商网络名称,imsi号段”检查消息的imsi或者msisdn,如果匹配的国家是a国,则继续,否则判定为非法消息,丢弃。
步骤s1104:a国的dra按照“国家运营商网络名称,业务主机”获取源主机名对应的国家运营商网络名称,如果是a国运营商,则继续。否则判定为非法消息,丢弃。
步骤s1105:a国的dra按照“国家运营商网络名称,关口dra主机”检查消息的route-record链,如果不含它国(即除a国之外的其他国家)的关口dra,则继续。否则判定为非法消息,丢弃。
通过图11所示的内容核查和route-record路径信息检查,例如,对于sh接口的udr请求消息,攻击者如果通过第三国发起到ims-hss的用户数据请求(旨在非法获取用户签约信息),dra可以识别出来并丢弃。
图12是根据本发明可选实施例的dra规正业务节点消息的流程图,如图12所示,该流程包括如下步骤:
步骤s1201:dra接收到diameter请求消息,如果是业务节点发起,则将route-recordavp全部清除;
步骤s1202:后续进行正常业务处理。
通过上述步骤,如果diameter信令的入局为业务节点,则无论route-recordavp携带的路径信息有多少,将会全部删除这些路径信息,保证了后续传递的diameter信令中不会携带业务节点添加的route-recordavp信息。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!