IMS网络中HSS越权访问检测装置及方法与流程

本发明属于通信安全技术领域，特别涉及一种ims网络中hss越权访问检测装置及方法，可适用于移动通信网络中的ims网络，实现hss的diameter协议越权访问攻击的安全检测和预警。

背景技术：

ims(ipmultimediasubsystem)是基于ip网提供话音及多媒体业务的网络体系架构。ims可以实现固定用户业务、移动用户业务与因特网业务融合，语音、数据、视频等多媒体业务融合，是下一代网络的核心技术。

ims网络架构中，hss(homesubscriberserver，归属签约用户服务器)作为网络中用户的重要数据中心，存储了大量用户数据。diameter协议是hss服务器的主要交互协议，而其中蕴含着许多用户隐私信息的交互和重要业务信息的交互。基于全ip的ims网络，均具有ip网络存在的先天脆弱性，容易受到来自互联互通的所有网络的攻击威胁。diameter协议越权访问攻击旨在利用其它网元实体与hss进行交互，获取用户的重要隐私和业务数据，对ims网络用户数据安全具有很大的安全威胁。针对ims网络中diameter越权访问攻击的检测方法对于确保ims网络核心网元数据的安全性具有十分重要的作用，也是保障ims网络整体用户数据安全的重要技术手段。

技术实现要素：

为此，本发明提供一种ims网络中hss越权访问检测装置及方法，从信令流中检测并预警diameter越权访问攻击流，实现简单、便捷，检测速度快、效率高，符合通信网低时延要求，易于结合实现，提高ims网络用户数据的安全性。

按照本发明所提供的设计方案，一种ims网络中hss越权访问检测装置，包含：参数提取模块、信令流分析模块和检测告警模块，其中，

参数提取模块，用于读取ims网络中与归属签约用户服务器hss实时交互的diameter信令流，并提取该信令流中信令参数，所述的信令参数至少包含会话ip和源主机；

信令流分析模块，用于将提取到的信令参数与合法实体列表进行匹配；

检测告警模块，用于匹配结果进行越权访问告警。

上述的，信令流分析模块包含分析子模块一和分析子模块二，其中，

分析子模块一，用于将提取到的会话ip与合法实体列表中ip进行匹配，并根据匹配结果触发分析子模块二或检测告警模块；

分析子模块二，用于将提取到的源主机与合法实体列表中源主机进行匹配，根据匹配结果触发检测告警模块或参数提取模块。

上述的，分析子模块一中，将提取到的会话ip与合法实体列表中ip或ip组进行匹配。

优选的，提取到的会话ip与ip组进行匹配时，判断该会话ip是否包含在ip组内。

上述的，所述的合法实体列表，为预先根据ims网络中合法呼叫会话控制功能实体和应用服务器进行数据收集。

一种ims网络中hss越权访问检测方法，包含如下内容：

a)读取ims网络中与归属签约用户服务器hss实时交互的diameter信令流，并提取该信令流中信令参数，所述的信令参数至少包含会话ip和源主机；

b)将提取到的信令参数与合法实体列表进行匹配；并根据匹配结果进行相关越权访问告警。

上述的方法，b)中，将提取到的会话ip与合法实体列表中ip进行匹配，并根据匹配结果触发检测告警模块，或继续将提取到的源主机与合法实体列表中源主机进行匹配，若源主机匹配成功，则读取下一条diameter信令流，否则，进行越权访问告警。

上述的方法，提取到的会话ip进行匹配过程中，将该会话ip与合法实体列表中ip或ip组进行匹配，若匹配成功，则继续源主机匹配，否则，进行越权访问告警。

上述的方法，会话ip进行匹配时，判断该会话ip是否存在于合法实体列表ip中或包含于合法实体列表ip组中。

上述的方法，合法实体列表，为预先根据ims网络中合法呼叫会话控制功能实体和应用服务器进行数据收集，该数据收集至少包含合法实体ip收集及源主机收集。

本发明的有益效果：

本发明中，通过对ims网内与hss交互的实时信令流进行关键参数提取，以ip和网内标识进行双重联合匹配，进而对过往的信令流进行越权行为检测，对存在越权访问行为的diamster消息流进行检测告警；从信令流中检测并预警diameter越权访问攻击流，实现过程简单且速度快，符合通信网低时延的要求，能够一定程度上提高ims网络用户数据的安全性，对通信网络的安全具有重要的指导意义。

附图说明：

图1为实施例中检测装置示意图；

图2为实施例中信令流分析模块示意图；

图3为实施例中检测方法流程图之一；

图4为实施例中ims网络中diameter协议信令相关实体示意图；

图5为实施例中检测方法流程图之二；

图6为实施例中合法实体列表示意图；

图7为实施例中diameter消息重要参数示意图。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

diameter消息由两部分组成，即：消息头(header)和消息体(messagebody)。消息头位于消息的前端，包括了协议版本、消息长度、命令码、应用id、逐跳标识和端到端标识，ims网络中diameter协议信令相关实体如图4所示。本发明实施例，参见图1所示，提供一种ims网络中hss越权访问检测装置，包含：参数提取模块、信令流分析模块和检测告警模块，其中，

参数提取模块，用于读取ims网络中与归属签约用户服务器hss实时交互的diameter信令流，并提取该信令流中信令参数，所述的信令参数至少包含会话ip和源主机；

信令流分析模块，用于将提取到的信令参数与合法实体列表进行匹配；

检测告警模块，用于匹配结果进行越权访问告警。

通过该检测装置实时检测ims网络中与归属签约用户服务器hss实时交互的diameter信令流并进行越权访问预警，实现过程简单且速度快，符合通信网低时延的要求，能够一定程度上提高ims网络用户数据的安全性。

根据提取到的信令参数与合法实体列表进行相关匹配过程中，本发明另一个实施例中，参见图2所示，信令流分析模块包含分析子模块一和分析子模块二，其中，

分析子模块一，用于将提取到的会话ip与合法实体列表中ip进行匹配，并根据匹配结果触发分析子模块二或检测告警模块；

分析子模块二，用于将提取到的源主机与合法实体列表中源主机进行匹配，根据匹配结果触发检测告警模块或参数提取模块。

分析子模块一中，将提取到的会话ip与合法实体列表中ip或ip组进行匹配。进一步地，提取到的会话ip与ip组进行匹配时，判断该会话ip是否包含在ip组内。上述的，合法实体列表，可为预先根据ims网络中合法呼叫会话控制功能实体和应用服务器进行数据收集。

基于上述的检测装置，本发明实施例还提供一种ims网络中hss越权访问检测方法，参见图3所示，包含如下内容：

读取ims网络中与归属签约用户服务器hss实时交互的diameter信令流，并提取该信令流中信令参数，所述的信令参数至少包含会话ip和源主机；

将提取到的信令参数与合法实体列表进行匹配；并根据匹配结果进行相关越权访问告警。

本发明检测方法的再一个实施例中，将提取到的会话ip与合法实体列表中ip进行匹配，并根据匹配结果触发检测告警模块，或继续将提取到的源主机与合法实体列表中源主机进行匹配，若源主机匹配成功，则读取下一条diameter信令流，否则，进行越权访问告警。实施例中，提取到的会话ip进行匹配过程中，将该会话ip与合法实体列表中ip或ip组进行匹配，若匹配成功，则继续源主机匹配，否则，进行越权访问告警。进一步地，会话ip进行匹配时，判断该会话ip是否存在于合法实体列表ip中或包含于合法实体列表ip组中。上述的合法实体列表，可为预先根据ims网络中合法呼叫会话控制功能实体和应用服务器进行数据收集，该数据收集至少包含合法实体ip收集及源主机收集。

为进一步验证本发明的有效性，通过具体信令流检测实例进行说明：

diameter消息由两部分组成，即：消息头(header)和消息体(messagebody)。消息头位于消息的前端，包括了协议版本、消息长度、命令码、应用id、逐跳标识和端到端标识，消息体由多个avp，每个avp组成为avpcode、avpflag、avplength、vendor-id和data组成，详见附图7所示。针对网络中的diameter信令流，需要预知网络中合法的呼叫会话控制功能实体cscf和应用服务器as相关信息，合法实体列表如图6所示，具体的越权检测实施步骤，如图5所示，实现过程如下：

实施步骤(一)：读取一条diameter信令消息，提取主要的参数，包括：ip地址和origin-host，其在消息中的位置如图7所示；

实施步骤(二)：当前消息ip与合法实体列表中ip进行匹配(若是ip组192.168.1.40～192.168.1.60，包含即是匹配成功)；若匹配失败，则越权访问告警；若匹配成功，则继续；

实施步骤(三)：当前消息origin-host与合法实体列表中ip匹配后所对应的实体标识进行匹配；若匹配失败，则越权访问告警；若匹配成功，则继续；

实施步骤(四)：处理下一条diameter消息。

本发明中实施例，直接根据ims信令流识别检测diameter协议越权访问攻击，从信令流中检测并预警diameter越权访问攻击流，适用于移动通信网络中的ims网络，用于实现对归属签约用户服务器hss的diameter协议越权访问攻击的安全检测和预警，提高ims网络的安全性，有效保证通信网络的安全性和可靠性，对通信网络安全发展具有重要的意义。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的各实例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不认为超出本发明的范围。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如：只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。