使用DIAMETER代理和信号传输点(STP)来实现间接的通用分组无线电服务(GPRS)隧道协议(GTP)防火墙过滤的方法、系统和计算机可读介质技术方案

一种用于实现间接的GTP防火墙过滤的方法包括：使用信令消息路由节点，利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的IMSI和VPLMN ID来动态地填充间接GTP核心GTP

【技术实现步骤摘要】
【国外来华专利技术】使用DIAMETER代理和信号传输点(STP)来实现间接的通用分组无线电服务(GPRS)隧道协议(GTP)防火墙过滤的方法、系统和计算机可读介质
[0001]优先权要求
[0002]本申请要求于2019年12月31日提交的美国专利申请序列No.16/732,098的优先权权益，其公开内容通过引用整体并入本文。


[0003]本文描述的主题涉及为GTP核心(GTP
‑
C)信令流量实现防火墙功能。更具体地，本文描述的主题涉及用于实现间接的GTP防火墙过滤以使用一个或多个Diameter代理和STP来防止基于欺诈的攻击而不拦截GTP
‑
C漫游信令的方法、系统和计算机可读介质。

技术介绍

[0004]GTP是一组基于IP的通信协议，用于在全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和5G网络内承载GPRS流量。GTP
‑
C在演进分组核心(EPC)网络内被用于服务网关(SGW)和分组网关(PGW)之间的信令。GTP
‑
C控制平面消息在SGW和PGW之间交换，以将服务网关能力信息传送给PGW、创建更新和删除GTP隧道，以及用于路径管理。
[0005]由于PGW被用于互联网流量，因此它可能会受到来自于冒充为出站漫游订户(outbound roaming subscriber)提供服务的SGW的节点的基于欺诈的攻击。出站漫游订户是服务提供商网络的、正在另一个服务提供商的网络中漫游的订户。出站漫游订户可以与入站漫游订户区分开来，在入站漫游订户中，另一个网络的订户正在服务提供商的归属网络中漫游。与出站移动订户相关的信令尤其容易受到基于欺诈的攻击，因为冒充为特定订户提供服务的服务网关或移动性管理实体(MME)的攻击者可能使用该订户的国际移动订户身份(IMSI)来冒充订户，该国际移动订户身份(IMSI)可能不难获得。通过使用真实订户的IMSI，攻击者可以与分组网关建立GTP会话，并至少拒绝向真实订户提供服务。攻击者还可以从订户的归属网络(home network)获得订户信息。防范此类攻击的一种可能方式是在归属网络的PGW上实现GTP
‑
C防火墙功能。然而，考虑到可能部署在网络上的PGW的数量以及PGW的处理资源，在PGW处实现GTP
‑
C防火墙功能可能对网络运营商来说是一种负担。例如，如果PGW被配备为对GTP
‑
C消息进行筛查(screening)，那么PGW可能必须联系归属订户服务器(HSS)来核实订户是否正在外漫游，然后确定是否允许来自该漫游网络的特定MME或服务网关(SGW)的GTP
‑
C会话。这样的处理对PGW和HSS二者来说都是负担。PGW将需要拦截GTP
‑
C信令、查询HSS、接收来自HSS的响应，并基于该响应来确定是否允许GTP会话。这将是非标准的PGW行为，因为在PGW和HSS之间不存在现有的标准所定义的接口。HSS需要处理来自网络中每个PGW的针对每个GTP
‑
C会话的查询和响应。
[0006]因此，需要在不拦截GTP
‑
C漫游信令的情况下以减少核心网络节点上的处理负担的方式来实现GTP防火墙功能。

技术实现思路

[0007]一种用于实现间接的GTP防火墙过滤的方法包括：使用信令消息路由节点，利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的IMSI和VPLMN ID，来动态地填充间接GTP
‑
C防火墙过滤数据库。该方法还包括接收响应于GTP
‑
C消息而生成的CCR
‑
I消息。该方法还包括从CCR
‑
I消息中提取IMSI和VPLMN ID。该方法还包括使用从CCR
‑
I消息中提取的IMSI来访问间接GTP
‑
C防火墙过滤数据库。该方法还包括确定与IMSI对应的记录存在于间接GTP
‑
C防火墙过滤数据库中。该方法还包括确定记录中的VPLMN ID与从CCR
‑
I消息中提取的VPLMN ID不匹配。该方法还包括，响应于确定记录中的VPLMN ID与从CCR
‑
I消息中提取的VPLMN ID不匹配，拒绝CCR
‑
I消息。
[0008]根据本文描述的主题的另一方面，使用信令消息路由节点来动态地填充间接GTP
‑
C防火墙过滤数据库包括：在信令消息路由节点处，接收Diameter更新位置请求(ULR)消息、从Diameter ULR消息中提取IMSI和VPLMN ID、临时地存储从Diameter ULR消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的，以及响应于确定对订户的位置的更新是成功的，在间接GTP
‑
C防火墙过滤数据库中将从Diameter ULR消息中提取的VPLMN ID与从Diameter ULR消息中提取的IMSI相关联。
[0009]根据本文描述的主题的又一方面，信令消息路由节点包括Diameter边缘代理(DEA)。
[0010]根据本文描述的主题的又一方面，信令消息路由节点包括Diameter中继代理(DRA)。
[0011]根据本文描述的主题的又一方面，动态地填充间接GTP
‑
C防火墙过滤数据库包括：在信令消息路由节点处，接收移动应用部分(MAP)更新位置请求消息、从MAP更新位置请求消息中提取IMSI和VPLMN ID、临时地存储从MAP更新位置请求消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的，以及响应于确定对订户的位置的更新是成功的，在间接GTP
‑
C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID相关联。
[0012]根据本文描述的主题的又一方面，信令消息路由节点包括信号传输点(STP)。
[0013]根据本文描述的主题的又一方面，间接GTP
‑
C防火墙过滤数据库在与信令消息路由节点分开的计算平台上实现。
[0014]根据本文描述的主题的又一方面，间接GTP
‑
C防火墙过滤数据库与信令消息路由节点共置(co
‑
located)。
[0015]根据本文描述的主题的又一方面，间接GTP
‑
C防火墙过滤数据库位于与信令消息路由节点以及归属位置寄存器(HLR)或归属订户服务器(HSS)分开的计算平台上。
[0016]根据本文描述的主题的又一方面，用于间接GTP
‑
C防火墙过滤的方法包括：利用从移动性管理信令消息中提取的国际移动装备标识符(IMEI)来动态地填充GTP
‑
C防火墙过滤数据库、从CCR
‑
I消息中提取IMEI值，以及使用GTP<本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于实现间接的通用分组无线电服务GPRS隧道协议GTP防火墙过滤的方法，所述方法包括：使用信令消息路由节点，利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMN ID来动态地填充间接GTP核心GTP
‑
C防火墙过滤数据库；接收响应于GTP
‑
C消息而生成的信用控制请求初始CCR
‑
I消息；从所述CCR
‑
I消息中提取IMSI和VPLMN ID；使用从所述CCR
‑
I消息中提取的IMSI来访问所述间接GTP
‑
C防火墙过滤数据库；确定所述间接GTP
‑
C防火墙过滤数据库中存在与所述IMSI对应的记录；确定所述记录中的VPLMN ID与从所述CCR
‑
I消息中提取的VPLMN ID不匹配；以及响应于确定所述记录中的VPLMN ID与从所述CCR
‑
I消息中提取的VPLMN ID不匹配，拒绝所述CCR
‑
I消息。2.如权利要求1所述的方法，其中，使用所述信令消息路由节点动态地填充间接GTP
‑
C防火墙过滤数据库包括在所述信令消息路由节点处执行以下操作：接收Diameter更新位置请求ULR消息，其用于向订户的归属网络更新订户的位置；从所述Diameter ULR消息中提取IMSI和VPLMN ID；临时地存储从所述Diameter ULR消息中提取的IMSI和VPLMN ID；确定向订户的所述归属网络更新订户的位置是成功的；以及响应于确定对订户的位置的更新是成功的，在所述间接GTP
‑
C防火墙过滤数据库中将从所述Diameter ULR消息中提取的VPLMN ID与从所述Diameter ULR消息中提取的IMSI进行关联。3.如前述任一项权利要求所述的方法，其中，所述信令消息路由节点包括Diameter边缘代理。4.如前述任一项权利要求所述的方法，其中，所述信令消息路由节点包括Diameter中继代理DRA。5.如权利要求1所述的方法，其中，动态地填充间接GTP
‑
C防火墙过滤数据库包括在所述信令消息路由节点处执行以下操作：接收移动应用部分MAP更新位置请求消息，其用于向订户的归属网络更新订户的位置；从所述MAP更新位置请求消息中提取IMSI和VPLMN ID；临时地存储从所述MAP更新位置请求消息中提取的IMSI和VPLMN ID；确定向订户的所述归属网络更新订户的位置是成功的；以及响应于确定向订户的所述归属网络更新订户的位置是成功的，在所述间接GTP
‑
C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID进行关联。6.如权利要求1或5所述的方法，其中，所述信令消息路由节点包括信号传输点STP。7.如前述任一项权利要求所述的方法，其中，所述间接GTP
‑
C防火墙过滤数据库驻留在与所述信令消息路由节点分开的计算平台上。8.如权利要求1至6中的任一项所述的方法，其中，所述间接GTP
‑
C防火墙过滤数据库与所述信令消息路由节点共置。9.如权利要求1至7中的任一项所述的方法，其中，所述间接GTP
‑
C防火墙过滤数据库位
于与所述信令消息路由节点分开并且与归属位置寄存器HLR或归属订户服务器HSS分开的计算平台上。10.如前述任一项权利要求所述的方法，还包括：利用从移动性管理信令消息中提取的国际移动装备标识符IMEI动态地填充所述GTP
‑
C防火墙过滤数据库；从所述CCR
‑
I消息中提取IMEI值；以及使用所述GTP
‑
C防火墙过滤数据库中的所述IMEI来筛查所述CCR
‑
I消息。11.一种用于实现间接通用分组无线电服务GPRS隧道协议GTP防火墙过滤的系统，所述系统包括：间接GTP核心GTP
‑
C防火墙过滤数据库；以及至少一个信令消息路由节点，被配置为：利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMN ID来动态地填充所述间接GTP核心GTP
‑
C防火墙过滤数据库；接收响应于GTP
‑
C消息而生成的信用控制请求初始CCR
‑
I消息；从所述CCR
‑
I消息中提取IMSI和VPLMN ID；使用从所述CCR
‑
I消息中提取的IMSI来访问所述间接GTP
‑
C防火墙过滤数据库；确定所述间接GTP
‑
C防火墙过滤数据库中存在与所述IMSI对应的记录；确定所述记录中的VPLMN ID与从所述CCR
‑
I...

【专利技术属性】
技术研发人员：V，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：