【技术实现步骤摘要】
【国外来华专利技术】使用DIAMETER代理和信号传输点(STP)来实现间接的通用分组无线电服务(GPRS)隧道协议(GTP)防火墙过滤的方法、系统和计算机可读介质
[0001]优先权要求
[0002]本申请要求于2019年12月31日提交的美国专利申请序列No.16/732,098的优先权权益,其公开内容通过引用整体并入本文。
[0003]本文描述的主题涉及为GTP核心(GTP
‑
C)信令流量实现防火墙功能。更具体地,本文描述的主题涉及用于实现间接的GTP防火墙过滤以使用一个或多个Diameter代理和STP来防止基于欺诈的攻击而不拦截GTP
‑
C漫游信令的方法、系统和计算机可读介质。
技术介绍
[0004]GTP是一组基于IP的通信协议,用于在全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和5G网络内承载GPRS流量。GTP
‑
C在演进分组核心(EPC)网络内被用于服务网关(SGW)和分组网关(PGW)之间的信令。GTP
‑
C控制平面消息在SGW和PGW之间交换,以将服务网关能力信息传送给PGW、创建更新和删除GTP隧道,以及用于路径管理。
[0005]由于PGW被用于互联网流量,因此它可能会受到来自于冒充为出站漫游订户(outbound roaming subscriber)提供服务的SGW的节点的基于欺诈的攻击。出站漫游订户是服务提供商网络的、正在另一个服务提供商的网络中漫游的订户。出站漫游订户可以与入站 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于实现间接的通用分组无线电服务GPRS隧道协议GTP防火墙过滤的方法,所述方法包括:使用信令消息路由节点,利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMN ID来动态地填充间接GTP核心GTP
‑
C防火墙过滤数据库;接收响应于GTP
‑
C消息而生成的信用控制请求初始CCR
‑
I消息;从所述CCR
‑
I消息中提取IMSI和VPLMN ID;使用从所述CCR
‑
I消息中提取的IMSI来访问所述间接GTP
‑
C防火墙过滤数据库;确定所述间接GTP
‑
C防火墙过滤数据库中存在与所述IMSI对应的记录;确定所述记录中的VPLMN ID与从所述CCR
‑
I消息中提取的VPLMN ID不匹配;以及响应于确定所述记录中的VPLMN ID与从所述CCR
‑
I消息中提取的VPLMN ID不匹配,拒绝所述CCR
‑
I消息。2.如权利要求1所述的方法,其中,使用所述信令消息路由节点动态地填充间接GTP
‑
C防火墙过滤数据库包括在所述信令消息路由节点处执行以下操作:接收Diameter更新位置请求ULR消息,其用于向订户的归属网络更新订户的位置;从所述Diameter ULR消息中提取IMSI和VPLMN ID;临时地存储从所述Diameter ULR消息中提取的IMSI和VPLMN ID;确定向订户的所述归属网络更新订户的位置是成功的;以及响应于确定对订户的位置的更新是成功的,在所述间接GTP
‑
C防火墙过滤数据库中将从所述Diameter ULR消息中提取的VPLMN ID与从所述Diameter ULR消息中提取的IMSI进行关联。3.如前述任一项权利要求所述的方法,其中,所述信令消息路由节点包括Diameter边缘代理。4.如前述任一项权利要求所述的方法,其中,所述信令消息路由节点包括Diameter中继代理DRA。5.如权利要求1所述的方法,其中,动态地填充间接GTP
‑
C防火墙过滤数据库包括在所述信令消息路由节点处执行以下操作:接收移动应用部分MAP更新位置请求消息,其用于向订户的归属网络更新订户的位置;从所述MAP更新位置请求消息中提取IMSI和VPLMN ID;临时地存储从所述MAP更新位置请求消息中提取的IMSI和VPLMN ID;确定向订户的所述归属网络更新订户的位置是成功的;以及响应于确定向订户的所述归属网络更新订户的位置是成功的,在所述间接GTP
‑
C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID进行关联。6.如权利要求1或5所述的方法,其中,所述信令消息路由节点包括信号传输点STP。7.如前述任一项权利要求所述的方法,其中,所述间接GTP
‑
C防火墙过滤数据库驻留在与所述信令消息路由节点分开的计算平台上。8.如权利要求1至6中的任一项所述的方法,其中,所述间接GTP
‑
C防火墙过滤数据库与所述信令消息路由节点共置。9.如权利要求1至7中的任一项所述的方法,其中,所述间接GTP
‑
C防火墙过滤数据库位
于与所述信令消息路由节点分开并且与归属位置寄存器HLR或归属订户服务器HSS分开的计算平台上。10.如前述任一项权利要求所述的方法,还包括:利用从移动性管理信令消息中提取的国际移动装备标识符IMEI动态地填充所述GTP
‑
C防火墙过滤数据库;从所述CCR
‑
I消息中提取IMEI值;以及使用所述GTP
‑
C防火墙过滤数据库中的所述IMEI来筛查所述CCR
‑
I消息。11.一种用于实现间接通用分组无线电服务GPRS隧道协议GTP防火墙过滤的系统,所述系统包括:间接GTP核心GTP
‑
C防火墙过滤数据库;以及至少一个信令消息路由节点,被配置为:利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符IMSI和访问的公共陆地移动网络标识符VPLMN ID来动态地填充所述间接GTP核心GTP
‑
C防火墙过滤数据库;接收响应于GTP
‑
C消息而生成的信用控制请求初始CCR
‑
I消息;从所述CCR
‑
I消息中提取IMSI和VPLMN ID;使用从所述CCR
‑
I消息中提取的IMSI来访问所述间接GTP
‑
C防火墙过滤数据库;确定所述间接GTP
‑
C防火墙过滤数据库中存在与所述IMSI对应的记录;确定所述记录中的VPLMN ID与从所述CCR
‑
I...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。