【技术实现步骤摘要】
本专利技术属于无线通信,具体涉及一种gtp-u隧道的源端认证方法及系统。
技术介绍
1、5g(5th generation)无线网络采用了控制面与数据面功能分离的架构,实现了用户数据处理和转发在网络边缘的功能,以提高传输控制的灵活性。用户平面功能(userplane function,upf)是5g核心网络中的关键组成部分,它与数据的传输和管理密切相关,而grps隧道协议(general packet radio service tunneling protocol,gtp)则是支撑这一目的的重要协议。gtp协议主要包括两种应用对象,分别是gtp的控制平面部分(gtpcontrol plane,gtp-c)和gtp的用户平面部分(gtp user plane,gtp-u)。
2、根据3gpp的技术规范中介绍,gtp-u是一种基于ip/udp,专门用于在移动通信网络中传输用户数据的隧道协议,它的主要功能是承载用户数据流,确保数据能够高效可靠地传递。gtp-u隧道的管理主要由控制平面负责完成。gtp-u隧道的源端是gtp-u分组的发送端,隧道的目的端是gtp-u分组的接收端。gtp-u源端的认证主要在控制平面完成,在用户平面缺少源端认证。
3、gtp-u发送端在接收到需要承载ip分组时,按技术标准封装在隧道分组中gtp-u隧道分组的结构从最外层开始分别为:外部ip头部,udp头部,gtp-u头部和内部ip分组部分。外部ip头部的作用是用于gtp-u接收端和gtp-u发送端之间的路由。内部ip分组头部是5g核心
4、在典型的移动应用场景下,存在两个小区,对应于a小区和b小区,小区中心基站对应于a基站和b基站。用户终端(user equipment,ue)从a小区迁移到b小区,通过5g核心网的接入与移动性管理功能(access management function,amf)控制基站(the nextgeneration node b,gnb),协调会话管理功能(session management function,smf)控制upf,联合建立了gtp-u隧道。当用户离开a小区进入b小区需要切换时,因为源端gnb会发生改变,为保持连接的连续性,gtp-u隧道分组不宜携带发送端teid。
5、上文所述teid的这种分配模式存在异常现象。起干扰作用的ue获取到upf分配的teid后,可以将干扰数据封装成gtp-u隧道分组发送到被干扰的ue,也能通过这种方式和被干扰的ue建立连接来获取到其数据。由此可见,teid 的现行分配和使用模式缺少gtp-u隧道源端的认证。
6、针对当前gtp-u协议存在源端认证机制缺失的情况,一种可行的方式是监测 gtp流量。具体而言,需检查gtp-u隧道分组与隧道是否匹配,以及分组的有效载荷是否同样为gtp-u隧道分组。但是持续的流量监测给网络性能带来负面影响,依赖于特定的网络设备与软件,存在隐私问题。因此需要一种对网络性能影响小且应用面更广的gtp-u认证方法。
技术实现思路
1、针对现有技术的不足,本专利技术的目的在于提供一种gtp-u隧道的源端认证方法及系统,解决了现有技术中的问题。
2、本专利技术的目的可以通过以下技术方案实现:
3、一种gtp-u隧道的源端认证方法,包括以下步骤:
4、隧道发送端在将用户数据分组封装成gtp-u隧道分组时,添加隧道发端信息;
5、隧道接收端接收到分组后,解析分组头部,并根据传输层协议头部判断分组是否为gtp-u隧道分组;
6、若分组为gtp-u隧道分组且携带隧道发端信息,接收端进行源端认证,将gtp-u 隧道分组的隧道发端信息部分与接收端记录的隧道源端信息做比对;若分组为非gtp-u隧道分组或未携带隧道发端信息的gtp-u隧道分组做无认证转发,gtp-u隧道分组匹配认证成功后做认证转发,认证通过后执行后续处理。
7、进一步地,添加隧道发端信息后的gtp-u隧道分组结构包括:隧道收端信息、隧道发端信息、隧道内层地址以及净负荷。
8、进一步地,所述隧道收端信息包括:gtp-u隧道分组的外部ip头部、gtp-u隧道分组的udp头部和gtp-u头部。
9、进一步地,所述隧道发端信息用于接收端进行隧道源端验证,包括:隧道发送端ip头部、隧道发送端udp头部以及隧道发送端取自于反向接收时所涉及的gtp-u分组头部。
10、进一步地,所述gtp-u隧道分组的判断方法为:
11、解析接收到的隧道分组的隧道收端信息,获取外部ip头部的协议字段,根据协议字段是否为17判断分组是否存在udp头部,若不存在,说明该分组为非gtp-u隧道分组;
12、获取udp头部中的目的端口号,若端口号为预先配置的特征号,则该分组为gtp-u隧道分组,否则为非gtp-u隧道分组。
13、进一步地,所述接收端进行源端认证的步骤为:
14、步骤1,接收端解析gtp-u隧道分组中的隧道发端信息部分,获取发送端取自于反向接收时所涉及的ip头部的目的地址和gtp-u头部中的teid;
15、步骤2,接收端通过与记录的发送端ip地址比对,判断步骤1中获取的目的地址是否为gtp-u隧道发送端的地址,若不是则认证失败,不进行后续步骤;
16、步骤3,接收端通过与记录的发送端取自于反向接收时所涉及的gtp-u头部中的teid比对,步骤1中获取的teid是否为gtp-u隧道发送端分配的teid,若不是则认证失败,若是则通过认证。
17、一种gtp-u隧道的源端认证系统,包括:
18、数据分组模块:隧道发送端在将用户数据分组封装成gtp-u隧道分组时,添加隧道发端信息;
19、分组判断模块:隧道接收端接收到分组后,解析分组头部,并根据传输层协议头部判断分组是否为gtp-u隧道分组;
20、以及,认证模块:若分组为gtp-u隧道分组且携带隧道发端信息,接收端进行源端认证,将gtp-u 隧道分组的隧道发端信息部分与接收端记录的隧道源端信息做比对;若分组为非gtp-u隧道分组或未携带隧道发端信息的gtp-u隧道分组做无认证转发,gtp-u隧道分组匹配认证成功后做认证转发,认证通过后执行后续处理。
21、一种计算机存储介质,存储有可读程序,当程序运行时,能够执行上述的一种gtp-u隧道的源端认证方法。
22、一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线本文档来自技高网...
【技术保护点】
1.一种GTP-U隧道的源端认证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种GTP-U隧道的源端认证方法,其特征在于,添加隧道发端信息后的GTP-U隧道分组结构包括:隧道收端信息、所述隧道发端信息、隧道内层地址以及净负荷。
3.根据权利要求2所述的一种GTP-U隧道的源端认证方法,其特征在于,所述隧道收端信息包括:GTP-U隧道分组的外部IP头部、GTP-U隧道分组的UDP头部和GTP-U头部。
4.根据权利要求2所述的一种GTP-U隧道的源端认证方法,其特征在于,所述隧道发端信息用于接收端进行隧道源端验证,包括:隧道发送端IP头部、隧道发送端UDP头部以及隧道发送端取自于反向接收时所涉及的GTP-U分组头部。
5.根据权利要求1所述的一种GTP-U隧道的源端认证方法,其特征在于,所述GTP-U隧道分组的判断方法为:
6.根据权利要求1所述的一种GTP-U隧道的源端认证方法,其特征在于,所述隧道接收端进行源端认证的步骤为:
7.一种GTP-U隧道的源端认证系统,其特征在于,包括:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。