本發明實施例公開了一種防止信令攻擊方法及裝置，所述方法包括：接收移動管理節點(MME)或服務通用分組無線服務技術(GPRS)支持節點(SGSN)發送的diameter請求消息；判斷所述diameter請求消息是否從漫游接口接收；當所述diameter請求消息是從漫游接口接收時，判斷所述diameter請求消息的特征參數是否合法；若所述diameter請求消息的特征參數不合法，則丟棄所述diameter請求消息或返回攜帶錯誤碼的diameter響應消息給所述MME或所述SGSN。從而能有效阻斷黑客利用各個攻擊路徑對HSS或邊緣節點進行攻擊，提高通信安全。

技術領域

本發明涉及通信領域，具體涉及一種防止信令攻擊方法及裝置。

背景技術

移動管理節點(Mobility Management Entity，簡稱MME)、服務GPRS支持節點(Serving GPRS Support Node，簡稱SGSN)以及歸屬簽約用戶服務器(Home SubscriberServer，簡稱HSS)都是移動通信網絡中的重要網元。其中，MME負責信令處理部分，SGSN主要完成分組數據包的路由轉發、移動性管理、會話管理等功能，HSS用于支持用于處理調用/會話的IP多媒體子系統(IP Multimedia Subsystem，簡稱IMS)網絡實體的主要用戶數據庫。

在第四代移動通信技術(The 4th Generation mobile communicationtechnology，簡稱4G)網絡中，MME(SGSN)和HSS之間基于DIAMETER協議進行通信，并且在實際組網中為了提升性能，MME(SGSN)和HSS之間通常會部署1個或者多個Diameter代理，包括：Diameter邊緣代理DEA和Diameter中繼代理DRA，該邊緣代理通常部署在運營商的網絡邊界，用于和其他運營商的設備對接。當MME(SGSN)和HSS不屬于同一運營商時，攻擊者可能對Diameter層的內容進行修改，造成通信安全隱患。

發明內容

本發明實施例提供了一種防止信令攻擊方法及裝置，以期可以防止Diameter信令攻擊，提高通信安全性。

第一方面，本發明實施例提供了一種防止信令攻擊方法，該方法包括：HSS或邊緣節點接收移動管理節點(MME)或服務通用分組無線服務技術(GPRS)支持節點(SGSN)發送的diameter請求消息；然后HSS或邊緣節點再判斷該diameter請求消息是否從漫游接口接收；當該diameter請求消息是從漫游接口接收時，HSS或邊緣節點再判斷該diameter請求消息的特征參數是否合法；若所述diameter請求消息的特征參數不合法，則HSS或邊緣節點丟棄該diameter請求消息或返回攜帶錯誤碼的diameter響應消息給MME或SGSN。

本發明實施例提供的方案中，通過HSS或邊緣節點對來自于MME/SGSN的diameter請求消息中的各參數的合法性進行判斷，并在各特征參數不合法時，丟棄該diameter請求消息或返回攜帶錯誤碼的diameter響應消息給MME/SGSN，從而能有效阻斷黑客利用各個攻擊路徑對HSS或邊緣節點進行攻擊，提高通信安全。

在一個可能的設計中，上述特征參數包括MME或SGSN的源互聯網協議號(IP)地址；HSS或邊緣節點判斷該diameter請求消息是否從漫游接口接收，包括：判斷源IP地址和接收該diameter請求消息的HSS或邊緣節點的IP地址是否屬于同一網段；從而當源IP地址和接收diameter請求消息的HSS或邊緣節點的IP地址不屬于同一網段時，HSS或邊緣節點確定接收該diameter請求消息是從漫游接口收到。

在一個可能的設計中，上述特征參數包括MME或SGSN的源IP地址，HSS或邊緣節點判斷源IP地址是否屬于HSS或邊緣節點所屬運營商授權的IP地址集合；當源IP地址不屬于HSS或邊緣節點所屬運營商授權的IP地址集合時，HSS或邊緣節點確定所述diameter請求消息是從漫游接口收到。