[发明专利]一种4G移动通信网络HSS信令防护方法及装置

说明书

本发明属于移动通信技术领域，特别涉及一种4G移动通信网络HSS信令防护方法及装置，该方法包括对Diameter信令协议快速识别与过滤；对筛选后的Diameter信令协议族的底层协议进行安全检测；对Diameter信令协议应用层进行合规性检测；基于Diameter信令协议的异常行为检测。该信令防护装置以无感串接或者并接的方式接入HSS设备与DRA设备之间，具备信令防护功能，包括识别过滤模块、底层信令协议检测模块、合规性检测模块和异常行为检测模块。本发明具备异常信令检测和防护能力，从信令层面保证4G移动通信网络安全。

技术领域

本发明属于移动通信技术领域，特别涉及一种4G移动通信网络HSS信令防护方法及装置。

背景技术

4G移动通信网络是当前我国建设完备、覆盖面积广，用户最多的移动通信系统。4G移动通信网络主要由接入网提供移动终端接入认证、由EPC（Evolved packet Core）提供数据业务，由专用IMS（IP Multi-media Subsystem，IP多媒体子系统）提供多媒体业务（包括VoLTE），组网如图2所示。

IMS和EPC网络中的HSS保存着用户的重要信息，在EPC网络中该实体与MME（Mobility Management Entity，移动管理实体）、IP-GW（IP-Gateway，IP网关）等实体连接，面临着外部网络信令攻击的风险；在IMS中与S/I-CSCF（Serving/ Interrogating - CallSession Control Function，服务/查询呼叫会话控制功能）和AS（Application Server，应用服务器）等实体连接，面临着误操作风险，同时也存在被预置后门和木马的可能，后门和木马可操控HSS向外发送攻击信令。

发明内容

针对现有技术中存在的问题，本发明提出了一种4G移动通信网络HSS信令防护方法及装置，对IMS和EPC网络的HSS相关接口进行信令检测及防护。

为了实现上述目的，本发明采用以下的技术方案：

本发明提供了一种4G移动通信网络HSS信令防护方法，包含以下步骤：

对Diameter信令协议快速识别与过滤；

对筛选后的Diameter信令协议族的底层协议进行安全检测；

对Diameter信令协议应用层进行合规性检测；

基于Diameter信令协议的异常行为检测。

进一步地，所述对Diameter信令协议快速识别与过滤包括：

采用SCTP的指示字段和承载内容的特殊字节来快速过滤所需检测信令。

进一步地，所述采用SCTP的指示字段和承载内容的特殊字节来快速过滤所需检测信令包括：

首先判断Chunk type字段，若该字段为0，代表为数据类型；

然后判断Payload protocol identifier字段，若该字段为46，代表为Diameter协议基础协议，若该字段为0，代表为Diameter其它应用协议；

最后通过SCTP的承载内容中的第一个字节来判断，即Diameter的版本号信息，当前Diameter只有版本1，因此，若第一个字节为1，则代表为Diameter协议，然后过滤该消息后进一步处理。

进一步地，所述对筛选后的Diameter信令协议族的底层协议进行安全检测，包括：

所述Diameter信令协议族的底层协议包括IP层协议和SCTP层协议；

对IP层检测只需要设置DRA的IP白名单，若接收到其它IP地址的数据包，则该消息判断为攻击消息，作告警处理；