使用DIAMETER代理和信号传输点(STP)来实现间接的通用分组无线电服务(GPRS)隧道协议(GTP)防火墙过滤的方法、系统和计算机可读介质

摘要

一种用于实现间接的GTP防火墙过滤的方法包括：使用信令消息路由节点，利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的IMSI和VPLMN ID来动态地填充间接GTP核心GTP‑C防火墙过滤数据库。该方法还包括接收响应于GTP‑C消息而生成的信用控制请求初始CCR‑I消息。该方法还包括从CCR‑I消息中提取IMSI和VPLMN ID。该方法还包括使用从CCR‑I消息中提取的IMSI来访问间接GTP‑C防火墙过滤数据库。该方法还包括确定间接GTP‑C防火墙过滤数据库中存在与IMSI对应的记录。该方法还包括确定记录中的VPLMN ID与从CCR‑I消息中提取的VPLMN ID不匹配。该方法还包括响应于确定记录中的VPLMN ID与从CCR‑I消息中提取的VPLMN ID不匹配，拒绝CCR‑I消息。

说明书

优先权要求

本申请要求于2019年12月31日提交的美国专利申请序列No.16/732,098的优先权权益，其公开内容通过引用整体并入本文。

技术领域

本文描述的主题涉及为GTP核心(GTP-C)信令流量实现防火墙功能。更具体地，本文描述的主题涉及用于实现间接的GTP防火墙过滤以使用一个或多个Diameter代理和STP来防止基于欺诈的攻击而不拦截GTP-C漫游信令的方法、系统和计算机可读介质。

背景技术

GTP是一组基于IP的通信协议，用于在全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和5G网络内承载GPRS流量。GTP-C在演进分组核心(EPC)网络内被用于服务网关(SGW)和分组网关(PGW)之间的信令。GTP-C控制平面消息在SGW和PGW之间交换，以将服务网关能力信息传送给PGW、创建更新和删除GTP隧道，以及用于路径管理。

由于PGW被用于互联网流量，因此它可能会受到来自于冒充为出站漫游订户(outbound roaming subscriber)提供服务的SGW的节点的基于欺诈的攻击。出站漫游订户是服务提供商网络的、正在另一个服务提供商的网络中漫游的订户。出站漫游订户可以与入站漫游订户区分开来，在入站漫游订户中，另一个网络的订户正在服务提供商的归属网络中漫游。与出站移动订户相关的信令尤其容易受到基于欺诈的攻击，因为冒充为特定订户提供服务的服务网关或移动性管理实体(MME)的攻击者可能使用该订户的国际移动订户身份(IMSI)来冒充订户，该国际移动订户身份(IMSI)可能不难获得。通过使用真实订户的IMSI，攻击者可以与分组网关建立GTP会话，并至少拒绝向真实订户提供服务。攻击者还可以从订户的归属网络(home network)获得订户信息。防范此类攻击的一种可能方式是在归属网络的PGW上实现GTP-C防火墙功能。然而，考虑到可能部署在网络上的PGW的数量以及PGW的处理资源，在PGW处实现GTP-C防火墙功能可能对网络运营商来说是一种负担。例如，如果PGW被配备为对GTP-C消息进行筛查(screening)，那么PGW可能必须联系归属订户服务器(HSS)来核实订户是否正在外漫游，然后确定是否允许来自该漫游网络的特定MME或服务网关(SGW)的GTP-C会话。这样的处理对PGW和HSS二者来说都是负担。PGW将需要拦截GTP-C信令、查询HSS、接收来自HSS的响应，并基于该响应来确定是否允许GTP会话。这将是非标准的PGW行为，因为在PGW和HSS之间不存在现有的标准所定义的接口。HSS需要处理来自网络中每个PGW的针对每个GTP-C会话的查询和响应。

因此，需要在不拦截GTP-C漫游信令的情况下以减少核心网络节点上的处理负担的方式来实现GTP防火墙功能。

发明内容

一种用于实现间接的GTP防火墙过滤的方法包括：使用信令消息路由节点，利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的IMSI和VPLMN ID，来动态地填充间接GTP-C防火墙过滤数据库。该方法还包括接收响应于GTP-C消息而生成的CCR-I消息。该方法还包括从CCR-I消息中提取IMSI和VPLMN ID。该方法还包括使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库。该方法还包括确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中。该方法还包括确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配。该方法还包括，响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配，拒绝CCR-I消息。

根据本文描述的主题的另一方面，使用信令消息路由节点来动态地填充间接GTP-C防火墙过滤数据库包括：在信令消息路由节点处，接收Diameter更新位置请求(ULR)消息、从Diameter ULR消息中提取IMSI和VPLMN ID、临时地存储从Diameter ULR消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的，以及响应于确定对订户的位置的更新是成功的，在间接GTP-C防火墙过滤数据库中将从Diameter ULR消息中提取的VPLMN ID与从Diameter ULR消息中提取的IMSI相关联。

根据本文描述的主题的又一方面，信令消息路由节点包括Diameter边缘代理(DEA)。

根据本文描述的主题的又一方面，信令消息路由节点包括Diameter中继代理(DRA)。

根据本文描述的主题的又一方面，动态地填充间接GTP-C防火墙过滤数据库包括：在信令消息路由节点处，接收移动应用部分(MAP)更新位置请求消息、从MAP更新位置请求消息中提取IMSI和VPLMN ID、临时地存储从MAP更新位置请求消息中提取的IMSI和VPLMNID、确定对订户的位置的更新是成功的，以及响应于确定对订户的位置的更新是成功的，在间接GTP-C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID相关联。

根据本文描述的主题的又一方面，信令消息路由节点包括信号传输点(STP)。

根据本文描述的主题的又一方面，间接GTP-C防火墙过滤数据库在与信令消息路由节点分开的计算平台上实现。

根据本文描述的主题的又一方面，间接GTP-C防火墙过滤数据库与信令消息路由节点共置(co-located)。

根据本文描述的主题的又一方面，间接GTP-C防火墙过滤数据库位于与信令消息路由节点以及归属位置寄存器(HLR)或归属订户服务器(HSS)分开的计算平台上。

根据本文描述的主题的又一方面，用于间接GTP-C防火墙过滤的方法包括：利用从移动性管理信令消息中提取的国际移动装备标识符(IMEI)来动态地填充GTP-C防火墙过滤数据库、从CCR-I消息中提取IMEI值，以及使用GTP-C防火墙过滤数据库中的IMEI来筛查CCR-I消息。

根据本文描述的主题的又一方面，一种用于实现间接通用分组无线电服务(GPRS)隧道协议(GTP)防火墙过滤的系统。该系统包括间接GTP核心(GTP-C)防火墙过滤数据库。该系统还包括至少一个信令消息路由节点，其被配置为：使用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符(IMSI)和访问的公共陆地移动网络标识符(visited public land mobile network identifier,VPLMN ID)来动态地填充间接GTP-C防火墙过滤数据库、接收响应于GTP-C消息而生成的信用控制请求初始(creditcontrol request-initial,CCR-I)消息、从CCR-I消息中提取IMSI和VPLMN ID、使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库、确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中、确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配，以及响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配而拒绝CCR-I消息。

根据本文描述的主题的又一方面，至少一个信令消息路由节点被配置为通过以下操作来动态地填充间接GTP-C防火墙过滤数据库：接收Diameter更新位置请求(ULR)消息、从Diameter ULR消息中提取IMSI和VPLMN ID、临时地存储从Diameter ULR消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的，以及响应于确定对订户的位置的更新是成功的，在间接GTP-C防火墙过滤数据库中将从Diameter ULR消息中提取的VPLMN ID与从Diameter ULR消息中提取的IMSI相关联。

根据本文描述的主题的又一方面，至少一个信令消息路由节点包括Diameter边缘代理(DEA)。

根据本文描述的主题的又一方面，至少一个信令消息路由节点包括Diameter中继代理(DRA)。

根据本文描述的主题的又一方面，至少一个信令消息路由节点被配置为通过以下操作来动态地填充间接GTP-C防火墙过滤数据库：接收移动应用部分(MAP)更新位置请求消息、从MAP更新位置请求消息中提取IMSI和VPLMN ID、临时地存储从MAP更新位置请求消息中提取的IMSI和VPLMN ID、确定对订户的位置的更新是成功的，以及响应于确定对订户的位置的更新是成功的，在间接GTP-C防火墙过滤数据库中将从MAP更新位置请求消息中提取的IMSI与VPLMN ID相关联。

根据本文描述的主题的又一方面，至少一个信令消息路由节点包括用于动态地填充GTP-C防火墙过滤数据库的信号传输点(STP)和Diameter代理，用于接收响应于GTP-C消息而生成的CCR-I消息、从CCR-I消息中提取IMSI和VPLMN ID、使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库、确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中、确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配，以及响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMN ID不匹配而拒绝CCR-I消息。

根据本文描述的主题的又一方面，间接GTP-C防火墙过滤数据库与信令消息路由节点共置。

根据本文描述的主题的又一方面，间接GTP-C防火墙过滤数据库位于与信令消息路由节点以及归属位置寄存器(HLR)或归属订户服务器(HSS)分开的计算平台上。

根据本文描述的主题的又一方面，至少一个信令消息路由节点被配置为使用从移动性管理信令消息中提取的国际移动装备标识符(IMEI)来动态地填充GTP-C防火墙过滤数据库、从CCR-I消息中提取IMEI值，以及使用GTP-C防火墙过滤数据库中的IMEI来筛查CCR-I消息。

根据本文描述的主题的又一方面，提供了一种非暂态计算机可读介质，其上存储有可执行指令，该指令在由计算机的处理器执行时，控制计算机执行步骤。这些步骤包括：使用信令消息路由节点，利用从用于更新出站漫游订户的位置的移动性管理信令消息中提取的国际移动订户标识符(IMSI)和访问的公共陆地移动网络标识符(VPLMN ID)，来动态地填充间接通用分组无线电服务(GPRS)隧道协议核心(GTP-C)防火墙过滤数据库。这些步骤还包括接收响应于GTP-C消息而生成的信用控制请求初始(CCR-I)消息。这些步骤还包括从CCR-I消息中提取IMSI和VPLMN ID。这些步骤还包括使用从CCR-I消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库。这些步骤还包括确定与IMSI对应的记录存在于间接GTP-C防火墙过滤数据库中。这些步骤还包括确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMNID不匹配。这些步骤还包括：响应于确定记录中的VPLMN ID与从CCR-I消息中提取的VPLMNID不匹配而拒绝CCR-I消息。

本文描述的主题可以用硬件、软件、固件或其任何组合来实现。由此，如本文使用的术语“功能”、“节点”或“模块”是指硬件，其还可以包括软件和/或固件组件，用于实现所描述的特征。在一个示例性实施方式中，本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现，该指令在由计算机的处理器执行时，控制计算机执行步骤。适用于实现本文描述的主题的示例性计算机可读介质包括非暂态计算机可读介质，诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外，实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布在多个设备或计算平台上。

附图说明

图1是图示出站漫游订户在4G网络中与归属网络执行更新位置过程的示例性消息传递的网络图；

图2是图示用于在4G网络中为出站漫游订户验证GTP-C创建会话请求的示例性消息传递的网络图；

图3是图示与在第二代/第三代(2G/3G)网络中的出站漫游订户与归属网络执行更新位置过程相关联的示例性消息传递的网络图；

图4是图示与验证2G/3G网络中的出站漫游订户的GTP PDP上下文创建请求相关联的示例性消息传递的网络图；

图5是图示DEA/DRA/STP节点的示例性体系架构的框图，该节点用于创建GTP-C筛查数据库并用于使用该数据库来实现GTP-C防火墙功能而不拦截GTP-C信令；

图6是图示用于动态地将条目填充到GTP-C筛查数据库的示例性过程的流程图；以及

图7是图示用于在不拦截GTP-C漫游信令的情况下实现GTP-C防火墙功能的示例性过程的流程图。

具体实施方式

本文描述的主题使用由DEA、DRA和/或STP填充的间接GTP-C防火墙过滤数据库并使用该数据库来筛查GTP-C流量而不拦截GTP-C漫游信令，从而实现GTP-C防火墙功能。当攻击者试图伪装成服务于合法出站漫游订户的节点时，这样的数据库提供基于GTP-C信令的欺诈检测。由于该解决方案不需要拦截GTP-C漫游信令流量，因此简化了PGW的实现。本文描述的解决方案提供了基于响应于GTP-C漫游信令流量而发送到DEA和DRA的Diameter消息来间接地检测DEA和DRA处的欺诈性GTP-C漫游信令流量的能力。DEA和DRA可以接收响应于攻击者发送的GTP-C会话创建请求而生成的创建连接请求消息。DEA和DRA可以利用订户PLMN信息，该订户PLMN信息是从Diameter位置更新信令事务所获得的并在间接GTP-C防火墙过滤数据库中维护，或是从SS7信号消息传递流量获得的订户漫游信息中所获得的并由STP存储在间接GTP-C防火墙过滤数据库中。

如上所述，GTP-C流量被用于会话管理、信息管理和位置管理，其使得UE能够访问互联网。通过为此类流量提供高效的筛查机制，核心网络安全性得以增强，并且是以比基于GTP-C流量在PGW处实现此类筛查更加高效的方式。

图1是图示与执行更新位置过程的出站漫游订户相关联的示例性网络节点和消息传递的网络图。参考图1，当订户漫游到所访问的网络时，移动性管理实体(MME)或服务GPRS支持节点(SGSN)100将发起与核心网络的Diameter更新位置事务。在所示示例中，MME/SGSN100向订户的归属网络发送更新位置请求。该更新位置请求旨在通过归属网络中的归属订户服务器(HSS)102来更新订户的位置。具体地，根据第三代合作伙伴计划(3GPP)TS29.272，更新位置过程在MME和HSS之间以及SGSN和HSS之间被使用，以更新HSS中的位置信息。下面所示的表1图示了可以包括在更新位置请求消息中的示例性参数。

表1：更新位置请求AVP

在表1中可以看出，更新位置请求消息包括作为强制性参数的订户的IMSI和访问的PLMN标识符。这些参数可以被用于执行间接GTP-C防火墙过滤，如下文将详细描述的。另一个可能是可以被用于执行间接GTP-C防火墙过滤的更多信息元素的参数是IMEI。

DEA 104从MME/SGSN 100接收更新位置请求消息，并且可以临时地存储IMSI、访问的PLMN(VPLMN)ID和IMEI，直到该信息被HSS验证。DEA 104初始地可能不会将这些参数存储在其间接GTP-C防火墙过滤数据库中的一个原因是更新位置请求消息可能是由攻击者发起的。只有在HSS成功验证之后，DEA 104才会将标识出站漫游订户的位置的这些参数存储在其GTP-C筛查数据库中。

在呼叫流程图的步骤2中，DEA 104将ULR消息转发到核心Diameter中继代理(DRA)106。在步骤3中，核心DRA 106将S6A ULA消息转发到HSS 102。

HSS 102可以验证ULR消息，并且，如果验证成功，那么更新在HSS 102维护的数据库中的订户的位置。在步骤4中，HSS 102向核心DRA 106发送指示成功更新订户位置的更新位置应答(ULA)消息。在步骤5中，核心DRA 106将此S6A ULA消息转发到DEA 104。在步骤6中，DEA 104用先前从ULR消息中提取的IMSI、VPLMN ID(以及可选地，IMEI)来更新间接GTP-C防火墙过滤数据库108。如下文将更详细描述的，间接GTP-C防火墙过滤数据库108中的记录将被用于筛查GTP-C流量而不需要拦截GTP-C流量。在步骤7中，DEA 104将ULA消息转发到MME/SGSN 100。

还应该注意的是，图1还包括STP 110。STP 110也可以利用从SS7信令消息中获得的订户位置信息来动态地填充间接GTP-C防火墙过滤数据库108。

下面所示的表2图示了在图2中所示的呼叫流程之后可以在间接GTP-C防火墙过滤数据库108中填充的条目的示例。

表2：间接GTP-C防火墙过滤数据库记录示例

在表2中，该记录包括出站漫游订户的IMSI、访问的网络的身份(即，VPLMN ID)和IMEI。

一旦利用订户信息填充了数据库，该数据库就可以被用于筛查GTP-C消息。图2是图示使用间接GTP-C防火墙过滤数据库108来间接筛查GTP-C消息的网络和消息流程图。参考图2，在步骤1中，攻击者伪装成为虚构的出站移动订户提供服务的服务网关。这种攻击的目的可能是在攻击者和核心网络节点(诸如分组网关202之类)之间创建会话以将攻击流量发送到核心网络。攻击者通过发送带有IMSI和服务网络的VPLMN ID的GTP-C创建会话请求消息来发起攻击。在一个示例中，IMSI可以是在网络中实际供给的订户的IMSI，并且VPLMNID可以是与攻击者对应的虚假网络而不是当前服务于该出站漫游订户的网络。作为分组数据网络会话建立过程的一部分，GTP-C创建会话请求被发送到归属网络分组网关202。GTP-C创建会话请求可以包括存储有VPLMN ID的用户位置信息元素。如果GTP-C创建连接请求是来自真实出站漫游订户的合法创建连接请求，那么该VPLMN ID可以是订户正在其中漫游的VPLMN的ID。然而，如果GTP-C创建连接请求源自攻击者，那么VPLMN ID可能是标识攻击者所位于的网络的VPLMN。GTP-C创建连接请求中可能包含的附加信息元素是IMSI，IMSI包含UE的15位标识符。在这个示例中，假设攻击者已经获得真实出站漫游订户的IMSI，并在GTP-C创建会话请求中插入虚假VPLMN ID。

在消息流程图的步骤2中，PGW 202接收GTP-C创建会话请求，并且作为响应，制定并发送信用控制请求初始(CCR-I)消息，该CCR-I消息寻址到策略和计费规则功能(PCRF)204。CCR-I消息从PGW发送到PCRF，以便为承载者请求策略和计费控制规则，并供给IP流移动性路由规则。CCR-I消息包含订阅ID属性值对(ADP)，其存储订户的IMSI。CCR-I消息还包括3GPP-location-info AVP，其存储对订户的当前位置的指示，诸如为订户服务的网络的VPLMN ID。在这个示例中，VPLMN ID可以是由SGW 200插入的VPLMN ID，而不是为订户服务的实际VPLMN ID。

在消息流程图的步骤3中，DRA 106使用在CCR-I消息中接收到的IMSI来在间接GTP-C防火墙过滤数据库108中执行查找。在这个示例中，假设记录存在于间接GTP-C防火墙过滤数据库108中并且VPLMN ID存在于该记录中。相应地，DRA 106从间接GTP-C防火墙过滤数据库108检索出与该IMSI对应的VPLMN ID。在消息流程图的步骤4中，DRA 106将从数据库记录中提取的VPLMN ID与在CCR-I消息中接收到的VPLMN ID进行比较。在这个示例中，假设在数据库108中为该IMSI所存储的VPLMN ID与在CCR-I消息中接收到的VPLMN ID不同。因此，在步骤5中，DRA 108向PGW 202发送指示与VPLMN ID不相匹配的消息，或者，替代地，如果数据库108中不存在与IMSI对应的记录，那么发送指示未找到记录的消息。从核心DRA106到PGW 202的消息可以是信用控制应答初始(CCA-I)消息，其具有指示应该拒绝该GTP-C创建会话请求的结果代码。在消息流程图的步骤6中，PGW 202创建并向SGW 200发送GTP-C创建会话响应，其具有指示APN访问被拒绝-未订阅的错误代码。

因此，通过使用图2中的步骤，从Diameter更新位置事务获得的订户漫游数据被用于间接地筛查欺诈性GTP-C流量。这种方法比直接在PGW 202处实现筛查(要求PGW 202询问HLR或HSS以获得订户的位置或将订户的位置本地存储在PGW处)更优。在这样的示例中，DEA和/或DRA可以在不拦截GTP消息的情况下执行基于GTP的欺诈检测。图1和图2中所示的解决方案避免了移动网络运营商对专用GTP防火墙的需求。相反，DEA 104和/或DRA 106通过对响应于GTP-C创建会话请求流量而生成的创建连接请求流量进行阻止来间接地实现GTP防火墙。

虽然在图1和图2中所示的示例中，DEA使用订户的当前位置来动态地填充间接GTP-C防火墙过滤数据库108，并且DRA 106使用数据库108中的记录来执行GTP-C防火墙功能，但是本文描述的主题不限于这样的实施方式。在替代实施方式中，DEA 104可以用从更新位置事务中获得的订户位置信息来动态地填充间接GTP-C防火墙过滤数据库108，并且DEA 104可以使用存储在数据库108中的这些记录来筛查创建连接流量。

在又一个替代实施方式中，可以使用由信号传输点(诸如STP 110)所获得的订户位置信息来填充数据库108。图3是图示与使用由STP 110获得的订户位置信息来填充间接GTP-C防火墙过滤数据库108相关联的示例性消息传递的网络图。参考图3，在消息流程图的第1行中，当订户漫游到所访问的2G或3G网络中时，为访问的网络中的漫游订户提供服务的访问者位置寄存器(VLR)300向该订户的归属网络中的归属位置寄存器(HLR)302发送移动应用部分(MAP)更新位置请求。该map更新位置请求消息包括订户的IMSI和标识订户当前正在漫游的访问的网络x的VPLMN ID。STP 110接收该map更新位置请求，并临时地存储用于此事务的该IMSI和VPLMN ID。在消息流程图的第2行中，STP 110将MAP更新位置请求转发到HLR 302。HLR 302验证该更新位置请求，并且如果得到验证，则在其本地位置数据库中更新该订户的位置。

在消息流程图的第3行中，HLR 302向VLR 300发送指示订户位置成功更新的MAP更新位置响应。HLR 302将更新位置响应转发到STP 110。

在消息流程图的步骤4中，响应于接收到map更新位置请求，STP 110利用由STP110先前存储的IMSI和VPLMN ID来更新间接GTP-C防火墙过滤数据库108。更新间接GTP-C防火墙过滤数据库108可以包括确定是否存在与该IMSI对应的记录。如果存在与该IMSI对应的记录，那么STP 110可以利用在map更新位置请求消息中接收到的VPLMN ID来更新记录中的VPLMN ID。如果数据库108不包括与IMSI对应的记录，那么STP 110可以在数据库中创建新记录，该新记录将该IMSI映射到在更新位置请求消息中接收到的VPLMN ID。STP 110也可以将IMEI存储在记录中。在被更新或被新创建后，记录可能会如上表1中所示。

与图1中所示的示例类似，STP 110仅在从HLR接收到更新位置事务已成功的确认后才用VPLMN ID和IMSI之间的映射来填充数据库108。等待直到接收到更新位置事务成功的确认的原因是降低攻击者可能冒充VLR 300并用订户的虚假位置信息填充数据库108的可能性。

此外，在图3中所示的示例中，数据库108是由STP填充的。可以理解，数据库108可以由物理或虚拟STP填充而不脱离本文描述的主题的范围。这种STP可以是驻留在服务提供商的网络中的物理现场部署节点，或者是驻留在由服务提供商或云服务提供商托管的网络云中的虚拟STP。

图4是图示用于为2G/3G网络中的出站漫游订户筛查GTP-C流量的示例性消息传递的网络和消息流程图。参考图4，攻击者伪装成为2G或3G访问的网络中的出站移动订户提供服务的SGSN 400。攻击者在步骤1中通过向位于订户的归属网络中的GGSN 402发送GTP-C创建PDP上下文请求消息来开始攻击。该GTP-C创建PDP上下文请求包括IMSI以及在本示例中标识攻击者的网络的VPLMN ID，而不是当前对与该IMSI对应的订户进行服务的VPLMN ID。

GGSN 402接收GTP-C创建PDP上下文请求消息，并制定CCR-I消息并将该CCR-I消息发送给PCRF 204。CCR-I消息包括来自GTP-C消息的IMSI、VPLMN ID和IMEI。GGSN 402将CCR-I消息转发到DRA 106。

在消息流程图的步骤4中，DRA 106将存储在间接GTP-C防火墙过滤数据库108中的与该IMSI对应的VPLMN ID与从CCR-I消息中提取的VPLMN ID进行比较。在本示例中，假设IMSI和VPLMN ID之间不匹配。因此，在第5行，DRA 106通过向GGSN 402发送具有5XXX响应代码的CCA-I消息来拒绝该CCR-I消息。响应于接收到具有该拒绝响应代码的CCA-I消息，GGSN402向攻击者400发送指示APN访问被拒绝-未订阅的创建PDP上下文响应。因此，通过使用图4中所示的步骤，由STP填充的数据库可以被用来筛查在访问的2G或3G网络中伪装成SGSN的攻击者。

图5是图示用于实现上文关于图1至图4描述的主题的DEA/DRA/STP 104、106或110的示例性内部体系架构的框图。在图5中所示的示例中，DEA/DRA/STP 104、106或110包括Diameter路由以及SS7路由能力。可以理解，这些功能可以在同一真实或虚拟网络节点中实现，或者可以在分开的网络节点中实现。参考图5中所示的体系架构，DEA/DRA/STP 104、106或110包括多个消息处理器(MP)500、502、504和506。每个消息处理器500、502、504和506包括至少一个处理器508和存储器510。每个消息处理器500、502、504和506可以使用印刷电路板和用于互连安装在电路板上的部件的对应迹线来实现。消息处理器500、502、504和506可以使用内部通信介质512相互通信，该内部通信介质在一个示例中是以太网通信介质。

消息处理器500实现DEA和/或DRA功能。因此，消息处理器500包括实现diameter连接和路由功能的Diameter协议栈514。因此，Diameter栈514可以发起或响应与Diameter对等方的Diameter连接，并基于消息中的Diameter层信息来对消息进行路由。

消息处理器502实现SS7路由功能。因此，消息处理器502包括SS7协议栈516，用于基于消息中的消息传输部分(MTP)级别3信息来对SS7消息进行路由。SS7栈516还可以实现用于在IP网络上携带SS7消息的SIGTRAN协议。

消息处理器504和506各自使用间接GTP-C防火墙过滤数据库108来实现GTP-C防火墙功能。在所示示例中，消息处理器504和506可以相同地供给有GTP防火墙数据库108的副本，并且消息处理器500和502可以在消息处理器500和506之间对需要GTP-C防火墙筛查的消息进行负载平衡。此外，每个消息处理器504和506包括间接GTP-C防火墙过滤数据库控制器/筛查器518，用于使用填充在数据库108中的订户位置信息来对创建连接请求消息进行筛查，以及用于使用从漫游订户的Diameter或SS7更新位置信息接收到的信息来动态地填充数据库108。

图6是图示用于动态地填充间接GTP-C防火墙过滤数据库的示例性过程的流程图。参考图6，在步骤600中，接收到用于更新出站漫游订户的位置的移动性管理。例如，如果网络使用Diameter来更新订户的位置，那么该移动性管理消息可以是来自为漫游移动订户服务的MME或SGSN的用于更新存储在HSS中的订户位置的更新位置请求消息。如果网络使用SS7消息传递来更新订户位置，那么该移动性管理消息可以是来自VLR的用于向HLR更新订户位置的MAP更新位置请求。

在步骤602中，该过程包括从消息中提取VPLMN ID和IMSI并临时地存储它们。例如，DEA 104、DRA 106或STP 110可以将从Diameter或SS7更新位置请求中提取出的订户的IMSI和VPLMN ID临时地存储在DEA 104、DRA 106或STP 110本地的存储器中。在步骤604中，确定更新位置是否成功。例如，DEA 104、DRA 106或STP 110可以从HLR或HSS接收更新位置应答或响应消息，该更新位置应答或响应消息指示成功地或不成功地向HLR或HSS更新订户位置。如果更新位置应答或请求消息指示对订户位置的更新是不成功的，那么控制进行到步骤606，在该步骤中，在步骤602中存储的IMSI和VPLMN ID被丢弃。

如果在步骤604中确定更新位置事务是成功的，那么控制进行到步骤608，在该步骤中，使用IMSI来访问间接GTP-C防火墙过滤数据库。例如，DEA 104、DRA 106或STP 110可以使用从更新位置消息中提取的IMSI来访问间接GTP-C防火墙过滤数据库108。

在步骤610处，确定数据库中是否存在记录。如果数据库中存在记录，那么控制进行到步骤612，在该步骤中，用来自消息的VPLMN ID来更新记录。如果不存在记录，那么控制进行到步骤614，在该步骤中，新记录被添加，该新纪录将IMSI映射到来自消息的VPLMN ID。

图7图示了使用动态填充的间接GTP-C防火墙过滤数据库来实现GTP-C欺诈检测和筛查的示例性过程。参考图7，在步骤700中，接收到响应于GTP-C创建上下文请求消息而生成的CCR-I消息。例如，DEA 104或DRA 106可能从合法订户或从攻击者接收到与GTP-C创建上下文请求相关的CCR-I消息。

在步骤702中，该过程包括从消息中提取IMSI、VPLMN ID和IMEI。在步骤704中，使用该IMSI来访问间接GTP-C防火墙过滤数据库。

在步骤706中，如果存在记录，那么控制进行到步骤708，在该步骤中，确定来自消息的VPLMN ID是否与数据库记录中的VPLMN ID匹配。如果VPLMN ID与数据库记录中的VPLMN ID不匹配，那么控制进行到步骤710，在该步骤中，该CCR-I消息被拒绝。如果消息中的VPLMN ID与数据库中为IMSI存储的VPLMN ID匹配，那么控制进行到步骤712，在该步骤中，将CCR-I消息转发到PCRF。例如，DEA 104或DRA 106可以将CCR-I消息转发到PCRF 204。PCRF 204可以为会话确定适当的策略，并利用指示会话成功建立的信用控制请求-应答(CCR-A)消息来进行响应。DEA 104或DRA 106可以将该CCR-A消息转发到发送了该CCR-I消息的网关GPRS支持节点(GGSN)。该GGSN可以对GTP-C消息进行响应，指示成功创建PDP上下文。

因此，通过使用本文描述的过程，动态填充的间接GTP-C防火墙过滤数据库可以被DRA、DEA和/或STP访问，并且被用于间接实现GTP-C防火墙。这样的实施方式不需要拦截GTP-C信令流量或由PGW实现GTP-C筛查功能。此外，由于间接GTP-C防火墙过滤数据库是基于从订户的归属HLR或HSS接收到的应答消息而动态供给的，因此与手动填充方法相比，填充数据库所需的工作减少。

以下每个参考文献的公开内容通过引用整体并入本文：

参考文献

1.3GPP TS 29.002,“Technical Specification Group Core Network andTerminals；Mobile Application Part(MAP)specification,”(Release 15)V15.5.0(2019-06).

2.3GPP TS 29.212,“Technical Specification Group Core Network andTerminals；Policy and Charging Control(PCC)；Reference points,”(Release 16)V16.1.0(2019-09).

3.3GPP TS 29.272,“Technical Specification Group Core Network andTerminals；Evolved Packet System(EPS)；Mobility Management Entity(MME)andServing GPRS Support Node(SGSN)related interfaces based on Diameterprotocol,”(Release 16)V16.0.0(2019-09).

应该理解的是，可以改变当前公开的主题的各种细节而不脱离当前公开的主题的范围。此外，以上描述仅用于说明目的，并非用于限制。