本發明專利技術提供了一種會話控制方法、裝置和GPRS網關控制節點GGSN,其中,所述GGSN用于進行私網地址與公網地址間的映射轉換,并維護所述私網地址與公網地址間的映射條目列表;所述方法包括:檢測所述GGSN是否接收到請求釋放分組數據業務的分組數據協議PDP去激活消息;當所述檢測結果指示所述GGSN接收到所述PDP去激活消息時,釋放所述PDP去激活消息中攜帶的私網IP地址,并在所述映射條目列表中刪除與所述私網IP地址相對應的映射條目。本發明專利技術能夠在GGSN上實現網絡地址轉換,且能夠在釋放私網IP地址的同時,刪除與所述私網IP地址相對應的網絡地址轉換映射條目。
【技術實現步驟摘要】
【專利摘要】本專利技術提供了一種會話控制方法、裝置和GPRS網關控制節點GGSN,其中,所述GGSN用于進行私網地址與公網地址間的映射轉換,并維護所述私網地址與公網地址間的映射條目列表;所述方法包括:檢測所述GGSN是否接收到請求釋放分組數據業務的分組數據協議PDP去激活消息;當所述檢測結果指示所述GGSN接收到所述PDP去激活消息時,釋放所述PDP去激活消息中攜帶的私網IP地址,并在所述映射條目列表中刪除與所述私網IP地址相對應的映射條目。本專利技術能夠在GGSN上實現網絡地址轉換,且能夠在釋放私網IP地址的同時,刪除與所述私網IP地址相對應的網絡地址轉換映射條目。【專利說明】一種會話控制方法、裝置和GPRS網關控制節點GGSN
本專利技術涉及通信領域,尤其涉及一種會話控制方法、裝置和GPRS網關控制節點GGSN。
技術介紹
現有移動分組域網絡架構如圖1所示,包括: 服務GPRS支持節點(Serving GPRS Support Node,SGSN),用于保存用戶的路由區位置信息,負責安全和接入控制,SGSN通過Gb 口于第二代移動通信系統的BSS連接,通過Iu 口與第三代移動通信的RNS系統連接; 網關GPRS支持節點(Gateway GPRS Support Node,GGSN),主要是起網關作用功能,GGSN負責對終端發起的PDP激活請求進行響應,為終端分配運營商私有網絡IP地址,建立PDP會話,在PDP會話中進行流量計費和終端數據包轉發,直到用戶發起PDP去激活請求; Gi防火墻,負責對終端會話進行網絡地址轉換(Network Address Translat1n,NAT),為解決IP地址短缺問題,在網絡設備上(通常為防火墻),進行私網地址與公網地址映射,不同的私網地址可映射到相同公網地址,并以公網地址的端口號區分不同私網地址和不同的數據業務流將GGSN分配給終端的私有IP地址映射為互聯網的公網IP地址和公網端口號,所以Gi防火墻主要是起到了公私網地址轉換的功能。 這種NAT功能對用戶終端有一定的安全保護作用,此NAT映射關系具有一定的生命周期,這樣可以避免同一個數據流的傳送時間內不必多次建立,以提高數據傳送效率,NAT轉換條目的終結一般是由Gi防火墻內根據不同的協議配置的定時器來進行控制,當用戶數據流在這個規定的時間內沒有任何上下行數據傳送的時候,將由Gi防火墻清除該NAT轉換條目,即關閉當前會話,釋放相應防火墻NAT資源。 由于GGSN與Gi防火墻沒有相關信令交互,所以用戶終端PDP去激活后,該用戶私網地址在Gi防火墻對應的NAT映射條目不會被同步清除。 因此,這種工作機制存在以下兩個問題: <問題一 > 造成Gi防火墻資源浪費 由于用戶的下線消息事件和防火墻的NAT映射條目沒有實現同步,因此,當用戶下線后其NAT映射關系仍然會保持一定的時間,不能及時得到釋放,隨著手機用戶的不斷增加以及上網流量的日益增長,會造成防火墻資源的一定浪費。 <問題二 >超流量計費攻擊會造成用戶超流量計費 超流量計費攻擊(GPRS Over Billing,G0B),是利用移動互聯網結構漏洞,通過移動IP接入對任意客戶發送未經請求和確認的數據流,形成超額計費的惡意攻擊現象,將給移動網絡設備增加額外負荷,給客戶帶來損失。全球符合GSM/UMTS架構的移動網絡均存此漏洞,防范成本十分高昂。 經過深入研究,目前已經發現并證明了這種網絡攻擊行為,舉例說明如下。 如圖2所示,用戶A進行PDP激活,GGSN分配私網IP (10.1.1.1)給A,在Gi防火墻NAT映射成公網IP (117.1.1.1 ),登錄某服務器,交互數據流; 用戶APDP去激活后,GGSN釋放了用戶A端私有IP地址,但服務器數據仍然高速下行發送,堵塞117.1.1.1的接口地址,使得用戶A在Gi防火墻的NAT轉換映射關系仍然保留,無法老化和拆除; 一段時間之后用戶B進行PDP激活,GGSN分配給B和之前A相同IP (10.1.1.1),由于該私網NAT映射關系在Gi防火墻處仍然存在,用戶B將立即接收到服務器下發的數據流,導致無辜的用戶B產生超額流量資費(GGSN產生流量計費話單)。 所以,用戶手機終端的PDP去激活消息事件沒有與Gi防火墻的NAT映射同步是造成這種GOB網絡攻擊的問題所在,經過在現網模擬實驗,互聯網中的任何PC均可利用這種機制缺陷,對手機用戶實施攻擊。這種新型GOB攻擊對GPRS網絡及客戶危害極大。 為了解決上述問題,現有的技術方案集中在與一種特殊職能的防火墻之間建立會話同步機制來解決以上問題,該防火墻簡稱GTP防火墻。這種GTP防火墻部署在GPRS網絡中的Gn接口(Gn接口是同一公共陸地移動網絡PLMN中SGSN與SGSN間以及SGSN與GGSN間的接口),如圖3所示,監測途徑的用戶GTP流量,在偵測到SGSN和GGSN之間傳遞的某個用戶的TOP Context去激活信令(這種信令表示TOP Context的去激活事件信息)后,使用會話同步協議,例如NetScreen私有的NSGP協議,IETF的PCP協議的信令,通知Gi防火墻將用戶相應的NAT映射表條目和的IP記錄清除。 但使用GTP防火墻存在以下問題: < 問題一 > 一般情況下,GTP防火墻和Gi防火墻可能來自不同廠家,在會話同步協議未能標準化的情況下,協調這兩種廠家設備之間的會話同步協議是非常困難的; < 問題二 > 在漫游情況下,GTP防火墻會部署在用戶歸屬運營商網絡中,Gi防火墻是部署在用戶漫游運營商網絡中的,實現這兩種設備跨運營商之間的協調更加是難于達成; <問題三> 用戶Gn流量在網絡中的流經路徑跟網絡組網有關,有對Gn流量匯聚的鏈路,也有對Gn流量進行分流、備用的鏈路,全面部署GTP防火墻才能全面偵查鏈路上的Gn流量,成本較高。 <問題四> 為使GTP防火墻發送的會話同步協議信令到達Gi防火墻,GTP防火墻與Gi防火墻之間對應關系需要人工定義,需要在所有GTP防火墻定義去往不同Gi防火墻的正確路由,配置較為復雜。
技術實現思路
本專利技術的目的是提供一種會話控制方法、裝置和GPRS網關控制節點GGSN,在GGSN上實現網絡地址轉換,且能夠在釋放私網IP地址的同時,刪除與所述私網IP地址相對應的網絡地址轉換映射條目。 為了實現上述目的,本專利技術實施例提供了一種會話控制方法,用于GPRS網關控制節點GGSN,所述GGSN用于進行私網地址與公網地址間的映射轉換,并維護所述私網地址與公網地址間的映射條目列表; 所述方法包括: 檢測所述GGSN是否接收到請求釋放分組數據業務的分組數據協議PDP去激活消息; 當所述檢測結果指示所述GGSN接收到所述PDP去激活消息時,釋放所述PDP去激活消息中攜帶的私網IP地址,并在所述映射條目列表中刪除與所述私網IP地址相對應的映射條目。 上述的會話控制方法,其中,所述檢測所述GGSN是否接收到請求釋放分組數據業務的分組數據協議PDP去激活消息具體為: 檢測所述GGSN是否接收到服本文檔來自技高網...
【技術保護點】
一種會話控制方法,用于GPRS網關控制節點GGSN,其特征在于,所述GGSN用于進行私網地址與公網地址間的映射轉換,并維護所述私網地址與公網地址間的映射條目列表;所述方法包括:檢測所述GGSN是否接收到請求釋放分組數據業務的分組數據協議PDP去激活消息;當所述檢測結果指示所述GGSN接收到所述PDP去激活消息時,釋放所述PDP去激活消息中攜帶的私網IP地址,并在所述映射條目列表中刪除與所述私網IP地址相對應的映射條目。
【技術特征摘要】
【專利技術屬性】
技術研發人員:張杰,黃建平,胡衛華,藍斌,王琳,詹亞明,
申請(專利權)人:中國移動通信集團廣東有限公司,
類型:發明
國別省市:廣東;44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。