本發(fā)明涉及通信領(lǐng)域，尤其涉及防止無(wú)線網(wǎng)絡(luò)中直徑(Diameter)信令攻擊的方法、裝置和系統(tǒng)。

背景技術(shù)：

當(dāng)用戶接入網(wǎng)絡(luò)后，為其提供服務(wù)的移動(dòng)管理實(shí)體(Mobile Management Entity，簡(jiǎn)稱MME)或服務(wù)通用分組無(wú)線業(yè)務(wù)(General Packet Radio Service，簡(jiǎn)稱GPRS)支持節(jié)點(diǎn)(Serving GPRS Support Node，簡(jiǎn)稱SGSN)和該用戶歸屬的歸屬用戶服務(wù)器(Home Subscriber Server，簡(jiǎn)稱HSS)屬于同一個(gè)運(yùn)營(yíng)商時(shí)，對(duì)于該用戶來(lái)講，稱為非漫游場(chǎng)景。當(dāng)用戶接入網(wǎng)絡(luò)后，為其提供服務(wù)的MME或SGSN和該用戶歸屬的HSS屬于不同的運(yùn)營(yíng)商時(shí)，對(duì)于該用戶來(lái)講，稱為漫游場(chǎng)景。

第四代移動(dòng)通信系統(tǒng)(The 4^th Generation Mobile Communication System，簡(jiǎn)稱4G)網(wǎng)絡(luò)中，當(dāng)MME或SGSN和HSS屬于同一個(gè)運(yùn)營(yíng)商時(shí)，S6a或S6d接口兩邊的網(wǎng)元都是運(yùn)營(yíng)商可控的，因此沒(méi)有安全風(fēng)險(xiǎn)。

但是，如果MME或SGSN和HSS屬于不同的運(yùn)營(yíng)商時(shí)，比如MME或SGSN屬于運(yùn)營(yíng)商A，HSS屬于和運(yùn)營(yíng)商A簽署了漫游協(xié)議的運(yùn)營(yíng)商B，就存在下面的安全威脅：

運(yùn)營(yíng)商B可能開放自己的網(wǎng)絡(luò)能力給第3方，第3方可能通過(guò)HSS對(duì)運(yùn)營(yíng)商A的MME或SGSN發(fā)起攻擊，或者,運(yùn)營(yíng)商B內(nèi)部惡意人員可能直接通過(guò)HSS對(duì)運(yùn)營(yíng)商A的MME或SGSN發(fā)起如下攻擊：

偽造取消位置請(qǐng)求(Cancel Location Request)消息通知MME或SGSN撤銷運(yùn)營(yíng)商A的某合法用戶的簽約或者由于發(fā)生了新的MME位置更新過(guò)程，該MME已經(jīng)被取消，從而導(dǎo)致該用戶退網(wǎng)，也可稱為拒絕服務(wù)(Denial Of Service，簡(jiǎn)稱DOS)攻擊；

偽造插入簽約數(shù)據(jù)請(qǐng)求(Insert Subscriber Data Request)消息或刪除簽約數(shù)據(jù)請(qǐng)求(Delete Subscriber Data Request)消息通知MME或SGSN修改 或刪除保存的運(yùn)營(yíng)商A的某合法用戶用戶的簽約數(shù)據(jù)(比如增加或者降低簽約的包月帶寬)，從而導(dǎo)致計(jì)費(fèi)糾紛；

偽造復(fù)位請(qǐng)求(Reset Request)消息通知MME或SGSN：由于HSS重啟，丟失了當(dāng)前正為運(yùn)營(yíng)商A的某些用戶服務(wù)的MME或SGSN的標(biāo)識(shí)，從而導(dǎo)致MME或SGSN為這些受影響用戶發(fā)起恢復(fù)流程，增加MME或SGSN處理負(fù)擔(dān)(DOS攻擊)。

根據(jù)第三代合作伙伴計(jì)劃(3rd Generation Partnership Project，簡(jiǎn)稱3GPP)標(biāo)準(zhǔn)TS 33.210規(guī)定，S6a/S6d接口上可以部署互聯(lián)網(wǎng)協(xié)議安全性(Internet Protocol Security，簡(jiǎn)稱IPSEC)，以保護(hù)S6a/S6d接口安全，比如MME或SGSN和HSS之間的身份認(rèn)證、IP層之上數(shù)據(jù)的完整性和機(jī)密性。但是由于上述攻擊是屬于IP層之上的Diameter信令層面的攻擊，即使MME或SGSN和HSS之間通過(guò)了身份認(rèn)證，并且IP層之上保證了完整性和機(jī)密性，攻擊者仍然可以通過(guò)發(fā)送Diameter信令發(fā)起攻擊。這將極大地影響網(wǎng)絡(luò)的安全性能。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法、裝置和系統(tǒng)，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

第一方面，提供了一種防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法，包括：移動(dòng)管理實(shí)體MME或服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)SGSN或Diameter代理接收歸屬用戶服務(wù)器HSS發(fā)送的Diameter請(qǐng)求消息，所述Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；判斷所述源域名與所述用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；在所述第一綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息或者向所述HSS發(fā)送Diameter響應(yīng)消息，其中所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第一方面，在第一種可能的實(shí)現(xiàn)方式中，還包括：在所述第一綁定關(guān)系正確的情況下，根據(jù)所述Diameter請(qǐng)求消息判斷與所述HSS之間是否存在Diameter中繼代理DRA；在與所述HSS之間存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第一種可能的實(shí)現(xiàn)方式，在第二種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述方法還包括：在與所述HSS之間 不存在所述DRA的情況下，判斷所述源IP地址與所述源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；在所述第二綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息或向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼；在所述第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第一種可能的實(shí)現(xiàn)方式，在第三種可能的實(shí)現(xiàn)方式中，還包括：在與所述HSS之間不存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第一種可能的實(shí)現(xiàn)方式，在第四種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述Diameter代理在與所述HSS之間存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理包括：在與所述HSS之間存在所述DRA的情況下，判斷所述源域名與所述Diameter代理的域名是否一致；在所述源域名與所述Diameter代理的域名一致的情況下，判斷所述源IP地址是否屬于所述Diameter代理所屬網(wǎng)絡(luò)的IP網(wǎng)段；在所述源IP地址不屬于所述IP網(wǎng)段的情況下，丟棄所述Diameter請(qǐng)求消息或向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼；在所述源IP地址屬于所述IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第一種至第四種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第五種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述Diameter請(qǐng)求消息判斷與所述HSS之間是否存在Diameter中繼代理DRA包括：在所述Diameter請(qǐng)求消息未攜帶路由記錄參數(shù)的情況下，確定與所述HSS之間不存在所述DRA；在所述Diameter請(qǐng)求消息攜帶路由記錄參數(shù)的情況下，確定與所述HSS之間存在所述DRA。

結(jié)合第一方面或上述任一種可能的實(shí)現(xiàn)方式，在第六種可能的實(shí)現(xiàn)方式中，所述失敗碼表示拒絕或不允許繼續(xù)處理所述Diameter請(qǐng)求消息。

結(jié)合第一方面或上述任一種可能的實(shí)現(xiàn)方式，在第七種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息為以下任一種：取消位置請(qǐng)求消息、插入簽約數(shù)據(jù)請(qǐng)求消息、刪除簽約數(shù)據(jù)請(qǐng)求消息、復(fù)位請(qǐng)求消息。

結(jié)合第一方面或第一種至第六種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第八種可能的實(shí)現(xiàn)方式中，所述Diameter響應(yīng)消息為以下任一種：取消位置響應(yīng)消息、插入簽約數(shù)據(jù)響應(yīng)消息、刪除簽約數(shù)據(jù)響應(yīng)消息、復(fù)位響應(yīng)消息。

結(jié)合第一種至第三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第 九種可能的實(shí)現(xiàn)方式中，在所述Diameter請(qǐng)求消息為取消位置請(qǐng)求消息，且所述取消位置請(qǐng)求消息攜帶的取消類型參數(shù)表示MME更新過(guò)程或SGSN更新過(guò)程的情況下，所述MME或SGSN繼續(xù)進(jìn)行業(yè)務(wù)處理包括：判斷是否已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息；在沒(méi)有收到所述上下文請(qǐng)求消息或所述標(biāo)識(shí)請(qǐng)求消息時(shí)，丟棄所述Diameter請(qǐng)求消息或向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼；在已收到所述上下文請(qǐng)求消息或所述標(biāo)識(shí)請(qǐng)求消息時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第一方面或第一種至第六種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第十種可能的實(shí)現(xiàn)方式中，當(dāng)所述Diameter請(qǐng)求消息為復(fù)位請(qǐng)求消息時(shí)，所述用戶身份標(biāo)識(shí)為用戶身份標(biāo)識(shí)列表，所述判斷所述源域名與所述用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確包括：判斷所述源域名與所述用戶身份標(biāo)識(shí)列表中的所有用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。

第二方面，提供了一種防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置，包括：收發(fā)單元，用于接收歸屬用戶服務(wù)器HSS發(fā)送的Diameter請(qǐng)求消息，所述Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；處理單元，用于判斷所述源域名與所述用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；所述處理單元還用于，在所述第一綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息；或者，所述收發(fā)單元還用于，在所述第一綁定關(guān)系不正確的情況下，向所述HSS發(fā)送Diameter響應(yīng)消息，其中所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第二方面，在第二方面的第一種可能的實(shí)現(xiàn)方式中，所述處理單元還用于：在所述第一綁定關(guān)系正確的情況下，根據(jù)所述Diameter請(qǐng)求消息判斷與所述HSS之間是否存在Diameter中繼代理DRA；在與所述HSS之間存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式，在第二方面的第二種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述處理單元還用于：在與所述HSS之間不存在所述DRA的情況下，判斷所述源IP地址與所述源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；在所述第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；在所述第二綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息；或者，所述收發(fā)單元還用于，在所述第二綁定關(guān)系不正確的情況下，向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式，在第二方面的第三種可能的實(shí)現(xiàn)方式中，在與所述HSS之間不存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式，在第二方面的第四種可能的實(shí)現(xiàn)方式中，所述裝置為Diameter代理，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述處理單元具體用于：在與所述HSS之間存在所述DRA的情況下，判斷所述源域名與所述Diameter代理的域名是否一致；在所述源域名與所述Diameter代理的域名一致的情況下，判斷所述源IP地址是否屬于所述Diameter代理所屬網(wǎng)絡(luò)的IP網(wǎng)段；在所述源IP地址屬于所述IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；在所述源IP地址不屬于所述IP網(wǎng)段的情況下，丟棄所述Diameter請(qǐng)求消息；或者，所述收發(fā)單元還用于，在所述源IP地址不屬于所述IP網(wǎng)段的情況下，向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第二方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第五種可能的實(shí)現(xiàn)方式中，所述處理單元具體用于：在所述Diameter請(qǐng)求消息未攜帶路由記錄參數(shù)的情況下，確定與所述HSS之間不存在所述DRA；在所述Diameter請(qǐng)求消息攜帶路由記錄參數(shù)的情況下，確定與所述HSS之間存在所述DRA。

結(jié)合第二方面或第二方面的上述任一種可能的實(shí)現(xiàn)方式，在第二方面的第六種可能的實(shí)現(xiàn)方式中，所述失敗碼表示拒絕或不允許繼續(xù)處理所述Diameter請(qǐng)求消息。

結(jié)合第二方面或第二方面的上述任一種可能的實(shí)現(xiàn)方式，在第二方面的第七種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息為以下任一種：取消位置請(qǐng)求消息、插入簽約數(shù)據(jù)請(qǐng)求消息、刪除簽約數(shù)據(jù)請(qǐng)求消息、復(fù)位請(qǐng)求消息。

結(jié)合第二方面或第二方面的第一種至第六種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第八種可能的實(shí)現(xiàn)方式中，所述Diameter響應(yīng)消息為以下任一種：取消位置響應(yīng)消息、插入簽約數(shù)據(jù)響應(yīng)消息、刪除簽約數(shù)據(jù)響應(yīng)消息、復(fù)位響應(yīng)消息。

第三方面，提供了一種具備防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊功能的移動(dòng)管理實(shí)體MME或服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)SGSN或Diameter代理，包括：收發(fā)器，用于接收歸屬用戶服務(wù)器HSS發(fā)送的Diameter請(qǐng)求消 息，所述Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；處理器，用于判斷所述源域名與所述用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；所述處理器還用于，在所述第一綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息；或者，所述收發(fā)器還用于，在所述處理器確定所述第一綁定關(guān)系不正確的情況下，向所述HSS發(fā)送Diameter響應(yīng)消息，其中所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第三方面，在第三方面的第一種可能的實(shí)現(xiàn)方式中，所述處理器還用于：在所述第一綁定關(guān)系正確的情況下，根據(jù)所述Diameter請(qǐng)求消息判斷與所述HSS之間是否存在Diameter中繼代理DRA；在與所述HSS之間存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式，在第三方面的第二種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述處理器還用于：在與所述HSS之間不存在所述DRA的情況下，判斷所述源IP地址與所述源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；在所述第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；在所述第二綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息；或者，所述收發(fā)器還用于，在所述第二綁定關(guān)系不正確的情況下，向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式，在第三方面的第三種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述處理器具體用于：在與所述HSS之間存在所述DRA的情況下，判斷所述源域名與所述Diameter代理的域名是否一致；在所述源域名與所述Diameter代理的域名一致的情況下，判斷所述源IP地址是否屬于所述Diameter代理所屬網(wǎng)絡(luò)的IP網(wǎng)段；在所述源IP地址屬于所述IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；在所述源IP地址不屬于所述IP網(wǎng)段的情況下，丟棄所述Diameter請(qǐng)求消息；或者，所述收發(fā)器還用于，在所述源IP地址不屬于所述IP網(wǎng)段的情況下，向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第三方面或第三方面的上述任一種可能的實(shí)現(xiàn)方式，在第三方面的第四種可能的實(shí)現(xiàn)方式中，所述失敗碼表示拒絕或不允許繼續(xù)處理所述Diameter請(qǐng)求消息。

第四方面，提供了一種防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的系統(tǒng)，包括 移動(dòng)管理實(shí)體MME或服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)SGSN或Diameter代理和歸屬用戶服務(wù)器HSS，

所述HSS用于向所述MME或SGSN或Diameter代理發(fā)送Diameter請(qǐng)求消息，所述Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；

所述MME或SGSN或Diameter代理用于：

接收所述Diameter請(qǐng)求消息；

判斷所述Diameter請(qǐng)求消息攜帶的所述源域名與所述用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；

在所述第一綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息或者向所述HSS發(fā)送Diameter響應(yīng)消息，其中所述Diameter響應(yīng)消息攜帶失敗碼。

結(jié)合第四方面，在第四方面的第一種可能的實(shí)現(xiàn)方式中，所述MME或SGSN或Diameter代理還用于：在所述第一綁定關(guān)系正確的情況下，根據(jù)所述Diameter請(qǐng)求消息判斷與所述HSS之間是否存在Diameter中繼代理DRA；在與所述HSS之間存在所述DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第四方面的第一種可能的實(shí)現(xiàn)方式，在第四方面的第二種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述MME或SGSN或Diameter代理還用于：在與所述HSS之間不存在所述DRA的情況下，判斷所述源IP地址與所述源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；在所述第二綁定關(guān)系不正確的情況下，丟棄所述Diameter請(qǐng)求消息或向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼；在所述第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第四方面的第一種可能的實(shí)現(xiàn)方式，在第四方面的第三種可能的實(shí)現(xiàn)方式中，所述Diameter請(qǐng)求消息還攜帶源IP地址，所述Diameter代理具體用于：在與所述HSS之間存在所述DRA的情況下，判斷所述源域名與所述Diameter代理的域名是否一致；在所述源域名與所述Diameter代理的域名一致的情況下，判斷所述源IP地址是否屬于所述Diameter代理所屬網(wǎng)絡(luò)的IP網(wǎng)段；在所述源IP地址不屬于所述IP網(wǎng)段的情況下，丟棄所述Diameter請(qǐng)求消息或向所述HSS發(fā)送Diameter響應(yīng)消息，所述Diameter響應(yīng)消息攜帶失敗碼；在所述源IP地址屬于所述IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

結(jié)合第四方面或第四方面的上述任一種可能的實(shí)現(xiàn)方式，在第四方面的 第四種可能的實(shí)現(xiàn)方式中，所述失敗碼表示拒絕或不允許繼續(xù)處理所述Diameter請(qǐng)求消息。

基于上述技術(shù)方案，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)本發(fā)明實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面所描述的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是漫游場(chǎng)景下網(wǎng)絡(luò)攻擊的示意圖。

圖2是根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法的示意性流程圖。

圖3是根據(jù)本發(fā)明另一實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法的示意性流程圖。

圖4是根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置的示意性框圖。

圖5是根據(jù)本發(fā)明另一實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置的示意性框圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例，而不是全部實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都應(yīng)屬于本發(fā)明保護(hù)的范圍。

本申請(qǐng)的說(shuō)明書和權(quán)利要求書及附圖中的術(shù)語(yǔ)“第一”、“第二”和“第三”等是用于區(qū)別不同對(duì)象，而不是用于描述特定順序。此外，術(shù)語(yǔ)“包括”和“具有”不是排他的。例如包括了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備沒(méi)有限定于已列出的步驟或單元，還可以包括沒(méi)有列出的步驟或 單元。

下面結(jié)合圖1描述可能存在的幾種攻擊模式。

如圖1所示，假設(shè)有HSS1、HSS2、HSS3,分別對(duì)應(yīng)運(yùn)營(yíng)商A、B、C，其中MME和HSS1都屬于運(yùn)營(yíng)商A，攻擊者從HSS2側(cè)發(fā)起：

1)攻擊模式1：源域名或主機(jī)名和國(guó)際移動(dòng)用戶識(shí)別碼(International Mobile Subscriber Identification Number，簡(jiǎn)稱IMSI)屬于不同的運(yùn)營(yíng)商：攻擊者在攻擊信令中直接使用HSS2自己的域名或主機(jī)名，但I(xiàn)MSI歸屬其他HSS(如HSS1或HSS3)；

2)攻擊模式2：源域名或主機(jī)名和IMSI屬于不同的運(yùn)營(yíng)商：通常情況下，攻擊者可以根據(jù)IMSI中的國(guó)家碼、網(wǎng)絡(luò)碼推導(dǎo)出其歸屬HSS(如HSS1)的域名或主機(jī)名，因此攻擊者也可能在攻擊信令中直接偽造其他HSS(如HSS3)的域名或主機(jī)名，但I(xiàn)MSI歸屬其他另外的HSS(如HSS1)；

3)攻擊模式3：源域名或主機(jī)名和IMSI屬于同一個(gè)運(yùn)營(yíng)商：攻擊者也可能在攻擊信令中直接偽造其他HSS(如HSS1)的域名或主機(jī)名，IMSI也歸屬HSS1，此時(shí)HSS1對(duì)應(yīng)的運(yùn)營(yíng)商與MME所在的運(yùn)營(yíng)商為同一運(yùn)營(yíng)商；

4)攻擊模式4：域名或主機(jī)名和IMSI屬于同一個(gè)運(yùn)營(yíng)商：攻擊者也可能在攻擊信令中直接偽造其他HSS(如HSS3)的域名或主機(jī)名，IMSI也歸屬HSS3。

在實(shí)際組網(wǎng)中，為了提升性能，HSS和MME(或SGSN)之間可能會(huì)部署1個(gè)或者多個(gè)Diameter代理。有兩種Diameter代理：Diameter邊緣代理(Diameter Edge Agent，簡(jiǎn)稱DEA)、Diameter中繼代理(Diameter Relay Agent，簡(jiǎn)稱DRA)。例如，DEA通?？梢圆渴鹪谶\(yùn)營(yíng)商的網(wǎng)絡(luò)邊界，用于和其他運(yùn)營(yíng)商的設(shè)備對(duì)接。DEA通常有兩個(gè)，以負(fù)荷分擔(dān)方式工作(如DEA1和DEA2)，如圖1所示。應(yīng)理解，圖1僅是示意性的，DEA還可以兼具DEA和DRA的功能。

值得注意的是，圖1僅以運(yùn)營(yíng)商A內(nèi)部的DEA或DRA組網(wǎng)為例進(jìn)行描述，運(yùn)營(yíng)商B、C內(nèi)部的組網(wǎng)也是類似的，即每個(gè)運(yùn)營(yíng)商邊界都會(huì)部署DEA。

圖2根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法200的示意性流程圖。方法200可以由MME或SGSN執(zhí)行。當(dāng)MME或SGSN與HSS之間存在Diameter代理時(shí)，如圖1所示，HSS發(fā)出的Diameter請(qǐng)求 消息先到達(dá)Diameter代理，此時(shí)方法200也可以由Diameter代理執(zhí)行，為便于描述，下文中以DEA為例進(jìn)行描述。

如圖2所示，方法200包括如下內(nèi)容。

210、接收歸屬用戶服務(wù)器HSS發(fā)送的Diameter請(qǐng)求消息，Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)。

其中，Diameter請(qǐng)求消息為以下任一種：取消位置請(qǐng)求(Cancel location request)消息、插入簽約數(shù)據(jù)請(qǐng)求消息(Insert Subscriber Data request)、刪除簽約數(shù)據(jù)請(qǐng)求消息(Delete Subscriber Data request)、復(fù)位請(qǐng)求消息(reset request)。其中，對(duì)于reset request消息，上述Diameter請(qǐng)求消息攜帶的用戶身份標(biāo)識(shí)應(yīng)為用戶身份標(biāo)識(shí)列表(user ID list)參數(shù)，該用戶身份標(biāo)識(shí)列表包括一個(gè)或多個(gè)用戶身份標(biāo)識(shí)。

應(yīng)理解，Diameter請(qǐng)求消息還可以攜帶其他信息，例如源主機(jī)名、目的域名、目的主機(jī)名、源IP地址等。

用戶身份標(biāo)識(shí)(user-name)為國(guó)際移動(dòng)用戶識(shí)別碼(International Mobile Subscriber Identity Number，IMSI)。

220、判斷源域名與用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。

230、在第一綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息或者向HSS發(fā)送Diameter響應(yīng)消息，其中Diameter響應(yīng)消息攜帶失敗碼。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

本發(fā)明實(shí)施例能夠有效防止上文所述攻擊模式1和攻擊模式2的攻擊。

在步驟220中，可以根據(jù)多種方法判斷Diameter請(qǐng)求消息中攜帶的源域名與用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。

例如，MME或SGSN或DEA在用戶設(shè)備(User Equipment，簡(jiǎn)稱UE)附著過(guò)程或者跟蹤區(qū)更新(Tracking Area Update,簡(jiǎn)稱TAU)過(guò)程中，收到HSS的位置更新響應(yīng)(Update location answer，簡(jiǎn)稱ULA)消息后，保存ULA中的源域名(origin-realm)和位置更新請(qǐng)求(Update Location Request，簡(jiǎn)稱ULR)消息中用戶身份標(biāo)識(shí)(user-name)的正確的綁定關(guān)系。比較該預(yù)先保存的正確的綁定關(guān)系和第一綁定關(guān)系，即可判斷Diameter請(qǐng)求消息中攜 帶的用戶身份標(biāo)識(shí)和源域名的第一綁定關(guān)系是否正確。

或者，用戶身份標(biāo)識(shí)為IMSI時(shí)，MME或SGSN或DEA可以根據(jù)IMSI確定該IMSI綁定的正確的源域名。例如，某用戶的IMSI為460880755088888，此處國(guó)家碼為460，網(wǎng)絡(luò)碼為88，因此，根據(jù)3GPP標(biāo)準(zhǔn)中關(guān)于域名的定義，MME或SGSN或DEA可以推導(dǎo)出該IMSI對(duì)應(yīng)的HSS的域名為epc.mnc88.mcc460.3gppnetwork.org。進(jìn)而就可以判斷Diameter請(qǐng)求消息中攜帶的用戶身份標(biāo)識(shí)和源域名的第一綁定關(guān)系是否正確。

或者，可以提前配置IMSI和其歸屬的HSS的源域名(origin-realm)的正確的綁定關(guān)系。比較該預(yù)先配置的正確的綁定關(guān)系和第一綁定關(guān)系，即可判斷Diameter請(qǐng)求消息中攜帶的用戶身份標(biāo)識(shí)和源域名的第一綁定關(guān)系是否正確。

應(yīng)理解，可選地，步驟220中還可以判斷Diameter請(qǐng)求消息中攜帶的(源域名，源主機(jī)名)與用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。方法同上面所述類似，在此不再贅述。

其中對(duì)于reset request消息，在步驟220包括：判斷源域名與用戶身份標(biāo)識(shí)列表中的所有用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。相應(yīng)地，當(dāng)源域名與用戶身份標(biāo)識(shí)列表中的所有用戶身份標(biāo)識(shí)的綁定關(guān)系正確時(shí)，確定第一綁定關(guān)系正確；當(dāng)源域名與用戶身份標(biāo)識(shí)列表中的任一用戶身份標(biāo)識(shí)的綁定關(guān)系不正確，則確定第一綁定關(guān)系不正確。

例如，可以依次判斷Diameter請(qǐng)求消息中攜帶的源域名與用戶身份標(biāo)識(shí)列表中的每一個(gè)用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。

可選地，作為另一個(gè)實(shí)施例，方法200還包括：在第一綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，方法200還包括：

在第一綁定關(guān)系正確的情況下，根據(jù)Diameter請(qǐng)求消息判斷與HSS之間是否存在Diameter中繼代理DRA；

在與HSS之間存在DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，Diameter請(qǐng)求消息還攜帶源IP地址，方法200還包括：

在第一綁定關(guān)系正確，且與HSS之間不存在DRA的情況下，判斷源IP地址與源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；

在第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在第二綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息或向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

應(yīng)理解，可選地，在第一綁定關(guān)系正確，且與HSS之間不存在DRA的情況下，也可以繼續(xù)進(jìn)行業(yè)務(wù)處理。這是由于如果MME或SGSN或DEA與HSS之間沒(méi)有DRA，可以認(rèn)為MME或SGSN或DEA和HSS屬于同一個(gè)運(yùn)營(yíng)商，因此MME或SGSN或DEA可以繼續(xù)進(jìn)行業(yè)務(wù)處理。

具體地，根據(jù)Diameter請(qǐng)求消息判斷與HSS之間是否存在Diameter中繼代理DRA包括：

在Diameter請(qǐng)求消息未攜帶路由記錄參數(shù)的情況下，確定與HSS之間不存在DRA；

在Diameter請(qǐng)求消息攜帶路由記錄參數(shù)的情況下，確定于HSS之間存在DRA。

這是由于DRA會(huì)在Diameter請(qǐng)求消息中增加路由記錄(Route-Record)參數(shù)，因此根據(jù)Diameter消息中是否攜帶路由記錄參數(shù)即可判斷與HSS之間是否存在DRA。其中，該路由記錄包括上一跳節(jié)點(diǎn)的身份標(biāo)識(shí)，例如源域名和/或源主機(jī)名。

可選地，方法200由MME或SGSN執(zhí)行時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理包括：

在Diameter請(qǐng)求消息為取消位置請(qǐng)求，且該Diameter請(qǐng)求消息攜帶的取消類型參數(shù)表示MME更新過(guò)程(MME-Update Procedure)或SGSN更新過(guò)程(SGSN-Update Procedure)的情況下，判斷是否已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息；

在沒(méi)有收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，則丟棄Diameter請(qǐng)求消息或向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼；

在已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，方法200由DEA執(zhí)行，Diameter請(qǐng)求消息還攜帶源IP地址，在與HSS之間存在DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理包括：

在DEA與HSS之間存在DRA的情況下，判斷源域名與DEA的域名是否一致；

在源域名與DEA的域名一致的情況下，判斷源IP地址是否屬于DEA 所屬網(wǎng)絡(luò)的IP網(wǎng)段；

在源IP地址屬于該IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在源IP地址不屬于該IP網(wǎng)段的情況下，丟棄Diameter請(qǐng)求消息或向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

本發(fā)明實(shí)施例能夠有效防止上文所述攻擊模式3的攻擊。

可選地，作為另一實(shí)施例，方法200由DEA執(zhí)行，Diameter請(qǐng)求消息還攜帶源IP地址，繼續(xù)進(jìn)行業(yè)務(wù)處理包括：

在第一綁定關(guān)系正確，且DEA與HSS之間存在DRA的情況下，判斷源域名與DEA的域名是否一致；

在源域名與DEA的域名不一致的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

如前面描述的攻擊模式4:攻擊者也可能在攻擊信令中直接偽造其他運(yùn)營(yíng)商的HSS的域名或主機(jī)名和其他運(yùn)營(yíng)商的IMSI(即受害者的IMSI)。假設(shè)DEA屬于圖1所示運(yùn)營(yíng)商A，攻擊者在攻擊信令中偽造運(yùn)營(yíng)商C HSS3的域名和主機(jī)名。由于DEA并不屬于運(yùn)營(yíng)商C，因此攻擊者的消息達(dá)到DEA時(shí)，DEA無(wú)法檢查Diameter請(qǐng)求消息中IP層的源IP地址是否屬于運(yùn)營(yíng)商C的IP網(wǎng)段，因此只能發(fā)給MME或SGSN作進(jìn)一步處理。

需要說(shuō)明的是，這種攻擊模式只有當(dāng)滿足如下條件時(shí)攻擊才能成功：該IMSI對(duì)應(yīng)的HSS3的用戶(即受害者)正好漫游到運(yùn)營(yíng)商A的網(wǎng)絡(luò)；該漫游用戶正好是由該MME或SGSN服務(wù)。

根據(jù)上述分析，可以認(rèn)為在源域名與DEA的域名不一致的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理的風(fēng)險(xiǎn)很小。

可選地，Diameter請(qǐng)求消息還攜帶目的域名，方法200還包括：

判斷目的域名與自身的域名是否一致；

在目的域名與自身的域名不一致的情況下，丟棄Diameter請(qǐng)求消息或向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

應(yīng)理解，還可以判斷Diameter請(qǐng)求消息中攜帶的目的主機(jī)名與自身的主機(jī)名是否一致。

相應(yīng)地，在目的域名與自身的域名不一致，或目的主機(jī)名與自身的主機(jī)名不一致，或者(目的域名，目的主機(jī)名)與(自身的域名，自身的主機(jī)名)不一致的情況下，丟棄Diameter請(qǐng)求消息或者向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

同樣，(目的域名，目的主機(jī)名)表示目的域名和目的主機(jī)名的組合，(自身的域名，自身的主機(jī)名)表示自身的域名和自身的主機(jī)名的組合。

本發(fā)明實(shí)施例中的Diameter響應(yīng)消息可以為取消位置響應(yīng)(Cancel location answer)、插入簽約數(shù)據(jù)響應(yīng)(Insert Subscriber Data answer)、刪除簽約數(shù)據(jù)響應(yīng)(Delete Subscriber Data answer)、或復(fù)位響應(yīng)(reset answer)。當(dāng)Diameter響應(yīng)消息攜帶失敗碼時(shí)，該失敗碼攜帶在結(jié)果(result)參數(shù)中，失敗碼可以表示拒絕或不允許繼續(xù)處理Diameter請(qǐng)求消息，或者其他失敗碼。

需要說(shuō)明的是，當(dāng)方法200由DEA執(zhí)行時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理指的是DEA向MME或SGSN發(fā)送該Diameter請(qǐng)求消息；當(dāng)方法200由MME或SGSN執(zhí)行時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理指的是根據(jù)常規(guī)流程對(duì)Diameter請(qǐng)求消息做進(jìn)一步處理，進(jìn)一步的處理流程與現(xiàn)有技術(shù)中的處理流程類似，在此不再贅述。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)(或者用戶身份標(biāo)識(shí)列表)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

下面結(jié)合圖3詳細(xì)描述根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法200。圖3所示的根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法300為方法200的具體例子。

301、HSS向MME或SGSN或DEA發(fā)送一條Diameter請(qǐng)求消息，例如取消位置請(qǐng)求消息、插入簽約數(shù)據(jù)請(qǐng)求消息、刪除簽約數(shù)據(jù)請(qǐng)求消息、或復(fù)位請(qǐng)求消息，其中攜帶目的主機(jī)名、目的域名、源主機(jī)名、源域名、用戶身份標(biāo)識(shí)等參數(shù)。

其中，對(duì)于復(fù)位請(qǐng)求消息，用戶身份標(biāo)識(shí)為用戶身份標(biāo)識(shí)列表(User ID list)，該用戶身份標(biāo)識(shí)列表包括一個(gè)或多個(gè)用戶身份標(biāo)識(shí)。用戶身份標(biāo)識(shí)即用戶的IMSI。

302、MME或SGSN或DEA判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確：如果正確，執(zhí)行步驟303；如果不正確，執(zhí)行步驟306a或306b。

應(yīng)注意，對(duì)于復(fù)位請(qǐng)求消息，需要判斷Diameter請(qǐng)求消息攜帶的源域名 與用戶身份標(biāo)識(shí)列表中的所有用戶身份標(biāo)識(shí)的綁定關(guān)系。

可選地，MME或SGSN或DEA判斷Diameter請(qǐng)求消息攜帶的(源域名，源主機(jī)名)與用戶身份標(biāo)識(shí)的綁定關(guān)系。

需要說(shuō)明的是，步驟303是可選步驟，也就是說(shuō)，MME或SGSN或DEA判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系正確時(shí)，也可以直接執(zhí)行步驟305。

303、MME或SGSN或DEA判斷與HSS之間是否存在DRA：如果不存在DRA，執(zhí)行步驟304；如果存在DRA，則執(zhí)行步驟305。

具體地，如果收到的Diameter請(qǐng)求消息中攜帶路由記錄參數(shù)，則確定MME或SGSN或DEA與HSS之間有DRA，反之，則確定MME或SGSN或DEA與HSS之間沒(méi)有DRA。

可選地，當(dāng)MME或SGSN或DEA與HSS之間不存在DRA時(shí)，還可以直接執(zhí)行步驟305。

可選地，當(dāng)DEA與HSS之間存在DRA時(shí)，DEA還可以執(zhí)行如下操作：

a)判斷源域名與自身的域名是否一致：

b)如果一致，可以進(jìn)一步判斷Diameter請(qǐng)求消息攜帶的源IP地址是否屬于DEA所屬網(wǎng)絡(luò)的IP網(wǎng)段：b1)如果源IP地址不屬于DEA所屬網(wǎng)絡(luò)的IP網(wǎng)段，執(zhí)行步驟306a或306b；b2)如果源IP地址屬于DEA所屬網(wǎng)絡(luò)的IP網(wǎng)段，則將該Diameter請(qǐng)求消息發(fā)送至MME或SGSN作進(jìn)一步處理，MME或SGSN接收到該Diameter請(qǐng)求消息后將執(zhí)行步驟305。

可選地，當(dāng)MME或SGSN或DEA與HSS之間存在DRA時(shí)，還可以執(zhí)行如下操作：

c)判斷源域名與自身的域名是否一致：

d)如果不一致，DEA則將該Diameter請(qǐng)求消息發(fā)送至MME或SGSN作進(jìn)一步處理，MME或SGSN接收到該Diameter請(qǐng)求消息后將執(zhí)行步驟305。

304、MME或SGSN或DEA判斷Diameter請(qǐng)求消息攜帶的源域名和/或源主機(jī)名與源IP地址的綁定關(guān)系否正確：在該綁定關(guān)系正確的情況下，執(zhí)行步驟305；在該綁定關(guān)系不正確的情況下，執(zhí)行步驟306a或306b。

305、MME或SGSN或DEA繼續(xù)進(jìn)行業(yè)務(wù)處理。

MME或SGSN繼續(xù)進(jìn)行業(yè)務(wù)處理意味著MME或SGSN可以根據(jù)常規(guī) 處理流程對(duì)該Diameter請(qǐng)求消息作進(jìn)一步處理。

可選地，在Diameter請(qǐng)求消息為取消位置請(qǐng)求，且該Diameter請(qǐng)求消息攜帶的取消類型參數(shù)為MME-Update Procedure或SGSN-Update Procedure的情況下，MME或SGSN還可以判斷是否以前收到過(guò)上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息；在以前收到過(guò)上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理；在以前沒(méi)有收到過(guò)上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，執(zhí)行步驟306a或306b。

DEA繼續(xù)進(jìn)行業(yè)務(wù)處理意味著DEA將該Diameter請(qǐng)求消息發(fā)送至MME或SGSN作進(jìn)一步處理。

306a、MME或SGSN或DEA丟棄該Diameter請(qǐng)求消息?；蛘撸?/p>

306b、MME或SGSN或DEA向HSS發(fā)一條Diameter響應(yīng)消息，例如取消位置響應(yīng)、插入簽約數(shù)據(jù)響應(yīng)、刪除簽約數(shù)據(jù)響應(yīng)或復(fù)位響應(yīng)，Diameter響應(yīng)消息攜帶失敗碼，該失敗碼可以攜帶在result參數(shù)中，失敗碼可以表示拒絕或不允許繼續(xù)處理Diameter請(qǐng)求消息，或者為其他失敗碼。

其中步驟306a或306b兩者只執(zhí)行其中之一。

可選地，在步驟302至305之間還可以判斷Diameter請(qǐng)求消息中攜帶的(目的域名，目的主機(jī)名)與(自身的域名，自身的主機(jī)名)是否一致：如果一致，繼續(xù)進(jìn)行下一步的處理；如果不一致，則執(zhí)行步驟306a或306b。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

應(yīng)注意，圖3的這個(gè)例子是為了幫助本領(lǐng)域技術(shù)人員更好地理解本發(fā)明實(shí)施例，而非要限制本發(fā)明實(shí)施例的范圍。本領(lǐng)域技術(shù)人員根據(jù)所給出的圖3的例子，顯然可以進(jìn)行各種等價(jià)的修改或變化，這樣的修改或變化也落入本發(fā)明實(shí)施例的范圍內(nèi)。

應(yīng)理解，上述各過(guò)程的序號(hào)的大小并不意味著執(zhí)行順序的先后，各過(guò)程的執(zhí)行順序應(yīng)以其功能和內(nèi)在邏輯確定，而不應(yīng)對(duì)本發(fā)明實(shí)施例的實(shí)施過(guò)程構(gòu)成任何限定。

上文結(jié)合圖2和圖3詳細(xì)描述了根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法，下面結(jié)合圖4和圖5詳細(xì)描述根據(jù)本發(fā)明實(shí)施例 的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置。

圖4是根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置400的示意性框圖。如圖4所示，裝置400包括：收發(fā)單元410和處理單元420。

收發(fā)單元410用于接收歸屬用戶服務(wù)器HSS發(fā)送的Diameter請(qǐng)求消息，Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；

處理單元420用于判斷源域名與用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；

處理單元420還用于在第一綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)單元410還用于，在第一綁定關(guān)系不正確的情況下，向HSS發(fā)送Diameter響應(yīng)消息，其中Diameter響應(yīng)消息攜帶失敗碼。

其中，失敗碼可以表示拒絕或不允許繼續(xù)處理Diameter請(qǐng)求消息。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

可選地，處理單元420還用于，在第一綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，處理單元420還用于：

在第一綁定關(guān)系正確的情況下，根據(jù)Diameter請(qǐng)求消息判斷與HSS之間是否存在Diameter中繼代理DRA；

在與HSS之間存在DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，Diameter請(qǐng)求消息還攜帶源IP地址，處理單元420還用于：

在與HSS之間不存在DRA的情況下，判斷源IP地址與源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；

在第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在第二綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)單元410還用于，在第二綁定關(guān)系不正確的情況下，向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

可選地，作為另一實(shí)施例，處理單元420還用于，在與HSS之間不存在DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，裝置400為Diameter代理，Diameter請(qǐng)求消息還攜帶源IP地址，處理單元420具體用于：

在與HSS之間存在DRA的情況下，判斷源域名與Diameter代理的域名是否一致；

在源域名與Diameter代理的域名一致的情況下，判斷源IP地址是否屬于Diameter代理所屬網(wǎng)絡(luò)的IP網(wǎng)段；

在源IP地址屬于IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在源IP地址不屬于IP網(wǎng)段的情況下，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)單元420還用于，在源IP地址不屬于IP網(wǎng)段的情況下，向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

可選地，作為另一實(shí)施例，處理單元420具體用于：

在Diameter請(qǐng)求消息未攜帶路由記錄參數(shù)的情況下，確定與HSS之間不存在DRA；

在Diameter請(qǐng)求消息攜帶路由記錄參數(shù)的情況下，確定與HSS之間存在DRA。

Diameter請(qǐng)求消息可以為以下任一種：取消位置請(qǐng)求消息、插入簽約數(shù)據(jù)請(qǐng)求消息、刪除簽約數(shù)據(jù)請(qǐng)求消息、復(fù)位請(qǐng)求消息。

相應(yīng)地，Diameter響應(yīng)消息可以為以下任一種：取消位置響應(yīng)消息、插入簽約數(shù)據(jù)響應(yīng)消息、刪除簽約數(shù)據(jù)響應(yīng)消息、復(fù)位響應(yīng)消息。

可選地，作為另一實(shí)施例，Diameter請(qǐng)求消息為取消位置請(qǐng)求消息，且取消位置請(qǐng)求消息攜帶的取消類型參數(shù)表示MME更新過(guò)程或SGSN更新過(guò)程的情況下，處理單元420具體用于：

判斷是否已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息；

在沒(méi)有收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)單元410還用于，向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼；

處理單元420具體用于，在已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，當(dāng)Diameter請(qǐng)求消息為復(fù)位請(qǐng)求消息時(shí)，用戶身份標(biāo)識(shí)為用戶身份標(biāo)識(shí)列表，處理單元420具體用于，判斷源域名與用戶身份標(biāo)識(shí)列表中的所有用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。其中，用戶身份標(biāo)識(shí)列表包括至少一個(gè)用戶身份標(biāo)識(shí)。

應(yīng)理解，根據(jù)本發(fā)明實(shí)施例的裝置400可對(duì)應(yīng)于根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法200中的MME或SGSN或Diameter代理，并且裝置400中的各個(gè)單元或模塊的上述和其它操作和/或功能分別為了實(shí)現(xiàn)圖2和圖3中的各個(gè)方法200和方法300的相應(yīng)流程，為了簡(jiǎn)潔，在此不再贅述。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

圖5是根據(jù)本發(fā)明實(shí)施例的具備防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊功能的裝置500的示意性框圖。裝置500可以為MME或SGSN或Diameter代理。如圖5所示，裝置500包括：包括處理器510、存儲(chǔ)器520、總線系統(tǒng)530和收發(fā)器540。其中，處理器510、存儲(chǔ)器520和收發(fā)器540通過(guò)總線系統(tǒng)530相連，該存儲(chǔ)器520用于存儲(chǔ)指令，該處理器510用于執(zhí)行該存儲(chǔ)器520存儲(chǔ)的指令。

收發(fā)器540用于接收歸屬用戶服務(wù)器HSS發(fā)送的Diameter請(qǐng)求消息，Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；

處理器510用于判斷源域名與用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；

處理器510還用于在第一綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)器540還用于，在處理器510確定第一綁定關(guān)系不正確的情況下，向HSS發(fā)送Diameter響應(yīng)消息，其中Diameter響應(yīng)消息攜帶失敗碼。

其中，失敗碼可以表示拒絕或不允許繼續(xù)處理Diameter請(qǐng)求消息。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

應(yīng)理解，在本發(fā)明實(shí)施例中，該處理器510可以是中央處理單元(Central Processing Unit，CPU)，該處理器510還可以是其他通用處理器、數(shù)字信號(hào)處理器(Digital Signal Processing，DSP)、專用集成電路(Application Specific Integrated Circuit，ASIC)、現(xiàn)場(chǎng)可編程門陣列(Field-Programmable Gate Array，F(xiàn)PGA)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。

該存儲(chǔ)器520可以包括只讀存儲(chǔ)器和隨機(jī)存取存儲(chǔ)器，并向處理器510提供指令和數(shù)據(jù)。存儲(chǔ)器520的一部分還可以包括非易失性隨機(jī)存取存儲(chǔ)器。例如，存儲(chǔ)器520還可以存儲(chǔ)設(shè)備類型的信息。

該總線系統(tǒng)530除包括數(shù)據(jù)總線之外，還可以包括電源總線、控制總線和狀態(tài)信號(hào)總線等。但是為了清楚說(shuō)明起見(jiàn)，在圖中將各種總線都標(biāo)為總線系統(tǒng)530。

在實(shí)現(xiàn)過(guò)程中，上述方法的各步驟可以通過(guò)處理器510中的硬件的集成邏輯電路或者軟件形式的指令完成。結(jié)合本發(fā)明實(shí)施例所公開的方法的步驟可以直接體現(xiàn)為硬件處理器執(zhí)行完成，或者用處理器中的硬件及軟件模塊組合執(zhí)行完成。軟件模塊可以位于隨機(jī)存儲(chǔ)器、閃存、只讀存儲(chǔ)器、可編程只讀存儲(chǔ)器或者電可擦寫可編程存儲(chǔ)器、寄存器等本領(lǐng)域成熟的存儲(chǔ)介質(zhì)中。該存儲(chǔ)介質(zhì)位于存儲(chǔ)器520，處理器510讀取存儲(chǔ)器520中的信息，結(jié)合其硬件完成上述方法的步驟。為避免重復(fù)，這里不再詳細(xì)描述。

可選地，處理器510還用于，在第一綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，處理器510還用于：

在第一綁定關(guān)系正確的情況下，根據(jù)Diameter請(qǐng)求消息判斷與HSS之間是否存在Diameter中繼代理DRA；

在與HSS之間存在DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，Diameter請(qǐng)求消息還攜帶源IP地址，處理器510還用于：

在與HSS之間不存在DRA的情況下，判斷源IP地址與源域名和/或源主機(jī)名的第二綁定關(guān)系是否正確；

在第二綁定關(guān)系正確的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在第二綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)器540還用于，在處理器510確定第二綁定關(guān)系不正確的情況下，向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

可選地，作為另一實(shí)施例，處理器510還用于，在與HSS之間不存在DRA的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理。

可選地，作為另一實(shí)施例，裝置500為Diameter代理，Diameter請(qǐng)求消息還攜帶源IP地址，處理器510具體用于：

在與HSS之間存在DRA的情況下，判斷源域名與Diameter代理的域名是否一致；

在源域名與Diameter代理的域名一致的情況下，判斷源IP地址是否屬于Diameter代理所屬網(wǎng)絡(luò)的IP網(wǎng)段；

在源IP地址屬于IP網(wǎng)段的情況下，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在源IP地址不屬于IP網(wǎng)段的情況下，丟棄Diameter請(qǐng)求消息；或者，

收發(fā)器540還用于，在處理器510確定源IP地址不屬于IP網(wǎng)段的情況下，向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

可選地，作為另一實(shí)施例，處理器510具體用于：

在Diameter請(qǐng)求消息未攜帶路由記錄參數(shù)的情況下，確定與HSS之間不存在DRA；

在Diameter請(qǐng)求消息攜帶路由記錄參數(shù)的情況下，確定與HSS之間存在DRA。

Diameter請(qǐng)求消息可以為以下任一種：取消位置請(qǐng)求消息、插入簽約數(shù)據(jù)請(qǐng)求消息、刪除簽約數(shù)據(jù)請(qǐng)求消息、復(fù)位請(qǐng)求消息。

相應(yīng)地，Diameter響應(yīng)消息可以為以下任一種：取消位置響應(yīng)消息、插入簽約數(shù)據(jù)響應(yīng)消息、刪除簽約數(shù)據(jù)響應(yīng)消息、復(fù)位響應(yīng)消息。

可選地，作為另一實(shí)施例，Diameter請(qǐng)求消息為取消位置請(qǐng)求消息，且取消位置請(qǐng)求消息攜帶的取消類型參數(shù)表示移動(dòng)管理實(shí)體MME更新過(guò)程或服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)SGSN更新過(guò)程的情況下，處理器510具體用于：

判斷是否已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息；

在已收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，繼續(xù)進(jìn)行業(yè)務(wù)處理；

在沒(méi)有收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，丟棄Diameter請(qǐng)求消 息；或者，

收發(fā)器540還用于，在處理器510確定沒(méi)有收到上下文請(qǐng)求消息或標(biāo)識(shí)請(qǐng)求消息時(shí)，向HSS發(fā)送Diameter響應(yīng)消息，Diameter響應(yīng)消息攜帶失敗碼。

可選地，當(dāng)Diameter請(qǐng)求消息為復(fù)位請(qǐng)求消息時(shí)，用戶身份標(biāo)識(shí)為用戶身份標(biāo)識(shí)列表，處理器510具體用于，判斷源域名與用戶身份標(biāo)識(shí)列表的所有用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確。其中，用戶身份標(biāo)識(shí)列表包括至少一個(gè)用戶身份標(biāo)識(shí)。

應(yīng)理解，根據(jù)本發(fā)明實(shí)施例的裝置500可對(duì)應(yīng)于根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法200中的MME或SGSN或Diameter代理或者根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置400，并且裝置500中的各個(gè)單元或模塊的上述和其它操作和/或功能分別為了實(shí)現(xiàn)圖2和圖3中的各個(gè)方法200和方法300的相應(yīng)流程，為了簡(jiǎn)潔，在此不再贅述。

本發(fā)明實(shí)施例中，通過(guò)判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

本發(fā)明實(shí)施例還提供了一種防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的系統(tǒng)，該系統(tǒng)包括MME或SGSN或Diameter代理和歸屬用戶服務(wù)器HSS。

HSS用于向所述MME或SGSN或Diameter代理發(fā)送Diameter請(qǐng)求消息，所述Diameter請(qǐng)求消息攜帶源域名和用戶身份標(biāo)識(shí)；

MME或SGSN或Diameter代理用于：

接收Diameter請(qǐng)求消息；

判斷Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的第一綁定關(guān)系是否正確；

在第一綁定關(guān)系不正確的情況下，丟棄Diameter請(qǐng)求消息或者向HSS發(fā)送Diameter響應(yīng)消息，其中Diameter響應(yīng)消息攜帶失敗碼。

本發(fā)明實(shí)施例中，MME或SGSN或Diameter代理判斷HSS發(fā)送的Diameter請(qǐng)求消息攜帶的源域名與用戶身份標(biāo)識(shí)的綁定關(guān)系是否正確，在綁定關(guān)系不正確的情況下丟棄Diameter請(qǐng)求消息或發(fā)送攜帶失敗碼的 Diameter響應(yīng)消息，能夠防止Diameter信令攻擊，進(jìn)而能夠提高網(wǎng)絡(luò)的安全性能。

應(yīng)理解，根據(jù)本發(fā)明實(shí)施例的系統(tǒng)中的MME或SGSN或Diameter代理可對(duì)應(yīng)于根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的方法200中的MME或SGSN或Diameter代理、以及根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置400和根據(jù)本發(fā)明實(shí)施例的防止無(wú)線網(wǎng)絡(luò)中Diameter信令攻擊的裝置500，為了簡(jiǎn)潔，在此不再贅述。

應(yīng)理解，在本發(fā)明實(shí)施例中，術(shù)語(yǔ)“和/或”僅僅是一種描述關(guān)聯(lián)對(duì)象的關(guān)聯(lián)關(guān)系，表示可以存在三種關(guān)系。例如，A和/或B，可以表示：?jiǎn)为?dú)存在A，同時(shí)存在A和B，單獨(dú)存在B這三種情況。另外，字符“/”一般表示前后關(guān)聯(lián)對(duì)象是一種“或”的關(guān)系。

本領(lǐng)域普通技術(shù)人員可以意識(shí)到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、或者計(jì)算機(jī)軟件和電子硬件的結(jié)合來(lái)實(shí)現(xiàn)。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)、裝置和單元的具體工作過(guò)程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程，在此不再贅述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過(guò)其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元 中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。

所述功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM，Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。