[发明专利]防劫持方法及服务网关

说明书

本发明提供了一种防劫持方法及服务网关，属于核心网技术领域。防劫持方法，包括：服务网关SGW检测已分配的隧道端点标识TEID在预设时间段内对应的用户数据面业务流量；SGW根据所述用户数据面业务流量判断所述已分配的TEID是否存在被中间人攻击的风险。本发明的技术方案能够有效防范与缓解数据面的中间人攻击风险。

技术领域

本发明涉及核心网技术领域，特别是指一种防劫持方法及服务网关。

背景技术

家庭(微)基站H(e)NB被攻击获取ROOT权限后，可以实现中间人攻击，其实现原理如图1所示。

攻击者先通过渗透获取家庭(微)基站H(e)NB的ROOT权限，然后在已获取ROOT权限的基站上安装定制开发的SCTP(流控制传输协议)MITM(中间人攻击)中间人工具；通过该SCTP MITM中间人工具可截获终端通过H(e)NB与核心网交互的控制面信令，尤其是MME(Mobility Management Entity，移动管理实体)告知H(e)NB的Initial Context SetupRequest(初始上下文设置请求)指令：该指令中携带H(e)NB与核心网SGW(ServingGateWay，服务网关)进行用户数据面承载建立时，由SGW分配给H(e)NB的SGW侧TEID(隧道端点标识)信息；H(e)NB会使用该TEID信息封装用户面数据发送给SGW，SGW通过该TEID唯一的识别该终端用户面数据。而攻击者在拿到该TEID后，由于具备ROOT权限，可通过修改H(e)NB中的目的路由MAC信息之类技术手段，实现将原本应该发往合法SGW的用户面数据(上图中(2)号线条)转投递到攻击者自建的伪造SGW(Fake SGW)，由伪造的SGW将用户数据(上图中(1)号线条)转发到Internet上。攻击者此时可以通过伪造的SGW解析出用户面数据，也可以实现对双向传输数据的篡改，实现用户面的中间人效果，其中，PGW为PDN(公用数据网)网关，AAA Server为AAA服务器，HSS为归属签约用户服务器，insecurelink为安全链接。

发明内容

本发明要解决的技术问题是提供一种防劫持方法及服务网关，能够有效防范与缓解数据面的中间人攻击风险。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一方面，提供一种防劫持方法，包括：

服务网关SGW检测已分配的隧道端点标识TEID在预设时间段内对应的用户数据面业务流量；

SGW根据所述用户数据面业务流量判断所述已分配的TEID是否存在被中间人攻击的风险。

一些实施例中，所述SGW根据所述用户数据面业务流量判断所述已分配的TEID是否存在被中间人攻击的风险包括：

所述SGW判断是否存在由所述TEID唯一标示的数据隧道；

若不存在，判断所述已分配的TEID存在被中间人攻击的风险；若存在，检测所述数据隧道在预设时间段内是否有用户数据面业务流量，若没有用户数据面业务流量，判断所述已分配的TEID存在被中间人攻击的风险。

一些实施例中，判断所述已分配的TEID存在被中间人攻击的风险之后，所述方法还包括：

向移动管理实体MME发送第一指示，指示所述MME删除所述TEID承载的消息以及由所述MME指示终端删除所述TEID对应的数据面承载。

一些实施例中，判断所述已分配的TEID存在被中间人攻击的风险之后，所述方法还包括：

向MME发送第二指示，指示所述MME向终端发送风险提醒消息，提醒存在被中间人攻击的风险。

本发明实施例还提供了一种SGW，包括处理器和收发机，