本發(fā)明涉及通信系統(tǒng)、基站、以及針對(duì)網(wǎng)絡(luò)攻擊的對(duì)策方法。

背景技術(shù)：
近年來，隨著通信系統(tǒng)已經(jīng)顯著地進(jìn)步，它們已經(jīng)被暴露于各種網(wǎng)絡(luò)攻擊。結(jié)果，已經(jīng)尋求針對(duì)網(wǎng)絡(luò)攻擊的對(duì)策。同樣地，移動(dòng)終端被暴露于網(wǎng)絡(luò)攻擊并且移動(dòng)終端的移動(dòng)性引起自身被暴露于復(fù)雜的網(wǎng)絡(luò)攻擊。特別地，如果從還沒有被SIM鎖定的移動(dòng)終端中非法地獲得SIM（用戶識(shí)別模塊），則有可能將會(huì)通過SIM進(jìn)行網(wǎng)絡(luò)攻擊。在3GPP（第三代合作項(xiàng)目）、作為新通信系統(tǒng)的LTE（長期演進(jìn)）系統(tǒng)已經(jīng)被標(biāo)準(zhǔn)化（參考專利文獻(xiàn)1等等）。然而，在3GPP中定義的標(biāo)準(zhǔn)協(xié)議中，LTE系統(tǒng)中的核心網(wǎng)絡(luò)側(cè)PDN-GW（分組數(shù)據(jù)網(wǎng)絡(luò)-網(wǎng)關(guān)）設(shè)有檢測(cè)非法業(yè)務(wù)的DPI（深度分組檢測(cè)）功能。換言之，根據(jù)在3GPP中定義的標(biāo)準(zhǔn)協(xié)議，LTE系統(tǒng)的eNB（演進(jìn)的節(jié)點(diǎn)B）不能夠直接地監(jiān)控用戶數(shù)據(jù)的內(nèi)容。因此，不得不使用核心網(wǎng)絡(luò)側(cè)的DPI功能檢測(cè)非法業(yè)務(wù)。相關(guān)技術(shù)文獻(xiàn)專利文獻(xiàn)專利文獻(xiàn)1：JP2011-010155A，公開

技術(shù)實(shí)現(xiàn)要素：
本發(fā)明要解決的問題如上所述，在LTE系統(tǒng)中，不得不使用核心網(wǎng)絡(luò)側(cè)的DPI功能檢測(cè)非法業(yè)務(wù)。因此，即使將大量的數(shù)據(jù)從UE（用戶設(shè)備）傳送到eNB，出現(xiàn)其中當(dāng)從UE傳送大量的用戶數(shù)據(jù)時(shí)eNB不能夠積極地檢測(cè)網(wǎng)絡(luò)攻擊的問題。因此，本發(fā)明的目的是提供能夠解決前述問題的一種通信系統(tǒng)、基站、以及針對(duì)網(wǎng)絡(luò)攻擊的對(duì)策方法。解決問題的手段根據(jù)本發(fā)明的通信系統(tǒng)包括：移動(dòng)終端；基站；運(yùn)行/維護(hù)服務(wù)器；以及網(wǎng)關(guān)，該網(wǎng)關(guān)具有監(jiān)視從所述移動(dòng)終端接收到的上行鏈路數(shù)據(jù)是否是非法業(yè)務(wù)的DPI功能，其中，如果所述基站檢測(cè)所述上行鏈路數(shù)據(jù)的業(yè)務(wù)量超過閾值，則所述基站將表示所述上行鏈路數(shù)據(jù)的業(yè)務(wù)量超過閾值的警報(bào)傳送到所述運(yùn)行/維護(hù)服務(wù)器，并且其中，如果所述運(yùn)行/維護(hù)服務(wù)器從所述基站接收所述警報(bào)，則所述運(yùn)行/維護(hù)服務(wù)器將使所述網(wǎng)關(guān)激活所述DPI功能的激活命令傳送到所述網(wǎng)關(guān)。根據(jù)本發(fā)明的基站，包括：用戶數(shù)據(jù)處理單元，該用戶數(shù)據(jù)處理單元監(jiān)視從移動(dòng)終端接收到的上行鏈路數(shù)據(jù)的業(yè)務(wù)量是否超過閾值；和通信控制單元，如果所述上行鏈路數(shù)據(jù)的業(yè)務(wù)量超過閾值，則該通信控制單元將表示所述上行鏈路數(shù)據(jù)的業(yè)務(wù)量超過閾值的警報(bào)傳送到運(yùn)行/維護(hù)服務(wù)器，使得所述運(yùn)行/維護(hù)服務(wù)器將使網(wǎng)關(guān)激活檢測(cè)所述上行鏈路數(shù)據(jù)是否是非法業(yè)務(wù)的DPI功能的激活命令傳送到所述網(wǎng)關(guān)。根據(jù)本發(fā)明的針對(duì)網(wǎng)絡(luò)攻擊的對(duì)策方法是針對(duì)網(wǎng)絡(luò)攻擊的用于基站的對(duì)策方法，包括下述步驟：監(jiān)視從移動(dòng)終端接收到的上行鏈路數(shù)據(jù)的業(yè)務(wù)量是否超過閾值；和如果所述上行鏈路數(shù)據(jù)的業(yè)務(wù)量超過閾值，則將表示所述上行鏈路數(shù)據(jù)的業(yè)務(wù)量超過閾值的警報(bào)傳送到運(yùn)行/維護(hù)服務(wù)器，使得所述運(yùn)行/維護(hù)服務(wù)器將使網(wǎng)關(guān)激活檢測(cè)所述上行鏈路數(shù)據(jù)是否是非法業(yè)務(wù)的DPI功能的激活命令傳送到所述網(wǎng)關(guān)。本發(fā)明的效果根據(jù)本發(fā)明，如果移動(dòng)終端將大量的上行鏈路數(shù)據(jù)傳送到基站，則基站通過運(yùn)行/維護(hù)服務(wù)器激活網(wǎng)關(guān)的DPI功能。因此，能夠獲得其中基站能夠通過從移動(dòng)終端傳送的大量的上行鏈路數(shù)據(jù)積極地檢測(cè)網(wǎng)絡(luò)攻擊的效果。附圖說明圖1是示出根據(jù)本發(fā)明的示例性實(shí)施例的通信系統(tǒng)的結(jié)構(gòu)的框圖。圖2是描述當(dāng)通信系統(tǒng)檢測(cè)到可疑業(yè)務(wù)時(shí)圖1中所示的通信系統(tǒng)執(zhí)行的操作的時(shí)序圖。圖3是描述當(dāng)通信系統(tǒng)檢測(cè)到非法業(yè)務(wù)時(shí)在圖1中示出的通信系統(tǒng)執(zhí)行的操作的時(shí)序圖。具體實(shí)施方式接下來，參考附圖，將描述本發(fā)明的示例性實(shí)施例。本示例性實(shí)施例的結(jié)構(gòu)通信系統(tǒng)的整體結(jié)構(gòu)參考圖1，根據(jù)本示例性實(shí)施例的通信系統(tǒng)是LTE系統(tǒng)，其具有UE1，該UE1是移動(dòng)終端；eNB2，該eNB2是基站；OMC（運(yùn)行和維護(hù)中心）3，該OMC（運(yùn)行和維護(hù)中心）3是運(yùn)行/維護(hù)服務(wù)器；PDN-GW4，該P(yáng)DN-GW4是網(wǎng)關(guān)；以及PCRF（策略和計(jì)費(fèi)規(guī)則功能）5，該P(yáng)CRF（策略和計(jì)費(fèi)規(guī)則功能）5是策略/計(jì)費(fèi)服務(wù)器。UE1的結(jié)構(gòu)參考圖1，UE1具有用戶數(shù)據(jù)處理單元1A和連接控制單元1B。用戶數(shù)據(jù)處理單元1A將其目的地是因特網(wǎng)上的預(yù)定服務(wù)器（未示出）的上行鏈路用戶數(shù)據(jù)（U面數(shù)據(jù)）傳送到eNB2。用戶數(shù)據(jù)可以包含非法數(shù)據(jù)，通過該非法數(shù)據(jù)針對(duì)因特網(wǎng)上的服務(wù)器進(jìn)行網(wǎng)絡(luò)攻擊。連接控制單元1B將調(diào)度請(qǐng)求消息（資源分配請(qǐng)求消息）傳送到eNB2，以便請(qǐng)求eNB2分配用于上行鏈路用戶數(shù)據(jù)的上行鏈路資源。eNB2的結(jié)構(gòu)參考圖1，eNB2具有OMC通信控制單元2A、用戶數(shù)據(jù)處理單元2B、訂戶數(shù)據(jù)管理單元2C、以及連接控制單元2D。當(dāng)用戶數(shù)據(jù)處理單元2B從UE1接收上行鏈路用戶數(shù)據(jù)時(shí)，用戶數(shù)據(jù)處理單元2B將用戶數(shù)據(jù)傳送到PDN-GW4。如果從UE1接收到的用戶數(shù)據(jù)的業(yè)務(wù)量超過為每個(gè)UE1已經(jīng)設(shè)置的預(yù)定閾值，則用戶數(shù)據(jù)處理單元2B將從有關(guān)的UE1接收到的上行鏈路用戶數(shù)據(jù)檢測(cè)為有可能是非法業(yè)務(wù)的可疑業(yè)務(wù)。當(dāng)用戶數(shù)據(jù)處理單元2B檢測(cè)可疑業(yè)務(wù)時(shí)，用戶數(shù)據(jù)處理單元2B從訂戶數(shù)據(jù)管理單元2C獲得已經(jīng)傳送可疑業(yè)務(wù)的UE1的訂戶數(shù)據(jù)。用戶數(shù)據(jù)處理單元2B向OMC通信控制單元2A輸出傳輸數(shù)據(jù)量過多警報(bào)，該傳輸數(shù)據(jù)量過多警報(bào)包含有關(guān)UE1的訂戶數(shù)據(jù)并且通知OMC通信控制單元2A從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的業(yè)務(wù)量超過閾值。當(dāng)用戶數(shù)據(jù)處理單元2B將傳輸數(shù)據(jù)量過多警報(bào)輸出到OMC通信控制單元2A時(shí)，OMC通信控制單元2A將傳輸數(shù)據(jù)量過多警報(bào)傳送到OMC3。當(dāng)OMC通信控制單元2A從OMC3接收非法業(yè)務(wù)停止請(qǐng)求（稍后將會(huì)描述）時(shí)，OMC通信控制單元2A將非法業(yè)務(wù)停止請(qǐng)求輸出到連接控制單元2D。當(dāng)訂戶數(shù)據(jù)管理單元2C從用戶數(shù)據(jù)處理單元2B接收關(guān)于訂戶數(shù)據(jù)的查詢時(shí)，訂戶數(shù)據(jù)管理單元2C將訂戶數(shù)據(jù)輸出到用戶數(shù)據(jù)處理單元2B。當(dāng)連接控制單元2D從UE1接收調(diào)度請(qǐng)求消息時(shí)，連接控制單元2D基于普通算法計(jì)算表示是否將上行鏈路資源分配給UE1的UL許可并且將計(jì)算的UL許可發(fā)送到UE1。然而，如果OMC通信控制單元2A將非法業(yè)務(wù)停止請(qǐng)求輸出到連接控制單元2D，則連接控制單元2D向UE1發(fā)送回指示響應(yīng)于從UE1接收到的調(diào)度請(qǐng)求消息而沒有對(duì)UE1分配上行鏈路資源的UL許可=0。當(dāng)UE1的用戶數(shù)據(jù)處理單元1A從eNB2接收UL許可=0時(shí)，用戶數(shù)據(jù)處理單元1A停止傳送上行鏈路用戶數(shù)據(jù)。OMC3的結(jié)構(gòu)參考圖1，OMC3具有通信控制單元3A和警報(bào)控制單元3B。當(dāng)通信控制單元3A從eNB2接收傳輸數(shù)據(jù)量過多警報(bào)時(shí)，通信控制單元3A將傳輸數(shù)據(jù)量過多警報(bào)輸出到警報(bào)控制單元3B。同時(shí)，通信控制單元3A將包含在傳輸數(shù)據(jù)量過多警報(bào)中包含的有關(guān)UE1的訂戶數(shù)據(jù)并且為了有關(guān)UE1激活DPI功能的DPI激活命令傳送到PDN-GW4。另外，當(dāng)通信控制單元3A從PDN-GW4接收到非法業(yè)務(wù)檢測(cè)通知（稍后將會(huì)描述）時(shí)，通信控制單元3A將包含有關(guān)UE1的訂戶數(shù)據(jù)并且使eNB2停止傳送有關(guān)UE1的用戶數(shù)據(jù)的非法業(yè)務(wù)停止請(qǐng)求傳送到eNB2。當(dāng)通信控制單元3A將傳輸數(shù)據(jù)量過多警報(bào)輸出到警報(bào)控制單元3B時(shí)，警報(bào)控制單元3B存儲(chǔ)傳輸數(shù)據(jù)量過多警報(bào)作為日志。PDN-GW4的結(jié)構(gòu)參考圖1，PDN-GW4具有OMC通信控制單元4A、用戶數(shù)據(jù)處理單元4B、以及訂戶數(shù)據(jù)管理單元4C。當(dāng)OMC通信控制單元4A從OMC3接收DPI激活命令時(shí)，OMC通信控制單元4A將DPI激活命令輸出到用戶數(shù)據(jù)處理單元4B。當(dāng)用戶數(shù)據(jù)處理單元4B從eNB2接收上行鏈路用戶數(shù)據(jù)時(shí)，用戶數(shù)據(jù)處理單元4B通過PDN將用戶數(shù)據(jù)傳送到因特網(wǎng)上的服務(wù)器。當(dāng)OMC通信控制單元4A將DPI激活命令輸出到用戶數(shù)據(jù)處理單元4B時(shí)，用戶數(shù)據(jù)處理單元4B將請(qǐng)求與被包含在DIP激活命令中的訂戶數(shù)據(jù)相對(duì)應(yīng)的有關(guān)UE1的契約策略的契約策略請(qǐng)求傳送到PCRF5。用戶數(shù)據(jù)處理單元4B答復(fù)契約策略請(qǐng)求從PCRF5接收用于有關(guān)UE1的契約策略的契約策略通知。用戶數(shù)據(jù)處理單元4B激活用于從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的DPI功能。其后，用戶數(shù)據(jù)處理單元4B將從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的有效載荷與在從PCRF5獲得的契約策略中定義的業(yè)務(wù)許可條件進(jìn)行比較，以便檢測(cè)是否從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)是非法業(yè)務(wù)。當(dāng)用戶數(shù)據(jù)處理單元4B檢測(cè)非法業(yè)務(wù)時(shí)，用戶數(shù)據(jù)處理單元4B將包含有關(guān)UE1的訂戶數(shù)據(jù)并且通知OMC通信控制單元4A有關(guān)UE1的上行鏈路用戶數(shù)據(jù)是非法業(yè)務(wù)的非法業(yè)務(wù)檢測(cè)通知輸出到OMC通信控制單元4A。當(dāng)用戶數(shù)據(jù)處理單元4B將非法業(yè)務(wù)檢測(cè)通知輸出到OMC通信控制單元4A時(shí)，OMC通信控制單元4A將非法業(yè)務(wù)檢測(cè)通知傳送到OMC3。當(dāng)訂戶數(shù)據(jù)管理單元4C從用戶數(shù)據(jù)處理單元4B接收關(guān)于訂戶數(shù)據(jù)的查詢時(shí)，訂戶數(shù)據(jù)管理單元4C將訂戶數(shù)據(jù)輸出到用戶數(shù)據(jù)處理單元4B。PCRF5的結(jié)構(gòu)參考圖1，PCRF5具有策略管理單元5A。當(dāng)策略管理單元5A從PDN-GW4接收契約策略請(qǐng)求時(shí)，策略管理單元5A將用于被請(qǐng)求的契約策略的契約策略通知傳送到PDN-GW4。（2）本示例性實(shí)施例的操作接下來，將會(huì)描述在圖1中示出的通信系統(tǒng)的操作。（2-1）檢測(cè)到可疑業(yè)務(wù)后執(zhí)行的操作首先，參考圖2，將會(huì)描述檢測(cè)可疑業(yè)務(wù)的eNB2的操作。參考圖2，eNB2的用戶數(shù)據(jù)處理單元2B監(jiān)視從UE1接收到的上行鏈路數(shù)據(jù)的業(yè)務(wù)量是否超過為每個(gè)UE1已經(jīng)設(shè)置的預(yù)定的閾值。如果業(yè)務(wù)量超過閾值，則用戶數(shù)據(jù)處理單元2B監(jiān)視從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)作為有可能是非法業(yè)務(wù)的可疑業(yè)務(wù)（在步驟S1和S2）。其后，OMC通信控制單元2A將包含有關(guān)UE1的訂戶數(shù)據(jù)并且通知OMC3從UE1接收到的上行鏈路用戶數(shù)據(jù)的業(yè)務(wù)量超過閾值的傳輸數(shù)據(jù)量過多警報(bào)傳送到OMC3（在步驟S3）。當(dāng)OMC3從eNB2接收傳輸數(shù)據(jù)量過多警報(bào)時(shí)，通信控制單元3A將包含有關(guān)UE1的訂戶數(shù)據(jù)并且使PDN-GW4激活DPI功能的PDI激活命令傳送到PDN-GW4以便檢查從UE1接收到的上行鏈路用戶數(shù)據(jù)是否是非法業(yè)務(wù)（在步驟S4）。當(dāng)PDN-GW4從OMC3接收DPI激活命令時(shí)，用戶數(shù)據(jù)處理單元4B將包含有關(guān)UE1的訂戶數(shù)據(jù)并且為了有關(guān)UE1的契約策略請(qǐng)求PCRF5的契約策略請(qǐng)求傳送到PCRF5，以便檢查有關(guān)UE1的業(yè)務(wù)許可條件（在步驟S5）。當(dāng)PCRF5從PDN-GW4接收契約策略請(qǐng)求時(shí)，策略管理單元5A從數(shù)據(jù)庫檢索有關(guān)UE1的契約策略并且將通知PDN-GW4檢索到的契約策略的契約策略通知傳送到PDN-GW4（在步驟S6）。當(dāng)PDN-GW4從PCRF5接收契約策略通知時(shí)，用戶數(shù)據(jù)處理單元4B激活用于從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的DPI功能并且然后OMC通信控制單元4A將通知OMC3DPI功能的激活已經(jīng)被完成的DPI激活完成通知傳送到OMC3（在步驟S7）。其后，PDN-GW4的用戶數(shù)據(jù)處理單元4B的狀態(tài)改變成監(jiān)視從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的狀態(tài)（在狀態(tài)S8）。（2-2）檢測(cè)到非法業(yè)務(wù)后執(zhí)行的操作接下來，參考圖3，將會(huì)描述檢測(cè)非法業(yè)務(wù)的PDN-GW4的操作。圖3示出在PDN-GW4的狀態(tài)改變成在監(jiān)視從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的在圖2中示出的狀態(tài)S8之后的操作。參考圖3，PDN-GW4的用戶數(shù)據(jù)處理單元4B監(jiān)視從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)的有效載荷是否符合在關(guān)于通過PCRF5已經(jīng)通知PDN-GW4的契約策略中定義的業(yè)務(wù)許可條件。如果有效載荷不符合業(yè)務(wù)許可條件，則用戶數(shù)據(jù)處理單元4B檢測(cè)從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)是非法業(yè)務(wù)（在步驟S9）。其后，OMC通信控制單元4A將包含有關(guān)UE1的訂戶數(shù)據(jù)并且通知OMC3已經(jīng)檢測(cè)到從有關(guān)UE1接收到的上行鏈路用戶數(shù)據(jù)為非法業(yè)務(wù)的非法業(yè)務(wù)檢測(cè)通知傳送到OMC3（在步驟S10）。當(dāng)OMC3從PDN-GW4接收非法業(yè)務(wù)檢測(cè)通知時(shí)，通信控制單元3A將包含有關(guān)UE1的訂戶數(shù)據(jù)并且請(qǐng)求eNB2停止傳送有關(guān)UE1的上行鏈路用戶數(shù)據(jù)的非法業(yè)務(wù)停止請(qǐng)求傳送到eNB2（在步驟S11）。一旦eNB2已經(jīng)從OMC3接收到非法業(yè)務(wù)停止請(qǐng)求，即使eNB2從有關(guān)UE1接收請(qǐng)求eNB2分配上行鏈路資源的調(diào)度請(qǐng)求消息（資源分配請(qǐng)求消息）（在步驟S12），連接控制單元2D沒有將上行鏈路資源分配給有關(guān)UE1并且將表示這樣的情形的UL許可=0發(fā)回給有關(guān)UE1（在步驟S13）。其后，有關(guān)UE1的連接控制單元1B的狀態(tài)改變成停止傳送上行鏈路用戶數(shù)據(jù)（非法業(yè)務(wù)）的狀態(tài)（在步驟S14）。如上所述，根據(jù)本示例性實(shí)施例，如果首先從UE1接收上行鏈路用戶數(shù)據(jù)的eNB2檢測(cè)大量的用戶數(shù)據(jù)（可疑業(yè)務(wù)），則eNB2通過OMC3激活PDN-GW4的DPI功能。因此，eNB2能夠積極地檢測(cè)其中從UE1傳送大量的用戶數(shù)據(jù)的網(wǎng)絡(luò)攻擊。一旦eNB2已經(jīng)檢測(cè)其中從UE1傳送大量的上行鏈路用戶數(shù)據(jù)的網(wǎng)絡(luò)功能，因?yàn)閑NB2沒有將上行鏈路資源分配給已經(jīng)進(jìn)行網(wǎng)絡(luò)攻擊的UE1，所以上行鏈路資源能夠被用于其它的合法UE1并且從而在沒有損失的情況下能夠使用上行鏈路資源。另外，因?yàn)槭挂呀?jīng)進(jìn)行網(wǎng)絡(luò)攻擊的UE1停止傳送用戶數(shù)據(jù)（非法業(yè)務(wù)），所以能夠防止非法業(yè)務(wù)在eNB2和PDN-GW4之間流動(dòng)并且從而能夠減少網(wǎng)絡(luò)負(fù)荷。另外，因?yàn)閮H通過添加在3GPP的標(biāo)準(zhǔn)協(xié)議中定義的DPI功能的激活條件能夠完成本示例性實(shí)施例的結(jié)構(gòu)，所以根據(jù)本發(fā)明的示例性實(shí)施例能夠非常容易地實(shí)現(xiàn)eNB2、PDN-GW4、以及PCRF5。參考示例性實(shí)施例，已經(jīng)描述了本發(fā)明。然而，應(yīng)理解的是，在沒有脫離本發(fā)明的范圍的情況下可以以各種方式改變本發(fā)明的結(jié)構(gòu)和詳情。本申請(qǐng)基于于2011年3月17日提交的日本專利申請(qǐng)JP2011-059234要求優(yōu)先權(quán)，其整個(gè)內(nèi)容通過引用整體合并在此。