報(bào)警信息生成方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,特別涉及一種報(bào)警信息生成方法及裝置��。
【背景技術(shù)】
[0002] -體化標(biāo)識(shí)網(wǎng)絡(luò)將網(wǎng)絡(luò)分為接入網(wǎng)與骨干網(wǎng)��,引入了接入網(wǎng)標(biāo)識(shí)(Access Identifier�,AID)與路由標(biāo)識(shí)(Routing Identifier,RID)���,從根本上解決了互聯(lián)網(wǎng)協(xié)議地 址(Internet Protocol Address���,IP)雙重屬性的問(wèn)題��,且能很好的與現(xiàn)有的互聯(lián)網(wǎng)與網(wǎng)絡(luò) 架構(gòu)進(jìn)行融合�����。
[0003] LTE (Long Term Evolution�,長(zhǎng)期演進(jìn))網(wǎng)絡(luò)架構(gòu)是基于IP的回程��,隨著越來(lái)越多 的基于IP的通信進(jìn)入移動(dòng)基礎(chǔ)設(shè)施��,LTE網(wǎng)絡(luò)架構(gòu)也變得更易受到來(lái)自互聯(lián)網(wǎng)的攻擊。而 一體化標(biāo)識(shí)網(wǎng)絡(luò)中提出了基礎(chǔ)設(shè)施層和普適服務(wù)層分離的概念�����,這種分層使得在一體化標(biāo) 識(shí)網(wǎng)絡(luò)內(nèi)部通信時(shí)不再基于IP,因此為了降低因基于IP導(dǎo)致的攻擊��,可以將LTE網(wǎng)絡(luò)與一 體化標(biāo)識(shí)網(wǎng)絡(luò)進(jìn)行融合�����。
[0004] 其中����,普適服務(wù)層負(fù)責(zé)各種業(yè)務(wù)的會(huì)話�、控制和管理���,這些業(yè)務(wù)包括由運(yùn)營(yíng)商或第 三方增值服務(wù)商提供的各種網(wǎng)絡(luò)業(yè)務(wù)�����,主要是語(yǔ)音����、數(shù)據(jù)、流媒體等�����。普適服務(wù)層創(chuàng)建了虛 擬服務(wù)部分、虛擬連接部分����、服務(wù)標(biāo)識(shí)解析映射以及連接標(biāo)識(shí)解析映射����,以實(shí)現(xiàn)對(duì)各種業(yè)務(wù) 的統(tǒng)一控制和管理等��。虛擬服務(wù)部分引入服務(wù)標(biāo)識(shí)(英文:Service Identification���,簡(jiǎn) 稱:SID)來(lái)描述和表示多種業(yè)務(wù)的服務(wù);虛擬連接部分為每個(gè)業(yè)務(wù)提供多種連接���;服務(wù)標(biāo) 識(shí)解析映射將服務(wù)對(duì)象映射到多個(gè)服務(wù)連接,以支持多種業(yè)務(wù)���;連接標(biāo)識(shí)解析映射將服務(wù) 連接映射到基礎(chǔ)設(shè)施層的多個(gè)連接,體現(xiàn)了一次服務(wù)可對(duì)應(yīng)多個(gè)連接�、多種路徑選擇的思 想,從而使服務(wù)的實(shí)現(xiàn)更加可靠���。
[0005] 通過(guò)上述層面的分離,當(dāng)終端需要某種服務(wù)時(shí)��,可以不再需要該服務(wù)所在的IP地 址,而是直接請(qǐng)求該項(xiàng)服務(wù)的服務(wù)標(biāo)識(shí)����。但該種請(qǐng)求訪問(wèn)的方式亦會(huì)帶來(lái)特殊的安全問(wèn)題����, 如對(duì)服務(wù)進(jìn)行的泛洪攻擊等�。
[0006] 為了避免終端對(duì)服務(wù)的攻擊��,相關(guān)技術(shù)中采用的方式是對(duì)用戶的身份進(jìn)行認(rèn)證, 只有認(rèn)證通過(guò)的用戶才可以入網(wǎng)訪問(wèn)��。但此方法并不能抵御用戶接入專網(wǎng)后進(jìn)行的惡意攻 擊行為����,比如�����,當(dāng)合法用戶被黑客當(dāng)作傀儡主機(jī)對(duì)專網(wǎng)發(fā)起攻擊時(shí)����,因該方法已經(jīng)完成了對(duì) 身份的認(rèn)證��,并無(wú)后續(xù)處理機(jī)制,專網(wǎng)安全仍可能被長(zhǎng)時(shí)間攻擊導(dǎo)致癱瘓��。
【發(fā)明內(nèi)容】
[0007] 為了解決相關(guān)技術(shù)中在通過(guò)用戶身份認(rèn)證以防止服務(wù)進(jìn)行泛洪攻擊時(shí)�����,無(wú)法避免 用戶成功入網(wǎng)后進(jìn)行的惡意攻擊的問(wèn)題���,本發(fā)明實(shí)施例提供了一種報(bào)警信息生成方法及裝 置��。所述技術(shù)方案如下:
[0008] 第一方面����,提供了一種報(bào)警信息生成方法���,應(yīng)用于位于一體化標(biāo)識(shí)網(wǎng)絡(luò)中的專網(wǎng) 路由器中��,所述方法包括:
[0009] 接收用于請(qǐng)求專網(wǎng)服務(wù)的訪問(wèn)請(qǐng)求包����,所述訪問(wèn)請(qǐng)求包的包頭中攜帶終端的終端 標(biāo)識(shí)和所請(qǐng)求訪問(wèn)的專網(wǎng)服務(wù)的服務(wù)標(biāo)識(shí)��;
[0010] 計(jì)算具有所述終端標(biāo)識(shí)的終端對(duì)具有所述服務(wù)標(biāo)識(shí)的專網(wǎng)服務(wù)進(jìn)行訪問(wèn)的訪問(wèn) 速率��;
[0011] 當(dāng)所述訪問(wèn)速率達(dá)到預(yù)定速率閾值時(shí)�,則生成報(bào)警信息,并將所述報(bào)警信息發(fā)送 至移動(dòng)管理實(shí)體MME����,所述報(bào)警信息用于觸發(fā)所述MME限制具有所述終端標(biāo)識(shí)的終端對(duì)與 具有所述服務(wù)標(biāo)識(shí)的專網(wǎng)服務(wù)進(jìn)行訪問(wèn)的訪問(wèn)速度。
[0012] 可選的,所述方法還包括:
[0013] 對(duì)所述訪問(wèn)請(qǐng)求包進(jìn)行解析�����,得到所述訪問(wèn)請(qǐng)求包的包頭中攜帶的所述終端標(biāo)識(shí) 和所述服務(wù)標(biāo)識(shí)���;
[0014] 若所述專網(wǎng)路由器已經(jīng)存儲(chǔ)有包含所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系��,則 將與所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的計(jì)數(shù)值累加,記錄累加時(shí)的時(shí)刻����,所述計(jì)數(shù)值用于指示接收到的 具有所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)的訪問(wèn)請(qǐng)求包的數(shù)量�;
[0015] 若所述專網(wǎng)路由器尚未存儲(chǔ)有包含所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系�����,則 將所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)作為一組對(duì)應(yīng)關(guān)系進(jìn)行存儲(chǔ),設(shè)置與所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的 計(jì)數(shù)值為初始值���,記錄存儲(chǔ)時(shí)的時(shí)刻��。
[0016] 可選的���,所述計(jì)算具有所述終端標(biāo)識(shí)的終端對(duì)具有所述服務(wù)標(biāo)識(shí)的專網(wǎng)服務(wù)進(jìn)行 訪問(wèn)的訪問(wèn)速率��,包括:
[0017] 確定同時(shí)具有所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系�;
[0018] 獲取所述對(duì)應(yīng)關(guān)系的計(jì)數(shù)值�����;
[0019] 獲取與所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的最早的記錄時(shí)刻和最晚的記錄時(shí)刻����,所述記錄時(shí)刻為 存儲(chǔ)所述對(duì)應(yīng)關(guān)系的時(shí)刻���,或者累加所述對(duì)應(yīng)關(guān)系的計(jì)數(shù)值的時(shí)刻;
[0020] 將所述最晚的記錄時(shí)刻減去所述最早的記錄時(shí)刻�����,得到與所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的記 錄時(shí)長(zhǎng)����;
[0021 ] 將所述計(jì)數(shù)值除以所述記錄時(shí)長(zhǎng)���,得到所述訪問(wèn)速率���。
[0022] 可選的,所述訪問(wèn)請(qǐng)求包的包頭中還攜帶為所述終端分配的內(nèi)網(wǎng)標(biāo)識(shí)RID��,所述報(bào) 警信息中包含所述RID�����、所述終端標(biāo)識(shí)、所述服務(wù)標(biāo)識(shí)以及限制策略����,
[0023] 所述將所述報(bào)警信息發(fā)送至移動(dòng)管理實(shí)體MME���,包括:
[0024] 向具有所述RID的路由器發(fā)送所述報(bào)警信息�����,所述報(bào)警信息用于觸發(fā)所述路由器 查詢與所述RID對(duì)應(yīng)的外網(wǎng)標(biāo)識(shí)AID����,將所述報(bào)警信息的所述RID更改為所述AID�����,向所述 MME發(fā)送更改后的所述報(bào)警信息�����,更改后的所述報(bào)警信息用于觸發(fā)所述MME限制具有所述 終端標(biāo)識(shí)的終端對(duì)所述專網(wǎng)服務(wù)的訪問(wèn)速度。
[0025] 可選的��,所述方法還包括:
[0026] 每隔預(yù)定時(shí)間間隔���,清除訪問(wèn)速率低于預(yù)定閾值的對(duì)應(yīng)關(guān)系���,或者����,清除預(yù)定個(gè)對(duì) 應(yīng)關(guān)系,被清除的所述預(yù)定個(gè)對(duì)應(yīng)關(guān)系的訪問(wèn)速率低于未被清除的對(duì)應(yīng)關(guān)系的訪問(wèn)速率�。
[0027] 第二方面����,提供了一種報(bào)警信息生成裝置,應(yīng)用于位于一體化標(biāo)識(shí)網(wǎng)絡(luò)中的專網(wǎng) 路由器中,所述裝置包括:
[0028] 接收模塊�����,用于接收用于請(qǐng)求專網(wǎng)服務(wù)的訪問(wèn)請(qǐng)求包����,所述訪問(wèn)請(qǐng)求包的包頭中 攜帶終端的終端標(biāo)識(shí)和所請(qǐng)求訪問(wèn)的專網(wǎng)服務(wù)的服務(wù)標(biāo)識(shí)�;
[0029] 計(jì)算模塊�����,用于計(jì)算具有所述終端標(biāo)識(shí)的終端對(duì)具有所述服務(wù)標(biāo)識(shí)的專網(wǎng)服務(wù)進(jìn) 行訪問(wèn)的訪問(wèn)速率��;
[0030] 生成模塊��,用于在所述計(jì)算模塊計(jì)算得到所述訪問(wèn)速率達(dá)到預(yù)定速率閾值時(shí)����,則 生成報(bào)警信息;
[0031] 發(fā)送模塊����,用于將所述生成模塊生成的所述報(bào)警信息發(fā)送至移動(dòng)管理實(shí)體MME�����,所 述報(bào)警信息用于觸發(fā)所述MME限制具有所述終端標(biāo)識(shí)的終端對(duì)與具有所述服務(wù)標(biāo)識(shí)的專 網(wǎng)服務(wù)進(jìn)行訪問(wèn)的訪問(wèn)速度。
[0032] 可選的�,所述裝置還包括:
[0033] 解析模塊����,用于對(duì)所述訪問(wèn)請(qǐng)求包進(jìn)行解析���,得到所述訪問(wèn)請(qǐng)求包的包頭中攜帶 的所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)���;
[0034] 累加模塊����,用于在所述專網(wǎng)路由器已經(jīng)存儲(chǔ)有包含所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí) 的對(duì)應(yīng)關(guān)系時(shí)�����,將與所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的計(jì)數(shù)值累加,記錄累加時(shí)的時(shí)刻�,所述計(jì)數(shù)值用于 指示接收到的具有所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)的訪問(wèn)請(qǐng)求包的數(shù)量;
[0035] 存儲(chǔ)模塊���,用于在所述專網(wǎng)路由器尚未存儲(chǔ)有包含所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí) 的對(duì)應(yīng)關(guān)系時(shí),將所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)作為一組對(duì)應(yīng)關(guān)系進(jìn)行存儲(chǔ)����,設(shè)置與所述 對(duì)應(yīng)關(guān)系對(duì)應(yīng)的計(jì)數(shù)值為初始值,記錄存儲(chǔ)時(shí)的時(shí)刻�。
[0036] 可選的����,所述計(jì)算模塊���,包括:
[0037] 確定單元�����,用于確定同時(shí)具有所述終端標(biāo)識(shí)和所述服務(wù)標(biāo)識(shí)的對(duì)應(yīng)關(guān)系��;
[0038] 第一獲取單元,用于獲取所述確定單元確定出的所述對(duì)應(yīng)關(guān)系的計(jì)數(shù)值���;
[0039] 第二獲取單元�����,用于獲取與所述確定單元確定出的所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的最早的記 錄時(shí)刻和最晚的記錄時(shí)刻,所述記錄時(shí)刻為存儲(chǔ)所述對(duì)應(yīng)關(guān)系的時(shí)刻��,或者累加所述對(duì)應(yīng) 關(guān)系的計(jì)數(shù)值的時(shí)刻��;
[0040] 第一計(jì)算單元,用于將所述第二獲取單元獲取到的所述最晚的記錄時(shí)刻減去所述 第二獲取單元獲取到的所述最早的記錄時(shí)刻�,得到與所述對(duì)應(yīng)關(guān)系對(duì)應(yīng)的記錄時(shí)長(zhǎng);
[0041] 第二計(jì)算單元��,用于將所述第一獲取單元獲取的所述計(jì)數(shù)值除以所述第一計(jì)算單 元計(jì)算得到的所述記錄時(shí)長(zhǎng)����,得到所述訪問(wèn)速率。
[0042] 可選的��,所述訪問(wèn)請(qǐng)求包的包頭中還攜帶為所述終端分配的內(nèi)網(wǎng)標(biāo)識(shí)RID