用于提供通信服務(wù)提供方和提供服務(wù)的互聯(lián)網(wǎng)協(xié)議ip服務(wù)器之間的連接的方法��、包括 ...的制作方法
【專利摘要】一種為至少一個通信服務(wù)提供方提供到邊界網(wǎng)絡(luò)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器的連接的方法����,該IP服務(wù)器在公共IP網(wǎng)絡(luò)上提供服務(wù),所述方法包括步驟:在邊界網(wǎng)絡(luò)中���,檢測通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性���;在邊界網(wǎng)絡(luò)中�,丟棄通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)��,以及在邊界網(wǎng)絡(luò)中���,啟用至少一個專用IP網(wǎng)絡(luò)上的位于IP服務(wù)器和至少一個通信服務(wù)提供方之間的連接�����,用于IP服務(wù)器提供的服務(wù)�。
【專利說明】
用于提供通信服務(wù)提供方和提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器之間的連接的方法���、包括IP服務(wù)器的邊界網(wǎng)絡(luò)以及提供服務(wù)的IP服務(wù)器
技術(shù)領(lǐng)域
[0001]本發(fā)明總體涉及用于提供至少一個通信服務(wù)提供方和IP服務(wù)器之間的連接的方法,具體涉及被執(zhí)行以實現(xiàn)該連接的方法步驟���。
【背景技術(shù)】
[0002]現(xiàn)如今��,消費者和商務(wù)越來越依賴于公共互聯(lián)網(wǎng)服務(wù)����,例如網(wǎng)上銀行�、政府網(wǎng)站、信用卡網(wǎng)站等。這種依賴增加了對支持這些服務(wù)的網(wǎng)站的穩(wěn)定可用性的要求�����。例如����,不可用性可能對經(jīng)濟社會造成損害。消費者可能不信任這些基于互聯(lián)網(wǎng)的服務(wù)�,這可能影響經(jīng)濟。
[0003]這些服務(wù)的不可用性可能是由網(wǎng)絡(luò)故障���、支持服務(wù)的服務(wù)器的故障���、服務(wù)本身的故障以及第三方對這些服務(wù)的攻擊引起的。一種可能的攻擊類型是(分布式)拒絕服務(wù)DDoSt3DDoS包括試圖暫時或無限期地中斷或禁止與公共網(wǎng)絡(luò)(如互聯(lián)網(wǎng))相連的服務(wù)器的服務(wù)�。
[0004]從單個源執(zhí)行DoS攻擊,用大量(假冒)業(yè)務(wù)或查詢泛洪目標服務(wù)器�����,使得該服務(wù)器變得無法正常操作���,并且DDoS攻擊本質(zhì)上是相同類型的攻擊�����,但從多個源同時進行�。
[0005]DDoS的癥狀包括但不限于,遲緩或無響應(yīng)的網(wǎng)絡(luò)表現(xiàn)以及無響應(yīng)或不可用的應(yīng)用和/或服務(wù)��。
[0006]在對特定互聯(lián)網(wǎng)的DDoS攻擊的情形中�����,當前的一種保護形式是�����,至少對有問題的服務(wù)�,暫時阻止特定或全部的進出IP業(yè)務(wù)��。一旦檢測到或懷疑有DDoS攻擊����,就盡快通過服務(wù)器或服務(wù)宿主的防火墻來激活阻止。
[0007]互聯(lián)網(wǎng)服務(wù)可以涉及簡單郵件傳輸協(xié)議電子郵件(SMTP)��、超文本傳輸協(xié)議(HTTP)�����、文件傳輸協(xié)議(FTP)、IP電話(VoIP)等����。
[0008]互聯(lián)網(wǎng)服務(wù)的不可用性還可能由例如以下問題引起,公共互聯(lián)網(wǎng)的特定IP路由器或DNS服務(wù)器�,與IP服務(wù)器相連的匿名系統(tǒng)(AS)的IP基礎(chǔ)設(shè)施中的錯誤條件,等等�����。無論不可用性的原因如何�����,服務(wù)器不可用性的結(jié)果都是消費者和商務(wù)無法訪問互聯(lián)網(wǎng)服務(wù)����。
[0009]現(xiàn)有技術(shù)提倡的保護(即一旦檢測到DDoS就暫時阻止特定或全部的進出IP業(yè)務(wù))保護IP服務(wù)器和所提供的服務(wù),但其不提供對不可用性方面的解決方案�����。至少在DDoS攻擊期間����,IP服務(wù)器和/或提供的服務(wù)仍將不可用�����。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的是提供一種提供至少一個通信服務(wù)提供方和邊界網(wǎng)絡(luò)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器之間的連接的改進方法��,其中�,所述IP服務(wù)器通過公共IP網(wǎng)絡(luò)提供服務(wù)��。
[0011]另一個目的是提供一種邊界網(wǎng)絡(luò)�,包括提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器,其中��,所述邊界網(wǎng)絡(luò)被布置用于支持所述改進方法���。
[0012]再一個目的是提供一種IP服務(wù)器�,被布置用于支持為至少一個通信服務(wù)提供方提供到IP服務(wù)器的連接的改進方法��。
[0013]在本文的第一方面中�����,提出一種為至少一個通信服務(wù)提供方提供到邊界網(wǎng)絡(luò)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器的連接的方法��,其中所述IP服務(wù)器在公共IP網(wǎng)絡(luò)上提供服務(wù)�。
[0014]所述方法包括以下步驟:在邊界網(wǎng)絡(luò)中,檢測通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性;在邊界網(wǎng)絡(luò)中�����,丟棄通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)���,以及在邊界網(wǎng)絡(luò)中�����,啟用至少一個專用IP網(wǎng)絡(luò)上到至少一個通信服務(wù)提供方的����、用于IP服務(wù)器提供的服務(wù)的連接��。
[0015]所述方法基于以下見解��,每當檢測到到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性時����,可以保證服務(wù)的可用性,即����,可以使用至少一個專用網(wǎng)絡(luò)來啟用從IP服務(wù)器到至少一個通信服務(wù)提供方的連接���。
[0016]在本發(fā)明的上下文中,不規(guī)則性包括到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的突然增加��,到達邊界網(wǎng)絡(luò)的特定類型請求的突然增加���,到達邊界網(wǎng)絡(luò)的IP分組的凈載荷的突然增加��,來自特定源的IP業(yè)務(wù)的突然增加��,到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的非期望的持續(xù)消失��,等等��。
[0017]專用網(wǎng)絡(luò)可以是例如公共IP網(wǎng)絡(luò)上的虛擬專用網(wǎng)絡(luò)VPN���。該VPN使服務(wù)器能夠經(jīng)公共IP網(wǎng)絡(luò)發(fā)送和接收IP分組,同時還能夠從VPN的功能��、安全和管理策略獲益�����,且不受到進出公共互聯(lián)網(wǎng)的IP業(yè)務(wù)的臨時阻塞的影響��。通常通過使用專用鏈接����、加密或二者組合來建立虛擬的點對點連接,由此來使用VPN�����。
[0018]VPN的一個優(yōu)點是對公共IP網(wǎng)絡(luò)隱藏網(wǎng)絡(luò)地址�����,例如�,隱藏IP服務(wù)器的IP地址或主機名地址。因此�����,VPN的網(wǎng)絡(luò)地址對攻擊者而言是未知的����,DDoS攻擊無法重定向到VPN。
[0019]專用網(wǎng)絡(luò)的另一個示例可以是IP分組交換IPXt3IPX包括電信互連基礎(chǔ)設(shè)施,用于經(jīng)由基于IP的網(wǎng)絡(luò)對網(wǎng)絡(luò)接口��,在通信服務(wù)提供方之間交換IP業(yè)務(wù)�。
[0020]在當前技術(shù)下,DDoS攻擊無法重定向到IPX連接����,因為IPX邏輯和物理上都與公共IP網(wǎng)絡(luò)完全隔離。IPX對公共IP網(wǎng)絡(luò)(如互聯(lián)網(wǎng))來說不可尋址也不可見���。
[0021]在本發(fā)明的上下文中�����,通信服務(wù)提供方可以是互聯(lián)網(wǎng)服務(wù)提供商(ISP)和移動網(wǎng)絡(luò)操作方(MNO)中任一個����。ISP是例如為用戶設(shè)備提供對公共IP網(wǎng)絡(luò)(如互聯(lián)網(wǎng))的接入和相關(guān)服務(wù)的商業(yè)或組織��。MNO是為其訂閱移動用戶提供無線語音�����、數(shù)據(jù)通信以及互聯(lián)網(wǎng)連接的電信服務(wù)提供商組織��。
[0022]與通信服務(wù)提供方相連的用戶設(shè)備可以發(fā)起通信服務(wù)提供方和IP服務(wù)器之間的連接。然后�,用戶設(shè)備能夠通過通信服務(wù)提供方和IP服務(wù)器之間的連接來訪問IP服務(wù)器提供的服務(wù)。
[0023]對于在邊界網(wǎng)絡(luò)中檢測到不規(guī)則性(如DDoS攻擊)的情形�����,使用專用IP網(wǎng)絡(luò)上的連接來提供從UE到服務(wù)的訪問���。由此,用戶設(shè)備將不再遇到任何問題��,例如�����,與檢測到的不規(guī)則性有關(guān)的服務(wù)中斷或服務(wù)不可用�。
[0024]邊界網(wǎng)絡(luò)(例如,非軍事區(qū)網(wǎng)絡(luò)DMZ和屏蔽的子網(wǎng)網(wǎng)絡(luò))通常是與組織的個人網(wǎng)絡(luò)和公共IP網(wǎng)絡(luò)分離創(chuàng)建的小型網(wǎng)絡(luò)�����。邊界網(wǎng)絡(luò)允許外部用戶獲得對位于邊界網(wǎng)絡(luò)內(nèi)的特定服務(wù)器的訪問權(quán)����。例如����,邊界網(wǎng)絡(luò)可以包括公司的web服務(wù)器�,使得可以向公共IP網(wǎng)絡(luò)發(fā)送網(wǎng)絡(luò)內(nèi)容。由此��,邊界網(wǎng)絡(luò)與公共IP網(wǎng)絡(luò)和組織的個人網(wǎng)絡(luò)分離或隔離�。
[0025]邊界網(wǎng)絡(luò)是和公共IP網(wǎng)絡(luò)的服務(wù)器最靠近的網(wǎng)絡(luò)。通常�����,邊界網(wǎng)絡(luò)是IP分組沿途去往公共IP網(wǎng)絡(luò)所經(jīng)過的網(wǎng)絡(luò)之一中的最后一步����,相反,也是從公共IP網(wǎng)絡(luò)進入的IP業(yè)務(wù)所遇到的第一個網(wǎng)絡(luò)��。
[0026]在本發(fā)明的上下文中���,邊界網(wǎng)絡(luò)還可以僅由IP服務(wù)器構(gòu)成�����,使得IP服務(wù)器被布置為執(zhí)行根據(jù)本發(fā)明的任一方法的步驟���。
[0027]下文中與DoS攻擊相關(guān)的表述還可適用于DDoS攻擊�,反之亦然����。
[0028]示例中,所述邊界網(wǎng)絡(luò)在至少一個專用IP網(wǎng)絡(luò)上啟用位于IP服務(wù)器和所述至少一個通信服務(wù)提供方之間的����、用于IP服務(wù)器提供的所述服務(wù)的連接包括:建立位于至少一個通信服務(wù)提供方和IP服務(wù)器之間的至少一個專用IP網(wǎng)絡(luò)���,以及在所建立的至少一個專用IP網(wǎng)絡(luò)上�,針對IP服務(wù)器提供的服務(wù)來連接至少一個通信服務(wù)提供方����。
[0029]一旦在到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中檢測到不規(guī)則性,邊界網(wǎng)絡(luò)可以決定自動和/或獨立開始建立位于通信服務(wù)提供方和IP服務(wù)器之間的專用IP網(wǎng)絡(luò)�����。發(fā)明人指出��,不必在檢測到不規(guī)則性前已經(jīng)建立專用IP網(wǎng)絡(luò)����。
[0030]不在檢測到不規(guī)則性前建立專用IP網(wǎng)絡(luò)的優(yōu)點是��,當不使用專用IP網(wǎng)絡(luò)時��,不需要維持或支持通信服務(wù)提供方和邊界網(wǎng)絡(luò)之間的專用IP網(wǎng)絡(luò)����。僅當要使用專用IP網(wǎng)絡(luò)時��,即����,檢測到IP業(yè)務(wù)中的不規(guī)則性時,才維持或支持專用IP網(wǎng)絡(luò)���。
[0031]示例中�,IP服務(wù)器經(jīng)由包括在IP服務(wù)器中的第一公共IP接口�,在公共IP網(wǎng)絡(luò)上提供所述服務(wù),其中����,通過包括在IP服務(wù)器中的第二 IP接口來執(zhí)行建立至少一個專用IP網(wǎng)絡(luò)和連接至少一個通信服務(wù)提供方的步驟。
[0032]發(fā)明人深入了解到�����,不應(yīng)通過第一公共IP接口來建立專用IP網(wǎng)絡(luò),因為該接口正在面對不規(guī)則性�����,例如DDoS攻擊�。由此,第一公共IP接口上用于建立專用IP網(wǎng)絡(luò)的任何信令很可能無法成功�����。由此�,使用第二公共IP接口來建立專用IP網(wǎng)絡(luò)��。
[0033]在另一個示例中����,啟用位于IP服務(wù)器和至少一個通信服務(wù)提供方之間的連接的步驟包括啟用位于至少一個或多個通信服務(wù)提供方和IP服務(wù)器之間的至少一個預(yù)先建立的專用IP網(wǎng)絡(luò)上的連接。
[0034]這里�,專用IP網(wǎng)絡(luò)預(yù)先建立在通信服務(wù)提供方和邊界網(wǎng)絡(luò)或IP服務(wù)器之間。一旦檢測到不規(guī)則性����,則激活預(yù)先建立的專用IP網(wǎng)絡(luò)上的連接���,以保護這些網(wǎng)絡(luò)之間的IP業(yè)務(wù)。在該情形中�,可以事先建立專用IP網(wǎng)絡(luò),甚至在一些情形中��,可以使用第一公共接口在公共IP網(wǎng)絡(luò)上建立專用IP網(wǎng)絡(luò)�����。其優(yōu)點是不需要第二公共接口����,因為專用IP網(wǎng)絡(luò)已(事先)建立好。
[0035]在又一個示例中�����,在邊界網(wǎng)絡(luò)中�����,在至少一個專用IP網(wǎng)絡(luò)上啟用位于邊界網(wǎng)絡(luò)和至少一個通信服務(wù)提供方之間的�、用于IP服務(wù)器提供的服務(wù)的連接的步驟包括:啟用位于邊界網(wǎng)絡(luò)和包括在至少一個通信服務(wù)提供方中的網(wǎng)關(guān)通用分組無線服務(wù)GPRS支持節(jié)點GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)I3DN-Gw中任一項之間的至少一個專用IP網(wǎng)絡(luò)上的連接。
[0036]經(jīng)由作為連接到通信提供方網(wǎng)絡(luò)的主接入點的GGSN和PDN-Gw中的任一個,路由來自用戶設(shè)備的互聯(lián)網(wǎng)協(xié)議分組��。由此����,即使在對公共互聯(lián)網(wǎng)上的服務(wù)的訪問中有不規(guī)則性的情形中,例如�,對服務(wù)的DDoS攻擊,這些服務(wù)器(即GGSN和TON-Gw)中任一個與邊界網(wǎng)絡(luò)之間的連接保護了從UE到提供服務(wù)的IP服務(wù)器之間的訪問�。
[0037]示例中,檢測IP業(yè)務(wù)中的不規(guī)則性的步驟包括檢測通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的高負載或過載中任一項�,以及不存在通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的針對服務(wù)的IP業(yè)務(wù)。
[0038]根據(jù)本發(fā)明�����,認為DDoS攻擊導(dǎo)致了到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性�����。DDoS攻擊大體上可以分為三種類型�?�;隗w量的攻擊包括:用戶數(shù)據(jù)報文協(xié)議UDP泛洪(flood)�、互聯(lián)網(wǎng)控制消息協(xié)議ICMP泛洪、以及其他類型泛洪等等�。這種攻擊的目的是使IP服務(wù)器的帶寬飽和��。其強度一般以每秒比特數(shù)來衡量�。
[0039]協(xié)議攻擊包括:同步SYN消息泛洪�、碎片分組攻擊、死亡攻擊(Ping of Death)�����、Smurf DDos等�����。這種攻擊消耗實際的IP服務(wù)器資源或者邊界網(wǎng)絡(luò)中的中間通信設(shè)備(如防火墻和負載均衡器)的資源���。其強度以每秒分組數(shù)來衡量�����。
[0040]應(yīng)用層攻擊包括Slowloris��、Zero_dayDDoS攻擊����、針對Apache、Windows或OpenBSD弱點的DDoS攻擊等��。這些攻擊由貌似合法且清白的請求組成��,其目的是摧毀IP服務(wù)器提供的服務(wù)�����,例如web服務(wù)��。其強度以每秒請求數(shù)來衡量�����。
[0041]不規(guī)則性的另一特定形式是不存在任何IP業(yè)務(wù)到達邊界網(wǎng)絡(luò)�����,或者是到達邊界網(wǎng)絡(luò)的正常IP業(yè)務(wù)降低��。這可能指示公共IP網(wǎng)絡(luò)中的任何故障����,例如服務(wù)器宕機����。
[0042]示例中�,丟棄通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的步驟包括:在邊界網(wǎng)絡(luò)中放棄��、阻止和重定向IP業(yè)務(wù)中的任一項����。
[0043]該步驟可以通過包括在邊界網(wǎng)絡(luò)中的防火墻、IP服務(wù)器和服務(wù)中的任一個來執(zhí)行�����。在本發(fā)明的上下文中�,防火墻是基于軟件或硬件的、通過分析IP分組并基于所應(yīng)用的規(guī)則集合來確定是否應(yīng)運行它們通過�,由此控制進出網(wǎng)絡(luò)的IP業(yè)務(wù)的網(wǎng)絡(luò)安全系統(tǒng)。由此�,防火墻被布置為在信任的安全內(nèi)網(wǎng)(即邊界網(wǎng)絡(luò))和公共IP網(wǎng)絡(luò)之間建立屏障。
[0044]在又一個示例中����,在邊界網(wǎng)絡(luò)中,在所述至少一個專用IP網(wǎng)絡(luò)上啟用位于IP服務(wù)器和至少一個通信服務(wù)提供方之間的���、用于IP服務(wù)器提供的服務(wù)的連接的步驟包括以下步驟:在邊界網(wǎng)絡(luò)中����,確定哪些通信服務(wù)提供方被訂閱到受控安全訪問服務(wù),以及在邊界網(wǎng)絡(luò)中�,在專用IP網(wǎng)絡(luò)上啟用到各個被訂閱的通信服務(wù)提供方的、用于IP服務(wù)器提供的服務(wù)的連接�。
[0045]在本發(fā)明的第二方面中,提出一種邊界網(wǎng)絡(luò)���,包括提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器����,所述邊界網(wǎng)絡(luò)被布置用于在公共IP網(wǎng)絡(luò)上為至少一個通信服務(wù)提供方提供到IP服務(wù)器的連接�����。
[0046]邊界網(wǎng)絡(luò)包括:可操作為檢測通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性的檢測器模塊;可操作為丟棄通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的丟棄器模塊�����;以及可操作為在至少一個專用IP網(wǎng)絡(luò)上��,啟用到至少一個通信服務(wù)提供方的�����、用于IP服務(wù)器提供的服務(wù)的連接的啟用器模塊。
[0047]檢測器模塊����、丟棄器模塊和啟用器模塊可以包括在邊界網(wǎng)絡(luò)的防火墻中���、IP服務(wù)器中���、甚至包括在IP服務(wù)器提供的服務(wù)中。
[0048]示例中�,啟用器模塊還可操作為:建立位于至少一個通信服務(wù)提供方和IP服務(wù)器之間的至少一個專用IP網(wǎng)絡(luò),以及在所建立的至少一個專用IP網(wǎng)絡(luò)上����,連接至少一個通信服務(wù)提供方,以用于IP服務(wù)器提供的服務(wù)����。
[0049]在另一個示例中,IP服務(wù)器經(jīng)由包括在IP服務(wù)器中的第一公共IP接口��,在公共IP網(wǎng)絡(luò)上提供服務(wù)�,其中,啟用器模塊可操作為通過包括在IP服務(wù)器中的第二IP接口來啟用到至少一個通信服務(wù)提供方的連接�����。
[0050]在又一個示例中,啟用器模塊可操作為啟用到至少一個通信服務(wù)提供方的連接����,包括啟用的預(yù)先建立的專用IP網(wǎng)絡(luò)上的連接。
[0051]在另一個示例中��,啟用器模塊可操作為:啟用位于邊界網(wǎng)絡(luò)和包括在至少一個通信服務(wù)提供方中的網(wǎng)關(guān)通用分組無線服務(wù)GPRS支持節(jié)點GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)PDN-Gw中任一項之間的至少一個專用IP網(wǎng)絡(luò)上的連接��。
[0052]在又一個示例中����,IP業(yè)務(wù)中的不規(guī)則性包括:通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的過載,以及不存在通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的針對服務(wù)的IP業(yè)務(wù)中的任一項�����。
[0053]在再一個示例中�����,丟棄器模塊可操作為:丟棄通過公共IP網(wǎng)絡(luò)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)�����,所述丟棄包括在邊界網(wǎng)絡(luò)中丟棄、阻止和重定向IP業(yè)務(wù)中的任一項�����。
[0054]在又一個示例中�,啟用器模塊可操作為:確定哪些通信服務(wù)提供方被訂閱到受控安全訪問服務(wù)����,以及在專用IP網(wǎng)絡(luò)上,啟用用于IP服務(wù)器提供的服務(wù)的���、到各個被訂閱的通信服務(wù)提供方的連接��。
[0055]在本發(fā)明的第三方面中�����,提出一種提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器����,其中所述IP服務(wù)器被布置用于在公共IP網(wǎng)絡(luò)上為至少一個通信服務(wù)提供方提供到IP服務(wù)器的連接����。
[0056]所述IP服務(wù)器包括:可操作為檢測通過公共IP網(wǎng)絡(luò)到達IP服務(wù)器的IP業(yè)務(wù)中的不規(guī)則性的檢測器模塊;可操作為丟棄通過公共IP網(wǎng)絡(luò)到達IP服務(wù)器的IP業(yè)務(wù)的丟棄器模塊�;以及可操作為在至少一個專用IP網(wǎng)絡(luò)上啟用到至少一個通信服務(wù)提供方的����、用于IP服務(wù)器提供的服務(wù)的連接的啟用器模塊。
[0057]互聯(lián)網(wǎng)協(xié)議IP服務(wù)器可以包括處理器和存儲器�,其中存儲器包括處理器可執(zhí)行的指令,由此IP接入點服務(wù)器操作為執(zhí)行上述方法中的任一個���。
[0058]在本發(fā)明的上下文中�����,模塊��、設(shè)備�、裝置等還可以實現(xiàn)為在處理器上運行的計算機程序�。
[0059]作為示例,IP服務(wù)器提供的服務(wù)可以是web服務(wù)����,即容宿web站點。
[0060]從參考附圖的以下描述中將可以最好地理解本發(fā)明的上述和其他的特征和優(yōu)點�。在附圖中,類似的附圖標記表示完全相同的部分或執(zhí)行完全相同或類似功能或操作的部分。
[0061]本發(fā)明不限于以下結(jié)合特定類型的通信服務(wù)提供方或公共IP網(wǎng)絡(luò)而公開的特定示例�。
【附圖說明】
[0062]圖1是示出根據(jù)本發(fā)明的拓撲結(jié)構(gòu)的示意圖的框圖,包括通信服務(wù)提供方�����、公共IP網(wǎng)絡(luò)和邊界網(wǎng)絡(luò)�����。
[0063]圖2是示出根據(jù)本發(fā)明被布置為通過專用IP網(wǎng)絡(luò)連接到IP服務(wù)器的GGSN的示意圖的框圖����。
[0064]圖3是示出根據(jù)本發(fā)明的IP服務(wù)器的示意圖的框圖����。
[0065]圖4是示出根據(jù)本發(fā)明的拓撲結(jié)構(gòu)的示意圖的框圖,其中位于通信服務(wù)提供方和IP服務(wù)器之間的專用IP網(wǎng)絡(luò)是預(yù)先建立的����。
[0066]圖5是示出根據(jù)本發(fā)明的為至少一個通信服務(wù)提供方提供到邊界網(wǎng)絡(luò)中的IP服務(wù)器的連接的方法的示意圖的信令圖。
[0067]圖6是示出在根據(jù)本發(fā)明的方法中執(zhí)行的步驟的示意圖的流程圖�。
【具體實施方式】
[0068]圖1是根據(jù)本發(fā)明的拓撲結(jié)構(gòu)I的示意圖,包括通信服務(wù)提供方3和8��、公共IP網(wǎng)絡(luò)6和邊界網(wǎng)絡(luò)11。
[0069]大多數(shù)管理員創(chuàng)建邊界網(wǎng)絡(luò)11以便將他們的防火墻10����、14布置在邊界網(wǎng)絡(luò)和外部世界之間,從而他們可以過濾IP分組業(yè)務(wù)�����。大多數(shù)邊界網(wǎng)絡(luò)是非軍事區(qū)DMZ(DemilitarizedZone)的一部分����。然而,邊界網(wǎng)絡(luò)11可能具有一些當決定將系統(tǒng)和服務(wù)布置在哪里時可能要考慮的附加功用�����。
[0070]邊界網(wǎng)絡(luò)11包括兩個防火墻10����、14和提供服務(wù)的IP服務(wù)器12。服務(wù)可以是例如網(wǎng)上銀行的網(wǎng)站��。第一防火墻14用作位于IP服務(wù)器12和公共IP網(wǎng)絡(luò)(即公共互聯(lián)網(wǎng)6)之間的保護性屏障�。第二防火墻10用作位于IP服務(wù)器12和通信服務(wù)提供方(即移動網(wǎng)絡(luò)操作方(MN0)8)之間的保護性屏障。
[0071]在正常操作期間通過公共互聯(lián)網(wǎng)6提供服務(wù)��。第一用戶2可能能夠經(jīng)由通信服務(wù)提供方(該情形中,互聯(lián)網(wǎng)服務(wù)提供方3)來訪問公共互聯(lián)網(wǎng)6���?�?梢酝ㄟ^互聯(lián)網(wǎng)服務(wù)提供方3中包括的接入點來建立到公共互聯(lián)網(wǎng)6的連接���。
[0072]第一用戶2能夠經(jīng)由其互聯(lián)網(wǎng)服務(wù)提供方3和公共互聯(lián)網(wǎng)6,訪問5由IP服務(wù)器12提供的服務(wù)�����。該示例中�����,任何進出業(yè)務(wù)都需要經(jīng)過包括在邊界網(wǎng)絡(luò)11中的第一防火墻14���。
[0073]第二用戶7連接到以移動網(wǎng)絡(luò)操作方8的形式的通信服務(wù)提供方?���?梢酝ㄟ^移動網(wǎng)絡(luò)操作方8中包括的網(wǎng)關(guān)通用分組無線服務(wù)GPRS支持節(jié)點GGSN來建立該連接。GGSN為其相連的用戶設(shè)備(例如第二用戶7)提供互聯(lián)網(wǎng)連接性�。
[0074]第二用戶7對IP服務(wù)器12提供的服務(wù)的訪問4被布置為與第一用戶2相似的方式,即,經(jīng)由移動網(wǎng)絡(luò)操作方8和公共互聯(lián)網(wǎng)6到邊界網(wǎng)絡(luò)11��。
[0075]邊界網(wǎng)絡(luò)11可以是非軍事區(qū)DMZ13DMZ通常被認為是用于保護局域網(wǎng)使其與互聯(lián)網(wǎng)6隔開的防火墻配置�。該示例示出了僅包括一個IP服務(wù)器12的簡化邊界網(wǎng)絡(luò)11。邊界網(wǎng)絡(luò)可以包括提供多個服務(wù)的多個IP服務(wù)器和多個防火墻��。為簡化起見�,邊界網(wǎng)絡(luò)11中僅包括一個服務(wù)器。
[0076]在根據(jù)本發(fā)明的另一個示例中��,IP服務(wù)器12自身可以形成邊界網(wǎng)絡(luò)11�。由此,防火墻14���、10可以包含在IP服務(wù)器12中��。
[0077]第一防火墻14包括允許IP服務(wù)器12向邊界網(wǎng)絡(luò)外的程序���、系統(tǒng)服務(wù)、服務(wù)器和/或用戶發(fā)送業(yè)務(wù)和從它們接收業(yè)務(wù)的規(guī)則�。通常,可以創(chuàng)建允許IP分組到達防火墻和阻止IP分組到達防火墻的防火墻規(guī)則��。
[0078]該示例中�����,第一防火墻14被設(shè)置為允許與IP服務(wù)器12提供的服務(wù)(S卩,網(wǎng)上銀行的網(wǎng)站)相關(guān)的所有進出業(yè)務(wù)���。
[0079]邊界網(wǎng)絡(luò)11的第一防火墻14被布置為檢測到達邊界網(wǎng)絡(luò)11的IP業(yè)務(wù)中的不規(guī)則性���,例如,分布式拒絕服務(wù)(DDoS)攻擊13的形式�。
[0080]存在很多不同類型的DDoS攻擊,每種DDoS攻擊都針對過載狀況���,例如�����,IP服務(wù)器12的帶寬飽和��、IP服務(wù)器12的資源飽和、IP服務(wù)器12提供的服務(wù)的崩潰或其組合�����。
[0081 ] 一旦檢測DDoS攻擊13�����,防火墻14就可以采取措施,以獲得邊界網(wǎng)絡(luò)將丟棄15通過公共IP網(wǎng)絡(luò)6到達邊界網(wǎng)絡(luò)11的任何IP業(yè)務(wù)的效果�����。在本發(fā)明的上下文中���,丟棄可以包括忽略��、阻止����、放棄����、拒絕或重定向到達的IP業(yè)務(wù)。
[0082]然后����,邊界網(wǎng)絡(luò)11被布置為在專用IP網(wǎng)絡(luò)9上啟用用于IP服務(wù)器提供的服務(wù)的、到移動網(wǎng)絡(luò)操作方8的連接�。
[0083]該安全連接可能涉及IP分組交換(IPX)或虛擬專用網(wǎng)絡(luò)(VPN) JPX例如是用于保護移動網(wǎng)絡(luò)操作方之間的IP通信的IP基礎(chǔ)設(shè)施。在針對特定互聯(lián)網(wǎng)服務(wù)(如Web服務(wù))的DDoS攻擊13的情形中���,移動網(wǎng)絡(luò)操作方8可以通過IPX來啟用到該互聯(lián)網(wǎng)服務(wù)的防問�。然后,互聯(lián)網(wǎng)服務(wù)將具有到IPX的操作連接��,IP服務(wù)器12將能夠經(jīng)由其到IPX的連接來接受web月艮務(wù)的超文本傳輸協(xié)議(HTTP)業(yè)務(wù)�����。
[0084]另一種選擇是�����,針對特定互聯(lián)網(wǎng)服務(wù)�,在移動網(wǎng)絡(luò)操作方8和邊界網(wǎng)絡(luò)11或IP服務(wù)器12之間預(yù)先建立VPN隧道。在web服務(wù)的情形中�����,一旦啟用和激活VPN隧道�,就將接受經(jīng)過VPN隧道的HTTP業(yè)務(wù)。
[0085]圖2是根據(jù)本發(fā)明被布置為通過專用IP網(wǎng)絡(luò)41連接到IP服務(wù)器的GGSN33的示意圖���。
[0086]這里,GGSN33包括被布置為與用戶設(shè)備(UE)發(fā)送接收IP分組的第一IP接口32����,所述UE具有到GGSN 33的功能連接�����。經(jīng)由第一IP接口 32��,從UE接收訪問IP服務(wù)器提供的特定服務(wù)的進入請求����。
[0087]根據(jù)本發(fā)明����,分組傳輸業(yè)務(wù)邏輯34被布置用于確定應(yīng)通過正常連接40還是專用IP網(wǎng)絡(luò)41來發(fā)送該請求。在正常操作期間��,從IP服務(wù)器接收或向其發(fā)送的任何IP分組都以正常路由行進�����,即經(jīng)由公共IP網(wǎng)絡(luò)37�����,如互聯(lián)網(wǎng)��。
[0088]在該示例中�����,一旦IP服務(wù)器或IP服務(wù)器所在的邊界網(wǎng)絡(luò)檢測到進出IP業(yè)務(wù)中的不規(guī)則性��,就可以決定停止激活其到互聯(lián)網(wǎng)37的公共連接����。
[0089]由此,位于IP服務(wù)器和GGSN33之間的互聯(lián)網(wǎng)37上的正常連接40將不再可用�,因為IP服務(wù)器將不處理正常連接40上的任何IP分組。
[0090]在該情形中��,IP服務(wù)器可以決定啟用位于GGSN 33和IP服務(wù)器之間的專用IP網(wǎng)絡(luò)41上的第二連接42�。該示例中,專用IP網(wǎng)絡(luò)41是虛擬專用網(wǎng)絡(luò)(VPN)41�。
[0091]VPN使用公共IP網(wǎng)絡(luò)37、39來支持數(shù)據(jù)通信�。大多數(shù)VPN實現(xiàn)使用互聯(lián)網(wǎng)作為公共IP網(wǎng)絡(luò),并使用各種專門協(xié)議來支持經(jīng)過互聯(lián)網(wǎng)的專用通信����。VPN符合客戶端服務(wù)器方案。VPN服務(wù)器對用戶進行認證,加密數(shù)據(jù)�,并使用隧道(tunneling)技術(shù)來管理與VPN服務(wù)器的會話。
[0092]可以通過IP服務(wù)器或邊界網(wǎng)絡(luò)或者通過GGSN 33來建立或發(fā)起VPN��。圖2同時示出了正常連接40和通過GGSN 33的第二IP接口36來處理的第二連接42AGSN 33還可以配備防火墻35以確定是否應(yīng)當允許發(fā)送或接收任何IP分組���。
[0093]該示例中,雖然在檢測不規(guī)則性前建立VPN41���,但在IP服務(wù)器的正常操作期間不使用VPN 41�����。一旦IP服務(wù)器或邊界網(wǎng)絡(luò)檢測到導(dǎo)致對IP服務(wù)器資源的突發(fā)性增長需求的不規(guī)則性�,就啟用(即激活)VPN 41�����,使得IP服務(wù)器提供的服務(wù)經(jīng)由VPN 41而可用����,并禁用正常連接40。
[0094]圖3是根據(jù)本發(fā)明的IP服務(wù)器51的示意圖���。IP服務(wù)器51被布置為通過公共連接55(即互聯(lián)網(wǎng)連接)提供服務(wù)66�。經(jīng)由公共連接55向用戶設(shè)備提供對服務(wù)66的訪問。
[0095]IP服務(wù)器51包括處理單元64和存儲器65����,其中處理單元64連接到接收器模塊59、發(fā)送器模塊63��、啟用器模塊60���、受控安全訪問服務(wù)61和服務(wù)模塊66�����。
[0096]任何進出IP業(yè)務(wù)都經(jīng)過輸入/輸出(I/O)�、端口 56和防火墻57�。防火墻包括被布置為檢測到達IP服務(wù)器51的IP業(yè)務(wù)中的不規(guī)則性的檢測器模塊54。不規(guī)則性可能與DDoS攻擊有關(guān)����,其中,從多個主機向IP服務(wù)器51發(fā)送海量分組�����,目的是使IP服務(wù)器51過載。
[0097]IP服務(wù)器51過載的效果可能是���,經(jīng)由服務(wù)模塊66具有或請求對服務(wù)的訪問的任何用戶設(shè)備經(jīng)受到來自IP服務(wù)器51的緩慢響應(yīng)或沒有響應(yīng)�。在這種情形中����,IP服務(wù)器51的資源可能被DDoS攻擊的處理(即���,I/O端口 56處接收的IP分組)占據(jù)����。
[0098]在檢測器模塊54檢測到不規(guī)則性的情形中����,丟棄器模塊58可以決定丟棄在I/O端口 56處接收的任何或所有IP業(yè)務(wù)。這可以通過例如使接收器模塊59和防火墻57功能斷開�����,使防火墻57和I/O端口 56功能斷開���,或者丟棄防火墻57接收的任何到達IP分組來實現(xiàn)�����。
[0099]然后�,啟用器模塊60可操作為啟用專用IP網(wǎng)絡(luò)上的一個或多個第二連接52,以確保相連的UE能夠具有到服務(wù)模塊66提供的服務(wù)的連續(xù)訪問��,或者獲得到該服務(wù)的訪問��。
[0100]啟用器模塊60可以決定僅啟用專用IP網(wǎng)絡(luò)上到訂閱至受控安全訪問服務(wù)61的通信服務(wù)提供方的第二連接52�����。
[0101]該示例中�,通過第二連接52發(fā)送的IP分組經(jīng)過第二I/O端口 53并被第二防火墻62允許或拒絕。
[0102]圖4是根據(jù)本發(fā)明的網(wǎng)絡(luò)拓撲結(jié)構(gòu)81的示意圖����,其中位于通信服務(wù)提供方83和IP服務(wù)器91之間的專用IP網(wǎng)絡(luò)87是預(yù)先建立的。
[0103]IP服務(wù)器91在正常操作條件期間監(jiān)視所提供的服務(wù)到公共IP網(wǎng)絡(luò)(即互聯(lián)網(wǎng)82)的訪問的操作狀態(tài)�。該監(jiān)視可以通過例如防火墻89或IP服務(wù)器91來執(zhí)行。
[0104]該示例中����,建立但不使用VPN隧道87,即將其置于靜止狀態(tài)�。在VPN隧道87的建立期間��,GGSN 84或I3DN-Gw各自獲得互聯(lián)網(wǎng)地址(如IP地址或主機名地址)��,其中所述IP地址可以用于與IP服務(wù)器91提供的服務(wù)的通信���。
[0105]VPN隧道87的靜止狀態(tài)造成GGSN 84和IP服務(wù)器91提供的服務(wù)針對任何IP數(shù)據(jù)業(yè)務(wù)都不使用VPN隧道87。甚至可以在檢測到不規(guī)則性前使用VPN隧道87����,用于正常信號發(fā)送,例如���,保持VPN隧道87活躍。
[0106]經(jīng)由IP服務(wù)器91的防火墻89��,通過公共互聯(lián)網(wǎng)82并經(jīng)由GGSN 86的防火墻86���,IP月艮務(wù)器91和GGSN 84之間的通信88就緒����。
[0107]可能存在多個通信服務(wù)提供方83��,所述通信服務(wù)提供方具有被建立為到IP服務(wù)器91的VPN隧道��。示例中,允許多個移動網(wǎng)絡(luò)操作方建立與IP服務(wù)器91的VPN隧道87�,但不允許互聯(lián)網(wǎng)服務(wù)提供方這么做。
[0108]在檢測到邊界網(wǎng)絡(luò)90中的不規(guī)則性后���,例如由防火墻89或IP服務(wù)器91�,將使用VPN隧道87以用于IP業(yè)務(wù)���。IP服務(wù)器91可以確定可通過VPN隧道87發(fā)送和接收用于其提供的服務(wù)的IP分組���。此外,為與通信服務(wù)提供方進行通信,IP服務(wù)器91還可以確定允許使用例如其他類型協(xié)議的其他類型服務(wù)使用VPN隧道87����。
[0109]圖5是根據(jù)本發(fā)明的為至少一個通信服務(wù)提供方104提供到邊界網(wǎng)絡(luò)113中的IP服務(wù)器114的連接的方法的示意圖�。這里,用戶設(shè)備102發(fā)起在IP服務(wù)器114處加載網(wǎng)頁的請求124�����。請求124包括IP服務(wù)器114的標識或地址��,例如IP地址或主機名地址�����。
[0110]由于GGSN103是通信服務(wù)提供方104中與UE 103通信的第一網(wǎng)絡(luò)服務(wù)器(S卩,用于向/從分組數(shù)據(jù)網(wǎng)絡(luò)發(fā)送/接收的數(shù)據(jù)業(yè)務(wù))���,GGSN 103接收該請求��。由此��,在該示例中����,通信服務(wù)提供方104是移動網(wǎng)絡(luò)操作方�。
[0111]針對其所有相連的E102,GGSN 103可以執(zhí)行不同類型的策略處理,例如IP地址指派�、認證和計費功能�����、分組路由和傳輸����。
[0112]然后,GGSN103將用于加載網(wǎng)頁124的接收請求轉(zhuǎn)發(fā)123至公共IP網(wǎng)絡(luò)����,即互聯(lián)網(wǎng)106�����。在UE 102發(fā)起的用于在IP服務(wù)器114處加載網(wǎng)頁的請求中涉及到互聯(lián)網(wǎng)106中包括的多個服務(wù)器109�����、122�����。這些服務(wù)器109���、122被布置為將從GGSN 103接收的請求123轉(zhuǎn)發(fā)107、110至IP服務(wù)器114�。
[0113]該示例中,IP服務(wù)器114位于邊界網(wǎng)絡(luò)113中���。邊界網(wǎng)絡(luò)113是屏蔽或被保護而與互聯(lián)網(wǎng)106隔開的網(wǎng)絡(luò)��。邊界網(wǎng)絡(luò)113包括防火墻112�,對于邊界網(wǎng)絡(luò)113處的所有進入業(yè)務(wù)而言,所述防火墻112被認為是邊界網(wǎng)絡(luò)113中的第一入口點�。
[0114]因此,首先由防火墻112接收在邊界網(wǎng)絡(luò)113處加載網(wǎng)頁的進入請求110���。防火墻包括用于確定是否允許邊界網(wǎng)絡(luò)113處的/來自邊界網(wǎng)絡(luò)113的任何進出業(yè)務(wù)的規(guī)則集合��。
[0115]這里����,防火墻112被設(shè)置為允許涉及IP服務(wù)器114提供的服務(wù)(即網(wǎng)頁)的所有進出IP業(yè)務(wù)�����。由此����,防火墻112允許用于加載網(wǎng)頁的請求110,并將該請求轉(zhuǎn)發(fā)115至IP服務(wù)器114�����。
[0116]IP服務(wù)器114被布置為基于接收115的請求��,以例如“home.html”文件的形式提供網(wǎng)頁���。經(jīng)由相同的路由�����,即經(jīng)由防火墻112��,互聯(lián)網(wǎng)106中包括的中間服務(wù)器109��、122��,到移動網(wǎng)絡(luò)操作方104中包括的GGSN103���,最后到UE 102,向UE提供“home.html”文件���,如附圖標記116���、111、108��、120 和 121所示�。
[0117]在UE102加載完整的內(nèi)容以前,重復(fù)多次用于加載網(wǎng)頁的上述簡要處理�����,S卩,UE多次發(fā)起對網(wǎng)頁內(nèi)容訪問的請求�����。
[0118]該示例中���,在加載網(wǎng)頁的處理期間�����,位于互聯(lián)網(wǎng)106中的服務(wù)器發(fā)起DDoS攻擊119��?���;ヂ?lián)網(wǎng)中的多個服務(wù)器可以同時發(fā)起DDoS攻擊119����。所示出的DDoS攻擊119造成上述多個服務(wù)器向IP服務(wù)器114和/或IP服務(wù)器114提供的服務(wù)(即網(wǎng)頁)發(fā)送海量IP分組。DDoS攻擊119的意圖是務(wù)使IP服務(wù)器114提供的服務(wù)不再可用�����。
[0119]防火墻112被布置為�,一旦檢測到DDoS攻擊119,至少暫時阻止進出互聯(lián)網(wǎng)106的特定或所有IP業(yè)務(wù)�����,從而保護IP服務(wù)器114和提供的服務(wù)��。
[0120]發(fā)明人找到針對DDoS攻擊期間服務(wù)不可用方面的解決方案�。其指出,邊界網(wǎng)絡(luò)113應(yīng)在至少一個專用IP網(wǎng)絡(luò)(即�,VPN 117)上啟用用于IP服務(wù)器114提供的服務(wù)的、到移動網(wǎng)絡(luò)操作方104的連接118���。
[0121]由此�,不僅IP服務(wù)器114和IP服務(wù)器114提供的服務(wù)被保護而不受到DDoS攻擊119���,還經(jīng)由專用IP網(wǎng)絡(luò)(即��,VPN 117�����,例如虛擬專用網(wǎng)絡(luò))保證UE 102對服務(wù)的訪問����。
[0122]該示例示出了在GGSN 103和IP服務(wù)器114之間預(yù)先建立VPN隧道105。然而�,一旦檢測到DDoS攻擊119,就啟用VPN 117�����,即啟用以用于GGSN 103和IP服務(wù)器114之間的通信�����。
[0123]圖6是示出在根據(jù)本發(fā)明的方法中執(zhí)行的步驟的示意圖的流程圖130��。
[0124]在第一個步驟中���,邊界網(wǎng)絡(luò)(具體地�,包括在邊界網(wǎng)絡(luò)中的防火墻)被布置為檢測131到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性��。例如���,不規(guī)則性可以是到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的過載��,或者沒有IP業(yè)務(wù)到達邊界網(wǎng)絡(luò)����。
[0125]沒有IP業(yè)務(wù)到達邊界網(wǎng)絡(luò)可能指示基礎(chǔ)設(shè)施(如互聯(lián)網(wǎng))中存在故障。這種故障可能導(dǎo)致IP分組不能到達邊界網(wǎng)絡(luò)���。
[0126]然后,防火墻丟棄132通過互聯(lián)網(wǎng)到達邊界網(wǎng)絡(luò)的IP業(yè)務(wù)���。IP業(yè)務(wù)的丟棄132還可以包括丟棄����、阻止和重定向IP業(yè)務(wù)中的任一項�����。
[0127]接下來��,確定哪些通信服務(wù)提供方被訂閱133到受控安全訪問服務(wù)��。該訂閱指示通信服務(wù)提供方是值得信任的�,使得可以建立這些被訂閱的通信服務(wù)提供方和IP服務(wù)器之間的專用IP網(wǎng)絡(luò),或者當在各個通信服務(wù)提供方和邊界網(wǎng)絡(luò)之間預(yù)先建立該專用IP網(wǎng)絡(luò)時���,可以激活該專用IP網(wǎng)絡(luò)�。
[0128]然后,在IP服務(wù)器和被訂閱的通信服務(wù)提供方之間實際建立134專用IP網(wǎng)絡(luò)���,通過建立的專用IP網(wǎng)絡(luò)�����,將這些通信服務(wù)提供方和IP服務(wù)器提供的服務(wù)相連135�����。
[0129]本發(fā)明的優(yōu)點是�,在檢測到不規(guī)則性(如DDoS攻擊)后�����,提供位于IP服務(wù)器和通信服務(wù)提供方之間的有用連接���。由此�����,仍然可以訪問IP服務(wù)器提供的服務(wù)��。
[0130]使用專用IP網(wǎng)絡(luò)來啟用IP服務(wù)器和通信服務(wù)提供方之間的連接的優(yōu)點是���,該專用IP網(wǎng)絡(luò)和公共IP網(wǎng)絡(luò)阻斷�,從而DDoS攻擊無法定向到專用IP網(wǎng)絡(luò)��。
[0131]本發(fā)明不限于以上公開的實施例�����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求中所公開的本發(fā)明范圍的前提下���,不必應(yīng)用創(chuàng)造性技術(shù),可以對本發(fā)明進行修改和增強��。
【主權(quán)項】
1.一種提供位于至少一個通信服務(wù)提供方(8��,83���,104)與邊界網(wǎng)絡(luò)(11����,90�����,113)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器(12,51�����,91�����,114)之間的連接的方法��,所述IP服務(wù)器(12�����,51�,91,114)通過公共IP網(wǎng)絡(luò)(6���,37�,39�,82,106)提供服務(wù)����,所述方法包括以下步驟����,在所述邊界網(wǎng)絡(luò)(11���,90�,113)中: -檢測通過所述公共IP網(wǎng)絡(luò)(6�����,37��,39�,82�,106)到達所述邊界網(wǎng)絡(luò)(11,90�����,113)的1?業(yè)務(wù)中的不規(guī)則性�,其中所述不規(guī)則性包括以下任一項: -通過所述公共IP網(wǎng)絡(luò)(6,37�����,39,82��,106)到達所述邊界網(wǎng)絡(luò)(11��,90���,113)的1?業(yè)務(wù)中的過載���; -不存在通過所述公共IP網(wǎng)絡(luò)(6,37��,39�,82,106)到達所述邊界網(wǎng)絡(luò)(II���,90�����,113)的針對所述服務(wù)的IP業(yè)務(wù)�����; -丟棄通過所述公共IP網(wǎng)絡(luò)(6�,37,39����,82,106)到達所述邊界網(wǎng)絡(luò)(11���,90�,113)的1?業(yè)務(wù)�����,以及 -在至少一個專用IP網(wǎng)絡(luò)(9�,41,87���,105,117)上�,啟用位于所述1?服務(wù)器(12,51��,91����,114)和所述至少一個通信服務(wù)提供方(8�,83�,104)之間的、用于所述1?服務(wù)器(12���,51����,91��,114)提供的所述服務(wù)的連接��。2.根據(jù)權(quán)利要求1所述的方法�,其中所述在至少一個專用IP網(wǎng)絡(luò)(9,41��,87�,105,117)上啟用位于所述IP服務(wù)器(12���,51��,91�����,114)和所述至少一個通信服務(wù)提供方(8�����,83��,104)之間的���、用于所述IP服務(wù)器(12����,51����,91,114)提供的所述服務(wù)的連接的步驟包括: -建立位于所述至少一個通信服務(wù)提供方(8��,83���,104)和所述IP服務(wù)器(12,51����,91����,114)之間的所述至少一個專用IP網(wǎng)絡(luò)(9���,41�����,87�����,105�,117)����,以及 -在所建立的至少一個專用IP網(wǎng)絡(luò)(9,41�,87,105��,117)上�����,連接所述至少一個通信服務(wù)提供方(8,83����,104),以用于所述1?服務(wù)器(12��,51����,91,114)提供的服務(wù)���。3.根據(jù)權(quán)利要求2所述的方法�����,其中所述IP服務(wù)器(12�����,51����,91��,114)經(jīng)由包括在所述IP服務(wù)器(12�,51,91���,114)中的第一公共1?接口���,通過所述公共IP網(wǎng)絡(luò)(6,37���,39�,82�,106)提供所述服務(wù),以及�����,通過包括在所述IP服務(wù)器(12�����,51����,91�����,114)中的第二IP接口來執(zhí)行所述建立所述至少一個專用IP網(wǎng)絡(luò)(9��,41�����,87�����,105�����,117)的步驟和連接所述至少一個通信服務(wù)提供方(8��,83�����,104)的步驟�。4.根據(jù)權(quán)利要求1所述的方法,其中所述啟用位于所述IP服務(wù)器(12��,51���,91,114)和所述至少一個通信服務(wù)提供方(8����,83,104)之間的連接的步驟包括:啟用位于所述IP服務(wù)器(12�����,51��,91�,114)和所述至少一個通信服務(wù)提供方(8,83���,104)之間的至少一個預(yù)先建立的專用1?網(wǎng)絡(luò)(9��,41�����,87��,105����,117)上的所述連接。5.根據(jù)前述權(quán)利要求中任一項所述的方法���,其中��,所述在所述至少一個專用IP網(wǎng)絡(luò)(9��,41�,87�����,105��,117)上啟用位于所述1?服務(wù)器(12�����,51,91���,114)和所述至少一個通信服務(wù)提供方(8���,83,104)之間的�、用于所述IP服務(wù)器(12,51����,91����,114)提供的所述服務(wù)的連接的步驟包括:啟用位于所述IP服務(wù)器(12,51����,91,114)和包括在所述至少一個通信服務(wù)提供方(8�����,83����,104)中的網(wǎng)關(guān)通用分組無線服務(wù)GPRS支持節(jié)點GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)TON-Gw中的任一項之間的所述至少一個專用IP網(wǎng)絡(luò)(9��,41�,87�����,105�,117)上的連接。6.根據(jù)前述權(quán)利要求中任一項所述的方法���,其中�����,通過所述公共IP網(wǎng)絡(luò)(6�����,37���,39,82�,106)到達所述邊界網(wǎng)絡(luò)(11���,90,113)的IP業(yè)務(wù)中的所述過載包括基于體量的過載�����、基于協(xié)議的過載和基于請求的過載中的任一項�。7.根據(jù)前述任一項權(quán)利要求所述的方法,其中����,所述丟棄通過所述公共IP網(wǎng)絡(luò)(6,37��,39,82,106)到達所述邊界網(wǎng)絡(luò)(11����,90���,113)的IP業(yè)務(wù)的步驟包括:放棄����、阻止和重定向所述IP業(yè)務(wù)中的任一項�����。8.根據(jù)前述權(quán)利要求中任一項所述的方法,其中所述在所述至少一個專用IP網(wǎng)絡(luò)(9����,41,87���,105����,117)上啟用位于所述1?服務(wù)器(12�����,51��,91���,114)和所述至少一個通信服務(wù)提供方(8�����,83�����,104)之間的�、用于所述IP服務(wù)器(12,51�,91,114)提供的所述服務(wù)的連接的步驟包括以下步驟:在所述邊界網(wǎng)絡(luò)(11�,90,113)中�, -確定所述至少一個通信服務(wù)提供方(8,83�,104)中哪些被訂閱到受控安全訪問服務(wù),以及 -在至少一個專用IP網(wǎng)絡(luò)(9����,41,87����,105��,117)上���,啟用位于所述1?服務(wù)器(12�����,51�,91,114)和被訂閱的通信服務(wù)提供方(8�����,83��,104����,104)之間的、用于所述1?服務(wù)器(12�����,51�,91,114)提供的所述服務(wù)的連接�。9.根據(jù)前述權(quán)利要求中任一項所述的方法,其中�����,所述檢測到達所述邊界網(wǎng)絡(luò)(11,90�����,113)的IP業(yè)務(wù)中的不規(guī)則性的步驟由以下至少一個來執(zhí)行:包括在所述邊界網(wǎng)絡(luò)(11�����,90��,113)中的防火墻���、所述IP服務(wù)器(12���,51,91�,114)和所述服務(wù)。10.—種邊界網(wǎng)絡(luò)(11�����,90��,113)����,包括通過公共互聯(lián)網(wǎng)協(xié)議1?網(wǎng)絡(luò)(6,37����,39,82�����,106)提供服務(wù)的IP服務(wù)器(12��,51���,91�����,114)�,所述邊界網(wǎng)絡(luò)(11�,90,113)被布置用于提供位于所述1?服務(wù)器(12�����,51,91��,114)和至少一個通信服務(wù)提供方(8�����,83��,104)之間的連接����,所述邊界網(wǎng)絡(luò)(11,90����,113)包括: -檢測器模塊(54),能夠操作為檢測通過所述公共IP網(wǎng)絡(luò)(6��,37���,39����,82,106)到達所述邊界網(wǎng)絡(luò)(11�,90,113)的IP業(yè)務(wù)中的不規(guī)則性���,其中所述不規(guī)則性包括以下任一項: -通過所述公共IP網(wǎng)絡(luò)(6,37�,39,82����,106)到達所述邊界網(wǎng)絡(luò)(11,90���,113)的1?業(yè)務(wù)中的過載���; -不存在通過所述公共IP網(wǎng)絡(luò)(6,37��,39�����,82�����,106)到達所述邊界網(wǎng)絡(luò)(II,90�,113)的針對所述服務(wù)的IP業(yè)務(wù); -丟棄器模塊(58)�����,能夠操作為丟棄通過所述公共IP網(wǎng)絡(luò)(6���,37�����,39����,82����,106)到達所述邊界網(wǎng)絡(luò)(11,90�����,113)的IP業(yè)務(wù),以及 -啟用器模塊(60)���,能夠操作為:在至少一個專用IP網(wǎng)絡(luò)(9����,41��,87���,105,117)上�,啟用位于所述IP服務(wù)器(12,51��,91��,114)和所述至少一個通信服務(wù)提供方(8����,83,83�����,104)之間的、用于所述IP服務(wù)器(12����,51,91����,114)提供的所述服務(wù)的連接。11.根據(jù)權(quán)利要求10所述的邊界網(wǎng)絡(luò)(11�,90,113)����,其中所述啟用器模塊還能夠操作為:建立位于所述至少一個通信服務(wù)提供方(8,83���,104)和所述IP服務(wù)器(12��,51�����,91�����,114)之間的所述至少一個專用IP網(wǎng)絡(luò)(9�,41,87�,105,117)����,以及在所建立的至少一個專用IP網(wǎng)絡(luò)(9,41���,87,105��,117)上�,連接所述至少一個通信服務(wù)提供方(8,83�,104),以用于所述IP服務(wù)器(12�����,51��,91�����,114)提供的服務(wù)。12.根據(jù)權(quán)利要求11所述的邊界網(wǎng)絡(luò)(11����,90,113)���,其中所述1?服務(wù)器(12���,51,91�����,114)經(jīng)由包括在所述IP服務(wù)器(12����,51,91�,114)中的第一公共IP接口,通過所述公共IP網(wǎng)絡(luò)(6��,37,39�����,82�,106)提供所述服務(wù),以及���,所述啟用器模塊能夠操作為通過包括在所述IP服務(wù)器(12��,51�,91�,114)中的第二 IP接口來啟用與所述至少一個通信服務(wù)提供方(8,83�,104)的連接。13.根據(jù)權(quán)利要求10所述的邊界網(wǎng)絡(luò)(11���,90,113)���,其中所述啟用器模塊能夠操作為:通過在至少一個預(yù)先建立的專用IP網(wǎng)絡(luò)(9�,41����,87�����,105�����,117)上啟用所述連接��,啟用位于所述IP服務(wù)器(12�����,51�,91����,114)和所述至少一個通信服務(wù)提供方(8,83��,104)之間的所述連接��。14.根據(jù)權(quán)利要求10至13中任一項所述的邊界網(wǎng)絡(luò)(11��,90,113)���,其中���,所述啟用器模塊能夠操作為:啟用位于所述IP服務(wù)器(12,51���,91��,114)和包括在所述至少一個通信服務(wù)提供方(8��,83�,104)中的網(wǎng)關(guān)通用分組無線服務(wù)GPRS支持節(jié)點GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)TON-Gw中的任一項之間的所述至少一個專用IP網(wǎng)絡(luò)(9�����,41�,87,105�,117)上的連接�。15.根據(jù)權(quán)利要求10至14中任一項所述的邊界網(wǎng)絡(luò)(11,90����,113)�,其中���,通過所述公共IP網(wǎng)絡(luò)(6���,37,39�,82,106)到達所述邊界網(wǎng)絡(luò)(11�����,90���,113)的IP業(yè)務(wù)中的所述過載包括基于體量的過載��、基于協(xié)議的過載和基于請求的過載中的任一項����。16.根據(jù)權(quán)利要求10至15中任一項所述的邊界網(wǎng)絡(luò)(11����,90��,113)�,其中��,所述丟棄器模塊能夠操作為:以放棄���、阻止和重定向所述IP業(yè)務(wù)中的任一形式���,丟棄通過所述公共IP網(wǎng)絡(luò)(6,37�,39,82�,106)到達所述邊界網(wǎng)絡(luò)(11,90����,113)的IP業(yè)務(wù)。17.根據(jù)權(quán)利要求10至16中任一項所述的邊界網(wǎng)絡(luò)(11�����,90�����,113)����,其中所述啟用器模塊能夠操作為: -確定哪些通信服務(wù)提供方(8,83�����,104)被訂閱到受控安全訪問服務(wù)�,以及 -在專用IP網(wǎng)絡(luò)(9,41����,87,105�����,117)上�����,啟用用于所述IP服務(wù)器(12����,51����,91��,114)提供的所述服務(wù)的�、到被訂閱的通信服務(wù)提供方(8,83���,104)的連接�。18.—種通過公共互聯(lián)網(wǎng)協(xié)議IP網(wǎng)絡(luò)(6�,37,39��,82���,106)提供服務(wù)的IP服務(wù)器(12���,51,.91����,114),所述IP服務(wù)器(12����,51�,91����,114)被布置用于提供位于所述IP服務(wù)器(12�,51,91��,.114)和至少一個通信服務(wù)提供方(8�,83,104)之間的連接���,所述IP服務(wù)器(12��,51�,91��,114)包括: -檢測器模塊(54)�����,能夠操作為檢測通過所述公共IP網(wǎng)絡(luò)(6�,37����,39����,82,106)到達所述IP服務(wù)器(12�,51,91�����,114)的IP業(yè)務(wù)中的不規(guī)則性��,其中所述不規(guī)則性包括以下任一項: _通過所述公共1?網(wǎng)絡(luò)(6���,37����,39��,82��,106)到達所述IP服務(wù)器(12,51�����,91�����,114)的1?業(yè)務(wù)中的過載���; -不存在通過所述公共IP網(wǎng)絡(luò)(6,37����,39,82�,106)到達所述邊界網(wǎng)絡(luò)(II,90��,113)的針對所述服務(wù)的IP業(yè)務(wù)���; -丟棄器模塊�����,能夠操作為丟棄通過所述公共IP網(wǎng)絡(luò)(6��,37,39,82,106)到達所述IP服務(wù)器(12����,51,91�,114)的IP業(yè)務(wù),以及 _啟用器模塊�,能夠操作為在至少一個專用1?網(wǎng)絡(luò)(9,41����,87,105���,117)上����,啟用位于所述IP服務(wù)器(12�����,51���,91����,114)和所述至少一個通信服務(wù)提供方(8,83�����,83����,104)之間的、用于所述IP服務(wù)器(12���,51,91���,114)提供的所述服務(wù)的連接�。
【文檔編號】H04L29/06GK105850091SQ201380081766
【公開日】2016年8月10日
【申請日】2013年12月20日
【發(fā)明人】馬丁·霍比, 安妮·布魯薩德, 羅希爾·奧古斯特·卡斯帕·約瑟夫·諾爾德斯, 埃里克-簡·范羅內(nèi)
【申請人】瑞典愛立信有限公司