CN101079746A - 宽带接入设备安全实现方法和装置 - Google Patents
宽带接入设备安全实现方法和装置 Download PDFInfo
- Publication number
- CN101079746A CN101079746A CN 200710126545 CN200710126545A CN101079746A CN 101079746 A CN101079746 A CN 101079746A CN 200710126545 CN200710126545 CN 200710126545 CN 200710126545 A CN200710126545 A CN 200710126545A CN 101079746 A CN101079746 A CN 101079746A
- Authority
- CN
- China
- Prior art keywords
- message
- control message
- speed limit
- threshold value
- broadband access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种宽带接入设备安全实现方法和装置,其中,该方法可以包括以下步骤:步骤一,在宽带接入设备的操作界面上,分别配置各种类型控制报文的限速阈值;以及步骤二,当宽带接入设备接收到控制报文时,对控制报文进行分类限速处理。综上所述,通过本发明,能够对各种控制报文进行分类限速,使各种业务之间尽量相互隔离,系统的业务能力最大程度可用。
Description
技术领域
本发明涉及通讯领域,更具体地,涉及一种宽带接入设备安全实现方法和装置。
背景技术
IP网络安全是一个全方位的概念,主要包括网络自身的安全、网络服务提供安全、网络用户信息安全以及有害信息控制等方面。数据通讯设备与网络自身安全有着直接的关系,对网络用户信息安全也可以起到一定的保障作用。
最初的数据通讯设备安全主要是关注网络设备自身的可靠性、重要部件的备份、网络设备的电气特性以及网络设备的性能指标等。但随着IP网络规模的增长以及技术的进步,网络安全保障对设备又有了新的要求。
当前数据通讯设备的系统结构如图2所示,其设备安全以及对网络安全的保障主要集中在以下几个方面:
(1)在控制层面,应在控制信息访问控制、控制信息验证、控制信息不可抵赖、控制信息保密、控制信息通信安全和控制信息完整性、私密性方面保障安全;
(2)在管理层面,应在管理访问控制、管理信息验证、管理信息可审计、管理信息保密性、管理信息通信安全、管理信息完整性、私密性等方面保障安全;以及
(3)在数据转发平面。应在资源可用性方面保障安全,确保授权用户对设备的使用不会因为设备被攻击而受到影响。
此外,数据通讯设备入网测试以及运营商选型测试时都特别增加了相关的安全测试选项与要求。因此从近几年开始,关于设备对网络和信息安全的支持将成为电信网络建设以及网络业务中要考虑的问题。
如图1所示,给出了IP城域网典型组网图,现网的数据通讯设备:路由器、交换机、宽带远程接入服务器(Broadband RemoteAccess Server,BRAS)、综合业务接入网(Multi Service AccessNetwork,MSAN)等,普遍存在IP控制层面的安全问题,现有一般的做法是对上送到控制平面的总报文数进行限制,保证控制平面的处理负荷不会超过极限,在受到攻击的情况下系统也能够保持运转。这种实现方法存在一定缺陷:当存在针对某种设备特定业务的拒绝服务(Denial of Service,DOS)攻击时,系统控制处理资源大量被消耗,这种情况下系统虽然没有宕机,但已经不能够正常接入业务,或者对其他类型业务的影响非常大。
发明内容
为了解决现有技术中存在的问题,本发明提供了一种宽带接入设备安全实现方法和装置,其对上送到设备控制平面的报文进行分类限速,提高了设备的可用性。
本发明的一个方面提供了一种宽带接入设备安全实现方法,其可以包括以下步骤:步骤一,在宽带接入设备的操作界面上,分别配置各种类型控制报文的限速阈值;以及步骤二,当宽带接入设备接收到控制报文时,对控制报文进行分类限速处理。
在步骤一之前还执行以下处理:确定宽带接入设备的控制平面在单位时间内能够处理的各种类型控制报文的数量,作为宽带接入设备的系统门限。
另外,在步骤一之前还执行以下处理:在宽带接入设备中,估算各种类型控制报文的限速阈值。
各种类型控制报文包括:PPP报文、DHCP报文、ARP报文、RADIUS报文、OSPF/RIP报文、SNMP报文、IGMP报文、ICMP报文、和TELNET报文。
如果宽带接入设备没有开通关于控制报文的接入业务,则将控制报文的限速阈值设为0。
步骤二中包括以下处理:当宽带接入设备的控制平面接收到控制报文时,将控制报文分类成各种类型;将各种类型的控制报文分别放入相应分类队列中,并判断各种类型的控制报文是否超过相应的限速阈值,并根据判断结果进行相应处理。
另外,步骤二中还包括以下处理:如果判断结果是各种类型的控制报文超过相应的限速阈值,则丢弃控制报文;以及如果判断结果是各种类型的控制报文没有超过相应的限速阈值,则处理控制报文。
其中,控制报文的类型是预先设定的。
本发明还提供了一种宽带接入设备安全实现装置,其可以包括:阈值配置单元,用于分别配置各种类型控制报文的限速阈值;以及限速处理单元,用于对控制报文进行分类限速处理。
在阈值配置单元中包括:系统门限确定模块,用于确定宽带接入设备的控制平面在单位时间内能够处理的各种类型控制报文的数量,作为宽带接入设备的系统门限。
在阈值配置单元中还包括:阈值估算模块,用于估算各种类型控制报文的限速阈值。
其中,各种类型控制报文包括:PPP报文、DHCP报文、ARP报文、RADIUS报文、OSPF/RIP报文、SNMP报文、IGMP报文、ICMP报文、和TELNET报文。
如果宽带接入设备没有开通关于控制报文的接入业务,则将控制报文的限速阈值设为0。
限速处理单元中包括:分类模块,用于当宽带接入设备的控制平面接收到控制报文时,对控制报文进行分类;以及判断模块,用于将分类后的各种类型的控制报文分别放入相应分类队列中,并判断分类后的各种类型的控制报文是否超过限速阈值,并根据判断结果进行相应处理。
另外,限速处理单元中还包括:丢弃模块,如果判断结果是分类后的各种类型的控制报文超过限速阈值,则丢弃控制报文;以及处理模块,如果判断结果是分类后的各种类型的控制报文没有超过限速阈值,则处理控制报文。
其中,控制报文的类型是预先设定的。
因而,采用本发明,能够对各种控制报文进行分类限速,使各种业务之间尽量相互隔离,系统的业务能力最大程度可用。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是IP城域网的组网图;
图2是根据本发明的宽带接入设备安全实现方法的流程图;
图3是本发明用到的IP数据产品通用的系统结构图;
图4根据本发明实施例的宽带接入设备的内部处理流程图;以及
图5是根据本发明的宽带接入设备安全实现装置的框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
电信运营网络中的宽带接入设备,如MSAN、BRAS等,其接入的电信业务类型都是预先设定的,也就是说上送到控制平面处理的报文类型基本上都是明确可知的。这样就可以根据本设备接入的业务类型、呼叫模型对各种控制报文进行分别限速。
图2是根据本发明的宽带接入设备安全实现方法的流程图。如图2所示,该方法包括以下步骤:
步骤S202,在宽带接入设备的操作界面上,分别配置各种类型控制报文的限速阈值;以及
步骤S204,当宽带接入设备接收到控制报文时,对控制报文进行分类限速处理。
在步骤S202之前还执行以下处理:确定宽带接入设备的控制平面在单位时间内能够处理的各种类型控制报文的数量,作为宽带接入设备的系统门限。
另外,在步骤S202之前还执行以下处理:在宽带接入设备中,估算各种类型控制报文的限速阈值。
各种类型控制报文包括:PPP报文、DHCP报文、ARP报文、RADIUS报文、OSPF/RIP报文、SNMP报文、IGMP报文、ICMP报文、和TELNET报文。
如果宽带接入设备没有开通关于控制报文的接入业务,则将控制报文的限速阈值设为0。
步骤S204中包括以下处理:当宽带接入设备的控制平面接收到控制报文时,将控制报文分类成各种类型;以及将各种类型的控制报文分别放入相应分类队列中,并判断各种类型的控制报文是否超过相应的限速阈值,并根据判断结果进行相应处理。
另外,步骤S204中还包括以下处理:如果判断结果是各种类型的控制报文超过相应的限速阈值,则丢弃控制报文;以及如果判断结果是各种类型的控制报文没有超过相应的限速阈值,则处理控制报文。
其中,控制报文的类型是预先设定的。
图3是本发明用到的IP数据产品通用的系统结构图,以及图4根据本发明实施例的宽带接入设备的内部处理流程图。
以下采用了控制报文分类限速方法的BRAS设备为例,说明其具体实施方式,本发明所述的方法并不局限于BRAS设备。
首先,在设备的操作界面上,分别对各种类型报文进行限速阈值配置,其中,使用典型硬件配置的BRAS,在实验室进行模拟测试,确定其控制平面单位时间内能够处理的报文数量,比如500,作为系统门限值,并设定一组各类报文的缺省阈值,如PPP 100、DHCP 100、ARP 30、RADIUS 50等。
在使用现场,收集接入业务类型和呼叫模型,估算各种类型处理报文的阈值;比如现场根本不开通DHCP接入业务,就将DHCP报文的阈值设定为0。
然后,在BRAS的操作界面上,分别对各种类型控制报文进行阈值配置。
在各种类型的控制报文进入到BRAS设备后,按照事先设定的分类限速流程进行处理,处理过程如图4所示,包括以下步骤:
步骤S402,控制平面的数据接收模块收到控制报文;
步骤S404,根据二层和三层协议字段,进行控制报文分类,在BRAS设备中,分为PPP、DHCP、ARP、RADIUS、OSPF/RIP、SNMP、IGMP、ICMP、TELNET等类型;
步骤S406,把不同类型控制报文入到相应的不同队列;根据配置的阈值(这里一般是队列长度),进行判断;
步骤S408,如果没有超过阈值,将控制报文送到相应的协议模块进行处理;以及
步骤S410,如果超过阈值,将控制报文直接丢弃。
图5是根据本发明的宽带接入设备安全实现装置500的框图。如图5所示,该装置包括:阈值配置单元502,用于分别配置各种类型控制报文的限速阈值;以及限速处理单元504,用于对控制报文进行分类限速处理。
在阈值配置单元502中包括:系统门限确定模块,用于确定宽带接入设备的控制平面在单位时间内能够处理的各种类型控制报文的数量,作为宽带接入设备的系统门限。
在阈值配置单元502中还包括:阈值估算模块,用于估算各种类型控制报文的限速阈值。
其中,各种类型控制报文包括:PPP报文、DHCP报文、ARP报文、RADIUS报文、OSPF/RIP报文、SNMP报文、IGMP报文、ICMP报文、和TELNET报文。
如果宽带接入设备没有开通关于控制报文的接入业务,则将控制报文的限速阈值设为0。
限速处理单元504中包括:分类模块,用于当宽带接入设备的控制平面接收到控制报文时,对控制报文进行分类;以及判断模块,用于将分类后的各种类型的控制报文分别放入相应分类队列中,并判断分类后的各种类型的控制报文是否超过限速阈值,并根据判断结果进行相应处理。
另外,限速处理单元504中还包括:丢弃模块,如果判断结果是分类后的各种类型的控制报文超过限速阈值,则丢弃控制报文;以及处理模块,如果判断结果是分类后的各种类型的控制报文没有超过限速阈值,则处理控制报文。
其中,控制报文的类型是预先设定的。
综上所述,通过本发明,能够对各种控制报文进行分类限速,使各种业务之间尽量相互隔离,系统的业务能力最大程度可用。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种宽带接入设备安全实现方法,其特征在于,包括以下步骤:
步骤一,在宽带接入设备的操作界面上,分别配置各种类型控制报文的限速阈值;以及
步骤二,当所述宽带接入设备接收到控制报文时,对所述控制报文进行分类限速处理。
2.根据权利要求1所述的方法,其特征在于,在所述步骤一之前还执行以下处理:
确定所述宽带接入设备的控制平面在单位时间内能够处理的所述各种类型控制报文的数量,作为所述宽带接入设备的系统门限。
3.根据权利要求2所述的方法,其特征在于,在所述步骤一之前还执行以下处理:
在所述宽带接入设备中,估算所述各种类型控制报文的所述限速阈值。
4.根据权利要求3所述的方法,其特征在于,所述各种类型控制报文包括:PPP报文、DHCP报文、ARP报文、RADIUS报文、OSPF/RIP报文、SNMP报文、IGMP报文、ICMP报文、和TELNET报文。
5.根据权利要求4所述的方法,其特征在于,如果所述宽带接入设备没有开通关于所述控制报文的接入业务,则将所述控制报文的限速阈值设为0。
6.根据权利要求1所述的方法,其特征在于,所述步骤二中包括以下处理:
当所述宽带接入设备的所述控制平面接收到所述控制报文时,将所述控制报文分类成各种类型;以及
将各种类型的所述控制报文分别放入相应分类队列中,并判断各种类型的所述控制报文是否超过相应的所述限速阈值,并根据判断结果进行相应处理。
7.根据权利要求6所述的方法,其特征在于,所述步骤二中还包括以下处理:
如果所述判断结果是各种类型的所述控制报文超过所述相应的限速阈值,则丢弃所述控制报文;以及
如果所述判断结果是各种类型的所述控制报文没有超过所述相应的限速阈值,则处理所述控制报文。
8.根据权利要求1所述的方法,其特征在于,所述控制报文的类型是预先设定的。
9.一种宽带接入设备安全实现装置,其特征在于,包括:
阈值配置单元,用于分别配置各种类型控制报文的限速阈值;以及
限速处理单元,用于对所述控制报文进行分类限速处理。
10.根据权利要求9所述的装置,其特征在于,在所述阈值配置单元中包括:
系统门限确定模块,用于确定宽带接入设备的控制平面在单位时间内能够处理的所述各种类型控制报文的数量,作为所述宽带接入设备的系统门限。
11.根据权利要求10所述的装置,其特征在于,在所述阈值配置单元中还包括:
阈值估算模块,用于估算所述各种类型控制报文的所述限速阈值。
12.根据权利要求11所述的装置,其特征在于,所述各种类型控制报文包括:PPP报文、DHCP报文、ARP报文、RADIUS报文、OSPF/RIP报文、SNMP报文、IGMP报文、ICMP报文、和TELNET报文。
13.根据权利要求12所述的装置,其特征在于,如果所述宽带接入设备没有开通关于所述控制报文的接入业务,则将所述控制报文的限速阈值设为0。
14.根据权利要求9所述的装置,其特征在于,所述限速处理单元中包括:
分类模块,用于当所述宽带接入设备的所述控制平面接收到所述控制报文时,对所述控制报文进行分类;以及
判断模块,用于将分类后的各种类型的所述控制报文分别放入相应分类队列中,并判断分类后的各种类型的所述控制报文是否超过所述限速阈值,并根据判断结果进行相应处理。
15.根据权利要求14所述的装置,其特征在于,所述限速处理单元中还包括:
丢弃模块,如果所述判断结果是分类后的各种类型的所述控制报文超过所述限速阈值,则丢弃所述控制报文;以及
处理模块,如果所述判断结果是分类后的各种类型的所述控制报文没有超过所述限速阈值,则处理所述控制报文。
16.根据权利要求9所述的装置,其特征在于,所述控制报文的类型是预先设定的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200710126545 CN101079746A (zh) | 2007-06-22 | 2007-06-22 | 宽带接入设备安全实现方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200710126545 CN101079746A (zh) | 2007-06-22 | 2007-06-22 | 宽带接入设备安全实现方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101079746A true CN101079746A (zh) | 2007-11-28 |
Family
ID=38906991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200710126545 Pending CN101079746A (zh) | 2007-06-22 | 2007-06-22 | 宽带接入设备安全实现方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101079746A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
CN102571493A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 网络检测的方法及设备 |
CN102611631A (zh) * | 2012-04-12 | 2012-07-25 | 中兴通讯股份有限公司 | 一种伪线场景下协议报文保护方法、装置及系统 |
CN103428185A (zh) * | 2012-05-24 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 报文过滤/限速方法、系统及装置 |
WO2014079006A1 (zh) * | 2012-11-21 | 2014-05-30 | 华为技术有限公司 | 一种ospf报文的流量控制方法及装置 |
CN104243238A (zh) * | 2014-09-22 | 2014-12-24 | 迈普通信技术股份有限公司 | 测试控制平面限速值的方法、测试设备及系统 |
CN107566289A (zh) * | 2017-08-21 | 2018-01-09 | 杭州迪普科技股份有限公司 | 一种基于流分类的控制核流量限速方法及装置 |
CN107743095A (zh) * | 2017-11-30 | 2018-02-27 | 新华三技术有限公司 | 报文转发方法和装置 |
CN107959603A (zh) * | 2017-10-27 | 2018-04-24 | 新华三技术有限公司 | 转发控制方法及装置 |
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN111614518A (zh) * | 2020-05-20 | 2020-09-01 | 中国电子科技集团公司第五十四研究所 | 一种基于ospf协议的自动化安全测试方法 |
WO2022083446A1 (zh) * | 2020-10-19 | 2022-04-28 | 中兴通讯股份有限公司 | 通讯控制方法、电子设备及存储介质 |
-
2007
- 2007-06-22 CN CN 200710126545 patent/CN101079746A/zh active Pending
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571493A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 网络检测的方法及设备 |
CN102447711A (zh) * | 2012-01-18 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文发送方法及装置 |
CN102611631A (zh) * | 2012-04-12 | 2012-07-25 | 中兴通讯股份有限公司 | 一种伪线场景下协议报文保护方法、装置及系统 |
CN103428185A (zh) * | 2012-05-24 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 报文过滤/限速方法、系统及装置 |
CN103428185B (zh) * | 2012-05-24 | 2016-06-15 | 百度在线网络技术(北京)有限公司 | 报文过滤/限速方法、系统及装置 |
CN104040975B (zh) * | 2012-11-21 | 2017-04-19 | 华为技术有限公司 | 一种ospf报文的流量控制方法及装置 |
WO2014079006A1 (zh) * | 2012-11-21 | 2014-05-30 | 华为技术有限公司 | 一种ospf报文的流量控制方法及装置 |
CN104040975A (zh) * | 2012-11-21 | 2014-09-10 | 华为技术有限公司 | 一种ospf报文的流量控制方法及装置 |
CN104243238A (zh) * | 2014-09-22 | 2014-12-24 | 迈普通信技术股份有限公司 | 测试控制平面限速值的方法、测试设备及系统 |
CN107566289A (zh) * | 2017-08-21 | 2018-01-09 | 杭州迪普科技股份有限公司 | 一种基于流分类的控制核流量限速方法及装置 |
CN107959603A (zh) * | 2017-10-27 | 2018-04-24 | 新华三技术有限公司 | 转发控制方法及装置 |
CN107743095A (zh) * | 2017-11-30 | 2018-02-27 | 新华三技术有限公司 | 报文转发方法和装置 |
CN108429731A (zh) * | 2018-01-22 | 2018-08-21 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
CN111614518A (zh) * | 2020-05-20 | 2020-09-01 | 中国电子科技集团公司第五十四研究所 | 一种基于ospf协议的自动化安全测试方法 |
WO2022083446A1 (zh) * | 2020-10-19 | 2022-04-28 | 中兴通讯股份有限公司 | 通讯控制方法、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101079746A (zh) | 宽带接入设备安全实现方法和装置 | |
EP3016329B1 (en) | Service path allocation method, router and service execution entity | |
US10084752B2 (en) | Hybrid hardware-software distributed threat analysis | |
CN101019405B (zh) | 用于在通信网络中缓解拒绝服务的方法和系统 | |
US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
US20070086336A1 (en) | Application layer metrics monitoring | |
JP2004503146A (ja) | サービス拒否攻撃を防ぐための方法 | |
CN101047618A (zh) | 获取网络路径信息的方法和系统 | |
KR20060133921A (ko) | 통신 어플라이어스들상 서비스 거부 공격들을 감소시키는시스템 및 방법 | |
CN101056222A (zh) | 一种深度报文检测方法、网络设备及系统 | |
CN101061671A (zh) | 有序光纤信道分组传递 | |
CN1175621C (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
CN1672387A (zh) | 用于层间绑定检验的方法和装置 | |
US20090240804A1 (en) | Method and apparatus for preventing igmp packet attack | |
CN1700658A (zh) | 一种垃圾邮件服务器的检测与定位方法 | |
CN1866951A (zh) | 在网络中检测共享接入主机的方法及系统 | |
CN1773993A (zh) | 会话中继设备和会话中继方法 | |
CN1852187A (zh) | 一种实现网上设备接入管理的方法 | |
CN1299471C (zh) | 一种宽带接入服务器测试网关与测试方法 | |
CN1968180A (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
Lu et al. | A real implementation of DPI in 3G network | |
US20090252041A1 (en) | Optimized statistics processing in integrated DPI service-oriented router deployments | |
CN101227495B (zh) | 公用电信分组数据网系统及其拥塞控制方法 | |
CN1878061A (zh) | 网桥协议数据单元报文验证方法和装置 | |
CN101771575B (zh) | 一种处理ip分片报文的方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |