CN101771564B - 会话上下文的处理方法、装置和系统 - Google Patents
会话上下文的处理方法、装置和系统 Download PDFInfo
- Publication number
- CN101771564B CN101771564B CN200810247430.8A CN200810247430A CN101771564B CN 101771564 B CN101771564 B CN 101771564B CN 200810247430 A CN200810247430 A CN 200810247430A CN 101771564 B CN101771564 B CN 101771564B
- Authority
- CN
- China
- Prior art keywords
- opposite equip
- message
- certificate parameter
- resets
- notification message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000012217 deletion Methods 0.000 claims abstract description 23
- 230000037430 deletion Effects 0.000 claims abstract description 23
- 230000004044 response Effects 0.000 claims description 68
- 238000003672 processing method Methods 0.000 claims description 18
- 238000012795 verification Methods 0.000 claims description 16
- 238000010200 validation analysis Methods 0.000 claims description 12
- 238000012790 confirmation Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 230000002123 temporal effect Effects 0.000 claims 2
- 238000004891 communication Methods 0.000 abstract description 3
- 208000001970 congenital sucrase-isomaltase deficiency Diseases 0.000 description 14
- 238000004140 cleaning Methods 0.000 description 10
- 230000016571 aggressive behavior Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1083—In-session procedures
- H04L65/1093—In-session procedures by adding participants; by removing participants
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种会话上下文的处理方法、装置和系统,该方法包括:接收携带有设备标识信息的复位通知消息;确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件;删除与所述复位事件相关的关联上下文。本发明实施例中的本端设备接收到对端设备的复位通知消息,在删除本端设备上与对端设备的复位事件相关的关联上下文之前,需要与对端设备确认上述复位通知消息的真实性,避免了由于受到仿冒源地址攻击而错误删除设备上的关联上下文,确保了接收到复位通知消息之后对关联上下文处理的正确性,保证了本端设备进行正常的通信,提高了系统的安全性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种会话上下文的处理方法、装置和系统。
背景技术
在通信网络系统中,为了在系统中多个设备之间建立传输数据的通道,通常需要在多个设备上为该传输通道分别建立上下文(Context),控制面或者用户面的数据在设备之间传输时,携带目的端设备上对应上下文的标识,目的端设备接收到数据后,根据该上下文的标识查找到对应的上下文,根据上下文中的参数确定后续处理,例如:转发、服务质量(Quality of Service,简称QoS)控制、计费等等。
为同一个会话(Session)在不同设备上建立的会话上下文彼此之间称为关联上下文,如果其中一个设备上的会话上下文由于设备故障或者处理异常等原因被删除掉,那么在其他设备上的关联上下文就成为垃圾上下文,需要被清除掉。一个设备可能整体或者局部模块失效,此时其他设备上受影响的关联上下文的数量就可能非常多,现有技术中采用整体复位通知或局部复位通知向其他设备删除关联上下文。
在现有的整体复位通知和局部复位通知流程中,可能会出现仿冒源地址攻击现象,即通过仿冒源地址的方法应用复位(整体或局部)通知消息。攻击者可以利用获取的合法设备节点的标识信息,例如:该节点的IP地址,仿冒一条复位通知消息(整体或局部)向其他设备节点发送,其他设备节点接收到该仿冒的复位通知消息(整体或局部)会误认为是合法设备节点所发送的,则会根据该仿冒的复位通知消息(整体或局部)删除全部或部分会话上下文,从而导致了大量的会话上下文被误删除,使得设备无法进行正常的通信。
发明内容
本发明实施例提供一种会话上下文的处理方法、装置和系统,用以避免错误删除设备上的关联上下文,确保接收到复位通知消息之后对关联上下文处理的正确性,保证设备进行正常的通信,提高系统的安全性。
本发明实施例提供了一种会话上下文的处理方法,包括:
接收携带有设备标识信息的复位通知消息;
确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件;
删除与所述复位事件相关的关联上下文。
本发明实施例还提供了一种会话上下文的处理装置,包括:
接收模块,用于接收携带有设备标识信息的复位通知消息;
确认模块,用于确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件;
处理模块,用于删除与所述复位事件相关的关联上下文。
本发明实施例又提供了一种会话上下文的处理系统,包括对端设备和本端设备;
所述对端设备用于发生复位事件后,向所述本端设备发送携带有设备标识信息的复位通知消息;
所述本端设备用于接收携带有设备标识信息的复位通知消息,确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件,并删除与所述复位事件相关的关联上下文。
由上述技术方案可知,本发明实施例中的本端设备接收到对端设备的复位通知消息,在删除本端设备上与对端设备的复位事件相关的关联上下文之前,需要与对端设备确认上述复位通知消息的真实性,避免了错误删除设备上的关联上下文,确保了接收到复位通知消息之后对关联上下文处理的正确性,保证了本端设备进行正常的通信,提高了系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的会话上下文的处理方法的流程示意图;
图2为本发明实施例二提供的会话上下文的处理方法的流程示意图;
图3为本发明实施例三提供的会话上下文的处理方法的流程示意图;
图4为本发明实施例四提供的会话上下文的处理装置的结构示意图;
图5为本发明实施例五提供的会话上下文的处理装置的结构示意图;
图6为本发明实施例六提供的会话上下文的处理装置的结构示意图;
图7为本发明实施例七提供的会话上下文的处理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一提供的会话上下文的处理方法的流程示意图,如图1所示,本实施例的会话上下文的处理方法可以具体包括以下步骤:
步骤101、接收携带有设备标识信息的复位通知消息;
步骤102、确认上述设备标识信息标识的对端设备发生上述复位通知消息对应的复位事件;
步骤103、删除与对端设备发生的复位事件相关的关联上下文。
其中的复位通知消息可以为全局复位通知消息,还可以为局部复位通知消息。
本实施例中的本端设备接收到对端设备的复位通知消息,在删除本端设备上与对端设备的复位事件相关的关联上下文之前,需要与对端设备确认上述复位通知消息的真实性,避免了由于受到仿冒源地址攻击而错误删除设备上的关联上下文,确保了接收到复位通知消息之后对关联上下文处理的正确性,保证了本端设备进行正常的通信。本实施例能够使得通过仿冒源地址攻击的方法应用复位通知消息对设备进行攻击的实施难度增加,减少了通过仿冒源地址实施复位通知攻击的风险,从而提高了系统的安全性。
图2为本发明实施例二提供的会话上下文的处理方法的流程示意图,如图2所示,本实施例的会话上下文的处理方法可以具体包括以下步骤:
步骤201、本端设备即设备B接收到携带有对端设备即设备A的设备标识的整体复位通知消息;
本实施例中的整体复位通知消息可以为一个独立消息,本端设备接收到作为一个独立消息的整体复位通知消息之后,初步判断对端设备发生了整体复位事件(重启)事件。
可选地,本实施例中的整体复位通知消息还可以为其他协议消息中的现有消息,并不是专门用于通知发生整体复位事件的消息,例如:可以在GPRS隧道协议(GPRS tunneling protocol,简称GTP)中的建立会话请求(CreateSession Request)消息、回声请求(Echo Request)消息等消息中进一步携带重启计数值信元,以通知对端本端设备发生了整体复位事件。本端设备通过将接收到的消息中所携带的对端设备的重启计数值与之前存储的对端设备的原重启计数值进行比较是否改变来判断对端设备是否发生了整体复位事件(重启)事件。
其中的设备A的设备标识可以为设备A的IP地址,即该整体复位通知消息的源地址为设备A的IP地址;
步骤202、设备B被通知设备A发生了整体复位事件(重启)事件之后,向设备A发送携带有验证参数的验证请求消息,例如:GTP中的回声请求消息;
本步骤中,在使用回声请求消息作为验证请求消息时,其中的验证参数可以直接使用GTP头部的序列号(Sequence Number),由发送方的设备B分配并设置在回声请求消息的GTP头部中。可选地,除序列号之外,本实施例中的验证参数也可以为其他任何形式的附加验证参数。如果之前设备B没有存储设备A的原重启计数值,则在存储步骤201的消息中携带的设备A最新的重启计数值之前也需要执行本步骤;如果步骤201的消息中携带的设备A最新的重启计数值与设备B存储的设备A的原重启计数值一致,则设备B不发送验证请求消息,不再进行后续处理;
步骤203、设备A接收到验证请求消息,按照预设的处理策略向设备B发送验证应答消息,例如:发送GTP中的回声应答(Echo Response)消息,该验证应答消息中携带有上述验证参数的信息和设备A的当前重启计数值。
本步骤中,设备A向设备B返回的回声应答消息中GTP头部的序列号,按照GTP的规定,应该填写为对应的回声请求消息GTP头部的序列号,因此,如果设备B接收到了设备A返回的回声应答消息并且回声应答消息中的序列号与回声请求消息中的序列号匹配,则说明回声应答消息是真实来自设备A的应答消息。
如果设备B发送到设备A的验证请求消息中除了GTP头部的序列号以外还携带了其他附加验证参数,则设备A在返回验证应答消息时应同时将附加验证参数携带在验证应答消息中,也可以将上述附加验证参数通过设备A与设备B协商后的预设某种变换算法进行变换后的结果(变换验证参数)携带在验证应答消息中,相应的变换算法可以是利用设备A与设备B协商(自动协商或者人工协商)后的密钥进行加密或者散列(哈希)运算等。如果步骤201中的整体复位通知消息的确是设备A发送的,则本步骤中的设备A的当前重启计数值应该与步骤201中的重启计数值相同。
可选地,步骤202中设备B也可以不通过验证请求消息将验证参数下发到设备A,而是通过与设备A进行协商预先将验证参数设置在设备A上,同样,设备A在返回验证应答消息时应同时将该设置的验证参数的信息携带在验证应答消息中;
步骤204、设备B接收到验证应答消息,由于根据该验证应答消息中所携带的验证参数的信息可以相信验证应答消息真实的来自设备A,因此验证应答消息中携带的设备A的当前重启计数值可以信任,设备B比较该验证应答消息中所携带的设备A的当前重启计数值与存储的原重启计数值,如果两者不一致,确认对端设备真实发生了整体复位事件,则删除与设备A对应的关联上下文。
本步骤中,设备B接收到验证应答消息之后,将该验证应答消息中所携带的设备A的当前重启计数值与之前存储的设备A的原重启计数值进行比较:如果两个数值不一致,说明重启计数值确实发生了变化,则设备B确认设备A确实发生了整体复位事件,启动垃圾上下文清理处理以删除与设备A对应的关联上下文,设备B还进一步将验证应答消息中所携带的设备A的当前重启计数值保存为设备A最新的重启计数值;如果两个数值一致,说明设备A的重启计数值没有发生了变化,也就是说设备B接收到的整体复位通知消息是仿冒的,该整体复位通知消息中所携带的重启计数值并不是设备A最新的重启计数值,设备B则忽略该整体复位通知消息,不会启动垃圾上下文清理处理。
本实施例中,由于步骤203中的验证应答消息中所携带的验证参数的信息需要与步骤202中验证请求消息中所携带的验证参数相匹配,因此在应用本实施例的会话上下文的处理方法后,攻击者要成功实施攻击,需要能够截获到步骤202中设备B向设备A发送的验证请求消息以获取其中所携带的验证参数。这对攻击者提出了更高的要求,因为在其发起攻击的网络位置,也许攻击者可以假冒设备A的IP地址作为源地址向设备B发送整体复位通知消息并成功达到设备B,但并不能保证其一定能够截获目的地址为设备A的IP地址的消息;同时由于步骤202中的验证请求消息通常是夹杂在海量的数据流中的,因此即使步骤202中的验证请求消息经过了攻击者发起攻击的位置,攻击者要在很短的时间内(必须赶在真实的设备A正常返回验证应答消息之前)从海量数据中过滤出步骤202中的该验证请求消息运算量也很大。因此在应用本实施例的会话上下文的处理方法后,攻击者能够发起攻击的位置被大大收窄了,同时攻击难度也大大提高了。
需要说明的是:如果步骤201中携带有设备A最新的重启计数值的消息是一条响应消息,例如:GTP中的建立会话响应(Create Session Response)消息、回声响应(Echo Response)消息等。由于上述响应消息中携带的验证参数的信息必须与由设备B为对应的请求消息分配的验证参数相同,一定程度上已经起到了步骤202和步骤203的验证作用,因此对接收到响应消息中所携带的设备A的当前重启计数值与之前存储的设备A的原重启计数值发生改变的情况,可以不执行本实施例步骤202和步骤203的验证过程。实际上,本实施例是不信任对端设备主动发送的整体复位通知消息,在接收到对端设备主动发送的整体复位通知消息时,触发与对端设备交互验证以确认整体复位事件的真实性。
进一步地,为了增加攻击者攻击的难度,本实施例中设备A还可以在步骤201或者203的消息中将设备B最新的重启计数值或其他预先由设备B生成的标识信息携带上,以验证之前发送整体复位通知消息的对端设备确实曾经接收过本端设备的验证请求消息。需要说明的是:如果要求设备A在步骤201将设备B最新的重启计数值或其他预先由设备B生成的标识信息携带上,则本实施例还可以跳过步骤202和步骤203的验证过程,直接执行步骤204,即这种情况下执行主动验证的步骤是可选的。
在本实施例中,设备B在接收到关于设备A的整体复位通知消息之后,在启动扫描清理垃圾上下文处理之前,向设备A发送验证请求消息以验证设备A的重启计数值发生变化的真实性,在得到设备A的确认之后,再启动扫描清理垃圾上下文处理。
进一步地,步骤202中设备B向设备A下发的验证参数可以设置一有效时间范围,也就是说,该验证参数应该只在一段时间范围之内从设备A返回给设备B(例如:10秒)才有效,超过该时间范围的时限后,设备B会将接收到的验证应答消息直接丢弃,不会发起与设备A相关的关联上下文的删除步骤。在具体实现中,设备B可以在向设备A发送携带有验证参数的验证请求消息之后启动一个定时器等待设备A返回的验证应答消息;设备B还可以直接将向设备A发送验证请求消息时的本地时间戳信息作为验证参数的一部分,当接收到设备A返回的验证应答消息之后,设备B对该验证应答消息中所携带的验证参数中的时间戳信息与当前本地时间进行比较,根据其差值是否在有效时间范围之内,确定是否删除与设备A相关的关联上下文。
有时候设备并不是整体故障,而是设备内部部分模块(例如:单板)发生了故障,此时受影响需要清理的则是与该模块相关的一部分关联上下文,而非全部。可以理解的是,实际设备实现中通常设备内有多种功能不同的资源模块,设备内的一个会话上下文是建立在由多种资源模块构成的资源组合上,因此情况会更复杂些。本发明实施例中,为了简单起见,假设设备内只有一种类型的资源,即设备内的资源模块是功能相同的,不影响本发明的方案描述。例如:设备A由N块功能相同的资源模块组成,例如:单板。设备A可以选择在任意一块资源模块上创建会话上下文。设备A为每个资源模块(当存在多种功能不同的资源模块时,为资源模块的组合)分配一个资源模块标识(PDN Connection Set Identifier,简称CSID)。在创建会话的过程中,本端设备,例如:设备A,选择其某个资源模块建立会话上下文,则设备A会将该资源模块对应的CSID随会话创建信令携带给对端设备,例如:设备B;类似地,设备B也选择其一个资源模块建立会话上下文,在会话上下文中保存设备A为该会话分配的CSID,同时把本端建立该会话上下文所选择的资源模块对应的CSID返回给设备A,设备A也在其上会话上下文中保存设备B为该会话分配的CSID。图3为本发明实施例三提供的会话上下文的处理方法的流程示意图,如图3所示,本实施例的会话上下文的处理方法可以具体包括以下步骤:
步骤301、本端设备即设备B接收到携带有对端设备即设备A的设备标识和CSID的局部复位通知消息。
本实施例中的局部复位通知消息可以为一个独立消息,例如:GTP中的删除公共数据网连接集合请求(Delete Public Data Network Connection SetRequest)消息,以通知对端本端设备发生了局部复位事件。本端设备接收到作为一个独立消息的局部复位通知消息之后,初步判断对端设备发生了局部复位事件(重启)事件。
可选地,本实施例中的局部复位通知消息还可以为其他协议消息中的现有消息,并不是专门用于通知发生局部复位事件的消息。
其中的设备A的设备标识可以为设备A的IP地址,即该局部复位通知消息的源地址为设备A的IP地址。假设设备A与设备B之间预先建立了一定数量关联会话,在会话建立过程中,设备之间交换了为该会话分配的CSID,在设备内会话上下文中存储了对端设备为之分配的CSID,设备A发生了局部资源模块故障,设备A向设备B发送局部复位通知消息,该局部复位通知消息中还可以携带有设备A故障的资源模块对应的CSID,以供通知本端设备发生故障的资源模块;
步骤302、设备B被通知设备A发生了局部复位事件(重启)事件之后,向设备A发送携带有验证参数的验证请求消息,例如:GTP中的删除PDN连接集合应答(Delete PDN Connection Set Response)消息,该删除PDN连接集合应答消息中的原因值(Cause)设置为“需要验证”。
其中的验证参数可以为任何形式的验证参数,例如:设备B分配的一个验证字,可以为一个64比特的验证参数;
步骤303、设备A接收到验证请求消息,按照预设的处理策略向设备B发送验证应答消息,例如:重新发送删除PDN连接集合请求消息,与步骤301中的消息不同之处是,该验证应答消息中还携带有步骤302中设备B携带给设备A用于验证局部复位真实性的验证参数的信息。如果步骤301中的局部复位通知消息中没有携带设备A故障的资源模块对应的CSID,则本步骤中的验证应答消息中还应该携带有设备A故障的资源模块对应的CSID,以供通知本端设备发生故障的资源模块;
本步骤中,上述验证应答消息中所携带的验证参数的信息可以为验证请求消息中所携带的原始验证参数,也可以为上述原始验证参数经过设备A与设备B协商后的某种变换算法变换后的变换验证参数,对验证参数进行变换的方法可以是利用设备A与设备B协商(自动协商或者人工协商)后的密钥进行加密或者散列(哈希)运算等。
可选地,步骤302中设备B也可以不通过验证请求消息将验证参数下发到设备A,而是通过与设备A进行协商预先将验证参数设置在设备A上,同样,设备A在返回验证应答消息时应同时将该设置的验证参数携带在验证应答消息中;
步骤304、设备B接收到验证应答消息,根据该验证应答消息中所携带的验证参数的信息确认所接收到的局部复位通知消息真实的来自设备A,则可以确认对端真实发生了局部复位事件,则删除与设备A局部故障的资源模块的CSID对应的关联上下文。
本实施例中,由于步骤303中的验证应答消息中所携带的验证参数的信息必须与步骤302中验证请求消息中所携带的验证参数相匹配,因此在应用本实施例的会话上下文的处理方法后,攻击者要成功实施攻击,需要能够截获到步骤302中设备B向设备A发送的验证请求消息以获取其中所携带的验证参数。这对攻击者提出了更高的要求,因为在其发起攻击的网络位置,也许攻击者可以假冒设备A的IP地址作为源地址向设备B发送局部复位通知消息并成功达到设备B,但并不能保证其一定能够截获目的地址为设备A的IP地址的消息;同时由于步骤302中的验证请求消息通常是夹杂在海量的数据流中的,因此即使步骤302中的验证请求消息经过了攻击者发起攻击的位置,攻击者要在很短的时间内(必须赶在真实的设备A正常返回验证应答消息之前)从海量数据中过滤出步骤302中的该验证请求消息运算量也很大。因此在应用本实施例的会话上下文的处理方法后,攻击者能够发起攻击的位置被大大收窄了,同时攻击难度也大大提高了。
与上一实施例相似,步骤301中设备B接收到的消息还可以为携带有设备B携带给设备A用于验证局部复位真实性的验证参数的信息的GTP中的删除公共数据网连接集合请求消息,一定程度上已经起到了步骤302和步骤303的验证作用,可以不执行本实施例步骤302和步骤303的验证过程。本实施例是不信任对端设备主动发送的局部复位通知消息,在接收到对端设备主动发送的局部复位通知消息时,触发与对端设备交互验证以确认局部复位事件的真实性。
进一步地,为了进一步增加攻击者攻击的难度,本实施例中设备A还可以在步骤301或者303的消息中将设备B最新的重启计数值或其他预先由设备B生成的标识信息携带上,以验证之前发送局部复位通知消息的对端设备确实曾经接收过本端设备的验证请求消息。需要说明的是:如果要求设备A在步骤301将设备B最新的重启计数值或其他预先由设备B生成的标识信息携带上,则本实施例还可以跳过步骤302和步骤303的验证过程,直接执行步骤304,即这种情况下执行主动验证的步骤是可选的。
在本实施例中,设备B在接收到关于设备A的局部复位通知消息之后,在启动扫描清理垃圾上下文处理之前,向设备A发送验证请求消息以验证设备A局部资源模块发生故障的真实性,在得到设备A的确认之后,再启动扫描清理CSID对应的垃圾上下文处理。
进一步地,步骤302中设备B向设备A下发的验证参数可以设置一有效时间范围,具体实现方式与上一实施例相同,本实施例不再赘述。
图4为本发明实施例四提供的会话上下文的处理装置的结构示意图,如图4所示,本实施例的会话上下文的处理装置可以包括接收模块41、确认模块42和处理模块43。接收模块41接收到携带有设备标识信息的复位通知消息,确认模块42确认设备标识信息标识的对端设备发生接收模块41所接收到的复位通知消息对应的复位事件,处理模块43删除与对端设备的复位事件相关的关联上下文。
其中,接收模块41所接收到的复位通知消息可以为全局复位通知消息,还可以为局部复位通知消息。确认模块42与对端设备确认接收模块41所接收到的复位通知消息的真实性可以通过获取对端设备所分配的验证参数来实现,该验证参数可以是本端设备通过验证消息下发到对端设备,还可以通过预先设置在对端设备上。
本实施例中的接收模块接收到对端设备的复位通知消息,处理模块在删除本端设备上与对端设备的复位事件相关的关联上下文之前,确认模块需要与对端设备确认上述复位通知消息的真实性,避免了由于受到仿冒源地址攻击而错误删除设备上的关联上下文,确保了接收到复位通知消息之后对关联上下文处理的正确性,保证了本端设备进行正常的通信。本实施例能够使得通过仿冒源地址攻击的方法应用复位通知消息对设备进行攻击的实施难度增加,减少了通过仿冒源地址实施复位通知攻击的风险,从而提高了系统的安全性。
上述实施例二、三中设备B的功能均可以由本发明实施例提供的会话上下文的处理装置实现。
图5为本发明实施例五提供的会话上下文的处理装置的结构示意图,如图5所示,进一步地,本实施例的会话上下文的处理装置中的确认模块具体可以通过与所述对端设备进行交互验证,确认所述复位通知消息来自所述对端设备。相应地,本实施例中的确认模块42具体可以进一步包括第一请求验证单元421、第一响应验证单元422和第一确认单元423。第一请求验证单元421向对端设备发送携带有验证参数的验证请求消息,第一响应验证单元422接收对端设备根据该验证请求消息返回的验证应答消息,该验证应答消息中携带有上述验证参数的信息,第一确认单元423根据上述验证参数的信息确认对端设备发生上述复位事件。
在本实施例中,接收模块在接收到关于对端设备的复位通知消息之后,处理模块在启动扫描清理垃圾上下文处理之前,确认模块的第一请求验证单元向对端设备发送携带有验证参数的验证请求消息以验证对端设备发生复位(重启)事件的真实性,在第一响应验证单元接收到对端设备返回的携带有上述验证参数的信息的验证响应消息之后,第一确认单元则可以确认接收模块所接收到的复位通知消息来自所述对端设备,以触发处理模块再启动扫描清理垃圾上下文处理。
图6为本发明实施例六提供的会话上下文的处理装置的结构示意图,如图6所示,与上一实施例相比,本实施例中的对端设备所获取的验证参数还可以为本端设备与对端设备进行协商预先设置在对端设备上的,相应地,本实施例中的确认模块42具体可以进一步包括第二请求验证单元424、第二响应验证单元425和第二确认单元426。第二请求验证单元424向对端设备发送验证请求消息,第二响应验证单元425接收对端设备根据该验证请求消息返回的验证应答消息,该验证应答消息中携带有预先设置在对端设备而上的验证参数的信息,第二确认单元426根据上述验证参数的信息确认对端设备发生上述复位事件。
在本实施例中,接收模块在接收到关于对端设备的复位通知消息之后,处理模块在启动扫描清理垃圾上下文处理之前,确认模块的第二请求验证单元向对端设备发送验证请求消息以验证对端设备发生复位(重启)事件的真实性,在第二响应验证单元接收到对端设备返回的携带有预先设置在对端设备上的验证参数的信息的验证响应消息之后,第二确认单元则可以确认接收模块所接收到的复位通知消息来自所述对端设备,以触发处理模块再启动扫描清理垃圾上下文处理。
进一步地,本实施例中的接收模块接收到的复位通知消息中还可以携带有验证参数的信息,确认模块具体可以根据该验证参数的信息确认所述对端设备发生所述复位事件。
图7为本发明实施例七提供的会话上下文的处理系统的结构示意图,如图7所示,本实施例的会话上下文的处理系统可以包括对端设备71和本端设备72;其中,
对端设备71用于发生复位事件后,向本端设备72发送携带有设备标识信息的复位通知消息;
本端设备72用于接收携带有设备标识信息的复位通知消息,确认该设备标识信息标识的对端设备71发生复位通知消息对应的复位事件,并删除与该复位事件相关的关联上下文。
上述实施例一中的方法、以及实施例二、三中设备B的功能均可以由本发明实施例提供的会话上下文的处理系统中的本端设备72实现。
本实施例中的本端设备接收到对端设备的复位通知消息,在删除本端设备上与对端设备的复位事件相关的关联上下文之前,需要与对端设备确认上述复位通知消息的真实性,避免了由于受到仿冒源地址攻击而错误删除设备上的关联上下文,确保了接收到复位通知消息之后对关联上下文处理的正确性,保证了本端设备进行正常的通信。本实施例能够使得通过仿冒源地址攻击的方法应用复位通知消息对设备进行攻击的实施难度增加,减少了通过仿冒源地址实施复位通知攻击的风险,从而提高了系统的安全性。
上述本发明实施例不限制所应用的网络系统,本发明实施例仅是以GTP为例进行说明的。发明的思想同样可以应用在其他协议消息中,例如在代理移动IPv6(Proxy Mobile IPv6,简称PMIPv6)中,整体复位通知消息可以是携带有重启计数值的心跳消息(Heartbeat),接收设备同样可以通过发送心跳请求消息并接收对端设备的心跳响应消息来验证对端设备的整体复位事件的真实性;同样在PMIPv6中,局部复位通知消息可以是携带了CSID选项的绑定撤销指示(Binding Revocation Indication)消息,而接收设备可以通过返回带特殊原因值(例如:“需要验证”)和验证参数的绑定撤销确认(Binding Revocation Acknowledgement)消息并要求对端重发携带验证参数的绑定撤销指示消息来验证对端设备的局部复位事件的真实性。
可以理解的是,本发明实施例中所例举的消息名称只是为了更好的说明本发明实施例的技术方案,在具体实现中还可以通过新增任意消息的方式来实现,也可以通过在已有的消息中增加信元的方式来实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (17)
1.一种会话上下文的处理方法,其特征在于,包括:
接收携带有设备标识信息的复位通知消息;
确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件;
删除与所述复位事件相关的关联上下文;其中,
所述确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件包括:与所述对端设备进行交互验证,确认所述对端设备发生所述复位事件。
2.根据权利要求1所述的方法,其特征在于,所述复位通知消息包括整体复位通知消息或者局部复位通知消息。
3.根据权利要求2所述的方法,其特征在于,所述与所述对端设备进行交互验证,确认所述对端设备发生所述复位事件包括:
向所述对端设备发送携带有验证参数的验证请求消息;
接收所述对端设备根据所述验证请求消息返回的验证应答消息,所述验证应答消息中携带有所述验证参数的信息;
根据所述验证参数的信息确认所述对端设备发生所述复位事件。
4.根据权利要求2所述的方法,其特征在于,所述与所述对端设备进行交互验证,确认所述对端设备发生所述复位事件包括:
向所述对端设备发送验证请求消息;
接收所述对端设备根据所述验证请求消息返回的验证应答消息,所述验证应答消息中携带有验证参数的信息;
根据所述验证参数的信息确认所述对端设备发生所述复位事件。
5.根据权利要求3或4所述的方法,其特征在于,所述验证参数的信息包括验证参数和/或所述验证参数变换后的变换验证参数。
6.根据权利要求5所述的方法,其特征在于,所述验证参数包括本端设备的当前重启计数值或所述本端设备预先生成的标识信息。
7.根据权利要求3或4所述的方法,其特征在于,所述根据所述验证参数的信息确认所述对端设备发生所述复位事件包括:如果有效时间范围内接收到所述验证应答消息,则根据所述验证参数的信息确认所述对端设备发生所述复位事件。
8.根据权利要求7所述的方法,其特征在于,所述验证参数包括接收到所述复位通知消息的时间信息和/或期望接收到所述验证应答消息的时间信息。
9.根据权利要求3或4所述的方法,其特征在于,所述验证应答消息中还携带有复位标识,以供确认所述对端设备发生所述复位事件。
10.根据权利要求2所述的方法,其特征在于,所述复位通知消息中还携带有验证参数的信息,所述确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件包括:根据所述验证参数的信息确认所述对端设备发生所述复位事件。
11.根据权利要求1或10所述的方法,其特征在于,所述复位通知消息中还携带有复位标识,以供通知所述对端设备发生所述复位事件。
12.根据权利要求3、4或10所述的方法,其特征在于,所述局部复位通知消息中还携带有资源模块标识,所述删除与所述复位事件相关的关联上下文包括:删除与所述资源模块标识对应的关联上下文。
13.一种会话上下文的处理装置,其特征在于,包括:
接收模块,用于接收携带有设备标识信息的复位通知消息;
确认模块,用于确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件;
处理模块,用于删除与所述复位事件相关的关联上下文;其中,
所述确认模块具体用于
与所述对端设备进行交互验证,确认所述对端设备发生所述复位事件。
14.根据权利要求13所述的装置,其特征在于,所述确认模块包括:
第一请求验证单元,用于向所述对端设备发送携带有验证参数的验证请求消息;
第一响应验证单元,用于接收所述对端设备根据所述验证请求消息返回的验证应答消息,所述验证应答消息中携带有所述验证参数的信息;
第一确认单元,用于根据所述验证参数的信息确认所述对端设备发生所述复位事件。
15.根据权利要求13所述的装置,其特征在于,所述确认模块包括:
第二请求验证单元,用于向所述对端设备发送验证请求消息;
第二响应验证单元,用于接收所述对端设备根据所述验证请求消息返回的验证应答消息,所述验证应答消息中携带有验证参数的信息;
第二确认单元,用于根据所述验证参数的信息确认所述对端设备发生所述复位事件。
16.根据权利要求13所述的装置,其特征在于,所述接收模块接收到的所述复位通知消息中携带有验证参数的信息,所述确认模块具体根据所述验证参数的信息确认所述对端设备发生所述复位事件。
17.一种会话上下文的处理系统,其特征在于,包括对端设备和本端设备;
所述对端设备用于发生复位事件后,向所述本端设备发送携带有设备标识信息的复位通知消息;
所述本端设备用于接收携带有设备标识信息的复位通知消息,确认所述设备标识信息标识的对端设备发生所述复位通知消息对应的复位事件,并删除与所述复位事件相关的关联上下文;其中,
所述本端设备具体用于
与所述对端设备进行交互验证,确认所述对端设备发生所述复位事件。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810247430.8A CN101771564B (zh) | 2008-12-31 | 2008-12-31 | 会话上下文的处理方法、装置和系统 |
PCT/CN2009/073064 WO2010075685A1 (zh) | 2008-12-31 | 2009-08-04 | 会话上下文的处理方法、装置和系统 |
US13/173,212 US20110258682A1 (en) | 2008-12-31 | 2011-06-30 | Method, apparatus, and system for processing session context |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810247430.8A CN101771564B (zh) | 2008-12-31 | 2008-12-31 | 会话上下文的处理方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101771564A CN101771564A (zh) | 2010-07-07 |
CN101771564B true CN101771564B (zh) | 2013-10-09 |
Family
ID=42309779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810247430.8A Active CN101771564B (zh) | 2008-12-31 | 2008-12-31 | 会话上下文的处理方法、装置和系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20110258682A1 (zh) |
CN (1) | CN101771564B (zh) |
WO (1) | WO2010075685A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102065487B (zh) * | 2010-12-06 | 2014-04-02 | 大唐移动通信设备有限公司 | 复位用户的方法及设备 |
JP5845973B2 (ja) * | 2012-03-01 | 2016-01-20 | 富士通株式会社 | サービス利用管理方法、プログラム、および情報処理装置 |
JP6016456B2 (ja) * | 2012-05-30 | 2016-10-26 | クラリオン株式会社 | 認証装置、認証プログラム |
US9426132B1 (en) | 2012-09-12 | 2016-08-23 | Emc Corporation | Methods and apparatus for rules-based multi-factor verification |
US9280645B1 (en) * | 2012-11-15 | 2016-03-08 | Emc Corporation | Local and remote verification |
DE112014002747T5 (de) * | 2013-06-09 | 2016-03-03 | Apple Inc. | Vorrichtung, Verfahren und grafische Benutzerschnittstelle zum Ermöglichen einer Konversationspersistenz über zwei oder mehr Instanzen eines digitalen Assistenten |
US9535794B2 (en) * | 2013-07-26 | 2017-01-03 | Globalfoundries Inc. | Monitoring hierarchical container-based software systems |
CN103973786B (zh) | 2014-05-07 | 2017-05-24 | 惠州Tcl移动通信有限公司 | 电子设备的通知消息的同步方法及电子设备 |
CN103957150B (zh) * | 2014-05-07 | 2017-05-17 | 惠州Tcl移动通信有限公司 | 电子设备的通知消息的同步方法及服务器、电子设备 |
WO2020171765A1 (en) * | 2019-02-22 | 2020-08-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Mitigating dos attacks |
US11070699B1 (en) * | 2020-03-05 | 2021-07-20 | Steven Michael Becherer | Systems and methods for facilitating determining contextual and semantic meaning from an image scan |
CN111554399B (zh) * | 2020-05-25 | 2023-07-25 | 出门问问信息科技有限公司 | 一种重置方法和装置、电子设备和计算机存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1437111A (zh) * | 2002-02-05 | 2003-08-20 | 三星电子株式会社 | 嵌入式设备和初始化该设备的方法 |
CN1711787A (zh) * | 2002-11-05 | 2005-12-21 | 艾利森电话股份有限公司 | 向无线接入网中的连接子集集体通知节点复位 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6983364B2 (en) * | 2001-06-29 | 2006-01-03 | Hewlett-Packard Development Company, Lp. | System and method for restoring a secured terminal to default status |
US7149892B2 (en) * | 2001-07-06 | 2006-12-12 | Juniper Networks, Inc. | Secure sockets layer proxy architecture |
US7472416B2 (en) * | 2004-01-09 | 2008-12-30 | Cisco Technology, Inc. | Preventing network reset denial of service attacks using embedded authentication information |
US7565694B2 (en) * | 2004-10-05 | 2009-07-21 | Cisco Technology, Inc. | Method and apparatus for preventing network reset attacks |
US7523196B2 (en) * | 2004-12-28 | 2009-04-21 | Sap Ag | Session monitoring using shared memory |
US7640338B2 (en) * | 2005-01-18 | 2009-12-29 | Microsoft Corporation | System and method for mitigation of malicious network node activity |
US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
US8046596B2 (en) * | 2007-06-21 | 2011-10-25 | Emc Corporation | Reset-tolerant authentication device |
JP5373062B2 (ja) * | 2008-05-16 | 2013-12-18 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | システム管理コマンドを提供するシステム及び方法 |
-
2008
- 2008-12-31 CN CN200810247430.8A patent/CN101771564B/zh active Active
-
2009
- 2009-08-04 WO PCT/CN2009/073064 patent/WO2010075685A1/zh active Application Filing
-
2011
- 2011-06-30 US US13/173,212 patent/US20110258682A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1437111A (zh) * | 2002-02-05 | 2003-08-20 | 三星电子株式会社 | 嵌入式设备和初始化该设备的方法 |
CN1711787A (zh) * | 2002-11-05 | 2005-12-21 | 艾利森电话股份有限公司 | 向无线接入网中的连接子集集体通知节点复位 |
Also Published As
Publication number | Publication date |
---|---|
WO2010075685A1 (zh) | 2010-07-08 |
CN101771564A (zh) | 2010-07-07 |
US20110258682A1 (en) | 2011-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101771564B (zh) | 会话上下文的处理方法、装置和系统 | |
US20200053165A1 (en) | Session processing method and device | |
US8555064B2 (en) | Security system and method for wireless communication system | |
CN1799241B (zh) | Ip移动性 | |
CN100586106C (zh) | 报文处理方法、系统和设备 | |
CN101860716B (zh) | 一种无线会议电视终端重接入的系统及方法 | |
JPH11308273A (ja) | 移動計算機装置、移動計算機管理装置、移動計算機管理方法及び通信制御方法 | |
CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
CN106789219A (zh) | 路由器的管理方法和装置 | |
CN112448826B (zh) | 组播消息的通信方法、装置、可读介质及电子设备 | |
CN101022454B (zh) | 一种实体间的审计方法及系统 | |
CN102612164B (zh) | 一种针对网元重启后释放资源的方法、装置和系统 | |
CN108401273A (zh) | 一种路由方法和装置 | |
CN101621455A (zh) | 网络设备的管理方法和网络管理站、设备 | |
CN109711140B (zh) | 站点登录状态控制方法、装置、计算机设备及存储介质 | |
US10680930B2 (en) | Method and apparatus for communication in virtual network | |
CN103199990B (zh) | 一种路由协议认证迁移的方法和装置 | |
CN108632037A (zh) | 公钥基础设施的公钥处理方法及装置 | |
CN110309645A (zh) | 一种对api进行安全防护的方法、设备和系统 | |
JP2009118267A (ja) | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム | |
CN103501298B (zh) | 一种不中断业务升级过程中保证链路不断流的方法和设备 | |
CN104009961A (zh) | 一种PPPoE会话标识分配方法及设备 | |
JPH11161618A (ja) | 移動計算機管理装置、移動計算機装置及び移動計算機登録方法 | |
JP2009526457A (ja) | ネットワーク装置からなるコミュニティに装置を組み入れるための方法および装置 | |
CN102547611B (zh) | 发送多媒体消息的方法、装置和网关服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |