CN102045308A - 一种防止拒绝服务攻击的方法及装置 - Google Patents
一种防止拒绝服务攻击的方法及装置 Download PDFInfo
- Publication number
- CN102045308A CN102045308A CN2009101811277A CN200910181127A CN102045308A CN 102045308 A CN102045308 A CN 102045308A CN 2009101811277 A CN2009101811277 A CN 2009101811277A CN 200910181127 A CN200910181127 A CN 200910181127A CN 102045308 A CN102045308 A CN 102045308A
- Authority
- CN
- China
- Prior art keywords
- user
- packet
- miss
- hit rate
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止拒绝服务攻击的方法,包括:在用户的命中率低于命中率阈值和/或该用户的未命中数高于未命中数阈值时,将该用户设置为限制状态;若数据包为未命中数据包,则查询发送该数据包的用户的状态,如果该用户处于限制状态,则丢弃该数据包。本发明结合命中率控制和未命中数控制,并结合用户类型识别、系统启动状态修正、系统过负荷修正以及用户刚登录状态的修正,防止拒绝服务攻击,本发明可实现对恶意用户频繁发送首包造成的DOS/DDOS攻击进行有效控制;可根据系统启动、系统过负荷、特殊用户、用户登录等情况,对首包攻击的限制进行调整,保证上述特殊场景下系统在避免首包攻击的同时用户也能够正常使用网络。
Description
技术领域
本发明涉及身份标识与位置标识分离的网络,尤其涉及一种在身份标识与位置标识分离的网络中防止拒绝服务攻击的方法及装置。
背景技术
目前,因特网广泛使用的TCP/IP(传输控制协议/因特网互联协议)协议中IP地址具有双重功能,既作为网络层的通信终端主机网络接口在网络拓扑中的位置标识,又作为传输层主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但是,当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。
提出身份标识和位置标识分离的目的是解决IP地址的语义过载和路由负载严重以及安全性等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
图1所示为北京交通大学提出的一种一体化网络架构,实现终端的身份标识和位置标识的分离,该网络架构包括:映射服务器(Map Server,MS)、接入服务器(Access Service Router,ASR)和用户设备(User Equipment,UE)等,每个UE都有一个唯一的接入标识(AID),每个ASR都有一个路由标识(RID),UE具有移动性,可以在各ASR上注册,在MS中保存UE所接入的ASR的RID,也就是说MS保存着每个UE的AID和实际接入的ASR的RID的对应表(AID-RID映射表)。
当UE1和UE2开始使用网络时,首先分别向MS发起注册流程,UE1通过ASR1向MS注册后,MS将生成一个表项为AID1-RID1,表示UE1在ASR1下注册,后续其它UE发给UE1的数据包将经过ASR1转发。同样,当UE2通过ASR2向MS注册后,MS将生成一个表项为AID2-RID2,表示UE2在ASR2下注册,后续其它UE发给UE2的数据包应经过ASR2转发。
经过一段时间后,MS上注册的UE会趋于稳定,MS将建立如图2所示的AID-RID映射表。
当UE1和UE2都已经注册后,并且UE1向UE2发送数据包(图2中103所示)时,UE1生成一个目的地址为AID2的数据包,将此数据包发送给ASR1,ASR1收到此数据包后,在本地的AID-RID映射表中查询AID2对应的RID,ASR本地的AID-RID映射表的结构如图3所示。
如果ASR1在本地的AID-RID映射表中查到AID2的位置映射关系AID2-RID2,则ASR1将此数据包进行封装后发送到ASR2,ASR2解封装后发送给UE2。
如果ASR1在本地的AID-RID映射表中查不到AID2的位置映射关系,则ASR1将向MS查询AID2的位置映射关系,MS查到AID2的位置映射关系后,将映射关系表AID2-RID2发送给ASR1,ASR1收到此映射关系表后,保存到本地的AID-RID映射表中。如果后续UE1再发送目的地址为AID2的数据包,由于ASR1中已经保存了AID2-RID2的映射关系,则ASR1无需再次查询MS即可直接发送UE1的数据包。
上述流程是图1所示的一体化的身份标识和位置标识分离的网络中UE注册和数据包发送流程,由上述流程可以看出,在上述身份标识和位置标识分离的网络中,存在对MS造成攻击威胁的场景,ASR每收到UE一个发向不同目的AID的数据包(下文中将这种不同目的AID的数据包称为首包),都必须向MS进行查询,当UE1连续向ASR1发送不同目的AID的数据包时,如图4所示的数据包串,就会形成网络攻击。
在图4中,每个方框都代表一个由UE发送的数据包,数据包的目的地址分别是AID2,AID3...AID27,也就是说,如果UE1依次发送目的地址为AID2,AID3...AID27这种不同目的地址的数据包,ASR1每次都不能在本地的AID-RID映射表中查到AID对应的RID,因此,ASR1每次都要向MS发消息查询相应的映射表项,使ASR1和MS的性能大幅下降。
而且,如果UE1频繁发送这种首包,由于ASR1本地的AID-RID映射表的存贮空间有限,ASR1必须对本地数据库内的旧映射表项进行老化,也就是说,当数据库满后,ASR1收到一个新的映射表项时,必须删除一个旧的映射表项,这样当UE1频繁发送首包时,就会在ASR1中生成很多新的无效表项,当数据库满以后,ASR1可能会用UE1新生成的无效映射表项覆盖其它UE的有效映射表项,当ASR收到其它UE的数据时,可能因为对应的有效映射表项被老化删除而被迫再次向MS查询,进一步降低了ASR的处理性能。
综上,UE连续发送不同目的AID的数据包的行为将造成如下问题:
(1)ASR每次都必须向MS查询,增加了ASR和MS双方的信令负荷,降低了信令处理性能。
(2)如果用户大量发送首包,ASR如果采用本地缓存首包,等待MS查询结果后再转发,将造成ASR积累大量数据包,内存消耗严重。如果ASR采用由MS转发首包的方案,则会造成理应由ASR直接发送的数据,却要经过MS转发,大大增加了MS的负担。
(3)大量首包查询使ASR本地映射表中保存了大量的无效映射表项,从而导致ASR映射表缓存过大,如果限制缓存数量,则会导致映射表项更新过快,大量无效的映射表项将覆盖有效的映射表项,对映射表项被覆盖的正常UE发送的数据包还需要重新查询MS,从而导致ASR更频繁地向MS发送查询消息,形成一种骨牌效应,导致ASR和MS都不能正常工作。
上述应用场景已形成了拒绝服务(DOS)攻击,如果多个用户同时发起类似攻击,MS信令负荷将更加严重,ASR的缓存将更加不足,AID-RID映射表将刷新更快,导致更加频繁地查询MS,进一步消耗了ASR和MS的处理能力,从而造成了分布式拒绝服务(DDOS)攻击。为表述方便,下文中将UE连续发送首数据包的DOS或DDOS攻击统称为首包攻击。
发明内容
本发明要解决的技术问题是提供一种防止拒绝服务攻击的方法及装置,解决恶意用户频繁发送不同目的地址的数据包,导致网络设备负荷过大以至于无法正常工作的问题。
为解决上述技术问题,本发明的一种防止拒绝服务攻击的方法,包括:
在用户的命中率低于命中率阈值和/或该用户的未命中数高于未命中数阈值时,将该用户设置为限制状态;
若数据包为未命中数据包,则查询发送该数据包的用户的状态,如果该用户处于限制状态,则丢弃该数据包。
进一步地,命中率为:单位时间内用户发送的在本地接入标识(AID)-路由标识(RID)映射表中查找到目的AID对应的RID的数据包的数量/单位时间内该用户发送的数据包的总数。
进一步地,未命中数为:单位时间内用户发送的在本地AID-RID映射表中未查找到目的AID对应的RID的数据包的数量。
进一步地,该方法还包括:在用户的上下文中添加未命中数、命中数和用户状态的记录。
进一步地,判断数据包是否为未命中数据包的方法为:根据该数据包的目的AID,查询本地的AID-RID映射表,若未查找到目的AID对应的RID,则判定该数据包为未命中数据包,对发送该数据包的用户的上下文中保存的未命中数递增一个数据包的记录;若查找到目的AID对应的RID,则判定该数据包为命中数据包,对发送该数据包的用户的上下文中保存的命中数递增一个数据包的记录。
进一步地,在执行查询发送该数据包的用户的状态前,还判断是否到达用户限制状态的调整周期,如果是,则从该用户的上下文中读取未命中数和命中数,计算该用户的命中率,判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值,如果是,则将该用户设置为限制状态,并计入该用户的上下文中的用户状态的记录中。
进一步地,如果判断该用户的命中率不低于为该用户配置的命中率阈值和/或该用户的未命中数不高于为该用户配置的未命中数阈值,则进一步判断该用户在一周期内的限制次数是否大于一限制次数阈值,如果大于,则仍将该用户设置为限制状态;如果小于,则将该用户设置为未限制状态。
进一步地,在计算用户的命中率后,还将该用户的上下文中的未命中数和命中数的记录清零。
进一步地,在判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值之前,还根据用户属性,判断该用户是否属于特殊服务器用户,如果是,则将标准命中率阈值降低一个等级,将标准未命中数阈值提高一个等级分别配置为该用户的命中率阈值和未命中数阈值;否则,将标准命中率阈值和标准未命中数阈值分别配置为该用户的命中率阈值和未命中数阈值。
进一步地,该方法还包括:判断该用户的登录时间是否小于一指定的登录时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
进一步地,该方法还包括:判断启动时间是否小于一指定的启动时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
进一步地,该方法还包括:判断系统是否过负荷,如果是,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
进一步地,该方法还包括:统计单位时间内一个或多个用户发送的全部数据包的数量和未命中数据包的数量,计算命中率,作为平均命中率,将统计得到的未命中数作为平均未命中数,对平均命中率和平均未命中数进行调整,分别作为标准命中率阈值和标准未命中数阈值。
进一步地,用户属性保存在映射服务器或认证服务器中;
在到映射服务器对用户进行注册后,映射服务器在注册应答消息中增加一用户属性字段,下发用户属性;
在向认证服务器请求对用户进行认证后,认证服务器在认证应答消息中增加一用户属性字段,下发用户属性。
进一步地,一种防止拒绝服务攻击的装置,包括:用户数据接收单元、本地映射表查询单元和首包攻击识别和控制单元,其中:
用户数据接收单元,用于接收用户发送的数据包,将接收到的数据包发送给本地映射表查询单元;
本地映射表查询单元,用于从本地的AID-RID映射表中查询接收到的数据包的目的AID对应的RID,将查询结果和数据包发送给首包攻击识别和控制单元;
首包攻击识别和控制单元,用于在用户的命中率低于命中率阈值和/或该用户的未命中数高于未命中数阈值时,将该用户设置为限制状态;并在根据接收到的查询结果判断接收到的数据包为未命中数据包时,查询发送该数据包的用户的状态,如果该用户处于限制状态,则丢弃该数据包。
进一步地,命中率为:单位时间内用户发送的在本地AID-RID映射表中查找到目的AID对应的RID的数据包的数量/单位时间内该用户发送的数据包的总数;
未命中数为:单位时间内用户发送的在本地AID-RID映射表中未查找到目的AID对应的RID的数据包的数量。
进一步地,在用户的上下文中添加未命中数、命中数和用户状态的记录;
首包攻击识别和控制单元,还用于在根据接收到的查询结果判断接收到的数据包为未命中数据包时,对发送该数据包的用户的上下文中保存的未命中数递增一个数据包的记录;在根据接收到的查询结果判断接收到的数据包为命中数据包时,对发送该数据包的用户的上下文中保存的命中数递增一个数据包的记录。
进一步地,首包攻击识别和控制单元,还用于在执行查询发送该数据包的用户的状态前,判断是否到达用户限制状态的调整周期,如果是,则从该用户的上下文中读取未命中数和命中数,计算该用户的命中率,判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值,如果是,则将该用户设置为限制状态,并计入该用户的上下文中的用户状态的记录中;
首包攻击识别和控制单元计算用户的命中率后,还将该用户的上下文中的未命中数和命中数的记录清零。
进一步地,如果首包攻击识别和控制单元判断该用户的命中率不低于为该用户配置的命中率阈值和/或该用户的未命中数不高于为该用户配置的未命中数阈值,则进一步判断该用户在一周期内的限制次数是否大于一限制次数阈值,如果大于,则仍将该用户设置为限制状态;如果小于,则将该用户设置为未限制状态。
进一步地,首包攻击识别和控制单元判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值之前,还根据用户属性,判断该用户是否属于特殊服务器用户,如果是,则将标准命中率阈值降低一个等级,将标准未命中数阈值提高一个等级分别配置为该用户的命中率阈值和未命中数阈值;否则,将标准命中率阈值和标准未命中数阈值分别配置为该用户的命中率阈值和未命中数阈值。
进一步地,首包攻击识别和控制单元还判断该用户的登录时间是否小于一指定的登录时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
进一步地,首包攻击识别和控制单元还判断启动时间是否小于一指定的启动时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
进一步地,首包攻击识别和控制单元还判断系统是否过负荷,如果是,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
进一步地,该装置还包括命中率统计和建模单元,该命中率统计和建模单元,用于统计单位时间内一个或多个用户发送的全部数据包的数量和未命中数据包的数量,计算命中率,作为平均命中率,将统计得到的未命中数作为平均未命中数。
综上所述,本发明结合命中率控制和未命中数控制,并结合用户类型识别、系统启动状态修正、系统过负荷修正以及用户刚登录状态的修正,防止拒绝服务攻击,本发明可实现对恶意用户频繁发送首包造成的DOS/DDOS攻击进行有效控制;可根据系统启动、系统过负荷、特殊用户、用户登录等情况,对首包攻击的限制进行调整,保证上述特殊场景下系统在避免首包攻击的同时用户也能够正常使用网络。
附图说明
图1为现有技术中的一种身份标识与位置标识分离的网络的架构图;
图2为映射服务器中的映射表;
图3为ASR中的本地映射表;
图4为一种典型的首包攻击的示意图;
图5为另一种身份标识与位置标识分离的网络的架构图;
图6为第三种身份标识与位置标识分离的网络的架构图;
图7为一种改进的首包攻击的示意图;
图8为本发明一种可防止首包攻击的装置的结构示意图;
图9为首包攻击识别和控制单元实现的主要功能的流程图;
图10为首包攻击和识别单元调整限制策略的方法的流程图。
具体实施方式
图5所示为另一种实现身份标识和位置标识分离的网络的架构,本架构将网络划分为接入网和骨干网。接入网位于骨干网的边缘,用于负责所有终端的接入。骨干网负责通过接入网接入的终端间数据报文的路由和转发。接入网与骨干网在拓扑关系上没有重叠。
本架构的网络中有两种标识类型:接入标识(AID:Access Identifier)和路由标识(RID:RoutingIdentifier)。其中,AID是终端的用户身份识别,用于标识终端用户(也简称为用户)的身份,网络为每个终端用户唯一分配一个AID,在接入网使用,在终端的移动过程中始终保持不变;RID是为终端分配的位置标识,在骨干网使用。
本架构中,接入网络的终端可以是移动终端、固定终端和游牧终端中的一种或多种,如手机、固定电话、电脑和应用服务器等等。
本架构中,接入网用于为终端提供到二层(物理层和链路层)接入手段,维护终端与ASN之间的物理接入链路。可能的二层接入手段包括:蜂窝移动网技术(GSM/CDMA/TD-SCDMA/WCDMA/WiMAX/LTE)、DSL、宽带光纤接入或WiFi接入等等。
本架构的骨干网组网时分为两个平面:广义转发平面和映射转发平面,还包括接入服务节点(ASN:Access Service Node)和认证中心。
ASN是广义转发平面、映射转发平面与接入网的分界节点,具有与接入网、广义转发平面和映射转发平面的接口。用于为终端提供接入服务、维护终端与网络的连接,为终端分配RID,到映射转发平面登记注册和查询终端的RID,维护AID-RID的映射信息,以及实现数据报文的路由和转发。
广义转发平面主要用于根据数据报文中的RID进行选路和转发以RID为目的地址的数据报文,广义转发平面内的数据路由转发行为与传统IP网络一致。如图所示,广义转发平面的主要网元包括通用路由器(CR:Common Router)和互联服务节点(ISN:Interconnect Service Node)
映射转发平面主要用于保存终端的身份位置映射信息(即AID-RID的映射信息),处理对终端位置的登记注册和查询,路由并转发以AID为目的地址的数据报文。如图所示,映射转发平面的主要网元包括身份位置寄存器/分组转发功能(ILR/PTF:Identity Location Register/Packet Transfer Function)。
认证中心,用于记录本架构网络终端用户的属性信息如用户类别、认证信息和用户服务等级等,完成对终端的接入认证和授权,还可具有计费功能。认证中心支持终端与网络间的双向认证,可产生用于认证、完整性保护和加密的用户安全信息。
在另一实施例中,ASN在架构的划分中独立于骨干网,位于骨干网和接入网的分界节点,具有与接入网和骨干网的接口,如图6所示。其实际完成的功能与图5是一样的。
本实施例的方法及装置可应用在上述的任意一种网络架构中,下面仅以一体化网络架构为例说明本发明,但不作为对本发明的限制。
为防范首包攻击,最好的办法是在ASR上对用户的恶意操作进行有效的控制。本发明为防范首包DOS或DDOS攻击,采取的主要措施为:在ASR中配置本地映射表命中率阈值和未命中数阈值,如果一个用户在单位时间内本地映射表命中率低于阈值和/或未命中数高于阈值,则对该用户启动限制措施。
定义本地映射表命中率(简称命中率)如下:
命中率=单位时间内用户发送的在本地AID-RID映射表中查找到目的AID对应的RID的数据包(简称命中数据包)的数量÷单位时间内该用户发送的数据包的总数;
可以用如下公式表示:R=H/(H+U);
其中:R(Rate)为命中率;H(Hit)为单位时间内用户发送的命中数据包的数量;U(Unhit)为单位时间内用户发送的在本地AID-RID映射表中未查找到目的AID对应的RID的数据包(简称未命中数据包)的数量。
举例来说,如果以1分钟为单位时间,某用户在1分钟内发送的数据包的总量为200个,其中ASR在本地映射表中查到目的AID对应的RID的数据包的数量为180个,则H=180,U=20,R=H/(H+U)=90%,也就是说,在上述情况下,该用户发送数据包的命中率为90%。
一般来说,用户上网进行的操作主要是浏览网页、下载、即时通话和游戏等,这些应用都有特定的通信对象,一般业务都是先建立TCP(传输控制协议)连接,然后发送业务数据包,因此,在建立TCP连接后,要进行相应的业务操作,也就是说,绝大多数因特网应用都不会向一个目的地址只发一个数据包后就换另外一个目的地址,即使仅建立TCP连接,TCP的握手过程也需要有多条信令交互,因此,如果一个用户存在过低的命中率,如低于50%,其行为一般属于不正常的范围。
除了命中率以外,单位时间内的未命中数据包的绝对数量也需要关注。因为采用命中率进行控制后,恶意用户可能会察觉到单纯发送首包的低命中率攻击已经被系统防范,可能就会采用首包和后续包夹杂的方式来探测ASR设置的命中率阈值,从而进一步发起攻击,举例来说,如果将每个目的地址不同的首包记为F(First),将后续的与首包目的地址相同的数据包记为S(Second),如果将ASR的命中率阈值配置为50%,恶意用户可以重复发送图7所示的数据包序列。
如图7所示,如果某个恶意用户在单位时间内发送图中的15个数据包,F都是未命中数据包,S为命中数据包,未命中数据包的个数U=6,命中数量包的个数H=9,根据命中率计算公式得出:R=H/(H+U)=60%,由于计算出来的命中率R=60%,大于命中率阈值50%,恶意用户就可以采用这种数据包序列发起持续的攻击。
为防止这种固定序列的数据包导致的首包攻击,在考虑命中率限制的基础上,还要进一步限制单位时间内发送首包的总量,在具体操作上,可以统计单位时间内未命中数据包的数量U,如果未命中数据包的数量U达到指定阈值(未命中数阈值),同样认为该用户具备首包攻击的特征需要进行限制,例如,在上述固定序列的场景中,如果将未命中数阈值配置为180,在单位时间内(如1分钟)内用户发送了500个数据包,由于其未命中率为1-60%=40%,则其未命中数据包的绝对数量为500×40%=200个,超出了未命中数阈值180,ASR也认为该用户具备首包攻击的特征,应予以限制。
统计单位时间内用户发送的所有数据包的数量和命中数据包的数量,就可以得到平均命中率和未命中数,根据平均命中率和未命中数,就可以建立合适的首包攻击防范模型(标准命中率阈值和未命中数阈值)并进行控制。例如:为制定合适的标准命中率阈值,可以统计ASR稳定运行情况下,单位时间内接收到的本地用户的所有数据包的总和,以及所有命中数据包的总和,用所有命中数据包的总和除以接收到的所有数据包的总和,得到平均命中率,对平均命中率进行适当调整,如下调三分之一,作为标准命中率阈值。
在实际使用中,由于用户或ASR的原因会出现一些误差需要修正,表现在如下几种情况:
(1)特殊用户,例如,有些控制多个传感器的服务器用户,需要周期性扫描各个传感器,从传感器获取数据,由于扫描周期通常比较长,完成一次扫描后,到下次扫描时,该服务器的AID-RID映射表项可能已被覆盖,因此其业务特征本身就属于命中率偏低的情景;还有一些广播服务器,也存在类似情况。因此ASR应该对这些特定用户设置较低的命中率阈值,为此ASR需要从认证服务器或者映射服务器获取用户属性信息,如果属于服务器类的特殊用户,特别是传感器的服务器用户可以减少首包攻击的控制力度。
(2)ASR的启动情况也需要考虑,如果ASR刚启动不久,大量用户未完成登录,映射表的建立还不完全,就会出现命中率偏低的情况,这种情况一般会持续几十分钟或几小时才能稳定,在这段时间内,ASR应该适当减小首包攻击的控制力度。
(3)系统过负荷的时候,应修改命中率阈值和未命中数阈值,以加大首包攻击控制力度,使ASR省出更多的处理性能处理正常业务。
(4)当用户刚登录到一个新ASR时,由于此用户习惯的映射关系尚未建立,就会出现命中率偏低,因此在用户刚登录期间,ASR应适当减小控制力度。
为实现本实施例的方法,需要在用户的上下文中添加未命中数U、命中数H和命中率R的记录。
图8所示为本发明的一种防止拒绝服务攻击的装置的结构示意图,其中,首包攻击识别和控制单元是最关键的单元,命中率统计和建模单元是一个辅助单元,可以帮助设备管理员设定合适的命中率阈值和未命中数阈值,下面分别描述各单元的作用:
用户数据接收单元,用于接收用户发送的数据包,将数据包发送给本地映射表查询单元。
本地映射表查询单元,用于根据接收到的数据包中包含的目的AID,从本地AID-RID映射表中查询目的AID对应的RID,将查询结果和数据包发送给首包攻击识别和控制单元,查询结果为:数据包为命中数据包或未命中数据包。
首包攻击识别和控制单元,用于计算用户的命中率,并根据用户属性、系统启动状态、系统过负荷状态、用户是否处于刚登录状态等修正命中率阈值,在用户的命中率低于命中率阈值和/或该用户的未命中数高于未命中数阈值时,将该用户设置为限制状态;并根据限制的情况,将数据包分发给数据封装发送单元,或者通知异地映射表查询单元,或者丢弃处理。另外,此单元将会和命中率统计和建模单元以及网管人机接口交互,协助建立合理的标准命中率阈值。 (具体功能请参考下述对图7和图8的描述)
数据封装和发送单元,对命中数据包进行正常封装转发。
映射表接收单元,用于接收映射服务器发送来的映射表项,并对本地映射表数据库进行更新。
本地映射表数据库,用于保存用户的身份标识和路由标识的映射对照表(AID-RID映射表),此表项由映射表接收单元注入新的映射表项,具备映射表项老化和更新功能,可以接受本地映射表查询单元的查询请求,并将查询结果返回给本地映射表查询单元。
异地映射表查询单元,根据首包攻击识别和控制单元的识别结果,负责将未命中数据包,通过封装到特定消息中发送到到映射服务器。
命中率统计和建模单元,用于根据本地映射表查询单元的查询结果,并从首包攻击识别和控制单元获取用户的命中数和未命中数,统计单位时间内一个或多个用户发送的全部数据包的数量和未命中数据包的数量,计算命中率,作为平均命中率,将统计得到的未命中数作为平均未命中数。也就是每隔一定时间,计算并记录一个平均命中率,建立从开机到稳定后平均命中率的各个数值,形成对应的命中率曲线,帮助管理员根据曲线设定合适的命中率阈值。此外,该单元还和首包攻击识别和控制单元交互,记录每个时间段最高的命中率,最低的命中率,并统计各个命中率下各有多少用户,建立详细的命中率统计模型。
网管人机接口,提供人机接口,为首包攻击识别和控制单元设置合适的标准命中率和未命中数阈值,向命中率统计和建模单元查询系统的命中率模型,根据管理员需要提供各个命中率模型数据。
图9为首包攻击识别和控制单元实现的功能的流程,包括:
901:首包攻击识别和控制单元接收本地映射表查询单元的查询结果和数据包;
查询结果为:数据包为命中数据包或未命中数据包。
902:根据数据包的源地址识别出发送数据包的用户,查找到该用户的上下文;
903:分析从本地映射表查询单元接收到的查询结果,如果查询结果为数据包为未命中数据包,则执行步骤904;如果查询结果为数据包为命中数据包,则执行步骤909;
904:对用户上下文中的未命中数U递增一个数据包的记录,如,加1;
905:判断是否到达用户限制状态的调整周期(调整周期可由运营商配置),如果是,则进行数据包限制策略的调整过程(参见图8描述);否则,执行步骤906;
906:查找用户的上下文,判断用户是否已被设置为限制状态,如果是,则执行步骤907;否则,执行步骤908;
907:根据ASR配置的数据包处理策略采取相应限制措施,如丢弃数据包等,结束;
908:将数据包发送给异地映射表查询单元,由异地映射表查询单元向MS发起映射表的查询处理,结束;
909:将数据包转发给数据封装发送单元进行处理;
910:对用户上下文中的用户的命中数H加1,结束。
图10所示为首包攻击识别和控制单元进行数据包限制策略的调整过程,包括:
1001:首包攻击和识别单元根据用户属性,判断用户是否属于传感器的服务器或其它进行广播或组播发送的特殊用户,如果是,则执行步骤1002;否则,执行步骤1003;
为获得用户属性,要求映射服务器或认证服务器将用户的类别信息传送给ASR,为此,在ASR到映射服务器对用户进行注册或向认证服务器请求对用户进行认证后,映射服务器在注册应答消息中,认证服务器在认证应答消息中增加一个用户属性字段,将用户属性传送给ASR,ASR记录到用户的上下文中,便于后续进行控制。
1002:为该用户配置特殊的命中率阈值和未命中数阈值,一般此类服务器用户所需的命中率阈值较标准命中率阈值低一个等级(如,低10%左右),而未命中数阈值较标准未命中数阈值高一个等级(如,高10%左右),允许服务器可以正常进行业务必须的首包发送操作,发送相对较多的首包;
1003:为该用户配置标准的命中率阈值和未命中数阈值;
1004:判断该用户的登录时间是否小于一指定的登录时间阈值(如登录时间小于10分钟),如果小于,则执行步骤1005;否则,执行步骤1006;
1005:对用户的命中率阈值和未命中数阈值分别下调一个等级和上调一个等级(如10%),允许刚登录的用户发送稍多的首包,以使用户在刚登录时的业务不会受到限制;
用户刚登录时,习惯发送的目的AID尚未在本地映射表中建立对应的RID的项目,因此,用户会有短暂时间的命中率偏低和未命中数偏高,为保证刚登录用户有良好的服务质量需要下调命中率阈值和未命中数阈值。
1006:判断启动时间是否小于一指定的启动时间阈值,如果是,则执行步骤1007;否则,执行步骤1008;
在ASR刚开始投入使用或者ASR因故障被复位重新启动时,ASR的本地AID-RID映射表为空,随着用户登录和发送数据,ASR的本地映射表数据库的表项会逐渐增加,在经过一段时间后,用户都正常登录,并都发送了他们经常发送的数据包后,ASR中的本地映射表数据库表项才会稳定下来,后续用户的命中率才会维持一个相对较高的数值,而在ASR的本地映射表稳定下之前,用户的命中率可能会较低,因此,当ASR设置和调整命中率阈值的时候,必须考虑ASR刚启动的影响,这个启动过程一般需要几十分钟到几小时不等,具体时间可由运营商根据运营情况设定。可以看出,判断ASR启动状态是为了避免ASR启动时将大量用户判断为首包攻击用户,导致这些用户无法正常工作,这是很必要的手段。
1007:下调命中率阈值一个等级并上调未命中数阈值一个等级(如10%),保证新登录的大批用户可以正常操作;
1008:判断系统是否过负荷,如果是,则执行步骤1009;否则,执行1010;
当ASR等设备过负荷时,可以相应的调高命中率阈值和调低未命中数阈值,降低各类用户允许发送的首包数量,保证大多数用户能正常转发。这是牺牲少量用户而保证大多数用户业务进行的手段,因为在ASR负荷能力剩余较高的情况下,少量的首包攻击对ASR影响不大,为保证服务质量,可以给予较为宽松的控制阈值,但如果ASR本身负荷很高,严格限制命中率阈值和未命中数阈值则是减轻设备负荷的必要手段。
1009:根据过负荷情况调高命中率阈值一个等级,并调低未命中数阈值一个等级,调整的范围在10%左右;
1010:从该用户的上下文中读取未命中数和命中数,计算该用户的命中率,判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值,如果是,则执行步骤1011;否则,执行步骤1012;
1011:将用户设置为限制状态,计入用户的上下文中,将该用户的命中率和未命中数清零;
1012:查看此用户历史被限制情况,判断该用户在一周期时间内的被限制次数是否大于一指定的限制次数阈值,如果大于,则仍将该用户设置为限制状态;如果小于,则将该用户设置为未限制状态。
此步骤主要针对某些恶意用户可能会实施间断性攻击,对于此类用户,如果查到其历史记录中发送过多次攻击,可以延长其解除限制时间,对此恶意用户实行较长时间的限制。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (24)
1.一种防止拒绝服务攻击的方法,包括:
在用户的命中率低于命中率阈值和/或该用户的未命中数高于未命中数阈值时,将该用户设置为限制状态;
若数据包为未命中数据包,则查询发送该数据包的用户的状态,如果该用户处于限制状态,则丢弃该数据包。
2.如权利要求1所述的方法,其特征在于,
所述命中率为:单位时间内用户发送的在本地接入标识(AID)-路由标识(RID)映射表中查找到目的AID对应的RID的数据包的数量/单位时间内该用户发送的数据包的总数。
3.如权利要求2所述的方法,其特征在于,
所述未命中数为:单位时间内用户发送的在本地AID-RID映射表中未查找到目的AID对应的RID的数据包的数量。
4.如权利要求3所述的方法,其特征在于,该方法还包括:在用户的上下文中添加未命中数、命中数和用户状态的记录。
5.如权利要求4所述的方法,其特征在于,判断数据包是否为未命中数据包的方法为:根据该数据包的目的AID,查询本地的AID-RID映射表,若未查找到目的AID对应的RID,则判定该数据包为未命中数据包,对发送该数据包的用户的上下文中保存的未命中数递增一个数据包的记录;若查找到目的AID对应的RID,则判定该数据包为命中数据包,对发送该数据包的用户的上下文中保存的命中数递增一个数据包的记录。
6.如权利要求5所述的方法,其特征在于,
在执行所述查询发送该数据包的用户的状态前,还判断是否到达用户限制状态的调整周期,如果是,则从该用户的上下文中读取未命中数和命中数,计算该用户的命中率,判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值,如果是,则将该用户设置为限制状态,并计入该用户的上下文中的用户状态的记录中。
7.如权利要求6所述的方法,其特征在于,
如果判断该用户的命中率不低于为该用户配置的命中率阈值和/或该用户的未命中数不高于为该用户配置的未命中数阈值,则进一步判断该用户在一周期内的限制次数是否大于一限制次数阈值,如果大于,则仍将该用户设置为限制状态;如果小于,则将该用户设置为未限制状态。
8.如权利要求6所述的方法,其特征在于,在计算用户的命中率后,还将该用户的上下文中的未命中数和命中数的记录清零。
9.如权利要求7所述的方法,其特征在于,在判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值之前,还根据用户属性,判断该用户是否属于特殊服务器用户,如果是,则将标准命中率阈值降低一个等级,将标准未命中数阈值提高一个等级分别配置为该用户的命中率阈值和未命中数阈值;否则,将标准命中率阈值和标准未命中数阈值分别配置为该用户的命中率阈值和未命中数阈值。
10.如权利要求9所述的方法,其特征在于,该方法还包括:判断该用户的登录时间是否小于一指定的登录时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
11.如权利要求10所述的方法,其特征在于,该方法还包括:判断启动时间是否小于一指定的启动时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
12.如权利要求11所述的方法,其特征在于,该方法还包括:判断系统是否过负荷,如果是,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
13.如权利要求9所述的方法,其特征在于,该方法还包括:统计单位时间内一个或多个用户发送的全部数据包的数量和未命中数据包的数量,计算命中率,作为平均命中率,将统计得到的未命中数作为平均未命中数,对平均命中率和平均未命中数进行调整,分别作为所述标准命中率阈值和标准未命中数阈值。
14.如权利要求9所述的方法,其特征在于,
所述用户属性保存在映射服务器或认证服务器中;
在到所述映射服务器对用户进行注册后,映射服务器在注册应答消息中增加一用户属性字段,下发所述用户属性;
在向所述认证服务器请求对用户进行认证后,认证服务器在认证应答消息中增加一用户属性字段,下发所述用户属性。
15.一种防止拒绝服务攻击的装置,包括:用户数据接收单元、本地映射表查询单元和首包攻击识别和控制单元,其中:
所述用户数据接收单元,用于接收用户发送的数据包,将接收到的数据包发送给所述本地映射表查询单元;
所述本地映射表查询单元,用于从本地的AID-RID映射表中查询接收到的数据包的目的AID对应的RID,将查询结果和数据包发送给所述首包攻击识别和控制单元;
所述首包攻击识别和控制单元,用于在用户的命中率低于命中率阈值和/或该用户的未命中数高于未命中数阈值时,将该用户设置为限制状态;并在根据接收到的查询结果判断接收到的数据包为未命中数据包时,查询发送该数据包的用户的状态,如果该用户处于限制状态,则丢弃该数据包。
16.如权利要求15所述的装置,其特征在于,
所述命中率为:单位时间内用户发送的在本地AID-RID映射表中查找到目的AID对应的RID的数据包的数量/单位时间内该用户发送的数据包的总数;
所述未命中数为:单位时间内用户发送的在本地AID-RID映射表中未查找到目的AID对应的RID的数据包的数量。
17.如权利要求16所述的装置,其特征在于,
在用户的上下文中添加未命中数、命中数和用户状态的记录;
所述首包攻击识别和控制单元,还用于在根据接收到的查询结果判断接收到的数据包为未命中数据包时,对发送该数据包的用户的上下文中保存的未命中数递增一个数据包的记录;在根据接收到的查询结果判断接收到的数据包为命中数据包时,对发送该数据包的用户的上下文中保存的命中数递增一个数据包的记录。
18.如权利要求17所述的装置,其特征在于,
所述首包攻击识别和控制单元,还用于在执行所述查询发送该数据包的用户的状态前,判断是否到达用户限制状态的调整周期,如果是,则从该用户的上下文中读取未命中数和命中数,计算该用户的命中率,判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值,如果是,则将该用户设置为限制状态,并计入该用户的上下文中的用户状态的记录中;
所述首包攻击识别和控制单元计算用户的命中率后,还将该用户的上下文中的未命中数和命中数的记录清零。
19.如权利要求18所述的装置,其特征在于,
如果所述首包攻击识别和控制单元判断该用户的命中率不低于为该用户配置的命中率阈值和/或该用户的未命中数不高于为该用户配置的未命中数阈值,则进一步判断该用户在一周期内的限制次数是否大于一限制次数阈值,如果大于,则仍将该用户设置为限制状态;如果小于,则将该用户设置为未限制状态。
20.如权利要求19所述的装置,其特征在于,
所述首包攻击识别和控制单元判断该用户的命中率是否低于为该用户配置的命中率阈值和/或该用户的未命中数是否高于为该用户配置的未命中数阈值之前,还根据用户属性,判断该用户是否属于特殊服务器用户,如果是,则将标准命中率阈值降低一个等级,将标准未命中数阈值提高一个等级分别配置为该用户的命中率阈值和未命中数阈值;否则,将标准命中率阈值和标准未命中数阈值分别配置为该用户的命中率阈值和未命中数阈值。
21.如权利要求20所述的装置,其特征在于,
所述首包攻击识别和控制单元还判断该用户的登录时间是否小于一指定的登录时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
22.如权利要求21所述的装置,其特征在于,
所述首包攻击识别和控制单元还判断启动时间是否小于一指定的启动时间阈值,如果小于,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
23.如权利要求22所述的装置,其特征在于,
所述首包攻击识别和控制单元还判断系统是否过负荷,如果是,则将为该用户配置的命中率阈值降低一个等级,将为该用户配置的未命中数阈值提高一个等级。
24.如权利要求20所述的装置,其特征在于,该装置还包括命中率统计和建模单元,该命中率统计和建模单元,用于统计单位时间内一个或多个用户发送的全部数据包的数量和未命中数据包的数量,计算命中率,作为平均命中率,将统计得到的未命中数作为平均未命中数。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910181127.7A CN102045308B (zh) | 2009-10-10 | 2009-10-10 | 一种防止拒绝服务攻击的方法及装置 |
| PCT/CN2010/075781 WO2011041960A1 (zh) | 2009-10-10 | 2010-08-06 | 一种防止拒绝服务攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910181127.7A CN102045308B (zh) | 2009-10-10 | 2009-10-10 | 一种防止拒绝服务攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045308A true CN102045308A (zh) | 2011-05-04 |
| CN102045308B CN102045308B (zh) | 2014-04-30 |
Family
ID=43856366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910181127.7A Active CN102045308B (zh) | 2009-10-10 | 2009-10-10 | 一种防止拒绝服务攻击的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102045308B (zh) |
| WO (1) | WO2011041960A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104871500A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 通信节点、控制装置、通信系统、分组处理方法、通信节点控制方法及程序 |
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
| CN111241543A (zh) * | 2020-01-07 | 2020-06-05 | 中国搜索信息科技股份有限公司 | 一种应用层智能抵御DDoS攻击的方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113014605B (zh) * | 2021-04-14 | 2021-12-28 | 北京理工大学 | 一种针对拒绝服务攻击和扰动的量化控制方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6789203B1 (en) * | 2000-06-26 | 2004-09-07 | Sun Microsystems, Inc. | Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests |
| CN100479419C (zh) * | 2003-06-08 | 2009-04-15 | 华为技术有限公司 | 防止拒绝服务型攻击的方法 |
| US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
| US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| CN101202742B (zh) * | 2006-12-13 | 2011-10-26 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法和系统 |
| CN101018156A (zh) * | 2007-02-16 | 2007-08-15 | 华为技术有限公司 | 防止带宽型拒绝服务攻击的方法、设备及系统 |
| CN100563149C (zh) * | 2007-04-25 | 2009-11-25 | 华为技术有限公司 | 一种dhcp监听方法及其装置 |
| US8447855B2 (en) * | 2007-08-08 | 2013-05-21 | Radware, Ltd. | Method, system and computer program product for preventing SIP attacks |
| JP2009219128A (ja) * | 2009-04-15 | 2009-09-24 | Fujitsu Telecom Networks Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
-
2009
- 2009-10-10 CN CN200910181127.7A patent/CN102045308B/zh active Active
-
2010
- 2010-08-06 WO PCT/CN2010/075781 patent/WO2011041960A1/zh active Application Filing
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104871500A (zh) * | 2012-12-19 | 2015-08-26 | 日本电气株式会社 | 通信节点、控制装置、通信系统、分组处理方法、通信节点控制方法及程序 |
| US9906438B2 (en) | 2012-12-19 | 2018-02-27 | Nec Corporation | Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program |
| CN107241304A (zh) * | 2016-03-29 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 一种DDos攻击的检测方法及装置 |
| CN107241304B (zh) * | 2016-03-29 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法及装置 |
| CN106789954A (zh) * | 2016-11-30 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于多cpu的ddos攻击识别的方法和装置 |
| CN111241543A (zh) * | 2020-01-07 | 2020-06-05 | 中国搜索信息科技股份有限公司 | 一种应用层智能抵御DDoS攻击的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045308B (zh) | 2014-04-30 |
| WO2011041960A1 (zh) | 2011-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170170856A1 (en) | Cloud sim card pool system | |
| WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
| US20220104018A1 (en) | Cross access login controller | |
| US9338090B2 (en) | Terminal, control device, communication method, communication system, communication module, program, and information processing device | |
| US10715999B2 (en) | Selective key caching for fast roaming of wireless stations in communication networks | |
| US8184575B2 (en) | Packet communication network and subscriber-associated-information delivery controller | |
| US8576866B2 (en) | Hierarchical rate limiting of control packets | |
| WO2012126423A2 (zh) | 控制业务传输的方法和装置 | |
| CN102843668A (zh) | 一种实现多个移动终端卡共享流量的方法和系统 | |
| WO2014119715A1 (ja) | 通信端末、通信方法、プログラム、通信システムおよび情報処理装置 | |
| CN102045308B (zh) | 一种防止拒绝服务攻击的方法及装置 | |
| US20140198718A1 (en) | Avoiding network address translaton in a mobile data network | |
| EP4192184A1 (en) | Pdu session establishment method, terminal device, and chip system | |
| CN104221333A (zh) | 用于促进多个网络中的通信会话的系统和方法 | |
| CN101039310A (zh) | 链路共享服务装置以及通信方法 | |
| US8908553B2 (en) | IP flow based offload for subscriber data optimization and scheduling at the basestation in a mobile data network | |
| US9253683B2 (en) | Utilizing stored data to reduce packet data loss in a mobile data network with data breakout at the edge | |
| CN106453421A (zh) | 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法 | |
| CN102938704A (zh) | 接入管理方法、装置和系统 | |
| KR101116780B1 (ko) | 이동통신 단말기의 트래픽 차단 방법 및 시스템 | |
| KR101013274B1 (ko) | 무선 데이터 통신 환경에서 이상호 차단 방법 및 시스템 | |
| CN102547908A (zh) | 表维护方法、系统和接入网关路由器 | |
| CN107040971B (zh) | 路由实现方法及移动内容分发网络节点设备 | |
| CN102546546A (zh) | 标识网中实现QoS的方法和系统 | |
| CN102685116B (zh) | 一种记账中间报文的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201216 Address after: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen Patentee before: ZTE Corp. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. Address before: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230602 Address after: 215300 No. 1266, Fuchunjiang Road, Kunshan Economic and Technological Development Zone, Suzhou City, Jiangsu Province Patentee after: KUNSHAN LUCKY-JINFU PHOTOELECTRONIC SCIEN-TECH CO.,LTD. Address before: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. |