CN105007611B - 接入决策确定方法及装置 - Google Patents
接入决策确定方法及装置 Download PDFInfo
- Publication number
- CN105007611B CN105007611B CN201510441039.1A CN201510441039A CN105007611B CN 105007611 B CN105007611 B CN 105007611B CN 201510441039 A CN201510441039 A CN 201510441039A CN 105007611 B CN105007611 B CN 105007611B
- Authority
- CN
- China
- Prior art keywords
- terminal
- access
- sgsn
- imsi
- timer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
Abstract
本发明公开了一种接入决策确定方法及装置,属于网络安全领域。所述方法包括:接收GGSN发送的携带有AID的异常通知数据包,所述异常通知数据包用于指示具有所述AID的终端存在异常访问行为;判断所述SGSN是否与所述终端连接;若所述SGSN与所述终端连接,则断开与所述终端的连接。本发明通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种接入决策确定方法及装置。
背景技术
一体化标识网络将网络分为接入网与骨干网,引入了接入网标识(AccessIdentifier,AID)与路由标识(Routing Identifier,RID),从根本上解决了互联网协议地址(Internet Protocol Address,IP)双重属性的问题,且能很好的与现有的互联网与网络架构进行融合。
在通用分组无线业务(英文:General Packet Radio Service,简称:GPRS)网络与一体化标识网络的融合网络中,一体化标识网络中的接入设备为网关GPRS支持节点(英文:Gateway GPRS Support Node,简称:GGSN),GGSN可以将用户访问时产生的访问数据发送至一体化标识网络内的行为分析服务器,由行为分析服务器对用户的访问行为进行分析,当行文分析服务器在判定该用户存在异常攻击行为时,则通知GGSN,GGSN根据用户的攻击行为决策是否禁止该用户继续访问。
在实现本发明的过程中,发明人发现相关技术至少存在以下问题:GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大。
发明内容
为了解决相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,本发明实施例提供了一种接入决策方法及装置。所述技术方案如下:
第一方面,提供了一种接入决策方法,应用于服务通用分组无线服务的支持节点SGSN(全称:Serving GPRS Support Node)中,所述方法包括:
接收网关通用分组无线服务的支持节点GGSN发送的携带有接入网标识AID的异常通知数据包,所述异常通知数据包用于指示具有所述AID的终端存在异常访问行为;
判断所述SGSN是否与所述终端连接;
若所述SGSN与所述终端连接,则断开与所述终端的连接。
可选的,所述方法还包括:
在接收到所述异常通知数据包之后,将所述终端的国际移动用户识别码IMSI添加至限制用户列表中,所述限制用户列表中每个MISI所对应的终端被禁止接入;
为所述终端设置并开启具有预定时长的计时器。
可选的,所述方法还包括:
在所述终端的计时器到达0之前,若接收到所述终端的接入请求,则禁止所述终端接入;
当所述终端的计时器到达0时,则从所述限制用户列表中删除所述终端的IMSI。
可选的,所述异常通知数据包包括所述终端的攻击类型,所述为所述终端设置并开启具有预定时长的计时器,包括:
根据攻击类型与禁止时长的对应关系,确定所述终端的攻击类型对应的禁止时长;
将所述禁止时长作为与所述终端对应的计时器的预定时长;
开启具有所述预定时长的计时器。
可选的,所述方法还包括:
在断开与所述终端的连接后,则向归属位置寄存器HLR发送禁止访问通知,所述禁止访问通知用于触发所述HLR通知其他SGSN禁止接入所述终端,所述拒绝访问通知至少包含所述终端的IMSI和所述终端的定时器的当前剩余时长。
可选的,所述方法还包括:
接收HLR发送的用于断开指定终端的断开请求,所述断开请求中包含所述指定终端的IMSI;
检测所述指定终端的IMSI是否位于所述限制用户列表中;
若所述指定终端的IMSI位于所述限制用户列表中,则检测所述指定终端是否与所述SGSN连接;
若所述指定终端与所述SGSN连接,则断开与所述指定终端的连接;
将所述指定终端的IMSI和所述指定终端的定时器的当前剩余时长添加至禁止接入消息中,将所述禁止接入消息发送至所述HLR,所述禁止接入消息用于触发所述HLR通知其他SGSN在所述剩余时长内禁止接入具有所述IMSI的终端。
第二方面,提供了一种接入决策确定装置,应用于服务通用分组无线服务的支持节点SGSN中,所述装置包括:
第一接收模块,用于接收网关通用分组无线服务的支持节点GGSN发送的携带有接入网标识AID的异常通知数据包,所述异常通知数据包用于指示具有所述AID的终端存在异常访问行为;
第一检测模块,用于检测所述SGSN是否与所述终端连接;
第一断开模块,用于在所述第一检测模块检测到所述SGSN与所述终端连接时,则断开与所述终端的连接。
可选的,所述装置还包括:
添加模块,用于在所述第一接收模块接收到所述异常通知数据包之后,将所述终端的国际移动用户识别码IMSI添加至限制用户列表中,所述限制用户列表中每个MISI所对应的终端被禁止接入;
开启模块,用于为所述终端设置并开启具有预定时长的计时器。
可选的,所述装置还包括:
禁止接入模块,用于在所述终端的计时器到达0之前,若接收到所述终端的接入请求,则禁止所述终端接入;
删除模块,用于当所述终端的计时器到达0时,则从所述限制用户列表中删除所述终端的IMSI。
可选的,所述异常通知数据包包括所述终端的攻击类型,所述开启模块,包括:
确定单元,用于根据攻击类型与禁止时长的对应关系,确定所述终端的攻击类型对应的禁止时长;
设置单元,用于将所述禁止时长设置为与所述终端对应的计时器的预定时长;
开启单元,用于开启具有所述预定时长的计时器。
可选的,所述装置还包括:
第一发送模块,用于在所述第一断开模块断开与所述终端的连接后,则向归属位置寄存器HLR发送禁止访问通知,所述禁止访问通知用于触发所述HLR通知其他SGSN禁止接入所述终端,所述拒绝访问通知至少包含所述终端的IMSI和所述终端的定时器的当前剩余时长。
可选的,所述装置还包括:
第二接收模块,用于接收HLR发送的用于断开指定终端的断开请求,所述断开请求中包含所述指定终端的IMSI;
第二检测模块,用于检测所述指定终端的IMSI是否位于所述限制用户列表中;
第三检测模块,用于在所述第二检测模块检测到所述指定终端的IMSI位于所述限制用户列表中时,检测所述指定终端是否与所述SGSN连接;
第二断开模块,用于在所述第三检测模块检测到所述指定终端与所述SGSN连接时,断开与所述指定终端的连接;
第二发送模块,用于将所述指定终端的IMSI和所述指定终端的定时器的当前剩余时长添加至禁止接入消息中,将所述禁止接入消息发送至所述HLR,所述禁止接入消息用于触发所述HLR通知其他SGSN在所述剩余时长内禁止接入具有所述IMSI的终端。
本发明实施例提供的技术方案带来的有益效果是:
通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;由于GGSN获取一体化标识网络中分析服务器分析得到的每个终端的访问行为,并通过异常通知数据包向SGSN通知具有异常访问行为的终端,SGSN则可以根据异常通知数据包,决定是否拒绝接入存在异常访问行为的终端,因此解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中提供的接入决策确定方法所涉及的融合网络示意图;
图2是本发明一个实施例中提供的接入决策确定方法的方法流程图;
图3A是本发明另一个实施例中提供的接入决策确定方法的方法流程图;
图3B是本发明一个实施例中提供的为该终端设置并开启具有预定时长的计时器的流程示意图;
图3C是本发明再一个实施例中提供的接入决策确定方法的方法流程图;
图4是本发明再一个实施例中提供的接入决策确定方法的方法流程图;
图5是本发明一个实施例中提供的接入决策确定装置的结构示意图;
图6是本发明另一个实施例中提供的接入决策确定方法的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是本发明一个实施例中提供的接入决策确定方法所涉及的融合网络示意图,该融合网络是接入网络110和一体化标识网络120融合后得到的网络。
这里的接入网络110为GPRS网络。
接入网络110中包括至少一个用户所持有的终端111,这里所讲的终端111可以包括智能手机,具有移动通讯功能的平板电脑、多媒体播放器或可穿戴式设备等。
接入网络110中还包括SGSN 112和归属位置寄存器(英文:,简称:HLR)113,SGSN112与HLR 113相连接,控制终端111的接入和访问控制。
接入网络110还包括GGSN 114,GGSN 114同时作为一体化标识网络120中的接入转发设备。
一体化标识网络120还包括行为分析服务器122等。
GGSN 114将终端访问产生的数据发送至行为分析服务器122,由行为分析服务器122对这些数据进行分析,确定终端是否存在异常访问行为,并在判定某一终端存在异常访问行为时,告知给GGSN 114。
这里所讲的GGSN 114同时位于接入网络110和一体化标识网络120中,即GGSN 114是接入网络110和一体化标识网络120融合时的边缘节点。也就是说,GGSN 114具有接入网络110中的传统的GGSN的功能,又同时具有一体化标识网络120中路由器的功能,从而实现了接入网络110和一体化标识网络120的融合。
一般的,GGSN 114在接收到终端111发送的数据包之后,会将数据包中的源接入标识AID替换为可以在一体化标识网络120中识别的路由标识RID(即GGSN 114的标识),即将数据包中的源AID替换为源RID,类似的,还会将数据包中的目标AID替换为目标RID,其中路由标识RID为一体化标识网络120中路由器的标识。这样,数据包在经过接入转发设备121替换接入标识后,可以在一体化标识网络120内部根据源RID和目标RID所对应的转发路径进行转发。
为了能够保证SGSN 112可以对具有攻击行为的终端或终端用户进行有效的控制,行为分析服务器122需要将分析得到的结果经过GGSN 114反馈给SGSN 112,下面通过几个实施例对接入网110和一体化标识网络120的融合网络中的接入决策确定的过程进行举例说明。
本发明的各个实施例均应用于图1所示的接入网110和一体化标识网络120融合的融合网络中。以下所讲的融合网络,如无特殊说明,均应当指图1中接入网110和一体化标识网络120融合得到的网络。
图2是本发明一个实施例中提供的接入决策确定方法的方法流程图,该接入决策确定方法可以应用于图1所示实施环境的SGSN 112中,该接入决策确定方法包括:
步骤201,接收GGSN发送的携带有AID的异常通知数据包,该异常通知数据包用于指示具有该AID的终端存在异常访问行为。
一般来讲,GGSN可以将终端访问时产生的数据发送至行为分析服务器,由行为分析服务器根据这些数据判定终端是否存在异常访问行为,若存在异常访问行为,行为分析服务器则向GGSN发送通知包,该通知包中通常可以携带有用于指示存在异常行为的字段、根据异常行为确定的攻击类型、RID、需要执行的接入决策、判定终端存在异常访问行为的时刻等。
GGSN在接收到该通知包后,根据GGSN中存储的RID和AID之间的映射关系,得到该通知包中与RID对应的AID,将该AID以及通知包中的其他字段,包括用于指示存在异常行为的字段、根据异常行为确定的攻击类型、需要执行的接入决策、判定终端存在异常访问行为的时刻等打包成异常通知数据包,将异常通知数据包发送至SGSN。
需要注意的是,在一体化标识网络中,通知包的封装形式是以一体化标识网络中的协议进行封装的,而异常通知数据包的封装形式则是GPRS网络协议进行封装的,因此GGSN通常需要将通知包中的RID修改为对应的AID之后,重新对通知包内的内容封装成异常通知数据包。
很显然,异常通知数据包至少要携带终端的AID,具有该AID的终端被行为分析服务器判定为存在异常访问行为。
步骤202,判断SGSN是否与该终端连接。
这里所讲的终端即为具有异常通知数据包中携带的AID的终端。
一般来讲,SGSN中通常会存储有各个终端的AID以及国际移动用户识别码(英文:International Mobile Subscriber Identification Number,简称:IMSI)的映射关系。
当SGSN接收到异常通知数据包之后,可以解析该异常通知数据包,并获取到该异常通知数据包中携带的AID,SGSN查找具有该AID的终端是否正在与该SGSN连接。
可选的,SGSN中存储有已经与SGSN成功建立连接的各个终端的AID的连接列表,这样SGSN仅需要从连接列表中查找到与异常通知数据包中携带的AID相同的AID,则表明该终端正在与该SGSN连接。
步骤203,若该SGSN与该终端连接,则断开与该终端的连接。
由于该终端存在异常访问行为,因此为了避免该终端造成的网络攻击,当该SGSN与该终端连接时,则断开与该终端的连接。
综上所述,本发明实施例提供的接入决策确定方法,通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;由于GGSN获取一体化标识网络中分析服务器分析得到的每个终端的访问行为,并通过异常通知数据包向SGSN通知具有异常访问行为的终端,SGSN则可以根据异常通知数据包,决定是否拒绝接入存在异常访问行为的终端,因此解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
图3A是本发明另一个实施例中提供的接入决策确定方法的方法流程图,该接入决策确定方法可以应用于图1所示实施环境的SGSN 112中,该接入决策确定方法包括:
步骤301,接收GGSN发送的携带有AID的异常通知数据包,该异常通知数据包用于指示具有该AID的终端存在异常访问行为。
步骤301与步骤201类似,具体可以参见对步骤201的描述,这里就不再赘述。
步骤302,在接收到该异常通知数据包之后,将该终端的IMSI添加至限制用户列表中,限制用户列表中每个MISI所对应的终端被禁止接入。
在接收到该异常通知数据包之后,SGSN可以根据异常通知数据包中的AID查询到与该AID对应的IMSI,并将该IMSI添加至限制用户列表中,限制用户列表中添加的每个IMSI所对应的终端均被禁止接入SGSN。
步骤303,为该终端设置并开启具有预定时长的计时器。
当一个IMSI被添加至限制用户列表时,均为具有该IMSI的终端设置并开启具有预定时长的计时器。
可选的,异常通知数据包中可以包括该终端的攻击类型,SGSN为该终端设置并开启具有预定时长的计时器时,可以包括如图3B中的步骤:
步骤303a,根据攻击类型与禁止时长的对应关系,确定该终端的攻击类型对应的禁止时长。
一般来讲,当攻击类型的等级越高,该攻击类型所对应的禁止时长越长。SGSN中可以预先存储攻击类型与禁止时长的对应关系,并根据异常通知数据包中携带的攻击类型,确定与该攻击类型对应的禁止时长,并将该禁止时长作为异常通知数据包所指示的终端的禁止时长。
步骤303b,将该禁止时长作为与该终端对应的计时器的预定时长。
步骤303c,开启具有该预定时长的计时器。
也即,当该终端的IMSI被添加至限制用户列表中,则开始为该终端进行倒计时。
可选的,SGSN还可以为每个终端均设置相同的禁止时长,也即每个终端的禁止时长也可以不与终端的攻击类型相关。
步骤304,判断SGSN是否与该终端连接。
步骤305,若该SGSN与该终端连接,则断开与该终端的连接。
步骤304和步骤305分别于步骤202和步骤203类似,具体可以参见对步骤202和步骤203的描述,这里就不再赘述。
步骤306,在断开与该终端的连接后,则向HLR发送禁止访问通知,该禁止访问通知用于触发该HLR通知其他SGSN禁止接入该终端。
该拒绝访问通知至少包含该终端的IMSI和该终端的定时器的当前剩余时长。
为了避免某些存在异常的终端先攻击再移动至其他区域,并请求连接其他区域所对应的SGSN继续进行攻击,SGSN在断开与终端的连接后,均会向HLR禁止访问通知。
该禁止访问通知中携带有已经断开的终端的IMSI,该禁止访问通知用于触发该HLR通知其他SGSN禁止接入该终端。
显然,该拒绝访问通知除了包含该终端的IMSI,还可以包括该终端的定时器的当前剩余时长。
步骤307,在该终端的计时器到达0之前,若接收到该终端的接入请求,则禁止该终端接入。
当一个终端的计时器未被倒计时至0时,如果再次接收到该终端的接入请求,则不对该接入请求进行响应,也即禁止该终端接入。
显然,这里是利用计时器进行倒计。在实际应用中,也可以将计时器从0开始计时,直到达到计时器对应的预定时长结束。此时,步骤307即可替换为:在该终端的计时器到达该计时器的预定时长之前,若接收到该终端的接入请求,则禁止该终端接入。
步骤308,当该终端的计时器到达0时,则从该限制用户列表中删除该终端的IMSI。
当该终端的计时器被倒计时至0,则表明可以不再继续禁止该终端接入,此时,则从该限制用户列表中删除该终端的IMSI。
类似的,这里是利用计时器进行倒计。在实际应用中,也可以将计时器从0开始计时,直到达到计时器对应的预定时长结束。此时,步骤308即可替换为:在该终端的计时器到达该计时器的预定时长时,则从该限制用户列表中删除该终端的IMSI。
也就是说,当接收到一个终端的接入请求时,检测该限制用户列表中是否存在该终端的IMSI,如果该限制用户列表中存在该终端的IMSI,则禁止该终端接入;如果该限制用户列表中不存在该终端的IMSI,则允许该终端接入。
综上所述,本发明实施例提供的接入决策确定方法,通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;由于GGSN获取一体化标识网络中分析服务器分析得到的每个终端的访问行为,并通过异常通知数据包向SGSN通知具有异常访问行为的终端,SGSN则可以根据异常通知数据包,决定是否拒绝接入存在异常访问行为的终端,因此解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
在一种可能的实现场景中,当一个终端先攻击后,然后移动至其他区域,根据GPRS协议规定可知,该终端移动至的新区域所对应的基站会根据终端所发出的信号强度,得到该终端进入该新区域,此时,基站则会通知与该基站对应的SGSN,该SGSN会告知HLR该终端所在的区域;为了能保证终端可以连接该新的SGSN,HLR此时会通知该终端之前连接的SGSN断开与该终端的连接。这种情况下,当原有的SGSN得知GGSN发送的异常通知消息后,还尚未来得及根据该异常通知消息断开与该终端的连接之前,可能会根据该HLR的通知先断开了与该终端的连接,此时,当SGSN发现该终端存在异常访问行为,则还会通知HLR,以告知HLR通知其他SGSN禁止接入该终端。在步骤303之后,还包括图3C中的步骤309至步骤313。
图3C是本发明再一个实施例中提供的接入决策确定方法的方法流程图,该接入决策确定方法包括:
步骤309,接收HLR发送的用于断开指定终端的断开请求,该断开请求中包含指定终端的IMSI。
当HLR得知一个终端移动至新的SGSN所对应的区域内时,HLR则会通知该终端连接的原有的SGSN断开与该终端的连接,此时,HLR则会向原有的SGSN发送用于断开该终端的断开请求,为了便于区分,这里就HLR发送的断开请求中用于指示断开的终端记为指定终端。
该断开请求中包含指定终端的IMSI,该断开请求用于指示断开具有该IMSI的指定终端。
步骤310,检测该指定终端的IMSI是否位于该限制用户列表中。
为了避免该断开请求中所指定的指定终端先攻击然后进行了转移,而导致其他SGSN则连接上该存在攻击行为的指定终端的情况,SGSN会在接收到该断开请求后,测该指定终端的IMSI是否位于该限制用户列表中。
步骤311,若该指定终端的IMSI位于该限制用户列表中,则检测该指定终端是否与该SGSN连接。
若该指定终端的IMSI位于该限制用户列表中,则表明该指定终端存在异常访问行为,并被SGSN禁止接入,此时,如果该SGSN还未断开与该指定终端的连接,则需要断开该指定终端,因此需要检测该指定终端是否与该SGSN连接。
步骤312,若该指定终端与该SGSN连接,则断开与该指定终端的连接。
若该指定终端还正在与该SGSN连接,则断开与该指定终端的连接。
步骤313,将该指定终端的IMSI和该指定终端的定时器的当前剩余时长添加至禁止接入消息中,将该禁止接入消息发送至该HLR。
该禁止接入消息用于触发该HLR通知其他SGSN在该剩余时长内禁止接入具有该IMSI的终端。当定时器被倒计时时,该定时器的当前剩余时长是指该定时器从当前时刻至被倒计时至0时所需要的时长;或者,当定时器被从0开始累加至其对应的预定时长时,该定时器的当前剩余时长是指该定时器从当前时刻累加至该定时器的预定时长时的时长。
在断开与该指定终端的连接后,SGSN则会向HLR回复一个禁止接入消息,该禁止接入消息中通常会携带该指定终端的IMSI以及该指定终端定时器的当前剩余时长,这样HLR在根据该禁止接入消息通知其他SGSN时,可以告知其他SGSN继续禁止该指定终端在当前剩余时长内接入。
显然,在步骤313之后,可以执行步骤304,或者执行步骤307和步骤308。
综上所述,本发明实施例提供的接入决策确定方法,通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;由于GGSN获取一体化标识网络中分析服务器分析得到的每个终端的访问行为,并通过异常通知数据包向SGSN通知具有异常访问行为的终端,SGSN则可以根据异常通知数据包,决定是否拒绝接入存在异常访问行为的终端,因此解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
当终端存在异常访问行为,且该终端在攻击后转移至其他区域时,如果该终端原有连接的SGSN在得知该终端存在异常访问行为但还未断开与其连接后,就接收到了HLR发送的断开请求,此时则根据该断开请求先断开该终端,并在确定该终端的IMSI位于限制用户列表中时,向HLR发送禁止接入消息中,由该HLR通知其他SGSN在该剩余时长内禁止接入具有该IMSI的终端,因此可以保证在一个终端先攻击后转移至其他区域时,可以确保其他SGSN继续禁止接入该终端,保证了网络的安全性。
下面结合一体化标识网络中的网络行为分析服务器对接入决策确定方法进一步进行描述。
请参见图4是本发明再一个实施例中提供的接入决策确定方法的方法流程图,该接入决策确定方法可以应用于图1所示实施环境中,该接入决策确定方法包括:
步骤401:GGSN将采集的终端的访问流量以一定的时间间隔发送给行为分析服务器。
步骤402:行为分析服务器监测到异常流量后,向GGSN发送通知包。
该通知包中包含终端的RID及决策方案。
步骤403:GGSN确定出通知包中RID所对应的AID,向SGSN发送异常通知数据包。
该异常通知数据包中包含该AID和决策方案。
步骤404:SGSN对该异常通知数据包进行解封装,限制该终端的访问权限。
步骤405:终端重新请求接入GPRS网络。
步骤406:在未到达用于指示禁止该终端访问的禁止时长所指示的结束时刻时,SGSN禁止该终端接入。
步骤407:在到达用于指示禁止该终端访问的禁止时长所指示的结束时刻时,SGSN重新开始认证流程。
认证流程为本领域普通技术人员都可得知的技术,本实施例就不再对此进行详细描述。
图5是本发明一个实施例中提供的接入决策确定装置的结构示意图,该接入决策确定装置可以应用于图1所示实施环境的SGSN 112中,该接入决策确定装置包括:第一接收模块501、第一检测模块502和第一断开模块503。
第一接收模块501,用于接收GGSN发送的携带有AID的异常通知数据包,该异常通知数据包用于指示具有该AID的终端存在异常访问行为;
第一检测模块502,用于检测SGSN是否与该终端连接;
第一断开模块503,用于在该第一检测模块502检测到该SGSN与该终端连接时,则断开与该终端的连接。
综上所述,本发明实施例提供的接入决策确定装置,通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;由于GGSN获取一体化标识网络中分析服务器分析得到的每个终端的访问行为,并通过异常通知数据包向SGSN通知具有异常访问行为的终端,SGSN则可以根据异常通知数据包,决定是否拒绝接入存在异常访问行为的终端,因此解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
图6是本发明另一个实施例中提供的接入决策确定装置的结构示意图,该接入决策确定装置可以应用于图1所示实施环境的SGSN 112中,该接入决策确定装置包括:第一接收模块601、第一检测模块602和第一断开模块603。
第一接收模块601,用于接收GGSN发送的携带有AID的异常通知数据包,该异常通知数据包用于指示具有该AID的终端存在异常访问行为;
第一检测模块602,用于检测SGSN是否与该终端连接;
第一断开模块603,用于在该第一检测模块602检测到该SGSN与该终端连接时,则断开与该终端的连接。
在一种可选的实现方式中,该接入决策确定装置还包括:添加模块604和开启模块605。
添加模块604,用于在该第一接收模块601接收到该异常通知数据包之后,将该终端的国际移动用户识别码IMSI添加至限制用户列表中,限制用户列表中每个MISI所对应的终端被禁止接入;
开启模块605,用于为该终端设置并开启具有预定时长的计时器。
在一种可选的实现方式中,该接入决策确定装置还包括:禁止接入模块606、删除模块607。
禁止接入模块606,用于在该终端的计时器到达0之前,若接收到该终端的接入请求,则禁止该终端接入;
删除模块607,用于当该终端的计时器到达0时,则从该限制用户列表中删除该终端的IMSI。
在一种可选的实现方式中,该异常通知数据包包括该终端的攻击类型,该开启模块605可以包括:确定单元605a、设置单元605b和开启单元605c。
确定单元605a,用于根据攻击类型与禁止时长的对应关系,确定该终端的攻击类型对应的禁止时长;
设置单元605b,用于将该禁止时长设置为与该终端对应的计时器的预定时长;
开启单元605c,用于开启具有该预定时长的计时器。
在一种可选的实现方式中,该接入决策确定装置还包括:
第一发送模块608,用于在该第一断开模块603断开与该终端的连接后,则向归属位置寄存器HLR发送禁止访问通知,该禁止访问通知用于触发该HLR通知其他SGSN禁止接入该终端,该拒绝访问通知至少包含该终端的IMSI和该终端的定时器的当前剩余时长。
在一种可选的实现方式中,该接入决策确定装置还包括:第二接收模块609、第二检测模块610、第三检测模块611、第二断开模块612和第二发送模块613。
第二接收模块609,用于接收HLR发送的用于断开指定终端的断开请求,该断开请求中包含该指定终端的IMSI;
第二检测模块610,用于检测该指定终端的IMSI是否位于该限制用户列表中;
第三检测模块611,用于在该第二检测模块610检测到该指定终端的IMSI位于该限制用户列表中时,检测该指定终端是否与该SGSN连接;
第二断开模块612,用于在该第三检测模块611检测到该指定终端与该SGSN连接时,断开与该指定终端的连接;
第二发送模块613,用于将该指定终端的IMSI和该指定终端的定时器的当前剩余时长添加至禁止接入消息中,将该禁止接入消息发送至该HLR,该禁止接入消息用于触发该HLR通知其他SGSN在该剩余时长内禁止接入具有该IMSI的终端。
综上所述,本发明实施例提供的接入决策确定装置,通过接收GGSN发送的异常通知数据包,拒绝接入该异常通知数据包所指示的具有异常访问行为的终端;由于GGSN获取一体化标识网络中分析服务器分析得到的每个终端的访问行为,并通过异常通知数据包向SGSN通知具有异常访问行为的终端,SGSN则可以根据异常通知数据包,决定是否拒绝接入存在异常访问行为的终端,因此解决了相关技术中因GGSN既要进行访问数据的采集,又要进行接入决策,从而使得GGSN的处理压力过大的问题,达到了可以在SGSN上进行接入决策,减少了GGSN的处理压力的效果。
当终端存在异常访问行为,且该终端在攻击后转移至其他区域时,如果该终端原有连接的SGSN在得知该终端存在异常访问行为但还未断开与其连接后,就接收到了HLR发送的断开请求,此时则根据该断开请求先断开该终端,并在确定该终端的IMSI位于限制用户列表中时,向HLR发送禁止接入消息中,由该HLR通知其他SGSN在该剩余时长内禁止接入具有该IMSI的终端,因此可以保证在一个终端先攻击后转移至其他区域时,可以确保其他SGSN继续禁止接入该终端,保证了网络的安全性。
需要说明的是:上述实施例中提供的接入决策确定装置在进行接入决策时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将SGSN的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的接入决策确定装置与接入决策确定方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种接入决策确定方法,其特征在于,应用于服务通用分组无线服务的支持节点SGSN中,所述方法包括:
接收网关通用分组无线服务的支持节点GGSN发送的携带有接入网标识AID的异常通知数据包,所述异常通知数据包用于指示具有所述AID的终端存在异常访问行为;
在接收到所述异常通知数据包之后,将所述终端的国际移动用户识别码IMSI添加至限制用户列表中,所述限制用户列表中每个MISI所对应的终端被禁止接入;
为所述终端设置并开启具有预定时长的计时器;
判断所述SGSN是否与所述终端连接;
若所述SGSN与所述终端连接,则断开与所述终端的连接;
在断开与所述终端的连接后,则向归属位置寄存器HLR发送禁止访问通知,所述禁止访问通知用于触发所述HLR通知其他SGSN禁止接入所述终端,所述禁止访问通知至少包含所述终端的IMSI和所述终端的定时器的当前剩余时长。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述终端的计时器到达0之前,若接收到所述终端的接入请求,则禁止所述终端接入;
当所述终端的计时器到达0时,则从所述限制用户列表中删除所述终端的IMSI。
3.根据权利要求1所述的方法,其特征在于,所述异常通知数据包包括所述终端的攻击类型,所述为所述终端设置并开启具有预定时长的计时器,包括:
根据攻击类型与禁止时长的对应关系,确定所述终端的攻击类型对应的禁止时长;
将所述禁止时长作为与所述终端对应的计时器的预定时长;
开启具有所述预定时长的计时器。
4.根据权利要求1至3中任一所述的方法,其特征在于,所述方法还包括:
接收HLR发送的用于断开指定终端的断开请求,所述断开请求中包含所述指定终端的IMSI;
检测所述指定终端的IMSI是否位于所述限制用户列表中;
若所述指定终端的IMSI位于所述限制用户列表中,则检测所述指定终端是否与所述SGSN连接;
若所述指定终端与所述SGSN连接,则断开与所述指定终端的连接;
将所述指定终端的IMSI和所述指定终端的定时器的当前剩余时长添加至禁止接入消息中,将所述禁止接入消息发送至所述HLR,所述禁止接入消息用于触发所述HLR通知其他SGSN在所述剩余时长内禁止接入具有所述IMSI的终端。
5.一种接入决策确定装置,其特征在于,应用于服务通用分组无线服务的支持节点SGSN中,所述装置包括:
第一接收模块,用于接收网关通用分组无线服务的支持节点GGSN发送的携带有接入网标识AID的异常通知数据包,所述异常通知数据包用于指示具有所述AID的终端存在异常访问行为;
添加模块,用于在所述第一接收模块接收到所述异常通知数据包之后,将所述终端的国际移动用户识别码IMSI添加至限制用户列表中,所述限制用户列表中每个MISI所对应的终端被禁止接入;
开启模块,用于为所述终端设置并开启具有预定时长的计时器;
第一检测模块,用于检测所述SGSN是否与所述终端连接;
第一断开模块,用于在所述第一检测模块检测到所述SGSN与所述终端连接时,则断开与所述终端的连接;
第一发送模块,用于在所述第一断开模块断开与所述终端的连接后,则向归属位置寄存器HLR发送禁止访问通知,所述禁止访问通知用于触发所述HLR通知其他SGSN禁止接入所述终端,所述禁止访问通知至少包含所述终端的IMSI和所述终端的定时器的当前剩余时长。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
禁止接入模块,用于在所述终端的计时器到达0之前,若接收到所述终端的接入请求,则禁止所述终端接入;
删除模块,用于当所述终端的计时器到达0时,则从所述限制用户列表中删除所述终端的IMSI。
7.根据权利要求5所述的装置,其特征在于,所述异常通知数据包包括所述终端的攻击类型,所述开启模块,包括:
确定单元,用于根据攻击类型与禁止时长的对应关系,确定所述终端的攻击类型对应的禁止时长;
设置单元,用于将所述禁止时长设置为与所述终端对应的计时器的预定时长;
开启单元,用于开启具有所述预定时长的计时器。
8.根据权利要求5至7中任一所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收HLR发送的用于断开指定终端的断开请求,所述断开请求中包含所述指定终端的IMSI;
第二检测模块,用于检测所述指定终端的IMSI是否位于所述限制用户列表中;
第三检测模块,用于在所述第二检测模块检测到所述指定终端的IMSI位于所述限制用户列表中时,检测所述指定终端是否与所述SGSN连接;
第二断开模块,用于在所述第三检测模块检测到所述指定终端与所述SGSN连接时,断开与所述指定终端的连接;
第二发送模块,用于将所述指定终端的IMSI和所述指定终端的定时器的当前剩余时长添加至禁止接入消息中,将所述禁止接入消息发送至所述HLR,所述禁止接入消息用于触发所述HLR通知其他SGSN在所述剩余时长内禁止接入具有所述IMSI的终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510441039.1A CN105007611B (zh) | 2015-07-24 | 2015-07-24 | 接入决策确定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510441039.1A CN105007611B (zh) | 2015-07-24 | 2015-07-24 | 接入决策确定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105007611A CN105007611A (zh) | 2015-10-28 |
| CN105007611B true CN105007611B (zh) | 2019-01-15 |
Family
ID=54380085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510441039.1A Expired - Fee Related CN105007611B (zh) | 2015-07-24 | 2015-07-24 | 接入决策确定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105007611B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624700A (zh) * | 2012-01-21 | 2012-08-01 | 伯泰雄森(北京)网络科技有限公司 | 基于特定信息的用户身份识别方法和系统 |
| CN103124439A (zh) * | 2011-11-18 | 2013-05-29 | 中国移动通信集团福建有限公司 | 一种ggsn保护方法及ggsn |
| CN103139753A (zh) * | 2008-06-18 | 2013-06-05 | 上海华为技术有限公司 | 限制信令下的信息处理系统及服务网关 |
| CN104883683A (zh) * | 2014-02-28 | 2015-09-02 | 中国移动通信集团河南有限公司 | 一种apn访问限制方法及ggsn |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2695422A1 (en) * | 2011-04-04 | 2014-02-12 | Telefonaktiebolaget LM Ericsson (PUBL) | Maximum allowed quality of service procedures using gn/gp |
-
2015
- 2015-07-24 CN CN201510441039.1A patent/CN105007611B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139753A (zh) * | 2008-06-18 | 2013-06-05 | 上海华为技术有限公司 | 限制信令下的信息处理系统及服务网关 |
| CN103124439A (zh) * | 2011-11-18 | 2013-05-29 | 中国移动通信集团福建有限公司 | 一种ggsn保护方法及ggsn |
| CN102624700A (zh) * | 2012-01-21 | 2012-08-01 | 伯泰雄森(北京)网络科技有限公司 | 基于特定信息的用户身份识别方法和系统 |
| CN104883683A (zh) * | 2014-02-28 | 2015-09-02 | 中国移动通信集团河南有限公司 | 一种apn访问限制方法及ggsn |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105007611A (zh) | 2015-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101283597B (zh) | 在无执照的移动接入网或通用接入网中提供安全性的方法、系统和设备 | |
| CN109314863B (zh) | 直径边缘代理攻击检测 | |
| JP2020529776A (ja) | Diameterエッジエージェント(DEA:DIAMETER EDGE AGENT)を用いる、アウトバウンドローミング加入者に対するモビリティ管理エンティティ(MME:MOBILITY MANAGEMENT ENTITY)認証のための、方法、システム、およびコンピュータ読み取り可能な媒体 | |
| CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
| CN106332067A (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| CN101577908B (zh) | 用户设备验证方法、设备标识寄存器以及接入控制系统 | |
| US11356416B2 (en) | Service flow control method and apparatus | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| JP2012034129A (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| CN106130818A (zh) | 网络分享、请求终端和网络共享的流量监控方法及系统 | |
| CN105611534A (zh) | 无线终端识别伪WiFi 网络的方法及其装置 | |
| CN109660593B (zh) | 物联网平台接入管理方法、装置及系统 | |
| CN105828413A (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| KR102116307B1 (ko) | 이동 통신망에서의 diameter 프로토콜 idr 메시지 스푸핑 공격 탐지 방법 및 그 장치 | |
| CN109743294A (zh) | 接口访问控制方法、装置、计算机设备及存储介质 | |
| CN105657712A (zh) | 一种WiFi热点的访问控制方法和装置 | |
| CN106332070A (zh) | 一种安全通信方法、装置及系统 | |
| US11722956B2 (en) | Securing the choice of the network visited during roaming | |
| CN104506406B (zh) | 一种鉴权认证设备 | |
| US20210185534A1 (en) | Method for securing accesses to a network, system and associated device | |
| CN109428870B (zh) | 基于物联网的网络攻击处理方法、装置及系统 | |
| CN105007611B (zh) | 接入决策确定方法及装置 | |
| CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
| CN106921570B (zh) | Diameter信令发送方法和装置 | |
| CN109756520B (zh) | 动态访问控制方法、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190115 Termination date: 20190724 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |