CN107925626A - Sdn安全性 - Google Patents
Sdn安全性 Download PDFInfo
- Publication number
- CN107925626A CN107925626A CN201680046998.6A CN201680046998A CN107925626A CN 107925626 A CN107925626 A CN 107925626A CN 201680046998 A CN201680046998 A CN 201680046998A CN 107925626 A CN107925626 A CN 107925626A
- Authority
- CN
- China
- Prior art keywords
- message
- protocol
- dhcp
- address
- signaling message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
- H04L47/323—Discarding or blocking control packets, e.g. ACK packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了关于SDN安全性的装置、方法、计算机程序、计算机程序产品和计算机可读介质。该方法包括检查用户平面中的消息是否符合预先配置的规则,并且如果确定消息符合预先配置的规则,则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且如果已经达到预定阈值,则节流向控制器的特定信令消息的发送。
Description
技术领域
本发明涉及关于SDN(软件定义联网)安全性的装置、方法、系统、计算机程序、计算机程序产品和计算机可读介质。
本发明适用于比如例如DHCP(动态主机配置协议)、RADIUS(远程认证拨入用户服务)、L2TP(第二层隧道协议)和PPP(点对点协议)等各种协议。
背景技术
动态主机配置协议(DHCP)是用于管理和动态分配IP(网际协议)地址给TCP/IP(传输控制协议/网际协议)网络中的站的协议。DHCP是客户端-服务器架构,并且在客户端和服务器之间执行如图1所示的用于分配IP地址(而不考虑GTP(GPRS(通用分组无线业务)隧道协议)的过程。
如图1所示,客户端在步骤S11中向服务器发送广播消息“DHCP-发现”,服务器继而在步骤S12中用包括针对IP地址和其他相关参数的提议的“DHCP-提供”消息进行响应。然后,客户端在步骤S13中广播“DHCP-请求”消息,以用于确认/请求在“DHCP-提供”消息中提供的IP地址,并且服务器在步骤S14中用包含配置参数的“DHCP-ACK”消息针对请求的客户端进行响应。这方面的细节在文档RFC(请求注解)2131中描述。
图2是图示在充当DHCP客户端的终端设备(TE)与充当DHCP服务器的内联网或ISP(互联网服务提供商)之间使用DHCPv4的地址分配的另一示例的信令(signaling)图(参考3GPP TS(技术规范)29.061)。图2进一步示出移动终端(MT)、SGSN(服务GPRS支持节点)和充当DHCP中继代理的GGSN(网关GPRS(通用分组无线服务)支持节点)。图2的步骤1)到12)的以下描述取自TS 29.061。针对这方面的细节,参考该文档。
在步骤S21中,TE(终端设备)和MT(移动终端)交换携带QoS(服务质量)和由TE请求的其他参数并且请求PDP类型IP的PDP(分组数据协议)上下文的激活的若干个AT(注意,如例如在3GPP TS 27.007中描述的)命令。TE选择提供DHCP服务的配置的内联网/ISP的APN(接入点名称)、或者由用户已订阅的DHCP的预留服务标签组成的APN。在后一种情况下,TE将连接到提供DHCP服务的PLMN(公共陆地移动网络)运营商配置的服务提供商(根据APN选择规则)。
在步骤S22中,MT将具有空PDP地址字段的激活PDP上下文请求消息发送给SGSN。
在步骤S23中,SGSN基于由TE和MT构成的MS(移动站)所请求的APN来选择GGSN,并向该GGSN发送创建PDP(分组数据协议)上下文请求消息。GGSN用创建PDP上下文响应消息进行回复。如果运营商尚未配置GGSN以将具有DHCP的外部PDN(分组数据网络)地址分配用于所请求的APN,则原因应设置为“服务不支持”。此时没有IP地址被分配;由GGSN返回的PDP地址设置为0.0.0.0,从而指示IP地址尚未被分配,并且应在PDP上下文激活过程之后由TE与内联网/ISP进行协商。
在步骤S24中,取决于在创建PDP上下文响应中接收到的原因值,SGSN将激活PDP上下文接受或激活PDP上下文拒绝发回给MT。在成功激活的情况下,PDP上下文被建立,其中PDP地址设置为0.0.0.0。
在步骤S25中,当接收到激活PDP上下文接受时,MT向TE发送AT响应,该响应确认PDP上下文激活过程的完成。
在步骤S26中,TE发送DHCPDISCOVER消息,其中IP目的地地址设置为有限广播地址(全1)。GGSN将把DHCPDISCOVER传递给DHCP中继代理,DHCP中继代理将把请求中继给针对PDP上下文的APN而配置的DHCP服务器。如果针对给定的APN配置多于一个DHCP服务器,则请求将被发送给所有的DHCP服务器。DHCP中继代理将向DHCPDISCOVER消息添加足够的信息,以便能够将回复中继回到MS。
在步骤S27中,接收DHCPDISCOVER请求的DHCP服务器通过发送包括提供的IP地址的DHCPOFFER消息来回复。DHCP中继代理将回复转发给合适的MS。
在步骤S28中,TE选择可能若干个DHCPOFFER中的一个,并且发送确认其选择并请求附加的配置信息的DHCPREQUEST。中继代理如步骤S26中所解释的那样中继DHCPOFFER。
在步骤S29中,选择的DHCP服务器接收DHCPREQUEST,并用包含由TE所请求的配置信息的DHCPACK进行回复。DHCP中继代理将DHCPACK中继给TE。
在步骤S210中,DHCP中继代理将分配的IP地址传递给将其存储在对应的PDP上下文中的GGSN。然后,GGSN通过向其中最终用户地址信息元素设置为分配的IP地址的适当的SGSN发送更新PDP上下文请求来发起PDP上下文修改过程。
在步骤S211中,SGSN向具有PDP地址信息元素中的分配的IP地址的MT发送修改PDP上下文请求。MT通过向SGSN发送修改PDP上下文接受来确认。
在步骤S212中,SGSN向GGSN发送更新PDP上下文响应。用分配的IP地址成功更新PDP上下文。
关于3GPP,在UE经由DHCP请求了IP地址分配的情况下,GTP-U(GPRS隧道协议用户平面)携带DHCP信令业务和由UE所生成的业务的有效载荷二者。
此外,根据现今的OpenFlow(开放流)规范,通常可以发送在EPC GW(演进分组核心网关)的GTP-U中接收的所有DHCP消息直到SDN(软件定义联网)环境中的控制器。
因此,在SDN中,在用户平面中接收的所有DHCP消息都可以被发送到SDN控制器。然而,这引起安全性担忧,因为SDN控制器可能被DoS(拒绝服务)攻击溢流(flood)。
因此,需要一种解决方案来使控制器安全,以确保网络的承载商等级行为使得客户的网络的其他用户/订户以及当然网络本身不受对应攻击所影响。
由于DHCP协议是UE发源的,所以如果UE经由PCO(协议配置选项,参见3GPP TS24.008,经由S5/S8接口TS 29.274 GTPv2控制平面(4G)或经由Gn接口TS 29.060 GTPv1控制平面(3G))请求了DHCP,则UE可能影响网络SDN控制器。
从前,SDN控制器并不如此存在。因此,运营商网络潜在被攻击和破坏的威胁(由于尤其是SDN控制器可能不再能够适当地控制网络中的分配的交换机中的流)是由SDN方法新创建的。到目前为止,在引入SDN之前,没有必要注意,因为不存在任何威胁。
目前,无论是所有DHCP消息都发送给控制器还是没有DHCP消息发送给控制器,但PGW-C(分组数据网络网关控制平面)都需要具有被分派/分配给UE的IP地址。因此在SDN环境中,存在现今未解决的冲突的要求。
然而,要注意的是,DHCP仅是示例。上述问题和本发明也适用于其他协议,比如例如RADIUS(远程认证拨入用户服务)、L2TP(第二层隧道协议)和PPP(点对点协议)等。
图9是图示如3GPP TS 29.061中定义的成功的PDP上下文激活的示例的信令图。
在图9所示的示例中,给予MS(移动站)属于内联网/ISP寻址空间的地址。地址在订阅时给予,在这种情况下,它是静态地址,或者在PDP上下文激活时给予,在这种情况下它是动态地址。该地址被用于GGSN内的分组转发和内联网/ISP上的分组转发。这需要GGSN和属于内联网/ISP的地址分配服务器(诸如AAA(认证、授权和计费)或DHCP)之间的链路。
分组域和内联网/ISP之间的通信可以通过任何网络执行,甚至是不安全的网络,例如互联网。在GGSN与内联网/ISP之间的不安全连接的情况下,可能在中间存在特定的安全性协议。该安全性协议由PLMN(公共陆地移动网络)运营商和内联网/ISP管理员之间的相互协定来定义。
在步骤S91中,TE向MT发送AT命令以设置参数。
在步骤S92中,MT将激活PDP上下文请求消息发送给SGSN,SGSN在步骤S93中将创建PDP上下文请求消息发送给所选择的GGSN。
GGSN从APN推断
- 要被用于地址分配和认证的(多个)服务器;
- 要与该/那些服务器一起使用的诸如RADIUS、DHCP或L2TP的协议;
- 与该/那些服务器对话所需的通信和安全性特征,例如隧道、IPSec安全性关联、拨号连接(可能使用PPP)。
作为示例,GGSN可以使用以下选项之一:
- 用于认证和IP地址分配的RADIUS。AAA服务器用接入接受或接入拒绝向GGSN中的RADIUS客户端进行响应;
- 用于认证的RADIUS和用于主机配置和地址分配的DHCP。AAA服务器用接入接受或接入拒绝向GGSN中的RADIUS客户端进行响应。在成功认证后,DHCP客户端发现ISP/内联网中的(多个)DHCP服务器,并接收主机配置数据,
- 用于将PPP帧转发给L2TP网络服务器的L2TP。
在步骤S94中,GGSN将创建PDP上下文响应消息发回给SGSN。取决于在创建PDP上下文响应中接收的原因值,SGSN可以在步骤S95中向MS发送激活PDP上下文接受消息或者发送激活PDP上下文拒绝消息。
在步骤S96中,MT用可以指示上下文激活是否成功的AT响应进行响应。在不成功的上下文激活的情况下,响应还可以指示原因。
在成功的上下文激活的情况下,TE将在LLC(逻辑链路控制)链路建立之后启动其PPP协议。然后在步骤S97中执行LCP(链路控制协议)、认证和NCP(网络控制协议)协商,并且在步骤S98中执行RADIUS/DHCP或L2TP协商。
图10描述了针对其中在GGSN处终止PPP的情况的GGSN与认证、授权和计费(AAA)服务器之间的RADIUS消息流的示例,如3GPP TS 29.061中描述的。本文省略其详细描述,并且在这方面参考TS 29.061。
发明内容
因此,本发明的目的是克服上述问题并提供关于SDN(软件定义联网)安全性的装置、方法、系统、计算机程序、计算机程序产品和计算机可读介质。
根据本发明的一方面,提供了一种方法,包括:
检查用户平面中的消息是否符合预先配置的规则,并且
如果确定消息符合预先配置的规则,
则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且
如果已经达到预定阈值,
则节流向控制器的特定信令消息的发送。
根据本发明的另一方面,提供了一种方法,包括:
评估针对地址分配的请求是否满足预定条件,
如果确定请求满足预定条件,
则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且
如果用户平面中的消息符合预先配置的规则,则使得用户平面中的所述另一网络元件节流向控制器的特定信令消息。
根据本发明的另一方面,提供了一种用于在用户平面中的网络元件中使用的装置,包括:
至少一个处理器,
和
至少一个存储器,用于存储要由处理器执行的指令,其中,
所述至少一个存储器和所述指令被配置为利用所述至少一个处理器使得所述装置至少执行:
检查用户平面中的消息是否符合预先配置的规则,并且
如果确定消息符合预先配置的规则,
则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且
如果已经达到预定阈值,
则节流向控制器的特定信令消息的发送。
根据本发明的另一方面,提供了一种用于在网络元件中使用的装置,包括:
至少一个处理器,
和
至少一个存储器,用于存储要由处理器执行的指令,其中,
所述至少一个存储器和所述指令被配置为利用所述至少一个处理器使得所述装置至少执行:
评估针对地址分配的请求是否满足预定条件,
如果确定请求满足预定条件,
则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且
如果用户平面中的消息符合预先配置的规则,则引起针对用户平面中的所述另一网络元件的用于节流向控制器的特定信令消息的指示。
根据本发明的另一方面,提供了一种包括代码部件的计算机程序产品,所述代码部件适于当被加载到计算机的存储器中时产生如上所述的方法中的任何一个的步骤。
根据本发明的又一方面,提供了一种如上定义的计算机程序产品,其中计算机程序产品包括在其上存储软件代码部分的计算机可读介质。
根据本发明的又一方面,提供了一种如上定义的计算机程序产品,其中程序可直接加载到处理设备的内部存储器中。
根据本发明的又一方面,提供了一种装置,包括:
用于检查用户平面中的消息是否符合预先配置的规则的部件,以及
如果确定消息符合预先配置的规则,
用于检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值的部件,以及
如果已经达到预定阈值,
用于节流向控制器的特定信令消息的发送的部件。
根据本发明的又一方面,提供了一种装置,包括:
用于评估针对地址分配的请求是否满足预定条件的部件,
如果确定请求满足预定条件,
用于使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则的部件,以及
用于在用户平面中的消息符合预先配置的规则的情况下使得用户平面中的所述另一网络元件节流向控制器的特定信令消息的部件。
附图说明
从结合附图进行的本发明的方面/实施例的以下详细描述中,这些和其他目的、特征、细节和优点将变得更加完全明显,其中:
图1是图示在客户端和服务器之间使用DHCP的地址分配的基本示例的信令图。
图2是图示在充当DHCP客户端的终端设备(TE)与充当DHCP服务器的内联网或ISP(互联网服务提供商)之间使用DHCPv4的地址分配的另一示例的信令图。
图3是图示其中未达到阈值的由PGW-C经由OpenFlow控制器指令以节流“分组传入”消息的PGW-U中的DHCP中继的示例的图。
图4是图示其中达到阈值并且不存在“分组传入”消息的由PGW-C经由OpenFlow控制器指令以节流“分组传入”消息的PGW-U中的DHCP中继的示例的图。
图5是图示其中未达到阈值的由PGW-C经由OpenFlow控制器指令以修改DHCP协议并向PGW-C报告分配的IP地址的PGW-U中的DHCP中继的图。
图6是图示根据本发明的一些示例版本的方法的示例的流程图。
图7是图示根据本发明的一些示例版本的方法的另一示例的流程图。
图8是图示根据本发明的一些示例版本的装置的示例的框图。
图9是图示成功的PDP上下文激活的示例的信令图;
图10是图示在GGSN与认证、授权和计费(AAA)服务器之间的RADIUS消息流的示例的信令图;
图11是图示根据没有SDN的现有技术的DHCP配置信号流的信令图。
具体实施方式
在下文中,参考附图描述本发明的公开和实施例的一些示例版本。为了说明本发明,将结合基于以3GPP为基础的通信系统(例如基于LTE/LTE-A的系统)的蜂窝通信网络来描述示例和实施例。然而,要注意的是,本发明不限于使用这样的类型的通信系统或通信网络的应用,而是也可应用于其他类型的通信系统或通信网络,比如例如5G通信网络或固定网络等。
以下示例版本和实施例仅被理解为说明性示例。虽然说明书可能在若干个位置中引用“一”、“一个”或“一些”示例版本或实施例,但是这不一定意味着每个这样的引用是针对相同的(多个)示例版本或实施例,或者该特征仅适用于单个示例版本或实施例。不同实施例的单个特征也可以被组合以提供其他实施例。此外,词语“包括”和“包含”应被理解为不将所描述的实施例限制为仅由已经提到的那些特征组成,并且这样的示例版本和实施例也可以包含未具体提到的特征、结构、单元、模块等。
其中本发明的实施例的示例适用的通信网络的基本系统架构可以包括包含有线或无线接入网络子系统和核心网络的一个或多个通信系统的公知架构。这样的架构可以包括一个或多个通信网络控制元件、接入网络元件、无线电接入网络元件、接入服务网络网关或基站收发器,诸如基站(BS)、接入点或eNB(演进节点B),其控制相应的覆盖区域或小区,并且诸如UE(用户设备)之类的一个或多个通信元件或终端设备或者具有类似功能的另一个设备(诸如调制解调器芯片组、芯片、模块等,其也可以是UE的一部分或作为单独元件附接到UE等)能够经由一个或多个信道与其进行通信以用于发送若干种类型的数据。此外,可以包括诸如网关网络元件、策略和计费控制网络元件、移动性管理实体、操作和维护元件等之类的核心网络元件。
也取决于实际网络类型的所描述的元件的一般功能和互连对于本领域技术人员来说是已知的并且在对应的说明书中进行了描述,使得在此省略对其的详细描述。然而,要注意的是,除了下文详细描述的那些之外,可以采用若干附加的网络元件和信令链路以用于去向或来自比如UE的通信元件或终端设备和比如无线电网络控制器的通信网络控制元件的通信。
通信网络也能够与诸如公共交换电话网或互联网的其他网络进行通信。通信网络也可以支持云服务的使用。应领会到,BS和/或eNB或其功能可以通过使用适于这种使用的任何节点、主机、服务器、云、数据中心或接入节点和转发节点等实体来实现。
此外,本发明还适用于云计算、虚拟化和行业标准高容量服务器。
在这方面,云计算和行业标准高容量服务器在ETSI(欧洲电信标准协会)的文档“网络功能虚拟化——入门白皮书”中定义如下。
云计算
网络功能虚拟化将利用诸如针对云计算开发的那些的现代技术。在这些云技术的核心处是虚拟化机制:借助于管理程序和/或(Docker)容器或类似物的硬件虚拟化,以及使用虚拟以太网交换机(例如vswitch)来连接虚拟机和物理接口之间的业务。对于面向通信的功能,高性能分组处理通过利用高I/O带宽的高速多核CPU(中央处理单元)、使用智能以太网NIC来负载共享和TCP卸载、以及将分组直接路由到虚拟机存储器和轮询模式以太网驱动器(而不是中断驱动的,例如Linux NAPI(新应用编程接口)和Intel的DPDK(数据平面开发套件))而可用。云基础结构提供了借助于编排和管理机制来增强资源可用性和使用的方法,其适用于网络中的虚拟设备的自动实例化、通过将虚拟设备分配给正确的CPU核、存储器和接口的对资源的管理、故障的VM(虚拟机)的重新初始化、快照(snapshot)VM状态和VM的迁移。最后,比如OpenFlow、OpenStack、OpenNaaS或OGF的NSI的、用于管理和数据平面控制的开放式API的可用性提供了网络功能虚拟化和云基础结构的附加程度的集成。
行业标准高容量服务器
行业标准高容量服务器的使用是针对网络功能虚拟化的经济案例中的关键元素。网络功能虚拟化利用了IT行业的规模经济。行业标准高容量服务器是使用标准化IT组件(例如x86架构)构建的服务器,并以数百万出售。行业标准高容量服务器的共同特征在于,存在在服务器内部可互换的子组件的有竞争力的供应。
此外,所描述的网络元件和通信设备(诸如比如UE的终端设备或用户设备、比如BS或eNB的小区的通信网络控制元件、比如AP(接入点)的接入网络元件等、比如AAA(认证、授权和计费)服务器的网络接入控制元件等)以及如本文所描述的对应功能可以通过软件(例如通过用于计算机的计算机程序产品)和/或通过硬件来实现。在任何情况下,为了执行它们相应的功能,对应使用的设备、节点或网络元件可以包括对于控制、处理和/或通信/信令功能所需的若干部件、模块、单元、组件等(未示出)。这样的部件、模块、单元和组件可以包括例如包括用于执行指令和/或程序和/或用于处理数据的一个或多个处理部分的一个或多个处理器或处理器单元、用于存储指令、程序和/或数据的用于用作处理器或处理部分等的工作区域的存储或存储器单元或部件(例如ROM、RAM、EEPROM等)、用于通过软件输入数据和指令的输入或接口部件(例如,软盘、CD-ROM、EEPROM等)、用于向用户提供监视和操纵可能性的用户接口(例如屏幕、键盘等)、用于在处理器单元或部分的控制下建立链路和/或连接的其他接口或部件(例如有线和无线接口部件、包括例如天线单元等的无线电接口部件、用于形成无线电通信部分的部件等)等,其中形成接口(诸如无线电通信部分)的相应部件也可以位于远程站点(例如,无线电头或无线电台等)上。要注意的是,在本说明书中,处理部分不应仅被认为表示一个或多个处理器的物理部分,而是也可以被认为是由一个或多个处理器执行的所涉及的处理任务的逻辑划分。
本发明的一些示例版本的目的是保护PGW-C和SDN控制器免受溢流,并且同时支持在PGW-C处根据需要的IP地址递送,以用于例如服务链/TDF(业务检测功能)环境中的比如(在线)计费和业务转向的功能。
取决于专用事件/触发信息(诸如例如控制平面信息),用户平面被引导以节流经由OpenFlow消息“分组传入”发出直到SDN控制器的信令(DHCP)消息。由此,SDN控制器被保护免受溢流,同时仍被通知关于处于SDN控制器的顶部上的PGW-C应用处所需的IP地址。
替代地,可以改变OpenFlow协议,使得仅IP地址(或PGW-C(或任何应用)可能感兴趣的任何信息元素)可以被报告给SDN控制器。
根据目前的OpenFlow规范,已经可能的是,DHCP协议可以经由OpenFlow“分组传入”消息被转发到OF控制器和/或PGW-C,其中控制器或PGW-C在接收到的信息的操纵之后可以经由OpenFlow“分组传出”消息指令用户平面转发DHCP消息。由于目前的OpenFlow协议允许UDP(用户数据报协议)端口67和68(表示DHCP)的匹配,所以将DHCP消息转发直到OpenFlow控制器(OFC)和PGW-C的该能力已经是可能的。
然而,如上文已经指示的,将所有DHCP消息发送直到SDN控制器引起安全性担忧,因为SDN控制器可能被DoS攻击溢流。
因此,根据本发明的一些示例版本,建议了以下措施。
DHCPv4
不是完全节流全部GTP-U业务,而是建议分别对正常的GTP-U有效载荷和用户平面中携带的DHCP业务应用扫描,如果UE在PCO(协议配置选项)内在创建会话请求消息或“PDN连接性”消息中经由DHCPv4请求了IPv4地址分配的话,如在3GPP TS 29.274中定义的,其中建议PGW-C/SDN-C(软件定义联网控制器)请求DHCP/RADIUS节流。例如,如果PCO附加参数列表包含000BH(经由DHCPv4的IPv4地址分配),则UE意图在GTP隧道建立之后经由GTP-U有效载荷自己分配其IPv4地址,并且在这种情况下,SDN控制器/PGW-C可能使其自己暴露于安全性风险,其中UE可能可以用高频率发送的DHCPv4消息使SDN控制器溢流(例如,经由OPenFLow或Forces)。
因此,对PCO进行评估,并且仅在UE经由PCO中的DHCPv4或NAS(非接入层)中的IPv6请求IP地址分配的情况下,PGW-C SDN控制器才对IP地址和租用时间感兴趣,并且通过经由被发送直到PGW-C/SDN控制器的UE信令来通知而创建安全性风险。
要注意的是,如LTE/4G中定义的PGW-C又仅是示例,并且3G中的与PGW对应的功能是GGSN。PGW经由S5/S8接口寻址(参考3GPP TS 29.274 GTPv2控制平面(4G)),而GGSN经由Gn接口寻址(参考3GPP TS 29.060 GTPv1控制平面(3G))。
此外,注意的是,不仅PGW和GGSN可以具有C和U平面分割,而且SGW(服务网关)也可以。这在例如3GPP TS 23.402第4.7.1章“图4.7.1-1:使用DHCP的IPv4地址分配,其中DHCP服务器与PDN GW和服务GW中的DHCP中继并置”和/或第4.7.6章“图4.7.6-1:当使用基于PMIP的S5/S8时,利用与PDN GW和服务GW中的DHCP中继并置的DHCP服务器的前缀委派”中描述。
DHCP信令消息仅在有效载荷级别上发送和评估,因为DHCP在PGW-U中分别处于IP和GTP级别上。
为此,建议定义OpenFlow协议内的替代动作并用信号通知用户平面。
PGW-C将用于所讨论(如例如利用PCO的评估)的GTP隧道的MOD-Flow或ADD-FLOW发送给OFC控制器,其中具有针对DHCP/BOOTP协议的BOOTREQUEST/BOOTREPLY的新的附加动作。
OF控制器将其转发给对应的增强型OpenFlow交换机(PGW-U)。增强型OpenFlow交换机一旦评估新的动作,则随后接收到
- DHCP发现(BOOTREQUEST),或
- DHCP提供(BOOTREPLY),或
- DHCP请求(BOOTREQUEST),或
- DHCP ack(BOOTREPLY),或
- DHCP信息(BOOTREQUEST),或
- DHCP释放(BOOTREQUEST)。
将GTP-U隧道与到多个DHCP服务器的不同分支相关
例如,PGW-U根据如与DHCP发现消息的匹配相关联的动作的要求在其范围内保持DHCP发现消息,以便操纵接收到的消息,使得其被重写为发送到DHCP服务器的传出DHCP发现消息。
例如,指令PGW-U将DHCP中继代理的IP地址插入到giaddr字段中,并将自己的新事务ID替换为DHCP发现消息的“XID”字段。在接收到(来自每个DHCP服务器的)DHCP提供消息时,PGW-U将具有在由客户端发送的DHCP发现消息中接收到的值的值的所接收的XID替换为“XID”字段。
指令PGW-U在接收到DHCP请求消息和DHCP确认消息时执行相同的动作。
如果PGW-U连接到多个DHCP服务器,则指令PGW-U将DHCP发现消息复制到若干个DHCP服务器。
由于要求OF控制器针对每个XID值动态确定朝向DHCP服务器的事务ID并且针对每个XID非常详细地指令PGW-U并不是好主意,所以PGW-U DHCP中继在U-平面上保持DHCP客户端与DHCP服务器之间的相关要好得多。为此,建议的是PGW-U创建/维护客户端的传入XID和GTP TEID的散列/映射表列表,以与对应的DHCP服务器的每个IP地址的传出XID相关。
如果这在PGW-U中未应用,则建议的是PGW-U将所述XID转发给控制器,并且控制器指令PGW-U将要通过哪个XID值替换其。然而,如前所述,这是非常耗时的并且不必要地给OF控制器带来负担。
如果DHCP消息来自客户端(即,来自GTP侧),则将要插入DHCP中继代理的IP地址(即,“OP”字段携带指示BOOTREQUEST)。
如果DHCP消息来自服务器(即,IP侧),则IP地址不被修改(即,“OP”字段携带指示BOOTREPLY)。
因此,建议以下OpenFlow匹配规则:
- XID(携带事务ID);
- giaddr(携带DHCP中继代理的IP地址);
- yiaddr(携带UE的IP地址(最近分配的));
- ciaddr(携带UE的IP地址客户端(以前分配/选择的))。
因此,发明了对于OpenFlow协议有效的以下新动作,以便能够重写DHCP消息。
OpenFlow内指定的新专有动作:
动作 | 描述 |
交换IP地址 | 相互互换/交换源和目的地IP地址的内容 |
(与PGW-U DHCP中继代理的IP地址)交换giaddr | 与自己的IP地址互换/交换giaddr的内容(如由控制器所指令的) |
(与新值)交换XID | 创建/维护并查阅新发明的内部表,其保持朝向DHCP服务器的经由散列与XIDy相关的客户端的GTP-TEID地址和XIDx |
不需要修改其他字段 |
表1:OpenFlow内指定的新动作。
建议上述新的OpenFlow动作与用于DHCP消息的接收的匹配规则相关联。
在以下示出PGW-U中的DHCP和GTP-U之间的结果所得的协议栈映射。
S5/S8 | DHCP中继代理SGi | |
DHCP (XID) | 方向客户端->服务器 | DHCP (XID, giaddr) |
XIDx | XIDy(从XIDx+TEID-GTP的散列/表映射) | |
Giaddr(DHCP中继代理的IP地址) | ||
UDP | UDP | |
IP | IP (Giaddr) | |
TEID-GTP | ||
UDP | ||
IP |
表2:从S5/S8到SGi的映射
DHCP (XID) | 方向服务器<-客户端 | DHCP (XID, giaddr) |
XID(从XIDy的解除散列/表映射) | XIDy | |
Giaddr | ||
UDP | UDP | |
IP | IP (Giaddr) | |
TEID-GTP(从XIDy的解除散列/表映射) | ||
UDP | ||
IP |
表3:从SGi到S5/S8的映射。
不是在匹配规则中列出上述原子动作,而是进一步建议将它们聚合成复合列表,其可以利用较短引用来引用到其,以便甚至节省OFC(OpenFlow控制器)和PGW-U(OpenFlow交换机)之间的openflow信令信道上的字节。
IP地址报告
此外,请求PGW-U将分配的IP地址报告给OFC和PGW-C。此外,建议由OpenFlow控制器或PGW-C请求通知,使得当分配的IP地址的租用时间期满或者IP地址的续约被拒绝或IP地址被移除时,PGW-U也将此报告给控制器。
根据3GPP TS 29.061 V12.6.0(参考第13章),由于以下条件,请求释放承载。
- a)如果DHCP租用期满;
- b)如果DHCP续约被DHCP服务器拒绝;
- c)如果IP地址在续约过程期间改变。通常当续约租用时,IP地址保持不变。然而,如果由于任何原因(例如,DHCP服务器的欠佳配置),在租用续约过程期间分配了不同的IP地址,则应释放相关联的承载。
注意:此外,分配给UE或从UE去分配的IP地址的分配和解除分配可以由来自PCEF(策略和计费执行功能)的PCRF(策略和计费规则功能)/PGW(参见3GPP TS 29.212第4.5.3和4b.5.8章)请求,使得PCRF能够向TDF(业务检测功能)通知关于对应的改变。
为了能够报告分配给UE的IP地址,建议PGW-C经由OpenFlow控制器指令PGW-U检查任何BOOTREPLY消息(即从服务器发送到客户端的)中的“ciaddr”和“yiaddr”字段二者的内容。如果“ciaddr”的内容不等于“0”,则“yiaddr”的内容将要经由OpenFlow报告给PGW-C,因为它包含租用的IP地址。
作为进一步的优化,PGW-U可以存储实际的IP地址,然后应仅报告IP地址,如果其与经由OpenFlow发送直到PGW-C的早前通知相比已经改变的话。
由DHCP服务器撤回的IP地址的报告
为了能够报告被撤回的IP地址,建议PGW-C经由OpenFlow控制器指令PGW-U检查任何BOOTREPLY消息(即从服务器发送到客户端的)中的“ciaddr”和“yiaddr”字段二者的内容。如果“yiaddr”的内容等于“0”,则如果“ciaddr”的内容也是“0”,则IP地址已经从UE撤回。在这种情况下,该事件将要经由OpenFlow报告给PGW-C,以便PGW-C决定是否应终止会话/承载。
作为进一步的优化,PGW-U可以从流表中移除对应的流,并相应地经由OpenFlow通知PGW-C。
租用定时器监督
由于某个UE客户端可能不根据DHCP规范而表现可以是可能的,所以引入附加的安全性和计费监督过程以便拒绝由UE欺骗性使用资源。一般,IP地址仅在特定的租用时间内分配给UE。在租用时间期满之前,UE应请求DHCP服务器延长会话。但是,如果UE没有针对较长的租用时间进行请求,网络应觉知并且能够终止GTP承载的使用。
为了解决该问题
a)DHCP服务器向将监督可能的滥用的OFCS(离线计费系统)和/或OCS(在线计费系统)报告租用时间,或
b)PGW-C将经由OFC指令PGW-U匹配并提取在BOOTREPLY消息的“重新绑定(T2)时间值”选项(RFC1533)中信令的租用时间,其分配了用于UE的IP地址。
此外,PGW-C请求PGW-U启动相应的定时器,在定时器上通知PGW-C关于期满,以便能够终止会话并以便避免欺骗性使用。
用于该选项(“重新绑定(T2)时间值”)的代码是59,并且其长度是4(参考RFC1533)。
代码Len T2间隔
要注意的是,PGW仅是示例,因为GGSN、BRAS(宽带远程接入服务器)、BNG(宽带网络网关)和SGSN也可以根据SDN原理而分开并且本发明由此揭示。
用于PPP等的PCO
如果PCO附加参数列表包含用于与IP PDP类型或IP PDN类型一起使用的0000H PPP,则UE意图在GTP隧道建立之后经由GTP-U有效载荷自己分配其IPv4地址,并且在这种情况下,SDN控制器PGW-C可能使其自己暴露于安全性风险,其中UE可能可以用经由PPP高频率发送的消息使SDN控制器溢流(例如,经由OPenFLow或Forces),比如例如:
- C021H(LCP);
- C023H(PAP)密码认证协议;
- C223H(CHAP)挑战握手认证协议;和
- 8021H(IPCP)IP控制协议。
例如,本文仅描述IPCP的处理。然而,不排除通过PPP的PAP CHAP、LPC的使用。无论如何,任何协议都潜在地允许UE使SDN控制器溢流,并且严重损害网络。用于解决这些威胁的方式与该应用一起提供。
IPv6CP配置选项允许在IPCP中协商合期望的IPv6参数。如果IPCP被用作NCP协议,则UE可以请求“接口标识符”配置选项。该配置选项提供了一种方式来协商唯一的64位接口标识符,以用于链路的本地端处的地址自动配置。IPv6单播地址中的接口标识符被用于标识链路上的接口。它们需要在子网前缀内是唯一的。因此,SDN控制器PGW-C对标识符感兴趣。因此,OpenFlow/ForCEs接口被增加以新的动作/机制以在“链路标识符上匹配“配置选项”,使得SDN控制器/PGW-C被通知关于“接口标识符”,而可以不将协议细节的其他方面报告直到控制平面。
DHCPv6
已经获得IPv6地址的UE可以使用无状态DHCP例如通过经由在创建会话请求的PCO附加参数列表中的NAS信令的000AH IP地址分配来请求诸如DNS(域名服务)递归名称服务器或SIP(会话发起协议)服务器的列表之类的其他配置信息。在这种情况下,SDN控制器PGW-C可能使其自己暴露于安全性风险,其中UE可能可以用比如例如信息请求消息和回复的高频率发送的DHCPv6消息使SDN控制器溢流(例如,经由OPenFLow或Forces)。为此,增强Open Flow协议,使得协议可以将比如例如REPLY消息中的IA地址选项的信息元素与信息-请求消息匹配,以便报告/针对IPv6地址进行搜索。也可能不排除路由器通告消息。
图11是图示根据没有SDN的现有技术的3GPP TS 29.061中描述的DHCP配置信号流的信令图。
在步骤S111中,将设置了O标志的路由器通告从GGSN发送到TE,以向其指示要检索其他配置信息。
在步骤S112中,TE发送信息-请求消息,其中IP目的地地址设置为DHCPv6 IETFRFC 3315中定义的所有_DHCP_中继_代理_和_服务器多播地址。源地址应是MS的链路本地地址。GGSN中的DHCP中继代理将转发该消息。
在步骤S113中,接收到所转发的信息-请求消息的DHCP服务器通过发送中继_回复消息来回复,其中“Relay消息”选项包括具有所请求的配置参数的回复消息。
此外,如在与PMIP(代理移动IP)相关的3GPP TS 23.402中所描述的,SGW也可以执行DHCP中继功能。
此外,要注意的是,在图9中,LCP、认证和IPCP协商向和从RADIUS/DHCP或L2TP协商映射。因此,建议不仅在用户平面中提供简单的DHCP中继,而且在适当的情况下取决于来自SDN控制器/PGW-C的详细指令而实现从LCP或认证或IPCP协商到RADIUS或DHCP或L2TP的映射,反之亦然。
为了节流和避免溢流,建议在从控制器发送到用户平面的OpenFlow的ADDFlow/ModFlow中向OpenFlow协议添加新的专有信息元素,比如例如“扫描DHCPv4”或“扫描DHCPv6”和“DHCP节流”。
例如,“扫描DHCP”指示应指令用户平面针对正确性并且基于“DHCP节流”指示来评估DHCP消息,用户平面在已经超过DHCP消息的某个阈值(用信号通知)的情况下不应发送(和/或减少)直到控制器的DHCP消息。当然也建议移除节流的指示。
然而,此外,还应/可以实现一种机制,通过所述机制控制器完全不受恶意DHCP信令所影响。其原理如下:
1)指定和放置新的OpenFlow协议元件,使得该/一个增加的OpenFlow控制器能够请求将GTP DHCP用户平面内容转发到基于SDN的DHCP中继代理,并且通过在PGW-U中通过在用户平面级别上的新的OpenFlow规则操纵DHCP协议内容
2)指定并放置新的OpenFlow协议元件,使得该/一个增加的OpenFlow控制器能够请求关于分配的IP地址和对应的租用时间的通知,并且被通知关于所分配的IP地址的任何/该改变。
3)无论在步骤2)中分配的IP地址可能如何被报告给PCRF(参见图5),PGW-C/OFC都应安装规则,使得现在新分配的IP地址被粘附到对应的建立的GTP隧道(在该步骤3中的该机制)被认为是现有技术,因为即使没有DHCP中继功能,在PGW-U中也已经支持这种技术)。
在这种情况下,在PGW-C/SDN控制器没有被通知关于所有DHCP消息或过滤的DHCP消息的情况下,不强烈需要扫描用户平面中的所有DHCP消息并在将消息转发给控制器之前应用节流机制。这是因为在这种情况下,如果UE以非常高的速率发送DHCP消息(因为消耗其GTP隧道的带宽以用于恶意DHCP信令),则UE可能仅影响其自己的服务,因为SDN控制器不被溢流。然而,由于用户平面在这种情况下对于DHCP信令是透明的,所以然而控制器将被保护免受频繁的IP地址(和/或租用时间指示)通知。因此,也建议引入节流IP地址(租用定时器)通知的数目的新的信息元素。
一般,注意,OpenFlow仅是示例。Forces可能是替代协议。
PGW也仅是示例,因为一般GGSN提供与PGW相同的功能。
上面的描述集中在PGW上,然而,当然可以将解决方案应用于分解的SGW和分解的eNB。原则上可以在eNB-C和SGW-C处应用相同的机制,然而,最后PGW-C也需要具有UE的IP地址,因此在PGW处再次执行相同的过程。但这意味着浪费资源,因为过程会执行两次。或者替代地,eNB-C或SGW-C将(优选地经由GTP-C协议创建会话请求或类似的某事物)发送IP地址给PGW-C。
然而,执行用于从DHCP协议中提取IP地址的相同过程。
DHCP v4仅是示例,并且DHCP v6是本发明适用的另一种协议。此外替代地,PPP和RADIUS(远程认证拨入用户服务)协议或L2TP(第二层隧道协议)是另一个示例。
例如,在接收到LCP(链路控制协议)、认证和IPCP(IP控制协议)(用于IPv4的PPPNCP(网络控制协议))协商时,将对应的信令映射到RADIUS/DHCP/L2TP(图9)(在反向方向上,反之亦然)。类似于针对普通DHCP中继功能的描述,需要保护SDN控制器/PGW-C/GGSN-C不受攻击。例如,不是所有的PPP信令都应转发给SDN控制器/PGW-C/GGSN-C。然而,应当通过也评估携带所述信息的对应协议并且检测并报告相关信息给更高层(SDN)控制器/GGSN-C来使得分配给UE的IP地址和租用时间等可用于SDN控制器/PGW-C/GGSN-C。
此外,IP地址本身再次仅是示例,用于IP地址的租用时间可能是要提取/发送给控制器的另一个示例。
替代地,不是利用OpenFlow协议的已知的“分组传入”消息(通过其整个DHCP消息被发送直到控制器),而是可以改变OpenFlow协议,使得仅IP地址(或者PGW-C可能感兴趣的任何信息元素)可以被报告给SDN控制器。然而,无论请求“分组传入”消息还是例如IP地址或“租用时间”等的报告,都应当应用节流机制。
DHCP再次可以仅是示例,不仅PGW-C而且BRAS(宽带远程接入服务器)可以是针对依赖于SDN控制器并且SDN控制器需要免受恶意UE信令的安全性保护的应用的示例(PPPoE通过以太网的PPP、RADIUS)。
控制平面中的DHCP中继
图3是图示其中未达到阈值的由PGW-C经由OpenFlow控制器指令以节流“分组传入”消息的PGW-U中的DHCP中继的示例的图。
如在图3中可以看出,当接收到其中PCO被设置为例如“经由DHCPv4的IPv4地址分配”的3GPP GTP-C(TS 29.274)创建会话请求(步骤S31)时,PGW-C经由SDN控制器指令PGW-U将由UE发送的DHCP消息的数目与OpenFlow的AddFlow或ModFlow中的例如设置为“每秒1个DHCP消息”的“DHCP节流”指示进行比较(步骤S32)。
在这种情况下,PGW-U不会将“分组传入”消息中的所有DHCP消息发送直到控制器,以便避免过载。在步骤S33(创建会话响应)之后并且在经由SGW和eNB到达UE(步骤S34)之后,UE可以发出DHCP发现消息以便获得其IP地址(步骤S35)。由于这是第一个DHCP消息,所以PGW-U在“分组传入”消息中经由SDN控制器向PGW-C报告(如所指令的)发现消息(步骤S36)。可能可以的是DHCP消息跟上SDN控制器或不这样。PGW-C或SDN控制器可以借助于OpenFlow的分组传出消息来指令(步骤S37)PGW-U发送发现消息(步骤S38)。一般,任何以后和/或响应的DHCP消息类似地处理,除非不违反阈值。
图4是图示其中达到阈值并且不存在“分组传入”消息的由PGW-C经由OpenFlow控制器指令以节流“分组传入”消息的PGW-U中的DHCP中继的示例的图。
如图4所示,在步骤S35中发送多个发现消息(或者任何其他DHCP消息,比如请求等),因而违反如由SDN控制器向PGW-U所指示的阈值。因此,这些消息被PGW-U平面丢弃,而不会影响和打扰SDN控制器。注意,图4中的步骤S31至S35对应于图3中的步骤S31至S35,并且省略对其的重复描述。
此外并且另外,还可以通过请求用户平面扫描DHCP消息(用例如“扫描DHCP”)使得忽略格式错误的消息来保护SDN控制器,因此SDN控制器不被打扰或恶意信息元素在转发给控制器之前被移除,如上文已经描述的。
用户平面中的DHCP中继
图5是图示其中未达到阈值的由PGW-C经由OpenFlow控制器指令以修改DHCP协议并向PGW-C报告分配的IP地址以用于随后使用(例如用于计费等)的PGW-U中的DHCP中继的图。
针对上文替代地,可以指令用户平面仅报告在DHCP提供中检测到的IP地址或租用时间,而不是将所有DHCP消息发送到控制器并接收来自控制器的所有DHCP消息,如图5中所描绘的。在这方面,为了在PGW-U级别上保持对应的消息,有必要的是将GTP隧道与可能的多个不同的DHCP目的地服务器相关。为了实现此,SDN控制器需要指令PGW-U在匹配可能被检测并报告给控制器之前相关。
在这种情况下,DHCP消息完全保持在用户平面中,并且在这种情况下,SDN控制器也以类似的方式受到“阈值指示”保护,因为即使在这种情况下,SDN控制器也可能被恶意行为溢流和影响,如果太频繁地通知控制器关于例如IP地址的话。
如果UE在创建会话请求消息或“PDN连接性”消息中的PCO(协议配置选项)内经由DHCPv4请求IPv4地址分配,则建议PGW-C请求在PGW-U处经由OpenFlow控制器调用DHCP中继功能。此外,PGW-C应经由OFC请求PGW-U报告IP地址的分配和解除分配(针对更多细节,参见步骤S32)。
为此,在OpenFlow协议中建议新的规则,使得用户平面能够匹配DHCP消息的内容并且对DHCP消息执行动作。
由于用于UE的DHCP中继代理应与例如GTP隧道的分配一起分配,所以用于向OFC和PGW-C报告IP地址(分配/解除分配)的请求可以优选与比如MOD-Flow或ADD-Flow的正常的SDN消息一起携带,其已经需要在应用和控制器之间交换以便设置GTP隧道和/或IP隧道等。
本文要注意的是,DHCP再次也仅是一个特定应用的一个示例,因为人们也可以想到能够从本发明获益的任何其他应用。
为了完全支持DHCP中继过程,发明了以下内容。
DHCP信令消息仅在有效载荷级别上发送和评估,因为DHCP在PGW-U中分别处于IP和GTP级别上。
如从图5中可以看出,PGW-C经由SDN控制器请求PGW-U在用户平面内执行DHCP中继功能,如在步骤S32中突显的,并且另外指令用户平面节流IP地址(和租用时间)的通知,如果超过某个阈值的话。此外,在步骤S56中,PGW-U中的DHCP中继功能将GTP-U隧道与用户平面上的一个或多个外部DHCP服务器相关,并且将可能修改的DHCP信令(以允许相关)直接转发到DHCP服务器(而不是通知控制器)。当在步骤S57中接收到来自DHCP服务器的响应时,则在步骤S58中,DHCP中继功能复制IP地址和租用时间并将其报告给控制器,如果未超过阈值的话。在步骤S58a中通知PCRF关于IP地址等。与步骤S58同时,在步骤S59中朝向UE转发DHCP信令。
注意,图5中的步骤S31至S35对应于图3中的步骤S31至S35,并且省略对其的重复描述。
如果阈值已经被超过,则通知(步骤S58)被抑制,并且步骤S59也被抑制。
注意,IP地址和租用时间仅是控制器可能感兴趣的信息的一些示例。
此外并且另外,还可以通过请求用户平面扫描DHCP消息使得忽略格式错误的消息来保护SDN控制器,因此SDN控制器不被打扰或恶意信息元素在转发给控制器之前被移除,如图3中所描绘的。
鉴于上文,根据本发明的一些示例版本,确保了网络安全性,因为SDN控制器在SDN环境中不会受到攻击。
在下文中,关于图6至8进行本发明的示例版本的更一般的描述。
图6是图示根据本发明的示例版本的方法的示例的流程图。
根据本发明的一些示例版本,该方法可以被实现在用户平面中的网络元件中或者可以是用户平面中的网络元件的一部分,所述网络元件比如例如PGW-U等。该方法包括在步骤S61中检查用户平面中的消息是否符合预先配置的规则。如果在步骤S61中确定消息符合预先配置的规则,则该方法还包括在步骤S62中检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且如果已经达到预定阈值,则在步骤S63中节流向控制器的特定信令消息的发送。
根据本发明的一些示例版本,节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。
根据本发明的一些示例版本,该方法还包括:如果尚未达到预定阈值,则将特定信令消息发送给控制器,并且如果已经达到特定阈值并且发送已经被节流,则根据来自控制器的请求恢复特定信令消息的发送。
根据本发明的一些示例版本,该方法还包括针对携带特定信息的特定信令消息进行搜索,从特定信令消息中提取特定信息,以及将所提取的特定信息发送给控制器。
根据本发明的一些示例版本,特定信令消息是根据动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP和点对点协议PPP中的一个的信令消息。
根据本发明的一些示例版本,该方法还包括经由DHCP中继或LCP/认证/IPCP协商将特定信息发送给RADIUS/DHCP/L2TP映射功能。
根据本发明的一些示例版本,特定信息是网际协议地址或网际协议地址的租用时间。
根据本发明的一些示例版本,当消息符合动态主机配置、RADIUS、L2TP或PPP协议时,用户平面中的消息符合预先配置的规则。
根据本发明的一些示例版本,控制器符合OpenFlow协议或者转发和控制元件分离协议中的一个。
图7是图示根据本发明的示例版本的方法的另一示例的流程图。
根据本发明的一些示例版本,该方法可以被实现在网络元件中或者可以是网络元件的一部分,所述网络元件比如例如PGW-C或SDN控制器等。该方法包括在步骤S71中评估针对地址分配的请求是否满足预定条件。如果在步骤S71中确定请求满足预定条件,则该方法还包括在步骤S72中使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且在步骤S73中,如果用户平面中的消息符合预先配置的规则,则使得用户平面中的所述另一网络元件节流向控制器的特定信令消息。
根据本发明的一些示例版本,节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。
根据本发明的一些示例版本,预定条件包括已经经由动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个请求了地址分配。
根据本发明的一些示例版本,地址分配是由至少是用于执行机器类型通信的设备的元件所请求的,比如用户设备或服务器等。此外,请求地址分配的元件可以是任何种类的传感器、智能可穿戴装置(衣服)、或与移动视频监督、自动驾驶、触觉互联网、机器人控制及其对应的应用对方相关的任何种类的设备,其可能驻留在云中的服务器上、在本地和/或远程、集中式或分布式数据中心中。
根据本发明的一些示例版本,预先配置的规则包括用户平面中的消息为符合动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个的消息。
根据本发明的一些示例版本,在创建会话请求消息中经由通用分组无线业务隧道协议控制平面GTP-C请求地址分配。
根据本发明的一些示例版本,在创建分组数据协议PDP上下文请求消息中经由网关通用分组无线业务支持节点GGSN请求地址分配。
根据本发明的一些示例版本,该方法还包括在协议配置选项PCO中评估是否经由DHCP、链路控制协议LCP、密码认证协议PAP、挑战握手认证协议CHAP和网际协议控制协议IPCP中的一个请求地址分配。
图8是图示根据本发明的一些示例版本的装置的示例的框图。
在图8中,示出了图示被配置为实现本发明的上述方面的装置80的配置的电路框图。要注意的是,图8中所示的装置80可以包括除下文所述的那些之外的若干个另外的元件或功能,其为了简单起见而在本文省略,因为它们对于理解本发明不是必需的。此外,装置也可以是具有类似功能的另一设备,诸如芯片组、芯片、模块等,其也可以是装置的一部分或作为单独元件附接到装置等。
装置80可以包括执行由程序等给出的指令的处理功能或处理器81,诸如CPU等。处理器81可以包括专用于如下所述的特定处理的一个或多个处理部分,或者处理可以在单个处理器中运行。例如,用于执行这样的特定处理的部分也可以作为离散元件提供,或者在一个或另外的处理器或处理部分内提供,诸如在比如CPU的一个物理处理器中或者在若干物理实体中。附图标记82表示连接到处理器81的收发器或输入/输出(I/O)单元(接口)。I/O单元82可以用于与一个或多个其他网络元件、实体、终端等进行通信。I/O单元82可以是包括朝向若干个网络元件的通信设备的组合单元,或者可以包括具有用于不同网络元件的多个不同接口的分布式结构。装置80还包括至少一个存储器83,其可用于例如存储要由处理器81执行的数据和程序和/或可用作处理器81的工作存储。
处理器81被配置为执行与上述方面有关的处理。具体地,装置80可以被实现在用户平面中的网络元件中或者可以是用户平面中的网络元件的一部分,所述网络元件比如例如PGW-U等,并且可以被配置为执行如结合图6所描述的方法。因此,处理器81被配置为执行检查用户平面中的消息是否符合预先配置的规则,并且如果确定消息符合预先配置的规则,则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且如果已经达到预定阈值,则节流向控制器的特定信令消息的发送。
根据本发明的一些示例版本,装置80可以被实现在网络元件中或者可以是网络元件的一部分,所述网络元件比如例如PGW-C或SDN控制器等,并且可以被配置为执行如结合图7所描述的方法。因此,处理器81被配置为执行评估针对地址分配的请求是否满足预定条件,如果确定请求满足预定条件,则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且如果用户平面中的消息符合预先配置的规则,则使得用户平面中的所述另一网络元件节流向控制器的特定信令消息。
针对关于装置80的功能的进一步细节,参考如结合图6和图7描述的根据本发明的一些示例版本的方法的描述。
因此,注意到,用于在用户平面中的网络元件中使用的装置和用于在网络元件中使用的装置通常具有相同的结构组件,其中这些组件被配置为分别执行网络元件的相应功能,如上文所阐述的。
在装置的前述示例描述中,使用功能块仅描述了对于理解本发明的原理相关的单元/部件。该装置可以包括分别对于其相应操作所必需的其他单元/部件。然而,在本说明书中省略了对这些单元/部件的描述。装置的功能块的布置不被解释为限制本发明,并且功能可以通过一个块来执行,或者进一步分成子块。
当在前述的描述中陈述装置(或者一些其他部件)被配置为执行某个功能时,这被解释为等同于陈述一个(即至少一个)处理器或对应电路潜在地与存储在相应装置的存储器中的计算机程序代码协作地被配置为使得装置至少执行由此提到的功能的描述。此外,这样的功能被解释为可通过用于执行相应功能的具体配置的电路或部件等效地实现(即,表达“配置为……的单元”被解释为等同于诸如“用于……的部件”的表达)。
为了如上文所述的本发明的目的,应注意的是
- 可能被实现为软件代码部分并且使用装置(作为其设备、装置和/或其模块的示例,或者作为包括用于其的装置和/或模块的实体的示例)处的处理器运行的方法步骤是软件代码无关的,并且可以使用任何已知的或将来开发的编程语言来指定,只要保留由方法步骤所定义的功能;
- 通常,任何方法步骤都适合作为软件或通过硬件来实现,而不在所实现的功能方面改变方面/实施例及其修改的思想;
- 可能被实现为上面定义的装置处的硬件组件或其任何(多个)模块(例如,执行根据如上所述的方面/实施例的装置的功能的设备)的方法步骤和/或设备、单元或部件是硬件无关的,并且可以使用任何已知的或将来开发的硬件技术或者这些的任何混合来实现,诸如MOS(金属氧化物半导体)、CMOS(互补MOS)、BiMOS(双极MOS)、BiCMOS(双极CMOS)、ECL(发射极耦合逻辑)、TTL(晶体管-晶体管逻辑)等,其使用例如ASIC(专用IC(集成电路))组件、FPGA(现场可编程门阵列)组件、CPLD(复杂可编程逻辑器件)组件或DSP(数字信号处理器)组件;
- 设备、单元或部件(例如,上面定义的装置或它们相应的单元/部件中的任何一个)可以被实现为单独的设备、单元或部件,但是这并不排除它们遍及系统以分布式方式实现,只要该设备、单元或部件的功能被保留;
- 装置可以由半导体芯片、芯片组或者包括这样的芯片或芯片组的(硬件)模块来表示;然而,这并不排除装置或模块的功能被实现为(软件)模块中的软件(诸如计算机程序或包括用于在处理器上运行/执行的可执行软件代码部分的计算机程序产品)而不是硬件实现的可能性;
- 设备可以被认为是装置,或多于一个装置的组装件,不管在功能上彼此协作还是在功能上彼此独立但是例如在相同的设备外壳中。
通常,要注意的是,根据上述方面的相应功能块或元件可以通过任何已知的方式分别以硬件和/或软件来实现,如果其仅适于执行相应部分的所描述功能。所提到的方法步骤可以在单独的功能块中或者由单独的设备来实现,或者方法步骤中的一个或多个可以在单个功能块中或者由单个设备来实现。
通常,任何方法步骤都适合作为软件或通过硬件来实现,而不改变本发明的思想。设备和部件可以被实现为单独的设备,但是这并不排除它们遍及系统以分布式方式实现,只要设备的功能被保留。这样的和类似的原理被认为对于技术人员是已知的。
本说明书的意义上的软件包括本身包括用于执行相应功能的代码部件或部分或者计算机程序或计算机程序产品的软件代码、以及体现在诸如计算机可读(存储)介质之类的在其上存储有相应的数据结构或代码部件/部分的有形介质上或潜在地在其处理期间体现在信号中或芯片中的软件(或者计算机程序或计算机程序产品)。
要注意的是,上述的方面/实施例以及一般的和具体的示例仅仅是为了说明的目的而提供的,并且决不意图将本发明限制于此。更确切地说,意图是覆盖落入所附权利要求的范围内的所有变化和修改。
Claims (21)
1.一种用于在用户平面中的网络元件中使用的方法,包括:
检查用户平面中的消息是否符合预先配置的规则,并且
如果确定消息符合预先配置的规则,
则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且
如果已经达到预定阈值,
则节流向控制器的特定信令消息的发送。
2.根据权利要求1所述的方法,其中,
节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。
3.根据权利要求2所述的方法,还包括:
如果尚未达到预定阈值,
则将特定信令消息发送给控制器,并且
如果已经达到特定阈值并且发送已经被节流,
则根据来自控制器的请求恢复特定信令消息的发送。
4.根据权利要求1至3中任一项所述的方法,还包括:
针对携带特定信息的特定信令消息进行搜索,
从特定信令消息中提取特定信息,以及
将所提取的特定信息发送给控制器。
5.根据权利要求1至4中任一项所述的方法,其中,
特定信令消息是根据动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP和点对点协议PPP中的一个的信令消息。
6.根据权利要求5所述的方法,还包括:
经由DHCP中继或LCP/认证/IPCP协商将特定信息发送给RADIUS/DHCP/L2TP映射功能,其中
特定信息是网际协议地址或网际协议地址的租用时间。
7.根据权利要求1至6中任一项所述的方法,其中,
当消息符合动态主机配置、RADIUS、L2TP或PPP协议时,用户平面中的消息符合预先配置的规则;和/或
其中所述控制器符合OpenFlow协议或者转发和控制元件分离协议中的一个。
8.一种用于在网络元件中使用的方法,包括:
评估针对地址分配的请求是否满足预定条件,
如果确定请求满足预定条件,
则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且
如果用户平面中的消息符合预先配置的规则,则使得用户平面中的所述另一网络元件节流向控制器的特定信令消息。
9.根据权利要求8所述的方法,其中,
节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。
10.根据权利要求8或9所述的方法,其中,
预定条件包括已经经由动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个请求了地址分配,以及
预先配置的规则包括用户平面中的消息为符合动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个的消息;和/或
其中在创建会话请求消息中经由通用分组无线业务隧道协议控制平面GTP-C请求地址分配;或
其中在创建分组数据协议PDP上下文请求消息中经由网关通用分组无线业务支持节点GGSN请求地址分配;和/或
所述方法还包括:
在协议配置选项PCO中评估是否经由DHCP、链路控制协议LCP、密码认证协议PAP、挑战握手认证协议CHAP和网际协议控制协议IPCP中的一个请求地址分配。
11.一种用于在用户平面中的网络元件中使用的装置,包括:
至少一个处理器,
和
至少一个存储器,用于存储要由处理器执行的指令,其中,
所述至少一个存储器和所述指令被配置为利用所述至少一个处理器使得所述装置至少执行:
检查用户平面中的消息是否符合预先配置的规则,并且
如果确定消息符合预先配置的规则,
则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且
如果已经达到预定阈值,
则节流向控制器的特定信令消息的发送。
12.根据权利要求11所述的装置,其中,
节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。
13.根据权利要求12所述的装置,其中所述至少一个存储器和所述指令还被配置为利用所述至少一个处理器使得所述装置至少执行:
如果尚未达到预定阈值,
则将特定信令消息发送给控制器,并且
如果已经达到特定阈值并且发送已经被节流,
则根据来自控制器的请求恢复特定信令消息的发送。
14.根据权利要求11至13中任一项所述的装置,其中所述至少一个存储器和所述指令还被配置为利用所述至少一个处理器使得所述装置至少执行:
针对携带特定信息的特定信令消息进行搜索,
从特定信令消息中提取特定信息,以及
将所提取的特定信息发送给控制器。
15.根据权利要求11至14中任一项所述的装置,其中,
特定信令消息是根据动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP和点对点协议PPP中的一个的信令消息。
16.根据权利要求15所述的装置,其中所述至少一个存储器和所述指令还被配置为利用所述至少一个处理器使得所述装置至少执行:
经由DHCP中继或LCP/认证/IPCP协商将特定信息发送给RADIUS/DHCP/L2TP映射功能,其中
特定信息是网际协议地址或网际协议地址的租用时间。
17.根据权利要求11至16中任一项所述的装置,其中,
当消息符合动态主机配置、RADIUS、L2TP或PPP协议时,用户平面中的消息符合预先配置的规则;和/或
其中所述控制器符合OpenFlow协议或者转发和控制元件分离协议中的一个。
18.一种用于在网络元件中使用的装置,包括:
至少一个处理器,
和
至少一个存储器,用于存储要由处理器执行的指令,其中,
所述至少一个存储器和所述指令被配置为利用所述至少一个处理器使得所述装置至少执行:
评估针对地址分配的请求是否满足预定条件,
如果确定请求满足预定条件,
则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且
如果用户平面中的消息符合预先配置的规则,则引起针对用户平面中的所述另一网络元件的用于节流向控制器的特定信令消息的指示。
19.根据权利要求18所述的装置,其中,
节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。
20.根据权利要求18或19所述的装置,其中,
预定条件包括已经经由动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个请求了地址分配,以及
预先配置的规则包括用户平面中的消息为符合动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个的消息;和/或
其中在创建会话请求消息中经由通用分组无线业务隧道协议控制平面GTP-C请求地址分配;或
其中在创建分组数据协议PDP上下文请求消息中经由网关通用分组无线业务支持节点GGSN请求地址分配;和/或
其中所述至少一个存储器和所述指令还被配置为利用所述至少一个处理器使得所述装置至少执行:
在协议配置选项PCO中评估是否经由DHCP、链路控制协议LCP、密码认证协议PAP、挑战握手认证协议CHAP和网际协议控制协议IPCP中的一个请求地址分配。
21.一种包括用于处理设备的程序的计算机程序产品,包括用于当所述程序在所述处理设备上运行时执行权利要求1至10中任一项的方法的软件代码部分。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP15171343 | 2015-06-10 | ||
EP15171343.5A EP3104563B1 (en) | 2015-06-10 | 2015-06-10 | Sdn security |
PCT/EP2016/063274 WO2016198586A1 (en) | 2015-06-10 | 2016-06-10 | Sdn security |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107925626A true CN107925626A (zh) | 2018-04-17 |
CN107925626B CN107925626B (zh) | 2020-11-20 |
Family
ID=53442509
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680046998.6A Active CN107925626B (zh) | 2015-06-10 | 2016-06-10 | 用于在网络元件中使用的方法和装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US10547639B2 (zh) |
EP (1) | EP3104563B1 (zh) |
JP (1) | JP6532963B2 (zh) |
KR (1) | KR102114603B1 (zh) |
CN (1) | CN107925626B (zh) |
WO (1) | WO2016198586A1 (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105338125B (zh) * | 2014-06-25 | 2019-11-05 | 华为技术有限公司 | 报文处理方法及装置 |
US10241691B2 (en) | 2014-11-04 | 2019-03-26 | Rubrik, Inc. | Data management system |
EP3402305B1 (en) * | 2016-01-19 | 2020-04-29 | Huawei Technologies Co., Ltd. | Method and device for allocating ip address |
US11546266B2 (en) * | 2016-12-15 | 2023-01-03 | Arbor Networks, Inc. | Correlating discarded network traffic with network policy events through augmented flow |
CN107396350B (zh) * | 2017-07-12 | 2021-04-27 | 西安电子科技大学 | 基于sdn-5g网络架构的sdn组件间安全保护方法 |
US11334438B2 (en) | 2017-10-10 | 2022-05-17 | Rubrik, Inc. | Incremental file system backup using a pseudo-virtual disk |
US11372729B2 (en) * | 2017-11-29 | 2022-06-28 | Rubrik, Inc. | In-place cloud instance restore |
WO2019228832A1 (en) * | 2018-06-01 | 2019-12-05 | Nokia Technologies Oy | A method for message filtering in an edge node based on data analytics |
CN111182657B (zh) * | 2018-11-09 | 2023-09-22 | 中兴通讯股份有限公司 | 一种隧道协商建立方法及装置 |
US10938632B2 (en) | 2018-12-28 | 2021-03-02 | Vmware, Inc. | Query failure diagnosis in software-defined networking (SDN) environments |
US11005745B2 (en) * | 2018-12-28 | 2021-05-11 | Vmware, Inc. | Network configuration failure diagnosis in software-defined networking (SDN) environments |
US11503471B2 (en) * | 2019-03-25 | 2022-11-15 | Fortinet, Inc. | Mitigation of DDoS attacks on mobile networks using DDoS detection engine deployed in relation to an evolve node B |
US11509686B2 (en) | 2019-05-14 | 2022-11-22 | Vmware, Inc. | DHCP-communications monitoring by a network controller in software defined network environments |
CN110769482B (zh) * | 2019-09-16 | 2022-03-01 | 浙江大华技术股份有限公司 | 无线设备进行网络连接的方法、装置和无线路由器设备 |
EP4052442A1 (en) * | 2019-10-30 | 2022-09-07 | Telefonaktiebolaget LM Ericsson (publ) | In-band protocol-based in-network computation offload framework |
CN113055191B (zh) * | 2019-12-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种转发方法、装置、宽带远程接入服务器的转发面 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130125124A1 (en) * | 2011-09-30 | 2013-05-16 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing |
CN103384279A (zh) * | 2012-05-02 | 2013-11-06 | 中兴通讯股份有限公司 | 地址分配方法和装置 |
CN104160735A (zh) * | 2013-02-21 | 2014-11-19 | 华为技术有限公司 | 发报文处理方法、转发器、报文处理设备、报文处理系统 |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4501310B2 (ja) * | 2001-05-28 | 2010-07-14 | 株式会社日立製作所 | パケット転送装置 |
US20020196743A1 (en) * | 2001-06-20 | 2002-12-26 | Sebastian Thalanany | Apparatus and method for enhancing performance in a packet data system |
US7032034B1 (en) * | 2002-01-31 | 2006-04-18 | Cisco Technology, Inc. | Method and apparatus for simulating large scalable networks |
US7024687B2 (en) * | 2003-05-21 | 2006-04-04 | Cisco Technology, Inc. | System and method for providing end to end authentication in a network environment |
EP1507373B1 (en) * | 2003-08-15 | 2006-04-19 | M-Stack Limited | Determining uplink ciphering activation time in UMTS user equipment |
US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
KR100548134B1 (ko) * | 2003-10-31 | 2006-02-02 | 삼성전자주식회사 | 무선 네트워크 환경에서의 tcp의 데이터 전송효율을향상시킬 수 있는 통신시스템 및 그 방법 |
US8230067B2 (en) * | 2003-10-31 | 2012-07-24 | Ericsson Ab | DHCP proxy in a subscriber environment |
US20050122973A1 (en) * | 2003-12-09 | 2005-06-09 | Samsung Electronics Co., Ltd. | Network node capable of restricting a packet receiving activity during packet congestion and method thereof |
JP2005175866A (ja) * | 2003-12-11 | 2005-06-30 | Hitachi Communication Technologies Ltd | ネットワーク統計情報サービスシステムおよびインターネットアクセスサーバ |
US20050128945A1 (en) * | 2003-12-11 | 2005-06-16 | Chen-Chi Kuo | Preventing a packet associated with a blocked port from being placed in a transmit buffer |
US20050147095A1 (en) * | 2003-12-30 | 2005-07-07 | Intel Corporation | IP multicast packet burst absorption and multithreaded replication architecture |
JP4323355B2 (ja) * | 2004-03-22 | 2009-09-02 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置 |
US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
US7483996B2 (en) * | 2004-11-29 | 2009-01-27 | Cisco Technology, Inc. | Techniques for migrating a point to point protocol to a protocol for an access network |
US20070140121A1 (en) * | 2005-12-21 | 2007-06-21 | Chris Bowman | Method of preventing denial of service attacks in a network |
US7684394B1 (en) * | 2006-05-01 | 2010-03-23 | Sun Microsystems, Inc. | System and method for increasing host visibility in network address translation environments |
JP4734223B2 (ja) * | 2006-11-29 | 2011-07-27 | アラクサラネットワークス株式会社 | トラヒック分析装置および分析方法 |
US8059532B2 (en) * | 2007-06-21 | 2011-11-15 | Packeteer, Inc. | Data and control plane architecture including server-side triggered flow policy mechanism |
US7911948B2 (en) * | 2007-10-17 | 2011-03-22 | Viasat, Inc. | Methods and systems for performing TCP throttle |
JP5094593B2 (ja) * | 2008-06-27 | 2012-12-12 | キヤノン株式会社 | 送信装置、受信装置、及び方法、プログラム |
US20120110665A1 (en) * | 2010-10-29 | 2012-05-03 | International Business Machines Corporation | Intrusion Detection Within a Distributed Processing System |
US9148776B1 (en) * | 2011-09-28 | 2015-09-29 | Pulse Secure, Llc | Network address preservation in mobile networks |
US9304801B2 (en) | 2012-06-12 | 2016-04-05 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic enforcement layer for cloud security using SDN |
US9203689B2 (en) * | 2012-10-26 | 2015-12-01 | International Business Machines Corporation | Differential dynamic host configuration protocol lease allocation |
CN104813288B (zh) | 2012-11-27 | 2018-01-12 | 瑞典爱立信有限公司 | 用于在启用openflow的云计算中使用mpls时分离租户特定数据的装置和方法 |
US9071576B1 (en) * | 2013-03-12 | 2015-06-30 | Sprint Communications Comapny L.P. | Application rate limiting without overhead |
US20150089566A1 (en) | 2013-09-24 | 2015-03-26 | Radware, Ltd. | Escalation security method for use in software defined networks |
KR102118687B1 (ko) * | 2013-11-15 | 2020-06-03 | 삼성전자주식회사 | SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치 |
US9722926B2 (en) * | 2014-01-23 | 2017-08-01 | InMon Corp. | Method and system of large flow control in communication networks |
US10476804B2 (en) * | 2014-03-17 | 2019-11-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Congestion level configuration for radio access network congestion handling |
US10630642B2 (en) * | 2017-10-06 | 2020-04-21 | Stealthpath, Inc. | Methods for internet communication security |
-
2015
- 2015-06-10 EP EP15171343.5A patent/EP3104563B1/en active Active
-
2016
- 2016-06-10 CN CN201680046998.6A patent/CN107925626B/zh active Active
- 2016-06-10 WO PCT/EP2016/063274 patent/WO2016198586A1/en active Application Filing
- 2016-06-10 JP JP2017564420A patent/JP6532963B2/ja active Active
- 2016-06-10 US US15/580,327 patent/US10547639B2/en active Active
- 2016-06-10 KR KR1020187000760A patent/KR102114603B1/ko active IP Right Grant
-
2019
- 2019-10-02 US US16/590,485 patent/US11140080B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130125124A1 (en) * | 2011-09-30 | 2013-05-16 | Telefonaktiebolaget L M Ericsson (Publ) | Apparatus and method for segregating tenant specific data when using mpls in openflow-enabled cloud computing |
CN103384279A (zh) * | 2012-05-02 | 2013-11-06 | 中兴通讯股份有限公司 | 地址分配方法和装置 |
CN104160735A (zh) * | 2013-02-21 | 2014-11-19 | 华为技术有限公司 | 发报文处理方法、转发器、报文处理设备、报文处理系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3104563B1 (en) | 2019-10-16 |
WO2016198586A1 (en) | 2016-12-15 |
US20200036753A1 (en) | 2020-01-30 |
JP6532963B2 (ja) | 2019-06-19 |
KR102114603B1 (ko) | 2020-05-25 |
JP2018521573A (ja) | 2018-08-02 |
US10547639B2 (en) | 2020-01-28 |
US11140080B2 (en) | 2021-10-05 |
US20180302439A1 (en) | 2018-10-18 |
EP3104563A1 (en) | 2016-12-14 |
CN107925626B (zh) | 2020-11-20 |
KR20180017120A (ko) | 2018-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107925626A (zh) | Sdn安全性 | |
US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
EP2819363B1 (en) | Method, device and system for providing network traversing service | |
CN105471596A (zh) | 网络管理的方法和装置 | |
US20140328161A1 (en) | Enhancing a mobile backup channel to address a node failure in a wireline network | |
CN112584393B (zh) | 一种基站配置方法、装置、设备及介质 | |
JP5987122B2 (ja) | デバイス固有のトラフィックフローステアリングのためのネットワークアドレス変換されたデバイスの特定 | |
CN104335553A (zh) | 用于分布式网关的集中式ip地址管理 | |
EP3758294B1 (en) | Link configuration method and controller | |
US10069904B2 (en) | IP routing pool distribution among forwarding elements in SDN service core deployment | |
US11337084B2 (en) | Control apparatus for gateway in mobile communication system | |
CN108737585A (zh) | Ip地址的分配方法及装置 | |
US20190297655A1 (en) | Local break-out in mobile ip networks | |
Cunha et al. | Policy-driven vCPE through dynamic network service function chaining | |
KR101712922B1 (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 | |
CN117378175A (zh) | 用于建立双层pdu会话的系统和方法 | |
CN117544450A (zh) | 作为动态主机配置协议服务器的宽带网络网关 | |
Colitti et al. | RFC 7934: Host Address Availability Recommendations | |
KR20170140051A (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |