WO2013063795A1 - 用户设备下线的处理方法、装置和网络系统 - Google Patents

Abstract

本发明提供一种用户设备下线的处理方法，涉及通信领域，能够避免对用户的恶性计费，所述方法包括：确定用户设备下线；向防火墙发送所述用户设备的下线信息，所述下线信息中携带有所述用户设备的会话资源指示信息，以使所述防火墙根据所述下线信息中的会话资源指示信息，查找并删除所述用户设备对应的会话资源。本发明还提供一种网络装置、防火墙和网络系统。

Description

用户设备下线的处理方法、 装置和网络系统 技术领域 本发明涉及通信领域, 尤其涉及用户设备下线的处理方法、 装置和 网络系统。 背景技术

在 3G(3rd-generation,第三代移动通信）核心网中，分组域通过 GGSN ( Gateway GPRS support node, 网关通用分组无线服务支持节点）与外部 的公网相连， GGSN通过 Gi口连接至外部公网。 然而， 公网是一个非安 全网络， 几乎所有的恶意入侵与攻击类型都可能存在， 因此 Gi口面临攻 击的危险。 攻击的目标可能是 Gi域设备， 也可能是用户设备。 特别是面 向无连接的报文攻击， 这些攻击报文既消耗了用户设备和网络的资源， 又迫使用户为攻击流量付费， 造成对用户的"恶性计费"。

当前 3G核心网的安全问题主要依赖于 Gi侧的防火墙， 通过防火墙 将不符合规则的攻击报文拦截， 而对符合规则的报文直接放行。 同时 Gi

Protocol, 因特网协议） 对应的会话资源， 通过此方式来间接的获知用户 的业务访问情况， 从而及时隔断网络侧发来的报文以增强安全性。

虽然防火墙通过老化机制能及时释放该 IP对应的会话资源， 但是如 果有下行数据持续不断的从网络侧发往终端用户设备， 防火墙会被认为 用户设备一直在进行业务，这样防火墙上该 IP对应的会话资源就不会通 过老化机制释放， 如果这些报文是 "合法" 的攻击报文， 那么会被防火 墙误认为是"正常的报文"直接透传到 GGSN上。 此时 GGSN上对应该 IP 的用户设备如果已下线，且把该 IP地址重新分配给了新上线的用户设备， 那么这些攻击报文会由 GGSN直接路由到新的用户设备， 造成对使用新 用户设备的用户的恶性计费， 影响用户体验。 发明内容 本发明的实施例提供用户设备下线的处理方法、 装置和网络系统， 能够避免对用户的恶性计费。

一方面， 提供一种用户设备下线的处理方法， 包括： 确定用户设备下线；

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备的会话资源指示信息， 以使所述防火墙根据所述下线信息中 的会话资源指示信息， 查找并删除所述用户设备对应的会话资源。 另一方面， 提供一种用户设备下线的处理方法， 包括：

接收用户设备的下线信息， 所述下线信息中携带有所述用户设备的 会话资源指示信息； 根据所述下线信息中的会话资源指示信息， 查找并删除所述用户设 备对应的会话资源。 另一方面， 提供一种网络装置， 包括：

确定单元， 用于确定用户设备下线；

发送单元， 用于在所述确定单元确定用户设备下线时， 向防火墙发 送所述用户设备的下线信息， 所述下线信息中携带有所述用户设备的会 话资源指示信息， 以使所述防火墙根据所述下线信息中的会话资源指示 信息， 查找并删除所述用户设备对应的会话资源。

另一方面， 提供一种防火墙， 包括：

接收单元， 用于接收用户设备的下线信息， 所述下线信息中携带有 所述用户设备的会话资源指示信息；

处理单元， 用于根据所述接收单元接收的所述下线信息中的会话资 源指示信息， 查找并删除所述用户设备对应的会话资源。 另一方面， 提供一种网络系统， 所述网络系统包括本发明实施例提 供的网络装置和防火墙。 本发明实施例提供的用户设备下线的处理方法、 网络装置、 防火墙 和网络装置， 在用户设备下线时， 网络装置将携带会话资源指示信息的 用户设备下线信息发送给防火墙， 由防火墙根据所述下线信息中的会话 资源指示信息， 查找并删除所述用户设备对应的会话资源， 这样一来， 在所述用户设备下线后， 由于所述用户设备对应的会话资源已被删除， 防火墙上没有所述用户设备对应的会话资源， 因而， 针对所述用户设备 的攻击报文将被防火墙拦截， 这样， 一方面可以有效减少对网络资源的 消耗， 另一方面， 后续重复使用所述用户设备会话资源的新用户设备不 会接收到所述攻击报文， 可避免对使用所述新用户设备的用户的恶性计 费， 大大提升了用户体验。 附图说明

对实施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见 地， 下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技 术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得 其他的附图。 图 1是应用本发明实施例提供的用户设备下线的处理方法的网络系 统的结构示意图；

图 2A 是本发明实施例提供的用户设备下线的处理方法的一种流程 图；

图 2B 是本发明实施例提供的用户设备下线的处理方法的另一种流 程图；

图 3 是本发明实施例提供的用户设备下线的处理方法的具体流程 图；

图 4是本发明实施例提供的网络装置的结构框图； 图 5是本发明实施例提供的防火墙的结构框图； 图 6是本发明实施例提供的网络系统的结构框图。 具体实施方式 下面将结合本发明实施例中的附图， 对本发明实施例的技术方案进 行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明的一部分实 施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术 人员在没有做出创造性劳动的前提下所获得的所有其它实施例， 都属于 本发明保护的范围。

为更好地理解本发明， 首先对应用本发明实施例提供的用户设备下 线的处理方法的网络系统进行简要说明。 图 1 为应用本发明实施例提供的用户设备下线的处理方法的网络系 统的一种结构示意图。 如图 1 所示， 该网络系统包括： 用户设备、 防火 墙、 用户设备和防火墙二者之间的中间网络装置， 例如 GGSN 和 SGSN(Serving GPRS support node, 通用分组无线服务业务支撑节点）。

其中， GGSN对内负责 Gn网络的传输， 对外是一台因特网路由器。 由于 GGSN作为移动网络中最接近用户应用的网络装置， 可接触到用户 信息， 加上本身已是移动网络计费机制中的重要网络装置， 所以一般运 营商釆用在 GGSN上实施计费功能， GGSN根据配置的用户计费策略（时 长， 流量， 内容计费） ， 在用户进行业务期间， 记录用户的业务流量信 息， 生成对应的话单， 上报给 CG ( Charging Gateway, 计费网关） ， 最 终由 BOSS ( Business and Operation Support System, 业务运营支撑系统） 系统生成最终的话单。 防火墙用于对进出网络的数据包进行选择性过滤， 只有符合防火墙 上预设规则的数据包才能进入用户设备。

在用户设备需要访问外网时， 用户设备发出的数据流会依次经过 SGSN、 GGSN和防火墙而进入因特网。 之后， 从因特网返回的数据在经 过防火墙时会被防火墙过滤掉不符合规则的数据包， 数据包到达 GGSN , 由 GGSN实施计费， 最终经由 SGSN到达用户设备实现网络访问。

图 2A 是本发明实施例提供的用户设备下线的处理方法的一种流程 图。 本实施例提供的用户设备下线的处理方法， 基于 GGSN, 当然， 还 可以基于上述网络系统中位于用户设备与防火墙之间的其他网络装置， 本发明对此不做限定， 仅以 GGSN为例进行说明， 如图 2A所示， 本实施 例包括：

S 11 , 确定用户设备下线；

具体方式可为， 举例而言， 若在默认的时间段内 GGSN没有收到针 对所述用户设备的 4艮文， 即可确定所述用户设备下线。 或者， 在 GGSN 接收到所述用户设备的下线请求消息后， 确定所述用户设备下线。

S 12, 向防火墙发送所述用户设备的下线信息， 所述下线信息中携带 有所述用户设备的会话资源指示信息， 以使所述防火墙根据所述下线信 息中的会话资源指示信息， 查找并删除所述用户设备对应的会话资源。

所述会话资源是指所述用户设备在网络访问过程中， 即在与因特网 建立通信时所涉及到的各网络装置上对应的资源， 其中， 在不同的网络 装置中会话资源的具体内容可不相同， 举例而言， 在防火墙上， 会话资 源具体包括， 业务控制策略、 报文的源地址、 报文的目的地址等。 用户 设备上的会话资源可包括， 手机号、 用户使用的 IP地址、 该 IP地址对应 的 VPN ( Virtual Private Network, 虚拟专用网 ) 信息等。 所述会话资源指示信息是指示会话资源的标识， 防火墙可根据所述 用户设备的会话资源指示信息找到所述用户设备对应的会话资源。

本实施例的用户设备下线的处理方法， 在 GGSN确定用户设备下线 后， GGSN将携带会话资源指示信息的用户设备下线信息发送给防火墙 , 以使防火墙根据所述下线信息中的会话资源指示信息， 查找并删除所述 用户设备对应的会话资源， 这样一来， 在用户设备下线后， 由于所述用 户设备对应的会话资源已被删除， 防火墙上没有所述用户设备对应的会 话资源， 因而， 针对所述用户设备的攻击报文将被防火墙拦截， 这样， 一方面可以有效减少对网络资源 （如带宽） 的消耗， 另一方面， 后续重 复使用所述用户设备会话资源的新用户设备不会接收到所述攻击报文， 可避免对使用所述新用户设备的用户的恶性计费， 大大提升了用户体验。

可选地， 在本发明的一实施例中， 所述会话资源指示信息可包括所 述用户设备所使用的 IP地址。 即， S12中所述向防火墙发送所述用户设 备的下线信息， 所述下线信息中携带有所述用户设备的会话资源指示信 息可具体包括：

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的 IP地址。 需要说明的是， 用户业务实现对应组网属于某一个 IP网络（可理解 为一个大的局域网） ， 处于此 IP网络中的用户设备在进行业务时， 由于 IP地址可唯一地表示用户设备， 进而防火墙根据 IP地址信息即可查找到 用户设备对应的会话资源。 因而， 所述会话资源指示信息包含 IP地址信 息即可查找到会话资源。

然而， 在多个 IP 网络共存的环境中， 由于不同 IP 网络中的多个用 户设备的 IP地址可能相同，因而，用 IP地址已无法唯一地表示用户设备， 但通过 VPN信息可唯一地确定 IP网络，即通过 IP地址和 VPN信息相结 合可唯一地表示用户设备。 因而， 可选地， 在本发明的另一实施例中， 所述会话资源指示信息可包括所述用户设备所使用的 IP地址和 VPN信 息， 即： S12中所述向防火墙发送所述用户设备的下线信息， 所述下线信 息中携带有所述用户设备的会话资源指示信息可具体包括： 向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的 IP地址和 VPN信息。

如此， 在向防火墙发送所述用户设备的下线信息时， 通过在所述下 线信息中携带有所述用户设备所使用的 IP地址或携带 IP地址和 VPN信 息二者， 即可使防火墙根据所述用户设备所使用的 IP地址或 IP地址和 VPN信息二者查找到所述用户设备对应的会话资源并及时删除。

具体地， S12 中所述向防火墙发送所述用户设备的下线信息可具体 包括：

通过 RADIUS(Remote Authentication Dial In User Service, 远程用户 拨号认证系统)协议消息或预定义消息向防火墙发送所述用户设备的下线 信息。

由于目前的防火墙一般都支持 RADIUS 协议， 因而， 可直接通过 RADIUS 协议消息向防火墙发送所述用户设备的下线信息。 具体地， 可 通过 RADIUS计费消息向防火墙发送所述用户设备的下线信息。 或者， 可通过其他预定义消息向防火墙发送所述用户设备的下线信息。 所述预 定义消息是指， 通信双方釆用彼此都支持的通信协议来相互通信的消息， 包括通信双方的私有消息。 该预定义消息中包含的信息能够在接收方找 到对应的会话资源。

相应地， 如图 2B所示， 本发明实施例还提供一种用户设备下线的处 理方法的另一种流程图， 基于防火墙， 包括：

521 , 接收用户设备的下线信息， 所述下线信息中携带有所述用户设 备的会话资源指示信息；

522, 根据所述下线信息中的会话资源指示信息， 查找并删除所述用 户设备对应的会话资源。 本实施例通过在用户设备下线时， 将携带会话资源指示信息的用户 设备下线信息发送给防火墙， 由防火墙根据所述下线信息中的会话资源 指示信息， 查找并删除所述用户设备对应的会话资源， 这样一来， 在用 户设备下线后， 由于所述用户设备对应的会话资源已被删除， 防火墙上 没有所述用户设备对应的会话资源， 因而， 针对所述用户设备的攻击报 文将被防火墙拦截， 这样， 一方面可以有效减少对网络资源 （如带宽） 的消耗， 另一方面， 后续重复使用所述用户设备会话资源的新用户设备 不会接收到所述攻击报文， 可避免对使用所述新用户设备的用户的恶性 计费， 大大提升了用户体验。

可选地， 在本发明的一实施例中， 所述会话资源指示信息可包括所 述用户设备所使用的 IP地址。 S22中所述根据所述下线信息中的会话资 源指示信息， 查找并删除所述用户设备对应的会话资源包括： 根据所述用户设备所使用的因特网协议 IP地址， 查找并删除所述用 户设备对应的会话资源。 或者， 可选地， 在本发明的另一实施例中， 所述会话资源指示信息 可包括所述用户设备所使用的 IP地址和 VPN信息。所述根据所述下线信 息中的会话资源指示信息， 查找并删除所述用户设备对应的会话资源包 括：

根据所述用户设备所使用的 IP地址和 VPN信息， 查找并删除所述 用户设备对应的会话资源。

具体地， S22中所述接收用户设备的下线信息包括： 接收通过 RADIUS协议消息或预定义消息发送的所述用户设备的下 线信息。 为更好地理解本发明实施例提供的用户设备下线的处理方法的技术 方案， 下面通过具体实施例来进行进一步的详细说明。 需要说明的是， 本发明中所提及的用户设备可为手机、 个人数字助 理、 掌上电脑等。 以下具体实施例中以用户设备为手机的情况来说明。 如图 3所示， 本实施例提供的用户设备下线的处理方法包括：

531 , 手机发出上网请求， GGSN向所述手机分配 IP地址。 手机在需要进行上网时， 会首先向 SGSN发出上网请求。 SGSN在 收到所述手机的上网请求后， 首先会发送应答请求 （ECHO Request ) 以 此来探测其与 GGSN的联通性， 在收到 GGSN回复后， 即在保证 SGSN 与 GGSN正常联通后， SGSN会发出请求建立隧道的 PDP ( Package Data Protocol, 分组数据协议）请求报文， 该 PDP请求报文在请求隧道建立时 会携带协商的属性，如果 GGSN同意隧道建立，则 GGSN会发送一个 PDP 响应报文， 在该 PDP响应报文中携带有分给所述手机的 IP地址， 此时隧 道建立。 所述手机发送出的上网数据通过基站接入 SGSN后就会被封装 到所述 IP地址的隧道中， 经过 GGSN转发出去。

532, 防火墙接收所述手机的上线消息， 建立与所述手机对应的会话 资源， 所述手机实现上网。

上网数据在经过 Gi侧的防火墙时， 即防火墙在接收到所述手机的上 线消息时， 由于所述手机的上线消息中包含有所述手机所使用的 IP地址 和 VPN信息等信息， 因而防火墙会根据所述手机的上线信息， 触发建立 与所述手机对应的会话资源， 所述会话资源包括相应的业务控制策略。 所述业务控制策略会设定数据流通过的规则， 只有符合规则的下行数据 才能通过防火墙， 从而到达所述手机上。 从因特网返回的下行数据， 在到达防火墙时， 即防火墙在接收到返 回的数据时， 由于返回的数据中携带有所述手机的 IP地址， 防火墙上已 存在与此 IP地址对应的业务控制策略， 因而防火墙会将满足对应业务控 制策略的下行数据通过， 从而到达 GGSN。 在用户下行数据到达 GGSN后， GGSN会根据该用户的数据中所携 带的所述 IP地址来查找内部路由策略， 通过对应的 SGSN转发到所述手 机上， 从而实现上网。 533 , GGSN确定所述手机下线， 通过 RADIUS计费消息向防火墙发 出所述手机的下线信息， 所述 RADIUS计费消息中包含但不限于有所述 手机的 IP地址和 VPN信息。 若 GGSN在默认的时间段内没有收到针对所述用户设备的报文， 或 者， GGSN接收到所述用户设备的下线请求消息后， GGSN确定所述用户 设备下线。 GGSN通过 RADIUS计费消息向防火墙发出所述手机的下线 信息以通知防火墙所述手机下线， 并释放其上相应的会话资源。 其中， 所述下线信息中携带有所述手机的会话资源指示信息， 所述会话资源指 示信息具体包括但不限于手机所使用的 IP地址或手机所使用的 IP地址和 VPN信息。

其中 , RADIUS计费消息为 RADIUS协议消息的一种。 目前通信级 防火墙大多支持对知名协议的解析， 由于 RADIUS计费在现网部署中被 广泛的使用， 因而， 可以将 RADIUS计费消息作为 GGSN和防火墙间联 动时的交互消息。 即， GGSN可通过 RADIUS协议消息（具体为 RADIUS 计费消息） 将所述手机的下线信息发送至防火墙。 当然， 只要 GGSN与 防火墙之间能够进行通信， 也可通过其他预定义消息将所述手机的下线 信息发送至防火墙。

534, 防火墙接收所述手机的下线信息， 根据所述手机的 IP地址和 VPN信息， 查找并删除相应会话资源。

防火墙在接收到所述手机的下线信息之后， 即获知所述手机下线之 后，根据所述手机下线信息中的 IP地址和 VPN信息等， 查找并删除所述 手机在防火墙上对应的会话资源， 包括删除防火墙上的业务控制策略。 如此一来，当有针对所述 IP地址的攻击报文从网络侧发出到达防火墙时， 由于防火墙上没有所述 IP地址对应的业务控制策略， 攻击报文将直接被 防火墙阻塞。

535 , 新手机上线并重新使用所述下线的手机的 IP地址， 防火墙新 建对应的会话资源。

当新手机上线重新使用所述 IP地址时， 防火墙接收新手机的上线信 息， 所述新手机的上线信息中也包含有所述下线的手机的 IP地址。 防火 墙在获知新手机上线后， 根据所述新手机的上线信息， 新建对应的会话 资源以进行正常通信。 这样， 当有针对所述 IP地址的攻击报文再次从原 网络侧发出到达防火墙时， 由于防火墙上允许所述攻击报文通过的业务 控制策略已被删除， 所述攻击报文将直接被防火墙阻塞， 新手机并不会 接收到所述攻击报文。 因而， 在原有手机下线后， 新手机只要不主动访 问所述攻击报文所在服务器， 防火墙就不会建立允许攻击报文进入的业 务控制策略， 相应地， 新手机也就不会受到攻击， 更不会被恶性计费， 如此， 既减少了网络资源 （如带宽） 的消耗， 同时又彻底避免了新上线 手机使用先前被攻击 IP地址时受到所述攻击报文的攻击和被错误计费， 提升了用户体验。

本实施例通过 GGSN和防火墙联动来解决无线通信领域中网络侧针 对用户设备发起的不间断的无连接（例如 UDP、 SNMP、 QQ等） 的报文 攻击， 从而， 一方面， 由于攻击报文被防火墙拦截， 可以避免新上线的 手机使用对应被攻击的 IP地址时被错误计费。 另一方面， 减少了网络资 源的消耗， 例如带宽， 因为在恶性报文的攻击下， 网关的大量带宽被占 用。 同时加强了网关的防攻击能力， 避免新上线的手机收到大量恶性报 文， 提升了用户体验。

指出的是， 本发明提供的用户设备下线的处理方法， 能够应用于用 户设备接入的 APN ( Access Point Name, 接入点名称 )需要进行 RADIUS 计费的场景中，也可应用于用户接入的 APN不需要进行 RADIUS计费的 场景中。

在用户设备接入的 APN 需要进行 RADIUS 计费和不需要进行 RADIUS 计费的两种场景中， 只是实现计费功能的具体网络装置不同， 在用户设备下线时， 均由 GGSN将用户设备的下线信息， 包括用户设备 使用的 IP地址， VPN信息等， 通过 RADIUS计费消息或预定义消息发送 给防火墙。防火墙根据所述消息中携带的用户 IP地址和 VPN信息将找到 相应的会话资源并及时译放。 还需指出的是， 上面实施例是通过 GGSN与防火墙之间的交互来解 决网络资源消耗和恶性计费的问题， 然而， 在实际部署中， 通过其他网 络装置与防火墙之间的交互也同样能够解决网络资源浪费和恶性计费的 问题。 所述网络装置包括但不限于， 能为用户设备分配 /回收 IP 地址的 DHCP(Dynamic Host Configuration Protocol, 动态主机配置协议）服务器、 能感知用户设备被分配 /回收 IP 地址的 RADIUS 协议服务器。 下面以 DHCP服务器为例进行简要说明。

用户设备在请求上网时， 由 DHCP服务器来给用户设备分配相应的 IP 地址， 并将用户设备的上线消息发送至防火墙， 以使得防火墙获知用 户设备上线并建立相应的会话资源。同时，在所述用户设备下线时， DHCP 服务器释放所述用户设备的会话资源， 并将用户设备的下线信息发送给 防火墙以使所述防火墙根据所述用户设备的下线信息， 查找并删除所述 IP地址对应的会话资源。 在新用户设备重新使用所述 IP地址时， 防火墙 重新建立相应会话资源。 这样， 原用户设备下线后， 当有针对原用户设备所使用 IP地址的攻 击报文从网络侧发出到达防火墙时， 由于防火墙上没有所述 IP地址对应 的业务控制策略， 因而， 所述攻击报文将直接被防火墙阻塞， 新用户设 备不会接收到所述攻击报文， 不会被恶性计费。 所以， 在原用户设备下 线后， 新用户设备只要不主动访问攻击报文所在服务器， 就不会被攻击， 更不会被恶性计费， 如此， 既减少了网络资源 （如带宽） 的消耗， 又彻 底避免了新上线手机用户使用被攻击 IP地址时受到攻击报文的攻击和被 错误计费， 提升了用户体验。

此外， 与本发明所述一种用户设备下线的处理方法相对应， 本发明 还提供一种网络装置， 如图 4所示， 包括：

确定单元 41 , 用于确定用户设备下线；

发送单元 42, 用于在确定单元 41 确定用户设备下线时， 向防火墙 发送所述用户设备的下线信息， 所述下线信息中携带有所述用户设备的 会话资源指示信息， 以使所述防火墙根据所述下线信息中的会话资源指 示信息， 查找并删除所述用户设备对应的会话资源。

本发明网络装置实施例， 通过确定单元 41确定用户设备下线， 在用 户设备下线时， 由发送单元 42将携带会话资源指示信息的用户设备下线 信息发送给防火墙， 以使防火墙根据所述下线信息中的会话资源指示信 息， 查找并删除所述用户设备对应的会话资源， 这样一来， 在用户设备 下线后， 由于所述用户设备对应的会话资源已被删除， 防火墙上没有所 述用户设备对应的会话资源， 因而， 针对所述用户设备的攻击报文将被 防火墙拦截， 这样， 一方面可以有效减少对网络资源的消耗， 另一方面， 后续重复使用所述用户设备会话资源的新的用户设备不会接收到所述攻 击报文， 可避免对使用所述新用户设备的用户的恶性计费， 大大提升了 用户体验。

可选地， 在本发明的一实施例中， 所述会话资源指示信息可包括所 述用户设备所使用的因特网协议 IP地址； 发送单元 42可具体用于： 向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的因特网协议 IP地址。 或者， 可选地， 在本发明的另一实施例中， 所述会话资源指示信息 可包括所述用户设备所使用的因特网协议 IP地址和虚拟专用网络 VPN信 息； 发送单元 42可具体用于： 向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的因特网协议 IP地址和虚拟专用网络 VPN信息。

具体地， 发送单元 42可用于：

通过 RADIUS协议消息或预定义消息向防火墙发送所述用户设备的 下线信息。

具体地，所述网络装置可为能为用户设备分配 /回收 IP地址的动态主 机配置协议 DHCP服务器、 网关通用分组无线服务支持节点 GGSN、 或 者为能感知用户设备被分配 /回收 IP地址的 RADIUS协议服务器。

与本文所述另一种用户设备下线的处理方法相对应， 本发明还提供 一种防火墙， 如图 5所示， 包括： 接收单元 51 , 用于接收用户设备的下线信息， 所述下线信息中携带 有所述用户设备的会话资源指示信息；

处理单元 52, 用于根据接收单元 51 接收的所述下线信息中的会话 资源指示信息， 查找并删除所述用户设备对应的会话资源。 本发明防火墙实施例通过在接收单元 51 接收到用户设备的下线信 息时， 根据接收单元 51接收的所述下线信息中的会话资源指示信息， 查 找并删除所述用户设备对应的会话资源， 这样一来， 在用户设备下线后， 由于所述用户设备对应的会话资源已被删除， 防火墙上没有所述用户设 备对应的会话资源， 因而， 针对所述用户设备的攻击报文将被防火墙拦 截， 这样， 一方面可以有效减少对网络资源的消耗， 另一方面， 后续重 复使用所述用户设备会话资源的新用户设备不会接收到所述攻击报文， 可避免对使用所述新用户设备的用户的恶性计费， 大大提升了用户体验。

可选地， 在本发明的一实施例中， 所述会话资源指示信息可包括所 述用户设备所使用的因特网协议 IP地址； 处理单元 52可具体用于：

根据接收单元 51接收的用户设备所使用的因特网协议 IP地址， 查 找并删除所述用户设备对应的会话资源。 或者， 可选地， 在本发明的另一实施例中， 所述会话资源指示信息 包括所述用户设备所使用的因特网协议 IP地址和虚拟专用网络 VPN信 息； 处理单元 52可具体用于： 根据所述接收单元接收的用户设备所使用的因特网协议 IP地址和虚 拟专用网络 VPN信息， 查找并删除所述用户设备对应的会话资源。 具体地， 接收单元 51用于：

接收通过 RADIUS协议消息或预定义消息发送的所述用户设备的下 线信息。

此外， 相应地， 本发明实施例还提供了一种网络系统， 如图 6所示， 包括网络装置 61和防火墙 62, 其中： 网络装置 61用于：

确定用户设备下线； 向防火墙 62发送所述用户设备的下线信息， 所 述下线信息中携带有所述用户设备的会话资源指示信息， 以使所述防火 墙 62根据所述下线信息中的会话资源指示信息， 查找并删除所述用户设 备对应的会话资源； 防火墙 62用于： 接收网络装置 61发送过来的用户设备的下线信息；根据所述下线信 息中的会话资源指示信息， 查找并删除所述用户设备对应的会话资源。 其中， 网络装置 61可以为前述本发明实施例所提供的任一种网络装 置， 防火墙 62可以为前述本发明实施例所提供的任一种防火墙， 由于前 文已经进行了详细说明， 在此不在赘述。 本发明实施例提供的网络系统， 在用户设备下线时， 网络装置 61将 携带会话资源指示信息的用户设备下线信息发送给防火墙 62, 由防火墙 62根据所述下线信息中的会话资源指示信息， 查找并删除所述用户设备 对应的会话资源， 这样一来， 在用户设备下线后， 由于所述用户设备对 应的会话资源已被删除，防火墙 62上没有所述用户设备对应的会话资源 , 因而， 针对所述用户设备的攻击报文将被防火墙拦截， 这样， 一方面可 以有效减少对网络资源 （例如， 带宽） 的消耗， 另一方面， 后续重复使 用所述用户设备 IP地址的新用户设备不会接收到所述攻击报文， 可避免 对使用所述新用户设备的用户的恶性计费， 大大提升了用户体验。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分 步骤是可以通过程序来指令相关的硬件完成， 所述的程序可以存储于一 种计算机可读存储介质中， 所述存储介质可以是只读存储器、 磁盘或光 盘等。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不 局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本 发明的保护范围应以权利要求的保护范围为准。

Claims

权 利 要 求 书

1、 一种用户设备下线的处理方法， 其特征在于， 包括： 确定用户设备下线；

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备的会话资源指示信息， 以使所述防火墙根据所述下线信息中 的会话资源指示信息， 查找并删除所述用户设备对应的会话资源。

2、 根据权利要求 1所述的方法， 其特征在于， 所述会话资源指示信息包括所述用户设备所使用的因特网协议地 址； 所述向防火墙发送所述用户设备的下线信息， 所述下线信息中携带 有所述用户设备的会话资源指示信息包括：

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的因特网协议地址。

3、 根据权利要求 1所述的方法， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地址 和虚拟专用网络信息； 所述向防火墙发送所述用户设备的下线信息， 所述下线信息中携带 有所述用户设备的会话资源指示信息包括：

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的因特网协议地址和虚拟专用网络信息。

4、 根据权利要求 1 -3任一所述的方法， 其特征在于， 所述向防火墙发送所述用户设备的下线信息包括： 通过远程用户拨号认证系统协议消息或预定义消息向防火墙发送所 述用户设备的下线信息。

5、 一种用户设备下线的处理方法， 其特征在于， 包括： 接收用户设备的下线信息， 所述下线信息中携带有所述用户设备的 会话资源指示信息； 根据所述下线信息中的会话资源指示信息， 查找并删除所述用户设 备对应的会话资源。

6、 根据权利要求 5所述的方法， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地 址； 所述根据所述下线信息中的会话资源指示信息， 查找并删除所述用 户设备对应的会话资源包括：

根据所述用户设备所使用的因特网协议地址， 查找并删除所述用户 设备对应的会话资源。

7、 根据权利要求 5所述的方法， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地址 和虚拟专用网络信息； 所述根据所述下线信息中的会话资源指示信息， 查找并删除所述用 户设备对应的会话资源包括：

根据所述用户设备所使用的因特网协议地址和虚拟专用网络信息， 查找并删除所述用户设备对应的会话资源。

8、 根据权利要求 5-7中任一所述的方法， 其特征在于， 所述接收用户设备的下线信息包括：

接收通过远程用户拨号认证系统协议消息或预定义消息发送的所述 用户设备的下线信息。

9、 一种网络装置， 其特征在于， 包括： 确定单元， 用于确定用户设备下线； 发送单元， 用于在所述确定单元确定用户设备下线时， 向防火墙发 送所述用户设备的下线信息， 所述下线信息中携带有所述用户设备的会 话资源指示信息， 以使所述防火墙根据所述下线信息中的会话资源指示 信息， 查找并删除所述用户设备对应的会话资源。

10、 根据权利要求 9所述的网络装置， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地 址； 所述发送单元具体用于：

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的因特网协议地址。

1 1、 根据权利要求 9所述的网络装置， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地址 和虚拟专用网络信息； 所述发送单元具体用于：

向防火墙发送所述用户设备的下线信息， 所述下线信息中携带有所 述用户设备所使用的因特网协议地址和虚拟专用网络信息。

12、 根据权利要求 9-1 1任一所述的网络装置， 其特征在于， 所述发送单元具体用于：

通过远程用户拨号认证系统协议消息或预定义消息向防火墙发送所 述用户设备的下线信息。

13、 根据权利要求 9-12任一所述的网络装置， 其特征在于， 所述网络装置包括动态主机配置协议服务器、 网关通用分组无线服 务支持节点、 或远程用户拨号认证系统协议服务器。

14、 一种防火墙， 其特征在于， 包括： 接收单元， 用于接收用户设备的下线信息， 所述下线信息中携带有 所述用户设备的会话资源指示信息；

处理单元， 用于根据所述接收单元接收的所述下线信息中的会话资 源指示信息， 查找并删除所述用户设备对应的会话资源。

15、 根据权利要求 14所述的防火墙， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地 址； 所述处理单元具体用于： 根据所述接收单元接收的用户设备所使用的因特网协议地址， 查找 并删除所述用户设备对应的会话资源。

16、 根据权利要求 14所述的防火墙， 其特征在于，

所述会话资源指示信息包括所述用户设备所使用的因特网协议地址 和虚拟专用网络信息；

所述处理单元具体用于： 根据所述接收单元接收的用户设备所使用的因特网协议 IP地址和虚 拟专用网络信息， 查找并删除所述用户设备对应的会话资源。

17、 根据权利要求 14-16中任一所述的防火墙， 其特征在于， 所述接收单元具体用于： 接收通过远程用户拨号认证系统协议消息或预定义消息发送的所述 用户设备的下线信息。

18、 一种网络系统， 其特征在于， 所述网络系统包括权利要求 9-13 中任一所述的网络装置和权利要求 14-17中任一所述的防火墙。