接入決策確定方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�����,特別涉及一種接入決策確定方法及裝置���。
【背景技術(shù)】
[0002]—體化標(biāo)識網(wǎng)絡(luò)將網(wǎng)絡(luò)分為接入網(wǎng)與骨干網(wǎng),引入了接入網(wǎng)標(biāo)識(AccessIdentifier, AID)與路由標(biāo)識(Routing Identifier��,RID)�����,從根本上解決了互聯(lián)網(wǎng)協(xié)議地址(Internet Protocol Address�,IP)雙重屬性的問題,且能很好的與現(xiàn)有的互聯(lián)網(wǎng)與網(wǎng)絡(luò)架構(gòu)進行融合���。
[0003]在通用分組無線業(yè)務(wù)(英文:General Packet Rad1 Service��,簡稱:GPRS)網(wǎng)絡(luò)與一體化標(biāo)識網(wǎng)絡(luò)的融合網(wǎng)絡(luò)中����,一體化標(biāo)識網(wǎng)絡(luò)中的接入設(shè)備為網(wǎng)關(guān)GPRS支持節(jié)點(英文:Gateway GPRS Support Node����,簡稱:GGSN),GGSN可以將用戶訪問時產(chǎn)生的訪問數(shù)據(jù)發(fā)送至一體化標(biāo)識網(wǎng)絡(luò)內(nèi)的行為分析服務(wù)器��,由行為分析服務(wù)器對用戶的訪問行為進行分析���,當(dāng)行文分析服務(wù)器在判定該用戶存在異常攻擊行為時�,則通知GGSN�,GGSN根據(jù)用戶的攻擊行為決策是否禁止該用戶繼續(xù)訪問。
[0004]在實現(xiàn)本發(fā)明的過程中���,發(fā)明人發(fā)現(xiàn)相關(guān)技術(shù)至少存在以下問題:GGSN既要進行訪問數(shù)據(jù)的采集�����,又要進行接入決策����,從而使得GGSN的處理壓力過大。
【發(fā)明內(nèi)容】
[0005]為了解決相關(guān)技術(shù)中因GGSN既要進行訪問數(shù)據(jù)的采集��,又要進行接入決策�����,從而使得GGSN的處理壓力過大的問題���,本發(fā)明實施例提供了一種接入決策方法及裝置�����。所述技術(shù)方案如下:
[0006]第一方面����,提供了一種接入決策方法����,應(yīng)用于服務(wù)通用分組無線服務(wù)的支持節(jié)點SGSN(全稱 -Serving GPRS Support Node)中�,所述方法包括:
[0007]接收網(wǎng)關(guān)通用分組無線服務(wù)的支持節(jié)點GGSN發(fā)送的攜帶有接入網(wǎng)標(biāo)識AID的異常通知數(shù)據(jù)包����,所述異常通知數(shù)據(jù)包用于指示具有所述AID的終端存在異常訪問行為���;
[0008]判斷所述SGSN是否與所述終端連接��;
[0009]若所述SGSN與所述終端連接��,則斷開與所述終端的連接���。
[0010]可選的,所述方法還包括:
[0011]在接收到所述異常通知數(shù)據(jù)包之后��,將所述終端的國際移動用戶識別碼頂SI添加至限制用戶列表中���,所述限制用戶列表中每個MISI所對應(yīng)的終端被禁止接入�����;
[0012]為所述終端設(shè)置并開啟具有預(yù)定時長的計時器�����。
[0013]可選的�����,所述方法還包括:
[0014]在所述終端的計時器到達O之前�����,若接收到所述終端的接入請求�����,則禁止所述終端接入�;
[0015]當(dāng)所述終端的計時器到達O時,則從所述限制用戶列表中刪除所述終端的頂SI���。
[0016]可選的�����,所述異常通知數(shù)據(jù)包包括所述終端的攻擊類型���,所述為所述終端設(shè)置并開啟具有預(yù)定時長的計時器�����,包括:
[0017]根據(jù)攻擊類型與禁止時長的對應(yīng)關(guān)系���,確定所述終端的攻擊類型對應(yīng)的禁止時長;
[0018]將所述禁止時長作為與所述終端對應(yīng)的計時器的預(yù)定時長;
[0019]開啟具有所述預(yù)定時長的計時器�。
[0020]可選的�,所述方法還包括:
[0021]在斷開與所述終端的連接后,則向歸屬位置寄存器HLR發(fā)送禁止訪問通知�����,所述禁止訪問通知用于觸發(fā)所述HLR通知其他SGSN禁止接入所述終端��,所述拒絕訪問通知至少包含所述終端的MSI和所述終端的定時器的當(dāng)前剩余時長��。
[0022]可選的�,所述方法還包括:
[0023]接收HLR發(fā)送的用于斷開指定終端的斷開請求,所述斷開請求中包含所述指定終端的MSI �;
[0024]檢測所述指定終端的IMSI是否位于所述限制用戶列表中;
[0025]若所述指定終端的頂SI位于所述限制用戶列表中�,則檢測所述指定終端是否與所述SGSN連接;
[0026]若所述指定終端與所述SGSN連接,則斷開與所述指定終端的連接�����;
[0027]將所述指定終端的IMSI和所述指定終端的定時器的當(dāng)前剩余時長添加至禁止接入消息中��,將所述禁止接入消息發(fā)送至所述HLR���,所述禁止接入消息用于觸發(fā)所述HLR通知其他SGSN在所述剩余時長內(nèi)禁止接入具有所述頂SI的終端����。
[0028]第二方面�����,提供了一種接入決策確定裝置�,應(yīng)用于服務(wù)通用分組無線服務(wù)的支持節(jié)點SGSN中,所述裝置包括:
[0029]第一接收模塊����,用于接收網(wǎng)關(guān)通用分組無線服務(wù)的支持節(jié)點GGSN發(fā)送的攜帶有接入網(wǎng)標(biāo)識AID的異常通知數(shù)據(jù)包,所述異常通知數(shù)據(jù)包用于指示具有所述AID的終端存在異常訪冋行為����;
[0030]第一檢測模塊,用于檢測所述SGSN是否與所述終端連接;
[0031]第一斷開模塊�,用于在所述第一檢測模塊檢測到所述SGSN與所述終端連接時,則斷開與所述終端的連接���。
[0032]可選的��,所述裝置還包括:
[0033]添加模塊�,用于在所述第一接收模塊接收到所述異常通知數(shù)據(jù)包之后����,將所述終端的國際移動用戶識別碼MSI添加至限制用戶列表中,所述限制用戶列表中每個MISI所對應(yīng)的終端被禁止接入��;
[0034]開啟模塊�,用于為所述終端設(shè)置并開啟具有預(yù)定時長的計時器��。
[0035]可選的����,所述裝置還包括:
[0036]禁止接入模塊,用于在所述終端的計時器到達O之前���,若接收到所述終端的接入請求����,則禁止所述終端接入;
[0037]刪除模塊�,用于當(dāng)所述終端的計時器到達O時,則從所述限制用戶列表中刪除所述終端的MSI�����。
[0038]可選的�����,所述異常通知數(shù)據(jù)包包括所述終端的攻擊類型����,所述開啟模塊,包括:
[0039]確定單元�,用于根據(jù)攻擊類型與禁止時長的對應(yīng)關(guān)系,確定所述終端的攻擊類型對應(yīng)的禁止時長��;
[0040]設(shè)置單元���,用于將所述禁止時長設(shè)置為與所述終端對應(yīng)的計時器的預(yù)定時長����;
[0041]開啟單元,用于開啟具有所述預(yù)定時長的計時器�。
[0042]可選的,所述裝置還包括:
[0043]第一發(fā)送模塊�����,用于在所述第一斷開模塊斷開與所述終端的連接后���,則向歸屬位置寄存器HLR發(fā)送禁止訪問通知���,所述禁止訪問通知用于觸發(fā)所述HLR通知其他SGSN禁止接入所述終端,所述拒絕訪問通知至少包含所述終端的MSI和所述終端的定時器的當(dāng)前剩余時長��。
[0044]可選的��,所述裝置還包括:
[0045]第二接收模塊�����,用于接收HLR發(fā)送的用于斷開指定終端的斷開請求����,所述斷開請求中包含所述指定終端的頂SI ;
[0046]第二檢測模塊���,用于檢測所述指定終端的頂SI是否位于所述限制用戶列表中����;
[0047]第三檢測模塊,用于在所述第二檢測模塊檢測到所述指定終端的頂SI位于所述限制用戶列表中時��,檢測所述指定終端是否與所述SGSN連接���;
[0048]第二斷開模塊���,用于在所述第三檢測模塊檢測到所述指定終端與所述SGSN連接時,斷開與所述指定終端的連接����;
[0049]第二發(fā)送模塊,用于將所述指定終端的頂SI和所述指定終端的定時器的當(dāng)前剩余時長添加至禁止接入消息中���,將所述禁止接入消息發(fā)送至所述HLR���,所述禁止接入消息用于觸發(fā)所述HLR通知其他SGSN在所述剩余時長內(nèi)禁止接入具有所述頂SI的終端。
[0050]本發(fā)明實施例提供的技術(shù)方案帶來的有益效果是:
[0051]通過接收GGSN發(fā)送的異常通知數(shù)據(jù)包��,拒絕接入該異常通知數(shù)據(jù)包所指示的具有異常訪問行為的終端���;由于GGSN獲取一體化標(biāo)識網(wǎng)絡(luò)中分析服務(wù)器分析得到的每個終端的訪問行為��,并通過異常通知數(shù)據(jù)包向SGSN通知具有異常訪問行為的終端����,SGSN則可以根據(jù)異常通知數(shù)據(jù)包,決定是否拒絕接入存在異常訪問行為的終端��,因此解決了相關(guān)技術(shù)中因GGSN既要進行訪問數(shù)據(jù)的采集�����,又要進行接入決策�����,從而使得GGSN的處理壓力過大的問題��,達到了可以在SGSN上進行接入決策���,減少了 GGSN的處理壓力的效果�。
【附圖說明】
[0052]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案����,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0053]圖1是本發(fā)明一個實施例中提供的接入決策確定方法所涉及的融合網(wǎng)絡(luò)示意圖;
[0054]圖2是本發(fā)明一個實施例中提供的接入決策確定方法的方法流程圖��;
[0055]圖3A是本發(fā)明另一個實施例中提供的接入決策確定方法的方法流程圖���;
[0056]圖3B是本發(fā)明一個實施例中提供的為該終端設(shè)置并開啟具有預(yù)定時長的計時器的流程示意圖��;
[0057]圖3C是本發(fā)明再一個實施例中提供的接入決策確定方法的方法流程圖�����;
[0058]圖4是本發(fā)明再一個實施例中提供的接入決策確定方法的方法流程圖���;
[0059]圖5是本發(fā)明一個實施例中提供的接入決策確定裝置的結(jié)構(gòu)示意圖�;
[0060]圖6是本發(fā)明另一個實施例中提供的接入決策確定方法的結(jié)構(gòu)示意圖��。
【具體實施方式】
[0061]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述。
[0062]圖1是本發(fā)明一個實施例中提供的接入決策確定方法所涉及的融合網(wǎng)絡(luò)示意圖�,該融合網(wǎng)絡(luò)是接入網(wǎng)絡(luò)110和一體化標(biāo)識網(wǎng)絡(luò)120融合后得到的網(wǎng)絡(luò)。
[0063]這里的接入網(wǎng)絡(luò)110為GPRS網(wǎng)絡(luò)�����。
[0064]接入網(wǎng)絡(luò)110中包括至少一個用戶所持有的終端111�����,這里所講的終端111可以包括智能手機��,具有移動通訊功能的平板電腦�����、多媒體播放器或可穿戴式設(shè)備等�。
[0065]接入網(wǎng)絡(luò)110中還包括SGSN 112和歸屬位置寄存器(英文:,簡稱:HLR) 113�,SGSN112與HLR 113相連接,控制終端111的接入和訪問控制��。