用于提供通信服務(wù)提供方和提供服務(wù)的互聯(lián)網(wǎng)協(xié)議ip服務(wù)器之間的連接的方法、包括 ...的制作方法
【專(zhuān)利摘要】一種為至少一個(gè)通信服務(wù)提供方提供到邊界網(wǎng)絡(luò)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器的連接的方法,該IP服務(wù)器在公共IP網(wǎng)絡(luò)上提供服務(wù),所述方法包括步驟:在邊界網(wǎng)絡(luò)中,檢測(cè)通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性;在邊界網(wǎng)絡(luò)中,丟棄通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù),以及在邊界網(wǎng)絡(luò)中,啟用至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上的位于IP服務(wù)器和至少一個(gè)通信服務(wù)提供方之間的連接,用于IP服務(wù)器提供的服務(wù)。
【專(zhuān)利說(shuō)明】
用于提供通信服務(wù)提供方和提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器之間的連接的方法、包括IP服務(wù)器的邊界網(wǎng)絡(luò)以及提供服務(wù)的IP服務(wù)器
技術(shù)領(lǐng)域
[0001]本發(fā)明總體涉及用于提供至少一個(gè)通信服務(wù)提供方和IP服務(wù)器之間的連接的方法,具體涉及被執(zhí)行以實(shí)現(xiàn)該連接的方法步驟。
【背景技術(shù)】
[0002]現(xiàn)如今,消費(fèi)者和商務(wù)越來(lái)越依賴(lài)于公共互聯(lián)網(wǎng)服務(wù),例如網(wǎng)上銀行、政府網(wǎng)站、信用卡網(wǎng)站等。這種依賴(lài)增加了對(duì)支持這些服務(wù)的網(wǎng)站的穩(wěn)定可用性的要求。例如,不可用性可能對(duì)經(jīng)濟(jì)社會(huì)造成損害。消費(fèi)者可能不信任這些基于互聯(lián)網(wǎng)的服務(wù),這可能影響經(jīng)濟(jì)。
[0003]這些服務(wù)的不可用性可能是由網(wǎng)絡(luò)故障、支持服務(wù)的服務(wù)器的故障、服務(wù)本身的故障以及第三方對(duì)這些服務(wù)的攻擊引起的。一種可能的攻擊類(lèi)型是(分布式)拒絕服務(wù)DDoSt3DDoS包括試圖暫時(shí)或無(wú)限期地中斷或禁止與公共網(wǎng)絡(luò)(如互聯(lián)網(wǎng))相連的服務(wù)器的服務(wù)。
[0004]從單個(gè)源執(zhí)行DoS攻擊,用大量(假冒)業(yè)務(wù)或查詢(xún)泛洪目標(biāo)服務(wù)器,使得該服務(wù)器變得無(wú)法正常操作,并且DDoS攻擊本質(zhì)上是相同類(lèi)型的攻擊,但從多個(gè)源同時(shí)進(jìn)行。
[0005]DDoS的癥狀包括但不限于,遲緩或無(wú)響應(yīng)的網(wǎng)絡(luò)表現(xiàn)以及無(wú)響應(yīng)或不可用的應(yīng)用和/或服務(wù)。
[0006]在對(duì)特定互聯(lián)網(wǎng)的DDoS攻擊的情形中,當(dāng)前的一種保護(hù)形式是,至少對(duì)有問(wèn)題的服務(wù),暫時(shí)阻止特定或全部的進(jìn)出IP業(yè)務(wù)。一旦檢測(cè)到或懷疑有DDoS攻擊,就盡快通過(guò)服務(wù)器或服務(wù)宿主的防火墻來(lái)激活阻止。
[0007]互聯(lián)網(wǎng)服務(wù)可以涉及簡(jiǎn)單郵件傳輸協(xié)議電子郵件(SMTP)、超文本傳輸協(xié)議(HTTP)、文件傳輸協(xié)議(FTP)、IP電話(VoIP)等。
[0008]互聯(lián)網(wǎng)服務(wù)的不可用性還可能由例如以下問(wèn)題引起,公共互聯(lián)網(wǎng)的特定IP路由器或DNS服務(wù)器,與IP服務(wù)器相連的匿名系統(tǒng)(AS)的IP基礎(chǔ)設(shè)施中的錯(cuò)誤條件,等等。無(wú)論不可用性的原因如何,服務(wù)器不可用性的結(jié)果都是消費(fèi)者和商務(wù)無(wú)法訪問(wèn)互聯(lián)網(wǎng)服務(wù)。
[0009]現(xiàn)有技術(shù)提倡的保護(hù)(即一旦檢測(cè)到DDoS就暫時(shí)阻止特定或全部的進(jìn)出IP業(yè)務(wù))保護(hù)IP服務(wù)器和所提供的服務(wù),但其不提供對(duì)不可用性方面的解決方案。至少在DDoS攻擊期間,IP服務(wù)器和/或提供的服務(wù)仍將不可用。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的目的是提供一種提供至少一個(gè)通信服務(wù)提供方和邊界網(wǎng)絡(luò)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器之間的連接的改進(jìn)方法,其中,所述IP服務(wù)器通過(guò)公共IP網(wǎng)絡(luò)提供服務(wù)。
[0011]另一個(gè)目的是提供一種邊界網(wǎng)絡(luò),包括提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器,其中,所述邊界網(wǎng)絡(luò)被布置用于支持所述改進(jìn)方法。
[0012]再一個(gè)目的是提供一種IP服務(wù)器,被布置用于支持為至少一個(gè)通信服務(wù)提供方提供到IP服務(wù)器的連接的改進(jìn)方法。
[0013]在本文的第一方面中,提出一種為至少一個(gè)通信服務(wù)提供方提供到邊界網(wǎng)絡(luò)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器的連接的方法,其中所述IP服務(wù)器在公共IP網(wǎng)絡(luò)上提供服務(wù)。
[0014]所述方法包括以下步驟:在邊界網(wǎng)絡(luò)中,檢測(cè)通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性;在邊界網(wǎng)絡(luò)中,丟棄通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù),以及在邊界網(wǎng)絡(luò)中,啟用至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上到至少一個(gè)通信服務(wù)提供方的、用于IP服務(wù)器提供的服務(wù)的連接。
[0015]所述方法基于以下見(jiàn)解,每當(dāng)檢測(cè)到到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性時(shí),可以保證服務(wù)的可用性,即,可以使用至少一個(gè)專(zhuān)用網(wǎng)絡(luò)來(lái)啟用從IP服務(wù)器到至少一個(gè)通信服務(wù)提供方的連接。
[0016]在本發(fā)明的上下文中,不規(guī)則性包括到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的突然增加,到達(dá)邊界網(wǎng)絡(luò)的特定類(lèi)型請(qǐng)求的突然增加,到達(dá)邊界網(wǎng)絡(luò)的IP分組的凈載荷的突然增加,來(lái)自特定源的IP業(yè)務(wù)的突然增加,到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的非期望的持續(xù)消失,等等。
[0017]專(zhuān)用網(wǎng)絡(luò)可以是例如公共IP網(wǎng)絡(luò)上的虛擬專(zhuān)用網(wǎng)絡(luò)VPN。該VPN使服務(wù)器能夠經(jīng)公共IP網(wǎng)絡(luò)發(fā)送和接收IP分組,同時(shí)還能夠從VPN的功能、安全和管理策略獲益,且不受到進(jìn)出公共互聯(lián)網(wǎng)的IP業(yè)務(wù)的臨時(shí)阻塞的影響。通常通過(guò)使用專(zhuān)用鏈接、加密或二者組合來(lái)建立虛擬的點(diǎn)對(duì)點(diǎn)連接,由此來(lái)使用VPN。
[0018]VPN的一個(gè)優(yōu)點(diǎn)是對(duì)公共IP網(wǎng)絡(luò)隱藏網(wǎng)絡(luò)地址,例如,隱藏IP服務(wù)器的IP地址或主機(jī)名地址。因此,VPN的網(wǎng)絡(luò)地址對(duì)攻擊者而言是未知的,DDoS攻擊無(wú)法重定向到VPN。
[0019]專(zhuān)用網(wǎng)絡(luò)的另一個(gè)示例可以是IP分組交換IPXt3IPX包括電信互連基礎(chǔ)設(shè)施,用于經(jīng)由基于IP的網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)接口,在通信服務(wù)提供方之間交換IP業(yè)務(wù)。
[0020]在當(dāng)前技術(shù)下,DDoS攻擊無(wú)法重定向到IPX連接,因?yàn)镮PX邏輯和物理上都與公共IP網(wǎng)絡(luò)完全隔離。IPX對(duì)公共IP網(wǎng)絡(luò)(如互聯(lián)網(wǎng))來(lái)說(shuō)不可尋址也不可見(jiàn)。
[0021]在本發(fā)明的上下文中,通信服務(wù)提供方可以是互聯(lián)網(wǎng)服務(wù)提供商(ISP)和移動(dòng)網(wǎng)絡(luò)操作方(MNO)中任一個(gè)。ISP是例如為用戶(hù)設(shè)備提供對(duì)公共IP網(wǎng)絡(luò)(如互聯(lián)網(wǎng))的接入和相關(guān)服務(wù)的商業(yè)或組織。MNO是為其訂閱移動(dòng)用戶(hù)提供無(wú)線語(yǔ)音、數(shù)據(jù)通信以及互聯(lián)網(wǎng)連接的電信服務(wù)提供商組織。
[0022]與通信服務(wù)提供方相連的用戶(hù)設(shè)備可以發(fā)起通信服務(wù)提供方和IP服務(wù)器之間的連接。然后,用戶(hù)設(shè)備能夠通過(guò)通信服務(wù)提供方和IP服務(wù)器之間的連接來(lái)訪問(wèn)IP服務(wù)器提供的服務(wù)。
[0023]對(duì)于在邊界網(wǎng)絡(luò)中檢測(cè)到不規(guī)則性(如DDoS攻擊)的情形,使用專(zhuān)用IP網(wǎng)絡(luò)上的連接來(lái)提供從UE到服務(wù)的訪問(wèn)。由此,用戶(hù)設(shè)備將不再遇到任何問(wèn)題,例如,與檢測(cè)到的不規(guī)則性有關(guān)的服務(wù)中斷或服務(wù)不可用。
[0024]邊界網(wǎng)絡(luò)(例如,非軍事區(qū)網(wǎng)絡(luò)DMZ和屏蔽的子網(wǎng)網(wǎng)絡(luò))通常是與組織的個(gè)人網(wǎng)絡(luò)和公共IP網(wǎng)絡(luò)分離創(chuàng)建的小型網(wǎng)絡(luò)。邊界網(wǎng)絡(luò)允許外部用戶(hù)獲得對(duì)位于邊界網(wǎng)絡(luò)內(nèi)的特定服務(wù)器的訪問(wèn)權(quán)。例如,邊界網(wǎng)絡(luò)可以包括公司的web服務(wù)器,使得可以向公共IP網(wǎng)絡(luò)發(fā)送網(wǎng)絡(luò)內(nèi)容。由此,邊界網(wǎng)絡(luò)與公共IP網(wǎng)絡(luò)和組織的個(gè)人網(wǎng)絡(luò)分離或隔離。
[0025]邊界網(wǎng)絡(luò)是和公共IP網(wǎng)絡(luò)的服務(wù)器最靠近的網(wǎng)絡(luò)。通常,邊界網(wǎng)絡(luò)是IP分組沿途去往公共IP網(wǎng)絡(luò)所經(jīng)過(guò)的網(wǎng)絡(luò)之一中的最后一步,相反,也是從公共IP網(wǎng)絡(luò)進(jìn)入的IP業(yè)務(wù)所遇到的第一個(gè)網(wǎng)絡(luò)。
[0026]在本發(fā)明的上下文中,邊界網(wǎng)絡(luò)還可以?xún)H由IP服務(wù)器構(gòu)成,使得IP服務(wù)器被布置為執(zhí)行根據(jù)本發(fā)明的任一方法的步驟。
[0027]下文中與DoS攻擊相關(guān)的表述還可適用于DDoS攻擊,反之亦然。
[0028]示例中,所述邊界網(wǎng)絡(luò)在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上啟用位于IP服務(wù)器和所述至少一個(gè)通信服務(wù)提供方之間的、用于IP服務(wù)器提供的所述服務(wù)的連接包括:建立位于至少一個(gè)通信服務(wù)提供方和IP服務(wù)器之間的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò),以及在所建立的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上,針對(duì)IP服務(wù)器提供的服務(wù)來(lái)連接至少一個(gè)通信服務(wù)提供方。
[0029]一旦在到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中檢測(cè)到不規(guī)則性,邊界網(wǎng)絡(luò)可以決定自動(dòng)和/或獨(dú)立開(kāi)始建立位于通信服務(wù)提供方和IP服務(wù)器之間的專(zhuān)用IP網(wǎng)絡(luò)。發(fā)明人指出,不必在檢測(cè)到不規(guī)則性前已經(jīng)建立專(zhuān)用IP網(wǎng)絡(luò)。
[0030]不在檢測(cè)到不規(guī)則性前建立專(zhuān)用IP網(wǎng)絡(luò)的優(yōu)點(diǎn)是,當(dāng)不使用專(zhuān)用IP網(wǎng)絡(luò)時(shí),不需要維持或支持通信服務(wù)提供方和邊界網(wǎng)絡(luò)之間的專(zhuān)用IP網(wǎng)絡(luò)。僅當(dāng)要使用專(zhuān)用IP網(wǎng)絡(luò)時(shí),即,檢測(cè)到IP業(yè)務(wù)中的不規(guī)則性時(shí),才維持或支持專(zhuān)用IP網(wǎng)絡(luò)。
[0031]示例中,IP服務(wù)器經(jīng)由包括在IP服務(wù)器中的第一公共IP接口,在公共IP網(wǎng)絡(luò)上提供所述服務(wù),其中,通過(guò)包括在IP服務(wù)器中的第二 IP接口來(lái)執(zhí)行建立至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)和連接至少一個(gè)通信服務(wù)提供方的步驟。
[0032]發(fā)明人深入了解到,不應(yīng)通過(guò)第一公共IP接口來(lái)建立專(zhuān)用IP網(wǎng)絡(luò),因?yàn)樵摻涌谡诿鎸?duì)不規(guī)則性,例如DDoS攻擊。由此,第一公共IP接口上用于建立專(zhuān)用IP網(wǎng)絡(luò)的任何信令很可能無(wú)法成功。由此,使用第二公共IP接口來(lái)建立專(zhuān)用IP網(wǎng)絡(luò)。
[0033]在另一個(gè)示例中,啟用位于IP服務(wù)器和至少一個(gè)通信服務(wù)提供方之間的連接的步驟包括啟用位于至少一個(gè)或多個(gè)通信服務(wù)提供方和IP服務(wù)器之間的至少一個(gè)預(yù)先建立的專(zhuān)用IP網(wǎng)絡(luò)上的連接。
[0034]這里,專(zhuān)用IP網(wǎng)絡(luò)預(yù)先建立在通信服務(wù)提供方和邊界網(wǎng)絡(luò)或IP服務(wù)器之間。一旦檢測(cè)到不規(guī)則性,則激活預(yù)先建立的專(zhuān)用IP網(wǎng)絡(luò)上的連接,以保護(hù)這些網(wǎng)絡(luò)之間的IP業(yè)務(wù)。在該情形中,可以事先建立專(zhuān)用IP網(wǎng)絡(luò),甚至在一些情形中,可以使用第一公共接口在公共IP網(wǎng)絡(luò)上建立專(zhuān)用IP網(wǎng)絡(luò)。其優(yōu)點(diǎn)是不需要第二公共接口,因?yàn)閷?zhuān)用IP網(wǎng)絡(luò)已(事先)建立好。
[0035]在又一個(gè)示例中,在邊界網(wǎng)絡(luò)中,在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上啟用位于邊界網(wǎng)絡(luò)和至少一個(gè)通信服務(wù)提供方之間的、用于IP服務(wù)器提供的服務(wù)的連接的步驟包括:啟用位于邊界網(wǎng)絡(luò)和包括在至少一個(gè)通信服務(wù)提供方中的網(wǎng)關(guān)通用分組無(wú)線服務(wù)GPRS支持節(jié)點(diǎn)GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)I3DN-Gw中任一項(xiàng)之間的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上的連接。
[0036]經(jīng)由作為連接到通信提供方網(wǎng)絡(luò)的主接入點(diǎn)的GGSN和PDN-Gw中的任一個(gè),路由來(lái)自用戶(hù)設(shè)備的互聯(lián)網(wǎng)協(xié)議分組。由此,即使在對(duì)公共互聯(lián)網(wǎng)上的服務(wù)的訪問(wèn)中有不規(guī)則性的情形中,例如,對(duì)服務(wù)的DDoS攻擊,這些服務(wù)器(即GGSN和TON-Gw)中任一個(gè)與邊界網(wǎng)絡(luò)之間的連接保護(hù)了從UE到提供服務(wù)的IP服務(wù)器之間的訪問(wèn)。
[0037]示例中,檢測(cè)IP業(yè)務(wù)中的不規(guī)則性的步驟包括檢測(cè)通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的高負(fù)載或過(guò)載中任一項(xiàng),以及不存在通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的針對(duì)服務(wù)的IP業(yè)務(wù)。
[0038]根據(jù)本發(fā)明,認(rèn)為DDoS攻擊導(dǎo)致了到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性。DDoS攻擊大體上可以分為三種類(lèi)型?;隗w量的攻擊包括:用戶(hù)數(shù)據(jù)報(bào)文協(xié)議UDP泛洪(flood)、互聯(lián)網(wǎng)控制消息協(xié)議ICMP泛洪、以及其他類(lèi)型泛洪等等。這種攻擊的目的是使IP服務(wù)器的帶寬飽和。其強(qiáng)度一般以每秒比特?cái)?shù)來(lái)衡量。
[0039]協(xié)議攻擊包括:同步SYN消息泛洪、碎片分組攻擊、死亡攻擊(Ping of Death)、Smurf DDos等。這種攻擊消耗實(shí)際的IP服務(wù)器資源或者邊界網(wǎng)絡(luò)中的中間通信設(shè)備(如防火墻和負(fù)載均衡器)的資源。其強(qiáng)度以每秒分組數(shù)來(lái)衡量。
[0040]應(yīng)用層攻擊包括Slowloris、Zero_dayDDoS攻擊、針對(duì)Apache、Windows或OpenBSD弱點(diǎn)的DDoS攻擊等。這些攻擊由貌似合法且清白的請(qǐng)求組成,其目的是摧毀IP服務(wù)器提供的服務(wù),例如web服務(wù)。其強(qiáng)度以每秒請(qǐng)求數(shù)來(lái)衡量。
[0041]不規(guī)則性的另一特定形式是不存在任何IP業(yè)務(wù)到達(dá)邊界網(wǎng)絡(luò),或者是到達(dá)邊界網(wǎng)絡(luò)的正常IP業(yè)務(wù)降低。這可能指示公共IP網(wǎng)絡(luò)中的任何故障,例如服務(wù)器宕機(jī)。
[0042]示例中,丟棄通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的步驟包括:在邊界網(wǎng)絡(luò)中放棄、阻止和重定向IP業(yè)務(wù)中的任一項(xiàng)。
[0043]該步驟可以通過(guò)包括在邊界網(wǎng)絡(luò)中的防火墻、IP服務(wù)器和服務(wù)中的任一個(gè)來(lái)執(zhí)行。在本發(fā)明的上下文中,防火墻是基于軟件或硬件的、通過(guò)分析IP分組并基于所應(yīng)用的規(guī)則集合來(lái)確定是否應(yīng)運(yùn)行它們通過(guò),由此控制進(jìn)出網(wǎng)絡(luò)的IP業(yè)務(wù)的網(wǎng)絡(luò)安全系統(tǒng)。由此,防火墻被布置為在信任的安全內(nèi)網(wǎng)(即邊界網(wǎng)絡(luò))和公共IP網(wǎng)絡(luò)之間建立屏障。
[0044]在又一個(gè)示例中,在邊界網(wǎng)絡(luò)中,在所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上啟用位于IP服務(wù)器和至少一個(gè)通信服務(wù)提供方之間的、用于IP服務(wù)器提供的服務(wù)的連接的步驟包括以下步驟:在邊界網(wǎng)絡(luò)中,確定哪些通信服務(wù)提供方被訂閱到受控安全訪問(wèn)服務(wù),以及在邊界網(wǎng)絡(luò)中,在專(zhuān)用IP網(wǎng)絡(luò)上啟用到各個(gè)被訂閱的通信服務(wù)提供方的、用于IP服務(wù)器提供的服務(wù)的連接。
[0045]在本發(fā)明的第二方面中,提出一種邊界網(wǎng)絡(luò),包括提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器,所述邊界網(wǎng)絡(luò)被布置用于在公共IP網(wǎng)絡(luò)上為至少一個(gè)通信服務(wù)提供方提供到IP服務(wù)器的連接。
[0046]邊界網(wǎng)絡(luò)包括:可操作為檢測(cè)通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性的檢測(cè)器模塊;可操作為丟棄通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)的丟棄器模塊;以及可操作為在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上,啟用到至少一個(gè)通信服務(wù)提供方的、用于IP服務(wù)器提供的服務(wù)的連接的啟用器模塊。
[0047]檢測(cè)器模塊、丟棄器模塊和啟用器模塊可以包括在邊界網(wǎng)絡(luò)的防火墻中、IP服務(wù)器中、甚至包括在IP服務(wù)器提供的服務(wù)中。
[0048]示例中,啟用器模塊還可操作為:建立位于至少一個(gè)通信服務(wù)提供方和IP服務(wù)器之間的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò),以及在所建立的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上,連接至少一個(gè)通信服務(wù)提供方,以用于IP服務(wù)器提供的服務(wù)。
[0049]在另一個(gè)示例中,IP服務(wù)器經(jīng)由包括在IP服務(wù)器中的第一公共IP接口,在公共IP網(wǎng)絡(luò)上提供服務(wù),其中,啟用器模塊可操作為通過(guò)包括在IP服務(wù)器中的第二IP接口來(lái)啟用到至少一個(gè)通信服務(wù)提供方的連接。
[0050]在又一個(gè)示例中,啟用器模塊可操作為啟用到至少一個(gè)通信服務(wù)提供方的連接,包括啟用的預(yù)先建立的專(zhuān)用IP網(wǎng)絡(luò)上的連接。
[0051]在另一個(gè)示例中,啟用器模塊可操作為:啟用位于邊界網(wǎng)絡(luò)和包括在至少一個(gè)通信服務(wù)提供方中的網(wǎng)關(guān)通用分組無(wú)線服務(wù)GPRS支持節(jié)點(diǎn)GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)PDN-Gw中任一項(xiàng)之間的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上的連接。
[0052]在又一個(gè)示例中,IP業(yè)務(wù)中的不規(guī)則性包括:通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的過(guò)載,以及不存在通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的針對(duì)服務(wù)的IP業(yè)務(wù)中的任一項(xiàng)。
[0053]在再一個(gè)示例中,丟棄器模塊可操作為:丟棄通過(guò)公共IP網(wǎng)絡(luò)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù),所述丟棄包括在邊界網(wǎng)絡(luò)中丟棄、阻止和重定向IP業(yè)務(wù)中的任一項(xiàng)。
[0054]在又一個(gè)示例中,啟用器模塊可操作為:確定哪些通信服務(wù)提供方被訂閱到受控安全訪問(wèn)服務(wù),以及在專(zhuān)用IP網(wǎng)絡(luò)上,啟用用于IP服務(wù)器提供的服務(wù)的、到各個(gè)被訂閱的通信服務(wù)提供方的連接。
[0055]在本發(fā)明的第三方面中,提出一種提供服務(wù)的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器,其中所述IP服務(wù)器被布置用于在公共IP網(wǎng)絡(luò)上為至少一個(gè)通信服務(wù)提供方提供到IP服務(wù)器的連接。
[0056]所述IP服務(wù)器包括:可操作為檢測(cè)通過(guò)公共IP網(wǎng)絡(luò)到達(dá)IP服務(wù)器的IP業(yè)務(wù)中的不規(guī)則性的檢測(cè)器模塊;可操作為丟棄通過(guò)公共IP網(wǎng)絡(luò)到達(dá)IP服務(wù)器的IP業(yè)務(wù)的丟棄器模塊;以及可操作為在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)上啟用到至少一個(gè)通信服務(wù)提供方的、用于IP服務(wù)器提供的服務(wù)的連接的啟用器模塊。
[0057]互聯(lián)網(wǎng)協(xié)議IP服務(wù)器可以包括處理器和存儲(chǔ)器,其中存儲(chǔ)器包括處理器可執(zhí)行的指令,由此IP接入點(diǎn)服務(wù)器操作為執(zhí)行上述方法中的任一個(gè)。
[0058]在本發(fā)明的上下文中,模塊、設(shè)備、裝置等還可以實(shí)現(xiàn)為在處理器上運(yùn)行的計(jì)算機(jī)程序。
[0059]作為示例,IP服務(wù)器提供的服務(wù)可以是web服務(wù),即容宿web站點(diǎn)。
[0060]從參考附圖的以下描述中將可以最好地理解本發(fā)明的上述和其他的特征和優(yōu)點(diǎn)。在附圖中,類(lèi)似的附圖標(biāo)記表示完全相同的部分或執(zhí)行完全相同或類(lèi)似功能或操作的部分。
[0061]本發(fā)明不限于以下結(jié)合特定類(lèi)型的通信服務(wù)提供方或公共IP網(wǎng)絡(luò)而公開(kāi)的特定示例。
【附圖說(shuō)明】
[0062]圖1是示出根據(jù)本發(fā)明的拓?fù)浣Y(jié)構(gòu)的示意圖的框圖,包括通信服務(wù)提供方、公共IP網(wǎng)絡(luò)和邊界網(wǎng)絡(luò)。
[0063]圖2是示出根據(jù)本發(fā)明被布置為通過(guò)專(zhuān)用IP網(wǎng)絡(luò)連接到IP服務(wù)器的GGSN的示意圖的框圖。
[0064]圖3是示出根據(jù)本發(fā)明的IP服務(wù)器的示意圖的框圖。
[0065]圖4是示出根據(jù)本發(fā)明的拓?fù)浣Y(jié)構(gòu)的示意圖的框圖,其中位于通信服務(wù)提供方和IP服務(wù)器之間的專(zhuān)用IP網(wǎng)絡(luò)是預(yù)先建立的。
[0066]圖5是示出根據(jù)本發(fā)明的為至少一個(gè)通信服務(wù)提供方提供到邊界網(wǎng)絡(luò)中的IP服務(wù)器的連接的方法的示意圖的信令圖。
[0067]圖6是示出在根據(jù)本發(fā)明的方法中執(zhí)行的步驟的示意圖的流程圖。
【具體實(shí)施方式】
[0068]圖1是根據(jù)本發(fā)明的拓?fù)浣Y(jié)構(gòu)I的示意圖,包括通信服務(wù)提供方3和8、公共IP網(wǎng)絡(luò)6和邊界網(wǎng)絡(luò)11。
[0069]大多數(shù)管理員創(chuàng)建邊界網(wǎng)絡(luò)11以便將他們的防火墻10、14布置在邊界網(wǎng)絡(luò)和外部世界之間,從而他們可以過(guò)濾IP分組業(yè)務(wù)。大多數(shù)邊界網(wǎng)絡(luò)是非軍事區(qū)DMZ(DemilitarizedZone)的一部分。然而,邊界網(wǎng)絡(luò)11可能具有一些當(dāng)決定將系統(tǒng)和服務(wù)布置在哪里時(shí)可能要考慮的附加功用。
[0070]邊界網(wǎng)絡(luò)11包括兩個(gè)防火墻10、14和提供服務(wù)的IP服務(wù)器12。服務(wù)可以是例如網(wǎng)上銀行的網(wǎng)站。第一防火墻14用作位于IP服務(wù)器12和公共IP網(wǎng)絡(luò)(即公共互聯(lián)網(wǎng)6)之間的保護(hù)性屏障。第二防火墻10用作位于IP服務(wù)器12和通信服務(wù)提供方(即移動(dòng)網(wǎng)絡(luò)操作方(MN0)8)之間的保護(hù)性屏障。
[0071]在正常操作期間通過(guò)公共互聯(lián)網(wǎng)6提供服務(wù)。第一用戶(hù)2可能能夠經(jīng)由通信服務(wù)提供方(該情形中,互聯(lián)網(wǎng)服務(wù)提供方3)來(lái)訪問(wèn)公共互聯(lián)網(wǎng)6??梢酝ㄟ^(guò)互聯(lián)網(wǎng)服務(wù)提供方3中包括的接入點(diǎn)來(lái)建立到公共互聯(lián)網(wǎng)6的連接。
[0072]第一用戶(hù)2能夠經(jīng)由其互聯(lián)網(wǎng)服務(wù)提供方3和公共互聯(lián)網(wǎng)6,訪問(wèn)5由IP服務(wù)器12提供的服務(wù)。該示例中,任何進(jìn)出業(yè)務(wù)都需要經(jīng)過(guò)包括在邊界網(wǎng)絡(luò)11中的第一防火墻14。
[0073]第二用戶(hù)7連接到以移動(dòng)網(wǎng)絡(luò)操作方8的形式的通信服務(wù)提供方??梢酝ㄟ^(guò)移動(dòng)網(wǎng)絡(luò)操作方8中包括的網(wǎng)關(guān)通用分組無(wú)線服務(wù)GPRS支持節(jié)點(diǎn)GGSN來(lái)建立該連接。GGSN為其相連的用戶(hù)設(shè)備(例如第二用戶(hù)7)提供互聯(lián)網(wǎng)連接性。
[0074]第二用戶(hù)7對(duì)IP服務(wù)器12提供的服務(wù)的訪問(wèn)4被布置為與第一用戶(hù)2相似的方式,即,經(jīng)由移動(dòng)網(wǎng)絡(luò)操作方8和公共互聯(lián)網(wǎng)6到邊界網(wǎng)絡(luò)11。
[0075]邊界網(wǎng)絡(luò)11可以是非軍事區(qū)DMZ13DMZ通常被認(rèn)為是用于保護(hù)局域網(wǎng)使其與互聯(lián)網(wǎng)6隔開(kāi)的防火墻配置。該示例示出了僅包括一個(gè)IP服務(wù)器12的簡(jiǎn)化邊界網(wǎng)絡(luò)11。邊界網(wǎng)絡(luò)可以包括提供多個(gè)服務(wù)的多個(gè)IP服務(wù)器和多個(gè)防火墻。為簡(jiǎn)化起見(jiàn),邊界網(wǎng)絡(luò)11中僅包括一個(gè)服務(wù)器。
[0076]在根據(jù)本發(fā)明的另一個(gè)示例中,IP服務(wù)器12自身可以形成邊界網(wǎng)絡(luò)11。由此,防火墻14、10可以包含在IP服務(wù)器12中。
[0077]第一防火墻14包括允許IP服務(wù)器12向邊界網(wǎng)絡(luò)外的程序、系統(tǒng)服務(wù)、服務(wù)器和/或用戶(hù)發(fā)送業(yè)務(wù)和從它們接收業(yè)務(wù)的規(guī)則。通常,可以創(chuàng)建允許IP分組到達(dá)防火墻和阻止IP分組到達(dá)防火墻的防火墻規(guī)則。
[0078]該示例中,第一防火墻14被設(shè)置為允許與IP服務(wù)器12提供的服務(wù)(S卩,網(wǎng)上銀行的網(wǎng)站)相關(guān)的所有進(jìn)出業(yè)務(wù)。
[0079]邊界網(wǎng)絡(luò)11的第一防火墻14被布置為檢測(cè)到達(dá)邊界網(wǎng)絡(luò)11的IP業(yè)務(wù)中的不規(guī)則性,例如,分布式拒絕服務(wù)(DDoS)攻擊13的形式。
[0080]存在很多不同類(lèi)型的DDoS攻擊,每種DDoS攻擊都針對(duì)過(guò)載狀況,例如,IP服務(wù)器12的帶寬飽和、IP服務(wù)器12的資源飽和、IP服務(wù)器12提供的服務(wù)的崩潰或其組合。
[0081 ] 一旦檢測(cè)DDoS攻擊13,防火墻14就可以采取措施,以獲得邊界網(wǎng)絡(luò)將丟棄15通過(guò)公共IP網(wǎng)絡(luò)6到達(dá)邊界網(wǎng)絡(luò)11的任何IP業(yè)務(wù)的效果。在本發(fā)明的上下文中,丟棄可以包括忽略、阻止、放棄、拒絕或重定向到達(dá)的IP業(yè)務(wù)。
[0082]然后,邊界網(wǎng)絡(luò)11被布置為在專(zhuān)用IP網(wǎng)絡(luò)9上啟用用于IP服務(wù)器提供的服務(wù)的、到移動(dòng)網(wǎng)絡(luò)操作方8的連接。
[0083]該安全連接可能涉及IP分組交換(IPX)或虛擬專(zhuān)用網(wǎng)絡(luò)(VPN) JPX例如是用于保護(hù)移動(dòng)網(wǎng)絡(luò)操作方之間的IP通信的IP基礎(chǔ)設(shè)施。在針對(duì)特定互聯(lián)網(wǎng)服務(wù)(如Web服務(wù))的DDoS攻擊13的情形中,移動(dòng)網(wǎng)絡(luò)操作方8可以通過(guò)IPX來(lái)啟用到該互聯(lián)網(wǎng)服務(wù)的防問(wèn)。然后,互聯(lián)網(wǎng)服務(wù)將具有到IPX的操作連接,IP服務(wù)器12將能夠經(jīng)由其到IPX的連接來(lái)接受web月艮務(wù)的超文本傳輸協(xié)議(HTTP)業(yè)務(wù)。
[0084]另一種選擇是,針對(duì)特定互聯(lián)網(wǎng)服務(wù),在移動(dòng)網(wǎng)絡(luò)操作方8和邊界網(wǎng)絡(luò)11或IP服務(wù)器12之間預(yù)先建立VPN隧道。在web服務(wù)的情形中,一旦啟用和激活VPN隧道,就將接受經(jīng)過(guò)VPN隧道的HTTP業(yè)務(wù)。
[0085]圖2是根據(jù)本發(fā)明被布置為通過(guò)專(zhuān)用IP網(wǎng)絡(luò)41連接到IP服務(wù)器的GGSN33的示意圖。
[0086]這里,GGSN33包括被布置為與用戶(hù)設(shè)備(UE)發(fā)送接收IP分組的第一IP接口32,所述UE具有到GGSN 33的功能連接。經(jīng)由第一IP接口 32,從UE接收訪問(wèn)IP服務(wù)器提供的特定服務(wù)的進(jìn)入請(qǐng)求。
[0087]根據(jù)本發(fā)明,分組傳輸業(yè)務(wù)邏輯34被布置用于確定應(yīng)通過(guò)正常連接40還是專(zhuān)用IP網(wǎng)絡(luò)41來(lái)發(fā)送該請(qǐng)求。在正常操作期間,從IP服務(wù)器接收或向其發(fā)送的任何IP分組都以正常路由行進(jìn),即經(jīng)由公共IP網(wǎng)絡(luò)37,如互聯(lián)網(wǎng)。
[0088]在該示例中,一旦IP服務(wù)器或IP服務(wù)器所在的邊界網(wǎng)絡(luò)檢測(cè)到進(jìn)出IP業(yè)務(wù)中的不規(guī)則性,就可以決定停止激活其到互聯(lián)網(wǎng)37的公共連接。
[0089]由此,位于IP服務(wù)器和GGSN33之間的互聯(lián)網(wǎng)37上的正常連接40將不再可用,因?yàn)镮P服務(wù)器將不處理正常連接40上的任何IP分組。
[0090]在該情形中,IP服務(wù)器可以決定啟用位于GGSN 33和IP服務(wù)器之間的專(zhuān)用IP網(wǎng)絡(luò)41上的第二連接42。該示例中,專(zhuān)用IP網(wǎng)絡(luò)41是虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)41。
[0091]VPN使用公共IP網(wǎng)絡(luò)37、39來(lái)支持?jǐn)?shù)據(jù)通信。大多數(shù)VPN實(shí)現(xiàn)使用互聯(lián)網(wǎng)作為公共IP網(wǎng)絡(luò),并使用各種專(zhuān)門(mén)協(xié)議來(lái)支持經(jīng)過(guò)互聯(lián)網(wǎng)的專(zhuān)用通信。VPN符合客戶(hù)端服務(wù)器方案。VPN服務(wù)器對(duì)用戶(hù)進(jìn)行認(rèn)證,加密數(shù)據(jù),并使用隧道(tunneling)技術(shù)來(lái)管理與VPN服務(wù)器的會(huì)話。
[0092]可以通過(guò)IP服務(wù)器或邊界網(wǎng)絡(luò)或者通過(guò)GGSN 33來(lái)建立或發(fā)起VPN。圖2同時(shí)示出了正常連接40和通過(guò)GGSN 33的第二IP接口36來(lái)處理的第二連接42AGSN 33還可以配備防火墻35以確定是否應(yīng)當(dāng)允許發(fā)送或接收任何IP分組。
[0093]該示例中,雖然在檢測(cè)不規(guī)則性前建立VPN41,但在IP服務(wù)器的正常操作期間不使用VPN 41。一旦IP服務(wù)器或邊界網(wǎng)絡(luò)檢測(cè)到導(dǎo)致對(duì)IP服務(wù)器資源的突發(fā)性增長(zhǎng)需求的不規(guī)則性,就啟用(即激活)VPN 41,使得IP服務(wù)器提供的服務(wù)經(jīng)由VPN 41而可用,并禁用正常連接40。
[0094]圖3是根據(jù)本發(fā)明的IP服務(wù)器51的示意圖。IP服務(wù)器51被布置為通過(guò)公共連接55(即互聯(lián)網(wǎng)連接)提供服務(wù)66。經(jīng)由公共連接55向用戶(hù)設(shè)備提供對(duì)服務(wù)66的訪問(wèn)。
[0095]IP服務(wù)器51包括處理單元64和存儲(chǔ)器65,其中處理單元64連接到接收器模塊59、發(fā)送器模塊63、啟用器模塊60、受控安全訪問(wèn)服務(wù)61和服務(wù)模塊66。
[0096]任何進(jìn)出IP業(yè)務(wù)都經(jīng)過(guò)輸入/輸出(I/O)、端口 56和防火墻57。防火墻包括被布置為檢測(cè)到達(dá)IP服務(wù)器51的IP業(yè)務(wù)中的不規(guī)則性的檢測(cè)器模塊54。不規(guī)則性可能與DDoS攻擊有關(guān),其中,從多個(gè)主機(jī)向IP服務(wù)器51發(fā)送海量分組,目的是使IP服務(wù)器51過(guò)載。
[0097]IP服務(wù)器51過(guò)載的效果可能是,經(jīng)由服務(wù)模塊66具有或請(qǐng)求對(duì)服務(wù)的訪問(wèn)的任何用戶(hù)設(shè)備經(jīng)受到來(lái)自IP服務(wù)器51的緩慢響應(yīng)或沒(méi)有響應(yīng)。在這種情形中,IP服務(wù)器51的資源可能被DDoS攻擊的處理(即,I/O端口 56處接收的IP分組)占據(jù)。
[0098]在檢測(cè)器模塊54檢測(cè)到不規(guī)則性的情形中,丟棄器模塊58可以決定丟棄在I/O端口 56處接收的任何或所有IP業(yè)務(wù)。這可以通過(guò)例如使接收器模塊59和防火墻57功能斷開(kāi),使防火墻57和I/O端口 56功能斷開(kāi),或者丟棄防火墻57接收的任何到達(dá)IP分組來(lái)實(shí)現(xiàn)。
[0099]然后,啟用器模塊60可操作為啟用專(zhuān)用IP網(wǎng)絡(luò)上的一個(gè)或多個(gè)第二連接52,以確保相連的UE能夠具有到服務(wù)模塊66提供的服務(wù)的連續(xù)訪問(wèn),或者獲得到該服務(wù)的訪問(wèn)。
[0100]啟用器模塊60可以決定僅啟用專(zhuān)用IP網(wǎng)絡(luò)上到訂閱至受控安全訪問(wèn)服務(wù)61的通信服務(wù)提供方的第二連接52。
[0101]該示例中,通過(guò)第二連接52發(fā)送的IP分組經(jīng)過(guò)第二I/O端口 53并被第二防火墻62允許或拒絕。
[0102]圖4是根據(jù)本發(fā)明的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)81的示意圖,其中位于通信服務(wù)提供方83和IP服務(wù)器91之間的專(zhuān)用IP網(wǎng)絡(luò)87是預(yù)先建立的。
[0103]IP服務(wù)器91在正常操作條件期間監(jiān)視所提供的服務(wù)到公共IP網(wǎng)絡(luò)(即互聯(lián)網(wǎng)82)的訪問(wèn)的操作狀態(tài)。該監(jiān)視可以通過(guò)例如防火墻89或IP服務(wù)器91來(lái)執(zhí)行。
[0104]該示例中,建立但不使用VPN隧道87,即將其置于靜止?fàn)顟B(tài)。在VPN隧道87的建立期間,GGSN 84或I3DN-Gw各自獲得互聯(lián)網(wǎng)地址(如IP地址或主機(jī)名地址),其中所述IP地址可以用于與IP服務(wù)器91提供的服務(wù)的通信。
[0105]VPN隧道87的靜止?fàn)顟B(tài)造成GGSN 84和IP服務(wù)器91提供的服務(wù)針對(duì)任何IP數(shù)據(jù)業(yè)務(wù)都不使用VPN隧道87。甚至可以在檢測(cè)到不規(guī)則性前使用VPN隧道87,用于正常信號(hào)發(fā)送,例如,保持VPN隧道87活躍。
[0106]經(jīng)由IP服務(wù)器91的防火墻89,通過(guò)公共互聯(lián)網(wǎng)82并經(jīng)由GGSN 86的防火墻86,IP月艮務(wù)器91和GGSN 84之間的通信88就緒。
[0107]可能存在多個(gè)通信服務(wù)提供方83,所述通信服務(wù)提供方具有被建立為到IP服務(wù)器91的VPN隧道。示例中,允許多個(gè)移動(dòng)網(wǎng)絡(luò)操作方建立與IP服務(wù)器91的VPN隧道87,但不允許互聯(lián)網(wǎng)服務(wù)提供方這么做。
[0108]在檢測(cè)到邊界網(wǎng)絡(luò)90中的不規(guī)則性后,例如由防火墻89或IP服務(wù)器91,將使用VPN隧道87以用于IP業(yè)務(wù)。IP服務(wù)器91可以確定可通過(guò)VPN隧道87發(fā)送和接收用于其提供的服務(wù)的IP分組。此外,為與通信服務(wù)提供方進(jìn)行通信,IP服務(wù)器91還可以確定允許使用例如其他類(lèi)型協(xié)議的其他類(lèi)型服務(wù)使用VPN隧道87。
[0109]圖5是根據(jù)本發(fā)明的為至少一個(gè)通信服務(wù)提供方104提供到邊界網(wǎng)絡(luò)113中的IP服務(wù)器114的連接的方法的示意圖。這里,用戶(hù)設(shè)備102發(fā)起在IP服務(wù)器114處加載網(wǎng)頁(yè)的請(qǐng)求124。請(qǐng)求124包括IP服務(wù)器114的標(biāo)識(shí)或地址,例如IP地址或主機(jī)名地址。
[0110]由于GGSN103是通信服務(wù)提供方104中與UE 103通信的第一網(wǎng)絡(luò)服務(wù)器(S卩,用于向/從分組數(shù)據(jù)網(wǎng)絡(luò)發(fā)送/接收的數(shù)據(jù)業(yè)務(wù)),GGSN 103接收該請(qǐng)求。由此,在該示例中,通信服務(wù)提供方104是移動(dòng)網(wǎng)絡(luò)操作方。
[0111]針對(duì)其所有相連的E102,GGSN 103可以執(zhí)行不同類(lèi)型的策略處理,例如IP地址指派、認(rèn)證和計(jì)費(fèi)功能、分組路由和傳輸。
[0112]然后,GGSN103將用于加載網(wǎng)頁(yè)124的接收請(qǐng)求轉(zhuǎn)發(fā)123至公共IP網(wǎng)絡(luò),即互聯(lián)網(wǎng)106。在UE 102發(fā)起的用于在IP服務(wù)器114處加載網(wǎng)頁(yè)的請(qǐng)求中涉及到互聯(lián)網(wǎng)106中包括的多個(gè)服務(wù)器109、122。這些服務(wù)器109、122被布置為將從GGSN 103接收的請(qǐng)求123轉(zhuǎn)發(fā)107、110至IP服務(wù)器114。
[0113]該示例中,IP服務(wù)器114位于邊界網(wǎng)絡(luò)113中。邊界網(wǎng)絡(luò)113是屏蔽或被保護(hù)而與互聯(lián)網(wǎng)106隔開(kāi)的網(wǎng)絡(luò)。邊界網(wǎng)絡(luò)113包括防火墻112,對(duì)于邊界網(wǎng)絡(luò)113處的所有進(jìn)入業(yè)務(wù)而言,所述防火墻112被認(rèn)為是邊界網(wǎng)絡(luò)113中的第一入口點(diǎn)。
[0114]因此,首先由防火墻112接收在邊界網(wǎng)絡(luò)113處加載網(wǎng)頁(yè)的進(jìn)入請(qǐng)求110。防火墻包括用于確定是否允許邊界網(wǎng)絡(luò)113處的/來(lái)自邊界網(wǎng)絡(luò)113的任何進(jìn)出業(yè)務(wù)的規(guī)則集合。
[0115]這里,防火墻112被設(shè)置為允許涉及IP服務(wù)器114提供的服務(wù)(即網(wǎng)頁(yè))的所有進(jìn)出IP業(yè)務(wù)。由此,防火墻112允許用于加載網(wǎng)頁(yè)的請(qǐng)求110,并將該請(qǐng)求轉(zhuǎn)發(fā)115至IP服務(wù)器114。
[0116]IP服務(wù)器114被布置為基于接收115的請(qǐng)求,以例如“home.html”文件的形式提供網(wǎng)頁(yè)。經(jīng)由相同的路由,即經(jīng)由防火墻112,互聯(lián)網(wǎng)106中包括的中間服務(wù)器109、122,到移動(dòng)網(wǎng)絡(luò)操作方104中包括的GGSN103,最后到UE 102,向UE提供“home.html”文件,如附圖標(biāo)記116、111、108、120 和 121所示。
[0117]在UE102加載完整的內(nèi)容以前,重復(fù)多次用于加載網(wǎng)頁(yè)的上述簡(jiǎn)要處理,S卩,UE多次發(fā)起對(duì)網(wǎng)頁(yè)內(nèi)容訪問(wèn)的請(qǐng)求。
[0118]該示例中,在加載網(wǎng)頁(yè)的處理期間,位于互聯(lián)網(wǎng)106中的服務(wù)器發(fā)起DDoS攻擊119。互聯(lián)網(wǎng)中的多個(gè)服務(wù)器可以同時(shí)發(fā)起DDoS攻擊119。所示出的DDoS攻擊119造成上述多個(gè)服務(wù)器向IP服務(wù)器114和/或IP服務(wù)器114提供的服務(wù)(即網(wǎng)頁(yè))發(fā)送海量IP分組。DDoS攻擊119的意圖是務(wù)使IP服務(wù)器114提供的服務(wù)不再可用。
[0119]防火墻112被布置為,一旦檢測(cè)到DDoS攻擊119,至少暫時(shí)阻止進(jìn)出互聯(lián)網(wǎng)106的特定或所有IP業(yè)務(wù),從而保護(hù)IP服務(wù)器114和提供的服務(wù)。
[0120]發(fā)明人找到針對(duì)DDoS攻擊期間服務(wù)不可用方面的解決方案。其指出,邊界網(wǎng)絡(luò)113應(yīng)在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(即,VPN 117)上啟用用于IP服務(wù)器114提供的服務(wù)的、到移動(dòng)網(wǎng)絡(luò)操作方104的連接118。
[0121]由此,不僅IP服務(wù)器114和IP服務(wù)器114提供的服務(wù)被保護(hù)而不受到DDoS攻擊119,還經(jīng)由專(zhuān)用IP網(wǎng)絡(luò)(即,VPN 117,例如虛擬專(zhuān)用網(wǎng)絡(luò))保證UE 102對(duì)服務(wù)的訪問(wèn)。
[0122]該示例示出了在GGSN 103和IP服務(wù)器114之間預(yù)先建立VPN隧道105。然而,一旦檢測(cè)到DDoS攻擊119,就啟用VPN 117,即啟用以用于GGSN 103和IP服務(wù)器114之間的通信。
[0123]圖6是示出在根據(jù)本發(fā)明的方法中執(zhí)行的步驟的示意圖的流程圖130。
[0124]在第一個(gè)步驟中,邊界網(wǎng)絡(luò)(具體地,包括在邊界網(wǎng)絡(luò)中的防火墻)被布置為檢測(cè)131到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的不規(guī)則性。例如,不規(guī)則性可以是到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)中的過(guò)載,或者沒(méi)有IP業(yè)務(wù)到達(dá)邊界網(wǎng)絡(luò)。
[0125]沒(méi)有IP業(yè)務(wù)到達(dá)邊界網(wǎng)絡(luò)可能指示基礎(chǔ)設(shè)施(如互聯(lián)網(wǎng))中存在故障。這種故障可能導(dǎo)致IP分組不能到達(dá)邊界網(wǎng)絡(luò)。
[0126]然后,防火墻丟棄132通過(guò)互聯(lián)網(wǎng)到達(dá)邊界網(wǎng)絡(luò)的IP業(yè)務(wù)。IP業(yè)務(wù)的丟棄132還可以包括丟棄、阻止和重定向IP業(yè)務(wù)中的任一項(xiàng)。
[0127]接下來(lái),確定哪些通信服務(wù)提供方被訂閱133到受控安全訪問(wèn)服務(wù)。該訂閱指示通信服務(wù)提供方是值得信任的,使得可以建立這些被訂閱的通信服務(wù)提供方和IP服務(wù)器之間的專(zhuān)用IP網(wǎng)絡(luò),或者當(dāng)在各個(gè)通信服務(wù)提供方和邊界網(wǎng)絡(luò)之間預(yù)先建立該專(zhuān)用IP網(wǎng)絡(luò)時(shí),可以激活該專(zhuān)用IP網(wǎng)絡(luò)。
[0128]然后,在IP服務(wù)器和被訂閱的通信服務(wù)提供方之間實(shí)際建立134專(zhuān)用IP網(wǎng)絡(luò),通過(guò)建立的專(zhuān)用IP網(wǎng)絡(luò),將這些通信服務(wù)提供方和IP服務(wù)器提供的服務(wù)相連135。
[0129]本發(fā)明的優(yōu)點(diǎn)是,在檢測(cè)到不規(guī)則性(如DDoS攻擊)后,提供位于IP服務(wù)器和通信服務(wù)提供方之間的有用連接。由此,仍然可以訪問(wèn)IP服務(wù)器提供的服務(wù)。
[0130]使用專(zhuān)用IP網(wǎng)絡(luò)來(lái)啟用IP服務(wù)器和通信服務(wù)提供方之間的連接的優(yōu)點(diǎn)是,該專(zhuān)用IP網(wǎng)絡(luò)和公共IP網(wǎng)絡(luò)阻斷,從而DDoS攻擊無(wú)法定向到專(zhuān)用IP網(wǎng)絡(luò)。
[0131]本發(fā)明不限于以上公開(kāi)的實(shí)施例,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求中所公開(kāi)的本發(fā)明范圍的前提下,不必應(yīng)用創(chuàng)造性技術(shù),可以對(duì)本發(fā)明進(jìn)行修改和增強(qiáng)。
【主權(quán)項(xiàng)】
1.一種提供位于至少一個(gè)通信服務(wù)提供方(8,83,104)與邊界網(wǎng)絡(luò)(11,90,113)中的互聯(lián)網(wǎng)協(xié)議IP服務(wù)器(12,51,91,114)之間的連接的方法,所述IP服務(wù)器(12,51,91,114)通過(guò)公共IP網(wǎng)絡(luò)(6,37,39,82,106)提供服務(wù),所述方法包括以下步驟,在所述邊界網(wǎng)絡(luò)(11,90,113)中: -檢測(cè)通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的1?業(yè)務(wù)中的不規(guī)則性,其中所述不規(guī)則性包括以下任一項(xiàng): -通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的1?業(yè)務(wù)中的過(guò)載; -不存在通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(II,90,113)的針對(duì)所述服務(wù)的IP業(yè)務(wù); -丟棄通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的1?業(yè)務(wù),以及 -在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上,啟用位于所述1?服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的、用于所述1?服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接。2.根據(jù)權(quán)利要求1所述的方法,其中所述在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上啟用位于所述IP服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的、用于所述IP服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接的步驟包括: -建立位于所述至少一個(gè)通信服務(wù)提供方(8,83,104)和所述IP服務(wù)器(12,51,91,114)之間的所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117),以及 -在所建立的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上,連接所述至少一個(gè)通信服務(wù)提供方(8,83,104),以用于所述1?服務(wù)器(12,51,91,114)提供的服務(wù)。3.根據(jù)權(quán)利要求2所述的方法,其中所述IP服務(wù)器(12,51,91,114)經(jīng)由包括在所述IP服務(wù)器(12,51,91,114)中的第一公共1?接口,通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)提供所述服務(wù),以及,通過(guò)包括在所述IP服務(wù)器(12,51,91,114)中的第二IP接口來(lái)執(zhí)行所述建立所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)的步驟和連接所述至少一個(gè)通信服務(wù)提供方(8,83,104)的步驟。4.根據(jù)權(quán)利要求1所述的方法,其中所述啟用位于所述IP服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的連接的步驟包括:啟用位于所述IP服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的至少一個(gè)預(yù)先建立的專(zhuān)用1?網(wǎng)絡(luò)(9,41,87,105,117)上的所述連接。5.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中,所述在所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上啟用位于所述1?服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的、用于所述IP服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接的步驟包括:啟用位于所述IP服務(wù)器(12,51,91,114)和包括在所述至少一個(gè)通信服務(wù)提供方(8,83,104)中的網(wǎng)關(guān)通用分組無(wú)線服務(wù)GPRS支持節(jié)點(diǎn)GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)TON-Gw中的任一項(xiàng)之間的所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上的連接。6.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中,通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù)中的所述過(guò)載包括基于體量的過(guò)載、基于協(xié)議的過(guò)載和基于請(qǐng)求的過(guò)載中的任一項(xiàng)。7.根據(jù)前述任一項(xiàng)權(quán)利要求所述的方法,其中,所述丟棄通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù)的步驟包括:放棄、阻止和重定向所述IP業(yè)務(wù)中的任一項(xiàng)。8.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中所述在所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上啟用位于所述1?服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的、用于所述IP服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接的步驟包括以下步驟:在所述邊界網(wǎng)絡(luò)(11,90,113)中, -確定所述至少一個(gè)通信服務(wù)提供方(8,83,104)中哪些被訂閱到受控安全訪問(wèn)服務(wù),以及 -在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上,啟用位于所述1?服務(wù)器(12,51,91,114)和被訂閱的通信服務(wù)提供方(8,83,104,104)之間的、用于所述1?服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接。9.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中,所述檢測(cè)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù)中的不規(guī)則性的步驟由以下至少一個(gè)來(lái)執(zhí)行:包括在所述邊界網(wǎng)絡(luò)(11,90,113)中的防火墻、所述IP服務(wù)器(12,51,91,114)和所述服務(wù)。10.—種邊界網(wǎng)絡(luò)(11,90,113),包括通過(guò)公共互聯(lián)網(wǎng)協(xié)議1?網(wǎng)絡(luò)(6,37,39,82,106)提供服務(wù)的IP服務(wù)器(12,51,91,114),所述邊界網(wǎng)絡(luò)(11,90,113)被布置用于提供位于所述1?服務(wù)器(12,51,91,114)和至少一個(gè)通信服務(wù)提供方(8,83,104)之間的連接,所述邊界網(wǎng)絡(luò)(11,90,113)包括: -檢測(cè)器模塊(54),能夠操作為檢測(cè)通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù)中的不規(guī)則性,其中所述不規(guī)則性包括以下任一項(xiàng): -通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的1?業(yè)務(wù)中的過(guò)載; -不存在通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(II,90,113)的針對(duì)所述服務(wù)的IP業(yè)務(wù); -丟棄器模塊(58),能夠操作為丟棄通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù),以及 -啟用器模塊(60),能夠操作為:在至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上,啟用位于所述IP服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,83,104)之間的、用于所述IP服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接。11.根據(jù)權(quán)利要求10所述的邊界網(wǎng)絡(luò)(11,90,113),其中所述啟用器模塊還能夠操作為:建立位于所述至少一個(gè)通信服務(wù)提供方(8,83,104)和所述IP服務(wù)器(12,51,91,114)之間的所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117),以及在所建立的至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上,連接所述至少一個(gè)通信服務(wù)提供方(8,83,104),以用于所述IP服務(wù)器(12,51,91,114)提供的服務(wù)。12.根據(jù)權(quán)利要求11所述的邊界網(wǎng)絡(luò)(11,90,113),其中所述1?服務(wù)器(12,51,91,114)經(jīng)由包括在所述IP服務(wù)器(12,51,91,114)中的第一公共IP接口,通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)提供所述服務(wù),以及,所述啟用器模塊能夠操作為通過(guò)包括在所述IP服務(wù)器(12,51,91,114)中的第二 IP接口來(lái)啟用與所述至少一個(gè)通信服務(wù)提供方(8,83,104)的連接。13.根據(jù)權(quán)利要求10所述的邊界網(wǎng)絡(luò)(11,90,113),其中所述啟用器模塊能夠操作為:通過(guò)在至少一個(gè)預(yù)先建立的專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上啟用所述連接,啟用位于所述IP服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,104)之間的所述連接。14.根據(jù)權(quán)利要求10至13中任一項(xiàng)所述的邊界網(wǎng)絡(luò)(11,90,113),其中,所述啟用器模塊能夠操作為:啟用位于所述IP服務(wù)器(12,51,91,114)和包括在所述至少一個(gè)通信服務(wù)提供方(8,83,104)中的網(wǎng)關(guān)通用分組無(wú)線服務(wù)GPRS支持節(jié)點(diǎn)GGSN及分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)TON-Gw中的任一項(xiàng)之間的所述至少一個(gè)專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上的連接。15.根據(jù)權(quán)利要求10至14中任一項(xiàng)所述的邊界網(wǎng)絡(luò)(11,90,113),其中,通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù)中的所述過(guò)載包括基于體量的過(guò)載、基于協(xié)議的過(guò)載和基于請(qǐng)求的過(guò)載中的任一項(xiàng)。16.根據(jù)權(quán)利要求10至15中任一項(xiàng)所述的邊界網(wǎng)絡(luò)(11,90,113),其中,所述丟棄器模塊能夠操作為:以放棄、阻止和重定向所述IP業(yè)務(wù)中的任一形式,丟棄通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(11,90,113)的IP業(yè)務(wù)。17.根據(jù)權(quán)利要求10至16中任一項(xiàng)所述的邊界網(wǎng)絡(luò)(11,90,113),其中所述啟用器模塊能夠操作為: -確定哪些通信服務(wù)提供方(8,83,104)被訂閱到受控安全訪問(wèn)服務(wù),以及 -在專(zhuān)用IP網(wǎng)絡(luò)(9,41,87,105,117)上,啟用用于所述IP服務(wù)器(12,51,91,114)提供的所述服務(wù)的、到被訂閱的通信服務(wù)提供方(8,83,104)的連接。18.—種通過(guò)公共互聯(lián)網(wǎng)協(xié)議IP網(wǎng)絡(luò)(6,37,39,82,106)提供服務(wù)的IP服務(wù)器(12,51,.91,114),所述IP服務(wù)器(12,51,91,114)被布置用于提供位于所述IP服務(wù)器(12,51,91,.114)和至少一個(gè)通信服務(wù)提供方(8,83,104)之間的連接,所述IP服務(wù)器(12,51,91,114)包括: -檢測(cè)器模塊(54),能夠操作為檢測(cè)通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述IP服務(wù)器(12,51,91,114)的IP業(yè)務(wù)中的不規(guī)則性,其中所述不規(guī)則性包括以下任一項(xiàng): _通過(guò)所述公共1?網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述IP服務(wù)器(12,51,91,114)的1?業(yè)務(wù)中的過(guò)載; -不存在通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述邊界網(wǎng)絡(luò)(II,90,113)的針對(duì)所述服務(wù)的IP業(yè)務(wù); -丟棄器模塊,能夠操作為丟棄通過(guò)所述公共IP網(wǎng)絡(luò)(6,37,39,82,106)到達(dá)所述IP服務(wù)器(12,51,91,114)的IP業(yè)務(wù),以及 _啟用器模塊,能夠操作為在至少一個(gè)專(zhuān)用1?網(wǎng)絡(luò)(9,41,87,105,117)上,啟用位于所述IP服務(wù)器(12,51,91,114)和所述至少一個(gè)通信服務(wù)提供方(8,83,83,104)之間的、用于所述IP服務(wù)器(12,51,91,114)提供的所述服務(wù)的連接。
【文檔編號(hào)】H04L29/06GK105850091SQ201380081766
【公開(kāi)日】2016年8月10日
【申請(qǐng)日】2013年12月20日
【發(fā)明人】馬丁·霍比, 安妮·布魯薩德, 羅希爾·奧古斯特·卡斯帕·約瑟夫·諾爾德斯, 埃里克-簡(jiǎn)·范羅內(nèi)
【申請(qǐng)人】瑞典愛(ài)立信有限公司