專利名稱:寬帶接入設備安全實現(xiàn)方法和裝置的制作方法
技術領域:
本發(fā)明涉及通訊領域,更具體地����,涉及一種寬帶接入設備安全實現(xiàn)方法和裝置�。
背景技術:
IP網(wǎng)絡安全是一個全方位的概念,主要包括網(wǎng)絡自身的安全����、網(wǎng)絡服務提供安全���、網(wǎng)絡用戶信息安全以及有害信息控制等方面。數(shù)據(jù)通訊設備與網(wǎng)絡自身安全有著直接的關系�����,對網(wǎng)絡用戶信息安全也可以起到一定的保障作用�。
最初的數(shù)據(jù)通訊設備安全主要是關注網(wǎng)絡設備自身的可靠性、重要部件的備份����、網(wǎng)絡設備的電氣特性以及網(wǎng)絡設備的性能指標等。但隨著IP網(wǎng)絡規(guī)模的增長以及技術的進步�,網(wǎng)絡安全保障對設備又有了新的要求。
當前數(shù)據(jù)通訊設備的系統(tǒng)結構如圖2所示�����,其設備安全以及對網(wǎng)絡安全的保障主要集中在以下幾個方面(1)在控制層面�����,應在控制信息訪問控制�����、控制信息驗證、控制信息不可抵賴�、控制信息保密、控制信息通信安全和控制信息完整性���、私密性方面保障安全���;
(2)在管理層面,應在管理訪問控制�、管理信息驗證、管理信息可審計����、管理信息保密性、管理信息通信安全����、管理信息完整性、私密性等方面保障安全��;以及(3)在數(shù)據(jù)轉發(fā)平面����。應在資源可用性方面保障安全,確保授權用戶對設備的使用不會因為設備被攻擊而受到影響����。
此外,數(shù)據(jù)通訊設備入網(wǎng)測試以及運營商選型測試時都特別增加了相關的安全測試選項與要求��。因此從近幾年開始�,關于設備對網(wǎng)絡和信息安全的支持將成為電信網(wǎng)絡建設以及網(wǎng)絡業(yè)務中要考慮的問題。
如圖1所示���,給出了IP城域網(wǎng)典型組網(wǎng)圖��,現(xiàn)網(wǎng)的數(shù)據(jù)通訊設備路由器�����、交換機����、寬帶遠程接入服務器(Broadband RemoteAccess Server���,BRAS)��、綜合業(yè)務接入網(wǎng)(Multi Service AccessNetwork�,MSAN)等,普遍存在IP控制層面的安全問題�����,現(xiàn)有一般的做法是對上送到控制平面的總報文數(shù)進行限制�����,保證控制平面的處理負荷不會超過極限��,在受到攻擊的情況下系統(tǒng)也能夠保持運轉��。這種實現(xiàn)方法存在一定缺陷當存在針對某種設備特定業(yè)務的拒絕服務(Denial of Service���,DOS)攻擊時���,系統(tǒng)控制處理資源大量被消耗,這種情況下系統(tǒng)雖然沒有宕機��,但已經(jīng)不能夠正常接入業(yè)務����,或者對其他類型業(yè)務的影響非常大。
發(fā)明內容
為了解決現(xiàn)有技術中存在的問題,本發(fā)明提供了一種寬帶接入設備安全實現(xiàn)方法和裝置�����,其對上送到設備控制平面的報文進行分類限速�,提高了設備的可用性����。
本發(fā)明的一個方面提供了一種寬帶接入設備安全實現(xiàn)方法,其可以包括以下步驟步驟一��,在寬帶接入設備的操作界面上�����,分別配置各種類型控制報文的限速閾值�;以及步驟二,當寬帶接入設備接收到控制報文時��,對控制報文進行分類限速處理��。
在步驟一之前還執(zhí)行以下處理確定寬帶接入設備的控制平面在單位時間內能夠處理的各種類型控制報文的數(shù)量��,作為寬帶接入設備的系統(tǒng)門限����。
另外��,在步驟一之前還執(zhí)行以下處理在寬帶接入設備中��,估算各種類型控制報文的限速閾值����。
各種類型控制報文包括PPP報文���、DHCP報文�、ARP報文��、RADIUS報文���、OSPF/RIP報文���、SNMP報文、IGMP報文���、ICMP報文�����、和TELNET報文��。
如果寬帶接入設備沒有開通關于控制報文的接入業(yè)務�����,則將控制報文的限速閾值設為0�。
步驟二中包括以下處理當寬帶接入設備的控制平面接收到控制報文時,將控制報文分類成各種類型�;將各種類型的控制報文分別放入相應分類隊列中�����,并判斷各種類型的控制報文是否超過相應的限速閾值�,并根據(jù)判斷結果進行相應處理。
另外�����,步驟二中還包括以下處理如果判斷結果是各種類型的控制報文超過相應的限速閾值��,則丟棄控制報文����;以及如果判斷結果是各種類型的控制報文沒有超過相應的限速閾值,則處理控制報文。
其中��,控制報文的類型是預先設定的��。
本發(fā)明還提供了一種寬帶接入設備安全實現(xiàn)裝置�,其可以包括閾值配置單元,用于分別配置各種類型控制報文的限速閾值���;以及限速處理單元��,用于對控制報文進行分類限速處理����。
在閾值配置單元中包括系統(tǒng)門限確定模塊���,用于確定寬帶接入設備的控制平面在單位時間內能夠處理的各種類型控制報文的數(shù)量�,作為寬帶接入設備的系統(tǒng)門限��。
在閾值配置單元中還包括閾值估算模塊���,用于估算各種類型控制報文的限速閾值。
其中�,各種類型控制報文包括PPP報文���、DHCP報文、ARP報文����、RADIUS報文、OSPF/RIP報文�����、SNMP報文��、IGMP報文��、ICMP報文��、和TELNET報文�。
如果寬帶接入設備沒有開通關于控制報文的接入業(yè)務����,則將控制報文的限速閾值設為0。
限速處理單元中包括分類模塊����,用于當寬帶接入設備的控制平面接收到控制報文時��,對控制報文進行分類����;以及判斷模塊��,用于將分類后的各種類型的控制報文分別放入相應分類隊列中���,并判斷分類后的各種類型的控制報文是否超過限速閾值��,并根據(jù)判斷結果進行相應處理�����。
另外�,限速處理單元中還包括丟棄模塊���,如果判斷結果是分類后的各種類型的控制報文超過限速閾值���,則丟棄控制報文;以及處理模塊���,如果判斷結果是分類后的各種類型的控制報文沒有超過限速閾值����,則處理控制報文。
其中���,控制報文的類型是預先設定的���。
因而,采用本發(fā)明��,能夠對各種控制報文進行分類限速�,使各種業(yè)務之間盡量相互隔離,系統(tǒng)的業(yè)務能力最大程度可用��。
本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述�����,并且����,部分地從說明書中變得顯而易見�,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書�����、權利要求書、以及附圖中所特別指出的結構來實現(xiàn)和獲得����。
附圖用來提供對本發(fā)明的進一步理解,并且構成說明書的一部分����,與本發(fā)明的實施例一起用于解釋本發(fā)明,并不構成對本發(fā)明的限制��。在附圖中圖1是IP城域網(wǎng)的組網(wǎng)圖���;圖2是根據(jù)本發(fā)明的寬帶接入設備安全實現(xiàn)方法的流程圖�����;圖3是本發(fā)明用到的IP數(shù)據(jù)產(chǎn)品通用的系統(tǒng)結構圖���;圖4根據(jù)本發(fā)明實施例的寬帶接入設備的內部處理流程圖;以及圖5是根據(jù)本發(fā)明的寬帶接入設備安全實現(xiàn)裝置的框圖����。
具體實施例方式
以下結合附圖對本發(fā)明的優(yōu)選實施例進行說明��,應當理解��,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明�����,并不用于限定本發(fā)明�����。
電信運營網(wǎng)絡中的寬帶接入設備����,如MSAN��、BRAS等���,其接入的電信業(yè)務類型都是預先設定的�����,也就是說上送到控制平面處理的報文類型基本上都是明確可知的。這樣就可以根據(jù)本設備接入的業(yè)務類型����、呼叫模型對各種控制報文進行分別限速�。
圖2是根據(jù)本發(fā)明的寬帶接入設備安全實現(xiàn)方法的流程圖��。如圖2所示���,該方法包括以下步驟步驟S202��,在寬帶接入設備的操作界面上�����,分別配置各種類型控制報文的限速閾值����;以及步驟S204�,當寬帶接入設備接收到控制報文時,對控制報文進行分類限速處理��。
在步驟S202之前還執(zhí)行以下處理確定寬帶接入設備的控制平面在單位時間內能夠處理的各種類型控制報文的數(shù)量��,作為寬帶接入設備的系統(tǒng)門限�。
另外,在步驟S202之前還執(zhí)行以下處理在寬帶接入設備中,估算各種類型控制報文的限速閾值����。
各種類型控制報文包括PPP報文、DHCP報文���、ARP報文�、RADIUS報文���、OSPF/RIP報文����、SNMP報文�����、IGMP報文���、ICMP報文���、和TELNET報文。
如果寬帶接入設備沒有開通關于控制報文的接入業(yè)務�,則將控制報文的限速閾值設為0。
步驟S204中包括以下處理當寬帶接入設備的控制平面接收到控制報文時,將控制報文分類成各種類型�����;以及將各種類型的控制報文分別放入相應分類隊列中���,并判斷各種類型的控制報文是否超過相應的限速閾值,并根據(jù)判斷結果進行相應處理�。
另外,步驟S204中還包括以下處理如果判斷結果是各種類型的控制報文超過相應的限速閾值�,則丟棄控制報文;以及如果判斷結果是各種類型的控制報文沒有超過相應的限速閾值�,則處理控制報文。
其中����,控制報文的類型是預先設定的。
圖3是本發(fā)明用到的IP數(shù)據(jù)產(chǎn)品通用的系統(tǒng)結構圖�����,以及圖4根據(jù)本發(fā)明實施例的寬帶接入設備的內部處理流程圖�����。
以下采用了控制報文分類限速方法的BRAS設備為例,說明其具體實施方式
���,本發(fā)明所述的方法并不局限于BRAS設備����。
首先����,在設備的操作界面上,分別對各種類型報文進行限速閾值配置���,其中����,使用典型硬件配置的BRAS���,在實驗室進行模擬測試��,確定其控制平面單位時間內能夠處理的報文數(shù)量�����,比如500�����,作為系統(tǒng)門限值���,并設定一組各類報文的缺省閾值,如PPP 100�、DHCP 100、ARP 30��、RADIUS 50等�。
在使用現(xiàn)場,收集接入業(yè)務類型和呼叫模型���,估算各種類型處理報文的閾值���;比如現(xiàn)場根本不開通DHCP接入業(yè)務,就將DHCP報文的閾值設定為0����。
然后,在BRAS的操作界面上���,分別對各種類型控制報文進行閾值配置����。
在各種類型的控制報文進入到BRAS設備后,按照事先設定的分類限速流程進行處理���,處理過程如圖4所示�����,包括以下步驟
步驟S402����,控制平面的數(shù)據(jù)接收模塊收到控制報文����;步驟S404,根據(jù)二層和三層協(xié)議字段���,進行控制報文分類�����,在BRAS設備中�,分為PPP���、DHCP����、ARP、RADIUS���、OSPF/RIP����、SNMP���、IGMP、ICMP����、TELNET等類型;步驟S406�����,把不同類型控制報文入到相應的不同隊列����;根據(jù)配置的閾值(這里一般是隊列長度)����,進行判斷����;步驟S408,如果沒有超過閾值�,將控制報文送到相應的協(xié)議模塊進行處理;以及步驟S410�����,如果超過閾值����,將控制報文直接丟棄。
圖5是根據(jù)本發(fā)明的寬帶接入設備安全實現(xiàn)裝置500的框圖�����。如圖5所示��,該裝置包括閾值配置單元502�����,用于分別配置各種類型控制報文的限速閾值;以及限速處理單元504����,用于對控制報文進行分類限速處理。
在閾值配置單元502中包括系統(tǒng)門限確定模塊��,用于確定寬帶接入設備的控制平面在單位時間內能夠處理的各種類型控制報文的數(shù)量���,作為寬帶接入設備的系統(tǒng)門限���。
在閾值配置單元502中還包括閾值估算模塊,用于估算各種類型控制報文的限速閾值��。
其中�,各種類型控制報文包括PPP報文���、DHCP報文��、ARP報文�、RADIUS報文�����、OSPF/RIP報文、SNMP報文�、IGMP報文、ICMP報文��、和TELNET報文�����。
如果寬帶接入設備沒有開通關于控制報文的接入業(yè)務���,則將控制報文的限速閾值設為0���。
限速處理單元504中包括分類模塊,用于當寬帶接入設備的控制平面接收到控制報文時�,對控制報文進行分類;以及判斷模塊����,用于將分類后的各種類型的控制報文分別放入相應分類隊列中,并判斷分類后的各種類型的控制報文是否超過限速閾值�,并根據(jù)判斷結果進行相應處理。
另外�,限速處理單元504中還包括丟棄模塊,如果判斷結果是分類后的各種類型的控制報文超過限速閾值,則丟棄控制報文��;以及處理模塊�����,如果判斷結果是分類后的各種類型的控制報文沒有超過限速閾值���,則處理控制報文��。
其中�,控制報文的類型是預先設定的�。
綜上所述,通過本發(fā)明����,能夠對各種控制報文進行分類限速,使各種業(yè)務之間盡量相互隔離����,系統(tǒng)的業(yè)務能力最大程度可用�����。
以上僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明�,對于本領域的技術人員來說,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內,所作的任何修改�����、等同替換���、改進等���,均應包含在本發(fā)明的保護范圍之內。
權利要求
1.一種寬帶接入設備安全實現(xiàn)方法��,其特征在于��,包括以下步驟步驟一�,在寬帶接入設備的操作界面上,分別配置各種類型控制報文的限速閾值�����;以及步驟二,當所述寬帶接入設備接收到控制報文時�,對所述控制報文進行分類限速處理。
2.根據(jù)權利要求1所述的方法����,其特征在于,在所述步驟一之前還執(zhí)行以下處理確定所述寬帶接入設備的控制平面在單位時間內能夠處理的所述各種類型控制報文的數(shù)量�����,作為所述寬帶接入設備的系統(tǒng)門限����。
3.根據(jù)權利要求2所述的方法,其特征在于����,在所述步驟一之前還執(zhí)行以下處理在所述寬帶接入設備中,估算所述各種類型控制報文的所述限速閾值�����。
4.根據(jù)權利要求3所述的方法��,其特征在于��,所述各種類型控制報文包括PPP報文���、DHCP報文����、ARP報文����、RADIUS報文、OSPF/RIP報文�����、SNMP報文����、IGMP報文、ICMP報文�、和TELNET報文。
5.根據(jù)權利要求4所述的方法����,其特征在于,如果所述寬帶接入設備沒有開通關于所述控制報文的接入業(yè)務����,則將所述控制報文的限速閾值設為0��。
6.根據(jù)權利要求1所述的方法���,其特征在于,所述步驟二中包括以下處理當所述寬帶接入設備的所述控制平面接收到所述控制報文時���,將所述控制報文分類成各種類型�����;以及將各種類型的所述控制報文分別放入相應分類隊列中��,并判斷各種類型的所述控制報文是否超過相應的所述限速閾值�,并根據(jù)判斷結果進行相應處理����。
7.根據(jù)權利要求6所述的方法,其特征在于���,所述步驟二中還包括以下處理如果所述判斷結果是各種類型的所述控制報文超過所述相應的限速閾值�����,則丟棄所述控制報文����;以及如果所述判斷結果是各種類型的所述控制報文沒有超過所述相應的限速閾值����,則處理所述控制報文。
8.根據(jù)權利要求1所述的方法��,其特征在于���,所述控制報文的類型是預先設定的����。
9.一種寬帶接入設備安全實現(xiàn)裝置�,其特征在于,包括閾值配置單元�,用于分別配置各種類型控制報文的限速閾值;以及限速處理單元����,用于對所述控制報文進行分類限速處理。
10.根據(jù)權利要求9所述的裝置�,其特征在于�����,在所述閾值配置單元中包括系統(tǒng)門限確定模塊�����,用于確定寬帶接入設備的控制平面在單位時間內能夠處理的所述各種類型控制報文的數(shù)量�����,作為所述寬帶接入設備的系統(tǒng)門限���。
11.根據(jù)權利要求10所述的裝置,其特征在于����,在所述閾值配置單元中還包括閾值估算模塊,用于估算所述各種類型控制報文的所述限速閾值���。
12.根據(jù)權利要求11所述的裝置���,其特征在于,所述各種類型控制報文包括PPP報文���、DHCP報文���、ARP報文����、RADIUS報文�����、OSPF/RIP報文���、SNMP報文、IGMP報文���、ICMP報文�、和TELNET報文���。
13.根據(jù)權利要求12所述的裝置�,其特征在于�,如果所述寬帶接入設備沒有開通關于所述控制報文的接入業(yè)務,則將所述控制報文的限速閾值設為0��。
14.根據(jù)權利要求9所述的裝置,其特征在于����,所述限速處理單元中包括分類模塊,用于當所述寬帶接入設備的所述控制平面接收到所述控制報文時����,對所述控制報文進行分類;以及判斷模塊���,用于將分類后的各種類型的所述控制報文分別放入相應分類隊列中��,并判斷分類后的各種類型的所述控制報文是否超過所述限速閾值����,并根據(jù)判斷結果進行相應處理���。
15.根據(jù)權利要求14所述的裝置�,其特征在于����,所述限速處理單元中還包括丟棄模塊,如果所述判斷結果是分類后的各種類型的所述控制報文超過所述限速閾值,則丟棄所述控制報文����;以及處理模塊,如果所述判斷結果是分類后的各種類型的所述控制報文沒有超過所述限速閾值���,則處理所述控制報文��。
16.根據(jù)權利要求9所述的裝置����,其特征在于���,所述控制報文的類型是預先設定的。
全文摘要
本發(fā)明提供了一種寬帶接入設備安全實現(xiàn)方法和裝置�����,其中��,該方法可以包括以下步驟步驟一���,在寬帶接入設備的操作界面上����,分別配置各種類型控制報文的限速閾值;以及步驟二���,當寬帶接入設備接收到控制報文時���,對控制報文進行分類限速處理。綜上所述��,通過本發(fā)明�����,能夠對各種控制報文進行分類限速�,使各種業(yè)務之間盡量相互隔離,系統(tǒng)的業(yè)務能力最大程度可用�����。
文檔編號H04L12/24GK101079746SQ20071012654
公開日2007年11月28日 申請日期2007年6月22日 優(yōu)先權日2007年6月22日
發(fā)明者蔡驚哲 申請人:中興通訊股份有限公司