專利名稱:配置dsl連接的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種配置在至少一個(gè)家庭互聯(lián)網(wǎng)協(xié)議插件和家庭互聯(lián)網(wǎng)協(xié)議插件控制器之間的連接的方法��。
背景技術(shù):
人們計(jì)劃借助于數(shù)字用戶線提供新的更好的服務(wù)����。這些服務(wù)要求在位于接入網(wǎng)絡(luò)或核心網(wǎng)絡(luò)的自動(dòng)配置服務(wù)器(ACS)和在用戶側(cè)的客戶前端設(shè)備(CPE)之間進(jìn)行通信���。CPE和ACS借助于數(shù)字用戶線(DSL)����,數(shù)字用戶線接入復(fù)用器(DSLAM)�,以及接入網(wǎng)絡(luò)彼此連接。這種通信使得ACS能夠配置和管理CPE�����,或者可以進(jìn)行互聯(lián)網(wǎng)協(xié)議(IP)尋址的任何其他終端用戶設(shè)備�,例如DSL調(diào)制解調(diào)器���。下面�����,可以進(jìn)行IP尋址的CPE和其他IP可尋址終端用戶設(shè)備都被包含在術(shù)語家庭IP插件(HIPP)中�。ACS和其它類似設(shè)備包含在術(shù)語家庭IP插件控制器(HIPP-C)中。
為了實(shí)現(xiàn)提供這些服務(wù)的全球技術(shù)標(biāo)準(zhǔn)����,已經(jīng)形成了一個(gè)標(biāo)準(zhǔn)化組織(DSL論壇標(biāo)準(zhǔn)化組織)來進(jìn)行這方面的工作。
DSL論壇標(biāo)準(zhǔn)化組織的DSL家庭工作組����,定義了一種在技術(shù)報(bào)告87(TR87)中描述的新協(xié)議,允許由HIPP-C對(duì)HIPP進(jìn)行配置和管理�。在TR87中,假定HIPP具有一個(gè)IP地址�,并聯(lián)系其HIPP-C。
由于在某種意義上HIPP和HIPP-C之間的連接是不對(duì)稱的����,即如果在HIPP和HIPP-C之間,有任何網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)功能�����,或者任何網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能,或者其他的例如防火墻等���,只有HIPP可以帶頭發(fā)起HIPP和HIPP-C之間的通信�����,因?yàn)镠IPP具有私有IP地址��,而HIPPC的IP地址是公共的���。
盡管相反方向,也就是HIPP-C發(fā)起與HIPP的聯(lián)系是按照TR87的CPE WAN側(cè)管理協(xié)議中的一個(gè)已知消息����,但它無法被使用,因?yàn)榇嬖谀菢拥腘APT和/或NAT功能���。實(shí)際上�����,關(guān)于將端口和公共IP地址轉(zhuǎn)換成HIPP的私有IP地址的條目NAPT仍然是無知的�,也就是關(guān)于由HIPP-C發(fā)起的在HIPP-C到HIPP的方向的通信是無知的。因此��,HIPP配置和管理的發(fā)起和控制仍然被HIPP控制����,因?yàn)榭偸荋IPP可以發(fā)起第一個(gè)消息��,然后適當(dāng)?shù)嘏渲肗AT條目����。
發(fā)明內(nèi)容
本發(fā)明的技術(shù)目的是開發(fā)一種方法來配置HIPP和HIPP-C之間的連接,在該連接中可以在HIPP和HIPP-C之間配置NAT和/或NAPT功能��,并且其中HIPP和HIPP-C之間的通信可以由HIPP-C發(fā)起��。
本發(fā)明的技術(shù)目的由下面的所述方法來實(shí)現(xiàn)�,即一種配置在位于用戶側(cè)的至少一個(gè)家庭互聯(lián)網(wǎng)協(xié)議插件,HIPP��,和位于接入網(wǎng)絡(luò)中的家庭互聯(lián)網(wǎng)協(xié)議插件控制器����,HIPP-C,之間的連接的方法��,HIPP和HIPP-C借助于數(shù)字用戶線,DSL��,數(shù)字用戶線接入復(fù)用器��,DSLAM��,以及接入網(wǎng)絡(luò)相互連接���,其中至少一個(gè)網(wǎng)絡(luò)地址端口轉(zhuǎn)換功能����,NAPT��,和/或至少一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換功能��,NAT���,發(fā)生在HIPP和HIPP-C之間����,該方法的特征在于以下步驟-當(dāng)HIPP上線時(shí)�����,獲得HIPP信息,例如通過HIPP-C或另一例如DSLAM的網(wǎng)絡(luò)設(shè)備����,以由HIPP-C考慮所述HIPP信息,配置HIPP和HIPP-C之間的NAT和/或NAPT功能���,其中HIPP信息至少包括HIPP的層2地址����,-提供所述HIPP信息給HIPP-C����,-由HIPP-C考慮所述HIPP信息��,至少配置HIPP和HIPP-C之間的NAT和/或NAPT功能��,以接收一個(gè)連接����,其中只要HIPP在線HIPP-C能夠在HIPP-C和HIPP之間發(fā)起通信,其中HIPP信息的獲得�,將HIPP信息向HIPP-C的提供并且由HIPP-C對(duì)NAT和/或NAPT功能的配置發(fā)生在HIPP試圖聯(lián)系HIPP-C之前。
本發(fā)明允許HIPP-C正確地配置HIPP/HIPP-C路徑上的NAT和/或NAPT功能或者其他,使得HIPP被HIPP-C完全控制�����。此外��,本發(fā)明允許HIPP-C能夠發(fā)起甚至向HIPP的HIPP-C的第一消息����。還有,通過允許插入簡(jiǎn)單機(jī)制來阻止拒絕服務(wù)�,DoS攻擊,用于配置HIPP和HIPP-C之間的NAT/NAPT功能的相同的HIPP信息提高了安全性���。
上述方法比現(xiàn)有技術(shù)具有優(yōu)勢(shì)�,除了允許HIPP-C配置NAT和/或NAPT功能��,以在能夠以后聯(lián)系HIPP的基本想法的簡(jiǎn)單機(jī)制之外����,該機(jī)制還允許HIPP-C設(shè)置層3過濾器來防止DoS攻擊。
在所述發(fā)明的一種優(yōu)選實(shí)施方式中��,該連接被配置成HIPP和HIPP-C都能夠發(fā)起相互通信����。
在所述發(fā)明的一種優(yōu)選實(shí)施方式中����,只有獲得了其HIPP信息并將該信息提供給了HIPP-C的HIPP可以發(fā)起與HIPP-C的通信��。因此����,只有例如在HIPP-C處登記了其HIPP信息的HIPP才被許可發(fā)起HIPP和HIPP-C之間的通信。這種授權(quán)通過使用HIPP-C容易地可獲得的HIPP信息發(fā)生��。通過該過程����,只有在HIPP-C處登記并通過DSL線路直接地與HIPP-C所在的同一接入網(wǎng)絡(luò)相連接的HIPP能夠發(fā)起與HIPP-C的通信�。另一種可能性是,由HIPP-C使用HIPP信息配置過濾器����,其中過濾器只允許其HIPP信息已經(jīng)用來配置過濾器的HIPP發(fā)起通信。該HIPP信息最好包括HIPP的媒體訪問控制地址�,MAC地址。通過使用在HIPP-C處的登記或者通過使用過濾器或通過類似過程��,可以擊敗HIPP-C上的特定類型的拒絕服務(wù)攻擊。
在所述發(fā)明的一種優(yōu)選實(shí)施方式中��,由HIPP-C考慮HIPP信息配置的至少一個(gè)過濾器控制了由HIPP與HIPP-C的通信的發(fā)起�。因此,過濾器的配置考慮例如由DSLAM提供給HIPP-C的DSL線路信息�����,由HIPP-C所知的HIPP的私有IP地址�,HIPP的MAC地址,或者上述信息的綜合�����。過濾器最好由HIPP-C在HIPP試圖聯(lián)系HIPP-C之前配置��。
在所述發(fā)明的一種優(yōu)選實(shí)施方式中���,過濾器是層3過濾器���。
在所述發(fā)明的另一種優(yōu)選實(shí)施方式中,層3過濾器位于DSLAM中����。
在所述發(fā)明的另一種優(yōu)選實(shí)施方式中�,層3過濾器位于層3網(wǎng)元��,例如IP轉(zhuǎn)發(fā)器中����。
在所述發(fā)明的另一種優(yōu)選實(shí)施方式中,提供給HIPP-C的HIPP信息至少包括HIPP的私有互聯(lián)網(wǎng)協(xié)議地址��。私有IP地址可以通過例如偵聽獲得�����。
在所述發(fā)明的另一種優(yōu)選實(shí)施方式中�����,包括在提供給HIPP-C的HIPP信息中的HIPP的層2地址至少包括HIPP的媒體訪問控制地址����。
在所述發(fā)明的另一種優(yōu)選實(shí)施方式中���,由DSLAM至少將層2地址提供給HIPP-C��。
在所述發(fā)明的另一種優(yōu)選實(shí)施方式中�����,HIPP信息至少包括相關(guān)的DSL線路信息��。
在所述發(fā)明的一種特別優(yōu)選實(shí)施方式中�����,由DSLAM至少將DSL線路信息提供給HIPP-C��。
圖1示出了HIPP和HIPP-C之間的連接的拓?fù)?����,其中NAPT功能和DHCP中繼位于HIPP和HIPP-C之間�����,以及圖2示出了根據(jù)本發(fā)明的方法的過程��。
具體實(shí)施例方式
如圖1所示���,家庭IP插件(HIPP)1借助于數(shù)字用戶線(DSL)3�、數(shù)字用戶線接入復(fù)用器(DSLAM)4以及家庭IP插件控制器(HIPP-C)2所在的接入網(wǎng)絡(luò)5物理地連接到HIPP-C 2�����。在HIPP 1和HIPP-C 2之間至少安置了一個(gè)網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)功能6。圖1示出了在HIPP 1和HIPP-C 2之間安置NAPT功能6的4個(gè)不同的可能位置��。一個(gè)可能的位置是在DSLAM 4中�����,另一位置是在接入網(wǎng)絡(luò)5的IP邊緣8處����,第三位置在接入網(wǎng)絡(luò)5中,第四位置在用戶側(cè)處的DSL調(diào)制解調(diào)器9中�����。還有至少一個(gè)動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)中繼7位于HIPP 1和HIPP-C 2之間�。圖1還示出了HIPP 1和HIPP-C2之間DHCP中繼7的可能位置。DHCP中繼7的第一位置在DSLAM 4中���,第二位置在接入網(wǎng)絡(luò)5中�,第三位置在IP邊緣8處�,第四位置在HIPP-C中�����。此外,可以在HIPP 1和HIPP-C 2之間安置一個(gè)防火墻(未示出)��。為了能讓HIPP 1和HIPP-C 2相互通信�����,必須配置物理連接���。
在DSL論壇TR46中描述的自動(dòng)配置過程中��,HIPP 1以無論哪一種手段得到其IP地址點(diǎn)到點(diǎn)協(xié)議互聯(lián)網(wǎng)協(xié)議控制協(xié)議����,PPP IPCP�����、DHCP或靜態(tài)IP����。
特別地如果HIPP 1和HIPP-C 2之間有NAPT功能6,為了能夠讓HIPP-C 2發(fā)起與HIPP 1的通信�����,則NAPT功能6必須以特定方式配置。
根據(jù)本發(fā)明的思想是�����,在HIPP 1試圖聯(lián)系HIPP-C 2之前����,HIPP-C2得到HIPP 1上線的通知。一旦HIPP 1上線�����,層1和層2的配置可利用�����。
DSLAM 4是具有關(guān)于HIPP 1的層2地址的信息����,還被稱為HIPP信息,的第一個(gè)設(shè)備�。最可能地,HIPP信息包括媒體訪問控制地址(MAC地址),以及DSLAM 4也所知的相關(guān)的DSL線路信息���。DSLAM 4隨后通知HIPP-C 2一個(gè)新的HIPP 1上線,并將關(guān)于該HIPP 1的相關(guān)的HIPP信息提供給HIPP-C 2�����。
相關(guān)的HIPP信息通過從實(shí)際使用的IP地址分配協(xié)議��,例如從DHCP或PPP協(xié)議偵聽HIPP 1的私有IP地址來獲得�。對(duì)于DHCP和PPP,中繼代理可以執(zhí)行該偵聽���。必須使HIPP-C 2知道該HIPP信息���。這可以通過允許這種代理轉(zhuǎn)發(fā)該信息給HIPP-C 2或者通過在HIPP-C2中包括該代理來實(shí)現(xiàn)。此外��,HIPP-C 2現(xiàn)在具有需要的信息來正確地配置在HIPP-C 2和HIPP 1之間放置的NAPT功能6���。這樣做�,HIPP-C 2現(xiàn)在可以完全地控制HIPP 1��,之后可以帶頭聯(lián)系它。
此外����,本發(fā)明提高了自動(dòng)配置服務(wù)的安全性,其中HIPP-C 2管理并配置至少一個(gè)HIPP 1����。因?yàn)镠IPP 1能夠帶頭聯(lián)系HIPP-C 2,并且在接入網(wǎng)絡(luò)5中�����,HIPP-C 2可能必須處理幾十萬的HIPP 1��,HIPP-C 2易于受到拒絕服務(wù)(DoS)攻擊���。DoS攻擊是這樣的一種網(wǎng)絡(luò)上的攻擊��,通過在網(wǎng)絡(luò)中泛洪大量無用業(yè)務(wù)量使得網(wǎng)絡(luò)癱瘓�。但是����,按照現(xiàn)有技術(shù),沒有機(jī)制能夠預(yù)見并防止HIPP 1發(fā)送消息給HIPP-C 2�����,意味著DoS攻擊可以針對(duì)HIPP-C 2發(fā)生。
按照本發(fā)明�,有了HIPP信息中包含的HIPP 1的私有IP地址和/或MAC地址和/或DSL線路信息,HIPP-C 2能夠配置DSLAM 4或者其他網(wǎng)元中的層3過濾器�,從而避免不同HIPP 1的DoS攻擊。
如果DSLAM 4具備這樣的能力�,層3過濾器可以設(shè)置在DSLAM 4中����,或者設(shè)置在層3網(wǎng)元中,例如提供有相關(guān)的層2信息的IP轉(zhuǎn)發(fā)器�。
通過設(shè)置層3過濾器,只有來自特定DSL線路3的具有相應(yīng)源MAC地址的消息被允許發(fā)往HIPP-C 2的IP地址����。具有HIPP-C 2的目的IP地址,并且具有與相應(yīng)的DSL線路3或?qū)?信息(VP/VC)不匹配的源MAC地址的所有消息將被丟棄���。這至少防止了特定類型的DoS攻擊��。
這樣做����,只有來自特定DSL線路的具有相應(yīng)源MAC地址的消息被允許發(fā)往HIPP-C的IP地址。具有HIPP-C的目的IP地址���,并且具有與相應(yīng)的DSL線路或?qū)?信息��,例如VP/VC��,不匹配的源MAC地址的所有消息將被丟棄��。這防止了特定類型的DoS攻擊�����。
圖2示出了根據(jù)本發(fā)明的方法的過程圖��。在層次I��,HIPP上線���,過程開始。在同一層次I��,DSLAM立即地識(shí)別HIPP上線��。在層次II����,激活一個(gè)代理來偵聽和獲得至少包括HIPP的層2地址的HIPP信息�?�?梢韵氲?�,該代理從實(shí)際使用的IP地址分配協(xié)議���,例如從DHCP或PPP協(xié)議來偵聽HIPP信息����。對(duì)于DHCP和PPP�,一個(gè)中繼代理可以執(zhí)行該偵聽�����。在層次III��,由該代理得到的HIPP信息被提供給HIPP-C�。在提供有HIPP信息之后,在層次IV中HIPP-C考慮該HIPP信息�����,配置在HIPP和HIPP-C之間的NAPT和NAT功能。在配置NAPT和NAT功能的同時(shí)�,在層次IV中HIPP-C也考慮該HIPP信息,還在HIPP和HIPP-C之間配置層3過濾器�。
完成這兩者之后,在層次V中完成NAPT和NAT功能以及層3過濾器的配置����,以及HIPP和HIPP-C之間的連接的配置。其中HIPP信息的獲得��,將它們向HIPP-C的提供��,以及由HIPP-C對(duì)NAPT和NAT功能的配置以及對(duì)層3過濾器的配置發(fā)生在HIPP嘗試聯(lián)系HIPP-C之前��。
此后����,在層次VI,HIPP和HIPP-C都能相互聯(lián)系���,其中它們兩者都能發(fā)起通信���。
商業(yè)可用性本發(fā)明是商業(yè)上可以應(yīng)用的,特別是在家庭IP插件控制器產(chǎn)品的生產(chǎn)和運(yùn)營(yíng)領(lǐng)域���,以及提供家庭IP插件控制器的網(wǎng)絡(luò)的生產(chǎn)和運(yùn)營(yíng)領(lǐng)域����。
參考數(shù)字列表1家庭互聯(lián)網(wǎng)協(xié)議插件(HIPP)2家庭互聯(lián)網(wǎng)協(xié)議插件控制器(HIPP-C)3數(shù)字用戶線(DSL)4數(shù)字用戶線接入復(fù)用器(DSLAM)5接入網(wǎng)絡(luò)6網(wǎng)絡(luò)地址端口轉(zhuǎn)換功能(NAPT功能)7動(dòng)態(tài)主機(jī)配置協(xié)議中繼(DHCP中繼)8IP邊緣9DSL調(diào)制解調(diào)器
權(quán)利要求
1.一種配置在位于用戶側(cè)的至少一個(gè)家庭互聯(lián)網(wǎng)協(xié)議插件,HIPP���,和位于接入網(wǎng)絡(luò)中的家庭互聯(lián)網(wǎng)協(xié)議插件控制器��,HIPP-C��,之間的連接的方法��,HIPP和HIPP-C借助于數(shù)字用戶線���,DSL��,數(shù)字用戶線接入復(fù)用器�����,DSLAM���,以及接入網(wǎng)絡(luò)相互連接���,其中至少一個(gè)網(wǎng)絡(luò)地址端口轉(zhuǎn)換功能����,NAPT�����,和/或至少一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換功能�,NAT,發(fā)生在HIPP和HIPP-C之間����,該方法的特征在于以下步驟-當(dāng)HIPP上線時(shí),獲得HIPP信息��,其中HIPP信息至少包括HIPP的層2地址���,-提供所述HIPP信息給HIPP-C�����,-由HIPP-C考慮所述HIPP信息�,至少配置在HIPP和HIPP-C之間的NAT和/或NAPT功能,以接收一個(gè)連接���,其中HIPP-C能夠在HIPP-C和HIPP之間發(fā)起通信��,其中HIPP信息的獲得�,將HIPP信息向HIPP-C的提供并且由HIPP-C對(duì)NAT和/或NAPT功能的配置發(fā)生在HIPP試圖聯(lián)系HIPP-C之前���。
2.根據(jù)權(quán)利要求1的方法��,其特征在于�����,該連接被配置成HIPP和HIPP-C都能夠發(fā)起相互通信���。
3.根據(jù)權(quán)利要求2的方法,其特征在于���,只有獲得了其HIPP信息并將該信息提供給HIPP-C的HIPP才可能發(fā)起與HIPP-C的通信。
4.根據(jù)權(quán)利要求3的方法��,其特征在于����,由HIPP-C考慮HIPP信息配置的至少一個(gè)過濾器控制了由HIPP與HIPP-C的通信的發(fā)起����。
5.根據(jù)權(quán)利要求4的方法���,其特征在于��,過濾器是層3過濾器���。
6.根據(jù)權(quán)利要求5的方法,其特征在于���,層3過濾器位于DSLAM中���。
7.根據(jù)權(quán)利要求5的方法,其特征在于���,層3過濾器位于層3網(wǎng)元中���。
8.根據(jù)任一前述權(quán)利要求的方法,其特征在于�����,HIPP信息至少包括HIPP的私有互聯(lián)網(wǎng)協(xié)議地址。
9.根據(jù)任一前述權(quán)利要求的方法��,其特征在于���,HIPP的層2地址至少包括HIPP的媒體訪問控制地址����。
10.根據(jù)任一前述權(quán)利要求的方法�,其特征在于,由DSLAM至少將層2地址提供給HIPP-C�����。
11.根據(jù)任一前述權(quán)利要求的方法�,其特征在于,HIPP信息至少包括相關(guān)的DSL線路信息��。
12.根據(jù)權(quán)利要求11的方法�����,其特征在于�����,由DSLAM至少將DSL線路信息提供給HIPP-C�����。
全文摘要
描述了一種配置在位于用戶側(cè)的至少一個(gè)家庭互聯(lián)網(wǎng)協(xié)議插件���,HIPP�,和位于接入網(wǎng)絡(luò)的家庭互聯(lián)網(wǎng)協(xié)議插件控制器�����,HIPP-C����,之間的連接的方法,HIPP和HIPP-C借助于數(shù)字用戶線����,DSL,數(shù)字用戶線接入復(fù)用器�����,DSLAM,以及接入網(wǎng)絡(luò)相互連接�,其中至少一個(gè)網(wǎng)絡(luò)地址端口轉(zhuǎn)換功能,NAPT��,和/或至少一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換功能�,NAT,發(fā)生在HIPP和HIPP-C之間�,包括以下步驟當(dāng)HIPP上線時(shí),獲得HIPP信息����,其中HIPP信息至少包括HIPP的層2地址;提供所述HIPP信息給HIPP-C�����;由HIPP-C考慮所述HIPP信息����,至少配置在HIPP和HIPP-C之間的NAT和/或NAPT功能,以接收一個(gè)連接��,其中HIPP-C能夠在HIPP-C和HIPP之間發(fā)起通信�,其中HIPP信息的獲得,將HIPP信息向HIPP-C的提供并由HIPP-C對(duì)NAT和/或NAPT功能的配置發(fā)生在HIPP試圖聯(lián)系HIPP-C之前��。
文檔編號(hào)H04L12/28GK1801760SQ20051013268
公開日2006年7月12日 申請(qǐng)日期2005年12月20日 優(yōu)先權(quán)日2005年1月5日
發(fā)明者克里斯特勒·布沙, 熱雷米·德克萊爾, 斯旺·范·德恩·博什 申請(qǐng)人:阿爾卡特公司