專利名稱:寬帶接入業(yè)務(wù)保護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域,更具體地,涉及一種基于PPPoE(Pointto Point Protocol over Ethernet,以太網(wǎng)上點對點協(xié)議)的寬帶接入業(yè)務(wù)保護(hù)方法。
背景技術(shù):
隨著寬帶接入業(yè)務(wù)的開展和普及,PPPoE成為一種主要的接入方式。對于靠近用戶的二層接入網(wǎng)絡(luò),網(wǎng)絡(luò)情況復(fù)雜,病毒、人為攻擊和一些設(shè)置錯誤的調(diào)制解調(diào)器(modem)反復(fù)撥號都會影響接入服務(wù)器正常的點到點協(xié)議(Point to Point Protocol,PPP)業(yè)務(wù),嚴(yán)重的時候還會導(dǎo)致PPP接入業(yè)務(wù)失效,如已接入的用戶掉線,新用戶無法接入等問題。
CN1812340號中國專利公開了一種在設(shè)定的跟蹤時長內(nèi),按用戶認(rèn)證失敗的次數(shù)來檢測和防范點到點協(xié)議認(rèn)證攻擊的方法。該方法依賴于PPP協(xié)議控制的認(rèn)證結(jié)果,對于未進(jìn)入認(rèn)證階段的PPPOE呼叫不能識別和控制,只能部署在寬帶接入服務(wù)器協(xié)議處理單元中,監(jiān)測和分析需要消耗核心協(xié)議處理單元的處理資源,加大它的工作負(fù)擔(dān)。此外,該方法的防范措施是對識別為異常的用戶,丟棄后續(xù)收到的報文,對參數(shù)配置不合理導(dǎo)致誤判或異常消失后的用戶,需要寬帶接入設(shè)備管理員人工干預(yù)或等待異常控制老化后才能正常接入。
另外,CN1855877號中國專利公開了一種基于呼叫最小時間間隔和認(rèn)證失敗結(jié)果來防范PPP重復(fù)撥號的控制策略。該方法也依賴于PPP協(xié)議控制的認(rèn)證結(jié)果。存在對于未進(jìn)入認(rèn)證階段的PPPOE呼叫不能識別和控制的缺陷。此外,對兩次呼叫最小時間間隔的確定比較困難,設(shè)置過長,會導(dǎo)致正常用戶認(rèn)證失敗一次后不能很快重新接入,設(shè)置過短,會導(dǎo)致檢測控制過程頻繁執(zhí)行,消耗系統(tǒng)處理資源。
因而,急需一種有效的防護(hù)手段和方法,其能夠不依賴PPP協(xié)議控制層,僅對經(jīng)過的數(shù)據(jù)包進(jìn)行統(tǒng)計分析,并且既可以應(yīng)用在接入服務(wù)器上,也可以應(yīng)用在獨立的控制裝置或二層接入網(wǎng)絡(luò)的中間節(jié)點上,例如,交換機、DSLAM(Digital subscriber line accessmultiplexer,數(shù)字用戶線路接入復(fù)用器)。
發(fā)明內(nèi)容
為了防范PPPoE接入業(yè)務(wù)中異常情況對PPPoE接入業(yè)務(wù)的影響,本發(fā)明提供了一種寬帶接入業(yè)務(wù)保護(hù)方法。
本發(fā)明的寬帶接入業(yè)務(wù)保護(hù)方法可以包括以下步驟步驟一,識別點到點協(xié)議控制包,并為點到點協(xié)議控制包預(yù)留傳輸信道;步驟二,按照媒體接入控制層構(gòu)造捕獲統(tǒng)計表,并周期統(tǒng)計上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù)和下行IP控制協(xié)議請求包的包數(shù);步驟三,周期分析捕獲統(tǒng)計表來識別異常情況,并生成媒體接入控制層控制表;以及步驟四,根據(jù)預(yù)置異常控制限速參數(shù),使用媒體接入控制層控制表進(jìn)行異常情況的限速控制處理。
在步驟一之前還包括以下步驟預(yù)置異常情況判斷閾值、執(zhí)行統(tǒng)計的周期、異??刂葡匏賲?shù)、和媒體接入控制層記錄老化時間。
當(dāng)異??刂葡匏賲?shù)為0時,對異常情況執(zhí)行完全屏蔽。
步驟二中包括以下處理檢測上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包,并且以源媒體接入控制層為索引統(tǒng)計上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù);以及檢測下行IP控制協(xié)議請求包,并且以目的媒體接入層為索引統(tǒng)計下行IP控制協(xié)議請求包的包數(shù)。
步驟三中包括以下處理周期分析捕獲統(tǒng)計表,判斷上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù)和下行IP控制協(xié)議請求包的包數(shù)是否滿足預(yù)置的異常情況判斷閾值;如果滿足異常情況判斷閾值,則確定出現(xiàn)異常情況;以及根據(jù)異常情況生成媒體接入控制層控制表,并且清空捕獲統(tǒng)計表,開始下一次統(tǒng)計。
該方法還可以包括以下步驟在執(zhí)行限速控制處理之后,根據(jù)預(yù)留的傳輸信道保證和控制上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包、點到點協(xié)議心跳包、和其他點到點協(xié)議控制包的流量,從而防止業(yè)務(wù)干擾。
其中,其他點到點協(xié)議控制包包括非上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包、以及點到點協(xié)議心跳包外的以太網(wǎng)上點到點協(xié)議控制包和點到點協(xié)議控制包。
該方法還可以包括以下步驟當(dāng)達(dá)到媒體接入控制層記錄老化時間時,將媒體接入控制層中的內(nèi)容清除。
因而,與現(xiàn)有技術(shù)相比,采用本發(fā)明的方法,擺脫了只能將防護(hù)措施放在寬帶接入服務(wù)器協(xié)議處理單元的限制,可以有效降低核心協(xié)議處理單元的工作負(fù)荷。對認(rèn)定異常的用戶采用控制包限速策略,既可以有效降低異常包對接入設(shè)備的沖擊,也可以使用戶在異常消失時能快速接入。
本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。
附圖用來提供對本發(fā)明的進(jìn)一步理解,并且構(gòu)成說明書的一部分,與本發(fā)明的實施例一起用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的限制。在附圖中圖1是根據(jù)本發(fā)明的寬帶接入業(yè)務(wù)保護(hù)方法的流程圖;以及圖2是實施本發(fā)明所使用的系統(tǒng)的實施方法的示意圖。
具體實施例方式
以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進(jìn)行說明,應(yīng)當(dāng)理解,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明,并不用于限定本發(fā)明。
圖1是根據(jù)本發(fā)明的寬帶接入業(yè)務(wù)保護(hù)方法的流程圖。如圖1所示,該方法包括以下步驟步驟S102,識別點到點協(xié)議控制包,并為點到點協(xié)議控制包預(yù)留傳輸信道;步驟S104,按照媒體接入控制層(Media Access Control,)MAC構(gòu)造捕獲統(tǒng)計表,并周期統(tǒng)計上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包(PPPoE Active Discovery Initiation,PADI)的包數(shù)和下行IP控制協(xié)議(Internet Protocol Control Protocol,IPCP)請求包的包數(shù);步驟S106,周期分析捕獲統(tǒng)計表來識別異常情況,并生成媒體接入控制層控制表;以及步驟S108,根據(jù)預(yù)置異常控制限速參數(shù),使用媒體接入控制層控制表進(jìn)行異常情況的限速控制處理。
在步驟S102之前還包括以下步驟預(yù)置異常情況判斷閾值、執(zhí)行統(tǒng)計的周期、異??刂葡匏賲?shù)、和媒體接入控制層記錄老化時間。
當(dāng)異??刂葡匏賲?shù)為0時,對異常情況執(zhí)行完全屏蔽。
步驟S104中包括以下處理檢測上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包,并且以源媒體接入控制層為索引統(tǒng)計上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù);以及檢測下行IP控制協(xié)議請求包,并且以目的媒體接入層為索引統(tǒng)計下行IP控制協(xié)議請求包的包數(shù)。
步驟S106中包括以下處理周期分析捕獲統(tǒng)計表,判斷上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù)和下行IP控制協(xié)議請求包的包數(shù)是否滿足預(yù)置的異常情況判斷閾值;如果滿足異常情況判斷閾值,則確定出現(xiàn)異常情況;根據(jù)異常情況生成媒體接入控制層控制表,并且清空捕獲統(tǒng)計表,開始下一次統(tǒng)計。
該方法還可以包括以下步驟在執(zhí)行限速控制處理之后,根據(jù)預(yù)留的傳輸信道保證和控制上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包、點到點協(xié)議心跳包、和其他點到點協(xié)議控制包的流量,從而防止業(yè)務(wù)干擾。
其中,其他點到點協(xié)議控制包包括非上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包、以及點到點協(xié)議心跳包外的以太網(wǎng)上點到點協(xié)議控制包和點到點協(xié)議控制包。
另外,該方法還可以包括以下步驟當(dāng)達(dá)到媒體接入控制層記錄老化時間時,將媒體接入控制層中的內(nèi)容清除。
通過以上結(jié)合圖1的描述可以知道,本發(fā)明所采用的技術(shù)方案的核心內(nèi)容如下●識別PPP協(xié)議控制包,并為其預(yù)留單獨傳輸通道;●用捕獲表按MAC統(tǒng)計上行PADI和下行IPCP包數(shù),按周期對統(tǒng)計結(jié)果進(jìn)行分析,識別異常情況,并據(jù)此生成MAC控制表;以及●用MAC控制表對異常流量進(jìn)行限速控制。
以下具體描述本發(fā)明方法的一個具體實現(xiàn)過程,包括以下步驟一、配置異常判定閥值、統(tǒng)計周期、異??刂葡匏賲?shù)、異常記錄老化時間;二、以MAC為關(guān)鍵字,構(gòu)造捕獲統(tǒng)計表,其中,檢測上行方向的PADI,以源MAC為索引統(tǒng)計接收包數(shù)目,而檢測下行方向的NCP(IPCP請求)包,以目的MAC為索引統(tǒng)計收包數(shù)目;三、每隔一個時間周期(周期可配),對捕獲表進(jìn)行分析,對PADI統(tǒng)計計數(shù)和NCP(IPCP請求)統(tǒng)計計數(shù)差值滿足給定閥值(閥值可配)的記錄,根據(jù)配置的規(guī)則,提取到MAC控制表中,設(shè)置控制MAC限速參數(shù)(可配),并設(shè)定老化時間(可配),同時清空捕獲表,開始新一輪統(tǒng)計;
四、對上行經(jīng)過的數(shù)據(jù)流,將接入服務(wù)器要處理的控制流分流出來,然后送到MAC控制單元,根據(jù)源MAC地址和MAC控制表的參數(shù)信息進(jìn)行限速;五、經(jīng)過控制包MAC限速后,對PADI、PPP心跳包(PPP LCPECHO)和其他PPP控制包(非PADI、PPP LCP ECHO外的其他PPPOE和PPP控制包)根據(jù)預(yù)留帶寬通道保證和控制其流量,防止PPP業(yè)務(wù)與其他業(yè)務(wù)相互干擾,也可以有效防止PPP異常掉線;以及六、對于MAC控制表中的MAC控制條目,老化期滿(老化期可配,為0時不老化),將條目清除。
圖2是實施本發(fā)明所使用的系統(tǒng)的實施方法的示意圖。如圖2所示,包括控制單元和監(jiān)控單元兩部分。
其中,控制單元是用來進(jìn)行數(shù)據(jù)流控制的部分,其中又包括媒體接入控制層控制單元和協(xié)議控制單元。
媒體接入控制層控制單元是根據(jù)數(shù)據(jù)包源MAC和MAC控制表中的限速參數(shù),對數(shù)據(jù)包進(jìn)行限速(限速參數(shù)為0時為完全屏蔽)。
協(xié)議控制單元則根據(jù)數(shù)據(jù)包協(xié)議類型,為PPP協(xié)議控制包預(yù)留帶寬通道,分別針對PADI、PPP心跳包和其他PPP控制包進(jìn)行單獨的限速控制的功能。
監(jiān)控單元對上行PADI按源MAC、對下行NCP(IPCP請求)包按目的MAC進(jìn)行統(tǒng)計記錄,生成捕獲表,并在此基礎(chǔ)上進(jìn)行統(tǒng)計分析,生成MAC控制條目。
通過將監(jiān)控單元生成的MAC控制條目填寫到媒體接入控制層控制單元中的MAC控制表中,來指導(dǎo)媒體接入控制層控制單元工作,達(dá)到PPPOE接入業(yè)務(wù)保護(hù)的目的。
綜上所述,采用本發(fā)明的方法,擺脫了只能將防護(hù)措施放在寬帶接入服務(wù)器協(xié)議處理單元的限制,可以有效降低核心協(xié)議處理單元的工作負(fù)荷。對認(rèn)定異常的用戶采用控制包限速策略,既可以有效降低異常包對接入設(shè)備的沖擊,也可以使用戶在異常消失時能快速接入。
以上僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種寬帶接入業(yè)務(wù)保護(hù)方法,其特征在于,包括以下步驟步驟一,識別點到點協(xié)議控制包,并為所述點到點協(xié)議控制包預(yù)留傳輸信道;步驟二,按照媒體接入控制層構(gòu)造捕獲統(tǒng)計表,并周期統(tǒng)計上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù)和下行IP控制協(xié)議請求包的包數(shù);步驟三,周期分析所述捕獲統(tǒng)計表來識別異常情況,并生成媒體接入控制層控制表;以及步驟四,根據(jù)預(yù)置異常控制限速參數(shù),使用所述媒體接入控制層控制表進(jìn)行所述異常情況的限速控制處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述步驟一之前還包括以下步驟預(yù)置異常情況判斷閾值、執(zhí)行統(tǒng)計的周期、所述異??刂葡匏賲?shù)、和媒體接入控制層記錄老化時間。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,當(dāng)所述異??刂葡匏賲?shù)為0時,對所述異常情況執(zhí)行完全屏蔽。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟二中包括以下處理檢測所述上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包,并且以源媒體接入控制層為索引統(tǒng)計所述上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的所述包數(shù);以及檢測所述下行IP控制協(xié)議請求包,并且以目的媒體接入層為索引統(tǒng)計所述下行IP控制協(xié)議請求包的所述包數(shù)。
5.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述步驟三中包括以下處理周期分析所述捕獲統(tǒng)計表,判斷所述上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的所述包數(shù)和所述下行IP控制協(xié)議請求包的所述包數(shù)是否滿足預(yù)置的所述異常情況判斷閾值;如果滿足所述異常情況判斷閾值,則確定出現(xiàn)所述異常情況;以及根據(jù)所述異常情況生成媒體接入控制層控制表,并且清空所述捕獲統(tǒng)計表,開始下一次統(tǒng)計。
6.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括以下步驟在執(zhí)行所述限速控制處理之后,根據(jù)預(yù)留的所述傳輸信道保證和控制所述上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包、點到點協(xié)議心跳包、和其他點到點協(xié)議控制包的流量,從而防止業(yè)務(wù)干擾。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述其他點到點協(xié)議控制包包括非上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包、以及點到點協(xié)議心跳包外的以太網(wǎng)上點到點協(xié)議控制包和點到點協(xié)議控制包。
8.根據(jù)權(quán)利要求6所述的方法,其特征在于,還包括以下步驟當(dāng)達(dá)到所述媒體接入控制層記錄老化時間時,將所述媒體接入控制層中的內(nèi)容清除。
全文摘要
本發(fā)明提供了一種寬帶接入業(yè)務(wù)保護(hù)方法,其包括以下步驟步驟一,識別點到點協(xié)議控制包,并為點到點協(xié)議控制包預(yù)留傳輸信道;步驟二,按照媒體接入控制層構(gòu)造捕獲統(tǒng)計表,并周期統(tǒng)計上行以太網(wǎng)上點到點協(xié)議有效發(fā)現(xiàn)初始包的包數(shù)和下行IP控制協(xié)議請求包的包數(shù);步驟三,周期分析捕獲統(tǒng)計表來識別異常情況,并生成媒體接入控制層控制表;以及步驟四,根據(jù)預(yù)置異??刂葡匏賲?shù),使用媒體接入控制層控制表進(jìn)行異常情況的限速控制處理。因而,既可以有效降低異常包對接入設(shè)備的沖擊,也可以使用戶在異常消失時能快速接入。
文檔編號H04L12/24GK101068181SQ200710111488
公開日2007年11月7日 申請日期2007年6月27日 優(yōu)先權(quán)日2007年6月27日
發(fā)明者張奎 申請人:中興通訊股份有限公司