本申请提供一种防仿冒下线攻击的方法和装置,该方法为:网络接入服务器在终端登录上线后,判断所述终端对应的登录历史表项中的登陆次数是否超过设定值,登录历史表项用于记录所述终端在设定时间段内的累计登陆次数;如果是,则控制所述终端在登陆上线后的设定时长内保持一直在线。该方法可以保障终端在受到仿冒下线报文攻击时能够正常使用网络,以及可以减轻仿冒下线报文给网络接入服务器和AAA服务器带来的负荷。
【技术实现步骤摘要】
本申请涉及通信
,尤其涉及一种防仿冒下线攻击的方法和装置。
技术介绍
网络中存在一种仿冒下线报文,该报文会仿冒在线终端向网络接入服务器发起下线请求,导致该在线终端被强制下线,而被强制下线的终端可能又会重新向网络接入服务器发起上线请求。因此,当网络中存在仿冒下线报文攻击时,终端会反复上下线而无法正常使用网络,并且会导致网络接入服务器和验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器一直处于高负荷下运行。而针对仿冒下线报文带来的问题,目前尚未提出有效的解决方案。
技术实现思路
有鉴于此,本申请提供一种防仿冒下线攻击的方法和装置,用以保障终端在受到仿冒下线报文攻击时能够正常使用网络,以及减轻仿冒下线报文给网络接入服务器和AAA服务器带来的负荷。具体地,本申请是通过如下技术方案实现的:本申请第一方面,提供了一种防仿冒下线攻击的方法,所述方法应用于网络接入服务器,包括:在终端登录上线后,判断所述终端对应的登录历史表项中的登陆次数是否超过设定值,登录历史表项用于记录所述终端在设定时间段内的累计登陆次数;如果是,则控制所述终端在登陆上线后的设定时长内保持一直在线。本申请第二方面,提供了一种防仿冒下线攻击的装置,所述装置可以应用于网络接入服务器中,具有实现上述方法的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。一种可能的实现方式中,所述装置包括:表项处理单元,用于在终端登录上线后,判断所述终端对应的登录历史表项中的登陆次数是否超过设定值,登录历史表项用于记录所述终端在设定时间段内的累计登陆次数;终端控制单元,用于在所述判断单元确定所述登陆次数超过设定值时,控制所述终端在登陆上线后的设定时长内保持一直在线。另一种可能的实现方式中,所述装置包括处理器和用于存储所述处理器可执行指令的存储器,所述存储器和所述处理器之间通过总线系统相互连接;所述处理器用于执行以下操作:在终端登录上线后,判断所述终端对应的登录历史表项中的登陆次数是否超过设定值,登录历史表项用于记录所述终端在设定时间段内的累计登陆次数;如果是,则控制所述终端在登陆上线后的设定时长内保持一直在线。本申请的以上技术方案,对合法上线终端在过去一段时间内的登陆次数做了统计,这一统计数据可以作为判断终端是否收到仿冒下线报文攻击的依据,并在判断终端收到仿冒下线报文攻击时优先保障终端正常使用网络,这样可以减轻仿冒下线报文给网络接入服务器和AAA服务器带来的负荷。并且这一统计数据有利于运维人员排查分析网络健康状况。附图说明图1是本申请实施例提供的一种系统架构的示意图;图2是本申请实施例提供的一种防仿冒下线攻击的方法的流程图;图3是本申请实施例提供的一种保持PPPoE终端拨号时执行的方法流程图;图4是本申请实施例提供的一种防仿冒下线攻击的装置的功能模块框图;图5是本申请实施例提供的一种防仿冒下线攻击的装置的硬件架构图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。下面结合说明书附图和各实施例对本申请技术方案进行说明。本申请提供的方法能够在终端收到仿冒下线报文攻击时保障终端可以正常使用网络,以及减轻仿冒下线报文给网络接入服务器和AAA服务器带来的负荷。下面通过图1对本申请提供的方法所应用的系统架构进行描述:参见图1,图1为本申请提供的一种系统架构图,该系统架构可包括终端、二层转发设备、网络接入服务器和AAA服务器。以下分别对本系统架构所涉及的各网元的功能进行说明。终端,也可称之为用户设备(UserEquipment,简称UE),终端可以是移动电话、计算机或者车载移动装置等。终端可以向网络接入服务器发送上线请求,在其上线请求被通过认证之后即可正常访问外部网络。本申请并不限制终端接入网络的认证方式,如可以采用以太网的点对点协议(PointtoPointProtocoloverEthernet,PPPoE)认证方式、以太网IP拨号(InternetProtocoloverEthernet,IPoE)认证方式、门户(Portal)认证方式或其它认证方式等。二层转发设备,用于在终端和网络接入服务器之间转发报文。二层转发设备可以识别报文中的媒体接入控制(MediaAccessControl,MAC)地址,根据MAC地址进行报文转发。网络接入服务器,可以是宽带远程接入服务器(BroadbandRemoteAccessServer,BRAS)、业务路由器(ServiceRouter,SR)等。用于接收终端的上线请求,将上线请求中包含的认证信息发送给AAA服务器进行终端身份认证,在认证通过后确认终端登陆上线,从而为终端分配地址以使终端能够访问外部网络,并为终端创建一上线记录。其中,网络接入服务器可以采用以下方式管理终端的“上线记录”:在本地维护一张在线用户表,当终端登陆上线后,为该终端在预存的在线用户表中创建一条上线记录,其中,上线记录记载了终端的身份标识、上线时刻、网际协议(InternetProtocol,IP)地址等信息;当终端下线后,网络接入服务器则将该终端对应的上线记录从在线用户表中删除。本申请实施例中,网络接入服务器还可以用于统计终端在过去一个时间段内的登陆次数,并基于这一统计数据判断出终端在受到仿冒下线报文攻击时,有限保障终端能够正常使用网络。AAA服务器,存有所有终端的信息,用于终端身份认证,当认证通过后,开始终端的上网计费,并通知网络接入服务器该终端成功登陆上线;以及,还用于在接收到网络接入服务器转发的来自终端的下线请求时,停止上网计费,并通知网络接入服务器该终端成功下线。AAA服务器有多种类型,常用的AAA服务器有活动目录(ActiveDirectory,AD)服务器、轻量级目录访问协议(LightweightDirectoryAccessProtocol,LDAP)服务器、远端用户拨入验证服务(RemoteAuthenticationDialinUserService,RADIUS)服务器等。至此,完成对图1的系统架构的描述。下面通过图2对本申请提供的方法本文档来自技高网...
【技术保护点】
一种防仿冒下线攻击的方法,其特征在于,所述方法应用于网络接入服务器,包括:在终端登录上线后,判断所述终端对应的登录历史表项中的登陆次数是否超过设定值,登录历史表项用于记录所述终端在设定时间段内的累计登陆次数;如果是,则控制所述终端在登陆上线后的设定时长内保持一直在线。
【技术特征摘要】
1.一种防仿冒下线攻击的方法,其特征在于,所述方法应用于网络接入服务器,包括:在终端登录上线后,判断所述终端对应的登录历史表项中的登陆次数是否超过设定值,登录历史表项用于记录所述终端在设定时间段内的累计登陆次数;如果是,则控制所述终端在登陆上线后的设定时长内保持一直在线。2.如权利要求1所述的方法,其特征在于,所述控制所述终端在上线后的设定时长内保持一直在线包括:为所述终端创建上线记录,并为创建的上线记录添加固化属性标记;所述固化属性标记在经过所述设定时长后将被删除;当接收到所述终端的下线请求时,判断所述终端的上线记录是否标记有所述固化属性标记;如果是,则禁止响应所述终端的下线请求,以使所述终端在所述上线记录标记有固化属性标记的设定时长内保持一直在线。3.如权利要求2所述的方法,其特征在于,所述方法还包括:如果接收到所述终端的下线请求时,所述终端的上线记录未标记有所述固化属性标记,则响应所述终端的下线请求,以使所述终端下线。4.如权利要求1所述的方法,其特征在于,所述方法还包括:在所述终端下线后,查询所述终端对应的登陆历史表项是否存在;如果存在,则将所述登陆历史表项中的登陆次数加1;如果不存在,则为所述终端新建登陆历史表项,将新建的登陆历史表项中的登陆次数置为1,并为新建的登陆历史表项设置有效时间,在所述有效时间到期时,删除新建的登陆历史表项。5.如权利要求1所述的方法,其特征在于,所述方法还包括:如果所述终端对应的登录历史表项中的登陆次数超过设定值,则删除所述登陆历史表项。6.如权利要求1所述的方法,其特征在于,在判断所述终端对应的登录历史表项中的登陆次数是否超过设定值之前,所述方法还包括:查询所述终端对应的登陆历史表项是否存在;根据查询结果确定所述终端对应的登陆历史表项存在;所述方法还包括:如果所述终端对应的登录历史表项中的登陆次数没有超过设定值,则再次查询所述终端对应的登陆历史表项是否存在;如果存在,则将登陆历史表项中的登陆次数加1;如果不存在,则为所述终端新建登陆历史表项,将新建的登陆历史表项中的登陆次数置为1,并为新建的登陆历史表项设置有效时间,在所述有效时间到期时,删除新建的登陆历史表项。7.一种防仿冒下线攻击的装置,其特征在于,所述装置应用于网络接入服务器,包括:表项处理单元,用于在终端登录上线后,判断所述...
【专利技术属性】
技术研发人员:章靠,廖以顺,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。