网络攻击的防御方法、CP设备及UP设备技术

本申请提供了一种网络攻击的防御方法、CP设备及UP设备，属于通信技术领域。本申请公开的方法应用在CP和UP分离的通信系统中，该方法包括：CP设备响应于拨号报文的接收速率满足异常条件，CP设备生成第一控制消息，第一控制消息用于指示UP设备在向CP设备发送拨号报文时携带水印；CP设备向UP设备发送第一控制消息；CP设备根据水印，在报文流中识别攻击报文；CP设备丢弃攻击报文。该方法能够有效地抵御网络攻击，保障了CP设备的安全性。保障了CP设备的安全性。保障了CP设备的安全性。

【技术实现步骤摘要】
网络攻击的防御方法、CP设备及UP设备


[0001]本申请涉及通信
，特别涉及一种网络攻击的防御方法、CP设备及UP设备。

技术介绍

[0002]随着软件定义网络(software defined network，SDN)技术和网络功能虚拟化(network functions virtualization，NFV)技术的发展，数据通信网络由传统的以网络为核心的架构向以数据中心为核心的网络架构演进。传统的网络设备也从专业化朝着通用化演进。有鉴于此，控制面和用户面分离(control plane and user plane disaggregated，CU分离)技术应运而生，成为本领域的研究热点。CU分离是指控制面(control plane，CP)和用户面(user plane，UP)解耦的网络架构。在采用CU分离架构时，CP和UP位于不同硬件设备上，或者CP和UP位于同一个硬件设备上且功能分离。时下，CU分离架构成为很多通信系统演进的下一跳，得到了主流厂商、运营商和标准组织的认可。
[0003]时下，CP设备受到网络攻击的风险本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击的防御方法，其特征在于，应用于控制面CP和用户面UP分离的通信系统中的CP设备，所述通信系统包括所述CP设备以及UP设备，所述方法包括：响应于拨号报文的接收速率满足异常条件，所述CP设备生成第一控制消息，所述第一控制消息用于指示所述UP设备在向所述CP设备发送拨号报文时携带水印；所述CP设备向所述UP设备发送所述第一控制消息；所述CP设备根据所述水印，在报文流中识别攻击报文；所述CP设备丢弃所述攻击报文。2.根据权利要求1所述的方法，其特征在于，所述水印包括第一虚拟扩展局域网网络标识符VNI，所述报文流包括第一报文，所述CP设备根据所述水印，在报文流中识别攻击报文，包括：所述CP设备根据所述第一报文包括所述第一VNI确定所述第一报文为非攻击报文。3.根据权利要求1所述的方法，其特征在于，所述水印包括第一随机数，所述报文流包括第二报文，所述CP设备根据所述水印，在报文流中识别攻击报文，包括：所述CP设备根据所述第二报文包括所述第一随机数确定所述第二报文为非攻击报文。4.根据权利要求1所述的方法，其特征在于，所述水印包括第一时间戳，所述第一时间戳用于指示所述CP设备与所述UP设备之间同步的时间点，所述报文流包括第三报文，所述CP设备根据所述水印，在报文流中识别攻击报文，包括：所述CP设备根据所述第三报文包括所述第一时间戳确定所述第三报文为非攻击报文。5.根据权利要求1所述的方法，其特征在于，所述水印包括第一消息认证码，所述报文流包括第四报文，所述CP设备根据所述水印，在报文流中识别攻击报文，包括：所述CP设备根据所述第四报文包括所述第一消息认证码确定所述第四报文为非攻击报文。6.根据权利要求1至5中任一项所述的方法，其特征在于，所述第一控制消息包括所述水印；或者，所述第一控制消息包括所述水印对应的水印类型信息；或者，所述第一控制消息包括生成所述水印相关的参数。7.根据权利要求1至6中任一项所述的方法，其特征在于，所述第一控制消息为控制与转发分离协议CUSP报文，所述CUSP报文包括水印类型长度值TLV；其中，所述水印TLV为携带所述水印的TLV；或者，所述水印TLV为携带所述水印对应的水印类型信息的TLV；或者，所述水印TLV为携带生成所述水印相关的参数的TLV。8.根据权利要求1至6中任一项所述的方法，其特征在于，所述第一控制消息为包转发控制协议PFCP消息，所述PFCP消息包括水印信息元素IE；其中，所述水印IE为携带所述水印的IE；或者，所述水印IE为携带所述水印对应的水印类型信息的IE；或者，所述水印IE为携带生成所述水印相关的参数的IE。9.根据权利要求8所述的方法，其特征在于，所述第一控制消息为PFCP节点消息；或者，所述第一控制消息为PFCP会话消息。10.根据权利要求1至9任一项所述的方法，其特征在于，所述报文流包括第五报文，所述CP设备根据所述水印，在报文流中识别攻击报文，包括：所述CP设备根据所述第五报文不包括所述水印确定所述第五报文为攻击报文。11.根据权利要求1至10中任一项所述的方法，其特征在于，所述CP设备向所述UP设备
发送所述第一控制消息之后，所述方法还包括：响应于拨号报文的接收速率满足正常条件，所述CP设备生成第二控制消息，所述第二控制消息用于指示所述UP设备在向所述CP设备发送拨号报文时取消携带水印；所述CP设备向所述UP设备发送所述第二控制消息。12.根据权利要求1至11中任一项所述的方法，其特征在于，所述通信系统为宽带网络网关BNG系统或者宽带远程接入服务器BRAS系统。13.一种报文处理方法，其特征在于，应用于控制面CP和用户面UP分离的通信系统中的UP设备，所述通信系统包括CP设备以及所述UP...

【专利技术属性】
技术研发人员：余舟毅，花荣荣，彭涛，王晓凯，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：