【技术实现步骤摘要】
【国外来华专利技术】SDN安全性
本专利技术涉及关于SDN(软件定义联网)安全性的装置、方法、系统、计算机程序、计算机程序产品和计算机可读介质。本专利技术适用于比如例如DHCP(动态主机配置协议)、RADIUS(远程认证拨入用户服务)、L2TP(第二层隧道协议)和PPP(点对点协议)等各种协议。
技术介绍
动态主机配置协议(DHCP)是用于管理和动态分配IP(网际协议)地址给TCP/IP(传输控制协议/网际协议)网络中的站的协议。DHCP是客户端-服务器架构,并且在客户端和服务器之间执行如图1所示的用于分配IP地址(而不考虑GTP(GPRS(通用分组无线业务)隧道协议)的过程。如图1所示,客户端在步骤S11中向服务器发送广播消息“DHCP-发现”,服务器继而在步骤S12中用包括针对IP地址和其他相关参数的提议的“DHCP-提供”消息进行响应。然后,客户端在步骤S13中广播“DHCP-请求”消息,以用于确认/请求在“DHCP-提供”消息中提供的IP地址,并且服务器在步骤S14中用包含配置参数的“DHCP-ACK”消息针对请求的客户端进行响应。这方面的细节在文档RFC(请求注解)2131中描述。图2是图示在充当DHCP客户端的终端设备(TE)与充当DHCP服务器的内联网或ISP(互联网服务提供商)之间使用DHCPv4的地址分配的另一示例的信令(signaling)图(参考3GPPTS(技术规范)29.061)。图2进一步示出移动终端(MT)、SGSN(服务GPRS支持节点)和充当DHCP中继代理的GGSN(网关GPRS(通用分组无线服务)支持节点)。图2的步骤1)到12)的以下描 ...
【技术保护点】
一种用于在用户平面中的网络元件中使用的方法,包括:检查用户平面中的消息是否符合预先配置的规则,并且如果确定消息符合预先配置的规则,则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且如果已经达到预定阈值,则节流向控制器的特定信令消息的发送。
【技术特征摘要】
【国外来华专利技术】2015.06.10 EP 151713431.一种用于在用户平面中的网络元件中使用的方法,包括:检查用户平面中的消息是否符合预先配置的规则,并且如果确定消息符合预先配置的规则,则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定阈值,并且如果已经达到预定阈值,则节流向控制器的特定信令消息的发送。2.根据权利要求1所述的方法,其中,节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。3.根据权利要求2所述的方法,还包括:如果尚未达到预定阈值,则将特定信令消息发送给控制器,并且如果已经达到特定阈值并且发送已经被节流,则根据来自控制器的请求恢复特定信令消息的发送。4.根据权利要求1至3中任一项所述的方法,还包括:针对携带特定信息的特定信令消息进行搜索,从特定信令消息中提取特定信息,以及将所提取的特定信息发送给控制器。5.根据权利要求1至4中任一项所述的方法,其中,特定信令消息是根据动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP和点对点协议PPP中的一个的信令消息。6.根据权利要求5所述的方法,还包括:经由DHCP中继或LCP/认证/IPCP协商将特定信息发送给RADIUS/DHCP/L2TP映射功能,其中特定信息是网际协议地址或网际协议地址的租用时间。7.根据权利要求1至6中任一项所述的方法,其中,当消息符合动态主机配置、RADIUS、L2TP或PPP协议时,用户平面中的消息符合预先配置的规则;和/或其中所述控制器符合OpenFlow协议或者转发和控制元件分离协议中的一个。8.一种用于在网络元件中使用的方法,包括:评估针对地址分配的请求是否满足预定条件,如果确定请求满足预定条件,则使得用户平面中的另一网络元件检查用户平面中的消息是否符合预先配置的规则,并且如果用户平面中的消息符合预先配置的规则,则使得用户平面中的所述另一网络元件节流向控制器的特定信令消息。9.根据权利要求8所述的方法,其中,节流包括减少特定信令消息的发送以及完全停止向控制器的特定信令消息的发送。10.根据权利要求8或9所述的方法,其中,预定条件包括已经经由动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个请求了地址分配,以及预先配置的规则包括用户平面中的消息为符合动态主机配置协议DHCP、远程认证拨入用户服务RADIUS、第二层隧道协议L2TP、或点对点协议PPP中的一个的消息;和/或其中在创建会话请求消息中经由通用分组无线业务隧道协议控制平面GTP-C请求地址分配;或其中在创建分组数据协议PDP上下文请求消息中经由网关通用分组无线业务支持节点GGSN请求地址分配;和/或所述方法还包括:在协议配置选项PCO中评估是否经由DHCP、链路控制协议LCP、密码认证协议PAP、挑战握手认证协议CHAP和网际协议控制协议IPCP中的一个请求地址分配。11.一种用于在用户平面中的网络元件中使用的装置,包括:至少一个处理器,和至少一个存储器,用于存储要由处理器执行的指令,其中,所述至少一个存储器和所述指令被配置为利用所述至少一个处理器使得所述装置至少执行:检查用户平面中的消息是否符合预先配置的规则,并且如果确定消息符合预先配置的规则,则检查发送给控制器的与地址分配相关的特定信令消息的数目是否已经达到预定...
【专利技术属性】
技术研发人员:K霍夫曼,
申请(专利权)人:诺基亚通信有限责任两合公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。