用于提供连接的方法、边界网络以及IP服务器技术

提供了一种为至少一个通信服务提供方提供到边界网络中的互联网协议IP服务器的连接的方法，该IP服务器在公共IP网络上提供服务，所述方法包括步骤：在边界网络中，检测通过公共IP网络到达边界网络的IP业务中的不规则性；在边界网络中，丢弃通过公共IP网络到达边界网络的IP业务，以及在边界网络中，启用至少一个专用IP网络上的位于IP服务器和至少一个通信服务提供方之间的连接，用于IP服务器提供的服务。还提供了一种边界网络和一种IP服务器。

Method, boundary network, and IP server for providing connectivity

【技术实现步骤摘要】
用于提供连接的方法、边界网络以及IP服务器本申请是2016年6月20日(申请日：2013年12月20日)向中国专利局递交并进入中国国家阶段的题为“用于提供通信服务提供方和提供服务的互联网协议IP服务器之间的连接的方法、包括IP服务器的边界网络以及提供服务的IP服务器”的专利技术专利申请No.201380081766.0(PCT国际申请No.PCT/EP2013/077715)的分案申请。
本专利技术总体涉及用于提供至少一个通信服务提供方和IP服务器之间的连接的方法，具体涉及被执行以实现该连接的方法步骤。
技术介绍
现如今，消费者和商务越来越依赖于公共互联网服务，例如网上银行、政府网站、信用卡网站等。这种依赖增加了对支持这些服务的网站的稳定可用性的要求。例如，不可用性可能对经济社会造成损害。消费者可能不信任这些基于互联网的服务，这可能影响经济。这些服务的不可用性可能是由网络故障、支持服务的服务器的故障、服务本身的故障以及第三方对这些服务的攻击引起的。一种可能的攻击类型是(分布式)拒绝服务DDoS。DDoS包括试图暂时或无限期地中断或禁止与公共网络(如互联网)相连的服务器的服务。从单个源执行DoS攻击，用大量(假冒)业务或查询泛洪目标服务器，使得该服务器变得无法正常操作，并且DDoS攻击本质上是相同类型的攻击，但从多个源同时进行。DDoS的症状包括但不限于，迟缓或无响应的网络表现以及无响应或不可用的应用和/或服务。在对特定互联网的DDoS攻击的情形中，当前的一种保护形式是，至少对有问题的服务，暂时阻止特定或全部的进出IP业务。一旦检测到或怀疑有DDoS攻击，就尽快通过服务器或服务宿主的防火墙来激活阻止。互联网服务可以涉及简单邮件传输协议电子邮件(SMTP)、超文本传输协议(HTTP)、文件传输协议(FTP)、IP电话(VoIP)等。互联网服务的不可用性还可能由例如以下问题引起，公共互联网的特定IP路由器或DNS服务器，与IP服务器相连的匿名系统(AS)的IP基础设施中的错误条件，等等。无论不可用性的原因如何，服务器不可用性的结果都是消费者和商务无法访问互联网服务。现有技术提倡的保护(即一旦检测到DDoS就暂时阻止特定或全部的进出IP业务)保护IP服务器和所提供的服务，但其不提供对不可用性方面的解决方案。至少在DDoS攻击期间，IP服务器和/或提供的服务仍将不可用。
技术实现思路
本专利技术的目的是提供一种提供至少一个通信服务提供方和边界网络中的互联网协议IP服务器之间的连接的改进方法，其中，所述IP服务器通过公共IP网络提供服务。另一个目的是提供一种边界网络，包括提供服务的互联网协议IP服务器，其中，所述边界网络被布置用于支持所述改进方法。再一个目的是提供一种IP服务器，被布置用于支持为至少一个通信服务提供方提供到IP服务器的连接的改进方法。在本文的第一方面中，提出一种为至少一个通信服务提供方提供到边界网络中的互联网协议IP服务器的连接的方法，其中所述IP服务器在公共IP网络上提供服务。所述方法包括以下步骤：在边界网络中，检测通过公共IP网络到达边界网络的IP业务中的不规则性；在边界网络中，丢弃通过公共IP网络到达边界网络的IP业务，以及在边界网络中，启用至少一个专用IP网络上到至少一个通信服务提供方的、用于IP服务器提供的服务的连接。所述方法基于以下见解，每当检测到到达边界网络的IP业务中的不规则性时，可以保证服务的可用性，即，可以使用至少一个专用网络来启用从IP服务器到至少一个通信服务提供方的连接。在本专利技术的上下文中，不规则性包括到达边界网络的IP业务的突然增加，到达边界网络的特定类型请求的突然增加，到达边界网络的IP分组的净载荷的突然增加，来自特定源的IP业务的突然增加，到达边界网络的IP业务的非期望的持续消失，等等。专用网络可以是例如公共IP网络上的虚拟专用网络VPN。该VPN使服务器能够经公共IP网络发送和接收IP分组，同时还能够从VPN的功能、安全和管理策略获益，且不受到进出公共互联网的IP业务的临时阻塞的影响。通常通过使用专用链接、加密或二者组合来建立虚拟的点对点连接，由此来使用VPN。VPN的一个优点是对公共IP网络隐藏网络地址，例如，隐藏IP服务器的IP地址或主机名地址。因此，VPN的网络地址对攻击者而言是未知的，DDoS攻击无法重定向到VPN。专用网络的另一个示例可以是IP分组交换IPX。IPX包括电信互连基础没施，用于经由基于IP的网络对网络接口，在通信服务提供方之间交换IP业务。在当前技术下，DDoS攻击无法重定向到IPX连接，因为IPX逻辑和物理上都与公共IP网络完全隔离。IPX对公共IP网络(如互联网)来说不可寻址也不可见。在本专利技术的上下文中，通信服务提供方可以是互联网服务提供商(ISP)和移动网络操作方(MNO)中任一个。ISP是例如为用户设备提供对公共IP网络(如互联网)的接入和相关服务的商业或组织。MNO是为其订阅移动用户提供无线语音、数据通信以及互联网连接的电信服务提供商组织。与通信服务提供方相连的用户设备可以发起通信服务提供方和IP服务器之间的连接。然后，用户设备能够通过通信服务提供方和IP服务器之间的连接来访问IP服务器提供的服务。对于在边界网络中检测到不规则性(如DDoS攻击)的情形，使用专用IP网络上的连接来提供从UE到服务的访问。由此，用户设备将不再遇到任何问题，例如，与检测到的不规则性有关的服务中断或服务不可用。边界网络(例如，非军事区网络DMZ和屏蔽的子网网络)通常是与组织的个人网络和公共IP网络分离创建的小型网络。边界网络允许外部用户获得对位于边界网络内的特定服务器的访问权。例如，边界网络可以包括公司的web服务器，使得可以向公共IP网络发送网络内容。由此，边界网络与公共IP网络和组织的个人网络分离或隔离。边界网络是和公共IP网络的服务器最靠近的网络。通常，边界网络是IP分组沿途去往公共IP网络所经过的网络之一中的最后一步，相反，也是从公共IP网络进入的IP业务所遇到的第一个网络。在本专利技术的上下文中，边界网络还可以仅由IP服务器构成，使得IP服务器被布置为执行根据本专利技术的任一方法的步骤。下文中与DoS攻击相关的表述还可适用于DDoS攻击，反之亦然。示例中，所述边界网络在至少一个专用IP网络上启用位于IP服务器和所述至少一个通信服务提供方之间的、用于IP服务器提供的所述服务的连接包括：建立位于至少一个通信服务提供方和IP服务器之间的至少一个专用IP网络，以及在所建立的至少一个专用IP网络上，针对IP服务器提供的服务来连接至少一个通信服务提供方。一旦在到达边界网络的IP业务中检测到不规则性，边界网络可以决定自动和/或独立开始建立位于通信服务提供方和IP服务器之间的专用IP网络。专利技术人指出，不必在检测到不规则性前已经建立专用IP网络。不在检测到不规则性前建立专用IP网络的优点是，当不使用专用IP网络时，不需要维持或支持通信服务提供方和边界网络之间的专用IP网络。仅当要使用专用IP网络时，即，检测到IP业务中的不规则性时，才维持或支持专用IP网络。示例中，IP服务器经由包括在IP服务器中的第一公共IP接口，在公共IP网络上提供所述服务，其中，通过包括在IP服务器中本文档来自技高网...

【技术保护点】
1.一种提供至少一个通信服务提供方与边界网络中的互联网协议IP服务器之间的连接的方法，所述IP服务器通过公共IP网络传递由所述至少一个通信服务提供方提供的服务，所述方法包括，所述边界网络：检测通过所述公共IP网络到达所述边界网络的IP业务中的不规则性；响应于检测到不规则性，丢弃通过所述公共IP网络到达所述边界网络的IP业务，以及在至少一个专用IP网络上，启用位于所述IP服务器和提供所述IP服务器传递的服务的一个或多个选择的通信服务提供方之间的连接，其中，启用所述连接维持用户设备UE对所述IP服务器提供的服务的访问。

【技术特征摘要】
1.一种提供至少一个通信服务提供方与边界网络中的互联网协议IP服务器之间的连接的方法，所述IP服务器通过公共IP网络传递由所述至少一个通信服务提供方提供的服务，所述方法包括，所述边界网络：检测通过所述公共IP网络到达所述边界网络的IP业务中的不规则性；响应于检测到不规则性，丢弃通过所述公共IP网络到达所述边界网络的IP业务，以及在至少一个专用IP网络上，启用位于所述IP服务器和提供所述IP服务器传递的服务的一个或多个选择的通信服务提供方之间的连接，其中，启用所述连接维持用户设备UE对所述IP服务器提供的服务的访问。2.根据权利要求1所述的方法，其中启用位于所述IP服务器和一个或多个选择的通信服务提供方之间的连接包括：建立位于所述一个或多个选择的通信服务提供方和所述IP服务器之间的所述至少一个专用IP网络，以及在所建立的至少一个专用IP网络上，连接提供所述IP服务器传递的服务的所述一个或多个选择的通信服务提供方。3.根据权利要求2所述的方法，其中所述IP服务器经由包括在所述IP服务器中的第一公共IP接口，通过所述公共IP网络提供所述服务，以及，通过包括在所述IP服务器中的第二IP接口来建立所述至少一个专用IP网络和连接所述一个或多个选择的通信服务提供方。4.根据权利要求1所述的方法，其中所述启用位于所述IP服务器和所述一个或多个选择的通信服务提供方之间的连接包括：启用位于所述IP服务器和所述一个或多个选择的通信服务提供方之间的至少一个预先建立的专用IP网络上的所述连接。5.根据权利要求1所述的方法，其中，所述启用位于所述IP服务器和所述一个或多个选择的通信服务提供方之间的连接包括在所述至少一个专用IP网络上启用位于所述IP服务器和以下任一项之间的连接：包括在所述一个或多个选择的通信服务提供方中的网关通用分组无线服务GPRS支持节点GGSN、以及包括在所述一个或多个选择的通信服务提供方中的分组数据网络网关PDN-Gw。6.根据权利要求1所述的方法，其中，通过所述公共IP网络到达所述边界网络的IP业务中的所述过载包括基于体量的过载、基于协议的过载和基于请求的过载中的任一项。7.根据权利要求1所述的方法，其中，所述丢弃通过所述公共IP网络到达所述边界网络的IP业务包括以下任一项：放弃、阻止和重定向所述IP业务。8.根据权利要求1所述的方法，其中，所述一个或多个选择的通信服务提供方包括以下中的一项：向用户提供对所述公共IP网络的设备访问的一个或多个互联网服务提供商ISP，以及向移动订户提供电信服务的一个或多个电信服务提供方。9.根据权利要求1所述的方法，其中，所述检测到达所述边界网络的IP业务中的不规则性由以下至少一个来执行：包括在所述边界网络中的防火墙、所述IP服务器和所述服务。10.一种边界网络，被布置为提供位于互联网协议IP服务器和至少一个通信服务提供方之间的连接，所述边界网络包括：IP服务器，被布置为通过公共IP网络传递服务；处理电路；以及存储器，包括能够由所述处理电路执行...

【专利技术属性】
技术研发人员：马丁·霍比，安妮·布鲁萨德，罗希尔·奥古斯特·卡斯帕·约瑟夫·诺尔德斯，埃里克简·范罗内，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典,SE