专利名称:流量控制方法、装置及系统的制作方法
技术领域:
本发明属于移动通信领域,尤其属于一种流量控制方法、装置及系统。
背景技术:
长期演进(Long Time Evolution,以下简称为LTE )和系统架构演进 (System Architecture Evolution,以下简称为SAE)是一种3G通信^支术向 4G通信技术平滑演进的过渡性通信技术,因此常被称为B3G (Beyond 3G )或 E3G (Evolved 3G )。
目前在GPRS/3G网络中,垃圾流量(Spam Flows)占用了大量的空中接 口资源,并且这些垃圾流量主要为由病毒、蠕虫或拒绝服务(Denial of Service,以下简称为DoS )攻击引起的上行流量。因此,在LTE/SAE网络中, 是否能对上行流量进行有效的监控直接影响了 LTE/SAE网络的性能。
由于LTE/SAE网络的网元,如eNodeB、 SGW、/^用凄t据网网关(Publ ic Data Network-Gateway,以下简称为PDN-GW )等,不能解析应用层的数据包,因此 应用层中包含的病毒、蠕虫和DOS攻击报文对LTE/SAE网络的网元是没有彩 响的。但这些流量属于用户上行流量中的无用部分,因此,我们称这些流量 为LTE/SAE网络中的"垃圾流量"。
根据2007年10月最新版3GPP TS23.401 LTE/SAE标准,为了控制垃圾 流量,在LTE/SAE网络架构中,PDN-GW(DPI )网元上增加了深度包检测(Deep Packet Inspect,以下简称为DPI )的功能,利用DPI可以对空中接口的上行 流量进行检测并过滤。
现有技术的缺点在于
5由于缺少有关限制空中接口上行流量的机制,因此即使在PDN-GW上进行 垃圾流量的检测,也不能控制垃圾流量占用空中接口资源;
对上行流量而言,在服务网关(Serving Gateway)和PDN-GW的带宽资 源仍被垃圾流量所浪费,且消耗了 eNodeB、服务网关和的设备处理资源,因 此在PDN-GW上做DPI更适用于对下行流量做垃圾流量过滤;
由于LTE能够支持很高的空中接口数据流量,并且SAE核心网的流量也 会大幅增加,预计SAE核心网流量就可达千兆,甚至更多,这样在PDN-GW做 DPI时,对PDN-GW的检测设备、芯片、算法的速度和性能要求非常高,并且 如果PDN-GW做DPI的速率与SAE核心网的流量速率不匹配,还会造成/>用数 据网和SAE核心网之间的流量)f瓦颈。
发明内容
本发明实施例提供一种流量控制方法、装置及系统,以解决用户设备的 上行流量中的垃圾流量占用大量的空中接口资源的缺陷,实现了基于LTE/SAE 网络的流量控制。
本发明实施例提供了一种流量控制方法,包括接收来自用户设备发送 的数据流;对来自用户设备的数据流行判断,获知数据流是否为垃圾流量; 若数据流为垃圾流量,统计垃圾流量,得到统计结果,当统计结果超过预先 设置的门限阀值时,对用户设备进行流量控制操作。
本发明实施例还提供了一种流量控制装置,包括接收模块,用于接收 用户设备发送的数据流;解码模块,用于对数据流进行解密,生成明文数据; 累加模块,用于根据明文数据,与用户设备对应的发送量积分进行统计处理,
生成发送量累加值;第一判断模块,用于判断明文数据是否为垃圾流量;拦 截模块,当第一判断模块判断出明文数据是垃圾流量时,用于对明文数据进 行拦截处理,与用户设备对应的垃圾量积分进行统计处理,生成垃圾量累加 值;第二判断模块,用于判断发送量累加值比垃圾量累加值的比值是否超出
6门限阀值;空中接口资源管理模块,当第二判断模块判断出超出门限阀值时, 用于对用户设备进行流量控制操作。
本发明实施例提供了一种流量控制系统,包括用户设备,用于发送用 户设备的数据流;接入节点包括流量控制模块,流量控制模块,数据流为垃 圾流量时,用于对数据流进行拦截处理,用户设备发送的数据流的垃圾量累 加值与发送量累加值的比值大于门限阀值时,用于对所述用户设备进行流量 控制操作。
本发明实施例提供了 一种流量控制方法,通过在接入节点上实现垃圾流 量检测和控制,可以减少空口资源中的垃圾流量,克服了现有技术中用户设 备的上行流量中的垃圾流量占用大量的空中接口资源的缺陷,提高了 B3G网 络的运4于效率。
本发明实施例还提供了一种流量控制装置,通过在eNodeB上实现垃圾流 量4企测和控制,可以减少空口资源中的垃圾流量,克服了现有4支术中用户设 备的上行流量中的垃圾流量占用大量的空中接口资源的缺陷,不仅提高了 B3G 网络的运行效率,并且降低了对相应硬件设备的要求,进而相应的硬件设备 也不会成为公用数据网和SAE核心网之间的流量瓶颈。
本发明实施例提供了 一种流量控制系统,通过对用户设备发送的数据流 进行检测之后,用位于eNodeB上的流量控制模块对用户设备的上行流量进行
流量控制的系统,克服了现有技术不能有效地控制用户设备上行流量的缺陷u
图1为本发明流量控制方法第二实施例的流程图; 图2为本发明流量控制装置实施例的结构示意图; 图3为本发明流量控制系统实施例的结构示意图。
具体实施例方式
下面通过附图和实施例,
对本发明的技术方案做进一步的详细描述。本发明流量控制方法第 一 实施例
该方法具体包括接收来自用户设备发送的数据流;对来自用户设备的 数据流行判断,获知数据流是否为垃圾流量;若数据流为垃圾流量,统计垃 圾流量,得到统计结果,当统计结果超过预先设置的门限阀值时,对用户设 备进行流量控制操作。
本发明流量控制方法第一实施例,通过在eNodeB上实现对用户i殳备的流 量才企测,从而在eNodeB上对用户设备的上行流量进行控制,有效地减少了进 入网络的垃圾流量,同时由于流量控制操作终结于eNodeB,因此不需要各个 网元之间额外的通信机制,可以在现有标准的基础上开发产品,从而可以防 止在后续的产品开发过程中产品之间不兼容的问题。
在本发明流量控制方法第一实施例中,所述统计结果包括所述垃圾流量 累加值、垃圾量累加值与发送量累加值的比值、或者是该比值的筒单变换。 在这里统计结果是流量控制操作的触发条件,所以基于垃圾量累加值,根据 不同情况,即运营商维护网络的需求或者用户设备使用者对业务的具体需求, 对触发条件进行升级变换也明显落入本发明要保护的范围之内。在具体实现 的时候,如果将统计结果设置成垃圾流量累加值的话可以根据用户设备的发 送的垃圾总量进行流量控制操作;如果将统计结果设置成垃圾量累加值与发 送量累加值的比值的话可以根据用户设备的垃圾量比值进行流量控制操作。
在本发明流量控制方法第一实施例中,接收来自用户设备发送的数据流 之后,所述数据流是加密数据,则需要对数据流进行解密操作,使得加密的 数据流变成明文数据。相应地,对来自用户设备的数据流行判断的步骤也要 变成对数据流解密之后的明文数据进行判断。另外根据具体的网络结构,本 发明流量控制方法第 一 实施例中4是供的方法可以在不同的网元上进行。
本发明流量控制方法第二实施例
图1为本发明流量控制方法第二实施例的流程图,本发明流量控制方法 第二实施例在本发明流量控制方法第一实施例的基础上进行了改进,该方法具体步骤如下
步骤IOI、在LTE接入网中,eNodeB中的空中接口解密^^莫块接收用户设 备(User Equipment,以下简称为UE )发送的数据流;
步骤102、 eNodeB中的解码模块对所述数据流进行解密,生成明文数据; 步骤103、 eNodeB中的累加模块,根据解码模块生成的明文数据,对与 所述用户设备对应的发送量积分进行统计处理,生成发送量累加值,其中发 送量积分仅用于表示用户设备的发送的数据流总量,因此根据不同的总量统
步骤104、 eNodeB中的第一判断模块,判断所述明文数据是否为垃圾流 量,其中判断方法具体为对所述明文数据进行DPI,如采用基于"特征字" 的识别技术、或者采用应用层网关识别技术、或者采用行为模式识别技术, 并判断所述明文数据的应用层上是否存在垃圾流量,实现判断的方法还可以 为基于ACL的端口过滤的方法,此方法在防火墙技术中比较成熟,因此在这 里不再赘述;
步骤105、当所述明文数据是垃圾流量时,eNodeB中的拦截模块,对所 述明文数据进行拦截处理,即把垃圾流量从相应的设备中删除,同时对与所 述用户设备对应的垃圾量积分进行统计处理,生成垃圾量累加值,其中垃圾 量积分仅用于表示用户设备发送的垃圾流量总数,因此根据不同的总量统计 方法可以采用不同的累加方式,但是垃圾量积分的统计方法必须和发送量积 分统计方法保持一致;
步骤106、 eNodeB中的第二判断模块,判断所述垃圾量累加值比所述发 送量累加值的比值是否超出门限阔值,在实际应用过程中,考虑到eNodeB中 的第一判断模块的准确性和用户设备发送的数据流的特性等因素,所述门限 阀值根据具体需要进行设置;
步骤107、若垃圾量累加值比发送量累加值的比值超出门限阔值,eNodeB 中的第二判断模块通知eNodeB中的空中接口资源管理模块,对所述用户设备进行流量控制操作,如对所述用户设备进行空中接口数据流量限制操作、或 者对所述用户设备进行空中接口带宽限制操作、或者对所述用户设备进行断 开连接操作、或者对所述用户设备进行禁止使用网络操作等。
本发明专利中所说的LTE/SAE网络垃圾流量(Spam Flows)主要指那些 大量占用空中接口资源的病毒、蠕虫和DoS攻击等上行流量。本发明流量控 制方法第二实施例,通过在LTE接入网中的eNodeB上实现垃圾流量^企测,并 且根据;险测到的垃圾流量,可以对UE的上行流量进行限制操作,从根本上解 决了 B3G网络中的垃圾流量,从而防止了现有技术根据标准,在PDN-GW上, 只能实现检测上行垃圾流量,不能实现控制上行垃圾流量的缺陷,使得本发 明流量控制方法实施例有效提高了 B3G网络的运行效率;另外本发明流量控 制方法实施例,让空中接口资源管理终结于eNodeB上,因此在现有LTE标准 的基础上不需要另外增加PDN-GW和LTE接入网中各个网元之间的通信机制, 进而也不需要改变SAE标准;同时,由于LTE的数据吞吐量远低于SAE的数 据吞吐量,因此在LTE上实现流量控制相比在PDN-GW上实现流量控制,即在 SAE上实现流量控制,可以大大降低对相应硬件设备的要求,进而相应的硬件 设备也不会成为公用数据网和SAE核心网之间的流量瓶颈。
在本发明流量控制方法第二实施例中,还可以包括如下步骤,具体为 步骤108、当所述明文数据不是垃圾流量时,eNodeB中的对所述明文数据进 行发送处理。具体发送的时候,根据GTP-U(GPRS Tunneling Protocol - Packet Data User Plane)的通信协议,对所述明文数据进4亍处理,并生成GTP-U数 据包之后,发送到SGW。这样可以将净化后的明文数据发送到SGW。
在本发明流量控制方法第二实施例中,对明文数据进行拦截处理之后还 可以包括如下步骤,具体为步骤109、安全管理控制后台根据被拦截的明文 数据,生成日志、或生成告警、或生成垃圾流量特征信息。进一步地,安全 管理控后台还可以将生成的日志、告警或垃圾流量特征信息等,以短信或电 子邮件方式通知UE进行相应处理,如进行杀毒等;还可以将生成的日志、告
10警或垃圾流量特征信息等直接输出到其他设备中,并进行进一步的分析处理。 本发明流量控制装置实施例
图2为本发明流量控制装置实施例的结构示意图,该装置具体包括如下 接收模块11,用于接收用户设备(UE )发送的数据流; 解码模块12,用于对接收模块ll接收的数据流进行解密,生成与数据流 对应的明文数据;
累加模块16,用于根据所述明文数据,与所述用户设备对应的发送量积 分进行统计处理,生成发送量累加值,其中发送量积分仅用于表示用户设备 的发送的数据流总量,因此根据不同的总量统计方法可以采用不同的累加方 式;
第一判断模块13,用于判断所述明文数据是否为垃圾流量,其中判断方 法具体为对所述明文数据进行DPI,如采用基于"特征字"的识别技术、或 者采用应用层网关识别技术、或者采用行为模式识别技术,并判断所述明文 数据的应用层上是否存在垃圾流量,其中实现判断的方法还可以为基于ACL 的端口过滤的方法,此方法在防火墙技术中比较成熟,因此在这里不再赘述;
拦截模块14,当第一判断模块判断出所述明文数据是垃圾流量时,用于 对所述明文数据进行拦截处理,即把所述明文数据回送给用户设备、或者把 所述明文数据从相应的设备中删除,同时对与所述用户设备对应的垃圾量积 分进行统计处理,生成垃圾量累加值,其中垃圾量积分仅用于表示用户设备 发送的垃圾流量总数,因此根据不同的总量统计方法可以采用不同的累加方 式,但是垃圾量积分的统计方法必须和发送量积分统计方法保持一致;
第二判断模块15,用于判断基于垃圾量累加值和发送量累加值的统计结 果超出预先设置的门限阀值,在实际应用过程中,考虑到eNodeB中的第一判 断模块的准确性和用户设备发送的数据流的特性等因素,可以根据具体需要 设置门限阀值,并且所述统计结果包括所述垃圾流量累加值、垃圾量累加值 与发送量累加值的比值、或者是该比值的简单变换;空中接口资源管理模块17,当第二判断模块判断出超出门限阀值时,用 于对所述用户设备进行流量控制操作,如对所述用户设备进行空中接口数据 流量限制操作、或者对所述用户设备进行空中接口带宽限制操作、或者对所 述用户设备进行断开连接操作、或者对所述用户设备进行禁止使用网络操作 等。
其中,接收模块ll、解码模块12、累加模块16、第一判断模块13、拦 截模块14 、第二判断模块15和空中接口资源管理模块17组成了 一个eNodeB 。 本发明流量控制装置实施例,通过在LTE接入网中的eNodeB上实现垃圾流量 检测,并且根据检测到的垃圾流量,可以对UE的上行流量进行限制操作,从 根本上解决了 B3G网络中的垃圾流量,从而防止了现有技术根据标准,在 PDN-GW上,只能实现检测上行垃圾流量,不能实现控制上行垃圾流量的缺陷, 使得本发明流量控制方法实施例有效提高了 B3G网络的运行效率;另外本发 明流量控制方法实施例,让空中接口资源管理终结于eNodeB上,因此在现有 LTE标准的基础上不需要另外增加PDN-GW和LTE接入网中各个网元之间的通 信机制,进而也不需要改变SAE标准;同时,由于LTE的数据吞吐量远低于 SAE的数据吞吐量,因此在LTE上实现流量控制相比在PDN-GW上实现流量控 制,即在SAE上实现流量控制,可以大大降低对相应硬件设备的要求,进而 相应的硬件设备也不会成为公用数据网和SAE核心网之间的流量瓶颈。
在本发明流量控制装置实施例中,在eNodeB中还可以有发送模块18,当 第 一判断模块判断出所述明文数据不是垃圾流量时,用于对所述明文数据进 行发送处理。具体为发送模块18将明文数据封装成GTP-U数据包,并发送 给服务网关IO (Serving Gateway)。进一步的,在本发明流量控制装置实施 例中,在eNodeB外还可以有安全管理控制后台19,当第一判断;f莫块判断出所 述明文数据是垃圾流量时,根据所述明文数据,用于生成日志、或生成告警、 或生成垃圾流量特征信息。更进一步的,在本发明流量控制装置实施例中, 还可以增加通知模块,根据所述日志、或者告警、或者垃圾流量特征信息,用于通知用户设备进行杀毒。
本发明流量控制系统实施例
图3为本发明流量控制系统实施例的结构示意图,该系统具体包括如下 用户设备21,用于发送用户设备的数据流; eNodeB包括流量控制模块,
流量控制模块,所述数据流为垃圾流量时,用于对所述数据流进行拦截 处理,用户设备发送的数据流的垃圾量累加值与发送量累加值的比值大于门 限阀值时,用于对所述用户设备进行流量控制操作。
本发明流量控制系统实施例,通过对用户设备发送的数据流进行检测之 后,通过位于eNodeB上的流量控制模块对用户设备的上行流量进行流量控制 的系统,克服了现有技术不能有效地控制用户设备上行流量的缺陷,并且由 于流量控制操作终结于eNodeB,因此不需要各个网元之间脱离现有标准的额 外的通信机制,从而可以防止被开发的产品之间不兼容的问题。
在本发明流量控制系统实施例中,流量控制模块相当于本发明流量控制 装置实施例中eNodeB部分,该流量控制模块可以是一个集成电路模块,也可 以是一段程序代码,也可以是集成电路和程序代码的有机结合。
在本发明流量控制系统实施例中,流量控制系统还可以包括安全管理 控制模块23,流量控制模块对所述用户设备进行流量控制操作之后,用亍根 据所述流量控制操作生成日志、或生成告警、或生成垃圾流量特征信息。这 样的话,当流量控制模块对用户设备进行上行流量控制之后,在通过安全管 理控制模块通知该用户设备自己进行杀毒操作或者是检测操作,从而可以在 根本上解决进入网络的垃圾流量。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读 取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述 的存储介质包括R0M、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
13最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其
限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技
术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种流量控制方法,其特征在于包括接收来自用户设备发送的数据流;对来自用户设备的数据流行判断,获知所述数据流是否为垃圾流量;若所述数据流为垃圾流量,统计所述垃圾流量,得到统计结果,当所述统计结果超过预先设置的门限阀值时,对所述用户设备进行流量控制操作。
2、 根据权利要求1所述的流量控制方法,其特征在于所述统计结果包括 所述垃圾流量累加值、垃圾量累加值与发送量累加值的比值及所述比值的简 单变换。
3、 根据权利要求1所述的流量控制方法,其特征在于若所述数据流为垃 圾流量,统计所述垃圾流量,得到统计结果,当所述统计结果超过预先设置 的门限阀值时,对所述用户设备进行流量控制操作具体为根据所述数据流,与所述用户设备对应的发送量积分进行统计处理,生 成发送量累加值;若所述数据流是垃圾流量,对所述数据流进行拦截处理,与所述用户设 备对应的垃;及量积分进行统计处理,生成垃圾量累加值;判断所述垃圾量累加值比所述发送量累加值的比值是否超出门限阀值, 若超出门限阀值,对所述用户设备进行流量控制操作。
4、 根据权利要求3所述的流量控制方法,其特征在于对所述用户设备进 行流量控制操作具体为对所述用户设备进行空中接口数据流量限制操作、 或者对所述用户设备进行空中接口带宽限制操作、或者对所述用户设备进行 断开连接操作、或者对所述用户设备进行禁止使用网络操作。
5、 根据权利要求3或4所述的流量控制方法,其特征在于对所述数据流 进行拦截处理之后还包括根据所述明文数据,生成日志、或生成告警、或 生成垃圾流量特征信息。
6、 根据权利要求5所述的流量控制方法,其特征在于还包括冲艮据所述日志、或告警、或垃圾流量特征信息,通知用户设备进行相应 处理。
7、 一种流量控制装置,其特征在于包括 接收模块,用于接收用户设备发送的数据流; 解码^:莫块,用于对所述数据流进行解密,生成明文数据;累加模块,用于根据所述明文数据,与所述用户设备对应的发送量积分 进行统计处理,生成发送量累加值;第一判断模块,用于判断所述明文数据是否为垃圾流量;拦截模块,当第一判断模块判断出所述明文数据是垃圾流量时,用于对 所述明文数据进行拦截处理,与所述用户设备对应的垃圾量积分进行统计处 理,生成垃圾量累加值;第二判断模块,用于判断基于垃圾量累加值和发送量累加值的统计结果是否超出预先设置的门限阀值;空中接口资源管理模块,当第二判断模块判断出超出门限阀值时,用于对所述用户设备进行流量控制操作。
8、 根据权利要求7所述的流量控制装置,其特征在于还包括 发送模块,当第一判断模块判断出所述明文数据不是垃圾流量时,用于对所述明文数据进行发送处理。
9、 才艮据权利要求7所述的流量控制装置,其特征在于还包括 安全管理控制后台,当第一判断模块判断出所述明文数据是垃圾流量时,根据所述明文数据,用于生成日志、或生成告警、或生成垃圾流量特征信息。
10、 根据权利要求9所述的流量控制装置,其特征在于还包括 通知模块,根据所述日志、或者告警、或者垃圾流量特征信息,用于通知用户i殳备进行相应处理。
11、 一种流量控制系统,其特征在于包括 用户设备,用于发送用户设备的数据流;接入节点包括流量控制模块,所述流量控制模块,所述数据流为垃圾流量时,用于对所述数据流进行 拦截处理,用户设备发送的数据流的垃圾量累加值与发送量累加值的比值大 于门限阀值时,用于对所述用户设备进行流量控制操作。
12、根据权利要求11所述的流量控制系统,其特征在于还包括 安全管理控制模块,流量控制模块对所述用户设备进行流量控制操作之后,用于根据所述流量控制操作生成日志、或生成告警、或生成垃圾流量特征信息。
全文摘要
本发明涉及一种流量控制方法、装置及系统,该方法包括接收来自用户设备发送的数据流;对来自用户设备的数据流行判断,获知数据流是否为垃圾流量;若数据流为垃圾流量,统计垃圾流量,得到统计结果,当统计结果超过预先设置的门限阀值时,对用户设备进行流量控制操作。本发明可以克服用户设备的上行流量中垃圾流量占用大量的空中接口资源的缺陷,提高了网络运行的效率。
文档编号H04L12/56GK101494598SQ200810056880
公开日2009年7月29日 申请日期2008年1月25日 优先权日2008年1月25日
发明者纲 何, 吴宇翔, 吴海翔, 张冠男, 杨光磊, 静 黎 申请人:华为技术有限公司