Код документа: RU2324293C2
Предмет изобретения
Настоящее изобретение относится к способам сетевого доступа, в частности к способу предотвращения частых операций взаимодействия по выбору сети в беспроводной локальной вычислительной сети (БЛВС).
Уровень техники
Как отражение потребности пользователей во все более высокой скорости беспроводного доступа к сети, появилась БЛВС, способная обеспечить высокоскоростной беспроводной доступ к данным на сравнительно небольшой площади. В БЛВС применяют различные способы, среди которых чаще всего используют технический стандарт IEEE802.11b. Этот стандарт использует частотный диапазон 2,4 ГГц со скоростью передачи данных до 11 Мбит/с. К другим техническим стандартам, использующим этот же частотный диапазон, относятся IEEE802.11g и Btuetooth, где скорость передачи данных в стандарте IEEE802.11g составляет до 54 Мбит/с. Существуют и другие новые стандарты, например, IEEE 802.11а и ETSI BRAN Hiperlan2, которые используют частотный диапазон 5 ГГц со скоростью передачи также до 54 Мбит/с.
Хотя существуют различные стандарты беспроводного доступа, большинство БЛВС используют для передачи пакетов данных по Интернет-протоколу (IP-протокол). Конкретный стандарт доступа в БЛВС, принятый беспроводной IP-сетью, обычно прозрачен для IP-протокола высшего уровня. Такая сеть обычно конфигурируется с пунктами доступа (ПД (АР)) для реализации беспроводного доступа оборудования пользователя (ОП) в БЛВС и с устройствами управления сетью и подключения ее для реализации IP-передачи.
Наряду с ростом и развитием БЛВС, фокус исследований смещается на взаимодействие сети доступа БЛВС (СД БЛВС) с различными сетями мобильной связи, такими как GSM, CDMA, WCDMA, TD-SCDMA и CDMA2000. В соответствии с требованиями стандартов 3GPP, ОП в БЛВС может быть подключено к сетям Интернет и Интранет через СД БЛВС, а также может быть подключено через СД БЛВС к домашней или к гостевой сети системы 3GPP. Конкретнее, при осуществлении локального доступа ОП БЛВС подключают к домашней сети 3GPP через СД БЛВС, как показано на Фиг.2. При роуминге оно будет подключено через СД БЛВС к гостевой сети 3GPP. Некоторые объекты гостевой сети 3GPP соединены с соответствующими объектами домашней сети 3GPP, например, прокси-сервер 3GPP аутентификации, авторизации и аккаутинга (ААА) в гостевой сети соединен с сервером ААА 3GPP в домашней сети, шлюз доступа БЛВС (ШДБ (WAG)) в гостевой сети соединен со шлюзом передачи пакетных данных (ШППД (PDG)) в домашней сети, как показано на Фиг.1. Фиг.1 и 2 - это схемы, представляющие сетевые архитектуры БЛВС, взаимодействующей с системой 3GPP, соответственно, при роуминге и без него.
Как показано на Фиг.1, система 3GPP состоит, в основном, из сервера домашних абонентов (СДА (HSS))/ регистра домашних абонентов (РДА(HLR)), сервера 3GPP ААА, прокси-сервера 3GPP ААА, ШДБ (WAG), ШППД (PDG) шлюза для связи с системой тарификации (ШССТ (CGw))/ накопления тарификационных данных (НТД (CCF)) и сетевой системы тарификации (ССТ (OCS)). ОП БЛВС, СД БЛВС и все объекты системы 3GPP составляют вместе сеть взаимодействия 3GPP - БЛВС, которую можно считать сервисной системой БЛВС. Обычно СД БЛВС и система 3GPP вместе называются сетевой стороной или просто БЛВС. В этой сервисной системе сервер ААА 3GPP отвечает за аутентификацию, авторизацию и аккаунтинг ОП БЛВС, за сбор тарификационной информации, посылаемой из СД БЛВС, и за передачу информации в систему тарификации; ШППД (PDG) отвечает за передачу пользовательских данных из СД БЛВС в сеть 3GPP или в другие сети передачи пакетных данных; система тарификации, в основном, принимает и регистрирует тарификационную информацию на ОП БЛВС, в то время как ССТ (OCS) управляет работой сети по периодической передаче в сети тарификационной информации в систему учета расходов пользователя, осуществляющего оплату по сети, и выполняет соответствующие статистические и управляющие операции.
Если при условии отсутствия роуминга ОП БЛВС хочет получить прямой доступ к сети Интернет/Интранет, то ОП БЛВС может осуществить доступ к сети Интернет/Интранет через СД БЛВС после того, как СД выполнит аутентификацию с помощью ААА-сервера. Если ОП БЛВС хочет также получить доступ к услуге домена коммутации пакетов (КП (PS)) системы 3GPP, то оно может дополнительно запросить в домашней сети 3GPP услугу по сценарию 3. Другими словами, ОП БЛВС инициирует запрос на авторизацию услуги для сценария 3 в ААА-сервер домашней сети 3GPP, который проводит аутентификацию и авторизацию услуги для этого запроса; при успешной аутентификации и авторизации ААА-сервер посылает ОП БЛВС сообщение о разрешении доступа и назначает для ОП БЛВС соответствующий ШППД (PDG). После установления туннельного канала между ОП БЛВС и назначенным ему ШППД (PDG) ОП БЛВС сможет получить доступ к домену коммутации пакетов КП (PS) 3GPP. Тем временем, автономная система тарификации и ССТ (OCS) регистрирует тарификационную информацию в соответствии с занятостью сети оборудованием пользователя БЛВС. Если в роуминге ОП БЛВС хочет получить прямой доступ к сети Интернет/Интранет, то оно обращается для получения доступа к сети Интернет/Интранет в домашнюю сеть 3GPP через гостевую сеть 3GPP. Если ОП БЛВС хочет также запросить услугу по сценарию 3 для получения доступа к домену КП (PS) системы 3GPP, то ОП БЛВС должно инициировать процесс авторизации услуги в домашней сети 3GPP через гостевую сеть 3GPP. Аналогично выполняется авторизация между ОП БЛВС и ААА-сервером домашней сети 3GPP. После успешной авторизации ААА-сервер назначает ОП БЛВС соответствующий домашний ШППД (PDG). и в этом случае ОП БЛВС получает доступ к услуге 3GPP домена КП (PS) домашней сети после того, как установлен туннельный канал с назначенным ШППД (PDG) через ШДБ (WAG) гостевой сети 3GPP.
Как показано на Фиг.3, если БЛВС в сети взаимодействия 3GPP - БЛВС одновременно соединена с множеством гостевых сетей 3GPP, иначе говоря, с множеством работающих сетей мобильной связи (здесь термин "гостевые сети 3GPP" относится к гостевым наземным сетям мобильной связи общего пользования (ГНСМСОП (VPLMN)), то ОП БЛВС придется выбирать нужную ГНСМСОП (VPLMN), к которой нужно осуществлять доступ после того, как ОП БЛВС получит доступ к БЛВС. Например, в Китае СД БЛВС может быть одновременно подключена к двум работающим ГНСМСОП (VPLMN) - China Mobile и China Unicom. Если пользователь сети China Unicorn пытается получить доступ через БЛВС, то этот пользователь должен дать команду СД БЛВС на осуществление доступа к действующей ГНСМСОП (VPLMN) China Unicom. Вот другой пример: если французский пользователь перемещается в БЛВС в Китае и домашняя сеть французского пользователя имеет протоколы роуминга как с China Mobile, так и с China Unicom, то в этом случае французскому пользователю придется выбрать ГНСМСОП (VPLMN) для доступа после получения доступа к БЛВС, которая соединена и с China Mobile, и с China Unicom.
Схема выбора сети предложена в другой патентной заявке, проиллюстрированной шагами 401˜408 на Фиг.4. Когда ОП БЛВС осуществляет доступ к сети взаимодействия 3GPP - БЛВС через БЛВС, то после того как ОП БЛВС установило беспроводное соединение с СД БЛВС, выполняется аутентификация доступа между ОП БЛВС и сетью. Должно быть ясно, что аутентификация доступа включает всю процедуру аутентификации и авторизации. Кроме того, сеть запросит у ОП идентификатор пользователя. После этого ОП отправляет ответное сообщение, содержащее информацию о выборе сети, в СД БЛВС, и СД БЛВС идентифицирует действующую сеть мобильной связи, к которой собирается осуществлять доступ ОП, в соответствии с этой информацией о выборе сети. Если информация о выборе сети может быть идентифицирована, то ОП будет подключено к выбранной сети для аутентификации доступа и последующих операций. Если ОП не имеет информации о выборе сети или если информация о выборе сети не может быть идентифицирована, т.е. указанная сеть не имеет прямого соединения с БЛВС, то сеть посылает на ОП БЛВС информацию о действующих сетях мобильной связи, чтобы сообщить ОП, какие действующие сети мобильной связи подключены к БЛВС, и дать возможность ОП сделать выбор. Информация о выборе сети относится к информации о действующей сети мобильной связи, к которой ОП собирается осуществлять доступ; эта информация может быть записана в отдельно конфигурируемое поле или в поле с идентификатором пользователя, определенное в формате идентификатора доступа к сети (ИДС (NAI)).
В случае, когда нужно выдавать информацию о действующих сетях мобильной связи, если пользователь снова и снова злонамеренно посылает информацию о выборе сети, которую СД БЛВС не может идентифицировать, сети придется многократно передавать на ОП информацию о действующих сетях мобильной связи. Так как объем информации о действующих сетях мобильной связи для выбора с ОП велик, то непрерывная и повторяющаяся передача такой информации вызывает излишнюю нагрузку на сеть и приводит к состоянию занятости сети и даже к прерыванию нормального обслуживания. Более того, пользователь может очень легко преднамеренно атаковать сеть с помощью этого приема, а так как на этот момент аутентификация ОП еще не выполнена, то такого злонамеренного пользователя трудно отследить и выявить. До настоящего времени никто еще не предложил конкретного решения этой проблемы.
Сущность изобретения
Ввиду вышеизложенного, цель настоящего изобретения - создание способа защиты БЛВС от частых операций взаимодействия по выбору сети, гарантирующего отсутствие перегрузки БЛВС из-за действия механизма выбора сети или ущерба от атак со стороны ОП злонамеренного пользователя.
Для достижения указанной цели настоящее изобретение представляет следующее техническое решение.
Способ защиты БЛВС от частых операций взаимодействия по выбору сети, включающий следующие этапы:
а) после того как установят беспроводное соединение между ОП БЛВС и СД БЛВС, ОП БЛВС посылает информацию о выборе сети в СД БЛВС в процессе взаимодействия с целью аутентификации доступа, инициированного сетевой стороной или ОП БЛВС;
б) сетевая сторона принимает решение, принадлежит ли полученная информация о выборе сети действующей сети мобильной связи, к которой подключена СД БЛВС; если принадлежит, то ОП БЛВС посылает запрос на аутентификацию доступа в действующую сеть мобильной связи, идентифицированную информацией о выборе сети.
Если полученная информация о выборе сети не принадлежит действующим сетям мобильной связи, к которым подсоединена СД БЛВС, то этот способ дополнительно включает следующие действия:
в) принимают решение, разрешена ли выдача информации о действующих сетях мобильной связи в зависимости от числа передач указанной информации за определенный период времени; если разрешена, то выдают информацию о действующих сетях мобильной связи на ОП и регистрируют число передач этой информации; в противном случае прекращают передачу информации о действующих сетях мобильной связи, при этом число передач информации представляет собой число выполненных сетью передач информации, или число неудачных идентификаций для ОП, или комбинацию двух указанных выше чисел.
Заявленный способ дополнительно включает следующие действия: предварительно задают длительность временного окна принятия решения и шага пересылки данных для выдачи информации о действующих сетях мобильной связи, причем длительность шага пересылки не превышает длительности временного окна принятия решения. Временное окно принятия решения представляет собой временное окно принятия решения сетью, или временное окно принятия решения ОП, или их комбинацию.
Заявленный способ дополнительно включает следующие действия: предварительно задают допустимое полное число выполненных сетью передач в течение временного окна принятия решения сетью и допустимое число передач в течение шага пересылки, причем допустимое число передач за шаг пересылки не превышает допустимого полного числа передач сетью в течение временного окна принятия решения сетью; в этом случае число передач информации на этапе в) представляет собой число передач информации, выполненных сетью, а принятие решения на этапе в) включает следующие действия: определяют, превышает ли число выполненных сетью передач информации полное число передач сетью; если превышает, то передачу информации о действующих сетях мобильной связи не разрешают; в противном случае посылают информацию о действующих сетях мобильной связи.
Заявленный способ дополнительно включает следующие действия: предварительно задают допустимое полное число передач для одиночного ОП в течение временного окна принятия решения ОП и допустимое число передач в течение шага пересылки, причем допустимое число передач в течение шага пересылки не превышает допустимого полного числа передач для одиночного ОП в течение временного окна принятия решения одиночным ОП; в этом случае число передач информации на этапе в) представляет собой число неудачных идентификаций для ОП, а принятие решения на этапе в) включает следующие действия: сначала определяют, существует ли запись о неудачной идентификации для ОП согласно идентификатору ОП; если не существует, то выдают информацию о действующих сетях мобильной связи; в противном случае, определяют, не превышает ли число неудачных идентификаций для ОП полное число выдач информации на ОП; если не превышает, то выдают информацию о действующих сетях мобильной связи; в противном случае, передачу информации о действующих сетях мобильной связи не разрешают.
Заявленный способ дополнительно включает следующие действия: предварительно задают допустимое полное число выполненных сетью передач информации в течение временного окна принятия решения сетью и допустимое число передач за шаг пересылки, причем допустимое число передач за шаг пересылки не превышает допустимое полное число выполненных сетью передач в течение временного окна принятия решения сетью; кроме того, предварительно задают допустимое полное число передач одиночного ОП в течение временного окна принятия решения ОП и допустимое число передач во время шага пересылки, причем допустимое число передач во время шага пересылки не превышает допустимое полное число передач для ОП в течение временного окна принятия решения ОП; в этом случае число передач информации на этапе в) представляет собой число передач информации сетью и число неудачных идентификаций для ОП, а принятие решения на этапе в) включает следующие действия: сначала определяют, превышает ли число выполненных сетью передач информации полное число передач сети; если превышает, то передачу информации о действующих сетях мобильной связи не разрешают; в противном случае, определяют, существует ли запись о неудачной идентификации для ОП согласно идентификатору ОП; если не существует, то выдают информацию о действующих сетях мобильной связи; в противном случае, определяют, не превышает ли число неудачных идентификаций для ОП полное число передач для ОП; если не превышает, то происходит выдача информации о действующих сетях мобильной связи; в противном случае, передачу информации о действующих сетях мобильной связи не разрешают.
В приведенной выше схеме идентификатор ОП является идентификатором адреса протокола управления доступом к передающей среде (УДПС (MAC)) данного ОП, или НДС (NAI) данного ОП, или номером счета данного ОП, или IP-адресом данного ОП.
Заявленный способ дополнительно включает следующие действия: когда каждое временное окно принятия решения перемещается на один шаг пересылки вперед, то новое число передач информации в течение временного окна принятия решения обновляется и становится равным числу передач информации минус допустимое число передач в течение шага пересылки.
В приведенной выше схеме допустимое число передач за шаг пересылки задают как отношение полного допустимого числа передач в течение временного окна принятия решения к длительности временного окна принятия решения. Длительность временного окна принятия решения, длительность шага пересылки и число передач в течение временного окна принятия решения определяют в зависимости от рабочих параметров системы, числа пользователей сети и стратегии управления сетью.
Заявленный способ дополнительно включает следующие действия: задают одним параметром временное окно принятия решения и шаг пересылки; в этом случае способ дополнительно включает следующие действия: одним параметром задают полное допустимое число передач в течение временного окна принятия решения и допустимое числа передач во время шага пересылки.
Заявленный способ дополнительно включает следующие действия: после прекращения передачи регистрируют принятый запрос на выдачу информации о действующих сетях мобильной связи, которая должна быть передана после задержки, и отвечают на запрос по истечении времени задержки.
На этапе в) сетевая сторона выдает на ОП информацию обо всех действующих сетях мобильной связи, имеющих соединение с СД БЛВС, или выдает информацию обо всех действующих сетях мобильной связи, имеющих как соединение с СД БЛВС, так и протоколы роуминга с домашней сетью данного ОП.
Согласно раскрытому в заявленном изобретении способу защиты БЛВС от частых операций взаимодействия по выбору сети, при каждом запросе информации о действующих сетях мобильной связи, посланном ОП в сеть, регистрируют идентификатор ОП, например, адрес УДПС (MAC), или ИДС (NAI), или номер счета, или IP-адрес ОП, и определяют, посылало ли данное ОП запрос неоднократно в течение определенного периода времени. Если посылало неоднократно, то сеть сразу же прекращает отвечать или разрывает соединение. Таким образом, предотвращают перегрузку сети из-за частых операций по выбору сети ОП в БЛВС и частой активизации процедуры выдачи информации о действующих сетях мобильной связи. Кроме того, предотвращают атаки со стороны ОП злонамеренных пользователей, применяющих этот прием и, в некоторой степени, уменьшают нагрузку сети. В результате возрастают скорость реакции сети и скорость передачи.
Дополнительно, если для какой-либо БЛВС нежелательно, чтобы определенное ОП узнало о наземной сети мобильной связи общего пользования (НСМСОП (PLMN)), подключенной прямо к этой БЛВС и не имеющей связи с данным ОП, то указанная БЛВС отправит данному ОП список только тех ГНСМСОП (VPLMN), которые имеют роуминг с домашней наземной сетью мобильной связи общего пользования (ДНСМСОП (HPLMN)) данного ОП. Но если ОП симулирует принадлежность к другой ДНСМСОП (HPLMN), используя другой ИДС (NA)I, то соответствующая ГНСМСОП (VPLMN) будет выявлена способом поллинга. В этом случае во избежание указанной выше проблемы можно использовать механизм оценки и ограничения, предусмотренный настоящим изобретением.
Краткое описание чертежей
На Фиг.1 представлена схема сетевой архитектуры взаимодействия БЛВС и системы 3GPP при роуминге;
на Фиг.2 представлена схема сетевой архитектуры взаимодействия БЛВС и системы 3GPP без роуминга;
на Фиг.3 представлена схема сетевой архитектуры БЛВС, соединенной с множеством гостевых сетей;
на Фиг.4 представлена блок-схема интерактивного процесса выбора оборудованием пользователя действующей сети мобильной связи для осуществления доступа согласно известному уровню техники;
на Фиг.5 представлена блок-схема интерактивного процесса выбора оборудованием пользователя действующей сети мобильной связи для осуществления доступа согласно настоящему изобретению;
на Фиг.6 представлена блок-схема интерактивного процесса выбора оборудованием пользователя действующей сети мобильной связи для осуществления доступа в одном варианте реализации настоящего изобретения;
на Фиг.7 представлена блок-схема интерактивного процесса выбора оборудованием пользователя действующей сети мобильной связи для осуществления доступа в другом варианте реализации настоящего изобретения;
на Фиг.8 представлена блок-схема интерактивного процесса выбора оборудованием пользователя действующей сети мобильной связи для осуществления доступа в еще одном варианте реализации настоящего изобретения.
Варианты реализации изобретения
Как показано на Фиг.3, основная идея настоящего изобретения для предотвращения частых операций взаимодействия БЛВС по выбору сети состоит в следующем: при необходимости выдать информацию о действующих сетях мобильной связи, каждый раз при выдаче указанной информации сначала в зависимости от числа передач информации, выполненных в течение определенного периода времени определяют, разрешена или нет выдача информации о действующих сетях мобильной связи. Если передача разрешена, то выполняют передачу информации о действующих сетях мобильной связи и регистрацию числа выполненных передач информации; в противном случае, передачу информации прекращают. Если происходит изменение периода принятия решения, то обновляют регистрацию передач. Если после прекращения передачи принят запрос на выдачу информации, то этот запрос оставляют без ответа или же информацию передают после некоторой задержки. Конкретный вариант процесса реализации представлен на Фиг.5 и состоит из следующих шагов: шаги 501˜506 полностью аналогичны шагам 401˜406 из уровня техники.
На практике, если полученная информация о выборе сети не принадлежит действующей сети мобильной связи, связанной с БЛВС согласно оценке на шаге 405, то сеть посылает на ОП БЛВС сигнал уведомления, и ОП БЛВС следующую операцию выполняет в зависимости от сигнала уведомления. Здесь существует два режима передачи сигналов уведомления, посылаемых из сети на ОП; в одном режиме сигнал уведомления напрямую содержит информацию о действующих сетях мобильной связи, которую хочет передать сеть; в этом случае ОП БЛВС или пользователь БЛВС может сделать прямой выбор из этой информации; в другом режиме сигнал уведомления используют только для информирования ОП о том, что выбранная информация о действующих сетях мобильной связи недействительна, и для подачи на ОП команды загрузить информацию; в этом случае ОП может при необходимости принять решение о направлении в сеть запроса информации о действующих сетях мобильной связи. Целью настоящего изобретения является только первый режим, т.е. режим, когда все сети посылают на ОП информацию о действующих сетях мобильной связи в виде сигнала уведомления.
Шаги 507˜510: принимают решение относительно того, разрешена ли передача на ОП информации о действующих сетях мобильной связи. Если передача разрешена, то происходит передача на ОП информации о действующих сетях мобильной связи и запись числа передач информации. При получении информации о действующих сетях мобильной связи ОП выбирает сеть согласно этой информации. Если передача не разрешена, то прекращают передачу информации о действующих сетях мобильной связи. Если происходит изменение периода принятия решения, то обновляют запись числа передач. Если после прекращения передачи принят запрос на выдачу информации, то этот запрос оставляют без ответа или же происходит задержка передачи информации. В случае передачи с задержкой записывают принятый запрос на выдачу информации о действующих сетях мобильной связи, которая должна быть передана после задержки, отвечают на запрос по истечении времени задержки и передают информацию.
На шаге 507 оценивают, разрешена ли передача информации о действующих сетях мобильной связи, в зависимости от числа выполненных передач информации в течение определенного периода времени. Число передач информации может содержать число выполненных сетью передач информации, или число неудачных идентификаций для ОП, т.е. число передач информации ОП, или число выполненных сетью передач информации и число неудачных идентификаций для ОП. Когда происходит запись числа неудачных идентификаций для ОП, то записывают также идентификатор ОП. Кроме того, информацию о действующих сетях мобильной связи, передаваемую сетью на ОП для выбора сети, сохраняют в специальном устройстве записи информации в сети, которое обычно содержит следующие параметры: название сети, пропускную способность каналов сети, качество обслуживания (КО (QoS)), частотный диапазон, пропускная способность услуг, сценарии взаимодействия БЛВС, которые могут быть предоставлены, тариф начисления оплаты, тип обслуживания и т.д. Когда сеть передает информацию о действующих сетях мобильной связи, связанных с БЛВС, то она передает информацию обо всех действующих сетях мобильной связи, соединенных с СД БЛВС, или передает только информацию о гостевых сетях, имеющих соглашения о роуминге с домашней сетью, указанной ОП. Если такой гостевой сети нет, то сеть может не передавать информацию или проинформировать пользователя, что соглашений о роуминге нет.
Для приведенной выше схемы существует три подхода к прекращению передачи информации.
Первый подход заключается в предварительном задании временного окна принятия решения сетью и его длительности, а также в задании допустимого полного числа передач в течение временного окна принятия решения. Если число выполненных передач информации превысило данное полное число, то передачу информации прекращают. Например, задано временное окно принятия решения сетью 20 минут и полное число передач в течение этих 20 минут - 500. Если информация передадут 500 раз за период менее 20 минут и номером очередной передачи будет 501, то передачу информации прекратят. Конечно, в течение следующих 20 минут запись будет обновлена, и решение будет приниматься снова. Здесь заранее определяемое временное окно принятия решения динамично, т.е. начальный момент временного окна принятия решения может быть задан любым, и временное окно перемещается в процессе шага пересылки на величину, не превышающую его длительность. Кроме того, задают допустимое число передач за шаг пересылки, не превышающее полное число передач для сети. Например, возьмем в качестве начального момента фиксированный момент времени и зададим длительность шага пересылки временного окна принятия решения 1 минута; тогда будет определено 20-минутное временное окно принятия решения от 1-й до 21-й минуты, начиная с базовой точки и новое 20-минутное временное окно принятия решения от 2-й до 22-й минуты, начиная с базовой точки. Обновление записи числа передач во временном окне принятия решения - это вычитание допустимого числа передач за шаг пересылки из числа уже выполненных передач информации. Допустимое число передач за шаг пересылки задают как отношение полного числа передач для сети к длительности временного окна принятия решения сетью; в этом случае на каждом последующем шаге пересылки число уже выполненных передач информации уменьшается на это отношение. Для конкретного случая допустимое число передач за шаг пересылки составляет 500 раз/20 минут, т.е. 25 раз в минуту. Тогда через каждую минуту число уже выполненных передач информации уменьшается на 25, а если первоначальное число уже выполненных передач информации меньше 25, то число напрямую задают равным 0. Эту схему определения допустимого числа передач за шаг пересылки по длительности временного окна принятия решения и допустимому полному числу передач в этом окне можно также использовать для реализации интеллектуальной настройки и управления перегрузкой сети, в ходе которых длительность временного окна принятия решения и шага пересылки определены рабочими параметрами системы, числом пользователей сети и стратегией управления сетью.
Другой подход состоит в том, что предварительно задают временное окно принятия решения оборудованием пользователя и длительность этого окна и задают допустимое для сети число передач информации о действующих сетях мобильной связи каждому ОП в течение временного окна принятия решения. Также задают шаг пересылки временного окна принятия решения и допустимое число передач за шаг пересылки, причем допустимое число передач за шаг пересылки не превышает число передач в течение временного окна принятия решения. Каждый раз записывают идентификатор адресата ОП, которому выдают информацию о действующих сетях мобильной связи, причем этот идентификатор может представлять собой НДС (NAI), адрес УДПС (MAC), номер счета или IP-адрес данного ОП. На основании данного идентификатора ОП оценивают, превышает ли число выполненных для этого ОП передач информации о действующих сетях мобильной связи заранее заданное число. Если это число превышено, передачу информации прекращают. Например, временное окно принятия решения заранее задано равным 20 минутам, и информацию выдают каждому ОП максимум 20 раз в течение каждых 20 минут; в этом случае информацию больше не будут передавать, если информация была передана на ОП 20 раз менее чем за 5 минут. Очевидно, что в течение следующих 20 минут запись будет обновлена, и оценка будет выполнена снова. В случае управления числом передач каждому пользователю, ответами на ОП, постоянно запрашивающее выдачу информации, управляют путем изменения шага пересылки и допустимого числа передач за шаг пересылки. Например, шаг пересылки временного окна принятия решения ОП задан равным 5 минутам, а допустимое число передач за шаг пересылки равно 5 или 3, в этом случае в начале следующих 20 минут, т.е. с 5-й по 25-ю минуту, запись обновляют. В конкретном примере, когда до 5-й минуты зарегистрировано 20 передач, то в 5-ю минуту записанное число передач уменьшается на 5 или на 3, т.е. пользовательскому оборудованию разрешено еще 5 попыток или 3 попытки.
Максимальная длительность шага пересылки может быть равна длительности временного окна принятия решения, т.е. 20 минутам; тогда в начале каждого следующего временного окна принятия решения число передач можно обнулить, если допустимое число передач за шаг пересылки также равно 20. Число передач за шаг пересылки может быть также задано произвольно, например, равным 8; тогда запись числа передач в течение следующих 20 минут может быть уменьшена только на 8. Таким образом, если ОП использует (например, если на ОП передадут информацию) более 8 попыток в течение первых 20 минут, т.е. с 1-й по 20-ю минуту, например, 15 попыток, то допустимое число передач в течение следующих 20 минут (с 21-й по 40-ю минуту) будет меньше 20-ти, т.е. 20-(15-8)=13 раз.
Здесь могут быть заданы различные значения полного числа передач для каждого ОП, или же для всех ОП может быть задано одинаковое число передач; временное окно принятия решения по-прежнему динамично. Кроме того, от контроллера доступа (КД) может быть получен адрес УДПС (MAC) ОП.
Третий подход заключается в следующем: заранее задают временное окно принятия решения сетью, временное окно принятия решения ОП и длительность обоих временных окон, и одновременно задают полное число передач за временное окно принятия решения сетью и полное число передач за временное окно принятия решения ОП. Сначала оценивают, превышает ли число выполненных сетью передач информации полное число передач для сети. Если превышает, то выдачу информации прекращают; в противном случае, по идентификатору ОП определяют, есть ли запись числа передач для ОП. Если записи нет, то выполняют прямую передачу информации; в противном случае, выполняют другую оценку, превышает ли число неудачных идентификаций для ОП полное число передач. Если превышает, то выдачу информации прекращают; в противном случае, выдают информацию. Здесь временное окно принятия решения по-прежнему динамично.
В трех описанных подходах временное окно принятия решения сетью и временное окно принятия решения ОП могут быть различными временными окнами принятия решения, имеющими различную длительность и различные шаги пересылки, кроме того, заданными с различным числом передач и различным значением обновления для соответствующих шагов пересылки. Или же временное окно принятия решения сетью может совпадать с временным окном принятия решения ОП. Длительность временного окна принятия решения и шага пересылки могут быть заданы одинаковыми или различными. На практике временное окно принятия решения и шаг пересылки могут быть объединены и заданы одним параметром, например, тактом принятия решения. В этом случае шаг пересылки всегда равен длительности временного окна принятия решения, что упрощает реализацию и настройку параметров. Аналогично, если допустимое число передач за шаг пересылки и допустимое число передач за временное окно принятия решения заданы равными, то эти два параметра можно тоже объединить в один, например, допустимое число передач за такт принятия решения. Таким образом, если четыре параметра объединены в два параметра, то решение, о выдаче информации будет упрощено и представляет собой принятие решения, разрешено ли выдавать информацию на ОП, на основании допустимого числа передач за такт. Очевидно, что даже при объединении временного окна принятия решения и шага пересылки в один параметр допустимое число передач за шаг пересылки и допустимое число передач за временное окно принятия решения могут быть заданы по отдельности, и при таких обстоятельствах допустимое число передач за шаг пересылки используют для обновления записи числа передач, а допустимое число передач за временное окно принятия решения используют как базовое допустимое число передач за такт принятия решения.
В зависимости от пропускной способности сети, можно выбрать и использовать для укрепления защиты сети от различных атак один из описанных трех подходов к прекращению выдачи информации. Что касается идентификатора ОП, то использовать адрес УДПС (MAC) лучше, чем НДС (NAI).
Используя три раскрытых выше подхода, можно задерживать выдачу информации, запрашиваемую после прекращения передачи. Конкретный способ заключается в следующем: предварительно задают время задержки, начинают отсчет времени с момента прекращения передачи и отвечают на запросы передачей информации по истечении времени задержки. Если временное окно принятия решения и шаг пересылки заданы одним параметром, то отложенная выдача информации может представлять собой выдачу информации в начале следующего такта принятия решения; или же время задержки задают заранее, и отсчет времени начинают с момента прекращения выдачи; информация в ответ на запросы выдается по истечении времени задержки. Если в последнем случае время задержки превышает время, оставшееся в такте принятия решения, то использование времени задержки или такта принятия решения как основы для определения истечения времени зависит от конкретных требований.
На Фиг.6-8 показаны три примера осуществления, соответствующие указанным трем подходам к прекращению выдачи информации. Как показано в шагах 607-609, условием прекращения выдачи информации на Фиг.6 является достижение числом выполненных передач информации полного числа передач для сети. Как показано в шагах 707-711, выдача или прекращение выдачи информации зависит от совместной оценки, существует ли запись неудачной идентификации для идентификатора ОП и превышает ли число неудачных идентификаций для ОП полное число передач для данного ОП. Как показано в шагах 807-811, выдача или прекращение выдачи информации зависит от совместной оценки, превышает ли число выполненных передач информации полное число передач для сети. существует ли запись неудачной идентификации для идентификатора ОП и достигло ли число неудачных идентификаций полного числа передач для ОП, причем число неудачных идентификаций на шаге 809 представляет собой число выполненных передач информации для ОП. Шаги 601˜606 и 610 на Фиг.6, шаги 701˜706 и 712 на Фиг.7 и шаги 801˜806 и 812 на Фиг.8 аналогичны, соответственно, шагам 501˜506 и 510 на Фиг.5.
В настоящем изобретении возобновление передачи происходит в начале следующего такта после прекращения передачи, наступившего, если число передач в течение временного окна принятия решения достигло заранее заданного полного числа передач. Например, пусть как временное окно принятия решения, так и шаг пересылки заданы равными 20 минутам, а полное число передач задано равным 50 в течение каждых 20 минут; если информация была выдана 50 раз в течение первых 10 минут, то в течение следующих 10 минут информацию не выдают, и выдачу информации возобновляют в начале следующих 20 минут после обновления записи.
На основании изложенных выше идей, при многократных попытках злонамеренного пользователя получить доступ к сети с использованием неидентифицируемого ИДС (NAI), когда один и тот же НДС (NAO), несущий неидентифицируемую информацию о выборе сети многократно обнаруживает себя в течение определенного периода времени, нежелательную выдачу информации о действующих сетях мобильной связи прекращают, используя схемы, представленные в заявленном изобретении. Таким образом, предотвращают попытки ОП многократно активизировать процедуру выдачи информации о действующих сетях мобильной связи с использованием одного и того же ИДС (NAI), неидентифицируемого сетью.
Что касается перегрузки сети, то ее предотвращают, контролируя полное число передач сетью информации о действующих сетях мобильной связи в течение определенного периода времени. Таким образом, хотя это может сказаться на скорости доступа обычного пользователя, сеть в целом не будет испытывать перегрузку из-за операций выбора сети.
В случае, когда злонамеренный пользователь многократно пытается активизировать выдачу информации, используя НДС (NAI) легального пользователя, таким образом, что легальный пользователь не может обычным способом получить выданную информацию для выбора сети, для распознавания можно использовать адрес УДПС (MAC). Поскольку существует регистрация пользователя, которому не удалось пройти аутентификацию, или выбравшего неидентифицируемую сеть, или которому сеть выдала информацию о действующих сетях мобильной связи, ответ не пошлют, если пользователь, идентифицируемый тем же адресом УДПС (MAC), инициирует выбор неидентифицируемой сети, т.е. снова или многократно посылает в сеть неидентифицируемый ИДС (NAI); тем самым препятствуют пользователю атаковать сеть, постоянно изменяя ИДС (NAI).
Одним словом, изобретение предотвращает различные злонамеренные атаки на сеть или ее перегрузку. Однако приведенные выше варианты реализации заявленного изобретения являются только предпочтительными вариантами, не ограничивающими объем его патентной охраны.
Изобретение относится к области мобильной связи. Технический результат заключается в защите беспроводной локальной вычислительной сети (БЛВС) от частых операций взаимодействия по выбору сети. Сущность изобретения заключается в том, что каждый раз при необходимости выдать информацию о действующих сетях мобильной связи, определяют, разрешена ли выдача информации о действующих сетях мобильной связи на основании числа передач информации, выполненных в течение определенного периода времени. Если передача разрешена, то выполняют передачу информации о действующих сетях мобильной связи и регистрируют число выполненных передач информации; в противном случае, передачу информации прекращают. При изменении периода принятия решения обновляют запись числа передач. Если после прекращения передачи информации принимают запрос на выдачу информации, этот запрос оставляют без ответа или же информацию передают после задержки. Указанное изобретение предотвращает в БЛВС состояние перегрузки из-за действия механизма выбора сети или из-за злонамеренных атак со стороны оборудования пользователей. 18 з.п. ф-лы, 8 ил.