專利名稱:業務數據安全檢測方法及設備的制作方法
技術領域:
本發明涉及通信領域,尤其涉及一種業務數據安全檢測方法及設備。
背景技術:
現有的LTE (Long Term Evolution,長期演進)系統中,UE與基站之間建立業務承 載后,通過Counter Check (統計檢測)過程判斷UE的業務承載是否發生非法侵入。對于 基站內的某個UE,當某條業務承載上的發送或接收COUNT值達到特定值時,將觸發counter check過程。如果檢查到UE和基站的COUNT值不相符,將觸發釋放UE的操作;如果檢查到 UE和基站的COUNT值相符,認為UE短時間內通信安全,不需要對UE進行其他操作。具體的,Counter Check過程如圖1所示,包括以下步驟
步驟101,當基站監測到某個UE業務承載上的接收或發送數據量達到特定值時,向UE 發送 Counter Check 消息。Counter Check消息中,DRB-CountMSBHnfoList字段是一個待檢查業務承載 Count信息的集合,集合中的每條記錄包括該業務承載的ID :drb-Identity,和該業務承載 的上、下行 Count 值的高 25 位,即 countMSB-Uplink 和 countMSB-Downlink。步驟102,UE收到Counter Check消息后,根據Counter Check消息向基站發送 Counter Check Response (統計檢測響應)消息。對于DRB-CountMSBHnfoList 中的每個承載
a,如果承載為非雙向的,那么對于不存在的方向UE設置COUNT值為O。b,如果UE建立的某條承載不包含在Counter Check消息的 DRB-CountMSB-InfoList中,那么在發送給基站的響應消息Counter Check Response 的 drb-CountInfoList 中,包含該 7 載的 drb-Identity,相應的 count-Uplink 禾口 count-Downlink中填寫UE計數的上、下行COUNT值。c,如果UE某條承載的上行或下行COUNT值的高25位中至少有一個和Counter Check消息中對應承載的上或下行COUNT值不相等,那么在發送給基站的響應消息Counter Check Response 的 drb-CountInfoList 中,包含該承載,并在 drb-CountInfoList 中的 count-Uplink 和 count-Downlink 中填寫相應的 COUNT 值。另外,如果在Counter Check 消息的 DRB-CountMSB-Inf oLi st 中包含的某 條承載,UE并沒有建立,則在發送給基站的響應消息Counter Check Response的 drb-CountlnfoList 中,包含該承載,并在 drb_Coun nfoList 中的 count-Uplink 和 count-Downlink 中的高 25 位填寫 Counter Check 消息中的相應 countMSB-Uplink 和 countMSB-Downlink,低位補 O。步驟 103,基站接收 Counter Check Response 消息,如果 drb_Coun nfoList 中包 含業務承載,將釋放UE的RRC連接。相似的,在LTE系統中,在確認發生了非法入侵的情況 下,基站釋放UE的RRC連接。現有技術中,當某條業務承載的發送或接收COUNT值達到特定值時,將觸發counter check過程。如果UE建立了多條業務承載,可能在短時間內多個承載的發送或接 收COUNT值都達到特定值,這樣將在短時間內連續多次觸發counter check過程。由于短 時間內UE被攻擊的可能性很小,頻繁多次進行counter check過程意義不大,還將增大基
站的信令流量。
發明內容
本發明實施例提供了一種業務數據安全檢測的方法及設備,避免counter check 過程的頻繁發生。本發明實施例提供了一種業務數據安全檢測的方法,包括
監測到用戶終端的業務承載上的接收或發送數據量達到特定值時,查找與所述用戶終 端對應的禁止定時器;
如果當前時刻處于所述禁止定時器的禁止時間窗內,不向所述用戶終端發送統計檢測 counter check 消息。本發明實施例提供了一種業務數據安全檢測的設備,包括 監測單元,用于監測用戶終端的業務承載上的接收或發送數據量;
查找單元,用于當所述監測單元監測到用戶終端的業務承載上的接收或發送數據量達 到特定值時,查找與所述用戶終端對應的禁止定時器;
處理單元,用于當前時刻處于所述禁止定時器的禁止時間窗內時,不向所述用戶終端 發送統計檢測counter check消息。與現有技術相比,本發明實施例至少具有以下優點
通過當前時刻與禁止定時器的禁止時間窗的關系,控制counter check過程的發生,有 效避免了 counter check過程的頻繁發生。
為了更清楚地說明本發明的實施例或現有技術中的技術方案,下面將對本發明的 實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附 圖僅僅是本發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前 提下,還可以根據這些附圖獲得其他的附圖。圖1是現有技術中Counter Check過程示意圖2是本發明實施例提供的通過禁止定時器控制counter check過程的示意圖; 圖3是本發明實施例提供的業務數據安全檢測的方法的流程示意圖; 圖Γ圖6是本發明實施例提供的業務數據安全檢測的設備的結構示意圖。
具體實施例方式下面將結合本發明的實施例中的附圖,對本發明的實施例中的技術方案進行清 楚、完整地描述,顯然,下面所描述的實施例僅僅是本發明一部分實施例,而不是全部的實 施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得 的所有其他實施例,都屬于本發明的實施例保護的范圍。為避免頻繁進行counter check過程,本發明實施例中,基站對UE啟動countercheck過程設置禁止定時器,在定時器運行期間禁止觸發counter check過程。具體的,如 圖2所示,在Tl時刻,UE的某條業務承載觸發了 counter check過程,到T2時刻,基站收 到Counter Check Response消息,檢查結果為UE和基站的COUNT值相符,網絡正常,不釋 放UE的RRC連接。此時為避免后續頻繁的觸發counter check過程,基站啟動禁止定時器, 在禁止定時器超時前,基站禁止對UE進行counter check過程。圖2中T3時刻基站又監 測到UE的某條業務承載上的發送或接收COUNT達到特定值,但由于在禁止時間窗(或者說 禁止定時器未超時)內,基站不發起counter check過程。直到時刻T4禁止定時器超時,停 止定時器,禁止時間窗結束。之后的T5時刻,基站又監測到UE的某條業務承載上的發送或 接收COUNT達到特定值,發起counter check過程。基站設置counter check過程的禁止定時器的時間長度的方式包括 1,基站預先配置統一的禁止定時器的時間長度;
2,基站存儲多個禁止定時器的時間長度。基站統計在單位時間內由于業務數據安全問題觸發的用戶連接釋放數量,當該用 戶連接釋放數量達到預設值時,基站將禁止定時器的時間長度調整為與該預設值對應的 時間值。例如,當用戶連接釋放數量較大時,說明環境中安全問題嚴重,需要增加counter check過程發生頻率,基站減小counter check過程的禁止定時器時長;相反,在單位時 間內由于用戶業務數據安全問題觸發的用戶連接釋放數量較小時,基站可以增加counter check過程禁止定時器時長。優選的,假定單位時間內由于用戶業務數據安全問題觸發的用戶連接釋放數量為 N,counter check過程禁止定時器時長為T,N與T滿足下面關系
T= a/N, N =1,2,3......;
T = a_max, N = 0。a為常數,可以根據應用場景配置。當基站信令負荷較輕或對業務數據安全性要 求較高時,可以配置較小的a值,相反,當基站信令負荷較重或對業務數據安全性要求較低 時,可以配置較大的a值。當在單位時間內由于業務數據安全問題觸發的用戶連接釋放數 量為0時,說明業務數據安全性很好,配置counter check過程禁止定時器時長T等于a_ max (預設常數),表示在一次counter check過程進行完成后,至少a_max時間內都不會再 角蟲發counter check過程了。具體的,本發明實施例提供的業務數據安全檢測方法,如圖3所示,包括以下步 驟
步驟301,基站監測到某個UE的某個業務承載上的接收或發送數據量達到特定值,查 找與該UE對應的counter check過程的禁止定時器,如果當前時刻在禁止時間窗內,則執 行步驟302 ;否則,執行步驟303。需要說明,其中的特定值為協議規定或根據實際需要設置的值。步驟302,基站不發起counter check過程。步驟303,基站發起counter check過程。步驟304,基站通過counter check過程檢測與UE之間的網絡,如果檢測結果正 常,則執行步驟305,否則,釋放與UE的RRC連接。步驟305,基站啟動UE對應的counter check過程的禁止定時器。
具體的,基站啟動UE對應的counter check過程的禁止定時器時,需要確定禁止 定時器的時間長度。確定方式包括
1,基站預先配置統一的禁止定時器的時間長度;或者 2,基站存儲多個禁止定時器的時間長度。需要說明,本發明實施例中僅是以基站為例對該方法進行說明,除基站外還可以 是與基站具有類似功能的其他設備,例如eNode-B等。本發明實施例中,通過當前時刻與禁止定時器的禁止時間窗的關系,控制counter check過程的發生,有效避免了 counter check過程的頻繁發生。基于與上述方法實施例相同的技術構思,本發明實施例還提供一種業務數據安全 檢測的設備,如圖4所示,包括
監測單元11,用于監測用戶終端的業務承載上的接收或發送數據量; 查找單元12,用于當所述監測單元監測到用戶終端的業務承載上的接收或發送數據量 達到特定值時,查找與所述用戶終端對應的禁止定時器;
處理單元13,用于當前時刻處于所述禁止定時器的禁止時間窗內時,不向所述用戶終 端發送統計檢測counter check消息。所述處理單元13還用于
當前時刻處于所述禁止定時器的禁止時間窗外時,向所述用戶終端發送counter check消息。如圖5所示,該設備還包括
啟動單元14,用于啟動與所述用戶終端對應的禁止定時器。所述啟動單元14還用于
當所述用戶終端的counter check過程的結果為正常時,啟動與所述用戶終端對應的 禁止定時器。如圖6所示,所述啟動單元14包括
確定子單元141,用于確定所述禁止定時器的時間長度; 啟動子單元142,用于根據確定的時間長度啟動所述禁止定時器。所述確定子單元141具體用于
查找預先配置的所述禁止定時器的時間長度;或者
根據當前統計的用戶連接釋放數量查找與統計結果對應的時間長度,將查找到的時間 長度作為所述禁止定時器的時間長度。或者,所述確定子單元141具體用于 根據下式確定所述禁止定時器的時間長度 當 N =1,2,3......時,T= a/N ;
當 N =0 時,T = a_max ;
其中,N為單位時間內用戶連接釋放數量,T為禁止定時器的時間長度,a和a_maX分別 為預設常數。本發明實施例中,通過當前時刻與禁止定時器的禁止時間窗的關系,控制counter check過程的發生,有效避免了 counter check過程的頻繁發生。通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發明可借助軟件加必需的通用硬件平臺的方式來實現,當然也可以通過硬件,但很多情況下前者是更 佳的實施方式。基于這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的 部分可以以軟件產品的形式體現出來,該計算機軟件產品存儲在一個存儲介質中,包括若 干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網絡設備等)執行本發 明各個實施例所述的方法。本領域技術人員可以理解附圖只是一個優選實施例的示意圖,附圖中的模塊或流 程并不一定是實施本發明所必須的。本領域技術人員可以理解實施例中的裝置中的模塊可以按照實施例描述進行分 布于實施例的裝置中,也可以進行相應變化位于不同于本實施例的一個或多個裝置中。上 述實施例的模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊。上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。以上公開的僅為本發明的幾個具體實施例,但是,本發明并非局限于此,任何本領 域的技術人員能思之的變化都應落入本發明的保護范圍。
權利要求
1.一種業務數據安全檢測的方法,其特征在于,包括監測到用戶終端的業務承載上的接收或發送數據量達到特定值時,查找與所述用戶終 端對應的禁止定時器;如果當前時刻處于所述禁止定時器的禁止時間窗內,不向所述用戶終端發送統計檢測 counter check 消息。
2.如權利要求1所述的方法,其特征在于,還包括如果當前時刻處于所述禁止定時器 的禁止時間窗外,向所述用戶終端發送counter check消息。
3.如權利要求1所述的方法,其特征在于,所述查找與所述用戶終端對應的禁止定時 器之前,還包括啟動與所述用戶終端對應的禁止定時器。
4.如權利要求3所述的方法,其特征在于,所述啟動與所述用戶終端對應的禁止定時 器包括當所述用戶終端的counter check過程的結果為正常時,啟動與所述用戶終端對應的 禁止定時器。
5.如權利要求3所述的方法,其特征在于,所述啟動與所述用戶終端對應的禁止定時 器包括確定所述禁止定時器的時間長度; 根據確定的時間長度啟動所述禁止定時器。
6.如權利要求5所述的方法,其特征在于,所述確定所述禁止定時器的時間長度包括 查找預先配置的所述禁止定時器的時間長度;或者根據當前統計的用戶連接釋放數量查找與統計結果對應的時間長度,將查找到的時間 長度作為所述禁止定時器的時間長度。
7.如權利要求5所述的方法,其特征在于,所述確定所述禁止定時器的時間長度包括 假定單位時間內用戶連接釋放數量為N,所述禁止定時器的時間長度T,N與T滿足下面關系當 N =1,2,3......時,T= a/N ;當 N =0 時,T = a_max ;其中,a和a_maX分別為預設常數。
8.—種業務數據安全檢測的設備,其特征在于,包括監測單元,用于監測用戶終端的業務承載上的接收或發送數據量; 查找單元,用于當所述監測單元監測到用戶終端的業務承載上的接收或發送數據量達 到特定值時,查找與所述用戶終端對應的禁止定時器;處理單元,用于當前時刻處于所述禁止定時器的禁止時間窗內時,不向所述用戶終端 發送統計檢測counter check消息。
9.如權利要求8所述的設備,其特征在于,所述處理單元還用于當前時刻處于所述禁止定時器的禁止時間窗外時,向所述用戶終端發送counter check消息。
10.如權利要求8所述的設備,其特征在于,還包括啟動單元,用于啟動與所述用戶終端對應的禁止定時器。
11.如權利要求10所述的設備,其特征在于,所述啟動單元還用于當所述用戶終端的counter check過程的結果為正常時,啟動與所述用戶終端對應的 禁止定時器。
12.如權利要求10所述的設備,其特征在于,所述啟動單元包括 確定子單元,用于確定所述禁止定時器的時間長度;啟動子單元,用于根據確定的時間長度啟動所述禁止定時器。
13.如權利要求12所述的設備,其特征在于,所述確定子單元具體用于 查找預先配置的所述禁止定時器的時間長度;或者根據當前統計的用戶連接釋放數量查找與統計結果對應的時間長度,將查找到的時間 長度作為所述禁止定時器的時間長度。
14.如權利要求12所述的設備,其特征在于,所述確定子單元具體用于 根據下式確定所述禁止定時器的時間長度當 N =1,2,3......時,T= a/N ;當 N =0 時,T = a_max ;其中,N為單位時間內用戶連接釋放數量,T為禁止定時器的時間長度,a和a_maX分別 為預設常數。
全文摘要
本發明公開了一種業務數據安全檢測的方法及設備,該方法包括監測到用戶終端的業務承載上的接收或發送數據量達到特定值時,查找與所述用戶終端對應的禁止定時器;如果當前時刻處于所述禁止定時器的禁止時間窗內,不向所述用戶終端發送統計檢測countercheck消息。本發明實施例中,通過當前時刻與禁止定時器的禁止時間窗的關系,控制countercheck過程的發生,有效避免了countercheck過程的頻繁發生。
文檔編號H04W76/04GK102076005SQ201110005738
公開日2011年5月25日 申請日期2011年1月12日 優先權日2011年1月12日
發明者王睿煒, 阮楠, 院澤嘉 申請人:大唐移動通信設備有限公司