本發明實施例涉及通信領域,具體而言,涉及一種空口拒絕服務dos攻擊防御方法及裝置。
背景技術:
1、空口(new?radio,nr)接入是先接入再認證,終端在未通過基站側身份認證前就已經獲得了無線接入資源,所以基站易遭受惡意終端的攻擊,從而產生各種安全威脅。如圖1所示,在合法用戶設備(user?equipment,ue)發起無線電資源接入請求(radio?resourcecontrol?connection?request,msg3)等信令接入時,基站會根據其配置的空口最大無線電資源控制(radio?resource?control,rrc)控制接入的ue數量,若惡意ue不斷發起msg3請求,就會導致基站空口rrc接入資源被耗盡,對基站造成空口拒絕服務(denial-of-service,dos)攻擊,影響正常ue接入。在核心網對ue鑒權之前,基站和核心網無法獲得ue的有效鑒權信息,合法ue會在msg3中攜帶隨機值或臨時移動用戶身份信息(temporarymobile?subscriber?identity,tmsi)信息,但是由于還未執行到鑒權階段,此信息只作為臨時標識符,攻擊者可對惡意ue的臨時標識符進行任意偽造,因此基站側也就無法確定ue的合法性。
2、合法ue的國際移動用戶身份(international?mobile?subscriber?identity,imsi)、tmsi等合法身份信息是非常容易被攻擊者通過偽基站獲取到的,若攻擊者使用合法用戶的身份信息進行空口攻擊,此時如果核心網根據身份信息對用戶進行隔離或不響應用戶的請求,就會使得合法用戶遭到影響。在采用msg3的空口dos攻擊中,惡意ue的身份可以任意偽造。所以目前業界采用黑名單的方式來限制惡意ue接入,不但在許多場景下無法防護,同時還會被攻擊者利用,對特定合法ue造成dos攻擊,無法針對拒絕服務攻擊進行有效防護。
技術實現思路
1、本發明實施例提供了一種空口拒絕服務dos攻擊防御方法及裝置,以至少解決相關技術中采用黑名單方式無法針對拒絕服務攻擊進行有效防護的問題。
2、根據本發明的一個實施例,提供了一種空口拒絕服務dos攻擊防御方法,應用于基站,包括:在有ue發起空口dos攻擊,對發起空口dos攻擊的所述ue進行定位以獲取所述ue的位置信息;根據所述位置信息調整所述基站的波束覆蓋區域,以將發起空口dos攻擊的所述ue排除在所述波束覆蓋范圍之外。
3、根據本發明的另一個實施例,提供了一種空口拒絕服務dos攻擊防御裝置,應用于基站,包括:定位模塊,用于在有ue發起空口dos攻擊時,對發起空口dos攻擊的所述ue進行定位以獲取所述ue的位置信息;調整模塊,用于根據所述位置信息調整所述基站的波束覆蓋區域,以將發起空口dos攻擊的所述ue排除在所述波束覆蓋范圍之外。
4、根據本發明的又一個實施例,還提供了一種計算機可讀存儲介質,所述計算機可讀存儲介質中存儲有計算機程序,其中,所述計算機程序被設置為運行時執行上述任一項方法實施例中的步驟。
5、根據本發明的又一個實施例,還提供了一種電子裝置,包括存儲器和處理器,所述存儲器中存儲有計算機程序,所述處理器被設置為運行所述計算機程序以執行上述任一項方法實施例中的步驟。
6、通過本發明,提供了一種空口拒絕服務dos攻擊防御方法,通過在有ue發起空口dos攻擊,對發起空口dos攻擊的ue進行定位以獲取ue的位置信息;根據位置信息調整基站的波束覆蓋區域,以將發起空口dos攻擊的ue排除在波束覆蓋范圍之外。解決了相關技術中采用黑名單方式無法針對拒絕服務攻擊進行有效防護的問題,達到了極大緩解基站所面臨的空口拒絕服務攻擊的風險,提升無線通信網絡在空口接入上的可用性和韌性的效果。
1.一種空口拒絕服務dos攻擊防御方法,應用于基站,其特征在于,包括:
2.根據權利要求1所述的方法,其特征在于,所述對發起空口dos攻擊的所述ue進行定位以獲取所述ue的位置信息,包括:
3.根據權利要求1所述的方法,其特征在于,所述根據所述位置信息調整所述基站的波束覆蓋區域,包括:
4.根據權利要求3所述的方法,其特征在于,所述根據所述最佳波束覆蓋調整所述基站的波束覆蓋區域,包括以下之一:
5.根據權利要求1所述的方法,其特征在于,所述空口拒絕服務dos攻擊防御方法還包括:
6.根據權利要求5所述的方法,其特征在于,所述檢測發起無線接入請求的ue的接入速率和/或與無線接入請求對應的定時器超時事件的產生速率確定是否有發起無線接入請求的ue發起空口dos攻擊,包括:
7.根據權利要求6所述的方法,其特征在于,所述檢測所述發起無線接入請求的ue的波束接入分布是否異常,包括:
8.根據權利要求6所述的方法,其特征在于,所述檢測所述波束接入分布異常的ue的接入行為是否異常,包括:
9.一種空口拒絕服務dos攻擊防御裝置,應用于基站,其特征在于,包括:
10.根據權利要求9所述的裝置,其特征在于,其中,所述定位模塊還用于向多個傳輸接收點trp請求測量信息,以通過所述多個trp根據發起空口dos攻擊的所述ue發起隨機接入使用的前導碼,采用時間到達差tdoa定位方法對發起空口dos攻擊的所述ue進行波束定位,獲取所述ue的位置信息。
11.根據權利要求9所述的裝置,其特征在于,其中,所述調整模塊包括:
12.根據權利要求9所述的裝置,其特征在于,還包括:
13.根據權利要求12所述的裝置,其特征在于,所述檢測模塊包括:
14.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質中存儲有計算機程序,其中,所述計算機程序被處理器執行時實現所述權利要求1至8任一項中所述的方法。
15.一種電子裝置,包括存儲器、處理器以及存儲在所述存儲器上并可在所述處理器上運行的計算機程序,其特征在于,所述處理器執行所述計算機程序時實現所述權利要求1至8任一項中所述的方法。