业务安全控制方法、装置及存储介质转让专利
申请号 : CN202010382922.9
文献号 : CN111698684B
文献日 : 2021-06-18
发明人 : 王保华 , 李斌 , 饶小毛 , 柯栋 , 莫建荣 , 胡清 , 汪龙 , 谢义东 , 陈弄玉
申请人 : 珠海格力电器股份有限公司 , 珠海联云科技有限公司
摘要 :
本申请涉及一种业务安全控制方法、装置及存储介质,应用于移动边缘计算设备,该方法包括:获取终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。通过本申请实现了在基于边缘计算MEC的网络系统中,通过对终端访问业务的检测,对频繁尝试访问业务的非法终端进行禁用,确保了各种数据的安全,同时维护了正常网络使用环境。
权利要求 :
1.一种业务安全控制方法,应用于移动边缘计算设备,其特征在于,所述方法包括:获取终端访问业务的业务访问信令记录;
根据所述业务访问信令记录控制所述终端访问所述业务;
所述获取终端访问业务的业务访问信令记录,包括:通过基站获取多个目标数据报文,其中,所述目标数据报文为由终端与基站通信产生且由本地所述移动边缘计算设备处理的数据报文,对所述多个目标数据报文进行深度数据分析得到业务访问信令记录;
所述业务访问信令记录包括至少一条业务访问信令信息,根据所述业务访问信令记录控制所述终端访问所述业务,包括:判断所述业务访问信令信息是否合规,若预设时间内不合规的业务访问信令信息的数量大于等于次数阈值,则禁止所述终端访问所述业务;
所述判断所述业务访问信令信息是否合规,包括:比对预存的业务访问信令流程与所述业务访问信令信息,若所述业务访问信令信息符合所述业务访问信令流程,则判定所述业务访问信令信息合规,
若所述业务访问信令信息不符合所述业务访问信令流程,则判定所述业务访问信令信息不合规。
2.根据权利要求1所述的方法,其特征在于,所述业务访问信令信息包括:基站信息、终端信息、业务信令关键字段信息和时间戳;
所述业务访问信令流程包括:关注的业务对应的业务访问信令流程中信令的先后顺序,以及关键字段数据规范。
3.根据权利要求1所述的方法,其特征在于,在获取终端访问业务的业务访问信令记录之前,所述方法还包括:
获取终端接入网络的接入网络信令记录;
比对预存的网络准入信令流程与所述接入网络信令记录中的接入网络信令信息,以判断所述接入网络信令信息是否合规;
根据不合规的接入网络信令信息的数量,控制所述终端接入所述网络。
4.一种业务安全控制装置,所述装置应用于移动边缘计算设备,其特征在于,所述装置包括:存储器,用于存储计算机可执行程序代码;收发器,以及处理器,与所述存储器和所述收发器耦合;
其中,所述收发器,用于获取终端访问业务的业务访问信令记录;
所述处理器,用于根据所述业务访问信令记录控制所述终端访问所述业务;
所述收发器,还用于获取终端接入网络的接入网络信令记录,所述处理器,还用于比对预存的网络准入信令流程与所述接入网络信令记录中的接入网络信令信息,以判断所述接入网络信令信息是否合规,所述处理器,还用于根据不合规的接入网络信令信息的数量,控制所述终端接入所述网络;
业务访问信令记录包括至少一条业务访问信令信息,所述处理器具体用于:通过判断业务访问信令信息是否合规以控制终端访问业务;
所述处理器具体用于:比对预存的业务访问信令流程与业务访问信令信息,若业务访问信令信息符合业务访问信令流程,则判定业务访问信令信息合规,若业务访问信令信息不符合业务访问信令流程,则判定业务访问信令信息不合规。
5.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1‑3任一项所述的方法的步骤。
6.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1‑3任一项所述的方法的步骤。
说明书 :
业务安全控制方法、装置及存储介质
技术领域
[0001] 本申请涉及通信技术领域,尤其涉及一种业务安全控制方法、装置及存储介质。
背景技术
[0002] 随着5G的发展,移动边缘计算MEC成为5G业务发展的关键技术,基于MEC技术的核心网设备一方面用于作为直接面对移动终端的数据处理设备,另一方面核心网设备对除运
营商外的第三方开放,这样导致核心网设备易被攻击或被利用成为攻击网络的工具。
营商外的第三方开放,这样导致核心网设备易被攻击或被利用成为攻击网络的工具。
[0003] 核心网设备的安全涉及很多方面,如设备自身硬件、操作系统、平台软件、组网架构、对网络攻击的防御等。如何提升核心网设备的安全,是当前重要的课题。现有技术只涉
及到了关于核心网设备及核心网设备安装的APP的安全问题,而没有涉及移动终端对核心
网设备和网络的安全问题。
及到了关于核心网设备及核心网设备安装的APP的安全问题,而没有涉及移动终端对核心
网设备和网络的安全问题。
[0004] 一般终端都带有操作系统,装载各种APP,在一个终端成功接入网络后,终端加载的APP,可能有些APP没有做到严格地行业安全性测试,难免会有人利用这个漏洞,通过终端
APP对网络进行攻击;同时由于软件未能严格测试,自身可能存在各种缺陷,在特定情况下
应用程序APP的不正常工作,也可能对网络性能造成严重影响。特别是对于MEC设备,服务对
象是企业、政府等大客户,保存的有用户敏感数据,所以及早发现潜在的威胁十分必要。
APP对网络进行攻击;同时由于软件未能严格测试,自身可能存在各种缺陷,在特定情况下
应用程序APP的不正常工作,也可能对网络性能造成严重影响。特别是对于MEC设备,服务对
象是企业、政府等大客户,保存的有用户敏感数据,所以及早发现潜在的威胁十分必要。
发明内容
[0005] 为了解决上述终端可能非法访问业务,给网络数据带来潜在威胁同时可能严重影响网络性能的问题,本申请实施例提供了一种业务安全控制方法、装置及存储介质。
[0006] 第一方面,本申请实施例提供了一种业务安全控制方法,应用于移动边缘计算设备,该方法包括:
[0007] 获取终端访问业务的业务访问信令记录;
[0008] 根据业务访问信令记录控制终端访问业务。
[0009] 可选地,获取终端访问业务的业务访问信令记录,包括:
[0010] 通过基站获取多个目标数据报文,其中,目标数据报文为由终端与基站通信产生且由本地移动边缘计算设备处理的数据报文;
[0011] 对多个目标数据报文进行深度数据分析得到业务访问信令记录。
[0012] 可选地,业务访问信令记录包括至少一条业务访问信令信息;
[0013] 根据业务访问信令记录控制终端访问业务,包括:
[0014] 判断业务访问信令信息是否合规;
[0015] 若预设时间内不合规的业务访问信令信息的数量大于等于次数阈值,则禁止终端访问业务。
[0016] 可选地,判断业务访问信令信息是否合规,包括:
[0017] 比对预存的业务访问信令流程与业务访问信令信息;
[0018] 若业务访问信令信息符合业务访问信令流程,则判定业务访问信令信息合规;
[0019] 若业务访问信令信息不符合业务访问信令流程,则判定业务访问信令信息不合规。
[0020] 可选地,业务访问信令信息包括:基站信息、终端信息、业务信令关键字段信息、时间戳;
[0021] 业务访问信令流程包括:关注的业务对应的业务访问信令流程中信令的先后顺序、关键字段数据规范。
[0022] 可选地,在获取终端访问业务的业务访问信令记录之前,方法还包括:
[0023] 获取终端接入网络的接入网络信令记录;
[0024] 比对预存的网络准入信令流程与接入网络信令记录中的接入网络信令信息,以判断接入网络信令信息是否合规;
[0025] 根据不合规的接入网络信令信息的数量,控制终端接入网络。
[0026] 第二方面,本申请实施例提供了一种业务安全控制装置,装置应用于移动边缘计算设备,该装置包括:存储器,用于存储计算机可执行程序代码;收发器,以及处理器,与存
储器和收发器耦合;
储器和收发器耦合;
[0027] 其中,收发器,用于获取终端访问业务的业务访问信令记录;
[0028] 处理器,用于根据业务访问信令记录控制终端访问业务。
[0029] 可选地,收发器,还用于获取终端接入网络的接入网络信令记录;
[0030] 处理器,还用于比对预存的网络准入信令流程与接入网络信令记录中的接入网络信令信息,以判断接入网络信令信息是否合规;
[0031] 处理器,还用于根据不合规的接入网络信令信息的数量,控制终端接入网络。
[0032] 第三方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行如前面所述任一项的
方法的步骤。
方法的步骤。
[0033] 第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行如前面所述任一项的方
法的步骤。
法的步骤。
[0034] 本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
[0035] 通过本申请,获取终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。实现了在基于边缘计算MEC的网络系统中,通过对终端访问业务的检测,
对频繁尝试访问业务的非法终端进行禁用,确保了各种数据的安全,同时维护了正常网络
使用环境。此外,通过本申请,获取终端接入网络的接入网络信令记录;根据接入网络信令
记录控制终端接入网络。实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网
络的检测,对频繁尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。
对频繁尝试访问业务的非法终端进行禁用,确保了各种数据的安全,同时维护了正常网络
使用环境。此外,通过本申请,获取终端接入网络的接入网络信令记录;根据接入网络信令
记录控制终端接入网络。实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网
络的检测,对频繁尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。
附图说明
[0036] 此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
[0037] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而
言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0038] 图1为一个实施例提供的业务安全控制方法的应用场景图;
[0039] 图2为一个实施例提供的一种业务安全控制方法的流程示意图;
[0040] 图3为一个实施例提供的一种业务安全控制装置的结构示意图。
具体实施方式
[0041] 为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人
员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人
员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0042] 图1为一个实施例提供的业务安全控制方法的应用场景图;参考图1,该业务安全控制方法应用于业务安全控制系统。该业务安全控制系统包括移动边缘计算设备、基站、终
端。终端通过无线网络通信的用户终端,例如移动终端:手机、平板等。该终端可以分为普通
公众使用的取得入网许可的标准移动终端,也可以是行业应用定制终端。普通公众使用的
标准移动终端通常经过国家相关部门进行终端合规性测试,测试合规后才会颁发终端入网
许可证。行业应用定制终端,是5G行业应用时利用模组搭建的、小批量的无线终端。例如一
些物流企业或规模较大的企业,为管理方便会根据需求定制终端,该终端可以通过接入网
络进行对应的业务操作,例如访问数据库、实施业务操作等。行业应用定制终端的生产厂家
较多,且生产厂家的软件或硬件水平参差不齐,另外,大多数的行业应用定制终端几乎不会
走国家规定的终端入网测试手续,没有入网许可证书。不合规的终端可能因为软件方面的
缺陷导致终端访问业务失败,如果频繁业务访问失败,则会对边缘计算设备以及整个网络
环境造成不良影响。
端。终端通过无线网络通信的用户终端,例如移动终端:手机、平板等。该终端可以分为普通
公众使用的取得入网许可的标准移动终端,也可以是行业应用定制终端。普通公众使用的
标准移动终端通常经过国家相关部门进行终端合规性测试,测试合规后才会颁发终端入网
许可证。行业应用定制终端,是5G行业应用时利用模组搭建的、小批量的无线终端。例如一
些物流企业或规模较大的企业,为管理方便会根据需求定制终端,该终端可以通过接入网
络进行对应的业务操作,例如访问数据库、实施业务操作等。行业应用定制终端的生产厂家
较多,且生产厂家的软件或硬件水平参差不齐,另外,大多数的行业应用定制终端几乎不会
走国家规定的终端入网测试手续,没有入网许可证书。不合规的终端可能因为软件方面的
缺陷导致终端访问业务失败,如果频繁业务访问失败,则会对边缘计算设备以及整个网络
环境造成不良影响。
[0043] 移动边缘计算设备(以下简称MEC设备)为基于边缘计算MEC(Mobile Edge Computing)的核心网络设备。移动边缘计算设备获取基站发送的终端接入网络的接入网络
信令记录。该接入网络信令记录可以包括同一个终端多次接入同一个网络的多个接入网络
信令信息。当然,本申请的网络安全控制方法适用于所有不同终端接入网络的分析,本申请
仅仅是以一个终端接入同一个网络来说明本申请的网络安全控制方法的原理。
信令记录。该接入网络信令记录可以包括同一个终端多次接入同一个网络的多个接入网络
信令信息。当然,本申请的网络安全控制方法适用于所有不同终端接入网络的分析,本申请
仅仅是以一个终端接入同一个网络来说明本申请的网络安全控制方法的原理。
[0044] 基站是移动设备接入互联网的接口设备,也是无线电台站的一种形式,是指在一定的无线电覆盖区中,通过移动通信交换中心,与移动电话终端之间进行信息传递的无线
电收发信电台。
电收发信电台。
[0045] 终端通过网络接入基站,基站将终端访问业务的业务访问信令记录发送至移动边缘计算设备,移动边缘计算设备根据业务访问信令记录控制该终端访问该业务。其中,业务
访问信令记录是一个集合,可以包括该终端通过该基站多次访问该业务的多个业务访问信
令信息。
访问信令记录是一个集合,可以包括该终端通过该基站多次访问该业务的多个业务访问信
令信息。
[0046] 图2为一个实施例提供的一种业务安全控制方法的流程示意图;参考图2,该方法包括以下步骤:
[0047] S100:获取终端访问业务的业务访问信令记录。
[0048] 移动边缘计算设备为基于边缘计算MEC(Mobile Edge Computing)的核心网络设备。移动边缘计算设备获取基站发送的终端访问业务的业务访问信令记录。业务访问信令
记录包括多个不同时间段终端访问同一个业务的业务访问信令信息。当然,本申请的业务
安全控制方法适用于所有不同终端访问业务的分析,本申请仅仅是以一个终端访问同一个
业务来说明本申请的业务安全控制方法的原理。
记录包括多个不同时间段终端访问同一个业务的业务访问信令信息。当然,本申请的业务
安全控制方法适用于所有不同终端访问业务的分析,本申请仅仅是以一个终端访问同一个
业务来说明本申请的业务安全控制方法的原理。
[0049] 在一个实施例中,步骤S100具体为:移动边缘计算设备通过基站获取多个目标数据报文,其中,目标数据报文为由终端与基站通信产生且由本地移动边缘计算设备处理的
数据报文;移动边缘计算设备对每个目标数据报文进行深度数据分析得到对应的业务访问
信令信息;多个目标数据报文对应的多个业务访问信令信息组成了业务访问信令记录。
数据报文;移动边缘计算设备对每个目标数据报文进行深度数据分析得到对应的业务访问
信令信息;多个目标数据报文对应的多个业务访问信令信息组成了业务访问信令记录。
[0050] 其中,业务包括:应用程序数据、IP数据,IP数据包括HTTP、ICMP、FTP等。
[0051] 深度数据分析具体可以为DPI技术,即DPI(Deep Packet Inspection)深度包检测技术。
[0052] 在移动边缘计算设备中可以布置报文深度解析DPI,对无线接入侧来的目标数据报文进行深度解析,按照用户名、APP名称、业务/业务种类、业务信令、时间戳等维度存储起
来。根据业务流程中业务信令系列的要求,对终端发起的业务流程信令进行检查,对不合规
终端记录其异常,以便进行处理。
来。根据业务流程中业务信令系列的要求,对终端发起的业务流程信令进行检查,对不合规
终端记录其异常,以便进行处理。
[0053] 获取多个目标数据报文包括:接收由终端与基站通信产生并通过基站传输过来的多个数据报文;分别根据分流规则对每个数据报文进行分流得到多个目标数据报文。
[0054] S200:根据业务访问信令记录控制终端访问业务。
[0055] 具体地,业务访问信令记录表征了相同终端访问同一个业务的次数及频繁程度。通过业务访问信令记录可以判断该终端访问该业务是否合规,从而决定允许该终端继续尝
试访问该业务,还是禁止该终端尝试访问该业务。
试访问该业务,还是禁止该终端尝试访问该业务。
[0056] 在一个实施例中,业务访问信令记录包括至少一条业务访问信令信息,步骤S200具体包括:通过判断业务访问信令信息是否合规以控制终端访问所述业务。
[0057] 在一个实施例中,判断业务访问信令信息是否合规具体包括:比对预存的业务访问信令流程与业务访问信令信息;若业务访问信令信息符合业务访问信令流程,则判定业
务访问信令信息合规;若业务访问信令信息不符合业务访问信令流程,则判定业务访问信
令信息不合规。
务访问信令信息合规;若业务访问信令信息不符合业务访问信令流程,则判定业务访问信
令信息不合规。
[0058] 预存的业务访问信令流程包括多个准许访问的业务对应的业务访问信令流程;如果业务访问信令信息与预存的多个准许访问的业务对应的业务访问信令流程中的至少一
个匹配,则判定该业务访问信令信息合规;如果业务访问信令信息与预存的多个准许访问
的业务对应的业务访问信令流程没有一个匹配,则判定该业务访问信令信息不合规。
个匹配,则判定该业务访问信令信息合规;如果业务访问信令信息与预存的多个准许访问
的业务对应的业务访问信令流程没有一个匹配,则判定该业务访问信令信息不合规。
[0059] 在一个实施例中,控制终端访问业务具体包括:当预设时间内不合规的业务访问信令信息的次数大于等于次数阈值,则判定该终端接入该业务异常,从而禁止该终端接入
该业务。
该业务。
[0060] 具体地,可以统计预设时间内连续出现的不合规的业务访问信令信息的次数,如果次数大于等于次数阈值,则判定该终端访问该业务异常,且预设时间内连续访问异常的
次数超过次数阈值就会被认定是非法访问。即可禁止该终端访问该业务。禁止该终端访问
该业务可以是禁止该终端尝试访问该业务,即,不仅不允许该终端成功访问该业务,而且拒
绝该终端申请访问该业务。
次数超过次数阈值就会被认定是非法访问。即可禁止该终端访问该业务。禁止该终端访问
该业务可以是禁止该终端尝试访问该业务,即,不仅不允许该终端成功访问该业务,而且拒
绝该终端申请访问该业务。
[0061] 当发现移动边缘计算设备下的移动终端发起的访问业务不合乎期望的终端访问业务规程时,可以认为终端访问业务异常。如果终端访问业务异常,且频繁访问业务,可能
会导致敏感数据的泄密,且占用网络资源,从而导致其他正常用户使用困难。
会导致敏感数据的泄密,且占用网络资源,从而导致其他正常用户使用困难。
[0062] 由于终端访问业务过程复杂,因此在预设时间内对终端访问业务异常情况进行统计,达到次数阈值才对终端进行禁止,可以避免误判。
[0063] 在一个实施例中,可以是移动边缘计算设备来禁止非法终端访问业务。也可以是移动边缘计算设备将次数是否大于等于次数阈值的结果发送至功能控制系统,由功能控制
系统禁止非法终端访问对应业务。
系统禁止非法终端访问对应业务。
[0064] 该功能控制系统可以是运营商营帐系统,但不局限于此。
[0065] 当发现终端访问业务异常对敏感数据构成威胁时,可以利用移动边缘计算设备的北向接口将次数是否大于等于次数阈值的结果发送至运营商营帐系统,通过运营商营帐系
统禁止该终端的业务访问权限。
统禁止该终端的业务访问权限。
[0066] 这样,就完成了对来自终端访问业务的威胁检测和处理,较好地保证了数据安全同时维护了正常网络使用环境。
[0067] 在一个实施例中,业务访问信令信息包括:基站信息、终端信息、业务信令关键字段信息、时间戳;
[0068] 业务访问信令流程包括:关注的业务对应的业务访问信令流程中信令的先后顺序、关键字段数据规范。
[0069] 具体地,终端访问业务时,在信息交互过程中会产生信令,信令交互有着严格的顺序,例如:先发什么信令,等待对方回应并根据回应的信息,再进行下一步操作。显然,如果
不按照预定的流程操作,就是违规,不合规。
不按照预定的流程操作,就是违规,不合规。
[0070] 业务访问信令信息携带有业务信令关键字段,业务信令关键字段包含了每条业务信令中的关键参数或关键参数与参考参数,如get这个指令有5个参数(a1,a2,a3,a4,a5),
且各自对应有具体含义,其中a1‑a3是必须的,a4‑a5是可选参数;我们就可以认为a1‑a3是
关键参数,a4‑a5是参考参数。
且各自对应有具体含义,其中a1‑a3是必须的,a4‑a5是可选参数;我们就可以认为a1‑a3是
关键参数,a4‑a5是参考参数。
[0071] 信令的先后顺序,可以是时间戳,也可以是信令自身带有的信令编号。这个主要是对采集到的信令进行排序,判断信令是否按照期望的顺序进行交互。
[0072] 在业务访问信令流程中,规定了业务访问信令流程中的信令执行的先后顺序。通过信令编号或每个信令的时间戳可以判断这些信令是否按照预设的先后顺序执行,如果没
有按照先后顺序执行,则判定为不合规,否则,合规。
有按照先后顺序执行,则判定为不合规,否则,合规。
[0073] 关键字段数据规范具体包括参数的取值是否在期望的范围内,例如,上述的参数a1‑a5各自的取值是否在期望的范围。如a1的期望值可以是1、2、3中的任意一个,如果不是
这三个值中的任意一个,即可认为该业务信令不合规。
这三个值中的任意一个,即可认为该业务信令不合规。
[0074] 具体地,首先获取信令关键字,如get,再获取get的参数a1‑a5,与预存的关键字段数据中的get信令对a1‑a5各自取值的要求规范进行比较,如果符合预存的关键字段数据库
的要求,则认为该接入信令合规,否则就是不合规。
的要求,则认为该接入信令合规,否则就是不合规。
[0075] 本申请关键字段不仅仅包括get的参数,还包括其他终端接入网络过程中产生的关键字段。
[0076] 在一个实施例中,该业务安全控制系统还包括:网络信令分析系统。
[0077] 网络信令分析系统是为了网络维护工作而建立的,采用专门技术采集网络中各种控制面信令。例如:可以通过基站回传各种控制面信令给到网络信令分析系统,也可以是网
络信令分析系统采集网络通信链路上的数据后解析得到控制面信令。该控制面信令包括终
端接入网络的接入网络信令。
络信令分析系统采集网络通信链路上的数据后解析得到控制面信令。该控制面信令包括终
端接入网络的接入网络信令。
[0078] 网络信令分析系统用于接收并存储终端接入网络时经过各个基站后解析出的接入网络信令信息,在接收到移动边缘计算设备的获取请求时,将请求的目标接入网络信令
信息发送至该移动边缘计算设备。其中,移动边缘计算设备通过北向接口与网络信令分析
系统通信。
信息发送至该移动边缘计算设备。其中,移动边缘计算设备通过北向接口与网络信令分析
系统通信。
[0079] 在一个实施例中,在步骤S100之前,该方法还包括:
[0080] 获取终端接入网络的接入网络信令记录;比对预存的网络准入信令流程与接入网络信令记录中的接入网络信令信息,以判断接入网络信令信息是否合规;根据不合规的接
入网络信令信息的数量,控制终端接入网络。
入网络信令信息的数量,控制终端接入网络。
[0081] 其中,获取终端接入网络的接入网络信令记录,包括:获取终端接入网络时经过移动边缘计算设备所管辖的不同基站后解析出的终端接入网络的接入网络信令记录。
[0082] 接入网络信令记录包括至少一条接入网络信令信息。
[0083] 具体地,每个移动边缘计算设备(MEC设备)对应一个或多个基站,网络信令分析系统可以与每个移动边缘计算设备管辖下的基站通信,终端可以通过同一个网络(接入网)接
入不同基站,每个基站会将终端接入网络的接入网络信令信息发送至网络信令分析系统,
或者是网络信令分析系统对经过基站的数据进行解析得到接入网络信令信息。网络信令分
析系统获取经过多个基站后的接入网络信令信息,由此得到接入网络信令信息集合;每个
接入网络信令信息包括但不限于:对应的终端信息、接入网的网络信息、基站信息、时间信
息。
入不同基站,每个基站会将终端接入网络的接入网络信令信息发送至网络信令分析系统,
或者是网络信令分析系统对经过基站的数据进行解析得到接入网络信令信息。网络信令分
析系统获取经过多个基站后的接入网络信令信息,由此得到接入网络信令信息集合;每个
接入网络信令信息包括但不限于:对应的终端信息、接入网的网络信息、基站信息、时间信
息。
[0084] 移动边缘计算设备通过向网络信令分析系统请求获取经过其管辖的基站后解析出的终端接入网络的接入网络信令信息得到接入网络信令记录;接入网络信令是控制面信
令,接入网络信令记录是一个历史记录,可能包括经过不同基站后解析出的终端接入同一
网络的接入网络信令信息,也可以包括经过不同基站后解析出的终端接入不同网络的接入
网络信令信息。其中,移动边缘计算设备通过北向接口与网络信令分析系统通信。
令,接入网络信令记录是一个历史记录,可能包括经过不同基站后解析出的终端接入同一
网络的接入网络信令信息,也可以包括经过不同基站后解析出的终端接入不同网络的接入
网络信令信息。其中,移动边缘计算设备通过北向接口与网络信令分析系统通信。
[0085] 预存的网络准入信令流程包括多个准许网络对应的网络准入信令流程;如果接入网络信令信息与预存的多个准许网络的网络准入信令流程中的至少一个匹配,则判定该接
入网络信令信息合规;如果接入网络信令信息与预存的多个准许网络的网络准入信令流程
没有一个匹配。则判定该接入网络信令信息不合规。
入网络信令信息合规;如果接入网络信令信息与预存的多个准许网络的网络准入信令流程
没有一个匹配。则判定该接入网络信令信息不合规。
[0086] 根据不合规的接入网络信令信息的数量,控制终端接入网络,具体包括:可以统计预设时间内连续出现的不合规的接入网络信令信息的次数,如果次数大于等于次数阈值,
则判定该终端接入该网络异常,且预设时间内连续接入异常的次数超过次数阈值就会被认
定是非法接入。即可禁止该终端接入该网络。禁止该终端接入该网络可以是禁止该终端尝
试接入该网络,即,不仅不允许该终端成功接入该网络,而且拒绝该终端申请接入该网络。
则判定该终端接入该网络异常,且预设时间内连续接入异常的次数超过次数阈值就会被认
定是非法接入。即可禁止该终端接入该网络。禁止该终端接入该网络可以是禁止该终端尝
试接入该网络,即,不仅不允许该终端成功接入该网络,而且拒绝该终端申请接入该网络。
[0087] 当发现移动边缘计算设备下的移动终端发起的接入网络不合乎期望的终端接入规程时,可以认为终端接入网络异常。如果终端接入网络异常,且频繁接入网络,会导致占
用网络资源,从而导致其他正常用户使用困难。
用网络资源,从而导致其他正常用户使用困难。
[0088] 由于无线环境复杂及终端移动特性,如果1‑2次接入异常,就认为该终端的接入是构成网络威胁的不太合理,设置一个阈值,如单位时间内终端接入N次异常(如N>10),才判
定该终端的接入异常构成网络威胁,避免误判。
定该终端的接入异常构成网络威胁,避免误判。
[0089] 在一个实施例中,可以是移动边缘计算设备来禁止非法终端接入网络。也可以是移动边缘计算设备将次数是否大于等于次数阈值的结果发送至功能控制系统,由功能控制
系统禁止非法终端接入对应网络。
系统禁止非法终端接入对应网络。
[0090] 该功能控制系统可以是运营商营帐系统,但不局限于此。
[0091] 当发现终端接入网络异常对网络构成威胁时,可以利用移动边缘计算设备的北向接口将次数是否大于等于次数阈值的结果发送至运营商营帐系统,通过运营商营帐系统禁
止该终端的网络使用权。
止该终端的网络使用权。
[0092] 这样,就完成了对来自终端接入方式的网络威胁检测和处理,较好地维护了正常网络使用环境。
[0093] 当然,当发现接入异常对网络构成威胁时,也可以将异常情况提交到APP研发厂家或硬件研发厂家改进软件或硬件。
[0094] 在一个实施例中,接入网络信令信息包括:基站信息、终端信息、接入信令关键字段信息、时间戳;
[0095] 网络准入信令流程包括:网络准入信令流程中信令的先后顺序、关键字段数据规范。
[0096] 具体地,终端接入网络时,需要与网络进行信令交互,例如:终端会告知网络终端自身的能力,例如可以使用2G/3G/4G/5G中的哪种网络,速率为多少,编码为多少等信息;网
络接收到这些信息后会根据网络自身的情况选择并将选择的结果告知终端。终端与网络进
行这些信令交互有严格的规范要求,例如:先发什么信令、收到对方应答后,中间发什么信
令,最后发什么信令。这些信令是相关国际组织制定的技术规范,如果不遵循,就认定不合
规。
络接收到这些信息后会根据网络自身的情况选择并将选择的结果告知终端。终端与网络进
行这些信令交互有严格的规范要求,例如:先发什么信令、收到对方应答后,中间发什么信
令,最后发什么信令。这些信令是相关国际组织制定的技术规范,如果不遵循,就认定不合
规。
[0097] 接入信令关键字段包含每条接入信令中的关键参数,如指令attch(A1、A2、A3),有3个参数A1、A2、A3,都必须填写,则可以认为A1、A2、A3是信令关键字段信息。
[0098] 信令的先后顺序,可以是时间戳,也可以是信令自身带有的信令编号。这个主要是对采集到的信令进行排序,判断信令是否按照期望的顺序进行交互。
[0099] 在网络准入信令流程中,规定了网络准入信令流程中的信令执行的先后顺序。通过信令编号或每个信令的时间戳可以判断这些信令是否按照预设的先后顺序执行,如果没
有按照先后顺序执行,则判定为不合规,否则,合规。
有按照先后顺序执行,则判定为不合规,否则,合规。
[0100] 关键字段数据规范具体包括关键参数的取值是否在期望的范围内,例如,上述的参数A1‑A3各自的取值是否在期望的范围。如A1的期望值可以是1、2、3中的任意一个,如果
不是这三个值中的任意一个就可以认为不合规,信令不正常。
不是这三个值中的任意一个就可以认为不合规,信令不正常。
[0101] 具体地,首先是获取接入信令关键字段,如attch,再获取attch的参数A1、A2、A3,与预存的关键字段数据规范中的attch的A1、A2、A3的规范值各自进行比较,如果符合预存
的关键字段数据规范的要求,则认为该接入信令合规,否则就是不合规。
的关键字段数据规范的要求,则认为该接入信令合规,否则就是不合规。
[0102] 本申请关键字段不仅仅包括attch的参数,还包括其他终端接入网络过程中产生的关键字段。
[0103] 图3为一个实施例提供的一种业务安全控制装置的结构示意图,参考图3,该装置应用于移动边缘计算设备,该装置包括:存储器120,用于存储计算机可执行程序代码;收发
器130,以及处理器110,与存储器120和收发器130耦合;总线150,至少一个通信接口140;存
储器120、处理器110、收发器130和所述至少一个通信接口140之间通过总线150互相连接。
器130,以及处理器110,与存储器120和收发器130耦合;总线150,至少一个通信接口140;存
储器120、处理器110、收发器130和所述至少一个通信接口140之间通过总线150互相连接。
[0104] 其中,收发器130,用于获取终端访问业务的业务访问信令记录;
[0105] 处理器110,用于根据业务访问信令记录控制终端访问业务。
[0106] 在一个实施例中,收发器130具体用于:通过基站获取多个目标数据报文,其中,目标数据报文为由终端与基站通信产生且由本地移动边缘计算设备处理的数据报文;
[0107] 处理器110具体用于:对多个目标数据报文进行深度数据分析得到业务访问信令记录。
[0108] 在一个实施例中,业务访问信令记录包括至少一条业务访问信令信息;
[0109] 处理器110具体用于:通过判断业务访问信令信息是否合规以控制终端访问业务。
[0110] 在一个实施例中,处理器110具体用于:比对预存的业务访问信令流程与业务访问信令信息;
[0111] 若业务访问信令信息符合业务访问信令流程,则判定业务访问信令信息合规;
[0112] 若业务访问信令信息不符合业务访问信令流程,则判定业务访问信令信息不合规。
[0113] 在一个实施例中,处理器110还具体用于:若预设时间内不合规的业务访问信令信息的数量大于等于次数阈值,则禁止终端访问业务。
[0114] 在一个实施例中,业务访问信令信息包括:基站信息、终端信息、业务信令关键字段信息、时间戳;
[0115] 业务访问信令流程包括:关注的业务对应的业务访问信令流程中信令的先后顺序、关键字段数据规范。
[0116] 在一个实施例中,收发器130,还用于获取终端接入网络的接入网络信令记录;
[0117] 处理器110,还用于比对预存的网络准入信令流程与接入网络信令记录中的接入网络信令信息,以判断接入网络信令信息是否合规;
[0118] 处理器110,还用于根据不合规的接入网络信令信息的数量,控制终端接入网络。
[0119] 其中,存储器120可以是只读存储器(read‑only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可
存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器
(Electrically Erasable Programmable Read‑Only Memory,EEPROM)、只读光盘(Compact
Disc Read‑Only Memory,CD‑ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或
者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取
的任何其他介质,但不限于此。存储器120可以是独立存在,通过总线150与处理器110连接。
存储器120也可以和处理器110集成在一起。
存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器
(Electrically Erasable Programmable Read‑Only Memory,EEPROM)、只读光盘(Compact
Disc Read‑Only Memory,CD‑ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或
者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取
的任何其他介质,但不限于此。存储器120可以是独立存在,通过总线150与处理器110连接。
存储器120也可以和处理器110集成在一起。
[0120] 收发器130可以是发射器、接收器或其组合,从其他网络节点接收数据包或向其他网络节点发送数据包。
[0121] 处理器110可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application‑special integrated circuit,ASIC),或一个或多个用于控制本申请方案
程序执行的集成电路。
程序执行的集成电路。
[0122] 总线150可包括一通路,在上述组件之间传送信息。
[0123] 通信接口140使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网、无线接入网(RAN)、无线局域网(Wireless Local Area Networks,WLAN)等。
[0124] 其中,存储器120用于存储执行本申请方案的应用程序代码,并由处理器110来控制执行。存储器120还用于存储预存的网络准入信令流程和预存的业务访问信令流程。
[0125] 处理器110可以包括一个或多个CPU。
[0126] 本申请提供的业务安全控制装置应用于移动边缘计算设备,移动边缘计算设备能够获取终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。实
现对终端访问业务的监控,保障了数据安全,维护了网络使用环境。此外,该移动边缘计算
设备还能够获取终端接入网络的接入网络信令记录;根据接入网络信令记录控制终端接入
网络。实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网络的检测,对频繁
尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。
现对终端访问业务的监控,保障了数据安全,维护了网络使用环境。此外,该移动边缘计算
设备还能够获取终端接入网络的接入网络信令记录;根据接入网络信令记录控制终端接入
网络。实现了在基于边缘计算MEC的网络系统中,通过对来自终端接入网络的检测,对频繁
尝试接入网络的非法终端进行禁用,维护了正常网络使用环境。
[0127] 在一个实施例中,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时,使得处理器执行以下操作:获取
终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。
终端访问业务的业务访问信令记录;根据业务访问信令记录控制终端访问业务。
[0128] 在一个实施例中,该处理器还执行以下操作:获取终端接入网络的接入网络信令记录;比对预存的网络准入信令流程与接入网络信令记录中的接入网络信令信息,以判断
接入网络信令信息是否合规;根据不合规的接入网络信令信息的数量,控制终端接入网络。
接入网络信令信息是否合规;根据不合规的接入网络信令信息的数量,控制终端接入网络。
[0129] 需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之
间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在
涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些
要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设
备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除
在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在
涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些
要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设
备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除
在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0130] 以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的
一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明
将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一
致的最宽的范围。
一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明
将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一
致的最宽的范围。