[发明专利]一种GGSN对异常下行流量业务的处理方法及装置

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种GGSN(Gateway GPRS SupportNode，网关GPRS支持节点)对异常下行流量业务的处理方法及装置。

背景技术

在GPRS网络（2G网络）终端用户获取IP地址的流程中，SGSN会向GGSN发出激活PDP会话请求，GGSN会根据情况回复激活PDP会话请求，并同时分配IP地址给终端用户。GGSN会将分配给终端用户的IP地址标记为已用。相应的，在GPRS网络终端用户释放IP地址的流程中，SGSN会向GGSN发出删除PDP（Packet Data Protocol，分组数据协议）会话请求，GGSN会根据情况回复删除PDP会话请求，并同时将终端用户释放的IP地址标记为可用。此外，在WCDMA网络等3G网络中，终端获取IP地址和释放IP地址的流程与在GPRS网络中的流程相似。

当终端与外部互联网之间有数据包通信的时候，会在防火墙（FW）上创建一组(IP1，PORT1)与(IP2，PORT2)之间的映射关系。但是3GPP协议中并没有在GPRS核心网与防火墙（FW）之间定义标准的接口，因此在终端业务结束后，GGSN并不通知防火墙（FW）立即拆除(IP1，PORT1)与(IP2，PORT2)之间的映射关系，同时为了减少频繁创建IP地址映射关系，对防火墙（FW）产生的时间开销和负荷影响。通常防火墙产品设计会采用会话超时机制，来维护IP地址的映射关系。即当终端与互联网之间没有任何数据包传送达到一定时间后，防火墙（FW）才会拆除(IP1，PORT1)与(IP2，PORT2)的映射关系。

由以上流程可以看出，当终端用户（MS1）业务结束后，即使GPRS核心网已经删除了相关网络资源，但是防火墙（FW）无法及时拆除(IP1，PORT1)与(IP2，PORT2)地址映射关系。如果此时另外一个终端用户（MS2）上网，从GGSN上获得了MS1释放的IP地址（IP1），那么防火墙将继续允许(IP1，PORT1)与(IP2，PORT2)相关的数据通信。

对于TCP协议的业务，在GGSN上会检查终端与外部互联网在TCP的三次握手完成后，才会运行双方进行数据包发送，因此外部互联网发起的数据包会被GGSN丢弃，不会产生计费错误的问题；但是对于UDP（User DatagramProtocol，用户数据包协议）的数据包，由于无需预先创建连接，因此如果互联网仍旧向IP1发送数据包，那么所有的流量将在GGSN上被计算为MS1的流量，也就是说，即使MS1并没有向外部互联网发送过业务请求，也会产生流量。若遇上外部互联网发起的非法攻击，就有可能产生更大量的下行数据包，从而在下行引发大流量攻击，严重影响GPRS网络安全以及流量统计精准性。

为了防止上述问题的出现，现有技术中常用方法是在SGSN（ServingGPRS SUPPORT NODE，GPRS服务支持节点）和GGSN之间部署检测设备，当用户终端（MS1）下线后，该设备通知防火墙切断该用户终端的流量。但这种方式仍旧存在如下技术问题：需要在SGSN和GGSN之间部署设备，需要额外添加物理链路和现有防火墙通信，不仅增加了网络复杂度，同时该设备和防火墙之间还需要通过非标准协议进行通信，难以广泛使用。

发明内容

为了解决现有技术中针对异常下行流量的防御方法存在网络复杂度高，难以推广等技术问题，本发明提出一种GGSN对异常下行流量业务的处理方法及装置。

一种GGSN对异常下行流量业务的处理方法在GGSN接收到删除PDP会话请求后，该方法包括：

GGSN检测下行Gi接口上是否存在以所述删除PDP会话请求中携带的地址标识为目的地址的下行流量；

若检测到存在以所述删除PDP会话请求中携带的地址标识为目的地址的下行流量，则标记所述检测到的下行流量为忽略计算，以使所述下行流量不计算到所述删除PDP会话请求中携带的用户标识上。

一种GGSN对异常下行流量业务的处理装置，包括：

检测模块，用于在GGSN接收到删除PDP会话请求后，检测下行Gi接口上是否存在以所述删除PDP会话请求中携带的地址标识为目的地址的下行流量；

标记模块，用于在检测模块检测到存在以所述删除PDP会话请求中携带的地址标识为目的地址的下行流量时，标记所述检测到的下行流量为忽略计算，以使所述下行流量不计算到所述删除PDP会话请求中携带的用户标识上。