本技术涉及通信,特别是涉及一种数据处理方法及相关设备。
背景技术:
1、随着移动网络的发展演进,移动网络凭借更大的带宽、更低的时延以及更大的连接密度等特点,与越来越多的行业深度融合,促进各行业的网络化、智能化和数字化发展。例如,用户可以使用移动终端设备通过移动网络随时随地远程访问数据网络(例如企业网、政务网和园区网络等)中的服务。还例如,物联网终端设备可以通过移动网络将采集到的数据传输至数据网络中的应用服务器。
2、数据网络存储敏感的商业机密和用户数据,有更高的安全保密需求。然而移动网络与数据网络的融合会引入新的安全风险,例如恶意终端设备滥用合法用户身份识别模块(subscriber identity module,sim)卡接入,恶意终端非法接入用户终端设备(customerpremise equipment,cpe)等情况,由于数据网络无法感知和识别恶意终端在移动网络的接入行为,恶意终端设备有可能通过接入移动网络访问和攻击数据网络,危害数据网络的安全。
3、当数据网络中的安全检测设备检测到终端设备存在攻击行为时,仅能够溯源到恶意终端设备的互联网协议(internet protocol,ip)地址。在一些情况下,例如存在ip地址仿冒,动态ip地址等情况时,基于ip地址无法实现攻击源的精准溯源和处置。
技术实现思路
1、本技术提供了一种处理方法及相关设备,以解决无法对攻击源进行精准溯源和处置的问题。
2、第一方面提供一种数据处理方法。该方法包括:网关接收来自于终端设备的应用访问请求。网关根据应用访问请求记录日志,日志包括终端设备的终端身份标识。终端身份标识能够唯一标识一个终端设备的身份,具有不易被篡改和仿冒的特性。需要说明的是,终端身份标识不同于ip地址。终端身份标识也不同于媒体访问控制(media access control,mac)地址。日志用于分析终端设备的访问行为,以及用于在终端设备的访问行为存在异常时能够确定终端设备的终端身份标识。网关在终端设备访问数据网络对应的日志中添加终端身份标识,终端身份标识能够精确地标识终端设备,从而根据日志能够分析得到存在异常访问行为的终端设备及该存在异常访问行为的终端设备的终端身份标识,从而实现存在异常访问行为的终端设备的精准溯源。
3、在一种可能的实现方式中,网关根据应用访问请求记录日志,包括:网关获取应用访问请求中的源ip地址。然后网关根据源ip地址,以及终端设备的ip地址与终端身份标识之间的对应关系获得该终端设备的终端身份标识。网关在记录应用访问请求对应的日志时,将终端身份标识添加到日志中。从而,在后续基于日志分析终端设备的访问行为时,不仅能够根据日志判断终端设备的访问行为是否异常,由于日志中包括终端身份标识,还能够获取终端设备的终端身份标识。从而,能够获得访问行为存在异常的终端设备的终端身份标识,实现攻击源的精准溯源。
4、在确定访问行为存在异常的终端设备及其终端身份标识后,可以基于终端身份标识对该终端设备进行精准、有效的处置。
5、在一种可能的实现方式中,网关根据访问行为存在异常的终端设备的终端身份标识处置该终端设备。因此,本方法还包括:网关接收通知消息,通知消息包括终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备;网关根据终端身份标识,以及终端身份标识与ip地址之间的对应关系获得终端设备的ip地址;网关阻断源ip地址为终端设备的ip地址的应用访问请求。因此,网关在接收到异常终端设备(访问行为存在异常的终端设备的简称)的终端身份标识后,根据ip地址与终端身份标识的对应关系获得异常终端设备的ip地址,从而在后续接收到来自异常终端设备的访问流量时,基于ip地址阻断该流量。例如,网关可以丢弃源ip地址为异常终端设备的ip地址的流量。从而阻止异常终端设备的攻击行为,提高数据网络的安全性。
6、在一种可能的实现方式中,网关接收终端设备的应用访问请求之前,包括:网关接收认证服务器发送的终端设备的终端信息,终端信息包括终端设备的ip地址与终端身份标识之间的对应关系,终端信息为认证服务器对终端设备认证通过后发送的。从而,网关能够根据终端设备的ip地址与终端身份标识之间的对应关系,获得终端设备的终端身份标识,进而在记录日志时,能够将终端身份标识添加到日志中,以在后续基于日志进行溯源时能够溯源到终端设备的终端身份标识。
7、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的sim卡的信息。sim卡信息包括国际移动用户识别码(internationalmobile subscriber identity,imsi)和移动用户号码(mobile subscriber isdn number,msisdn)中的至少一者;和/或终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的国际移动设备识别码(international mobile equipment identity,imei)。imsi、msisdn和imei不易被篡改和仿冒,具有较高的安全性和可靠性,均能唯一够标识一个终端设备。因此,基于imsi/msisdn/imei能够精准地追溯到对应终端设备。
8、第二方面提供一种数据处理方法。该方法包括:认证服务器接收来自于移动网络中的认证设备的认证请求,认证请求携带终端设备的身份信息,认证信息包括终端设备的终端身份标识。终端身份标识能够唯一标识一个终端设备的身份,具有不易被篡改和仿冒的特性。需要说明的是,终端身份标识不为ip地址。终端身份标识也不为mac地址。认证服务器根据认证信息对终端设备认证通过后,向数据网络中的网关发送终端设备的终端身份标识与终端设备的互联网协议ip地址之间的对应关系。从而,网关能够根据对应关系,在基于来自于终端设备的应用访问请求产生的日志中添加终端身份标识。在后续基于日志分析终端的访问行为时,能够根据日志中的终端身份标识实现精准溯源。
9、认证服务器在获取到异常终端设备的终端身份标识后,可以联动网关/移动网络中的设备对异常终端设备进行处置,从而阻断异常终端设备的攻击,提高数据网络的安全性。认证服务器可以是通过日志分析设备获取到异常终端设备的终端身份标识的(由日志分析设备分析日志获得异常终端设备及其终端身份标识)。认证服务器也可以是通过管理人员通过配置或下发指令等方式获得异常终端设备的终端身份标识的(由人工分析日志获得异常终端设备及其终端身份标识)。
10、例如,终端设备通过移动网络与认证服务器连接,认证服务器联动移动网络中的设备对异常终端设备进行处置。移动网络中对异常终端设备进行处置的设备例如为统一数据管理(unified data management,udm)或会话管理功能(session managementfunction,smf),或归属用户服务器(home subscriber server,hss)或分组数据网络网关(packet data network gateway,pgw)等。具体地,该方法还包括:认证服务器接收通知消息,通知消息包括终端设备的终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备,通知消息中的终端身份标识是对日志进行分析获取的;认证服务器向移动网络中的设备发送终端设备的终端身份标识。移动网络中接收认证服务器发送的终端设备的终端身份标识的设备例如为网络开放功能(network exposure function,nef)。通过联动移动网络对异常终端设备进行处置,既能够保证数据网络的安全,又能够提高移动网络的安全。
11、例如,认证服务器联动网关对异常终端设备进行处置。具体地,方法还包括:认证服务器接收通知消息,通知消息包括终端设备的终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备,通知消息中的终端身份标识是对日志进行分析获取的;认证服务器向网关发送终端设备的终端身份标识。
12、例如,认证服务器联动网关对异常终端设备进行处置。具体地,方法还包括:认证服务器接收通知消息,通知消息包括终端设备的终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备,通知消息中的终端身份标识是基于对日志进行分析获取的;认证服务器根据通知消息中的终端身份标识将异常终端设备的连接状态由在线变更为离线;认证服务器向网关发送终端设备变更后的连接状态,以使网关断开与终端设备的连接。
13、在一种可能的实现方式中,终端设备的ip地址为认证服务器对终端设备认证通过后为终端设备分配的。从而,数据网络能够掌握终端设备的ip地址,对终端设备的管理更加灵活。
14、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的用户身份识别模块sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者;和/或终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
15、第三方面提供一种数据处理方法。该方法包括:日志分析设备获取日志,日志为网关根据来自于终端设备的应用访问请求产生的,日志包括终端设备的终端身份标识;日志分析设备分析日志确定访问行为存在异常的终端设备以及访问行为存在异常的终端设备的终端身份标识。由于日志中包括终端身份标识,日志中的终端身份标识能够指示该日志是基于哪个终端设备发出的应用访问请求产生的。从而,日志分析设备分析日志,能够根据日志判断终端设备的访问行为是否存在异常,还能够根据日志获得终端身份标识。对于访问行为存在异常的异常终端设备,能够基于终端身份标识实现精准的追溯和处置。
16、日志分析设备获取日志的方式有多种,例如,可以由网关发送给日志分析设备。或者,日志分析设备从网关读取日志。或者,网关将日志存储到存储服务器,日志分析设备从存储服务器读取日志。
17、日志分析设备分析日志获得异常终端设备的终端身份标识后,可以联动认证服务器/网关/移动网络中的设备对异常终端设备进行处置,从而阻断异常终端设备的攻击,提高数据网络的安全性。
18、在一种可能的实现方式中,日志分析设备联动认证服务器处置异常终端设备。具体地,该方法还包括:日志分析设备向认证服务器发送通知消息,通知消息携带终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。从而,认证服务器能够根据异常终端设备的终端身份标识对异常终端设备进行处理。例如,认证服务器根据终端身份标识将其下线。或者,认证服务器向移动网络中的设备发送异常终端的终端身份标识,以使移动网络中的设备对异常终端设备进行处置。或者,认证服务器向网关发送异常终端设备的终端身份标识,指示网关将异常终端设备下线等。
19、在一种可能的实现方式中,日志分析设备联动网关处置异常终端设备。具体地,该终端设备通过移动网络与网关连接,方法还包括:日志分析设备向移动网络中的设备发送通知消息,通知消息携带终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。
20、在一种可能的实现方式中,日志分析设备联动移动网络中的设备,设备处置异常终端设备。具体地,该方法还包括:日志分析设备向网关发送通知消息,通知消息携带终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。
21、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的用户身份识别模块sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者;和/或终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
22、第四方面提供一种数据处理方法。该方法应用于移动网络中的核心网设备,以在移动网络侧对访问行为存在异常的终端设备进行处置。核心网设备可以为核心网中管理签约信息的设备,例如udm或pgw等,或未来版本的移动网络中的用于管理签约信息的设备。核心网设备也可以为核心网中管理会话的设备,例如smf或pgw等,或未来版本的移动网络中的用于管理会话的设备。该方法包括:核心网设备在获取异常终端设备的终端身份标识后,根据异常终端设备的终端身份标识对异常终端设备进行处理。其中,异常终端设备的终端身份标识来自异常终端访问的数据网络中的设备。异常终端设备通过移动网络连接数据网络。从而,在移动网络侧对异常终端设备进行处置,能够进一步提高数据网络的安全性,保证移动网络和数据网络的安全。
23、在一种可能的实现方式中,核心网设备根据异常终端设备的终端身份标识对异常终端设备进行处理包括:核心网设备根据异常终端设备的终端身份标识拒绝异常终端设备的会话创建请求,会话创建请求用于指示核心网设备创建异常终端设备与数据网络之间的会话。从而,异常终端设备无法访问数据网络,无法向数据网络发起攻击,能够保障数据网络的安全。
24、在一种可能的实现方式中,核心网设备根据异常终端设备的终端身份标识对异常终端设备进行处理包括:核心网设备根据异常终端设备的终端身份标识释放异常终端设备与数据网络之间的会话。从而,异常终端设备无法与数据网络之间的会话连接断开,异常终端设备无法基于会话连接向数据网络发起攻击,能够保障数据网络的安全。
25、在一种可能的实现方式中,核心网设备根据异常终端设备的终端身份标识对异常终端设备进行处理包括:核心网设备根据异常终端设备的终端身份标识解除异常终端设备与数据网络的签约关系。具体而言,udm/hss存储有终端设备签约的数据网络的名称(datanetwork name,dnn)/(access point name,apn),终端设备能够访问签约的数据网络。数据网络向移动网络反馈异常终端设备的终端身份标识以及数据网络的dnn/apn,移动网络中的核心网设备可以根据异常终端设备的终端身份标识以及数据网络的dnn/apn解除异常终端设备与数据网络的签约关系,例如删除异常终端设备的签约信息中的dnn/apn信息。从而后续移动网络不会建立异常终端设备与数据网络之间的会话,因而异常终端设备无法访问数据网络,能够有效地保障数据网络的安全。
26、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者。和/或,终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
27、第五方面提供一种装置。装置应用于网关,装置包括:收发模块,用于接收来自于终端设备的应用访问请求。处理模块,用于根据应用访问请求记录日志,日志包括终端设备的终端身份标识,日志用于分析终端设备的访问行为,以及用于在终端设备的访问行为存在异常时能够确定终端设备的终端身份标识。
28、在一种可能的实现方式中,处理模块,用于获取应用访问请求中的源互联网协议ip地址。处理模块,用于根据源ip地址,以及终端设备的ip地址与终端身份标识之间的对应关系获得终端身份标识。处理模块,用于将终端身份标识添加到基于应用访问请求产生的日志中。
29、在一种可能的实现方式中,收发模块,用于接收通知消息,通知消息包括终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。处理模块,用于根据终端身份标识,以及终端身份标识与ip地址之间的对应关系获得终端设备的ip地址。处理模块,用于阻断源ip地址为终端设备的ip地址的应用访问请求。
30、在一种可能的实现方式中,收发模块,用于接收认证服务器发送的终端设备的终端信息,终端信息包括终端设备的ip地址与终端身份标识之间的对应关系,终端信息为认证服务器对终端设备认证通过后发送的。
31、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者;和/或
32、终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
33、第六方面提供一种装置。该装置应用于认证服务器,装置包括:收发模块,用于接收来自于移动网络中的认证设备的认证请求,认证请求携带终端设备的身份信息,认证信息包括终端设备的终端身份标识。处理模块,用于根据认证信息对终端设备进行认证。收发模块,用于在终端设备认证通过后,向数据网络中的网关发送终端设备的终端身份标识与终端设备的互联网协议ip地址之间的对应关系,以使网关能够根据对应关系,在基于来自于终端设备的应用访问请求产生的日志中添加终端身份标识。
34、在一种可能的实现方式中,收发模块,用于接收通知消息,通知消息包括终端设备的终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备,通知消息中的终端身份标识是对日志进行分析获取的。收发模块,用于向移动网络发送终端设备的终端身份标识。
35、在一种可能的实现方式中,装置还包括:收发模块,用于接收通知消息,通知消息包括终端设备的终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备,通知消息中的终端身份标识是对日志进行分析获取的。认证服务器向网关发送终端设备的终端身份标识。
36、在一种可能的实现方式中,装置还包括:收发模块,用于接收通知消息,通知消息包括终端设备的终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备,通知消息中的终端身份标识是基于对日志进行分析获取的。处理模块,用于根据通知消息中的终端身份标识将异常终端设备的连接状态由在线变更为离线。收发模块,用于向网关发送终端设备变更后的连接状态,以使网关断开与终端设备的连接。
37、在一种可能的实现方式中,终端设备的ip地址为认证服务器对终端设备认证通过后为终端设备分配的。
38、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者;和/或终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
39、第七方面提供一种装置,该装置应用于日志分析设备,装置包括:处理模块,用于获取日志,日志为网关根据来自于终端设备的应用访问请求产生的,日志包括终端设备的终端身份标识。处理模块,拥有分析设备分析日志确定访问行为存在异常的终端设备以及访问行为存在异常的终端设备的终端身份标识。
40、在一种可能的实现方式中,装置还包括:收发模块,用于向认证服务器发送通知消息,通知消息携带终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。
41、在一种可能的实现方式中,装置还包括:收发模块,用于向移动网络中的设备发送通知消息,通知消息携带终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。
42、在一种可能的实现方式中,装置还包括:收发模块,用于向网关发送通知消息,通知消息携带终端身份标识,通知消息中的终端身份标识指示终端设备为访问行为存在异常的设备。
43、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的用户身份识别模块sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者;和/或终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
44、第八方面提供一种装置。装置应用于移动网络中的核心网设备,装置包括:处理模块,用于获取异常终端设备的终端身份标识,异常终端设备的终端身份标识来自异常终端访问的数据网络中的设备,异常终端设备通过移动网络连接数据网络。处理模块,用于根据异常终端设备的终端身份标识对异常终端设备进行处理。
45、在一种可能的实现方式中,处理模块,用于根据异常终端设备的终端身份标识拒绝异常终端设备的会话创建请求,会话创建请求用于指示核心网设备创建异常终端设备与数据网络之间的会话。
46、在一种可能的实现方式中,处理模块,用于根据异常终端设备的终端身份标识释放异常终端设备与数据网络之间的会话。
47、在一种可能的实现方式中,终端身份标识包括用户的身份标识,用户的身份标识包括安装于终端设备的sim卡的信息,sim卡信息包括imsi和msisdn中的至少一者;和/或终端身份标识包括设备的身份标识,设备的身份标识包括终端设备的imei。
48、第九方面提供一种网络系统。该系统包括第四方面或第四方面的任意一种实现方式中的装置,第五方面或第五方面的任意一种实现方式中的装置,第六方面或第六方面的任意一种实现方式中的装置,以及第七方面或第七方面的任意一种实现方式中的装置。
49、第十方面提供一种电子设备。该电子设备包括处理器和存储器,处理器耦接存储器,处理器被配置为基于存储在存储器中的指令,执行第一至第四方面中任一方面的数据处理方法,或第一至第四方面中任一方面的任意一种可能的实现方式中的数据处理方法。
50、第十一方面提供一种计算机可读存储介质。计算机可读存储介质包括指令,当计算机可读存储介质在计算机上运行时,使得计算机执行如第一至第四方面中任一方面的数据处理方法,或第一至第四方面中任一方面的任意一种可能的实现方式中的数据处理方法。
1.一种数据处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述网关根据所述应用访问请求记录日志,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述网关接收终端设备的应用访问请求之前,包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述终端身份标识包括用户的身份标识,所述用户的身份标识包括安装于所述终端设备的用户身份识别模块sim卡的信息,所述sim卡信息包括国际移动用户识别码imsi和移动用户号码msisdn中的至少一者;和/或
6.一种数据处理方法,其特征在于,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述终端设备通过移动网络与所述认证服务器连接;所述方法还包括:
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
9.根据权利要求6至8中任一项所述的方法,其特征在于,所述终端设备的ip地址为所述认证服务器对所述终端设备认证通过后为所述终端设备分配的。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述终端身份标识包括用户的身份标识,所述用户的身份标识包括安装于所述终端设备的用户身份识别模块sim卡的信息,所述sim卡信息包括国际移动用户识别码imsi和移动用户号码msisdn中的至少一者;和/或
11.一种数据处理方法,其特征在于,所述方法包括:
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
13.根据权利要求11所述的方法,其特征在于,所述终端设备通过移动网络与所述网关连接,所述方法还包括:
14.根据权利要求11至13中任一项所述的方法,其特征在于,所述终端身份标识包括用户的身份标识,所述用户的身份标识包括安装于所述终端设备的用户身份识别模块sim卡的信息,所述sim卡信息包括国际移动用户识别码imsi和移动用户号码msisdn中的至少一者;和/或
15.一种数据处理方法,其特征在于,所述方法应用于移动网络中的核心网设备,所述方法包括:
16.根据权利要求15所述的方法,其特征在于,所述核心网设备根据异常终端设备的终端身份标识对所述异常终端设备进行处理包括:
17.根据权利要求15或16所述的方法,其特征在于,所述核心网设备根据异常终端设备的终端身份标识对所述异常终端设备进行处理包括:
18.根据权利要求15至17中任一项所述的方法,其特征在于,所述终端身份标识包括用户的身份标识,所述用户的身份标识包括安装于所述终端设备的用户身份识别模块sim卡的信息,所述sim卡信息包括国际移动用户识别码imsi和移动用户号码msisdn中的至少一者;和/或
19.一种装置,其特征在于,所述装置应用于网关,所述装置包括:
20.根据权利要求19所述的装置,其特征在于,
21.根据权利要求19或20所述的装置,其特征在于,
22.根据权利要求19至21中任一项所述的装置,其特征在于,
23.一种装置,其特征在于,所述装置应用于认证服务器,所述装置包括:
24.根据权利要求23所述的装置,其特征在于,
25.根据权利要求23或24所述的装置,其特征在于,所述装置还包括:
26.根据权利要求23至25中任一项所述的装置,其特征在于,所述终端设备的ip地址为所述认证服务器对所述终端设备认证通过后为所述终端设备分配的。
27.一种装置,其特征在于,所述装置应用于日志分析设备,所述装置包括:
28.根据权利要求27所述的装置,其特征在于,所述装置还包括:
29.根据权利要求27所述的装置,其特征在于,所述装置还包括:
30.一种装置,其特征在于,所述装置应用于移动网络中的核心网设备,所述装置包括:
31.根据权利要求30所述的装置,其特征在于,
32.根据权利要求30或31所述的装置,其特征在于,
33.一种网络系统,其特征在于,所述系统包括如权利要求19至22中任一项所述的装置,权利要求23至26中任一项所述的装置,权利要求27至29中任一项所述的装置,以及权利要求30至32中任一项所述的装置。
34.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述处理器耦接所述存储器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-18中任一项所述的数据处理方法。
35.一种计算机可读存储介质,其特征在于,包括指令,当所述计算机可读存储介质在计算机上运行时,使得所述计算机执行如权利要求1-18中任一项所述的数据处理方法。
