[发明专利]控制终端与网络连接的方法及装置

说明书

本申请提供控制终端与网络连接的方法及装置。该方法包括：终端接收包过滤器，终端丢弃与包过滤器匹配的上行数据包。基于该方案，可实现近源阻断连接(即从终端上阻断连接)，以减少终端到用户面网元的流量交互。相较于现有技术方案，由终端实施流量控制，减少向用户面网元发送的上行数据包，从而可以减轻用户面网元的负担。

技术领域

本申请涉及移动通信技术领域，尤其涉及控制终端与网络连接的方法及装置。

背景技术

在一些业务场景中，有些终端通常实现简单，安全防护差，容易被攻击者攻击，成为攻击者控制的设备。一种攻击的示例是，攻击者可以利用病毒软件快速控制大量的终端，形成自己控制的僵尸网络。当规模达到一定数值，攻击者可以控制这些终端对某个服务器同时发起大量连接，使服务器不堪重负而宕机，造成分布式拒绝服务(Distributed Denialof Service,DDoS)攻击。

目前，一种控制终端攻击的方法是，网络侧检测到某个终端在访问某个网络之间互连的协议(Internet Protocol，IP)地址时存在异常，比如该终端短时间内大量访问该IP地址，疑似攻击行为，则生成控制策略并下发给用户面网元，后续用户面网元在接收到该终端的上行数据包时，根据控制策略对上行数据包进行匹配，若匹配成功，则丢弃该上行数据包，从而阻止该终端访问上述IP地址。

上述方法存在的问题是：当发生DDoS时，出现异常行为的终端的数量多达数万级别，因而造成用户面流量开销非常大。

发明内容

本申请提供控制终端与网络连接的方法及装置，用以减少出现异常行为的终端造成的用户面流量开销。

第一方面，本申请提供一种控制终端与网络连接的方法，包括：终端接收包过滤器；然后，终端丢弃与所述包过滤器匹配的上行数据包。基于该方案，可实现近源阻断连接(即从终端上阻断连接)，以减少终端到用户面网元的流量交互。相较于图背景技术方案，该实施例是由终端实施流量控制，减少向用户面网元发送的上行数据包，从而可以减轻用户面网元的负担。

在一种可能的实现方式中，终端接收包过滤器和指示信息，指示信息用于指示丢弃与所述包过滤器匹配的上行数据包；则终端根据所述指示信息，为所述包过滤器分配特定QFI；然后终端确定所述上行数据包与所述包过滤器匹配，则为所述上行数据包标记上述特定QFI；之后，终端丢弃与所述特定QFI对应的所述上行数据包。基于该方案，为上行数据包标记特定的QFI，后续将会丢弃与该特定QFI对应的上行数据包，实现在终端上控制上行数据包的发送。

在一种可能的实现方式中，上述指示信息为特定5QI，上述特定QFI为所述特定5QI或者上述特定QFI是根据所述特定5QI生成的。

在一种可能的实现方式中，所述终端根据所述指示信息，为所述包过滤器分配特定QFI之后，还可以根据所述包过滤器和所述特定QFI，更新所述终端的QoS规则；在更新后的QoS规则中的包过滤器对应的QFI都是所述特定QFI的情况下，所述终端向接入网设备发送通知信息，所述通知信息用于通知释放PDU会话。由于所有的包过滤器都与该特定QFI对应，因此所有的上行数据包都将会被丢弃，因此终端可以直接释放该PDU会话。

在一种可能的实现方式中，所述终端根据所述指示信息，为所述包过滤器分配特定QFI之后，终端还可以启动定时器；在所述定时器超时后，所述终端发起PDU会话修改流程，请求为所述特定QFI指示的服务质量QoS流分配接入网资源，所述分配的接入网资源用于传输所述QoS流的数据包。如此，可以实现控制在一定时长内，限制上行数据包的发送。

在又一种可能的实现方式中，所述终端接收包过滤器，具体包括：终端从移动性管理网元接收非接入层NAS消息，所述NAS消息包括所述包过滤器。基于该方案，是通过NAS消息将包过滤器发送至终端的。