用于提供通信服务提供方和提供服务的互联网协议IP服务器之间的连接的方法、包括IP服务器的边界网络以及提供服务的IP服务器

摘要

一种为至少一个通信服务提供方提供到边界网络中的互联网协议IP服务器的连接的方法，该IP服务器在公共IP网络上提供服务，所述方法包括步骤：在边界网络中，检测通过公共IP网络到达边界网络的IP业务中的不规则性；在边界网络中，丢弃通过公共IP网络到达边界网络的IP业务，以及在边界网络中，启用至少一个专用IP网络上的位于IP服务器和至少一个通信服务提供方之间的连接，用于IP服务器提供的服务。

说明书

技术领域

本发明总体涉及用于提供至少一个通信服务提供方和IP服务器之间的连接的方法，具体涉及被执行以实现该连接的方法步骤。

背景技术

现如今，消费者和商务越来越依赖于公共互联网服务，例如网上银行、政府网站、信用卡网站等。这种依赖增加了对支持这些服务的网站的稳定可用性的要求。例如，不可用性可能对经济社会造成损害。消费者可能不信任这些基于互联网的服务，这可能影响经济。

这些服务的不可用性可能是由网络故障、支持服务的服务器的故障、服务本身的故障以及第三方对这些服务的攻击引起的。一种可能的攻击类型是(分布式)拒绝服务DDoS。DDoS包括试图暂时或无限期地中断或禁止与公共网络(如互联网)相连的服务器的服务。

从单个源执行DoS攻击，用大量(假冒)业务或查询泛洪目标服务器，使得该服务器变得无法正常操作，并且DDoS攻击本质上是相同类型的攻击，但从多个源同时进行。

DDoS的症状包括但不限于，迟缓或无响应的网络表现以及无响应或不可用的应用和/或服务。

在对特定互联网的DDoS攻击的情形中，当前的一种保护形式是，至少对有问题的服务，暂时阻止特定或全部的进出IP业务。一旦检测到或怀疑有DDoS攻击，就尽快通过服务器或服务宿主的防火墙来激活阻止。

互联网服务可以涉及简单邮件传输协议电子邮件(SMTP)、超文本传输协议(HTTP)、文件传输协议(FTP)、IP电话(VoIP)等。

互联网服务的不可用性还可能由例如以下问题引起，公共互联网 的特定IP路由器或DNS服务器，与IP服务器相连的匿名系统(AS)的IP基础设施中的错误条件，等等。无论不可用性的原因如何，服务器不可用性的结果都是消费者和商务无法访问互联网服务。

现有技术提倡的保护(即一旦检测到DDoS就暂时阻止特定或全部的进出IP业务)保护IP服务器和所提供的服务，但其不提供对不可用性方面的解决方案。至少在DDoS攻击期间，IP服务器和/或提供的服务仍将不可用。

发明内容

本发明的目的是提供一种提供至少一个通信服务提供方和边界网络中的互联网协议IP服务器之间的连接的改进方法，其中，所述IP服务器通过公共IP网络提供服务。

另一个目的是提供一种边界网络，包括提供服务的互联网协议IP服务器，其中，所述边界网络被布置用于支持所述改进方法。

再一个目的是提供一种IP服务器，被布置用于支持为至少一个通信服务提供方提供到IP服务器的连接的改进方法。

在本文的第一方面中，提出一种为至少一个通信服务提供方提供到边界网络中的互联网协议IP服务器的连接的方法，其中所述IP服务器在公共IP网络上提供服务。

所述方法包括以下步骤：在边界网络中，检测通过公共IP网络到达边界网络的IP业务中的不规则性；在边界网络中，丢弃通过公共IP网络到达边界网络的IP业务，以及在边界网络中，启用至少一个专用IP网络上到至少一个通信服务提供方的、用于IP服务器提供的服务的连接。

所述方法基于以下见解，每当检测到到达边界网络的IP业务中的不规则性时，可以保证服务的可用性，即，可以使用至少一个专用网络来启用从IP服务器到至少一个通信服务提供方的连接。

在本发明的上下文中，不规则性包括到达边界网络的IP业务的突然增加，到达边界网络的特定类型请求的突然增加，到达边界网络的IP分组的净载荷的突然增加，来自特定源的IP业务的突然增加，到达 边界网络的IP业务的非期望的持续消失，等等。

专用网络可以是例如公共IP网络上的虚拟专用网络VPN。该VPN使服务器能够经公共IP网络发送和接收IP分组，同时还能够从VPN的功能、安全和管理策略获益，且不受到进出公共互联网的IP业务的临时阻塞的影响。通常通过使用专用链接、加密或二者组合来建立虚拟的点对点连接，由此来使用VPN。

VPN的一个优点是对公共IP网络隐藏网络地址，例如，隐藏IP服务器的IP地址或主机名地址。因此，VPN的网络地址对攻击者而言是未知的，DDoS攻击无法重定向到VPN。

专用网络的另一个示例可以是IP分组交换IPX。IPX包括电信互连基础设施，用于经由基于IP的网络对网络接口，在通信服务提供方之间交换IP业务。

在当前技术下，DDoS攻击无法重定向到IPX连接，因为IPX逻辑和物理上都与公共IP网络完全隔离。IPX对公共IP网络(如互联网)来说不可寻址也不可见。

在本发明的上下文中，通信服务提供方可以是互联网服务提供商(ISP)和移动网络操作方(MNO)中任一个。ISP是例如为用户设备提供对公共IP网络(如互联网)的接入和相关服务的商业或组织。MNO是为其订阅移动用户提供无线语音、数据通信以及互联网连接的电信服务提供商组织。

与通信服务提供方相连的用户设备可以发起通信服务提供方和IP服务器之间的连接。然后，用户设备能够通过通信服务提供方和IP服务器之间的连接来访问IP服务器提供的服务。

对于在边界网络中检测到不规则性(如DDoS攻击)的情形，使用专用IP网络上的连接来提供从UE到服务的访问。由此，用户设备将不再遇到任何问题，例如，与检测到的不规则性有关的服务中断或服务不可用。

边界网络(例如，非军事区网络DMZ和屏蔽的子网网络)通常是与组织的个人网络和公共IP网络分离创建的小型网络。边界网络允许外部用户获得对位于边界网络内的特定服务器的访问权。例如，边界网 络可以包括公司的web服务器，使得可以向公共IP网络发送网络内容。由此，边界网络与公共IP网络和组织的个人网络分离或隔离。

边界网络是和公共IP网络的服务器最靠近的网络。通常，边界网络是IP分组沿途去往公共IP网络所经过的网络之一中的最后一步，相反，也是从公共IP网络进入的IP业务所遇到的第一个网络。

在本发明的上下文中，边界网络还可以仅由IP服务器构成，使得IP服务器被布置为执行根据本发明的任一方法的步骤。

下文中与DoS攻击相关的表述还可适用于DDoS攻击，反之亦然。

示例中，所述边界网络在至少一个专用IP网络上启用位于IP服务器和所述至少一个通信服务提供方之间的、用于IP服务器提供的所述服务的连接包括：建立位于至少一个通信服务提供方和IP服务器之间的至少一个专用IP网络，以及在所建立的至少一个专用IP网络上，针对IP服务器提供的服务来连接至少一个通信服务提供方。

一旦在到达边界网络的IP业务中检测到不规则性，边界网络可以决定自动和/或独立开始建立位于通信服务提供方和IP服务器之间的专用IP网络。发明人指出，不必在检测到不规则性前已经建立专用IP网络。

不在检测到不规则性前建立专用IP网络的优点是，当不使用专用IP网络时，不需要维持或支持通信服务提供方和边界网络之间的专用IP网络。仅当要使用专用IP网络时，即，检测到IP业务中的不规则性时，才维持或支持专用IP网络。

示例中，IP服务器经由包括在IP服务器中的第一公共IP接口，在公共IP网络上提供所述服务，其中，通过包括在IP服务器中的第二IP接口来执行建立至少一个专用IP网络和连接至少一个通信服务提供方的步骤。

发明人深入了解到，不应通过第一公共IP接口来建立专用IP网络，因为该接口正在面对不规则性，例如DDoS攻击。由此，第一公共IP接口上用于建立专用IP网络的任何信令很可能无法成功。由此，使用第二公共IP接口来建立专用IP网络。

在另一个示例中，启用位于IP服务器和至少一个通信服务提供方 之间的连接的步骤包括启用位于至少一个或多个通信服务提供方和IP服务器之间的至少一个预先建立的专用IP网络上的连接。

这里，专用IP网络预先建立在通信服务提供方和边界网络或IP服务器之间。一旦检测到不规则性，则激活预先建立的专用IP网络上的连接，以保护这些网络之间的IP业务。在该情形中，可以事先建立专用IP网络，甚至在一些情形中，可以使用第一公共接口在公共IP网络上建立专用IP网络。其优点是不需要第二公共接口，因为专用IP网络已(事先)建立好。

在又一个示例中，在边界网络中，在至少一个专用IP网络上启用位于边界网络和至少一个通信服务提供方之间的、用于IP服务器提供的服务的连接的步骤包括：启用位于边界网络和包括在至少一个通信服务提供方中的网关通用分组无线服务GPRS支持节点GGSN及分组数据网络网关PDN-Gw中任一项之间的至少一个专用IP网络上的连接。

经由作为连接到通信提供方网络的主接入点的GGSN和PDN-Gw中的任一个，路由来自用户设备的互联网协议分组。由此，即使在对公共互联网上的服务的访问中有不规则性的情形中，例如，对服务的DDoS攻击，这些服务器(即GGSN和PDN-Gw)中任一个与边界网络之间的连接保护了从UE到提供服务的IP服务器之间的访问。

示例中，检测IP业务中的不规则性的步骤包括检测通过公共IP网络到达边界网络的IP业务中的高负载或过载中任一项，以及不存在通过公共IP网络到达边界网络的针对服务的IP业务。

根据本发明，认为DDoS攻击导致了到达边界网络的IP业务中的不规则性。DDoS攻击大体上可以分为三种类型。基于体量的攻击包括：用户数据报文协议UDP泛洪(flood)、互联网控制消息协议ICMP泛洪、以及其他类型泛洪等等。这种攻击的目的是使IP服务器的带宽饱和。其强度一般以每秒比特数来衡量。

协议攻击包括：同步SYN消息泛洪、碎片分组攻击、死亡攻击(Pingof Death)、Smurf DDos等。这种攻击消耗实际的IP服务器资源或者边界网络中的中间通信设备(如防火墙和负载均衡器)的资源。其强度以每秒分组数来衡量。

应用层攻击包括Slowloris、Zero-day DDoS攻击、针对Apache、Windows或OpenBSD弱点的DDoS攻击等。这些攻击由貌似合法且清白的请求组成，其目的是摧毁IP服务器提供的服务，例如web服务。其强度以每秒请求数来衡量。

不规则性的另一特定形式是不存在任何IP业务到达边界网络，或者是到达边界网络的正常IP业务降低。这可能指示公共IP网络中的任何故障，例如服务器宕机。

示例中，丢弃通过公共IP网络到达边界网络的IP业务的步骤包括：在边界网络中放弃、阻止和重定向IP业务中的任一项。

该步骤可以通过包括在边界网络中的防火墙、IP服务器和服务中的任一个来执行。在本发明的上下文中，防火墙是基于软件或硬件的、通过分析IP分组并基于所应用的规则集合来确定是否应运行它们通过，由此控制进出网络的IP业务的网络安全系统。由此，防火墙被布置为在信任的安全内网(即边界网络)和公共IP网络之间建立屏障。

在又一个示例中，在边界网络中，在所述至少一个专用IP网络上启用位于IP服务器和至少一个通信服务提供方之间的、用于IP服务器提供的服务的连接的步骤包括以下步骤：在边界网络中，确定哪些通信服务提供方被订阅到受控安全访问服务，以及在边界网络中，在专用IP网络上启用到各个被订阅的通信服务提供方的、用于IP服务器提供的服务的连接。

在本发明的第二方面中，提出一种边界网络，包括提供服务的互联网协议IP服务器，所述边界网络被布置用于在公共IP网络上为至少一个通信服务提供方提供到IP服务器的连接。

边界网络包括：可操作为检测通过公共IP网络到达边界网络的IP业务中的不规则性的检测器模块；可操作为丢弃通过公共IP网络到达边界网络的IP业务的丢弃器模块；以及可操作为在至少一个专用IP网络上，启用到至少一个通信服务提供方的、用于IP服务器提供的服务的连接的启用器模块。

检测器模块、丢弃器模块和启用器模块可以包括在边界网络的防火墙中、IP服务器中、甚至包括在IP服务器提供的服务中。

示例中，启用器模块还可操作为：建立位于至少一个通信服务提供方和IP服务器之间的至少一个专用IP网络，以及在所建立的至少一个专用IP网络上，连接至少一个通信服务提供方，以用于IP服务器提供的服务。

在另一个示例中，IP服务器经由包括在IP服务器中的第一公共IP接口，在公共IP网络上提供服务，其中，启用器模块可操作为通过包括在IP服务器中的第二IP接口来启用到至少一个通信服务提供方的连接。

在又一个示例中，启用器模块可操作为启用到至少一个通信服务提供方的连接，包括启用的预先建立的专用IP网络上的连接。

在另一个示例中，启用器模块可操作为：启用位于边界网络和包括在至少一个通信服务提供方中的网关通用分组无线服务GPRS支持节点GGSN及分组数据网络网关PDN-Gw中任一项之间的至少一个专用IP网络上的连接。

在又一个示例中，IP业务中的不规则性包括：通过公共IP网络到达边界网络的IP业务中的过载，以及不存在通过公共IP网络到达边界网络的针对服务的IP业务中的任一项。

在再一个示例中，丢弃器模块可操作为：丢弃通过公共IP网络到达边界网络的IP业务，所述丢弃包括在边界网络中丢弃、阻止和重定向IP业务中的任一项。

在又一个示例中，启用器模块可操作为：确定哪些通信服务提供方被订阅到受控安全访问服务，以及在专用IP网络上，启用用于IP服务器提供的服务的、到各个被订阅的通信服务提供方的连接。

在本发明的第三方面中，提出一种提供服务的互联网协议IP服务器，其中所述IP服务器被布置用于在公共IP网络上为至少一个通信服务提供方提供到IP服务器的连接。

所述IP服务器包括：可操作为检测通过公共IP网络到达IP服务器的IP业务中的不规则性的检测器模块；可操作为丢弃通过公共IP网络到达IP服务器的IP业务的丢弃器模块；以及可操作为在至少一个专用IP网络上启用到至少一个通信服务提供方的、用于IP服务器提供的服 务的连接的启用器模块。

互联网协议IP服务器可以包括处理器和存储器，其中存储器包括处理器可执行的指令，由此IP接入点服务器操作为执行上述方法中的任一个。

在本发明的上下文中，模块、设备、装置等还可以实现为在处理器上运行的计算机程序。

作为示例，IP服务器提供的服务可以是web服务，即容宿web站点。

从参考附图的以下描述中将可以最好地理解本发明的上述和其他的特征和优点。在附图中，类似的附图标记表示完全相同的部分或执行完全相同或类似功能或操作的部分。

本发明不限于以下结合特定类型的通信服务提供方或公共IP网络而公开的特定示例。

附图说明

图1是示出根据本发明的拓扑结构的示意图的框图，包括通信服务提供方、公共IP网络和边界网络。

图2是示出根据本发明被布置为通过专用IP网络连接到IP服务器的GGSN的示意图的框图。

图3是示出根据本发明的IP服务器的示意图的框图。

图4是示出根据本发明的拓扑结构的示意图的框图，其中位于通信服务提供方和IP服务器之间的专用IP网络是预先建立的。

图5是示出根据本发明的为至少一个通信服务提供方提供到边界网络中的IP服务器的连接的方法的示意图的信令图。

图6是示出在根据本发明的方法中执行的步骤的示意图的流程图。

具体实施方式

图1是根据本发明的拓扑结构1的示意图，包括通信服务提供方3和8、公共IP网络6和边界网络11。

大多数管理员创建边界网络11以便将他们的防火墙10、14布置在边界网络和外部世界之间，从而他们可以过滤IP分组业务。大多数边 界网络是非军事区DMZ(Demilitarized Zone)的一部分。然而，边界网络11可能具有一些当决定将系统和服务布置在哪里时可能要考虑的附加功用。

边界网络11包括两个防火墙10、14和提供服务的IP服务器12。服务可以是例如网上银行的网站。第一防火墙14用作位于IP服务器12和公共IP网络(即公共互联网6)之间的保护性屏障。第二防火墙10用作位于IP服务器12和通信服务提供方(即移动网络操作方(MNO)8)之间的保护性屏障。

在正常操作期间通过公共互联网6提供服务。第一用户2可能能够经由通信服务提供方(该情形中，互联网服务提供方3)来访问公共互联网6。可以通过互联网服务提供方3中包括的接入点来建立到公共互联网6的连接。

第一用户2能够经由其互联网服务提供方3和公共互联网6，访问5由IP服务器12提供的服务。该示例中，任何进出业务都需要经过包括在边界网络11中的第一防火墙14。

第二用户7连接到以移动网络操作方8的形式的通信服务提供方。可以通过移动网络操作方8中包括的网关通用分组无线服务GPRS支持节点GGSN来建立该连接。GGSN为其相连的用户设备(例如第二用户7)提供互联网连接性。

第二用户7对IP服务器12提供的服务的访问4被布置为与第一用户2相似的方式，即，经由移动网络操作方8和公共互联网6到边界网络11。

边界网络11可以是非军事区DMZ。DMZ通常被认为是用于保护局域网使其与互联网6隔开的防火墙配置。该示例示出了仅包括一个IP服务器12的简化边界网络11。边界网络可以包括提供多个服务的多个IP服务器和多个防火墙。为简化起见，边界网络11中仅包括一个服务器。

在根据本发明的另一个示例中，IP服务器12自身可以形成边界网络11。由此，防火墙14、10可以包含在IP服务器12中。

第一防火墙14包括允许IP服务器12向边界网络外的程序、系统服务、服务器和/或用户发送业务和从它们接收业务的规则。通常，可以创建允许IP分组到达防火墙和阻止IP分组到达防火墙的防火墙规则。

该示例中，第一防火墙14被设置为允许与IP服务器12提供的服务(即，网上银行的网站)相关的所有进出业务。

边界网络11的第一防火墙14被布置为检测到达边界网络11的IP业务中的不规则性，例如，分布式拒绝服务(DDoS)攻击13的形式。

存在很多不同类型的DDoS攻击，每种DDoS攻击都针对过载状况，例如，IP服务器12的带宽饱和、IP服务器12的资源饱和、IP服务器12提供的服务的崩溃或其组合。

一旦检测DDoS攻击13，防火墙14就可以采取措施，以获得边界网络将丢弃15通过公共IP网络6到达边界网络11的任何IP业务的效果。在本发明的上下文中，丢弃可以包括忽略、阻止、放弃、拒绝或重定向到达的IP业务。

然后，边界网络11被布置为在专用IP网络9上启用用于IP服务器提供的服务的、到移动网络操作方8的连接。

该安全连接可能涉及IP分组交换(IPX)或虚拟专用网络(VPN)。IPX例如是用于保护移动网络操作方之间的IP通信的IP基础设施。在针对特定互联网服务(如Web服务)的DDoS攻击13的情形中，移动网络操作方8可以通过IPX来启用到该互联网服务的防问。然后，互联网服务将具有到IPX的操作连接，IP服务器12将能够经由其到IPX的连接来接受web服务的超文本传输协议(HTTP)业务。

另一种选择是，针对特定互联网服务，在移动网络操作方8和边界网络11或IP服务器12之间预先建立VPN隧道。在web服务的情形中，一旦启用和激活VPN隧道，就将接受经过VPN隧道的HTTP业务。

图2是根据本发明被布置为通过专用IP网络41连接到IP服务器的GGSN 33的示意图。

这里，GGSN 33包括被布置为与用户设备(UE)发送接收IP分组的第一IP接口32，所述UE具有到GGSN 33的功能连接。经由第一IP接口32，从UE接收访问IP服务器提供的特定服务的进入请求。

根据本发明，分组传输业务逻辑34被布置用于确定应通过正常连接40还是专用IP网络41来发送该请求。在正常操作期间，从IP服务器接收或向其发送的任何IP分组都以正常路由行进，即经由公共IP网络 37，如互联网。

在该示例中，一旦IP服务器或IP服务器所在的边界网络检测到进出IP业务中的不规则性，就可以决定停止激活其到互联网37的公共连接。

由此，位于IP服务器和GGSN 33之间的互联网37上的正常连接40将不再可用，因为IP服务器将不处理正常连接40上的任何IP分组。

在该情形中，IP服务器可以决定启用位于GGSN 33和IP服务器之间的专用IP网络41上的第二连接42。该示例中，专用IP网络41是虚拟专用网络(VPN)41。

VPN使用公共IP网络37、39来支持数据通信。大多数VPN实现使用互联网作为公共IP网络，并使用各种专门协议来支持经过互联网的专用通信。VPN符合客户端服务器方案。VPN服务器对用户进行认证，加密数据，并使用隧道(tunneling)技术来管理与VPN服务器的会话。

可以通过IP服务器或边界网络或者通过GGSN 33来建立或发起VPN。图2同时示出了正常连接40和通过GGSN 33的第二IP接口36来处理的第二连接42。GGSN 33还可以配备防火墙35以确定是否应当允许发送或接收任何IP分组。

该示例中，虽然在检测不规则性前建立VPN 41，但在IP服务器的正常操作期间不使用VPN 41。一旦IP服务器或边界网络检测到导致对IP服务器资源的突发性增长需求的不规则性，就启用(即激活)VPN 41，使得IP服务器提供的服务经由VPN 41而可用，并禁用正常连接40。

图3是根据本发明的IP服务器51的示意图。IP服务器51被布置为通过公共连接55(即互联网连接)提供服务66。经由公共连接55向用户设备提供对服务66的访问。

IP服务器51包括处理单元64和存储器65，其中处理单元64连接到接收器模块59、发送器模块63、启用器模块60、受控安全访问服务61和服务模块66。

任何进出IP业务都经过输入/输出(I/O)、端口56和防火墙57。防火墙包括被布置为检测到达IP服务器51的IP业务中的不规则性的检测器模块54。不规则性可能与DDoS攻击有关，其中，从多个主机向IP服 务器51发送海量分组，目的是使IP服务器51过载。

IP服务器51过载的效果可能是，经由服务模块66具有或请求对服务的访问的任何用户设备经受到来自IP服务器51的缓慢响应或没有响应。在这种情形中，IP服务器51的资源可能被DDoS攻击的处理(即，I/O端口56处接收的IP分组)占据。

在检测器模块54检测到不规则性的情形中，丢弃器模块58可以决定丢弃在I/O端口56处接收的任何或所有IP业务。这可以通过例如使接收器模块59和防火墙57功能断开，使防火墙57和I/O端口56功能断开，或者丢弃防火墙57接收的任何到达IP分组来实现。

然后，启用器模块60可操作为启用专用IP网络上的一个或多个第二连接52，以确保相连的UE能够具有到服务模块66提供的服务的连续访问，或者获得到该服务的访问。

启用器模块60可以决定仅启用专用IP网络上到订阅至受控安全访问服务61的通信服务提供方的第二连接52。

该示例中，通过第二连接52发送的IP分组经过第二I/O端口53并被第二防火墙62允许或拒绝。

图4是根据本发明的网络拓扑结构81的示意图，其中位于通信服务提供方83和IP服务器91之间的专用IP网络87是预先建立的。

IP服务器91在正常操作条件期间监视所提供的服务到公共IP网络(即互联网82)的访问的操作状态。该监视可以通过例如防火墙89或IP服务器91来执行。

该示例中，建立但不使用VPN隧道87，即将其置于静止状态。在VPN隧道87的建立期间，GGSN 84或PDN-Gw各自获得互联网地址(如IP地址或主机名地址)，其中所述IP地址可以用于与IP服务器91提供的服务的通信。

VPN隧道87的静止状态造成GGSN 84和IP服务器91提供的服务针对任何IP数据业务都不使用VPN隧道87。甚至可以在检测到不规则性前使用VPN隧道87，用于正常信号发送，例如，保持VPN隧道87活跃。

经由IP服务器91的防火墙89，通过公共互联网82并经由GGSN 86的防火墙86，IP服务器91和GGSN 84之间的通信88就绪。

可能存在多个通信服务提供方83，所述通信服务提供方具有被建立为到IP服务器91的VPN隧道。示例中，允许多个移动网络操作方建立与IP服务器91的VPN隧道87，但不允许互联网服务提供方这么做。

在检测到边界网络90中的不规则性后，例如由防火墙89或IP服务器91，将使用VPN隧道87以用于IP业务。IP服务器91可以确定可通过VPN隧道87发送和接收用于其提供的服务的IP分组。此外，为与通信服务提供方进行通信，IP服务器91还可以确定允许使用例如其他类型协议的其他类型服务使用VPN隧道87。

图5是根据本发明的为至少一个通信服务提供方104提供到边界网络113中的IP服务器114的连接的方法的示意图。这里，用户设备102发起在IP服务器114处加载网页的请求124。请求124包括IP服务器114的标识或地址，例如IP地址或主机名地址。

由于GGSN 103是通信服务提供方104中与UE 103通信的第一网络服务器(即，用于向/从分组数据网络发送/接收的数据业务)，GGSN 103接收该请求。由此，在该示例中，通信服务提供方104是移动网络操作方。

针对其所有相连的E 102，GGSN 103可以执行不同类型的策略处理，例如IP地址指派、认证和计费功能、分组路由和传输。

然后，GGSN 103将用于加载网页124的接收请求转发123至公共IP网络，即互联网106。在UE 102发起的用于在IP服务器114处加载网页的请求中涉及到互联网106中包括的多个服务器109、122。这些服务器109、122被布置为将从GGSN 103接收的请求123转发107、110至IP服务器114。

该示例中，IP服务器114位于边界网络113中。边界网络113是屏蔽或被保护而与互联网106隔开的网络。边界网络113包括防火墙112，对于边界网络113处的所有进入业务而言，所述防火墙112被认为是边界网络113中的第一入口点。

因此，首先由防火墙112接收在边界网络113处加载网页的进入请求110。防火墙包括用于确定是否允许边界网络113处的/来自边界网络113的任何进出业务的规则集合。

这里，防火墙112被设置为允许涉及IP服务器114提供的服务(即网页)的所有进出IP业务。由此，防火墙112允许用于加载网页的请求110，并将该请求转发115至IP服务器114。

IP服务器114被布置为基于接收115的请求，以例如“home.html”文件的形式提供网页。经由相同的路由，即经由防火墙112，互联网106中包括的中间服务器109、122，到移动网络操作方104中包括的GGSN103，最后到UE 102，向UE提供“home.html”文件，如附图标记116、111、108、120和121所示。

在UE 102加载完整的内容以前，重复多次用于加载网页的上述简要处理，即，UE多次发起对网页内容访问的请求。

该示例中，在加载网页的处理期间，位于互联网106中的服务器发起DDoS攻击119。互联网中的多个服务器可以同时发起DDoS攻击119。所示出的DDoS攻击119造成上述多个服务器向IP服务器114和/或IP服务器114提供的服务(即网页)发送海量IP分组。DDoS攻击119的意图是务使IP服务器114提供的服务不再可用。

防火墙112被布置为，一旦检测到DDoS攻击119，至少暂时阻止进出互联网106的特定或所有IP业务，从而保护IP服务器114和提供的服务。

发明人找到针对DDoS攻击期间服务不可用方面的解决方案。其指出，边界网络113应在至少一个专用IP网络(即，VPN 117)上启用用于IP服务器114提供的服务的、到移动网络操作方104的连接118。

由此，不仅IP服务器114和IP服务器114提供的服务被保护而不受到DDoS攻击119，还经由专用IP网络(即，VPN 117，例如虚拟专用网络)保证UE 102对服务的访问。

该示例示出了在GGSN 103和IP服务器114之间预先建立VPN隧道105。然而，一旦检测到DDoS攻击119，就启用VPN 117，即启用以用于GGSN 103和IP服务器114之间的通信。

图6是示出在根据本发明的方法中执行的步骤的示意图的流程图130。

在第一个步骤中，边界网络(具体地，包括在边界网络中的防火 墙)被布置为检测131到达边界网络的IP业务中的不规则性。例如，不规则性可以是到达边界网络的IP业务中的过载，或者没有IP业务到达边界网络。

没有IP业务到达边界网络可能指示基础设施(如互联网)中存在故障。这种故障可能导致IP分组不能到达边界网络。

然后，防火墙丢弃132通过互联网到达边界网络的IP业务。IP业务的丢弃132还可以包括丢弃、阻止和重定向IP业务中的任一项。

接下来，确定哪些通信服务提供方被订阅133到受控安全访问服务。该订阅指示通信服务提供方是值得信任的，使得可以建立这些被订阅的通信服务提供方和IP服务器之间的专用IP网络，或者当在各个通信服务提供方和边界网络之间预先建立该专用IP网络时，可以激活该专用IP网络。

然后，在IP服务器和被订阅的通信服务提供方之间实际建立134专用IP网络，通过建立的专用IP网络，将这些通信服务提供方和IP服务器提供的服务相连135。

本发明的优点是，在检测到不规则性(如DDoS攻击)后，提供位于IP服务器和通信服务提供方之间的有用连接。由此，仍然可以访问IP服务器提供的服务。

使用专用IP网络来启用IP服务器和通信服务提供方之间的连接的优点是，该专用IP网络和公共IP网络阻断，从而DDoS攻击无法定向到专用IP网络。

本发明不限于以上公开的实施例，并且本领域技术人员在不脱离所附权利要求中所公开的本发明范围的前提下，不必应用创造性技术，可以对本发明进行修改和增强。