專利名稱:一種無線局域網接入關口及其實現保障網絡安全的方法
技術領域:
本發(fā)明涉及網絡安全技術,特別是指一種無線局域網(WLAN)接入關口以及利用該WLAN接入關口實現保障網絡安全的方法。
背景技術:
由于用戶對無線接入速率的要求越來越高,無線局域網(WLAN,WirelessLocal Area Network)應運而生,它能在較小范圍內提供高速的無線數據接入。無線局域網包括多種不同技術,目前應用較為廣泛的一個技術標準是IEEE802.11b,它采用2.4GHz頻段,最高數據傳輸速率可達11Mbps,使用該頻段的還有IEEE 802.11g和藍牙(Bluetooth)技術,其中,802.11g最高數據傳輸速率可達54Mbps。其它新技術諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段,最高傳輸速率也可達到54Mbps。
盡管有多種不同的無線接入技術,大部分WLAN都用來傳輸因特網協議(IP)分組數據包。對于一個無線IP網絡,其采用的具體WLAN接入技術對于上層的IP一般是透明的。其基本的結構都是利用接入點(AP)完成用戶終端的無線接入,通過網絡控制和連接設備連接組成IP傳輸網絡。
隨著WLAN技術的興起和發(fā)展,WLAN與各種無線移動通信網,諸如GSM、碼分多址(CDMA)系統(tǒng)、寬帶碼分多址(WCDMA)系統(tǒng)、時分雙工-同步碼分多址(TD-SCDMA)系統(tǒng)、CDMA2000系統(tǒng)的互通正成為當前研究的重點。在第三代合作伙伴計劃(3GPP)標準化組織中,用戶終端可以通過WLAN的接入網絡與因特網(Intemet)、企業(yè)內部互聯網(Intranet)相連,還可以經由WLAN接入網絡與3GPP系統(tǒng)的歸屬網絡或3GPP系統(tǒng)的訪問網絡連接,具體地說就是,WLAN用戶終端在本地接入時,經由WLAN接入網絡與3GPP的歸屬網絡相連,如圖2所示;在漫游時,經由WLAN接入網絡與3GPP的訪問網絡相連,3GPP訪問網絡中的部分實體分別與3GPP歸屬網絡中的相應實體互連,比如3GPP訪問網絡中的3GPP認證授權計費(AAA)代理和3GPP歸屬網絡中的3GPP認證授權計費(AAA)服務器;3GPP訪問網絡中的無線局域網接入關口(WAG)與3GPP歸屬網絡中的分組數據關口(PDG,Packet DataGateway)等等,如圖1所示。其中,圖1、圖2分別為漫游情況下和非漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的組網結構示意圖。
參見圖1、圖2所示,在3GPP系統(tǒng)中,主要包括歸屬簽約用戶服務器(HSS)/歸屬位置寄存器(HLR)、3GPP AAA服務器、3GPP AAA代理、WAG、分組數據關口、計費關口(CGw)/計費信息收集系統(tǒng)(CCF)及在線計費系統(tǒng)(OCS)。用戶終端、WLAN接入網絡與3GPP系統(tǒng)的所有實體共同構成了3GPP-WLAN交互網絡,此3GPP-WLAN交互網絡可作為一種無線局域網服務系統(tǒng)。其中,3GPP AAA服務器負責對用戶的鑒權、授權和計費,對WLAN接入網絡送來的計費信息收集并傳送給計費系統(tǒng);分組數據關口負責將用戶數據從WLAN接入網絡到3GPP網絡或其他分組網絡的數據傳輸;計費系統(tǒng)主要接收和記錄網絡傳來的用戶計費信息,還包括OCS根據在線計費用戶的費用情況指示網絡周期性的傳送在線費用信息,并進行統(tǒng)計和控制。
目前,WLAN用戶終端在接入WLAN網絡后沒有明確的限制規(guī)則,這樣,無論當前接入的用戶是否簽約了公眾陸地移動網(PLMN)中基于分組交換(PS)域的業(yè)務,都可以隨便通過WAG發(fā)送消息到PLMN核心網絡,這種情況對于運營網是非常不利的,因為有很多數據可能是多余的或非法的,因此不僅會增加不必要的網絡負荷,而且不利于整個網絡的安全管理和正確計費;同樣,也存在網絡向用戶終端發(fā)送用戶不需要的冗余信息或非法信息的現象,這也會給用戶帶來不必要的干擾和煩惱,還有可能威脅合法用戶設備的安全。那么,如何避免非法信息對網絡和合法用戶設備的干擾與威脅,迄今為止還未提出具體的解決方案。
發(fā)明內容
有鑒于此,本發(fā)明的主要目的在于提供一種無線局域網接入關口,使其在保證自身功能實現的基礎上,能進一步對接收到的數據進行過濾,避免非法消息的接入,從而提高PLMN網絡和合法用戶設備的安全,減輕PLMN網絡和合法用戶設備的負荷。
本發(fā)明另一目的在于提供一種利用無線局域網接入關口實現保障網絡安全的方法,使其能對數據包進行甄別、過濾和屏蔽處理,最大限度地避免非法消息對網絡運營的干擾與威脅,進而保障網絡的安全可靠性,并降低網絡負荷。
為達到上述目的,本發(fā)明的技術方案是這樣實現的一種無線局域網接入關口,包括用于強制控制傳輸路由的強制路由模塊和收集計費信息的計費模塊,強制路由模塊接收經由無線局域網接入關口發(fā)送的數據包,經路由強制處理,并經計費模塊進行計費信息收集后,輸出至無線局域網的業(yè)務認證授權單元或分組數據關口或用戶終端;該接入關口進一步包括消息過濾模塊,用于獲取和存儲規(guī)則數據并對當前經過的數據包進行甄別、過濾和屏蔽;該消息過濾模塊與強制路由模塊和計費模塊相連,接收待處理的數據包,并輸出經過過濾屏蔽處理的數據包。
其中,所述消息過濾模塊的一端為無線局域網接入關口的輸入輸出端,另一端連接強制路由模塊的輸入,所述消息過濾模塊通過強制路由模塊與計費模塊間接相連;所述待處理的數據包為來自或發(fā)往WLAN接入網的數據包。
或者,所述消息過濾模塊的輸入與強制路由模塊的輸出相連,所述消息過濾模塊的輸出與計費模塊的輸入相連;所述待處理的數據包為由強制路由模塊進行強制路由處理后的數據包。
上述方案中,所述消息過濾模塊進一步包括規(guī)則配置部分,用于存儲靜態(tài)配置的規(guī)則數據;規(guī)則協商部分,用于與無線局域網中的網絡單元協商并存儲動態(tài)更新的規(guī)則數據;規(guī)則實施部分,用于對數據包按規(guī)則數據進行處理;規(guī)則配置部分、規(guī)則協商部分同時與規(guī)則實施部分相連,規(guī)則實施部分接收待處理數據包,并從規(guī)則配置部分或規(guī)則協商部分獲取規(guī)則數據,輸出按規(guī)則數據處理后的數據包。
所述消息過濾模塊進一步與業(yè)務認證授權單元、或分組數據關口、或業(yè)務認證授權單元和分組數據關口相連。其中,所述業(yè)務認證授權單元為認證授權計費服務器。
一種利用無線局域網接入關口實現保障網絡安全的方法,該方法包括無線局域網接入關口接收用戶終端經由WLAN接入網發(fā)來的數據包或經由WLAN接入網發(fā)向用戶終端的數據包,然后從當前收到的數據包中提取出非加密信息,并將所獲取的非加密信息與自身當前存儲的規(guī)則數據進行匹配,判斷是否匹配成功,如果匹配成功,則拒絕將當前所收到的數據包繼續(xù)傳輸;否則,向目的地址繼續(xù)轉發(fā)當前所收到的數據包。
該方法進一步包括預先在無線局域網接入關口中配置允許數據包通過的規(guī)則數據。
或者,該方法進一步包括無線局域網接入關口根據無線局域網中認證授權計費服務器、或分組數據關口的指示或協商更新自身存儲的規(guī)則數據。
上面所述的方法中,所述的非加密信息為源IP地址、或目的IP地址、或端口地址、或介質訪問控制地址、或消息標識、或消息名、或TCP端口號、或隧道標號、或隧道類型、或上述信息的任意組合。
本發(fā)明所提供的一種無線局域網接入關口及其實現保障網絡安全的方法,具有以下的優(yōu)越之處1)由于在現有的WAG中增加了消息過濾功能模塊,由該模塊完成對各種數據包是否能進入網絡的判定,并且,由于該WAG在網絡中處于數據接入的關鍵位置,所以,本發(fā)明的方案能最大限度地避免非法消息對網絡和合法用戶設備的干擾與威脅,從而保障網絡的安全可靠性,并降低網絡負荷,對實現網絡安全運營是非常重要的。
2)由于本發(fā)明設置于WAG中的各種判定規(guī)則能實時根據需要預先配置或動態(tài)協商更新,因此更能提高保障網絡安全的性能,且實現靈活多樣。
3)由于本發(fā)明主要利用現在已有的接入關口設備完成對數據包的過濾功能,對原有網絡結構和處理過程基本沒有改變,所以對整個網絡影響極其微小,并且,實現簡單、方便。
圖1為漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的網絡結構示意圖;圖2為非漫游情況下WLAN系統(tǒng)與3GPP系統(tǒng)互通的網絡結構示意圖;圖3為本發(fā)明中WAG組成結構的一實施例示意圖;圖4為本發(fā)明中WAG組成結構的另一實施例示意圖;圖5為本發(fā)明方法的實現流程圖。
具體實施例方式
下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明。
考慮到WAG在無線局域網中所處的關鍵位置,本發(fā)明的基本思想就是在WAG中設置消息過濾機制,按照靜態(tài)配置或動態(tài)更新的規(guī)則數據,實現對經過WAG的數據包的甄別、過濾和屏蔽,以保證最大限度地防止非法消息對運營網絡以及合法用戶設備的干擾與威脅,從而保障網絡和合法用戶設備雙方的安全可靠性,同時還可降低網絡或合法用戶設備的負荷。這里所述的數據包包括封裝好的傳輸數據和控制信令。
本發(fā)明所述的WAG主要包括強制路由模塊、計費模塊和消息過濾模塊,其中,強制路由模塊用于強制將當前經過WAG的數據包的傳輸路由設置為指定路由,計費模塊用于對經過WAG的數據包收集計費信息,這兩個模塊為WAG的原有模塊。消息過濾模塊為本發(fā)明新加入的功能模塊,主要用于獲取和存儲規(guī)則數據并對經過WAG的數據包進行甄別、過濾和屏蔽,該消息過濾模塊與已有的強制路由模塊和計費模塊之間存在兩種連接關系一種連接關系如圖3所示,從WLAN接入網發(fā)送過來的數據包或經過WAG發(fā)向WLAN接入網的數據包進入WAG 30后,首先進入消息過濾模塊301,由消息過濾模塊301對當前收到的數據包根據自身當前存儲的規(guī)則數據進行甄別過濾,判斷是否允許當前收到的數據包通過,是否需要對該數據包進行屏蔽,然后再將經過過濾處理的數據包發(fā)至強制路由模塊302,由強制路由模塊302判斷是否需要將該數據包的傳輸路由強制修改,最后再由計費模塊303對經過WAG的有效數據包進行計費信息收集。
這種情況下,消息過濾模塊301會與WLAN接入網相連,同時可能與分組數據關口、或AAA代理、或AAA服務器、或三者的組合相連。
另一種連接關系如圖4所示,從WLAN接入網發(fā)送過來的數據包或經過WAG發(fā)向WLAN接入網的數據包進入WAG 30后,首先進入強制路由模塊302,由強制路由模塊302判斷是否需要將該數據包的傳輸路由強制修改,然后將經過路由強制處理的數據包送入消息過濾模塊301,由消息過濾模塊301對當前收到的數據包根據自身當前存儲的規(guī)則數據進行甄別過濾,判斷是否允許當前收到的數據包通過,是否需要對該數據包進行屏蔽,最后再由計費模塊303對經過WAG的有效數據包進行計費信息的收集。
根據所完成功能的不同,所述消息過濾模塊可進一步劃分為規(guī)則配置部分,用于存儲靜態(tài)配置的規(guī)則數據,該靜態(tài)配置的規(guī)則數據可以是預先配置的;規(guī)則協商部分,用于與WLAN網絡中的其他網絡單元協商獲取并存儲動態(tài)更新的規(guī)則數據;規(guī)則實施部分,用于對當前收到的數據包按自身當前存儲的規(guī)則數據進行處理。其中,規(guī)則配置部分、規(guī)則協商部分同時與規(guī)則實施部分相連,規(guī)則實施部分接收待處理的數據包,并從規(guī)則配置部分或規(guī)則協商部分獲取WAG當前具有的規(guī)則數據,之后,將按規(guī)則數據處理后的數據包輸出。這里,規(guī)則協商部分可以進一步與無線局域網中的業(yè)務授權單元,如AAA服務器相連,還可以與分組數據關口相連,以便隨時與AAA服務器、分組數據關口進行協商,獲取并更新WAG中存儲的規(guī)則數據,或是根據AAA服務器、分組數據關口等網絡設備的指示更新當前存儲的規(guī)則數據。這里所述的更新包括增加、刪除、修改等操作。
當消息過濾模塊采用第一種連接關系與強制路由模塊連接時,該消息過濾模塊中的規(guī)則實施部分需要作為無線局域網接入關口的輸入輸出端,一方面與WLAN接入網相連;另一方面可能與分組數據關口、或AAA代理、或AAA服務器、或三者的組合相連。如果需要由用戶終端進行規(guī)則配置,規(guī)則配置部分或規(guī)則協商部分也會與WLAN接入網相連。
如圖5所示,本發(fā)明方法的具體實現過程包括以下步驟步驟501WAG接收WLAN用戶終端經由WLAN接入網發(fā)來的數據包或要發(fā)往WLAN接入網的數據包,并從當前收到的數據包中提取出非加密信息。
這里,所述的非加密信息是指IP包頭信息;或是IP包中所封裝的各種協議頭信息,比如傳輸協議頭、隧道協議頭等等;或是上述信息的組合。具體地說,IP包頭包括源IP地址、目的IP地址、端口地址、介質訪問控制(MAC)地址;IP包內的未加密信息包括消息標識、消息名、UDP/TCP端口號、隧道標號、隧道類型。WAG可以先解析IP包頭,再進一步解析IP包內未加密信息。
步驟502WAG將步驟501所獲取的非加密信息與自身當前存儲的規(guī)則數據進行匹配。
這里,所述WAG自身當前的存儲的規(guī)則數據有多種獲取途徑,比如預先靜態(tài)設置;或是WAG隨時與AAA服務器、分組數據關口等其他網絡單元協商獲?。换蛑苯咏邮蹵AA服務器、分組數據關口等網絡單元的指示來更新當前存儲的規(guī)則數據;也可能由用戶終端來配置。
步驟503~505判斷是否匹配成功,如果匹配成功,則拒絕將當前所收到的數據包繼續(xù)傳輸;否則,允許當前所收到的數據包繼續(xù)傳輸。實際本步驟就是判斷當前處理的數據包是否符合傳輸要求,比如是否來自某地址,是否去往某地址,是否為合法的隧道類型,是否為授權隧道標識等等。
實施例一一個3GPP-WLAN交互網絡中,用戶終端的外部IP地址由PLMN分配,用戶終端到PDG的隧道協議采用L2TP/IPSEC;在本發(fā)明所述具有消息過濾模塊的WAG中,設置如下規(guī)則1)源IP地址屬于10.11.30.XX地址段的消息,不允許通過本WAG。
2)源IP地址屬于10.11.31.XX地址段的消息,如果目的地址不是127.11.20.1X不允許通過本WAG。
其中,規(guī)則1)可以防止某些沒有權限的某組地址源,發(fā)送不必要的信息到WLAN網絡中;規(guī)則2)可進一步詳細的規(guī)定,某組地址源只允許發(fā)送信息到某些目的地址,比如這些地址源只能享用某些PDG提供的服務,只能發(fā)送信息到指定的PDG,否則就作為無效信息過濾,如此就能夠更大限度地避免無效消息進入WLAN網絡。
那么,對于規(guī)則1),WAG當前收到數據包后,先提取出該數據包中的源IP地址信息;然后判斷提取出的源IP地址是否屬于10.11.30.XX地址段,如果屬于,則不允許通過,也就是說,本WAG不再繼續(xù)傳輸或處理該數據包。如果不屬于,則本WAG會繼續(xù)傳輸或處理該數據包。
對于規(guī)則2),WAG當前收到數據包后,先提取出該數據包中的源IP地址信息和目的IP地址信息;然后判斷提取出的源IP地址是否屬于10.11.30.XX地址段,如果不屬于,則不允許通過,也就是說,本WAG不再繼續(xù)傳輸或處理該數據包;如果屬于,再繼續(xù)判斷目的IP地址是否不是127.11.20.1X,如果不是,則不允許通過,也就是說,本WAG不再繼續(xù)傳輸或處理該數據包;如果是,則本WAG會繼續(xù)傳輸或處理該數據包。
在本實施例中,還可以進一步分析IP頭后面的規(guī)則如果IP內部緊接著采用的不是L2TP隧道,或不是隧道建立協商消息,則拒絕傳輸當前收到的消息。當然,也可以設置允許其他某種隧道,比如允許GRE隧道協議消息繼續(xù)傳輸;或同時允許幾種特定隧道協議。
本發(fā)明中所有靜態(tài)設置的規(guī)則通常是針對用戶群的,不是針對某個用戶的。
實施例二除靜態(tài)設置規(guī)則數據之外,還可以進行動態(tài)的規(guī)則數據設置,動態(tài)設置可以是針對用戶群的,也可以是針對單個用戶的。
舉個典型的應用實例,當用戶被授權接入某個PDG后,WLAN網絡下發(fā)規(guī)則數據到WAG,允許從當前被授權用戶對應的源地址向某個PDG地址發(fā)送的信息通過WAG,具體可以通過對IP地址、隧道編號的判斷來執(zhí)行所述規(guī)則,具體的判斷匹配過程與實施例一基本相同。在本實施例中,同樣可進一步檢查隧道協議封裝是否合法,消息類型是否合法等等。
以上所述,僅為本發(fā)明的較佳實施例而已,并非用來限定本發(fā)明的保護范圍。
權利要求
1.一種無線局域網接入關口,包括用于強制控制傳輸路由的強制路由模塊和收集計費信息的計費模塊,強制路由模塊接收經由無線局域網接入關口發(fā)送的數據包,經路由強制處理,并經計費模塊進行計費信息收集后,輸出至無線局域網的業(yè)務認證授權單元或分組數據關口或用戶終端;其特征在于,該接入關口進一步包括消息過濾模塊,用于獲取和存儲規(guī)則數據并對當前經過的數據包進行甄別、過濾和屏蔽;該消息過濾模塊與強制路由模塊和計費模塊相連,接收待處理的數據包,并輸出經過過濾屏蔽處理的數據包。
2.根據權利要求1所述的無線局域網接入關口,其特征在于,所述消息過濾模塊的一端為無線局域網接入關口的輸入輸出端,另一端連接強制路由模塊的輸入,所述消息過濾模塊通過強制路由模塊與計費模塊間接相連;所述待處理的數據包為來自或發(fā)往WLAN接入網的數據包。
3.根據權利要求1所述的無線局域網接入關口,其特征在于,所述消息過濾模塊的輸入與強制路由模塊的輸出相連,所述消息過濾模塊的輸出與計費模塊的輸入相連;所述待處理的數據包為由強制路由模塊進行強制路由處理后的數據包。
4.根據權利要求1、2或3所述的無線局域網接入關口,其特征在于,所述消息過濾模塊進一步包括規(guī)則配置部分,用于存儲靜態(tài)配置的規(guī)則數據;規(guī)則協商部分,用于與無線局域網中的網絡單元協商并存儲動態(tài)更新的規(guī)則數據;規(guī)則實施部分,用于對數據包按規(guī)則數據進行處理;規(guī)則配置部分、規(guī)則協商部分同時與規(guī)則實施部分相連,規(guī)則實施部分接收待處理數據包,并從規(guī)則配置部分或規(guī)則協商部分獲取規(guī)則數據,輸出按規(guī)則數據處理后的數據包。
5.根據權利要求4所述的無線局域網接入關口,其特征在于,所述消息過濾模塊進一步與業(yè)務認證授權單元、或分組數據關口、或業(yè)務認證授權單元和分組數據關口相連。
6.根據權利要求5所述的無線局域網接入關口,其特征在于,所述業(yè)務認證授權單元為認證授權計費服務器。
7.一種利用無線局域網接入關口實現保障網絡安全的方法,其特征在于,該方法包括無線局域網接入關口接收用戶終端經由WLAN接入網發(fā)來的數據包或經由WLAN接入網發(fā)向用戶終端的數據包,然后從當前收到的數據包中提取出非加密信息,并將所獲取的非加密信息與自身當前存儲的規(guī)則數據進行匹配,判斷是否匹配成功,如果匹配成功,則拒絕將當前所收到的數據包繼續(xù)傳輸;否則,向目的地址繼續(xù)轉發(fā)當前所收到的數據包。
8.根據權利要求7所述的方法,其特征在于,該方法進一步包括預先在無線局域網接入關口中配置允許數據包通過的規(guī)則數據。
9.根據權利要求7所述的方法,其特征在于,該方法進一步包括無線局域網接入關口根據無線局域網中認證授權計費服務器、或分組數據關口的指示或協商更新自身存儲的規(guī)則數據。
10.根據權利要求7所述的方法,其特征在于,所述的非加密信息為源IP地址、或目的IP地址、或端口地址、或介質訪問控制地址、或消息標識、或消息名、或TCP端口號、或隧道標號、或隧道類型、或上述信息的任意組合。
全文摘要
本發(fā)明公開了一種無線局域網接入關口,包括用于強制控制傳輸路由的強制路由模塊和收集計費信息的計費模塊,經由無線局域網接入關口發(fā)送的數據包經路由強制處理、計費信息收集后,輸出至無線局域網的業(yè)務認證授權單元或分組數據關口或用戶終端;該關口還包括消息過濾模塊,用于獲取和存儲規(guī)則數據并對當前經過的數據包進行甄別、過濾和屏蔽;該消息過濾模塊與強制路由模塊和計費模塊相連。本發(fā)明還同時公開了一種利用無線局域網接入關口實現保障網絡安全的方法。上述接入關口和方法能對數據包進行甄別、過濾和屏蔽處理,最大限度地避免非法消息對網絡運營的干擾與威脅,避免非法數據包的傳輸,提高網絡安全,減輕網絡負荷。
文檔編號H04L12/28GK1627715SQ200310118238
公開日2005年6月15日 申請日期2003年12月8日 優(yōu)先權日2003年12月8日
發(fā)明者張文林 申請人:華為技術有限公司