专利名称:对数据流进行防攻击过滤的方法、系统及其重定向设备的制作方法
技术领域:
本发明涉及移动分组数据通信技术领域,尤其是涉及一种对数据流进行防攻击过滤的方法及其系统,以及对应的重定向设备。
背景技术:
在通用分组无线业务(GPRS,General Packet Radio Service)/宽带码分多址(WCDMA,Wideband Code Division Multiple Access)系统中存在两个主要的基本设备网关GPRS支持节点(GGSN,Gateway GPRS Support Node)和业务GPRS支持节点(SGSN,Serving GPRS Support Node),其中SGSN的最主要功能是提供通用陆地无线接入网(UTRAN,UMTS Terrestrial Radio AccessNetwork)/基站子系统(BSS,Base Station Subsystem)的接入功能,GGSN的最主要功能是作为GPRS/WCDMA系统与外部分组数据网(PDN,Packet DataNetwork)之间通信的网关。其中SGSN与GGSN设备在GPRS/WCDMA系统中的位置示意图如图1所示。
移动分组数据用户发往外部分组数据网的数据业务首先要经SGSN设备接入,然后由SGSN发往GGSN,最后经由GGSN发往外部分组数据网。其中为了保护分组数据用户的通信安全,在GGSN与外部分组数据网之间需要设置防火墙Firewall,通过该设置的防火墙Firewall来阻止外部分组数据网中的非法数据流对网内分组数据用户可能造成的攻击。
但是设置的防火墙虽然阻止了外部分组数据网对网内分组数据用户可能造成的攻击,而不能对网内各个分组数据用户之间的通信数据流进行过滤,即移动分组数据用户欲发送数据流给网内其他分组数据用户时,上行来的数据流到达GGSN后,经GGSN的简单过滤处理后就被直接转为下行发送给移动分组数据接收用户。
随着网内分组数据用户之间的通信业务逐渐增长,不同分组数据用户之间存在的潜在相互攻击可能性也随之增长,然而目前在GPRS/WCDMA系统中只是基于GGSN对网内分组数据用户之间的通信数据流进行过滤处理,GGSN使用包过滤策略对数据流进行过滤,包过滤策略是一种相对简单的过滤手段,只能依据对数据报文的简单属性(如源地址、目的地址、源端口号和目的端口号等)进行判断来实现对数据报文的过滤处理,从而实现一些简单的过滤,而基于包过滤策略的GGSN对于一些较为复杂的恶意攻击是过滤不了的。因此只是使用基于简单包过滤策略的GGSN来对网内分组数据用户之间的通信数据流进行过滤,是不能满足用户的通信安全性要求的。
发明内容
本发明要解决的技术问题在于提出一种对网内用户间的通信数据流进行防攻击过滤的方法及其系统,以能够对网内分组数据用户之间的通信数据流执行较为复杂的防恶意攻击处理,满足用户的通信安全性需求。
相应的,本发明还对应提出了一种重定向设备。
为解决上述问题,本发明提出的技术方案如下一种对网内用户间的通信数据流进行防攻击过滤的方法,包括步骤A、移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙;B、由防火墙对网内用户之间交互的数据流执行防攻击过滤处理。
较佳地,所述步骤A具体包括步骤A1、在移动分组数据通信系统网络侧的接入网关中设置重定向策略,所述重定向策略为将网内用户之间交互的数据流重定向到防火墙;A2、所述接入网关在判断出接收到的数据流为网内用户之间交互的数据流时,根据所设置的重定向策略将接收到的数据流重定向到防火墙。
较佳地,所述步骤A2中接入网关根据接收到的数据流的源地址和目的地址来判断接收到的数据流是否为网内用户之间交互的数据流。
较佳地,所述防火墙基于下述过滤处理机制来对网内用户之间交互的数据流执行防攻击过滤处理包过滤机制;或代理服务过滤机制;或状态监控过滤机制。
较佳地,所述移动分组数据通信系统为通用分组无线业务系统;或基于通用分组无线业务系统进行升级的第三代移动通信系统。
较佳地,所述接入网关为网关通用分组无线业务支持节点。
一种对网内用户间的通信数据流进行防攻击过滤的系统,包括重定向设备和防火墙,其中重定向设备,用于移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙;防火墙,用于对所述重定向设备转发来的网内用户之间交互的数据流执行防攻击过滤处理。
较佳地,所述重定向设备具体包括重定向策略设置单元,用于设置将网内用户之间交互的数据流重定向到防火墙的重定向策略;判断单元,用于判断重定向设备接收到的数据流是否为网内用户之间交互的数据流;重定向执行单元,用于在所述判断单元的判断结果为是时,根据所述重定向策略设置单元设置的重定向策略将重定向设备接收到的数据流重定向到防火墙。
较佳地,所述重定向设备为网关通用分组无线业务支持节点。
一种重定向设备,包括用于移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙的重定向处理单元。
较佳地,所述重定向处理单元具体包括重定向策略设置子单元,用于设置将网内用户之间交互的数据流重定向到防火墙的重定向策略;判断子单元,用于判断重定向设备接收到的数据流是否为网内用户之间交互的数据流;重定向执行子单元,用于在所述判断子单元的判断结果为是时,根据所述重定向策略设置子单元设置的重定向策略将重定向设备接收到的数据流重定向到防火墙。
较佳地,所述重定向设备为网关通用分组无线业务支持节点。
本发明能够达到的有益效果如下本发明技术方案通过移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙,由防火墙对网内用户之间交互的数据流执行防攻击过滤处理。从而实现了基于网络设备的重定向策略和防火墙本身所具有的完善防攻击过滤策略,来对移动分组数据通信系统中的接入用户之间交互的数据流进行防攻击过滤处理,因此较好的防止了移动分组数据通信系统内部接入用户之间的相互恶意攻击,满足了用户的通信安全性需求。
图1为SGSN与GGSN设备在GPRS/WCDMA系统中的位置示意图;图2为本发明对网内用户间的通信数据流进行防攻击过滤的方法的主要实现原理流程图;图3为应用本发明方法原理在GGSN上设置重定向策略实现将网内用户间的数据流重定向到防火墙进行过滤处理的示意图;图4为本发明对网内用户间的通信数据流进行防攻击过滤的系统的主要组成结构框图;图5为本发明系统中重定向设备的具体组成结构框图;图6为本发明重定向设备中包括的重定向处理单元的具体组成结构框图。
具体实施例方式
考虑到在移动分组数据通信系统中,随着接入用户之间交互业务的增长,接入用户之间存在的潜在相互攻击也可能在逐渐增加,而如现有技术中只基于GGSN使用包过滤策略来对网内接入用户之间交互的数据流执行防攻击过滤处理,只能较为简单的防止网内接入用户之间发起的相互攻击,而对于一些较为复杂的网内接入用户之间的相互攻击是防止不了的,而需要借助于防火墙设备,基于防火墙设备中的更为完善的过滤机制来防止网内接入用户之间的相互攻击。因此本发明这里提供了一种技术方案,以基于网络设备配置的重定向功能,使得接入用户之间交互的数据流可以重定向到防火墙设备,通过防火墙设备中配置的较为完善的过滤机制来实现对网内接入用户之间交互的数据流执行防攻击过滤处理。
本发明方案的设计思想主要是在移动分组数据通信系统网络侧提供一种基于网络设备的重定向策略,使得网内接入用户之间交互的数据流可以重定向到防火墙设备上,以通过防火墙设备本身配置的完善过滤机制来实现对网内接入用户之间交互的数据流执行防攻击过滤处理。
下面将结合各个附图对本发明方案的主要实现原理、具体实施过程及其对应的有益效果进行详细的阐述。
请参照图2,该图是本发明对网内用户间的通信数据流进行防攻击过滤的方法的主要实现原理流程图,其主要实现过程如下步骤S10,移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙;其中移动分组数据通信系统网络侧可以通过如下处理过程来将网内用户之间交互的数据流重定向到防火墙首先,在移动分组数据通信系统网络侧的接入网关中设置重定向策略,该重定向策略即为将网内用户之间交互的数据流重定向到防火墙;其次,网络侧的接入网关在判断出接收到的数据流为网内用户之间交互的数据流时,根据自身所设置的重定向策略将接收到的数据流重定向到防火墙,其中接入网关可以根据接收到的数据流的源地址和目的地址信息来判断接收到的数据流是否为网内用户之间交互的数据流。
步骤S20,由防火墙对网内用户之间交互的数据流执行防攻击过滤处理;其中防火墙可以但不限于基于下述过滤处理机制来对网内用户之间交互的数据流执行防攻击过滤处理包过滤机制;或代理服务过滤机制;或状态监控过滤机制等。
本发明上述方法所应用在的移动分组数据通信系统可以为GPRS系统,也可以为基于GPRS系统进行升级的第三代移动通信系统等,这样上述所提及的接入网关即为GPRS系统中或为基于GPRS系统进行升级的3G移动通信系统中的网关GPRS支持节点GGSN。
由此可见,本发明方法针对现有技术方案的缺点,通过在核心网接入设备上设置重定向策略,从而使得在不改变现有组网方式的情况下,在重定向功能激活时,可以将MS到MS的数据报文重定向到防火墙上,来实现后续的过滤和转发处理。
下述将以在GPRS网络系统中的GGSN上配置重定向策略为例来对本发明方法原理进行更进一步的说明通过在GGSN中设置对网内MS到MS的数据报文指定下一跳地址的方式,这里即把防火墙设备的地址作为网内MS到MS数据报文重定向的下一跳地址,从而实现在GGSN中设置将网内用户之间交互的数据流重定向到防火墙的重定向策略;这样GGSN本身就会根据该种重定向策略来将接收到的网内MS到MS的数据报文重定向转发给防火墙;防火墙接收到GGSN重定向转发来的数据报文后,可以根据自身配置的过滤机制来对接收数据报文进行防攻击过滤处理,然后根据该数据报文的目的地址来进行下一步的转发,例如将过滤处理后的数据报文转发回GGSN,由GGSN进而再向下发送给另一MS。
请参照图3,该图为应用本发明方法原理在GGSN上设置重定向策略实现将网内用户间的数据流重定向到防火墙进行过滤处理的示意图,其中对于MS发送到Internet的数据流,其传输处理过程同现有技术一致,即由MS先经SGSN,再到GGSN,经过防火墙过滤处理之后到达Internet;对于从Internet上发来数据流转发到MS的传输处理过程也同现有技术保持一致性,即先经由防火墙过滤处理之后,到达GGSN,再经SGSN到达MS。其中对应于本发明方案原理有所改变的是网内用户之间(MS->MS)的数据流传输走向,在未应用本发明方案原理之前,GGSN直接对MS->MS的数据流进行简单的过滤处理之后直接转发到SGSN进行下行传输给MS,而不会进而转发到防火墙设备;在应用了本发明方案原理之后,为更好的避免MS->MS的非法攻击,将采取防火墙过滤机制,具体为GGSN在判断出接收到的数据报文为网内MS->MS的数据报文时,则会根据自身预先设置的重定向策略中配置的下一跳地址(即防火墙地址),将接收到的数据报文转发给防火墙,由防火墙对MS->MS的数据报文进行防攻击过滤处理,最后再将过滤处理之后的数据报文通过下行发送给MS。
综上所述,本发明方案通过使用基于网络设备的重定向策略和防火墙本身所具有的完善防攻击过滤策略,来对移动分组数据通信系统中的接入用户之间交互的数据流进行防攻击过滤处理,可以较好的防止移动分组数据通信系统内部接入用户之间的相互恶意攻击,满足了用户的通信安全性需求。
相应于本发明上述提出的方法,本发明这里还提出了一种对网内用户间的通信数据流进行防攻击过滤的系统,请参照图4,该图是本发明对网内用户间的通信数据流进行防攻击过滤的系统的主要组成结构框图,其主要包括重定向设备10和防火墙20,其中各个组成部分的主要作用如下重定向设备10,主要用于移动分组数据通信系统网络侧将网内接入用户之间交互的数据流重定向到防火墙20;防火墙20,主要用于对上述重定向设备10重定向转发来的网内接入用户之间交互的数据流基于自身配置的过滤机制,执行对应的防攻击过滤处理。
请参照图5,该图是本发明系统中重定向设备的具体组成结构框图,其中重定向设备10主要包括重定向策略设置单元101、判断单元102和重定向执行单元103,其中各个组成单元的具体作用如下重定向策略设置单元101,用于预先设置将网内接入用户之间交互的数据流重定向到防火墙20的重定向策略;判断单元102,用于判断重定向设备10接收到的数据流是否为网内接入用户之间交互的数据流,其中判断单元20可以根据重定向设备10接收到的数据流的源地址和目的地址信息来判断重定向设备10接收到的数据流是否为网内接入用户之间交互的数据流;重定向执行单元103,用于在上述判断单元102的判断结果为是时,根据上述重定向策略设置单元101预先设置的重定向策略将重定向设备10接收到的数据流重定向转发到防火墙20进行防攻击过滤处理。
其中上述重定向设备可以为GPRS系统中的网关GPRS支持节点GGSN。
同理,相应于本发明上述提出的方法及其系统,本发明这里还进而提出了一种重定向设备,包括用于移动分组数据通信系统网络侧将网内接入用户之间交互的数据流重定向到防火墙的重定向处理单元,请参照图6,该图是本发明重定向设备中包括的重定向处理单元的具体组成结构框图,其主要包括重定向策略设置子单元200、判断子单元300和重定向执行子单元400,这三个组成单元的具体作用如下
重定向策略设置子单元200,主要用于预先设置将网内接入用户之间交互的数据流重定向到防火墙的重定向策略;判断子单元300,主要用于判断重定向设备接收到的数据流是否为网内接入用户之间交互的数据流;其中判断子单元300可以根据重定向设备接收到的数据流的源地址和目的地址信息来判断重定向设备接收到的数据流是否为网内接入用户之间交互的数据流;重定向执行子单元400,主要用于在上述判断子单元300的判断结果为是时,根据上述重定向策略设置子单元200预先设置的重定向策略,将重定向设备接收到的数据流重定向转发到防火墙进行防攻击过滤处理。
较优地,本发明这里提出的重定向设备可以为GPRS系统中的网关GPRS支持节点GGSN。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种对网内用户间的通信数据流进行防攻击过滤的方法,其特征在于,包括步骤A、移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙;B、由防火墙对网内用户之间交互的数据流执行防攻击过滤处理。
2.如权利要求1所述的方法,其特征在于,所述步骤A具体包括步骤A1、在移动分组数据通信系统网络侧的接入网关中设置重定向策略,所述重定向策略为将网内用户之间交互的数据流重定向到防火墙;A2、所述接入网关在判断出接收到的数据流为网内用户之间交互的数据流时,根据所设置的重定向策略将接收到的数据流重定向到防火墙。
3.如权利要求2所述的方法,其特征在于,所述步骤A2中接入网关根据接收到的数据流的源地址和目的地址来判断接收到的数据流是否为网内用户之间交互的数据流。
4.如权利要求1所述的方法,其特征在于,所述防火墙基于下述过滤处理机制来对网内用户之间交互的数据流执行防攻击过滤处理包过滤机制;或代理服务过滤机制;或状态监控过滤机制。
5.如权利要求2或3所述的方法,其特征在于,所述移动分组数据通信系统为通用分组无线业务系统;或基于通用分组无线业务系统进行升级的第三代移动通信系统。
6.如权利要求5所述的方法,其特征在于,所述接入网关为网关通用分组无线业务支持节点。
7.一种对网内用户间的通信数据流进行防攻击过滤的系统,其特征在于,包括重定向设备和防火墙,其中重定向设备,用于移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙;防火墙,用于对所述重定向设备转发来的网内用户之间交互的数据流执行防攻击过滤处理。
8.如权利要求7所述的系统,其特征在于,所述重定向设备具体包括重定向策略设置单元,用于设置将网内用户之间交互的数据流重定向到防火墙的重定向策略;判断单元,用于判断重定向设备接收到的数据流是否为网内用户之间交互的数据流;重定向执行单元,用于在所述判断单元的判断结果为是时,根据所述重定向策略设置单元设置的重定向策略将重定向设备接收到的数据流重定向到防火墙。
9.如权利要求7或8所述的系统,其特征在于,所述重定向设备为网关通用分组无线业务支持节点。
10.一种重定向设备,其特征在于,包括用于移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙的重定向处理单元。
11.如权利要求10所述的设备,其特征在于,所述重定向处理单元具体包括重定向策略设置子单元,用于设置将网内用户之间交互的数据流重定向到防火墙的重定向策略;判断子单元,用于判断重定向设备接收到的数据流是否为网内用户之间交互的数据流;重定向执行子单元,用于在所述判断子单元的判断结果为是时,根据所述重定向策略设置子单元设置的重定向策略将重定向设备接收到的数据流重定向到防火墙。
12.如权利要求10或11所述的设备,其特征在于,所述重定向设备为网关通用分组无线业务支持节点。
全文摘要
本发明公开了一种对网内用户间的通信数据流进行防攻击过滤的方法,包括步骤移动分组数据通信系统网络侧将网内用户之间交互的数据流重定向到防火墙;由防火墙对网内用户之间交互的数据流执行防攻击过滤处理。相应的,本发明还公开了一种对网内用户间的通信数据流进行防攻击过滤的系统及其对应的重定向设备。本发明能够对网内分组数据用户之间的通信数据流执行较为复杂的防恶意攻击处理,满足用户的通信安全性需求。
文档编号H04L12/24GK1845528SQ200610000908
公开日2006年10月11日 申请日期2006年1月12日 优先权日2006年1月12日
发明者王旭, 朱泉, 侯志鹏, 胡玉胜 申请人:华为技术有限公司