移动网络中防御网络攻击的系统和方法

专利名称：移动网络中防御网络攻击的系统和方法
技术领域：
本发明涉及移动通讯和信息安全领域，具体涉及一种移动通信中的基于安 全等级服务的系统架构及其方法。
背景技术：
3G的到来使移动网络与有线网络通信成为可能，移动终端通过移动网络 将能访问到Internet、 VPN (Virtual LAN,虚拟局域网)、企业内部网等目的 网络。目的网络是指与互联网相连，受保护的局域网络。当移动终端、移动网 络与目的网络结合起来以后，移动终端将能够完成许多现在只有传统计算机才 能完成的功能，比如浏览网页、电子商务、移动办公、文件传输等。随着移动 终端处理能力的提高，在移动终端上能够运行功能强大的操作系统和应用程 序，这就意味着移动终端中也会出现蠕虫、病毒感染和安全漏洞。当移动终端 通过移动网络访问目的网络时，目的网络在和移动网络通信过程中，也会类似 移动终端，对移动网络产生威胁。
移动终端通过移动网络访问目的网络时，既涉及到移动网络的安全保护， 也涉及到目的网络的安全保护，现有的被动式防御己经不能保证移动网络和目 的网络的安全，必须采用主动防御的方式保证这种情况下移动网络和目的网络 的安全，使网络能够主动保护业务、应用、用户的安全。
在主动防御方面，现有的技术把网络当成一个整体来保护，将安全连接、 威胁防御、信用和身份管理系统集成到单个解决方案中，并提供病毒感染限制、 病毒设备隔离功能。使网络一旦受到攻击，可以快速反应，同时保护网络应用 和网络自身。
专利CN1728632提出了一种安全等级握手协商的方法和系统，它不需要 改变现有安全协议自身的握手协商方式，支持各种安全协议自身的安全策略的 配置，为安全服务成为增值服务提供了技术实现机制。
现有技术一方面只是应用在目的网络中，并没有涉及经过移动网络对受保
护实体进行访问的情况。在这种情况F，通信发起方先要接入移动网络，再通 过移动网络访问网络实体。因此在移动网络中预先提供主动的防护措施，将能 够有效的保护目的网络的安全。另一方面，针对不同的目的网络有不同的安全 需要，不同的安全需要将对应不同的安全等级。现有安全体系中的单一安全措 施很难灵活地对安全业务进行扩展，提供多样化的安全功能。因此在安全防护 体系中加入安全等级的概念，提供多样化安全服务能够更高效率利用现有安全 资源。
本发明提出一种连接到移动网络的网络防护体系及方法，以及在这种体系 下，按照安全等级提供安全功能的方法，保护通信发起方通过移动网络访问目 标实体时，移动网络和目标实体的安全性。

发明内容
为解决上述问题，本发明的目的在于提供一种移动网络中防御网络攻击的 系统和方法，其作用是在移动终端与目的网络的通信前和通信间提供安全保障 服务，并提供一种基于安全等级的增值服务，基于安全等级对访问受保护实体 的外网进行监测和防御。
为实现上述目的，本发明提出了一种移动网络中防御网络攻击的系统，包括 目的网络，用于为移动终端提供服务； 移动终端，用于发起接入所述目的网络的通信； 安全网关，用于实现所述移动终端和目的网络之间的相互通信； 其中，还包括
安全策略服务器，设置于移动网络的核心网中，用于设置受保护实体的安 全策略，并将所述安全策略下发给各个网络实体；
用户安全代理装置，设置于所述移动终端中，用于选择所述移动终端的安 全等级，并执行所述安全策略，与所述安全网关进行通信；
网络安全代理装置，设置于所述安全网关中，用于执行所述安全策略，在 网路间建立安全信道，进行安全等级的协商；
安全响应服务器，用于根据移动终端的安全等级，执行所述安全策略，保 证外部网络对受保护实体的安全访问。
上述的移动网络中防御网络攻击的系统，其中，所述网络实体包括移动终端，移动网络中的安全网关和安全响应服务器。
上述的移动网络中防御网络攻击的系统，其中，所述受保护实体包括所述
目的网络的网元实体、移动网络的实体或者所述移动终端。
上述的移动网络中防御网络攻击的系统，其中，所述安全策略包括 安全等级配置信息，用于表示安全等级、业务类型到安全等级策略的映射
关系，下发至移动终端和安全网关，可以使所述移动终端和安全网关根据所述
移动终端选择的安全等级获得对应的安全等级策略，并执行所述安全等级策略
进行通信；
安全防护策略，下发至安全响应服务器，当应用于准入控制时，根据移动 终端的安全等级、操作系统类型、防病毒软件版本、用户安全代理装置的版本， 控制移动终端接入所述目的网络；当应用于基于虚拟局域网的访问控制时，根 据所述移动终端的安全等级提供对不同虚拟局域网的访问；当应用于分布式拒 绝服务攻击的防御时，根据所述受保护实体的安全等级决定是否提供分布式拒 绝服务攻击防御，对所述受保护实体提供分布式拒绝服务攻击的防御服务。
上述的移动网络中防御网络攻击的系统，其中，所述安全等级策略具体包 括数据机密性、数据完整性、用户认证、数据起源、接受方认证、非否认、 密钥交换和/或访问控制。
上述的移动网络中防御网络攻击的系统，其中，所述安全响应服务器设置 于所述移动网络的核心网中，具体包括
准入控制服务器，用于根据目的网络的安全等级对所述移动终端的安全信 息和网络准入规则进行匹配，控制所述移动终端接入所述目的网络；
安全服务器，用于对无法接入所述目的网络的移动终端进行隔离，并对所 述移动终端的安全信息进行更新。
上述的移动网络中防御网络攻击的系统，其中，所述移动网络的安全信息 具体包括所述移动终端选择的安全等级、操作系统的补丁、防病毒软件版本 和/或用户代理装置的版本。
上述的移动网络中防御网络攻击的系统，其中，当所述目的网络提供基于 移动网络的虚拟局域网访问服务时，所述安全响应服务器具体包括
目的网络访问控制器，设置于目的网络中，与所述安全网关连接，用于根 据所述移动终端的安全等级决定所述移动终端能访问的所述虚拟局域网的范
围。
上述的移动网络中防御网络攻击的系统，其中，所述目的网络访问控制器 还包括
安全等级映射表，用于将所述移动终端的安全等级和所能访问的目的网络 中虚拟局域网绑定并保存。
上述的移动网络中防御网络攻击的系统，其中，所述安全响应服务器还包
括
分布式拒绝服务攻击防御服务器，与负责受保护实体通信的安全网关连 接，用于为受保护实体提供分布式拒绝服务攻击防御，具体包括
异常监测装置，用于对负责受保护实体通信的安全网关的通信数据进行监
测；
攻击过滤装置，用于在监测到异常后，接收负责受保护实体通信的安全网 关的数据流，将所述数据流中的攻击数据过滤，将合法数据传递回所述安全网 关，转发到受保护实体。
上述的移动网络中防御网络攻击的系统，其中，还包括 安全策略库，与所述安全策略服务器连接，用于保存所述安全策略服务器 设置的安全策略。
为实现上述目的，本发明还提出了一种移动网络中防御网络攻击的方法， 其中，包括以下步骤
步骤一，安全策略服务期设置安全策略，并将安全策略下发各个网络实体;
步骤二，用户安全代理装置选择移动终端的安全等级，发送所述选择的安 全等级信息，请求接入目的网络；
步骤三，所述移动终端和安全网关执行所述下发的安全策略，实现网络实 体之间的安全通信；
步骤四，安全响应服务器根据所述移动终端的安全等级，执行所述下发的 安全策略，保证外部网络对受保护实体的安全访问。
上述的移动网络中防御网络攻击的方法，其中，所述步骤一具体包括以下 步骤
步骤131，所述安全策略服务期设置安全等级配置信息和安全防护策略； 步骤132，将所述安全等级配置信息下发到所述移动终端和安全网关，将
所述安全防护策略下发到所述安全响应服务器。
上述的移动网络中防御网络攻击的方法，其中，所述歩骤三具体包括以下 歩骤
歩骤141，所述移动终端和安全网关接收所述安全策略服务期下发的安全 等级配置信息，根据所述移动终端选择的安全等级，找到对应的安全等级策略；
步骤142，所述移动终端和安全网关之间，安全网关和安全网关之间，执 行所述安全等级策略，保证通信安全。
上述的移动网络中防御网络攻击的方法，其中，当对目的网络的进入实行 准入控制时，具体包括以下步骤
步骤151，所述安全策略服务期下发目的网络的安全等级至所述准入控制 服务器；
步骤152，所述移动终端发起接入目的网络的请求，用户安全代理装置收 集移动终端的安全信息，通过所述网络安全代理装置发送给准入控制服务器， 所述安全信息包括移动终端选择的安全等级、操作系统补丁、防病毒软件版本 和/或用户安全代理版本；
步骤153，所述准入控制服务器根据目的网络的安全等级，判断所述移动 终端是否符合接入要求；
步骤154，若符合，则所述移动终端通过移动网络访问所述目的网络，若 不符合，则由所述安全服务器隔离所述移动终端，并对所述移动终端的安全信 息进行更新。
上述的移动网络中防御网络攻击的方法，其中，当为所述目的网络提供基 于移动网络的虚拟局域网访问服务时，具体包括以下步骤
步骤161，所述移动终端请求访问目的网络，并选择安全等级，将安全等 级信息发送所述目的网络访问控制器；
步骤162，所述目的网络访问控制器根据所述移动终端选择的安全等级， 在所述安全等级映射表中检索是否存在与所述选择的安全等级对应的虚拟局 域网；
步骤163，若存在，则所述目的网络访问控制器赋予所述移动终端访问所 述对应的虚拟局域网的权利，若不存在，则拒绝与所述移动终端通信。
上述的移动网络中防御网络攻击的方法，其中，当对受保护实体提供分布
式拒绝服务攻击防御时，具体包括以卜步骤
步骤171，所述移动终端选择安全等级，并与所述目的网络进行通信； 步骤172,所述安全策略服务器判断所述受保护实体是否选取了分布式拒
绝服务攻击防御；
步骤173，若否，则正常通信，若是，则所述异常监测装置对负责所述受 保护实体通信的安全网关的数据流进行监测，判断所述数据流是否有异常；
步骤174，若无异常，则继续正常通信，若有异常，则启动攻击过滤装置， 过滤所述数据流中的非法数据，转发合法数据回到所述安全网关，维持合法数 据的通信。
本发明公开的一种移动网络中防御网络攻击的系统和方法，基于安全等 级网络防护系统和方法，可以应用于对目的网络的准入控制，基于移动网络的 虚拟局域网访问控制和分布式拒绝服务攻击防御中，用户能够对安全策略进行 设定和修改，可以根据用户的需要，便捷的对外部网络的安全防御和控制。


图1是移动网络中防御网络攻击系统的结构示意图2是基于安全等级的准入控制系统的结构示意图3是基于安全等级的准入控制流程的示意图4是基于安全等级的VLAN访问服务系统的结构示意图5是目的网络访问控制器内部保存的安全等级映射表；
图6是基于安全等级的VLAN访问服务流程示意图7是第一分布式拒绝服务攻击防御体系的结构示意图8是第二分布式拒绝服务攻击防御体系的结构示意图9是分布式拒绝服务攻击防御流程示意图。
具体实施例方式
本发明基于安全等级的移动网络安全防护系统由以下几部分组成安全
策略服务器、安全响应服务器、安全网关和移动终端。
其中，安全策略服务器为移动核心网中的实体，可以连接到安全网关和安 全响应服务器，用于配置安全策略并将安全策略下发到各个网络实体，网络实
体包括移动终端和安全网关。
安全响应服务器可以根据安全防御的需要设置在移动核心网或目的网络 中，是具体执行安全防护策略的尸体，直接保证外网对受保护实体的安全访问。
安全网关位于移动核心网中，其中设置有网络安全代理装置，用于于通信 发起方和接收方协商安全等级、报告协商结果，并建立网络中的安全信道。
移动终端，其中设置有用户安全代理装置，用于对移动终端的安全信息进 行管理，并于安全网关进行安全等级协商。
本发明中的受保护实体泛指目的网络中的网元实体(如企业网的应用服务 器)、移动网络实体或移动终端。
安全策略服务器设置的安全策略包括安全等级配置信息和安全防护策略。
安全等级是管理者根据市场需求对访问需求进行的划分方式。比如，可以 简单的划分成"高"、"中"、"低"三个层次，也可以划分成更多的层次，这取决 于运营商的市场需求和市场策略。不同的安全等级为用户提供不同程度的安全 服务，用户根据不同的安全需要选择不同的安全等级。
安全等级配置信息内容是安全等级、业务类型到安全协议的映射关系，根 据安全等级配置信息，网元可以执行从安全等级到安全协议的转换，以应用相 应的安全协议。
安全防护策略根据不同应用需求有不同的实现方式。应用于准入控制，安 全防护策略可以根据移动终端的安全等级、操作系统类型、防病毒软件版本执
行准入控制操作；应用于基于VLAN的访问控制，安全防护策略可以根据移 动终端的安全等级提供对不同VLAN的访问；应用于DDOS攻击防御，安全 防护策略可以根据受保护实体的安全等级决定是否提供DDOS攻击防御。
安全等级策略是根据安全等级配置信息得到的协议，提供的安全保护包括 但不限于数据机密性、数据完整性、用户认证、数据起源、接收方认证、非 否认、密钥交换及访问控制等。
本发明中的外部网络指经过移动网络对受保护实体进行访问的通信发起方。
本发明中，基于安全等级的移动网络安全防护系统为受保护实体提供基于 安全等级的安全保护，以下是本发明的三种具体实施方式
，它们分别是网络准 入控制、访问控制和防止分布式拒绝服务攻击，这三方面的保护是基于安全等
级的，不同的用户可以享有不同程度的安全保护。
图1是移动网络中防御网络攻击系统的结构示意图。如图所示，主要由安
全策略服务器ll、安全网关12、安全响应服务器13三部分组成，其中安全响 应服务器13是执行基于安全等级的安全防护策略的网络实体，根据具体的安 全应用，它可位于移动核心网，也可位于目的网络边缘。
本发明的一种具体实施方式
如图2所示，图2是基于安全等级的准入控制 系统的结构示意图。如图所示，本实施方式主要防止带有病毒或不安全信息的 移动终端接入目的网络，造成破坏。其中在移动网络安全防护的系统架构中， 安全策略服务器23对安全策略进行统一管理，负责安全策略的配置和分发。 安全响应服务器具体包括准入控制服务器24及安全服务器25，与本发明相关 的网络实体还包括移动终端21，安全网关22，安全策略服务器23，它们共同 维护受保护区域的安全。其中，本发明中的移动终端21具有用户安全代理装 置，它除了本发明所述功能外还能对终端安全信息进行收集，如终端操作系统 补丁、防病毒软件等。安全网关22是执行安全功能的网络实体，为用户建立 传递信息的安全通道，并作为移动终端和安全策略服务器或安全服务器进行通 信的信息载体。准入控制服务器24接收安全策略服务器下发的目的网络安全 等级，并根据该等级信息对移动终端进行准入控制。安全服务器25是对移动 终端进行隔离的服务器，在本实施方式中，它完成对移动终端操作系统补丁进 行升级、对移动终端进行病毒査杀等操作。
图3是基于安全等级的准入控制流程的示意图。如图所示，包括以下步骤: 步骤S301，安全策略服务器下发安全策略到各网络实体，其中包括下发 安全等级配置信息到各网络实体及下发安全防护策略到安全响应服务器。 步骤S302，移动终端请求通过移动网络访问目的网络。 步骤S303，安全网关要求査询移动终端的安全信息，本实施方式中，安 全信息包括移动终端所选择的安全等级、操作系统补丁、防病毒软件、用户安 全代理装置的版本等。
步骤S304，用户安全代理装置对移动终端安全信息进行收集并发送到安 全网关。
步骤S305，安全网关将移动终端安全信息传递给准入控制服务器， 此时，准入控制服务器根据目的网络的安全等级对移动终端的安全信息与
网络准入规则进行匹配，
步骤S306，如移动终端符合准入规则，则允许移动终端接入目的网络，
并对资源进行访问。
步骤S307，此后，访问结束，移动终端退出移动网络。
步骤S308，如移动终端不符合准入规则，则不允许移动终端接入，移动 终端接入到安全服务器，可根据需要，对用户安全代理装置进行升级、对操作 系统补丁进行升级、病毒查杀等操作。
本发明的另一种实施方式如图4所示，图4是基于安全等级的VLAN访 问服务系统的结构示意图。如图所示，本实施方式是为目的网络提供基于移动 网络的VLAN访问服务的系统。移动网络中，为上述访问提供基于安全等级 的VLAN访问控制机制的网络实体包括移动终端41，安全网关421和422， 安全策略服务器43，目的网络访问控制器44和目的网络，其中，安全响应服 务器具体包括处于目的网络边缘的目的网络访问控制器44。其中安全策略服 务器43负责向安全网关421和422下发安全等级策略，控制安全服务的实施。 安全网关421负责接收移动终端41的VLAN访问请求，并将请求送至安全网 关422,同时也负责向移动终端41的数据传递。安全网关422负责接收安全 网关421传来的VLAN连接请求，并将其送至目的网络访问控制器44，同时 负责反向的数据传递。目的网络访问控制器44上存有目的网络的VLAN访问 策略，任何VLAN访问请求都必须由其进行控制，其控制范围包括但不限于 根据移动终端的安全等级决定其能访问到目的网络VLAN的范围等。
图5是目的网络访问控制器内部保存的安全等级映射表。如图所示，它包 含移动终端选择的安全等级以及在该等级下对应能访问到的VLAN。例如，当 移动终端选择的通信安全等级为高时，它能够访问到VLAN1、 VLAN2及 VLAN3的资源，当移动终端选择的通信安全等级为中时，它能够访问到 VLAN1、 VLAN2的资源，当移动终端选择的通信安全等级为低时，它只能够 访问到VLAN1的资源。
图6是基于安全等级的VLAN访问服务流程示意图。如图所示，具体包 括以下步骤
步骤S601，首先安全策略服务器下发安全策略到各网络实体，其中包括 下发安全等级配置信息到各网络实体及下发安全防护策略到安全响应服务器。
步骤S602，移动终端接入网络后向安全网关421发送VLAN访问请求并 选择通信的安全等级。
步骤S603，安全网关421将请求数据经过加密后传递到负责目的网络通 信的安全网关422。
步骤S604，安全网关422再将请求发送至目的网络访问控制器，后者对 访问请求进行处理。
步骤S605，如果符合，则根据移动终端的安全等级向移动终端赋予访问 权利。
步骤S606，安全等级较高的移动终端可访问到更多的网络资源，接下来 移动终端将可以访问受保护VLAN中的资源。
步骤S607，直至移动终端结束访问目的网络。
步骤S608，判断其安全等级是否符合访问策略，如果不符合，则拒绝通信。
本发明的另一种实施方式，根据受保护对象的不同，系统分别如图7与图 8所示。图7是第一分布式拒绝服务攻击防御体系的结构示意图；图8是第二 分布式拒绝服务攻击防御体系的结构示意图。如图所示，在此体系中，安全策 略服务器是一个独立服务器，位于移动核心网络，它负责受保护实体安全策略 的制定，存放受保护实体定制的安全等级信息，根据受保护实体定制的安全等 级信息，决定受保护实体是否选择了 DDoS防御。安全网关担任信息传输功能， 负责移动终端与受保护实体的通信。安全响应服务器具体包括移动网络中的 DDoS (Distributed Denial of Service,分布式拒绝服务)防御服务器。在图7 中，包括移动终端71，负责移动终端的安全网关721，负责目的网络的安全网 关722，安全策略服务器73， DDoS防御服务器74和目的网络，DDoS防御功 能主要为目的网络提供，DDoS防御服务器74对负责目的网络通信的安全网 关722上的DDoS数据进行监测与过滤。包括异常监测741和攻击过滤742 两个功能单元。在图8中，包括包括移动终端81，负责移动终端的安全网关 821，负责目的网络的安全网关822，安全策略服务器83， DDoS防御服务器 84和目的网络，DDoS防御功能主要为移动终端提供，DDoS防御服务器84 对负责移动终端通信的安全网关821上的DDoS数据进行监测与过滤。包括异 常监测841和攻击过滤842两个功能单元。
图9是分布式拒绝服务攻击防御的流程示意图。如图所小，具体步骤以下 步骤
步骤S901，安全策略服务器下发安全策略到各网络实体，其中包括下发 安全等级配置信息到各网络实体及下发安全防护策略到安全响应服务器。 步骤S902，移动终端与受保护实体进行通信。
步骤S903，安全策略服务器查询本地数据库，判断该受保护实体是否申 请了对应的安全等级，如果该实体没有申请该安全等级或DDoS防御不在对应 的安全等级中，安全网关直接转发数据(S908)，否则，DDoS防御服务器中的 异常监测装置对负责受保护实体通信的安全网关的通信数据进行监测。
步骤S904, —旦异常发生，异常监测装置将产生报警信息到攻击过滤功 能单元，负责受保护实体通信的安全网关将数据流转发到攻击过滤装置。
步骤S905，攻击过滤装置分析数据内容是否合法，如发现攻击数据，则 将其丢弃。
步骤S906，同时将合法数据传递回安全网关。
步骤S907，由安全网关将合法数据转发到受保护实体继续正常通信。 步骤S908，如果没有出现异常则进行正常通信，安全网关将数据转发到 受保护实体。
当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情 况下，熟悉本领域的普通技术人员当可根据本发明做出各种相应的改变和变 形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种移动网络中防御网络攻击的系统，包括目的网络，用于为移动终端提供服务；移动终端，用于发起接入所述目的网络的通信；安全网关，用于实现所述移动终端和目的网络之间的相互通信；其特征在于，还包括安全策略服务器，设置于移动网络的核心网中，用于设置受保护实体的安全策略，并将所述安全策略下发给各个网络实体；用户安全代理装置，设置于所述移动终端中，用于选择所述移动终端的安全等级，并执行所述安全策略，与所述安全网关进行通信；网络安全代理装置，设置于所述安全网关中，用于执行所述安全策略，在网路间建立安全信道，进行安全等级的协商；安全响应服务器，用于根据移动终端的安全等级，执行所述安全策略，保证外部网络对受保护实体的安全访问。
5. 根据权利要求4所述的移动网络中防御网络攻击的系统，其特征在于，所述安全等级策略具体包括数据机密性、数据完整性、用户认证、数据起源、 接受方认证、非否认、密钥交换和/或访问控制。
6. 根据权利要求1所述的移动网络中防御网络攻击的系统，其特征在于，所述安全响应服务器设置于所述移动网络的核心网中，具体包括准入控制服务器，用于根据目的网络的安全等级对所述移动终端的安全信息和网络准入规则进行匹配，控制所述移动终端接入所述目的网络；安全服务器，用于对无法接入所述目的网络的移动终端进行隔离，并对所述移动终端的安全信息进行更新。
7. 根据权利要求6所述的移动网络中防御网络攻击的系统，其特征在于， 所述移动网络的安全信息具体包括所述移动终端选择的安全等级、操作系统 的补丁、防病毒软件版本和/或用户代理装置的版本。
8. 根据权利要求l所述的移动网络中防御网络攻击的系统，其特征在于， 当所述目的网络提供基于移动网络的虚拟局域网访问服务时，所述安全响应服 务器具体包括目的网络访问控制器，设置于目的网络中，与所述安全网关连接，用于根 据所述移动终端的安全等级决定所述移动终端能访问的所述虚拟局域网的范围。
9. 根据权利要求8所述的移动网络中防御网络攻击的系统，其特征在于，所述目的网络访问控制器还包括安全等级映射表，用于将所述移动终端的安全等级和所能访问的目的网络 中虚拟局域网绑定并保存。
10. 根据权利要求1所述的移动网络中防御网络攻击的系统，其特征在于，所述安全响应服务器还包括分布式拒绝服务攻击防御服务器，与负责受保护实体通信的安全网关连 接，用于为受保护实体提供分布式拒绝服务攻击防御，具体包括异常监测装置，用于对负责受保护实体通信的安全网关的通信数据进行监 攻击过滤装置，用于在监测到异常后，接收负责受保护实体通信的安全网 关的数据流，将所述数据流中的攻击数据过滤，将合法数据传递回所述安全网 关，转发到受保护实体。
11. 根据权利要求1所述的移动网络中防御网络攻击的系统，其特征在于， 还包括安全策略库，与所述安全策略服务器连接，用于保存所述安全策略服务器 设置的安全策略。
12. —种移动网络中防御网络攻击的方法，其特征在于，包括以下步骤 步骤一，安全策略服务期设置安全策略，并将安全策略下发各个网络实体; 步骤二，用户安全代理装置选择移动终端的安全等级，发送所述选择的安全等级信息，请求接入目的网络；步骤三，所述移动终端和安全网关执行所述下发的安全策略，实现网络实 体之间的安全通信；步骤四，安全响应服务器根据所述移动终端的安全等级，执行所述下发的 安全策略，保证外部网络对受保护实体的安全访问。
13. 根据权利要求12所述的移动网络中防御网络攻击的方法，其特征在 于，所述步骤一具体包括以下步骤步骤131，所述安全策略服务期设置安全等级配置信息和安全防护策略；步骤132，将所述安全等级配置信息下发到所述移动终端和安全网关，将所述安全防护策略下发到所述安全响应服务器。
14. 根据权利要求13所述的移动网络中防御网络攻击的方法，其特征在 于，所述步骤三具体包括以下步骤步骤141，所述移动终端和安全网关接收所述安全策略服务期下发的安全等级配置信息，根据所述移动终端选择的安全等级，找到对应的安全等级策略;步骤142，所述移动终端和安全网关之间，安全网关和安全网关之间，执 行所述安全等级策略，保证通信安全。
15. 根据权利要求12或14所述的移动网络中防御网络攻击的方法，其特 征在于，当对目的网络的进入实行准入控制时，具体包括以下步骤步骤151，所述安全策略服务期下发目的网络的安全等级至所述准入控制 服务器； 歩骤152，所述移动终端发起接入目的网络的请求，用户安全代理装置收 集移动终端的安全信息，通过所述网络安全代理装置发送给准入控制服务器， 所述安全信息包括移动终端选择的安全等级、操作系统补丁、防病毒软件版本 和/或用户安全代理版本；步骤153，所述准入控制服务器根据目的网络的安全等级，判断所述移动 终端是否符合接入要求；步骤154，若符合，则所述移动终端通过移动网络访问所述目的网络，若 不符合，则由所述安全服务器隔离所述移动终端，并对所述移动终端的安全信 息进行更新。
16. 根据权利要求12或14所述的移动网络中防御网络攻击的方法，其特 征在于，当为所述目的网络提供基于移动网络的虚拟局域网访问服务时，具体 包括以下步骤步骤161，所述移动终端请求访问目的网络，并选择安全等级，将安全等 级信息发送所述目的网络访问控制器；步骤162，所述目的网络访问控制器根据所述移动终端选择的安全等级， 在所述安全等级映射表中检索是否存在与所述选择的安全等级对应的虚拟局 域网；步骤163，若存在，则所述目的网络访问控制器赋予所述移动终端访问所 述对应的虚拟局域网的权利，若不存在，则拒绝与所述移动终端通信。
17. 根据权利要求12或14所述的移动网络中防御网络攻击的方法，其特 征在于，当对受保护实体提供分布式拒绝服务攻击防御时，具体包括以下步骤:步骤171，所述移动终端选择安全等级，并与所述目的网络进行通信； 步骤172，所述安全策略服务器判断所述受保护实体是否选取了分布式拒 绝服务攻击防御；步骤173，若否，则正常通信，若是，则所述异常监测装置对负责所述受 保护实体通信的安全网关的数据流进行监测，判断所述数据流是否有异常；步骤174，若无异常，则继续正常通信，若有异常，则启动攻击过滤装置， 过滤所述数据流中的非法数据，转发合法数据回到所述安全网关，维持合法数 据的通信。
全文摘要
本发明提出了一种移动网络中防御网络攻击的系统，包括目的网络、移动终端和安全网关，用于实现移动终端和目的网络之间的相互通信；其中，还包括安全策略服务器，设置于移动网络的核心网中，用于设置受保护实体的安全策略，并将安全策略下发给各个网络实体；用户安全代理装置，设置于移动终端中，用于选择移动终端的安全等级，并执行安全策略，与安全网关进行通信；网络安全代理装置，设置于安全网关中，用于执行安全策略，在网路间建立安全信道，进行安全等级的协商；安全响应服务器，用于根据移动终端的安全等级执行安全策略，保证外部网络对受保护实体的安全访问，此外，本发明还提出了一种在移动网络中利用上述系统防御网络攻击的方法。
文档编号H04W12/00GK101111053SQ20061008979
公开日2008年1月23日 申请日期2006年7月18日 优先权日2006年7月18日
发明者何兴高, 孟宪民, 庆 游, 钱伟中, 伟 陈, 陈剑勇 申请人:中兴通讯股份有限公司