专利名称:一种网络设备管理的方法及相应的网络系统的制作方法
技术领域:
本发明涉及通信技术领域,涉及一种网络设备管理的方法及相应的网络系统。
背景技术:
现有因特网广泛使用的传输控制协议/网络协议(Transmission Control Protocol/Internet Protocol, TCP/IP)协议中IP地址具有双重功能,既作为网络层的通 信终端主机网络接口在网络拓扑中的位置标识,又作为传输层主机网络接口的身份标识。 TCP/IP协议设计之初并未考虑到主机移动的情况,但是当主机移动越来越普遍时,这种IP 地址的语义过载缺陷日益明显。当主机的IP地址发生变化时,不仅路由要发生变化,通信 终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会 导致应用和连接的中断。身份标识和位置分离问题提出的目的是为了解决IP地址的语义 过载和路由负载严重,安全等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡 性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题 的支持。针对上述问题,目前已经提出了多种身份标识与位置标识分离的网络架构,包括 主机标识协议(Host Identity Protocol, HIP),位置身份分离协议(LISP)和均属身份标 识和位置分离网络以及中兴通讯提出的身份标识和位置分离的网络架构,本文以中兴通讯 提出的身份标识和位置分离网络架构为例进行描述。图1所示为身份标识和位置分离网络架构图,为描述方便,下文将此用户身份 标识和位置分离网络简称为 SILSN(Subscriber Identifier & Locator Separation Network),将传统因特网简称为 LINQegacy Internet Network)。在图1中,此SILSN包括接入服务器(Access Service Node, ASN)和用户终端 (User Equipment, UE)、身份位置寄存器(Identification & Location Register, ILR)、互 联服务节点(Inter-working Service Node, ISN)和中转设备(RT)。其中,ASN用来实现 UE的接入,并承担计费和切换等功能;ILR承担用户的位置注册和身份识别功能,也称为认 证服务器;ISN用于和传统hternet互通,ISN和ASN在物理上也可以合一设置;RT为核心 网中的数据交换或路由设备。在图1中,UEl和UE2都是SILSN的用户,在下文中将ASN、ILR、ISN, RT等网络节 点组成的网络称为SILSN的核心网,并将组成核心网的节点ASN、ILR、ISN和RT网络节点称 为核心网节点。其他身份标识和位置标识分离的网络架构中,上述核心网节点分别对应于具有相 同或相似功能的节点。为保证SILSN核心网的安全性,必须防止普通用户终端对核心网的攻击;同时,还 要实现SILSN中的核心网节点要能进行网络管理,目前还没有解决这一问题的具体方案。
发明内容
本发明要解决的技术问题是提供一种网络设备管理的方法及相应的网络系统,防 止普通用户终端对核心网节点进行访问或攻击。根据SILSN中的UEl发送的数据包的最终目的地,可以将UEl发送的数据包分为 如下三种类型类型一从SILSN的一个用户终端发送到该SILSN的另一个用户终端,如UEl- > UE2 ;类型二 从SILSN的一个用户终端发向该SILSN的一个核心网节点,如UEl- > ASN2 ;类型三(103)从SILSN的一个用户终端发向位于LIN的一个节点,如从SILSN的 一个用户终端发往LIN中的一个因特网业务提供商(ISP),如UEl-> ISP1,或者从SILSN 的一个用户终端发向LIN网的一个用户终端,如UEl- > UElO ;在UEl发送的上述三种类型数据包时,类型一和类型三的数据包的最终目的地都 是将数据包发向SILSN的核心网外部,在这两种情况下,核心网节点只起封装和转发的作 用,并不解析数据包的实际内容,因此类型一和类型三的数据包,除了对SILSN的核心网的 性能造成影响,并不会对核心网节点的安全性等造成明显影响;但对于类型二的数据包,由于用户终端发出的数据包的最终目的地为核心网节 点,因此核心网节点不仅要解析该数据包的内容,还要根据该数据包的内容进行相应的 处理;也就是说,这种类型的数据包为用户终端提供了直接访问核心网节点的手段,由于 SILSN的核心网节点允许用户终端直接访问,因而降低了核心网节点的安全性。因此为了保 证核心网安全性,在SILSN中一般不允许普通用户发出此数据包类型,只提供给具有特殊 权限的网络管理员在网络管理时使用。当SILSN用于组建专网(如军网或公安网),为了保证网络的高度可靠性,可以将 其普通用户终端的权限限制为只能发送类型一的数据包,这样可以将用户终端和外部网络 绝对分开,从根本上保证了信息的安全。但如果SILSN用于一般网络(如企业网)的组建, 为了让用户得到最好的网络体验,应该给予用户直接访问hternet的权限,这样就需要允 许用户终端能发出类型三的数据包。当SILSN用于一般网络中时,SILSN的核心网节点可以嵌入到LIN中,并分配LIN 地址(即hternet公网地址),这样当SILSN的用户终端UEl访问LIN的一个普通节点 时,UEl应该发送通信对端的身份标识为LIN普通节点(如通信对端的身份标识为图1中 的ISPl或UE10)的数据包。由于SILSN的核心网的节点地址也是LIN的一个节点,如果用 户UEl发出的类型三的数据包的目的地刚好为SILSN的核心网节点地址,而不是LIN的普 通节点地址,这样本来应该发送到LIN的数据就会发送给SILSN的核心网节点,从而普通用 户终端可能借用类型三的数据包达到类型二的数据包的效果,即普通用户终端可以发送只 有网络管理员才能发送的数据包,从而对SILSN的核心网安全性造成了危害。为保护SILSN核心网节点的安全性,必须防范UE发起这种攻击,为此在处理第三 种类型的数据包时,ASN节点就必须识别出用户终端发出的数据包的通信对端的身份标识 是发往LIN,还是发往SILSN的核心网节点,然后根据用户的权限分别处理,以保护核心网 节点的安全性。
为了解决上述问题,本发明提供了一种网络设备管理的方法,包括在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节 点和认证节点;当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的 身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户 终端的身份权限对该数据包进行转发或异常处理。相应地,上述方法还具有如下特点所述核心网节点还包括互通节点,以及数据交换或路由节点。相应地,上述方法还具有如下特点所述第一网络为身份标识与位置分离的网络构架(SILSN);所述接入节点为接入服务节点;所述互通节点为互联服务节点(ISN)、数据交换或路由节点为中转设备(RT)。相应地,上述方法还具有如下特点所述异常处理为所述接入节点丢弃所述数据包,将用户行为记入日志,根据情况 进行告警,或屏蔽用户中的一种或几种。相应地,上述方法还具有如下特点所述用户终端发送来的数据包包括从所述第一网络的一个用户终端发向该第一网络的一个核心网节点,称为类型 二;以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户,称为类型三。相应地,上述方法还具有如下特点所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接 入节点根据接收到的数据包格式区分出所述数据包为类型三的数据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体 包括如下步骤所述接入节点在所述核心网节点地址中查找该通信对端的身份标识如果查找到,进行异常处理,结束;如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过互通节点将 所述数据包发送到第二网络。相应地,上述方法还具有如下特点所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接 入节点根据接收到的数据包格式区分出所述数据包为类型二的数据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体 包括如下步骤所述接入节点在所述核心网节点地址中查找该通信对端的身份标识如果查找不到,进行异常处理,结束;如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权 限判断所述用户终端是否具有网络管理员权限如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
相应地,上述方法还具有如下特点所述类型二的数据包与所述类型三的数据包采用相同的数据包格式;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体 包括如下步骤所述接入节点在核心网节点地址中查找所述通信对端的身份标识如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结 束;如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权 限判断所述用户终端是否具有网络管理员权限如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。相应地,上述方法还具有如下特点所述用户终端的身份权限在所述用户终端注册的时候,从认证节点传递给该用户 终端注册的接入节点中,并保存于该用户终端的用户上下文中。相应地,上述方法还具有如下特点所述接入节点判断所述用户终端具有网络管理员权限之后,所述接入节点将所述 数据包转发给通信对端对应的核心节点之前,还包括所述接入节点提取该管理员用户可管理的核心网节点地址;所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所 述管理员用户可管理的核心网节点地址中,如果是执行所述正常转发该数据包到目的核心 网节点,否则进行异常处理。相应地,上述方法还具有如下特点所述用户终端可管理的核心网节点地址在所述用户终端注册的时候,从认证服务 器传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中;或者所述 接入节点判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户 终端可管理的核心网节点地址。相应地,上述方法还具有如下特点所述核心网节点地址通过网管配置后下发给所述接入节点。为了解决上述问题,本发明还提供了一种实现上网络设备管理的方法的网络系 统,所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点;其中,所述用户终端,用于向所述接入节点发送数据包,其中包含通信对端的身份标 识;所述接入节点,用于保存所述核心网的核心网节点地址,以及接收到用户终端发 送来的数据包后,提取该数据包中的通信对端的身份标识,然后在所述核心网节点地址中 查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发 或异常处理。相应地,上述网络系统还具有如下特点所述核心网还包括互通节点,以及数据交换或路由节点。相应地,上述网络系统还具有如下特点
所述网络系统为身份标识与位置分离的网络构架(SILSN);所述接入节点为接入服务节点;所述互通节点为互联服务节点(ISN)、数据交换或路由节点为中转设备(RT)。相应地,上述网络系统还具有如下特点所述用户终端发送数据包包括从所述网络系统的一个用户终端发向该网络系统的一个核心网节点,称为类型 二;以及从所述网络系统的一个用户终端发向其他网络系统的一个节点或用户,称为类型三。相应地,上述网络系统还具有如下特点所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式;所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数 据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体 为所述接入节点在所述核心网节点地址中查找该通信对端的身份标识,如果查找 到,进行异常处理,结束;如果查找不到,则所述用户终端为普通用户终端,所述接入节点通 过所述互通节点将所述数据包发送到其他网络系统。相应地,上述网络系统还具有如下特点所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式;所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数 据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体 为所述接入节点在所述核心网节点地址中查找该通信对端的身份标识如果查找不到,进行异常处理,结束;如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权 限判断所述用户终端是否具有网络管理员权限如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。相应地,上述网络系统还具有如下特点所述类型二的数据包与所述类型三的数据包采用相同的数据包格式;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体 为步骤所述接入节点在核心网节点地址中查找所述通信对端的身份标识如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结 束;如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权 限判断所述用户终端是否具有网络管理员权限如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。相应地,上述网络系统还具有如下特点所述认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用 户的身份权限传递给该用户终端注册的接入节点;所述接入节点,还用于将用户的身份权限保存于该用户上下文中。相应地,上述网络系统还具有如下特点所述接入节点,还用于提取管理员用户可管理的核心网节点地址,并判断所述用 户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点 地址中,如果是执行所述正常转发该数据包到目的核心网节点,否则进行异常处理。相应地,上述网络系统还具有如下特点所述认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核 心网节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用 户可管理的核心网节点地址传递给该用户终端注册的接入节点;所述接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端 的用户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互 获取所述用户终端可管理的核心网节点地址。相应地,上述网络系统还具有如下特点所述接入节点是服务GPRS支持节点(SGSN)、网关GPRS支持节点(GGSN)、分组数 据业务节点(PDSN)和宽带接入服务器(BRAQ设备。相应地,上述网络系统还具有如下特点所述认证节点是密钥管理系统(KMS)、归属位置寄存器(HLR)、归属用户服务器 (HSS)、授权/认证/计费服务器(AAA)或其他承担端到端密钥管理和协商功能的实体。上述方法和网络系统有效地防止了普通用户访问核心网节点,从而避免普通用户 对核心网节点发起攻击。在一实施例中,管理员权限用户可以访问特定的核心网节点,方便 网络管理员管理SILSN网络,保证了管理员用户终端正常访问核心网节点。在一实施例中, 实现了管理员不能访问未授权的核心网节点,防止一个核心网节点的管理员借用管理员权 限攻击另外一个核心网节点。
图1为身份标识和位置分离网络的架构;图2为本发明应用示例中类型二和类型三的数据包格式不同时对类型三的数据 包处理时的流程图;图3为本发明应用示例中类型二和类型三的数据包格式不同时对类型二的数据 包处理时的流程图;图4为本发明应用示例中类型二和类型三的数据包格式相同时对类型三的数据 包处理时的流程图。
具体实施例方式下面结合附图详细说明本发明的具体实施方式
。
(1)在接入节点中保存网络的核心网节点地址,核心网节点至少包括接入节点和 认证节点;其中,核心网节点地址可以通过网管配置后下发给接入节点;并可以定期或实时 对下发的核心网节点地址进行更新是固定,还可以是通过人工配置下发等方式对下发给接 入节点核心网节点地址更新。其中,核心网节点地址可以保存在核心网节点表(Core Network Node Table, CNNT)中,当然也可以以其他方式保存,本实施例以CNNT进行说明。核心网节点地址可以为 IP地址。核心网节点还可以包括互通节点和数据交换或路由节点,当然还可以包括其他网 络节点;在ISLSN网络中,接入节点为ASN,认证节点为ILR、互通节点为ISN、数据交换或路 由节点为RT。其中,ASN是逻辑实体,可以是服务GPRS支持节点(Serving GPRS Support Node, SGSN)、网关 GPRS 支持节点(Gateway GPRS Support Node,GGSN)、分组数据业务节 点(Packet Data Serving Node, PDSN)禾口宽带接入月艮务器(Broadband Remote Access Server, BRAS)等设备。(2)当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对 端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,根据查找结果对该 数据包进行处理。如果通信对端的身份标识在核心网节点地址中查找不到,说明用户是在向LIN发 送数据包,接入节点将数据包正常转发;如果通信对端的身份标识在核心网节点地址中查找到,则说明用户不是向LIN节 点发送数据包,而是向SILSN核心网节点发送数据包,此时进一步判断用户是否有管理员 权限,如果有管理员权限,则根据对应的权限进行处理。在实际应用中,UEl发出的三种类型的数据包格式可以相同,也可以不同,当这三 种类型的数据包格式相同时,终端实现最简单,并可以和原有终端兼容,但ASN接收后需要 根据通信对端的身份标识范围进行区分,这会带来一些复杂性,由于在SILSN架构下,类型 一的数据包已经有区分方法,并且不会对核心网节点造成影响,本实施例中假定类型一数 据包已经被排除,只研究如何区分类型二和类型三的数据包,防止用户利用类型二和类型 三的数据包对核心网节点进行攻击。其中,类型一的数据包区分是在ASN中区分的,主要是向ILR查询通信对端的身份 标识是否能查到。另外类型一的数据包,其通信对端的身份标识一般为AID格式,如果不采 用AID格式而使用IP地址,则会使用一段特殊的IP地址,ASN只要分析通信对端的身份标 识是否在这段IP地址内就可以了。为便于简化SILSN网络的终端实现,以及保证终端上的应用程序兼容,可将类型 二和类型三的数据包都采用IPV4/IPV6数据包格式,当然也可以是其他数据格式,以简化 终端处理,在这种应用情况下,ASN先检查数据包的通信对端的身份标识,如果是核心网节 点地址,则认为是类型二的数据包,如果不是核心网节点地址,则认为是类型三的数据包。对于类型三的数据包,ASN可以直接将该数据包发给ISN处理;对于类型二的数据包,为了保证管理员能够正常使用,ASN还可以进一步检查发送12数据包的UE的权限,当UE具有管理员权限,为了对管理员权限进行限制,ASN进一步检查 该管理员管理的核心网节点的地址中,是否包含有该数据包的通信对端的身份标识,如果 包含此通信对端的身份标识,则正常转发到对应SILSN核心网节点,否则丢弃该数据包;如 果发送数据包的UE没有管理员权限,则因UE的用户行为已构成企图向核心网节点进行攻 击,ASN可以将此用户行为保存入日志,然后丢弃数据包,同时根据行为的严重程度对该UE 采取告警的措施或采取屏蔽该UE的措施。当然,在实际部署中,SILSN网络也可以将上述三种类型的数据包配置为采用不同 格式处理,这多用于全部使用新开发的用户终端进行组网的情况下,对三种类型的数据包 采用不同格式可以较好发挥SILSN网络优点,减轻ASN处理负担。当三种类型的数据包格 式不同时,ASN的处理较为简单,只需要根据数据包格式,区分出每种类型的数据包,如果为 类型二的数据包,在CCNT中查找数据包的通信对端的身份标识,如果查找到,则进一步发 送者是否具有管理员权限,如果为管理员权限,可以根据配置访问核心网节点,否则不予访 问核心网节点;如果是类型三的数据包,则在CCNT中查找数据包的通信对端的身份标识, 如果查找到,则进行异常处理,不予访问,否者正常转发。本实施例不考虑类型一的数据包的区分问题,缺省认为类型一的数据包已经被现 有技术中的其他方法剔除,只需要处理类型二和类型三的数据包。值得指出的是,ASN检查用户是否具备管理员权限,并不意味着管理员访问SILSN 核心网节点时,可以不使用管理员密码。为保证SILSN核心网安全,SILSN核心网节点在接 受管理员身份操作的时候,还必须按网管自身的安全认证措施验证,上述流程是用于防止 普通用户访问核心网节点的辅助保护措施,能显著减少核心网节点遭受普通用户攻击的情 况,但并不能完全阻止管理员自己设置较高权限进行攻击的情况,因此也代替不了核心网 节点对管理者的认证,但会大幅缩小核心网节点被攻击的可能。上述ILR是逻辑实体,承担端到端密钥的管理和协商,保存有用户终端属性信息 的节点,在具体应用场景中可以是密钥管理系统(KMS)、归属位置寄存器(Home Location Register,HLR)、归属用户服务器(Home Subscriber krver,HSS)、授权/认证/计费服务 器(Authorization、Authentication、Accounting, AAA)、或其他承担端到端密钥管理和协 商功能的实体。下面通过几个应用示例具体说明本发明的实施方式。由于UE发出的数据包格式 对具体实现流程有一定影响,因此在具体实施中,将根据类型二和类型三的数据包格式相 同与不同分别进行说明。图2所示为类型二和类型三的数据包格式不同时对类型三的数据 包的处理方法,图3所示为类型二和类型三的数据包格式不同时对类型二的数据包的处理 方法,图4所示为类型二和类型三的数据包格式相同时对类型二和类型三的数据包的处理 方法。应用示例一如图2所示,为类型二和类型三的数据包采用不同格式时,对类型三的数据包的 处理方法。本应用示例中,ASN已经将类型一的数据包采用已有方法区分出,因此只剩下类 型二和类型三的数据包。当UEl将数据包发送到ASm时,由于类型二和类型三的数据包格式不同,ASNl 可以根据数据包格式直接分拣出类型三的数据包进行处理,如果Asm进一步发现类型三的数据包中的通信对端的身份标识包括SILSN的核心网节点地址,则认为用户企图攻击 SILSN的核心网,进行异常处理;如果不包含核心网节点地址,则认为是正常发往LIN的数 据包,进行正常转发。具体包括如下步骤步骤201 =ASNl接收到用户UEl发送的类型三的数据包,流程开始;本应用示例中,由于类型二和类型三的数据包采用不同数据包格式,因此Asm已 根据数据包格式分拣出该数据包为类型三的数据包。步骤202 =ASNl提取用户UEl发送的数据包的通信对端的身份标识,记为Dl ;步骤203 =ASNl在其上中保存的SILSN的CNNT中查找D1,如果查找到D1,执行步 骤204,否则执行步骤205 ;本应用示例中,在所有ASN上都保存有核心网节点地址;步骤204 进行异常处理,执行步骤206 ;如果Dl在CNNT内,则说明UEl是向SILSN的核心网节点发送数据包,但由于数据 包格式已经限定该数据包为类型三的数据包,因此可以证明用户企图用类型三的数据包格 式发起对核心网节点的攻击,因此ASN将进行异常处理;其中,异常处理包括丢弃该数据包,将用户行为记入日志,根据历史攻击的严重程 度选择是否告警和屏蔽该UE中的一种或多种;步骤205 将数据包转发到ISN,由ISN发送到LIN节点;如果Dl不在CNNT内,则说明UEl是向LIN节点发送数据包,将该数据包正常转发 至Ij LIN ;步骤206:流程结束;应用示例二如图3所示,为类型二和类型三的数据包格式不同时,对类型二的数据包的处理 方法。ASN已经将UE发送的类型一的数据包挑出并进行了处理,只剩下类型二和类型三的 数据包混合在一起,当类型二和类型三的数据包格式不同时,ASN可以根据数据包格式直接 分拣出类型二的数据包格式并进行相应的处理,如果ASN进一步发现类型二的数据包中的 通信对端的身份标识不在SILSN的CNNT内,则认为此UE发出无效消息,进行丢弃;如果在 CNNT内,则进一步判断该UE是否具备管理员权限,并根据UE的权限决定是否能访问对应的 核心网节点,具体包括如下步骤步骤301 =ASNl接收到用户UEl发送的类型二的数据包,流程开始;本应用示例中,由于类型二和类型三的数据包采用不同数据包格式,因此Asm已 根据数据包格式分拣出该数据包为类型二的数据包。步骤302 =ASNl提取UEl发送的数据包的通信对端的身份标识,记为D2 ;步骤303 =ASNl在SILSN的CNNT中查找D2,如果查找到,执行步骤304,否则执行 309 ;步骤304 =ASNl提取UEl的身份权限;如果D2在CNNT内,则说明UEl是向SILSN的核心网节点发送数据包,或者该UEl 企图扮演网管设备,由于数据包格式已经限定该数据包为类型二的数据包,因此可以说明 用户UEl发送的数据包格式是合法的,然后进一步提取UEl的身份权限。其中,UEl的身份权限可以在UEl注册的时候,从ILR传递到该UEl注册的ASm14中,Asm将UEl的身份权限保存于此UEl上下文中,因此Asm此时可以在UEl的上下文中 提取用户的身份权限。步骤305 =ASNl判断UEl是否具有网络管理员权限,如果是,执行步骤306,否则执 行步骤309 ;步骤306 :ASN提取管理员用户可管理的核心网节点地址;本步骤ASN可以通过在UEl的用户上下文中提取该管理员用户可管理的核心网节 点地址列表,记为Ll ;为防止管理员非法修改不被自己管辖的核心网节点,还可以将管理员可访问的核 心网节点限定在一定范围内,此管理员用户可管理的核心网节点地址列表与其身份权限一 样,保存于认证服务器如ILR中,当用户注册的时候从认证服务器传递给ASN,保存于用户 的上下文中。其中,用户在注册时由ILR向ASN传递用户信息,ASN将这些用户信息保存在ASN 为此用户建立的用户上下文中。其中,用户信息包括1、该用户是否具有管理员权限;2、该用户的管理员权限级别是多少;3、该用户可管理的核心网节点地址列表是什么。也可以在ASm判断UEl为管理员用户后,与ILR进行交互从而提取该管理员用户 可管理的核心网节点地址列表;步骤307 判断UEl发送的数据包的通信对端的身份标识D2是否在Ll中,如果是 执行步骤308,否则执行步骤309 ;步骤308 =ASN正常转发该数据包到目的核心网节点;如果D2在Ll中,则认为管理员在合法管理核心网节点,ASN正常转发此数据包到 对应的核心网节点,执行步骤310 ;步骤309 进行异常处理;步骤310:结束。应用实例三如图4所示,为类型二和类型三的数据包格式相同时对类型二的数据包的处理方 法,此前ASN已经将UE发送的类型一的数据包挑出并进行了处理,只剩下类型二和类型三 的数据包混合在一起,当类型二和类型三的数据包格式相同时,ASN不能根据数据包格式直 接分拣出是类型二或者还是类型三的数据包,因此必须根据数据包的通信对端的身份标识 和用户权限进行处理,具体包括如下步骤步骤401 =ASNl接收到用户UEl发送数据包,流程开始;此数据包可能是类型二的数据包,也可能是类型三的数据包。步骤402 =ASNl提取UEl发送的数据包的通信对端的身份标识,如D3 ;步骤403 =ASNl在ASN中保存的SILSN核心网节点表CNNT中查找D3,如查找到执 行步骤405,否则执行步骤404 ;步骤404 =ASNl将数据包转发给ISN进行处理,执行步骤411 ;如果在403中,在CNNT中未查到D3,则ASm认为LEl正常向LIN发送数据包。步骤405 从用户上下文中提取用户的身份权限;
如果D3在CNNT内,则说明UEl是向SILSN的核心网节点发送数据包,也就是说, 此数据包类型为类型二的数据包或攻击核心网节点的数据包,因此按类型二的数据包进行 处理,然后进一步提取用户的身份权限。步骤406 =ASNl判断UEl是否具有网络管理员权限,如果有执行步骤407,否则执 行步骤410 ;步骤407: ASN提取管理员用户可管理的核心网节点地址;本步骤中,可以在UEl的用户上下文中保存该管理员用户可管理的核心网节点地 址列表,记为L2 ;步骤408 =ASNl判断用户UEl发送的数据包的通信对端的身份标识D3是否在L2 中,如果是,执行步骤409,否则执行步骤;步骤409 =ASNl正常转发该数据包到目的核心网节点;执行步骤411 ;步骤410 进行异常处理;步骤411:结束。本发明通过在接入节点中保存核心网节点的地址,当接入节点收到UE发送来的 数据包后,根据该数据包的通信对端的身份标识查找其所保存的核心网节点的地址,从而 判断该数据包是发送到核心网还是发送到LIN节点。通过这一方法保证了接入节点可以正确识别从SILSN的一个用户终端发送来的 数据包的通信对端的身份标识是发往SILSN的核心网内部节点还是发往LIN节点。另外,本发明并不限于用于身份标识和位置标识分离的网络架构中,还可以用于 其它移动网络或传统网络中。相应地,本实施例还提供了以实现上述方法的一种网络系统,包括核心网和用户 终端;所述核心网包括接入节点和认证节点;其中,用户终端,用于向接入节点发送数据包,其中包含通信对端的身份标识;接入节点,用于保存核心网的核心网节点地址,以及接收到用户终端发送来的数 据包后,提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对 端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。其中,核心网还包括互通节点,以及数据交换或路由节点。认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用户的 身份权限传递给该用户终端注册的接入节点;接入节点,还用于将用户的身份权限保存于该用户上下文中;以及提取管理员用 户可管理的核心网节点地址,并判断所述用户终端发送的数据包的通信对端的身份标识是 否在所述管理员用户可管理的核心网节点地址中,如果是执行所述正常转发该数据包到目 的核心网节点,否则进行异常处理。认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核心网 节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用户可 管理的核心网节点地址传递给该用户终端注册的接入节点;接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端的用 户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取 所述用户终端可管理的核心网节点地址。1权利要求
1.一种网络设备管理的方法,包括在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点和 认证节点;当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份 标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端 的身份权限对该数据包进行转发或异常处理。
2.如权利要求1所述的方法,其特征在于所述核心网节点还包括互通节点,以及数据交换或路由节点。
3.如权利要求2所述的方法,其特征在于所述第一网络为身份标识与位置分离的网络构架(SILSN);所述接入节点为接入服务节点;所述互通节点为互联服务节点(ISN)、数据交换或路由节点为中转设备(RT)。
4.如权利要求1所述的方法,其特征在于,所述异常处理为所述接入节点丢弃所述数据包,将用户行为记入日志,根据情况进行 告警,或屏蔽用户中的一种或几种。
5.如权利要求1或2或3或4所述的方法,其特征在于,所述用户终端发送来的数据包 包括从所述第一网络的一个用户终端发向该第一网络的一个核心网节点,称为类型二 ;以 及从所述第一网络的一个用户终端发向第二网络的一个节点或用户,称为类型三。
6.如权利要求5所述的方法,其特征在于,所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接入节 点根据接收到的数据包格式区分出所述数据包为类型三的数据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括 如下步骤所述接入节点在所述核心网节点地址中查找该通信对端的身份标识如果查找到,进行异常处理,结束;如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过互通节点将所述 数据包发送到第二网络。
7.如权利要求5所述的方法,其特征在于,所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接入节 点根据接收到的数据包格式区分出所述数据包为类型二的数据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括 如下步骤所述接入节点在所述核心网节点地址中查找该通信对端的身份标识如果查找不到,进行异常处理,结束;如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判 断所述用户终端是否具有网络管理员权限如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
8.如权利要求5所述的方法,其特征在于,所述类型二的数据包与所述类型三的数据 包采用相同的数据包格式;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括 如下步骤所述接入节点在核心网节点地址中查找所述通信对端的身份标识 如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结束; 如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判 断所述用户终端是否具有网络管理员权限 如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。
9.如权利要求7或8所述的方法,其特征在于所述用户终端的身份权限在所述用户终端注册的时候,从认证节点传递给该用户终端 注册的接入节点中,并保存于该用户终端的用户上下文中。
10.如权利要求9所述的方法,其特征在于所述接入节点判断所述用户终端具有网络管理员权限之后,所述接入节点将所述数据 包转发给通信对端对应的核心节点之前,还包括所述接入节点提取该管理员用户可管理的核心网节点地址;所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管 理员用户可管理的核心网节点地址中,如果是执行所述正常转发该数据包到目的核心网节 点,否则进行异常处理。
11.如权利要求10所述的方法,其特征在于所述用户终端可管理的核心网节点地址在所述用户终端注册的时候,从认证服务器传 递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中;或者所述接入 节点判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端 可管理的核心网节点地址。
12.如权利要求1所述的方法,其特征在于所述核心网节点地址通过网管配置后下发给所述接入节点。
13.基于权利要求1所述的一种网络设备管理的方法的网络系统,其特征在于,所述网 络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点;其中,所述用户终端,用于向所述接入节点发送数据包,其中包含通信对端的身份标识; 所述接入节点,用于保存所述核心网的核心网节点地址,以及接收到用户终端发送来 的数据包后,提取该数据包中的通信对端的身份标识,然后在所述核心网节点地址中查找 该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异 常处理。
14.如权利要求13所述的网络系统,其特征在于所述核心网还包括互通节点,以及数据交换或路由节点。
15.如权利要求14所述的网络系统,其特征在于 所述网络系统为身份标识与位置分离的网络构架(SILSN); 所述接入节点为接入服务节点;所述互通节点为互联服务节点(ISN)、数据交换或路由节点为中转设备(RT)。
16.如权利要求14或15所述的网络系统,其特征在于,所述用户终端发送数据包包括从所述网络系统的一个用户终端发向该网络系统的一个核心网节点,称为类型二;以 及从所述网络系统的一个用户终端发向其他网络系统的一个节点或用户,称为类型三。
17.如权利要求16所述的网络系统,其特征在于,所述类型二的数据包与所述类型三 的数据包采用不相同的数据包格式;所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为 所述接入节点在所述核心网节点地址中查找该通信对端的身份标识,如果查找到,进 行异常处理,结束;如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过所 述互通节点将所述数据包发送到其他网络系统。
18.如权利要求16所述的网络系统,其特征在于,所述类型二的数据包与所述类型三 的数据包采用不相同的数据包格式;所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数据包;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为 所述接入节点在所述核心网节点地址中查找该通信对端的身份标识 如果查找不到,进行异常处理,结束;如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判 断所述用户终端是否具有网络管理员权限 如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
19.如权利要求16所述的网络系统,其特征在于,所述类型二的数据包与所述类型三 的数据包采用相同的数据包格式;所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为步骤所述接入节点在核心网节点地址中查找所述通信对端的身份标识 如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结束; 如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判 断所述用户终端是否具有网络管理员权限 如果没有,进行异常处理,结束;否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。
20.如权利要求18或19所述的网络系统,其特征在于所述认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用户的 身份权限传递给该用户终端注册的接入节点;所述接入节点,还用于将用户的身份权限保存于该用户上下文中。
21.如权利要求20所述的网络系统,其特征在于所述接入节点,还用于提取管理员用户可管理的核心网节点地址,并判断所述用户终 端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址 中,如果是执行所述正常转发该数据包到目的核心网节点,否则进行异常处理。
22.如权利要求21所述的网络系统,其特征在于所述认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核心网 节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用户可 管理的核心网节点地址传递给该用户终端注册的接入节点;所述接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端的用 户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取 所述用户终端可管理的核心网节点地址。
23.如权利要求13所述的系统,其特征在于所述接入节点是服务GPRS支持节点(SGSN)、网关GPRS支持节点(GGSN)、分组数据业 务节点(PDSN)和宽带接入服务器(BRAQ设备。
24.如权利要求13所述的系统,其特征在于所述认证节点是密钥管理系统(KMS)、归属位置寄存器(HLR)、归属用户服务器(HSS)、 授权/认证/计费服务器(AAA)或其他承担端到端密钥管理和协商功能的实体。
全文摘要
一种网络设备管理的方法,包括在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点和认证节点;当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。相应地,本发明还提供了网络系统,所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点。上述方法和网络系统有效地防止了普通用户访问核心网节点,从而避免普通用户对核心网节点发起攻击。
文档编号H04L12/56GK102045307SQ20091018111
公开日2011年5月4日 申请日期2009年10月10日 优先权日2009年10月10日
发明者张世伟, 符涛, 许志军 申请人:中兴通讯股份有限公司