專利名稱:一種移動網(wǎng)中防止移動終端間互相攻擊的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到無線通訊系統(tǒng)��,具體地說涉及一種移動網(wǎng)中防止移動終 端間互相攻擊的方法及系統(tǒng)�。
背景技術(shù):
隨著移動網(wǎng)絡(luò)的發(fā)展��,移動網(wǎng)絡(luò)的安全問題也越來越受到人們的關(guān)注��。 對比互聯(lián)網(wǎng)�����,互聯(lián)網(wǎng)由于發(fā)展歷史相對較遠(yuǎn)�����,在病毒和防病毒、攻擊和防 攻擊的網(wǎng)絡(luò)安全博弈過程中誕生了很多安全工具和策略����,無論在運營商方 面還是在互聯(lián)網(wǎng)終端(主要指個人電腦)方面都具有較完備的安全策略, 因而為互聯(lián)網(wǎng)的運營提供了良好的保障���;而在移動網(wǎng)絡(luò)中���,盡管在運營商 方面具有較好的安,全策略,然而在移動終端(Mobile Station,簡稱MS) 方面����,由于移動終端自身軟硬件的限制,不能象個人電腦那樣可以運行個 人防火墻���、殺毒軟件等工具來保護(hù)自身的安全�����,這樣就給移動用戶的安全 造成威脅�����,給移動運營商的運營帶來麻煩���。
目前在移動網(wǎng)絡(luò)中����,無論是移動通信網(wǎng)的通用分組無線業(yè)務(wù)(General Packet Radio Service,簡稱GPRS)網(wǎng)絡(luò)����、第三代移動通信網(wǎng)的分組交換 (Packet Switched,簡稱PS)域網(wǎng)絡(luò),還是微波接入全球互操作系統(tǒng) (Worldwide Interoperability for Microwave Access, 簡禾爾WiMax)等 的寬帶移動網(wǎng)絡(luò)��,移動用戶的業(yè)務(wù)模式都是通過移動網(wǎng)絡(luò)向服務(wù)提供商 (Service Provider,簡稱SP)來請求業(yè)務(wù)�,在移動網(wǎng)絡(luò)和SP的網(wǎng)絡(luò)間 存在運營商的網(wǎng)關(guān),這樣移動終端和SP間的網(wǎng)絡(luò)安全可以通過運營商的網(wǎng) 關(guān)使用互聯(lián)網(wǎng)的一套網(wǎng)絡(luò)安全策略來保障�����, 下面以第三代移動通信的PS 域和寬帶無線通信的WiMax為例來說明目前的技術(shù)實現(xiàn)情況���。
圖1顯示的是PS域下的同一接入點名稱(Access Point Name,簡稱 APN,移動通信的MS通過它來訪問SP提供的服務(wù)內(nèi)容)下的兩移動終端的 互相訪問的數(shù)據(jù)流向�,其過程是假設(shè)兩移動終端(發(fā)送側(cè)移動終端MSI和接收側(cè)移動終端MS2)都已經(jīng)激活成功,.MS1的用戶面報文通過UMTS (Universal Mobile Telecommunication System, 通用移動通信系統(tǒng))陸 地?zé)o線接入網(wǎng)絡(luò)(UMTS Terrestrial Radio Access Network ��,簡稱UT應(yīng)) 到達(dá)服務(wù)GPRS支持節(jié)點(Service GPRS Support Node,簡稱SGSN�,是核 心網(wǎng)側(cè)負(fù)責(zé)移動性管理的網(wǎng)元),然后經(jīng)過Gn接口到網(wǎng)關(guān)GPRS支持節(jié)點 (Gateway GPRS Support Node,簡稱GGSN,是核心網(wǎng)側(cè)負(fù)責(zé)接入到和發(fā) 送出核心網(wǎng)的網(wǎng)元)�����,GGSN判斷該報文的目的地址是同一APN下的MS2的 地址�����,則不通過Gi接口發(fā)到運營商的網(wǎng)關(guān)��,而是通過Gn接口發(fā)給SGSN�����, SGSN通過UTRAN轉(zhuǎn)發(fā)給MS2����,即報文流程是MSI — 〉UTRAN—〉SGSN—〉GGSN —〉SGSN - 〉證AN」〉MS2 。
圖2顯示的是WiMax網(wǎng)絡(luò)下同一網(wǎng)絡(luò)服務(wù)點(Network Service Point, 簡稱NSP)下的兩移動終端的互相訪問數(shù)據(jù)流向����,其過程是假設(shè)兩移動 終端在網(wǎng)絡(luò)注冊成功,MS1的用戶面報文通過基站(Base Station,簡稱 BS)到達(dá)接入服務(wù)網(wǎng)網(wǎng)關(guān)(Access Service Network Gateway,簡稱AGW�����, 是無線寬帶接入網(wǎng)絡(luò)的網(wǎng)關(guān),提供移動性管理�、會話管理和接入等功能), AGW判斷該報文的目的地址是同一 NSP下的MS2的地址��,則不通過R3接口 發(fā)到運營商的網(wǎng)關(guān)�,而是通過BS發(fā)給MS2,即報文的流程是MS1 — 〉BS — 〉A(chǔ)GW —〉BS —>MS2���。
由上面分析^T'見現(xiàn)有技術(shù)方案存在的問題是同一 APN (或NSP)下的 移動終端間的相互訪問是不經(jīng)過運營商的阿關(guān)的����,而移動終端本身的安全 性不高����,因此,同一APN(或NSP)下的移動終端間的病毒傳播及網(wǎng)絡(luò)攻擊 可以繞開運營商的網(wǎng)關(guān)而給用戶安全和移動網(wǎng)絡(luò)的運營帶來威脅��。
發(fā)明內(nèi)容
有鑒于上述情況��,本發(fā)明提供了一種移動網(wǎng)中防止移動終端間互相攻 擊的方法及系統(tǒng)�,以便提高移動網(wǎng)絡(luò)中的移動終端的使用安全性�。
為了解決上述技術(shù)問題,本發(fā)明提出的技術(shù)方案是
一種移動網(wǎng)中'防止移動終端間互相攻擊的方法�,包含如下步驟
.A�����、在核心網(wǎng)上配置移動終端互相訪問的控制規(guī)則��;
B����、發(fā)送側(cè)移動終端將報文發(fā)送到發(fā)送側(cè)用戶面單元�����;c�����、發(fā)送側(cè)用戶面單元判斷報文的目的地址是否和發(fā)送側(cè)移動終端的地
址屬于同一個虛擬潞由空間����,如是,則對所述報文封裝發(fā)送側(cè)移動終端的
服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記�,轉(zhuǎn)發(fā)封裝后的報文到接收側(cè)用戶面單元; D��、接收側(cè)用戶面單元根據(jù)所述封裝后的報文中的所述服務(wù)點標(biāo)記和虛 擬路由空間標(biāo)記判斷發(fā)送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù) 點�,如是���,按照步驟A中的所述控制規(guī)則對所述封裝后的報文進(jìn)行相應(yīng)處理。
所述控制規(guī)則包括1)允許報文通過�;2)丟棄報文;3)將報文重定 向到運營商網(wǎng)關(guān)��。所述接收側(cè)用戶面單元根據(jù)所述控制規(guī)則對發(fā)送報文對 應(yīng)進(jìn)行下述三種處理之一1)轉(zhuǎn)發(fā)到接收側(cè)移動終端��;2)丟棄報文���;3) 重定向到運營商網(wǎng),關(guān)��。
所述服務(wù)點與地址池一一對應(yīng)�����,所述地.址池為本地地址池或外地地址 池����,當(dāng)移動終端地址分配方式為核心網(wǎng)設(shè)備分配方式��,配置本地地址池�����, 當(dāng)移動終端地址分配方式為動態(tài)主機(jī)配置協(xié)議或遠(yuǎn)程用戶接入認(rèn)證系統(tǒng)方 式����,配置外地地址池; 一個服務(wù)點和地址池至少關(guān)聯(lián)一個虛擬路由空間�����。
所述移動終端包括手機(jī)�、Wimax終端或使用數(shù)據(jù)卡的個人電腦。
本發(fā)明的另外一種移動網(wǎng)中防止移動終端間互相攻擊的方法����,包含如 下步驟
A、 在核心網(wǎng)上配置移動終端互相訪問的控制規(guī)則�����;
B�、 發(fā)送側(cè)移寧終端將報文發(fā)送到發(fā)送側(cè)用戶面單元;
c�����、發(fā)送側(cè)用戶面單元判斷報文的目的地.址是否和發(fā)送側(cè)移動終端的地
址屬于同一個服務(wù)點����,如是���,則對所述報文封裝發(fā)送側(cè)移動終端的服務(wù)點
標(biāo)記,轉(zhuǎn)發(fā)封裝后的報文到接收側(cè)用戶面單元��;
D����、接收側(cè)用戶面單元根據(jù)所述封裝后的報文中的所述服務(wù)點標(biāo)記判斷 發(fā)送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù)點,如是�����,按照步驟 A中的所述控制規(guī)則對所述封裝后的報文進(jìn)行相應(yīng)處理�����。
本發(fā)明還公開了一種移動網(wǎng)中防止移動終端間互相攻擊的系統(tǒng)�����,在核 心網(wǎng)上包含
配置模塊��,用,于配置移動終端互相訪問的控制規(guī)則�,及配置服務(wù)點和 地址池,服務(wù)點和地址池同虛擬路由空間的關(guān)聯(lián)關(guān)系���;用戶面單元,用于接收發(fā)送側(cè)移動終端發(fā)送來的報文�,并判斷所述報 文的目的地址和發(fā)送側(cè)移動終端是否處在相同的虛擬路由空間,如果是則 對所述報文封裝發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記并轉(zhuǎn)
發(fā)���;且根據(jù)所述發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記判斷發(fā) 送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù)點�����,并在是的時候按照 所述訪問規(guī)則配置模塊配置的控制規(guī)則對封裝后的報文進(jìn)行相應(yīng)處理�。
所述的系統(tǒng)���,配置模塊配置的控制規(guī)則包括1)允許報文通過���;2) 丟棄報文;3)將報文重定向到運營商網(wǎng)關(guān)�。
所述配置模塊中配置的地址池為本地地址池或外地地址池,當(dāng)移動終 端地址分配方式為核心網(wǎng)設(shè)備分配方式�,配置本地地址池,當(dāng)移動終端地 址分配方式為動態(tài)主機(jī)配置協(xié)議或遠(yuǎn)程用戶接入認(rèn)證系統(tǒng)方式,配置外地 地址池�����。
本發(fā)明通過配置移動終端互相訪問的規(guī)則�����,并在判斷移動終端屬于同 一虛擬路由空間的同一服務(wù)點的時候根據(jù)配置的訪問規(guī)則進(jìn)行相應(yīng)的處 理����,.從而可以有效地對移動終端間的互相訪'問進(jìn)行控制,加強(qiáng)了移動網(wǎng)絡(luò) 的安全性�����。
圖1是現(xiàn)有技術(shù)中的同一APN下MS互相訪問的系統(tǒng)架構(gòu)圖�; 圖2是現(xiàn)有技術(shù)中的同一 NSP下MS互相訪問的系統(tǒng)架構(gòu)圖3是本發(fā)明具體實施方式
的防止移動終端間互相攻擊的模塊圖; 圖4是本發(fā)明,具體實施方式
的防止移動終端間互相攻擊的流程圖5是本發(fā)明具體實施方式
的防止移動.終端間互相攻擊的系統(tǒng)圖�����。
具體實施例方式
下面對照附圖并結(jié)合具體實施方式
對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明��。 為了防止移動終端間的互相攻擊�����,必須有能夠?qū)ν环?wù)點(可以是
APN或NSP)下移動終端間的互相訪問進(jìn)行控制的方法,為此����,本發(fā)明在移
動核心網(wǎng)上提供一組互相訪問控制規(guī)則供運營商去選擇配置(1)允許同
一APN (或NSP)下的MS互相訪問;(2)禁止同一APN (或NSP)下的MS互相訪問����,即丟棄MS的互訪報文����;(3)把同一APN (或NSP)下的MS互訪 報文重定向到運營商的網(wǎng)關(guān),由網(wǎng)關(guān)來決定該報文的轉(zhuǎn)發(fā)或者丟棄�。當(dāng)同 一APN (或NSP)下的移動終端互相訪問報文到達(dá)GGSN (或AGW)時,GGSN (或AGW)根據(jù)運營商所配置的訪問控制規(guī)則來決定報文的轉(zhuǎn)發(fā)或丟棄�����。
通過判斷報文是否是同一 APN (或NSP)下移動終端互相訪問的報文而 采取相應(yīng)的訪問控制規(guī)則可以實現(xiàn)對兩移動終端間的互相安全訪問�。APN (或NSP)與地址池一一對應(yīng),地址池根據(jù)MS的地址分配方式相應(yīng)配置���, 即如果APN (或NSP)選擇的是本地分配地址則需要配置本地地址池�,如果 是動態(tài)主禾幾配置協(xié)議(Dynamic Host configuration Protocol,簡稱DHCP) 或者是遠(yuǎn)程用戶接入認(rèn)證系統(tǒng)(Remote Authentication Dial In User Service,簡稱RADIUS)分配地址則需要配置外部地址池。
同時對于這種情況也要考慮如果核心網(wǎng)設(shè)備具有虛擬路由功能 (Virtue Route Function,簡稱VRF)�����,即同一個APN (或NSP)���,例如APN1 屬于不同的虛擬路由空間����,例如VRF1和VRF2�����,則屬于VRF1中的APN1下 的移動終端和屬于VRF2中ANP1下的移動終端不應(yīng)該算是屬于同一個APN�, 本發(fā)明也實現(xiàn)了對這種情況的區(qū)分。
總體上說���,本發(fā)明的技術(shù)方案包含以下步驟
(a) 在系統(tǒng)中配置MS互相訪問的控制規(guī)則(l)允許�;(2)禁止����;(3)
重定向,選擇該策略時需要配置重定向網(wǎng)關(guān)地址�。三種規(guī)則只能選擇其中 一種���;
(b) 在系統(tǒng)中配置本地地址池或外部地址池及其所在的虛擬路由空間 標(biāo)識(VRF ID)。如果本APN (或NSP)使用本地地址分配方式則關(guān)聯(lián)相應(yīng) 的本地地址池�����,如果使用DHCP或者RADIUS分配地址則關(guān)聯(lián)相應(yīng)的外部地 址池�����;
(c) 當(dāng)MS發(fā)送報文時�����,在發(fā)送方MS所在的用戶面單元根據(jù)報文的目 的地址和本MS所在的VRF ID查找數(shù)據(jù)庫��,'如果査找成功則表示目的地址 是屬于本VRF空間內(nèi)的移動終端地址����,則根據(jù)目的地址的負(fù)荷分擔(dān)策略將 該報文及源MS所在的APN ID和VRF ID轉(zhuǎn)發(fā)到接收方MS所在的用戶面單 元�,接收方所在的用戶面單元判斷這兩個MS是否屬于同一個APN(或NSP), 如果是同一個APN (或NSP)則根據(jù)運營商選擇的控制規(guī)則來決定丟棄該報 文�、允許該報文通過或者是將該報文重定向到運營商的網(wǎng)關(guān);如果查找失敗則表示兩MS不在同一 APN (或NSP)下�,則把報文轉(zhuǎn)發(fā)到Gi接口 ����。
本發(fā)明的主要特點是步驟(a)中�,在系統(tǒng)中配置了幾種控制規(guī)則可 供不同運營商根據(jù)自身的運營情況去靈活選擇。步驟(b)中�����,能夠判斷區(qū) 分相同服務(wù)點和地址池處在不同虛擬路由空間的情況����;同時,無論運營商 使用本地分配地址還是DHCP或者RADIUS分配地址都能準(zhǔn)確判斷是否屬于 同一個APN (或NSP)����。而在步驟(c)中,只是在用戶面單元中增加了一種 判斷����,并不因此而影響系統(tǒng)的性能。
在本發(fā)明中����,對于正常的MS業(yè)務(wù),上行業(yè)務(wù)的目的地址仍是到SP的 服務(wù)器����,報文通過Gi接口 (或R3接口)發(fā)出GGSN (或AGW)���,下行業(yè)務(wù)從 Gi接口 (R3接口)過來,從Gn接口 (或R'6接口)轉(zhuǎn)發(fā)給MS��,本發(fā)明的 實現(xiàn)方案并不影響正常的MS業(yè)務(wù)�,只是給同一APN (或NSP)下MS間病毒 傳播等相關(guān)攻擊加了一道屏障。
本發(fā)明的實施前提是兩移動終端都已經(jīng)在網(wǎng)絡(luò)側(cè)激活(對于WiMax終 端為注冊)成功�,如果接收數(shù)據(jù)的移動終端沒有處于激活狀態(tài),則下行數(shù) 據(jù)會觸發(fā)反向激活(或注冊)流程���,激活流程和反向激活流程的具體步驟 請參見3GPP (3rd Generation Partnership Project,第三{戈移動通{言伙 伴工程)協(xié)議TS23. 060�����,注冊和反向注冊流程請參見麗G Stage3(Networks WorkGroup, WiMaX的網(wǎng)絡(luò)工作組,負(fù)責(zé)網(wǎng)絡(luò)側(cè)協(xié)議的編寫和管理)�����,此處 不再贅述����。
下面以3G用戶為例來對本發(fā)明進(jìn)行詳細(xì)說明�,為方便描述����,把發(fā)送報 文的移動終端命名為MS1,接收報文的移動終端命名為MS2����,此處的MS可 以是手機(jī)、WiMax終端和使用數(shù)據(jù)卡的個人電腦等各種移動終端����。
參見圖3,在核心網(wǎng)設(shè)備中��,主要有三個模塊相互配合實現(xiàn)本發(fā)明���, 包括MS1所在的用戶面單元��、數(shù)據(jù)庫模塊和MS2所在的用戶面單元����。其 中數(shù)據(jù)庫模塊通過網(wǎng)管配置獲得相關(guān)數(shù)據(jù)的�����,在,述處理流程前,首先對 網(wǎng)管配置數(shù)據(jù)進(jìn)行簡述��。 '
網(wǎng)管配置首先需要運營商配置移動終端間互相訪問的控制規(guī)則�;其次 根據(jù)運;商選擇的移動終端地址分配方式^e配置地址池及關(guān)聯(lián)的VRF,如 果是核i�����、網(wǎng)設(shè)備為移動終端分配地址則需要配置本地地址池和相應(yīng)的 VRF���,如果是使用DHCP或RADIUS分配地址����,則需要配置外部地址池及相應(yīng) 的VRF;最后配置移動終端激活所使用的APN���,該APN關(guān)聯(lián)上述地址池��。參見圖4�,本霧明的業(yè)務(wù)處理流程具體包含以下步驟
步驟SOl����, MS1發(fā)送的報文到達(dá)MS1用戶面分組數(shù)據(jù)協(xié)議(Packet Data Protocol,簡稱PDP)上下文所在的用戶面單元�;
步驟S02��,MS1所在的用戶面單元根據(jù)報文的目的地址和MSI所在的VRF ID 去查找數(shù)據(jù)庫模塊����,如果査找失敗則轉(zhuǎn)至步驟S06;如果査找成功則說明 報文的目的地址和MS1的地址是同一個VRF空間內(nèi)的MS2的地址�;
步驟S03, MSI所在的用戶面單元將報文封裝APN ID和VRF ID后以內(nèi)部報 文的形式轉(zhuǎn)發(fā)到MS2的PDP上下文所在的用戶面單元�����;
步驟S04�����, MS2的PDP上下文所在的用戶面單元解封裝報文后����,比較報文中 的APNID和MS2戶々在的APNID,如果不同則轉(zhuǎn)至步驟S06;如果相同則査 找運營商配置的移動終端間互相訪問的控制規(guī)則����,轉(zhuǎn)到步驟S05;
步驟S05,如果運營商配置的控制規(guī)則為允許互相訪問��,則轉(zhuǎn)發(fā)該報文到 Gn口,否則如果控制策略為禁止互相訪問則丟棄該報文�����,否則如果控制策 略為重定向到運營商的網(wǎng)關(guān)�����,則査找系統(tǒng)配置的具有相同VRF ID的運營商 的重定向網(wǎng)關(guān)���,轉(zhuǎn)發(fā)報文到該網(wǎng)關(guān)(必須配置運營商的重定向網(wǎng)關(guān)��,這個 應(yīng)該由操作維護(hù)人員來保證)����,否則屬于系統(tǒng)出現(xiàn)異常����,產(chǎn)生告警提示操作 維護(hù)人員;
步驟S06�����,査路由表轉(zhuǎn)發(fā)報文���。
本發(fā)明還相應(yīng)地提出了實施本發(fā)明所述方法的防止移動終端互相攻擊 的系統(tǒng)����,參見圖5;其在核心網(wǎng)上包含
配置模塊��,用于配置移動終端互相訪問^控制規(guī)則�,控制規(guī)則包括(l) 允許;(2)禁止�;(3)重定向,選擇該策略時需要配置重定向網(wǎng)關(guān)地址����。 同時,配置模塊還用于配置服務(wù)點和地址池及服務(wù)點和地址池同虛擬路由 空間的關(guān)聯(lián)關(guān)系�;服務(wù)點和地址池一一對應(yīng), 一個服務(wù)點和地址池則可以 對應(yīng)至少一個虛擬路由空間���,既服務(wù)點和地址池通虛擬路由空間的關(guān)聯(lián)關(guān) 系可以是一對多��。
用戶面單元���,包含對發(fā)送側(cè)和接收側(cè)兩部分的處理,在發(fā)送側(cè)����,其用 于接收發(fā)送側(cè)移動終端發(fā)送來的報文�,并判斷所述報文的目的地址和發(fā)送 側(cè)移動終端是否處在相同的虛擬路由空間����,如果是,則對所述報文封裝發(fā) 送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間寸示記并轉(zhuǎn)發(fā)至接收側(cè)����;在接收側(cè),則根據(jù)所述發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間 標(biāo)記判斷發(fā)送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù)點��,并在是 的時候��,按照所述訪問規(guī)則配置模塊配置的控制規(guī)則對封裝后的報文進(jìn)行 相應(yīng)處理��。
配置模塊中配置的地址池為本地地址池或外地地址池����,當(dāng)移動終端地 址分配方式為核心網(wǎng)設(shè)備分配方式,配置本地地址池�����,當(dāng)移動終端地址分 配方式為動態(tài)主機(jī)配置協(xié)議或遠(yuǎn)程用戶接入認(rèn)證系統(tǒng)方式�����,配置外地地址 池。由于系統(tǒng)操作流程與方法步驟類似�,此處不再贅述�。
本發(fā)明針對移動終端間的互相訪問,在核心網(wǎng)為運營商提供靈活的配 置規(guī)則�����,核心網(wǎng)設(shè)備根據(jù)運營商的配置規(guī)則來決定對移動終端間互相訪問
的報文進(jìn)行轉(zhuǎn)發(fā)和丟棄���,從而實現(xiàn)了對同一APN (或NSP)下移動終端間互 相訪問進(jìn)行控制����,提高了移動網(wǎng)絡(luò)的安全性��。
以上所述僅為本發(fā)明的優(yōu)選實施方案�,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的 普通技術(shù)人員來說���,在不脫離本發(fā)明原理的前提下��,還可以做出若干改進(jìn) 和潤飾����,這些改進(jìn)和潤飾也應(yīng)該視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1. 一種移動網(wǎng)中防止移動終端間互相攻擊的方法�,其特征在于,包含如下步驟A�����、在核心網(wǎng)上配置移動終端互相訪問的控制規(guī)則�����;B��、發(fā)送側(cè)移動終端將報文發(fā)送到發(fā)送側(cè)用戶面單元���;C�、發(fā)送側(cè)用戶面單元判斷報文的目的地址是否和發(fā)送側(cè)移動終端的地址屬于同一個虛擬路由空間����,如是,則對所述報文封裝發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記����,轉(zhuǎn)發(fā)封裝后的報文到接收側(cè)用戶面單元����;D���、接收側(cè)用戶面單元根據(jù)所述封裝后的報文中的所述服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記判斷發(fā)送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù)點�����,如是,按照步驟A中的所述控制規(guī)則對所述封裝后的報文進(jìn)行相應(yīng)處理���。
2. 如權(quán)利要求l所述的方法�,其特征在于��,所述控制規(guī)則包括1) 允許報文通過����;2)丟棄報文;3)將報文重定向到運營商網(wǎng)關(guān)���。所述接收 側(cè)用戶面單元根據(jù)所述控制規(guī)則對發(fā)送報文對應(yīng)進(jìn)行下述三種處理之一 1)轉(zhuǎn)發(fā)到接收側(cè)移動終端�����;2)丟棄報文���;3)重定向到運營商網(wǎng)關(guān)�����。
3. 如權(quán)利要求1或2所述的方法����,其特征在于���,所述服務(wù)點與地址池 一一對應(yīng)��,所述地址池為本地地址池或外地.地址池�,當(dāng)移動終端地址分配 方式為核心網(wǎng)設(shè)備分配方式���,配置本地地址池�����,當(dāng)移動終端地址分配方式 為動態(tài)主機(jī)配置協(xié)議或遠(yuǎn)程用戶接入認(rèn)證系統(tǒng)方式����,配置外地地址池;一 個服務(wù)點和地址池至少關(guān)聯(lián)一個虛擬路由空間���。
4. 如權(quán)利要求1或2所述的方法���,其特征在于,所述移動終端包括手 機(jī)�����、Wimax終端或使用數(shù)據(jù)卡的個人電腦�����。
5. —種移動網(wǎng)中防止移動終端間互相攻擊的方法���,其特征在于,包含 如下步驟A��、 在核心網(wǎng)上配置移動終端互相訪問的控制規(guī)則���;B����、 發(fā)送側(cè)移動終端將報文發(fā)送到發(fā)送側(cè)用戶面單元;C�、 發(fā)送側(cè)用戶面單元判斷報文的目的地址是否和發(fā)送側(cè)移動終端的地 址屬于同一個服務(wù)點,如是����,則對所述報文封裝發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記,轉(zhuǎn)發(fā)封裝后的報文到接收側(cè)用戶面單元�����;D����、接收側(cè)用戶.面單元根據(jù)所述封裝后的報文中的所述服務(wù)點標(biāo)記判斷 發(fā)送側(cè)移動終端和接收側(cè)移動終端是否屬于,同一服務(wù)點��,如是���,按照步驟 A中的所述控制規(guī)則對所述封裝后的報文進(jìn)行相應(yīng)處理�。
6. —種移動網(wǎng)中防止移動終端間互相攻擊的系統(tǒng)����,其特征在于,在核 心網(wǎng)上包含配置模塊,用于配置移動終端互相訪問的控制規(guī)則�����,及配置服務(wù)點和 地址池�����,服務(wù)點和地址池同虛擬路由空間的關(guān)聯(lián)關(guān)系��;用戶面單元�,用于接收發(fā)送側(cè)移動終端發(fā)送來的報文,并判斷所述報 文的目的地址和發(fā)送側(cè)移動終端是否處在相同的虛擬路由空間��,如果是則 對所述報文封裝發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記并轉(zhuǎn) 發(fā)�;且根據(jù)所述發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記判斷發(fā) 送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù)點,并在是的時候按照 所述訪問規(guī)則配置模塊配置的控制規(guī)則對封裝后的報文進(jìn)行相應(yīng)處理�。
7. 如權(quán)利要求6所述的系統(tǒng),其特征在于���,所述配置模塊配置的控制 規(guī)則包括1)允許報文通過;2)丟棄報文��;3)將報文重定向到運營商網(wǎng) 關(guān)����。
8. 如權(quán)利要求6或7所述的系統(tǒng)�,其特征在于����,所述配置模塊中配置 的地址池為本地地址池或外地地址池,當(dāng)移動終端地址分配方式為核心網(wǎng) 設(shè)備分配方式���,配置本地地址池�,當(dāng)移動終端地址分配方式為動態(tài)主機(jī)配 置協(xié)議或遠(yuǎn)程用戶'接入認(rèn)證系統(tǒng)方式�,配置外地地址池。
9.如權(quán)利要求6或7所述的系統(tǒng)�,其特征在于,所述移動終端包括手 機(jī)���、Wimax終端或使用數(shù)據(jù)卡的個人電腦��。
全文摘要
本發(fā)明公開了一種移動網(wǎng)中防止移動終端間互相攻擊的方法和系統(tǒng)�����,所述方法包含如下步驟A.在核心網(wǎng)上配置移動終端互相訪問的控制規(guī)則�;B.發(fā)送側(cè)移動終端將報文發(fā)送到發(fā)送側(cè)用戶面單元����;C.發(fā)送側(cè)用戶面單元判斷報文目的地址是否和發(fā)送側(cè)移動終端的地址屬于同一個虛擬路由空間�����,如是�����,則對報文封裝發(fā)送側(cè)移動終端的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記并轉(zhuǎn)發(fā)到接收側(cè)用戶面單元����;D.接收側(cè)用戶面單元根據(jù)封裝后的報文中的服務(wù)點標(biāo)記和虛擬路由空間標(biāo)記判斷發(fā)送側(cè)移動終端和接收側(cè)移動終端是否屬于同一服務(wù)點����,如是,按照所述控制規(guī)則對封裝后的報文進(jìn)行相應(yīng)處理�。本發(fā)明可以有效地對移動終端間的互相訪問進(jìn)行控制,加強(qiáng)了移動網(wǎng)絡(luò)的安全性����。
文檔編號H04L12/28GK101547185SQ20081006643
公開日2009年9月30日 申請日期2008年3月27日 優(yōu)先權(quán)日2008年3月27日
發(fā)明者宋明江, 帆 張 申請人:中興通訊股份有限公司