專利名稱:一種網(wǎng)絡(luò)設(shè)備管理的方法及相應(yīng)的網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,涉及一種網(wǎng)絡(luò)設(shè)備管理的方法及相應(yīng)的網(wǎng)絡(luò)系統(tǒng)���。
背景技術(shù):
現(xiàn)有因特網(wǎng)廣泛使用的傳輸控制協(xié)議/網(wǎng)絡(luò)協(xié)議(Transmission Control Protocol/Internet Protocol, TCP/IP)協(xié)議中IP地址具有雙重功能�����,既作為網(wǎng)絡(luò)層的通 信終端主機(jī)網(wǎng)絡(luò)接口在網(wǎng)絡(luò)拓?fù)渲械奈恢脴?biāo)識���,又作為傳輸層主機(jī)網(wǎng)絡(luò)接口的身份標(biāo)識。 TCP/IP協(xié)議設(shè)計之初并未考慮到主機(jī)移動的情況�,但是當(dāng)主機(jī)移動越來越普遍時,這種IP 地址的語義過載缺陷日益明顯�����。當(dāng)主機(jī)的IP地址發(fā)生變化時�,不僅路由要發(fā)生變化,通信 終端主機(jī)的身份標(biāo)識也發(fā)生變化���,這樣會導(dǎo)致路由負(fù)載越來越重���,而且主機(jī)標(biāo)識的變化會 導(dǎo)致應(yīng)用和連接的中斷。身份標(biāo)識和位置分離問題提出的目的是為了解決IP地址的語義 過載和路由負(fù)載嚴(yán)重���,安全等問題�����,將IP地址的雙重功能進(jìn)行分離�,實現(xiàn)對移動性、多家鄉(xiāng) 性��、IP地址動態(tài)重分配�、減輕路由負(fù)載及下一代互聯(lián)網(wǎng)中不同網(wǎng)絡(luò)區(qū)域之間的互訪等問題 的支持。針對上述問題�����,目前已經(jīng)提出了多種身份標(biāo)識與位置標(biāo)識分離的網(wǎng)絡(luò)架構(gòu)�����,包括 主機(jī)標(biāo)識協(xié)議(Host Identity Protocol, HIP)��,位置身份分離協(xié)議(LISP)和均屬身份標(biāo) 識和位置分離網(wǎng)絡(luò)以及中興通訊提出的身份標(biāo)識和位置分離的網(wǎng)絡(luò)架構(gòu)����,本文以中興通訊 提出的身份標(biāo)識和位置分離網(wǎng)絡(luò)架構(gòu)為例進(jìn)行描述�����。圖1所示為身份標(biāo)識和位置分離網(wǎng)絡(luò)架構(gòu)圖,為描述方便�����,下文將此用戶身份 標(biāo)識和位置分離網(wǎng)絡(luò)簡稱為 SILSN(Subscriber Identifier & Locator Separation Network)����,將傳統(tǒng)因特網(wǎng)簡稱為 LINQegacy Internet Network)。在圖1中�,此SILSN包括接入服務(wù)器(Access Service Node, ASN)和用戶終端 (User Equipment, UE)、身份位置寄存器(Identification & Location Register, ILR)�、互 聯(lián)服務(wù)節(jié)點(diǎn)(Inter-working Service Node, ISN)和中轉(zhuǎn)設(shè)備(RT)。其中����,ASN用來實現(xiàn) UE的接入,并承擔(dān)計費(fèi)和切換等功能����;ILR承擔(dān)用戶的位置注冊和身份識別功能,也稱為認(rèn) 證服務(wù)器���;ISN用于和傳統(tǒng)hternet互通����,ISN和ASN在物理上也可以合一設(shè)置;RT為核心 網(wǎng)中的數(shù)據(jù)交換或路由設(shè)備�����。在圖1中���,UEl和UE2都是SILSN的用戶����,在下文中將ASN�����、ILR�、ISN, RT等網(wǎng)絡(luò)節(jié) 點(diǎn)組成的網(wǎng)絡(luò)稱為SILSN的核心網(wǎng),并將組成核心網(wǎng)的節(jié)點(diǎn)ASN��、ILR����、ISN和RT網(wǎng)絡(luò)節(jié)點(diǎn)稱 為核心網(wǎng)節(jié)點(diǎn)。其他身份標(biāo)識和位置標(biāo)識分離的網(wǎng)絡(luò)架構(gòu)中���,上述核心網(wǎng)節(jié)點(diǎn)分別對應(yīng)于具有相 同或相似功能的節(jié)點(diǎn)�。為保證SILSN核心網(wǎng)的安全性���,必須防止普通用戶終端對核心網(wǎng)的攻擊���;同時,還 要實現(xiàn)SILSN中的核心網(wǎng)節(jié)點(diǎn)要能進(jìn)行網(wǎng)絡(luò)管理�����,目前還沒有解決這一問題的具體方案�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)設(shè)備管理的方法及相應(yīng)的網(wǎng)絡(luò)系統(tǒng)��,防 止普通用戶終端對核心網(wǎng)節(jié)點(diǎn)進(jìn)行訪問或攻擊���。根據(jù)SILSN中的UEl發(fā)送的數(shù)據(jù)包的最終目的地��,可以將UEl發(fā)送的數(shù)據(jù)包分為 如下三種類型類型一從SILSN的一個用戶終端發(fā)送到該SILSN的另一個用戶終端�,如UEl- > UE2 ����;類型二 從SILSN的一個用戶終端發(fā)向該SILSN的一個核心網(wǎng)節(jié)點(diǎn)���,如UEl- > ASN2 ;類型三(103)從SILSN的一個用戶終端發(fā)向位于LIN的一個節(jié)點(diǎn)���,如從SILSN的 一個用戶終端發(fā)往LIN中的一個因特網(wǎng)業(yè)務(wù)提供商(ISP)�����,如UEl-> ISP1����,或者從SILSN 的一個用戶終端發(fā)向LIN網(wǎng)的一個用戶終端���,如UEl- > UElO �����;在UEl發(fā)送的上述三種類型數(shù)據(jù)包時��,類型一和類型三的數(shù)據(jù)包的最終目的地都 是將數(shù)據(jù)包發(fā)向SILSN的核心網(wǎng)外部�,在這兩種情況下�����,核心網(wǎng)節(jié)點(diǎn)只起封裝和轉(zhuǎn)發(fā)的作 用,并不解析數(shù)據(jù)包的實際內(nèi)容�,因此類型一和類型三的數(shù)據(jù)包���,除了對SILSN的核心網(wǎng)的 性能造成影響���,并不會對核心網(wǎng)節(jié)點(diǎn)的安全性等造成明顯影響;但對于類型二的數(shù)據(jù)包�,由于用戶終端發(fā)出的數(shù)據(jù)包的最終目的地為核心網(wǎng)節(jié) 點(diǎn),因此核心網(wǎng)節(jié)點(diǎn)不僅要解析該數(shù)據(jù)包的內(nèi)容�����,還要根據(jù)該數(shù)據(jù)包的內(nèi)容進(jìn)行相應(yīng)的 處理�����;也就是說����,這種類型的數(shù)據(jù)包為用戶終端提供了直接訪問核心網(wǎng)節(jié)點(diǎn)的手段,由于 SILSN的核心網(wǎng)節(jié)點(diǎn)允許用戶終端直接訪問�����,因而降低了核心網(wǎng)節(jié)點(diǎn)的安全性。因此為了保 證核心網(wǎng)安全性���,在SILSN中一般不允許普通用戶發(fā)出此數(shù)據(jù)包類型���,只提供給具有特殊 權(quán)限的網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)管理時使用。當(dāng)SILSN用于組建專網(wǎng)(如軍網(wǎng)或公安網(wǎng))����,為了保證網(wǎng)絡(luò)的高度可靠性,可以將 其普通用戶終端的權(quán)限限制為只能發(fā)送類型一的數(shù)據(jù)包�,這樣可以將用戶終端和外部網(wǎng)絡(luò) 絕對分開,從根本上保證了信息的安全��。但如果SILSN用于一般網(wǎng)絡(luò)(如企業(yè)網(wǎng))的組建�, 為了讓用戶得到最好的網(wǎng)絡(luò)體驗,應(yīng)該給予用戶直接訪問hternet的權(quán)限����,這樣就需要允 許用戶終端能發(fā)出類型三的數(shù)據(jù)包。當(dāng)SILSN用于一般網(wǎng)絡(luò)中時����,SILSN的核心網(wǎng)節(jié)點(diǎn)可以嵌入到LIN中��,并分配LIN 地址(即hternet公網(wǎng)地址)����,這樣當(dāng)SILSN的用戶終端UEl訪問LIN的一個普通節(jié)點(diǎn) 時�,UEl應(yīng)該發(fā)送通信對端的身份標(biāo)識為LIN普通節(jié)點(diǎn)(如通信對端的身份標(biāo)識為圖1中 的ISPl或UE10)的數(shù)據(jù)包。由于SILSN的核心網(wǎng)的節(jié)點(diǎn)地址也是LIN的一個節(jié)點(diǎn)��,如果用 戶UEl發(fā)出的類型三的數(shù)據(jù)包的目的地剛好為SILSN的核心網(wǎng)節(jié)點(diǎn)地址���,而不是LIN的普 通節(jié)點(diǎn)地址,這樣本來應(yīng)該發(fā)送到LIN的數(shù)據(jù)就會發(fā)送給SILSN的核心網(wǎng)節(jié)點(diǎn)����,從而普通用 戶終端可能借用類型三的數(shù)據(jù)包達(dá)到類型二的數(shù)據(jù)包的效果,即普通用戶終端可以發(fā)送只 有網(wǎng)絡(luò)管理員才能發(fā)送的數(shù)據(jù)包�����,從而對SILSN的核心網(wǎng)安全性造成了危害���。為保護(hù)SILSN核心網(wǎng)節(jié)點(diǎn)的安全性�����,必須防范UE發(fā)起這種攻擊���,為此在處理第三 種類型的數(shù)據(jù)包時����,ASN節(jié)點(diǎn)就必須識別出用戶終端發(fā)出的數(shù)據(jù)包的通信對端的身份標(biāo)識 是發(fā)往LIN����,還是發(fā)往SILSN的核心網(wǎng)節(jié)點(diǎn),然后根據(jù)用戶的權(quán)限分別處理���,以保護(hù)核心網(wǎng) 節(jié)點(diǎn)的安全性�。
為了解決上述問題��,本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備管理的方法���,包括在接入節(jié)點(diǎn)中保存第一網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)地址��,其中核心網(wǎng)節(jié)點(diǎn)至少包括接入節(jié) 點(diǎn)和認(rèn)證節(jié)點(diǎn)����;當(dāng)接入節(jié)點(diǎn)接收到用戶終端發(fā)送來的數(shù)據(jù)包后,先提取該數(shù)據(jù)包中的通信對端的 身份標(biāo)識�����,然后在核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識����,并根據(jù)查找結(jié)果和用戶 終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理。相應(yīng)地�����,上述方法還具有如下特點(diǎn)所述核心網(wǎng)節(jié)點(diǎn)還包括互通節(jié)點(diǎn)�,以及數(shù)據(jù)交換或路由節(jié)點(diǎn)�����。相應(yīng)地�,上述方法還具有如下特點(diǎn)所述第一網(wǎng)絡(luò)為身份標(biāo)識與位置分離的網(wǎng)絡(luò)構(gòu)架(SILSN);所述接入節(jié)點(diǎn)為接入服務(wù)節(jié)點(diǎn)��;所述互通節(jié)點(diǎn)為互聯(lián)服務(wù)節(jié)點(diǎn)(ISN)�����、數(shù)據(jù)交換或路由節(jié)點(diǎn)為中轉(zhuǎn)設(shè)備(RT)。相應(yīng)地���,上述方法還具有如下特點(diǎn)所述異常處理為所述接入節(jié)點(diǎn)丟棄所述數(shù)據(jù)包����,將用戶行為記入日志�,根據(jù)情況 進(jìn)行告警,或屏蔽用戶中的一種或幾種����。相應(yīng)地,上述方法還具有如下特點(diǎn)所述用戶終端發(fā)送來的數(shù)據(jù)包包括從所述第一網(wǎng)絡(luò)的一個用戶終端發(fā)向該第一網(wǎng)絡(luò)的一個核心網(wǎng)節(jié)點(diǎn)���,稱為類型 二���;以及從所述第一網(wǎng)絡(luò)的一個用戶終端發(fā)向第二網(wǎng)絡(luò)的一個節(jié)點(diǎn)或用戶,稱為類型三�����。相應(yīng)地�,上述方法還具有如下特點(diǎn)所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式時,所述接 入節(jié)點(diǎn)根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型三的數(shù)據(jù)包�����;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體 包括如下步驟所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識如果查找到�,進(jìn)行異常處理,結(jié)束�����;如果查找不到���,則所述用戶終端為普通用戶終端��,所述接入節(jié)點(diǎn)通過互通節(jié)點(diǎn)將 所述數(shù)據(jù)包發(fā)送到第二網(wǎng)絡(luò)�����。相應(yīng)地�����,上述方法還具有如下特點(diǎn)所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式時,所述接 入節(jié)點(diǎn)根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型二的數(shù)據(jù)包�����;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體 包括如下步驟所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識如果查找不到����,進(jìn)行異常處理,結(jié)束�;如果查找到,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限��,并根據(jù)提取的身份權(quán) 限判斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限如果沒有��,進(jìn)行異常處理�,結(jié)束;否則��,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)��。
相應(yīng)地�,上述方法還具有如下特點(diǎn)所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用相同的數(shù)據(jù)包格式;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理���,具體 包括如下步驟所述接入節(jié)點(diǎn)在核心網(wǎng)節(jié)點(diǎn)地址中查找所述通信對端的身份標(biāo)識如查找不到��,所述接入節(jié)點(diǎn)通過互通節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述第二網(wǎng)絡(luò)����,結(jié) 束;如果查找到����,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限,并根據(jù)提取的身份權(quán) 限判斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限如果沒有���,進(jìn)行異常處理���,結(jié)束;否則��,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)����。相應(yīng)地,上述方法還具有如下特點(diǎn)所述用戶終端的身份權(quán)限在所述用戶終端注冊的時候���,從認(rèn)證節(jié)點(diǎn)傳遞給該用戶 終端注冊的接入節(jié)點(diǎn)中�����,并保存于該用戶終端的用戶上下文中。相應(yīng)地�����,上述方法還具有如下特點(diǎn)所述接入節(jié)點(diǎn)判斷所述用戶終端具有網(wǎng)絡(luò)管理員權(quán)限之后,所述接入節(jié)點(diǎn)將所述 數(shù)據(jù)包轉(zhuǎn)發(fā)給通信對端對應(yīng)的核心節(jié)點(diǎn)之前����,還包括所述接入節(jié)點(diǎn)提取該管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址;所述接入節(jié)點(diǎn)判斷所述用戶終端發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識是否在所 述管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址中���,如果是執(zhí)行所述正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的核心 網(wǎng)節(jié)點(diǎn)�����,否則進(jìn)行異常處理����。相應(yīng)地�����,上述方法還具有如下特點(diǎn)所述用戶終端可管理的核心網(wǎng)節(jié)點(diǎn)地址在所述用戶終端注冊的時候���,從認(rèn)證服務(wù) 器傳遞給該用戶終端注冊的接入節(jié)點(diǎn)中����,并保存于該用戶終端的用戶上下文中;或者所述 接入節(jié)點(diǎn)判斷出該用戶終端具有管理員權(quán)限后�,與所述認(rèn)證服務(wù)器進(jìn)行交互獲取所述用戶 終端可管理的核心網(wǎng)節(jié)點(diǎn)地址。相應(yīng)地���,上述方法還具有如下特點(diǎn)所述核心網(wǎng)節(jié)點(diǎn)地址通過網(wǎng)管配置后下發(fā)給所述接入節(jié)點(diǎn)�。為了解決上述問題����,本發(fā)明還提供了一種實現(xiàn)上網(wǎng)絡(luò)設(shè)備管理的方法的網(wǎng)絡(luò)系 統(tǒng),所述網(wǎng)絡(luò)系統(tǒng)包括核心網(wǎng)和用戶終端�����;所述核心網(wǎng)包括接入節(jié)點(diǎn)和認(rèn)證節(jié)點(diǎn)���;其中����,所述用戶終端�����,用于向所述接入節(jié)點(diǎn)發(fā)送數(shù)據(jù)包,其中包含通信對端的身份標(biāo) 識���;所述接入節(jié)點(diǎn),用于保存所述核心網(wǎng)的核心網(wǎng)節(jié)點(diǎn)地址�����,以及接收到用戶終端發(fā) 送來的數(shù)據(jù)包后����,提取該數(shù)據(jù)包中的通信對端的身份標(biāo)識,然后在所述核心網(wǎng)節(jié)點(diǎn)地址中 查找該通信對端的身份標(biāo)識���,并根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā) 或異常處理�。相應(yīng)地����,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述核心網(wǎng)還包括互通節(jié)點(diǎn),以及數(shù)據(jù)交換或路由節(jié)點(diǎn)�����。相應(yīng)地����,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)
所述網(wǎng)絡(luò)系統(tǒng)為身份標(biāo)識與位置分離的網(wǎng)絡(luò)構(gòu)架(SILSN)���;所述接入節(jié)點(diǎn)為接入服務(wù)節(jié)點(diǎn);所述互通節(jié)點(diǎn)為互聯(lián)服務(wù)節(jié)點(diǎn)(ISN)�����、數(shù)據(jù)交換或路由節(jié)點(diǎn)為中轉(zhuǎn)設(shè)備(RT)��。相應(yīng)地�,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述用戶終端發(fā)送數(shù)據(jù)包包括從所述網(wǎng)絡(luò)系統(tǒng)的一個用戶終端發(fā)向該網(wǎng)絡(luò)系統(tǒng)的一個核心網(wǎng)節(jié)點(diǎn),稱為類型 二���;以及從所述網(wǎng)絡(luò)系統(tǒng)的一個用戶終端發(fā)向其他網(wǎng)絡(luò)系統(tǒng)的一個節(jié)點(diǎn)或用戶�,稱為類型三��。相應(yīng)地����,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式;所述接入節(jié)點(diǎn)����,還用于根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型三的數(shù) 據(jù)包�;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理���,具體 為所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識�,如果查找 到��,進(jìn)行異常處理���,結(jié)束;如果查找不到��,則所述用戶終端為普通用戶終端���,所述接入節(jié)點(diǎn)通 過所述互通節(jié)點(diǎn)將所述數(shù)據(jù)包發(fā)送到其他網(wǎng)絡(luò)系統(tǒng)��。相應(yīng)地���,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式;所述接入節(jié)點(diǎn)���,還用于根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型三的數(shù) 據(jù)包����;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體 為所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識如果查找不到�����,進(jìn)行異常處理���,結(jié)束�����;如果查找到�����,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限�,并根據(jù)提取的身份權(quán) 限判斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限如果沒有����,進(jìn)行異常處理,結(jié)束���;否則��,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)���。相應(yīng)地�,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用相同的數(shù)據(jù)包格式����;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體 為步驟所述接入節(jié)點(diǎn)在核心網(wǎng)節(jié)點(diǎn)地址中查找所述通信對端的身份標(biāo)識如查找不到��,所述接入節(jié)點(diǎn)通過互通節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述第二網(wǎng)絡(luò)����,結(jié) 束�����;如果查找到�,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限,并根據(jù)提取的身份權(quán) 限判斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限如果沒有���,進(jìn)行異常處理����,結(jié)束�����;
否則,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)�����。相應(yīng)地�,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述認(rèn)證節(jié)點(diǎn),用于保存用戶終端屬性信息��;以及所述用戶終端注冊的時候��,將用 戶的身份權(quán)限傳遞給該用戶終端注冊的接入節(jié)點(diǎn)��;所述接入節(jié)點(diǎn)�����,還用于將用戶的身份權(quán)限保存于該用戶上下文中�����。相應(yīng)地����,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述接入節(jié)點(diǎn)��,還用于提取管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址����,并判斷所述用 戶終端發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識是否在所述管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn) 地址中��,如果是執(zhí)行所述正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的核心網(wǎng)節(jié)點(diǎn)����,否則進(jìn)行異常處理。相應(yīng)地����,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述認(rèn)證節(jié)點(diǎn),還用于在所述管理員用戶注冊的時候�����,將管理員用戶可管理的核 心網(wǎng)節(jié)點(diǎn)地址傳遞給該用戶終端注冊的接入節(jié)點(diǎn)�����,或者與所述接入節(jié)點(diǎn)交互將將管理員用 戶可管理的核心網(wǎng)節(jié)點(diǎn)地址傳遞給該用戶終端注冊的接入節(jié)點(diǎn)�;所述接入節(jié)點(diǎn)�,還用于將管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址保存于該用戶終端 的用戶上下文中�,或者判斷出該用戶終端具有管理員權(quán)限后��,與所述認(rèn)證服務(wù)器進(jìn)行交互 獲取所述用戶終端可管理的核心網(wǎng)節(jié)點(diǎn)地址�����。相應(yīng)地���,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述接入節(jié)點(diǎn)是服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)����、網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)�����、分組數(shù) 據(jù)業(yè)務(wù)節(jié)點(diǎn)(PDSN)和寬帶接入服務(wù)器(BRAQ設(shè)備�����。相應(yīng)地����,上述網(wǎng)絡(luò)系統(tǒng)還具有如下特點(diǎn)所述認(rèn)證節(jié)點(diǎn)是密鑰管理系統(tǒng)(KMS)、歸屬位置寄存器(HLR)�、歸屬用戶服務(wù)器 (HSS)��、授權(quán)/認(rèn)證/計費(fèi)服務(wù)器(AAA)或其他承擔(dān)端到端密鑰管理和協(xié)商功能的實體�。上述方法和網(wǎng)絡(luò)系統(tǒng)有效地防止了普通用戶訪問核心網(wǎng)節(jié)點(diǎn)���,從而避免普通用戶 對核心網(wǎng)節(jié)點(diǎn)發(fā)起攻擊�����。在一實施例中��,管理員權(quán)限用戶可以訪問特定的核心網(wǎng)節(jié)點(diǎn)�,方便 網(wǎng)絡(luò)管理員管理SILSN網(wǎng)絡(luò)����,保證了管理員用戶終端正常訪問核心網(wǎng)節(jié)點(diǎn)。在一實施例中���, 實現(xiàn)了管理員不能訪問未授權(quán)的核心網(wǎng)節(jié)點(diǎn),防止一個核心網(wǎng)節(jié)點(diǎn)的管理員借用管理員權(quán) 限攻擊另外一個核心網(wǎng)節(jié)點(diǎn)�����。
圖1為身份標(biāo)識和位置分離網(wǎng)絡(luò)的架構(gòu)����;圖2為本發(fā)明應(yīng)用示例中類型二和類型三的數(shù)據(jù)包格式不同時對類型三的數(shù)據(jù) 包處理時的流程圖����;圖3為本發(fā)明應(yīng)用示例中類型二和類型三的數(shù)據(jù)包格式不同時對類型二的數(shù)據(jù) 包處理時的流程圖���;圖4為本發(fā)明應(yīng)用示例中類型二和類型三的數(shù)據(jù)包格式相同時對類型三的數(shù)據(jù) 包處理時的流程圖���。
具體實施例方式下面結(jié)合附圖詳細(xì)說明本發(fā)明的具體實施方式
。
(1)在接入節(jié)點(diǎn)中保存網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)地址���,核心網(wǎng)節(jié)點(diǎn)至少包括接入節(jié)點(diǎn)和 認(rèn)證節(jié)點(diǎn)���;其中,核心網(wǎng)節(jié)點(diǎn)地址可以通過網(wǎng)管配置后下發(fā)給接入節(jié)點(diǎn)��;并可以定期或?qū)崟r 對下發(fā)的核心網(wǎng)節(jié)點(diǎn)地址進(jìn)行更新是固定����,還可以是通過人工配置下發(fā)等方式對下發(fā)給接 入節(jié)點(diǎn)核心網(wǎng)節(jié)點(diǎn)地址更新。其中��,核心網(wǎng)節(jié)點(diǎn)地址可以保存在核心網(wǎng)節(jié)點(diǎn)表(Core Network Node Table, CNNT)中,當(dāng)然也可以以其他方式保存���,本實施例以CNNT進(jìn)行說明�。核心網(wǎng)節(jié)點(diǎn)地址可以為 IP地址�����。核心網(wǎng)節(jié)點(diǎn)還可以包括互通節(jié)點(diǎn)和數(shù)據(jù)交換或路由節(jié)點(diǎn)����,當(dāng)然還可以包括其他網(wǎng) 絡(luò)節(jié)點(diǎn);在ISLSN網(wǎng)絡(luò)中���,接入節(jié)點(diǎn)為ASN����,認(rèn)證節(jié)點(diǎn)為ILR�����、互通節(jié)點(diǎn)為ISN���、數(shù)據(jù)交換或路 由節(jié)點(diǎn)為RT。其中,ASN是邏輯實體�����,可以是服務(wù)GPRS支持節(jié)點(diǎn)(Serving GPRS Support Node, SGSN)�����、網(wǎng)關(guān) GPRS 支持節(jié)點(diǎn)(Gateway GPRS Support Node����,GGSN)、分組數(shù)據(jù)業(yè)務(wù)節(jié) 點(diǎn)(Packet Data Serving Node, PDSN)禾口寬帶接入月艮務(wù)器(Broadband Remote Access Server, BRAS)等設(shè)備����。(2)當(dāng)接入節(jié)點(diǎn)接收到用戶終端發(fā)送來的數(shù)據(jù)包后,先提取該數(shù)據(jù)包中的通信對 端的身份標(biāo)識�,然后在核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識,根據(jù)查找結(jié)果對該 數(shù)據(jù)包進(jìn)行處理���。如果通信對端的身份標(biāo)識在核心網(wǎng)節(jié)點(diǎn)地址中查找不到��,說明用戶是在向LIN發(fā) 送數(shù)據(jù)包�����,接入節(jié)點(diǎn)將數(shù)據(jù)包正常轉(zhuǎn)發(fā)����;如果通信對端的身份標(biāo)識在核心網(wǎng)節(jié)點(diǎn)地址中查找到,則說明用戶不是向LIN節(jié) 點(diǎn)發(fā)送數(shù)據(jù)包�,而是向SILSN核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包,此時進(jìn)一步判斷用戶是否有管理員 權(quán)限����,如果有管理員權(quán)限,則根據(jù)對應(yīng)的權(quán)限進(jìn)行處理��。在實際應(yīng)用中����,UEl發(fā)出的三種類型的數(shù)據(jù)包格式可以相同,也可以不同�,當(dāng)這三 種類型的數(shù)據(jù)包格式相同時,終端實現(xiàn)最簡單���,并可以和原有終端兼容����,但ASN接收后需要 根據(jù)通信對端的身份標(biāo)識范圍進(jìn)行區(qū)分��,這會帶來一些復(fù)雜性,由于在SILSN架構(gòu)下�,類型 一的數(shù)據(jù)包已經(jīng)有區(qū)分方法,并且不會對核心網(wǎng)節(jié)點(diǎn)造成影響��,本實施例中假定類型一數(shù) 據(jù)包已經(jīng)被排除�����,只研究如何區(qū)分類型二和類型三的數(shù)據(jù)包���,防止用戶利用類型二和類型 三的數(shù)據(jù)包對核心網(wǎng)節(jié)點(diǎn)進(jìn)行攻擊。其中����,類型一的數(shù)據(jù)包區(qū)分是在ASN中區(qū)分的,主要是向ILR查詢通信對端的身份 標(biāo)識是否能查到����。另外類型一的數(shù)據(jù)包,其通信對端的身份標(biāo)識一般為AID格式�����,如果不采 用AID格式而使用IP地址����,則會使用一段特殊的IP地址���,ASN只要分析通信對端的身份標(biāo) 識是否在這段IP地址內(nèi)就可以了。為便于簡化SILSN網(wǎng)絡(luò)的終端實現(xiàn)����,以及保證終端上的應(yīng)用程序兼容,可將類型 二和類型三的數(shù)據(jù)包都采用IPV4/IPV6數(shù)據(jù)包格式���,當(dāng)然也可以是其他數(shù)據(jù)格式����,以簡化 終端處理�,在這種應(yīng)用情況下,ASN先檢查數(shù)據(jù)包的通信對端的身份標(biāo)識����,如果是核心網(wǎng)節(jié) 點(diǎn)地址,則認(rèn)為是類型二的數(shù)據(jù)包�����,如果不是核心網(wǎng)節(jié)點(diǎn)地址����,則認(rèn)為是類型三的數(shù)據(jù)包���。對于類型三的數(shù)據(jù)包,ASN可以直接將該數(shù)據(jù)包發(fā)給ISN處理����;對于類型二的數(shù)據(jù)包�,為了保證管理員能夠正常使用,ASN還可以進(jìn)一步檢查發(fā)送12數(shù)據(jù)包的UE的權(quán)限�,當(dāng)UE具有管理員權(quán)限,為了對管理員權(quán)限進(jìn)行限制��,ASN進(jìn)一步檢查 該管理員管理的核心網(wǎng)節(jié)點(diǎn)的地址中�����,是否包含有該數(shù)據(jù)包的通信對端的身份標(biāo)識�,如果 包含此通信對端的身份標(biāo)識,則正常轉(zhuǎn)發(fā)到對應(yīng)SILSN核心網(wǎng)節(jié)點(diǎn)��,否則丟棄該數(shù)據(jù)包��;如 果發(fā)送數(shù)據(jù)包的UE沒有管理員權(quán)限���,則因UE的用戶行為已構(gòu)成企圖向核心網(wǎng)節(jié)點(diǎn)進(jìn)行攻 擊����,ASN可以將此用戶行為保存入日志,然后丟棄數(shù)據(jù)包��,同時根據(jù)行為的嚴(yán)重程度對該UE 采取告警的措施或采取屏蔽該UE的措施���。當(dāng)然�,在實際部署中�����,SILSN網(wǎng)絡(luò)也可以將上述三種類型的數(shù)據(jù)包配置為采用不同 格式處理�����,這多用于全部使用新開發(fā)的用戶終端進(jìn)行組網(wǎng)的情況下�����,對三種類型的數(shù)據(jù)包 采用不同格式可以較好發(fā)揮SILSN網(wǎng)絡(luò)優(yōu)點(diǎn)����,減輕ASN處理負(fù)擔(dān)�。當(dāng)三種類型的數(shù)據(jù)包格 式不同時���,ASN的處理較為簡單���,只需要根據(jù)數(shù)據(jù)包格式,區(qū)分出每種類型的數(shù)據(jù)包�����,如果為 類型二的數(shù)據(jù)包���,在CCNT中查找數(shù)據(jù)包的通信對端的身份標(biāo)識,如果查找到���,則進(jìn)一步發(fā) 送者是否具有管理員權(quán)限����,如果為管理員權(quán)限�����,可以根據(jù)配置訪問核心網(wǎng)節(jié)點(diǎn)�����,否則不予訪 問核心網(wǎng)節(jié)點(diǎn);如果是類型三的數(shù)據(jù)包����,則在CCNT中查找數(shù)據(jù)包的通信對端的身份標(biāo)識, 如果查找到���,則進(jìn)行異常處理�,不予訪問�,否者正常轉(zhuǎn)發(fā)。本實施例不考慮類型一的數(shù)據(jù)包的區(qū)分問題���,缺省認(rèn)為類型一的數(shù)據(jù)包已經(jīng)被現(xiàn) 有技術(shù)中的其他方法剔除����,只需要處理類型二和類型三的數(shù)據(jù)包����。值得指出的是,ASN檢查用戶是否具備管理員權(quán)限�����,并不意味著管理員訪問SILSN 核心網(wǎng)節(jié)點(diǎn)時,可以不使用管理員密碼��。為保證SILSN核心網(wǎng)安全�����,SILSN核心網(wǎng)節(jié)點(diǎn)在接 受管理員身份操作的時候��,還必須按網(wǎng)管自身的安全認(rèn)證措施驗證��,上述流程是用于防止 普通用戶訪問核心網(wǎng)節(jié)點(diǎn)的輔助保護(hù)措施�����,能顯著減少核心網(wǎng)節(jié)點(diǎn)遭受普通用戶攻擊的情 況�,但并不能完全阻止管理員自己設(shè)置較高權(quán)限進(jìn)行攻擊的情況��,因此也代替不了核心網(wǎng) 節(jié)點(diǎn)對管理者的認(rèn)證����,但會大幅縮小核心網(wǎng)節(jié)點(diǎn)被攻擊的可能。上述ILR是邏輯實體�����,承擔(dān)端到端密鑰的管理和協(xié)商,保存有用戶終端屬性信息 的節(jié)點(diǎn)�,在具體應(yīng)用場景中可以是密鑰管理系統(tǒng)(KMS)、歸屬位置寄存器(Home Location Register����,HLR)、歸屬用戶服務(wù)器(Home Subscriber krver��,HSS)����、授權(quán)/認(rèn)證/計費(fèi)服務(wù) 器(Authorization、Authentication�����、Accounting, AAA)����、或其他承擔(dān)端到端密鑰管理和協(xié) 商功能的實體。下面通過幾個應(yīng)用示例具體說明本發(fā)明的實施方式����。由于UE發(fā)出的數(shù)據(jù)包格式 對具體實現(xiàn)流程有一定影響�����,因此在具體實施中��,將根據(jù)類型二和類型三的數(shù)據(jù)包格式相 同與不同分別進(jìn)行說明����。圖2所示為類型二和類型三的數(shù)據(jù)包格式不同時對類型三的數(shù)據(jù) 包的處理方法��,圖3所示為類型二和類型三的數(shù)據(jù)包格式不同時對類型二的數(shù)據(jù)包的處理 方法�,圖4所示為類型二和類型三的數(shù)據(jù)包格式相同時對類型二和類型三的數(shù)據(jù)包的處理 方法。應(yīng)用示例一如圖2所示�,為類型二和類型三的數(shù)據(jù)包采用不同格式時,對類型三的數(shù)據(jù)包的 處理方法�����。本應(yīng)用示例中���,ASN已經(jīng)將類型一的數(shù)據(jù)包采用已有方法區(qū)分出,因此只剩下類 型二和類型三的數(shù)據(jù)包��。當(dāng)UEl將數(shù)據(jù)包發(fā)送到ASm時��,由于類型二和類型三的數(shù)據(jù)包格式不同,ASNl 可以根據(jù)數(shù)據(jù)包格式直接分揀出類型三的數(shù)據(jù)包進(jìn)行處理���,如果Asm進(jìn)一步發(fā)現(xiàn)類型三的數(shù)據(jù)包中的通信對端的身份標(biāo)識包括SILSN的核心網(wǎng)節(jié)點(diǎn)地址��,則認(rèn)為用戶企圖攻擊 SILSN的核心網(wǎng)��,進(jìn)行異常處理���;如果不包含核心網(wǎng)節(jié)點(diǎn)地址,則認(rèn)為是正常發(fā)往LIN的數(shù) 據(jù)包�����,進(jìn)行正常轉(zhuǎn)發(fā)���。具體包括如下步驟步驟201 =ASNl接收到用戶UEl發(fā)送的類型三的數(shù)據(jù)包����,流程開始��;本應(yīng)用示例中�����,由于類型二和類型三的數(shù)據(jù)包采用不同數(shù)據(jù)包格式,因此Asm已 根據(jù)數(shù)據(jù)包格式分揀出該數(shù)據(jù)包為類型三的數(shù)據(jù)包�����。步驟202 =ASNl提取用戶UEl發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識�,記為Dl ;步驟203 =ASNl在其上中保存的SILSN的CNNT中查找D1���,如果查找到D1�,執(zhí)行步 驟204�����,否則執(zhí)行步驟205 �;本應(yīng)用示例中,在所有ASN上都保存有核心網(wǎng)節(jié)點(diǎn)地址��;步驟204 進(jìn)行異常處理����,執(zhí)行步驟206 ;如果Dl在CNNT內(nèi)����,則說明UEl是向SILSN的核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包,但由于數(shù)據(jù) 包格式已經(jīng)限定該數(shù)據(jù)包為類型三的數(shù)據(jù)包�,因此可以證明用戶企圖用類型三的數(shù)據(jù)包格 式發(fā)起對核心網(wǎng)節(jié)點(diǎn)的攻擊,因此ASN將進(jìn)行異常處理���;其中�����,異常處理包括丟棄該數(shù)據(jù)包�,將用戶行為記入日志����,根據(jù)歷史攻擊的嚴(yán)重程 度選擇是否告警和屏蔽該UE中的一種或多種;步驟205 將數(shù)據(jù)包轉(zhuǎn)發(fā)到ISN����,由ISN發(fā)送到LIN節(jié)點(diǎn);如果Dl不在CNNT內(nèi)��,則說明UEl是向LIN節(jié)點(diǎn)發(fā)送數(shù)據(jù)包����,將該數(shù)據(jù)包正常轉(zhuǎn)發(fā) 至Ij LIN ;步驟206:流程結(jié)束�;應(yīng)用示例二如圖3所示��,為類型二和類型三的數(shù)據(jù)包格式不同時�,對類型二的數(shù)據(jù)包的處理 方法����。ASN已經(jīng)將UE發(fā)送的類型一的數(shù)據(jù)包挑出并進(jìn)行了處理,只剩下類型二和類型三的 數(shù)據(jù)包混合在一起�����,當(dāng)類型二和類型三的數(shù)據(jù)包格式不同時�,ASN可以根據(jù)數(shù)據(jù)包格式直接 分揀出類型二的數(shù)據(jù)包格式并進(jìn)行相應(yīng)的處理,如果ASN進(jìn)一步發(fā)現(xiàn)類型二的數(shù)據(jù)包中的 通信對端的身份標(biāo)識不在SILSN的CNNT內(nèi)�,則認(rèn)為此UE發(fā)出無效消息,進(jìn)行丟棄��;如果在 CNNT內(nèi)�,則進(jìn)一步判斷該UE是否具備管理員權(quán)限,并根據(jù)UE的權(quán)限決定是否能訪問對應(yīng)的 核心網(wǎng)節(jié)點(diǎn)����,具體包括如下步驟步驟301 =ASNl接收到用戶UEl發(fā)送的類型二的數(shù)據(jù)包,流程開始�;本應(yīng)用示例中,由于類型二和類型三的數(shù)據(jù)包采用不同數(shù)據(jù)包格式,因此Asm已 根據(jù)數(shù)據(jù)包格式分揀出該數(shù)據(jù)包為類型二的數(shù)據(jù)包��。步驟302 =ASNl提取UEl發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識��,記為D2 ��;步驟303 =ASNl在SILSN的CNNT中查找D2��,如果查找到�����,執(zhí)行步驟304��,否則執(zhí)行 309 �����;步驟304 =ASNl提取UEl的身份權(quán)限�;如果D2在CNNT內(nèi)���,則說明UEl是向SILSN的核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包��,或者該UEl 企圖扮演網(wǎng)管設(shè)備���,由于數(shù)據(jù)包格式已經(jīng)限定該數(shù)據(jù)包為類型二的數(shù)據(jù)包���,因此可以說明 用戶UEl發(fā)送的數(shù)據(jù)包格式是合法的,然后進(jìn)一步提取UEl的身份權(quán)限�。其中,UEl的身份權(quán)限可以在UEl注冊的時候���,從ILR傳遞到該UEl注冊的ASm14中�����,Asm將UEl的身份權(quán)限保存于此UEl上下文中�,因此Asm此時可以在UEl的上下文中 提取用戶的身份權(quán)限��。步驟305 =ASNl判斷UEl是否具有網(wǎng)絡(luò)管理員權(quán)限��,如果是����,執(zhí)行步驟306,否則執(zhí) 行步驟309 ����;步驟306 :ASN提取管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址����;本步驟ASN可以通過在UEl的用戶上下文中提取該管理員用戶可管理的核心網(wǎng)節(jié) 點(diǎn)地址列表���,記為Ll ����;為防止管理員非法修改不被自己管轄的核心網(wǎng)節(jié)點(diǎn)�����,還可以將管理員可訪問的核 心網(wǎng)節(jié)點(diǎn)限定在一定范圍內(nèi)�,此管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址列表與其身份權(quán)限一 樣����,保存于認(rèn)證服務(wù)器如ILR中,當(dāng)用戶注冊的時候從認(rèn)證服務(wù)器傳遞給ASN���,保存于用戶 的上下文中�。其中�,用戶在注冊時由ILR向ASN傳遞用戶信息�,ASN將這些用戶信息保存在ASN 為此用戶建立的用戶上下文中����。其中,用戶信息包括1���、該用戶是否具有管理員權(quán)限����;2�����、該用戶的管理員權(quán)限級別是多少���;3���、該用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址列表是什么。也可以在ASm判斷UEl為管理員用戶后�,與ILR進(jìn)行交互從而提取該管理員用戶 可管理的核心網(wǎng)節(jié)點(diǎn)地址列表;步驟307 判斷UEl發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識D2是否在Ll中����,如果是 執(zhí)行步驟308,否則執(zhí)行步驟309 ��;步驟308 =ASN正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的核心網(wǎng)節(jié)點(diǎn);如果D2在Ll中�����,則認(rèn)為管理員在合法管理核心網(wǎng)節(jié)點(diǎn)��,ASN正常轉(zhuǎn)發(fā)此數(shù)據(jù)包到 對應(yīng)的核心網(wǎng)節(jié)點(diǎn)�,執(zhí)行步驟310 ;步驟309 進(jìn)行異常處理�����;步驟310:結(jié)束�。應(yīng)用實例三如圖4所示����,為類型二和類型三的數(shù)據(jù)包格式相同時對類型二的數(shù)據(jù)包的處理方 法,此前ASN已經(jīng)將UE發(fā)送的類型一的數(shù)據(jù)包挑出并進(jìn)行了處理�����,只剩下類型二和類型三 的數(shù)據(jù)包混合在一起��,當(dāng)類型二和類型三的數(shù)據(jù)包格式相同時�����,ASN不能根據(jù)數(shù)據(jù)包格式直 接分揀出是類型二或者還是類型三的數(shù)據(jù)包,因此必須根據(jù)數(shù)據(jù)包的通信對端的身份標(biāo)識 和用戶權(quán)限進(jìn)行處理�����,具體包括如下步驟步驟401 =ASNl接收到用戶UEl發(fā)送數(shù)據(jù)包���,流程開始���;此數(shù)據(jù)包可能是類型二的數(shù)據(jù)包,也可能是類型三的數(shù)據(jù)包�。步驟402 =ASNl提取UEl發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識,如D3 �����;步驟403 =ASNl在ASN中保存的SILSN核心網(wǎng)節(jié)點(diǎn)表CNNT中查找D3���,如查找到執(zhí) 行步驟405�����,否則執(zhí)行步驟404 ��;步驟404 =ASNl將數(shù)據(jù)包轉(zhuǎn)發(fā)給ISN進(jìn)行處理�,執(zhí)行步驟411 ;如果在403中�����,在CNNT中未查到D3�����,則ASm認(rèn)為LEl正常向LIN發(fā)送數(shù)據(jù)包�����。步驟405 從用戶上下文中提取用戶的身份權(quán)限�;
如果D3在CNNT內(nèi),則說明UEl是向SILSN的核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)包��,也就是說�, 此數(shù)據(jù)包類型為類型二的數(shù)據(jù)包或攻擊核心網(wǎng)節(jié)點(diǎn)的數(shù)據(jù)包��,因此按類型二的數(shù)據(jù)包進(jìn)行 處理���,然后進(jìn)一步提取用戶的身份權(quán)限�。步驟406 =ASNl判斷UEl是否具有網(wǎng)絡(luò)管理員權(quán)限,如果有執(zhí)行步驟407�����,否則執(zhí) 行步驟410 ���;步驟407: ASN提取管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址��;本步驟中�,可以在UEl的用戶上下文中保存該管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地 址列表���,記為L2 ���;步驟408 =ASNl判斷用戶UEl發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識D3是否在L2 中,如果是�,執(zhí)行步驟409,否則執(zhí)行步驟�����;步驟409 =ASNl正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的核心網(wǎng)節(jié)點(diǎn)�����;執(zhí)行步驟411 ;步驟410 進(jìn)行異常處理���;步驟411:結(jié)束��。本發(fā)明通過在接入節(jié)點(diǎn)中保存核心網(wǎng)節(jié)點(diǎn)的地址�,當(dāng)接入節(jié)點(diǎn)收到UE發(fā)送來的 數(shù)據(jù)包后����,根據(jù)該數(shù)據(jù)包的通信對端的身份標(biāo)識查找其所保存的核心網(wǎng)節(jié)點(diǎn)的地址,從而 判斷該數(shù)據(jù)包是發(fā)送到核心網(wǎng)還是發(fā)送到LIN節(jié)點(diǎn)��。通過這一方法保證了接入節(jié)點(diǎn)可以正確識別從SILSN的一個用戶終端發(fā)送來的 數(shù)據(jù)包的通信對端的身份標(biāo)識是發(fā)往SILSN的核心網(wǎng)內(nèi)部節(jié)點(diǎn)還是發(fā)往LIN節(jié)點(diǎn)����。另外,本發(fā)明并不限于用于身份標(biāo)識和位置標(biāo)識分離的網(wǎng)絡(luò)架構(gòu)中��,還可以用于 其它移動網(wǎng)絡(luò)或傳統(tǒng)網(wǎng)絡(luò)中���。相應(yīng)地��,本實施例還提供了以實現(xiàn)上述方法的一種網(wǎng)絡(luò)系統(tǒng),包括核心網(wǎng)和用戶 終端�����;所述核心網(wǎng)包括接入節(jié)點(diǎn)和認(rèn)證節(jié)點(diǎn);其中����,用戶終端,用于向接入節(jié)點(diǎn)發(fā)送數(shù)據(jù)包��,其中包含通信對端的身份標(biāo)識����;接入節(jié)點(diǎn),用于保存核心網(wǎng)的核心網(wǎng)節(jié)點(diǎn)地址�,以及接收到用戶終端發(fā)送來的數(shù) 據(jù)包后,提取該數(shù)據(jù)包中的通信對端的身份標(biāo)識�,然后在核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對 端的身份標(biāo)識,并根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理����。其中,核心網(wǎng)還包括互通節(jié)點(diǎn)�,以及數(shù)據(jù)交換或路由節(jié)點(diǎn)。認(rèn)證節(jié)點(diǎn)��,用于保存用戶終端屬性信息;以及所述用戶終端注冊的時候�����,將用戶的 身份權(quán)限傳遞給該用戶終端注冊的接入節(jié)點(diǎn)���;接入節(jié)點(diǎn)�,還用于將用戶的身份權(quán)限保存于該用戶上下文中�;以及提取管理員用 戶可管理的核心網(wǎng)節(jié)點(diǎn)地址,并判斷所述用戶終端發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識是 否在所述管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址中�,如果是執(zhí)行所述正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目 的核心網(wǎng)節(jié)點(diǎn),否則進(jìn)行異常處理�。認(rèn)證節(jié)點(diǎn),還用于在所述管理員用戶注冊的時候���,將管理員用戶可管理的核心網(wǎng) 節(jié)點(diǎn)地址傳遞給該用戶終端注冊的接入節(jié)點(diǎn)����,或者與所述接入節(jié)點(diǎn)交互將將管理員用戶可 管理的核心網(wǎng)節(jié)點(diǎn)地址傳遞給該用戶終端注冊的接入節(jié)點(diǎn)���;接入節(jié)點(diǎn)�����,還用于將管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址保存于該用戶終端的用 戶上下文中��,或者判斷出該用戶終端具有管理員權(quán)限后���,與所述認(rèn)證服務(wù)器進(jìn)行交互獲取 所述用戶終端可管理的核心網(wǎng)節(jié)點(diǎn)地址。1權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備管理的方法���,包括在接入節(jié)點(diǎn)中保存第一網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)地址���,其中核心網(wǎng)節(jié)點(diǎn)至少包括接入節(jié)點(diǎn)和 認(rèn)證節(jié)點(diǎn);當(dāng)接入節(jié)點(diǎn)接收到用戶終端發(fā)送來的數(shù)據(jù)包后��,先提取該數(shù)據(jù)包中的通信對端的身份 標(biāo)識�����,然后在核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識��,并根據(jù)查找結(jié)果和用戶終端 的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理���。
2.如權(quán)利要求1所述的方法����,其特征在于所述核心網(wǎng)節(jié)點(diǎn)還包括互通節(jié)點(diǎn),以及數(shù)據(jù)交換或路由節(jié)點(diǎn)��。
3.如權(quán)利要求2所述的方法�����,其特征在于所述第一網(wǎng)絡(luò)為身份標(biāo)識與位置分離的網(wǎng)絡(luò)構(gòu)架(SILSN)�����;所述接入節(jié)點(diǎn)為接入服務(wù)節(jié)點(diǎn)�;所述互通節(jié)點(diǎn)為互聯(lián)服務(wù)節(jié)點(diǎn)(ISN)、數(shù)據(jù)交換或路由節(jié)點(diǎn)為中轉(zhuǎn)設(shè)備(RT)���。
4.如權(quán)利要求1所述的方法���,其特征在于,所述異常處理為所述接入節(jié)點(diǎn)丟棄所述數(shù)據(jù)包�,將用戶行為記入日志,根據(jù)情況進(jìn)行 告警����,或屏蔽用戶中的一種或幾種。
5.如權(quán)利要求1或2或3或4所述的方法���,其特征在于�����,所述用戶終端發(fā)送來的數(shù)據(jù)包 包括從所述第一網(wǎng)絡(luò)的一個用戶終端發(fā)向該第一網(wǎng)絡(luò)的一個核心網(wǎng)節(jié)點(diǎn)���,稱為類型二 ;以 及從所述第一網(wǎng)絡(luò)的一個用戶終端發(fā)向第二網(wǎng)絡(luò)的一個節(jié)點(diǎn)或用戶��,稱為類型三���。
6.如權(quán)利要求5所述的方法��,其特征在于��,所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式時��,所述接入節(jié) 點(diǎn)根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型三的數(shù)據(jù)包�����;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理����,具體包括 如下步驟所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識如果查找到,進(jìn)行異常處理�,結(jié)束;如果查找不到�����,則所述用戶終端為普通用戶終端����,所述接入節(jié)點(diǎn)通過互通節(jié)點(diǎn)將所述 數(shù)據(jù)包發(fā)送到第二網(wǎng)絡(luò)。
7.如權(quán)利要求5所述的方法���,其特征在于��,所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式時���,所述接入節(jié) 點(diǎn)根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型二的數(shù)據(jù)包;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理���,具體包括 如下步驟所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識如果查找不到���,進(jìn)行異常處理,結(jié)束��;如果查找到,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限���,并根據(jù)提取的身份權(quán)限判 斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限如果沒有����,進(jìn)行異常處理��,結(jié)束���;否則,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)���。
8.如權(quán)利要求5所述的方法���,其特征在于,所述類型二的數(shù)據(jù)包與所述類型三的數(shù)據(jù) 包采用相同的數(shù)據(jù)包格式�;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體包括 如下步驟所述接入節(jié)點(diǎn)在核心網(wǎng)節(jié)點(diǎn)地址中查找所述通信對端的身份標(biāo)識 如查找不到�����,所述接入節(jié)點(diǎn)通過互通節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述第二網(wǎng)絡(luò)����,結(jié)束��; 如果查找到���,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限,并根據(jù)提取的身份權(quán)限判 斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限 如果沒有�����,進(jìn)行異常處理��,結(jié)束���;否則���,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)。
9.如權(quán)利要求7或8所述的方法�����,其特征在于所述用戶終端的身份權(quán)限在所述用戶終端注冊的時候�����,從認(rèn)證節(jié)點(diǎn)傳遞給該用戶終端 注冊的接入節(jié)點(diǎn)中,并保存于該用戶終端的用戶上下文中�。
10.如權(quán)利要求9所述的方法,其特征在于所述接入節(jié)點(diǎn)判斷所述用戶終端具有網(wǎng)絡(luò)管理員權(quán)限之后�,所述接入節(jié)點(diǎn)將所述數(shù)據(jù) 包轉(zhuǎn)發(fā)給通信對端對應(yīng)的核心節(jié)點(diǎn)之前,還包括所述接入節(jié)點(diǎn)提取該管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址���;所述接入節(jié)點(diǎn)判斷所述用戶終端發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識是否在所述管 理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址中���,如果是執(zhí)行所述正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的核心網(wǎng)節(jié) 點(diǎn),否則進(jìn)行異常處理���。
11.如權(quán)利要求10所述的方法��,其特征在于所述用戶終端可管理的核心網(wǎng)節(jié)點(diǎn)地址在所述用戶終端注冊的時候,從認(rèn)證服務(wù)器傳 遞給該用戶終端注冊的接入節(jié)點(diǎn)中����,并保存于該用戶終端的用戶上下文中;或者所述接入 節(jié)點(diǎn)判斷出該用戶終端具有管理員權(quán)限后����,與所述認(rèn)證服務(wù)器進(jìn)行交互獲取所述用戶終端 可管理的核心網(wǎng)節(jié)點(diǎn)地址。
12.如權(quán)利要求1所述的方法���,其特征在于所述核心網(wǎng)節(jié)點(diǎn)地址通過網(wǎng)管配置后下發(fā)給所述接入節(jié)點(diǎn)���。
13.基于權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備管理的方法的網(wǎng)絡(luò)系統(tǒng)���,其特征在于,所述網(wǎng) 絡(luò)系統(tǒng)包括核心網(wǎng)和用戶終端���;所述核心網(wǎng)包括接入節(jié)點(diǎn)和認(rèn)證節(jié)點(diǎn)�;其中��,所述用戶終端�����,用于向所述接入節(jié)點(diǎn)發(fā)送數(shù)據(jù)包���,其中包含通信對端的身份標(biāo)識�����; 所述接入節(jié)點(diǎn)���,用于保存所述核心網(wǎng)的核心網(wǎng)節(jié)點(diǎn)地址�����,以及接收到用戶終端發(fā)送來 的數(shù)據(jù)包后����,提取該數(shù)據(jù)包中的通信對端的身份標(biāo)識����,然后在所述核心網(wǎng)節(jié)點(diǎn)地址中查找 該通信對端的身份標(biāo)識,并根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異 常處理�����。
14.如權(quán)利要求13所述的網(wǎng)絡(luò)系統(tǒng)����,其特征在于所述核心網(wǎng)還包括互通節(jié)點(diǎn),以及數(shù)據(jù)交換或路由節(jié)點(diǎn)����。
15.如權(quán)利要求14所述的網(wǎng)絡(luò)系統(tǒng)���,其特征在于 所述網(wǎng)絡(luò)系統(tǒng)為身份標(biāo)識與位置分離的網(wǎng)絡(luò)構(gòu)架(SILSN)����; 所述接入節(jié)點(diǎn)為接入服務(wù)節(jié)點(diǎn);所述互通節(jié)點(diǎn)為互聯(lián)服務(wù)節(jié)點(diǎn)(ISN)��、數(shù)據(jù)交換或路由節(jié)點(diǎn)為中轉(zhuǎn)設(shè)備(RT)��。
16.如權(quán)利要求14或15所述的網(wǎng)絡(luò)系統(tǒng)�,其特征在于,所述用戶終端發(fā)送數(shù)據(jù)包包括從所述網(wǎng)絡(luò)系統(tǒng)的一個用戶終端發(fā)向該網(wǎng)絡(luò)系統(tǒng)的一個核心網(wǎng)節(jié)點(diǎn)�����,稱為類型二�;以 及從所述網(wǎng)絡(luò)系統(tǒng)的一個用戶終端發(fā)向其他網(wǎng)絡(luò)系統(tǒng)的一個節(jié)點(diǎn)或用戶,稱為類型三��。
17.如權(quán)利要求16所述的網(wǎng)絡(luò)系統(tǒng)����,其特征在于,所述類型二的數(shù)據(jù)包與所述類型三 的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式����;所述接入節(jié)點(diǎn)�,還用于根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型三的數(shù)據(jù)包�;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體為 所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識��,如果查找到����,進(jìn) 行異常處理,結(jié)束��;如果查找不到�����,則所述用戶終端為普通用戶終端���,所述接入節(jié)點(diǎn)通過所 述互通節(jié)點(diǎn)將所述數(shù)據(jù)包發(fā)送到其他網(wǎng)絡(luò)系統(tǒng)��。
18.如權(quán)利要求16所述的網(wǎng)絡(luò)系統(tǒng)���,其特征在于,所述類型二的數(shù)據(jù)包與所述類型三 的數(shù)據(jù)包采用不相同的數(shù)據(jù)包格式����;所述接入節(jié)點(diǎn),還用于根據(jù)接收到的數(shù)據(jù)包格式區(qū)分出所述數(shù)據(jù)包為類型三的數(shù)據(jù)包�;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理,具體為 所述接入節(jié)點(diǎn)在所述核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識 如果查找不到����,進(jìn)行異常處理,結(jié)束���;如果查找到����,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限����,并根據(jù)提取的身份權(quán)限判 斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限 如果沒有,進(jìn)行異常處理����,結(jié)束;否則�����,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)�。
19.如權(quán)利要求16所述的網(wǎng)絡(luò)系統(tǒng)����,其特征在于�,所述類型二的數(shù)據(jù)包與所述類型三 的數(shù)據(jù)包采用相同的數(shù)據(jù)包格式;所述根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理���,具體為步驟所述接入節(jié)點(diǎn)在核心網(wǎng)節(jié)點(diǎn)地址中查找所述通信對端的身份標(biāo)識 如查找不到��,所述接入節(jié)點(diǎn)通過互通節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給所述第二網(wǎng)絡(luò)����,結(jié)束���; 如果查找到�����,所述接入節(jié)點(diǎn)提取所述用戶終端的身份權(quán)限����,并根據(jù)提取的身份權(quán)限判 斷所述用戶終端是否具有網(wǎng)絡(luò)管理員權(quán)限 如果沒有��,進(jìn)行異常處理�,結(jié)束�����;否則,所述接入節(jié)點(diǎn)將所述數(shù)據(jù)包轉(zhuǎn)發(fā)給通信對端的身份標(biāo)識對應(yīng)的核心節(jié)點(diǎn)�����。
20.如權(quán)利要求18或19所述的網(wǎng)絡(luò)系統(tǒng)�,其特征在于所述認(rèn)證節(jié)點(diǎn),用于保存用戶終端屬性信息�;以及所述用戶終端注冊的時候,將用戶的 身份權(quán)限傳遞給該用戶終端注冊的接入節(jié)點(diǎn)��;所述接入節(jié)點(diǎn)��,還用于將用戶的身份權(quán)限保存于該用戶上下文中���。
21.如權(quán)利要求20所述的網(wǎng)絡(luò)系統(tǒng)���,其特征在于所述接入節(jié)點(diǎn),還用于提取管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址�,并判斷所述用戶終 端發(fā)送的數(shù)據(jù)包的通信對端的身份標(biāo)識是否在所述管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址 中,如果是執(zhí)行所述正常轉(zhuǎn)發(fā)該數(shù)據(jù)包到目的核心網(wǎng)節(jié)點(diǎn)����,否則進(jìn)行異常處理����。
22.如權(quán)利要求21所述的網(wǎng)絡(luò)系統(tǒng)�����,其特征在于所述認(rèn)證節(jié)點(diǎn)�,還用于在所述管理員用戶注冊的時候,將管理員用戶可管理的核心網(wǎng) 節(jié)點(diǎn)地址傳遞給該用戶終端注冊的接入節(jié)點(diǎn)����,或者與所述接入節(jié)點(diǎn)交互將將管理員用戶可 管理的核心網(wǎng)節(jié)點(diǎn)地址傳遞給該用戶終端注冊的接入節(jié)點(diǎn);所述接入節(jié)點(diǎn)�,還用于將管理員用戶可管理的核心網(wǎng)節(jié)點(diǎn)地址保存于該用戶終端的用 戶上下文中,或者判斷出該用戶終端具有管理員權(quán)限后���,與所述認(rèn)證服務(wù)器進(jìn)行交互獲取 所述用戶終端可管理的核心網(wǎng)節(jié)點(diǎn)地址���。
23.如權(quán)利要求13所述的系統(tǒng),其特征在于所述接入節(jié)點(diǎn)是服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)���、網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)���、分組數(shù)據(jù)業(yè) 務(wù)節(jié)點(diǎn)(PDSN)和寬帶接入服務(wù)器(BRAQ設(shè)備�。
24.如權(quán)利要求13所述的系統(tǒng)��,其特征在于所述認(rèn)證節(jié)點(diǎn)是密鑰管理系統(tǒng)(KMS)�、歸屬位置寄存器(HLR)、歸屬用戶服務(wù)器(HSS)��、 授權(quán)/認(rèn)證/計費(fèi)服務(wù)器(AAA)或其他承擔(dān)端到端密鑰管理和協(xié)商功能的實體�。
全文摘要
一種網(wǎng)絡(luò)設(shè)備管理的方法�����,包括在接入節(jié)點(diǎn)中保存第一網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)地址���,其中核心網(wǎng)節(jié)點(diǎn)至少包括接入節(jié)點(diǎn)和認(rèn)證節(jié)點(diǎn)�����;當(dāng)接入節(jié)點(diǎn)接收到用戶終端發(fā)送來的數(shù)據(jù)包后�����,先提取該數(shù)據(jù)包中的通信對端的身份標(biāo)識��,然后在核心網(wǎng)節(jié)點(diǎn)地址中查找該通信對端的身份標(biāo)識����,并根據(jù)查找結(jié)果和用戶終端的身份權(quán)限對該數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或異常處理。相應(yīng)地�����,本發(fā)明還提供了網(wǎng)絡(luò)系統(tǒng)��,所述網(wǎng)絡(luò)系統(tǒng)包括核心網(wǎng)和用戶終端����;所述核心網(wǎng)包括接入節(jié)點(diǎn)和認(rèn)證節(jié)點(diǎn)。上述方法和網(wǎng)絡(luò)系統(tǒng)有效地防止了普通用戶訪問核心網(wǎng)節(jié)點(diǎn)����,從而避免普通用戶對核心網(wǎng)節(jié)點(diǎn)發(fā)起攻擊。
文檔編號H04L12/56GK102045307SQ20091018111
公開日2011年5月4日 申請日期2009年10月10日 優(yōu)先權(quán)日2009年10月10日
發(fā)明者張世偉, 符濤, 許志軍 申請人:中興通訊股份有限公司