CN101300807A

CN101300807A - 通信网络的网络接入节点计算机、通信系统以及用于操作通信系统的方法

Info

Publication number: CN101300807A
Application number: CNA2006800359304A
Authority: CN
Inventors: U·施米特克
Original assignee: Nokia Siemens Networks GmbH and Co KG
Current assignee: Nokia Solutions and Networks GmbH and Co KG
Priority date: 2005-09-30
Filing date: 2006-08-28
Publication date: 2008-11-05
Anticipated expiration: 2026-08-28
Also published as: US20090222904A1; EP1935163A1; CN101300807B; DE102005046935A1; DE102005046935B4; WO2007039357A1

Abstract

本发明涉及通信网络(10)的网络接入节点计算机(20)，所述网络接入节点计算机可通过通信线路(11)连接到通信网络(10)并且可通过至少一个用户线路(31.1、...、31.n)与用户部件(30.1、...、30.n)连接，并且所述网络接入节点计算机(20)被设置用于在通信网络(10)和至少一个用户部件(30.1、...、30.n)之间传输数据流，其中所述网络接入节点计算机(10)具有保护设备(21)，通过所述保护设备可传导数据流，并且所述保护设备被设置用于检测、分析以及在存在预先规定的条件的情况下改变数据流。

Description

通信网络的网络接入节点计算机、通信系统以及用于操作通信系统的方法

本发明涉及通信网络的网络接入节点计算机、通信系统以及用于操作通信系统的方法。

在常规的通信系统中多个用户部件通过相应的用户线路与网络接入节点计算机耦合，所述网络接入节点计算机建立用户部件至通信网络的连接。通信网络例如可以是多个彼此耦合的计算机，所述基于因特网协议(IP)彼此通信。这种通信网络也称为因特网。由于用户部件越来越经常地使用因特网，安全性是越来越重要的复合主题，其中所述用户部件始终或者也仅暂时地通过网络接入节点计算机与通信网络具有连接。

用户部件必须针对下面列出的并且从通信网络出发的威胁得以保护：病毒、蠕虫、特洛伊木马、拒绝服务(Denial of Service)攻击(Dos攻击)、例如IP欺骗(IP-Spoofing)、SynFlood攻击以及不请自来的批量电子邮件(UBE)、例如垃圾电子邮件。

在经由称为数字用户线(DSL)线路的用户线路已将用户部件连接到因特网的情况下，私人用户和较小公司或者办公室也日益遭受到上述威胁，并且必须对此采取适当的保护措施。

对用户部件或者还对通信网络的计算机部分有针对性地实施的攻击对于相应的运营商而言引起高的成本。攻击越晚被识别，损失限制耗费越大。

上述威胁在技术上通过病毒扫描器、用于自动对不允许的或者随机的访问进行识别的系统(入侵检测系统IDS(Intrusion Detection System))、用于禁止不允许的或者随机的访问的系统(网络入侵防止系统NIPS或者IPS)、防火墙、虚拟专用网络(VPN)以及如SSH、SSL或者TLS的加密和鉴权方法来防止。

典型地，由用户部件的用户或者运营商使用保护措施中的一种或者多种。这通过以下方式来实现：即在用户部件和通信网络之间安装防火墙，在用户部件上设置病毒扫描器或者通过使用VPN经由通信网络建立通信连接。在这种情况下该通信网络被视为传输介质和不受保护的区域。

因此本发明的任务在于，提供一种可能性，使保护用户部件不受上述类型的威胁变得容易。

该任务通过根据权利要求1的特征的网络接入节点计算机、通过具有权利要求13的特征的通信系统以及通过具有权利要求16的特征的用于运行通信系统的方法来解决。有利的扩展方案分别由从属权利要求得出。

通信网络的本发明网络接入节点计算机可通过通信线路连接到通信网络并且可通过至少一个用户线路与用户部件连接。所述网络接入节点计算机被设置用于在通信网络和至少一个用户部件之间传输数据流。此外该网络接入节点计算机具有保护设备，通过所述保护设备可传导数据流，并且所述保护设备被设置用于检测、分析以及在存在预先规定的条件的情况下改变数据流。

网络接入节点计算机是把分别经由用户线路与该网络接入节点计算机连接的多个用户部件的数据流集中成总数据流的部件，其中所述总数据流通过连接网络接入节点计算机与通信网络的通信线路来引导。

本发明现在规定，把迄今在用户部件中设置和运行的保护机制移置到网络接入节点计算机中。由此用户部件的运营商摆脱以下任务：即必须关心对其用户部件自身的保护。网络接入节点计算机通常位于通信网络的运营商的影响范围内，所述运营商能够以简单的方式提供相应的保护设备。在这种情况下尤其可能的是，用仅一个唯一的保护设备保护多个用户部件，亦即与该网络接入节点计算机相连接数目的用户部件。

保护设备可以具有多个不同的保护部件。根据一种实施形式，该保护设备具有防火墙功能性作为第一保护部件。在这种情况下，防火墙可以被应用于OSI参考模型的第二层或者第三层。在这种情况下，防火墙可以通过通信网络的运营商建立并且提供给用户部件。因为该运营商仅具有关于用户部件的有限的信息，所以在防火墙的配置方面必须应允用于最经常情况的折衷。第二层上的透明防火墙在这种情况下可以是有利的解决方案。在该解决方案中例如能够提供防止不希望的内容的服务能力。第一保护部件可以一次性为全部用户节点被设置在保护设备中。然而也可以设想，给每一个用户部件分配单独的第一保护部件。

根据另一个实施形式，保护设备具有病毒扫描器功能性作为第二保护部件，其中检验数据流的病毒签名。该第二保护部件被设置用于在识别到病毒签名的情况下封锁数据流和/或发出具有用信号发送报警的属性的消息。在这种情况下该警报可以向数据流的发送器或者接收器发出、亦即向该通信网络的计算机或者用户部件发出。

根据本发明网络接入节点计算机的另一实施形式，保护设备具有用于自动识别从通信网络对至少一个用户部件的和/或从至少一个用户部件对通信网络的不允许的或者随机的访问的系统作为第三保护部件。这种系统是入侵检测系统(IDS)，借助该系统能够识别攻击、特别是对用户部件的入侵。

根据另一实施形式，保护设备具有用于禁止从通信网络对至少一个用户部件的和/或从至少一个用户部件对通信网络的不允许的或者随机的访问的系统作为第四保护部件。称为网络入侵保护系统(NIPS或者IPS)的该系统超出对攻击的识别并禁止所述攻击。

第三和第四保护部件在这种情况下彼此可以联合成一个功能单元。

根据另一实施形式规定，所述网络接入节点计算机被设置用于把保护设备分配给至少一个用户线路，使得该至少一个用户线路的数据流在这种分配的情况下通过所述保护设备来传导。这种网络接入节点计算机使得能够把在技术上可供使用的保护措施例如作为必须承担费用的服务提供给用户部件的用户。因此根据这一实施形式不规定必须强制地通过保护设备把每一用户部件的数据流传导至通信网络。更确切地说，该网络接入节点计算机可以被设置用于把单个用户部件的数据流选择性地通过该保护设备来传导。

数据流的更精细的控制通过另一实施形式成为可能，根据该实施形式，网络接入节点计算机被设置用于把至少一个保护部件分配给至少一个用户线路，使得该至少一个用户线路的数据流在这种分配的情况下通过该至少一个保护设备被传导。根据这一扩展方案能够在不同的用户线路中选择性地分配确定的保护部件，于是通过所述保护部件传导数据流。

根据另一实施形式规定，第一保护部件和/或第二保护部件和/或第三保护部件和/或第四保护部件以硬件和/或软件方式来实现。保护部件以硬件和/或软件方式实现的该种实现尤其可以根据数据流的大小(传输率)确定。纯软件解决方案适用于要保护的用户部件或者用户线路的一小部分。这里在低性能的情况下可以期望功能性方面的最高灵活性。而在非常大的数据传输率的情况下更好地通过处理器接管保护部件的部分功能并从而接管以硬件方式的实现。

根据一个实施形式，网络接入节点计算机是数字用户线接入多路复用器(DSLAM)，其表示对用于多个用户部件的宽带通信网络的入口。用户线路是数字用户线(DSL)通信线路，其连接用户部件与网络接入节点计算机。

本发明的通信系统包括通信网络、至少一个用户部件以及网络接入节点计算机，所述网络接入节点计算机如上述来构造。本发明的通信系统具有与上面结合网络接入节点计算机所说明的相同的优点。

根据一个实施形式，用户部件可以是单个计算机或者涉及另一通信网络、例如所谓的内联网等等。根据一个实施形式，通信网络是宽带网络、特别是异步传输模块(ATM)通信网络或者基于以太网的网络。

在用于操作具有通信网络、至少一个用户部件和网络接入节点计算机的通信系统的本发明方法中，在所述网络接入节点计算机中检测、分析和在存在预先规定的条件的情况下改变在通信网络和用户部件之间所传输的数据流。换句话说，在网络接入节点计算机中对数据流进行对于用户部件和/或通信网络的可能的威胁的检验。特别可以规定，分析数据流的病毒签名和/或拒绝服务(DoS)攻击和/或不请自来的批量电子邮件(UBE)。

下面根据唯一的附图详细说明本发明。

该图以示意图的方式示出根据本发明的通信系统1。该通信系统具有通信网络10，例如基于因特网协议(IP)的由多个彼此耦合的计算机(未示出)组成的通信网络。通信网络10通过由宽带线路所构成的通信线路11与网络接入节点计算机20、例如数字用户线接入多路复用器(DSLAM(Digital SubscriberLine Access Multiplexer))耦合。该网络接入节点计算机20又以已知的方式通过多个用户线路31.1、...、31.n与相应的用户部件30.1、...、30.n耦合。用户部件30.1例如作为单个计算机32来构造，而用户部件30.n由另一通信网络33构成。用户线路31.1、...、31.n在本实施例中是所谓的DSL通信线路。

网络接入节点计算机20是用于集中多个xDSL连接的网络部件。网络接入节点计算机20是对作为宽带网所构造的通信网络10的入口。属于其典型任务的有：数据流的多路复用和聚合；与xDSL连接的传输速度的比特速率匹配；网络管理信息的提供；永久虚拟连接(Permanent Virtual Circuit PVC)的建立；所选择的虚拟连接(Switched Virtual Circuit SVC)的建立和触发、以及用以保证服务质量(Quality of Service QoS)的流量控制(Policing)。

网络接入节点计算机20具有保护设备21，所述保护设备在本实施例中包括保护部件22、23、24、25。各个保护部件22、23、24、25彼此分开，使得排除相互间的影响。保护部件可以选择性地被分配给用户线路31.1、...、31.n中的一个或多个并且从而被分配给分别所连接的用户部件30.1、...、30.n。

在用户部件30.1和通信网络10之间存在的数据流用参考符号27表示。在用户部件30.n和通信网络10之间存在的数据流用参考符号26表示。

在本实施例中实现对用户线路31.n和与之相耦合的用户部件30.n(通信网络33)的这种分配。虽然数据流27不被任何保护机制监视(除非保护部件在用户部件30.1自身中是激活的)，但是通过保护设备21所传导的数据流26例如经受保护设备21的所有保护机制。在一种未示出的实施形式中，数据流27也可以仅被传导给一些事前确定的保护部件。

保护部件22例如是防火墙。防火墙一般是用于在两个通信网络(这里是通信网络10和用户部件30.n)之间的边界上使网络安全的方案，其中在两个网络之间的每一通信(数据流)必须通过所述方案进行。防火墙被用于主要保护本地网(用户部件30.n)不受来自因特网(通信网络10)的攻击。因为在这些网络之间的通信在任何情况下都必须通过防火墙进行，所以该防火墙能够实现对安全策略的前后一致的贯彻。这里所使用的保护措施在两个方向上起作用，然而也可以以不对称的方式来使用，原因在于给用户部件带来比通信网络10的用户多的信任。因此要保护的网络的用户采取比外部用户少的限制性措施。

此外，属于防火墙的可能的保护措施的有：对在不值得信赖的网络中可用的服务的限制；要保护的通信计算机的数目的减少；访问权限的结构化限制；数据流的过滤；审计(Audit)功能(亦即访问和流量的监视和可理解性)；鉴权和识别以及加密的、译成密码的传输。

防火墙既可以以硬件的方式也可以以软件的方式实现。可以设想，例如给要保护的用户线路31.1、31.n中的每一个分配防火墙。

保护部件23可以是病毒扫描器，其典型地以软件的方式实现。病毒扫描器的实例可以被分配给相应的用户线路(这里：用户线路30.n)。病毒扫描器扫描进入的和发出的数据流27的已知病毒签名。在识别到病毒时于是可以触发警报，并且禁止相应的数据流。

保护部件24是入侵检测系统(IDS)，其中所述入侵检测系统以软件的形式实现，并且借助于所述入侵检测系统可以识别对用户部件30.n的攻击。保护部件25与之相连接，所述保护部件25作为网络入侵保护系统(NIPS)来构造，并且禁止所识别的攻击。

本发明特别可以在相应用户部件与通信网络的DSL通信连接的范围内被使用。由此既得出针对用户部件的用户的优点，也得出针对通信网络的运营商的优点。

使用户摆脱以下任务：必须关心其用户部件的适当的保护措施。耗费包括对题目范围的研究、适当保护措施的安装和保护机制的维护或者数据现实性。对于不想或者不能用深入研究该题目范围的用户，这意味着极大的去负荷。此外一种既定的解决方案带来了安全性优点，因为攻击或者还有病毒能够在到达用户部件前已经被拒绝。

通信网络的运营商对保护通信网络不受攻击和威胁具有日渐增强的兴趣。对于通信网络的运营商，病毒、蠕虫、拒绝服务攻击诸如此类日益导致故障并从而导致高的成本。通过对用户线路或与之相耦合的用户部件的保护，通信网络在进入点受到保护。由此能够尽早地拒绝攻击。因此本发明提供用于提高通信网络安全性的重要组件。

Claims

1.通信网络(10)的网络接入节点计算机(20)，

-所述网络接入节点计算机可通过通信线路(11)连接到通信网络(10)并且可通过至少一个用户线路(31.1、...、31.n)与用户部件(30.1、...、30.n)连接，

-所述网络接入节点计算机被设置用以在通信网络(10)和至少一个用户部件(30.1、...、30.n)之间传输至少一个数据流，

-其中所述网络接入节点计算机(10)具有保护设备(21)，通过所述保护设备可传导至少一个数据流，并且所述保护设备被设置用于检测、分析以及在存在预先规定的条件的情况下改变至少一个数据流。

2.根据权利要求1的网络接入节点计算机，其特征在于，

保护设备(21)具有防火墙功能性作为第一保护部件(22)。

3.根据权利要求1或2的网络接入节点计算机，其特征在于，

保护设备(21)具有病毒扫描器功能性作为第二保护部件(23)，其中检验数据流的病毒签名。

4.根据权利要求3的网络接入节点计算机，其特征在于，

第二保护部件(23)被设置用于在识别到病毒签名的情况下封锁所述数据流和/或发出具有用信号发送报警的属性的消息。

5.根据上述权利要求之一的网络接入节点计算机，其特征在于，

保护设备(21)具有用于自动识别从通信网络(10)对至少一个用户部件(30.1、...、30.n)的和/或从至少一个用户部件(30.1、...、30.n)对通信网络(10)的不允许的或者随机的访问的系统作为第三保护部件(24)。

6.根据上述权利要求之一的网络接入节点计算机，其特征在于，

保护设备(21)具有用于禁止从通信网络(10)对至少一个用户部件(30.1、...、30.n)的和/或从至少一个用户部件(30.1、...、30.n)对通信网络(10)的不允许的或者随机的访问的系统作为第四保护部件(25)。

7.根据上述权利要求之一的网络接入节点计算机，其特征在于，

所述网络接入节点计算机被设置用于把保护设备(21)分配给至少一个用户线路(31.1、...、31.n)，使得该至少一个用户线路(31.1、...、31.n)的数据流在这种分配的情况下通过保护设备(21)来传导。

8.根据权利要求7的网络接入节点计算机，其特征在于，

所述网络接入节点计算机被设置用于把至少一个保护部件(22、23、24、25)分配给至少一个用户线路(31.1、...、31.n)，使得该至少一个用户线路(31.1、...、31.n)的数据流在这种分配的情况下通过该至少一个保护部件(22、23、24、25)来传导。

9.根据上述权利要求之一的网络接入节点计算机，其特征在于，

第一保护部件(22)和/或第二保护部件(23)和/或第三保护部件(24)和/或第四保护部件(25)以硬件的方式实现。

10.根据上述权利要求之一的网络接入节点计算机，其特征在于，

第一保护部件(22)和/或第二保护部件(23)和/或第三保护部件(24)和/或第四保护部件(25)以软件的方式实现。

11.根据上述权利要求之一的网络接入节点计算机，其特征在于，

所述网络接入节点计算机是数字用户线接入多路复用器(DSLAM)，该数字用户线接入多路复用器表示对用于多个用户部件(30.1、...、30.n)的宽带通信网络的入口。

12.根据上述权利要求之一的网络接入节点计算机，其特征在于，

用户线路(31.1、...、31.n)是数字用户线(DSL)通信线路。

13.通信系统(1)，具有：

-通信网络(10)，

-至少一个用户部件(30.1、...、30.n)，

-网络接入节点计算机(20)，其根据权利要求1到12之一来构造。

14.根据权利要求13的通信系统，其特征在于，

用户部件(30.1、...、30.n)是单个计算机(32)或者是另一通信网络(33)。

15.根据权利要求13或者14的通信系统，其特征在于，

通信网络(10)是宽带网络，尤其是异步传输模块(ATM)通信网络。

16.用于操作通信系统的方法，其中所述通信系统具有：

-通信网络(10)，

-至少一个用户部件(30.1、...、30.n)，

-根据权利要求1到12之一的网络接入节点计算机(20)，

其中在网络接入节点计算机(20)中检测、分析和在存在预先规定的条件的情况下改变在通信网络(10)和用户部件(30.1、...、30.n)之间所传输的数据流。

17.根据权利要求16的方法，其特征在于，

分析数据流的病毒签名和/或拒绝服务(DoS)攻击和/或不请自来的批量电子邮件(UBE)。