CN101651537A - 一种在通信网络系统中进行分散式安全控制的方法和装置 - Google Patents

Abstract

随着网络技术的演进以及越来越多的用户终端要求接入英特网，网络安全正面临越来越严峻的考验。为了提高网络运营商网络的安全性和可运营性，本发明提出了一种在通信网络系统中进行分散式安全控制的方法和装置。该方法首先由网络控制设备创建网络安全控制机制，该机制用于在第二网络设备上对来自用户终端的数据包进行合法性检查；其次，网络控制设备将所述网络安全控制机制发送给第二网络设备；最后，第二网络设备根据网络安全控制机制对来自用户终端的数据包进行合法性检查；如果所述数据包不合法，则丢弃该数据包。通过本发明，可明显提高通信网络的安全性和可运营性，特别是在集中式控制的无线局域网架构的网络中实现防地址欺骗等功能。

Description

一种在通信网络系统中进行分散式安全控制的方法和装置

技术领域

本发明涉及通信网络系统的安全控制，特别涉及一种通信网络系统中分散式安全控制的方法和装置。

背景技术

随着网络技术的演进，以及越来越多的用户设备要求接入英特网，运营商对于网络的安全性和可运营性提出了更高的要求，特别是如何在无线终止设备等网络设备上建立并执行网络安全控制机制变得越来越重要。

在固定网络和移动网络融合(FMC，Fixed Mobile Convergence)的技术发展趋势下，无线局域网技术(WLAN，Wireless LAN)将发挥重要作用，特别是802.11无线局域网和DSL(Digital Subscribe Line，数字用户线路)技术相结合的情形，其中IETF(Internet Engineering TaskForce，因特网工程任务组)的CAPWAP(Control And Provisioning ofWireless Access Points)工作组定义的集中式无线局域网架构(CentralizedWLAN architecture)是目前部署这样的无线网络的优选方案。在该架构下，WTP(Wireless Termination Point，无线终止设备)与AC(AccessController，接入控制器)之间使用CAPWAP协议进行通信，转发控制信息和数据信息。

在现有技术(如现有的RFC4118 CAPWAP协议)中，无线终止设备仅仅对来自无线局域网中的用户终端的数据包的源MAC地址进行合法性检查，因此也无法防止某些恶意用户终端通过利用别的用户终端的IP地址向无线终止设备甚至接入节点设备发送大量恶意数据包，从而对网络发起攻击(比如DoS攻击，Denial of Service)。因此在现有技术中无线终止设备在网络安全控制方面起的作用非常有限，不能起到防止IP地址欺骗(IP address anti-spoofing)等网络安全控制的作用。另外，现有技术中接入控制器并没有将更多的诸如IP地址等可用于网络安全控制的参数实时地配置给无线终止设备等网络设备，也进一步限制了无线终止设备这些更靠近用户终端的网络设备发挥更强的网络安全控制功能，从而也限制了整个通信网络系统的安全性。而事实上，随着网络的演进和技术的发展，如何使得那些更靠近用户终端的网络设备发挥更强的网络安全控制功能，已成为增强整个通信网络系统安全的重要可行途径之一。

发明内容

本发明正是为了进一步提高现有技术中的无线终止设备等更靠近用户终端的网络设备在网络安全控制方面所起的作用而提出的。通过本发明，提出了一种在通信网络系统中进行分散式安全控制的方法，涉及网络控制设备和第二网络设备，其中，网络控制设备负责动态创建网络安全控制机制，并将创建好的网络安全控制机制配置给第二网络设备；而第二网络设备在负责解释和执行网络安全控制机制，对它所接收到的数据包进行合法性检查并进行相应处理，从而保证网络安全。

根据本发明的第一方面，提供了一种在通信网络系统中进行分散式安全控制的方法，所述通信网络包括网络控制设备和一个或多个第二网络设备，以及一个或多个用户终端，首先，所述网络控制设备动态创建网络安全控制机制，所述网络安全控制机制用于在所述一个或多个第二网络设备上对来自所述用户终端的数据包进行合法性检查；其次，所述网络控制设备将所述网络安全控制机制发送给所述一个或多个第二网络设备；最后，所述一个或多个第二网络设备根据所述网络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果所述数据包不符合所述网络安全控制机制，则丢弃该数据包。

根据本发明的第二方面，提供了一种在通信网络系统的网络控制设备中用于引导所述通信网络系统中的一个或多个第二网络设备进行分散式安全控制的方法，其中所述通信网络系统还包括一个或多个用户终端，在该方法中，网络控制设备首先创建网络安全控制机制，所述网络安全控制机制用于在所述一个或多个第二网络设备上对来自所述用户终端的数据包进行合法性检查；其次将所述网络安全控制机制发送给所述一个或多个第二网络设备。

根据本发明的第三方面，提供了一种在通信网络系统的第二网络设备中进行分散式安全控制的方法，其中，所述通信网络还包括网络控制设备和一个或多个所述第二网络设备，以及一个或多个用户终端，在该方法中，第二网络设备首先接收来自所述网络控制设备的网络安全控制机制；其次，根据所述网络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果所述数据包不符合所述网络安全控制规则，则丢弃该数据包。

根据本发明的第四方面，提供了一种在通信网络系统的网络控制设备中用于引导所述通信网络系统中的一个或多个第二网络设备进行分散式安全控制的装置，所述通信网络系统还包括一个或多个用户终端，该装置包括创建装置和配置装置，其中，创建装置用于创建网络安全控制机制，所述网络安全控制机制用于在所述一个或多个第二网络设备上对来自所述用户终端的数据包进行合法性检查；配置装置用于将所述网络安全控制机制发送给所述一个或多个第二网络设备。

根据本发明的第五方面，提供了一种在通信网络系统的第二网络设备中进行分散式安全控制的装置，其中，所述通信网络还包括网络控制设备和一个或多个所述第二网络设备，以及一个或多个用户终端，该装置包括配置装置和检查装置，其中配置装置用于接收来自所述网络控制设备的网络安全控制机制；检查装置用于根据所述网络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果所述数据包不符合所述网络安全控制规则，则丢弃该数据包。

通过使用本发明提供的方法和装置，在通信网络中通过网络控制设备和第二网络设备之间的协作，完成对通过第二网络设备上的数据包的合法性检查，从而提高通信网络的安全性。同时，由于网络安全控制机制在网络控制设备上完成动态创建，不仅可动态改变网络安全检查规则，还可以动态改变网络安全检查参数，从而提高了无线终止设备等更靠近用户终端的网络设备的网络安全控制能力，并从整体上提高整个通信网络系统的安全性。

附图说明

通过阅读以下参照附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显。

图1示出了根据本发明的一个具体实施例的通信网络系统的网络拓扑结构示意图；

图2示出了根据本发明的一个具体实施例的分散式网络安全控制方法的消息流图；

图3示出了根据本发明的一个具体实施例的接入控制器中的分散式网络安全控制的装置；

图4示出了根据本发明的一个具体实施例的无线终止设备中的分散式网络安全控制的装置。

图5示出了根据本发明的一个具体实施例的在扩展的CAPWAP协议消息中使用的包含IP地址的消息元(message elements)。

在附图中，相同和相似的附图标记代表相同或相似的装置或方法步骤。

具体实施方式

如图1示出的通信网络系统的一个具体实施例的接入网的网络拓扑结构示意图中，接入网(NAP，Network Access Provider)中的接入控制器41(AC，Access Controller)包含在接入节点(Access Node)中，接入控制器与一个或多个无线终止设备31(WTP，WirelessTermination Point)相连接，或与一个或多个驻地网关32(RGW，Residential Gateway)。每个无线终止设备31允许有一个或多个无线局域网(WLAN，Wireless LAN)，其中每个无线局域网又包含一个或多个无线用户终端，而一个驻地网关32与一个用户驻地网络(CPN，Customers Premises Network)相连接，其中每个用户驻地网络又包含一个或多个用户终端。接入节点的另一端与边缘路由器等网络设备相连接，并进而与一个或多个网络服务提供商(NSP，Network ServiceProvider)的网络相连接。

图2示出了根据本发明的一个具体实施例的分散式网络安全控制方法的消息流图，下面结合图1，对图2所示的本发明的一个具体实施方式进行详细说明。

在作为通信网络系统的一个具体实施例的如图1所示的接入网中，接入控制器41是其中的一个网络控制设备，而无线终止设备31或者驻地网关32是其中的两个网络设备，这里我们统称它们为“第二网络设备”。

首先，作为网络控制设备的接入控制器41通过步骤S21创建网络安全控制机制。该网络安全控制机制用于在一个或多个无线终止设备中对其接收到的数据包进行合法性检查，特别是来自热点(Hotspot)中的无线局域网或者用户驻地网络的用户终端的数据包进行合法性检查，以便检查出非法数据包，从而确保网络安全。

其中，优选地，网络安全控制机制包括网络安全检查规则和网络安全检查参数。例如，在网络安全控制机制的一个具体实施例中，网络安全检查规则包括“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”，网络安全检查参数则具体包括了那些预定的IP地址和MAC地址的地址对组合，比如，对应于上述网络安全检查规则，网络安全检查参数的一个具体示例如表1所示。

表1网络安全检查参数的一个具体示例

预定的IP地址和MAC地址的地址对组合	IP地址	MAC地址
			组合1	172.10.112.1	44-45-53-54-00-10
组合2	172.10.112.2	44-45-53-54-00-20

组合3

172.10.112.3

44-45-53-54-00-30

如表1所示的网络安全检查参数，包括3个预定的IP地址和MAC地址的地址对组合，即组合1、组合2、组合3，分别为(172.10.112.1，44-45-53-54-00-10)、(172.10.112.2，44-45-53-54-00-20)、(172.10.112.3，44-45-53-54-00-30)。如果网络安全控制机制包括的网络安全检查规则是“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”，网络安全控制机制包括的网络安全检查参数如表1所示，则表示只有当无线终止设备31接收到来自用户终端的数据包的源IP地址和源MAC地址的地址对组合为上述3个组合之一，才表示该数据包袱和该网络安全控制机制，数据包合法，否则该数据包不合法，对网络安全可能构成潜在威胁，对不符合网络安全控制机制的数据包应该进行特别处理，如丢弃该类非法的数据包。

另外，可选地，对于如表1所示的网络安全检查参数，也可能对应于不同的网络安全检查规则。例如，通信网络系统的运营商或者管理者出于对某些用户驻地网络或者无线局域网的信任或者相互之间签订的协议等原因降低网络安全检查规则的检查级别，将上述网络安全检查规则“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”，变为“检查数据包的源网络层地址是否为预定的网络层地址”，此时，如果网络安全检查参数仍然如表1所示，则当无线终止设备31接收到的来自用户终端的数据包的源IP地址是表1所示的地址对组合1、组合2、组合3中的IP地址之一，即表示该数据包合法，例如，如果一个数据包的源IP地址为172.10.112.2，则无论其MAC地址是什么，均认为该数据包符合上述网络安全控制机制，数据包合法；但是如果一个数据包的源IP地址为172.10.112.4，由于172.10.112.4不是表1所示的3个地址对组合中的任何一个IP地址，因此该数据包非法。

优选地，接入控制器41可以在无线终止设备31或者驻地网关32等设备与其连接时创建上述网络安全控制机制，也可以设定发生其它网络事件时触发创建对应的网络安全控制机制，这样的网络事件包括：

-接入控制器41接收到来自通信网络系统中的其它设备(如配置服务器)发送的创建网络安全控制机制的指令；优选地，该指令包含有关网络安全控制的信息，这些信息用于辅助接入控制器41创建对应的网络安全控制机制；更优选地，该指令甚至直接包含网络安全控制机制的网络安全检查规则。

-接入控制器41接收到来自通信网络系统中的其它设备(如告警服务器)发送的有关网络安全告警的信息；优选地，接入控制器41可以根据接收到的不同的告警信息，在创建网络安全控制机制时，选择相应的网络安全检查规则以及相应的网络安全检查参数。例如，当接收到有关网络设备中发生DoS网络攻击的告警信息时，则接入控制器41在创建网络安全控制机制时，可选择“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”作为网络安全检查规则；而当发生某些网络设备遭受TCP/UDP端口号攻击的告警信息时，则接入控制器41在创建网络安全控制机制时，可选择“网络层地址和TCP/UDP端口号的组合”作为网络安全检查参数。

-接入控制器41侦听发送给用户终端的DHCP地址分配消息等网络信息；此时，当接入控制器41之前已经为管辖该用户终端的无线终止设备31创建了网络安全控制机制，则接入控制器41会更新该已创建的网络安全控制机制。如果还没有创建网络安全控制机制，则接入控制器41创建相应的网络安全控制机制。

优选地，网络安全检查规则和网络安全检查参数可随着通信网络系统的运行自适应地进行更新。比如，当前通信网络系统需要提高网络安全控制级别时，可触发调整为不同的网络安全检查规则。另外，在通信网络系统运行过程中，如前文所述，当无线局域网或者用户驻地网络中的同一个用户终端通过DHCP协议向DHCP服务器等分配获得不同的IP地址等配置信息，也可触发调整不同的网络安全检查参数，如，具有MAC地址为44-45-53-54-00-30的用户终端重新向DHCP服务器请求分配地址后，其IP地址由原来的172.10.112.3变成了172.10.112.30，则表1中的组合3也相应地由(172.10.112.3，44-45-53-54-00-30)更新为(172.10.112.30，44-45-53-54-00-30)。

由此可见，包括网络安全检查规则和网络安全检查参数的网络安全控制机制，随着通信网络系统的运行，可通过调整网络安全检查规则和/或网络安全检查参数对其进行及时调整，以迅速适应当前网络安全控制的需求，对发生的网络安全告警等事件作出及时反应，以更好的维护网络安全。

另外，优选地，根据不同的网络安全控制的目的，所建立的网络安全控制机制也可能包含不同的网络安全检查参数。例如，为了防止对某些TCP/UDP端口的网络攻击，如表2所示，网络安全检查参数的另一个具体实施例包括IP地址和TCP/UDP端口号的组合：

表2网络安全检查参数的另一个具体示例

预定的IP地址和端口号的组合	IP地址	端口号
			组合1	172.10.112.1	81
组合2	172.10.112.2	82
			组合3	172.10.112.3	83

对应于如表2所示的网络安全检查参数，网络安全检查规则的一个具体实施例是“检查数据包的源网络层地址和端口号的组合是否为预定的网络层地址和端口号的组合”，即只有当一个数据包的源IP地址和端口号的组合是表2所示的3个组合之一，才表示该数据包合法。否则，该数据包不合法。

需要说明的是，根据不同的网络安全控制的目的，结合不同的网络安全检查规则，网络安全检查参数还包括网络层地址、端口号等参数，或者是网络层地址与端口号等参数的组合等。当然还可以包括其它可能的参数形式，比如在IPv6网络中的IPv6地址或者IPv6地址的网络前缀(Prefix)等。

另外，网络安全控制机制包括的网络安全检查参数既可以通过人工配置的方式将上述检查参数信息配置给接入控制器，优选地，也可以接入控制器通过自动侦听由DHCP服务器等网络地址分配服务器发送给无线局域网或用户驻地网络中的用户终端的地址分配消息获得。例如，当无线局域网中的用户终端通过DHCP协议从DHCP服务器上请求获得IP地址时，接入控制器可通过侦听DHCP服务器发送给对应用户终端的DHCP ACK消息，并从中获得分配给对应用户终端的IP地址以及该用户终端的MAC地址，从而组成一个预定的网络层地址(IP地址)和数据链路层地址(MAC地址)的地址对组合，作为如表1所示的网络安全检查参数中的其中一个预定的地址对组合，最后将包括上述网络安全检查参数的网络安全控制机制发送给管理该无线局域网的无线终止设备31。而对于TCP/UDP端口号等参数，用户终端通过服务认证建立TCP/UDP连接时获得，此时，认证服务器可通过通信网络系统的管理系统自动告知接入控制器等网络控制设备，从而使得接入控制器自动获得TCP/UDP端口号等参数，并最终建立网络安全检查参数。

另外，在步骤S21创建网络安全控制机制的过程，接入控制器也可以接受人工配置或者其它配置服务器的配置等方式，获得相应的网络安全检查规则和/或网络安全检查参数等信息。优选地，网络安全检查规则通过人工配置或者其它配置服务器配置等方式获得，而网络安全检查参数由接入控制器在通信网络系统的运行过程中自动获得，如通过侦听DHCP协议中的地址分配消息DHCP ACK等获得IP地址等参数。

至此，接入控制器通过步骤S21创建了网络安全控制机制，该网络安全控制机制可用于无线终止设备31或者驻地网关32等网络设备来自用户终端的数据包进行合法性检查。

接着，接入控制器通过步骤S22将在步骤S21中所创建的网络安全控制机制发送给对应的无线终止设备31。优选地，接入控制器41通过CAP WAP(Control And Provisioning of Wireless Access Points)协议消息将上述网络安全控制机制发送给对应的无线终止设备31，如接入控制器可通过CAPWAP协议中的CAPWAP Station ConfigurationRequest消息将网络安全控制机制发送给无线终止设备31，其中当该网络安全控制机制所包括的网络安全检查参数包含IP地址时，作为一个扩展当前CAPWAP协议的一个具体实施方式，在CAPWAPStation Configuration Request消息中包含如图5定义的消息元(message elements)，该消息元具体包括一个8比特的无线ID(RadioID)、一个8比特的无线局域网ID(WLAN ID)、一个16比特的IEEE802.11连接标识(AID，Association Identifier)以及一个32比特的IP地址(如采用IPv6协议，则包括一个128比特的IPv6地址)。

最后，无线终止设备31通过步骤S22接收到上述网络安全控制机制之后，在步骤S23中对来自无线局域网中用户终端的数据包进行合法性检查，如果所述数据包不符合所述网络安全控制机制，则丢弃该数据包。

具体地，无线终止设备31首先根据它所接收到的网络安全控制机制，从来自无线局域网的用户终端的数据包中获得该数据包对应的参数信息，例如，当网络安全检查规则为“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”，网络安全检查参数为如表1所示时，则接入控制器首先从来自用户终端的数据包中获取该数据包的源IP地址和源MAC地址，然后组成一个地址对组合，即(该数据包的源IP地址，该数据包的源MAC地址)；随后，将获得的该数据包的地址对组合与网络安全检查参数按照网络安全检查规则进行比对，如果该数据包的地址对组合是网络安全检查参数中所包含的预定地址对组合之一，则表示该数据包合法，否则，表示该数据包不合法。如，从一个来自用户终端的数据包中获得的源IP地址为172.10.112.2，源MAC地址为44-45-53-54-00-20，即该数据包的参数信息为源网络层地址和源数据链路层地址的地址对组合(172.10.112.2，44-45-53-54-00-20)，根据网络安全检查规则，确定该数据包的地址对组合与表1所示的网络安全检查参数中所包含的预定的网络层地址和数据链路层地址的地址对组合的组合2相同，从而确定该数据包符合网络安全控制机制，该数据包合法。但是如果另一个数据包的源IP地址为172.10.112.2，源MAC地址为44-45-53-54-00-30，即该数据包的参数信息为源网络层地址和源数据链路层地址的地址对组合(172.10.112.2，44-45-53-54-00-30)，则根据网络安全检查规则，确定该数据包的地址对组合与表1所示的网络安全检查参数中所包含的预定的网络层地址和数据链路层地址的地址对组合的3个组合中的任何一个均不相同，从而确定该数据包不符合网络安全控制机制，该数据包不合法，无线终止设备31应对该数据包进行特别处理，如丢弃该非法数据包。实际上，通过在无线终止设备执行上述举例说明的网络安全控制机制，能有效防止某些恶意用户终端通过盗用其它用户终端的IP地址并大量发送IP包以发动网络攻击的行为。也就是说，只有那些源IP地址和源MAC地址的地址对组合是预定的地址对组合的数据包才能通过无线终止设备31并转发至接入控制器41等网络设备中，从而起到了防止IP地址欺骗的目的。

另外，无线终止设备31从来自用户终端的数据包中除了获得源IP地址的参数外，还可获得TCP/UDP端口号、目的IP地址、目的MAC地址等参数，在具体实施本发明时，可根据网络安全控制的不同目的，选择其中的一个、或者几个的组合，配置网络安全检查参数。

本领域普通技术人员可以理解的是，上述在无线终止设备中所执行的步骤和方法在驻地网关32上同样适用。但是由于CAPWAP协议一般情况下应用于接入控制器和无线终止设备之间，因此通常情况下，接入控制器不通过CAPWAP协议消息的形式为驻地网关发送网络安全控制机制。

图3示出了根据本发明的一个具体实施例的接入控制器中的分散式网络安全控制的装置，下面结合图1，对图3所示的本发明的一个具体实施方式进行详细说明。

接入控制器41中的分散式网络安全控制装置300包括创建装置301和配置装置302。

首先，创建装置301创建网络安全控制机制。该网络安全控制机制用于在一个或多个无线终止设备中对来自用户终端的数据包进行合法性检查，如对来自热点(Hotspot)中的无线局域网用户终端的数据包进行合法性检查，以便检查出非法数据包，从而确保网络安全。

优选地，网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查规则和网络安全检查参数如前文所述。当无线终止设备31所管辖的无线局域网中的用户终端通过DHCP协议从DHCP服务器请求获得IP地址时，创建装置301通过侦听由DHCP服务器等网络地址分配服务器发送给用户终端的地址分配消息，并从中获得网络安全检查参数中的参数信息。例如，当无线局域网中的用户终端通过DHCP协议从DHCP服务器上请求获得IP地址时，接入控制器可通过侦听DHCP服务器发送给对应用户终端的DHCP ACK消息，并从中获得分配给对应用户终端的IP地址以及该用户终端的MAC地址，从而组成一个预定的网络层地址(IP地址)和数据链路层地址(MAC地址)的地址对组合，作为如表1所示的网络安全检查参数中的其中一个预定的地址对组合。从而完成创建网络安全检查参数，此时，作为一个具体实施例，可选择“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”为网络安全检查规则，从而组成网络安全控制机制。

本领域普通技术人员可理解的是，创建装置301在创建网络安全控制机制的过程，如前文所述，也可以接受人工配置或者其它配置服务器的配置等方式，获得相应的网络安全检查规则和/或网络安全检查参数等信息。优选地，网络安全检查规则通过人工配置或者其它配置服务器配置等方式获得，而网络安全检查参数由创建装置301在通信网络系统的运行过程中自动获得。

接着，配置装置302将创建装置301所创建的网络安全控制机制发送给对应的无线终止设备31。优选地，配置装置302通过CAPWAP(Control And Provisioning of Wireless Access Points)协议消息将上述网络安全控制机制发送给对应的无线终止设备31，如配置装置302可通过CAPWAP协议中的CAPWAP Station Configuration Request消息将网络安全控制机制发送给无线终止设备31，其中当该网络安全控制机制所包括的网络安全检查参数包含IP地址时，作为一个扩展当前CAPWAP协议的一个具体实施方式，在CAPWAP Station ConfigurationRequest消息中包含如图5定义的消息元(message elements)，该消息元具体包括一个8比特的无线ID(Radio ID)、一个8比特的无线局域网ID(WLAN ID)、一个16比特的IEEE802.11连接标识(AID，Association Identifier)以及一个32比特的IP地址(如采用IPv6协议，则包括一个128比特的IPv6地址)。

图4示出了根据本发明的一个具体实施例的无线终止设备中的分散式网络安全控制的装置，下面结合图1，对图4所示的本发明的一个具体实施方式进行详细说明。

无线终止设备31中的分散式网络安全控制装置400包括配置装置401和检查装置402。

首先，配置装置401接收接入控制器41发来的网络安全控制机制。优选地，网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查规则和网络安全检查参数如前文所述。另外，优选地，配置装置401通过接收接入控制器41发来的CAPWAP消息，并从中获得对应的网络安全控制机制，如通过CAPWAP协议中的CAPWAP Station Configuration Request消息接收网络安全控制机制，其中当该网络安全控制机制所包括的网络安全检查参数包含IP地址时，作为一个扩展当前CAPWAP协议的一个具体实施方式，在CAPWAP Station Configuration Request消息中包含如图5定义的消息元(message elements)，该消息元具体包括一个8比特的无线ID(RadioID)、一个8比特的无线局域网ID(WLAN ID)、一个16比特的IEEE802.11连接标识(AID，Association Identifier)以及一个32比特的IP地址(如采用IPv6协议，则包括一个128比特的IPv6地址)。

然后，检查装置302对无线终止设备31接收到的来自无线局域网用户终端的数据包进行合法性检查，如果所述数据包不符合所述网络安全控制机制，表示该数据包不合法，应做特别处理，如丢弃该数据包。

具体地，检查装置302首先根据上述网络安全控制机制包括的网络安全检查规则和网络安全检查参数，从来自无线局域网的用户终端的数据包中获得该数据包对应的参数信息，例如，当网络安全检查规则为“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”，网络安全检查参数为如表1所示的网络层地址和数据链路层地址的地址对组合时，检查装置302从数据包中首先获取该数据包的源IP地址和源MAC地址，然后组成一个地址对组合，即(该数据包的源IP地址，该数据包的源MAC地址)；随后，将获得的该数据包的地址对组合按照网络安全检查规则与网络安全检查参数进行比对，如果从该数据包中获得的地址对是如表1所示的预定的地址对组合之一，则表示该数据包符合该网络安全控制机制，该数据包合法，否则，表示该数据包不合法。例如，当网络安全检查参数如表1所示，网络安全检查规则为“检查数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合”时，从一个数据包中获得的源IP地址为172.10.112.2，源MAC地址为44-45-53-54-00-20，即该数据包的参数信息为网络层地址和数据链路层地址的地址对组合(172.10.112.2，44-45-53-54-00-20)，根据网络安全检查规则，确定该数据包的地址对组合与表1所示的网络安全检查参数中所包含的预定的网络层地址和数据链路层地址的地址对组合的组合2相同，因此该数据包符合网络安全控制机制，该数据包合法。但是如果另一个数据包的源IP地址为172.10.112.2，源MAC地址为44-45-53-54-00-30，即该数据包的参数信息为源网络层地址和源数据链路层地址的地址对组合(172.10.112.2，44-45-53-54-00-30)，则根据网络安全检查规则，确定该数据包的地址对组合与表1所示的网络安全检查参数中所包含的预定的网络层地址和数据链路层地址的地址对组合的3个组合中的任何一个均不相同，因此该数据包不符合网络安全控制机制，该数据包不合法。实际上，通过检查装置302对数据包进行上述合法性检查，可有效防止某些用户终端通过盗用其它用户终端的IP地址并大量发送IP包以发动网络攻击的行为。也就是说，只有那些IP地址和MAC地址的地址对组合是预定的地址对组合的数据包才能通过无线终止设备31并转发至接入控制器41等网络设备中，因此也达到了防止IP地址欺骗的目的。

另外，检查装置302从来自用户终端的数据包中除了获得源IP地址的参数外，还可获得TCP/UDP端口号、目的IP地址、目的MAC地址等参数，在具体实施本发明时，可根据网络安全控制的不同目的，选择其中的一个、或者几个的组合。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域普通技术人员可以在所附权利要求的范围内做出各种变型或修改。本发明的技术方案用软件或硬件皆可实现。

Claims (26)

1.一种在通信网络系统中进行分散式安全控制的方法，所述通信网络包括网络控制设备和一个或多个第二网络设备，以及一个或多个用户终端，其特征在于，包括如下步骤：

c.所述网络控制设备创建网络安全控制机制，所述网络安全控制机制用于在所述一个或多个第二网络设备上对来自所述用户终端的数据包进行合法性检查；

d.所述网络控制设备将所述网络安全控制机制发送给所述一个或多个第二网络设备；

e.所述一个或多个第二网络设备根据所述网络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果所述数据包不符合所述网络安全控制机制，则丢弃该数据包。

2.根据权利要求1所述的方法，其特征在于，所述网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查参数至少包括如下参数之一：

-网络层地址；

-端口号；

-网络层地址和数据链路层地址的地址对组合；

-网络层地址和端口号的组合。

3.根据权利要求2所述的方法，其特征在于，所述网络安全检查规则包括检查所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合；所述网络安全检查参数包括一个或多个预定的网络层地址和数据链路层地址的地址对组合；所述步骤e还包括：

-所述一个或多个第二网络设备获取所述数据包的源网络层地址和源数据链路层地址对组合，并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个，如果不是，则丢弃所述数据包。

4.根据权利要求3所述的方法，其特征在于，步骤c还包括：

-所述网络控制设备通过侦听地址分配服务器发给所述用户终端的地址分配消息，并获得所述一个或多个预定的网络层地址和数据链路层地址的地址对组合。

5.根据权利要求4所述的方法，其特征在于，所述地址分配服务器包括DHCP服务器，所述地址分配消息包括DHCP ACK消息。

6.根据权利要求5所述的方法，其特征在于，所述通信网络系统包括集中式无线网络，所述网络控制设备包括接入控制器，所述一个或多个第二网络设备包括一个或多个无线终止设备，所述无线终止设备允许所述一个或多个用户终端接入，其中所述步骤c还包括：

-所述接入控制器通过侦听所述DHCP服务器发送给所述用户终端的DHCP ACK消息获得所述一个或多个预定的网络层地址和数据链路层地址的地址对组合；

所述步骤d还包括：

-接入控制器通过CAPWAP协议消息将所述网络安全控制机制发送给一个或多个无线终止设备；

所述步骤e还包括：

-所述无线终止设备从来自所述用户终端的数据包中获取所述数据包的源网络层地址和源数据链路层地址的地址对组合，并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个，如果不是，则丢弃所述数据包。

7.一种在通信网络系统的网络控制设备中用于引导所述通信网络系统中的一个或多个第二网络设备进行分散式安全控制的方法，所述通信网络系统还包括一个或多个用户终端，其特征在于，包括如下步骤：

m.创建网络安全控制机制，所述网络安全控制机制用于在所述一个或多个第二网络设备上对来自所述用户终端的数据包进行合法性检查；

n.将所述网络安全控制机制发送给所述一个或多个第二网络设备。

8.根据权利要求7所述的方法，其特征在于，所述网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查参数至少包括如下参数之一：

-网络层地址；

-端口号；

-网络层地址和数据链路层地址的地址对组合；

-网络层地址和端口号的组合。

9.根据权利要求8所述的方法，其特征在于，所述网络安全检查规则包括检查所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合；所述网络安全检查参数包括一个或多个预定的网络层地址和数据链路层地址的地址对组合。

10.根据权利要求9所述的方法，其特征在于，步骤m还包括：

-所述网络控制设备通过侦听地址分配服务器发给所述用户终端的地址分配消息，并获得所述一个或多个预定的网络层地址和数据链路层地址的地址对组合。

11.根据权利要求10所述的方法，其特征在于，所述地址分配服务器包括DHCP服务器，所述地址分配消息包括DHCP ACK消息。

12.根据权利要求11所述的方法，其特征在于，所述通信网络系统包括集中式无线网络，所述网络控制设备包括接入控制器，所述一个或多个第二网络设备包括无线终止设备，所述无线终止设备允许所述一个或多个用户终端接入，其中所述步骤m还包括：

-所述接入控制器通过侦听所述DHCP服务器发送给所述用户终端的DHCP ACK消息获得所述一个或多个预定的网络层地址和数据链路层地址的地址对组合；

所述步骤n还包括：

-接入控制器通过CAPWAP协议消息将所述网络安全控制机制发送给一个或多个无线终止设备。

13.一种在通信网络系统的第二网络设备中进行分散式安全控制的方法，其中，所述通信网络还包括网络控制设备和一个或多个所述第二网络设备，以及一个或多个用户终端，其特征在于，包括如下步骤：

s.接收来自所述网络控制设备发来的网络安全控制机制；

t.根据所述网络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果所述数据包不符合所述网络安全控制规则，则丢弃该数据包。

14.根据权利要求13所述的方法，其特征在于，所述网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查参数至少包括如下参数之一：

-网络层地址；

-端口号；

-网络层地址和数据链路层地址的地址对组合；

-网络层地址和端口号的组合。

15.根据权利要求14所述的方法，其特征在于，所述网络安全检查规则包括检查所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合；所述网络安全检查参数包括一个或多个预定的网络层地址和数据链路层地址的地址对组合；所述步骤t还包括：

-获取所述数据包的源网络层地址和源数据链路层地址的地址对组合，并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个，如果不是，则丢弃所述数据包。

16.根据权利要求15所述的方法，其特征在于，所述通信网络系统包括集中式无线网络，所述网络控制设备包括接入控制器，所述一个或多个第二网络设备包括一个或多个无线终止设备，所述无线终止设备允许所述一个或多个用户终端接入，其中所述步骤s还包括：

-接收来自所述接入控制器的CAPWAP协议消息，其中所述CAPWAP协议消息包括所述网络安全控制机制；

所述步骤t还包括：

-所述无线终止设备从来自所述用户终端的数据包中获取所述数据包的源网络层地址和源数据链路层地址的地址对组合，并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个，如果不是，则丢弃所述数据包。

17.一种在通信网络系统的网络控制设备中用于引导所述通信网络系统中的一个或多个第二网络设备进行分散式安全控制的装置，所述通信网络系统还包括一个或多个用户终端，其特征在于，包括：

-创建装置，用于创建网络安全控制机制，所述网络安全控制机制用于在所述一个或多个第二网络设备上对来自所述用户终端的数据包进行合法性检查；

-配置装置，用于将所述网络安全控制机制发送给所述一个或多个第二网络设备。

18.根据权利要求17所述的装置，其特征在于，所述网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查参数至少包括如下参数之一：

-网络层地址；

-端口号；

-网络层地址和数据链路层地址的地址对组合；

-网络层地址和端口号的组合。

19.根据权利要求18所述的装置，其特征在于，所述网络安全检查规则包括检查所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合；所述网络安全检查参数包括一个或多个预定的网络层地址和数据链路层地址的地址对组合。

20.根据权利要求19所述的装置，其特征在于，所述创建装置还用于：

-通过侦听地址分配服务器发给所述用户终端的地址分配消息，并获得所述一个或多个预定的网络层地址和数据链路层地址的地址对组合。

21.根据权利要求20所述的装置，其特征在于，所述地址分配服务器包括DHCP服务器，所述地址分配消息包括DHCP ACK消息。

22.根据权利要求21所述的装置，其特征在于，所述通信网络系统包括集中式无线网络，所述网络控制设备包括接入控制器，所述一个或多个第二网络设备包括无线终止设备，所述无线终止设备允许所述一个或多个用户终端接入，其中所述创建装置还用于：

-通过侦听所述DHCP服务器发送给所述用户终端的DHCP ACK消息获得所述一个或多个预定的网络层地址和数据链路层地址的地址对组合；

所述配置装置还用于：

-通过CAPWAP协议消息将所述网络安全控制机制发送给一个或多个无线终止设备。

23.一种在通信网络系统的第二网络设备中进行分散式安全控制的装置，其中，所述通信网络还包括网络控制设备和一个或多个所述第二网络设备，以及一个或多个用户终端，其特征在于，包括：

-配置装置，用于接收来自所述网络控制设备发来的网络安全控制机制；

-检查装置，用于根据所述网络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果所述数据包不符合所述网络安全控制规则，则丢弃该数据包。

24.根据权利要求23所述的装置，其特征在于，所述网络安全控制机制包括网络安全检查规则和网络安全检查参数，其中，网络安全检查参数至少包括如下参数之一：

-网络层地址；

-端口号；

-网络层地址和数据链路层地址的地址对组合；

-网络层地址和端口号的组合。

25.根据权利要求24所述的装置，其特征在于，所述网络安全检查规则包括检查所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为预定的网络层地址和数据链路层地址的地址对组合；所述网络安全检查参数包括一个或多个预定的网络层地址和数据链路层地址的地址对组合；所述检查装置还用于：

-获取所述数据包的源网络层地址和源数据链路层地址的地址对组合，并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个，如果不是，则丢弃所述数据包。

26.根据权利要求25所述的装置，其特征在于，所述通信网络系统包括集中式无线网络，所述网络控制设备包括接入控制器，所述一个或多个第二网络设备包括一个或多个无线终止设备，所述无线终止设备允许所述一个或多个用户终端接入，其中所述配置装置还用于：

-接收来自所述接入控制器的CAPWAP协议消息，其中所述CAPWAP协议消息包括所述网络安全控制机制；

所述检查装置还用于：

-从来自所述用户终端的数据包中获取所述数据包的源网络层地址和源数据链路层地址的地址对组合，并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个，如果不是，则丢弃所述数据包。

Images