CN102045307B - 一种网络设备管理的方法及相应的网络系统 - Google Patents

一种网络设备管理的方法及相应的网络系统 Download PDF

Info

Publication number
CN102045307B
CN102045307B CN200910181116.9A CN200910181116A CN102045307B CN 102045307 B CN102045307 B CN 102045307B CN 200910181116 A CN200910181116 A CN 200910181116A CN 102045307 B CN102045307 B CN 102045307B
Authority
CN
China
Prior art keywords
node
data packet
user terminal
core network
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200910181116.9A
Other languages
English (en)
Other versions
CN102045307A (zh
Inventor
张世伟
符涛
许志军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Tanyun Purification Technology Co ltd
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200910181116.9A priority Critical patent/CN102045307B/zh
Priority to PCT/CN2010/075945 priority patent/WO2011041964A1/zh
Publication of CN102045307A publication Critical patent/CN102045307A/zh
Application granted granted Critical
Publication of CN102045307B publication Critical patent/CN102045307B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种网络设备管理的方法,包括:在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点和认证节点;当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。相应地,本发明还提供了网络系统,所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点。上述方法和网络系统有效地防止了普通用户访问核心网节点,从而避免普通用户对核心网节点发起攻击。

Description

一种网络设备管理的方法及相应的网络系统
技术领域
本发明涉及通信技术领域,涉及一种网络设备管理的方法及相应的网络系统。
背景技术
现有因特网广泛使用的传输控制协议/网络协议(Transmission ControlProtocol/Internet Protocol,TCP/IP)协议中IP地址具有双重功能,既作为网络层的通信终端主机网络接口在网络拓扑中的位置标识,又作为传输层主机网络接口的身份标识。TCP/IP协议设计之初并未考虑到主机移动的情况,但是当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。身份标识和位置分离问题提出的目的是为了解决IP地址的语义过载和路由负载严重,安全等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
针对上述问题,目前已经提出了多种身份标识与位置标识分离的网络架构,包括主机标识协议(Host Identity Protocol,HIP),位置身份分离协议(LISP)和均属身份标识和位置分离网络以及中兴通讯提出的身份标识和位置分离的网络架构,本文以中兴通讯提出的身份标识和位置分离网络架构为例进行描述。
图1所示为身份标识和位置分离网络架构图,为描述方便,下文将此用户身份标识和位置分离网络简称为SILSN(Subscriber Identifier & LocatorSeparation Network),将传统因特网简称为LIN(legacy Internet Network)。
在图1中,此SILSN包括接入服务器(Access Service Node,ASN)和用户终端(User Equipment,UE)、身份位置寄存器(Identification & LocationRegister,ILR)、互联服务节点(Inter-working Service Node,ISN)和中转设备(RT)。其中,ASN用来实现UE的接入,并承担计费和切换等功能;ILR承担用户的位置注册和身份识别功能,也称为认证服务器;ISN用于和传统Internet互通,ISN和ASN在物理上也可以合一设置;RT为核心网中的数据交换或路由设备。
在图1中,UE1和UE2都是SILSN的用户,在下文中将ASN、ILR、ISN、RT等网络节点组成的网络称为SILSN的核心网,并将组成核心网的节点ASN、ILR、ISN和RT网络节点称为核心网节点。
其他身份标识和位置标识分离的网络架构中,上述核心网节点分别对应于具有相同或相似功能的节点。
为保证SILSN核心网的安全性,必须防止普通用户终端对核心网的攻击;同时,还要实现SILSN中的核心网节点要能进行网络管理,目前还没有解决这一问题的具体方案。
发明内容
本发明要解决的技术问题是提供一种网络设备管理的方法及相应的网络系统,防止普通用户终端对核心网节点进行访问或攻击。
根据SILSN中的UE1发送的数据包的最终目的地,可以将UE1发送的数据包分为如下三种类型:
类型一:从SILSN的一个用户终端发送到该SILSN的另一个用户终端,如UE1->UE2;
类型二:从SILSN的一个用户终端发向该SILSN的一个核心网节点,如UE1->ASN2;
类型三(103):从SILSN的一个用户终端发向位于LIN的一个节点,如从SILSN的一个用户终端发往LIN中的一个因特网业务提供商(ISP),如UE1->ISP1,或者从SILSN的一个用户终端发向LIN网的一个用户终端,如UE1->UE10;
在UE1发送的上述三种类型数据包时,类型一和类型三的数据包的最终目的地都是将数据包发向SILSN的核心网外部,在这两种情况下,核心网节点只起封装和转发的作用,并不解析数据包的实际内容,因此类型一和类型三的数据包,除了对SILSN的核心网的性能造成影响,并不会对核心网节点的安全性等造成明显影响;
但对于类型二的数据包,由于用户终端发出的数据包的最终目的地为核心网节点,因此核心网节点不仅要解析该数据包的内容,还要根据该数据包的内容进行相应的处理;也就是说,这种类型的数据包为用户终端提供了直接访问核心网节点的手段,由于SILSN的核心网节点允许用户终端直接访问,因而降低了核心网节点的安全性。因此为了保证核心网安全性,在SILSN中一般不允许普通用户发出此数据包类型,只提供给具有特殊权限的网络管理员在网络管理时使用。
当SILSN用于组建专网(如军网或公安网),为了保证网络的高度可靠性,可以将其普通用户终端的权限限制为只能发送类型一的数据包,这样可以将用户终端和外部网络绝对分开,从根本上保证了信息的安全。但如果SILSN用于一般网络(如企业网)的组建,为了让用户得到最好的网络体验,应该给予用户直接访问Internet的权限,这样就需要允许用户终端能发出类型三的数据包。
当SILSN用于一般网络中时,SILSN的核心网节点可以嵌入到LIN中,并分配LIN地址(即Internet公网地址),这样当SILSN的用户终端UE1访问LIN的一个普通节点时,UE1应该发送通信对端的身份标识为LIN普通节点(如通信对端的身份标识为图1中的ISP1或UE10)的数据包。由于SILSN的核心网的节点地址也是LIN的一个节点,如果用户UE1发出的类型三的数据包的目的地刚好为SILSN的核心网节点地址,而不是LIN的普通节点地址,这样本来应该发送到LIN的数据就会发送给SILSN的核心网节点,从而普通用户终端可能借用类型三的数据包达到类型二的数据包的效果,即普通用户终端可以发送只有网络管理员才能发送的数据包,从而对SILSN的核心网安全性造成了危害。
为保护SILSN核心网节点的安全性,必须防范UE发起这种攻击,为此在处理第三种类型的数据包时,ASN节点就必须识别出用户终端发出的数据包的通信对端的身份标识是发往LIN,还是发往SILSN的核心网节点,然后根据用户的权限分别处理,以保护核心网节点的安全性。
为了解决上述问题,本发明提供了一种网络设备管理的方法,包括:
在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点和认证节点;
当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。
相应地,上述方法还具有如下特点:
所述核心网节点还包括互通节点,以及数据交换或路由节点。
相应地,上述方法还具有如下特点:
所述第一网络为身份标识与位置分离的网络构架(SILSN);
所述接入节点为接入服务节点;
所述互通节点为互联服务节点(ISN)、数据交换或路由节点为中转设备(RT)。
相应地,上述方法还具有如下特点:
所述异常处理为所述接入节点丢弃所述数据包,将用户行为记入日志,根据情况进行告警,或屏蔽用户中的一种或几种。
相应地,上述方法还具有如下特点:
所述用户终端发送来的数据包包括:
从所述第一网络的一个用户终端发向该第一网络的一个核心网节点,称为类型二;以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户,称为类型三。
相应地,上述方法还具有如下特点:
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接入节点根据接收到的数据包格式区分出所述数据包为类型三的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括如下步骤:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识:
如果查找到,进行异常处理,结束;
如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过互通节点将所述数据包发送到第二网络。
相应地,上述方法还具有如下特点:
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接入节点根据接收到的数据包格式区分出所述数据包为类型二的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括如下步骤:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识:
如果查找不到,进行异常处理,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
相应地,上述方法还具有如下特点:
所述类型二的数据包与所述类型三的数据包采用相同的数据包格式;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括如下步骤:
所述接入节点在核心网节点地址中查找所述通信对端的身份标识:
如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。
相应地,上述方法还具有如下特点:
所述用户终端的身份权限在所述用户终端注册的时候,从认证节点传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中。
相应地,上述方法还具有如下特点:
所述接入节点判断所述用户终端具有网络管理员权限之后,所述接入节点将所述数据包转发给通信对端对应的核心节点之前,还包括:
所述接入节点提取该管理员用户可管理的核心网节点地址;
所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行所述正常转发该数据包到目的核心网节点,否则进行异常处理。
相应地,上述方法还具有如下特点:
所述用户终端可管理的核心网节点地址在所述用户终端注册的时候,从认证服务器传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中;或者所述接入节点判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。
相应地,上述方法还具有如下特点:
所述核心网节点地址通过网管配置后下发给所述接入节点。
为了解决上述问题,本发明还提供了一种实现上网络设备管理的方法的网络系统,所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点;其中,
所述用户终端,用于向所述接入节点发送数据包,其中包含通信对端的身份标识;
所述接入节点,用于保存所述核心网的核心网节点地址,以及接收到用户终端发送来的数据包后,提取该数据包中的通信对端的身份标识,然后在所述核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。
相应地,上述网络系统还具有如下特点:
所述核心网还包括互通节点,以及数据交换或路由节点。
相应地,上述网络系统还具有如下特点:
所述网络系统为身份标识与位置分离的网络构架(SILSN);
所述接入节点为接入服务节点;
所述互通节点为互联服务节点(ISN)、数据交换或路由节点为中转设备(RT)。
相应地,上述网络系统还具有如下特点:
所述用户终端发送数据包包括:
从所述网络系统的一个用户终端发向该网络系统的一个核心网节点,称为类型二;以及从所述网络系统的一个用户终端发向其他网络系统的一个节点或用户,称为类型三。
相应地,上述网络系统还具有如下特点:
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式;
所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识,如果查找到,进行异常处理,结束;如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过所述互通节点将所述数据包发送到其他网络系统。
相应地,上述网络系统还具有如下特点:
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式;
所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识:
如果查找不到,进行异常处理,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
相应地,上述网络系统还具有如下特点:
所述类型二的数据包与所述类型三的数据包采用相同的数据包格式;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为步骤:
所述接入节点在核心网节点地址中查找所述通信对端的身份标识:
如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。
相应地,上述网络系统还具有如下特点:
所述认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用户的身份权限传递给该用户终端注册的接入节点;
所述接入节点,还用于将用户的身份权限保存于该用户上下文中。
相应地,上述网络系统还具有如下特点:
所述接入节点,还用于提取管理员用户可管理的核心网节点地址,并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行所述正常转发该数据包到目的核心网节点,否则进行异常处理。
相应地,上述网络系统还具有如下特点:
所述认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点;
所述接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。
相应地,上述网络系统还具有如下特点:
所述接入节点是服务GPRS支持节点(SGSN)、网关GPRS支持节点(GGSN)、分组数据业务节点(PDSN)和宽带接入服务器(BRAS)设备。
相应地,上述网络系统还具有如下特点:
所述认证节点是密钥管理系统(KMS)、归属位置寄存器(HLR)、归属用户服务器(HSS)、授权/认证/计费服务器(AAA)或其他承担端到端密钥管理和协商功能的实体。
上述方法和网络系统有效地防止了普通用户访问核心网节点,从而避免普通用户对核心网节点发起攻击。在一实施例中,管理员权限用户可以访问特定的核心网节点,方便网络管理员管理SILSN网络,保证了管理员用户终端正常访问核心网节点。在一实施例中,实现了管理员不能访问未授权的核心网节点,防止一个核心网节点的管理员借用管理员权限攻击另外一个核心网节点。
附图说明
图1为身份标识和位置分离网络的架构;
图2为本发明应用示例中类型二和类型三的数据包格式不同时对类型三的数据包处理时的流程图;
图3为本发明应用示例中类型二和类型三的数据包格式不同时对类型二的数据包处理时的流程图;
图4为本发明应用示例中类型二和类型三的数据包格式相同时对类型三的数据包处理时的流程图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式。
(1)在接入节点中保存网络的核心网节点地址,核心网节点至少包括接入节点和认证节点;
其中,核心网节点地址可以通过网管配置后下发给接入节点;并可以定期或实时对下发的核心网节点地址进行更新是固定,还可以是通过人工配置下发等方式对下发给接入节点核心网节点地址更新。
其中,核心网节点地址可以保存在核心网节点表(Core Network NodeTable,CNNT)中,当然也可以以其他方式保存,本实施例以CNNT进行说明。核心网节点地址可以为IP地址。
核心网节点还可以包括互通节点和数据交换或路由节点,当然还可以包括其他网络节点;在ISLSN网络中,接入节点为ASN,认证节点为ILR、互通节点为ISN、数据交换或路由节点为RT。
其中,ASN是逻辑实体,可以是服务GPRS支持节点(Serving GPRSSupport Node,SGSN)、网关GPRS支持节点(Gateway GPRS Support Node,GGSN)、分组数据业务节点(Packet Data Serving Node,PDSN)和宽带接入服务器(Broadband Remote Access Server,BRAS)等设备。
(2)当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,根据查找结果对该数据包进行处理。
如果通信对端的身份标识在核心网节点地址中查找不到,说明用户是在向LIN发送数据包,接入节点将数据包正常转发;
如果通信对端的身份标识在核心网节点地址中查找到,则说明用户不是向LIN节点发送数据包,而是向SILSN核心网节点发送数据包,此时进一步判断用户是否有管理员权限,如果有管理员权限,则根据对应的权限进行处理。
在实际应用中,UE1发出的三种类型的数据包格式可以相同,也可以不同,当这三种类型的数据包格式相同时,终端实现最简单,并可以和原有终端兼容,但ASN接收后需要根据通信对端的身份标识范围进行区分,这会带来一些复杂性,由于在SILSN架构下,类型一的数据包已经有区分方法,并且不会对核心网节点造成影响,本实施例中假定类型一数据包已经被排除,只研究如何区分类型二和类型三的数据包,防止用户利用类型二和类型三的数据包对核心网节点进行攻击。
其中,类型一的数据包区分是在ASN中区分的,主要是向ILR查询通信对端的身份标识是否能查到。另外类型一的数据包,其通信对端的身份标识一般为AID格式,如果不采用AID格式而使用IP地址,则会使用一段特殊的IP地址,ASN只要分析通信对端的身份标识是否在这段IP地址内就可以了。
为便于简化SILSN网络的终端实现,以及保证终端上的应用程序兼容,可将类型二和类型三的数据包都采用IPV4/IPV6数据包格式,当然也可以是其他数据格式,以简化终端处理,在这种应用情况下,ASN先检查数据包的通信对端的身份标识,如果是核心网节点地址,则认为是类型二的数据包,如果不是核心网节点地址,则认为是类型三的数据包。
对于类型三的数据包,ASN可以直接将该数据包发给ISN处理;
对于类型二的数据包,为了保证管理员能够正常使用,ASN还可以进一步检查发送数据包的UE的权限,当UE具有管理员权限,为了对管理员权限进行限制,ASN进一步检查该管理员管理的核心网节点的地址中,是否包含有该数据包的通信对端的身份标识,如果包含此通信对端的身份标识,则正常转发到对应SILSN核心网节点,否则丢弃该数据包;如果发送数据包的UE没有管理员权限,则因UE的用户行为已构成企图向核心网节点进行攻击,ASN可以将此用户行为保存入日志,然后丢弃数据包,同时根据行为的严重程度对该UE采取告警的措施或采取屏蔽该UE的措施。
当然,在实际部署中,SILSN网络也可以将上述三种类型的数据包配置为采用不同格式处理,这多用于全部使用新开发的用户终端进行组网的情况下,对三种类型的数据包采用不同格式可以较好发挥SILSN网络优点,减轻ASN处理负担。当三种类型的数据包格式不同时,ASN的处理较为简单,只需要根据数据包格式,区分出每种类型的数据包,如果为类型二的数据包,在CCNT中查找数据包的通信对端的身份标识,如果查找到,则进一步发送者是否具有管理员权限,如果为管理员权限,可以根据配置访问核心网节点,否则不予访问核心网节点;如果是类型三的数据包,则在CCNT中查找数据包的通信对端的身份标识,如果查找到,则进行异常处理,不予访问,否者正常转发。
本实施例不考虑类型一的数据包的区分问题,缺省认为类型一的数据包已经被现有技术中的其他方法剔除,只需要处理类型二和类型三的数据包。
值得指出的是,ASN检查用户是否具备管理员权限,并不意味着管理员访问SILSN核心网节点时,可以不使用管理员密码。为保证SILSN核心网安全,SILSN核心网节点在接受管理员身份操作的时候,还必须按网管自身的安全认证措施验证,上述流程是用于防止普通用户访问核心网节点的辅助保护措施,能显著减少核心网节点遭受普通用户攻击的情况,但并不能完全阻止管理员自己设置较高权限进行攻击的情况,因此也代替不了核心网节点对管理者的认证,但会大幅缩小核心网节点被攻击的可能。
上述ILR是逻辑实体,承担端到端密钥的管理和协商,保存有用户终端属性信息的节点,在具体应用场景中可以是密钥管理系统(KMS)、归属位置寄存器(Home Location Register,HLR)、归属用户服务器(HomeSubscriber Server,HSS)、授权/认证/计费服务器(Authorization、Authentication、Accounting,AAA)、或其他承担端到端密钥管理和协商功能的实体。
下面通过几个应用示例具体说明本发明的实施方式。由于UE发出的数据包格式对具体实现流程有一定影响,因此在具体实施中,将根据类型二和类型三的数据包格式相同与不同分别进行说明。图2所示为类型二和类型三的数据包格式不同时对类型三的数据包的处理方法,图3所示为类型二和类型三的数据包格式不同时对类型二的数据包的处理方法,图4所示为类型二和类型三的数据包格式相同时对类型二和类型三的数据包的处理方法。
应用示例一
如图2所示,为类型二和类型三的数据包采用不同格式时,对类型三的数据包的处理方法。本应用示例中,ASN已经将类型一的数据包采用已有方法区分出,因此只剩下类型二和类型三的数据包。
当UE1将数据包发送到ASN1时,由于类型二和类型三的数据包格式不同,ASN1可以根据数据包格式直接分拣出类型三的数据包进行处理,如果ASN1进一步发现类型三的数据包中的通信对端的身份标识包括SILSN的核心网节点地址,则认为用户企图攻击SILSN的核心网,进行异常处理;如果不包含核心网节点地址,则认为是正常发往LIN的数据包,进行正常转发。具体包括如下步骤:
步骤201:ASN1接收到用户UE1发送的类型三的数据包,流程开始;
本应用示例中,由于类型二和类型三的数据包采用不同数据包格式,因此ASN1已根据数据包格式分拣出该数据包为类型三的数据包。
步骤202:ASN1提取用户UE1发送的数据包的通信对端的身份标识,记为D1;
步骤203:ASN1在其上中保存的SILSN的CNNT中查找D1,如果查找到D1,执行步骤204,否则执行步骤205;
本应用示例中,在所有ASN上都保存有核心网节点地址;
步骤204:进行异常处理,执行步骤206;
如果D1在CNNT内,则说明UE1是向SILSN的核心网节点发送数据包,但由于数据包格式已经限定该数据包为类型三的数据包,因此可以证明用户企图用类型三的数据包格式发起对核心网节点的攻击,因此ASN将进行异常处理;
其中,异常处理包括丢弃该数据包,将用户行为记入日志,根据历史攻击的严重程度选择是否告警和屏蔽该UE中的一种或多种;
步骤205:将数据包转发到ISN,由ISN发送到LIN节点;
如果D1不在CNNT内,则说明UE1是向LIN节点发送数据包,将该数据包正常转发到LIN;
步骤206:流程结束;
应用示例二
如图3所示,为类型二和类型三的数据包格式不同时,对类型二的数据包的处理方法。ASN已经将UE发送的类型一的数据包挑出并进行了处理,只剩下类型二和类型三的数据包混合在一起,当类型二和类型三的数据包格式不同时,ASN可以根据数据包格式直接分拣出类型二的数据包格式并进行相应的处理,如果ASN进一步发现类型二的数据包中的通信对端的身份标识不在SILSN的CNNT内,则认为此UE发出无效消息,进行丢弃;如果在CNNT内,则进一步判断该UE是否具备管理员权限,并根据UE的权限决定是否能访问对应的核心网节点,具体包括如下步骤:
步骤301:ASN1接收到用户UE1发送的类型二的数据包,流程开始;
本应用示例中,由于类型二和类型三的数据包采用不同数据包格式,因此ASN1已根据数据包格式分拣出该数据包为类型二的数据包。
步骤302:ASN1提取UE1发送的数据包的通信对端的身份标识,记为D2;
步骤303:ASN1在SILSN的CNNT中查找D2,如果查找到,执行步骤304,否则执行309;
步骤304:ASN1提取UE1的身份权限;
如果D2在CNNT内,则说明UE1是向SILSN的核心网节点发送数据包,或者该UE1企图扮演网管设备,由于数据包格式已经限定该数据包为类型二的数据包,因此可以说明用户UE1发送的数据包格式是合法的,然后进一步提取UE1的身份权限。
其中,UE1的身份权限可以在UE1注册的时候,从ILR传递到该UE1注册的ASN1中,ASN1将UE1的身份权限保存于此UE1上下文中,因此ASN1此时可以在UE1的上下文中提取用户的身份权限。
步骤305:ASN1判断UE1是否具有网络管理员权限,如果是,执行步骤306,否则执行步骤309;
步骤306:ASN提取管理员用户可管理的核心网节点地址;
本步骤ASN可以通过在UE1的用户上下文中提取该管理员用户可管理的核心网节点地址列表,记为L1;
为防止管理员非法修改不被自己管辖的核心网节点,还可以将管理员可访问的核心网节点限定在一定范围内,此管理员用户可管理的核心网节点地址列表与其身份权限一样,保存于认证服务器如ILR中,当用户注册的时候从认证服务器传递给ASN,保存于用户的上下文中。
其中,用户在注册时由ILR向ASN传递用户信息,ASN将这些用户信息保存在ASN为此用户建立的用户上下文中。其中,用户信息包括:
1、该用户是否具有管理员权限;
2、该用户的管理员权限级别是多少;
3、该用户可管理的核心网节点地址列表是什么。
也可以在ASN1判断UE1为管理员用户后,与ILR进行交互从而提取该管理员用户可管理的核心网节点地址列表;
步骤307:判断UE1发送的数据包的通信对端的身份标识D2是否在L1中,如果是执行步骤308,否则执行步骤309;
步骤308:ASN正常转发该数据包到目的核心网节点;
如果D2在L1中,则认为管理员在合法管理核心网节点,ASN正常转发此数据包到对应的核心网节点,执行步骤310;
步骤309:进行异常处理;
步骤310:结束。
应用实例三
如图4所示,为类型二和类型三的数据包格式相同时对类型二的数据包的处理方法,此前ASN已经将UE发送的类型一的数据包挑出并进行了处理,只剩下类型二和类型三的数据包混合在一起,当类型二和类型三的数据包格式相同时,ASN不能根据数据包格式直接分拣出是类型二或者还是类型三的数据包,因此必须根据数据包的通信对端的身份标识和用户权限进行处理,具体包括如下步骤:
步骤401:ASN1接收到用户UE1发送数据包,流程开始;
此数据包可能是类型二的数据包,也可能是类型三的数据包。
步骤402:ASN1提取UE1发送的数据包的通信对端的身份标识,如D3;
步骤403:ASN1在ASN中保存的SILSN核心网节点表CNNT中查找D3,如查找到执行步骤405,否则执行步骤404;
步骤404:ASN1将数据包转发给ISN进行处理,执行步骤411;
如果在403中,在CNNT中未查到D3,则ASN1认为UE1正常向LIN发送数据包。
步骤405:从用户上下文中提取用户的身份权限;
如果D3在CNNT内,则说明UE1是向SILSN的核心网节点发送数据包,也就是说,此数据包类型为类型二的数据包或攻击核心网节点的数据包,因此按类型二的数据包进行处理,然后进一步提取用户的身份权限。
步骤406:ASN1判断UE1是否具有网络管理员权限,如果有执行步骤407,否则执行步骤410;
步骤407:ASN提取管理员用户可管理的核心网节点地址;
本步骤中,可以在UE1的用户上下文中保存该管理员用户可管理的核心网节点地址列表,记为L2;
步骤408:ASN1判断用户UE1发送的数据包的通信对端的身份标识D3是否在L2中,如果是,执行步骤409,否则执行步骤;
步骤409:ASN1正常转发该数据包到目的核心网节点;执行步骤411;
步骤410:进行异常处理;
步骤411:结束。
本发明通过在接入节点中保存核心网节点的地址,当接入节点收到UE发送来的数据包后,根据该数据包的通信对端的身份标识查找其所保存的核心网节点的地址,从而判断该数据包是发送到核心网还是发送到LIN节点。
通过这一方法保证了接入节点可以正确识别从SILSN的一个用户终端发送来的数据包的通信对端的身份标识是发往SILSN的核心网内部节点还是发往LIN节点。
另外,本发明并不限于用于身份标识和位置标识分离的网络架构中,还可以用于其它移动网络或传统网络中。
相应地,本实施例还提供了以实现上述方法的一种网络系统,包括核心网和用户终端;所述核心网包括接入节点和认证节点;其中,
用户终端,用于向接入节点发送数据包,其中包含通信对端的身份标识;
接入节点,用于保存核心网的核心网节点地址,以及接收到用户终端发送来的数据包后,提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。
其中,核心网还包括互通节点,以及数据交换或路由节点。
认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用户的身份权限传递给该用户终端注册的接入节点;
接入节点,还用于将用户的身份权限保存于该用户上下文中;以及提取管理员用户可管理的核心网节点地址,并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行所述正常转发该数据包到目的核心网节点,否则进行异常处理。
认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点;
接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。

Claims (30)

1.一种网络设备管理的方法,包括:
在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点、认证节点、互通节点,以及数据交换或路由节点;所述第一网络为身份标识与位置分离的网络构架SILSN;所述接入节点为接入服务节点;所述互通节点为互联服务节点ISN;所述数据交换或路由节点为中转设备RT;
当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理;
所述用户终端发送来的数据包包括:从所述第一网络的一个用户终端发向该第一网络的一个核心网节点,称为类型二;以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户,称为类型三;所述第二网络为传统因特网络;
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接入节点根据接收到的数据包格式区分出所述数据包为类型三的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括如下步骤:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识:
如果查找到,进行异常处理,结束;
如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过互通节点将所述数据包发送到第二网络。
2.如权利要求1所述的方法,其特征在于,
所述异常处理为所述接入节点丢弃所述数据包,将用户行为记入日志,根据情况进行告警,或屏蔽用户中的一种或几种。
3.如权利要求1所述的方法,其特征在于:
所述核心网节点地址通过网管配置后下发给所述接入节点。
4.一种网络设备管理的方法,其特征在于,包括:
在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点、认证节点、互通节点,以及数据交换或路由节点;所述第一网络为身份标识与位置分离的网络构架SILSN;所述接入节点为接入服务节点;所述互通节点为互联服务节点ISN;所述数据交换或路由节点为中转设备RT;
当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理;
所述用户终端发送来的数据包包括:从所述第一网络的一个用户终端发向该第一网络的一个核心网节点,称为类型二;以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户,称为类型三;所述第二网络为传统因特网络;
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式时,所述接入节点根据接收到的数据包格式区分出所述数据包为类型二的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括如下步骤:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识:
如果查找不到,进行异常处理,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
5.如权利要求4所述的方法,其特征在于,
所述异常处理为所述接入节点丢弃所述数据包,将用户行为记入日志,根据情况进行告警,或屏蔽用户中的一种或几种。
6.如权利要求4所述的方法,其特征在于:
所述核心网节点地址通过网管配置后下发给所述接入节点。
7.如权利要求4所述的方法,其特征在于:
所述用户终端的身份权限在所述用户终端注册的时候,从认证节点传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中。
8.如权利要求7所述的方法,其特征在于:
所述接入节点判断所述用户终端具有网络管理员权限之后,所述接入节点将所述数据包转发给通信对端对应的核心节点之前,还包括:
所述接入节点提取该管理员用户可管理的核心网节点地址;
所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行转发该数据包到目的核心网节点,否则进行异常处理。
9.如权利要求8所述的方法,其特征在于:
所述用户终端可管理的核心网节点地址在所述用户终端注册的时候,从认证服务器传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中;或者所述接入节点判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。
10.一种网络设备管理的方法,其特征在于,包括:
在接入节点中保存第一网络的核心网节点地址,其中核心网节点至少包括接入节点、认证节点、互通节点,以及数据交换或路由节点;所述第一网络为身份标识与位置分离的网络构架SILSN;所述接入节点为接入服务节点;所述互通节点为互联服务节点ISN;所述数据交换或路由节点为中转设备RT;
当接入节点接收到用户终端发送来的数据包后,先提取该数据包中的通信对端的身份标识,然后在核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理;
所述用户终端发送来的数据包包括:从所述第一网络的一个用户终端发向该第一网络的一个核心网节点,称为类型二;以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户,称为类型三;所述第二网络为传统因特网络;
所述类型二的数据包与所述类型三的数据包采用相同的数据包格式;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体包括如下步骤:
所述接入节点在核心网节点地址中查找所述通信对端的身份标识:
如查找不到,所述接入节点通过互通节点将所述数据包转发给所述第二网络,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。
11.如权利要求10所述的方法,其特征在于,
所述异常处理为所述接入节点丢弃所述数据包,将用户行为记入日志,根据情况进行告警,或屏蔽用户中的一种或几种。
12.如权利要求10所述的方法,其特征在于:
所述用户终端的身份权限在所述用户终端注册的时候,从认证节点传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中。
13.如权利要求12所述的方法,其特征在于:
所述接入节点判断所述用户终端具有网络管理员权限之后,所述接入节点将所述数据包转发给通信对端对应的核心节点之前,还包括:
所述接入节点提取该管理员用户可管理的核心网节点地址;
所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行转发该数据包到目的核心网节点,否则进行异常处理。
14.如权利要求13所述的方法,其特征在于:
所述用户终端可管理的核心网节点地址在所述用户终端注册的时候,从认证服务器传递给该用户终端注册的接入节点中,并保存于该用户终端的用户上下文中;或者所述接入节点判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。
15.如权利要求10所述的方法,其特征在于:
所述核心网节点地址通过网管配置后下发给所述接入节点。
16.基于权利要求1所述的一种网络设备管理的方法的网络系统,其特征在于,
所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点,还包括互通节点,以及数据交换或路由节点;所述网络系统为身份标识与位置分离的网络构架SILSN;所述接入节点为接入服务节点;所述互通节点为互联服务节点ISN、数据交换或路由节点为中转设备RT;其中,
所述用户终端,用于向所述接入节点发送数据包,其中包含通信对端的身份标识;所述用户终端发送数据包包括:从所述网络系统的一个用户终端发向该网络系统的一个核心网节点,称为类型二;以及从所述网络系统的一个用户终端发向传统因特网络系统的一个节点或用户,称为类型三;
所述接入节点,用于保存所述核心网的核心网节点地址,以及接收到用户终端发送来的数据包后,提取该数据包中的通信对端的身份标识,然后在所述核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理;
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式;
所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型三的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识,如果查找到,进行异常处理,结束;如果查找不到,则所述用户终端为普通用户终端,所述接入节点通过所述互通节点将所述数据包发送到传统因特网络系统。
17.如权利要求16所述的网络系统,其特征在于:
所述接入节点是服务GPRS支持节点SGSN、网关GPRS支持节点GGSN、分组数据业务节点PDSN和宽带接入服务器BRAS设备。
18.如权利要求16所述的网络系统,其特征在于:
所述认证节点是密钥管理系统KMS、归属位置寄存器HLR、归属用户服务器HSS、授权/认证/计费服务器AAA或其他承担端到端密钥管理和协商功能的实体。
19.基于权利要求4所述的一种网络设备管理的方法的网络系统,其特征在于,
所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点,还包括互通节点,以及数据交换或路由节点;所述网络系统为身份标识与位置分离的网络构架SILSN;所述接入节点为接入服务节点;所述互通节点为互联服务节点ISN、数据交换或路由节点为中转设备RT;其中,
所述用户终端,用于向所述接入节点发送数据包,其中包含通信对端的身份标识;所述用户终端发送数据包包括:从所述网络系统的一个用户终端发向该网络系统的一个核心网节点,称为类型二;以及从所述网络系统的一个用户终端发向传统因特网络系统的一个节点或用户,称为类型三;
所述接入节点,用于保存所述核心网的核心网节点地址,以及接收到用户终端发送来的数据包后,提取该数据包中的通信对端的身份标识,然后在所述核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理;
所述类型二的数据包与所述类型三的数据包采用不相同的数据包格式;
所述接入节点,还用于根据接收到的数据包格式区分出所述数据包为类型二的数据包;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为:
所述接入节点在所述核心网节点地址中查找该通信对端的身份标识:
如果查找不到,进行异常处理,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。
20.如权利要求19所述的网络系统,其特征在于:
所述认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用户的身份权限传递给该用户终端注册的接入节点;
所述接入节点,还用于将用户的身份权限保存于该用户上下文中。
21.如权利要求20所述的网络系统,其特征在于:
所述接入节点,还用于提取管理员用户可管理的核心网节点地址,并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行转发该数据包到目的核心网节点,否则进行异常处理。
22.如权利要求21所述的网络系统,其特征在于:
所述认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点;
所述接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。
23.如权利要求19所述的网络系统,其特征在于:
所述接入节点是服务GPRS支持节点SGSN、网关GPRS支持节点GGSN、分组数据业务节点PDSN和宽带接入服务器BRAS设备。
24.如权利要求19所述的网络系统,其特征在于:
所述认证节点是密钥管理系统KMS、归属位置寄存器HLR、归属用户服务器HSS、授权/认证/计费服务器AAA或其他承担端到端密钥管理和协商功能的实体。
25.基于权利要求10所述的一种网络设备管理的方法的网络系统,其特征在于,
所述网络系统包括核心网和用户终端;所述核心网包括接入节点和认证节点,还包括互通节点,以及数据交换或路由节点;所述网络系统为身份标识与位置分离的网络构架SILSN;所述接入节点为接入服务节点;所述互通节点为互联服务节点ISN、数据交换或路由节点为中转设备RT;其中,
所述用户终端,用于向所述接入节点发送数据包,其中包含通信对端的身份标识;所述用户终端发送数据包包括:从所述网络系统的一个用户终端发向该网络系统的一个核心网节点,称为类型二;以及从所述网络系统的一个用户终端发向传统因特网络系统的一个节点或用户,称为类型三;
所述接入节点,用于保存所述核心网的核心网节点地址,以及接收到用户终端发送来的数据包后,提取该数据包中的通信对端的身份标识,然后在所述核心网节点地址中查找该通信对端的身份标识,并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理;
所述类型二的数据包与所述类型三的数据包采用相同的数据包格式;
所述根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理,具体为步骤:
所述接入节点在核心网节点地址中查找所述通信对端的身份标识:
如查找不到,所述接入节点通过互通节点将所述数据包转发给所述传统因特网络,结束;
如果查找到,所述接入节点提取所述用户终端的身份权限,并根据提取的身份权限判断所述用户终端是否具有网络管理员权限:
如果没有,进行异常处理,结束;
否则,所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。
26.如权利要求25所述的网络系统,其特征在于:
所述认证节点,用于保存用户终端属性信息;以及所述用户终端注册的时候,将用户的身份权限传递给该用户终端注册的接入节点;
所述接入节点,还用于将用户的身份权限保存于该用户上下文中。
27.如权利要求26所述的网络系统,其特征在于:
所述接入节点,还用于提取管理员用户可管理的核心网节点地址,并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中,如果是执行转发该数据包到目的核心网节点,否则进行异常处理。
28.如权利要求27所述的网络系统,其特征在于:
所述认证节点,还用于在所述管理员用户注册的时候,将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点,或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点;
所述接入节点,还用于将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中,或者判断出该用户终端具有管理员权限后,与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。
29.如权利要求25所述的网络系统,其特征在于:
所述接入节点是服务GPRS支持节点SGSN、网关GPRS支持节点GGSN、分组数据业务节点PDSN和宽带接入服务器BRAS设备。
30.如权利要求25所述的网络系统,其特征在于:
所述认证节点是密钥管理系统KMS、归属位置寄存器HLR、归属用户服务器HSS、授权/认证/计费服务器AAA或其他承担端到端密钥管理和协商功能的实体。
CN200910181116.9A 2009-10-10 2009-10-10 一种网络设备管理的方法及相应的网络系统 Expired - Fee Related CN102045307B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN200910181116.9A CN102045307B (zh) 2009-10-10 2009-10-10 一种网络设备管理的方法及相应的网络系统
PCT/CN2010/075945 WO2011041964A1 (zh) 2009-10-10 2010-08-12 一种网络设备管理的方法、网络系统及网络接入节点

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910181116.9A CN102045307B (zh) 2009-10-10 2009-10-10 一种网络设备管理的方法及相应的网络系统

Publications (2)

Publication Number Publication Date
CN102045307A CN102045307A (zh) 2011-05-04
CN102045307B true CN102045307B (zh) 2014-08-13

Family

ID=43856370

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910181116.9A Expired - Fee Related CN102045307B (zh) 2009-10-10 2009-10-10 一种网络设备管理的方法及相应的网络系统

Country Status (2)

Country Link
CN (1) CN102045307B (zh)
WO (1) WO2011041964A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103095657A (zh) * 2011-11-03 2013-05-08 中兴通讯股份有限公司 一种用户接入方法、接入服务路由器及用户接入系统
CN103095536B (zh) * 2011-11-03 2017-06-30 南京中兴新软件有限责任公司 一种用户接入方法、接入服务路由器及用户接入系统
CN103718518B (zh) * 2011-12-06 2017-10-24 华为技术有限公司 数据传输方法及网络设备、网关
CN103888288A (zh) * 2014-02-20 2014-06-25 北京优联实科信息科技有限公司 一种注册方法、管理器、注册器与系统
CN109510804A (zh) * 2017-09-15 2019-03-22 汉达精密电子(昆山)有限公司 网络系统管理方法
CN111698248B (zh) * 2020-06-11 2021-06-11 杭州商湾网络科技有限公司 一种基于标签的网络授权管理方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1477821A (zh) * 2002-07-30 2004-02-25 ���꼪��Tv��˾ 安全多点发送
CN1486032A (zh) * 2002-09-23 2004-03-31 华为技术有限公司 基于虚拟局域网的网络接入控制方法及装置
CN1567839A (zh) * 2003-06-24 2005-01-19 华为技术有限公司 基于端口的网络访问控制方法
CN1801764A (zh) * 2006-01-23 2006-07-12 北京交通大学 一种基于身份与位置分离的互联网接入方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4664257B2 (ja) * 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1477821A (zh) * 2002-07-30 2004-02-25 ���꼪��Tv��˾ 安全多点发送
CN1486032A (zh) * 2002-09-23 2004-03-31 华为技术有限公司 基于虚拟局域网的网络接入控制方法及装置
CN1567839A (zh) * 2003-06-24 2005-01-19 华为技术有限公司 基于端口的网络访问控制方法
CN1801764A (zh) * 2006-01-23 2006-07-12 北京交通大学 一种基于身份与位置分离的互联网接入方法

Also Published As

Publication number Publication date
CN102045307A (zh) 2011-05-04
WO2011041964A1 (zh) 2011-04-14

Similar Documents

Publication Publication Date Title
JP7133010B2 (ja) Diameterエッジエージェント(DEA:DIAMETER EDGE AGENT)を用いる、アウトバウンドローミング加入者に対するモビリティ管理エンティティ(MME:MOBILITY MANAGEMENT ENTITY)認証のための、方法、システム、およびコンピュータ読み取り可能な媒体
EP1844613B1 (en) Providing security in an unlicensed mobile access network
WO2012077603A1 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
CN1968272B (zh) 通信网络中用于缓解拒绝服务攻击的方法和系统
EP3720100A1 (en) Service request processing method and device
WO2016201990A1 (zh) 防止无线网络中直径信令攻击的方法、装置和系统
US20040213237A1 (en) Network authentication apparatus and network authentication system
CN102045307B (zh) 一种网络设备管理的方法及相应的网络系统
CN101902482B (zh) 基于IPv6自动配置实现终端安全准入控制的方法和系统
JP3009876B2 (ja) パケット転送方法および該方法に用いる基地局
EP2600566A1 (en) Unauthorized access blocking control method
CN107733764B (zh) 虚拟可扩展局域网隧道的建立方法、系统以及相关设备
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
WO2011050676A1 (zh) 一种匿名通信的方法及注册、取消方法及接入节点
WO2011082584A1 (zh) 数据报文分类处理的实现方法、网络及终端
CN104253798A (zh) 一种网络安全监控方法和系统
WO2011082583A1 (zh) 数据报文分类处理的实现方法、网络、终端及互通服务节点
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
WO2017108009A1 (zh) Diameter信令发送方法和装置
CN109150925B (zh) IPoE静态认证方法及系统
CN102045313B (zh) 一种控制用户访问身份标识和位置分离网络的方法和系统
JP2006099590A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
WO2012089030A1 (zh) 一种多种接入方式接入网络的方法、接入设备和认证设备
JP2002164938A (ja) 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム
CN101945143A (zh) 一种在混合组网下防止报文地址欺骗的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201222

Address after: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province

Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen

Patentee before: ZTE Corp.

CP02 Change in the address of a patent holder

Address after: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province

Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

Address before: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province

Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

CP02 Change in the address of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20230920

Address after: Room 1412, No. 579, Qianjin East Road, Kunshan Development Zone, Suzhou City, Jiangsu Province, 215300

Patentee after: Suzhou Tanyun Purification Technology Co.,Ltd.

Address before: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province

Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140813

CF01 Termination of patent right due to non-payment of annual fee