CN103716192B - 一种基于虚拟ip的无感串接设备 - Google Patents
一种基于虚拟ip的无感串接设备 Download PDFInfo
- Publication number
- CN103716192B CN103716192B CN201310752401.8A CN201310752401A CN103716192B CN 103716192 B CN103716192 B CN 103716192B CN 201310752401 A CN201310752401 A CN 201310752401A CN 103716192 B CN103716192 B CN 103716192B
- Authority
- CN
- China
- Prior art keywords
- network interface
- address
- virtual
- stpa
- stpb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于虚拟IP的无感串接设备,用于串接信令网络和安全防护设备,通过标准IP协议栈与信令网安全防护设备连接,包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;工作时,所述的虚拟地址层对由所述网口A和/或网口B输入的数据包进行解析、记录消息的源、目的地址操作,将数据通过所述的SC。保证安全防护设备即使在设备故障的情况下也不对网络正常业务产生任何影响,做到设备的隐藏接入和退出。本发明技术的实现使相关安全防护设备可在隐藏的条件下,完成对异常信令的检测、拦截、阻断、过滤等业务操作,保证了移动通信网信令消息的安全传递。
Description
技术领域
本发明涉及一种基于虚拟IP的无感串接设备。涉及专利分类号H04电通信技术H04L数字信息的传输,例如电报通信H04L12/00数据交换网络H04L12/02零部件H04L12/24用于维护或管理的装置。
背景技术
目前在IP网络上传输7号信令主要使用的是SIGTRAN协议,SIGTRAN协议中定义的信令传输层使用的是SCTP协议,SCTP是一个面向连接的传输层协议,采用了类似TCP的流量控制和拥塞控制算法,通过自身的证实与重发机制来保证用户数据在两个SCTP端点间可靠传送。相对于TCP等其他传输协议,SCTP传输时延小,可避免某些大数据对其他数据的阻塞,具有更高的可靠性和安全性。但是SCTP协议并不能完全避免非法信令的异常访问,如何针对该信令网实现对用户信息的安全保护,防止非法信令的异常访问,将是保证移动通信网安全的重要组成部分。
目前基于分组域的7号信令网安全防护设备接入方式都是以真实身份接入现网,位于两端7号设备之间,防护设备分别与两端的7号设备建立数据连接,对收到的数据进行处理后,然后再转发给另一端的7号设备,这就改变了信令网的网络拓扑结构,对移动运营商有感。而且当防护设备退出时,会造成两端7号设备的链路断链,造成网络设备的有感,严重的会影响业务的正常运行。
根据以上分析,现有分组域信令网安全防护设备的接入和退出,都不能做到对网络的完全无感,因此达不到设备隐藏的安全效果。
发明内容
本发明针对以上问题的提出,而研制的一种基于虚拟IP的无感串接设备,用于串接信令网络和安全防护设备,通过标准IP协议栈与信令网安全防护设备连接,包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;
所述的前插板具有网口A、网口B、网口C和网口D;所述的后插板具有网口A1、网口B1;所述的网口A1网口B1分别与两个关口局设备STPA和STPB通信连接;
所述处理单元依次具有与所述的网口A和网口B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈;
该虚拟地址层在所述的网口A和网口B中分别虚拟出所述的STPA和STPB的虚拟地址STPA`和STPB`,使用STPB`与STPA通信,STPA`与STPB通信;
所述虚拟地址层为所述的SCTP协议栈提供虚拟的发送接口;
工作时,所述的虚拟地址层对由所述网口A和/或网口B输入的数据包进行解析、记录消息的源、目的地址操作,将数据通过所述的SCTP协议栈发送到所述的信令网安全防护设备;
在所述的接入设备接收由所述安全防护设备返回的数据包时,虚拟地址层对数据包进行封包,通过网口A或/和网口B分别以STPA`和STPB`作为源地址将消息发送给STPB和STPA。
所述的网口A和网口B分别具有一记录所在网口虚拟IP和虚拟MAC地址对应关系的虚拟地址管理表;所述的虚拟地址管理表中记载的内容如下:
网口的虚IP地址IPn`;网口的虚MAC地址MACn`。
所述的处理单元还具有MAC地址获取单元I:分别以网口A和网口B的实际IP地址向STPA和STPB发送ARP请求,得到MACA和MACB地址做为网口A和网口B的虚拟地址MACA`和MACB`,并记录在网口A和网口B的虚拟地址管理表中;通过网口B和网口A分别向STPB和STPA发送ARP声明消息,让网口B和STPB、网口A和STPA之间的路由设备学习到STPA`和STPB`地址的位置信息。
所述的处理单元还具有MAC地址获取单元II:该单元接收来自STPA或STPB的数据包,根据以太网协议对数据包的MAC首部和IP首部进行解析;如果数据包中的源IP地址是IPA`或者IPB`,则保存源MAC地址为MACA`或者MACB`,将业务数据包提交给SCTP协议栈处理。
该数组对处理单元接收到的每一条SCTP消息进行记录,以数组的下标作为每一条SCTP消息的唯一ID;
SCTP协议栈把消息解析后,提取消息内容,所述的唯一ID重新封装成与防护设备之间的消息,通过IP网络发送给防护设备进行处理;
防护设备处理完毕后,把消息返回给串接设备,串接设备根据消息中的ID,直接定位到SCTP消息记录数组中的指定位置,根据数组成员中保存的数据重新封装SCTP消息首部,调用虚拟地址层提供的发送接口,将消息发送出去。
所述的网口A1和网口B1分别与两个关口局设备STPA和STPB通信连接;网口A1和网口B1之间通过直通开关相连;
所述的直通开关通过设置在所述前插板上的一硬件看门狗控制断开或闭合:当设备正常运时,所述的处理单元通过定时清除该硬件看门狗断开所述的直通开关,保证从STPA和STPB来的数据分别通过网口A1和网口B1进入所述的处理单元;
当处理单元故障或者移除时,硬件看门狗超时,该看门狗控制所述的直通开关闭合,网口A1和网口B1直接连通。
由于采用了上述技术方案,本发明提供的一种基于虚拟IP的无感串接设备,保证使用本发明的7号信令网安全防护设备的接入不会改变运营商现在网络的组网环境,不修改现网的配置数据,不更换现网设备,不占用运营商局点、地址等网络资源,对运营商网络完全透明;保证安全防护设备即使在设备故障的情况下也不对网络正常业务产生任何影响,做到设备的隐藏接入和退出。本发明技术的实现使相关安全防护设备可在隐藏的条件下,完成对异常信令的检测、拦截、阻断、过滤等业务操作,保证了移动通信网信令消息的安全传递。
附图说明
为了更清楚的说明本发明的实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中信令网防护设备接入方式示意图
图2为本发明串接设备接入方式的示意图
图3为本发明串接设备接入的数据流向示意图
图4串接设备退出时的数据流向示意图
图5为本发明虚拟地址实现示意图
图6为本发明虚拟地址层消息处理机制示意图
图7为本发明SCTP消息记录数组结构示意图
图8为本发明SCTP协议栈处理机制示意图
具体实施方式
为使本发明的实施例的目的、技术方案和优点更加清楚,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚完整的描述:
一种基于虚拟IP的无感串接设备,通过标准IP协议栈与信令网安全防护设备连接,主要包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;
所述的前插板具有网口A、网口B、网口C和网口D;所述的后插板具有网口A1、网口B1;所述的网口A1和网口B1分别与两个关口局设备STPA和STPB通信连接。由STPA和STPB发出的数据由后插板的两个网口A1和网口B1进入,经由前插板传输至所述的处理单元。
当使用SIGTRAN协议向一个以太网设备发送数据包的时候,必须知道它的IP地址和MAC地址,交换机或者路由设备才能把以太网数据包正确的送达目的地。如果IP地址错误或者MAC地址错误,数据包就不可能正确送达目的地。
因此一个IP和MAC地址对就可以唯一的标识一个设备地址。下文的STPn指的就是IPn和MACn的地址对,同样,STPn`也就是指IPn`和MACn`的地址对。
当上层软件向STPA或者STPB发送数据的时候,如果使用标准协议栈的话,会首先查找路由,找到通往STPA或者STPB的路径,然后才会发送数据。如果在串接设备上以实地址的形式包含STPA和STPB地址的话,发送数据时会发现本地已经有了这两个地址,造成路由错误和地址冲突。
因此在本技术实现中,在网络驱动程序和SCTP协议栈之间增加了一个虚拟地址层(处理单元中),用于管理STPA`和STPB`地址。
同时向SCTP协议栈提供一个虚拟地址的发送接口,用于向STPA和STPB发送数据。
如附图5所示,串接设备接入STPA和STPB之间时,在两个网口上分别虚拟出STPA和STPB的地址STPA`和STPB`,使用STPB`与STPA通信,STPA`与STPB通信。
由于串接设备接入到STPA和STPB之间,因此STPA发送给STPB的消息从网口A进入处理单元,在处理单元的虚拟地址层,根据以太网协议类型对数据包进行解析,记录消息的源、目的地址等信息。
所述处理单元依次具有与所述的网口A和网口B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈;
该虚拟地址层在所述的网口A和网口B中分别虚拟出所述的STPA和STPB的虚拟地址STPA`和STPB`,使用STPB`与STPA通信,STPA`与STPB通信。
然后把业务消息提交给SCTP协议栈,在SCTP协议栈中对消息首部等信息解析并保存后,通过IP网络发送给防护设备,根据需要对消息进行删除,修改等操作,在把消息发送回本发明的串接设备,
最后调用虚拟地址层提供的发送接口把数据包发送出去。虚拟地址层对发送的以太网数据包进行封包后通过网口B以STPA`作为源地址把消息发送给STPB。
更进一步的,所述的网口A和网口B都设置有一个虚拟地址管理表,记载网口的虚IP地址IPn`;网口的虚MAC地址MACn`。
为了保证虚拟地址层可以正常的收发STPA和STPB的消息,实现虚拟IP的时候,必须首先在网口A和网口B分别设置虚拟地址表中的虚IP地址,并通过程序设置或者自动获取的方式设置对应的MAC地址MACA`和MACB`。
如果事先知道了MACA和MACB,软件可以通过配置接口直接设置MACA`和MACB`地址,否则就必须通过自动获取的方式取得MACA`和MACB`。
优选的,一种自动获取MAC地址的方法:设置好虚拟IP地址IPA`和IPB`后,使用网口A的实IP地址通过网口A向STPA发送ARP请求消息,得到MACA地址,并把MACA作为MACA`地址进行记录,然后通过网口B发送STPA`地址的ARP声明消息,让网口B和STPB之间的路由设备学习到STPA`地址的位置信息,这样,以后发送给STPA的数据包都会发送到串接设备的网口B。同样,使用网口B的私有实IP地址通过网口B向STPB发送ARP请求,获取MACB地址,并作为MACB`地址,然后通过网口A发送STPB`的ARP声明消息,通知网口A和STPA之间的路由设备学习STPB`地址的位置信息。
一种自动获取MAC地址的方式是,接收到来自STPA或者STPB的消息后,根据以太网协议类型对MAC首部和IP首部进行解析,如果数据包中的源IP地址是IPA`或者IPB`,则保存源MAC地址为MACA`或者MACB`,然后把业务数据包提交给SCTP协议栈进行处理,对于其他消息,在串接设备的虚拟地址层采用直接转发的方式,让两端的设备感觉不到串接设备的存在。
更进一步的,由于SIGTRAN协议中定义的信令传输层使用的是SCTP协议,为了保证串接设备在接入和退出时对两端设备无感,必须保证从串接设备中经过的每条消息的源端口号、目的端口号、验证标签等等都和原来的消息是一样的。
因此在本发明中采用一个如附图7所示结构类型的数组对接收的SCTP消息进行记录,结构中的成员包含下列信息:消息的源地址、目的地址、源端口号、目的端口号、验证标签,TSN,SSN,流ID等。同时协议栈保存指向数组未用元素的下标,收到一条消息就直接把信息保存到该数组元素中,同时下标递增,到达数组尾部后再从头开始。
附图8显示了对SCTP消息的处理过程。在接收到STPA或者STPB发送的SCTP消息后,首先把上述必要信息保存到消息记录数组中,并把数组的下标作为这条SCTP消息的唯一ID,SCTP协议栈把消息解析后,提取消息内容,根据这个唯一ID重新封装成与防护设备之间的消息,通过IP网络发送给防护设备进行处理,。防护设备处理完毕后,把消息返回给串接设备,串接设备根据消息中的ID,直接定位到SCTP消息记录数组中的指定位置,根据数组成员中保存的数据重新封装SCTP消息首部,最后调用虚拟地址层提供的发送接口,把消息发送出去。
在整个消息的处理过程中,SCTP消息的源端口、目的端口、验证标签、TSN、SSN、流ID等都没有改变,而且由于虚拟地址层的处理,发送给目的设备的消息中的地址与源设备的地址相同,目的设备感觉不到串接设备的存在。因此本发明可保证各类七号信令网安全防护设备在基于分组域七号信令网的接入时,不需改变运营商现有网络的组网环境,不需修改现网的配置数据,不需占用运营商局点、地址等网络资源,做到对运营商网络设备的隐藏和透明串接。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (6)
1.一种基于虚拟IP的无感串接设备,用于串接信令网络和安全防护设备,通过标准IP协议栈与信令网安全防护设备连接,包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;
所述的前插板具有网口A、网口B、网口C和网口D;所述的后插板具有网口A1、网口B1;所述的网口A1网口B1分别与两个关口局设备STPA和STPB通信连接;
所述处理单元依次具有与所述的网口A和网口B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈;
该虚拟地址层在所述的网口A和网口B中分别虚拟出所述的STPA和STPB的虚拟地址STPA`和STPB`,使用STPB`与STPA通信,STPA`与STPB通信;
所述虚拟地址层为所述的SCTP协议栈提供虚拟的发送接口;
工作时,所述的虚拟地址层对由所述网口A和/或网口B输入的数据包进行解析、记录消息的源、目的地址操作,将数据通过所述的SCTP协议栈发送到所述的信令网安全防护设备;
在所述的无感串接设备接收由所述安全防护设备返回的数据包时,虚拟地址层根据之前接收数据时解析并记录的消息源、目的地址对数据包进行封包,通过网口A或/和网口B分别以STPA`和STPB`作为源地址将消息发送给STPB和STPA。
2.根据权利要求1所述的基于虚拟IP的无感串接设备,其特征还在于:所述的网口A和网口B分别具有一记录所在网口虚拟IP和虚拟MAC地址对应关系的虚拟地址管理表;所述的虚拟地址管理表中记载的内容如下:
网口的虚IP地址IPn`;网口的虚MAC地址MACn`。
3.根据权利要求2所述的基于虚拟IP的无感串接设备,其特征还在于:所述的处理单元还具有MAC地址获取单元I:分别以网口A和网口B的实际IP地址向STPA和STPB发送ARP请求,得到MACA和MACB地址做为网口A和网口B的虚拟地址MACA`和MACB`,并记录在网口A和网口B的虚拟地址管理表中;通过网口B和网口A分别向STPB和STPA发送ARP声明消息,让网口B和STPB、网口A和STPA之间的路由设备学习到STPA`和STPB`地址的位置信息,这里STPA`指IPA`和MACA`的组合,STPB`指IPB`和MACB`的组合。
4.根据权利要求2所述的基于虚拟IP的无感串接设备,其特征还在于:所述的处理单元还具有MAC地址获取单元II:该单元接收来自STPA或STPB的数据包,根据以太网协议对数据包的MAC首部和IP首部进行解析;如果数据包中的源IP地址是IPA`或者IPB`,则保存源MAC地址为MACA`或者MACB`,将业务数据包提交给SCTP协议栈处理。
5.根据权利要求1所述的基于虚拟IP的无感串接设备,其特征还在于:所述的处理单元具有记录数组:该数组对处理单元接收到的每一条SCTP消息进行记录,以数组的下标作为每一条SCTP消息的唯一ID;
SCTP协议栈把消息解析后,提取消息内容,所述的唯一ID重新封装成与防护设备之间的消息,通过IP网络发送给防护设备进行处理;
防护设备处理完毕后,把消息返回给串接设备,串接设备根据消息中的ID,直接定位到SCTP消息记录数组中的指定位置,根据数组成员中保存的数据重新封装SCTP消息首部,调用虚拟地址层提供的发送接口,将消息发送出去。
6.根据权利要求1-5任意一项权利要求所述的基于虚拟IP的无感串接设备,其特征还在于:所述的网口A1和网口B1分别与两个关口局设备STPA和STPB通信连接;网口A1和网口B1之间通过直通开关相连;
所述的直通开关通过设置在所述前插板上的一硬件看门狗控制断开或闭合:当设备正常运时,所述的处理单元通过定时清除该硬件看门狗断开所述的直通开关,保证从STPA和STPB来的数据分别通过网口A1和网口B1进入所述的处理单元;
当处理单元故障或者移除时,硬件看门狗超时,该看门狗控制所述的直通开关闭合,网口A1和网口B1直接连通。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752401.8A CN103716192B (zh) | 2013-12-31 | 2013-12-31 | 一种基于虚拟ip的无感串接设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752401.8A CN103716192B (zh) | 2013-12-31 | 2013-12-31 | 一种基于虚拟ip的无感串接设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103716192A CN103716192A (zh) | 2014-04-09 |
| CN103716192B true CN103716192B (zh) | 2017-03-22 |
Family
ID=50408798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310752401.8A Expired - Fee Related CN103716192B (zh) | 2013-12-31 | 2013-12-31 | 一种基于虚拟ip的无感串接设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103716192B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105873063B (zh) * | 2015-12-28 | 2020-01-03 | 中国人民解放军信息工程大学 | 一种移动通信网间信令防护方法和装置 |
| CN114760266B (zh) * | 2022-03-01 | 2023-06-09 | 烽台科技(北京)有限公司 | 虚拟地址生成方法、装置和计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1463124A (zh) * | 2002-05-28 | 2003-12-24 | 华为技术有限公司 | 在信令网络层的用户适配层实现ip域信令转接点的方法 |
| CN101471903A (zh) * | 2007-12-27 | 2009-07-01 | 日本电气株式会社 | 信令网关、网络系统和数据传输方法 |
| CN101483860A (zh) * | 2009-01-23 | 2009-07-15 | 清华大学 | Ims网络中基于sip安全策略等级的协商控制方法 |
| CN101800753A (zh) * | 2010-03-16 | 2010-08-11 | 中国电子科技集团公司第三十研究所 | 基于一体化网络安全服务架构的综合安全防护方法 |
-
2013
- 2013-12-31 CN CN201310752401.8A patent/CN103716192B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1463124A (zh) * | 2002-05-28 | 2003-12-24 | 华为技术有限公司 | 在信令网络层的用户适配层实现ip域信令转接点的方法 |
| CN101471903A (zh) * | 2007-12-27 | 2009-07-01 | 日本电气株式会社 | 信令网关、网络系统和数据传输方法 |
| CN101483860A (zh) * | 2009-01-23 | 2009-07-15 | 清华大学 | Ims网络中基于sip安全策略等级的协商控制方法 |
| CN101800753A (zh) * | 2010-03-16 | 2010-08-11 | 中国电子科技集团公司第三十研究所 | 基于一体化网络安全服务架构的综合安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103716192A (zh) | 2014-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107852359B (zh) | 安全系统、通信控制方法 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| CN101707608A (zh) | 应用层协议自动化测试方法及装置 | |
| CN1722707B (zh) | 用于在局域网交换机中保证通信的方法 | |
| CN103840976B (zh) | 通信方法、光设备和网络设备 | |
| BRPI0619984A2 (pt) | métodos, sistemas, e produtos do programa de computador para detectar e reduzir tráfego de mensagens fraudulentas de serviços de mensagens | |
| US20090190479A1 (en) | Methods, systems and apparatus for monitoring and/or generating communications in a communications network | |
| KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
| da Silveira et al. | IEC 61850 network cybersecurity: Mitigating GOOSE message vulnerabilities | |
| US20160156742A1 (en) | Relaying system and method of transmitting ip address of client to server using encapsulation protocol | |
| CN107360154A (zh) | 一种内网安全接入方法及系统 | |
| CN109787878A (zh) | 一种隧道链路检测方法及相关设备 | |
| CN101605093B (zh) | 利用IP Option实现信息透传的方法 | |
| CN104579973B (zh) | 一种虚拟集群中的报文转发方法和装置 | |
| CN107204886A (zh) | 一种服务端口管理的方法及装置 | |
| CN103716192B (zh) | 一种基于虚拟ip的无感串接设备 | |
| CN103747472B (zh) | 基于电路域七号信令网的无感串接系统 | |
| CN101355585B (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
| CN105897665B (zh) | 一种卫星网络环境下实现tcp传输的方法及相应的网关 | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| AU2008258126B2 (en) | Method, systems and apparatus for monitoring and/or generating communications in a communications network | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| CN106254396A (zh) | 私有协议信息传输系统与方法 | |
| CN106331899A (zh) | 七号信令网无感串接处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170322 Termination date: 20181231 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |