CN1270481C - 一种无线局域网接入关口及其实现保障网络安全的方法 - Google Patents

一种无线局域网接入关口及其实现保障网络安全的方法 Download PDF

Info

Publication number
CN1270481C
CN1270481C CNB2003101182386A CN200310118238A CN1270481C CN 1270481 C CN1270481 C CN 1270481C CN B2003101182386 A CNB2003101182386 A CN B2003101182386A CN 200310118238 A CN200310118238 A CN 200310118238A CN 1270481 C CN1270481 C CN 1270481C
Authority
CN
China
Prior art keywords
packet
wlan
wireless local
network
local area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
CNB2003101182386A
Other languages
English (en)
Other versions
CN1627715A (zh
Inventor
张文林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34661412&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN1270481(C) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2003101182386A priority Critical patent/CN1270481C/zh
Priority to PCT/CN2004/001392 priority patent/WO2005057848A1/zh
Priority to EP04820044A priority patent/EP1615373A4/en
Priority to CA002523611A priority patent/CA2523611A1/en
Publication of CN1627715A publication Critical patent/CN1627715A/zh
Priority to US11/261,373 priority patent/US7224699B2/en
Application granted granted Critical
Publication of CN1270481C publication Critical patent/CN1270481C/zh
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种无线局域网接入关口,包括:用于强制控制传输路由的强制路由模块和收集计费信息的计费模块,经由无线局域网接入关口发送的数据包经路由强制处理、计费信息收集后,输出至无线局域网的业务认证授权单元或分组数据关口或用户终端;该关口还包括:消息过滤模块,用于获取和存储规则数据并对当前经过的数据包进行甄别、过滤和屏蔽;该消息过滤模块与强制路由模块和计费模块相连。本发明还同时公开了一种利用无线局域网接入关口实现保障网络安全的方法。上述接入关口和方法能对数据包进行甄别、过滤和屏蔽处理,最大限度地避免非法消息对网络运营的干扰与威胁,避免非法数据包的传输,提高网络安全,减轻网络负荷。

Description

一种无线局域网接入关口及其实现保障网络安全的方法
技术领域
本发明涉及网络安全技术,特别是指一种无线局域网(WLAN)接入关口以及利用该WLAN接入关口实现保障网络安全的方法。
背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连,如图2所示;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入关口(WAG)与3GPP归属网络中的分组数据关口(PDG,Packet DataGateway)等等,如图1所示。其中,图1、图2分别为漫游情况下和非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。
参见图1、图2所示,在3GPP系统中,主要包括归属签约用户服务器(HSS)/归属位置寄存器(HLR)、3GPP AAA服务器、3GPP AAA代理、WAG、分组数据关口、计费关口(CGw)/计费信息收集系统(CCF)及在线计费系统(OCS)。用户终端、WLAN接入网络与3GPP系统的所有实体共同构成了3GPP-WLAN交互网络,此3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中,3GPP AAA服务器负责对用户的鉴权、授权和计费,对WLAN接入网络送来的计费信息收集并传送给计费系统;分组数据关口负责将用户数据从WLAN接入网络到3GPP网络或其他分组网络的数据传输;计费系统主要接收和记录网络传来的用户计费信息,还包括OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息,并进行统计和控制。
目前,WLAN用户终端在接入WLAN网络后没有明确的限制规则,这样,无论当前接入的用户是否签约了公众陆地移动网(PLMN)中基于分组交换(PS)域的业务,都可以随便通过WAG发送消息到PLMN核心网络,这种情况对于运营网是非常不利的,因为有很多数据可能是多余的或非法的,因此不仅会增加不必要的网络负荷,而且不利于整个网络的安全管理和正确计费;同样,也存在网络向用户终端发送用户不需要的冗余信息或非法信息的现象,这也会给用户带来不必要的干扰和烦恼,还有可能威胁合法用户设备的安全。那么,如何避免非法信息对网络和合法用户设备的干扰与威胁,迄今为止还未提出具体的解决方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种无线局域网接入关口,使其在保证自身功能实现的基础上,能进一步对接收到的数据进行过滤,避免非法消息的接入,从而提高PLMN网络和合法用户设备的安全,减轻PLMN网络和合法用户设备的负荷。
本发明另一目的在于提供一种利用无线局域网接入关口实现保障网络安全的方法,使其能对数据包进行甄别、过滤和屏蔽处理,最大限度地避免非法消息对网络运营的干扰与威胁,进而保障网络的安全可靠性,并降低网络负荷。
为达到上述目的,本发明的技术方案是这样实现的:
一种无线局域网接入关口,包括:用于强制控制传输路由的强制路由模块和收集计费信息的计费模块,强制路由模块接收经由无线局域网接入关口发送的数据包,经路由强制处理,并经计费模块进行计费信息收集后,输出至无线局域网的业务认证授权单元或分组数据关口或用户终端;该接入关口进一步包括:
消息过滤模块,用于获取和存储规则数据,接收待处理的数据包,并根据所述规则数据对所接收的待处理数据包进行甄别、过滤和屏蔽,输出经过过滤屏蔽处理的数据包;该消息过滤模块与强制路由模块和计费模块相连。
其中,所述消息过滤模块的一端为无线局域网接入关口的输入输出端,另一端连接强制路由模块的输入,所述消息过滤模块通过强制路由模块与计费模块间接相连;所述待处理的数据包为来自或发往WLAN接入网的数据包。
或者,所述消息过滤模块的输入与强制路由模块的输出相连,所述消息过滤模块的输出与计费模块的输入相连;所述待处理的数据包为由强制路由模块进行强制路由处理后的数据包。
上述方案中,所述消息过滤模块进一步包括:
规则配置部分,用于存储静态配置的规则数据;规则协商部分,用于与无线局域网中的网络单元协商并存储动态更新的规则数据;规则实施部分,用于对数据包按规则数据进行处理;规则配置部分、规则协商部分同时与规则实施部分相连,规则实施部分接收待处理数据包,并从规则配置部分或规则协商部分获取规则数据,输出按规则数据处理后的数据包。
所述消息过滤模块进一步与业务认证授权单元、或分组数据关口、或业务认证授权单元和分组数据关口相连。其中,所述业务认证授权单元为认证授权计费服务器。
一种利用无线局域网接入关口实现保障网络安全的方法,该方法包括:无线局域网接入关口接收用户终端经由WLAN接入网发来的数据包或经由WLAN接入网发向用户终端的数据包,然后从当前收到的数据包中提取出非加密信息,并将所获取的非加密信息与自身当前存储的规则数据进行匹配;
判断是否匹配成功,如果匹配成功,则拒绝将当前收到的数据包继续传输,否则,向目的地址继续转发当前收到的数据包;或者,判断是否匹配不成功,如果匹配不成功,则拒绝将当前收到的数据包继续传输,否则,向目的地址继续转发当前收到的数据包。
该方法进一步包括:预先在无线局域网接入关口中配置允许数据包通过的规则数据。
或者,该方法进一步包括:无线局域网接入关口根据无线局域网中认证授权计费服务器、或分组数据关口的指示或协商更新自身存储的规则数据。
上面所述的方法中,所述的非加密信息为源IP地址、或目的IP地址、或端口地址、或介质访问控制地址、或消息标识、或消息名、或TCP端口号、或隧道标号、或隧道类型、或上述信息的任意组合。
本发明所提供的一种无线局域网接入关口及其实现保障网络安全的方法,具有以下的优越之处:
1)由于在现有的WAG中增加了消息过滤功能模块,由该模块完成对各种数据包是否能进入网络的判定,并且,由于该WAG在网络中处于数据接入的关键位置,所以,本发明的方案能最大限度地避免非法消息对网络和合法用户设备的干扰与威胁,从而保障网络的安全可靠性,并降低网络负荷,对实现网络安全运营是非常重要的。
2)由于本发明设置于WAG中的各种判定规则能实时根据需要预先配置或动态协商更新,因此更能提高保障网络安全的性能,且实现灵活多样。
3)由于本发明主要利用现在已有的接入关口设备完成对数据包的过滤功能,对原有网络结构和处理过程基本没有改变,所以对整个网络影响极其微小,并且,实现简单、方便。
附图说明
图1为漫游情况下WLAN系统与3GPP系统互通的网络结构示意图;
图2为非漫游情况下WLAN系统与3GPP系统互通的网络结构示意图;
图3为本发明中WAG组成结构的一实施例示意图;
图4为本发明中WAG组成结构的另一实施例示意图;
图5为本发明方法的实现流程图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
考虑到WAG在无线局域网中所处的关键位置,本发明的基本思想就是:在WAG中设置消息过滤机制,按照静态配置或动态更新的规则数据,实现对经过WAG的数据包的甄别、过滤和屏蔽,以保证最大限度地防止非法消息对运营网络以及合法用户设备的干扰与威胁,从而保障网络和合法用户设备双方的安全可靠性,同时还可降低网络或合法用户设备的负荷。这里所述的数据包包括:封装好的传输数据和控制信令。
本发明所述的WAG主要包括:强制路由模块、计费模块和消息过滤模块,其中,强制路由模块用于强制将当前经过WAG的数据包的传输路由设置为指定路由,计费模块用于对经过WAG的数据包收集计费信息,这两个模块为WAG的原有模块。消息过滤模块为本发明新加入的功能模块,主要用于获取和存储规则数据并对经过WAG的数据包进行甄别、过滤和屏蔽,该消息过滤模块与已有的强制路由模块和计费模块之间存在两种连接关系:
一种连接关系如图3所示,从WLAN接入网发送过来的数据包或经过WAG发向WLAN接入网的数据包进入WAG 30后,首先进入消息过滤模块301,由消息过滤模块301对当前收到的数据包根据自身当前存储的规则数据进行甄别过滤,判断是否允许当前收到的数据包通过,是否需要对该数据包进行屏蔽,然后再将经过过滤处理的数据包发至强制路由模块302,由强制路由模块302判断是否需要将该数据包的传输路由强制修改,最后再由计费模块303对经过WAG的有效数据包进行计费信息收集。
这种情况下,消息过滤模块301会与WLAN接入网相连,同时可能与分组数据关口、或AAA代理、或AAA服务器、或三者的组合相连。
另一种连接关系如图4所示,从WLAN接入网发送过来的数据包或经过WAG发向WLAN接入网的数据包进入WAG 30后,首先进入强制路由模块302,由强制路由模块302判断是否需要将该数据包的传输路由强制修改,然后将经过路由强制处理的数据包送入消息过滤模块301,由消息过滤模块301对当前收到的数据包根据自身当前存储的规则数据进行甄别过滤,判断是否允许当前收到的数据包通过,是否需要对该数据包进行屏蔽,最后再由计费模块303对经过WAG的有效数据包进行计费信息的收集。
根据所完成功能的不同,所述消息过滤模块可进一步划分为:规则配置部分,用于存储静态配置的规则数据,该静态配置的规则数据可以是预先配置的;规则协商部分,用于与WLAN网络中的其他网络单元协商获取并存储动态更新的规则数据;规则实施部分,用于对当前收到的数据包按自身当前存储的规则数据进行处理。其中,规则配置部分、规则协商部分同时与规则实施部分相连,规则实施部分接收待处理的数据包,并从规则配置部分或规则协商部分获取WAG当前具有的规则数据,之后,将按规则数据处理后的数据包输出。这里,规则协商部分可以进一步与无线局域网中的业务授权单元,如AAA服务器相连,还可以与分组数据关口相连,以便随时与AAA服务器、分组数据关口进行协商,获取并更新WAG中存储的规则数据,或是根据AAA服务器、分组数据关口等网络设备的指示更新当前存储的规则数据。这里所述的更新包括增加、删除、修改等操作。
当消息过滤模块采用第一种连接关系与强制路由模块连接时,该消息过滤模块中的规则实施部分需要作为无线局域网接入关口的输入输出端,一方面与WLAN接入网相连;另一方面可能与分组数据关口、或AAA代理、或AAA服务器、或三者的组合相连。如果需要由用户终端进行规则配置,规则配置部分或规则协商部分也会与WLAN接入网相连。
如图5所示,本发明方法的具体实现过程包括以下步骤:
步骤501:WAG接收WLAN用户终端经由WLAN接入网发来的数据包或要发往WLAN接入网的数据包,并从当前收到的数据包中提取出非加密信息。
这里,所述的非加密信息是指IP包头信息;或是IP包中所封装的各种协议头信息,比如:传输协议头、隧道协议头等等;或是上述信息的组合。具体地说,IP包头包括:源IP地址、目的IP地址、端口地址、介质访问控制(MAC)地址;IP包内的未加密信息包括:消息标识、消息名、UDP/TCP端口号、隧道标号、隧道类型。WAG可以先解析IP包头,再进一步解析IP包内未加密信息。
步骤502:WAG将步骤501所获取的非加密信息与自身当前存储的规则数据进行匹配。
这里,所述WAG自身当前的存储的规则数据有多种获取途径,比如:预先静态设置;或是WAG随时与AAA服务器、分组数据关口等其他网络单元协商获取;或直接接受AAA服务器、分组数据关口等网络单元的指示来更新当前存储的规则数据;也可能由用户终端来配置。
步骤503~505:判断是否匹配成功,如果匹配成功,则拒绝将当前所收到的数据包继续传输;否则,允许当前所收到的数据包继续传输。实际本步骤就是判断当前处理的数据包是否符合传输要求,比如:是否来自某地址,是否去往某地址,是否为合法的隧道类型,是否为授权隧道标识等等。
实施例一:
一个3GPP-WLAN交互网络中,用户终端的外部IP地址由PLMN分配,用户终端到PDG的隧道协议采用L2TP/IPSEC;在本发明所述具有消息过滤模块的WAG中,设置如下规则:
1)源IP地址属于10.11.30.XX地址段的消息,不允许通过本WAG。
2)源IP地址属于10.11.31.XX地址段的消息,如果目的地址不是127.11.20.1X不允许通过本WAG。
其中,规则1)可以防止某些没有权限的某组地址源,发送不必要的信息到WLAN网络中;规则2)可进一步详细的规定,某组地址源只允许发送信息到某些目的地址,比如:这些地址源只能享用某些PDG提供的服务,只能发送信息到指定的PDG,否则就作为无效信息过滤,如此就能够更大限度地避免无效消息进入WLAN网络。
那么,对于规则1),WAG当前收到数据包后,先提取出该数据包中的源IP地址信息;然后判断提取出的源IP地址是否属于10.11.30.XX地址段,如果属于,则不允许通过,也就是说,本WAG不再继续传输或处理该数据包。如果不属于,则本WAG会继续传输或处理该数据包。
对于规则2),WAG当前收到数据包后,先提取出该数据包中的源IP地址信息和目的IP地址信息;然后判断提取出的源IP地址是否属于10.11.30.XX地址段,如果不属于,则不允许通过,也就是说,本WAG不再继续传输或处理该数据包;如果属于,再继续判断目的IP地址是否不是127.11.20.1X,如果不是,则不允许通过,也就是说,本WAG不再继续传输或处理该数据包;如果是,则本WAG会继续传输或处理该数据包。
在本实施例中,还可以进一步分析IP头后面的规则:如果IP内部紧接着采用的不是L2TP隧道,或不是隧道建立协商消息,则拒绝传输当前收到的消息。当然,也可以设置允许其他某种隧道,比如:允许GRE隧道协议消息继续传输;或同时允许几种特定隧道协议。
本发明中所有静态设置的规则通常是针对用户群的,不是针对某个用户的。
实施例二:
除静态设置规则数据之外,还可以进行动态的规则数据设置,动态设置可以是针对用户群的,也可以是针对单个用户的。
举个典型的应用实例,当用户被授权接入某个PDG后,WLAN网络下发规则数据到WAG,允许从当前被授权用户对应的源地址向某个PDG地址发送的信息通过WAG,具体可以通过对IP地址、隧道编号的判断来执行所述规则,具体的判断匹配过程与实施例一基本相同。在本实施例中,同样可进一步检查隧道协议封装是否合法,消息类型是否合法等等。
以上所述,仅为本发明的较佳实施例而已,并非用来限定本发明的保护范围。

Claims (10)

1、一种无线局域网接入关口,包括:用于强制控制传输路由的强制路由模块和收集计费信息的计费模块,强制路由模块接收经由无线局域网接入关口发送的数据包,经路由强制处理,并经计费模块进行计费信息收集后,输出至无线局域网的业务认证授权单元或分组数据关口或用户终端;其特征在于,该接入关口进一步包括:
消息过滤模块,用于获取和存储规则数据,接收待处理的数据包,并根据所述规则数据对所接收的待处理数据包进行甄别、过滤和屏蔽,输出经过过滤屏蔽处理的数据包;该消息过滤模块与强制路由模块和计费模块相连。
2、根据权利要求1所述的无线局域网接入关口,其特征在于,所述消息过滤模块的一端为无线局域网接入关口的输入输出端,另一端连接强制路由模块的输入,所述消息过滤模块通过强制路由模块与计费模块间接相连;所述待处理的数据包为来自或发往WLAN接入网的数据包。
3、根据权利要求1所述的无线局域网接入关口,其特征在于,所述消息过滤模块的输入与强制路由模块的输出相连,所述消息过滤模块的输出与计费模块的输入相连;所述待处理的数据包为由强制路由模块进行强制路由处理后的数据包。
4、根据权利要求1、2或3所述的无线局域网接入关口,其特征在于,所述消息过滤模块进一步包括:
规则配置部分,用于存储静态配置的规则数据;
规则协商部分,用于与无线局域网中的网络单元协商并存储动态更新的规则数据;
规则实施部分,用于对数据包按规则数据进行处理;
规则配置部分、规则协商部分同时与规则实施部分相连,规则实施部分接收待处理数据包,并从规则配置部分或规则协商部分获取规则数据,输出按规则数据处理后的数据包。
5、根据权利要求4所述的无线局域网接入关口,其特征在于,所述消息过滤模块进一步与业务认证授权单元、或分组数据关口、或业务认证授权单元和分组数据关口相连。
6、根据权利要求5所述的无线局域网接入关口,其特征在于,所述业务认证授权单元为认证授权计费服务器。
7、一种利用无线局域网接入关口实现保障网络安全的方法,其特征在于,该方法包括:无线局域网接入关口接收用户终端经由WLAN接入网发来的数据包或经由WLAN接入网发向用户终端的数据包,从当前收到的数据包中提取出非加密信息,并将所获取的非加密信息与自身当前存储的规则数据进行匹配;
判断是否匹配成功,如果匹配成功,则拒绝将当前收到的数据包继续传输,否则,向目的地址继续转发当前收到的数据包;或者,判断是否匹配不成功,如果匹配不成功,则拒绝将当前收到的数据包继续传输,否则,向目的地址继续转发当前收到的数据包。
8、根据权利要求7所述的方法,其特征在于,该方法进一步包括:预先在无线局域网接入关口中配置允许数据包通过的规则数据。
9、根据权利要求7所述的方法,其特征在于,该方法进一步包括:无线局域网接入关口根据无线局域网中认证授权计费服务器、或分组数据关口的指示或协商更新自身存储的规则数据。
10、根据权利要求7所述的方法,其特征在于,所述的非加密信息为源IP地址、或目的IP地址、或端口地址、或介质访问控制地址、或消息标识、或消息名、或TCP端口号、或隧道标号、或隧道类型、或上述信息的任意组合。
CNB2003101182386A 2003-12-08 2003-12-08 一种无线局域网接入关口及其实现保障网络安全的方法 Ceased CN1270481C (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CNB2003101182386A CN1270481C (zh) 2003-12-08 2003-12-08 一种无线局域网接入关口及其实现保障网络安全的方法
PCT/CN2004/001392 WO2005057848A1 (fr) 2003-12-08 2004-12-01 Passerelle d'acces a un reseau local sans fil et procede permettant de garantir la securite du reseau au moyen de ladite passerelle d'acces
EP04820044A EP1615373A4 (en) 2003-12-08 2004-12-01 ACCESS GATEWAY TO A WIRELESS LOCAL NETWORK AND METHOD OF GUARANTEEING NETWORK SECURITY THROUGH SAID ACCESS GATEWAY
CA002523611A CA2523611A1 (en) 2003-12-08 2004-12-01 An access gateway of wlan and a method for ensuring network security using the access gateway of wlan
US11/261,373 US7224699B2 (en) 2003-12-08 2005-10-28 Wireless local area network access gateway and method for ensuring network security therewith

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2003101182386A CN1270481C (zh) 2003-12-08 2003-12-08 一种无线局域网接入关口及其实现保障网络安全的方法

Publications (2)

Publication Number Publication Date
CN1627715A CN1627715A (zh) 2005-06-15
CN1270481C true CN1270481C (zh) 2006-08-16

Family

ID=34661412

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2003101182386A Ceased CN1270481C (zh) 2003-12-08 2003-12-08 一种无线局域网接入关口及其实现保障网络安全的方法

Country Status (5)

Country Link
US (1) US7224699B2 (zh)
EP (1) EP1615373A4 (zh)
CN (1) CN1270481C (zh)
CA (1) CA2523611A1 (zh)
WO (1) WO2005057848A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7810137B1 (en) * 2003-12-22 2010-10-05 Cisco Technology, Inc. Method of controlling network access that induces consumption of merchant goods or services
US8228932B2 (en) 2005-02-18 2012-07-24 Broadcom Corporation Layout architecture for expandable network device
CN101022472B (zh) * 2006-02-13 2010-06-09 中兴通讯股份有限公司 一种对消息接口异常的预防保护方法
CN101277251B (zh) * 2007-03-29 2011-09-07 上海贝尔阿尔卡特股份有限公司 基于包传输的无线网络中控制数据交换的方法及控制装置
WO2009007985A2 (en) * 2007-07-06 2009-01-15 Elitecore Technologies Limited Identity and policy-based network security and management system and method
US8621573B2 (en) * 2007-08-28 2013-12-31 Cisco Technology, Inc. Highly scalable application network appliances with virtualized services
CN101170515B (zh) * 2007-12-04 2010-10-13 华为技术有限公司 一种处理报文的方法、系统和网关设备
US20090216875A1 (en) * 2008-02-26 2009-08-27 Barracuda Inc. Filtering secure network messages without cryptographic processes method
CN101583152B (zh) 2008-05-15 2011-08-24 华为技术有限公司 一种信息传递方法、装置和系统
CN101741818B (zh) * 2008-11-05 2013-01-02 南京理工大学 设置在网线的独立网络安全加密隔离方法
US8549625B2 (en) 2008-12-12 2013-10-01 International Business Machines Corporation Classification of unwanted or malicious software through the identification of encrypted data communication
US8839404B2 (en) * 2011-05-26 2014-09-16 Blue Coat Systems, Inc. System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments
CN103052064B (zh) * 2011-10-13 2016-05-25 中国移动通信集团公司 一种访问运营商自有业务的方法、设备及系统
US9942254B1 (en) * 2014-07-10 2018-04-10 ThetaRay Ltd. Measure based anomaly detection
US20170195288A1 (en) * 2015-12-31 2017-07-06 Affirmed Networks, Inc. Seamless handoff between wireless access gateways
US9948744B1 (en) 2016-10-14 2018-04-17 International Business Machines Corporation Mobile device identification
US11683308B2 (en) * 2019-06-06 2023-06-20 Cisco Technology, Inc. Systems and methods for generating contextual labels

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1216657A (zh) * 1996-04-24 1999-05-12 北方电讯有限公司 互联网协议过滤器
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
AU4907600A (en) * 1999-06-02 2000-12-28 Nortel Networks Limited Method for engineering paths for multicast traffic
AU2002232551A1 (en) * 2000-11-08 2002-05-21 Sprint Spectrum L.P. Method and system for providing services in communications networks
US20020129243A1 (en) * 2001-03-08 2002-09-12 Viswanath Nanjundiah System for selective encryption of data packets
CN1423461A (zh) * 2001-11-23 2003-06-11 中望商业机器有限公司 宽带接入网关
DE60139883D1 (de) * 2001-11-29 2009-10-22 Stonesoft Oy Kundenspezifische Firewall
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US20040247126A1 (en) * 2003-06-04 2004-12-09 Mcclellan Stanley Archer Wireless network and methods for communicating in a wireless network

Also Published As

Publication number Publication date
WO2005057848A1 (fr) 2005-06-23
CA2523611A1 (en) 2005-06-23
CN1627715A (zh) 2005-06-15
US20060104233A1 (en) 2006-05-18
EP1615373A4 (en) 2006-07-19
EP1615373A1 (en) 2006-01-11
US7224699B2 (en) 2007-05-29

Similar Documents

Publication Publication Date Title
CN1270481C (zh) 一种无线局域网接入关口及其实现保障网络安全的方法
CN1266891C (zh) 无线局域网中用户接入授权的方法
EP1378093B1 (en) Authentication and encryption method and apparatus for a wireless local access network
EP1515491B1 (en) Architecture for virtual private networks
CN1186906C (zh) 无线局域网安全接入控制方法
CN1277393C (zh) 一种无线局域网用户终端选择分组数据关口的方法
CN1456006A (zh) 电信系统中的方法和设备
CN1666465A (zh) 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法
CN1567868A (zh) 基于以太网认证系统的认证方法
CN1175626C (zh) 无线接入设备
CN100352220C (zh) 基于动态主机配置协议加网络门户认证的安全接入方法
CN1271822C (zh) 无线局域网中用户终端网络选择信息的交互处理方法
CN101064605A (zh) 一种多主机网络的aaa架构及认证方法
CN1271823C (zh) 无线局域网中业务隧道的拆除方法
CN1770767A (zh) 对vpn报文进行tcp应用层协议封装的系统及其方法
CN101366237B (zh) 管理恶意软件感染业务流的系统和方法
CN1411223A (zh) 实现企业接入业务的虚拟ggsn的实现方法及装置
CN1642076A (zh) 一种无线局域网中分组数据关口获取用户身份标识的方法
CN1527557A (zh) 一种桥接设备透传802.1x认证报文的方法
CN1612539A (zh) 无线局域网中业务连接建立的方法
Com Network dictionary
CN1529473A (zh) 实现IPsec标准中不同安全终点的安全联盟嵌套方法
CN1567863B (zh) 一种对外部网络接入的控制方法
CN1901499A (zh) 一种专用局域网的安全访问方法及用于该方法的装置
CN1647465A (zh) 通过ip网络传送信息的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C35 Partial or whole invalidation of patent or utility model
IW01 Full invalidation of patent right

Decision date of declaring invalidation: 20110329

Decision number of declaring invalidation: 16231

Granted publication date: 20060816