WO2011041964A1

WO2011041964A1 - 一种网络设备管理的方法、网络系统及网络接入节点

Info

Publication number: WO2011041964A1
Application number: PCT/CN2010/075945
Authority: WO
Inventors: 张世伟; 符涛; 许志军
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-10-10
Filing date: 2010-08-12
Publication date: 2011-04-14
Also published as: CN102045307A; CN102045307B

Abstract

一种网络设备管理的方法，包括：在接入节点中保存第一网络的核心网节点地址，其中核心网节点至少包括接入节点和认证节点；以及接入节点接收用户终端发送来的数据包，提取该数据包中的通信对端的身份标识，在核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。本发明还提供了一种网络系统和一种网络接入节点。本发明有效地防止了普通用户访问核心网节点，从而避免普通用户对核心网节点发起攻击。方便网络管理员管理SILSN网络，保证了管理员用户终端正常访问核心网节点。

Description

一种网络设备管理的方法、网络系统及网络接入节点

技术领域本发明涉及通信技术领域，尤其涉及一种网络设备管理的方法、网络系统及网络接入节点。

背景技术

现有因特网广泛使用的传输控制协议 /网络协议（ Transmission Control Protocol/Internet Protocol, TCP/IP )协议中 IP地址具有双重功能，既作为网络层的通信终端主机网络接口在网络拓朴中的位置标识，又作为传输层主机网络接口的身份标识。 TCP/IP协议设计之初并未考虑到主机移动的情况，但是当主机移动越来越普遍时，这种 IP地址的语义过载缺陷日益明显。当主机的 IP地址发生变化时，不仅路由要发生变化，通信终端主机的身份标识也发生变化，这样会导致路由负载越来越重，而且主机标识的变化会导致应用和连接的中断。身份标识和位置分离问题提出的目的是为了解决 IP地址的语义过载和路由负载严重，安全等问题，将 IP地址的双重功能进行分离，实现对移动性、多家乡性、 IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。针对上述问题，目前已经提出了多种身份标识与位置标识分离的网络架构，包括主机标识协议（Host Identity Protocol, HIP ) , 位置身份分离协议 (Locator Identity Split Protocol, LISP)和均属身份标识和位置分离网络以及中兴通讯提出的身份标识和位置分离的网络架构，本文以中兴通讯提出的身份标识和位置分离网络架构为例进行描述。图 1所示为身份标识和位置分离网络架构图，为描述方便，下文将此用户身份标识和位置分离网络简称为 SILSN ( Subscriber Identifier & Locator Separation Network ) , 将传统因特网简称为 LIN ( legacy Internet Network )。

在图 1中，此 SILSN包括接入服务器（Access Service Node, ASN )和用户终端（ User Equipment, UE )、身份位置寄存器（ Identification & Location Register, ILR ) 、互联服务节点（ Inter- working Service Node , ISN )和中转设备 ( Route Terminal, RT ) 。其中， ASN用来实现 UE的接入，并承担计费和切换等功能； ILR承担用户的位置注册和身份识别功能，也称为认证服务器； ISN用于和传统 Internet互通， ISN和 ASN在物理上也可以合一设置； RT为核心网中的数据交换或路由设备。在图 1中， UE1和 UE2都是 SILSN的用户，在下文中将 ASN、 ILR、 ISN 以及 RT等网络节点组成的网络称为 SILSN的核心网，并将组成核心网的节点 ASN、 ILR、 ISN和 RT网络节点称为核心网节点。其他身份标识和位置标识分离的网络架构中，上述核心网节点分别对应于具有相同或相似功能的节点。为保证 SILSN核心网的安全性，必须防止普通用户终端对核心网的攻击；同时，还要实现 SILSN中的核心网节点要能进行网络管理，目前还没有解决这一问题的具体方案。

发明内容本发明要解决的技术问题是提供一种网络设备管理的方法、网络系统及网络接入节点，防止普通用户终端对核心网节点进行访问或攻击。如图 1所示，根据 SILSN中的 UE1发送的数据包的最终目的地，可以将 UE1发送的数据包分为如下三种类型：类型一：从 SILSN的一个用户终端发送到该 SILSN的另一个用户终端，如 UE1->UE2; 类型二：从 SILSN的一个用户终端发向该 SILSN的一个核心网节点，如 UE1->ASN2; 类型三：从 SILSN的一个用户终端发向位于 LIN的一个节点，如从 SILSN 的一个用户终端发往 LIN中的一个因特网业务提供商（ISP ) ,如 UE1->ISP1 , 或者从 SILSN的一个用户终端发向 LIN网的一个用户终端，如 UE1->UE10; 在 UE1发送的上述三种类型数据包时，类型一和类型三的数据包的最终目的地都是将数据包发向 SILSN的核心网外部，在这两种情况下，核心网节点只起封装和转发的作用，并不解析数据包的实际内容，因此类型一和类型三的数据包，除了对 SILSN的核心网的性能造成影响，并不会对核心网节点的安全性等造成明显影响；但对于类型二的数据包，由于用户终端发出的数据包的最终目的地为核心网节点，因此核心网节点不仅要解析该数据包的内容，还要根据该数据包的内容进行相应的处理；也就是说，这种类型的数据包为用户终端提供了直接访问核心网节点的手段，由于 SILSN 的核心网节点允许用户终端直接访问，因而降低了核心网节点的安全性。因此为了保证核心网安全性，在 SILSN 中一般不允许普通用户发出此数据包类型，只提供给具有特殊权限的网络管理员在网络管理时使用。当 SILSN用于组建专网（如军网或公安网），为了保证网络的高度可靠性，可以将其普通用户终端的权限限制为只能发送类型一的数据包，这样可以将用户终端和外部网络绝对分开，从根本上保证了信息的安全。但如果 SILSN用于一般网络（如企业网 )的组建，为了让用户得到最好的网络体验，应该给予用户直接访问 Internet的权限，这样就需要允许用户终端能发出类型三的数据包。当 SILSN用于一般网络中时， SILSN的核心网节点可以嵌入到 LIN中，并分配 LIN地址（即 Internet公网地址 ) , 这样当 SILSN的用户终端 UE1 访问 LIN的一个普通节点时， UE1应该发送通信对端的身份标识为 LIN普通节点（如通信对端的身份标识为图 1中的 ISP1或 UE10 )的数据包。由于 SILSN 的核心网的节点地址也是 LIN的一个节点，如果用户 UE1发出的类型三的数据包的目的地刚好为 SILSN的核心网节点地址，而不是 LIN的普通节点地址，这样本来应该发送到 LIN的数据就会发送给 SILSN的核心网节点，从而普通用户终端可能借用类型三的数据包达到类型二的数据包的效果，即普通用户终端可以发送只有网络管理员才能发送的数据包，从而对 SILSN的核心网安全性造成了危害。为保护 SILSN核心网节点的安全性，必须防范 UE发起这种攻击，为此在处理第三种类型的数据包时， ASN节点就必须识别出用户终端发出的数据包的通信对端的身份标识是发往 LIN, 还是发往 SILSN的核心网节点，然后根据用户的权限分别处理，以保护核心网节点的安全性。

为了解决上述问题，本发明提供了一种网络设备管理的方法，包括：在接入节点中保存第一网络的核心网节点地址，其中核心网节点至少包括接入节点和认证节点；以及接入节点接收用户终端发送来的数据包，提取该数据包中的通信对端的身份标识，在核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。所述核心网节点还包括互通节点，以及数据交换或路由节点。所述第一网络为身份标识与位置分离的网络构架（SILSN ) ；所述接入节点为接入服务节点；所述互通节点为互联服务节点（ISN ) 、数据交换或路由节点为中转设备（ RT ) 。所述异常处理为所述接入节点丟弃所述数据包，将用户行为记入曰志，根据情况进行告警，或屏蔽用户中的一种或几种。所述用户终端发送来的数据包包括：从所述第一网络的一个用户终端发向该第一网络的一个核心网节点，称为类型二；以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户，称为类型三。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式时，接入节点接收用户终端发送来的数据包的步骤之后，所述方法还包括：所述接入节点根据接收到的数据包格式区分出所述数据包为类型三的数据包；

根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理的步骤包括：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识：如果查找到，进行异常处理，结束；如果查找不到，则所述用户终端为普通用户终端，所述接入节点通过互通节点将所述数据包发送到第二网络。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式时，接入节点接收用户终端发送来的数据包的步骤之后，所述方法还包括：所述接入节点根据接收到的数据包格式区分出所述数据包为类型二的数据包；

根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理的步骤包括：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识：如果查找不到，进行异常处理，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理的步骤包括：所述接入节点在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述接入节点通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束; 如果有，所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。所述用户终端的身份权限是在所述用户终端注册的时候，从认证节点传递给该用户终端注册的接入节点中的，并保存于该用户终端的用户上下文中。接入节点判断所述用户终端具有网络管理员权限的步骤之后，所述方法还包括：所述接入节点提取该管理员用户可管理的核心网节点地址；所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是才执行所述接入节点将所述数据包转发到对应的核心网节点，如果不是则进行异常处理。所述用户终端可管理的核心网节点地址是在所述用户终端注册的时候，从认证服务器传递给该用户终端注册的接入节点中的，并保存于该用户终端的用户上下文中；或者所述接入节点判断出该用户终端具有管理员权限后，与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。所述核心网节点地址通过网管配置后下发给所述接入节点。

为了解决上述问题，本发明还提供了一种网络系统，所述网络系统包括核心网和用户终端；所述核心网包括接入节点和认证节点；其中，所述用户终端设置为：向所述接入节点发送数据包，其中包含通信对端的身份标识；所述接入节点设置为：保存所述核心网的核心网节点地址，以及接收到用户终端发送来的数据包后，提取该数据包中的通信对端的身份标识，在所述核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。所述核心网还包括互通节点，以及数据交换或路由节点。所述网络系统为身份标识与位置分离的网络构架（SILSN ) ；所述接入节点为接入服务节点；所述互通节点为互联服务节点（ISN ) 、数据交换或路由节点为中转设备（ RT ) 。所述用户终端发送的数据包包括：从所述网络系统的一个用户终端发向该网络系统的一个核心网节点，称为类型二；以及从所述网络系统的一个用户终端发向其他网络系统的一个节点或用户，称为类型三。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；所述接入节点还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；所述接入节点是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识，如果查找到，进行异常处理，结束；如果查找不到，则所述用户终端为普通用户终端 ,所述接入节点通过所述互通节点将所述数据包发送到其他网络系统。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；所述接入节点还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；所述接入节点是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：

所述接入节点在所述核心网节点地址中查找该通信对端的身份标识：如果查找不到，进行异常处理，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；所述接入节点是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述接入节点在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述接入节点通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。所述认证节点设置为：保存用户终端属性信息；以及所述用户终端注册的时候，将用户的身份权限传递给该用户终端注册的接入节点；所述接入节点还设置为：将用户的身份权限保存于该用户上下文中。所述接入节点还设置为：提取管理员用户可管理的核心网节点地址，并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是转发该数据包到目的核心网节点，如果不是进行异常处理。所述认证节点还设置为：在所述管理员用户注册的时候，将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点，或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点；所述接入节点还设置为：将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中，或者判断出该用户终端具有管理员权限后，与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。所述接入节点是服务 GPRS 支持节点（SGSN)、网关 GPRS 支持节点 (GGSN)、分组数据业务节点（PDSN )和宽带接入服务器 (BRAS)设备。所述认证节点是密钥管理系统（KMS ) 、归属位置寄存器（HLR ) 、归属用户服务器（HSS ) 、授权 /认证 /计费服务器（AAA )或其他承担端到端密钥管理和协商功能的实体。

为了解决上述问题，本发明还提供了一种一种网络接入节点，包括：接收模块，其设置为：接收用户终端发送的数据包，并发送至身份识别模块，所述数据包中包含通信对端的身份标识；

存储模块，其设置为：保存所述核心网的核心网节点地址；以及处理模块，其设置为：接收到用户终端发送来的数据包后，提取该数据包中的通信对端的身份标识，在所述存储模块存储的核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。所述核心网节点地址包括：接入节点的地址，认证节点的地址，互通节点的地址，以及数据交换或路由节点的地址。所述接入节点为身份标识与位置分离的网络构架（SILSN ) 中的接入节点；所述接入节点为接入服务节点。所述用户终端发送的数据包包括：从网络系统的一个用户终端发向该网络系统的一个核心网节点，称为类型二；以及从网络系统的一个用户终端发向其他网络系统的一个节点或用户，称为类型三。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；所述处理模块还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；所述处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述处理模块在所述核心网节点地址中查找该通信对端的身份标识，如果查找到，进行异常处理，结束；如果查找不到，则所述用户终端为普通用户终端 ,所述处理模块通过所述互通节点将所述数据包发送到其他网络系统。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；所述处理模块还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；所述处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述处理模块在所述核心网节点地址中查找该通信对端的身份标识：如果查找不到，进行异常处理，结束；如果查找到，所述处理模块提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述处理模块将所述数据包转发给所述通信对端的身份标识对应的核心节点。所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；所述处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述处理模块在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述处理模块通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述处理模块提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述处理模块将所述数据包转发给通信对端的身份标识对应的核心节点。所述接收模块还设置为：接收认证节点在所述用户终端注册的时候传递的用户的身份权限，并发送给存储模块；所述存储模块还设置为：将用户的身份权限保存于该用户上下文中。所述处理模块还设置为：提取管理员用户可管理的核心网节点地址，并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是转发该数据包到目的核心网节点，如果不是进行异常处理。所述接收模块还设置为：接收所述认证节点在所述管理员用户注册的时候传递的管理员用户可管理的核心网节点地址，或者与所述认证节点交互接收认证节点传递的管理员用户可管理的核心网节点地址；所述存储模块还设置为：将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中，或者保存在所述处理模块判断出该用户终端具有管理员权限后，所述接收模块与所述认证服务器进行交互时获取的所述用户终端可管理的核心网节点地址。所述接入节点是服务通用无线分组业务支持节点 (SGSN：)、网关通用无线分组业务支持节点 (GGSN)、分组数据业务节点（PDSN )和宽带接入服务器 (BRAS)设备。

上述方法、网络系统和网络接入节点有效地防止了普通用户访问核心网节点，从而避免普通用户对核心网节点发起攻击。在一实施例中，管理员权限用户可以访问特定的核心网节点，方便网络管理员管理 SILSN网络，保证了管理员用户终端正常访问核心网节点。在一实施例中，实现了管理员不能访问未授权的核心网节点，防止一个核心网节点的管理员借用管理员权限攻击另外一个核心网节点。

附图概述图 1为身份标识和位置分离网络的架构；图 2为本发明应用示例中类型二和类型三的数据包格式不同时对类型三的数据包处理时的流程图；图 3为本发明应用示例中类型二和类型三的数据包格式不同时对类型二的数据包处理时的流程图；图 4为本发明应用示例中类型二和类型三的数据包格式相同时对类型三的数据包处理时的流程图。

本发明的较佳实施方式

下面结合附图详细说明本发明的具体实施方式。

( 1 )在接入节点中保存网络的核心网节点地址，核心网节点至少包括接入节点和认证节点；其中，核心网节点地址可以通过网管配置后下发给接入节点；并可以定期或实时对下发的核心网节点地址进行更新，还可以是通过人工配置下发等方式对下发给接入节点核心网节点地址更新。

其中，核心网节点地址可以保存在核心网节点表 ( Core Network Node Table, CNNT ) 中，当然也可以以其他方式保存，本实施例以 CN T进行说明。核心网节点地址可以为 IP地址。核心网节点还可以包括互通节点和数据交换或路由节点，当然还可以包括其他网络节点；在 ISLSN网络中，接入节点为 ASN, 认证节点为 ILR、互通节点为 ISN、数据交换或路由节点为 RT。其中， ASN是逻辑实体，可以是服务通用无线分组业务支持节点 (Serving

GPRS Support Node, SGSN)、网关 GPRS支持节点 (Gateway GPRS Support Node, GGSN)、分组数据业务节点（ Packet Data Serving Node , PDSN )和宽带接入服务器 (Broadband Remote Access Server, BRAS)等设备。

( 2 )当接入节点接收到用户终端发送来的数据包后，先提取该数据包中的通信对端的身份标识，然后在核心网节点地址中查找该通信对端的身份标识，根据查找结果对该数据包进行处理。如果通信对端的身份标识在核心网节点地址中查找不到，说明用户是在向 LIN发送数据包，接入节点将数据包正常转发；如果通信对端的身份标识在核心网节点地址中查找到，则说明用户不是向 LIN节点发送数据包，而是向 SILSN核心网节点发送数据包，此时进一步判断用户是否有管理员权限，如果有管理员权限，则根据对应的权限进行处理。在实际应用中， UE1发出的三种类型的数据包格式可以相同，也可以不同，当这三种类型的数据包格式相同时，终端实现最简单，并可以和原有终端兼容，但 ASN接收后需要根据通信对端的身份标识范围进行区分，这会带来一些复杂性，由于在 SILSN架构下，类型一的数据包已经有区分方法，并且不会对核心网节点造成影响，本实施例中假定类型一数据包已经被排除，只研究如何区分类型二和类型三的数据包，防止用户利用类型二和类型三的数据包对核心网节点进行攻击。其中，类型一的数据包区分是在 ASN中区分的，主要是向 ILR查询通信对端的身份标识是否能查到。另外类型一的数据包，其通信对端的身份标识一般为 AID格式，如果不釆用 AID格式而使用 IP地址，则会使用一段特殊的 IP地址， ASN只要分析通信对端的身份标识是否在这段 IP地址内就可以了。为便于简化 SILSN网络的终端实现，以及保证终端上的应用程序兼容，可将类型二和类型三的数据包都釆用 IPV4/IPV6数据包格式，当然也可以是其他数据格式，以简化终端处理，在这种应用情况下， ASN先检查数据包的通信对端的身份标识，如果是核心网节点地址，则认为是类型二的数据包，如果不是核心网节点地址，则认为是类型三的数据包。对于类型三的数据包， ASN可以直接将该数据包发给 ISN处理；对于类型二的数据包，为了保证管理员能够正常使用， ASN还可以进一步检查发送数据包的 UE的权限，当 UE具有管理员权限，为了对管理员权限进行限制， ASN进一步检查该管理员管理的核心网节点的地址中，是否包含有该数据包的通信对端的身份标识，如果包含此通信对端的身份标识，则正常转发到对应 SILSN核心网节点，如果不包含，则丟弃该数据包；如果发送数据包的 UE没有管理员权限，则因 UE的用户行为已构成企图向核心网节点进行攻击， ASN可以将此用户行为保存入日志，然后丟弃数据包，同时根据行为的严重程度对该 UE釆取告警的措施或釆取屏蔽该 UE的措施。当然，在实际部署中， SILSN网络也可以将上述三种类型的数据包配置为釆用不同格式处理，这多用于全部使用新开发的用户终端进行组网的情况下，对三种类型的数据包釆用不同格式可以较好发挥 SILSN网络优点，减轻 ASN处理负担。当三种类型的数据包格式不同时， ASN的处理较为简单，只需要根据数据包格式，区分出每种类型的数据包，如果为类型二的数据包，在 CCNT中查找数据包的通信对端的身份标识，如果查找到，则进一步发送者是否具有管理员权限，如果为管理员权限，可以根据配置访问核心网节点，否则不予访问核心网节点；如果是类型三的数据包，则在 CCNT中查找数据包的通信对端的身份标识，如果查找到，则进行异常处理，不予访问，否者正常转发。本实施例不考虑类型一的数据包的区分问题，缺省认为类型一的数据包已经被现有技术中的其他方法剔除，只需要处理类型二和类型三的数据包。值得指出的是， ASN检查用户是否具备管理员权限，并不意味着管理员访问 SILSN核心网节点时，可以不使用管理员密码。为保证 SILSN核心网安全， SILSN核心网节点在接受管理员身份操作的时候，还必须按网管自身的安全认证措施验证，上述流程是用于防止普通用户访问核心网节点的辅助保护措施，能显著减少核心网节点遭受普通用户攻击的情况，但并不能完全阻止管理员自己设置较高权限进行攻击的情况，因此也代替不了核心网节点对管理者的认证，但会大幅缩小核心网节点被攻击的可能。上述 ILR是逻辑实体，承担端到端密钥的管理和协商，保存有用户终端属性信息的节点，在具体应用场景中可以是密钥管理系统（ Key Management System, KMS ) 、归属位置寄存器（ Home Location Register, HLR ) 、归属用户服务器（ Home Subscriber Server, HSS )、授权 /认证 /计费（ Authorization, Authentication, Accounting, AAA )服务器、或其他承担端到端密钥管理和协商功能的实体。

下面通过几个应用示例具体说明本发明的实施方式。由于 UE发出的数据包格式对具体实现流程有一定影响，因此在具体实施中，将根据类型二和类型三的数据包格式相同与不同分别进行说明。图 2所示为类型二和类型三的数据包格式不同时对类型三的数据包的处理方法，图 3所示为类型二和类型三的数据包格式不同时对类型二的数据包的处理方法，图 4所示为类型二和类型三的数据包格式相同时对类型二和类型三的数据包的处理方法。应用示例一如图 2所示，为类型二和类型三的数据包釆用不同格式时，对类型三的数据包的处理方法。本应用示例中， ASN已经将类型一的数据包釆用已有方法区分出，因此只剩下类型二和类型三的数据包。当 UE1将数据包发送到 ASN1时，由于类型二和类型三的数据包格式不同， ASN1 可以根据数据包格式直接分拣出类型三的数据包进行处理，如果 ASN1进一步发现类型三的数据包中的通信对端的身份标识包括 SILSN的核心网节点地址，则认为用户企图攻击 SILSN的核心网，进行异常处理；如果不包含核心网节点地址，则认为是正常发往 LIN的数据包，进行正常转发。具体包括如下步骤：步骤 201 : ASN1接收到用户 UE1发送的类型三的数据包，流程开始；本应用示例中，由于类型二和类型三的数据包釆用不同数据包格式，因此 ASN1已根据数据包格式分拣出该数据包为类型三的数据包。步骤 202: ASN1提取用户 UE1发送的数据包的通信对端的身份标识，记为 D1 ; 步骤 203: ASN1在其上中保存的 SILSN的 CN T中查找 D1 ,如果查找到 D1 , 执行步骤 204, 如果查找不到，执行步骤 205; 本应用示例中，在所有 ASN上都保存有核心网节点地址；步骤 204: 进行异常处理，执行步骤 206; 如果 D1在 CN T内，则说明 UE1是向 SILSN的核心网节点发送数据包，但由于数据包格式已经限定该数据包为类型三的数据包，因此可以证明用户企图用类型三的数据包格式发起对核心网节点的攻击，因此 ASN将进行异常处理；其中，异常处理包括丟弃该数据包，将用户行为记入日志，根据历史攻击的严重程度选择是否告警和屏蔽该 UE中的一种或多种；步骤 205: 将数据包转发到 ISN, 由 ISN发送到 LIN节点；如果 D1不在 CNNT内，则说明 UE1是向 LIN节点发送数据包，将该数据包正常转发到 LIN; 步骤 206: 流程结束；

应用示例二如图 3所示，为类型二和类型三的数据包格式不同时，对类型二的数据包的处理方法。 ASN已经将 UE发送的类型一的数据包挑出并进行了处理，只剩下类型二和类型三的数据包混合在一起，当类型二和类型三的数据包格式不同时， ASN可以根据数据包格式直接分拣出类型二的数据包格式并进行相应的处理，如果 ASN进一步发现类型二的数据包中的通信对端的身份标识不在 SILSN的 CNNT 内，则认为此 UE发出无效消息，进行丟弃；如果在 CNNT内，则进一步判断该 UE是否具备管理员权限，并根据 UE的权限决定是否能访问对应的核心网节点，具体包括如下步骤：步骤 301 : ASN1接收到用户 UE1发送的类型二的数据包，流程开始；本应用示例中，由于类型二和类型三的数据包釆用不同数据包格式，因此 ASN1已根据数据包格式分拣出该数据包为类型二的数据包。步骤 302: ASN1提取 UE1发送的数据包的通信对端的身份标识，记为 D2; 步骤 303: ASN1在 SILSN的 CN T中查找 D2, 如果查找到，执行步骤 304, 如果查找不到，执行步骤 309; 步骤 304: ASN1提取 UE1的身份权限；如果 D2在 CN T内，则说明 UE1是向 SILSN的核心网节点发送数据包，或者该 UE1企图扮演网管设备，由于数据包格式已经限定该数据包为类型二的数据包，因此可以说明用户 UE1发送的数据包格式是合法的，然后进一步提取 UE1的身份权限。其中， UE1的身份权限可以在 UE1注册的时候，从 ILR传递到该 UE1 注册的 ASN1 中， ASN1将 UE1的身份权限保存于此 UE1上下文中，因此 ASN1此时可以在 UE1的上下文中提取用户的身份权限。步骤 305: ASN1判断 UE1是否具有网络管理员权限，如果是，执行步骤 306, 如果不是，执行步骤 309; 步骤 306: ASN提取管理员用户可管理的核心网节点地址；本步骤 ASN可以通过在 UE1的用户上下文中提取该管理员用户可管理的核心网节点地址列表，记为 L1 ; 为防止管理员非法修改不被自己管辖的核心网节点，还可以将管理员可访问的核心网节点限定在一定范围内，此管理员用户可管理的核心网节点地址列表与其身份权限一样，保存于认证服务器如 ILR中，当用户注册的时候从认证服务器传递给 ASN, 保存于用户的上下文中。其中，用户在注册时由 ILR向 ASN传递用户信息， ASN将这些用户信息保存在 ASN为此用户建立的用户上下文中。其中，用户信息包括： 1、该用户是否具有管理员权限；

2、该用户的管理员权限级别是多少；

3、该用户可管理的核心网节点地址列表是什么。也可以在 ASN1判断 UE1为管理员用户后，与 ILR进行交互从而提取该管理员用户可管理的核心网节点地址列表；

步骤 307: 判断 UE1发送的数据包的通信对端的身份标识 D2是否在 L1 中，如果是执行步骤 308, 如果不是，执行步骤 309; 步骤 308: ASN正常转发该数据包到目的核心网节点；如果 D2在 L1 中，则认为管理员在合法管理核心网节点， ASN正常转发此数据包到对应的核心网节点，执行步骤 310; 步骤 309: 进行异常处理；步骤 310: 结束。

应用实例三如图 4所示，为类型二和类型三的数据包格式相同时对类型二的数据包的处理方法，此前 ASN已经将 UE发送的类型一的数据包挑出并进行了处理，只剩下类型二和类型三的数据包混合在一起，当类型二和类型三的数据包格式相同时， ASN不能根据数据包格式直接分拣出是类型二或者还是类型三的数据包，因此必须根据数据包的通信对端的身份标识和用户权限进行处理，具体包括如下步骤：步骤 401 : ASN1接收到用户 UE1发送数据包，流程开始；此数据包可能是类型二的数据包，也可能是类型三的数据包。步骤 402: ASN1提取 UE1发送的数据包的通信对端的身份标识，如 D3; 步骤 403: ASN1在 ASN中保存的 SILSN核心网节点表 CNNT中查找 D3 , 如查找到执行步骤 405 , 如查找不到执行步骤 404; 步骤 404: ASN1将数据包转发给 ISN进行处理，执行步骤 411 ; 如果在步骤 403中，在 CNNT中未查到 D3 , 则 ASN1认为 UE1正常向 LIN发送数据包。步骤 405: 从用户上下文中提取用户的身份权限；如果 D3在 CN T内，则说明 UE1是向 SILSN的核心网节点发送数据包，也就是说，此数据包类型为类型二的数据包或攻击核心网节点的数据包，因此按类型二的数据包进行处理，然后进一步提取用户的身份权限。步骤 406: ASN1判断 UE1是否具有网络管理员权限，如果有执行步骤 407, 如果没有执行步骤 410; 步骤 407: ASN提取管理员用户可管理的核心网节点地址；本步骤中，可以在 UE1的用户上下文中保存该管理员用户可管理的核心网节点地址列表，记为 L2; 步骤 408: ASN1判断用户 UE1发送的数据包的通信对端的身份标识 D3 是否在 L2中，如果是，执行步骤 409, 如果不是执行步骤；步骤 409: ASN1正常转发该数据包到目的核心网节点；执行步骤 411 ; 步骤 410: 进行异常处理；步骤 411 : 结束。

本发明通过在接入节点中保存核心网节点的地址，当接入节点收到 UE 发送来的数据包后，根据该数据包的通信对端的身份标识查找其所保存的核心网节点的地址，从而判断该数据包是发送到核心网还是发送到 LIN节点。通过这一方法保证了接入节点可以正确识别从 SILSN 的一个用户终端发送来的数据包的通信对端的身份标识是发往 SILSN 的核心网内部节点还是发往 LIN节点。另外，本发明并不限于用于身份标识和位置标识分离的网络架构中，还可以用于其它移动网络或传统网络中。

相应地，本实施例还提供了以实现上述方法的一种网络系统，包括核心网和用户终端；所述核心网包括接入节点和认证节点；其中，用户终端设置为：向接入节点发送数据包，其中包含通信对端的身份标识；

接入节点设置为：保存核心网的核心网节点地址，以及接收到用户终端发送来的数据包后，提取该数据包中的通信对端的身份标识，然后在核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。

其中，核心网还包括互通节点，以及数据交换或路由节点。认证节点设置为：保存用户终端属性信息；以及所述用户终端注册的时候，将用户的身份权限传递给该用户终端注册的接入节点；接入节点还设置为：将用户的身份权限保存于该用户上下文中；以及提取管理员用户可管理的核心网节点地址，并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是正常转发该数据包到目的核心网节点，如果不是进行异常处理。认证节点还设置为：在所述管理员用户注册的时候，将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点，或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点；接入节点还设置为：将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中，或者判断出该用户终端具有管理员权限后，与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。

本实施例还提供了一种网络接入节点 , 接收模块，其设置为：接收用户终端发送的数据包，并发送至处理模块，所述数据包中包含通信对端的身份标识；

存储模块，其设置为：保存所述核心网的核心网节点地址；以及处理模块，其设置为：接收到用户终端发送来的数据包后，提取该数据包中的通信对端的身份标识，在存储模块存储的核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。核心网节点地址包括：接入节点的地址，认证节点的地址，互通节点的地址，以及数据交换或路由节点的地址。接入节点为身份标识与位置分离的网络构架（SILSN ) 中的接入节点；所述接入节点为接入服务节点。所述用户终端发送的数据包包括：从网络系统的一个用户终端发向该网络系统的一个核心网节点，称为类型二；以及从网络系统的一个用户终端发向其他网络系统的一个节点或用户，称为类型三。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；处理模块还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：处理模块在所述核心网节点地址中查找该通信对端的身份标识，如果查找到，进行异常处理，结束；如果查找不到，则所述用户终端为普通用户终端，所述处理模块通过所述互通节点将所述数据包发送到其他网络系统。所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；处理模块还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：处理模块在所述核心网节点地址中查找该通信对端的身份标识：如果查找不到，进行异常处理，结束；如果查找到，处理模块提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，处理模块将所述数据包转发给所述通信对端的身份标识对应的核心节点。所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：处理模块在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述处理模块通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述处理模块提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述处理模块将所述数据包转发给通信对端的身份标识对应的核心节点。接收模块还设置为：接收认证节点在所述用户终端注册的时候传递的用户的身份权限，并发送给存储模块；存储模块还设置为：将用户的身份权限保存于该用户上下文中。处理模块还设置为：提取管理员用户可管理的核心网节点地址，并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是转发该数据包到目的核心网节点，如果不是进行异常处理。接收模块还设置为：接收所述认证节点在所述管理员用户注册的时候传递的管理员用户可管理的核心网节点地址，或者与所述认证节点交互接收认证节点传递的管理员用户可管理的核心网节点地址；存储模块还设置为：将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中，或者保存在所述处理模块判断出该用户终端具有管理员权限后，所述接收模块与所述认证服务器进行交互时获取的所述用户终端可管理的核心网节点地址。接入节点是服务通用无线分组业务支持节点 (SGSN)、网关通用无线分组业务支持节点 (GGSN)、分组数据业务节点（ PDSN )和宽带接入服务器 (BRAS) 设备。

工业实用性本发明有效地防止了普通用户访问核心网节点，从而避免普通用户对核心网节点发起攻击。在一实施例中，管理员权限用户可以访问特定的核心网节点，方便网络管理员管理 SILSN网络，保证了管理员用户终端正常访问核心网节点。在一实施例中，实现了管理员不能访问未授权的核心网节点，防止一个核心网节点的管理员借用管理员权限攻击另外一个核心网节点。

Claims

权利要求书

1、一种网络设备管理的方法，包括: 在接入节点中保存第一网络的核心网节点地址，其中核心网节点至少包括接入节点和认证节点；以及接入节点接收用户终端发送的数据包，提取该数据包中的通信对端的身份标识，在核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。

2、如权利要求 1所述的方法，其中：所述核心网节点还包括互通节点，以及数据交换或路由节点。 3、如权利要求 2所述的方法，其中：所述第一网络为身份标识与位置分离的网络构架（SILSN ) ；所述接入节点为接入服务节点；所述互通节点为互联服务节点（ISN ) 、数据交换或路由节点为中转设备（ RT ) 。 4、如权利要求 1所述的方法，其中：所述异常处理为所述接入节点丟弃所述数据包，将用户行为记入曰志，根据情况进行告警，或屏蔽用户中的一种或几种。

5、如权利要求 1或 2或 3或 4所述的方法，其中，所述用户终端发送的数据包包括：

从所述第一网络的一个用户终端发向该第一网络的一个核心网节点，称为类型二；以及从所述第一网络的一个用户终端发向第二网络的一个节点或用户，称为类型三。 6、如权利要求 5所述的方法，其中：所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式时，接入节点接收用户终端发送来的数据包的步骤之后，所述方法还包括：所述接入节点根据接收到的数据包格式区分出所述数据包为类型三的数据包；根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理的步骤包括：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识：如果查找到，进行异常处理，结束；如果查找不到，则所述用户终端为普通用户终端，所述接入节点通过互通节点将所述数据包发送到第二网络。

7、如权利要求 5所述的方法，其中：所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式时，接入节点接收用户终端发送来的数据包的步骤之后，所述方法还包括：所述接入节点根据接收到的数据包格式区分出所述数据包为类型二的数据包；

根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理的步骤包括：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识：如果查找不到，进行异常处理，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。 8、如权利要求 5所述的方法，其中，所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理的步骤包括：所述接入节点在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述接入节点通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。

9、如权利要求 7或 8所述的方法，其中：所述用户终端的身份权限是在所述用户终端注册的时候，从认证节点传递给该用户终端注册的接入节点中的，并保存于该用户终端的用户上下文中。

10、如权利要求 9所述的方法，其中：接入节点判断所述用户终端具有网络管理员权限的步骤之后，所述方法还包括：所述接入节点提取该管理员用户可管理的核心网节点地址；所述接入节点判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中 , 如果是才执行所述接入节点将所述数据包转发到对应的核心网节点的步骤，如果不是，则进行异常处理。

11、如权利要求 10所述的方法，其中: 所述用户终端可管理的核心网节点地址是在所述用户终端注册的时候，从认证服务器传递给该用户终端注册的接入节点中的，并保存于该用户终端的用户上下文中；或者所述接入节点判断出该用户终端具有管理员权限后，与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。 12、如权利要求 1所述的方法，其中：所述核心网节点地址通过网管配置后下发给所述接入节点。

13、一种网络系统，包括核心网和用户终端；所述核心网包括接入节点和认证节点；其中，所述用户终端设置为：向所述接入节点发送数据包，其中包含通信对端的身份标识；所述接入节点设置为：保存所述核心网的核心网节点地址，以及接收到用户终端发送的数据包后，提取该数据包中的通信对端的身份标识，在所述核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。 14、如权利要求 13所述的网络系统，其中：所述核心网还包括互通节点，以及数据交换或路由节点。

15、如权利要求 14所述的网络系统，其中：所述网络系统为身份标识与位置分离的网络构架（SILSN ) ；所述接入节点为接入服务节点；所述互通节点为互联服务节点（ISN ) 、数据交换或路由节点为中转设备（ RT ) 。

16、如权利要求 14或 15所述的网络系统，其中，所述用户终端发送的数据包包括：从所述网络系统的一个用户终端发向该网络系统的一个核心网节点，称为类型二；以及从所述网络系统的一个用户终端发向其他网络系统的一个节点或用户，称为类型三。

17、如权利要求 16所述的网络系统，其中，所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；所述接入节点还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；所述接入节点是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识，如果查找到，进行异常处理，结束；如果查找不到，则所述用户终端为普通用户终端 ,所述接入节点通过所述互通节点将所述数据包发送到其他网络系统。

18、如权利要求 16所述的网络系统，其中，所述类型二的数据包与所述类型三的数据包釆用不相同的数据包格式；所述接入节点还设置为：根据接收到的数据包格式区分出所述数据包为类型三的数据包；所述接入节点是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述接入节点在所述核心网节点地址中查找该通信对端的身份标识：如果查找不到，进行异常处理，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给所述通信对端的身份标识对应的核心节点。 19、如权利要求 16所述的网络系统，其中，所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；所述接入节点是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述接入节点在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述接入节点通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述接入节点提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述接入节点将所述数据包转发给通信对端的身份标识对应的核心节点。

20、如权利要求 18或 19所述的网络系统，其中：所述认证节点设置为：保存用户终端属性信息；以及所述用户终端注册的时候，将用户的身份权限传递给该用户终端注册的接入节点；所述接入节点还设置为：将用户的身份权限保存于该用户上下文中。

21、如权利要求 20所述的网络系统，其中：所述接入节点还设置为：提取管理员用户可管理的核心网节点地址，并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是转发该数据包到目的核心网节点，如果不是进行异常处理。

22、如权利要求 21所述的网络系统，其中：所述认证节点还设置为：在所述管理员用户注册的时候，将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点，或者与所述接入节点交互将将管理员用户可管理的核心网节点地址传递给该用户终端注册的接入节点；所述接入节点还设置为：将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中，或者判断出该用户终端具有管理员权限后，与所述认证服务器进行交互获取所述用户终端可管理的核心网节点地址。 23、如权利要求 13所述的网络系统，其中：所述接入节点是服务通用无线分组业务支持节点 (SGSN：)、网关通用无线分组业务支持节点 (GGSN)、分组数据业务节点（PDSN )和宽带接入服务器 (BRAS)设备。 24、如权利要求 13所述的网络系统，其中：所述认证节点是密钥管理系统（KMS ) 、归属位置寄存器（HLR ) 、归属用户服务器（HSS ) 、授权 /认证 /计费服务器（AAA )或其他承担端到端密钥管理和协商功能的实体。

25、一种网络接入节点，包括：接收模块，其设置为：接收用户终端发送的数据包，并发送至身份识别模块，所述数据包中包含通信对端的身份标识；

存储模块，其设置为：保存所述核心网的核心网节点地址；以及处理模块，其设置为：接收到用户终端发送来的数据包后，提取该数据包中的通信对端的身份标识，在所述存储模块存储的核心网节点地址中查找该通信对端的身份标识，并根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理。

26、如权利要求 25所述的网络接入节点，其中：所述核心网节点地址包括：接入节点的地址，认证节点的地址，互通节点的地址，以及数据交换或路由节点的地址。 2277、、如如权权利利要要求求 2266所所述述的的网网络络接接入入节节点点，，其其中中：: 所所述述接接入入节节点点为为身身份份标标识识与与位位置置分分离离的的网网络络构构架架（（SSIILLSSNN )) 中中的的接接入入节节点点；；所所述述接接入入节节点点为为接接入入服服务务节节点点。。

2288、、如如权权利利要要求求 2266或或 2277所所述述的的网网络络接接入入节节点点，，其其中中，，所所述述用用户户终终端端发发 55 送送的的数数据据包包包包括括：：从从网网络络系系统统的的一一个个用用户户终终端端发发向向该该网网络络系系统统的的一一个个核核心心网网节节点点，，称称为为类类型型二二；；以以及及从从网网络络系系统统的的一一个个用用户户终终端端发发向向其其他他网网络络系系统统的的一一个个节节点点或或用用户户，，称称为为类类型型三三。。

2299、、如如权权利利要要求求 2288所所述述的的网网络络接接入入节节点点，，其其中中，，所所述述类类型型二二的的数数据据包包与与 1100 所所述述类类型型三三的的数数据据包包釆釆用用不不相相同同的的数数据据包包格格式式；；所所述述处处理理模模块块还还设设置置为为：：根根据据接接收收到到的的数数据据包包格格式式区区分分出出所所述述数数据据包包为为类类型型三三的的数数据据包包；；所所述述处处理理模模块块是是设设置置为为按按如如下下方方式式根根据据查查找找结结果果和和用用户户终终端端的的身身份份权权限限对对该该数数据据包包进进行行转转发发或或异异常常处处理理：：

1155 所所述述处处理理模模块块在在所所述述核核心心网网节节点点地地址址中中查查找找该该通通信信对对端端的的身身份份标标识识，，如如果果查查找找到到，，进进行行异异常常处处理理，，结结束束；；如如果果查查找找不不到到，，则则所所述述用用户户终终端端为为普普通通用用户户终终端端 ,,所所述述处处理理模模块块通通过过所所述述互互通通节节点点将将所所述述数数据据包包发发送送到到其其他他网网络络系系统统。。

3300、、如如权权利利要要求求 2288所所述述的的网网络络接接入入节节点点，，其其中中，，所所述述类类型型二二的的数数据据包包与与所所述述类类型型三三的的数数据据包包釆釆用用不不相相同同的的数数据据包包格格式式；；

2200 所所述述处处理理模模块块还还设设置置为为：：根根据据接接收收到到的的数数据据包包格格式式区区分分出出所所述述数数据据包包为为类类型型三三的的数数据据包包；；所所述述处处理理模模块块是是设设置置为为按按如如下下方方式式根根据据查查找找结结果果和和用用户户终终端端的的身身份份权权限限对对该该数数据据包包进进行行转转发发或或异异常常处处理理：：所所述述处处理理模模块块在在所所述述核核心心网网节节点点地地址址中中查查找找该该通通信信对对端端的的身身份份标标识识：：

25 * 如果查找到，所述处理模块提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述处理模块将所述数据包转发给所述通信对端的身份标识对应的核心节点。

31、如权利要求 28所述的网络接入节点，其中，所述类型二的数据包与所述类型三的数据包釆用相同的数据包格式；

所述处理模块是设置为按如下方式根据查找结果和用户终端的身份权限对该数据包进行转发或异常处理：所述处理模块在核心网节点地址中查找所述通信对端的身份标识：如查找不到，所述处理模块通过互通节点将所述数据包转发给所述第二网络，结束；如果查找到，所述处理模块提取所述用户终端的身份权限，并根据提取的身份权限判断所述用户终端是否具有网络管理员权限：如果没有，进行异常处理，结束；如果有，所述处理模块将所述数据包转发给通信对端的身份标识对应的核心节点。

32、如权利要求 30或 31所述的网络接入节点，其中：所述接收模块还设置为：接收认证节点在所述用户终端注册的时候传递的用户的身份权限，并发送给存储模块；所述存储模块还设置为：将用户的身份权限保存于该用户上下文中。

33、如权利要求 32所述的网络接入节点，其中：所述处理模块还设置为：提取管理员用户可管理的核心网节点地址，并判断所述用户终端发送的数据包的通信对端的身份标识是否在所述管理员用户可管理的核心网节点地址中，如果是转发该数据包到目的核心网节点，如果不是进行异常处理。

34、如权利要求 33所述的网络接入节点，其中：所述接收模块还设置为：接收所述认证节点在所述管理员用户注册的时候传递的管理员用户可管理的核心网节点地址，或者与所述认证节点交互接收认证节点传递的管理员用户可管理的核心网节点地址；所述存储模块还设置为：将管理员用户可管理的核心网节点地址保存于该用户终端的用户上下文中，或者保存在所述处理模块判断出该用户终端具有管理员权限后，所述接收模块与所述认证服务器进行交互时获取的所述用户终端可管理的核心网节点地址。

35、如权利要求 25所述的网络接入节点，其中：所述接入节点是服务通用无线分组业务支持节点 (SGSN：)、网关通用无线分组业务支持节点 (GGSN)、分组数据业务节点（PDSN )和宽带接入服务器 (BRAS)设备。