專利名稱:一種防止接入用戶之間攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及GPRS接入技術(shù)領(lǐng)域,特別是指一種防止接入用戶之間攻擊的方法�。
背景技術(shù):
如圖1示出了GPRS/WCDMA網(wǎng)絡(luò)結(jié)構(gòu)。其中���,GGSN和SGSN是GPRS/WCDMA分組域核心網(wǎng)中的兩個(gè)基本設(shè)備���。SGSN的主要功能是提供UTRAN/BSS的接入功能,GGSN的主要功能是作為GPRS/WCDMA系統(tǒng)與外部分組數(shù)據(jù)網(wǎng)(PDN)之間的網(wǎng)關(guān)�。接入用戶(TE,Terminal Equipment)發(fā)起的數(shù)據(jù)業(yè)務(wù)經(jīng)SGSN設(shè)備接入�,然后發(fā)往GGSN,然后經(jīng)由GGSN發(fā)往外部分組數(shù)據(jù)網(wǎng)����,接收數(shù)據(jù)的過程可以認(rèn)為是發(fā)起數(shù)據(jù)的逆過程。
為了保護(hù)接入用戶不被攻擊���,在GGSN與外部分組數(shù)據(jù)網(wǎng)(一般為Internet)之間通常設(shè)置有防火墻(Firewall)����。由防火墻阻止可能存在的來自外部分組數(shù)據(jù)網(wǎng)的非法數(shù)據(jù)流對(duì)接入用戶的攻擊。
隨著接入用戶業(yè)務(wù)的增長���,接入用戶之間潛在的互相攻擊的可能性也在逐漸增加�。而防火墻所處的網(wǎng)絡(luò)結(jié)構(gòu)的位置�,決定了其作用是用來過濾來自外部分組數(shù)據(jù)網(wǎng)的非法數(shù)據(jù)流,而無法對(duì)接入用戶之間的數(shù)據(jù)流進(jìn)行過濾����。下面進(jìn)行分析從圖1示出的網(wǎng)絡(luò)結(jié)構(gòu)可以看出,接入用戶之間傳送數(shù)據(jù)時(shí)��,TE將數(shù)據(jù)流經(jīng)SGSN上傳到GGSN��,GGSN將數(shù)據(jù)流處理后便直接經(jīng)SGSN下發(fā)給另一TE���,數(shù)據(jù)流不會(huì)經(jīng)過防火墻�。
若采用在GGSN和下級(jí)設(shè)備如SGSN之間增加防火墻來對(duì)TE之間傳輸?shù)臄?shù)據(jù)流進(jìn)行檢測以防范攻擊的話�,則會(huì)增加組網(wǎng)成本,并且,來自外部分組數(shù)據(jù)網(wǎng)的數(shù)據(jù)包會(huì)經(jīng)過兩個(gè)防火墻才能傳遞給TE��,勢(shì)必會(huì)降低TE與外部分組數(shù)據(jù)網(wǎng)的數(shù)據(jù)傳輸速度��。
因此��,目前防止接入用戶之間攻擊的方法是直接由GGSN實(shí)現(xiàn)簡單的報(bào)文包過濾����,實(shí)現(xiàn)對(duì)接入用戶之間傳遞的數(shù)據(jù)流進(jìn)行檢測過濾���,防止接入用戶間的攻擊�。包過濾是一種簡單的過濾手段����,只能通過數(shù)據(jù)報(bào)文的簡單屬性,如源地址���、目的地址���、源端口、目的端口����、TTL等參數(shù)進(jìn)行過濾����。但是基于GGSN檢測的包過濾策略只能在有限程度內(nèi)防止接入用戶之間的攻擊����,對(duì)于接入用戶采用的復(fù)雜攻擊是難以防止的。這個(gè)原因也不難理解GGSN本身并不是專用的防火墻設(shè)備�,故難以達(dá)到防火墻高級(jí)別的防止復(fù)雜攻擊的能力,不能滿足較高的安全性要求���。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供一種防止接入用戶之間攻擊的方法�����,使得在不改變現(xiàn)有網(wǎng)絡(luò)的情況下實(shí)現(xiàn)滿足防火墻級(jí)別的對(duì)接入用戶之間攻擊的防范��。
實(shí)現(xiàn)本發(fā)明的防止接入用戶之間攻擊的方法���,在接入設(shè)備與外部分組數(shù)據(jù)網(wǎng)絡(luò)之間設(shè)置有防火墻,包括以下步驟A�����、接入設(shè)備接收到上傳的報(bào)文,判斷該報(bào)文是否為發(fā)送給另一接入用戶的報(bào)文�����,若是��,則將該報(bào)文發(fā)送給防火墻��;B�、防火墻接收到所述的報(bào)文�,進(jìn)行防火墻檢測過濾后將合法報(bào)文發(fā)送回接入設(shè)備;C����、接入設(shè)備將所述報(bào)文下發(fā)給相應(yīng)的接入用戶。
可選的�����,步驟A所述將該報(bào)文發(fā)送給防火墻前進(jìn)一步包括將報(bào)文加入指定的報(bào)文頭����;步驟B所述接收到所述的報(bào)文后進(jìn)一步包括去除該報(bào)文的指定報(bào)文頭。
可選的,接入設(shè)備設(shè)置有檢測規(guī)則�����,判斷報(bào)文需要檢測時(shí)����,加入所述指定的報(bào)文頭。
較佳的���,指定的報(bào)文頭中還包括是否需要防火墻檢測的標(biāo)志位�;步驟B進(jìn)一步包括防火墻根據(jù)該標(biāo)志位確定是否進(jìn)行檢測��。
步驟B所述防火墻檢測過濾的步驟包括由防火墻根據(jù)報(bào)文源地址�����、目的地址���、源端口�、目的端口���、TTL1參數(shù)進(jìn)行檢測�,根據(jù)所配置的過濾規(guī)則進(jìn)行過濾。進(jìn)一步包括對(duì)報(bào)文封裝的數(shù)據(jù)進(jìn)行檢測�����,或/和將報(bào)文封裝的數(shù)據(jù)重組后進(jìn)行檢測���。
可選的�,所述接入設(shè)備為GGSN�。
由上述方法可以看出,本發(fā)明由接入設(shè)備GGSN和防火墻設(shè)備配合來實(shí)現(xiàn)接入用戶之間報(bào)文的防火墻過濾�����,防止接入用戶之間的非法攻擊���。本發(fā)明的實(shí)現(xiàn)方法不需要對(duì)現(xiàn)有的組網(wǎng)方式進(jìn)行改動(dòng),不需要另外設(shè)置防火墻���,實(shí)現(xiàn)在不改變網(wǎng)絡(luò)結(jié)構(gòu)情況下的基于防火墻的過濾機(jī)制���,能夠滿足防火墻級(jí)別的高安全性要求。并由于未對(duì)現(xiàn)有組網(wǎng)進(jìn)行改動(dòng)而保持了低成本����。
圖1為GPRS/WCDMA網(wǎng)絡(luò)結(jié)構(gòu)圖�����。
圖2為GGSN和防火墻配合進(jìn)行數(shù)據(jù)檢測圖��。
圖3為本發(fā)明對(duì)接入用戶之間數(shù)據(jù)流的檢測流程圖����。
具體實(shí)施例方式
本發(fā)明在未改變現(xiàn)有組網(wǎng)結(jié)構(gòu)的基礎(chǔ)上�����,通過GGSN和防火墻設(shè)備的相互配合�����,來實(shí)現(xiàn)對(duì)接入用戶之間的數(shù)據(jù)流進(jìn)行檢測過濾����,從而達(dá)到對(duì)接入用戶之間的攻擊進(jìn)行防范。下面參見附圖�����,對(duì)本發(fā)明的防止接入用戶之間攻擊的方法進(jìn)行詳細(xì)描述。
仍然采用圖1示出的網(wǎng)絡(luò)結(jié)構(gòu)圖���,防火墻仍設(shè)置在GGSN和外部分組數(shù)據(jù)網(wǎng)之間��。如圖2和圖3所示��,該方法包括以下步驟步驟301接入設(shè)備GGSN接收到經(jīng)SGSN上傳的TE發(fā)送的報(bào)文����,GGSN判斷該報(bào)文是否為發(fā)送給另一接入用戶的報(bào)文����,可以根據(jù)GGSN上記錄的TE地址配置信息,對(duì)該報(bào)文的目的地址進(jìn)行判斷�����,當(dāng)判斷出該報(bào)文是發(fā)送給另一用戶的報(bào)文時(shí)�,則對(duì)該報(bào)文加入指定的報(bào)文頭�,然后將該報(bào)文發(fā)送給防火墻。這里的指定報(bào)文頭的格式可以由GGSN和防火墻協(xié)商���,以保證雙方都能識(shí)別出該報(bào)文頭���。
另外�,還可以預(yù)先在GGSN上設(shè)置檢測策略����,例如可以指定不對(duì)來自信任的TE的報(bào)文進(jìn)行檢測。這樣�,在步驟301中,當(dāng)判斷出GGSN設(shè)置的策略是不需要對(duì)某TE的報(bào)文進(jìn)行過濾時(shí)�����,可以不對(duì)該報(bào)文加入所述指定的報(bào)文頭���,或者通過設(shè)置報(bào)文頭中所包含的某標(biāo)志位表示不將對(duì)該報(bào)文進(jìn)行檢測��。
一個(gè)報(bào)文頭的實(shí)現(xiàn)方式可以為報(bào)文頭中可包括標(biāo)識(shí)報(bào)文的序列號(hào)和標(biāo)志位等信息�����,其中標(biāo)志位可以用來表示該報(bào)文是否需要防火墻進(jìn)行檢測�����。下面給出了一個(gè)構(gòu)造報(bào)文的例子���,報(bào)文可以構(gòu)造為Sequence Number+Flag+Length+(UDP/IP原始數(shù)據(jù)報(bào)文)�,Sequence Number即為上述的序列號(hào)��,F(xiàn)lag即為上述的標(biāo)志位�,Length表示后面報(bào)文的長度。當(dāng)然���,GGSN在向防火墻傳送該報(bào)文時(shí)���,還要封裝防火墻的地址,這里不再說明��。
步驟302防火墻接收到報(bào)文后�,根據(jù)報(bào)文攜帶的指定報(bào)文頭判斷出是GGSN發(fā)送上來的報(bào)文,則去掉指定的報(bào)文頭����,繼續(xù)進(jìn)行標(biāo)準(zhǔn)的防火墻檢測過濾,將檢測到的不正常的報(bào)文過濾掉��,不再進(jìn)行轉(zhuǎn)發(fā)���。
若步驟301中的報(bào)文頭設(shè)置了是否進(jìn)行檢測的標(biāo)志位�,防火墻還要根據(jù)該標(biāo)志位確定是否進(jìn)行檢測�。
其中,可以充分利用防火墻所提供的功能對(duì)報(bào)文進(jìn)行檢測����。可以由防火墻根據(jù)報(bào)文源地址����、目的地址、源端口�、目的端口、TTL等參數(shù)進(jìn)行檢測過濾�。例如可以預(yù)先在防火墻上配置針對(duì)源地址和目的地址的過濾規(guī)則,也可以針對(duì)一些協(xié)議端口配置過濾規(guī)則��,例如如果需要禁止MS1到MS2的報(bào)文(即防止MS1到MS2的攻擊)����,就可以在防火墻上配置禁止源地址為MS1目的地址為MS2的數(shù)據(jù)報(bào)文通過的規(guī)則,此時(shí)該類報(bào)文就會(huì)被丟棄而不會(huì)再下發(fā)給GGSN���。不僅如此��,還可利用防火墻進(jìn)行更復(fù)雜的檢測�����,例如在防火墻上設(shè)置報(bào)文內(nèi)容的檢測規(guī)則��,防火墻可以根據(jù)報(bào)文內(nèi)容�����、即封裝的數(shù)據(jù)進(jìn)行檢測�,以及將封裝的數(shù)據(jù)重組后,進(jìn)行上層數(shù)據(jù)的檢測等等��。
步驟303防火墻將檢測后正常的上述報(bào)文下發(fā)給GGSN����,由GGSN進(jìn)行正常報(bào)文的轉(zhuǎn)發(fā),下發(fā)給相應(yīng)的接入用戶�。
以上過程可以看出,該過程不需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行改動(dòng)����,不需要增加新的防火墻。并且對(duì)防火墻原有的針對(duì)外部分組數(shù)據(jù)網(wǎng)和GPRS核心網(wǎng)的防火檢測功能不會(huì)產(chǎn)生影響���。如原先TE到Internet的數(shù)據(jù)流一切不變�,仍為由TE經(jīng)SGSN到GGSN�,經(jīng)過防火墻之后到達(dá)Internet;而Internet到TE的數(shù)據(jù)流也不變����,仍為經(jīng)由防火墻過濾到GGSN,再經(jīng)SGSN到達(dá)TE����。
本例中以GPRS/WCDMA網(wǎng)絡(luò)結(jié)構(gòu)來說明本發(fā)明。對(duì)于不同的網(wǎng)絡(luò)結(jié)構(gòu)�,其組網(wǎng)實(shí)體會(huì)存在區(qū)別,因此�����,對(duì)于上述的GGSN����,在其他網(wǎng)絡(luò)結(jié)構(gòu)中也許是其他的實(shí)體來實(shí)現(xiàn),只要是和GGSN功能基本相同的實(shí)體���,使用本發(fā)明的方法均可以實(shí)現(xiàn)接入用戶之間相互攻擊的防范��。
以上所述僅為本發(fā)明的較佳實(shí)施例而已��,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種防止接入用戶之間攻擊的方法���,接入設(shè)備與外部分組數(shù)據(jù)網(wǎng)絡(luò)之間設(shè)置有防火墻,其特征在于����,包括以下步驟A、接入設(shè)備接收到上傳的報(bào)文��,判斷該報(bào)文是否為發(fā)送給另一接入用戶的報(bào)文,若是����,則將該報(bào)文發(fā)送給防火墻;B���、防火墻接收到所述的報(bào)文,進(jìn)行防火墻檢測過濾后將確認(rèn)為合法的報(bào)文發(fā)送回接入設(shè)備�;C、接入設(shè)備將所述報(bào)文下發(fā)給接收該報(bào)文的接入用戶�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,步驟A所述將該報(bào)文發(fā)送給防火墻前進(jìn)一步包括將報(bào)文加入指定的報(bào)文頭���;步驟B所述接收到所述的報(bào)文后進(jìn)一步包括去除該報(bào)文的指定報(bào)文頭���。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�����,進(jìn)一步包括接入設(shè)備設(shè)置有檢測規(guī)則�����,由檢測規(guī)則判斷所述報(bào)文需要檢測時(shí)�����,加入所述指定的報(bào)文頭���。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于���,指定的報(bào)文頭中進(jìn)一步包括是否需要防火墻檢測的標(biāo)志位�;步驟B進(jìn)一步包括防火墻根據(jù)該標(biāo)志位確定是否對(duì)該報(bào)文進(jìn)行檢測����。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述接入設(shè)備為GGSN����。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于���,步驟B所述防火墻檢測過濾的步驟包括由防火墻根據(jù)報(bào)文源地址�、目的地址�、源端口�����、目的端口���、TTL1參數(shù)進(jìn)行檢測�,根據(jù)所配置的過濾規(guī)則進(jìn)行過濾�。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于�����,進(jìn)一步包括對(duì)報(bào)文封裝的數(shù)據(jù)進(jìn)行檢測���,或/和將報(bào)文封裝的數(shù)據(jù)重組后進(jìn)行檢測����。
全文摘要
本發(fā)明提供了一種防止接入用戶之間攻擊的方法,接入設(shè)備與外部分組數(shù)據(jù)網(wǎng)絡(luò)之間設(shè)置有防火墻���,該方法包括以下步驟A.接入設(shè)備接收到上傳的報(bào)文���,判斷該報(bào)文是否為發(fā)送給另一接入用戶的報(bào)文,若是�,則將該報(bào)文發(fā)送給防火墻;B.防火墻接收到所述的報(bào)文����,進(jìn)行防火墻檢測過濾后將合法報(bào)文發(fā)送回接入設(shè)備;C.接入設(shè)備將所述報(bào)文下發(fā)給相應(yīng)的接入用戶���。使用本發(fā)明��,可以在不改變現(xiàn)有網(wǎng)絡(luò)的情況下�,實(shí)現(xiàn)防火墻級(jí)別的對(duì)接入用戶之間攻擊的防范����。
文檔編號(hào)H04L29/06GK1832450SQ20051005355
公開日2006年9月13日 申請(qǐng)日期2005年3月8日 優(yōu)先權(quán)日2005年3月8日
發(fā)明者王旭, 胡玉勝 申請(qǐng)人:華為技術(shù)有限公司