專利名稱：對數(shù)據(jù)流進(jìn)行防攻擊過濾的方法、系統(tǒng)及其重定向設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及移動(dòng)分組數(shù)據(jù)通信技術(shù)領(lǐng)域，尤其是涉及一種對數(shù)據(jù)流進(jìn)行防攻擊過濾的方法及其系統(tǒng)，以及對應(yīng)的重定向設(shè)備。
背景技術(shù)：
在通用分組無線業(yè)務(wù)(GPRS，General Packet Radio Service)/寬帶碼分多址(WCDMA，Wideband Code Division Multiple Access)系統(tǒng)中存在兩個(gè)主要的基本設(shè)備網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN，Gateway GPRS Support Node)和業(yè)務(wù)GPRS支持節(jié)點(diǎn)(SGSN，Serving GPRS Support Node)，其中SGSN的最主要功能是提供通用陸地?zé)o線接入網(wǎng)(UTRAN，UMTS Terrestrial Radio AccessNetwork)/基站子系統(tǒng)(BSS，Base Station Subsystem)的接入功能，GGSN的最主要功能是作為GPRS/WCDMA系統(tǒng)與外部分組數(shù)據(jù)網(wǎng)(PDN，Packet DataNetwork)之間通信的網(wǎng)關(guān)。其中SGSN與GGSN設(shè)備在GPRS/WCDMA系統(tǒng)中的位置示意圖如圖1所示。
移動(dòng)分組數(shù)據(jù)用戶發(fā)往外部分組數(shù)據(jù)網(wǎng)的數(shù)據(jù)業(yè)務(wù)首先要經(jīng)SGSN設(shè)備接入，然后由SGSN發(fā)往GGSN，最后經(jīng)由GGSN發(fā)往外部分組數(shù)據(jù)網(wǎng)。其中為了保護(hù)分組數(shù)據(jù)用戶的通信安全，在GGSN與外部分組數(shù)據(jù)網(wǎng)之間需要設(shè)置防火墻Firewall，通過該設(shè)置的防火墻Firewall來阻止外部分組數(shù)據(jù)網(wǎng)中的非法數(shù)據(jù)流對網(wǎng)內(nèi)分組數(shù)據(jù)用戶可能造成的攻擊。
但是設(shè)置的防火墻雖然阻止了外部分組數(shù)據(jù)網(wǎng)對網(wǎng)內(nèi)分組數(shù)據(jù)用戶可能造成的攻擊，而不能對網(wǎng)內(nèi)各個(gè)分組數(shù)據(jù)用戶之間的通信數(shù)據(jù)流進(jìn)行過濾，即移動(dòng)分組數(shù)據(jù)用戶欲發(fā)送數(shù)據(jù)流給網(wǎng)內(nèi)其他分組數(shù)據(jù)用戶時(shí)，上行來的數(shù)據(jù)流到達(dá)GGSN后，經(jīng)GGSN的簡單過濾處理后就被直接轉(zhuǎn)為下行發(fā)送給移動(dòng)分組數(shù)據(jù)接收用戶。
隨著網(wǎng)內(nèi)分組數(shù)據(jù)用戶之間的通信業(yè)務(wù)逐漸增長，不同分組數(shù)據(jù)用戶之間存在的潛在相互攻擊可能性也隨之增長，然而目前在GPRS/WCDMA系統(tǒng)中只是基于GGSN對網(wǎng)內(nèi)分組數(shù)據(jù)用戶之間的通信數(shù)據(jù)流進(jìn)行過濾處理，GGSN使用包過濾策略對數(shù)據(jù)流進(jìn)行過濾，包過濾策略是一種相對簡單的過濾手段，只能依據(jù)對數(shù)據(jù)報(bào)文的簡單屬性(如源地址、目的地址、源端口號(hào)和目的端口號(hào)等)進(jìn)行判斷來實(shí)現(xiàn)對數(shù)據(jù)報(bào)文的過濾處理，從而實(shí)現(xiàn)一些簡單的過濾，而基于包過濾策略的GGSN對于一些較為復(fù)雜的惡意攻擊是過濾不了的。因此只是使用基于簡單包過濾策略的GGSN來對網(wǎng)內(nèi)分組數(shù)據(jù)用戶之間的通信數(shù)據(jù)流進(jìn)行過濾，是不能滿足用戶的通信安全性要求的。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于提出一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的方法及其系統(tǒng)，以能夠?qū)W(wǎng)內(nèi)分組數(shù)據(jù)用戶之間的通信數(shù)據(jù)流執(zhí)行較為復(fù)雜的防惡意攻擊處理，滿足用戶的通信安全性需求。
相應(yīng)的，本發(fā)明還對應(yīng)提出了一種重定向設(shè)備。
為解決上述問題，本發(fā)明提出的技術(shù)方案如下一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的方法，包括步驟A、移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；B、由防火墻對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。
較佳地，所述步驟A具體包括步驟A1、在移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)的接入網(wǎng)關(guān)中設(shè)置重定向策略，所述重定向策略為將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；A2、所述接入網(wǎng)關(guān)在判斷出接收到的數(shù)據(jù)流為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流時(shí)，根據(jù)所設(shè)置的重定向策略將接收到的數(shù)據(jù)流重定向到防火墻。
較佳地，所述步驟A2中接入網(wǎng)關(guān)根據(jù)接收到的數(shù)據(jù)流的源地址和目的地址來判斷接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流。
較佳地，所述防火墻基于下述過濾處理機(jī)制來對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理包過濾機(jī)制；或代理服務(wù)過濾機(jī)制；或狀態(tài)監(jiān)控過濾機(jī)制。
較佳地，所述移動(dòng)分組數(shù)據(jù)通信系統(tǒng)為通用分組無線業(yè)務(wù)系統(tǒng)；或基于通用分組無線業(yè)務(wù)系統(tǒng)進(jìn)行升級(jí)的第三代移動(dòng)通信系統(tǒng)。
較佳地，所述接入網(wǎng)關(guān)為網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(diǎn)。
一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的系統(tǒng)，包括重定向設(shè)備和防火墻，其中重定向設(shè)備，用于移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；防火墻，用于對所述重定向設(shè)備轉(zhuǎn)發(fā)來的網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。
較佳地，所述重定向設(shè)備具體包括重定向策略設(shè)置單元，用于設(shè)置將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向策略；判斷單元，用于判斷重定向設(shè)備接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流；重定向執(zhí)行單元，用于在所述判斷單元的判斷結(jié)果為是時(shí)，根據(jù)所述重定向策略設(shè)置單元設(shè)置的重定向策略將重定向設(shè)備接收到的數(shù)據(jù)流重定向到防火墻。
較佳地，所述重定向設(shè)備為網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(diǎn)。
一種重定向設(shè)備，包括用于移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向處理單元。
較佳地，所述重定向處理單元具體包括重定向策略設(shè)置子單元，用于設(shè)置將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向策略；判斷子單元，用于判斷重定向設(shè)備接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流；重定向執(zhí)行子單元，用于在所述判斷子單元的判斷結(jié)果為是時(shí)，根據(jù)所述重定向策略設(shè)置子單元設(shè)置的重定向策略將重定向設(shè)備接收到的數(shù)據(jù)流重定向到防火墻。
較佳地，所述重定向設(shè)備為網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(diǎn)。
本發(fā)明能夠達(dá)到的有益效果如下本發(fā)明技術(shù)方案通過移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻，由防火墻對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。從而實(shí)現(xiàn)了基于網(wǎng)絡(luò)設(shè)備的重定向策略和防火墻本身所具有的完善防攻擊過濾策略，來對移動(dòng)分組數(shù)據(jù)通信系統(tǒng)中的接入用戶之間交互的數(shù)據(jù)流進(jìn)行防攻擊過濾處理，因此較好的防止了移動(dòng)分組數(shù)據(jù)通信系統(tǒng)內(nèi)部接入用戶之間的相互惡意攻擊，滿足了用戶的通信安全性需求。


圖1為SGSN與GGSN設(shè)備在GPRS/WCDMA系統(tǒng)中的位置示意圖；圖2為本發(fā)明對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的方法的主要實(shí)現(xiàn)原理流程圖；圖3為應(yīng)用本發(fā)明方法原理在GGSN上設(shè)置重定向策略實(shí)現(xiàn)將網(wǎng)內(nèi)用戶間的數(shù)據(jù)流重定向到防火墻進(jìn)行過濾處理的示意圖；圖4為本發(fā)明對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的系統(tǒng)的主要組成結(jié)構(gòu)框圖；圖5為本發(fā)明系統(tǒng)中重定向設(shè)備的具體組成結(jié)構(gòu)框圖；圖6為本發(fā)明重定向設(shè)備中包括的重定向處理單元的具體組成結(jié)構(gòu)框圖。
具體實(shí)施例方式
考慮到在移動(dòng)分組數(shù)據(jù)通信系統(tǒng)中，隨著接入用戶之間交互業(yè)務(wù)的增長，接入用戶之間存在的潛在相互攻擊也可能在逐漸增加，而如現(xiàn)有技術(shù)中只基于GGSN使用包過濾策略來對網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理，只能較為簡單的防止網(wǎng)內(nèi)接入用戶之間發(fā)起的相互攻擊，而對于一些較為復(fù)雜的網(wǎng)內(nèi)接入用戶之間的相互攻擊是防止不了的，而需要借助于防火墻設(shè)備，基于防火墻設(shè)備中的更為完善的過濾機(jī)制來防止網(wǎng)內(nèi)接入用戶之間的相互攻擊。因此本發(fā)明這里提供了一種技術(shù)方案，以基于網(wǎng)絡(luò)設(shè)備配置的重定向功能，使得接入用戶之間交互的數(shù)據(jù)流可以重定向到防火墻設(shè)備，通過防火墻設(shè)備中配置的較為完善的過濾機(jī)制來實(shí)現(xiàn)對網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。
本發(fā)明方案的設(shè)計(jì)思想主要是在移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)提供一種基于網(wǎng)絡(luò)設(shè)備的重定向策略，使得網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流可以重定向到防火墻設(shè)備上，以通過防火墻設(shè)備本身配置的完善過濾機(jī)制來實(shí)現(xiàn)對網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。
下面將結(jié)合各個(gè)附圖對本發(fā)明方案的主要實(shí)現(xiàn)原理、具體實(shí)施過程及其對應(yīng)的有益效果進(jìn)行詳細(xì)的闡述。
請參照圖2，該圖是本發(fā)明對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的方法的主要實(shí)現(xiàn)原理流程圖，其主要實(shí)現(xiàn)過程如下步驟S10，移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；其中移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)可以通過如下處理過程來將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻首先，在移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)的接入網(wǎng)關(guān)中設(shè)置重定向策略，該重定向策略即為將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；其次，網(wǎng)絡(luò)側(cè)的接入網(wǎng)關(guān)在判斷出接收到的數(shù)據(jù)流為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流時(shí)，根據(jù)自身所設(shè)置的重定向策略將接收到的數(shù)據(jù)流重定向到防火墻，其中接入網(wǎng)關(guān)可以根據(jù)接收到的數(shù)據(jù)流的源地址和目的地址信息來判斷接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流。
步驟S20，由防火墻對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理；其中防火墻可以但不限于基于下述過濾處理機(jī)制來對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理包過濾機(jī)制；或代理服務(wù)過濾機(jī)制；或狀態(tài)監(jiān)控過濾機(jī)制等。
本發(fā)明上述方法所應(yīng)用在的移動(dòng)分組數(shù)據(jù)通信系統(tǒng)可以為GPRS系統(tǒng)，也可以為基于GPRS系統(tǒng)進(jìn)行升級(jí)的第三代移動(dòng)通信系統(tǒng)等，這樣上述所提及的接入網(wǎng)關(guān)即為GPRS系統(tǒng)中或?yàn)榛贕PRS系統(tǒng)進(jìn)行升級(jí)的3G移動(dòng)通信系統(tǒng)中的網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)GGSN。
由此可見，本發(fā)明方法針對現(xiàn)有技術(shù)方案的缺點(diǎn)，通過在核心網(wǎng)接入設(shè)備上設(shè)置重定向策略，從而使得在不改變現(xiàn)有組網(wǎng)方式的情況下，在重定向功能激活時(shí)，可以將MS到MS的數(shù)據(jù)報(bào)文重定向到防火墻上，來實(shí)現(xiàn)后續(xù)的過濾和轉(zhuǎn)發(fā)處理。
下述將以在GPRS網(wǎng)絡(luò)系統(tǒng)中的GGSN上配置重定向策略為例來對本發(fā)明方法原理進(jìn)行更進(jìn)一步的說明通過在GGSN中設(shè)置對網(wǎng)內(nèi)MS到MS的數(shù)據(jù)報(bào)文指定下一跳地址的方式，這里即把防火墻設(shè)備的地址作為網(wǎng)內(nèi)MS到MS數(shù)據(jù)報(bào)文重定向的下一跳地址，從而實(shí)現(xiàn)在GGSN中設(shè)置將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向策略；這樣GGSN本身就會(huì)根據(jù)該種重定向策略來將接收到的網(wǎng)內(nèi)MS到MS的數(shù)據(jù)報(bào)文重定向轉(zhuǎn)發(fā)給防火墻；防火墻接收到GGSN重定向轉(zhuǎn)發(fā)來的數(shù)據(jù)報(bào)文后，可以根據(jù)自身配置的過濾機(jī)制來對接收數(shù)據(jù)報(bào)文進(jìn)行防攻擊過濾處理，然后根據(jù)該數(shù)據(jù)報(bào)文的目的地址來進(jìn)行下一步的轉(zhuǎn)發(fā)，例如將過濾處理后的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)回GGSN，由GGSN進(jìn)而再向下發(fā)送給另一MS。
請參照圖3，該圖為應(yīng)用本發(fā)明方法原理在GGSN上設(shè)置重定向策略實(shí)現(xiàn)將網(wǎng)內(nèi)用戶間的數(shù)據(jù)流重定向到防火墻進(jìn)行過濾處理的示意圖，其中對于MS發(fā)送到Internet的數(shù)據(jù)流，其傳輸處理過程同現(xiàn)有技術(shù)一致，即由MS先經(jīng)SGSN，再到GGSN，經(jīng)過防火墻過濾處理之后到達(dá)Internet；對于從Internet上發(fā)來數(shù)據(jù)流轉(zhuǎn)發(fā)到MS的傳輸處理過程也同現(xiàn)有技術(shù)保持一致性，即先經(jīng)由防火墻過濾處理之后，到達(dá)GGSN，再經(jīng)SGSN到達(dá)MS。其中對應(yīng)于本發(fā)明方案原理有所改變的是網(wǎng)內(nèi)用戶之間(MS->MS)的數(shù)據(jù)流傳輸走向，在未應(yīng)用本發(fā)明方案原理之前，GGSN直接對MS->MS的數(shù)據(jù)流進(jìn)行簡單的過濾處理之后直接轉(zhuǎn)發(fā)到SGSN進(jìn)行下行傳輸給MS，而不會(huì)進(jìn)而轉(zhuǎn)發(fā)到防火墻設(shè)備；在應(yīng)用了本發(fā)明方案原理之后，為更好的避免MS->MS的非法攻擊，將采取防火墻過濾機(jī)制，具體為GGSN在判斷出接收到的數(shù)據(jù)報(bào)文為網(wǎng)內(nèi)MS->MS的數(shù)據(jù)報(bào)文時(shí)，則會(huì)根據(jù)自身預(yù)先設(shè)置的重定向策略中配置的下一跳地址(即防火墻地址)，將接收到的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給防火墻，由防火墻對MS->MS的數(shù)據(jù)報(bào)文進(jìn)行防攻擊過濾處理，最后再將過濾處理之后的數(shù)據(jù)報(bào)文通過下行發(fā)送給MS。
綜上所述，本發(fā)明方案通過使用基于網(wǎng)絡(luò)設(shè)備的重定向策略和防火墻本身所具有的完善防攻擊過濾策略，來對移動(dòng)分組數(shù)據(jù)通信系統(tǒng)中的接入用戶之間交互的數(shù)據(jù)流進(jìn)行防攻擊過濾處理，可以較好的防止移動(dòng)分組數(shù)據(jù)通信系統(tǒng)內(nèi)部接入用戶之間的相互惡意攻擊，滿足了用戶的通信安全性需求。
相應(yīng)于本發(fā)明上述提出的方法，本發(fā)明這里還提出了一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的系統(tǒng)，請參照圖4，該圖是本發(fā)明對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的系統(tǒng)的主要組成結(jié)構(gòu)框圖，其主要包括重定向設(shè)備10和防火墻20，其中各個(gè)組成部分的主要作用如下重定向設(shè)備10，主要用于移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流重定向到防火墻20；防火墻20，主要用于對上述重定向設(shè)備10重定向轉(zhuǎn)發(fā)來的網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流基于自身配置的過濾機(jī)制，執(zhí)行對應(yīng)的防攻擊過濾處理。
請參照圖5，該圖是本發(fā)明系統(tǒng)中重定向設(shè)備的具體組成結(jié)構(gòu)框圖，其中重定向設(shè)備10主要包括重定向策略設(shè)置單元101、判斷單元102和重定向執(zhí)行單元103，其中各個(gè)組成單元的具體作用如下重定向策略設(shè)置單元101，用于預(yù)先設(shè)置將網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流重定向到防火墻20的重定向策略；判斷單元102，用于判斷重定向設(shè)備10接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流，其中判斷單元20可以根據(jù)重定向設(shè)備10接收到的數(shù)據(jù)流的源地址和目的地址信息來判斷重定向設(shè)備10接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流；重定向執(zhí)行單元103，用于在上述判斷單元102的判斷結(jié)果為是時(shí)，根據(jù)上述重定向策略設(shè)置單元101預(yù)先設(shè)置的重定向策略將重定向設(shè)備10接收到的數(shù)據(jù)流重定向轉(zhuǎn)發(fā)到防火墻20進(jìn)行防攻擊過濾處理。
其中上述重定向設(shè)備可以為GPRS系統(tǒng)中的網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)GGSN。
同理，相應(yīng)于本發(fā)明上述提出的方法及其系統(tǒng)，本發(fā)明這里還進(jìn)而提出了一種重定向設(shè)備，包括用于移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向處理單元，請參照圖6，該圖是本發(fā)明重定向設(shè)備中包括的重定向處理單元的具體組成結(jié)構(gòu)框圖，其主要包括重定向策略設(shè)置子單元200、判斷子單元300和重定向執(zhí)行子單元400，這三個(gè)組成單元的具體作用如下
重定向策略設(shè)置子單元200，主要用于預(yù)先設(shè)置將網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向策略；判斷子單元300，主要用于判斷重定向設(shè)備接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流；其中判斷子單元300可以根據(jù)重定向設(shè)備接收到的數(shù)據(jù)流的源地址和目的地址信息來判斷重定向設(shè)備接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)接入用戶之間交互的數(shù)據(jù)流；重定向執(zhí)行子單元400，主要用于在上述判斷子單元300的判斷結(jié)果為是時(shí)，根據(jù)上述重定向策略設(shè)置子單元200預(yù)先設(shè)置的重定向策略，將重定向設(shè)備接收到的數(shù)據(jù)流重定向轉(zhuǎn)發(fā)到防火墻進(jìn)行防攻擊過濾處理。
較優(yōu)地，本發(fā)明這里提出的重定向設(shè)備可以為GPRS系統(tǒng)中的網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)GGSN。
顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的方法，其特征在于，包括步驟A、移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；B、由防火墻對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。
2.如權(quán)利要求1所述的方法，其特征在于，所述步驟A具體包括步驟A1、在移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)的接入網(wǎng)關(guān)中設(shè)置重定向策略，所述重定向策略為將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；A2、所述接入網(wǎng)關(guān)在判斷出接收到的數(shù)據(jù)流為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流時(shí)，根據(jù)所設(shè)置的重定向策略將接收到的數(shù)據(jù)流重定向到防火墻。
3.如權(quán)利要求2所述的方法，其特征在于，所述步驟A2中接入網(wǎng)關(guān)根據(jù)接收到的數(shù)據(jù)流的源地址和目的地址來判斷接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流。
4.如權(quán)利要求1所述的方法，其特征在于，所述防火墻基于下述過濾處理機(jī)制來對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理包過濾機(jī)制；或代理服務(wù)過濾機(jī)制；或狀態(tài)監(jiān)控過濾機(jī)制。
5.如權(quán)利要求2或3所述的方法，其特征在于，所述移動(dòng)分組數(shù)據(jù)通信系統(tǒng)為通用分組無線業(yè)務(wù)系統(tǒng)；或基于通用分組無線業(yè)務(wù)系統(tǒng)進(jìn)行升級(jí)的第三代移動(dòng)通信系統(tǒng)。
6.如權(quán)利要求5所述的方法，其特征在于，所述接入網(wǎng)關(guān)為網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(diǎn)。
7.一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的系統(tǒng)，其特征在于，包括重定向設(shè)備和防火墻，其中重定向設(shè)備，用于移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；防火墻，用于對所述重定向設(shè)備轉(zhuǎn)發(fā)來的網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。
8.如權(quán)利要求7所述的系統(tǒng)，其特征在于，所述重定向設(shè)備具體包括重定向策略設(shè)置單元，用于設(shè)置將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向策略；判斷單元，用于判斷重定向設(shè)備接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流；重定向執(zhí)行單元，用于在所述判斷單元的判斷結(jié)果為是時(shí)，根據(jù)所述重定向策略設(shè)置單元設(shè)置的重定向策略將重定向設(shè)備接收到的數(shù)據(jù)流重定向到防火墻。
9.如權(quán)利要求7或8所述的系統(tǒng)，其特征在于，所述重定向設(shè)備為網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(diǎn)。
10.一種重定向設(shè)備，其特征在于，包括用于移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向處理單元。
11.如權(quán)利要求10所述的設(shè)備，其特征在于，所述重定向處理單元具體包括重定向策略設(shè)置子單元，用于設(shè)置將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻的重定向策略；判斷子單元，用于判斷重定向設(shè)備接收到的數(shù)據(jù)流是否為網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流；重定向執(zhí)行子單元，用于在所述判斷子單元的判斷結(jié)果為是時(shí)，根據(jù)所述重定向策略設(shè)置子單元設(shè)置的重定向策略將重定向設(shè)備接收到的數(shù)據(jù)流重定向到防火墻。
12.如權(quán)利要求10或11所述的設(shè)備，其特征在于，所述重定向設(shè)備為網(wǎng)關(guān)通用分組無線業(yè)務(wù)支持節(jié)點(diǎn)。
全文摘要
本發(fā)明公開了一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的方法，包括步驟移動(dòng)分組數(shù)據(jù)通信系統(tǒng)網(wǎng)絡(luò)側(cè)將網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流重定向到防火墻；由防火墻對網(wǎng)內(nèi)用戶之間交互的數(shù)據(jù)流執(zhí)行防攻擊過濾處理。相應(yīng)的，本發(fā)明還公開了一種對網(wǎng)內(nèi)用戶間的通信數(shù)據(jù)流進(jìn)行防攻擊過濾的系統(tǒng)及其對應(yīng)的重定向設(shè)備。本發(fā)明能夠?qū)W(wǎng)內(nèi)分組數(shù)據(jù)用戶之間的通信數(shù)據(jù)流執(zhí)行較為復(fù)雜的防惡意攻擊處理，滿足用戶的通信安全性需求。
文檔編號(hào)H04L12/24GK1845528SQ200610000908
公開日2006年10月11日 申請日期2006年1月12日 優(yōu)先權(quán)日2006年1月12日
發(fā)明者王旭, 朱泉, 侯志鵬, 胡玉勝 申請人:華為技術(shù)有限公司