專利名稱::一種在通信網(wǎng)絡(luò)系統(tǒng)中進(jìn)行分散式安全控制的方法和裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信網(wǎng)絡(luò)系統(tǒng)的安全控制,特別涉及一種通信網(wǎng)絡(luò)系統(tǒng)中分散式安全控制的方法和裝置。
背景技術(shù):
:隨著網(wǎng)絡(luò)技術(shù)的演進(jìn),以及越來越多的用戶設(shè)備要求接入英特網(wǎng),運(yùn)營商對(duì)于網(wǎng)絡(luò)的安全性和可運(yùn)營性提出了更高的要求,特別是如何在無線終止設(shè)備等網(wǎng)絡(luò)設(shè)備上建立并執(zhí)行網(wǎng)絡(luò)安全控制機(jī)制變得越來越重要。在固定網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)融合(FMC,FixedMobileConvergence)的技術(shù)發(fā)展趨勢(shì)下,無線局域網(wǎng)技術(shù)(WLAN,WirelessLAN)將發(fā)揮重要作用,特別是802.11無線局域網(wǎng)和DSL(DigitalSubscribeLine,數(shù)字用戶線路)技術(shù)相結(jié)合的情形,其中IETF(InternetEngineeringTaskForce,因特網(wǎng)工程任務(wù)組)的CAPWAP(ControlAndProvisioningofWirelessAccessPoints)工作組定義的集中式無線局域網(wǎng)架構(gòu)(CentralizedWLANarchitecture)是目前部署這樣的無線網(wǎng)絡(luò)的優(yōu)選方案。在該架構(gòu)下,WTP(WirelessTerminationPoint,無線終止i殳備)與AC(AccessController,接入控制器)之間使用CAPWAP協(xié)議進(jìn)行通信,轉(zhuǎn)發(fā)控制信息和數(shù)據(jù)信息。在現(xiàn)有技術(shù)(如現(xiàn)有的RFC4118CAPWAP協(xié)議)中,無線終止設(shè)備僅僅對(duì)來自無線局域網(wǎng)中的用戶終端的數(shù)據(jù)包的源MAC地址進(jìn)行合法性檢查,因此也無法防止某些惡意用戶終端通過利用別的用戶終端的IP地址向無線終止設(shè)備甚至接入節(jié)點(diǎn)設(shè)備發(fā)送大量惡意數(shù)據(jù)包,從而對(duì)網(wǎng)絡(luò)發(fā)起攻擊(比如DoS攻擊,DenialofService)。因此在現(xiàn)有技術(shù)中無線終止設(shè)備在網(wǎng)絡(luò)安全控制方面起的作用非常有限,不能起到防止IP地址欺騙(IPaddressanti-spoofmg)等網(wǎng)絡(luò)安全控制的作用。另外,現(xiàn)有技術(shù)中接入控制器并沒有將更多的諸如IP地址等可用于網(wǎng)絡(luò)安全控制的參數(shù)實(shí)時(shí)地配置給無線終止設(shè)備等網(wǎng)絡(luò)設(shè)備,也進(jìn)一步限制了無線終止設(shè)備這些更靠近用戶終端的網(wǎng)絡(luò)設(shè)備發(fā)揮更強(qiáng)的網(wǎng)絡(luò)安全控制功能,從而也限制了整個(gè)通信網(wǎng)絡(luò)系統(tǒng)的安全性。而事實(shí)上,隨著網(wǎng)絡(luò)的演進(jìn)和技術(shù)的發(fā)展,如何使得那些更靠近用戶終端的網(wǎng)絡(luò)設(shè)備發(fā)揮更強(qiáng)的網(wǎng)絡(luò)安全控制功能,已成為增強(qiáng)整個(gè)通信網(wǎng)絡(luò)系統(tǒng)安全的重要可行途徑之一。
發(fā)明內(nèi)容本發(fā)明正是為了進(jìn)一步提高現(xiàn)有技術(shù)中的無線終止設(shè)備等更靠近用戶終端的網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)安全控制方面所起的作用而提出的。通過本發(fā)明,提出了一種在通信網(wǎng)絡(luò)系統(tǒng)中進(jìn)行分散式安全控制的方法,涉及網(wǎng)絡(luò)控制設(shè)備和第二網(wǎng)絡(luò)設(shè)備,其中,網(wǎng)絡(luò)控制設(shè)備負(fù)責(zé)動(dòng)態(tài)創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,并將創(chuàng)建好的網(wǎng)絡(luò)安全控制機(jī)制配置給第二網(wǎng)絡(luò)設(shè)備;而第二網(wǎng)絡(luò)設(shè)備在負(fù)責(zé)解釋和執(zhí)行網(wǎng)絡(luò)安全控制機(jī)制,對(duì)它所接收到的數(shù)據(jù)包進(jìn)行合法性檢查并進(jìn)行相應(yīng)處理,從而保證網(wǎng)絡(luò)安全。根據(jù)本發(fā)明的第一方面,提供了一種在通信網(wǎng)絡(luò)系統(tǒng)中進(jìn)行分散式安全控制的方法,所述通信網(wǎng)絡(luò)包括網(wǎng)絡(luò)控制設(shè)備和一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備,以及一個(gè)或多個(gè)用戶終端,首先,所述網(wǎng)絡(luò)控制設(shè)備動(dòng)態(tài)創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,所述網(wǎng)絡(luò)安全控制機(jī)制用于在所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備上對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;其次,所述網(wǎng)絡(luò)控制設(shè)備將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備;最后,所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備根據(jù)所述網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不符杏所述網(wǎng)絡(luò)安全控制機(jī)制,則丟棄該數(shù)據(jù)包。根據(jù)本發(fā)明的第二方面,提供了一種在通信網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)控制設(shè)備中用于引導(dǎo)所述通信網(wǎng)絡(luò)系統(tǒng)中的一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備進(jìn)行分散式安全控制的方法,其中所述通信網(wǎng)絡(luò)系統(tǒng)還包括一個(gè)或多個(gè)用戶終端,在該方法中,網(wǎng)絡(luò)控制設(shè)備首先創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,所述網(wǎng)絡(luò)安全控制機(jī)制用于在所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備上對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;其次將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備。根據(jù)本發(fā)明的第三方面,提供了一種在通信網(wǎng)絡(luò)系統(tǒng)的第二網(wǎng)絡(luò)設(shè)備中進(jìn)行分散式安全控制的方法,其中,所述通信網(wǎng)絡(luò)還包括網(wǎng)絡(luò)控制設(shè)備和一個(gè)或多個(gè)所述第二網(wǎng)絡(luò)設(shè)備,以及一個(gè)或多個(gè)用戶終端,在該方法中,第二網(wǎng)絡(luò)設(shè)備首先接收來自所述網(wǎng)絡(luò)控制設(shè)備的網(wǎng)絡(luò)安全控制機(jī)制;其次,根據(jù)所述網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制規(guī)則,則丟棄該數(shù)據(jù)包。根據(jù)本發(fā)明的第四方面,提供了一種在通信網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)控制設(shè)備中用于引導(dǎo)所述通信網(wǎng)絡(luò)系統(tǒng)中的一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備進(jìn)行分散式安全控制的裝置,所述通信網(wǎng)絡(luò)系統(tǒng)還包括一個(gè)或多個(gè)用戶終端,該裝置包括創(chuàng)建裝置和配置裝置,其中,創(chuàng)建裝置用于創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,所述網(wǎng)絡(luò)安全控制機(jī)制用于在所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備上對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;配置裝置用于將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備。根據(jù)本發(fā)明的第五方面,提供了一種在通信網(wǎng)絡(luò)系統(tǒng)的第二網(wǎng)絡(luò)設(shè)備中進(jìn)行分散式安全控制的裝置,其中,所述通信網(wǎng)絡(luò)還包括網(wǎng)絡(luò)控制設(shè)備和一個(gè)或多個(gè)所述第二網(wǎng)絡(luò)設(shè)備,以及一個(gè)或多個(gè)用戶終端,該裝置包括配置裝置和檢查裝置,其中配置裝置用于接收來自所述網(wǎng)絡(luò)控制設(shè)備的網(wǎng)絡(luò)安全控制機(jī)制;檢查裝置用于根據(jù)所述網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制規(guī)則,則丟棄該數(shù)據(jù)包。通過使用本發(fā)明提供的方法和裝置,在通信網(wǎng)絡(luò)中通過網(wǎng)絡(luò)控制設(shè)備和第二網(wǎng)絡(luò)設(shè)備之間的協(xié)作,完成對(duì)通過第二網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)包的合法性檢查,從而提高通信網(wǎng)絡(luò)的安全性。同時(shí),由于網(wǎng)絡(luò)安全控制機(jī)制在網(wǎng)絡(luò)控制設(shè)備上完成動(dòng)態(tài)創(chuàng)建,不僅可動(dòng)態(tài)改變網(wǎng)絡(luò)安全檢查規(guī)則,還可以動(dòng)態(tài)改變網(wǎng)絡(luò)安全檢查參數(shù),從而提高了無線終止設(shè)備等更靠近用戶終端的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全控制能力,并從整體上提高整個(gè)通信網(wǎng)絡(luò)系統(tǒng)的安全性。通過閱讀以下參照附圖對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯。圖1示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的通信網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)示意圖2示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的分散式網(wǎng)絡(luò)安全控制方法的消息流圖3示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的接入控制器中的分散式網(wǎng)絡(luò)安全控制的裝置;圖4示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的無線終止設(shè)備中的分散式網(wǎng)絡(luò)安全控制的裝置。圖5示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的在擴(kuò)展的CAPWAP協(xié)議消息中使用的包含IP地址的消息元(messageelements)。在附圖中,相'同和相似的附圖標(biāo)記代表相同或相似的裝置或方法步驟。具體實(shí)施例方式如圖1示出的通信網(wǎng)絡(luò)系統(tǒng)的一個(gè)具體實(shí)施例的接入網(wǎng)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)示意圖中,接入網(wǎng)(NAP,NetworkAccessProvider)中的接入控制器41(AC,AccessController)包含在接入節(jié)點(diǎn)(AccessNode)中,接入控制器與一個(gè)或多個(gè)無線終止設(shè)備31(WTP,WirelessTerminationPoint)相連4妻,或與一個(gè)或多個(gè)駐;也網(wǎng)關(guān)32(RGW,ResidentialGateway)。每個(gè)無線終止設(shè)備31允許有一個(gè)或多個(gè)無線局域網(wǎng)(WLAN,WirelessLAN),其中每個(gè)無線局域網(wǎng)又包含一個(gè)或多個(gè)無線用戶終端,而一個(gè)駐地網(wǎng)關(guān)32與一個(gè)用戶駐地網(wǎng)絡(luò)(CPN,CustomersPremisesNetwork)相連接,其中每個(gè)用戶駐地網(wǎng)絡(luò)又包含一個(gè)或多個(gè)用戶終端。接入節(jié)點(diǎn)的另一端與邊緣路由器等網(wǎng)絡(luò)設(shè)備相連接,并進(jìn)而與一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)提供商(NSP,NetworkServiceProvider)的網(wǎng)纟各相連4妄。圖2示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的分散式網(wǎng)絡(luò)安全控制方法的消息流圖,下面結(jié)合圖1,對(duì)圖2所示的本發(fā)明的一個(gè)具體實(shí)施方式進(jìn)行詳纟曰說明。在作為通信網(wǎng)絡(luò)系統(tǒng)的一個(gè)具體實(shí)施例的如圖1所示的接入網(wǎng)中,接入控制器41是其中的一個(gè)網(wǎng)絡(luò)控制設(shè)備,而無線終止設(shè)備31或者駐地網(wǎng)關(guān)32是其中的兩個(gè)網(wǎng)絡(luò)設(shè)備,這里我們統(tǒng)稱它們?yōu)?第二網(wǎng)絡(luò)設(shè)備"。首先,作為網(wǎng)絡(luò)控制設(shè)備的接入控制器41通過步驟S21創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制。該網(wǎng)絡(luò)安全控制機(jī)制用于在一個(gè)或多個(gè)無線終止設(shè)備中對(duì)其接收到的數(shù)據(jù)包進(jìn)行合法性檢查,特別是來自熱點(diǎn)(Hotspot)中的無線局域網(wǎng)或者用戶駐地網(wǎng)絡(luò)的用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查,以便檢查出非法數(shù)據(jù)包,從而確保網(wǎng)絡(luò)安全。其中,優(yōu)選地,網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù)。例如,在網(wǎng)絡(luò)安全控制機(jī)制的一個(gè)具體實(shí)施例中,網(wǎng)絡(luò)安全檢查規(guī)則包括"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合",網(wǎng)絡(luò)安全檢查參數(shù)則具體包括了那些預(yù)定的IP地址和MAC地址的地址對(duì)組合,比如,對(duì)應(yīng)于上述網(wǎng)絡(luò)安全檢查規(guī)則,網(wǎng)絡(luò)安全檢查參數(shù)的一個(gè)具體示例如表1所示。表l網(wǎng)絡(luò)安全檢查參數(shù)的一個(gè)具體示例<table>tableseeoriginaldocumentpage13</column></row><table>組合172.10.112.344-45-53-54-00-30如表1所示的網(wǎng)絡(luò)安全4全查參數(shù),包括3個(gè)預(yù)定的IP地址和MAC地址的地址對(duì)組合,即組合1、組合2、組合3,分別為(172.10.112.1,44-45-53-54-00-10)、(172.10.112.2,44-45-53-54-00-20)、(172.10.112.3,44-45-53-54-00-30)。如果網(wǎng)絡(luò)安全控制機(jī)制包括的網(wǎng)絡(luò)安全檢查規(guī)則是"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合",網(wǎng)絡(luò)安全控制機(jī)制包括的網(wǎng)絡(luò)安全檢查參數(shù)如表1所示,則表示只有當(dāng)無線終止設(shè)備31接收到來自用戶終端的數(shù)據(jù)包的源IP地址和源MAC地址的地址對(duì)組合為上述3個(gè)組合之一,才表示該數(shù)據(jù)包衹和該網(wǎng)絡(luò)安全控制機(jī)制,數(shù)據(jù)包合法,否則該數(shù)據(jù)包不合法,對(duì)網(wǎng)絡(luò)安全可能構(gòu)成潛在威脅,對(duì)不符合網(wǎng)絡(luò)安全控制機(jī)制的數(shù)據(jù)包應(yīng)該進(jìn)行特別處理,如丟棄該類非法的數(shù)據(jù)包。另外,可選地,對(duì)于如表1所示的網(wǎng)絡(luò)安全檢查參數(shù),也可能對(duì)應(yīng)于不同的網(wǎng)絡(luò)安全才企查規(guī)則。例如,通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)營商或者管理者出于對(duì)某些用戶駐地網(wǎng)絡(luò)或者無線局域網(wǎng)的信任或者相互之間簽訂的協(xié)議等原因降低網(wǎng)絡(luò)安全檢查規(guī)則的檢查級(jí)別,將上述網(wǎng)絡(luò)安全檢查規(guī)則"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合",變?yōu)?檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址是否為預(yù)定的網(wǎng)絡(luò)層地址,,,此時(shí),如果網(wǎng)絡(luò)安全檢查參數(shù)仍然如表1所示,則當(dāng)無線終止設(shè)備31接收到的來自用戶終端的數(shù)據(jù)包的源IP地址是表1所示的地址對(duì)組合1、組合2、組合3中的IP地址之一,即表示該數(shù)據(jù)包合法,例如,如果一個(gè)數(shù)據(jù)包的源IP地址為172.10.112.2,則無論其MAC地址是什么,均認(rèn)為該數(shù)據(jù)包符合上述網(wǎng)絡(luò)安全控制機(jī)制,數(shù)據(jù)包合法;但是如果一個(gè)數(shù)據(jù)包的源IP地址為172.10.112.4,由于172.10.112.4不是表1所示的3個(gè)地址對(duì)組合中的任何一個(gè)IP地址,因此該數(shù)據(jù)包非法。優(yōu)選地,4妄入控制器41可以在無線終止i殳備31或者駐地網(wǎng)關(guān)32等設(shè)備與其連接時(shí)創(chuàng)建上述網(wǎng)絡(luò)安全控制機(jī)制,也可以設(shè)定發(fā)生其它網(wǎng)絡(luò)事件時(shí)觸發(fā)創(chuàng)建對(duì)應(yīng)的網(wǎng)絡(luò)安全控制機(jī)制,這樣的網(wǎng)絡(luò)事件包括-接入控制器41接收到來自通信網(wǎng)絡(luò)系統(tǒng)中的其它設(shè)備(如配置服務(wù)器)發(fā)送的創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制的指令;優(yōu)選地,該指令包含有關(guān)網(wǎng)絡(luò)安全控制的信息,這些信息用于輔助接入控制器41創(chuàng)建對(duì)應(yīng)的網(wǎng)絡(luò)安全控制機(jī)制;更優(yōu)選地,該指令甚至直接包含網(wǎng)絡(luò)安全控制機(jī)制的網(wǎng)絡(luò)安全檢查規(guī)則。-接入控制器41接收到來自通信網(wǎng)絡(luò)系統(tǒng)中的其它設(shè)備(如告警服務(wù)器)發(fā)送的有關(guān)網(wǎng)絡(luò)安全告警的信息;優(yōu)選地,接入控制器41可以根據(jù)接收到的不同的告警信息,在創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制時(shí),選擇相應(yīng)的網(wǎng)絡(luò)安全檢查規(guī)則以及相應(yīng)的網(wǎng)絡(luò)安全檢查參數(shù)。例如,當(dāng)接收到有關(guān)網(wǎng)絡(luò)設(shè)備中發(fā)生DoS網(wǎng)絡(luò)攻擊的告警信息時(shí),則接入控制器41在創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制時(shí),可選擇"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地鏈路層地址的地址對(duì)組合"作為網(wǎng)絡(luò)安全才全查規(guī)則;而當(dāng)發(fā)生某些網(wǎng)絡(luò)設(shè)備遭受TCP/UDP端口號(hào)攻擊的告警信息時(shí),則接入控制器41在創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制時(shí),可選擇"網(wǎng)絡(luò)層地址和TCP/UDP端口號(hào)的組合,,作為網(wǎng)絡(luò)安全檢查參數(shù)。-接入控制器41偵聽發(fā)送給用戶終端的DHCP地址分配消息等網(wǎng)絡(luò)信息;此時(shí),當(dāng)接入控制器41之前已經(jīng)為管轄該用戶終端的無線終止設(shè)備31創(chuàng)建了網(wǎng)絡(luò)安全控制機(jī)制,則接入控制器41會(huì)更新該已創(chuàng)建的網(wǎng)絡(luò)安全控制機(jī)制。如果還沒有創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,則接入控制器41創(chuàng)建相應(yīng)的網(wǎng)絡(luò)安全控制機(jī)制。優(yōu)選地,網(wǎng)絡(luò)安全檢查少見則和網(wǎng)絡(luò)安全4全查參數(shù)可隨著通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行自適應(yīng)地進(jìn)行更新。比如,當(dāng)前通信網(wǎng)絡(luò)系統(tǒng)需要提高網(wǎng)絡(luò)安全控制級(jí)別時(shí),可觸發(fā)調(diào)整為不同的網(wǎng)絡(luò)安全檢查規(guī)則。另外,在通信網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中,如前文所述,當(dāng)無線局域網(wǎng)或者用戶駐地網(wǎng)絡(luò)中的同一個(gè)用戶終端通過DHCP協(xié)議向DHCP服務(wù)器等分配獲參數(shù),如,具有MAC地址為44-45-53-54-00-30的用戶終端重新向DHCP服務(wù)器請(qǐng)求分配地址后,其IP地址由原來的172.10.112.3變成了172.10.112.30,則表1中的組合3也相應(yīng)地由(172.10.112.3,44-45-53-54-00-30)更新為(172.10.112.30,44-45-53-54-00-30)。由此可見,包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù)的網(wǎng)絡(luò)安全控制機(jī)制,隨著通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行,可通過調(diào)整網(wǎng)絡(luò)安全檢查規(guī)則和/或網(wǎng)絡(luò)安全4全查參數(shù)對(duì)其進(jìn)行及時(shí)調(diào)整,以迅速適應(yīng)當(dāng)前網(wǎng)絡(luò)安全控制的需求,對(duì)發(fā)生的網(wǎng)絡(luò)安全告警等事件作出及時(shí)反應(yīng),以更好的維護(hù)網(wǎng)絡(luò)安全。另外,優(yōu)選地,根據(jù)不同的網(wǎng)絡(luò)安全控制的目的,所建立的網(wǎng)絡(luò)安全控制機(jī)制也可能包含不同的網(wǎng)絡(luò)安全檢查參數(shù)。例如,為了防止對(duì)某些TCP/UDP端口的網(wǎng)絡(luò)攻擊,如表2所示,網(wǎng)絡(luò)安全檢查參數(shù)的另一個(gè)具體實(shí)施例包括IP地址和TCP/UDP端口號(hào)的組合表2網(wǎng)絡(luò)安全檢查參數(shù)的另一個(gè)具體示例<table>tableseeoriginaldocumentpage16</column></row><table>對(duì)應(yīng)于如表2所示的網(wǎng)絡(luò)安全檢查參數(shù),網(wǎng)絡(luò)安全檢查規(guī)則的一個(gè)具體實(shí)施例是"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和端口號(hào)的組合是否為預(yù)定的網(wǎng)絡(luò)層地址和端口號(hào)的組合",即只有當(dāng)一個(gè)數(shù)據(jù)包的源IP地址和端口號(hào)的組合是表2所示的3個(gè)組合之一,才表示該數(shù)據(jù)包合法。否貝'J,該數(shù)據(jù)包不合法。需要說明的是,根據(jù)不同的網(wǎng)絡(luò)安全控制的目的,結(jié)合不同的網(wǎng)絡(luò)安全檢查規(guī)則,網(wǎng)絡(luò)安全檢查參數(shù)還包括網(wǎng)絡(luò)層地址、端口號(hào)等參數(shù),或者是網(wǎng)絡(luò)層地址與端口號(hào)等參數(shù)的組合等。當(dāng)然還可以包括其它可能的參凄丈形式,比如在IPv6網(wǎng)絡(luò)中的IPv6地址或者IPv6地址的網(wǎng)絡(luò)前綴(Prefix)等。另外,網(wǎng)絡(luò)安全控制機(jī)制包括的網(wǎng)絡(luò)安全檢查參數(shù)既可以通過人工配置的方式將上述檢查參數(shù)信息配置給接入控制器,優(yōu)選地,也可以接入控制器通過自動(dòng)偵聽由DHCP服務(wù)器等網(wǎng)絡(luò)地址分配服務(wù)器發(fā)送給無線局域網(wǎng)或用戶駐地網(wǎng)絡(luò)中的用戶終端的地址分配消息獲得。例如,當(dāng)無線局域網(wǎng)中的用戶終端通過DHCP協(xié)議從DHCP服務(wù)器上請(qǐng)求獲得IP地址時(shí),接入控制器可通過偵聽DHCP服務(wù)器發(fā)送給對(duì)應(yīng)用戶終端的DHCPACK消息,并乂人中獲得分配給對(duì)應(yīng)用戶終端的IP地址以及該用戶終端的MAC地址,/人而組成一個(gè)預(yù)定的網(wǎng)絡(luò)層地址(IP地址)和數(shù)據(jù)鏈路層地址(MAC地址)的地址對(duì)組合,作為如表1所示的網(wǎng)絡(luò)安全檢查參數(shù)中的其中一個(gè)預(yù)定的地址對(duì)組合,最后將包括上述網(wǎng)絡(luò)安全檢查參數(shù)的網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給管理該無線局域網(wǎng)的無線終止設(shè)備31。而對(duì)于TCP/UDP端口號(hào)等參數(shù),用戶終端通過服務(wù)認(rèn)證建立TCP/UDP連接時(shí)獲得,此時(shí),認(rèn)證服務(wù)器可通過通信網(wǎng)絡(luò)系統(tǒng)的管理系統(tǒng)自動(dòng)告知接入控制器等網(wǎng)絡(luò)控制設(shè)備,從而使得接入控制器自動(dòng)獲得TCP/UDP端口號(hào)等參數(shù),并最終建立網(wǎng)絡(luò)安全檢查參數(shù)。另外,在步驟S21創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制的過程,接入控制器也可以接受人工配置或者其它配置服務(wù)器的配置等方式,獲得相應(yīng)的網(wǎng)絡(luò)安全檢查規(guī)則和/或網(wǎng)絡(luò)安全檢查參數(shù)等信息。優(yōu)選地,網(wǎng)絡(luò)安全檢查規(guī)則通過人工配置或者其它配置服務(wù)器配置等方式獲得,而網(wǎng)絡(luò)安全檢查參數(shù)由接入控制器在通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過程中自動(dòng)獲得,如通過偵聽DHCP協(xié)議中的地址分配消息DHCPACK等獲得IP地址等參數(shù)。至此,接入控制器通過步驟S21創(chuàng)建了網(wǎng)絡(luò)安全控制機(jī)制,該網(wǎng)來自用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查。接著,接入控制器通過步驟S22將在步驟S21中所創(chuàng)建的網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給對(duì)應(yīng)的無線終止設(shè)備31。優(yōu)選地,接入控制器41通過CAPWAP(ControlAndProvisioningofWirelessAccessPoints)協(xié)入控制器可通過CAPWAP協(xié)議中的CAPWAPStationConfigurationRequest消息將網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給無線終止設(shè)備31,其中當(dāng)該網(wǎng)絡(luò)安全控制機(jī)制所包括的網(wǎng)絡(luò)安全檢查參數(shù)包含IP地址時(shí),作為一個(gè)擴(kuò)展當(dāng)前CAPWAP協(xié)議的一個(gè)具體實(shí)施方式,在CAPWAPStationConfigurationRequest消息中包含如圖5定義的消息元(messageelements),該消息元具體包4舌一個(gè)8比特的無線ID(RadioID)、一個(gè)8比特的無線局域網(wǎng)ID(WLANID)、一個(gè)16比特的IEEE802.il連接標(biāo)識(shí)(AID,AssociationIdentifier)以及一個(gè)32比特的IP地址(如采用IPv6協(xié)議,則包括一個(gè)128比特的IPv6地址)。最后,無線終止設(shè)備31通過步驟S22接收到上述網(wǎng)絡(luò)安全控制機(jī)制之后,在步驟S23中對(duì)來自無線局域網(wǎng)中用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查,如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制機(jī)制,則丟棄該數(shù)據(jù)包。具體地,無線終止設(shè)備31首先根據(jù)它所接收到的網(wǎng)絡(luò)安全控制機(jī)制,從來自無線局域網(wǎng)的用戶終端的數(shù)據(jù)包中獲得該數(shù)據(jù)包對(duì)應(yīng)的參數(shù)信息,例如,當(dāng)網(wǎng)絡(luò)安全檢查規(guī)則為"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合",網(wǎng)絡(luò)安全檢查參數(shù)為如表l所示時(shí),則接入控制器首先從來自用戶終端的數(shù)據(jù)包中獲取該數(shù)據(jù)包的源IP地址和源MAC地址,然后組成一個(gè)地址對(duì)組合,即(該數(shù)據(jù)包的源IP地址,該數(shù)據(jù)包的源MAC地址);隨后,將獲得的該數(shù)據(jù)包的地址對(duì)組合與網(wǎng)絡(luò)安全檢查參數(shù)按照網(wǎng)絡(luò)安全檢查規(guī)則進(jìn)行比對(duì),如果該數(shù)據(jù)包的地址對(duì)組合是網(wǎng)絡(luò)安全檢查參數(shù)中所包含的預(yù)定地址對(duì)組合之一,則表示該數(shù)據(jù)包合法,否則,表示該數(shù)據(jù)包不合法。如,從一個(gè)來自用戶終端的數(shù)據(jù)包中獲得的源IP地址為172.10.112.2,源MAC地址為44-45-53-54-00-20,即該數(shù)據(jù)包的參數(shù)信息為源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合(172.10.112.2,44-45-53-54-00-20),根據(jù)網(wǎng)絡(luò)安全檢查規(guī)則,確定該數(shù)據(jù)包的地址對(duì)組合與表1所示的網(wǎng)絡(luò)安全檢查參數(shù)中所包含的預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合的組合2相同,從而確定該數(shù)據(jù)包符合網(wǎng)絡(luò)安全控制機(jī)制,該數(shù)據(jù)包合法。但是如果另一個(gè)數(shù)據(jù)包的源IP地址為172.10.112.2,源MAC地址為44-45-53-54-00-30,即該數(shù)據(jù)包的參數(shù)信息為源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合(172.10.112.2,44-45-53-54-00-30),則根據(jù)網(wǎng)絡(luò)安全檢查規(guī)則,確定該數(shù)據(jù)包的地址對(duì)組合與表1所示的網(wǎng)絡(luò)安全檢查參數(shù)中所包含的預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合的3個(gè)組合中的任何一個(gè)均不相同,從而確定該數(shù)據(jù)包不符合網(wǎng)絡(luò)安全控制機(jī)制,該數(shù)據(jù)包不合法,無線終止設(shè)備31應(yīng)對(duì)該數(shù)據(jù)包進(jìn)行特別處理,如丟棄該非法數(shù)據(jù)包。實(shí)際上,通過在無線終止設(shè)備執(zhí)行上述舉例說明的網(wǎng)絡(luò)安全控制機(jī)制,能有效防止某些惡意用戶終端通過盜用其它用戶終端的IP地址并大量發(fā)送IP包以發(fā)動(dòng)網(wǎng)絡(luò)攻擊的行為。也就是說,只有那些源IP地址和源MAC地址的地址對(duì)組合是預(yù)定的地址對(duì)組合的數(shù)據(jù)包才能通過無線終止設(shè)備31并轉(zhuǎn)發(fā)至接入控制器41等網(wǎng)絡(luò)設(shè)備中,從而起到了防止IP地址欺騙的目的。另外,無線終止設(shè)備31從來自用戶終端的數(shù)據(jù)包中除了獲得源IP地址的參數(shù)外,還可獲得TCP/UDP端口號(hào)、目的IP地址、目的MAC地址等參數(shù),在具體實(shí)施本發(fā)明時(shí),可根據(jù)網(wǎng)絡(luò)安全控制的不同目的,選擇其中的一個(gè)、或者幾個(gè)的組合,配置網(wǎng)絡(luò)安全檢查參數(shù)。本領(lǐng)域普通技術(shù)人員可以理解的是,上述在無線終止設(shè)備中所執(zhí)行的步驟和方法在駐地網(wǎng)關(guān)32上同樣適用。但是由于CAPWAP協(xié)議一般情況下應(yīng)用于接入控制器和無線終止設(shè)備之間,因此通常情況下,接入控制器不通過CAPWAP協(xié)議消息的形式為駐地網(wǎng)關(guān)發(fā)送網(wǎng)絡(luò)安全控制機(jī)制。圖3示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的接入控制器中的分散式網(wǎng)絡(luò)安全控制的裝置,下面結(jié)合圖1,對(duì)圖3所示的本發(fā)明的一個(gè)具體實(shí)施方式進(jìn)行詳細(xì)說明。接入控制器41中的分散式網(wǎng)絡(luò)安全控制裝置300包括創(chuàng)建裝置301和配置裝置302。首先,創(chuàng)建裝置301創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制。該網(wǎng)絡(luò)安全控制機(jī)制用于在一個(gè)或多個(gè)無線終止設(shè)備中對(duì)來自用戶終端的數(shù)據(jù)包進(jìn)行合法性4企查,如對(duì)來自熱點(diǎn)(Hotspot)中的無線局域網(wǎng)用戶終端的數(shù)據(jù)包進(jìn)行合法性4企查,以便^f全查出非法數(shù)據(jù)包,從而確保網(wǎng)絡(luò)安全。優(yōu)選地,網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù)如前文所述。當(dāng)無線終止設(shè)備31所管轄的無線局域網(wǎng)中的用戶終端通過DHCP協(xié)議從DHCP服務(wù)器請(qǐng)求獲得IP地址時(shí),創(chuàng)建裝置301通過偵聽由DHCP月l務(wù)器等網(wǎng)絡(luò)地址分配服務(wù)器發(fā)送給用戶終端的地址分配消息,并從中獲得網(wǎng)絡(luò)安全檢查參數(shù)中的參數(shù)信息。例如,當(dāng)無線局域網(wǎng)中的用戶終端通過DHCP協(xié)議從DHCP服務(wù)器上請(qǐng)求獲得IP地址時(shí),接入控制器可通過偵聽DHCP服務(wù)器發(fā)送給對(duì)應(yīng)用戶終端的DHCPACK消息,并從中獲得分配鄉(xiāng)合對(duì)應(yīng)用戶終端的IP地址以及該用戶終端的MAC地址,/人而組成一個(gè)預(yù)定的網(wǎng)絡(luò)層地址(IP地址)和數(shù)據(jù)《連^各層地址(MAC地址)的地址對(duì)組合,作為如表1所示的網(wǎng)絡(luò)安全檢查參數(shù)中的其中一個(gè)預(yù)定的地址對(duì)組合。從而完成創(chuàng)建網(wǎng)絡(luò)安全檢查參數(shù),此時(shí),作為一個(gè)具體實(shí)施例,可選擇"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層據(jù)鏈路層地址的地批對(duì)組合"為網(wǎng)絡(luò)安全4全查規(guī)則,從而組成網(wǎng)絡(luò)安全控制機(jī)制。本領(lǐng)域普通技術(shù)人員可理解的是,創(chuàng)建裝置301在創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制的過程,如前文所迷,也可以接受人工配置或者其它配置服務(wù)器的配置等方式,獲得相應(yīng)的網(wǎng)絡(luò)安全檢查規(guī)則和/或網(wǎng)絡(luò)安全檢查參數(shù)等信息。優(yōu)選地,網(wǎng)絡(luò)安全檢查規(guī)則通過人工配置或者其它配置服務(wù)器配置等方式獲得,而網(wǎng)絡(luò)安全檢查參數(shù)由創(chuàng)建裝置301在通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過程中自動(dòng)獲得。控制機(jī)制發(fā)送給對(duì)應(yīng)的無線終止設(shè)備31。優(yōu)選地,配置裝置302通過CAPWAP(ControlAndProvisioningofWirelessAccessPoints)十辦"i義消息4夸上述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給對(duì)應(yīng)的無線終止設(shè)備31,如配置裝置302可通過CAPWAP協(xié)議中的CAPWAPStationConfigurationR叫uest消息將網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給無線終止設(shè)備31,其中當(dāng)該網(wǎng)絡(luò)安全控制機(jī)制所包括的網(wǎng)絡(luò)安全檢查參數(shù)包含IP地址時(shí),作為一個(gè)擴(kuò)展當(dāng)前CAPWAP協(xié)議的一個(gè)具體實(shí)施方式,在CAPWAPStationConfigurationRequest消息中包含如圖5定義的消息元(messageelements),該消息元具體包括一個(gè)8比特的無線ID(RadioID)、一個(gè)8比特的無線局域網(wǎng)ID(WLANID)、一個(gè)16比特的IEEE802.il連接標(biāo)識(shí)(AID,AssociationIdentifier)以及一個(gè)32比特的IP地址(如采用IPv6協(xié)議,則包括一個(gè)128比特的IPv6地址)。圖4示出了根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的無線終止設(shè)備中的分散式網(wǎng)絡(luò)安全控制的裝置,下面結(jié)合圖1,對(duì)圖4所示的本發(fā)明的一個(gè)具體實(shí)施方式進(jìn)4亍-洋細(xì)i兌明。無線終止設(shè)備31中的分散式網(wǎng)絡(luò)安全控制裝置400包括配置裝置401和4企查裝置402。首先,配置裝置401接收接入控制器41發(fā)來的網(wǎng)絡(luò)安全控制機(jī)制。優(yōu)選地,網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù)如前文所述。另外,優(yōu)選地,配置裝置401通過接收接入控制器41發(fā)來的CAPWAP消息,并從中獲得對(duì)應(yīng)的網(wǎng)絡(luò)安全控制機(jī)制,如通過CAPWAP協(xié)議中的CAPWAPStationConfigurationRequest消息4妄收網(wǎng)絡(luò)安全控制機(jī)制,其中當(dāng)該網(wǎng)絡(luò)安全控制機(jī)制所包括的網(wǎng)絡(luò)安全檢查參數(shù)包含IP地址時(shí),作為一個(gè)擴(kuò)展當(dāng)前CAPWAP協(xié)議的一個(gè)具體實(shí)施方式,在CAPWAPStationConfigurationR叫uest消息中包含如圖5定義的消息元(messageelements),該消息元具體包4舌一個(gè)8比特的無線ID(RadioID)、一個(gè)8比特的無線局域網(wǎng)ID(WLANID)、一個(gè)16比特的IEEE802.il連接標(biāo)識(shí)(AID,AssociationIdentifier)以及一個(gè)32比特的IP地址(如采用IPv6協(xié)議,則包括一個(gè)128比特的IPv6地址)。然后,檢查裝置302對(duì)無線終止設(shè)備31接收到的來自無線局域網(wǎng)用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查,如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制機(jī)制,表示該數(shù)據(jù)包不合法,應(yīng)做特別處理,如丟棄該數(shù)據(jù)包。具體地,檢查裝置302首先根據(jù)上述網(wǎng)絡(luò)安全控制機(jī)制包括的網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),從來自無線局域網(wǎng)的用戶終端的數(shù)據(jù)包中獲得該數(shù)據(jù)包對(duì)應(yīng)的參數(shù)信息,例如,當(dāng)網(wǎng)絡(luò)安全檢查規(guī)則為"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)^漣路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合",網(wǎng)絡(luò)安全檢查參數(shù)為如表1所示的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈3各層地址的地址對(duì)組合時(shí),檢查裝置302從數(shù)據(jù)包中首先獲取該數(shù)據(jù)包的源IP地址和源MAC地址,然后組成一個(gè)地址對(duì)組合,即(該數(shù)據(jù)包的源IP地址,該數(shù)據(jù)包的源MAC地址);隨后,將獲得的該數(shù)據(jù)包的地址對(duì)組合按照網(wǎng)絡(luò)安全檢查規(guī)則與網(wǎng)絡(luò)安全檢查參數(shù)進(jìn)行比對(duì),如果從該數(shù)據(jù)包中獲得的地址對(duì)是如表1所示的預(yù)定的地址對(duì)組合之一,則表示該數(shù)據(jù)包符合該網(wǎng)絡(luò)安全控制機(jī)制,該數(shù)據(jù)包合法,否則,表示該數(shù)據(jù)包不合法。例如,當(dāng)網(wǎng)絡(luò)安全檢查參數(shù)如表l所示,網(wǎng)絡(luò)安全檢查規(guī)則為"檢查數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合"時(shí),從一個(gè)數(shù)據(jù)包中獲得的源IP地址為172.10.112.2,源MAC地址為44-45-53-54-00-20,即該數(shù)據(jù)包的參數(shù)信息為網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合(172.10.112.2,44-45-53-54-00-20),根據(jù)網(wǎng)絡(luò)安全檢查規(guī)則,確定該數(shù)據(jù)包的地址對(duì)組合與表1所示的網(wǎng)絡(luò)安全檢查參數(shù)中所包含的預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合的組合2相同,因此該數(shù)據(jù)包符合網(wǎng)絡(luò)安全控制機(jī)制,該數(shù)據(jù)包合法。但是如果另一個(gè)數(shù)據(jù)包的源IP地址為172.10.112.2,源MAC地址為44-45-53-54-00-30,即該數(shù)據(jù)包的參數(shù)信息為源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合(172.10.112.2,44-45-53-54-00-30),則根據(jù)網(wǎng)絡(luò)安全檢查規(guī)則,確定該數(shù)據(jù)包的地址對(duì)組合與表1所示的網(wǎng)絡(luò)安全檢查參數(shù)中所包含的預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合的3個(gè)組合中的任何一個(gè)均不相同,因此該數(shù)據(jù)包不符合網(wǎng)絡(luò)安全控制機(jī)制,該數(shù)據(jù)包不合法。實(shí)際上,通過檢查裝置302對(duì)數(shù)據(jù)包進(jìn)行上述合法性檢查,可有效防止某些用戶終端通過盜用其它用戶終端的IP地址并大量發(fā)送IP包以發(fā)動(dòng)網(wǎng)絡(luò)攻擊的行為。也就是說,只有那些IP地址和MAC地址的地址對(duì)組合是預(yù)定的地址對(duì)組合的數(shù)據(jù)包才能通過無線終止設(shè)備31并轉(zhuǎn)發(fā)至接入控制器41等網(wǎng)絡(luò)設(shè)備中,因此也達(dá)到了防止IP地址欺騙的目的。另外,檢查裝置302從來自用戶終端的數(shù)據(jù)包中除了獲得源IP地址的參數(shù)外,還可獲得TCP/UDP端口號(hào)、目的IP地址、目的MAC地址等參數(shù),在具體實(shí)施本發(fā)明時(shí),可根據(jù)網(wǎng)絡(luò)安全控制的不同目的,選沖奪其中的一個(gè)、或者幾個(gè)的組合。以上對(duì)本發(fā)明的具體實(shí)施例進(jìn)行了描述。需要理解的是,本發(fā)明并不局限于上述特定實(shí)施方式,本領(lǐng)域普通技術(shù)人員可以在所附權(quán)利要求的范圍內(nèi)做出各種變型或修改。本發(fā)明的技術(shù)方案用軟件或硬件皆可實(shí)現(xiàn)。權(quán)利要求1.一種在通信網(wǎng)絡(luò)系統(tǒng)中進(jìn)行分散式安全控制的方法,所述通信網(wǎng)絡(luò)包括網(wǎng)絡(luò)控制設(shè)備和一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備,以及一個(gè)或多個(gè)用戶終端,其特征在于,包括如下步驟c.所述網(wǎng)絡(luò)控制設(shè)備創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,所述網(wǎng)絡(luò)安全控制機(jī)制用于在所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備上對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;d.所述網(wǎng)絡(luò)控制設(shè)備將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備;e.所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備根據(jù)所述網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制機(jī)制,則丟棄該數(shù)據(jù)包。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查參數(shù)至少包括如下參數(shù)之一-網(wǎng)絡(luò)層地址;-端口號(hào);-網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;-網(wǎng)絡(luò)層地址和端口號(hào)的組合。3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述網(wǎng)絡(luò)安全檢查規(guī)則包括檢查所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述網(wǎng)絡(luò)安全檢查參數(shù)包括一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述步驟e還包括-所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備獲取所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址對(duì)組合,并確定所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合中的一個(gè),如果不是,則丟棄所述數(shù)據(jù)包。4.根據(jù)權(quán)利要求3所述的方法,其特征在于,步驟c還包括-所述網(wǎng)絡(luò)控制設(shè)備通過偵聽地址分配服務(wù)器發(fā)給所述用戶終端的地址分配消息,并荻得所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層i也址的i也址^j"組合。5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述地址分配服務(wù)器包括DHCP服務(wù)器,所述地址分配消息包括DHCPACK消息。6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述通信網(wǎng)絡(luò)系統(tǒng)包括集中式無線網(wǎng)絡(luò),所述網(wǎng)絡(luò)控制設(shè)備包括接入控制器,所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備包括一個(gè)或多個(gè)無線終止設(shè)備,所述無線終止設(shè)備允許所述一個(gè)或多個(gè)用戶終端接入,其中所述步驟c還包括-所述接入控制器通過偵聽所述DHCP服務(wù)器發(fā)送給所述用戶終端的DHCPACK消息獲得所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)紐合;所述步驟d還包括-接入控制器通過CAPWAP協(xié)議消息將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給一個(gè)或多個(gè)無線終止設(shè)備;所述步驟e還包括-所述無線終止設(shè)備從來自所述用戶終端的數(shù)據(jù)包中獲取所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合,并確定所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合中的一個(gè),如果不是,則丟棄所述數(shù)據(jù)包。7.—種在通信網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)控制設(shè)備中用于引導(dǎo)所述通信網(wǎng)絡(luò)系統(tǒng)中的一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備進(jìn)行分散式安全控制的方法,所述通信網(wǎng)絡(luò)系統(tǒng)還包括一個(gè)或多個(gè)用戶終端,其特征在于,包括如下步驟m.創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,所述網(wǎng)絡(luò)安全控制機(jī)制用于在所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備上對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;8.將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備。8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查參數(shù)至少包括如下參數(shù)之一-網(wǎng)鄉(xiāng)備層地址;-端口號(hào);-網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;-網(wǎng)絡(luò)層地址和端口號(hào)的組合。9.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述網(wǎng)絡(luò)安全檢查規(guī)則包括檢查所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈5i^層地址的地址對(duì)組合;所述網(wǎng)絡(luò)安全檢查參數(shù)包括一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合。10.根據(jù)權(quán)利要求9所述的方法,其特征在于,步驟m還包括-所述網(wǎng)絡(luò)控制設(shè)備通過偵聽地址分配服務(wù)器發(fā)給所述用戶終端的地址分配消息,并獲得所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合。11.根據(jù)權(quán)利要求IO所述的方法,其特征在于,所述地址分配服務(wù)器包括DHCP服務(wù)器,所述地址分配消息包括DHCPACK消息。12.根據(jù)權(quán)利要求11所述的方法,其特征在于,所述通信網(wǎng)絡(luò)系統(tǒng)包括集中式無線網(wǎng)絡(luò),所述網(wǎng)絡(luò)控制設(shè)備包括接入控制器,所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備包括無線終止設(shè)備,所述無線終止設(shè)備允許所述一個(gè)或多個(gè)用戶終端接入,其中所述步驟m還包括-所述接入控制器通過偵聽所述DHCP服務(wù)器發(fā)送給所述用戶終端的DHCPACK消息獲得所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述步驟n還包括-接入控制器通過CAPWAP協(xié)議消息將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給一個(gè)或多個(gè)無線終止設(shè)備。13.—種在通信網(wǎng)絡(luò)系統(tǒng)的第二網(wǎng)絡(luò)設(shè)備中進(jìn)行分散式安全控制的方法,其中,所述通信網(wǎng)絡(luò)還包括網(wǎng)絡(luò)控制設(shè)備和一個(gè)或多個(gè)所述第二網(wǎng)絡(luò)設(shè)備,以及一個(gè)或多個(gè)用戶終端,其特征在于,包括如下步驟s.接收來自所述網(wǎng)絡(luò)控制設(shè)備發(fā)來的網(wǎng)絡(luò)安全控制機(jī)制;t.根據(jù)所述網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制規(guī)則,則丟棄該數(shù)據(jù)包。14.根據(jù)權(quán)利要求13所述的方法,其特征在于,所述網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查參數(shù)至少包括如下參數(shù)之一-網(wǎng)絡(luò)層地址;-端口號(hào);-網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;-網(wǎng)絡(luò)層地址和端口號(hào)的組合。15.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述網(wǎng)絡(luò)安全檢查規(guī)則包括檢查所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述網(wǎng)絡(luò)安全檢查參數(shù)包括一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述步驟t還包括-獲取所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合,并確定所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合中的一個(gè),如果不是,則丟棄所述數(shù)據(jù)包。16.根據(jù)權(quán)利要求15所述的方法,其特征在于,所述通信網(wǎng)絡(luò)系統(tǒng)包括集中式無線網(wǎng)絡(luò),所述網(wǎng)絡(luò)控制設(shè)備包括接入控制器,所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備包括一個(gè)或多個(gè)無線終止設(shè)備,所述無線終止設(shè)備允許所述一個(gè)或多個(gè)用戶終端接入,其中所述步驟s還包括-接收來自所述接入控制器的CAPWAP協(xié)議消息,其中所述CAPWAP協(xié)議消息包括所述網(wǎng)絡(luò)安全控制機(jī)制;所述步驟t還包括-所述無線終止設(shè)備從來自所述用戶終端的數(shù)據(jù)包中獲取所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合,并確定所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合中的一個(gè),如果不是,則丟棄所述數(shù)據(jù)包。17.—種在通信網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)控制設(shè)備中用于引導(dǎo)所述通信網(wǎng)絡(luò)系統(tǒng)中的一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備進(jìn)行分散式安全控制的裝置,所述通信網(wǎng)絡(luò)系統(tǒng)還包括一個(gè)或多個(gè)用戶終端,其特征在于,包括-創(chuàng)建裝置,用于創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,所述網(wǎng)絡(luò)安全控制機(jī)制用于在所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備上對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;-配置裝置,用于將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備。18.根據(jù)權(quán)利妾求17所述的裝置,其特征在于,所述網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查參數(shù)至少包括如下參數(shù)之一-網(wǎng)絡(luò)層地址;畫端口號(hào);-網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;-網(wǎng)絡(luò)層地址和端口號(hào)的組合。19.根據(jù)權(quán)利要求18所述的裝置,其特征在于,所述網(wǎng)絡(luò)安全檢查規(guī)則包括檢查所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)《連路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述網(wǎng)絡(luò)安全檢查參數(shù)包括一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的i也iib^組合。'20.根據(jù)權(quán)利要求19所述的裝置,其特征在于,所述創(chuàng)建裝置還用于獲得所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合。21.根據(jù)權(quán)利要求20所述的裝置,其特征在于,所述地址分配服務(wù)器包括DHCP服務(wù)器,所述地址分配消息包括DHCPACK消息。22.根據(jù)權(quán)利要求21所述的裝置,其特征在于,所述通信網(wǎng)絡(luò)系統(tǒng)包括集中式無線網(wǎng)絡(luò),所述網(wǎng)絡(luò)控制設(shè)備包括接入控制器,所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備包括無線終止設(shè)備,所述無線終止設(shè)備允許所述一個(gè)或多個(gè)用戶終端接入,其中所述創(chuàng)建裝置還用于息獲得所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述配置裝置還用于-通過CAPWAP協(xié)議消息將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給一個(gè)或多個(gè)無線終止設(shè)備。23.—種在通信網(wǎng)絡(luò)系統(tǒng)的第二網(wǎng)絡(luò)設(shè)備中進(jìn)行分散式安全控制的裝置,其中,所述通信網(wǎng)絡(luò)還包括網(wǎng)絡(luò)控制設(shè)備和一個(gè)或多個(gè)所述第二網(wǎng)絡(luò)設(shè)備,以及一個(gè)或多個(gè)用戶終端,其特征在于,包括-配置裝置,用于接收來自所述網(wǎng)絡(luò)控制設(shè)備發(fā)來的網(wǎng)絡(luò)安全控制機(jī)制;-檢查裝置,用于根據(jù)所述網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自所述用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不符合所述網(wǎng)絡(luò)安全控制規(guī)則,則丟棄該數(shù)據(jù)包。24.根據(jù)權(quán)利要求23所述的裝置,其特征在于,所述網(wǎng)絡(luò)安全控制機(jī)制包括網(wǎng)絡(luò)安全檢查規(guī)則和網(wǎng)絡(luò)安全檢查參數(shù),其中,網(wǎng)絡(luò)安全檢查參數(shù)至少包括如下參數(shù)之一-網(wǎng)絡(luò)層地址;-端口號(hào);-網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;-網(wǎng)絡(luò)層地址和端口號(hào)的組合。25.根據(jù)權(quán)利要求24所述的裝置,其特征在于,所述網(wǎng)絡(luò)安全檢查規(guī)則包括檢查所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述網(wǎng)絡(luò)安全檢查參數(shù)包括一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合;所述檢查裝置還用于-獲取所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合,并確定所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合中的一個(gè),如果不是,則丟棄所述數(shù)據(jù)包。26.根據(jù)權(quán)利要求25所述的裝置,其特征在于,所述通信網(wǎng)絡(luò)系統(tǒng)包括集中式無線網(wǎng)絡(luò),所述網(wǎng)絡(luò)控制設(shè)備包括接入控制器,所述一個(gè)或多個(gè)第二網(wǎng)絡(luò)設(shè)備包括一個(gè)或多個(gè)無線終止設(shè)備,所述無線終止設(shè)備允許所述一個(gè)或多個(gè)用戶終端接入,其中所述配置裝置還用于-接收來自所述接入控制器的CAPWAP協(xié)議消息,其中所述CAPWAP協(xié)議消息包括所述網(wǎng)絡(luò)安全控制機(jī)制;所述檢查裝置還用于-從來自所述用戶終端的數(shù)據(jù)包中獲取所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合,并確定所述數(shù)據(jù)包的源網(wǎng)絡(luò)層地址和源數(shù)據(jù)鏈路層地址的地址對(duì)組合是否為所述一個(gè)或多個(gè)預(yù)定的網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址的地址對(duì)組合中的一個(gè),如果不是,則丟棄所述數(shù)據(jù)包。全文摘要隨著網(wǎng)絡(luò)技術(shù)的演進(jìn)以及越來越多的用戶終端要求接入英特網(wǎng),網(wǎng)絡(luò)安全正面臨越來越嚴(yán)峻的考驗(yàn)。為了提高網(wǎng)絡(luò)運(yùn)營商網(wǎng)絡(luò)的安全性和可運(yùn)營性,本發(fā)明提出了一種在通信網(wǎng)絡(luò)系統(tǒng)中進(jìn)行分散式安全控制的方法和裝置。該方法首先由網(wǎng)絡(luò)控制設(shè)備創(chuàng)建網(wǎng)絡(luò)安全控制機(jī)制,該機(jī)制用于在第二網(wǎng)絡(luò)設(shè)備上對(duì)來自用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;其次,網(wǎng)絡(luò)控制設(shè)備將所述網(wǎng)絡(luò)安全控制機(jī)制發(fā)送給第二網(wǎng)絡(luò)設(shè)備;最后,第二網(wǎng)絡(luò)設(shè)備根據(jù)網(wǎng)絡(luò)安全控制機(jī)制對(duì)來自用戶終端的數(shù)據(jù)包進(jìn)行合法性檢查;如果所述數(shù)據(jù)包不合法,則丟棄該數(shù)據(jù)包。通過本發(fā)明,可明顯提高通信網(wǎng)絡(luò)的安全性和可運(yùn)營性,特別是在集中式控制的無線局域網(wǎng)架構(gòu)的網(wǎng)絡(luò)中實(shí)現(xiàn)防地址欺騙等功能。文檔編號(hào)H04L9/00GK101651537SQ20081004178公開日2010年2月17日申請(qǐng)日期2008年8月15日優(yōu)先權(quán)日2008年8月15日發(fā)明者姚春燕,溫海波,軍鄭,馬松偉申請(qǐng)人:上海貝爾阿爾卡特股份有限公司