一种无线局域网接入关口及其实现保障网络安全的方法.pdf

一种无线局域网接入关口及其实现保障网络安全的方法
    【技术领域】

    本发明涉及网络安全技术，特别是指一种无线局域网(WLAN)接入关口以及利用该WLAN接入关口实现保障网络安全的方法。

    背景技术

    由于用户对无线接入速率的要求越来越高，无线局域网(WLAN，WirelessLocal Area Network)应运而生，它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术，目前应用较为广泛的一个技术标准是IEEE802.11b，它采用2.4GHz频段，最高数据传输速率可达11Mbps，使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术，其中，802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段，最高传输速率也可达到54Mbps。

    尽管有多种不同的无线接入技术，大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络，其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入，通过网络控制和连接设备连接组成IP传输网络。

    随着WLAN技术的兴起和发展，WLAN与各种无线移动通信网，诸如：GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中，用户终端可以通过WLAN的接入网络与因特网(Intemet)、企业内部互联网(Intranet)相连，还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接，具体地说就是，WLAN用户终端在本地接入时，经由WLAN接入网络与3GPP的归属网络相连，如图2所示；在漫游时，经由WLAN接入网络与3GPP地访问网络相连，3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连，比如：3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器；3GPP访问网络中的无线局域网接入关口(WAG)与3GPP归属网络中的分组数据关口(PDG，Packet DataGateway)等等，如图1所示。其中，图1、图2分别为漫游情况下和非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。

    参见图1、图2所示，在3GPP系统中，主要包括归属签约用户服务器(HSS)/归属位置寄存器(HLR)、3GPP AAA服务器、3GPP AAA代理、WAG、分组数据关口、计费关口(CGw)/计费信息收集系统(CCF)及在线计费系统(OCS)。用户终端、WLAN接入网络与3GPP系统的所有实体共同构成了3GPP-WLAN交互网络，此3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中，3GPP AAA服务器负责对用户的鉴权、授权和计费，对WLAN接入网络送来的计费信息收集并传送给计费系统；分组数据关口负责将用户数据从WLAN接入网络到3GPP网络或其他分组网络的数据传输；计费系统主要接收和记录网络传来的用户计费信息，还包括OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息，并进行统计和控制。

    目前，WLAN用户终端在接入WLAN网络后没有明确的限制规则，这样，无论当前接入的用户是否签约了公众陆地移动网(PLMN)中基于分组交换(PS)域的业务，都可以随便通过WAG发送消息到PLMN核心网络，这种情况对于运营网是非常不利的，因为有很多数据可能是多余的或非法的，因此不仅会增加不必要的网络负荷，而且不利于整个网络的安全管理和正确计费；同样，也存在网络向用户终端发送用户不需要的冗余信息或非法信息的现象，这也会给用户带来不必要的干扰和烦恼，还有可能威胁合法用户设备的安全。那么，如何避免非法信息对网络和合法用户设备的干扰与威胁，迄今为止还未提出具体的解决方案。

    【发明内容】

    有鉴于此，本发明的主要目的在于提供一种无线局域网接入关口，使其在保证自身功能实现的基础上，能进一步对接收到的数据进行过滤，避免非法消息的接入，从而提高PLMN网络和合法用户设备的安全，减轻PLMN网络和合法用户设备的负荷。

    本发明另一目的在于提供一种利用无线局域网接入关口实现保障网络安全的方法，使其能对数据包进行甄别、过滤和屏蔽处理，最大限度地避免非法消息对网络运营的干扰与威胁，进而保障网络的安全可靠性，并降低网络负荷。

    为达到上述目的，本发明的技术方案是这样实现的：

    一种无线局域网接入关口，包括：用于强制控制传输路由的强制路由模块和收集计费信息的计费模块，强制路由模块接收经由无线局域网接入关口发送的数据包，经路由强制处理，并经计费模块进行计费信息收集后，输出至无线局域网的业务认证授权单元或分组数据关口或用户终端；该接入关口进一步包括：

    消息过滤模块，用于获取和存储规则数据并对当前经过的数据包进行甄别、过滤和屏蔽；该消息过滤模块与强制路由模块和计费模块相连，接收待处理的数据包，并输出经过过滤屏蔽处理的数据包。

    其中，所述消息过滤模块的一端为无线局域网接入关口的输入输出端，另一端连接强制路由模块的输入，所述消息过滤模块通过强制路由模块与计费模块间接相连；所述待处理的数据包为来自或发往WLAN接入网的数据包。

    或者，所述消息过滤模块的输入与强制路由模块的输出相连，所述消息过滤模块的输出与计费模块的输入相连；所述待处理的数据包为由强制路由模块进行强制路由处理后的数据包。

    上述方案中，所述消息过滤模块进一步包括：

    规则配置部分，用于存储静态配置的规则数据；

    规则协商部分，用于与无线局域网中的网络单元协商并存储动态更新的规则数据；

    规则实施部分，用于对数据包按规则数据进行处理；

    规则配置部分、规则协商部分同时与规则实施部分相连，规则实施部分接收待处理数据包，并从规则配置部分或规则协商部分获取规则数据，输出按规则数据处理后的数据包。

    所述消息过滤模块进一步与业务认证授权单元、或分组数据关口、或业务认证授权单元和分组数据关口相连。其中，所述业务认证授权单元为认证授权计费服务器。

    一种利用无线局域网接入关口实现保障网络安全的方法，该方法包括：无线局域网接入关口接收用户终端经由WLAN接入网发来的数据包或经由WLAN接入网发向用户终端的数据包，然后从当前收到的数据包中提取出非加密信息，并将所获取的非加密信息与自身当前存储的规则数据进行匹配，判断是否匹配成功，如果匹配成功，则拒绝将当前所收到的数据包继续传输；否则，向目的地址继续转发当前所收到的数据包。

    该方法进一步包括：预先在无线局域网接入关口中配置允许数据包通过的规则数据。

    或者，该方法进一步包括：无线局域网接入关口根据无线局域网中认证授权计费服务器、或分组数据关口的指示或协商更新自身存储的规则数据。

    上面所述的方法中，所述的非加密信息为源IP地址、或目的IP地址、或端口地址、或介质访问控制地址、或消息标识、或消息名、或TCP端口号、或隧道标号、或隧道类型、或上述信息的任意组合。

    本发明所提供的一种无线局域网接入关口及其实现保障网络安全的方法，具有以下的优越之处：

    1)由于在现有的WAG中增加了消息过滤功能模块，由该模块完成对各种数据包是否能进入网络的判定，并且，由于该WAG在网络中处于数据接入的关键位置，所以，本发明的方案能最大限度地避免非法消息对网络和合法用户设备的干扰与威胁，从而保障网络的安全可靠性，并降低网络负荷，对实现网络安全运营是非常重要的。

    2)由于本发明设置于WAG中的各种判定规则能实时根据需要预先配置或动态协商更新，因此更能提高保障网络安全的性能，且实现灵活多样。

    3)由于本发明主要利用现在已有的接入关口设备完成对数据包的过滤功能，对原有网络结构和处理过程基本没有改变，所以对整个网络影响极其微小，并且，实现简单、方便。

    【附图说明】

    图1为漫游情况下WLAN系统与3GPP系统互通的网络结构示意图；

    图2为非漫游情况下WLAN系统与3GPP系统互通的网络结构示意图；

    图3为本发明中WAG组成结构的一实施例示意图；

    图4为本发明中WAG组成结构的另一实施例示意图；

    图5为本发明方法的实现流程图。

    【具体实施方式】

    下面结合附图及具体实施例对本发明再作进一步详细的说明。

    考虑到WAG在无线局域网中所处的关键位置，本发明的基本思想就是：在WAG中设置消息过滤机制，按照静态配置或动态更新的规则数据，实现对经过WAG的数据包的甄别、过滤和屏蔽，以保证最大限度地防止非法消息对运营网络以及合法用户设备的干扰与威胁，从而保障网络和合法用户设备双方的安全可靠性，同时还可降低网络或合法用户设备的负荷。这里所述的数据包包括：封装好的传输数据和控制信令。

    本发明所述的WAG主要包括：强制路由模块、计费模块和消息过滤模块，其中，强制路由模块用于强制将当前经过WAG的数据包的传输路由设置为指定路由，计费模块用于对经过WAG的数据包收集计费信息，这两个模块为WAG的原有模块。消息过滤模块为本发明新加入的功能模块，主要用于获取和存储规则数据并对经过WAG的数据包进行甄别、过滤和屏蔽，该消息过滤模块与已有的强制路由模块和计费模块之间存在两种连接关系：

    一种连接关系如图3所示，从WLAN接入网发送过来的数据包或经过WAG发向WLAN接入网的数据包进入WAG 30后，首先进入消息过滤模块301，由消息过滤模块301对当前收到的数据包根据自身当前存储的规则数据进行甄别过滤，判断是否允许当前收到的数据包通过，是否需要对该数据包进行屏蔽，然后再将经过过滤处理的数据包发至强制路由模块302，由强制路由模块302判断是否需要将该数据包的传输路由强制修改，最后再由计费模块303对经过WAG的有效数据包进行计费信息收集。

    这种情况下，消息过滤模块301会与WLAN接入网相连，同时可能与分组数据关口、或AAA代理、或AAA服务器、或三者的组合相连。

    另一种连接关系如图4所示，从WLAN接入网发送过来的数据包或经过WAG发向WLAN接入网的数据包进入WAG 30后，首先进入强制路由模块302，由强制路由模块302判断是否需要将该数据包的传输路由强制修改，然后将经过路由强制处理的数据包送入消息过滤模块301，由消息过滤模块301对当前收到的数据包根据自身当前存储的规则数据进行甄别过滤，判断是否允许当前收到的数据包通过，是否需要对该数据包进行屏蔽，最后再由计费模块303对经过WAG的有效数据包进行计费信息的收集。

    根据所完成功能的不同，所述消息过滤模块可进一步划分为：规则配置部分，用于存储静态配置的规则数据，该静态配置的规则数据可以是预先配置的；规则协商部分，用于与WLAN网络中的其他网络单元协商获取并存储动态更新的规则数据；规则实施部分，用于对当前收到的数据包按自身当前存储的规则数据进行处理。其中，规则配置部分、规则协商部分同时与规则实施部分相连，规则实施部分接收待处理的数据包，并从规则配置部分或规则协商部分获取WAG当前具有的规则数据，之后，将按规则数据处理后的数据包输出。这里，规则协商部分可以进一步与无线局域网中的业务授权单元，如AAA服务器相连，还可以与分组数据关口相连，以便随时与AAA服务器、分组数据关口进行协商，获取并更新WAG中存储的规则数据，或是根据AAA服务器、分组数据关口等网络设备的指示更新当前存储的规则数据。这里所述的更新包括增加、删除、修改等操作。

    当消息过滤模块采用第一种连接关系与强制路由模块连接时，该消息过滤模块中的规则实施部分需要作为无线局域网接入关口的输入输出端，一方面与WLAN接入网相连；另一方面可能与分组数据关口、或AAA代理、或AAA服务器、或三者的组合相连。如果需要由用户终端进行规则配置，规则配置部分或规则协商部分也会与WLAN接入网相连。

    如图5所示，本发明方法的具体实现过程包括以下步骤：

    步骤501：WAG接收WLAN用户终端经由WLAN接入网发来的数据包或要发往WLAN接入网的数据包，并从当前收到的数据包中提取出非加密信息。

    这里，所述的非加密信息是指IP包头信息；或是IP包中所封装的各种协议头信息，比如：传输协议头、隧道协议头等等；或是上述信息的组合。具体地说，IP包头包括：源IP地址、目的IP地址、端口地址、介质访问控制(MAC)地址；IP包内的未加密信息包括：消息标识、消息名、UDP/TCP端口号、隧道标号、隧道类型。WAG可以先解析IP包头，再进一步解析IP包内未加密信息。

    步骤502：WAG将步骤501所获取的非加密信息与自身当前存储的规则数据进行匹配。

    这里，所述WAG自身当前的存储的规则数据有多种获取途径，比如：预先静态设置；或是WAG随时与AAA服务器、分组数据关口等其他网络单元协商获取；或直接接受AAA服务器、分组数据关口等网络单元的指示来更新当前存储的规则数据；也可能由用户终端来配置。

    步骤503～505：判断是否匹配成功，如果匹配成功，则拒绝将当前所收到的数据包继续传输；否则，允许当前所收到的数据包继续传输。实际本步骤就是判断当前处理的数据包是否符合传输要求，比如：是否来自某地址，是否去往某地址，是否为合法的隧道类型，是否为授权隧道标识等等。

    实施例一：

    一个3GPP-WLAN交互网络中，用户终端的外部IP地址由PLMN分配，用户终端到PDG的隧道协议采用L2TP/IPSEC；在本发明所述具有消息过滤模块的WAG中，设置如下规则：

    1)源IP地址属于10.11.30.XX地址段的消息，不允许通过本WAG。

    2)源IP地址属于10.11.31.XX地址段的消息，如果目的地址不是127.11.20.1X不允许通过本WAG。

    其中，规则1)可以防止某些没有权限的某组地址源，发送不必要的信息到WLAN网络中；规则2)可进一步详细的规定，某组地址源只允许发送信息到某些目的地址，比如：这些地址源只能享用某些PDG提供的服务，只能发送信息到指定的PDG，否则就作为无效信息过滤，如此就能够更大限度地避免无效消息进入WLAN网络。

    那么，对于规则1)，WAG当前收到数据包后，先提取出该数据包中的源IP地址信息；然后判断提取出的源IP地址是否属于10.11.30.XX地址段，如果属于，则不允许通过，也就是说，本WAG不再继续传输或处理该数据包。如果不属于，则本WAG会继续传输或处理该数据包。

    对于规则2)，WAG当前收到数据包后，先提取出该数据包中的源IP地址信息和目的IP地址信息；然后判断提取出的源IP地址是否属于10.11.30.XX地址段，如果不属于，则不允许通过，也就是说，本WAG不再继续传输或处理该数据包；如果属于，再继续判断目的IP地址是否不是127.11.20.1X，如果不是，则不允许通过，也就是说，本WAG不再继续传输或处理该数据包；如果是，则本WAG会继续传输或处理该数据包。

    在本实施例中，还可以进一步分析IP头后面的规则：如果IP内部紧接着采用的不是L2TP隧道，或不是隧道建立协商消息，则拒绝传输当前收到的消息。当然，也可以设置允许其他某种隧道，比如：允许GRE隧道协议消息继续传输；或同时允许几种特定隧道协议。

    本发明中所有静态设置的规则通常是针对用户群的，不是针对某个用户的。

    实施例二：

    除静态设置规则数据之外，还可以进行动态的规则数据设置，动态设置可以是针对用户群的，也可以是针对单个用户的。

    举个典型的应用实例，当用户被授权接入某个PDG后，WLAN网络下发规则数据到WAG，允许从当前被授权用户对应的源地址向某个PDG地址发送的信息通过WAG，具体可以通过对IP地址、隧道编号的判断来执行所述规则，具体的判断匹配过程与实施例一基本相同。在本实施例中，同样可进一步检查隧道协议封装是否合法，消息类型是否合法等等。

    以上所述，仅为本发明的较佳实施例而已，并非用来限定本发明的保护范围。