CN102045313A - 一种控制用户访问身份标识和位置分离网络的方法和*** - Google Patents
一种控制用户访问身份标识和位置分离网络的方法和*** Download PDFInfo
- Publication number
- CN102045313A CN102045313A CN2009102053267A CN200910205326A CN102045313A CN 102045313 A CN102045313 A CN 102045313A CN 2009102053267 A CN2009102053267 A CN 2009102053267A CN 200910205326 A CN200910205326 A CN 200910205326A CN 102045313 A CN102045313 A CN 102045313A
- Authority
- CN
- China
- Prior art keywords
- packet
- node
- network
- user
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种控制用户访问身份标识和位置分离网络的方法和***,用于访问控制的节点接收用户访问身份标识和位置分离网络中网络节点的数据包;获取所述数据包的目的地址和目的端口,如果目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,再获取所述数据包的源地址和源端口;用于访问控制的节点根据所述获取的所述数据包的源地址和源端口以及记录的源地址、源端口与访问所述网络节点权限的对应关系信息,查找所述源地址和源端口对应的访问权限;如果查找到所述源地址和源端口对应的访问权限,所述访问控制的节点根据所述权限控制所述用户与所述网络节点的通信。本发明能够保护身份标识和位置分离网络的安全。
Description
技术领域
本发明涉及通信技术领域,涉及身份标识和位置分离网络框架下的一种控制用户访问身份标识和位置分离网络中网络节点的方法和***。
背景技术
现有因特网广泛使用的传输控制协议/网络协议(Transmission Control Protocol/Internet Protocol,TCP/IP)协议中IP地址具有双重功能,既作为网络层的通信终端主机网络接口在网络拓扑中的位置标识,又作为传输层主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但是,当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。身份标识和位置分离问题提出的目的是为了解决IP地址的语义过载和路由负载严重,安全等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
目前提出了多种身份与位置分离的网络架构,包括HIP,LISP以及北京交通大学提出的均属身份标识和位置分离网络,本文以身份标识和位置分离网络架构为例进行描述。
为解决上述问题,中兴通讯提出了的一种身份标识和位置分离网络架构,如图1所示,为描述方便,下文将此用户身份标识和位置分离网络简称为SILSN(Subscriber Identifier & Locator Separation Network),将传统因特网简称为LIN(legacy InternetNetwork)。
在图1中,此SILSN由接入服务节点(Access Service Node,ASN)和用户终端(User Equipment,UE)、身份位置寄存器(Identification & LocationRegister,ILR)、互通网关(Inter-working Service Node,ISN)等组成。其中ASN用来实现用户终端的接入,并承担计费和切换等功能,ILR承担用户的位置注册和身份识别功能,ISN用于和传统Internet互通,ISN和ASN在物理上也可以合一设置。UE1是传统互联网用户,UE2是SILSN的用户。在本文将ASN、ILR、ISN等网络节点组成的网络称为SILSN的核心网(也可称为骨干网)。
如图1所示,通信***中LIN网络和SILSN核心网共存,当LIN网络中的用户向外网发送数据时,根据LIN中用户终端UE1发送的数据包的最终目的地,可以将UE1发送的数据包分为如下二种类型:
第一种类型为当LIN用户访问SILSN用户,如UE1->UE2,即最普通的访问方式;
这种类型数据包是发向SILSN的用户,也就是最终目的地是SILSN核心网外部。在这种情况下,核心网内的网络节点只起封装和转发的作用,并不解析数据包的实际内容,因此第一种数据包除了对SILSN的核心网的性能造成影响,并不会对核心网节点的安全性等造成明显影响;
第二种类型为传统因特网LIN用户访问SILSN核心网内的网络节点,也就是最终目的地是SILSN核心网内的网络节点,如UE1->ASN2。这种方式主要是方便对SILSN网络的远程管理和诊断,在SILSN建网初期,SILSN的管理员有可能不在SILSN本网覆盖区域内,如SILSN的管理员正在外地度假,这时候如果SILSN出现故障,需要远程诊断、测试和控制,就必须能通过LIN来对SILSN核心网节点进行访问;
由于SILSN管理员用户发出的数据包最终目的地为核心网内的网络节点,核心网内网络节点不仅要解析其内容,还要根据内容进行相应的处理,如修改配置、故障诊断、测试和控制等,上述操作对SILSN网络的正常运行影响很大,一旦有LIN中的恶意用户冒充SILSN管理员对网络进行恶意控制,将对SILSN的网络造成严重影响,因此必须对LIN用户进行严格的认证,并根据用户权限限制用户的行为模式。
为叙述方便,下文将SILSN管理员简称为管理员,也就是说,本文中提及的管理员都是SILSN的管理员,不包括LIN等其他网络的管理员。
为保护SILSN核心网的安全,SILSN只提供SILSN的用户和LIN的用户互通,而禁止LIN用户访问这些核心网内的网络节点,如ASN、ILR、ISN,但目前还没有一种避免LIN用户访问SILSN核心网内网络节点的方法。
发明内容
本发明实施例提供一种控制用户访问身份标识和位置分离网络的方法和***,能够保护身份标识和位置分离网络的安全。
为了解决上述问题,本发明提供了一种控制用户访问身份标识和位置分离网络中网络节点的方法,其特征在于,包括:
用于访问控制的节点接收用户访问身份标识和位置分离网络中网络节点的数据包;
获取所述数据包的目的地址和目的端口,如果目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,再获取所述数据包的源地址和源端口;
用于访问控制的节点根据所述获取的所述数据包的源地址和源端口以及记录的源地址、源端口与访问所述网络节点权限的对应关系信息,查找所述源地址和源端口对应的访问权限;
如果查找到所述源地址和源端口对应的访问权限,所述访问控制的节点根据所述权限控制所述用户与所述网络节点的通信。
进一步地,所述方法还可具有特点:
所述需进行访问控制的地址和端口是指:配置的一个或多个核心网管理节点(CNMP)节点的地址和端口,和/或,配置的身份标识和位置分离网络中网络节点的地址和端口。
进一步地,所述方法还可具有特点:
如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
如果符合,验证所述用户是否为网络管理员;
如果是网络管理员,允许所述用户与所述网络节点进行通信。
进一步地,所述方法还可具有特点:还包括,所述用于访问控制的节点在以下任一情况下丢弃所述数据包:
所述用于访问控制的节点如果在记录的对应关系信息中查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限不为开放;
所述用于访问控制的节点判断所述数据包非预先规定的网络管理请求数据包;
所述用于访问控制的节点判断所述数据包是预先规定的网络管理请求数据包,但验证确定所述用户非网络管理员。
进一步地,所述方法还可具有特点:
如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
如果符合,验证所述用户是否为网络管理员,当验证确定所述用户为网络管理员时,所述用于访问控制的节点再根据配置的该网络管理员可访问的网络节点信息判断所述用户是否具有访问所述网络节点的权限;
如果具有访问所述网络节点的权限,允许所述用户与所述网络节点进行通信,否则丢弃所述数据包。
进一步地,所述方法还可具有特点:
所述访问控制的节点根据所述权限,控制所述用户与所述网络节点的通信时,在所述权限为开放时,允许所述用户与所述网络节点进行通信,否则,丢弃所述数据包。
进一步地,所述方法还可具有特点:
当所述用于访问控制的节点丢弃具有同一源地址和源端口的数据包的总次数超过预先设置的次数阈值时,将所述数据包的源地址和源端口添加到开放状态表,并配置所述源地址和源端口对应的访问权限为屏蔽;
所述用于访问控制的节点收到具有对应访问权限为屏蔽的源地址和源端口的数据包后直接丢弃。
进一步地,所述方法还可具有特点:所述验证所述用户的身份是否为网络管理员通过以下方式实现:
所述用于访问控制的节点向身份位置寄存器发送管理员身份识别请求,携带所述用户的用户身份标识;
接收管理员身份认证识别响应,所述管理员身份认证识别响应中包括所述身份位置寄存器根据配置的网络管理员的身份标识对所述用户身份标识进行认证的结果;
根据所述管理员身份认证识别响应中的认证结果,确定所述用户是否为网络管理员。
进一步地,所述方法还可具有特点:
所述网络管理请求数据包中包含有管理员标识符,所述用于访问控制的节点是从所述网络管理请求数据包提取出其中的管理员标识符,发送到所述身份位置寄存器,所述身份位置寄存器根据配置的管理员标识符与收到的管理员标识符来判断所述用户是否是网络管理员。
进一步地,所述方法还可具有特点:
在确定所述数据包符合预先规定的网络管理请求数据包时,所述用于访问控制的节点还将所述数据包的源地址和源端口添加到所述开放状态表,并配置所述源地址和源端口对应的访问权限为冻结。
进一步地,所述方法还可具有特点:
如确定所述用户为网络管理员,所述用于访问控制的节点还将所述开放状态表中所述数据包的源地址和源端口对应的访问权限修改为开放。
进一步地,所述方法还可具有特点:
如确定所述用户非网络管理员,所述用于访问控制的节点将所述开放状态表中包含所述数据包的源地址和源端口的记录删除。
进一步地,所述方法还可具有特点:所述允许所述用户与所述网络节点进行通信通过如下方式实现:
所述用于访问控制的节点获取所述管理员身份认证响应中与所述用户通信的加密方式;
采用所述加密方式建立所述网络节点与所述用户的通信。
进一步地,所述方法还可具有特点:所述用于访问控制的节点为互通网关和核心网管理节点的组合,或者所述用于访问控制的节点为互通网关。
相应地,本发明提供的一种身份标识和位置分离网络***包括用于访问控制的节点,所述用户访问控制的设备包括:
接收模块,用于接收传统因特网中用户访问身份标识和位置分离网络中网络节点的数据包;
获取模块,用于获取所述数据包的目的地址和目的端口,如判断目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,再获取所述接收模块接收的数据包的源地址和源端口;
查找模块,用于在记录的源地址、源端口与访问所述网络节点权限的对应关系信息中查找所述数据包的源地址和源端口;
控制模块,用于在所述查找模块查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限为开放,允许所述用户与所述网络节点进行通信。
进一步地,所述***还可具有特点:所述用于访问控制的节点还包括:
第一判断模块,用于在所述开放状态表中没有查找到所述数据包的源地址和源端口时,再判断所述数据包是否为预先规定的网络管理请求数据包;
第一验证模块,用于在所述判断模块确定是所述预先规定的网络管理请求数据包时,验证所述用户是否为网络管理员;
所述控制模块,还用于在所述验证模块验证是网络管理员时,允许所述用户与所述网络节点进行通信。
进一步地,所述***还可具有特点:所述用于访问控制的节点还包括:
第二判断模块,用于如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
第二验证模块,如果符合,验证所述用户是否为网络管理员,当验证确定所述用户为网络管理员时,所述用于访问控制的节点再根据配置的该网络管理员可访问的网络节点信息判断所述用户是否具有访问所述网络节点的权限;
所述控制模块,还用于在所述验证模块确定所述用户具有访问所述网络节点的权限,允许所述用户与所述网络节点进行通信。
进一步地,所述***还可具有特点:所述控制模块还用于在以下任一情况下丢弃所述数据包:
如果在记录的对应关系信息中查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限不为开放;
判断所述数据包非预先规定的网络管理请求数据包;
判断所述数据包的格式符合预先规定的网络管理请求数据包的格式,但验证确定所述用户非网络管理员;
判断所述数据包是预先规定的网络管理请求数据包,且验证确定所述用户是网络管理员,但判断所述用户不具有访问所述网络节点的权限。
进一步地,所述***还可具有特点:
第四配置模块,用于当所述控制模块丢弃具有同一源地址和源端口的数据包的总次数超过预先设置的次数阈值时,将所述数据包的源地址和源端口添加到开放状态表,并配置所述源地址和源端口对应的访问权限为屏蔽;
丢弃模块,用于收到具有对应访问权限为屏蔽的源地址和源端口的数据包后直接丢弃。
进一步地,所述***还可具有特点,所述验证模块包括:
发送单元,用于向身份位置寄存器发送管理员身份识别请求,携带所述用户的用户身份标识;
接收单元,用于接收管理员身份认证识别响应,所述管理员身份认证识别响应中包括所述身份位置寄存器根据配置的网络管理员的身份标识对所述用户身份标识进行认证的结果;
确定单元,用于根据所述管理员身份认证识别响应中的认证结果,确定所述用户是否为网络管理员。
进一步地,所述***还可具有特点,所述用于访问控制的节点还包括:
第一配置模块,用于在所述第一判断模块确定所述数据包符合预先规定的网络管理请求数据包时,将所述数据包的源地址和源端口添加到所述开放状态表,并配置所述源地址和源端口对应的访问权限为冻结。
根据权利要求21所述的***,其特征在于于,所述用于访问控制的节点还包括:
第二配置模块,用于在所述第一验证模块确定所述用户为网络管理员时,将所述开放状态表中所述数据包的源地址和源端口对应的访问权限修改为开放。
进一步地,所述***还可具有特点,所述用于访问控制的节点还包括:
第三配置模块,用于在所述验证模块确定所述用户非网络管理员时,将所述开放状态表中包含所述数据包的源地址和源端口的记录删除。
根据权利要求15或16所述的***,其特征在于,所述控制模块还包括:
获取单元,用于获取所述管理员身份认证响应中与所述用户通信的加密方式;
建立单元,用于采用所述获取单元获取的加密方式建立所述网络节点与所述用户的通信。
进一步地,所述***还可具有特点:
所述获取模块如判断所述数据包的目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,是判断所述数据包的目的地址和目的端口是否配置的一个或多个核心网管理节点(CNMP)节点的地址和端口,和/或,配置的身份标识和位置分离网络中网络节点的地址和端口。
采用上述方法和***,解决了位于LIN内的网管用户访问SILSN核心网元的方法,保证了核心网的安全。在一实施例中,还可以实现位于LIN内普通用户无法访问SILSN核心网元节点。在一实施例中,还可防止来自于LIN内普通用户对CNMP的攻击(通过ISN中的端口控制);以及可以实现UE1和CNMP之间网管流的加密传送。此外,所有核心网节点只接受来自于CNMP的管理数据包,有助于核心网网元管理的安全。
附图说明
图1为现有技术中SILSN网络架构下LIN用户访问SILSN的两种类型的数据包的网络示意图;
图2为本发明实施例中位于LIN中的SILSN的管理员访问SILSN核心网网元的网络示意图;
图3为本发明实施例中基于CNMP进一步细化的网络架构示意图;
图4为实施例一中控制用户访问身份标识和位置分离网络中网络节点的方法时序图;
图5为实施例二中中控制用户访问身份标识和位置分离网络中网络节点的方法流程图;
图6为本发明实施例提供的一种身份标识和位置分离网络***中用于访问控制的节点的结构示意图;
图7为图6所示实施例中中用于访问控制的节点的另一结构示意图;
图8为图6所示实施例中验证模块的结构示意图;
图9为图7所示实施例中用于访问控制的节点的另一结构示意图;
图10为图9所示实施例中用于访问控制的节点的另一结构示意图;
图11为图6所示实施例中控制模块的结构示意图。
具体实施方式
下面结合附图详细描述本发明的具体实施方式。
在SILSN网络中,ISN起到SILSN网络和LIN网络互通的作用,当LIN网络中的用户和SILSN核心网中的用户相互访问时,由于SILSN网内寻址方式和LIN的寻址方式不同,需要ISN负责对双方数据格式和编址空间进行转换,其中所述编址空间为用户身份标识AID空间和公网IP地址空间。
ISN将SILSN内的用户设备以用户身份标识(AID,又称接入标识符)为标识的数据包映射成以LIN网络一段或多段公网IP地址和端口号为标识的数据包,其中这些一段或多段公网IP地址组成的地址空间记为S1,因此对于SILSN内的用户,无论他们的身份标识AID如何变化,当数据包经过ISN的转换而最终发向LIN后,所有用户的身份标识AID都会映射到S1内的某一个IP地址和端口号,因而对于LIN网络中的用户,他们看到的SILSN内的用户都在S1空间内,这样LIN网络中的用户访问SILSN网内用户,实际上只是访问S1空间的地址。
为保护SILSN核心网内网元安全,ISN不能让LIN用户直接访问SILSN核心网的网元地址,只允许其访问SILSN用户,也就是说,LIN内用户只能访问S1范围内的地址空间。
如上文所述,为了方便SILSN管理员在紧急情况下操作SILSN核心网网元,需要为SILSN管理员提供在LIN网络中访问核心网网元的能力,在保证SILSN管理员能从LIN管理SILSN的同时,也必须防止在LIN内的普通用户访问核心网元。
由于SILSN中用于网络管理的数据流量一般比用于业务的数据流量要小的多,并且大多数网管管理措施(如远程诊断、测试和控制)都从SILSN内部发起,也就是说SILSN中网管的流量大多来自SILSN内部,对于从LIN管理SILSN网元的网管流量很小,只是作为一个远程管理的补充,这种应用多用于紧急且需要设备厂商支持,或者紧急情况下有经验的管理员不在网管办公场所的情况,这种场合通常是比较少见的,因此此类数据流量一般是很小的,不需要太大处理能力,为便于此类数据流量的统一控制和管理,实现集中管理,为此本实施例引入了一个核心网管理节点(Core Network Management Proxy,CNMP),用CNMP来实现位于LIN中的管理员对SILSN网络管理,如图2所示:
核心网管理节点(Core Network Management Proxy,CNMP),用于处理位于LIN中的SILSN的管理员发送的用于网络管理数据包;
ISN,用于接收到LIN中的用户发送来的数据包,并判断所述数据包是否发送给CNMP的数据包,如果是,将该数据包转发给CNMP;否则,判断目的地址是否位于S1范围内,如果位于S1范围内,ISN对数据包进行转换后,将目的地址转换为AID,然后转发给ASN,再发给SILSN的目的用户;如果地址不位于S1范围内,则直接丢弃。
本实施例中,为了保证LIN中的除SILSN管理员用户之外的其他用户能正常访问SILSN内用户,但不能访问核心网内的网络节点,需要由ISN区分两种类型的数据包,通过识别UE1发出的数据包是类型一还是类型二,本实施例优选是在安全限制措施下,如特定报文格式,控制同一个源地址发送第一个数据包等,通过由ISN识别数据包的目的地址是否CNMP的地址,来区分是否是来自于LIN网络的对SILSN进行数据流量的管理。在本发明中,所述CNMP的地址为IP地址,可以是IPv4或IPv6地址。
当然,也可以通过其他实施方式,如可以采用不同的数据包的格式,或者通过约定的标识使ISN识别是否为发送给CNMP的数据包。
可选的,为了进一步防止LIN网络内用户攻击SILSN网络,ISN只接受目的地址在S1空间内的地址或者目的地址为CNMP地址的数据包,对其他数据包给予丢弃。ISN根据数据包的源地址和端口的开放信息,决定是否交由CNMP处理。
如果不交给CNMP,判断所述用户设备发起的数据包中的目的地址是CNMP的地址,则认为是第二种类型的数据包;当所述数据包的地址是不是CNMP地址但该目的地址在S1空间内时,认为是第一种类型的数据包,将按第一种类型的数据包进行处理,经过查询目的用户位置,并重新封装后,转发给目的用户当前注册的ASN。
如果交给CNMP进行处理,CNMP对发起方的身份进行识别,可以通过与ILR进行交互对所述发起方进行识别。当CNMP判断该数据包的发起方为SILSN的管理员时,CNMP将该数据包转发到被管理的核心网网元。
可选的,当ISN将该数据包发送到CNMP后,CNMP还可以进一步通过和ILR交互对发起方进行身份认证。在发起方的身份认证通过后,发起方和CNMP之间将建立一条安全隧道,通过这条安全隧道,CNMP可将所述发起方发送给被管理网元的消息转发给对应的被管理网元。
图3所示是本发明实施例中基于CNMP进一步细化的网络架构示意图,类型二的数据包从UE1发出后,经过ISN1判断其格式为网络管理请求数据包格式,且其源地址和端口不属于被限制的范围内时,由ISN1交由CNMP处理;CNMP收到该数据包后,提取数据包中用户身份标识,然后CNMP将此身份发给ILR,对由ILR对用户UE1的身份进行识别,确定UE1是否为SILSN的管理员用户身份,再将用户身份识别的结果通知CNMP。
为了避免LIN内普通用户以SILSN的管理员身份进行访问,CNMP若判断该数据包的发起方为SILSN的管理员后,将该数据包转发到被管理的核心网网元之前,还可以包括如下步骤:
CNMP通知ISN1开放UE1发送的数据包对应的源地址和端口,然后还可以进一步经由CNMP,使ILR通过和UE1经过消息交互对UE1的身份进行认证,然后ILR将身份认证的结果通知CNMP;认证通过后,CNMP将后续UE1发送给CNMP的数据包转交给被管理的核心网网元处理,如ASN2处理。
其中,ILR对UE1的身份认证通过后,ILR还可以进一步检查UE1是否具备管理被管理的核心网网元的权限,如ASN2的权限,如果ILR对UE1的身份认证不通过或者ILR检查到UE1不具备管理被管理的核心网网元的权限,则CNMP通知ISN进行防攻击处理,如可以“关闭”或“屏蔽”已经开放的UE1的源地址和所对应的端口;
其中,如果CNMP发现某LIN用户反复向CNMP发起网络管理请求,但身份认证多次不通过,当不通过次数超过一定次数门限时,CNMP可通知ISN将其发出的数据包的源地址和端口号状态改为“屏蔽”;
处于“屏蔽”状态的用户,ISN将不再转发此用户的任何数据包到CNMP。
进一步的,为防止位于LIN内的用户频繁发送数据包对CNMP发起拒绝服务攻击(如DOS攻击),还可以在ISN上保存以管理员用户的源地址发出的数据包的源地址和源端口开放的状态,这些状态可以保存在一个LIN中的SILSN的管理员用于管理用户的源地址和源端口的开放状态表(Open State Table,OPT)中,ISN检查用户源地址是否在OPT。当ISN收到来自于LIN用户的数据包时,提取数据包的源地址,然后在OPT检查这些源地址和源端口的开放状态;
如果状态是“开放”,则直接转发用户的数据到CNMP,如果状态是“冻结”,则丢弃此数据包,如果状态是“屏蔽”,则丢弃并告警;
如果用户源地址不在OPT中,则将这个数据包中携带的用户的源地址/源端口号放入OPT中,并将其状态改为“冻结”;
后续ISN可以根据CNMP的指令,更改OPT内用户的源地址/源端口的状态,如将“冻结”改为“开放”或者“屏蔽”等。
综上所述,本实施例中为防止来自于LIN的普通用户攻击核心网网元,ISN转发数据包到CNMP包括以下几个场景:
1、目的地址不是CNMP的地址的数据包都不转发给CNMP;
2、对于目的地址为CNMP的地址且源地址/源端口在OPT中的数据包,如果其状态为“开放”,则无条件转发给相应被管理的网元;
3、对于目的地址为CNMP的地址且源地址/源端口在OPT的数据包,如果其状态为“屏蔽”,则将此用户行为计入日志,丢弃此数据包,并根据条件选择告警;
4、对于目的地址为CNMP的地址且源地址/源端口在OPT的数据包,如果其状态为“冻结”,则丢弃此数据包;
5、对于目的地址为CNMP的地址且源地址/源端口不在OPT中的数据包,ISN只向CNMP转发该源地址/源端口发送来的第一个数据包,并将该源地址/源端口放入OPT中,其状态设为“冻结”。
需要说明的是,在实际应用中过程中,所述核心网管理节点和互通网关的功能可以在所述SILSN网络中一个节点上设置,如本发明中网络架构中的互通网关,通过内部的逻辑接口进行通信,其方法和流程与所述核心网管理节点和互通网关分开部署的情况下相同,此处不再赘述,为便于描述,本发明中将上述两种情况用于实现访问控制的节点简称为用于访问控制的节点。
下文以本发明实施例中上述两个网络节点分开部署的情况进行说明。
为了使本领域技术人员更加清楚地理解本发明提供的技术方案,下面以具体应用场景为例进行说明:
实施例一
本实施例一以位于LIN的SILSN的管理员用户发起访问的应用示例进行说明,如图4所示:
步骤401:位于LIN中的用户UE1需要访问SILSN网络中的核心网节点,发送网络管理请求消息到ISN,其中所述网络管理请求消息可以封装在IP数据包内,其目的地址为CNMP的地址,ISN接收到网络管理请求消息后,如果检查到消息的接收方为CNMP,执行步骤402;
需要说明的是,CNMP应预先规定此网络管理请求消息的格式,当ISN发现来自于LIN的数据包的源地址/源端口不在OPT中时,CNMP检查数据是否为这种消息格式,如果不是则丢弃。如果是则提取源地址端口,并在OPT中以此源地址端口为索引,生成一个记录,将其状态设为“冻结”,之后在收到CNMP开放端口命令前,不再接收用户UE1发送的其他消息,以避免用户发起的拒绝服务攻击。
步骤402:ISN收到网络管理请求消息,并将此消息发送给CNMP;
步骤403:CNMP在网络管理请求消息中直接提取用户的接入标识符AID,然后通过“识别管理员身份请求”发送到ILR;
步骤404:ILR根据AID判断该用户UE1是否具有管理员身份,并向CNMP返回“识别管理员身份响应”,如果该AID不是管理员的标识,则用识别管理员身份响应通知CNMP失败,如果该AID是管理员标识,则用验证AID响应通知CNMP可继续进行业务;
步骤405:CNMP收到识别管理员身份响应后,如果是可继续进行业务,即通过“端口控制消息”通知ISN开放该用户UE1对应的源地址和端口,如果是失败,则通知ISN关闭该用户UE1对应的源端口和目的端口;
步骤406:ISN收到端口控制消息后,如果CNMP要求异常关闭端口,则ISN判断此源地址异常关闭的次数,根据预先设置的门限决定是否要将此源地址放入黑名单,进行较长期的屏蔽,然后在“源地址临时屏蔽表项”中删除该源地址和源端口号,节省源地址临时屏蔽表空间,流程结束;
如果CNMP要求ISN正常开放端口,ISN开放对应的源端口和目的端口,允许ISN转发该用户UE1后续发送的消息到CNMP,执行步骤407;
步骤407:CNMP通过和ILR交互,对该用户UE1进行认证,同时检验该用户UE1当前希望管理的核心网网元地址和ILR中对该用户预先设定可管理的核心网网元地址是否一致,如果认证通过且管理的网元地址一致,则继续进行;
如果认证通过,UE1则执行步骤408;
如果认证不通过或者UE1要求管理的核心网网元和ILR中对UE1设置的可管理的网元地址不一致,CNMP向ISN发送“端口控制”消息,要求ISN关闭源地址和源端口,流程结束;
步骤408:UE1在正常认证通过后,经由CNMP向对应的网元如ASN,发送具体的网管消息,CNMP将此消息转发给ASN,CNMP还将收到ASN的消息发送给UE1;
可选的,如果步骤407的认证过程中已经协商了加密密钥,在此步骤中,UE1发送给ASN的消息也可以通过加密的方式发送给CNMP,CNMP也可以将ASN发的数据加密后发给UE1;
其中,步骤407的认证过程可采用现有技术的认证方式进行认证;
步骤409:CNMP将UE1发送的消息转发给相应的网元,如ASN,同ASN将相应消息发送给CNMP;
步骤410:当网管处理流程即步骤409结束后,被管理的核心网网元如ASN向CNMP发送“流程结束”消息,通知CNMP对应的网管处理流程已结束;
步骤411:CNMP收到“流程结束”消息后,向ISN发送“端口控制”消息,要求ISN正常关闭端口。
ISN收到此消息后,将对应端口关闭,不再接收和转发除了X1格式外的其他消息到SNM。
本实施例提供的方法,通过对发起访问请求的传统因特网用户进行身份验证,根据身份验证的结果控制访问SILSN核心网中网络节点的权限,保护了核心网的安全,同时实现位于LIN内普通用户无法访问SILSN核心网元节点的目的,同时通过ISN的端口控制,防止来自LIN内普通用户对CNMP的攻击;通过UE和CNMP之间网管流的加密传送,提高了传输的安全性。
实施例二
本实施例以LIN网络的普通用户发起访问的应用实例进行说明,如图5所示:
步骤501、ISN收到LIN的一个数据包,提取其目的地址。
步骤502、ISN判断此数据包的目的地址是否为CNMP地址,如果是,则执行步骤503,否则,执行步骤507。
步骤503、在目的地址为CNMP地址时,提取数据包的源地址和源端口号。
步骤504、判断源地址和端口号是否在OPT中,如果在,则执行步骤505,否则,执行步骤508。
步骤505、如果在OPT中,进一步判断其状态是否为“开放”,如果不为“开放”,则丢弃。
步骤506、如果是开放,则转发该数据包到CNMP。
步骤507、在目的地址不是CNMP地址时,按第一种数据包处理,此处不再赘述。
步骤508、在所述数据包的源地址不在OPT中,则判断是否为网络管理请求消息,如果是,则执行步骤509,否则执行步骤510。
步骤509、在确定是网络管理请求消息时,ISN将源地址和端口放入OPT中,并将状态设置为“冻结”,将此数据包发送给CNMP。
步骤510、在确定不是网络管理请求消息,则丢弃
上述应用示例中,ISN为来自于LIN网络的所有数据的目的地址只能为S1空间内的地址或者CNMP地址;
CNMP处理来自于LIN的网管用户接入、认证、加密等功能,只有经过CNMP和ILR认证通过的网管用户,才可以访问SILSN核心网网元,来自于LIN的普通用户只能访问S1空间地址;
ISN根据CNMP发送的指令,开放和关闭来自于LIN用户的源地址端口;
ISN在收到UE1的第一个发向CNMP数据包后,将UE1的源地址端口冻结起来,然后ASN在收到CNMP“端口控制”打开端口之前,不接收源地址为用户UE1的其他数据包;
CNMP和ILR要对网管用户可管理网元地址进行比较,不允许用户访问不属于管理员权限的核心网地址;
只有CNMP认为身份标识是管理员的用户,CNMP才转发此用户数据包到ILR进行用户认证。
只有ILR认证通过,且具备管理对应核心网网元地址能力的网管用户,CNMP才转发此用户数据包到对应的核心网网元。
CNMP可选择性的为UE1与CNMP的数据进行加密和解密。
需要说明的是,本发明以中兴通信提出的身份标识和位置分离网络架构为例进行说明,但不限于此,对于其他了多种身份与位置分离的网络架构同样适用,例如HIP,LISP以及北京交通大学提出的均属身份标识和位置分离网络,因实现方法相似,此处不再赘述。
本实施例提供的方法,通过对发起访问请求的传统因特网用户进行身份验证,根据身份验证的结果控制访问SILSN核心网中网络节点的权限,保护了核心网的安全,同时实现位于LIN内普通用户无法访问SILSN核心网元节点的目的。
如图6所示,本发明实施例提供一种身份标识和位置分离网络***,包括用于访问控制的节点,所述用户访问控制的节点包括:
接收模块601,用于接收传统因特网中用户访问身份标识和位置分离网络中网络节点的数据包;
获取模块602,用于获取所述接收模块接收的数据包的源地址和源端口;
查找模块603,用于在记录的源地址、源端口与访问所述网络节点权限的对应关系信息中查找所述数据包的源地址和源端口;
控制模块604,用于在所述查找模块603查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限为开放,允许所述用户与所述网络节点进行通信。
可选的,如图7所示,所述用于访问控制的节点还可以进一步包括:
第一判断模块701,用于在所述开放状态表中没有查找到所述数据包的源地址和源端口时,再判断所述数据包是否为预先规定的网络管理请求数据包;
第一验证模块702,用于在所述判断模块701确定是所述预先规定的网络管理请求数据包时,验证所述用户是否为网络管理员;
所述控制模块604,还用于在所述验证模块验证是网络管理员时,允许所述用户与所述网络节点进行通信。
进一步的,所述用于访问控制的节点还包括:
第二判断模块,用于如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
第二验证模块,如果符合,验证所述用户是否为网络管理员,当验证确定所述用户为网络管理员时,所述用于访问控制的节点再根据配置的该网络管理员可访问的网络节点信息判断所述用户是否具有访问所述网络节点的权限;
所述控制模块,还用于在所述验证模块确定所述用户具有访问所述网络节点的权限,允许所述用户与所述网络节点进行通信。
进一步的,所述控制模块604还用于在以下任一情况下丢弃所述数据包:
如果在记录的对应关系信息中查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限不为开放;
判断所述数据包非预先规定的网络管理请求数据包;
判断所述数据包的格式是预先规定的网络管理请求数据包,但验证确定所述用户非网络管理员;
判断所述数据包是预先规定的网络管理请求数据包,且验证确定所述用户是网络管理员,但判断所述用户不具有访问所述网络节点的权限。。
可选的,所述用于访问控制的节点还包括:
第四配置模块,用于当所述控制模块丢弃具有同一源地址和源端口的数据包的总次数超过预先设置的次数阈值时,将所述数据包的源地址和源端口添加到开放状态表,并配置所述源地址和源端口对应的访问权限为屏蔽;
丢弃模块,用于收到具有对应访问权限为屏蔽的源地址和源端口的数据包后直接丢弃。
进一步的,如图8所示,所述验证模块702还可以进一步包括:
发送单元7021,用于向身份位置寄存器发送管理员身份识别请求,携带所述用户的用户身份标识;
接收单元7022,用于接收管理员身份认证识别响应,所述管理员身份认证识别响应中包括所述身份位置寄存器根据配置的网络管理员的身份标识对所述用户身份标识进行认证的结果;
确定单元7023,用于根据所述管理员身份认证识别响应中的认证结果,确定所述用户是否为网络管理员。
可选的,如图9所示,所述用于访问控制的节点还可以进一步包括:
第一配置模块901,用于在所述第一判断模块确定所述数据包符合预先规定的网络管理请求数据包时,将所述数据包的源地址和源端口添加到所述开放状态表,并配置所述源地址和源端口对应的访问权限为冻结。
可选的,如图10所示,所述用于访问控制的节点还可以进一步包括:
第二配置模块1001,用于在所述第一验证模块确定所述用户为网络管理员时,将所述开放状态表中所述数据包的源地址和源端口对应的访问权限修改为开放。
第三配置模块1002,用于在所述验证模块确定所述用户非网络管理员时,将所述开放状态表中包含所述数据包的源地址和源端口的记录删除。
进一步的,如图11所示,所述控制模块604还可以进一步包括:
获取单元6041,用于获取所述管理员身份认证响应中与所述用户通信的加密方式;
建立单元6042,用于采用所述获取单元6041获取的加密方式建立所述网络节点与所述用户的通信。
本实施例提供的***,通过对发起访问请求的传统因特网用户进行身份验证,根据身份验证的结果控制访问SILSN核心网中网络节点的权限,保护了核心网的安全,同时实现位于LIN内普通用户无法访问SILSN核心网元节点的目的,同时通过ISN的端口控制,防止来自LIN内普通用户对CNMP的攻击;通过UE和CNMP之间网管流的加密传送,提高了传输的安全性。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (25)
1.一种控制用户访问身份标识和位置分离网络的方法,其特征在于,包括:
用于访问控制的节点接收用户访问身份标识和位置分离网络中网络节点的数据包;
获取所述数据包的目的地址和目的端口,如果目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,再获取所述数据包的源地址和源端口;
用于访问控制的节点根据所述获取的所述数据包的源地址和源端口以及记录的源地址、源端口与访问所述网络节点权限的对应关系信息,查找所述源地址和源端口对应的访问权限;
如果查找到所述源地址和源端口对应的访问权限,所述访问控制的节点根据所述权限控制所述用户对所述网络节点的通信。
2.根据权利要求1所述的方法,其特征在于:
所述需进行访问控制的地址和端口是指:配置的一个或多个核心网管理节点(CNMP)节点的地址和端口,和/或,配置的身份标识和位置分离网络中网络节点的地址和端口。
3.根据权利要求1所述的方法,其特征在于,还包括:
如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
如果符合,验证所述用户是否为网络管理员;
如果是网络管理员,允许所述用户与所述网络节点进行通信。
4.根据权利要求3所述的方法,其特征在于,还包括,所述用于访问控制的节点在以下任一情况下丢弃所述数据包:
所述用于访问控制的节点如果在记录的对应关系信息中查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限不为开放;
所述用于访问控制的节点判断所述数据包非预先规定的网络管理请求数据包;
所述用于访问控制的节点判断所述数据包是预先规定的网络管理请求数据包,但验证确定所述用户非网络管理员。
5.根据权利要求1所述的方法,其特征在于,
如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
如果符合,验证所述用户是否为网络管理员,当验证确定所述用户为网络管理员时,所述用于访问控制的节点再根据配置的该网络管理员可访问的网络节点信息判断所述用户是否具有访问所述网络节点的权限;
如果具有访问所述网络节点的权限,允许所述用户与所述网络节点进行通信,否则丢弃所述数据包。
6.根据权利要求1所述的方法,其特征在于:
所述访问控制的节点根据所述权限,控制所述用户与所述网络节点的通信时,在所述权限为开放时,允许所述用户与所述网络节点进行通信,否则,丢弃所述数据包。
7.根据权利要求4或5所述的方法,其特征在于:
当所述用于访问控制的节点丢弃具有同一源地址和源端口的数据包的总次数超过预先设置的次数阈值时,将所述数据包的源地址和源端口添加到开放状态表,并配置所述源地址和源端口对应的访问权限为屏蔽;
所述用于访问控制的节点收到具有对应访问权限为屏蔽的源地址和源端口的数据包后直接丢弃。
8.根据权利要求3或5所述的方法,其特征在于,所述验证所述用户的身份是否为网络管理员通过以下方式实现:
所述用于访问控制的节点向身份位置寄存器发送管理员身份识别请求,携带所述用户的用户身份标识;
接收管理员身份认证识别响应,所述管理员身份认证识别响应中包括所述身份位置寄存器根据配置的网络管理员的身份标识对所述用户身份标识进行认证的结果;
根据所述管理员身份认证识别响应中的认证结果,确定所述用户是否为网络管理员。
9.根据权利要求8所述的方法,其特征在于,还包括:
所述网络管理请求数据包中包含有管理员标识符,所述用于访问控制的节点是从所述网络管理请求数据包提取出其中的管理员标识符,发送到所述身份位置寄存器,所述身份位置寄存器根据配置的管理员标识符与收到的管理员标识符来判断所述用户是否是网络管理员。
10.根据权利要求5所述的方法,其特征在于:
在确定所述数据包符合预先规定的网络管理请求数据包时,所述用于访问控制的节点还将所述数据包的源地址和源端口添加到所述开放状态表,并配置所述源地址和源端口对应的访问权限为冻结。
11.根据权利要求10所述的方法,其特征在于:
如确定所述用户为网络管理员,所述用于访问控制的节点还将所述开放状态表中所述数据包的源地址和源端口对应的访问权限修改为开放。
12.根据权利要求10所述的方法,其特征在于:
如确定所述用户非网络管理员,所述用于访问控制的节点将所述开放状态表中包含所述数据包的源地址和源端口的记录删除。
13.根据权利要求1至6中任一权利要求所述的方法,其特征在于,所述允许所述用户与所述网络节点进行通信通过如下方式实现:
所述用于访问控制的节点获取所述管理员身份认证响应中与所述用户通信的加密方式;
采用所述加密方式建立所述网络节点与所述用户的通信。
14.根据权利要求1所述的方法,其特征在于,所述用于访问控制的节点为互通网关和核心网管理节点的组合,或者所述用于访问控制的节点为互通网关。
15.一种身份标识和位置分离网络***,其特征在于,包括用于访问控制的节点,所述用户访问控制的设备包括:
接收模块,用于接收传统因特网中用户访问身份标识和位置分离网络中网络节点的数据包;
获取模块,用于获取所述数据包的目的地址和目的端口,如判断目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,再获取所述接收模块接收的数据包的源地址和源端口;
查找模块,用于在记录的源地址、源端口与访问所述网络节点权限的对应关系信息中查找所述数据包的源地址和源端口;
控制模块,用于在所述查找模块查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限为开放,允许所述用户与所述网络节点进行通信。
16.根据权利要求15所述的***,其特征在于,所述用于访问控制的节点还包括:
第一判断模块,用于在所述开放状态表中没有查找到所述数据包的源地址和源端口时,再判断所述数据包是否为预先规定的网络管理请求数据包;
第一验证模块,用于在所述判断模块确定是所述预先规定的网络管理请求数据包时,验证所述用户是否为网络管理员;
所述控制模块,还用于在所述验证模块验证是网络管理员时,允许所述用户与所述网络节点进行通信。
17.根据权利要求15所述的***,其特征在于,所述用于访问控制的节点还包括:
第二判断模块,用于如果在所述开放状态表中没有查找到所述数据包的源地址和源端口,所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包;
第二验证模块,如果符合,验证所述用户是否为网络管理员,当验证确定所述用户为网络管理员时,所述用于访问控制的节点再根据配置的该网络管理员可访问的网络节点信息判断所述用户是否具有访问所述网络节点的权限;
所述控制模块,还用于在所述验证模块确定所述用户具有访问所述网络节点的权限,允许所述用户与所述网络节点进行通信。
18.根据权利要求17所述的***,其特征在于,
所述控制模块还用于在以下任一情况下丢弃所述数据包:
如果在记录的对应关系信息中查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限不为开放;
判断所述数据包非预先规定的网络管理请求数据包;
判断所述数据包的格式符合预先规定的网络管理请求数据包的格式,但验证确定所述用户非网络管理员;
判断所述数据包是预先规定的网络管理请求数据包,且验证确定所述用户是网络管理员,但判断所述用户不具有访问所述网络节点的权限。
19.根据权利要求18所述的方法,其特征在于,
第四配置模块,用于当所述控制模块丢弃具有同一源地址和源端口的数据包的总次数超过预先设置的次数阈值时,将所述数据包的源地址和源端口添加到开放状态表,并配置所述源地址和源端口对应的访问权限为屏蔽;
丢弃模块,用于收到具有对应访问权限为屏蔽的源地址和源端口的数据包后直接丢弃。
20.根据权利要求17所述的***,其特征在于,所述验证模块包括:
发送单元,用于向身份位置寄存器发送管理员身份识别请求,携带所述用户的用户身份标识;
接收单元,用于接收管理员身份认证识别响应,所述管理员身份认证识别响应中包括所述身份位置寄存器根据配置的网络管理员的身份标识对所述用户身份标识进行认证的结果;
确定单元,用于根据所述管理员身份认证识别响应中的认证结果,确定所述用户是否为网络管理员。
21.根据权利要求16所述的***,其特征在于,所述用于访问控制的节点还包括:
第一配置模块,用于在所述第一判断模块确定所述数据包符合预先规定的网络管理请求数据包时,将所述数据包的源地址和源端口添加到所述开放状态表,并配置所述源地址和源端口对应的访问权限为冻结。
22.根据权利要求21所述的***,其特征在于于,所述用于访问控制的节点还包括:
第二配置模块,用于在所述第一验证模块确定所述用户为网络管理员时,将所述开放状态表中所述数据包的源地址和源端口对应的访问权限修改为开放。
23.根据权利要求21所述的***,其特征在于,所述用于访问控制的节点还包括:
第三配置模块,用于在所述验证模块确定所述用户非网络管理员时,将所述开放状态表中包含所述数据包的源地址和源端口的记录删除。
24.根据权利要求15或16所述的***,其特征在于,所述控制模块还包括:
获取单元,用于获取所述管理员身份认证响应中与所述用户通信的加密方式;
建立单元,用于采用所述获取单元获取的加密方式建立所述网络节点与所述用户的通信。
25.根据权利要求15所述的***,其特征在于:
所述获取模块如判断所述数据包的目的地址和目的端口属于需进行访问控制的目的网元的地址和端口,是判断所述数据包的目的地址和目的端口是否配置的一个或多个核心网管理节点(CNMP)节点的地址和端口,和/或,配置的身份标识和位置分离网络中网络节点的地址和端口。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910205326.7A CN102045313B (zh) | 2009-10-10 | 2009-10-10 | 一种控制用户访问身份标识和位置分离网络的方法和*** |
| PCT/CN2010/075908 WO2011041963A1 (zh) | 2009-10-10 | 2010-08-11 | 控制用户访问网络的方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910205326.7A CN102045313B (zh) | 2009-10-10 | 2009-10-10 | 一种控制用户访问身份标识和位置分离网络的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045313A true CN102045313A (zh) | 2011-05-04 |
| CN102045313B CN102045313B (zh) | 2014-03-12 |
Family
ID=43856369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910205326.7A Active CN102045313B (zh) | 2009-10-10 | 2009-10-10 | 一种控制用户访问身份标识和位置分离网络的方法和*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102045313B (zh) |
| WO (1) | WO2011041963A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111193727A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 运行监测***及运行监测方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752266B (zh) * | 2011-04-20 | 2015-11-25 | ***通信集团公司 | 访问控制方法及其设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040160975A1 (en) * | 2003-01-21 | 2004-08-19 | Charles Frank | Multicast communication protocols, systems and methods |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN1801764A (zh) * | 2006-01-23 | 2006-07-12 | 北京交通大学 | 一种基于身份与位置分离的互联网接入方法 |
-
2009
- 2009-10-10 CN CN200910205326.7A patent/CN102045313B/zh active Active
-
2010
- 2010-08-11 WO PCT/CN2010/075908 patent/WO2011041963A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040160975A1 (en) * | 2003-01-21 | 2004-08-19 | Charles Frank | Multicast communication protocols, systems and methods |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| CN1801764A (zh) * | 2006-01-23 | 2006-07-12 | 北京交通大学 | 一种基于身份与位置分离的互联网接入方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111193727A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 运行监测***及运行监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045313B (zh) | 2014-03-12 |
| WO2011041963A1 (zh) | 2011-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101867530B (zh) | 基于虚拟机的物联网网关***及数据交互方法 | |
| JP3651721B2 (ja) | 移動計算機装置、パケット処理装置及び通信制御方法 | |
| US6163843A (en) | Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme | |
| CN101119206B (zh) | 基于标识的一体化网络终端统一接入控制方法 | |
| CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| CN1531284B (zh) | 网络基础结构的保护及控制信息的安全通信 | |
| KR101048510B1 (ko) | 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치 | |
| WO2012077603A1 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
| TWI292273B (en) | Apparatus of using watermarking to reduce communication overhead and method for the same | |
| US20150188888A1 (en) | Virtual private network gateway and method of secure communication therefor | |
| CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和*** | |
| CN105611534A (zh) | 无线终端识别伪WiFi 网络的方法及其装置 | |
| CN102480729A (zh) | 无线接入网中防止假冒用户的方法及接入点 | |
| CN102045307B (zh) | 一种网络设备管理的方法及相应的网络*** | |
| JPH11177582A (ja) | パケット転送方法および該方法に用いる基地局 | |
| CN102123071B (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
| WO2011082584A1 (zh) | 数据报文分类处理的实现方法、网络及终端 | |
| CN102045313B (zh) | 一种控制用户访问身份标识和位置分离网络的方法和*** | |
| CN102045316B (zh) | 一种匿名通信的注册、通信方法及数据报文的收发*** | |
| KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
| CN101969478A (zh) | 一种智能dns报文处理方法及处理装置 | |
| Escudero-Andreu et al. | Analysis and design of security for next generation 4G cellular networks | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| US20130262672A1 (en) | Method and system for monitoring locator/identifier separation network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201218 Address after: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen Patentee before: ZTE Corp. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. Address before: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230927 Address after: Room 1412, No. 579, Qianjin East Road, Kunshan Development Zone, Suzhou City, Jiangsu Province, 215300 Patentee after: Suzhou Tanyun Purification Technology Co.,Ltd. Address before: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd. |