[发明专利]网络业务保护方法和业务网关

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种网络业务保护方法和业务网关。

背景技术

目前的网络例如GPRS(通用分组无线业务)/UMTS(通用移动通信系统)、CDMA(码分多址接入)、WiMAX(微波接入世界协作论坛)网络都可以提供分组数据业务，满足人们随时随地进行数据通信的需要。通过无线接入提供分组数据业务，需要分组业务网关，分组业务网关在GPRS/UMTS网络上被称为GGSN(GPRS网关支持节点)，在CDMA网络上被称为PDSN(分组数据服务节点)，在WiMAX网络上被称为ASN GW(接入服务网网关)。分组业务网关与无线接入网侧相连的接口为接入侧接口，如GGSN的Gn口、PDSN的RP口、ASN GW的R6口，与分组数据网络PDN侧相连的接口为网络侧接口，如GGSN的Gi口、PDSN的Pi口、ASN GW的R3口。APN(AccessPoint Name，接入点名称，对应于GPRS/UMTS网络)或Domain(域，对应CDMA网络)是一种接入标识，可以标识出分组业务网关和PDN(分组数据网络)。APN或Domain中配置的参数包括：接入的PDN、鉴权方式、IP地址分配方式、DNS属性等。针对不同的PDN，需配置不同的APN或Domain。例如，假设GGSN提供移动用户通过某ISP访问Internet，同时也允许用户访问某企业网，那么就需要在GGSN上建立两个APN：一个用于用户访问互联网Internet，另一个用于用户访问企业网。

在网络当中，网络安全十分重要，一般都设置防火墙。防火墙的作用是保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。防火墙技术中涉及到安全域的概念。一个安全域是一个或多个接口的任意组合，具有一个安全级别(安全级别在下面简称为安全级)。在设备内部，这个安全级通过一个0-100的数字来表示，数字越大表示安全级越高，不存在两个具有相同安全级的安全域。现有技术中一般只有当业务报文在分属于两个不同安全域的接口之间流动的时候，才会激活防火墙的安全规则检查功能。

现有技术中，已经开始出现在分组网关集成防火墙功能，为用户提供安全的业务的需求。通过分组网关内置防火墙功能，用于对网络侧接口安全域提供安全防护，与在网络侧接口外置防火墙提供的功能相同，但可以简化组网。

在对现有技术的研究和实践过程中，发明人发现现有技术存在以下问题：

虽然现有技术已经开始在分组网关内置防火墙功能，但现有技术依然是只有当业务报文在分属于两个不同安全域的接口之间流动的时候，才会激活防火墙的安全规则检查功能，但多个APN或Domain可能对应同一个接口，而从一个APN或Domain到另外一个接口流动时，也可能存在安全问题，因此现有技术提供的网络业务保护方法还有待改善。

发明内容

本发明实施例的目的是提供一种网络业务保护方法和业务网关，能够更好的对网络业务进行保护。

为解决上述技术问题，本发明所提供的实施例是通过以下技术方案实现的：

本发明实施例提供一种网络业务保护方法，包括：业务网关接收业务报文；所述业务网关对所述业务报文进行检测，若判断出所述业务报文的网络侧接口对应的安全域与所述业务对应的用户所属接入标识对应的安全域不同，则将所述业务报文进行安全处理。

本发明实施例提供一种业务网关，包括：对外接口模块，用于接收业务报文；分组网关模块，用于对所述业务报文进行检测，若判断出所述业务报文的网络侧接口对应的安全域与所述业务对应的用户所属接入标识对应的安全域不同，则将所述业务报文转发到防火墙模块进行安全处理；防火墙模块，用于对所述分组网关模块转发的所述业务报文进行安全处理。

上述技术方案可以看出，本发明实施例通过引入分组业务网关用户信息，通过网络侧接口对应的安全域与业务对应的用户所属接入标识对应的安全域的比较来判断是否需要进行安全处理，从而实现更深层次的安全防护，比现有技术的安全保护更完善。

附图说明

图1是本发明实施例对应上行过程网络业务保护方法流程图；

图2是本发明实施例对应下行过程网络业务保护方法流程图；

图3是本发明实施例一网络业务保护方法流程图；

图4是本发明实施例二网络业务保护方法流程图；

图5是本发明实施例业务网关结构示意图。

具体实施方式

本发明实施例提供了一种网络业务保护方法，能够更好的对网络业务进行保护。