[发明专利]一种在通信网络系统中进行分散式安全控制的方法和装置

说明书

技术领域

本发明涉及通信网络系统的安全控制，特别涉及一种通信网络系统 中分散式安全控制的方法和装置。

背景技术

随着网络技术的演进，以及越来越多的用户设备要求接入英特网， 运营商对于网络的安全性和可运营性提出了更高的要求，特别是如何在 无线终止设备等网络设备上建立并执行网络安全控制机制变得越来越 重要。

在固定网络和移动网络融合(FMC，Fixed Mobile Convergence)的 技术发展趋势下，无线局域网技术(WLAN，Wireless LAN)将发挥重 要作用，特别是802.11无线局域网和DSL(Digital Subscribe Line，数字 用户线路)技术相结合的情形，其中IETF(Internet Engineering Task Force，因特网工程任务组)的CAPWAP(Control And Provisioning of Wireless Access Points)工作组定义的集中式无线局域网架构(Centralized WLAN architecture)是目前部署这样的无线网络的优选方案。在该架构 下，WTP(Wireless Termination Point，无线终止设备)与AC(Access Controller，接入控制器)之间使用CAPWAP协议进行通信，转发控制信 息和数据信息。

在现有技术(如现有的RFC4118 CAPWAP协议)中，无线终止设 备仅仅对来自无线局域网中的用户终端的数据包的源MAC地址进行合 法性检查，因此也无法防止某些恶意用户终端通过利用别的用户终端的 IP地址向无线终止设备甚至接入节点设备发送大量恶意数据包，从而对 网络发起攻击(比如DoS攻击，Denial of Service)。因此在现有技术中 无线终止设备在网络安全控制方面起的作用非常有限，不能起到防止IP 地址欺骗(IP address anti-spoofing)等网络安全控制的作用。另外，现 有技术中接入控制器并没有将更多的诸如IP地址等可用于网络安全控 制的参数实时地配置给无线终止设备等网络设备，也进一步限制了无线 终止设备这些更靠近用户终端的网络设备发挥更强的网络安全控制功 能，从而也限制了整个通信网络系统的安全性。而事实上，随着网络的 演进和技术的发展，如何使得那些更靠近用户终端的网络设备发挥更强 的网络安全控制功能，已成为增强整个通信网络系统安全的重要可行途 径之一。

发明内容

本发明正是为了进一步提高现有技术中的无线终止设备等更靠近 用户终端的网络设备在网络安全控制方面所起的作用而提出的。通过本 发明，提出了一种在通信网络系统中进行分散式安全控制的方法，涉及 网络控制设备和第二网络设备，其中，网络控制设备负责动态创建网络 安全控制机制，并将创建好的网络安全控制机制配置给第二网络设备； 而第二网络设备在负责解释和执行网络安全控制机制，对它所接收到的 数据包进行合法性检查并进行相应处理，从而保证网络安全。

根据本发明的第一方面，提供了一种在通信网络系统中进行分散 式安全控制的方法，所述通信网络包括网络控制设备和一个或多个第 二网络设备，以及一个或多个用户终端，首先，所述网络控制设备动 态创建网络安全控制机制，所述网络安全控制机制用于在所述一个或 多个第二网络设备上对来自所述用户终端的数据包进行合法性检查； 其次，所述网络控制设备将所述网络安全控制机制发送给所述一个或 多个第二网络设备；最后，所述一个或多个第二网络设备根据所述网 络安全控制机制对来自所述用户终端的数据包进行合法性检查；如果 所述数据包不符合所述网络安全控制机制，则丢弃该数据包。

根据本发明的第二方面，提供了一种在通信网络系统的网络控制 设备中用于引导所述通信网络系统中的一个或多个第二网络设备进 行分散式安全控制的方法，其中所述通信网络系统还包括一个或多个 用户终端，在该方法中，网络控制设备首先创建网络安全控制机制， 所述网络安全控制机制用于在所述一个或多个第二网络设备上对来 自所述用户终端的数据包进行合法性检查；其次将所述网络安全控制 机制发送给所述一个或多个第二网络设备。