一种对外部网络接入的控制方法

1.一种对外部网络接入的控制方法，应用于无线局域网和第三代合作伙伴计划(WLAN-3GPP)网络互通场景下外部网络向WLAN和3GPP网络组成的内部网络传送数据的情况，其特征在于，包括以下步骤：
a)根据网络所采取的安全级别建立用于存储网络区分标识的数据表，根据安全策略选择相应的网络区分标识存入该数据表，而且在每次外网网关建立隧道的过程中，将相应的网络区分标识存入该数据表；
b)当外部网络向内部网络用户设备发送的数据包到达外网网关时，检查该数据包中网络区分标识信息是否包含在数据表中，如果是，则允许该数据通过，否则将该数据包丢弃。
2.根据权利要求1所述方法，其特征在于，所述根据安全策略的不同选择的网络区分标识是用户设备地址，或用户设备的无线局域网接入点名，或以上情况的组合。
3.根据权利要求1所述方法，其特征在于，如果所述在内部网络的用户设备与外网网关建立通信隧道，则根据安全策略选择的网络区分标识是建立隧道的外部网络地址，或建立隧道的用户设备地址，或建立隧道的目标用户设备地址与隧道属性的映射关系，或建立隧道的外部网络地址与隧道属性的映射关系，或以上情况的组合。
4.根据权利要求1所述方法，其特征在于，如果所述在内部网络的用户设备与外网网关建立通信隧道，数据包中的目的用户地址采用IPV6格式，且目的用户设备与外部网络支持流，数据包中的流标识非零时，所述根据安全策略选择的网络区分标识是目的端用户设备地址，或建立隧道的外部网络地址、建立隧道的用户设备地址与流标识映射关系，或以上情况的组合。
5.根据权利要求1所述方法，其特征在于，所述数据表中进一步包括用户设备标识，并建立用户设备标识与网络区分标识的映射关系。
6.根据权利要求2、3或4所述方法，其特征在于，所述地址是IP地址、TCP端口号、或它们的组合。
7.根据权利要求2、3或4所述方法，其特征在于，所述地址是IP地址、UDP端口号、无线局域网接入点名(W-APN)、或以上组合。
8.根据权利要求3所述方法，其特征在于，所述隧道属性至少包括隧道标识。
9.根据权利要求1所述方法，其特征在于，所述外网网关是分组数据网关。
10.根据权利要求1所述方法，其特征在于，所述用户设备是WLAN接入网的用户设备。

技术领域\n本发明涉及对外部网络接入的控制技术，特别是指无线局域网和第三代合作伙伴计划(WLAN-3GPP)网络互通中对外部网络接入的控制方法。\n背景技术\n随着WLAN技术的兴起和发展，WLAN与无线移动通信网，包括全球移动通信系统(GSM)、码分多址(CDMA)、宽带码分多址(WCDMA)、时分同步码分多址(TD-SCDMA)和CDMA 2000等网络的融合正成为当前研究的重点。其中，GSM、CDMA、WCDMA、TD-SCDMA已纳入到3GPP，CDMA 2000属于3GPP2。\n3GPP TS23.234对于WLAN-3GPP互通场景3的规定为：当UE通过3GPP归属网络的业务授权后，UE与PDG之间进行隧道建立过程，此时在PDG中存储有UE的签约信息、隧道信息和其它相关信息，此过程为移动台发起(MO)过程。\n参见图1所示，在WLAN与3GPP网络互通场景3的非漫游情况下。WLAN接入网102与外部互联网(internet)或内联网(intranet)104直接连接，并且，用户设备(UE)101通过WLAN接入网102分别与3GPP归属网络(3GPP Home Network)的3GPP认证授权计费服务器(AS，3GPP AAAServer)103和分组数据网关(PDG，Packet Data Gateway)105连接，PDG105通过Wi接口连接至属于外部网络部分的分组数据网络(PDN，PacketData Network)。通常情况下，当UE 101希望通过WLAN接入网102直接接入Internet/Intranet 104时，可向3GPP归属网络申请互通场景2的业务。如果UE 101还希望接入3GPP分组交换(PS)域业务，通过WLAN-3GPP网络接入到PDN，可进一步向3GPP归属网络申请互通场景3的业务。即UE 101向3GPP归属网络的AS 103发起互通场景3的业务授权过程请求，3GPP归属网络的AS 103对业务请求进行业务鉴权和授权，如果成功，则AS 103给用户发送接入允许消息，AS 103给UE 101分配相应的PDG 105，UE 101与分配的PDG 105之间建立隧道。并且，计费网关(CGw)107a/计费信息收集系统(CCF)107a/在线计费系统(OCS)107b根据UE 101的网络使用情况记录计费信息。对于非漫游情况所建立的隧道是UE-WLAN-PDG。这时，UE 101就可以接入3GPP PS域业务，UE 101可通过与PDG 105的隧道与属于外部网络的PDN之间进行互访，PDN包括Internet、Intranet等移动网以外的所有分组数据网络。\nWLAN接入网与3GPP互通场景3中的漫游情况与非漫游情况相似，其简化网络结构参见图2所示。在漫游情况下，WLAN接入网102通过3GPP访问网络(3GPP Visited Network)与3GPP归属网络相连。WLAN接入网102与UE 101、3GPP AAA服务器代理(AS Proxy)201、Internet/Intranet 104和无线接入网关(WAG)202相连。UE 101可通过3GPP访问网络向3GPP接入网络申请互通场景2业务接入到Internet/Intranet 104。如果UE 101还希望申请互通场景3业务，接入到3GPP PS域业务，UE 101需要通过3GPP访问网络向3GPP归属网络发起业务授权过程，该过程同样在UE 101和3GPP归属网络的AS 103之间进行，当授权成功后，AS 103给UE 101分配相应的归属PDG 105，UE 101通过3GPP访问网络中的WAG 202与分配的PDG 105之间建立隧道。对于漫游情况，所建立的隧道是UE-WLAN-WAG-PDG。这时，UE 101可以接入归属网络的3GPP PS域业务。\n隧道建立之后，UE可以通过PDG接入3GPP的PS域业务，UE发出的数据经隧道到达PDG后，PDG对数据进行解封装，然后将数据通过Wi接口发送到外部网络。当外部网络向UE发送数据时，PDG对数据进行封装后，通过所建立的隧道发送给UE，UE进行解封装并接收数据。但是，由于Wi接口为开放接口，因此，隧道建立后，合法的外部网络和非法的外部网络都可以通过该接口给UE发送数据。如果非法恶意攻击者通过非法手段获取到UE的IP地址等地址信息，然后向UE发送无用数据，将影响UE接入正常的业务；或者非法恶意攻击者在没有获取UE地址情况下，向PDG大量发送无用数据，如果PDG不对数据包进行筛选和过滤，将造成业务阻塞或浪费网络资源。\n发明内容\n有鉴于此，本发明的主要目的在于提供一种对外部网络接入控制的方法。对外部网络向WLAN-3GPP互通网络内部发送的数据进行过滤，滤除非法外部网络的数据包，只允许合法的外部网络数据进入，从而保证UE接入正常的业务和网络畅通。\n本发明的一种对外部网络接入的控制方法，应用于无线局域网和第三代合作伙伴计划(WLAN-3GPP)网络互通场景下外部网络向WLAN和3GPP网络组成的内部网络传送数据的情况，包括以下步骤：\na)根据网络所采取的安全级别建立用于存储网络区分标识的数据表，根据安全策略选择相应的网络区分标识存入该数据表，而且在每次外网网关建立隧道的过程中，将相应的网络区分标识存入该数据表；\nb)当外部网络向内部网络用户设备发送的数据包到达外网网关时，检查该数据包中网络区分标识信息是否包含在数据表中，如果是，则允许该数据通过，否则将该数据包丢弃。\n该方法所述根据安全策略的不同选择的网络区分标识是用户设备地址，或用户设备的无线局域网接入点名，或以上情况的组合。\n该方法如果所述在内部网络的用户设备与外网网关建立通信隧道，则根据安全策略选择的网络区分标识是建立隧道的外部网络地址，或建立隧道的用户设备地址，或建立隧道的目标用户设备地址与隧道属性的映射关系，或建立隧道的外部网络地址与隧道属性的映射关系，或以上情况的组合。\n该方法如果所述在内部网络的用户设备与外网网关建立通信隧道，数据包中的目的用户地址采用IPV6格式，且目的用户设备与外部网络支持流，数据包中的流标识非零时，所述根据安全策略选择的网络区分标识是目的端用户设备地址，或建立隧道的外部网络地址、建立隧道的用户设备地址与流标识映射关系，或以上情况的组合。\n该方法所述数据表中进一步包括用户设备标识，并建立用户设备标识与网络区分标识的映射关系。\n该方法所述地址是IP地址、TCP端口号、或它们的组合。\n该方法所述地址是IP地址、UDP端口号、无线局域网接入点名(W-APN)、或以上组合。\n该方法所述隧道属性至少包括隧道标识。\n该方法所述外网网关是分组数据网关。\n该方法所述用户设备是WLAN接入网的用户设备。\n从上述方案可以看出，本发明方法通过在用户与外部网络建立隧道过程中将用户归属地址信息保存在数据表，并在外部网络向用户发送的数据包到达外网网关时，检查数据包中所含地址信息是否包含在数据表中，使只有包含有数据表中所记录地址信息的数据包通过外网网关到达内部网络，从而过滤掉无用、非法的数据包，保障了网络安全，实现网络资源的有效利用。\n附图说明\n图1为WLAN与3GPP网络互通场景3非漫游情况下的结构示意图；\n图2为WLAN与3GPP网络互通场景3漫游情况下的结构示意图；\n图3为IPV6数据包采用UDP/IP封装格式示意图；\n图4为IPV4数据包采用UDP/IP封装格式示意图；\n图5为IPV6数据包采用TCP/IP封装格式示意图；\n图6为IPV4数据包采用TCP/IP封装格式示意图；\n图7为本发明较佳实施方案的数据表示意图。\n具体实施方式\n下面结合附图及具体实施例对本发明再作进一步详细的说明。\n本发明在从外部网络发送的数据包到达WLAN-3GPP互通网络用于接收外部网络数据的外网网关时，通过分析数据包中的网络区分标识，来识别并滤除非法的数据包。\n根据现有的3GPP TS23.234标准，当UE完成接入外部网络的业务授权，与外网网关，即PDG建立隧道后，在PDG中存储该UE标识、UE归属地址信息、隧道属性信息以及UE的无线局域网接入点名(W-APN)等其它相关信息。当UE通过PDG和Wi接口与外部网络通信时，PDG会进一步获知UE的IP地址、UDP端口号或TCP端口号等地址信息，该外部网络的IP地址、UDP端口号或TCP端口号等地址信息；另外，该外部网络也将获知UE的IP地址、UDP端口号或TCP端口号，以及隧道属性等信息。以上这些信息，本发明中称作网络区分标识用于网络设备或隧道之间的相互区分，并可进一步用于识别通过隧道的合法数据和非法数据。\n就此，本发明在外网网关中建立用于存储互通网络中网络区分标识的数据表。数据表中的内容根据网络所采取的安全级别来确定。通常，运营商可根据用户、业务、外部网络以及网络承载能力等来自行决定所采用的网络安全级别，或者选择是否使用安全措施控制外部网络的接入。\n并进一步建立安全过滤功能模块，在每次内部网络的用户设备与外部网络，即外网网关建立隧道的过程中，将相应的网络区分标识存入数据表。在外部网络向内部网络用户发送的数据包到达外网接口网关时，通过检查数据包中所包含的网络区分标识信息是否包含在数据表中，来过滤掉非法的数据包。\n本发明的安全过滤功能模块和数据表也可以建立在外网网关设备之外，网络区分标识从外网网关中导出，并对到达外网网关的数据包进行检查。\n本发明在数据表中保存的网络区分标识及与之对应的安全过滤策略可以有以下几种方案：\n(1)采用数据包的源地址作为网络区分标识，即外部网络地址：\n将对应外部网络的IP地址、或TCP端口号、或IP地址和TCP端口号保存在数据表；如果外部网络采用UDP/IP协议，则相应的将外部网络的IP地址、或UDP端口号、或IP地址和UDP端口号保存在数据表中，作为合法源地址。\n当外部网络发来的数据包到达外网网关后，检查数据包中源地址是否包含在数据表源地址名单中，如果是，则允许其通过，否则，将该数据包丢弃。\n(2)采用数据包的目的地址作为网络区分标识，即UE地址：\n将用户设备的IP地址、或TCP端口号、或W-APN、或以上组合保存在数据表；如果内部网络采用UDP/IP协议，则相应的将外部网络的IP地址、或UDP端口号、或W-APN、或以上组合保存在数据表中，作为合法源地址。\n当外部网络发来的数据包到达外网网关后，检查数据包中目的地址是否包含在数据表目的地址名单中，如果是，则允许其通过，否则，将该数据包丢弃。\n(3)采用目的地址与隧道属性的映射关系，或目的地址、源地址与隧道属性三者的映射关系作为网络区分标识：\n如果只建立目的地址与隧道属性的映射关系，将用户设备的地址与隧道属性保存在数据表中，并建立它们之间一一对应的映射关系，在隧道属性中至少包括有隧道标识。\n当外部网络发来的数据包到达外网网关后，检查数据包中UE的地址与数据包所要通过的外网网关和UE之间隧道的映射关系是否与数据表中包含的映射关系匹配，如果是，则允许其通过，否则，将该数据包丢弃。\n对于目的地址、源地址与隧道属性三者的映射关系的情况以此类推。\n(4)对于数据包中的目的用户地址采用IPV6格式，且目的用户设备与外部网络支持流格式，数据包中的流标识非零时，除了可采用(1)、(2)两种方式将网络区分标识设置为源地址或目的地址外，还可设定网络区分标识为源地址、目的地址和流标识的映射关系：\n将外部网络地址、用户设备的地址与流标识保存在数据表中，并建立它们之间的映射关系。\n当外部网络发来的数据包到达外网网关后，检查外部网络地址、用户设备的地址与流标识的映射关系是否包含在数据表中，如果是，则允许其通过，否则，将该数据包丢弃。\n此外，为了更大限度地过滤无用数据，本发明较佳的实施方式是将上述四种方案组合使用，如方案(1)、(2)、(3)两两组合，或三个方案共同使用；对于数据包中的目的用户地址采用IPV6格式的，可将方案(1)、(2)、(4)两两组合，或共同使用。\n例如，在通过外网网关与内部网络通信的外部网络中，有以下几种数据包的封装格式：\na)IPV6格式，数据包采用UDP/IP封装格式，参见图3所示；\nb)IPV4格式，数据包采用UDP/IP封装格式，参见图4所示；\nc)IPV6格式，数据包采用TCP/IP封装格式，参见图5所示；\nd)IPV4格式，数据包采用TCP/IP封装格式，参见图6所示。\n在PDG中建立包括UE标识、UE IP地址、UE与PDG隧道属性信息、外部网络地址的数据表，参见图7所示。其中，针对IPV4格式，建立隧道属性、UE地址和外部网络地址的映射关系；并针对IPV6格式，建立流标识、UE地址和外部网络地址的映射关系，流标识信息只适用于IPV6格式。\n每次当UE与PDG建立隧道后，将UE地址、外部网络地址以及该隧道属性记录在数据表中；\n当IPV4格式的数据包到达PDG时，检查数据包中的源地址、目的地址是否已记录在数据表中，如果是，进一步检查该数据包所要通过的隧道的属性与源地址、目的地址映射关系，和保存在数据表中的映射关系是否一致，如果一致，则让该数据包通过，否则将该数据包丢弃。\n与此类似的当IPV4格式的数据包到达PDG时，则会检查数据包中的流标识与源地址、目的地址，和保存在数据表中的映射关系是否一致。\n本例中的方案在具体实现中，还要考虑到用户、业务、外部网络情况以及外网网关的处理能力等因素，合理设计数据表内容和安全过滤机制。\n另外，本发明方案也可应用于在UE与HPLMN签署业务合约允许接入3GPP PS域业务后，但UE与外网网关尚未建立隧道时，外部网络向UE发送数据包到达外网网关时，外网网关也可采用本发明方案先判断该数据包是否合法，以决定是否建立隧道接收该数据包。此种情况下，可根据安全策略在数据表中存储上述除隧道属性外的如：该UE的IP地址、UE的UDP/TCP端口号、用户标识、UE的无线局域网接入点名(W-APN)等的一种或多种网络区分标识信息。外网网关再根据数据表中存储的信息对数据包进行过滤。\n以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。