| 发明名称 | 一种在通信网络系统中进行分散式安全控制的方法和装置 | ||
| 摘要 | 随着网络技术的演进以及越来越多的用户终端要求接入英特网,网络安全正面临越来越严峻的考验。为了提高网络运营商网络的安全性和可运营性,本发明提出了一种在通信网络系统中进行分散式安全控制的方法和装置。该方法首先由网络控制设备创建网络安全控制机制,该机制用于在第二网络设备上对来自用户终端的数据包进行合法性检查;其次,网络控制设备将所述网络安全控制机制发送给第二网络设备;最后,第二网络设备根据网络安全控制机制对来自用户终端的数据包进行合法性检查;如果所述数据包不合法,则丢弃该数据包。通过本发明,可明显提高通信网络的安全性和可运营性,特别是在集中式控制的无线局域网架构的网络中实现防地址欺骗等功能。 | ||
| 申请公布号 | CN101651537B | 申请公布日期 | 2013.07.10 |
| 申请号 | CN200810041784.7 | 申请日期 | 2008.08.15 |
| 申请人 | 上海贝尔阿尔卡特股份有限公司 | 发明人 | 温海波;姚春燕;郑军;马松伟 |
| 分类号 | H04L9/00(2006.01)I;H04W80/00(2009.01)I | 主分类号 | H04L9/00(2006.01)I |
| 代理机构 | 北京市金杜律师事务所 11256 | 代理人 | 郑立柱 |
| 主权项 | 一种在集中式无线网络中进行分散式安全控制的方法,通信网络包括接入控制器和一个或多个无线终止设备,以及一个或多个用户终端,其特征在于,包括如下步骤:c.所述接入控制器通过侦听DHCP服务器发送给所述用户终端的DHCP ACK消息获得一个或多个预定的网络层地址和数据链路层地址的地址对组合来创建网络安全控制机制,所述网络安全控制机制用于在所述一个或多个无线终止设备上对来自所述用户终端的数据包进行合法性检查;d.所述接入控制器通过CAPWAP协议消息将所述网络安全控制机制发送给一个或多个无线终止设备;e.所述无线终止设备从来自所述用户终端的数据包中获取所述数据包的源网络层地址和源数据链路层地址的地址对组合,并确定所述数据包的源网络层地址和源数据链路层地址的地址对组合是否为所述一个或多个预定的网络层地址和数据链路层地址的地址对组合中的一个,如果不是,则丢弃所述数据包。 | ||
| 地址 | 201206 上海市浦东金桥宁桥路388号 | ||