技術領域

本發明涉及通信技術領域，具體涉及一種網絡業務保護方法和業務網關。

背景技術

目前的網絡例如GPRS(通用分組無線業務)/UMTS(通用移動通信系統)、CDMA(碼分多址接入)、WiMAX(微波接入世界協作論壇)網絡都可以提供分組數據業務，滿足人們隨時隨地進行數據通信的需要。通過無線接入提供分組數據業務，需要分組業務網關，分組業務網關在GPRS/UMTS網絡上被稱為GGSN(GPRS網關支持節點)，在CDMA網絡上被稱為PDSN(分組數據服務節點)，在WiMAX網絡上被稱為ASN?GW(接入服務網網關)。分組業務網關與無線接入網側相連的接口為接入側接口，如GGSN的Gn口、PDSN的RP口、ASN?GW的R6口，與分組數據網絡PDN側相連的接口為網絡側接口，如GGSN的Gi口、PDSN的Pi口、ASN?GW的R3口。APN(AccessPoint?Name，接入點名稱，對應于GPRS/UMTS網絡)或Domain(域，對應CDMA網絡)是一種接入標識，可以標識出分組業務網關和PDN(分組數據網絡)。APN或Domain中配置的參數包括：接入的PDN、鑒權方式、IP地址分配方式、DNS屬性等。針對不同的PDN，需配置不同的APN或Domain。例如，假設GGSN提供移動用戶通過某ISP訪問Internet，同時也允許用戶訪問某企業網，那么就需要在GGSN上建立兩個APN：一個用于用戶訪問互聯網Internet，另一個用于用戶訪問企業網。

在網絡當中，網絡安全十分重要，一般都設置防火墻。防火墻的作用是保護內部網絡的安全，可以使受保護的網絡避免遭到外部網絡的攻擊。防火墻技術中涉及到安全域的概念。一個安全域是一個或多個接口的任意組合，具有一個安全級別(安全級別在下面簡稱為安全級)。在設備內部，這個安全級通過一個0-100的數字來表示，數字越大表示安全級越高，不存在兩個具有相同安全級的安全域。現有技術中一般只有當業務報文在分屬于兩個不同安全域的接口之間流動的時候，才會激活防火墻的安全規則檢查功能。

現有技術中，已經開始出現在分組網關集成防火墻功能，為用戶提供安全的業務的需求。通過分組網關內置防火墻功能，用于對網絡側接口安全域提供安全防護，與在網絡側接口外置防火墻提供的功能相同，但可以簡化組網。

在對現有技術的研究和實踐過程中，發明人發現現有技術存在以下問題：

雖然現有技術已經開始在分組網關內置防火墻功能，但現有技術依然是只有當業務報文在分屬于兩個不同安全域的接口之間流動的時候，才會激活防火墻的安全規則檢查功能，但多個APN或Domain可能對應同一個接口，而從一個APN或Domain到另外一個接口流動時，也可能存在安全問題，因此現有技術提供的網絡業務保護方法還有待改善。

發明內容

本發明實施例的目的是提供一種網絡業務保護方法和業務網關，能夠更好的對網絡業務進行保護。

為解決上述技術問題，本發明所提供的實施例是通過以下技術方案實現的：

本發明實施例提供一種網絡業務保護方法，包括：業務網關接收業務報文；所述業務網關對所述業務報文進行檢測，若判斷出所述業務報文的網絡側接口對應的安全域與所述業務對應的用戶所屬接入標識對應的安全域不同，則將所述業務報文進行安全處理。

本發明實施例提供一種業務網關，包括：對外接口模塊，用于接收業務報文；分組網關模塊，用于對所述業務報文進行檢測，若判斷出所述業務報文的網絡側接口對應的安全域與所述業務對應的用戶所屬接入標識對應的安全域不同，則將所述業務報文轉發到防火墻模塊進行安全處理；防火墻模塊，用于對所述分組網關模塊轉發的所述業務報文進行安全處理。

上述技術方案可以看出，本發明實施例通過引入分組業務網關用戶信息，通過網絡側接口對應的安全域與業務對應的用戶所屬接入標識對應的安全域的比較來判斷是否需要進行安全處理，從而實現更深層次的安全防護，比現有技術的安全保護更完善。

附圖說明

圖1是本發明實施例對應上行過程網絡業務保護方法流程圖；

圖2是本發明實施例對應下行過程網絡業務保護方法流程圖；

圖3是本發明實施例一網絡業務保護方法流程圖；

圖4是本發明實施例二網絡業務保護方法流程圖；

圖5是本發明實施例業務網關結構示意圖。

具體實施方式

本發明實施例提供了一種網絡業務保護方法，能夠更好的對網絡業務進行保護。