專利名稱:實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議網(wǎng)關(guān)抵御惡意攻擊的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,具體地說(shuō)��,涉及一種實(shí)現(xiàn)WAP (WirelessApplication Protocol,無(wú)線應(yīng)用通訊協(xié)議)網(wǎng)關(guān)抵御惡意攻擊的方法及系統(tǒng)�。
背景技術(shù):
當(dāng)前�����,網(wǎng)絡(luò)安全是一個(gè)日趨重^L的方面�,尤其是WAP網(wǎng)關(guān)在現(xiàn)有網(wǎng)絡(luò)應(yīng)用過(guò)程中,經(jīng)常會(huì)出現(xiàn)來(lái)自某些惡意用戶的惡意攻擊從而導(dǎo)致WAP網(wǎng)關(guān)業(yè)務(wù)運(yùn)行不穩(wěn)定的情況���,因此如何實(shí)現(xiàn)WAP網(wǎng)關(guān)自身抵御某些惡意用戶的惡意攻擊成為WAP網(wǎng)關(guān)正常運(yùn)行的一個(gè)重要前提����。
發(fā)明內(nèi)容
本發(fā)明所解決的技術(shù)問題在于提供了 一種實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議網(wǎng)關(guān)抵御惡意攻擊的方法及系統(tǒng)��,以實(shí)現(xiàn)在WAP網(wǎng)關(guān)正常運(yùn)行下能夠抵御惡意攻擊�����。
為了解決上述問題,本發(fā)明提供了一種實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議WAP網(wǎng)關(guān)抵御惡意攻擊的方法��,其特征在于����,包括
在所述WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容�����,其中����,設(shè)置IP控制內(nèi)容包括設(shè)置允許使用WAP網(wǎng)關(guān)的IP和該IP允許訪問的服務(wù)提供商SP;
所述WAP網(wǎng)關(guān)才艮據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷該用戶的IP是否為允許4吏用WAP網(wǎng)關(guān)的IP,如不允許����,則該WAP網(wǎng)關(guān)直4妄拒絕該用戶請(qǐng)求;否則再判斷請(qǐng)求訪問的SP是否允許訪問��,如允許�,則該WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程��;否則該WAP網(wǎng)關(guān)拒絕該用戶ifr求��。
本發(fā)明所述的方法���,其中,所述WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容之前�,進(jìn)一步還包括
在所述WAP網(wǎng)關(guān)中還設(shè)置安全傳輸層協(xié)議TLS控制內(nèi)容,其中�,設(shè)置
TLS控制內(nèi)容包括設(shè)置判斷用戶請(qǐng)求是否是TLS請(qǐng)求,以及設(shè)置當(dāng)用戶
請(qǐng)求是TLS請(qǐng)求時(shí)所允許通過(guò)TLS隧道進(jìn)4于業(yè)務(wù)交互的對(duì)端的IP和端口信自
在所述WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容之后和所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷之前����,進(jìn)一步還包括
所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述TLS控制內(nèi)容判斷用戶請(qǐng)求是否是TLS請(qǐng)求��,如是��,則判斷該用戶請(qǐng)求所訪問的IP和端口信息是否是允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息�����,如是��,則允許該用戶請(qǐng)求通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互���,執(zhí)行所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求進(jìn)行判斷的操作;如該用戶請(qǐng)求不是TLS請(qǐng)求���,則所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求進(jìn)行判斷的操作��;如該用戶請(qǐng)求所訪問的IP和端口信息為不允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息����,則WAP網(wǎng)關(guān)拒絕該用戶請(qǐng)求����。
其中�����,所述設(shè)置IP控制內(nèi)容��,進(jìn)一步還包括
設(shè)置允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段和該IP/IP段所允許的SP和不允許訪問的SP�����、設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略���、設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP段的訪問策略、以及設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問策略����。
進(jìn)一步地,其中���,所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的IP,如不允許��,則該WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求�����;否則再判斷請(qǐng)求訪問的SP是否允許訪問����,如允許���,則該WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求���,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程;否則該WAP網(wǎng)關(guān)拒絕該用戶請(qǐng)求��,進(jìn)一步還包括
所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容判斷該用戶的IP是否在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)����,如不在,則根據(jù)設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP段的訪問策略進(jìn)行操作�����;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)�����,則再根據(jù)設(shè)置的該IP/IP段所 允許訪問的SP和不允許訪問的SP來(lái)判斷該用戶的IP訪問的SP是否允許�����, 如該用戶的IP訪問的SP不在允許訪問的SP和不允許訪問的SP中,則根 據(jù)設(shè)置的對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問 策略進(jìn)行操作��;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)��, 且該用戶的IP在不同的條件設(shè)置下對(duì)該SP的訪問條件設(shè)置不同時(shí)�����,則根據(jù) 設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP 的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略進(jìn)行操作���。
進(jìn)一步地�����,其中�,所述訪問策略為當(dāng)設(shè)置為不允許訪問時(shí)����,則所述 WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求,結(jié)束�;當(dāng)設(shè)置為允許訪問時(shí),則所述WAP 網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求����,所述WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程。
為了解決上述問題����,本發(fā)明還提供了一種實(shí)現(xiàn)WAP網(wǎng)關(guān)抵御惡意攻擊 的系統(tǒng),應(yīng)用于WAP網(wǎng)關(guān)中�����,其特征在于��,包括
IP控制模塊�,用于設(shè)置允許使用WAP網(wǎng)關(guān)的IP和該IP允許訪問的SP, 并根據(jù)設(shè)置內(nèi)容對(duì)用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的 IP,如不允許,則直接拒絕該用戶請(qǐng)求�;否則再判斷請(qǐng)求訪問的SP是否允 許訪問,如允許����,則向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程��; 否則拒絕該用戶請(qǐng)求���。
本發(fā)明所述的系統(tǒng)�,其中,進(jìn)一步還包括
TLS控制模塊���,用于接收設(shè)置的判斷用戶請(qǐng)求是否是TLS請(qǐng)求����,以及 設(shè)置當(dāng)用戶請(qǐng)求是TLS請(qǐng)求時(shí)�����,所允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端 的IP和端口信息��,并根據(jù)設(shè)置內(nèi)容判斷用戶請(qǐng)求是否是TLS請(qǐng)求��,如是��, 則判斷該用戶請(qǐng)求所訪問的IP和端口信息是否是允許通過(guò)TLS隧道進(jìn)行業(yè) 務(wù)交互的對(duì)端的IP和端口信息����,如是,則允許該用戶請(qǐng)求通過(guò)TLS隧道進(jìn) 行業(yè)務(wù)交互��,再將該用戶請(qǐng)求發(fā)送給所述IP控制模塊進(jìn)行判斷��;如不是��, 則將該用戶請(qǐng)求直接發(fā)送給所述IP控制模塊進(jìn)行判斷。
其中���,所述IP控制^t塊�����,進(jìn)一步為包括允許的IP/IP段模塊和不允許 的IP/IP段模塊;其中���,所述允許的IP/IP段模塊��,用于設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP ,更和該IP/IP段所允許和不允許訪問的SP����、對(duì)允許^吏用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP 段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策 略��,以及對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問 策略��,并根據(jù)設(shè)置內(nèi)容對(duì)經(jīng)過(guò)所述TLS控制模塊的用戶請(qǐng)求進(jìn)行判斷���,當(dāng) 判斷該用戶的IP不在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)�,則將該用戶請(qǐng) 求發(fā)送給所述不允許的IP/IP段模塊進(jìn)行操作���;如判斷該用戶的IP在允許使 用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)����,則再根據(jù)設(shè)置的該IP/IP段所允許訪問的SP 和不允許訪問的SP來(lái)判斷該用戶的IP訪問的SP是否允許,如該用戶的IP 訪問的SP不在允許訪問的SP和不允許訪問的SP中��,則根據(jù)設(shè)置的對(duì)允許 使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問策略進(jìn)行操作����; 如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi),且該用戶的IP 在不同的條件設(shè)置下對(duì)該SP的訪問條件設(shè)置不同時(shí)����,則根據(jù)設(shè)置的允許使 用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的4喿作不同時(shí) 所設(shè)置的優(yōu)先級(jí)的訪問策略進(jìn)行操作;
所述不允許的IP/IP段模塊����,用于設(shè)置的對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的 IP/IP段的范圍外的IP/IP段的訪問策略,并根據(jù)設(shè)置內(nèi)容對(duì)經(jīng)過(guò)所述允許的 IP/IP段模塊發(fā)送來(lái)的用戶請(qǐng)求進(jìn)行操作�。
進(jìn)一步地,其中�����,所述訪問策略為當(dāng)設(shè)置為不允許訪問時(shí)����,則所述 WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求��,結(jié)束��;當(dāng)設(shè)置為允許訪問時(shí)����,則所述WAP 網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求���,所述WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程。
與現(xiàn)有技術(shù)相比��,本發(fā)明通過(guò)在WAP網(wǎng)關(guān)中增加了 IP (Internet Protocol,網(wǎng)際協(xié)議)控制以及TLS(安全傳輸層協(xié)i義���,Transport Layer Security Protocol)控制�����,并通過(guò)運(yùn)營(yíng)商的配置�����,使WAP網(wǎng)關(guān)能夠控制用戶使用/限 制使用WAP網(wǎng)關(guān)業(yè)務(wù)����,以及允許/禁止用戶以TLS方式訪問配置的SP以及 端口 ,從而實(shí)現(xiàn)WAP網(wǎng)關(guān)避免惡意用戶使用WAP網(wǎng)關(guān)業(yè)務(wù)�,既增加了 WAP 網(wǎng)關(guān)的安全性,又可以實(shí)現(xiàn)對(duì)一些非法請(qǐng)求的屏蔽���,減少WAP網(wǎng)關(guān)不必要 的資源開銷���。
圖1為本發(fā)明實(shí)施例所述的實(shí)現(xiàn)WAP網(wǎng)關(guān)抵御惡意攻擊的方法的流程
圖2為采用本發(fā)明所述方法的一個(gè)具體應(yīng)用實(shí)施例流程圖3為采用本發(fā)明所述方法的另一個(gè)具體應(yīng)用實(shí)施例流程圖4為本發(fā)明實(shí)施例所述的實(shí)現(xiàn)WAP網(wǎng)關(guān)抵御惡意攻擊的系統(tǒng)結(jié)構(gòu)圖。
具體實(shí)施例方式
以下對(duì)具體實(shí)施方式
進(jìn)行詳細(xì)描述��,但不作為對(duì)本發(fā)明的限定����。
如圖1所示,本發(fā)明實(shí)施例所述的一種實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議網(wǎng)關(guān)抵御 攻擊的方法�����,包括
步驟101�����,運(yùn)營(yíng)商在WAP網(wǎng)關(guān)中設(shè)置TLS(安全傳輸層協(xié)議�����,Transport Layer Security Protocol)控制內(nèi)容和IP控制內(nèi)容,其中�����,設(shè)置TLS控制內(nèi)容 包括設(shè)置判斷用戶請(qǐng)求是否是TLS請(qǐng)求���,以及設(shè)置當(dāng)用戶請(qǐng)求是TLS請(qǐng) 求時(shí)所允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口 (Port)信息��; 設(shè)置IP控制內(nèi)容包括設(shè)置允許使用WAP網(wǎng)關(guān)的IP�����,以及該IP允許訪問 的SP ( service provider,月l務(wù)提供商);
步驟102, WAP網(wǎng)關(guān)首先根據(jù)設(shè)置的TLS控制內(nèi)容判斷用戶請(qǐng)求是否 是TLS請(qǐng)求����,如是,則判斷該用戶請(qǐng)求所訪問的IP和端口信息是否是允許 通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息�,如是,則允許該用戶 請(qǐng)求通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互�,則執(zhí)行步驟103;如該用戶請(qǐng)求不是TLS 請(qǐng)求,則執(zhí)行步驟103;如該用戶請(qǐng)求所訪問的IP和端口信息為不允許通過(guò) TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息����,則WAP網(wǎng)關(guān)拒絕該用戶請(qǐng) 求��;
步驟103, WAP網(wǎng)關(guān)根據(jù)設(shè)置的IP控制內(nèi)容對(duì)用戶請(qǐng)求判斷該用戶的 IP是否為允i午使用WAP網(wǎng)關(guān)的IP,如不允i午���,則該WAP網(wǎng)關(guān)直接拒絕該 用戶請(qǐng)求;否則再判斷請(qǐng)求訪問的SP是否允許訪問��,如允許����,則該WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程��;否則該WAP網(wǎng) 關(guān)拒絕該用戶請(qǐng)求�����。
如圖2所示��,根據(jù)本發(fā)明實(shí)施例所述的方法當(dāng)有用戶請(qǐng)求通過(guò)WAP網(wǎng) 關(guān)訪問某個(gè)SP時(shí)�����,WAP網(wǎng)關(guān)的搡作步驟是
步驟201 ,當(dāng)WAP網(wǎng)關(guān)收到用戶請(qǐng)求訪問某個(gè)SP時(shí)�,WAP網(wǎng)關(guān)根據(jù) 運(yùn)營(yíng)商的設(shè)置的TLS控制內(nèi)容判斷該用戶請(qǐng)求是否為TLS請(qǐng)求,如是�,則 執(zhí)行步驟202;否則執(zhí)行步驟204;
步驟202, WAP網(wǎng)關(guān)根據(jù)運(yùn)營(yíng)商的設(shè)置的TLS控制內(nèi)容判斷該用戶請(qǐng) 求訪問的該SP的IP和端口 ( Port)是否為允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互 的對(duì)端的IP和端口 (Port)信息�,如允許,則執(zhí)行步驟203;否則WAP網(wǎng) 關(guān)直"l妄拒絕該用戶請(qǐng)求���,結(jié)束�����;
步驟203, WAP網(wǎng)關(guān)與該用戶請(qǐng)求訪問的SP建立TLS隧道�����;
步驟204, WAP網(wǎng)關(guān)根據(jù)IP控制內(nèi)容對(duì)用戶請(qǐng)求判斷該用戶的IP是否 為允許使用WAP網(wǎng)關(guān)的IP,如不允許���,則該WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng) 求;否則再判斷請(qǐng)求訪問的SP是否允許訪問����,如允許�����,則該WAP網(wǎng)關(guān)向 該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程�;否則該WAP網(wǎng)關(guān)拒絕 該用戶i貪求。
另外���,上述方法中運(yùn)營(yíng)商在WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容�����,進(jìn)一步還包
括
設(shè)置允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段和該IP/IP段所允許和不允許訪 問的SP (service provider,服務(wù)提供商)信息��、設(shè)置對(duì)允許使用WAP網(wǎng)關(guān) 業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先 級(jí)的訪問策略(這里所述的設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相 同的IP/IP段里面訪問同一個(gè)SP的操作�����,是指如果在設(shè)置允許使用WAP網(wǎng) 關(guān)業(yè)務(wù)的IP/IP段時(shí)����,訪問屬性1中設(shè)置的IP/IP段與訪問屬性2中的IP/IP 段中有相同的IP/IP段,而且在這個(gè)IP/IP段中設(shè)置訪問的某個(gè)SP的訪問屬 性不同��,比如訪問屬性1設(shè)置這個(gè)SP的訪問為允許����,而訪問屬性2設(shè)置的 同一個(gè)SP的訪問為不允許��,所以這里就需要在設(shè)置一下對(duì)該SP的優(yōu)先級(jí)的訪問策略)�����、設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP 段的訪問策略�����、以及設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP革更所訪問未設(shè) 置的SP時(shí)的訪問策略����;其中���,上面運(yùn)營(yíng)商所設(shè)置的訪問策略均為兩個(gè)條件����, 即允許訪問或不允許訪問����。
如圖3所示,根據(jù)上述運(yùn)營(yíng)商在WAP網(wǎng)關(guān)中設(shè)置TLS控制內(nèi)容和IP 控制內(nèi)容���,當(dāng)有用戶請(qǐng)求通過(guò)WAP網(wǎng)關(guān)訪問某個(gè)SP時(shí)���,WAP網(wǎng)關(guān)的^:作 步驟是
步驟301,當(dāng)WAP網(wǎng)關(guān)收到用戶請(qǐng)求訪問某個(gè)SP時(shí),WAP網(wǎng)關(guān)根據(jù) 運(yùn)營(yíng)商的設(shè)置的TLS控制內(nèi)容判斷該用戶請(qǐng)求是否為TLS請(qǐng)求�,如是,則 執(zhí)行步驟302;否則執(zhí)行步驟304;
步驟302����, WAP網(wǎng)關(guān)根據(jù)運(yùn)營(yíng)商的設(shè)置的TLS控制內(nèi)容判斷該用戶請(qǐng) 求訪問的該SP的IP和端口 ( Port)是否為允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互 的對(duì)端的IP和端口 (Port)信息,如允許�����,則執(zhí)行步驟303;否則WAP網(wǎng) 關(guān)直接拒絕該用戶請(qǐng)求�,結(jié)束;
步驟303, WAP網(wǎng)關(guān)與該用戶請(qǐng)求訪問的SP建立TLS隧道�;
步驟304, WAP網(wǎng)關(guān)根據(jù)IP控制內(nèi)容首先判斷該用戶的IP是否在允許 使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)��,如是�����,則執(zhí)行步驟305;否則執(zhí)行步驟 306;
步驟305��,再判斷該用戶的IP是否在設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的 IP/IP段中相同的IP/IP段里面�����,如在,則執(zhí)行步驟306;
如判斷該用戶的IP不在設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相 同的IP/IP段中�,則判斷該用戶的IP所請(qǐng)求訪問的該SP是否是允許訪問的 SP還是不允許訪問的SP,如是允許,則WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求����, WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程;如是不允許�����,則WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求���, 結(jié)束�����;如該SP不在設(shè)置的允許和不允許訪問的SP內(nèi)����,則執(zhí)行步驟306;
步驟306,根據(jù)設(shè)置的訪問策略�����,即如不允許,則WAP網(wǎng)關(guān)直接拒絕 該用戶請(qǐng)求�����,結(jié)束���;如允許,則WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶i會(huì)求�����,WAP 網(wǎng)關(guān)繼續(xù)后續(xù)流程���。如圖4所示����,為本發(fā)明實(shí)施例所述的一種實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議網(wǎng)關(guān)抵 御攻擊的系統(tǒng)���,應(yīng)用于WAP網(wǎng)關(guān)中����,包括TLS (安全傳輸層協(xié)議���,Transport Layer Security Protocol)控制模塊401和IP控制才莫塊402�,其中,
TLS控制模塊401 ��,用于接收運(yùn)營(yíng)商設(shè)置的判斷用戶請(qǐng)求是否是TLS請(qǐng) 求�,以及設(shè)置當(dāng)用戶請(qǐng)求是TLS請(qǐng)求時(shí),所允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交 互的對(duì)端的IP和端口 (Port)信息�����,并根據(jù)上述設(shè)置內(nèi)容判斷用戶請(qǐng)求是否 是TLS請(qǐng)求����,如是,則判斷該用戶請(qǐng)求所訪問的IP和端口信息是否是允許 通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息���,如是���,則允許該用戶 請(qǐng)求通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互,再將該用戶請(qǐng)求發(fā)送給IP控制才莫塊402 進(jìn)行判斷�����;如不是,則將該用戶請(qǐng)求直接發(fā)送給IP控制模塊402進(jìn)行判斷��;
IP控制模塊402�����,用于接收運(yùn)營(yíng)商設(shè)置允許使用WAP網(wǎng)關(guān)的IP,以及 該IP允許訪問的SP,并根據(jù)上述設(shè)置內(nèi)容對(duì)經(jīng)過(guò)TLS控制模塊401處理后 的用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的IP,如不允許����, 則直接拒絕該用戶請(qǐng)求�;否則再判斷請(qǐng)求訪問的SP是否允許訪問,如允許�, 則向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程�����;否則拒絕該用戶 請(qǐng)求�。
另外,IP控制模塊�,進(jìn)一步還包括允許的IP/IP段模塊4021和不允許 的IP/IP段模塊4022;其中,
允許的IP/IP段模塊4021,用于接收運(yùn)營(yíng)商設(shè)置的允許使用WAP網(wǎng)關(guān) 業(yè)務(wù)的IP/IP段和該IP/IP ,史所允許和不允許訪問的SP�、對(duì)允許〗吏用WAP 網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的 優(yōu)先級(jí)的訪問策略、以及對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè) 置的SP時(shí)的訪問策略�����,并根據(jù)上述設(shè)置內(nèi)容對(duì)經(jīng)過(guò)TLS控制模塊401的用 戶請(qǐng)求進(jìn)行判斷,當(dāng)判斷該用戶的IP不在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP 段內(nèi)�,則將該用戶請(qǐng)求發(fā)送給不允許的IP/IP段;漠塊4022進(jìn)行操作;如判斷 該用戶的IP在允許-使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)����,則再根據(jù)i殳置的該IP/IP 段所允許訪問的SP和不允許訪問的SP來(lái)判斷該用戶的IP訪問的SP是否則根據(jù)設(shè)置的對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的 訪問策略進(jìn)行操作;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP 段內(nèi)���,且該用戶的IP在不同的條件設(shè)置下對(duì)該SP的訪問條件設(shè)置不同時(shí)����, 則根據(jù)設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一 個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略進(jìn)行操作���;
不允許的IP/IP段模塊4022,用于接收運(yùn)營(yíng)商設(shè)置的對(duì)允許使用WAP 網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP段的訪問策略��,并根據(jù)上述設(shè)置內(nèi)容對(duì) 經(jīng)過(guò)允許的IP/IP段模塊4021發(fā)送來(lái)的用戶請(qǐng)求進(jìn)行操作��。
上面所設(shè)置的訪問策略均為兩個(gè)條件����,即當(dāng)運(yùn)營(yíng)商設(shè)置為不允許訪問 時(shí)�����,則WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求,結(jié)束�����;當(dāng)運(yùn)營(yíng)商設(shè)置為允許訪問時(shí)�����, 則WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求���,WAP網(wǎng)關(guān)繼續(xù)后續(xù)流禾呈。
與現(xiàn)有技術(shù)相比���,本發(fā)明通過(guò)在WAP網(wǎng)關(guān)中增加了 IP (Internet Protocol,網(wǎng)際協(xié)_漢)控制以及TLS(安全傳輸層協(xié)議��,Transport Layer Security Protocol)控制�,并通過(guò)運(yùn)營(yíng)商的配置��,使WAP網(wǎng)關(guān)能夠控制用戶使用/限 制使用WAP網(wǎng)關(guān)業(yè)務(wù)����,以及允許/禁止用戶以TLS方式訪問配置的SP以及 端口,從而實(shí)現(xiàn)WAP網(wǎng)關(guān)避免惡意用戶使用WAP網(wǎng)關(guān)業(yè)務(wù),既增加了 WAP 網(wǎng)關(guān)的安全性�,又可以實(shí)現(xiàn)對(duì)一些非法請(qǐng)求的屏蔽,減少WAP網(wǎng)關(guān)不必要 的資源開銷�����。
當(dāng)然���,本發(fā)明還可有其他多種實(shí)施例���,在不背離本發(fā)明精神及其實(shí)質(zhì)的 情況下,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形�����, 但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�����。
權(quán)利要求
1�、一種實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議WAP網(wǎng)關(guān)抵御惡意攻擊的方法,其特征在于��,包括在所述WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容�,其中�����,設(shè)置IP控制內(nèi)容包括設(shè)置允許使用WAP網(wǎng)關(guān)的IP和該IP允許訪問的服務(wù)提供商SP�����;所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的IP�,如不允許����,則該WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求;否則再判斷請(qǐng)求訪問的SP是否允許訪問�,如允許,則該WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求�,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程;否則該WAP網(wǎng)關(guān)拒絕該用戶請(qǐng)求����。
2��、 如權(quán)利要求1所述的方法���,其特征在于�����,所述WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容之前�,進(jìn)一步還包括在所述WAP網(wǎng)關(guān)中還設(shè)置安全傳輸層協(xié)議TLS控制內(nèi)容,其中����,設(shè)置TLS控制內(nèi)容包括設(shè)置判斷用戶請(qǐng)求是否是TLS請(qǐng)求,以及設(shè)置當(dāng)用戶請(qǐng)求是TLS請(qǐng)求時(shí)所允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信自 在所述WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容之后和所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷之前����,進(jìn)一步還包括所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述TLS控制內(nèi)容判斷用戶請(qǐng)求是否是TLS請(qǐng)求,如是��,則判斷該用戶請(qǐng)求所訪問的IP和端口信息是否是允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息��,如是���,則允許該用戶請(qǐng)求通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互�,執(zhí)行所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求進(jìn)行判斷的操作��;如該用戶請(qǐng)求不是TLS請(qǐng)求��,則所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求進(jìn)行判斷的操作����;如該用戶請(qǐng)求所訪問的IP和端口信息為不允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息����,則WAP網(wǎng)關(guān)拒絕該用戶請(qǐng)求�。
3、 如權(quán)利要求1或2所述的方法�����,其特征在于����,所述設(shè)置IP控制內(nèi)容,進(jìn)一步還包括設(shè)置允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段和該IP/IP段所允許的SP和不允許訪問的SP、設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略��、設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP段的訪問策略����、以及設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問策略。
4���、 如權(quán)利要求3所述的方法,其特征在于�����,所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的IP,如不允許���,則該WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求�;否則再判斷請(qǐng)求訪問的SP是否允許訪問���,如允許�,則該WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求����,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程;否則該WAP網(wǎng)關(guān)拒絕該用戶請(qǐng)求�,進(jìn)一步還包括所述WAP網(wǎng)關(guān)根據(jù)設(shè)置的所述IP控制內(nèi)容判斷該用戶的IP是否在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi),如不在��,則根據(jù)設(shè)置對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP段的訪問策略進(jìn)行操作���;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)��,則再根據(jù)設(shè)置的該IP/IP段所允許訪問的SP和不允許訪問的SP來(lái)判斷該用戶的IP訪問的SP是否允許����,如該用戶的IP訪問的SP不在允許訪問的SP和不允許訪問的SP中,則才艮據(jù)設(shè)置的對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問策略進(jìn)行操作����;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi),且該用戶的IP在不同的條件設(shè)置下對(duì)該SP的訪問條件設(shè)置不同時(shí)�,則根據(jù)設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略進(jìn)行操作。
5�、 如權(quán)利要求4所述的方法,其特征在于���,所述訪問策略為當(dāng)設(shè)置為不允許訪問時(shí)����,則所述WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求�����,結(jié)束���;當(dāng)設(shè)置為允許訪問時(shí)���,則所述WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,所述WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程。
6����、 一種實(shí)現(xiàn)WAP網(wǎng)關(guān)4氐御惡意攻擊的系統(tǒng)���,應(yīng)用于WAP網(wǎng)關(guān)中���,其特征在于,包括IP控制模塊�,用于設(shè)置允許使用WAP網(wǎng)關(guān)的IP和該IP允許訪問的SP,并根據(jù)設(shè)置內(nèi)容對(duì)用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的IP,如不允許���,則直接拒絕該用戶請(qǐng)求���;否則再判斷請(qǐng)求訪問的SP是否允許訪問,如允許�����,則向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求��,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程�;否則拒絕該用戶請(qǐng)求。
7、 如權(quán)利要求6所述的系統(tǒng)��,其特征在于�,所述系統(tǒng)進(jìn)一步還包括TLS控制模塊,用于接收設(shè)置的判斷用戶請(qǐng)求是否是TLS請(qǐng)求����,以及設(shè)置當(dāng)用戶請(qǐng)求是TLS請(qǐng)求時(shí),所允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息����,并根據(jù)設(shè)置內(nèi)容判斷用戶請(qǐng)求是否是TLS請(qǐng)求,如是��,則判斷該用戶請(qǐng)求所訪問的IP和端口信息是否是允許通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互的對(duì)端的IP和端口信息��,如是����,則允許該用戶請(qǐng)求通過(guò)TLS隧道進(jìn)行業(yè)務(wù)交互,再將該用戶請(qǐng)求發(fā)送給所述IP控制模塊進(jìn)行判斷��;如不是����,則將該用戶請(qǐng)求直接發(fā)送給所述IP控制模塊進(jìn)行判斷��。
8���、 如權(quán)利要求6或7所述的系統(tǒng),其特征在于�,所述IP控制;f莫塊��,進(jìn)一步為包括允許的IP/IP段模塊和不允許的IP/IP段模塊��;其中���,所述允許的IP/IP段模塊�,用于設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段和該IP/IP段所允許和不允許訪問的SP��、對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略�,以及對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問策略,并根據(jù)設(shè)置內(nèi)容對(duì)經(jīng)過(guò)所述TLS控制模塊的用戶請(qǐng)求進(jìn)行判斷����,當(dāng)判斷該用戶的IP不在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi),則將該用戶請(qǐng)求發(fā)送給所述不允許的IP/IP段模塊進(jìn)行操作����;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi),則再根據(jù)設(shè)置的該IP/IP段所允許訪問的SP和不允"^午訪問的SP來(lái)判斷該用戶的IP訪問的SP是否允"i午,如該用戶的IP訪問的SP不在允許訪問的SP和不允許訪問的SP中���,則根據(jù)設(shè)置的對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段所訪問未設(shè)置的SP時(shí)的訪問策略進(jìn)行操作����;如判斷該用戶的IP在允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段內(nèi)�����,且該用戶的IP在不同的條件設(shè)置下對(duì)該SP的訪問條件設(shè)置不同時(shí)�����,則根據(jù)設(shè)置的允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段中相同的IP/IP段訪問同一個(gè)SP的操作不同時(shí)所設(shè)置的優(yōu)先級(jí)的訪問策略進(jìn)行操作�;所述不允許的IP/IP賴:才莫塊,用于設(shè)置的對(duì)允許使用WAP網(wǎng)關(guān)業(yè)務(wù)的IP/IP段的范圍外的IP/IP段的訪問策略���,并根據(jù)設(shè)置內(nèi)容對(duì)經(jīng)過(guò)所述允許的IP/IP段模塊發(fā)送來(lái)的用戶請(qǐng)求進(jìn)行操作��。
9�����、如權(quán)利要求8所述的系統(tǒng)��,其特征在于����,所述訪問策略為當(dāng)設(shè)置為不允許訪問時(shí),則所述WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求�����,結(jié)束��;當(dāng)設(shè)置為允許訪問時(shí)��,則所述WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求���,所述WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)無(wú)線應(yīng)用通訊協(xié)議網(wǎng)關(guān)抵御惡意攻擊的方法及系統(tǒng)��,該方法為在WAP網(wǎng)關(guān)中設(shè)置IP控制內(nèi)容�����,其中�����,設(shè)置IP控制內(nèi)容包括設(shè)置允許使用WAP網(wǎng)關(guān)的IP和該IP允許訪問的服務(wù)提供商SP;WAP網(wǎng)關(guān)根據(jù)設(shè)置的IP控制內(nèi)容對(duì)該用戶請(qǐng)求判斷該用戶的IP是否為允許使用WAP網(wǎng)關(guān)的IP�����,如不允許��,則該WAP網(wǎng)關(guān)直接拒絕該用戶請(qǐng)求�;否則再判斷請(qǐng)求訪問的SP是否允許訪問,如允許����,則該WAP網(wǎng)關(guān)向該SP轉(zhuǎn)發(fā)該用戶請(qǐng)求,該WAP網(wǎng)關(guān)繼續(xù)后續(xù)流程�;否則該WAP網(wǎng)關(guān)拒絕該用戶請(qǐng)求。本發(fā)明實(shí)現(xiàn)了在WAP網(wǎng)關(guān)正常運(yùn)行下能夠抵御惡意攻擊�。
文檔編號(hào)H04W12/08GK101527913SQ20091013237
公開日2009年9月9日 申請(qǐng)日期2009年4月1日 優(yōu)先權(quán)日2009年4月1日
發(fā)明者吳麗梅, 杰 李 申請(qǐng)人:中興通訊股份有限公司