一种基于虚拟ip的无感串接设备的制作方法
【专利摘要】本发明公开了一种基于虚拟IP的无感串接设备,用于串接信令网络和安全防护设备,通过标准IP协议栈与信令网安全防护设备连接,包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;工作时,所述的虚拟地址层对由所述网口A和/或网口B输入的数据包进行解析、记录消息的源、目的地址操作,将数据通过所述的SC。保证安全防护设备即使在设备故障的情况下也不对网络正常业务产生任何影响,做到设备的隐藏接入和退出。本发明技术的实现使相关安全防护设备可在隐藏的条件下,完成对异常信令的检测、拦截、阻断、过滤等业务操作,保证了移动通信网信令消息的安全传递。
【专利说明】一种基于虚拟IP的无感串接设备
【技术领域】
[0001]本发明涉及一种基于虚拟IP的无感串接设备。涉及专利分类号H04电通信技术H04L数字信息的传输,例如电报通信H04L12/00数据交换网络H04L12/02零部件H04L12/24用于维护或管理的装置。
【背景技术】
[0002]目前在IP网络上传输7号信令主要使用的是SIGTRAN协议,SIGTRAN协议中定义的信令传输层使用的是SCTP协议,SCTP是一个面向连接的传输层协议,采用了类似TCP的流量控制和拥塞控制算法,通过自身的证实与重发机制来保证用户数据在两个SCTP端点间可靠传送。相对于TCP等其他传输协议,SCTP传输时延小,可避免某些大数据对其他数据的阻塞,具有更高的可靠性和安全性。但是SCTP协议并不能完全避免非法信令的异常访问,如何针对该信令网实现对用户信息的安全保护,防止非法信令的异常访问,将是保证移动通信网安全的重要组成部分。
[0003]目前基于分组域的7号信令网安全防护设备接入方式都是以真实身份接入现网,位于两端7号设备之间,防护设备分别与两端的7号设备建立数据连接,对收到的数据进行处理后,然后再转发给另一端的7号设备,这就改变了信令网的网络拓扑结构,对移动运营商有感。而且当防护设备退出时,会造成两端7号设备的链路断链,造成网络设备的有感,严重的会影响业务的正常运行。
[0004]根据以上分析,现有分组域信令网安全防护设备的接入和退出,都不能做到对网络的完全无感,因此达不到设备隐藏的安全效果。
【发明内容】
[0005]本发明针对以上问题的提出,而研制的一种基于虚拟IP的无感串接设备,用于串接信令网络和安全防护设备,通过标准IP协议栈与信令网安全防护设备连接,包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;
[0006]所述的前插板具有网口 A、网口 B、网口 C和网口 D ;所述的后插板具有网口 Al、网口 BI ;所述的网口 Al网口 BI分别与两个关口局设备STPA和STPB通信连接;
[0007]所述处理单元依次具有与所述的网口 A和网口 B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈;
[0008]该虚拟地址层在所述的网口 A和网口 B中分别虚拟出所述的STPA和STPB的虚拟地址STPA'和STPB',使用STPB'与STPA通信,STPA'与STPB通信;
[0009]所述虚拟地址层为所述的SCTP协议栈提供虚拟的发送接口 ;
[0010]工作时,所述的虚拟地址层对由所述网口 A和/或网口 B输入的数据包进行解析、记录消息的源、目的地址操作,将数据通过所述的SCTP协议栈发送到所述的信令网安全防护设备;
[0011]在所述的接入设备接收由所述安全防护设备返回的数据包时,虚拟地址层对数据包进行封包,通过网口 A或/和网口 B分别以STPA'和STPB'作为源地址将消息发送给STPB和 STPA。
[0012]所述的网口 A和网口 B分别具有一记录所在网口虚拟IP和虚拟MAC地址对应关系的虚拟地址管理表;所述的虚拟地址管理表中记载的内容如下:
[0013]网口的虚IP地址IPn' ;网口的虚MAC地址MACn'。
[0014]所述的处理单元还具有MAC地址获取单元1:分别以网口 A和网口 B的实际IP地址向STPA和STPB发送ARP请求,得到MACA和MACB地址做为网口 A和网口 B的虚拟地址MACA'和MACB',并记录在网口 A和网口 B的虚拟地址管理表中;通过网口 B和网口 A分别向STPB和STPA发送ARP声明消息,让网口 B和STPB、网口 A和STPA之间的路由设备学习到STPA'和STPB'地址的位置信息。
[0015]所述的处理单元还具有MAC地址获取单元I1:该单元接收来自STPA或STPB的数据包,根据以太网协议对数据包的MAC首部和IP首部进行解析;如果数据包中的源IP地址是IPA'或者IPB',则保存源MAC地址为MACA'或者MACB',将业务数据包提交给SCTP协议栈处理。
[0016]该数组对处理单元接收到的每一条SCTP消息进行记录,以数组的下标作为每一条SCTP消息的唯一 ID ;
[0017]SCTP协议栈把消息解析后,提取消息内容,所述的唯一 ID重新封装成与防护设备之间的消息,通过IP网络发送给防护设备进行处理;
[0018]防护设备处理完毕后,把消息返回给串接设备,串接设备根据消息中的ID,直接定位到SCTP消息记录数组中的指定位置,根据数组成员中保存的数据重新封装SCTP消息首部,调用虚拟地址层提供的发送接口,将消息发送出去。
[0019]所述的网口 Al和网口 BI分别与两个关口局设备STPA和STPB通信连接;网口 Al和网口 BI之间通过直通开关相连;
[0020]所述的直通开关通过设置在所述前插板上的一硬件看门狗控制断开或闭合:当设备正常运时,所述的处理单元通过定时清除该硬件看门狗断开所述的直通开关,保证从STPA和STPB来的数据分别通过网口 Al和网口 BI进入所述的处理单元;
[0021]当处理单元故障或者移除时,硬件看门狗超时,该看门狗控制所述的直通开关闭合,网口 Al和网口 BI直接连通。
[0022]由于采用了上述技术方案,本发明提供的一种基于虚拟IP的无感串接设备,保证使用本发明的7号信令网安全防护设备的接入不会改变运营商现在网络的组网环境,不修改现网的配置数据,不更换现网设备,不占用运营商局点、地址等网络资源,对运营商网络完全透明;保证安全防护设备即使在设备故障的情况下也不对网络正常业务产生任何影响,做到设备的隐藏接入和退出。本发明技术的实现使相关安全防护设备可在隐藏的条件下,完成对异常信令的检测、拦截、阻断、过滤等业务操作,保证了移动通信网信令消息的安全传递。
【专利附图】
【附图说明】
[0023]为了更清楚的说明本发明的实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为现有技术中信令网防护设备接入方式示意图
[0025]图2为本发明串接设备接入方式的示意图
[0026]图3为本发明串接设备接入的数据流向示意图
[0027]图4串接设备退出时的数据流向示意图
[0028]图5为本发明虚拟地址实现示意图
[0029]图6为本发明虚拟地址层消息处理机制示意图
[0030]图7为本发明SCTP消息记录数组结构示意图[0031 ] 图8为本发明SCTP协议栈处理机制示意图
【具体实施方式】
[0032]为使本发明的实施例的目的、技术方案和优点更加清楚,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚完整的描述:
[0033]一种基于虚拟IP的无感串接设备,通过标准IP协议栈与信令网安全防护设备连接,主要包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元;
[0034]所述的前插板具有网口 A、网口 B、网口 C和网口 D ;所述的后插板具有网口 Al、网口 BI ;所述的网口 Al和网口 BI分别与两个关口局设备STPA和STPB通信连接。由STPA和STPB发出的数据由后插板的两个网口 Al和网口 BI进入,经由前插板传输至所述的处理单
J Li ο
[0035]当使用SIGTRAN协议向一个以太网设备发送数据包的时候,必须知道它的IP地址和MAC地址,交换机或者路由设备才能把以太网数据包正确的送达目的地。如果IP地址错误或者MAC地址错误,数据包就不可能正确送达目的地。
[0036]因此一个IP和MAC地址对就可以唯一的标识一个设备地址。下文的STPn指的就是IPn和MACn的地址对,同样,STPn'也就是指IPn'和MACn'的地址对。
[0037]当上层软件向STPA或者STPB发送数据的时候,如果使用标准协议栈的话,会首先查找路由,找到通往STPA或者STPB的路径,然后才会发送数据。如果在串接设备上以实地址的形式包含STPA和STPB地址的话,发送数据时会发现本地已经有了这两个地址,造成路由错误和地址冲突。
[0038]因此在本技术实现中,在网络驱动程序和SCTP协议栈之间增加了一个虚拟地址层(处理单元中),用于管理STPA'和STPB'地址。
[0039]同时向SCTP协议栈提供一个虚拟地址的发送接口,用于向STPA和STPB发送数据。
[0040]如附图5所示,串接设备接入STPA和STPB之间时,在两个网口上分别虚拟出STPA和STPB的地址STPA'和STPB',使用STPB'与STPA通信,STPA'与STPB通信。
[0041]由于串接设备接入到STPA和STPB之间,因此STPA发送给STPB的消息从网口 A进入处理单元,在处理单元的虚拟地址层,根据以太网协议类型对数据包进行解析,记录消息的源、目的地址等信息。
[0042]所述处理单元依次具有与所述的网口 A和网口 B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈;
[0043]该虚拟地址层在所述的网口 A和网口 B中分别虚拟出所述的STPA和STPB的虚拟地址STPA'和STPB',使用STPB'与STPA通信,STPA'与STPB通信。
[0044]然后把业务消息提交给SCTP协议栈,在SCTP协议栈中对消息首部等信息解析并保存后,通过IP网络发送给防护设备,根据需要对消息进行删除,修改等操作,在把消息发送回本发明的串接设备,
[0045]最后调用虚拟地址层提供的发送接口把数据包发送出去。虚拟地址层对发送的以太网数据包进行封包后通过网口 B以STPA'作为源地址把消息发送给STPB。
[0046]更进一步的,所述的网口 A和网口 B都设置有一个虚拟地址管理表,记载网口的虚IP地址IPn' ;网口的虚MAC地址MACn'。
[0047]为了保证虚拟地址层可以正常的收发STPA和STPB的消息,实现虚拟IP的时候,必须首先在网口 A和网口 B分别设置虚拟地址表中的虚IP地址,并通过程序设置或者自动获取的方式设置对应的MAC地址MACA'和MACB'。
[0048]如果事先知道了 MACA和MACB,软件可以通过配置接口直接设置MACA'和MACB'地址,否则就必须通过自动获取的方式取得MACA'和MACB'。
[0049]优选的,一种自动获取MAC地址的方法:设置好虚拟IP地址IPA'和IPB'后,使用网口 A的实IP地址通过网口 A向STPA发送ARP请求消息,得到MACA地址,并把MACA作为MACA'地址进行记录,然后通过网口 B发送STPA'地址的ARP声明消息,让网口 B和STPB之间的路由设备学习到STPA'地址的位置信息,这样,以后发送给STPA的数据包都会发送到串接设备的网口 B。同样,使用网口 B的私有实IP地址通过网口 B向STPB发送ARP请求,获取MACB地址,并作为MACB'地址,然后通过网口 A发送STPB'的ARP声明消息,通知网口A和STPA之间的路由设备学习STPB'地址的位置信息。
[0050]一种自动获取MAC地址的方式是,接收到来自STPA或者STPB的消息后,根据以太网协议类型对MAC首部和IP首部进行解析,如果数据包中的源IP地址是IPA'或者IPB',则保存源MAC地址为MACA'或者MACB',然后把业务数据包提交给SCTP协议栈进行处理,对于其他消息,在串接设备的虚拟地址层采用直接转发的方式,让两端的设备感觉不到串接设备的存在。
[0051]更进一步的,由于SIGTRAN协议中定义的信令传输层使用的是SCTP协议,为了保证串接设备在接入和退出时对两端设备无感,必须保证从串接设备中经过的每条消息的源端口号、目的端口号、验证标签等等都和原来的消息是一样的。
[0052]因此在本发明中采用一个如附图7所示结构类型的数组对接收的SCTP消息进行记录,结构中的成员包含下列信息:消息的源地址、目的地址、源端口号、目的端口号、验证标签,TSN, SSN,流ID等。同时协议栈保存指向数组未用元素的下标,收到一条消息就直接把信息保存到该数组元素中,同时下标递增,到达数组尾部后再从头开始。
[0053]附图8显示了对SCTP消息的处理过程。在接收到STPA或者STPB发送的SCTP消息后,首先把上述必要信息保存到消息记录数组中,并把数组的下标作为这条SCTP消息的唯一 ID,SCTP协议栈把消息解析后,提取消息内容,根据这个唯一 ID重新封装成与防护设备之间的消息,通过IP网络发送给防护设备进行处理,。防护设备处理完毕后,把消息返回给串接设备,串接设备根据消息中的ID,直接定位到SCTP消息记录数组中的指定位置,根据数组成员中保存的数据重新封装SCTP消息首部,最后调用虚拟地址层提供的发送接口,把消息发送出去。
[0054]在整个消息的处理过程中,SCTP消息的源端口、目的端口、验证标签、TSN、SSN、流ID等都没有改变,而且由于虚拟地址层的处理,发送给目的设备的消息中的地址与源设备的地址相同,目的设备感觉不到串接设备的存在。因此本发明可保证各类七号信令网安全防护设备在基于分组域七号信令网的接入时,不需改变运营商现有网络的组网环境,不需修改现网的配置数据,不需占用运营商局点、地址等网络资源,做到对运营商网络设备的隐藏和透明串接。
[0055]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
【权利要求】
1.一种基于虚拟IP的无感串接设备,用于串接信令网络和安全防护设备,通过标准IP协议栈与信令网安全防护设备连接,包括:通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元; 所述的前插板具有网口 A、网口 B、网口 C和网口 D ;所述的后插板具有网口 Al、网口 BI ;所述的网口 Al网口 BI分别与两个关口局设备STPA和STPB通信连接; 所述处理单元依次具有与所述的网口 A和网口 B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈; 该虚拟地址层在所述的网口 A和网口 B中分别虚拟出所述的STPA和STPB的虚拟地址STPA' 和 STPB',使用 STPB' 与 STPA 通信,STPA' 与 STPB 通信; 所述虚拟地址层为所述的SCTP协议栈提供虚拟的发送接口 ; 工作时,所述的虚拟地址层对由所述网口A和/或网口B输入的数据包进行解析、记录消息的源、目的地址操作,将数据通过所述的SCTP协议栈发送到所述的信令网安全防护设备; 在所述的接入设备接收由所述安全防护设备返回的数据包时,虚拟地址层根据之前接收数据时解析并记录的消息源、目的地址对数据包进行封包,通过网口 A或/和网口 B分别以STPA'和STPB'作为源地址将消息发送给STPB和STPA。
2.根据权利要求1所述的基于虚拟IP的无感串接设备,其特征还在于:所述的网口A和网口 B分别具有一记录所在网口虚拟IP和虚拟MAC地址对应关系的虚拟地址管理表;所述的虚拟地址管理表中记载的内容如下: 网口的虚IP地址IPn' ;网口的虚MAC地址MACn'。
3.根据权利要求2所述的基于虚拟IP的无感串接设备,其特征还在于:所述的处理单元还具有MAC地址获取单元1:分别以网口 A和网口 B的实际IP地址向STPA和STPB发送ARP请求,得到MACA和MACB地址做为网口 A和网口 B的虚拟地址MACA'和MACB',并记录在网口 A和网口 B的虚拟地址管理表中;通过网口 B和网口 A分别向STPB和STPA发送ARP声明消息,让网口 B和STPB、网口 A和STPA之间的路由设备学习到STPA'和STPB'地址的位置信息,这里STPA'指IPA'和MACA'的组合,STPB'指IPB'和MACB'的组合。
4.根据权利要求2所述的基于虚拟IP的无感串接设备,其特征还在于:所述的处理单元还具有MAC地址获取单元I1:该单元接收来自STPA或STPB的数据包,根据以太网协议对数据包的MAC首部和IP首部进行解析;如果数据包中的源IP地址是IPA'或者IPB',则保存源MAC地址为MACA'或者MACB',将业务数据包提交给SCTP协议栈处理。
5.根据权利要求1所述的基于虚拟IP的无感串接设备,其特征还在于:所述的处理单元具有记录数组:该数组对处理单元接收到的每一条SCTP消息进行记录,以数组的下标作为每一条SCTP消息的唯一 ID ; SCTP协议栈把消息解析后,提取消息内容,所述的唯一 ID重新封装成与防护设备之间的消息,通过IP网络发送给防护设备进行处理; 防护设备处理完毕后,把消息返回给串接设备,串接设备根据消息中的ID,直接定位到SCTP消息记录数组中的指定位置,根据数组成员中保存的数据重新封装SCTP消息首部,调用虚拟地址层提供的发送接口,将消息发送出去。
6.根据权利要求1-5任意一项权利要求所述的基于虚拟IP的无感串接设备,其特征还在于:所述的网口 Al和网口 BI分别与两个关口局设备STPA和STPB通信连接;网口 Al和网口 BI之间通过直通开关相连; 所述的直通开关通过设置在所述前插板上的一硬件看门狗控制断开或闭合:当设备正常运时,所述的处理单元通过定时清除该硬件看门狗断开所述的直通开关,保证从STPA和STPB来的数据分别通过网口 Al和网口 BI进入所述的处理单元; 当处理单元故障或者移除时,硬件看门狗超时,该看门狗控制所述的直通开关闭合,网口 Al和网口 BI直接连通·。
【文档编号】H04L12/24GK103716192SQ201310752401
【公开日】2014年4月9日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】邸学锋, 袁林, 马洪彬, 丁鼎, 窦静, 王健, 张醒, 吴海明, 范博, 路璐 申请人:大连环宇移动科技有限公司