CN102104585B - 全网屏蔽的管理方法和系统 - Google Patents
全网屏蔽的管理方法和系统 Download PDFInfo
- Publication number
- CN102104585B CN102104585B CN200910252488.6A CN200910252488A CN102104585B CN 102104585 B CN102104585 B CN 102104585B CN 200910252488 A CN200910252488 A CN 200910252488A CN 102104585 B CN102104585 B CN 102104585B
- Authority
- CN
- China
- Prior art keywords
- aid
- shielding
- ilr
- rid
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本方法涉及一种全网屏蔽的管理方法和系统,该方法包括:认证中心(AC)将终端的身份标识(AID)设置为屏蔽状态;所述AC从身份标识和位置登记寄存器(ILR)获取所述AID对应的位置标识(RID);所述AC根据获取的RID向对应的接入服务器(ASN)发送AID屏蔽命令;所述ASN接收所述AC的屏蔽命令,解除所述AID的附着。本发明全网屏蔽的管理方法和系统可以实现全网屏蔽。
Description
技术领域
本发明涉及移动通讯领域和互联网领域,涉及一种全网屏蔽的管理方法和系统。
背景技术
由于各种各样的原因,网络管理者需要对特定用户进行屏蔽,禁止其接入网络或者在网络上发布信息。
目前用户屏蔽技术基本上有如下几类:
IP地址类屏蔽,如黑名单技术,一台防火墙或者其它安全网关设备定义好需要屏蔽的IP地址,当该IP地址试图访问其它地址时,防火墙或者其它安全网关设备检测到该地址,便将其丢弃。这是地址类的用户屏蔽。
账号类屏蔽,分接入帐号屏蔽和业务帐号屏蔽。
接入帐号屏蔽是指用户填写用户名和密码之后,希望通过接入认证,获取IP地址。而接入认证服务器发现该帐号已被屏蔽,将对该用户的接入认证请求作驳回处理。如用户通过PPPOE认证,发送用户名和密码到认证服务器之后,认证服务器发现该用户是被屏蔽用户,则拒绝该认证请求。
业务帐号屏蔽是指用户在填写用户和密码之后,希望进入某服务器进行业务操作,如登录BBS论坛发言,BBS服务器发现该用户帐号应该被屏蔽,则禁止用户登录,该用户就无法在论坛上发言。
在以上的用户屏蔽技术中,防火墙或者安全网关上的黑名单技术简单有效,但是其作用范围仅仅限于防火墙或者安全网关的单点防护,用户只要改变IP地址,便可以绕过防火墙或者安全网关的黑名单检查。
帐号类用户屏蔽技术,可以解决用户改变IP或者改变接入方式的情况下用相同的用户名和帐户登录的问题。意味着用户将无法再使用该帐户,无论是用何种接入方式。
总结来说,目前的用户屏蔽技术无法解决以下问题:
1、无法解决用户更换IP地址绕过黑名单检查的问题;
2、无法控制控制用户采用不同的帐户进行登录而绕过服务器对用户帐户屏蔽的问题;
3、无法在全网进行用户屏蔽,上述两种用户屏蔽技术作用范围小。
发明内容
本发明要解决的技术问题是,提供一种全网屏蔽的管理方法和系统,以实现全网屏蔽。
为解决以上技术问题,本发明提供一种全网屏蔽管理方法,该方法基于用户身份和位置分离网络实现,全网屏蔽的实现方法包括:
认证中心(AC)将终端的身份标识(AID)设置为屏蔽状态;
所述AC从身份标识和位置登记寄存器(ILR)获取所述AID对应的位置标识(RID);
所述AC根据获取的RID向对应的接入服务器(ASN)发送AID屏蔽命令;
所述ASN接收所述AC的屏蔽命令,解除所述AID的附着。
进一步地,所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。
进一步地,所述AC将所述AID设置为屏蔽状态时,同时设置所述AID屏蔽的老化时间,老化时间到达时,所述AC解除对所述AID的屏蔽。
进一步地,所述AC通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所述ILR同时删除所述AID与RID的映射关系。
进一步地,在终端进行接入认证时,认证中心(AC)判断所述终端的身份标识(AID)是否为屏蔽状态,若所述终端的AID为屏蔽状态,则拒绝所述终端接入,否则允许接入。
为解决以上技术问题,本发明还提供了一种全网屏蔽管理系统,该系统基于用户身份和位置分离网络实现,包括:
认证中心(AC)包括相连接的屏蔽管理模块及屏蔽处理模块,其中,所述屏蔽管理模块用于将终端的身份标识(AID)设置为屏蔽状态,所述屏蔽处理模块用于从身份标识和位置登记寄存器(ILR)获取屏蔽状态的AID对应的位置标识(RID),还用于向所述RID对应的ASN发送屏蔽命令;
身份标识和位置登记寄存器(ILR),与所述AC通过网络连接,用于保存AID和RID的映射关系,以及向所述认证中心提供所述映射关系;
接入服务器(ASN),与所述AC和ILR通过网络连接,用于根据所述AC的命令解除所述AID的附着。
进一步地,所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。
进一步地,所述AC的屏蔽管理模块将所述AID设置为屏蔽状态时,还用于设置所述AID屏蔽的老化时间,以及老化时间到达时,将所述AID设置为非屏蔽状态。
进一步地,所述AC的屏蔽处理模块通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所述ILR还用于删除所述AID与RID的映射关系。
进一步地,所述AC还包括接入认证模块,用于进行接入认证,以及根据所述终端的AID的屏蔽标识判断是否允许所述终端接入,若所述终端的AID为屏蔽状态,则拒绝所述终端接入,否则允许接入。
本发明全网屏蔽管理方法和系统,相对于以前IP网络只能用户进行小范围内或者是仅仅帐号上的用户屏蔽,做不到完全的全网用户屏蔽,该方法利用身份标识和位置标识分离网络的优越性,在全网AID唯一的基础上,直接对用户进全网屏蔽,可以有效控制用户更换不同地点或者更换不同帐号进行登录的问题。
附图说明
图1是SILSN的系统架构示意图。
图2是本发明实施例一AC直接对用户实施屏蔽的流程。
图3是本发明实施例二基于IDS检测的用户屏蔽流程。
具体实施方式
本发明全网屏蔽用户的方法和系统基于身份标识和位置分离架构网络实现,为描述方便,下文将此身份标识和位置分离网络简称为SILSN(Subscriber Identifier & Locator Separation Network)。
如图1所示,SILSN由接入服务器ASN(Access Service Node)和用户终端UE(User Equipment)、身份标识和位置登记寄存器ILR(Identification& Location Register)以及认证中心AC(Authentication Center)等组成。其中接入服务器ASN1和ASN2用来接入用户终端设备UE1、UE2,负责为用户终端实现接入,并承担计费、切换等功能,ILR承担用户的位置注册和身份识别功能,AC承担用户接入认证功能,UE1和UE2分别存在唯一的身份标识(Access Identification)AID1和AID2。
需要说明的是,AC和ILR可以在同一个物理设备中,只是逻辑上分开说明。
图1所示网络有如下特征:此网络内每个用户只有经过严格认证才能接入,用户在发送每个数据包时,都同时携带自己的真实身份标识AID,此标识仅分配给该用户使用且全网唯一,用户在各种业务中所发送的数据包都一直携带此身份标识,用户发送的每个数据包都必须经过接入服务器ASN验证,保证用户发出的数据包携带的是自己的身份标识,不会假冒其他用户AID接入网络,并且此身份标识在网内传送时将一直保持不变,当用户在移动或切换时,此身份标识也不会发生变化。
在图1中,用户UE1和UE2分别通过ASN1和ASN2接入网络,并需要经过AC进行接入认证。而在AC进行用户屏蔽设置,根据用户的AID作为屏蔽索引,来自该用户AID的认证请求都给予拒绝。
本发明全网屏蔽管理方法和系统基于身份标识和位置分离网络实现,利用网络用户AID全网唯一性,在AC上根据用户的AID作为索引,对需要屏蔽的用户进行屏蔽设置,使得用户无法通过接入认证,从而无法接入网络。
下面根据附图介绍各实施例。需要说明的是,本发明内容可以用以下实施例解释,但不限于以下的实施例。下面给出具体说明。
图2所示为AC直接对用户实施屏蔽的流程。
在该实施例中,网络管理者事先知道该用户为不法用户,需要禁止其接入网络,于是在AC上对该用户设置屏蔽标志,该流程包括:
S200:AC将用户AID设置为屏蔽状态;
网络管理者在AC对用户AID作屏蔽设置,禁止其接入网络。进一步说明,在用户进行接入认证时,认证中心(AC)判断用户AID是否为屏蔽状态,若所述用户AID为屏蔽状态,则拒绝所述用户接入,否则允许接入。
S210:AC根据被屏蔽的AID,向ILR查询<AID,RID>映射表,同时通知ILR删除该<AID,RID>映射表;
S220:ILR向AC返回查询响应;
S230:AC根据查询到的RID向对应的ASN发送用户AID屏蔽命令;
ILR返回的查询响应中,如果查不到<AID,RID>映射表,说明该用户尚未接入网络,只需在AC上设置该用户AID为屏蔽即可,整个用户AID用户屏蔽流程结束;如果查询到<AID,RID>映射表,则说明用户已经通过某个ASN接入网络,需要通知ASN屏蔽该用户。
S240:ASN解除用户AID的附着;
ASN接收到来自AC的用户AID屏蔽命令,解除用户AID在ASN上的附着,实现对已通过AC接入认证的用户AID的屏蔽。
S250:ASN向AC发送用户AID屏蔽命令响应。
AC屏蔽用户AID流程结束。
图3所示为基于IDS检测的用户屏蔽的流程。
在该实施例中,IDS检测到攻击发生,将攻击源的AID上报给AC,AC对该AID的用户进行屏蔽以示惩罚。需要说明的是,图中的IDS(IntrusionDetection System,入侵检测系统)不是检测设备的唯一选择,也有可能是DPI(Deep Packet Inspection,深度包检测)或者其它检测设备。在图中,检测到的攻击,有可能是来自UE,也有可能是来自其它用户。为了方便说明,本实施例中以UE发起攻击为例。
S300:IDS检测到UE正在对外发起攻击;
需要说明的是,IDS对于攻击行为的定义以及攻击产生后果的大小评估由网络管理者定义。举例说明,如UE发起扫描其它用户的行为,这是属于破坏程度比较轻的行为;如UE对某用户发送木马或者其它病毒类文件,这是属于破坏程度比较重的行为。
S310,IDS向AC报告UE的AID;
IDS向AC报告UE的AID,同时携带检测出的攻击类型,如扫描或者发送病毒文档等等。
S320:AC对UE的AID设置屏蔽,并同时根据其攻击类型设置AID屏蔽的老化时间;
需要说明的是,老化时间的定义由网络管理者自己根据攻击类型来决定,通常来说,对于普通攻击,屏蔽的老化时间较短,对于恶意攻击,屏蔽的老化时间比较长。
S330:AC根据被屏蔽的AID,向ILR查询<AID,RID>映射表,同时通知ILR删除该<AID,RID>映射表;
S340:ILR向AC返回查询响应;
S350:AC根据查询到的RID信息向ASN发送UE的AID屏蔽命令;
S360:ASN解除UE的AID在ASN上的附着;
ASN接收到来自AC的UE的AID屏蔽命令,解除UE的AID在ASN上的附着,实现对已通过AC接入认证的用户AID的屏蔽。
S370:ASN向AC发送用户AID屏蔽命令响应。
基于IDS检测的用户屏蔽流程结束。
需要说明的是,如果需要解除对用户AID的全网屏蔽,有两种方法。一是对于有老化时间的屏蔽来说,老化时间到,自然便解除对该用户AID的屏蔽;二是对没有老化时间的屏蔽来说,需要网络管理者根据实际情况进行人工解除屏蔽。
以上解除屏蔽的过程均只需要在AC上操作即可。
为了实现以上方法,本发明还提供了一种全网屏蔽管理系统,该系统基于用户身份和位置分离网络实现,包括:
认证中心(AC),包括相连接的屏蔽管理模块及屏蔽处理模块,其中,所述屏蔽管理模块用于将终端的身份标识(AID)设置为屏蔽状态,所述屏蔽处理模块用于从身份标识和位置登记寄存器(ILR)获取屏蔽状态的AID对应的位置标识(RID),还用于向所述RID对应的ASN发送屏蔽命令;
所述AC还包括接入认证模块,用于进行接入认证,以及根据所述终端的AID的屏蔽标识判断是否允许所述终端接入,若所述终端的AID为屏蔽状态,则拒绝所述终端接入,否则允许接入。
所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。
所述AC的屏蔽管理模块将所述AID设置为屏蔽状态时,还用于设置所述AID屏蔽的老化时间,以及老化时间到达时,将所述AID设置为非屏蔽状态。
身份标识和位置登记寄存器(ILR),与所述AC通过网络连接,用于保存AID和RID的映射关系,以及向所述认证中心提供所述映射关系;
接入服务器(ASN),与所述AC和ILR通过网络连接,用于根据所述AC的命令解除所述AID的附着。
所述AC通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所述ILR还用于删除所述AID与RID的映射表。
需要说明的是,AC和ILR可以在同一个物理设备中,只是逻辑上分开说明。
本发明全网屏蔽管理方法和系统,相对于以前IP网络只能用户进行小范围内或者是仅仅帐号上的用户屏蔽,做不到完全的全网用户屏蔽,该方法利用身份标识和位置标识分离网络的优越性,在全网AID唯一的基础上,直接对用户进全网屏蔽,可以有效控制用户更换不同地点或者更换不同帐号进行登录的问题。
Claims (10)
1.一种全网屏蔽管理方法,其特征在于,该方法基于用户身份和位置分离网络实现,全网屏蔽的实现方法包括:
认证中心AC将终端的身份标识AID设置为屏蔽状态;
所述AC从身份标识和位置登记寄存器ILR获取所述AID对应的位置标识RID;
所述AC根据获取的RID向对应的接入服务器ASN发送AID屏蔽命令;
所述ASN接收所述AC的屏蔽命令,解除所述AID的附着。
2.如权利要求1所述的方法,其特征在于:所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。
3.如权利要求1所述的方法,其特征在于:所述AC将所述AID设置为屏蔽状态时,同时设置所述AID屏蔽的老化时间,老化时间到达时,所述AC解除对所述AID的屏蔽。
4.如权利要求1所述的方法,其特征在于:所述AC通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所述ILR同时删除所述AID与RID的映射关系。
5.如权利要求1所述的方法,其特征在于,在终端进行接入认证时,AC判断所述终端的AID是否为屏蔽状态,若所述终端的AID为屏蔽状态,则拒绝所述终端接入,否则允许接入。
6.一种全网屏蔽管理系统,其特征在于,该系统基于用户身份和位置分离网络实现,包括:
认证中心AC包括相连接的屏蔽管理模块及屏蔽处理模块,其中,所述屏蔽管理模块用于将终端的身份标识AID设置为屏蔽状态,所述屏蔽处理模块用于从身份标识和位置登记寄存器ILR获取屏蔽状态的AID对应的位置标识RID,还用于向所述RID对应的ASN发送屏蔽命令;
身份标识和位置登记寄存器ILR,与所述AC通过网络连接,用于保存AID和RID的映射关系,以及向所述认证中心提供所述映射关系;
接入服务器ASN,与所述AC和ILR通过网络连接,用于根据所述AC的命令解除所述AID的附着。
7.如权利要求6所述的系统,其特征在于:所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。
8.如权利要求6所述的系统,其特征在于:所述AC的屏蔽管理模块将所述AID设置为屏蔽状态时,还用于设置所述AID屏蔽的老化时间,以及老化时间到达时,将所述AID设置为非屏蔽状态。
9.如权利要求6所述的系统,其特征在于:所述AC的屏蔽处理模块通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所述ILR还用于删除所述AID与RID的映射关系。
10.如权利要求6所述的系统,其特征在于:所述AC还包括接入认证模块,用于进行接入认证,以及根据所述终端的AID的屏蔽标识判断是否允许所述终端接入,若所述终端的AID为屏蔽状态,则拒绝所述终端接入,否则允许接入。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910252488.6A CN102104585B (zh) | 2009-12-17 | 2009-12-17 | 全网屏蔽的管理方法和系统 |
| PCT/CN2010/075670 WO2011072531A1 (zh) | 2009-12-17 | 2010-08-03 | 全网屏蔽的管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910252488.6A CN102104585B (zh) | 2009-12-17 | 2009-12-17 | 全网屏蔽的管理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102104585A CN102104585A (zh) | 2011-06-22 |
| CN102104585B true CN102104585B (zh) | 2014-04-09 |
Family
ID=44157118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910252488.6A Expired - Fee Related CN102104585B (zh) | 2009-12-17 | 2009-12-17 | 全网屏蔽的管理方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102104585B (zh) |
| WO (1) | WO2011072531A1 (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801764A (zh) * | 2006-01-23 | 2006-07-12 | 北京交通大学 | 一种基于身份与位置分离的互联网接入方法 |
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2851104A1 (fr) * | 2003-02-10 | 2004-08-13 | France Telecom | Procede et systeme d'authentification d'un utilisateur au niveau d'un reseau d'acces lors d'une connexion de l'utilisateur au reseau internet |
| CN100352203C (zh) * | 2003-09-04 | 2007-11-28 | 华为技术有限公司 | 控制宽带网络用户接入网络的方法 |
-
2009
- 2009-12-17 CN CN200910252488.6A patent/CN102104585B/zh not_active Expired - Fee Related
-
2010
- 2010-08-03 WO PCT/CN2010/075670 patent/WO2011072531A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801764A (zh) * | 2006-01-23 | 2006-07-12 | 北京交通大学 | 一种基于身份与位置分离的互联网接入方法 |
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011072531A1 (zh) | 2011-06-23 |
| CN102104585A (zh) | 2011-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kim et al. | Touching the untouchables: Dynamic security analysis of the LTE control plane | |
| JP7133010B2 (ja) | Diameterエッジエージェント(DEA:DIAMETER EDGE AGENT)を用いる、アウトバウンドローミング加入者に対するモビリティ管理エンティティ(MME:MOBILITY MANAGEMENT ENTITY)認証のための、方法、システム、およびコンピュータ読み取り可能な媒体 | |
| JP7198339B2 (ja) | Ss7(signaling system no.7)のstp(signal transfer point)を利用してvlr(visitor location register)を検証するための方法、システム、およびコンピュータ読み取り可能な媒体 | |
| CN109314863B (zh) | 直径边缘代理攻击检测 | |
| CN106332067B (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| CN101283597B (zh) | 在无执照的移动接入网或通用接入网中提供安全性的方法、系统和设备 | |
| CN110583034B (zh) | 在移动通信网络中接入与提供网络切片的方法、系统和装置 | |
| Dabrowski et al. | The messenger shoots back: Network operator based IMSI catcher detection | |
| CN102027766B (zh) | 对移动网络中的语音资源的接入进行控制的方法、系统 | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
| US10285060B2 (en) | Preventing attacks from false base stations | |
| EP2512087A1 (en) | Method and system for accessing network through public device | |
| CN105828413A (zh) | 一种d2d模式b发现的安全方法、终端和系统 | |
| CN113206814A (zh) | 一种网络事件处理方法、装置及可读存储介质 | |
| CN101018395A (zh) | 恢复用户设备占用的ip地址与网络资源的方法 | |
| CN102131197B (zh) | 一种在公共设备上接入网络的方法及系统 | |
| EP2512089B1 (en) | Method and system for accessing network through public equipment | |
| CN102123072B (zh) | 数据报文分类处理的实现方法、网络及终端 | |
| JP6153168B2 (ja) | 接続認証方法、そのシステムおよび端末 | |
| CN109428870B (zh) | 基于物联网的网络攻击处理方法、装置及系统 | |
| CN102104585B (zh) | 全网屏蔽的管理方法和系统 | |
| CN105792216A (zh) | 基于认证的无线钓鱼接入点检测方法 | |
| CN108270808B (zh) | 一种实现应用检测与控制的方法、装置和系统 | |
| Park et al. | Threats and countermeasures on a 4G mobile network | |
| CN105792205A (zh) | 一种客户端发起验证接入点合法性的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140409 Termination date: 20191217 |