CN103051598B - 安全接入互联网业务的方法、用户设备和分组接入网关 - Google Patents
安全接入互联网业务的方法、用户设备和分组接入网关 Download PDFInfo
- Publication number
- CN103051598B CN103051598B CN201110314300.3A CN201110314300A CN103051598B CN 103051598 B CN103051598 B CN 103051598B CN 201110314300 A CN201110314300 A CN 201110314300A CN 103051598 B CN103051598 B CN 103051598B
- Authority
- CN
- China
- Prior art keywords
- sain
- inspection
- policys
- service request
- pag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全接入互联网业务的方法,在分组接入网解决当前技术没有考虑用户访问特定目标应用时的控制问题。UE成功接入互联网后,当要访问某个目标应用时,所述方法包括:SAIN检查点根据SAIN检查策略检查针对所述目标应用的业务请求,当判断所述业务请求需要SAIN检查,则由UE提示用户输入SAIN;所述SAIN检查点判断如果输入的SAIN结果正确,则转发所述目标应用业务请求,如果输入的SAIN结果不正确,则拒绝所述业务请求。本发明通过引入SAIN,对目标互联网应用对应的数据流安全检查和保护,从而提高了互联网应用接入安全性,尤其是针对以用户标识方式接入互联网的场景。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种安全接入互联网业务的方法。
背景技术
互联网已经广泛应用,取得了巨大的成功,而且随着高速移动分组网络广泛部署,智能移动终端的普及,互联网业务将更加丰富化。
图1示出了互联网接入的示意图,对于图1中各实体的说明如下:
用户设备101(User Equipment,简称UE),位于用户侧,支持互联网协议(InternetProtocol,简称IP),如果采用身份位置分离技术,UE使用用户接入身份标识代替IP地址,接入互联网,同网络其他用户设备、业务提供进行通信。
接入控制功能102(Access Control Function,简称ACF),是UE 101所在接入网的控制设备,通过与UE 101、用户数据服务器/认证服务器104之间的交互,完成UE 101的认证鉴权、移动性管理、业务控制等功能。
分组接入网关103(Packet Access Gateway,简称PAG),是UE 101所在的接入网络与互联网之间的接口设备,负责IP地址分配,与UE 101之间的数据连接会话管理以及数据通道的建立,分组数据包的接收、转发等功能,并可根据策略控制服务器105下发的控制策略或本地配置的策略对数据包进行处理和控制;如果采用身份位置分离技术,还会涉及身份标识的管理、映射等功能。
用户数据和认证服务器104(User Profile and Authentication Server,简称UPAS),保存有用户的签约数据、认证数据,为UE 101提供安全接入认证功能以及用户签约数据。
策略控制服务器105(Policy Control Server,简称PCS),根据UE 101请求的业务特性以及用户签约、运营商策略,生成会话控制策略,并下发给PAG 103;
应用服务器106(Application Server,简称AS),位于互联网,为UE 101互联网应用。
上述PCS下发给PAG的控制策略或本地配置的控制策略包括会话鉴权信息(即是否允许建立会话)、数据包门控信息(即是否允许数据包通过)、访问控制列表、服务质量信息、计费信息等。当UE使用互联网业务,通过PAG发送上行数据包,或PAG接收到发送给UE的下行数据包,PAG会根据控制策略对上行数据包或下行数据包进行处理。
现有技术中,尤其是移动终端接入互联网,控制策略对用户使用IP接入会话可能带来的安全问题考虑得还比较少,目前只能做到根据访问控制列表数据包进行过滤。数据访问控制列表包括黑名单和白名单,当数据包特性(一般使用源IP地址、源端口、目的IP地址、目的端口、通讯协议中的部分要素或全部要素表征)与黑名单匹配,则丢弃数据包,如果与白名单匹配,则转发数据包,也可以将应用层的特性加入策略中,如应用层协议类型、传送内容等。
上述控制方式比较简单,在实现策略控制过程中,用户没有直接参与,无法满足有些安全级别比较高的业务的需求。例如IP多媒体子系统(IP Multimedia Subsystem,简称IMS)、即时通讯、小额支付、虚拟社区等,使用用户的IP地址或身份标识来标识用户身份,并派生业务,这样在当用户的用户设备被其他人使用,由于现有的保护机制比较简单,使用者就可以随意使用该用户设备进行上述业务,对用户安全性和隐私都造成极大的威胁。
从上述分析可以看出,由于当前技术没有考虑用户使用互联网接入的安全问题,可能会导致互联网接入和业务应用安全问题、以及隐私问题,因此需要采用新技术提高互联网接入安全,提供更多样的安全服务。
发明内容
本发明要解决的技术问题是提供一种安全接入互联网业务的方法,在分组接入网解决当前技术没有考虑用户访问特定目标应用时的控制问题。
为解决上述技术问题,本发明提供了一种安全接入互联网业务的方法,用户设备(UE)成功接入互联网后,当要访问某个目标应用时,所述方法包括:
安全接入身份号(SAIN)检查点根据SAIN检查策略检查针对所述目标应用的业务请求,当判断所述业务请求需要SAIN检查,则由UE提示用户输入SAIN;
所述SAIN检查点判断如果输入的SAIN结果正确,则转发所述目标应用业务请求,如果输入的SAIN结果不正确,则拒绝所述业务请求。
进一步地,所述SAIN检查点包括UE或分组接入网关(PAG)。
进一步地,所述SAIN检查点为UE时,所述SAIN检查策略是在UE上静态配置的;或由UE主动从网络获取的;或由网络侧发送给UE的。
进一步地,所述SAIN检查策略由UE主动从网络获取,包括:
所述UE主动向SAIN检查策略控制功能(SPCF)实体请求SAIN检查策略,SPCF将保存的SAIN检查策略下发给UE。
进一步地,所述SAIN检查策略由网络侧发送给UE,包括:
SAIN检查策略控制功能(SPCF)实体通过设备管理协议主动将所述SAIN检查策略发送给UE;或者
在数据连接会话建立过程中,PAG将SAIN检查策略传送给UE。
进一步地,所述SAIN检查点为PAG时,所述SAIN检查策略是在PAG上静态配置的;或由用户数据和认证服务器(UPAS)通过接入控制功能(ACF)实体下发给PAG的;或由SPCF发送给PAG的。
进一步地,所述SAIN检查策略由UPAS通过ACF下发给PAG,包括:
所述UPAS在位置更新过程中将所述SAIN检查策略置于用户签约数据中发送给ACF,所述ACF在数据连接会话建立过程中将所述SAIN检查策略发送给PAG。
进一步地,所述SAIN检查策略由SPCF发送给PAG,包括:
所述SPCF在数据连接会话建立过程中将SAIN检查策略发送给PAG。
进一步地,所述SAIN检查点转发所述目标应用业务请求后,所述方法还包括:所述SAIN检查点在接收到所述目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
进一步地,所述SAIN检查策略包含数据特征以及相应的执行策略,其中所述数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,所述执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
进一步地,所述SAIN检查所需要的参数包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期。
为解决上述技术问题,本发明还提供了一种实现安全接入互联网业务的用户设备(UE),包括应用层模块、SAIN检查模块和SAIN输入模块,其中:
所述应用层模块,用于发送针对目标应用的业务请求;
所述SAIN检查模块,用于作为安全接入身份号(SAIN)检查点,根据SAIN检查策略检查所述应用层模块发送的业务请求,当判断所述业务请求需要SAIN检查,则通过SAIN输入模块提示用户输入SAIN,并判断用户输入的SAIN结果是否正确,如果正确,则转发所述目标应用业务请求,如果不正确,则拒绝所述业务请求;
所述SAIN输入模块,用于提示用户输入SAIN,并将输入结果返回给SAIN检查模块。
进一步地,所述SAIN检查模块为独立模块,或是传输路由协议栈模块中的子模块。
进一步地,所述SAIN检查模块还用于在转发所述目标应用业务请求后,在接收到所述目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
进一步地,所述UE还包括SAIN检查策略模块,用于保存预先配置的SAIN检查策略,或者用于主动向网络获取SAIN检查策略,或者用于接收网络侧发送的SAIN检查策略。
进一步地,所述SAIN检查策略包含数据特征以及相应的执行策略,其中所述数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,所述执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
进一步地,所述SAIN检查所需要的参数包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期。
为解决上述技术问题,本发明还提供了一种实现安全接入互联网业务的分组接入网关(PAG),包括接收模块,第一判断模块和第二判断模块,其中:
所述接收模块,用于接收UE发送的针对某目标应用的业务请求,以及用于接收所述UE发送的用户输入的SAIN结果;
所述第一判断模块,用于根据SAIN检查策略检查所述业务请求,当判断所述业务请求需要SAIN检查,则通知UE提示用户输入SAIN;
所述第二判断模块,用于判断如果输入的SAIN结果正确,则转发所述目标应用业务请求,如果输入的SAIN不正确,则拒绝所述业务请求。
进一步地,所述第一判断模块还用于在所述第二判断模块转发所述目标应用业务请求后,在接收到所述目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
进一步地,所述PAG还包括SAIN检查策略模块,其用于保存预先配置的SAIN检查策略;或用于接收用户数据和认证服务器(UPAS)通过接入控制功能(ACF)实体发送的或SAIN检查策略控制功能(SPCF)发送的SAIN检查策略。
进一步地,所述SAIN检查策略包含数据特征以及相应的执行策略,其中所述数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,所述执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
进一步地,所述SAIN检查所需要的参数包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期。
本发明通过引入SAIN,对目标互联网应用对应的数据流安全检查和保护,从而提高了互联网应用接入安全性,尤其是针对以用户标识方式接入互联网的场景。比如,用户在访问网上银行等安全性比较高业务时,分组接入网主动对用户再次认证,可以加强使用业务的安全性;又如本机用户在访问某些内容敏感网站时,如果能在分组接入网就和主动对用户的访问进行认证,只有认证通过的才能访问,这样就可以有效防止非本机用户(如儿童)使用该用户设备随意访问这类网络。
附图说明
图1示出了互联网接入的示意图;
图2是本发明应用示例的基于流使用SAIN保护互联网业务安全的结构图;
图3是本发明应用示例的使用SAIN保护业务访问的流程图;
图4是本发明应用示例的网络检查方式流程图;
图5是本发明应用示例的从UPAS获取SAIN检查策略的流程;
图6是本发明应用示例的从SPCF获取SAIN检查策略的流程;
图7是本发明应用示例的UE检查方式的流程图;
图8是本发明应用示例的UE结构示意图;
图9是本发明应用示例的PAG结构示意图。
具体实施方式
为了能满足用户安全使用互联网接入的需求,本发明引入了安全接入身份号(Security Access Identification Number,简称SAIN),SAIN可以是一串可读的字符串,由数字、英文字母以及一些可读的符号(如“*”、“!”等)组成。根据安全需要,在UE侧或网络侧设置SAIN检查策略,当用户使用互联网业务时,UE或分组接入网络等SAIN检查点根据SAIN检查策略检查用户的业务请求,当发现用户访问特定的目标应用时即该业务请求对应的数据流需要使用SAIN保护时,要求用户在用户设备上输入SAIN,只有用户输入的SAIN正确时,SAIN检查点才允许该用户设备访问所述目标应用。通过这种方式,在接入层面提高互联网接入业务的安全性。
图2是本发明应用示例的基于流使用SAIN保护互联网业务安全的结构图,在图1的基础上增加了SAIN检查策略控制功能(SAIN Policy Control Function,简称SPCF),相对于图1中各实体功能或功能增强说明如下:
UE 201,在UE作为SAIN检查点时,支持SAIN检查策略获取功能和SAIN输入功能,根据检查策略对应用层的业务请求进行检查以及SAIN输入结果的验证,并进一步根据验证结果对所述应用的数据流执行控制功能;在PAG作为检查点时,根据PAG指示执行SAIN输入功能以及传送功能;
ACF 202,在从UPAS获取SAIN检查策略的场景中,从UPAS中获取SAIN检查策略,并在连接会话建立过程中传送给PAG;
PAG 203,支持SAIN检查策略获取功能,在UE作为SAIN检查点时,将SAIN检查策略下发给UE,在PAG作为SAIN检查点时,根据检查策略对应用层的业务请求数据包进行检查以及SAIN验证功能,并进一步根据验证结果对所述应用的数据流执行控制功能;
UPAS 204,在从UPAS获取SAIN检查策略的场景中,保存SAIN检查策略,并下载给ACF;
SPCF 207,保存用户的SAIN检查签约策略,并根据PAG提供的数据连接的会话信息以及运营商策略生成SAIN检查策略,下发给PAG,SPCF可以作为单独的实体,也可以是资源控制服务器中的一个功能。
UE与PAG的具体功能描述参见后续图8、图9及相应描述。
图3是本发明应用示例的使用SAIN保护业务访问的流程图,用户已经通过分组接入网成功接入互联网,当用户需要访问某个目标应用时,比如网上银行网站提供的支付业务,具体流程包括以下步骤:
301、UE发送针对该目标应用的业务请求;
该业务请求是目的地址为提供该目标应用的主机IP地址的IP数据包,其中包含具体的目标应用业务请求内容;
SAIN检查点包括UE或网络侧(例如PAG)。如果SAIN检查点为UE,则当UE将目标应用业务请求数据发送给UE的传输路由协议栈层(模块)时触发SAIN策略检测,具体检查点的实现可以是单独模块,或是传输路由协议栈层(模块)的子模块;如果SAIN检查点在网络侧(例如PAG),则在PAG收到UE发送的携带目标业务请求的数据包时触发SAIN策略检测。后续将目标应用业务请求内容和携带目标应用业务请求的数据包统称为目标应用业务请求或业务请求。
302、UE或PAG等SAIN检查点根据SAIN检查策略检查该目标应用的业务请求;
这里的SAIN检查策略包含数据特征以及相应的执行策略。数据特征可以用IP数据包特征,或者IP数据包特征和业务请求应用层特征标识。其中:IP数据包特征包括IP数据包五元组全部或部分特征,IP数据包五元组包括源IP、源端口、目的IP、目的端口和通讯协议;业务请求应用层特征指应用层中携带的全部或部分特征,例如包括应用层协议(如使用超文本传输协议、文件传输协议等)、主机标识、请求参数、消息体报文等应用层信息。
当SAIN检查点在UE侧时,SAIN检查策略可以是静态配置在UE;或UE主动从网络获取的;或网络侧发送给UE的,例如网络侧通过设备管理协议发送给UE,或在数据连接会话建立过程中,PAG将SAIN检查策略传送给UE。
当SAIN检查点在网络侧(如PAG)时,SAIN检查策略可以是在PAG静态配置的;或由UPAS通过ACF下发给PAG;或PAG从SPCF中获取的,例如在数据连接会话建立过程中,由SPCF将SAIN检查策略下发给PAG。
执行策略指当数据特征匹配时需要执行的动作,包括是否需要执行SAIN检查,以及SAIN检查所需要的参数,包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期等。其中:
SAIN验证参数:用来比对用户输入的SAIN是否正确的身份码,可以是用户设置的SAIN码,也可以由用户设置的SAIN码通过特定算法生成的验证值,比如将用户设置的SAIN与UE和网络共享的密钥进行散列函数计算得到的验证结果;
SAIN输入次数:用户可以连续错误输入SAIN的最大次数,如果用户连续输入错误次数超过该设定值,则拒绝用户继续输入;
SAIN验证有效期:一次验证通过可连续该业务访问的最大时长,如果超过该时长,需要用户重新输入SAIN。
在其他实施例中,该SAIN检查所需要的参数也可以是其他需要的参数。
303、SAIN检查点UE或PAG根据SAIN检查策略判断所述目标应用的业务请求是否需要SAIN检查,如果需要,则执行步骤304,否则直接执行步骤306;
根据检查策略的不同,可以只是匹配IP数据包特征,也可以做深度包检查,匹配应用层面的内容,由于匹配应用层面的开销比较大,主要是以前者为主。
304、由UE提示用户输入SAIN,用户在UE上输入SAIN;
如果SAIN检查点为UE,则UE直接在本地检查SAIN;如果SAIN检查点为PAG,则UE将用户的输入结果发送给PAG,由PAG进行检查。
在此期间,SAIN检查点(UE传输路由协议栈层或PAG)缓存所述目标应用业务请求。
305、SAIN检查点验证用户输入的SAIN,如果正确,执行步骤307,否则执行步骤306;
306、SAIN检查点UE或PAG拒绝用户的业务请求,或者跳转到步骤304,提示用户继续输入SAIN;
307、SAIN检查点UE或PAG接受该业务请求,执行后续转发动作;
SAIN检查点UE或PAG在接受业务请求后,将步骤304缓存的业务请求转发出去;如果SAIN检查点为UE,则UE将该业务请求转发至PAG;如果SAIN检查点为PAG,则PAG将该业务请求转发至该目标应用对应的应用服务器。
对该目标应用的后续数据包,UE或PAG在SAIN检查有效期内不再进行SAIN检查,直接进行发送处理;在本文中将目标应用对应的连续的数据包称为数据流,此类业务称为基于流的互联网业务。
通过上述流程,通过在分组接入层设置SAIN检查策略,要求对用户特定的应用的访问使用SAIN进行验证,只用验证通过,才能使用所述业务,从而从接入层面提高了互联网业务接入的安全性,并且在技术实现方案上做到与应用无关性,从而使该方法具有较好的灵活性和可扩展性。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图4是本发明应用示例的网络检查方式流程图。网络检查方式指SAIN检查策略的执行点在网络侧,本实施例中为PAG,SAIN检查策略可以是在PAG直接配置,也可以由SPCF或UPAS在用户数据连接会话建立过程中发给PAG。
步骤401、UE根据业务层请求,调用分组接入附着过程,附着到分组接入网;
步骤402、UE执行数据连接会话建立过程,向ACF发送数据连接会话建立请求,ACF接收用户请求,选择PAG,并向PAG发送数据连接请求,请求为用户建立数据连接通道;
步骤403、PAG获取与该用户有关的SAIN检查策略,具体获取方式包括:
1)在PAG本地配置;
2)在UPAS配置,当用户附着时由ACF从UPAS获取,并插入数据连接会话建立请求中发送给PAG,也可以采用ACF与PAG之间的专门消息发送,具体实施方式见图5流程;
3)设置专门的SAIN检查策略控制功能(SAIN Policy Control Function,简称SPCF),当PAG建立数据连接会话时从SPCF下载,具体实施方式见图6流程。
PAG获取SAIN检查策略的步骤也可不在此时执行,只要PAG在进行SAIN验证判断之前获取到即可。
步骤404、PAG通过ACF向UE返回数据连接会话建立响应,建立UE和PAG之间数据连接通道;
至此用户可以使用互联网业务,UE发送的上行数据包和由PAG发送给UE的下行数据包都通过该数据连接通道传递。
步骤405、当用户请求业务时,UE通过与PAG之间的数据连接通道向目的应用服务器发送业务请求;
步骤406、PAG接收到上行数据包后,根据SAIN检查策略匹配业务请求数据包;
步骤407、如果匹配成功,且策略要求进行SAIN保护,说明对该业务请求所对应的数据流需要进行SAIN保护,PAG缓存数所述据包,然后执行步骤408,否则向互联网转发该数据包;
步骤408、PAG向ACF发送SAIN输入请求;
步骤409、ACF向UE发送SAIN输入请求;
步骤410、UE提示用户输入SAIN,用户根据提示输入SAIN;
步骤411、UE向ACF返回输入SAIN响应,携带用户输入的结果;
响应中所携带的结果可以是用户输入的SAIN,也可以是SAIN与共享密钥经散列计算获得的函数值。
步骤412、ACF向PAG转发输入SAIN响应;
步骤413、ACF根据保存的SAIN参数检查用户输入的结果是否正确,如果正确,则执行步骤414,否则拒绝本次业务请求,丢弃承载业务请求的数据包,并可进一步通知UE验证失败,或要求用户再次输入SAIN;
步骤414、PAG向ACF发送SAIN验证通过消息,同时PAG向互联网发送步骤407时缓存的数据;
步骤415、ACF向UE发送SAIN验证通过消息,UE则进行后续业务;
对后续的该业务请求对应的数据流,当PAG接收到数据包时,发现已经通过SAIN验证,则不再要求用户重复进行SAIN输入。这里所说的业务请求可以是指针对同一个目标应用的所有业务请求,也可以是指针对该目标应用的某一次的业务请求。
图5是本发明应用示例的PAG从UPAS获取SAIN检查策略的流程。在此场景下,将SAIN检查策略作为用户数据中的一部分,存放在UPAS中。具体步骤包括:
步骤501、UE根据业务层请求,调用分组接入登陆过程,向ACF发送分组域附着请求;
步骤502、ACF向UPAS发送位置更新请求;
步骤503、UPAS获取用户签约数据,执行用户数据插入过程,向ACF发送用户数据插入请求,其中所携带的用户签约数据中包含SAIN检查策略;
步骤504、ACF保存用户签约数据,并向UPAS返回用户数据插入响应;
步骤505、UPAS向ACF返回位置更新响应;
根据具体接入技术的不同,也可以没有步骤502、503,在步骤505中携带包含SAIN检查策略的用户签约数据。
步骤506、ACF向UE发送分组域附着响应;
步骤507、UE执行数据连接会话建立过程,向ACF发送数据连接会话建立请求;
步骤508、ACF接收用户请求,选择PAG,将SAIN检查策略插入到数据连接会话建立请求,然后将所述数据连接会话建立请求发送给PAG;
步骤509、PAG获取并保存SAIN检查策略;
步骤510、PAG建立与UE之间数据连接通道,然后向ACF返回数据连接会话建立响应;
步骤511、ACF向UE返回数据连接会话建立响应。
图6是本发明应用示例的从SPCF获取SAIN检查策略的流程。在此场景下,设置独立的SPCF保存用户的SAIN签约策略,SPCF可进一步根据用户的数据连接会话请求、用户的SAIN签约策略以及运营商策略生成SAIN检查策略,然后下载到PAG。SPCF可以是单独的实体,也可以是资源控制服务器中的一个功能,当数据连接会话建立时,与服务质量控制策略、门控策略等一起从资源控制服务器下载到PAG。
步骤601、UE根据业务层请求,调用分组域附着过程;
步骤602、UE执行数据连接会话建立过程,向ACF发送数据连接会话建立请求;
步骤603、ACF接收用户请求,选择PAG,向PAG发送数据连接会话建立请求;
步骤604、PAG向SPCF发送IP会话建立请求,携带所述数据连接的会话信息;
步骤605、SPCF获取保存的SAIN检查签约策略,根据数据连接的会话信息、运营商策略生成SAIN检查策略;
在其他实施例中,SPCF也可以不生成SAIN检查策略,而是直接将保存的SAIN检查签约策略作为SAIN检查策略直接下发给PAG。
步骤606、SPCF向PAG返回IP会话建立请求,携带生成的SAIN检查策略;
步骤607、PAG保存SAIN检查策略;
步骤608、PAG建立与UE之间数据连接通道,然后向ACF返回数据连接会话建立响应;
步骤609、ACF向UE返回数据连接会话建立响应。
图7是本发明应用示例的UE检查方式的流程图。UE检查方式指SAIN检查策略执行点在UE,具体指UE的传输路由协议层(模块),SAIN检查策略可以是在UE直接配置,也可以UE主动向网络获取或网路下发给UE。包括以下步骤:
步骤701、UE根据业务层请求,调用分组域附着过程;
步骤702、UE执行数据连接会话建立过程,建立UE与PAG之间数据连接通道;
步骤703、UE获取与该用户有关的SAIN检查策略,具体获取方式包括:
1)在UE本地配置;
2)UE主动向SAIN检查策略控制功能请求SAIN检查策略,具体地,UE发现SPCF的地址(可以是配置,或在用户附着时网络通知的),然后通过超文本传输协议或扩展配置接入协议等方式向SPCF发起获取SAIN检查策略请求,SPCF验证用户身份后,返回响应,携带SPCF检查策略;
3)通过设备管理协议由SAIN检查策略控制功能主动发送给UE,例如在初次配置SAIN检查策略或该SAIN检查策略发生改变时;
4)在数据连接会话建立过程中,PAG将SAIN检查策略传送给UE。具体实施方式,可以在图5所示的方式中,PAG在步骤509获取SAIN检查策略后,通过步骤510的数据连接会话建立响应将SAIN检查策略经ACF发送给UE;或在图6所示的方式中,PAG在步骤606获取SAIN检查策略后,通过步骤607的数据连接会话建立响应将SAIN检查策略经ACF发送给UE。
步骤704、当用户请求具体业务时,UE的应用层向UE的传输路由协议层(模块)发送业务请求;
步骤705、UE根据SAIN检查策略匹配应用层发送过来的业务请求,如果匹配成功,说明对该业务请求所对应的数据流需要进行SAIN保护,然后执行步骤706,否则直接通过数据连接通道向PAG发送数据包;
步骤706、UE提示用户输入SAIN,用户根据提示输入SAIN;
步骤707、UE根据保存的SAIN验证参数检查用户输入的SAIN是否正确,如果正确,通过数据连接通道向PAG发送业务请求数据包,否则拒绝本次业务请求,通知UE验证失败,或要求用户再次输入SAIN;
对后续的该业务请求对应的数据流,当PAG接收到数据包时,发现已经通过SAIN验证,则不再要求用户重复进行SAIN输入。
图8是本发明应用示例的UE的结构示意图,如图所示,UE包括应用层模块、SAIN检查模块和SAIN输入模块,其中:
应用层模块,用于发送针对目标应用的业务请求;
SAIN检查模块,用于作为SAIN检查点,根据SAIN检查策略检查应用层模块发送的业务请求,当判断该业务请求需要SAIN检查,则通过SAIN输入模块提示用户输入SAIN,并判断用户输入的SAIN结果是否正确,如果正确,则转发该目标应用业务请求,如果不正确,则拒绝该业务请求;该SAIN检查模块可以为独立模块,或者是传输路由协议栈模块中的子模块;
SAIN输入模块,用于提示用户输入SAIN,并将输入结果返回给SAIN检查模块。
优选地,该SAIN检查模块还可用于在转发该目标应用业务请求后,在接收到该目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
优选地,该UE还包括SAIN检查策略模块,用于保存预先配置的SAIN检查策略,或者用于主动向网络获取SAIN检查策略,或者用于接收网络侧发送的SAIN检查策略。
该SAIN检查策略包含数据特征以及相应的执行策略,其中该数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,该执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
图9是本发明应用示例的PAG的结构示意图,如图所示,PAG包括接收模块,第一判断模块和第二判断模块,其中:
所述接收模块,用于接收UE发送的针对某目标应用的业务请求,以及用于接收所述UE发送的用户输入的SAIN结果;
所述第一判断模块,用于根据SAIN检查策略检查该业务请求,当判断该业务请求需要SAIN检查,则通知UE提示用户输入SAIN;具体地,该第一判断模块可以通过接收模块通知UE,或者直接通知UE(图中仅示出本种方式);
所述第二判断模块,用于判断如果输入的SAIN结果正确,则转发该目标应用业务请求,如果输入的SAIN不正确,则拒绝该业务请求。
优选地,该第一判断模块还用于在第二判断模块转发目标应用业务请求后,在接收到目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
优选地,该PAG还包括SAIN检查策略模块,其用于保存预先配置的SAIN检查策略;或用于接收UPAS通过ACF实体发送的或SPCF发送的SAIN检查策略。
如前所示,SAIN检查策略包含数据特征以及相应的执行策略,其中数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征;执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (22)
1.一种安全接入互联网业务的方法,应用于分组接入网中,用户设备UE成功接入互联网后,当要访问某个目标应用时,所述方法包括:
安全接入身份号SAIN检查点根据SAIN检查策略检查针对所述目标应用的业务请求,当判断所述业务请求需要SAIN检查,则由UE提示用户输入SAIN;
所述SAIN检查点判断如果输入的SAIN结果正确,则转发所述目标应用业务请求,如果输入的SAIN结果不正确,则拒绝所述业务请求。
2.如权利要求1所述的方法,其特征在于:
所述SAIN检查点包括UE或分组接入网关PAG。
3.如权利要求2所述的方法,其特征在于:
所述SAIN检查点为UE时,所述SAIN检查策略是在UE上静态配置的;或由UE主动从网络获取的;或由网络侧发送给UE的。
4.如权利要求3所述的方法,其特征在于:
所述SAIN检查策略由UE主动从网络获取,包括:
所述UE主动向SAIN检查策略控制功能SPCF实体请求SAIN检查策略,SPCF将保存的SAIN检查策略下发给UE。
5.如权利要求3所述的方法,其特征在于:
所述SAIN检查策略由网络侧发送给UE,包括:
SAIN检查策略控制功能SPCF实体通过设备管理协议主动将所述SAIN检查策略发送给UE;或者
在数据连接会话建立过程中,PAG将SAIN检查策略传送给UE。
6.如权利要求2所述的方法,其特征在于:
所述SAIN检查点为PAG时,所述SAIN检查策略是在PAG上静态配置的;或由用户数据和认证服务器UPAS通过接入控制功能ACF实体下发给PAG的;或由SPCF发送给PAG的。
7.如权利要求6所述的方法,其特征在于:
所述SAIN检查策略由UPAS通过ACF下发给PAG,包括:
所述UPAS在位置更新过程中将所述SAIN检查策略置于用户签约数据中发送给ACF,所述ACF在数据连接会话建立过程中将所述SAIN检查策略发送给PAG。
8.如权利要求6所述的方法,其特征在于:
所述SAIN检查策略由SPCF发送给PAG,包括:
所述SPCF在数据连接会话建立过程中将SAIN检查策略发送给PAG。
9.如权利要求1所述的方法,其特征在于:
所述SAIN检查点转发所述目标应用业务请求后,所述方法还包括:所述SAIN检查点在接收到所述目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
10.如权利要求1-9中任一权利要求所述的方法,其特征在于:
所述SAIN检查策略包含数据特征以及相应的执行策略,其中所述数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,所述执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
11.如权利要求10所述的方法,其特征在于:
所述SAIN检查所需要的参数包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期。
12.一种实现安全接入互联网业务的用户设备UE,应用于分组接入网中,包括应用层模块、安全接入身份号SAIN检查模块和SAIN输入模块,其中:
所述应用层模块,用于发送针对目标应用的业务请求;
所述SAIN检查模块,用于作为安全接入身份号SAIN检查点,根据SAIN检查策略检查所述应用层模块发送的业务请求,当判断所述业务请求需要SAIN检查,则通过SAIN输入模块提示用户输入SAIN,并判断用户输入的SAIN结果是否正确,如果正确,则转发所述目标应用业务请求,如果不正确,则拒绝所述业务请求;
所述SAIN输入模块,用于提示用户输入SAIN,并将输入结果返回给SAIN检查模块。
13.如权利要求12所述的用户设备,其特征在于:
所述SAIN检查模块为独立模块,或是传输路由协议栈模块中的子模块。
14.如权利要求12所述的用户设备,其特征在于:
所述SAIN检查模块还用于在转发所述目标应用业务请求后,在接收到所述目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
15.如权利要求12所述的用户设备,其特征在于:
所述UE还包括SAIN检查策略模块,用于保存预先配置的SAIN检查策略,或者用于主动向网络获取SAIN检查策略,或者用于接收网络侧发送的SAIN检查策略。
16.如权利要求12-15中任一权利要求所述的用户设备,其特征在于:
所述SAIN检查策略包含数据特征以及相应的执行策略,其中所述数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,所述执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
17.如权利要求16所述的用户设备,其特征在于:
所述SAIN检查所需要的参数包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期。
18.一种实现安全接入互联网业务的分组接入网关PAG,应用于分组接入网中,包括接收模块,第一判断模块和第二判断模块,其中:
所述接收模块,用于接收用户设备UE发送的针对某目标应用的业务请求,以及用于接收所述UE发送的用户输入的安全接入身份号SAIN结果;
所述第一判断模块,用于根据SAIN检查策略检查所述业务请求,当判断所述业务请求需要SAIN检查,则通知UE提示用户输入SAIN;
所述第二判断模块,用于判断如果输入的SAIN结果正确,则转发所述目标应用业务请求,如果输入的SAIN不正确,则拒绝所述业务请求。
19.如权利要求18所述的分组接入网关,其特征在于:
所述第一判断模块还用于在所述第二判断模块转发所述目标应用业务请求后,在接收到所述目标应用的后续数据包后,不再进行SAIN检查,直接进行转发处理。
20.如权利要求18所述的分组接入网关,其特征在于:
所述PAG还包括SAIN检查策略模块,其用于保存预先配置的SAIN检查策略;或用于接收用户数据和认证服务器UPAS通过接入控制功能ACF实体发送的或SAIN检查策略控制功能SPCF发送的SAIN检查策略。
21.如权利要求18或19或20所述的分组接入网关,其特征在于:
所述SAIN检查策略包含数据特征以及相应的执行策略,其中所述数据特征包括IP数据包特征,或者IP数据包特征和业务请求应用层特征,所述执行策略包括是否需要执行SAIN检查,以及SAIN检查所需要的参数。
22.如权利要求21所述的分组接入网关,其特征在于:
所述SAIN检查所需要的参数包括以下参数的一种或几种:SAIN验证参数、SAIN输入次数、SAIN验证有效期。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110314300.3A CN103051598B (zh) | 2011-10-17 | 2011-10-17 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110314300.3A CN103051598B (zh) | 2011-10-17 | 2011-10-17 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051598A CN103051598A (zh) | 2013-04-17 |
| CN103051598B true CN103051598B (zh) | 2017-04-26 |
Family
ID=48064102
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110314300.3A Expired - Fee Related CN103051598B (zh) | 2011-10-17 | 2011-10-17 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051598B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104869180B (zh) * | 2014-02-26 | 2018-12-04 | 中国电信股份有限公司 | 控制终端通信范围的方法和设备 |
| CN106105153A (zh) * | 2014-04-17 | 2016-11-09 | 华为技术有限公司 | 一种数据处理方法、控制方法及装置 |
| CN107318111B (zh) * | 2016-04-27 | 2020-04-28 | 中国电信股份有限公司 | 一种volte业务的控制方法、p-gw和lte网络 |
| CN107623668A (zh) | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| WO2018014535A1 (zh) * | 2016-07-16 | 2018-01-25 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| CN115630392A (zh) * | 2022-07-28 | 2023-01-20 | 天聚地合(苏州)科技股份有限公司 | 一种基于无服务器架构的隐私数据管理方法和计算网关 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100651713B1 (ko) * | 2003-12-26 | 2006-11-30 | 한국전자통신연구원 | 인증정책에 기반한 선택적 인증 시스템 이에 적합한사용자 인증 방법 |
| CN101827110A (zh) * | 2010-05-13 | 2010-09-08 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
| CN101931533A (zh) * | 2010-08-23 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7908642B2 (en) * | 2007-04-18 | 2011-03-15 | Canon Kabushiki Kaisha | Policy store |
-
2011
- 2011-10-17 CN CN201110314300.3A patent/CN103051598B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100651713B1 (ko) * | 2003-12-26 | 2006-11-30 | 한국전자통신연구원 | 인증정책에 기반한 선택적 인증 시스템 이에 적합한사용자 인증 방법 |
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
| CN101827110A (zh) * | 2010-05-13 | 2010-09-08 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
| CN101931533A (zh) * | 2010-08-23 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051598A (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| CN101075875B (zh) | 在门户/系统之间实现单点登录的方法及其系统 | |
| CN104378376B (zh) | 基于soa的单点登录方法、认证服务器和浏览器 | |
| US8352738B2 (en) | Method and apparatus for secure online transactions | |
| CN103051598B (zh) | 安全接入互联网业务的方法、用户设备和分组接入网关 | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN103001974B (zh) | 基于二维码的登录控制方法、系统和装置 | |
| KR101095447B1 (ko) | 분산 서비스 거부 공격 차단 장치 및 방법 | |
| CN104144163B (zh) | 身份验证方法、装置及系统 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN103200150B (zh) | 身份认证方法和系统 | |
| CN110199509A (zh) | 使用多路径验证的未授权接入点检测 | |
| CN103905194B (zh) | 身份溯源认证方法及系统 | |
| US9332432B2 (en) | Methods and system for device authentication | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN106162641B (zh) | 一种安全公众WiFi认证方法及系统 | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| Alhaidary et al. | Vulnerability analysis for the authentication protocols in trusted computing platforms and a proposed enhancement of the offpad protocol | |
| CN109040069A (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
| CN106230785A (zh) | 一种无私钥的https拒绝服务攻击的防御方法 | |
| CN103444215A (zh) | 用于避免网络攻击的危害的方法和装置 | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| CN108924122A (zh) | 一种网络敌我识别方法及系统 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN109257338A (zh) | 一种服务器登录二次认证的系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170426 Termination date: 20191017 |