WO2011072531A1 - 全网屏蔽的管理方法和系统 - Google Patents

Abstract

本发明提供一种全网屏蔽管理方法和系统，该方法和系统基于用户身份和位置分离网络实现，所述方法包括：认证中心AC将终端的身份标识AID设置为屏蔽状态；所述AC从身份标识和位置登记寄存器ILR获取所述AID对应的位置标识RID；所述AC根据获取的RID向该RID对应的接入服务器ASN发送AID屏蔽命令；所述ASN接收所述AC发送的屏蔽命令，解除所述AID的附着。本发明的全网屏蔽管理方法和系统可以有效控制用户更换不同地点或者更换不同帐号进行登录的问题。

Description

全网屏蔽的管理方法和系统

技术领域

本发明涉及移动通讯领域和互联网领域， 涉及一种全网屏蔽的管理方法 和系统。

背景技术

由于各种各样的原因， 网络管理者需要对特定用户进行屏蔽， 禁止其接 入网络或者在网络上发布信息。

目前用户屏蔽技术基本上有如下几类：

IP地址类屏蔽， 如黑名单技术， 一台防火墙或者其它安全网关设备定义 好需要屏蔽的 IP地址， 当该 IP地址试图访问其它地址时， 防火墙或者其它 安全网关设备检测到该地址， 便将其丟弃。 这是地址类的用户屏蔽。

账号类屏蔽， 分接入帐号屏蔽和业务帐号屏蔽。

接入帐号屏蔽是指用户填写用户名和密码之后， 希望通过接入认证， 获 取 IP地址。 而接入认证服务器发现该帐号已被屏蔽， 将对该用户的接入认证 请求作驳回处理。 如用户通过 PPPOE认证， 发送用户名和密码到认证服务器 之后， 认证服务器发现该用户是被屏蔽用户， 则拒绝该认证请求。

业务帐号屏蔽是指用户在填写用户和密码之后， 希望进入某服务器进行 业务操作， 如登录 BBS论坛发言， BBS服务器发现该用户帐号应该被屏蔽， 则禁止用户登录， 该用户就无法在论坛上发言。

在以上的用户屏蔽技术中， 防火墙或者安全网关上的黑名单技术简单有 效， 但是其作用范围仅仅限于防火墙或者安全网关的单点防护， 用户只要改 变 IP地址， 便可以绕过防火墙或者安全网关的黑名单检查。

帐号类用户屏蔽技术， 可以解决用户改变 IP或者改变接入方式的情况下 用相同的用户名和帐户登录的问题。 意味着用户将无法再使用该帐户， 无论 是用何种接入方式。 总结来说， 目前的用户屏蔽技术无法解决以下问题：

1、 无法解决用户更换 IP地址绕过黑名单检查的问题；

2、无法控制控制用户釆用不同的帐户进行登录而绕过 Λ良务器对用户帐户 屏蔽的问题；

3、 无法在全网进行用户屏蔽， 上述两种用户屏蔽技术作用范围小。

发明内容

本发明提供一种全网屏蔽的管理方法和系统， 以实现全网屏蔽。

为解决现有技术问题， 本发明提供一种全网屏蔽管理方法， 该方法基于 用户身份和位置分离网络实现， 全网屏蔽的实现方法包括：

认证中心 AC将终端的身份标识 AID设置为屏蔽状态；

所述 AC从身份标识和位置登记寄存器 ILR获取所述 AID对应的位置标 识 RID;

所述 AC根据获取的 RID向对应的接入服务器 ASN发送 AID屏蔽命令； 所述 ASN接收所述 AC的屏蔽命令， 解除所述 AID的附着。

优选地， 所述 AC根据配置需要或检测设备的检测结果将所述 AID设置 为屏蔽状态。

优选地， 所述方法还包括： 所述 AC将所述 AID设置为屏蔽状态时， 同 时设置所述 AID屏蔽的老化时间 ,老化时间到达时，所述 AC解除对所述 AID 的屏蔽。

优选地， 所述 AC通过向所述 ILR发送查询请求获取所述 ILR返回的与 所述 AID对应的 RID;

所述方法还包括： 所述 AC获取所述 AID对应的 RID时， 所述 ILR删除 所述 AID与 RID的映射关系。

优选地， 所述方法还包： 在终端进行接入认证时， 认证中心 AC判断所 述终端的身份标识 AID是否为屏蔽状态， 若所述终端的 AID为屏蔽状态， 则 拒绝所述终端接入， 若为非屏蔽状态， 则允许接入。 本发明还提供了一种全网屏蔽管理系统， 该系统基于用户身份和位置分 离网络实现， 包括：

认证中心 AC, 所述 AC包括相连接的屏蔽管理模块及屏蔽处理模块， 其 中， 所述屏蔽管理模块设置成将终端的身份标识 AID设置为屏蔽状态， 所述 屏蔽处理模块设置成从身份标识和位置登记寄存器 ILR获取屏蔽状态的 AID 对应的位置标识 RID, 以及向所述 RID对应的 ASN发送屏蔽命令；

身份标识和位置登记寄存器 ILR, 所述 IRL与所述 AC通过网络连接， 并设置成保存 AID和 RID的映射关系，以及向所述认证中心提供所述映射关 系；

接入服务器 ASN,所述 ASN与所述 AC和 ILR通过网络连接，并设置成 根据所述 AC的屏蔽命令解除 AID的附着。

优选地， 所述 AC是设置成根据配置需要或检测设备的检测结果将所述 AID设置为屏蔽状态。

优选地， 所述 AC的屏蔽管理模块还设置成： 将所述 AID设置为屏蔽状 态时， 设置所述 AID屏蔽的老化时间， 以及老化时间到达时， 将所述 AID设 置为非屏蔽状态。

优选地， 所述 AC的屏蔽处理模块是设置成通过向所述 ILR发送查询请 求获取所述 ILR返回的与所述屏蔽状态的 AID对应的 RID;

所述 ILR还设置成删除所述 AID与 RID的映射关系。

优选地， 所述 AC还包括接入认证模块， 所述接入认证模块设置成： 进 行接入认证， 以及根据所述终端的 AID的屏蔽标识判断是否允许所述终端接 入， 若所述终端的 AID为屏蔽状态， 则拒绝所述终端接入， 若为非屏蔽状态， 则允许接入。

本发明全网屏蔽管理方法和系统，相对于以前 IP网络只能用户进行小范 围内或者是仅仅帐号上的用户屏蔽， 做不到完全的全网用户屏蔽， 该方法利 用身份标识和位置标识分离网络的优越性， 在全网 AID唯一的基础上， 直接 对用户进全网屏蔽， 可以有效控制用户更换不同地点或者更换不同帐号进行 登录的问题。 附图概述

图 1是 SILSN的系统架构示意图；

图 2是本发明实施例一 AC直接对用户实施屏蔽的流程；

图 3是本发明实施例二基于 IDS检测的用户屏蔽流程。

本发明的较佳实施方式

本发明全网屏蔽用户的方法和系统基于身份标识和位置分离架构网络实 现，为描述方便，下文将此身份标识和位置分离网络简称为 SILSN( Subscriber Identifier & Locator Separation Network ) 。

如图 1所示， SILSN由接入服务器 ASN ( Access Service Node )和用户 终端 UE ( User Equipment )、身份标识和位置登记寄存器 ILR ( Identification & Location Register ) 以及认证中心 AC ( Authentication Center )等组成。 其中接 入服务器 ASN1和 ASN2用来接入用户终端设备 UE1、 UE2 , 负责为用户终 端实现接入， 并承担计费、 切换等功能， ILR承担用户的位置注册和身份识 别功能， AC承担用户接入认证功能， UE1和 UE2分别存在唯一的身份标识 (Access Identification)AID 1和 AID2。

需要说明的是， AC和 ILR可以在同一个物理设备中， 只是逻辑上分开 说明。

图 1所示网络有如下特征： 此网络内每个用户只有经过严格认证才能接 入， 用户在发送每个数据包时， 都同时携带自己的真实身份标识 AID, 此标 识仅分配给该用户使用且全网唯一， 用户在各种业务中所发送的数据包都一 直携带此身份标识， 用户发送的每个数据包都必须经过接入服务器 ASN验 证，保证用户发出的数据包携带的是自己的身份标识，不会假冒其他用户 AID 接入网络， 并且此身份标识在网内传送时将一直保持不变,当用户在移动或切 换时， 此身份标识也不会发生变化。

在图 1中， 用户 UE1和 UE2分别通过 ASN1和 ASN2接入网络， 并需要 经过 AC进行接入认证。 而在 AC进行用户屏蔽设置， 根据用户的 AID作为 屏蔽索引， 来自该用户 AID的认证请求都给予拒绝。

本发明全网屏蔽管理方法和系统基于身份标识和位置分离网络实现， 利 用网络用户 AID全网唯一性， 在 AC上根据用户的 AID作为索引， 对需要屏 蔽的用户进行屏蔽设置， 使得用户无法通过接入认证， 从而无法接入网络。

下面根据附图介绍各实施例。 需要说明的是， 本发明内容可以用以下实 施例解释， 但不限于以下的实施例。 下面给出具体说明。 图 2所示为 AC直接对用户实施屏蔽的流程。

在该实施例中， 网络管理者事先知道该用户为不法用户， 需要禁止其接 入网络， 于是在 AC上对该用户设置屏蔽标志， 该流程包括：

S200 : AC将用户 AID设置为屏蔽状态；

网络管理者在 AC对用户 AID作屏蔽设置， 禁止其接入网络。 进一步说 明，在用户进行接入认证时，认证中心（AC )判断用户 AID是否为屏蔽状态， 若所述用户 AID为屏蔽状态， 则拒绝所述用户接入， 若为非屏蔽状态， 则允 许接入。

S210: AC根据被屏蔽的 AID, 向 ILR查询 <AID, 1 10>映射表， 同时通 知 ILR删除该 <AID, 1 10>映射表；

S220: ILR向 AC返回查询响应；

S230: AC根据查询到的 RID向对应的 ASN发送用户 AID屏蔽命令；

ILR返回的查询响应中， 如果查不到 <AID, 1 10>映射表， 说明该用户尚 未接入网络， 只需在 AC上设置该用户 AID为屏蔽即可， 整个用户 AID用户 屏蔽流程结束； 如果查询到 <AID, 1 10>映射表， 则说明用户已经通过某个 ASN接入网络， 需要通知 ASN屏蔽该用户。

S240: ASN解除用户 AID的附着；

ASN接收到来自 AC的用户 AID屏蔽命令， 解除用户 AID在 ASN上的 附着， 实现对已通过 AC接入认证的用户 AID的屏蔽。

S250: ASN向 AC发送用户 AID屏蔽命令响应。

AC屏蔽用户 AID流程结束。 图 3所示为基于 IDS检测的用户屏蔽的流程。

在该实施例中， IDS检测到攻击发生， 将攻击源的 AID上报给 AC, AC 对该 AID的用户进行屏蔽以示惩罚。 需要说明的是， 图中的 IDS ( Intrusion Detection System,入侵检测系统）不是检测设备的唯一选择，也有可能是 DPI ( Deep Packet Inspection, 深度包检测）或者其它检测设备。 在图中， 检测到 的攻击， 有可能是来自 UE, 也有可能是来自其它用户。 为了方便说明， 本实 施例中以 UE发起攻击为例。

S300: IDS检测到 UE正在对外发起攻击；

需要说明的是， IDS对于攻击行为的定义以及攻击产生后果的大小评估 由网络管理者定义。 举例说明， 如 UE发起扫描其它用户的行为， 这是属于 破坏程度比较轻的行为； 如 UE对某用户发送木马或者其它病毒类文件， 这 是属于破坏程度比较重的行为。

S310, IDS向 AC报告 UE的 AID;

IDS向 AC报告 UE的 AID, 同时携带检测出的攻击类型， 如扫描或者发 送病毒文档等等。

S320: AC对 UE的 AID设置屏蔽， 并同时根据其攻击类型设置 AID屏 蔽的老化时间；

需要说明的是，老化时间的定义由网络管理者自己根据攻击类型来决定， 通常来说， 对于普通攻击， 屏蔽的老化时间较短， 对于恶意攻击， 屏蔽的老 化时间比较长。

S330: AC根据被屏蔽的 AID, 向 ILR查询 <AID, 1 10>映射表， 同时通 知 ILR删除该 <AID, 1 10>映射表；

S340: ILR向 AC返回查询响应；

S350: AC根据查询到的 RID信息向 ASN发送 UE的 AID屏蔽命令； S360: ASN解除 UE的 AID在 ASN上的附着；

ASN接收到来自 AC的 UE的 AID屏蔽命令，解除 UE的 AID在 ASN上 的附着， 实现对已通过 AC接入认证的用户 AID的屏蔽。 S370: ASN向 AC发送用户 AID屏蔽命令响应。

基于 IDS检测的用户屏蔽流程结束。

需要说明的是， 如果需要解除对用户 AID的全网屏蔽， 有两种方法。 一 是对于有老化时间的屏蔽来说， 老化时间到， 自然便解除对该用户 AID的屏 蔽； 二是对没有老化时间的屏蔽来说， 需要网络管理者根据实际情况进行人 工解除屏蔽。

以上解除屏蔽的过程均只需要在 AC上操作即可。

为了实现以上方法， 本发明还提供了一种全网屏蔽管理系统， 该系统基 于用户身份和位置分离网络实现， 包括：

认证中心（AC )， 其包括相连接的屏蔽管理模块及屏蔽处理模块， 其中， 所述屏蔽管理模块设置成将终端的身份标识 （AID )设置为屏蔽状态， 所述 屏蔽处理模块设置成从身份标识和位置登记寄存器 （ILR )获取屏蔽状态的 AID对应的位置标识（ RID ) ,还用于向所述 RID对应的 ASN发送屏蔽命令； 所述 AC还包括接入认证模块， 所述接入认证模块设置成进行接入认证， 以及根据所述终端的 AID的屏蔽标识判断是否允许所述终端接入， 若所述终 端的 AID为屏蔽状态， 则拒绝所述终端接入， 若为非屏蔽状态， 则允许接入。

所述 AC根据配置需要或检测设备的检测结果将所述 AID设置为屏蔽状 态。

所述 AC的屏蔽管理模块还设置成将所述 AID设置为屏蔽状态时， 设置 所述 AID屏蔽的老化时间， 以及老化时间到达时， 将所述 AID设置为非屏蔽 状态。

身份标识和位置登记寄存器（ILR ) ， 与所述 AC通过网络连接， IRL设 置成保存 AID和 RID的映射关系， 以及向所述认证中心提供所述映射关系； 接入服务器 (ASN),其与所述 AC和 ILR通过网络连接， 并设置成根据所 述 AC的命令解除所述 AID的附着。

所述 AC通过向所述 ILR发送查询请求获取所述 ILR返回的对应 RID, 所述 ILR还用于删除所述 AID与 RID的映射表。

需要说明的是， AC和 ILR可以在同一个物理设备中， 只是逻辑上分开 说明。

本发明全网屏蔽管理方法和系统，相对于以前 IP网络只能用户进行小范 围内或者是仅仅帐号上的用户屏蔽， 做不到完全的全网用户屏蔽， 该方法利 用身份标识和位置标识分离网络的优越性， 在全网 AID唯一的基础上， 直接 对用户进全网屏蔽， 可以有效控制用户更换不同地点或者更换不同帐号进行 登录的问题。

工业实用性

与现有技术相比， 本发明的全网屏蔽管理方法和系统， 利用身份标识和 位置标识分离网络的优越性， 在全网 AID唯一的基础上， 直接对用户进全网 屏蔽， 可以有效控制用户更换不同地点或者更换不同帐号进行登录的问题。

Claims

权 利 要 求 书

1、 一种全网屏蔽管理方法， 其特征在于， 该方法基于用户身份和位置分 离网络实现， 所述方法包括：

认证中心 AC将终端的身份标识 AID设置为屏蔽状态；

所述 AC从身份标识和位置登记寄存器 ILR获取所述 AID对应的位置标 识 RID;

所述 AC根据获取的 RID向该 RID对应的接入服务器 ASN发送 AID屏 蔽命令；

所述 ASN接收所述 AC发送的屏蔽命令， 解除所述 AID的附着。

2、 如权利要求 1所述的方法， 其中， AC将终端的 AID设置为屏蔽状态 的步骤中， 所述 AC是根据配置需要或检测设备的检测结果将所述 AID设置 为屏蔽状态。

3、 如权利要求 1所述的方法， 还包括： 所述 AC将所述 AID设置为屏蔽 状态时， 同时设置所述 AID屏蔽的老化时间， 老化时间到达时， 所述 AC解 除对所述 AID的屏蔽。

4、 如权利要求 1所述的方法， 其中，

获取所述 AID对应的 RID的步骤中， 所述 AC是通过向所述 ILR发送查 询请求获取所述 ILR返回的与所述 AID对应的 RID;

所述方法还包括： 所述 AC获取所述 AID对应的 RID时， 所述 ILR删除 所述 AID与 RID的映射关系。

5、 如权利要求 1 所述的方法， 还包括： 在终端进行接入认证时， 所述 AC判断所述终端的 AID是否为屏蔽状态， 若所述终端的 AID为屏蔽状态， 则拒绝所述终端接入， 若为非屏蔽状态， 则允许接入。

6、 一种全网屏蔽管理系统， 其特征在于， 该系统基于用户身份和位置分 离网络实现， 所述系统包括：

认证中心 AC, 所述 AC包括相连接的屏蔽管理模块及屏蔽处理模块， 其 中， 所述屏蔽管理模块设置成将终端的身份标识 AID设置为屏蔽状态， 所述 屏蔽处理模块设置成： 从身份标识和位置登记寄存器 ILR获取屏蔽状态的 AID对应的位置标识 RID, 以及向所述 RID对应的 ASN发送屏蔽命令； 身份标识和位置登记寄存器 ILR, 所述 IRL与所述 AC通过网络连接， 所述 IRL设置成保存 AID和 RID的映射关系， 以及向所述 AC提供所述映射 关系；

接入服务器 ASN,所述 ASN与所述 AC和 ILR通过网络连接，所述 ASN 设置成根据所述 AC的屏蔽命令解除该屏蔽命令对应的 AID的附着。

7、 如权利要求 6所述的系统， 其中， 所述 AC是设置成根据配置需要或 检测设备的检测结果将所述 AID设置为屏蔽状态。

8、如权利要求 6所述的系统，其中，所述 AC的屏蔽管理模块还设置成： 在将所述 AID设置为屏蔽状态时，设置所述 AID屏蔽的老化时间， 以及老化 时间到达时， 将所述 AID设置为非屏蔽状态。

9、 如权利要求 6所述的系统， 其中，

所述 AC的屏蔽处理模块是设置成通过如下方式获取屏蔽状态的 AID对 应的 RID: 向所述 ILR发送查询请求获取所述 ILR返回的与所述屏蔽状态的 AID对应的 RID;

所述 ILR还设置成删除所述屏蔽状态的 AID与 RID的映射关系。

10、 如权利要求 6所述的系统， 其中， 所述 AC还包括接入认证模块， 所述接入认证模块设置成： 进行接入认证， 以及根据所述终端的 AID的屏蔽 标识判断是否允许所述终端接入， 若所述终端的 AID为屏蔽状态， 则拒绝所 述终端接入， 若为非屏蔽状态， 则允许接入。