WO2012075770A1 - 身份位置分离网络的阻断方法和系统 - Google Patents

Description

身份位置分离网络的阻断方法和系统

技术领域

本发明涉及数据通信领域， 尤其涉及一种身份位置分离网络的阻断方法 和系统。

背景技术

关于下一代信息网络架构的研究是当前最热门的课题之一， 目前大多数 研究接受的观点是： 未来网络将以互联网为统一承载网络。 互联网从其诞生 以来一直保持高速发展， 已成为当前最成功、 最具生命力的通信网络， 其灵 活可扩展性、 高效的分组交换、 终端强大的功能等特点非常符合新一代网络 的设计需要， 互联网将是新一代网络设计的主要参考蓝本。

然而， 互联网的结构还远远没有达到最优， 存在很多重大的设计问题， 其中比较典型的是 IP地址的双重属性的问题， 即 IP地址既代表用户身份， 又代表用户所处的网络拓朴， 即 IP地址的双重属性。 互联网发明于二十世纪 七十年代， 人们难以预计今天世界上将存在大量的移动终端和多家乡终端， 因此， 当时的互联网协议栈主要是针对以 "固定 "方式连接的终端而设计。 在 当时的网络环境下， 由于终端基本上不会从一个位置移动到其它位置， 发送 的地址就是接收的地址， 路径是可逆的， 所以具有身份和位置双重属性的 IP 地址能够非常好的工作， IP地址的身份属性与位置属性之间没有产生任何冲 突。 IP地址同时代表身份和位置恰恰满足了当时的网络需求。 从当时的网络 环境来看， 这种设计方案简单有效， 简化了协议栈的层次结构。

但毋庸置疑的是， IP地址的身份属性与位置属性之间存在着内部矛盾； IP地址的身份属性要求任意两个 IP地址都是平等的，虽然 IP地址可以按照 组织机构进行分配， 但是连续编码的 IP地址之间没有必然的关系； IP地址 的位置属性则要求 IP地址基于网络拓朴 (而不是组织机构）进行分配， 处于 同一个子网内的 IP地址都应该处于一个连续的 IP地址块中， 这样才可以使 网络拓朴中的 IP地址前缀聚合，从而减少路由器设备的路由表的条目，保证 路由系统的可扩展性。 总的来说， IP地址双重属性的内在矛盾将导致如下主要问题：

1. 路由可扩展问题。 关于互联网路由系统的可扩展性存在一个基本的假 定：

"地址按照拓朴进行分配， 或者拓朴按照地址进行部署， 二者必选其一"。 IP地址的身份属性要求 IP地址基于终端所属的组织机构 (而不是网络拓朴） 进行分配， 而且这种分配要保持一定的稳定性， 不能经常改变； 而 IP地址的 位置属性要求 IP地址基于网络拓朴进行分配， 以便保证路由系统的可扩展 性。 这样， IP地址的两种属性就产生了冲突， 最终引发了互联网路由系统的 可扩展问题。

2. 移动性问题。 IP地址的身份属性要求 IP地址不应该随着终端位置的 改变而变化， 这样才能够保证绑定在身份上的通信不中断， 也能够保证终端 在移动后， 其它终端仍能够使用它的身份与之建立通信联系； 而 IP地址的位 置属性则要求 IP地址随着终端位置的改变而改变， 以便 IP地址能够在新的 网络拓朴中聚合， 否则网络就必须为移动后的终端保留单独的路由信息， 从 而造成路由表条目的急剧增长。

3. 多家乡问题。 多家乡通常指终端或网络同时通过多个国际互联网络服 务提供者（Internet Services Provider, ISP ) 的网络接入到互联网， 多家乡技 术的优点包括增加网络的可靠性、 支持多个 ISP之间的流量负载均衡和提高 总体可用带宽等。 但是， IP地址双重属性的内在矛盾使得多家乡技术难以实 现。 IP地址的身份属性要求一个多家乡终端始终对其它终端展现不变的身份， 无论该多家乡终端是通过几个 ISP接入到互联网； 而 IP地址的位置属性则要 求一个多家乡终端在不同的 ISP网络中使用不同的 IP地址通信，这样才能保 证终端的 IP地址能够在 ISP 网络的拓朴中聚合。

4. 安全和位置隐私问题。由于 IP地址同时包含终端的身份信息和位置信 息，所以通信对端和恶意窃听者都可以才艮据一个终端的 IP地址同时获得该终 端的身份信息和拓朴位置信息。

总的来说， 自从传统互联网的体系结构建立以来， 互联网的技术环境和 用户群体都已经发生了翻天覆地的变化， 互联网需要随之进行革新。 IP地址 的双重属性问题是困扰互联网继续发展的根本原因之一， 将 IP地址的身份属 性和位置属性进行分离， 是解决互联网所面临问题的一个很好的思路。 新网 络将基于这种思路进行设计， 提出一种身份信息与位置信息分离映射的网络 结构， 以解决现有互联网存在的一些严重弊端。

为了解决身份和位置的问题， 业界进行了大量的研究和探索， 所有身份 与位置分离方案的基本思想都是将原本绑定在 IP地址上的身份与位置双重属 性分离。 其中， 有些方案釆用应用层的统一资源定位符 （Uniform Resource Locator, URL )是用于完整地描述 Internet上网页和其他资源的地址的一种标 识方法， 或合格域名 ( Fully Qualified Domain Name, FQDN )作为终端的身 份标识；有些方案引入了新的名字空间作为身份标识，如主机身份协议（Host Identity Protocol , HIP ) , 在以 IP地址为标识网络层上增加主机标识； 有些方 案将 IP地址进行分类， 部分 IP作为身份标识， 部分 IP作为位置标识， 如 位置 /标识分离协议（Locator/ID Separation Protocol, LISP )等； 北方交通大 学张宏科的专利 CN200610001825也提出一种解决方案， 使用 IP地址作为主 机的位置标识， 引入端主机标识作为身份标识， 解决身份和位置分离的问题。

上述方案都从问题的一些局部提出在现有的网络架构下实现身份与位置 分离解决方案， 身份与位置分离是未来数据通信网络的核心技术， 特别是移 动数据通信网络。

现有身份位置分离技术中， 必须建立身份标识和位置标识之间的映射关 系， 供网络设备寻址时使用。 这个映射关系保持在映射服务器中， 边缘路由 器接收从终端发来的数据包， 如果数据包的目的身份标识是未知的， 需要去 查询映射服务器的身份位置映射表， 根据目的身份标识查到目的位置标识， 将数据包封装后发生到相应网络。

现有 Internet网上有大量的非法信息来源， 如垃圾邮件、 病毒攻击源、 法 轮功网站等， 出于网络安全的考虑， 国家信息监管部门或者某些个人， 有时 需要对非法信息进行阻断。 但是， 这个阻断过程非常麻烦， 步骤很多：

第一， 要从数据包中取得非法信息源的 IP地址； 第二， 要根据非法信息 源的 IP地址网段划分规则，找到分配这个 IP地址的 RAS接入服务器； 第三， 要根据 RAS地址分配的物理信息，找到非法信息源所在的物理线路或二层交 换机， 然后将物理线路或二层交换机阻断。 而且， 此类阻断通常是一次性行 为， 就是说非法信息源更换 IP地址后又发出非法信息， 还需要网络安全部门 重新进行阻断， 因此， 现网上国家安全部门事实上放弃了对非法信息源的阻 断操作， 而是釆取内容过滤的方式， 例如对 "法轮功" 等关键词进行过滤。

目前， 在现有的身份与位置分离网络架构下， 不能实现对非法信息的实 时、 彻底的阻断。

发明内容

本发明要解决的技术问题是提供一种身份位置分离网络下的阻断方法和 系统， 实现了非法信息的实时、 彻底的阻断。

为解决以上技术问题，本发明提供了一种身份位置分离网络的阻断方法， 该方法包括：

终端发送非法信息时， 监管中心根据所述终端发送的非法信息中携带的 终端身份标识， 获得终端位置标识；

所述监管中心向所述终端位置标识对应的边缘路由器下达禁用所述终端 身份标识的命令； 以及

所述边缘路由器根据所述命令， 阻断流量。

优选地， 所述监管中心根据所述终端发送的非法信息中携带了终端身份 标识， 获得的终端位置标识的途径包括：

所述终端发送非法信息时， 所述监管中心根据非法信息源数据包中的所 述终端身份标识， 查询映射服务器中的所述终端身份标识与位置标识的映射 关系， 获得所述终端位置标识。

优选地， 所述监管中心根据所述终端发送的非法信息中携带了终端身份 标识， 获得的终端位置标识的途径包括： 所述终端发送非法信息时， 所述监 管中心根据自身存储的所述终端身份标识与位置标识的映射关系， 获得所述 终端位置标识。

优选地， 所述监管中心根据所述终端发送的非法信息中携带了终端身份 标识， 获得的终端位置标识的步骤还包括： 所述监管中心预先与所述映射服 务器交互， 获得并存储所述终端身份标识与位置标识的映射关系。 优选地， 终端非法登录时， 所述监管中心根据所述终端身份标识， 向认 证中心下达禁用所述终端身份标识命令， 所述终端不能实现登录。

优选地， 终端发送非法信息时， 所述监管中心根据所述非法信息中携带 的所述终端身份标识， 向所述映射服务器下达禁用所述终端身份标识命令。

为解决以上技术问题， 本发明还提供了一种身份位置分离网络的阻断系 统， 该系统包括终端、 监管中心、 边缘路由器：

所述终端设置为： 发送非法信息；

所述监管中心设置为： 根据所述终端发送的非法信息中携带的终端身份 标识， 获得的终端位置标识， 向所述终端位置标识对应的边缘路由器下达禁 用所述终端身份标识的命令；

所述边缘路由器设置为： 根据所述监管中心下达禁用所述终端身份标识 的命令， 阻断流量。

优选地， 所述监管中心是设置为： 根据终端发送的非法信息源数据包中 的所述终端身份标识， 查询映射服务器中的所述终端身份标识与位置标识的 映射关系， 获得所述终端位置标识。

优选地， 所述监管中心还设置为： 所述终端发送非法的信息时， 根据自 身存储的终端身份标识与位置标识的映射关系， 获得所述终端位置标识。

优选地， 所述监管中心还设置为： 预先与所述映射服务器交互， 获得并 存储所述终端身份标识与位置标识的映射关系。

为解决以上技术问题， 本发明还提供了另一种身份位置分离网络的阻断 系统， 该系统包括： 监管中心、 认证中心：

所述监管中心设置为： 终端非法登录时， 根据所述终端身份标识， 向所 述认证中心下达禁用所述终端身份标识命令；

所述认证中心设置为： 根据所述监管中心下达的禁用所述终端身份标识 命令， 禁止所述终端登录。

为解决以上技术问题， 本发明还提供了一种身份位置分离网络的阻断系 统， 该系统包括： 监管中心、 映射服务器： 所述监管中心设置为： 终端发送非法信息时， 根据所述非法信息中携带 的所述终端身份标识， 向所述映射服务器下达禁用所述终端身份标识命令； 所述映射服务器设置为： 根据所述监管中心下达的禁用所述终端身份标 识命令阻断流量。

本发明还提供了一种身份位置分离网络的阻断系统的监管中心， 所述监管中心设置为：根据终端发送的非法信息中携带的终端身份标识， 获得的终端位置标识， 并下达禁用所述终端身份标识的命令以禁用所述终端 或阻断流量。

优选地， 所述监管中心是设置为： 向所述终端位置标识对应的边缘路由 器下达禁用所述终端身份标识的命令； 所述边缘路由器根据所述监管中心下 达禁用所述终端身份标识的命令， 阻断流量。

优选地， 所述监管中心是设置为： 查询映射服务器中的所述终端身份标 识与位置标识的映射关系， 获得所述终端位置标识。

优选地， 所述监管中心是设置为： 根据终端发送的非法信息源数据包中 的所述终端身份标识查询映射服务器。

优选地， 所述监管中心还设置为： 所述终端发送非法的信息时， 根据自 身存储的终端身份标识与位置标识的映射关系， 获得所述终端位置标识。

优选地， 所述监管中心还设置为： 预先与所述映射服务器交互， 获得并 存储所述终端身份标识与位置标识的映射关系。

优选地， 所述监管中心还设置为： 终端非法登录时， 根据所述终端身份 标识， 向所述认证中心下达禁用所述终端身份标识命令； 所述认证中心根据 所述监管中心下达的禁用所述终端身份标识命令， 禁止所述终端登录。

优选地， 所述监管中心设置为： 终端发送非法信息时， 根据所述非法信 息中携带的所述终端身份标识， 向所述映射服务器下达禁用所述终端身份标 识命令； 所述映射服务器根据所述禁用终端身份标识命令阻断流量。

本发明方法和系统， 监管中心一旦发现非法信息来源， 可以实时地、 从 源头上、 从全网范围内阻断非法信息的传播。 附图概述

此处所说明的附图用来提供对本发明的进一步理解， 构成本申请的一部 分， 本发明的示意性实施例及其说明用于解释本发明， 并不构成对本发明的 不当限定。 在附图中：

图 1是本发明实施例 1的应用的基于身份位置分离架构的网络拓朴示意 图；

图 2是本发明实施例 2的监管中心发起阻断流程图；

图 3是本发明实施例 3的监管中心发起阻断流程图。

本发明的较佳实施方式

为使本发明的目的、 技术方案和优点更加清楚， 以下结合附图对本发明 进行进一步详细说明。 需要说明的是， 在不冲突的情况下， 本申请中的实施 例及实施例中的特征可以相互组合。

图 1是本发明实施例 1的应用的基于身份位置分离架构的网络拓朴示意 图， 详细说明 ¾口下：

将网络划分为接入层和骨干层， 为网络中的每个用户分配唯一的主机接 入标识（ Access ID, AID ) , 该主机接入标识 AID在移动过程中始终保持不 变； 网络中有两种标识类型： 主机接入标识 AID和路由标识 (Route ID, RID), 其中， 主机接入标识 AID只能在接入层使用， 路由标识 RID只能在骨干层使 用。

在该框架下， 网络划分为接入网和骨干网， 接入网位于骨干网的边缘， 负责所有终端的接入； 骨干网负责通过不同接入网接入的终端的路由。 接入 服务节点（Access Service Node, ASN )位于骨干网和接入网的分界点， 与接 入网接口， 与骨干网接口。 接入网与骨干网在拓朴关系上没有重叠。 用户终 端间进行通信只需使用对端的主机接入标识进行。 接入服务节点为终端提供 接入服务， 维护用户连接， 转发用户数据。

本架构骨干网组网时分为两个平面： 映射转发平面， 广义转发平面。 广义转发平面主要功能是根据数据报文中的路由标识 RID进行选路和转 发数据报文； 映射转发平面主要功能是保存移动节点身份位置的映射信息， 处理移动节点的登记注册流程， 处理通信对端的位置查询流程， 路由并转发 以接入标识 AID为目的地址的数据报文。

本架构的主要网元和功能实体包括：

ASN: Access Service Node, 接入服务节点。 ASN维护终端与网络的连 接关系， 为终端分配 RID, 处理切换流程， 处理登记注册流程， 处理计费 /鉴 权流程 , 维护 /查询通讯对端的 AID-RID映射关系。

ASN封装、 路由并转发送达终端或终端发出的数据报文。

ASN收到终端 MN发来的数据报文时， 根据数据报文中目的地址通信对 端 CN的 AIDc查询本地緩存中的 AID-RID映射表： 查到对应的 AIDc-RIDc 映射条目， 将 RIDc作为目的地址封装在报文头部， 将 MN源地址 AIDm对 应的 RIDm作为源地址封装在报文头部， 并转发到广义转发平面； 如果没有 查到对应的 AIDc-RIDc映射条目， 将数据报文做隧道封装后转发到映射转发 平面， 并向映射转发平面发出查询 AIDc-RIDc映射关系的流程。

ASN收到网络发往终端的数据报文时， 对数据报文进行解封装处理， 剥 去数据报文头部的 RID封装， 保留 AID作为数据报文头部发往终端。

CR: Common Router, 通用路由器。 路由并转发以 RID格式为源地址 / 目的地址的数据报文， 该通用路由器的功能作用与现有技术中的路由器没有 区别。

ILR/PTF: Identity Location Register/Packet Transfer Function, ILR是身份位 置寄存器， 维护 /保存本架构网络中用户的 AID-RID映射关系。 实现登记注册 功能， 处理通信对端的位置查询流程； PTF是分组转发功能。 映射转发平面 在收到 ASN送达的数据报文后， 由 PTF根据目的 AID在映射转发平面内路 由并转发。 映射转发平面内 PTF节点在查到目的 AID-RID的映射关系后， 在 数据 "^文头部封装对应的 RID信息并转发到广义转发平面， 由广义转发平面 路由并转发到通信对端。

认证中心： 认证中心负责记录本架构网络的用户属性， 包括用户类别、 鉴权信息、 用户服务等级等信息， 产生用于鉴权、 完整性保护和加密的用户 安全信息， 在用户接入时进行接入控制和授权， 认证中心支持终端与网络间 的双向鉴权。

在基于身份位置分离架构中， 有效合法存续期间的终端用户的接入标识 AID始终保持不变。路由标识 RID标示当前终端所在的 ASN位置。根据业务 需要， ASN可以为一个终端分配专用的一个或多个 RID并注册登记到映射转 发平面； ASN也可为多个终端分配相同的 RID。 终端用户接入网络时， 通过 认证中心鉴权保证身份标识的真实性， 身份位置寄存器保存了各个节点的 AID-RID映射关系。 接入网部分区别不同节点釆用接入标识 AID , 广义交换 平面釆用 RID路由数据报文， 建立端到端的通信过程都需要用接入标识 AID 查找对应的用户路由标识 RID。 端到端通信过程中， 需要将本端的接入识别 AID作为源端地址在数据报文中携带到通信对端。 通信对端能够从数据报文 携带的源端地址获得源端身份。

网络通过对用户身份的鉴权以网络信用保证了用户身份的真实可靠， 在 网络中构建了一个信任域。 网络对用户身份的鉴权方法根据不同的网络体制 釆用不同的方法， 可以是对用户接入标识 AID直接鉴权； 也可以是对网络中 标识用户的其他类型的用户识别（例如国际移动用户识别 IMSI、 网络用户识 别 NAI等 )进行鉴权， 网络设备将保存该用户识别与 AID之间的对应关系。

现有接入网 RAN部分能够保证二层连接安全性，保证终端用户接入网络 时数据报文不被篡改。例如：码分多址（ code division multiple access, CDMA ) 无线接入， 釆用码分多址方式； 非同步数字用户专线 （Asymmetric Digital Subscriber Line , ADSL )釆用专线隔离方式全球通， ( global system for mobile communications, GSM )釆用频分多址方式； 所有的终端用户都是通过鉴权认 证的网络有效合法用户。

终端用户在接入网络时，将建立终端用户与网络的接入管理设备 ASN间 的点到点连接关系。 ASN将终端用户的 AID绑定在终端与 ASN间的端到端 用户连接上，如果从该用户连接上发出报文的源地址与该用户的 AID不匹配， ASN将丟弃数据报文， 这样， 基于身份位置分离架构将能够保证终端用户的 AID不被仿冒和更改。 ASN, 以及从源端 ASN到目的端 ASN之间的通信设备 ILR/PTF, CR, 认证中心等， 由网络运营和管理方提供， 由网络信用保证数据报文传输的安 全性， 保证数据报文真实可靠。

监管中心， 用于终端发送非法信息时， 根据所述终端发送的非法信息中 携带的终端身份标识， 获得终端位置标识； 向所述终端位置标识对应的边缘 路由器下达禁用所述终端身份标识的命令。

监管中心获得终端位置标识途径有以下两种：

第一种： 终端发送非法信息时， 监管中心根据非法信息源数据包中的终 端身份标识， 查询映射服务器中的终端身份标识与位置标识的映射关系， 获 得终端位置标识。

第二种： 监管中心预先与映射服务器交互， 获得并存储终端身份标识与 位置标识的映射关系； 终端发送非法的信息时， 监管中心根据自身存储的映 射关系， 获得终端位置标识。

监管中心， 还用于终端非法登录时， 监管中心根据终端身份标识， 向认 证中心下达禁用终端身份标识命令， 终端不能实现登录。

终端发送非法信息时， 监管中心根据非法信息中携带的所述终端身份标 识， 向映射服务器下达禁用终端身份标识命令。

图 2是本发明实施例 2的监管中心发起阻断流程图， 详细介绍如下： 终端 /用户非法登录时， 监管中心根据终端身份标识， 向认证中心下达禁 用终端身份标识命令， 终端不能实现登录。

步骤 201 , 监管中心监管到用户非法登录， 监管中心根据该用户的身份 标识 AIDx , 向认证中心下达将该 AIDx禁用的命令， 用户不能实现登录； 步骤 202, 认证中心阻断该用户登录。

图 3是本发明实施例 3的监管中心发起阻断流程图， 详细介绍如下： 步骤 301 , 终端发送非法信息时， 监管中心根据终端发送的非法信息中 携带的终端身份标识， 获得终端位置标识；

监管中心根据终端发送的非法信息中携带的终端身份标识， 获得终端位 置标识的途径有两种：

第一种： 终端发送非法信息时， 监管中心根据非法信息源数据包中的终 端身份标识， 查询映射服务器中的终端身份标识与位置标识的映射关系， 获 得终端位置标识。

第二种， 监管中心预先与映射服务器交互， 获得并存储终端身份标识与 位置标识的映射关系； 终端发送非法的信息时， 监管中心根据自身存储的所 述映射关系， 获得终端位置标识。

步骤 302 , 监管中心向终端位置标识对应的边缘路由器下达禁用终端身 份标识的命令；

步骤 303 , 边缘路由器根据所述命令， 阻断流量。

对由映射服务器实现流量转发的系统而言， 以上步骤 302和 303中的边 缘路由器也可以替换为映射服务器， 即监管中心向映射服务器下达禁用终端 身份标识的命令， 映射服务器根据所述命令， 阻断流量。

本发明实施例提供的系统技术方案， 包括： 终端、 监管中心、 边缘路由 器：

终端， 用于发送非法信息；

监管中心， 根据终端发送的非法信息中携带了终端身份标识， 获得的终 端位置标识， 向终端位置标识对应的边缘路由器下达禁用终端身份标识的命 令；

边缘路由器， 根据监管中心下达禁用终端身份标识的命令， 阻断流量。 监管中心，还用于根据终端发送的非法信息源数据包中的终端身份标识， 查询映射服务器中的终端身份标识与位置标识的映射关系， 获得终端位置标 识。

监管中心， 还用于预先与映射服务器交互， 获得并存储终端身份标识与 位置标识的映射关系； 终端发送非法的信息时， 监管中心根据自身存储的所 述映射关系， 获得终端位置标识。 本发明实施例提供的系统技术方案， 包括： 终端、 监管中心、 认证中心： 终端非法登录时， 监管中心根据所述终端身份标识， 向认证中心下达禁 用终端身份标识命令；

所述认证中心， 根据所述监管中心下达的禁用所述终端身份标识命令， 禁止所述终端登录。

本发明实施例提供的系统技术方案， 包括： 终端、 监管中心、 映射服务 器：

终端发送非法信息时， 监管中心根据非法信息中携带的终端身份标识， 向映射服务器下达禁用所述终端身份标识命令；

所述映射服务器， 根据所述监管中心下达的禁用所述终端身份标识命令 阻断流量。 本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成， 所述程序可以存储于计算机可读存储介质中， 如只读 存储器、 磁盘或光盘等。 可选地， 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地， 上述实施例中的各模块 /单元可以釆用 硬件的形式实现， 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。

当然， 本发明还可有其他多种实施例， 在不背离本发明精神及其实质的 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

工业实用性 本发明方法和系统， 监管中心一旦发现非法信息来源， 可以实时地、 从 源头上、 从全网范围内阻断非法信息的传播。

Claims

权 利 要 求 书

1、 一种身份位置分离网络的阻断方法， 该方法包括：

终端发送非法信息时， 监管中心根据所述终端发送的非法信息中携带的 终端身份标识， 获得终端位置标识；

所述监管中心向所述终端位置标识对应的边缘路由器下达禁用所述终端 身份标识的命令； 以及

所述边缘路由器根据所述命令， 阻断流量。

2、 如权利要求 1所述的方法，其中， 所述监管中心根据所述终端发送的 非法信息中携带了终端身份标识， 获得的终端位置标识的途径包括：

所述终端发送非法信息时， 所述监管中心根据非法信息源数据包中的所 述终端身份标识， 查询映射服务器中的所述终端身份标识与位置标识的映射 关系， 获得所述终端位置标识。

3、 如权利要求 1所述的方法，其中， 所述监管中心根据所述终端发送的 非法信息中携带了终端身份标识， 获得的终端位置标识的途径包括： 所述终 端发送非法信息时， 所述监管中心根据自身存储的所述终端身份标识与位置 标识的映射关系， 获得所述终端位置标识。

4、 如权利要求 3所述的方法，其中， 所述监管中心根据所述终端发送的 非法信息中携带了终端身份标识， 获得的终端位置标识的步骤还包括： 所述 监管中心预先与所述映射服务器交互， 获得并存储所述终端身份标识与位置 标识的映射关系。

5、 如权利要求 1所述的方法， 其中， 该方法还包括： 终端非法登录时， 所述监管中心根据所述终端身份标识， 向认证中心下达禁用所述终端身份标 识命令， 所述终端不能实现登录。

6、 如权利要求 1所述的方法， 其中， 该方法还包括： 终端发送非法信息 时， 所述监管中心根据所述非法信息中携带的所述终端身份标识， 向所述映 射服务器下达禁用所述终端身份标识命令。

7、 一种身份位置分离网络的阻断系统， 该系统包括终端、监管中心、 边 缘路由器：

所述终端设置为： 发送非法信息；

所述监管中心设置为： 根据所述终端发送的非法信息中携带的终端身份 标识， 获得的终端位置标识， 向所述终端位置标识对应的边缘路由器下达禁 用所述终端身份标识的命令；

所述边缘路由器设置为： 根据所述监管中心下达禁用所述终端身份标识 的命令， 阻断流量。

8、 如权利要求 7所述的系统， 其中， 所述监管中心是设置为： 根据终端 发送的非法信息源数据包中的所述终端身份标识， 查询映射服务器中的所述 终端身份标识与位置标识的映射关系， 获得所述终端位置标识。

9、 如权利要求 7所述的系统， 其中， 所述监管中心还设置为： 所述终端 发送非法的信息时， 根据自身存储的终端身份标识与位置标识的映射关系， 获得所述终端位置标识。

10、 如权利要求 9所述的系统， 其中， 所述监管中心还设置为： 预先与 所述映射服务器交互，获得并存储所述终端身份标识与位置标识的映射关系。

11、 一种身份位置分离网络的阻断系统， 该系统包括： 监管中心、 认证 中心：

所述监管中心设置为： 终端非法登录时， 根据所述终端身份标识， 向所 述认证中心下达禁用所述终端身份标识命令；

所述认证中心设置为： 根据所述监管中心下达的禁用所述终端身份标识 命令， 禁止所述终端登录。

12、 一种身份位置分离网络的阻断系统， 该系统包括： 监管中心、 映射 服务器：

所述监管中心设置为： 终端发送非法信息时， 根据所述非法信息中携带 的所述终端身份标识， 向所述映射服务器下达禁用所述终端身份标识命令； 所述映射服务器设置为： 根据所述监管中心下达的禁用所述终端身份标 识命令阻断流量。

13、 一种身份位置分离网络的阻断系统的监管中心，

所述监管中心设置为：根据终端发送的非法信息中携带的终端身份标识， 获得的终端位置标识， 并下达禁用所述终端身份标识的命令以禁用所述终端 或阻断流量。

14、 如权利要求 13所述的监管中心， 其中， 所述监管中心是设置为： 向 所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令； 所述边缘路由器根据所述监管中心下达禁用所述终端身份标识的命令， 阻断流量。

15、 如权利要求 13所述的监管中心， 其中， 所述监管中心是设置为： 查 询映射服务器中的所述终端身份标识与位置标识的映射关系， 获得所述终端 位置标识。

16、 如权利要求 15所述的监管中心， 其中， 所述监管中心是设置为： 根 据终端发送的非法信息源数据包中的所述终端身份标识查询映射服务器。

17、 如权利要求 13所述的监管中心， 其中， 所述监管中心还设置为： 所 述终端发送非法的信息时， 根据自身存储的终端身份标识与位置标识的映射 关系， 获得所述终端位置标识。

18、 如权利要求 17所述的监管中心， 其中， 所述监管中心还设置为： 预 先与所述映射服务器交互， 获得并存储所述终端身份标识与位置标识的映射 关系。

19、 如权利要求 13所述的监管中心， 其中，

所述监管中心还设置为： 终端非法登录时， 根据所述终端身份标识， 向 所述认证中心下达禁用所述终端身份标识命令；

所述认证中心根据所述监管中心下达的禁用所述终端身份标识命令， 禁 止所述终端登录。

20、 如权利要求 13所述的监管中心， 其中， 所述监管中心设置为： 终端发送非法信息时， 根据所述非法信息中携带 的所述终端身份标识， 向所述映射服务器下达禁用所述终端身份标识命令； 所述映射服务器根据所述禁用终端身份标识命令阻断流量。