专利名称:全网屏蔽的管理方法和系统的制作方法
技术领域:
本发明涉及移动通讯领域和互联网领域,涉及一种全网屏蔽的管理方法和系统。
背景技术:
由于各种各样的原因,网络管理者需要对特定用户进行屏蔽,禁止其接入网络或 者在网络上发布信息。目前用户屏蔽技术基本上有如下几类IP地址类屏蔽,如黑名单技术,一台防火墙或者其它安全网关设备定义好需要屏 蔽的IP地址,当该IP地址试图访问其它地址时,防火墙或者其它安全网关设备检测到该地 址,便将其丢弃。这是地址类的用户屏蔽。账号类屏蔽,分接入帐号屏蔽和业务帐号屏蔽。接入帐号屏蔽是指用户填写用户名和密码之后,希望通过接入认证,获取IP地 址。而接入认证服务器发现该帐号已被屏蔽,将对该用户的接入认证请求作驳回处理。如 用户通过PPPOE认证,发送用户名和密码到认证服务器之后,认证服务器发现该用户是被 屏蔽用户,则拒绝该认证请求。业务帐号屏蔽是指用户在填写用户和密码之后,希望进入某服务器进行业务操 作,如登录BBS论坛发言,BBS服务器发现该用户帐号应该被屏蔽,则禁止用户登录,该用户 就无法在论坛上发言。在以上的用户屏蔽技术中,防火墙或者安全网关上的黑名单技术简单有效,但是 其作用范围仅仅限于防火墙或者安全网关的单点防护,用户只要改变IP地址,便可以绕过 防火墙或者安全网关的黑名单检查。帐号类用户屏蔽技术,可以解决用户改变IP或者改变接入方式的情况下用相同 的用户名和帐户登录的问题。意味着用户将无法再使用该帐户,无论是用何种接入方式。总结来说,目前的用户屏蔽技术无法解决以下问题1、无法解决用户更换IP地址绕过黑名单检查的问题;2、无法控制控制用户采用不同的帐户进行登录而绕过服务器对用户帐户屏蔽的 问题;3、无法在全网进行用户屏蔽,上述两种用户屏蔽技术作用范围小。
发明内容
本发明要解决的技术问题是,提供一种全网屏蔽的管理方法和系统,以实现全网 屏蔽。为解决以上技术问题,本发明提供一种全网屏蔽管理方法,该方法基于用户身份 和位置分离网络实现,全网屏蔽的实现方法包括认证中心(AC)将终端的身份标识(AID)设置为屏蔽状态;所述AC从身份标识和位置登记寄存器(ILR)获取所述AID对应的位置标识
3(RID);所述AC根据获取的RID向对应的接入服务器(ASN)发送AID屏蔽命令;所述ASN接收所述AC的屏蔽命令,解除所述AID的附着。进一步地,所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状 态。进一步地,所述AC将所述AID设置为屏蔽状态时,同时设置所述AID屏蔽的老化 时间,老化时间到达时,所述AC解除对所述AID的屏蔽。进一步地,所述AC通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所 述ILR同时删除所述AID与RID的映射关系。进一步地,在终端进行接入认证时,认证中心(AC)判断所述终端的身份标识 (AID)是否为屏蔽状态,若所述终端的AID为屏蔽状态,则拒绝所述终端接入,否则允许接 入。为解决以上技术问题,本发明还提供了一种全网屏蔽管理系统,该系统基于用户 身份和位置分离网络实现,包括认证中心(AC)包括相连接的屏蔽管理模块及屏蔽处理模块,其中,所述屏蔽管理 模块用于将终端的身份标识(AID)设置为屏蔽状态,所述屏蔽处理模块用于从身份标识和 位置登记寄存器(ILR)获取屏蔽状态的AID对应的位置标识(RID),还用于向所述RID对应 的ASN发送屏蔽命令;身份标识和位置登记寄存器(ILR),与所述AC通过网络连接,用于保存AID和RID 的映射关系,以及向所述认证中心提供所述映射关系;接入服务器(ASN),与所述AC和ILR通过网络连接,用于根据所述AC的命令解除 所述AID的附着。进一步地,所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状 态。进一步地,所述AC的屏蔽管理模块将所述AID设置为屏蔽状态时,还用于设置所 述AID屏蔽的老化时间,以及老化时间到达时,将所述AID设置为非屏蔽状态。进一步地,所述AC的屏蔽处理模块通过向所述ILR发送查询请求获取所述ILR返 回的对应RID,所述ILR还用于删除所述AID与RID的映射关系。进一步地,所述AC还包括接入认证模块,用于进行接入认证,以及根据所述终端 的AID的屏蔽标识判断是否允许所述终端接入,若所述终端的AID为屏蔽状态,则拒绝所述 终端接入,否则允许接入。本发明全网屏蔽管理方法和系统,相对于以前IP网络只能用户进行小范围内或 者是仅仅帐号上的用户屏蔽,做不到完全的全网用户屏蔽,该方法利用身份标识和位置标 识分离网络的优越性,在全网AID唯一的基础上,直接对用户进全网屏蔽,可以有效控制用 户更换不同地点或者更换不同帐号进行登录的问题。
图1是SILSN的系统架构示意图。图2是本发明实施例一 AC直接对用户实施屏蔽的流程。
图3是本发明实施例二基于IDS检测的用户屏蔽流程。
具体实施例方式本发明全网屏蔽用户的方法和系统基于身份标识和位置分离架构网络实现,为 描述方便,下文将此身份标识和位置分离网络简称为SILSN(SubsCriber Identifier & Locator Separation Network)。如图1所示,SILSN由接入服务器ASN(Access Service Node)和用户终端UE⑴ser Equipment)、身份标识和位置登记寄存器ILR(Identification& Location Register)以及 认证中心AC (Authentication Center)等组成。其中接入服务器ASm和ASN2用来接入用 户终端设备UE1、UE2,负责为用户终端实现接入,并承担计费、切换等功能,ILR承担用户的 位置注册和身份识别功能,AC承担用户接入认证功能,UEl和UE2分别存在唯一的身份标识 (Access Identification)AIDl和 AID2。需要说明的是,AC和ILR可以在同一个物理设备中,只是逻辑上分开说明。图1所示网络有如下特征此网络内每个用户只有经过严格认证才能接入,用户 在发送每个数据包时,都同时携带自己的真实身份标识AID,此标识仅分配给该用户使用且 全网唯一,用户在各种业务中所发送的数据包都一直携带此身份标识,用户发送的每个数 据包都必须经过接入服务器ASN验证,保证用户发出的数据包携带的是自己的身份标识, 不会假冒其他用户AID接入网络,并且此身份标识在网内传送时将一直保持不变,当用户 在移动或切换时,此身份标识也不会发生变化。在图1中,用户UEl和UE2分别通过ASm和ASN2接入网络,并需要经过AC进行 接入认证。而在AC进行用户屏蔽设置,根据用户的AID作为屏蔽索引,来自该用户AID的 认证请求都给予拒绝。本发明全网屏蔽管理方法和系统基于身份标识和位置分离网络实现,利用网络用 户AID全网唯一性,在AC上根据用户的AID作为索引,对需要屏蔽的用户进行屏蔽设置,使 得用户无法通过接入认证,从而无法接入网络。下面根据附图介绍各实施例。需要说明的是,本发明内容可以用以下实施例解释, 但不限于以下的实施例。下面给出具体说明。图2所示为AC直接对用户实施屏蔽的流程。在该实施例中,网络管理者事先知道该用户为不法用户,需要禁止其接入网络,于 是在AC上对该用户设置屏蔽标志,该流程包括S200 =AC将用户AID设置为屏蔽状态;网络管理者在AC对用户AID作屏蔽设置,禁止其接入网络。进一步说明,在用户 进行接入认证时,认证中心(AC)判断用户AID是否为屏蔽状态,若所述用户AID为屏蔽状 态,则拒绝所述用户接入,否则允许接入。S210 =AC根据被屏蔽的AID,向ILR查询<AID,RID>映射表,同时通知ILR删除该 <AID,RID> 映射表;S220 =ILR向AC返回查询响应;S230 =AC根据查询到的RID向对应的ASN发送用户AID屏蔽命令;ILR返回的查询响应中,如果查不到<AID,RID>映射表,说明该用户尚未接入网络,只需在AC上设置该用户AID为屏蔽即可,整个用户AID用户屏蔽流程结束;如果查询到 <AID,RID>映射表,则说明用户已经通过某个ASN接入网络,需要通知ASN屏蔽该用户。S240 =ASN解除用户AID的附着;ASN接收到来自AC的用户AID屏蔽命令,解除用户AID在ASN上的附着,实现对已 通过AC接入认证的用户AID的屏蔽。S250 =ASN向AC发送用户AID屏蔽命令响应。AC屏蔽用户AID流程结束。图3所示为基于IDS检测的用户屏蔽的流程。在该实施例中,IDS检测到攻击发生,将攻击源的AID上报给AC,AC对该AID的用 户进行屏蔽以示惩罚。需要说明的是,图中的IDSantrusionDetection System,入侵检测 系统)不是检测设备的唯一选择,也有可能是DPI (De印Packet Inspection,深度包检测) 或者其它检测设备。在图中,检测到的攻击,有可能是来自UE,也有可能是来自其它用户。 为了方便说明,本实施例中以UE发起攻击为例。S300 =IDS检测到UE正在对外发起攻击;需要说明的是,IDS对于攻击行为的定义以及攻击产生后果的大小评估由网络管 理者定义。举例说明,如UE发起扫描其它用户的行为,这是属于破坏程度比较轻的行为;如 UE对某用户发送木马或者其它病毒类文件,这是属于破坏程度比较重的行为。S310,IDS 向 AC 报告 UE 的 AID ;IDS向AC报告UE的AID,同时携带检测出的攻击类型,如扫描或者发送病毒文档寸寸。S320 :AC对UE的AID设置屏蔽,并同时根据其攻击类型设置AID屏蔽的老化时 间;需要说明的是,老化时间的定义由网络管理者自己根据攻击类型来决定,通常来 说,对于普通攻击,屏蔽的老化时间较短,对于恶意攻击,屏蔽的老化时间比较长。S330 =AC根据被屏蔽的AID,向ILR查询<AID,RID>映射表,同时通知ILR删除该 <AID,RID> 映射表;S340 JLR向AC返回查询响应;S350 =AC根据查询到的RID信息向ASN发送UE的AID屏蔽命令;S360 =ASN解除UE的AID在ASN上的附着;ASN接收到来自AC的UE的AID屏蔽命令,解除UE的AID在ASN上的附着,实现对 已通过AC接入认证的用户AID的屏蔽。S370 =ASN向AC发送用户AID屏蔽命令响应。基于IDS检测的用户屏蔽流程结束。需要说明的是,如果需要解除对用户AID的全网屏蔽,有两种方法。一是对于有老 化时间的屏蔽来说,老化时间到,自然便解除对该用户AID的屏蔽;二是对没有老化时间的 屏蔽来说,需要网络管理者根据实际情况进行人工解除屏蔽。以上解除屏蔽的过程均只需要在AC上操作即可。为了实现以上方法,本发明还提供了一种全网屏蔽管理系统,该系统基于用户身 份和位置分离网络实现,包括
6
认证中心(AC),包括相连接的屏蔽管理模块及屏蔽处理模块,其中,所述屏蔽管理 模块用于将终端的身份标识(AID)设置为屏蔽状态,所述屏蔽处理模块用于从身份标识和 位置登记寄存器(ILR)获取屏蔽状态的AID对应的位置标识(RID),还用于向所述RID对应 的ASN发送屏蔽命令;所述AC还包括接入认证模块,用于进行接入认证,以及根据所述终端的AID的屏 蔽标识判断是否允许所述终端接入,若所述终端的AID为屏蔽状态,则拒绝所述终端接入, 否则允许接入。所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。所述AC的屏蔽管理模块将所述AID设置为屏蔽状态时,还用于设置所述AID屏蔽 的老化时间,以及老化时间到达时,将所述AID设置为非屏蔽状态。身份标识和位置登记寄存器(ILR),与所述AC通过网络连接,用于保存AID和RID 的映射关系,以及向所述认证中心提供所述映射关系;接入服务器(ASN),与所述AC和ILR通过网络连接,用于根据所述AC的命令解除 所述AID的附着。所述AC通过向所述ILR发送查询请求获取所述ILR返回的对应RID,所述ILR还 用于删除所述AID与RID的映射表。需要说明的是,AC和ILR可以在同一个物理设备中,只是逻辑上分开说明。本发明全网屏蔽管理方法和系统,相对于以前IP网络只能用户进行小范围内或 者是仅仅帐号上的用户屏蔽,做不到完全的全网用户屏蔽,该方法利用身份标识和位置标 识分离网络的优越性,在全网AID唯一的基础上,直接对用户进全网屏蔽,可以有效控制用 户更换不同地点或者更换不同帐号进行登录的问题。
权利要求
1.一种全网屏蔽管理方法,其特征在于,该方法基于用户身份和位置分离网络实现,全 网屏蔽的实现方法包括认证中心(AC)将终端的身份标识(AID)设置为屏蔽状态;所述AC从身份标识和位置登记寄存器(ILR)获取所述AID对应的位置标识(RID); 所述AC根据获取的RID向对应的接入服务器(ASN)发送AID屏蔽命令; 所述ASN接收所述AC的屏蔽命令,解除所述AID的附着。
2.如权利要求1所述的方法,其特征在于所述AC根据配置需要或检测设备的检测结 果将所述AID设置为屏蔽状态。
3.如权利要求1所述的方法,其特征在于所述AC将所述AID设置为屏蔽状态时,同 时设置所述AID屏蔽的老化时间,老化时间到达时,所述AC解除对所述AID的屏蔽。
4.如权利要求1所述的方法,其特征在于所述AC通过向所述ILR发送查询请求获取 所述ILR返回的对应RID,所述ILR同时删除所述AID与RID的映射关系。
5.如权利要求1所述的方法,其特征在于,在终端进行接入认证时,认证中心(AC)判断 所述终端的身份标识(AID)是否为屏蔽状态,若所述终端的AID为屏蔽状态,则拒绝所述终 端接入,否则允许接入。
6.一种全网屏蔽管理系统,其特征在于,该系统基于用户身份和位置分离网络实现,包括认证中心(AC)包括相连接的屏蔽管理模块及屏蔽处理模块,其中,所述屏蔽管理模块 用于将终端的身份标识(AID)设置为屏蔽状态,所述屏蔽处理模块用于从身份标识和位置 登记寄存器(ILR)获取屏蔽状态的AID对应的位置标识(RID),还用于向所述RID对应的 ASN发送屏蔽命令;身份标识和位置登记寄存器(ILR),与所述AC通过网络连接,用于保存AID和RID的映 射关系,以及向所述认证中心提供所述映射关系;接入服务器(ASN),与所述AC和ILR通过网络连接,用于根据所述AC的命令解除所述 AID的附着。
7.如权利要求6所述的系统,其特征在于所述AC根据配置需要或检测设备的检测结 果将所述AID设置为屏蔽状态。
8.如权利要求6所述的系统,其特征在于所述AC的屏蔽管理模块将所述AID设置为 屏蔽状态时,还用于设置所述AID屏蔽的老化时间,以及老化时间到达时,将所述AID设置 为非屏蔽状态。
9.如权利要求6所述的系统,其特征在于所述AC的屏蔽处理模块通过向所述ILR发 送查询请求获取所述ILR返回的对应RID,所述ILR还用于删除所述AID与RID的映射关系。
10.如权利要求6所述的系统,其特征在于所述AC还包括接入认证模块,用于进行接 入认证,以及根据所述终端的AID的屏蔽标识判断是否允许所述终端接入,若所述终端的 AID为屏蔽状态,则拒绝所述终端接入,否则允许接入。
全文摘要
本方法涉及一种全网屏蔽的管理方法和系统,该方法包括认证中心(AC)将终端的身份标识(AID)设置为屏蔽状态;所述AC从身份标识和位置登记寄存器(ILR)获取所述AID对应的位置标识(RID);所述AC根据获取的RID向对应的接入服务器(ASN)发送AID屏蔽命令;所述ASN接收所述AC的屏蔽命令,解除所述AID的附着。本发明全网屏蔽的管理方法和系统可以实现全网屏蔽。
文档编号H04W12/08GK102104585SQ200910252488
公开日2011年6月22日 申请日期2009年12月17日 优先权日2009年12月17日
发明者张世伟, 符涛, 颜正清 申请人:中兴通讯股份有限公司