專利名稱:經(jīng)由aaa策略數(shù)據(jù)庫將非準許移動接入(uma)用戶列入黑名單的制作方法
技術領域:
特定實施例一般涉及網(wǎng)絡和安全�。
背景技術:
移動節(jié)點通過連接到接入設備可以接入數(shù)據(jù)網(wǎng)絡�。建立因特網(wǎng)協(xié)議 (IP)內(nèi)的安全隧道來與移動節(jié)點通信。在建立安全隧道之前��,通過認 證�、授權和計費(AAA)域將移動節(jié)點認證到歸屬位置寄存器(HLR) 中。HLR是包括被授權使用網(wǎng)絡的每個移動節(jié)點和訂戶的細節(jié)的中央數(shù)據(jù) 庫�。
當從移動節(jié)點檢測到惡意攻擊時�����,接入設備可以終止與該移動節(jié)點的 會話��。在此情況下����,安全隧道可能被斷開����。這使得移動節(jié)點從網(wǎng)絡斷開連 接。然而���,移動節(jié)點可以立即嘗試重新連接到網(wǎng)絡�。這是可能發(fā)生的�,因 為移動節(jié)點正在惡意行動或者可能因病毒而是無意的���。移動節(jié)點可能通過 AAA域被HLR再次認證����。允許潛在的惡意移動節(jié)點重新連接到網(wǎng)絡是不 希望的���。這將HLR暴露給了作為惡意設備/應用的潛在的諸如病毒或蠕蟲 之類的拒絕服務(DoS)攻擊�。HLR是網(wǎng)絡中最貴重的節(jié)點之一。 一個原 因在于HLR維護訂戶的個人信息�����。允許請求聯(lián)系HLR將HLR暴露給潛在 DoS攻擊���。而且����,處理向HLR的請求是昂貴的��,因此����,讓惡意請求聯(lián)系 HLR可能給服務提供商招致不必要的費用。
圖1示出了用于提供黑名單的系統(tǒng)的一個示例���。 圖2示出了用于認證移動節(jié)點的方法的一個示例��。 圖3示出了用于處理安全性問題的方法的一個示例�。 圖4示出了用于處理后續(xù)請求的方法的一個示例�����。圖5是UMA網(wǎng)絡的一個示例。
圖6示出了可以用來提供黑名單的另一網(wǎng)絡的另一示例����。 圖7示出了接入網(wǎng)關和AAA服務器的更詳細示例。
具體實施方式
概述
在一個實施例中����,認證服務器從設備接收接入網(wǎng)絡的請求。認證服務 器將請求發(fā)送到歸屬位置寄存器(HLR) �����。 HLR可以輔助對設備的認證�。 認證服務器從HLR接收指示設備是否通過了接入網(wǎng)絡的認證的應答,并 且如果設備已通過認證����,則準予設備接入網(wǎng)絡。例如��,可以在該設備與接 入設備之間建立安全隧道�����。
當連接到網(wǎng)絡時�����,安全性問題可以被檢測并與該設備相關聯(lián)����。例如, 可能判定設備行為不端�����。在一些情況中�����,設備可能由于安全性問題被置于 黑名單中����。黑名單是用來在設備嘗試連接時針對該設備拒絕服務的列表。
可選地�����,將設備被拒絕服務的時間段包括在黑名單中。因此��,將設備從網(wǎng) 絡斷開連接����;例如,認證服務器可以觸發(fā)安全隧道的斷開���。設備的標識信 息被添加到認證服務器處的黑名單中���。如果設備嘗試重新連接到網(wǎng)絡,則 請求在認證服務器處被接收���。然后����,認證服務器可以檢查黑名單��,并且如 果設備的標識信息在黑名單上則拒絕接入網(wǎng)絡的請求����。這種拒絕是在不用 向HLR發(fā)送請求的情況下確定的。因此�����,HLR被保護�����,這是因為來自可 能被認為有安全性問題的設備的請求不被發(fā)送到HLR���。此外�,發(fā)送到 HLR的請求可能較昂貴�����,因此����,通過不發(fā)送已被列入黑名單的設備的請求 來節(jié)省費用。 示例實施例
圖1示出了用于提供黑名單的系統(tǒng)的一個示例����。如圖所示,系統(tǒng)包括 AAA服務器102��、移動節(jié)點104�、接入設備106、歸屬位置寄存器 (HLR) 108以及網(wǎng)絡110。
移動節(jié)點104可以是希望通過接入設備106連接到網(wǎng)絡UO的任何設 備��。例如����,移動節(jié)點104可以是蜂窩電話、膝上型計算機�����、個人數(shù)字助理
8(PDA)����、黑莓TM設備、便攜式電子郵件設備����、口袋式PC、個人計算機
等���。雖然描述了移動節(jié)點�,將明白����,也可以使用其它節(jié)點��,例如固定的或
不移動的節(jié)點(例如����,VoIP電話��、機頂盒��、個人計算機等)����。
可以將移動節(jié)點104與標識信息相關聯(lián)���。例如�����,移動節(jié)點104可以包 括到用戶識別模塊(SIM)卡的接口�, SIM卡包括對國際移動用戶識別碼
(IMSI)的存儲�����,這允許將移動節(jié)點104與IMSI相關聯(lián)����。IMSI是與網(wǎng)絡 移動電話用戶相關聯(lián)的唯一編號�����,并且存儲在移動節(jié)點104的用戶識別模 塊(SIM)卡中���。IMSI可由移動節(jié)點104發(fā)送到網(wǎng)絡,并且用來從HLR 108獲取移動節(jié)點/用戶的細節(jié)����。雖然描述了IMSI,然而將明白�,也可以想 到移動節(jié)點104的其它標識符。而且���,將明白��,移動節(jié)點104可以沒有 SIM卡���,而可以使用用于標識的其它方法。
接入設備106是控制對網(wǎng)絡IIO的接入的任何設備����。例如����,接入設備 106可以是UMA/GAN中的安全性網(wǎng)關�����、3GPP互連-WLAN (I-WLAN) 中定義的分組數(shù)據(jù)網(wǎng)關(PDG) �����、 3GPP2中定義的分組數(shù)據(jù)互連功能
(PDIF)等�。
接入設備106被配置來建立與移動節(jié)點104的安全連接�����。在一個實施 例中�����,安全連接可以是諸如IPSec隧道之類的安全隧道����。IPSec是IP安全 性協(xié)議,用來通過認證和/或加密數(shù)據(jù)流中的每個IP分組來確保IP通信的 安全��。在隧道模式中,整個IP分組被加密��。雖然描述了 IPSec隧道�,然 而,將明白��,也可以想到通信的其它安全方法���,包括完整性保護和/或加密 保護的組合���。
AAA服務器102提供認證、授權和/或計費服務�����。雖然描述了AAA服 務器102���,然而����,將明白���,也可以使用提供認證����、授權和/或計費的其它認 證設備。AAA服務器102可以使用不同的協(xié)議進行通信����,例如遠程認證撥 入用戶服務(RADIUS) 、 DIAMETER等����。
HLR 108是中央數(shù)據(jù)庫,其包括了移動節(jié)點104以及與移動節(jié)點104 相關聯(lián)的用戶或訂戶的細節(jié)�。例如,HLR108存儲移動節(jié)點104的唯一標 識符�、例如由訂戶簽發(fā)的SIM卡的細節(jié)��。還可以將IMSI與移動節(jié)點104 的其它細節(jié)相關聯(lián)����,其它細節(jié)例如是電話號碼、移動節(jié)點104的位置����、帳戶偏好等。雖然描述了 HLR108��,然而經(jīng)明白,還可以想到存儲移動節(jié)點 104的信息的任何設備�����。
網(wǎng)絡IIO可以包括移動節(jié)點104希望接入的任何網(wǎng)絡設備����。例如,網(wǎng) 絡110可以包括非準許移動接入(UMA)網(wǎng)絡����、通過IP的語音(VoIP) 網(wǎng)絡等的元件。下面將更詳細地描述網(wǎng)絡110的元件���。
當移動節(jié)點104希望訪問網(wǎng)絡110時���,其將IPSec啟動請求發(fā)送給接 入設備106。啟動請求可以包括移動節(jié)點104的標識信息�。或者���,接入設 備106可以請求移動節(jié)點104提供其身份信息���。接入設備106隨后可以將 AAA請求發(fā)送到AAA服務器102���。 AAA服務器102隨后對移動節(jié)點104 認證。例如����,請求可以被發(fā)送給HLR 108。請求可以包括諸如IMSI之類 的移動節(jié)點104的信息�����。HLR 108可以輔助對移動節(jié)點104進行認證����。例 如,HLR 108可以存儲用來對移動節(jié)點104是否可以接入網(wǎng)絡110進行認 證的三元組信息(triplet information)����。在另一實施例中���,歸屬訂戶服務器 (HSS)可以用于基于五重的認證�。
如果移動節(jié)點104通過認證�,則AAA服務器102將指示移動節(jié)點104 已通過認證的應答發(fā)送回接入設備106。接入設備106隨后可以建立與移 動節(jié)點104的安全隧道。
系統(tǒng)中的元件隨后可以檢測移動節(jié)點104的安全性問題�����。例如���,指示 用戶/移動節(jié)點104行為不端的任何活動都可以被接入設備106���、諸如拒絕 服務(DoS)檢測設備之類的網(wǎng)絡110中的設備等檢測。在一個示例中���, 移動節(jié)點104可能因蠕蟲��、病毒或其它惡意行為而是行為不端的�����。與移動 節(jié)點104的會話隨后可以被結束����。例如����,安全隧道可以被斷開。在另一實 施例中,使隧道保持活動��,但是使流量"進入黑洞"����,即被路由到不存在 的目的地。通過這樣做�,也減輕了再次建立IPSec隧道的處理。在此實例 中�,AAA服務器102將不維護黑名單,而是通知接入設備106使該特定訂 戶的流量進入黑洞���。在一個實施例中��,網(wǎng)絡110中的設備向AAA服務器 102指示特定設備行為不端�����。AAA服務器102隨后可操作來將消息發(fā)送給 接入設備106以觸發(fā)接入設備106與移動節(jié)點104之間的隧道的終止����。
移動節(jié)點104被斷開連接后可以再次嘗試重新連接到網(wǎng)絡110����。因此,可以再次利用AAA服務器102和HLR 108對移動節(jié)點104進行認 證�。然而,可以將移動節(jié)點104的標識信息添加到在AAA服務器102處 維護的黑名單中�����。例如��,移動節(jié)點104的諸如三元組信息�、IMSI等之類的 標識信息可以被添加到黑名單中。在另一實施例中�,時間值被歸屬到黑名 單條目。
一旦標識信息被添加到黑名單并且接收到另一連接�����,可以拒絕接入����。 例如,移動節(jié)點104可以將請求發(fā)送給接入設備106��。接入設備106隨后 可以將具有移動節(jié)點104的標識信息的AAA請求發(fā)送給AAA服務器 102�。例如,IMSI可以包括在AAA請求中�。AAA服務器102隨后可以檢 査黑名單以査看移動節(jié)點104的IMSI是否包括在黑名單上�。如果IMSI包 括在黑名單上�����,則AAA服務器102可以拒絕對網(wǎng)絡110的接入�����。這是在 未聯(lián)系HLR 108的情況下完成的��。因此�,可以保護HLR 108不接受從可 能被認為有安全性問題的移動節(jié)點發(fā)送給它的任何請求����。此外��,發(fā)送到 HLR 108的任何請求都可能是昂貴的��,因此����,來自被認為有安全性問題的 移動節(jié)點的請求不被發(fā)送��。這可以節(jié)省服務提供商的成本。
在另一實施例中����,黑名單經(jīng)由RADIUS直接被發(fā)送到具有將該條目存 儲一段時間的定時器的接入設備106。在此實施例中���,還使AAA服務器 102擺脫了行為不端設備的請求的負擔����。而是,接入設備106對黑名單進 行管理�。
圖2示出了用于認證移動節(jié)點104的方法的一個示例���。在步驟202 中���,AAA服務器102從移動節(jié)點104接收接入網(wǎng)絡IIO的請求�����。請求可以 用于建立與接入設備106的連接��。例如�,可能需要可以發(fā)送語音或數(shù)據(jù)的 安全連接。在一個示例中����,通用分組無線業(yè)務(GPRS)數(shù)據(jù)可以通過安 全連接來發(fā)送��。接入設備106隨后可以將請求發(fā)送給AAA服務器102�����。
在步驟204��, AAA服務器102向HLR 108發(fā)送對移動節(jié)點進行認證的 請求。請求可以包括移動節(jié)點104的IMSI���。 HLR 108隨后可以利用ISMI 對移動節(jié)點104認證�����。認證可以是基于三元組的��。
步驟206從HLR 108接收指示移動節(jié)點104是否已通過認證的應答����。
在步驟208, AAA服務器102將指示移動節(jié)點104是否已通過認證的
ii應答發(fā)送給接入網(wǎng)關106。因此,如果移動節(jié)點104已通過認證�,則接入 網(wǎng)關106可以建立與與移動節(jié)點104的安全連接�。建立安全連接之后���,移 動節(jié)點104可以通過接入設備106與網(wǎng)絡110通信�。例如����,語音�、數(shù)據(jù)等 可以通過安全連接來發(fā)送���。
在某個時刻��,安全問題可以被確定并與移動節(jié)點104相關聯(lián)����。例如�����, 網(wǎng)絡110中的設備�����、接入設備106等可以確定移動節(jié)點104存在安全問 題。這可能是由于蠕蟲��、病毒或其它惡意行為被檢測到并且與移動節(jié)點 104相關聯(lián)。
圖3示出了用于處理安全性問題的方法的示例����。步驟302接收對安全 性問題的指示。安全性問題可由系統(tǒng)中的任何元件來檢測。
步驟304判斷安全性問題是否成為了列入黑名單的根據(jù)����。例如���,在進 一步的分析之后,檢測到的惡意行為可能被認為或可能不被認為是惡意 的。行為可能被認為有安全性問題但可能不是蠕蟲或病毒結果,從而被忽 略。此外����,當出現(xiàn)一定數(shù)目的可疑安全性問題之后�����,可能發(fā)生將移動節(jié)點 列入黑名單����。例如�,移動節(jié)點104在安全性問題被第一次檢測到時可能不 被加入�,但是在安全性問題被多次檢測到時則可能被加入���。
如果安全性問題稱為列入黑名單的根據(jù)����,則在步驟306中�,移動節(jié)點 104的諸如三元組信息、IMSI等之類的標識信息被加入黑名單。例如��,通 知被發(fā)送給AAA服務器102�����,并且AAA服務器102將IMSI加入黑名單 以在標識信息列表中提醒該移動節(jié)點被列入了黑名單(例如����,設置標 志)��。移動節(jié)點104的其它信息也可以被加入黑名單條目。
移動節(jié)點104可以在某段時間內(nèi)被列入黑名單��。例如,在某段時間之 后�,可以將移動節(jié)點104從黑名單中移除�。此外,在某種確認動作之后, 例如在用戶給服務提供商打電話要求將其信息從黑名單移除之后,移動節(jié) 點104可以被移除�����。
如果安全性問題未成為列入黑名單的根據(jù)�,則在步驟308,可以將該 事件記入日志��。這可以用來判斷將來的安全性問題是否成為列入黑名單的 根據(jù)�。
當確定了安全性問題之后,與移動節(jié)點104的安全連接可能被斷開���。在某個時刻���,移動節(jié)點104可以發(fā)送連接到網(wǎng)絡110的另一請求。圖4示 出了用于處理后續(xù)請求的方法的一個示例�����。雖然描述了后續(xù)請求,然而�, 請求不必是針對網(wǎng)絡的重新連接請求。例如���, 一旦在單個網(wǎng)絡上被檢測 到�����,移動節(jié)點104就可能在多個網(wǎng)絡上被列入黑名單�����,并且每當請求時, 可以被拒絕接入。
在步驟402��, AAA服務器102接收接入請求���。該請求可以是從接入設 備106接收的。
在步驟404���, AAA服務器102判斷移動節(jié)點104的標識信息是否在黑 名單上��。如果標識信息不在黑名單上���,則在步驟406中��,請求可以被發(fā)送 給HLR 108��。在此情況下���,如上面關于圖2所述的那樣來認證移動節(jié)點 104�����。
如果IMSI在黑名單上,則在步驟408, AAA服務器102確定接入請 求應當被拒絕并且將應答發(fā)送給接入設備106�����。在此情況下�����,針對接入的 請求不被發(fā)送到HLR 108����。因此�����,如果移動節(jié)點104被列入黑名單��,則 AAA服務器102不聯(lián)系HLR 108����。
特定實施例可以與不同網(wǎng)絡一起使用,例如非準許移動接入(UMA) 網(wǎng)絡或者通過無線局域網(wǎng)(LAN)的語音��、包括線纜或基于無線的VoIP 的任何VoIP網(wǎng)絡。圖5是UMA網(wǎng)絡的一個示例,UMA網(wǎng)絡也可以稱為 通用接入網(wǎng)絡(GAN) �。 UMA網(wǎng)絡允許利用同一雙模移動節(jié)點104進行 無縫漫游并且在局域網(wǎng)和廣域網(wǎng)之間切換��。局域網(wǎng)絡可以是基于諸如藍牙 或802.11 (WiFi)之類的私有非準許頻譜技術的���。廣域網(wǎng)可以是 GSM/GPRS或通用移動電信系統(tǒng)(UMTS)��。
如圖所示����,UMA網(wǎng)絡包括UMA網(wǎng)絡控制器(UNC/GANC) 502��、移 動交換中心(MSC) 504以及GPRS網(wǎng)關支持節(jié)點(GGSN) 506��。將明 白,還會想出UMA網(wǎng)絡的其它元件。
UNC/GANC 502被配置為轉化來自移動節(jié)點104的信號以使得好像是 來自基站的。因此,當移動節(jié)點104從GSN移動到WiFi網(wǎng)絡時,對于核 心網(wǎng)絡來說它就好像是簡單地來自不同基站�����。MSC 504為蜂窩網(wǎng)絡提供語 音切換功能�����。GGSN 506用作諸如因特網(wǎng)和私有網(wǎng)絡之類的數(shù)據(jù)網(wǎng)絡之間的網(wǎng)關�����。 例如��,從移動節(jié)點104發(fā)送和接收的數(shù)據(jù)可以從GGSN 506被發(fā)送到其它 網(wǎng)絡�����。
移動節(jié)點104可以向安全性網(wǎng)關106發(fā)送請求����。安全性網(wǎng)關106隨后 可以發(fā)送包括來自移動節(jié)點104的SIM憑證的RADIUS認證消息。例如, SIM憑證可以包括移動節(jié)點104的IMSI。在一個實施例中��,RADIUS消息 可以是可擴展認證協(xié)議(EAP)-SIM消息���。雖然描述了 RADIUS,然而��,將 明白����,也可以使用其它協(xié)議����。
AAA服務器102隨后向HLR 108發(fā)送SIM身份請求。SIM身份請求 中的信息用來檢索用戶的數(shù)據(jù)�����。例如,存儲在HLR 108中的數(shù)據(jù)可以包括 用戶所請求的或者給予用戶的GSM服務、允許用戶接入分組服務的GPRS 設置、訂戶的當前位置等。HLR 108隨后輔助對移動節(jié)點104進行認證�����。 應答被發(fā)送回AAA服務器102�, AAA服務器102隨后可以生成RADIUS 應答消息并將其發(fā)送給安全性網(wǎng)關106。隨后可以建立與移動節(jié)點104的 安全隧道。
UMA網(wǎng)絡500中的任何設備都可以檢測安全性問題��。當檢測到那種 問題時�����,可以發(fā)送給AAA服務器102。 AAA服務器102可以將來自SIM 憑證的信息添加到黑名單���。在被列入黑名單之后,移動節(jié)點104可以向安 全性網(wǎng)關106發(fā)送請求。安全性網(wǎng)關106隨后可以發(fā)送包括來自移動節(jié)點 104的SIM憑證的RADIUS認證消息�����。AAA服務器102檢查以查看來自 SIM憑證的信息是否在黑名單上���,并且如果在��,則拒絕接入請求。AAA服 務器102可以發(fā)送支持EAP通知的EAP應答�。Notification Type (通知類 型)可選地用來向移動節(jié)點104顯示消息��。例如���,該消息可以通知移動節(jié) 點104的用戶認證失敗�����。
圖6示出了可以用來提供黑名單的另一網(wǎng)絡的另一示例��。例如�,圖6 中的網(wǎng)絡110示出了通過無線LAN的語音���。移動節(jié)點104可以與接入設 備106建立IPSec安全連接��。接入設備106可以是分組數(shù)據(jù)網(wǎng)關或者分組 數(shù)據(jù)詢問功能(PDIF)����?����?梢栽赨MTS/GPRS網(wǎng)絡中找到分組數(shù)據(jù)網(wǎng)關����, 而可以在碼分多址(CDMA)網(wǎng)絡中找到PDIF��。接入設備106可以與網(wǎng)關GPRS支持節(jié)點(GGSN)或歸屬代理 (HA) 602建立安全隧道�。GGSN/HA 602可以聯(lián)系AAA服務器102以對 移動節(jié)點104進行認證。這種通信可以或可以不經(jīng)過網(wǎng)絡110。 AAA服務 器102隨后可以聯(lián)系HLR 108,并且移動節(jié)點104如上所述那樣被認證�。
與移動節(jié)點104建立安全隧道之后��,圖6中的設備可以檢測安全性問 題�。例如�����,會話邊界控制器(SBC) 604或代理呼叫會話控制功能(P-CSCF) 606可以檢測安全性問題。P-CSCF 606可以是IP多媒體子系統(tǒng) (IMS)的一部分。雖然未示出IMS的其它組件�,然而,將明白,它們可 以被包括并且可以檢測安全性問題。
SBC 604可以接收會話發(fā)起協(xié)議(SIP)消息��。這些是用來建立移動節(jié) 點104的承載流的控制消息�����。SBC 604可以詢問SIP消息以判斷是否產(chǎn)生 了任何安全性問題��。這在承載流被建立之前檢測安全性問題�。這可以保護 網(wǎng)絡不受嚴重損害�����,因為不與潛在惡意移動節(jié)點104建立連接。
而且����,P-CSCF 606是SIP代理,并且是針對IMS網(wǎng)絡的聯(lián)系的第一 點。因此,P-CSCF 606可以分析SIP消息以判定任何安全性攻擊����。如果 SBC 604、 P-CSCF 606或任何其它設備檢測到安全性問題��,則其可以被發(fā) 送給AAA服務器102以列入黑名單����。
圖7示出了接入網(wǎng)關106和AAA服務器102的更詳細示例。連接建 立器702從移動節(jié)點104接收接入請求。這可能在移動節(jié)點104被列入黑 名單之后��。
接入輔助器704被配置為將用于接入的AAA請求發(fā)送到AAA服務器 102���。接入輔助器706接收請求并且可以將其轉發(fā)給黑名單確定器708��。
黑名單確定器708判斷移動節(jié)點104的標識信息是否在黑名單710被 找到。如果是��,則請求可能被拒絕。接入輔助器706可以將應答發(fā)送回接 入網(wǎng)關106���。連接建立器702隨后可以對移動節(jié)點104拒絕接入�。
因此,特定實施例解除從HLR 108到AAA服務器102的處理的負 擔。這也保護了 AAA服務器102與HLR 108之間的鏈路���。因此����,可以保 護HLR 108不受惡意攻擊��。此外,通過停止AAA服務器102處的請求來 保護網(wǎng)絡�。另外��,發(fā)送到HLR 108的請求被認為是昂貴的�����,因此���,避免了
15可能有安全性問題的移動節(jié)點104的不必要請求�。
雖然針對其特定實施例描述了說明書,然而����,這些特定實施例僅僅是 說明性的,而非限制性的���。雖然描述了 AAA服務器�����,然而將明白���,也可 以使用其它設備來實施黑名單��,并且術語AAA服務器可以包括這些設 備。此外,移動節(jié)點104可以是可與網(wǎng)絡通信的任何設備。
包括C����、 C++、 Java、匯編語言等在內(nèi)的任何合適的編程語言都可以 用來實現(xiàn)特定實施例的例程?����?梢圆捎弥T如過程性的或面向對象的之類的 不同編程技術�。例程可以在單個處理設備或多個處理器上執(zhí)行�����。雖然步 驟、操作或計算可能以具體順序被呈現(xiàn),然而�����,在不同特定實施例中這種 順序可以改變。在一些特定實施例中����,在本說明書中順序地示出的多個步 驟可以被同時執(zhí)行�。這里所描述的操作的順序可以被中斷��、暫?����;蛞云渌?方式被諸如操作系統(tǒng)���、內(nèi)核等的另外的處理控制。例程可以在操作系統(tǒng)環(huán) 境中或者作為占用了系統(tǒng)處理的全部或主要部分的單獨例程來操作��?�?梢?用硬件�、軟件或它們的組合來執(zhí)行功能��。除非以其他方式說明,否則����,還 可以全部或部分地手動執(zhí)行功能�。
在這里的描述中�����,提供了諸如組件和/或方法的示例之類的多個具體細 節(jié),以提供對特定實施例的透徹理解。然而,相關領域的普通技術人員將 認識到,可以不用一個或多個具體細節(jié)或者利用其它裝置、系統(tǒng)����、構件、 方法��、組件、材料、部分等來實施特定實施例�����。在其它實例中��,未特別示 出或詳細描述公知的結構����、材料或操作,以避免模糊特定實施例的各方 面�。
針對特定實施例的"計算機可讀介質"可以是可包含、存儲����、傳輸�、 傳播或傳送供指令執(zhí)行系統(tǒng)�、裝置��、系統(tǒng)或設備使用或結合指令執(zhí)行系 統(tǒng)�、裝置、系統(tǒng)來使用的程序的任何介質��。僅作為示例而非限制性地����,計 算機可讀介質可以是電的、磁的��、光的�、電磁的、紅外的或半導體系統(tǒng)���、 裝置����、系統(tǒng)���、設備��、傳播介質或計算機存儲器�����。
特定實施例可以在軟件或硬件或它們的組合中以控制邏輯的形式來實 現(xiàn)��?���?刂七壿嬙诒灰粋€或多個處理器執(zhí)行時,可操作來執(zhí)行特定實施例中 所描述的內(nèi)容�。"處理器"或"處理"包括處理數(shù)據(jù)、信號或其它信息的任何人���、硬 件和/或軟件系統(tǒng)����、機構或組件��。處理器可以包括具有通用中央處理單元的 系統(tǒng)、多個處理單元����、用于實現(xiàn)功能的專用電路或其它系統(tǒng)��。處理不必限 于地理位置����,或者不必具有時間限制。例如�����,處理器可以以"實時"、
"離線"方式、以"批處理模式"等來執(zhí)行其功能��。處理的各部分可以由 不同(或相同)處理系統(tǒng)在不同時間和不同位置被執(zhí)行�。
在本說明書中對"一個實施例"��、"實施例"�、"具體實施例"或 "特定實施例"的引用指結合特定實施例所描述的特定特征�����、結構或特性 包括在至少一個實施例中而不必在所有特定實施例中。因此��,在本說明書 中的各個地方分別出現(xiàn)的短語"在特定實施例中"�、"在實施例中"或 "在具體實施例中"不必指同一實施例���。此外��,可以以任何合適的方式將 任何具體實施例的特定特征����、結構或特性與一個或多個其它特定實施例相 組合�。將明白���,根據(jù)這里的教導���,這里描述和圖示的特定實施例的其它變 體和修改是可以的����,并且被當作精神和范圍的一部分�。
可以利用經(jīng)編程的通用數(shù)字計算機�、利用專用集成電路、可編程邏輯 器件��、現(xiàn)場可編程門陣列來實現(xiàn)特定實施例��,可以使用光�����、化學��、生物、 量子或納米工程系統(tǒng)、組件和機構�。
一般地,特定實施例的功能可以通過 本領域公知的任何手段來實現(xiàn)���??梢允褂梅植际降?、聯(lián)網(wǎng)系統(tǒng)����、組件和/或 電路。數(shù)據(jù)的傳輸或傳送可以是有線的�、無線的或通過任何其它手段。
還將理解��,在附圖/示圖中所示的一個或多個元件還可以以更分立或集 成的方式來實現(xiàn)����,或者被移除或者甚至在某些情況中被呈現(xiàn)為不可操作 的���,這根據(jù)特定應用是有用的。實現(xiàn)可以存儲在機器可讀介質中以準許計 算機執(zhí)行上述任何方法的程序或代碼也在本精神和范圍之內(nèi)��。
另外�����,除非以其他方式特別提出���,否則附圖/示圖中的信號箭頭應當僅 被認為是示例性的而非限制性的���。此外,除非以其他方式指示�����,否則這里 所使用的術語"或" 一般希望指"和/或"��。組件或步驟的組合也被認為已 提出���,其中����,當呈現(xiàn)分離或組合的能力是不清楚時,術語是被預見����。
如在這里的說明書以及后面的整個權利要求書中所使用的,"一"���、 "一個"和"所述"包括復數(shù)引用��,除非上下文以其他方式清楚地指示其他情況�����。此外����,如在這里的說明書以及后面的整個權利要求書中所使用 的����,"在...中"的含義包括"在...中"和"在...上"�,除非上下文以其他 方式清楚地指示其他情況。
包括摘要所描述的內(nèi)容在內(nèi)的對所示特定實施例的前面的描述不希望 是排他的或者將本發(fā)明限制到這里所公開的精確形式�����。如相關領域的普通 技術人員將認識并理解到的,雖然僅僅為了說明的目的而在這里描述了本 發(fā)明的具體的特定實施例和示例����,然而精神和范圍內(nèi)的各種等同修改也是 可能的。如所指示的�����,這些修改可以是根據(jù)所示特定實施例的前面描述來 對本發(fā)明作出的�����,并且將包括在精神和范圍之內(nèi)����。
因此,雖然在這里參考本發(fā)明的特定實施例描述了本發(fā)明�,然而,修 改�、各種改變和替代的自由被計劃在前面的公開中,并且將會理解��,在一 些實例中����,在不脫離所闡述的范圍和精神的情況下�,將采用特定實施例的 一些特征而不相應地使用其它特征�。因此,可以作出許多修改以使特定情 形或材料適于實質的范圍和精神�。希望本發(fā)明不限于在下面的權利要求書 中使用的特定術語和/或作為被構想來執(zhí)行本發(fā)明的最佳實施方式來公開的 特定實施例,而是本發(fā)明將包括落在所附權利要求的范圍內(nèi)的任何以及所 有特定實施例和等同物�。
18
權利要求
1.一種方法,包括在認證服務器處從設備接收用于接入網(wǎng)絡的請求���;將所述請求發(fā)送給歸屬位置寄存器HLR����;從所述歸屬位置寄存器接收應答�,所述應答指示所述設備是否通過接入所述網(wǎng)絡的認證,其中����,如果所述設備通過認證,則所述設備被準予接入所述網(wǎng)絡����;判定因與所述設備相關聯(lián)的安全性問題���,所述設備應當被置于黑名單中��;以及將所述設備的標識信息添加到所述認證服務器處的黑名單中��,其中�,用于接入所述網(wǎng)絡的后續(xù)請求在被路由到所述HLR之前在所述認證服務器處被拒絕。
2. 如權利要求1所述的方法�,其中,當所述設備被準予接入時����,安全 連接被建立,其中��,當確定了所述安全性問題時所述安全連接被斷開����,其 中,針對所述安全連接的第二請求在所述認證服務器處被拒絕���。
3. 如權利要求1所述的方法��,其中��,接收到的用于接入所述網(wǎng)絡的請 求包括包括所述設備的標識符的AAA請求��。
4. 如權利要求1所述的方法��,還包括在所述認證服務器處從所述設備接收用于接入所述網(wǎng)絡的第二請求����, 請求包括所述設備的標識信息;判斷所述標識信息是否在所述黑名單上���;以及如果所述標識信息在所述黑名單上則拒絕所述第二請求而不將所述第 二請求發(fā)送給所述HLR�。
5. 如權利要求1所述的方法��,其中�,所述標識信息包括國際移動用戶 識別碼IMSI。
6. 如權利要求1所述的方法���,還包括當符合將所述設備從所述黑名 單移除的標準之后��,將所述標識信息從所述黑名單移除�。
7. —種方法��,包括在認證服務器處從設備接收用于接入網(wǎng)絡的請求�����;判斷所述設備是否在黑名單上,其中�����,當接入所述網(wǎng)絡被限制時�����,所 述設備被置于所述黑名單上���;以及如果所述設備在所述黑名單上,則發(fā)送指示所述設備被拒絕接入的應 答��,其中����,拒絕是在當接收到請求時不將所述請求發(fā)送給歸屬位置寄存器 的情況下確定的。
8. 如權利要求7所述的方法���,其中����,在接收請求之前����,所述方法還包括判定因與所述設備相關聯(lián)的安全性問題����,所述設備應當被置于黑名單 中�����;以及將所述設備的標識信息添加到所述黑名單中���,其中�����,所述標識信息用 來判斷所述設備是否在所述黑名單上���。
9. 如權利要求7所述的方法,還包括-接收相對于所接收的用于接入網(wǎng)絡的請求的在先請求�����,其中�����,當所述 在先請求被接收到時,所述設備不在所述黑名單上�; 將請求發(fā)送給歸屬位置寄存器HLR;從所述歸屬位置寄存器接收應答,所述應答指示所述設備是否通過接 入所述網(wǎng)絡的認證���,其中,如果所述設備通過認證��,則所述設備被準予接 入所述網(wǎng)絡����。
10. 如權利要求7所述的方法,其中���,所述標識信息包括國際移動用 戶識別碼IMSI����。
11. 如權利要求7所述的方法�����,還包括當符合將所述設備從所述黑 名單移除的標準之后�,將所述標識信息從所述黑名單移除。
12. —種裝置��,包括 一個或多個處理器;以及邏輯����,被編碼在一個或多個有形介質中供所述一個或多個處理器執(zhí) 行,并且當被執(zhí)行時可操作來在認證服務器處從設備接收用于接入網(wǎng)絡的請求���; 將所述請求發(fā)送給歸屬位置寄存器HLR;從所述歸屬位置寄存器接收應答����,所述應答指示所述設備是否通過接 入所述網(wǎng)絡的認證���,其中���,如果所述設備通過認證,則所述設備被準予接 入所述網(wǎng)絡����;判定因與所述設備相關聯(lián)的安全性問題,所述設備應當被置于黑名單 中����;以及將所述設備的標識信息添加到所述認證服務器處的黑名單中,其中, 用于接入所述網(wǎng)絡的后續(xù)請求在被路由到所述HLR之前在所述認證服務 器處被拒絕���。
13. 如權利要求12所述的裝置��,其中�,當所述設備被準予接入時���,安 全連接被建立���,其中����,當確定了所述安全性問題時所述安全連接被斷開, 其中�,針對所述安全連接的第二請求在所述認證服務器處被拒絕。
14. 如權利要求12所述的裝置����,其中,接收到的用于接入所述網(wǎng)絡的 請求包括包括所述設備的標識符的AAA請求�。
15. 如權利要求12所述的裝置,其中�,所述邏輯在被執(zhí)行時還可操作來在所述認證服務器處從所述設備接收用于接入所述網(wǎng)絡的第二請求, 請求包括所述設備的標識信息;判斷所述標識信息是否在所述黑名單上����;以及如果所述標識信息在所述黑名單上則拒絕所述第二請求而不將所述第 二請求發(fā)送給所述HLR。
16. 如權利要求12所述的裝置����,其中,所述標識信息包括國際移動用 戶識別碼IMSI�。
17. 如權利要求12所述的裝置,其中���,所述邏輯在被執(zhí)行時還可操作 來在符合將所述設備從所述黑名單移除的標準之后��,將所述標識信息從所 述黑名單移除����。
18. —種裝置��,包括 一個或多個處理器��;以及邏輯�����,被編碼在一個或多個有形介質中供所述一個或多個處理器執(zhí) 行,并且當被執(zhí)行時可操作來在認證服務器處從設備接收用于接入網(wǎng)絡的請求�;判斷所述設備是否在黑名單上,其中����,當接入所述網(wǎng)絡被限制時,所 述設備被置于所述黑名單上����;以及如果所述設備在所述黑名單上,則發(fā)送指示所述設備被拒絕接入的應 答����,其中,拒絕是在當接收到請求時不將所述請求發(fā)送給歸屬位置寄存器 的情況下確定的�。
19. 如權利要求18所述的裝置�,其中,在接收請求之前�,所述邏輯在 被執(zhí)行時還可操作來判定因與所述設備相關聯(lián)的安全性問題,所述設備應當被置于黑名單 中�;以及將所述設備的標識信息添加到所述黑名單中,其中��,所述標識信息用 來判斷所述設備是否在所述黑名單上���。
20. 如權利要求18所述的裝置����,其中,所述邏輯在被執(zhí)行時還可操作來接收相對于所接收的用于接入網(wǎng)絡的請求的在先請求����,其中,當所述 在先請求被接收到時�,所述設備不在所述黑名單上; 將請求發(fā)送給歸屬位置寄存器HLR;從所述歸屬位置寄存器接收應答�,所述應答指示所述設備是否通過接 入所述網(wǎng)絡的認證,其中�����,如果所述設備通過認證���,則所述設備被準予接 入所述網(wǎng)絡�。
21. 如權利要求18所述的裝置�����,其中�����,所述標識信息包括國際移動用 戶識別碼IMSI。
22. 如權利要求18所述的裝置��,其中���,所述邏輯在被執(zhí)行時還可操作 來當符合將所述設備從所述黑名單移除的標準之后�����,將所述標識信息從 所述黑名單移除�。
23. —種裝置�����,包括用于在認證服務器處從設備接收用于接入網(wǎng)絡的請求的裝置���; 用于將所述請求發(fā)送給歸屬位置寄存器HLR的裝置�����;用于從所述歸屬位置寄存器接收應答的裝置,所述應答指示所述設備是否通過接入所述網(wǎng)絡的認證����,其中����,如果所述設備通過認證���,則所述設備被準予接入所述網(wǎng)絡�;用于判定因與所述設備相關聯(lián)的安全性問題��,所述設備應當被置于黑 名單中的裝置��;以及用于將所述設備的標識信息添加到所述認證服務器處的黑名單中的裝 置�,其中,用于接入所述網(wǎng)絡的后續(xù)請求在被路由到所述HLR之前在所 述認證服務器處被拒絕����。
24.—種裝置,包括用于在認證服務器處從設備接收用于接入網(wǎng)絡的請求的裝置���; 用于判斷所述設備是否在黑名單上的裝置����,其中�,當接入所述網(wǎng)絡被限制時����,所述設備被置于所述黑名單上���;以及用于如果所述設備在所述黑名單上�,則發(fā)送指示所述設備被拒絕接入的應答的裝置���,其中�,拒絕是在當接收到請求時不將所述請求發(fā)送給歸屬位置寄存器的情況下確定的���。
全文摘要
在一個實施例中�����,當連接到網(wǎng)絡(110)時��,安全性問題可能被檢測并與設備(104)相關聯(lián)�����。設備可以因安全性問題而被置于黑名單上�。黑名單是用來在設備嘗試連接時拒絕針對設備的服務的列表�����。因此���,使設備從網(wǎng)絡斷開連接��。設備的標識信息被添加到認證服務器(102)處的黑名單中����。如果設備嘗試重新連接到網(wǎng)絡���,則請求在認證服務器處被接收��。認證服務器隨后可以檢查黑名單并且如果標識信息在黑名單上則拒絕接入網(wǎng)絡的請求�。該拒絕是在不將請求發(fā)送給HLR(108)的情況下確定的�,因此,HLR被保護�,原因在于來自可能被認為有安全性問題的設備的請求未被發(fā)送到HLR。
文檔編號H04L29/06GK101632282SQ200880007791
公開日2010年1月20日 申請日期2008年3月6日 優(yōu)先權日2007年3月9日
發(fā)明者凱文·沙茨凱莫爾, 凱西·友恩, 阿南德·K·奧斯瓦爾, 馬克·格雷森 申請人:思科技術公司