经由AAA策略数据库将非准许移动接入(UMA)用户列入黑名单

摘要

在一个实施例中，当连接到网络(110)时，安全性问题可能被检测并与设备(104)相关联。设备可以因安全性问题而被置于黑名单上。黑名单是用来在设备尝试连接时拒绝针对设备的服务的列表。因此，使设备从网络断开连接。设备的标识信息被添加到认证服务器(102)处的黑名单中。如果设备尝试重新连接到网络，则请求在认证服务器处被接收。认证服务器随后可以检查黑名单并且如果标识信息在黑名单上则拒绝接入网络的请求。该拒绝是在不将请求发送给HLR(108)的情况下确定的，因此，HLR被保护，原因在于来自可能被认为有安全性问题的设备的请求未被发送到HLR。

说明书

技术领域

特定实施例一般涉及网络和安全。

背景技术

移动节点通过连接到接入设备可以接入数据网络。建立因特网协议 (IP)内的安全隧道来与移动节点通信。在建立安全隧道之前，通过认 证、授权和计费(AAA)域将移动节点认证到归属位置寄存器(HLR) 中。HLR是包括被授权使用网络的每个移动节点和订户的细节的中央数据 库。

当从移动节点检测到恶意攻击时，接入设备可以终止与该移动节点的 会话。在此情况下，安全隧道可能被断开。这使得移动节点从网络断开连 接。然而，移动节点可以立即尝试重新连接到网络。这是可能发生的，因 为移动节点正在恶意行动或者可能因病毒而是无意的。移动节点可能通过 AAA域被HLR再次认证。允许潜在的恶意移动节点重新连接到网络是不 希望的。这将HLR暴露给了作为恶意设备/应用的潜在的诸如病毒或蠕虫 之类的拒绝服务(DoS)攻击。HLR是网络中最贵重的节点之一。一个原 因在于HLR维护订户的个人信息。允许请求联系HLR将HLR暴露给潜在 DoS攻击。而且，处理向HLR的请求是昂贵的，因此，让恶意请求联系 HLR可能给服务提供商招致不必要的费用。

附图说明

图1示出了用于提供黑名单的系统的一个示例。

图2示出了用于认证移动节点的方法的一个示例。

图3示出了用于处理安全性问题的方法的一个示例。

图4示出了用于处理后续请求的方法的一个示例。

图5是UMA网络的一个示例。

图6示出了可以用来提供黑名单的另一网络的另一示例。

图7示出了接入网关和AAA服务器的更详细示例。

具体实施方式

概述

在一个实施例中，认证服务器从设备接收接入网络的请求。认证服务 器将请求发送到归属位置寄存器(HLR)。HLR可以辅助对设备的认证。 认证服务器从HLR接收指示设备是否通过了接入网络的认证的应答，并 且如果设备已通过认证，则准予设备接入网络。例如，可以在该设备与接 入设备之间建立安全隧道。

当连接到网络时，安全性问题可以被检测并与该设备相关联。例如， 可能判定设备行为不端。在一些情况中，设备可能由于安全性问题被置于 黑名单中。黑名单是用来在设备尝试连接时针对该设备拒绝服务的列表。 可选地，将设备被拒绝服务的时间段包括在黑名单中。因此，将设备从网 络断开连接；例如，认证服务器可以触发安全隧道的断开。设备的标识信 息被添加到认证服务器处的黑名单中。如果设备尝试重新连接到网络，则 请求在认证服务器处被接收。然后，认证服务器可以检查黑名单，并且如 果设备的标识信息在黑名单上则拒绝接入网络的请求。这种拒绝是在不用 向HLR发送请求的情况下确定的。因此，HLR被保护，这是因为来自可 能被认为有安全性问题的设备的请求不被发送到HLR。此外，发送到 HLR的请求可能较昂贵，因此，通过不发送已被列入黑名单的设备的请求 来节省费用。

示例实施例

图1示出了用于提供黑名单的系统的一个示例。如图所示，系统包括 AAA服务器102、移动节点104、接入设备106、归属位置寄存器 (HLR)108以及网络110。

移动节点104可以是希望通过接入设备106连接到网络110的任何设 备。例如，移动节点104可以是蜂窝电话、膝上型计算机、个人数字助理 (PDA)、黑莓^TM设备、便携式电子邮件设备、口袋式PC、个人计算机 等。虽然描述了移动节点，将明白，也可以使用其它节点，例如固定的或 不移动的节点(例如，VoIP电话、机顶盒、个人计算机等)。

可以将移动节点104与标识信息相关联。例如，移动节点104可以包 括到用户识别模块(SIM)卡的接口，SIM卡包括对国际移动用户识别码 (IMSI)的存储，这允许将移动节点104与IMSI相关联。IMSI是与网络 移动电话用户相关联的唯一编号，并且存储在移动节点104的用户识别模 块(SIM)卡中。IMSI可由移动节点104发送到网络，并且用来从HLR 108获取移动节点/用户的细节。虽然描述了IMSI，然而将明白，也可以想 到移动节点104的其它标识符。而且，将明白，移动节点104可以没有 SIM卡，而可以使用用于标识的其它方法。

接入设备106是控制对网络110的接入的任何设备。例如，接入设备 106可以是UMA/GAN中的安全性网关、3GPP互连-WLAN(I-WLAN) 中定义的分组数据网关(PDG)、3GPP2中定义的分组数据互连功能 (PDIF)等。

接入设备106被配置来建立与移动节点104的安全连接。在一个实施 例中，安全连接可以是诸如IPSec隧道之类的安全隧道。IPSec是IP安全 性协议，用来通过认证和/或加密数据流中的每个IP分组来确保IP通信的 安全。在隧道模式中，整个IP分组被加密。虽然描述了IPSec隧道，然 而，将明白，也可以想到通信的其它安全方法，包括完整性保护和/或加密 保护的组合。

AAA服务器102提供认证、授权和/或计费服务。虽然描述了AAA服 务器102，然而，将明白，也可以使用提供认证、授权和/或计费的其它认 证设备。AAA服务器102可以使用不同的协议进行通信，例如远程认证拨 入用户服务(RADIUS)、DIAMETER等。

HLR 108是中央数据库，其包括了移动节点104以及与移动节点104 相关联的用户或订户的细节。例如，HLR 108存储移动节点104的唯一标 识符、例如由订户签发的SIM卡的细节。还可以将IMSI与移动节点104 的其它细节相关联，其它细节例如是电话号码、移动节点104的位置、帐 户偏好等。虽然描述了HLR 108，然而经明白，还可以想到存储移动节点 104的信息的任何设备。

网络110可以包括移动节点104希望接入的任何网络设备。例如，网 络110可以包括非准许移动接入(UMA)网络、通过IP的语音(VoIP) 网络等的元件。下面将更详细地描述网络110的元件。

当移动节点104希望访问网络110时，其将IPSec启动请求发送给接 入设备106。启动请求可以包括移动节点104的标识信息。或者，接入设 备106可以请求移动节点104提供其身份信息。接入设备106随后可以将 AAA请求发送到AAA服务器102。AAA服务器102随后对移动节点104 认证。例如，请求可以被发送给HLR 108。请求可以包括诸如IMSI之类 的移动节点104的信息。HLR 108可以辅助对移动节点104进行认证。例 如，HLR 108可以存储用来对移动节点104是否可以接入网络110进行认 证的三元组信息(triplet information)。在另一实施例中，归属订户服务器 (HSS)可以用于基于五重的认证。

如果移动节点104通过认证，则AAA服务器102将指示移动节点104 已通过认证的应答发送回接入设备106。接入设备106随后可以建立与移 动节点104的安全隧道。

系统中的元件随后可以检测移动节点104的安全性问题。例如，指示 用户/移动节点104行为不端的任何活动都可以被接入设备106、诸如拒绝 服务(DoS)检测设备之类的网络110中的设备等检测。在一个示例中， 移动节点104可能因蠕虫、病毒或其它恶意行为而是行为不端的。与移动 节点104的会话随后可以被结束。例如，安全隧道可以被断开。在另一实 施例中，使隧道保持活动，但是使流量“进入黑洞”，即被路由到不存在 的目的地。通过这样做，也减轻了再次建IPSec隧道的处理。在此实例 中，AAA服务器102将不维护黑名单，而是通知接入设备106使该特定订 户的流量进入黑洞。在一个实施例中，网络110中的设备向AAA服务器 102指示特定设备行为不端。AAA服务器102随后可操作来将消息发送给 接入设备106以触发接入设备106与移动节点104之间的隧道的终止。

移动节点104被断开连接后可以再次尝试重新连接到网络110。因 此，可以再次利用AAA服务器102和HLR 108对移动节点104进行认 证。然而，可以将移动节点104的标识信息添加到在AAA服务器102处 维护的黑名单中。例如，移动节点104的诸如三元组信息、IMSI等之类的 标识信息可以被添加到黑名单中。在另一实施例中，时间值被归属到黑名 单条目。

一旦标识信息被添加到黑名单并且接收到另一连接，可以拒绝接入。 例如，移动节点104可以将请求发送给接入设备106。接入设备106随后 可以将具有移动节点104的标识信息的AAA请求发送给AAA服务器 102。例如，IMSI可以包括在AAA请求中。AAA服务器102随后可以检 查黑名单以查看移动节点104的IMSI是否包括在黑名单上。如果IMSI包 括在黑名单上，则AAA服务器102可以拒绝对网络110的接入。这是在 未联系HLR 108的情况下完成的。因此，可以保护HLR 108不接受从可 能被认为有安全性问题的移动节点发送给它的任何请求。此外，发送到 HLR 108的任何请求都可能是昂贵的，因此，来自被认为有安全性问题的 移动节点的请求不被发送。这可以节省服务提供商的成本。

在另一实施例中，黑名单经由RADIUS直接被发送到具有将该条目存 储一段时间的定时器的接入设备106。在此实施例中，还使AAA服务器 102摆脱了行为不端设备的请求的负担。而是，接入设备106对黑名单进 行管理。

图2示出了用于认证移动节点104的方法的一个示例。在步骤202 中，AAA服务器102从移动节点104接收接入网络110的请求。请求可以 用于建立与接入设备106的连接。例如，可能需要可以发送语音或数据的 安全连接。在一个示例中，通用分组无线业务(GPRS)数据可以通过安 全连接来发送。接入设备106随后可以将请求发送给AAA服务器102。

在步骤204，AAA服务器102向HLR 108发送对移动节点进行认证的 请求。请求可以包括移动节点104的IMSI。HLR 108随后可以利用ISMI 对移动节点104认证。认证可以是基于三元组的。

步骤206从HLR 108接收指示移动节点104是否已通过认证的应答。

在步骤208，AAA服务器102将指示移动节点104是否已通过认证的 应答发送给接入网关106。因此，如果移动节点104已通过认证，则接入 网关106可以建立与与移动节点104的安全连接。建立安全连接之后，移 动节点104可以通过接入设备106与网络110通信。例如，语音、数据等 可以通过安全连接来发送。

在某个时刻，安全问题可以被确定并与移动节点104相关联。例如， 网络110中的设备、接入设备106等可以确定移动节点104存在安全问 题。这可能是由于蠕虫、病毒或其它恶意行为被检测到并且与移动节点 104相关联。

图3示出了用于处理安全性问题的方法的示例。步骤302接收对安全 性问题的指示。安全性问题可由系统中的任何元件来检测。

步骤304判断安全性问题是否成为了列入黑名单的根据。例如，在进 一步的分析之后，检测到的恶意行为可能被认为或可能不被认为是恶意 的。行为可能被认为有安全性问题但可能不是蠕虫或病毒结果，从而被忽 略。此外，当出现一定数目的可疑安全性问题之后，可能发生将移动节点 列入黑名单。例如，移动节点104在安全性问题被第一次检测到时可能不 被加入，但是在安全性问题被多次检测到时则可能被加入。

如果安全性问题称为列入黑名单的根据，则在步骤306中，移动节点 104的诸如三元组信息、IMSI等之类的标识信息被加入黑名单。例如，通 知被发送给AAA服务器102，并且AAA服务器102将IMSI加入黑名单 以在标识信息列表中提醒该移动节点被列入了黑名单(例如，设置标 志)。移动节点104的其它信息也可以被加入黑名单条目。

移动节点104可以在某段时间内被列入黑名单。例如，在某段时间之 后，可以将移动节点104从黑名单中移除。此外，在某种确认动作之后， 例如在用户给服务提供商打电话要求将其信息从黑名单移除之后，移动节 点104可以被移除。

如果安全性问题未成为列入黑名单的根据，则在步骤308，可以将该 事件记入日志。这可以用来判断将来的安全性问题是否成为列入黑名单的 根据。

当确定了安全性问题之后，与移动节点104的安全连接可能被断开。 在某个时刻，移动节点104可以发送连接到网络110的另一请求。图4示 出了用于处理后续请求的方法的一个示例。虽然描述了后续请求，然而， 请求不必是针对网络的重新连接请求。例如，一旦在单个网络上被检测 到，移动节点104就可能在多个网络上被列入黑名单，并且每当请求时， 可以被拒绝接入。

在步骤402，AAA服务器102接收接入请求。该请求可以是从接入设 备106接收的。

在步骤404，AAA服务器102判断移动节点104的标识信息是否在黑 名单上。如果标识信息不在黑名单上，则在步骤406中，请求可以被发送 给HLR 108。在此情况下，如上面关于图2所述的那样来认证移动节点 104。

如果IMSI在黑名单上，则在步骤408，AAA服务器102确定接入请 求应当被拒绝并且将应答发送给接入设备106。在此情况下，针对接入的 请求不被发送到HLR 108。因此，如果移动节点104被列入黑名单，则 AAA服务器102不联系HLR 108。

特定实施例可以与不同网络一起使用，例如非准许移动接入(UMA) 网络或者通过无线局域网(LAN)的语音、包括线缆或基于无线的VoIP 的任何VoIP网络。图5是UMA网络的一个示例，UMA网络也可以称为 通用接入网络(GAN)。UMA网络允许利用同一双模移动节点104进行 无缝漫游并且在局域网和广域网之间切换。局域网络可以是基于诸如蓝牙 或802.11(WiFi)之类的私有非准许频谱技术的。广域网可以是 GSM/GPRS或通用移动电信系统(UMTS)。

如图所示，UMA网络包括UMA网络控制器(UNC/GANC)502、移 动交换中心(MSC)504以及GPRS网关支持节点(GGSN)506。将明 白，还会想出UMA网络的其它元件。

UNC/GANC 502被配置为转化来自移动节点104的信号以使得好像是 来自基站的。因此，当移动节点104从GSN移动到WiFi网络时，对于核 心网络来说它就好像是简单地来自不同基站。MSC 504为蜂窝网络提供语 音切换功能。

GGSN 506用作诸如因特网和私有网络之类的数据网络之间的网关。 例如，从移动节点104发送和接收的数据可以从GGSN 506被发送到其它 网络。

移动节点104可以向安全性网关106发送请求。安全性网关106随后 可以发送包括来自移动节点104的SIM凭证的RADIUS认证消息。例如， SIM凭证可以包括移动节点104的IMSI。在一个实施例中，RADIUS消息 可以是可扩展认证协议(EAP)-SIM消息。虽然描述了RADIUS，然而，将 明白，也可以使用其它协议。

AAA服务器102随后向HLR 108发送SIM身份请求。SIM身份请求 中的信息用来检索用户的数据。例如，存储在HLR 108中的数据可以包括 用户所请求的或者给予用户的GSM服务、允许用户接入分组服务的GPRS 设置、订户的当前位置等。HLR 108随后辅助对移动节点104进行认证。 应答被发送回AAA服务器102，AAA服务器102随后可以生成RADIUS 应答消息并将其发送给安全性网关106。随后可以建立与移动节点104的 安全隧道。

UMA网络500中的任何设备都可以检测安全性问题。当检测到那种 问题时，可以发送给AAA服务器102。AAA服务器102可以将来自SIM 凭证的信息添加到黑名单。在被列入黑名单之后，移动节点104可以向安 全性网关106发送请求。安全性网关106随后可以发送包括来自移动节点 104的SIM凭证的RADIUS认证消息。AAA服务器102检查以查看来自 SIM凭证的信息是否在黑名单上，并且如果在，则拒绝接入请求。AAA服 务器102可以发送支持EAP通知的EAP应答。Notification Type(通知类 型)可选地用来向移动节点104显示消息。例如，该消息可以通知移动节 点104的用户认证失败。

图6示出了可以用来提供黑名单的另一网络的另一示例。例如，图6 中的网络110示出了通过无线LAN的语音。移动节点104可以与接入设 备106建立IPSec安全连接。接入设备106可以是分组数据网关或者分组 数据询问功能(PDIF)。可以在UMTS/GPRS网络中找到分组数据网关， 而可以在码分多址(CDMA)网络中找到PDIF。

接入设备106可以与网关GPRS支持节点(GGSN)或归属代理 (HA)602建立安全隧道。GGSN/HA 602可以联系AAA服务器102以对 移动节点104进行认证。这种通信可以或可以不经过网络110。AAA服务 器102随后可以联系HLR 108，并且移动节点104如上所述那样被认证。

与移动节点104建立安全隧道之后，图6中的设备可以检测安全性问 题。例如，会话边界控制器(SBC)604或代理呼叫会话控制功能(P- CSCF)606可以检测安全性问题。P-CSCF 606可以是IP多媒体子系统 (IMS)的一部分。虽然未示出IMS的其它组件，然而，将明白，它们可 以被包括并且可以检测安全性问题。

SBC 604可以接收会话发起协议(SIP)消息。这些是用来建立移动节 点104的承载流的控制消息。SBC 604可以询问SIP消息以判断是否产生 了任何安全性问题。这在承载流被建立之前检测安全性问题。这可以保护 网络不受严重损害，因为不与潜在恶意移动节点104建立连接。

而且，P-CSCF 606是SIP代理，并且是针对IMS网络的联系的第一 点。因此，P-CSCF 606可以分析SIP消息以判定任何安全性攻击。如果 SBC 604、P-CSCF 606或任何其它设备检测到安全性问题，则其可以被发 送给AAA服务器102以列入黑名单。

图7示出了接入网关106和AAA服务器102的更详细示例。连接建 立器702从移动节点104接收接入请求。这可能在移动节点104被列入黑 名单之后。

接入辅助器704被配置为将用于接入的AAA请求发送到AAA服务器 102。接入辅助器706接收请求并且可以将其转发给黑名单确定器708。

黑名单确定器708判断移动节点104的标识信息是否在黑名单710被 找到。如果是，则请求可能被拒绝。接入辅助器706可以将应答发送回接 入网关106。连接建立器702随后可以对移动节点104拒绝接入。

因此，特定实施例解除从HLR 108到AAA服务器102的处理的负 担。这也保护了AAA服务器102与HLR 108之间的链路。因此，可以保 护HLR 108不受恶意攻击。此外，通过停止AAA服务器102处的请求来 保护网络。另外，发送到HLR 108的请求被认为是昂贵的，因此，避免了 可能有安全性问题的移动节点104的不必要请求。

虽然针对其特定实施例描述了说明书，然而，这些特定实施例仅仅是 说明性的，而非限制性的。虽然描述了AAA服务器，然而将明白，也可 以使用其它设备来实施黑名单，并且术语AAA服务器可以包括这些设 备。此外，移动节点104可以是可与网络通信的任何设备。

包括C、C++、Java、汇编语言等在内的任何合适的编程语言都可以 用来实现特定实施例的例程。可以采用诸如过程性的或面向对象的之类的 不同编程技术。例程可以在单个处理设备或多个处理器上执行。虽然步 骤、操作或计算可能以具体顺序被呈现，然而，在不同特定实施例中这种 顺序可以改变。在一些特定实施例中，在本说明书中顺序地示出的多个步 骤可以被同时执行。这里所描述的操作的顺序可以被中断、暂停或以其它 方式被诸如操作系统、内核等的另外的处理控制。例程可以在操作系统环 境中或者作为占用了系统处理的全部或主要部分的单独例程来操作。可以 用硬件、软件或它们的组合来执行功能。除非以其他方式说明，否则，还 可以全部或部分地手动执行功能。

在这里的描述中，提供了诸如组件和/或方法的示例之类的多个具体细 节，以提供对特定实施例的透彻理解。然而，相关领域的普通技术人员将 认识到，可以不用一个或多个具体细节或者利用其它装置、系统、构件、 方法、组件、材料、部分等来实施特定实施例。在其它实例中，未特别示 出或详细描述公知的结构、材料或操作，以避免模糊特定实施例的各方 面。

针对特定实施例的“计算机可读介质”可以是可包含、存储、传输、 传播或传送供指令执行系统、装置、系统或设备使用或结合指令执行系 统、装置、系统来使用的程序的任何介质。仅作为示例而非限制性地，计 算机可读介质可以是电的、磁的、光的、电磁的、红外的或半导体系统、 装置、系统、设备、传播介质或计算机存储器。

特定实施例可以在软件或硬件或它们的组合中以控制逻辑的形式来实 现。控制逻辑在被一个或多个处理器执行时，可操作来执行特定实施例中 所描述的内容。

“处理器”或“处理”包括处理数据、信号或其它信息的任何人、硬 件和/或软件系统、机构或组件。处理器可以包括具有通用中央处理单元的 系统、多个处理单元、用于实现功能的专用电路或其它系统。处理不必限 于地理位置，或者不必具有时间限制。例如，处理器可以以“实时”、 “离线”方式、以“批处理模式”等来执行其功能。处理的各部分可以由 不同(或相同)处理系统在不同时间和不同位置被执行。

在本说明书中对“一个实施例”、“实施例”、“具体实施例”或 “特定实施例”的引用指结合特定实施例所描述的特定特征、结构或特性 包括在至少一个实施例中而不必在所有特定实施例中。因此，在本说明书 中的各个地方分别出现的短语“在特定实施例中”、“在实施例中”或 “在具体实施例中”不必指同一实施例。此外，可以以任何合适的方式将 任何具体实施例的特定特征、结构或特性与一个或多个其它特定实施例相 组合。将明白，根据这里的教导，这里描述和图示的特定实施例的其它变 体和修改是可以的，并且被当作精神和范围的一部分。

可以利用经编程的通用数字计算机、利用专用集成电路、可编程逻辑 器件、现场可编程门阵列来实现特定实施例，可以使用光、化学、生物、 量子或纳米工程系统、组件和机构。一般地，特定实施例的功能可以通过 本领域公知的任何手段来实现。可以使用分布式的、联网系统、组件和/或 电路。数据的传输或传送可以是有线的、无线的或通过任何其它手段。

还将理解，在附图/示图中所示的一个或多个元件还可以以更分立或集 成的方式来实现，或者被移除或者甚至在某些情况中被呈现为不可操作 的，这根据特定应用是有用的。实现可以存储在机器可读介质中以准许计 算机执行上述任何方法的程序或代码也在本精神和范围之内。

另外，除非以其他方式特别提出，否则附图/示图中的信号箭头应当仅 被认为是示例性的而非限制性的。此外，除非以其他方式指示，否则这里 所使用的术语“或”一般希望指“和/或”。组件或步骤的组合也被认为已 提出，其中，当呈现分离或组合的能力是不清楚时，术语是被预见。

如在这里的说明书以及后面的整个权利要求书中所使用的，“一”、 “一个”和“所述”包括复数引用，除非上下文以其他方式清楚地指示其 他情况。此外，如在这里的说明书以及后面的整个权利要求书中所使用 的，“在...中”的含义包括“在...中”和“在...上”，除非上下文以其他 方式清楚地指示其他情况。

包括摘要所描述的内容在内的对所示特定实施例的前面的描述不希望 是排他的或者将本发明限制到这里所公开的精确形式。如相关领域的普通 技术人员将认识并理解到的，虽然仅仅为了说明的目的而在这里描述了本 发明的具体的特定实施例和示例，然而精神和范围内的各种等同修改也是 可能的。如所指示的，这些修改可以是根据所示特定实施例的前面描述来 对本发明作出的，并且将包括在精神和范围之内。

因此，虽然在这里参考本发明的特定实施例描述了本发明，然而，修 改、各种改变和替代的自由被计划在前面的公开中，并且将会理解，在一 些实例中，在不脱离所阐述的范围和精神的情况下，将采用特定实施例的 一些特征而不相应地使用其它特征。因此，可以作出许多修改以使特定情 形或材料适于实质的范围和精神。希望本发明不限于在下面的权利要求书 中使用的特定术语和/或作为被构想来执行本发明的最佳实施方式来公开的 特定实施例，而是本发明将包括落在所附权利要求的范围内的任何以及所 有特定实施例和等同物。