[发明专利]经由AAA策略数据库将非准许移动接入（UMA）用户列入黑名单

说明书

技术领域

特定实施例一般涉及网络和安全。

背景技术

移动节点通过连接到接入设备可以接入数据网络。建立因特网协议 (IP)内的安全隧道来与移动节点通信。在建立安全隧道之前，通过认 证、授权和计费(AAA)域将移动节点认证到归属位置寄存器(HLR) 中。HLR是包括被授权使用网络的每个移动节点和订户的细节的中央数据 库。

当从移动节点检测到恶意攻击时，接入设备可以终止与该移动节点的 会话。在此情况下，安全隧道可能被断开。这使得移动节点从网络断开连 接。然而，移动节点可以立即尝试重新连接到网络。这是可能发生的，因 为移动节点正在恶意行动或者可能因病毒而是无意的。移动节点可能通过 AAA域被HLR再次认证。允许潜在的恶意移动节点重新连接到网络是不 希望的。这将HLR暴露给了作为恶意设备/应用的潜在的诸如病毒或蠕虫 之类的拒绝服务(DoS)攻击。HLR是网络中最贵重的节点之一。一个原 因在于HLR维护订户的个人信息。允许请求联系HLR将HLR暴露给潜在 DoS攻击。而且，处理向HLR的请求是昂贵的，因此，让恶意请求联系 HLR可能给服务提供商招致不必要的费用。

发明内容

根据本发明的一个方面，公开了一种方法，包括：在认证服务器处从 接入设备接收移动节点的接入网络的请求；将所述请求从所述认证服务器 发送给归属位置寄存器HLR，其中所述归属位置寄存器是中央数据库，所 述中央数据库具有所述移动节点和与移动节点相关的用户的细节；从所述 归属位置寄存器接收应答，所述应答指示所述移动节点是否通过经由所述 接入设备接入所述网络的认证，其中，如果所述移动节点通过认证，则所 述移动节点被准予接入所述网络；利用元件来检测所述移动节点在所述网 络中的恶意行为；基于对所述移动节点在所述网络中的恶意行为的检测， 利用所述元件来识别所述移动节点的安全性问题；基于所述元件对所述移 动节点的安全性问题的识别来终止所述移动节点对所述网络的接入；因与 所述移动节点相关联的安全性问题，在所述移动节点对所述网络的接入被 终止后，向所述认证服务器处的黑名单添加所述移动节点的标识信息，从 而将所述移动节点置于所述黑名单中，所述黑名单位于所述认证服务器处 并且与所述中央数据库分开；以及在被列入所述黑名单的移动节点接入所 述网络的后续请求被路由到所述HLR之前在所述认证服务器处拒绝所述 后续请求。

附图说明

图1示出了用于提供黑名单的系统的一个示例。

图2示出了用于认证移动节点的方法的一个示例。

图3示出了用于处理安全性问题的方法的一个示例。

图4示出了用于处理后续请求的方法的一个示例。

图5是UMA网络的一个示例。

图6示出了可以用来提供黑名单的另一网络的另一示例。

图7示出了接入网关和AAA服务器的更详细示例。

具体实施方式

概述

在一个实施例中，认证服务器从设备接收接入网络的请求。认证服务 器将请求发送到归属位置寄存器(HLR)。HLR可以辅助对设备的认证。 认证服务器从HLR接收指示设备是否通过了接入网络的认证的应答，并 且如果设备已通过认证，则准予设备接入网络。例如，可以在该设备与接 入设备之间建立安全隧道。

当连接到网络时，安全性问题可以被检测并与该设备相关联。例如， 可能判定设备行为不端。在一些情况中，设备可能由于安全性问题被置于 黑名单中。黑名单是用来在设备尝试连接时针对该设备拒绝服务的列表。 可选地，将设备被拒绝服务的时间段包括在黑名单中。因此，将设备从网 络断开连接；例如，认证服务器可以触发安全隧道的断开。设备的标识信 息被添加到认证服务器处的黑名单中。如果设备尝试重新连接到网络，则 请求在认证服务器处被接收。然后，认证服务器可以检查黑名单，并且如 果设备的标识信息在黑名单上则拒绝接入网络的请求。这种拒绝是在不用 向HLR发送请求的情况下确定的。因此，HLR被保护，这是因为来自可 能被认为有安全性问题的设备的请求不被发送到HLR。此外，发送到 HLR的请求可能较昂贵，因此，通过不发送已被列入黑名单的设备的请求 来节省费用。

示例实施例