[发明专利]全网屏蔽的管理方法和系统

说明书

技术领域

本发明涉及移动通讯领域和互联网领域，涉及一种全网屏蔽的管理方法和系统。

背景技术

由于各种各样的原因，网络管理者需要对特定用户进行屏蔽，禁止其接入网络或者在网络上发布信息。

目前用户屏蔽技术基本上有如下几类：

IP地址类屏蔽，如黑名单技术，一台防火墙或者其它安全网关设备定义好需要屏蔽的IP地址，当该IP地址试图访问其它地址时，防火墙或者其它安全网关设备检测到该地址，便将其丢弃。这是地址类的用户屏蔽。

账号类屏蔽，分接入帐号屏蔽和业务帐号屏蔽。

接入帐号屏蔽是指用户填写用户名和密码之后，希望通过接入认证，获取IP地址。而接入认证服务器发现该帐号已被屏蔽，将对该用户的接入认证请求作驳回处理。如用户通过PPPOE认证，发送用户名和密码到认证服务器之后，认证服务器发现该用户是被屏蔽用户，则拒绝该认证请求。

业务帐号屏蔽是指用户在填写用户和密码之后，希望进入某服务器进行业务操作，如登录BBS论坛发言，BBS服务器发现该用户帐号应该被屏蔽，则禁止用户登录，该用户就无法在论坛上发言。

在以上的用户屏蔽技术中，防火墙或者安全网关上的黑名单技术简单有效，但是其作用范围仅仅限于防火墙或者安全网关的单点防护，用户只要改变IP地址，便可以绕过防火墙或者安全网关的黑名单检查。

帐号类用户屏蔽技术，可以解决用户改变IP或者改变接入方式的情况下用相同的用户名和帐户登录的问题。意味着用户将无法再使用该帐户，无论是用何种接入方式。

总结来说，目前的用户屏蔽技术无法解决以下问题：

1、无法解决用户更换IP地址绕过黑名单检查的问题；

2、无法控制控制用户采用不同的帐户进行登录而绕过服务器对用户帐户屏蔽的问题；

3、无法在全网进行用户屏蔽，上述两种用户屏蔽技术作用范围小。

发明内容

本发明要解决的技术问题是，提供一种全网屏蔽的管理方法和系统，以实现全网屏蔽。

为解决以上技术问题，本发明提供一种全网屏蔽管理方法，该方法基于用户身份和位置分离网络实现，全网屏蔽的实现方法包括：

认证中心(AC)将终端的身份标识(AID)设置为屏蔽状态；

所述AC从身份标识和位置登记寄存器(ILR)获取所述AID对应的位置标识(RID)；

所述AC根据获取的RID向对应的接入服务器(ASN)发送AID屏蔽命令；

所述ASN接收所述AC的屏蔽命令，解除所述AID的附着。

进一步地，所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。

进一步地，所述AC将所述AID设置为屏蔽状态时，同时设置所述AID屏蔽的老化时间，老化时间到达时，所述AC解除对所述AID的屏蔽。

进一步地，所述AC通过向所述ILR发送查询请求获取所述ILR返回的对应RID，所述ILR同时删除所述AID与RID的映射关系。

进一步地，在终端进行接入认证时，认证中心(AC)判断所述终端的身份标识(AID)是否为屏蔽状态，若所述终端的AID为屏蔽状态，则拒绝所述终端接入，否则允许接入。

为解决以上技术问题，本发明还提供了一种全网屏蔽管理系统，该系统基于用户身份和位置分离网络实现，包括：

认证中心(AC)包括相连接的屏蔽管理模块及屏蔽处理模块，其中，所述屏蔽管理模块用于将终端的身份标识(AID)设置为屏蔽状态，所述屏蔽处理模块用于从身份标识和位置登记寄存器(ILR)获取屏蔽状态的AID对应的位置标识(RID)，还用于向所述RID对应的ASN发送屏蔽命令；

身份标识和位置登记寄存器(ILR)，与所述AC通过网络连接，用于保存AID和RID的映射关系，以及向所述认证中心提供所述映射关系；

接入服务器(ASN)，与所述AC和ILR通过网络连接，用于根据所述AC的命令解除所述AID的附着。

进一步地，所述AC根据配置需要或检测设备的检测结果将所述AID设置为屏蔽状态。

进一步地，所述AC的屏蔽管理模块将所述AID设置为屏蔽状态时，还用于设置所述AID屏蔽的老化时间，以及老化时间到达时，将所述AID设置为非屏蔽状态。

进一步地，所述AC的屏蔽处理模块通过向所述ILR发送查询请求获取所述ILR返回的对应RID，所述ILR还用于删除所述AID与RID的映射关系。