專利名稱:安全接入互聯(lián)網(wǎng)業(yè)務(wù)的方法����、用戶設(shè)備和分組接入網(wǎng)關(guān)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信技術(shù)領(lǐng)域,尤其涉及一種安全接入互聯(lián)網(wǎng)業(yè)務(wù)的方法����。
背景技術(shù):
互聯(lián)網(wǎng)已經(jīng)廣泛應(yīng)用,取得了巨大的成功�,而且隨著高速移動分組網(wǎng)絡(luò)廣泛部署�����,智能移動終端的普及�����,互聯(lián)網(wǎng)業(yè)務(wù)將更加豐富化。圖1示出了互聯(lián)網(wǎng)接入的示意圖�,對于圖1中各實體的說明如下用戶設(shè)備101 (User Equipment,簡稱UE),位于用戶側(cè),支持互聯(lián)網(wǎng)協(xié)議(InternetProtocol,簡稱IP)����,如果采用身份位置分離技術(shù),UE使用用戶接入身份標(biāo)識代替IP地址��,接入互聯(lián)網(wǎng)��,同網(wǎng)絡(luò)其他用戶設(shè)備�、業(yè)務(wù)提供進(jìn)行通信。接入控制功能102 (Access Control Function,簡稱ACF),是UE 101所在接入網(wǎng)的控制設(shè)備�����,通過與UE 101���、用戶數(shù)據(jù)服務(wù)器/認(rèn)證服務(wù)器104之間的交互��,完成UE 101的認(rèn)證鑒權(quán)�����、移動性管理��、業(yè)務(wù)控制等功能���。分組接入網(wǎng)關(guān)103 (Packet Access Gateway,簡稱PAG),是UE 101所在的接入網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的接口設(shè)備����,負(fù)責(zé)IP地址分配��,與UE 101之間的數(shù)據(jù)連接會話管理以及數(shù)據(jù)通道的建立��,分組數(shù)據(jù)包的接收���、轉(zhuǎn)發(fā)等功能��,并可根據(jù)策略控制服務(wù)器105下發(fā)的控制策略或本地配置的策略對數(shù)據(jù)包進(jìn)行處理和控制�����;如果采用身份位置分離技術(shù)�����,還會涉及身份標(biāo)識的管理�、映射等功能��。用戶數(shù)據(jù)和認(rèn)證服務(wù)器104(Use r Profile and Authentication Server,簡稱UPAS)���,保存有用戶的簽約數(shù)據(jù)��、認(rèn)證數(shù)據(jù)�,為UE 101提供安全接入認(rèn)證功能以及用戶簽約數(shù)據(jù)�。策略控制服務(wù)器105 (Policy Control Server,簡稱PCS),根據(jù)UE 101請求的業(yè)務(wù)特性以及用戶簽約、運(yùn)營商策略�����,生成會話控制策略��,并下發(fā)給PAG 103 �;應(yīng)用服務(wù)器106 (Application Server,簡稱AS),位于互聯(lián)網(wǎng),為UE 101互聯(lián)網(wǎng)應(yīng)用���。上述PCS下發(fā)給PAG的控制策略或本地配置的控制策略包括會話鑒權(quán)信息(即是否允許建立會話)����、數(shù)據(jù)包門控信息(即是否允許數(shù)據(jù)包通過)���、訪問控制列表��、服務(wù)質(zhì)量信息�、計費(fèi)信息等。當(dāng)UE使用互聯(lián)網(wǎng)業(yè)務(wù)�,通過PAG發(fā)送上行數(shù)據(jù)包,或PAG接收到發(fā)送給UE的下行數(shù)據(jù)包�����,PAG會根據(jù)控制策略對上行數(shù)據(jù)包或下行數(shù)據(jù)包進(jìn)行處理�����。 現(xiàn)有技術(shù)中�����,尤其是移動終端接入互聯(lián)網(wǎng)�,控制策略對用戶使用IP接入會話可能帶來的安全問題考慮得還比較少,目前只能做到根據(jù)訪問控制列表數(shù)據(jù)包進(jìn)行過濾��。數(shù)據(jù)訪問控制列表包括黑名單和白名單�����,當(dāng)數(shù)據(jù)包特性(一般使用源IP地址、源端口��、目的IP地址��、目的端口����、通訊協(xié)議中的部分要素或全部要素表征)與黑名單匹配�,則丟棄數(shù)據(jù)包,如果與白名單匹配�����,則轉(zhuǎn)發(fā)數(shù)據(jù)包���,也可以將應(yīng)用層的特性加入策略中��,如應(yīng)用層協(xié)議類型�����、傳送內(nèi)容等����。上述控制方式比較簡單,在實現(xiàn)策略控制過程中�,用戶沒有直接參與,無法滿足有些安全級別比較高的業(yè)務(wù)的需求�����。例如IP多媒體子系統(tǒng)(IP Multimedia Subsystem,簡稱頂S)����、即時通訊、小額支付����、虛擬社區(qū)等,使用用戶的IP地址或身份標(biāo)識來標(biāo)識用戶身份���,并派生業(yè)務(wù)�,這樣在當(dāng)用戶的用戶設(shè)備被其他人使用���,由于現(xiàn)有的保護(hù)機(jī)制比較簡單����,使用者就可以隨意使用該用戶設(shè)備進(jìn)行上述業(yè)務(wù),對用戶安全性和隱私都造成極大的威脅����。從上述分析可以看出,由于當(dāng)前技術(shù)沒有考慮用戶使用互聯(lián)網(wǎng)接入的安全問題��,可能會導(dǎo)致互聯(lián)網(wǎng)接入和業(yè)務(wù)應(yīng)用安全問題����、以及隱私問題�,因此需要采用新技術(shù)提高互聯(lián)網(wǎng)接入安全,提供更多樣的安全服務(wù)�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供ー種安全接入互聯(lián)網(wǎng)業(yè)務(wù)的方法,在分組接入網(wǎng)解決當(dāng)前技術(shù)沒有考慮用戶訪問特定目標(biāo)應(yīng)用時的控制問題�����。為解決上述技術(shù)問題���,本發(fā)明提供了ー種安全接入互聯(lián)網(wǎng)業(yè)務(wù)的方法���,用戶設(shè)備(UE)成功接入互聯(lián)網(wǎng)后,當(dāng)要訪問某個目標(biāo)應(yīng)用時���,所述方法包括安全接入身份號(SAIN)檢查點(diǎn)根據(jù)SAIN檢查策略檢查針對所述目標(biāo)應(yīng)用的業(yè)務(wù)請求��,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查�,則由UE提示用戶輸入SAIN ;所述SAIN檢查點(diǎn)判斷如果輸入的SAIN結(jié)果正確��,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求����,如果輸入的SAIN結(jié)果不正確,則拒絕所述業(yè)務(wù)請求���。進(jìn)ー步地�����,所述SAIN檢查點(diǎn)包括UE或分組接入網(wǎng)關(guān)(PAG)�。進(jìn)ー步地�,所述SAIN檢查點(diǎn)為UE時,所述SAIN檢查策略是在UE上靜態(tài)配置的�;或由UE主動從網(wǎng)絡(luò)獲取的;或由網(wǎng)絡(luò)側(cè)發(fā)送給UE的�。進(jìn)ー步地,所述S AIN檢查策略由UE主動從網(wǎng)絡(luò)獲取����,包括所述UE主動向SAIN檢查策略控制功能(SPCF)實體請求SAIN檢查策略�,SPCF將保存的SAIN檢查策略下發(fā)給U E�����。進(jìn)ー步地����,所述SAIN檢查策略由網(wǎng)絡(luò)側(cè)發(fā)送給UE’包括SAIN檢查策略控制功能(SPCF)實體通過設(shè)備管理協(xié)議主動將所述SAIN檢查策略發(fā)送給UE ;或者在數(shù)據(jù)連接會話建立過程中,PAG將SAIN檢查策略傳送給UE��。進(jìn)ー步地�,所述SAIN檢查點(diǎn)為PAG時���,所述SAIN檢查策略是在PAG上靜態(tài)配置的����;或由用戶數(shù)據(jù)和認(rèn)證服務(wù)器(UPAS)通過接入控制功能(ACF)實體下發(fā)給PAG的���;或由SPCF發(fā)送給PAG的�����。進(jìn)ー步地����,所述SAIN檢查策略由UPAS通過ACF下發(fā)給PAG,包括所述UPAS在位置更新過程中將所述SAIN檢查策略置于用戶簽約數(shù)據(jù)中發(fā)送給ACF,所述ACF在數(shù)據(jù)連接會話建立過程中將所述SAIN檢查策略發(fā)送給PAG���。進(jìn)ー步地��,所述SAIN檢查策略由SPCF發(fā)送給PAG����,包括所述SPCF在數(shù)據(jù)連接會話建立過程中將SAIN檢查策略發(fā)送給PAG��。進(jìn)ー步地��,所述SAIN檢查點(diǎn)轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求后�,所述方法還包括所述SAIN檢查點(diǎn)在接收到所述目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后,不再進(jìn)行SAIN檢查����,直接進(jìn)行轉(zhuǎn)發(fā)處理。進(jìn)ー步地���,所述SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略�����,其中所述數(shù)據(jù)特征包括IP數(shù)據(jù)包特征�,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征,所述執(zhí)行策略包括是否需要執(zhí)行SAIN檢查�����,以及SAIN檢查所需要的參數(shù)���。進(jìn)ー步地,所述SAIN檢查所需要的參數(shù)包括以下參數(shù)的ー種或幾種SAIN驗證參數(shù)��、SAIN輸入次數(shù)�����、SAIN驗證有效期。為解決上述技術(shù)問題���,本發(fā)明還提供了一種實現(xiàn)安全接入互聯(lián)網(wǎng)業(yè)務(wù)的用戶設(shè)備(UE)����,包括應(yīng)用層模塊����、SAIN檢查模塊和SAIN輸入模塊�����,其中所述應(yīng)用層模塊�,用于發(fā)送針對目標(biāo)應(yīng)用的業(yè)務(wù)請求�;所述SAIN檢查模塊,用于作為安全接入身份號(SAIN)檢查點(diǎn)�,根據(jù)SAIN檢查策略檢查所述應(yīng)用層模塊發(fā)送的業(yè)務(wù)請求,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查�����,則通過SAIN輸入模塊提示用戶輸入SAIN�,并判斷用戶輸入的SAIN結(jié)果是否正確,如果正確�����,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求��,如果不正確�,則拒絕所述業(yè)務(wù)請求;所述SAIN輸入模塊,用于提不用戶輸入SAIN,并將輸入結(jié)果返回給SAIN檢查模塊��。進(jìn)ー步地,所述SAIN檢查模塊為獨(dú)立模塊�����,或是`傳輸路由協(xié)議棧模塊中的子模塊����。進(jìn)ー步地,所述SAIN檢查模塊還用于在轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求后�����,在接收到所述目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后�����,不再進(jìn)行SAIN檢查���,直接進(jìn)行轉(zhuǎn)發(fā)處理�。進(jìn)ー步地����,所述UE還包括SAIN檢查策略模塊��,用于保存預(yù)先配置的SAIN檢查策略,或者用于主動向網(wǎng)絡(luò)獲取SAIN檢查策略����,或者用于接收網(wǎng)絡(luò)側(cè)發(fā)送的SAIN檢查策略。進(jìn)ー步地��,所述SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略���,其中所述數(shù)據(jù)特征包括IP數(shù)據(jù)包特征����,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征��,所述執(zhí)行策略包括是否需要執(zhí)行SAIN檢查�����,以及SAIN檢查所需要的參數(shù)�����。進(jìn)ー步地,所述SAIN檢查所需要的參數(shù)包括以下參數(shù)的ー種或幾種SAIN驗證參數(shù)����、SAIN輸入次數(shù)��、SAIN驗證有效期�。為解決上述技術(shù)問題��,本發(fā)明還提供了一種實現(xiàn)安全接入互聯(lián)網(wǎng)業(yè)務(wù)的分組接入網(wǎng)關(guān)(PAG)����,包括接收模塊,第一判斷模塊和第二判斷模塊��,其中所述接收模塊�����,用于接收UE發(fā)送的針對某目標(biāo)應(yīng)用的業(yè)務(wù)請求�,以及用于接收所述UE發(fā)送的用戶輸入的SAIN結(jié)果;所述第一判斷模塊�����,用于根據(jù)SAIN檢查策略檢查所述業(yè)務(wù)請求�����,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查�,則通知UE提示用戶輸入SAIN ;所述第二判斷模塊�,用于判斷如果輸入的SAIN結(jié)果正確,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求�����,如果輸入的SAIN不正確����,則拒絕所述業(yè)務(wù)請求。進(jìn)ー步地����,所述第一判斷模塊還用于在所述第二判斷模塊轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求后,在接收到所述目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后��,不再進(jìn)行SAIN檢查��,直接進(jìn)行轉(zhuǎn)發(fā)處理����。進(jìn)ー步地,所述PAG還包括SAIN檢查策略模塊���,其用于保存預(yù)先配置的SAIN檢查策略�����;或用于接收用戶數(shù)據(jù)和認(rèn)證服務(wù)器(UPAS)通過接入控制功能(ACF)實體發(fā)送的或SAIN檢查策略控制功能(SPCF)發(fā)送的SAIN檢查策略����。進(jìn)ー步地,所述SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略�,其中所述數(shù)據(jù)特征包括IP數(shù)據(jù)包特征,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征�,所述執(zhí)行策略包括是否需要執(zhí)行SAIN檢查,以及SAIN檢查所需要的參數(shù)�����。進(jìn)ー步地,所述SAIN檢查所需要的參數(shù)包括以下參數(shù)的ー種或幾種SAIN驗證參數(shù)�、SAIN輸入次數(shù)、SAIN驗證有效期����。本發(fā)明通過引入SAIN,對目標(biāo)互聯(lián)網(wǎng)應(yīng)用對應(yīng)的數(shù)據(jù)流安全檢查和保護(hù)�����,從而提高了互聯(lián)網(wǎng)應(yīng)用接入安全性,尤其是針對以用戶標(biāo)識方式接入互聯(lián)網(wǎng)的場景�����。比如�����,用戶在訪問網(wǎng)上銀行等安全性比較高業(yè)務(wù)時����,分組接入網(wǎng)主動對用戶再次認(rèn)證��,可以加強(qiáng)使用業(yè)務(wù)的安全性�����;又如本機(jī)用戶在訪問某些內(nèi)容敏感網(wǎng)站時��,如果能在分組接入網(wǎng)就和主動對用戶的訪問進(jìn)行認(rèn)證�,只有認(rèn)證通過的才能訪問,這樣就可以有效防止非本機(jī)用戶(如兒童)使用該用戶設(shè)備隨意訪問這類網(wǎng)絡(luò)����。
圖1示出了互聯(lián)網(wǎng)接入的示意圖;圖2是本發(fā)明應(yīng)用示例的基于流使用SAIN保護(hù)互聯(lián)網(wǎng)業(yè)務(wù)安全的結(jié)構(gòu)圖;圖3是本發(fā)明應(yīng)用示例的使用SAIN保護(hù)業(yè)務(wù)訪問的流程圖�;圖4是本發(fā)明應(yīng)用示例的網(wǎng)絡(luò)檢查方式流程圖;圖5是本發(fā)明應(yīng)用示例的從UPAS獲取SAIN檢查策略的流程�����;圖6是本發(fā)明應(yīng)用示例的從SPCF獲取SAIN檢查策略的流程���;圖7是本發(fā)明應(yīng)用示 例的UE檢查方式的流程圖��;圖8是本發(fā)明應(yīng)用示例的UE結(jié)構(gòu)示意圖��;圖9是本發(fā)明應(yīng)用示例的PAG結(jié)構(gòu)示意圖����。
具體實施例方式為了能滿足用戶安全使用互聯(lián)網(wǎng)接入的需求���,本發(fā)明引入了安全接入身份號(Security Access Identification Number,簡稱 SAIN)�,SAIN 可以是一串可讀的字符串�����,由數(shù)字�、英文字母以及ー些可讀的符號(如“*”�����、“�����!”等)組成��。根據(jù)安全需要,在UE側(cè)或網(wǎng)絡(luò)側(cè)設(shè)置SAIN檢查策略�����,當(dāng)用戶使用互聯(lián)網(wǎng)業(yè)務(wù)吋���,UE或分組接入網(wǎng)絡(luò)等SAIN檢查點(diǎn)根據(jù)SAIN檢查策略檢查用戶的業(yè)務(wù)請求����,當(dāng)發(fā)現(xiàn)用戶訪問特定的目標(biāo)應(yīng)用時即該業(yè)務(wù)請求對應(yīng)的數(shù)據(jù)流需要使用SAIN保護(hù)時�,要求用戶在用戶設(shè)備上輸入SAIN,只有用戶輸入的SAIN正確時���,SAIN檢查點(diǎn)才允許該用戶設(shè)備訪問所述目標(biāo)應(yīng)用����。通過這種方式,在接入層面提高互聯(lián)網(wǎng)接入業(yè)務(wù)的安全性���。圖2是本發(fā)明應(yīng)用示例的基于流使用SAIN保護(hù)互聯(lián)網(wǎng)業(yè)務(wù)安全的結(jié)構(gòu)圖�����,在圖1的基礎(chǔ)上增加了 SAIN檢查策略控制功能(SAIN Policy Control Function,簡稱SPCF),相對于圖1中各實體功能或功能增強(qiáng)說明如下UE 201�,在UE作為SAIN檢查點(diǎn)時����,支持SAIN檢查策略獲取功能和SAIN輸入功能,根據(jù)檢查策略對應(yīng)用層的業(yè)務(wù)請求進(jìn)行檢查以及SAIN輸入結(jié)果的驗證��,并進(jìn)一歩根據(jù)驗證結(jié)果對所述應(yīng)用的數(shù)據(jù)流執(zhí)行控制功能�����;在PAG作為檢查點(diǎn)時����,根據(jù)PAG指示執(zhí)行SAIN輸入功能以及傳送功能;ACF 202�,在從UPAS獲取SAIN檢查策略的場景中��,從UPAS中獲取SAIN檢查策略�,并在連接會話建立過程中傳送給PAG ��;
PAG 203����,支持SAIN檢查策略獲取功能,在UE作為SAIN檢查點(diǎn)時�,將SAIN檢查策略下發(fā)給UE,在PAG作為SAIN檢查點(diǎn)時,根據(jù)檢查策略對應(yīng)用層的業(yè)務(wù)請求數(shù)據(jù)包進(jìn)行檢查以及SAIN驗證功能���,并進(jìn)一歩根據(jù)驗證結(jié)果對所述應(yīng)用的數(shù)據(jù)流執(zhí)行控制功能;UPAS 204�����,在從UPAS獲取SAIN檢查策略的場景中�,保存SAIN檢查策略,并下載給ACF �;SPCF 207,保存用戶的SAIN檢查簽約策略�����,并根據(jù)PAG提供的數(shù)據(jù)連接的會話信息以及運(yùn)營商策略生成SAIN檢查策略,下發(fā)給PAG���,SPCF可以作為単獨(dú)的實體����,也可以是資源控制服務(wù)器中的ー個功能�����。UE與PAG的具體功能描述參見后續(xù)圖8���、圖9及相應(yīng)描述�����。圖3是本發(fā)明應(yīng)用示例的使用SAIN保護(hù)業(yè)務(wù)訪問的流程圖�,用戶已經(jīng)通過分組接入網(wǎng)成功接入互聯(lián)網(wǎng)��,當(dāng)用戶需要訪問某個目標(biāo)應(yīng)用時��,比如網(wǎng)上銀行網(wǎng)站提供的支付業(yè)務(wù)�,具體流程包括以下步驟301、UE發(fā)送針對該目標(biāo)應(yīng)用的業(yè)務(wù)請求�����;該業(yè)務(wù)請求是目的地址為提 供該目標(biāo)應(yīng)用的主機(jī)IP地址的IP數(shù)據(jù)包,其中包含具體的目標(biāo)應(yīng)用業(yè)務(wù)請求內(nèi)容���; SAIN檢查點(diǎn)包括UE或網(wǎng)絡(luò)側(cè)(例如PAG)���。如果SAIN檢查點(diǎn)為UE’則當(dāng)UE將目標(biāo)應(yīng)用業(yè)務(wù)請求數(shù)據(jù)發(fā)送給UE的傳輸路由協(xié)議棧層(模塊)時觸發(fā)SAIN策略檢測,具體檢查點(diǎn)的實現(xiàn)可以是單獨(dú)模塊�����,或是傳輸路由協(xié)議棧層(模塊)的子模塊����;如果SAIN檢查點(diǎn)在網(wǎng)絡(luò)側(cè)(例如PAG),則在PAG收到UE發(fā)送的攜帶目標(biāo)業(yè)務(wù)請求的數(shù)據(jù)包時觸發(fā)SAIN策略檢測�。后續(xù)將目標(biāo)應(yīng)用業(yè)務(wù)請求內(nèi)容和攜帯目標(biāo)應(yīng)用業(yè)務(wù)請求的數(shù)據(jù)包統(tǒng)稱為目標(biāo)應(yīng)用業(yè)務(wù)請求或業(yè)務(wù)請求�。302、UE或PAG等SAIN檢查點(diǎn)根據(jù)SAIN檢查策略檢查該目標(biāo)應(yīng)用的業(yè)務(wù)請求�����;這里的SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略�����。數(shù)據(jù)特征可以用IP數(shù)據(jù)包特征,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征標(biāo)識�。其中IP數(shù)據(jù)包特征包括IP數(shù)據(jù)包五元組全部或部分特征,IP數(shù)據(jù)包五元組包括源IP��、源端ロ��、目的IP����、目的端口和通訊協(xié)議;業(yè)務(wù)請求應(yīng)用層特征指應(yīng)用層中攜帯的全部或部分特征����,例如包括應(yīng)用層協(xié)議(如使用超文本傳輸協(xié)議、文件傳輸協(xié)議等)�、主機(jī)標(biāo)識、請求參數(shù)�����、消息體報文等應(yīng)用層信息���。當(dāng)SAIN檢查點(diǎn)在UE側(cè)時����,SAIN檢查策略可以是靜態(tài)配置在UE ;或UE主動從網(wǎng)絡(luò)獲取的;或網(wǎng)絡(luò)側(cè)發(fā)送給UE的��,例如網(wǎng)絡(luò)側(cè)通過設(shè)備管理協(xié)議發(fā)送給UE�,或在數(shù)據(jù)連接會話建立過程中,PAG將SAIN檢查策略傳送給UE���。當(dāng)SAIN檢查點(diǎn)在網(wǎng)絡(luò)側(cè)(如PAG)時�����,SAIN檢查策略可以是在PAG靜態(tài)配置的�����;或由UPAS通過ACF下發(fā)給PAG ;或PAG從SPCF中獲取的�����,例如在數(shù)據(jù)連接會話建立過程中,由SPCF將SAIN檢查策略下發(fā)給PAG����。執(zhí)行策略指當(dāng)數(shù)據(jù)特征匹配時需要執(zhí)行的動作��,包括是否需要執(zhí)行SAIN檢查���,以及SAIN檢查所需要的參數(shù),包括以下參數(shù)的ー種或幾種SAIN驗證參數(shù)、SAIN輸入次數(shù)����、SAIN驗證有效期等。其中SAIN驗證參數(shù)用來比對用戶輸入的SAIN是否正確的身份碼����,可以是用戶設(shè)置的SAIN碼,也可以由用戶設(shè)置的SAIN碼通過特定算法生成的驗證值�,比如將用戶設(shè)置的SAIN與UE和網(wǎng)絡(luò)共享的密鑰進(jìn)行散列函數(shù)計算得到的驗證結(jié)果;
SAIN輸入次數(shù)用戶可以連續(xù)錯誤輸入SAIN的最大次數(shù)�,如果用戶連續(xù)輸入錯誤次數(shù)超過該設(shè)定值,則拒絕用戶繼續(xù)輸入����;SAIN驗證有效期一次驗證通過可連續(xù)該業(yè)務(wù)訪問的最大時長,如果超過該時長�����,需要用戶重新輸入SAIN。在其他實施例中��,該SAIN檢查所需要的參數(shù)也可以是其他需要的參數(shù)����。303、SAIN檢查點(diǎn)UE或PAG根據(jù)SAIN檢查策略判斷所述目標(biāo)應(yīng)用的業(yè)務(wù)請求是否需要SAIN檢查�����,如果需要��,則執(zhí)行步驟304��,否則直接執(zhí)行步驟306 �����;根據(jù)檢查策略的不同��,可以只是匹配IP數(shù)據(jù)包特征���,也可以做深度包檢查�,匹配應(yīng)用層面的內(nèi)容��,由于匹配應(yīng)用層面的開銷比較大,主要是以前者為主�。304�����、由UE提示用戶輸入SAIN���,用戶在UE上輸入SAIN ��;如果SAIN檢查點(diǎn)為UE’則UE直接在本地檢查SAIN ;如果SAIN檢查點(diǎn)為PAG����,則UE將用戶的輸入結(jié)果發(fā)送給PAG��,由PAG進(jìn)行檢查�����。在此期間�,SAIN檢查點(diǎn)(UE傳輸路由協(xié)議棧層或PAG)緩存所述目標(biāo)應(yīng)用業(yè)務(wù)請求。305���、SAIN檢查點(diǎn)驗證用戶輸入的SAIN���,如果正確���,執(zhí)行步驟307,否則執(zhí)行步驟306 �����;306�、SAIN檢查點(diǎn)UE或PAG拒絕用戶的業(yè)務(wù)請求,或者跳轉(zhuǎn)到步驟304�,提示用戶繼續(xù)輸入SAIN ;307�����、SAIN檢查點(diǎn)UE或PAG接受該業(yè)務(wù)請求����,執(zhí)行后續(xù)轉(zhuǎn)發(fā)動作;
SAIN檢查點(diǎn)UE或PAG在接受業(yè)務(wù)請求后��,將步驟304緩存的業(yè)務(wù)請求轉(zhuǎn)發(fā)出去�����;如果SAIN檢查點(diǎn)為UE’則UE將該業(yè)務(wù)請求轉(zhuǎn)發(fā)至PAG ;如果SAIN檢查點(diǎn)為PAG,則PAG將該業(yè)務(wù)請求轉(zhuǎn)發(fā)至該目標(biāo)應(yīng)用對應(yīng)的應(yīng)用服務(wù)器�。對該目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包,UE或PAG在SAIN檢查有效期內(nèi)不再進(jìn)行SAIN檢查�����,直接進(jìn)行發(fā)送處理����;在本文中將目標(biāo)應(yīng)用對應(yīng)的連續(xù)的數(shù)據(jù)包稱為數(shù)據(jù)流���,此類業(yè)務(wù)稱為基于流的互聯(lián)網(wǎng)業(yè)務(wù)�����。通過上述流程����,通過在分組接入層設(shè)置SAIN檢查策略�,要求對用戶特定的應(yīng)用的訪問使用SAIN進(jìn)行驗證,只用驗證通過���,才能使用所述業(yè)務(wù)�����,從而從接入層面提高了互聯(lián)網(wǎng)業(yè)務(wù)接入的安全性���,并且在技術(shù)實現(xiàn)方案上做到與應(yīng)用無關(guān)性�,從而使該方法具有較好的靈活性和可擴(kuò)展性����。為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�,下文中將結(jié)合附圖對本發(fā)明的實施例進(jìn)行詳細(xì)說明。需要說明的是��,在不沖突的情況下����,本申請中的實施例及實施例中的特征可以相互任意組合。圖4是本發(fā)明應(yīng)用示例的網(wǎng)絡(luò)檢查方式流程圖����。網(wǎng)絡(luò)檢查方式指SAIN檢查策略的執(zhí)行點(diǎn)在網(wǎng)絡(luò)側(cè),本實施例中為PAG�,SAIN檢查策略可以是在PAG直接配置,也可以由SPCF或UPAS在用戶數(shù)據(jù)連接會話建立過程中發(fā)給PAG。步驟401���、UE根據(jù)業(yè)務(wù)層請求�����,調(diào)用分組接入附著過程�,附著到分組接入網(wǎng)����;步驟402����、UE執(zhí)行數(shù)據(jù)連接會話建立過程,向ACF發(fā)送數(shù)據(jù)連接會話建立請求�����,ACF接收用戶請求���,選擇PAG�����,井向PAG發(fā)送數(shù)據(jù)連接請求�,請求為用戶建立數(shù)據(jù)連接通道;步驟403����、PAG獲取與該用戶有關(guān)的SAIN檢查策略,具體獲取方式包括
I)在PAG本地配置���;2)在UPAS配置���,當(dāng)用戶附著時由ACF從UPAS獲取,并插入數(shù)據(jù)連接會話建立請求中發(fā)送給PAG�����,也可以采用ACF與PAG之間的專門消息發(fā)送���,具體實施方式
見圖5流程�����;3)設(shè)置專門的SAIN檢查策略控制功能(SAIN Policy Control Function��,簡稱SPCF)����,當(dāng)PAG建立數(shù)據(jù)連接會話時從SPCF下載,具體實施方式
見圖6流程�����。PAG獲取SAIN檢查策略的步驟也可不在此時執(zhí)行���,只要PAG在進(jìn)行SAIN驗證判斷之前獲取到即可�。步驟404����、PAG通過ACF向UE返回數(shù)據(jù)連接會話建立響應(yīng),建立UE和PAG之間數(shù)據(jù)連接通道�����;至此用戶可以使用互聯(lián)網(wǎng)業(yè)務(wù)�,UE發(fā)送的上行數(shù)據(jù)包和由PAG發(fā)送給UE的下行數(shù)據(jù)包都通過該數(shù)據(jù)連接通道傳遞���。步驟405���、當(dāng)用戶請求業(yè)務(wù)吋,UE通過與PAG之間的數(shù)據(jù)連接通道向目的應(yīng)用服務(wù)器發(fā)送業(yè)務(wù)請求;步驟406��、PAG接收到上行數(shù)據(jù)包后�����,根據(jù)SAIN檢查策略匹配業(yè)務(wù)請求數(shù)據(jù)包��;步驟407�、如果匹配成功,且策略要求進(jìn)行SAIN保護(hù)�,說明對該業(yè)務(wù)請求所對應(yīng)的數(shù)據(jù)流需要進(jìn)行SAIN保護(hù),PAG緩存數(shù)所述據(jù)包�,然后執(zhí)行步驟408,否則向互聯(lián)網(wǎng)轉(zhuǎn)發(fā)該數(shù)據(jù)包����;步驟408、PAG向ACF發(fā)送SAIN輸入請求��;步驟409��、ACF向UE發(fā)送SAIN輸入請求���;步驟410�、UE提示用戶輸入SAIN,用戶根據(jù)提示輸入SAIN ��;步驟411����、UE向ACF返回輸入SAIN響應(yīng),攜帶用戶輸入的結(jié)果���;響應(yīng)中所攜帯的結(jié)果可以是用戶輸入的SAIN��,也可以是SAIN與共享密鑰經(jīng)散列計算獲得的函數(shù)值���。步驟412、ACF向PAG轉(zhuǎn)發(fā)輸入SAIN響應(yīng)����;步驟413、ACF根據(jù)保存的SAIN參數(shù)檢查用戶輸入的結(jié)果是否正確�,如果正確����,則執(zhí)行步驟414,否則拒絕本次業(yè)務(wù)請求�,丟棄承載業(yè)務(wù)請求的數(shù)據(jù)包,并可進(jìn)ー步通知UE驗證失敗��,或要求用戶再次輸入SAIN �����;步驟414�、PAG向ACF發(fā)送SAIN驗證通過消息����,同時PAG向互聯(lián)網(wǎng)發(fā)送步驟407時緩存的數(shù)據(jù);步驟415����、ACF向UE發(fā)送SAIN驗證通過消息,UE則進(jìn)行后續(xù)業(yè)務(wù)���;對后續(xù)的該業(yè)務(wù)請求對應(yīng)的數(shù)據(jù)流���,當(dāng)PAG接收到數(shù)據(jù)包時,發(fā)現(xiàn)已經(jīng)通過SAIN驗證����,則不再要求用戶重復(fù)進(jìn)行SAIN輸入。這里所說的業(yè)務(wù)請求可以是指針對同一個目標(biāo)應(yīng)用的所有業(yè)務(wù)請求���,也可以是指針對該目標(biāo)應(yīng)用的某一次的業(yè)務(wù)請求���。圖5是本發(fā)明應(yīng)用示例的PAG從UPAS獲取SAIN檢查策略的流程�����。在此場景下����,將SAIN檢查策略作為用戶數(shù)據(jù)中的一部分����,存放在UPAS中。具體步驟包括步驟501�����、UE根據(jù)業(yè)務(wù)層請求�,調(diào)用分組接入登陸過程,向ACF發(fā)送分組域附著請求���;
步驟502�、ACF向UPAS發(fā)送位置更新請求����;步驟503、UPAS獲取用戶簽約數(shù)據(jù)����,執(zhí)行用戶數(shù)據(jù)插入過程,向ACF發(fā)送用戶數(shù)據(jù)插入請求��,其中所攜帯的用戶簽約數(shù)據(jù)中包含SAIN檢查策略�����;步驟504����、ACF保存用戶簽約數(shù)據(jù),并向UPAS返回用戶數(shù)據(jù)插入響應(yīng)���;步驟505�����、UPAS向ACF返回位置更新響應(yīng)��;根據(jù)具體接入技術(shù)的不同����,也可以沒有步驟502、503�,在步驟505中攜帶包含SAIN檢查策略的用戶簽約數(shù)據(jù)。步驟506�、ACF向UE發(fā)送分組域附著響應(yīng);步驟507���、UE執(zhí)行數(shù)據(jù)連接會話建立過程���,向ACF發(fā)送數(shù)據(jù)連接會話建立請求;步驟508����、ACF接收用戶請求,選擇PAGJf SAIN檢查策略插入到數(shù)據(jù)連接會話建立請求�����,然后將所述數(shù)據(jù)連接會話建立請求發(fā)送給PAG ���;步驟509�、PAG獲取并保存SAIN檢查策略;步驟510�、PAG建立與UE之間數(shù)據(jù)連接通道,然后向ACF返回數(shù)據(jù)連接會話建立響應(yīng)�����;步驟511��、ACF向UE返回數(shù)據(jù)連接會話建立響應(yīng)���。圖6是本發(fā)明應(yīng)用示例的從SPCF獲取SAIN檢查策略的流程。在此場景下�,設(shè)置獨(dú)立的SPCF保存用戶的SAIN簽約策略,SPCF可進(jìn)ー步根據(jù)用戶的數(shù)據(jù)連接會話請求�����、用戶的SAIN簽約策略以及運(yùn)營商策略 生成SAIN檢查策略���,然后下載到PAG��。SPCF可以是單獨(dú)的實體���,也可以是資源控制服務(wù)器中的ー個功能,當(dāng)數(shù)據(jù)連接會話建立時,與服務(wù)質(zhì)量控制策略�����、門控策略等一起從資源控制服務(wù)器下載到PAG�。步驟601、UE根據(jù)業(yè)務(wù)層請求��,調(diào)用分組域附著過程�;步驟602、UE執(zhí)行數(shù)據(jù)連接會話建立過程��,向ACF發(fā)送數(shù)據(jù)連接會話建立請求���;步驟603�、ACF接收用戶請求��,選擇PAG��,向PAG發(fā)送數(shù)據(jù)連接會話建立請求����;步驟604、PAG向SPCF發(fā)送IP會話建立請求����,攜帯所述數(shù)據(jù)連接的會話信息��;步驟605����、SPCF獲取保存的SAIN檢查簽約策略���,根據(jù)數(shù)據(jù)連接的會話信息、運(yùn)營商策略生成SAIN檢查策略���;在其他實施例中���,SPCF也可以不生成SAIN檢查策略,而是直接將保存的SAIN檢查簽約策略作為SAIN檢查策略直接下發(fā)給PAG�。步驟606、SPCF向PAG返回IP會話建立請求����,攜帶生成的SAIN檢查策略;步驟607�、PAG保存SAIN檢查策略;步驟608�、PAG建立與UE之間數(shù)據(jù)連接通道,然后向ACF返回數(shù)據(jù)連接會話建立響應(yīng);步驟609���、ACF向UE返回數(shù)據(jù)連接會話建立響應(yīng)��。圖7是本發(fā)明應(yīng)用示例的UE檢查方式的流程圖�����。UE檢查方式指SAIN檢查策略執(zhí)行點(diǎn)在UE,具體指UE的傳輸路由協(xié)議層(模塊)��,SAIN檢查策略可以是在UE直接配置�����,也可以UE主動向網(wǎng)絡(luò)獲取或網(wǎng)路下發(fā)給UE�。包括以下步驟步驟701��、UE根據(jù)業(yè)務(wù)層請求����,調(diào)用分組域附著過程;步驟702�、UE執(zhí)行數(shù)據(jù)連接會話建立過程,建立UE與PAG之間數(shù)據(jù)連接通道�;步驟703���、UE獲取與該用戶有關(guān)的SAIN檢查策略,具體獲取方式包括I)在UE本地配置�����;2) UE主動向SAIN檢查策略控制功能請求SAIN檢查策略��,具體地���,UE發(fā)現(xiàn)SPCF的地址(可以是配置���,或在用戶附著時網(wǎng)絡(luò)通知的)���,然后通過超文本傳輸協(xié)議或擴(kuò)展配置接入?yún)f(xié)議等方式向SPCF發(fā)起獲取SAIN檢查策略請求�,SPCF驗證用戶身份后����,返回響應(yīng),攜帯SPCF檢查策略����;3)通過設(shè)備管理協(xié)議由SAIN檢查策略控制功能主動發(fā)送給UE�,例如在初次配置SAIN檢查策略或該SAIN檢查策略發(fā)生改變時���;4)在數(shù)據(jù)連接會話建立過程中�����,PAG將SAIN檢查策略傳送給UE����。
具體實施方式
��,可以在圖5所示的方式中����,PAG在步驟509獲取SAIN檢查策略后,通過步驟510的數(shù)據(jù)連接會話建立響應(yīng)將SAIN檢查策略經(jīng)ACF發(fā)送給UE ;或在圖6所示的方式中�,PAG在步驟606獲取SAIN檢查策略后,通過步驟607的數(shù)據(jù)連接會話建立響應(yīng)將SAIN檢查策略經(jīng)ACF發(fā)送給UE�����。步驟704�����、當(dāng)用戶請求具體業(yè)務(wù)吋,UE的應(yīng)用層向UE的傳輸路由協(xié)議層(模塊)發(fā)送業(yè)務(wù)請求���;步驟705、UE根據(jù)SAIN檢查策略匹配應(yīng)用層發(fā)送過來的業(yè)務(wù)請求�����,如果匹配成功���,說明對該業(yè)務(wù)請求所對應(yīng)的數(shù)據(jù)流需要進(jìn)行SAIN保護(hù)���,然后執(zhí)行步驟706,否則直接通過數(shù)據(jù)連接通道向PAG發(fā)送數(shù)據(jù)包��;步驟706�����、UE提示用戶輸入SAIN�����,用戶根據(jù)提示輸入SAIN ;步驟707�、UE根據(jù)保存的SAIN驗證參數(shù)檢查用戶輸入的SAIN是否正確,如果正確���,通過數(shù)據(jù)連接通道向PAG發(fā)送業(yè)務(wù)請求數(shù)據(jù)包�,否則拒絕本次業(yè)務(wù)請求����,通知UE驗證失敗,或要求用戶再次輸入SAIN �����;對后續(xù)的該業(yè)務(wù) 請求對應(yīng)的數(shù)據(jù)流�,當(dāng)PAG接收到數(shù)據(jù)包時,發(fā)現(xiàn)已經(jīng)通過SAIN驗證�����,則不再要求用戶重復(fù)進(jìn)行SAIN輸入��。圖8是本發(fā)明應(yīng)用示例的UE的結(jié)構(gòu)示意圖��,如圖所示��,UE包括應(yīng)用層模塊����、SAIN檢查模塊和SAIN輸入模塊�����,其中應(yīng)用層模塊����,用于發(fā)送針對目標(biāo)應(yīng)用的業(yè)務(wù)請求��;SAIN檢查模塊�,用于作為SAIN檢查點(diǎn),根據(jù)SAIN檢查策略檢查應(yīng)用層模塊發(fā)送的業(yè)務(wù)請求�,當(dāng)判斷該業(yè)務(wù)請求需要SAIN檢查,則通過SAIN輸入模塊提示用戶輸入SAIN����,并判斷用戶輸入的SAIN結(jié)果是否正確,如果正確�,則轉(zhuǎn)發(fā)該目標(biāo)應(yīng)用業(yè)務(wù)請求,如果不正確����,則拒絕該業(yè)務(wù)請求����;該SAIN檢查模塊可以為獨(dú)立模塊���,或者是傳輸路由協(xié)議棧模塊中的子模塊;SAIN輸入模塊���,用于提示用戶輸入SAIN�����,并將輸入結(jié)果返回給SAIN檢查模塊����。優(yōu)選地��,該SAIN檢查模塊還可用于在轉(zhuǎn)發(fā)該目標(biāo)應(yīng)用業(yè)務(wù)請求后��,在接收到該目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后���,不再進(jìn)行SAIN檢查�����,直接進(jìn)行轉(zhuǎn)發(fā)處理���。優(yōu)選地���,該UE還包括SAIN檢查策略模塊,用于保存預(yù)先配置的SAIN檢查策略��,或者用于主動向網(wǎng)絡(luò)獲取SAIN檢查策略��,或者用于接收網(wǎng)絡(luò)側(cè)發(fā)送的SAIN檢查策略����。該SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略,其中該數(shù)據(jù)特征包括IP數(shù)據(jù)包特征,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征���,該執(zhí)行策略包括是否需要執(zhí)行SAIN檢查�,以及SAIN檢查所需要的參數(shù)����。圖9是本發(fā)明應(yīng)用示例的PAG的結(jié)構(gòu)示意圖,如圖所示��,PAG包括接收模塊��,第一判斷模塊和第二判斷模塊���,其中
所述接收模塊�,用于接收UE發(fā)送的針對某目標(biāo)應(yīng)用的業(yè)務(wù)請求���,以及用于接收所述UE發(fā)送的用戶輸入的SAIN結(jié)果�����;所述第一判斷模塊�,用于根據(jù)SAIN檢查策略檢查該業(yè)務(wù)請求����,當(dāng)判斷該業(yè)務(wù)請求需要SAIN檢查,則通知UE提示用戶輸入SAIN ;具體地��,該第一判斷模塊可以通過接收模塊通知UE�����,或者直接通知UE(圖中僅示出本種方式)�;所述第二判斷模塊,用于判斷如果輸入的SAIN結(jié)果正確���,則轉(zhuǎn)發(fā)該目標(biāo)應(yīng)用業(yè)務(wù)請求�����,如果輸入的SAIN不正確�,則拒絕該業(yè)務(wù)請求。優(yōu)選地���,該第一判斷模塊還用于在第二判斷模塊轉(zhuǎn)發(fā)目標(biāo)應(yīng)用業(yè)務(wù)請求后��,在接收到目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后�,不再進(jìn)行SAIN檢查���,直接進(jìn)行轉(zhuǎn)發(fā)處理���。優(yōu)選地,該P(yáng)AG還包括SAIN檢查策略模塊��,其用于保存預(yù)先配置的SAIN檢查策略����;或用于接收UPAS通過ACF實體發(fā)送的或SPCF發(fā)送的SAIN檢查策略。如前所示����,SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略,其中數(shù)據(jù)特征包括IP數(shù)據(jù)包特征���,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征�����;執(zhí)行策略包括是否需要執(zhí)行SAIN檢查��,以及SAIN檢查所需要的參數(shù)�����。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成���,所述程序可以存儲于計算機(jī)可讀存儲介質(zhì)中�,如只讀存儲器�、磁盤或光盤等?�?蛇x地����,上述實施例的全部或部分步驟也可以使用ー個或多個集成電路來實現(xiàn)����。相應(yīng)地�����,上述實施例中的各模塊/単元可以采用硬件的形式實現(xiàn)��,也可以采用軟件功能模塊的形式實現(xiàn)��。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合����。當(dāng)然,本發(fā)明還可有其他多種實施例����,在不背離本發(fā)明精神及其實質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形�,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利 要求的保護(hù)范圍。
權(quán)利要求
1.一種安全接入互聯(lián)網(wǎng)業(yè)務(wù)的方法���,用戶設(shè)備(UE)成功接入互聯(lián)網(wǎng)后�����,當(dāng)要訪問某個目標(biāo)應(yīng)用時��,所述方法包括 安全接入身份號(SAIN)檢查點(diǎn)根據(jù)SAIN檢查策略檢查針對所述目標(biāo)應(yīng)用的業(yè)務(wù)請求���,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查���,則由UE提示用戶輸入SAIN ; 所述SAIN檢查點(diǎn)判斷如果輸入的SAIN結(jié)果正確�����,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求�,如果輸入的SAIN結(jié)果不正確�,則拒絕所述業(yè)務(wù)請求。
2.如權(quán)利要求1所述的方法�,其特征在于 所述SAIN檢查點(diǎn)包括UE或分組接入網(wǎng)關(guān)(PAG)。
3.如權(quán)利要求2所述的方法����,其特征在于 所述SAIN檢查點(diǎn)為UE時,所述SAIN檢查策略是在UE上靜態(tài)配置的�;或由UE主動從網(wǎng)絡(luò)獲取的;或由網(wǎng)絡(luò)側(cè)發(fā)送給UE的�����。
4.如權(quán)利要求3所述的方法,其特征在于 所述SAIN檢查策略由UE主動從網(wǎng)絡(luò)獲取�����,包括 所述UE主動向SAIN檢查策略控制功能(SPCF)實體請求SAIN檢查策略�,SPCF將保存的SAIN檢查策略下發(fā)給UE。
5.如權(quán)利要求3所述的方法���,其特征在于 所述SAIN檢查策略由網(wǎng)絡(luò)側(cè)發(fā)送給UE�����,包括 SAIN檢查策略控制功能(SPCF)實體通過設(shè)備管理協(xié)議主動將所述SAIN檢查策略發(fā)送給UE ;或者 在數(shù)據(jù)連接會話建立過程中��,PAG將SAIN檢查策略傳送給UE�。
6.如權(quán)利要求2所述的方法����,其特征在于 所述SAIN檢查點(diǎn)為PAG時,所述SAIN檢查策略是在PAG上靜態(tài)配置的��;或由用戶數(shù)據(jù)和認(rèn)證服務(wù)器(UPAS)通過接入控制功能(ACF)實體下發(fā)給PAG的;或由SPCF發(fā)送給PAG的��。
7.如權(quán)利要求6所述的方法����,其特征在于 所述SAIN檢查策略由UPAS通過ACF下發(fā)給PAG,包括 所述UPAS在位置更新過程中將所述SAIN檢查策略置于用戶簽約數(shù)據(jù)中發(fā)送給ACF����,所述ACF在數(shù)據(jù)連接會話建立過程中將所述SAIN檢查策略發(fā)送給PAG。
8.如權(quán)利要求6所述的方法��,其特征在于 所述SAIN檢查策略由SPCF發(fā)送給PAG��,包括 所述SPCF在數(shù)據(jù)連接會話建立過程中將SAIN檢查策略發(fā)送給PAG�。
9.如權(quán)利要求1所述的方法�,其特征在于 所述SAIN檢查點(diǎn)轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求后,所述方法還包括所述SAIN檢查點(diǎn)在接收到所述目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后,不再進(jìn)行SAIN檢查����,直接進(jìn)行轉(zhuǎn)發(fā)處理。
10.如權(quán)利要求1-9中任一權(quán)利要求所述的方法�����,其特征在于 所述SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略,其中所述數(shù)據(jù)特征包括IP數(shù)據(jù)包特征�,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征�����,所述執(zhí)行策略包括是否需要執(zhí)行SAIN檢查����,以及SAIN檢查所需要的參數(shù)�����。
11.如權(quán)利要求10所述的方法���,其特征在于所述SAIN檢查所需要的參數(shù)包括以下參數(shù)的一種或幾種SAIN驗證參數(shù)��、SAIN輸入次數(shù)����、SAIN驗證有效期���。
12.—種實現(xiàn)安全接入互聯(lián)網(wǎng)業(yè)務(wù)的用戶設(shè)備(UE)����,包括應(yīng)用層模塊、SAIN檢查模塊和SAIN輸入模塊�����,其中 所述應(yīng)用層模塊�����,用于發(fā)送針對目標(biāo)應(yīng)用的業(yè)務(wù)請求�����; 所述SAIN檢查模塊�����,用于作為安全接入身份號(SAIN)檢查點(diǎn)��,根據(jù)SAIN檢查策略檢查所述應(yīng)用層模塊發(fā)送的業(yè)務(wù)請求�����,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查�,則通過SAIN輸入模塊提示用戶輸入SAIN���,并判斷用戶輸入的SAIN結(jié)果是否正確���,如果正確���,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求,如果不正確�,則拒絕所述業(yè)務(wù)請求; 所述SAIN輸入模塊����,用于提示用戶輸入SAIN,并將輸入結(jié)果返回給SAIN檢查模塊���。
13.如權(quán)利要求12所述的用戶設(shè)備���,其特征在于 所述SAIN檢查模塊為獨(dú)立模塊,或是傳輸路由協(xié)議棧模塊中的子模塊���。
14.如權(quán)利要求12所述的用戶設(shè)備�����,其特征在于 所述SAIN檢查模塊還用于在轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求后��,在接收到所述目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后�����,不再進(jìn)行SAIN檢查���,直接進(jìn)行轉(zhuǎn)發(fā)處理�����。
15.如權(quán)利要求12所述的用戶設(shè)備�����,其特征在于 所述UE還包括SAIN檢查策略模塊�,用于保存預(yù)先配置的SAIN檢查策略�,或者用于主動向網(wǎng)絡(luò)獲取SAIN檢查策略,或者用于接收網(wǎng)絡(luò)側(cè)發(fā)送的SAIN檢查策略�。
16.如權(quán)利要求12-15中任一權(quán)利要求所述的用戶設(shè)備,其特征在于 所述SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略,其中所述數(shù)據(jù)特征包括IP數(shù)據(jù)包特征��,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征�����,所述執(zhí)行策略包括是否需要執(zhí)行SAIN檢查����,以及SAIN檢查所需要的參數(shù)。
17.如權(quán)利要求16所述的用戶設(shè)備���,其特征在于 所述SAIN檢查所需要的參數(shù)包括以下參數(shù)的一種或幾種SAIN驗證參數(shù)����、SAIN輸入次數(shù)�����、SAIN驗證有效期�����。
18.一種實現(xiàn)安全接入互聯(lián)網(wǎng)業(yè)務(wù)的分組接入網(wǎng)關(guān)(PAG)�����,包括接收模塊���,第一判斷模塊和第二判斷模塊�,其中 所述接收模塊,用于接收UE發(fā)送的針對某目標(biāo)應(yīng)用的業(yè)務(wù)請求�,以及用于接收所述UE發(fā)送的用戶輸入的SAIN結(jié)果; 所述第一判斷模塊��,用于根據(jù)SAIN檢查策略檢查所述業(yè)務(wù)請求���,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查��,則通知UE提示用戶輸入SAIN �; 所述第二判斷模塊�����,用于判斷如果輸入的SAIN結(jié)果正確�,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求,如果輸入的SAIN不正確����,則拒絕所述業(yè)務(wù)請求。
19.如權(quán)利要求18所述的分組接入網(wǎng)關(guān)���,其特征在于 所述第一判斷模塊還用于在所述第二判斷模塊轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求后�����,在接收到所述目標(biāo)應(yīng)用的后續(xù)數(shù)據(jù)包后����,不再進(jìn)行SAIN檢查�����,直接進(jìn)行轉(zhuǎn)發(fā)處理����。
20.如權(quán)利要求18所述的分組接入網(wǎng)關(guān),其特征在于 所述PAG還包括SAIN檢查策略模塊����,其用于保存預(yù)先配置的SAIN檢查策略;或用于接收用戶數(shù)據(jù)和認(rèn)證服務(wù)器(UPAS)通過接入控制功能(ACF)實體發(fā)送的或SAIN檢查策略控制功能(SPCF)發(fā)送的SAIN檢查策略�。
21.如權(quán)利要求18或19或20所述的分組接入網(wǎng)關(guān),其特征在于 所述SAIN檢查策略包含數(shù)據(jù)特征以及相應(yīng)的執(zhí)行策略,其中所述數(shù)據(jù)特征包括IP數(shù)據(jù)包特征���,或者IP數(shù)據(jù)包特征和業(yè)務(wù)請求應(yīng)用層特征����,所述執(zhí)行策略包括是否需要執(zhí)行SAIN檢查�����,以及SAIN檢查所需要的參數(shù)。
22.如權(quán)利要求21所述的分組接入網(wǎng)關(guān)���,其特征在于 所述SAIN檢查所需要的參數(shù)包括以下參數(shù)的一種或幾種SAIN驗證參數(shù)���、SAIN輸入次數(shù)、SAIN驗證有效期�。
全文摘要
本發(fā)明公開了一種安全接入互聯(lián)網(wǎng)業(yè)務(wù)的方法,在分組接入網(wǎng)解決當(dāng)前技術(shù)沒有考慮用戶訪問特定目標(biāo)應(yīng)用時的控制問題��。UE成功接入互聯(lián)網(wǎng)后���,當(dāng)要訪問某個目標(biāo)應(yīng)用時����,所述方法包括SAIN檢查點(diǎn)根據(jù)SAIN檢查策略檢查針對所述目標(biāo)應(yīng)用的業(yè)務(wù)請求����,當(dāng)判斷所述業(yè)務(wù)請求需要SAIN檢查,則由UE提示用戶輸入SAIN��;所述SAIN檢查點(diǎn)判斷如果輸入的SAIN結(jié)果正確,則轉(zhuǎn)發(fā)所述目標(biāo)應(yīng)用業(yè)務(wù)請求�����,如果輸入的SAIN結(jié)果不正確�����,則拒絕所述業(yè)務(wù)請求�����。本發(fā)明通過引入SAIN�,對目標(biāo)互聯(lián)網(wǎng)應(yīng)用對應(yīng)的數(shù)據(jù)流安全檢查和保護(hù)�����,從而提高了互聯(lián)網(wǎng)應(yīng)用接入安全性��,尤其是針對以用戶標(biāo)識方式接入互聯(lián)網(wǎng)的場景����。
文檔編號H04L29/06GK103051598SQ201110314300
公開日2013年4月17日 申請日期2011年10月17日 優(yōu)先權(quán)日2011年10月17日
發(fā)明者郝振武, 符濤, 江鴻 申請人:中興通訊股份有限公司