安全接入互联网业务的方法、用户设备和分组接入网关技术

本发明专利技术公开了一种安全接入互联网业务的方法，在分组接入网解决当前技术没有考虑用户访问特定目标应用时的控制问题。UE成功接入互联网后，当要访问某个目标应用时，所述方法包括：SAIN检查点根据SAIN检查策略检查针对所述目标应用的业务请求，当判断所述业务请求需要SAIN检查，则由UE提示用户输入SAIN；所述SAIN检查点判断如果输入的SAIN结果正确，则转发所述目标应用业务请求，如果输入的SAIN结果不正确，则拒绝所述业务请求。本发明专利技术通过引入SAIN，对目标互联网应用对应的数据流安全检查和保护，从而提高了互联网应用接入安全性，尤其是针对以用户标识方式接入互联网的场景。

【技术实现步骤摘要】
安全接入互联网业务的方法、用户设备和分组接入网关
本专利技术涉及数据通信
，尤其涉及一种安全接入互联网业务的方法。
技术介绍
互联网已经广泛应用，取得了巨大的成功，而且随着高速移动分组网络广泛部署，智能移动终端的普及，互联网业务将更加丰富化。图1示出了互联网接入的示意图，对于图1中各实体的说明如下：用户设备101(UserEquipment，简称UE)，位于用户侧，支持互联网协议(InternetProtocol，简称IP)，如果采用身份位置分离技术，UE使用用户接入身份标识代替IP地址，接入互联网，同网络其他用户设备、业务提供进行通信。接入控制功能102(AccessControlFunction，简称ACF)，是UE101所在接入网的控制设备，通过与UE101、用户数据服务器/认证服务器104之间的交互，完成UE101的认证鉴权、移动性管理、业务控制等功能。分组接入网关103(PacketAccessGateway，简称PAG)，是UE101所在的接入网络与互联网之间的接口设备，负责IP地址分配，与UE101之间的数据连接会话管理以及数据通道的建立，分组数据包的接收、转发等功能，并可根据策略控制服务器105下发的控制策略或本地配置的策略对数据包进行处理和控制；如果采用身份位置分离技术，还会涉及身份标识的管理、映射等功能。用户数据和认证服务器104(UserProfileandAuthenticationServer，简称UPAS)，保存有用户的签约数据、认证数据，为UE101提供安全接入认证功能以及用户签约数据。策略控制服务器105(PolicyControlServer，简称PCS)，根据UE101请求的业务特性以及用户签约、运营商策略，生成会话控制策略，并下发给PAG103；应用服务器106(ApplicationServer，简称AS)，位于互联网，为UE101互联网应用。上述PCS下发给PAG的控制策略或本地配置的控制策略包括会话鉴权信息(即是否允许建立会话)、数据包门控信息(即是否允许数据包通过)、访问控制列表、服务质量信息、计费信息等。当UE使用互联网业务，通过PAG发送上行数据包，或PAG接收到发送给UE的下行数据包，PAG会根据控制策略对上行数据包或下行数据包进行处理。现有技术中，尤其是移动终端接入互联网，控制策略对用户使用IP接入会话可能带来的安全问题考虑得还比较少，目前只能做到根据访问控制列表数据包进行过滤。数据访问控制列表包括黑名单和白名单，当数据包特性(一般使用源IP地址、源端口、目的IP地址、目的端口、通讯协议中的部分要素或全部要素表征)与黑名单匹配，则丢弃数据包，如果与白名单匹配，则转发数据包，也可以将应用层的特性加入策略中，如应用层协议类型、传送内容等。上述控制方式比较简单，在实现策略控制过程中，用户没有直接参与，无法满足有些安全级别比较高的业务的需求。例如IP多媒体子系统(IPMultimediaSubsystem，简称IMS)、即时通讯、小额支付、虚拟社区等，使用用户的IP地址或身份标识来标识用户身份，并派生业务，这样在当用户的用户设备被其他人使用，由于现有的保护机制比较简单，使用者就可以随意使用该用户设备进行上述业务，对用户安全性和隐私都造成极大的威胁。从上述分析可以看出，由于当前技术没有考虑用户使用互联网接入的安全问题，可能会导致互联网接入和业务应用安全问题、以及隐私问题，因此需要采用新技术提高互联网接入安全，提供更多样的安全服务。
技术实现思路
本专利技术要解决的技术问题是提供一种安全接入互联网业务的方法，在分组接入网解决当前技术没有考虑用户访问特定目标应用时的控制问题。为解决上述技术问题，本专利技术提供了一种安全接入互联网业务的方法，用户设备(UE)成功接入互联网后，当要访问某个目标应用时，所述方法包括：安全接入身份号(SAIN)检查点根据SAIN检查策略检查针对所述目标应用的业务请求，当判断所述业务请求需要SAIN检查，则由UE提示用户输入SAIN；所述SAIN检查点判断如果输入的SAIN结果正确，则转发所述目标应用业务请求，如果输入的SAIN结果不正确，则拒绝所述业务请求。进一步地，所述SAIN检查点包括UE或分组接入网关(PAG)。进一步地，所述SAIN检查点为UE时，所述SAIN检查策略是在UE上静态配置的；或由UE主动从网络获取的；或由网络侧发送给UE的。进一步地，所述SAIN检查策略由UE主动从网络获取，包括：所述UE主动向SAIN检查策略控制功能(SPCF)实体请求SAIN检查策略，SPCF将保存的SAIN检查策略下发给UE。进一步地，所述SAIN检查策略由网络侧发送给UE，包括：SAIN检查策略控制功能(SPCF)实体通过设备管理协议主动将所述SAIN检查策略发送给UE；或者在数据连接会话建立过程中，PAG将SAIN检查策略传送给UE。进一步地，所述SAIN检查点为PAG时，所述SAIN检查策略是在PAG上静态配置的；或由用户数据和认证服务器(UPAS)通过接入控制功能(ACF)实体下发给PAG的；或由SPCF发送给PAG的。进一步地，所述SAIN检查策略由UPAS通过ACF下发给PAG，包括：所述UPAS在位置更新过程中将所述SAIN检查策略置于用户签约数据中发送给ACF，所述ACF在数据连接会话建立过程中将所述SAIN检查策略发送给PAG。进一步地，所述SAIN检查策略由SPCF发送给PAG，包括：所述SPCF在数据连接会话建立过程中将SAIN检查策略发送给PAG。进一步地，所述SAIN检查点转发所述目标应用业务请求后，所述方法还包括：所述SAIN检查点在接收到所述目标应用的后续数据包后，不再进行SAIN检查，直接进行转发处理。进一步地，所述SAIN检查策略包含数据特征以及相应的执行策略，其中所述数据特征包括IP数据包特征，或者IP数据包特征和业务请求应用层特征，所述执行策略包括是否需要执行SAIN检查，以及SAIN检查所需要的参数。进一步地，所述SAIN检查所需要的参数包括以下参数的一种或几种：SAIN验证参数、SAIN输入次数、SAIN验证有效期。为解决上述技术问题，本专利技术还提供了一种实现安全接入互联网业务的用户设备(UE)，包括应用层模块、SAIN检查模块和SAIN输入模块，其中：所述应用层模块，用于发送针对目标应用的业务请求；所述SAIN检查模块，用于作为安全接入身份号(SAIN)检查点，根据SAIN检查策略检查所述应用层模块发送的业务请求，当判断所述业务请求需要SAIN检查，则通过SAIN输入模块提示用户输入SAIN，并判断用户输入的SAIN结果是否正确，如果正确，则转发所述目标应用业务请求，如果不正确，则拒绝所述业务请求；所述SAIN输入模块，用于提示用户输入SAIN，并将输入结果返回给SAIN检查模块。进一步地，所述SAIN检查模块为独立模块，或是传输路由协议栈模块中的子模块。进一步地，所述SAIN检查模块还用于在转发所述目标应用业务请求后，在接收到所述目标应用的后续数据包后，不再进行SAIN检查，直接进行转发处理。进一步地，所述UE还包括SAIN检查策略模块，用于保存预先配置的SAIN检查策略，或者用于主动向网络获取本文档来自技高网...

【技术保护点】
一种安全接入互联网业务的方法，用户设备(UE)成功接入互联网后，当要访问某个目标应用时，所述方法包括：安全接入身份号(SAIN)检查点根据SAIN检查策略检查针对所述目标应用的业务请求，当判断所述业务请求需要SAIN检查，则由UE提示用户输入SAIN；所述SAIN检查点判断如果输入的SAIN结果正确，则转发所述目标应用业务请求，如果输入的SAIN结果不正确，则拒绝所述业务请求。

【技术特征摘要】
1.一种安全接入互联网业务的方法，应用于分组接入网中，用户设备UE成功接入互联网后，当要访问某个目标应用时，所述方法包括：安全接入身份号SAIN检查点根据SAIN检查策略检查针对所述目标应用的业务请求，当判断所述业务请求需要SAIN检查，则由UE提示用户输入SAIN；所述SAIN检查点判断如果输入的SAIN结果正确，则转发所述目标应用业务请求，如果输入的SAIN结果不正确，则拒绝所述业务请求。2.如权利要求1所述的方法，其特征在于：所述SAIN检查点包括UE或分组接入网关PAG。3.如权利要求2所述的方法，其特征在于：所述SAIN检查点为UE时，所述SAIN检查策略是在UE上静态配置的；或由UE主动从网络获取的；或由网络侧发送给UE的。4.如权利要求3所述的方法，其特征在于：所述SAIN检查策略由UE主动从网络获取，包括：所述UE主动向SAIN检查策略控制功能SPCF实体请求SAIN检查策略，SPCF将保存的SAIN检查策略下发给UE。5.如权利要求3所述的方法，其特征在于：所述SAIN检查策略由网络侧发送给UE，包括：SAIN检查策略控制功能SPCF实体通过设备管理协议主动将所述SAIN检查策略发送给UE；或者在数据连接会话建立过程中，PAG将SAIN检查策略传送给UE。6.如权利要求2所述的方法，其特征在于：所述SAIN检查点为PAG时，所述SAIN检查策略是在PAG上静态配置的；或由用户数据和认证服务器UPAS通过接入控制功能ACF实体下发给PAG的；或由SPCF发送给PAG的。7.如权利要求6所述的方法，其特征在于：所述SAIN检查策略由UPAS通过ACF下发给PAG，包括：所述UPAS在位置更新过程中将所述SAIN检查策略置于用户签约数据中发送给ACF，所述ACF在数据连接会话建立过程中将所述SAIN检查策略发送给PAG。8.如权利要求6所述的方法，其特征在于：所述SAIN检查策略由SPCF发送给PAG，包括：所述SPCF在数据连接会话建立过程中将SAIN检查策略发送给PAG。9.如权利要求1所述的方法，其特征在于：所述SAIN检查点转发所述目标应用业务请求后，所述方法还包括：所述SAIN检查点在接收到所述目标应用的后续数据包后，不再进行SAIN检查，直接进行转发处理。10.如权利要求1-9中任一权利要求所述的方法，其特征在于：所述SAIN检查策略包含数据特征以及相应的执行策略，其中所述数据特征包括IP数据包特征，或者IP数据包特征和业务请求应用层特征，所述执行策略包括是否需要执行SAIN检查，以及SAIN检查所需要的参数。11.如权利要求10所述的方法，其特征在于：所述SAIN检查所需要的参数包括以下参数的一种或几种：SAIN验证参数、SAIN输入次数、SAIN验证有效期。12.一种实现安全接入互联网业务的用户设备UE，应用于分组接入网中，包括应用层模块、安全接入身份号SAIN检查模块和SAIN输入模块，其中：所述应用层模块，用于发送针对目标应用的业务请求；所述SAIN检查模块，用于作为安全接入身份号SAIN检查点，根据SAIN检查策略检查所述应...

【专利技术属性】
技术研发人员：郝振武，符涛，江鸿，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：