專利名稱：防止非法接入網(wǎng)絡(luò)的方法
如果使用授權(quán)密碼以限制進(jìn)入一個(gè)合法用戶群體的網(wǎng)絡(luò)(例如通信網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)等)，則必須防止非法人員通過(guò)嘗試可能的密碼而找到一個(gè)有效的授權(quán)密碼。
如果授權(quán)密碼同時(shí)起到用戶識(shí)別的作用或者不進(jìn)行識(shí)別，即沒(méi)有專門的用戶識(shí)別號(hào)，則由于多次輸入錯(cuò)誤的授權(quán)密碼而將用戶封鎖，不會(huì)被存儲(chǔ)到一個(gè)已經(jīng)存在的用戶記錄內(nèi)。同樣也無(wú)法將錯(cuò)誤嘗試的次數(shù)存儲(chǔ)在一個(gè)計(jì)數(shù)器內(nèi)。
以上所述的情況例如存在于以下情形中，一個(gè)通信網(wǎng)絡(luò)運(yùn)營(yíng)商的客戶例如借助于“漫游服務(wù)”的業(yè)務(wù)，經(jīng)一個(gè)任意的電話接口選擇其運(yùn)營(yíng)商時(shí)，使用其私人分布圖，并且能夠通過(guò)其用戶帳號(hào)結(jié)算費(fèi)用。此時(shí)使用者利用其授權(quán)密碼實(shí)現(xiàn)識(shí)別。一個(gè)沒(méi)有合法身份的人如果能夠找到授權(quán)密碼，便可以利用運(yùn)營(yíng)商的服務(wù)而讓授權(quán)密碼的所有人支付費(fèi)用。
另一種可以設(shè)想的濫用情況例如是，通過(guò)調(diào)制解調(diào)器選擇進(jìn)入某個(gè)計(jì)算機(jī)系統(tǒng)。
下面介紹一些目前所使用的機(jī)制。
a)用無(wú)效授權(quán)密碼進(jìn)行的接入嘗試將被存儲(chǔ)在一個(gè)記錄文件中。運(yùn)營(yíng)商可以在分析這些文件時(shí)識(shí)別出非法的接入嘗試，即試遍密碼的行為。但是并不能阻止嘗試大量的密碼以及濫用所找到的授權(quán)密碼行為。
b)“單數(shù)字差”(SDD方法)可識(shí)別多次無(wú)效密碼的輸入，這些密碼之間剛好相差一個(gè)數(shù)字。如果確定了在一段特定的時(shí)間內(nèi)有特定數(shù)量的這種密碼出現(xiàn)，則向操作臺(tái)發(fā)出警告信號(hào)。運(yùn)營(yíng)商雖然能夠比上述方法提前得知信息，但是其他的缺點(diǎn)仍然存在。此外，如果采用無(wú)規(guī)則的順序進(jìn)行密碼嘗試，則可繞過(guò)這種機(jī)制。
c)識(shí)別出某個(gè)無(wú)效授權(quán)密碼后，立即接通一個(gè)操作員。該方法雖然能提供很高程度的安全性，但是需要人員開銷，而且中繼站必須每天24小時(shí)值守。
本發(fā)明的任務(wù)是克服以上所述的缺點(diǎn)。
所述任務(wù)的解決方案體現(xiàn)在權(quán)利要求1所述的方法以及權(quán)利要求5或6所述的服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)中。
下面對(duì)照附圖對(duì)本發(fā)明作進(jìn)一步的說(shuō)明，附圖包括兩個(gè)圖。
本發(fā)明可實(shí)現(xiàn)自動(dòng)封鎖一個(gè)試圖接入服務(wù)或網(wǎng)絡(luò)的(網(wǎng)絡(luò))接入方，接入所述網(wǎng)絡(luò)時(shí)使用了授權(quán)密碼，條件是經(jīng)過(guò)多次對(duì)服務(wù)或網(wǎng)絡(luò)的請(qǐng)求，確認(rèn)其使用了無(wú)效的授權(quán)密碼，從而作為濫用被識(shí)別。該方法利用了一種通知給服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)或接入網(wǎng)絡(luò)節(jié)點(diǎn)的呼叫方接入的特征或標(biāo)記(例如借助于每次呼叫時(shí)傳輸?shù)慕尤敕胶艚刑?hào)碼)，經(jīng)該特征可以識(shí)別出相同的接入方。
對(duì)于一個(gè)惡意用戶而言，將無(wú)法試驗(yàn)大量的密碼從而找到一個(gè)有效的授權(quán)密碼。和上述方法a)和b)相比，本發(fā)明所述解決方案提供了一種有效的防護(hù)，而且與操作人員是否在場(chǎng)無(wú)關(guān)。
本發(fā)明脫離了對(duì)某個(gè)對(duì)象(例如用戶識(shí)別號(hào))的普通防護(hù)，即將該對(duì)象封鎖，防止進(jìn)一步的接入嘗試。本發(fā)明可解決以下問(wèn)題，即根本不存在這樣一種對(duì)象的情況。本發(fā)明所述機(jī)制的作用在于“另一端”，即接入方本身。本發(fā)明所述方案的原理始終在以下情況中才能有效，即沒(méi)有明確地存儲(chǔ)在服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)中的用戶識(shí)別信息(例如用戶識(shí)別號(hào)，智能卡)，而授權(quán)密碼的發(fā)送位置則可基于一個(gè)明確的、不可篡改的特征加以確認(rèn)。
下面對(duì)照

圖1和圖2對(duì)本發(fā)明所述流程加以詳細(xì)說(shuō)明，其中例如從一個(gè)通信網(wǎng)絡(luò)出發(fā)觀察對(duì)該通信網(wǎng)絡(luò)服務(wù)的一個(gè)請(qǐng)求。負(fù)責(zé)提供服務(wù)的網(wǎng)絡(luò)節(jié)點(diǎn)在以下稱為服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)，它與和請(qǐng)求服務(wù)的用戶連接的中繼站無(wú)關(guān)。所述用戶例如可屬于另一個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)。
向通信網(wǎng)絡(luò)要求服務(wù)的用戶(使用者)首先被提交給一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，該節(jié)點(diǎn)管理用戶請(qǐng)求時(shí)所使用的接口。該網(wǎng)絡(luò)節(jié)點(diǎn)在下面稱為接入方網(wǎng)絡(luò)節(jié)點(diǎn)(或者在通信網(wǎng)絡(luò)或計(jì)算機(jī)網(wǎng)絡(luò)的接入服務(wù)器情況中稱為接入方中繼站)。
接入方網(wǎng)絡(luò)節(jié)點(diǎn)的中繼設(shè)備將請(qǐng)求傳輸給所述的服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)。該服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)(準(zhǔn)確地說(shuō)是服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)的中繼設(shè)備)然后經(jīng)用戶的接入網(wǎng)絡(luò)節(jié)點(diǎn)要求出示授權(quán)密碼。所要求的授權(quán)密碼再經(jīng)接入網(wǎng)絡(luò)節(jié)點(diǎn)傳輸給服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)。在接入網(wǎng)絡(luò)節(jié)點(diǎn)和服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)的這種通信過(guò)程中還傳輸所述接入方的一個(gè)標(biāo)記，例如呼叫號(hào)碼，該際記被傳輸?shù)椒?wù)網(wǎng)絡(luò)節(jié)點(diǎn)。所述呼叫號(hào)碼的傳輸例如可以與服務(wù)請(qǐng)求一同進(jìn)行，或者與授權(quán)密碼的傳輸一同進(jìn)行，也可分開進(jìn)行服務(wù)網(wǎng)絡(luò)節(jié)點(diǎn)的中繼設(shè)備隨后首先檢查對(duì)于作為標(biāo)記傳輸?shù)暮艚刑?hào)碼是否存在封鎖。如果存在封鎖，則將服務(wù)請(qǐng)求取消(清除呼叫)。如果不存在封鎖，則中繼設(shè)備借助于一個(gè)服務(wù)接入裝置檢查所傳輸?shù)氖跈?quán)密碼的有效性。
如果中繼裝置識(shí)別出一個(gè)無(wú)效的授權(quán)密碼，則將信息通知給防欺詐部分(以下簡(jiǎn)稱為FP過(guò)程)并且結(jié)束該服務(wù)請(qǐng)求。所述FP過(guò)程(作為獨(dú)立的過(guò)程)與中繼設(shè)備無(wú)關(guān)，所以不會(huì)對(duì)后者的動(dòng)態(tài)特性造成負(fù)擔(dān)。
所述FP過(guò)程包括一個(gè)表(簡(jiǎn)稱FP表，見圖2)，在表內(nèi)對(duì)于每個(gè)無(wú)效授權(quán)密碼均寫入一條記錄，該記錄包括所述無(wú)效授權(quán)密碼，呼叫接入方的呼叫號(hào)碼(A號(hào)碼)，日期，時(shí)間和被呼叫號(hào)碼。隨后該表查找具有相同A號(hào)碼的記錄。如果找到了具有相同A號(hào)碼的記錄，則根據(jù)這種記錄多次出現(xiàn)的情況(例如根據(jù)這種記錄在時(shí)間順序上的方式)進(jìn)行分析，是否將該A號(hào)碼封鎖，不讓其向相關(guān)的運(yùn)營(yíng)商繼續(xù)進(jìn)行連接嘗試。這種對(duì)記錄的時(shí)間順序上的方式進(jìn)行的一種簡(jiǎn)單分析方法例如是，對(duì)該記錄在一個(gè)給定時(shí)間范圍內(nèi)的數(shù)量進(jìn)行計(jì)數(shù)。如果發(fā)現(xiàn)該記錄的數(shù)量達(dá)到或者超過(guò)了一個(gè)給定的閾值，則封鎖該A號(hào)碼，拒絕他對(duì)服務(wù)或相關(guān)的運(yùn)營(yíng)商網(wǎng)絡(luò)繼續(xù)進(jìn)行連接嘗試。
所述的封鎖是通過(guò)封鎖表內(nèi)的記錄實(shí)現(xiàn)的(見圖1或圖2)，在表內(nèi)中繼設(shè)備要針對(duì)每次連接嘗試查找A號(hào)碼。如果在封鎖表內(nèi)找到了該A號(hào)碼，則將連接嘗試拒絕。所述封鎖表采用(數(shù)字)樹狀結(jié)構(gòu)組織，可實(shí)現(xiàn)有效的動(dòng)態(tài)特性。出現(xiàn)了封鎖后，將通知運(yùn)營(yíng)商，并且可以通過(guò)命令取消該封鎖。該封鎖表是半永久性的，所以設(shè)定的封鎖在網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)不會(huì)受到所有恢復(fù)措施的影響。
權(quán)利要求
1.本發(fā)明的防止非法接入網(wǎng)絡(luò)的方法，包括，—一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)在收到來(lái)自任意一個(gè)(網(wǎng)絡(luò))接入方的服務(wù)請(qǐng)求或者網(wǎng)絡(luò)接入請(qǐng)求時(shí)，均要求出示一個(gè)由該網(wǎng)絡(luò)接入方所管理的接入網(wǎng)絡(luò)節(jié)點(diǎn)的授權(quán)密碼，—在所述網(wǎng)絡(luò)節(jié)點(diǎn)和接入網(wǎng)絡(luò)節(jié)點(diǎn)之間的相關(guān)通信的范圍內(nèi)，還傳輸一個(gè)用于接入所述網(wǎng)絡(luò)請(qǐng)求的標(biāo)記(例如呼叫號(hào)碼)，—如果對(duì)所述接入標(biāo)記不存在封鎖，則由所述網(wǎng)絡(luò)節(jié)點(diǎn)檢查所傳輸?shù)氖跈?quán)密碼的有效性，—如果以上檢查的結(jié)果是授權(quán)密碼無(wú)效，則拒絕所述請(qǐng)求，并且將所述接入標(biāo)記存儲(chǔ)在一個(gè)存儲(chǔ)裝置內(nèi)(FP-表)，—所述存儲(chǔ)裝置查找已經(jīng)存在的具有相同接入標(biāo)記的記錄，—如果經(jīng)過(guò)評(píng)估認(rèn)為這種記錄多次出現(xiàn)的性質(zhì)屬于非法接入嘗試，則將具有所述接入標(biāo)記的其他欲進(jìn)入服務(wù)或網(wǎng)絡(luò)的接入嘗試的連接封鎖。
2.如權(quán)利要求1所述的方法，其特征在于，檢查所述記錄出現(xiàn)的性質(zhì)的方式是，這種記錄的數(shù)量是否在一個(gè)給定的時(shí)間間隔內(nèi)達(dá)到或者超過(guò)了一個(gè)給定的閾值。
3.如權(quán)利要求1或2所述的方法，其特征在于，如果在診斷過(guò)程中，所述接入網(wǎng)絡(luò)節(jié)點(diǎn)不再向所述網(wǎng)絡(luò)節(jié)點(diǎn)傳輸接入標(biāo)記，則—將請(qǐng)求拒絕，—或者將呼叫接入與一個(gè)操作員連接，—或者網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)營(yíng)商調(diào)整對(duì)這種請(qǐng)求的處理方式。
4.如權(quán)利要求1至3中任何一項(xiàng)所述的方法，其特征在于，一旦確認(rèn)某個(gè)有效授權(quán)密碼與所述相同的接入標(biāo)記有關(guān)，則將不從所述存儲(chǔ)裝置中清除無(wú)效授權(quán)密碼的記錄。
5.網(wǎng)絡(luò)節(jié)點(diǎn)，它—在收到來(lái)自其他網(wǎng)絡(luò)節(jié)點(diǎn)的服務(wù)請(qǐng)求或者網(wǎng)絡(luò)接入請(qǐng)求時(shí)，要求其出示一個(gè)授權(quán)密碼，—在對(duì)其他網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行診斷的過(guò)程中，接收來(lái)自后者的接入標(biāo)記，—如果對(duì)所述接入標(biāo)記不存在封鎖，則檢查所傳輸?shù)氖跈?quán)密碼的有效性，—如果以上檢查的結(jié)果是授權(quán)密碼無(wú)效，則拒絕所述請(qǐng)求，并且將所述接入標(biāo)記存儲(chǔ)在一個(gè)存儲(chǔ)裝置內(nèi)，—由所述存儲(chǔ)裝置查找已經(jīng)存在的具有相同接入標(biāo)記的記錄，—如果經(jīng)過(guò)評(píng)估認(rèn)為這種記錄多次出現(xiàn)的性質(zhì)屬于非法接入嘗試，則將具有所述接入標(biāo)記的其他欲進(jìn)入服務(wù)或網(wǎng)絡(luò)的接入嘗試的連接封鎖。
6.網(wǎng)絡(luò)節(jié)點(diǎn)，包括a)一個(gè)傳輸部分，它—在收到來(lái)自其他網(wǎng)絡(luò)節(jié)點(diǎn)的服務(wù)請(qǐng)求或者網(wǎng)絡(luò)接入請(qǐng)求時(shí)，要求其出示一個(gè)授權(quán)密碼，—在與其他網(wǎng)絡(luò)節(jié)點(diǎn)的通信過(guò)程中，接收來(lái)自后者的接入標(biāo)記，—如果對(duì)所述接入標(biāo)記不存在封鎖，則檢查所傳輸?shù)氖跈?quán)密碼是否有效，—如果以上檢查的結(jié)果是授權(quán)密碼無(wú)效，或者已經(jīng)存在封鎖，則拒絕所述請(qǐng)求，b)一個(gè)防欺詐部分，它—具有低于所述傳輸部分的處理優(yōu)先權(quán)，—如果以上檢查的結(jié)果是授權(quán)密碼無(wú)效，則從所述傳輸裝置得到發(fā)出服務(wù)請(qǐng)求或者網(wǎng)絡(luò)接入請(qǐng)求的接入方的接入標(biāo)記，—將所得到的接入標(biāo)記存儲(chǔ)在一個(gè)存儲(chǔ)裝置內(nèi)，—由所述存儲(chǔ)裝置查找已經(jīng)存在的具有相同接入標(biāo)記的記錄，—如果經(jīng)過(guò)評(píng)估認(rèn)為這種記錄多次出現(xiàn)的性質(zhì)屬于非法接入嘗試，則將其他欲進(jìn)入服務(wù)或網(wǎng)絡(luò)的連接嘗試的接入標(biāo)記封鎖。
7.如權(quán)利要求5或6之一所述的網(wǎng)絡(luò)節(jié)點(diǎn)，其特征在于，檢查所述記錄出現(xiàn)的性質(zhì)的方式是，這種記錄的數(shù)量是否在一個(gè)給定的時(shí)間間隔內(nèi)達(dá)到或者超過(guò)了一個(gè)給定的閾值。
8.如權(quán)利要求5至7中任何一項(xiàng)所述的網(wǎng)絡(luò)節(jié)點(diǎn)，其特征在于，通過(guò)在一個(gè)封鎖表內(nèi)的記錄實(shí)現(xiàn)對(duì)所述接入標(biāo)記的封鎖，并且所述封鎖表按樹狀組織。
9.如權(quán)利要求5至8中任何一項(xiàng)所述的網(wǎng)絡(luò)節(jié)點(diǎn)，其特征在于，如果在診斷過(guò)程中，所述接入網(wǎng)絡(luò)節(jié)點(diǎn)不再向所述網(wǎng)絡(luò)節(jié)點(diǎn)傳輸接入標(biāo)記，則—將請(qǐng)求拒絕，—或者將呼叫接入與一個(gè)操作員連接，—或者網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)營(yíng)商調(diào)整對(duì)這種請(qǐng)求的處理方式。
全文摘要
本發(fā)明可實(shí)現(xiàn)自動(dòng)封鎖一個(gè)試圖接入服務(wù)或網(wǎng)絡(luò)的(網(wǎng)絡(luò))接入方,接入所述網(wǎng)絡(luò)時(shí)使用了授權(quán)密碼,條件是經(jīng)過(guò)多次對(duì)服務(wù)或網(wǎng)絡(luò)的請(qǐng)求,確認(rèn)其使用了無(wú)效的授權(quán)密碼,從而作為濫用被識(shí)別。
文檔編號(hào)H04M3/38GK1378737SQ00814120
公開日2002年11月6日 申請(qǐng)日期2000年10月12日 優(yōu)先權(quán)日1999年10月12日
發(fā)明者A·德梅爾 申請(qǐng)人:西門子公司