專利名稱:一種防止無線局域網頻繁進行網絡選擇交互的方法
技術領域:
本發明涉及網絡接入技術,特別是指一種防止無線局域網(WLAN)頻繁進行網絡選擇交互的方法。
背景技術:
由于用戶對無線接入速率的要求越來越高,無線局域網(WLAN,WirelessLocal Area Network)應運而生,它能在較小范圍內提供高速的無線數據接入。無線局域網包括多種不同技術,目前應用較為廣泛的一個技術標準是IEEE802.11b,它采用2.4GHz頻段,最高數據傳輸速率可達11Mbps,使用該頻段的還有IEEE 802.11g和藍牙(Bluetooth)技術,其中,802.11g最高數據傳輸速率可達54Mbps。其它新技術諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段,最高傳輸速率也可達到54Mbps。
盡管有多種不同的無線接入技術,大部分WLAN都用來傳輸因特網協議(IP)分組數據包。對于一個無線IP網絡,其采用的具體WLAN接入技術對于上層的IP一般是透明的。其基本的結構都是利用接入點(AP)完成用戶終端的無線接入,通過網絡控制和連接設備連接組成IP傳輸網絡。
隨著WLAN技術的興起和發展,WLAN與各種無線移動通信網,諸如GSM、碼分多址(CDMA)系統、寬帶碼分多址(WCDMA)系統、時分雙工-同步碼分多址(TD-SCDMA)系統、CDMA2000系統的互通正成為當前研究的重點。在第三代合作伙伴計劃(3GPP)標準化組織中,用戶終端可以通過WLAN的接入網絡與因特網(Internet)、企業內部互聯網(Intranet)相連,還可以經由WLAN接入網絡與3GPP系統的歸屬網絡或3GPP系統的訪問網絡連接,具體地說就是,WLAN用戶終端在本地接入時,經由WLAN接入網絡與3GPP的歸屬網絡相連,如圖2所示;在漫游時,經由WLAN接入網絡與3GPP的訪問網絡相連,3GPP訪問網絡中的部分實體分別與3GPP歸屬網絡中的相應實體互連,比如3GPP訪問網絡中的3GPP認證授權計費(AAA)代理和3GPP歸屬網絡中的3GPP認證授權計費(AAA)服務器;3GPP訪問網絡中的無線局域網接入關口(WAG)與3GPP歸屬網絡中的分組數據關口(PDG,Packet DataGateway)等等,如圖1所示。其中,圖1、圖2分別為漫游情況下和非漫游情況下WLAN系統與3GPP系統互通的組網結構示意圖。
參見圖1、圖2所示,在3GPP系統中,主要包括歸屬簽約用戶服務器(HSS)/歸屬位置寄存器(HLR)、3GPP AAA服務器、3GPP AAA代理、WAG、分組數據關口、計費關口(CGw)/計費信息收集系統(CCF)及在線計費系統(OCS)。用戶終端、WLAN接入網絡與3GPP系統的所有實體共同構成了3GPP-WLAN交互網絡,此3GPP-WLAN交互網絡可作為一種無線局域網服務系統。其中,3GPP AAA服務器負責對用戶的鑒權、授權和計費,對WLAN接入網絡送來的計費信息收集并傳送給計費系統;分組數據關口負責將用戶數據從WLAN接入網絡到3GPP網絡或其他分組網絡的數據傳輸;計費系統主要接收和記錄網絡傳來的用戶計費信息,還包括OCS根據在線計費用戶的費用情況指示網絡周期性的傳送在線費用信息,并進行統計和控制。
在非漫游情況下,當WLAN用戶終端希望直接接入Internet/Intranet時,用戶終端通過WLAN接入網與AAA服務器(AS)完成接入認證授權后,用戶終端可通過WLAN接入網接入到Internet/Intranet。如果WLAN用戶終端還希望接入3GPP分組交換(PS)域業務,則可進一步向3GPP歸屬網絡申請互通場景3(Scenario3)的業務,即WLAN用戶終端向3GPP歸屬網絡的AS發起互通場景3的業務授權請求,3GPP歸屬網絡的AS對該業務授權請求進行業務鑒權和授權,如果成功,則AS給用戶終端發送接入允許消息,且AS給用戶終端分配相應的PDG,用戶終端與所分配的PDG之間建立隧道后,即可接入3GPPPS域業務。同時,CGw/CCF和OCS根據用戶終端的網絡使用情況記錄計費信息。在漫游情況下,當WLAN用戶終端希望直接接入Internet/Intranet時,用戶終端可通過3GPP訪問網絡向3GPP歸屬網絡申請接入到Internet/Intranet。如果用戶終端還希望申請互通場景3業務,接入到3GPP PS域業務,則用戶終端需要通過3GPP訪問網絡向3GPP歸屬網絡發起業務授權過程,該過程同樣在用戶終端和3GPP歸屬網絡的AS之間進行,當授權成功后,AS給用戶終端分配相應的歸屬PDG,用戶終端通過3GPP訪問網絡中的WAG與分配的PDG之間建立隧道后,用戶終端即可接入歸屬網絡的3GPP PS域業務。
如圖3所示,在3GPP-WLAN互通網絡中,如果一個WLAN同時與多個3GPP訪問網絡,即與多個移動通信運營網相連,這里3GPP訪問網絡就是指訪問公眾陸地移動網絡(VPLMN),則WLAN用戶終端接入該WLAN后,就需要選擇希望接入的VPLMN網絡,比如在中國,一個WLAN接入網同時與中國移動、中國聯通兩個VPLMN運營網絡連接,那么,中國聯通的用戶從WLAN接入后,就需要指示WLAN接入網接入中國聯通的VPLMN運營網絡。再比如,某法國用戶漫游到中國的某個WLAN中,如果該法國用戶的歸屬網絡同時與中國移動、中國聯通都有漫游協議,則在WLAN接入網與中國移動、中國聯通都相連的情況下,該法國用戶在接入WLAN后,就需要選擇接入的VPLMN網絡。
在另一專利申請中曾提出一種網絡選擇的解決方案,參見圖4中步驟401~步驟408所示WLAN用戶終端通過WLAN接入3GPP-WLAN互通網絡時,WLAN用戶終端與WLAN接入網建立無線連接后,該用戶終端與網絡之間進行接入認證,并且,網絡向當前用戶終端請求用戶標識;然后用戶終端向WLAN接入網發送攜帶有網絡選擇信息的響應報文;WLAN接入網根據所攜帶的網絡選擇信息識別該用戶終端所要接入的移動通信運營網,如果網絡選擇信息能識別,則將當前用戶終端連至所選的網絡中進行接入認證及后續操作;如果當前用戶終端未攜帶網絡選擇信息或所攜帶的網絡選擇信息無法識別,即所指示的網絡未與WLAN接入網直接相連,則網絡會向當前用戶終端下發移動通信運營網信息,通知用戶終端當前WLAN接入網所連接的移動通信運營網,供用戶終端進行選擇。其中,網絡選擇信息是指用戶終端當前所要接入的移動通信運營網信息,可以放置于單獨設置的字段內,也可以放置于以網絡接入標識(NAI)格式定義的用戶標識字段內。
對于需要下發移動通信運營網信息的情況,如果有惡意用戶反復向WLAN接入網發送網絡無法識別的網絡選擇信息,則網絡會反復給該用戶終端下發移動通信運營網信息,由于供用戶終端選擇的移動通信運營網信息較多,頻繁反復地發送會導致不必要的網絡負荷,導致網絡繁忙,甚至無法開展正常業務。而且,惡意用戶很容易利用這個漏洞對網絡發起攻擊,由于此時用戶終端還沒有通過鑒權認證,也就很難跟蹤追究。目前尚未有人針對這一漏洞提出具體的解決方案。
發明內容
有鑒于此,本發明的主要目的在于提供一種防止無線局域網頻繁進行網絡選擇交互的方法,能夠保證WLAN網絡不會被網絡選擇機制導致擁塞,或被惡意用戶終端攻擊。
為達到上述目的,本發明的技術方案是這樣實現的一種防止無線局域網頻繁進行網絡選擇交互的方法,該方法包括a.WLAN用戶終端與WLAN接入網建立無線連接后,網絡或WLAN用戶終端發起接入認證過程,所述WLAN用戶終端在接入認證交互中向WLAN接入網發送網絡選擇信息;b.網絡判斷所收到的網絡選擇信息是否屬于當前WLAN連接的移動通信運營網,如果是,則將所述WLAN用戶終端的接入認證請求發送至網絡選擇信息所標識的移動通信運營網;如果收到的網絡選擇信息不屬于當前WLAN連接的移動通信運營網,該方法還包括c.根據一定時間內已下發信息次數,判斷當前是否能下發移動通信運營網信息,如果能,則向當前用戶終端下發移動通信運營網信息,并記錄已下發信息次數;否則,停止下發移動通信運營網信息。其中,已下發信息次數為網絡已下發信息次數、或為用戶終端的失敗識別次數、或為兩者的組合。
該方法進一步包括預先設定下發移動通信運營網信息的判定時間窗長度和移動步長,且移動步長小于等于判定時間窗的長度。所述判定時間窗可以為網絡判定時間窗、或為用戶終端判定時間窗、或為兩者的組合。
該方法進一步包括預先設定網絡判定時間窗內允許的網絡總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的網絡總下發次數。則步驟c中所述已下發信息次數為網絡已下發信息次數,步驟c中所述判斷為判斷當前網絡已下發信息次數是否超過網絡的總下發次數,如果超過,則不能下發移動通信運營網信息,如果未超過,則能下發移動通信運營網信息。
該方法進一步包括預先設定用戶終端判定時間窗內允許的用戶終端總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的單個用戶終端總下發次數。則步驟c中所述已下發信息次數為用戶終端的失敗識別次數,步驟c中所述判斷為先根據用戶終端標識判斷是否已存在當前用戶終端的失敗識別記錄,如果沒有,則能下發移動通信運營網信息;否則,判斷當前用戶終端的失敗識別次數是否小于等于該用戶終端的總下發次數,如果是,則能下發移動通信運營網信息,否則,不能下發移動通信運營網信息。
該方法還進一步包括預先設定網絡判定時間窗內允許的網絡總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的網絡總下發次數;并預先設定用戶終端判定時間窗內允許的單個用戶終端總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的用戶終端總下發次數。則步驟c中所述已下發信息次數為網絡已下發信息次數和用戶終端的失敗識別次數,步驟c中所述判斷為先判斷當前網絡已下發信息次數是否超過網絡的總下發次數,如果超過,則不能下發移動通信運營網信息,如果未超過,則根據用戶終端標識判斷是否已存在當前用戶終端的失敗識別記錄,如果未存在,則能下發移動通信運營網信息;否則,再判斷當前用戶終端的失敗識別次數是否小于等于該用戶終端的總下發次數,如果是,則能下發移動通信運營網信息,如果不是,則不能下發移動通信運營網信息。
上述方案中,所述用戶終端標識為當前用戶終端的介質訪問控制(MAC)地址標識,或為當前用戶終端的網絡接入標識(NAI),或為當前用戶終端的帳號,或為當前用戶終端的IP地址。
該方法進一步包括每個判定時間窗前進一個移動步長,更新該判定時間窗內新的已下發信息次數為當前已下發信息次數減去移動步長內的允許下發次數。
上述方案中,所述移動步長內的允許下發次數可以設為當前判定時間窗內允許的總下發次數與該判定時間窗長度的商值。所述判定時間窗長度、移動步長以及判定時間窗內設定的下發次數根據系統性能、網絡當前用戶多少情況以及網絡維護策略來確定。
該方法進一步包括,將判定時間窗和移動步長統一設置為一個參數。則該方法還可以進一步包括,將判定時間窗內允許的總下發次數與移動步長內允許的下發次數統一設置為一個參數。
該方法還進一步包括停止下發后,記錄收到的需要延遲下發的下發移動通信運營網信息請求,并在延遲時間到時響應該請求。
步驟c中,網絡向當前用戶終端下發所有與當前WLAN接入網有連接關系的移動通信運營網信息。或是,向當前用戶終端下發與當前WLAN接入網有連接關系的、且與當前用戶終端歸屬網絡有漫游關系的移動通信運營網信息。
本發明所提供的防止無線局域網頻繁進行網絡選擇交互的方法,在用戶終端每次發送請求網絡下發移動通信運營網信息時,記錄該用戶終端的標識,比如該用戶終端的MAC地址、或NAI標識、或賬號、或IP地址,并判斷在規定的時間段內,該用戶終端是否反復發出此請求,如果是,則立即停止響應或切斷連接。如此,即可解決由于WLAN用戶終端頻繁發生網絡選擇,以及頻繁觸發移動通信運營網信息通知過程而引起的網絡擁塞問題。并且,可避免惡意用戶終端利用網絡漏洞對網絡發起攻擊,從而在一定程度上降低了網絡負荷,提高了網絡響應速度和傳輸速度。
另外,如果某些WLAN網絡不希望某個用戶終端獲知與該用戶終端無關的、與自身有直接連接關系的PLMN,網絡只會給該用戶終端下發與其請求的HPLMN有漫游關系的VPLMN列表,但如果用戶終端嘗試以不同的NAI冒充來自不同的HPLMN,就會輪詢出相關的VPLMN,而本發明的判斷、制約機制就可以避免上述情況的發生。
圖1為漫游情況下WLAN系統與3GPP系統互通的網絡結構示意圖;圖2為非漫游情況下WLAN系統與3GPP系統互通的網絡結構示意圖;圖3為WLAN與多個訪問網絡連接的網絡結構示意圖;圖4為現有技術中用戶終端選擇接入移動通信運營網的交互處理流程圖;圖5為本發明用戶終端選擇接入移動通信運營網的交互處理流程圖;圖6為本發明用戶終端選擇接入移動通信運營網一實施例的交互流程圖;圖7為本發明用戶終端選擇接入移動通信運營網另一實施例交互流程圖;圖8為本發明用戶終端選擇接入移動通信運營網又一實施例交互流程圖。
具體實施例方式
基于圖3所示的網絡結構,本發明防止無線局域網頻繁進行網絡選擇的基本思想是對于需要下發移動通信運營網信息的情況,每次下發移動通信運營網信息時,先根據一定時間內已下發信息次數,來判斷是否能下發移動通信運營網信息,如果能,則繼續下發移動通信運營網信息,并記錄已下發信息次數;否則,停止下發,判斷周期發生變化時,刷新下發記錄。對于停止下發以后收到的下發信息請求,可以丟棄不作響應或延遲下發。具體實現過程,如圖5所示,包括以下步驟步驟501~步驟506與現有技術中的步驟401~步驟406完全相同。
在實際應用中,根據步驟405的判斷,如果所收到的網絡選擇信息不屬于當前WLAN連接的移動通信運營網,則網絡會向當前WLAN用戶終端發送通知信令,WLAN用戶終端根據通知信令的內容完成后續操作。這里,網絡向用戶終端發送的通知信令分為兩種情況一種是在通知信令中直接包含有網絡要發布的移動通信運營網信息,以便WLAN用戶終端或用戶直接進行選擇;另一種是該通知信令只作為一個通知用戶終端當前所選移動通信運營網信息無效,并指示用戶終端需要下載移動通信運營網信息的信令,用戶終端可以根據需要確定是否請求網絡下發移動通信運營網信息。本發明只針對所有網絡向當前用戶終端下發移動通信運營網信息的情況。
步驟507~510判斷是否能向當前用戶終端下發移動通信運營網信息,如果能,則向當前用戶終端下發移動通信運營網信息,并記錄已下發信息次數,當前用戶終端收到后,根據移動通信運營網信息進行網絡選擇;如果不能,則停止下發移動通信運營網信息,判斷周期發生變化時,刷新下發記錄。對于停止下發后收到的下發移動通信運營網信息請求,可以丟棄不作響應或延遲下發,如果需要延遲下發,則記錄收到的該條需要延遲下發的下發移動通信運營網信息請求,并在延遲時間到時響應該請求,下發信息。
步驟507中,是根據一定時間內已下發信息次數來判斷是否能下發移動通信運營網信息,該已下發信息次數可以是網絡已下發信息次數;也可以是用戶終端的失敗識別次數,即用戶終端的已下發信息次數;還可以是網絡已下發信息次數和用戶終端的失敗識別次數,在記錄用戶終端的失敗識別次數的同時還會記錄該用戶終端的標識。而且,網絡提供給用戶終端進行選擇的移動通信運營網信息存儲在專門的網絡信息存儲單元,一般包括以下參數網絡名稱、網絡承載能力QOS、帶寬、業務能力、能夠提供的WLAN互通場景情況、費率情況、業務者種類等等。網絡下發當前WLAN連接的移動通信運營網信息時,可以發送所有與當前WLAN接入網有連接關系的移動通信運營網信息;也可選擇與當前用戶終端所指示的歸屬網絡有漫游關系的訪問網絡信息下發,如果沒有則可以不下發,或通知用戶沒有漫游關系存在。
針對上述方案,停止下發的情況有三種一種是預先設定網絡判定時間窗及其長度,以及在該判定時間窗內允許網絡下發移動通信運營網信息的總次數,如果當前網絡已下發次數超過總次數,就不再下發,比如預先設定網絡判定時間窗為20分鐘,在每個20分鐘內最多下發500次,如果不到20分鐘已下發500次,再下發就是第501次,則不再下發,當然,到下一個20分鐘開始時會刷新記錄重新判斷。這里,所設定的判定時間窗是動態的,具體地說,就是該判定時間窗的起始點可從任意時刻開始,并以小于或等于該判定時間窗的移動步長不斷移動,而且,對于移動步長,還要設置一個移動步長內允許下發的次數,該允許下發次數小于或等于網絡總下發次數。比如以一個靜態時刻為參考點,設定當前判定時間窗的移動步長為1分鐘,則從該參考點開始的第1分鐘到第21分鐘是一個20分鐘的判定時間窗,從該參考點開始的第2分鐘到第22分鐘又是一個新的20分鐘的判定時間窗。判定時間窗的下發信息記錄刷新,就是用當前已下發信息次數減去移動步長內允許下發次數,可設定移動步長內的允許下發次數由網絡總下發次數與網絡判定時間窗長度的商值得到,則每前進一個步長,已下發信息次數就會減少一個商值,具體說就是移動步長內的允許下發次數=500次/20分鐘=25次/分鐘,則每前進1分鐘,已下發信息次數就減少25次,如果該已下發信息次數記錄本來就小于25,則直接設置為0,以此類推。這種利用判定時間窗的長度和該判定時間窗內允許的總下發次數來決定移動步長內允許下發次數的方案,還可以達到智能調整和控制網絡擁塞的效果。其中,判定時間窗的長度和移動步長根據系統性能、網絡當前用戶多少情況和網絡維護策略來確定。
另一種是預先設定用戶終端判定時間窗及其長度,以及在該判定時間窗內允許網絡向每個用戶終端下發移動通信運營網信息的次數,還要設置該判定時間窗的移動步長和移動步長內允許下發的次數,該允許下發次數小于判定時間窗內的允許下發次數。每次記錄下發移動通信運營網信息的目標用戶終端標識,可以是該用戶終端的NAI標識,或是MAC地址標識,或是賬號,或是IP地址;并且,根據用戶終端的標識判斷該用戶終端是否在一定時間段內已下發了超過預先設定次數的移動通信運營網信息,如果是,則不再下發,比如預先設定判定時間窗為20分鐘,每個用戶終端在每個20分鐘內最多下發20次,當前用戶終端在不到5分鐘時已下發過20次,則不再下發,當然,到下一個20分鐘會刷新記錄重新判斷。對于控制每個用戶下發次數的情況而言,調整移動步長和移動步長內的允許下發次數值,可以調節對連續請求下發的用戶終端的響應控制。比如設置用戶終端判定時間窗的移動步長為5分鐘,移動步長內允許下發次數為5次或3次,這樣到了下一個20分鐘,即第5~25分鐘,要刷新已下發信息次數的記錄,具體說第5分鐘前下發信息次數已積累了20次,則到第5分鐘該下發信息次數可減少5次或3次,即允許該用戶終端再嘗試5次或3次。
移動步長最大可以與判定時間窗長度相等,即20分鐘,這樣每到下一個判定時間窗,如果移動步長內允許下發次數也是20,則記錄可以清0;也可以根據需要設置移動步長內的允許下發次數,比如8次,下一個連續的20分鐘只能減去8次,這樣如果用戶在第一個20分鐘,即第1~20分鐘內使用了超過8次,比如15次,就會在第二個連續的20分鐘,即第21~40分鐘內只有小于20次的允許下發的機會,即20-(15-8)=13次。
這里,可以針對每個用戶終端設置不同的用戶終端總下發次數,也可以對所有用戶終端設置一個統一的用戶終端總下發次數。判定時間窗依然是動態的概念。另外,用戶終端的MAC地址可從接入控制器(AC)中獲得。
第三種方案是預先設定網絡判定時間窗和用戶終端判定時間窗及每個判定時間窗的長度,并分別設定在網絡判定時間窗內允許的網絡總下發次數和在用戶終端判定時間窗內允許的用戶終端總下發次數,先判斷當前網絡已下發信息次數是否超過網絡總下發次數,如果超過,則不再下發;如果未超過,則根據用戶終端的標識判斷該用戶終端是否已有過下發記錄,如果沒有,則直接下發;如果有,再判斷當前用戶終端的失敗識別次數是否超過用戶終端總下發次數,如果超過,則不再下發;否則下發。這里,判定時間窗依然是動態的概念。
上述三種方案中,網絡判定時間窗和用戶終端判定時間窗可以是兩個不同的判定時間窗,分別取不同的判定時間窗長度值和移動步長值,并設定不同的允許下發次數,移動步長內刷新的次數也不同;網絡判定時間窗和用戶終端判定時間窗也可以是同一個判定時間窗。對于判定時間窗和移動步長,可設定移動步長與判定時間窗的長度相等或不等,實施中可將判定時間窗和移動步長直接合并,統一設置為一個參數,比如稱為判定單位時間,這種情況就相當于移動步長與判定時間窗的長度一直相等,可以簡化實施和參數設置。相應地,如果設定移動步長內允許下發次數與判定時間窗內允許下發次數相等,則可以將這兩個參數也合并為同一個參數,比如稱為判定單位時間內允許下發次數。這樣四個參數合并為兩個后,判斷是否下發就簡化為按照單位時間內允許下發次數來判定是否允許給用戶終端下發網絡信息的方案。當然,判定時間窗和移動步長合并為一個參數后,移動步長內允許下發次數與判定時間窗內允許下發次數也可以不合并,這種情況下,移動步長內允許下發次數用于刷新下發記錄,判定時間窗內允許下發次數作為判定單位時間內允許下發次數的基本值。
上述三種停止下發的方案,可以根據網絡的能力情況選擇實施其中一種,以增強對各種攻擊方法的解決,其中,對于用戶終端標識的判定來說,使用MAC地址標識的效果比使用NAI標識的效果更好。
對于上述三種方案,可以對停止下發后收到的下發信息請求進行延遲下發,具體方法是預先設個延遲時間,從停止時刻開始啟動計時,計時到就響應這些請求下發信息。對于判定時間窗和移動步長設為同一個參數的情況,延遲下發可以是在下一個判定單位時間開始時下發;也可以預先設個延遲時間,從停止時刻開始啟動計時,計時到就響應這些請求下發信息,這種情況下,如果所設延遲時間大于當前判定單位時間內的剩余時間,則根據需要以延遲時間到或判定單位時間到為準。
圖6至圖8所示為對應上述三種停止下發方案的三個實施例,圖6是以判斷已下發信息次數是否已到達網絡總下發次數作為停止下發的條件,如圖6中步驟607~609所示;圖7是將判斷用戶終端標識是否存在失敗識別記錄,以及判斷失敗識別次數是否大于該用戶終端的總下發次數結合合確定是否停止下發,如圖7中步驟707~711所示;圖8是以判斷已下發信息次數是否大于等于網絡總下發次數,判斷用戶終端標識是否存在失敗識別記錄,以及判斷失敗識別次數是否已到達當前用戶終端總下發次數三者結合確定是否停止下發,如圖8中步驟807~811所示,其中步驟809中的失敗識別次數就代表當前用戶終端的下發信息次數。圖6中的步驟601~606和610、圖7中的步驟701~706和712、圖8中的步驟801~806和812分別與圖5中的501~506和510相同。
本發明中,恢復下發是指在預先設定的判定時間窗內如果下發信息次數已到達預先設定的總次數,就停止下發,到下一個時間段開始就恢復下發,比如對于判定時間窗和移動步長都是20分鐘的情況,設定每20分鐘下發信息總次數為50次,如果到10分鐘就已下發50次,則后10分鐘不再下發,到下一個20分鐘,記錄刷新后,開始恢復下發。
基于上述思想,對于惡意用戶利用一個網絡不能識別的NAI標識,反復進行嘗試的情況,由于在一定時間段內多次出現了攜帶有不能識別的網絡選擇信息的相同NAI,因此可以利用本發明的方案停止不該有的移動通信運營網信息下發,避免用戶終端采用相同的網絡無法識別的NAI不斷觸發網絡下發移動通信運營網信息的過程。
對于網絡負荷過重的情況,可以通過控制一定時間段內網絡下發移動通信運營網信息的總量,來避免網絡擁塞。這樣可能會使正常用戶的接入速度受到影響,但網絡總體不會受到網絡選擇導致的負荷過重的影響。
對于惡意用戶利用合法用戶的NAI標識,反復進行嘗試,導致合法用戶不能正常收到下發信息進行網絡選擇的情況,可以根據MAC地址標識識別,由于對鑒權失敗或網絡選擇錯誤、網絡已下發了移動通信運營網信息的用戶進行識別記錄,如果該MAC標識的用戶再次或多次發起錯誤的網絡選擇即NAI則不對其進行響應,避免其不斷的更改NAI對網絡進行攻擊。
總之,可以防止各種情況的惡意攻擊行為或網絡擁塞,以上所述僅為本發明的較佳實施例而已,并非用來限定本發明的保護范圍。
權利要求
1.一種防止無線局域網頻繁進行網絡選擇交互的方法,該方法包括a.WLAN用戶終端與WLAN接入網建立無線連接后,網絡或WLAN用戶終端發起接入認證過程,所述WLAN用戶終端在接入認證交互中向WLAN接入網發送網絡選擇信息;b.網絡判斷所收到的網絡選擇信息是否屬于當前WLAN連接的移動通信運營網,如果是,則將所述WLAN用戶終端的接入認證請求發送至網絡選擇信息所標識的移動通信運營網;其特征在于,如果收到的網絡選擇信息不屬于當前WLAN連接的移動通信運營網,該方法還包括c.根據一定時間內已下發信息次數,判斷當前是否能下發移動通信運營網信息,如果能,則向當前用戶終端下發移動通信運營網信息,并記錄已下發信息次數;否則,停止下發移動通信運營網信息。
2.根據權利要求1所述的方法,其特征在于,該方法進一步包括預先設定下發移動通信運營網信息的判定時間窗長度和移動步長,且移動步長小于等于判定時間窗的長度。
3.根據權利要求2所述的方法,其特征在于,所述判定時間窗長度和移動步長根據系統性能、網絡當前用戶多少情況以及網絡維護策略來確定。
4.根據權利要求2所述的方法,其特征在于,所述判定時間窗為網絡判定時間窗、或為用戶終端判定時間窗、或為兩者的組合。
5.根據權利要求4所述的方法,其特征在于,該方法進一步包括預先設定網絡判定時間窗內允許的網絡總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的網絡總下發次數。
6.根據權利要求5所述的方法,其特征在于,步驟c中所述已下發信息次數為網絡已下發信息次數,步驟c中所述判斷為判斷當前網絡已下發信息次數是否超過網絡的總下發次數,如果超過,則不能下發移動通信運營網信息,如果未超過,則能下發移動通信運營網信息。
7.根據權利要求4所述的方法,其特征在于,該方法進一步包括預先設定用戶終端判定時間窗內允許的單個用戶終端總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的用戶終端總下發次數。
8.根據權利要求7所述的方法,其特征在于,步驟c中所述已下發信息次數為用戶終端的失敗識別次數,步驟c中所述判斷為先根據用戶終端標識判斷是否已存在當前用戶終端的失敗識別記錄,如果沒有,則能下發移動通信運營網信息;否則,判斷當前用戶終端的失敗識別次數是否小于等于該用戶終端的總下發次數,如果是,則能下發移動通信運營網信息,否則,不能下發移動通信運營網信息。
9.根據權利要求4所述的方法,其特征在于,該方法進一步包括預先設定網絡判定時間窗內允許的網絡總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的網絡總下發次數;并預先設定用戶終端判定時間窗內允許的單個用戶終端總下發次數和移動步長內允許下發的次數,且移動步長內的允許下發次數小于或等于判定時間窗內允許的用戶終端總下發次數。
10.根據權利要求9所述的方法,其特征在于,步驟c中所述已下發信息次數為網絡已下發信息次數和用戶終端的失敗識別次數,步驟c中所述判斷為先判斷當前網絡已下發信息次數是否超過網絡的總下發次數,如果超過,則不能下發移動通信運營網信息,如果未超過,則根據用戶終端標識判斷是否已存在當前用戶終端的失敗識別記錄,如果未存在,則能下發移動通信運營網信息;否則,再判斷當前用戶終端的失敗識別次數是否小于等于該用戶終端的總下發次數,如果是,則能下發移動通信運營網信息,如果不是,則不能下發移動通信運營網信息。
11.根據權利要求8或10所述的方法,其特征在于,所述用戶終端標識為當前用戶終端的介質訪問控制(MAC)地址標識,或為當前用戶終端的網絡接入標識(NAI),或為當前用戶終端的賬號,或為當前用戶終端的IP地址。
12.根據權利要求6、8或10所述的方法,其特征在于,該方法進一步包括每個判定時間窗前進一個移動步長,刷新該判定時間窗內新的已下發信息次數為當前已下發信息次數減去移動步長內的允許下發次數。
13.根據權利要求5、7或9所述的方法,其特征在于,所述移動步長內的允許下發次數設定為當前判定時間窗內允許的總下發次數與該判定時間窗長度的商值。
14.根據權利要求5、7或9所述的方法,其特征在于,所述判定時間窗內設定的下發次數根據系統性能、網絡當前用戶多少情況以及網絡維護策略來確定。
15.根據權利要求5、7或9所述的方法,其特征在于,該方法進一步包括,將判定時間窗和移動步長統一設置為一個參數。
16.根據權利要求15所述的方法,其特征在于,該方法進一步包括,將判定時間窗內允許的總下發次數與移動步長內允許的下發次數統一設置為一個參數。
17.根據權利要求1所述的方法,其特征在于,該方法進一步包括停止下發后,記錄收到的需要延遲下發的下發移動通信運營網信息請求,并在延遲時間到時響應該請求。
18.根據權利要求1所述的方法,其特征在于,步驟c中網絡向當前用戶終端下發所有與當前WLAN接入網有連接關系的移動通信運營網信息。
19.根據權利要求1所述的方法,其特征在于,步驟c中網絡向當前用戶終端下發與當前WLAN接入網有連接關系的、且與當前用戶終端歸屬網絡有漫游關系的移動通信運營網信息。
全文摘要
本發明公開了一種防止無線局域網頻繁進行網絡選擇交互的方法,對于需要下發移動通信運營網信息的情況,每次下發移動通信運營網信息時,先根據一定時間內已下發信息次數來判斷是否能下發移動通信運營網信息,如果能,則繼續下發移動通信運營網信息,并記錄已下發信息次數;否則,停止下發,判斷周期發生變化時,刷新下發記錄,并且,對于停止下發以后收到的下發信息請求,可以丟棄或延遲下發。本發明能夠保證WLAN網絡不會被網絡選擇機制導致擁塞,或被惡意用戶終端攻擊。
文檔編號H04L12/28GK1581825SQ03153319
公開日2005年2月16日 申請日期2003年8月8日 優先權日2003年8月8日
發明者張文林 申請人:華為技術有限公司