WO2011109936A1

WO2011109936A1 - 对用户终端进行认证的方法及装置

Info

Publication number: WO2011109936A1
Application number: PCT/CN2010/070942
Authority: WO
Inventors: 温海波; 宾梵翔; 马松伟
Original assignee: 上海贝尔股份有限公司; 阿尔卡特朗讯
Priority date: 2010-03-09
Filing date: 2010-03-09
Publication date: 2011-09-15
Also published as: US8813195B2; JP5521057B2; CN102474722B; US20120304259A1; KR20120139777A; EP2547133A1; EP2547133B1; JP2013521728A; CN102474722A; EP2547133A4; KR101426721B1

Description

对用户终端进行认证的方法及装置技术领域

本发明涉及通信网絡中跨运营域的业务提供，主要涉及用户终端跨域业务享用的认证。背景技术

Femtocell, 在 3GPP 中称之为家庭基站（ HNB ) 或家庭演进基站 ( HeNB ), 目前已经成为一个讨论的热点。其不仅有效改善了移动通信在家庭中的覆盖情况，而且可引入更多的增值业务，例如基于位置的业务，本地 IP接入到驻地网和企业网等。

图 1描述了包含家庭基站 11的网络拓朴架构，包括家庭网络 10、固定接入网絡 20和移动核心网络 30。固定接入网络 20为家庭基站 11 提供接入到移动核心网的网络链路，即固定接入网絡 20 为家庭基站 1 1接入到移动核心网 30提供了回程连接；用户终端 41通过家庭基站 1 1 接入移动网络。家庭基站 11 与移动核心网 30 中的家庭基站网关 ( Femto Gateway )之间建立安全通道 ( Secure channel )。如果家庭基站 11不支持 LIPA ( local IP Access )时，那么用户终端 41和固定接入网络 20中设备、家庭网络中设备、以及 Internet (未在图 1 中示出）中的设备通信，都要通过安全通道、到移动核心网，再被 GPRS网关支持节点路由到该区的地方。如果家庭基站 11支持 LIPA, 那么用户终端 41可以直接和家庭网络中设备通信，但是与固定接入网络 20中设备以及 Internet 中的设备通信，仍要通过安全通道、穿越移动核心网。此外 3GPP也在积极研究如何将 Internet业务等也直接从家庭基站处旁路下来，通过固定接入网络 20直接进入 Internet, 而不用通过安全通道到移动核心网。发明内容

目前， IPTV 已经在固定接入网络中得到了广泛的部署和应用，人们可观看即时节目和视频点播节目。当用户终端附着到家庭中的家庭基站后，用户可能需要通过用户终端来观看 IPTV。如果用户终端通过现有的传输路径（即图 1 中所示的曲线箭头 51 ) 来收看 IPTV, 即 IPTV业务数据流首先从固定接入网络被传送到移动核心网中 , 然后通过图 1 所示的安全通道，从家庭基站网关传送到家庭基站，然后再到用户终端。显然，该方案导致了带宽资源的极大浪费。

另一种可能的有效的解决方案如下： IPTV业务数据流可从固定接入网络直接传送至驻地网络中的家庭基站，再至用户终端，如图 2中的箭头 61 所示。由此带来的一个问题是：由于用户终端是由移动网络运营商直接控制的，固定接入网络如何信任该用户终端，也即用户终端如何通过家庭基站直接获得固定接入网络中认证服务器的认证。

因此，本发明提出了一种对在通信网络的第一运营域中的注册的用户终端，当其请求获取由第二运营域提供的业务时，对该用户终端进行认证的技术方案。

根据本发明的第一实施例，提出了一种在通信网络的第一运营域中的服务 GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的方法，该用户终端为第一运营域的用户终端，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该方法包括以下步骤：接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息；验证所述用户终端是否有权限接收所述业务；如所述用户终端有权限接收所述业务，则发送第二请求消息至第一运营域中的认证服务器，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。

根据本发明的另一个实施例，提供了一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的方法，其中，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该用户终端为注册到第一运营域的用户终端，该方法包括以下步骤：发送请求接收所述业务的第一请求消息至第一运营域中的服务 GPRS支持节点；接收来自所述服务 GPRS支持节点的用于访问所述业务的所需的信息；发送认证请求消息至所述第二运营域中的认证服务器，该认证请求消息中包含所述所需的信息；接收来自所述第二运营域中的认证服务器的第二响应消息。

根据本发明的又一实施例，提供了一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括以下步骤：接收来自用户终端的认证请求消息；将所述认证请求消息转发至给所述第一运营域中的认证服务器；接收来自所述第一运营域的认证服务器的第一认证响应消息；根据所述第一认证响应消息，发送第二认证响应消息至所述用户终端。

根据本发明的又一实施例，提供了一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该方法包括以下步骤：接收来自第一运营域中的服务 GPRS支持节点的第二请求消息，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息；为所述用户终端分配访问所述业务所需的信息，且进行存储，并将该信息发送至所述服务 GPRS支持节点；接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息，该认证请求消息中包含所述用户终端访问所述业务所需的信息；将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较；根据所述比较结果，发送第一认证响应消息至所述第二运营域的认证服务器。

根据本发明的又一实施例，提供了一种在通信网络的第一运营域中的服务 GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置，其中，该用户终端为注册到第一运营域的用户终端，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括：第一接收装置，用于接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息；验证装置，用于验证所述用户终端是否有权限接收所述业务；第一发送装置，用于如所述用户终端有权限接收所述业务，则发送第二请求消息至第一运营域中的认证服务器，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。

根据本发明的又一实施例，提供了一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置，其中，该用户终端为注册到第一运营域的用户终端，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该请求装置包括：第二发送装置，用于发送请求接收所述业务的第一请求消息至第一运营域中的服务 GPRS支持节点；第二接收装置，用于接收来自所述服务 GPRS支持节点的用于访问所述业务的所需的信息；第三发送装置，用于发送认证请求消息至所述第二运营域中的认证服务器，该认证请求消息中包含所述所需的信息；第三接收装置，用于接收来自所述第二运营域中的认证服务器的第二响应消息。

根据本发明的又一实施例，提供了一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括：第四接收装置，用于接收来自用户终端的认证请求消息；第四发送装置，用于将所述认证请求消息转发至给所述第一运营域中的认证服务器；第五接收装置，用于接收来自所述第一运营域的认证服务器的第一认证响应消息；第五发送装置，用于根据所述第一认证响应消息，发送第二认证响应消息至所述用户终端。

根据本发明的又一实施例，提供了一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括：第六接收装置，用于接收来自第一运营域中的服务 GPRS支持节点的第二请求消息，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息；信息分配装置，用于为所述用户终端分配访问所述业务所需的信息，且进行存储，并将该信息发送至所述服务 GPRS支持节点；第七接收装置，用于接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息，该认证请求消息中包含所述用户终端访问所述业务所需的信息；比较装置，用于将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较；第六发送装置，用于根据所述比较结果，发送一个认证响应消息至所述第二运营域的认证服务器。

通过本发明的方法和装置，为注册到第一运营域的用户终端请求第二运营域提供的业务时，提供了有效的认证解决方案，使得后续的业务传输变得更加有效；并且使得第二运营域中的各种增值业务可以很容易地推广至注册到第一运营域的用户终端，也就是说提供了一种新的业务提供或获取模式。对于图 2所示的网络拓朴结构，固定接入网络提供的业务通过家庭基站直接提供给用户终端：终端用户获得了更多的应用；固定接入网络运营商进入了家庭基站产业链；移动网络运营商一方面可利用固定接入网络旁路业务减轻其网絡负载，另一方面可将第三方（即固定接入网络）的业务推介给其用户。从而达到了三贏的效果。附图说明

通过阅读以下参照附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显。

图 1为根据本发明的一个具体实施方式的通信系统的应用场景示意图；

图 2为根据本发明的另一个具体实施例的通信系统的应用场景示意图;；、 ' 、 1 八 :、、、、、山、 z一、、、系统流程示意图；

图 4为根据本发明的一个具体实施方式的在通信网络的第一运营域中的服务 GPRS 支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置 400的结构框图；

图 5为居发明的一个具体实施方式的在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置 500的结构框图；图 6为根据本发明的一个具体实施方式的在通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置 600的结构框图；

图 7为根据本发明的一个具体实施方式的在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置 700的结构框图；

其中，相同或相似的附图标记表示相同或相似的步骤特征或装置 (模块）。具体实施方式

以下结合附图对本发明的具体实施例进行详细的示例性描述。不失一般性地，以图 2所示的应用场景为例，对图 3中的流程进行详细说明。在图 2中，家庭网络（Residential network ) 10中包括家庭基站 11和其他设备，电视机 13、个人电脑 14等。通常，家庭基站 11 中集成了家庭网关的功能。当然，家庭网关和家庭基站也可以物理上分离，各自成为一个独立的设备。用户终端 41 通过无线方式连接到家庭基站 11 (当然，用户终端能否附着到家庭基站 11是由移动核心网 30所控制的）。固定接入网络 20中包括认证服务器 21、IPTV 提供平台 22 (可包括一个或多个服务器）、接入节点 23等一系列网络设备。移动核心网 30中包括服务 GPRS支持节点 31、认证服务器 32、家庭基站 11 的网关 33 , GPRS 网关支持节点（GGSN ) 34等一系列网络设备。

需要说明的是，在图 2中，用户终端 41、家庭基站 11是包括移动核心网 30在内的移动网络中的设备。另外一个需要说明的是，图 1 或图 2所示的网络拓朴结构图仅是一个示意图，主要示出了与本发明的各个实施例相关的网络设备，其它很多与本发明的各个实施例相关度不大的网络设备均未示出。

图 3示出了根据本发明的一个具体实施例的当通过家庭基站连接到通信网絡中的用户终端请求获取第二运营域提供的业务时，对该用户终端进行认证的方法流程图，其中，该用户终端注册到第一运营域，第二运营域为第一运营域的家庭基站 11提供回程链路。

结合图 2所示的应用场景，第一运营域为图 2所示的移动核心网络，第二运营域为固定接入网络。需要说明的是，运营域是指运营商 (如中国移动、中国联通、中国电信等）所辖的通信网络。第二运营域为第一运营域提供回程 (backhauling) IP连接。

以下以图 2所示的网络拓朴结构为例，对图 3所示的流程进行详细说明。

首先，在步骤 S301 中，用户终端 41发送请求接收固定接入网络 20提供的业务的第一请求消息至移动核心网中的服务 GPRS 支持节点 31。

在一个实施例中，第一请求消息的格式为激活分组数据协议上下文请求（ Activate PDP context Request )消息，且该消息中包含一个指示请求接收固定接入网络 20提供的业务的接入点名称（ APN, Access Point Name )。

接着，在步骤 S302中，服务 GPRS支持节点 31验证用户终端 41 是否有权限接收固定接入网络 20提供的业务。在一个实施例中，服务 GPRS 支持节点 31根据用户终端 41的用户数据（ Subscriber Data ) 来验证用户终端 41是否有权限来接收固定接入网络 20提供的业务。用户终端 41的用户数据（Subscriber Data ) 由移动核心网 30中的归属位置寄存器（ Home Location Register, HLR )提供。

需要说明的是，固定接入网络提供的业务不限于上文所述的 IPTV 业务，包括一切固定接入网络可提供的业务，例如视频点播业务、高速上网 HSI ( High Speed Interconnect )业务、在线阅读业务等。如果用户终端 41有权限接收其请求的固定接入网络 20提供的业务，则在步骤 S303中，服务 GPRS节点 31发送第二请求消息至移动核心网 30中的认证服务器 32, 该第二请求消息用于请求移动核心网 30中的认证服务器 32为用户终端 41分配访问固定接入网络 20提供的业务所需的信息。在一个实施例中，所需的信息包括帐号和 /或密码；当然也可以包含其它与该业务相关的信息，如 IPTV服务器的地址等。

可选地，在服务 GPRS节点 31 收到的第一请求消息中还包括用户终端 41所附着的家庭基站 11的网络地址。该网络地址可由家庭基站网关在转发该第一请求消息时插入到该第一请求消息中。或者服务 GPRS节点 31还可以通过其它方式获知家庭基站 11的网络地址。该网络地址可用于移动核心网 30中的认证服务器 32对用户终端 41进行认证（这将在下文进行描述）。

在一个实施例中，第二请求消息的格式可以是基于 Diameter或者 RADIUS协议的，第二请求消息中包括用户终端 41的 ID, 用户终端 41附着到的家庭基站 11的网络地址。

在步骤 S304中，移动核心网 30中的认证服务器 32在接收到来自移动核心网 30中的服务 GPRS支持节点 31的第二请求消息后，为用户终端 41分配访问固定接入网络 20所提供的业务所需的信息，例如帐号和 /或密码，存储该所需的信息，并发送给服务 GPRS支持节点 31。在一个实施例中，认证服务器 32还存储与所需的信息对应的用户终端 41附着到的家庭基站 11的网络地址。

需要说明的是，所需的信息可根据用户终端 41 请求访问的业务的不同而有所不同。例如， IPTV 业务可能需要帐号和密码；在线阅读业务仅需要一个帐号而已。

在步骤 S305中 ,服务 GPRS支持节点 31在接收到来自移动核心网 30中的认证服务器 32的所需的信息后，将该所需的信息发送给用户终端 41。

在一个实施例中，该所需的信息可以通过激活分组协议数据上下文接受（ Activate PDP context Accept )消息的形式发送给用户终端 41。可选地，在步骤 S305之前，服务 GPRS支持节点 31在接收到来自移动核心网 30中的认证服务器 32的所需的信息后，为用户终端 41 预留空中接口资源以及创建相应的分组数据协议上下文（ PDP Context ) 以用于其请求的固定接入网络 20提供的业务的接收。在一个实施例中，服务 GPRS支持节点 31通知用户终端 41附着到的家庭基站 11 , 为用户终端 41预留空中接口资源以及创建分组数据协议上下文，该分组数据协议上下文所指示的分组数据网络（PDN )连接在家庭基站 11处直接接入固定接入网络 20而不是安全隧道，但此时没有分配相应的网絡地址，这网络地址将由第二运营域的 IPTV平台（包括一个或多个服务器）。分组数据协议上下文所指示的分组数据网络 ( PDN )连接是指从用户终端 41至家庭基站 11上的逻辑 GGSN这段连接。此情形下，家庭基站 11中也集成 GGSN的功能。

在步骤 S306中，用户终端 41在接收到来自服务 GPRS支持节点的用于访问其清求的业务所需的信息后 , 发送一个认证请求消息至固定接入网络 20中的认证服务器 21，该第一认证请求消息中包含访问固定接入网络 20所提供的业务所需的信息。

在一个实施例中，如上文所述，如果用户终端 41 的数据业务是基于分组协议数据上下文，则认证请求消息可通过新建立的 PDP 上下文来发送一个 DHCP消息来实现。访问固定接入网络 20所提供的业务所需的信息可放在 DHCP消息中的一个选项（Option ) 中，或者是放在 DHCP消息中的 EAP认证扩展选项中（关于 EAP认证扩展选项的具体内容，可参见 Pruss, R.， Zorn, G., Maglione, R.， and Y. Li, ΑΡ Authentication Extensions for the Dynamic Host Configuration Protocol for Broadband", draft-pruss-dhcp-auth-dsl-06. June 10, 2009 )。

在一个实施例中，固定接入网络 20 中的接入节点 23 , 例如 DSLAM, 可在用户终端 41发送的认证请求消息中插入端口信息，例如放在 DHCP消息的选项中，以用于固定接入网络 20中的认证服务器 21来识别用户终端 41附着的家庭基站 21的网络地址。此情形下，认证服务器 21 中预存有接入节点端口与家庭基站的网络地址之间的对应关系。

在步骤 S³07中，固定接入网络 20中的认证服务器 21将来自用户终端 41的认证请求消息发送给移动核心网 30中的认证服务器 32。

可选地，认证服务器 21可将家庭基站 11的网絡地址加入到认证请求消息中后，再转发给移动核心网 30中的认证服务器 32。

在步骤 S308中，移动核心网 30中的认证服务器 32在接收到来自固定接入网络 20中的认证服务器 21的认证请求消息后，将认证请求消息中包含用户终端 41 访问固定接入网络提供的业务所需的信息与存储的所需的信息进行比较。

可选地，在认证请求消息中包含家庭基站 11 的网络地址的情形下，认证服务器 32还将存储的所需的信息对应的网絡地址与该认证请求消息中包含的网络地址相比较。

然后，在步骤 S309中，移动核心网 30中的认证服务器 32根据比较结果，发送一个第一认证响应请求消息至固定接入网络 20 中的认证服务器 21。第一认证响应消息中包含比较结果是否匹配的信息，也即如果比较结果匹配，第一认证响应消息包含指示认证成功的信息，比较结果不匹配，第一认证响应消息包含指示认证失败的信息。

固定接入网络 20中的认证服务器 21在接收到该第一认证响应请求消息后，在步骤 S310 中，根据该第一认证响应消息，发送一个第二认证响应消息至用户终端 41。

在用户终端 41所请求的固定接入网络 20提供的业务需要网络地址接收的情形下，在第一认证响应消息包含指示认证成功的信息的情形下，第二认证响应消息中包含一个分配给用户终端 41 的一个网络地址。在固定接入网络为基于 IP 的通信网络的情形下，网络地址即为 IP 地址。可选地，在第二认证响应消息中，还可以包含一个根密钥，以用于产生用户终端 41 与固定接入网络的业务提供服务器之间的会话密钥。

然后，用户终端 41 根据第二认证响应消息中包含的信息，例如分配给它的网络地址，以及根密钥来进行获取固定接入网络 20提供的业务。

例如，在用户终端 41获取固定接入网络 20提供的 IPTV业务的情形下，用户终端 ⁴1可以利用分配的 IP地址来访问电子节目单指南 ( EPG ), 然后通过已经建立的分组数据协议上下文建立来直接收看 IPTV。

图 4示出了根据本发明的一个具体实施方式的在通信网络的第一运营域中的服务 GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置 400的结构框图，其中，该用户终端注册到第一运营域。在图 4中，装置 400包括第一接收装置 401、验证装置 402、第一发送装置 403。

以下结合图 2,对位于服务 GPRS支持节点 31 中的装置 400的工作过程进行详细说明。在本实施例中，第一运营域为移动核心网 30, 第二运营域为固定接入网络 20。

首先，第一接收装置 401接收来自用户终端 41 的请求接收第二运营域提供的业务的第一请求消息。在一个实施例中，第一请求消息为激活分组数据协议上下文请求消息，其包含一个指示请求接收第二运营域提供的业务的接入点名称。

然后，验证装置 402验证用户终端 41是否有权限接收所述业务。最后，如用户终端 41有权限接收所述业务，则第一发送装置 403发送第二请求消息至第一运营域中的认证服务器 32 ,该第二请求消息用于请求第一运营域中的认证服务器 32为用户终端 41分配访问所述业务所需的信息。在一个实施例中，第二请求消息中还包含用户终端 41 所附着的家庭基站 11 的网絡地址。还可包含其它与该业务相关的信息，如 IPTV服务器的地址等。

在认证服务器 32 为用户终端 41 分配访问所述业务所需的信息后，发送给服务 GPRS支持节点 31。在一个实施例中，所需的信息包括帐号和 /或密码。

第一接收装置 401接收来自第一运营域中的认证服务器 32的所述所需的信息。然后一个预留装置（未在图 4中示出）为用户终端 ⁴】预留空中接口资源并创建相应的分组数据协议上下文 ( PDP Context ) 以用于所述业务的接收。

最后，第一发送装置 403将所述所需的信息发送给用户终端 41。图 5示出了根据发明的一个具体实施方式的在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置 500 的结构框图，其中，该用户终端注册到第一运营域，第二运营域为第一运营域的家庭基站提供回程链路。在图 5中，该请求装置 500包括第二发送装置 ⁵01、第二接收装置 502、第三发送装置 503和第三接收装置 504。

以下结合图 2,对位于用户终端 41中的请求装置 500的工作过程进行详细说明。在本实施例中，第一运营域为移动核心网 30，第二运营域为固定接入网络 20。

首先，第二发送装置 501发送请求接收第二运营域提供的业务的第一请求消息至第一运营域中的服务 GPRS支持节点。

接着，第二接收装置 502接收来自服务 GPRS支持节点 31的用于访问第二运营域提供的业务的所需的信息。

然后，第三发送装置 503发送认证请求消息至所述第二运营域中的认证服务器 21 , 该认证请求消息中包含上述所需的信息；

最后，第三接收装置 504接收来自第二运营域中的认证服务器 21 的第一响应消息。在第二运营域为基于 IP的固定接入网络的情形下，该第二认证响应消息中包括访问所述业务所需的 IP地址。

可选地，在第二认证响应消息中，还可以包含一个根密钥，以用于产生用户终端 41 与固定接入网络的业务提供服务器之间的会话密钥。

图 6示出了根据本发明的一个具体实施方式的在通信网絡的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置 600的结构框图，第二运营域为第一运营域的家庭基站提供回程链路。在图 6中，装置 600包括第四接收装置 601、第四发送装置 602、第五接收装置 603和第五发送装置 604。

以下结合图 2,对位于认证服务器 21 中的装置 600的工作过程进行详细说明。在本实施例中，第一运营域为移动核心网 30，第二运营域为固定接入网络 20。

首先，第四接收装置 601接收来自用户终端 41的认证请求消息。然后，第四发送装置 602将认证请求消息转发至给第一运营域中的认证服务器 21。

接着，第五接收装置 603接收来自第一运营域的认证服务器 32 的第一认证响应消息。

最后，第五发送装置根据第一认证响应消息，发送第二认证响应消息至用户终端 41。在一个实施例中，第二运营域为基于 IP的固定接入网络，装置 600还包括一个分配装置（未在图 6中示出），如第一认证请求消息包含指示认证成功的信息，则为用户终端 41分配 IP 地址，该 IP地址被包含在第二认证响应消息中。

图 7示出了根据本发明的一个具体实施方式的在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置 700的结构框图，第二运营域为第一运营域的家庭基站提供回程链路。在图 7中，装置 700包括第六接收装置 701、分配存储发送装置 702、第七接收装置 703、比较装置 704和第六发送装置 705。

以下结合图 2,对位于认证服务器 31中的装置 700的工作过程进行详细说明。在本实施例中，第一运营域为移动核心网 30，第二运营域为固定接入网络 20。

首先，第六接收装置 701接收来自第一运营域中的服务 GPRS支持节点 31 的第二请求消息，该第二请求消息用于请求第一运营域中的认证服务器 31为用户终端 41分配访问第二运营域提供的业务所需的信息。

接着，分配存储发送装置 702为用户终端 41分配访问所述业务所需的信息，且进行存储，并将该信息发送至服务 GPRS支持节点 31。然后，第七接收装置 703接收来自第二运营域的认证服务器 21 的对用户终端 41 进行认证的认证请求消息，该认证请求消息中包含用户终端 41访问所述业务所需的信息。

比较装置 70⁴将认证请求消息中包含用户终端 41访问所述业务所需的信息与存储的所需的信息进行比较。

第六发送装置 705根据比较装置 704的比较结果，发送一个认证响应消息至第二运营域的认证服务器 21。

在一个实施例中，第二请求消息中还包含用户终端 41 所附着的家庭基站 11的网络地址，分配存储发送装置 702将家庭基站 11的网络地址与所述所需的信息一起存储。第七接收装置 703接收到的认证请求消息中还包括用户终端 41所附着的家庭基站 11的网络地址。比较装置 704将认证请求消息中包含用户终端 41访问所述业务所需的信息、用户终端 41所附着的家庭基站 11的网络地址与存储的所需的信息、用户终端 41所附着的家庭基站 11的网络地址进行比较。然后第六发送装置 705根据比较装置 704的比较结果，发送一个认证响应消息至第二运营域的认证服务器 21。

以上对本发明的各个具体实施方式进行了详细说明 , 任何不背离本发明精神的技术方案均应落入本发明的保护范围之内。此外，不应将权利要求中的任何附图标记视为限制所涉及的权利要求； "包括"一词不排除其它权利要求或说明书中未列出的装置或步骤；装置前的 "一个" 不排除多个这样的装置的存在；在包含多个装置的设备中，该多个装置中的一个或多个的功能可由同一个硬件或软件模块来实现； "第一"、 "第二，，、 "第三，，等词语仅用来表示名称，而并不表示任何特定的顺序。

Claims

权利要求书

1. 一种在通信网络的第一运营域中的服务 GPRS 支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的方法，其中所述第二运营域为所述第一运营域的家庭基站提供回程链路，该用户终端为注册到第一运营域的用户终端，该方法包括以下步骤：

A. 接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息；

B. 验证所述用户终端是否有权限接收所述业务；

C. 如所述用户终端有权限接收所述业务，则发送第二请求消息至第一运营域中的认证服务器，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。

2. 根据权利要求 1所述的方法，其中，还包括以下步骤：

- 接收来自所述第一运营域中的认证服务器的所述所需的信息； - 为所述用户终端预留空中接口资源以及创建相应的分组数据协议上下文以用于所述业务的接收；

- 将所述所需的信息发送给用户终端。

3. 根据权利要求 2所述的方法，其中，所述所需的信息包括帐号和 /或密码。

4. 根据权利要求 1 所述的方法，其中，所述第一运营域为移动通信网络，所述第二运营域为固定通信网络。

5. 根据权利要求 1 所述的方法，其中，所述第二请求消息中还包含所述用户终端所附着的家庭基站的网络地址。

6. 一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的方法，其中，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该用户终端为注册到第一运营域的用户终端，该方法包括以下步驟：

- 发送请求接收所述业务的第一请求消息至第一运营域中的服务 GPRS支持节点；

一接收来自所述服务 GPRS支持节点的用于访问所述业务的所需的信息；

- 发送认证请求消息至所述第二运营域中的认证服务器，该认证请求消息中包含所述所需的信息；

- 接收来自所述第二运营域中的认证服务器的第二响应消息。

7. 根据权利要求 6所述的方法，其中，所述第二运营域为基于 IP 的固定通信网络，该认证响应消息中包括访问所述业务所需的 IP 地址。

8. —种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法，其中，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括以下步骤：

- 接收来自用户终端的认证请求消息；

- 将所述认证请求消息转发至给所述第一运营域中的认证服务器；

- 接收来自所述第一运营域的认证服务器的第一认证响应消息； - 根据所述第一认证响应消息，发送第二认证响应消息至所述用户终端。

9. 根据权利要求 8所述的方法，其中，所述第二运营域为基于 IP的固定通信网络，所述方法还包括以下步骤：

如所述第一认证请求消息包含指示认证成功的信息，则为所述用户终端分配 IP地址。

10. 一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法，其中，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该方法包括以下步骤：

- 接收来自第一运营域中的服务 GPRS 支持节点的第二请求消息，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息；

- 为所述用户终端分配访问所述业务所需的信息，且进行存储，并将该信息发送至所述服务 GPRS支持节点；

- 接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息，该认证请求消息中包含所述用户终端访问所述业务所需的信息；

- 将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较；

- 根据所述比较结果，发送第一认证响应消息至所述第二运营域的认证服务器。

11. 根据权利要求 10所述的方法，其中，所述第二请求消息中还包含所述用户终端所附着的家庭基站的网络地址，

所述存储步骤包括以下步骤：

- 将所述家庭基站的网络地址与所述所需的信息一起存储；其中，所述认证请求消息中还包括所述用户终端所附着的家庭基站的网络地址；

所述比较步骤包括以下步骤：

- 将所述认证请求消息中包含所述用户终端访问所述业务所需的信息、所述用户终端所附着的家庭基站的网络地址与存储的所需的信息、所述用户终端所附着的家庭基站的网络地址进行比较。

12. 一种在通信网络的第一运营域中的服务 GPRS支持节点中用于对通过家庭基站连接到通信网絡中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置，其中，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该用户终端为注册到第一运营域的用户终端，包括：

第一接收装置，用于接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息；

验证装置，用于验证所述用户终端是否有权限接收所述业务；第一发送装置，用于如所述用户终端有权限接收所述业务，则发送第二请求消息至第一运营域中的认证服务器，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。

13. 一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置，其中，所述第二运营域为所述第一运营域的家庭基站提供回程链路，该用户终端为注册到第一运营域的用户终端，该请求装置包括：

第二发送装置，用于发送请求接收所述业务的第一请求消息至第一运营域中的服务 GPRS支持节点；

第二接收装置，用于接收来自所述服务 GPRS支持节点的用于访问所述业务的所需的信息；

第三发送装置，用于发送认证请求消息至所述第二运营域中的认证服务器，该认证请求消息中包含所述所需的信息；

第三接收装置，用于接收来自所述第二运营域中的认证服务器的第二响应消息。

14. 一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括：

第四接收装置，用于接收来自用户终端的认证请求消息；第四发送装置，用于将所述认证请求消息转发至给所述第一运营域中的认证服务器；

第五接收装置，用于接收来自所述第一运营域的认证服务器的第一认证响应消息；

第五发送装置，用于根据所述第一认证响应消息，发送第二认证响应消息至所述用户终端。

15. 一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置，所述第二运营域为所述第一运营域的家庭基站提供回程链路，包括：

第六接收装置，用于接收来自第一运营域中的服务 GPRS支持节点的第二请求消息，该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息；分配存储发送装置，用于为所述用户终端分配访问所述业务所需的信息，且进行存储，并将该信息发送至所述服务 GPRS支持节点；第七接收装置，用于接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息，该认证请求消息中包含所述用户终端访问所述业务所需的信息；

比较装置，用于将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较；

第六发送装置，用于根据所述比较结果，发送一个认证响应消息至所述第二运营域的认证服务器。