CN101156364A - 一种用户改变访问网络的接入控制方法、单元及系统 - Google Patents

一种用户改变访问网络的接入控制方法、单元及系统 Download PDF

Info

Publication number
CN101156364A
CN101156364A CNA2006800116340A CN200680011634A CN101156364A CN 101156364 A CN101156364 A CN 101156364A CN A2006800116340 A CNA2006800116340 A CN A2006800116340A CN 200680011634 A CN200680011634 A CN 200680011634A CN 101156364 A CN101156364 A CN 101156364A
Authority
CN
China
Prior art keywords
user
access network
access
information storage
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006800116340A
Other languages
English (en)
Inventor
张鹏
张文林
张海
孙成振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN101156364A publication Critical patent/CN101156364A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种用户改变访问网络的接入控制方法。包括:用户选择一访问网络向用户信息应用单元发起接入请求;当用户信息应用单元判断用户选择的访问网络发生了改变时,从用户信息存储单元中获取该用户授权的访问网络列表,确定该用户是否有权接入其选择的访问网络;或者由所述用户信息存储单元确定用户是否有权接入其选择的访问网络;当确定该用户有权接入其选择的访问网络时,返回允许接入应答,允许该用户接入到选择的访问网络。本发明还公开了用户信息应用单元和用户信息存储单元及系统结构。采用本发明能对用户是否有权接入其选择的访问网络进行准确判断,从而对用户接入无线网络进行控制。

Description

一种用户改变访问网络的接入控制方法、 单元及系统 技术领域
本发明涉及无线通信网络, 尤指一种用户改变访问网络的接入控制方法、 及相应功能单元和系统。 背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(Wireless Loca l Area Network, WLAN )应运而生, 它能在较小范围内提供高速的无线数据接 入。 无线局域网包括多种不同接入技术, 目前应用较为广泛的一个技术标准 是 IEEE 802. 11b, 它采用 2. 4GHz频段, 最高数据传输速率可达 11Mbps , 使 用该频段的还有 IEEE 802. llg和蓝牙(Bluetooth )技术, 其中, 802. 11g最 高数据传输速率可达 54Mbps。 其它新技术诸如 IEEE 802. 11a和 ETSI BRAN Hiper lan2都使用 5GHz频段, 最高传输速率也可达到 54Mbps。
尽管有多种不同的无线接入技术, 大部分 WLAN都用来传输因特网协议 ( IP )分组数据包。 对于一个无线 IP网络, 其采用的具体 WLAN接入技术对 于上层的 IP—般是透明的。 其基本的结构都是利用接入点(AP )完成用户终 端的无线接入, 通过网络控制设备和连接设备连接组成 IP传输网络。
随着 WLAN技术的兴起和发展, WLAN与各种无线移动通信网, 诸如: GSM、 码分多址( CDMA ) 系统、 宽带码分多址( WCDMA ) 系统、 时分双工-同步码分 多址( TD-SCDMA ) 系统以及 CDMA2000系统的互通正成为当前研究的重点。 在 第三代合作伙伴计划 ( 3GPP )标准化组织中, 用户终端可以通过 WLAN的接入 网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由 WLAN 接入网络与 3GPP系统的归属网络或 3GPP系统的访问网络连接, 具体地说就 是, WLAN用户终端在本地接入时, 经由 WLAN接入网络与 3GPP的归属网络相 连; 在漫游时, 经由 WLAN接入网络与 3GPP的访问网络相连, 3GPP访问网络 中的部分实体分别与 3GPP归属网络中的相应实体互连, 比如: 3GPP访问网络 中的 3GPP认证、 授权、 计费(AAA )代理和 3GPP归属网络中的 3GPP认证、 授权、计费(AAA )服务器互连; 3GPP访问网络中的无线局域网接入网关(WLAN Access Gateway, WAG )与 3GPP 归属网络中的分组数据网关(Packet Data Gateway, PDG )互连等等。
由于无线网络中用户的移动性, 用户经常需要在漫游网络中接入服务, 这就面临这样两个问题:
1、用户在漫游情况下, 可能会有多个不同的漫游(访问)网络可供选择, 但受限于用户的归属网络和各漫游网络之间的漫游协定, 不是每个漫游网络 用户都可以接入, 这样在用户选择了一个漫游网 矣入, 与归属网络进行认 证的时候, 归属网络就需要判断用户是否可以接入其选择的漫游网络, 这就 涉及归属网络中, 授权的用户可接入的漫游网络信息的存储、 传递和使用;
2、 为了减少用户选择不被授权的网络接入的可能性, 在用户终端中存储 有授权的访问网络信息, 由于技术上和运营方面的原因, 终端中存储的内容 有可能与运营商当前授权给该用户的可接入访问网络不同步, 这就需要更新 用户终端中存储的授权的访问网络信息。
现有技术中, 用户授权的访问网络信息只存储在用户归属签约服务器 ( HSS ) 中, 当用户在漫游情况下选择一访问网络发起接入认证和 /或授权请 求时, 如果 AAA代理服务器判断本地没有存储有对该用户进行认证和 /或授 权的用户信息, 则向用户归属的 HSS发起认证和 /或授权信息获取请求;
HSS根据存储的用户授权的访问网络信息,若判断出该用户有权接入其选 择的访问网络, 则向该 AAA代理服务器下发用于认证该用户合法性的多組安 全参数以及相应授权信息;
AAA代理服务器将 HSS下发的多组安全参数以及相应授权信息存储在本 地;
当用户选择另一访问网络发起授权和 /或认证请求时, AAA代理服务器判 断出本地存储有认证该用户合法性的安全参数信息后, 则不再向 HSS发起认 证、 授权信息获取请求, 由于 AAA代理服务器本地没有存储用户的授权的访 问网给信息, 断用户是否可以从其选择的访问网络进行接入。 发明内容
本发明提供一种用户改变访问网络的接入控制方法, 用以解决现有技术 中存在的用户接入无线网络时, 网络侧不能准确判断出用户是否有权接入其 选择的访问网络的问题。
根据本发明提供的方法, 本发明另提供相对应的用户信息应用单元和用 户信息存储单元的具体功能结构以及一种用户改变访问网络的接入控制系 统。
本发明提供的一种用户改变访问网络的接入控制方法, 包括:
用户选择一访问网络向用户信息应用单元发起接入请求;
所述用户信息应用单元判断用户选择的访问网絡发生了改变时, 执行下 列步棟:
所述用户信息应用单元从用户信息存储单元中获取该用户授权的访问网 络列表, 并根据所述访问网络列表信息确定该用户是否有权接入其选择的访 问网络; 或者由所述用户信息存储单元确定用户是否有权接入其选择的访问 网络;
当确定该用户有权接入其选择的访问网络时, 所述用户信息应用单元向 用户返回允许接入应答, 允许该用户接入到选择的访问网络。
所述接入请求为认证和 /或授权请求; 所迷允许接入应答为认证和 /或授权 成功应答。
所述由用户信息存储单元确定用户是否有权接入其选择的访问网络, 具 体包括:
所述用户信息应用单元向用户信息存储单元发送携带用户选择的访问网 络标识的确认请求;
所述用户信息存储单元根据其存储的该用户授权的访问网络列表, 确定 用户有权接入其选择的访问网络时, 向所述用户信息应用单元返回允许接入 应答消息。
根据本发明的上述方法, 还包括: 所述用户信息应用单元向所述用户信 息存储单元发起认证和 /或授权信息获取请求, 并请求确认用户是否有权接入 其选择的访问网络; 所述用户信息存储单元向所述用户信息应用单元返回该 用户的认证和 /或授权信息以及允许 /拒绝接入应答消息。
根据本发明的上述方法, 还包括:
所述用户信息应用单元判断本地是否存储有该用户的认证和 /或授权信 息; 若本地存储有该用户的认证和 /或授权信息, 则仅向所述用户信息存储单 元发送携带用户选择的访问网络标识的确认请求; 所述用户信息存储单元向 所述用户信息应用单元返回允许 /拒绝接入应答消息;
若本地没有存储该用户的认证和 /或授权信息, 则向所述用户信息存储单 元发起认证和 /或授权信息获取请求, 并请求确认用户是否有权接入其选择的 访问网络; 所述用户信息存储单元向所述用户信息应用单元返回该用户的认 证和 /或授权信息以及允许 /拒绝接入应答消息。
根据本发明的上述方法, 所述用户信息应用单元向用户信息存储单元发 送的确认请求, 通过一个新定义的信令消息携带; 或通过现有协议信令消息 中空闲的或新增的参数携带。
根据本发明的上述方法, 还包括:
所述用户信息应用单元判断本地是否存储有该用户的认证和 /或授权信 息; 若本地存储有该用户的认证和 /或授权信息, 则仅向所述用户信息存储单 元请求获取该用户授权的访问网络列表; 所述用户信息存储单元将本地存储 的该用户授权的访问网络列表下发给所述用户信息应用单元;
若所述用户信息应用单元本地没有存储该用户的认证和 /或授权信息, 则 向所述用户信息存储单元发起认证和 /或授权信息获取请求, 并同时请求获取 该用户授权的访问网络列表; 所述用户信息存储单元将本地存储的该用户的 认证和 /或授权信息以及该用户授权的访问网络列表下发给所述用户信息应用 单元。 根据本发明的上述方法, 还包括:
用户按设定周期向所述用户信息应用单元发送授权的访问网络列表更新 请求消息;
所述用户信息应用单元判断用户为合法用户后, 将本地保存的该用户授 权的访问网络列表或从用户信息存储单元中获取用户授权的访问网络列表发 送给该用户。
根据本发明的上述方法, 还包括:
所述用户信息存储单元向用户信息应用单元发送授权的访问网络列表更 新通知消息;
所述用户信息应用单元判断用户在线后 , 转发所述更新通知消息给用户; 用户收到更新通知消息后, 向所述用户信息应用单元发送授权的访问网 络列表更新请求消息;
所述用户信息应用单元从用户信息存储单元中获取用户授权的访问网络 列表发送给用户。
根据本发明的上述方法, 还包括:
用户信息存储单元向用户信息应用单元推送用户授权的访问网络列表信 息;
用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用 户。
所述用户授权的访问网络列表包括授权的访问接入网絡、 授权的访问核 心网络以及授权的访问连接性服务网络其中之一或其组合。
根据本发明的上述方法, 当所述用户信息应用单元判断用户选择的访问 网络没有改变时, 执行现有技术中的常规认证和 /或授权流程。
本发明提供一种用户信息应用单元, 包括: 认证 /授权执行模块、 用户访 问网络改变判断模块和接入访问网络决策模块;
所述认证 /授权执行模块, 接收用户选择一访问网络发起的接入认证和 / 或授权请求, 根据该用户的认证和 /或授权信息确定用户是否为合法用户, 并 根据接入访问网络决策模块确定出的是否允许用户接入到访问网络的结果信 息向用户返回认证和 /或授权成功 /失败应答;
所述用户访问网络改变判断模块, 判断用户选择的访问网络是否改变, 当访问网络改变时, 启动所述接入访问网络决策模块;
所述接入访问网络决策模块, 从用户信息存储单元中获取该用户授权的 访问网络列表, 并根据所述访问网络列表信息确定该用户是否有权接入其选 择的访问网络; 或者请求所述用户信息存储单元确定用户是否有权接入其选 择的访问网络; 并将确定出的是否允许用户接入到访问网络的结果信息发送 给所述认证 /授权执行模块。
根据本发明提供的上述用户信息应用单元, 所述接入访问网络决策模块 包括:
访问网络列表获取子模块, 从用户信息存储单元中获取该用户授权的访 问网络列表并存储;
接入访问网络判断子模块, 根据获取的所述访问网络列表信息确定该用 户是否有权接入其选择的访问网络;
结杲信息发送子模块, 将确定出的是否允许用户接入到访问网络的结果 信息发送给所述认证 /授权执行模块。
所述接入访问网络决策模块包括:
确认消息发送子模块, 向用户信息存储单元发送携带用户选择的访问网 络标识的确认消息, 请求所述用户信息存储单元确定用户是否有权接入到其 选择的访问网络;
确定结果接收子模块, 接收所述用户信息存储单元返回的确定是否允许 用户接入到访问网络的结果信息;
结果信息发送子模块, 将是否允许用户接入到访问网络的结果信息发送 给所述认证 /授权执行模块。
所述用户信息应用单元为独立的具有外部接口的网络实体; 或为现有网 络功能实体的逻辑单元。 所述现有网络功能实体为进行 3GPP认证、 授权和计费的 AAA服务器。 本发明提供一种用户信息存储单元, 包括: 存储模块和信息发送模块; 所述存储模块中存储用户授权的访问网络列表和用户的认证和 /或授权信 息;
所述信息发送模块向用户信息庄用单元发送其请求的用户授权的访问网 络列表和 /或用户的认证和 /或授权信息。
根据本发明提供的上述用户信息存储单元, 还包括:
访问网络确认模块, 接收用户信息应用单元发送的携带用户选择的访问 网络标识的确认消息, 并根据所述存储模块中存储的用户授权的访问网络列 表确定用户是否有权接入到其选择的访问网络; 并将确定出的是否允许用户 接入访问网络的结果信息发送到所迷信息发送模块, 由所述信息发送模块发 送所述结果信息给用户信息应用单元。
所述用户信息存储单元为独立的具有外部接口的网络实体; 或为现有网 络功能实体的逻辑单元。
所述现有网络功能实体为归属位置寄存器 HLR或归属用户服务器 HSS。 本发明还提供一种用户改变访问网络的接入控制系统, 包括: 用户信息 应用单元和用户信息存储单元;
所述用户信息应用单元包括: 认证 /授权执行模块、 用户访问网络改变判 断模块和接入访问网络决策模块;
所述认证 /授权执行模块, 接收用户选择一访问网络发起的接入认证和 / 或授权请求, 根据该用户的认证和 /或授权信息确定用户是否为合法用户, 并 根据接入访问网络决策模块确定出的是否允许用户接入到访问网络的结果信 息向用户返回认证和 /或授权成功 /失败应答;
所述用户访问网络改变判断模块, 判断用户选择的访问网络是否改变, 当访问网络改变时, 启动所述接入访问网络决策模块;
所述接入访问网络决策模块, 从用户信息存储单元中获取该用户授权的 访问网络列表, 并根据所述访问网络列表信息确定该用户是否有权接入其选 择的访问网络; 或者请求所述用户信息存储单元确定用户是否有权接入其选 择的访问网络; 并将确定出的是否允许用户接入到访问网络的结果信息发送 给所述认证 /授权执行模块;
所述用户信息存储单元包括: 存储模块和信息发送模块;
所述存储模块中存储用户授权的访问网络列表和用户的认证和 /或授权信 息;
所述信息发送模块向用户信息应用单元发送其请求的用户授权的访问网 络列表和 /或用户的认证和 /或授权信息。
根据本发明提供的上述接入控制系统, 所述用户信息存储单元还包括: 访问网络确认模块, 接收用户信息应用单元发送的携带用户选择的访问 网络标识的确认消息, 并根据所述存储模块中存储的用户授权的访问网络列 表确定用户是否有权接入到其选择的访问网络; 并将确定出的是否允许用户 接入访问网络的结果信息发送到所述信息发送模块, 由所述信息发送模块发 送所述结果信息给用户信息应用单元。
本发明有益效果如下:
( 1 ) 当用户选择访问网络发起认证、 授权请求时, 本发明提供了一套完 整的认证和 /或授权信令流程, 能有效判断出用户是否有权接入其选择的访问 网络。
( 2 )本发明还提供了多种更新用户终端内部存储的访问网络列表信息的 方法, 使终端中存储的访问网络列表信息与运营商当前授权给该用户的可接 入访问网络信息同步更新。 附图说明
图 1为本发明方法一原理图;
图 2为本发明方法一具体实施例之一;
图 3为本发明方法一具体实施例之二;
图 4为本发明方法二原理图; 图 5为本发明方法二的具体实施例之一;
图 6为本发明方法二的具体实施例之二;
图 7为本发明方法二的具体实施例之三;
图 8为本发明方法二的具体实施例之四;
图 9为本发明方法二的具体实施例^
图 10为本发明用户终端更新存储的授权访问网络列表流程图之一; 图 11为本发明用户终端更新存储的授权访问网絡列表流程图之二; 图 12为本发明用户终端更新存储的授权访问网络列表流程图之三; 图 13为本发明用户信息应用单元结构示意图;
图 14为本发明用户信息存储单元结构示意图;
图 15为本发明一种用户改变访问网络的接入控制系统结构示意图。 具体实施方式
本发明提供的用户改变访问网络的接入控制方法, 包括:
用户选择一访问网络向用户信息应用单元发起接入请求;
用户信息应用单元判断用户选择的访问网络是否发生了改变; 当用户选 择的访问网络发生改变时, 用户信息应用单元从用户信息存储单元中获取该 用户授权的访问网络列表, 并根据访问网络列表信息确定该用户是否有权接 入其选择的访问网络; 或者由用户信息存储单元确定用户是否有权接入其选 择的访问网络;
当确定该用户有权接入其选择的访问网络时, 用户信息应用单元向用户 返回允许接入应答, 允许该用户接入到选择的访问网络; 否则向用户返回拒 绝接入应答, 不允许其接入到选择的访问网络。
在本发明方法中, 用户授权的访问网络列表存储在网络側的用户信息存 储单元中; 当用户通过无线接入网络向网络侧的用户信息应用单元发起接入 认证和 /或授权请求时, 包括如下两种实现方法:
方法一: 将用户授权的访问网络列表下载到用户信息应用单元, 由用户 信息应用单元来判断用户是否有权接入其选择的访问网络, 步據如下:
A、用户信息应用单元对该用户身份进行合法性判断, 并从用户信息存储 单元中获取该用户授权的访问网络列表信息; ,
B、用户信息应用单元根据所述用户授权的访问网络列表, 判断该用户是 否有权接入其选择的访问网络, 若是, 且该用户为合法用户, 则向用户返回 认证和 /或授权成功应答; 否则向用户返回拒绝应答。
方法二、 用户授权的访问网络列表存储在用户信息存储单元, 由用户信 息存储单元来判断用户是否有权接入其选择的访问网络, 步骤如下:
a、 用户信息应用单元判断用户选择的访问网备是否发生了变化, 若是, 则继续下列步骤; 否则, 按现有技术认证和 /或授权流程处理;
b、 用户信息应用单元向用户信息存储单元发送确认请求, 要求用户信息 存储单元确认用户是否有权接入其选择的访问网络;
c、 用户信息存储单元根据其存储的用户授权的访问网络列表, 确定用户 是否有权接入其选择的访问网络, 并向用户信息应用单元返回允许接入或拒 绝接入的应答消息;
d、 若用户信息应用单元接收到用户信息存储单元返回的允许接入应答消 息, 且判断出用户为合法用户, 则向用户返回认证和 /或授权成功应答; 否则 向用户返回拒绝应答。
下面结合附图, 对本发明的上述方法一和方法二分别举例加以详细说明。 参见图 1 , 为本发明方法一原理图, 包括如下步骤:
步棘 la. 用户终端、 无线接入网络和用户信息应用单元之间进行接入认 证和授权。
如杲用户选择的接入网络标识存在, 也需要带给用户信息应用单元, 例 如: 用户选择用来接入网絡的 WLAN标识, 在非漫游情况下, WLAN标识为 归属 WLAN标识, 在漫游情况下, WLAN标识为漫游 WLAN标识。 在漫游 情况下认证和 /或授权请求中包括用户选择的访问网络标识和用户的永久的或 临时的身份标识符。 在该步骤中, 用户信息应用单元一般是指认证、 授权和 计费 (AAA )服务器;
访问网络标识可以包括访问接入网络标识和 /或访问核心网络标识。
例如, 当用于 3GPP I-WLAN系统时, 访问网络标识可以包括 3GPP访问 PLMN (公众陆地移动网)标识, 也可以包括访问 WLAN网络标识, 还可以 同时包括 3GPP访问 PLMN标识和访问 WLAN网络标识。
例如, 当用于 WiMax系统时, 访问网络标识可以包括访问 CSN (连接性 服务网络) 网络标识, 也可以包括访问 ASN (接入服务网络) 网络标识, 还 可以同时包括访问 CSN网络标识和访问 ASN网络标识。
访问网络标识具体的格式包括但不限于以下格式:
移动国家码 +移动网络码;
RADIUS Operator-Name属性; GSMAPRD IR.61中规定的格式; 运营商自定义的网络标识。
用户的身份识别符包括但不限于:
国际移动用户识别符(IMSI );
移动台 MSISDN号码 ( MSISDN );
网^矣入识别符(NAI );
临时移动用户识别符 ( TMSI P-TMSI );
SIP U I;
Tel URI;
运营商自定义用户身份识别符。
步骤 lb. 用户信息应用单元从用户信息存储单元获取用于认证和 /或授权 的用户信息, 其中包括针对该用户的授权的访问网络列表。
授权的访问网络列表可以包括授权的访问接入网络标识和 /或授权的访问 核心网络标识。
例如: 授权的访问网络列表包括授权的 3GPP访问 PLMN标识, 也可以 包括授权的访问 WLAN网络标识, 还可以同时包括授权的 3GPP访问 PLMN 标识和授权的访问 WLAN网络标识, 可选地, 还可以包括授权的 3GPP访问 PLM 标识和 ί受权的访问 WLAN网络标识之间的对应关系。
例如: 授权的访问网络列表包括授权的访问 CSN网络标识, 也可以包括 4曼权的访问 ASN网络标识, 还可以同时包括授权的访问 CSN标识和授权的 访问 ASN网络标识, 可选地, 还可以包括授权的访问 CSN标识和授权的访 问 ASN网络标识之间的对应关系。
在该步骤中, 3GPP系统中的用户信息存储单元一般是指归属位置寄存器 ( HLR)或归属用户服务器(HSS )。
用户信息存储单元向用户信息庄用单元提供授权的访问网络列表可以使 用新定义的信令消息, 也可以重用现有的协议和信令消息(通过增加新的参 数和相应的值), 例如 Diameter协议中的 Server- Assignment-Request/- Answer ( SAR/SAA )消息等。
在该步骤中, 用户信息存储单元可以先判断一次用户是否有权接入其选 择的访问网络, 如果用户有权接入, 则向用户返回认证或 /和授权信息和用户 授权的访问网络列表; 如果用户无权接入其选择的访问网络, 则用户信息存 储单元就会拒绝用户信息获取单元的认证和授权请求, 并可能说明相应的原 因。
步厥 1 e. 用户信息应用单元对比从步骤 1 a中收到的访问网络标识和从步 骤 lb中收到的访问网絡列表中的信息, 判断用户是否有权接入其选择的访问 网络;
Id.如果步骤 lc中判断用户合法且有权使用其选择的网络(包括无线接 入网络、核心网络、连接性服务网络等), 则向用户返回接入认证和 /或授权成 功应答;
如果步骤 lc中判断用户无权使用其选择的网络或用户不合法, 则向用户 返回接入认证和 /或授权拒绝应答。
可选步驟: 在成功和 /或失败应答中, 用户信息应用单元将针对该用户的 授权的访问网络列表发送给用户终端, 用户终端更新其内部存储的访问网络 列表。 可选步骤: 发送给用户终端的授权的访问网络列表信息可以通过加密的 方式发送, 例如使用加密的 Diameter属性值对(AVP ), 或使用加密的 EAP (可扩展认证协议)消息等。
上述方法一的具体应用实施例之一如图 2所示, 包括如下步骤: 步骤 1. 无线局域网用户终端 ( WLAN UE )、 无线局域网接入网络 ( WLAN AN )和 3GPP AAA服务器( 3GPP AAA Server )之间进行接入认证、 授权操作。 用户选择的 WLAN AN的标识如果存在, 也发送给 3GPP AAA Server,在漫游情况下,用户选择一个 3GPP访问公共陆地移动网络( VPLMN ) 作为认证授权信令的路径, WLAN UE、 WLAN AN到 3GPP AAA Server之间 的 AAA消息需要通过位于 VPLMN中的 3GPP AAAProxy转发, AAA消息中 也包括 3GPP VPLMN标识。
步驟 2. 3GPP AAA Server从 HLR/HSS获取用于认证的安全信息和用于 对用户进行授权的授权信息, 在授权信息中包括针对该用户的授权的访问网 络列表信息。
步骤 3. 3GPP AAA Server利用从 HLR/HSS获得的安全信息和授权信息 判断用户是否是合法用户, 并且是否被授权接入其所选择的访问网络。
步驟 4. 3GPP AAA Server根据步骤 3的判断结果,向 WLAN UE返回认 证、 授权应答。 在应答消息中, 可以携带针对该用户的授权的访问网络列表 信息。
上述方法一的具体应用实施例之二如图 3所示, 包括如下步骤: 步骤 1. 移动用户台 (MSS )、 接入服务网络 -网关(ASN-GW )和归属 ^CSNAAA服务器( Home CSN AAA Server )之间进行接入认证、 授权操作。 用户选择的 ASN的标识如果存在, 也发送给 AAA Server。 在漫游情况下, 用 户选择一个访问 CSN网络作为认证授权信令的路径, MSS、 ASN-GW到 Home CSN AAA Server之间的 AAA消息需要通过用户选择的访问网络中的访问 CSN AAA代理( Visited CSN AAA Prox )转发 , AAA消息中也包括访问 CSN 网络的标识。 步骤 2. Home CSN AAA Server从用户数据库( subscriber database )获 取用于认证的安全信息和用于对用户进行授权的授权信息, 在授权信息中包 括针对该用户的授权的访问网络列表信息。
步骤 3. Home CSN AAA Server利用从 subscriber database获得的安全信 息和授权信息判断用户是否是合法用户, 并且是否被授权接入其所选择的访 问网络。
步骤 4. Home CSN AAA Server根据步骤 3的判断结果,向 MSS返回认 证、 授权应答。 在应答消息中, 可以携带针对该用户的授权的访问网络列表 信息。
说明: 在 AAA消息和认证消息的传递过程中, ASN-GW起的是 NAS和 EAP proxy 的角色, 根据具体网络的结构和部署, 基站( BS )也能够替代 ASN-GW起同样的作用。
本发明提供的方法二原理图如图 4所示, 包括如下步驟:
步骤 la. 用户终端、 无线接入网络和用户信息应用单元之间进行接入认 证和授权。 如果用户选择的接入网络标识存在, 也需要带给用户信息应用单 元, 例如: 用户选择用来接入网络的 WLAN标识, 在非漫游情况下, WLA 标识为归属 WLAN标识, 在漫游情况下, WLAN标识为漫游 WLAN标识。 在漫游情况下认证、 授权请求中包括用户选择的访问网络标识和用户的永久 的或临时的身份标识符。在该步骤中, 如果是在 3GPP系统中, 用户信息应用 单元一般是指认证、 授权和计费 (AAA )服务器; 具体的访问网络标识和用 户身份标识符如前所述, 不再重述。
步骤 lb. 用户信息应用单元判断用户选择的接入网络和 /或核心网络是否 发生变化, 如果发生了变化, 则执行步骤 lc。
步骤 lc. 用户信息应用单元要求用户信息存储单元判断用户是否有权接 入其选择的访问网络。
步骤 Id. 用户信息存储单元判断用户是否有权接入其选择的访问网络, 执行步骤 le。 该步骤可以利用用户信息单元向用户信息存储单元获取认证、 授权信息 的过程进行, 具体见下面的实施例图 5、 图 6。
该步驟也可以利用用户信息单元向用户信息存储单元发送专门的判断请 求进行, 具体见下面的实施例图 7、 图 8和图 9。
步骤 le. 如果判断结杲为用户有权接入其选择的访问网络, 则向用户信 息应用单元返回允许接入确认消息, 否则返回拒绝接入确认消息。
步骤 If. 如果判断用户合法且有权使用其选择的接入网络, 则向用户返 回接入认证、 授权成功应答; 如果判断用户无权使用其选择的接入网络或用 户不合法, 则向用户返回接入认证、 授权拒绝应答。
上述方法二的具体应用实施例之一如图 5所示, 在该实施例中, 假设用 户选择的接入网络发生了变化, 包括如下步骤:
步骤 1. WL AN UE已经通过 WLAN AN 1完成了接入认证和授权 ,可以 通过 WLAN AN 1接入业务。
步驟 2. 由于一些特定的原因 (例如切换), 导致 WLAN UE需要通过 WLANAN 2接入网絡, 因此, WLA UE、 WLAN AN 2和 3GPP AAA Server 之间进行接入认证、 授权操作。 用户选择的 WLAN AN 2的标识发送给 3GPP AAA Server., 在漫游情况下, 用户选择一个 3GPP VPLMN作为认证授权信令 的路径, WLAN UE, WLAN AN 2到 3GPP AAA Server之间的 AAA消息需要 通过位于 3GPP VPLMN中的 3GPPAAAProxy转发, AAA信令中也包括 3GPP VPLMN标识。 用户选择的 WLAN AN发生了变化,则需要 HLR/HSS确认用户是否有权接入 其切换后的 WLAN AN 2;
此时,如果 3GPP AAA Server上存储有用户的认证、授权信息, 3GPP AAA Server可以不必从 HLR/HSS获取认证和授权信息, 仅需向 HLR/HSS发起确 认请求; 如果 3GPP AAA Server上没有存储用户的认证、 授权信息, 或存储 的该用户认证、 授权信息不再有效, 则 3GPP AAA Server还需要从 HLR/HSS 获取该用户的认证和授权信息。
3GPP AAA Server向 HLR/HSS发起确认请求, 要求 HLR HSS确认用户 是否有权接入切换后的 WLAN AN 2, 可以通过 SAR/SAA消息中的服务器分 配类型 ( Server- Assignment-Type )属性增加新的参数来实现。
如果 3GPP AAA Server中没有可用的认证信息, 则 3GPP AAA Server向 HSS获取认证信息,在此过程中 HLR/HSS验证用户是否有权接入其选择的访 问网络; 如果 3GPP AAA Server中没有可用的授权信息, 则 3GPP AAA Server 向 HSS发送授权请求, 获取授权信息, 在此过程中 HLR/HSS可以验证用户 是否有权接入其选择的访问网络。
步骤 4. HLR7HSS根据其存储的用户授权的访问 WLAN网络列表, 判 断用户是否有权接入 WLAN AN 2, 如果无权, 则向 3GPP AAA Server返回失 巨绝应答, 并且不返回请求的认证和授权信息; 如果用户有权接入 WLAN AN 2, 则向 3GPP AAA Server返回允许接入确认消息, 以及用于认证的安全 信息和授权信息。
步骤 5. 若 3GPP AAA Server接收到 HLR/HSS返回的允许接入确认消 息, 并利用从 HLR/HSS获得的安全信息和授权信息判断用户是合法用户, 则 向 WLAN UE返回认证、授权成功应答;否则,返回失败应答,拒绝 WLAN UE 从 WLAN AN 2接入网络。
上述方法二的具体应用实施例之二如图 6所示, 在该实施例中, 假设用 户选择的接入网络发生了变化, 包括如下步骤:
步骤 1 · WLAN UE已经通过 WLAN AN和 VPLMN1完成了接入认证和 授权, 可以通过 WLAN AN接入业务。
步驟 2. 在漫游情况下,用户选择一个 3GPP VPLM 作为认证授权信令 的路径, WLAN UE、 WLAN AN到 3GPP AAA Server之间的 AAA消息需要 通过位于 3GPP VPLMN中的 3GPP AAA Proxy转发, AAA信令中也包括 3GPP VPLMN标识。 由于一些特定的原因 (例如切换), 导致 WLAN UE需要通过 VPLMN2接入网絡, 因此, WLAN UE、 VPLMN2和 3GPP AAA Server之间 进行接入认证、 授权操作。 用户选择的 WLAN AN的标识如果存在, 也发送 给 3GPPAAA Server。
步驟 3. 3GPP AAA Server根据步骤 2上报的 VPLMN的标识判断用户选 择的 VPLMN发生了变化, 无论此时 3GPP AAA Server是否有用户的认证、 授权信息, 例如还有未用的认证向量, 都从 HLR/HSS获取认证和授权信息。
如果 3GPP AAA Server判断出 VPLMN没有发生变化, 但 3GPP AAA Server上没有存储用户的认证、授权信息,或存储用户的认证、授权信息不再 有效, 3GPP AAA Server也需要从 HLR/HSS获取认证和授权信息。
步骤 4. HLR/HSS根据其存储的授权的访问网络列表, 需要判断用户是 否有权接入 VPLMN2,如果无权,则向 3GPP AAA Server返回失败 /拒绝应答, 并且不返回请求的认证和授权信息;如果用户有权接入 VPLMN2,则向 3GPP AAA Server返回允许接入确认消息, 以及用于认证的安全信息和授权信息。
步骤 5. 若 3GPP AAA Server接收到 HLR/HSS返回的允许接入确认消 息, 并利用从 HLR/HSS获得的安全信息和授权信息判断用户是合法用户, 则 向 WLAN UE返回认证、授权成功应答;否则,返回失败应答,拒绝 WLAN UE 从 VPLMN2接入网络。
上述方法二的具体应用实施例之三如图 7所示, 在该实施例中, 假设用 户选择的接入网络发生了变化, 包括如下步骤:
步骤 1. 同图 4的步骤 la, 不重述;
步骤 2. 用户信息应用单元判断用户选择的接入网絡和 /或核心网络是否 发生变化, 如果发生了变化, 则执行步骤 3, 否则执行步驟 4;
步骤 3.如果此时用户信息应用单元中有可用的认证和 /或授权信息,则可 以向用户信息存储单元发送请求, 要求用户信息存储单元确认用户是否有权 接入其选择的访问网络; 此步骤可以通过 Diameter的 RAR/RAA消息来要求 HSS判断;
如果此时用户信息应用单元中没有可用的认证信息 , 则用户信息应用单 元向用户信息存储单元发送认证请求, 获取认证信息, 在此过程中用户信息 存储单元验证用户是否有权接入其选择的访问网络;
如果此时用户信息应用单元中没有可用的授权信息 , 则用户信息应用单 元向用户信息存储单元发送授权请求, 获取授权信息, 在此过程中用户信息 存储单元也可以验证用户是否有权接入其选择的访问网络;
步骤 4. 同图 4的步驟 If, 不重述。
上述方法二的具体应用实施例之四如图 8所示, 在该实施例中, 假设用 户选择的接入网络发生了变化, 包括如下步骤:
步骤 1-3. 同图 5的步骤 1-3, 不重述;
步骤 4. 3GPP AAA Server向 HLR/HSS发起请求(携带 WLAN标识), 确定用户是否有权接入其选择的 WLAN AN; HLR/HSS根据其存储的授权的 访问网络列表中的 LA 部分确定用户是否有权接入其选择的访问网络, 并 向 3GPP AAA Server返回应答;
步骤 5. 同图 5步骤 5, 不重述。
上述方法二的具体应用实施例之五如图 9所示, 在该实施例中, 假设用 户选择的接入网络发生了变化, 包括如下步骤:
步骤 1-3. 同图 6的步骤 1-3 , 不重述;
步驟 4. 3GPP AAA Server向 HLR/HSS发起请求(携带 VPLMN标识), 确定用户是否有权接入其选择的 VPLMN; HLR/HSS根据其存储的授权的访 问网络列表中的 VPLMN部分确定用户是否有权接入其选择的访问网絡, 并 向 3GPP AAA Server返回应答;
步骤 5. 同图 6的步骤 5, 不重述。
本发明以上提供的实施例 5和 6, 与实施例 7、 8和 9的不同之处在于: 实施例 5和 6中, 如果 3GPP AAA Server判断出当前用户选择的访问网 络发生了变化, 就一定去 HSS获取认证、 授权信息, 而不管此时 3GPP AAA Server 自身中是否还有可用的认证信息, 在此过程中, HSS就判断用户是否 可以接入其选择的访问网络。 这个过程是利用 Diameter的 SAR/SAA消息完 成的。 实施例 7、 8和 9中, 如果 3GPP AAA Server判断出当前用户选择的访问 网络发生了变化, 但同时 3GPP AAA Server自身中还有可用的认证信息, 则 3GPP AAA Server向 HSS发出请求, 只要求 HSS判断用户用户选择的访问网 络是否被允许,而不从 HSS获取认证、授权信息。这个过程可以利用 Diameter 的 RAR/RAA消息完成。
本发明还提供用户终端存储的授权网络列表更新方法, 包括如下三种具 体的更新方法。
方法一: 用户终端周期性发起授权访问网络列表更新请求, 参见图 10, 具体步驟包括:
2a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授 权;
2b. 用户终端向用户信息应用单元发送授权的访问网络列表更新请求消 息, 请求用户信息应用单元向其提供针对该用户的授权的访问网络列表信息, 在该消息中包括用户的永久的或临时的身份标识符;
2c.可选地, 用户信息应用单元对用户进行认证和授权, 判断用户是否合 法(可能需要和用户信息存储单元进行交互), 如果用户不合法, 则向用户终 端返回授权的访问网络列表更新请求拒绝应答, 可能还会指明原因, 并终止 后续流程; 如果用户合法, 则继续执行下列步骤; 如果执行了前述步驟 2a, 则该步骤 2c可以省略;
2d.用户信息应用单元从用户信息存储单元获取授权的访问网络列表;用 户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定 义的信令消息, 也可以重用现有的协议和信令消息(通过增加新的参数和相 应的值 ) , 例如 Diameter 协议中的 Server- Assignment-Request -Answer ( SAR/SAA )消息, AAR/AAA消息等;
2e. 用户信息应用单元向用户终端返回授权的访问网络列表更新请求应 答消息 , 消息中携带该用户的授权的访问网络列表信息。
可选地, 发送给用户终端的授权的访问网络列表信息可以通过加密的方 式发送, 例如使用加密的 Diameter属性值对(AVP ), 或使用加密的 EAP消 息等。
方法二: 用户信息存储单元发送授权访问网络列表更新通知, 参见图 11 , 具体步驟包括:
3a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授 权;
3b. 用户信息存储单元向用户信息应用单元发送授权的访问网络列表更 新通知消息, 在该消息中带有用户的身分标识(永久标识和临时标识), 要求 用户信息应用单元通知用户更新授权的访问网络列表;
3c. 用户信息应用单元判断用户是否在线, 如果在线, 则向用户终端发送 授权的访问网络列表更新通知消息, 如果用户不在线, 用户信息应用单元可 以向用户信息存储单元返回应答, 告知用户不在线, 无法通知用户更新, 也 可以将通知消息暂存一段时间, 在这段时间内如果用户上线, 则通知用户, 如果这段时间内用户没有上线, 则向用户信息存储单元返回应答, 告知无法 通知用户更新;
3d.用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问 网络列表更新请求消息, 请求用户信息应用单元向其提供针对该用户授权的 访问网络列表信息, 在该消息中包括用户的永久的或临时的身份标识符;
3e.可选地, 用户信息应用单元对用户进行认证和授权, 判断用户是否合 法(可能需要和用户信息存储单元进行交互), 如果用户不合法, 则向用户终 端返回授权的访问网络列表更新请求拒绝应答, 可能还会指明原因, 并终止 后续流程; 如果用户合法, 则继续执行下列步骤; 如果执行了前述步骤 3a, 则该步驟 3e可以省略;
3f. 用户信息应用单元从用户信息存储单元获取用户授权的访问网络列 表; 用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使 用新定义的信令消息, 也可以重用现有的协议和信令消息(通过增加新的参 数和相应的值), 例如 Diameter协议中的 Server- Assignment-Request/- Answer ( SAR/SAA )消息, AAR/AAA消息等;
3g. 用户信息应用单元向用户终端返回授权的访问网络列表更新请求应 答消息 , 消息中携带该用户的授权的访问网络列表信息。
可选地, 发送给用户终端的授权的访问网络列表信息可以通过加密的方 式发送, 例如使用加密的 Diameter属性值对(AVP ), 或使用加密的 EAP消 息等。
方法三: 用户信息存储单元推送授权的访问网络列表, 参见图 12, 具体 步骤包括:
4a. 用户终端、无线接入网絡和用户信息应用单元之间完成接入认证和授 权;
4b. 用户信息存储单元向用户信息应用单元推送(PUSH )更新的授权的 访问网络列表信息,在该消息中带有用户的身分标识(永久标识和临时标识), 要求用户信息应用单元通知用户更新授权的访问网络列表;
用户信息存储单元向用户信息应用单元推送授权的访问网络列表可以使 用新定义的信令消息, 也可以重用现有的协议和信令消息 (通过增加新的参 数和相应的值) , 例如 Diameter 协议中的 Push-Profile-Request/- Answer ( PPR/PPA )消息, AAR/AAA消息等, RADIUS协议的 Change-of- Authorisation (CoA)消息等;
4c. 用户信息应用单元向用户终端推送( PUSH ) 更新的授权的访问网络 列表信息;
用户信息应用单元向用户终端推送授权的访问网络列表可以使用新定义 的信令消息, 也可以重用现有的协议和信令消息(通过增加新的参数和相应 的值), 例如 Diameter协议中的 Push-Profile-Request/- Answer ( PPR/PPA )消 息, AAR/AAA消息等, RADIUS协议的 Change-of-Authorisation (CoA)消息等; 可选地, 发送给用户终端地授权的访问网络列表信息可以通过加密的方 式发送, 例如使用加密的 Diameter属性值对(AVP ), 或使用加密的 EAP消 息斧', 4d.可选地,用户终端向用户信息应用单元返回授权的访问网络列表信息 更新确认, 用户信息应用单元再将确认消息发送给用户信息存储单元。
在流程 2a-2e、 3a-3g、 4a-4d中, 用户信息应用单元可以是认证、 授权和 计费服务器, 也可以是特定的用于用户软件、 信息升级的应用服务器, 或其 他通用应用服务器; 用户存储应用单元可以是归属位置寄存器(HLR )或归 属用户服务器 ( HSS ), 也可以是其他用户信息存储数据库。
本发明的用户信息应用单元 1所包含的功'能模块结构如图 13所示,包括: 认证 /授权执行模块 11、 用户访问网络改变判断模块 12和接入访问网络决策 模块 13;
其中, 认证 /授权执行模块 11, 接收用户选择一访问网络发起的接入认证 和 /或授权请求, 根据该用户的认证和 /或授权信息确定用户是否为合法用户, 并根据接入访问网络决策模块 13确定出的是否允许用户接入到访问网络的结 果信息向用户返回认证和 /或授权成功 /失败应答;
用户访问网络改变判断模块 12, 判断用户选择的访问网络是否改变, 当 访问网络改变时, 启动所述接入访问网络决策模块 13;
接入访问网络决策模块 13, 从用户信息存储单元 2中获取该用户授权的 访问网络列表, 并根据所述访问网络列表信息确定该用户是否有权接入其选 择的访问网络; 或者请求所述用户信息存储单元 2确定用户是否有权接入其 选择的访问网络; 并将确定出的是否允许用户接入到访问网络的结果信息发 送给所述认证 /授权执行模块 11。
接入访问网络决策模块 13具体包括:
访问网络列表获取子模块 131 ,从用户信息存储单元中获取该用户授权的 访问网络列表并存储;
接入访问网络判断子模块 132,根据获取的所述访问网络列表信息确定该 用户是否有权接入其选择的访问网络;
结果信息发送子模块 133 ,将确定出的是否允许用户接入到访问网络的结 果信息发送给所述认证 /授权执行模块 11。 接入访问网络决策模块还可以包括:
确认消息发送子模块 134,向用户信息存储单元 2发送携带用户选择的访 问网络标识的确认消息, 请求所述用户信息存储单元 2确定用户是否有权接 入到其选择的访问网络;
确定结果接收子模块 135,接收所述用户信息存储单元 2返回的确定是否 允许用户接入到访问网络的结果信息;
结果信息发送子模块 133,将是否允许用户接入到访问网络的结果信息发 送给所述认证 /授权执行模块 11。
本发明的用户信息存储单元 2所包含的功能模块结构如图 14所示,包括: 存储模块 21和信息发送模块 23;
存储模块 21 中存储用户授权的访问网络列表和用户的认证和 /或授权信 信息发送模块 23向用户信息应用单元 1发送其请求的用户授权的访问网 络列表和 /或用户的认证和 /或授权信息。
还包括:
访问网络确认模块 22, 接收用户信息应用单元 1发送的携带用户选择的 访问网络标识的确认消息, 并根据所述存储模块 21中存储的用户授权的访问 网络列表确定用户是否有权接入到其选择的访问网絡; 并将确定出的是否允 许用户接入访问网络的结果信息发送到所述信息发送模块 23 , 由所述信息发 送模块 23发送所述结果信息给用户信息应用单元 1。
本发明另提供一种用户改变访问网络的接入控制系统 3,共结构示意图如 图 15所示, 包括本发明提供的用户信息应用单元 1和用户信息存储单元 2。
根据需要, 用户信息存储单元和用户信息应用单元可以是独立的网络实 体, 分开设置, 如 3GPP系统中的 HLR/HSS和 3GPP AAA Server; 也可以合 设在一个功能实体中, 作为功能实体的不同逻辑单元, 其间的接口也就成为 内部接口。
综上所述, 当用户选择访问网络发起认证、 授权请求时, 本发明提供了 一套完整的认证、 授权信令流程, 采用本发明方法能有效判断出用户是否有 权接入其选择的访问网络。
本发胡还提供了三种更新用户终端内部存储的访问网络列表信息的方 法, 使终端中存储的访问网络列表信息与运营商当前授权给该用户的可接入 访问网络信息同步更新。 发明的精神和范围。 这样, 倘若本发明的这些修改和变型属于本发明权利要 求及其等同技术的范围之内, 则本发明也意图包含这些改动和变型在内。

Claims (1)

  1. 权 利 要 求
    1、 一种用户改变访问网络的接入控制方法, 其特征在于, 包括: 用户选择一访问网络向用户信息应用单元发起接入请求;
    所述用户信息应用单元判断用户选择的访问网络发生了改变时, 执行下 列步驟:
    所述用户信息应用单元从用户信息存储单元中获取该用户授权的访问网 络列表, 并根据所述访问网絡列表信息确定该用户是否有权接入其选择的访 问网络; 或者由所述用户信息存储单元确定用户是否有权接入其选择的访问 网络;
    当确定该用户有权接入其选择的访问网络时, 所述用户信息应用单元向 用户返回允许接入应答, 允许该用户接入到选择的访问网络。
    2、 根据权利要求 1 所述的方法, 其特征在于, 所述接入请求为认证和 / 或授权请求; 所迷允许接入应答为认证和 /或授权成功应答。
    3、 如权利要求 1所述的方法, 其特征在于, 所述由用户信息存储单元确 定用户是否有权接入其选择的访问网络, 具体包括:
    所述用户信息应用单元向用户信息存储单元发送携带用户选择的访问网 络标识的确认请求;
    所述用户信息存储单元根据其存储的该用户授权的访问网络列表, 确定 用户有权接入其选择的访问网络时, 向所述用户信息应用单元返回允许接入 应答消息。
    4、 如权利要求 3所述的方法, 其特征在于, 还包括: 所述用户信息应用 单元向所述用户信息存储单元发起认证和 /或授权信息获取请求, 并请求确认 用户是否有权接入其选择的访问网络; 所述用户信息存储单元向所述用户信 息应用单元返回该用户的认证和 /或授权信息以及允许 /拒绝接入应答消息。
    5、 如权利要求 3所述的方法, 其特征在于, 还包括:
    所述用户信息应用单元判断本地是否存储有该用户的认证和 /或授权信 息; 若本地存储有该用户的认证和 /或授权信息, 则仅向所述用户信息存储单 元发送携带用户选择的访问网络标识的确认请求; 所述用户信息存储单元向 所述用户信息应用单元返回允许 /拒绝接入应答消息;
    若本地没有存储该用户的认证和 /或授权信息, 则向所述用户信息存储单 元发起认证和 /或授权信息获取请求, 并请求确认用户是否有权接入其选择的 访问网络; 所述用户信息存储单元向所述用户信息应用单元返回该用户的认 证和 /或授权信息以及允许 /拒绝接入应答消息。
    6、 如权利要求 5所述的方法, 其特征在于, 所述用户信息应用单元向用 户信息存储单元发送的确认请求, 通过一个新定义的信令消息携带; 或通过 现有协议信令消息中空闲的或新增的参数携带。
    7、 如权利要求 1所述的方法, 其特征在于, 还包括:
    所述用户信息应用单元判断本地是否存储有该用户的认证和 /或授权信 息; 若本地存储有该用户的认证和 /或授权信息, 则仅向所述用户信息存储单 元请求获取该用户授权的访问网络列表; 所述用户信息存储单元将本地存储 的该用户授权的访问网络列表下发给所迷用户信息应用单元;
    若所述用户信息应用单元本地没有存储该用户的认证和 /或授权信息, 则 向所述用户信息存储单元发起认证和 /或授权信息获取请求, 并同时请求获取 该用户授权的访问网络列表; 所述用户信息存储单元将本地存储的该用户的 认证和 /或授权信息以及该用户授权的访问网絡列表下发给所述用户信息应用 单元。
    8> 如权利要求 1-7任意权项所迷的方法, 其特征在于, 还包括: 用户按设定周期向所述用户信息应用单元发送授权的访问网络列表更新 请求消息;
    所述用户信息应用单元判断用户为合法用户后, 将本地保存的该用户授 权的访问网络列表或从用户信息存储单元中获取用户授权的访问网络列表发 送给该用户。
    9、 如权利要求 1-7任意权项所述的方法, 其特征在于, 还包括: 所述用户信息存储单元向用户信息应用单元发送授权的访问网络列表更 新通知消息;
    所述用户信息应用单元判断用户在线后, 转发所述更新通知消息给用户; 用户收到更新通知消息后, 向所述用户信息应用单元发送授权的访问网 络列表更新请求消息;
    所述用户信息应用单元从用户信息存储单元中获取用户授权的访问网络 列表发送给用户。
    10、 如权利要求 1-7任意权项所述的方法, 其特征在于, 还包括: 用户信息存储单元向用户信息应用单元推送用户授权的访问网络列表信 息;
    用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用 户。
    11、如权利要求 1-7任意权项所述的方法, 其特征在于, 所述用户授权的 访问网络列表包括授权的访问接入网络、 授权的访问核心网络以及授权的访 问连接性服务网络其中之一或其组合。
    12、 如权利要求 1 所述的方法, 其特征在于, 当所述用户信息应用单元 判断用户选择的访问网络没有改变时, 执行现有技术中的常规认证和 /或授权 流程。
    13、 一种用户信息应用单元, 其特征在于包括: 认证 /授权执行模块、 用 户访问网络改变判断模块和接入访问网络决策模块;
    所述认证 /授权执行模块, 接收用户选择一访问网络发起的接入认证和 / 或授权请求, 根据该用户的认证和 /或授权信息确定用户是否为合法用户, 并 根据接入访问网络决策模块确定出的是否允许用户接入到访问网络的结果信 息向用户返回认证和 /或授权成功 /失败应答;
    所述用户访问网络改变判断模块, 判断用户选择的访问网络是否改变, 当访问网络改变时, 启动所述接入访问网络决策模块;
    所述接入访问网络决策模块, 从用户信息存储单元中获取该用户授权的 访问网络列表, 并根据所述访问网络列表信息确定该用户是否有权接入其选 择的访问网络; 或者请求所述用户信息存储单元确定用户是否有权接入其选 择的访问网络; 并将确定出的是否允许用户接入到访问网络的结果信息发送 给所述认证 /授权执行模块。
    14、 如权利要求 13所述的用户信息应用单元, 其特征在于, 所述接入访 问网络决策模块包括:
    访问网络列表获取子模块, 从用户信息存储单元中获取该用户授权的访 问网络列表并存储;
    接入访问网络判断子模块, 根据获取的所述访问网络列表信息确定该用 户是否有权接入其选择的访问网络;
    结果信息发送子模块, 将确定出的是否允许用户接入到访问网络的结果 信息发送给所述认证 /授权执行模块。
    15、 如权利要求 13所述的用户信息应用单元, 其特征在于, 所述接入访 问网絡决策模块包括:
    确认消息发送子模块, 向用户信息存储单元发送携带用户选择的访问网 络标识的确认消息, 请求所述用户信息存储单元确定用户是否有权接入到其 选择的访问网络;
    确定结果接收子模块, 接收所述用户信息存储单元返回的桷定是否允许 用户接入到访问网络的结果信息;
    结果信息发送子模块, 将是否允许用户接入到访问网络的结果信息发送 给所述认证 /授权执行模块。
    16、 如权利要求 13、 14或 15所述的用户信息应用单元, 其特征在于, 所述用户信息应用单元为独立的具有外部接口的网络实体; 或为现有网络功 能实体的逻辑单元。
    17、 如权利要求 16所述的用户信息应用单元, 其特征在于, 所述现有网 络功能实体为进行 3GPP认证、 授权和计费的 AAA服务器。
    18、 一种用户信息存储单元, 其特征在于, 包括: 存储模块和信息发送 模块 ·,
    所述存储模块中存储用户授权的访问网络列表和用户的认证和 /或授权信 所述信息发送模块向用户信息应用单元发送其请求的用户授权的访问网 络列表和 /或用户的认证和 /或授权信息。
    19、 如权利要求 18所述的用户信息存储单元, 其特征在于, 还包括: 访问网络确认模块, 接收用户信息应用单元发送的携带用户选择的访问 网络标识的确认消息, 并根据所述存储模块中存储的用户授权的访问网络列 表确定用户是否有权接入到其选择的访问网络; 并将确定出的是否允许用户 接入访问网络的结果信息发送到所述信息发送模块, 由所述信息发送模块发 送所述结果信息给用户信息应用单元。
    20、 如权利要求 18或 19所述的用户信息存储单元, 其特征在于, 所述 用户信息存储单元为独立的具有外部接口的网络实体; 或为现有网络功能实 体的逻辑单元。
    21、 如权利要求 20所迷的用户信息存储单元, 其特征在于, 所述现有网 络功能实体为归属位置寄存器 HLR或归属用户服务器 HSS。
    22、 一种用户改变访问网络的接入控制系统, 其特征在于, 包括: 用户 信息应用单元和用户信息存储单元;
    所述用户信息应用单元包括: 认证 /授权执行模块、 用户访问网络改变判 断模块和接入访问网络决策模块;
    所述认证 /授权执行模块, 接收用户选捧一访问网络发起的接入认证和 / 或授权请求, 根据该用户的认证和 /或授权信息确定用户是否为合法用户, 并 根据接入访问网络决策模块确定出的是否允许用户接入到访问网络的结果信 息向用户返回认证和 /或授权成功 /失败应答;
    所述用户访问网络改变判断模块, 判断用户选择的访问网络是否改变, 当访问网络改变时, 启动所述接入访问网络决策模块;
    所述接入访问网络决策模块, 从用户信息存储单元中获取该用户授权的 访问网络列表, 并根据所述访问网络列表信息确定该用户是否有权接入其选 择的访问网络; 或者请求所述用户信息存储单元确定用户是否有权接入其选 择的访问网络; 并将确定出的是否允许用户接入到访问网络的结果信息发送 给所述认证 /授权执行模块;
    所述用户信息存储单元包括: 存储模块和信息发送模块;
    所述存储模块中存储用户授权的访问网络列表和用户的认证和 /或授权信 息;
    所述信息发送模块向用户信息应用单元发送其请求的用户授权的访问网 络列表和 /或用户的认证和 /或授权信息。
    23、 如权利要求 22所述的控制接入系统, 其特征在于, 所述用户信息存 储单元还包括:
    访问网络确认模块, 接收用户信息应用单元发送的携带用户选择的访问 网络标识的确认消息, 并根据所述存储模块中存储的用户授权的访问网络列 表确定用户是否有权接入到其选择的访问网络; 并将确定出的是否允许用户 接入访问网络的结果信息发送到所迷信息发送模块, 由所述信息发送模块发 送所述结果信息给用户信息应用单元。
CNA2006800116340A 2005-08-12 2006-07-20 一种用户改变访问网络的接入控制方法、单元及系统 Pending CN101156364A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200510090294.2 2005-08-12
CNB2005100902942A CN1327663C (zh) 2005-08-12 2005-08-12 用户接入无线通信网络的方法和无线网络接入控制装置
PCT/CN2006/001771 WO2007019771A1 (en) 2005-08-12 2006-07-20 An access control method of the user altering the visited network, the unit and the system thereof

Publications (1)

Publication Number Publication Date
CN101156364A true CN101156364A (zh) 2008-04-02

Family

ID=36805956

Family Applications (2)

Application Number Title Priority Date Filing Date
CNB2005100902942A Active CN1327663C (zh) 2005-08-12 2005-08-12 用户接入无线通信网络的方法和无线网络接入控制装置
CNA2006800116340A Pending CN101156364A (zh) 2005-08-12 2006-07-20 一种用户改变访问网络的接入控制方法、单元及系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CNB2005100902942A Active CN1327663C (zh) 2005-08-12 2005-08-12 用户接入无线通信网络的方法和无线网络接入控制装置

Country Status (4)

Country Link
US (2) US8776184B2 (zh)
EP (1) EP1914936B1 (zh)
CN (2) CN1327663C (zh)
WO (1) WO2007019771A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112219442A (zh) * 2018-08-14 2021-01-12 Oppo广东移动通信有限公司 一种网络接入方法、终端设备及网络设备

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1327663C (zh) 2005-08-12 2007-07-18 华为技术有限公司 用户接入无线通信网络的方法和无线网络接入控制装置
CN101102189B (zh) * 2006-07-05 2011-06-22 华为技术有限公司 一种实现多种媒体接入的网关系统和方法
WO2008090163A1 (en) * 2007-01-23 2008-07-31 Nokia Corporation Network search, selection and entry in wimax
US20090089434A1 (en) * 2007-09-28 2009-04-02 Creamer Thomas E Method and system for saving and retrieving client-specific information in an internet protocol multimedia subsystem
CN101552987B (zh) * 2008-03-31 2011-11-16 华为技术有限公司 防止认证向量被滥用的方法、装置和系统
JP4844611B2 (ja) * 2008-09-30 2011-12-28 ブラザー工業株式会社 無線通信装置、接続方法及びプログラム
KR20100102026A (ko) * 2009-03-10 2010-09-20 주식회사 케이티 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
CN102137382B (zh) * 2010-10-08 2014-12-03 华为技术有限公司 实现网络保持的方法、应用服务器及实现网络保持的系统
CN103765933A (zh) * 2011-09-06 2014-04-30 英特尔公司 用于漫游服务的优选被访问nsp的信令
US9497688B2 (en) * 2011-09-23 2016-11-15 Certicom Corp. Managing mobile device applications in a wireless network
CN102916981A (zh) * 2012-11-20 2013-02-06 北京恒华伟业科技股份有限公司 网络权限的控制方法和装置
US11206532B2 (en) * 2013-02-20 2021-12-21 Comcast Cable Communications, Llc Method and systems for pairing a mobile device with a wireless network
WO2014160808A1 (en) * 2013-03-26 2014-10-02 Huawei Technologies Co., Ltd. System and method for wireless network selection
EP3120585B1 (en) * 2014-03-21 2019-01-09 Telefonaktiebolaget LM Ericsson (publ) Accessing data services while roaming
CN104080083A (zh) * 2014-06-25 2014-10-01 珠海市君天电子科技有限公司 无线网络管理方法和装置
US9871828B2 (en) * 2014-07-18 2018-01-16 T-Mobile Usa, Inc. Enhanced IMS services restriction and selection control for mobile devices roaming in foreign networks
US9544444B2 (en) * 2014-09-15 2017-01-10 Verizon Patent And Licensing Inc. Differentiated MMS billing based on roaming status determination of user devices
CN104363631B (zh) * 2014-10-24 2019-03-08 小米科技有限责任公司 无线路由器的连接方法、装置和系统
EP3254502B1 (en) * 2015-02-03 2023-07-26 Telefonaktiebolaget LM Ericsson (publ) Signaling interface to support real-time traffic steering networks
US10291662B2 (en) 2015-08-26 2019-05-14 Lg Electronics Inc. Method for obtaining operator network identification number of visited network
CN105376224A (zh) * 2015-11-02 2016-03-02 深圳市广和通无线股份有限公司 Wifi接入鉴权方法及其装置
US10015671B2 (en) 2016-01-19 2018-07-03 T-Mobile Usa, Inc. Network service access control
US10924916B1 (en) * 2017-11-30 2021-02-16 Telefonaktiebolaget Lm Ericsson (Publ) Core network allocation handling
KR20200100073A (ko) 2017-12-22 2020-08-25 레노보 (싱가포르) 피티이. 엘티디. 네트워크 슬라이스 선택 보조 정보 구성
CN110602024B (zh) * 2018-06-13 2021-12-21 中国电信股份有限公司 用户终端二次认证方法和系统、接入和移动性管理装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6421339B1 (en) * 1998-06-12 2002-07-16 Nortel Networks Limited Methods and systems for call forwarding
WO2001093523A2 (en) 2000-05-30 2001-12-06 Nokia Corporation System and method of controlling application level access of a subscriber to a network
US6725036B1 (en) * 2000-05-30 2004-04-20 Nokia Telecommunications Ojy System and method of controlling application level access of a subscriber to a network
US6970445B2 (en) * 2001-06-14 2005-11-29 Flarion Technologies, Inc. Methods and apparatus for supporting session signaling and mobility management in a communications system
US6954442B2 (en) * 2001-06-14 2005-10-11 Flarion Technologies, Inc. Methods and apparatus for using a paging and location server to support session signaling
US6871070B2 (en) * 2001-07-31 2005-03-22 Lucent Technologies Inc. Communication system for providing roaming between an internet protocol multimedia system and a circuit-switched domain
EP1317159A1 (en) 2001-11-30 2003-06-04 Motorola, Inc. Authentication, authorisation and accounting for a roaming user terminal
AU2003242968A1 (en) * 2002-07-16 2004-02-02 Haim Engler Automated network security system and method
CN100450051C (zh) * 2003-06-30 2009-01-07 意大利电信股份公司 通信网中网络选择的方法和相关网络
CN1265589C (zh) * 2003-07-31 2006-07-19 华为技术有限公司 无线局域网中用户终端选择接入移动网的优化交互方法
CN100499536C (zh) * 2003-10-22 2009-06-10 华为技术有限公司 无线局域网中选定业务的解析接入处理方法
US7461248B2 (en) 2004-01-23 2008-12-02 Nokia Corporation Authentication and authorization in heterogeneous networks
EP1792513A1 (en) * 2004-09-15 2007-06-06 Starhome GmbH Blocking network selection redirection attempts in roaming
US7590732B2 (en) * 2004-10-08 2009-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing originated from a local access network involving intermediary network preferences
US7292592B2 (en) * 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7298725B2 (en) * 2004-10-08 2007-11-20 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing initiated from a home service network involving intermediary network preferences
US20070100981A1 (en) * 2005-04-08 2007-05-03 Maria Adamczyk Application services infrastructure for next generation networks including one or more IP multimedia subsystem elements and methods of providing the same
EP1891822B1 (en) * 2005-06-11 2010-03-31 Telefonaktiebolaget LM Ericsson (publ) Apparatus and method for selecting a visited network
CN1327663C (zh) 2005-08-12 2007-07-18 华为技术有限公司 用户接入无线通信网络的方法和无线网络接入控制装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112219442A (zh) * 2018-08-14 2021-01-12 Oppo广东移动通信有限公司 一种网络接入方法、终端设备及网络设备

Also Published As

Publication number Publication date
WO2007019771A1 (en) 2007-02-22
CN1327663C (zh) 2007-07-18
EP1914936A4 (en) 2008-09-24
CN1794676A (zh) 2006-06-28
US9392435B2 (en) 2016-07-12
US8776184B2 (en) 2014-07-08
EP1914936B1 (en) 2013-04-17
US20140273969A1 (en) 2014-09-18
EP1914936A1 (en) 2008-04-23
US20090049526A1 (en) 2009-02-19

Similar Documents

Publication Publication Date Title
CN101156364A (zh) 一种用户改变访问网络的接入控制方法、单元及系统
EP1842353B1 (en) Method for selecting an access point name (apn) for a mobile terminal in a packet switched telecommunications network
CN101983517B (zh) 演进分组系统的非3gpp接入的安全性
CN1650576B (zh) 在wlan漫游时用于gsm鉴权的方法和系统
EP1916867B1 (en) A method for managing the local terminal equipment to access the network
EP1693988B1 (en) A method of the subscriber terminal selecting the packet data gateway in the wireless local network
US20040162998A1 (en) Service authentication in a communication system
CN102396203B (zh) 根据通信网络中的认证过程的紧急呼叫处理
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
CN101227494B (zh) 接入多分组数据网时因特网安全协议安全联盟的建立方法
EP1733536A1 (en) A method of configuring a mobile node
CN101459904B (zh) Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
CN101472263B (zh) 一种网络连接方式的决定方法
CN101330740A (zh) 一种无线网络中的网关选择方法
CN100469196C (zh) 一种多模终端在异质接入技术网络之间漫游的认证方法
EP2087689A1 (en) Authentication in mobile interworking system
EP1208714B1 (en) Utilization of subscriber data in a telecommunication system
CN101984724B (zh) 一种融合网络中隧道建立的方法及系统
EP1176760A1 (en) Method of establishing access from a terminal to a server
WO2013037264A1 (zh) 一种接纳控制方法和系统
WO2013167317A1 (en) Mobile terminal, network node server, method and computer program
CN108702619A (zh) 获取、发送用户设备标识的方法及设备
CN105025537A (zh) 用户在线状态的处理方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication