CN101730102B - 一种对家用基站用户实施鉴权的系统及方法 - Google Patents
一种对家用基站用户实施鉴权的系统及方法 Download PDFInfo
- Publication number
- CN101730102B CN101730102B CN2009101404410A CN200910140441A CN101730102B CN 101730102 B CN101730102 B CN 101730102B CN 2009101404410 A CN2009101404410 A CN 2009101404410A CN 200910140441 A CN200910140441 A CN 200910140441A CN 101730102 B CN101730102 B CN 101730102B
- Authority
- CN
- China
- Prior art keywords
- base station
- home
- user
- message
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种对家用基站用户实施鉴权的系统及方法,该方法包括:在终端请求接入闭合接入模式或混合接入模式的家用基站过程中,接入网关将用户标识信息、家用基站标识及家用基站模式发送至鉴权授权服务器,或经鉴权授权服务器发送至闭合用户组CSG用户服务器;当家用基站为闭合接入模式时,鉴权授权服务器或CSG用户服务器判断是否允许该用户接入该家用基站,并将判断结果通过接入网关返回至家用基站;当家用基站为混合接入模式时,鉴权授权服务器或闭合用户组CSG用户服务器确定该用户类别信息,并将类别信息通过接入网关返回至家用基站。采用本发明,可避免在空口频繁传递用户真实标识,减少家用基站的负担,降低家用基站的安全隐患。
Description
技术领域
本发明涉及移动通信领域,具体涉及一种对家用基站用户实施鉴权的系统及方法。
背景技术
家用基站是一种小型、低功率的基站,部署在家庭及办公室等室内场所,主要作用是为了给用户提供更高的业务速率并降低使用高速率服务所需要的费用,同时弥补已有分布式蜂窝无线通信系统覆盖的不足。家用基站的优点是实惠、便捷、低功率输出、即插即用等。家用基站系统已经在第三代合作伙伴计划(3rd Generation Partnership Project,简称为3GPP)、第三代合作伙伴计划2(3rd Generation Partnership Project 2,简称为3GPP2)和微波接入全球互通(Worldwide Interoperability for Microwave Access,简称为WiMAX)三大标准中进行研究,各个标准组织中家用基站系统采用的网络架构都大体相同,本文以WiMAX为例来说明家用基站的网络架构。
家用基站系统如图1所示。为保障家用基站和接入网关之间链路安全,家用基站和接入网关之间可能存在一个安全网关。为了便于对家用基站进行管理,引入家用基站网关,家用基站网关主要功能为:验证家用基站的安全性,处理家用基站的注册,对家用基站进行运行维护管理,根据运营商要求配置和控制家用基站,负责交换核心网和家用基站的数据。家用基站可以通过家用基站网关接入核心网的接入网关,此时,安全网关和家用基站网关合设。家用基站也可以不通过家用基站网关直接接入核心网的接入网关,此时,安全网关可以和接入网关合设,也可以分设。在WiMAX系统中,接入网关是指ASN GW(Access Service Network Gateway)。
自组织网络服务器,如图1所示,其作用是在无需人工干预的情况下,发现/提取家用基站的一系列运行维护参数,如家用基站所处的地理位置,家用基站周边的无线环境等;为家用基站提供初始化参数配置,支持家用基站的自举初始化,如使用一定的频率规划算法给家用基站提供候选工作频点,为家用基站提供可接入的候选接入网关等。此外,自组织网络服务器还可用以支持家用基站的故障恢复等。CSG(Closed Subscriber Group,闭合用户组)是引入家用基站后提出的新概念。通常一个家庭或者一个企业内部的用户组成一个闭合用户组,用户通过与运营商签约可以接入到多个闭合用户组所对应的家用基站,例如用户的办公场所、家庭等。
CSG用户服务器,如图1所示,其作用在于存储家用基站的签约信息,如家用基站允许接入的用户,即CSG相关信息,为家用基站和/或鉴权授权服务器提供存储的家用基站签约信息。
家用基站的使用模式分为三种:闭合接入模式、混合接入模式和开放模式。当家用基站是闭合接入模式的时候,只有该家用基站所属CSG签约用户可以接入该基站并享受基站提供的业务。当家用基站是开放模式的时候,任何运营商签约用户都可以接入该基站,此时的家用基站等同于宏基站使用。当家用基站是混合接入模式的时候,同样允许任何运营商签约用户或者漫游用户接入使用,但是要根据用户是否签约CSG的信息区分不同的级别,也就是说签约该CSG的用户在使用混合型家用基站的时候具有更高的业务优先级,享受更好的服务质量和业务类别。
家用基站可以通过网络侧的CSG用户服务器获得允许接入的闭合用户组列表,也可以由家用基站的管理者在家用基站上直接修改允许接入的闭合用户组列表。用户接入时,闭合接入模式的家用基站会利用该列表对用户进行接入控制,并拒绝未授权接入该闭合接入模式家用基站的用户;混合接入模式的家用基站根据该列表对用户类别(如,CSG用户、非CSG用户)进行区分,便于实施差异化计费、服务质量授权等操作。为了简化描述,以下将家用基站判断用户是否属于CSG列表的操作统称为接入控制。
家用基站根据终端发送的用户标识检查该用户是否属于CSG列表,以图1家用基站网关与接入网关合设为例描述家用基站执行接入控制流程(如图2所示),具体步骤如下:
步骤201,终端与家用基站之间完成空口参数同步及测距;
步骤202,终端请求协商认证能力,如用户的认证策略等,并与家用基站、接入网关完成能力协商工作;
步骤203,接入网关启动EAP鉴权流程,向家用基站发送用户标识请求,家用基站将该请求转发给终端;
步骤204,在收到用户标识请求消息后,终端向家用基站回复响应消息,携带用户标识信息,如NAI(Network Access Identifier,网络接入标识)、IMSI(International Mobile Subscriber Identification Number,国际移动客户识别码)或MAC ID(Media Access Control,介质访问控制)。
步骤205,家用基站根据该用户标识信息对用户进行接入控制。
闭合接入模式家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤206;否则拒绝用户接入,可以发起用户释放流程。
混合接入模式家用基站检查该用户是否存在于CSG列表中,如果存在,则在后续流程中告知接入网关该用户为CSG用户,如果不存在,则在后续流程中告知接入网关该用户为非CSG用户。
步骤206,家用基站向接入网关返回用户标识。该步骤与步骤205不分先后顺序,可以与其并列发生。
步骤207,终端与鉴权授权服务器之间进行接入鉴权流程。鉴权授权服务器完成对用户合法性的审核,并授权用户进行业务。
步骤208,接入鉴权流程成功结束后,继续执行用户接入相关的其他流程。
从上述流程可见,家用基站根据终端携带的用户标识检查该用户是否属于CSG列表(步骤205),但是在步骤204终端回复的响应中,鉴于安全考虑,终端可能将用户真实标识进行认证协议封装,如EAP(ExtensibleAuthentication Protocol,扩展认证协议)封装,此时家用基站需要解析认证封装协议,导致基站节点运作负担增加、效率降低;在终端对真实身份标识进行加密传送的情况下,家用基站更是无从解析并获取用户标识信息;即便终端通过明文传送用户标识,不经认证消息封装,则该用户标识未经过鉴权授权服务器的验证,从而无法保证该用户标识的正确性,而且在空口频繁的用明文传输用户真实标识容易被他人窃取,存在无线通信系统安全隐患。
发明内容
本发明要解决的技术问题是提供一种对家用基站用户实施鉴权的系统及方法,可避免在空口频繁传递用户真实标识,减少家用基站的负担,降低家用基站系统的安全隐患。
为了解决上述问题,本发明提供了一种对家用基站用户实施鉴权的方法,包括:在终端请求接入闭合接入模式或混合接入模式的家用基站过程中,接入网关将用户标识信息、家用基站标识及家用基站模式发送至鉴权授权服务器,或经鉴权授权服务器发送至闭合用户组CSG用户服务器;
当所述家用基站为闭合接入模式时,鉴权授权服务器或CSG用户服务器判断是否允许所述用户接入所述家用基站,并将判断结果通过接入网关返回至家用基站;当所述家用基站为混合接入模式时,鉴权授权服务器或闭合用户组CSG用户服务器确定所述用户类别信息,并将所述类别信息通过接入网关返回至家用基站。
进一步地,当家用基站为闭合接入模式时,所述鉴权授权服务器根据签约信息用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站,若签约信息表示允许所述用户接入该家用基站,则当鉴权授权服务器完成用户认证后向接入网关发送用户接入接受消息,接入网关通过扩展认证协议EAP转发消息将鉴权成功消息转发给家用基站,家用基站解析该EAP转发消息后将其转发给终端;或者,接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;
若签约信息表示不允许所述用户接入该家用基站,则终止鉴权流程,鉴权授权服务器向接入网关发送接入拒绝消息,接入网关通过EAP转发消息将鉴权失败消息转发给家用基站,家用基站将其转发给终端。
进一步地,当家用基站为混合接入模式时,所述鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并于完成用户认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,所述家用基站解析EAP转发消息并保存用户类别信息后通过EAP转发消息将鉴权成功消息转发给终端;或者,接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息,家用基站保存所述用户类别信息。
进一步地,当家用基站为闭合接入模式时,所述CSG用户服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许用户接入所述家用基站,若签约信息表示允许所述用户接入该家用基站,则CSG用户服务器向鉴权授权服务器返回确认消息,当鉴权授权服务器完成用户认证后向接入网关发送用户接入接受消息;接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站解析EAP转发消息后将其转发给终端,或者,接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;
若签约信息表示不允许所述用户接入该家用基站,则CSG用户服务器向鉴权授权服务器返回拒绝消息,鉴权授权服务器终止鉴权流程,向接入网关发送接入拒绝消息,接入网关通过EAP转发消息将鉴权失败消息经家用基站转发给终端。
进一步地,当家用基站为混合接入模式时,所述CSG用户服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并向鉴权授权服务器返回确认消息,其中携带用户类别信息,鉴权授权服务器完成用户认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站解析EAP转发消息并保存所述用户类别信息后通过EAP转发消息将鉴权成功消息转发给终端;或者,
接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息,家用基站解析密钥改变指示消息,保存所述用户类别信息。
进一步地,所述签约信息为家用基站用户的签约信息或家用基站的签约信息;
所述签约信息保存在鉴权授权服务器,或签约信息保存在CSG用户服务器,鉴权授权服务器从CSG用户服务器下载获得。
本发明还提供一种对家用基站用户实施鉴权的系统,包括:终端、家用基站、接入网关及鉴权授权服务器;其特征在于:
接入网关用于当终端接入闭合接入模式或混合接入模式的家用基站过程中将用户标识信息、基站标识及家用基站模式发送至鉴权授权服务器;
鉴权授权服务器用于当所述家用基站为闭合接入模式时判断是否允许所述用户接入所述家用基站,并将判断结果通过接入网关返回至家用基站;以及用于当所述家用基站为混合接入模式时确定用户类别信息,并将用户类别信息通过接入网关返回至家用基站。
进一步地,鉴权授权服务器用于当所述家用基站为闭合接入模式时判断是否允许用户接入所述家用基站指,鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站;
鉴权授权服务器还用于当判断结果为允许用户接入所述家用基站时完成用户的鉴权认证,并于认证成功后向接入网关发送用户接入接受消息;以及当判断结果为不允许用户接入所述家用基站时终止鉴权流程,并向接入网关发送接入拒绝消息;
接入网关用于收到接入拒绝消息后通过EAP转发消息将鉴权失败消息经家用基站转发给终端;
接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站用于收到EAP转发消息后解析该消息并将EAP转发消息转发至终端;或者
接入网关还用于通过EAP转发消息将鉴权成功消息转发给家用基站后向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;家用基站用于将收到的EAP转发消息转发至终端后接收密钥改变指示消息。
进一步地,所述鉴权授权服务器用于当所述家用基站为混合接入模式时确定用户类别信息指,鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息;
鉴权授权服务器还用于完成用户的鉴权认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
所述接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,其中携带用户类别信息;所述家用基站用于收到EAP转发消息后解析该消息,以及保存用户类别信息,并通过EAP转发消息将鉴权成功消息转发给终端;或者
所述接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息;所述家用基站用于将收到的EAP转发消息转发至终端,以及解析收到的密钥改变指示消息,并保存用户类别信息。
本发明还提供一种对家用基站用户实施鉴权的系统,包括:终端、接入网关、鉴权授权服务器及CSG用户服务器;其特征在于:
接入网关用于当终端接入闭合接入模式或混合接入模式的接入家用基站过程中将用户标识信息、家用基站标识及家用基站模式经鉴权授权服务器发送至CSG用户服务器;
CSG用户服务器用于当所述家用基站为闭合接入模式时判断是否允许所述用户接入所述家用基站,并将判断结果通过鉴权授权服务器及接入网关返回至家用基站;以及用于当所述家用基站为混合接入模式时确定用户类别信息,并将用户类别信息通过鉴权授权服务器及接入网关返回至家用基站。
进一步地,所述CSG用户服务器用于当所述家用基站为闭合接入模式时判断是否允许用户接入所述家用基站指,CSG用户服务器根据所述用户标识信息、家用基站标识、家用基站模式及签约信息判断是否允许所述用户接入所述家用基站,CSG用户服务器还用于当判断结果为允许所述用户接入所述家用基站时向鉴权授权服务器返回确认消息,当判断结果为不允许所述用户接入所述家用基站时向鉴权授权服务器返回拒绝消息;
所述鉴权授权服务器用于收到确认消息后完成用户的鉴权认证,并向接入网关发送用户接受接入消息,以及收到拒绝消息后结束用户的鉴权认证,并向接入网关发送拒绝接入消息;
接入网关用于收到拒绝接入消息后通过EAP转发消息将鉴权失败消息经家用基站转发给终端;
接入网关还用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,所述家用基站用于收到EAP转发消息后解析该消息,并将其转发给终端;或者
接入网关还用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;所述家用基站用于将收到的EAP转发消息转发给终端,以及解析收到的密钥改变指示消息。
进一步地,所述CSG用户服务器用于当所述家用基站为混合接入模式时确定用户类别信息指,CSG用户服务器根据所述用户标识信息、家用基站标识、家用基站模式及签约信息确定用户类别信息,并向鉴权授权服务器返回确认消息,携带用户类别信息;
所述鉴权授权服务器用于收到所述确认消息后完成用户的鉴权认证,并向接入网关发送用户接受接入消息,携带用户类别信息;
所述接入网关用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,携带用户类别信息;所述家用基站用于解析EAP转发消息后保存用户类别信息,并通过EAP转发消息将鉴权成功消息转发给终端;或者
所述接入网关用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,携带用户类别信息;所述家用基站用于将收到的EAP转发消息转发给终端,以及解析收到的密钥改变指示消息,保存用户类别信息。
综上所述,本发明提供了一种对家用基站用户实施鉴权的系统及方法,将是否允许用户接入家用基站系统的检查与用户的接入鉴权统一进行,由位于核心网的鉴权授权服务器或家用基站签约信息服务器来完成,只将认证结果返回给家用基站。从而避免了在空口频繁传递用户真实标识以及家用基站对用户标识的解析,因此提供了用户标识正确性保障,减轻了家用基站网元的处理负担,降低了家用基站系统的安全隐患。
附图说明
图1为现有技术中家用基站网络连接示意;
图2为现有技术中家用基站用户接入过程流程图;
图3为本发明提供的家用基站用户实施鉴权的实施例一;
图4为本发明提供的家用基站用户实施鉴权的实施例二;
图5为本发明提供的家用基站用户实施鉴权的实施例三;
图6为本发明提供的家用基站用户实施鉴权的实施例四;
图7为本发明提供的家用基站用户实施鉴权的实施例五;
图8为本发明提供的家用基站用户实施鉴权的实施例六。
具体实施方式
本发明旨在提供一种对家用基站用户实施鉴权的系统及方法,将是否允许用户接入家用基站的检查与用户的接入鉴权统一进行,由位于核心网的鉴权授权服务器或家用基站签约信息服务器(即CSG用户服务器)来完成,只将认证结果返回给家用基站。从而避免了在空口频繁传递用户真实标识,和家用基站对用户标识的解析,因此提供了用户标识正确性保障,减轻了家用基站网元的处理负担,降低了家用基站系统的安全隐患。
以下结合附图用两个实施例详细介绍本发明内容
实施例一
本实施例提供的一种对家用基站用户实施鉴权的系统,如图1所示,包括:终端、家用基站、接入网关、鉴权授权服务器及CSG用户服务器;
接入网关用于当终端接入闭合接入模式或混合接入模式的家用基站过程中将用户标识信息及家用基站信息发送至鉴权授权服务器;
鉴权授权服务器用于当家用基站为闭合接入模式时判断是否允许所述用户接入所述家用基站,并将判断结果通过接入网关返回至家用基站;以及用于当家用基站为混合接入模式时确定用户类别信息,并将用户类别信息通过接入网关返回至家用基站。
鉴权授权服务器用于当家用基站为闭合接入模式时判断是否允许所述用户接入所述家用基站是指,鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站;
鉴权授权服务器还用于当判断结果为允许用户接入所述家用基站时完成用户的鉴权认证,并于认证成功后向接入网关发送用户接入接受消息;以及当判断结果为不允许用户接入所述家用基站时终止鉴权流程,并向接入网关发送接入拒绝消息;
接入网关用于收到接入拒绝消息后通过EAP转发消息将鉴权失败消息(鉴权失败消息可嵌入到EAP转发消息中)经家用基站转发给终端;
接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站用于收到EAP转发消息后解析该消息并将EAP转发消息转发至终端;或者
接入网关还可以用于通过EAP转发消息将鉴权成功消息转发给家用基站后向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;家用基站用于将收到的EAP转发消息转发至终端后接收密钥改变指示消息。
鉴权授权服务器用于当所述家用基站为混合接入模式时确定用户类别信息指,鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息;
鉴权授权服务器还用于完成用户的鉴权认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,其中携带用户类别信息;所述家用基站用于收到EAP转发消息后解析该消息,以及保存用户类别信息,并通过EAP转发消息将鉴权成功消息转发给终端;或者
接入网关还可以用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息;所述家用基站用于将收到的EAP转发消息转发至终端,以及解析收到的密钥改变指示消息,并保存用户类别信息。
签约信息可以为家用基站用户的签约信息或家用基站的签约信息;
鉴权授权服务器还可以用于保存签约信息,或者
CSG用户服务器用于保存签约信息,鉴权授权服务器用于从CSG用户服务器下载签约信息。
本实施例提供的一种对家用基站用户实施鉴权的方法,如图3至图5所示,该实施例中均由鉴权授权服务器判断家用基站为闭合接入模式时用户是否可以接入该家用基站,以及当家用基站为混合接入模式时确定用户类别信息;
如图3所示,鉴权授权服务器将判断结果或用户类别信息通知给接入网关,接入网关再通过EAP转发消息通知给家用基站及终端;具体方法如下:
步骤301,终端与家用基站之间完成空口参数同步及测距。
步骤302,终端请求协商认证能力,如用户的认证策略等,并与家用基站、接入网关完成能力协商工作。
步骤303,接入网关启动EAP鉴权流程,向家用基站发送用户标识请求,家用基站将该请求转发给终端。
步骤304,在收到用户标识请求消息后,终端向家用基站回复响应消息,携带用户标识信息。家用基站将该消息透传给接入网关。
该回复响应消息中携带的用户标识信息可以是用户的真实标识,也可以用户的伪标识。
步骤305,接入网关收到该响应消息后,给鉴权授权服务器发送接入请求消息,并在消息中携带用户标识信息、家用基站模式和家用基站标识。
可以在接入网关保存家用基站模式,或家用基站发送消息通知接入网关自己的家用基站模式,本发明对所采用的消息不作限制。
签约信息可以从CSG用户服务器下载到鉴权授权服务器获得,也可以是直接保存在鉴权授权服务器上的;当鉴权授权服务器上没有签约信息时,鉴权授权服务器需要向CSG用户服务器获取,即需要执行步骤306-307,否则,直接执行步骤308。
步骤306,鉴权授权服务器收到接入请求消息,且消息中携带有家用基站模式时,鉴权授权服务器向CSG用户服务器发送签约信息请求消息,并在消息中携带用户标识和/或家用基站标识。
鉴权授权服务器收到接入请求消息后,如果无法根据该消息中用户伪标识找到用户的真实标识,则可以和终端通过EAP消息交互,获取用户的真实标识,并将真实的标识与伪标识关联起来,其与终端通过EAP消息交互的过程同现有技术。
其中,签约信息可以是家用基站用户的签约信息,即该用户所允许接入的家用基站列表;也可以是家用基站的签约信息,即该家用基站所允许接入的用户列表。
当签约信息是家用基站用户的签约信息时,鉴权授权服务器向CSG用户服务器发送的请求消息中至少要携带用户标识(还可以携带家用基站标识);当签约信息是家用基站的签约信息时,鉴权授权服务器向CSG用户服务器发送的请求消息中至少要携带家用基站标识(还可以携带用户标识)。
步骤307,CSG用户服务器将签约信息在确认消息中返回给鉴权授权服务器。
其中,上述签约信息可以是家用基站用户的签约信息,即该用户所允许接入的家用基站列表;也可以是家用基站的签约信息,即该家用基站所允许接入的用户列表。
步骤308,鉴权授权服务器根据签约信息、家用基站标识、家用基站模式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站,确定混合接入模式时用户类别信息。
对于闭合接入模式家用基站,鉴权授权服务器需要判断该用户是否可以接入该家用基站,当签约信息是家用基站用户的签约信息时,若签约信息中包含该家用基站标识,说明允许该用户接入该用户基站,否则不允许该用户接入该用户基站;当签约信息是家用基站的签约信息时,若签约信息中包含该用户标识,说明允许该用户接入该用户基站,否则不允许该用户接入该用户基站;当允许该用户接入时执行步骤309,当不允许该用户接入时否则终止鉴权流程,具体流程可参考实施例三的流程描述;
对于混合接入模式家用基站,鉴权授权服务器需要检查该用户是否存在于允许接入的列表中,当签约信息是家用基站用户的签约信息时,若签约信息中包含该家用基站标识,则标识该用户类别信息为CSG用户,否则标识该用户类别信息为非CSG用户;当签约信息是家用基站的签约信息时,若签约信息中包含该用户标识,标识该用户类别信息为CSG用户,否则标识该用户类别信息为非CSG用户;然后执行步骤309。
对于开放接入模式,可以不用执行步骤306至308,且接入请求消息中可以不携带家用基站模式信息。
步骤309,终端与鉴权授权服务器之间继续进行接入鉴权流程。
上述步骤309与步骤306~308的先后顺序可以有不同的设定。
步骤310,鉴权授权服务器完成用户认证后,向接入网关发送用户接入接受消息,如果家用基站是混合接入模式,则在该消息中携带用户类别信息。
步骤311,接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站为混合接入模式时携带来自鉴权授权服务器的用户类别信息。
步骤3 12,家用基站收到EAP转发消息后,解析该消息,若为混合接入模式的家用基站,还需要获取消息携带的用户类别信息,并保存该用户类别信息。
步骤313,家用基站通过EAP转发消息将鉴权成功消息转发给终端。
步骤314,继续执行用户接入相关的其他流程。
在此流程中,不需要家用基站再单独执行用户接入控制,即可完成对家用基站用户的接入控制功能。
图4所示是本实施例的一个变例,鉴权授权服务器将判断结果或用户类别信息通知给接入网关,接入网关再通过EAP转发消息经家用基站发送至终端,并通过密钥改变指示消息通知给家用基站;具体方法如下:
步骤401-410,同步骤301-310。
步骤411,接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,再由家用基站转发给终端。对于混合接入模式家用基站,由于此时家用基站不解析EAP转发消息,所以此实施例中在该消息中不携带来自鉴权授权服务器的用户类别信息,只在接入网关保存用户类别信息。
步骤412,接入网关给家用基站发送密钥改变指示消息,通知家用基站鉴权成功。对于混合接入模式家用基站,则在此消息中携带用户类别信息。
闭合接入模式的家用基站收到密钥改变指示消息后,直接执行步骤414,混合接入模式的家用基站收到密钥改变指示消息后,执行步骤413。
步骤413,混合接入模式的家用基站解析密钥改变指示消息,获取消息中携带的用户类别信息,并保存该用户类别信息。
步骤414,继续执行用户接入相关的其他流程。
在此流程中,不需要家用基站再单独执行用户接入控制,即可完成对家用基站用户的接入控制功能。
如图5所示,当家用基站为闭合接入模式时,鉴权授权服务器判定该用户不可以接入该家用基站,直接拒绝用户的接入的流程,具体方法如下:
步骤501-507,同步骤301-307。
步骤508,鉴权授权服务器根据签约信息、家用基站标识、家用基站模式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站,混合接入模式时用户类别信息。对于闭合接入模式家用基站,鉴权授权服务器需要判断该用户是否可以接入该家用基站,如果不允许用户接入,则终止鉴权流程。
步骤509,鉴权授权服务器终止鉴权流程,给接入网关发送接入拒绝消息。
步骤510,接入网关通过EAP转发消息将鉴权失败消息通过家用基站转发给终端。
步骤511,接入网关发起用户退网流程。
此实施例适用于闭合接入模式家用基站。
实施例二
本实施例提供的一种对家用基站用户实施鉴权的系统,如图1所示,包括:终端、家用基站、接入网关、鉴权授权服务器及CSG用户服务器;
接入网关用于当终端接入闭合接入模式或混合接入模式的家用基站过程中将用户标识信息及家用基站信息经鉴权授权服务器发送至CSG用户服务器;
CSG用户服务器用于当家用基站为闭合接入模式时判断是否允许用户接入该家用基站,并将判断结果通过鉴权授权服务器及接入网关返回至家用基站;以及用于当家用基站为混合接入模式时确定用户类别信息,并将用户类别信息通过鉴权授权服务器及接入网关返回至家用基站。
CSG用户服务器用于当所述家用基站为闭合接入模式时判断是否允许用户接入所述家用基站指,CSG用户服务器根据用户标识信息、家用基站标识、家用基站模式及签约信息判断是否允许所述用户接入所述家用基站,CSG用户服务器还用于当判断结果为允许所述用户接入所述家用基站时向鉴权授权服务器返回确认消息,当判断结果为不允许所述用户接入所述家用基站时向鉴权授权服务器返回拒绝消息;
鉴权授权服务器用于收到确认消息后完成用户的鉴权认证,并向接入网关发送用户接受接入消息,以及收到拒绝消息后结束用户的鉴权认证,并向接入网关发送拒绝接入消息;
接入网关用于收到拒绝接入消息后通过EAP转发消息将鉴权失败消息经家用基站转发给终端;
接入网关还用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站用于收到EAP转发消息后解析该消息,并将其转发给终端;或者
接入网关还可以用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;家用基站用于将收到的EAP转发消息转发给终端,以及解析收到的密钥改变指示消息。
CSG用户服务器用于当家用基站为混合接入模式时确定用户类别信息指,CSG用户服务器根据用户标识信息、家用基站标识、家用基站模式及签约信息确定用户类别信息,并向鉴权授权服务器返回确认消息,携带用户类别信息;
鉴权授权服务器用于收到确认消息后完成用户的鉴权认证,并向接入网关发送用户接受接入消息,携带用户类别信息;
接入网关用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,携带用户类别信息;家用基站用于解析EAP转发消息后保存用户类别信息,并通过EAP转发消息将鉴权成功消息转发给终端;或者
接入网关可以用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,携带用户类别信息;家用基站可以用于将收到的EAP转发消息转发给终端,以及解析收到的密钥改变指示消息,保存用户类别信息。
本实施例提供的一种对家用基站用户实施鉴权的方法,如图6至图8所示,该实施例中均由CSG用户服务器判断当家用基站为闭合接入模式时用户是否可以接入该家用基站,以及当家用基站为混合接入模式时确定用户类别信息;
如图6所示,CSG用户服务器判断当家用基站为闭合接入模式时该用户是否可以接入该家用基站,确定当家用基站为混合接入模式时用户类别信息,将判断结果或用户类别信息通知鉴权授权服务器,当鉴权授权服务器完成用户认证后通过EAP转发消息通知给家用基站及终端;具体方法如下:
步骤601,终端与家用基站之间完成空口参数同步及测距。
步骤602,终端请求协商认证能力,如用户的认证策略等,并与家用基站、接入网关完成能力协商工作。
步骤603,接入网关启动EAP鉴权流程,向家用基站发送用户标识请求,家用基站将该请求转发给终端。
步骤604,在收到用户标识请求消息后,终端向家用基站回复响应消息,携带用户标识信息。家用基站将该消息透传给接入网关。
该回复响应消息中携带的用户标识信息可以是用户的真实标识,也可以用户的伪标识。
步骤605,接入网关收到该响应消息后,给鉴权授权服务器发送接入请求消息,并在消息中携带用户标识信息、家用基站模式和家用基站标识。
可以在接入网关保存家用基站模式,或家用基站发送消息通知接入网关自己的家用基站模式,本发明对所采用的消息不作限制。
步骤606,鉴权授权服务器收到接入请求消息,且消息中携带有家用基站模式时,鉴权授权服务器向CSG用户服务器发送请求消息,并在消息中携带用户标识、家用基站标识及家用基站模式。
鉴权授权服务器收到接入请求消息后,如果无法根据该消息中用户伪标识找到用户的真实标识,则可以和终端通过EAP消息交互,获取用户的真实标识,并将真实的标识与伪标识关联起来,其与终端通过EAP消息交互的过程同现有技术。
步骤607,CSG用户服务器收到上述请求消息,根据签约信息、家用基站标识、家用基站模式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站,确定混合接入模式时该用户类别信息。
签约信息可以是家用基站用户的签约信息,即该用户所允许接入的家用基站列表;也可以是家用基站的签约信息,即该家用基站所允许接入的用户列表。
对于闭合接入模式家用基站,CSG用户服务器需要判断该用户是否可以接入该家用基站,当签约信息是家用基站用户的签约信息时,若签约信息中包含该家用基站标识,说明允许该用户接入该用户基站,否则不允许该用户接入该用户基站;当签约信息是家用基站的签约信息时,若签约信息中包含该用户标识,说明允许该用户接入该用户基站,否则不允许该用户接入该用户基站;如果允许用户接入,则继续鉴权流程,执行步骤608,否则终止鉴权流程,具体流程可参考如图8所示的流程描述;
对于混合接入模式家用基站,鉴权授权服务器需要判断该用户类别信息,当签约信息是家用基站用户的签约信息时,若签约信息中包含该家用基站标识,则标识该用户类别信息为CSG用户,否则标识该用户类别信息为非CSG用户;当签约信息是家用基站的签约信息时,若签约信息中包含该用户标识,标识该用户类别信息为CSG用户,否则标识该用户类别信息为非CSG用户;然后执行步骤608。
步骤608,CSG用户服务器返回确认消息给鉴权授权服务器,对于混合接入模式家用基站,还需要携带用户类别信息。其中,用户类别信息是CSG用户或非CSG用户。
对于开放接入模式,可以不用执行步骤606至608,且接入请求消息中可以不携带家用基站模式信息。
步骤609,终端与鉴权授权服务器之间继续进行接入鉴权流程。
步骤609与步骤606~608的先后顺序可以有不同的设定。
步骤610,鉴权授权服务器完成用户认证后,给接入网关发送用户接入接受消息,如果基站是混合接入模式家用基站,则在该消息中携带用户类别信息。
步骤611,接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,混合接入模式时携带来自鉴权授权服务器的用户类别信息。
闭合接入模式的家用基站收到EAP转发消息后,直接执行步骤613,混合接入模式的家用基站收到EAP转发消息后,执行步骤613;
步骤612,混合接入模式的家用基站解析EAP转发消息,获取消息中携带的用户类别信息,并保存该用户类别信息。
步骤613,家用基站通过EAP转发消息将鉴权成功消息转发给终端。
步骤614,继续执行用户接入相关的其他流程。
在此流程中,不需要家用基站再单独执行用户接入控制,即可完成对家用基站用户的接入控制功能。
图7所示是本实施例的一个变例,CSG用户服务器判断闭合接入模式时该用户是否可以接入该家用基站,确定混合接入模式时用户类别信息,将判断结果或用户类别信息通知鉴权授权服务器,当鉴权授权服务器完成用户认证后通过EAP转发消息经家用基站发送至终端,并通过密钥改变指示消息通知给家用基站;具体方法如下:
步骤701-710,同步骤601-610。
步骤711,接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,再由家用基站转发给终端。对于混合接入模式家用基站,由于此时家用基站不解析EAP转发消息,所以此实施例中在该消息中不携带来自鉴权授权服务器的用户类别信息,只在接入网关保存用户类别信息。
步骤712,接入网关给家用基站发送密钥改变指示消息,通知家用基站认证成功。对于混合接入模式家用基站,则在此消息中携带用户类别信息。
闭合接入模式的家用基站收到密钥改变指示消息后,直接执行步骤714,混合接入模式的家用基站收到密钥改变指示消息后,执行步骤713;
步骤713,混合接入模式的家用基站解析密钥改变指示消息,获取消息中携带的用户类别信息,并保存用户类别信息。
步骤714,继续执行用户接入相关的其他流程。
在此流程中,不需要家用基站再单独执行用户接入控制,即可完成对家用基站用户的接入控制功能。
如图8所示,当家用基站为闭合接入模式时,CSG用户服务器判定该用户不可以接入该家用基站,直接拒绝用户的接入的流程,具体方法如下:
步骤801-806,同步骤601-606。
步骤807,CSG用户服务器根据签约信息、家用基站标识、家用基站模式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站,确定混合接入模式时该用户类别信息。对于闭合接入模式家用基站,CSG用户服务器需要判断该用户是否可以接入该家用基站,如果不允许用户接入,则终止鉴权流程,执行步骤808。
步骤808,CSG用户服务器给鉴权授权服务器发送拒绝消息。
步骤809,鉴权授权服务器终止鉴权流程,给接入网关发送接入拒绝消息。
步骤810,接入网关通过EAP转发消息将鉴权失败消息通过家用基站转发给终端。
步骤811,接入网关发起用户退网流程。
此实施例适用于闭合接入模式家用基站。
上述流程提供了一种对家用基站用户实施鉴权的方法,将是否允许用户接入家用基站系统的检查与用户的接入鉴权统一进行,由位于核心网的鉴权授权服务器或家用基站签约信息服务器来完成,只将认证结果返回给家用基站。从而避免了在空口频繁传递用户真实标识,和基站对用户标识的解析,因此提供了用户标识正确性保障,减轻了家用基站网元的处理负担,降低了家用基站系统的安全隐患。
为了简化描述,上述实施例以家用基站不通过家用基站网关直接接入接入网关,且安全网关与接入网关合设的应用场景为例来说明家用基站实现紧急业务的方式。其他实现场景,如家用基站不通过家用基站网关接入接入网关,且安全网关单独设置,或家用基站通过家用基站网关接入接入网关的场景,上述图3至图8的流程同样适用,只是,在家用基站和接入网关之间的消息需要通过中间存在的网元(安全网关、家用基站网关)进行转发,不会对阐述本发明造成影响,故在此不再重复描述。
Claims (12)
1.一种对家用基站用户实施鉴权的方法,包括:在终端请求接入闭合接入模式或混合接入模式的家用基站过程中,接入网关将用户标识信息、家用基站标识及家用基站模式发送至鉴权授权服务器,或经鉴权授权服务器发送至闭合用户组CSG用户服务器;
当所述家用基站为闭合接入模式时,鉴权授权服务器或CSG用户服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站,并将判断结果由接入网关通过EAP转发消息返回至家用基站;当所述家用基站为混合接入模式时,鉴权授权服务器或闭合用户组CSG用户服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并将所述类别信息由接入网关通过EAP转发消息返回至家用基站。
2.如权利要求1所述的方法,其特征在于:
当家用基站为闭合接入模式时,所述鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站,若签约信息表示允许所述用户接入该家用基站,则当鉴权授权服务器完成用户认证后向接入网关发送用户接入接受消息,接入网关通过扩展认证协议EAP转发消息将鉴权成功消息转发给家用基站,家用基站解析该EAP转发消息后将其转发给终端;或者,接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;
若签约信息表示不允许所述用户接入该家用基站,则终止鉴权流程,鉴权授权服务器向接入网关发送接入拒绝消息,接入网关通过EAP转发消息将鉴权失败消息转发给家用基站,家用基站将其转发给终端。
3.如权利要求1所述的方法,其特征在于:
当家用基站为混合接入模式时,所述鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并于完成用户认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,所述家用基站解析EAP转发消息并保存用户类别信息后通过EAP转发消息将鉴权成功消息转发给终端;或者,接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息,家用基站保存所述用户类别信息。
4.如权利要求1所述的方法,其特征在于:
当家用基站为闭合接入模式时,所述CSG用户服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许用户接入所述家用基站,若签约信息表示允许所述用户接入该家用基站,则CSG用户服务器向鉴权授权服务器返回确认消息,当鉴权授权服务器完成用户认证后向接入网关发送用户接入接受消息;接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站解析EAP转发消息后将其转发给终端,或者,接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;
若签约信息表示不允许所述用户接入该家用基站,则CSG用户服务器向鉴权授权服务器返回拒绝消息,鉴权授权服务器终止鉴权流程,向接入网关发送接入拒绝消息,接入网关通过EAP转发消息将鉴权失败消息经家用基站转发给终端。
5.如权利要求1所述的方法,其特征在于:
当家用基站为混合接入模式时,所述CSG用户服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并向鉴权授权服务器返回确认消息,其中携带用户类别信息,鉴权授权服务器完成用户认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
接入网关通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站解析EAP转发消息并保存所述用户类别信息后通过EAP转发消息将鉴权成功消息转发给终端;或者,
接入网关通过EAP转发消息将鉴权成功消息经家用基站转发给终端,接入网关还向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息,家用基站解析密钥改变指示消息,保存所述用户类别信息。
6.如权利要求2至5任一权利要求所述的方法,其特征在于:
所述签约信息为家用基站用户的签约信息或家用基站的签约信息;
所述签约信息保存在鉴权授权服务器,或签约信息保存在CSG用户服务器,鉴权授权服务器从CSG用户服务器下载获得。
7.一种对家用基站用户实施鉴权的系统,包括:终端、家用基站、接入网关及鉴权授权服务器;其特征在于:
接入网关用于当终端接入闭合接入模式或混合接入模式的家用基站过程中将用户标识信息、基站标识及家用基站模式发送至鉴权授权服务器;
鉴权授权服务器用于当所述家用基站为闭合接入模式时根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站,并将判断结果由接入网关通过EAP转发消息返回至家用基站;以及用于当所述家用基站为混合接入模式时根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并将用户类别信息由接入网关通过EAP转发消息返回至家用基站。
8.如权利要求7所述的系统,其特征在于:
鉴权授权服务器用于当所述家用基站为闭合接入模式时判断是否允许用户接入所述家用基站,包括:鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站;
鉴权授权服务器还用于当判断结果为允许用户接入所述家用基站时完成用户的鉴权认证,并于认证成功后向接入网关发送用户接入接受消息;以及当判断结果为不允许用户接入所述家用基站时终止鉴权流程,并向接入网关发送接入拒绝消息;
接入网关用于收到接入拒绝消息后通过EAP转发消息将鉴权失败消息经家用基站转发给终端;
接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,家用基站用于收到EAP转发消息后解析该消息并将EAP转发消息转发至终端;或者
接入网关还用于通过EAP转发消息将鉴权成功消息转发给家用基站后向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;家用基站用于将收到的EAP转发消息转发至终端后接收密钥改变指示消息。
9.如权利要求7所述的系统,其特征在于:
所述鉴权授权服务器用于当所述家用基站为混合接入模式时确定用户类别信息,包括:鉴权授权服务器根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息;
鉴权授权服务器还用于完成用户的鉴权认证后向接入网关发送用户接入接受消息,其中携带用户类别信息;
所述接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,其中携带用户类别信息;所述家用基站用于收到EAP转发消息后解析该消息,以及保存用户类别信息,并通过EAP转发消息将鉴权成功消息转发给终端;或者
所述接入网关还用于收到用户接入接受消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,其中携带用户类别信息;所述家用基站用于将收到的EAP转发消息转发至终端,以及解析收到的密钥改变指示消息,并保存用户类别信息。
10.一种对家用基站用户实施鉴权的系统,包括:终端、接入网关、鉴权授权服务器及CSG用户服务器;其特征在于:
接入网关用于当终端接入闭合接入模式或混合接入模式的接入家用基站过程中将用户标识信息、家用基站标识及家用基站模式经鉴权授权服务器发送至CSG用户服务器;
CSG用户服务器用于当所述家用基站为闭合接入模式时根据签约信息、用户标识信息、家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站,并将判断结果由鉴权授权服务器及接入网关通过EAP转发消息返回至家用基站;以及用于当所述家用基站为混合接入模式时根据签约信息、用户标识信息、家用基站标识及家用基站模式确定用户类别信息,并将用户类别信息由鉴权授权服务器及接入网关通过EAP转发消息返回至家用基站。
11.如权利要求10所述的系统,其特征在于:
所述CSG用户服务器用于当所述家用基站为闭合接入模式时判断是否允许用户接入所述家用基站,包括:CSG用户服务器根据所述用户标识信息、家用基站标识、家用基站模式及签约信息判断是否允许所述用户接入所述家用基站,CSG用户服务器还用于当判断结果为允许所述用户接入所述家用基站时向鉴权授权服务器返回确认消息,当判断结果为不允许所述用户接入所述家用基站时向鉴权授权服务器返回拒绝消息;
所述鉴权授权服务器用于收到确认消息后完成用户的鉴权认证,并向接入网关发送用户接受接入消息,以及收到拒绝消息后结束用户的鉴权认证,并向接入网关发送拒绝接入消息;
接入网关用于收到拒绝接入消息后通过EAP转发消息将鉴权失败消息经家用基站转发给终端;
接入网关还用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,所述家用基站用于收到EAP转发消息后解析该消息,并将其转发给终端;或者
接入网关还用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功;所述家用基站用于将收到的EAP转发消息转发给终端,以及解析收到的密钥改变指示消息。
12.如权利要求10所述的系统,其特征在于:
所述CSG用户服务器用于当所述家用基站为混合接入模式时确定用户类别信息,包括:CSG用户服务器根据所述用户标识信息、家用基站标识、家用基站模式及签约信息确定用户类别信息,并向鉴权授权服务器返回确认消息,携带用户类别信息;
所述鉴权授权服务器用于收到所述确认消息后完成用户的鉴权认证,并向接入网关发送用户接受接入消息,携带用户类别信息;
所述接入网关用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,携带用户类别信息;所述家用基站用于解析EAP转发消息后保存用户类别信息,并通过EAP转发消息将鉴权成功消息转发给终端;或者
所述接入网关用于收到用户接受接入消息后通过EAP转发消息将鉴权成功消息转发给家用基站,并向家用基站发送密钥改变指示消息,通知家用基站用户鉴权成功,携带用户类别信息;所述家用基站用于将收到的EAP转发消息转发给终端,以及解析收到的密钥改变指示消息,保存用户类别信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101404410A CN101730102B (zh) | 2009-05-15 | 2009-05-15 | 一种对家用基站用户实施鉴权的系统及方法 |
PCT/CN2009/073818 WO2010130118A1 (zh) | 2009-05-15 | 2009-09-08 | 一种对家用基站用户实施鉴权的系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101404410A CN101730102B (zh) | 2009-05-15 | 2009-05-15 | 一种对家用基站用户实施鉴权的系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101730102A CN101730102A (zh) | 2010-06-09 |
CN101730102B true CN101730102B (zh) | 2012-07-18 |
Family
ID=42450126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101404410A Expired - Fee Related CN101730102B (zh) | 2009-05-15 | 2009-05-15 | 一种对家用基站用户实施鉴权的系统及方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101730102B (zh) |
WO (1) | WO2010130118A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120002637A1 (en) * | 2010-06-18 | 2012-01-05 | Interdigital Patent Holdings, Inc. | Method and apparatus for supporting home node-b mobility |
WO2012088727A1 (zh) * | 2010-12-31 | 2012-07-05 | 华为技术有限公司 | 用户设备的接入控制方法及装置 |
CN102655638B (zh) * | 2011-03-02 | 2016-11-23 | 华为终端有限公司 | 小区接入处理方法和装置、通信系统 |
CN103391544B (zh) * | 2012-05-10 | 2017-04-26 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
WO2017201756A1 (zh) * | 2016-05-27 | 2017-11-30 | 华为技术有限公司 | 一种下载签约信息的方法、相关设备及系统 |
CN108738019B (zh) * | 2017-04-25 | 2021-02-05 | 华为技术有限公司 | 融合网络中的用户认证方法及装置 |
CN109587687A (zh) * | 2018-12-04 | 2019-04-05 | 西安佰才邦网络技术有限公司 | 基站侧设备及其组网方法 |
CN113543274B (zh) * | 2019-03-30 | 2023-07-18 | 成都华为技术有限公司 | 一种网络接入的方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136826A (zh) * | 2007-09-30 | 2008-03-05 | 中兴通讯股份有限公司 | 一种通过核心网控制终端接入家庭基站覆盖区域的方法 |
CN101400106A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种家用基站接入控制的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7941144B2 (en) * | 2006-05-19 | 2011-05-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Access control in a mobile communication system |
US7929537B2 (en) * | 2007-10-12 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods for access control in femto systems |
-
2009
- 2009-05-15 CN CN2009101404410A patent/CN101730102B/zh not_active Expired - Fee Related
- 2009-09-08 WO PCT/CN2009/073818 patent/WO2010130118A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101400106A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种家用基站接入控制的方法 |
CN101136826A (zh) * | 2007-09-30 | 2008-03-05 | 中兴通讯股份有限公司 | 一种通过核心网控制终端接入家庭基站覆盖区域的方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2010130118A1 (zh) | 2010-11-18 |
CN101730102A (zh) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101730102B (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
EP1741308B1 (en) | Improved subscriber authentication for unlicensed mobile access network signaling | |
CN102224748B (zh) | 用于在运营商控制的网络中执行毫微微接入点的安全注册的方法和装置 | |
US8811987B2 (en) | Method and arrangement for creation of association between user equipment and an access point | |
CN102123394B (zh) | 向封闭用户组小区切换的处理方法及装置 | |
CN109076079A (zh) | 增强的非接入层安全 | |
WO2007080490A1 (en) | Secure identification of roaming rights prior authentication/association | |
CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
CN113676904B (zh) | 切片认证方法及装置 | |
CN100450110C (zh) | 基于ip接入网络与移动网络短消息互通的系统和方法 | |
CN101877852B (zh) | 用户接入控制方法和系统 | |
CN101990207B (zh) | 接入控制方法、家用基站及家用基站授权服务器 | |
CN102036343B (zh) | 一种家庭基站的共享方法和家庭基站系统 | |
CN102036415B (zh) | 一种家庭基站的共享方法和家庭基站系统 | |
EP2378802B1 (en) | A wireless telecommunications network, and a method of authenticating a message | |
CN101499899B (zh) | 防止家庭基站欺骗用户的方法、系统及相关设备 | |
JP2014007634A (ja) | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム | |
CN101730038A (zh) | 紧急业务的实现方法及家用基站 | |
CN102036342B (zh) | 一种家庭基站的共享方法和家庭基站系统 | |
CN101646222B (zh) | 一种家庭基站位置重新锁定的方法和系统 | |
CN102843678A (zh) | 接入控制方法、装置、接口及安全网关 | |
JP2017041889A (ja) | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム | |
CN102577463A (zh) | 用于对未知终端使用私有无线电小区进行远程管理的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120718 Termination date: 20190515 |