CN101877852A - 用户接入控制方法和系统 - Google Patents
用户接入控制方法和系统 Download PDFInfo
- Publication number
- CN101877852A CN101877852A CN2009102045307A CN200910204530A CN101877852A CN 101877852 A CN101877852 A CN 101877852A CN 2009102045307 A CN2009102045307 A CN 2009102045307A CN 200910204530 A CN200910204530 A CN 200910204530A CN 101877852 A CN101877852 A CN 101877852A
- Authority
- CN
- China
- Prior art keywords
- user
- home
- base station
- network side
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 238000013475 authorization Methods 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 44
- 230000004044 response Effects 0.000 claims description 35
- 238000004873 anchoring Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 33
- 238000004364 calculation method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明用户接入控制方法包括:网络侧实体向家用基站发送加密的真实用户标识信息;所述家用基站接收所述用户标识信息后解密所述加密的真实用户标识信息,并根据该真实用户标识信息对用户进行接入控制操作。本发明用户接入控制方法及系统,可以提供用户标识正确性保障,消除安全隐患,减轻家用基站的处理负担,并且提高了传送真实用户标识信息的安全性。
Description
技术领域
本发明涉及移动通信领域,具体涉及一种用户接入控制方法及系统。
背景技术
家用基站是一种小型、低功率的基站,部署在家庭及办公室等室内场所,主要作用是为了给用户提供更高的业务速率并降低使用高速率服务所需要的费用,同时弥补已有分布式蜂窝无线通信系统覆盖的不足。家用基站的优点是实惠、便捷、低功率输出、即插即用等。
家用基站可以通过家用基站网关这个逻辑网元接入到核心网络,如图1和图2所示,其中,家用基站网关主要功能为:验证家用基站的安全性,处理家用基站的注册,对家用基站进行运行维护管理,根据运营商要求配置和控制家用基站,负责交换核心网和家用基站的数据。图1中家用基站网关可以与接入网关合设、也可以单独设置;也可以有不存在家用基站网关的情况,此时家用基站直接与接入网关进行连接。图2中移动性管理实体负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作。鉴权授权服务器负责存储归属地网络的用户数据信息的核心数据库,存放着用户的认证信息、业务信息等等。另外,家用基站也可以不经过家用基站网关,直接连接到核心网,如图3所示。
在家用基站系统中存在闭合用户组(CSG,Closed Subscriber Group)的概念,允许用户接入一个或多个访问受限的CSG Cell。家用基站的使用模式可分为闭合模式、混合模式和开放模式。当家用基站是闭合模式的时候,只有该家用基站所属CSG用户可以接入该基站并享受基站提供的业务。当家用基站是开放模式的时候,任何用户都可以接入该基站,此时的家用基站等同于宏基站使用。当家用基站是混合模式的时候,既允许CSG用户接入,同时也允许其他用户接入使用,不过会根据用户是否属于CSG列表来区分不同用户类型、实现差异化的服务质量处理,也就是说CSG的用户在使用混合型家用基站的时候具有更高的业务优先级,拥有更好的服务质量和业务类别。
网络侧的用户数据服务器将允许接入的闭合用户组列表发送到家用基站。用户接入时,闭合模式的家用基站会利用该列表对UE进行接入控制,未授权的闭合模式家用基站将拒绝UE接入网络;混合模式的家用基站根据该列表对用户类别(如,CSG用户、非CSG用户)进行区分,便于实施差异化计费、服务质量授权等操作。为了简化描述,以下将家用基站判断用户是否属于CSG列表的操作统称为接入控制。
家用基站根据终端发送的用户标识检查该用户是否属于CSG列表,以图1家用基站网关与接入网关合设为例描述家用基站执行接入控制流程(如图4所示),具体步骤如下:
步骤401,终端请求协商认证能力,如用户的认证策略等,并与基站、接入网关完成能力协商工作。
步骤402,接入网关向家用基站发送用户标识请求,家用基站将该请求转发给终端。
步骤403,在收到用户标识请求消息后,终端向家用基站回复响应消息,携带用户标识信息,如NAI(Network Access Identifier,网络接入标识)、IMSI(International Mobile Subscriber Identification Number,国际移动客户识别码)或MAC ID(Media Access Control ID,介质访问控制标识)。
步骤404,家用基站根据该用户标识信息对用户进行接入控制。
闭合模式家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤405;否则拒绝用户接入,可以发起用户释放流程。
混合模式家用基站检查该用户是否存在于CSG列表中,如果存在,则在后续流程中告知接入网关该用户为CSG用户,如果不存在,则在后续流程中告知接入网关该用户为非CSG用户。
步骤405,家用基站向接入网关返回用户标识。该步骤与步骤404不分先后顺序,可以与其并列发生。
步骤406,执行用户鉴权流程。鉴权授权服务器完成对用户合法性的审核,并授权用户进行业务。
步骤407,继续执行用户接入相关的其他流程。
上述流程可见,家用基站根据终端携带的用户标识检查该用户是否属于CSG列表(步骤404),但是在步骤403终端回复的响应中,鉴于安全考虑,终端可能将用户真实标识进行认证协议封装,如EAP(Extensible Authentication Protocol,扩展认证协议)封装,此时家用基站需要解析认证封装协议,导致基站节点运作负担增加、效率降低;在终端对真实身份标识进行加密传送的情况下,家用基站更是无从解析并获取用户标识信息;即便终端通过明文传送用户标识,不经认证消息封装,则该用户标识未经过鉴权授权服务器的验证,从而无法保证该用户标识的正确性,存在无线通信系统安全隐患。
发明内容
本发明要解决的技术问题是提供一种用户接入控制方法及系统,以提供用户标识正确性保障,消除安全隐患,减轻家用基站的处理负担。
为解决上述技术问题,本发明提供一种用户接入控制方法,该方法包括:
网络侧实体向家用基站发送真实的用户标识信息;
所述家用基站接收所述用户标识信息,并根据该用户标识信息对用户进行接入控制操作。
进一步地,所述网络侧实体向家用基站发送真实的用户标识信息前,所述家用基站将获取真实用户标识的指示或者家用基站模式经中间网元传送给网络侧实体;网络侧实体发现所述家用基站需要获取真实的用户标识或发现家用基站为闭合或混合模式时,在返回消息中携带用户真实的标识信息;或网络侧实体不进行任何判断,直接在返回消息中携带用户的真实标识。
进一步地,所述网络侧实体是鉴权授权服务器,所述用户标识信息是所述鉴权授权服务器在接入过程的鉴权流程中利用鉴权响应消息发送给家用基站的,所述鉴权响应消息是所述鉴权授权服务器经过接入网关或经过移动性管理实体和家用基站网关发送给所述家用基站;或,
所述网络侧实体是接入网关的锚定鉴权方功能实体,所述用户标识信息是锚定鉴权方在位置更新的流程中,经过寻呼控制器、锚定寻呼控制器通过位置更新响应消息发送给家用基站的;或,
所述网络侧实体是接入网关,所述用户标识信息是所述接入网关通过密钥改变指示消息或鉴权结果消息发生那个给所述家用基站的;或,
所述网络侧实施是移动性管理实体。
进一步地,闭合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;混合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。
进一步地,所述用户标识信息是网络接入标识NAI、国际移动客户识别码IMSI、介质访问控制标识MAC ID或用户电话号码。
为解决上述技术问题,本发明还提供了一种用户接入控制系统,该系统包括网络侧实体及与网络侧实体连接的家用基站,所述网络侧实体,用于向家用基站发送真实的用户标识信息;所述家用基站,用于接收所述网络侧实体发送的用户标识信息,以及根据所述用户标识信息进行接入控制操作。
进一步地,所述网络侧实体是鉴权授权服务器、接入网关或移动性管理实体,所述接入网关或移动性管理实体还用于对用户标识信息进行保存。
进一步地,所述家用基站还用于将获取真实用户标识的指示或者家用基站模式经中间网元传送给网络侧实体;网络侧实体发现所述家用基站需要获取真实的用户标识或发现家用基站为闭合或混合模式时,在返回消息中携带用户真实的标识信息;或网络侧实体不进行任何判断,直接在返回消息中携带用户的真实标识。
进一步地,闭合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;混合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。
进一步地,所述用户标识信息是网络接入标识NAI、国际移动客户识别码IMSI、介质访问控制标识MAC ID或用户电话号码。
为解决上述技术问题,本发明还提供一种用户接入控制方法,该方法包括:
网络侧实体向家用基站发送加密的真实用户标识信息;
所述家用基站接收所述加密的真实用户标识信息后解密所述信息,并根据所述真实用户标识信息对用户进行接入控制操作。
未解决上述问题,本发明还提供了一种用户接入控制系统,该系统包括网络侧实体及与网络侧实体连接的家用基站,其特征在于,所述网络侧实体,用于向家用基站发送加密的真实用户标识信息;所述家用基站,用于接收所述网络侧实体发送的加密的真实用户标识信息,解密所述加密的真实用户标识,以及根据所述真实用户标识信息进行接入控制操作。
进一步地,所述网络侧实体是鉴权授权服务器、接入网关或移动性管理实体,所述鉴权授权服务器还用于加密所述真实用户标识信息,所述接入网关或移动性管理实体还用于对所述加密的真实用户标识信息进行保存。
相较于现有技术,本发明用户接入控制方法和系统中家用基站根据经过真实的用户标识信息对用户进行接入控制操作,以提供用户标识正确性保障,消除安全隐患,减轻家用基站的处理负担。此外,通过本发明所述方法和系统,真实用户标识信息在网略侧和家用基站之间加密传送,提高了传递真实用户标识信息的安全性。
附图说明
图1为现有技术一家用基站网络连接示意图。
图2为现有技术二家用基站网络连接示意图。
图3为现有技术三家用基站网络连接示意图。
图4为现有技术四家用基站用户接入过程流程图。
图5为本发明用户接入控制方法的第一实施方式的流程图。
图6为本发明用户接入控制方法的第二实施方式的流程图。
图7为本发明用户接入控制方法的第三实施方式的流程图。
图8为本发明用户接入控制方法的第四实施方式的流程图。
具体实施方式
本发明用户接入控制方法和系统的主要思想是,家用基站根据经过鉴权的、真实的用户标识信息对用户进行接入控制操作,以提供用户标识正确性保障,消除安全隐患,减轻家用基站的处理负担。本发明用户接入控制方法包括以下步骤:
步骤一、网络侧实体向家用基站发送经过鉴权的、真实的用户标识信息;
实现该步骤有以下几种实现方式:
方式一、网络侧实体是鉴权授权服务器,所述用户标识信息是鉴权授权服务器在接入过程的鉴权流程中经过接入网关利用鉴权响应消息发送给家用基站的。
方式二、网络侧实体是鉴权授权服务器,所述用户标识信息是鉴权授权服务器在接入过程的鉴权流程中经过移动性管理实体和家用基站网关利用鉴权响应消息发送给家用基站的,如图7所示。
方式三、网络侧实体是接入网关的锚定鉴权方功能实体,所述用户标识信息是锚定鉴权方是在位置更新的流程中,经过寻呼控制器、锚定寻呼控制器通过位置更新响应消息发送给家用基站的,如图8所示。
当然在其他应用场景(如用户重入网流程、退出空闲态流程、寻呼区更新、路由更新、跟踪区更新等)下,也可以由接入网关或移动性管理实体充当本发明的网络侧实体向家用基站发送真实的用户标识信息。
步骤二、家用基站接收所述用户标识信息,并根据该用户标识信息对用户进行接入控制操作。
本发明提到的用户标识信息均表示用户真实的身份标识,如NAI(Network Access Identifier,网络接入标识)、IMSI(International Mobile Subscriber Identification Number,国际移动客户识别码)或MAC ID(Media Access Control ID,介质访问控制标识)或用户电话号码。
闭合模式下,接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;
混合模式下,接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。
下面结合附图和具体实施例对本发明所述技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
第一实施方式
图5是本发明在图1家用基站系统的基础上,提供的家用基站用户接入过程流程图。本实施例以家用基站网关与接入网关合设为例描述家用基站执行接入控制流程,具体步骤描述如下:
步骤501,终端请求协商认证能力,如用户的认证策略等,并与基站、接入网关完成能力协商工作;
步骤502,接入网关向家用基站发送用户标识请求,家用基站将该请求转发给终端;
步骤503,在收到用户标识请求消息后,终端通过家用基站、接入网关向鉴权授权服务器发送用户标识信息,鉴权授权服务器执行用户鉴权流程,完成对用户合法性的审核,并授权用户进行业务;
尽管终端发送的用户标识信息包括真实的以及假的NAI,家用基站无需解析该终端发送的消息,故此时不能获取到真实的以及假的NAI。
进一步地,家用基站可以将获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式)在鉴权请求消息中经接入网关传送给鉴权授权服务器,以便鉴权授权服务器判断是否需要返回用户标识。
步骤504,接续鉴权流程-鉴权授权服务器向接入网关返回鉴权成功,携带用户真实的标识信息,如真实的NAI、IMSI、用户电话号码或MAC ID。接入网关将保存该用户标识信息;如果存在假的用户标识,则接入网关会保存用户假标识与真实标识的对应关系,该真实用户标识信息的保存可用于在终端退出空闲态过程中为家用基站作接入控制提供信息;
进一步地,鉴权授权服务器可以根据步骤503的信息,发现需要获取真实的用户标识或者发现家用基站为闭合或混合模式,则在该步骤中携带用户真实的标识信息;鉴权授权服务器也可以不进行任何判断,直接在该步中携带用户的真实标识。
步骤505,接入网关向家用基站转发鉴权成功,携带用户标识信息(这里的用户标识信息是鉴权授权服务器返回的真实的用户标识信息),如NAI、IMSI、用户电话号码或MAC ID;在家用基站网关独设的情况下,鉴权响应消息将经由家用基站网关转发给家用基站,携带用户标识信息,如NAI、IMSI、用户电话号码或MAC ID;
步骤506,家用基站根据步骤505消息中携带的用户标识信息对用户进行接入控制;
闭合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤507;否则拒绝用户接入,可以发起用户释放流程;
混合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则在步骤508流程中告知接入网关该用户为CSG用户,如果不存在,则在步骤508流程中告知接入网关该用户为非CSG用户;
步骤507,家用基站转发鉴权响应消息给终端;
步骤508,继续执行用户接入相关的其他流程。
第二实施方式
图6是本发明在图1家用基站系统的基础上,提供的家用基站用户接入过程流程图。本实施例以家用基站网关与接入网关合设为例描述家用基站执行接入控制流程,具体步骤描述如下:
步骤601,终端请求协商认证能力,如用户的认证策略等,并与基站、接入网关完成能力协商工作;
步骤602,接入网关向家用基站发送用户标识请求,家用基站将该请求转发给终端;
该步骤也可以由家用基站发起,而非接入网关;
步骤603,在收到用户标识请求消息后,终端通过家用基站、接入网关向鉴权授权服务器发送用户标识信息,鉴权授权服务器执行用户鉴权流程,完成对用户合法性的审核,并授权用户进行业务。
进一步地,家用基站可以将获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式)在鉴权请求消息中经接入网关传送给鉴权授权服务器,以便鉴权授权服务器判断是否需要返回用户标识。
步骤604,鉴权授权服务器向接入网关返回鉴权响应,携带鉴权结果及用户标识信息,如真实的NAI、IMSI、用户电话号码或MAC ID;接入网关向家用基站转发鉴权响应,家用基站转发鉴权响应消息给终端;
在家用基站网关独设的情况下,鉴权响应消息将经由家用基站网关转发给家用基站;接入网关将保存该用户标识信息;如果存在假的用户标识,则接入网关会保存用户假标识与真实标识的对应关系。
进一步地,鉴权授权服务器可以根据步骤603的信息,发现需要获取真实的用户标识或者发现家用基站为闭合或混合模式,则在该步骤发往接入网关的鉴权响应消息中携带用户真实的标识信息;鉴权授权服务器也可以不进行任何判断,直接在该步骤发往接入网关的鉴权响应消息中携带用户的真实标识。
步骤605,接入网关向家用基站通知鉴权结果或者密钥改变指示消息,携带鉴权结果、用户标识信息,如NAI、IMSI、用户电话号码或MAC ID;
步骤604中,转发鉴权响应时,家用基站无法解析鉴权响应消息,所以得不到鉴权结果,步骤605中家用基站单独获取鉴权结果。
密钥改变指示消息是由接入网关生成的,其中携带密钥相关信息、鉴权结果和用户标识信息。
在家用基站网关独设的情况下,该消息将经由家用基站网关转发给家用基站,携带用户标识信息,如NAI、IMSI、用户电话号码或MAC ID。
步骤606,家用基站根据步骤605消息中携带的用户标识信息对用户进行接入控制;
如果采用密钥改变指示,家用基站对密钥改变指示进行解析以获取其中的用户标识信息。
闭合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤607;否则拒绝用户接入,可以发起用户释放流程。
混合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则在后续流程中告知接入网关该用户为CSG用户,如果不存在,则在后续流程中告知接入网关该用户为非CSG用户。
步骤607,家用基站响应密钥改变应答消息;
采用密钥改变指示时向家用基站通知用户标识信息时,发生以上步骤607。
步骤608,继续执行用户接入相关的其他流程。
第三实施方式
图7是本发明在图2家用基站系统的基础上,提供的家用基站用户接入过程流程图。本实施例以家用基站网关与接入网关分设为例描述家用基站执行接入控制流程,具体步骤描述如下:
步骤701,用户在进行通信前需要建立RRC(Radio Resource Control,无线资源控制)连接作为信令消息或者业务数据的承载;
步骤702,用户通过初始化NAS(Network Access Server,网络接入服务器)消息触发注册过程,消息类型可以为附着消息、位置更新消息、业务请求消息等;
步骤703,家用基站发现没有该用户的上下文标识信息,向家用基站网关发送注册请求消息,将用户信息注册到家用基站网关上,消息内容包括注册的类型、用户标识以及家用基站标识等信息;家用基站网关对接入这个家用基站的用户进行能力方面的检验,如果允许该用户使用家用基站提供的资源,那么就接受注册,建立用户上下文并在向家用基站回复的注册响应消息中携带用户上下文标识信息;
步骤704,家用基站向家用基站网关发送连接(Connect)消息;
步骤705,家用基站网关发起连接建立消息,同时也将NAS消息发至移动性管理实体;
进一步地,家用基站可以将获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式)在该步中传送给移动性管理实体,以便最终传送给鉴权授权服务器使其判断是否需要返回用户标识。
步骤706,移动性管理实体回复连接建立响应;
步骤707,移动性管理实体开启鉴权以及安全流程,对用户进行验证;
进一步地,移动性管理实体可以将获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式)在该步中传送给鉴权授权服务器,以便鉴权授权服务器判断是否需要返回用户标识。
步骤708,鉴权授权服务器向移动性管理实体发送鉴权响应,携带用户真实标识信息,如真实的NAI、IMSI、用户电话号码或MAC ID,接入网关将保存该用户标识信息,如果存在假的用户标识,则接入网关会保存用户假标识与真实标识的对应关系;
进一步地,鉴权授权服务器可以根据步骤707的信息,发现需要获取真实的用户标识或者发现家用基站为闭合或混合模式,则在该步骤中携带用户真实的标识信息;鉴权授权服务器也可以不进行任何判断,直接在该步中携带用户的真实标识。
步骤709,移动性管理实体转发鉴权响应,该消息经由家用基站网关传送至家用基站,携带真实用户标识信息,如NAI、IMSI、用户电话号码或MAC ID,如果不存在家用基站网关(即图3)的情况,则移动性管理实体将转发鉴权响应消息给家用基站,携带真实用户标识信息,如NAI、IMSI、用户电话号码或MAC ID;
步骤710,家用基站根据步骤709消息中携带的用户标识信息对用户进行接入控制;
闭合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤711;否则拒绝用户接入,可以发起用户释放流程。
混合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则在步骤711流程中告知移动性管理实体该用户为CSG用户,如果不存在,则在步骤711流程中告知移动性管理实体该用户为非CSG用户。
步骤711,继续执行用户接入相关的其他流程。
第四实施方式
图8是本发明在图1家用基站系统的基础上,提供的家用基站用户进行位置更新的流程图。本实施例以家用基站网关与接入网关合设为例描述家用基站执行接入控制流程,其中,寻呼控制器、锚定寻呼控制器和锚定鉴权方(锚定鉴权方作为鉴权者authenticator,存放鉴权信息)均属于接入网关的功能实体,寻呼控制器与家用基站属于服务的接入服务网络。具体步骤描述如下:
步骤801,终端向家用基站发送测距请求,携带空闲模式位置更新指示;
步骤802,家用基站请求寻呼控制器进行位置更新,携带寻呼组信息;
进一步地,家用基站可以将获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式)在该步骤传送给寻呼控制器,以便最终传送给锚定鉴权方使其判断是否需要返回用户标识。
步骤803,寻呼控制器向锚定寻呼控制器发送位置更新请求;
进一步地,该步可以携带获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式),以便最终传送给锚定鉴权方使其判断是否需要返回用户标识。
步骤804,锚定寻呼控制器请求锚定鉴权方发送上下文信息,锚定鉴权方返回上下文信息,携带真实的用户标识信息,如真实的NAI、IMSI、用户电话号码或MAC ID;
进一步地,锚定寻呼控制器可以将获取真实用户标识的指示或者家用基站模式(如闭合模式、混合模式)在该步中传送给锚定鉴权方,以便锚定鉴权方判断是否需要返回用户真实标识。
进一步地,锚定鉴权方可以根据该步请求上下文信息消息中携带的信息,发现需要获取真实的用户标识或者发现家用基站为闭合或混合模式,则在该步骤的响应消息中携带用户真实的标识信息;锚定鉴权方也可以不进行任何判断,直接在该步的响应消息中携带用户的真实标识。
步骤805,锚定寻呼控制器回复寻呼控制器位置更新响应,携带用户标识信息;
步骤806,寻呼控制器向家用基站回应位置更新响应,携带用户标识信息;
无寻呼控制器的情况下,锚定寻呼控制器与家用基站直接联系,则步骤806可选。
步骤807,家用基站根据步骤806消息中携带的用户标识信息对用户进行接入控制;
闭合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤808;否则拒绝用户接入,可以发起用户释放流程。
混合模式家用基站检查该用户标识是否存在于CSG列表中,如果存在,则在后续流程中告知接入网关该用户为CSG用户,如果不存在,则在后续流程中告知接入网关该用户为非CSG用户。
步骤808,家用基站对测距请求消息进行认证,并回复终端测距响应消息;
步骤809,家用基站发送位置更新确认给服务接入网关;
步骤810,服务接入网关向锚定寻呼控制器发送位置更新确认消息;
步骤811,如果锚定寻呼控制器接收到密钥信息,则应执行密钥更新过程。
上述流程中,如果无步骤802、806和809,则锚定的寻呼控制器将与家用基站直接交互。
第五实施方式
鉴权授权服务器可以将真实的用户标识信息进行加密后,经中间网元传送给家用基站。在收到该密文后,家用基站对其解密得到相应的真实用户标识,以便进行用户的接入控制操作。因此,对于上述实施例,需要鉴权授权服务器在传送真实的用户标识信息时对该信息进行加密传送,但家用基站解密所述加密的真实用户标识从而得到所述真实用户标识后,家用基站对于用户的接入控制方式与上述实施例相同,不会对阐述本发明造成影响,故在此不再重复描述。
对于第一实施方式的情况,鉴权授权服务器将真实的用户标识信息进行加密后,在步骤504消息中携带该密文传送给接入网关,如果存在假的用户标识,则接入网关会保存用户假标识与该密文的对应关系;在步骤505消息中携带该密文传送给家用基站。
对于第二实施方式的情况,鉴权授权服务器将真实的用户标识信息进行加密后,在步骤604消息中携带该密文传送给接入网关,如果存在假的用户标识,则接入网关会保存用户假标识与该密文的对应关系;在步骤605消息中携带该密文传送给家用基站。
对于第三实施方式的情况,鉴权授权服务器将真实的用户标识信息进行加密后,在步骤708消息中携带该密文传送给移动性管理实体,如果存在假的用户标识,则移动性管理实体会保存用户假标识与该密文的对应关系;在步骤709消息中携带该密文传送给家用基站。
对于第四实施方式的情况,在步骤804、步骤805和步骤806消息中携带真实的用户标识的密文进行传送。
上述流程提供了一种对用户进行接入控制的方法,通过鉴权流程返回用户标识信息,家用基站根据该信息进行接入控制操作,从而提供了用户标识正确性保障,以减轻家用基站网元的处理负担,降低家用基站系统的安全隐患。此外,上述方法中真实用户标识信息在网略侧和家用基站之间加密传送,提高了传递真实用户标识信息的安全性。
为了简化描述,上述实施例以用户接入时的应用场景为例来说明家用基站执行接入控制的方式,其他实现场景,如用户重入网流程或者退出空闲态流程,在不执行鉴权过程的情况下,真实的用户标识信息由接入网关或者移动性管理实体告知家用基站,而不是鉴权授权服务器将用户标识经接入网关或移动性管理实体发送至家用基站,此时家用基站根据接入网关或移动性管理实体提供的用户标识进行接入控制,该流程与上述图5、图6、图7所述实施例极为相似,不会对阐述本发明造成影响,故在此不再重复描述。
此外,对于其他实现场景,如寻呼区更新、路由更新、跟踪区更新,家用基站对于用户的接入控制方式与上述实施例极为相似,不会对阐述本发明造成影响,故在此不再重复描述。
另外,家用基站根据网络侧实体返回的经过鉴权的、真实的用户标识信息对用户进行接入控制操作。其中,网络侧实体可以是鉴权授权服务器、接入网关或移动性管理实体。
接入控制操作为家用基站判断用户是否属于CSG列表的操作,如,闭合模式家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;混合模式家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。本专利中提到的用户标识均表示用户真实的身份标识。
为了实现以上方法,本发明还提供了一种用户接入控制系统,该系统包括网络侧实体及与网络侧实体连接的家用基站,其中,
网络侧实体,用于向家用基站发送真实的用户标识信息;
如上所述,该网络侧实体是鉴权授权服务器;所述用户标识信息是鉴权授权服务器在接入过程的鉴权流程中经过接入网关利用鉴权响应消息发送给家用基站的;或所述用户标识信息是鉴权授权服务器在接入过程的鉴权流程中经过移动性管理实体和家用基站网关利用鉴权响应消息发送给家用基站的。
所述网络侧实体是接入网关的锚定鉴权方功能实体,所述用户标识信息是锚定鉴权方是在位置更新的流程中,经过寻呼控制器、锚定寻呼控制器通过位置更新响应消息发送给家用基站的。
所述网络侧实体是接入网关或移动性管理实体。
家用基站,用于接收所述网络侧实体发送的用户标识信息,以及根据所述用户标识信息进行接入控制操作。
所述家用基站还用于将获取真实用户标识的指示或者家用基站模式经中间网元传送给网络侧实体;网络侧实体发现所述家用基站需要获取真实的用户标识或发现家用基站为闭合或混合模式时,在返回消息中携带用户真实的标识信息;或网络侧实体不进行任何判断,直接在返回消息中携带用户的真实标识。
本发明提到的用户标识信息均表示用户真实的身份标识,如NAI(Network Access Identifier,网络接入标识)、IMSI(International Mobile Subscriber Identification Number,国际移动客户识别码)或MAC ID(Media Access Control ID,介质访问控制标识)或用户电话号码。
闭合模式下,接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;
混合模式下,接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。
为了实现上述方法,本发明还提供了一种用户接入控制系统,包括网络侧实体及与网络侧实体连接的家用基站,其中
网络侧实体,用于向家用基站发送加密的真实用户标识信息;
家用基站,用于接收所述网络侧实体发送的加密的真实用户标识信息,解密所述加密的真实用户标识,以及根据所述真实用户标识信息进行接入控制操作。
进一步地,所述网络侧实体是鉴权授权服务器、接入网关或移动性管理实体,其中,鉴权授权服务器还用于加密所述真实用户标识信息,所述接入网关或移动性管理实体还用于对所述加密的真实用户标识信息进行保存。
本发明用户接入控制方法及系统中家用基站根据真实的用户标识信息对用户进行接入控制操作,可以提供用户标识正确性保障,消除安全隐患,减轻家用基站的处理负担。此外,上述系统中真实用户标识信息在网略侧和家用基站之间加密传送,提高了传递真实用户标识信息的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种用户接入控制方法,其特征在于,该方法包括:
网络侧实体向家用基站发送真实的用户标识信息;
所述家用基站接收所述用户标识信息,并根据该用户标识信息对用户进行接入控制操作。
2.如权利要求1所述的方法,其特征在于:所述网络侧实体向家用基站发送真实的用户标识信息前,所述家用基站将获取真实用户标识的指示或者家用基站模式经中间网元传送给网络侧实体;网络侧实体发现所述家用基站需要获取真实的用户标识或发现家用基站为闭合或混合模式时,在返回消息中携带用户真实的标识信息;或网络侧实体不进行任何判断,直接在返回消息中携带用户的真实标识。
3.如权利要求1所述的方法,其特征在于:所述网络侧实体是鉴权授权服务器,所述用户标识信息是所述鉴权授权服务器在接入过程的鉴权流程中利用鉴权响应消息发送给家用基站的,所述鉴权响应消息是所述鉴权授权服务器经过接入网关或经过移动性管理实体和家用基站网关发送给所述家用基站;或,
所述网络侧实体是接入网关的锚定鉴权方功能实体,所述用户标识信息是锚定鉴权方在位置更新的流程中,经过寻呼控制器、锚定寻呼控制器通过位置更新响应消息发送给家用基站的;或,
所述网络侧实体是接入网关,所述用户标识信息是所述接入网关通过密钥改变指示消息或鉴权结果消息发送给所述家用基站的;或,
所述网络侧实体是移动性管理实体。
4.如权利要求1至3中任一项所述的方法,其特征在于:闭合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;混合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。
5.如权利要求1至3中任一项所述的方法,其特征在于:所述用户标识信息是网络接入标识NAI、国际移动客户识别码IMSI、介质访问控制标识MAC ID或用户电话号码。
6.一种用户接入控制系统,该系统包括网络侧实体及与网络侧实体连接的家用基站,其特征在于,所述网络侧实体,用于向家用基站发送真实的用户标识信息;所述家用基站,用于接收所述网络侧实体发送的用户标识信息,以及根据所述用户标识信息进行接入控制操作。
7.如权利要求5所述系统,其特征在于:所述网络侧实体是鉴权授权服务器、接入网关或移动性管理实体,所述接入网关或移动性管理实体还用于对用户标识信息进行保存。
8.如权利要求5所述的系统,其特征在于:所述家用基站还用于将获取真实用户标识的指示或者家用基站模式经中间网元传送给网络侧实体;网络侧实体发现所述家用基站需要获取真实的用户标识或发现家用基站为闭合或混合模式时,在返回消息中携带用户真实的标识信息;或网络侧实体不进行任何判断,直接在返回消息中携带用户的真实标识。
9.如权利要求5至8中任一项所述的系统,其特征在于:闭合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,否则拒绝用户接入;混合模式下,所述接入控制操作指,家用基站检查该用户是否存在于CSG列表中,如果存在,则告知接入网关该用户为CSG用户,如果不存在,则告知接入网关该用户为非CSG用户。
10.如权利要求5至8中任一项所述的系统,其特征在于:所述用户标识信息是网络接入标识NAI、国际移动客户识别码IMSI、介质访问控制标识MAC ID或用户电话号码。
11.一种用户接入控制方法,其特征在于,该方法包括:
网络侧实体向家用基站发送加密的真实用户标识信息;
所述家用基站接收所述加密的真实用户标识信息后解密所述信息,并根据所述真实用户标识信息对用户进行接入控制操作。
12.一种用户接入控制系统,该系统包括网络侧实体及与网络侧实体连接的家用基站,其特征在于,所述网络侧实体,用于向家用基站发送加密的真实用户标识信息;所述家用基站,用于接收所述网络侧实体发送的加密的真实用户标识信息,解密所述加密的真实用户标识,以及根据所述真实用户标识信息进行接入控制操作。
13.如权利要求13所述系统,其特征在于,所述网络侧实体是鉴权授权服务器、接入网关或移动性管理实体,所述鉴权授权服务器还用于加密所述真实用户标识信息,所述接入网关或移动性管理实体还用于对所述加密的真实用户标识信息进行保存。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102045307A CN101877852B (zh) | 2009-04-29 | 2009-10-02 | 用户接入控制方法和系统 |
| PCT/CN2010/071934 WO2010124569A1 (zh) | 2009-04-29 | 2010-04-20 | 用户接入控制方法和系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910138305.8 | 2009-04-29 | ||
| CN200910138305 | 2009-04-29 | ||
| CN2009102045307A CN101877852B (zh) | 2009-04-29 | 2009-10-02 | 用户接入控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101877852A true CN101877852A (zh) | 2010-11-03 |
| CN101877852B CN101877852B (zh) | 2013-08-07 |
Family
ID=43020295
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102045307A Expired - Fee Related CN101877852B (zh) | 2009-04-29 | 2009-10-02 | 用户接入控制方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101877852B (zh) |
| WO (1) | WO2010124569A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103249044A (zh) * | 2012-02-14 | 2013-08-14 | 中国移动通信集团公司 | 一种终端通过MiFi接入自有业务的方法、系统和装置 |
| CN103428890A (zh) * | 2012-05-11 | 2013-12-04 | 英特尔公司 | 机器型通信用户设备与无线小区的选择性合并 |
| US10327207B2 (en) | 2012-05-11 | 2019-06-18 | Intel Corporation | Selective joinder of machine-type communication user equipment with wireless cell |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106714157B (zh) * | 2015-08-12 | 2020-02-07 | 中国电信股份有限公司 | 鉴权方法、宏基站、移动管理实体及系统 |
| CN111918291B (zh) * | 2020-09-02 | 2022-08-12 | 中国联合网络通信集团有限公司 | 一种接入方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1221097C (zh) * | 2000-06-29 | 2005-09-28 | 重庆邮电学院 | 码分多址系统中的混沌扩频地址码方法 |
| CN101047954A (zh) * | 2006-03-28 | 2007-10-03 | 中兴通讯股份有限公司 | 一种phs网络中呼叫建立请求的方法 |
| CN101400106A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种家用基站接入控制的方法 |
-
2009
- 2009-10-02 CN CN2009102045307A patent/CN101877852B/zh not_active Expired - Fee Related
-
2010
- 2010-04-20 WO PCT/CN2010/071934 patent/WO2010124569A1/zh active Application Filing
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103249044A (zh) * | 2012-02-14 | 2013-08-14 | 中国移动通信集团公司 | 一种终端通过MiFi接入自有业务的方法、系统和装置 |
| CN103249044B (zh) * | 2012-02-14 | 2016-03-30 | 中国移动通信集团公司 | 一种终端通过MiFi接入自有业务的方法、系统和装置 |
| CN103428890A (zh) * | 2012-05-11 | 2013-12-04 | 英特尔公司 | 机器型通信用户设备与无线小区的选择性合并 |
| CN103428890B (zh) * | 2012-05-11 | 2017-05-03 | 英特尔公司 | 机器型通信用户设备与无线小区的选择性合并 |
| US10327207B2 (en) | 2012-05-11 | 2019-06-18 | Intel Corporation | Selective joinder of machine-type communication user equipment with wireless cell |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010124569A1 (zh) | 2010-11-04 |
| CN101877852B (zh) | 2013-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cao et al. | A survey on security aspects for 3GPP 5G networks | |
| US10382206B2 (en) | Authentication mechanism for 5G technologies | |
| CN101867530B (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| Hojjati et al. | A blockchain-based authentication and key agreement (AKA) protocol for 5G networks | |
| Dantu et al. | EAP methods for wireless networks | |
| CN107005534A (zh) | 安全连接建立 | |
| CN1973495A (zh) | 无线局域网关联的设备和方法及相应产品 | |
| CN102948185A (zh) | 用于在网络中的设备和智能卡之间建立安全和授权连接的方法 | |
| CN101640887A (zh) | 鉴权方法、通信装置和通信系统 | |
| WO2014177938A2 (en) | Digital credential with embedded authentication instructions | |
| CN109768861A (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| Saedy et al. | Ad Hoc M2M Communications and security based on 4G cellular system | |
| EP1311136A1 (en) | Authentication in telecommunications networks | |
| CN109743716A (zh) | 一种基于nfc的无线局域网络认证系统与方法 | |
| CN205693897U (zh) | Lte电力无线专网的二次身份认证系统 | |
| EP1517475A1 (en) | Smart card based encryption in Wi-Fi communication | |
| Tsai et al. | An enhanced secure mechanism of access control | |
| Gong | Analysis and Research of 4G and WLAN Convergence Network Access Authentication Protocol | |
| Ma et al. | Security Access in Wireless Local Area Networks | |
| CN109155775A (zh) | 一种移动设备、网络节点及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130807 Termination date: 20191002 |