CN101909248A - 用户接入方法及系统、闭合用户组用户管理方法及系统 - Google Patents
用户接入方法及系统、闭合用户组用户管理方法及系统 Download PDFInfo
- Publication number
- CN101909248A CN101909248A CN2009102032792A CN200910203279A CN101909248A CN 101909248 A CN101909248 A CN 101909248A CN 2009102032792 A CN2009102032792 A CN 2009102032792A CN 200910203279 A CN200910203279 A CN 200910203279A CN 101909248 A CN101909248 A CN 101909248A
- Authority
- CN
- China
- Prior art keywords
- user
- base station
- home
- sign
- terminal use
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 111
- 238000007726 management method Methods 0.000 title claims abstract description 81
- 230000004044 response Effects 0.000 claims abstract description 43
- 238000013475 authorization Methods 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims description 24
- 230000008859 change Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 230000000875 corresponding effect Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 13
- 238000010295 mobile communication Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000004224 protection Effects 0.000 description 3
- 241000209094 Oryza Species 0.000 description 2
- 235000007164 Oryza sativa Nutrition 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 235000021186 dishes Nutrition 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 235000009566 rice Nutrition 0.000 description 2
- ULFUTCYGWMQVIO-PCVRPHSVSA-N [(6s,8r,9s,10r,13s,14s,17r)-17-acetyl-6,10,13-trimethyl-3-oxo-2,6,7,8,9,11,12,14,15,16-decahydro-1h-cyclopenta[a]phenanthren-17-yl] acetate;[(8r,9s,13s,14s,17s)-3-hydroxy-13-methyl-6,7,8,9,11,12,14,15,16,17-decahydrocyclopenta[a]phenanthren-17-yl] pentano Chemical compound C1CC2=CC(O)=CC=C2[C@@H]2[C@@H]1[C@@H]1CC[C@H](OC(=O)CCCC)[C@@]1(C)CC2.C([C@@]12C)CC(=O)C=C1[C@@H](C)C[C@@H]1[C@@H]2CC[C@]2(C)[C@@](OC(C)=O)(C(C)=O)CC[C@H]21 ULFUTCYGWMQVIO-PCVRPHSVSA-N 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用户接入方法及系统、闭合用户组用户管理方法及系统,用户接入方法包括:终端接收到接入网关发送的用户标识请求后,通过家用基站向接入网关发送用户标识响应消息,该消息中携带终端用户的伪标识;接入网关将所述伪标识发送给鉴权授权计费AAA服务器;AAA服务器使用所述伪标识发起对终端用户的鉴权流程,在所述鉴权流程中获取终端用户的真实用户标识;AAA服务器将所述真实用户标识、或所述真实用户标识对应的用户标识代号通过接入网关发送给所述家用基站。
Description
技术领域
本发明涉及通信领域,尤其涉及一种用户接入方法及系统、闭合用户组用户管理方法及系统。
背景技术
为了给用户提供更高的业务速率并降低使用高速率服务所需要的费用,同时,为了弥补已有分布式蜂窝无线通信系统覆盖的不足,通常会在家庭、办公区域等场所设置家用基站。家用基站是一种小型、低功率的基站,具有实惠、便捷、低功率输出等优点。
图1和图2是包含家用基站的通信网络示意图。如图1和图2所示,家用基站可以通过接入网关这个逻辑网元接入到核心网。
家庭基站和接入网关之间可以存在一个安全网关。安全网关可以与接入网关合设也可以与接入网关分设。安全网关的主要作用是保障家用基站和接入网关、用户数据服务器之间的链路安全。
接入网关的主要功能包括:验证家用基站的安全性、处理家用基站的注册、对家用基站进行运行维护管理、根据运营商的要求对家用基站进行配置和控制、在核心网和家用基站之间进行数据交换。
鉴权授权计费(Authentication\Authorization\Accounting,简称为AAA)服务器是通信网络中的重要设施,用于实现网络运营商对数据、用户的控制和管理,提供认证授权及账户服务,通常与网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。
在家用基站系统中存在闭合用户组(Closed Subscriber Group,简称为CSG)的概念,允许用户接入一个或多个访问受限的CSG Cell(基站)。家用基站的工作模式可分为闭合模式、混合模式和开放模式。
当家用基站的工作模式是闭合模式时,只有该家用基站所属CSG的用户可以接入该家用基站并享受该家用基站提供的业务;当家用基站的工作模式是开放模式时,任何用户都可以接入该家用基站,此时的家用基站等同于宏基站使用;当家用基站的工作模式是混合模式时,既允许CSG用户接入,同时也允许其他用户接入使用,不过会根据用户是否属于CSG列表来区分不同的用户类型、实现差异化的服务质量处理,也就是说CSG用户在使用混合模式家用基站的时候具有更高的业务优先级,拥有更好的服务质量和业务类别。
用户数据服务器用于存储家用基站的签约信息,如家用基站允许接入的用户,即CSG相关信息(其中包含CSG成员信息)等。
家用基站的CSG成员信息一般存放在家用基站本地以及网络侧的用户数据服务器中,且这两处保存的数据是同步的,即无论是在家用基站本地,还是在用户数据服务器上修改了家用基站的CSG成员信息,都需要在两者之间执行同步操作。而且,一般来说,修改家用基站的CSG成员信息需要征得家用基站拥有者和运营商(即用户数据服务器)双方的同意。
当终端用户进行网络接入时,处于闭合模式的家用基站会利用CSG成员信息对终端用户进行接入控制,若终端用户不是其CSG成员用户,闭合模式家用基站将拒绝该终端用户接入网络;处于混合模式的家用基站根据CSG成员信息进行用户类别(如,CSG用户、非CSG用户)的区分,便于实施差异化计费、服务质量授权等操作,若终端用户不是其CSG成员用户,家用基站将只会对其提供低优先级服务。为了简化描述,以下将家用基站判断用户是否属于CSG列表(即判断用户是否为该家用基站的CSG用户)的操作称为接入控制。
图3为现有技术中终端用户以图1所示的系统参考模型接入家用基站的方法流程图;在该流程中,家用基站根据终端用户发送的用户标识来检查该终端用户是否属于CSG列表(即是否为该家用基站的CSG用户),具体包括如下步骤:
步骤301,终端请求进行鉴权认证能力(例如,用户的认证策略等)的协商,并与基站、接入网关完成鉴权认证能力的协商工作。
步骤302,接入网关向家用基站发送用户标识请求,家用基站将该请求转发给终端。
步骤303,收到用户标识请求消息后,终端向家用基站回复用户标识响应,其中携带用户标识信息,如NAI(Network Access Identifier,网络接入标识)、IMSI(International Mobile Subscriber Identification Number,国际移动客户识别码)。
步骤304,家用基站根据上述用户标识信息对终端用户进行接入控制。
闭合模式的家用基站检查该终端用户是否存在于CSG列表中,如果存在,则允许终端用户接入,执行步骤305;否则拒绝终端用户接入,并且可以发起用户释放流程。
混合模式的家用基站检查该终端用户是否存在于CSG列表中,如果存在,则在后续流程中告知接入网关该终端用户为CSG用户,如果不存在,则在后续流程中告知接入网关该用户为非CSG用户。
步骤305,家用基站向接入网关发送用户标识响应,其中携带上述用户标识信息。
本步骤与步骤304不分先后顺序,可以与步骤304并行执行。
步骤306,AAA服务器与终端交互,执行用户鉴权流程,通过用户鉴权流程AAA服务器完成对用户合法性的审核,并授权用户执行业务。
步骤307,继续执行与用户接入相关的其他流程。
由以上描述可知,在步骤304中,家用基站需要根据终端发送的用户标识响应中携带的用户标识信息进行接入控制,检查该终端用户是否为该家用基站的CSG成员。因此,在步骤303中,需要强制终端传递终端用户的真实用户标识,且此消息是以明文方式来传递的,无法保证安全性和私密性。这就带来了安全隐患,例如该终端用户的真实用户标识暴露以后,会给恶意攻击者以跟踪该终端用户的通信以及业务的机会,对于保护终端用户的隐私和安全不利。
需要注意的是,在步骤306中,AAA服务器需要知道终端用户的真实用户标识,但是,出于安全的考虑,终端与AAA服务器之间会采用支持隐藏终端用户的真实用户标识的鉴权方法,来到达使AAA服务器得到终端用户的真实用户标识的目的,例如使用EAP(Extensible Authentication Protocol,可扩展认证协议)的EAP-AKA(Extensible AuthenticationProtocol-Authentication and Key Agreement,可扩展认证协议-认证和密钥协商)方法。该方法能够隐藏终端用户的真实用户标识,使得终端用户的真实用户标识只对终端和AAA服务器可见,而家用基站无法在步骤306中获取被该方法隐藏的真实用户标识。而在EAP消息中以明文方式传递的用户标识是一个终端用户的伪标识(其作用是主要用于路由),虽然家用基站可以解析该标识,但是由于其不是真实用户标识,所以无法使用该标识在家用基站上进行上述接入控制。也就是说,即使将接入控制操作放在步骤306之后进行,家用基站也无法获得真实的用户标识,用以进行接入控制,而只能使用终端在步骤303中以明文的方式传递的真实的用户标识信息进行接入控制,造成了安全隐患。
此外,除了在步骤303中以明文方式传递真实的用户标识信息所造成的安全隐患外,采用图3所示的方法在步骤305中也需要以明文方式向接入网关传递真实的用户标识。由于接入网关与AAA服务器可能属于不同的运营商,以明文方式向接入网关传递真实的用户标识会暴露用户的隐私。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种可增强安全性的用户接入方法及系统,以及与之相关的闭合用户组用户管理方法及系统。
为了解决上述问题,本发明提供一种用户接入方法,该方法包括:
终端接收到接入网关发送的用户标识请求后,通过家用基站向接入网关发送用户标识响应消息,该消息中携带终端用户的伪标识;接入网关将所述伪标识发送给鉴权授权计费AAA服务器;
AAA服务器使用所述伪标识发起对终端用户的鉴权流程,在所述鉴权流程中获取终端用户的真实用户标识;
AAA服务器将所述真实用户标识、或所述真实用户标识对应的用户标识代号通过接入网关发送给所述家用基站。
此外,家用基站使用所述真实用户标识或所述用户标识代号,或者将所述用户标识代号对应成所述真实用户标识后,对终端用户进行接入控制。
此外,AAA服务器使用所述真实用户标识、或使用所述真实用户标识结合所述家用基站的标识在本地获取所述用户标识代号、或
AAA服务器使用所述真实用户标识、或使用所述真实用户标识结合所述家用基站的标识从用户数据服务器获取所述用户标识代号。
此外,采用如下方式将所述真实用户标识、或所述用户标识代号发送给家用基站:
AAA服务器向接入网关发送接入成功消息,该消息中携带所述用户标识代号;
接收到所述接入成功消息后,接入网关通过可扩展认证协议EAP转发消息或密钥改变指示消息将所述真实用户标识或所述用户标识代号发送给家用基站。
此外,所述用户标识代号具有如下特征:
在家用基站上,一个用户标识代号、或一个用户标识代号结合一个网络标识对应一个终端用户的真实用户标识;
在AAA服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识对应一个终端用户的用户标识代号。
在用户数据服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识、或一个终端用户的真实用户标识结合一个家用基站标识和一个网络标识对应一个终端用户的用户标识代号。
此外,家用基站采用如下方式进行所述接入控制:
家用基站使用所述真实用户标识或所述用户标识代号判断所述终端用户是否为该家用基站的CSG成员;如果所述终端用户是该家用基站的CSG成员,则允许其接入或为其分配高接入优先级,否则不允许其接入或为其分配低接入优先级;或
家用基站使用所述真实用户标识或所述用户标识代号判断所述终端用户是否为该家用基站的CSG成员,并根据所述终端的属性参数判断所述终端用户是否使用为其预先指定的终端接入;如果所述终端用户是CSG成员,且使用为其预先指定的终端接入,则允许其接入或为其分配高接入优先级,否则不允许其接入或为其分配低接入优先级。
本发明还提供一种闭合用户组用户管理方法,该方法包括:
家用基站接收到将终端用户增加为其闭合用户组CSG成员的CSG成员管理请求后,请求用户数据服务器、或请求用户数据服务器和AAA服务器授权将所述终端用户增加为该家用基站的CSG成员;
用户数据服务器、或用户数据服务器和AAA服务器对所述CSG成员管理请求进行认证授权,认证授权通过后保存更新的CSG成员信息,并授权将所述终端用户增加为所述家用基站的CSG成员;
用户数据服务器、或用户数据服务器和AAA服务器授权后,家用基站将所述终端用户增加为CSG成员,并保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
此外,家用基站接收到所述CSG成员管理请求后,还为所述终端用户生成用户标识代号,并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给用户数据服务器、或发送给用户数据服务器和AAA服务器;或
用户数据服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站、或将其发送给家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给AAA服务器;或
AAA服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站和用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
此外,用户数据服务器认证授权通过后,还向AAA服务器发送CSG信息更新消息,该消息中携带所述终端用户的真实用户标识、或携带所述终端用户的真实用户标识和所述家用基站的标识;
接收到所述CSG信息更新消息后,AAA服务器为所述终端用户生成用户标识代号,并将所述用户标识代号发送给用户数据服务器和家用基站;
所述CSG成员信息中还包含:所述用户标识代号。
此外,所述用户标识代号具有如下特征:
在家用基站上,一个用户标识代号、或一个用户标识代号结合一个网络标识对应一个终端用户的真实用户标识;
在AAA服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识对应一个终端用户的用户标识代号。
在用户数据服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识、或一个终端用户的真实用户标识结合一个家用基站标识和一个网络标识对应一个终端用户的用户标识代号。
本发明还提供一种闭合用户组用户管理方法,该方法包括:
用户数据服务器接收到将终端用户增加为家用基站的CSG成员的CSG成员管理请求后,用户数据服务器、或用户数据服务器和AAA服务器对所述CSG成员管理请求进行认证授权;认证授权通过后保存更新的CSG成员信息,并由用户数据服务器将更新的CSG成员信息发送给家用基站;
家用基站保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
此外,用户数据服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站、或将其发送给家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给AAA服务器;或
AAA服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站和用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
此外,用户数据服务器认证授权通过后,还向AAA服务器发送CSG信息更新消息,该消息中携带所述终端用户的真实用户标识、或携带所述终端用户的真实用户标识和所述家用基站的标识;
接收到所述CSG信息更新消息后,AAA服务器为所述终端用户生成用户标识代号,并将其发送给用户数据服务器和家用基站;
所述CSG成员信息中还包含:所述用户标识代号。
此外,所述用户标识代号具有如下特征:
在家用基站上,一个用户标识代号、或一个用户标识代号结合一个网络标识对应一个终端用户的真实用户标识;
在AAA服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识对应一个终端用户的用户标识代号。
在用户数据服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识、或一个终端用户的真实用户标识结合一个家用基站标识和一个网络标识对应一个终端用户的用户标识代号。
此外,用户数据服务器采用如下方式之一将更新的CSG成员信息发送给家用基站:
认证授权通过后,用户数据服务器将所述CSG成员信息包含在CSG成员信息更新消息中发送给家用基站;或
认证授权通过后,在执行家用基站的接入鉴权授权的过程中,用户数据服务器将所述CSG成员信息包含在鉴权成功响应消息中发送给家用基站。
本发明还提供一种用户接入系统,该系统包含:家用基站、接入网关、AAA服务器;其中:
所述接入网关用于向终端发送用户标识请求,接收所述终端通过所述家用基站发送的用户标识响应消息;并将所述用户标识响应消息中携带的终端用户的伪标识发送给所述AAA服务器;
所述AAA服务器用于使用所述伪标识发起对终端用户的鉴权流程,在所述鉴权流程中获取终端用户的真实用户标识;
所述AAA服务器还用于将所述真实用户标识、或所述真实用户标识对应的用户标识代号通过所述接入网关发送给所述家用基站;
所述家用基站用于使用所述真实用户标识或所述用户标识代号对终端用户进行接入控制。
此外,所述AAA服务器使用所述真实用户标识、或使用所述真实用户标识和所述家用基站的标识在本地获取所述用户标识代号、或
所述系统中还包含用户数据服务器;所述AAA服务器使用所述真实用户标识、或使用所述真实用户标识和所述家用基站的标识从所述用户数据服务器获取所述用户标识代号。
本发明还提供一种闭合用户组用户管理系统,该系统包含:家用基站、用户数据服务器;其中:
所述家用基站用于在接收到将终端用户增加为其闭合用户组CSG成员的CSG成员管理请求后,请求用户数据服务器授权将所述终端用户增加为该家用基站的CSG成员;
所述用户数据服务器用于对所述CSG成员管理请求进行认证授权,认证授权通过后保存更新的CSG成员信息,并授权将所述终端用户增加为所述家用基站的CSG成员;
所述家用基站还用于在获得所述用户数据服务器的授权后,将所述终端用户增加为CSG成员,并保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
此外,所述系统中还包含AAA服务器,用于对所述CSG成员管理请求进行认证授权,并保存更新的CSG成员信息;
在所述用户数据服务器和所述AAA服务器都认证授权通过后,所述家用基站才将所述终端用户增加为其CSG成员。
此外,所述家用基站还用于为所述终端用户生成用户标识代号,并将其与所述终端用户的真实用户标识一起、或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给所述用户数据服务器、或发送给所述用户数据服务器和所述AAA服务器;或
所述用户数据服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站、或将其发送给所述家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给所述AAA服务器;或
所述AAA服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站和所述用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
本发明还提供一种闭合用户组用户管理系统,该系统包含:家用基站、用户数据服务器;其中:
所述用户数据服务器用于在接收到将终端用户增加为家用基站的CSG成员的CSG成员管理请求后,对所述CSG成员管理请求进行认证授权;认证授权通过后保存更新的CSG成员信息,并将更新的CSG成员信息发送给所述家用基站;
所述家用基站用于保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
此外,所述系统中还包含AAA服务器,用于对所述CSG成员管理请求进行认证授权,认证授权通过后保存更新的CSG成员信息,并授权将所述终端用户增加为所述家用基站的CSG成员;
所述用户数据服务器在获得所述AAA服务器的授权后,才保存所述更新的CSG成员信息,并将所述更新的CSG成员信息发送给所述家用基站。
此外,所述用户数据服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站、或将其发送给所述家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给所述AAA服务器;或
所述AAA服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站和所述用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
综上所述,采用本发明提供的闭合用户组用户管理方法及系统,可以为终端用户生成用户标识代号,并将该参数在家用基站、用户数据服务器和AAA服务器进行同步;该参数本身或该参数结合其它参数可以唯一指代一个终端用户的真实用户标识;在家用基站、用户数据服务器和AAA服务器之间传递和使用该参数可以隐藏终端用户的真实用户标识。
此外,采用本发明提供的用户接入方法及系统,家用基站可以根据AAA服务器返回的参数SIS获知当前通过该家用基站执行接入鉴权的用户的真实用户标识,依据此标识,家用基站可以结合家用基站上保存的CSG信息对该用户进行接入控制。
本发明不仅填补了当前CSG用户管理的方法及系统的空白,还能避免在用户接入控制时在空口频繁传递用户真实标识,提供了用户标识私密性保护,降低了家用基站系统的安全隐患。
附图说明
图1是现有技术中的一种包含家用基站的通信网络示意图;
图2是现有技术中的另一种包含家用基站的通信网络示意图;
图3为现有技术中终端用户以图1所示的系统参考模型接入家用基站的方法流程图;
图4为本发明定义的参数SIS与终端用户的真实用户标识之间的关系示意图;
图5是本发明的CSG成员管理方法的第一实施例流程图;
图6是本发明的CSG成员管理方法的第二实施例流程图;
图7是本发明的CSG成员管理方法的第三实施例流程图;
图8是本发明的CSG成员管理方法的第四实施例流程图;
图9是本发明的CSG成员管理方法的第五实施例流程图;
图10是本发明的CSG成员管理方法的第六实施例流程图;
图11是本发明的CSG成员管理方法的第七实施例流程图;
图12是本发明的CSG成员管理方法的第八实施例流程图;
图13是本发明第十实施例终端用户通过图1所示的家用基站系统接入移动通信网的方法流程图;
图14是本发明第十一实施例终端用户通过图1所示的家用基站系统接入移动通信网的方法流程图;
图15是本发明第十二实施例终端用户通过图1所示的家用基站系统接入移动通信网的方法流程图;
图16是本发明实施例的用户接入系统和闭合用户组用户管理系统的结构示意图。
具体实施方式
本发明的核心思想是,由于AAA服务器可以在鉴权流程中以安全的方式获取终端用户的真实用户标识,因此可以在终端用户接入网络的过程中由AAA服务器将该终端用户的真实用户标识通过接入网关发送给家用基站,以便家用基站使用该真实用户标识对终端用户进行接入控制。
此外,本发明还定义了用于表示用户身份的参数:用户标识代号(Subscriber Identity Symbol,简称为SIS),SIS是终端用户真实用户标识的代号;在终端用户接入网络的过程中,AAA服务器也可以将终端用户的参数SIS通过接入网关发送给家用基站,以便家用基站使用该终端用户的参数SIS进行接入控制。
图4为本发明定义的参数SIS与终端用户的真实用户标识之间的关系示意图;如图4所示,使用参数SIS,或者将参数SIS与家用基站标识相结合、或将参数SIS、家用基站标识和网络标识三者相结合可以唯一确定一个终端用户的真实用户标识(Real-NAI)。
用户标识代号(SIS)具有如下特征:
在家用基站上,可以使用用户标识代号(SIS)、或使用用户标识代号(SIS)结合网络标识唯一确定(即对应)一个终端用户的真实用户标识;
在用户数据服务器上,可以使用终端用户的真实用户标识、或使用终端用户的真实用户标识结合家用基站标识、或使用终端用户的真实用户标识结合家用基站标识和网络标识唯一确定(即对应)一个终端用户的用户标识代号(SIS)。
在AAA服务器上,可以使用终端用户的真实用户标识、或使用终端用户的真实用户标识结合家用基站标识唯一确定(即对应)一个终端用户的用户标识代号(SIS)。
上述网络标识可以是终端用户的归属运营商的标识,如NSP ID(Network Service ProviderID,网络服务提供商标识符)。
上述家用基站标识可以是家用基站的BSID(Base Station ID,基站标识符),或者是家用基站的NAI(Network Access Identifier,网络接入标识符)。
用户标识代号(SIS)可以是终端用户所使用的移动终端(简称终端)的标识,例如,该终端的MSID(Mobile Station ID,移动台标识符),或者是该终端的MAC地址;或者是由无线移动网络中的相关的网元(例如,由家用基站、或由用户数据服务器、或由AAA服务器生成)为终端用户生成的其他参数,例如用户别名,序列号,安全参数索引(SPI)等。
为了在终端用户接入网络的过程中使用本发明定义的用户标识代号(SIS),本发明提出了管理家用基站的CSG成员的方法,下面先结合附图和实施例对本发明提出的管理家用基站的CSG成员的方法进行详细描述。
管理家用基站的CSG成员的操作包括:增加一个终端用户(subscriber)作为家用基站的CSG成员,或者修改一个CSG成员的属性,或者删除家用基站的一个CSG成员等。以下各实施例以增加一个终端用户作为家庭基站的CSG成员为例对本发明提出的CSG成员管理方法进行描述。
图5至图12是本发明提供的以图1所示系统参考模型为例的家用基站CSG成员管理方法的流程图。
实施例一
图5是本发明的CSG成员管理方法的第一实施例流程图;本实施例中,用户(家用基站的拥有者)通过操作家用基站来管理该家用基站的CSG成员,并且由用户数据服务器生成SIS;如图5所示,该方法包括如下步骤:
步骤501:家用基站接入移动通信网络,一般包括如下子步骤:
首先,家用基站发现其所需要连接的安全网关并与该安全网关建立安全通道;
其次,在家用基站的AAA服务器的参与下,家庭基站和与其连接的移动通信网之间进行相互认证;
最后,家用基站通过与网络进行交互,以获取家用基站初始化时所需要的一系列参数,并完成移动通信网的接入。
步骤502:家用基站收到增加终端用户为其CSG成员的请求。
家用基站的拥有者可以通过家用基站上的管理接口将终端用户增加为家用基站的CSG成员。
值得注意的是,上述请求中至少需要包含终端用户的真实用户标识(例如,Real-NAI、IMSI等)。上述请求中携带的参数还可以包含:终端用户使用的终端的属性参数,例如终端的MAC地址、终端的MSID等。
家用基站的拥有者可以通过手工输入的方式,将相关的参数传递给家用基站。
步骤503:家用基站向用户数据服务器发起认证授权请求,以请求用户数据服务器授权将所述终端用户增加为该家用基站的CSG成员。
上述认证授权请求消息中携带:终端用户的真实用户标识、该家用基站标识(例如,家用基站的全球唯一标识、家用基站的BSID等)。
此外,上述认证授权请求消息中还可以包含终端用户使用的终端的属性参数,例如终端的MAC地址、终端的MSID等。
这里,家用基站可以使用与用户数据服务器之间的共享密钥给上述的终端用户的真实用户标识、家用基站标识、以及终端用户使用的终端的属性等参数加密保护;使得只有家用基站和用户数据服务器可以加密读取这些参数。
步骤504:用户数据服务器对将终端用户增加为该家用基站的CSG成员的请求进行认证授权,此处的认证授权可被看作初步认证授权;如果通过了初步认证授权,则用户数据服务器为该终端用户生成参数SIS。
用户数据服务器进行的认证授权可以包含如下操作:
检查家用基站所拥有的CSG成员是否达到上限,若已经达到上限,则不允许该家用基站增加新的CSG成员;以及
待加入的终端用户(目标用户)归属的运营商与家用基站归属的运营商之间是否有签约关系,如果没有,则不允许该家用基站将该目标用户增加为其CSG成员。
如果终端用户归属的运营商与家用基站归属的运营商是同一个运营商,则可理解为终端用户归属的运营商与家用基站归属的运营商之间有签约关系。
用户数据服务器可以根据发送所述认证授权请求的家用基站的标识结合所述终端用户的真实用户标识来生成参数SIS。例如,用户数据服务器检查该家用基站的档案,并找出与该家用基站有关联的所有SIS值,然后生成一个与这些SIS值都不相同的新的SIS,作为该终端用户的SIS。
用户数据服务器也可以直接将终端用户使用的终端的属性参数(例如,终端的MAC地址、终端的MSID)作为该终端用户的SIS。
此外,用户数据服务器还可以直接使用所述终端用户的真实用户标识来生成参数SIS,例如,对终端用户的真实用户标识进行哈希运算,将哈希运算得到的哈希值作为参数SIS,使参数SIS能与用户的真实用户标识一一对应。
步骤505:用户数据服务器向终端用户的AAA服务器发起认证授权请求,以请求授权将终端用户增加为该家用基站的CSG成员。
上述认证授权请求消息中包含:用户数据服务器生成的所述参数SIS、终端用户的真实用户标识以及家用基站标识。
本步骤中,用户数据服务器可通过解析终端用户的真实用户标识(格式通常为user@domain)来确定终端用户的AAA服务器。
步骤506:AAA服务器对上述请求进行认证及授权,这里的认证授权可以看作为最终认证授权;认证授权成功后,AAA服务器保存上述认证授权请求消息中携带的SIS、终端用户的真实用户标识以及家用基站标识。
上述最终认证授权操作可以包含:AAA服务器检查该终端用户的档案,以判断该终端用户是否有权限通过该家用基站接入。
步骤507:AAA服务器向用户数据服务器返回认证授权响应消息。
若用户数据服务器在向AAA服务器发送认证授权请求之前没有缓存上述SIS、终端用户的真实用户标识以及家用基站标识,则认证授权响应消息中需要包含上述参数。
步骤508:用户数据服务器保存SIS、终端用户的真实用户标识以及家用基站标识。
用户数据服务器可将上述SIS、终端用户的真实用户标识保存在上述家用基站的档案中。例如,在该家用基站的CSG成员列表中,插入终端用户的真实用户标识,作为一个新的CSG成员;同时将上述参数SIS作为所述成员的属性之一。
步骤509:用户数据服务器向家用基站返回认证授权响应,授权家用基站将所述终端用户增加为该家用基站的CSG成员。
认证授权响应消息中至少需要携带用户数据服务器生成的上述参数SIS。
用户数据服务器与家用基站之间的交互可以通过安全网关进行,以便双方之间交互的参数以及信息不会被第三方获知。
步骤510:家用基站保存上述参数SIS,更新其CSG成员信息,完成增加终端用户为其CSG成员的过程。
该家用基站可以在其本地存储的CSG成员列表中插入所述终端用户的真实用户标识作为一个新的CSG成员;同时将上述参数SIS作为所述成员的属性之一。此时,给定一个参数SIS,该家用基站可以唯一确定一个终端用户的真实用户标识。
此外,家用基站本地存储的CSG成员列表与用户数据服务器中家用基站的档案中存储的CSG成员列表的格式可以相同。
上述实施例描述的方案实现了将终端用户增加为家用基站的CSG成员的功能。通过使用该方案,能实现家用基站与用户数据服务器之间CSG信息的同步;同时能使家用基站、用户数据服务器以及终端用户的AAA服务器三者共享用户数据服务器生成的所述参数SIS,即实现了参数SIS在家用基站、用户数据服务器、AAA服务器上的同步。
将参数SIS与家用基站的标识相结合,能在该家用基站上、用户数据服务器上、以及AAA服务器上唯一地标识所述终端用户的真实用户标识。
实施例二
图6是本发明的CSG成员管理方法的第二实施例流程图;本实施例中,用户(家用基站的拥有者)通过操作家用基站来管理该家用基站的CSG成员,并且由家用基站生成SIS;如图6所示,该方法包括如下步骤:
步骤601:与步骤501相同。
步骤602:如步骤502所述,家用基站收到将终端用户增加为其CSG成员的请求,例如,家用基站的拥有者通过家用基站上的管理接口将所述终端用户增加为家用基站的CSG成员。
在本步骤中,家用基站收到上述请求后,还需要为所述终端用户生成参数SIS。
家用基站可以检查本地记录的所有SIS的值,然后生成一个与这些SIS都不相同的新的SIS作为所述参数SIS。
此外,家用基站也可以直接使用所述终端用户所使用的终端的属性参数(例如,终端的MAC地址、终端的MSID)作为所述参数SIS。
步骤603:家用基站向用户数据服务器发起认证授权请求,以请求用户数据服务器授权将所述终端用户增加为该家用基站的CSG成员。
上述认证授权请求中携带:终端用户的真实用户标识、该家用基站标识以及家用基站分配的所述参数SIS。
步骤604:用户数据服务器对将终端用户增加为该家用基站的CSG成员的请求进行认证,此处的认证可被看作初步认证授权。
步骤605:用户数据服务器向终端用户的AAA服务器发起认证授权请求,以请求授权将终端用户增加为该家用基站的CSG成员。
上述认证授权请求消息中包含:家用基站生成的所述参数SIS、所述终端用户的真实用户标识以及所述家用基站标识。
本步骤中,用户数据服务器可通过解析终端用户的真实用户标识来确定终端用户的AAA服务器。
步骤606~608:与步骤506~508相同。
步骤609:用户数据服务器向家用基站返回认证授权响应,授权家用基站将所述终端用户增加为该家用基站的CSG成员。
如果在步骤602中家用基站没有暂存其生成的参数SIS,则上述认证授权响应消息中要携带参数SIS。
步骤610:与步骤510相同。
实施例三
图7是本发明的CSG成员管理方法的第三实施例流程图;本实施例中,用户(家用基站的拥有者)通过用户数据服务器来管理该家用基站的CSG成员(例如,家用基站的拥有者通过给运营商打电话来请求将终端用户添加为其拥有的家用基站的CSG成员),并且由用户数据服务器生成SIS;如图7所示,该方法包括如下步骤:
步骤701:与步骤501相同。
步骤702:用户数据服务器收到将终端用户增加为家用基站的CSG成员的请求。
上述请求中至少包含家用基站标识、所述终端用户的真实用户标识。
此外,上述请求中还可以包含终端用户使用的终端的属性参数,例如终端的MAC地址、终端的MSID等。
步骤703~707:与步骤504~508相同。
步骤708:用户数据服务器向家用基站发送更新家用基站CSG成员信息的消息(可以称为CSG成员信息更新消息),通过此消息,用户数据服务器可将最新的家用基站的CSG成员信息同步到所家用基站中。
上述消息中可以仅携带与上述终端用户相关CSG成员信息,也可以携带与家用基站相关的所有CSG成员信息。
上述CSG成员信息中至少包含CSG成员的真实用户标识,以及用户数据服务器生成的参数SIS。本实施例中,CSG成员信息至少包含终端用户的真实用户标识,用户数据服务器生成的参数SIS。
步骤709:如步骤510所述,家用基站使用上述CSG成员信息更新消息中的参数更新该家用基站本地保存的CSG成员信息。
步骤710:家用基站向用户数据服务器返回CSG成员信息更新响应。
实施例四
图8是本发明的CSG成员管理方法的第四实施例流程图;本实施例中,用户(家用基站的拥有者)通过用户数据服务器来管理该家用基站的CSG成员,并且由用户数据服务器生成SIS;在家用基站上线以后,用户数据服务器将变更后的CSG成员信息同步到该家用基站。如图8所示,该方法包括如下步骤:
步骤801~806:与步骤702~707相同。
其中,在步骤806中,用户数据服务器可以为家用基站设置一个标志,用来表示该家用基站的CSG成员信息是否发生了变化;或者,用户数据服务器可以为家用基站的每一个CSG成员都设置一个标志,用来表示该CSG成员的信息是否发生了变化。
步骤807:家用基站接入移动通信网络,并执行家用基站的接入鉴权授权流程。
步骤808:对家用基站的接入鉴权成功以后,用户数据服务器向该家用基站返回鉴权成功响应;该响应中可以包含家用基站的CSG成员信息,也可以不包含该家用基站的CSG成员信息。下面分这两种情况分别叙述:
a、若上述响应中包含CSG成员信息,则用户数据服务器使用该响应消息实现其与家用基站之间的CSG信息同步。
用户数据服务器可以先将家用基站的CSG信息发送到安全网关,进而由安全网关将该CSG信息发送到家用基站。
此外,如果家用基站与安全网关之间使用IPSec(Internet ProtocolSecurity,互联网协议安全)隧道来保障家用基站与安全网关之间的安全性,则上述接入鉴权过程可以与安全隧道的建立同时执行。在这种情况下,上述向家用基站发送鉴权成功响应消息的过程可以理解为:用户数据服务器首先将携带该家用基站的CSG信息的消息发到安全网关上,例如,此时的消息可以是RADIUS(Remote Authentication Dial-In User Service,远程用户拨入认证系统)/Diameter消息;然后安全网关再通过另一消息(例如,IKE AUTH消息)把上述CSG信息转发至家用基站。
执行完步骤808后,直接跳转执行步骤811,此时步骤809,810和步骤812都不需要执行。
b、如果上述响应不包含CSG成员信息,则从步骤809开始执行。
值得注意的是,鉴权成功响应消息中可携带一个提示家用基站其CSG成员信息已发生变更的标识。
步骤809:可选地,收到鉴权成功响应消息后,家用基站向用户数据服务器发送请求更新该家用基站CSG成员的消息。例如,家用基站在上述鉴权成功响应消息中解析出该家用基站的CSG成员信息发生了变更的标识,家用基站根据该标识向用户数据服务器发送请求更新该家用基站CSG成员的消息(可以称为CSG成员信息更新请求消息)。
步骤810:如步骤708所述,用户数据服务器发现家用基站的CSG信息发生了变更,向该家用基站发送更新家用基站CSG成员信息的消息(可以称为CSG成员信息更新消息)。
步骤811~812:与步骤709~710相同。
实施例五
图9是本发明的CSG成员管理方法的第五实施例流程图;本实施例与图8所示的实施例四的不同之处在于:家用基站接入移动通信网络以后,用户数据服务器为该家用基站分配参数SIS。如图9所示,该方法包括如下步骤:
步骤901~906:与步骤801~806基本相同,所不同的是,在本实施例中,步骤901~906不处理所述参数SIS,即:步骤902中,用户数据服务器不生成参数SIS;步骤903中用户数据服务器不将参数SIS发送给AAA服务器;步骤904中,AAA服务器不保存参数SIS;步骤906中,用户数据服务器不保存参数SIS。
步骤907:与步骤807相同,家用基站接入移动通信网络,并执行家用基站的接入鉴权授权过程。
步骤908:如步骤802(步骤504)所述,用户数据服务器为新加入CSG的终端用户生成参数SIS。
步骤909~911:用户数据服务器将生成的上述参数SIS同步到AAA服务器,AAA服务器保存参数SIS。
此外,如果在家用基站入网之前,有多个终端用户被增加为该家用基站的CSG成员,则用户数据服务器需要为每个终端用户分别生成一个SIS,同时将生成的SIS同步到这些用户各自的AAA服务器保存。
步骤912:与步骤808相同。如果鉴权成功响应消息中携带家用基站的CSG成员信息,则跳转至步骤915,步骤913,914和步骤916都不需要执行;否则,从步骤913开始执行。
步骤913~916:与步骤809~812相同。
需要注意的是,作为本实施例的变形,步骤908~911可以发生在家用基站接入移动通信网络、执行家用基站的接入鉴权授权之前,也可以发生在家用基站的接入鉴权授权之后。例如,步骤908~911可以发生在步骤912之后、步骤914之前的任意时刻。但是,若步骤912中的鉴权成功消息中需要携带家用基站的CSG信息,则步骤909~911必须在如图9所示的位置执行。
实施例六
在上述实施例中,管理家用基站的CSG成员需要家用基站的拥有者、用户数据服务器以及AAA服务器三方都认证授权。实际上,基于运营商的实际管理配置,管理家用基站的CSG成员的操作可以不需要经过AAA服务器的认证授权,实施例一至实施例五经过适当的变形和修改,就可以满足该场景的需求,没有本质上的差别。以下以第一实施例为例,详细描述所述的变形。
图10是本发明的CSG成员管理方法的第六实施例流程图;本实施例与图5所示的第一实施例的区别在于AAA服务器不对CSG成员管理操作进行认证授权;具体步骤如下:
步骤1001~1003:与步骤501~503相同。
步骤1004:与步骤504基本相同;所不同的是,在本步骤中用户数据服务器对增加CSG成员的请求进行最终认证授权(具体的认证授权方法可参考步骤504),认证授权通过后依照步骤504所述的方法,生成参数SIS。
步骤1005:用户数据服务器向AAA服务器发送CSG信息更新消息;该消息中携带:家用基站标识,终端用户的真实用户标识以及该用户数据服务器生成的参数SIS。
步骤1006:接收到CSG信息更新消息后,AAA服务器将该消息中携带的参数SIS、终端用户的真实用户标识以及家用基站标识等信息保存在本地。
步骤1007:AAA服务器向用户数据服务器返回CSG信息更新响应消息。参照步骤507,若在步骤1004中用户数据服务器没有保存或者缓存SIS、终端用户的真实用户标识以及家用基站标识等参数,则CSG信息更新响应消息中需要携带上述参数。
步骤1008:用户数据服务器收到来自AAA服务器的CSG信息更新响应消息后,若在步骤1004中用户数据服务器没有保存SIS、终端用户的真实用户标识以及家用基站标识等参数,则需要参照步骤508所述的方法,将这些参数保存在用户数据服务器本地。
步骤1009~1010:与步骤509~510相同。
可见,CSG成员管理方法的实施例六是对实施例一的变形,两者之间的主要差别是将实施例一的步骤504~508变形为步骤1004~1008。
同样,可以将CSG成员管理方法的实施例二至实施例五做类似的变形。例如,实施例二的步骤604~608变形为步骤1004~1008;实施例三的步骤703~707变换为步骤1004~1008;实施例四的步骤802~806变换为步骤1004~1008;实施例五的步骤902~906变形为步骤1004~1008。
实施例七
在实施例六的基础上,用户数据服务器在对将终端用户增加为CSG成员的请求进行认证授权后,不一定需要将变更以后的CSG信息通知到终端用户的AAA服务器上。对本发明中的实施例一至实施例五做适当的变形和修改,可以满足该场景的需求。以下以第一实施例为例,详细描述所述变形。
图11是本发明的CSG成员管理方法的第七实施例流程图;本实施例中与图5所示的实施例一的不同之处在于整个过程无需AAA服务器参与;如图11所示,该方法包括如下步骤:
步骤1101~1103:与步骤501~503相同。
步骤1104:用户数据服务器对将终端用户增加为家用基站的CSG成员的请求进行最终认证授权,并按照步骤504中所述的方法生成参数SIS。
步骤1105:用户数据服务器依照步骤508中所述的方法,保存参数SIS、终端用户的真实用户标识以及家用基站标识。
步骤1106~1107:与步骤509~510相同。
可见,CSG成员管理方法的实施例七是对实施例一的一种简化变形,具体地说,实施例七删除了实施例一的步骤505~507,并对步骤504和508做了适当的修改(变更为步骤1104和1105所述的方法)。
同样,可以将CSG成员管理方法的实施例二至实施例五做类似的简化和变形。具体地说,实施例二的步骤605~607可删除,并使用同样的方法修改步骤604和608;实施例三的步骤704~706可删除,并使用同样的方法修改步骤703和707;实施例四的步骤803~805可删除,并使用同样的方法修改步骤802和806;实施例五的步骤903~905,909~911可删除。
实施例八
图12是本发明的CSG成员管理方法的第八实施例流程图。
在CSG成员管理方法的实施例一至实施例六中,参数SIS由家用基站或者用户数据服务器生成并同步到AAA服务器中。除了家用基站和用户数据服务器可实现生成参数SIS以外,终端用户的AAA服务器也可以实现生成参数SIS,其原理与上述各实施例相同,差别仅在于将生成参数SIS的执行点放到了AAA服务器上,没有本质的区别。以下以第一实施例为例,详细描述所述差别。具体步骤如下:
步骤1201~1203:与步骤501~503相同。
步骤1204:如步骤504所述的方法,用户数据服务器对将终端用户增加为该家用基站的CSG成员的请求进行初步认证授权;与步骤504所不同的是,在本步骤中,用户数据服务器不为终端用户生成参数SIS。
步骤1205:用户数据服务器向AAA服务器发起认证授权请求,以请求将终端用户增加为家用基站的CSG成员;上述认证授权请求消息中至少携带终端用户的真实用户标识以及家用基站标识。
本步骤中,用户数据服务器可通过解析终端用户的真实用户标识来确定终端用户的AAA服务器。
步骤1206:如步骤506所述的方法,AAA服务器对上述增加CSG成员的请求进行认证以及授权,本步骤中的认证授权可以看作为最终认证授权;认证授权成功后,AAA服务器为终端用户生成参数SIS。
AAA服务器可以根据发送所述认证授权请求的家用基站的标识,结合终端用户的归属运营商标识(如NSP-ID)来生成唯一的参数SIS。
此外,AAA服务器还可以直接将终端用户使用的终端的属性参数(例如,终端的MAC地址、终端的MSID)作为该终端用户的SIS。
步骤1207:AAA服务器向用户数据服务器返回认证授权响应消息;该消息中至少携带AAA服务器生成的所述参数SIS;此外,认证授权响应消息中还需要携带终端用户标识、家用基站标识等参数。
步骤1208~1210:与步骤508~510相同。
可见,CSG成员管理方法的实施例八是对实施例一的变形,两者之间的主要差别是将实施例一的步骤504~508变形为步骤1204~1208。通过上述变形处理,可以实现由AAA服务器负责生成所述参数SIS。
同样,可以将CSG成员管理方法的实施例三和实施例四做类似的变形。例如,实施例三的步骤703~707变换为步骤1204~1208;实施例四的步骤802~806变换为步骤1204~1208。
为了在实施例五中实现类似的变形,需要将步骤908~911修改为步骤908’~911’,具体描述如下:
步骤908’:不执行;
步骤909’:用户数据服务器向AAA服务器发送消息,以向AAA服务器请求获取终端用户的参数SIS;上述请求中至少包含终端用户的真实用户标识、家用基站标识;此外,上述请求中还可以包含终端用户使用的终端的属性参数,如终端的MAC地址,MSID等。
步骤910’:如步骤1106所述的方法,AAA服务器生成并保存终端用户的参数SIS。
步骤911’:AAA服务器向用户数据服务器返回响应消息;该响应消息中至少携带AAA服务器为所述终端用户生成的参数SIS;用户数据服务器收到该响应消息以后,按步骤510所述的方法,保存AAA服务器生成的参数SIS,更新其CSG成员信息。
实施例九
基于运营商的实际管理配置,即使由AAA服务器负责生成参数SIS,对家用基站的CSG成员进行管理的操作也可以不需要AAA服务器进行认证授权。通过对实施例八做适当的变形,可以实现这种场景。在实施例八的基础上进行上述变形与实施例六对实施例一所作的变形的原理一致,没有本质的区别;具体地说,只需将步骤1205的认证授权请求改为CSG信息更新消息,将步骤1207的认证授权响应改为CSG信息更新响应消息;并取消步骤1206中的认证授权操作即可。
需要注意的是,在上述九个实施例中,用户数据服务器可以是家用基站的鉴权授权服务器,也可以是专门用于CSG成员管理的服务器。
根据本发明的基本原理,图5~12所示的实施例还可以有多种变换方式,例如:
1)在上述实施例中,考虑到一个终端用户可以是多个家用基站的CSG成员,因此生成和同步终端用户的参数SIS时需要使用家用基站标识;如果不考虑以上因素,生成和同步终端用户的参数SIS时可以不使用家用基站标识。
2)考虑到以下场景:多个属于不同运营商(对应不同的网络标识)的用户使用各自的或者相同的终端、并通过相同的家用基站接入网络,不同运营商的AAA服务器可能会分别为不同用户生成相同的参数SIS,即在家用基站和用户数据服务器上一个参数SIS会对应不同终端用户的真实用户标识;在这种情况下,需要将参数SIS与家用基站标识和网络标识三者相结合才能唯一确定一个终端用户的真实用户标识,因此在家用基站和用户数据服务器上存储参数SIS和终端用户的真实用户标识时还需要同时存储对应的网络标识。
以下将结合附图和实施例对终端用户通过家用基站接入移动通信网,家用基站在终端用户接入的过程中进行接入控制的方法进行描述。
实施例十
图13是本发明第十实施例终端用户通过图1所示的家用基站系统接入移动通信网的方法流程图;在本实施例中,AAA服务器查找终端用户的参数SIS,并将其传递给家用基站,家用基站将参数SIS映射为该终端用户的真实用户标识,然后使用终端用户的真实用户标识,以及对应的CSG信息对该终端用户进行接入控制;具体包括如下步骤:
步骤1301:终端与家用基站之间完成空口参数同步及测距。
步骤1302:终端请求协商认证能力(如用户的认证策略等),并与家用基站、接入网关完成能力协商工作。
步骤1303:接入网关启动EAP鉴权流程,向家用基站发送用户标识请求,家用基站将该请求转发给终端。
步骤1304:收到用户标识请求后,终端向家用基站回复用户标识响应,其中携带终端用户的伪标识,家用基站将该响应透传给接入网关。
此外,终端还可以将终端标识(例如MSID),终端的MAC地址等终端属性参数传递给家用基站,家用基站可以将这些信息保存在上下文中。
需要注意的是,上述终端用户的伪标识主要起到路由作用,且终端用户每次接入网络时都可能改变。
步骤1305:收到用户标识响应后,接入网关向AAA服务器发送接入请求消息,并在该消息中携带终端用户的伪标识、家用基站工作模式信息和家用基站标识。
需要注意的是,接入网关能够区分终端接入的是家用基站或者是普通宏基站。例如,接入网关可以根据自己拥有的信息来判断,也可以根据家用基站上报的信息来判断(如,家用基站可以发送用户标识响应时,同时将自己是家用基站的指示传递到接入网关)。
家用基站工作模式信息用于标识家用基站工作在闭合模式、或开放模式、或混合模式。例如,接入网关可以根据自己拥有的信息来判断,也可以根据家用基站上报的信息来判断(如,家用基站可以发送用户标识响应时,同时将自己的工作模式传递到接入网关)。
步骤1306:AAA服务器基于终端用户的伪标识,使用AAA服务器与终端协商好的鉴权方法,发起对终端的鉴权流程;在鉴权流程中,AAA服务器可以以安全的方式获得终端用户的真实用户标识。
终端与AAA服务器之间可以采用支持隐藏终端用户的真实用户标识的鉴权方法,例如EAP-AKA方法、或EAP-TTL S(Extensible AuthenticationProtocol-Tunneled Transport Layer Security,可扩展认证协议-隧道传输层安全)等方法进行接入鉴权。这些鉴权方法能够使AAA服务器在获得终端用户的真实用户标识的同时,保障终端用户的真实用户标识的安全性和私密性。
步骤1307:在AAA服务器通过了对终端用户的鉴权认证后,AAA服务器使用在鉴权过程中获取的终端用户的真实用户标识查找该终端用户相关的CSG信息,其中包含该终端用户的参数SIS。
AAA服务器可以使用终端用户的真实用户标识,并结合家用基站标识(如BSID)查找终端用户的SIS。例如,AAA服务器可以在终端用户的用户档案中查找终端用户的SIS。
如果AAA服务器找不到终端用户的SIS,可以向用户数据服务器请求该终端用户的SIS。
需要注意的是,只有当终端通过家用基站实施接入鉴权时AAA服务器才执行本步骤。AAA服务器可以自行判断终端是否通过家用基站接入(例如,通过基站标识来判断),也可以根据来自接入网关的提示来判断(例如通过接入网关带来的家用基站工作模式信息来判断);或者,只有在终端通过家用基站实施接入鉴权,且该家用基站工作于闭合模式或者混合模式时,AAA服务器才执行本步骤,在这种情况下,AAA服务器可以根据接入网关的提示来判断(例如通过接入网关带来的家用基站工作模式信息来判断)。
步骤1308:AAA服务器向接入网关发送接入成功消息,表示接受用户接入(其中包含鉴权成功消息,表示鉴权成功),该消息中需要携带该终端用户相关的CSG信息,其中至少包含终端用户的SIS。
如果AAA服务器没有找到终端用户的SIS,则可以不在接入成功消息中携带SIS值,或携带一个无意义的SIS值(例如,空值(NONE))。
步骤1309:接入网关通过EAP转发消息将接入成功消息中的鉴权成功消息转发给家用基站,同时携带与终端用户相关的CSG信息,其中至少包含终端用户的SIS。
步骤1310:家用基站收到EAP转发消息后,使用该消息中携带的终端用户的参数SIS查找对应的真实用户标识,并使用终端用的真实用户标识以及对应的CSG信息对终端用户进行接入控制。
如果家用基站处于开放模式,则可以不执行上述接入控制操作;如果家用基站处于闭合模式或者混合模式,则上述CSG信息可以是家用基站的CSG成员列表,接入控制操作就是查看终端用户的真实用户标识是否在该家用基站的CSG成员列表中;若家用基站处于混合模式,除了查看终端用户的真实用户标识是否在该家用基站的CSG成员列表中外,接入控制操作还可以包括:家用基站给属于CSG成员的终端用户和不属于CSG成员的终端用户分配不同的接入优先级等。
此外,家用基站可以结合终端用户的真实用户标识和终端的属性参数(如MSID,终端的MAC地址)等信息、以及CSG信息来进行接入控制操作。例如,家用基站使用终端用户的真实用户标识判断该终端是否为CSG成员,并根据终端的属性参数判断该终端用户是否使用为其预先指定的特定终端接入;如果终端用户是CSG成员,且使用上述特定终端接入,则允许其接入(或为其分配高接入优先级),否则不允许其接入(或为其分配低接入优先级)。
如果家用基站无法将参数SIS映射成为一个有效的真实用户标识,则家用基站可以简单的认为用户不是其CSG成员。
此外,当家用基站处于闭合模式,且终端用户不是其CSG成员,则家用基站应当标记该家用基站接入失败(即不允许其接入)。
步骤1311:家用基站通过EAP转发消息将鉴权成功消息转发给终端。
步骤1312,继续执行用户接入相关的其他流程。
通过上述流程,可以实现由家用基站控制的与CSG相关的用户接入过程。其中,如果家用基站判断接入失败(例如,在步骤1310中,家用基站处于闭合模式并且终端用户不是该家用基站的CSG成员),家用基站可在接入鉴权完毕以后强制所述终端执行退网流程。
实施例十一
由于存在不需要AAA服务器参与的CSG成员管理场景(如图11所示的实施例),因此AAA服务器可能没有存储终端用户的参数SIS,在这种场景下,AAA服务器需要从用户数据服务器获取终端用户的参数SIS。
图14是本发明第十一实施例终端用户通过图1所示的家用基站系统接入移动通信网的方法流程图;在本实施例中,AAA服务器从用户数据服务器获取终端用户的参数SIS,并将其传递给家用基站,家用基站将参数SIS映射为该终端用户的真实用户标识,然后使用终端用户的真实用户标识,以及对应的CSG信息对该终端用户进行接入控制;具体包括如下步骤:
步骤1401~1406:与步骤1301~1306相同。
步骤1407:AAA服务器使用在接入鉴权过程中获取的终端用户的真实用户标识向用户数据服务器发起CSG信息获取请求,以请求获取与该用户相关的CSG信息;该请求消息中携带终端用户的真实用户标识以及所述家用基站的标识(例如,BSID等)。
本步骤中,AAA服务器可以根据家用基站标识找到对应的用户数据服务器。
需要注意的是,只有在所述家用基站处于闭合模式或者混合模式的情况下,AAA服务器才需要执行此步骤。AAA服务器可以根据接入网关的提示来判断所述家用基站所处的工作模式(例如通过接入网关带来的家用基站工作模式信息来判断家用基站所处的工作模式)。
步骤1408:接收到CSG信息获取请求后,用户数据服务器查找与终端用户相关的CSG信息,其中包含终端用户的参数SIS。
本步骤中,用户数据服务器可以使用终端用户的真实用户标识结合家用基站的标识(如BSID)唯一的找到终端用户的参数SIS。
步骤1409:用户数据服务器将与终端用户相关的CSG信息返回给AAA服务器,CSG信息中至少包含终端用户的参数SIS;如果用户数据服务器找不到终端用户的参数SIS,可以不向AAA返回参数SIS、或返回一个无意义的SIS值(例如,空值(NONE))。
步骤1410至~1414:与步骤1308~1312相同。
实施例十二
图15是本发明第十二实施例终端用户通过图1所示的家用基站系统接入移动通信网的方法流程图。在实施例十和实施例十一中,接入网关使用EAP转发消息将AAA服务器发送的参数SIS传递给家用基站,接入网关也可以通过密钥改变指示消息将参数SIS传递给家用基站;对实施例十进行上述变形后的具体步骤如下:
步骤1501~1508:与步骤1301~1308相同。
步骤1509:接入网关通过EAP转发消息将鉴权成功消息转发给家用基站。
步骤1510:接入网关向家用基站发送密钥改变指示消息,该消息中携带终端用户相关的CSG信息,其中至少包含终端用户的参数SIS。
步骤1511:与步骤1310相同。
步骤1512:与步骤1312相同。
对实施例十一也可以做类似的修改,原理相同,不再赘述。
根据本发明的基本原理,图13~15所示的实施例还可以有多种变换方式,例如:
(1)在上述实施例中,家用基站使用参数SIS查找对应的真实用户标识,并使用该真实用户标识对终端用户进行接入控制;在本发明的其它实施例中,也可以建立以参数SIS为索引的CSG信息,家用基站在步骤1310中直接使用终端用户的参数SIS进行接入控制。
(2)在上述实施例中,AAA服务器将终端用户的参数SIS通过接入网关发送给家用基站,家用基站使用参数SIS查找对应的真实用户标识,并使用该真实用户标识对终端用户进行接入控制;在本发明的其它实施例中,AAA服务器可以直接将终端用户的真实用户标识通过接入网关发送给家用基站,家用基站直接使用终端用户的真实用户标识进行接入控制。
当然,如果AAA服务器将终端用户的真实用户标识通过接入网关发送给家用基站,则无法防止接入网关获取终端用户的真实用户标识,因此通常不适用于接入网关与AAA服务器不属于同一运营商的情况;即使接入网关与AAA服务器同属于一个运营商,但是接入网关与AAA服务器之间的连接的安全得不到保障时,也不适用。
(3)在上述实施例中,考虑到一个终端用户可以是多个家用基站的CSG成员,因此AAA服务器在使用终端用户的真实用户标识查找终端用户的参数SIS时需要结合家用基站标识。如果所述SIS的取值是全局唯一的,则AAA服务器使用终端用户的真实用户标识在本地或从用户数据服务器中仅能查找到一个参数SIS,则可以不使用家用基站标识。
(4)除了使用AAA服务器发送的真实用户标识或对应的SIS进行接入控制外,家用基站还可以使用真实用户标识或对应的SIS进行如下操作:
移动终端从宏基站切换到家用基站;移动终端在家用基站下执行位置更新;移动终端在家用基站下执行空闲模式退出,以及重入网等等。
为了简化描述,根据本发明的基本原理,图5~15所示的实施例是基于图1所示的模型进行的。对于其他可能的模型,如图2所示的模型,本发明一样能够适用。此外,图1(图2)中的安全网关可以与接入网关单独设置,也可以与接入网关合设,甚至不需要该完全网关,对本发明提供的方法没有冲突,同样适用,原理相同,在此不再赘述。
所述的用户数据服务器也可以被称作家用基站的AAA服务器,或者被称作家用基站的CSG服务器。
此外,如果生成所述SIS、根据所述终端用户的真实标识查找对应的SIS不需要结合所述的家用基站标识时(例如,SIS的取值是全局唯一的,或者不仅SIS的取值全局唯一而且与所述终端用户的真实标识是一一对应的),那么所述用户数据服务器在发给所述AAA服务器的请求中(例如,步骤505中的认证授权请求消息)可以不用携带所述的家用基站标识。
除了上述方法实施例外,本发明还提供实施上述方法的用户接入系统和闭合用户组用户管理系统。
图16是本发明实施例的用户接入系统结构示意图;如图16所示,用户接入系统中包含:家用基站、安全网关、接入网关、AAA服务器和用户数据服务器;其中,用户数据服务器可以通过安全网关或直接与家用基站相连、或通过接入网关与家用基站相连、或通过接入网关和安全网关与家用基站相连;用户数据服务器与AAA服务器相连。该系统中各网元的功能和网元之间的连接关系(消息交互关系)详见对图13~15所示的方法实施例的描述部分。
本发明实施例的闭合用户组用户管理系统结构示意图与用户接入系统结构示意图相同;如图16所示,闭合用户组用户管理系统中包含:家用基站、安全网关、接入网关、AAA服务器和用户数据服务器;其中,用户数据服务器可以通过安全网关或直接与家用基站相连、或通过接入网关与家用基站相连、或通过接入网关和安全网关与家用基站相连;用户数据服务器与AAA服务器相连。该系统中各网元的功能和网元之间的连接关系(消息交互关系)详见对图5~12所示的方法实施例的描述部分。
Claims (23)
1.一种用户接入方法,其特征在于,该方法包括:
终端接收到接入网关发送的用户标识请求后,通过家用基站向接入网关发送用户标识响应消息,该消息中携带终端用户的伪标识;接入网关将所述伪标识发送给鉴权授权计费AAA服务器;
AAA服务器使用所述伪标识发起对终端用户的鉴权流程,在所述鉴权流程中获取终端用户的真实用户标识;
AAA服务器将所述真实用户标识、或所述真实用户标识对应的用户标识代号通过接入网关发送给所述家用基站。
2.如权利要求1所述的方法,其特征在于,
家用基站使用所述真实用户标识或所述用户标识代号,或者将所述用户标识代号对应成所述真实用户标识后,对终端用户进行接入控制。
3.如权利要求1所述的方法,其特征在于,
AAA服务器使用所述真实用户标识、或使用所述真实用户标识结合所述家用基站的标识在本地获取所述用户标识代号、或
AAA服务器使用所述真实用户标识、或使用所述真实用户标识结合所述家用基站的标识从用户数据服务器获取所述用户标识代号。
4.如权利要求1所述的方法,其特征在于,
采用如下方式将所述真实用户标识、或所述用户标识代号发送给家用基站:
AAA服务器向接入网关发送接入成功消息,该消息中携带所述用户标识代号;
接收到所述接入成功消息后,接入网关通过可扩展认证协议EAP转发消息或密钥改变指示消息将所述真实用户标识或所述用户标识代号发送给家用基站。
5.如权利要求1至4中任一权利要求所述的方法,其特征在于,
所述用户标识代号具有如下特征:
在家用基站上,一个用户标识代号、或一个用户标识代号结合一个网络标识对应一个终端用户的真实用户标识;
在AAA服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识对应一个终端用户的用户标识代号。
在用户数据服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识、或一个终端用户的真实用户标识结合一个家用基站标识和一个网络标识对应一个终端用户的用户标识代号。
6.如权利要求2所述的方法,其特征在于,
家用基站采用如下方式进行所述接入控制:
家用基站使用所述真实用户标识或所述用户标识代号判断所述终端用户是否为该家用基站的CSG成员;如果所述终端用户是该家用基站的CSG成员,则允许其接入或为其分配高接入优先级,否则不允许其接入或为其分配低接入优先级;或
家用基站使用所述真实用户标识或所述用户标识代号判断所述终端用户是否为该家用基站的CSG成员,并根据所述终端的属性参数判断所述终端用户是否使用为其预先指定的终端接入;如果所述终端用户是CSG成员,且使用为其预先指定的终端接入,则允许其接入或为其分配高接入优先级,否则不允许其接入或为其分配低接入优先级。
7.一种闭合用户组用户管理方法,其特征在于,该方法包括:
家用基站接收到将终端用户增加为其闭合用户组CSG成员的CSG成员管理请求后,请求用户数据服务器、或请求用户数据服务器和AAA服务器授权将所述终端用户增加为该家用基站的CSG成员;
用户数据服务器、或用户数据服务器和AAA服务器对所述CSG成员管理请求进行认证授权,认证授权通过后保存更新的CSG成员信息,并授权将所述终端用户增加为所述家用基站的CSG成员;
用户数据服务器、或用户数据服务器和AAA服务器授权后,家用基站将所述终端用户增加为CSG成员,并保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
8.如权利要求7所述的方法,其特征在于,
家用基站接收到所述CSG成员管理请求后,还为所述终端用户生成用户标识代号,并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给用户数据服务器、或发送给用户数据服务器和AAA服务器;或
用户数据服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站、或将其发送给家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给AAA服务器;或
AAA服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站和用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
9.如权利要求7所述的方法,其特征在于,
用户数据服务器认证授权通过后,还向AAA服务器发送CSG信息更新消息,该消息中携带所述终端用户的真实用户标识、或携带所述终端用户的真实用户标识和所述家用基站的标识;
接收到所述CSG信息更新消息后,AAA服务器为所述终端用户生成用户标识代号,并将所述用户标识代号发送给用户数据服务器和家用基站;
所述CSG成员信息中还包含:所述用户标识代号。
10.如权利要求8或9所述的方法,其特征在于,
所述用户标识代号具有如下特征:
在家用基站上,一个用户标识代号、或一个用户标识代号结合一个网络标识对应一个终端用户的真实用户标识;
在AAA服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识对应一个终端用户的用户标识代号。
在用户数据服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识、或一个终端用户的真实用户标识结合一个家用基站标识和一个网络标识对应一个终端用户的用户标识代号。
11.一种闭合用户组用户管理方法,其特征在于,该方法包括:
用户数据服务器接收到将终端用户增加为家用基站的CSG成员的CSG成员管理请求后,用户数据服务器、或用户数据服务器和AAA服务器对所述CSG成员管理请求进行认证授权;认证授权通过后保存更新的CSG成员信息,并由用户数据服务器将更新的CSG成员信息发送给家用基站;
家用基站保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
12.如权利要求11所述的方法,其特征在于,
用户数据服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站、或将其发送给家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给AAA服务器;或
AAA服务器认证授权通过后,还为所述终端用户生成用户标识代号,并将其发送给家用基站和用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
13.如权利要求11所述的方法,其特征在于,
用户数据服务器认证授权通过后,还向AAA服务器发送CSG信息更新消息,该消息中携带所述终端用户的真实用户标识、或携带所述终端用户的真实用户标识和所述家用基站的标识;
接收到所述CSG信息更新消息后,AAA服务器为所述终端用户生成用户标识代号,并将其发送给用户数据服务器和家用基站;
所述CSG成员信息中还包含:所述用户标识代号。
14.如权利要求12或13所述的方法,其特征在于,
所述用户标识代号具有如下特征:
在家用基站上,一个用户标识代号、或一个用户标识代号结合一个网络标识对应一个终端用户的真实用户标识;
在AAA服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识对应一个终端用户的用户标识代号。
在用户数据服务器上,一个终端用户的真实用户标识、或一个终端用户的真实用户标识结合一个家用基站标识、或一个终端用户的真实用户标识结合一个家用基站标识和一个网络标识对应一个终端用户的用户标识代号。
15.如权利要求11所述的方法,其特征在于,
用户数据服务器采用如下方式之一将更新的CSG成员信息发送给家用基站:
认证授权通过后,用户数据服务器将所述CSG成员信息包含在CSG成员信息更新消息中发送给家用基站;或
认证授权通过后,在执行家用基站的接入鉴权授权的过程中,用户数据服务器将所述CSG成员信息包含在鉴权成功响应消息中发送给家用基站。
16.一种用户接入系统,该系统包含:家用基站、接入网关、AAA服务器;其中:
所述接入网关用于向终端发送用户标识请求,接收所述终端通过所述家用基站发送的用户标识响应消息;并将所述用户标识响应消息中携带的终端用户的伪标识发送给所述AAA服务器;
所述AAA服务器用于使用所述伪标识发起对终端用户的鉴权流程,在所述鉴权流程中获取终端用户的真实用户标识;
所述AAA服务器还用于将所述真实用户标识、或所述真实用户标识对应的用户标识代号通过所述接入网关发送给所述家用基站;
所述家用基站用于使用所述真实用户标识或所述用户标识代号对终端用户进行接入控制。
17.如权利要求16所述的系统,其特征在于,
所述AAA服务器使用所述真实用户标识、或使用所述真实用户标识和所述家用基站的标识在本地获取所述用户标识代号、或
所述系统中还包含用户数据服务器;所述AAA服务器使用所述真实用户标识、或使用所述真实用户标识和所述家用基站的标识从所述用户数据服务器获取所述用户标识代号。
18.一种闭合用户组用户管理系统,该系统包含:家用基站、用户数据服务器;其中:
所述家用基站用于在接收到将终端用户增加为其闭合用户组CSG成员的CSG成员管理请求后,请求用户数据服务器授权将所述终端用户增加为该家用基站的CSG成员;
所述用户数据服务器用于对所述CSG成员管理请求进行认证授权,认证授权通过后保存更新的CSG成员信息,并授权将所述终端用户增加为所述家用基站的CSG成员;
所述家用基站还用于在获得所述用户数据服务器的授权后,将所述终端用户增加为CSG成员,并保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
19.如权利要求18所述的系统,其特征在于,
所述系统中还包含AAA服务器,用于对所述CSG成员管理请求进行认证授权,并保存更新的CSG成员信息;
在所述用户数据服务器和所述AAA服务器都认证授权通过后,所述家用基站才将所述终端用户增加为其CSG成员。
20.如权利要求19所述的系统,其特征在于,
所述家用基站还用于为所述终端用户生成用户标识代号,并将其与所述终端用户的真实用户标识一起、或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给所述用户数据服务器、或发送给所述用户数据服务器和所述AAA服务器;或
所述用户数据服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站、或将其发送给所述家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给所述AAA服务器;或
所述AAA服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站和所述用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
21.一种闭合用户组用户管理系统,该系统包含:家用基站、用户数据服务器;其中:
所述用户数据服务器用于在接收到将终端用户增加为家用基站的CSG成员的CSG成员管理请求后,对所述CSG成员管理请求进行认证授权;认证授权通过后保存更新的CSG成员信息,并将更新的CSG成员信息发送给所述家用基站;
所述家用基站用于保存更新的CSG成员信息;
所述CSG成员信息中包含:所述终端用户的真实用户标识、或所述终端用户的真实用户标识和所述家用基站标识。
22.如权利要求21所述的系统,其特征在于,
所述系统中还包含AAA服务器,用于对所述CSG成员管理请求进行认证授权,认证授权通过后保存更新的CSG成员信息,并授权将所述终端用户增加为所述家用基站的CSG成员;
所述用户数据服务器在获得所述AAA服务器的授权后,才保存所述更新的CSG成员信息,并将所述更新的CSG成员信息发送给所述家用基站。
23.如权利要求22所述的方法,其特征在于,
所述用户数据服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站、或将其发送给所述家用基站并将其与所述终端用户的真实用户标识一起或将其与所述终端用户的真实用户标识和所述家用基站标识一起发送给所述AAA服务器;或
所述AAA服务器还用于为所述终端用户生成用户标识代号,并将其发送给所述家用基站和所述用户数据服务器;
所述CSG成员信息中还包含:所述用户标识代号。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910203279.2A CN101909248B (zh) | 2009-06-04 | 2009-06-04 | 用户接入方法及系统、闭合用户组用户管理方法及系统 |
| PCT/CN2009/073973 WO2010139147A1 (zh) | 2009-06-04 | 2009-09-16 | 用户接入方法及系统、闭合用户组用户管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910203279.2A CN101909248B (zh) | 2009-06-04 | 2009-06-04 | 用户接入方法及系统、闭合用户组用户管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101909248A true CN101909248A (zh) | 2010-12-08 |
| CN101909248B CN101909248B (zh) | 2014-07-30 |
Family
ID=43264537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910203279.2A Active CN101909248B (zh) | 2009-06-04 | 2009-06-04 | 用户接入方法及系统、闭合用户组用户管理方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101909248B (zh) |
| WO (1) | WO2010139147A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012126290A1 (zh) * | 2011-03-24 | 2012-09-27 | 中兴通讯股份有限公司 | 一种本地访问移动性管理方法及系统 |
| WO2013166873A1 (zh) * | 2012-05-10 | 2013-11-14 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
| WO2016101285A1 (zh) * | 2014-12-27 | 2016-06-30 | 华为技术有限公司 | 网络接入的方法和设备 |
| WO2016201642A1 (en) * | 2015-06-17 | 2016-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses of device identity check in a core network for a wireless network |
| CN106920382A (zh) * | 2015-12-26 | 2017-07-04 | 华为技术有限公司 | 控制智能仪表入网的方法、主站和数据集中单元 |
| CN116545777A (zh) * | 2023-07-05 | 2023-08-04 | 中国电信股份有限公司 | 用户类别切换方法、装置、存储介质与电子设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030214958A1 (en) * | 2002-04-12 | 2003-11-20 | Lila Madour | Linking of bearer and control for a multimedia session |
| US8374631B2 (en) * | 2003-01-15 | 2013-02-12 | Nokia Corporation | Provision of location information in a communication system |
| CN101159679A (zh) * | 2004-01-14 | 2008-04-09 | 华为技术有限公司 | 一种无线局域网中分组数据关口获取用户身份标识的方法 |
| US7761913B2 (en) * | 2005-01-24 | 2010-07-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method for selecting an access point name (APN) for a mobile terminal in a packet switched telecommunications network |
| CN100512190C (zh) * | 2005-05-30 | 2009-07-08 | 中兴通讯股份有限公司 | 移动通信网与无线城域网的互通系统及其方法 |
| CN101127659B (zh) * | 2007-09-06 | 2010-06-16 | 中兴通讯股份有限公司 | 在WiMAX系统中实现用户鉴权控制移动终端上线方法 |
| CN101400153B (zh) * | 2007-09-27 | 2013-01-16 | 北京三星通信技术研究有限公司 | 用户设备通过hnb接入系统直接通信的方法 |
-
2009
- 2009-06-04 CN CN200910203279.2A patent/CN101909248B/zh active Active
- 2009-09-16 WO PCT/CN2009/073973 patent/WO2010139147A1/zh active Application Filing
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012126290A1 (zh) * | 2011-03-24 | 2012-09-27 | 中兴通讯股份有限公司 | 一种本地访问移动性管理方法及系统 |
| WO2013166873A1 (zh) * | 2012-05-10 | 2013-11-14 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
| WO2016101285A1 (zh) * | 2014-12-27 | 2016-06-30 | 华为技术有限公司 | 网络接入的方法和设备 |
| WO2016201642A1 (en) * | 2015-06-17 | 2016-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses of device identity check in a core network for a wireless network |
| US10149163B2 (en) | 2015-06-17 | 2018-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses of device identity check in a core network for a wireless network |
| CN106920382A (zh) * | 2015-12-26 | 2017-07-04 | 华为技术有限公司 | 控制智能仪表入网的方法、主站和数据集中单元 |
| CN106920382B (zh) * | 2015-12-26 | 2020-02-21 | 华为技术有限公司 | 控制智能仪表入网的方法、主站和数据集中单元 |
| CN116545777A (zh) * | 2023-07-05 | 2023-08-04 | 中国电信股份有限公司 | 用户类别切换方法、装置、存储介质与电子设备 |
| CN116545777B (zh) * | 2023-07-05 | 2023-09-26 | 中国电信股份有限公司 | 用户类别切换方法、装置、存储介质与电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010139147A1 (zh) | 2010-12-09 |
| CN101909248B (zh) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| CN103067914B (zh) | 存在于wtru上的移动置信平台(mtp) | |
| CN101919278B (zh) | 使用数字证书的无线设备认证 | |
| CN101527911B (zh) | 通信装置和通信方法 | |
| CN100499538C (zh) | 无线局域网互连中的识别信息保护方法 | |
| CN101919221B (zh) | 用于属于不同机构的用户的无需证书复制的认证方法 | |
| CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
| CN105101206A (zh) | 一种设备的wifi自动接入方法及系统 | |
| CN111742531B (zh) | 简档信息共享 | |
| CN106656547B (zh) | 一种更新家电设备网络配置的方法和装置 | |
| CN102668501A (zh) | 用于接入基于订阅的服务的注册和凭证转出 | |
| CN101909248B (zh) | 用户接入方法及系统、闭合用户组用户管理方法及系统 | |
| CN103686709A (zh) | 一种无线网格网认证方法和系统 | |
| CN102405630A (zh) | 多个域和域所有权的系统 | |
| CN103532939A (zh) | 通信系统中的密钥生成 | |
| KR101765917B1 (ko) | 개인망 엔티티 인증을 위한 방법 | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN101087236B (zh) | Vpn接入方法和设备 | |
| CN103297968A (zh) | 一种无线终端认证的方法、设备及系统 | |
| CN113726522A (zh) | 基于区块链的物联网设备处理方法及装置 | |
| CN101001144A (zh) | 一种实体认证中心实现认证的方法 | |
| CN102143492A (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN104662839A (zh) | 多个域的链接标识 | |
| CN101616414A (zh) | 对终端进行认证的方法、系统及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NANJING BRANCH OF ZTE CORPORATION Free format text: FORMER OWNER: ZTE CORPORATION Effective date: 20131226 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518057 SHENZHEN, GUANGDONG PROVINCE TO: 210012 NANJING, JIANGSU PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20131226 Address after: 210012 Zhongxing communication, No. 68, Bauhinia Road, Yuhuatai District, Jiangsu, Nanjing Applicant after: Nanjing Branch of Zhongxing Communication Co., Ltd. Address before: 518057 Nanshan District high tech Industrial Park, Guangdong, South Road, science and technology, ZTE building, legal department Applicant before: ZTE Corporation |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150717 Address after: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee after: ZTE Corporation Address before: 210012 Zhongxing communication, No. 68, Bauhinia Road, Yuhuatai District, Jiangsu, Nanjing Patentee before: Nanjing Branch of Zhongxing Communication Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201113 Address after: Xiangtai village, Dayu Town, Rudong County, Nantong City, Jiangsu Province, 226000 Patentee after: Rudong Huanghai water conservancy construction engineering company Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210902 Address after: 226400 No.8, wisdom Avenue, Donghu scenic area, Dayu Town, Rudong County, Nantong City, Jiangsu Province Patentee after: Nantong Donghu International Travel Agency Co., Ltd Address before: Xiangtai village, Dayu Town, Rudong County, Nantong City, Jiangsu Province, 226000 Patentee before: Rudong Huanghai water conservancy construction engineering company |