CN101945390A - 一种准入控制方法及装置 - Google Patents
一种准入控制方法及装置 Download PDFInfo
- Publication number
- CN101945390A CN101945390A CN2009101519575A CN200910151957A CN101945390A CN 101945390 A CN101945390 A CN 101945390A CN 2009101519575 A CN2009101519575 A CN 2009101519575A CN 200910151957 A CN200910151957 A CN 200910151957A CN 101945390 A CN101945390 A CN 101945390A
- Authority
- CN
- China
- Prior art keywords
- portable terminal
- home enodeb
- identification information
- access control
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 205
- 230000008569 process Effects 0.000 claims description 135
- 238000004321 preservation Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 8
- 238000013475 authorization Methods 0.000 abstract description 2
- 230000004044 response Effects 0.000 description 31
- 238000012795 verification Methods 0.000 description 9
- 241000209094 Oryza Species 0.000 description 7
- 235000007164 Oryza sativa Nutrition 0.000 description 7
- 235000021186 dishes Nutrition 0.000 description 7
- 235000009566 rice Nutrition 0.000 description 7
- 230000002596 correlated effect Effects 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种准入控制方法及装置,用于在全球微波互联接入网络中对移动终端进行准入控制,该方法包括:获取移动终端的身份标识信息,以及家庭基站的标识信息;根据所述移动终端的真实身份信息、所述家庭基站的标识信息、以及所述移动终端的准入控制信息对所述移动终端进行准入控制。通过本实施例的方法及装置,对请求接入FAP的MS进行准入控制,从而只允许授权接入FAP的MS可以接入FAP,其它未授权接入的MS不能够接入FAP。
Description
技术领域
本发明涉及通信领域,尤其涉及一种准入控制方法及装置。
背景技术
WiMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)技术是以IEEE 802.16的系列宽频无线标准为基础提出的一种空中接口标准。
随着移动通信技术的发展,用户需求越来越多样化,系统设备为了适应这种需求也出现多样化,备受关注的家庭室内覆盖和企业级的内部覆盖基站以及一些其他受限网络应运而生,Femtocell(毫微微蜂窝)的通信系统就是为了改善室内的接入环境而出现的。Femtocell系统包含至少一个FAP(FemtoAccess Point,毫微微接入点)和其他辅助网络功能,其可以基于多种通信协议构建。在Femtocell系统中定义了CSG(Closed Subscriber Group,封闭用户群组),只有属于这个CSG的授权用户才能通过FAP接入到网络中。
发明人在实现本发明的过程中发现,在基于WiMAX网络构建的Femtocell系统中,FAP启动后,对请求接入的MS(Mobile Station,移动终端)并没有准入控制机制,无法对请求接入的MS进行接入控制。
发明内容
本发明实施例提供一种准入控制方法及装置,以对请求接入FAP的MS进行准入控制,从而只允许授权接入FAP的MS可以接入FAP,其它未授权接入的MS不能够接入FAP。
本发明实施例的上述目的是通过如下技术方案实现的:
一种准入控制方法,所述方法用于在全球微波互联接入网络中对移动终端进行准入控制,所述方法包括:获取移动终端的身份标识信息,以及家庭基站的标识信息;如果所述移动终端的身份标识信息为所述移动终端的真实身份信息,则根据所述移动终端的真实身份信息,所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
一种准入控制装置,所述装置包括:第一获取单元,用于获取移动终端的身份标识信息,以及家庭基站的标识信息;控制单元,用于在所述移动终端的身份标识信息为所述移动终端的真实身份信息时,根据所述移动终端的身份标识信息、所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
一种移动终端,所述移动终端包括:判断单元,用于判断本移动终端试图接入的基站是否是家庭基站;处理单元,用于在所述判断单元的判断结果为,本移动终端试图接入的基站为家庭基站时,将本移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关,由所述接入业务网网关根据所述移动终端的真实身份标识,从所述家庭基站获取的所述家庭基站的标识,以及获取的所述移动终端的准入控制信息,对所述移动终端进行准入控制;或者,所述处理单元用于在所述判断单元的判断结果为,本移动终端试图接入的基站为家庭基站时,将本移动终端的真实身份标识发送给所述家庭基站,并由所述家庭基站将所述移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关,由所述家庭基站和所述接入业务网网关根据所述移动终端的真实身份标识,从家庭基站获取的家庭基站标识,以及获取的所述移动终端的准入控制信息,对所述移动终端进行准入控制。
通过本实施例的方法及装置,对请求接入FAP的MS进行准入控制,从而只允许授权接入FAP的MS可以接入FAP,其它未授权接入的MS不能够接入FAP。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为在WiMAX协议下构建的Femtocell的系统模型图;
图2为本发明实施例的方法流程图;
图3为图2所示实施例的一种实施方式的流程图;
图4为图2所示实施例的一种实施方式的流程图;
图5为图2所示实施例的一种实施方式的流程图;
图6为图2所示实施例的一种实施方式的流程图;
图7为图2所示实施例的一种实施方式的流程图;
图8为图2所示实施例的一种实施方式的流程图;
图9为图2所示实施例的一种实施方式的流程图;
图10为图2所示实施例的一种实施方式的流程图;
图11为本发明实施例第一实施方式的装置组成框图;
图12为本发明实施例第二至第五实施方式的装置组成框图;
图13为本发明实施例的移动终端的组成示意框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
实施例一
本发明实施例提供一种准入控制方法,该方法应用于在Wimax网络中对移动终端进行准入控制,以下结合附图对本实施例进行详细说明。
图1为在WiMAX协议下构建的Femtocell的系统模型图,如图1所示,其中,FAP是一种低功耗的基站设备,提供小范围的无线覆盖,主要应用在室内家中和SOHO(Small Office Home Office,小型家庭办公)环境,因此又称为毫微微基站或家庭基站或个人基站。FAP在经过授权的频谱上通过空口接口为移动终端MS提供接入服务。FAP通过有线宽带网络,例如DSL/IP(Digital Subscriber Line/Internet Protocol;数字用户线路/网络协议)网络等接入到WiMAX网络后,和其他基站一样由NAP(Network Access Processor,网络接入提供商)管理,其中的有线宽带网络和WiMAX网络可能属于相同的运营商,也可能属于不同的运营商。其中,Femto GW(Femto Gateway,家庭基站网关)是一个接入业务网网关ASN GW(Access Service NetworkGateway,简称ASN GW),与FAP相连,具有控制面和用户面的功能。其中,FAP AAA服务器是FAP的签约服务器,它保存有FAP的Profile(档案)。其中,HAAA(Home Authentication Authorization Accounting,本地认证授权计费)服务器是MS的签约服务器,它保存有MS的Profile。
图2为本实施例的方法流程图,请参照图2,本实施例的移动终端的准入控制方法包括:
201:获取移动终端的身份标识信息,以及家庭基站的标识信息;
其中,家庭基站的标识可以用封闭用户群组的标识来表示,一个封闭用户群组可能包含多个家庭基站。
202:根据所述移动终端的真实身份信息,所述家庭基站的标识信息或封闭用户群组的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
其中,准入控制信息可以是家庭基站允许接入的用户身份标识列表,也可以是用户身份标识可以接入的家庭基站列表,本实施例并不以此作为限制。
其中,准入控制信息可以根据前边获取到的移动终端的身份标识信息,或者家庭基站的标识信息,或者封闭用户群组的标识,从本地获取,也可以从网络侧保存准入控制信息的服务器,例如FAP AAA服务器或者HAAA服务器获取,本实施例并不以此作为限制。
根据本实施例的实施方式,该准入控制方法可以应用于移动终端请求接入家庭基站的过程中,也可以应用于移动终端切换到家庭基站的过程中。当应用于移动终端请求接入家庭基站的过程中时,该移动终端的准入控制方法可以通过WiMAX协议下构建的Femtocell的系统中的移动终端的签约服务器,家庭基站的签约服务器,家庭基站的接入业务网网关,或者家庭基站和家庭基站的接入业务网网关来实现;当应用于移动终端切换到目标家庭基站的过程中时,该移动终端的准入控制方法可以通过WiMAX协议下构建的Femtocell的系统中的移动终端的服务基站所在的接入业务网网关,或者目标家庭基站的接入业务网网关来实现,以下将结合不同的实施例对此加以说明。
其中,当通过不同的网元实现本发明实施例的方法时,各类信息也将从不同的网元获取,这也将在下述的实施例中加以说明。
通过本实施例的准入控制方法,根据获取到的移动终端的身份标识信息,家庭基站标识信息或封闭用户群组的标识信息,以及准入控制信息,对WiMAX协议下构建的Femtocell的系统中的移动终端进行准入控制,达到了只允许授权接入FAP的MS可以接入FAP,其它未授权接入的MS不能够接入FAP的效果。
实施例二
本发明实施例还提供一种准入控制方法,该方法应用于移动设备请求接入家庭基站的过程中,以下结合附图对本实施例进行详细说明。
图3为移动终端的签约服务器应用本实施例的方法,在移动终端请求接入家庭基站的过程中,对移动终端进行准入控制的流程图,如图3所示,在本实施例中,MS为移动终端,FAP为移动终端请求接入的家庭基站,FemtoGW为家庭基站FAP所在的接入业务网网关,HAAA为移动终端MS的签约服务器,FAP AAA为家庭基站FAP的签约服务器,该流程包括如下步骤:
301:MS和FAP之间进行空口链路建立并完成终端能力协商,在FAP和Femto GW之间完成终端上下文初始化;
302:Femto GW向MS发送EAP Request/Identity(ExtensibleAuthentication Protocol Request/Identity,扩展认证协议请求/身份)消息,请求MS的身份标识;
其中,EAP-Request消息为EAP认证过程定义的消息,Identity表示该EAP-Request消息的目的为进行身份认证。
303:MS向Femto GW发送EAP Response/Identity(ExtensibleAuthentication Protocol Response/Identity,扩展认证协议响应/身份)消息,消息中包含MS的NAI(Network Access Identifier,网络接入标识);
其中,对于EAP-AKA(EAP:Extensible Authentication Protocol,扩展认证协议;AKA:authentication and key agreement,认证密钥交换协议)和EAP-SIM(SIM:Subscriber Identity Module,客户识别模块)认证,消息中携带MS的真实身份标识(真实NAI);对于EAP-TLS(TLS:Transport LayerSecurity,传输层安全协议)、EAP-TTLS(TTLS:Tunneled TLS,隧道传输层安全协议)以及EAP-PEAP(PEAP:Protected EAP Protocol,被保护的EAP协议)认证,消息中携带的是MS的假的身份标识(临时NAI),但对于FemtoGW来说,它并不知道MS发送的身份标识是真实的还是假的。
304:Femto GW将接收到的MS的身份标识,以及MS请求接入的家庭基站FAP的标识或封闭用户群组的标识,发送给移动终端的签约服务器HAAA Server;
其中,MS请求接入的家庭基站FAP的标识或封闭用户群组的标识是Femto GW在与FAP进行终端上下文初始化的过程中,从FAP获取的,以便后期根据这些信息进行MS的准入控制。
305:MS借助Femto GW与HAAA Server进行EAP的鉴权过程;
其中,对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证,在鉴权过程中或者鉴权结束后,MS可能会将其真实身份标识发送给HAAA Server。
306:如果HAAA Server没有在步骤304获得MS的真实身份标识,HAAAServer要根据EAP鉴权过程中或鉴权过程后的MS的信息获得MS的真实身份标识;
其中,鉴权过程中或鉴权过程后的MS的信息可能是在MS发送给HAAA Server的证书中携带的,例如对于EAP-TLS认证过程,HAAA Server就可以根据证书中的MS信息获取MS的真实身份标识,以便后期对MS进行准入控制;鉴权过程中或鉴权过程后的MS的信息也可能是MS的假的身份标识(临时NAI),HAAA Server根据这个临时NAI获取MS的真实身份标识(真实NAI)。
其中,如果HAAA Server已经在步骤304获得了MS的真实身份标识,则可以省略该步骤。
在本实施例中,获取MS的真实身份标识是根据EAP鉴权过程中或鉴权过程后的MS的信息获取,但本实施例并不以此作为限制,HAAA Server可以根据在与MS的其他交互过程中接收的MS信息,获取该MS的真实身份标识。
307:如果HAAA Server中没有保存MS相关的准入控制信息,HAAAServer要根据MS的真实身份标识,或者MS要接入的家庭基站FAP的标识,或者封闭用户群组的标识,从MS要接入的家庭基站FAP的签约服务器FAPAAA Server处获取MS相关的准入控制信息;
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是所述移动终端MS的身份标识可以接入的基站列表。
其中,如果HAAA Server中保存有MS相关的准入控制信息,例如MS的签约服务器HAAA Server与MS要接入的家庭基站FAP的签约服务器FAPAAA Server是同一个实体,则可以省略该步骤。
308:HAAA Server根据前面步骤中获取或保存的信息,例如移动终端MS的身份标识信息、家庭基站FAP的标识信息或封闭用户群组的标识信息、以及移动终端MS相关的准入控制信息,对移动终端MS进行准入控制;
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面安全信息下发及业务流建立流程;如果准入控制的结果是不允许MS接入这个FAP,则HAAA Server向终端返回失败信息不再继续后续流程。
其中,步骤306到步骤308,也可以在步骤305中的MS与HAAA Server的EAP鉴权过程中进行,如果准入控制成功,则继续EAP鉴权过程以及其它流程;如果准入控制失败,则HAAA Server向终端返回失败信息不再继续后续其它流程。
309:继续安全信息下发以及业务流建立等其它流程。
其中,该步骤309是现有技术中的执行步骤,在此不再赘述。
在本实施例中,步骤304中Femto GW发送给HAAA Server的MS的身份标识以及MS请求接入的家庭基站的标识或封闭用户群组的标识可以在步骤305的EAP消息中携带。
为了进一步说明前述步骤305和步骤306、307以及308之间的关系,以下以图4所示的对MS执行EAP-TLS认证为例,对本实施例的方法进行详细说明。如图4所示,该流程包括如下步骤:
401:MS和FAP之间进行空口链路建立并完成终端能力协商,在FAP和Femto GW之间完成终端上下文初始化;
402:Femto GW向MS发送EAP Request/Identity消息,请求MS的身份标识;
其中,EAP-Request消息为EAP认证过程定义的消息,Identity表示该EAP-Request消息的目的为进行身份认证。
403:MS向Femto GW发送EAP Response/Identity消息,消息中包含MS的NAI;
其中,对于EAP-AKA和EAP-SIM认证,消息中携带MS的真实身份标识(真实NAI);对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证,消息中携带的是MS的假的身份标识(临时NAI)。
404:Femto GW将MS的身份标识与以及MS请求接入的家庭基站FAP的标识或封闭用户群组标识发送给HAAA Server;
405:HAAA Server向MS发送EAP请求消息,该EAP请求消息中携带有TLS认证开始信息,开始EAP-TLS认证过程;
406:MS接到请求后,向HAAA Server发送EAP响应消息,消息中包含客户端握手消息(TLS client_hello);
407:HAAA Server向MS发送EAP请求消息,消息中包含HAAA Server握手消息(TLS server_hello)以及HAAA Server的TLS证书,HAAA Server还会向MS请求MS的TLS证书并且请求进行主密钥交换;
408:MS验证HAAA Server的TLS证书,向HAAA Server发送EAP响应消息,消息中包含MS的TLS证书,以及其他密钥交换和加密套协商消息;
409:HAAA Server接收到MS的TLS证书后,根据MS的TLS证书中的信息,在HAA Server中查找相关的MS信息,找到对应的MS的真实身份标识;
其中,步骤409可以在步骤410、步骤411、或者步骤414之后完成,只要HAAA Server接收到了MS的TLS证书。
其中,对于其它鉴权方法,HAAA Server获取的可能不是MS的证书,而是其他的假的身份标识以及MS相关信息,此时HAAA Server可以根据这些信息得到MS的真实身份标识。
410:HAAA Server验证MS的TLS证书,如果验证成功,HAAA向MS发送EAP请求消息,消息中包含了加密套协商结果已经握手完成消息;
411:MS向HAAA Server发送EAP认证响应;
412:如果HAAA Server中没有保存MS相关的准入控制信息,HAAAServer要根据MS的真实身份标识,或者MS请求接入的家庭基站FAP的标识,或者封闭用户群组的标识,从该家庭基站的签约服务器FAP AAA Server获取MS相关的准入控制信息;
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是MS身份标识可以接入的基站列表。
其中,如果HAAA Server中保存了MS相关的准入控制信息,例如MS的签约服务器HAAA Server与家庭基站的签约服务器FAP AAA Server是同一个实体,则可以省略步骤412。
413:HAAA Server根据前面步骤中获取或保存的信息,例如移动终端MS的身份标识信息、家庭基站FAP的标识信息或封闭用户群组的标识信息、以及移动终端MS相关的准入控制信息,对移动终端MS进行准入控制;
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面安全信息下发及业务流建立流程;否则如果不允许接入,则HAAA Server向终端返回失败信息不再继续后续流程。
其中,步骤412和步骤413,可以发生在在上述步骤409以后的任何时刻,如果准入控制成功,则继续EAP鉴权过程以及其它流程;如果准入控制失败,则HAAA Server向终端返回失败信息不再继续后续其它流程。
414:如果认证成功并且MS通过了准入控制,则HAAA Server向MS发送EAP成功报文(EAP-Success);
415:继续安全信息下发以及业务流建立等其它流程。
其中,步骤415也是现有技术中的执行步骤,在此不再赘述。
在本实施例中,移动终端的签约服务器应用本实施例的方法,在不影响现有的MS的鉴权流程的情况下,无需MS的特殊处理,在移动终端请求接入家庭基站的过程中,通过获取移动终端的真实身份标识,移动终端试图接入的家庭基站的标识或封闭用户群组标识,以及该移动终端相关的准入控制信息,达到对该移动终端进行准入控制的目的,以根据准入控制的结果确定该移动终端能否接入该家庭基站。
实施例三
本发明实施例还提供一种准入控制方法,该方法应用于移动终端请求接入家庭基站的过程中,以下结合附图对本实施例进行详细说明。
图5为移动终端的签约服务器应用本实施例的方法,在移动终端请求接入家庭基站的过程中,通过家庭基站的签约服务器,对移动终端进行准入控制的流程图,如图5所示,在本实施例中,MS为移动终端,FAP为移动终端请求接入的家庭基站,Femto GW为家庭基站FAP所在的接入业务网网关,HAAA为移动终端MS的签约服务器,FAP AAA为家庭基站FAP的签约服务器,该流程包括如下步骤:
501:MS和FAP之间进行空口链路建立并完成终端能力协商,在FAP和Femto GW之间完成终端上下文初始化;
502:Femto GW向MS发送EAP Request/Identity消息,请求MS的身份标识;
其中,EAP-Request消息为EAP认证过程定义的消息,Identity表示该EAP-Request消息的目的为进行身份认证。
503:MS向Femto GW发送EAP Response/Identity消息,消息中包含MS的NAI;
其中,对于EAP-AKA和EAP-SIM认证,消息中携带MS的真实身份标识;对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证,消息中携带的是MS的假的身份标识,但对于Femto GW来说,它并不知道MS发送的身份标识是真实的还是假的。
504:Femto GW将接收到的MS的身份标识,以及MS请求接入的家庭基站FAP的标识或封闭用户群组的标识,发送给移动终端的签约服务器HAAA Server;
其中,MS请求接入的家庭基站FAP的标识/或封闭用户群组的标识是Femto GW在与FAP进行终端上下文初始化的过程中,从FAP获取的,以便后期根据这些信息进行MS的准入控制。
505:MS借助Femto GW与HAAA Server进行EAP的鉴权过程;
其中,对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证,在鉴权过程中或者鉴权结束后,MS可能会将其真实身份标识发送给HAAA Server。
506:如果HAAA Server没有在步骤504获得MS的真实身份标识,HAAAServer要根据EAP鉴权过程中或鉴权过程后的MS的信息获得MS的真实身份标识;
其中,鉴权过程中或鉴权过程后的MS的信息可能是在MS发送给HAAA Server的证书中携带的,例如对于EAP-TLS认证过程,HAAA Server就可以根据证书中的MS信息获取MS的真实身份标识,以便后期对MS进行准入控制;鉴权过程中或鉴权过程后的MS的信息也可能是MS的假的身份标识(临时NAI),HAAA Server根据这个临时NAI获取MS的真实身份标识(真实NAI)。
其中,如果HAAA Server已经在步骤504获得了MS的真实身份标识,则可以省略该步骤。
在本实施例中,获取MS的真实身份标识是根据EAP鉴权过程中或鉴权过程后的MS的信息获取,但本实施例并不以此作为限制,HAAA Server可以根据在与MS的其他交互过程中接收的MS信息,获取该MS的真实身份标识。
507:如果HAAA Server中没有保存MS相关的准入控制信息,则HAAAServer将MS的真实身份标识,以及MS要接入的家庭基站FAP的标识或者封闭用户群组的标识,发送给家庭基站FAP的签约服务器FAP AAA Server;
其中,如果HAAA Server中保存有MS相关的准入控制信息,例如MS的签约服务器与MS要接入的家庭基站FAP的签约服务器FAP AAA Server是同一个实体,则可以省略该步骤。
508:FAP AAA Server根据HAAA Server发送的信息,以及自身保存的移动终端MS相关的准入控制信息,对移动终端MS进行准入控制;
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是所述移动终端MS的身份标识可以接入的基站列表。
509:FAP AAA Server将准入控制结果返回给MS的HAAA Server。
其中,步骤506到步骤509,也可以在步骤505中的MS与HAAA Server的EAP鉴权过程中进行,如果准入控制成功,则继续EAP鉴权过程以及其它流程;如果准入控制失败,则AAA Server向终端返回失败信息不再继续后续其它流程。
510:继续安全信息下发以及业务流建立等其它流程。
其中,该步骤510是现有技术中的执行步骤,在此不再赘述。
在本实施例中,步骤504中Femto GW发送给HAAA Server的MS的身份标识以及MS请求接入的家庭基站的标识或封闭用户群组的标识可以在步骤505的EAP消息中携带。
为了进一步说明前述步骤505和步骤506、507、508以及509之间的关系,以下以图6所示的对MS执行EAP-TLS认证为例,对本实施例的方法进行详细说明。如图6所示,该流程包括如下步骤:
601:MS和FAP之间进行空口链路建立并完成终端能力协商,在FAP和Femto GW之间完成终端上下文初始化;
602:Femto GW向MS发送EAP Request/Identity消息,请求MS的身份标识;
其中,EAP-Request消息为EAP认证过程定义的消息,Identity表示该EAP-Request消息的目的为进行身份认证。
603:MS向Femto GW发送EAP Response/Identity消息,消息中包含MS的NAI;
其中,对于EAP-AKA和EAP-SIM认证,消息中携带MS的真实身份标识;对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证,消息中携带的是MS的假的身份标识。
604:Femto GW将MS的身份标识与以及MS请求接入的家庭基站FAP的标识或封闭用户群组标识发送给HAA Server;
605:HAAA Server向MS发送EAP请求消息(EAP-TLS/Start),请求开始EAP-TLS鉴权过程,消息中携带TLS认证开始信息;
606:MS接到请求后,向HAAA Server发送响应消息,消息中包含客户端握手消息(TLS client hello);
607:HAAA Server向MS发送EAP请求消息,消息中包含AAA服务器握手消息(TLS server_hello)握手消息以及HAAA Server的TLS证书,HAAA Server还会向MS请求MS的TLS证书并且请求进行主密钥交换;
608:MS验证HAAA Server的TLS证书,向HAAA Server发送EAP响应消息,消息中包含MS的TLS证书,以及其他密钥交换和加密套协商消息;
609:HAAA Server接收到MS的TLS证书后,根据MS的TLS证书中的信息,在AAA Server中查找相关的MS信息,找到对应的MS的真实身份标识;
其中,步骤609可以在步骤610、步骤611、或者步骤614之后完成,只要HAAA Server接收到了MS的TLS证书。
其中,对于其它鉴权方法,HAAA Server获取的可能不是MS的证书,而是其他的假的身份标识以及MS相关信息,此时HAAA Server可以根据这些信息得到MS的真实身份标识。
610:HAAA Server验证MS的TLS证书,如果验证成功,HAAA向MS发送EAP请求消息,消息中包含了加密套协商结果已经握手完成消息;
611:MS向HAAA Server发送EAP认证响应;
612:如果HAAA Server中没有保存MS相关的准入控制信息,则HAAAServer将MS的真实身份标识,以及MS请求接入的家庭基站FAP的标识或封闭用户群组CSG的标识,发送给家庭基站FAP的签约服务器FAP AAA Server;
613:FAP AAA Server根据HAAA Server发送的信息,以及FAP AAAServer自身保存的MS的准入控制信息,对移动终端MS进行准入控制;
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是MS身份标识可以接入的基站列表。
614:FAP AAA Server将准入控制结果返回给MS的HAAA Server;
其中,步骤606到步骤609也可以在步骤605中的MS与HAAA Server的EAP鉴权过程中进行,如果准入控制成功,则继续EAP鉴权过程以及其他流程;如果准入控制失败,则HAAA Server向移动终端MS返回失败信息不再继续后续其他流程。
其中,步骤612到步骤614,可以发生在在上述步骤609以后的任何时刻,如果准入控制成功,则继续EAP鉴权过程以及其它流程;如果准入控制失败,则HAA Server向MS返回失败信息不再继续后续其它流程。
615:如果认证成功并且MS通过了准入控制,则HAAA Server向MS发送EAP成功报文(EAP-Success);
616:继续安全信息下发以及业务流建立等其它流程。
其中,步骤616也是现有技术中的执行步骤,在此不再赘述。
在本实施例中,移动终端的签约服务器应用本实施例的方法,在不影响现有的MS的鉴权流程的情况下,无需MS的特殊处理,在移动终端请求接入家庭基站的过程中,通过获取移动终端的真实身份标识,移动终端试图接入的家庭基站的标识或封闭用户群组标识,并发送给家庭基站的签约服务器,以通过家庭基站的签约服务器根据上述信息以及其保存的移动终端相关的准入控制信息,达到对该移动终端进行准入控制的目的,以根据准入控制的结果确定该移动终端能否接入该家庭基站。
实施例四
本实施例还提供一种准入控制方法,该方法应用于移动终端请求接入家庭基站的过程中,以下结合附图对本实施例进行详细说明。
在MS请求接入FAP的过程中,MS会根据不同的认证方式下发不同的身份标识信息,例如,如果MS的认证方式是EAP-AKA或EAP-SIM,则MS会在对接入业务网网关的响应消息EAP Response/Identity中携带MS真实的身份标识Inner NAI,此时,根据本实施例的方法,家庭基站FAP或者与该家庭基站相连的接入业务网网关Femto GW可以根据这个Inner NAI对MS进行准入控制;如果MS的认证方式是EAP-TLS或EAP-TTLS或EAP-PEAP,则由于MS身份隐藏功能,MS在对接入业务网网关的响应消息EAP Response/Identity中携带由MS构造的假的身份标识Outer NAI,此时,家庭基站FAP或者与该家庭基站相连的接入业务网网关Femto GW无法根据这个Outer NAI对MS进行准入控制。
根据本实施例的方法,为了使FAP和Femto GW能够获取用户的InnerNAI,由MS先判断其所试图接入的基站是一个家庭基站FAP还是一个普通的宏基站,例如可以从基站的广播信息中判断其试图接入的基站是否是家庭基站FAP,如果是家庭基站FAP,则MS在对Femto GW的响应消息EAPResponse/Identity中携带Inner NAI,从而FAP或者Femto GW可以根据这个NAI对MS进行准入控制。
图7为与家庭基站相连的接入业务网网关应用本实施例的方法,在移动终端请求接入家庭基站的过程中,对移动终端进行准入控制的流程图,如图7所示,在本实施例中,MS为移动终端,FAP为移动终端请求接入的家庭基站,Femto GW为家庭基站FAP所在的接入业务网网关,HAAA为移动终端MS签约的服务器,该流程包括如下步骤:
701:MS与FAP之间进行空口链路建立和能力协商过程,FAP与FemtoGW之间执行终端上下文初始化过程;
702:Femto GW向MS发送EAP-Request/Identity消息,请求终端标识;
其中,EAP-Request消息为EAP认证过程定义的消息,Identity表示该EAP-Request消息的目的为进行身份认证。
703:MS判断其试图接入的基站是否是FAP,如果是,则MS在对ASNGW的响应消息EAP Response/Identity中携带Inner NAI,如果否,则继续原有流程。
其中,步骤703是可选的流程,如果准入控制流程不允许对MS进行修改,则步骤703不执行,在这种情况下,本流程只适用于MS的认证方式是EAP-AKA或EAP-SIM,对于其它认证方式的准入控制,可以在MS的签约服务器HAAA Server上进行,例如前述实施例二和实施例三的方式。
704:MS向Femto GW发送EAP-Response/Identity消息;
其中,EAP-Response/Identity消息中携带有MS的身份标识NAI,作为对EAP-Request/Identity消息的回复。
705:Femto GW根据其自身保存的终端的准入控制信息或者从网络侧保存MS准入控制信息的服务器,例如FAP AAA Server或者HAAA Server获取移动终端MS相关的准入控制信息;
706:Femto GW根据移动终端的真实用户信息、家庭基站的标识信息、以及步骤705获取的准入控制信息来对MS进行准入控制;
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面鉴权流程以及其它流程;如果准入控制的结果是不允许MS接入这个FAP,则Femto GW向MS返回失败信息不再继续后续鉴权流程。
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是所述MS身份标识可以接入的基站列表。
707:MS与AAA服务器之间执行EAP鉴权过程。
708:MS和网络侧之间生成安全信息,进行服务流建立过程。
其中,步骤707和步骤708是现有技术中的执行步骤,在此不再赘述。
在本实施例中,也可以由家庭基站和与该家庭基站相连的接入业务网网关对移动终端都执行准入控制,此时要求该家庭基站可以解析MS发送的EAP-Response/Identity消息中的NAI,以下结合图8所示的流程对此加以说明。如图8所示,该流程包括如下步骤:
801:MS与FAP之间进行空口链路建立和能力协商过程,FAP与FemtoGW之间执行终端上下文初始化过程。
802:Femto GW向MS发送EAP-Request/Identity消息,请求MS标识。
其中,EAP-Request消息为EAP认证过程定义的消息,Identity表示该EAP-Request消息的目的为进行身份认证。
803:MS判断其试图接入的基站是否是FAP,如果是,则MS在对FemtoGW的响应消息EAP Response/Identity响应中携带Inner NAI,如果否,则继续原有流程。
其中,步骤803是可选的流程,如果准入控制流程不允许对MS进行修改,则步骤803不执行,在这种情况下,本流程只适用于MS的认证方式是EAP-AKA或EAP-SIM,对于其它认证方式下的准入控制,可以在MS的签约服务器HAAA Server上进行,例如前述实施例二和实施例三的方式。
804:MS向Femto GW发送EAP-Response/Identity消息;
其中,EAP-Response/Identity消息中携带有MS的身份标识NAI,作为对EAP-Request/Identity消息的回复。
805:FAP解析上述EAP-Response/Identity消息,并根据其自身保存的MS的准入控制信息或者从网络侧保存MS准入控制信息的服务器,例如FAPAAA Server或者HAAA Server获取MS相关的准入控制信息,根据这些信息来对MS进行准入控制。
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面鉴权流程以及其它流程;如果准入控制的结果是不允许MS接入这个FAP,则FAP向MS返回失败信息不再继续后续鉴权流程。
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是所述MS身份标识可以接入的基站列表。
806:FAP向ASN GW转发EAP-Response/Identity消息;
807、808:Femto GW根据其自身保存的MS的准入控制信息或者从网络侧保存MS准入控制信息的服务器,例如FAP AAA Server或者HAAAServer获取MS相关的准入控制信息,根据这些信息来对MS进行准入控制。
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面鉴权流程以及其它流程;如果准入控制的结果是不允许MS接入这个FAP,则ASN GW向MS返回失败信息不再继续后续鉴权流程。
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是所述MS身份标识可以接入的基站列表。
809:MS与HAAA Server之间执行EAP鉴权过程。
810:MS和网络侧之间生成安全信息,进行服务流建立过程。
其中,步骤707和步骤708是现有技术中的执行步骤,在此不再赘述。
本实施例首先通过MS判断其所试图接入的基站是一个FAP还是一个普通的宏基站,再由ASN GW或者FAP和ASN GW对该MS进行准入控制,达到了实现简单、无需增加新的信令并且对MS的准入控制判断点较早,节约信令资源的有益效果。
实施例五
本实施例还提供一种准入控制方法,该方法应用于移动终端从服务基站切换到目标家庭基站的过程中,以下结合附图对本实施例进行详细说明。
图9为移动终端的服务基站所在的接入业务网网关应用本实施例的方法,在移动终端由服务基站切换到目标基站的过程中,对移动终端进行准入控制的流程图,请参照图9,在本实施例中,MS为移动终端,BS为移动终端的服务基站,ASN GW为移动终端的服务基站所在的接入业务网网关,FAP为目标基站,Femto GW为目标基站所在的接入业务网网关,该流程包括如下步骤:
901:MS向其当前对应的服务基站发送MOB-MSHO REQ(mobility MShandover request,移动终端移动性切换请求)消息,请求切换。
其中,所述终端切换请求中携带目标基站标识,在本实施例中,该目标基站为FAP,相应的,目标基站标识为FAP ID;
其中,MS的服务基站可以是BS,也可以是FAP,在本实施例中,以MS的服务基站为BS加以说明,但本实施例并不以此作为限制。
902:服务基站向ASN GW发送HO_Req(HandOver Request,切换请求)消息,所述切换请求中携带有所述目标基站标识FAP ID,或者携带有封闭用户群组的标识。
903:ASN GW根据其自身保存的移动终端的准入控制信息或者从网络侧保存MS准入控制信息的服务器,例如FAP AAA Server或者HAAA Server获取MS相关的准入控制信息;
904:ASN GW根据目标基站的标识、移动终端的准入控制信息和所述MS的相关标识来对MS进行准入控制。
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面鉴权流程以及其它流程;如果准入控制的结果是不允许MS接入这个FAP,则ASN GW向MS返回失败信息不再继续后续鉴权流程。
其中,准入控制信息可以是所述目标基站FAP允许接入的MS身份标识列表,也可以是所述MS身份标识可以接入的基站列表。
其中,MS的相关标识可以是MS的用户身份、物理标识等,本实施例并不以此作为限制,由于该ASN GW是MS的服务基站所在的接入业务网网关,因此,该MS的相关标识可能保存在该ASN GW内,也可能从MS的服务基站获取,还可能从该MS直接获取,本实施例并不以此作为限制。
905:ASN GW向Femto GW发送切换请求HO_Req消息,所述切换请求中携带有所述目标基站标识FAP ID。
905:Femto GW向目标基站FAP发送切换请求HO_Req消息。
907:FAP向Femto GW发送HO_Rsp(HandOver Response,切换响应)消息。
908:Femto GW向ASN GW发送切换响应HO_Rsp消息。
909:ASN GW向服务基站BS发送切换响应HO_Rsp消息。
910:服务基站BS向MS发送MOB-MSHO_RSP(Mobility MS HandOverResponse,移动终端移动性切换响应)消息。
本实施例在移动终端切换到家庭基站过程中,由该移动终端的服务基站所在的接入业务网网关,根据获取到的移动终端的身份标识、家庭基站的标识或封闭用户群组的标识以及移动终端相关的准入控制信息,对移动终端进行准入控制,达到了准入控制判断的点较早,节约信令的优势。
图10为移动终端的目标家庭基站所在的接入业务网网关应用本实施例的方法,在移动终端由服务基站切换到目标家庭基站的过程中,对移动终端进行准入控制的流程图,请参照图10,该流程包括如下步骤:
1001:MS向其当前对应的服务基站发送移动终端移动性切换请求MOB-MSHO_REQ消息,请求切换。
其中,所述终端切换请求中携带目标基站标识,在本实施例中,目标基站为FAP,相应的,目标基站标识为FAP ID。
其中,服务基站可以是BS,也可以是FAP,在本实施例中,该服务基站为BS,但本实施例并不以此作为限制。
1002:服务基站BS向ASN GW发送切换请求HO_Req消息,所述切换请求中携带有所述目标基站标识FAP ID,或者携带有封闭用户群组的标识。
1003:ASN GW向Femto GW发送切换请求HO_Req消息,所述切换请求中携带有所述目标基站标识FAP ID,或者携带有封闭用户群组的标识。
1004:Femto GW根据其自身保存的MS的准入控制信息或者从网络侧保存MS准入控制信息的服务器,例如FAP AAA Server或者HAAA Server获取MS相关的准入控制信息;
1005:Femto GW根据目标基站的标识、获取的移动终端的准入控制信息和所述MS的相关标识来对MS进行准入控制。
其中,如果准入控制的结果是允许MS接入这个FAP,则继续执行后面鉴权流程以及其它流程;如果准入控制的结果是不允许MS接入这个FAP,则ASN GW向终端返回失败信息不再继续后续鉴权流程。
其中,准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表,也可以是所述MS身份标识可以接入的基站列表。
其中,MS的相关标识可以是MS的用户身份、物理标识等,本实施例并不以此作为限制,由于该Femto GW与MS的服务基站所在的接入业务网网关ASN GW有信令交互,因此,该MS的相关标识可能从ASN GW获取,也可能通过其他方式获取,本实施例并不以此作为限制。
1006:Femto GW向FAP发送切换请求HO_Req消息。
1007:FAP向Femto GW发送切换响应HO_Rsp消息。
1008:Femto GW向ASN GW发送切换响应HO_Rsp消息。
1009:ASN GW向BS发送切换响应HO_Rsp消息。
1010:BS向MS发送移动终端移动性切换响应MOB-MSHO_RSP消息。
本实施例在移动终端切换到家庭基站过程中,由该家庭基站所在的接入业务网网关,根据获取到的移动终端的身份标识、家庭基站的标识或封闭用户群组的标识以及移动终端相关的准入控制信息,对移动终端进行准入控制,达到了当MS切换到FAP时,由FAP的接入业务网网关进行准入控制,不影响MS的服务基站所在的接入业务网网关的优势。
实施例六
本发明实施例还提供一种准入控制装置,以下结合附图对本实施例进行详细说明。
图11为本发明实施例的第一实施方式的组成框图,请参照图11,该准入控制装置包括:
第一获取单元111,用于获取移动终端的身份标识信息,以及家庭基站的标识信息;
控制单元112,用于根据所述移动终端的身份标识信息、所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
在本实施方式中,该装置包含于所述移动终端的签约服务器,则第一获取单元111用于在移动终端请求接入家庭基站的过程中,从与所述家庭基站相连的接入业务网网关接收移动终端的身份标识信息,以及家庭基站的标识信息。
在本实施方式中,该装置还包括:
判断单元113,用于判断所述第一获取单元111获取到的移动终端的身份标识信息是否为移动终端的真实身份标识;
第二获取单元114,用于在所述判断单元113的判断结果为所述第一获取单元111获取到的移动终端的身份标识信息不是所述移动终端的真实身份标识时,在所述移动终端进行扩展认证协议EAP鉴权过程中或EAP鉴权过程后,根据与所述移动终端交互的移动终端的信息,获取所述移动终端的真实身份标识。
在本实施方式中,可以通过移动终端的签约服务器对移动终端进行准入控制,也可以通过家庭基站的签约服务器对移动终端进行准入控制。
当通过移动终端的签约服务器对移动终端进行准入控制时,该移动终端的签约服务器根据获取到的移动终端的真实用户信息、家庭基站信息,以及本地保存的,或从家庭基站的签约服务器获取的移动终端的准入控制信息对移动终端进行准入控制。
当通过家庭基站的签约服务器对移动终端进行准入控制时,控制单元112包括发送模块1121和接收模块1122,其中:
发送模块1121用于将所述移动终端的真实身份标识信息和所述家庭基站的标识信息发送到所述家庭基站的签约服务器,以使得所述家庭基站的签约服务器根据所述移动终端的真实身份标识信息,所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
接收模块1122用于接收所述家庭基站的签约服务器返回的准入控制结果。
在本实施方式中,该装置还可以包括:
第三获取单元115,用于根据第一获取单元111获取到的用户身份标识,或者家庭基站标识,或者封闭用户群组标识,从本地获取移动终端的准入控制信息,或者从网络侧保存移动终端的准入控制信息的服务器获取移动终端的准入控制信息。
图12为本发明实施例的第二个实施方式至第五个实施方式的组成框图,请参照图12,该装置包括:
第一获取单元121,用于获取移动终端的身份标识信息,以及家庭基站的标识信息;
控制单元122,用于根据所述移动终端的身份标识信息、所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
根据本实施例的第二个实施方式,该装置包含于与家庭基站相连的接入业务网网关,则第一获取单元121用于在移动终端请求接入家庭基站的过程中,从移动终端获取所述移动终端的真实身份标识信息,并从家庭基站获取所述家庭基站的标识信息。
根据本实施例的第三个实施方式,该装置包含于家庭基站和与家庭基站相连的接入业务网网关,当该装置包含于家庭基站时,第一获取单元121用于在移动终端请求接入家庭基站的过程中,从移动终端获取所述移动终端的真实身份标识信息,并从本地获取所述家庭基站的标识信息;当该装置包含于与家庭基站相连的接入业务网网关时,第一获取单元121用于在移动终端请求接入家庭基站的过程中,从家庭基站获取所述移动终端的真实用户标识信息和所述家庭基站的标识信息。
其中,对于本实施例的第二个实施方式和第三个实施方式,移动终端在确定其试图要接入的基站为家庭基站后,才会将移动终端的真实身份标识下发给家庭基站,或者与家庭基站相连的接入业务网网关,因此,对于该家庭基站,或者与家庭基站相连的接入业务网网关来说,无需判断其接收到的移动终端的身份标识是否是真实身份标识。
根据本实施例的第四个实施方式,该装置包含于移动终端的服务基站所在的接入业务网网关,则第一获取单元121用于在移动终端切换到家庭基站的过程中,从所述移动终端的服务基站获取所述移动终端的身份标识信息,以及家庭基站的标识信息。
根据本实施例的第五个实施方式,该装置包含于移动终端的目标家庭基站所在的接入业务网网关,则第一获取单元111用于在移动终端切换到目标家庭基站的过程中,从所述移动终端的服务基站所在的接入业务网网关获取所述移动终端的身份标识信息,以及家庭基站的标识信息。
其中,对于本实施例的第四个实施方式和第五个实施方式,由于是移动终端从服务基站切换到目标家庭基站,因此,无论是移动终端的服务基站所在的接入业务网网关,还是移动终端的目标家庭基站所在的接入业务网网关,在进行准入控制时,都不需要知道其获取到的移动终端的身份标识是否是真实身份标识。
在本实施方式中,该装置还可以包括:
第三获取单元125,用于根据第一获取单元121获取到的用户身份标识,或者家庭基站标识,或者封闭用户群组标识,从本地获取移动终端的准入控制信息,或者从网络侧保存移动终端的准入控制信息的服务器获取移动终端的准入控制信息。
本实施例的装置的各组成部分分别用于实现前述实施例的方法,由于在方法实施例中已经对各步骤进行了详细说明,故在此不再赘述。
通过本实施例的准入控制装置,根据获取到的移动终端的身份标识信息,家庭基站标识信息,以及移动终端的准入控制信息,对WiMAX协议下构建的Femtocell的系统中的移动终端进行准入控制,达到了只允许授权接入FAP的MS可以接入FAP,其它未授权接入的MS不能够接入FAP的效果。
实施例七
本发明实施例还提供一种移动终端,以下结合附图对本实施例进行详细说明。
图13为本发明实施例的移动终端的组成示意框图,请参照图13,该移动终端包括:
判断单元131,用于判断本移动终端试图接入的基站是否是家庭基站;
处理单元132,用于在判断单元131的判断结果为,本移动终端试图接入的基站为家庭基站时,将本移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关,由所述接入业务网网关根据所述移动终端的真实身份标识,从所述家庭基站获取的所述家庭基站的标识,以及获取的所述移动终端的准入控制信息,对所述移动终端进行准入控制。
根据本实施例的另外一种实施方式,处理单元132用于在判断单元13l的判断结果为,本移动终端试图接入的基站为家庭基站时,将本移动终端的真实身份标识发送给所述家庭基站,并由所述家庭基站将所述移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关,通过所述家庭基站和所述接入业务网网关,根据所述移动终端的真实身份标识,从家庭基站获取的家庭基站标识,以及获取的所述移动终端的准入控制信息,对所述移动终端进行准入控制。
通过本实施例的移动终端,根据试图接入的基站是否是家庭基站,决定是否将真实身份标识信息发送给家庭基站,以便接入业务网网关,或者家庭基站和接入业务网网关对该移动终端进行准入控制,达到了只允许授权接入FAP的MS可以接入FAP,其它未授权接入的MS不能够接入FAP的效果。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种准入控制方法,用于在全球微波互联接入网络中对移动终端进行准入控制,其特征在于,所述方法包括:
获取移动终端的身份标识信息以及家庭基站的标识信息;
根据所述移动终端的身份标识信息、所述家庭基站的标识信息、以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
2.根据权利要求1所述的方法,其特征在于,所述方法应用于移动终端请求接入家庭基站的过程中,所述获取移动终端的身份标识信息以及家庭基站的标识信息具体包括:
移动终端的签约服务器从与所述家庭基站相连的接入业务网网关接收所述移动终端的身份标识信息,以及所述家庭基站的标识信息。
3.根据权利要求2所述的方法,其特征在于:
如果所述移动终端的身份标识信息不是所述移动终端的真实身份信息,则对所述移动终端进行准入控制之前包括:
所述移动终端的签约服务器在所述移动终端进行扩展认证协议EAP鉴权过程中或EAP鉴权过程后,根据与所述移动终端交互的移动终端的信息,获取所述移动终端的真实身份标识。
4.根据权利要求3所述的方法,其特征在于,对所述移动终端进行准入控制包括:
所述移动终端的签约服务器根据所述移动终端的真实身份信息,所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制;或者
所述移动终端的签约服务器将所述移动终端的真实身份信息,以及所述家庭基站的标识信息发送到所述家庭基站的签约服务器,以使得所述家庭基站的签约服务器根据所述移动终端的真实身份信息,所述家庭基站的标识信息以及所述移动终端的准入控制信息对所述移动终端进行准入控制,并且,所述移动终端的签约服务器接收所述家庭基站的签约服务器返回的准入控制结果。
5.根据权利要求1所述的方法,其特征在于,所述方法应用于移动终端请求接入家庭基站的过程中,所述获取移动终端的身份标识信息,以及家庭基站的标识信息具体包括:
与所述家庭基站相连的接入业务网网关从所述移动终端获取移动终端的真实身份标识信息;
与所述家庭基站相连的接入业务网网关从所述家庭基站获取家庭基站的标识信息。
6.根据权利要求1所述的方法,其特征在于,所述方法应用于移动终端请求接入家庭基站的过程中,所述获取移动终端的身份标识信息,以及家庭基站的标识信息具体为:
所述家庭基站从移动终端获取移动终端的真实身份信息;
并从本地获取家庭基站的标识信息;
其中,对所述移动终端进行准入控制之后还包括:
所述家庭基站将从移动终端获取的移动终端的真实身份信息发送到与所述家庭基站相连的接入业务网网关,以使得所述接入业务网网关根据所述移动终端的真实身份信息,从所述家庭基站获取的家庭基站的标识信息,以及所述移动终端的准入控制信息,对所述移动终端进行准入控制。
7.根据权利要求1所述的方法,其特征在于,所述方法应用于移动终端从服务基站切换到家庭基站的过程中,所述获取移动终端的身份标识信息,以及家庭基站的标识信息具体包括:
所述服务基站所在的接入业务网网关从所述服务基站获取所述移动终端的身份标识信息,以及家庭基站的标识信息。
8.根据权利要求1所述的方法,其特征在于,所述方法应用于移动终端从服务基站切换到家庭基站的过程中,所述获取移动终端的身份标识信息,以及家庭基站的标识信息具体为:
所述家庭基站所在的接入业务网网关从所述服务基站所在的接入业务网网关获取所述移动终端的身份标识信息,以及家庭基站的标识信息。
9.根据权利要求1-8任一项所述的方法,其特征在于,对所述移动终端进行准入控制之前还包括:
从本地获取所述移动终端的准入控制信息;或者
从网络侧保存所述移动终端的准入控制信息的服务器获取所述移动终端的准入控制信息。
10.根据权利要求1-8任一项所述的方法,其特征在于:
所述家庭基站的标识用封闭用户群组的标识来表示;和/或
所述准入控制信息包括所述家庭基站允许接入的用户身份标识列表或所述移动终端可以接入的家庭基站列表。
11.一种准入控制装置,其特征在于,所述装置包括:
第一获取单元,用于获取移动终端的身份标识信息,以及家庭基站的标识信息;
控制单元,用于根据所述移动终端的身份标识信息、所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
12.根据权利要求11所述的装置,其特征在于,所述装置包含于所述移动终端的签约服务器,所述第一获取单元用于在移动终端请求接入家庭基站的过程中,从与所述家庭基站相连的接入业务网网关接收移动终端的身份标识信息,以及家庭基站的标识信息。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
判断单元,用于判断所述第一获取单元获取到的移动终端的身份标识信息是否为移动终端的真实身份标识;
第二获取单元,用于在所述判断单元的判断结果为所述第一获取单元获取到的移动终端的身份标识信息不是所述移动终端的真实身份标识时,在所述移动终端进行扩展认证协议EAP鉴权过程中或EAP鉴权过程后,根据与所述移动终端交互的移动终端的信息,获取所述移动终端的真实身份标识。
14.根据权利要求13所述的装置,其特征在于:
所述控制单元用于根据所述移动终端的真实身份信息,所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制;或者
所述控制单元包括:
发送模块,用于将所述移动终端的真实身份标识信息和所述家庭基站的标识信息发送到所述家庭基站的签约服务器,以使得所述家庭基站的签约服务器根据所述移动终端的真实身份标识信息,所述家庭基站的标识信息,以及所述移动终端的准入控制信息对所述移动终端进行准入控制;
接收模块,用于接收所述家庭基站的签约服务器返回的准入控制结果。
15.根据权利要求11所述的装置,其特征在于,所述装置包含于与家庭基站相连的接入业务网网关,其中:
所述第一获取单元用于在移动终端请求接入家庭基站的过程中,从移动终端获取所述移动终端的真实身份标识信息,并从家庭基站获取所述家庭基站的标识信息。
16.根据权利要求11所述的装置,其特征在于,所述装置包含于家庭基站和与家庭基站相连的接入业务网网关,其中:
当所述装置包含于家庭基站时,所述第一获取单元用于在移动终端请求接入家庭基站的过程中,从移动终端获取所述移动终端的真实身份标识信息,并从本地获取所述家庭基站的标识信息;
当所述装置包含于与家庭基站相连的接入业务网网关时,所述第一获取单元用于在移动终端请求接入家庭基站的过程中,从家庭基站获取所述移动终端的真实用户标识信息和所述家庭基站的标识信息。
17.根据权利要求11所述的装置,其特征在于,所述装置包含于移动终端的服务基站所在的接入业务网网关,其中:
所述第一获取单元用于在移动终端切换到家庭基站的过程中,从所述移动终端的服务基站获取所述移动终端的身份标识信息,以及家庭基站的标识信息。
18.根据权利要求11所述的装置,其特征在于,所述装置包含于移动终端的目标家庭基站所在的接入业务网网关,其中:
所述第一获取单元用于在移动终端切换到目标家庭基站的过程中,从所述移动终端的服务基站所在的接入业务网网关获取所述移动终端的身份标识信息,以及家庭基站的标识信息。
19.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第三获取单元,用于根据第一获取单元获取到的移动终端的身份标识信息或家庭基站的标识信息,从本地获取所述移动终端的准入控制信息,或者从网络侧保存所述移动终端的准入控制信息的服务器获取所述移动终端的准入控制信息。
20.一种移动终端,其特征在于,所述移动终端包括:
判断单元,用于判断本移动终端试图接入的基站是否是家庭基站;
处理单元,用于在所述判断单元的判断结果为,本移动终端试图接入的基站为家庭基站时,将本移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关,由所述接入业务网网关根据所述移动终端的真实身份标识,从所述家庭基站获取的所述家庭基站的标识,以及获取的所述移动终端的准入控制信息,对所述移动终端进行准入控制;或者
所述处理单元用于在所述判断单元的判断结果为,本移动终端试图接入的基站为家庭基站时,将本移动终端的真实身份标识发送给所述家庭基站,并由所述家庭基站将所述移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关,由所述家庭基站和所述接入业务网网关根据所述移动终端的真实身份标识,从家庭基站获取的家庭基站标识,以及获取的所述移动终端的准入控制信息,对所述移动终端进行准入控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101519575A CN101945390B (zh) | 2009-07-08 | 2009-07-08 | 一种准入控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101519575A CN101945390B (zh) | 2009-07-08 | 2009-07-08 | 一种准入控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101945390A true CN101945390A (zh) | 2011-01-12 |
| CN101945390B CN101945390B (zh) | 2013-12-04 |
Family
ID=43437084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101519575A Expired - Fee Related CN101945390B (zh) | 2009-07-08 | 2009-07-08 | 一种准入控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101945390B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255785A (zh) * | 2011-08-11 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpls中的网络隔离方法及其装置 |
| CN103475577A (zh) * | 2013-09-29 | 2013-12-25 | 小米科技有限责任公司 | 一种获得特征信息的方法、装置及网络设备 |
| CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
| US9510255B2 (en) | 2011-11-08 | 2016-11-29 | Huawei Technologies Co., Ltd. | Network handover method and apparatus |
| CN109302490A (zh) * | 2018-11-12 | 2019-02-01 | 林昌盛威(北京)科技有限公司 | 网络连接控制方法及系统、网关、云服务器 |
| US10554760B2 (en) | 2013-09-29 | 2020-02-04 | Xiaomi Inc. | Method and networking equipment for acquiring feature information |
| CN112087724A (zh) * | 2019-06-13 | 2020-12-15 | 华为技术有限公司 | 一种通信方法、网络设备、用户设备和接入网设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100450278C (zh) * | 2005-03-15 | 2009-01-07 | 华为技术有限公司 | 一种用户终端接入无线网络网关的方法 |
| CN1848994A (zh) * | 2005-04-11 | 2006-10-18 | 华为技术有限公司 | 一种实现微波接入全球互操作系统鉴权的方法 |
| CN101043755A (zh) * | 2007-04-16 | 2007-09-26 | 华为技术有限公司 | 移动通信系统中准入判断的方法、系统及装置 |
| CN101335984B (zh) * | 2007-06-25 | 2011-11-16 | 华为技术有限公司 | 家用微型基站接入控制方法及系统 |
| CN101437223B (zh) * | 2007-11-16 | 2011-11-02 | 华为技术有限公司 | 一种家庭基站接入的方法、系统和装置 |
-
2009
- 2009-07-08 CN CN2009101519575A patent/CN101945390B/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255785A (zh) * | 2011-08-11 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpls中的网络隔离方法及其装置 |
| CN102255785B (zh) * | 2011-08-11 | 2014-05-07 | 杭州华三通信技术有限公司 | 一种vpls中的网络隔离方法及其装置 |
| US9510255B2 (en) | 2011-11-08 | 2016-11-29 | Huawei Technologies Co., Ltd. | Network handover method and apparatus |
| CN103475577A (zh) * | 2013-09-29 | 2013-12-25 | 小米科技有限责任公司 | 一种获得特征信息的方法、装置及网络设备 |
| WO2015043199A1 (zh) * | 2013-09-29 | 2015-04-02 | 小米科技有限责任公司 | 一种获得特征信息的方法、装置及网络设备 |
| US10554760B2 (en) | 2013-09-29 | 2020-02-04 | Xiaomi Inc. | Method and networking equipment for acquiring feature information |
| CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
| CN109302490A (zh) * | 2018-11-12 | 2019-02-01 | 林昌盛威(北京)科技有限公司 | 网络连接控制方法及系统、网关、云服务器 |
| CN112087724A (zh) * | 2019-06-13 | 2020-12-15 | 华为技术有限公司 | 一种通信方法、网络设备、用户设备和接入网设备 |
| WO2020248624A1 (zh) * | 2019-06-13 | 2020-12-17 | 华为技术有限公司 | 一种通信方法、网络设备、用户设备和接入网设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101945390B (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230353379A1 (en) | Authentication Mechanism for 5G Technologies | |
| AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
| JP5216921B2 (ja) | ユーザ装置とアクセスポイントとの間の関連付けの作成のための方法および装置 | |
| US8385549B2 (en) | Fast authentication between heterogeneous wireless networks | |
| CN101945390B (zh) | 一种准入控制方法及装置 | |
| US20050135624A1 (en) | System and method for pre-authentication across wireless local area networks (WLANS) | |
| Mohanty | A new architecture for 3G and WLAN integration and inter-system handover management | |
| US20110167270A1 (en) | Secure key authentication method for communication network | |
| CN101867928A (zh) | 移动用户通过家庭基站接入核心网的认证方法 | |
| CN1859098A (zh) | 在无线接入系统中实现eap认证中继的方法 | |
| CN101730102B (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
| El Bouabidi et al. | Secure handoff protocol in 3GPP LTE networks | |
| WO2016155478A1 (zh) | 用户设备的认证方法和装置 | |
| US9473934B2 (en) | Wireless telecommunications network, and a method of authenticating a message | |
| Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
| CN101540993B (zh) | 一种邻区消息的下发方法及微波存取全球互通系统 | |
| Krichene et al. | Securing roaming and vertical handover in fourth generation networks | |
| CN101822083A (zh) | 认证方法、可信任环境单元及家庭基站 | |
| Lin et al. | Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks. | |
| Wu et al. | An authentication, authorization, and accounting mechanism for 3G/WLAN networks | |
| Lin et al. | Authentication schemes based on the EAP-SIM mechanism in GSM-WLAN heterogeneous mobile networks | |
| US20240305981A1 (en) | User equipment-to-network relay security for proximity based services | |
| Rajeswari | Enhanced fast iterative localized re-authentication protocol for UMTS-WLAN interworking | |
| CN101754216A (zh) | 一种毫微微基站对终端的准入控制的方法、装置与系统 | |
| KR101361198B1 (ko) | I-wlan에서 인증 서버 및 그의 접속 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131204 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |