CN101990207B - 接入控制方法、家用基站及家用基站授权服务器 - Google Patents
接入控制方法、家用基站及家用基站授权服务器 Download PDFInfo
- Publication number
- CN101990207B CN101990207B CN200910164049.XA CN200910164049A CN101990207B CN 101990207 B CN101990207 B CN 101990207B CN 200910164049 A CN200910164049 A CN 200910164049A CN 101990207 B CN101990207 B CN 101990207B
- Authority
- CN
- China
- Prior art keywords
- base station
- home
- terminal
- request message
- pseudo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种接入控制方法、家用基站及家用基站授权服务器,该方法包括:在家用基站对终端进行接入控制之前,家用基站接收到来自网络侧的终端的伪用户标识信息;家用基站向网络侧发送用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;家用基站接收来自网络侧响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息;家用基站根据真实用户标识信息对终端进行接入控制。通过本发明,在接入控制的过程中保证了用户的信息安全性和保密性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种接入控制方法、家用基站及家用基站授权服务器。
背景技术
为了给用户提供更高的业务速率并降低使用高速率服务所需要的费用,同时,为了弥补已有分布式蜂窝无线通信系统覆盖的不足,通常会在家庭、办公区域等场所设置家用基站。家用基站是一种小型、低功率的基站,具有实惠、便捷、低功率输出等优点。
图1是根据相关技术的包括家用基站的通信网络的示意图,如图1所示,终端可以通过基站或家用基站接入网络,家用基站可以通过接入网关这个逻辑网元接入到核心网,家庭基站和接入网关之间可以存在一个安全网关。安全网关可以与接入网关合并设置也可以与接入网关单独设置,其中。安全网关的主要作用是保障家用基站和接入网关、用户数据服务器之间的链路安全。
接入网关的主要功能包括:验证家用基站的安全性、处理家用基站的注册、对家用基站进行运行维护管理、根据运营商的要求对家用基站进行配置和控制、在核心网和家用基站之间进行数据交换。
鉴权授权计费(Authentication\Authorization\Accounting,简称为AAA)服务器用于实现网络运营商对数据、用户的控制和管理,提供认证授权及账户服务,通常与网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。
锚点鉴权器(Anchor Authenticator,简称为AA)的主要功能是在终端入网时向终端提供接入鉴权服务。在终端入网以后、退网之前,负责管理和维护终端的上下文信息。通常锚点鉴权器可以放置在接入网关中。锚点接入网关的作用是驻留锚点数据通道功能,来自或者发往终端的数据都需要通过该锚点接入网关。
家用基站系统中存在闭合用户组(Closed Subscriber Group,简称为CSG)的概念,允许用户访问一个或多个访问受限的CSG Cell(基站)。家用基站的工作模式可分为闭合模式、混合模式和开放模式。下面对这三种模式进行详细的介绍。
(1)当家用基站的工作模式是闭合模式时,只有该家用基站所属CSG的用户才可以接入或切换到该家用基站并享受该家用基站提供的业务。
(2)当家用基站的工作模式是开放模式时,任何用户都可以接入或切换到该家用基站,此时的家用基站等同于宏基站使用。
(3)当家用基站的工作模式是混合模式时,同时允许CSG用户和非CSG用户接入或者切换到该家用基站,不过会根据用户是否属于CSG成员来区分不同的用户类型、实现差异化的服务质量处理,也就是说CSG用户在使用混合模式家用基站的时候具有更高的业务优先级,拥有更好的服务质量和业务类别。
家用基站需要使用终端用户的真实身份来判断该终端用户是否是自己的CSG成员。
用户数据服务器用于存储家用基站的签约信息,例如,家用基站允许接入的用户,即,CSG相关信息(其中,包含CSG成员信息)等。
家用基站的CSG成员信息一般存放在家用基站本地以及网络侧的用户数据服务器中,且这两处保存的数据是同步的,即,无论是在家用基站本地,还是在用户数据服务器上修改了家用基站的CSG成员信息,都需要在两者之间执行同步操作。
当终端通过家用基站进行网络接入,或者从当前为其提供服务的基站(服务基站)切换到家用基站(目标基站)时,处于闭合模式的家用基站会利用CSG成员信息对终端用户进行接入或切换控制,若终端用户不是其CSG成员用户,闭合模式家用基站将拒绝该终端用户接入网络或者拒绝该终端用户切换;处于混合模式的家用基站根据CSG成员信息进行用户类别(例如,CSG用户、非CSG用户)的区分,以便于实施差异化计费、服务质量授权等操作,如果终端用户不是其CSG成员用户,家用基站将只会对其提供低优先级服务。
家用基站根据终端发送的用户标识检查该用户是否属于CSG列表,图2是根据相关技术中的终端接入家用基站的流程图,如图2所示,该流程包括如下步骤201至步骤206:
步骤201,终端请求协商认证能力,即,鉴权能力协商,例如,用户的认证策略等,并与基站、接入网关完成能力协商工作。
步骤202,接入网关(该接入网关可以是家用基站网关中的锚点鉴权器)向家用基站发送用户标识请求,家用基站将该请求转发给终端。
步骤203,终端在接收到来自家用基站的用户标识请求消息后,终端向家用基站回复响应消息,其中,该响应消息中携带有用户标识信息,例如,网络接入标识(Network Access Identifier,简称为NAI)、国际移动客户识别码(International Mobile SubscriberIdentification Number,简称为IMSI)、介质访问控制标识(MediaAccess Control ID,简称为MAC ID)。
步骤204,家用基站根据该用户标识信息对用户进行接入控制。其中,闭合模式家用基站检查该用户是否存在于CSG列表中,如果存在,则允许用户接入,继续步骤205;否则拒绝用户接入,可以发起用户释放流程;混合模式家用基站检查该用户是否存在于CSG列表中,如果存在,则在后续流程中告知接入网关该用户为CSG用户,如果不存在,则在后续流程中告知接入网关该用户为非CSG用户。
步骤205,家用基站向接入网关返回用户标识。
需要说明的是,步骤205与步骤204不分先后顺序,可以并列发生。
步骤206,执行用户鉴权流程。鉴权授权服务器完成对用户合法性的审核,并授权用户进行业务。
在步骤206之后,继续执行用户接入相关的其他流程。
在上述流程中,家用基站根据终端携带的用户标识检查该用户是否属于CSG列表(步骤204),但是,在步骤203终端回复的响应中,鉴于安全考虑,终端可能将用户真实标识进行认证协议封装,例如,使用扩展认证协议(Extensible Authentication Protocol,简称为EAP)进行封装,此时,家用基站需要解析认证封装协议,导致基站节点运作负担增加、效率降低;在终端对真实身份标识进行加密传送的情况下,家用基站更是无从解析并获取用户标识信息;即便终端通过明文传送用户标识,不经认证消息封装,则该用户标识未经过鉴权授权服务器的验证,从而无法保证该用户标识的正确性,存在无线通信系统安全隐患。
发明内容
针对相关技术的在接入控制过程中,家用基站根据用户的标识检查该用户是否属于CSG列表的过程中产生的安全隐患以及增加基站负担、降低基站效率的问题而提出本发明,为此,本发明的主要目的在于提供一种接入控制方案,以解决上述问题至少之一。
为了实现上述目的,根据本发明的一个方面,提供了一种接入控制方法。
根据本发明的接入控制方法包括:在家用基站对终端进行接入控制之前,家用基站接收到来自网络侧的终端的伪用户标识信息;家用基站向网络侧发送用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;家用基站接收来自网络侧响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息;家用基站根据真实用户标识信息对终端进行接入控制。
优选地,家用基站向网络侧发送请求消息,并接收来自网络侧的响应消息包括:家用基站向家用基站授权服务器发送请求消息,并接收来自上述家用基站授权服务器的响应消息。
优选地,在家用基站向家用基站授权服务器发送请求消息之后,上述方法还包括:家用基站授权服务器接收请求消息,并根据请求消息判断本地是否存在终端的真实用户标识信息;如果判断结果为是,则家用基站授权服务器向家用基站发送响应消息;如果判断结果为否,则通过终端鉴权授权服务器获取终端的真实用户标识信息,并向家用基站发送响应消息。
优选地,在家用基站接收到来自网络侧的终端的伪用户标识信息之前,上述方法还包括:终端与终端鉴权授权服务器进行鉴权,并在鉴权成功之后经由锚点鉴权器向家用基站发送用于指示鉴权成功的消息,其中,用于指示鉴权成功的消息中携带有终端的伪用户标识信息。
优选地,终端与终端鉴权授权服务器进行鉴权包括:终端鉴权授权服务器根据终端的伪用户标识从终端获取真实用户标识。
优选地,在终端发起切换,并且家用基站为切换的候选目标的情况下,上述方法还包括:在家用基站接收到来自网络侧的终端的伪用户标识信息之前,家用基站向锚点鉴权器发送用于请求终端的上下文信息的请求消息;锚点鉴权器向家用基站发送响应于上下文信息的请求消息的第二响应消息,其中,第二响应消息中携带有终端的伪用户标识信息。
优选地,在锚点鉴权器向家用基站发送响应于上下文信息的请求消息的第二响应消息之前,上述方法还包括:锚点鉴权器获取终端的伪用户标识信息。
优选地,在终端发起切换,并且家用基站为切换的候选目标的情况下,家用基站接收到来自网络侧的终端的伪用户标识信息包括:家用基站接收来自终端的服务基站的准备切换请求,其中,准备切换请求中携带有终端的伪用户标识信息。
为了实现上述目的,根据本发明的另一方面,提供了一种家用基站。
根据本发明的家用基站包括:第一接收模块,用于在家用基站对终端进行接入控制之前,接收到来自网络侧的终端的伪用户标识信息;第一发送模块,用于向网络侧发送用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;第二接收模块,用于接收来自网络侧响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息;接入控制模块,用于根据真实用户标识信息对终端进行接入控制。
为了实现上述目的,根据本发明的再一方面,提供了一种家用基站授权服务器。
根据本发明的家用基站授权服务器包括:第三接收模块,用于家用基站授权服务器接收来自家用基站的用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;判断模块,用于根据请求消息判断本地是否存在终端的真实用户标识信息;获取模块,用于在判断结果为否的情况下,通过终端鉴权授权服务器获取终端的真实用户标识信息;第二发送模块,用于向家用基站发送响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息。
通过本发明,采用在家用基站对终端进行接入控制之前,通过终端的伪用户标识信息获取该终端的真实用户标识信息,并根据该真实用户标识信息对该终端进行接入控制,解决了相关技术的在接入控制过程中,家用基站根据用户的标识检查该用户是否属于CSG列表的过程中产生安全隐患的问题,进而在接入控制过程中保证了用户的信息安全性和保密性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的包括家用基站的通信网络的示意图;
图2是根据相关技术中的终端接入家用基站的流程图;
图3是根据本发明实施例的接入控制方法的流程图;
图4是根据本发明实施例的实例一的终端接入移动通信网络的流程图;
图5是根据本发明实施例的实例二的家用基站支持终端切换的流程图;
图6是根据本发明实施例的实例三的家用基站支持终端切换的流程图;
图7是根据本发明实施例的家用基站的结构框图;
图8是根据本发明实施例的家用基站授权服务器的结构框图。
具体实施方式
功能概述
考虑到相关技术的在接入控制过程中,家用基站根据用户的标识检查该用户是否属于CSG列表的过程中产生的安全隐患以及增加基站负担、降低基站效率的问题,本发明实施例提供了一种接入控制方案,在该方案中,在上述步骤203终端回复的响应中,终端用户给家用基站回复终端用户的伪标识。该用户的伪标识由两部分构成:一部分是由用户的真实标识经过一定的变换后得到的用户的假名,一部分是用户所属的域的域名信息。伪标识的格式为:伪用户名域名,在终端用户一次入网到退网之间使用同一个伪用户名;而每次入网都会使用一个不同的经过随机变化的伪用户名;但是域名部分始终是真实的。但是,由于在步骤204,家用基站需要使用真实的用户标识信息对用户进行接入控制,因此,该方案根据如下原则对此进行处理:在家用基站对终端进行接入控制之前,家用基站接收到来自网络侧的终端的伪用户标识信息;家用基站向网络侧发送用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;家用基站接收来自网络侧响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息;家用基站根据真实用户标识信息对终端进行接入控制。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
在以下实施例中,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
方法实施例
根据本发明的实施例,提供了一种接入控制方法,图3是根据本发明实施例的接入控制方法的流程图,如图3所示,该流程包括如下的步骤S302至步骤S308:
步骤S302,在家用基站对终端进行接入控制之前,家用基站接收到来自网络侧的终端的伪用户标识信息。该步骤也可以是:在终端接入鉴权成功之后,网络实体侧向所述家用基站返回终端的用户的伪标识信息。
步骤S304,家用基站向网络侧发送用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息。优选地,如果所述家用基站工作在闭合或混合CSG模式则主动向网络实体侧发送移动终端的真实用户标识请求消息,在该消息中带有其接收到的该移动终端的伪标识信息。
步骤S306,家用基站接收来自网络侧响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息。该步骤具体包括:网络侧根据接收到的伪标识信息获得该终端的真实标识信息(即,真实用户标识信息),在真实用户标识请求响应消息中向家用基站发送真实的用户标识信息。
步骤S308,家用基站根据真实用户标识信息对终端进行接入控制。
其中,步骤S304和步骤S306中的网络侧可以包括家用基站授权服务器,即,家用基站向家用基站授权服务器发送请求消息,并接收来自上述家用基站授权服务器的响应消息。
优选地,在上述步骤中真实用户标识信息可以包括以下之一:网络接入标识(Network Access Identifier,简称为NAI)、国际移动用户识别码(International Mobie Subscriber Identity,简称为IMSI)、媒体接入控制(Media Access Control,ID,简称为MAC ID)或用户电话号码;用户的伪标识信息可以由用户真实标识的假名和用户所属的域名联合组成。
在家用基站向家用基站授权服务器发送请求消息之后,家用基站授权服务器接收请求消息,并根据请求消息判断本地是否存在终端的真实用户标识信息;如果判断结果为是,则家用基站授权服务器向家用基站发送响应消息;如果判断结果为否,则通过终端鉴权授权服务器获取终端的真实用户标识信息,并向家用基站发送响应消息。在步骤S102之前,终端与终端鉴权授权服务器进行鉴权,并在鉴权成功之后经由锚点鉴权器向家用基站发送用于指示鉴权成功的消息,其中,用于指示鉴权成功的消息中携带有终端的伪用户标识信息。在终端与终端鉴权授权服务器进行鉴权过程中终端鉴权授权服务器根据终端的伪用户标识从终端获取真实用户标识。
下面对此家用基站判断、获取真实用户标识信息的过程进行进一步说明:上述的网络侧可以包括移动终端鉴权授权服务器和家庭基站鉴权授权服务器,用户真实标识信息可以存储在终端鉴权授权服务器中的。在用户终端接入鉴权的时候,终端鉴权授权服务器根据终端提供的终端用户的伪标识信息取得该用户的真实标识信息,并且建立起这两种标识的对应关系。而家用基站发送的真实用户标识请求消息是发送给家庭基站鉴权授权服务器。家庭基站鉴权授权服务器把真实用户标识请求消息中带有的终端用户的伪标识信息转发给移动终端鉴权授权服务器,移动终端鉴权授权服务器根据之前流程中建立起的用户伪标识信息和真实标识信息的对应关系,取得用户的真实标识,返回给家庭基站鉴权授权服务器,在真实用户标识请求响应消息中返回用户的真实标识给家庭基站。
优选地,上述家用基站判断、获取真实用户标识信息的过程中,网络侧实体还可以包括家庭基站接入网关,在移动终端接入鉴权成功后移动终端鉴权授权服务器给家庭基站接入网关返回终端鉴权成功的消息,在该消息中带有该移动终端的伪标识。家庭基站接入网关将该移动终端的伪标识下发给对应的家用基站,家用基站通过该伪标识从网络侧实体获取用户的真实标识。用户的真实标识在下发的时候不需要经过家庭基站接入网关,从而保证了用户的信息安全性和保密性。
本实施例也可以应用于终端从宏基站切换接入或者从别的家庭基站切换接入某个家庭基站的场景,下面对此进行介绍。
在终端发起切换,并且家用基站为切换的候选目标的情况下,在家用基站接收到来自网络侧的终端的伪用户标识信息之前,家用基站向锚点鉴权器发送用于请求终端的上下文信息的请求消息;锚点鉴权器向家用基站发送响应于上下文信息的请求消息的第二响应消息,其中,第二响应消息中携带有终端的伪用户标识信息。在锚点鉴权器向家用基站发送响应于上下文信息的请求消息的第二响应消息之前,锚点鉴权器获取终端的伪用户标识信息。
家用基站还可以接收来自终端的服务基站的准备切换请求,其中,在准备切换请求中携带有终端的伪用户标识信息。
综上所述,本实施例的处理原则是在终端用户接入鉴权成功后,网络侧实体把用户的终端伪标识下发给家用基站。如果当前的家用基站工作在闭合或混合CSG模式,则家用基站主动通过该终端伪标识主动向网络侧实体请求用户终端的真实标识。取得真实标识后,家用基站根据真实标识进行CSG接入控制。下面将结合实例对本发明实施例的实现过程进行详细描述。
实例一
在本实例中,终端在通过基站(包括普通宏基站和家用基站)执行初始入网时,终端用户的认证授权计费(Authentication、Authorization and Accounting,简称为AAA)服务器(也称为鉴权授权服务器)在终端用户接入鉴权时,向该终端的锚点鉴权器返回用户的伪标识,锚点鉴权器把该终端的伪标识下发给家用基站;家用基站根据该伪标识向网络侧申请用户的真实标识来进行接入控制。图4是本发明实施例的实例一的终端接入移动通信网络的流程图;如图4所示,该流程包括如下步骤401至步骤409:
步骤401:终端与家用基站之间完成空口参数同步及测距。
步骤402:终端与网络之间完成初始接入鉴权,该步骤包括如下子步骤:
子步骤4021,在终端完成与网络之间的能力协商之后,接入网关通过向基站向该终端发送用户标识请求。
子步骤4022,终端通过基站向接入网关发送用户标识响应,返回其伪用户标识(Pseudo-NAI)。
子步骤4023,接入网关中的锚点鉴权器使用伪用户标识中包含的路由信息,将上述用户标识响应发送到移动终端AAA服务器,以启动EAP鉴权流程。
子步骤4024,移动终端AAA服务器根据终端用户的伪标识,使用移动终端AAA服务器与终端预先制定的鉴权方法,发起对终端的鉴权流程。在鉴权流程中,移动终端AAA服务器可以以安全的方式获得终端用户的真实用户标识。
子步骤4025,终端用户通过鉴权认证后,移动终端AAA服务器把鉴权成功的消息返回给接入网关中的锚点鉴权器,其中,携带有终端的伪用户标识。
子步骤4026,锚点鉴权器把EAP鉴权成功的消息通过家用基站的发送给移动终端,家用基站并不解析该EAP消息。
步骤403:接入网关中的锚点鉴权器给家用基站发送密钥改变指示消息,用于通知家用基站用户终端鉴权成功。在该消息中带有AK参数信息,其中,该消息中携带有终端的伪用户标识信息,以使家用基站获得该终端的伪用户标识。
步骤404:家用基站接收到用户接入鉴权成功的消息后,如果发现当前工作在闭合或混合CSG模式,则向对应的家用基站AAA服务器发送用户真实标识请求消息,其中,携带带有终端的伪用户标识,以取得用户的真实标识,从而进行CSG接入控制。
步骤405:家用基站AAA服务器(也称为家用基站授权服务器)从用户真实标识请求消息中取得用户的伪标识,根据伪标识中的信息找到该用户对应的移动终端AAA服务器,把用户的伪标识发送给对应的移动终端AAA服务器;移动终端AAA服务器根据用户的伪标识找出用户的真实用户标识,并将真实用户标识发送给对应的家用基站AAA服务器。
步骤406:家用基站AAA服务器发送用户真实标识请求响应消息给对应的家用基站,其中,该响应消息中携带有用户的真实标识。
步骤407:家用基站根据用户的真实标识对终端用户进行CSG接入控制。
步骤408:基站进一步将上述的鉴权成功消息发送给终端。
步骤409:继续执行用户接入相关的其他流程。
在本实例描述的终端通过基站(普通宏基站,或者家用基站)执行初始入网的过程中,家用基站从家用基站的AAA服务器获得了该终端用户的真实用户标识,来进行CSG接入控制;保存在锚点鉴权器中该用户的伪标识信息支持实现后续的终端切换的方法。
实例二
本实例中,作为候选目标基站的家用基站在切换准备阶段中,接收到准备切换请求以后,该家用基站从终端的锚点鉴权器获取与该终端用户的伪用户标识信息,然后,使用该伪用户标识信息,从家用基站的AAA服务器取得用户的真实标识信息,并通过该真实标识信息对用户进行切换控制。图5是本发明实施例的实例二的家用基站支持终端切换的流程图,如图5所示,该流程包括如下步骤501至步骤510:
步骤501:终端已经接入了移动通信网络中,并准备执行切换操作;在切换准备阶段,终端向当前为其服务的服务基站发起移动请求,请求中携带一组终端认为合适的候选目标基站。其中,终端可以通过测量周边的无线信号强度以及质量等方式来确定上述的一组候选目标基站。这组候选目标基站中可以同时包含一个或者多个普通宏基站和家用基站。
步骤502:服务基站向每个候选目标基站都发送一个准备切换请求,该请求中携带有终端的锚点鉴权器的标识。如果服务基站无法直接将准备切换请求发送到候选目标基站,则该服务基站可以将该准备切换请求发送到一个中继接入网关上,再由该中继接入网关将准备切换请求转发到候选目标基站上。其中,候选目标基站可以是家用基站,在以下步骤中以候选目标基站为家用基站进行说明。
步骤503:作为候选目标基站的家用基站在接收到准备切换请求以后,向锚点鉴权器发送上下文信息请求消息,用以向终端的锚点鉴权器请求该终端上下文信息,该消息携带该家用基站的标识,该标识可以为基站标识(Base Station ID,简称为BSID),以及该终端的标识,例如,该标识为终端标识(Mobile Station ID,简称为MSID),也可以为终端的MAC地址等。
步骤504:锚点鉴权器根据上下文信息请求消息中携带的终端标识、家用基站标识等信息取得所需的上下文信息,例如,该终端与该家用基站相关的AK上下文。此外,锚点鉴权器还需要取得所述的与该终端用户对应的伪用户标识。然后,锚点鉴权器向该家用基站发送上下文信息响应消息;通过该响应消息,锚点鉴权器向该家用基站返回上述取得的所述伪用户标识,以及上述AK上下文等与终端相关的上下文信息。
步骤505:家用基站在接收到上下文信息响应消息以后,根据当前的工作状态进行不同的处理。如果发现当前工作在闭合或混合CSG模式,则向对应的家用基站AAA服务器发送用户真实标识请求消息,其中,该请求消息中携带有终端的伪用户标识,以取得用户的真实标识,否则直接跳到步骤509。
步骤506:家用基站AAA服务器接收到用户真实标识请求消息后,如果当前家用基站AAA服务器没有该用户的真实标识,则通过用户伪标识中的域名找到该用户对应的终端AAA服务器,通过跟终端AAA服务器的交互取得用户的真实标识。
步骤507:家用基站AAA服务器取得到用户真实标识后,在用户真实标识响应消息中把真实标识带给家用基站。
步骤508:家用基站根据接收到的用户真实标识,对终端用户进行CSG切换控制。该家用基站使用CSG信息判断该终端用户是不是自己的CSG成员;如果该终端用户是自己的CSG成员,则家用基站为该终端预留较高优先级的资源;反之,家用基站为该终端预留较低优先级的资源,或者拒绝该终端的切换请求。
步骤509:可选地,家用基站可在自己与终端的锚点接入网关之间为该终端预注册数据通道。
步骤510:家用基站向服务基站返回准备切换请求响应消息,其中,该响应消息用于指示该家用基站是否接受终端的切换请求。
在准备切换阶段,作为候选目标基站的家用基站是否接受终端的切换请求取决于多个前提条件,例如,当前家用基站是否有足够的资源;取回的AK上下文信息是否有效;以及终端用户是否是自己的CSG成员等。取决于实际的运营策略,例如,只有同时满足这些前提条件,家用基站才会接受终端的切换请求。
其中,如果家用基站拒绝终端的切换请求是与该终端用户的CSG信息相关的(例如,该终端用户不是该家用基站的CSG成员),则上述的准备切换请求响应消息中应携带一个指示,能够提示服务基站(或者该终端)该拒绝原因。
步骤511,服务基站向终端返回移动请求响应,其中,包含一个或者多个接受该终端切换请求的潜在目标基站。
由于服务基站向多个候选目标基站发送了准备切换请求,此时服务基站会收到多条准备切换请求响应消息,这些消息来自不同的候选目标基站(包括普通宏基站和家用基站)。上述的潜在目标基站不包含那些拒绝了该终端切换请求的候选目标基站。
步骤512:服务基站向候选目标基站发送准备切换确认消息。
通过本实例实现了在切换准备阶段,作为候选目标基站的家用基站能够根据终端用户的CSG信息进行切换控制的功能。在切换执行阶段,终端可以挑选一个上述的潜在目标基站,执行切换操作。
实例三
本实例中,服务基站在切换准备阶段向候选目标基站发送准备切换请求消息之前,首先向候选目标基站发送该请求切换终端用户的伪标识;然后候选目标基站根据当前的工作状态使用取得的切换终端用户的伪标识发送用户真实标识请求消息给对应的家用基站AAA服务器;最后再由作为候选目标基站的家用基站使用该取得的用户真实标识,以及对应的CSG信息对该终端进行切换控制。图6是本发明实施例的实例三的家用基站支持终端切换的流程图,如图6所示,该流程包括如下步骤601至612:
步骤601:同步骤501,在此不再赘述。
步骤602:服务基站向每个候选目标基站都发送一个准备切换请求,该请求中携带终端的锚点鉴权器的标识和终端的伪用户标识,如果服务基站无法直接将终端用户的伪标识发送到候选目标基站,则服务基站可以将该准备切换请求先发送到一个中继接入网关上,再由该中继接入网关将准备切换请求转发到候选目标基站上。
步骤603:候选目标基站接收到用户的伪标识后,根据当前的工作状态进行不同的处理。如果发现当前工作在闭合或混合CSG模式,则向对应的家用基站AAA服务器发送用户真实标识请求消息(其中,携带有终端的伪用户标识),以取得用户的真实标识,否则直接进行后续的步骤。
步骤604至步骤606:同步骤506至步骤508,在此不再赘述。
步骤607:候选目标基站的家用基站向锚点鉴权器发送上下文信息请求消息,用以向终端的锚点鉴权器请求该终端上下文信息;该消息携带该家用基站的标识(例如,BSID),以及该终端的标识(例如如,MSID,MAC地址等)。
步骤608:锚点鉴权器根据上下文信息请求消息中携带的终端标识、家用基站标识等信息取得所需的上下文信息,例如,该终端与该家用基站相关的AK上下文,锚点鉴权器向该家用基站发送上下文信息响应消息;使用该消息,锚点鉴权器向该家用基站返回上述AK上下文等与终端相关的上下文信息。由于伪终端标识在准备切换请求中已经带给侯选家用基站,在这步中不需要再带给侯选家用基站。
优选地,步骤603到步骤608可并行操作。
步骤609至步骤612:同步骤509至步骤512,在此不再赘述。
通过本实例实现了在切换准备阶段,作为候选目标基站的家用基站能够根据终端用户的CSG信息进行切换控制的功能。在切换执行阶段,终端可以挑选一个上述的潜在目标基站,执行切换操作。
当终端选择的潜在目标基站是家用基站时,通过本实例,可以减少在切换准备阶段目标侯选基站跟锚点鉴权器之间的上下文交互,提高了切换效率。
上述实例一至实例三还可以有多种变换方式,例如:
1)可以用服务ASN来代替服务基站;用目标ASN来代替目标基站。其中,服务ASN中包括服务基站,还可以包括服务接入网关;目标ASN中包括目标基站,还可以包括目标接入网关。
2)家庭基站的AAA服务器能够根据用户的伪标识中的域名信息找出其所属的终端AAA服务器,从而获得终端的真实用户标识。在终端AAA服务器上,能够根据该用户标识伪标识取得对应的真实标识。有上述特征可知,所述终端用户的真实用户标识与所述用户标识代号是一一对应的。
3)在切换准备阶段,如果源基站掌握了终端用户的真实用户标识,且基于运营商的策略允许,源基站可以直接将真实用户标识传递给目标家用基站。
4)本实施例也适用于网络发起的切换流程,以实例二为例(图5),从步骤502开始执行,并且,在步骤502中的准备切换请求发出之前,由服务基站根据诸如自身基站负荷等原因,决定将接受其服务的一个或者多个终端切换到周边其他基站上。此时,切换的目标基站由服务基站决定。
同样,对实例三(图6)也可以做同样的变形,原理相同,在此不再赘述。
5)本实施例也适用于其他场景,例如,终端在空闲模式下通过家用基站执行位置更新、终端在家用基站下退出空闲模式,以及不受控的切换场景。
装置实施例
根据本发明的实施例,提供了一种家用基站,图7是根据本发明实施例的家用基站的结构框图,如图7所示,该家用基站包括:第一接收模块72、第一发送模块74、第二接收模块76、接入控制模块78,下面对该结构进行详细的描述。
第一接收模块72,用于在家用基站对终端进行接入控制之前,接收到来自网络侧的终端的伪用户标识信息;第一发送模块74连接至第一接收模块72,用于向网络侧发送用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;第二接收模块76连接至第一发送模块74,用于接收来自网络侧响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息;接入控制模块78连接至第二接收模块76,用于根据真实用户标识信息对终端进行接入控制。
其中,上述网络侧可以包括家用基站授权服务器,即,家用基站向家用基站授权服务器发送请求消息,并接收来自上述家用基站授权服务器的响应消息。
优选地,在上述步骤中真实用户标识信息可以包括以下之一:网络接入标识NAI、国际移动客户识别码IMSI、介质访问控制标识MAC ID或用户电话号码;用户的伪标识信息可以由用户真实标识的假名和用户所属的域名联合组成。
根据本发明的实施例,还提供了一种家用基站授权服务器,图8是根据本发明实施例的家用基站授权服务器的结构框图,如图8所示,该家用基站授权服务器包括:第三接收模块82、判断模块84、获取模块86、第二发送模块88,下面对该结构进行详细的描述。
第三接收模块82,用于家用基站授权服务器接收来自家用基站的用于请求终端的真实用户标识信息的请求消息,其中,请求消息中携带有终端的伪用户标识信息;判断模块84连接至第三接收模块82,用于根据请求消息判断本地是否存在终端的真实用户标识信息;获取模块86连接至判断模块84,用于在判断结果为否的情况下,通过终端鉴权授权服务器获取终端的真实用户标识信息;第二发送模块88连接至获取模块86,用于向家用基站发送响应于请求消息的响应消息,其中,响应消息中携带真实用户标识信息。优选地,如果该家用基站授权服务器包括该终端的真实用户标识信息,则第二发送模块88直接向家用基站发送上述响应消息。
综上所述,通过上述实施例解决了相关技术的在接入控制过程中,家用基站根据用户的标识检查该用户是否属于CSG列表的过程中产生安全隐患的问题,进而在接入控制过程中保证了用户的信息安全性和保密性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种接入控制方法,其特征在于,包括:
在家用基站对终端进行接入控制之前,所述家用基站接收到来自网络侧的所述终端的伪用户标识信息;
所述家用基站向网络侧发送用于请求所述终端的真实用户标识信息的请求消息,其中,所述请求消息中携带有所述终端的伪用户标识信息;
所述家用基站接收来自所述网络侧响应于所述请求消息的响应消息,其中,所述响应消息中携带所述真实用户标识信息;
所述家用基站根据所述真实用户标识信息对所述终端进行接入控制。
2.根据权利要求1所述的方法,其特征在于,所述家用基站向网络侧发送所述请求消息,并接收来自所述网络侧的所述响应消息包括:
所述家用基站向家用基站授权服务器发送所述请求消息,并接收来自上述家用基站授权服务器的所述响应消息。
3.根据权利要求2所述的方法,其特征在于,在所述家用基站向所述家用基站授权服务器发送所述请求消息之后,所述方法还包括:
所述家用基站授权服务器接收所述请求消息,并根据所述请求消息判断本地是否存在所述终端的真实用户标识信息;
如果判断结果为是,则所述家用基站授权服务器向所述家用基站发送所述响应消息;
如果所述判断结果为否,则通过终端鉴权授权服务器获取所述终端的真实用户标识信息,并向所述家用基站发送所述响应消息。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在所述家用基站接收到来自所述网络侧的所述终端的伪用户标识信息之前,所述方法还包括:
所述终端与终端鉴权授权服务器进行鉴权,并在鉴权成功之后经由锚点鉴权器向所述家用基站发送用于指示鉴权成功的消息,其中,所述用于指示鉴权成功的消息中携带有所述终端的伪用户标识信息。
5.根据权利要求4所述的方法,其特征在于,所述终端与所述终端鉴权授权服务器进行鉴权包括:
所述终端鉴权授权服务器根据所述终端的伪用户标识从所述终端获取所述真实用户标识。
6.根据权利要求1至3中任一项所述的方法,其特征在于,在所述终端发起切换,并且所述家用基站为切换的候选目标的情况下,所述方法还包括:
在所述家用基站接收到来自所述网络侧的所述终端的伪用户标识信息之前,所述家用基站向锚点鉴权器发送用于请求所述终端的上下文信息的请求消息;
所述锚点鉴权器向所述家用基站发送响应于所述上下文信息的请求消息的第二响应消息,其中,所述第二响应消息中携带有所述终端的伪用户标识信息。
7.根据权利要求6所述的方法,其特征在于,在所述锚点鉴权器向所述家用基站发送响应于所述上下文信息的请求消息的第二响应消息之前,所述方法还包括:
所述锚点鉴权器获取所述终端的伪用户标识信息。
8.根据权利要求1至3中任一项所述的方法,其特征在于,在所述终端发起切换,并且所述家用基站为切换的候选目标的情况下,所述家用基站接收到来自所述网络侧的所述终端的伪用户标识信息包括:
所述家用基站接收来自所述终端的服务基站的准备切换请求,其中,所述准备切换请求中携带有所述终端的伪用户标识信息。
9.一种家用基站,其特征在于,包括:
第一接收模块,用于在家用基站对终端进行接入控制之前,接收到来自网络侧的所述终端的伪用户标识信息;
第一发送模块,用于向网络侧发送用于请求所述终端的真实用户标识信息的请求消息,其中,所述请求消息中携带有所述终端的伪用户标识信息;
第二接收模块,用于接收来自所述网络侧响应于所述请求消息的响应消息,其中,所述响应消息中携带所述真实用户标识信息;
接入控制模块,用于根据所述真实用户标识信息对所述终端进行接入控制。
10.一种家用基站授权服务器,其特征在于,包括:
第三接收模块,用于所述家用基站授权服务器接收来自家用基站的用于请求终端的真实用户标识信息的请求消息,其中,所述请求消息中携带有所述终端的伪用户标识信息;
判断模块,用于根据所述请求消息判断本地是否存在所述终端的真实用户标识信息;
获取模块,用于在所述判断结果为否的情况下,通过终端鉴权授权服务器获取所述终端的真实用户标识信息;
第二发送模块,用于向所述家用基站发送响应于所述请求消息的响应消息,其中,所述响应消息中携带所述真实用户标识信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910164049.XA CN101990207B (zh) | 2009-08-06 | 2009-08-06 | 接入控制方法、家用基站及家用基站授权服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910164049.XA CN101990207B (zh) | 2009-08-06 | 2009-08-06 | 接入控制方法、家用基站及家用基站授权服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101990207A CN101990207A (zh) | 2011-03-23 |
| CN101990207B true CN101990207B (zh) | 2013-01-16 |
Family
ID=43746477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910164049.XA Expired - Fee Related CN101990207B (zh) | 2009-08-06 | 2009-08-06 | 接入控制方法、家用基站及家用基站授权服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101990207B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523598B (zh) * | 2011-12-21 | 2015-06-03 | 华为技术有限公司 | 一种基于小基站空口进行维护的方法及用户设备 |
| CN103391544B (zh) * | 2012-05-10 | 2017-04-26 | 华为技术有限公司 | 基站接入控制方法、相应的装置以及系统 |
| CN103905573B (zh) * | 2012-12-26 | 2017-11-21 | 中国移动通信集团广西有限公司 | 一种对ip资源进行管理的方法和设备 |
| CN106937286B (zh) * | 2017-03-02 | 2019-09-17 | 北京邮电大学 | 一种用户接入认证方法及装置 |
| CN108197490B (zh) * | 2017-12-28 | 2021-08-24 | 努比亚技术有限公司 | 防止恶意获取用户授权信息的方法及终端 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399728A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种共享带宽的网络、方法及接入点 |
| CN101400106A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种家用基站接入控制的方法 |
-
2009
- 2009-08-06 CN CN200910164049.XA patent/CN101990207B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400106A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种家用基站接入控制的方法 |
| CN101399728A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种共享带宽的网络、方法及接入点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101990207A (zh) | 2011-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101490243B1 (ko) | 이종망간 핸드오버시 빠른 보안연계 설정방법 | |
| DK2547134T3 (en) | IMPROVED SUBSCRIPTION AUTHENTICATION FOR UNAUTHORIZED MOBILE ACCESS SIGNALS | |
| CN102123394B (zh) | 向封闭用户组小区切换的处理方法及装置 | |
| CN102395166B (zh) | 宽带无线接入通信系统中用于快速网络重入的移动站和基站 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN104159221B (zh) | 公共安全通信处理方法及系统 | |
| WO2010071529A1 (en) | Method and arrangement for creation of association between a user equipment and an access point | |
| CN101888630B (zh) | 一种切换接入网的认证方法、系统和装置 | |
| US8787252B2 (en) | Private base station and radio network entity | |
| CN101990207B (zh) | 接入控制方法、家用基站及家用基站授权服务器 | |
| CN101730102B (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 | |
| CN101730171B (zh) | 一种切换控制方法及系统 | |
| CN101765181B (zh) | 一种控制移动站点以指定的wlan进行接入的方法、装置及其系统 | |
| CN101945449B (zh) | 终端切换到家庭基站的方法与装置 | |
| WO2010124569A1 (zh) | 用户接入控制方法和系统 | |
| CN102036343A (zh) | 一种家庭基站的共享方法和家庭基站系统 | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| JP6266064B2 (ja) | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム | |
| CN101998535A (zh) | 一种家用基站的切换类型控制方法和系统 | |
| WO2009100566A1 (zh) | 一种对用户设备准入小区进行限制的方法 | |
| WO2010124608A1 (zh) | 紧急业务的实现方法及家用基站 | |
| KR20140055675A (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
| JP2017041889A (ja) | ユーザ所有のアクセスポイントに第三者の無線端末を接続させる認証方法、アクセスポイント及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130116 Termination date: 20190806 |