CN101998575B - 一种接入控制的方法、装置和系统 - Google Patents
一种接入控制的方法、装置和系统 Download PDFInfo
- Publication number
- CN101998575B CN101998575B CN2009101671286A CN200910167128A CN101998575B CN 101998575 B CN101998575 B CN 101998575B CN 2009101671286 A CN2009101671286 A CN 2009101671286A CN 200910167128 A CN200910167128 A CN 200910167128A CN 101998575 B CN101998575 B CN 101998575B
- Authority
- CN
- China
- Prior art keywords
- access
- subscriber equipment
- group
- apn
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种接入控制的方法、装置和系统。其中方法的实现包括:接收接入请求;获取接入请求的UE或者UE所属的群或者APN的接入权信息;若接入权信息符合允许接入的条件则执行接入操作;若接入权信息不符合允许接入的条件,拒绝执行接入操作,确定UE或UE所在群或者某个APN为非法;将UE或UE所在群或者某个APN为非法的信息发送给服务器。网络侧UE或者UE所属的群或者APN的接入权信息的接入权信息进行判断,符合允许接入条件的UE才被允许接入,并将UE或UE所在群或者某个APN为非法的信息发送给服务器,达到对UE的接入进行限制的目的,进一步防止UE对网络侧进行恶意攻击,提升网络的服务质量。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种接入控制的方法、装置和系统。
背景技术
随着无线通讯技术的普及和发展,终端大量涌现,例如机器类型通讯(Machine Type Communications,MTC)应用;在MTC中,一个或者多个网元之间在不需要人为参与的情况下进行的网络通讯,即机器对机器(Machine To Machine,M2M)应用;具体的应用场景如:交通控制与管理、工厂监控、远程抄表等。MTC应用中,用户设备(User Equipment,UE)在MTC应用中称为M2ME,多个M2ME组成一个整体,可以称为群,网络运营商或者行业用户可以将群作为一个整体进行管理或控制,群的群标识可以用来标识和辨别不同群。网络运营商和行业用户可以将该群作为一个整体进行接入控制管理。
如图1所示,为现有的一种网络架构,包括:移动性管理网元101、服务器102、接入网103;其中移动性管理网元101,用于非接入层(Non-AccessStratum,NAS)信令和NAS信令加密以及漫游、跟踪等功能,分配用户临时身份标识、安全功能等;服务器102,用于存储UE或者群相关的签约数据或者信息。接入网103,用于接收UE的接入请求,帮助UE完成接入网络。UE的签约数据指每个UE作为个体的签约数据;群的签约数据指群内各个UE共同的数据或者签约数据。
发明人在实现本发明的过程中发现:非法UE恶性攻击网络侧时或者利用非法接入点名称(Access Point Name,APN)恶性攻击网络时,网络侧不能很好制止非法UE继续攻击其他网络实体,并且网络侧对非法UE不进行非法原因调查,导致越来越多的非法终端不断涌现,从而给网络安全造成很大的威胁,严重影响其他正常用户的体验。
发明内容
本发明实施例要解决的技术问题是提供一种接入控制的方法、装置和系统,可以对非法UE接入网络进行控制。
为解决上述技术问题,本发明所提供的接入控制的方法实施例可以通过以下技术方案实现:
接收接入请求;
获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;
若所述接入权信息符合允许接入的条件则执行接入操作;
若所述接入权信息不符合允许接入的条件,拒绝执行接入操作,确定所述用户设备或所述用户设备所在群或者某个接入点名称为非法;将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器。
本发明实施例还提供了一种移动性管理网元或接入网网元,包括:
请求接收单元,用于接收接入请求;
接入权信息获取单元,用于获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;
接入操作单元,用于若所述接入权信息符合允许接入的条件则执行接入操作,否则,拒绝执行接入操作;
非法确定单元,用于若所述接入权信息不符合允许接入的条件,则确定所述用户设备或所述用户设备所在群或者所述接入点名称为非法;
非法信息发送单元,用于将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器。
本发明实施例还提供了一种服务器,包括:
非法信息接收单元,用于接收移动性管理网元或接入网网元发送的用户设备或者用户设备所在的群或者接入点名称为非法的信息
排查单元,用于服务器排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;
修改单元,用于根据所述异常的原因的修改相应参数使得所述用户设备所在的群或者所述接入点名称合法。
本发明实施例还提供了一种接入控制系统,包括:
移动性管理网元或接入网网元,用于接收接入请求;获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;若所述接入权信息符合允许接入的条件则执行接入操作;若所述接入权信息不符合允许接入的条件,拒绝执行接入操作,确定所述用户设备或所述用户设备所在群或者某个接入点名称为非法;将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器;
服务器,用于接收所述用户设备或所述用户设备所在群或者接入点名称为非法的信息。
上述技术方案具有如下有益效果:网络侧对接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息的接入权信息进行判断,符合允许接入条件的用户设备才被允许接入,并且将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器,达到对UE的接入进行限制的目的,进一步防止UE对网络侧进行恶意攻击,提升网络的服务质量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术网络架构示意图;
图2为本发明实施例方法实施例一流程示意图;
图3为本发明实施例方法实施例二流程示意图;
图4为本发明实施例方法实施例三流程示意图;
图5为本发明实施例四移动性管理网元结构示意图;
图6为本发明实施例四移动性管理网元结构示意图;
图7为本发明实施例五服务器结构示意图;
图8为本发明实施例五服务器结构示意图;
图9为本发明实施例六接入控制系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一,本发明实施例提供了一种接入控制的方法,本实施例的技术方案的执行主体可以为移动性管理网元,也可以为接入网网元。可以包括以下步骤:
步骤201:接收接入请求;
步骤202:获取上述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;
上述接入权信息包括:用户设备或用户设备所在的群在单位时间的接入次数、用户设备或用户设备所在的群的总计接入次数(可以为在某个网络设备上的总计接入次数,例如移动性管理网元或者接入网元),某个APN下的单位时间内的接入次数、或者接入到某个APN的总计接入次数的至少一项。其中获取接入权信息的过程具体可以包括:自身进行统计;或,从服务器获取服务器统计结果。当然上述接入权信息还可以是其他,本发明实施例对此不作限定,不影响本发明实施例的实现。
步骤203:若上述接入权信息符合允许接入的条件则执行接入操作,否则,拒绝执行接入操作,确定上述用户设备或上述用户设备所在群或者某个接入点名称为非法;
其中允许接入的条件包括:用户设备或用户设备所在的群或者某个APN的话务模型。其中,话务模型具体包括:网络侧允许用户设备或用户设备所在的群在单位时间的接入次数、网络侧允许用户设备或用户设备所在的群的总计接入次数(可以为在某个网络设备上的总计接入次数,例如移动性管理网元或者接入网元),网络侧允许某个APN下的单位时间内的接入次数、或者网络侧允许接入到某个APN的总计接入次数中至少一项。
步骤204:将上述用户设备或上述用户设备所在群或者某个接入点名称为非法的信息发送给服务器。
后续有相关UE或者群内UE或者APN下的接入请求时,服务器会将UE或者UE所在的群或者某个接入点名称非法的信息发送给相应的移动性管理网元或者接入网网元(当前的移动性管理网元或者接入网元,或者移动到新的移动性管理网元或者接入网网元),使得移动性管理网元或者接入网元可以根据所述非法信息拒绝该用户设备或者用户设备所属的群或者接入点名称的接入请求。
进一步自身也可以保存上述用户设备或上述用户设备所在群或者上述APN为非法的信息,并可以根据该非法的信息对上述用户设备或上述用户设备所在群或者上述APN下的接入请求进行控制。
移动性管理网元或接入网网元通过对接入请求的用户设备的接入权进行判断,符合允许接入条件的用户设备或者群内UE或者APN的接入请求才被允许接入,达到对UE或者对UE所属的群或者对某个APN的接入进行限制的目的,而且由于将用户设备或上述用户设备所在群或者某个接入点名称的非法的信息通知给服务器,当移动性管理网元或者接入网网元收到所述用户设备或上述用户设备所在群或者某个接入点名称的接入请求时,可以根据从服务器上获取的用户设备或上述用户设备所在群或者某个接入点名称的非法的信息,拒绝该接入请求。进一步防止UE或者群或者某特定APN对网络侧进行恶意攻击,提升网络的服务质量,提升网络设备的可靠性。另外由于对UE的接入进行了限制,还可以减少网络拥塞。
本发明的另一个实施例中,服务器包括第一服务器和第二服务器,包括:第一服务器(例如HSS)收到用户设备或上述用户设备所在群或者某个接入点名称为非法的信息之后,第一服务器发送消息通知第二服务器(例如MTCServer),上述消息中携带UE标识(或者群标识或者APN)和指示UE(或者群或者APN)非法的指示信息(上述指示信息可以为某特定的消息类型或者特定的原因值等,用于通知第二服务器上述UE或者群或者APN非法,本实施例不对消息的名称做限制)。第二服务器可以根据非法UE或者群或者APN,查询第一服务器或者第二服务器中保存的相应的与该UE或者群或者APN相关的信息,所述信息指的是影响所述UE或者群或者APN的接入权的信息,包括但不限于允许所述UE或者群或者APN接入的相应时间点,或者允许接入所述群的UE的总数,或者允许业务发生的时间点等信息。通过上述信息排查发现所述UE或者群异常的原因(例如允许接入到所述群的UE的总数过多,或者业务要求的时间接入点太过繁忙等),第二服务器遂根据所述接入异常的原因修改相应参数使得UE或者群或者APN合法(例如降低群内UE数量,或者业务要求的时间点进行分散接入控制),发送消息通知第一服务器上述UE或者群或者APN恢复正常,上述消息中携带UE标识(或者群标识或者APN)和指示UE(或群或者APN)合法的指示信息(指示信息可以为特定的消息类型或者特定的原因值)。这样移动性管理网元后续从第一服务器获取UE或者群或者APN的信息时,就不会出现UE或者群非法的信息。
本发明的另一个实施例中,若上述接入权信息不符合允许接入的条件,若上述接入请求为位置更新请求,并且从源侧移动性管理网元、用户设备或接入网网元处获知上述位置更新请求用于负载重分配,则允许所述接入请求。因为当UE注册的移动性管理网元无法继续为UE或者群内或者UE服务时,将采用负载重分配流程,该负载重分配流程保证了UE或者群内UE可以注册到其他的移动性管理网元从而继续进行相应的业务。所以当UE或者群内UE因进行Load Rebalancing而发起的接入请求不在网络侧允许的话务模型范围内时,网络侧可以接受UE或者群内UE相应的接入请求。
本发明实施例中的移动性管理网元可做如下解释:在演进的通用陆地无线接入网络(Evolved Universal Terrestrial Radio Access Network,E-UTRAN)网络中的移动性管理网元可以为移动管理实体(Mobility Management Entity,MME);通用陆地无线接入网络(Universal Terrestrial Radio Access Network,UTRAN)/GSM/EDGE无线接入网(GSM/EDGE Radio Access Network,GERAN)中移动性管理网元可以为通用分组无线业务服务支持节点(ServingGeneral Packet Radio Service Supporting Node,SGSN);非第三代移动通信伙伴项目(Third Generation Partnership Project,3GPP)网络的移动性管理网元可以为接入网关(Acess Gateway,AGW),在无线局域网(Wireless Local AreaNetwork,WLAN)网络中的移动性管理网元指演进的分组数据网关(EvolvedPacket Data Gateway,ePDG)中的移动性管理逻辑功能;在微波接入全球互通(Worldwide Interoperability for Microwave Access,Wimax)网络,移动性管理网元可以为自动交换节点网关(Access Serving Node Gateway,ASN GW);码分多址接入(Code Division Multiple Access,CDMA)网络中,移动性管理网元可以为高速率数据包接入网(High Rate Packet Data Access Network,HRPD AN)中移动性管理的逻辑功能。
本发明实施例中的接入网网元可做如下解释:在E-UTRAN网络中的接入网网元可以为:演进型基站(evolved NodeB,eNodeB)或者蜂窝基站(Honeycomb NodeB,HeNB);UTRAN/GERAN网络中接入网网元可以为:无线网络控制器(Radio Network Controller,RNC)或者基站控制器(BaseStation Controller,BSC);非3GPP网络中,在WLAN网络中的接入网网元可以为ePDG中的接入网逻辑功能,在Wimax网络,接入网网元指代自动交换节点基站(Access Serving Node Gateway Base Station,ASN BS);CDMA网络中,接入网网元可以为HRPDAN中的接入网逻辑功能。
本发明中的服务器,可以存储UE或者群相关的签约数据或者信息。UE的签约数据或者信息指每个UE作为个体的签约数据或者信息;群的签约数据或者信息指群内各个UE共同的签约数据或者信息,上述服务器可以是归属用户服务器(Home Subscriber Server,HSS)或者应用服务器,例如机器类型通讯服务器(Machine Type Communications,MTC Server)。
上述对移动性管理网元、接入网网元以及服务器在各种系统中的具体指代的设备,可以理解的是这些举例并不是穷举,不应理解为对本发明实施例的限定;在后续实施例中,服务器将以HSS或者MTC Sever为例进行说明,可以理解的是服务器还可以是多种类型的应用服务器HSS或者MTC Sever的举例不应理解为对本发明实施例的限定。
实施例二,本实施例将以移动性管理网元统计用户设备的接入权信息为例对本发明实施例进行进一步的说明。本实施例中第一服务器和第二服务器都可以用于保存用户签约数据的服务器,所述第二服务器还可以用于排查非法APN或者非法用户或者非法群的非法原因的服务器。当然第一服务器和第二服务器功能也可以合一,如果功能合一,则第一服务器和第二服务器之间的消息就属于设备内的消息交互。本实施例中,第一或者第二服务器中保存UE或者群的话务模型,本发明中的话务模型指UE或者群内UE发起接入流程接入网络的模型,例如网络侧允许的单位时间的接入次数,允许在某个设备上总的接入次数等信息。本发明中的接入流程包括但不限于以下流程:附着流程、位置更新流程,例如路由选择区域更新(RoutingArea Update,RAU)、位置区域更新(Location Area Update,LAU、或者Tracking Area Update(TAU)、PDN连接建立、PDP激活、或者服务请求(Service Request)流程等。移动性管理网元从第一服务器或者第二服务器中获取上述话务模型,并根据上述话务模型接受或者拒绝UE的接入请求。所述第一或者第二服务器中存储UE或者群的话务模型,上述第一或者第二服务器可以指HSS或者MTC Server。如图3所示,可以包括以下步骤:
步骤301:UE发起接入请求到接入网网元,可选的,如果UE正在为移动性管理网元的负载重分配(Load Rebalancing)而进行的接入,则UE在无线资源控制(Radio Resource Control,RRC)层消息携带指示通知接入网网元上述UE正在进行Load Rebalancing。
如果UE或者群内UE所注册的移动性管理网元(即相当于源移动性管理网元)需要进行Load Rebalancing,则所述UE或者群内UE的注册的移动性管理网元指示UE或者群内UE执行位置更新流程来完成源移动性管理网元的LoadRebanlancing。UE或者群内UE收到所述指示后,发起位置更新流程,接入网网元为所述UE或者群内UE选择一个不同于源移动性管理网元的目标移动性管理网元,从而完成load Rebalancing(即负载重分配)。
步骤302:接入网网元发送接入请求到移动性管理网元。可选的,接入网网元携带指示信息用于指示UE正在为移动性管理网元的Load Rebalancing而进行的接入流程,上述指示信息可以为Load Rebalancing Indication,该信息可以作为单独的信元发送给移动性管理网元或者作为其他信元的保留位发送给移动性管理网元。
步骤303:移动性管理网元从第一或者第二服务器(可以指HSS或者MTCServer,这里以HSS或者MTC Server为例来说明)中获取UE或者群的签约数据。所述第一或者第二服务器发送UE或者群的话务模型给移动性管理网元。话务模型还可以静态配置在移动性管理网元,例如配置某个UE单位时间允许的接入次数;或者配置某个群单位时间允许的接入次数;或者配置单位时间内接入到上述移动性管理网元的所有的接入次数等。
步骤304:移动性管理网元统计UE或者群的接入情况,例如统计单位时间UE或者群的接入次数,或者所有接入到上述移动性管理网元的接入次数,移动性管理网元判断上述UE或者群的接入是否会超过话务模型允许的范围,如果接入次数在话务模型允许的范围内,则移动性管理网元可以接受UE或者群内UE的接入请求,否则拒绝上述UE或者群内UE的接入请求,此步骤在步骤306实现。其中步骤306和步骤304、305没有先后时序关系。
可选的,如果上述话务模型是针对单个UE,并且该UE的接入情况(例如单位时间的接入次数,或者连接到移动性管理网元的总的次数)超过上述话务模型所允许的接入范围,移动性管理网元发送消息通知第一服务器上述UE是非法UE,上述消息中携带UE标识和指示UE为非法UE的指示信息,上述指示信息可以为特定的消息类型或者一个特定的原因值等。下次UE在其他的移动性管理网元接入时,第一服务器将上述UE为非法UE的指示信息通知给移动性管理网元,防止上述UE在其他移动性管理网元非法接入;
如果上述话务模型是针对群,移动性管理网元统计属于同一个群标识的群内UE的接入情况(例如单位时间内群内UE的接入次数,或者接入到移动性管理网元上的群内UE的总的接入次数等)。移动性管理网元获取UE所属的群标识可以通过UE接入时携带群标识的方式或者移动性管理网元从第一或者第二服务器中获取UE的签约数据从而获取UE的群标识。如果该群的接入情况超过上述群的话务模型所允许的范围,则移动性管理网元发送消息通知第一服务器上述群是非法的,上述消息中携带群标识和指示上述群为非法的指示信息,上述指示信息可以为特定的消息类型或者一个特定的原因值等。下次群内UE在其他的移动性管理网元接入时,第一服务器将上述群内UE为非法的指示信息通知给移动性管理网元,防止上述群的群内UE在其他移动性管理网元非法接入;
步骤305:可选的,第一服务器发送消息通知第二服务器,上述消息中携带UE标识(或者群标识)和指示UE(或者群)非法的指示信息,上述指示信息可以为某特定的消息类型或者特定的原因值等,上述消息是第一服务器用于通知第二服务器上述UE或者群非法,本发明不对消息的名称做限制。第二服务器可以根据非法UE或者群,查询第一服务器或者第二服务器中中保存的相应的与该UE或者群相关的信息,所述信息指的是影响所述UE或者群的接入情况的信息,包括但不限于允许所述UE或者群接入的相应时间点,或者允许接入所述群的UE的总数,或者允许业务发生的时间点等信息。通过上述信息排查发现所述UE或者群异常的原因(例如允许接入到所述群的UE的总数过多,或者业务要求的时间接入点太过繁忙等),第二服务器遂根据所述接入异常的原因值修改相应参数使得UE或者群合法,发送消息通知第一服务器上述UE或者群恢复正常,上述消息中携带UE标识(或者群标识)和指示UE(或群)合法的指示信息,上述指示信息可以为特定的消息类型或者特定的原因值。这样移动性管理网元后续从第一服务器获取UE或者群的信息时,就不会出现UE或者群非法的信息。
步骤306:如果UE或者群的接入请求不在上述话务模型,则移动性管理网元拒绝UE或者群的接入请求,上述拒绝消息中携带指示信息用于指示UE(或者群)的接入请求不符合话务模型的指示信息,上述指示信息可以为一个特定的原因值如非法访问请求(illegal access request)、或者特定的指示如非法指示(illegal Indication)。反之,移动性管理网元接受UE或者群内UE的接入请求。步骤305和步骤306没有先后时序。
可选的,虽然UE或者群内UE的接入请求不在网络侧设定的话务模型内,但是UE或者群内UE正在为移动性管理网元的load Rebalancing进行的接入流程,移动性管理网元可以根据步骤302中接入网网元携带的指示UE或者群内UE正在为移动性管理网元的Load Rebalancing而进行的接入流程的指示信息,虽然UE或者群内UE的接入不在话务模型允许的范围内,网络侧仍然可以接受UE或者群内UE的请求。移动性管理网元获知指示UE或者群内UE正在为移动性管理网元的Load Rebalancing而进行的接入流程的指示信息还可以由UE或者群内UE通过NAS消息带给移动性管理网元、或者新的移动性管理网元在上下文响应(Context Response)中从源侧的移动性管理网元获知上述指示UE或者群内UE正在为移动性管理网元的Load Rebalancing而进行的接入流程的指示信息。上述NAS消息包括但不限于附着请求(Attach Request)、LAU Request、TAU Request、或者RAU Request等消息。
网络侧对接入请求的用户设备的接入权进行判断,符合允许接入条件的用户设备才被允许接入,达到对UE的接入进行限制的目的,进一步防止UE对网络侧进行恶意攻击,提升网络的服务质量,提升网络设备的可靠性。另外由于对UE的接入进行了限制,还可以减少网络拥塞。
实施例三,本实施例将以统计某个APN下的接入信息为例对本发明实施例进行进一步的说明。本实施例中HSS或者MTC Server中保存某个APN的话务模型,或者移动性管理网元静态配置某个APN下的话务模型,例如单位时间内允许某个APN下的接入次数,或者允许某个设备上接入到某个APN下的总的接入次数。移动性管理网元统计某个APN下的的接入情况,例如统计单位时间内某个APN下的接入次数,或者统计某移动性管理网元上接入到所述APN的总的接入次数等接入情况,移动性管理网元根据所述APN的话务模型接受或者拒绝针对某个APN的接入请求;如图4所示,包括以下步骤:
步骤401:UE发起接入请求到接入网网元,可选的,如果UE正在为移动性管理网元的负载重分配(Load Rebalancing)而进行的接入,则UE在无线资源控制(Radio Resource Control,RRC)层消息携带指示通知接入网网元上述UE正在进行Load Rebalancing,接入请求中还需携带APN,所述APN表示UE希望接入的APN。
如果UE或者群内UE所注册的移动性管理网元(即相当于源移动性管理网元)需要进行Load Rebalancing,则所述UE或者群内UE的注册的移动性管理网元指示UE或者群内UE执行位置更新流程来完成源移动性管理网元的LoadRebanlancing。UE或者群内UE收到所述指示后,发起位置更新流程,接入网网元为所述UE或者群内UE选择一个不同于源移动性管理网元的目标移动性管理网元,从而完成load Rebalancing(即负载重分配)。当其注册的移动性管理网元无法继续为UE或者群内UE服务时,负载重分配流程保证了UE或者群内UE可以注册在其他的移动性管理网元从而继续进行相应的业务。所以当UE或者群内UE因进行Load Rebalancing而发起的接入请求不在网络侧允许的话务模型范围内时,网络侧可以接受UE或者群内UE相应的接入请求。
步骤402:接入网网元发送接入请求到移动性管理网元。可选的,接入网网元携带指示信息用于指示UE正在为移动性管理网元的Load Rebalancing而进行的接入流程,上述指示信息可以为Load Rebalancing Indication,该信息可以作为单独的信元发送给移动性管理网元或者作为其他信元的保留位发送给移动性管理网元。
步骤403:移动性管理网元到第一服务器获取UE或者群的签约数据,上述服务器可以指HSS或者MTC Server。本实施例以HSS或者MTC Server为例来说明。所述签约数据中可选的包含UE或者群相关的APN的话务模型。或者移动性管理网元静态配置某个APN的话务模型。
移动性管理网元统计某APN下的接入情况,例如统计单位时间内该APN下的接入次数,或者移动性管理网元下该APN的接入的总次数等接入情况,并根据所述APN的话务模型,接受或者拒绝在所述APN的接入请求,在步骤406描述,步骤406与步骤404、步骤405没有先后时序关系。
步骤404:如果U针对某个APN的接入在话务模型所允许的接入的范围,则移动性管理网元允许针对上述APN的接入请求,可选的,移动性管理网元携带用于指示上述APN非法的指示信息通知第一服务器,如原因值illegalaccess或者illegal indication等可以表示所述APN非法的指示信息。下次有UE在其他的移动性管理网元接入时,第一服务器将上述APN为非法APN的指示信息通知给移动性管理网元,防止有用户通过上述APN在其他移动性管理网元非法接入;
步骤405:可选的,第一服务器发送消息通知第二服务器,上述消息中携带APN和指示APN非法的指示信息,上述指示信息可以为某特定的消息类型或者特定的原因值等,所述第一服务器和第二服务器都可以用于保存用户签约数据的服务器,所述第二服务器还可以用于排查非法APN或者非法用户或者非法群的非法原因的服务器。当然第一服务器和第二服务器功能上也可以合一,如果功能合一,则第一服务器和第二服务器之间的消息就属于设备内的消息交互。上述消息是第一服务器用于通知第二服务器上述APN非法,本发明不对消息的名称做限制。第二服务器可以根据非法APN,查询第一服务器或者第二服务器中中保存的相应的与该APN相关的信息,所述信息指的是影响所述APN的接入情况的信息,包括但不限于允许所述APN接入的相应时间点,或者允许接入所述APN的UE的总数,或者允许业务发生的时间点等信息。通过上述信息排查发现所述APN异常的原因(例如允许接入到所述APN的UE的总数过多,业务要求的时间接入点太过繁忙等),第二服务器遂根据所述接入异常的原因值修改相应参数使得APN合法,发送消息通知第一服务器上述APN恢复正常,上述消息中携带APN和指示APN合法的指示信息,上述指示信息可以为特定的消息类型或者特定的原因值。
步骤406:如果APN下的接入请求不在上述话务模型,则移动性管理网元拒绝上述APN下的接入请求,上述拒绝消息中携带指示信息用于指示APN的接入请求不符合话务模型的指示信息,上述指示信息可以为一个特定的原因值如非法访问请求(illegal access request)、或者特定的指示如非法指示(illegalIndication)。反之,移动性管理网元接受UE或者群内UE或者APN下的接入请求。步骤405和步骤406没有先后时序。
可选的,虽然UE接入请求不在网络侧设定的话务模型内,但是UE正在为移动性管理网元的load Rebalancing进行的接入流程,移动性管理网元可以根据步骤402中接入网网元携带的指示UE或者群内UE正在为移动性管理网元的Load Rebalancing而进行的接入流程的指示信息,虽然UE或者群内UE的接入不在话务模型允许的范围内,网络侧仍然可以接受UE或者群内UE的请求。移动性管理网元获知指示UE或者群内UE正在为移动性管理网元的LoadRebalancing而进行的接入流程的指示信息还可以由UE4通过NAS消息带给移动性管理网元、或者新的移动性管理网元在上下文响应(Context Response)中从源侧的移动性管理网元获知上述指示UE正在为移动性管理网元的LoadRebalancing而进行的接入流程的指示信息。上述NAS消息包括但不限于附着请求(Attach Request)、LAU Request、TAU Request、或者RAU Request等消息。
网络侧对接入请求的用户设备的接入权进行判断,符合允许接入条件的用户设备才被允许接入,达到对UE的接入进行限制的目的,进一步防止UE对网络侧进行恶意攻击,提升网络的服务质量,提升网络设备的可靠性。另外由于对UE或者群或者APN下的接入进行了限制,还可以减少网络拥塞。
实施例四,如图5所示,本发明实施例还提供了一种移动性管理网元,上述移动性管理网元也可以为接入网网元,包括:
请求接收单元501,用于接收接入请求;
接入权信息获取单元502,用于获取上述接入请求的用户设备或者用户设备所属的群或者APN的接入权信息;
接入操作单元503,用于若UE或者群内UE或者APN下的接入请求符合允许接入的条件则执行接入操作,否则,拒绝执行接入操作。
非法确定单元504,用于若上述接入请求不符合允许接入的条件,则确定上述用户设备或上述用户设备所在群或者上述APN为非法;
非法信息发送单元505,用于将上述用户设备或上述用户设备所在群或者某个接入点名称为非法的信息发送给服务器。
可选地,如图6所示,所述接入请求为位置更新请求,上述移动性管理网元,还可以包括:
负载重分配单元601,用于从源侧移动性管理网元、用户设备或接入网网元处获知位置更新请求用于负载重分配时,则执行所述接入操作。
具体地,上述接入权信息获取单元502,具体用于统计上述用户设备或者用户设备所在的群或者上述APN下的接入情况;或,从服务器获取服务器统计的结果。
上述实施方式,对接入请求的用户设备或者用户设备所在的群或者APN下的接入情况进行判断,符合允许接入条件的用户设备或者用户设备所在的群或者APN才被允许接入,达到对UE或者群或者APN下的接入进行限制的目的,进一步防止UE或者群或者利用非法APN的UE对网络侧进行恶意攻击,提升网络的服务质量,提升网络设备的可靠性。另外由于对UE的接入或者群的接入或者APN下的接入进行了限制,还可以减少网络拥塞。
实施例五,如图7所示,本发明实施例还提供了一种服务器,包括:
非法信息接收单元701,用于接收移动性管理网元或接入网网元发送的用户设备或者用户设备所在的群或者接入点名称为非法的信息
排查单元702,用于服务器排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;
修改单元703,用于根据所述异常的原因修改相应参数使得所述用户设备所在的群或者所述接入点名称合法。
进一步地,如图8所示,上述服务器还可以包括:
接入权信息统计单元801,用于统计用户设备或者用户设备所在的群或者接入点名称的接入权信息;
接入权查询请求接收单元802,用于接收查询用户设备或者用户设备所在的群或者接入点名称下的接入权信息的请求;
查询单元803,用于从统计的用户设备或者用户设备所在的群或者接入点名称下的接入权信息中查询上述查询请求查询的用户设备或者用户设备所在的群或者接入点名称下的接入权信息;
接入权信息发送单元804,用于发送上述查询到的接入权信息。
上述实现方式提供了对用户设备的接入权进行判断的依据的获取方式。
实施例六,如图9所示,本发明实施例还提供了一种接入控制系统、包括:
移动性管理网元或接入网网元901,用于接收接入请求;获取上述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;若上述接入权信息符合允许接入的条件则执行接入操作;若上述接入权信息不符合允许接入的条件,拒绝执行接入操作,确定上述用户设备或上述用户设备所在群或者某个接入点名称为非法;将上述用户设备或上述用户设备所在群或者某个接入点名称为非法的信息发送给服务器902,使得网络拒绝后续的非法接入;
服务器902,用于接收上述用户设备或上述用户设备所在群或者接入点名称为非法的信息,若上述用户设备或上述用户设备所在群或者接入点名称为非法,则拒绝后续非法UE或者非法群或者UE利用非法APN接入。
更具体地,上述移动性管理网元或接入网网元901,用于获取上述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息包括:统计上述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;或,
上述移动性管理网元或接入网网元901,用于获取上述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入情况包括:
从服务器902获取服务器92统计的结果;
上述服务器902,还用于统计上述用户设备或上述群或上述接入点名称的接入情况,并将上述统计的结果发送给上述移动性管理网元或接入网网元901。
所述服务器902,还用于排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;根据所述异常的原因修改相应参数使得所述用户设备所在的群或者所述接入点名称合法;将所述用户设备所在的群或者所述接入点名称合法的信息发送给所述移动性管理网元或接入网网元901。
更具体地,上述接收接入请求为位置更新请求;
上述移动性管理网元901,还用于从源侧移动性管理网元、用户设备或接入网网元处获知位置更新请求用于负载重分配时,则执行所述接入操作。
上述实施方式,对接入请求的用户设备或者用户设备所在的群或者APN下的接入权进行判断,符合允许接入条件的用户设备才被允许接入,达到对UE或者群的接入或者APN下的接入进行限制的目的,进一步防止UE对网络侧进行恶意攻击,提升网络的服务质量,提升网络设备的可靠性。由于对UE的接入或者群的接入或者APN下的接入进行了限制,还可以减少网络拥塞。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种接入控制的方法、装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种接入控制的方法,其特征在于,包括:
接收接入请求;
获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;
若所述接入权信息符合允许接入的条件则执行接入操作;
若所述接入权信息不符合允许接入的条件,拒绝执行接入操作,确定所述用户设备或所述用户设备所在群或者某个接入点名称为非法;将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器;使服务器排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;根据所述异常的原因修改相应参数使得所述用户设备或者所述用户设备所在的群或者所述接入点名称合法。
2.根据权利要求1所述方法,其特征在于,
所述接入权信息包括以下至少一项:用户设备或用户设备所在的群在单位时间的接入次数、用户设备或用户设备所在的群的总计接入次数,接入点名称下的单位时间内的接入次数、或者接入到接入点名称的总计接入次数;
对应的所述允许接入的条件为用户设备或用户设备所在的群或者接入点名称的话务模型,包括以下至少一项:允许用户设备或用户设备所在的群在单位时间的接入次数、允许用户设备或用户设备所在的群的总计接入次数,允许接入点名称下的单位时间内的接入次数、或者允许接入到某个接入点名称的总计接入次数。
3.根据权利要求1所述方法,其特征在于,所述当接入请求为位置更新请求,并且从源侧移动性管理网元、用户设备或接入网网元处获知所述位置更新请求用于负载重分配时,则执行所述接入操作。
4.根据权利要求1至3任意一项所述方法,其特征在于,所述获取所述接入请求的用户设备的接入权信息包括:
统计所述用户设备或者所述群或者所述接入点名称下的接入情况;或
从服务器获取服务器统计的结果。
5.一种网元,所述网元为移动性管理网元或接入网网元,其特征在于,包括:
请求接收单元,用于接收接入请求;
接入权信息获取单元,用于获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;
接入操作单元,用于若所述接入权信息符合允许接入的条件则执行接入操作,否则,拒绝执行接入操作;
非法确定单元,用于若所述接入权信息不符合允许接入的条件,则确定所述用户设备或所述用户设备所在群或者所述接入点名称为非法;
非法信息发送单元,用于将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器,使服务器排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;根据所述异常的原因修改相应参数使得所述用户设备或者所述用户设备所在的群或者所述接入点名称合法。
6.根据权利要求5所述网元,其特征在于,所述网元为移动性管理网元,所述接入请求为位置更新请求还包括:
负载重分配单元,用于从源侧移动性管理网元、用户设备或接入网网元处获知所述位置更新请求用于负载重分配时,则执行所述接入操作。
7.根据权利要求5或6所述网元,其特征在于,
所述接入权信息获取单元,具体用于统计所述用户设备或者用户设备所在的群或者接入点名称下的接入情况;或,从服务器获取服务器统计的结果。
8.一种服务器,其特征在于,包括:
非法信息接收单元,用于接收移动性管理网元或接入网网元发送的用户设备或者用户设备所在的群或者接入点名称为非法的信息;
排查单元,用于服务器排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;
修改单元,用于根据所述异常的原因的修改相应参数使得所述用户设备所在的群或者所述接入点名称合法。
9.根据权利要求8所述服务器,其特征在于,还包括:
接入权信息统计单元,用于统计用户设备或者用户设备所在的群或者接入点名称的接入权信息;
接入权查询请求接收单元,用于接收查询用户设备或者用户设备所在的群或者接入点名称下的接入权信息的请求;
查询单元,用于从统计的用户设备或者用户设备所在的群或者接入点名称下的接入权信息中查询所述查询请求查询的用户设备或者用户设备所在的群或者接入点名称下的接入权信息;
接入权信息发送单元,用于发送所述查询到的接入权信息。
10.一种接入控制系统,其特征在于,包括:
移动性管理网元或接入网网元,用于接收接入请求;获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息;若所述接入权信息符合允许接入的条件则执行接入操作;若所述接入权信息不符合允许接入的条件,拒绝执行接入操作,确定所述用户设备或所述用户设备所在群或者某个接入点名称为非法;将所述用户设备或所述用户设备所在群或者某个接入点名称为非法的信息发送给服务器;
服务器,用于接收所述用户设备或所述用户设备所在群或者接入点名称为非法的信息;排查所述非法的用户设备或所述用户设备所在的群或者所述接入点名称异常的原因;根据所述异常的原因修改相应参数使得所述用户设备所在的群或者所述接入点名称合法;将所述用户设备所在的群或者所述接入点名称合法的信息发送给所述移动性管理网元或接入网网元。
11.根据权利要求10所述系统,其特征在于,所述移动性管理网元或接入网网元,用于获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息包括:统计所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入情况;或,
所述移动性管理网元或接入网网元,用于获取所述接入请求的用户设备或者用户设备所属的群或者接入点名称的接入权信息包括:
从服务器获取服务器统计的结果;
所述服务器,还用于统计所述用户设备或所述群或所述接入点名称的接入情况,并将所述统计的结果发送给所述移动性管理网元或接入网网元。
12.根据权利要求10或11所述系统,其特征在于,所述接收接入请求为位置更新请求;
所述移动性管理网元,还用于从源侧移动性管理网元、用户设备或接入网网元处获知位置更新请求用于负载重分配时,则执行所述接入操作。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101671286A CN101998575B (zh) | 2009-08-24 | 2009-08-24 | 一种接入控制的方法、装置和系统 |
PCT/CN2010/076290 WO2011023097A1 (zh) | 2009-08-24 | 2010-08-24 | 一种接入控制的方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101671286A CN101998575B (zh) | 2009-08-24 | 2009-08-24 | 一种接入控制的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101998575A CN101998575A (zh) | 2011-03-30 |
CN101998575B true CN101998575B (zh) | 2013-04-24 |
Family
ID=43627258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101671286A Active CN101998575B (zh) | 2009-08-24 | 2009-08-24 | 一种接入控制的方法、装置和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101998575B (zh) |
WO (1) | WO2011023097A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102740265B (zh) * | 2011-04-08 | 2017-06-13 | 中兴通讯股份有限公司 | 一种控制机器类型通信终端收发数据的方法和系统 |
CN104410988A (zh) * | 2014-10-30 | 2015-03-11 | 苏州德鲁森自动化系统有限公司 | 一种无线局域网运行状态监测系统 |
CN104410972A (zh) * | 2014-10-30 | 2015-03-11 | 苏州德鲁森自动化系统有限公司 | 一种无线局域网运行状态监测方法 |
CN109548170A (zh) * | 2017-07-24 | 2019-03-29 | 中兴通讯股份有限公司 | 一种连接建立方法、网元、存储介质及系统 |
WO2019169626A1 (en) * | 2018-03-09 | 2019-09-12 | Nokia Shanghai Bell Co., Ltd. | Methods, devices and computer readable medium for authentication in communication |
CN113099451A (zh) * | 2020-01-07 | 2021-07-09 | 上海诺基亚贝尔股份有限公司 | 用于连接到网络的方法、设备、装置和计算机可读介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1728636A (zh) * | 2004-07-29 | 2006-02-01 | 华为技术有限公司 | 一种客户端认证的方法 |
CN101197670A (zh) * | 2006-12-08 | 2008-06-11 | 中兴通讯股份有限公司 | 用于为通过终端接入的用户提供鉴权的鉴权装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10083125D2 (de) * | 1999-10-12 | 2002-11-07 | Siemens Ag | Verfahren zur Verhinderung eines mißbräuchlichen Zugangs zu einem Netz |
CN1802003A (zh) * | 2004-12-31 | 2006-07-12 | 北京三星通信技术研究有限公司 | 下行呼叫接入控制方法 |
JP2008021247A (ja) * | 2006-07-14 | 2008-01-31 | Nec Software Kyushu Ltd | 情報処理装置、ファイルアクセス制御方法、及びプログラム |
-
2009
- 2009-08-24 CN CN2009101671286A patent/CN101998575B/zh active Active
-
2010
- 2010-08-24 WO PCT/CN2010/076290 patent/WO2011023097A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1728636A (zh) * | 2004-07-29 | 2006-02-01 | 华为技术有限公司 | 一种客户端认证的方法 |
CN101197670A (zh) * | 2006-12-08 | 2008-06-11 | 中兴通讯股份有限公司 | 用于为通过终端接入的用户提供鉴权的鉴权装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101998575A (zh) | 2011-03-30 |
WO2011023097A1 (zh) | 2011-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109565742B (zh) | 在下一代移动通信网络中执行接入控制的方法和用户设备 | |
EP3334215B1 (en) | Congestion/overload control method and apparatus | |
CN102387563B (zh) | 机器类型通讯设备的业务控制方法和相关装置及系统 | |
CN104186012B (zh) | 具有服务连续性保证的用于选择性接入控制的方法和装置 | |
US10945193B2 (en) | Congestion control in a network | |
KR101698285B1 (ko) | Ims 기반 서비스 연결 방법 | |
US8224325B2 (en) | Resource control method, relevant device, and system | |
EP3968676A1 (en) | Information configuration method and device | |
EP2897414A1 (en) | Inhibition of allowed closed subscriber group list | |
EP2822327B1 (en) | Core network access control method und network device | |
CN101998575B (zh) | 一种接入控制的方法、装置和系统 | |
CN105794300A (zh) | 用于服务请求过程的执行方法和用户设备 | |
EP3001733A1 (en) | Method, device and system for network selection | |
CN105103620A (zh) | 基于逻辑承载的特性过滤上行链路数据的方法 | |
CN101969634A (zh) | 一种用户数据的同步方法和系统 | |
WO2012136708A1 (en) | Maximum allowed quality of service procedures using gn/gp | |
EP2750451B1 (en) | Method for controlling terminal to access shared network and access network network element | |
EP2757830A1 (en) | Network Selection | |
EP2852197B1 (en) | Location update for network sharing | |
CN101888596A (zh) | 一种接入控制方法及系统 | |
EP2911427A1 (en) | Method and system for differentiating subscriber | |
CN103220750A (zh) | 一种eab机制的管理方法和设备 | |
EP2989822B1 (en) | Reducing location update signaling between network nodes of a mobile communication network | |
CN104219656A (zh) | 机器类型通讯设备的业务控制方法和相关装置及系统 | |
CN101938806A (zh) | 接入控制方法、系统和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |