CN102474722B - 对用户终端进行认证的方法及装置 - Google Patents
对用户终端进行认证的方法及装置 Download PDFInfo
- Publication number
- CN102474722B CN102474722B CN2010800347623A CN201080034762A CN102474722B CN 102474722 B CN102474722 B CN 102474722B CN 2010800347623 A CN2010800347623 A CN 2010800347623A CN 201080034762 A CN201080034762 A CN 201080034762A CN 102474722 B CN102474722 B CN 102474722B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- operation territory
- request message
- territory
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 28
- 238000004891 communication Methods 0.000 claims abstract description 41
- 230000004044 response Effects 0.000 claims description 43
- 230000000052 comparative effect Effects 0.000 claims description 10
- 238000010295 mobile communication Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/02—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail using automatic reactions or user delegation, e.g. automatic replies or chatbot-generated messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明围绕家庭基站提供业务给用户终端,提出了一种对在通信网络的第一运营域(例如移动核心网络)中的注册的用户终端,当其通过家庭基站请求获取由第二运营域(例如固定接入网络、回程网络)提供的业务时,对该用户终端进行认证的技术方案。第一运营域中的认证服务器为用户终端分配访问第二运营域提供的业务所需的信息,并进行存储。用户终端获得该所需信息后,发送认证请求消息至第二运营域中的认证服务器,第二运营域中的认证服务器将该认证请求消息转发至第一运营域中的认证服务器。
Description
技术领域
本发明涉及通信网络中跨运营域的业务提供,主要涉及用户终端跨域业务享用的认证。
背景技术
Femtocell,在3GPP中称之为家庭基站(HNB)或家庭演进基站(HeNB),目前已经成为一个讨论的热点。其不仅有效改善了移动通信在家庭中的覆盖情况,而且可引入更多的增值业务,例如基于位置的业务,本地IP接入到驻地网和企业网等。
图1描述了包含家庭基站11的网络拓扑架构,包括家庭网络10、固定接入网络20和移动核心网络30。固定接入网络20为家庭基站11提供接入到移动核心网的网络链路,即固定接入网络20为家庭基站11接入到移动核心网30提供了回程连接;用户终端41通过家庭基站11接入移动网络。家庭基站11与移动核心网30中的家庭基站网关(Femto Gateway)之间建立安全通道(Secure channel)。如果家庭基站11不支持LIPA(local IP Access)时,那么用户终端41和固定接入网络20中设备、家庭网络中设备、以及Internet(未在图1中示出)中的设备通信,都要通过安全通道、到移动核心网,再被GPRS网关支持节点路由到该区的地方。如果家庭基站11支持LIPA,那么用户终端41可以直接和家庭网络中设备通信,但是与固定接入网络20中设备以及Internet中的设备通信,仍要通过安全通道、穿越移动核心网。此外3GPP也在积极研究如何将Internet业务等也直接从家庭基站处旁路下来,通过固定接入网络20直接进入Internet,而不用通过安全通道到移动核心网。
发明内容
目前,IPTV已经在固定接入网络中得到了广泛的部署和应用,人们可观看即时节目和视频点播节目。当用户终端附着到家庭中的家庭基站后,用户可能需要通过用户终端来观看IPTV。如果用户终端通过现有的传输路径(即图1中所示的曲线箭头51)来收看IPTV,即IPTV业务数据流首先从固定接入网络被传送到移动核心网中,然后通过图1所示的安全通道,从家庭基站网关传送到家庭基站,然后再到用户终端。显然,该方案导致了带宽资源的极大浪费。
另一种可能的有效的解决方案如下:IPTV业务数据流可从固定接入网络直接传送至驻地网络中的家庭基站,再至用户终端,如图2中的箭头61所示。由此带来的一个问题是:由于用户终端是由移动网络运营商直接控制的,固定接入网络如何信任该用户终端,也即用户终端如何通过家庭基站直接获得固定接入网络中认证服务器的认证。
因此,本发明提出了一种对在通信网络的第一运营域中的注册的用户终端,当其请求获取由第二运营域提供的业务时,对该用户终端进行认证的技术方案。
根据本发明的第一实施例,提出了一种在通信网络的第一运营域中的服务GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的方法,该用户终端为第一运营域的用户终端,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该方法包括以下步骤:接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息;验证所述用户终端是否有权限接收所述业务;如所述用户终端有权限接收所述业务,则发送第二请求消息至第一运营域中的认证服务器,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。
根据本发明的另一个实施例,提供了一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的方法,其中,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该用户终端为注册到第一运营域的用户终端,该方法包括以下步骤:发送请求接收所述业务的第一请求消息至第一运营域中的服务GPRS支持节点;接收来自所述服务GPRS支持节点的用于访问所述业务的所需的信息;发送认证请求消息至所述第二运营域中的认证服务器,该认证请求消息中包含所述所需的信息;接收来自所述第二运营域中的认证服务器的第二响应消息。
根据本发明的又一实施例,提供了一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法,所述第二运营域为所述第一运营域的家庭基站提供回程链路,包括以下步骤:接收来自用户终端的认证请求消息;将所述认证请求消息转发至给所述第一运营域中的认证服务器;接收来自所述第一运营域的认证服务器的第一认证响应消息;根据所述第一认证响应消息,发送第二认证响应消息至所述用户终端。
根据本发明的又一实施例,提供了一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该方法包括以下步骤:接收来自第一运营域中的服务GPRS支持节点的第二请求消息,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息;为所述用户终端分配访问所述业务所需的信息,且进行存储,并将该信息发送至所述服务GPRS支持节点;接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息,该认证请求消息中包含所述用户终端访问所述业务所需的信息;将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较;根据所述比较结果,发送第一认证响应消息至所述第二运营域的认证服务器。
根据本发明的又一实施例,提供了一种在通信网络的第一运营域中的服务GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置,其中,该用户终端为注册到第一运营域的用户终端,所述第二运营域为所述第一运营域的家庭基站提供回程链路,包括:第一接收装置,用于接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息;验证装置,用于验证所述用户终端是否有权限接收所述业务;第一发送装置,用于如所述用户终端有权限接收所述业务,则发送第二请求消息至第一运营域中的认证服务器,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。
根据本发明的又一实施例,提供了一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置,其中,该用户终端为注册到第一运营域的用户终端,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该请求装置包括:第二发送装置,用于发送请求接收所述业务的第一请求消息至第一运营域中的服务GPRS支持节点;第二接收装置,用于接收来自所述服务GPRS支持节点的用于访问所述业务的所需的信息;第三发送装置,用于发送认证请求消息至所述第二运营域中的认证服务器,该认证请求消息中包含所述所需的信息;第三接收装置,用于接收来自所述第二运营域中的认证服务器的第二响应消息。
根据本发明的又一实施例,提供了一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置,所述第二运营域为所述第一运营域的家庭基站提供回程链路,包括:第四接收装置,用于接收来自用户终端的认证请求消息;第四发送装置,用于将所述认证请求消息转发至给所述第一运营域中的认证服务器;第五接收装置,用于接收来自所述第一运营域的认证服务器的第一认证响应消息;第五发送装置,用于根据所述第一认证响应消息,发送第二认证响应消息至所述用户终端。
根据本发明的又一实施例,提供了一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置,所述第二运营域为所述第一运营域的家庭基站提供回程链路,包括:第六接收装置,用于接收来自第一运营域中的服务GPRS支持节点的第二请求消息,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息;信息分配装置,用于为所述用户终端分配访问所述业务所需的信息,且进行存储,并将该信息发送至所述服务GPRS支持节点;第七接收装置,用于接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息,该认证请求消息中包含所述用户终端访问所述业务所需的信息;比较装置,用于将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较;第六发送装置,用于根据所述比较结果,发送一个认证响应消息至所述第二运营域的认证服务器。
通过本发明的方法和装置,为注册到第一运营域的用户终端请求第二运营域提供的业务时,提供了有效的认证解决方案,使得后续的业务传输变得更加有效;并且使得第二运营域中的各种增值业务可以很容易地推广至注册到第一运营域的用户终端,也就是说提供了一种新的业务提供或获取模式。对于图2所示的网络拓扑结构,固定接入网络提供的业务通过家庭基站直接提供给用户终端:终端用户获得了更多的应用;固定接入网络运营商进入了家庭基站产业链;移动网络运营商一方面可利用固定接入网络旁路业务减轻其网络负载,另一方面可将第三方(即固定接入网络)的业务推介给其用户。从而达到了三赢的效果。
附图说明
通过阅读以下参照附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1为根据本发明的一个具体实施方式的通信系统的应用场景示意图;
图2为根据本发明的另一个具体实施例的通信系统的应用场景示意图;
图3为根据本发明的一个具体实施方式的对用户终端进行认证的系统流程示意图;
图4为根据本发明的一个具体实施方式的在通信网络的第一运营域中的服务GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置400的结构框图;
图5为根据发明的一个具体实施方式的在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置500的结构框图;
图6为根据本发明的一个具体实施方式的在通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置600的结构框图;
图7为根据本发明的一个具体实施方式的在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置700的结构框图;
其中,相同或相似的附图标记表示相同或相似的步骤特征或装置(模块)。
具体实施方式
以下结合附图对本发明的具体实施例进行详细的示例性描述。
不失一般性地,以图2所示的应用场景为例,对图3中的流程进行详细说明。在图2中,家庭网络(Residential network)10中包括家庭基站11和其他设备,电视机13、个人电脑14等。通常,家庭基站11中集成了家庭网关的功能。当然,家庭网关和家庭基站也可以物理上分离,各自成为一个独立的设备。用户终端41通过无线方式连接到家庭基站11(当然,用户终端能否附着到家庭基站11是由移动核心网30所控制的)。固定接入网络20中包括认证服务器21、IPTV提供平台22(可包括一个或多个服务器)、接入节点23等一系列网络设备。移动核心网30中包括服务GPRS支持节点3l、认证服务器32、家庭基站11的网关33,GPRS网关支持节点(GGSN)34等一系列网络设备。
需要说明的是,在图2中,用户终端41、家庭基站11是包括移动核心网30在内的移动网络中的设备。另外一个需要说明的是,图1或图2所示的网络拓扑结构图仅是一个示意图,主要示出了与本发明的各个实施例相关的网络设备,其它很多与本发明的各个实施例相关度不大的网络设备均未示出。
图3示出了根据本发明的一个具体实施例的当通过家庭基站连接到通信网络中的用户终端请求获取第二运营域提供的业务时,对该用户终端进行认证的方法流程图,其中,该用户终端注册到第一运营域,第二运营域为第一运营域的家庭基站11提供回程链路。
结合图2所示的应用场景,第一运营域为图2所示的移动核心网络,第二运营域为固定接入网络。需要说明的是,运营域是指运营商(如中国移动、中国联通、中国电信等)所辖的通信网络。第二运营域为第一运营域提供回程(backhauling)IP连接。
以下以图2所示的网络拓扑结构为例,对图3所示的流程进行详细说明。
首先,在步骤S301中,用户终端41发送请求接收固定接入网络20提供的业务的第一请求消息至移动核心网中的服务GPRS支持节点31。
在一个实施例中,第一请求消息的格式为激活分组数据协议上下文请求(Activate PDP context Request)消息,且该消息中包含一个指示请求接收固定接入网络20提供的业务的接入点名称(APN,AccessPoint Name)。
接着,在步骤S302中,服务GPRS支持节点31验证用户终端41是否有权限接收固定接入网络20提供的业务。在一个实施例中,服务GPRS支持节点31根据用户终端41的用户数据(Subseriber Data)来验证用户终端41是否有权限来接收固定接入网络20提供的业务。用户终端41的用户数据(Subscriber Data)由移动核心网30中的归属位置寄存器(Home Location Register,HLR)提供。
需要说明的是,固定接入网络提供的业务不限于上文所述的IPTV业务,包括一切固定接入网络可提供的业务,例如视频点播业务、高速上网HSI(High Speed Interconnect)业务、在线阅读业务等。
如果用户终端41有权限接收其请求的固定接入网络20提供的业务,则在步骤S303中,服务GPRS节点31发送第二请求消息至移动核心网30中的认证服务器32,该第二请求消息用于请求移动核心网30中的认证服务器32为用户终端41分配访问固定接入网络20提供的业务所需的信息。在一个实施例中,所需的信息包括帐号和/或密码;当然也可以包含其它与该业务相关的信息,如IPTV服务器的地址等。
可选地,在服务GPRS节点31收到的第一请求消息中还包括用户终端41所附着的家庭基站11的网络地址。该网络地址可由家庭基站网关在转发该第一请求消息时插入到该第一请求消息中。或者服务GPRS节点31还可以通过其它方式获知家庭基站11的网络地址。该网络地址可用于移动核心网30中的认证服务器32对用户终端41进行认证(这将在下文进行描述)。
在一个实施例中,第二请求消息的格式可以是基于Diameter或者RADIUS协议的,第二请求消息中包括用户终端41的ID,用户终端41附着到的家庭基站11的网络地址。
在步骤S304中,移动核心网30中的认证服务器32在接收到来自移动核心网30中的服务GPRS支持节点31的第二请求消息后,为用户终端41分配访问固定接入网络20所提供的业务所需的信息,例如帐号和/或密码,存储该所需的信息,并发送给服务GPRS支持节点31。在一个实施例中,认证服务器32还存储与所需的信息对应的用户终端41附着到的家庭基站11的网络地址。
需要说明的是,所需的信息可根据用户终端41请求访问的业务的不同而有所不同。例如,IPTV业务可能需要帐号和密码;在线阅读业务仅需要一个帐号而已。
在步骤S305中,服务GPRS支持节点31在接收到来自移动核心网30中的认证服务器32的所需的信息后,将该所需的信息发送给用户终端41。
在一个实施例中,该所需的信息可以通过激活分组协议数据上下文接受(Activate PDP context Accept)消息的形式发送给用户终端41。
可选地,在步骤S305之前,服务GPRS支持节点31在接收到来自移动核心网30中的认证服务器32的所需的信息后,为用户终端41预留空中接口资源以及创建相应的分组数据协议上下文(PDPContext)以用于其请求的固定接入网络20提供的业务的接收。在一个实施例中,服务GPRS支持节点31通知用户终端41附着到的家庭基站11,为用户终端41预留空中接口资源以及创建分组数据协议上下文,该分组数据协议上下文所指示的分组数据网络(PDN)连接在家庭基站11处直接接入固定接入网络20而不是安全隧道,但此时没有分配相应的网络地址,这网络地址将由第二运营域的IPTV平台(包括一个或多个服务器)。分组数据协议上下文所指示的分组数据网络(PDN)连接是指从用户终端41至家庭基站11上的逻辑GGSN这段连接。此情形下,家庭基站11中也集成GGSN的功能。
在步骤S306中,用户终端41在接收到来自服务GPRS支持节点的用于访问其请求的业务所需的信息后,发送一个认证请求消息至固定接入网络20中的认证服务器21,该第一认证请求消息中包含访问固定接入网络20所提供的业务所需的信息。
在一个实施例中,如上文所述,如果用户终端41的数据业务是基于分组协议数据上下文,则认证请求消息可通过新建立的PDP上下文来发送一个DHCP消息来实现。访问固定接入网络20所提供的业务所需的信息可放在DHCP消息中的一个选项(Option)中,或者是放在DHCP消息中的EAP认证扩展选项中(关于EAP认证扩展选项的具体内容,可参见Pruss,R.,Zorn,G.,Maglione,R.,and Y.Li,″EAPAuthentication Extensions for the Dynamic Host Configuration Protocolfor Broadband″.draft-pruss-dhcp-auth-dsl-06.June10,2009)。
在一个实施例中,固定接入网络20中的接入节点23,例如DSLAM,可在用户终端41发送的认证请求消息中插入端口信息,例如放在DHCP消息的选项中,以用于固定接入网络20中的认证服务器21来识别用户终端41附着的家庭基站21的网络地址。此情形下,认证服务器21中预存有接入节点端口与家庭基站的网络地址之间的对应关系。
在步骤S307中,固定接入网络20中的认证服务器21将来自用户终端41的认证请求消息发送给移动核心网30中的认证服务器32。
可选地,认证服务器21可将家庭基站11的网络地址加入到认证请求消息中后,再转发给移动核心网30中的认证服务器32。
在步骤S308中,移动核心网30中的认证服务器32在接收到来自固定接入网络20中的认证服务器21的认证请求消息后,将认证请求消息中包含用户终端41访问固定接入网络提供的业务所需的信息与存储的所需的信息进行比较。
可选地,在认证请求消息中包含家庭基站11的网络地址的情形下,认证服务器32还将存储的所需的信息对应的网络地址与该认证请求消息中包含的网络地址相比较。
然后,在步骤S309中,移动核心网30中的认证服务器32根据比较结果,发送一个第一认证响应请求消息至固定接入网络20中的认证服务器21。第一认证响应消息中包含比较结果是否匹配的信息,也即如果比较结果匹配,第一认证响应消息包含指示认证成功的信息,比较结果不匹配,第一认证响应消息包含指示认证失败的信息。
固定接入网络20中的认证服务器21在接收到该第一认证响应请求消息后,在步骤S310中,根据该第一认证响应消息,发送一个第二认证响应消息至用户终端41。
在用户终端41所请求的固定接入网络20提供的业务需要网络地址接收的情形下,在第一认证响应消息包含指示认证成功的信息的情形下,第二认证响应消息中包含一个分配给用户终端41的一个网络地址。在固定接入网络为基于IP的通信网络的情形下,网络地址即为IP地址。可选地,在第二认证响应消息中,还可以包含一个根密钥,以用于产生用户终端41与固定接入网络的业务提供服务器之间的会话密钥。
然后,用户终端41根据第二认证响应消息中包含的信息,例如分配给它的网络地址,以及根密钥来进行获取固定接入网络20提供的业务。
例如,在用户终端41获取固定接入网络20提供的IPTV业务的情形下,用户终端41可以利用分配的IP地址来访问电子节目单指南(EPG),然后通过已经建立的分组数据协议上下文建立来直接收看IPTV。
图4示出了根据本发明的一个具体实施方式的在通信网络的第一运营域中的服务GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置400的结构框图,其中,该用户终端注册到第一运营域。在图4中,装置400包括第一接收装置401、验证装置402、第一发送装置403。
以下结合图2,对位于服务GPRS支持节点31中的装置400的工作过程进行详细说明。在本实施例中,第一运营域为移动核心网30,第二运营域为固定接入网络20。
首先,第一接收装置401接收来自用户终端41的请求接收第二运营域提供的业务的第一请求消息。在一个实施例中,第一请求消息为激活分组数据协议上下文请求消息,其包含一个指示请求接收第二运营域提供的业务的接入点名称。
然后,验证装置402验证用户终端41是否有权限接收所述业务。最后,如用户终端41有权限接收所述业务,则第一发送装置403发送第二请求消息至第一运营域中的认证服务器32,该第二请求消息用于请求第一运营域中的认证服务器32为用户终端41分配访问所述业务所需的信息。在一个实施例中,第二请求消息中还包含用户终端41所附着的家庭基站11的网络地址。还可包含其它与该业务相关的信息,如IPTV服务器的地址等。
在认证服务器32为用户终端41分配访问所述业务所需的信息后,发送给服务GPRS支持节点31。在一个实施例中,所需的信息包括帐号和/或密码。
第一接收装置401接收来自第一运营域中的认证服务器32的所述所需的信息。然后一个预留装置(未在图4中示出)为用户终端41预留空中接口资源并创建相应的分组数据协议上下文(PDP Context)以用于所述业务的接收。
最后,第一发送装置403将所述所需的信息发送给用户终端41。
图5示出了根据发明的一个具体实施方式的在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置500的结构框图,其中,该用户终端注册到第一运营域,第二运营域为第一运营域的家庭基站提供回程链路。在图5中,该请求装置500包括第二发送装置501、第二接收装置502、第三发送装置503和第三接收装置504。
以下结合图2,对位于用户终端41中的请求装置500的工作过程进行详细说明。在本实施例中,第一运营域为移动核心网30,第二运营域为固定接入网络20。
首先,第二发送装置501发送请求接收第二运营域提供的业务的第一请求消息至第一运营域中的服务GPRS支持节点。
接着,第二接收装置502接收来自服务GPRS支持节点31的用于访问第二运营域提供的业务的所需的信息。
然后,第三发送装置503发送认证请求消息至所述第二运营域中的认证服务器21,该认证请求消息中包含上述所需的信息;
最后,第三接收装置504接收来自第二运营域中的认证服务器21的第一响应消息。在第二运营域为基于IP的固定接入网络的情形下,该第二认证响应消息中包括访问所述业务所需的IP地址。
可选地,在第二认证响应消息中,还可以包含一个根密钥,以用于产生用户终端41与固定接入网络的业务提供服务器之间的会话密钥。
然后,用户终端41根据第二认证响应消息中包含的信息,例如分配给它的网络地址,以及根密钥来进行获取固定接入网络20提供的业务。
图6示出了根据本发明的一个具体实施方式的在通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置600的结构框图,第二运营域为第一运营域的家庭基站提供回程链路。在图6中,装置600包括第四接收装置601、第四发送装置602、第五接收装置603和第五发送装置604。
以下结合图2,对位于认证服务器21中的装置600的工作过程进行详细说明。在本实施例中,第一运营域为移动核心网30,第二运营域为固定接入网络20。
首先,第四接收装置601接收来自用户终端41的认证请求消息。
然后,第四发送装置602将认证请求消息转发至给第一运营域中的认证服务器21。
接着,第五接收装置603接收来自第一运营域的认证服务器32的第一认证响应消息。
最后,第五发送装置根据第一认证响应消息,发送第二认证响应消息至用户终端41。在一个实施例中,第二运营域为基于IP的固定接入网络,装置600还包括一个分配装置(未在图6中示出),如第一认证请求消息包含指示认证成功的信息,则为用户终端41分配IP地址,该IP地址被包含在第二认证响应消息中。
图7示出了根据本发明的一个具体实施方式的在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置700的结构框图,第二运营域为第一运营域的家庭基站提供回程链路。在图7中,装置700包括第六接收装置701、分配存储发送装置702、第七接收装置703、比较装置704和第六发送装置705。
以下结合图2,对位于认证服务器31中的装置700的工作过程进行详细说明。在本实施例中,第一运营域为移动核心网30,第二运营域为固定接入网络20。
首先,第六接收装置701接收来自第一运营域中的服务GPRS支持节点31的第二请求消息,该第二请求消息用于请求第一运营域中的认证服务器31为用户终端41分配访问第二运营域提供的业务所需的信息。
接着,分配存储发送装置702为用户终端41分配访问所述业务所需的信息,且进行存储,并将该信息发送至服务GPRS支持节点31。
然后,第七接收装置703接收来自第二运营域的认证服务器21的对用户终端41进行认证的认证请求消息,该认证请求消息中包含用户终端41访问所述业务所需的信息。
比较装置704将认证请求消息中包含用户终端41访问所述业务所需的信息与存储的所需的信息进行比较。
第六发送装置705根据比较装置704的比较结果,发送一个认证响应消息至第二运营域的认证服务器21。
在一个实施例中,第二请求消息中还包含用户终端41所附着的家庭基站11的网络地址,分配存储发送装置702将家庭基站11的网络地址与所述所需的信息一起存储。第七接收装置703接收到的认证请求消息中还包括用户终端41所附着的家庭基站11的网络地址。比较装置704将认证请求消息中包含用户终端41访问所述业务所需的信息、用户终端41所附着的家庭基站11的网络地址与存储的所需的信息、用户终端41所附着的家庭基站11的网络地址进行比较。然后第六发送装置705根据比较装置704的比较结果,发送一个认证响应消息至第二运营域的认证服务器21。
以上对本发明的各个具体实施方式进行了详细说明,任何不背离本发明精神的技术方案均应落入本发明的保护范围之内。此外,不应将权利要求中的任何附图标记视为限制所涉及的权利要求;“包括”一词不排除其它权利要求或说明书中未列出的装置或步骤;装置前的“一个”不排除多个这样的装置的存在;在包含多个装置的设备中,该多个装置中的一个或多个的功能可由同一个硬件或软件模块来实现;“第一”、“第二”、“第三”等词语仅用来表示名称,而并不表示任何特定的顺序。
Claims (15)
1.一种在通信网络的第一运营域中的服务GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的方法,其中所述第二运营域为所述第一运营域的家庭基站提供回程链路,该用户终端为注册到第一运营域的用户终端,该方法包括以下步骤:
A.接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息;
B.验证所述用户终端是否有权限接收所述业务;
C.如所述用户终端有权限接收所述业务,则发送第二请求消息至第一运营域中的认证服务器,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。
2.根据权利要求1所述的方法,其中,还包括以下步骤:
-接收来自所述第一运营域中的认证服务器的所述所需的信息;
-为所述用户终端预留空中接口资源以及创建相应的分组数据协议上下文以用于所述业务的接收;
-将所述所需的信息发送给用户终端。
3.根据权利要求2所述的方法,其中,所述所需的信息包括帐号和/或密码。
4.根据权利要求1所述的方法,其中,所述第一运营域为移动通信网络,所述第二运营域为固定通信网络。
5.根据权利要求1所述的方法,其中,所述第二请求消息中还包含所述用户终端所附着的家庭基站的网络地址。
6.一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的方法,其中,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该用户终端为注册到第一运营域的用户终端,该方法包括以下步骤:
-发送请求接收所述业务的第一请求消息至第一运营域中的服务GPRS支持节点;
-接收来自所述服务GPRS支持节点的用于访问所述业务的所需的信息;
-发送认证请求消息至所述第二运营域中的认证服务器,该认证请求消息中包含所述所需的信息;
-接收来自所述第二运营域中的认证服务器的第二响应消息。
7.根据权利要求6所述的方法,其中,所述第二运营域为基于IP的固定通信网络,该认证响应消息中包括访问所述业务所需的IP地址。
8.一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法,其中,所述第二运营域为所述第一运营域的家庭基站提供回程链路,包括以下步骤:
-接收来自用户终端的认证请求消息;
-将所述认证请求消息转发至给所述第一运营域中的认证服务器;
-接收来自所述第一运营域的认证服务器的第一认证响应消息;
-根据所述第一认证响应消息,发送第二认证响应消息至所述用户终端。
9.根据权利要求8所述的方法,其中,所述第二运营域为基于IP的固定通信网络,所述方法还包括以下步骤:
如所述第一认证响应消息包含指示认证成功的信息,则为所述用户终端分配IP地址。
10.一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的方法,其中,第二运营域为所述第一运营域的家庭基站提供回程链路,该方法包括以下步骤:
-接收来自第一运营域中的服务GPRS支持节点的第二请求消息,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述第二运营域提供的业务所需的信息;
-为所述用户终端分配访问所述业务所需的信息,且进行存储,并将该信息发送至所述服务GPRS支持节点;
-接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息,该认证请求消息中包含所述用户终端访问所述业务所需的信息;
-将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较;
-根据比较结果,发送第一认证响应消息至所述第二运营域的认证服务器。
11.根据权利要求10所述的方法,其中,所述第二请求消息中还包含所述用户终端所附着的家庭基站的网络地址,
所述存储步骤包括以下步骤:
-将所述家庭基站的网络地址与所述所需的信息一起存储;
其中,所述认证请求消息中还包括所述用户终端所附着的家庭基站的网络地址;
所述比较步骤包括以下步骤:
-将所述认证请求消息中包含所述用户终端访问所述业务所需的信息、所述用户终端所附着的家庭基站的网络地址与存储的所需的信息、所述用户终端所附着的家庭基站的网络地址进行比较。
12.一种在通信网络的第一运营域中的服务GPRS支持节点中用于对通过家庭基站连接到通信网络中、且请求获取由第二运营域提供的业务的用户终端进行认证的装置,其中,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该用户终端为注册到第一运营域的用户终端,包括:
第一接收装置,用于接收来自所述用户终端的请求接收所述第二运营域提供的业务的第一请求消息;
验证装置,用于验证所述用户终端是否有权限接收所述业务;
第一发送装置,用于如所述用户终端有权限接收所述业务,则发送第二请求消息至第一运营域中的认证服务器,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述业务所需的信息。
13.一种在通信网络的用户终端中用于请求访问第二运营域提供的业务的请求装置,其中,所述第二运营域为所述第一运营域的家庭基站提供回程链路,该用户终端为注册到第一运营域的用户终端,该请求装置包括:
第二发送装置,用于发送请求接收所述业务的第一请求消息至第一运营域中的服务GPRS支持节点;
第二接收装置,用于接收来自所述服务GPRS支持节点的用于访问所述业务的所需的信息;
第三发送装置,用于发送认证请求消息至所述第二运营域中的认证服务器,该认证请求消息中包含所述所需的信息;
第三接收装置,用于接收来自所述第二运营域中的认证服务器的第二响应消息。
14.一种通信网络的第二运营域中的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置,所述第二运营域为所述第一运营域的家庭基站提供回程链路,包括:
第四接收装置,用于接收来自用户终端的认证请求消息;
第四发送装置,用于将所述认证请求消息转发至给所述第一运营域中的认证服务器;
第五接收装置,用于接收来自所述第一运营域的认证服务器的第一认证响应消息;
第五发送装置,用于根据所述第一认证响应消息,发送第二认证响应消息至所述用户终端。
15.一种在通信网络的第一运营域的认证服务器中用于对注册到第一运营域的用户终端进行认证的装置,第二运营域为所述第一运营域的家庭基站提供回程链路,包括:
第六接收装置,用于接收来自第一运营域中的服务GPRS支持节点的第二请求消息,该第二请求消息用于请求所述第一运营域中的认证服务器为所述用户终端分配访问所述第二运营域提供的业务所需的信息;
分配存储发送装置,用于为所述用户终端分配访问所述业务所需的信息,且进行存储,并将该信息发送至所述服务GPRS支持节点;
第七接收装置,用于接收来自所述第二运营域的认证服务器的对所述用户终端进行认证的认证请求消息,该认证请求消息中包含所述用户终端访问所述业务所需的信息;
比较装置,用于将所述认证请求消息中包含所述用户终端访问所述业务所需的信息与存储的所需的信息进行比较;
第六发送装置,用于根据比较结果,发送一个认证响应消息至所述第二运营域的认证服务器。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2010/070942 WO2011109936A1 (zh) | 2010-03-09 | 2010-03-09 | 对用户终端进行认证的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102474722A CN102474722A (zh) | 2012-05-23 |
CN102474722B true CN102474722B (zh) | 2013-12-25 |
Family
ID=44562786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010800347623A Active CN102474722B (zh) | 2010-03-09 | 2010-03-09 | 对用户终端进行认证的方法及装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8813195B2 (zh) |
EP (1) | EP2547133B1 (zh) |
JP (1) | JP5521057B2 (zh) |
KR (1) | KR101426721B1 (zh) |
CN (1) | CN102474722B (zh) |
WO (1) | WO2011109936A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101467173B1 (ko) * | 2013-02-04 | 2014-12-01 | 주식회사 케이티 | M2m 네트워크의 리소스 관리 방법 및 리소스 관리 장치 |
KR101999231B1 (ko) | 2013-02-27 | 2019-07-11 | 주식회사 케이티 | 차량 콤포넌트 제어 유닛 및 차량 콤포넌트 제어를 위한 휴대용 단말 |
KR101687340B1 (ko) | 2013-09-12 | 2016-12-16 | 주식회사 케이티 | 홈 네트워크 운영환경 설정 방법 및 이를 위한 장치 |
KR101593115B1 (ko) | 2013-10-15 | 2016-02-11 | 주식회사 케이티 | 홈 네트워크 시스템에서의 구형 기기 상태 모니터링 방법 및 홈 네트워크 시스템 |
CN108076461B (zh) * | 2016-11-18 | 2020-09-18 | 华为技术有限公司 | 一种鉴权方法、基站、用户设备和核心网网元 |
CN106982427B (zh) * | 2017-04-14 | 2020-08-18 | 北京佰才邦技术有限公司 | 连接建立方法及装置 |
JP7148947B2 (ja) | 2017-06-07 | 2022-10-06 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理装置 |
CN111347428B (zh) * | 2020-04-16 | 2021-09-21 | 蓓安科仪(北京)技术有限公司 | 基于5g网络的智能医疗机器人的控制方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1391758A (zh) * | 1999-07-02 | 2003-01-15 | 诺基亚公司 | 认证方法及系统 |
CN1889781A (zh) * | 2006-07-28 | 2007-01-03 | 电信科学技术研究院 | 一种多模终端在异质接入技术网络之间漫游的认证方法 |
KR100668660B1 (ko) | 2005-10-19 | 2007-01-12 | 한국전자통신연구원 | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 |
EP1752012A1 (en) * | 2004-06-02 | 2007-02-14 | Nokia Corporation | Method for roaming between networks |
CN101631309A (zh) * | 2008-07-17 | 2010-01-20 | 上海华为技术有限公司 | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3639200B2 (ja) * | 2000-09-08 | 2005-04-20 | 株式会社東芝 | 通信システム、移動端末装置、ゲートウェイ装置、アドレス割り当て方法及び検索サービス方法 |
DE60106549T2 (de) * | 2000-11-21 | 2005-02-24 | Samsung Electronics Co., Ltd., Suwon | Regionales Tunnelsteuerungverfahren in einem Mobilkommunikationssystem mit Mobile-IP |
CN100366007C (zh) * | 2002-05-01 | 2008-01-30 | 爱立信电话股份有限公司 | 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 |
US8233934B2 (en) * | 2002-10-01 | 2012-07-31 | Nokia Corporation | Method and system for providing access via a first network to a service of a second network |
US8528063B2 (en) * | 2004-03-31 | 2013-09-03 | International Business Machines Corporation | Cross domain security information conversion |
KR100725974B1 (ko) * | 2005-03-31 | 2007-06-11 | 노키아 코포레이션 | 제 1 네트워크를 통해 제 2 네트워크의 서비스에 대한액세스를 제공하는 방법 및 시스템 |
US9521149B2 (en) * | 2005-06-28 | 2016-12-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Means and method for controlling network access in integrated communications networks |
EP1871065A1 (en) * | 2006-06-19 | 2007-12-26 | Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO | Methods, arrangement and systems for controlling access to a network |
US8345604B2 (en) * | 2007-06-07 | 2013-01-01 | Qualcomm Incorporated | Effectuating establishment of internet protocol security tunnels for utilization in a wireless communication environment |
WO2009012187A2 (en) * | 2007-07-14 | 2009-01-22 | Tatara Systems, Inc. | Method and apparatus for supporting sip/ims-based femtocells |
CN101400153B (zh) | 2007-09-27 | 2013-01-16 | 北京三星通信技术研究有限公司 | 用户设备通过hnb接入系统直接通信的方法 |
WO2009064574A1 (en) * | 2007-11-15 | 2009-05-22 | Airwalk Communications, Inc. | System, method, and computer-readable medium for processing call originations by a femtocell system |
US9166799B2 (en) * | 2007-12-31 | 2015-10-20 | Airvana Lp | IMS security for femtocells |
JP2009253431A (ja) * | 2008-04-02 | 2009-10-29 | Alcatel-Lucent Usa Inc | Iuインターフェースを有するUMTSフェムトセル解法においてPSトラフィックをオフロードする方法。 |
US8380819B2 (en) * | 2009-05-14 | 2013-02-19 | Avaya Inc. | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network |
-
2010
- 2010-03-09 EP EP10847195.4A patent/EP2547133B1/en active Active
- 2010-03-09 CN CN2010800347623A patent/CN102474722B/zh active Active
- 2010-03-09 JP JP2012556360A patent/JP5521057B2/ja active Active
- 2010-03-09 WO PCT/CN2010/070942 patent/WO2011109936A1/zh active Application Filing
- 2010-03-09 KR KR1020127026065A patent/KR101426721B1/ko active IP Right Grant
- 2010-03-09 US US13/576,488 patent/US8813195B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1391758A (zh) * | 1999-07-02 | 2003-01-15 | 诺基亚公司 | 认证方法及系统 |
EP1752012A1 (en) * | 2004-06-02 | 2007-02-14 | Nokia Corporation | Method for roaming between networks |
KR100668660B1 (ko) | 2005-10-19 | 2007-01-12 | 한국전자통신연구원 | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 |
CN1889781A (zh) * | 2006-07-28 | 2007-01-03 | 电信科学技术研究院 | 一种多模终端在异质接入技术网络之间漫游的认证方法 |
CN101631309A (zh) * | 2008-07-17 | 2010-01-20 | 上海华为技术有限公司 | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 |
Also Published As
Publication number | Publication date |
---|---|
KR20120139777A (ko) | 2012-12-27 |
US8813195B2 (en) | 2014-08-19 |
US20120304259A1 (en) | 2012-11-29 |
JP5521057B2 (ja) | 2014-06-11 |
CN102474722A (zh) | 2012-05-23 |
EP2547133B1 (en) | 2018-06-27 |
EP2547133A1 (en) | 2013-01-16 |
EP2547133A4 (en) | 2015-08-12 |
WO2011109936A1 (zh) | 2011-09-15 |
KR101426721B1 (ko) | 2014-08-06 |
JP2013521728A (ja) | 2013-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102474722B (zh) | 对用户终端进行认证的方法及装置 | |
KR101971167B1 (ko) | 이주자에 의해 야기된 코어 네트워크 트래픽의 감소 | |
CN101141492B (zh) | 实现dhcp地址安全分配的方法及系统 | |
CN101730268B (zh) | Femto网关、移动终端访问网络资源的方法及系统 | |
CN102884819A (zh) | 用于wlan漫游流量认证的系统和方法 | |
CN102172062B (zh) | 通信系统,连接控制装置,移动终端,基站控制方法,服务请求方法和程序 | |
CN102882853A (zh) | 一种互联网用户身份验证的系统和方法 | |
US20090043891A1 (en) | Mobile WiMax network system including private network and control method thereof | |
JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
CN1929482B (zh) | 一种网络业务认证方法及装置 | |
CN102611597A (zh) | 一种在不同家庭环境中免输入账号和密码的宽带上网方法 | |
CN102421098A (zh) | 一种用户认证方法、装置及系统 | |
CN103517383B (zh) | 移动终端接入家庭网络的方法和设备 | |
CN102421097A (zh) | 一种用户认证方法、装置及系统 | |
CN101621433B (zh) | 接入设备的配置方法、装置及系统 | |
CN103139772A (zh) | 处理终端接入局域网的方法及使用数据统计的方法及装置 | |
CN101656964B (zh) | Wi-Fi城域网的实现方法及家庭网关 | |
CN101873330B (zh) | 支持IPv6/IPv4双栈接入的访问控制方法和服务器 | |
CN102883265A (zh) | 接入用户的位置信息发送和接收方法、设备及系统 | |
WO2005111826A1 (ja) | 通信システム | |
CN102812773B (zh) | 用于本地网络接入的方法和装置 | |
CN101635632A (zh) | 认证与配置方法、系统和装置 | |
CN108271152B (zh) | 无线局域网wlan认证方法、认证平台和门户服务器 | |
CN102420799A (zh) | 一种用户认证方法、装置及系统 | |
JP5589983B2 (ja) | アクセスポイント |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Ning Road, Shanghai, No. 388 Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |