CN103391544B - 基站接入控制方法、相应的装置以及系统 - Google Patents
基站接入控制方法、相应的装置以及系统 Download PDFInfo
- Publication number
- CN103391544B CN103391544B CN201210144241.4A CN201210144241A CN103391544B CN 103391544 B CN103391544 B CN 103391544B CN 201210144241 A CN201210144241 A CN 201210144241A CN 103391544 B CN103391544 B CN 103391544B
- Authority
- CN
- China
- Prior art keywords
- base station
- identity information
- base
- gateway
- station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种基站接入控制方法、相应的装置以及系统。其中,所述方法包括:安全网关获取基站的第三基站身份信息,第三基站身份信息是基站的真实身份信息;根据第三基站身份信息与从基站网关获取的第一基站身份信息验证第三基站身份信息与第一基站身份信息是否一致,第一基站身份信息是基站上报给基站网关的身份信息;如果第三基站身份信息与第一基站身份信息一致,则允许基站接入基站网关。通过上述方式,本申请能够在实现安全接入的同时,避免在基站网关上增加验证功能,降低基站网关的复杂性。
Description
技术领域
本申请涉及通讯领域,特别是涉及一种基站接入控制方法、相应的装置以及系统。
背景技术
家庭基站(HNB,Home NodeB)是一种小型、低功率的基站,安置在及办公室等室内场所,能够为用户提高业务速率及降低业务费用,同时弥补分布式蜂窝无线通信系统在室内覆盖不足的缺点。
随着HNB技术的广泛应用,安全问题也越来越突出。例如:a HNB使用a身份和安全网关(SeGW,Security Gateway)进行认证,但在注册时,a HNB使用b HNB的身份进行注册,此时,家庭基站网关(HNB GW,Home NodeB Gateway)会错误认为a HNB为b HNB,若a HNB为封闭接入模式,而b HNB为开放接入模式,则用户(UE,User Equipment)的所有通信都可以通过a HNB进行,此时,a HNB的用户占用了b HNB的资源,而且,b HNB可窃听a HNB的用户的业务数据,给网络使用带来不安全的因数。
现有技术提供了一种基站接入控制方法,包括:
在HNB认证过程中,将家庭基站标识(HNB ID)、闭合签约用户组标识(CSG ID,Close Subscribe Group Identity)、基站接入模式以及SeGW分配给HNB的互联网地址等第三基站身份信息写入AAA服务器。
在HNB注册过程中,HNB GW从AAA服务器中读出第三基站身份信息,并与HNB在注册过程中上报的基站信息进行比对验证,并在验证通过时允许HNB接入。
但是,HNB GW本身集成的功能比较多,结构复杂,接入控制功能集成到HNB GW将进一步使得HNB GW更为复杂,降低HNB GW的可靠性。
发明内容
本申请提供一种基站接入控制方法、相应的装置以及系统,能够在实现安全接入的同时,降低基站网关的复杂性。
本申请的一方面,提供一种安全网关接入控制方法,包括:安全网关获取基站的第三基站身份信息,所述第三基站身份信息是所述基站的真实身份信息;根据所述第三基站身份信息与从基站网关获取的第一基站身份信息验证所述第三基站身份信息与所述第一基站身份信息是否一致,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;如果所述第三基站身份信息与所述第一基站身份信息一致,则允许所述基站接入所述基站网关。
其中,所述如果第三基站身份信息与所述第一基站身份信息一致,则允许所述基站接入所述基站网关步骤包括:如果所述第三基站身份信息与所述第一基站身份信息一致,向基站网关发送验证成功消息。
其中,所述允许基站接入所述基站网关步骤之后包括:在用户发起与核心网连接时,安全网关获取所述基站网关发送的第二基站身份信息,其中,所述第二基站身份信息是所述基站上报给所述基站网关的身份信息;验证所述第三基站身份信息与所述第二基站身份信息是否一致;如果所述第三基站身份信息与所述第二基站身份信息一致,则允许所述用户接入基站网关。
其中,所述第二基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
其中,所述第一基站身份信息及第三基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
本申请的另一方面,一种基站网关接入控制方法,包括:基站网关从基站接收部分第一基站身份信息,其中,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;将所述第一基站身份信息发送给安全网关,以便所述安全网关进行身份验证进而控制基站接入基站网关。
其中,所述第一基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
其中,当所述第一基站身份信息为闭合签约用户组标识时,所述将第一基站身份信息发送给安全网关步骤之后,所述方法还包括:当用户在源基站与目标基站之间切换时,所述基站网关验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同;如果两个所述闭合签约用户组标识不同,则拒绝用户切换。
其中,当所述第一基站身份信息为闭合签约用户组标识时,所述将第一基站身份信息发送给安全网关步骤之后,所述方法还包括:在源基站和目标基站之间建立直接接口时,所述基站网关验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同;如果两个所述闭合签约用户组标识相同,则允许源基站和目标基站之间建立直接接口。
本申请的另一方面,一种安全网关接入控制装置,包括:获取模块,用于获取基站的第三基站身份信息,所述第三基站身份信息是所述基站的真实身份信息;判断模块,用于根据所述第三基站身份信息与从基站网关获取的第一基站身份信息验证所述第三基站身份信息与所述第一基站身份信息是否一致,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;并在所述第三基站身份信息与所述第一基站身份信息一致时,允许所述基站接入所述基站网关。
其中,所述装置包括:安全网关发送模块,用于在所述第三基站身份信息与所述第一基站身份信息一致时,向基站网关发送验证成功消息,以允许所述基站接入所述基站网关。
其中,所述第一基站身份信息及第三基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
其中,所述获取模块还用于获取所述基站网关发送的第二基站身份信息,其中,所述第二基站身份信息是所述基站上报给所述基站网关的身份信息;所述判断模块还用于验证所述第三基站身份信息与所述第二基站身份信息是否一致,并在所述第三基站身份信息与所述第二基站身份信息一致时,允许用户接入所述基站网关。
其中,所述第二基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
本申请的另一方面,一种基站网关接入控制装置,包括:接收模块,用于从基站接收部分第一基站身份信息,其中,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;基站网关发送模块,用于将所述第一基站身份信息发送给安全网关,以便所述安全网关进行身份验证进而控制基站接入基站网关。
其中,所述第一基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
其中,当所述第一基站身份信息为闭合签约用户组标识时,所述装置还包括:验证模块,用于在用户在源基站与目标基站之间切换时,验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同,并在两个所述闭合签约用户组标识不同时,拒绝用户切换。
其中,当所述第一基站身份信息为闭合签约用户组标识时,所述验证模块还用于:在源基站和目标基站之间建立直接接口时,验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同,并在两个所述闭合签约用户组标识相同时,允许源基站和目标基站之间建立直接接口。
本申请的另一方面,一种基站接入控制系统,包括:基站,用于发送第一基站身份信息;基站网关,用于接收所述基站所发送的第一基站身份信息以及再次发送第一基站身份信息,其中,所述第一基站身份信息是基站上报给所述基站网关的身份信息;安全网关,用于接收所述基站网关所发送的第一基站身份信息、获取基站的第三基站身份信息,并验证所述第三基站身份信息与第一基站身份信息是否一致,在所述第三基站身份信息与所述第一基站身份信息一致时,允许所述基站接入基站网关,其中,所述第三基站身份信息是所述基站的真实身份信息。
其中,所述基站还用于发送第二基站身份信息,其中,所述第二基站身份信息是所述基站上报给所述基站网关的身份信息;所述基站网关还用于接收所述基站所发送的第二基站身份信息以及再次发送第二基站身份信息;所述安全网关还用于接收所述基站网关所发送的第二基站身份信息,并验证所述第三基站身份信息与第二基站身份信息是否一致,在所述第三基站身份信息与所述第二基站身份信息一致时,允许用户接入基站网关。
上述技术方案,可以降低基站网关的复杂程度,提高基站网关的可靠性。
附图说明
图1是本申请安全网关接入控制方法一实施例的流程图;
图2是本申请安全网关接入控制方法另一实施例的流程图;
图3是本申请安全网关接入控制方法另一实施例的交互图;
图4是本申请基站网关接入控制方法一实施例的流程图;
图5是本申请基站网关接入控制方法另一实施例的流程图;
图6是本申请基站网关接入控制方法另一实施例的交互图;
图7是本申请安全网关接入控制装置一实施的结构示意图;
图8是本申请基站网关接入控制装置一实施的结构示意图;
图9是本申请基站网关接入控制装置另一实施的结构示意图;
图10是本申请基站接入控制系统一实施的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透切理解本申请。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
本文中描述的技术可用于各种通信系统,例如当前2G,3G通信系统和下一代通信系统,例如全球移动通信系统(GSM,Global System for Mobile communications),码分多址(CDMA,Code Division Multiple Access)系统,时分多址(TDMA,Time DivisionMultiple Access)系统,宽带码分多址(WCDMA,Wideband Code Division MultipleAccess Wireless),频分多址(FDMA,Frequency Division Multiple Addressing)系统,正交频分多址(OFDMA,Orthogonal Frequency-Division Multiple Access)系统,单载波FDMA(SC-FDMA)系统,通用分组无线业务(GPRS,General Packet Radio Service)系统,长期演进(LTE,Long Term Evolution)系统,以及其他此类通信系统。
本文中结合用户设备和/或基站来描述各种方面。
用户设备,可以是无线终端也可以是有线终端,无线终端可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(例如,RAN,Radio Access Network)与一个或多个核心网进行通信,无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(PCS,PersonalCommunication Service)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(WLL,Wireless Local Loop)站、个人数字助理(PDA,Personal Digital Assistant)等设备。无线终端也可以称为系统、订户单元(Subscriber Unit)、订户站(Subscriber Station),移动站(Mobile Station)、移动台(Mobile)、远程站(Remote Station)、接入点(AccessPoint)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(UserTerminal)、用户代理(User Agent)、用户设备(User Device)、或用户装备(UserEquipment)。
基站(例如,接入点)可以是指接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与IP分组进行相互转换,作为无线终端与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(IP)网络。基站还可协调对空中接口的属性管理。例如,基站可以是GSM或CDMA中的基站(BTS,BaseTransceiver Station),也可以是WCDMA中的基站(NodeB),还可以是LTE中的演进型基站(NodeB或eNB或e-NodeB,evolutional Node B),本申请并不限定。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
下面结合附图和具体的实施方式对本申请进行详细说明。本文所述的基站包含家庭基站(HNB)和微小区基站。所谓微小区基站指比宏基站小区的覆盖面积小或发射功率小的基站。
参阅图1,为本申请一种安全网关接入控制方法的流程示意图。
S101:安全网关获取基站的第三基站身份信息。
在S101之前,运营商将部分第三基站身份信息存储在与本SeGW相连的节点中或者直接配置在SeGW上,基站标识、CSG ID以及基站接入模式。在运营过程中,SeGW为基站分配互联网地址,并存储在本地或与本SeGW相连的节点中一同作为第三基站身份信息。
在基站认证时,基站发送认证请求(Authentication)至SeGW,SeGW获取第三基站身份信息。例如,向与本SeGW相连的节点发送请求,该节点在接收到请求后,将第三基站身份信息发送给SeGW。
值得注意的是,在其他实施例中,第三基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
S102:验证第三基站身份信息与第一基站身份信息是否一致。
在基站注册时,基站向基站网关发送基站注册请求(Register Request),基站注册请求中携带了部分第一基站身份信息,包括:基站标识、CSG ID、基站接入模式。基站网关接收到基站注册请求后,将基站的第一基站身份信息发送给SeGW,其中,第一基站身份信息是基站上报给基站网关的身份信息。SeGW存储第一基站身份信息。SeGW判断第三基站身份信息与第一基站身份信息是否一致,并发送验证响应(Verify Response)至基站网关,其中,验证响应包括验证成功消息或验证失败消息。如果是,进入S103,如果否,进入S104。
值得注意的是,在其他实施例中,第一基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
S103:允许基站接入基站网关。
当基站网关收到验证成功消息时或者没有收到验证失败消息认为基站身份验证成功,允许基站接入基站网关。此时,基站网关向基站发送注册接受消息。
S104:拒绝基站接入基站网关。
当基站网关没有收到验证成功消息时或者收到验证失败消息认为基站身份验证失败,拒绝基站接入基站网关。此时,基站网关向基站发送注册拒绝消息。
本实施例中,接入控制功能集成到SeGW中能够减少集中到基站网关的功能,降低基站网关的复杂程度。
参阅图2及图3,本申请安全网关接入控制方法另一实施例包括:
S201:安全网关获取基站的第三基站身份信息。
在S201之前,运营商将部分第三基站身份信息存储在与本SeGW相连的节点中或者直接配置在SeGW上,基站标识、CSG ID以及基站接入模式。在运营过程中,SeGW为基站分配互联网地址,并存储在本地或与本SeGW相连的节点中一同作为第三基站身份信息。
在基站认证时,基站发送认证请求(Authentication)至SeGW,SeGW接收到认证请求后从本地或与本SeGW相连的节点获取第三基站身份信息。例如,向与本SeGW直接相连的节点发送请求,该节点在接收到请求后,将基站标识、CSG ID、基站接入模式以及基站的互联网地址发送给SeGW。
值得注意的是,在其他实施例中,第三基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
S202:验证第三基站身份信息与第一基站身份信息是否一致。
在基站注册时,基站向基站网关发送基站注册请求(Register Request),基站注册请求中携带了部分第一基站身份信息,包括:基站标识、CSG ID、基站接入模式。基站网关接收到基站注册请求后,将基站的第一基站身份信息发送给SeGW,其中,第一基站身份信息是基站上报给基站网关的身份信息。SeGW存储第一基站身份信息。SeGW判断第三基站身份信息与第一基站身份信息是否一致,并发送验证响应(Verify Response)至基站网关,其中,验证响应包括验证成功消息或验证失败消息。当基站网关收到验证成功消息时或者没有收到验证失败消息认为基站身份验证成功。如果是,进入S203,如果否,进入S204。
值得注意的是,在其他实施例中,第一基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
S203:允许基站接入基站网关。
当基站网关收到验证成功消息时或者没有收到验证失败消息认为基站身份验证成功,允许基站接入基站网关。此时,基站网关向基站发送注册接受消息。
S204:拒绝基站接入基站网关。
当基站网关没有收到验证成功消息时或者收到验证失败消息认为基站身份验证失败,拒绝基站接入基站网关。此时,基站网关向基站发送注册拒绝消息。
S205:安全网关获取基站网关发送的第二基站身份信息。
在基站注册完成后,当用户需要接入核心网(CN,Core Network)时,UE发送初始直接传送信息(Initial Direct Tansfer)至基站。基站接收到初始直接传送信息后,发送用户注册请求(UE Register)至基站网关,基站网关接收到用户注册请求后,回复基站,基站发送连接请求至基站网关,连接请求中包含初始用户消息(Initial UE Message),而初始用户消息中携带了第二基站身份信息,其中,第二基站身份信息为基站上报基站网关的的身份消息,包括:CSG ID、基站接入模式以及基站的互联网地址。基站网关将第二基站身份信息发送至SeGW。SeGW可在本地存储第二基站身份信息。
值得注意的是,在其他的实施例中,第二基站身份信息也可以只包括CSG ID、基站接入模式以及基站的互联网地址中的一个或两个。
S206:验证第三基站身份信息与第二基站身份信息是否一致。
SeGW将S201中获取到的第三基站身份信息和S202中获取到的第二基站身份信息进行验证,选择发送验证响应(Verify Response)至基站网关,如果验证一致,进入S207,如果验证不一致,进入S208。
S207:允许用户接入基站网关。
当基站网关收到验证成功消息时或者没有收到验证失败消息确定基站身份验证通过,基站网关发送初始用户消息至CN,允许UE接入,UE与CN建立连接关系。
S208:拒绝用户接入基站网关。
当基站网关没有收到验证成功消息时或者收到验证失败消息确定基站身份验证不通过,拒绝用户接入基站网关。
本实施例中,UE接入CN前,通过SeGW对基站的身份进行验证,能够确保UE接入的安全,同时,基站身份的验证功能集成到SeGW中实现同样能够减少集中到基站网关的功能,降低基站网关的复杂程度,提高基站网关的可靠性。
参阅图4,本申请基站网关接入控制方法第一实施例包括:
S401:基站网关从基站接收部分第一基站身份信息。
在基站注册时,基站向基站网关发送基站注册请求(Register Request),基站注册请求中携带了部分第一基站身份信息,包括:基站标识、CSG ID、基站接入模式等等。基站网关接收第一基站身份信息并存储在本地。
S402:将第一基站身份信息发送给安全网关。
基站网关接收到基站注册请求后,将基站的第一基站身份信息发送给SeGW,以供SeGW进行验证进而控制基站接入。其中,第一基站身份信息是基站上报给基站网关的身份信息。
值得注意的是,在其他实施例中,第一基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
本实施例中,基站网关接收第一基站身份信息,并将第一基站身份信息发送到SeGW中进行验证,能够确保基站接入的安全,并且,接入控制功能集成到SeGW中能够减少集中到基站网关的功能,降低基站网关的复杂程度。
参阅图5,本申请基站网关接入控制方法第二实施例包括:
S501:基站网关从基站接收部分第一基站身份信息。
在基站注册时,基站向基站网关发送基站注册请求(Register Request),基站注册请求中携带了部分第一基站身份信息,包括:基站标识、CSG ID、基站接入模式等等。基站网关接收第一基站身份信息并存储在本地。
值得注意的是,在其他实施例中,第三基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
S502:将第一基站身份信息发送给安全网关。
基站网关接收到基站注册请求后,将基站的第一基站身份信息发送给SeGW,以供SeGW进行验证进而控制基站接入。其中,第一基站身份信息是基站上报给基站网关的身份信息。
S503:验证源基站的CSG ID以及目标基站的CSG ID是否相同。
一并参阅图6,基站接入后,当UE需要从源基站切换到目标基站时,源基站发送切换请求至目标基站,目标基站接收到切换请求后发送切换响应至源基站。源基站接收到切换响应后发送切换命令至目标基站。此后,源基站发送重新配置命令至UE。UE重新配置参数后,发送配置完毕命令至目标基站。目标基站接收到配置完毕命令后,发送切换完成消息至基站网关。基站网关根据注册时源基站和目标基站存储在基站网关中的CSG ID进行验证,如果验证结果相同,进入S504,如果验证结果不相同,进入S505。
S504:允许用户切换。
基站网关发送去注册命令至源基站,源基站接收到后,发送切换信号转换命令至目标基站,UE切换成功。
S505:释放用户或拒绝用户切换。
其中,在UE从源基站切换到目标基站时,为了提高安全性,还可以增加其中的验证的,例如:在验证CSG ID相同后,再增加验证成员资格是否一致等等。
值得注意的是,源基站和目标基站之间也可以建立直接接口。在源基站和目标基站之间建立直接接口时,基站网关验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同;如果闭合签约用户组标识相同,则允许源基站和目标基站之间建立直接接口。
参阅图7,本申请安全网关接入控制装置第一实施包括:获取模块101、判断模块102及安全网关发送模块103。
获取模块101获取基站的第三基站身份信息,其中,第三基站身份信息是基站的真实身份信息。获取模块101得到第三基站身份信息后,将第三基站身份信息发送给判断模块102。判断模块102根据接收到的第三基站身份信息与从基站网关获取并保存在本地的第一基站身份信息判断第三基站身份信息与第一基站身份信息是否一致,并在第三基站身份信息与第一基站身份信息一致时,通过安全网关发送模块103向基站网关发送验证成功消息,允许基站接入基站网关。其中,第一基站身份信息是基站上报给基站网关的身份信息。其中,第三基站身份信息及第一基站身份信息包括:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
值得注意的是,在其他实施例中,第一基站身份信息及第三基站身份信息也可以只包括基站标识、CSG ID、基站接入模式以及基站的互联网地址中的一个或多个。
当UE需要接入CN时,获取模块101获取基站网关发送的第二基站身份信息,其中,第二基站身份信息是基站上报给基站网关的身份信息。获取模块101得到第二基站身份信息后,将第二基站身份信息发送给判断模块102。判断模块102验证第三基站身份信息与第二基站身份信息是否一致,并在第三基站身份信息与第二基站身份信息一致时,允许UE接入基站网关。
本实施例中,接入控制功能集成到SeGW中能够减少集中到基站网关的功能,降低基站网关的复杂程度。
而且,UE接入CN前,通过判断模块102进一步对基站的身份进行验证,能够确保UE接入的安全,同时,验证功能集成到SeGW中实现同样能够减少集中到基站网关的功能,降低基站网关的复杂程度。
参阅图8,本申请基站网关接入控制装置第一实施包括:接收模块201和基站网关发送模块202。
接收模块201从基站接收部分第一基站身份信息,其中,第一基站身份信息是基站上报给基站网关的身份信息,包括:基站标识、CSG ID、基站接入模式以及基站的互联网地址。接收模块201接收到部分第一基站身份信息后发送到基站网关发送模块202。基站网关发送模块202将第一基站身份信息发送给SeGW,以供SeGW验证进而控制基站接入基站网关。
值得注意的是,在其他实施例中,第一基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
本实施例中,接入控制功能集成到SeGW中能够减少集中到基站网关的功能,降低基站网关的结构复杂程度,提高基站网关的可靠性。
参阅图9,本申请基站网关接入控制装置第二实施包括:接收模块201、基站网关发送模块202以及验证模块203。
接收模块201从基站接收部分第一基站身份信息,其中,第一基站身份信息是基站上报给基站网关的身份信息,包括:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
接收模块201接收到部分第一基站身份信息后发送到基站网关发送模块202。基站网关发送模块202将第一基站身份信息发送给SeGW,以供SeGW验证进而控制基站接入基站网关。当UE在源基站与目标基站之间切换时,验证模块203验证源基站的CSG ID以及目标基站的CSG ID是否相同,如果CSG ID不同时,释放用户或者拒绝用户切换。
在其它的实施例中,源基站和目标基站之间也可以建立直接接口。在源基站和目标基站之间建立直接接口时,验证模块203验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同;如果闭合签约用户组标识相同,验证模块203允许源基站和目标基站之间建立直接接口。
值得注意的是,在其他实施例中,第一基站身份信息也可以只包括基站标识、CSGID、基站接入模式以及基站的互联网地址中的一个或多个。
本实施例中,UE从源基站切换到目标基站时,验证模块203对源基站的CSG ID和目标基站的CSG ID进行验证,确保UE具有从源基站切换到目标基站的资格,防止UE错误切换造成占用目标基站资源或UE的业务数据被目标基站所窃听。
参阅图10,本申请基站接入控制系统第一实施包括:基站301、基站网关302以及安全网关303。
基站301向基站网关302发送第一基站身份信息。基站网关302接收到第一基站身份信息后将第一基站身份信息存储在本地,然后向安全网关303发送第一基站身份信息,其中,第一基站身份信息是基站301上报给基站网关302的身份信息。安全网关303接收到基站网关302所发送的第一基站身份信息后,获取基站301的第三基站身份信息,并验证第三基站身份信息与第一基站身份信息是否一致,在第三基站身份信息与第一基站身份信息一致时,允许基站301接入,其中,第三基站身份信息是基站301的真实身份信息。
当UE需要接入CN时,基站301向基站网关302发送第二基站身份信息。其中,第二基站身份信息是基站上报给基站网关的身份信息。基站网关302接收到第二基站身份信息后将第二基站身份信息存储在本地,然后向安全网关303发送第二基站身份信息。安全网关303接收到基站网关302所发送的第二基站身份信息后,验证第三基站身份信息与第二基站身份信息是否一致,在第三基站身份信息与第二基站身份信息一致时,允许用户接入基站网关。
另外,在其他实施例中,第一基站身份信息、第二基站身份信息及第三基站身份信息也可以只包括基站标识、CSG ID、基站接入模式以及基站的互联网地址中的一个或多个。
值得注意的是,本系统的具体信号流程与所述方法相对应,为了陈述方便,此处不一一赘述。
本实施例中,接入控制功能集成到安全网关303中能够减少集中到基站网关的功能,降低基站网关的复杂程度。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (16)
1.一种安全网关接入控制方法,其特征在于,包括:
安全网关获取基站的第三基站身份信息,所述第三基站身份信息是所述基站的真实身份信息;
根据所述第三基站身份信息与从基站网关获取的第一基站身份信息验证所述第三基站身份信息与所述第一基站身份信息是否一致,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;
如果所述第三基站身份信息与所述第一基站身份信息一致,则允许所述基站接入所述基站网关。
2.根据权利要求1所述的方法,其特征在于,所述如果第三基站身份信息与所述第一基站身份信息一致,则允许所述基站接入所述基站网关步骤包括:
如果所述第三基站身份信息与所述第一基站身份信息一致,向基站网关发送验证成功消息。
3.根据权利要求1所述的方法,其特征在于,所述允许基站接入所述基站网关步骤之后包括:
在用户发起与核心网连接时,安全网关获取所述基站网关发送的第二基站身份信息,其中,所述第二基站身份信息是所述基站上报给所述基站网关的身份信息;
验证所述第三基站身份信息与所述第二基站身份信息是否一致;
如果所述第三基站身份信息与所述第二基站身份信息一致,则允许所述用户接入基站网关。
4.根据权利要求3所述的方法,其特征在于,所述第二基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
5.根据权利要求1所述的方法,其特征在于,所述第一基站身份信息及第三基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
6.一种基站网关接入控制方法,其特征在于,包括:
基站网关从基站接收部分第一基站身份信息,其中,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;
将所述第一基站身份信息发送给安全网关,以便所述安全网关进行验证所述基站的真实身份信息与所述第一基站身份信息是否一致,并在一致时,允许所述基站接入所述基站网关;
其中,所述第一基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址;
当所述第一基站身份信息为闭合签约用户组标识时,所述将第一基站身份信息发送给安全网关步骤之后,所述方法还包括:
当用户在源基站与目标基站之间切换时,所述基站网关验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同;
如果两个所述闭合签约用户组标识不同,则拒绝用户切换。
7.根据权利要求6所述的方法,其特征在于,当所述第一基站身份信息为闭合签约用户组标识时,所述将第一基站身份信息发送给安全网关步骤之后,所述方法还包括:
在源基站和目标基站之间建立直接接口时,所述基站网关验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同;
如果两个所述闭合签约用户组标识相同,则允许源基站和目标基站之间建立直接接口。
8.一种安全网关接入控制装置,其特征在于,包括:
获取模块,用于获取基站的第三基站身份信息,所述第三基站身份信息是所述基站的真实身份信息;
判断模块,用于根据所述第三基站身份信息与从基站网关获取的第一基站身份信息验证所述第三基站身份信息与所述第一基站身份信息是否一致,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;并在所述第三基站身份信息与所述第一基站身份信息一致时,允许所述基站接入所述基站网关。
9.根据权利要求8所述的装置,其特征在于,所述装置包括:
安全网关发送模块,用于在所述第三基站身份信息与所述第一基站身份信息一致时,向基站网关发送验证成功消息,以允许所述基站接入所述基站网关。
10.根据权利要求8所述的装置,其特征在于,所述第一基站身份信息及第三基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
11.根据权利要求8所述的装置,其特征在于,
所述获取模块还用于获取所述基站网关发送的第二基站身份信息,其中,所述第二基站身份信息是所述基站上报给所述基站网关的身份信息;
所述判断模块还用于验证所述第三基站身份信息与所述第二基站身份信息是否一致,并在所述第三基站身份信息与所述第二基站身份信息一致时,允许用户接入所述基站网关。
12.根据权利要求11所述的装置,其特征在于,所述第二基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址。
13.一种基站网关接入控制装置,其特征在于,包括:
接收模块,用于从基站接收部分第一基站身份信息,其中,所述第一基站身份信息是所述基站上报给所述基站网关的身份信息;
基站网关发送模块,用于将所述第一基站身份信息发送给安全网关,以便所述安全网关进行验证所述基站的真实身份信息与所述第一基站身份信息是否一致,并在一致时,允许所述基站接入所述基站网关;
其中,所述第一基站身份信息包括以下信息中的一个或多个:基站标识、闭合签约用户组标识、基站接入模式及安全网关给基站分配的互联网地址;
当所述第一基站身份信息为闭合签约用户组标识时,所述装置还包括:
验证模块,用于在用户在源基站与目标基站之间切换时,验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同,并在两个所述闭合签约用户组标识不同时,拒绝用户切换。
14.根据权利要求13所述的装置,其特征在于,当所述第一基站身份信息为闭合签约用户组标识时,所述验证模块还用于:在源基站和目标基站之间建立直接接口时,验证源基站的闭合签约用户组标识以及目标基站的闭合签约用户组标识是否相同,并在两个所述闭合签约用户组标识相同时,允许源基站和目标基站之间建立直接接口。
15.一种基站接入控制系统,其特征在于,包括:
基站,用于发送第一基站身份信息;
基站网关,用于接收所述基站所发送的第一基站身份信息以及再次发送第一基站身份信息,其中,所述第一基站身份信息是基站上报给所述基站网关的身份信息;
安全网关,用于接收所述基站网关所发送的第一基站身份信息、获取基站的第三基站身份信息,并验证所述第三基站身份信息与第一基站身份信息是否一致,在所述第三基站身份信息与所述第一基站身份信息一致时,允许所述基站接入基站网关,其中,所述第三基站身份信息是所述基站的真实身份信息。
16.根据权利要求15所述的系统,其特征在于,
所述基站还用于发送第二基站身份信息,其中,所述第二基站身份信息是所述基站上报给所述基站网关的身份信息;
所述基站网关还用于接收所述基站所发送的第二基站身份信息以及再次发送第二基站身份信息;
所述安全网关还用于接收所述基站网关所发送的第二基站身份信息,并验证所述第三基站身份信息与第二基站身份信息是否一致,在所述第三基站身份信息与所述第二基站身份信息一致时,允许用户接入基站网关。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210144241.4A CN103391544B (zh) | 2012-05-10 | 2012-05-10 | 基站接入控制方法、相应的装置以及系统 |
| PCT/CN2013/071314 WO2013166873A1 (zh) | 2012-05-10 | 2013-02-04 | 基站接入控制方法、相应的装置以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210144241.4A CN103391544B (zh) | 2012-05-10 | 2012-05-10 | 基站接入控制方法、相应的装置以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103391544A CN103391544A (zh) | 2013-11-13 |
| CN103391544B true CN103391544B (zh) | 2017-04-26 |
Family
ID=49535685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210144241.4A Active CN103391544B (zh) | 2012-05-10 | 2012-05-10 | 基站接入控制方法、相应的装置以及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103391544B (zh) |
| WO (1) | WO2013166873A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106937286B (zh) * | 2017-03-02 | 2019-09-17 | 北京邮电大学 | 一种用户接入认证方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321383A (zh) * | 2007-06-05 | 2008-12-10 | 华为技术有限公司 | 一种通信系统和方法、家用基站网关及归属用户服务器 |
| CN101335984A (zh) * | 2007-06-25 | 2008-12-31 | 华为技术有限公司 | 家用微型基站接入控制方法及系统 |
| CN101442402A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 认证接入点设备的方法、系统和装置 |
| CN101754210A (zh) * | 2008-12-05 | 2010-06-23 | 中兴通讯股份有限公司 | 一种对家用基站设备进行鉴权的方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8886164B2 (en) * | 2008-11-26 | 2014-11-11 | Qualcomm Incorporated | Method and apparatus to perform secure registration of femto access points |
| CN101730102B (zh) * | 2009-05-15 | 2012-07-18 | 中兴通讯股份有限公司 | 一种对家用基站用户实施鉴权的系统及方法 |
| CN101909248B (zh) * | 2009-06-04 | 2014-07-30 | 中兴通讯股份有限公司南京分公司 | 用户接入方法及系统、闭合用户组用户管理方法及系统 |
| CN101990207B (zh) * | 2009-08-06 | 2013-01-16 | 中兴通讯股份有限公司 | 接入控制方法、家用基站及家用基站授权服务器 |
-
2012
- 2012-05-10 CN CN201210144241.4A patent/CN103391544B/zh active Active
-
2013
- 2013-02-04 WO PCT/CN2013/071314 patent/WO2013166873A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321383A (zh) * | 2007-06-05 | 2008-12-10 | 华为技术有限公司 | 一种通信系统和方法、家用基站网关及归属用户服务器 |
| CN101335984A (zh) * | 2007-06-25 | 2008-12-31 | 华为技术有限公司 | 家用微型基站接入控制方法及系统 |
| CN101442402A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 认证接入点设备的方法、系统和装置 |
| CN101754210A (zh) * | 2008-12-05 | 2010-06-23 | 中兴通讯股份有限公司 | 一种对家用基站设备进行鉴权的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103391544A (zh) | 2013-11-13 |
| WO2013166873A1 (zh) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6920443B2 (ja) | 目標セルアクセス方法及び装置 | |
| CN104521287B (zh) | 网络切换方法、装置、设备及系统 | |
| CN103096398B (zh) | 一种网络切换的方法和装置 | |
| CN102123394B (zh) | 向封闭用户组小区切换的处理方法及装置 | |
| CN103460786B (zh) | 用于共享公共pdp上下文的系统和方法 | |
| CN103380635B (zh) | 在无线通信系统中执行成员资格验证或者接入控制的方法和装置 | |
| CN104185227B (zh) | 一种双连接架构下的csg接入控制方法及系统 | |
| CN108605383A (zh) | 无线通信系统中执行用于基于网络切片的nr的小区规范过程的方法和装置 | |
| CN105307221B (zh) | 网络环境中提供到模糊小小区接入点的切换的系统和方法 | |
| CN101645814B (zh) | 一种接入点接入移动核心网的方法、设备及系统 | |
| CN102685921B (zh) | 一种双通道通信方法和系统 | |
| CN104168669A (zh) | 用于使用蜂窝基础设施来管理小小区接入的方法和系统 | |
| CN106576242A (zh) | 对于异构网络有效的用户设备标识 | |
| US10448286B2 (en) | Mobility in mobile communications network | |
| CN105188094B (zh) | 网络环境中提供到模糊小小区接入点的切换的系统和方法 | |
| CN107197454A (zh) | 用于家庭演进型节点b的本地呼叫路由的方法和设备 | |
| CN106332233A (zh) | 一种终端、基站、小区接入方法和数据传输方法 | |
| CN103229548B (zh) | 通信方法、用户设备和统一无线控制器 | |
| KR20210153718A (ko) | 통신 방법, 장치 및 시스템 | |
| CN102711275B (zh) | 一种接入点及终端接入方法 | |
| CN102655637A (zh) | 一种移动通信系统和组网方法 | |
| CN108605242A (zh) | 数据传输方法、基站、数据传输方法和核心节点 | |
| CN103379557B (zh) | 能力匹配方法、接入网控制节点及用户设备 | |
| CN102647715A (zh) | 一种传递eap认证目的mac地址的方法 | |
| EP3478001B1 (en) | S1ap signaling transmission method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |