CN105052184A - 控制用户设备对服务的接入 - Google Patents
控制用户设备对服务的接入 Download PDFInfo
- Publication number
- CN105052184A CN105052184A CN201380071776.6A CN201380071776A CN105052184A CN 105052184 A CN105052184 A CN 105052184A CN 201380071776 A CN201380071776 A CN 201380071776A CN 105052184 A CN105052184 A CN 105052184A
- Authority
- CN
- China
- Prior art keywords
- access
- service
- device identifier
- equipment
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/02—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration by periodical registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Abstract
本发明涉及用于控制用户设备UE?(100)接入由通信网络(101)提供的服务的方法、用户设备、接入控制器和设备身份寄存器。UE?(100)适用于支持至少第一接入技术(202),所述至少第一接入技术(202)与至少一个第一设备标识符(206)相关联,并且所述第一设备标识符独特地识别UE?(100)。方法包括接收经所述第一接入技术(202)对服务的网络接入请求的第一步骤,所述网络接入请求包括所述第一用户设备标识符(206)。方法包括接收与所述第一接入技术(202)无关的至少一个另外的设备标识符的第二步骤,所述另外的设备标识符独特地识别UE?(100)。方法包括基于收到的信息控制UE?(100)对服务的接入。
Description
技术领域
本发明涉及控制用户设备UE对通信系统提供的服务的接入。
背景技术
移动智能电话的近来成功也促进了移动分组数据的使用。此增大的业务需要求不但打击了基于第三代合作伙伴项目3GPP接入技术的传统移动网络,而且也促使将无线局域网WLAN接入技术包括到整个无线电框架中以便实现移动分组接入。
3GPP已指定接入网络选择,包括使用用于3GPP系统和WLAN的互通的鉴权、授权和计费AAA过程的鉴权和接入授权。
除这些外,3GPP也指定用于经Wu参考点(参阅3GPPTS24.234)和经SWu参考点(参阅3GPPTS24.302)从WLAN用户设备UE到3GPP网络建立端对端隧道的隧道管理过程。
在使用3GPP接入时,UE根据3GPPTS23.122中解释的过程,执行公共陆地移动网络PLMN选择。
在涉及WLAN接入网络选择时,WLANUE使用扫描过程以便查找可用网络(服务集标识符SSID),并且随后发现根据3GPPTS24.234由SSID提供的支持的PLMN。3GPP定义的WLAN网络选择包括SSID选择和PLMN选择。
一旦PLMN选择由UE执行,便对最终用户进行鉴权以允许其接入3GPP或者WLAN和3GPP网络。
使用3GPP接入网络时的鉴权过程是全球移动通信系统GSM鉴权和密钥协议AKA、通用移动电信系统UMTSAKA或演进分组系统EPSAKA。MSC/VLR、SGSN或MME从HLR/HSS检索鉴权向量以完成此过程。
用于3GPP-WLAN互通的WLAN鉴权信令是基于如IETFRFC3748和RFC5247定义的可扩展鉴权协议EAP。3GPP支持EAP-订户身份模块SIM、EAP-AKA和EAP-AKA'方法。WLANUE和3GPPAAA服务器支持EAP-AKA'、EAP-AKA和EAP-SIM鉴权过程。
移动智能电话的近来成功也造成了移动电话盗窃的增多。这从开始就一直是问题,而由于智能电话极其昂贵的实情,这已变成日益严重的问题。
今天,网络运营商通过部署用于实现被盗UE的全球黑名单的设备身份寄存器EIR解决方案,解决移动电话盗窃。UE被盗时,运营商能够通过在3GPP网络元素能够接触的EIR数据库中包括被盗UE的独特设备身份来阻止它,以便如果它们未利用列入黑名单的UE时,则接受最终用户网络接入。
独特的设备身份能够是国际移动台设备身份IMEI(14个十进制数位加一个校验数位)或移动台设备身份软件版本IMEISV(16个数位),两者均包括有关装置的原产地、型号和独特序列号的信息。IMEI和IMEISV的结构在3GPPTS23.003中指定。
图1示出最终用户尝试利用在EIR的数据库黑名单中包括的UE,借助于3GPP接入技术,获得3GPP网络运营商的接入权的示例。因此,最终用户不能向网络注册,因而不能利用运营商提供的所有服务。
在步骤1中,UE将附连请求发送到eNodeB,eNodeB在步骤2中将附连请求转发到MME。在步骤3中,MME从UE请求订户身份(国际移动订户身份IMSI),UE在步骤4中将它返回到MME。基于此IMSI,MME在步骤5中执行鉴权和安全性有关的功能,也涉及订户数据库HSS。在步骤6中,MME从UE请求IMEISV,UE在步骤7中将它返回到MME。在步骤8中,MME向EIR启动设备身份检查。EIR在此流程的步骤9中,确定UE被列入黑名单,并且在步骤10中将对应结果返回到MME。随后,在步骤11中,MME拒绝UE的附连请求,原因是非法UE。在步骤12中,拒绝由eNodeB转发到UE。
如图1所示,在最终用户尝试通过在EIR黑名单中包括的移动设备附连到3GPP网络时,附连被拒绝,并且指示对应原因(非法UE)。
然而,今天的智能电话也具WLAN能力,并且因此存在最终用户可能通过WLAN接入网络AN接入其归属运营商网络,例如,通过连接到由归属运营商操作的公共无线接入点AP。在此类情形中,如果UE被列入黑名单,3GPP网络对最终用户进行鉴权(例如,EAP-SIM、EAP-AKA、EAP-AKA),但不提供阻止最终用户附连到网络的机制。
因此,被盗并且列入黑名单的UE今天仍能够经WLAN热点获得完全服务。这对于罪犯致力于非法获取UE极其吸引力,并且使得被盗智能电话在黑市上的价格高。
此外,基于当前位置的服务确实缺乏有关在使用的UE硬件的信息,因此,服务不能基于UE的制造商或装置类型信息提供。
有价值的用例将是在公共运输交汇位置,其中有许多商店(即,机场或火车站)。WLAN热带在那些类型的位置极其常见,因此,许多UE连接到WLAN而不是3GPP接入网络,特别是由运营WLAN热点的运营商销售的那些UE,它们通常自动配置成优选运营商自己的WLAN以取代高成本的3GPP接入。
具有有关在WLAN网络中也可用的UE硬件的信息将允许运营商将此信息商业化,即,将它与诸如移动台国际订户目录号MSISDN、电子邮件地址或IP地址等其它方式的联系信息一起售给UE供应商,以便允许UE供应商请求不但匹配订户位置而且匹配确切UE的广告。
发明内容
鉴于以上所述,就经WLAN热点或无线接入点的网络接入而言,存在改进对列入黑名单的设备的检查的需要。此外,需要使网络服务适应特定UE类型。
通过独立权利要求项的特征,满足了在所有类型的网络接入请求对独特设备身份的需要。在独立权利要求项中,描述了本发明的优选实施例。
本发明涉及用于控制UE接入通信网络提供的服务的方法。UE适用于支持至少第一接入技术,其中,所述至少第一接入技术与至少一个第一设备标识符相关联,并且所述第一设备标识符独特地识别UE。方法包括在第一步骤中接收经所述第一接入技术对服务的网络接入请求,所述网络接入请求包括所述第一用户设备标识符。方法包括在第二步骤中接收与所述第一接入技术无关的至少一个另外的设备标识符,所述另外的设备标识符独特地识别UE。方法包括在第三步骤中,基于收到的信息,控制UE对服务的接入。
此外,UE可适用于支持至少两种接入技术,所述支持的接入技术的至少两种技术每个与至少一个用户设备标识符相关联,每个所述设备标识符独特地识别UE。
此外,UE可适用于支持与任何接入技术无关的至少一个设备标识符,所述设备标识符独特地识别UE。
此外,基于与所述第一接入技术无关的所述至少一个另外的设备标识符至少之一和所述第一设备标识符的组合,可执行设备身份检查。
此外,基于与所述第一接入技术无关的所述至少一个另外的设备标识符至少之一,可执行服务检查。
本发明还涉及UE接入通信网络提供的服务的方法。UE适用于支持至少第一接入技术,所述至少第一接入技术与至少一个第一设备标识符相关联,所述第一设备标识符独特地识别UE。方法包括在第一步骤中UE经所述第一接入技术发送对服务的网络接入请求,所述网络接入请求包括所述第一用户设备标识符。方法包括在第二步骤中UE发送与所述第一接入技术无关的至少一个另外的设备标识符,所述另外的设备标识符独特地识别UE。
此外,UE可适用于支持至少两种接入技术,所述支持的接入技术的至少两种技术每个与至少一个用户设备标识符相关联,每个所述设备标识符独特地识别UE。
本发明还涉及接入控制器控制UE接入通信网络提供的服务的方法。接入控制器适用于处理与网络接入请求相关联的至少两个设备身份,其中,每个设备标识符独特地识别UE。方法包括在第一步骤中接入控制器接收对服务的网络接入请求,所述网络接入请求包括至少一个第一设备身份。方法包括在第二步骤中接入控制器接收至少一个另外的设备身份。方法包括在第三步骤中接入控制器基于收到的信息,控制UE对服务的接入。
此外,接入控制器可将设备身份检查请求发送到设备身份寄存器,请求包括收到的至少两个设备标识符。
此外,接入控制器可将服务检查请求发送到服务数据库,服务检查请求包括所述至少两个设备标识符。
本发明还涉及设备身份寄存器检查UE对通信网络提供的服务的接入许可的方法。方法包括在第一步骤中设备身份寄存器接收包括至少两个设备标识符的设备身份检查请求,其中,每个设备标识符独特地识别UE。方法包括在第二步骤中设备身份寄存器基于收到的至少两个设备标识符,确定是否允许UE接入服务。
本发明还涉及用于接入通信网络提供的服务的UE。UE适用于支持至少第一接入技术,所述至少第一接入技术与至少一个第一设备标识符相关联,所述第一设备标识符独特地识别UE。
UE能够经所述第一接入技术发送对服务的接入请求,所述接入请求包括与所述第一接入技术相关联的所述第一设备标识符。
UE还能够发送与所述第一接入技术无关的至少一个另外的设备标识符,所述另外的设备标识符独特地识别UE。
UE可还能够支持至少两种接入技术,所述支持的接入技术的至少两种技术每个与至少一个用户设备标识符相关联,每个所述设备标识符独特地识别UE。
UE可还能够支持与任何接入技术无关的至少一个设备标识符,所述设备标识符独特地识别UE。
本发明还涉及用于控制UE接入通信网络提供的服务的接入控制器。接入控制器适用于处理与网络接入请求相关联的至少两个设备身份,每个设备标识符独特地识别UE。
接入控制器能够接收对服务的网络接入请求,所述请求包括至少一个第一设备身份。
接入控制器还能够接收至少一个另外的设备身份。
接入控制器还能够基于收到的信息,控制UE接入通信网络提供的服务。
接入控制器可还能够触发确定的服务的提供。
本发明还涉及用于验证UE对通信网络提供的服务的接入许可的设备身份寄存器。设备身份寄存器适用于处理在验证请求中的至少两个设备身份,每个设备标识符独特地识别UE。
设备身份寄存器能够在收到请求时验证UE的接入许可,所述请求包括至少两个设备身份。
附图说明
从附图中通过非限制性示例示出的特定但非排它的实施例的详细描述中,将更好地明白本发明的其它特征和优点,其中:
图1示出根据现有技术的3GPP接入网络附连过程流程;
图2示出根据本发明的网络情形;
图3a示出根据本发明,适用于执行接入请求的UE的示图;
图3b示出根据本发明,由UE方法执行的步骤的流程图;
图4a示出根据本发明,适用于执行接入许可验证的设备身份寄存器的示图;
图4b示出根据本发明,由设备身份寄存器方法执行的步骤的流程图;
图5a示出根据本发明,适用于执行接入控制的接入控制器的示图;
图5b示出根据本发明,由接入控制器方法执行的步骤的流程图;
图6示出在基于EAP的接入鉴权的单轮内IMEISV传送的过程流程;
图7示出使用第二轮基于EAP的接入鉴权的IMEISV传送的过程流程;
图8示出处理来自不同接入技术的UE身份的过程流程;
图9示出作为基于位置的服务,发送SMS的过程流程;
图10示出为基于位置的服务注册的UE应用程序的过程流程。
具体实施方式
本发明的可能实施例涉及多个不同组件,这些组件在本具体实施方式开始时进一步定义。
电信网络指运行服务需要的节点和有关传输链路的集合,例如,电话或因特网接入。视服务而定,不同节点类型可用于实现服务。网络运营商拥有电信网络,并且将实现的服务提供到其订户。
用户设备UE指例如由某人用于其个人通信的装置。它能够是移动电话类型的装置,例如,蜂窝电话、移动台、无绳电话,或个人数字助理类型的装置,像膝上型计算机、笔记本、配有无线数据连接的记事本。UE也可与像动物、植物或甚至机器等非人类相关联。
订户数据库指由网络运营商运行以存储与运营商运行的网络的订户有关的信息的数据库。订户数据库例如能够是归属位置寄存器HLR或受访位置寄存器VLR或归属订户服务器HSS。订户数据库也可在内部构建成处理与网络的其它网络节点的信令的前端部分和用于数据的存储的常规数据库。
设备身份或身份指独特的标识符,表现在相同标识符将不存在第二次。甚至相同类型的设备将显示不同标识符。标识符本身由数字和/或字母组成。标识符可以是子结构化式,并且不同子结构能够例如通过连号、点或空格分开。它可被视为组合有产品和制造商标识符的序列号。用于设备标识符的示例是如3GPP中定义的国际移动设备身份IMEI。标识符的另一示例可以是如编程到用于在物理网络段上的通信的计算机接口硬件中的介质访问控制MAC地址。标识符的另一示例可以是用作计算机软件中标识符的独特参考号码的全局独特标识符GUID。术语GUID一般指通用独特标识符UUID标识的各种实现。标识符的另一示例可以是在某些类型的移动电话中使用的独特标识符UDID。通常,UE可包括几个标识符,一些标识符可与设备的硬件和/或接口硬件有关;其它标识符可与设备的操作系统软件或在设备上运行的其它关键软件组件有关。
设备身份寄存器指用于存储设备身份的列表的数据库。身份的此列表可构成被明确不允许接收来自网络的服务的所有设备的列表;在此情况下,列表构成设备身份的黑名单。身份的此列表可构成被明确允许接收来自网络的服务的所有设备的列表;在此情况下,列表构成设备身份的白名单。身份的此列表也可构成允许和不允许的身份,并且列表明确按身份存储是允许还是不允许有关设备接收来自网络的服务。设备身份数据库也可在内部构建成处理与网络的其它网络节点的信令的前端部分和用于身份的存储的常规数据库。设备身份寄存器可以是如3GPP定义的设备身份寄存器EIR。设备身份寄存器可由网络运营商操作,并且在此情况下,它包含与网络运营商相关联的设备的身份。备选,设备身份寄存器也可由第三方组织操作,并且在此情况下,它包含与多个网络运营商相关联的设备的身份,所有网络运营商使用设备身份寄存器作为中央全局设备身份寄存器。
服务数据库指用于存储服务的列表和与这些服务相关联的数据的数据库。服务例如可与订户相关联,或者与设备类型或者与UE的地理位置相关联。服务本身例如可通过服务标识符识别,使得服务本身能够由网络中的另一节点触发或执行。服务也可由服务数据库本身触发或执行。服务数据库也可在内部构建成处理与网络的其它网络节点的信令的前端部分和用于服务数据的存储的常规数据库。服务数据库也可由如3GPP定义的IP多媒体系统IMS实现。
接入控制器指用于控制UE接入通信网络提供的服务的控制服务器。它可由常规服务器平台上的软件应用程序实现,或者由经常通过运行云中的应用程序而引用的数据中心中的软件应用程序实现。接入控制器可以是如3GPP定义的移动性管理实体MME的一部分,或者可以是服务于WLAN或Wi-Fi接入的WLAN或Wi-Fi网关。接入控制器也可以是经WLAN或Wi-Fi控制网络的接入的鉴权、授权和计费AAA服务器的一部分。
现在,参照图2,示出用于控制UE接入服务的示范网络情形。
UE100接入通信网络101以便获得通信网络101提供的服务的接入权。通信网络101由网络运营商操作,并且包括接入控制器102、订户数据库103、设备身份寄存器104和服务数据库105。
UE100可经WLAN无线电技术接入网络,并且连接到WLAN接入点AP,WLANAP经WLAN网关将接入请求传送到接入控制器102。在此示例中,UE包括WLAN无线电模块,并且在其接入请求中提供与此WLAN无线电模块相关联的MAC地址。除MAC地址外,接入控制器也可接收与当前使用的WLAN无线电接入无关的另一设备标识符。接入控制器102使用两个收到的设备标识符控制UE对通信网络101提供的服务的接入。
在另一实施例中,UE可支持诸如WLAN和UMTS等两种接入技术。在经WLAN无线电的接入请求中,UE发送与此WLAN无线电模块相关联的MAC地址。除MAC地址外,接入控制器也可接收与UMTS接入技术有关的IMEI。接入控制器102使用收到的MAC地址和IMEI控制UE对通信网络101提供的服务的接入。
在仍有的另一实施例中,UE可支持诸如GUID等与任何接入技术无关,但与设备的操作系统相关联的设备身份。在经WLAN无线电的接入请求中,UE发送与此WLAN无线电模块相关联的MAC地址。除MAC地址外,接入控制器也可接收与UE的操作系统有关的GUID。接入控制器102使用收到的MAC地址和GUID控制UE对通信网络101提供的服务的接入。
在一可能实施例中,接入控制器102接收来自UE的有关订户的信息。接入控制器102在订户数据库103的帮助下,识别订户,并且执行安全性有关的功能。
在一可能实施例中,接入控制器102使用与当前使用的无线电接入技术无关的设备标识符。因此,UE可使用WLAN无线电接入,并且可提供与此WLAN无线电模块相关联的MAC地址。接入控制器102也接收来自UE的IMEI。接入控制器102随后使用收到的IMEI以便执行设备身份检查。
在仍有的另一可能实施例中,接入控制器102也可使用两个收到的设备身份执行设备身份检查。因此,UE可使用WLAN无线电接入,并且可提供与此WLAN无线电模块相关联的MAC地址。接入控制器102也接收来自UE的IMEI。接入控制器102随后使用MAC地址和IMEI的组合以执行设备身份检查。
接入控制器102可使用设备身份寄存器104以执行设备身份检查。此设备身份检查的结果随后由接入控制器102用于确定是否授予UE对通信网络101提供的服务的接入权。
接入控制器102也可使用与当前使用的无线电接入技术无关的设备标识符来执行服务检查。因此,UE可使用WLAN无线电接入,并且可提供与此WLAN无线电模块相关联的MAC地址。接入控制器102也接收来自UE的IMEI。接入控制器102随后使用收到的IMEI以便执行服务检查。
如上所述,设备标识符可以是子结构化式,并且这些子结构之一包含有关UE100的设备类型的信息。因此,如果IMEI在UE100中已可用,则此IMEI的序列号部分识别UE100的型号。因此,由接入控制器102启动的服务检查可促使特定服务可用于UE100的此型号。
服务可能适用于在某个地理位置的UE,而不是UE类型或除UE类型外。因此,如果UE启动在预定义位置的接入请求,则接入控制器102进行的服务检查将提示此服务。在此情形下,接入控制器102将在服务检查请求中包括UE的当前位置的信息。接入控制器102可例如基于在UE中的全球定位系统GPS测量,已接收来自UE的UE的当前位置。备选,当前位置可由无线电网络例如根据WLANAP的位置和有关WLAN热点的预存储信息或根据在基于3GPP的无线电网络中的小区信息确定。
接入控制器102可使用服务数据库105以执行服务检查。如果接入控制器102通过检查服务检查结果,已确定用于UE的适用服务,则接入控制器102可触发这些确定的服务的提供。这些服务可在与接入控制器102本身相同的服务器平台上实现,或者也可在通信网络101的其它节点中接入控制器102的外部,或者在数据中心中。
在仍有的另一可能实施例中,接入控制器102可先启动设备身份检查。如果,并且仅在此设备身份检查的结果是允许UE接入通信网络101中的服务,则接入控制器102可启动服务检查以确定可能和适用的服务。
图3a示出如上所述适用于执行服务的接入的UE100的示范示图。UE100可包括在下面进一步详细描述的多个功能单元。
处理单元201可适用于生成对服务的接入请求,以从UE的内部组件读取设备身份,将这些设备身份提供到通信网络101,以及处理来自通信网络101的通信。处理单元201还适用于生成服务注册请求。在可行实现中,处理单元201可以处理所有上述功能的一个处理器,或者也可以分布在不止一个处理器内,其中,功能分布在可用处理器内。
UE100可包含一个或几个接入单元;其中,在此示范视图中,示出了两个接入单元202、203。这些接入单元实现不同无线电技术,并且用于接入通信网络101。两个接入单元可同时在活跃状态,或者可以一次仅接入单元之一处在活跃状态的方式配置。接入单元202、203类似,表现在两者均包含用于使用无线电技术发出信号和消息的发送单元204、207。它们也均包含用于通过无线电技术接收信号和消息的接收单元205、208。此外,每个接入单元具有与其相关联的自己的独特身份206、209。此类接入单元的示例能够是WLAN接入模块或Wi-Fi接入模块,其中,身份将是MAC地址。其它示例能够是GSM、UMTS、LTE、蓝牙接入模块。接入点202、203用于通过特定接入技术发出和接收信号和消息到通信网络101。
UE100可包含服务逻辑单元210。此单元知道UE100的用户想使用的服务。此知识能够由用户通过配置部件编程到服务逻辑单元210中。基于服务知识,服务逻辑单元210生成对应服务注册请求,请求随后由处理单元201处理并且由接入单元202、203之一发出。
UE100也可包含诸如身份211等与任何接入单元无关但仍独特地识别UE100的其它身份。这些身份存储在UE100中,并且能够由处理单元201读取。用于非接入有关的身份的示例是GUID、UUID或UDID。这些示例可与UE100的操作系统软件或其它中心软件元素有关。
UE100也可包含用于定位的功能元素,如GPS接收器。
图3b示出由UE100执行的方法执行的可能步骤的示范流程图。
流程可从在步骤250中读取与任何接入技术无关的身份开始。这可由处理单元201进行。
在步骤251中,流程通过读取第一接入单元202的身份206继续。这可由处理单元201进行。
在步骤252中,流程通过读取第二接入单元203的身份209继续。这可由处理单元201进行。
在下一步骤253中,选择接入单元以用于将对服务的接入请求发送到通信网络101。这可由处理单元201进行。选择可基于扫描和测量在UE100的当前位置的无线电环境。处理单元201可使用无线电技术选择接入单元202、203,其中,在扫描过程期间已发现高信号强度。
此时要指出的是,所述实施例只示出涉及这四个前面步骤的顺序的几个选择之一。这四个步骤能够以任何顺序执行而无任何功能不同的行为。
在下一步骤254中,对服务的接入请求由处理单元201生成,并且经选择的接入单元202或203发出。选择的接入单元202或203的身份206或209与对服务的此请求一起发送。
最后,在步骤255中,与选择的接入单元无关的其它身份也经选择的接入单元202或203发送到通信网络101。
图4a示出如上所述适用于执行接入许可的验证的设备身份寄存器104的示范示图。设备身份寄存器104可包括在下面进一步详细描述的多个功能单元。
处理单元301可适用于处理验证UE100的接入许可的请求,其中,请求包含UE100的不止一个身份。处理单元301可使用数据库查询验证接入许可。处理单元301还适用于生成对应响应。在可行实现中,处理单元301可以处理所有上述功能的一个处理器,或者也可以分布在不止一个处理器内,其中,功能分布在可用处理器内。
设备身份寄存器104可还包括接收单元302以接收验证UE100的接入许可的请求,其中,请求包含UE100的不止一个身份。
设备身份寄存器104可还包括发送单元303以将对应响应发出到验证请求的发送器。
设备身份寄存器104也可包括存储设备身份和可选的相关联接入许可的数据库304。
数据库304可包含被明确不允许接收来自网络的服务的所有设备身份;在此情况下,数据库304构成设备身份的黑名单。数据库304可包含被明确允许接收来自网络的服务的所有设备身份;在此情况下,数据库304构成设备身份的白名单。数据库304可包含可被允许或不被允许的设备身份,并且数据库304明确按设备身份存储是允许还是不允许有关设备接收来自网络的服务。
数据库304也可位于设备身份寄存器104外部。在此情况下,设备身份寄存器104具有到此数据库304的接口以便能够向数据库304提出查询以了解为设备身份存储的许可。数据库在此情况下可存储带有不止一个设备身份的UE的接入许可。
如果请求包含不止一个设备身份,则设备身份寄存器104可部署不同算法以执行接入许可的验证。算法可检查每个收到的设备身份的许可,并且如果在数据库304中找到至少一个设备身份,则不允许UE接入。
备选,算法可检查每个收到的设备身份的许可,并且如果在数据库304中找到收到的设备标识符的组合,则不允许或允许UE接入。作为仍有的另一备选,算法可检查每个收到的设备身份的许可,并且如果在数据库304中未找到任何收到的设备身份,则允许UE接入。
在实际实现中,通过使用哈希算法或基于计算的哈希密钥的数据库查询,可加速数据库中的搜索。哈希算法能够使用单个或多个设备身份作为输入,并且基于输入生成哈希密钥。
如果单个设备身份用作用于哈希算法的输入,则基于结果哈希密钥的数据库查找将确定用于此单个设备身份的接入许可。为确定UE100的接入许可,这将要为验证请求中收到的每个设备身份进行。
如果多个设备身份用作用于哈希算法的输入,则基于结果哈希密钥的数据库查找将确定用于设备身份的此组合的接入许可,并且在一个数据库查找步骤中确定UE100的接入许可。
图4b示出由设备身份寄存器104执行的方法执行的可能步骤的示范流程图。此流程示出在算法可检查每个收到的设备身份的许可的情况下算法的细节,并且如果在数据库304中找到至少一个设备标识符,则不允许UE接入。
流程从接收350包含多个设备身份的接入许可的验证请求开始。
由于要验证多个设备身份,因此,在步骤352中,启动环路以便为每个收到的设备身份进行以下步骤,直至已验证所有设备身份,或者直至发现不被允许接入的第一设备身份。
在步骤352中,查询数据库304是否在数据库304中发现当前设备身份。
如果在步骤353中发现当前设备身份,则在步骤354中读取和验证存储的接入许可。
如果在步骤354中读取和验证的接入许可揭示不允许接入,则指示拒绝接入请求的结果被返回357到接入验证请求的发送器。
如果在步骤353中未发现当前设备身份,或者如果在步骤354中读取和验证的接入许可揭示允许接入,则在355检查是否有不止一个设备身份要检查。
如果在步骤355中发现要检查更多设备身份,则循环在步骤351继续。否则,因此,如果已检查所有设备身份,并且已允许所有设备身份,则将指示允许接入请求的结果返回356到接入验证请求的发送器。
图5a示出如上所述适用于执行UE100对服务的接入的控制的接入控制器102的示范示图。接入控制器102可包括在下面进一步详细描述的多个功能单元。
处理单元401可适用于处理UE100发起的对服务的接入请求,其中,请求可包含UE100的不止一个身份,或者UE100的其它身份在随后的消息中收到。处理单元301可使用设备身份寄存器验证UE100的接入许可,和/或使用服务数据库检查适用于UE100的服务。基于来自设备身份寄存器和/或服务数据库的收到结果,处理单元401可控制UE对通信网络101的服务的接入。处理单元401可还适用于生成到UE100的对应响应。在可行实现中,处理单元401可以处理所有上述功能的一个处理器,或者也可以分布在不止一个处理器内,其中,功能分布在可用处理器内。
接入控制器102可还包括发送单元402和接收单元403,接入控制器102能够经其与UE100进行通信。
接入控制器102也能够包括发送单元404和接收单元405,接入控制器102能够经其与诸如服务数据库105、设备身份寄存器104或订户数据库103等通信网络101的其它网络节点进行通信。
接入控制器102也可包括服务触发单元406,服务触发单元406能够用于触发和控制确定适用于接入通信网络101的UE100的服务的服务提供。
备选,接入控制器102也可由单个发送/接收接口组成。此接口随后能够用于两者,与UE100的通信和与通信网络101的其它节点的通信。
图5b示出由接入控制器102执行的方法执行的可能步骤的示范流程图。此流程图示出示范情况,其中,接入控制器102先启动设备身份检查请求,并且仅在来自设备身份寄存器104的回复指示允许UE100接入通信网络101时,接入控制器102随后才启动对服务数据库105的服务检查请求。
流程可从接入控制器102接收对通信网络101的服务的接入请求开始。此接入请求经第一接入技术收到。
在下一步骤451中,接入控制器102可接收UE100的多个身份。第一身份可在接入请求中收到;其它身份也可在相同接入请求内收到,或者可经来自UE100的随后消息收到。
基于UE100的收到身份,接入控制器102可在步骤452中将设备身份检查请求发送到设备身份寄存器104。此设备身份检查请求包含UE100的收到的多个身份。
在步骤453中,由接入控制器102接收来自设备身份寄存器104的响应。
在步骤454中,由接入控制器102检查来自设备身份寄存器104的响应。如果UE100不具有接入通信网络101的许可,则接入控制器102将接入拒绝指示返回到UE100。
如果来自设备身份寄存器104的响应指示UE100具有接入通信网络101的许可,则在步骤456中,接入控制器102将服务检查请求发送到服务数据库105。此服务检查请求包含UE100的收到的多个身份。可选的是,服务检查请求可另外包含UE100的当前位置的指示。
在步骤457中,由接入控制器102接收来自服务数据库105的响应。
在步骤458中,接入控制器102向UE100确认它被允许接入通信网络101的服务。
如果已存在由服务数据库105识别的至少一个服务,则随后在步骤459中由接入控制器102触发此服务。
备选在步骤458中,也可在步骤456中发出服务检查请求前更早发送到UE100的接入确认。
在下述内容中,进行采用一些上述一般概念的实施例的更详细技术描述。图6示出在基于EAP的接入鉴权的单轮内IMEISV传送的更详细的消息流程。
在消息流程中涉及的实体是对应于如上所述UE100的移动UE、接入点(AP)、WLANGW、对应于如上所述接入控制器102的AAA服务器、对应于如上所述订户数据库103的HSS及对应于如上所述设备身份寄存器103的EIR。
详细的步骤可如下所述:
1.移动UE和AP协商EAP的使用。
2.AP将EAP请求身份(EAP-Request-Identity)消息发送到移动UE以获得最终用户身份。
3.移动UE通过包含订户身份的EAP响应身份做出应答。就EAP-SIM/AKA/AKA'而言,订户身份将是IMSI。另外,也将提供MAC地址。
4.AP将初始EAP消息封装到RADIUS接入请求(RADIUSAccess-Request)消息中,并且将它发送到WLAN-GW。它在分别为主叫站Id(Calling-Station-Id)和用户名称(User-Name)的单独Radius属性中包括移动UE的MAC地址和订户身份。
5.WLAN-GW将RADIUS接入请求(RADIUSAccess-Request)消息无修改代理发送到AAA。
6.AAA服务器从HSS请求鉴权向量。
7.HSS将鉴权向量提供到AAA服务器。
8.AAA服务器通过封装EAP请求消息(SIM、AKA、AKA’)的RADIUS接入质询(RADIUSAccessChallenge)做出响应。
9.WLAN-GW向AP无修改代理发送RADIUS接入质询消息(RADIUSAccess-Challenge)。
10.AP将EAP请求消息(EAP-Request)发送到移动UE。
11.移动UE通过EAP响应SIM启动(EAP-ResponseSIM-Start)做出应答。
12.AP将EAP响应SIM启动消息封装到RADIUS接入请求消息中,并且将它发送到WLAN-GW。
13.WLAN-GW将RADIUS接入请求消息无修改代理发送到AAA服务器。
14.AAA服务器通过封装EAP请求SIM质询(EAP-RequestSIM-Challenge)消息的RADIUS接入质询做出响应。此EAP-SIM(AKA,AKA’)消息包括请求移动UE提供IMEISV的新信息。
15.WLAN-GW向AP无修改代理发送RADIUS接入质询消息。
16.AP提取EAP请求/SIM质询消息,并且将它转发到移动UE。
17.移动UE处理对网络鉴权的EAP请求/SIM质询消息,并且提供质询的响应。另外,由于来自AAA服务器的请求,移动UE在EAP响应/SIM质询消息中包括IMEISV。出于隐私保护目的,在AT_ENCR_DATA参数内加密包括IMEISV。
18.AP将该消息封装到RADIUS接入请求消息中,并且将它发送到WLAN-GW。
19.WLAN-GW将RADIUS接入请求消息无修改代理发送到AAA服务器。
20.AAA服务器处理鉴权过程,并且对订户成功鉴权。在AAA服务器知道IMEISV的接收时,AAA服务器启动过程以检查它。
21.AAA服务器查询EIR数据库,以检查是否允许IMEISV或者黑名单中是否包括IMEISV。
22.EIR扫描其数据库,以查找用于涉及IMEISV的条目。
23.EIR向AAA服务器返回包括设备状态信息的回复。在此示例流程中,移动UE被列入黑名单,因而不被允许接入网络。
24.AAA服务器处理从EIR收到的信息,并且相应地做出反应。在示例中,发现IMEISV非法,因此,AAA服务器生成EAP请求/SIM通知消息以向终端报告有关非法IMEISV拒绝原因。如果使用EAP-AKA或AKA’,则能够在EAP请求/AKA通知消息中进行此操作。该消息被封装在RADIUS接入质询消息中。
25.WLAN-GW向AP无修改代理发送RADIUS接入质询消息。
26.AP将EAP请求/SIM通知消息发送到移动UE,报告非法IMEISV结果。
27.移动UE通过EAP响应/SIM通知(EAP-Response/SIM-Notification)消息进行回复。如果使用EAP-AKA或AKA’,则能够在EAP响应/AKA通知消息中进行此操作。
28.AP将EAP响应/SIM通知消息包括到向WLAN-GW的RADIUS接入请求消息中。
29.WLAN-GW向AAA服务器无修改代理发送RADIUS接入请求消息。
30.AAA服务器生成在接入拒绝(Access-Reject)消息中嵌入的EAP失败(EAP-FAILURE)消息以完成EAP过程。AAA服务器可包括由于欺诈IMEISV而触发EAP失败的指示。
31.WLAN-GW向AP无修改代理发送RADIUS接入拒绝消息。
32.AP提取EAP消息,并且将它发送到移动UE。结果是不能通过3GPP无线电接入网络,也不能通过WLAN/Wi-Fi接入网络使用欺诈移动UE。
在上面的流程序列示例中,使用RADIUS消息,但也可能使用Diameter或任何其它AAA协议。流程序列也反映基于EAP-SIM的流程,但对于EAP-AKA和EAP-AKA'情况,过程也适用。
在下述内容中,进行采用一些上述一般概念的实施例的另一更详细的技术描述。图7示出使用第二轮基于EAP的接入鉴权的IMEISV传送的更详细的消息流程。
在消息流程中涉及的实体是对应于一般概念的UE100的移动UE、在一般概念中未示出的接入点(AP)、在一般概述中也未示出的WLANGW、对应于一般概念的接入控制器102的AAA服务器、对应于一般概念的订户数据库103的HSS及对应于一般概念的设备身份寄存器103的EIR。
详细的步骤可如下所述:
1.移动UE和AP协商EAP的使用。
2.AP将EAP请求身份消息发送到移动UE以获得最终用户身份。
3.移动UE通过包含订户身份的EAP响应身份做出应答。就EAP-SIM/AKA/AKA'而言,订户将是IMSI。
4.AP将初始EAP消息封装到RADIUS接入请求(RADIUSAccess-Request)消息中,并且将它发送到WLAN-GW。AP在单独Radius属性(分别为主叫站Id(Calling-Station-Id)和用户名称(User-Name))中包括移动UE的MAC地址和订户身份。
5.WLAN-GW将RADIUS接入请求消息无修改代理发送到AAA服务器。
6.AAA服务器向HSS请求鉴权向量。
7.HSS将鉴权向量提供到AAA服务器。
8.也执行本领域技术人员熟知的鉴权过程,以便对订户进行鉴权。
9.一旦对订户已成功鉴权,AAA服务器便通过EAP过程的成功结果做出应答。封装在RADIUS消息中的EAP消息另外包含对IMEISV的身份请求。这要求更改今天的EAP协议。
10.WLAN-GW将RADIUS接入接受(RADIUSAccess-Accept)消息无修改代理发送到AP。
11.AP提取EAP消息,并且将它们发送到移动UE。此时,虽然通过鉴权,但如后面步骤中解释的一样,在为第二鉴权轮提供IMEISV前,AP可保持端口阻塞。因此,在肯定验证IMEISV前,移动UE不能运行业务。
12.移动UE和AP协商加密密钥。从现在起,通信被加密。
13.移动UE通过EAP响应SIM/AKA/AKA'启动(EAP-ResponseSIM/AKA/AKA’-Start)做出应答。
14.AP将EAP响应消息封装到RADIUS接入请求消息中,并且将它发送到WLAN-GW。IMEISV和MAC地址包括在此消息中。
15.WLAN-GW向AAA服务器无修改代理发送RADIUS接入请求消息。
16.AAA服务器确定此接入请求对应于来自已经通过鉴权的用户,用于IMEISV检查的EAP会话。这通过检查它包含带有IMEISV的EAP消息Radius属性,并且AAA服务器知道收到TMSI/IMSI和MAC的订户已经通过鉴权来完成。
17.AAA服务器查询EIR数据库,以检查是否允许IMEISV或者黑名单中是否包括IMEISV。
18.EIR扫描其数据库,以查找用于涉及IMEISV的条目。
19.EIR向AAA服务器返回设备身份状态信息。在示例流程中,UE被列入黑名单。
20.AAA服务器处理从EIR收到的信息,并且相应地做出反应。在此示例流程中,发现IMEISV非法。因此,通过在RADIUS接入质询消息中嵌入通知(EAP请求/通知),将通知输送到移动UE。
21.WLAN-GW向AP无修改代理发送RADIUS接入质询消息。
22.AP提取EAP消息,并且将它发送到移动UE。这导致通过3GPP无线电接入网络,或通过WLAN/Wi-Fi接入网络不能使用欺诈移动UE。
23.移动UE通过EAP响应/通知回复EAP请求/通知消息。
24.AP将EAP响应/通知消息包括到向WLAN-GW的RADIUS接入请求消息中。
25.WLAN-GW将RADIUS接入请求消息无修改代理发送到AAA服务器。
26.AAA服务器生成带有EAP失败指示的接入拒绝消息以完成EAP过程。
27.WLAN-GW将RADIUS接入拒绝消息无修改代理发送到AP。
28.AP提取EAP消息,并且将它发送到移动UE。结果是不能通过3GPP无线电接入网络,也不能通过Wi-Fi接入网络使用欺诈移动UE。
在上面的流程序列示例中,使用了RADIUS,但也可能使用Diameter或任何其它AAA协议。
在上述示例流程序列中,使用了EAP通知。也可能使用方法特定的通知,例如,SIM/AKA/AKA'通知。
在上述示例流程序列中,假设EAP-SIM、EAP-AKA和/或EAP-AKA'被扩展以支持用于IMEISV检查的第二轮EAP交换,参阅步骤13。备选,其它EAP方法可用于此第二轮EAP交换。例如,在步骤11中初始EAP-SIM、EAP-AKA或EAP-AKA'已完成后,诸如EAP-MD5等不同EAP方法能够用于请求和传送IMEISV。
在下述内容中,进行采用一些上述一般概念的实施例的另一更详细的技术描述。图8示出处理来自不同接入技术的UE标识符的过程流程。
在消息流程中涉及的实体是对应于一般概念的UE100的移动UE、在一般概念中未示出的eNodeB、对应于一般概念的接入控制器102的MME、对应于一般概念的订户数据库103的HSS及对应于一般概念的设备身份寄存器103的EIR。
图8的序列示出最终用户尝试利用在EIR的数据库黑名单中包括的移动UE,借助于3GPP接入技术,获得3GPP网络的接入权的过程,过程被增强成不但考虑IMEISV,而且考虑移动UE的MAC地址。
详细的步骤可如下所述:
1.移动UE向选择的eNodeB发送接入3GPP网络的附连请求(AttachRequest)消息。
2.eNodeB将请求转发到MME。
3.MME请求例如IMSI等订户身份以对订户进行鉴权。
4.移动UE向MME提供订户身份。
5.对订户进行鉴权,并且完成用于安全通信的过程。
6.MME向移动UE请求IMEISV,以检查订户是否在使用欺诈移动UE。
7.移动UE向MME提供IMEISV。
8.MME从移动UE另外请求MAC地址,以便在设备身份检查过程中与IMEISV一起使用。MAC地址是身份请求消息的现有信息元素中的新值。
9.MME接收MAC地址。
10.MME通过MAC地址和IMEISV两者查询EIR数据库。
11.EIR不但检查IMEISV是否被列入黑名单,而且检查MAC地址是否被列入黑名单。EIR也能够提供在IMSI/MAC、IMEI/MAC或IMSI/MAC/IMEI之间的关系。
12.EIR将身份检查的结果提供到MME。在此示例流程中,移动UE被列入黑名单,因而不被允许接入3GPP网络。
13.MME触发向移动UE的附连拒绝消息。
14.eNodeB向移动UE转发附连拒绝。
因此,移动UE不能用于接入3GPP网络。
在下述内容中,进行采用一些上述一般概念的实施例的另一技术描述。图9示出作为基于位置的服务,发送SMS的过程流程。
在消息流程中涉及的实体是对应于一般概念的UE100的移动UE、对应于一般概念的接入控制器102的AAA服务器、对应于一般概念的服务数据库105的基于位置的服务LBS数据库及负责执行服务,此处是将SMS发送到移动UE的SMS中心SMS-C。
高端步骤可如下所述:
1.移动UE成功通过鉴权,并且IMEISV和MAC地址被允许接入网络提供的服务。
2.AAA服务器通过启动RAIDUS计费,请求服务检查。AAA服务器在属性值对AVP可计费用户Id中提交AVP3GPP-IMEISV和对应MSISDN中的IMEISV。
3.LBS数据库检查适用和匹配的基于位置的服务。
4.LBS数据库返回RADIUS计费响应,包括匹配服务的指示,此处是匹配的广告文本。
5.AAA服务器触发服务的执行,此处是收到的广告文本的输送。为此,AAA服务器向SMS-C发送文本和接收订户的MSISDN。
6.SMS-C将一个或几个SMS的形式的文本输送到移动UE。
7.移动UE响应SMS-C,确认SMS的接收。
8.SMS-C响应AAA服务器,确认服务的执行。
在下述内容中,进行采用一些上述一般概念的实施例的另一更详细的技术描述。图10示出为基于位置的服务注册的UE应用程序的过程流程。
在消息流程中涉及的实体是可以为在移动UE上运行的软件应用程序的移动客户端应用程序、对应于一般概念的UE100的移动UE、对应于一般概念的接入控制器102的AAA、对应于一般概念的服务数据库105的基于位置的服务LBS数据库。备选,可使用其它服务执行应用程序服务器,而不是基于位置的服务数据库。
就服务应用程序服务器而言,高端步骤可如下所述:
1.移动UE成功通过鉴权,并且IMEISV和MAC地址被允许接入网络提供的服务。
2.移动UE检测建立的网络连接,并且自动启动服务有关的移动客户端应用程序。
3.移动客户端应用程序在服务应用程序服务器为服务注册。
4.服务应用程序服务器确认服务的注册。
5.在服务执行触发,AAA服务器启动RADIUS计费消息,以提交在AVP3GPP-IMEISV中的IMEISV到服务应用程序服务器。
6.服务应用程序服务器检查适用和匹配服务。
7.服务应用程序服务器将包括匹配服务的指示的RADIUS计费响应(RADIUSAccountingResponse)消息返回到AAA服务器。
8.为刷新服务注册,移动客户端应用程序在服务注册计时器截止后,定期在服务应用程序服务器重新注册。
9.服务应用程序服务器确认服务重新注册,并且例如在此确认中返回广告通用资源定位器URL。
10.移动客户端应用程序在移动UE上启动web浏览器应用程序,web浏览器应用程序显示对应于URL的网页。
Claims (37)
1.一种控制用户设备UE(100)对通信网络(101)提供的服务的接入的方法;
所述UE(100)适用于支持至少第一接入技术(202);
所述至少第一接入技术(202)与至少一个第一设备标识符(206)相关联;
所述第一设备标识符独特地识别所述UE(100);
所述方法包括以下步骤:
·经所述第一接入技术(202)接收对服务的网络接入请求,所述网络接入请求包括所述第一用户设备标识符(206);
·接收与所述第一接入技术(202)无关的至少一个另外的设备标识符,所述另外的设备标识符独特地识别所述UE(100);
·基于所述收到的信息,控制所述UE(100)对所述服务的接入。
2.如权利要求1所述的方法,其中所述UE(100)适用于支持每个与至少一个用户设备标识符(206,209)相关联的至少两种接入技术,每个所述设备标识符独特地识别所述UE(100)。
3.如权利要求1或2任一项所述的方法,其中所述UE(100)适用于支持与任何接入技术无关的至少一个设备标识符(210),所述设备标识符独特地识别所述UE(100)。
4.如前面权利要求任一项所述的方法,其中基于与所述第一接入技术(202)无关的所述至少一个另外的设备标识符至少之一,执行设备身份检查。
5.如前面权利要求任一项所述的方法,其中基于与所述第一接入技术(202)无关的所述至少一个另外的设备标识符至少之一和所述第一设备标识符(206)的组合,执行设备身份检查。
6.如前面权利要求任一项所述的方法,其中所述设备身份检查确定是否允许所述UE(100)接入所述服务。
7.如前面权利要求任一项所述的方法,其中基于与所述第一接入技术(202)无关的所述至少一个另外的设备标识符至少之一,执行服务检查。
8.如权利要求7所述的方法,其中至少一个收到的设备标识符包含有关所述UE(100)的设备类型的信息,并且所述服务检查确定可用于所述UE(100)的此设备类型的至少一个服务。
9.如权利要求7或8所述的方法,其中所述服务检查另外基于所述UE(100)的当前位置。
10.如权利要求9所述的方法,其中所述服务检查确定在所述UE(100)的所述当前位置可用于此UE(100)的至少一个服务。
11.如权利要求7到10任一项所述的方法,其中所述服务检查的所述结果触发所述确定的至少一个服务的提供。
12.如前面权利要求任一项所述的方法,其中所述UE(100)发送为至少一个服务注册的注册请求。
13.一种用户设备UE(100)接入通信网络(101)提供的服务的方法;
所述UE(100)适用于支持至少第一接入技术(202);
所述至少第一接入技术(202)与至少一个第一设备标识符(206)相关联;
所述第一设备标识符独特地识别所述UE(100);
所述方法包括以下步骤:
·所述UE(100)经所述第一接入技术(202)发送对服务的网络接入请求,所述网络接入请求包括所述第一用户设备标识符;
·所述UE(100)发送与所述第一接入技术(202)无关的至少一个另外的设备标识符,所述另外的设备标识符独特地识别所述UE(100)。
14.如权利要求13所述的方法,其中所述UE(100)适用于支持至少两种接入技术,所述支持的接入技术的至少两种技术每个与至少一个用户设备标识符(206,209)相关联,每个所述设备标识符独特地识别所述UE(100)。
15.如权利要求13或14任一项所述的方法,其中所述UE(100)适用于支持与任何接入技术无关的至少一个设备标识符(210),所述设备标识符独特地识别所述UE(100)。
16.如权利要求13到15任一项所述的方法,其中所述UE(100)发送为至少一个服务注册的注册请求。
17.一种接入控制器(102)控制用户设备UE(100)对通信网络(101)提供的服务的接入的方法;
所述接入控制器(400)适用于处理与网络接入请求相关联的至少两个设备身份;
每个设备标识符独特地识别所述UE;
所述方法包括以下步骤:
·所述接入控制器(102)接收对服务的网络接入请求,所述网络接入请求包括至少一个第一设备身份;
·所述接入控制器(102)接收至少一个另外的设备身份;
·所述接入控制器(102)基于所述收到的信息,控制所述UE(100)对所述服务的接入。
18.如权利要求17所述的方法,其中所述接入控制器(102)将设备身份检查请求发送到设备身份寄存器(104),所述请求包括所述收到的至少两个设备标识符。
19.如权利要求17或18任一项所述方法,其中所述接入控制器(102)基于来自所述设备身份寄存器(104)的所述收到的回复,接受或拒绝所述UE(100)的网络接入请求。
20.如权利要求17到19任一项所述的方法,其中至少一个设备标识符包含有关所述UE(100)的设备类型的信息。
21.如权利要求17到20任一项所述的方法,其中所述接入控制器(102)将服务检查请求发送到服务数据库(105),所述服务检查请求包括所述至少两个设备标识符。
22.如权利要求21所述的方法,其中所述服务检查请求另外包括所述UE(100)的当前位置的指示。
23.如权利要求17到22任一项所述的方法,其中所述接入控制器(102)接收来自所述服务数据库(105)的回复,所述回复指示至少一个确定的服务,并且其中所述接入控制器(102)触发所述至少一个确定的服务的提供。
24.如权利要求17到23任一项所述的方法,其中所述接入控制器(102)先启动设备身份检查请求,并且仅在来自所述设备身份寄存器(104)的所述回复指示允许所述UE(100)接入时,所述接入控制器(102)才启动对服务数据库(105)的服务检查请求。
25.一种设备身份寄存器(104)检查用户设备UE(100)对通信网络(101)提供的服务的接入许可的方法;
所述方法包括以下步骤:
·设备身份寄存器(104)接收包括至少两个设备标识符的设备身份检查请求,其中每个设备标识符独特地识别所述UE(100);
·所述设备身份寄存器(104)基于所述收到的至少两个设备标识符确定是否允许所述UE接入所述服务。
26.如权利要求25所述的方法,其中如果所述至少两个设备标识符至少之一匹配预存储的参考,则所述设备身份寄存器(104)不允许所述UE的接入。
27.如权利要求25或26任一项所述的方法,其中如果所述至少两个设备标识符的组合匹配预存储的参考,则所述设备身份寄存器(104)不允许所述UE的接入。
28.如权利要求25到27任一项所述的方法,其中如果在预存储的参考中找不到所述至少两个设备标识符的任一个,则所述设备身份寄存器(104)允许所述UE的接入。
29.一种用于接入通信网络(101)提供的服务的用户设备UE(100);
所述UE(100)适用于支持至少第一接入技术(202);
所述第一接入技术(202)与至少一个第一设备标识符(206)相关联;
所述第一设备标识符独特地识别所述UE(100);
所述UE(100)能够:
·经所述第一接入技术(202)发送对服务的接入请求,所述接入请求包括与所述第一接入技术(202)相关联的所述第一设备标识符(206);
·发送与所述第一接入技术(202)无关的至少一个另外的设备标识符,所述另外的设备标识符独特地识别所述UE(100)。
30.如权利要求29所述的UE(100),还能够支持至少两种接入技术,所述支持的接入技术的至少两种技术每个与至少一个用户设备标识符(206,209)相关联,每个所述设备标识符独特地识别所述UE(100)。
31.如权利要求29或30任一项所述的UE(100),还能够支持与任何接入技术无关的至少一个设备标识符(210),所述设备标识符独特地识别所述UE(100)。
32.如权利要求29到31任一项所述的UE(100),还能够发送为至少一个服务注册的注册请求。
33.一种用于控制用户设备UE(100)对通信网络(101)提供的服务的接入的接入控制器(400);
所述接入控制器(400)适用于处理与网络接入请求相关联的至少两个设备身份;
每个设备标识符独特地识别所述UE;
所述接入控制器(400)能够:
·接收对服务的网络接入请求,所述请求包括至少一个第一设备身份;
·接收至少一个另外的设备身份;
·基于所述收到的信息,控制所述UE(100)对所述通信网络(101)提供的所述服务的接入。
34.如权利要求33所述的接入控制器(400),还能够触发确定的服务的提供。
35.一种用于验证用户设备UE(100)对通信网络(101)提供的服务的接入许可的设备身份寄存器(300);
所述设备身份寄存器(300)适用于处理在验证请求中的至少两个设备身份;
每个设备标识符独特地识别所述UE;
所述设备身份寄存器(300)能够:
·在收到请求时验证所述UE的所述接入许可,所述请求包括至少两个设备身份。
36.如权利要求35所述的设备身份寄存器(300),还包括存储UE的接入许可和至少两个设备标识符的数据库。
37.如权利要求35所述的设备身份寄存器(300),还包括到存储UE的接入许可和至少两个设备标识符的外部数据库的接口。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2013/051659 WO2014117811A1 (en) | 2013-01-29 | 2013-01-29 | Controlling access of a user equipment to services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105052184A true CN105052184A (zh) | 2015-11-11 |
| CN105052184B CN105052184B (zh) | 2019-12-27 |
Family
ID=47631427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380071776.6A Active CN105052184B (zh) | 2013-01-29 | 2013-01-29 | 控制用户设备对服务接入的方法、设备及控制器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150327073A1 (zh) |
| EP (1) | EP2952030A1 (zh) |
| CN (1) | CN105052184B (zh) |
| WO (1) | WO2014117811A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702626A (zh) * | 2016-03-09 | 2018-10-23 | 高通股份有限公司 | 无线广域网(wwan)无线局域网(wlan)聚合保全 |
| CN111246420A (zh) * | 2018-11-29 | 2020-06-05 | 通用汽车环球科技运作有限责任公司 | 用于蜂窝网络的用户设备(ue)黑名单覆盖 |
| CN112602372A (zh) * | 2018-08-01 | 2021-04-02 | 维尔塞特公司 | 用于隔离订单管理的移动连接供应 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973658A (zh) * | 2013-02-04 | 2014-08-06 | 中兴通讯股份有限公司 | 静态用户终端认证处理方法及装置 |
| US9949314B2 (en) | 2014-09-23 | 2018-04-17 | Qualcomm Incorporated | Support blacklisting devices on WLAN access |
| US10327137B2 (en) * | 2015-03-16 | 2019-06-18 | Mavenir Systems, Inc. | System and method for detecting malicious attacks in a telecommunication network |
| CN106304056A (zh) * | 2015-05-19 | 2017-01-04 | 中兴通讯股份有限公司 | 一种设备标识的检查方法及系统、设备 |
| US10149163B2 (en) * | 2015-06-17 | 2018-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses of device identity check in a core network for a wireless network |
| WO2017020195A1 (en) * | 2015-07-31 | 2017-02-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices of registering, verifying identity of, and invalidating non-sim mobile terminals accessing a wireless communication network |
| CN108848112B (zh) * | 2015-09-22 | 2019-07-12 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
| EP3169033A1 (en) * | 2015-11-11 | 2017-05-17 | Alcatel Lucent | Support of imei checking procedure for wlan access by an user equipment to 3gpp evolved packet core |
| US10320791B2 (en) * | 2015-12-29 | 2019-06-11 | Nokia Of America Corporation | Method and apparatus for facilitating access to a communication network |
| JP2019505132A (ja) * | 2016-02-03 | 2019-02-21 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ユーザー機器識別子を取得する方法および装置とユーザー機器識別子を送信する方法および装置 |
| CN107801178B (zh) * | 2016-08-30 | 2021-05-25 | 中国电信股份有限公司 | 漫游方法、漫游系统和用于漫游的网关 |
| US11392883B2 (en) * | 2017-10-18 | 2022-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for cellular-based shipment tracking |
| US10834591B2 (en) * | 2018-08-30 | 2020-11-10 | At&T Intellectual Property I, L.P. | System and method for policy-based extensible authentication protocol authentication |
| US10938821B2 (en) * | 2018-10-31 | 2021-03-02 | Dell Products L.P. | Remote access controller support registration system |
| US11206535B1 (en) | 2020-07-13 | 2021-12-21 | T-Mobile Usa, Inc. | Device authentication in a wireless telecommunications network |
| US11876803B1 (en) * | 2020-08-03 | 2024-01-16 | PubNub, Inc. | Methods and systems for authorizing a client device to a service |
| US11445375B2 (en) * | 2021-01-12 | 2022-09-13 | Verizon Patent And Licensing Inc. | Systems and methods for network access security |
| WO2023220992A1 (zh) * | 2022-05-18 | 2023-11-23 | Oppo广东移动通信有限公司 | 接入网络的方法、终端设备和网络设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1816216A (zh) * | 2005-01-28 | 2006-08-09 | Lg电子株式会社 | 用于安全地发送移动用户标识符的方法和移动终端 |
| US20070173251A1 (en) * | 2004-04-26 | 2007-07-26 | Vikberg Jari | Validation of mobile stations in unlicensed radio access networks |
| CN101047506A (zh) * | 2006-05-19 | 2007-10-03 | 华为技术有限公司 | 针对无线通信网络中的终端设备发起业务的管理方法 |
| EP2276279A1 (en) * | 2008-05-09 | 2011-01-19 | ZTE Corporation | User device validation method, device identification register and access control system |
| CN102027766A (zh) * | 2008-02-01 | 2011-04-20 | 泰克莱克公司 | 对移动网络中的语音资源的接入进行控制的方法、系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7322043B2 (en) * | 2002-06-20 | 2008-01-22 | Hewlett-Packard Development Company, L.P. | Allowing an electronic device accessing a service to be authenticated |
| ES2251290B1 (es) * | 2004-03-17 | 2007-06-16 | Vodafone España, S.A. | Sistema y metodo de aprovisionamiento de usuarios de telefonos moviles. |
| WO2010013914A2 (en) * | 2008-07-28 | 2010-02-04 | Samsung Electronics Co., Ltd. | Method for permitting a ue to conditionally access an evolved packet core network |
| GB2491889A (en) * | 2011-06-17 | 2012-12-19 | Sony Corp | Trial period cellular network connection with identity modules of multiple devices loaded with multiple identities from a shared pool |
| EP2584538B1 (en) * | 2011-10-18 | 2017-07-12 | Axis AB | Apparatus and method for access control |
| US8600355B1 (en) * | 2012-05-17 | 2013-12-03 | Cellco Partnership | Systems and methods for authenticating applications for access to secure data using identity modules |
| CN104145497A (zh) * | 2012-09-19 | 2014-11-12 | 华为技术有限公司 | 用户设备跟踪方法及系统、接入设备、接入控制器 |
| US9894601B2 (en) * | 2015-08-18 | 2018-02-13 | Ford Global Technologies, Llc | System and method for dynamic wireless carrier swap system |
-
2013
- 2013-01-29 US US14/763,952 patent/US20150327073A1/en not_active Abandoned
- 2013-01-29 CN CN201380071776.6A patent/CN105052184B/zh active Active
- 2013-01-29 EP EP13702211.7A patent/EP2952030A1/en not_active Withdrawn
- 2013-01-29 WO PCT/EP2013/051659 patent/WO2014117811A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070173251A1 (en) * | 2004-04-26 | 2007-07-26 | Vikberg Jari | Validation of mobile stations in unlicensed radio access networks |
| CN1816216A (zh) * | 2005-01-28 | 2006-08-09 | Lg电子株式会社 | 用于安全地发送移动用户标识符的方法和移动终端 |
| CN101047506A (zh) * | 2006-05-19 | 2007-10-03 | 华为技术有限公司 | 针对无线通信网络中的终端设备发起业务的管理方法 |
| CN102027766A (zh) * | 2008-02-01 | 2011-04-20 | 泰克莱克公司 | 对移动网络中的语音资源的接入进行控制的方法、系统 |
| EP2276279A1 (en) * | 2008-05-09 | 2011-01-19 | ZTE Corporation | User device validation method, device identification register and access control system |
| CN101577908B (zh) * | 2008-05-09 | 2013-01-16 | 中兴通讯股份有限公司 | 用户设备验证方法、设备标识寄存器以及接入控制系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702626A (zh) * | 2016-03-09 | 2018-10-23 | 高通股份有限公司 | 无线广域网(wwan)无线局域网(wlan)聚合保全 |
| US11356844B2 (en) | 2016-03-09 | 2022-06-07 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
| CN112602372A (zh) * | 2018-08-01 | 2021-04-02 | 维尔塞特公司 | 用于隔离订单管理的移动连接供应 |
| CN112602372B (zh) * | 2018-08-01 | 2023-11-17 | 维尔塞特公司 | 用于隔离订单管理的移动连接供应 |
| US11871315B2 (en) | 2018-08-01 | 2024-01-09 | Viasat, Inc. | Mobile connectivity provisioning for segregated order management |
| CN111246420A (zh) * | 2018-11-29 | 2020-06-05 | 通用汽车环球科技运作有限责任公司 | 用于蜂窝网络的用户设备(ue)黑名单覆盖 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150327073A1 (en) | 2015-11-12 |
| CN105052184B (zh) | 2019-12-27 |
| WO2014117811A1 (en) | 2014-08-07 |
| EP2952030A1 (en) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105052184A (zh) | 控制用户设备对服务的接入 | |
| EP2731382B1 (en) | Method for setting terminal in mobile communication system | |
| CA2656919C (en) | Method and system for controlling access to networks | |
| US9911111B2 (en) | Point of sale pairing | |
| US7590246B2 (en) | Authentication between a cellular phone and an access point of a short-range network | |
| CN102474720B (zh) | 通信系统 | |
| CN101577908B (zh) | 用户设备验证方法、设备标识寄存器以及接入控制系统 | |
| US20090217038A1 (en) | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network | |
| US11523261B2 (en) | Handling of subscription profiles for a set of wireless devices | |
| US9788202B2 (en) | Method of accessing a WLAN access point | |
| US8588413B1 (en) | Enabling seamless access to a Wi-Fi network | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| US10602356B2 (en) | Methods and apparatus for end device discovering another end device | |
| CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
| CN108293055A (zh) | 用于认证到移动网络的方法、设备和系统以及用于将设备认证到移动网络的服务器 | |
| JP7456444B2 (ja) | ネットワーク装置の方法 | |
| US10820265B2 (en) | IoT device connectivity provisioning | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| US20230010440A1 (en) | System and Method for Performing Identity Management | |
| WO2020254205A1 (en) | Amf reallocation handling using security context |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |