WO2006000151A1

WO2006000151A1 - Procede de gestion d'un materiel terminal local pour l'acces au reseau

Info

Publication number: WO2006000151A1
Application number: PCT/CN2005/000891
Authority: WO
Inventors: Yingxin Huang; Wenlin Zhang
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2004-06-25
Filing date: 2005-06-21
Publication date: 2006-01-05
Also published as: EP1916867B1; EP1916867A1; EP1916867B2; CN1642349A; CN1274181C; US8208898B2; ATE443415T1; DE602005016737D1; US20120276874A1; US20080101276A1; US9681294B2; EP1742410A4; EP1742410A1

Description

管理本地终端设备接入网络的方法

技术领域

本发明涉及无线接入技术领域，特别是指一种管理本地终端设备

( TE )接入网络的方法。发明背景

随着社会的发展，用户对无线接入速率的要求越来越高，由于无线局域网（WLAN， Wireless Local Area Network ) 能够在较小范围内提供高速的无线数据接入，因而其被广泛应用。无线局域网包括多种不同技术，目前应用较为广泛的一个技术标准是 IEEE 802.11b，它采用 2.4GHz 频段，最高数据传输速率可达 11Mbps,使用该频段的还有 IEEE 802.1 lg 和蓝牙（Bluetooth )技术，其中， 802.11g最高数据传输速率可达 54Mbps。其它无线局域网技术，诸如 IEEE 802.11a和 ETSI BRAN Hiperlan2都使用 5GHz频段，最高传输速率也可达到 54Mbps。

虽然有多种不同 WLAN无线接入技术，但大部分 WLAN都采用因特网协议（IP )分组数据包进行数据传输。对于一个无线 IP网络，其所采用的具体 WLAN接入技术对于上层 IP—般是透明的 , 其基本结构都是利用接入点（AP )完成用户终端的无线接入，并通过网络控制和连接设备组成的 IP传输网络进行数据传输。

随着 WLAN技术的兴起和发展， WLAN与各种无线移动通信网，诸如：全球移动通信（GSM ) 系统、码分多址（CDMA ) 系统、宽带码分多址（WCDMA ) 系统、时分双工-同步码分多址（TD-SCDMA ) 系统、 CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划（ 3GPP )标准化组织中，用户终端既可以通过 WLAN的接入网络 00891 与因特网（ Internet )、企业内部互联网（ Intranet )相连，还可以经由 WLAN 接入网络与 3GPP系统的归属网络或 3GPP系统的访问网络相连。

图 1所示为漫游情况下 WLAN系统与 3GPP系统互通的組网结构示意图。 WLAN用户终端在漫游接入时，经由 WLAN接入网络与 3GPP 的访问网络相连，由于 3GPP访问网络中的部分实体分别与 3GPP归属网络中的相应实体互连，比如： 3GPP访问网络中的 3GPP认证授权计费

( AAA )代理和 3GPP归属网络中的 3GPP认证授权计费（ AAA )服务器； 3GPP访问网络中的无线局域网接入关口（WAG )与 3GPP归属网络中的分组数据关口（PDG )等等，因此，实现了 WLAN用户终端接入 3GPP的归属网络。图中阴影部分为 3GPP分组交换（PS )域业务，即 3GPP网絡中的互通场景 3 ( Scenario3 )业务。

图 2所示为非漫游情况下 WLAN系统与 3GPP系统互通的组网结构示意图。 WLAN用户终端在本地接入时，经由 WLAN接入网络与 3GPP 的归属网络直接相连。图中阴影部分为 3GPP分组交换（PS )域业务，即 3GPP归属网络中的 Scenario3业务。

参见图 1和图 2，在 3GPP系统中，主要包括归属签约用户服务器

( 1½8 ) /归属位置寄存器（1100、 3GPPAAA服务器、 3GPPAAA代理、 WAG, 分组数据关口、计费关口（CGw ) /计费信息收集系统（CCF ) 及在线计费系统（OCS )。用户终端、 WLAN接入网络与 3GPP 系统的所有实体共同构成了 3GPP-WLAN交互网络，该 3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中， 3GPP AAA服务器负责对用户的鉴权、授权和计费，对 WLAN接入网络送来的计费信息收集并传送给计费系统；分组数据关口（PDG ) 负责将用户数据从 WLAN接入网絡传输到 3GPP网络或其他分组网络；计费系统主要接收和记录网络传来的用户计费信息， OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息，并进行统计和控制。

对于用户终端而言，一般包括如下的设备：终端设备（TE )，例如笔记本电脑；移动设备（MT )，例如用户的手机；用户标识卡，例如第二代移动通信系统的签约用户标识（ SIM , GSM Subscriber Identity Module )卡或第三代移动通信系统的签约用户标识（USIM, Universal Subscriber Identity Module )卡，或 IP多媒体子系统的签约用户标识 ISIM ( IMS Subscriber Identity Module )卡，用户标识卡通常插在手机中应用。

在 WLAN覆盖的热点地区，用户的笔记本电脑等终端设备通过该用户手机中 USIM/SIM进行认证授权后可以接入 WLAN和 3GPP/3GPP2 互通的网络，使用 Internet或 3GPP/3GPP2的分组域网络。

应用 USIM、 SIM与 ISIM的认证授权过程很相似，下面以 USIM为例，具体说明终端设备接入网络的过程。图 3所示为现有技术的 TE利用 USIM接入网络的流程示意图。 ,

步骤 301 , 当 TE接入网络并希望使用网络中的业务时，其会接收到网络侧发出的鉴权标识请求消息，由于 TE 本身的标识不是在 3GPP/3GPP2 网络中承认的用户身份标识，因此，其将通过蓝牙 ( BLUETOOTH )或红外接口等本地传输协议链接到旁边的手机即 MT 上，以利用 MT中 USIM卡的标识作为自身接入网络的标识，即帐户。

上述本地传输协议是指近距离的传输协议，即接收方和发送方处于近距离才有效的传输协议，如 BLUETOOTH或红外接口等协议。也就是说，在 TE与 MT之间距离较近时本地传输协议才有效，当 TE与 MT 之间距离较远时，本地传输协议不能被使用即此时本地传输协议无效。以下同。

步骤 302, TE和 MT之间通过本地传输协议建立链接后， TE将网络侧的鉴权标识请求消息转发给 MT。步骤 303 , MT从 USIM中获取 3GPP/3GPP2网络承认的用户身份标识信息，该身份标识信息为国际移动用户识别码（IMSI )或 ΙΜΡΙ, 或由 3GPP/3GPP2网络分配的临时用户身份标识（pseudonym )。

步骤 304, MT应用本地传输协议向 TE发送包含身份标识信息的响应消息。

步骤 305, TE向网络侧转发获取的包含身份标识信息的响应消息。步骤 306, 网络侧根据接收到身份标识信息产生鉴权矢量，并向 TE 发送包含鉴权矢量的鉴权请求。

步骤 307, TE向 MT转发该包含鉴权矢量的鉴权请求。

步骤 308, MT接收到该包含鉴权矢量的鉴权请求后，要求 USIM根据鉴权矢量信息进行计算，以检测网络的真实性，检测通过后， MT从

USIM的计算结果中获取鉴权响应值和密钥信息。

步骤 309, MT向 TE返回包含鉴权响应值的鉴权响应消息。

步骤 310, TE向网络侧返回包含鉴权响应值的鉴权响应消息。

步骤 311 , 网络侧检查鉴权响应值与自身是否相匹配，如果是，则发送鉴权成功的消息给 TE, 允许 TE接入网络，否则发送鉴权失败的信息给 TE, 拒绝 TE接入网络；与此同时， MT将密钥信息发送给 TE, 以供 TE接入网络时使用。

在上述实施例中，网络侧、 TE与 MT之间的应用层应用 EAP协议，

MT和 USIM之间使用 3GPP/3GPP2的终端与卡之间的接口协议。

从上述流程中可以看出，在 TE通过 MT利用 USIM进行鉴权接入网络的过程中，由于不能对应用 MT的 TE进行管理，可能出现 MT的资源被非法利用，从而导致用户费用的损失，给用户的日常使用带来了不便。

另外，在上述流程的步驟 311 中，网络侧将鉴权结果发送给 TE的过程，和 MT向 TE发送密钥信息的过程是同时进行的，相互之间没有约束性，浪费了网络资源。发明内容

有鉴于此，本发明的一个目的是提供一种管理本地终端设备 TE接入网络的方法，以对利用 MT资源接入网络的 TE进行管理。本发明的另一目的是提供管理本地终端设备接入网络的方法，以优化管理流程，为 MT对接入网络 TE进行管理提供了消息流程上的保证。

为达到上述目的 , 本发明的技术方案是这样实现的：

一种管理本地终端设备接入网络的方法，在移动设备 MT中设置包含本地终端设备 TE标识的管理列表，且该 MT中插有用户标识卡，该方法还包括以下步骤：

a、 MT接收到来自本地 TE的包含 TE标识的鉴权标识请求消息后，根据管理列表中的 TE标识信息判断是否接受该请求，如果是，则执行步骤 b; 否则，执行步骤 c;

b、 MT获取用户标识卡的身份标识信息，并将该身份标识信息返回给 TE, TE利用该身份标识信息接入网络，结束；

c、拒绝给 TE返回用户标识卡的身份标识信息，结束本流程。

较佳地，所述包含本地 TE标识的管理列表为允许访问的 TE管理列表；

步骤 a所述判断的方法为： MT判断接收到的请求消息中的标识是否存在于允许访问的 TE管理列表中，如果是，则执行步骤 b, 否则执行步骤 c或根据用户的策略来确定是否给该 TE返回用户标识卡的身份标识信息。

较佳地，所述包含本地 TE标识的管理列表为禁止访问的 TE管理列表；

步骤 a所述判断的方法为： MT判断接收到的请求消息中的标识是否存在于禁止访问的 TE管理列表中，如果是，则执行步骤 c, 否则，根据用户的策略确定是否给该 TE返回用户标识卡的身份标识信息。

较佳地，所述包含本地 TE标识的管理列表为包含允许访问的 TE列表和禁止访问的 TE列表的管理列表；

步驟 a所述判断的方法为： MT判断接收到的请求消息中的标识是否存在于允许访问的 TE列表中，如果是，则执行步驟 b, 否则 MT判断接收到的请求信息中的标识是否存在于禁止访问的 TE列表中，如果是，则执行步骤 c, 否则，执行步骤 c或根据用户的策略来确定是否给该 TE返回用户标识卡的身份标识信息。

较佳地，该方法进一步包括：在允许访问的 TE管理列表中设置 TE 接入网络的权限信息；且 TE向 MT发送的鉴权标识请求消息中包含待请求业务权限标识的信息；

步骤 a所述 MT根据管理列表中的 TE标识信息判断出接受鉴权标识请求后，进一步包括：判断接收到的请求消息中的业务权限标识的信息与管理列表中该 TE的权限信息是否相符，如果是，再执行步 b, 否则执行步骤 c。

较佳地，该方法进一步包括：在允许访问的 TE管理列表中设置 TE 当前的状态信息；

当网络只允许有限个 TE利用一个 MT接入网络时，步骤 a所述 MT 接收到来自本地 TE的包含 TE标识的鉴权标识请求消息后 ,首先根据管理列表中的 TE当前的状态信息判断自身是否正在为有限个 TE提供服务，如果是，则直接执行步骤 c, 否则再根据管理列表中的 TE标识信息判断是否接受该请求，并继续执行后续步骤。较佳地，步骤 b所述 TE利用该身份标识信息接入网络包括以下步骤： TE将该身份标识信息发送给网络侧，并接收到来自网络侧的鉴权请求后，通过 MT获取鉴权响应值，将该鉴权响应值再次发送给网络侧，并接收来自网络侧的鉴权响应消息；

TE判断出接收到来自网络侧的鉴权成功消息后，将该鉴权成功消息转发给 MT, 在 MT接收到 TE转发的来自网络侧的鉴权成功消息后，更改允许访问的 TE管理列表中该 TE当前的状态信息，使其指示为联网状态，然后给 TE发送密钥信息， TE应用接收到的密钥信息接入网络；或者，

TE将该身份标识信息发送给网络侧，并接收到来自网络侧的鉴权请求后，通过 MT获取鉴权响应值，将该鉴权响应值再次发送给网络侧，并将接收来自网络侧的鉴权响应消息直接转发给 MT;

MT判断出接收到来自网络侧的鉴权成功消息后，更改允许访问的 TE管理列表中该 TE 当前的状态信息，使其指示为联网状态，然后给 TE发送密钥信息， TE应用接收到的密钥信息接入网络。

较佳地，该方法进一步包括：当 TE结束与网络侧的业务通信后，网络侧向 TE发送包含注销权限标识的注销通知， TE将接收到的注销通知转发给 MT, MT接收到 TE转发的：;主销通知后，更改允许访问的 TE 管理列表中该 TE当前的状态信息，使其指示为未使用状态。

较佳地，该方法进一步包括：当 MT在一段预先设定的时间内，未接收到已被标识为联网状态的 TE发来的注销通知时，主动修改该 TE 的状态信息，使其指示为未使用的状态。

较佳地，所述 MT更改允许访问的 TE管理列表中 TE的状态信息使其指示为联网状态时，进一步包括：为所更改的状态信息打上时间戳；当 MT接收到新的鉴权标识请求且根据管理列表中的 ΊΈ当前的状态信息判断出自身正在为有限个 TE提供服务时，进一步包括：判断当前时间与状态信息中的时间戳所示时间的时间差是否超过预先设定的时间阈值，如果是，则主动修改 TE的状态信息，使其指示为未使用的状态，否则直接执行步驟 c。

较佳地，步骤 b所述 TE利用该身份标识信息接入网络的过程为： TE利用该身份标识信息与网络侧进行鉴权，并接收来自网络侧的鉴权响应消息；

TE 判断接收到的鉴权响应消息是否为成功的鉴权响应消息，如果是，则给 MT发送鉴权成功的通知，并接收来自 MT的密钥信息，应用该接收到的密钥信息接入网络，否则直接结束；或者，

TE利用该身份标识信息与网络侧进行鉴权，并将接收到的来自网络侧的鉴权响应消息直接转发给 MT;

MT判断接收到的鉴权响应消息是否为成功的鉴权响应消息，如果是，则给 TE发送密钥信息，由 TE应用该接收到的密钥信息接入网络，否则直接结束。

较佳地，所述 MT中设置的管理列表是一个或一个以上，. 且每个管理列表与用户标识卡相对应。

较佳地，所述用户标识卡为第二代移动通信系统的签约用户标识 SIM卡，或第三代移动通信系统的签约用户标识 USIM卡，或 IP多媒体子系统的签约用户标识 ISIM卡。

一种管理本地终端设备接入网络的方法，在 MT中插有用户标识卡，该方法包括以下步骤：

I、 MT接收到来自本地 TE的鉴权标识请求消息后，获取用户标识卡的身份标识信息，并将该身份标识信息返回给 TE，由 TE利用该身份标识信息与网络侧进行鉴权； N2005/000891

II、判断鉴权是否成功，如果是，则 MT给 TE发送密钥信息， TE 应用该接收到的密钥信息接入网络，否则直接结束。

较佳地，步骤 II所述判断鉴权是否成功的过程为：

TE接收到来自网络侧的鉴权响应消息后，判断该鉴权响应消息是否为成功的鉴权响应消息，如果是，则确认鉴权成功，否则直接结束；判断鉴权成功后进一步包括： TE给 MT发送鉴权成功的通知， MT 根据接收到的鉴权成功的通知给 TE发送密钥信息。

较佳地，步骤 II所述判断鉴权是否成功的过程为：

TE接收到来自网络侧的鉴权响应消息后，将该鉴权响应消息直接转发给 MT, MT判断接收到的鉴权响应消息是否为成功的鉴权响应消息，如果是，则确认鉴权成功，否则直接结束。

较佳地，该方法进一步包括：

在移动设备 MT中设置包含本地终端设备 TE标识的管理列表； MT接收到来自本地 TE的包含 TE标识的鉴权标识请求消息后，进一步包括： MT根据管理列表中的 TE标识信息判断是否接受该请求，如果是，则继续执行后续步骤，否则，拒绝给 TE返回用户标识卡的身份标识信息，结束本流程。

本发明在 MT内设置包含本地终端设备 TE标识的管理列表，根据该管理列表中的信息，决定是否接受来自 TE的请求消息，从而实现了对利用 MT资源接入网络的本地 TE的管理，完善了 MT的功能，同时增加了用户帐户的安全性，避免了费用损失。应用本发明，用户还能够对接入 TE的使用权限进行限定，同时能够了解 TE的当前所处的状态，方便了用户的日常应用。在此基础上对现有流程做了进一步地改进，使 MT在接收到来自 TE的成功鉴权通知后，才将密钥信息发送给 TE, 使流程更加合理，而且节省了网络资源。另外，本发明还可以在不增加本地终端设备 TE标识的管理列表的基础上，即现有技术的基础上，只对现有流程进行改进，使 MT在接收到来自 TE的成功鉴权的通知或 MT判断出 TE转发来的是鉴权成功响应消息后，才将密钥信息发送给 TE, 使流程更加合理，而且节省了网络资源。并且，在流程改进的基础上进一步增加本地终端设备 TE标识的管理列表，以进一步实现对利用 MT资源接入网络的 TE进行管理。附图简要说明

图 1所示为漫游情况下 WLA 系统与 3GPP系统互通的組网结构示意图；

图 2所示为非漫游情况下 WLAN系统与 3GPP系统互通的组网结构示意图；

图 3所示为现有技术的 TE利用 USIM接入网络的流程示意图；图 4所示为应用本发明的 TE利用 USIM接入网络的流程示意图。实施本发明的方式

下面结合附图及具体实施例，对本发明再做进一步的详细说明。本发明的思路是：在 MT中设置包含本地 TE标识的管理列表，根据该管理列表中的信息决定是否接受来自 TE的请求消息，从而对利用

MT资源接入网络的 TE进行管理。同时，对现有流程进行改进，使流程更加合理，而且节省了网络资源。

下面仍以 USIM为例，具体说明终端设备接入网络的过程。图 4所示为应用本发明的 TE利用 USIM接入网絡的流程示意图。

步驟 401 , 在 MT内设置包含本地 TE标识的管理列表。

该管理列表可以是允许访问的 TE管理列表，也可以是禁止访问的 TE管理列表，还可以是包含允许访问的 TE列表和禁止访问的 TE列表的管理列表。在本实施例中，假设 MT内的管理列表为包含允许访问的 TE列表和禁止访问的 TE列表的管理列表。

并且，本实施例在允许访问的 TE管理列表中进一步设置 TE接入网络的权限信息，以表明该 TE能够通过 WLAN接入的网络是 INTERNET 还是 3GPP/3GPP2内的分组域业务，也就是明确允许 TE使用的业务级别，因为这两者接入业务的费率是不同的，前者较低，而后者相对较高。

同时，本实施例在允许访问的 TE管理列表中进一步设置 TE接入网络的状态信息，以标识出当前有哪些 TE处于联网状态，哪些 TE处于空闲状态。这样，如果网络只允许有限个数目的 TE应用同一个 MT实现通信连接，则 MT可以根据管理列表内的 TE状态信息进行相应配合管理。例如，假设网络只允许一个 MT对一个 TE提供服务，且已经有一个 TE的状态为正在使用的状态，则此时如果该 MT接收到其它 TE的连接请求时，就直接拒绝为其提供服务。

上述 MT中的管理列表可以有多个，且每个列表对应一个 USIM、 ISIM或 SIM ( USIM/ISIM/SIM )卡，这是因为，每个 USIM/ISIM/SIM 拥有一个用户身份标识。当某用户使用别人的 MT即手机时，由于计费的原因其可能插入的是自己的 USIM/ISIM/SIM卡，此时 MT中的管理列表针对不同的 USIM/ISIM/SIM卡对应不同管理列表，才能区分不同的用户，从而更好地实现管理。只有知道手机个人身份标识码（PIN )码的用户才能管理所有的管理列表，而其它用户只能管理与自己 USIM/ISIM/SIM相关的管理列表。

步骤 402, 当 TE接入网络并希望使用网络中的业务时，其会接收到网络侧发出的鉴权标识请求消息，由于 TE 本身的标识不是在 3GPP/3GPP2 网络中承认的用户身份标识，因此，其将通过蓝牙或红外接口等本地传输协议链接到旁边的手机即 MT上，以利用 MT中 USIM 卡的标识作为自身接入网络的标识，即帐户。

步骤 403, TE和 MT之间通过本地传输协议建立链接后， TE将网络侧的请求鉴权标识的消息转发给 MT。该转发的消息中包含 TE的标识。

在 TE向 MT转发该消息时，还需标识出是要求普通 INTERNET业务的鉴权需求还是要使用 3GPP/3GPP2分组域业务的婆权需求，即标识出所需要的接入权限信息。 TE最好不要直接在网络发的鉴权标识请求消息中插入权限标志信息，因为该消息需要保持简单。 TE 可以在转发过程中将该权限标志信息插在转发使用的本地传输协议中，如 BLUETOOTH协议中。

步骤 404, MT在收到鉴权标识请求后，根据该请求中的 TE标识执行以下操作：

i、判断该 TE是否在允许访问的 TE列表中，如果是，则执行步骤 ii, 否则判断该 TE是否在禁止访问的 TE列表中，如果是，则 MT直接拒绝该 TE的请求，结束本流程。如果不是上述两种情况，即该 TE标、既不在允许访问的 TE列表中，也不在禁止访问的 TE列表中，则可以进行以下处理：

®根据预先配置直接拒绝该 TE的请求，例如用户设置为一种免打扰状态，这时用户终端不以任何方式提示用户而是直接拒绝该 TE的请求，结束本流程；

®通过声音或其它方式提示用户，根据用户的策略来确定是否给该 TE返回用户标识卡的身份标识信息，如果确定给该 TE返回用户标识卡的身份标识信息，则直接执行步骤 405; 如果确定不给，则结束；

ii、 MT判断接收到的请求消息中的该 TE所标识的权限信息与允许访问 TE的列表中该 TE的权限信息是否相符，如果是，则接受该请求并执行步骤 405, 否则拒绝该 TE的请求，并结束本流程。

步驟 405, MT从 USIM中获取 3GPP/3GPP2网络中的用户身份标识信息，该身份标识为 IMSI, 或由 3GPP/3GPP2网络分配的 pseudonym。

步骤 406,通过本地传输协议 MT向 TE发送包含身份标识信息的响应消息。

步骤 407 , TE向网络侧转发获取的包含身份标识信息的响应消息。步骤 408, 网络侧根据接收到身份标识信息产生鉴权矢量，并向 TE 发送包含鉴权矢量的鉴权请求。

步骤 409, TE向 MT转发该包含鉴权矢量的鉴权请求。

步骤 410, MT接收到该包含鉴权矢量的鉴权请求后，要求 USIM根据鉴权矢量信息进行计算，以检测网络的真实性，检测通过后， MT从

USIM的计算结果中获取鉴权响应值和密钥信息。

步骤 411 , MT向 TE返回包含鉴权响应值的鉴权响应消息。

步骤 412, TE向网络侧返回包含鉴权响应值的鉴权响应消息。

步骤 413 , 网络侧检查鉴权响应值与自身是否相匹配，如果是，则发送鉴权成功的消息给 TE, 允许 TE接入网络，否则发送鉴权失败的消息给 TE，拒绝 TE接入网络。

步骤 414, TE判断接收到的是鉴权成功的响应消息还是鉴权失败的响应消息，如果是鉴权失败的响应消息则直接结束本流程，不再向 MT 发送信息，否则，向 MT发送该鉴权成功的通知。

步骤 415, MT接收到鉴权成功的通知后，如果发起请求的 TE在允许访问的 TE列表中，则更改允许访问的 TE列表中该 TE设备的当前状态信息，即将其标识为当前正在联网的信息；如果发起请求的 TE不在允许访问的 TE列表中 , 则直接执行步骤 416。步骤 416， MT将密钥信息发送给 TE, 以供 TE接入网络时使用。步骤 417, TE与网络侧之间建立连接，进行正常的通信。

步骤 418，当 TE和网络的业务通信结束后，网络侧发送注销通知给步骤 419, TE将接收到的注销通知转发给 MT。该注销通知中包含注销权限类型的信息，即标识出了是 3GPP/3GPP2分组域业务注销还是 INTERNET普通业务注销，以便 MT能够知道该 TE是否彻底不再使用该帐户进行通信。

步骤 420， MT接收到注销通知后，如果发起请求的 TE在允许访问的 TE列表中，则更改允许访问的 TE列表中该 TE设备的当前状态信息，即将其标识为空闲状态；如果发起请求的 TE不在允许访问的 TE列表中，则直接结束本流程。

再有，在步骤 414中， TE接收到网络侧反馈的鉴权响应消息后，也可以不判断接收到的是鉴权成功的响应消息还是鉴权失败的响应消息 , 而是将该接收到的鉴权响应消息直接转发给 MT,由 MT执行判断操作，也就是在步骤 415中， MT首先对接收到的鉴权响应消息进行判断，如果判断出接收到的是成功的响应消息，则继续执行后续操作，如果判断是失败的响应消息，则不再执行后续操作，直接结束。

上述实施例中，在增加了 MT的功能的同时，对流程也稍做了修改，主要是当 MT接收到来自 TE的鉴权成功通知或 MT判断出 TE转发来的是鉴权成功响应消息后，才将密钥信息发送给 TE, 这样，不但使流程更加合理，而且节约了网络资源。另外， MT可根据用户的操作，决定是否将发起请求的 TE加入管理列表。

当然，也完全可以在现有技术的基础上只修改流程，在流程改进的基础上进一步增加本地终端设备 TE标识的管理列表，以进一步实现对利用 MT资源接入网络的 TE进行管理。

在上述实施例中，网络没有限定一个 MT能够为几个 TE提供服务，如果网络对此有限定，则在步骤 404中 MT接收到来自 TE的请求鉴权标识请求后，首先根据管理列表中的 TE当前的状态信息判断自身是否正在为网络规定的有限个 TE提供服务，如果是，则直接拒绝为该 TE 提供服务，否则再执行后续步骤。

从上述流程中可以看出， TE在利用 MT和 USIM/ISIM/SIM进行完认证后，除了再认证和注销时，就不再与 MT保持联系了，因此，如果此时 MT被拿走或关掉，那么 TE通知 MT业务注销时， MT是不会收到的，也就是说，在某些情况下， MT可能不能及时更新 TE的状态信息。这样，在网络限定有限个连接数目的情况下，会产生很大的弊端。所以 MT需要一种自我保护机制，以免网络只允许有限个连接的情况下拒绝其它 TE的接入，具体的保护措施可以有以下两种方法：

方法一：设置定时器。当 MT在一段预先设定的时间内，未接收到已被标识为联网状态的 TE发来的注销通知时，主动修改该 TE的状态信息，使其指示为未使用的状态，即空闲状态。该方法的特点是： MT主动触发修改，即只要所设置的定时器超时， MT就主动检测并修改管理列表中已超时的 TE状态信息。

方法二：在所更改的状态信息打上时间戳。当 MT接收到新的鉴权标识请求，并根据管理列表中的 TE当前的状态信息判断出自身正在为有限个 TE提供服务时，进一步判断当前时间与状态信息中的时间戳所示时间的时间差是否超过预先设定的时间阔值，如果是，则主动修改 TE 的状态信息，使其指示为未使用的状态，即空闲状态，否则不做改变，并拒绝为新 TE提供服务。该方法的特点是： MT被动触发修改，即只有 MT接收到 TE请求的情况下，才进行检测，并修改已经超时的 TE 状态信息。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种管理本地终端设备接入网络的方法，其特征在于，在移动设备 MT中设置包含本地终端设备 TE标识的管理列表，且该 MT中插有用户标识卡，该方法还包括以下步骤：

a、 MT接收到来自本地 TE的包含 TE标识的婆权标识请求消息后，根据管理列表中的 TE标识信息判断是否接受该请求，如果是，则执行步骤 b; 否则，执行步骤 c;

b、 MT获取用户标识卡的身份标识信息，并将该身份标识信息返回给 TE， TE利用该身份标识信息接入网絡，结束；

c、拒绝给 TE返回用户标识卡的身份标识信息，结束本流程。

2、根据权利要求 1所述的方法，其特征在于，所述包含本地 TE标识的管理列表为允许访问的 TE管理列表；

3、根据权利要求 1所述的方法，其特征在于，所述包含本地 TE标识的管理列表为禁止访问的 TE管理列表；

4、根据权利要求 1所述的方法，其特征在于，所述包含本地 TE标识的管理列表为包含允许访问的 TE列表和禁止访问的 TE列表的管理列表；步骤 a所述判断的方法为： MT判断接收到的请求消息中的标识是否存在于允许访问的 TE列表中，如果是，则执行步骤 b, 否则 MT判断接收到的请求信息中的标识是否存在于禁止访问的 ΊΈ列表中，如果是，则执行步骤 c, 否则，执行步骤 c或根据用户的策略来确定是否给该 TE返回用户标识卡的身份标识信息。

5、根据权利要求 2或 4所述的方法，其特征在于，该方法进一步包括：在允许访问的 TE管理列表中设置 TE接入网络的权限信息；且 TE 向 MT发送的鉴权标识请求消息中包含待请求业务权限标识的信息；步骤 a所述 MT根据管理列表中的 TE标识信息判断出接受鉴权标识请求后，进一步包括：判断接收到的请求消息中的业务权限标识的信息与管理列表中该 TE的权限信息是否相符，如果是，再执行步骤 b, 否则执行步驟 c。

6、根据权利要求 5所述的方法，其特征在于，该方法进一步包括：在允许访问的 TE管理列表中设置 TE当前的状态信息；

当网络只允许有限个 TE利用一个 MT接入网络时，步骤 a所述 MT 接收到来自本地 TE的包含 TE标识的鉴权标识请求消息后，首先根据管理列表中的 TE当前的状态信息判断自身是否正在为有限个 TE提供服务，如果是，则直接执行步骤否则再根据管理列表中的 TE标识信息判断是否接受该请求，并继续执行后续步骤。

7、根据权利要求 6所述的方法，其特征在于，步骤 b所述 TE利用该身份标识信息接入网络包括以下步驟：

TE将该身份标识信息发送给网络侧，并接收到来自网络侧的鉴权请求后，通过 MT获取鉴权响应值，将该鉴权响应值再次发送给网络侧，并接收来自网絡侧的鉴权响应消息；

TE判断出接收到来自网络侧的鉴权成功消息后，将该鉴权成功消息转发给 MT, 在 MT接收到 TE转发的来自网絡侧的鉴权成功消息后，更改允许访问的 TE管理列表中该 TE当前的状态信息，使其指示为联网状态，然后给 TE发送密钥信息， TE应用接收到的密钥信息接入网络；或者，

8、根据权利要求 7所述的方法，其特征在于，该方法进一步包括：当 TE结束与网络侧的业务通信后，网络侧向 TE发送包含注销权限标识的注销通知， TE将接收到的注销通知转发给 MT, MT接收到 TE转发的注销通知后，更改允许访问的 TE管理列表中该 TE当前的状态信息，使其指示为未使用状态。

9、根据权利要求 8所述的方法，其特征在于，该方法进一步包括：当 MT在一段预先设定的时间内，未接收到已被标识为联网状态的 TE 发来的注销通知时，主动修改该 TE的状态信息，使其指示为未使用的状态。

10、根据权利要求 8所述的方法，其特征在于，所述 MT更改允许访问的 TE管理列表中 TE的状态信息使其指示为联网状态时，进一步包括：为所更改的状态信息打上时间戳；

当 MT接收到新的鉴权标识请求且根据管理列表中的 TE当前的状态信息判断出自身正在为有限个 TE提供服务时，进一步包括：判断当前时间与状态信息中的时间戳所示时间的时间差是否超过预先设定的时间闹值，如果是，则主动修改 TE的状态信息，使其指示为未使用的状态，否则直接执行步骤 c。

11、根据权利要求 1所述的方法，其特征在于，步骤 b所述 TE利用该身份标识信息接入网络的过程为：

TE利用该身份标识信息与网絡侧进行鉴权，并接收来自网络侧的鉴权响应消息；

TE判断接收到的鉴权响应消息是否为成功的鉴权响应消息，如果是，则给 MT发送鉴权成功的通知，并接收来自 MT的密钥信息，应用该接收到的密钥信息接入网络，否则直接结束；或者，

12、根据权利要求 1所述的方法，其特征在于，所述 MT中设置的管理列表是一个或一个以上，且每个管理列表与一个用户标识卡相对应。

13、根据权利要求 12所述的方法，其特征在于，所述用户标识卡为第二代移动通信系统的签约用户标识 SIM卡，或第三代移动通信系统的签约用户标识 USIM卡，或 IP多媒体子系统的签约用户标识 ISIM卡。

14、一种管理本地终端设备接入网络的方法，在 MT中插有用户标识卡，其特征在于，该方法包括以下步骤：

I、 MT接收到来自本地 TE的鉴权标识请求消息后，获取用户标识卡的身份标识信息，并将该身份标识信息返回给 TE, 由 TE利用该身份标识信息与网络侧进行鉴权； II、判断鉴权是否成功，如果是，则 MT给 TE发送密钥信息， TE 应用该接收到的密钥信息接入网络，否则直接结束。

15、根据权利要求 14所述的方法，其特征在于，步骤 II所述判断鉴权是否成功的过程为：

TE接收到来自网络侧的鉴权响应消息后 ,判断该鉴权响应消息是否为成功的鉴权响应消息，如果是，则确认鉴权成功，否则直接结束；判断鉴权成功后进一步包括： TE给 MT发送鉴权成功的通知， MT 根据接收到的鉴权成功的通知给 TE发送密钥信息。

16、根据权利要求 14所述的方法，其特征在于，步骤 II所述判断鉴权是否成功的过程为：

TE接收到来自网络侧的鉴权响应消息后，将该鉴权响应消息直接转发给 MT， MT判断接收到的鉴权响应消息是否为成功的鉴权响应消息，如果是，则确认鉴权成功，否则直接结束。

17、根据权利要求 14所述的方法，其特征在于，该方法进一步包括：在移动设备 MT中设置包含本地终端设备 TE标识的管理列表； MT接收到来自本地 TE的包含 TE标识的鉴权标识请求消息后 , 进一步包括： MT根据管理列表中的 TE标识信息判断是否接受该请求，如果是，则继续执行后续步骤，否则，拒绝给 TE返回用户标识卡的身份标识信息，结束本流程。