WO2009135367A1 - 用户设备验证方法、设备标识寄存器以及接入控制系统 - Google Patents

Description

用户设备验证方法、

设备标识寄存器以及接入控制系统 技术领域 本发明涉及通信领域， 具体而言， 涉及用户设备验证方法、 设备标识寄 存器以及接入控制系统。 背景技术 随着网络技术的发展， 集成各种网络类型接入功能的终端也越来越多。 用户不仅希望网络能够对签约用户进行管理， 同时也希望能够对终端设备进 行有效的管理。 这样， 才能更有效地保障合法终端用户和合法终端厂商的权 益。 例如， 随着 3GPP ( 3rd Generation Partnership Project , 第三 合作伙伴 计划 ) LTE/SAE ( Long Term Evolution/Service Architecture Evolution , 长期演 进技术 /业务架构长期演进 )的飞速发展，很多非 3GPP终端会集成 3GPP LTE 接入功能， 现有的 3GPP网络一 ^：可以识别本网络或的终端 ID ( Identity, 标 识），并对终端接入进行管理。但是如果其他网络类型，例如： 3GPP2、 WiMAX

( Worldwide Interoperability for Microwave Access , 微波接入全球互通)、 WLAN ( Virtual Local Area Network, 虚拟局或网） 等具有 3 GPP LTE网络接 入功能的终端企图接入 3GPP网络， 那么 3GPP网络将无法识别该终端 ID, 使得 3GPP网络对该终端的管理变得困难或无能为力。 一种可能的场景：当使用一台支持 3GPP LTE接入的非法笔记本电脑（偷 盗的）接入 3GPP LTE/SAE提供的业务， 因为该笔记本电脑为非 3GPP终端， 那么当前 3GPP网络无法解析该笔记本电脑的 MAC( Medium Access Control, 媒体访问控制） 地址而对该笔记本终端不进行任何终端 ID 校验而直接允许 该笔记本电脑使用 3GPP网络提供的业务。 另外一种可能的场景： 当一部被盗的和克隆的支持 3GPP网络的多模非 3GPP终端， 如果该终端试图接入 3GPP网络提供的业务， 那么 3GPP网络将 无法识别该终端的设备标识而只能默认允许该终端接入网络。 以上两种场景都将有悖电信网终端可管理的原则，并可能导致合法的终

1 P22130 端厂商以及终端的合法用户的利益受到侵害。 因此提供一种技术方案使得某 个网络的提供商能够对各种网络类型的终端进行安全高效地管理是非常有意 义的。 在实现本发明过程中，发明人发现现有技术中至少存在如下问题： 3GPP 网络无法识别非本网络的终端 ID,对于非本网络的终端的接入请求不进行认 证， 默认为该终端提供服务。 发明内容 本发明旨在提供用户设备验证方法、 接入控制系统以及设备标识寄存 器， 以解决现有技术中 3GPP网络无法识别非 3GPP终端的问题。 根据本发明的一个方面， 提供了一种用户设备验证方法。 根据本发明的用户设备验证方法包括：设置有不同网络共享的设备标识 寄存器， 其中， 共享设备标识寄存器存储有非法用户设备标识； 共享设备标 识寄存器接收来自移动管理实体的 ID验证请求， 其中， ID验证请求中携带 有用户设备的 ID参数； 共享设备标识寄存器根据 ID参数验证用户设备的合 法性， 并向移动管理实体返回 -睑证结果。 优选地， 共享设备标识寄存器验证 ID验证请求中携带的 ID参数对应 的用户设备的合法性的操作具体为： 共享设备标识寄存器提取 ID 验证请求 携带的 ID参数; 共享设备标识寄存器将提取的 ID参数与自身存储的非法用 户设备标识进行匹配， 如果匹配成功， 贝l ID 参数对应的用户设备为非法， 如果匹配失败， 则 ID参数对应的用户设备为合法。 优选地， 该方法还包括： 移动管理实体根据验证结果控制用户设备接入 3GPP网络， 其中， 如果验证结果为合法， 则允许用户设备接入 3GPP网络， 否则， 禁止用户设备接入 3GPP网络。 优选地， 在共享设备标识寄存器接收来自移动管理实体的 ID -睑证请求 之前和 /或共享设备标识寄存器才艮据 ID参数验证用户设备的合法性， 并向移 动管理实体返回验证结果之后， 上述方法还包括： 移动管理实体对请求接入 3GPP 网络的用户设备发送 ID请求； 移动管理实体接收用户设备返回的 ID 响应， 其中， ID响应中包括用户设备的 ID参数。

2 P22130 优选地， 不同网络包括： 3GPP、 3GPP2、 WiMAX以及 WLAN。 优选地， 共享设备标识寄存器存储的非法用户设备标识包括非法的非 3GPP网络用户设备标识和非法的 3GPP网络用户设备标识。 其中， 上述的用户设备的 ID参数包括以下至少之一或其组合： 国际移 动用户识别码国际移动设备身份码、 MAC地址以及移动设备身份识别码。 才艮据本发明的另一方面， 还提供了一种设备标识寄存器。 才艮据本发明的设备标识寄存器包括： 存储模块， 用于存储不同网络中非 法用户设备标识； 接收模块， 用于接收来自网络侧的 ID验证请求， 其中， ID 验证请求中携带有用户设备的 ID 参数； 验证模块， 用于根据非法用户设备 标识和 ID参数验证用户设备的合法性， 并向网络侧返回验证结果。 优选地， 非法用户设备标识包括非法的非 3GPP 网络用户设备标识和 / 或非法的 3GPP网络用户设备标识。 优选地， 验证模块进一步包括： 提取模块， 用于提取 ID验证请求中携 带的 ID参数； 匹配模块， 用于将 ID参数与非法用户设备标识进行匹配； 判 决模块， 用于根据匹配模块的匹配结果判决 ID 参数对应的用户设备的合法 性； 反馈模块， 用于向网络侧返回验证结果。 优选地， 如果匹配模块匹配成功， 则判决模块判决 ID参数对应的用户 设备为非法； 如果匹配模块匹配失败， 则判决模块判决 ID 参数对应的用户 设备为合法。 才艮据本发明的另一方面， 还提供了一种接入控制系统。 根据本发明的接入控制系统包括： 共享设备标识寄存器， 用于存储多个 网络的非法用户设备标识， 接收 ID验证请求， 其中， ID验证请求中携带有 用户设备的 ID参数， 并根据非法用户设备标识和 ID参数验证用户设备的合 法性， 并返回 -睑证结果； 移动管理实体， 用于接收 -睑证结果， 并才艮据-睑证结 果控制用户设备接入 3GPP网络。 优选地， 共享设备标识寄存器包括： 存储模块， 用于存储非法用户设备 标识， 其中， 非法用户设备标识包括非法的非 3GPP网络用户设备标识和 /或 非法的 3GPP网络用户设备标识； 接收模块， 用于接收来自网络侧的 ID验证

3 P22130 请求， 其中， ID验证请求中携带有用户设备的 ID参数; 验证模块， 用于根 据非法用户设备标识和 ID 参数验证用户设备的合法性， 并向网络侧返回验 证结果。 优选地， 验证模块进一步包括： 提取模块， 用于提取 ID验证请求中携 带的 ID参数； 匹配模块， 用于将 ID参数与非法用户设备标识进行匹配； 判 决模块， 用于根据匹配模块的匹配结果判决 ID 参数对应的用户设备的合法 性； 反馈模块， 用于向网络侧返回验证结果。 优选地， 移动管理实体具体包括： 接入控制模块， 用于如果验证结果为 合法， 则允许用户设备接入 3GPP网络， 如果验证结果为非法， 则禁止用户 设备接入 3GPP网络； ID收发模块， 用于对请求接入 3GPP网络的用户设备 发送请求消息， 用以获得用户设备的 ID 参数； 并用于接收用户设备返回的 ID响应， 其中， ID响应中包括用户设备的 ID参数。 才艮据本发明的另一方面， 还提供了一种用户设备验证方法。 根据本发明的用户设备验证方法包括： 步骤 S402, 在用户设备接入网 络后， 网络侧设备向用户设备发送请求消息， 用以获得用户设备的 ID参数; 步骤 S404 , 用户设备接收请求消息， 并发送响应消息至网络侧设备， 响应消 息中包括用户设备的 ID参数; 步骤 S406 , 网络侧设备向设备标识存储器发 送用户设备 ID验证请求消息， 验证请求消息中包括用户设备的 ID参数； 步 骤 S408 ,设备标识存储器接收来自网络侧设备的 ID验证请求，根据 ID参数 验证用户设备的合法性， 并向网络侧设备返回验证结果。 优选地， 在步骤 S408中设备标识存储器向网络侧设备返回验证结果之 后， 该方法还包括： 步骤 S410 , 网络侧设备对请求接入 /接入中的网络的用 户设备发送请求消息， 用以获得用户设备的 ID 参数； 网络侧设备接收用户 设备返回的 ID响应， 其中， ID响应中包括用户设备的 ID参数。 优选地， 在步骤 S410之后上述方法进一步包括： 执行步骤 S406和步 骤 S408。 优选地， 网络为 3GPP 网络， 用户设备包括支持 3GPP接入功能的非 3GPP网络用户设备。 优选地， 设备标识存储器用以存储非法用户设备标识， 包括非法的非

4 P22130 3GPP网络用户设备标识和非法的 3GPP网络用户设备标识， 步骤 S408进一 步包括： 设备标识存储器判断 ID 参数与自身存储的非法用户设备标识是否 相同， 在相同的情况下， 向网络侧设备反馈用户设备合法的验证结果， 用以 供网络侧设备允许用户设备的服务请求； 否则， 向网络侧设备反馈用户设备 非法的验证结果， 用以供网络侧设备禁止用户设备的服务请求。 优选地， 用户设备的 ID参数包括以下至少之一或其组合： 国际移动用 户识别码、 国际移动设备身份码、 MAC地址以及移动设备身份识别码。 优选地， 网络侧设备包括移动管理实体， 设备标识存储器为共享设备标 识寄存器， 用以共享 3GPP网络和非 3GPP网络中非法的用户设备标识。 优选地， 上述的非 3GPP网络至少包括 3GPP2、 WiMAX以及 WLAN。 才艮据本发明的另一方面， 还提供了一种用户设备验证方法。 根据本发明的用户设备验证方法包括： 步骤 S502 , 在具有 3GPP 网络 接入功能的非 3GPP网络用户设备接入 3GPP网络后， 网络侧设备向非 3GPP 网络用户设备发送获取非 3GPP网络用户设备唯一标识参数的请求消息； 步 骤 S504 , 非 3GPP网络用户设备接收请求消息后， 反馈非 3GPP网络用户设 备唯一标识参数至网络侧设备； 步骤 S506 , 网络侧设备向存储有非法的非 3GPP 网络用户设备唯一标识参数的存储单元发送非 3GPP 网络用户设备唯 一标识参数验证请求消息， 验证请求消息中包括非 3GPP 网络用户设备唯一 标识参数； 步骤 S508 , 存储单元接收来自网络侧设备的非 3GPP网络设备唯 一标识参数验证请求， 根据存储的非法的非 3GPP网络用户设备唯一标识参 数验证非 3GPP网络用户设备的合法性。 优选地， 步骤 S502中， 网络侧设备定期向非 3GPP网络用户设备发送 获取非 3GPP网络用户设备唯一标识参数的请求消息。 通过本发明的上述技术方案， 使非法用户的名单在多个网络共享， 对接 入 3GPP网络的不同网络类型的终端设备实施有效的接入控制管理， 能够禁 止具有 3GPP网络接入能力的非法的非 3GPP网络用户设备接入 3GPP网络。

5 P22130 附图说明 此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部 分， 本发明的示意性实施例及其说明用于解释本发明， 并不构成对本发明的 不当限定。 在附图中： 图 1是才艮据本发明实施例的网络实体的示意图； 图 2是根据本发明一个实施例的用户设备验证方法的流程图； 图 3是才艮据本发明实施例的消息交互的示意图； 图 4是根据本发明另一实施例的用户设备验证方法的流程图； 图 5是根据本发明另一实施例的用户设备验证方法的流程图； 图 6是根据本发明实施例的设备标识寄存器的框图； 图 7是才艮据本发明实施例的接入控制系统的框图。 具体实施方式 功能相克述 本发明的主要思想是：设置能够在不同的网络域（例如： 3GPP、 3GPP2、 WiMAX, WLAN等）共享的设备标识寄存器（ Central Device Identity Register, 简称为 CDIR ), 其中， CDIR存储有非法设备的标识（Identity, 简称为 ID ); 3GPP网络才艮据 CDIR存储的非法设备的 ID验证接入该 3GPP网络的用户设 备 ( User Equipment, 简称为 UE ) 的合法性， 控制非法的 UE接入 3GPP网 络。 以下结合附图对本发明的优选实施例进行说明， 应当理解， 此处所描述 的优选实施例仅用于说明和解释本发明， 并不用于限定本发明。 图 1示出了用于实现根据本发明实施例的网络实体。 如图 1所示， 该网 络实体主要包括： UE, 包括 3GPP终端和非 3GPP终端， 3GPP网络侧核心 控制 /交换设备， 主要为移动管理实体 ( Mobility Management Entity, 简称为

6 P22130 MME ) 和 CDIR。 本发明中的终端 （UE ) 实体特指可以接入两个或多个通讯网络的多模 终端， 如多模手机终端、 支持 LTE功能的 PC ( Personal Computer, 个人电脑 ) 终端等。 MME 在本发明中主要用于请求 /接收终端实体的 ID 信息并请求 CDIR对终端实体 ID 进行检查， 根据检查结果控制终端实体是否可以接入 3GPP网络。 CDIR用于存储不同网络或终端实体的唯一标识， 同时能够处理 MME发送过来的终端 ID检查请求。 方法实施例 根据本发明实施例， 提出了一种用户设备验证方法。 在 UE接入 3GPP网络后， 此时 3GPP网络开始 UE的 ID请求过程， 要 求终端将 ID参数上 4艮给 3GPP网络； 另外， 在 UE接入 3GPP网络后， 网络 侧也会周期性地或 居预定的策略主动发起询问 UE的 ID , 开始 UE的 ID 请求过程， 要求终端将 ID参数上报给 3GPP网络。 其中， UE的 ID参数包括但不限于签约客户模块标识以及 UE的 ID。 对于 3GPP终端而言， ID参数可以是 IMSI ( International Mobile Subscriber Identity , 国际移动用户 i只别码） 和 IMEI ( International Mobile Equipment Identity, 国际移动设备身份码 )等； 对于支持 LTE/SAE能力的非 3GPP终端 而言， 那么可以是 IMSI和 MAC地址或 MEID ( Mobile Equipment Identity , 移动设备身份识别码）。 基于上述内容， ΜΜΕ对请求接入 3GPP网络的 UE发送 ID请求； MME 接收 UE返回的 ID响应， 其中， ID响应中包括 UE的 ID参数。 接下来， 可以进行如图 2所示的以下处理： 步骤 S202, 设置有不同网络共享的 CDIR, 其中， CDIR存储有非法 UE 标识 （黑名单）； 上面提到的不同制式的多个网络包括但不限于： 3GPP、 3GPP2、 WiMAX以及 WLAN等； 步骤 S204, CDIR接收来自 MME的 ID -睑证请求， 其中， ID -睑证请求 中携带有 UE的 ID参数； 步骤 S206 , CDIR才艮据 ID参数 -睑证 UE的合法性， 并向 MME返回-睑

P22130 证结果。 在步骤 S206 中， CDIR -睑证 ID -睑证请求中携带的 ID参数对应的 UE 的合法性的操作具体为： CDIR提取 ID验证请求携带的 ID参数， 并将提取 的 ID参数与自身存储的非法 UE标识进行匹配， 如果匹配成功， 则 ID参数 对应的 UE为非法， ^。果匹配失败， 贝l ID参数对应的 UE为合法。 之后， MME可以才艮据-睑证结果控制 UE接入 3GPP网络， 其中， 如果 验证结果为合法， 则允许 UE接入 3GPP网络， 否则， 禁止 UE接入 3GPP网 络。 其中， CDIR存储的非法 UE标识包括非法的非 3GPP网络 UE标识和 非法的 3GPP网络 UE标 i只。 通过上述优选实施例， 在 UE的 ID验证过程中要求 3GPP网络强制对 非 3GPP 网络类型的 UE进行认证， 检查该 UE是否在非法 UE 的黑名单 ( Blacklist )中， 并返回检查结果以确定是否为该非 3GPP网络类型的 UE提 供其所请求的服务。 图 3示出了根据本发明实施例的用户设备验证方法的详细处理流程。如 图 3所示， 消息交互流程如下： 步骤 S302, UE请求接入 3GPP网络， 3GPP网络通过网络侧 MME向 UE发送 "ID请求"消息发起终端识别过程。在该消息的 ID类型信息单元中， "ID请求" 消息可以指定希望获取的 ID参数。 ID参数包含但不限于 IMSI 和终端 ID等； 步骤 S304, 在 UE保持无线连接的情况下， 将返回 "ID响应" 来响应 MME发送的 "ID请求" 消息。 该 "ID响应" 消息将包含 MME请求校 -睑的 ID参数； 步骤 S306, MME向 CDIR发送 "ID检查请求， '； 步骤 S308 , CDIR向 MME返回 "ID检查结果" 消息; 步骤 S310, 基于 CDIR返回的 "ID检查结果" 消息， MME可以决定 是否为该终端提供相应的服务。

8 P22130 根据本发明的实施例， 还提出了一种用户设备验证方法。 如图 4所示， 居本发明实施例的用户设备验证方法， 包括以下处理： 步骤 S402 , 在 UE接入网络后， 网络侧设备向 UE发送请求消息， 用以 获得 UE的 ID参数; 步骤 S404, UE接收请求消息， 并发送响应消息至网络侧设备， 响应消 息中包括 UE的 ID参数； 步骤 S406 , 网络侧设备向设备标识存储器发送 UEID验证请求消息， -睑证请求消息中包括 UE的 ID参数； 步骤 S408 , 设备标识存储器接收来自网络侧设备的 ID验证请求， 根据 ID参数验证 UE的合法性， 并向网络侧设备返回验证结果。 在步骤 S408中设备标识存储器向网络侧设备返回验证结果之后， 上述 方法还包括： 步骤 S410 , 网络侧设备对请求接入 /接入中的网络的 UE发送请 求消息， 用以获得 UE的 ID参数; 网络侧设备接收 UE返回的 ID响应， 其 中， ID响应中包括 UE的 ID参数。 并且，步骤 S410之后上述方法进一步包括：执行步骤 S406和步骤 S408。 上述的网络为 3GPP网络， UE包括支持 3GPP接入功能的非 3GPP网 络 UE。 并且， 设备标识存储器用以存储非法 UE标识， 包括非法的非 3GPP网 络 UE标识和非法的 3GPP网络 UE标识， 步骤 S408进一步包括： 设备标识 存储器判断 ID参数与自身存储的非法 UE标识是否相同， 在相同的情况下， 向网络侧设备反馈 UE合法的验证结果， 用以供网络侧设备允许 UE的服务 请求； 否则， 向网络侧设备反馈 UE非法的验证结果， 用以供网络侧设备禁 止 UE的月 务请求。 其中， UE的 ID参数包括以下至少之一或其组合： IMSI、 IMEI、 MAC 地址以及 MEID。 上述的网络侧设备包括移动管理实体，设备标识存储器为共享设备标识 寄存器， 用以共享 3GPP网络和非 3GPP网络中非法的 UE标识。

9 P22130 其中， 上述的非 3GPP网络至少包括 3GPP2、 WiMAX以及 WLAN。 通过上述优选实施例， 网络侧主动 -睑证接入其 3GPP网络的 UE的合法 性， 能够识别出接入 3GPP 网络的非法的非 3GPP 网络 UE, 并禁止该具有 3GPP网络接入能力的非法的非 3GPP网络 UE接入该 3GPP网络。 根据本发明的实施例， 还提出了一种用户设备验证方法。 如图 5所示， 根据本发明实施例的用户设备验证方法， 包括以下处理： 步骤 S502 , 在具有 3GPP网络接入功能的非 3GPP网络 UE接入 3GPP 网络后，网络侧设备向非 3GPP网络 UE发送获取非 3GPP网络 UE唯一标识 参数的请求消息； 步骤 S504 , 非 3GPP网络 UE接收请求消息后， 反馈非 3GPP网络 UE 唯一标识参数至网络侧设备； 步骤 S506,网络侧设备向存储有非法的非 3GPP网络 UE唯一标识参数 的存储单元发送非 3GPP 网络 UE唯一标识参数验证请求消息， 验证请求消 息中包括非 3GPP网络 UE唯一标识参数； 步骤 S508 , 存储单元接收来自网络侧设备的非 3GPP 网络设备唯一标 识参数验证请求， 根据存储的非法的非 3GPP网络 UE唯一标识参数验证非 3GPP网络 UE的合法 '1·生。 在步骤 S502中， 网络侧设备定期向非 3GPP网络 UE发送获取非 3GPP 网络 UE唯一标识参数的请求消息。 上述的存储单元可以为具有独立物理实体的存储装置； 当然该存储单元 也可以为逻辑存储装置， 设置于其他的网络侧设备中。 通过上述优选实施例， 网络侧主动 -睑证接入其 3GPP网络的非 3GPP网 络的用户的合法性， 能够禁止具有 3GPP网络接入能力的非法的非 3GPP网 络 UE接入该 3GPP网络。 设备实施例 根据本发明实施例， 还提供了一种设备标识寄存器， 其由不同制式的多 个网络共享， 这里提到的不同制式的多个网络包括： 3GPP、 3GPP2、 WiMAX

10 P22130 以及 WLAN等。 图 6 示出了根据本发明实施例的设备标识寄存器的优选结构。 如图 6 所示， 该设备标识寄存器包括： 存储模块 102, 用于存储不同网络中非法 UE 标识； 接收模块 104, 用于接收来自网络侧的 ID验证请求， 其中， ID验证 请求中携带有 UE的 ID参数； 验证模块 106, 分别与存储模块 102以及接收 模块 104相连接， 用于 居非法 UE标识和 ID参数验证 UE的合法性， 并向 网络侧返回验证结果， 其中， 存储模块存储的非法 UE标识是非 3GPP网络 UE标识和 3GPP网络 UE标识。 其中，非法 UE标识包括非法的非 3GPP网络 UE标识和 /或非法的 3GPP 网络 UE标识。 优选地， 验证模块 106进一步包括： 提耳 4莫块 （图中未示出）， 用于提 取 ID验证请求中携带的 ID参数; 匹配模块 （图中未示出）， 分别与提取模 块以及存储模块 102相连接， 用于将 ID参数与非法 UE标识进行匹配； 判决 模块（图中未示出）， 与匹配模块相连接， 用于根据匹配模块的匹配结果判决 ID参数对应的 UE的合法性； 反馈模块 (图中未示出）， 与判决模块相连接， 用于向网络侧返回验证结果。 其中， 如果匹配模块匹配成功， 则判决模块判决 ID参数对应的 UE为 非法； 如果匹配模块匹配失败， 则判决模块判决 ID参数对应的 UE为合法。 另夕卜， UE的 ID参数可以包括 IMSI及以下至少之一： IMEI、 MAC地 址以及 MEID。 系统实施例 根据本发明实施例， 还提供了一种接入控制系统。 图 7示出了根据本发明实施例的接入控制系统的优选结构。如图 7所示， 该接入控制系统包括： 共享设备标识寄存器 10 , 由不同网络共享， 用于存储 多个网络的非法 UE标识， 接收 ID验证请求， 其中， ID验证请求中携带有 UE的 ID参数， 并 居非法 UE标识和 ID参数 -睑证 UE的合法性， 并返回-睑 证结果； 移动管理实体 ( MME ) 20 , 连接至共享设备标识寄存器 10 , 用于 接收验证结果， 并根据验证结果控制 UE接入 3GPP 网络； 其中， 不同制式 的多个网络包括： 3GPP、 3GPP2、 WiMAX以及 WLAN。

11 P22130 其中， 共享设备标识寄存器 10包括： 存储模块（图中未示出）， 用于存 储非法 UE标识， 其中， 非法 UE标识包括非法的非 3GPP网络 UE标识和 / 或非法的 3GPP网络 UE标识； 接收模块 (图中未示出）， 用于接收来自网络 侧的 ID验证请求，其中， ID验证请求中携带有 UE的 ID参数;验证模块（图 中未示出）， 分别与存储模块以及接收模块相连接， 用于根据非法 UE标识和 ID参数 -睑证 UE的合法性， 并向网络侧返回 -睑证结果； 并且， 非法 UE标识 是非 3GPP网络 UE标识和 3GPP网络 UE标识。 进一步， 验证模块包括： 提耳 4莫块（图中未示出）， 用于提取 ID验证请 求中携带的 ID参数; 匹配模块 （图中未示出）， 分别与提取模块以及存储模 块相连接，用于将 ID参数与非法 UE标识进行匹配；判决模块（图中未示出）， 与匹配模块相连接，用于根据匹配模块的匹配结果判决 ID参数对应的 UE的 合法性； 反馈模块（图中未示出）， 与判决模块相连接， 用于向网络侧返回验 证结果。 并且， 如果匹配模块匹配成功， 则判决模块判决 ID参数对应的 UE为 非法； 如果匹配模块匹配失败， 则判决模块判决 ID参数对应的 UE为合法。 上述的 MME 20具体包括： 接入控制模块（图中未示出）， 用于如果-睑 证结果为合法， 则允许 UE接入 3GPP网络， 如果验证结果为非法， 则禁止 UE接入 3GPP网络； ID收发模块（图中未示出）， 用于对请求接入 3GPP网 络的 UE发送请求消息， 用以获得 UE的 ID参数； 并用于接收 UE返回的 ID 响应， 其中， ID响应中包括 UE的 ID参数。 另外， UE的 ID参数包括 IMSI及以下至少之一： IMEI、 MAC地址以 及 MEID。 通过本发明的上述技术方案， 3GPP网络对接入其网络的非 3GPP网络 类型的 UE进行验证， 能够控制具有 3GPP 网络接入能力的非法的非 3GPP 网络 UE接入该 3GPP网络， 维护了合法终端制造商和合法终端用户的利益。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执行， 或 者将它们分别制作成各个集成电路模块， 或者将它们中的多个模块或步骤制

12 P22130 作成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软 件结合。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本 领域的技术人员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和 原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护 范围之内。

13 P22130

Claims

权 利 要 求 书

1. 一种用户设备验证方法， 其特征在于， 包括：

设置有不同网络共享的设备标识寄存器， 其中， 所述共享设备标识 寄存器存储有非法用户设备标识；

所述共享设备标识寄存器接收来自移动管理实体的 ID验证请求， 其中， 所述 ID验证请求中携带有用户设备的 ID参数;

所述共享设备标识寄存器根据所述 ID参数验证所述用户设备的合 法性， 并向所述移动管理实体返回 -睑证结果。

2. 根据权利要求 1所述的方法， 其特征在于， 所述共享设备标识寄存器验 证所述 ID验证请求中携带的 ID参数对应的用户设备的合法性的操作具 体为：

所述共享设备标识寄存器提取所述 ID -睑证请求携带的 ID参数； 所述共享设备标识寄存器将提取的所述 ID参数与自身存储的非法 用户设备标识进行匹配， 如果匹配成功， 则所述 ID参数对应的用户设备 为非法， 如果匹配失败， 则所述 ID参数对应的用户设备为合法。

3. 根据权利要求 2所述的方法， 其特征在于， 还包括：

所述移动管理实体才艮据所述验证结果控制所述用户设备接入 3GPP 网络， 其中， 如果所述验证结果为合法， 则允许所述用户设备接入所述 3GPP网络， 否则， 禁止所述用户设备接入所述 3GPP网络。

4. 根据权利要求 1所述的方法， 其特征在于， 在所述共享设备标识寄存器 接收来自移动管理实体的 ID -睑证请求之前和 /或所述共享设备标识寄存 器根据所述 ID参数验证所述用户设备的合法性，并向所述移动管理实体 返回-睑证结果之后， 所述方法还包括：

所述移动管理实体对请求接入所述 3GPP网络的所述用户设备发送 ID请求；

所述移动管理实体接收所述用户设备返回的 ID响应， 其中， 所述 ID响应中包括所述用户设备的 ID参数。

P22130

5. 根据权利要求 1所述的方法， 其特征在于， 所述不同网络包括： 3GPP、 3GPP2、 WiMAX以及 WLAN。

6. 根据权利要求 1所述的方法， 其特征在于， 所述共享设备标识寄存器存 储的非法用户设备标识包括非法的非 3GPP 网络用户设备标识和非法的 3GPP网络用户设备标识。

7. 根据权利要求 1至 6中任一项所述的方法， 其特征在于， 所述用户设备 的 ID参数包括以下至少之一或其组合：国际移动用户识别码国际移动设 备身份码、 MAC地址以及移动设备身份识别码。

8. 一种设备标识寄存器， 其特征在于， 包括：

存储模块， 用于存储不同网络中非法用户设备标识；

接收模块， 用于接收来自网络侧的 ID验证请求， 其中， 所述 ID验 证请求中携带有用户设备的 ID参数;

-睑证模块， 用于才艮据所述非法用户设备标识和所述 ID参数-睑证所 述用户设备的合法性， 并向所述网络侧返回验证结果。

9. 根据权利要求 8所述的设备标识寄存器， 其特征在于， 所述非法用户设 备标识包括非法的非 3GPP网络用户设备标识和 /或非法的 3GPP网络用 户设备标识。

10. 才艮据权利要求 8所述的设备标识寄存器， 其特征在于， 所述验证模块进 一步包括：

提取模块， 用于提取所述 ID验证请求中携带的所述 ID参数; 匹配模块，用于将所述 ID参数与所述非法用户设备标识进行匹配； 判决模块， 用于根据匹配模块的匹配结果判决所述 ID参数对应的 用户设备的合法性；

反馈模块， 用于向网络侧返回验证结果。

11. 根据权利要求 10所述的设备标识寄存器， 其特征在于，

如果所述匹配模块匹配成功， 则所述判决模块判决所述 ID参数对 应的用户设备为非法；

P22130 如果所述匹配模块匹配失败， 则所述判决模块判决所述 ID参数对 应的用户设备为合法。

12. 一种接入控制系统， 其特征在于， 包括：

共享设备标识寄存器， 用于存储多个网络的非法用户设备标识， 接 收 ID验证请求， 其中， 所述 ID验证请求中携带有用户设备的 ID参数， 并根据所述非法用户设备标识和所述 ID 参数验证所述用户设备的合法 性， 并返回 -睑证结果；

移动管理实体， 用于接收所述验证结果， 并才艮据所述验证结果控制 所述用户设备接入所述 3GPP网络。

13. 根据权利要求 12所述的系统， 其特征在于， 所述共享设备标识寄存器包 括：

存储模块， 用于存储非法用户设备标识， 其中， 所述非法用户设备 标识包括非法的非 3GPP网络用户设备标识和 /或非法的 3GPP网络用户 设备标识；

接收模块， 用于接收来自网络侧的 ID验证请求， 其中， 所述 ID验 证请求中携带有用户设备的 ID参数;

-睑证模块， 用于才艮据所述非法用户设备标识和所述 ID参数-睑证所 述用户设备的合法性， 并向网络侧返回验证结果。

14. 根据权利要求 13所述的系统， 其特征在于， 所述验证模块进一步包括： 提取模块， 用于提取所述 ID验证请求中携带的所述 ID参数; 匹配模块，用于将所述 ID参数与所述非法用户设备标识进行匹配； 判决模块， 用于根据匹配模块的匹配结果判决所述 ID参数对应的 用户设备的合法性；

反馈模块， 用于向网络侧返回验证结果。

15. 才艮据权利要求 12所述的系统，其特征在于，所述移动管理实体具体包括： 接入控制模块， 用于如果所述验证结果为合法， 则允许所述用户设 备接入所述 3GPP 网络， 如果所述验证结果为非法， 则禁止所述用户设 备接入所述 3GPP网络；

P22130 ID收发模块，用于对请求接入所述 3GPP网络的所述用户设备发送 请求消息， 用以获得所述用户设备的 ID参数; 并用于接收所述用户设备 返回的 ID响应， 其中， 所述 ID响应中包括所述用户设备的 ID参数。

16. 一种用户设备验证方法， 其特征在于， 包括：

步骤 S402, 在用户设备接入网络后， 网络侧设备向用户设备发送 请求消息， 用以获得所述用户设备的 ID参数；

步骤 S404, 用户设备接收所述请求消息， 并发送响应消息至网络 侧设备， 所述响应消息中包括所述用户设备的 ID参数;

步骤 S406 , 网络侧设备向设备标识存储器发送用户设备 ID验证请 求消息， 所述验证请求消息中包括用户设备的 ID参数;

步骤 S408 , 所述设备标识存储器接收来自网络侧设备的 ID验证请 求，根据所述 ID参数验证所述用户设备的合法性， 并向所述网络侧设备 返回 -睑证结果。

17. 根据权利要求 16所述的方法， 其特征在于， 在步骤 S408中所述设备标 识存储器向所述网络侧设备返回验证结果之后， 所述方法还包括：

步骤 S410 , 所述网络侧设备对请求接入 /接入中的所述网络的所述 用户设备发送请求消息， 用以获得所述用户设备的 ID参数; 所述网络侧 设备接收所述用户设备返回的 ID响应， 其中， 所述 ID响应中包括所述 用户设备的 ID参数。

18. 根据权利要求 17所述的方法， 其特征在于， 在所述步骤 S410之后所述 方法进一步包括： 执行步骤 S406和步骤 S408。

19. 根据权利要求 16所述的方法， 其特征在于， 所述网络为 3GPP网络， 所 述用户设备包括支持 3GPP接入功能的非 3GPP网络用户设备。

20. 根据权利要求 16所述的方法， 其特征在于， 所述设备标识存储器用以存 储非法用户设备标识， 包括非法的非 3GPP 网络用户设备标识和非法的 3GPP网络用户设备标识， 所述步骤 S408进一步包括：

所述设备标识存储器判断所述 ID参数与自身存储的非法用户设备 标识是否相同， 在相同的情况下， 向所述网络侧设备反馈所述用户设备 合法的验证结果，用以供所述网络侧设备允许所述用户设备的服务请求；

P22130 否则， 向所述网络侧设备反馈所述用户设备非法的验证结果， 用以供所 述网络侧设备禁止所述用户设备的服务请求。

21. 根据权利要求 16所述的方法， 其特征在于， 所述用户设备的 ID参数包 括以下至少之一或其组合： 国际移动用户识别码、 国际移动设备身份码、 MAC地址以及移动设备身份识别码。

22. 根据权利要求 16至 21 中任一项所述的方法， 其特征在于， 所述网络侧 设备包括移动管理实体， 所述设备标识存储器为共享设备标识寄存器， 用以共享 3GPP网络和非 3GPP网络中非法的用户设备标识。

23. 根据权利要求 22所述的方法， 其特征在于， 所述非 3GPP网络至少包括 3GPP2、 WiMAX以及 WLAN。

24. 一种用户设备验证方法， 其特征在于， 包括：

步骤 S502 ,在具有 3GPP网络接入功能的非 3GPP网络用户设备接 入 3GPP 网络后， 网络侧设备向非 3GPP 网络用户设备发送获取所述非 3GPP网络用户设备唯一标识参数的请求消息；

步骤 S504 , 所述非 3GPP网络用户设备接收所述请求消息后，反馈 所述非 3GPP网络用户设备唯一标识参数至网络侧设备；

步骤 S506 ,网络侧设备向存储有非法的非 3GPP网络用户设备唯一 标识参数的存储单元发送非 3GPP 网络用户设备唯一标识参数验证请求 消息， 所述验证请求消息中包括非 3GPP网络用户设备唯一标识参数； 步骤 S508 ,所述存储单元接收来自网络侧设备的非 3GPP网络设备 唯一标识参数验证请求， 根据存储的非法的非 3GPP 网络用户设备唯一 标识参数验证所述非 3GPP网络用户设备的合法性。

25. 根据权利要求 24所述的方法， 其特征在于， 所述步骤 S502中， 网络侧 设备定期向非 3GPP 网络用户设备发送获取所述非 3GPP 网络用户设备 唯一标识参数的请求消息。

P22130