WO2010130118A1 - 一种对家用基站用户实施鉴权的系统及方法 - Google Patents

Description

一种对家用基站用户实施鉴权的系统及方法

技术领域

本发明涉及移动通信领域， 具体涉及一种对家用基站用户实施鉴权的系 统及方法。

背景技术

家用基站是一种小型、低功率的基站， 部署在家庭及办公室等室内场所， 主要作用是为了给用户提供更高的业务速率并降低使用高速率服务所需要的 费用， 同时弥补已有分布式蜂窝无线通信系统覆盖的不足。 家用基站的优点 是实惠、 便捷、 低功率输出、 即插即用等。 家用基站系统已经在第三代合作 伙伴计划 ( 3GPP , 3rd Generation Partnership Project )、 第三代合作伙伴计划 2( 3GPP2, 3rd Generation Partnership Project 2 )和微波接入全球互通（ WiMAX, Worldwide Interoperability for Microwave Access )三大标准中进行研究 , 各个 标准组织中家用基站系统釆用的网络架构都大体相同， 本文以 WiMAX为例 来说明家用基站的网络架构。

家用基站系统如图 1所示。 为保障家用基站和接入网关之间链路安全， 家用基站和接入网关之间可能存在一个安全网关。 为了便于对家用基站进行 管理， 引入家用基站网关， 家用基站网关主要功能为： 验证家用基站的安全 性， 处理家用基站的注册， 对家用基站进行运行维护管理， 根据运营商要求 配置和控制家用基站， 负责交换核心网和家用基站的数据。 家用基站可以通 过家用基站网关接入核心网的接入网关， 此时， 安全网关和家用基站网关合 设。 家用基站也可以不通过家用基站网关直接接入核心网的接入网关， 此时， 安全网关可以和接入网关合设， 也可以分设。 在 WiMAX系统中， 接入网关 是指 ASN GW ( Access Service Network Gateway ) 。

自组织网络服务器， 如图 1所示， 其作用是在无需人工干预的情况下， 发现 /提取家用基站的一系列运行维护参数， 如家用基站所处的地理位置， 家 用基站周边的无线环境等； 为家用基站提供初始化参数配置， 支持家用基站 的自举初始化， 如使用一定的频率规划算法给家用基站提供候选工作频点， 为家用基站提供可接入的候选接入网关等。 此外， 自组织网络服务器还可用 以支持家用基站的故障恢复等。 闭合用户组（CSG, Closed Subscriber Group ) 是引入家用基站后提出的新概念。 通常一个家庭或者一个企业内部的用户组 成一个闭合用户组， 用户通过与运营商签约可以接入到多个闭合用户组所对 应的家用基站， 例如用户的办公场所、 家庭等。

CSG用户服务器， 如图 1所示， 其作用在于存储家用基站的签约信息， 如家用基站允许接入的用户， 即 CSG相关信息， 为家用基站和 /或鉴权授权 服务器提供存储的家用基站签约信息。

家用基站的使用模式分为三种： 闭合接入模式、 混合接入模式和开放模 式。 当家用基站是闭合接入模式的时候， 只有该家用基站所属 CSG签约用户 可以接入该基站并享受基站提供的业务。 当家用基站是开放模式的时候， 任 何运营商签约用户都可以接入该基站， 此时的家用基站等同于宏基站使用。 当家用基站是混合接入模式的时候， 同样允许任何运营商签约用户或者漫游 用户接入使用， 但是要根据用户是否签约 CSG的信息区分不同的级别， 也就 是说签约该 CSG 的用户在使用混合型家用基站的时候具有更高的业务优先 级， 享受更好的服务质量和业务类别。

家用基站可以通过网络侧的 CSG用户服务器获得允许接入的闭合用户 组列表， 也可以由家用基站的管理者在家用基站上直接修改允许接入的闭合 用户组列表。 用户接入时， 闭合接入模式的家用基站会利用该列表对用户进 行接入控制， 并拒绝未授权接入该闭合接入模式家用基站的用户； 混合接入 模式的家用基站根据该列表对用户类别（如， CSG用户、 非 CSG用户）进行 区分， 便于实施差异化计费、 服务质量授权等操作。 为了简化描述， 以下将 家用基站判断用户是否属于 CSG列表的操作统称为接入控制。

家用基站根据终端发送的用户标识检查该用户是否属于 CSG列表，以图 1 家用基站网关与接入网关合设为例描述家用基站执行接入控制流程。 家用 基站执行接入控制的方法流程如图 2所示， 该方法具体包括以下步骤：

步骤 201 , 终端与家用基站之间完成空口参数同步及测距；

步骤 202 , 终端请求协商认证能力， 如用户的认证策略等， 并与家用基 站、 接入网关完成能力协商工作； 步骤 203 ,接入网关启动 EAP鉴权流程， 向家用基站发送用户标识请求， 家用基站将该请求转发给终端；

步骤 204, 在收到用户标识请求消息后， 终端向家用基站回复响应消息， 携带用户标识信息。

这里， 用户标识信息为网络接入标识（ NAI , Network Access Identifier ) 、 国际移动客户识别码 ( IMSI , International Mobile Subscriber Identification Number )或介质访问控制 （MAC, Media Access Control ) ID等。

步骤 205 , 家用基站根据该用户标识信息对用户进行接入控制。

闭合接入模式家用基站检查该用户是否存在于 CSG列表中， 如果存在， 则允许用户接入， 继续步骤 206; 否则拒绝用户接入， 可以发起用户释放流 程。

混合接入模式家用基站检查该用户是否存在于 CSG列表中， 如果存在， 则在后续流程中告知接入网关该用户为 CSG用户， 如果不存在， 则在后续流 程中告知接入网关该用户为非 CSG用户。

步骤 206, 家用基站向接入网关返回用户标识。

该步骤与步骤 205不分先后顺序， 可以与其并列发生。

步骤 207 , 终端与鉴权授权服务器之间进行接入鉴权流程。 鉴权授权服 务器完成对用户合法性的审核， 并授权用户进行业务。

步骤 208 , 接入鉴权流程成功结束后， 继续执行用户接入相关的其他流 程。

从上述流程可见， 家用基站根据终端携带的用户标识检查该用户是否属 于 CSG列表（步骤 205 ) , 但是在步骤 204终端回复的响应中， 鉴于安全考 虑， 终端可能将用户真实标识进行认证协议封装， 如扩展认证协议（ΕΑΡ, Extensible Authentication Protocol )封装， 此时家用基站需要解析认证封装协 议， 导致基站节点运作负担增加、 效率降低； 在终端对真实身份标识进行加 密传送的情况下， 家用基站更是无从解析并获取用户标识信息； 即便终端通 过明文传送用户标识， 不经认证消息封装， 则该用户标识未经过鉴权授权服 务器的验证， 从而无法保证该用户标识的正确性， 而且在空口频繁地用明文 传输用户真实标识容易被他人窃取， 存在无线通信系统安全隐患。 发明内容

本发明要解决的技术问题是提供一种对家用基站用户实施鉴权的系统及 方法， 可避免在空口频繁传递用户真实标识， 减少家用基站的负担， 降低家 用基站系统的安全隐患。 为了解决上述问题，本发明提供了一种对家用基站用户实施鉴权的方法， 该方法包括：

A、 在终端请求接入闭合接入模式或混合接入模式的家用基站过程中， 接入网关将用户标识信息、 家用基站标识及家用基站模式发送至鉴权授权服 务器， 或经所述鉴权授权服务器发送至闭合用户组 CSG用户服务器；

B、当所述家用基站为闭合接入模式时，所述鉴权授权服务器或所述 CSG 用户服务器判断是否允许终端接入所述家用基站， 并将判断结果通过所述接 入网关返回至所述家用基站； 当所述家用基站为混合接入模式时， 所述鉴权 授权服务器或所述 CSG用户服务器确定终端的用户类别信息，并将所述用户 类别信息通过所述接入网关返回至所述家用基站。

进一步地， 所述鉴权授权服务器判断是否允许终端接入所述家用基站或 确定终端的所述用户类别信息的方式为： 所述鉴权授权服务器根据所述用户 标识信息、 所述家用基站标识、 所述家用基站模式及自身保存或从所述 CSG 用户服务器下载的签约信息判断是否允许终端接入所述家用基站或确定终端 的所述用户类别信息；

所述 CSG用户服务器判断是否允许终端接入所述家用基站或确定终端 的所述用户类别信息的方式为：所述 CSG用户服务器根据所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存的签约信息判断是否允许 终端接入所述家用基站或确定终端的所述用户类别信息。

进一步地， 所述用户类别信息为 CSG用户或非 CSG用户。

进一步地， 所述签约信息为家用基站用户的签约信息或家用基站的签约 信息。 进一步地， 所述步骤 B中， 当所述家用基站为闭合接入模式时， 所述鉴 权授权服务器或所述 CSG用户服务器判断是否允许终端接入所述家用基站的 方式为：

所述鉴权授权服务器确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站用户的签约信息时，若签约信息中包含所述家用基站标识， 则允许终端接入所述家用基站， 否则不允许终端接入所述家用基站； 所述鉴 权授权服务器确定自身保存或从所述 CSG用户服务器下载的签约信息是家用 基站的签约信息时， 若签约信息中包含所述用户标识， 则允许终端接入所述 家用基站， 否则不允许终端接入所述家用基站；

所述 CSG用户服务器确定自身保存的签约信息是家用基站用户的签约 信息时， 若签约信息中包含所述家用基站标识， 则允许终端接入所述家用基 站， 否则不允许终端接入所述家用基站； 所述 CSG用户服务器确定自身保存 的签约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则 允许终端接入所述家用基站， 否则不允许终端接入所述家用基站。

进一步地， 所述步骤 B中， 当所述家用基站为混合接入模式时， 所述鉴 权授权服务器或所述 CSG用户服务器确定终端的用户类别信息的方式为： 所述鉴权授权服务器确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站用户的签约信息时， 若签约信息中包含该家用基站标识， 则所述用户类别信息为所述 CSG用户，否则所述用户类别信息为所述非 CSG 用户； 所述鉴权授权服务器确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则所述 用户类别信息为所述 CSG用户， 否则所述用户类别信息为所述非 CSG用户； 所述 CSG用户服务器确定自身保存的签约信息是家用基站用户的签约 信息时，若签约信息中包含该家用基站标识，则所述用户类别信息为所述 CSG 用户， 否则所述用户类别信息为所述非 CSG用户； 所述 CSG用户服务器确 定自身保存的签约信息是家用基站的签约信息时， 若签约信息中包含所述用 户标识， 则所述用户类别信息为所述 CSG用户， 否则所述用户类别信息为所 述非 CSG用户。 进一步地， 所述步骤 B中， 当所述家用基站为闭合接入模式时， 所述鉴 权授权服务器将判断结果通过所述接入网关返回至所述家用基站的所述步骤 包括：

若所述判断结果表示允许终端接入所述家用基站， 所述鉴权授权服务器 完成用户认证后向所述接入网关发送用户接入接受消息， 所述接入网关根据 所述用户接入接受消息通过扩展认证协议 EAP转发消息将鉴权成功消息转发 给所述家用基站， 所述家用基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关通过 EAP转发消息将所述鉴权成功消息经所述家用基站 转发给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站 用户鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站， 则终止鉴权流程， 所述鉴权授权服务器向所述接入网关发送接入拒绝消息， 所述接入网关根据 所述接入拒绝消息通过 EAP转发消息将鉴权失败消息转发给所述家用基站， 所述家用基站将所述鉴权失败消息转发给终端。 进一步地， 所述步骤 B中， 当所述家用基站为混合接入模式时， 所述鉴 权授权服务器将所述用户类别信息通过所述接入网关返回至所述家用基站的 所述步骤包括：

所述鉴权授权服务器在完成用户认证后向所述接入网关发送携带所述用 户类别信息的用户接入接受消息； 所述接入网关根据所述用户接入接受消息 通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析 所述鉴权成功消息并保存所述用户类别信息后通过 EAP转发消息将所述鉴权 成功消息转发给终端； 或者， 所述接入网关根据所述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发给终端； 并向所述家用基 站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户 鉴权成功， 所述家用基站保存所述用户类别信息。 进一步地，所述步骤 B中，当所述家用基站为闭合接入模式时，所述 CSG 用户服务器将判断结果通过所述接入网关返回至所述家用基站的所述步骤包 括： 若所述判断结果表示允许终端接入所述家用基站，则所述 CSG用户服务 器向所述鉴权授权服务器返回确认消息， 所述鉴权授权服务器完成用户认证 后向所述接入网关发送用户接入接受消息； 所述接入网关根据所述用户接入 接受消息通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用 基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关根据所 述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发 给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站用户 鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站，则所述 CSG用户服 务器向所述鉴权授权服务器返回拒绝消息， 所述鉴权授权服务器终止鉴权流 程， 向所述接入网关发送接入拒绝消息， 所述接入网关根据所述接入拒绝消 息通过 EAP转发消息将鉴权失败消息经所述家用基站转发给终端。 进一步地，所述步骤 B中，当所述家用基站为混合接入模式时，所述 CSG 用户服务器将所述用户类别信息通过所述接入网关返回至所述家用基站的所 述步骤包括：

所述 CSG用户服务器向所述鉴权授权服务器返回携带所述用户类别信 息的确认消息， 所述鉴权授权服务器完成用户认证后向所述接入网关发送携 带所述用户类别信息的用户接入接受消息；

所述接入网关通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析所述鉴权成功消息并保存所述用户类别信息后通过 EAP转 发消息将所述鉴权成功消息转发给终端； 或者

所述接入网关通过 EAP转发消息将鉴权成功消息经所述家用基站转发给 终端， 并向所述家用基站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户鉴权成功，所述家用基站解析所述密钥改变指示消息， 保存所述用户类别信息。

一种对家用基站用户实施鉴权的鉴权授权服务器， 其中，

所述鉴权授权服务器设置成接收接入网关在终端接入闭合接入模式或混 合接入模式的家用基站的过程中发来的用户标识信息、 基站标识及家用基站 模式；

所述鉴权授权服务器还设置成当家用基站为闭合接入模式时， 判断是否 允许终端接入所述家用基站， 并将判断结果通过所述接入网关返回至所述家 用基站；

所述鉴权授权服务器还设置成当所述家用基站为混合接入模式时， 确定 终端的用户类别信息， 并将所述用户类别信息通过所述接入网关返回至所述 家用基站。

进一步地，所述鉴权授权服务器还设置成当家用基站为闭合接入模式时， 根据所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存 或从 CSG用户服务器下载的签约信息判断是否允许终端接入所述家用基站， 并将判断结果通过所述接入网关返回至所述家用基站；

所述鉴权授权服务器还设置成当所述家用基站为混合接入模式时， 根据 所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存或从 所述 CSG用户服务器下载的所述签约信息确定终端的用户类别信息，并将所 述用户类别信息通过所述接入网关返回至所述家用基站。

进一步地，所述鉴权授权服务器还设置成确定自身保存或从所述 CSG用 户服务器下载的签约信息是家用基站用户的签约信息时， 若签约信息中包含 所述家用基站标识， 则允许终端接入所述家用基站， 否则不允许终端接入所 述家用基站；确定自身保存或从所述 CSG用户服务器下载的签约信息是家用 基站的签约信息时， 若签约信息中包含所述用户标识， 则允许终端接入所述 家用基站， 否则不允许终端接入所述家用基站。

进一步地，所述鉴权授权服务器还设置成确定自身保存或从所述 CSG用 户服务器下载的签约信息是家用基站用户的签约信息时， 若签约信息中包含 该家用基站标识， 则所述用户类别信息为所述 CSG用户， 否则所述用户类别 信息为所述非 CSG用户； 确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则所述 用户类别信息为所述 CSG用户， 否则所述用户类别信息为所述非 CSG用户。 进一步地， 所述鉴权授权服务器还设置成通过以下方式将判断结果通过 所述接入网关返回至所述家用基站：

若所述判断结果表示允许终端接入所述家用基站， 所述鉴权授权服务器 完成用户认证后向所述接入网关发送用户接入接受消息， 所述接入网关根据 所述用户接入接受消息通过扩展认证协议 EAP转发消息将鉴权成功消息转发 给所述家用基站， 所述家用基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关通过 EAP转发消息将所述鉴权成功消息经所述家用基站 转发给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站 用户鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站， 则终止鉴权流程， 所述鉴权授权服务器向所述接入网关发送接入拒绝消息， 所述接入网关根据 所述接入拒绝消息通过 EAP转发消息将鉴权失败消息转发给所述家用基站， 所述家用基站将所述鉴权失败消息转发给终端。 进一步地， 所述鉴权授权服务器还设置成通过以下方式将所述用户类别 信息通过所述接入网关返回至所述家用基站：

所述鉴权授权服务器在完成用户认证后向所述接入网关发送携带所述用 户类别信息的用户接入接受消息； 所述接入网关根据所述用户接入接受消息 通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析 所述鉴权成功消息并保存所述用户类别信息后通过 EAP转发消息将所述鉴权 成功消息转发给终端； 或者， 所述接入网关根据所述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发给终端； 并向所述家用基 站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户 鉴权成功， 所述家用基站保存所述用户类别信息。

一种对家用基站用户实施鉴权的系统， 该系统包括： 如上所述的鉴权授 权服务器。

一种对家用基站用户实施鉴权的 CSG用户服务器， 其中，

所述 CSG用户服务器设置成接收接入网关在终端请求接入闭合接入模 式或混合接入模式的家用基站过程中经鉴权授权服务器发送过来的用户标识 信息、 家用基站标识及家用基站模式； 所述 CSG用户服务器还设置成当家用基站为闭合接入模式时，判断是否 允许终端接入所述家用基站， 并将判断结果通过所述接入网关返回至所述家 用基站；

所述 CSG用户服务器还设置成当所述家用基站为混合接入模式时，确定 终端的用户类别信息， 并将所述用户类别信息通过所述接入网关返回至所述 家用基站。

进一步地， 所述 CSG用户服务器还设置成当家用基站为闭合接入模式 时， 根据所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身 保存的签约信息判断是否允许终端接入所述家用基站， 并将判断结果通过所 述接入网关返回至所述家用基站；

所述 CSG用户服务器还设置成当所述家用基站为混合接入模式时，根据 所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存的所 述签约信息确定终端的用户类别信息， 并将所述用户类别信息通过所述接入 网关返回至所述家用基站。

进一步地，所述 CSG用户服务器还设置成确定自身保存的签约信息是家 用基站用户的签约信息时， 若签约信息中包含所述家用基站标识， 则允许终 端接入所述家用基站， 否则不允许终端接入所述家用基站； 确定自身保存的 签约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则允 许终端接入所述家用基站， 否则不允许终端接入所述家用基站。

进一步地，所述 CSG用户服务器还设置成确定自身保存的签约信息是家 用基站用户的签约信息时， 若签约信息中包含该家用基站标识， 则所述用户 类别信息为所述 CSG用户， 否则所述用户类别信息为所述非 CSG用户； 确 定自身保存的签约信息是家用基站的签约信息时， 若签约信息中包含所述用 户标识， 则所述用户类别信息为所述 CSG用户， 否则所述用户类别信息为所 述非 CSG用户。 进一步地，所述 CSG用户服务器还设置成通过以下方式将判断结果通过 所述接入网关返回至所述家用基站：

若所述判断结果表示允许终端接入所述家用基站，则所述 CSG用户服务 器向所述鉴权授权服务器返回确认消息， 所述鉴权授权服务器完成用户认证 后向所述接入网关发送用户接入接受消息； 所述接入网关根据所述用户接入 接受消息通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用 基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关根据所 述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发 给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站用户 鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站，则所述 CSG用户服 务器向所述鉴权授权服务器返回拒绝消息， 所述鉴权授权服务器终止鉴权流 程， 向所述接入网关发送接入拒绝消息， 所述接入网关根据所述接入拒绝消 息通过 EAP转发消息将鉴权失败消息经所述家用基站转发给终端。 进一步地，所述 CSG用户服务器还设置成通过以下方式将所述用户类别 信息通过所述接入网关返回至所述家用基站：

所述 CSG用户服务器向所述鉴权授权服务器返回携带所述用户类别信 息的确认消息， 所述鉴权授权服务器完成用户认证后向所述接入网关发送携 带所述用户类别信息的用户接入接受消息；

所述接入网关通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析所述鉴权成功消息并保存所述用户类别信息后通过 EAP转 发消息将所述鉴权成功消息转发给终端； 或者

所述接入网关通过 EAP转发消息将鉴权成功消息经所述家用基站转发给 终端， 并向所述家用基站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户鉴权成功，所述家用基站解析所述密钥改变指示消息， 保存所述用户类别信息。

一种对家用基站用户实施鉴权的系统， 该系统包括： 如上所述的鉴权授 权服务器。

综上所述， 本发明提供了一种对家用基站用户实施鉴权的系统及方法， 将是否允许用户接入家用基站系统的检查与用户的接入鉴权统一进行， 由位 于核心网的鉴权授权服务器或家用基站签约信息服务器来完成， 只将认证结 果返回给家用基站。 从而避免了在空口频繁传递用户真实标识以及家用基站 对用户标识的解析， 因此提供了用户标识正确性保障， 减轻了家用基站网元 的处理负担， 降低了家用基站系统的安全隐患。 附图概述

图 1为现有技术中家用基站网络连接示意；

图 2为现有技术中家用基站用户接入方法流程图；

图 3为本发明的家用基站用户实施鉴权的实施例一；

图 4为本发明的家用基站用户实施鉴权的实施例二；

图 5为本发明的家用基站用户实施鉴权的实施例三；

图 6为本发明的家用基站用户实施鉴权的实施例四；

图 7为本发明的家用基站用户实施鉴权的实施例五；

图 8为本发明的家用基站用户实施鉴权的实施例六。 本发明的较佳实施方式

本发明旨在提供一种对家用基站用户实施鉴权的系统及方法， 将是否允 许用户接入家用基站的检查与用户的接入鉴权统一进行， 由位于核心网的鉴 权授权服务器或家用基站签约信息服务器， 即 CSG用户服务器来完成， 只将 认证结果返回给家用基站， 从而避免了在空口频繁传递用户真实标识， 和家 用基站对用户标识的解析， 因此提供了用户标识正确性保障， 减轻了家用基 站网元的处理负担， 降低了家用基站系统的安全隐患。

以下将结合附图来对本发明的具体实施作进一步详细的说明。

实施例一

本发明的一种对家用基站用户实施鉴权的系统， 如图 1所示， 包括： 终 端、 家用基站、 接入网关、 鉴权授权服务器及 CSG用户服务器；

接入网关设置成当终端接入闭合接入模式或混合接入模式的家用基站过 程中将用户标识信息及家用基站信息发送至鉴权授权服务器； 鉴权授权服务器设置成当家用基站为闭合接入模式时判断是否允许所述 用户接入所述家用基站， 并将判断结果通过接入网关返回至家用基站； 以及 设置成当家用基站为混合接入模式时确定用户类别信息， 并将用户类别信息 通过接入网关返回至家用基站。

鉴权授权服务器设置成当家用基站为闭合接入模式时判断是否允许所述 用户接入所述家用基站是指， 鉴权授权服务器根据签约信息、 用户标识信息、 家用基站标识及家用基站模式判断是否允许所述用户接入所述家用基站； 鉴权授权服务器还设置成当判断结果为允许用户接入所述家用基站时完 成用户的鉴权认证， 并于认证成功后向接入网关发送用户接入接受消息； 以 及当判断结果为不允许用户接入所述家用基站时终止鉴权流程， 并向接入网 关发送接入拒绝消息；

接入网关设置成收到接入拒绝消息后通过 EAP转发消息将鉴权失败消息 (鉴权失败消息可嵌入到 EAP转发消息中）经家用基站转发给终端；

接入网关还设置成收到用户接入接受消息后通过 EAP转发消息将鉴权成 功消息转发给家用基站， 家用基站设置成收到 EAP转发消息后解析该消息并 将 EAP转发消息转发至终端； 或者

接入网关还可以设置成通过 EAP转发消息将鉴权成功消息转发给家用基 站后向家用基站发送密钥改变指示消息， 通知家用基站用户鉴权成功； 家用 基站设置成将收到的 EAP转发消息转发至终端后接收密钥改变指示消息。

鉴权授权服务器设置成当所述家用基站为混合接入模式时确定用户类别 信息指， 鉴权授权服务器根据签约信息、 用户标识信息、 家用基站标识及家 用基站模式确定用户类别信息；

鉴权授权服务器还设置成完成用户的鉴权认证后向接入网关发送用户接 入接受消息， 其中携带用户类别信息；

接入网关还设置成收到用户接入接受消息后通过 EAP转发消息将鉴权成 功消息转发给家用基站， 其中携带用户类别信息； 所述家用基站设置成收到 EAP转发消息后解析该消息， 以及保存用户类别信息， 并通过 EAP转发消息 将鉴权成功消息转发给终端； 或者 接入网关还可以设置成收到用户接入接受消息后通过 EAP转发消息将鉴 权成功消息转发给家用基站， 并向家用基站发送密钥改变指示消息， 通知家 用基站用户鉴权成功， 其中携带用户类别信息； 所述家用基站设置成将收到 的 EAP转发消息转发至终端， 以及解析收到的密钥改变指示消息， 并保存用 户类别信息。

签约信息可以为家用基站用户的签约信息或家用基站的签约信息； 鉴权授权服务器还可以设置成保存签约信息， 或者

CSG用户服务器设置成保存签约信息，鉴权授权服务器设置成从 CSG用 户服务器下载签约信息。

本发明的一种对家用基站用户实施鉴权的方法， 如图 3至图 5所示， 该 实施例中均由鉴权授权服务器判断家用基站为闭合接入模式时用户是否可以 接入该家用基站， 以及当家用基站为混合接入模式时确定用户类别信息； 如图 3所示， 鉴权授权服务器将判断结果或用户类别信息通知给接入网 关， 接入网关再通过 EAP转发消息通知给家用基站及终端， 具体方法如下： 步骤 301 , 终端与家用基站之间完成空口参数同步及测距。

步骤 302 , 终端请求协商认证能力， 如用户的认证策略等， 并与家用基 站、 接入网关完成能力协商工作。

步骤 303 ,接入网关启动 EAP鉴权流程， 向家用基站发送用户标识请求， 家用基站将该请求转发给终端。

步骤 304, 在收到用户标识请求消息后， 终端向家用基站回复响应消息， 携带用户标识信息。 家用基站将该消息透传给接入网关。

该回复响应消息中携带的用户标识信息可以是用户的真实标识， 也可以 是用户的伪标识。

步骤 305 , 接入网关收到该响应消息后， 给鉴权授权服务器发送接入请 求消息， 并在消息中携带用户标识信息、 家用基站模式和家用基站标识。

这里， 可以直接在接入网关保存家用基站模式， 或家用基站发送消息通 知接入网关自己的家用基站模式， 本发明对所釆用的消息不作限制。

签约信息可以从 CSG用户服务器下载到鉴权授权服务器获得，也可以是 直接保存在鉴权授权服务器上的； 当鉴权授权服务器上没有签约信息时， 鉴 权授权服务器需要向 CSG用户服务器获取， 即需要执行步骤 306-307 , 否则， 直接执行步骤 308。

步骤 306 , 鉴权授权服务器收到接入请求消息， 且消息中携带有家用基 站模式时， 鉴权授权服务器向 CSG用户服务器发送签约信息请求消息， 并在 消息中携带用户标识和 /或家用基站标识。

鉴权授权服务器收到接入请求消息后， 如果无法根据该消息中的用户伪 标识找到用户的真实标识， 则可以和终端通过 EAP消息交互， 获取用户的真 实标识， 并将真实的标识与伪标识关联起来， 其与终端通过 EAP消息交互的 过程与现有技术相同， 在此不再赘述。

其中， 签约信息可以是家用基站用户的签约信息， 即该用户所允许接入 的家用基站列表； 也可以是家用基站的签约信息， 即该家用基站所允许接入 的用户列表。

当签约信息是家用基站用户的签约信息时，鉴权授权服务器向 CSG用户 服务器发送的请求消息中至少要携带用户标识（还可以携带家用基站标识）； 当签约信息是家用基站的签约信息时，鉴权授权服务器向 CSG用户服务器发 送的请求消息中至少要携带家用基站标识（还可以携带用户标识） 。 步骤 307 , CSG用户服务器将签约信息通过确认消息返回给鉴权授权服 务器。

其中， 上述签约信息可以是家用基站用户的签约信息， 即该用户所允许 接入的家用基站列表； 也可以是家用基站的签约信息， 即该家用基站所允许 接入的用户列表。

步骤 308 , 鉴权授权服务器根据签约信息、 家用基站标识、 家用基站模 式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站， 确定混 合接入模式时用户类别信息。

对于闭合接入模式家用基站， 鉴权授权服务器需要判断该用户是否可以 接入该家用基站， 当签约信息是家用基站用户的签约信息时， 若签约信息中 包含该家用基站标识， 说明允许该用户接入该用户基站， 否则不允许该用户 接入该用户基站； 当签约信息是家用基站的签约信息时， 若签约信息中包含 该用户标识， 说明允许该用户接入该用户基站， 否则不允许该用户接入该用 户基站； 当允许该用户接入时执行步骤 309, 当不允许该用户接入时否则终 止鉴权流程， 具体流程可参考实施例三的流程描述；

对于混合接入模式家用基站， 鉴权授权服务器需要检查该用户是否存在 于允许接入的列表中， 当签约信息是家用基站用户的签约信息时， 若签约信 息中包含该家用基站标识， 则标识该用户类别信息为 CSG用户， 否则标识该 用户类别信息为非 CSG用户； 当签约信息是家用基站的签约信息时， 若签约 信息中包含该用户标识， 标识该用户类别信息为 CSG用户， 否则标识该用户 类别信息为非 CSG用户； 然后执行步骤 309。

对于开放接入模式， 可以不用执行步骤 306至 308, 且接入请求消息中 可以不携带家用基站模式信息。

步骤 309, 终端与鉴权授权服务器之间继续进行接入鉴权流程。

上述步骤 309与步骤 306 308的先后顺序可以有不同的设定。

步骤 310 , 鉴权授权服务器完成用户认证后， 向接入网关发送用户接入 接受消息， 如果家用基站是混合接入模式， 则在该消息中携带用户类别信息。

这里， 如果是闭合模式， 则不需要携带用户类别信息， 此时携带的信息 与现有技术相同， 在此不再赘述。

步骤 311 ,接入网关通过 EAP转发消息将鉴权成功消息转发给家用基站， 家用基站为混合接入模式时携带来自鉴权授权服务器的用户类别信息。

这里， 如果是闭合模式， 则不需要携带携带用户类别信息， 此时携带的 信息与现有技术相同， 在此不再赘述。

步骤 312, 家用基站收到 EAP转发消息后， 解析该消息， 若为混合接入 模式的家用基站， 还需要获取消息携带的用户类别信息， 并保存该用户类别 信息。

这里， 如果是闭合模式， 继续现有流程， 在此不再赘述。 步骤 313 , 家用基站通过 EAP转发消息将鉴权成功消息转发给终端。 步骤 314 , 继续执行用户接入相关的其他流程。

在此流程中， 不需要家用基站再单独执行用户接入控制， 即可完成对家 用基站用户的接入控制功能。

图 4所示是本实施例的一个变例， 鉴权授权服务器将判断结果或用户类 别信息通知给接入网关，接入网关再通过 EAP转发消息经家用基站发送至终 端， 并通过密钥改变指示消息通知给家用基站； 具体方法如下：

步骤 401-410, 同步骤 301-310, 在此不再赘述。

步骤 411 ,接入网关通过 EAP转发消息将鉴权成功消息转发给家用基站， 再由家用基站转发给终端。 对于混合接入模式家用基站， 由于此时家用基站 不解析 EAP转发消息， 所以此实施例中在该消息中不携带来自鉴权授权服务 器的用户类别信息， 只在接入网关保存用户类别信息。

步骤 412 , 接入网关给家用基站发送密钥改变指示消息， 通知家用基站 鉴权成功。 对于混合接入模式家用基站， 则在此消息中携带用户类别信息。

闭合接入模式的家用基站收到密钥改变指示消息后， 直接执行步骤 414, 混合接入模式的家用基站收到密钥改变指示消息后， 执行步骤 413。

步骤 413 , 混合接入模式的家用基站解析密钥改变指示消息， 获取消息 中携带的用户类别信息， 并保存该用户类别信息。

步骤 414, 继续执行用户接入相关的其他流程。

在此流程中， 不需要家用基站再单独执行用户接入控制， 即可完成对家 用基站用户的接入控制功能。

如图 5所示， 当家用基站为闭合接入模式时， 鉴权授权服务器判定该用 户不可以接入该家用基站， 直接拒绝用户的接入的流程， 具体方法如下： 步骤 501-507 , 同步骤 301-307 , 在此不再赘述。

步骤 508 , 鉴权授权服务器根据签约信息、 家用基站标识、 家用基站模 式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站， 混合接 入模式时用户类别信息。 对于闭合接入模式家用基站， 鉴权授权服务器需要 判断该用户是否可以接入该家用基站， 如果不允许用户接入， 则终止鉴权流 程。

步骤 509 , 鉴权授权服务器终止鉴权流程， 给接入网关发送接入拒绝消 息。

步骤 510, 接入网关通过 EAP转发消息将鉴权失败消息通过家用基站转 发给终端。

步骤 511 , 接入网关发起用户退网流程。

此实施例适用于闭合接入模式家用基站。

实施例二

本发明的一种对家用基站用户实施鉴权的系统， 如图 1所示， 包括： 终 端、 家用基站、 接入网关、 鉴权授权服务器及 CSG用户服务器；

接入网关设置成当终端接入闭合接入模式或混合接入模式的家用基站过 程中将用户标识信息及家用基站信息经鉴权授权服务器发送至 CSG用户服务 器；

CSG用户服务器设置成当家用基站为闭合接入模式时判断是否允许用户 接入该家用基站， 并将判断结果通过鉴权授权服务器及接入网关返回至家用 基站； 以及设置成当家用基站为混合接入模式时确定用户类别信息， 并将用 户类别信息通过鉴权授权服务器及接入网关返回至家用基站。

CSG用户服务器设置成当所述家用基站为闭合接入模式时判断是否允许 用户接入所述家用基站指， CSG用户服务器根据用户标识信息、 家用基站标 识、家用基站模式及签约信息判断是否允许所述用户接入所述家用基站， CSG 用户服务器还设置成当判断结果为允许所述用户接入所述家用基站时向鉴权 授权服务器返回确认消息， 当判断结果为不允许所述用户接入所述家用基站 时向鉴权授权服务器返回拒绝消息；

鉴权授权服务器设置成收到确认消息后完成用户的鉴权认证， 并向接入 网关发送用户接受接入消息， 以及收到拒绝消息后结束用户的鉴权认证， 并 向接入网关发送拒绝接入消息；

接入网关设置成收到拒绝接入消息后通过 EAP转发消息将鉴权失败消息 经家用基站转发给终端；

接入网关还设置成收到用户接受接入消息后通过 EAP转发消息将鉴权成 功消息转发给家用基站， 家用基站设置成收到 EAP转发消息后解析该消息， 并将其转发给终端； 或者

接入网关还可以设置成收到用户接受接入消息后通过 EAP转发消息将鉴 权成功消息转发给家用基站， 并向家用基站发送密钥改变指示消息， 通知家 用基站用户鉴权成功； 家用基站设置成将收到的 EAP转发消息转发给终端， 以及解析收到的密钥改变指示消息。

CSG用户服务器设置成当家用基站为混合接入模式时确定用户类别信息 指， CSG用户服务器根据用户标识信息、 家用基站标识、 家用基站模式及签 约信息确定用户类别信息， 并向鉴权授权服务器返回确认消息， 携带用户类 别信息；

鉴权授权服务器设置成收到确认消息后完成用户的鉴权认证， 并向接入 网关发送用户接受接入消息， 携带用户类别信息；

接入网关设置成收到用户接受接入消息后通过 EAP转发消息将鉴权成功 消息转发给家用基站， 携带用户类别信息； 家用基站设置成解析 EAP转发消 息后保存用户类别信息， 并通过 EAP转发消息将鉴权成功消息转发给终端； 或者

接入网关可以设置成收到用户接受接入消息后通过 EAP转发消息将鉴权 成功消息转发给家用基站， 并向家用基站发送密钥改变指示消息， 通知家用 基站用户鉴权成功， 携带用户类别信息； 家用基站可以设置成将收到的 EAP 转发消息转发给终端， 以及解析收到的密钥改变指示消息， 保存用户类别信 息。

本发明的一种对家用基站用户实施鉴权的方法， 如图 6至图 8所示， 该 实施例中均由 CSG用户服务器判断当家用基站为闭合接入模式时用户是否可 以接入该家用基站， 以及当家用基站为混合接入模式时确定用户类别信息； 如图 6所示， CSG用户服务器判断当家用基站为闭合接入模式时该用户 是否可以接入该家用基站，确定当家用基站为混合接入模式时用户类别信息， 将判断结果或用户类别信息通知鉴权授权服务器， 当鉴权授权服务器完成用 户认证后通过 EAP转发消息通知给家用基站及终端； 具体方法如下：

步骤 601 , 终端与家用基站之间完成空口参数同步及测距。

步骤 602 , 终端请求协商认证能力， 如用户的认证策略等， 并与家用基 站、 接入网关完成能力协商工作。

步骤 603 ,接入网关启动 EAP鉴权流程， 向家用基站发送用户标识请求， 家用基站将该请求转发给终端。

步骤 604, 在收到用户标识请求消息后， 终端向家用基站回复响应消息， 携带用户标识信息。 家用基站将该消息透传给接入网关。

该回复响应消息中携带的用户标识信息可以是用户的真实标识， 也可以 是用户的伪标识。

步骤 605 , 接入网关收到该响应消息后， 给鉴权授权服务器发送接入请 求消息， 并在消息中携带用户标识信息、 家用基站模式和家用基站标识。

可以在接入网关保存家用基站模式， 或家用基站发送消息通知接入网关 自己的家用基站模式， 本发明对所釆用的消息不作限制。

步骤 606 , 鉴权授权服务器收到接入请求消息， 且消息中携带有家用基 站模式时， 鉴权授权服务器向 CSG用户服务器发送请求消息， 并在消息中携 带用户标识、 家用基站标识及家用基站模式。

鉴权授权服务器收到接入请求消息后， 如果无法根据该消息中的用户伪 标识找到用户的真实标识， 则可以和终端通过 EAP消息交互， 获取用户的真 实标识， 并将真实的标识与伪标识关联起来， 其与终端通过 EAP消息交互的 过程与现有技术相同， 在此不再赘述。

步骤 607 , CSG用户服务器收到上述请求消息， 根据签约信息、 家用基 站标识、 家用基站模式及用户标识判断闭合接入模式时该用户是否可以接入 该家用基站， 确定混合接入模式时该用户类别信息。

这里的签约信息是在 CSG用户服务器上的有关家用基站的签约信息。 签约信息可以是家用基站用户的签约信息， 即该用户所允许接入的家用 基站列表； 也可以是家用基站的签约信息， 即该家用基站所允许接入的用户 列表。

对于闭合接入模式家用基站， CSG用户服务器需要判断该用户是否可以 接入该家用基站， 当签约信息是家用基站用户的签约信息时， 若签约信息中 包含该家用基站标识， 说明允许该用户接入该用户基站， 否则不允许该用户 接入该用户基站； 当签约信息是家用基站的签约信息时， 若签约信息中包含 该用户标识， 说明允许该用户接入该用户基站， 否则不允许该用户接入该用 户基站； 如果允许用户接入， 则继续鉴权流程， 执行步骤 608, 否则终止鉴 权流程， 具体流程可参考如图 8所示的流程描述；

对于混合接入模式家用基站，鉴权授权服务器需要判断该用户类别信息， 当签约信息是家用基站用户的签约信息时， 若签约信息中包含该家用基站标 识，则标识该用户类别信息为 CSG用户， 否则标识该用户类别信息为非 CSG 用户； 当签约信息是家用基站的签约信息时， 若签约信息中包含该用户标识， 标识该用户类别信息为 CSG用户， 否则标识该用户类别信息为非 CSG用户； 然后执行步骤 608。

步骤 608, CSG用户服务器返回确认消息给鉴权授权服务器， 对于混合 接入模式家用基站， 还需要携带用户类别信息。 其中， 用户类别信息是 CSG 用户或非 CSG用户。

对于开放接入模式， 可以不用执行步骤 606至 608, 且接入请求消息中 可以不携带家用基站模式信息。

步骤 609 , 终端与鉴权授权服务器之间继续进行接入鉴权流程。

步骤 609与步骤 606 608的先后顺序可以有不同的设定。

步骤 610 , 鉴权授权服务器完成用户认证后， 给接入网关发送用户接入 接受消息， 如果基站是混合接入模式家用基站， 则在该消息中携带用户类别 信息。 步骤 611 ,接入网关通过 EAP转发消息将鉴权成功消息转发给家用基站， 混合接入模式时携带来自鉴权授权服务器的用户类别信息。

闭合接入模式的家用基站收到 EAP转发消息后， 直接执行步骤 613 , 混 合接入模式的家用基站收到 EAP转发消息后， 执行步骤 613;

步骤 612, 混合接入模式的家用基站解析 EAP转发消息， 获取消息中携 带的用户类别信息， 并保存该用户类别信息。

步骤 613 , 家用基站通过 EAP转发消息将鉴权成功消息转发给终端。 步骤 614 , 继续执行用户接入相关的其他流程。

在此流程中， 不需要家用基站再单独执行用户接入控制， 即可完成对家 用基站用户的接入控制功能。

图 7所示是本实施例的一个变例， CSG用户服务器判断闭合接入模式时 该用户是否可以接入该家用基站， 确定混合接入模式时用户类别信息， 将判 断结果或用户类别信息通知鉴权授权服务器， 当鉴权授权服务器完成用户认 证后通过 EAP转发消息经家用基站发送至终端， 并通过密钥改变指示消息通 知给家用基站； 具体方法如下：

步骤 701-710, 同步骤 601-610, 在此不再赘述。

步骤 711 ,接入网关通过 EAP转发消息将鉴权成功消息转发给家用基站， 再由家用基站转发给终端。 对于混合接入模式家用基站， 由于此时家用基站 不解析 EAP转发消息， 所以此实施例中在该消息中不携带来自鉴权授权服务 器的用户类别信息， 只在接入网关保存用户类别信息。

步骤 712 , 接入网关给家用基站发送密钥改变指示消息， 通知家用基站 认证成功。 对于混合接入模式家用基站， 则在此消息中携带用户类别信息。

闭合接入模式的家用基站收到密钥改变指示消息后， 直接执行步骤 714, 混合接入模式的家用基站收到密钥改变指示消息后， 执行步骤 713;

步骤 713 , 混合接入模式的家用基站解析密钥改变指示消息， 获取消息 中携带的用户类别信息， 并保存用户类别信息。 步骤 714 , 继续执行用户接入相关的其他流程。

在此流程中， 不需要家用基站再单独执行用户接入控制， 即可完成对家 用基站用户的接入控制功能。

如图 8所示， 当家用基站为闭合接入模式时， CSG用户服务器判定该用 户不可以接入该家用基站， 直接拒绝用户的接入的流程， 具体方法如下： 步骤 801-806, 同步骤 601-606, 在此不再赘述。

步骤 807 , CSG用户服务器根据签约信息、 家用基站标识、 家用基站模 式及用户标识判断闭合接入模式时该用户是否可以接入该家用基站， 确定混 合接入模式时该用户类别信息。 对于闭合接入模式家用基站， CSG用户服务 器需要判断该用户是否可以接入该家用基站， 如果不允许用户接入， 则终止 鉴权流程， 执行步骤 808。

步骤 808, CSG用户服务器给鉴权授权服务器发送拒绝消息。

步骤 809 , 鉴权授权服务器终止鉴权流程， 给接入网关发送接入拒绝消 息。

步骤 810, 接入网关通过 ΕΑΡ转发消息将鉴权失败消息通过家用基站转 发给终端。

步骤 811 , 接入网关发起用户退网流程。

此实施例适用于闭合接入模式家用基站。

上述流程提供了一种对家用基站用户实施鉴权的方法， 将是否允许用户 接入家用基站系统的检查与用户的接入鉴权统一进行， 由位于核心网的鉴权 授权服务器或家用基站签约信息服务器来完成， 只将认证结果返回给家用基 站。 从而避免了在空口频繁传递用户真实标识， 和基站对用户标识的解析， 因此提供了用户标识正确性保障， 减轻了家用基站网元的处理负担， 降低了 家用基站系统的安全隐患。

为了简化描述， 上述实施例以家用基站不通过家用基站网关直接接入接 入网关， 且安全网关与接入网关合设这一应用场景为例来说明家用基站实现 紧急业务的方式。 其他实现场景， 如家用基站不通过家用基站网关接入接入 网关， 且安全网关单独设置， 或家用基站通过家用基站网关接入接入网关等 场景， 上述图 3至图 8的流程同样适用， 只是， 在家用基站和接入网关之间 的消息需要通过中间存在的网元（安全网关、 家用基站网关）进行转发， 不 会对阐述本发明造成影响， 故在此不再重复描述。

以上所述仅为本发明的较佳实施方式而已， 并非用于限定本发明。 本领 域技术人员根据本发明所作的任何修饰和变更， 均不脱离本发明所附带的权 利要求的保护范围。

工业实用性 本发明提供了一种对家用基站用户实施鉴权的系统及方法， 将是否允许 用户接入家用基站系统的检查与用户的接入鉴权统一进行， 由位于核心网的 鉴权授权服务器或家用基站签约信息服务器来完成， 只将认证结果返回给家 用基站， 从而避免了在空口频繁传递用户真实标识以及家用基站对用户标识 的解析， 因此提供了用户标识正确性保障， 减轻了家用基站网元的处理负担， 降低了家用基站系统的安全隐患， 因此本发明具有很强的工业实用性。

Claims

权 利 要 求 书

1、 一种对家用基站用户实施鉴权的方法， 该方法包括：

A、 在终端请求接入闭合接入模式或混合接入模式的家用基站过程中， 接入网关将用户标识信息、 家用基站标识及家用基站模式发送至鉴权授权服 务器， 或经所述鉴权授权服务器发送至闭合用户组 CSG用户服务器；

B、当所述家用基站为闭合接入模式时，所述鉴权授权服务器或所述 CSG 用户服务器判断是否允许终端接入所述家用基站， 并将判断结果通过所述接 入网关返回至所述家用基站； 当所述家用基站为混合接入模式时， 所述鉴权 授权服务器或所述 CSG用户服务器确定终端的用户类别信息，并将所述用户 类别信息通过所述接入网关返回至所述家用基站。

2、 如权利要求 1所述的方法， 其中：

所述鉴权授权服务器判断是否允许终端接入所述家用基站或确定终端的 所述用户类别信息的方式为： 所述鉴权授权服务器根据所述用户标识信息、 所述家用基站标识、所述家用基站模式及自身保存或从所述 CSG用户服务器 下载的签约信息判断是否允许终端接入所述家用基站或确定终端的所述用户 类别信息；

所述 CSG用户服务器判断是否允许终端接入所述家用基站或确定终端 的所述用户类别信息的方式为：所述 CSG用户服务器根据所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存的签约信息判断是否允许 终端接入所述家用基站或确定终端的所述用户类别信息。

3、 如权利要求 1或 2所述的方法， 其中：

所述用户类别信息为 CSG用户或非 CSG用户。

4、 如权利要求 1或 2所述的方法， 其中： 所述签约信息为家用基站用户 的签约信息或家用基站的签约信息。

5、 如权利要求 4所述的方法， 其中： 所述步骤 B中， 当所述家用基站为 闭合接入模式时，所述鉴权授权服务器或所述 CSG用户服务器判断是否允许 终端接入所述家用基站的方式为： 所述鉴权授权服务器确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站用户的签约信息时，若签约信息中包含所述家用基站标识， 则允许终端接入所述家用基站， 否则不允许终端接入所述家用基站； 所述鉴 权授权服务器确定自身保存或从所述 CSG用户服务器下载的签约信息是家用 基站的签约信息时， 若签约信息中包含所述用户标识， 则允许终端接入所述 家用基站， 否则不允许终端接入所述家用基站；

所述 CSG用户服务器确定自身保存的签约信息是家用基站用户的签约 信息时， 若签约信息中包含所述家用基站标识， 则允许终端接入所述家用基 站， 否则不允许终端接入所述家用基站； 所述 CSG用户服务器确定自身保存 的签约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则 允许终端接入所述家用基站， 否则不允许终端接入所述家用基站。

6、 如权利要求 3所述的方法， 其中： 所述步骤 B中， 当所述家用基站为 混合接入模式时，所述鉴权授权服务器或所述 CSG用户服务器确定终端的用 户类别信息的方式为：

所述鉴权授权服务器确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站用户的签约信息时， 若签约信息中包含该家用基站标识， 则所述用户类别信息为所述 CSG用户，否则所述用户类别信息为所述非 CSG 用户； 所述鉴权授权服务器确定自身保存或从所述 CSG用户服务器下载的签 约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则所述 用户类别信息为所述 CSG用户， 否则所述用户类别信息为所述非 CSG用户； 所述 CSG用户服务器确定自身保存的签约信息是家用基站用户的签约 信息时，若签约信息中包含该家用基站标识，则所述用户类别信息为所述 CSG 用户， 否则所述用户类别信息为所述非 CSG用户； 所述 CSG用户服务器确 定自身保存的签约信息是家用基站的签约信息时， 若签约信息中包含所述用 户标识， 则所述用户类别信息为所述 CSG用户， 否则所述用户类别信息为所 述非 CSG用户。

7、 如权利要求 1或 2所述的方法， 其中： 所述步骤 B中， 当所述家用基 站为闭合接入模式时， 所述鉴权授权服务器将判断结果通过所述接入网关返 回至所述家用基站的所述步骤包括： 若所述判断结果表示允许终端接入所述家用基站， 所述鉴权授权服务器 完成用户认证后向所述接入网关发送用户接入接受消息， 所述接入网关根据 所述用户接入接受消息通过扩展认证协议 EAP转发消息将鉴权成功消息转发 给所述家用基站， 所述家用基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关通过 EAP转发消息将所述鉴权成功消息经所述家用基站 转发给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站 用户鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站， 则终止鉴权流程， 所述鉴权授权服务器向所述接入网关发送接入拒绝消息， 所述接入网关根据 所述接入拒绝消息通过 EAP转发消息将鉴权失败消息转发给所述家用基站， 所述家用基站将所述鉴权失败消息转发给终端。

8、 如权利要求 1或 2所述的方法， 其中： 所述步骤 B中， 当所述家用基 站为混合接入模式时， 所述鉴权授权服务器将所述用户类别信息通过所述接 入网关返回至所述家用基站的所述步骤包括：

所述鉴权授权服务器在完成用户认证后向所述接入网关发送携带所述用 户类别信息的用户接入接受消息； 所述接入网关根据所述用户接入接受消息 通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析 所述鉴权成功消息并保存所述用户类别信息后通过 EAP转发消息将所述鉴权 成功消息转发给终端； 或者， 所述接入网关根据所述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发给终端； 并向所述家用基 站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户 鉴权成功， 所述家用基站保存所述用户类别信息。

9、 如权利要求 1或 2所述的方法， 其中： 所述步骤 B中， 当所述家用基 站为闭合接入模式时，所述 CSG用户服务器将判断结果通过所述接入网关返 回至所述家用基站的所述步骤包括：

若所述判断结果表示允许终端接入所述家用基站，则所述 CSG用户服务 器向所述鉴权授权服务器返回确认消息， 所述鉴权授权服务器完成用户认证 后向所述接入网关发送用户接入接受消息； 所述接入网关根据所述用户接入 接受消息通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用 基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关根据所 述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发 给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站用户 鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站，则所述 CSG用户服 务器向所述鉴权授权服务器返回拒绝消息， 所述鉴权授权服务器终止鉴权流 程， 向所述接入网关发送接入拒绝消息， 所述接入网关根据所述接入拒绝消 息通过 EAP转发消息将鉴权失败消息经所述家用基站转发给终端。

10、 如权利要求 1或 2所述的方法， 其中： 所述步骤 B中， 当所述家用 基站为混合接入模式时，所述 CSG用户服务器将所述用户类别信息通过所述 接入网关返回至所述家用基站的所述步骤包括：

所述 CSG用户服务器向所述鉴权授权服务器返回携带所述用户类别信 息的确认消息， 所述鉴权授权服务器完成用户认证后向所述接入网关发送携 带所述用户类别信息的用户接入接受消息；

所述接入网关通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析所述鉴权成功消息并保存所述用户类别信息后通过 EAP转 发消息将所述鉴权成功消息转发给终端； 或者

所述接入网关通过 EAP转发消息将鉴权成功消息经所述家用基站转发给 终端， 并向所述家用基站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户鉴权成功，所述家用基站解析所述密钥改变指示消息， 保存所述用户类别信息。

11、 一种对家用基站用户实施鉴权的鉴权授权服务器， 其中，

所述鉴权授权服务器设置成接收接入网关在终端接入闭合接入模式或混 合接入模式的家用基站的过程中发来的用户标识信息、 基站标识及家用基站 模式；

所述鉴权授权服务器还设置成当家用基站为闭合接入模式时， 判断是否 允许终端接入所述家用基站， 并将判断结果通过所述接入网关返回至所述家 用基站；

所述鉴权授权服务器还设置成当所述家用基站为混合接入模式时， 确定 终端的用户类别信息， 并将所述用户类别信息通过所述接入网关返回至所述 家用基站。

12、 如权利要求 11所述的鉴权授权服务器， 其中，

所述鉴权授权服务器还设置成当家用基站为闭合接入模式时， 根据所述 用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存或从 CSG 用户服务器下载的签约信息判断是否允许终端接入所述家用基站， 并将判断 结果通过所述接入网关返回至所述家用基站；

所述鉴权授权服务器还设置成当所述家用基站为混合接入模式时， 根据 所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存或从 所述 CSG用户服务器下载的所述签约信息确定终端的用户类别信息，并将所 述用户类别信息通过所述接入网关返回至所述家用基站。

13、 如权利要求 11或 12所述的鉴权授权服务器， 其中，

所述鉴权授权服务器还设置成确定自身保存或从所述 CSG用户服务器 下载的签约信息是家用基站用户的签约信息时， 若签约信息中包含所述家用 基站标识， 则允许终端接入所述家用基站， 否则不允许终端接入所述家用基 站；确定自身保存或从所述 CSG用户服务器下载的签约信息是家用基站的签 约信息时， 若签约信息中包含所述用户标识， 则允许终端接入所述家用基站， 否则不允许终端接入所述家用基站。

14、 如权利要求 11或 12所述的鉴权授权服务器， 其中，

所述鉴权授权服务器还设置成确定自身保存或从所述 CSG用户服务器 下载的签约信息是家用基站用户的签约信息时， 若签约信息中包含该家用基 站标识， 则所述用户类别信息为所述 CSG用户， 否则所述用户类别信息为所 述非 CSG用户； 确定自身保存或从所述 CSG用户服务器下载的签约信息是 家用基站的签约信息时， 若签约信息中包含所述用户标识， 则所述用户类别 信息为所述 CSG用户， 否则所述用户类别信息为所述非 CSG用户。

15、 如权利要求 11或 12所述的鉴权授权服务器， 其中： 所述鉴权授权 服务器还设置成通过以下方式将判断结果通过所述接入网关返回至所述家用 基站：

若所述判断结果表示允许终端接入所述家用基站， 所述鉴权授权服务器 完成用户认证后向所述接入网关发送用户接入接受消息， 所述接入网关根据 所述用户接入接受消息通过扩展认证协议 EAP转发消息将鉴权成功消息转发 给所述家用基站， 所述家用基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关通过 EAP转发消息将所述鉴权成功消息经所述家用基站 转发给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站 用户鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站， 则终止鉴权流程， 所述鉴权授权服务器向所述接入网关发送接入拒绝消息， 所述接入网关根据 所述接入拒绝消息通过 EAP转发消息将鉴权失败消息转发给所述家用基站， 所述家用基站将所述鉴权失败消息转发给终端。

16、 如权利要求 11或 12所述的鉴权授权服务器， 其中： 所述鉴权授权 服务器还设置成通过以下方式将所述用户类别信息通过所述接入网关返回至 所述家用基站：

所述鉴权授权服务器在完成用户认证后向所述接入网关发送携带所述用 户类别信息的用户接入接受消息； 所述接入网关根据所述用户接入接受消息 通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析 所述鉴权成功消息并保存所述用户类别信息后通过 EAP转发消息将所述鉴权 成功消息转发给终端； 或者， 所述接入网关根据所述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发给终端； 并向所述家用基 站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户 鉴权成功， 所述家用基站保存所述用户类别信息。

17、 一种对家用基站用户实施鉴权的系统， 该系统包括： 权利要求 11-16 中任一项所述的鉴权授权服务器。

18、 一种对家用基站用户实施鉴权的 CSG用户服务器， 其中，

所述 CSG用户服务器设置成接收接入网关在终端请求接入闭合接入模 式或混合接入模式的家用基站过程中经鉴权授权服务器发送过来的用户标识 信息、 家用基站标识及家用基站模式；

所述 CSG用户服务器还设置成当家用基站为闭合接入模式时，判断是否 允许终端接入所述家用基站， 并将判断结果通过所述接入网关返回至所述家 用基站；

所述 CSG用户服务器还设置成当所述家用基站为混合接入模式时，确定 终端的用户类别信息， 并将所述用户类别信息通过所述接入网关返回至所述 家用基站。

19、 如权利要求 18所述的 CSG用户服务器， 其中，

所述 CSG用户服务器还设置成当家用基站为闭合接入模式时，根据所述 用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存的签约信 息判断是否允许终端接入所述家用基站， 并将判断结果通过所述接入网关返 回至所述家用基站；

所述 CSG用户服务器还设置成当所述家用基站为混合接入模式时，根据 所述用户标识信息、 所述家用基站标识、 所述家用基站模式及自身保存的所 述签约信息确定终端的用户类别信息， 并将所述用户类别信息通过所述接入 网关返回至所述家用基站。

20、 如权利要求 18或 19所述的 CSG用户服务器， 其中，

所述 CSG用户服务器还设置成确定自身保存的签约信息是家用基站用 户的签约信息时， 若签约信息中包含所述家用基站标识， 则允许终端接入所 述家用基站， 否则不允许终端接入所述家用基站； 确定自身保存的签约信息 是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则允许终端接 入所述家用基站， 否则不允许终端接入所述家用基站。

21、 如权利要求 18或 19所述的 CSG用户服务器， 其中：

所述 CSG用户服务器还设置成确定自身保存的签约信息是家用基站用 户的签约信息时， 若签约信息中包含该家用基站标识， 则所述用户类别信息 为所述 CSG用户， 否则所述用户类别信息为所述非 CSG用户； 确定自身保 存的签约信息是家用基站的签约信息时， 若签约信息中包含所述用户标识， 则所述用户类别信息为所述 CSG用户，否则所述用户类别信息为所述非 CSG 用户。

22、 如权利要求 18或 19所述的 CSG用户服务器， 其中： 所述 CSG用 户服务器还设置成通过以下方式将判断结果通过所述接入网关返回至所述家 用基站：

若所述判断结果表示允许终端接入所述家用基站，则所述 CSG用户服务 器向所述鉴权授权服务器返回确认消息， 所述鉴权授权服务器完成用户认证 后向所述接入网关发送用户接入接受消息； 所述接入网关根据所述用户接入 接受消息通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用 基站解析所述鉴权成功消息后将其转发给终端； 或者， 所述接入网关根据所 述用户接入接受消息通过 EAP转发消息将鉴权成功消息经所述家用基站转发 给终端， 并向所述家用基站发送密钥改变指示消息， 通知所述家用基站用户 鉴权成功；

若所述判断结果表示不允许终端接入所述家用基站，则所述 CSG用户服 务器向所述鉴权授权服务器返回拒绝消息， 所述鉴权授权服务器终止鉴权流 程， 向所述接入网关发送接入拒绝消息， 所述接入网关根据所述接入拒绝消 息通过 EAP转发消息将鉴权失败消息经所述家用基站转发给终端。

23、 如权利要求 18或 19所述的 CSG用户服务器， 其中： 所述 CSG用 户服务器还设置成通过以下方式将所述用户类别信息通过所述接入网关返回 至所述家用基站：

所述 CSG用户服务器向所述鉴权授权服务器返回携带所述用户类别信 息的确认消息， 所述鉴权授权服务器完成用户认证后向所述接入网关发送携 带所述用户类别信息的用户接入接受消息；

所述接入网关通过 EAP转发消息将鉴权成功消息转发给所述家用基站， 所述家用基站解析所述鉴权成功消息并保存所述用户类别信息后通过 EAP转 发消息将所述鉴权成功消息转发给终端； 或者

所述接入网关通过 EAP转发消息将鉴权成功消息经所述家用基站转发给 终端， 并向所述家用基站发送携带所述用户类别信息的密钥改变指示消息， 通知所述家用基站用户鉴权成功，所述家用基站解析所述密钥改变指示消息， 保存所述用户类别信息。

24、 一种对家用基站用户实施鉴权的系统， 该系统包括： 权利要求 18-23 中任一项所述的鉴权授权服务器。