專利名稱:一種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于家用基站接入移動(dòng)通信網(wǎng)技術(shù)領(lǐng)域,具體涉及一種對(duì)家用基站設(shè)備進(jìn)
行鑒權(quán)的方法和系統(tǒng)。
背景技術(shù):
目前越來(lái)越多的跨國(guó)運(yùn)營(yíng)商希望能夠提供一種ALL in One的無(wú)線接入方案,即提 供一種無(wú)線接入設(shè)備,這種無(wú)線接入設(shè)備能夠提供各種無(wú)線接入的功能,用戶在家里使用 該設(shè)備的時(shí)候,運(yùn)營(yíng)商可提供資費(fèi)上的優(yōu)惠。 在這樣的需求上,業(yè)界提出了一種無(wú)線接入設(shè)備——Home NodeB(家用基站)。 Home NodeB作為局部熱點(diǎn)接入解決方案的設(shè)備,把局部熱點(diǎn)(例如家庭)中的固網(wǎng)和移 動(dòng)網(wǎng)兩種通信方式巧妙地結(jié)合起來(lái),充分利用固定和移動(dòng)的優(yōu)勢(shì)來(lái)滿足用戶和運(yùn)營(yíng)商的需 求。 由于Home NodeB屬于家庭等局部熱點(diǎn)接入設(shè)備,運(yùn)營(yíng)商希望對(duì)接入設(shè)備進(jìn)行鑒 權(quán),因此需要提供有效的方法和系統(tǒng),對(duì)于未授權(quán)的設(shè)備在進(jìn)入PLMN(Public Land Mobile Network,公共陸地移動(dòng)網(wǎng))之前即拒絕其接入。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方 法和系統(tǒng),該方法和系統(tǒng)通過(guò)對(duì)Home NodeB的網(wǎng)絡(luò)標(biāo)識(shí)信息是否在合法范圍內(nèi)進(jìn)行檢查, 達(dá)到拒絕非法設(shè)備接入的目的。 為解決上述技術(shù)問(wèn)題,本發(fā)明是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的
—種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,包括如下步驟 建立鑒權(quán)數(shù)據(jù)庫(kù),該鑒權(quán)數(shù)據(jù)庫(kù)至少存儲(chǔ)了家用基站(Home NodeB)在運(yùn)營(yíng)商處簽
約服務(wù)時(shí)約定Home NodeB允許接入的有效網(wǎng)絡(luò)范圍信息和身份識(shí)別信息; Home NodeB啟動(dòng)后,其至少攜帶網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別信息向安全網(wǎng)關(guān)發(fā)送接
入請(qǐng)求,所述安全網(wǎng)關(guān)將至少包括網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別信息的鑒權(quán)請(qǐng)求發(fā)送給鑒權(quán)裝
置; 鑒權(quán)裝置根據(jù)該Home NodeB的身份識(shí)別信息查詢所述鑒權(quán)數(shù)據(jù)庫(kù),獲取該Home NodeB的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該Home NodeB的網(wǎng)絡(luò)標(biāo)識(shí)信息是 否在合法范圍內(nèi),如果在合法范圍內(nèi),則根據(jù)運(yùn)營(yíng)商要求決定是否進(jìn)行其他認(rèn)證;否則,拒 絕接入; 認(rèn)證完成后,允許接入的Home NodeB與普通基站(NodeB) —樣進(jìn)入正常業(yè)務(wù)流 程。 所述身份識(shí)別信息是用戶名及密碼信息和/或設(shè)備標(biāo)識(shí)信息。 所述網(wǎng)絡(luò)標(biāo)識(shí)信息是IP地址和/或MAC (Media Access Control,介質(zhì)訪問(wèn)控制)地址。
若網(wǎng)絡(luò)標(biāo)識(shí)信息是IP地址,則鑒權(quán)數(shù)據(jù)庫(kù)定義的有效網(wǎng)絡(luò)范圍以IP地址和IP網(wǎng)絡(luò)掩碼組合的方式或一個(gè)IP地址段的方式表示;若網(wǎng)絡(luò)標(biāo)識(shí)信息是MAC地址,則鑒權(quán)數(shù)據(jù)庫(kù)定義的有效網(wǎng)絡(luò)范圍以MAC地址和MAC地址通配符(掩碼)組合的方式或一個(gè)MAC段的方式表示。 所述鑒權(quán)裝置若認(rèn)為該Home NodeB合法,則賦予其一個(gè)合法的能接入移動(dòng)通信網(wǎng)的IP地址。該IP地址是一個(gè)VPN (Virtual Private Network,虛擬專用網(wǎng))IP地址,HomeNodeB將利用該VPN IP地址與RNC (Radio Network Controller,無(wú)線網(wǎng)絡(luò)控制器)進(jìn)行業(yè)務(wù)交互。 —種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的系統(tǒng),包括 安全網(wǎng)關(guān),用于接收Home NodeB的接入請(qǐng)求,并發(fā)送至少包括網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別信息的鑒權(quán)請(qǐng)求; 鑒權(quán)數(shù)據(jù)庫(kù),其至少存儲(chǔ)Home NodeB在運(yùn)營(yíng)商處簽約服務(wù)時(shí)約定Home NodeB允許接入的有效網(wǎng)絡(luò)范圍信息及其身份識(shí)別信息; 鑒權(quán)裝置,接收所述安全網(wǎng)關(guān)發(fā)送的鑒權(quán)請(qǐng)求,根據(jù)Home NodeB的身份識(shí)別信息向所述鑒權(quán)數(shù)據(jù)庫(kù)進(jìn)行查詢并獲取該Home NodeB的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該Home NodeB的網(wǎng)絡(luò)標(biāo)識(shí)信息是否合法。 采用本發(fā)明所述的方法和系統(tǒng),與現(xiàn)有技術(shù)相比具有以下有益效果
(1)滿足了運(yùn)營(yíng)商需要拒絕非法設(shè)備接入的需求;
(2)滿足了運(yùn)營(yíng)商對(duì)Home NodeB使用范圍進(jìn)行限制的需求;
(3)運(yùn)營(yíng)商可根據(jù)Home NodeB所屬的網(wǎng)絡(luò)范圍來(lái)劃分服務(wù)范圍。
圖1是Home NodeB接入時(shí)與鑒權(quán)系統(tǒng)交互的流程示意圖; 圖2是通過(guò)限制IP地址范圍實(shí)現(xiàn)Home NodeB接入鑒權(quán)的一個(gè)實(shí)施例的示意 圖3是通過(guò)限制MAC地址范圍實(shí)現(xiàn)Home NodeB接入鑒權(quán)的一個(gè)實(shí)施例的示意圖。
具體實(shí)施例方式
為了更好地理解本發(fā)明,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步地描述。
請(qǐng)參閱圖l,該圖是Home NodeB接入時(shí)與鑒權(quán)系統(tǒng)交互的流程示意圖,該鑒權(quán)系統(tǒng)包括安全網(wǎng)關(guān)、鑒權(quán)數(shù)據(jù)庫(kù)和鑒權(quán)裝置。圖2為通過(guò)限制IP地址范圍實(shí)現(xiàn)Home NodeB接入鑒權(quán)的一個(gè)實(shí)施例的示意圖,該實(shí)施例以Home NodeB接入WCDMA移動(dòng)系統(tǒng)時(shí)用到的鑒權(quán)裝置AAAServer為例。 請(qǐng)參閱圖2, AAA Server 3為Home NodeB提供鑒權(quán)等業(yè)務(wù),鑒權(quán)數(shù)據(jù)庫(kù)2由運(yùn)營(yíng)商根據(jù)對(duì)Home NodeB的簽約信息進(jìn)行配置,至少存儲(chǔ)了 Home NodeB允許接入的有效網(wǎng)絡(luò)范圍信息和身份識(shí)別信息。Home NodeB的自身網(wǎng)絡(luò)標(biāo)識(shí)信息以IP地址來(lái)表示,鑒權(quán)數(shù)據(jù)庫(kù)2中為HomeNodeB配置了所屬的有效網(wǎng)絡(luò)范圍信息(即合法子網(wǎng)),以IP地址和IP網(wǎng)絡(luò)掩碼組合的方式或一個(gè)IP地址段的方式表示。鑒權(quán)時(shí)步驟如下 l)所有Home NodeB在啟動(dòng)后,首先向安全網(wǎng)關(guān)1發(fā)起接入請(qǐng)求,發(fā)送接入請(qǐng)求時(shí)除了攜帶身份識(shí)別信息(如用戶名及密碼信息和/或設(shè)備標(biāo)識(shí)信息)等,還要攜帶其在Internet上的網(wǎng)絡(luò)標(biāo)識(shí)信息,如IP地址; 2)安全網(wǎng)關(guān)1將Home NodeB的IP地址填入RADIUS協(xié)議中的VSA(Vendor-SpecificAttribute,廠商指定屬性)字段中,與身份識(shí)別信息等一起發(fā)送至AAA Server 3 ; 3) AAA Server 3收到來(lái)自安全網(wǎng)關(guān)1的鑒權(quán)請(qǐng)求,解析出其請(qǐng)求消息中的HomeNodeB的IP地址; 4) AAA Server 3從鑒權(quán)數(shù)據(jù)庫(kù)2中查詢到該Home NodeB的所有信息,首先判定該HomeNodeB的IP地址是否處于合法的子網(wǎng)內(nèi),如果不合法,則直接回拒絕應(yīng)答,拒絕HomeNodeB的接入;如果合法,則根據(jù)運(yùn)營(yíng)商要求決定是否進(jìn)行其他認(rèn)證; 5) AAA Server 3認(rèn)為該Home NodeB合法后,則賦予其一個(gè)合法的可以接入移動(dòng)通信網(wǎng)的IP地址,該IP地址是一個(gè)VPN IP地址,Home NodeB將利用該VPN IP地址與RNC進(jìn)行業(yè)務(wù)交互; 6)允許接入的Home NodeB,完成初始化工作后,與RNC進(jìn)行業(yè)務(wù)交互,進(jìn)入正常業(yè)務(wù)流程。 請(qǐng)參閱圖3,該圖為通過(guò)限制MAC地址范圍實(shí)現(xiàn)Home NodeB接入鑒權(quán)的一個(gè)實(shí)施例的示意圖,AAA Server 3為Home NodeB提供鑒權(quán)等業(yè)務(wù),Home NodeB的自身網(wǎng)絡(luò)標(biāo)識(shí)信息由其網(wǎng)卡MAC地址來(lái)表示。鑒權(quán)數(shù)據(jù)庫(kù)2由運(yùn)營(yíng)商根據(jù)對(duì)Home NodeB的簽約信息進(jìn)行配置,至少存儲(chǔ)了 Home NodeB允許接入的合法的MAC地址范圍和身份識(shí)別信息,該合法的MAC地址范圍,以MAC地址和MAC地址通配符(掩碼)組合的方式或一個(gè)MAC地址段的方式表示。MAC地址和MAC地址通配符組合可以是多種形式,比如可以通過(guò)網(wǎng)卡生產(chǎn)廠商號(hào)進(jìn)行限定,也可以通過(guò)某些廠商的某些批次的MAC地址進(jìn)行限定。鑒權(quán)時(shí)步驟如下
1)所有Home NodeB在啟動(dòng)后,首先向安全網(wǎng)關(guān)1發(fā)起接入請(qǐng)求,Home NodeB向安全網(wǎng)關(guān)1發(fā)送接入請(qǐng)求時(shí),除了攜帶身份識(shí)別信息(如用戶名及密碼信息和/或設(shè)備標(biāo)識(shí)信息)等,還要攜帶其自身的網(wǎng)卡MAC地址; 2)安全網(wǎng)關(guān)1將Home NodeB的MAC地址填入RADIUS協(xié)議中的VSA字段中,與身份識(shí)別信息等一起發(fā)送至AAA Server 3 ; 3) AAA Server 3收到來(lái)自安全網(wǎng)關(guān)1的鑒權(quán)請(qǐng)求,解析出其請(qǐng)求消息中的HomeNodeB的MAC地址; 4) AAA Server 3從鑒權(quán)數(shù)據(jù)庫(kù)2中查詢到該Home NodeB的所有信息,首先判定該HomeNodeB的MAC地址是否處于合法的MAC地址范圍內(nèi),如果不合法,則直接回拒絕應(yīng)答,拒絕Home NodeB的接入;如果合法,則根據(jù)運(yùn)營(yíng)商要求決定是否進(jìn)行其他認(rèn)證;
5)AAA Server 3認(rèn)為該Home NodeB合法后,則賦予其一個(gè)合法的可以接入移動(dòng)通信網(wǎng)的IP,該IP地址是一個(gè)VPN IP地址,Home NodeB將利用該VPN IP地址與RNC進(jìn)行業(yè)務(wù)交互; 6)允許接入的Home NodeB,完成初始化工作后,與RNC進(jìn)行業(yè)務(wù)交互,進(jìn)入正常業(yè)務(wù)流程。 從以上實(shí)施例可以看出,本發(fā)明提出的方法滿足了對(duì)Home NodeB進(jìn)行接入鑒權(quán)的需求。本鑒權(quán)方法和系統(tǒng)的提出,主要是基于對(duì)設(shè)備使用范圍的限制,比如某個(gè)Home NodeB只能從某地的某個(gè)服務(wù)提供商進(jìn)行接入PLMN,如果該設(shè)備從該地的其他服務(wù)提供商或另一地的服務(wù)提供商進(jìn)行接入,則認(rèn)為該設(shè)備非法。 以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,應(yīng)當(dāng)指出,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),凡是本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換或改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
一種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,其特征在于,包括如下步驟建立鑒權(quán)數(shù)據(jù)庫(kù),該鑒權(quán)數(shù)據(jù)庫(kù)至少存儲(chǔ)了家用基站在運(yùn)營(yíng)商處簽約服務(wù)時(shí)約定家用基站允許接入的有效網(wǎng)絡(luò)范圍信息和身份識(shí)別信息;家用基站啟動(dòng)后,其至少攜帶網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別信息向安全網(wǎng)關(guān)發(fā)送接入請(qǐng)求,所述安全網(wǎng)關(guān)將至少包括網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別信息的鑒權(quán)請(qǐng)求發(fā)送給鑒權(quán)裝置;鑒權(quán)裝置根據(jù)該家用基站的身份識(shí)別信息查詢所述鑒權(quán)數(shù)據(jù)庫(kù),獲取該家用基站的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該家用基站的網(wǎng)絡(luò)標(biāo)識(shí)信息是否在合法范圍內(nèi),如果在合法范圍內(nèi),則根據(jù)運(yùn)營(yíng)商要求決定是否進(jìn)行其他認(rèn)證;否則,拒絕接入;認(rèn)證完成后,允許接入的家用基站與普通基站一樣進(jìn)入正常業(yè)務(wù)流程。
2. 根據(jù)權(quán)利要求1所述的對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,其特征在于,所述身份識(shí) 別信息是用戶名及密碼信息和/或設(shè)備標(biāo)識(shí)信息。
3. 根據(jù)權(quán)利要求1或2所述的對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,其特征在于,所述網(wǎng)絡(luò) 標(biāo)識(shí)信息是IP地址和/或介質(zhì)訪問(wèn)控制地址。
4. 根據(jù)權(quán)利要求3所述的對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,其特征在于,若網(wǎng)絡(luò)標(biāo)識(shí) 信息是IP地址,則鑒權(quán)數(shù)據(jù)庫(kù)定義的有效網(wǎng)絡(luò)范圍以IP地址和IP網(wǎng)絡(luò)掩碼組合的方式或 一個(gè)IP地址段的方式表示;若網(wǎng)絡(luò)標(biāo)識(shí)信息是介質(zhì)訪問(wèn)控制地址,則鑒權(quán)數(shù)據(jù)庫(kù)定義的有 效網(wǎng)絡(luò)范圍以介質(zhì)訪問(wèn)控制地址和介質(zhì)訪問(wèn)控制地址通配符組合的方式或一個(gè)介質(zhì)訪問(wèn) 控制地址段的方式表示。
5. 根據(jù)權(quán)利要求4所述的對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,其特征在于,所述鑒權(quán)裝 置若認(rèn)為該家用基站合法,則賦予其一個(gè)合法的能接入移動(dòng)通信網(wǎng)的IP地址。
6. 根據(jù)權(quán)利要求5所述的對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法,其特征在于,所述IP地址 是一個(gè)虛擬專用網(wǎng)IP地址。
7. —種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的系統(tǒng),包括安全網(wǎng)關(guān),用于接收家用基站的接入請(qǐng)求,并發(fā)送至少包括網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別 信息的鑒權(quán)請(qǐng)求;鑒權(quán)數(shù)據(jù)庫(kù),其至少存儲(chǔ)家用基站在運(yùn)營(yíng)商處簽約服務(wù)時(shí)約定家用基站允許接入的有 效網(wǎng)絡(luò)范圍信息及其身份識(shí)別信息;鑒權(quán)裝置,接收所述安全網(wǎng)關(guān)發(fā)送的鑒權(quán)請(qǐng)求,根據(jù)家用基站的身份識(shí)別信息向所述 鑒權(quán)數(shù)據(jù)庫(kù)進(jìn)行查詢并獲取該家用基站的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷 該家用基站的網(wǎng)絡(luò)標(biāo)識(shí)信息是否合法。
全文摘要
本發(fā)明公開了一種對(duì)家用基站設(shè)備進(jìn)行鑒權(quán)的方法和系統(tǒng),該系統(tǒng)包括安全網(wǎng)關(guān)、鑒權(quán)數(shù)據(jù)庫(kù)和鑒權(quán)裝置。該方法包括步驟建立鑒權(quán)數(shù)據(jù)庫(kù),該鑒權(quán)數(shù)據(jù)庫(kù)至少存儲(chǔ)了運(yùn)營(yíng)商允許Home NodeB接入的有效網(wǎng)絡(luò)范圍信息和身份識(shí)別信息;Home NodeB啟動(dòng)后,其至少攜帶網(wǎng)絡(luò)標(biāo)識(shí)信息和身份識(shí)別信息向安全網(wǎng)關(guān)發(fā)送接入請(qǐng)求,然后由安全網(wǎng)關(guān)發(fā)送給鑒權(quán)裝置;鑒權(quán)裝置根據(jù)該Home NodeB的身份識(shí)別信息查詢鑒權(quán)數(shù)據(jù)庫(kù),獲取該Home NodeB的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該Home NodeB的網(wǎng)絡(luò)標(biāo)識(shí)信息是否在合法范圍內(nèi),如果不在,則拒絕接入。本發(fā)明滿足了運(yùn)營(yíng)商對(duì)Home NodeB使用范圍進(jìn)行限制的需求,并可根據(jù)Home NodeB所屬的網(wǎng)絡(luò)范圍來(lái)劃分服務(wù)范圍。
文檔編號(hào)H04L12/46GK101754210SQ200810218248
公開日2010年6月23日 申請(qǐng)日期2008年12月5日 優(yōu)先權(quán)日2008年12月5日
發(fā)明者況正謙, 胡典雄, 趙艷華 申請(qǐng)人:中興通訊股份有限公司