CN1327663C - 用户接入无线通信网络的方法和无线网络接入控制装置 - Google Patents
用户接入无线通信网络的方法和无线网络接入控制装置 Download PDFInfo
- Publication number
- CN1327663C CN1327663C CNB2005100902942A CN200510090294A CN1327663C CN 1327663 C CN1327663 C CN 1327663C CN B2005100902942 A CNB2005100902942 A CN B2005100902942A CN 200510090294 A CN200510090294 A CN 200510090294A CN 1327663 C CN1327663 C CN 1327663C
- Authority
- CN
- China
- Prior art keywords
- user
- applying unit
- accesses network
- network
- user profile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 92
- 238000004891 communication Methods 0.000 title claims abstract description 13
- 238000013475 authorization Methods 0.000 claims abstract description 158
- 230000004044 response Effects 0.000 claims abstract description 40
- 230000011664 signaling Effects 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 14
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000002834 transmittance Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用户接入无线通信网络方法与控制装置。本发明方法包括:用户选择一访问网络发起接入认证、授权请求;网络侧判断该用户是否为合法用户,并根据存储的该用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络;若用户合法且有权接入其选择的访问网络,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。本发明装置包括:用户信息应用单元和用户信息存储单元。本发明能对用户是否有权接入其选择的访问网络进行准确判断,从而对用户接入无线网络进行控制。
Description
技术领域
本发明涉及无线通信网络,尤指一种用户接入无线通信网络的方法和无线网络接入控制装置。
背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(Wireless LocalArea Network,WLAN)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同接入技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统以及CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证、授权、计费(AAA)代理和3GPP归属网络中的3GPP认证、授权、计费(AAA)服务器互连;3GPP访问网络中的无线局域网接入网关(WLAN AccessGateway,WAG)与3GPP归属网络中的分组数据网关(Packet Data Gateway,PDG)互连等等。互通系统结构图如图1、图2和图3所示。
与WLAN网络类似,基于IEEE 802.16标准的WiMax网络能够提供更高的接入速率和更大的覆盖范围。一种可能的WiMax网络结构如图4和图5所示。在该参考结构中,用户的认证和授权可以通过用户的归属CSN(ConnectivityService Network,连接性服务网络)中的AAA服务器完成。
由于无线网络中用户的移动性,用户经常需要在漫游网络中接入服务,这就面临这样两个问题:
1、用户在漫游情况下,可能会有多个不同的漫游网络可供选择,但受限于用户的归属网络和各漫游网络之间的漫游协定,不是每个漫游网络用户都可以接入,这样在用户选择了一个漫游网络接入,与归属网络进行认证的时候,归属网络就需要判断用户是否可以接入其选择的漫游网络,这就涉及归属网络中,授权的用户可接入的漫游网络信息的存储、传递和使用;
2、为了减少用户选择不被授权的网络接入的可能性,在用户终端中存储有授权的访问网络信息,由于技术上和运营方面的原因,终端中存储的内容有可能与运营商当前授权给该用户的可接入访问网络不同步,这就需要更新用户终端中存储的授权的访问网络信息。
现有技术中,用户授权的访问网络信息只存储在用户归属签约服务器(HSS)中,当用户在漫游情况下选择一访问网络发起接入认证、授权请求时,流程如下:
AAA代理服务器判断本地是否存储有对该用户进行认证、授权的用户信息,若没有,则向用户归属的HSS发起认证、授权信息获取请求;
HSS根据存储的用户授权的访问网络信息,若判断出该用户有权接入其选择的访问网络,则向该AAA代理服务器下发用于认证该用户合法性的多组安全参数以及相应授权信息;
AAA代理服务器将HSS下发的多组安全参数以及相应授权信息存储在本地;
当用户选择另一访问网络发起授权、认证请求时,AAA代理服务器判断出本地存储有认证该用户合法性的安全参数信息后,则不再向HSS发起认证、授权信息获取请求,由于AAA代理服务器本地没有存储用户的授权的访问网络信息,从而无法判断用户是否可以从其选择的访问网络进行接入。
发明内容
本发明提供一种用户接入无线通信网络的方法和无线网络接入控制装置,用以解决现有技术中存在的用户接入无线网络时,网络侧不能准确判断出用户是否有权接入其选择的访问网络的问题。
一种用户接入无线通信网络的方法,包括:
a1、用户选择一访问网络向用户信息应用单元发起接入请求;
b1、用户信息应用单元判断出用户选择的访问网络发生变化,向用户信息存储单元发送确认请求;
c1、用户信息存储单元根据本地存储的用户授权的访问网络列表,确定出用户无权接入其选择的访问网络,向用户信息应用单元返回拒绝接入应答消息;
d1、用户信息应用单元接收到用户信息存储单元返回的拒绝接入应答消息后向用户返回拒绝应答。
一种用户接入无线通信网络的方法,包括:
a2、用户选择一访问网络向用户信息应用单元发起接入请求;
b2、用户信息应用单元判断出用户选择的访问网络发生变化,向用户信息存储单元发送确认请求;
c2、用户信息存储单元根据本地存储的用户授权的访问网络列表,确定出用户有权接入其选择的访问网络,向用户信息应用单元返回允许接入应答消息;
d2、用户信息应用单元接收到用户信息存储单元返回的允许接入应答消息,且用户为合法用户,则向用户返回认证、授权成功应答。
一种用户接入无线通信网络的方法,包括:
A、用户选择一访问网络向用户信息应用单元发起接入请求;
B、用户信息应用单元向用户信息存储单元发起认证、授权信息获取请求;
C、所述用户信息存储单元向所述用户信息应用单元下发包含该用户授权的访问网络列表的认证、授权信息;
D、所述用户信息应用单元根据接收的认证、授权信息判断用户是否合法;并根据用户授权的访问网络列表,判断用户选择的访问网络标识是否包含在该用户授权的访问网络列表中,若用户合法且选择的访问网络标识包含在所述用户授权的访问网络列表中,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
一种无线网络接入控制装置,包括:
用户信息应用单元:用于接收用户终端通过无线网络发起的接入请求;在判断出用户选择的访问网络发生变化后,向用户信息存储单元发送确认请求;接收用户信息存储单元返回的确认结果,结合对用户身份合法性的判断结果,向用户终端返回认证、授权请求成功应答或拒绝应答;
用户信息存储单元:用于存储包含用户授权的访问网络列表的认证、授权信息,接收用户信息应用单元发起的确认请求,确认用户是否有权接入其选择的访问网络,并将确认结果信息发送给用户信息应用单元。
一种无线网络接入控制装置,包括:
用户信息应用单元:用于接收用户终端通过无线网络发起的接入请求;向用户信息存储单元发起认证、授权信息获取请求;根据接收的包含用户授权的访问网络列表的认证、授权信息判断用户是否合法;并根据用户授权的访问网络列表,判断用户选择的访问网络标识是否包含在该用户授权的访问网络列表中,当用户合法且选择的访问网络标识包含在所述用户授权的访问网络列表中,向用户返回认证、授权成功应答;否则向用户返回拒绝应答;
用户信息存储单元:用于存储包含用户授权的访问网络列表的认证、授权信息,接收用户信息应用单元发起的获取请求,向所述用户信息应用单元下发本地存储的包含该用户授权的访问网络列表的认证、授权信息。
本发明有益效果如下:
(1)当用户选择访问网络发起认证、授权请求时,本发明提供了一套完整的认证、授权信令流程,能有效判断出用户是否有权接入其选择的访问网络。
(2)本发明还提供了多种更新用户终端内部存储的访问网络列表信息的方法,使终端中存储的访问网络列表信息与运营商当前授权给该用户的可接入访问网络信息同步更新。
附图说明
图1-图5为现有技术互通系统结构示意图;
图6为本发明方法一原理图;
图7为本发明方法一具体实施例之一;
图8为本发明方法一具体实施例之二;
图9为本发明方法二原理图;
图10为本发明方法二的具体实施例之一;
图11为本发明方法二的具体实施例之二;
图12为本发明方法二的具体实施例之三;
图13为本发明方法二的具体实施例之四;
图14为本发明方法二的具体实施例之五
图15为本发明用户终端更新存储的授权访问网络列表流程图之一;
图16为本发明用户终端更新存储的授权访问网络列表流程图之二;
图17为本发明用户终端更新存储的授权访问网络列表流程图之三;
图18为本发明无线网络接入控制装置结构示意图。
具体实施方式
本发明提供的用户接入无线网络方法,包括:
用户选择一访问网络发起接入认证、授权请求;
网络侧判断该用户是否为合法用户,并根据存储的该用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络;若用户合法且有权接入其选择的访问网络,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
在本发明方法中,用户授权的访问网络列表存储在网络侧的用户信息存储单元中;当用户通过无线接入网络向网络侧的用户信息应用单元发起接入认证、授权请求时,包括如下两种实现方法:
方法一:将用户授权的访问网络列表下载到用户信息应用单元,由用户信息应用单元来判断用户是否有权接入其选择的访问网络,方法一步骤如下:
A、用户信息应用单元对该用户身份进行合法性判断,并从用户信息存储单元中获取该用户授权的访问网络列表信息;
B、用户信息应用单元根据所述用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络,若是,且该用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
方法二、用户授权的访问网络列表存储在用户信息存储单元,由用户信息存储单元来判断用户是否有权接入其选择的访问网络,方法二步骤如下:
a、用户信息应用单元判断用户选择的访问网络是否发生了变化,若是,则继续下列步骤;否则,按现有技术相应流程处理;
b、用户信息应用单元向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络;
c、用户信息存储单元根据其存储的用户授权的访问网络列表,确定用户是否有权接入其选择的访问网络,并向用户信息应用单元返回允许接入或拒绝接入的应答消息;
d、若用户信息应用单元接收到用户信息存储单元返回的允许接入应答消息,且判断出用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
下面结合附图,对本发明的上述方法一和方法二分别举例加以详细说明。
参见图6,为本发明方法一原理图,包括如下步骤:
步骤1a.用户终端、无线接入网络和用户信息应用单元之间进行接入认证和授权。
如果用户选择的接入网络标识存在,也需要带给用户信息应用单元,例如:用户选择用来接入网络的WLAN标识,在非漫游情况下,WLAN标识为归属WLAN标识,在漫游情况下,WLAN标识为漫游WLAN标识。在漫游情况下认证、授权请求中包括用户选择的访问网络标识和用户的永久的或临时的身份标识符。在该步骤中,用户信息应用单元一般是指认证、授权和计费(AAA)服务器;
访问网络标识可以包括访问接入网络标识和/或访问核心网络标识。
例如,当用于3GPP I-WLAN系统时,访问网络标识可以包括3GPP访问PLMN(公众陆地移动网)标识,也可以包括访问WLAN网络标识,还可以同时包括3GPP访问PLMN标识和访问WLAN网络标识。
例如,当用于WiMax系统时,访问网络标识可以包括访问CSN(连接性服务网络)网络标识,也可以包括访问ASN(接入服务网络)网络标识,还可以同时包括访问CSN网络标识和访问ASN网络标识。
访问网络标识具体的格式包括但不限于以下格式:
移动国家码+移动网络码;
RADIUS Operator-Name属性;GSMA PRD IR.61中规定的格式;
运营商自定义的网络标识。
用户的身份识别符包括但不限于:
国际移动用户识别符(IMSI);
移动台MSISDN号码(MSISDN);
网络接入识别符(NAI);
临时移动用户识别符(TMSI/P-TMSI);
SIP URI;
Tel URI;
运营商自定义用户身份识别符。
步骤1b.用户信息应用单元从用户信息存储单元获取用于认证、授权的用户信息,其中包括针对该用户的授权的访问网络列表。
授权的访问网络列表可以包括授权的访问接入网络标识和/或授权的访问核心网络标识。
例如:授权的访问网络列表包括授权的3GPP访问PLMN标识,也可以包括授权的访问WLAN网络标识,还可以同时包括授权的3GPP访问PLMN标识和授权的访问WLAN网络标识,可选地,还可以包括授权的3GPP访问PLMN标识和授权的访问WLAN网络标识之间的对应关系。
例如:授权的访问网络列表包括授权的访问CSN网络标识,也可以包括授权的访问ASN网络标识,还可以同时包括授权的访问CSN标识和授权的访问ASN网络标识,可选地,还可以包括授权的访问CSN标识和授权的访问ASN网络标识之间的对应关系。
在该步骤中,3GPP系统中的用户信息存储单元一般是指归属位置寄存器(HLR)或归属用户服务器(HSS)。
用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Server-Assignment-Request/-Answer(SAR/SAA)消息等。
在该步骤中,用户信息存储单元可以先判断一次用户是否有权接入其选择的访问网络,如果用户有权接入,则向用户返回认证或/和授权信息和用户授权的访问网络列表;如果用户无权接入其选择的访问网络,则用户信息存储单元就会拒绝用户信息获取单元的认证和授权请求,并可能说明相应的原因。
步骤1c.用户信息应用单元对比从步骤1a中收到的访问网络标识和从步骤1b中收到的访问网络列表中的信息,判断用户是否有权接入其选择的访问网络;
1d.如果步骤1c中判断用户合法且有权使用其选择的网络(包括无线接入网络、核心网络、连接性服务网络等),则向用户返回接入认证、授权成功应答;
如果步骤1c中判断用户无权使用其选择的网络或用户不合法,则向用户返回接入认证、授权拒绝应答。
可选地,在成功和/或失败应答中,用户信息应用单元将针对该用户的授权的访问网络列表发送给用户终端,用户终端更新其内部存储的访问网络列表。
可选地,发送给用户终端的授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP(可扩展认证协议)消息等。
上述方法一的具体应用实施例之一如图7所示,包括如下步骤:
步骤1.无线局域网用户终端(WLAN UE)、无线局域网接入网络(WLANAN)和3GPPAAA服务器(3GPP AAA Server)之间进行接入认证、授权操作。用户选择的WLAN AN的标识如果存在,也发送给3GPP AAA Server。在漫游情况下,用户选择一个3GPP访问公共陆地移动网络(VPLMN)作为认证授权信令的路径,WLAN UE、WLAN AN到3GPP AAA Server之间的AAA消息需要通过位于VPLMN中的3GPP AAA Proxy转发,AAA消息中也包括3GPPVPLMN标识。
步骤2.3GPP AAA Server从HLR/HSS获取用于认证的安全信息和用于对用户进行授权的授权信息,在授权信息中包括针对该用户的授权的访问网络列表信息。
步骤3.3GPP AAA Server利用从HLR/HSS获得的安全信息和授权信息判断用户是否是合法用户,并且是否被授权接入其所选择的访问网络。
步骤4.3GPPAAA Server根据步骤3的判断结果,向WLAN UE返回认证、授权应答。在应答消息中,可以携带针对该用户的授权的访问网络列表信息。
上述方法一的具体应用实施例之二如图8所示,包括如下步骤:
步骤1.移动用户台(MSS)、接入服务网络-网关(ASN-GW)和归属CSN AAA服务器(Home CSN AAA Server)之间进行接入认证、授权操作。用户选择的ASN的标识如果存在,也发送给AAA Server。在漫游情况下,用户选择一个访问CSN网络作为认证授权信令的路径,MSS、ASN-GW到HomeCSN AAA Server之间的AAA消息需要通过用户选择的访问网络中的访问CSNAAA代理(Visited CSN AAA Proxy)转发,AAA消息中也包括访问CSN网络的标识。
步骤2.Home CSN AAA Server从用户数据库(subscriber database)获取用于认证的安全信息和用于对用户进行授权的授权信息,在授权信息中包括针对该用户的授权的访问网络列表信息。
步骤3.Home CSN AAA Server利用从subscriber database获得的安全信息和授权信息判断用户是否是合法用户,并且是否被授权接入其所选择的访问网络。
步骤4.Home CSN AAA Server根据步骤3的判断结果,向MSS返回认证、授权应答。在应答消息中,可以携带针对该用户的授权的访问网络列表信息。
说明:在AAA消息和认证消息的传递过程中,ASN-GW起的是NAS和EAP proxy的角色,根据具体网络的结构和部署,基站(BS)也能够替代ASN-GW起同样的作用。
本发明提供的方法二原理图如图9所示,包括如下步骤:
步骤1a.用户终端、无线接入网络和用户信息应用单元之间进行接入认证和授权。如果用户选择的接入网络标识存在,也需要带给用户信息应用单元,例如:用户选择用来接入网络的WLAN标识,在非漫游情况下,WLAN标识为归属WLAN标识,在漫游情况下,WLAN标识为漫游WLAN标识。在漫游情况下认证、授权请求中包括用户选择的访问网络标识和用户的永久的或临时的身份标识符。在该步骤中,如果是在3GPP系统中,用户信息应用单元一般是指认证、授权和计费(AAA)服务器;具体的访问网络标识和用户身份标识符如前所述,不再重述。
步骤1b.用户信息应用单元判断用户选择的接入网络和/或核心网络是否发生变化,如果发生了变化,则执行步骤1c。
步骤1c.用户信息应用单元要求用户信息存储单元判断用户是否有权接入其选择的访问网络。
步骤1d.用户信息存储单元判断用户是否有权接入其选择的访问网络,执行步骤1e。
该步骤可以利用用户信息单元向用户信息存储单元获取认证、授权信息的过程进行,具体见下面的实施例图10、图11。
该步骤也可以利用用户信息单元向用户信息存储单元发送专门的判断请求进行,具体见下面的实施例图12、图13和图14。
步骤1e.如果判断结果为用户有权接入其选择的访问网络,则向用户信息应用单元返回允许接入确认消息,否则返回拒绝接入确认消息。
步骤1f.如果判断用户合法且有权使用其选择的接入网络,则向用户返回接入认证、授权成功应答;如果判断用户无权使用其选择的接入网络或用户不合法,则向用户返回接入认证、授权拒绝应答。
上述方法二的具体应用实施例之一如图10所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤:
步骤1.WLAN UE已经通过WLAN AN1完成了接入认证和授权,可以通过WLAN AN1接入业务。
步骤2.由于一些特定的原因(例如切换),导致WLAN UE需要通过WLAN AN2接入网络,因此,WLAN UE、WLAN AN2和3GPP AAA Server之间进行接入认证、授权操作。用户选择的WLAN AN2的标识发送给3GPPAAA Server。在漫游情况下,用户选择一个3GPP VPLMN作为认证授权信令的路径,WLAN UE、WLAN AN2到3GPP AAA Server之间的AAA消息需要通过位于3GPP VPLMN中的3GPP AAA Proxy转发,AAA信令中也包括3GPPVPLMN标识。
步骤3.3GPP AAA Server根据步骤2带上来的WLAN AN2的标识判断用户选择的WLAN AN发生了变化,则需要HLR/HSS确认用户是否有权接入其切换后的WLAN AN2;
此时,如果3GPPAAA Server上存储有用户的认证、授权信息,3GPPAAAServer可以不必从HLR/HSS获取认证和授权信息,仅需向HLR/HSS发起确认请求;如果3GPP AAA Server上没有存储用户的认证、授权信息,或存储的该用户认证、授权信息不再有效,则3GPP AAA Server还需要从HLR/HSS获取该用户的认证和授权信息。
3GPP AAA Server向HLR/HSS发起确认请求,要求HLR/HSS确认用户是否有权接入切换后的WLAN AN2,可以通过SAR/SAA消息中的服务器分配类型(Server-Assignment-Type)属性增加新的参数来实现。
如果3GPP AAA Server中没有可用的认证信息,则3GPP AAA Server向HSS获取认证信息,在此过程中HLR/HSS验证用户是否有权接入其选择的访问网络;如果3GPP AAA Server中没有可用的授权信息,则3GPP AAA Server向HSS发送授权请求,获取授权信息,在此过程中HLR/HSS可以验证用户是否有权接入其选择的访问网络。
步骤4.HLR/HSS根据其存储的用户授权的访问WLAN网络列表,判断用户是否有权接入WLAN AN2,如果无权,则向3GPP AAA Server返回失败/拒绝应答,并且不返回请求的认证和授权信息;如果用户有权接入WLANAN2,则向3GPP AAA Server返回允许接入确认消息,以及用于认证的安全信息和授权信息。
步骤5.若3GPP AAA Server接收到HLR/HSS返回的允许接入确认消息,并利用从HLR/HSS获得的安全信息和授权信息判断用户是合法用户,则向WLAN UE返回认证、授权成功应答;否则,返回失败应答,拒绝WLAN UE从WLAN AN2接入网络。
上述方法二的具体应用实施例之二如图11所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤:
步骤1.WLAN UE已经通过WLAN AN和VPLMN1完成了接入认证和授权,可以通过WLAN AN接入业务。
步骤2.在漫游情况下,用户选择一个3GPP VPLMN作为认证授权信令的路径,WLAN UE、WLAN AN到3GPP AAA Server之间的AAA消息需要通过位于3GPP VPLMN中的3GPP AAA Proxy转发,AAA信令中也包括3GPPVPLMN标识。由于一些特定的原因(例如切换),导致WLAN UE需要通过VPLMN2接入网络,因此,WLAN UE、VPLMN2和3GPPAAA Server之间进行接入认证、授权操作。用户选择的WLAN AN的标识如果存在,也发送给3GPP AAA Server。
步骤3.3GPP AAA Server根据步骤2上报的VPLMN的标识判断用户选择的VPLMN发生了变化,无论此时3GPPAAA Server是否有用户的认证、授权信息,例如还有未用的认证向量,都从HLR/HSS获取认证和授权信息。
如果3GPP AAA Server判断出VPLMN没有发生变化,但3GPP AAA Server上没有存储用户的认证、授权信息,或存储用户的认证、授权信息不再有效,3GPP AAA Server也需要从HLR/HSS获取认证和授权信息。
步骤4.HLR/HSS根据其存储的授权的访问网络列表,需要判断用户是否有权接入VPLMN2,如果无权,则向3GPP AAA Server返回失败/拒绝应答,并且不返回请求的认证和授权信息;如果用户有权接入VPLMN2,则向3GPPAAA Server返回允许接入确认消息,以及用于认证的安全信息和授权信息。
步骤5. 若3GPP AAA Server接收到HLR/HSS返回的允许接入确认消息,并利用从HLR/HSS获得的安全信息和授权信息判断用户是合法用户,则向WLAN UE返回认证、授权成功应答;否则,返回失败应答,拒绝WLAN UE从VPLMN2接入网络。
上述方法二的具体应用实施例之三如图12所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤:
步骤1.同图9的步骤1a,不重述;
步骤2.用户信息应用单元判断用户选择的接入网络和/或核心网络是否发生变化,如果发生了变化,则执行步骤3,否则执行步骤4;
步骤3.如果此时用户信息应用单元中有可用的认证和/或授权信息,则可以向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络;此步骤可以通过Diameter的RAR/RAA消息来要求HSS判断;
如果此时用户信息应用单元中没有可用的认证信息,则用户信息应用单元向用户信息存储单元发送认证请求,获取认证信息,在此过程中用户信息存储单元验证用户是否有权接入其选择的访问网络;
如果此时用户信息应用单元中没有可用的授权信息,则用户信息应用单元向用户信息存储单元发送授权请求,获取授权信息,在此过程中用户信息存储单元也可以验证用户是否有权接入其选择的访问网络;
步骤4.同图9的步骤1f,不重述。
上述方法二的具体应用实施例之四如图13所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤:
步骤1-3.同图10的步骤1-3,不重述;
步骤4.3GPP AAA Server向HLR/HSS发起请求(携带WLAN标识),确定用户是否有权接入其选择的WLAN AN;HLR/HSS根据其存储的授权的访问网络列表中的WLAN部分确定用户是否有权接入其选择的访问网络,并向3GPP AAA Server返回应答;
步骤5.同图10步骤5,不重述。
上述方法二的具体应用实施例之五如图14所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤:
步骤1-3.同图11的步骤1-3,不重述;
步骤4.3GPP AAA Server向HLR/HSS发起请求(携带VPLMN标识),确定用户是否有权接入其选择的VPLMN;HLR/HSS根据其存储的授权的访问网络列表中的VPLMN部分确定用户是否有权接入其选择的访问网络,并向3GPP AAA Server返回应答;
步骤5.同图11的步骤5,不重述。
本发明以上提供的实施例图10和11,与实施例图12、13和14的不同之处在于:
实施例图10和11中,如果3GPP AAA Server判断出当前用户选择的访问网络发生了变化,就一定去HSS获取认证、授权信息,而不管此时3GPPAAAServer自身中是否还有可用的认证信息,在此过程中,HSS就判断用户是否可以接入其选择的访问网络。这个过程是利用Diameter的SAR/SAA消息完成的。
实施例图12、13和14中,如果3GPP AAA Server判断出当前用户选择的访问网络发生了变化,但同时3GPP AAA Server自身中还有可用的认证信息,则3GPP AAA Server向HSS发出请求,只要求HSS判断用户用户选择的访问网络是否被允许,而不从HSS获取认证、授权信息。这个过程可以利用Diameter的RAR/RAA消息完成。
本发明还提供用户终端存储的授权网络列表更新方法,包括如下三种具体的更新方法。
方法一:用户终端周期性发起授权访问网络列表更新请求,参见图15,具体步骤包括:
2a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授权;
2b.用户终端向用户信息应用单元发送授权的访问网络列表更新请求消息,请求用户信息应用单元向其提供针对该用户的授权的访问网络列表信息,在该消息中包括用户的永久的或临时的身份标识符;
2c.可选地,用户信息应用单元对用户进行认证和授权,判断用户是否合法(可能需要和用户信息存储单元进行交互),如果用户不合法,则向用户终端返回授权的访问网络列表更新请求拒绝应答,可能还会指明原因,并终止后续流程;如果用户合法,则继续执行下列步骤;如果执行了前述步骤2a,则该步骤2c可以省略;
2d.用户信息应用单元从用户信息存储单元获取授权的访问网络列表;用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Server-Assignment-Request/-Answer(SAR/SAA)消息,AAR/AAA消息等;
2e.用户信息应用单元向用户终端返回授权的访问网络列表更新请求应答消息,消息中携带该用户的授权的访问网络列表信息。
可选地,发送给用户终端的授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP消息等。
方法二:用户信息存储单元发送授权访问网络列表更新通知,参见图16,
具体步骤包括:
3a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授权;
3b.用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息,在该消息中带有用户的身分标识(永久标识和临时标识),要求用户信息应用单元通知用户更新授权的访问网络列表;
3c.用户信息应用单元判断用户是否在线,如果在线,则向用户终端发送授权的访问网络列表更新通知消息,如果用户不在线,用户信息应用单元可以向用户信息存储单元返回应答,告知用户不在线,无法通知用户更新,也可以将通知消息暂存一段时间,在这段时间内如果用户上线,则通知用户,如果这段时间内用户没有上线,则向用户信息存储单元返回应答,告知无法通知用户更新;
3d.用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息,请求用户信息应用单元向其提供针对该用户授权的访问网络列表信息,在该消息中包括用户的永久的或临时的身份标识符;
3e.可选地,用户信息应用单元对用户进行认证和授权,判断用户是否合法(可能需要和用户信息存储单元进行交互),如果用户不合法,则向用户终端返回授权的访问网络列表更新请求拒绝应答,可能还会指明原因,并终止后续流程;如果用户合法,则继续执行下列步骤;如果执行了前述步骤3a,则该步骤3e可以省略;
3f.用户信息应用单元从用户信息存储单元获取用户授权的访问网络列表;用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Server-Assignment-Request/-Answer(SAR/SAA)消息,AAR/AAA消息等;
3g.用户信息应用单元向用户终端返回授权的访问网络列表更新请求应答消息,消息中携带该用户的授权的访问网络列表信息。
可选地,发送给用户终端的授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP消息等。
方法三:用户信息存储单元推送授权的访问网络列表,参见图17,具体步骤包括:
4a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授权;
4b.用户信息存储单元向用户信息应用单元推送(PUSH)更新的授权的访问网络列表信息,在该消息中带有用户的身分标识(永久标识和临时标识),要求用户信息应用单元通知用户更新授权的访问网络列表;
用户信息存储单元向用户信息应用单元推送授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Push-Profile-Request/-Answer(PPR/PPA)消息,AAR/AAA消息等,RADIUS协议的Change-of-Authorisation(CoA)消息等;
4c.用户信息应用单元向用户终端推送(PUSH)更新的授权的访问网络列表信息;
用户信息应用单元向用户终端推送授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Push-Profile-Request/-Answer(PPR/PPA)消息,AAR/AAA消息等,RADIUS协议的Change-of-Authorisation(CoA)消息等;
可选地,发送给用户终端地授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP消息等;
4d.可选地,用户终端向用户信息应用单元返回授权的访问网络列表信息更新确认,用户信息应用单元再将确认消息发送给用户信息存储单元。
在流程2a-2e、3a-3g、4a-4d中,用户信息应用单元可以是认证、授权和计费服务器,也可以是特定的用于用户软件、信息升级的应用服务器,或其他通用应用服务器;用户存储应用单元可以是归属位置寄存器(HLR)或归属用户服务器(HSS),也可以是其他用户信息存储数据库。
根据本发明的上述方法,本发明提供一种无线网络接入控制装置,其具体结构示意图如图18所示,包括:用户信息应用单元和用户信息存储单元。
用户信息应用单元接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元中获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答。
用户信息应用单元具体结构包括:认证、授权处理模块、第二存储模块和第二判断模块。其中:
认证、授权处理模块接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答;
当认证、授权处理模块收到用户终端通过无线网络发起的接入认证、授权请求时发送给第二判断模块,并从用户信息存储模块中获取用户授权的访问网络列表信息,保存到本地的第二存储模块中;
第二判断模块根据第二存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给认证、授权处理模块。
用户信息存储单元存储用户授权的访问网络列表信息和用于认证、授权的用户信息,确认用户是否有权接入其选择的访问网络,并将确认结果信息发送给用户信息应用单元。
用户信息存储单元的具体结构包括:消息发送/接收模块、第一存储模块和第一判断模块;
当消息发送/接收模块接收到用户信息应用单元中的认证、授权处理模块发起的获取用于认证、授权的用户信息的获取请求时,发送给第一判断模块;
第一判断模块根据第一存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给所述消息发送/接收模块;
消息发送/接收模块转发所述判断结果信息给用户信息应用单元中的认证、授权处理模块,通知用户终端。
根据需要,用户信息存储单元和用户信息应用单元可以是独立的模块,分开设置,如3GPP系统中的HLR/HSS和3GPP AAA Server;也可以合设在一个功能实体中,作为功能实体的不同逻辑模块,其间的接口也就成为内部接口。
综上所述,当用户选择访问网络发起认证、授权请求时,本发明提供了一套完整的认证、授权信令流程,采用本发明方法能有效判断出用户是否有权接入其选择的访问网络。
本发明还提供了三种更新用户终端内部存储的访问网络列表信息的方法,使终端中存储的访问网络列表信息与运营商当前授权给该用户的可接入访问网络信息同步更新。
根据本发明提供的上述方法,本发明还提供了一种相对应的用户接入无线网络的控制系统。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (37)
1、一种用户接入无线通信网络的方法,其特征在于包括:
a1、用户选择一访问网络向用户信息应用单元发起接入请求;
b1、用户信息应用单元判断出用户选择的访问网络发生变化,向用户信息存储单元发送确认请求;
c1、用户信息存储单元根据本地存储的用户授权的访问网络列表,确定出用户无权接入其选择的访问网络,向用户信息应用单元返回拒绝接入应答消息;
d1、用户信息应用单元接收到用户信息存储单元返回的拒绝接入应答消息后向用户返回拒绝应答。
2、如权利要求1所述的方法,其特征在于,当用户信息应用单元判断出用户选择的访问网络没有发生变化,则根据用户的认证、授权信息判断该用户是否合法,当判断出用户合法时向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
3、如权利要求1所述的方法,其特征在于,所述步骤b1中,用户信息应用单元向用户信息存储单元发送确认请求,通过一个新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
4、如权利要求1、2或3所述的方法,其特征在于,还包括用户终端按设定周期向用户信息应用单元发送授权的访问网络列表更新请求消息的步骤;用户信息应用单元判断用户为合法用户,则从用户信息存储单元中获取用户授权的访问网络列表发送给该用户终端。
5、如权利要求1、2或3所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息的步骤;用户信息应用单元若判断用户在线,则转发所述更新通知消息给用户终端;
用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息;
用户信息应用单元从用户信息存储单元中获取用户授权的访问网络列表发送给用户终端。
6、如权利要求1、2或3所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元推送授权的访问网络列表信息的步骤;
用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用户终端。
7、如权利要求6所述的方法,其特征在于,还包括用户终端接收到授权的访问网络列表后,向用户信息应用单元返回更新确认消息的步骤;用户信息应用单元再将该更新确认消息转发给用户信息存储单元。
8、如权利要求1、2或3所述的方法,其特征在于,所述用户授权的访问网络列表包括授权的访问接入网络、授权的访问核心网络以及授权的访问连接性服务网络其中之一或其组合。
9、如权利要求8所述的方法,其特征在于,若用户漫游,则用户发起的接入请求通过代理认证、授权和计费服务器转发。
10、一种用户接入无线通信网络的方法,其特征在于包括:
a2、用户选择一访问网络向用户信息应用单元发起接入请求;
b2、用户信息应用单元判断出用户选择的访问网络发生变化,向用户信息存储单元发送确认请求;
c2、用户信息存储单元根据本地存储的用户授权的访问网络列表,确定出用户有权接入其选择的访问网络,向用户信息应用单元返回允许接入应答消息;
d2、用户信息应用单元接收到用户信息存储单元返回的允许接入应答消息,且用户为合法用户,则向用户返回认证、授权成功应答。
11、如权利要求10所述的方法,其特征在于,当用户信息应用单元判断出用户选择的访问网络没有发生变化,则根据用户的认证、授权信息判断该用户是否合法,当判断出用户合法时向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
12、如权利要求10所述的方法,其特征在于,若用户信息应用单元确定出本地存储有该用户的认证、授权有效信息,则使用本地存储的该用户的认证、授权信息对该用户身份进行合法性判断;否则,从用户信息存储单元中获取该用户的认证、授权信息对该用户身份进行合法性判断。
13、如权利要求10所述的方法,其特征在于,若用户信息应用单元确定出本地没有存储该用户的认证、授权信息,则所述步骤b2中,用户信息应用单元还向用户信息存储单元请求获取认证、授权信息;
所述步骤c2中,用户信息存储单元向用户信息应用单元返回的允许接入应答消息中还携带请求的认证、授权信息。
14、如权利要求10所述的方法,其特征在于,所述步骤b2中,用户信息应用单元向用户信息存储单元发送确认请求,通过一个新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
15、如权利要求10-14任意权项所述的方法,其特征在于,还包括用户终端按设定周期向用户信息应用单元发送授权的访问网络列表更新请求消息的步骤;用户信息应用单元判断用户为合法用户,则从用户信息存储单元中获取用户授权的访问网络列表发送给该用户终端。
16、如权利要求10-14任意权项所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息的步骤;用户信息应用单元若判断用户在线,则转发所述更新通知消息给用户终端;
用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息;
用户信息应用单元从用户信息存储单元中获取用户授权的访问网络列表发送给用户终端。
17、如权利要求10-14任意权项所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元推送授权的访问网络列表信息的步骤;
用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用户终端。
18、如权利要求17所述的方法,其特征在于,还包括用户终端接收到授权的访问网络列表后,向用户信息应用单元返回更新确认消息的步骤;用户信息应用单元再将该更新确认消息转发给用户信息存储单元。
19、如权利要求10-14任意权项所述的方法,其特征在于,所述用户授权的访问网络列表包括授权的访问接入网络、授权的访问核心网络以及授权的访问连接性服务网络其中之一或其组合。
20、如权利要求19所述的方法,其特征在于,若用户漫游,则用户发起的接入认证、授权请求通过代理认证、授权和计费服务器转发。
21、一种用户接入无线通信网络的方法,其特征在于包括:
A、用户选择一访问网络向用户信息应用单元发起接入请求;
B、用户信息应用单元向用户信息存储单元发起认证、授权信息获取请求;
C、所述用户信息存储单元向所述用户信息应用单元下发包含该用户授权的访问网络列表的认证、授权信息;
D、所述用户信息应用单元根据接收的认证、授权信息判断用户是否合法;并根据用户授权的访问网络列表,判断用户选择的访问网络标识是否包含在该用户授权的访问网络列表中,若用户合法且选择的访问网络标识包含在所述用户授权的访问网络列表中,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
22、如权利要求21所述的方法,其特征在于,所述步骤C前还包括:所述用户信息存储单元判断当前用户是否有权接入其选择的访问网络,若是,则执行所述步骤C;否则,用户信息存储单元拒绝用户信息应用单元发起的获取请求。
23、如权利要求22所述的方法,其特征在于,若用户信息存储单元拒绝用户信息应用单元发起的获取请求,则向用户信息应用单元返回获取请求拒绝应答,并携带拒绝原因。
24、如权利要求21所述的方法,其特征在于,所述步骤C中,用户信息存储单元向用户信息应用单元下发用户授权的访问网络列表时,使用新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
25、如权利要求21所述的方法,其特征在于,用户信息应用单元在向用户返回成功应答或拒绝应答中,将该用户授权的访问网络列表发送给用户终端。
26、如权利要求25所述的方法,其特征在于,所述用户信息应用单元将该用户授权的访问网络列表加密后发送给用户终端。
27、如权利要求21-26任意权项所述的方法,其特征在于,还包括用户终端按设定周期向用户信息应用单元发送授权的访问网络列表更新请求消息的步骤;用户信息应用单元判断用户是否合法,若为合法用户,则从用户信息存储单元中获取用户授权的访问网络列表,或将本地保存的用户授权的访问网络列表发送给该用户终端。
28、如权利要求21-26任意权项所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息的步骤;用户信息应用单元若判断用户在线,则转发所述更新通知消息给用户终端;
用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息;
用户信息应用单元从用户信息存储单元中获取用户授权的访问网络列表发送给用户终端。
29、如权利要求21-26任意权项所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元推送授权的访问网络列表信息的步骤;
用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用户终端。
30、如权利要求29所述的方法,其特征在于,还包括用户终端接收到授权的访问网络列表后,向用户信息应用单元返回更新确认消息的步骤;用户信息应用单元再将该更新确认消息转发给用户信息存储单元。
31、一种无线网络接入控制装置,其特征在于包括:
用户信息应用单元:用于接收用户终端通过无线网络发起的接入请求;在判断出用户选择的访问网络发生变化后,向用户信息存储单元发送确认请求;接收用户信息存储单元返回的确认结果,结合对用户身份合法性的判断结果,向用户终端返回认证、授权请求成功应答或拒绝应答;
用户信息存储单元:用于存储包含用户授权的访问网络列表的认证、授权信息,接收用户信息应用单元发起的确认请求,确认用户是否有权接入其选择的访问网络,并将确认结果信息发送给用户信息应用单元。
32、如权利要求31所述的装置,其特征在于,所述用户信息存储单元包括:消息发送/接收模块、第一存储模块和第一判断模块;
当消息发送/接收模块接收到所述认证、授权处理模块发起的确认请求时,发送给第一判断模块;
第一判断模块根据第一存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给所述消息发送/接收模块;
所述消息发送/接收模块转发所述判断结果信息给用户信息应用单元。
33、如权利要求31所述的装置,其特征在于,所述用户信息应用单元为独立的具有外部接口的网络实体;或为现有网络功能实体的逻辑模块。
34、如权利要求33所述的装置,其特征在于,所述现有网络功能实体为3GPP认证、授权和计费服务器。
35、如权利要求31所述的装置,其特征在于,所述用户信息存储单元为独立的具有外部接口的网络实体;或为现有网络功能实体的逻辑模块。
36、如权利要求35所述的装置,其特征在于,所述现有网络功能实体为归属位置寄存器或归属用户服务器。
37、一种无线网络接入控制装置,其特征在于包括:
用户信息应用单元:用于接收用户终端通过无线网络发起的接入请求;向用户信息存储单元发起认证、授权信息获取请求;根据接收的包含用户授权的访问网络列表的认证、授权信息判断用户是否合法;并根据用户授权的访问网络列表,判断用户选择的访问网络标识是否包含在该用户授权的访问网络列表中,当用户合法且选择的访问网络标识包含在所述用户授权的访问网络列表中,向用户返回认证、授权成功应答;否则向用户返回拒绝应答;
用户信息存储单元:用于存储包含用户授权的访问网络列表的认证、授权信息,接收用户信息应用单元发起的获取请求,向所述用户信息应用单元下发本地存储的包含该用户授权的访问网络列表的认证、授权信息。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100902942A CN1327663C (zh) | 2005-08-12 | 2005-08-12 | 用户接入无线通信网络的方法和无线网络接入控制装置 |
| EP06761506.2A EP1914936B1 (en) | 2005-08-12 | 2006-07-20 | An access control method of the user altering the visited network, the unit and the system thereof |
| PCT/CN2006/001771 WO2007019771A1 (en) | 2005-08-12 | 2006-07-20 | An access control method of the user altering the visited network, the unit and the system thereof |
| CNA2006800116340A CN101156364A (zh) | 2005-08-12 | 2006-07-20 | 一种用户改变访问网络的接入控制方法、单元及系统 |
| US12/029,325 US8776184B2 (en) | 2005-08-12 | 2008-02-11 | Method, system and apparatus for accessing a visited network |
| US14/287,821 US9392435B2 (en) | 2005-08-12 | 2014-05-27 | Method, system and apparatus for accessing a visited network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100902942A CN1327663C (zh) | 2005-08-12 | 2005-08-12 | 用户接入无线通信网络的方法和无线网络接入控制装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1794676A CN1794676A (zh) | 2006-06-28 |
| CN1327663C true CN1327663C (zh) | 2007-07-18 |
Family
ID=36805956
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100902942A Active CN1327663C (zh) | 2005-08-12 | 2005-08-12 | 用户接入无线通信网络的方法和无线网络接入控制装置 |
| CNA2006800116340A Pending CN101156364A (zh) | 2005-08-12 | 2006-07-20 | 一种用户改变访问网络的接入控制方法、单元及系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800116340A Pending CN101156364A (zh) | 2005-08-12 | 2006-07-20 | 一种用户改变访问网络的接入控制方法、单元及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8776184B2 (zh) |
| EP (1) | EP1914936B1 (zh) |
| CN (2) | CN1327663C (zh) |
| WO (1) | WO2007019771A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8776184B2 (en) | 2005-08-12 | 2014-07-08 | Huawei Technologies Co., Ltd. | Method, system and apparatus for accessing a visited network |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102189B (zh) | 2006-07-05 | 2011-06-22 | 华为技术有限公司 | 一种实现多种媒体接入的网关系统和方法 |
| WO2008090163A1 (en) * | 2007-01-23 | 2008-07-31 | Nokia Corporation | Network search, selection and entry in wimax |
| US20090089434A1 (en) * | 2007-09-28 | 2009-04-02 | Creamer Thomas E | Method and system for saving and retrieving client-specific information in an internet protocol multimedia subsystem |
| CN101552987B (zh) * | 2008-03-31 | 2011-11-16 | 华为技术有限公司 | 防止认证向量被滥用的方法、装置和系统 |
| JP4844611B2 (ja) * | 2008-09-30 | 2011-12-28 | ブラザー工業株式会社 | 無線通信装置、接続方法及びプログラム |
| KR20100102026A (ko) * | 2009-03-10 | 2010-09-20 | 주식회사 케이티 | 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말 |
| CN102137382B (zh) * | 2010-10-08 | 2014-12-03 | 华为技术有限公司 | 实现网络保持的方法、应用服务器及实现网络保持的系统 |
| CN103765933A (zh) * | 2011-09-06 | 2014-04-30 | 英特尔公司 | 用于漫游服务的优选被访问nsp的信令 |
| US9497688B2 (en) * | 2011-09-23 | 2016-11-15 | Certicom Corp. | Managing mobile device applications in a wireless network |
| CN102916981A (zh) * | 2012-11-20 | 2013-02-06 | 北京恒华伟业科技股份有限公司 | 网络权限的控制方法和装置 |
| US11206532B2 (en) | 2013-02-20 | 2021-12-21 | Comcast Cable Communications, Llc | Method and systems for pairing a mobile device with a wireless network |
| CN105075345B (zh) * | 2013-03-26 | 2019-06-14 | 华为技术有限公司 | 用于无线网络选择的系统和方法 |
| US9832593B2 (en) * | 2014-03-21 | 2017-11-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Accessing data services while roaming |
| CN104080083A (zh) * | 2014-06-25 | 2014-10-01 | 珠海市君天电子科技有限公司 | 无线网络管理方法和装置 |
| US9871828B2 (en) * | 2014-07-18 | 2018-01-16 | T-Mobile Usa, Inc. | Enhanced IMS services restriction and selection control for mobile devices roaming in foreign networks |
| US9544444B2 (en) * | 2014-09-15 | 2017-01-10 | Verizon Patent And Licensing Inc. | Differentiated MMS billing based on roaming status determination of user devices |
| CN104363631B (zh) * | 2014-10-24 | 2019-03-08 | 小米科技有限责任公司 | 无线路由器的连接方法、装置和系统 |
| WO2016125082A1 (en) * | 2015-02-03 | 2016-08-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Signaling interface to support real-time traffic steering networks |
| EP3343963B1 (en) | 2015-08-26 | 2020-01-15 | LG Electronics Inc. | Method for obtaining operator network identification number of visited network |
| CN105376224A (zh) * | 2015-11-02 | 2016-03-02 | 深圳市广和通无线股份有限公司 | Wifi接入鉴权方法及其装置 |
| US10015671B2 (en) | 2016-01-19 | 2018-07-03 | T-Mobile Usa, Inc. | Network service access control |
| EP3718345B1 (en) * | 2017-11-30 | 2021-07-07 | Telefonaktiebolaget LM Ericsson (publ) | Core network allocation handling |
| US10945198B2 (en) | 2017-12-22 | 2021-03-09 | Lenovo (Singapore) Pte. Ltd. | Network slice selection assistance information configuration |
| CN110602024B (zh) * | 2018-06-13 | 2021-12-21 | 中国电信股份有限公司 | 用户终端二次认证方法和系统、接入和移动性管理装置 |
| WO2020034107A1 (zh) * | 2018-08-14 | 2020-02-20 | Oppo广东移动通信有限公司 | 一种网络接入方法、终端设备及网络设备 |
| KR102645975B1 (ko) * | 2020-04-30 | 2024-03-12 | 삼성전자주식회사 | 민감한 사용자 평면 트래픽을 보호하는 방법 및 장치 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1432247A (zh) * | 2000-05-30 | 2003-07-23 | 诺基亚有限公司 | 控制订户到网络的应用级接入的系统和方法 |
| WO2004008683A2 (en) * | 2002-07-16 | 2004-01-22 | Haim Engler | Automated network security system and method |
| CN1610319A (zh) * | 2003-10-22 | 2005-04-27 | 华为技术有限公司 | 无线局域网中选定业务的解析接入处理方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6421339B1 (en) * | 1998-06-12 | 2002-07-16 | Nortel Networks Limited | Methods and systems for call forwarding |
| US6725036B1 (en) * | 2000-05-30 | 2004-04-20 | Nokia Telecommunications Ojy | System and method of controlling application level access of a subscriber to a network |
| US6970445B2 (en) * | 2001-06-14 | 2005-11-29 | Flarion Technologies, Inc. | Methods and apparatus for supporting session signaling and mobility management in a communications system |
| US6954442B2 (en) * | 2001-06-14 | 2005-10-11 | Flarion Technologies, Inc. | Methods and apparatus for using a paging and location server to support session signaling |
| US6871070B2 (en) * | 2001-07-31 | 2005-03-22 | Lucent Technologies Inc. | Communication system for providing roaming between an internet protocol multimedia system and a circuit-switched domain |
| EP1317159A1 (en) * | 2001-11-30 | 2003-06-04 | Motorola, Inc. | Authentication, authorisation and accounting for a roaming user terminal |
| KR100974243B1 (ko) * | 2003-06-30 | 2010-08-06 | 텔레콤 이탈리아 소시에떼 퍼 아찌오니 | 통신망에서의 망 선택 방법 및 관련된 통신망과 이를 위한컴퓨터 프로그램 제품 |
| CN1265589C (zh) * | 2003-07-31 | 2006-07-19 | 华为技术有限公司 | 无线局域网中用户终端选择接入移动网的优化交互方法 |
| US7461248B2 (en) | 2004-01-23 | 2008-12-02 | Nokia Corporation | Authentication and authorization in heterogeneous networks |
| MX2007003075A (es) * | 2004-09-15 | 2007-09-11 | Starhome Gmbh | Bloqueo de intentos de redireccionamiento en transito para seleccion de red. |
| US7590732B2 (en) * | 2004-10-08 | 2009-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing originated from a local access network involving intermediary network preferences |
| US7292592B2 (en) * | 2004-10-08 | 2007-11-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Home network-assisted selection of intermediary network for a roaming mobile terminal |
| US7298725B2 (en) * | 2004-10-08 | 2007-11-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing initiated from a home service network involving intermediary network preferences |
| US20070100981A1 (en) * | 2005-04-08 | 2007-05-03 | Maria Adamczyk | Application services infrastructure for next generation networks including one or more IP multimedia subsystem elements and methods of providing the same |
| DE602005020362D1 (de) * | 2005-06-11 | 2010-05-12 | Ericsson Telefon Ab L M | Vorrichtung und Verfahren zur Auswahl eines besuchten Netzes |
| CN1327663C (zh) | 2005-08-12 | 2007-07-18 | 华为技术有限公司 | 用户接入无线通信网络的方法和无线网络接入控制装置 |
-
2005
- 2005-08-12 CN CNB2005100902942A patent/CN1327663C/zh active Active
-
2006
- 2006-07-20 CN CNA2006800116340A patent/CN101156364A/zh active Pending
- 2006-07-20 WO PCT/CN2006/001771 patent/WO2007019771A1/zh active Application Filing
- 2006-07-20 EP EP06761506.2A patent/EP1914936B1/en active Active
-
2008
- 2008-02-11 US US12/029,325 patent/US8776184B2/en active Active
-
2014
- 2014-05-27 US US14/287,821 patent/US9392435B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1432247A (zh) * | 2000-05-30 | 2003-07-23 | 诺基亚有限公司 | 控制订户到网络的应用级接入的系统和方法 |
| WO2004008683A2 (en) * | 2002-07-16 | 2004-01-22 | Haim Engler | Automated network security system and method |
| CN1610319A (zh) * | 2003-10-22 | 2005-04-27 | 华为技术有限公司 | 无线局域网中选定业务的解析接入处理方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8776184B2 (en) | 2005-08-12 | 2014-07-08 | Huawei Technologies Co., Ltd. | Method, system and apparatus for accessing a visited network |
| US9392435B2 (en) | 2005-08-12 | 2016-07-12 | Huawei Technologies Co., Ltd. | Method, system and apparatus for accessing a visited network |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1914936B1 (en) | 2013-04-17 |
| US9392435B2 (en) | 2016-07-12 |
| WO2007019771A1 (en) | 2007-02-22 |
| US20090049526A1 (en) | 2009-02-19 |
| US8776184B2 (en) | 2014-07-08 |
| EP1914936A1 (en) | 2008-04-23 |
| EP1914936A4 (en) | 2008-09-24 |
| CN1794676A (zh) | 2006-06-28 |
| US20140273969A1 (en) | 2014-09-18 |
| CN101156364A (zh) | 2008-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1327663C (zh) | 用户接入无线通信网络的方法和无线网络接入控制装置 | |
| US9332575B2 (en) | Method and apparatus for enabling connectivity in a communication network | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| EP2248322B1 (en) | Methods and apparatus for wireless device registration | |
| CN102802153B (zh) | 使用单个无线用户身份模块在无线链路上同时验证多个设备 | |
| US9716999B2 (en) | Method of and system for utilizing a first network authentication result for a second network | |
| CN101983517B (zh) | 演进分组系统的非3gpp接入的安全性 | |
| EP1495585B1 (en) | Method and system for authenticating user of data transfer device | |
| US20040162998A1 (en) | Service authentication in a communication system | |
| CN104836787A (zh) | 用于认证客户端站点的系统和方法 | |
| CN101459904B (zh) | Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统 | |
| CN105052184A (zh) | 控制用户设备对服务的接入 | |
| EP2873266B1 (en) | Method of accessing a wlan access point | |
| CN108024241B (zh) | 终端接入鉴权方法、系统以及鉴权服务器 | |
| WO2010130118A1 (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
| CN100411335C (zh) | 一种无线局域网中分组数据关口获取用户身份标识的方法 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| KR100444509B1 (ko) | 가입자식별모듈을 사용하는 부호분할다중접속이동통신망에서 가입자의 고유정보에 기반하는 가입자인증방법 및 이를 이용한 부호분할다중접속 시스템 | |
| CN100355251C (zh) | 一种使用更新后的临时用户标识发送数据的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20060628 Assignee: Apple Computer, Inc. Assignor: Huawei Technologies Co., Ltd. Contract record no.: 2015990000755 Denomination of invention: Method of user access radio communication network and radio network cut in control device Granted publication date: 20070718 License type: Common License Record date: 20150827 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |