專利名稱:一種對家用基站設(shè)備進行鑒權(quán)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于家用基站接入移動通信網(wǎng)技術(shù)領(lǐng)域���,具體涉及一種對家用基站設(shè)備進
行鑒權(quán)的方法和系統(tǒng)��。
背景技術(shù):
目前越來越多的跨國運營商希望能夠提供一種ALL in One的無線接入方案�����,即提 供一種無線接入設(shè)備����,這種無線接入設(shè)備能夠提供各種無線接入的功能,用戶在家里使用 該設(shè)備的時候���,運營商可提供資費上的優(yōu)惠��。 在這樣的需求上�����,業(yè)界提出了一種無線接入設(shè)備——Home NodeB(家用基站)����。 Home NodeB作為局部熱點接入解決方案的設(shè)備�����,把局部熱點(例如家庭)中的固網(wǎng)和移 動網(wǎng)兩種通信方式巧妙地結(jié)合起來����,充分利用固定和移動的優(yōu)勢來滿足用戶和運營商的需 求�����。 由于Home NodeB屬于家庭等局部熱點接入設(shè)備�����,運營商希望對接入設(shè)備進行鑒 權(quán)�,因此需要提供有效的方法和系統(tǒng)�����,對于未授權(quán)的設(shè)備在進入PLMN(Public Land Mobile Network,公共陸地移動網(wǎng))之前即拒絕其接入����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種對家用基站設(shè)備進行鑒權(quán)的方 法和系統(tǒng)�,該方法和系統(tǒng)通過對Home NodeB的網(wǎng)絡(luò)標識信息是否在合法范圍內(nèi)進行檢查, 達到拒絕非法設(shè)備接入的目的��。 為解決上述技術(shù)問題��,本發(fā)明是通過以下技術(shù)方案實現(xiàn)的
—種對家用基站設(shè)備進行鑒權(quán)的方法����,包括如下步驟 建立鑒權(quán)數(shù)據(jù)庫,該鑒權(quán)數(shù)據(jù)庫至少存儲了家用基站(Home NodeB)在運營商處簽
約服務(wù)時約定Home NodeB允許接入的有效網(wǎng)絡(luò)范圍信息和身份識別信息����; Home NodeB啟動后,其至少攜帶網(wǎng)絡(luò)標識信息和身份識別信息向安全網(wǎng)關(guān)發(fā)送接
入請求���,所述安全網(wǎng)關(guān)將至少包括網(wǎng)絡(luò)標識信息和身份識別信息的鑒權(quán)請求發(fā)送給鑒權(quán)裝
置����; 鑒權(quán)裝置根據(jù)該Home NodeB的身份識別信息查詢所述鑒權(quán)數(shù)據(jù)庫�,獲取該Home NodeB的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該Home NodeB的網(wǎng)絡(luò)標識信息是 否在合法范圍內(nèi)����,如果在合法范圍內(nèi),則根據(jù)運營商要求決定是否進行其他認證��;否則��,拒 絕接入����; 認證完成后�����,允許接入的Home NodeB與普通基站(NodeB) —樣進入正常業(yè)務(wù)流 程�����。 所述身份識別信息是用戶名及密碼信息和/或設(shè)備標識信息���。 所述網(wǎng)絡(luò)標識信息是IP地址和/或MAC (Media Access Control,介質(zhì)訪問控制)地址。
若網(wǎng)絡(luò)標識信息是IP地址�����,則鑒權(quán)數(shù)據(jù)庫定義的有效網(wǎng)絡(luò)范圍以IP地址和IP網(wǎng)絡(luò)掩碼組合的方式或一個IP地址段的方式表示��;若網(wǎng)絡(luò)標識信息是MAC地址��,則鑒權(quán)數(shù)據(jù)庫定義的有效網(wǎng)絡(luò)范圍以MAC地址和MAC地址通配符(掩碼)組合的方式或一個MAC段的方式表示���。 所述鑒權(quán)裝置若認為該Home NodeB合法����,則賦予其一個合法的能接入移動通信網(wǎng)的IP地址��。該IP地址是一個VPN (Virtual Private Network,虛擬專用網(wǎng))IP地址��,HomeNodeB將利用該VPN IP地址與RNC (Radio Network Controller,無線網(wǎng)絡(luò)控制器)進行業(yè)務(wù)交互���。 —種對家用基站設(shè)備進行鑒權(quán)的系統(tǒng)���,包括 安全網(wǎng)關(guān),用于接收Home NodeB的接入請求��,并發(fā)送至少包括網(wǎng)絡(luò)標識信息和身份識別信息的鑒權(quán)請求��; 鑒權(quán)數(shù)據(jù)庫�,其至少存儲Home NodeB在運營商處簽約服務(wù)時約定Home NodeB允許接入的有效網(wǎng)絡(luò)范圍信息及其身份識別信息; 鑒權(quán)裝置����,接收所述安全網(wǎng)關(guān)發(fā)送的鑒權(quán)請求,根據(jù)Home NodeB的身份識別信息向所述鑒權(quán)數(shù)據(jù)庫進行查詢并獲取該Home NodeB的有效網(wǎng)絡(luò)范圍信息��,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該Home NodeB的網(wǎng)絡(luò)標識信息是否合法�。 采用本發(fā)明所述的方法和系統(tǒng),與現(xiàn)有技術(shù)相比具有以下有益效果
(1)滿足了運營商需要拒絕非法設(shè)備接入的需求����;
(2)滿足了運營商對Home NodeB使用范圍進行限制的需求�;
(3)運營商可根據(jù)Home NodeB所屬的網(wǎng)絡(luò)范圍來劃分服務(wù)范圍�。
圖1是Home NodeB接入時與鑒權(quán)系統(tǒng)交互的流程示意圖; 圖2是通過限制IP地址范圍實現(xiàn)Home NodeB接入鑒權(quán)的一個實施例的示意 圖3是通過限制MAC地址范圍實現(xiàn)Home NodeB接入鑒權(quán)的一個實施例的示意圖�����。
具體實施例方式
為了更好地理解本發(fā)明�,下面結(jié)合附圖和具體實施例對本發(fā)明作進一步地描述。
請參閱圖l��,該圖是Home NodeB接入時與鑒權(quán)系統(tǒng)交互的流程示意圖�����,該鑒權(quán)系統(tǒng)包括安全網(wǎng)關(guān)����、鑒權(quán)數(shù)據(jù)庫和鑒權(quán)裝置。圖2為通過限制IP地址范圍實現(xiàn)Home NodeB接入鑒權(quán)的一個實施例的示意圖�����,該實施例以Home NodeB接入WCDMA移動系統(tǒng)時用到的鑒權(quán)裝置AAAServer為例���。 請參閱圖2����, AAA Server 3為Home NodeB提供鑒權(quán)等業(yè)務(wù)�����,鑒權(quán)數(shù)據(jù)庫2由運營商根據(jù)對Home NodeB的簽約信息進行配置����,至少存儲了 Home NodeB允許接入的有效網(wǎng)絡(luò)范圍信息和身份識別信息。Home NodeB的自身網(wǎng)絡(luò)標識信息以IP地址來表示��,鑒權(quán)數(shù)據(jù)庫2中為HomeNodeB配置了所屬的有效網(wǎng)絡(luò)范圍信息(即合法子網(wǎng))����,以IP地址和IP網(wǎng)絡(luò)掩碼組合的方式或一個IP地址段的方式表示。鑒權(quán)時步驟如下 l)所有Home NodeB在啟動后����,首先向安全網(wǎng)關(guān)1發(fā)起接入請求,發(fā)送接入請求時除了攜帶身份識別信息(如用戶名及密碼信息和/或設(shè)備標識信息)等�,還要攜帶其在Internet上的網(wǎng)絡(luò)標識信息,如IP地址�; 2)安全網(wǎng)關(guān)1將Home NodeB的IP地址填入RADIUS協(xié)議中的VSA(Vendor-SpecificAttribute����,廠商指定屬性)字段中����,與身份識別信息等一起發(fā)送至AAA Server 3 ; 3) AAA Server 3收到來自安全網(wǎng)關(guān)1的鑒權(quán)請求,解析出其請求消息中的HomeNodeB的IP地址��; 4) AAA Server 3從鑒權(quán)數(shù)據(jù)庫2中查詢到該Home NodeB的所有信息��,首先判定該HomeNodeB的IP地址是否處于合法的子網(wǎng)內(nèi)��,如果不合法�����,則直接回拒絕應(yīng)答��,拒絕HomeNodeB的接入��;如果合法����,則根據(jù)運營商要求決定是否進行其他認證; 5) AAA Server 3認為該Home NodeB合法后���,則賦予其一個合法的可以接入移動通信網(wǎng)的IP地址��,該IP地址是一個VPN IP地址����,Home NodeB將利用該VPN IP地址與RNC進行業(yè)務(wù)交互; 6)允許接入的Home NodeB�����,完成初始化工作后�,與RNC進行業(yè)務(wù)交互�,進入正常業(yè)務(wù)流程。 請參閱圖3�����,該圖為通過限制MAC地址范圍實現(xiàn)Home NodeB接入鑒權(quán)的一個實施例的示意圖�����,AAA Server 3為Home NodeB提供鑒權(quán)等業(yè)務(wù)���,Home NodeB的自身網(wǎng)絡(luò)標識信息由其網(wǎng)卡MAC地址來表示���。鑒權(quán)數(shù)據(jù)庫2由運營商根據(jù)對Home NodeB的簽約信息進行配置���,至少存儲了 Home NodeB允許接入的合法的MAC地址范圍和身份識別信息,該合法的MAC地址范圍����,以MAC地址和MAC地址通配符(掩碼)組合的方式或一個MAC地址段的方式表示。MAC地址和MAC地址通配符組合可以是多種形式�,比如可以通過網(wǎng)卡生產(chǎn)廠商號進行限定,也可以通過某些廠商的某些批次的MAC地址進行限定��。鑒權(quán)時步驟如下
1)所有Home NodeB在啟動后����,首先向安全網(wǎng)關(guān)1發(fā)起接入請求,Home NodeB向安全網(wǎng)關(guān)1發(fā)送接入請求時��,除了攜帶身份識別信息(如用戶名及密碼信息和/或設(shè)備標識信息)等�����,還要攜帶其自身的網(wǎng)卡MAC地址����; 2)安全網(wǎng)關(guān)1將Home NodeB的MAC地址填入RADIUS協(xié)議中的VSA字段中����,與身份識別信息等一起發(fā)送至AAA Server 3 ; 3) AAA Server 3收到來自安全網(wǎng)關(guān)1的鑒權(quán)請求���,解析出其請求消息中的HomeNodeB的MAC地址����; 4) AAA Server 3從鑒權(quán)數(shù)據(jù)庫2中查詢到該Home NodeB的所有信息���,首先判定該HomeNodeB的MAC地址是否處于合法的MAC地址范圍內(nèi)���,如果不合法��,則直接回拒絕應(yīng)答���,拒絕Home NodeB的接入���;如果合法,則根據(jù)運營商要求決定是否進行其他認證��;
5)AAA Server 3認為該Home NodeB合法后�����,則賦予其一個合法的可以接入移動通信網(wǎng)的IP,該IP地址是一個VPN IP地址����,Home NodeB將利用該VPN IP地址與RNC進行業(yè)務(wù)交互; 6)允許接入的Home NodeB���,完成初始化工作后�����,與RNC進行業(yè)務(wù)交互����,進入正常業(yè)務(wù)流程��。 從以上實施例可以看出�����,本發(fā)明提出的方法滿足了對Home NodeB進行接入鑒權(quán)的需求����。本鑒權(quán)方法和系統(tǒng)的提出�����,主要是基于對設(shè)備使用范圍的限制��,比如某個Home NodeB只能從某地的某個服務(wù)提供商進行接入PLMN��,如果該設(shè)備從該地的其他服務(wù)提供商或另一地的服務(wù)提供商進行接入�����,則認為該設(shè)備非法��。 以上所述僅為本發(fā)明的較佳實施例���,并不用以限制本發(fā)明,應(yīng)當指出�,對于本領(lǐng)域的普通技術(shù)人員來說����,凡是本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換或改進等�����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
一種對家用基站設(shè)備進行鑒權(quán)的方法��,其特征在于��,包括如下步驟建立鑒權(quán)數(shù)據(jù)庫��,該鑒權(quán)數(shù)據(jù)庫至少存儲了家用基站在運營商處簽約服務(wù)時約定家用基站允許接入的有效網(wǎng)絡(luò)范圍信息和身份識別信息�����;家用基站啟動后����,其至少攜帶網(wǎng)絡(luò)標識信息和身份識別信息向安全網(wǎng)關(guān)發(fā)送接入請求,所述安全網(wǎng)關(guān)將至少包括網(wǎng)絡(luò)標識信息和身份識別信息的鑒權(quán)請求發(fā)送給鑒權(quán)裝置��;鑒權(quán)裝置根據(jù)該家用基站的身份識別信息查詢所述鑒權(quán)數(shù)據(jù)庫�,獲取該家用基站的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該家用基站的網(wǎng)絡(luò)標識信息是否在合法范圍內(nèi)��,如果在合法范圍內(nèi)���,則根據(jù)運營商要求決定是否進行其他認證�����;否則�����,拒絕接入�;認證完成后,允許接入的家用基站與普通基站一樣進入正常業(yè)務(wù)流程����。
2. 根據(jù)權(quán)利要求1所述的對家用基站設(shè)備進行鑒權(quán)的方法,其特征在于�,所述身份識 別信息是用戶名及密碼信息和/或設(shè)備標識信息。
3. 根據(jù)權(quán)利要求1或2所述的對家用基站設(shè)備進行鑒權(quán)的方法��,其特征在于��,所述網(wǎng)絡(luò) 標識信息是IP地址和/或介質(zhì)訪問控制地址�����。
4. 根據(jù)權(quán)利要求3所述的對家用基站設(shè)備進行鑒權(quán)的方法��,其特征在于����,若網(wǎng)絡(luò)標識 信息是IP地址,則鑒權(quán)數(shù)據(jù)庫定義的有效網(wǎng)絡(luò)范圍以IP地址和IP網(wǎng)絡(luò)掩碼組合的方式或 一個IP地址段的方式表示�����;若網(wǎng)絡(luò)標識信息是介質(zhì)訪問控制地址��,則鑒權(quán)數(shù)據(jù)庫定義的有 效網(wǎng)絡(luò)范圍以介質(zhì)訪問控制地址和介質(zhì)訪問控制地址通配符組合的方式或一個介質(zhì)訪問 控制地址段的方式表示�。
5. 根據(jù)權(quán)利要求4所述的對家用基站設(shè)備進行鑒權(quán)的方法,其特征在于����,所述鑒權(quán)裝 置若認為該家用基站合法,則賦予其一個合法的能接入移動通信網(wǎng)的IP地址��。
6. 根據(jù)權(quán)利要求5所述的對家用基站設(shè)備進行鑒權(quán)的方法����,其特征在于,所述IP地址 是一個虛擬專用網(wǎng)IP地址����。
7. —種對家用基站設(shè)備進行鑒權(quán)的系統(tǒng),包括安全網(wǎng)關(guān)���,用于接收家用基站的接入請求�,并發(fā)送至少包括網(wǎng)絡(luò)標識信息和身份識別 信息的鑒權(quán)請求;鑒權(quán)數(shù)據(jù)庫���,其至少存儲家用基站在運營商處簽約服務(wù)時約定家用基站允許接入的有 效網(wǎng)絡(luò)范圍信息及其身份識別信息�����;鑒權(quán)裝置��,接收所述安全網(wǎng)關(guān)發(fā)送的鑒權(quán)請求���,根據(jù)家用基站的身份識別信息向所述 鑒權(quán)數(shù)據(jù)庫進行查詢并獲取該家用基站的有效網(wǎng)絡(luò)范圍信息,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷 該家用基站的網(wǎng)絡(luò)標識信息是否合法���。
全文摘要
本發(fā)明公開了一種對家用基站設(shè)備進行鑒權(quán)的方法和系統(tǒng)��,該系統(tǒng)包括安全網(wǎng)關(guān)�����、鑒權(quán)數(shù)據(jù)庫和鑒權(quán)裝置�。該方法包括步驟建立鑒權(quán)數(shù)據(jù)庫��,該鑒權(quán)數(shù)據(jù)庫至少存儲了運營商允許Home NodeB接入的有效網(wǎng)絡(luò)范圍信息和身份識別信息;Home NodeB啟動后�����,其至少攜帶網(wǎng)絡(luò)標識信息和身份識別信息向安全網(wǎng)關(guān)發(fā)送接入請求�,然后由安全網(wǎng)關(guān)發(fā)送給鑒權(quán)裝置���;鑒權(quán)裝置根據(jù)該Home NodeB的身份識別信息查詢鑒權(quán)數(shù)據(jù)庫�����,獲取該Home NodeB的有效網(wǎng)絡(luò)范圍信息����,根據(jù)有效網(wǎng)絡(luò)范圍信息判斷該Home NodeB的網(wǎng)絡(luò)標識信息是否在合法范圍內(nèi)���,如果不在��,則拒絕接入�����。本發(fā)明滿足了運營商對Home NodeB使用范圍進行限制的需求�,并可根據(jù)Home NodeB所屬的網(wǎng)絡(luò)范圍來劃分服務(wù)范圍。
文檔編號H04L12/46GK101754210SQ200810218248
公開日2010年6月23日 申請日期2008年12月5日 優(yōu)先權(quán)日2008年12月5日
發(fā)明者況正謙, 胡典雄, 趙艷華 申請人:中興通訊股份有限公司