一种准入控制方法及装置的制作方法

专利名称：一种准入控制方法及装置的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种准入控制方法及装置。
背景技术：
WiMAX (Worldwide Interoperability for Microwave Access,
入)技术是以IEEE 802. 16的系列宽频无线标准为基础提出的一种空中接口标准。随着移动通信技术的发展，用户需求越来越多样化，系统设备为了适应这种需求 也出现多样化，备受关注的家庭室内覆盖和企业级的内部覆盖基站以及一些其他受限网络 应运而生，Femtocell (毫微微蜂窝)的通信系统就是为了改善室内的接入环境而出现的。 Femtocell系统包含至少一个FAP (FemtoAccess Point，毫微微接入点)和其他辅助网络功 能，其可以基于多种通信协议构建。在Femtocell系统中定义了 CSG(Closed Subscriber Group，封闭用户群组)，只有属于这个CSG的授权用户才能通过FAP接入到网络中。发明人在实现本发明的过程中发现，在基于WiMAX网络构建的Femtocell系统中， FAP启动后，对请求接入的MS (Mobile Station，移动终端)并没有准入控制机制，无法对请 求接入的MS进行接入控制。

发明内容
本发明实施例提供一种准入控制方法及装置，以对请求接入FAP的MS进行准入控 制，从而只允许授权接入FAP的MS可以接入FAP，其它未授权接入的MS不能够接入FAP。本发明实施例的上述目的是通过如下技术方案实现的一种准入控制方法，所述方法用于在全球微波互联接入网络中对移动终端进行准 入控制，所述方法包括获取移动终端的身份标识信息，以及家庭基站的标识信息；如果所 述移动终端的身份标识信息为所述移动终端的真实身份信息，则根据所述移动终端的真实 身份信息，所述家庭基站的标识信息，以及所述移动终端的准入控制信息对所述移动终端 进行准入控制。一种准入控制装置，所述装置包括第一获取单元，用于获取移动终端的身份标识 信息，以及家庭基站的标识信息；控制单元，用于在所述移动终端的身份标识信息为所述移 动终端的真实身份信息时，根据所述移动终端的身份标识信息、所述家庭基站的标识信息， 以及所述移动终端的准入控制信息对所述移动终端进行准入控制。一种移动终端，所述移动终端包括判断单元，用于判断本移动终端试图接入的基 站是否是家庭基站；处理单元，用于在所述判断单元的判断结果为，本移动终端试图接入的 基站为家庭基站时，将本移动终端的真实身份标识发送给与所述家庭基站相连的接入业务 网网关，由所述接入业务网网关根据所述移动终端的真实身份标识，从所述家庭基站获取 的所述家庭基站的标识，以及获取的所述移动终端的准入控制信息，对所述移动终端进行 准入控制；或者，所述处理单元用于在所述判断单元的判断结果为，本移动终端试图接入的 基站为家庭基站时，将本移动终端的真实身份标识发送给所述家庭基站，并由所述家庭基站将所述移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关，由所述 家庭基站和所述接入业务网网关根据所述移动终端的真实身份标识，从家庭基站获取的家 庭基站标识，以及获取的所述移动终端的准入控制信息，对所述移动终端进行准入控制。通过本实施例的方法及装置，对请求接入FAP的MS进行准入控制，从而只允许授 权接入FAP的MS可以接入FAP，其它未授权接入的MS不能够接入FAP。


此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不 构成对本发明的限定。在附图中图1为在WiMAX协议下构建的Femtocell的系统模型图2为本发明实施例的方法流程图3为图2所示实施例的--种实施方式的流程图4为图2所示实施例的--种实施方式的流程图5为图2所示实施例的--种实施方式的流程图6为图2所示实施例的--种实施方式的流程图7为图2所示实施例的--种实施方式的流程图8为图2所示实施例的--种实施方式的流程图9为图2所示实施例的--种实施方式的流程图10为图2所示实施例的一种实施方式的流程图11为本发明实施例第一实施方式的装置组成框图12为本发明实施例第二至第五实施方式的装置组成框图
图13为本发明实施例的移动终端的组成示意框图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合实施例和附 图，对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本 发明，但并不作为对本发明的限定。实施例一本发明实施例提供一种准入控制方法，该方法应用于在Wimax网络中对移动终端 进行准入控制，以下结合附图对本实施例进行详细说明。图1为在WiMAX协议下构建的Femtocell的系统模型图，如图1所示，其中，FAP 是一种低功耗的基站设备，提供小范围的无线覆盖，主要应用在室内家中和S0H0(Small Office Home Off ice，小型家庭办公)环境，因此又称为毫微微基站或家庭基站或个人基 站。FAP在经过授权的频谱上通过空口接口为移动终端MS提供接入服务。FAP通过有线宽 带网络，例如DSL/IP(Digital Subscriber Line/Internet Protocol ；数字用户线路/ 网络 协议)网络等接入到WiMAX网络后，和其他基站一样由NAP (Network Access Processor，网 络接入提供商)管理，其中的有线宽带网络和WiMAX网络可能属于相同的运营商，也可能属 于不同的运营商。其中，Femto Gff (Femto Gateway，家庭基站网关)是一个接入业务网网关 ASN Gff (Access Service NetworkGateway，简称 ASN GW)，与 FAP 相连，具有控制面和用户
6面的功能。其中，FAP AAA服务器是FAP的签约服务器，它保存有FAP的Profile (档案)。 其中，HAAA(Home Authentication Authorization Accounting,本地认证授权计费)月艮务 器是MS的签约服务器，它保存有MS的Profile。图2为本实施例的方法流程图，请参照图2，本实施例的移动终端的准入控制方法 包括201 获取移动终端的身份标识信息，以及家庭基站的标识信息；其中，家庭基站的标识可以用封闭用户群组的标识来表示，一个封闭用户群组可 能包含多个家庭基站。202:根据所述移动终端的真实身份信息，所述家庭基站的标识信息或封闭用户群 组的标识信息，以及所述移动终端的准入控制信息对所述移动终端进行准入控制。其中，准入控制信息可以是家庭基站允许接入的用户身份标识列表，也可以是用 户身份标识可以接入的家庭基站列表，本实施例并不以此作为限制。其中，准入控制信息可以根据前边获取到的移动终端的身份标识信息，或者家庭 基站的标识信息，或者封闭用户群组的标识，从本地获取，也可以从网络侧保存准入控制信 息的服务器，例如FAP AAA服务器或者HAAA服务器获取，本实施例并不以此作为限制。根据本实施例的实施方式，该准入控制方法可以应用于移动终端请求接入家庭 基站的过程中，也可以应用于移动终端切换到家庭基站的过程中。当应用于移动终端请 求接入家庭基站的过程中时，该移动终端的准入控制方法可以通过WiMAX协议下构建的 Femtocell的系统中的移动终端的签约服务器，家庭基站的签约服务器，家庭基站的接入 业务网网关，或者家庭基站和家庭基站的接入业务网网关来实现；当应用于移动终端切换 到目标家庭基站的过程中时，该移动终端的准入控制方法可以通过WiMAX协议下构建的 Femtocell的系统中的移动终端的服务基站所在的接入业务网网关，或者目标家庭基站的 接入业务网网关来实现，以下将结合不同的实施例对此加以说明。其中，当通过不同的网元实现本发明实施例的方法时，各类信息也将从不同的网 元获取，这也将在下述的实施例中加以说明。通过本实施例的准入控制方法，根据获取到的移动终端的身份标识信息，家庭 基站标识信息或封闭用户群组的标识信息，以及准入控制信息，对WiMAX协议下构建的 Femtocell的系统中的移动终端进行准入控制，达到了只允许授权接入FAP的MS可以接入 FAP，其它未授权接入的MS不能够接入FAP的效果。实施例二本发明实施例还提供一种准入控制方法，该方法应用于移动设备请求接入家庭基 站的过程中，以下结合附图对本实施例进行详细说明。图3为移动终端的签约服务器应用本实施例的方法，在移动终端请求接入家庭基 站的过程中，对移动终端进行准入控制的流程图，如图3所示，在本实施例中，MS为移动终 端，FAP为移动终端请求接入的家庭基站，FemtoGW为家庭基站FAP所在的接入业务网网关， HAAA为移动终端MS的签约服务器，FAP AAA为家庭基站FAP的签约服务器，该流程包括如 下步骤301 :MS和FAP之间进行空口链路建立并完成终端能力协商，在FAP和Femto GW之 间完成终端上下文初始化；
302 =Femto Gff MS ^ EAP Request/Identity (ExtensibleAuthentication Protocol Request/Identity，扩展认证协议请求/身份)消息，请求MS的身份标识；其中，ΕΑΡ-Request消息为EAP认证过程定义的消息，Identity表示该 ΕΑΡ-Request消息的目的为进行身份认证。303 :MS @ Femto Gff U M EAP Response/Identity(ExtensibleAuthenticati on Protocol Response/Identity，扩展认证协议响应/身份)消息，消息中包含MS的 NAI (Network Access Identifier, N^^AfeiK )；^ Φ, T EAP-AKA(ΕΑΡ Extensible Authentication Protocol, ΓMiAilEt^ 议；AKA Authentication and key agreement，认证密钥交换协议)和 EAP-SIM(SIM : Subscriber Identity Module，客户识别模块)认证，消息中携带MS的真实身份标识(真实 ΝΑΙ)；对于 EAP-TLS (TLS transport LayerSecurity，传输层安全协议)、EAP-TTLS (TTLS Tunneled TLS，隧道传输层安全协议)以及 EAP-PEAP (PEAP protected EAP Protocol，被 保护的EAP协议)认证，消息中携带的是MS的假的身份标识(临时ΝΑΙ)，但对于FemtoGW 来说，它并不知道MS发送的身份标识是真实的还是假的。304 =Femto Gff将接收到的MS的身份标识，以及MS请求接入的家庭基站FAP的标 识或封闭用户群组的标识，发送给移动终端的签约服务器HAAA Server ；其中，MS请求接入的家庭基站FAP的标识或封闭用户群组的标识是Femto Gff在 与FAP进行终端上下文初始化的过程中，从FAP获取的，以便后期根据这些信息进行MS的 准入控制。305 =MS 借助 Femto Gff 与 HAAA Server 进行 EAP 的鉴权过程；其中，对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证，在鉴权过程中或者鉴权结束 后，MS可能会将其真实身份标识发送给HAAA Server0306 如果HAAA Server没有在步骤304获得MS的真实身份标识，HAAAServer要 根据EAP鉴权过程中或鉴权过程后的MS的信息获得MS的真实身份标识；其中，鉴权过程中或鉴权过程后的MS的信息可能是在MS发送给HAAA Server的 证书中携带的，例如对于EAP-TLS认证过程，HAAA Server就可以根据证书中的MS信息获 取MS的真实身份标识，以便后期对MS进行准入控制；鉴权过程中或鉴权过程后的MS的信 息也可能是MS的假的身份标识(临时ΝΑΙ)，HAAA Server根据这个临时NAI获取MS的真 实身份标识(真实ΝΑΙ)。其中，如果HAAA Server已经在步骤304获得了 MS的真实身份标识，则可以省略 该步骤。在本实施例中，获取MS的真实身份标识是根据EAP鉴权过程中或鉴权过程后的MS 的信息获取，但本实施例并不以此作为限制，HAAA Server可以根据在与MS的其他交互过 程中接收的MS信息，获取该MS的真实身份标识。307 如果HAAA Server中没有保存MS相关的准入控制信息，HAAAServer要根据 MS的真实身份标识，或者MS要接入的家庭基站FAP的标识，或者封闭用户群组的标识，从 MS要接入的家庭基站FAP的签约服务器FAPAAA Server处获取MS相关的准入控制信息；其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是所述移动终端MS的身份标识可以接入的基站列表。
其中，如果HAAA Server中保存有MS相关的准入控制信息，例如MS的签约服务器 HAAA Server与MS要接入的家庭基站FAP的签约服务器FAPAAA Server是同一个实体，则 可以省略该步骤。308 =HAAA Server根据前面步骤中获取或保存的信息，例如移动终端MS的身份标 识信息、家庭基站FAP的标识信息或封闭用户群组的标识信息、以及移动终端MS相关的准 入控制信息，对移动终端MS进行准入控制；其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面安全信息下 发及业务流建立流程；如果准入控制的结果是不允许MS接入这个FAP，则HAAA Server向 终端返回失败信息不再继续后续流程。其中，步骤306到步骤308，也可以在步骤305中的MS与HAAA Server的EAP鉴权 过程中进行，如果准入控制成功，则继续EAP鉴权过程以及其它流程；如果准入控制失败， 则HAAA Server向终端返回失败信息不再继续后续其它流程。309 继续安全信息下发以及业务流建立等其它流程。 其中，该步骤309是现有技术中的执行步骤，在此不再赘述。在本实施例中，步骤304中Femto Gff发送给HAAA Server的MS的身份标识以及 MS请求接入的家庭基站的标识或封闭用户群组的标识可以在步骤305的EAP消息中携带。为了进一步说明前述步骤305和步骤306、307以及308之间的关系，以下以图4 所示的对MS执行EAP-TLS认证为例，对本实施例的方法进行详细说明。如图4所示，该流 程包括如下步骤401 =MS和FAP之间进行空口链路建立并完成终端能力协商，在FAP和Femto GW之 间完成终端上下文初始化；402 =Femto Gff 向 MS 发送 EAP Request/Identity 消息，请求 MS 的身份标识；其中，ΕΑΡ-Request消息为EAP认证过程定义的消息，Identity表示该 ΕΑΡ-Request消息的目的为进行身份认证。403 =MS 向 Femto Gff 发送 EAP Response/Identity 消息，消息中包含 MS 的 NAI ；其中，对于EAP-AKA和ΕΑΡ-SIM认证，消息中携带MS的真实身份标识(真实ΝΑΙ)； 对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证，消息中携带的是MS的假的身份标识(临时 ΝΑΙ)。404 =Femto Gff将MS的身份标识与以及MS请求接入的家庭基站FAP的标识或封 闭用户群组标识发送给HAAA Server ；405 =HAAA Server向MS发送EAP请求消息，该EAP请求消息中携带有TLS认证开 始信息，开始EAP-TLS认证过程；406 :MS接到请求后，向HAAA Server发送EAP响应消息，消息中包含客户端握手 消息(TLS client_hello)；407 =HAAA Server向MS发送EAP请求消息，消息中包含HAAA Server握手消息 (TLS server_hello)以及 HAAA Server 的 TLS 证书，HAAA Server 还会向 MS i青求 MS 的 TLS 证书并且请求进行主密钥交换；408 :MS验证HAAA Server的TLS证书，向HAAA Server发送EAP响应消息，消息 中包含MS的TLS证书，以及其他密钥交换和加密套协商消息；
409 =HAAA Server接收到MS的TLS证书后，根据MS的TLS证书中的信息，在HAA Server中查找相关的MS信息，找到对应的MS的真实身份标识；其中，步骤409可以在步骤410、步骤411、或者步骤414之后完成，只要HAAA Server接收到了 MS的TLS证书。其中，对于其它鉴权方法，HAAA Server获取的可能不是MS的证书，而是其他的假 的身份标识以及MS相关信息，此时HAAA Server可以根据这些信息得到MS的真实身份标 识。410 =HAAA Server验证MS的TLS证书，如果验证成功，HAAA向MS发送EAP请求消 息，消息中包含了加密套协商结果已经握手完成消息；411 =MS 向 HAAA Server 发送 EAP 认证响应；412 如果HAAA Server中没有保存MS相关的准入控制信息，HAAAServer要根据 MS的真实身份标识，或者MS请求接入的家庭基站FAP的标识，或者封闭用户群组的标识，从 该家庭基站的签约服务器FAP AAA Server获取MS相关的准入控制信息；其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是MS身份标识可以接入的基站列表。其中，如果HAAA Server中保存了 MS相关的准入控制信息，例如MS的签约服务 器HAAA Server与家庭基站的签约服务器FAP AAA Server是同一个实体，则可以省略步骤 412。413 =HAAA Server根据前面步骤中获取或保存的信息，例如移动终端MS的身份标 识信息、家庭基站FAP的标识信息或封闭用户群组的标识信息、以及移动终端MS相关的准 入控制信息，对移动终端MS进行准入控制；其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面安全信息下 发及业务流建立流程；否则如果不允许接入，则HAAA Server向终端返回失败信息不再继 续后续流程。其中，步骤412和步骤413，可以发生在在上述步骤409以后的任何时刻，如果准入 控制成功，则继续EAP鉴权过程以及其它流程；如果准入控制失败，则HAAA Server向终端 返回失败信息不再继续后续其它流程。414 如果认证成功并且MS通过了准入控制，则HAAA Server向MS发送EAP成功 报文(ΕΑΡ-Success)；415 继续安全信息下发以及业务流建立等其它流程。其中，步骤415也是现有技术中的执行步骤，在此不再赘述。在本实施例中，移动终端的签约服务器应用本实施例的方法，在不影响现有的MS 的鉴权流程的情况下，无需MS的特殊处理，在移动终端请求接入家庭基站的过程中，通过 获取移动终端的真实身份标识，移动终端试图接入的家庭基站的标识或封闭用户群组标 识，以及该移动终端相关的准入控制信息，达到对该移动终端进行准入控制的目的，以根据 准入控制的结果确定该移动终端能否接入该家庭基站。实施例三本发明实施例还提供一种准入控制方法，该方法应用于移动终端请求接入家庭基 站的过程中，以下结合附图对本实施例进行详细说明。
图5为移动终端的签约服务器应用本实施例的方法，在移动终端请求接入家庭基 站的过程中，通过家庭基站的签约服务器，对移动终端进行准入控制的流程图，如图5所 示，在本实施例中，MS为移动终端，FAP为移动终端请求接入的家庭基站，Femto Gff为家庭 基站FAP所在的接入业务网网关，HAAA为移动终端MS的签约服务器，FAP AAA为家庭基站 FAP的签约服务器，该流程包括如下步骤501 =MS和FAP之间进行空口链路建立并完成终端能力协商，在FAP和Femto GW之 间完成终端上下文初始化；502 =Femto Gff 向 MS 发送 EAP Request/Identity 消息，请求 MS 的身份标识；其中，ΕΑΡ-Request消息为EAP认证过程定义的消息，Identity表示该 ΕΑΡ-Request消息的目的为进行身份认证。503 =MS 向 Femto Gff 发送 EAP Response/Identity 消息，消息中包含 MS 的 NAI ；其中，对于EAP-AKA和ΕΑΡ-SIM认证，消息中携带MS的真实身份标识；对于 EAP-TLS、EAP-TTLS以及EAP-PEAP认证，消息中携带的是MS的假的身份标识，但对于Femto Gff来说，它并不知道MS发送的身份标识是真实的还是假的。504 =Femto Gff将接收到的MS的身份标识，以及MS请求接入的家庭基站FAP的标 识或封闭用户群组的标识，发送给移动终端的签约服务器HAAA Server ；其中，MS请求接入的家庭基站FAP的标识/或封闭用户群组的标识是Femto Gff在 与FAP进行终端上下文初始化的过程中，从FAP获取的，以便后期根据这些信息进行MS的 准入控制。505 =MS 借助 Femto Gff 与 HAAA Server 进行 EAP 的鉴权过程；其中，对于EAP-TLS、EAP-TTLS以及EAP-PEAP认证，在鉴权过程中或者鉴权结束 后，MS可能会将其真实身份标识发送给HAAA Server0506 如果HAAA Server没有在步骤504获得MS的真实身份标识，HAAAServer要 根据EAP鉴权过程中或鉴权过程后的MS的信息获得MS的真实身份标识；其中，鉴权过程中或鉴权过程后的MS的信息可能是在MS发送给HAAA Server的 证书中携带的，例如对于EAP-TLS认证过程，HAAA Server就可以根据证书中的MS信息获 取MS的真实身份标识，以便后期对MS进行准入控制；鉴权过程中或鉴权过程后的MS的信 息也可能是MS的假的身份标识(临时ΝΑΙ)，HAAA Server根据这个临时NAI获取MS的真 实身份标识(真实ΝΑΙ)。其中，如果HAAA Server已经在步骤504获得了 MS的真实身份标识，则可以省略 该步骤。在本实施例中，获取MS的真实身份标识是根据EAP鉴权过程中或鉴权过程后的MS 的信息获取，但本实施例并不以此作为限制，HAAA Server可以根据在与MS的其他交互过 程中接收的MS信息，获取该MS的真实身份标识。507 如果HAAA Server中没有保存MS相关的准入控制信息，则HAAAServer将MS 的真实身份标识，以及MS要接入的家庭基站FAP的标识或者封闭用户群组的标识，发送给 家庭基站FAP的签约服务器FAP AAA Server ；其中，如果HAAA Server中保存有MS相关的准入控制信息，例如MS的签约服务器 与MS要接入的家庭基站FAP的签约服务器FAP AAA Server是同一个实体，则可以省略该步骤。508 =FAP AAA Server根据HAAA Server发送的信息，以及自身保存的移动终端MS 相关的准入控制信息，对移动终端MS进行准入控制；其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是所述移动终端MS的身份标识可以接入的基站列表。509 :FAP AAA Server 将准入控制结果返回给 MS 的 HAAA Server。其中，步骤506到步骤509，也可以在步骤505中的MS与HAAA Server的EAP鉴权 过程中进行，如果准入控制成功，则继续EAP鉴权过程以及其它流程；如果准入控制失败， 则AAA Server向终端返回失败信息不再继续后续其它流程。510 继续安全信息下发以及业务流建立等其它流程。其中，该步骤510是现有技术中的执行步骤，在此不再赘述。在本实施例中，步骤504中Femto Gff发送给HAAA Server的MS的身份标识以及 MS请求接入的家庭基站的标识或封闭用户群组的标识可以在步骤505的EAP消息中携带。为了进一步说明前述步骤505和步骤506、507、508以及509之间的关系，以下以 图6所示的对MS执行EAP-TLS认证为例，对本实施例的方法进行详细说明。如图6所示， 该流程包括如下步骤601 :MS和FAP之间进行空口链路建立并完成终端能力协商，在FAP和Femto GW之 间完成终端上下文初始化；602 =Femto Gff 向 MS 发送 EAP Request/Identity 消息，请求 MS 的身份标识；其中，ΕΑΡ-Request消息为EAP认证过程定义的消息，Identity表示该 ΕΑΡ-Request消息的目的为进行身份认证。603 =MS 向 Femto Gff 发送 EAP Response/Identity 消息，消息中包含 MS 的 NAI ；其中，对于EAP-AKA和ΕΑΡ-SIM认证，消息中携带MS的真实身份标识；对于 EAP-TLS, EAP-TTLS以及EAP-PEAP认证，消息中携带的是MS的假的身份标识。604 =Femto Gff将MS的身份标识与以及MS请求接入的家庭基站FAP的标识或封 闭用户群组标识发送给HAA Server ；605 =HAAA Server 向 MS 发送 EAP 请求消息(EAP-TLS/Start)，请求开始 EAP-TLS 鉴权过程，消息中携带TLS认证开始信息；606 =MS接到请求后，向HAAA Server发送响应消息，消息中包含客户端握手消息 (TLS client hello)；607 =HAAA Server向MS发送EAP请求消息，消息中包含AAA服务器握手消息(TLS server_hello)握手消息以及HAAA Server的TLS证书，HAAA Server还会向MS i青求MS的 TLS证书并且请求进行主密钥交换；608 :MS验证HAAA Server的TLS证书，向HAAA Server发送EAP响应消息，消息 中包含MS的TLS证书，以及其他密钥交换和加密套协商消息；609 =HAAA Server接收到MS的TLS证书后，根据MS的TLS证书中的信息，在AAA Server中查找相关的MS信息，找到对应的MS的真实身份标识；其中，步骤609可以在步骤610、步骤611、或者步骤614之后完成，只要HAAA Server接收到了 MS的TLS证书。
12
其中，对于其它鉴权方法，HAAA Server获取的可能不是MS的证书，而是其他的假 的身份标识以及MS相关信息，此时HAAA Server可以根据这些信息得到MS的真实身份标 识。610 =HAAA Server验证MS的TLS证书，如果验证成功，HAAA向MS发送EAP请求消 息，消息中包含了加密套协商结果已经握手完成消息；611 :MS 向 HAAA Server 发送 EAP 认证响应；612 如果HAAA Server中没有保存MS相关的准入控制信息，则HAAAServer将MS 的真实身份标识，以及MS请求接入的家庭基站FAP的标识或封闭用户群组CSG的标识，发 送给家庭基站FAP的签约服务器FAP AAA Server ；613 :FAP AAA Server 根据 HAAA Server 发送的信息，以及 FAP AAAServer 自身保 存的MS的准入控制信息，对移动终端MS进行准入控制；其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是MS身份标识可以接入的基站列表。614 :FAP AAA Server 将准入控制结果返回给 MS 的 HAAA Server ；其中，步骤606到步骤609也可以在步骤605中的MS与HAAA Server的EAP鉴权 过程中进行，如果准入控制成功，则继续EAP鉴权过程以及其他流程；如果准入控制失败， 则HAAA Server向移动终端MS返回失败信息不再继续后续其他流程。其中，步骤612到步骤614，可以发生在在上述步骤609以后的任何时刻，如果准入 控制成功，则继续EAP鉴权过程以及其它流程；如果准入控制失败，则HAA Server向MS返 回失败信息不再继续后续其它流程。615 如果认证成功并且MS通过了准入控制，则HAAA Server向MS发送EAP成功 报文(ΕΑΡ-Success)；616 继续安全信息下发以及业务流建立等其它流程。其中，步骤616也是现有技术中的执行步骤，在此不再赘述。在本实施例中，移动终端的签约服务器应用本实施例的方法，在不影响现有的MS 的鉴权流程的情况下，无需MS的特殊处理，在移动终端请求接入家庭基站的过程中，通过 获取移动终端的真实身份标识，移动终端试图接入的家庭基站的标识或封闭用户群组标 识，并发送给家庭基站的签约服务器，以通过家庭基站的签约服务器根据上述信息以及其 保存的移动终端相关的准入控制信息，达到对该移动终端进行准入控制的目的，以根据准 入控制的结果确定该移动终端能否接入该家庭基站。实施例四本实施例还提供一种准入控制方法，该方法应用于移动终端请求接入家庭基站的 过程中，以下结合附图对本实施例进行详细说明。在MS请求接入FAP的过程中，MS会根据不同的认证方式下发不同的身份标识信 息，例如，如果MS的认证方式是EAP-AKA或EAP-SIM，则MS会在对接入业务网网关的响应消 息EAP Response/Identity中携带MS真实的身份标识Inner NAI，此时，根据本实施例的方 法，家庭基站FAP或者与该家庭基站相连的接入业务网网关Femto Gff可以根据这个Irmer NAI对MS进行准入控制；如果MS的认证方式是EAP-TLS或EAP-TTLS或EAP-PEAP，则由于 MS身份隐藏功能，MS在对接入业务网网关的响应消息EAP Response/Identity中携带由MS构造的假的身份标识Outer NAI，此时，家庭基站FAP或者与该家庭基站相连的接入业务网 网关Femto Gff无法根据这个Outer NAI对MS进行准入控制。根据本实施例的方法，为了使FAP和Femto Gff能够获取用户的InnerNAI，由MS 先判断其所试图接入的基站是一个家庭基站FAP还是一个普通的宏基站，例如可以从基站 的广播信息中判断其试图接入的基站是否是家庭基站FAP，如果是家庭基站FAP，则MS在对 Femto Gff 的响应消息 EAPResponse/Identity 中携带 Inner NAI，从而 FAP 或者 Femto Gff 可以根据这个NAI对MS进行准入控制。图7为与家庭基站相连的接入业务网网关应用本实施例的方法，在移动终端请求 接入家庭基站的过程中，对移动终端进行准入控制的流程图，如图7所示，在本实施例中， MS为移动终端，FAP为移动终端请求接入的家庭基站，Femto GW为家庭基站FAP所在的接 入业务网网关，HAAA为移动终端MS签约的服务器，该流程包括如下步骤701 =MS与FAP之间进行空口链路建立和能力协商过程，FAP与FemtoGW之间执行 终端上下文初始化过程；702 =Femto Gff 向 MS 发送 EAP-Request/Identity 消息，请求终端标识；其中，ΕΑΡ-Request消息为EAP认证过程定义的消息，Identity表示该 ΕΑΡ-Request消息的目的为进行身份认证。703 =MS判断其试图接入的基站是否是FAP，如果是，则MS在对ASNGW的响应消息 EAP Response/Identity中携带Inner NAI，如果否，则继续原有流程。其中，步骤703是可选的流程，如果准入控制流程不允许对MS进行修改，则步骤 703不执行，在这种情况下，本流程只适用于MS的认证方式是EAP-AKA或EAP-SIM，对于其 它认证方式的准入控制，可以在MS的签约服务器HAAA Server上进行，例如前述实施例二 和实施例三的方式。704 =MS 向 Femto Gff 发送 EAP-Response/Identity 消息；其中，EAP-Response/Identity消息中携带有MS的身份标识NAI，作为对 EAP-Request/Identity 消息的回复。705 =Femto GW根据其自身保存的终端的准入控制信息或者从网络侧保存MS准入 控制信息的服务器，例如FAP AAA Server或者HAAA Server获取移动终端MS相关的准入 控制信息；706 =Femto GW根据移动终端的真实用户信息、家庭基站的标识信息、以及步骤 705获取的准入控制信息来对MS进行准入控制；其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面鉴权流程以 及其它流程；如果准入控制的结果是不允许MS接入这个FAP，则Femto Gff向MS返回失败 信息不再继续后续鉴权流程。其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是所述MS身份标识可以接入的基站列表。707 =MS与AAA服务器之间执行EAP鉴权过程。708 =MS和网络侧之间生成安全信息，进行服务流建立过程。其中，步骤707和步骤708是现有技术中的执行步骤，在此不再赘述。在本实施例中，也可以由家庭基站和与该家庭基站相连的接入业务网网关对移动终端都执行准入控制，此时要求该家庭基站可以解析MS发送的EAP-Response/Identity消 息中的NAI，以下结合图8所示的流程对此加以说明。如图8所示，该流程包括如下步骤801 =MS与FAP之间进行空口链路建立和能力协商过程，FAP与FemtoGW之间执行 终端上下文初始化过程。802 =Femto Gff 向 MS 发送 EAP-Request/Identity 消息，请求 MS 标识。其中，ΕΑΡ-Request消息为EAP认证过程定义的消息，Identity表示该 ΕΑΡ-Request消息的目的为进行身份认证。803 =MS判断其试图接入的基站是否是FAP，如果是，则MS在对FemtoGW的响应消 息EAP Response/Identity响应中携带Inner NAI，如果否，则继续原有流程。其中，步骤803是可选的流程，如果准入控制流程不允许对MS进行修改，则步骤 803不执行，在这种情况下，本流程只适用于MS的认证方式是EAP-AKA或EAP-SIM，对于其 它认证方式下的准入控制，可以在MS的签约服务器HAAA Server上进行，例如前述实施例 二和实施例三的方式。804 =MS 向 Femto Gff 发送 EAP-Response/Identity 消息；其中，EAP-Response/Identity消息中携带有MS的身份标识NAI，作为对 EAP-Request/Identity 消息的回复。805 =FAP解析上述EAP-Response/Identity消息，并根据其自身保存的MS的准 入控制信息或者从网络侧保存MS准入控制信息的服务器，例如FAPAAA Server或者HAAA Server获取MS相关的准入控制信息，根据这些信息来对MS进行准入控制。其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面鉴权流程以 及其它流程；如果准入控制的结果是不允许MS接入这个FAP，则FAP向MS返回失败信息不 再继续后续鉴权流程。其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是所述MS身份标识可以接入的基站列表。806 =FAP 向 ASN Gff 转发 EAP-Response/Identity 消息；807、808 =Femto Gff根据其自身保存的MS的准入控制信息或者从网络侧保存MS 准入控制信息的服务器，例如FAP AAA Server或者HAAAServer获取MS相关的准入控制信 息，根据这些信息来对MS进行准入控制。其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面鉴权流程以 及其它流程；如果准入控制的结果是不允许MS接入这个FAP，则ASN Gff向MS返回失败信 息不再继续后续鉴权流程。其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是所述MS身份标识可以接入的基站列表。809 =MS与HAAA Server之间执行EAP鉴权过程。810 =MS和网络侧之间生成安全信息，进行服务流建立过程。其中，步骤707和步骤708是现有技术中的执行步骤，在此不再赘述。本实施例首先通过MS判断其所试图接入的基站是一个FAP还是一个普通的宏基 站，再由ASN GW或者FAP和ASN GW对该MS进行准入控制，达到了实现简单、无需增加新的 信令并且对MS的准入控制判断点较早，节约信令资源的有益效果。
实施例五本实施例还提供一种准入控制方法，该方法应用于移动终端从服务基站切换到目 标家庭基站的过程中，以下结合附图对本实施例进行详细说明。图9为移动终端的服务基站所在的接入业务网网关应用本实施例的方法，在移动 终端由服务基站切换到目标基站的过程中，对移动终端进行准入控制的流程图，请参照图 9，在本实施例中，MS为移动终端，BS为移动终端的服务基站，ASN Gff为移动终端的服务基 站所在的接入业务网网关，FAP为目标基站，Femto Gff为目标基站所在的接入业务网网关， 该流程包括如下步骤901 :MS 向其当前对应的服务基站发送 MOB-MSHO REQ(mobility MShandover request，移动终端移动性切换请求)消息，请求切换。其中，所述终端切换请求中携带目标基站标识，在本实施例中，该目标基站为FAP， 相应的，目标基站标识为FAP ID ；其中，MS的服务基站可以是BS，也可以是FAP，在本实施例中，以MS的服务基站为 BS加以说明，但本实施例并不以此作为限制。902:服务基站向ASN GW发送H0_Req(HandOver Request，切换请求)消息，所述 切换请求中携带有所述目标基站标识FAP ID,或者携带有封闭用户群组的标识。903 =ASN GW根据其自身保存的移动终端的准入控制信息或者从网络侧保存MS准 入控制信息的服务器，例如FAP AAA Server或者HAAA Server获取MS相关的准入控制信 息；904 =ASN Gff根据目标基站的标识、移动终端的准入控制信息和所述MS的相关标 识来对MS进行准入控制。其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面鉴权流程以 及其它流程；如果准入控制的结果是不允许MS接入这个FAP，则ASN Gff向MS返回失败信 息不再继续后续鉴权流程。其中，准入控制信息可以是所述目标基站FAP允许接入的MS身份标识列表，也可 以是所述MS身份标识可以接入的基站列表。其中，MS的相关标识可以是MS的用户身份、物理标识等，本实施例并不以此作为 限制，由于该ASN GW是MS的服务基站所在的接入业务网网关，因此，该MS的相关标识可能 保存在该ASN Gff内，也可能从MS的服务基站获取，还可能从该MS直接获取，本实施例并不 以此作为限制。905 =ASN Gff向Femto Gff发送切换请求H0_Req消息，所述切换请求中携带有所述 目标基站标识FAP ID。905 =Femto Gff向目标基站FAP发送切换请求H0_Req消息。907 =FAP 向 Femto Gff 发送 H0_Rsp (HandOver Response,切换响应)消息。908 =Femto Gff 向 ASN Gff 发送切换响应 H0_Rsp 消息。909 =ASN Gff向服务基站BS发送切换响应H0_Rsp消息。910 服务基站 BS 向 MS 发送 M0B-MSH0_RSP(Mobility MS HandOverResponse，移 动终端移动性切换响应)消息。本实施例在移动终端切换到家庭基站过程中，由该移动终端的服务基站所在的接入业务网网关，根据获取到的移动终端的身份标识、家庭基站的标识或封闭用户群组的标 识以及移动终端相关的准入控制信息，对移动终端进行准入控制，达到了准入控制判断的 点较早，节约信令的优势。图10为移动终端的目标家庭基站所在的接入业务网网关应用本实施例的方法， 在移动终端由服务基站切换到目标家庭基站的过程中，对移动终端进行准入控制的流程 图，请参照图10，该流程包括如下步骤1001 =MS向其当前对应的服务基站发送移动终端移动性切换请求M0B-MSH0_REQ 消息，请求切换。其中，所述终端切换请求中携带目标基站标识，在本实施例中，目标基站为FAP，相 应的，目标基站标识为FAP ID。其中，服务基站可以是BS，也可以是FAP，在本实施例中，该服务基站为BS，但本实 施例并不以此作为限制。1002 服务基站BS向ASN Gff发送切换请求H0_Req消息，所述切换请求中携带有 所述目标基站标识FAP ID,或者携带有封闭用户群组的标识。1003 =ASN Gff向Femto Gff发送切换请求H0_Req消息，所述切换请求中携带有所 述目标基站标识FAP ID,或者携带有封闭用户群组的标识。1004 =Femto Gff根据其自身保存的MS的准入控制信息或者从网络侧保存MS准入 控制信息的服务器，例如FAP AAA Server或者HAAA Server获取MS相关的准入控制信息；1005 =Femto Gff根据目标基站的标识、获取的移动终端的准入控制信息和所述MS 的相关标识来对MS进行准入控制。其中，如果准入控制的结果是允许MS接入这个FAP，则继续执行后面鉴权流程以 及其它流程；如果准入控制的结果是不允许MS接入这个FAP，则ASN Gff向终端返回失败信 息不再继续后续鉴权流程。其中，准入控制信息可以是所述家庭基站FAP允许接入的MS身份标识列表，也可 以是所述MS身份标识可以接入的基站列表。其中，MS的相关标识可以是MS的用户身份、物理标识等，本实施例并不以此作为 限制，由于该Femto GW与MS的服务基站所在的接入业务网网关ASN GW有信令交互，因此， 该MS的相关标识可能从ASN GW获取，也可能通过其他方式获取，本实施例并不以此作为限 制。1006 =Femto Gff 向 FAP 发送切换请求 H0_Req 消息。1007 =FAP 向 Femto Gff 发送切换响应 H0_Rsp 消息。1008 =Femto Gff 向 ASN Gff 发送切换响应 H0_Rsp 消息。1009 =ASN Gff向BS发送切换响应H0_Rsp消息。1010 =BS向MS发送移动终端移动性切换响应M0B_MSH0_RSP消息。本实施例在移动终端切换到家庭基站过程中，由该家庭基站所在的接入业务网网 关，根据获取到的移动终端的身份标识、家庭基站的标识或封闭用户群组的标识以及移动 终端相关的准入控制信息，对移动终端进行准入控制，达到了当MS切换到FAP时，由FAP的 接入业务网网关进行准入控制，不影响MS的服务基站所在的接入业务网网关的优势。实施例六
本发明实施例还提供一种准入控制装置，以下结合附图对本实施例进行详细说 明。图11为本发明实施例的第一实施方式的组成框图，请参照图11，该准入控制装置 包括第一获取单元111，用于获取移动终端的身份标识信息，以及家庭基站的标识信 息；控制单元112，用于根据所述移动终端的身份标识信息、所述家庭基站的标识信 息，以及所述移动终端的准入控制信息对所述移动终端进行准入控制。在本实施方式中，该装置包含于所述移动终端的签约服务器，则第一获取单元111 用于在移动终端请求接入家庭基站的过程中，从与所述家庭基站相连的接入业务网网关接 收移动终端的身份标识信息，以及家庭基站的标识信息。在本实施方式中，该装置还包括判断单元113，用于判断所述第一获取单元111获取到的移动终端的身份标识信 息是否为移动终端的真实身份标识；第二获取单元114，用于在所述判断单元113的判断结果为所述第一获取单元111 获取到的移动终端的身份标识信息不是所述移动终端的真实身份标识时，在所述移动终端 进行扩展认证协议EAP鉴权过程中或EAP鉴权过程后，根据与所述移动终端交互的移动终 端的信息，获取所述移动终端的真实身份标识。在本实施方式中，可以通过移动终端的签约服务器对移动终端进行准入控制，也 可以通过家庭基站的签约服务器对移动终端进行准入控制。当通过移动终端的签约服务器对移动终端进行准入控制时，该移动终端的签约服 务器根据获取到的移动终端的真实用户信息、家庭基站信息，以及本地保存的，或从家庭基 站的签约服务器获取的移动终端的准入控制信息对移动终端进行准入控制。当通过家庭基站的签约服务器对移动终端进行准入控制时，控制单元112包括发 送模块1121和接收模块1122，其中发送模块1121用于将所述移动终端的真实身份标识信息和所述家庭基站的标识 信息发送到所述家庭基站的签约服务器，以使得所述家庭基站的签约服务器根据所述移动 终端的真实身份标识信息，所述家庭基站的标识信息，以及所述移动终端的准入控制信息 对所述移动终端进行准入控制。接收模块1122用于接收所述家庭基站的签约服务器返回的准入控制结果。在本实施方式中，该装置还可以包括第三获取单元115，用于根据第一获取单元111获取到的用户身份标识，或者家庭 基站标识，或者封闭用户群组标识，从本地获取移动终端的准入控制信息，或者从网络侧保 存移动终端的准入控制信息的服务器获取移动终端的准入控制信息。图12为本发明实施例的第二个实施方式至第五个实施方式的组成框图，请参照 图12，该装置包括第一获取单元121，用于获取移动终端的身份标识信息，以及家庭基站的标识信 息；控制单元122，用于根据所述移动终端的身份标识信息、所述家庭基站的标识信息，以及所述移动终端的准入控制信息对所述移动终端进行准入控制。根据本实施例的第二个实施方式，该装置包含于与家庭基站相连的接入业务网网 关，则第一获取单元121用于在移动终端请求接入家庭基站的过程中，从移动终端获取所 述移动终端的真实身份标识信息，并从家庭基站获取所述家庭基站的标识信息。根据本实施例的第三个实施方式，该装置包含于家庭基站和与家庭基站相连的接 入业务网网关，当该装置包含于家庭基站时，第一获取单元121用于在移动终端请求接入 家庭基站的过程中，从移动终端获取所述移动终端的真实身份标识信息，并从本地获取所 述家庭基站的标识信息；当该装置包含于与家庭基站相连的接入业务网网关时，第一获取 单元121用于在移动终端请求接入家庭基站的过程中，从家庭基站获取所述移动终端的真 实用户标识信息和所述家庭基站的标识信息。其中，对于本实施例的第二个实施方式和第三个实施方式，移动终端在确定其试 图要接入的基站为家庭基站后，才会将移动终端的真实身份标识下发给家庭基站，或者与 家庭基站相连的接入业务网网关，因此，对于该家庭基站，或者与家庭基站相连的接入业务 网网关来说，无需判断其接收到的移动终端的身份标识是否是真实身份标识。根据本实施例的第四个实施方式，该装置包含于移动终端的服务基站所在的接入 业务网网关，则第一获取单元121用于在移动终端切换到家庭基站的过程中，从所述移动 终端的服务基站获取所述移动终端的身份标识信息，以及家庭基站的标识信息。根据本实施例的第五个实施方式，该装置包含于移动终端的目标家庭基站所在的 接入业务网网关，则第一获取单元111用于在移动终端切换到目标家庭基站的过程中，从 所述移动终端的服务基站所在的接入业务网网关获取所述移动终端的身份标识信息，以及 家庭基站的标识信息。其中，对于本实施例的第四个实施方式和第五个实施方式，由于是移动终端从服 务基站切换到目标家庭基站，因此，无论是移动终端的服务基站所在的接入业务网网关，还 是移动终端的目标家庭基站所在的接入业务网网关，在进行准入控制时，都不需要知道其 获取到的移动终端的身份标识是否是真实身份标识。在本实施方式中，该装置还可以包括第三获取单元125，用于根据第一获取单元121获取到的用户身份标识，或者家庭 基站标识，或者封闭用户群组标识，从本地获取移动终端的准入控制信息，或者从网络侧保 存移动终端的准入控制信息的服务器获取移动终端的准入控制信息。本实施例的装置的各组成部分分别用于实现前述实施例的方法，由于在方法实施 例中已经对各步骤进行了详细说明，故在此不再赘述。通过本实施例的准入控制装置，根据获取到的移动终端的身份标识信息，家庭基 站标识信息，以及移动终端的准入控制信息，对WiMAX协议下构建的Femtocell的系统中的 移动终端进行准入控制，达到了只允许授权接入FAP的MS可以接入FAP，其它未授权接入的 MS不能够接入FAP的效果。实施例七本发明实施例还提供一种移动终端，以下结合附图对本实施例进行详细说明。图13为本发明实施例的移动终端的组成示意框图，请参照图13，该移动终端包 括
19
判断单元131，用于判断本移动终端试图接入的基站是否是家庭基站；处理单元132，用于在判断单元131的判断结果为，本移动终端试图接入的基站 为家庭基站时，将本移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网 关，由所述接入业务网网关根据所述移动终端的真实身份标识，从所述家庭基站获取的所 述家庭基站的标识，以及获取的所述移动终端的准入控制信息，对所述移动终端进行准入 控制。根据本实施例的另外一种实施方式，处理单元132用于在判断单元131的判断结 果为，本移动终端试图接入的基站为家庭基站时，将本移动终端的真实身份标识发送给所 述家庭基站，并由所述家庭基站将所述移动终端的真实身份标识发送给与所述家庭基站相 连的接入业务网网关，通过所述家庭基站和所述接入业务网网关，根据所述移动终端的真 实身份标识，从家庭基站获取的家庭基站标识，以及获取的所述移动终端的准入控制信息， 对所述移动终端进行准入控制。通过本实施例的移动终端，根据试图接入的基站是否是家庭基站，决定是否将真 实身份标识信息发送给家庭基站，以便接入业务网网关，或者家庭基站和接入业务网网关 对该移动终端进行准入控制，达到了只允许授权接入FAP的MS可以接入FAP，其它未授权接 入的MS不能够接入FAP的效果。结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执 行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存 储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术 领域内所公知的任意其它形式的存储介质中。以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详 细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保 护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本 发明的保护范围之内。
权利要求
一种准入控制方法，用于在全球微波互联接入网络中对移动终端进行准入控制，其特征在于，所述方法包括获取移动终端的身份标识信息以及家庭基站的标识信息；根据所述移动终端的身份标识信息、所述家庭基站的标识信息、以及所述移动终端的准入控制信息对所述移动终端进行准入控制。
2.根据权利要求1所述的方法，其特征在于，所述方法应用于移动终端请求接入家庭 基站的过程中，所述获取移动终端的身份标识信息以及家庭基站的标识信息具体包括移动终端的签约服务器从与所述家庭基站相连的接入业务网网关接收所述移动终端 的身份标识信息，以及所述家庭基站的标识信息。
3.根据权利要求2所述的方法，其特征在于如果所述移动终端的身份标识信息不是所述移动终端的真实身份信息，则对所述移动 终端进行准入控制之前包括所述移动终端的签约服务器在所述移动终端进行扩展认证协议EAP鉴权过程中或EAP 鉴权过程后，根据与所述移动终端交互的移动终端的信息，获取所述移动终端的真实身份 标识。
4.根据权利要求3所述的方法，其特征在于，对所述移动终端进行准入控制包括所述移动终端的签约服务器根据所述移动终端的真实身份信息，所述家庭基站的标识 信息，以及所述移动终端的准入控制信息对所述移动终端进行准入控制；或者所述移动终端的签约服务器将所述移动终端的真实身份信息，以及所述家庭基站的标 识信息发送到所述家庭基站的签约服务器，以使得所述家庭基站的签约服务器根据所述移 动终端的真实身份信息，所述家庭基站的标识信息以及所述移动终端的准入控制信息对所 述移动终端进行准入控制，并且，所述移动终端的签约服务器接收所述家庭基站的签约服 务器返回的准入控制结果。
5.根据权利要求1所述的方法，其特征在于，所述方法应用于移动终端请求接入家庭 基站的过程中，所述获取移动终端的身份标识信息，以及家庭基站的标识信息具体包括与所述家庭基站相连的接入业务网网关从所述移动终端获取移动终端的真实身份标 识信息；与所述家庭基站相连的接入业务网网关从所述家庭基站获取家庭基站的标识信息。
6.根据权利要求1所述的方法，其特征在于，所述方法应用于移动终端请求接入家庭 基站的过程中，所述获取移动终端的身份标识信息，以及家庭基站的标识信息具体为所述家庭基站从移动终端获取移动终端的真实身份信息；并从本地获取家庭基站的标识信息；其中，对所述移动终端进行准入控制之后还包括所述家庭基站将从移动终端获取的移动终端的真实身份信息发送到与所述家庭基站 相连的接入业务网网关，以使得所述接入业务网网关根据所述移动终端的真实身份信息， 从所述家庭基站获取的家庭基站的标识信息，以及所述移动终端的准入控制信息，对所述 移动终端进行准入控制。
7.根据权利要求1所述的方法，其特征在于，所述方法应用于移动终端从服务基站切 换到家庭基站的过程中，所述获取移动终端的身份标识信息，以及家庭基站的标识信息具体包括所述服务基站所在的接入业务网网关从所述服务基站获取所述移动终端的身份标识 信息，以及家庭基站的标识信息。
8.根据权利要求1所述的方法，其特征在于，所述方法应用于移动终端从服务基站切 换到家庭基站的过程中，所述获取移动终端的身份标识信息，以及家庭基站的标识信息具 体为所述家庭基站所在的接入业务网网关从所述服务基站所在的接入业务网网关获取所 述移动终端的身份标识信息，以及家庭基站的标识信息。
9.根据权利要求1-8任一项所述的方法，其特征在于，对所述移动终端进行准入控制 之前还包括从本地获取所述移动终端的准入控制信息；或者从网络侧保存所述移动终端的准入控制信息的服务器获取所述移动终端的准入控制信息ο
10.根据权利要求1-8任一项所述的方法，其特征在于所述家庭基站的标识用封闭用户群组的标识来表示；和/或所述准入控制信息包括所述家庭基站允许接入的用户身份标识列表或所述移动终端 可以接入的家庭基站列表。
11.一种准入控制装置，其特征在于，所述装置包括第一获取单元，用于获取移动终端的身份标识信息，以及家庭基站的标识信息；控制单元，用于根据所述移动终端的身份标识信息、所述家庭基站的标识信息，以及所 述移动终端的准入控制信息对所述移动终端进行准入控制。
12.根据权利要求11所述的装置，其特征在于，所述装置包含于所述移动终端的签约 服务器，所述第一获取单元用于在移动终端请求接入家庭基站的过程中，从与所述家庭基 站相连的接入业务网网关接收移动终端的身份标识信息，以及家庭基站的标识信息。
13.根据权利要求12所述的装置，其特征在于，所述装置还包括判断单元，用于判断所述第一获取单元获取到的移动终端的身份标识信息是否为移动 终端的真实身份标识；第二获取单元，用于在所述判断单元的判断结果为所述第一获取单元获取到的移动终 端的身份标识信息不是所述移动终端的真实身份标识时，在所述移动终端进行扩展认证协 议EAP鉴权过程中或EAP鉴权过程后，根据与所述移动终端交互的移动终端的信息，获取所 述移动终端的真实身份标识。
14.根据权利要求13所述的装置，其特征在于所述控制单元用于根据所述移动终端的真实身份信息，所述家庭基站的标识信息，以 及所述移动终端的准入控制信息对所述移动终端进行准入控制；或者所述控制单元包括发送模块，用于将所述移动终端的真实身份标识信息和所述家庭基站的标识信息发送 到所述家庭基站的签约服务器，以使得所述家庭基站的签约服务器根据所述移动终端的真 实身份标识信息，所述家庭基站的标识信息，以及所述移动终端的准入控制信息对所述移 动终端进行准入控制；接收模块，用于接收所述家庭基站的签约服务器返回的准入控制结果。
15.根据权利要求11所述的装置，其特征在于，所述装置包含于与家庭基站相连的接 入业务网网关，其中所述第一获取单元用于在移动终端请求接入家庭基站的过程中，从移动终端获取所述 移动终端的真实身份标识信息，并从家庭基站获取所述家庭基站的标识信息。
16.根据权利要求11所述的装置，其特征在于，所述装置包含于家庭基站和与家庭基 站相连的接入业务网网关，其中当所述装置包含于家庭基站时，所述第一获取单元用于在移动终端请求接入家庭基站 的过程中，从移动终端获取所述移动终端的真实身份标识信息，并从本地获取所述家庭基 站的标识信息；当所述装置包含于与家庭基站相连的接入业务网网关时，所述第一获取单元用于在移 动终端请求接入家庭基站的过程中，从家庭基站获取所述移动终端的真实用户标识信息和 所述家庭基站的标识信息。
17.根据权利要求11所述的装置，其特征在于，所述装置包含于移动终端的服务基站 所在的接入业务网网关，其中所述第一获取单元用于在移动终端切换到家庭基站的过程中，从所述移动终端的服务 基站获取所述移动终端的身份标识信息，以及家庭基站的标识信息。
18.根据权利要求11所述的装置，其特征在于，所述装置包含于移动终端的目标家庭 基站所在的接入业务网网关，其中所述第一获取单元用于在移动终端切换到目标家庭基站的过程中，从所述移动终端的 服务基站所在的接入业务网网关获取所述移动终端的身份标识信息，以及家庭基站的标识 fn息ο
19.根据权利要求11所述的装置，其特征在于，所述装置还包括第三获取单元，用于根据第一获取单元获取到的移动终端的身份标识信息或家庭基站 的标识信息，从本地获取所述移动终端的准入控制信息，或者从网络侧保存所述移动终端 的准入控制信息的服务器获取所述移动终端的准入控制信息。
20.一种移动终端，其特征在于，所述移动终端包括判断单元，用于判断本移动终端试图接入的基站是否是家庭基站；处理单元，用于在所述判断单元的判断结果为，本移动终端试图接入的基站为家庭基 站时，将本移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关，由所 述接入业务网网关根据所述移动终端的真实身份标识，从所述家庭基站获取的所述家庭基 站的标识，以及获取的所述移动终端的准入控制信息，对所述移动终端进行准入控制；或者所述处理单元用于在所述判断单元的判断结果为，本移动终端试图接入的基站为家 庭基站时，将本移动终端的真实身份标识发送给所述家庭基站，并由所述家庭基站将所述 移动终端的真实身份标识发送给与所述家庭基站相连的接入业务网网关，由所述家庭基站 和所述接入业务网网关根据所述移动终端的真实身份标识，从家庭基站获取的家庭基站标 识，以及获取的所述移动终端的准入控制信息，对所述移动终端进行准入控制。
全文摘要
一种准入控制方法及装置，用于在全球微波互联接入网络中对移动终端进行准入控制，该方法包括获取移动终端的身份标识信息，以及家庭基站的标识信息；根据所述移动终端的真实身份信息、所述家庭基站的标识信息、以及所述移动终端的准入控制信息对所述移动终端进行准入控制。通过本实施例的方法及装置，对请求接入FAP的MS进行准入控制，从而只允许授权接入FAP的MS可以接入FAP，其它未授权接入的MS不能够接入FAP。
文档编号H04W12/06GK101945390SQ20091015195
公开日2011年1月12日 申请日期2009年7月8日 优先权日2009年7月8日
发明者刘晓寒, 彭程晖, 陈璟, 陈育华 申请人:华为技术有限公司