专利名称:通过家庭基站进行网络通信的方法、装置及系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种通过家庭基站进行网络通信的方法、装置及 系统。
背景技术:
HeNB (Home evolved NodeB,家庭演进基站)是 eNB (evolvedNodeB,演进基站)的 一种,其提供室内覆盖,被部署在家庭、公司、商场等私人场所,可以提供更高的数据传输速 率和更小的时延,降低运营商的运营成本。HeNB向UE (User Equipment,用户设备)提供了固网和移动网两种通信方式,艮口, 除可以使UE通过HeNB接入到移动运营商对应的无线网络的核心网外,还可以使UE通 过HeNB接入到家庭或企业的有线网络的局域网中。其中,HeNB可以通过LIPA(Local IP Access,本地IP接入)业务将UE接入到有线局域网中。在实现本发明的过程中,发明人发现现有技术中至少存在如下问题因网络安全 等原因,通常需要对UE通过家庭基站访问Internet (因特网)进行限制,然而,如果移动运 营商和固网运营商设置的访问受限终端数据是不同时,固网运营商仍然可以通过防火墙技 术、端口重定向技术、代理服务器限定策略、强制网络门户等方法对固网运营商设置的访问 受限终端数据中的UE访问^ternet进行限制,而移动运营商却无法对UE通过家庭基站接 入有线网络的局域网时访问hternet进行限制。
发明内容
本发明的实施例提供一种通过家庭基站进行网络通信的方法、装置及系统,能够 使移动运营商对连接到有线网络的局域网的终端访问hternet进行限制。为达到上述目的,本发明的实施例采用如下技术方案一种通过家庭基站进行网络通信的方法,包括家庭基站接收终端发送的数据包;所述终端通过与所述家庭基站之间的无线接入 承载,来接入无线网络的核心网或者有线网络的局域网;根据无线网络的核心网配置的受限终端确认策略,家庭基站判断所述终端是否为 访问受限终端;当判定所述终端为访问受限终端时,家庭基站获取所述数据包的目的地址;如果确定所述数据包的目的地址为禁网地址,家庭基站丢弃所述终端发送的数据 包或释放所述家庭基站与所述终端之间的无线接入承载。一种家庭基站,包括数据接收单元,用于接收终端发送的数据包;所述终端通过与所述家庭基站之间 的无线接入承载,来接入无线网络的核心网或者有线网络的局域网;受限终端判断单元,用于根据无线网络的核心网配置的受限终端确认策略,判断 所述终端是否为访问受限终端;
目的地址获取单元,用于当所述受限终端判断单元判定所述终端为访问受限终端 时,获取所述数据接收单元接收的数据包的目的地址;丢弃释放单元,用于如果确定所述目的地址获取单元获取的目的地址为禁网地 址,丢弃所述终端发送的数据包或释放所述家庭基站与所述终端之间的无线接入承载。一种网络通信系统,包括终端、无线网络的核心网装置、和上述的家庭基站;所述终端,用于向所述家庭基站发送数据包;所述无线网络的核心网装置,用于向所述家庭基站配置受限终端确认策略。本发明实施例提供的通过家庭基站进行网络通信的方法、装置及系统,通过接收 终端发送的数据包;在根据无线网络的核心网配置的受限终端确认策略,确定所述终端为 访问受限终端时,家庭基站进一步获取所述数据包的目的地址;在确定所述数据包的目的 地址为禁网地址时,丢弃所述数据包或释放所述终端与家庭基站之间的无线接入承载。因 此,移动运营商可通过无线网络的核心网配置家庭基站上的受限终端确认策略,从而在终 端通过与家庭基站之间的无线接入承载访问有线网络的局域网时,移动运营商能够限制访 问受限终端通过有线网络的局域网访问Internet,从而保障家庭基站所运行的网络的网络 安全。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他 的附图。图1为本发明实施例提供的一种通过家庭基站进行网络通信的方法的流程示意 图;图2为本发明实施例在PCRF和L-GW之间建立接口的EPS HeNB的LIPA架构图;图3为本发明实施例在PCRF和L-PCRF之间建立接口的EPS HeNB的LIPA架构 图;图4为本发明实施例提供的另一种通过家庭基站进行网络通信的方法的流程示 意图;图5为本发明实施例释放无线接入承载流程示意图;图6为本发明实施例提供的另一种通过家庭基站进行网络通信的方法的流程示 意图;图7为本发明实施例在PCRF和L-GW之间建立接口的UMTS HNB的LIPA架构图;图8为本发明实施例在PCRF和L-PCRF之间建立接口的UMTS HNB的LIPA架构 图;图9为本发明实施例在PCRF和HNB-GW之间建立接口的UMTS HNB的LIPA架构 图;图10为本发明实施例在PCRF和L-PCRF之间建立接口的UMTSHNB的LIPA架构 图;图11为本发明实施例提供的另一种通过家庭基站进行网络通信的方法的流程示意图;图12为本发明实施例提供的另一种通过家庭基站进行网络通信的方法的流程示 意图;图13为本发明实施例在PCRF/HSS和L-GW之间建立接口的UMTSHNB的LIPA架构 图;图14为本发明实施例提供的另一种通过家庭基站进行网络通信的方法的流程示 意图;图15为本发明实施例提供的一种家庭基站的构成示意图;图16为本发明实施例提供的一种通过家庭基站网络通信系统的流程示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。为了能够使移动运营商对连接到局域网的终端访问hternet进行限制,本发明 实施例提供了一种通过家庭基站进行网络通信的方法,如图1所示,包括101、家庭基站接收终端发送的数据包;所述终端通过与所述家庭基站之间的无线 接入承载,来接入无线网络的核心网或者有线网络的局域网; 其中,“家庭基站(Home NodeB, HNB) ”包括HeNB或一般的HNB。102、家庭基站根据无线网络的核心网配置的受限终端确认策略,家庭基站判断所 述终端是否为访问受限终端;其中,访问受限终端可以是指被限制通过局域网访问hternet的UE。当然,访问 受限终端还可以是指被限制访问某个规定网段的UE。所述从核心网获取的所述终端的访问 设定信息包括核心网发送的网址检查指示信息、受限用户指示信息和HSS中的访问受限终 端列表,其中,所述终端的网络地址可以根据受限用户指示信息进行分配。举例而言,家庭基站可以通过至少三种受限终端确认策略确定所述终端是否为访 问受限终端策略一,家庭基站可以根据核心网发送的NAS(Non AccessStratum,非接入层)消 息中是否包含网址检查指示信息,来确定终端是否为访问受限终端,例如,当家庭基站在根 据MME发送的终端的承载建立请求消息中包含网址检查指示信息时,则家庭基站可以确定 该承载建立请求消息对应的终端为访问受限终端;策略二,家庭基站也可以根据终端的签约数据为终端分配访问受限和访问允许两 种网络地址,并根据终端分配到的地址确定终端是否为访问受限终端;策略三,家庭基站还可以根据签约数据中的访问受限终端列表,来确定终端是否 为访问受限终端。103、当家庭基站判定所述终端为访问受限终端时,家庭基站获取所述数据包的目 的地址104、如果家庭基站确定所述数据包的目的地址为禁网地址,家庭基站丢弃所述终端发送的数据包或释放所述家庭基站与所述终端之间的无线接入承载。其中,所述禁网地址可以为公网地址,也可以为指定的局域网内禁止访问的地址。本发明实施例提供的通过家庭基站进行网络通信的方法,通过接收终端发送的数 据包;在根据无线网络的核心网配置的受限终端确认策略,确定所述终端为访问受限终端 时,家庭基站进一步获取所述数据包的目的地址;在确定所述数据包的目的地址为禁网地 址时,丢弃所述数据包或释放所述终端与家庭基站之间的无线接入承载。因此,移动运营商 可通过无线网络的核心网配置家庭基站上的受限终端确认策略,从而在终端通过与家庭基 站之间的无线接入承载访问有线网络的局域网时,移动运营商能够限制访问受限终端通过 有线网络的局域网访问Internet,从而保障家庭基站所运行的网络的网络安全。在上一实施例中,家庭基站可以通过至少三种受限终端确认策略确定所述终端 为访问受限终端,并且,本发明实施例提供的方法至少可以应用在EPS(EV0lVed Packet System,演进分组系统)和 UMTS (Universal Mobile Telecommunications System,通用移 动通信系统)两种架构下。下面结合上述不同策略和不同架构,对上一实施例做进一步详 细描述。在现有EPS HeNB的LIPA架构下,可以如图2所示,建立核心网PCRF(Policy and Charging Rules Function,策略和计费执行功能)禾Π L-GW(Local Gateway,本地网关)之 间的接口,称为L-Gx接口。移动运营商核心网PCRF通过该接口将限制策略配置在HeNB/ L-GW上。或者,也可以如图3所示,在L-GW上设置本地的PCRF,即L-PCRF,并且,在核心网 PCRF和L-PCRF之间建立L-S9接口,移动运营商核心网PCRF通过该接口将限制策略配置在 HeNB/L-GW上。HeNB/L_GW根据该限制策略执行下述方法操作,其中,该限制策略包括受限 终端确认策略。这里将HeNB和L-GW视为相同的网络实体。在图2或图3所示的架构下, 采用策略一时,本实施例的通过家庭基站进行网络通信的方法,如图4所示,包括201、UE 通过 HeNB 向 MME (Mobility Management Entity,移动性管理实体)发送 PDN(Packet Data Network,分组数据网)连接请求消息;举例而言,UE向HeNB发送PDN连接请求消息,所述连接请求消息中包含LIPA APN 或特定的LIPA标识信息,以表明UE请求的是一个LIPA业务。HeNB接收该UE发送的PDN 连接请求消息后,在向MME发送Sl-AP消息中转发PDN连接请求消息,同时携带L-GW IP地 址参数,以及HeNB支持LIPA的能力指示信息。202、MME接收该PDN连接请求消息后,从HSS (Home SubscriberServer,归属用户 服务器)中获取该UE的签约数据;根据UE的签约数据中是否包含受限标识,判断该UE是 否为访问受限终端;例如,在HSS的用户签约数据中将限制通过局域网接入hternet的UE,即在访问 受限终端的 IMSianternational Mobile SubscriberIdentification Number,国际移动 用户识别码)或 MSISDN(MobiIeSubscriber International ISDN/PSTN Number,移动用户 国际号码)上添加受限标识。这样,如果MME确定从HSS获取的该UE的IMSI或MSISDN包 含受限标识,则判定该UE为访问受限终端,即该UE被限制通过局域网接入到hternet ;否 则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到hternet。另外,步骤302还可以替换为MME在接收该PDN连接请求消息后,从HSS中获取 访问受限终端列表;并根据UE是否在该访问受限列表中,判断该UE是否为访问受限终端。
例如,在HSS的用户签约数据中保存一个访问受限终端的IMSI或MSISDN列表, 即该列表中出现的UE均被限制通过局域网接入hternet。如果MME确定该UE的IMSI或 MSISDN在该访问受限终端列表中,则判定该UE为访问受限终端,即该UE被限制通过局域 网接入到hternet ;否则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到 Internet。203、MME选择S-GW(Serving Gateway,服务网关),向选定的S-GW发送建立会话 请求消息,该消息中包含L-GW的IP地址。204、该S-GW接收该建立会话请求消息后,根据该消息中L-GW的IP地址选定HeNB 上的L-GW,向该L-GW发送建立会话请求消息;205、该L-GW接收该建立会话请求消息后,向该S-GW返回建立会话响应消息;206、该S-GW接收该建立会话响应消息后,向MME返回建立会话响应消息;207.MME接收该建立会话响应消息后,向HeNB发送承载建立请求消息。在步骤202 中,MME判定该UE为访问受限终端时,MME在该承载建立请求消息中添加网址检查指示信 肩、ο其中,所述网址检查指示信息用于,指示HeNB检查该UE通过局域网发送的数据包 的目的IP地址。例如,可以用“Checkingdestination IP address of UE”表示网址检查指 示信息,或者,也可以在承载建立请求消息中添加UE的标识信息,表示网址检查指示信息。208,HeNB接收该承载建立请求消息后,记录该UE对应的网址检查指示信息,向该 UE发送RRC(feidi0 Resource Control,无线接入控制)连接重配置消息。209、该UE接收该RRC连接重配置消息后,获取该RRC连接重配置消息中分配给其 的IP地址,向HeNB返回RRC连接重配置完成消息。210,HeNB接收该连接重配置完成消息后,向MME发送承载建立响应消息,完成PDN 连接的建立,即建立UE与HeNB之间的无线接入承载。211、在PDN连接建立完成后,该UE向HeNB发送数据包;212、HeNB接收该数据包后,根据记录的该UE的网址检查指示信息确定该UE为 访问受限终端时,则进一步获取该数据包的目的地址;在该数据包的目的地址为禁网地址 (包括公网地址或指定的局域网内禁止访问的地址等)时,HeNB丢弃该数据包或释放该UE 与HeNB之间的无线接入承载。举例而言,HeNB可以在接收UE通过LIPA承载发送到局域网的数据包时,对该UE 是否为访问受限终端进行判断。HeNB在判定该UE为访问受限终端时,获取该数据包的目的 地址。HeNB在该数据包的目的地址为公网IP地址时,丢弃该数据包;或者,HeNB在该数据 包的目的地址为公网IP地址时,发起Sl接口的无线接入承载释放。HeNB在判定该UE为访 问允许终端时,转发该数据包。其中,HeNB释放UE的无线接入承载的具体方法,如图5所示,包括2121、HeNB向MME发送UE的上下文释放请求消息;2122、MME向S-GW发送释放接入承载请求消息;2123、S-Gff向MME返回释放接入承载响应消息;2124、MME向HeNB发送UE的上下文释放指示消息;2125、HeNB向该UE发送RRC连接释放消息;
2126、HeNB向MME发送UE的上下文释放完成消息。在图2或图3所示的架构下,采用策略二时,本实施例的通过家庭基站进行网络通 信的方法,如图6所示,包括步骤301参见步骤201,在此不再赘述。302、MME接收该PDN连接请求消息后,从HSS中获取访问受限终端列表;根据该访 问受限终端列表中是否包含该UE,判断该UE是否为访问受限终端;例如,在HSS的用户签约数据中保存一个访问受限终端的IMSI或MSISDN列表, 即该列表中出现的UE均被限制通过局域网接入hternet。如果MME确定该UE的IMSI或 MSISDN在该访问受限终端列表中,则判定该UE为访问受限终端,即该UE被限制通过局域 网接入到hternet ;否则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到 Internet ο另外,步骤302还可以替换为MME在接收该PDN连接请求消息后,从HSS中获取 该UE的签约数据;根据UE的签约数据中是否包含受限标识,判断该UE是否为访问受限终端。例如,在HSS的用户签约数据中将限制通过局域网接入hternet的UE,即在访问 受限终端的IMSI或MSISDN上添加受限标识。如果MME确定从HSS获取的该UE的IMSI 或MSISDN包含受限标识,则判定该UE为访问受限终端,即该UE被限制通过局域网接入到 Internet ;否则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到Internet。步骤303-306参见步骤203-206,在此不再赘述。307、MME接收该建立会话响应消息后,向L-GW发送承载建立请求消息。在步骤302 中,当MME判定该UE为访问受限终端时,MME在该承载建立请求消息中添加受限用户指示 信息。L-GW根据该受限用户指示信息为该UE分配IP地址。其中,所述受限用户指示信息用于,指示L-GW为访问受限用户和访问允许用户分 配不同的IP地址池内的IP地址。L-Gff接收承载建立请求消息后,如果确定该承载建立请求消息中包含受限用户指 示信息,则UE为限制通过LIPA接入hternet的用户,为该UE分配访问受限地址池内的 IP地址,如192. 168. 0. 0-192. 168. 255. 255 ;如果确定该承载建立请求消息中不包含受限 用户指示信息,则UE为允许通过LIPA接入hternet的用户,该UE分配访问允许地址池内 的 IP 地址,如 10. 0. 0. 0-10. 255. 255. 255。308、HeNB向该UE发送RRC连接重配置消息。步骤309-311参见步骤209_211,在此不再赘述。312,HeNB接收该数据包后,根据该UE的IP地址确定该UE为访问受限终端时,则 进一步获取该数据包的目的地址;在该数据包的目的地址为禁网地址(包括公网地址或指 定的局域网内禁止访问的地址等)时,HeNB丢弃该数据包或释放该UE与HeNB之间的无线 接入承载。举例而言,HeNB可以在接收UE通过LIPA承载发送到局域网的数据包时,对该UE 是否为访问受限终端进行判断。HeNB在判定该UE的IP地址为访问受限地址池内的IP地 址,即该UE为访问受限终端时,获取该数据包的目的地址。HeNB在该数据包的目的地址为 公网IP地址时,丢弃该数据包;或者,HeNB在该数据包的目的地址为公网IP地址时,发起Sl接口的无线接入承载释放,具体可参看步骤212,在此不再赘述。HeNB在判定该UE的IP 地址为访问允许地址池内的IP地址时,转发该数据包。另外,在现有UMTS HNB的LIPA架构下,如图7所示,可以建立核心网PCRF和L-GW 之间的接口 L-Gx,或者,如图8所示,也可以在L-GW上设置L-PCRF,并在核心网PCRF和 L-PCRF之间建立L-S9接口。在上述两种UMTS HNB的LIPA架构下,分别采用策略一或策 略二实现通过家庭基站进行网络通信的方法时,具体步骤可参见上述在现有EPS HeNB的 LIPA架构下,采用策略一、二的两个实施例,在此不再赘述。在现有UMTS HNB的LIPA架构下,可以如图9所示,每个HNB-GW (Home NodeB Gateway,家庭基站网关)连接多个HNB,并可以建立核心网PCRF和HNB-GW之间的接口 L-Gx';或者,也可以如图10所示,在HNB-GW上设置本地的PCRF,即L-PCRF,并且,在核心网 PCRF和L-PCRF之间建立L-S9,接口。这样,移动运营商核心网PCRF均可以通过L_Gx,接 口或L-S9’该接口将限制策略下发到HNB-GW,HNB-GW在UE请求LIPA承载建立过程中将该 限制策略进一步转发到HNB/L-GW上。HNB/L-GW根据该限制策略执行下述方法操作,其中, 该限制策略包括受限终端确认策略。因此,不必在每个PCRF和L-GW之间都建立接口,简化 了网络架构。在图9或图10所示的架构下,采用策略一时,本实施例的通过家庭基站进行 网络通信的方法,如图11所示,包括401、UE 通过 HNB、HNB-Gff 向 SGSN(Serving GPRS Support Node,服务通用分组无 线服务技术支持节点)发送PDN连接请求消息;举例而言,UE向HNB发送PDN连接请求消息,所述连接请求消息中包含LIPA APN 或特定的LIPA标识信息,以表明UE请求的是一个LIPA业务。HNB接收该UE发送的PDN连 接请求消息后,在向HNB-GW发送的Iuh接口信令消息中转发该PDN连接请求消息,同时携 带L-GWIP地址参数,以及HNB支持LIPA的能力指示信息。HNB-GW在向SGSN发送的Iu_ps 接口信令消息中携带该PDN连接请求消息,L-Gff IP地址参数,以及HNB支持LIPA的能力 指不信息。402、SGSN接收该PDN连接请求消息后,从HSS中获取该UE的签约数据;根据UE 的签约数据中是否包含受限标识,判断该UE是否为访问受限终端;例如,在HSS的用户签约数据中,在将限制通过局域网接入hternet的UE(即访 问受限终端)的IMSI或MSISDN上添加受限标识。如果SGSN确定从HSS获取的该UE的IMSI 或MSISDN包含受限标识,则判定该UE为访问受限终端,即该UE被限制通过局域网接入到 Internet ;否则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到hternet。另外,步骤402还可以替换为SGSN还可以在接收该PDN连接请求消息后,从HSS 中获取访问受限终端列表;并根据UE是否在该访问受限列表中,判断该UE是否为访问受限 终端。例如,在HSS的用户签约数据中保存一个访问受限终端的IMSI或MSISDN列表, 即该列表中出现的UE均被限制通过局域网接入hternet。如果SGSN确定该UE的IMSI 或MSISDN在该访问受限终端列表中,则判定该UE为访问受限终端,即该UE被限制通过局 域网接入到hternet ;否则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到 Internet。403、SGSN通过HNB-GW向L-GW发送建立会话请求消息;
404、该L-GW接收该建立会话请求消息后,通过HNB-GW向SGSN返回建立会话响应 消息;405,SGSN接收该建立会话响应消息后,向HNB-GW发送承载建立请求消息,HNB-GW 向HNB转发该承载建立请求消息。在步骤402中,SGSN判定该UE为访问受限终端时,SGSN 在该承载建立请求消息中添加网址检查指示信息。其中,所述网址检查指示信息,用于指示HNB检查该UE通过局域网发送的数据包 的目的IP地址。例如,可以用“Checkingdestination IP address of UE”表示网址检查指 示信息;或者,也可以在承载建立请求消息中添加UE的标识信息,表示网址检查指示信息。406、HNB接收该承载建立请求消息后,记录该UE对应的网址检查指示信息,向该 UE发送RRC连接重配置消息。407、该UE接收该RRC连接重配置消息后,获取该RRC连接重配置消息中分配给其 的IP地址,向HNB返回RRC连接重配置完成消息。408、HNB接收该连接重配置完成消息后,通过HNB-GW向SGSN发送承载建立响应 消息,完成PDN连接的建立,即建立UE与HNB之间的无线接入承载。409、该UE在PDN连接建立完成后,向HNB发送数据包;410、HNB接收该数据包后,根据记录的该UE的网址检查指示信息确定该UE为访问 受限终端时,则进一步获取该数据包的目的地址;在该数据包的目的地址为禁网地址(包 括公网地址或指定的局域网内禁止访问的地址等)时,HNB丢弃该数据包或释放该UE与 HNB之间的无线接入承载。举例而言,HNB可以在接收UE通过LIPA承载发送到局域网的数据包时,对该UE是 否为访问受限终端进行判断。HNB在判定该UE为访问受限终端时,获取该数据包的目的地 址。HNB在该数据包的目的地址为禁网IP地址时,丢弃该数据包;或者,HNB在该数据包的 目的地址为禁网IP地址时,发起Sl接口的无线接入承载释放,具体可参看步骤212,在此不 再赘述。HNB在判定该UE为访问允许终端时,转发该数据包。在图9或图10所示的架构下,采用策略二时,本实施例的通过家庭基站进行网络 通信的方法,如图12所示,包括步骤501参见步骤401,在此不再赘述。502、SGSN接收该PDN连接请求消息后,从HSS中获取访问受限终端列表;根据该 访问受限终端列表中是否包含该UE,判断该UE是否为访问受限终端;例如,在HSS的用户签约数据中保存一个访问受限终端列表,具体可以是限制通 过局域网接入hternet的UE的IMSI或MSISDN列表,该列表中出现的UE均被限制通过局 域网接入hternet。这样,如果SGSN确定该UE的IMSI或MSISDN在该访问受限终端列表 中,则判定该UE为访问受限终端,被限制通过局域网接入到hternet ;否则,判定该UE不 是访问受限终端,被允许通过局域网接入到hternet。另外,步骤502还可以替换为SGSN在接收该PDN连接请求消息后,从HSS中获取 该UE的签约数据;根据UE的签约数据中是否包含受限标识,判断该UE是否为访问受限终端。例如,在HSS的用户签约数据中将限制通过局域网接入hternet的UE(即访问受 限终端)的IMSI或MSISDN上添加受限标识。如果SGSN确定从HSS获取的该UE的IMSI或MSISDN包含受限标识,则判定该UE为访问受限终端,即该UE被限制通过局域网接入到 Internet ;否则,判定该UE不是访问受限终端,该UE被允许通过局域网接入到hternet。步骤503、504参见步骤403、404,在此不再赘述。505、SGSN接收该建立会话响应消息后,向HNB-GW发送承载建立请求消息,HNB-GW 向L-GW转发该承载建立请求消息。在步骤502中,SGSN判定该UE为访问受限终端时,SGSN 在该承载建立请求消息中添加受限用户指示信息。L-GW根据该受限用户指示信息为该UE 分配IP地址。其中,所述受限用户指示信息,用于指示L-GW为访问受限用户和访问允许用户分 配不同的IP地址池内的IP地址。L-Gff接收承载建立请求消息后,如果确定该承载建立请求消息中包含受限用户指 示信息,则UE为限制通过LIPA接入hternet的用户,该UE分配访问受限地址池内的IP 地址,如192. 168. 0. 0-192. 168. 255. 255 ;如果确定该承载建立请求消息中不包含受限用 户指示信息,则UE为允许通过LIPA接入hternet的用户,该UE分配访问允许地址池内的 IP 地址,如 10. 0. 0. 0-10. 255. 255. 255。506、HNB向该UE发送RRC连接重配置消息。步骤507-509参见步骤407-409,在此不再赘述。510、HNB接收该数据包后,根据该UE的IP地址确定该UE为访问受限终端时,则 进一步获取该数据包的目的地址;在该数据包的目的地址为禁网地址(包括公网地址或指 定的局域网内禁止访问的地址等)时,HNB丢弃该数据包或释放该UE与HNB之间的无线接 入承载。举例而言,HNB可以在接收UE通过LIPA承载发送到局域网的数据包时,对该UE是 否为访问受限终端进行判断。HNB在判定该UE的IP地址为访问受限地址池内的IP地址, 即该UE为访问受限终端时,获取该数据包的目的地址。HNB在该数据包的目的地址为禁网 IP地址时,丢弃该数据包;或者,HNB在该数据包的目的地址为禁网IP地址时,发起Sl接口 的无线接入承载释放,具体可参看步骤212,在此不再赘述。HNB在判定该UE的IP地址为 访问允许地址池内的IP地址,转发该数据包。在现有UMTS HNB的LIPA架构下,可以如图13所示,在核心网PCRF和L-GW之间 建立Cl接口,或者,在核心网HSS和L-GW直接建立Cl接口。移动运营商核心网PCRF通过 Cl接口将限制策略配置在HNB/L-GW上,HNB/L-GW根据该限制策略执行下述方法操作,其 中,该限制策略包括受限终端确认策略。在图13所示的架构下,采用策略三时,本实施例的 通过家庭基站进行网络通信的方法,如图14所示,包括601、HNB实时从HSS或PCRF获取访问受限终端列表;SPR(Subscription Profile R印ository,签约规格库)是 HSS 中的网络实体。 PCRF通过Sp接口与sra连接,并从sra获取与用户签约数据相关的信息。在此,从SPR获 取的访问受限终端列表可以为访问受限终端的IMSI/MSISDN列表,PRCF或HSS以OMA DM/ OTA方式通过Cl接口实时将该访问受限终端的IMSI/MSISDN列表发送给HNB。602、在UE的PDN连接建立完成后,该UE向HNB发送数据包;603、HNB接收该数据包后,根据获取的访问受限终端列表,判断该UE是否为访问 受限终端;在判定该UE为访问受限终端时,HNB进一步获取该数据包的目的地址;在该数据包的目的地址为禁网地址(包括公网地址或指定的局域网内禁止访问的地址等)时,HNB丢 弃该数据包或释放该UE与HNB之间的无线接入承载。举例而言,HNB接收该数据包,获取该UE的IMSI/MSISDN。判断访问受限终端的 IMSI/MSISDN列表中是否有该UE的IMSI/MSISDN。如果访问受限终端的IMSI/MSISDN列表 中有该UE的IMSI/MSISDN,则判定该UE为访问受限终端,获取该数据包的目的地址,在该数 据包的目的地址为禁网地址(包括公网地址或指定的局域网内禁止访问的地址等)时,丢 弃该数据包或释放该UE的无线接入承载;否则,判定该UE为访问允许终端,转发该数据包。上述实施例提供的通过家庭基站进行网络通信的方法,通过接收终端发送的数据 包;在根据无线网络的核心网配置的受限终端确认策略,确定所述终端为访问受限终端时, 家庭基站进一步获取所述数据包的目的地址;在确定所述数据包的目的地址为禁网地址 时,丢弃所述数据包或释放所述终端与家庭基站之间的无线接入承载。因此,移动运营商可 通过无线网络的核心网配置家庭基站上的受限终端确认策略,从而在终端通过与家庭基站 之间的无线接入承载访问有线网络的局域网时,移动运营商能够限制访问受限终端通过有 线网络的局域网访问Internet,从而保障家庭基站所运行的网络的网络安全。与上述方法相对应地,本发明实施例还提供了一种家庭基站,如图15所示,包括数据接收单元701,用于接收终端发送的数据包;所述终端通过与所述家庭基站 之间的无线接入承载,来接入无线网络的核心网或者有线网络的局域网;受限终端判断单元702,用于根据无线网络的核心网配置的受限终端确认策略,判 断所述终端是否为访问受限终端;目的地址获取单元703,用于当所述受限终端判断单元702判定所述终端为访问 受限终端时,获取所述数据接收单元接收的数据包的目的地址;丢弃释放单元704,用于如果确定所述目的地址获取单元703获取的目的地址为 禁网地址,丢弃所述终端发送的数据包或释放所述家庭基站与所述终端之间的无线接入承载。进一步地,所述家庭基站具体还包括承载建立请求接收单元,用于接收所述MME或所述SGSN发送的承载建立请求消 息;其中,在所述MME或所述SGSN从HSS中获取的所述终端的签约数据中包含受限标识时, 或在所述MME或所述SGSN从HSS中获取的访问受限终端列表中存在所述终端时,所述承载 建立请求消息中包含网址检查指示信息;指示信息存储单元,用于在所述承载建立请求接收单元接收的承载建立请求消息 中包含网址检查指示信息时,存储所述终端对应的网址检查指示信息;相应地,所述受限终端判断单元702,具体用于根据所述指示信息存储单元存储的 所述终端的配置信息中是否包含网址检查指示信息,判断所述终端是否为访问受限终端; 其中,所述受限终端确认策略为,网址检查指示信息对应的终端为访问受限终端。或者,所述家庭基站具体还包括承载建立请求接收单元,用于接收所述MME或所述SGSN发送的承载建立请求消 息;其中,在所述MME或所述SGSN从HSS中获取的所述终端的签约数据中包含受限标识时, 或在所述MME或所述SGSN从HSS中获取的访问受限终端列表中存在所述终端时,所述承载 建立请求消息中包含受限用户指示信息;
地址分配单元,用于在确定所述承载建立请求接收单元接收的承载建立请求消息 中包含受限用户指示信息时,为所述终端分配访问受限地址池内的网络地址;相应地,所述受限终端判断单元702,具体用于在确定所述终端的网络地址为访问 受限地址池内的网络地址时,确定所述终端为访问受限终端;其中,所述受限终端确认策略 为,访问受限地址池内的网络地址对应的终端为访问受限终端。或者,所述家庭基站具体还包括受限列表获取单元,用于利用OMA DM方式或者OTA方式,从HSS获取访问受限终 端歹丨J表;相应地,所述受限终端判断单元702,具体用于在所述受限列表获取单元获取的访 问受限终端列表中包含所述终端的IMSI或MSISDN时,确定所述终端为访问受限终端;其 中,述受限终端确认策略为,访问受限终端列表中的IMSI或移MSISDN对应的终端为访问受 限终端。进一步地,所述家庭基站具体还包括建立会话请求接收单元,用于接收S-GW或SGSN发送的终端对应的建立会话请求 消息;策略获取单元,用于在所述建立会话请求接收单元接收建立会话请求消息时,从 PCRF获取受限终端确认策略;策略配置单元,用于配置所述策略获取单元获取的受限终端确认策略至家庭基 站,以便所述受限终端判断单元根据所述受限终端确认策略进行判断。进一步地,所述策略获取单元,具体用于通过PCRF和本地网关之间的接口,获取 所述受限终端确认策略,其中,本地网关和家庭基站为相同的网络实体;或者,通过PCRF和 家庭基站网关之间接口,将受限终端确认策略保存在家庭基站网关上,并在承载建立请求 消息中,从家庭基站网关获取所述受限终端确认策略;或者,通过PCRF和本地PCRF之间的 接口,获取所述受限终端确认策略,其中,本地PCRF和家庭基站为相同的网络实体。本实施例家庭装置具体的操作方法可参见图1-图10所描述的方法,在此不再赘 述。本实施例提供的家庭基站,通过接收终端发送的数据包;在根据无线网络的核心 网配置的受限终端确认策略,确定所述终端为访问受限终端时,家庭基站进一步获取所述 数据包的目的地址;在确定所述数据包的目的地址为禁网地址时,丢弃所述数据包或释放 所述终端与家庭基站之间的无线接入承载。因此,移动运营商可通过无线网络的核心网配 置家庭基站上的受限终端确认策略,从而在终端通过与家庭基站之间的无线接入承载访 问有线网络的局域网时,移动运营商能够限制访问受限终端通过有线网络的局域网访问 Internet,从而保障家庭基站所运行的网络的网络安全。与上述方法、装置相对应地,本发明实施例还提供了一种通过家庭基站网络通信 系统,如图16所示,包括终端801和家庭基站802和无线网络的核心网装置803 ;所述终端801,用于向所述家庭基站802发送数据包;所述无线网络的核心网装置803,用于向所述家庭基站802配置受限终端确认策 略;所述家庭基站802,用于接收所述终端801发送的数据包;所述终端801通过与所述家庭基站802之间的无线接入承载,来接入无线网络的核心网或者有线网络的局域网; 根据无线网络的核心网装置803配置的受限终端确认策略,判断所述终端801是否为访问 受限终端;当判定所述终端801为访问受限终端时,获取所述数据包的目的地址;如果确定 所述数据包的目的地址为禁网地址,丢弃所述终端801发送的数据包或释放所述家庭基站 802与所述终端801之间的无线接入承载。本实施例提供的通过家庭基站网络通信系统,通过家庭基站接收终端发送的数据 包;在根据无线网络的核心网配置的受限终端确认策略,确定所述终端为访问受限终端时, 家庭基站进一步获取所述数据包的目的地址;在确定所述数据包的目的地址为禁网地址 时,丢弃所述数据包或释放所述终端与家庭基站之间的无线接入承载。因此,移动运营商可 通过无线网络的核心网配置家庭基站上的受限终端确认策略,从而在终端通过与家庭基站 之间的无线接入承载访问有线网络的局域网时,移动运营商能够限制访问受限终端通过有 线网络的局域网访问Internet,从而保障家庭基站所运行的网络的网络安全。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
1.一种通过家庭基站进行网络通信的方法,其特征在于,包括家庭基站接收终端发送的数据包;所述终端通过与所述家庭基站之间的无线接入承 载,来接入无线网络的核心网或者有线网络的局域网;根据无线网络的核心网配置的受限终端确认策略,家庭基站判断所述终端是否为访问 受限终端;当判定所述终端为访问受限终端时,家庭基站获取所述数据包的目的地址;如果确定所述数据包的目的地址为禁网地址,家庭基站丢弃所述终端发送的数据包或 释放所述家庭基站与所述终端之间的无线接入承载。
2.根据权利要求1所述的通过家庭基站进行网络通信的方法,其特征在于,所述根据 无线网络的核心网配置的受限终端确认策略,家庭基站判断所述终端是否为访问受限终端 包括当所述受限终端确认策略为,网址检查指示信息对应的终端为访问受限终端时,家庭 基站查找自身存储的所述终端的配置信息中是否包含网址检查指示信息;当所述配置信息中包含网址检查指示信息时,家庭基站确定所述终端为访问受限终 端;所述网址检查指示信息,用于指示家庭基站检查所述终端发送的数据包的目的地址。
3.根据权利要求2所述的通过家庭基站进行网络通信的方法,其特征在于,所述家庭 基站接收终端发送的数据包的步骤之前,所述方法还包括移动性管理实体MME或服务通用分组无线服务技术支持节点SGSN,在接收终端的分组 数据网PDN连接请求消息时,从归属用户服务器HSS中获取所述终端的签约数据;并在所述 MME或所述SGSN确定所述终端的签约数据中包含受限标识时,家庭基站接收所述MME或所 述SGSN发送的承载建立请求消息,所述承载建立请求消息包含网址检查指示信息;家庭基 站存储所述终端对应的网址检查指示信息;或者,MME或SGSN在接收终端的PDN连接请求消息后,从HSS中获取访问受限终端列表;并 在所述MME或所述SGSN确定所述访问受限终端列表中存在所述终端时,家庭基站接收所 述MME或所述SGSN发送的承载建立请求消息,所述承载建立请求消息包含网址检查指示信 息;家庭基站存储所述终端对应的网址检查指示信息。
4.根据权利要求1所述的通过家庭基站进行网络通信的方法,其特征在于,所述根据 无线网络的核心网配置的受限终端确认策略,家庭基站判断所述终端是否为访问受限终端 包括当所述受限终端确认策略为,访问受限地址池内的网络地址对应的终端为访问受限终 端时,家庭基站查找所述终端的网络地址是否为访问受限地址池内的网络地址;当所述终端的网络地址为访问受限地址池内的网络地址时,家庭基站确定所述终端为 访问受限终端;所述访问受限地址池为,可以分配给访问受限终端的网络地址的集合。
5.根据权利要求4所述的通过家庭基站进行网络通信的方法,其特征在于,所述接收 终端发送的数据包的步骤之前还包括MME或SGSN在接收终端的PDN连接请求消息时,从HSS中获取所述终端的签约数据; 并在所述MME或所述SGSN确定所述终端的签约数据中包含受限标识时,家庭基站接收所 述MME或所述SGSN发送的承载建立请求消息,所述承载建立请求消息包含受限用户指示信 息;在确定所述承载建立请求消息中包含受限用户指示信息时,家庭基站为所述终端分配访问受限地址池内的网络地址;或者,MME或SGSN在接收终端的PDN连接请求消息时,从HSS中获取访问受限终端列表;并 在所述MME或所述SGSN确定所述访问受限终端列表中存在所述终端时,家庭基站接收所 述MME或所述SGSN发送的承载建立请求消息,所述承载建立请求消息包含受限用户指示信 息;在确定所述承载建立请求消息中包含受限用户指示信息时,家庭基站为所述终端分配 访问受限地址池内的网络地址。
6.根据权利要求1所述的通过家庭基站进行网络通信的方法,其特征在于,所述根据 无线网络的核心网配置的受限终端确认策略,家庭基站判断所述终端是否为访问受限终包 括当所述受限终端确认策略为,访问受限终端列表中的国际移动用户标识码IMSI或移 动台国际综合业务数字网号码MSISDN对应的终端为访问受限终端,家庭基站查找所述终 端的IMSI或MSISDN是否在访问受限终端列表中;当从HSS获取的访问受限终端列表中包含所述终端的IMSI或MSISDN时,家庭基站确 定所述终端为访问受限终端;所述访问受限终端列表包括,从无线网络的核心网获取的全 部受限访问终端的IMSI或MSISDN。
7.根据权利要求6所述的通过家庭基站进行网络通信的方法,其特征在于,还包括 利用开放式移动联盟设备管理OMA DM方式或者空中下载技术OTA方式,从HSS中获取访问受限终端列表。
8.根据权利要求1至7任一所述的通过家庭基站进行网络通信的方法,其特征在于,所 述接收终端发送的数据包的步骤之前还包括在接收服务网关S-GW或SGSN发送的终端对应的建立会话请求消息时,家庭基站从策 略和计费执行功能PCRF获取受限终端确认策略;配置所述受限终端确认策略至家庭基站,以便家庭基站根据所述受限终端确认策略进 行判断。
9.根据权利要求8所述的通过家庭基站进行网络通信的方法,其特征在于,所述从 PCRF获取受限终端确认策略包括通过PCRF和本地网关之间的接口,家庭基站获取所述受限终端确认策略,其中,本地 网关和家庭基站为相同的网络实体; 或者,通过PCRF和家庭基站网关之间接口,将受限终端确认策略保存在家庭基站网关上,并 且在承载建立请求消息中,家庭基站从家庭基站网关获取所述受限终端确认策略; 或者,通过PCRF和本地PCRF之间的接口,家庭基站获取所述受限终端确认策略,其中,本地 PCRF和家庭基站为相同的网络实体。
10.一种家庭基站,其特征在于,包括数据接收单元,用于接收终端发送的数据包;所述终端通过与所述家庭基站之间的无 线接入承载,来接入无线网络的核心网或者有线网络的局域网;受限终端判断单元,用于根据无线网络的核心网配置的受限终端确认策略,判断所述 终端是否为访问受限终端;目的地址获取单元,用于当所述受限终端判断单元判定所述终端为访问受限终端时, 获取所述数据接收单元接收的数据包的目的地址;丢弃释放单元,用于如果确定所述目的地址获取单元获取的目的地址为禁网地址,丢 弃所述终端发送的数据包或释放所述家庭基站与所述终端之间的无线接入承载。
11.根据权利要求10所述的家庭基站,其特征在于,还包括承载建立请求接收单元,用于接收所述MME或所述SGSN发送的承载建立请求消息;其 中,在所述MME或所述SGSN从HSS中获取的所述终端的签约数据中包含受限标识时,或在 所述MME或所述SGSN从HSS中获取的访问受限终端列表中存在所述终端时,所述承载建立 请求消息中包含网址检查指示信息;指示信息存储单元,用于在所述承载建立请求接收单元接收的承载建立请求消息中包 含网址检查指示信息时,存储所述终端对应的网址检查指示信息;所述受限终端判断单元,具体用于根据所述指示信息存储单元存储的所述终端的配置 信息中是否包含网址检查指示信息,判断所述终端是否为访问受限终端;其中,所述受限终 端确认策略为,网址检查指示信息对应的终端为访问受限终端。
12.根据权利要求10所述的家庭基站,其特征在于,还包括承载建立请求接收单元,用于接收所述MME或所述SGSN发送的承载建立请求消息;其 中,在所述MME或所述SGSN从HSS中获取的所述终端的签约数据中包含受限标识时,或在 所述MME或所述SGSN从HSS中获取的访问受限终端列表中存在所述终端时,所述承载建立 请求消息中包含受限用户指示信息;地址分配单元,用于在确定所述承载建立请求接收单元接收的承载建立请求消息中包 含受限用户指示信息时,为所述终端分配访问受限地址池内的网络地址;所述受限终端判断单元,具体用于在确定所述终端的网络地址为访问受限地址池内的 网络地址时,确定所述终端为访问受限终端;其中,所述受限终端确认策略为,访问受限地 址池内的网络地址对应的终端为访问受限终端。
13.根据权利要求10所述的家庭基站,其特征在于,还包括受限列表获取单元,用于利用OMA DM方式或者OTA方式,从HSS获取访问受限终端列表;所述受限终端判断单元,具体用于在所述受限列表获取单元获取的访问受限终端列表 中包含所述终端的IMSI或MSISDN时,确定所述终端为访问受限终端;其中,述受限终端确 认策略为,访问受限终端列表中的IMSI或移MSISDN对应的终端为访问受限终端。
14.根据权利要求10至13任一所述的家庭基站,其特征在于,还包括建立会话请求接收单元,用于接收S-GW或SGSN发送的终端对应的建立会话请求消息;策略获取单元,用于在所述建立会话请求接收单元接收建立会话请求消息时,从PCRF 获取受限终端确认策略;策略配置单元,用于配置所述策略获取单元获取的受限终端确认策略至家庭基站,以 便所述受限终端判断单元根据所述受限终端确认策略进行判断。
15.根据权利要求14所述的家庭基站,其特征在于,所述策略获取单元,具体用于通过 PCRF和本地网关之间的接口,获取所述受限终端确认策略,其中,本地网关和家庭基站为相同的网络实体;或者,通过PCRF和家庭基站网关之间接口,将受限终端确认策略保存在家 庭基站网关上,并在承载建立请求消息中,从家庭基站网关获取所述受限终端确认策略;或 者,通过PCRF和本地PCRF之间的接口,获取所述受限终端确认策略,其中,本地PCRF和家 庭基站为相同的网络实体。
16. 一种网络通信系统,其特征在于,包括终端、无线网络的核心网装置、和权利要求 10至15任一项所述的家庭基站;所述终端,用于向所述家庭基站发送数据包;所述无线网络的核心网装置,用于向所述家庭基站配置受限终端确认策略。
全文摘要
本发明实施例公开了一种通过家庭基站进行网络通信的方法、装置及系统,涉及通信领域。为了能够使移动运营商对连接到局域网的终端访问Internet进行限制,本发明实施例提供的技术方案如下家庭基站接收终端发送的数据包;所述终端通过与所述家庭基站之间的无线接入承载,来接入无线网络的核心网或者有线网络的局域网;根据无线网络的核心网配置的受限终端确认策略,家庭基站判断所述终端是否为访问受限终端;当判定所述终端为访问受限终端时,家庭基站获取所述数据包的目的地址;如果确定所述数据包的目的地址为禁网地址,家庭基站丢弃所述终端发送的数据包或释放所述家庭基站与所述终端之间的无线接入承载。本发明适用于无线网络通信。
文档编号H04W12/08GK102137381SQ20101053704
公开日2011年7月27日 申请日期2010年11月9日 优先权日2010年11月9日
发明者关止, 刘娟, 陈国乔 申请人:华为终端有限公司