专利名称:用户接入无线通信网络的方法和无线网络接入控制装置的制作方法
技术领域:
本发明涉及无线通信网络,尤指一种用户接入无线通信网络的方法和无线网络接入控制装置。
背景技术:
由于用户对无线接入速率的要求越来越高,无线局域网(Wireless LocalArea Network,WLAN)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同接入技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统以及CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如3GPP访问网络中的3GPP认证、授权、计费(AAA)代理和3GPP归属网络中的3GPP认证、授权、计费(AAA)服务器互连;3GPP访问网络中的无线局域网接入网关(WLAN AccessGateway,WAG)与3GPP归属网络中的分组数据网关(Packet Data Gateway,PDG)互连等等。互通系统结构图如图1、图2和图3所示。
与WLAN网络类似,基于IEEE 802.16标准的WiMax网络能够提供更高的接入速率和更大的覆盖范围。一种可能的WiMax网络结构如图4和图5所示。在该参考结构中,用户的认证和授权可以通过用户的归属CSN(Connectivityservice Network,连接性服务网络)中的AAA服务器完成。
由于无线网络中用户的移动性,用户经常需要在漫游网络中接入服务,这就面临这样两个问题1、用户在漫游情况下,可能会有多个不同的漫游网络可供选择,但受限于用户的归属网络和各漫游网络之间的漫游协定,不是每个漫游网络用户都可以接入,这样在用户选择了一个漫游网络接入,与归属网络进行认证的时候,归属网络就需要判断用户是否可以接入其选择的漫游网络,这就涉及归属网络中,授权的用户可接入的漫游网络信息的存储、传递和使用;2、为了减少用户选择不被授权的网络接入的可能性,在用户终端中存储有授权的访问网络信息,由于技术上和运营方面的原因,终端中存储的内容有可能与运营商当前授权给该用户的可接入访问网络不同步,这就需要更新用户终端中存储的授权的访问网络信息。
现有技术中,用户授权的访问网络信息只存储在用户归属签约服务器(HSS)中,当用户在漫游情况下选择一访问网络发起接入认证、授权请求时,流程如下AAA代理服务器判断本地是否存储有对该用户进行认证、授权的用户信息,若没有,则向用户归属的HSS发起认证、授权信息获取请求;
HSS根据存储的用户授权的访问网络信息,若判断出该用户有权接入其选择的访问网络,则向该AAA代理服务器下发用于认证该用户合法性的多组安全参数以及相应授权信息;AAA代理服务器将HSS下发的多组安全参数以及相应授权信息存储在本地;当用户选择另一访问网络发起授权、认证请求时,AAA代理服务器判断出本地存储有认证该用户合法性的安全参数信息后,则不再向HSS发起认证、授权信息获取请求,由于AAA代理服务器本地没有存储用户的授权的访问网络信息,从而无法判断用户是否可以从其选择的访问网络进行接入。
发明内容
本发明提供一种用户接入无线通信网络的方法和无线网络接入控制装置,用以解决现有技术中存在的用户接入无线网络时,网络侧不能准确判断出用户是否有权接入其选择的访问网络的问题。
本发明提供的用户接入无线通信网络的方法包括用户选择一访问网络发起接入认证、授权请求;网络侧判断该用户是否为合法用户,并根据存储的该用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络;若用户合法且有权接入其选择的访问网络,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
根据本发明的上述方法,所述用户授权的访问网络列表存储在网络侧的用户信息存储单元中;当用户通过无线接入网络向网络侧的用户信息应用单元发起接入认证、授权请求时,执行下列步骤A、用户信息应用单元从用户信息存储单元中获取该用户授权的访问网络列表信息;B、用户信息应用单元根据所述用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络,若是,且该用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
所述步骤A包括A1、用户信息应用单元向用户信息存储单元发起认证、授权信息获取请求,并同时请求获取该用户授权的访问网络列表;A2、用户信息存储单元向用户信息应用单元下发请求的认证、授权信息和该用户授权的访问网络列表;所述步骤B中,用户信息应用单元根据接收的认证、授权信息判断用户是否合法;并根据接收的用户授权的访问网络列表,判断用户选择的访问网络标识是否包含在该用户授权的访问网络列表中,若是,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
所述步骤A2前还包括用户信息存储单元判断当前用户是否有权接入其选择的访问网络,若是,则执行所述步骤A2;否则,用户信息存储单元拒绝用户信息应用单元发起的获取请求。
根据本发明的上述方法,若用户信息存储单元拒绝用户信息应用单元发起的获取请求,则向用户信息应用单元返回获取请求拒绝应答,并携带拒绝原因。
根据本发明的上述方法,所述步骤A2中,用户信息存储单元向用户信息应用单元下发用户授权的访问网络列表时,使用新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
根据本发明的上述方法,用户信息应用单元在向用户返回成功应答或拒绝应答中,将该用户授权的访问网络列表发送给用户终端。
根据本发明的上述方法,所述用户信息应用单元将该用户授权的访问网络列表加密后发送给用户终端。
根据本发明的上述方法,所述用户授权的访问网络列表存储在网络侧的用户信息存储单元中;当用户通过无线接入网络向网络侧的用户信息应用单元发起接入认证、授权请求时,执行下列步骤
a、用户信息应用单元判断用户选择的访问网络是否发生了变化,若是,则继续下列步骤;否则,按现有技术相应流程处理;b、用户信息应用单元向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络;c、用户信息存储单元根据其存储的用户授权的访问网络列表,确定用户是否有权接入其选择的访问网络,并向用户信息应用单元返回允许接入或拒绝接入的应答消息;d、若用户信息应用单元接收到用户信息存储单元返回的允许接入应答消息,且判断出用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
根据本发明的上述方法,若用户信息应用单元确定出本地存储有该用户的认证、授权有效信息,则使用本地存储的该用户的认证、授权信息对该用户身份进行合法性判断;否则,从用户信息存储单元中获取该用户的认证、授权信息对该用户身份进行合法性判断。
若用户信息应用单元确定出本地没有存储该用户的认证、授权信息,则所述步骤a中,用户信息应用单元向用户信息存储单元发起认证、授权信息获取请求,并同时请求确认用户是否有权接入其选择的访问网络;所述步骤c中,用户信息存储单元若判断出用户有权接入其选择的访问网络,则向用户信息应用单元下发请求的认证、授权信息和允许接入应答消息;否则,向用户信息应用单元返回拒绝接入应答消息。
根据本发明的上述方法,所述步骤b中,用户信息应用单元向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络时,通过一个新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
根据本发明的上述方法,还包括用户终端按设定周期向用户信息应用单元发送授权的访问网络列表更新请求消息的步骤;用户信息应用单元判断用户是否合法,若为合法用户,则将本地保存的用户授权的访问网络列表或从用户信息存储单元中获取用户授权的访问网络列表发送给该用户终端。
根据本发明的上述方法,还包括用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息的步骤;用户信息应用单元若判断用户在线,则转发所述更新通知消息给用户终端;用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息;用户信息应用单元从用户信息存储单元中获取用户授权的访问网络列表发送给用户终端。
根据本发明的上述方法,还包括用户信息存储单元向用户信息应用单元推送(PUSH)授权的访问网络列表信息的步骤;用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用户终端。
根据本发明的上述方法,还包括用户终端接收到授权的访问网络列表后,向用户信息应用单元返回更新确认消息的步骤;用户信息应用单元再将该更新确认消息转发给用户信息存储单元。
所述用户授权的访问网络列表包括授权的访问接入网络、授权的访问核心网络以及授权的访问连接性服务网络其中之一或其组合。
根据本发明的上述方法,若用户漫游,则用户发起的接入认证、授权请求通过代理认证、授权和计费服务器(AAA Proxy)转发。
本发明另提供一种无线网络接入控制系统,包括用户信息应用单元接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元中获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答;用户信息存储单元存储用户授权的访问网络列表信息和用于认证、授权的用户信息,确认用户是否有权接入其选择的访问网络,并将确认结果信息发送给用户信息应用单元。
所述用户信息应用单元包括认证、授权处理模块接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答;所述用户信息存储单元包括消息发送/接收模块、第一存储模块和第一判断模块;当消息发送/接收模块接收到所述认证、授权处理模块发起的获取用于认证、授权的用户信息的获取请求时,发送给第一判断模块;第一判断模块根据第一存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给所述消息发送/接收模块;所述消息发送/接收模块转发所述判断结果信息给用户信息应用单元中的认证、授权处理模块,通知用户终端。
所述用户信息应用单元还包括第二存储模块和第二判断模块;当认证、授权处理模块收到用户终端通过无线网络发起的接入认证、授权请求时发送给第二判断模块,并从用户信息存储单元中获取用户授权的访问网络列表信息,保存到本地的第二存储模块中;第二判断模块根据第二存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给认证、授权处理模块。
所述用户信息应用单元为独立的具有外部接口的网络实体;或为现有网络功能实体的逻辑模块。所述现有网络功能实体为3GPP认证、授权和计费服务器(AAA服务器)。
所述用户信息存储单元为独立的具有外部接口的网络实体;或为现有网络功能实体的逻辑模块。所述现有网络功能实体为归属位置寄存器(HLR)或归属用户服务器(HSS)。
本发明有益效果如下(1)当用户选择访问网络发起认证、授权请求时,本发明提供了一套完整的认证、授权信令流程,能有效判断出用户是否有权接入其选择的访问网络。
(2)本发明还提供了多种更新用户终端内部存储的访问网络列表信息的方法,使终端中存储的访问网络列表信息与运营商当前授权给该用户的可接入访问网络信息同步更新。
图1-图5为现有技术互通系统结构示意图;图6为本发明方法一原理图;图7为本发明方法一具体实施例之一;图8为本发明方法一具体实施例之二;图9为本发明方法二原理图;图10为本发明方法二的具体实施例之一;图11为本发明方法二的具体实施例之二;图12为本发明方法二的具体实施例之三;图13为本发明方法二的具体实施例之四;图14为本发明方法二的具体实施例之五图15为本发明用户终端更新存储的授权访问网络列表流程图之一;图16为本发明用户终端更新存储的授权访问网络列表流程图之二;图17为本发明用户终端更新存储的授权访问网络列表流程图之三;图18为本发明无线网络接入控制装置结构示意图。
具体实施例方式
本发明提供的用户接入无线网络方法,包括用户选择一访问网络发起接入认证、授权请求;网络侧判断该用户是否为合法用户,并根据存储的该用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络;若用户合法且有权接入其选择的访问网络,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
在本发明方法中,用户授权的访问网络列表存储在网络侧的用户信息存储单元中;当用户通过无线接入网络向网络侧的用户信息应用单元发起接入认证、授权请求时,包括如下两种实现方法一将用户授权的访问网络列表下载到用户信息应用单元,由用户信息应用单元来判断用户是否有权接入其选择的访问网络,方法一步骤如下A、用户信息应用单元对该用户身份进行合法性判断,并从用户信息存储单元中获取该用户授权的访问网络列表信息;B、用户信息应用单元根据所述用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络,若是,且该用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
方法二、用户授权的访问网络列表存储在用户信息存储单元,由用户信息存储单元来判断用户是否有权接入其选择的访问网络,方法二步骤如下a、用户信息应用单元判断用户选择的访问网络是否发生了变化,若是,则继续下列步骤;否则,按现有技术相应流程处理;b、用户信息应用单元向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络;c、用户信息存储单元根据其存储的用户授权的访问网络列表,确定用户是否有权接入其选择的访问网络,并向用户信息应用单元返回允许接入或拒绝接入的应答消息;
d、若用户信息应用单元接收到用户信息存储单元返回的允许接入应答消息,且判断出用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
下面结合附图,对本发明的上述方法一和方法二分别举例加以详细说明。
参见图6,为本发明方法一原理图,包括如下步骤步骤1a.用户终端、无线接入网络和用户信息应用单元之间进行接入认证和授权。
如果用户选择的接入网络标识存在,也需要带给用户信息应用单元,例如用户选择用来接入网络的WLAN标识,在非漫游情况下,WLAN标识为归属WLAN标识,在漫游情况下,WLAN标识为漫游WLAN标识。在漫游情况下认证、授权请求中包括用户选择的访问网络标识和用户的永久的或临时的身份标识符。在该步骤中,用户信息应用单元一般是指认证、授权和计费(AAA)服务器;访问网络标识可以包括访问接入网络标识和/或访问核心网络标识。
例如,当用于3GPP I-WLAN系统时,访问网络标识可以包括3GPP访问PLMN(公众陆地移动网)标识,也可以包括访问WLAN网络标识,还可以同时包括3GPP访问PLMN标识和访问WLAN网络标识。
例如,当用于WiMax系统时,访问网络标识可以包括访问CSN(连接性服务网络)网络标识,也可以包括访问ASN(接入服务网络)网络标识,还可以同时包括访问CSN网络标识和访问ASN网络标识。
访问网络标识具体的格式包括但不限于以下格式移动国家码+移动网络码;RADIUS Operator-Name属性;GSMA PRD IR.61中规定的格式;运营商自定义的网络标识。
用户的身份识别符包括但不限于国际移动用户识别符(IMSI);
移动台MSISDN号码(MSISDN);网络接入识别符(NAI);临时移动用户识别符(TMSI/P-TMSI);SIP URI;Tel URI;运营商自定义用户身份识别符。
步骤1b.用户信息应用单元从用户信息存储单元获取用于认证、授权的用户信息,其中包括针对该用户的授权的访问网络列表。
授权的访问网络列表可以包括授权的访问接入网络标识和/或授权的访问核心网络标识。
例如授权的访问网络列表包括授权的3GPP访问PLMN标识,也可以包括授权的访问WLAN网络标识,还可以同时包括授权的3GPP访问PLMN标识和授权的访问WLAN网络标识,可选地,还可以包括授权的3GPP访问PLMN标识和授权的访问WLAN网络标识之间的对应关系。
例如授权的访问网络列表包括授权的访问CSN网络标识,也可以包括授权的访问ASN网络标识,还可以同时包括授权的访问CSN标识和授权的访问ASN网络标识,可选地,还可以包括授权的访问CSN标识和授权的访问ASN网络标识之间的对应关系。
在该步骤中,3GPP系统中的用户信息存储单元一般是指归属位置寄存器(HLR)或归属用户服务器(HSS)。
用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Server-Assignment-Request/-Answer(SAR/SAA)消息等。
在该步骤中,用户信息存储单元可以先判断一次用户是否有权接入其选择的访问网络,如果用户有权接入,则向用户返回认证或/和授权信息和用户授权的访问网络列表;如果用户无权接入其选择的访问网络,则用户信息存储单元就会拒绝用户信息获取单元的认证和授权请求,并可能说明相应的原因。
步骤1c.用户信息应用单元对比从步骤1a中收到的访问网络标识和从步骤1b中收到的访问网络列表中的信息,判断用户是否有权接入其选择的访问网络;1d.如果步骤1c中判断用户合法且有权使用其选择的网络(包括无线接入网络、核心网络、连接性服务网络等),则向用户返回接入认证、授权成功应答;如果步骤1c中判断用户无权使用其选择的网络或用户不合法,则向用户返回接入认证、授权拒绝应答。
可选地,在成功和/或失败应答中,用户信息应用单元将针对该用户的授权的访问网络列表发送给用户终端,用户终端更新其内部存储的访问网络列表。
可选地,发送给用户终端的授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP(可扩展认证协议)消息等。
上述方法一的具体应用实施例之一如图7所示,包括如下步骤步骤1.无线局域网用户终端(WLAN UE)、无线局域网接入网络(WLANAN)和3GPP AAA服务器(3GPP AAA Server)之间进行接入认证、授权操作。用户选择的WLAN AN的标识如果存在,也发送给3GPP AAA Server。在漫游情况下,用户选择一个3GPP访问公共陆地移动网络(VPLMN)作为认证授权信令的路径,WLAN UE、WLAN AN到3GPP AAA Server之间的AAA消息需要通过位于VPLMN中的3GPP AAA Proxy转发,AAA消息中也包括3GPPVPLMN标识。
步骤2.3GPP AAA Server从HLR/HSS获取用于认证的安全信息和用于对用户进行授权的授权信息,在授权信息中包括针对该用户的授权的访问网络列表信息。
步骤3.3GPP AAA Server利用从HLR/HSS获得的安全信息和授权信息判断用户是否是合法用户,并且是否被授权接入其所选择的访问网络。
步骤4.3GPP AAA Server根据步骤3的判断结果,向WLAN UE返回认证、授权应答。在应答消息中,可以携带针对该用户的授权的访问网络列表信息。
上述方法一的具体应用实施例之二如图8所示,包括如下步骤步骤1.移动用户台(MSS)、接入服务网络-网关(ASN-GW)和归属CSN AAA服务器(Home CSN AAA Server)之间进行接入认证、授权操作。用户选择的ASN的标识如果存在,也发送给AAA Server。在漫游情况下,用户选择一个访问CSN网络作为认证授权信令的路径,MSS、ASN-GW到HomeCSN AAA Server之间的AAA消息需要通过用户选择的访问网络中的访问CSNAAA代理(Visited CSN AAA Proxy)转发,AAA消息中也包括访问CSN网络的标识。
步骤2.Home CSN AAA Server从用户数据库(subscriber database)获取用于认证的安全信息和用于对用户进行授权的授权信息,在授权信息中包括针对该用户的授权的访问网络列表信息。
步骤3.Home CSN AAA Server利用从subscriber database获得的安全信息和授权信息判断用户是否是合法用户,并且是否被授权接入其所选择的访问网络。
步骤4.Home CSN AAA Server根据步骤3的判断结果,向MSS返回认证、授权应答。在应答消息中,可以携带针对该用户的授权的访问网络列表信息。
说明在AAA消息和认证消息的传递过程中,ASN-GW起的是NAS和EAP proxy的角色,根据具体网络的结构和部署,基站(BS)也能够替代ASN-GW起同样的作用。
本发明提供的方法二原理图如图9所示,包括如下步骤
步骤1a.用户终端、无线接入网络和用户信息应用单元之间进行接入认证和授权。如果用户选择的接入网络标识存在,也需要带给用户信息应用单元,例如用户选择用来接入网络的WLAN标识,在非漫游情况下,WLAN标识为归属WLAN标识,在漫游情况下,WLAN标识为漫游WLAN标识。在漫游情况下认证、授权请求中包括用户选择的访问网络标识和用户的永久的或临时的身份标识符。在该步骤中,如果是在3GPP系统中,用户信息应用单元一般是指认证、授权和计费(AAA)服务器;具体的访问网络标识和用户身份标识符如前所述,不再重述。
步骤1b.用户信息应用单元判断用户选择的接入网络和/或核心网络是否发生变化,如果发生了变化,则执行步骤1c。
步骤1c.用户信息应用单元要求用户信息存储单元判断用户是否有权接入其选择的访问网络。
步骤1d.用户信息存储单元判断用户是否有权接入其选择的访问网络,执行步骤1e。
该步骤可以利用用户信息单元向用户信息存储单元获取认证、授权信息的过程进行,具体见下面的实施例图10、图11。
该步骤也可以利用用户信息单元向用户信息存储单元发送专门的判断请求进行,具体见下面的实施例图12、图13和图14。
步骤1e.如果判断结果为用户有权接入其选择的访问网络,则向用户信息应用单元返回允许接入确认消息,否则返回拒绝接入确认消息。
步骤1f.如果判断用户合法且有权使用其选择的接入网络,则向用户返回接入认证、授权成功应答;如果判断用户无权使用其选择的接入网络或用户不合法,则向用户返回接入认证、授权拒绝应答。
上述方法二的具体应用实施例之一如图10所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤步骤1.WLAN UE已经通过WLAN AN 1完成了接入认证和授权,可以通过WLAN AN 1接入业务。
步骤2.由于一些特定的原因(例如切换),导致WLAN UE需要通过WLAN AN 2接入网络,因此,WLAN UE、WLAN AN 2和3GPP AAA Server之间进行接入认证、授权操作。用户选择的WLAN AN 2的标识发送给3GPPAAA Server。在漫游情况下,用户选择一个3GPP VPLMN作为认证授权信令的路径,WLAN UE、WLAN AN 2到3GPP AAA Server之间的AAA消息需要通过位于3GPP VPLMN中的3GPP AAA Proxy转发,AAA信令中也包括3GPPVPLMN标识。
步骤3.3GPP AAA Server根据步骤2带上来的WLAN AN 2的标识判断用户选择的WLAN AN发生了变化,则需要HLR/HSS确认用户是否有权接入其切换后的WLAN AN 2;此时,如果3GPP AAA Server上存储有用户的认证、授权信息,3GPP AAAServer可以不必从HLR/HSS获取认证和授权信息,仅需向HLR/HSS发起确认请求;如果3GPP AAA Server上没有存储用户的认证、授权信息,或存储的该用户认证、授权信息不再有效,则3GPP AAA Server还需要从HLR/HSS获取该用户的认证和授权信息。
3GPP AAA Server向HLR/HSS发起确认请求,要求HLR/HSS确认用户是否有权接入切换后的WLAN AN 2,可以通过SAR/SAA消息中的服务器分配类型(Server-Assignment-Type)属性增加新的参数来实现。
如果3GPP AAA Server中没有可用的认证信息,则3GPP AAA Server向HSS获取认证信息,在此过程中HLR/HSS验证用户是否有权接入其选择的访问网络;如果3GPP AAA Server中没有可用的授权信息,则3GPP AAA Server向HSS发送授权请求,获取授权信息,在此过程中HLR/HSS可以验证用户是否有权接入其选择的访问网络。
步骤4.HLR/HSS根据其存储的用户授权的访问WLAN网络列表,判断用户是否有权接入WLAN AN 2,如果无权,则向3GPP AAA Server返回失败/拒绝应答,并且不返回请求的认证和授权信息;如果用户有权接入WLAN AN2,则向3GPP AAA Server返回允许接入确认消息,以及用于认证的安全信息和授权信息。
步骤5.若3GPP AAA Server接收到HLR/HSS返回的允许接入确认消息,并利用从HLR/HSS获得的安全信息和授权信息判断用户是合法用户,则向WLAN UE返回认证、授权成功应答;否则,返回失败应答,拒绝WLAN UE从WLAN AN2接入网络。
上述方法二的具体应用实施例之二如图11所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤步骤1.WLAN UE已经通过WLAN AN和VPLMN1完成了接入认证和授权,可以通过WLAN AN接入业务。
步骤2.在漫游情况下,用户选择一个3GPP VPLMN作为认证授权信令的路径,WLAN UE、WLAN AN到3GPP AAA Server之间的AAA消息需要通过位于3GPP VPLMN中的3GPP AAA Proxy转发,AAA信令中也包括3GPPVPLMN标识。由于一些特定的原因(例如切换),导致WLAN UE需要通过VPLMN2接入网络,因此,WLAN UE、VPLMN2和3GPP AAA Server之间进行接入认证、授权操作。用户选择的WLAN AN的标识如果存在,也发送给3GPP AAA Server。
步骤3.3GPP AAA Server根据步骤2上报的VPLMN的标识判断用户选择的VPLMN发生了变化,无论此时3GPP AAA Server是否有用户的认证、授权信息,例如还有未用的认证向量,都从HLR/HSS获取认证和授权信息。
如果3GPP AAA Server判断出VPLMN没有发生变化,但3GPP AAA Server上没有存储用户的认证、授权信息,或存储用户的认证、授权信息不再有效,3GPP AAA Server也需要从HLR/HSS获取认证和授权信息。
步骤4.HLR/HSS根据其存储的授权的访问网络列表,需要判断用户是否有权接入VPLMN2,如果无权,则向3GPP AAA Server返回失败/拒绝应答,并且不返回请求的认证和授权信息;如果用户有权接入VPLMN2,则向3GPPAAA Server返回允许接入确认消息,以及用于认证的安全信息和授权信息。
步骤5.若3GPP AAA Server接收到HLR/HSS返回的允许接入确认消息,并利用从HLR/HSS获得的安全信息和授权信息判断用户是合法用户,则向WLAN UE返回认证、授权成功应答;否则,返回失败应答,拒绝WLAN UE从VPLMN2接入网络。
上述方法二的具体应用实施例之三如图12所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤步骤1.同图9的步骤1a,不重述;步骤2.用户信息应用单元判断用户选择的接入网络和/或核心网络是否发生变化,如果发生了变化,则执行步骤3,否则执行步骤4;步骤3.如果此时用户信息应用单元中有可用的认证和/或授权信息,则可以向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络;此步骤可以通过Diameter的RAR/RAA消息来要求HSS判断;如果此时用户信息应用单元中没有可用的认证信息,则用户信息应用单元向用户信息存储单元发送认证请求,获取认证信息,在此过程中用户信息存储单元验证用户是否有权接入其选择的访问网络;如果此时用户信息应用单元中没有可用的授权信息,则用户信息应用单元向用户信息存储单元发送授权请求,获取授权信息,在此过程中用户信息存储单元也可以验证用户是否有权接入其选择的访问网络;步骤4.同图9的步骤1f,不重述。
上述方法二的具体应用实施例之四如图13所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤步骤1-3.同图10的步骤1-3,不重述;步骤4.3GPP AAA Server向HLR/HSS发起请求(携带WLAN标识),确定用户是否有权接入其选择的WLAN AN;HLR/HSS根据其存储的授权的访问网络列表中的WLAN部分确定用户是否有权接入其选择的访问网络,并向3GPP AAA Server返回应答;步骤5.同图10步骤5,不重述。
上述方法二的具体应用实施例之五如图14所示,在该实施例中,假设用户选择的接入网络发生了变化,包括如下步骤步骤1-3.同图11的步骤1-3,不重述;步骤4.3GPP AAA Server向HLR/HSS发起请求(携带VPLMN标识),确定用户是否有权接入其选择的VPLMN;HLR/HSS根据其存储的授权的访问网络列表中的VPLMN部分确定用户是否有权接入其选择的访问网络,并向3GPP AAA Server返回应答;步骤5.同图11的步骤5,不重述。
本发明以上提供的实施例10和11,与实施例12、13和14的不同之处在于实施例10和11中,如果3GPP AAA Server判断出当前用户选择的访问网络发生了变化,就一定去HSS获取认证、授权信息,而不管此时3GPP AAAServer自身中是否还有可用的认证信息,在此过程中,HSS就判断用户是否可以接入其选择的访问网络。这个过程是利用Diameter的SAR/SAA消息完成的。
实施例12、13和14中,如果3GPP AAA Server判断出当前用户选择的访问网络发生了变化,但同时3GPP AAA Server自身中还有可用的认证信息,则3GPP AAA Server向HSS发出请求,只要求HSS判断用户用户选择的访问网络是否被允许,而不从HSS获取认证、授权信息。这个过程可以利用Diameter的RAR/RAA消息完成。
本发明还提供用户终端存储的授权网络列表更新方法,包括如下三种具体的更新方法。
方法一用户终端周期性发起授权访问网络列表更新请求,参见图15,具体步骤包括2a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授权;2b.用户终端向用户信息应用单元发送授权的访问网络列表更新请求消息,请求用户信息应用单元向其提供针对该用户的授权的访问网络列表信息,在该消息中包括用户的永久的或临时的身份标识符;2c.可选地,用户信息应用单元对用户进行认证和授权,判断用户是否合法(可能需要和用户信息存储单元进行交互),如果用户不合法,则向用户终端返回授权的访问网络列表更新请求拒绝应答,可能还会指明原因,并终止后续流程;如果用户合法,则继续执行下列步骤;如果执行了前述步骤2a,则该步骤2c可以省略;2d.用户信息应用单元从用户信息存储单元获取授权的访问网络列表;用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Server-Assignment-Request/-Answer(SAR/SAA)消息,AAR/AAA消息等;2e.用户信息应用单元向用户终端返回授权的访问网络列表更新请求应答消息,消息中携带该用户的授权的访问网络列表信息。
可选地,发送给用户终端的授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP消息等。
方法二用户信息存储单元发送授权访问网络列表更新通知,参见图16,具体步骤包括3a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授权;3b.用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息,在该消息中带有用户的身分标识(永久标识和临时标识),要求用户信息应用单元通知用户更新授权的访问网络列表;3c.用户信息应用单元判断用户是否在线,如果在线,则向用户终端发送授权的访问网络列表更新通知消息,如果用户不在线,用户信息应用单元可以向用户信息存储单元返回应答,告知用户不在线,无法通知用户更新,也可以将通知消息暂存一段时间,在这段时间内如果用户上线,则通知用户,如果这段时间内用户没有上线,则向用户信息存储单元返回应答,告知无法通知用户更新;3d.用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息,请求用户信息应用单元向其提供针对该用户授权的访问网络列表信息,在该消息中包括用户的永久的或临时的身份标识符;3e.可选地,用户信息应用单元对用户进行认证和授权,判断用户是否合法(可能需要和用户信息存储单元进行交互),如果用户不合法,则向用户终端返回授权的访问网络列表更新请求拒绝应答,可能还会指明原因,并终止后续流程;如果用户合法,则继续执行下列步骤;如果执行了前述步骤3a,则该步骤3e可以省略;3f.用户信息应用单元从用户信息存储单元获取用户授权的访问网络列表;用户信息存储单元向用户信息应用单元提供授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Server-Assignment-Request/-Answer(SAR/SAA)消息,AAR/AAA消息等;3g.用户信息应用单元向用户终端返回授权的访问网络列表更新请求应答消息,消息中携带该用户的授权的访问网络列表信息。
可选地,发送给用户终端的授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP消息等。
方法三用户信息存储单元推送授权的访问网络列表,参见图17,具体步骤包括
4a.用户终端、无线接入网络和用户信息应用单元之间完成接入认证和授权;4b.用户信息存储单元向用户信息应用单元推送(PUSH)更新的授权的访问网络列表信息,在该消息中带有用户的身分标识(永久标识和临时标识),要求用户信息应用单元通知用户更新授权的访问网络列表;用户信息存储单元向用户信息应用单元推送授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Push-Profile-Request/-Answer(PPR/PPA)消息,AAR/AAA消息等,RADIUS协议的Change-of-Authorisation(CoA)消息等;4c.用户信息应用单元向用户终端推送(PUSH)更新的授权的访问网络列表信息;用户信息应用单元向用户终端推送授权的访问网络列表可以使用新定义的信令消息,也可以重用现有的协议和信令消息(通过增加新的参数和相应的值),例如Diameter协议中的Push-Profile-Request/-Answer(PPR/PPA)消息,AAR/AAA消息等,RADIUS协议的Change-of-Authorisation(CoA)消息等;可选地,发送给用户终端地授权的访问网络列表信息可以通过加密的方式发送,例如使用加密的Diameter属性值对(AVP),或使用加密的EAP消息等;4d.可选地,用户终端向用户信息应用单元返回授权的访问网络列表信息更新确认,用户信息应用单元再将确认消息发送给用户信息存储单元。
在流程2a-2e、3a-3g、4a-4d中,用户信息应用单元可以是认证、授权和计费服务器,也可以是特定的用于用户软件、信息升级的应用服务器,或其他通用应用服务器;用户存储应用单元可以是归属位置寄存器(HLR)或归属用户服务器(HSS),也可以是其他用户信息存储数据库。
根据本发明的上述方法,本发明提供一种无线网络接入控制系统,其具体结构示意图如图18所示,包括用户信息应用单元和用户信息存储单元。
用户信息应用单元接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元中获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答。
用户信息应用单元具体结构包括认证、授权处理模块、第二存储模块和第二判断模块。其中认证、授权处理模块接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答;当认证、授权处理模块收到用户终端通过无线网络发起的接入认证、授权请求时发送给第二判断模块,并从用户信息存储模块中获取用户授权的访问网络列表信息,保存到本地的第二存储模块中;第二判断模块根据第二存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给认证、授权处理模块。
用户信息存储单元存储用户授权的访问网络列表信息和用于认证、授权的用户信息,确认用户是否有权接入其选择的访问网络,并将确认结果信息发送给用户信息应用单元。
用户信息存储单元的具体结构包括消息发送/接收模块、第一存储模块和第一判断模块;当消息发送/接收模块接收到用户信息应用单元中的认证、授权处理模块发起的获取用于认证、授权的用户信息的获取请求时,发送给第一判断模块;第一判断模块根据第一存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给所述消息发送/接收模块;
消息发送/接收模块转发所述判断结果信息给用户信息应用单元中的认证、授权处理模块,通知用户终端。
根据需要,用户信息存储单元和用户信息应用单元可以是独立的模块,分开设置,如3GPP系统中的HLR/HSS和3GPP AAA Server;也可以合设在一个功能实体中,作为功能实体的不同逻辑模块,其间的接口也就成为内部接口。
综上所述,当用户选择访问网络发起认证、授权请求时,本发明提供了一套完整的认证、授权信令流程,采用本发明方法能有效判断出用户是否有权接入其选择的访问网络。
本发明还提供了三种更新用户终端内部存储的访问网络列表信息的方法,使终端中存储的访问网络列表信息与运营商当前授权给该用户的可接入访问网络信息同步更新。
根据本发明提供的上述方法,本发明还提供了一种相对应的用户接入无线网络的控制系统。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种用户接入无线通信网络的方法,其特征在于包括用户选择一访问网络发起接入认证、授权请求;网络侧判断该用户是否为合法用户,并根据存储的该用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络;若用户合法且有权接入其选择的访问网络,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
2.如权利要求1所述的方法,其特征在于,所述用户授权的访问网络列表存储在网络侧的用户信息存储单元中;当用户通过无线接入网络向网络侧的用户信息应用单元发起接入认证、授权请求时,执行下列步骤A、用户信息应用单元从用户信息存储单元中获取该用户授权的访问网络列表信息;B、用户信息应用单元根据所述用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络,若是,且该用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
3.如权利要求2所述的方法,其特征在于,所述步骤A包括A1、用户信息应用单元向用户信息存储单元发起认证、授权信息获取请求,并同时请求获取该用户授权的访问网络列表;A2、用户信息存储单元向用户信息应用单元下发请求的认证、授权信息和该用户授权的访问网络列表;所述步骤B中,用户信息应用单元根据接收的认证、授权信息判断用户是否合法;并根据接收的用户授权的访问网络列表,判断用户选择的访问网络标识是否包含在该用户授权的访问网络列表中,若是,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
4.如权利要求3所述的方法,其特征在于,所述步骤A2前还包括用户信息存储单元判断当前用户是否有权接入其选择的访问网络,若是,则执行所述步骤A2;否则,用户信息存储单元拒绝用户信息应用单元发起的获取请求。
5.如权利要求4所述的方法,其特征在于,若用户信息存储单元拒绝用户信息应用单元发起的获取请求,则向用户信息应用单元返回获取请求拒绝应答,并携带拒绝原因。
6.如权利要求3所述的方法,其特征在于,所述步骤A2中,用户信息存储单元向用户信息应用单元下发用户授权的访问网络列表时,使用新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
7.如权利要求3所述的方法,其特征在于,用户信息应用单元在向用户返回成功应答或拒绝应答中,将该用户授权的访问网络列表发送给用户终端。
8.如权利要求7所述的方法,其特征在于,所述用户信息应用单元将该用户授权的访问网络列表加密后发送给用户终端。
9.如权利要求1所述的方法,其特征在于,所述用户授权的访问网络列表存储在网络侧的用户信息存储单元中;当用户通过无线接入网络向网络侧的用户信息应用单元发起接入认证、授权请求时,执行下列步骤a、用户信息应用单元判断用户选择的访问网络是否发生了变化,若是,则继续下列步骤;否则,按现有技术相应流程处理;b、用户信息应用单元向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络;c、用户信息存储单元根据其存储的用户授权的访问网络列表,确定用户是否有权接入其选择的访问网络,并向用户信息应用单元返回允许接入或拒绝接入的应答消息;d、若用户信息应用单元接收到用户信息存储单元返回的允许接入应答消息,且判断出用户为合法用户,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。
10.如权利要求9所述的方法,其特征在于,若用户信息应用单元确定出本地存储有该用户的认证、授权有效信息,则使用本地存储的该用户的认证、授权信息对该用户身份进行合法性判断;否则,从用户信息存储单元中获取该用户的认证、授权信息对该用户身份进行合法性判断。
11.如权利要求9所述的方法,其特征在于,若用户信息应用单元确定出本地没有存储该用户的认证、授权信息,则所述步骤a中,用户信息应用单元向用户信息存储单元发起认证、授权信息获取请求,并同时请求确认用户是否有权接入其选择的访问网络;所述步骤c中,用户信息存储单元若判断出用户有权接入其选择的访问网络,则向用户信息应用单元下发请求的认证、授权信息和允许接入应答消息;否则,向用户信息应用单元返回拒绝接入应答消息。
12.如权利要求9所述的方法,其特征在于,所述步骤b中,用户信息应用单元向用户信息存储单元发送请求,要求用户信息存储单元确认用户是否有权接入其选择的访问网络时,通过一个新定义的信令消息携带;或通过现有协议信令消息中空闲的或新增的参数携带。
13.如权利要求1-12任意权项所述的方法,其特征在于,还包括用户终端按设定周期向用户信息应用单元发送授权的访问网络列表更新请求消息的步骤;用户信息应用单元判断用户是否合法,若为合法用户,则将本地保存的用户授权的访问网络列表或从用户信息存储单元中获取用户授权的访问网络列表发送给该用户终端。
14.如权利要求1-12任意权项所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元发送授权的访问网络列表更新通知消息的步骤;用户信息应用单元若判断用户在线,则转发所述更新通知消息给用户终端;用户终端收到更新通知消息后,向用户信息应用单元发送授权的访问网络列表更新请求消息;用户信息应用单元从用户信息存储单元中获取用户授权的访问网络列表发送给用户终端。
15.如权利要求1-12任意权项所述的方法,其特征在于,还包括用户信息存储单元向用户信息应用单元推送(PUSH)授权的访问网络列表信息的步骤;用户信息应用单元将接收的用户授权的访问网络列表推送给相应的用户终端。
16.如权利要求15所述的方法,其特征在于,还包括用户终端接收到授权的访问网络列表后,向用户信息应用单元返回更新确认消息的步骤;用户信息应用单元再将该更新确认消息转发给用户信息存储单元。
17.如权利要求1-12任意权项所述的方法,其特征在于,所述用户授权的访问网络列表包括授权的访问接入网络、授权的访问核心网络以及授权的访问连接性服务网络其中之一或其组合。
18.如权利要求17所述的方法,其特征在于,若用户漫游,则用户发起的接入认证、授权请求通过代理认证、授权和计费服务器(AAA Proxy)转发。
19.一种无线网络接入控制系统,其特征在于包括用户信息应用单元接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元中获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答;用户信息存储单元存储用户授权的访问网络列表信息和用于认证、授权的用户信息,确认用户是否有权接入其选择的访问网络,并将确认结果信息发送给用户信息应用单元。
20.如权利要求19所述的系统,其特征在于,所述用户信息应用单元包括认证、授权处理模块接收用户终端通过无线网络发起的接入认证、授权请求;根据本地存储的用于认证、授权的用户信息或从用户信息存储单元获取用于认证、授权的用户信息,对用户身份进行合法性判断;并向用户终端输出认证、授权请求成功应答或拒绝应答;所述用户信息存储单元包括消息发送/接收模块、第一存储模块和第一判断模块;当消息发送/接收模块接收到所述认证、授权处理模块发起的获取用于认证、授权的用户信息的获取请求时,发送给第一判断模块;第一判断模块根据第一存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给所述消息发送/接收模块;所述消息发送/接收模块转发所述判断结果信息给用户信息应用单元中的认证、授权处理模块,通知用户终端。
21.如权利要求20所述的系统,其特征在于,所述用户信息应用单元还包括第二存储模块和第二判断模块;当认证、授权处理模块收到用户终端通过无线网络发起的接入认证、授权请求时发送给第二判断模块,并从用户信息存储单元中获取用户授权的访问网络列表信息,保存到本地的第二存储模块中;第二判断模块根据第二存储模块中存储的用户授权的访问网络列表信息,判断用户是否有权接入其选择的访问网络,并将允许接入或拒绝接入的判断结果信息返回给认证、授权处理模块。
22.如权利要求19所述的系统,其特征在于,所述用户信息应用单元为独立的具有外部接口的网络实体;或为现有网络功能实体的逻辑模块。
23.如权利要求22所述的系统,其特征在于,所述现有网络功能实体为3GPP认证、授权和计费服务器(AAA服务器)。
24.如权利要求19所述的系统,其特征在于,所述用户信息存储单元为独立的具有外部接口的网络实体;或为现有网络功能实体的逻辑模块。
25.如权利要求24所述的系统,其特征在于,所述现有网络功能实体为归属位置寄存器(HLR)或归属用户服务器(HSS)。
全文摘要
本发明公开了一种用户接入无线通信网络方法与控制装置。本发明方法包括用户选择一访问网络发起接入认证、授权请求;网络侧判断该用户是否为合法用户,并根据存储的该用户授权的访问网络列表,判断该用户是否有权接入其选择的访问网络;若用户合法且有权接入其选择的访问网络,则向用户返回认证、授权成功应答;否则向用户返回拒绝应答。本发明装置包括用户信息应用单元和用户信息存储单元。本发明能对用户是否有权接入其选择的访问网络进行准确判断,从而对用户接入无线网络进行控制。
文档编号H04L9/32GK1794676SQ20051009029
公开日2006年6月28日 申请日期2005年8月12日 优先权日2005年8月12日
发明者张鹏, 张文林, 张海, 孙成振 申请人:华为技术有限公司