专利名称:用户设备验证方法、设备标识寄存器以及接入控制系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及用户设备验证方法、设 备标识寄存器以及接入控制系统。
背景技术:
随着网络技术的发展,集成各种网络类型接入功能的终端也越 来越多。用户不仅希望网络能够对签约用户进^f亍管理,同时也希望 能够对终端设备进行有效的管理。这样,才能更有效地保障合法终 端用户和合法终端厂商的4又益。例如,随着3GPP (3rd Generation Partnership Project,第三 合fN火^半i十划)LTE/SAE ( Long Term Evolution/Service Architecture Evolution,长期演进技术/业务架构长期演进)的飞速发展,很多非 3GPP终端会集成3GPPLTE接入功能,现有的3GPP网络一般可以 识别本网全各域的终端ID (Device Identity, i殳备号),并对终端4妄入 进行管理。但是如果其他网络类型,例如3GPP2, WiMAX( Worldwide Interoperability for Microwave Access ,樣b皮才妄入全3求互通),WLAN (Virtual Local Area Network,虚拟局域网)等具有3GPP LTE网绍" 接入功能的终端企图接入3GPP网络,那么3GPP网络将无法识别 该终端设备ID,使得3GPP网络对该终端的管理变得困难或无能为 力。一种可能的场景当使用一台支持3GPP LTE接入的非法笔记 本电脑(偷盗的)接入3GPP LTE/SAE提供的业务,因为该笔记本 电脑为非3GPP终端,那么当前3GPP网络无法解析该笔记本电脑 的MAC ( Medium Access Control,々某体访问控制);也址而对该笔i己 本终端不进行任何终端ID校验而直接允许该笔记本电脑使用3GPP 网络^是供的业务。另外一种可能的场景当一部被盗的和克隆的支持3GPP网络 的多模非3GPP终端,如果该终端试图接入3GPP网络提供的业务, 那么3GPP网络将无法识别该终端的设备标识而只能默认允许该终 端4妄入网络。以上两种场景都将有悖电信网终端可管理的原则,并可能导致 合法的终端厂商以及终端的合法用户的利益受到侵害。因此提供一 种技术方案使得某个网络的提供商能够对各种网络类型的终端进行 安全高效地管理是非常有意义的。在实现本发明过程中,发明人发现现有技术中至少存在如下问 题3GPP网络无法识别非本网络的终端ID,对于非本网络的终端 的接入请求不进行认证,默认为该终端提供服务。发明内容本发明旨在提供用户设备马全证方法、接入控制系统以及设备标 识寄存器,以解决现有4支术中3GPP网络无法识别非3GPP终端的 问题。根据本发明的一个方面,提供了一种用户设备验证方法。根据本发明实施例的用户设备验证方法,包括设置有不同网 络共享的设备标识寄存器,其中,共享设备标识寄存器存储有非法用户设备标识;共享设备标识寄存器接收来自移动管理实体的ID 验证请求,其中,ID验证请求中携带有用户设备的ID参数;共享 设备标识寄存器4艮据ID参数验证用户设备的合法性,并向移动管理 实体返回验证结果。优选地,共享设备标识寄存器验证ID ,验证请求中携带的ID参 数对应的用户设备的合法性的操作具体为共享设备标识寄存器提 取ID验证请求携带的ID参数;共享设备标识寄存器将提取的ID 参数与自身存储的非法用户设备标识进行匹配,如果匹配成功,则 ID参数对应的用户设备为非法,如果匹配失败,则ID参数对应的 用户i殳备为合法。伊C选地,该方法还包括移动管理实体才艮据-验证结果控制用户 设备接入3GPP网络,其中,如果验证结果为合法,则允许用户设 备接入3GPP网络,否则,禁止用户设备接入3GPP网络。优选地,在共享设备标识寄存器接收来自移动管理实体的ID 验证请求之前和/或共享设备标识寄存器才艮据ID参数验证用户设备 的合法性,并向移动管理实体返回,验证结果之后,上述方法还包括 移动管理实体对请求接入3GPP网络的用户设备发送ID请求;移动 管理实体接收用户设备返回的ID响应,其中,ID响应中包括用户 设备的ID参数。优选地,不同网络包括3GPP、 3GPP2、 WiMAX以及WLAN。优选地,共享设备标识寄存器存储的非法用户设备标识包括非 法的非3GPP网络用户设备标识和非法的3GPP网络用户设备标识。其中,上述的用户设备的ID参数包括以下至少之一或其组合 国际移动用户识别码国际移动设备身份码、MAC地址以及移动设备 身^f分识别码。冲艮据本发明的另一方面,还提供了一种设备标识寄存器。根据本发明实施例的设备标识寄存器,包括存储模块,用于 存储不同网络中非法用户设备标识;接收模块,用于接收来自网络 侧的ID验证请求,其中,ID-验证请求中携带有用户设备的ID参数; 验证模块,用于根据非法用户设备标识和ID参数验证用户设备的合 法性,并向网络侧返回验证结果。优选地,非法用户设备标识包括非法的非3GPP网络用户i殳备 标识和/或非法的3GPP网络用户设备标识。优选地,验证模块进一步包括提取模块,用于提取ID验证 请求中携带的ID参数;匹配模块,用于将ID参数与非法用户设备 标识进行匹配;判决模块,用于根据匹配模块的匹配结果判决ID 参数对应的用户设备的合法性;反馈模块,用于向网络侧返回验证 结果。优选地,如果匹配模块匹配成功,则判决模块判决ID参数对 应的用户设备为非法;如果匹配模块匹配失败,则判决模块判决ID 参数对应的用户设备为合法。才艮据本发明的另一方面,还才是供了一种4妄入控制系统。根据本发明实施例的接入控制系统,包括共享设备标识寄存 器,用于存储多个网络的非法用户设备标识,接收ID验证请求,其 中,ID验证请求中携带有用户设备的ID参数,并根据非法用户设 备标识和ID参数验证用户设备的合法性,并返回验证结果;移动管 理实体,用于接收验证结果,并根据验证结果控制用户设备接入 3GPP网络。优选地,共享设备标识寄存器包括存储才莫块,用于存储非法 用户设备标识,其中,非法用户设备标识包括非法的非3GPP网络 用户设备标识和/或非法的3GPP网络用户设备标识;接收模块,用 于接收来自网络侧的ID验证请求,其中,ID验证请求中携带有用 户设备的ID参数;验证模块,用于根据非法用户设备标识和ID参 数验证用户设备的合法性,并向网络侧返回验证结果。优选地,验证模块进一步包括提取模块,用于提取ID验证 请求中携带的ID参数;匹配才莫块,用于将ID参数与非法用户设备 标识进行匹配;判决模块,用于根据匹配模块的匹配结果判决ID 参数对应的用户设备的合法性;反馈模块,用于向网络侧返回验证 结果。优选地,移动管理实体具体包括4妾入控制冲莫块,用于如果-验 证结果为合法,则允许用户设备接入3GPP网络,如果-验证结果为 非法,则禁止用户设备接入3GPP网络;ID收发模块,用于对请求 接入3GPP网络的用户设备发送请求消息,用以获得用户设备的ID 参数;并用于接收用户设备返回的ID响应,其中,ID响应中包括 用户i殳备的ID参凄t。根据本发明的另 一方面,还提供了 一种用户设备验证方法。根据本发明实施例的用户设备-验证方法,包括步骤S402,在 用户设备接入网络后,网络侧设备向用户设备发送请求消息,用以 获得用户设备的ID参数;步骤S404,用户设备接受请求消息,并 发送响应消息至网络侧设备,响应消息中包括用户设备的ID参数; 步骤S406,网络侧设备向设备标识存储器发送用户设备ID验证请 求消息,验i正请求消息中包括用户i殳备的ID参凄t;步骤S408,设 备标识存储器接收来自网络侧设备的ID验证请求,根据ID参数验 证用户设备的合法性,并向网络侧设备返回验证结果。中设备标识存储器向网络侧设备返回验 证结果之后,该方法还包括步骤S410,网络侧设备对请求接入/ 接入中的网络的用户设备发送请求消息,用以获得用户设备的ID 参数;网络侧设备接收用户i殳备返回的ID响应,其中,ID响应中 包括用户i殳备的ID参数。优选地,在步骤S410之后上述方法进一步包括4丸行步骤S406 和步骤S408。优选地,网络为3GPP网络,用户设备包括支持3GPP接入功 能的非3GPP网纟各用户i殳备。优选地,设备标识存储器用以存储非法用户设备标识,包括非 法的非3GPP网络用户设备标识和非法的3GPP网络用户"i殳备标识, 步骤四进一步包括设备标识存储器判断ID参数与自身存储的非法 用户设备标识是否相同,在相同的情况下,向网络侧设备反馈用户 设备合法的验证结果,用以供网络侧设备允许用户设备的服务请求; 否则,向网络侧设备反馈用户设备非法的验证结果,用以供网络侧 设备禁止用户设备的服务请求。优选地,用户i殳备的ID参凄t包括以下至少之一或其组合国 际移动用户识别码、国际移动设备身份码、MAC地址以及移动设备 身4分识别码。优选地,网络侧设备包括移动管理实体,设备标识存储器为共 享i殳备标识寄存器,用以共享3GPP网全各和非3GPP网络中非法的 用户设备标识。优选地,上述的非3GPP网络至少包括3GPP2、 WiMAX以及 WLAN。根据本发明的另 一方面,还提供了 一种用户设备验证方法。根据本发明实施例的用户设备验证方法,包括步骤S502,在 具有3GPP网络接入功能的非3GPP网络用户设备接入3GPP网络 后,网络侧设备向非3GPP网络用户设备发送获取非3GPP网络用 户设备唯一标识参数的请求消息;步骤S504,非3GPP网络用户i殳 备接受请求消息后,反馈非3GPP网络用户设备唯一标识参数至网 络侧设备;步骤S506,网络侧设备向存储有非法的非3GPP网络用 户i殳备唯一标识参凄t的存^f诸单元发送非3GPP网络用户i殳备唯一标 识参数验证请求消息,验证请求消息中包括非3GPP网络用户设备 唯一标识参数;步骤S508,存储单元接收来自网络侧设备的非3GPP 网络设备唯一标识参数验证请求,根据存储的非法的非3GPP网络 用户设备唯一标识参数验证非3GPP网络用户设备的合法性。优选地,步骤S502中,网络侧设备定期向非3GPP网络用户诏: 备发送获取非3GPP网络用户设备唯一标识参数的请求消息。通过本发明的上述技术方案,使非法用户的名单在多个网络共 享,对接入3GPPs网络的不同网络类型的终端设备实施有效的接入 控制管理,能够禁止具有3GPP网络接入能力的非法的非3GPP网 络用户设备接入3GPP网络。
此处所i兌明的附图用来提供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中图l是4艮据本发明实施例的网络实体的示意图;图2是冲艮据本发明一个实施例的用户i殳备验证方法的流程图;图3是才艮据本发明实施例的消息交互的示意图;图4是根据本发明另一实施例的用户设备^r证方法的流程图; 图5是根据本发明另一实施例的用户设备验证方法的流程图; 图6是4艮据本发明实施例的^L备标识寄存器的框图; 图7是根据本发明实施例的接入控制系统的框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例4义用于i兌明和解释本发明,并不用于限定本 发明。图1示出了用于实现根据本发明实施例的网络实体。如图1所 示,该网络实体主要包括用户设备(User Equipment,简称为UE), 包括3GPP终端和非3GPP终端,3GPP网络侧核心控制/交换i殳备, 主要为移动管理实体(Mobility Management Entity,简称、为MME ) 和共享纟冬端i殳备标识寄存器(Central Device Identity Register,简称 为CDIR)。本发明中的终端(UE)实体特指可以接入两个或多个通讯网络 的多才莫终端,如多模手冲几终端、支持LTE功能的PC (Personal Computer,个人电脑)终端等。MME在本发明中主要用于请求/接 收终端实体的ID信息并请求CDIR对终端实体ID进行检查,根据 检查结果控制终端实体是否可以接入3GPP网络。CDIR用于存储不 同网络域终端实体的唯一标识,同时能够处理MME发送过来的终 端ID^r查i青求。方法实施例根据本发明实施例,提出了一种用户设备验证方法。在UE接入3GPP网络后,此时3GPP网络开始UE的ID请求 过程,要求终端将ID参数上报给3GPP网络;另夕卜,在UE 4妾入3GPP 网络后,网络侧也会周期性地或根据预定的策略主动发起询问UE 的ID,开始UE的ID请求过程,要求终端将ID参数上才艮给3GPP 网络。其中,UE的ID参数包括但不限于签约客户模块标识以及UE 的ID。对于3GPP终端而言,ID参凄t可以是IMSI( International Mobile Subscriber Identity,国际移动用户i口、别石马)和IMEI (International Mobile Equipment Identity,国际移动设备身l分码)等;对于支持 LTE/SAE能力的非3GPP终端而言,那么可以是IMSI和MAC地址 或MEID ( Mobile Equipment Identity,移动i殳备身4分识别码)。基于上述内容,MME对请求接入3GPP网络的UE发送ID请 求;MME 4矣收UE返回的ID响应,其中,ID响应中包4舌UE的ID参数。*接下来,可以进4亍如图2所示的以下处理步骤S202, i殳置有不同网络共享的CDIR,其中,CDIR存储 有非法UE标识(黑名单);上面提到的不同制式的多个网络包括但 不P艮于3GPP、 3GPP2、 WiMAX以及WLAN等;步骤S204, CDIR接收来自MME的ID—睑证请求,其中,ID 一验证请求中携带有UE的ID参数;步骤S206, CDIR 4艮据ID参数验证UE的合法性,并向MME 返回-验i正结果。在步骤S206中,CDIR验证ID验证请求中携带的ID参数对应的UE的合法性的操作具体为CDIR提取ID验证请求携带的ID参数,并将提取的ID参数与自身存储的非法UE标识进4于匹配,如果匹配成功,贝'J ID参tt对应的UE为非法,如果匹配失败,贝,J ID参tt^j"应的UE为合法。
之后,MME可以根据验证结果控制UE接入3GPP网络,其中,如果验证结果为合法,则允许UE接入3GPP网络,否则,禁止UE接入3GPP网络。
其中,CDIR存^f诸的非法UE标识包括非法的非3GPP网络UE标识和非法的3GPP网络UE标识。
通过上述优选实施例,在UE的ID验证过程中要求3GPP网络强制对非3GPP网络类型的UE进行认证,检查该UE是否在非法UE的黑名单(Blacklist )中,并返回冲企查结果以确定是否为该非3GPP网络类型的UE提供其所请求的服务。
图3示出了4艮据本发明实施例的用户i殳备-验证方法的详细处理流^E。如图3所示,消息交互流^E如下
步骤S302, UE请求接入3GPP网络,3GPP网络通过网络侧MME向UE发送"ID请求"消息发起终端识别过程。在该消息的ID类型信息单元中,"ID请求"消息可以指定希望获取的ID参数。ID参数包含但不限于IMSI和终端ID等;
步骤S304,在UE保持无线连接的情况下,将返回"ID响应"来响应MME发送的"ID i青求"消息。该"ID响应"消息^1夸包含MME请求校验的ID参tt;
步骤S306, MME向CDIR发送"ID冲企查请求";
18步骤S308, CDIR向MME返回"ID才企查结果"消息;
步骤S310,基于CDIR返回的"ID检查结果"消息,MME可以决定是否为该终端提供相应的服务。
根据本发明的实施例,还提出了 一种用户设备验证方法。
如图4所示,根据本发明实施例的用户设备验证方法,包括以下处理
步骤S402 ,在UE接入网络后,网络侧设备向UE发送请求消息,用以获得UE的ID参数;
步骤S404, UE接受请求消息,并发送响应消息至网络侧"i殳备,响应消息中包4舌UE的ID参凄t;
步骤S406,网络侧设备向设备标识存储器发送UEID验证请求消息, -验i正请求消息中包括UE的ID参数;
步骤S408,设备标识存储器接收来自网络侧设备的ID验证请求,根据ID参数验证UE的合法性,并向网络侧设备返回验证结果。
在步骤S408中设备标识存储器向网络侧设备返回验证结果之后,上述方法还包括步骤S410,网络侧设备对请求接入/接入中的网络的UE发送请求消息,用以获得UE的ID参数;网络侧设备才妾收UE返回的ID响应,其中,ID响应中包4舌UE的ID参凄t。
并且,步骤S410之后上述方法进一步包括执行步骤S406和步骤S稱。
上述的网络为3GPP网络,UE包括支持3GPP 4妄入功能的非3GPP网络UE。并且,设备标识存储器用以存储非法UE标识,包括非法的非3GPP网络UE标识和非法的3GPP网络UE标识,步骤S408进一步包括设备标识存储器判断ID参数与自身存储的非法UE标识是否相同,在相同的情况下,向网络侧设备反々贵UE合法的-验证结果,用以供网络侧设备允许UE的服务请求;否则,向网络侧设备反馈UE非法的-验i正结果,用以供网络侧设备禁止UE的力良务i青求。
其中,UE的ID参凄t包4舌以下至少之一或其组合IMSI、 IMEI、MAC地址以及MEID。
上述的网络侧i殳备包括移动管理实体,i殳备标识存^t器为共享i殳备标识寄存器,用以共享3GPP网络和非3GPP网全各中非法的UE标识。
其中,上述的非3GPP网络至少包4舌3GPP2、 WiMAX以及WLAN。
通过上述优选实施例,网络侧主动验证接入其3GPP网络的UE的合法性,能够识别出接入3GPP网络的非法的非3GPP网络UE,并禁止该具有3GPP网络接入能力的非法的非3GPP网络UE接入3GPP网络。
根据本发明的实施例,还提出了 一种用户设备验i正方法。
如图5所示,根据本发明实施例的用户设备验证方法,包括以下处理
步骤S502,在具有3GPP网络接入功能的非3GPP网络UE接入3GPP网络后,网络侧设备向非3GPP网络UE发送获取非3GPP网络UE唯一标识参数的请求消息;步骤S504,非3GPP网络UE接受请求消息后,反馈非3GPP网络UE唯一标识参数至网络侧设备;
步骤S506,网络侧设备向存储有非法的非3GPP网络UE唯一标识参数的存储单元发送非3GPP网络UE唯一标识参凄t验证请求消息,验证请求消息中包括非3GPP网络UE唯一标识参数;
步骤S508,存储单元接收来自网络侧设备的非3GPP网络设备唯一标识参数验证请求,根据存储的非法的非3GPP网络UE唯一标识参数-睑i正非3GPP网络UE的合法性。
步骤S502中,网络侧设备定期向非3GPP网络UE发送获取非3GPP网络UE唯一标识参数的请求消息。
上述的存4诸单元可以为具有独立物理实体的存储装置;当然该存储单元也可以为逻辑存储装置,设置于其他的网络侧_没备中。
通过上述优选实施例,网络侧主动验证接入其3GPP网络的非3GPP网络的用户的合法性,能够禁止具有3GPP网络接入能力的非法的非3GPP网络UE接入3GPP网络。
i殳备实施例
根据本发明实施例,还提供了一种设备标识寄存器,其由不同制式的多个网络共享,这里提到的不同制式的多个网全各包括3GPP、3 GPP2 、 WiMAX以及WLAN等。
图6示出了根据本发明实施例的设备标识寄存器的优选结构。如图6所示,该设备标识寄存器包括存储模块102,用于存〗诸不同网络中非法UE标识;接收才莫块104,用于接收来自网络侧的ID验证请求,其中,ID验证请求中携带有UE的ID参数;验证模块
21106,分别与存储模块102以及接收模块104相连接,用于根据非法UE标识和ID参数验证UE的合法性,并向网络侧返回—睑证结果,其中,存储才莫块存储的非法UE标识是非3GPP网络UE标识和3GPP网络UE标识。
其中,非法UE标识包括非法的非3GPP网络UE标识和/或非法的3GPP网络UE相W只。
优选地,验证模块106进一步包括提取4莫块(图中未示出),用于提取ID验证请求中携带的ID参数;匹配模块(图中未示出),分别与提取模块以及存储冲莫块102相连接,用于将ID参数与非法UE标识进行匹配;判决才莫块(图中未示出),与匹配才莫块相连4妄,用于才艮才居匹配才莫块的匹配结果判决ID参凄W于应的UE的合法性;反馈模块(图中未示出),与判决模块相连接,用于向网络侧返回验i正结果。
其中,如果匹配冲莫块匹配成功,则判决4莫块判决ID参数对应的UE为非法;如果匹配才莫块匹配失败,则判决才莫块判决ID参翁:对应的UE为合法。
另外,UE的ID参数可以包括IMSI及以下至少之一IMEI、MAC地址以及MEID 。
系纟充实施例
才艮据本发明实施例,还才是供了一种接入控制系统。
图7示出了 4艮据本发明实施例的接入控制系统的优选结构。如图7所示,该接入控制系统包括共享设备标识寄存器10,由不同网络共享,用于存储多个网络的非法UE标识,接收ID验证请求,其中,ID -验证请求中携带有UE的ID参数,并才艮据非法UE标识和ID参数验证UE的合法性,并返回验证结果;移动管理实体(MME)20,用于接收验证结果,并根据验证结果控制UE接入3GPP网络;其中,不同制式的多个网络包4舌3GPP、 3GPP2、 WiMAX以及WLAN。
其中,共享设备标识寄存器10包括存储模块(图中未示出),用于存4诸非法UE标识,其中,非法UE标识包括非法的非3GPP网络UE标识和/或非法的3GPP网络UE标识;接收才莫块(图中未示出),用于接收来自网络侧的ID-验证请求,其中,ID马企证请求中携带有UE的ID参数;验证模块(图中未示出),分别与存储冲莫块以及接收模块相连接,用于根据非法UE标识和ID参凄L验证UE的合法性,并向网络侧返回验证结果;并且,非法UE标识是非3GPP网络UE标识和3GPP网络UE标识。
进一步,验证模块包括提取模块(图中未示出),用于提取ID验证请求中携带的ID参数;匹配模块(图中未示出),分别与才是取模块以及存储模块相连接,用于将ID参数与非法UE标识进行匹配;判决模块(图中未示出),与匹配模块相连接,用于根据匹配模块的匹配结果判决ID参数对应的UE的合法性;反馈模块(图中未示出),与判决模块相连接,用于向网络侧返回验证结果。
并且,如果匹配模块匹配成功,则判决模块判决ID参数对应的UE为非法;如果匹配才莫块匹配失败,则判决冲莫块判决ID参凝:对应的UE为合法。
上述的MME 20具体包括接入控制模块(图中未示出),用于如果验证结果为合法,则允许UE接入3GPP网络,如果验i正结果为非法,则禁止UE接入3GPP网络;ID收发模块(图中未示出),用于对请求接入3GPP网络的UE发送请求消息,用以获得UE的ID参数;并用于接收UE返回的ID响应,其中,ID响应中包括UE的ID参数。
另外,UE的ID参凄t包括「IMSI及以下至少之一IMEI、 MAC地址以及MEID。
通过本发明的上述4支术方案,3GPP网络对接入其网络的非3GPP网络类型的UE进行验证,能够控制具有3GPP网络接入能力的非法的非3GPP网络UE接入3GPP网络,维护了合法终端制造商和合法终端用户的利益。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述^f又为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种用户设备验证方法,其特征在于,包括设置有不同网络共享的设备标识寄存器,其中,所述共享设备标识寄存器存储有非法用户设备标识;所述共享设备标识寄存器接收来自移动管理实体的ID验证请求,其中,所述ID验证请求中携带有用户设备的ID参数;所述共享设备标识寄存器根据所述ID参数验证所述用户设备的合法性,并向所述移动管理实体返回验证结果。
2. 々艮据纟又利要求1所述的方法,其特征在于,所述共享设备标识 寄存器验证所述ID验证请求中携带的ID参数对应的用户设备 的合法性的操作具体为所述共享设备标识寄存器提取所述ID验证请求携带的ID 参数;所述共享设备标识寄存器将提取的所述ID参数与自身存 储的非法用户设备标识进行匹配,如果匹配成功,则所述ID 参数对应的用户设备为非法,如果匹配失败,则所述ID参数 对应的用户i殳备为合法。
3. 根据权利要求2所述的方法,其特征在于,还包括所述移动管理实体根据所述验证结果控制所述用户设备 接入3GPP网络,其中,如果所述验证结果为合法,则允许所 述用户设备接入所述3GPP网络,否则,禁止所述用户设备接 入所述3GPP网络。
4. 根据权利要求1所述的方法,其特征在于,在所述共享设备标 识寄存器接收来自移动管理实体的ID验证请求之前和/或所述 共享设备标识寄存器根据所述ID参数验证所述用户设备的合 法性,并向所述移动管理实体返回验证结果之后,所述方法还 包括所述移动管理实体对请求接入所述3GPP网络的所述用户 设备发送ID请求;所述移动管理实体4妄收所述用户i殳备返回的ID响应,其 中,所述ID响应中包括所述用户设备的ID参凄t。
5. 根据权利要求1所述的方法,其特征在于,所述不同网络包括 3GPP、 3GPP2、 WiMAX以及WLAN。
6. 才艮据4又利要求1所述的方法,其特征在于,所述共享设备标识 寄存器存储的非法用户设备标识包括非法的非3GPP网络用户 设备标识和非法的3GPP网络用户设备标识。
7. 根据权利要求1至6中任一项所述的方法,其特4正在于,所述 用户i殳备的ID参凄t包4舌以下至少之一或其组合国际移动用 户识别码国际移动设备身份码、MAC地址以及移动设备身4分 识别码。
8. —种设备标识寄存器,其特征在于,包括存储模块,用于存储不同网络中非法用户设备标识;接收模块,用于接收来自网络侧的ID验证请求,其中, 所述ID验证请求中携带有用户设备的ID参数;验证模块,用于根据所述非法用户设备标识和所述ID参 数验证所述用户设备的合法性,并向所述网络侧返回验证结果。
9. 根据权利要求8所述的设备标识寄存器,其特征在于,所述非 法用户i殳备标识包括非法的非3GPP网络用户i殳备标识和/或 非法的3GPP网络用户设备标识。
10. 根据权利要求8所述的设备标识寄存器,其特征在于,所述验 证模块进一步包括提取才莫块,用于提取所述ID验证请求中携带的所述ID 参数;匹配才莫块,用于将所述ID参数与所述非法用户设备标识 进行匹配;判决模块,用于根据匹配模块的匹配结果判决所述ID参 数对应的用户设备的合法性;反^^莫块,用于向网络侧返回验证结果。
11. 根据权利要求IO所述的设备标识寄存器,其特4正在于,如果所述匹配才莫块匹配成功,则所述判决才莫块判决所述 ID参数对应的用户设备为非法;如果所述匹配#莫块匹配失败,则所述判决才莫块判决所述 ID参凄t对应的用户i殳备为合法。
12. —种接入控制系统,其特征在于,包括共享设备标识寄存器,用于存储多个网络的非法用户设备 标识,接收ID验证请求,其中,所述ID验证请求中携带有用 户设备的ID参凄t,并#4居所述非法用户i殳备标识和所述ID参 数验证所述用户设备的合法性,并返回验证结果;移动管理实体,用于接收所述验证结果,并才艮据所述-验证 结果控制所述用户设备接入所述3GPP网络。
13. 根据权利要求12所述的系统,其特征在于,所述共享设备标 识寄存器包括存储模块,用于存储非法用户设备标识,其中,所述非法 用户设备标识包括非法的非3GPP网络用户设备标识和/或非 法的3GPP网络用户设备标识;接收模块,用于接收来自网络侧的ID验证请求,其中, 所述ID验i正请求中携带有用户设备的ID参数;验证模块,用于根据所述非法用户设备标识和所述ID参 凄丈-验证所述用户i殳备的合法性,并向网络侧返回-睑证结果。
14. 根据权利要求13所述的系统,其特征在于,所述验证模块进 一步包4舌提取模块,用于提取所述ID验证请求中携带的所述ID 参数;匹配才莫块,用于将所述ID参数与所述非法用户设备标识 进行匹配;判决模块,用于根据匹配模块的匹配结果判决所述ID参 数对应的用户设备的合法性;反馈模块,用于向网络侧返回验证结果。
15. 根据权利要求12所述的系统,其特征在于,所述移动管理实 体具体包括接入控制模块,用于如果所述验证结果为合法,则允许所 述用户设备接入所述3GPP网络,如果所述验证结果为非法, 则禁止所述用户设备接入所述3GPP网络;ID收发才莫块,用于对^青求*接入所述3GPP网络的所述用 户设备发送请求消息,用以获得所述用户设备的ID参数;并用于4妄收所述用户i殳备返回的ID响应,其中,所述ID响应中 包括所述用户设备的ID参数。
16. —种用户i殳备马ti正方法,其辨M正在于,包4舌步骤S402,在用户设备接入网络后,网络侧设备向用户 设备发送请求消息,用以获得所述用户设备的ID参数;步骤S404,用户设备接受所述请求消息,并发送响应消 息至网络侧设备,所述响应消息中包括所述用户设备的ID参 数;步骤S406,网络侧设备向设备标识存储器发送用户设备 ID验证请求消息,所述验证请求消息中包括用户"i殳备的ID参 数;步骤S408,所述设备标识存储器接收来自网络侧设备的 ID验证请求,根据所述ID参数验证所述用户设备的合法性, 并向所述网络侧设备返回-险证结果。
17. 根据权利要求16所述的方法,其特征在于,在步骤S408中所 述设备标识存储器向所述网络侧设备返回验证结果之后,所述 方法还包括步骤S410,所述网络侧设备对请求4妄入/接入中的所述网 络的所述用户i殳备发送请求消息,用以获得所述用户i殳备的 ID参数;所述网络侧设备接收所述用户设备返回的ID响应, 其中,所述ID响应中包括所述用户设备的ID参数。
18. 根据权利要求17所述的方法,其特征在于,在所述步骤S410 之后所述方法进一步包括执行步骤S406和步骤S408。
19. 根据权利要求16所述的方法,其特征在于,所述网络为3GPP 网络,所述用户设备包括支持3GPP接入功能的非3GPP网络 用户i殳备。
20. 根据权利要求16所述的方法,其特征在于,所述设备标识存 储器用以存储非法用户设备标识,包括非法的非3GPP网络用 户设备标识和非法的3GPP网络用户设备标识,所述步骤四进 一步包括所述设备标识存储器判断所述ID参数与自身存储的非法 用户设备标识是否相同,在相同的情况下,向所述网络侧设备 反馈所述用户设备合法的验证结果,用以供所述网络侧设备允 许所述用户设备的服务请求;否则,向所述网络侧设备反馈所 述用户设备非法的验证结果,用以供所述网络侧设备禁止所述 用户设备的服务请求。
21. 根据权利要求16所述的方法,其特征在于,所述用户设备的 ID参凄t包括以下至少之一或其组合国际移动用户识别码、 国际移动设备身份码、MAC地址以及移动设备身份识别码。
22. 根据权利要求16至21中任一项所述的方法,其特征在于,所 述网络侧设备包括移动管理实体,所述设备标识存储器为共享 i殳备标识寄存器,用以共享3GPP网络和非3GPP网络中非法 的用户i殳备标识。
23. 根据权利要求22所述的方法,其特征在于,所述非3GPP网 络至少包括3GPP2、 WiMAX以及WLAN。
24. —种用户i殳备-验i正方法,其4争4正在于,包4舌步骤S502,在具有3GPP网络接入功能的非3GPP网络用 户设备接入3GPP网络后,网络侧设备向非3GPP网络用户设 备发送获取所述非3GPP网络用户设备唯一标识参数的请求消 息;步骤S504,所述非3GPP网络用户设备接受所述请求消 息后,反馈所述非3GPP网络用户设备唯一标识参数至网络侧 设备;步骤S506,网络侧设备向存储有非法的非3GPP网络用 户设备唯一标识参数的存储单元发送非3GPP网络用户设备唯 一标识参数-睑证请求消息,所述-验证请求消息中包括非3GPP 网络用户i殳备唯一标识参凄t;步骤S508,所述存储单元接收来自网络侧设备的非3GPP 网络设备唯一标识参数验证请求,根据存储的非法的非3GPP 网络用户设备唯一标识参数验证所述非3GPP网络用户设备的 合法性。
25. 根据权利要求24所述的方法,其特征在于,所述步骤S502 中,网络侧设备定期向非3GPP网络用户i殳备发送获取所述非 3GPP网络用户设备唯一标识参数的请求消息。
全文摘要
本发明公开了用户设备验证方法、设备标识寄存器以及接入控制系统。其中,上述的用户设备验证方法包括设置有不同网络共享的设备标识寄存器,其中,共享设备标识寄存器存储有非法用户设备标识;共享设备标识寄存器接收来自移动管理实体的ID验证请求,其中,ID验证请求中携带有用户设备的ID参数;共享设备标识寄存器根据ID参数验证用户设备的合法性,并向移动管理实体返回验证结果。通过本发明,能够控制拥有3GPP网络接入能力的非法的非3GPP网络用户设备接入3GPP网络。
文档编号H04L29/06GK101577908SQ20081009950
公开日2009年11月11日 申请日期2008年5月9日 优先权日2008年5月9日
发明者林兆骥, 捷 胡, 捷 陆 申请人:中兴通讯股份有限公司