專利名稱:一種接入控制的方法��、裝置和系統的制作方法
技術領域:
本發(fā)明涉及通信技術領域����,特別涉及一種接入控制的方法、裝置和系統��。
背景技術:
隨著無線通訊技術的普及和發(fā)展,終端大量涌現��,例如機器類型通訊(Machine Type Communications, MTC)應用��;在MTC中���,一個或者多個網元之間在不需要人為參與的 情況下進行的網絡通訊��,即機器對機器(Machine To Machine, M2M)應用�;具體的應用場景 如交通控制與管理�、工廠監(jiān)控、遠程抄表等�����。MTC應用中��,用戶設備(User Equipment, UE) 在MTC應用中稱為M2ME���,多個M2ME組成一個整體�����,可以稱為群�,網絡運營商或者行業(yè)用戶可 以將群作為一個整體進行管理或控制,群的群標識可以用來標識和辨別不同群�����。網絡運營 商和行業(yè)用戶可以將該群作為一個整體進行接入控制管理�����。如圖1所示�,為現有的一種網絡架構,包括移動性管理網元101���、服務器102���、接入 網103 ;其中移動性管理網元101��,用于非接入層(Non-AccessStratum�,NAS)信令和NAS信 令加密以及漫游�����、跟蹤等功能����,分配用戶臨時身份標識���、安全功能等;服務器102�,用于存儲 UE或者群相關的簽約數據或者信息。接入網103����,用于接收UE的接入請求,幫助UE完成接 入網絡�。UE的簽約數據指每個UE作為個體的簽約數據;群的簽約數據指群內各個UE共同 的數據或者簽約數據���。發(fā)明人在實現本發(fā)明的過程中發(fā)現非法UE惡性攻擊網絡側時或者利用非法接 入點名稱(Access Point Name,APN)惡性攻擊網絡時���,網絡側不能很好制止非法UE繼續(xù)攻 擊其他網絡實體,并且網絡側對非法UE不進行非法原因調查���,導致越來越多的非法終端不 斷涌現�,從而給網絡安全造成很大的威脅�����,嚴重影響其他正常用戶的體驗。
發(fā)明內容
本發(fā)明實施例要解決的技術問題是提供一種接入控制的方法��、裝置和系統����,可以 對非法UE接入網絡進行控制。為解決上述技術問題��,本發(fā)明所提供的接入控制的方法實施例可以通過以下技術 方案實現接收接入請求�;獲取所述接入請求的用戶設備或者用戶設備所屬的群或者接入點名稱的接入權 fn息;若所述接入權信息符合允許接入的條件則執(zhí)行接入操作���;若所述接入權信息不符合允許接入的條件�,拒絕執(zhí)行接入操作�����,確定所述用戶設 備或所述用戶設備所在群或者某個接入點名稱為非法��;將所述用戶設備或所述用戶設備所 在群或者某個接入點名稱為非法的信息發(fā)送給服務器���。本發(fā)明實施例還提供了一種移動性管理網元或接入網網元��,包括請求接收單元�,用于接收接入請求����;
接入權信息獲取單元,用于獲取所述接入請求的用戶設備或者用戶設備所屬的群 或者接入點名稱的接入權信息���;接入操作單元�����,用于若所述接入權信息符合允許接入的條件則執(zhí)行接入操作���,否 則,拒絕執(zhí)行接入操作����;非法確定單元,用于若所述接入權信息不符合允許接入的條件�����,則確定所述用戶 設備或所述用戶設備所在群或者所述接入點名稱為非法���;非法信息發(fā)送單元����,用于將所述用戶設備或所述用戶設備所在群或者某個接入點 名稱為非法的信息發(fā)送給服務器。本發(fā)明實施例還提供了一種服務器���,包括非法信息接收單元���,用于接收移動性管理網元或接入網網元發(fā)送的用戶設備或者 用戶設備所在的群或者接入點名稱為非法的信息排查單元,用于服務器排查所述非法的用戶設備或所述用戶設備所在的群或者所 述接入點名稱異常的原因�����;修改單元���,用于根據所述異常的原因的修改相應參數使得所述用戶設備所在的群 或者所述接入點名稱合法���。本發(fā)明實施例還提供了一種接入控制系統,包括移動性管理網元或接入網網元�,用于接收接入請求;獲取所述接入請求的用戶設 備或者用戶設備所屬的群或者接入點名稱的接入權信息��;若所述接入權信息符合允許接入 的條件則執(zhí)行接入操作����;若所述接入權信息不符合允許接入的條件���,拒絕執(zhí)行接入操作�,確 定所述用戶設備或所述用戶設備所在群或者某個接入點名稱為非法;將所述用戶設備或所 述用戶設備所在群或者某個接入點名稱為非法的信息發(fā)送給服務器���;服務器����,用于接收所述用戶設備或所述用戶設備所在群或者接入點名稱為非法的 fn息ο上述技術方案具有如下有益效果網絡側對接入請求的用戶設備或者用戶設備所 屬的群或者接入點名稱的接入權信息的接入權信息進行判斷���,符合允許接入條件的用戶設 備才被允許接入����,并且將所述用戶設備或所述用戶設備所在群或者某個接入點名稱為非法 的信息發(fā)送給服務器���,達到對UE的接入進行限制的目的���,進一步防止UE對網絡側進行惡意 攻擊,提升網絡的服務質量���。
為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案����,下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動性的前提下��,還可 以根據這些附圖獲得其他的附圖����。圖1為現有技術網絡架構示意圖;圖2為本發(fā)明實施例方法實施例一流程示意圖����;圖3為本發(fā)明實施例方法實施例二流程示意圖;圖4為本發(fā)明實施例方法實施例三流程示意圖�����;圖5為本發(fā)明實施例四移動性管理網元結構示意圖6為本發(fā)明實施例四移動性管理網元結構示意圖����;圖7為本發(fā)明實施例五服務器結構示意圖����;圖8為本發(fā)明實施例五服務器結構示意圖���;圖9為本發(fā)明實施例六接入控制系統結構示意圖。
具體實施例方式下面將結合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚�、完 整地描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�。基于 本發(fā)明中的實施例����,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例,都屬于本發(fā)明保護的范圍�����。實施例一,本發(fā)明實施例提供了一種接入控制的方法��,本實施例的技術方案的執(zhí) 行主體可以為移動性管理網元����,也可以為接入網網元??梢园ㄒ韵虏襟E步驟201 接收接入請求;步驟202 獲取上述接入請求的用戶設備或者用戶設備所屬的群或者接入點名稱 的接入權信息����;上述接入權信息包括用戶設備或用戶設備所在的群在單位時間的接入次數、用 戶設備或用戶設備所在的群的總計接入次數(可以為在某個網絡設備上的總計接入次數�, 例如移動性管理網元或者接入網元),某個APN下的單位時間內的接入次數�����、或者接入到某 個APN的總計接入次數的至少一項�。其中獲取接入權信息的過程具體可以包括自身進行 統計;或���,從服務器獲取服務器統計結果���。當然上述接入權信息還可以是其他�,本發(fā)明實施 例對此不作限定�,不影響本發(fā)明實施例的實現。步驟203 若上述接入權信息符合允許接入的條件則執(zhí)行接入操作�����,否則�,拒絕執(zhí) 行接入操作,確定上述用戶設備或上述用戶設備所在群或者某個接入點名稱為非法���;其中允許接入的條件包括用戶設備或用戶設備所在的群或者某個APN的話務模 型。其中�,話務模型具體包括網絡側允許用戶設備或用戶設備所在的群在單位時間的接入 次數、網絡側允許用戶設備或用戶設備所在的群的總計接入次數(可以為在某個網絡設備 上的總計接入次數�����,例如移動性管理網元或者接入網元)���,網絡側允許某個APN下的單位時 間內的接入次數�����、或者網絡側允許接入到某個APN的總計接入次數中至少一項�����。步驟204 將上述用戶設備或上述用戶設備所在群或者某個接入點名稱為非法的 信息發(fā)送給服務器��。后續(xù)有相關UE或者群內UE或者APN下的接入請求時���,服務器會將UE或者UE所在 的群或者某個接入點名稱非法的信息發(fā)送給相應的移動性管理網元或者接入網網元(當 前的移動性管理網元或者接入網元�����,或者移動到新的移動性管理網元或者接入網網元)�����,使 得移動性管理網元或者接入網元可以根據所述非法信息拒絕該用戶設備或者用戶設備所 屬的群或者接入點名稱的接入請求�。進一步自身也可以保存上述用戶設備或上述用戶設備所在群或者上述APN為非 法的信息�����,并可以根據該非法的信息對上述用戶設備或上述用戶設備所在群或者上述APN 下的接入請求進行控制���。移動性管理網元或接入網網元通過對接入請求的用戶設備的接入權進行判斷�,符合允許接入條件的用戶設備或者群內UE或者APN的接入請求才被允許接入,達到對UE或 者對UE所屬的群或者對某個APN的接入進行限制的目的���,而且由于將用戶設備或上述用戶 設備所在群或者某個接入點名稱的非法的信息通知給服務器��,當移動性管理網元或者接入 網網元收到所述用戶設備或上述用戶設備所在群或者某個接入點名稱的接入請求時�����,可以 根據從服務器上獲取的用戶設備或上述用戶設備所在群或者某個接入點名稱的非法的信 息�,拒絕該接入請求�����。進一步防止UE或者群或者某特定APN對網絡側進行惡意攻擊��,提升 網絡的服務質量��,提升網絡設備的可靠性�����。另外由于對UE的接入進行了限制�����,還可以減少 網絡擁塞�。本發(fā)明的另一個實施例中,服務器包括第一服務器和第二服務器�����,包括第一服務 器(例如HSS)收到用戶設備或上述用戶設備所在群或者某個接入點名稱為非法的信息之 后���,第一服務器發(fā)送消息通知第二服務器(例如MTCServer)�,上述消息中攜帶UE標識(或 者群標識或者APN)和指示UE (或者群或者APN)非法的指示信息(上述指示信息可以為某 特定的消息類型或者特定的原因值等���,用于通知第二服務器上述UE或者群或者APN非法�����, 本實施例不對消息的名稱做限制)�。第二服務器可以根據非法UE或者群或者APN����,查詢第 一服務器或者第二服務器中保存的相應的與該UE或者群或者APN相關的信息,所述信息指 的是影響所述UE或者群或者APN的接入權的信息���,包括但不限于允許所述UE或者群或者 APN接入的相應時間點����,或者允許接入所述群的UE的總數�����,或者允許業(yè)務發(fā)生的時間點等 信息���。通過上述信息排查發(fā)現所述UE或者群異常的原因(例如允許接入到所述群的UE的 總數過多�,或者業(yè)務要求的時間接入點太過繁忙等)�,第二服務器遂根據所述接入異常的原 因修改相應參數使得UE或者群或者APN合法(例如降低群內UE數量,或者業(yè)務要求的時 間點進行分散接入控制)��,發(fā)送消息通知第一服務器上述UE或者群或者APN恢復正常���,上 述消息中攜帶UE標識(或者群標識或者APN)和指示UE (或群或者APN)合法的指示信息 (指示信息可以為特定的消息類型或者特定的原因值)�����。這樣移動性管理網元后續(xù)從第一 服務器獲取UE或者群或者APN的信息時����,就不會出現UE或者群非法的信息。本發(fā)明的另一個實施例中���,若上述接入權信息不符合允許接入的條件,若上述接 入請求為位置更新請求���,并且從源側移動性管理網元��、用戶設備或接入網網元處獲知上述 位置更新請求用于負載重分配����,則允許所述接入請求����。因為當UE注冊的移動性管理網元無 法繼續(xù)為UE或者群內或者UE服務時,將采用負載重分配流程�����,該負載重分配流程保證了 UE 或者群內UE可以注冊到其他的移動性管理網元從而繼續(xù)進行相應的業(yè)務�。所以當UE或者 群內UE因進行Load Rebalancing而發(fā)起的接入請求不在網絡側允許的話務模型范圍內 時,網絡側可以接受UE或者群內UE相應的接入請求。本發(fā)明實施例中的移動性管理網元可做如下解釋在演進的通用陸地無線接入網 % (Evolved Universal Terrestrial Radio Access Network, E-UTRAN) 巾白勺 云力個生 管理網元可以為移動管理實體(Mobility Management Entity,MME)��;通用陸地無線接入網 絡(Universal Terrestrial Radio Access Network�,UTRAN)/GSM/EDGE 無線接入網(GSM/ EDGE Radio Access Network, GERAN)中移動性管理網元可以為通用分組無線業(yè)務服務支 持節(jié)點(ServingGeneral Packet Radio Service Supporting Node, SGSN);非第三代移 動通信伙伴項目(Third Generation Partnership Pro ject, 3GPP)網絡的移動性管理網 元可以為接入網關(Acess Gateway, AGW)�,在無線局域網(Wireless Local AreaNetwork,WLAN)網絡中的移動性管理網元指演進的分組數據網關(EvolvedPacket Data Gateway, ePDG)中的移動性管理邏輯功能;在微波接入全球互通(Worldwide Interoperability for Microwave Access�,Wimax)網絡,移動性管理網元可以為自動交換節(jié)點網關(Access Serving Node Gateway,ASN Gff)��;碼分多址接入(Code Division Multiple Access�����,CDMA) 網絡中�����,移動性管理網元可以為高速率數據包接入網(High Rate Packet Data Access Network, HRPD AN)中移動性管理的邏輯功能�����。本發(fā)明實施例中的接入網網元可做如下解釋在E-UTRAN網絡中的接入網網元 可以為演進型基站(evolved NodeB, eNodeB)或者蜂窩基站(Honeycomb NodeB, HeNB)��; UTRAN/GERAN網絡中接入網網元可以為無線網絡控制器(Radio Network Controller, RNC)或者基站控制器(BaseStation Controller, BSC)����;非3GPP網絡中,在WLAN網絡中的 接入網網元可以為ePDG中的接入網邏輯功能���,在Wimax網絡�,接入網網元指代自動交換節(jié) 點基站(Access Serving Node Gateway Base Station, ASN BS) ��;CDMA 網絡中���,接入網網元 可以為HRPDAN中的接入網邏輯功能���。本發(fā)明中的服務器,可以存儲UE或者群相關的簽約數據或者信息����。UE的簽約數據 或者信息指每個UE作為個體的簽約數據或者信息;群的簽約數據或者信息指群內各個UE 共同的簽約數據或者信息�,上述服務器可以是歸屬用戶服務器(Home Subscriber Server, HSS)或者應用服務器,例如機器類型通訊服務器(Machine Type Communications, MTC Server)����。上述對移動性管理網元、接入網網元以及服務器在各種系統中的具體指代的設 備��,可以理解的是這些舉例并不是窮舉,不應理解為對本發(fā)明實施例的限定���;在后續(xù)實施例 中�����,服務器將以HSS或者MTC Sever為例進行說明���,可以理解的是服務器還可以是多種類型 的應用服務器HSS或者MTC Sever的舉例不應理解為對本發(fā)明實施例的限定。實施例二�,本實施例將以移動性管理網元統計用戶設備的接入權信息為例對本發(fā) 明實施例進行進一步的說明。本實施例中第一服務器和第二服務器都可以用于保存用戶簽 約數據的服務器�,所述第二服務器還可以用于排查非法APN或者非法用戶或者非法群的非 法原因的服務器。當然第一服務器和第二服務器功能也可以合一�,如果功能合一,則第一服 務器和第二服務器之間的消息就屬于設備內的消息交互���。本實施例中��,第一或者第二服務 器中保存UE或者群的話務模型�����,本發(fā)明中的話務模型指UE或者群內UE發(fā)起接入流程接入 網絡的模型�,例如網絡側允許的單位時間的接入次數,允許在某個設備上總的接入次數等 信息���。本發(fā)明中的接入流程包括但不限于以下流程附著流程���、位置更新流程���,例如路由選 擇區(qū)域更新(RoutingArea Update�,RAU)�����、位置區(qū)域更新(Location Area Update��,LAU�、或者 Tracking Area Update (TAU)、PDN 連接建立���、PDP 激活���、或者服務請求(Service Request) 流程等。移動性管理網元從第一服務器或者第二服務器中獲取上述話務模型���,并根據上述 話務模型接受或者拒絕UE的接入請求���。所述第一或者第二服務器中存儲UE或者群的話務 模型���,上述第一或者第二服務器可以指HSS或者MTC Server0如圖3所示,可以包括以下步 驟步驟301 :UE發(fā)起接入請求到接入網網元�,可選的,如果UE正在為移動性管理網元 的負載重分配(Load Rebalancing)而進行的接入����,則UE在無線資源控制(Radio Resource Control, RRC)層消息攜帶指示通知接入網網元上述UE正在進行Load Rebalancing。
如果UE或者群內UE所注冊的移動性管理網元(即相當于源移動性管理網元)需 要進行Load Rebalancing,則所述UE或者群內UE的注冊的移動性管理網元指示UE或者群 內UE執(zhí)行位置更新流程來完成源移動性管理網元的LoadRebanlancing��。UE或者群內UE 收到所述指示后���,發(fā)起位置更新流程�,接入網網元為所述UE或者群內UE選擇一個不同于源 移動性管理網元的目標移動性管理網元�����,從而完成load Rebalancing (即負載重分配)���。步驟302 接入網網元發(fā)送接入請求到移動性管理網元��??蛇x的,接入網網元攜帶 指示信息用于指示UE正在為移動性管理網元的Load Rebalancing而進行的接入流程�����,上 述指示信息可以為Load Rebalancing Indication��,該信息可以作為單獨的信元發(fā)送給移 動性管理網元或者作為其他信元的保留位發(fā)送給移動性管理網元�����。步驟303 移動性管理網元從第一或者第二服務器(可以指HSS或者MTCServer�, 這里以HSS或者MTC Server為例來說明)中獲取UE或者群的簽約數據�����。所述第一或者第 二服務器發(fā)送UE或者群的話務模型給移動性管理網元��。話務模型還可以靜態(tài)配置在移動 性管理網元����,例如配置某個UE單位時間允許的接入次數;或者配置某個群單位時間允許的 接入次數�;或者配置單位時間內接入到上述移動性管理網元的所有的接入次數等�。步驟304 移動性管理網元統計UE或者群的接入情況��,例如統計單位時間UE或者 群的接入次數�,或者所有接入到上述移動性管理網元的接入次數,移動性管理網元判斷上 述UE或者群的接入是否會超過話務模型允許的范圍���,如果接入次數在話務模型允許的范 圍內���,則移動性管理網元可以接受UE或者群內UE的接入請求,否則拒絕上述UE或者群內 UE的接入請求���,此步驟在步驟306實現��。其中步驟306和步驟304��、305沒有先后時序關系���。可選的��,如果上述話務模型是針對單個UE���,并且該UE的接入情況(例如單位時間 的接入次數����,或者連接到移動性管理網元的總的次數)超過上述話務模型所允許的接入范 圍,移動性管理網元發(fā)送消息通知第一服務器上述UE是非法UE�,上述消息中攜帶UE標識和 指示UE為非法UE的指示信息,上述指示信息可以為特定的消息類型或者一個特定的原因 值等����。下次UE在其他的移動性管理網元接入時,第一服務器將上述UE為非法UE的指示信 息通知給移動性管理網元����,防止上述UE在其他移動性管理網元非法接入;如果上述話務模型是針對群�,移動性管理網元統計屬于同一個群標識的群內UE 的接入情況(例如單位時間內群內UE的接入次數�,或者接入到移動性管理網元上的群內UE 的總的接入次數等)。移動性管理網元獲取UE所屬的群標識可以通過UE接入時攜帶群標 識的方式或者移動性管理網元從第一或者第二服務器中獲取UE的簽約數據從而獲取UE的 群標識����。如果該群的接入情況超過上述群的話務模型所允許的范圍,則移動性管理網元發(fā) 送消息通知第一服務器上述群是非法的����,上述消息中攜帶群標識和指示上述群為非法的指 示信息,上述指示信息可以為特定的消息類型或者一個特定的原因值等。下次群內UE在其 他的移動性管理網元接入時���,第一服務器將上述群內UE為非法的指示信息通知給移動性 管理網元��,防止上述群的群內UE在其他移動性管理網元非法接入�����;步驟305 可選的����,第一服務器發(fā)送消息通知第二服務器���,上述消息中攜帶UE標識(或者群標識)和指示UE(或者群)非法的指示信息���,上述指示信息可以為某特定的消息類 型或者特定的原因值等,上述消息是第一服務器用于通知第二服務器上述UE或者群非法�����, 本發(fā)明不對消息的名稱做限制�����。第二服務器可以根據非法UE或者群,查詢第一服務器或者 第二服務器中中保存的相應的與該UE或者群相關的信息�����,所述信息指的是影響所述UE或者群的接入情況的信息���,包括但不限于允許所述UE或者群接入的相應時間點�����,或者允許接 入所述群的UE的總數�����,或者允許業(yè)務發(fā)生的時間點等信息���。通過上述信息排查發(fā)現所述UE 或者群異常的原因(例如允許接入到所述群的UE的總數過多,或者業(yè)務要求的時間接入 點太過繁忙等)��,第二服務器遂根據所述接入異常的原因值修改相應參數使得UE或者群合 法�����,發(fā)送消息通知第一服務器上述UE或者群恢復正常��,上述消息中攜帶UE標識(或者群標 識)和指示UE(或群)合法的指示信息�,上述指示信息可以為特定的消息類型或者特定的 原因值。這樣移動性管理網元后續(xù)從第一服務器獲取UE或者群的信息時��,就不會出現UE 或者群非法的信息����。步驟306 如果UE或者群的接入請求不在上述話務模型,則移動性管理網元拒 絕UE或者群的接入請求����,上述拒絕消息中攜帶指示信息用于指示UE(或者群)的接入請 求不符合話務模型的指示信息,上述指示信息可以為一個特定的原因值如非法訪問請求 (illegal access request)���、或者特定的指示如非法指示(illegal Indication)����。反之����,移 動性管理網元接受UE或者群內UE的接入請求。步驟305和步驟306沒有先后時序�。可選的�,雖然UE或者群內UE的接入請求不在網絡側設定的話務模型內��,但是UE 或者群內UE正在為移動性管理網元的load Rebalancing進行的接入流程��,移動性管理網 元可以根據步驟302中接入網網元攜帶的指示UE或者群內UE正在為移動性管理網元的 Load Rebalancing而進行的接入流程的指示信息�����,雖然UE或者群內UE的接入不在話務模 型允許的范圍內��,網絡側仍然可以接受UE或者群內UE的請求��。移動性管理網元獲知指示 UE或者群內UE正在為移動性管理網元的Load Rebalancing而進行的接入流程的指示信息 還可以由UE或者群內UE通過NAS消息帶給移動性管理網元��、或者新的移動性管理網元在 上下文響應(Context Response)中從源側的移動性管理網元獲知上述指示UE或者群內UE 正在為移動性管理網元的Load Rebalancing而進行的接入流程的指示信息����。上述NAS消息 包括但不限于附著請求(Attach Request)����、LAU Request、TAU Request���、或者 RAU Request 等消息。網絡側對接入請求的用戶設備的接入權進行判斷���,符合允許接入條件的用戶設備 才被允許接入�,達到對UE的接入進行限制的目的,進一步防止UE對網絡側進行惡意攻擊����, 提升網絡的服務質量,提升網絡設備的可靠性�����。另外由于對UE的接入進行了限制��,還可以 減少網絡擁塞��。實施例三���,本實施例將以統計某個APN下的接入信息為例對本發(fā)明實施例進行進 一步的說明����。本實施例中HSS或者MTC Server中保存某個APN的話務模型��,或者移動性管 理網元靜態(tài)配置某個APN下的話務模型�����,例如單位時間內允許某個APN下的接入次數,或者 允許某個設備上接入到某個APN下的總的接入次數��。移動性管理網元統計某個APN下的的 接入情況��,例如統計單位時間內某個APN下的接入次數�,或者統計某移動性管理網元上接 入到所述APN的總的接入次數等接入情況,移動性管理網元根據所述APN的話務模型接受 或者拒絕針對某個APN的接入請求�����;如圖4所示���,包括以下步驟步驟401 :UE發(fā)起接入請求到接入網網元�,可選的��,如果UE正在為移動性管理網元 的負載重分配(Load Rebalancing)而進行的接入�,則UE在無線資源控制(Radio Resource Control, RRC)層消息攜帶指示通知接入網網元上述UE正在進行Load Rebalancing,接入 請求中還需攜帶APN��,所述APN表示UE希望接入的APN�����。
如果UE或者群內UE所注冊的移動性管理網元(即相當于源移動性管理網元)需 要進行Load Rebalancing,則所述UE或者群內UE的注冊的移動性管理網元指示UE或者群 內UE執(zhí)行位置更新流程來完成源移動性管理網元的LoadRebanlancing���。UE或者群內UE 收到所述指示后����,發(fā)起位置更新流程���,接入網網元為所述UE或者群內UE選擇一個不同于源 移動性管理網元的目標移動性管理網元�,從而完成load Rebalancing(即負載重分配)��。當 其注冊的移動性管理網元無法繼續(xù)為UE或者群內UE服務時���,負載重分配流程保證了 UE或 者群內UE可以注冊在其他的移動性管理網元從而繼續(xù)進行相應的業(yè)務����。所以當UE或者群 內UE因進行Load Rebalancing而發(fā)起的接入請求不在網絡側允許的話務模型范圍內時���, 網絡側可以接受UE或者群內UE相應的接入請求����。步驟402 接入網網元發(fā)送接入請求到移動性管理網元��?���?蛇x的��,接入網網元攜帶 指示信息用于指示UE正在為移動性管理網元的Load Rebalancing而進行的接入流程��,上 述指示信息可以為Load Rebalancing Indication����,該信息可以作為單獨的信元發(fā)送給移 動性管理網元或者作為其他信元的保留位發(fā)送給移動性管理網元����。步驟403 移動性管理網元到第一服務器獲取UE或者群的簽約數據,上述服務器 可以指HSS或者MTC Server����。本實施例以HSS或者MTC Server為例來說明。所述簽約數 據中可選的包含UE或者群相關的APN的話務模型��?;蛘咭苿有怨芾砭W元靜態(tài)配置某個APN 的話務模型。移動性管理網元統計某APN下的接入情況���,例如統計單位時間內該APN下的接入 次數��,或者移動性管理網元下該APN的接入的總次數等接入情況��,并根據所述APN的話務模 型�,接受或者拒絕在所述APN的接入請求,在步驟406描述���,步驟406與步驟404、步驟405 沒有先后時序關系����。步驟404 如果U針對某個APN的接入在話務模型所允許的接入的范圍,則移動性 管理網元允許針對上述APN的接入請求����,可選的,移動性管理網元攜帶用于指示上述APN非 法的指示信息通知第一服務器�,如原因值iIlegalaccess或者illegal indication等可以 表示所述APN非法的指示信息。下次有UE在其他的移動性管理網元接入時�����,第一服務器將 上述APN為非法APN的指示信息通知給移動性管理網元�����,防止有用戶通過上述APN在其他 移動性管理網元非法接入;步驟405 可選的���,第一服務器發(fā)送消息通知第二服務器����,上述消息中攜帶APN和 指示APN非法的指示信息��,上述指示信息可以為某特定的消息類型或者特定的原因值等�, 所述第一服務器和第二服務器都可以用于保存用戶簽約數據的服務器,所述第二服務器還 可以用于排查非法APN或者非法用戶或者非法群的非法原因的服務器���。當然第一服務器和 第二服務器功能上也可以合一�����,如果功能合一����,則第一服務器和第二服務器之間的消息就 屬于設備內的消息交互����。上述消息是第一服務器用于通知第二服務器上述APN非法,本發(fā) 明不對消息的名稱做限制����。第二服務器可以根據非法APN����,查詢第一服務器或者第二服務器 中中保存的相應的與該APN相關的信息��,所述信息指的是影響所述APN的接入情況的信息��, 包括但不限于允許所述APN接入的相應時間點����,或者允許接入所述APN的UE的總數���,或者 允許業(yè)務發(fā)生的時間點等信息����。通過上述信息排查發(fā)現所述APN異常的原因(例如允許接 入到所述APN的UE的總數過多�,業(yè)務要求的時間接入點太過繁忙等),第二服務器遂根據所 述接入異常的原因值修改相應參數使得APN合法�����,發(fā)送消息通知第一服務器上述APN恢復正常�����,上述消息中攜帶APN和指示APN合法的指示信息,上述指示信息可以為特定的消息類 型或者特定的原因值�����。步驟406 如果APN下的接入請求不在上述話務模型��,則移動性管理網元拒絕上述 APN下的接入請求��,上述拒絕消息中攜帶指示信息用于指示APN的接入請求不符合話務模 型的指示信息����,上述指示信息可以為一個特定的原因值如非法訪問請求(illegal access request)、或者特定的指示如非法指示(illegallndication)��。反之���,移動性管理網元接受 UE或者群內UE或者APN下的接入請求�。步驟405和步驟406沒有先后時序����。可選的�����,雖然UE接入請求不在網絡側設定的話務模型內,但是UE正在為移動性管 理網元的load Rebalancing進行的接入流程�����,移動性管理網元可以根據步驟402中接入網 網元攜帶的指示UE或者群內UE正在為移動性管理網元的Load Rebalancing而進行的接入 流程的指示信息��,雖然UE或者群內UE的接入不在話務模型允許的范圍內�����,網絡側仍然可以 接受UE或者群內UE的請求�。移動性管理網元獲知指示UE或者群內UE正在為移動性管理 網元的LoadRebalancing而進行的接入流程的指示信息還可以由UE4通過NAS消息帶給移 動性管理網元、或者新的移動性管理網元在上下文響應(Context Response)中從源側的移 動性管理網元獲知上述指示UE正在為移動性管理網元的LoadRebalancing而進行的接入 流程的指示信息����。上述NAS消息包括但不限于附著請求(Attach Request), LAU Request����、 TAU Request、或者 RAU Request 等消息�。網絡側對接入請求的用戶設備的接入權進行判斷,符合允許接入條件的用戶設備 才被允許接入���,達到對UE的接入進行限制的目的��,進一步防止UE對網絡側進行惡意攻擊�, 提升網絡的服務質量,提升網絡設備的可靠性���。另外由于對UE或者群或者APN下的接入進 行了限制���,還可以減少網絡擁塞。實施例四�,如圖5所示,本發(fā)明實施例還提供了一種移動性管理網元�,上述移動性 管理網元也可以為接入網網元,包括請求接收單元501���,用于接收接入請求����;接入權信息獲取單元502�,用于獲取上述接入請求的用戶設備或者用戶設備所屬 的群或者APN的接入權信息;接入操作單元503�,用于若UE或者群內UE或者APN下的接入請求符合允許接入的 條件則執(zhí)行接入操作,否則����,拒絕執(zhí)行接入操作����。非法確定單元504���,用于若上述接入請求不符合允許接入的條件�����,則確定上述用戶 設備或上述用戶設備所在群或者上述APN為非法�;非法信息發(fā)送單元505����,用于將上述用戶設備或上述用戶設備所在群或者某個接 入點名稱為非法的信息發(fā)送給服務器?�?蛇x地�����,如圖6所示�,所述接入請求為位置更新請求�����,上述移動性管理網元,還可 以包括負載重分配單元601�����,用于從源側移動性管理網元��、用戶設備或接入網網元處獲知 位置更新請求用于負載重分配時����,則執(zhí)行所述接入操作。具體地�����,上述接入權信息獲取單元502���,具體用于統計上述用戶設備或者用戶設備 所在的群或者上述APN下的接入情況�����;或��,從服務器獲取服務器統計的結果�����。上述實施方式�,對接入請求的用戶設備或者用戶設備所在的群或者APN下的接入情況進行判斷,符合允許接入條件的用戶設備或者用戶設備所在的群或者APN才被允許接 入�����,達到對UE或者群或者APN下的接入進行限制的目的�,進一步防止UE或者群或者利用非 法APN的UE對網絡側進行惡意攻擊,提升網絡的服務質量�����,提升網絡設備的可靠性����。另外 由于對UE的接入或者群的接入或者APN下的接入進行了限制,還可以減少網絡擁塞��。實施例五�,如圖7所示,本發(fā)明實施例還提供了一種服務器�����,包括非法信息接收單元701��,用于接收移動性管理網元或接入網網元發(fā)送的用戶設備 或者用戶設備所在的群或者接入點名稱為非法的信息排查單元702���,用于服務器排查所述非法的用戶設備或所述用戶設備所在的群或 者所述接入點名稱異常的原因�����;修改單元703����,用于根據所述異常的原因修改相應參數使得所述用戶設備所在的 群或者所述接入點名稱合法���。進一步地�,如圖8所示�����,上述服務器還可以包括接入權信息統計單元801��,用于統計用戶設備或者用戶設備所在的群或者接入點 名稱的接入權信息��;接入權查詢請求接收單元802,用于接收查詢用戶設備或者用戶設備所在的群或 者接入點名稱下的接入權信息的請求���;查詢單元803���,用于從統計的用戶設備或者用戶設備所在的群或者接入點名稱下 的接入權信息中查詢上述查詢請求查詢的用戶設備或者用戶設備所在的群或者接入點名 稱下的接入權信息;接入權信息發(fā)送單元804�,用于發(fā)送上述查詢到的接入權信息。上述實現方式提供了對用戶設備的接入權進行判斷的依據的獲取方式�����。實施例六����,如圖9所示,本發(fā)明實施例還提供了一種接入控制系統����、包括移動性管理網元或接入網網元901,用于接收接入請求����;獲取上述接入請求的用 戶設備或者用戶設備所屬的群或者接入點名稱的接入權信息;若上述接入權信息符合允許 接入的條件則執(zhí)行接入操作����;若上述接入權信息不符合允許接入的條件����,拒絕執(zhí)行接入操 作���,確定上述用戶設備或上述用戶設備所在群或者某個接入點名稱為非法;將上述用戶設 備或上述用戶設備所在群或者某個接入點名稱為非法的信息發(fā)送給服務器902�����,使得網絡 拒絕后續(xù)的非法接入���;服務器902����,用于接收上述用戶設備或上述用戶設備所在群或者接入點名稱為非 法的信息��,若上述用戶設備或上述用戶設備所在群或者接入點名稱為非法��,則拒絕后續(xù)非 法UE或者非法群或者UE利用非法APN接入���。更具體地�����,上述移動性管理網元或接入網網元901����,用于獲取上述接入請求的用戶 設備或者用戶設備所屬的群或者接入點名稱的接入權信息包括統計上述接入請求的用戶 設備或者用戶設備所屬的群或者接入點名稱的接入權信息;或�����,上述移動性管理網元或接入網網元901����,用于獲取上述接入請求的用戶設備或者 用戶設備所屬的群或者接入點名稱的接入情況包括從服務器902獲取服務器92統計的結果;上述服務器902�,還用于統計上述用戶設備或上述群或上述接入點名稱的接入情 況,并將上述統計的結果發(fā)送給上述移動性管理網元或接入網網元901���。
所述服務器902���,還用于排查所述非法的用戶設備或所述用戶設備所在的群或者 所述接入點名稱異常的原因;根據所述異常的原因修改相應參數使得所述用戶設備所在的 群或者所述接入點名稱合法����;將所述用戶設備所在的群或者所述接入點名稱合法的信息發(fā) 送給所述移動性管理網元或接入網網元901����。更具體地����,上述接收接入請求為位置更新請求;上述移動性管理網元901����,還用于從源側移動性管理網元����、用戶設備或接入網網元 處獲知位置更新請求用于負載重分配時,則執(zhí)行所述接入操作��。上述實施方式����,對接入請求的用戶設備或者用戶設備所在的群或者APN下的接入 權進行判斷,符合允許接入條件的用戶設備才被允許接入��,達到對UE或者群的接入或者 APN下的接入進行限制的目的��,進一步防止UE對網絡側進行惡意攻擊����,提升網絡的服務質 量���,提升網絡設備的可靠性。由于對UE的接入或者群的接入或者APN下的接入進行了限制����, 還可以減少網絡擁塞。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以 通過程序來指令相關的硬件完成��,所述的程序可以存儲于一種計算機可讀存儲介質中��,上 述提到的存儲介質可以是只讀存儲器����,磁盤或光盤等。以上對本發(fā)明實施例所提供的一種接入控制的方法����、裝置和系統進行了詳細介 紹,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述�����,以上實施例的說明只 是用于幫助理解本發(fā)明的方法及其核心思想����;同時���,對于本領域的一般技術人員,依據本發(fā) 明的思想�,在具體實施方式
及應用范圍上均會有改變之處,綜上所述�,本說明書內容不應理 解為對本發(fā)明的限制。
權利要求
1.一種接入控制的方法��,其特征在于�����,包括接收接入請求�;獲取所述接入請求的用戶設備或者用戶設備所屬的群或者接入點名稱的接入權信息�;若所述接入權信息符合允許接入的條件則執(zhí)行接入操作;若所述接入權信息不符合允許接入的條件���,拒絕執(zhí)行接入操作��,確定所述用戶設備或 所述用戶設備所在群或者某個接入點名稱為非法�����;將所述用戶設備或所述用戶設備所在群 或者某個接入點名稱為非法的信息發(fā)送給服務器。
2.根據權利要求1所述方法,其特征在于���,所述接入權信息包括以下至少一項用戶設備或用戶設備所在的群在單位時間的接入 次數、用戶設備或用戶設備所在的群的總計接入次數,接入點名稱下的單位時間內的接入 次數�����、或者接入到接入點名稱的總計接入次數�����;對應的所述允許接入的條件為用戶設備或用戶設備所在的群或者接入點名稱的話務 模型���,包括以下至少一項允許用戶設備或用戶設備所在的群在單位時間的接入次數、允許 用戶設備或用戶設備所在的群的總計接入次數�,允許接入點名稱下的單位時間內的接入次 數、或者允許接入到某個接入點名稱的總計接入次數���。
3.根據權利要求1所述方法�����,其特征在于����,所述確定用戶設備或所述用戶設備所在群 或者某個接入點名稱為非法之后還包括服務器排查所述非法的用戶設備或所述用戶設備所在的群或者所述接入點名稱異常 的原因;根據所述異常的原因修改相應參數使得所述用戶設備或者所述用戶設備所在的群 或者所述接入點名稱合法�����。
4.根據權利要求3所述方法����,其特征在于,所述當接入請求為位置更新請求�,并且從源 側移動性管理網元、用戶設備或接入網網元處獲知所述位置更新請求用于負載重分配時���, 則執(zhí)行所述接入操作���。
5.根據權利要求1至4任意一項所述方法����,其特征在于,所述獲取所述接入請求的用戶 設備的接入權信息包括統計所述用戶設備或者所述群或者所述接入點名稱下的接入情況�;或從服務器獲取服務器統計的結果。
6.一種移動性管理網元或接入網網元����,其特征在于�����,包括請求接收單元���,用于接收接入請求;接入權信息獲取單元��,用于獲取所述接入請求的用戶設備或者用戶設備所屬的群或者 接入點名稱的接入權信息��;接入操作單元����,用于若所述接入權信息符合允許接入的條件則執(zhí)行接入操作,否則��,拒 絕執(zhí)行接入操作�����;非法確定單元�,用于若所述接入權信息不符合允許接入的條件,則確定所述用戶設備 或所述用戶設備所在群或者所述接入點名稱為非法;非法信息發(fā)送單元�����,用于將所述用戶設備或所述用戶設備所在群或者某個接入點名稱 為非法的信息發(fā)送給服務器����。
7.根據權利要求6所述網元,其特征在于����,所述網元為移動性管理網元,所述接入請求為位置更新請求還包括負載重分配單元��,用于從源側移動性管理網元�����、用戶設備或接入網網元處獲知所述位 置更新請求用于負載重分配時�����,則執(zhí)行所述接入操作����。
8.根據權利要求6至7任意一項所述網元,其特征在于�,所述接入權信息獲取單元,具體用于統計所述用戶設備或者用戶設備所在的群或者接 入點名稱下的接入情況�����;或���,從服務器獲取服務器統計的結果�。
9.一種服務器���,其特征在于��,包括非法信息接收單元�,用于接收移動性管理網元或接入網網元發(fā)送的用戶設備或者用戶 設備所在的群或者接入點名稱為非法的信息�����;排查單元����,用于服務器排查所述非法的用戶設備或所述用戶設備所在的群或者所述接 入點名稱異常的原因;修改單元�,用于根據所述異常的原因的修改相應參數使得所述用戶設備所在的群或者 所述接入點名稱合法����。
10.根據權利要求9所述服務器��,其特征在于���,還包括接入權信息統計單元����,用于統計用戶設備或者用戶設備所在的群或者接入點名稱的接 入權信息���;接入權查詢請求接收單元�����,用于接收查詢用戶設備或者用戶設備所在的群或者接入點 名稱下的接入權信息的請求����;查詢單元��,用于從統計的用戶設備或者用戶設備所在的群或者接入點名稱下的接入權 信息中查詢所述查詢請求查詢的用戶設備或者用戶設備所在的群或者接入點名稱下的接 入權信息����;接入權信息發(fā)送單元,用于發(fā)送所述查詢到的接入權信息�����。
11.一種接入控制系統�、其特征在于,包括移動性管理網元或接入網網元�����,用于接收接入請求�����;獲取所述接入請求的用戶設備或 者用戶設備所屬的群或者接入點名稱的接入權信息�����;若所述接入權信息符合允許接入的條 件則執(zhí)行接入操作��;若所述接入權信息不符合允許接入的條件���,拒絕執(zhí)行接入操作�,確定所 述用戶設備或所述用戶設備所在群或者某個接入點名稱為非法���;將所述用戶設備或所述用 戶設備所在群或者某個接入點名稱為非法的信息發(fā)送給服務器����;服務器,用于接收所述用戶設備或所述用戶設備所在群或者接入點名稱為非法的信息�。
12.根據權利要求11所述方法,其特征在于���,所述移動性管理網元或接入網網元����,用于 獲取所述接入請求的用戶設備或者用戶設備所屬的群或者接入點名稱的接入權信息包括 統計所述接入請求的用戶設備或者用戶設備所屬的群或者接入點名稱的接入情況��;或����,所述移動性管理網元或接入網網元,用于獲取所述接入請求的用戶設備或者用戶設備 所屬的群或者接入點名稱的接入權信息包括從服務器獲取服務器統計的結果�;所述服務器,還用于統計所述用戶設備或所述群或所述接入點名稱的接入情況�,并將 所述統計的結果發(fā)送給所述移動性管理網元或接入網網元。
13.根據權利要求11所述系統�,其特征在于,所述服務器��,還用于排查所述非法的用戶設備或所述用戶設備所在的群或者所述接入點名稱異常的原因;根據所述異常的原因修改 相應參數使得所述用戶設備所在的群或者所述接入點名稱合法���;將所述用戶設備所在的群 或者所述接入點名稱合法的信息發(fā)送給所述移動性管理網元或接入網網元�。
14.根據權利要求11至13任意一項所述系統�,其特征在于�����,所述接收接入請求為位置 更新請求�����;所述移動性管理網元�,還用于從源側移動性管理網元、用戶設備或接入網網元處獲知 位置更新請求用于負載重分配時�,則執(zhí)行所述接入操作。
全文摘要
本發(fā)明實施例公開了一種接入控制的方法��、裝置和系統���。其中方法的實現包括接收接入請求�;獲取接入請求的UE或者UE所屬的群或者APN的接入權信息�����;若接入權信息符合允許接入的條件則執(zhí)行接入操作;若接入權信息不符合允許接入的條件��,拒絕執(zhí)行接入操作�,確定UE或UE所在群或者某個APN為非法;將UE或UE所在群或者某個APN為非法的信息發(fā)送給服務器��。網絡側UE或者UE所屬的群或者APN的接入權信息的接入權信息進行判斷�,符合允許接入條件的UE才被允許接入,并將UE或UE所在群或者某個APN為非法的信息發(fā)送給服務器��,達到對UE的接入進行限制的目的����,進一步防止UE對網絡側進行惡意攻擊,提升網絡的服務質量�。
文檔編號H04W48/08GK101998575SQ200910167128
公開日2011年3月30日 申請日期2009年8月24日 優(yōu)先權日2009年8月24日
發(fā)明者吳問付, 周漢, 孫曉姬, 陳中平 申請人:華為技術有限公司