家庭基站系统中实现接入控制的方法及家庭基站网关

摘要

本发明公开了一种家庭基站系统中实现接入控制的方法，对于在CN实现接入控制的情况，在HNB GW判断出初始UE消息中携带有接入控制信息且不合法，或者初始UE消息中未携带接入控制信息但不携带接入控制信息是不合法时，HNB GW可以将自身存储有的接入控制信息发送给CN或拒绝当前连接请求。另外，在初始UE消息中可以不携带接入控制信息，只需由HNB GW直接将自身存储有的接入控制信息携带在Initial UE Message中后发送给CN。本发明还提供了一种家庭基站网关。本发明对接入控制信息的合法性判断以及重新填写都由网络侧的可信信元来完成，保证了接入控制信息的合法性，避免了HNB上报虚假接入控制信息到CN的安全隐患，从而保证了后续CN的接入控制是可靠的。

说明书

技术领域

本发明涉及家庭基站技术领域，尤其涉及一种家庭基站系统中实现接入控制的方法及家庭基站网关。

背景技术

家庭基站(HNB，Home NodeB)是一种小型、低功率的基站。通常，HNB部署在家庭及办公室等室内场所，主要作用是为了给用户提供更高的业务速率并降低使用高速率服务所需要的费用，同时，HNB还弥补了已有分布式蜂窝无线通信系统覆盖的不足。HNB的优点包括实惠、便捷、低功率输出、即插即用等。

图1为现有家庭基站系统的组成结构连接示意图，如图1所示，HNB的用户通过家庭基站接入网(HNB AN，Home NodeB Access Network)连接到核心网(CN)，HNB AN由HNB和家庭基站网关(HNB GW，Home NodeB Gateway)两部分共同组成。HNB GW主要用于验证HNB的安全性、处理HNB的注册和接入控制、对HNB进行运行维护管理、根据运营商要求配置和控制HNB，以及负责交换CN和HNB间的数据等。

在UMTS网络中，HNB必须通过HNB GW接入CN，其中HNB和HNB GW之间的接口为Iuh接口，HNB GW与CN之间的接口为Iu接口。对于演进型家庭基站(HeNB)可以不通过HNB GW而直接连接到CN(图1中未示出)，如果HNB通过HNB GW接入CN，那么HeNB和HeNB GW，HeNB GW和CN之间的接口均为S1接口，S1接口的协议栈分为控制面和用户面。

HNB是基站(NodeB或者eNodeB)的一种，HNB作为私人用户的专属资源被部署在家庭、团体、公司或者学校等私人场所使用，HNB覆盖的若干小区组成家庭基站覆盖区域。HNB的接入模式大致有三种，即开放式接入模式、封闭式接入模式和混合式接入模式。其中，开放式接入模式的HNB允许所有的用户接入；封闭式接入模式的HNB只允许经过授权的用户接入，比如家庭成员、团体成员等用户，这些经过授权的用户称为非公开授权用户组(CSG，Closed Subscriber Group)，相应的HNB所属小区称为CSG小区；混合式接入模式的HNB允许所有的用户接入，但是，对于属于其CSG用户组的用户享有优先或优惠的条件。对于CSG小区，不仅有一个全局的小区标识(CGI，Cell GlobalIdentifier)，还有CSG小区标识(CSG ID)。拥有不同CGI的CSG小区可以对应同一个CSG ID。

用户设备(UE，User Equipment)的USIM卡中有一张CSG白列表(whitelist)，CSG白列表记录了该UE允许CSG列表即允许接入的CSG ID，该CSG白列表同时也保存在CN的用户数据库中。如果CSG白列表是空的，表明该UE不属于任何CSG用户组；如果CSG白列表具有有效值，表明该UE是这些所列CSG ID所对应的CSG小区的授权用户。对于拥有CSG白列表的UE来说，可以驻留在被授权的CSG小区，而对于没有授权的封闭式接入模式的CSG小区不能驻留。

当拥有CSG白列表的UE希望驻留在CSG小区时，HNB将CSG小区所属的CSG ID上报给网络侧，由网络侧检查UE想驻留的小区是否允许UE的接入，对于封闭式接入模式的CSG小区，只允许授权用户接入，非授权用户禁止接入；对于混合式接入模式的CSG小区，授权用户享有优先或优惠的接入权利，这种接入控制被称为基于CSG的接入控制。开放式接入模式的HNB与普通的宏基站一样，可以不作基于CSG的接入控制。非HNB一般称为基站或宏基站，所属小区称为宏小区。

作为用户端设备的HNB，通过新增接口Iuh(在LTE中为S1-h)和HNB GW相连。HNB上电后将在HNB GW进行注册，HNB的注册过程就是HNB GW对HNB身份的合法性的检测过程。当HNB上电注册时，如果HNB通过HNBGW与CN相连，HNB GW可以获得该HNB的CSG ID、CGI以及接入模式，如果HNB直接与CN相连，CN可以获得这些直连HNB的CSG ID、CGI以及接入模式。

在3G家庭基站系统中，对应不同的UE如传统UE(Pre Rel8UE)和Rel8UE，其接入控制分别采用不同的策略。对于Pre Rel8UE，接入控制由HNB GW来实现，HNB GW通过比较UE的全球移动用户标识(IMSI，International MobileSubscriber Identity)和HNB的允许接入列表来决定该UE能否驻留在该HNB上；对于Rel8UE，接入控制由CN来实现，CN根据检查HNB GW上报的CSG ID是否在该UE允许CSG列表的对应关系中来决定是否允许该UE驻留在待接入的HNB。

对于在CN实现接入控制的情况，CN的判断依据是HNB GW透传的无线接入网络应用部分(RANAP)消息中初始UE消息(Initial UE Message)携带的CSG ID、HNB接入模式等接入控制信息，这些接入控制信息是由HNB上报的。这样，会存在以下问题：如果UE上报支持CSG能力，而HNB不给HNBGW上报CSG ID的话，本应在CN实现UE接入控制就失效了。因为在这种情况下，CN不会对UE做出根据UE允许CSG列表来做接入控制。

另外，HNB作为用户端设备，存在安全性方面的隐患，HNB可能被利用为攻击核心网的工具，例如使HNB上报一个虚假的CSG ID来骗过CN的接入控制等。比如：假设某个人可以加入家里和公司两个CSG用户组，当个人在家里时公司不允许用户接入公司的CSG用户组。但是，个人在家里是通过部署在自己家里的HNB进行连接，假设HNB在构造UE初始接入的消息带上公司的CSG ID，由于CN只根据检查HNB GW上报的CSG ID是否在该UE允许CSG列表的对应关系中来决定是否允许该UE驻留在待接入的HNB，而不会核实HNB GW上报的CSG ID是否合法，这样就会使得用户在家里就实现了使用公司CSG用户组服务的目的。由于不同的CSG用户组提供的计费、数据带宽都有可能是不一样的，显然上述情况是不合法的。

综上所述，对于在CN实现接入控制的情况，目前在家庭基站系统中实现UE接入控制的方法不能保证接入控制相关信息的合法性，因此造成了接入控制的不可靠。

发明内容

有鉴于此，本发明的主要目的在于提供一种家庭基站系统中实现接入控制的方法，能够可靠地实现UE接入控制。

本发明的另一目的在于提供一种家庭基站网关，能够确保接入控制信息的合法性，从而可靠地实现UE接入控制。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种家庭基站系统中实现接入控制的方法，包括以下步骤：

A.在UE注册被接受后，家庭基站HNB向家庭基站网关HNB GW请求建立连接；

B.HNB GW判断初始UE消息是否携带有接入控制信息，如果携带有，进入步骤C；否则进入步骤D；

C.在确定接入控制信息合法后，将接收到的初始UE消息透传给核心网CN，CN根据接入控制信息实现UE接入控制，结束当前处理流程；

D.HNB GW将自身存储有的接入控制信息发送给CN，CN根据接入控制信息实现UE接入控制。

上述方案中，步骤C中所述确定接入控制信息合法具体包括：所述HNB GW比较接收到的接入控制信息与自身在HNB注册时获得的对应信息是否一致，如果一致，判定接收到的接入控制信息是合法的；如果不一致，则判定接收到的接入控制信息不合法。

上述方案中，在判断出接入控制信息不合法后，该方法还包括：所述HNBGW直接拒绝HNB发起的建立连接请求，结束当前处理流程；或者，所述HNBGW将自身在HNB注册阶段获得的该HNB的接入控制信息替换接收到的不合法的接入控制信息后发送给核心网CN，CN根据接入控制信息实现UE接入控制，结束当前处理流程。

上述方案中，在所述HNB GW判断出初始UE消息中未携带接入控制信息后，进入步骤D之前，该方法还包括：判断不携带接入控制信息是否合法，若合法则将接收到的初始UE消息透传给CN，结束当前处理流程；若不合法，则进入步骤D。

其中，判断出不携带接入控制信息不合法时，该方法还包括：直接拒绝HNB发起的建立连接请求，结束当前处理流程。

上述方案中，所述接入控制信息包括非公开授权用户组标识CSG ID、HNB接入模式。

上述方案中，所述CN根据接入控制信息实现UE接入控制具体为：CN根据接收到的接入控制信息以及自身存储有的UE允许CSG列表实现接入控制。

本发明还提供了一种家庭基站系统中实现接入控制的方法，包括以下步骤：

在UE注册被接受后，家庭基站HNB向家庭基站网关HNB GW请求建立连接；初始UE消息中不携带接入控制信息；

HNB GW将自身存储有的接入控制信息发送给CN，CN根据接入控制信息实现UE接入控制。

其中，所述接入控制信息携带在初始UE消息中。

其中，所述接入控制信息包括非公开授权用户组标识CSG ID、HNB接入模式。

本发明又提供了一种家庭基站网关，至少包括：接收模块、判断模块、第一输出模块和第二输出模块，其中，

接收模块，用于接收来自HNB的请求建立连接并转发给判断模块；

判断模块，用于判断接收到的初始UE消息中是否携带有接入控制信息，如果携带有，将接收到的接入控制信息发送给第一输出模块；如果未携带，向第二输出模块发送填写通知；

第一输出模块，用于判断接收到的接入控制信息是否合法，如果合法，将接收到的初始UE消息透传给CN；如果不合法，拒绝当前接入，或者向第二输出模块发送替换通知；

第二输出模块，在接收到替换通知后，将自身在HNB注册阶段获得的该HNB的接入控制信息替换不合法的接入控制信息，将合法的接入控制信息发送给CN；在接收到填写通知后，将自身在HNB注册阶段获得的该HNB的接入控制信息发送给CN。

其中，在判断出所述初始UE消息中未携带接入控制信息时，所述判断模块进一步用于，判断不携带接入控制信息是否合法，如果合法，将接收到的初始UE消息透传给CN；如果不合法，向第二输出模块发送填写通知。

其中，在判断出所述初始UE消息中未携带接入控制信息，且不携带接入控制信息不合法时，所述判断模块进一步用于，拒绝当前接入。

本发明还提供了一种家庭基站网关，至少包括：转发模块和第三输出模块，其中，

转发模块，用于接收来自HNB的请求建立连接并转发给第三输出模块；

第三输出模块，用于将自身在HNB注册阶段获得的该HNB的接入控制信息发送给CN。

由上述技术方案可见，在家庭基站系统中，对于在CN实现接入控制的情况，在UE注册被接受后，HNB向HNB GW请求建立连接，在HNB GW判断出初始UE消息中携带有接入控制信息且合法时，将合法的接入控制信息发送给CN，CN根据接入控制信息实现UE接入控制；在HNB GW判断出连接请求中未携带接入控制信息时，HNB GW将自身存储有的接入控制信息发送给CN，CN根据接入控制信息实现UE接入控制；在判断出携带有接入控制信息但是不合法时，HNB GW拒绝接入，或者将自身存储有的接入控制信息发送给CN，CN根据接入控制信息实现UE接入控制。从本发明方法可见，对接入控制信息的合法性判断以及重新填写都由网络侧的可信信元来完成，保证了接入控制信息如CSG ID、HNB接入模式等信息的合法性，避免了HNB上报虚假接入控制信息到CN的安全隐患，从而保证了后续CN的接入控制是可靠的。

另外，本发明提供的方法中，在HNB GW接收到来自HNB的初始UE消息中可以不携带接入控制信息，此时，只需由HNB GW直接将自身存储有的接入控制信息携带在Initial UE Message中后发送给CN即可，而CN根据接入控制信息实现UE接入控制。由于对接入控制信息的填写由网络侧的可信信元来完成，保证了接入控制信息如CSG ID、HNB接入模式等信息的合法性，避免了HNB上报虚假接入控制信息到CN的安全隐患，从而保证了后续CN的接入控制是可靠的。

附图说明

图1为现有家庭基站系统的组成结构连接示意图；

图2为本发明实现UE接入控制的方法的流程图；

图3为本发明家庭基站网关的组成结构示意图；

图4为本发明另一种家庭基站网关的组成结构示意图；

图5为本发明完善现有规范的接入控制的实施例的流程示意图；

图6为本发明采用由HNB GW填写接入控制信息的方式来完成UE接入控制的实施例的流程示意图。

具体实施方式

图2为本发明实现UE接入控制的方法的流程图，如图2所示，在家庭基站系统中，对于在CN实现接入控制的情况，本发明方法包括以下步骤：

步骤200：在UE注册被接受后，HNB向HNB GW请求建立连接。

按照现有规范，UE首先发起无线资源控制(RRC)连接，其中携带有IMSI、UE版本信息和UE能力信息；接着，UE通过RRC直传消息向HNB传送初始非接入层(NAS)消息；HNB检查UE的版本号和UE能力，如果HNB不知道UE，还需要在初始NAS消息中携带IMSI等信息；HNB发起UE注册过程，将UE的版本信息和UE能力信息发送给HNB GW；HNB GW根据UE版本号和UE能力，在判断出如果UE是Rel8版本而且支持CSG能力时，HNB GW只对UE进行注册而不做接入控制；然后，HNB GW向HNB反馈注册被接受消息，其中携带有上下文标识(Context ID)。

按照现有规范，在HNB接收到注册被接受消息后，HNB会将携带有接入控制信息如HNB自身的CSG ID信息的Initial UE Message，携带在请求建立连接中发送给HNB GW；

此外，本发明方法中，也可以在Initial UE Message中不携带接入控制信息如CSG ID信息，也就是说在HNB发送的初始UE消息中不包含CSG ID信息等接入控制信息。

需要说明的是，接入控制信息除了可以包括CSG ID外，还可以包括HNB的接入模式等。

步骤201：HNB GW判断承载在连接请求中的初始UE消息中是否携带有接入控制信息，如果携带有，进入步骤202；否则进入步骤203。

按照协议规定初始UE消息承载在连接请求中。

步骤202：在确定接入控制信息合法后，将接收到的初始UE消息透传给CN，CN根据接入控制信息实现UE接入控制。

在判断出连接请求中携带有接入控制信息时，HNB GW会判断该接入控制信息是否合法，如步骤202a所示，具体实现为：HNB GW比较接收到的接入控制信息与自身在HNB注册时获得的对应信息是否一致，如果一致，判定接收到的接入控制信息是合法的；如果不一致，则判定接收到的接入控制信息不合法。

在判断出接收到的接入控制信息合法后，如步骤202b所示，HNB GW将合法的接入控制信息发送给CN即将接收到的初始UE消息透传给CN，CN根据接入控制信息实现UE接入控制，按照现有规范，HNB GW会将携带有合法的接入控制信息如CSG ID的初始UE消息，携带在建立SCCP连接请求中发送给CN，而CN就根据接收到的接入控制信息以及自身存储有的UE允许CSG列表来做接入控制。此时，由于携带在建立SCCP连接请求中的接入控制信息是合法的，避免了HNB上报虚假接入控制信息到CN的安全隐患，保证了CN的接入控制是可靠的。

进一步地，在判断出接收到的接入控制信息不合法后，如步骤202c所示，一种实现方式是，HNB GW直接拒绝HNB发起的建立连接请求，即直接拒绝当前UE的接入，结束当前处理流程；另一种实现方式是，HNB GW将自身在HNB注册阶段获得的该HNB的接入控制信息替换接收到的不合法的接入控制信息，然后，将携带有替换后的合法的接入控制信息如CSG ID的Initial UEMessage，携带在建立SCCP连接请求中发送给CN，而CN就根据接收到的接入控制信息以及自身存储有的UE允许CSG列表来做接入控制。同样，此时，由于携带在建立SCCP连接请求中的接入控制信息是合法的，避免了HNB上报虚假接入控制信息到CN的安全隐患，保证了CN的接入控制是可靠的。

步骤203：HNB GW将自身存储有的接入控制信息发送给CN，CN根据接入控制信息实现UE接入控制。

在判断出连接请求中未携带接入控制信息时，如步骤203a所示，需要判断不携带接入控制信息是否合法，具体判断是根据HNB GW中存储有的对应HNB是否可以不携带接入控制信息的记录来进行判断，如果记录表明HNB可以不携带接入控制信息，则说明是合法，否则不合法。对于HNB GW中存储有的对应HNB是否可以不携带接入控制信息的记录是由协议规定的其他流程来实现的，本发明只是利用该记录进行判断而已。

在不携带接入控制信息合法时，说明HNB在构造Initial UE Message时，没有填写接入控制信息，比如CSG ID、HNB接入模式等信息，本步骤中，如步骤203b所示，HNB GW将接收到的初始UE消息透传给CN，由CN按照协议规定对UE进行接入控制。

在判断出不携带接入控制信息不合法时，如步骤203c所示，HNB GW可以直接拒绝HNB发起的建立连接请求，即直接拒绝当前UE的接入。HNB GW也可以将自身在HNB注册阶段获得的该HNB的接入控制信息填写在Initial UEMessage，并将该Initial UE Message携带在建立SCCP连接请求中发送给CN，而CN就根据接收到的接入控制信息以及自身存储有的UE允许CSG列表来做接入控制。此时，由于携带在建立SCCP连接请求中的接入控制信息是合法的，因此，保证了CN的接入控制是可靠的。这里，Initial UE Message中携带的接入控制信息由HNB GW来填写，由于HNB GW属于网络侧的可信信元，而且在HNB注册阶段，HNB GW获得的该HNB的相关信息是经过检查的合法的信息，因此，保证了Initial UE Message中填写的接入控制信息如CSG ID、HNB接入模式等信息的合法性，避免了HNB上报虚假接入控制信息到CN的安全隐患，从而保证了后续CN的接入控制是可靠的。

需要说明的是，如果仅仅采用由HNB GW填写Initial UE Message中携带的接入控制信息的方式来完成UE接入控制时，本发明方法中是可以不需要包括判断Initial UE Message中是否存在接入控制信息的步骤的，也就是说，在HNB GW接收到来自HNB的初始UE消息时，直接将自身存储有的接入控制信息携带在Initial UE Message中后发送给CN即可，而CN根据接入控制信息实现UE接入控制。图2所示的流程是为了兼容现有接入控制规范，对现有接入控制方法的进一步完善的方法。

对应图2所示的方法，本发明还提供了一种家庭基站网关，图3为本发明家庭基站网关的组成结构示意图，如图3所示，本发明家庭基站网关至少包括接收模块、判断模块、第一输出模块和第二输出模块，其中，

接收模块，用于接收来自HNB的连接请求并转发给判断模块。

判断模块，用于判断接收到的承载在连接请求中的初始UE消息中是否携带有接入控制信息，如果携带有，将接收到的接入控制信息发送给第一输出模块；如果未携带，向第二输出模块发送填写通知。

第一输出模块，用于判断接收到的接入控制信息是否合法，如果合法，将接收到的初始UE消息透传给CN；如果不合法，拒绝当前接入，或者向第二输出模块发送替换通知。这里，对拒绝当前接入的实现方法不做限定，比如可以是向HNB发送拒绝接入通知，或者是HNB在定时器超时后仍然没有被允许接入获知被拒绝等。

第二输出模块，在接收到替换通知后，将自身在HNB注册阶段获得的该HNB的接入控制信息替换不合法的接入控制信息，将合法的接入控制信息发送给CN；在接收到填写通知后，将自身在HNB注册阶段获得的该HNB的接入控制信息发送给CN。

在判断出初始UE消息中未携带接入控制信息时，所述判断模块进一步用于，判断不携带接入控制信息是否合法，如果合法，将接收到的初始UE消息透传给CN；如果不合法，向第二输出模块发送填写通知。

在判断出不携带接入控制信息不合法时，所述判断模块进一步用于，拒绝当前接入。

同样，如果仅仅采用由HNB GW填写Initial UE Message中携带的接入控制信息的方式来完成UE接入控制时，家庭基站网关中至少包括转发模块和第三输出模块，如图4所示，图4为本发明另一种家庭基站网关的组成结构示意图。此时，转发模块，用于接收来自HNB的请求建立连接并转发给第三输出模块，而第三输出模块，用于将自身在HNB注册阶段获得的该HNB的接入控制信息发送给CN。对应方法，HNB发起初始UE消息，以表明请求建立连接，而第三输出模块将自身在HNB注册阶段获得的该HNB的接入控制信息携带在初始UE消息(即重构初始UE消息)中发送给CN。

图5为本发明完善现有规范的接入控制的实施例的流程示意图，如图5所示，假设本实施例中接入控制信息包括CSG ID，在判断出接入控制信息不合法时直接拒绝接入；包括：

步骤500～步骤504：UE首先发起RRC连接，其中携带有IMSI、UE版本信息(UE Rel)和UE能力信息(UE Cap)；接着，UE通过RRC直传消息向HNB传送初始NAS消息；HNB检查UE的版本号和UE能力，如果HNB不知道UE，还需要在初始NAS消息中携带IMSI等信息；HNB发起UE注册过程，将UE的版本信息和UE能力信息发送给HNB GW；HNB GW根据UE版本号和UE能力，在判断出如果UE是Rel8版本而且支持CSG能力时，HNB GW只对UE进行注册而不做接入控制；然后，HNB GW向HNB反馈注册被接受消息，其中携带有Context ID。

步骤505：HNB将携带有CSG ID信息的Initial UE Message，承载在连接(Connect)请求中发送给HNB GW。

步骤506：HNB GW判断出Connect请求中是否存在CSG ID，且CSG ID是否合法，当存在CSG ID且合法时，进入步骤507b；否则进入步骤507a。

步骤507a：向HNB发起拒绝连接请求，结束当前处理流程。

步骤507b：HNB GW将该CSG ID带在建立SCCP连接请求中发送给CN。

步骤508：CN根据接收到的CSG ID以及自身存储有的UE允许CSG列表来做接入控制。

图6为本发明采用由HNB GW填写接入控制信息的方式来完成UE接入控制的实施例的流程示意图，如图6所示，假设本实施例中接入控制信息包括CSGID，包括：

步骤600～步骤604：UE首先发起RRC连接，其中携带有IMSI、UE版本信息和UE能力信息；接着，UE通过RRC直传消息向HNB传送初始NAS消息；HNB检查UE的版本号和UE能力，如果HNB不知道UE，还需要在初始NAS消息中携带IMSI等信息；HNB发起UE注册过程，将UE的版本信息和UE能力信息发送给HNB GW；HNB GW根据UE版本号和UE能力，在判断出如果UE是Rel8版本而且支持CSG能力时，HNB GW只对UE进行注册而不做接入控制；然后，HNB GW向HNB反馈注册被接受消息，其中携带有Context ID。

步骤605：HNB将携带有Initial UE Message的Connect请求中发送给HNBGW，在Initial UE Message不携带CGS ID。

步骤606：HNB GW将自身在HNB注册阶段获得的该HNB的接入控制信息填写在Initial UE Message，并将该Initial UE Message携带在建立SCCP连接请求中发送给CN。

步骤607：CN就根据接收到的CSG ID以及自身存储有的UE允许CSG列表来做接入控制。

本发明方法同样适用于演进的HeNB系统。简单来讲：

在演进的HeNB系统中，对于通过网关连接的架构，也需要对HeNB产生的Initial UE Message消息中携带的CSG ID以及可能和HeNB接入控制相关的HeNB接入模式等参数进行检查，保证正确的接入控制信息传送到位于CN的MME。因为对于通过网关和MME连接的HeNB对MME是不可见的，按照本发明方法，一种能够实现方式为：对接入控制信息的合法性判断由演进的HeNBGW来完成。只有在确保有可信网元判定接入控制信息合法的情况下，才语训CN通过查找UE允许CSG列表来完成UE的接入控制。

另一种实现方式为：接入控制信息由演进的HeNB GW来填写，即通过演进的HeNB GW重写构造Initial UE Message后再发送给CN中的MME，MME解析Initial UE Message，获得接入控制信息，保证了配合UE允许CSG列表完成可靠的接入控制。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。