微型基地台、微型基地台闸道器及其存取拒绝方法

摘要

本发明提供一种微型基地台、一种微型基地台闸道器及其存取拒绝方法。一无线网络系统包含一无线装置、数个该微型基地台、该微型基地台闸道器及一核心网络服务器，其中该无线装置具有一用户识别码，且该核心网络服务器存这些微型基地台的一封闭用户群组识别码。该微型基地台闸道器自该核心网络服务器接收一对应至该无线装置的一用户识别码的用户存取拒绝消息，并将该用户存取拒绝消息传送至这些微型基地台。各该微型基地台根据该用户存取拒绝消息，将该用户识别码记录于一用户封锁清单。当各该微型基地台再次自该无线装置接收该用户识别码且判断该用户识别码记录于其用户封锁清单时，立即终止与该无线装置的一无线连结。

说明书

技术领域

本发明关于一种微型基地台、一种微型基地台闸道器及其存取拒绝方法；更 具体而言，本发明的微型基地台、微型基地台闸道器及其存取拒绝方法由该微型基 地台闸道器传送一用户存取拒绝消息至该微型基地台，该微型基地台记录该用户存 取拒绝消息至一用户封锁清单，且当该微型基地台判断一无线装置的一用户识别码 记录于该用户封锁清单时，终止与该无线装置的一无线连结。

背景技术

现今蜂巢式网络的特征是其提供的频宽由特定基地台区域内的所有用户共 享，因此当无线移动通信网路使用者处于室外环境时，每位用户所能享有的频宽是 与该区域内的有效用户数成反比的。于是，随着无线移动通信网路使用者的暴增， 将造成室外蜂巢式基地台的负载越来越重，致使每个用户所能获得使用的频宽便越 来越小。为了解决上述问题，许多业者纷纷投入大量心血至微型基地台(Femtocell) 的开发。

微型基地台是一种专为室内使用所设计的超小型低功率基地台，其运作在有 执照的无线频段，例如全球互通微波存取(Worldwide Interoperability for Microwave  Access；WiMAX)网络、长期演进(Long Term Evolution；LTE)网络或第三代无 线通信(Third Generation；3G)网络的频段。微型基地台因具有结构简单、价格 低廉且安装容易等特性，故利用微型基地台取代蜂巢式基地台去涵盖室内无线通信 范围较为经济。此外，当移动装置进入到微型基地台信号涵盖范围内，可由微型基 地台取代蜂巢式基地台提供移动装置所需的服务，不但可以增加室内的信号强度， 也避免了与蜂巢式基地台信号涵盖范围内的所有移动装置竞争网络使用权。

在现今微型基地台的架构中，采用的存取控制方式为封闭用户群组(Closed  Subscribers Group)机制。该机制规范一无线装置在认证流程中，认证消息必须经 过微型基地台、安全闸道器(Secrity Gateway)、微型基地台闸道器(Femtocell  Gateway)直至核心网络服务器，才能够认证该无线装置是否能够存取该微型基地 台。然而，上述认证流程因认证程序消息必须被传送至核心网络服务器处理，造成 认证时间过长，容易造成恶意使用者只要通过重复登入来发动阻断服务攻击 (Denial of Service)，即可影响合法使用者的正常认证联机程序及占据微型基地台 的网络传输效能，严重可能造成無法提供無線網路服務。

有鉴于此，如何提供一存取拒绝方法，并根据该存取拒绝方法设计出对应的 微型基地台与微型基地台闸道器，以有效减少已知技术遭受恶意使用者攻击的影 响，确为该领域的业者亟需解决的问题。

发明内容

本发明的一目的在于提供一种微型基地台、一种微型基地台闸道器及其存取 拒绝方法。详言之，本发明的微型基地台闸道器于收到一对应至一无线装置的一用 户识别码的用户存取拒绝消息后，将该用户存取拒绝消息传送至具有相同封闭用户 群组识别码的微型基地台。本发明的微型基地台于收到该用户存取拒绝消息后，将 该用户识别码记录于一用户封锁清单中，且终止与该无线装置的一无线连结。此外， 当本发明的微型基地台再次自该无线装置接收该用户识别码且判断该用户识别码 记录于其用户封锁清单时，立即终止与该无线装置的一无线连结。

进一步言，当一恶意使用者经由连续登入进行攻击时，已知技术的认证程序 必须每次都将该恶意使用者的一用户识别码传送至一核心网络才可辨识该恶意使 用者是否为合法使用者。反观本发明，该微型基地台可经由一用户封锁清单判断该 恶意使用者是否为合法使用者，并可直接拒绝该恶意使用者的认证程序并立即中止 与该恶意使用者的一无线连结。因此，本发明的微型基地台、微型基地台闸道器及 其存取拒绝方法能有效减少已知技术遭受恶意使用者攻击的影响。

为达上述目的，本发明提供一种微型基地台。一无线网络系统包含一无线装 置、一微型基地台闸道器、一核心网络服务器以及该微型基地台。该无线装置具有 一用户识别码(Subscriber Identification)，该核心网络服务器存有该微型基地台的 一封闭用户群组识别码(Closed Subscribers Group Identification)。该微型基地台 包含一无线网络接口、一有线网络接口、一储存单元及一处理单元。该无线网络接 口用以与该无线装置建立一第一无线连结，且经由该第一无线连结自该无线装置接 收该用户识别码。该有线网络接口用以与该微型基地台闸道器建立一有线连结，经 由该有线连结传送该用户识别码至该微型基地台闸道器，经由该有线连结自该微型 基地台闸道器接收一用户识别码确认消息(Subscriber Identification Validation)， 以及经由该有线连结自该微型基地台闸道器接收一源自于该核心网络服务器的用 户存取拒绝消息(Subscriber Access Rejection)。该储存单元储存一用户封锁清单。 该处理单元电性连结至该无线网络接口、该有线网络接口及该储存单元，并根据该 用户存取拒绝消息，将该用户识别码记录于该储存单元的该用户封锁清单中，且指 示该无线网络接口终止该第一无线连结。

为达上述目的，本发明更提供一种微型基地台闸道器。一无线网络系统包含 一无线装置、一第一微型基地台、一核心网络服务器以及该微型基地台闸道器。该 无线装置具有一用户识别码，该核心网络服务器存有该微型基地台的一封闭用户群 组识别码。该微型基地台闸道器包含一有线网络接口及一处理单元。该有线网络接 口用以进行下列运作：与该第一微型基地台建立一第一有线联机，经由该第一有线 连结自该第一微型基地台接收该用户识别码，经由该第一有线连结传送一对应至该 用户识别码的用户识别码确认消息至该第一微型基地台，与该核心网络服务器建立 一第二有线连结，经由该第二有线连结传送该用户识别码至该核心网络服务器，经 由该第二有线连结自该核心网络服务器接收一用户存取拒绝消息，以及经由该第一 有线连结传送该用户存取拒绝消息至该第一微型基地台。该处理单元电性连结至该 有线网络接口，并用以判断一第二微型基地台具有该封闭用户群组识别码。该有线 网络接口更与该第二微型基地台建立一第三有线连结，且经由该第三有线连结传送 该用户存取拒绝消息至该第二微型基地台。

为达上述目的，本发明又提供一种用于一微型基地台的存取拒绝方法。一无 线网络系统包含一具有一用户识别码的无线装置、该微型基地台、一微型基地台闸 道器及一存有该微型基地台的一封闭用户群组识别码的核心网络服务器。该微型基 地台包含一无线网络接口、一有线网络接口、一储存单元及一电性连结至该无线网 络接口、该有线网络接口及该储存单元的处理单元，该存取拒绝方法包含下列步骤： (a)令该无线网络接口，与该无线装置建立一第一无线连结；(b)令该无线网络接口， 经由该第一无线连结自该无线装置接收该用户识别码；(c)令该有线网络接口，与 该微型基地台闸道器建立一有线连结；(d)令该有线网络接口，经由该有线连结传 送该用户识别码至该微型基地台闸道器；(e)令该有线网络接口，经由该有线连结 自该微型基地台闸道器接收一用户识别码确认消息；(f)令该有线网络接口，经由 该有线连结自该微型基地台闸道器接收一源自于该核心网络服务器的用户存取拒 绝消息；(g)令该储存单元，储存一用户封锁清单；以及(h)令该处理单元，根据该 用户存取拒绝消息将该用户识别码记录于该储存单元的该用户封锁清单中，且指示 该无线网络接口终止该第一无线连结。

为达上述目的，本发明另提供一种用于一微型基地台闸道器的存取拒绝方法。 一无线网络系统包含一具有一用户识别码的无线装置、一第一微型基地台、该微型 基地台闸道器及一存有该第一微型基地台的一封闭用户群组识别码的核心网络服 务器。该微型基地台闸道器包含一有线网络接口及一电性连结至该有线网络接口的 处理单元，该存取拒绝方法包含下列步骤：(a)令该有线网络接口，与该第一微型 基地台建立一第一有线连结；(b)令该有线网络接口，经由该第一有线连结自该第 一微型基地台接收该用户识别码；(c)令该有线网络接口，经由该第一有线连结传 送一对应至该用户识别码的用户识别码确认消息至该第一微型基地台；(d)令该有 线网络接口，与该核心网络服务器建立一第二有线连结；(e)令该有线网络接口， 经由该第二有线连结传送该用户识别码至该核心网络服务器；(f)令该有线网络接 口，经由该第二有线连结自该核心网络服务器接收一用户存取拒绝消息；(g)令该 有线网络接口，经由该第一有线连结传送该用户存取拒绝消息至该第一微型基地 台；(h)令该处理单元，判断一第二微型基地台具有该封闭用户群组识别码；(i)令 该有线网络接口，与该第二微型基地台建立一第三有线连结；以及(j)令该有线网络 接口，经由该第三有线连结传送该用户存取拒绝消息至该第二微型基地台。

为让上述目的、技术特征、和优点能更明显易懂，下文以较佳实施例配合所 附图式进行详细说明。

附图说明

图1描绘无线网络系统1的一连结示意图；

图2描绘微型基地台13的运作示意图；

图3描绘微型基地台闸道器17的运作示意图；

图4A-4C描绘第二实施例的微型基地台的运作流程图；以及

图5描绘第二实施例的微型基地台闸道器的运作流程图。

主要组件符号说明：

1：无线网络系统

11：无线装置

13：微型基地台

131：无线网络接口

133：有线网络接口

135：储存单元

137：处理单元

13a：第一微型基地台

13b：第二微型基地台

15：安全闸道器

17：微型基地台闸道器

173：有线网络接口

177：处理单元

19：核心网络服务器

21：第一无线连结

211：用户识别码

212：用户识别码确认消息

213：用户存取拒绝消息

23：有线连结

23a：第一有线连结

23b：第二有线连结

23c：第三有线连结

25：第二无线连结

具体实施方式

以下将通过实施例来解释本发明的内容。须说明者，本发明的实施例并非用 以限制本发明须在如实施例所述的任何特定的环境、应用或特殊方式方能实施。因 此，有关实施例的说明仅为阐释本发明的目的，而非用以限制本发明，且本案所请 求的范围，以申请专利范围为准。此外，于以下实施例及图式中，与本发明非直接 相关的组件已省略而未绘示，且图式中各组件间的尺寸关系仅为求容易了解，非用 以限制实际比例。

本发明的第一实施例为一无线网络系统1，其说明请合并参考第1-3图。图1 描绘无线网络系统1的一连结示意图、图2描绘微型基地台13的运作示意图以及 图3描绘微型基地台闸道器17的运作示意图。为求容易了解，本发明的第一实施 例的无线网络系统1一第三代无线通信网络系统。然而，无线网络系统1于其它实 施例中亦可是其它通信网络系统，并非仅局限于第三代无线通信网络系统，合先叙 明。

如图1所示，无线网络系统1包含一无线装置11、一微型基地台13、一安全 闸道器15、一微型基地台闸道器17及一核心网络服务器19。微型基地台13包含 一无线网络接口131、一有线网络接口133、一储存单元135及一处理单元137， 其中处理单元137电性连接至无线网络接口131、有线网络接口133及储存单元 135。微型基地台闸道器17包含一有线网络接口173及一处理单元177，其中处理 单元177电性连接至有线网络接口173。微型基地台13所配置的处理单元137及 微型基地台闸道器17所配置的处理单元177会执行已知微型基地台及微型基地台 闸道器所能执行的运作，于本实施例中，将不赘述这些部份。

进一步言，无线网络接口131用以与无线装置11建立无线连结，有线网络接 口133通过安全闸道器15与有线网络接口173建立有线连结，且有线网络接口173 更与核心网络服务器19建立有线连结。安全闸道器15用以加/解密有线网络接口 133与有线网络接口173间的一信号，以增加传递该信号的安全性。须说明者，由 于安全闸道器15的运作实质上并不影响本发明的无线网络系统1的运作，故有线 网络接口133与有线网络接口173间的信号传递于其它实施例中亦可不经由安全闸 道器15完成。

有关微型基地台13的运作原理请参阅图2。如图2所示，微型基地台13的无 线网络接口131用以与无线装置11建立一第一无线连结21，故微型基地台13可 经由第一无线连结21自无线装置11接收一用户识别码211。须说明者，第一无线 连结21用以作为微型基地台13与无线装置11间的无线资源沟通桥梁，且关于第 一无线连结21的建立方式本发明所属技术领域中的通常知识，故不赘言。此外， 用户识别码211用以识别无线装置11的一身份，例如可以是一国际移动用户识别 码(International Mobile Subscriber Identity)或一用户识别模块码(Subscriber Identity  Module Code)等等。

微型基地台13的有线网络接口133用以通过安全闸道器15与该微型基地台 闸道器17的有线网络接口173建立一有线连结23。微型基地台13可经由有线连 结23传送用户识别码211至微型基地台闸道器17，并经由有线连结23自微型基 地台闸道器17接收一用户识别码确认消息212。须说明者，有线连结23主要用以 作为微型基地台13与微型基地台闸道器17间的身分认证桥梁，且关于有线连结 23的建立方式亦为本发明所属技术领域中的通常知识，故不赘言。

进一步言，微型基地台13可经由有线连结23自微型基地台闸道器17接收一 源自于核心网络服务器19的用户存取拒绝消息213。用户存取拒绝消息213对应 至无线装置11的用户识别码211，且用以表示无线装置11不具有存取微型基地台 13的权限。有关微型基地台闸道器17与核心网络服务器19间的运作原理将于后 续详述。

当有线网络接口173自微型基地台闸道器17接收一源自于核心网络服务器19 的用户存取拒绝消息213后，微型基地台13的处理单元137根据用户存取拒绝消 息213，将用户识别码211记录于储存单元135所储存的一用户封锁清单中，且指 示无线网络接口131终止第一无线连结21。至此，微型基地台13已认定无线装置 11不具有存取的权限。

接着将说明微型基地台13如何克服恶意使用者通过重复登入发动的阻断服务 攻击。假设无线装置11一恶意使用者，且无线装置11再次对微型基地台13进行 一认证请求。详言之，根据该认证请求，微型基地台13的无线网络接口131首先 与无线装置11建立一第二无线连结25，并经由第二无线连结25自无线装置11接 收用户识别码211。接着微型基地台13的处理单元137判断储存单元135的该用 户封锁清单是否包含用户识别码211。若无线装置11的用户识别码211确实已记 录于该用户封锁清单内，处理单元137更新储存单元135的该用户封锁清单并立即 指示无线网络接口131终止第二无线连结25。

详言之，当无线装置11第一次发出认证请求时，本发明的微型基地台13及 微型基地台闸道器17依据正常认证程序进行处理。当无线装置11的第一次认证失 败后，微型基地台13认定无线装置11可能一恶意使用者，并将无线装置11的用 户识别码211记录于微型基地台13的储存单元。当无线装置11通过重复登入发动 阻断服务攻击时，微型基地台13可经由处理单元137判断无线装置11的用户识别 码211是否已记录于该储存单元135的该用户封锁清单，若是则更新储存单元135 的该用户封锁清单并立即指示无线网络接口131终止第二无线连结25，而不用遵 循正常认证程序再一次进行完整认证(即认证程序不须经由安全闸道器15、微型 基地台闸道器17及核心网络服务器19)，俾可减少认证恶意使用者攻击的影响(例 如影响合法使用者的正常认证程序及微型基地台的网络传输效能等等)。

另一方面，本发明的微型基地台13具有一回复机制。该回复机制用以避免合 法使用者因被误判为恶意使用者而永久被拒绝的可能。详言之，当有线网络接口 173自微型基地台闸道器17接收一源自于核心网络服务器19的用户存取拒绝消息 213后，微型基地台13的处理单元137可进一步将对应至用户识别码211的一拒 绝次数以及一时间戳记记录于储存单元135的该用户封锁清单中。须说明者，该拒 绝次数一计数次数，也就是用户识别码211每次被记录于该用户封锁清单中，该拒 绝次数即计数一次。此外，该时间戳记用以表示用户识别码211记录于该用户封锁 清单中的时间，且随着记录该用户识别码211于该用户封锁清单而更新。

进一步言，微型基地台13的处理单元137可利用该拒绝次数及该时间戳记， 计算用户识别码211的一封锁时间。举例而言，微型基地台13的处理单元137可 界定一冻结时间T_f＝2^{(拒绝次数-1)}作为用户识别码211的处罚机制，并进一步界定该封 锁时间等于该冻结时间加上该时间戳记。于是，只要当下系统时间超过该封锁时间 (即该封锁时间结束后)，微型基地台13的处理单元137将自储存单元135的该 用户封锁清单中移除用户识别码211。

经由上述回复机制，当恶意使用者攻击次数越多，被微型基地台13封锁的时 间将越久。此外，当合法使用者因种种外在因素被误判为恶意使用者而被封锁，亦 可经由上述回复机制于一定时间后解除封锁。

有关微型基地台闸道器17的运作原理请参阅图3。须先说明者，第一微型基 地台13a等同于微型基地台13，且第一有线联机23a等同于有线联机23。此外， 第一微型基地台13a与微型基地台闸道器17间的信号传递等同于微型基地台1a与 微型基地台闸道器17间的信号传递。

如图3所示，微型基地台闸道器17的有线网络接口173用以通过安全闸道器 15与第一微型基地台13a建立第一有线连结23a。微型基地台闸道器17可经由第 一有线连结23a自第一微型基地台13a接收用户识别码211，并经由第一有线连结 23a传送一对应至用户识别码211的用户识别码确认消息212至第一微型基地台 13a。须说明者，用户识别码确认消息212仅用以验证用户识别码211的合法性， 但并不表示具有用户识别码211的无线装置拥有存取第一微型基地台13a的权限。

微型基地台闸道器17的有线网络接口173更用以与核心网络服务器19建立 一第二有线连结23b。微型基地台闸道器17可经由第二有线连结23b传送用户识 别码211至核心网络服务器19，并经由第二有线连结23b自核心网络服务器19接 收一用户存取拒绝消息213。须说明者，核心网络服务器19储存有第一微型基地 台13a的一封闭用户群组识别码，核心网络服务器19更根据封闭用户群组识别码 及用户识别码211验证具有用户识别码211的无线装置可否存取第一微型基地台 13a。若是，则核心网络服务器19经由第二有线连结23b传送一用户存取认可消息 (未标示于图)至微型基地台闸道器17。若否，则核心网络服务器19经由第二有 线连结23b传送用户存取拒绝消息213至微型基地台闸道器17。

微型基地台闸道器17自核心网络服务器19接收用户存取拒绝消息213后， 更经由第一有线连结23a传送用户存取拒绝消息213至第一微型基地台13a。第一 微型基地台13a自微型基地台闸道器17接收用户存取拒绝消息213后，更根据用 户存取拒绝消息213将用户识别码211记录于一用户封锁清单内。

进一步言，微型基地台闸道器17的处理单元177可用以判断一第二微型基地 台13b是否具有该封闭用户群组识别码。若是，则微型基地台闸道器17的有线网 络接口173可与第二微型基地台13b建立一第三有线连结23c。微型基地台闸道器 17更经由第三有线连结23c传送用户存取拒绝消息213至第二微型基地台13b。第 二微型基地台13b自微型基地台闸道器17接收用户存取拒绝消息213后，更根据 用户存取拒绝消息213将用户识别码211记录于一用户封锁清单内。

详言之，由于微型基地台闸道器17可传送用户存取拒绝消息213至具有相同 封闭用户群组识别码的微型基地台，当一恶意使用者尝试攻击一微型基地台时，除 了该为形基地台外，其它具有相同封闭用户群组识别码的微型基地台均可同时经由 接收用户存取拒绝消息213，以得知该恶意使用者的用户识别码211，并将用户识 别码211记录于其封锁清单内，进而扩大防护范围。

本发明的第二实施例为一用于一无线网络系统的存取拒绝方法，其说明请合 并参阅图1、图4A、4B及4C及图5。图4A-4C描绘第二实施例的微型基地台的 运作流程图，且图5描绘第二实施例的微型基地台闸道器的运作流程图。该无线网 络系统包含一具有一用户识别码的无线装置、一微型基地台、一安全闸道器、一微 型基地台闸道器及一存有该微型基地台的一封闭用户群组识别码的核心网络服务 器。此外，该微型基地台包含一无线网络接口、一有线网络接口、一储存单元及一 电性连结至该无线网络接口、该有线网络接口及该储存单元的处理单元。该微型基 地台闸道器包含一有线网络接口及一电性连结至该有线网络接口的处理单元。

须说明者，本实施例的无线装置、微型基地台、安全闸道器、微型基地台闸 道器及核心网络服务器可分别为第一实施例的无线装置11、微型基地台13、安全 闸道器15、微型基地台闸道器17及核心网络服务器19。此外，本实施例所描述的 存取拒绝方法可由一计算机程序产品执行，当微型基地台13以及微型基地台闸道 器17各自加载该计算机程序产品，并执行该计算机程序产品所包含的数个指令后， 即可完成本实施例所述的存取拒绝方法。前述的计算机程序产品可储存于计算机可 读取记录媒体中，例如可复写只读存储器(Electrically-Erasable Programmable Read  Only Memory；EPROM)、闪存、软盘、硬盘、光盘、随身碟、磁带、可由网络存 取的数据库或熟习此项技艺者所已知且具有相同功能的任何其它储存媒体中。

首先，由微型基地台的角度说明第二实施例的存取拒绝方法，请参阅第4A-4B 图。于步骤S401，令该无线网络接口，与该无线装置建立一第一无线连结，并于 步骤S402，令该无线网络接口，经由该第一无线连结自该无线装置接收该用户识 别码。于步骤S403，令该有线网络接口，与该微型基地台闸道器建立一有线连结。 接着，于步骤S404，令该有线网络接口，经由该有线连结传送该用户识别码至该 微型基地台闸道器，于步骤S405，令该有线网络接口，经由该有线连结自该微型 基地台闸道器接收一用户识别码确认消息，于步骤S406，令该有线网络接口，经 由该有线连结自该微型基地台闸道器接收一源自于该核心网络服务器的用户存取 拒绝消息。于步骤S407，令该储存单元，储存一用户封锁清单，并于步骤S407， 令该处理单元，根据该用户存取拒绝消息将该用户识别码记录于该储存单元的该用 户封锁清单中，且指示该无线网络接口终止该第一无线连结。

当该无线装置再次提出认证请求，该微型基地台更执行下列步骤：于步骤 S409，令该无线网络接口，与该无线装置建立一第二无线连结，于步骤S410，令 该无线网络接口，经由该第二无线连结自该无线装置接收该用户识别码，于步骤 S411，令该处理单元，判断该储存单元的该用户封锁清单包含该用户识别码，于 步骤S412，令该处理单元，更新该用户封锁清单并指示该无线网络接口终止该第 二无线连结。

此外，当该用户封锁清单进一步储存有对应至该用户识别码的一拒绝次数以 及一时间戳记，该微型基地台更执行图4C所绘式的下列步骤：于步骤S421，令该 处理单元，利用该拒绝次数及该时间戳记计算该用户识别码的一封锁时间，于步骤 S422，令该处理单元，于该封锁时间结束后自该储存单元的该用户封锁清单移除 该用户识别码。

接着，由微型基地台闸道器的角度说明第二实施例的存取拒绝方法，请参阅 图5。于步骤S501，令该有线网络接口，与该第一微型基地台建立一第一有线连 结。接着，于步骤S502，令该有线网络接口，经由该第一有线连结自该第一微型 基地台接收该用户识别码，并于步骤S503，令该有线网络接口，经由该第一有线 连结传送一对应至该用户识别码的用户识别码确认消息至该第一微型基地台。之 后，于步骤S504，令该有线网络接口，与该核心网络服务器建立一第二有线连结， 于步骤S505，令该有线网络接口，经由该第二有线连结传送该用户识别码至该核 心网络服务器，于步骤S506，令该有线网络接口，经由该第二有线连结自该核心 网络服务器接收一用户存取拒绝消息，并于步骤S507，令该有线网络接口，经由 该第一有线连结传送该用户存取拒绝消息至该第一微型基地台。

进一步言，由于该微型基地台闸道器可将该用户存取拒绝消息传送至具有该 封闭用户群组识别码的其它微型基地台，故该微型基地台闸道器更执行下列步骤： 于步骤S508，令该处理单元，进一步判断一第二微型基地台具有该封闭用户群组 识别码，于步骤S509，令该有线网络接口，与该第二微型基地台建立一第三有线 连结，并于步骤S510，令该有线网络接口，经由该第三有线连结传送该用户存取 拒绝消息至该第二微型基地台。

须说明者，除了上述步骤，第二实施例亦能执行第一实施例所描述的所有操 作及功能，所属技术领域具有通常知识者可直接了解第三实施例如何基于上述第一 实施例以执行此等操作及功能，故不赘述。

由上述可知，本发明的微型基地台可经由一封锁清单减少恶意使用者通过重 复登入来发动阻断服务攻击所造成的影响，且具有一回复机制减少合法使用者因被 误判为恶意使用者而永久被拒绝的可能。此外，本发明的微型基地台闸道器可经由 传送用户存取拒绝消息至具有相同封闭用户群组识别码的微型基地台，以扩大防护 范围，进而达到同步封锁的成效。因此，本发明的微型基地台、微型基地台闸道器 及其存取拒绝方法能有效减少已知技术遭受恶意使用者攻击的影响。

上述的实施例仅用来例举本发明的实施方面，以及阐释本发明的技术特征， 并非用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的 安排均属于本发明所主张的范围，本发明的权利保护范围应以权利要求书为准。