TWI489824B - 微型基地台、微型基地台閘道器及其存取拒絕方法 - Google Patents

微型基地台、微型基地台閘道器及其存取拒絕方法 Download PDF

Info

Publication number
TWI489824B
TWI489824B TW100118583A TW100118583A TWI489824B TW I489824 B TWI489824 B TW I489824B TW 100118583 A TW100118583 A TW 100118583A TW 100118583 A TW100118583 A TW 100118583A TW I489824 B TWI489824 B TW I489824B
Authority
TW
Taiwan
Prior art keywords
base station
micro base
user
network interface
wired
Prior art date
Application number
TW100118583A
Other languages
English (en)
Other versions
TW201249145A (en
Inventor
Ching Lun Lin
Jian Chian Chiou
li wei Huang
Yao Hsin Chen
Chun Hao Yeh
Shao Wei Huang
Original Assignee
Inst Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inst Information Industry filed Critical Inst Information Industry
Priority to TW100118583A priority Critical patent/TWI489824B/zh
Priority to CN201110198482.2A priority patent/CN102802157B/zh
Priority to US13/195,260 priority patent/US8948146B2/en
Publication of TW201249145A publication Critical patent/TW201249145A/zh
Application granted granted Critical
Publication of TWI489824B publication Critical patent/TWI489824B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/186Processing of subscriber group data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/045Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

微型基地台、微型基地台閘道器及其存取拒絕方法
本發明係關於一種微型基地台、一種微型基地台閘道器及其存取拒絕方法;更具體而言,本發明之微型基地台、微型基地台閘道器及其存取拒絕方法係由該微型基地台閘道器傳送一用戶存取拒絕訊息至該微型基地台,該微型基地台記錄該用戶存取拒絕訊息至一用戶封鎖清單,且當該微型基地台判斷一無線裝置之一用戶識別碼記錄於該用戶封鎖清單時,終止與該無線裝置之一無線連結。
現今蜂巢式網路的特徵是其提供的頻寬由特定基地台區域內的所有用戶共享,因此當無線行動通訊網路使用者處於室外環境時,每位用戶所能享有的頻寬是與該區域內的有效用戶數成反比的。於是,隨著無線行動通訊網路使用者的暴增,將造成室外蜂巢式基地台的負載越來越重,致使每個用戶所能獲得使用的頻寬便越來越小。為了解決上述問題,許多業者紛紛投入大量心血至微型基地台(Femtocell)之開發。
微型基地台是一種專為室內使用所設計的超小型低功率基地台,其運作在有執照的無線頻段,例如全球互通微波存取(Worldwide Interoperability for Microwave Access;WiMAX)網路、長期演進(Long Term Evolution;LTE)網路或第三代無線通訊(Third Generation;3G)網路之頻段。微型基地台因具有結構簡單、價格低廉且安裝容易等特性,故利用微型基地台取代蜂巢 式基地台去涵蓋室內無線通訊範圍較為經濟。此外,當行動裝置進入到微型基地台訊號涵蓋範圍內,可由微型基地台取代蜂巢式基地台提供行動裝置所需之服務,不但可以增加室內的訊號強度,也避免了與蜂巢式基地台訊號涵蓋範圍內之所有行動裝置競爭網路使用權。
在現令微型基地台的架構中,採用的存取控制方式為封閉用戶群組(Closed Subscribers Group)機制。該機制規範一無線裝置在認證流程中,認證訊息必須經過微型基地台、安全閘道器(Secrity Gateway)、微型基地台閘道(Femtocell Gateway)直至核心網路伺服器,才能夠認證該無線裝置是否能夠存取該微型基地台。然而,上述認證流程因認證程序訊息必須被傳送至核心網路伺服器處理,造成認證時間過長,容易造成惡意使用者只要透過重複登入來發動阻斷服務攻擊(Denial of Service),即可影響合法使用者的正常認證連線程序及佔據微型基地台的網路傳輸效能。
有鑑於此,如何提供一存取拒絕方法,並根據該存取拒絕方法設計出對應之微型基地台與微型基地台閘道器,以有效減少習知技術遭受惡意使用者攻擊的影響,確為該領域之業者亟需解決之問題。
本發明之一目的在於提供一種微型基地台、一種微型基地台閘道器及其存取拒絕方法。詳言之,本發明之微型基地台閘道器於收到一對應至一無線裝置之一用戶識別碼之用戶存取拒絕訊息後,將該用戶存取拒絕訊息傳送至具有相同封閉用戶群組識別碼 之微型基地台。本發明之微型基地台於收到該用戶存取拒絕訊息後,將該用戶識別碼記錄於一用戶封鎖清單中,且終止與該無線裝置之一無線連結。此外,當本發明之微型基地台再次自該無線裝置接收該用戶識別碼且判斷該用戶識別碼記錄於其用戶封鎖清單時,立即終止與該無線裝置之一無線連結。
進一步言,當一惡意使用者藉由連續登入進行攻擊時,習知技術之認證程序必須每次都將該惡意使用者之一用戶識別碼傳送至一核心網路才可辨識該惡意使用者是否為合法使用者。反觀本發明,該微型基地台可藉由一用戶封鎖清單判斷該惡意使用者是否為合法使用者,並可直接拒絕該惡意使用者之認證程序並立即中止與該惡意使用者之一無線連結。因此,本發明之微型基地台、微型基地台閘道器及其存取拒絕方法能有效減少習知技術遭受惡意使用者攻擊的影響。
為達上述目的,本發明提供一種微型基地台。一無線網路系統包含一無線裝置、一微型基地台閘道器、一核心網路伺服器以及該微型基地台。該無線裝置具有一用戶識別碼(Subscriber Identification),該核心網路伺服器存有該微型基地台之一封閉用戶群組識別碼(Closed Subscribers Group Identification)。該微型基地台包含一無線網路介面、一有線網路介面、一儲存單元及一處理單元。該無線網路介面用以與該無線裝置建立一第一無線連結,且藉由該第一無線連結自該無線裝置接收該用戶識別碼。該有線網路介面用以與該微型基地台閘道器建立一有線連結,藉由該有線連結傳送該用戶識別碼至該微型基地台閘道器,藉由該有 線連結自該微型基地台閘道器接收一用戶識別碼確認訊息(Subscriber Identification Validation),以及藉由該有線連結自該微型基地台閘道器接收一源自於該核心網路伺服器之用戶存取拒絕訊息(Subscriber Access Rejection)。該儲存單元儲存一用戶封鎖清單。該處理單元電性連結至該無線網路介面、該有線網路介面及該儲存單元,並根據該用戶存取拒絕訊息,將該用戶識別碼記錄於該儲存單元之該用戶封鎖清單中,且指示該無線網路介面終止該第一無線連結。
為達上述目的,本發明更提供一種微型基地台閘道器。一無線網路系統包含一無線裝置、一第一微型基地台、一核心網路伺服器以及該微型基地台閘道器。該無線裝置具有一用戶識別碼,該核心網路伺服器存有該微型基地台之一封閉用戶群組識別碼。該微型基地台閘道器包含一有線網路介面及一處理單元。該有線網路介面用以進行下列運作:與該第一微型基地台建立一第一有線連線,藉由該第一有線連結自該第一微型基地台接收該用戶識別碼,藉由該第一有線連結傳送一對應至該用戶識別碼之用戶識別碼確認訊息至該第一微型基地台,與該核心網路伺服器建立一第二有線連結,藉由該第二有線連結傳送該用戶識別碼至該核心網路伺服器,藉由該第二有線連結自該核心網路伺服器接收一用戶存取拒絕訊息,以及藉由該第一有線連結傳送該用戶存取拒絕訊息至該第一微型基地台。該處理單元電性連結至該有線網路介面,並用以判斷一第二微型基地台具有該封閉用戶群組識別碼。該有線網路介面更與該第二微型基地台建立一第三有線連結,且藉由該第三有線連結傳送該用戶存取拒絕訊息至該第二微型基地 台。
為達上述目的,本發明又提供一種用於一微型基地台之存取拒絕方法。一無線網路系統包含一具有一用戶識別碼之無線裝置、該微型基地台、一微型基地台閘道器及一存有該微型基地台之一封閉用戶群組識別碼之核心網路伺服器。該微型基地台包含一無線網路介面、一有線網路介面、一儲存單元及一電性連結至該無線網路介面、該有線網路介面及該儲存單元之處理單元,該存取拒絕方法包含下列步驟:(a)令該無線網路介面,與該無線裝置建立一第一無線連結;(b)令該無線網路介面,藉由該第一無線連結自該無線裝置接收該用戶識別碼;(c)令該有線網路介面,與該微型基地台閘道器建立一有線連結;(d)令該有線網路介面,藉由該有線連結傳送該用戶識別碼至該微型基地台閘道器;(e)令該有線網路介面,藉由該有線連結自該微型基地台閘道器接收一用戶識別碼確認訊息;(f)令該有線網路介面,藉由該有線連結自該微型基地台閘道器接收一源自於該核心網路伺服器之用戶存取拒絕訊息;(g)令該儲存單元,儲存一用戶封鎖清單;以及(h)令該處理單元,根據該用戶存取拒絕訊息將該用戶識別碼記錄於該儲存單元之該用戶封鎖清單中,且指示該無線網路介面終止該第一無線連結。
為達上述目的,本發明另提供一種用於一微型基地台閘道器之存取拒絕方法。一無線網路系統包含一具有一用戶識別碼之無線裝置、一第一微型基地台、該微型基地台閘道器及一存有該第一微型基地台之一封閉用戶群組識別碼之核心網路伺服器。該微型 基地台閘道包含一有線網路介面及一電性連結至該有線網路介面之處理單元,該存取拒絕方法包含下列步驟:(a)令該有線網路介面,與該第一微型基地台建立一第一有線連結;(b)令該有線網路介面,藉由該第一有線連結自該第一微型基地台接收該用戶識別碼;(c)令該有線網路介面,藉由該第一有線連結傳送一對應至該用戶識別碼之用戶識別碼確認訊息至該第一微型基地台;(d)令該有線網路介面,與該核心網路伺服器建立一第二有線連結;(e)令該有線網路介面,藉由該第二有線連結傳送該用戶識別碼至該核心網路伺服器;(f)令該有線網路介面,藉由該第二有線連結自該核心網路伺服器接收一用戶存取拒絕訊息;(g)令該有線網路介面,藉由該第一有線連結傳送該用戶存取拒絕訊息至該第一微型基地台;(h)令該處理單元,判斷一第二微型基地台具有該封閉用戶群組識別碼;(i)令該有線網路介面,與該第二微型基地台建立一第三有線連結;以及(j)令該有線網路介面,藉由該第三有線連結傳送該用戶存取拒絕訊息至該第二微型基地台。
為讓上述目的、技術特徵、和優點能更明顯易懂,下文係以較佳實施例配合所附圖式進行詳細說明。
以下將透過實施例來解釋本發明之內容。須說明者,本發明的實施例並非用以限制本發明須在如實施例所述之任何特定的環境、應用或特殊方式方能實施。因此,有關實施例之說明僅為闡釋本發明之目的,而非用以限制本發明,且本案所請求之範圍,以申請專利範圍為準。此外,於以下實施例及圖式中,與本發明 非直接相關之元件已省略而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,非用以限制實際比例。
本發明之第一實施例為一無線網路系統1,其說明請合併參考第1-3圖。第1圖係描繪無線網路系統1之一連結示意圖、第2圖係描繪微型基地台13之運作示意圖以及第3圖係描繪微型基地台閘道器17之運作示意圖。為求容易瞭解,本發明之第一實施例之無線網路系統1係一第三代無線通訊網路系統。然而,無線網路系統1於其他實施例中亦可是其他通訊網路系統,並非僅侷限於第三代無線通訊網路系統,合先敘明。
如第1圖所示,無線網路系統1包含一無線裝置11、一微型基地台13、一安全閘道器15、一微型基地台閘道器17及一核心網路伺服器19。微型基地台13包含一無線網路介面131、一有線網路介面133、一儲存單元135及一處理單元137,其中處理單元137電性連接至無線網路介面131、有線網路介面133及儲存單元135。微型基地台閘道器17包含一有線網路介面173及一處理單元177,其中處理單元177電性連接至有線網路介面173。微型基地台13所配置之處理單元137及微型基地台閘道器17所配置之處理單元177會執行習知微型基地台及微型基地台閘道器所能執行之運作,於本實施例中,將不贅述該等部份。
進一步言,無線網路介面131用以與無線裝置11建立無線連結,有線網路介面133係透過安全閘道器15與有線網路介面173建立有線連結,且有線網路介面173更與核心網路伺服器19建立有線連結。安全閘道器15用以加/解密有線網路介面133與有線網 路介面173間之一訊號,以增加傳遞該訊號之安全性。須說明者,由於安全閘道器15之運作實質上並不影響本發明之無線網路系統1之運作,故有線網路介面133與有線網路介面173間之訊號傳遞於其他實施例中亦可不經由安全閘道器15完成。
有關微型基地台13之運作原理請參閱第2圖。如第2圖所示,微型基地台13之無線網路介面131用以與無線裝置11建立一第一無線連結21,故微型基地台13可藉由第一無線連結21自無線裝置11接收一用戶識別碼211。須說明者,第一無線連結21係用以作為微型基地台13與無線裝置11閘之無線資源溝通橋樑,且關於第一無線連結21之建立方式係本發明所屬技術領域中之通常知識,故不贅言。此外,用戶識別碼211係用以識別無線裝置11之一身份,例如可以是一國際移動用戶識別碼(International Mobile Subscriber Identity)或一用戶識別模組碼(Subscriber Identity Module Code)等等。
微型基地台13之有線網路介面133用以透過安全閘道器15與該微型基地台閘道器17之有線網路介面173建立一有線連結23。微型基地台13可藉由有線連結23傳送用戶識別碼211至微型基地台閘道器17,並藉由有線連結23自微型基地台閘道器17接收一用戶識別碼確認訊息212。須說明者,有線連結23主要用以作為微型基地台13與微型基地台閘道17間之身分認證橋樑,且關於有線連結23之建立方式亦為本發明所屬技術領域中之通常知識,故不贅言。
進一步言,微型基地台13可藉由有線連結23自微型基地台閘 道器17接收一源自於核心網路伺服器19之用戶存取拒絕訊息213。用戶存取拒絕訊息213係對應至無線裝置11之用戶識別碼211,且用以表示無線裝置11不具有存取微型基地台13之權限。有關微型基地台閘道器17與核心網路伺服器19間之運作原理將於後續詳述。
當有線網路介面173自微型基地台閘道器17接收一源自於核心網路伺服器19之用戶存取拒絕訊息213後,微型基地台13之處理單元137根據用戶存取拒絕訊息213,將用戶識別碼211記錄於儲存單元135所儲存之一用戶封鎖清單中,且指示無線網路介面131終止第一無線連結21。至此,微型基地台13已認定無線裝置11不具有存取之權限。
接著將說明微型基地台13如何克服惡意使用者透過重複登入發動之阻斷服務攻擊。假設無線裝置11係一惡意使用者,且無線裝置11再次對微型基地台13進行一認證請求。詳言之,根據該認證請求,微型基地台13之無線網路介面131首先與無線裝置11建立一第二無線連結25,並藉由第二無線連結25自無線裝置11接收用戶識別碼211。接著微型基地台13之處理單元137判斷儲存單元135之該用戶封鎖清單是否包含用戶識別碼211。若無線裝置11之用戶識別碼211確實已記錄於該用戶封鎖清單內,處理單元137更新儲存單元135之該用戶封鎖清單並立即指示無線網路介面131終止第二無線連結25。
詳言之,當無線裝置11第一次發出認證請求時,本發明之微型基地台13及微型基地台閘道器17係依據正常認證程序進行處 理。當無線裝置11之第一次認證失敗後,微型基地台13認定無線裝置11可能係一惡意使用者,並將無線裝置11之用戶識別碼211記錄於微型基地台13之儲存單元。當無線裝置11透過重複登入發動阻斷服務攻擊時,微型基地台13可藉由處理單元137判斷無線裝置11之用戶識別碼211是否已記錄於該儲存單元135之該用戶封鎖清單,若是則更新儲存單元135之該用戶封鎖清單並立即指示無線網路介面131終止第二無線連結25,而不用遵循正常認證程序再一次進行完整認證(即認證程序不須經由安全閘道器15、微型基地台閘道器17及核心網路伺服器19),俾可減少認證惡意使用者攻擊之影響(例如影響合法使用者的正常認證程序及微型基地台的網路傳輸效能等等)。
另一方面,本發明之微型基地台13具有一回復機制。該回復機制用以避免合法使用者因被誤判為惡意使用者而永久被拒絕之可能。詳言之,當有線網路介面173自微型基地台閘道器17接收一源自於核心網路伺服器19之用戶存取拒絕訊息213後,微型基地台13之處理單元137可進一步將對應至用戶識別碼211之一拒絕次數以及一時間戳記記錄於儲存單元135之該用戶封鎖清單中。須說明者,該拒絕次數係一計數次數,也就是用戶識別碼211每次被記錄於該用戶封鎖清單中,該拒絕次數即計數一次。此外,該時間戳記係用以表示用戶識別碼211記錄於該用戶封鎖清單中之時間,且隨著記錄該用戶識別碼211於該用戶封鎖清單而更新。
進一步言,微型基地台13之處理單元137可利用該拒絕次數及該時間戳記,計算用戶識別碼211之一封鎖時間。舉例而言,微 型基地台13之處理單元137可界定一凍結時間T f =2(拒絕次數1) 作為用戶識別碼211之處罰機制,並進一步界定該封鎖時間等於該凍結時間加上該時間戳記。於是,只要當下系統時間超過該封鎖時間(即該封鎖時間結束後),微型基地台13之處理單元137將自儲存單元135之該用戶封鎖清單中移除用戶識別碼211。
藉由上述回復機制,當惡意使用者攻擊次數越多,被微型基地台13封鎖之時間將越久。此外,當合法使用者因種種外在因素被誤判為惡意使用者而被封鎖,亦可藉由上述回復機制於一定時間後解除封鎖。
有關微型基地台閘道器17之運作原理請參閱第3圖。須先說明者,第一微型基地台13a係等同於微型基地台13,且第一有線連線23a係等同於有線連線23。此外,第一微型基地台13a與微型基地台閘道器17間之訊號傳遞係等同於微型基地台1a與微型基地台閘道器17間之訊號傳遞。
如第3圖所示,微型基地台閘道器17之有線網路介面173用以透過安全閘道器15與第一微型基地台13a建立第一有線連結23a。微型基地台閘道器17可藉由第一有線連結23a自第一微型基地台13a接收用戶識別碼211,並藉由第一有線連結23a傳送一對應至用戶識別碼211之用戶識別碼確認訊息212至第一微型基地台13a。須說明者,用戶識別碼確認訊息212僅用以驗證用戶識別碼211之合法性,但並不表示具有用戶識別碼211之無線裝置擁有存取第一微型基地台13a之權限。
微型基地台閘道器17之有線網路介面173更用以與核心網路伺 服器19建立一第二有線連結23b。微型基地台閘道器17可藉由第二有線連結23b傳送用戶識別碼211至核心網路伺服器19,並藉由第二有線連結23b自核心網路伺服器19接收一用戶存取拒絕訊息213。須說明者,核心網路伺服器19儲存有第一微型基地台13a之一封閉用戶群組識別碼,核心網路伺服器19更根據封閉用戶群組識別碼及用戶識別碼211驗證具有用戶識別碼211之無線裝置可否存取第一微型基地台13a。若是,則核心網路伺服器19藉由第二有線連結23b傳送一用戶存取認可訊息(未標示於圖)至微型基地台閘道器17。若否,則核心網路伺服器19藉由第二有線連結23b傳送用戶存取拒絕訊息213至微型基地台閘道器17。
微型基地台閘道器17自核心網路伺服器19接收用戶存取拒絕訊息213後,更藉由第一有線連結23a傳送用戶存取拒絕訊息213至第一微型基地台13a。第一微型基地台13a自微型基地台閘道器17接收用戶存取拒絕訊息213後,更根據用戶存取拒絕訊息213將用戶識別碼211記錄於一用戶封鎖清單內。
進一步言,微型基地台閘道器17之處理單元177可用以判斷一第二微型基地台13b是否具有該封閉用戶群組識別碼。若是,則微型基地台閘道器17之有線網路介面173可與第二微型基地台13b建立一第三有線連結23c。微型基地台閘道器17更藉由第三有線連結23c傳送用戶存取拒絕訊息213至第二微型基地台13b。第二微型基地台13b自微型基地台閘道器17接收用戶存取拒絕訊息213後,更根據用戶存取拒絕訊息213將用戶識別碼211記錄於一用戶封鎖清單內。
詳言之,由於微型基地台閘道器17可傳送用戶存取拒絕訊息213至具有相同封閉用戶群組識別碼之微型基地台,當一惡意使用者嘗試攻擊一微型基地台時,除了該為形基地台外,其他具有相同封閉用戶群組識別碼之微型基地台均可同時藉由接收用戶存取拒絕訊息213,以得知該惡意使用者之用戶識別碼211,並將用戶識別碼211記錄於其封鎖清單內,進而擴大防護範圍。
本發明之第二實施例為一用於一無線網路系統之存取拒絕方法,其說明請合併參閱第1圖、第4A、4B及4C圖及第5圖。第4A-4C圖係描繪第二實施例之微型基地台之運作流程圖,且第5圖係描繪第二實施例之微型基地台閘道器之運作流程圖。該無線網路系統包含一具有一用戶識別碼之無線裝置、一微型基地台、一安全閘道器、一微型基地台閘道器及一存有該微型基地台之一封閉用戶群組識別碼之核心網路伺服器。此外,該微型基地台包含一無線網路介面、一有線網路介面、一儲存單元及一電性連結至該無線網路介面、該有線網路介面及該儲存單元之處理單元。該微型基地台閘道包含一有線網路介面及一電性連結至該有線網路介面之處理單元。
須說明者,本實施例之無線裝置、微型基地台、安全閘道器、微型基地台閘道器及核心網路伺服器可分別為第一實施例之無線裝置11、微型基地台13、安全閘道器15、微型基地台閘道器17及核心網路伺服器19。此外,本實施例所描述之存取拒絕方法可由一電腦程式產品執行,當微型基地台13以及微型基地台閘道器17各自載入該電腦程式產品,並執行該電腦程式產品所包含之複 數個指令後,即可完成本實施例所述之存取拒絕方法。前述之電腦程式產品可儲存於電腦可讀取記錄媒體中,例如唯讀記憶體(read only memory;ROM)、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟習此項技藝者所習知且具有相同功能之任何其它儲存媒體中。
首先,由微型基地台之角度說明第二實施例之存取拒絕方法,請參閱第4A-4B圖。於步驟S401,令該無線網路介面,與該無線裝置建立一第一無線連結,並於步驟S402,令該無線網路介面,藉由該第一無線連結自該無線裝置接收該用戶識別碼。於步驟S403,令該有線網路介面,與該微型基地台閘道器建立一有線連結。接著,於步驟S404,令該有線網路介面,藉由該有線連結傳送該用戶識別碼至該微型基地台閘道器,於步驟S405,令該有線網路介面,藉由該有線連結自該微型基地台閘道器接收一用戶識別碼確認訊息,於步驟S406,令該有線網路介面,藉由該有線連結自該微型基地台閘道器接收一源自於該核心網路伺服器之用戶存取拒絕訊息。於步驟S407,令該儲存單元,儲存一用戶封鎖清單,並於步驟S407,令該處理單元,根據該用戶存取拒絕訊息將該用戶識別碼記錄於該儲存單元之該用戶封鎖清單中,且指示該無線網路介面終止該第一無線連結。
當該無線裝置再次提出認證請求,該微型基地台更執行下列步驟:於步驟S409,令該無線網路介面,與該無線裝置建立一第二無線連結,於步驟S410,令該無線網路介面,藉由該第二無線連結自該無線裝置接收該用戶識別碼,於步驟S411,令該處理單元, 判斷該儲存單元之該用戶封鎖清單包含該用戶識別碼,於步驟S412,令該處理單元,更新該用戶封鎖清單並指示該無線網路介面終止該第二無線連結。
此外,當該用戶封鎖清單進一步儲存有對應至該用戶識別碼之一拒絕次數以及一時間戳記,該微型基地台更執行第4C圖所繪式之下列步驟:於步驟S421,令該處理單元,利用該拒絕次數及該時間戳記計算該用戶識別碼之一封鎖時間,於步驟S422,令該處理單元,於該封鎖時間結束後自該儲存單元之該用戶封鎖清單移除該用戶識別碼。
接著,由微型基地台閘道器之角度說明第二實施例之存取拒絕方法,請參閱第5圖。於步驟S501,令該有線網路介面,與該第一微型基地台建立一第一有線連結。接著,於步驟S502,令該有線網路介面,藉由該第一有線連結自該第一微型基地台接收該用戶識別碼,並於步驟S503,令該有線網路介面,藉由該第一有線連結傳送一對應至該用戶識別碼之用戶識別碼確認訊息至該第一微型基地台。之後,於步驟S504,令該有線網路介面,與該核心網路伺服器建立一第二有線連結,於步驟S505,令該有線網路介面,藉由該第二有線連結傳送該用戶識別碼至該核心網路伺服器,於步驟S506,令該有線網路介面,藉由該第二有線連結自該核心網路伺服器接收一用戶存取拒絕訊息,並於步驟S507,令該有線網路介面,藉由該第一有線連結傳送該用戶存取拒絕訊息至該第一微型基地台。
進一步言,由於該微型基地台閘道器可將該用戶存取拒絕訊息 傳送至具有該封閉用戶群組識別碼之其他微型基地台,故該微型基地台閘道器更執行下列步驟:於步驟S508,令該處理單元,進一步判斷一第二微型基地台具有該封閉用戶群組識別碼,於步驟S509,令該有線網路介面,與該第二微型基地台建立一第三有線連結,並於步驟S510,令該有線網路介面,藉由該第三有線連結傳送該用戶存取拒絕訊息至該第二微型基地台。
須說明者,除了上述步驟,第二實施例亦能執行第一實施例所描述之所有操作及功能,所屬技術領域具有通常知識者可直接瞭解第三實施例如何基於上述第一實施例以執行此等操作及功能,故不贅述。
由上述可知,本發明之微型基地台可藉由一封鎖清單減少惡意使用者透過重複登入來發動阻斷服務攻擊所造成的影響,且具有一回復機制減少合法使用者因被誤判為惡意使用者而永久被拒絕之可能。此外,本發明之微型基地台閘道器可藉由傳送用戶存取拒絕訊息至具有相同封閉用戶群組識別碼之微型基地台,以擴大防護範圍,進而達到同步封鎖之成效。因此,本發明之微型基地台、微型基地台閘道器及其存取拒絕方法能有效減少習知技術遭受惡意使用者攻擊的影響。
上述之實施例僅用來例舉本發明之實施態樣,以及闡釋本發明之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。
1‧‧‧無線網路系統
11‧‧‧無線裝置
13‧‧‧微型基地台
131‧‧‧無線網路介面
133‧‧‧有線網路介面
135‧‧‧儲存單元
137‧‧‧處理單元
13a‧‧‧第一微型基地台
13b‧‧‧第二微型基地台
15‧‧‧安全閘道器
17‧‧‧微型基地台閘道器
173‧‧‧有線網路介面
177‧‧‧處理單元
19‧‧‧核心網路伺服器
21‧‧‧第一無線連結
211‧‧‧用戶識別碼
212‧‧‧用戶識別碼確認訊息
213‧‧‧用戶存取拒絕訊息
23‧‧‧有線連結
23a‧‧‧第一有線連結
23b‧‧‧第二有線連結
23c‧‧‧第三有線連結
25‧‧‧第二無線連結
第1圖係描繪無線網路系統1之一連結示意圖;第2圖係描繪微型基地台13之運作示意圖;第3圖係描繪微型基地台閘道器17之運作示意圖;第4A-4C圖係描繪第二實施例之微型基地台之運作流程圖;以及第5圖係描繪第二實施例之微型基地台閘道器之運作流程圖。

Claims (20)

  1. 一種微型基地台(Femtocell),一無線網路系統包含一無線裝置、一微型基地台閘道器(Femtocell Gateway)、一核心網路伺服器以及該微型基地台,該無線裝置具有一用戶識別碼(Subscriber Identification),該核心網路伺服器存有該微型基地台之一封閉用戶群組識別碼(Closed Subscribers Group Identification),該微型基地台包含:一無線網路介面,用以與該無線裝置建立一第一無線連結,且藉由該第一無線連結自該無線裝置接收該用戶識別碼;一有線網路介面,用以與該微型基地台閘道器建立一有線連結,藉由該有線連結傳送該用戶識別碼至該微型基地台閘道器,藉由該有線連結自該微型基地台閘道器接收一用戶識別碼確認訊息(Subscriber Identification Validation),以及藉由該有線連結自該微型基地台閘道器接收一源自於該核心網路伺服器之用戶存取拒絕訊息(Subscriber Access Rejection),該用戶存取拒絕訊息係對應至該無線裝置之該用戶識別碼,且該用戶存取拒絕訊息用以表示該無線裝置不具有存取該微型基地台之權限;一儲存單元,儲存一用戶封鎖清單;以及一處理單元,電性連結至該無線網路介面、該有線網路介面及該儲存單元,並根據該用戶存取拒絕訊息,將該用戶識別碼記錄於該儲存單元之該用戶封鎖清單中,且指示該無線網路介面終止該第一無線連結。
  2. 如請求項1所述之微型基地台,其中該無線網路介面更與該 無線裝置建立一第二無線連結,且自該無線裝置接收該用戶識別碼,該處理單元更判斷該儲存單元之該用戶封鎖清單包含該用戶識別碼,該處理單元更更新該用戶封鎖清單並指示該無線網路介面終止該第二無線連結。
  3. 如請求項1所述之微型基地台,其中該用戶識別碼係一國際移動用戶識別碼(International Mobile Subscriber Identity)及一用戶識別模組碼(Subscriber Identity Module Code)其中之一。
  4. 如請求項1所述之微型基地台,其中該有線網路介面係透過一安全閘道器(Security Gateway)與該微型基地台閘道器建立該有線連結,該安全閘道器用以增加該有線網路介面與該微型基地台閘道器間之訊號傳遞之安全性。
  5. 如請求項1所述之微型基地台,其中該用戶封鎖清單更記錄一拒絕次數以及一時間戳記。
  6. 如請求項5所述之微型基地台,其中該處理單元更利用該拒絕次數及該時間戳記,計算該用戶識別碼之一封鎖時間。
  7. 如請求項6所述之微型基地台,其中該處理單元於該封鎖時間結束後,自該儲存單元之該用戶封鎖清單移除該用戶識別碼。
  8. 一種微型基地台閘道器,一無線網路系統包含一無線裝置、一第一微型基地台、一核心網路伺服器以及該微型基地台閘道器,該無線裝置具有一用戶識別碼,該核心網路伺服器存有該微型基地台之一封閉用戶群組識別碼,該微型基地台閘道器包含: 一有線網路介面,用以進行下列運作:與該第一微型基地台建立一第一有線連結,藉由該第一有線連結自該第一微型基地台接收該用戶識別碼,藉由該第一有線連結傳送一對應至該用戶識別碼之用戶識別碼確認訊息至該第一微型基地台,與該核心網路伺服器建立一第二有線連結,藉由該第二有線連結傳送該用戶識別碼至該核心網路伺服器,藉由該第二有線連結自該核心網路伺服器接收一用戶存取拒絕訊息,該用戶存取拒絕訊息係對應至該無線裝置之該用戶識別碼,且該用戶存取拒絕訊息用以表示該無線裝置不具有存取該第一微型基地台之權限,以及藉由該第一有線連結傳送該用戶存取拒絕訊息至該第一微型基地台;以及一處理單元,電性連結至該有線網路介面,用以判斷一第二微型基地台具有該封閉用戶群組識別碼;其中,該有線網路介面更與該第二微型基地台建立一第三有線連結,且藉由該第三有線連結傳送該用戶存取拒絕訊息至該第二微型基地台。
  9. 如請求項8所述之微型基地台閘道器,其中該用戶識別碼係一國際移動用戶識別碼及一用戶識別模組碼其中之一。
  10. 如請求項8所述之微型基地台閘道器,其中該有線網路介面係透過一安全閘道器與該第一微型基地台建立該第一有線連 結及與該第二微型基地台建立該第三有線連結,該安全閘道器用以增加該有線網路介面與該第一微型基地台間之訊號傳遞之安全性。
  11. 一種用於一微型基地台之存取拒絕方法,一無線網路系統包含一具有一用戶識別碼之無線裝置、該微型基地台、一微型基地台閘道器及一存有該微型基地台之一封閉用戶群組識別碼之核心網路伺服器,該微型基地台包含一無線網路介面、一有線網路介面、一儲存單元及一電性連結至該無線網路介面、該有線網路介面及該儲存單元之處理單元,該存取拒絕方法包含下列步驟:(a)令該無線網路介面,與該無線裝置建立一第一無線連結;(b)令該無線網路介面,藉由該第一無線連結自該無線裝置接收該用戶識別碼;(c)令該有線網路介面,與該微型基地台閘道器建立一有線連結;(d)令該有線網路介面,藉由該有線連結傳送該用戶識別碼至該微型基地台閘道器;(e)令該有線網路介面,藉由該有線連結自該微型基地台閘道器接收一用戶識別碼確認訊息;(f)令該有線網路介面,藉由該有線連結自該微型基地台閘道器接收一源自於該核心網路伺服器之用戶存取拒絕訊息,該用戶存取拒絕訊息係對應至該無線裝置之該用戶識別碼,且該用戶存取拒絕訊息用以表示該無線裝置不具有存取 該微型基地台之權限;(g)令該儲存單元,儲存一用戶封鎖清單;以及(h)令該處理單元,根據該用戶存取拒絕訊息將該用戶識別碼記錄於該儲存單元之該用戶封鎖清單中,且指示該無線網路介面終止該第一無線連結。
  12. 如請求項11所述之存取拒絕方法,更包含下列步驟:(i)令該無線網路介面,與該無線裝置建立一第二無線連結;(j)令該無線網路介面,藉由該第二無線連結自該無線裝置接收該用戶識別碼;(k)令該處理單元,判斷該儲存單元之該用戶封鎖清單包含該用戶識別碼;以及(l)令該處理單元,更新該用戶封鎖清單並指示該無線網路介面終止該第二無線連結。
  13. 如請求項11所述之存取拒絕方法,其中該用戶識別碼係一國際移動用戶識別碼及一用戶識別模組碼其中之一。
  14. 如請求項11所述之存取拒絕方法,其中該有線網路介面係透過一安全閘道器與該微型基地台閘道器建立該有線連結,該安全閘道器用以增加該有線網路介面與該微型基地台閘道器間之訊號傳遞之安全性。
  15. 如請求項11所述之存取拒絕方法,其中該用戶封鎖清單更記錄一拒絕次數以及一時間戳記。
  16. 如請求項15所述之存取拒絕方法,更包含下列步驟:(m)令該處理單元,利用該拒絕次數及該時間戳記計算該 用戶識別碼之一封鎖時間。
  17. 如請求項16所述之存取拒絕方法,更包含下列步驟:(n)令該處理單元,於該封鎖時間結束後自該儲存單元之該用戶封鎖清單移除該用戶識別碼。
  18. 一種用於一微型基地台閘道器之存取拒絕方法,一無線網路系統包含一具有一用戶識別碼之無線裝置、一第一微型基地台、該微型基地台閘道器及一存有該第一微型基地台之一封閉用戶群組識別碼之核心網路伺服器,該微型基地台閘道包含一有線網路介面及一電性連結至該有線網路介面之處理單元,該存取拒絕方法包含下列步驟:(a)令該有線網路介面,與該第一微型基地台建立一第一有線連結;(b)令該有線網路介面,藉由該第一有線連結自該第一微型基地台接收該用戶識別碼;(c)令該有線網路介面,藉由該第一有線連結傳送一對應至該用戶識別碼之用戶識別碼確認訊息至該第一微型基地台;(d)令該有線網路介面,與該核心網路伺服器建立一第二有線連結;(e)令該有線網路介面,藉由該第二有線連結傳送該用戶識別碼至該核心網路伺服器;(f)令該有線網路介面,藉由該第二有線連結自該核心網路伺服器接收一用戶存取拒絕訊息,該用戶存取拒絕訊息係對應至該無線裝置之該用戶識別碼,且該用戶存取拒絕訊息 用以表示該無線裝置不具有存取該第一微型基地台之權限;(g)令該有線網路介面,藉由該第一有線連結傳送該用戶存取拒絕訊息至該第一微型基地台;(h)令該處理單元,判斷一第二微型基地台具有該封閉用戶群組識別碼;(i)令該有線網路介面,與該第二微型基地台建立一第三有線連結;以及(j)令該有線網路介面,藉由該第三有線連結傳送該用戶存取拒絕訊息至該第二微型基地台。
  19. 如請求項18所述之存取拒絕方法,其中該用戶識別碼係一國際移動用戶識別碼及一用戶識別模組碼其中之一。
  20. 如請求項18所述之存取拒絕方法,其中該有線網路介面係透過一安全閘道器與該第一微型基地台建立該第一有線連結及與該第二微型基地台建立該第三有線連結,該安全閘道器用以增加該有線網路介面與該第一微型基地台間之訊號傳遞之安全性。
TW100118583A 2011-05-27 2011-05-27 微型基地台、微型基地台閘道器及其存取拒絕方法 TWI489824B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW100118583A TWI489824B (zh) 2011-05-27 2011-05-27 微型基地台、微型基地台閘道器及其存取拒絕方法
CN201110198482.2A CN102802157B (zh) 2011-05-27 2011-07-04 微型基地台、微型基地台闸道器及其存取拒绝方法
US13/195,260 US8948146B2 (en) 2011-05-27 2011-08-01 Femtocell, femtocell gateway and access rejection method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW100118583A TWI489824B (zh) 2011-05-27 2011-05-27 微型基地台、微型基地台閘道器及其存取拒絕方法

Publications (2)

Publication Number Publication Date
TW201249145A TW201249145A (en) 2012-12-01
TWI489824B true TWI489824B (zh) 2015-06-21

Family

ID=47201100

Family Applications (1)

Application Number Title Priority Date Filing Date
TW100118583A TWI489824B (zh) 2011-05-27 2011-05-27 微型基地台、微型基地台閘道器及其存取拒絕方法

Country Status (3)

Country Link
US (1) US8948146B2 (zh)
CN (1) CN102802157B (zh)
TW (1) TWI489824B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10341300B2 (en) * 2015-03-01 2019-07-02 Cisco Technology, Inc. System, method, apparatus and machine-readable media for enterprise wireless calling

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100112980A1 (en) * 2008-10-31 2010-05-06 Qualcomm Incorporated Support for multiple access modes for home base stations
US20110014896A1 (en) * 2009-07-16 2011-01-20 Tien-Yuan Hsieh Self-Aware Dynamic Authorization Method And Architecture Based On Closed Femtocell Environments
TW201117582A (en) * 2009-11-02 2011-05-16 Ind Tech Res Inst Wireless communication system and routing method for packet switching service, Femto AP using the routing method

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6654452B1 (en) * 1999-09-08 2003-11-25 Nortel Networks Limited Method and apparatus in a communications system for dynamic call rejection
US8144725B2 (en) * 2008-05-28 2012-03-27 Apple Inc. Wireless femtocell setup methods and apparatus
US8965338B2 (en) * 2008-06-09 2015-02-24 Apple Inc Network access control methods and apparatus
CN101651592A (zh) * 2008-08-15 2010-02-17 三星电子株式会社 家用基站网关消息处理的方法
CN101686579A (zh) * 2008-09-28 2010-03-31 中兴通讯股份有限公司 用户接入控制原因的设置方法以及家用基站网关
CN101932074B (zh) * 2009-06-25 2013-01-23 华为技术有限公司 一种家庭基站本地ip接入的控制方法及装置
CN101998442A (zh) * 2009-08-10 2011-03-30 北京三星通信技术研究有限公司 一种远程接入方法和***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100112980A1 (en) * 2008-10-31 2010-05-06 Qualcomm Incorporated Support for multiple access modes for home base stations
US20110014896A1 (en) * 2009-07-16 2011-01-20 Tien-Yuan Hsieh Self-Aware Dynamic Authorization Method And Architecture Based On Closed Femtocell Environments
TW201117582A (en) * 2009-11-02 2011-05-16 Ind Tech Res Inst Wireless communication system and routing method for packet switching service, Femto AP using the routing method

Also Published As

Publication number Publication date
TW201249145A (en) 2012-12-01
US20120300757A1 (en) 2012-11-29
CN102802157B (zh) 2015-04-01
CN102802157A (zh) 2012-11-28
US8948146B2 (en) 2015-02-03

Similar Documents

Publication Publication Date Title
EP1890518B1 (en) Communication system, wireless-communication device, and control method therefor
JP2016530733A (ja) プロキシミティベースサービス通信に関するセキュアディスカバリ
WO2020207156A1 (zh) 认证方法、装置及设备
WO2021151335A1 (zh) 一种网络事件处理方法、装置及可读存储介质
CN107005534A (zh) 安全连接建立
WO2021190273A1 (zh) 一种通信方法、装置及***
JP2016530732A (ja) プロキシミティベースサービス通信におけるセキュアグループ生成
CN111586602B (zh) 一种策略管理的方法及装置
CN101159624A (zh) 一种账户使用监控方法
Ozhelvaci et al. Secure and efficient vertical handover authentication for 5G HetNets
CN110086839B (zh) 一种远端设备的动态接入方法及装置
KR20220159455A (ko) 단말 파라미터 업데이트를 보호하는 방법 및 통신 장치
CN116193431A (zh) 切片认证方法及装置
Lemes et al. A Tutorial on Trusted and Untrusted Non-3GPP Accesses in 5G Systems—First Steps Toward a Unified Communications Infrastructure
US8606228B2 (en) Method, user network equipment and management system thereof for secure data transmission
Boubakri et al. Access control in 5G communication networks using simple PKI certificates
TWI489824B (zh) 微型基地台、微型基地台閘道器及其存取拒絕方法
You et al. Adaptive authentication scheme for mobile devices in proxy MIPv6 networks
CN115706997A (zh) 授权验证的方法及装置
Liu et al. Efficient and trustworthy authentication in 5g networks based on blockchain
CN115996378A (zh) 鉴权方法及装置
KR102039583B1 (ko) 기지국장치 및 기지국장치의 동작 방법
WO2023216891A1 (zh) 通信方法和网元设备
WO2023041056A1 (zh) 网络验证的方法和装置
CN116528234B (zh) 一种虚拟机的安全可信验证方法及装置