WO2015139442A1

WO2015139442A1 - 本地网络访问的控制方法及装置、计算机存储介质

Info

Publication number: WO2015139442A1
Application number: PCT/CN2014/087568
Authority: WO
Inventors: 钟哲英
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-03-20
Filing date: 2014-09-26
Publication date: 2015-09-24
Also published as: CN104935557A

Abstract

一种本地网络访问的控制方法、控制装置以及计算机存储介质，该方法包括步骤：当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；所述本地网关确定获取的网络连接标识是否为合法网络连接标识；在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。

Description

本地网络访问的控制方法及装置、计算机存储介质

技术领域

本发明涉及***移动通信***的移动互联网技术领域，尤其涉及本地网络访问的控制方法及装置、计算机存储介质。

背景技术

LIPA(Local IP Access，本地IP接入)技术是基于HeNB(Home enhanced Node，家庭基站)网络技术提出的，其核心技术是本地网络的通信数据可以不经过运营商的核心网络，直接由HeNB将各个本地网络的通信数据分流至对应的目的端，从而减轻了核心网络的负荷和传输成本。

LIPA技术在其协议中规定，LIPA连接的建立需要取得网络侧授权(包括签约、运营商配置等)，网络侧授权的控制过程主要在MME(Mobility Management Entity，网络节点)上进行。

LIPA技术在其协议中还规定，UE(User equipment，用户设备)可以在静态配置中获取支持LIPA连接的家庭基站的CSG(闭合用户组)id，并根据获取的CSG id决定是否发起LIPA连接请求；对于支持混合模式的家庭基站，用户设备根据自身的接入模式判断是否发起LIPA连接请求；对于不具有CSG功能的用户设备可以不发起LIPA连接，可通过其他连接方式与本地网络建立连接。网络节点在有用户设备发出LIPA连接请求时，从HSS(Hierarchical Service System，分层次服务***)获取该用户设备对应的LIPA粒度的标识、HeNB的网络能力，并根据获取的LIPA粒度的标识、HeNB的网络能力来判定是否授权该用户设备建立与本地网络的LIPA连接。

但是在协议中并没有明确规定，用户设备必须具有CSG功能才可发起 LIPA连接。当不具有CSG功能的用户设备发起LIPA连接请求时，网络节点从HSS获取该用户设备LIPA连接的支持能力及本地网关的LIPA连接的支持能力，在该用户设备及该本地网关均支持LIPA连接时，网络节点允许创建该用户设备与该本地网关之间的LIPA连接，然而，网络节点无法获得更多的信息识别出该本地网关是否属于该用户设备连接请求的接入点。

发明内容

本发明的主要目的为提供本地网络访问的控制方法及装置、计算机存储介质，旨在有效避免不是所述本地网关的连接请求接入到所述本地网关，以实现本地网络访问的控制，提高网络访问的安全性。

为实现上述目的，本发明实施例提供一种本地网络访问的控制方法，该方法包括步骤：

当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；

所述本地网关确定获取的网络连接标识是否为合法网络连接标识；

在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。

在一具体实施例中，在所述本地网关确定获取的网络连接标识是否为合法网络连接标识的步骤之后，该方法还包括：

在确定获取的网络连接标识为合法网络连接标识时，所述本地网关确定所述网络连接请求为合法连接请求并授权所述用户设备接入本地网络。

在一具体实施例中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识，包括：

所述本地网关分析是否有预存合法连接标识与获取的网络连接标识一致；

在未有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为非法网络连接标识；

在有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为合法网络连接标识。

所述本地网关将获取的网络连接标识发送至与其通信连接的鉴权设备，以验证获取的网络连接标识是否为合法网络连接标识；

所述本地网关接收所述鉴权设备发送来的验证信息，并解析接收到的验证信息，以确定获取的网络连接标识是否为合法网络连接标识。

在一具体实施例中，在所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求的步骤之后，该方法还包括：

所述本地网关发出提醒信息，以提示有非法请求访问本地网络。

本发明实施例还提供一种本地网络访问的控制装置，该装置包括：

获取模块，配置为当接收到网络节点发送来的网络连接请求时，获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；

分析模块，配置为确定获取的网络连接标识是否为合法网络连接标识；

响应模块，配置为在确定获取的网络连接标识为非法网络连接标识时，确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。

在一具体实施例中，响应模块，还配置为在确定获取的网络连接标识为合法网络连接标识时，确定所述网络连接请求为合法连接请求并授权所述用户设备接入本地网络。

在一具体实施例中，所述分析模块，还配置为分析是否有预存合法连接标识与获取的网络连接标识一致；及

在未有预存合法连接标识与获取的网络连接标识一致时，确定所述网络连接标识为非法网络连接标识；或

在有预存合法连接标识与获取的网络连接标识一致时，确定所述网络连接标识为合法网络连接标识。

在一具体实施例中，该装置还包括：

接发模块，配置为将获取的网络连接标识发送至与其通信连接的鉴权设备，以验证获取的网络连接标识是否为合法网络连接标识；及

接收所述鉴权设备发送来的验证信息；

处理模块，配置为解析接收到的验证信息，以确定获取的网络连接标识是否为合法网络连接标识。

在一具体实施例中，该装置还包括：

提醒模块，配置为发出提醒信息，以提示有非法请求访问本地网络。

本发明实施例还提供了一种计算机存储介质，其中存储有计算机可执行指令，所述计算机可执行指令用于执行上述的方法。

相对现有技术，本发明实施例当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；所述本地网关确定获取的网络连接标识是否为合法网络连接标识；在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。通过所述本地网关识别出所述用户设备的接入点不是所述本地网关时，所述本地网关拒绝响应所述网络连接请求，有效避免不是所述本地网关的连接请求接入到所述本地网关，从而实现了本地网络访问的控制，提高了网络访问的安全性。

附图说明

图1为本发明本地网络访问的控制方法第一实施例的流程示意图；

图2为本发明移动通信网络一实施例的结构架构图；

图3为本发明本地网络访问的控制方法第二实施例的流程示意图；

图4为本发明本地网络访问的控制装置第一实施例的流程示意图；

图5为本发明本地网络访问的控制装置第二实施例的流程示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，为本发明本地网络访问的控制方法第一实施例的流程示意图。

需要强调的是：图1所示流程图仅为一个较佳实施例，本领域的技术人员当知，任何围绕本发明思想构建的实施例都不应脱离于如下技术方案涵盖的范围：

当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；所述本地网关确定获取的网络连接标识是否为合法网络连接标识；在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。

以下是本实施例逐步实现控制本地网络访问的具体步骤：

步骤S11，当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求。

在本实施例中，参考图2，移动通信网络中部署有用户设备、家庭基站、网络节点、HSS、本地网关及本地网络，所述用户设备与所述家庭基站无线连接，所述家庭基站、所述本地网关及所述HSS均与所述网络节点通信连接，所述本地网关与所述本地网络通信连接，所述网络节点控制所述用户设备与所述本地网关之间通信连接的建立，所述本地网络可以是一个或者多个(图中仅示出一个)，所述本地网关也可以是多个(图中仅示出一个)。在本发明其他实施例中，在所述移动通信网络中还包括一与所述本地网关通信连接的鉴权设备。

所述网络节点控制所述用户设备与所述本地网关之间通信连接的建立的过程包括：所述用户设备向所述家庭基站发起建立与所述本地网络的LIPA连接请求，所述家庭基站在识别出所述用户设备发送来的为建立连接的请求时，构造一个包括本地网关地址的消息，发送至所述网络节点，所述网络节点在接收到所述家庭基站发送来的构造的信息时，向HSS发起获取所述用户设备对应的订阅的上下文信息，并接收所述用户设备对应的订阅的上下文信息，并解析所述用户设备对应的订阅的上下文信息，以确定所述用户设备提供的接入点是否支持LIPA功能，在接收的上下文信息中包括允许LIPA连接的字样时，所述网络节点授权建立所述用户设备与所述本地网关建立LIPA连接，即，在所述用户设备与所述本地网关之间创建一个通信链路，供所述用户设备通过所述本地网关转发或者接收移动通信数据，上述授权过程为网络侧授权。

所述网络节点在授权建立用户设备与本地网关之间的通信链路时，向所述本地网关发出创建所述用户设备与所述本地网络之间网络连接的请求，所述本地网关在接收到网络节点发送来的网络连接请求时，获取所述连接请求中包括的网络连接标识。所述用户设备为运用移动通信网络的电子设备，例如，手机、电脑、平板电脑等；所述网络连接标识可以是IMSI(国际移动用户识别码)、手机号码、无线上网账号等用以将各个用户设备加以区分的信息。

步骤S12，所述本地网关确定获取的网络连接标识是否为合法网络连接标识。

在本实施例中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识的过程可以为：所述本地网关预存有与所述本地网关合法连接的所有合法网络连接标识，在获取到所述连接请求中包括的网络连接标识时，分析是否有预存合法网络连接标识与获取的网络连接标识一致，在未有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为非法网络连接标识；在有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为合法网络连接标识。在本发明其他实施例中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识的过程还可以为：所述本地网关将获取的网络连接标识发送至与其通信连接的鉴权设备，以验证获取的网络连接标识是否为合法网络连接标识。所述鉴权设备预存有与所述本地网关合法连接的所有合法网络连接标识，在接收到所述网络节点发送来的网络连接标识时，所述鉴权设备分析是否有预存合法网络连接标识与接收的网络连接标识一致，在有预存合法网络连接标识与接收的网络连接标识一致，确定接收的网络连接标识为合法网络连接标识，生成接收的网络连接标识为合法网络连接标识的验证信息；在未有预存合法网络连接标识与接收的网络连接标识一致时，确定接收的网络连接标识为非法网络连接标识，生成接收的网络连接标识为非法网络连接标识的验证信息。所述本地网关接收所述鉴权设备发送来的验证信息，并解析接收到的验证信息，以确定获取的网络连接标识是否为合法网络连接标识。

步骤S13，在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。

在本实施例中，在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求.在确定获取的网络连接标识为合法网络连接标识时，所述本地网关确定所述网络连接请求为合法连接请求并授权所述用户设备接入本地网络。

本实施例当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；所述本地网关确定获取的网络连接标识是否为合法网络连接标识；在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。通过所述本地网关识别出所述用户设备的接入点不是所述本地网关时，所述本地网关拒绝响应所述网络连接请求，有效避免不是所述本地网关的连接请求接入到所述本地网关，以实现本地网络访问的控制，提高网络访问的安全性。

如图3所示，为本发明本地网络访问的控制方法第二实施例的流程示意图。基于上述第一实施例，在所述步骤S13之后，该方法还包括：

步骤S14，所述本地网关发出提醒信息，以提示有非法请求访问本地网络。

在本实施例中，所述本地网关在确定所述网络连接请求为非法请求时，所述本地网关发出提醒信息，以提示有非法请求访问本地网络。在本实施例中优选为所述本地网关向所述本地网络的管理端发出提醒消息，以提示本地网络管理端的监控人员知晓有非法请求访问本地网络，以加强对本地网络访问的监控防止用户设备端用户通过非法手段建立与本地网络连接，并访问本地网络的数据。在本发明其他实施例中，所述本地网关向所述用户设备发出提醒信息，以提示所述用户设备端用户发出的所述网络连接请求为非法请求，即该连接请求的接入点不为所述本地网关。

在本实施所述本地网关发出***信息，以提示有非法请求访问本地网络，以提示本地网络的管理端用户有非法请求访问本地网络，加强对本地网络访问的监控，进一步提高网络访问的安全性。

如图4所示，为本发明本地网络访问的控制装置第一实施例的功能模块示意图。该装置包括：获取模块10、分析模块20、接发模块30、处理模块40及响应模块50。

所述获取模块10，配置为当接收到网络节点发送来的网络连接请求时，获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求。

在本实施例中，参考图2，移动通信网络中部署有用户设备、家庭基站、网络节点、HSS、本地网关及本地网络，所述用户设备与所述家庭基站无线连接，所述家庭基站、所述本地网关及所述HSS均与所述网络节点通信连接，所述本地网关与所述本地网络通信连接，所述网络节点控制所述用户设备与所述本地网关之间通信连接的建立，所述本地网络可以是一个或者多个(图中仅示出一个)，所述本地网关也可以是多个(图中仅示出一个)。在本发明其他实施例中，在所述移动通信网络中还包括一与所述本地网关通信连接的鉴权设备。所述本地网络访问的控制装置优选为本地网关。

所述分析模块20，配置为确定获取的网络连接标识是否为合法网络连接标识。

在本实施例中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识的过程可以为：所述本地网关预存有与所述本地网关合法连接的所有合法网络连接标识，在获取到所述连接请求中包括的网络连接标识时，分析是否有预存合法网络连接标识与获取的网络连接标识一致，在未有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为非法网络连接标识；在有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为合法网络连接标识。

在本发明其他实施例中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识的过程还可以为：接发模块30将获取的网络连接标识发送至与其通信连接的鉴权设备，以验证获取的网络连接标识是否为合法网络连接标识。所述鉴权设备预存有与所述本地网关合法连接的所有合法网络连接标识，在接收到所述网络节点发送来的网络连接标识时，所述鉴权设备分析是否有预存合法网络连接标识与接收的网络连接标识一致，在有预存合法网络连接标识与接收的网络连接标识一致，确定接收的网络连接标识为合法网络连接标识，生成接收的网络连接标识为合法网络连接标识的验证信息；在未有预存合法网络连接标识与接收的网络连接标识一致时，确定接收的网络连接标识为非法网络连接标识，生成接收的网络连接标识为非法网络连接标识的验证信息。所述接发模块30接收所述鉴权设备发送来的验证信息，并通过处理模块40解析接收到的验证信息，以确定获取的网络连接标识是否为合法网络连接标识。

所述响应模块50，配置为在确定获取的网络连接标识为非法网络连接标识时，确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。

如图5所示，为本发明本地网络访问的控制装置第二实施例的功能模块示意图。该装置还包括：提醒模块60。

所述提醒模块60，发出提醒信息，以提示有非法请求访问本地网络。

本发明实施例还提供了一种计算机存储介质，其中存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一实施例所述的方法。

上述各模块可以由电子设备中的中央处理器(Central Processing Unit，CPU)、数字信号处理器(Digital Signal Processor，DSP)或可编程逻辑阵列(Field－Programmable Gate Array，FPGA)实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、***、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims

一种本地网络访问的控制方法，其中，该方法包括：

当接收到网络节点发送来的网络连接请求时，本地网关获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；

所述本地网关确定获取的网络连接标识是否为合法网络连接标识；

在确定获取的网络连接标识为非法网络连接标识时，所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。
根据权利要求1所述的本地网络访问的控制方法，其中，在所述本地网关确定获取的网络连接标识是否为合法网络连接标识的步骤之后，该方法还包括：

在确定获取的网络连接标识为合法网络连接标识时，所述本地网关确定所述网络连接请求为合法连接请求并授权所述用户设备接入本地网络。
根据权利要求1或2所述的本地网络访问的控制方法，其中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识，包括：

所述本地网关分析是否有预存合法连接标识与获取的网络连接标识一致；

在未有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为非法网络连接标识；

在有预存合法连接标识与获取的网络连接标识一致时，所述本地网关确定所述网络连接标识为合法网络连接标识。
根据权利要求1或2所述的本地网络访问的控制方法，其中，所述本地网关确定获取的网络连接标识是否为合法网络连接标识，包括：

所述本地网关将获取的网络连接标识发送至与其通信连接的鉴权设备，以验证获取的网络连接标识是否为合法网络连接标识；

所述本地网关接收所述鉴权设备发送来的验证信息，并解析接收到的验证信息，以确定获取的网络连接标识是否为合法网络连接标识。
根据权利要求1或2所述的本地网络访问的控制方法，其中，在所述本地网关确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求的步骤之后，该方法还包括：

所述本地网关发出提醒信息，以提示有非法请求访问本地网络。
一种本地网络访问的控制装置，其中，该装置包括：

获取模块，配置为当接收到网络节点发送来的网络连接请求时，获取所述连接请求中包括的网络连接标识，所述网络连接请求为用户设备与本地网络的连接请求；

分析模块，配置为确定获取的网络连接标识是否为合法网络连接标识；

响应模块，配置为在确定获取的网络连接标识为非法网络连接标识时，确定所述网络连接请求为非法请求并拒绝响应所述网络连接请求。
根据权利要求6所述的本地网络访问的控制装置，其中，

响应模块，还配置为在确定获取的网络连接标识为合法网络连接标识时，确定所述网络连接请求为合法连接请求并授权所述用户设备接入本地网络。
根据权利要求6或7所述的本地网络访问的控制装置，其中，

所述分析模块，还配置为分析是否有预存合法连接标识与获取的网络连接标识一致；及

在未有预存合法连接标识与获取的网络连接标识一致时，确定所述网络连接标识为非法网络连接标识；或

在有预存合法连接标识与获取的网络连接标识一致时，确定所述网络连接标识为合法网络连接标识。
根据权利要求6或7所述的本地网络访问的控制装置，其中，该装置还包括：

接发模块，配置为将获取的网络连接标识发送至与其通信连接的鉴权设备，以验证获取的网络连接标识是否为合法网络连接标识；及

接收所述鉴权设备发送来的验证信息；

处理模块，配置为解析接收到的验证信息，以确定获取的网络连接标识是否为合法网络连接标识。
根据权利要求6或7所述的本地网络访问的控制装置，其中，该装置还包括：

提醒模块，配置为发出提醒信息，以提示有非法请求访问本地网络。
一种计算机存储介质，其中存储有计算机可执行指令，所述计算机可执行指令用于执行所述权利要求1至5任一项所述的方法。