IM(UniversalSubscriber Identity Module,全球用戶識別卡)卡中��,還可以通過USIM卡對網(wǎng)絡進行認證�����,并根據(jù)輸入的參數(shù)計算鑒權(quán)結(jié)果��。
[0053]其中��,如圖3所示����,為第一網(wǎng)絡設備(例如AAA服務器)采用EAP-AKA技術(shù)對小基站進行的過程:
[0054]步驟a、小基站發(fā)送IKE_SA_INIT請求給安全網(wǎng)關(guān)�����。
[0055]步驟b�、安全網(wǎng)關(guān)發(fā)送IKE_SA_INIT響應。
[0056]步驟C���、小基站在第一條鑒權(quán)消息中發(fā)送小基站的設備標識和使用者標識�����,安全網(wǎng)關(guān)判斷使用EAP認證��。
[0057]其中���,小基站的設備標識和使用者標識均為小基站內(nèi)置US頂卡的頂SI�����。
[0058]步驟d、安全網(wǎng)關(guān)發(fā)送一條空EAP AVP的鑒權(quán)請求消息給AAA服務器�,攜帶在IKE_AUTH中獲得的身份標識。
[0059]步驟e��、AAA服務器從HSS/HLR中獲得設備文件和鑒權(quán)向量�。
[0060]其中,設備文件可以包括用戶的信息��、套餐信息等�����;鑒權(quán)向量用于對終端進行鑒權(quán)�����,鑒別是否為合法的終端。
[0061]步驟f�、AAA服務器發(fā)起鑒權(quán)挑戰(zhàn)。
[0062]步驟g�����、安全網(wǎng)關(guān)發(fā)送IKE_AUTH響應給小基站��。
[0063]其中�,IKE_AUTH響應中可以包含從AAA服務器收到的EAP-Request或AKA-Challenge,還可以包括安全網(wǎng)關(guān)的標識��、證書和AUTH參數(shù)��,以便小基站對安全網(wǎng)關(guān)進行認證�。
[0064]步驟h、小基站發(fā)送鑒權(quán)挑戰(zhàn)的響應�。
[0065]其中,小基站可以驗證安全網(wǎng)關(guān)的證書�����,并計算EAP-AKA RES����。
[0066]步驟1�、安全網(wǎng)關(guān)發(fā)送EAP-Response或ΑΚΑ-Challenge給AAA服務器�����。
[0067]步驟J��、當所有認證都成功����,AAA服務器發(fā)送鑒權(quán)結(jié)果。
[0068]其中��,鑒權(quán)結(jié)果包含一個EAP成功和安全網(wǎng)關(guān)的key material (關(guān)鍵信息)�����。keymaterial應該包含認證過程中產(chǎn)生的MSK����。所有認證包括小基站對安全網(wǎng)關(guān)的認證��、AAA對安全網(wǎng)關(guān)發(fā)送消息的認證�����。
[0069]步驟K、安全網(wǎng)關(guān)用MSK產(chǎn)生AUTH認證IKE_SA_INIT的AUTH載荷�。
[0070]S卩,安全網(wǎng)關(guān)根據(jù)MSK來生成一個AUTH載荷�����,其用于認證之前的IKE_SA_INIT���。
[0071]步驟L�、安全網(wǎng)關(guān)將EAP成功消息發(fā)送給小基站�。
[0072]在本實用新型中,不同運營商的核心網(wǎng)通過不同的認證信息對小基站進行認證����,認證使用的技術(shù)相同,例如上文提到的IKEv2技術(shù)�,使小基站能夠適配不同的運營商核心網(wǎng)。
[0073]同理���,小基站中也可以包括多個證書���,這些證書在小基站出廠之前就已經(jīng)存儲在小基站內(nèi)�,或者出廠之后通過人工下載到小基站內(nèi)�����,從而達到同樣的效果��,這里不再贅述�����。
[0074]作為第二種實現(xiàn)方式���,小基站中包括可重復編寫認證信息���,可編輯認證信息例如是可重復編寫的S頂,或者嵌入式UICC����。對于后者有兩種實現(xiàn)方式���,一種是采用SMD貼片封裝工藝�,就是將S頂卡芯片直接焊接在終端模組芯片(相當于上述的基站內(nèi)部的芯片)上�;一種是采用SIP封裝工藝,就是將SIM卡芯片和終端模塊芯片封裝在一體,外表看起來就是一塊芯片����,好像沒有S頂卡了?��?删庉嬚J證信息較上一個實施例的好處在于���,只需在小基站內(nèi)部嵌入一個“軟” S頂卡即可,通過可重復編寫的方式�����,降低小基站的尺寸和成本�。
[0075]在本實用新型中,創(chuàng)造性地將可重復編寫的S頂或者嵌入式UICC應用于基站中����,從而使基站側(cè)存儲的認證信息可以被靈活改變,同樣能夠達到上述效果�。
[0076]具體地,用戶可以將小基站連接到認證信息輸入裝置��,并將認證信息下載到小基站上����,再將該認證信息用于核心網(wǎng)的認證����。下載的方式不限����,例如通過有線連接下載或無線的方式下載,無線的方式包括NFC(Near Field Communicat1n����,近場通信)、藍牙��、Wifi (Wireless-Fidelity,無線保真)等方式���。特別地�,在小基站連接到第二網(wǎng)絡設備之后�,直接從第二網(wǎng)絡設備獲取認證信息,下載到小基站之后����,再用于核心網(wǎng)對小基站的認證�����。
[0077]在本實用新型中所提到的對小基站進行認證的“核心網(wǎng)”,通常是包括能夠認證小基站合法性或安全性的網(wǎng)絡設備��,具體網(wǎng)元不限���,例如HSS/HLR��,或者安全網(wǎng)關(guān)等等��。
[0078]作為第三種實現(xiàn)方式���,如圖4所示,小基站還可以包括兩類認證信息�,一類是可編輯認證信息,另一類是固定的認證信息�。
[0079]在圖4中,小基站不僅包括了固定的S頂卡(不可編寫)�,還包括可重復編寫的S頂卡,后者支持認證信息的寫入�,從而可以靈活改變認證信息。這樣���,該小基站還可以獲得上述兩種認證信息存儲裝置所帶來的好處�,例如,該小基站為中國移動定制的小基站�,固定的S頂卡存儲了中國移動的認證信息;可重復編寫的S頂卡則作為一個更靈活的方式能夠通過其它運營商的認證��,例如可以通過中國聯(lián)通和/或中國電信的認證�,該認證可以作為前一種認證方式的備份方案,例如首選通過中國移動的認證信息來認證�����,如果與中國移動的核心網(wǎng)的連接發(fā)生中斷時�����,則自動切換到可重復編寫的S頂卡用于與中國聯(lián)通的認證��,從而能夠保證通信不中斷��。
[0080]本實用新型中的終端�,可以是移動電話機(或手機),或者其它能夠發(fā)送或接收無線信號的設備�,包括PDA(Personal Digital Assistant,個人數(shù)字助理)、無線調(diào)制調(diào)解器���、無線通信裝置����、手持裝置��、膝上型計算機�、無繩電話、WLL(Wireless Local Loop�,無線本地回路)站、能夠?qū)⒁苿有盘栟D(zhuǎn)換為Wifi信號的CPE (Customer Premise Equipment�����,客戶終端設備)或Mifi (便攜式寬帶無線裝置)��、智能家電�����、或其它不通過人的操作就能自發(fā)與移動通信網(wǎng)絡通信的設備等��。
[0081]基站的形式不限�,可以是宏基站(Macro Base Stat1n)、微基站(Pico BaseStat1n)����、Node B����、ENB (Evolved Node B����,增強型基站)、家庭增強型基站����、中繼站、接入點�����、RRU(Remote Rad1 Unit��,射頻拉遠單元)���、RRH(Remote Rad1 Head��,射頻拉遠頭)等����。
[0082]基站與終端之間的空中接口不限,可以是CDMA (Code Divis1n MultipleAccess��,碼分多址)2000����、WCDMA (Wideband CDMA,寬帶碼分多址)�����、WiMAX (WorldwideInteroperability for Microwave Access��,全球微波互聯(lián)接入)��、LTE�、LTE-Advanced 等。
[0083]本實用新型實施例的基站的認證方法至少具有以下優(yōu)點:
[0084]1�����、解決了現(xiàn)有技術(shù)中小基站只能連接到一個運營商的核心網(wǎng)的問題�,第一次實現(xiàn)小基站可以“帶著走”(搬家、出國等場景更換運營商)����。
[0085]2、進一步帶來RAN sharing的好處,小基站可以連接到多個運營商的核心網(wǎng)���,有利于提尚小基站的利用效率和小基站的推廣使用��。
[0086]3��、獲得這些功能帶來的好處的同時�,盡量不影響小基站的尺寸和成本��。
[0087]在本實用新型實施例中�,采用基站從第一網(wǎng)絡設備獲取運營商的認證選擇信息;基站從預先存儲的至少兩組認證信息中確定與認證選擇信息匹配的第一認證信息��,或者��,基站從第二網(wǎng)絡設備下載與認證選擇信息匹配的第一認證信息�����,其中�����,第一認證信息用于第一網(wǎng)絡設備對基站進行認證���;基站將第一認證信息發(fā)送至第一網(wǎng)絡設備����,其中,由第一網(wǎng)絡設備依據(jù)第一認證信息對基站進行認證的方式�����,通過在基站中預先存儲至少兩組認證信息或從第二網(wǎng)絡設備下載認證信息���,達到了靈活根據(jù)不同的運營商確定不同認證信息的目的,從而實現(xiàn)了增加基站在使用上的靈活性的技術(shù)效果���,進而解決了由于小基站通常只能接入一個運營商造成的小基站靈活性較差的技術(shù)問題�。
[0088]需要說明的是�,對于前述的各方法實施例,為了簡單描述�,故將其都表述為一系列的動作組合,但是本領(lǐng)域技術(shù)人員應該知悉�����,本實用新型并不受所描述的動作順序的限制����,因為依據(jù)本實用新型����,某些步驟可以采用其他順序或者同時進行����。其次,本領(lǐng)域技術(shù)人員也應該知悉�,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本實用新型所必須的����。
[0089]通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實施例的方法可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)����,當然也可以通過硬件,但很多情況下前者是更佳的實施方式��?�;谶@樣的理解�����,本實用新型的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)(如R0M/RAM���、磁碟�、光盤)中��,包括若干指