IM(UniversalSubscriber Identity Module,全球用户识别卡)卡中,还可以通过USIM卡对网络进行认证,并根据输入的参数计算鉴权结果。
[0053]其中,如图3所示,为第一网络设备(例如AAA服务器)采用EAP-AKA技术对小基站进行的过程:
[0054]步骤a、小基站发送IKE_SA_INIT请求给安全网关。
[0055]步骤b、安全网关发送IKE_SA_INIT响应。
[0056]步骤C、小基站在第一条鉴权消息中发送小基站的设备标识和使用者标识,安全网关判断使用EAP认证。
[0057]其中,小基站的设备标识和使用者标识均为小基站内置US頂卡的頂SI。
[0058]步骤d、安全网关发送一条空EAP AVP的鉴权请求消息给AAA服务器,携带在IKE_AUTH中获得的身份标识。
[0059]步骤e、AAA服务器从HSS/HLR中获得设备文件和鉴权向量。
[0060]其中,设备文件可以包括用户的信息、套餐信息等;鉴权向量用于对终端进行鉴权,鉴别是否为合法的终端。
[0061]步骤f、AAA服务器发起鉴权挑战。
[0062]步骤g、安全网关发送IKE_AUTH响应给小基站。
[0063]其中,IKE_AUTH响应中可以包含从AAA服务器收到的EAP-Request或AKA-Challenge,还可以包括安全网关的标识、证书和AUTH参数,以便小基站对安全网关进行认证。
[0064]步骤h、小基站发送鉴权挑战的响应。
[0065]其中,小基站可以验证安全网关的证书,并计算EAP-AKA RES。
[0066]步骤1、安全网关发送EAP-Response或ΑΚΑ-Challenge给AAA服务器。
[0067]步骤J、当所有认证都成功,AAA服务器发送鉴权结果。
[0068]其中,鉴权结果包含一个EAP成功和安全网关的key material (关键信息)。keymaterial应该包含认证过程中产生的MSK。所有认证包括小基站对安全网关的认证、AAA对安全网关发送消息的认证。
[0069]步骤K、安全网关用MSK产生AUTH认证IKE_SA_INIT的AUTH载荷。
[0070]S卩,安全网关根据MSK来生成一个AUTH载荷,其用于认证之前的IKE_SA_INIT。
[0071]步骤L、安全网关将EAP成功消息发送给小基站。
[0072]在本实用新型中,不同运营商的核心网通过不同的认证信息对小基站进行认证,认证使用的技术相同,例如上文提到的IKEv2技术,使小基站能够适配不同的运营商核心网。
[0073]同理,小基站中也可以包括多个证书,这些证书在小基站出厂之前就已经存储在小基站内,或者出厂之后通过人工下载到小基站内,从而达到同样的效果,这里不再赘述。
[0074]作为第二种实现方式,小基站中包括可重复编写认证信息,可编辑认证信息例如是可重复编写的S頂,或者嵌入式UICC。对于后者有两种实现方式,一种是采用SMD贴片封装工艺,就是将S頂卡芯片直接焊接在终端模组芯片(相当于上述的基站内部的芯片)上;一种是采用SIP封装工艺,就是将SIM卡芯片和终端模块芯片封装在一体,外表看起来就是一块芯片,好像没有S頂卡了。可编辑认证信息较上一个实施例的好处在于,只需在小基站内部嵌入一个“软” S頂卡即可,通过可重复编写的方式,降低小基站的尺寸和成本。
[0075]在本实用新型中,创造性地将可重复编写的S頂或者嵌入式UICC应用于基站中,从而使基站侧存储的认证信息可以被灵活改变,同样能够达到上述效果。
[0076]具体地,用户可以将小基站连接到认证信息输入装置,并将认证信息下载到小基站上,再将该认证信息用于核心网的认证。下载的方式不限,例如通过有线连接下载或无线的方式下载,无线的方式包括NFC(Near Field Communicat1n,近场通信)、蓝牙、Wifi (Wireless-Fidelity,无线保真)等方式。特别地,在小基站连接到第二网络设备之后,直接从第二网络设备获取认证信息,下载到小基站之后,再用于核心网对小基站的认证。
[0077]在本实用新型中所提到的对小基站进行认证的“核心网”,通常是包括能够认证小基站合法性或安全性的网络设备,具体网元不限,例如HSS/HLR,或者安全网关等等。
[0078]作为第三种实现方式,如图4所示,小基站还可以包括两类认证信息,一类是可编辑认证信息,另一类是固定的认证信息。
[0079]在图4中,小基站不仅包括了固定的S頂卡(不可编写),还包括可重复编写的S頂卡,后者支持认证信息的写入,从而可以灵活改变认证信息。这样,该小基站还可以获得上述两种认证信息存储装置所带来的好处,例如,该小基站为中国移动定制的小基站,固定的S頂卡存储了中国移动的认证信息;可重复编写的S頂卡则作为一个更灵活的方式能够通过其它运营商的认证,例如可以通过中国联通和/或中国电信的认证,该认证可以作为前一种认证方式的备份方案,例如首选通过中国移动的认证信息来认证,如果与中国移动的核心网的连接发生中断时,则自动切换到可重复编写的S頂卡用于与中国联通的认证,从而能够保证通信不中断。
[0080]本实用新型中的终端,可以是移动电话机(或手机),或者其它能够发送或接收无线信号的设备,包括PDA(Personal Digital Assistant,个人数字助理)、无线调制调解器、无线通信装置、手持装置、膝上型计算机、无绳电话、WLL(Wireless Local Loop,无线本地回路)站、能够将移动信号转换为Wifi信号的CPE (Customer Premise Equipment,客户终端设备)或Mifi (便携式宽带无线装置)、智能家电、或其它不通过人的操作就能自发与移动通信网络通信的设备等。
[0081]基站的形式不限,可以是宏基站(Macro Base Stat1n)、微基站(Pico BaseStat1n)、Node B、ENB (Evolved Node B,增强型基站)、家庭增强型基站、中继站、接入点、RRU(Remote Rad1 Unit,射频拉远单元)、RRH(Remote Rad1 Head,射频拉远头)等。
[0082]基站与终端之间的空中接口不限,可以是CDMA (Code Divis1n MultipleAccess,码分多址)2000、WCDMA (Wideband CDMA,宽带码分多址)、WiMAX (WorldwideInteroperability for Microwave Access,全球微波互联接入)、LTE、LTE-Advanced 等。
[0083]本实用新型实施例的基站的认证方法至少具有以下优点:
[0084]1、解决了现有技术中小基站只能连接到一个运营商的核心网的问题,第一次实现小基站可以“带着走”(搬家、出国等场景更换运营商)。
[0085]2、进一步带来RAN sharing的好处,小基站可以连接到多个运营商的核心网,有利于提尚小基站的利用效率和小基站的推广使用。
[0086]3、获得这些功能带来的好处的同时,尽量不影响小基站的尺寸和成本。
[0087]在本实用新型实施例中,采用基站从第一网络设备获取运营商的认证选择信息;基站从预先存储的至少两组认证信息中确定与认证选择信息匹配的第一认证信息,或者,基站从第二网络设备下载与认证选择信息匹配的第一认证信息,其中,第一认证信息用于第一网络设备对基站进行认证;基站将第一认证信息发送至第一网络设备,其中,由第一网络设备依据第一认证信息对基站进行认证的方式,通过在基站中预先存储至少两组认证信息或从第二网络设备下载认证信息,达到了灵活根据不同的运营商确定不同认证信息的目的,从而实现了增加基站在使用上的灵活性的技术效果,进而解决了由于小基站通常只能接入一个运营商造成的小基站灵活性较差的技术问题。
[0088]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本实用新型并不受所描述的动作顺序的限制,因为依据本实用新型,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本实用新型所必须的。
[0089]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本实用新型的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如R0M/RAM、磁碟、光盘)中,包括若干指