CN106937286B - 一种用户接入认证方法及装置 - Google Patents

Abstract

本发明实施例公开了一种用户接入认证方法及装置，应用于当前基站，方法包括：获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，该源基站信息中携带目标终端的射频指纹数据和源基站的位置信息；从而，根据位置信息，将射频指纹数据发送到源基站，以使得源基站根据射频指纹数据检索是否存在目标用户接入源基站所采用的物理信息；然后，接收源基站反馈的检索结果；最后，根据检索结果，确定是否允许目标用户接入当前基站，完成针对目标用户的接入认证。应用本发明实施例提供的方案进行用户接入认证，提高了用户接入认证的安全性。

Description

一种用户接入认证方法及装置

技术领域

本发明涉及移动通信技术领域，特别涉及一种用户接入认证方法及装置。

背景技术

用户通过终端设备与网络进行连接时，若出现意外状况，易导致终端设备与网络断开连接，即终端设备与源基站断开连接，这种情况下，终端设备需要以明文发送方式，发送该终端设备的IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)给当前基站，从而重新接入网络。由于以明文方式发送IMSI存在被窃听的风险，同时，伪基站的存在使得用户时常面临被骚扰的风险。因此，设计一种安全的用户接入认证方案十分重要。

目前，终端设备断开网络连接后，再重新接入网络时，现有的实现安全的用户接入认证的方案主要是：在终端设备侧使用加密算法加密IMSI，并将加密后的IMSI发送至当前基站，当前基站接收到上述加密后的IMSI后，使用与上述加密算法对应的解密算法对所接收的IMSI进行解密，再根据解密得到的IMSI进行用户接入认证，从而在一定程度上提供了安全的用户接入认证。然而不管采用哪一种加密算法均可能会存在被破解的风险，导致采用上述方法进行用户接入认证时，依然存在安全隐患，也就是采用上述方法进行用户接入认证时依然存在安全性低的问题。

发明内容

本发明实施例公开了一种用户接入认证方法及装置，以提高用户接入认证的安全性。技术方案如下：

第一方面，本发明实施例提供了一种用户接入认证方法，应用于当前基站，所述方法包括：

获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，所述源基站信息中携带所述目标终端的射频指纹数据和所述源基站的位置信息；

根据所述位置信息，将所述射频指纹数据发送到所述源基站，以使得所述源基站根据所述射频指纹数据检索是否存在所述目标用户接入所述源基站所采用的物理信息；

接收所述源基站反馈的检索结果；

根据所述检索结果，确定是否允许所述目标用户接入所述当前基站，完成针对所述目标用户的接入认证。

可选的，所述获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息的步骤，包括：

获得所述目标用户利用所述目标终端发送的接入请求；

向所述目标终端发送用于获得所述目标终端的国际移动用户识别码的请求；

接收所述目标终端发送的源基站信息。

可选的，所述根据所述检索结果，确定是否允许所述目标用户接入所述当前基站的步骤，包括：

在所述检索结果显示存在所述目标用户接入所述源基站所采用的物理信息的情况下，根据所述检索结果，获得所述目标用户接入所述源基站采用的第一物理信息；

将所述第一物理信息发送至所述目标终端，以使得所述目标终端验证所述第一物理信息是否与其自身信息相匹配；

接收所述目标终端反馈的验证结果；

根据所述验证结果，确定是否允许所述目标用户接入所述当前基站。

可选的，在确定不允许所述目标用户接入所述当前基站的情况下，所述方法还包括：

从所述目标终端获得所述目标终端的国际移动用户识别码；

根据所述国际移动用户识别码，确定是否允许所述目标用户接入所述当前基站。

可选的，所述方法还包括：

在确定所述目标用户成功接入所述当前基站后，将所述目标用户接入所述当前基站采用的第二物理信息在本地缓存预设时长。

可选的，所述当前基站通过移动性管理实体MME检索以得到目标终端的国际移动用户识别码，其中，所述MME根据所述射频指纹数据进行检索；所述方法还包括：

确定所述目标用户成功接入所述当前基站后，将所述目标终端的国际移动用户识别码与所述射频指纹数据之间的对应关系缓存至所述MME。

第二方面，本发明实施例提供了一种用户接入认证装置，应用于当前基站，所述装置包括：

第一获得模块，用于获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，所述源基站信息中携带所述目标终端的射频指纹数据和所述源基站的位置信息；

发送模块，用于根据所述位置信息，将所述射频指纹数据发送到所述源基站，以使得所述源基站根据所述射频指纹数据检索是否存在所述目标用户接入所述源基站所采用的物理信息；

接收模块，接收所述源基站反馈的检索结果；

第一确定模块，用于根据所述检索结果，确定是否允许所述目标用户接入所述当前基站，完成针对所述目标用户的接入认证。

可选的，所述第一获得模块，包括：

第一获得子模块，用于获得所述目标用户利用所述目标终端发送的接入请求；

发送子模块，用于向所述目标终端发送用于获得所述目标终端的国际移动用户识别码的请求；

接收子模块，用于接收所述目标终端发送的源基站信息。

可选的，所述第一确定模块，具体用于：

在所述检索结果显示存在所述目标用户接入所述源基站所采用的物理信息的情况下，根据所述检索结果，获得所述目标用户接入所述源基站采用的第一物理信息；

将所述第一物理信息发送至所述目标终端，以使得所述目标终端验证所述第一物理信息是否与其自身信息相匹配；

接收所述目标终端反馈的验证结果；

根据所述验证结果，确定是否允许所述目标用户接入所述当前基站。

可选的，在确定不允许所述目标用户接入所述当前基站的情况下，所述装置还包括：

第二获得模块，用于从所述目标终端获得所述目标终端的国际移动用户识别码；

第二确定模块，用于根据所述国际移动用户识别码，确定是否允许所述目标用户接入所述当前基站。

可选的，所述装置还包括：

第一缓存模块，用于在确定所述目标用户成功接入所述当前基站后，将所述目标用户接入所述当前基站采用的第二物理信息在本地缓存预设时长。

可选的，所述当前基站通过移动性管理实体MME检索以得到目标终端的国际移动用户识别码，其中，所述MME根据所述射频指纹数据进行检索；

所述装置还包括：

第二缓存模块，用于在确定所述目标用户成功接入所述当前基站后，将所述目标终端的国际移动用户识别码与所述射频指纹数据之间的对应关系缓存至所述MME。

由以上可见，本发明实施例提供的用户接入认证方法及装置，应用于当前基站，获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，该源基站信息中携带目标终端的射频指纹数据和源基站的位置信息；从而，根据位置信息，将射频指纹数据发送到源基站，以使得源基站根据射频指纹数据检索是否存在目标用户接入源基站所采用的物理信息；然后，接收源基站反馈的检索结果；最后，根据检索结果，确定是否允许目标用户接入当前基站，完成针对目标用户的接入认证。

可见，应用本发明实施例提供的技术方案，目标用户不再以IMSI回应身份验证要求，而是发送源基站信息，使得当前基站能够结合目标终端的射频指纹数据，通过向源基站求证用户身份合法性，来实现对用户的接入认证，从而避免了传送IMSI带来的安全问题，提高了用户接入认证的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种用户接入认证方法的流程示意图；

图2为本发明实施例提供的一种用户接入认证方法的应用场景示意图；

图3为本发明实施例提供的一种用户接入认证方法的信令流程示意图；

图4为本发明实施例提供的一种用户接入认证装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种用户接入认证方法及装置，应用于当前基站，以下分别进行详细说明。

参见图1，图1为本发明实施例提供的一种用户接入认证方法的流程示意图，包括如下步骤：

S101，获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息。

其中，源基站信息中携带目标终端的射频指纹数据和源基站的位置信息，可以将射频指纹(Radio Frequency Fingerprint,RFF)数据记为RF Fingerprint，射频指纹数据可以包括：设备信号载频，调制参数，杂散特性等等。eNB，英文全称为Evolved Node B，是LTE(Long Term Evolution，长期演进)中基站的名称。本发明实施例中的源基站即为源eNB，源基站的位置信息即指源eNB的位置，可以记为ID-message。

可以理解的是，就像每个人有不同的指纹数据一样，每个终端设备也有不同的射频指纹数据，射频指纹数据可以从终端设备发送的射频信号中提取出来，并且射频指纹数据可以唯一标识终端设备，因而，可以利用获得的射频指纹数据对不同的终端设备进行识别。

在目标终端与当前基站进行通信时，目标终端会发射射频信号来搭载要传输的数据，从而当前基站通过接收该射频信号来获得目标终端传输的数据。当前基站通过分析接收到的由目标终端发送的射频信号，就可以提取出该终端设备的射频指纹数据，并能够根据该射频指纹数据确认目标终端。

在实际应用中，可以利用射频指纹提取方法提取出射频指纹数据,并可以基于射频指纹数据，利用射频指纹识别方法对不同的终端设备进行识别。射频指纹提取方法以及射频指纹识别方法属于现有技术，本发明实施例在此不再赘述。本发明实施例对具体的射频指纹提取方法和射频指纹识别方法不做限定。

例如，可以利用基于稳态信号的射频指纹提取方法和识别技术，提取出该终端设备的射频指纹数据，并根据该射频指纹数据确认目标终端。

具体的，获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息的步骤，可以分为以下几步：

第一步，获得目标用户利用目标终端发送的接入请求。

在实际应用中，用户可以利用UE(User Equipment，用户终端设备)发送的接入请求，当UE开机之后，首先通过一个小区搜索过程来寻找一个合适的基站，从而可以向该基站发送接入请求。小区搜索算法属于现有技术，本发明实施例在此不再赘述。本发明实施例对具体的小区搜索算法不做限定。例如，可以利用主同步信号检测算法，来实现小区搜索，从而寻找到合适的基站。

第二步，向目标终端发送用于获得所述目标终端的国际移动用户识别码的请求。

国际移动用户识别码(International Mobile Subscriber IdentificationNumber，IMSI)可用于区别用户的有效信息，例如，可以利用IMSI区别出目标用户来自于哪个国家，目标终端存储有该终端的IMSI。在当前基站接收到目标终端发送的接入请求后，当前基站会向该目标终端发送相应的响应请求，要求该目标终端提供IMSI，以对目标用户进行身份认证。

第三步，接收所述目标终端发送的源基站信息。

在本发明实施例中，在目标终端接收到当前基站发送的要求提同该用户的IMSI信息的请求后，目标终端并不会直接将IMSI信息发送给当前基站，而会将目标终端之前连接过的源基站信息发送给当前基站，源基站是目标终端与网络断开连接之前所接入的基站，对于源基站信息的描述可参照前文，在此不再赘述。

与现有技术直接将IMSI信息以明文发送方式传送给当前基站的方法相比，本发明实施例是将源基站信息发送给当前基站，从而，可以利用源基站信息，进行间接的用户身份认证，避免了明文传送IMSI信息时，由于空口的无线传播特性，造成的IMSI容易泄露问题，提高了用户接入认证的安全性。

S102，根据位置信息，将射频指纹数据发送到源基站，以使得源基站根据射频指纹数据检索是否存在目标用户接入源基站所采用的物理信息。

可以理解的是，当前基站可以根据获得的位置信息，定位到源基站，从而可以将获得的射频指纹数据发送到源基站，由于射频指纹数据可以唯一标识终端设备，因此根据该射频指纹数据，源基站可以检索与该目标终端连接时的物理信息。物理信息可以记为PHY-message，可以包括：RSRQ(Reference signal received quality，参考信号的接收质量)、CQI(Channel Quality Indicator，信道质量)等信息。

在未超出基站对物理信息的缓存时间的情况下，如果目标用户在断开网络连接前曾接入源基站，则源基站中存在目标用户接入该基站所采用的物理信息；反之，如果目标用户在断开网络连接前未曾接入源基站，则源基站中不存在目标用户接入该基站所采用的物理信息。通过源基站根据射频指纹数据检索是否存在目标用户接入源基站所采用的物理信息，可以确定目标用户是否曾接入源基站，从而可以验证目标用户身份的合法性。

为了提高检索的可靠性，可以预先设置检索次数上限，当源基站的第一次检索的结果为：不存在所述目标用户接入所述源基站所采用的物理信息时，可以继续进行第二次的检索，直到达到检索次数上限。

例如，预先设置检索次数上限为三次，则若源基站进行第一次检索的结果为：不存在所述目标用户接入所述源基站所采用的物理信息，则可以继续进行第二次的检索，若第二次检索的结果仍为：不存在目标用户接入源基站所采用的物理信息，则可以继续进行第三次的检索，并将第三次检索的结果作为最终的结果。

S103，接收源基站反馈的检索结果。

当源基站检索到目标用户接入源基站所采用的物理信息时，则当前基站接收到的源基站反馈的检索结果为：第一物理信息，其中，第一物理信息为：目标终端接入源基站后，目标终端与源基站通信时，所产生的通信信号中携带的第一物理信息，例如，第一物理信息为：RSRQ(Reference signal received quality，参考信号的接收质量)；当源基站未检索到目标用户接入源基站所采用的物理信息时，则当前基站接收到的源基站反馈的检索结果为：非法用户的提示信息。

S104，根据检索结果，确定是否允许目标用户接入当前基站，完成针对所述目标用户的接入认证。

具体的，根据检索结果，判断是否允许目标用户接入当前基站的步骤，可以包括以下几个步骤：

步骤A，在检索结果显示存在目标用户接入源基站所采用的物理信息的情况下，根据检索结果，获得目标用户接入源基站采用的第一物理信息。

步骤B，将第一物理信息发送至目标终端，以使得目标终端验证第一物理信息是否与其自身信息相匹配。

需要说明的是，如果目标终端与网络断开连接前，是与源基站进行通信的，则目标终端与源基站之间的通信信号中包含了第一物理信息，由于，在目标终端和源基站各自缓存了该第一物理信息，在当前基站接收到源基站发送的第一物理信息后，当前基站将该第一物理信息发送给目标终端，从而，目标终端在接收到当前基站发送的第一物理信息后，可以与自身存储的第一物理信息相比较，如果接收到的第一物理信息与自身存储的第一物理信息相符，则验证通过，表明目标终端同意接入当前基站；如果接收到的第一物理信息与自身存储的第一物理信息不相符，则验证不通过，表明目标终端放弃接入当前基站。

可见，通过目标终端验证第一物理信息是否与其自身信息相匹配，可以验证当前基站的合法性，从而能够防止合法用户接入伪基站，提高了用户接入认证的安全性。

步骤C，接收目标终端反馈的验证结果。

可以理解的是，目标终端在接收到当前基站发送的第一物理信息后，会验证该第一物理信息是否与其自身信息相匹配，并将验证结果发送给当前基站，进而，当前基站能够接收到目标终端反馈的验证结果。若目标终端验证出接收到的第一物理信息与自身存储的第一物理信息相符，则当前基站接收目标终端反馈的验证结果为：验证通过；若目标终端验证出接收到的第一物理信息与自身存储的第一物理信息不相符，则当前基站接收目标终端反馈的验证结果为：验证不通过。

步骤D，根据验证结果，确定是否允许目标用户接入当前基站。

具体的，当验证结果为验证通过，则允许该目标用户接入当前基站；如果验证结果为验证不通过，则不允许该目标用户接入当前基站。

需要说明的是，本发明实施例提供的用户接入认证方法是对用户身份的安全认证，在确定目标用户身份的合法性后，目标用户可以接入当前基站，从而可以开始建立目标用户接入当前基站的网络连接。

在本发明实施例的一种具体的应用中，在建立目标用户接入当前基站的网络连接以后，进一步的，可以利用鉴权算法对目标用户的业务权限进行认证。具体的鉴权算法可以为：AKA(Authentication and Key Agreement,认证与密钥协商)鉴权算法，以完成针对所述目标用户的权限认证。从而，在保证用户身份合法性的同时，可以保证用户权限的合法性，避免合法用户的越权行为，进一步提高目标用户接入认证的安全性。具体的利用AKA算法完成对用户的权限认证的过程属于现有技术，本发明实施例在此不再赘述。

由于AKA算法需要利用目标终端的IMSI来计算鉴权值，才能完成权限认证过程，因此，当前基站需要获取目标终端的IMSI，才能进入AKA算法流程。当前基站获取目标终端的IMSI的方式可以为：当前基站通过移动性管理实体MME检索以得到目标终端的国际移动用户识别码，其中，所述MME根据所述射频指纹数据进行检索。

可以理解的是，管理当前基站的MME(Mobility Management Entity，移动性管理实体)为当前MME，管理源基站的MME为源MME。

在一种具体的实施方式中，对于成功接入过基站的终端，管理该基站的MME可以获得该终端的IMSI以及该终端的射频指纹数据，并且设计者可以预先设计MME对终端的IMSI以及射频指纹数据缓存时间。具体的MME获得终端的IMSI以及该终端的射频指纹数据的方法为现有技术，本发明实施例在此不再赘述。

例如，MME获得终端的IMSI以及该终端的射频指纹数据的方法可以为：在终端成功接入基站后，该终端主动向管理该基站的MME发送其IMSI以及该终端的射频指纹数据。

本发明实施例对具体的MME存储终端的IMSI以及射频指纹数据的缓存时间不做限定。例如，设计者可以设计该缓存时间与基站和终端对物理信息的缓存时间一致，即，如果终端与基站对缓存物理信息的时间为24小时，则MME存储终端的IMSI以及射频指纹数据缓存时间为24小时。

由于本发明实施例针对的是目标终端与源基站断开连接后，请求接入当前基站的情景，目标终端在断开网络连接之前，成功接入的是源基站，因此，源MME中缓存了与目标终端的射频指纹数据对应的IMSI，在未超过缓存时间时，源MME能够根据请求中携带的射频指纹数据，检索得到与该射频指纹数据对应的IMSI。

当前基站通过移动性管理实体MME检索以得到目标终端的国际移动用户识别码的过程可以为：源基站在接收到当前基站发送的射频指纹数据后，在根据射频指纹数据查找物理信息的同时，向源MME发送用于获得目标终端的IMSI的请求，源MME根据该请求中包含射频指纹数据进行检索，以得到目标终端的IMSI，然后将该得到的IMSI发送给源基站，进而，源基站将该IMSI发送给当前基站。

当前基站通过移动性管理实体MME检索以得到目标终端的国际移动用户识别码的过程还可以为：当前基站向当前MME发送用于获得目标终端的IMSI的请求，当前MME根据该请求中包含射频指纹数据进行检索，以得到目标终端的IMSI，然后将该得到的IMSI发送给当前基站。

其中，当前MME根据该请求中包含射频指纹数据进行检索分为两种情况：

情况一：如果当前基站与源基站未跨MME，即当前MME与源MME为同一个MME，则可以直接通过该MME，检索得到与该射频指纹数据对应的IMSI；

情况二：如果当前基站与源基站跨MME，可以由当前基站向当前MME发送用于获得目标终端的IMSI的请求，由于IMSI缓存于源MME中，因此，当前MME需要向源MME发送请求以获得IMSI，由源MME将检索得到的目标终端的IMSI发送给当前MME，进而，由当前MME将该IMSI发送给当前基站。

例如，源MME为A，当前MME为B，则当前基站向B发送用于获得目标终端的IMSI的请求，进而，B向A发送用于获得目标终端的IMSI的请求，由A将检索得到的目标终端的IMSI发送给B，最后，由B将该IMSI发送给当前基站。

进一步的，为了便于在接收到后续的要求获得目标终端的IMSI的请求后，MME能够根据请求中所包含的目标终端的射频指纹数据，直接检索出与该射频指纹数据对应的国际移动用户识别码，以提高MME检索IMSI的速度，在本发明实施例中，所述方法还可以包括：确定所述目标用户成功接入所述当前基站后，将所述目标终端的国际移动用户识别码与所述射频指纹数据之间的对应关系缓存至MME。因而，在下次MME接收到要求获得目标终端的IMSI的请求后，MME能够直接根据缓存的该对应关系检索IMSI，提高了MME检索IMSI的速度。

本发明实施例对当前MME缓存目标终端的国际移动用户识别码与射频指纹数据之间的对应关系的缓存时长不做限定，例如，缓存时长为20小时。

进一步的，为了避免在目标用户成功接入当前基站后，由于意外状况导致目标用户与当前基站断开网络连接，而使得目标用户需要再次接入网络时，下个当前基站无法获得目标用户接入当前基站采用的第二物理信息的情况发生，在本发明实施例中，所述方法还可以包括：

在确定目标用户成功接入当前基站后，将目标用户接入当前基站采用的第二物理信息在本地缓存预设时长。

需要说明的是，第二物理信息为：在确定目标用户成功接入当前基站后，目标终端与当前基站通信时，所产生的通信信号中携带的物理信息。将第二物理信息在本地缓存预设时长，可以理解的是，选择将第二物理信息在本地缓存预设时长，而不是永久性缓存，是为了合理的时长后解除第二物理信息对当前基站的内存占用，提高本地缓存的内存利用率。本发明实施例预设时长的时间长度不做限定。例如，预设时长为24小时。

在一种具体的实施方式中，在判定不允许所述目标用户接入所述当前基站的情况下，所述方法还可以包括：从所述目标终端获得所述目标终端的国际移动用户识别码；根据所述国际移动用户识别码，判断是否允许所述目标用户接入所述当前基站。

需要说明的是，当源基站未检索到物理信息，或者，源基站检索到物理信息，但是目标终端获得的第一物理信息与存储于目标终端的第一物理信息不匹配时，则判定不允许目标用户接入当前基站。

从目标终端获得目标终端的国际移动用户识别码的方式可以为：

方式一，在判定不允许目标用户接入当前基站后，由当前基站直接向目标终端发送用于获得目标终端的国际移动用户识别码的请求，而后，目标终端发送该国际移动用户识别码给当前基站；或者，

方式二，在判定不允许目标用户接入当前基站后，由当前基站直接向目标终端发送判定结果，而后，目标终端主动发送该国际移动用户识别码给当前基站。

本发明实施例对具体的从目标终端获得目标终端的国际移动用户识别码的方式不做限定。例如，设计者可以设计采用方式一，使当前基站从目标终端获得目标终端的国际移动用户识别码。

根据国际移动用户识别码，判断是否允许所述目标用户接入所述当前基站，可以为：利用AKA算法，根据国际移动用户识别码，判断是否允许目标用户接入当前基站。具体的利用AKA算法根据国际移动用户识别码，判断是否允许目标用户接入当前基站的方法为现有技术，本发明实施例在此不再赘述。

可见，应用本发明实施例，目标用户不再以IMSI回应身份验证要求，而是发送源基站信息，使得当前基站能够结合目标终端的射频指纹数据，通过向源基站求证用户身份合法性，来实现对用户的接入认证，从而避免了传送IMSI带来的安全问题，提高了用户接入认证的安全性。

下面通过一个具体实例来对本发明实施例进行简单介绍。

参见图2所示的本发明实施例的应用场景图，终端UE通过小区搜索算法，从基站A和基站B中选择出基站A作为当前基站，进而，向基站A发送信号，用于请求接入该基站，从而，基站A开始对终端UE进行用户接入认证。

用户接入认证过程的信令流程图如图3所示，UE向当前基站发送接入请求，当前基站(当前eNodeB)向UE发送回应数据，要求该UE提供IMSI，UE接收到该数据回应后，向当前基站发送源基站(源eNodeB)信息，当前eNodeB从获得的源eNodeB信息中提取射频指纹数据RFFingerprint，并根据源eNodeB信息中的ID-message找到源eNodeB，而后，向源eNodeB发送数据请求，要求获得源eNodeB与UE连接时通信信号的物理信息PHY-message，源eNodeB在接收到该数据请求后，通过提取数据请求中携带的RF Fingerprint，来查找PHY-message，若未查找到PHY-message，则向当前eNodeB发送非法用户提示信息，表明该用户为非法用户，并且断开与该UE的通信连接；若查找到PHY-message，表明该用户为合法用户，则向当前eNodeB发送该PHY-message，从而，当前eNodeB在接收到该PHY-message后，进一步，将该PHY-message发送给UE，使得UE可以进行数据匹配，若UE接收到的PHY-message与自身存储的源eNodeB与UE连接时通信信号的物理信息一致，则匹配成功，表明该UE可以接入当前eNodeB，进而，建立接入当前eNodeB的网络连接；若UE接收到的PHY-message与自身存储的源eNodeB与UE连接时通信信号的物理信息不一致，则匹配不成功，表明该UE不能接入当前eNodeB，至此，完成对UE的接入认证。

进一步的，为了将本发明实施例提供的用户接入算法与实际应用中的用户鉴权算法结合使用，以加大用户接入基站的安全性，可以增加如下步骤：由于为了进入后续的AKA鉴权算法流程，需要获得UE的IMSI，因此，在源eNodeB接收到当前eNodeB发送的数据请求后，源eNodeB在查找PHY-message的同时，向管理源eNodeB的MME发送数据请求，要求获得UE的IMSI，MME根据数据请求中包含的UE的射频指纹数据进行搜索，若未搜索到该射频指纹数据对应的IMSI，则将非法用户提示信息发送给当前eNodeB；若搜索到该射频指纹数据对应的IMSI，则将该IMSI发送给源eNodeB，进而，当前eNodeB可以从源eNodeB中获得IMSI，为进入后续的AKA鉴权算法流程做准备。

对应于图3所示的信令流程图，本发明实施例的信令搭载表如表1所示，原有信元是指现有的通信协议中明确规定的信元，在实际应用中，可以直接将信令搭载于原有信元上进行传输。

在本发明实施例中，UE向当前eNodeB发送ID-message时，是将“ID-message”信令搭载于原有信元“eNB-Id”上进行传输，其中，“ID-message”信令的数据长度为20bit，类似的，将“接入请求”信令搭载于原有信元“Context Request”上进行传输，其中，“接入请求”信令的数据长度不做限定；将“数据回应(合法用户物理信息)”信令搭载于原有信元“ECGISTRING”上进行传输，其中，“数据回应(合法用户物理信息)”信令的数据长度为20bit，其他的原有信元搭载信令的描述与上述类似，在此不再赘述。

对于没有原有信元可以搭载的信令，如：“数据请求(RF fingerprint)”信令和“发送PHY-message”信令，设计者可以按照各自的特点构建对应的信元，从而使得信令能够得以传输。本发明实施例对设计者构建的信元的数据类型不作限定。

设计者在构建“数据请求(RF fingerprint)”信令的信元时，可以考虑复用“Target eNB To Source eNB Transparent Container”信元，从而，构建出数据类型为字符串(OCTET STRING)的“Request”信元。进而，当前eNodeB向源eNodeB发送携带RFfingerprint的数据请求时，是将“数据请求(RF fingerprint)”信令搭载于该信元上传输，其中，“数据请求(RF fingerprint)”信令的数据长度由选定的射频指纹特征决定，例如，当选定的射频指纹特征为信号的频谱特征时，则数据长度由频谱特征的字符串长度决定，可使用的数据长度为20bit。

设计者在构建“发送PHY-message”信令的信元时，可以考虑复用在RRC(RadioResource Control，无线资源控制)过程中的“SIB(System Information Block，系统信息块)”信元，从而，当前eNodeB向UE发送PHY-message时，是在MAC(Media Access Control，介质访问控制)层传输的，并且“发送PHY-message”信令承载于PDCCH(Physical DownlinkControl Channel，物理下行控制信道)上，其中，“发送PHY-message”信令的数据长度由选定的物理信息类型决定，例如，选定的物理信息类型为信道质量CQI，则数据长度由信道质量的数据长度决定，可使用的数据长度为2bit。

表1

与上述的方法实施例相对应，本发明实施例还提供一种用户接入认证装置，应用于当前基站。

参见图4，图4为本发明实施例所提供的一种用户接入认证装置的结构示意图，包括：

第一获得模块401，用于获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，所述源基站信息中携带所述目标终端的射频指纹数据和所述源基站的位置信息；

发送模块402，用于根据所述位置信息，将所述射频指纹数据发送到所述源基站，以使得所述源基站根据所述射频指纹数据检索是否存在所述目标用户接入所述源基站所采用的物理信息；

接收模块403，接收所述源基站反馈的检索结果；

第一确定模块404，用于根据所述检索结果，确定是否允许所述目标用户接入所述当前基站，完成针对所述目标用户的接入认证。

可选的，所述第一获得模块401，包括：

第一获得子模块，用于获得所述目标用户利用所述目标终端发送的接入请求；

发送子模块，用于向所述目标终端发送用于获得所述目标终端的国际移动用户识别码的请求；

接收子模块，用于接收所述目标终端发送的源基站信息。

可选的，所述第一确定模块404，具体用于：

在所述检索结果显示存在所述目标用户接入所述源基站所采用的物理信息的情况下，根据所述检索结果，获得所述目标用户接入所述源基站采用的第一物理信息；

将所述第一物理信息发送至所述目标终端，以使得所述目标终端验证所述第一物理信息是否与其自身信息相匹配；

接收所述目标终端反馈的验证结果；

根据所述验证结果，确定是否允许所述目标用户接入所述当前基站。

可选的，在确定不允许所述目标用户接入所述当前基站的情况下，所述装置还包括：

第二获得模块，用于从所述目标终端获得所述目标终端的国际移动用户识别码；

第二确定模块，用于根据所述国际移动用户识别码，确定是否允许所述目标用户接入所述当前基站。

可选的，所述装置还包括：

第一缓存模块，用于在确定所述目标用户成功接入所述当前基站后，将所述目标用户接入所述当前基站采用的第二物理信息在本地缓存预设时长。

可选的，所述当前基站通过移动性管理实体MME检索以得到目标终端的国际移动用户识别码，其中，所述MME根据所述射频指纹数据进行检索；所述装置还包括：

第二缓存模块，用于在确定所述目标用户成功接入所述当前基站后，将所述目标终端的国际移动用户识别码与所述射频指纹数据之间的对应关系缓存至所述MME。

可见，应用本发明实施例提供的技术方案，目标用户不再以IMSI回应身份验证要求，而是发送源基站信息，使得当前基站能够结合目标终端的射频指纹数据，通过向源基站求证用户身份合法性，来实现对用户的接入认证，从而避免了传送IMSI带来的安全问题，提高了用户接入认证的安全性。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如：ROM/RAM、磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (8)

1.一种用户接入认证方法，其特征在于，应用于当前基站，所述方法包括：

获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，所述源基站信息中携带所述目标终端的射频指纹数据和所述源基站的位置信息；

根据所述位置信息，将所述射频指纹数据发送到所述源基站，以使得所述源基站根据所述射频指纹数据检索是否存在所述目标用户接入所述源基站所采用的物理信息；

接收所述源基站反馈的检索结果；

根据所述检索结果，确定是否允许所述目标用户接入所述当前基站，完成针对所述目标用户的接入认证；

所述根据所述检索结果，确定是否允许所述目标用户接入所述当前基站的步骤，包括：

在所述检索结果显示存在所述目标用户接入所述源基站所采用的物理信息的情况下，根据所述检索结果，获得所述目标用户接入所述源基站采用的第一物理信息；

将所述第一物理信息发送至所述目标终端，以使得所述目标终端验证所述第一物理信息是否与其自身信息相匹配；

接收所述目标终端反馈的验证结果；

根据所述验证结果，确定是否允许所述目标用户接入所述当前基站。

2.根据权利要求1所述的方法，其特征在于，所述获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息的步骤，包括：

获得所述目标用户利用所述目标终端发送的接入请求；

向所述目标终端发送用于获得所述目标终端的国际移动用户识别码的请求；

接收所述目标终端发送的源基站信息。

3.根据权利要求1所述的方法，其特征在于，在确定不允许所述目标用户接入所述当前基站的情况下，所述方法还包括：

从所述目标终端获得所述目标终端的国际移动用户识别码；

根据所述国际移动用户识别码，确定是否允许所述目标用户接入所述当前基站。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

在确定所述目标用户成功接入所述当前基站后，将所述目标用户接入所述当前基站采用的第二物理信息在本地缓存预设时长。

5.根据权利要求4所述的方法，其特征在于，

所述当前基站通过移动性管理实体MME检索，得到目标终端的国际移动用户识别码，其中，所述MME根据所述射频指纹数据进行检索；

所述方法还包括：

确定所述目标用户成功接入所述当前基站后，将所述目标终端的国际移动用户识别码与所述射频指纹数据之间的对应关系缓存至所述MME。

6.一种用户接入认证装置，其特征在于，应用于当前基站，所述装置包括：

第一获得模块，用于获得目标用户在需要进行接入认证时利用目标终端发送的源基站信息，其中，所述源基站信息中携带所述目标终端的射频指纹数据和所述源基站的位置信息；

发送模块，用于根据所述位置信息，将所述射频指纹数据发送到所述源基站，以使得所述源基站根据所述射频指纹数据检索是否存在所述目标用户接入所述源基站所采用的物理信息；

接收模块，接收所述源基站反馈的检索结果；

第一确定模块，用于根据所述检索结果，确定是否允许所述目标用户接入所述当前基站，完成针对所述目标用户的接入认证；

所述第一确定模块，具体用于：

在所述检索结果显示存在所述目标用户接入所述源基站所采用的物理信息的情况下，根据所述检索结果，获得所述目标用户接入所述源基站采用的第一物理信息；

将所述第一物理信息发送至所述目标终端，以使得所述目标终端验证所述第一物理信息是否与其自身信息相匹配；

接收所述目标终端反馈的验证结果；

根据所述验证结果，确定是否允许所述目标用户接入所述当前基站。

7.根据权利要求6所述的装置，其特征在于，所述第一获得模块，包括：

第一获得子模块，用于获得所述目标用户利用所述目标终端发送的接入请求；

发送子模块，用于向所述目标终端发送用于获得所述目标终端的国际移动用户识别码的请求；

接收子模块，用于接收所述目标终端发送的源基站信息。

8.根据权利要求6所述的装置，其特征在于，在确定不允许所述目标用户接入所述当前基站的情况下，所述装置还包括：

第二获得模块，用于从所述目标终端获得所述目标终端的国际移动用户识别码；

第二确定模块，用于根据所述国际移动用户识别码，确定是否允许所述目标用户接入所述当前基站。