本发明涉及通信领域,尤其涉及一种故障弱化模式下接入网络的方法、装置。
背景技术:
故障弱化模式是lte集群网络一个重要特性,它能在系统的物理链路或者网络控制设备故障造成lte集群网络瘫痪时,依然能够为lte集群用户提供基本的通信业务,从而降低网络物理链路或者设备故障对通信的影响程度,最大限度的保证专业集群用户的调度指挥工作。
但是,现有技术中,通常采用epc(英文全称:evolvedpacketcore,中文全称:演进数据核心网)简化下沉的方案,对本地用户进行鉴权。但是,采用这样的方法,由于简化下沉的epc设置于基站中,通过简化下沉的epc对本地用户进行鉴权后,基站会保存用户的相关信息,若基站中某些硬件若遗失,则可能造成用户信息的泄露。
技术实现要素:
有鉴于此,本发明实施例公开了一种故障弱化模式下接入网络的方法,在基站处于故障弱化模式下,采用用户的备用安全信息对用户进行鉴权,而不采用用户真实的信息对用户进行鉴权,并且基站中只保存了用户的备用安全信息,未保存用户真实的安全信息,从而,避免了用户信息的泄露。
本发明实施例公开了一种故障弱化模式下接入网络的方法,所述方法包括:
当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;
根据所述备用安全信息对所述ue进行鉴权;
鉴权成功后,向所述ue发送国际移动用户识别码imsi码的查询请求;
当接收到所述ue反馈的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
可选的,
所述备用安全信息是所述ue开户时生成的,并通过演进数据核心网epc推送给所述epc范围内的所有基站;其中,所述备用安全信息不同于开户时生成的用于非故障弱化模式的主用安全信息;
所述备用用户标识为用户开户时生成的,并保存在所述ue中;其中,所述备用用户标识不同于用于非故障弱化模式下的主用用户标识。
可选的,所述备用安全信息是在原始密钥的基础上,依据预设的算法派生出的在故障弱化模式下使用的密钥。
可选的,还包括:
在非故障弱化模式下,接收epc推送的已更新的所述备用安全信息。
可选的,还包括:
当在非故障弱化模式下接收到ue发送的携带有主用用户标识的接入请求时,根据所述非备用用户标识获取所述ue的主用安全信息;
根据所述主用安全信息对所述ue进行鉴权;
鉴权成功后,向所述ue发送imsi码的查询信息;
当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
本发明实施例还公开了一种故障弱化模式下接入网络的装置,所述装置包括:
第一获取单元,用于当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;
第一鉴权单元,用于根据所述备用安全信息对所述ue进行鉴权;
第一查询单元,用于鉴权成功后,向所述ue发送国际移动用户识别码imsi码的查询请求;
第一网络接入单元,用于当接收到所述ue反馈的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
可选的,
所述备用安全信息是所述ue开户时生成的,并通过演进数据核心网epc推送给所述epc范围内的所有基站;其中,所述备用安全信息不同于开户时生成的用于非故障弱化模式的主用安全信息;
所述备用用户标识为用户开户时生成的,并保存在所述ue中;其中,所述备用用户标识不同于用于非故障弱化模式下的主用用户标识。
可选的,所述备用安全信息是在原始密钥的基础上,依据预设的算法派生出的在故障弱化模式下使用的密钥。
可选的,还包括:
更新单元,用于在非故障弱化模式下,接收epc推送的已更新的所述备用安全信息。
可选的,还包括:
第二获取单元,用于当在非故障弱化模式下接收到ue发送的携带有主用用户标识的接入请求时,根据所述非备用用户标识获取所述ue的主用安全信息;
第二鉴权单元,用于根据所述主用安全信息对所述ue进行鉴权;
第二查询单元,用于鉴权成功后,向所述ue发送imsi码的查询信息;
第二网络接入单元,用于当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
本发明实施例还提供了一种基站,所述基站包括:收发器,用于收发消息;存储器,用于存储程序;处理器,用于运行所述程序,当所述处理器运行所述程序时实现本发明各个实施例公开的方法。
本实施例中,在ue开户时,生成了两套用户的安全信息,分别为备用安全信息和主用安全信息;当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;根据所述备用安全信息对所述ue进行鉴权;鉴权成功后,向所述ue发送imsi码的查询请求;当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。因此,在故障弱化模式下,不使用用户真实的信息进行鉴权,而是使用备用用户标识和备用安全信息对ue进行鉴权,并且,基站上只保存有故障弱化模式下ue的安全信息,不存在用户的真实信息,这样,避免了用户真实的信息遭到泄露。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明提供的一种故障弱化模式下接入网络的方法实施例1的流程示意图;
图2示出了本发明实施例提供的故障弱化模式下密钥的派生方法;
图3示出了本发明公开的一种非故障弱化模式下接入网络的方法实施例2的流程示意图;
图4示出了本发明提供的一种故障弱化模式下接入网络的方法实施例3的流程示意图;
图5示出了本发明实施例提供的一种故障弱化模式下接入网络的装置的结构示意图;
图6示出了发明实施例提供的一种基站的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,示出了本发明提供的一种故障弱化模式下接入网络的方法实施例1的流程示意图,在本实施例中,所述方法可以包括:
s101:当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;
本实施例中,对于备用安全信息和备用用户标识可以理解为:
所述备用安全信息是所述ue开户时生成的,并通过演进数据核心网epc推送给所述epc范围内的所有基站;其中,所述备用安全信息不同于开户时生成的用于非故障弱化模式的主用安全信息;
所述备用用户标识为用户开户时生成的,并保存在所述ue中;其中,所述备用用户标识不同于用于非故障弱化模式下的主用用户标识。
本实施例中,在ue(英文全称:userequipment,中文全称:用户设备)为了保证用户信息的安全,ue中保存有两种不同的用户标识,一种是用户故障弱化模式下的备用用户标识,另外一种是用于非故障弱化模式下的主用用户标识;其中,备用用户标识可以是在开户时生成的,而对于主用用户标识可以是imsi(英文全称:internationalmobilesubscriberidentificationnumber,中文全称:国际移动用户识别码)或者是guti(英文全称:globallyuniquetemporaryueidentity,中文全称:全球唯一临时ue标识)。
本实施例中,在ue开户时,生成了两套用户的安全信息,其中一套是在主用安全信息,也可以理解为用户真实的安全信息,另外一套可以为备用安全信息。ue开户后,在ue和epc中均保存了开户时产生的这两套安全信息,并且epc将备用安全信息推送给epc中所有的基站,也就是说,在基站中保存有对应的epc中包含的所有的ue的备用安全信息。
本实施例中,在基站处于非故障弱化模式下,采用主用安全信息接入网络,当基站处于故障弱化模式下,采用备用安全信息接入网络。
s102:根据所述备用安全信息对所述ue进行鉴权;
ue可以接收基站的状态信息,当ue根据状态信息判断出该基站处于故障弱化模式时,ue向基站发送携带有备用用户标识的网络接入请求时,根据该用户标识从基站中获取ue的备用安全信息;基站可以根据该安全信息对该ue进行鉴权。
s103:鉴权成功后,向所述ue发送国际移动用户识别码imsi码的查询请求;
s104:当接收到所述ue反馈的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
当在故障弱化模式下对ue鉴权成功后,基站可以向ue发送imsi的查询信息,ue将真实的imsi发送给基站,基站根据该imsi将ue接入网络,并进行相应的业务操作。
本实施例中,在故障弱化模式下,对于s101-s104的操作,可以是基站执行的,其中,基站中可以设置有简化的epc,因此,可以理解为,对于s101-s104的操作可以是基站与简化的epu同时执行的,具体的可以包括:
当基站在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,将该携带有备用用户标识的网络接入请求发送给简化的epc,通过所述epc获取所述备用用户标识对应的备用安全信息;
所述简化的epc根据所述备用安全信息通过所述基站对所述ue发送imsi的查询信息;
当基站接收到所述ue发送的imsi后,将该imsi发送给所述简化的epc,所述简化的epc根据所述imsi将所述ue接入网络以进行相应的业务操作。
本实施例中,对于备用安全信息和主用安全信息,均可以包括:密钥。其中,备用安全信息可以包括:
在原始根密钥的基础上,依据预设的算法派生出的故障弱化模式下的密钥。
本实施例中,可以通过hmac算法、sha_256算法等算法,根据原始根密钥派生出,只在故障弱化模式下使用的密钥。
如图2所示,其中k为原始根密钥,ck’和ik’可以是派生出的故障弱化模式下的密钥。而对于ck和ik可以派生出的非故障弱化模式下密钥。
需要说明的是,对于由k派生出的ck和ik的过程,以及由k派生ck’和ik’的过程,可以采用不同的算法派生,或者即使这两个过程使用相同的算法、算法在派生过程中用到的参数是不同的。
本实施例中,核心网可以根据需求对更新核心网中保存的ue的备用安全信息,例如可以进行增添、删除或者变更,当备用安全信息更新后,核心网可以将更新后的所有ue的备用安全信息推送给基站,故基站可以:
在非故障弱化模式下,接收epc推送的已更新的所述备用安全信息。
需要说明的是,这里所提到的对核心网中保存的ue的备用安全信息的更新,不是对已保存的ue的备用安全信息进行改动,而是增加新开户的ue的备用安全信息或者对于注销的用户,删除该注销用户的备用安全信息。
本实施例中,在ue开户时,生成了两套用户的安全信息,分别为备用安全信息和主用安全信息;当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;根据所述备用安全信息对所述ue进行鉴权;鉴权成功后,向所述ue发送imsi码的查询请求;当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。因此,在故障弱化模式下,不使用用户真实的信息进行鉴权,而是使用备用用户标识和备用安全信息对ue进行鉴权,并且,基站上只保存有故障弱化模式下ue的安全信息,不存在用户的真实信息,这样,避免了用户真实的信息遭到泄露。
本实施例中,若ue是在非故障弱化模式下向基站发起网络接入请求时,如图3所示,示出了本发明公开的一种非故障弱化模式下接入网络的方法实施例2的流程示意图,还包括:
s301:当在非故障弱化模式下接收到ue发送的携带有主用用户标识的接入请求时,根据所述非备用用户标识获取所述ue的主用安全信息;
本实施例中,当在非故障弱化模式下,ue首次接入网络时,通过用户的用户标识的imsi码接入网络,接入网络后,epu会给该ue分配一个临时的用户标识guti,将guti和imsi匹配后,当在非故障弱化模式下,ue再次接入网络时,携带主用用户标识guti接入网络。
s302:根据所述备用安全信息对所述ue进行鉴权;
s303:鉴权成功后,向所述ue发送imsi码的查询信息;
s304:当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
本实施例中,对于s201-s204的操作可以是基站和epc执行的,具体的,当基站在非故障弱化模式下接收到用户设备ue发送的携带有主用用户标识的网络接入请求时,将该携带有主用用户标识的网络接入请求发送给对应的epc,所述epc获取所述ue的主用安全信息;
所述epc根据所述主用安全信息对ue进行鉴权;
所述epc通过所述基站对所述ue发送imsi码的查询信息;
当基站接收到所述ue发送的imsi码后,将该imsi码发送给所述epc,所述简化的epc根据所述imsi将所述ue接入网络以进行相应的业务操作。
参考图4,示出了本发明提供的一种故障弱化模式下接入网络的方法实施例3的流程示意图,在本实施例中,所述方法可以包括:
s401:开户时,在ue和epc中保存用户的主用安全信息和备用安全信息;
s402:epc将用户的备用安全信息推送给epc范围内所有的基站;
s403:ue接收基站的广播信息,并根据所述广播信息判断所述基站的状态;
s404:当基站处于故障弱化模式时,ue向基站发送携带有备用用户标识的网络接入请求;
s405:当基站接收到所述备用用户标识的网络接入请求时,获取所述备用用户标识对应的用户的备用安全信息;
s406:所述基站根据所述备用安全信息对所述ue进行鉴权;
s407:鉴权成功后,所述基站向所述ue发送imsi码的查询信息;
s408:所述ue向所述基站发送imsi码;
s409:当基站接收到所述ue的imsi码,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
s410:当在非故障弱化模式下,ue向基站发送携带有主用用户标识的网络接入请求;
s411:当基站接收到所述主用用户标识的网络接入请求时,基站将所述主用用户标识的网络接入请求发送到所述epc;
s412:所述epc获取该主用用户标识对应的用户的主用安全信息,根据所述主用安全信息对所述ue进行鉴权;
s413:鉴权成功后,所述epc通过所述基站向所述ue发送imsi码的查询信息;
s414:所述ue向所述基站发送imsi码;
s415:所述基站将所述imsi码发送给所述epc;
s416:当所述epc接收到所述ue的imsi后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
本实施例中,在ue开户时,在ue和epc中分别保存了两套用户的安全信息,分别为备用安全信息和主用安全信息;当在故障弱化模式下基站接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;基站根据所述备用安全信息对所述ue进行鉴权;当基站在非故障弱化模式下接收到ue发送的携带有主用用户标识的接入请求时,将该所述主用用户标识发送给相应的epc,所述epc获取所述主用用户标识对应的主用安全信息,并根据所述主用安全信息进行鉴权。因此,在故障弱化模式下,不使用用户的真实信息,而使用备用安全信息对ue进行鉴权,并且,基站上只保存有用户的备用安全信息,不会保存用户真实的信息,这样,避免了用户真实的信息遭到泄露。
参考图5,示出了本发明实施例提供的一种故障弱化模式下接入网络的装置的结构示意图,在本实施例中,所述装置可以包括:
第一获取单元501,用于当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;
第一鉴权单元502,用于根据所述备用安全信息对所述ue进行鉴权;
第一查询单元503,用于鉴权成功后,向所述ue发送国际移动用户识别码imsi码的查询请求;
第一网络接入单元504,用于当接收到所述ue反馈的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
可选的,
所述备用安全信息是所述ue开户时生成的,并通过演进数据核心网epc推送给所述epc范围内的所有基站;其中,所述备用安全信息不同于开户时生成的用于非故障弱化模式的主用安全信息;
所述备用用户标识为用户开户时生成的,并保存在所述ue中;其中,所述备用用户标识不同于用于非故障弱化模式下的主用用户标识。
可选的,所述备用安全信息是在原始密钥的基础上,依据预设的算法派生出的在故障弱化模式下使用的密钥。可选的,还包括:
更新单元,用于在非故障弱化模式下,接收epc推送的已更新的所述备用安全信息。
可选的,还包括:
第二获取单元,用于当在非故障弱化模式下接收到ue发送的携带有主用用户标识的接入请求时,根据所述非备用用户标识获取所述ue的主用安全信息;
第二鉴权单元,用于根据所述主用安全信息对所述ue进行鉴权;
第二查询单元,用于鉴权成功后,向所述ue发送imsi码的查询信息;
第二网络接入单元,用于当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
通过本实施例的装置,在ue开户时,生成了两套用户的安全信息,分别为备用安全信息和主用安全信息;当在故障弱化模式下采用备用安全信息对用户进行鉴权,当在非故障弱化模式下,采用主用安全信息对用户进行鉴权,因此,在故障弱化模式下,不使用用户真实的信息进行鉴权,而是使用备用用户标识和备用安全信息对ue进行鉴权,并且,基站上只保存有故障弱化模式下ue的安全信息,不存在用户的真实信息,这样,避免了用户真实的信息遭到泄露。
参考图6,示出了本发明实施例提供的一种基站的结构示意图,在本实施例中,该基站包括:
收发器601,用于收发消息;
存储器602,用于存储程序;
处理器603,用于运行所述程序,当所述处理器运行所述程序时执行以下操作:
当在故障弱化模式下接收到用户设备ue发送的携带有备用用户标识的网络接入请求时,根据所述备用用户标识获取所述ue的备用安全信息;
根据所述备用安全信息对所述ue进行鉴权;
鉴权成功后,向所述ue发送国际移动用户识别码imsi码的查询请求;
当接收到所述ue反馈的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
可选的,
所述备用安全信息是所述ue开户时生成的,并通过演进数据核心网epc推送给所述epc范围内的所有基站;其中,所述备用安全信息不同于开户时生成的用于非故障弱化模式的主用安全信息;
所述备用用户标识为用户开户时生成的,并保存在所述ue中;其中,所述备用用户标识不同于用于非故障弱化模式下的主用用户标识。
可选的,所述备用安全信息是在原始密钥的基础上,依据预设的算法派生出的在故障弱化模式下使用的密钥。
可选的,还包括:
在非故障弱化模式下,接收epc推送的已更新的所述备用安全信息。
可选的,还包括:
当在非故障弱化模式下接收到ue发送的携带有主用用户标识的接入请求时,根据所述非备用用户标识获取所述ue的主用安全信息;
根据所述主用安全信息对所述ue进行鉴权;
鉴权成功后,向所述ue发送imsi码的查询信息;
当接收到所述ue的imsi码后,根据所述imsi码将所述ue接入网络以进行相应的业务操作。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。