用上述用户信息存储方 法存储的用户信息,以对用户设备进行认证。该方法可以通过无线接入设备来执行。如图 3所示,该用户设备认证方法,包括如下步骤:
[0069] 步骤S202,接收对用户设备进行认证的认证请求。
[0070] 步骤S204,基于认证请求从存储有用户设备对应的用户信息的至少2个无线接入 设备上获取用户设备对应的用户信息,其中,用户信息被转化成多个信息片段,分别存储到 所述至少2个无线接入设备。
[0071] 步骤S206,利用获取到的用户信息对用户设备进行认证。
[0072] 用户设备(UE),可以是移动电话机(或手机),或者其它能够发送或接收无线信号 的设备,包括用户设备(终端)、个人数字助理(PDA)、无线调制调解器、无线通信装置、手持 装置、膝上型计算机、无绳电话、无线本地回路(WLL)站、能够将移动信号转换为wifi信号 的CPE或Mifi、智能家电、或其它不通过人的操作就能自发与移动通信网络通信的设备等, 这里不做限定。
[0073] 本实施例中,存储有用户设备对应的用户信息的至少2个无线接入设备可以是本 发明实施例的用户信息存储方法中用于存储多个信息片段的至少2个无线接入设备。在接 收用户设备发送的认证请求之后,从上述至少2个无线接入设备中获取用户信息,用以对 用户设备进行认证。
[0074] 根据本发明实施例中,通过接收对用户设备进行认证的认证请求,基于认证请求 从存储有用户设备对应的用户信息的至少2个无线接入设备上获取用户设备对应的用户 信息,利用获取到的用户信息对用户设备进行认证,无需从专门的实体设备HSS上获取用 户信息,而是直接从无线及接入设备上获取,不需要额外的机房来放置HSS,达到了简化移 动通信网路结构的效果。
[0075] 下面结合图4和图5来对比现有技术和本发明实施例的对用户设备进行认证的过 程。图4为现有技术中的认证过程,如图4所示,用户设备认证过程包括:
[0076] (l)MME向HSS发起认证请求。
[0077] (2)HSS产生认证向量。
[0078] (3)HSS响应认证请求,将认证向量发送给MME。
[0079] (4)MME存储认证向量,按序选择认证向量。
[0080] (5)MME向用户设备发送用户认证请求(包括RAND和AUTN等)。
[0081] (6)用户设备验证AUTN,计算RES。
[0082] (7)用户设备发送用户认证数据响应RES。
[0083] (8)MME比较RES和XRES。
[0084] 图5为本发明实施例的认证过程,如图5所示,用户设备认证过程与图4基本相 同,这里不做赘述,其区别在于,HSS从一个实体变成了一个虚拟模块(分布式HSS模块,分 布在无线接入设备上),MME向其发起认证请求是通过一个认证请求的指令或消息来触发 该模块产生所需的认证向量(类似一个程序,向其输入认证请求,则返回认证向量)。其中, MME可以类似现有技术是一个独立的MME实体,也可以是板载MME,也即是MME也可以集成 在无线接入设备上,从而也不需额外的MME实体,真正实现基站接通电源和网络之后即可 提供可商业运作的移动通信服务。
[0085] 优选地,接收对用户设备进行认证的认证请求包括:第二无线接入设备接收第一 无线接入设备发送的认证请求,其中,第一无线接入设备为用户设备接入的无线接入设备, 第二无线接入设备和第一无线接入设备为不同的无线接入设备。
[0086] 在本实施例中,接收认证请求的无线接入设备与用户设备接入的无线接入设备可 以不同,即第二无线接入设备和第一无线接入设备为不同的设备。需要说明的是,这里的接 收认证请求的无线接入设备即第二无线接入设备可以是指用于处理认证请求的无线接入 设备,其中,第一无线接入设备可以直接向第二无线接入设备发送认证请求,也可以先将认 证请求发送至第三无线接入设备,由第三无线接入设备将认证请求转发给第二无线接入设 备,这里不做限定。
[0087] 以基站为例,接收认证请求的基站可以不同于UE接入的基站。例如UE接入基站 1,基站1将认证请求发给基站2之后,基站2再将该认证请求发送给分布式HSS模块,这样 能分担基站1的处理压力,让闲置的基站2来处理分布式HSS相关进程,从负载平衡的角度 来保证网络整体的快速处理。
[0088] 优选地,在第二无线接入设备接收第一无线接入设备发送的认证请求之后,方法 还包括:第三无线接入设备向第一无线接入设备发送认证向量,第二无线接入设备与第三 无线接入设备为不同的无线接入设备,该认证向量为利用获取到的用户信息生成的用于对 用户设备进行认证的信息。
[0089] 第二无线接入设备为接收用户设备的认证请求的无线接入设备,第三无线接入设 备为向用户设备发送认证向量的无线接入设备,二者可以是不同的设备,这样保证认证过 程中的安全性。
[0090] 以基站为例,UE通过无线的方式接入了基站1,基站1向基站2发送认证请求,以 基站2为接口将认证请求发送给分布式HSS模块,最终获取的认证向量却从基站3发送给 基站1,这样能够进一步保证安全。
[0091] 进一步地,第二无线接入设备或第三无线接入设备可以是随机选择的无线接入设 备。
[0092] 接收认证请求的第二无线接入设备、向第一无线接入设备发送认证向量的第三无 线接入设备都可以是随机的,进一步保证安全性。其中,第二无线接入设备可以由第一无线 接入设备来随机选择,可以根据用户设备发送的认证请求确定随机规则来进行随机选择。 其中,在第二无线接入设备和第三无线接入设备等设备上传输的信息中,可以携带有第一 无线接入设备的标识,这样,无论如何随机地选择无线接入设备,都能够保证将认证向量等 信息发送至第一无线接入设备。
[0093] 优选地,第二无线接入设备接收第一无线接入设备发送的认证请求之后,方法还 包括:代理无线接入设备接收利用获取到的用户信息生成的用于对用户设备进行认证的认 证向量;代理无线接入设备对第一无线接入设备进行认证;在对第一无线接入设备认证通 过时,代理无线接入设备将认证向量发送给第一无线接入设备。
[0094] 本实施例中,将生成的认证向量发送给代理无线接入设备,代理无线接入设备先 对第一无线接入设备即接入用户设备的无线接入设备进行认证之后,再将认证向量发给该 无线接入设备,这样可以保证认证向量的安全性,避免另一个伪无线接入设备冒充第一无 线接入设备获取认证向量,具体过程可以是,代理无线接入设备向第一无线接入设备发送 代理认证信息,并接收代理认证结果,通过对比该结果与自身存储的接入无线接入设备信 息,判断其合法性,若合法则再将认证向量发送给该第一无线接入设备。
[0095] 以基站为例,代理基站向接入基站发送代理认证信息,并接收代理认证结果,通过 对比该结果与自身存储的接入基站信息,判断其合法性,若合法则再将认证向量发送给接 入基站,以保证认证向量的安全性,避免另一个伪基站冒充接入基站获取认证向量。
[0096] 如图6所示,用户设备先将用户信息发送给接入基站,接入基站将用户信息分布 式地存储到至少2个基站内。在进行用户设备认证的过程中,随机选择代理基站,并发送认 证向量,代理基站接收到认证向量之后,向接入基站发送代理认证信息,接入基站返回代理 认证结果至代理基站,代理基站基于代理认证结果判断接入基站的合法性,如果合法,则向 该接入基站发送认证向量,接入基站接收到认证向量之后,向用户设备发送用户认证请求。
[0097] 优选地,用户设备对应的用户信息经过冗余处理后,划分成多个信息片段存储到 组成一个网络内的至少2个无线接入设备上,获取用户设备对应的用户信息包括:判断网 络内的至少2个无线接入设备中是否存在无法读取出信息片段的无线接入设备;如果判断 出网络内的至少2个无线接入设备中存在无法读取出信息片段的无线接入设备,则根据至 少2个无线接入设备中剩下的无线接入设备中存储的信息片段恢复得到完整的用户信息。
[0098] 本实施例中,用户信息先经过冗余处理,然后被划分为多个信息片段,使得不同的 信息片段之间存在重复的信息,也即是划分成的信息片段相对于最初的用户信息存在冗 余,然后将划分的多个信息片段分别存储在多个无线接入设备上。这样,如果有一个或多个 无线接入设备无法从中读取出信息片段的(如出现故障无法工作或者暂停工作等)时,仍 可以从剩下的存储有信息片段的无线接入设备上计算得到完整的用户信息。
[0099] 当对用户设备进行认证时,可以先判断存储有信息片段的至少2个无线接入设 备中是否存在出现故障的设备,如果有,则从剩下的无线接入设备中恢复得到完整的用户 信息。具体地,该网络内每个无线接入设备可以向其它无线接入设备报告自身的状态信息 (例如是否存在故障),便于其它无线接入设备在对UE认证时判断具体通过哪些无线接入 设备恢复用户信息;或者,通过特定的用户信息恢复算法/自检测流程来保证。
[0100] 优选地,存储有用户设备对应的用户信息的至少2个无线接入设备的不同无线接 入设备之间使用P2P协议进行通信,以访问存储的用户信息。
[0101] 无线接入设备之间的通信主要用于获取用户信息,访问其它无线接入设备上存储 的用户信息片段。P2P协议能够支持一个无线接入设备能直接访问其它无线接入设备上存 储的用户信息片段,不需要依靠其它中心处理单元,从而便于用户信息片段的快速组合和 相互访问。此外,网络的运营者也可以通过该协议对用户信息片段的访问进行限定,避免其 它设备获取这些重要信息。
[0102] 根据本发明实施例,还提供了一种用户信息存储装置的实施例,该装置可以用于 执行本发明实施例的用户信息存储方法,如图7所示,该装置包括:获取单元701、转化单元 702和存储单元703。
[0103] 获取单元701用于获取用户信息。
[0104] 转化单元702用于将用户信息转化成多个信息片段。
[0105] 存储单元703用于将多个信息片段分别存储到至少2个无线接入设备上,以使得 在对用户设备进行认证时,从存储有用户信息的至少2个无