本發(fā)明涉及通信技術(shù)領(lǐng)域，具體涉及一種接入認(rèn)證方法、設(shè)備及系統(tǒng)。

背景技術(shù)：

圖1是演進分組核心網(wǎng)(EPC，Evolved Packet Core)的網(wǎng)絡(luò)架構(gòu)示意圖，如圖1所示，在EPC網(wǎng)絡(luò)架構(gòu)中，包含歸屬用戶數(shù)據(jù)服務(wù)器(HSS，Home Subscriber Server)、移動性管理實體(MME，Mobility Management Entity)、服務(wù)網(wǎng)關(guān)(S-GW，Serving Gateway)、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW，Packet work Gateway)、服務(wù)通用分組無線業(yè)務(wù)支持節(jié)點(SGSN，Serving GPRS Support Node)、策略與計費規(guī)則功能實體(PCRF，Policy and Charging Enforcement Function)，其中：

HSS：是用戶簽約數(shù)據(jù)的永久存放地點，位于用戶簽約的歸屬網(wǎng)；

MME：是用戶簽約數(shù)據(jù)在當(dāng)前網(wǎng)絡(luò)的存放地點，負(fù)責(zé)終端到網(wǎng)絡(luò)的非接入層(NAS，Non-Access Stratum)信令管理、終端空閑模式下的跟蹤和尋呼管理功能和承載管理；

S-GW：是核心網(wǎng)到無線系統(tǒng)的網(wǎng)關(guān)，負(fù)責(zé)終端到核心網(wǎng)的用戶面承載、終端空閑模式下的數(shù)據(jù)緩存、網(wǎng)絡(luò)側(cè)發(fā)起業(yè)務(wù)請求的功能、合法竊聽和分組數(shù)據(jù)路由和轉(zhuǎn)發(fā)功能；

P-GW：是EPC和該系統(tǒng)外部網(wǎng)絡(luò)的網(wǎng)關(guān)，負(fù)責(zé)終端的互聯(lián)網(wǎng)協(xié)議(IP，Internet Protocol)地址分配、計費功能、分組包過濾、策略應(yīng)用等功能；

SGSN：是GSM/EDGE無線接入網(wǎng)絡(luò)(GERAN，GPRS EDGE Radio Access Network)和UMTS陸地?zé)o線接入網(wǎng)(UTRAN，UMTS Terrestrial Radio Access Network)用戶接入EPC網(wǎng)絡(luò)的業(yè)務(wù)支持點，功能上與MME類似，負(fù)責(zé)用戶 的位置更新、尋呼管理和承載管理等功能；其中，GSM是英文Global System For Mobile的縮寫，即全球移動通信系統(tǒng)；EDGE是英文Enhanced Data Rate for GSM Evolution的縮寫，即增強型數(shù)據(jù)速率GSM演進技術(shù)；UMTS是英文Universal Mobile Telecommunications System的縮寫，即通用移動通信系統(tǒng)；

PCRF：負(fù)責(zé)向策略與計費執(zhí)行功能實體(PCEF，Policy and Charging Enforcement Function)提供策略控制與計費規(guī)則。

在某些應(yīng)急情況下，基站可能與核心網(wǎng)斷開連接或者保持有限的連接(即控制面的消息傳遞可以保證，但是用戶面數(shù)據(jù)的可能無法保證)，此時網(wǎng)絡(luò)中部分特殊用戶，例如國家公共安全相關(guān)的人員，需要快速建立一個應(yīng)急通信的網(wǎng)絡(luò)，以保證在特殊情況下提供特殊的業(yè)務(wù)。應(yīng)急通信的網(wǎng)絡(luò)，又稱為孤立網(wǎng)絡(luò)，采用的網(wǎng)絡(luò)架構(gòu)與現(xiàn)有的架構(gòu)并無不同，只是基站可能轉(zhuǎn)變?yōu)榫哂泄舶踩芰Φ幕?，即具有部分EPC的功能，多個邏輯功能實體集成在一個或者幾個實體公共安全基站中。

由于公共安全基站進入了公共安全模式，如果公共終端需要接入公共安全基站進行公共安全業(yè)務(wù)，則公共安全基站和公共安全終端需要相互認(rèn)證，現(xiàn)有技術(shù)采用雙國際移動用戶識別碼(IMSI，International Mobile Subscriber Identification Number)技術(shù)，即一個IMSI接入正常網(wǎng)絡(luò)，一個IMSI接入公共安全網(wǎng)絡(luò)，但是，這種雙IMSI技術(shù)有兩個缺陷：第一是需要終端支持雙IMSI技術(shù)，并且根據(jù)不同的網(wǎng)絡(luò)選擇不同的IMSI，第二是需要公共安全基站預(yù)先配置用戶的安全參數(shù)，這種方式具有一定的局限性，配置哪些公共安全用戶需要提前知道，這對一些應(yīng)急的公共安全事件是不利的，用戶體驗很差；另外，一些能夠轉(zhuǎn)化為公共安全基站可能位于邊遠(yuǎn)地區(qū)，如果斷網(wǎng)后再預(yù)配置用戶的安全參數(shù)在應(yīng)急場景的時效性和可能性都將大打折扣。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明實施例期望提供一種接入認(rèn)證方法、設(shè)備及系統(tǒng)，能快速實現(xiàn)孤立網(wǎng)絡(luò)的接入鑒權(quán)認(rèn)證，保證應(yīng)急通信的可行性。

為達(dá)到上述目的，本發(fā)明實施例的技術(shù)方案是這樣實現(xiàn)的：

本發(fā)明實施例提供了一種接入認(rèn)證方法，所述方法包括：

當(dāng)公共安全基站能夠與核心網(wǎng)連接時，接收并存儲由核心網(wǎng)下發(fā)的為公共安全終端分配的安全向量；

當(dāng)所述公共安全基站與核心網(wǎng)斷開連接時，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證，包括：

若所述安全向量為多組時，所述公共安全基站優(yōu)先選擇未被使用的一組安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述方法還包括：

接收到核心網(wǎng)下發(fā)的安全向量更新通知時，公共安全基站根據(jù)所述安全向量更新通知對所存儲的安全向量進行更新。

優(yōu)選地，接收核心網(wǎng)下發(fā)的安全向量更新通知，包括：

在公共安全終端通過公共安全基站重新接入核心網(wǎng)且核心網(wǎng)重新為所述公共安全終端分配安全向量時，接收核心網(wǎng)下發(fā)的安全向量更新通知。

本發(fā)明實施例還提供了一種接入認(rèn)證方法，所述方法包括：

確認(rèn)公共安全終端，并為所述公共安全終端分配安全向量；

將所述安全向量下發(fā)至公共安全基站，以使當(dāng)所述公共安全基站與核心網(wǎng)斷開連接時，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述確認(rèn)公共安全終端，包括：

根據(jù)用戶簽約信息確認(rèn)公共安全終端；

或者，根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

優(yōu)選地，所述方法還包括：

更新為公共安全終端分配的安全向量時，向公共安全基站下發(fā)安全向量更新通知，以使所述公共安全基站對所存儲的安全向量進行更新。

優(yōu)選地，所述更新為公共安全終端分配的安全向量，包括：

當(dāng)檢測到所述公共安全終端通過所述公共安全基站重新接入核心網(wǎng)時，重新為公共安全終端分配安全向量。

本發(fā)明實施例還提供了一種接入認(rèn)證方法，所述方法包括：

公共安全終端通過公共安全基站向核心網(wǎng)請求分配安全向量，以使所述公共安全基站接收并存儲所述核心網(wǎng)為所述公共安全終端分配的安全向量；

當(dāng)公共安全基站與核心網(wǎng)斷開連接時，所述公共安全終端通過所述安全向量與公共安全基站進行相互認(rèn)證。

優(yōu)選地，所述公共安全終端通過公共安全基站向核心網(wǎng)請求分配安全向量，包括：

公共安全終端向公共安全基站發(fā)送業(yè)務(wù)請求，以使所述公共安全基站將所述業(yè)務(wù)請求轉(zhuǎn)發(fā)至核心網(wǎng)；

其中，在所述業(yè)務(wù)請求中攜帶用戶簽約信息、或者攜帶用戶簽約信息和終端能力信息，以使核心網(wǎng)根據(jù)所述用戶簽約信息、或者根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

本發(fā)明實施例還提供了一種基站，所述基站包括：

接收單元，用于接收由核心網(wǎng)下發(fā)的為公共安全終端分配的安全向量；

存儲單元，用于存儲所述安全向量；

第一認(rèn)證單元，用于當(dāng)所述基站與核心網(wǎng)斷開連接時，使用所述安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述第一認(rèn)證單元，還用于：

若所述安全向量為多組時，優(yōu)先選擇未被使用的一組安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述接收單元，還用于：

接收核心網(wǎng)下發(fā)的安全向量更新通知；

相應(yīng)的，所述基站還包括：

更新單元，用于根據(jù)所述安全向量更新通知對所存儲的安全向量進行更新。

優(yōu)選地，所述接收單元，還用于：

在公共安全終端通過所述基站重新接入核心網(wǎng)且核心網(wǎng)重新為所述公共安全終端分配安全向量時，接收核心網(wǎng)下發(fā)的安全向量更新通知。

本發(fā)明實施例還提供了一種網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備包括：

確認(rèn)單元，用于確認(rèn)公共安全終端；

分配單元，用于為所述公共安全終端分配安全向量；

下發(fā)單元，用于將所述安全向量下發(fā)至公共安全基站，以使當(dāng)所述公共安全基站與所述核心網(wǎng)斷開連接時，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述確認(rèn)單元，還用于：

根據(jù)用戶簽約信息確認(rèn)公共安全終端；

或者，根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

優(yōu)選地，所述分配單元，還用于：更新為公共安全終端分配的安全向量；

所述下發(fā)單元，還用于向公共安全基站下發(fā)安全向量更新通知，以使所述公共安全基站對所存儲的安全向量進行更新。

優(yōu)選地，所述分配單元，還用于：

當(dāng)檢測到所述公共安全終端通過所述公共安全基站重新接入核心網(wǎng)時，重新為公共安全終端分配安全向量。

本發(fā)明實施例還提供了一種終端，所述終端包括：

請求單元，用于通過公共安全基站向核心網(wǎng)請求分配安全向量；

第二認(rèn)證單元，用于當(dāng)公共安全基站與核心網(wǎng)斷開連接時，通過所述安全向量與公共安全基站進行相互認(rèn)證。

優(yōu)選地，所述請求單元，還用于：

向公共安全基站發(fā)送業(yè)務(wù)請求，以使公共安全基站將所述業(yè)務(wù)請求轉(zhuǎn)發(fā)至核心網(wǎng)；

其中，在所述業(yè)務(wù)請求中攜帶用戶簽約信息、或者攜帶用戶簽約信息和終端能力信息，以使核心網(wǎng)根據(jù)所述用戶簽約信息、或者根據(jù)用戶簽約信息和終 端能力信息確認(rèn)公共安全終端。

本發(fā)明實施例還提供了一種接入認(rèn)證系統(tǒng)，所述系統(tǒng)包括：

公共安全終端，用于通過公共安全基站向網(wǎng)絡(luò)設(shè)備請求分配安全向量；

公共安全基站，用于接收并存儲由網(wǎng)絡(luò)設(shè)備下發(fā)的為公共安全終端分配的安全向量；當(dāng)所述基站與核心網(wǎng)斷開連接時，使用所述安全向量與所述公共安全終端進行相互認(rèn)證；

網(wǎng)絡(luò)設(shè)備，用于確認(rèn)公共安全終端，并為所述公共安全終端分配安全向量；將所述安全向量下發(fā)至公共安全基站。

優(yōu)選地，所述公共安全終端為上文所述的終端；所述公共安全基站為上文所述的基站；所述網(wǎng)絡(luò)設(shè)備為上文所述的網(wǎng)絡(luò)設(shè)備。

本發(fā)明實施例提供的接入認(rèn)證方法、設(shè)備及系統(tǒng)，當(dāng)公共安全基站能夠與核心網(wǎng)連接時，接收并存儲由核心網(wǎng)下發(fā)的為公共安全終端分配的安全向量；當(dāng)所述公共安全基站與核心網(wǎng)斷開連接時，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證。如此，能快速實現(xiàn)孤立網(wǎng)絡(luò)的接入鑒權(quán)認(rèn)證，保證應(yīng)急通信的可行性，也提升了鑒權(quán)的安全性和可靠性。此外，采用本發(fā)明所述技術(shù)方案，降低了對終端的要求，解決了現(xiàn)有技術(shù)中“要實現(xiàn)孤立網(wǎng)絡(luò)的接入鑒權(quán)認(rèn)證時要求終端支持雙IMSI技術(shù)，并且根據(jù)不同的網(wǎng)絡(luò)選擇不同的IMSI”的問題；而且，避免了由公共安全基站預(yù)先配置用戶的安全參數(shù)的問題。

附圖說明

圖1是EPC的網(wǎng)絡(luò)架構(gòu)示意圖；

圖2為本發(fā)明實施例提供的一種接入認(rèn)證方法的流程示意圖；

圖3為本發(fā)明實施例提供的另一種接入認(rèn)證方法的流程示意圖；

圖4為本發(fā)明實施例提供的又一種接入認(rèn)證方法的流程示意圖；

圖5為本發(fā)明實施例提供的基站的組成結(jié)構(gòu)示意圖；

圖6為本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)示意圖；

圖7為本發(fā)明實施例提供的終端的組成結(jié)構(gòu)示意圖；

圖8為本發(fā)明實施例提供的接入認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖；

圖9是本發(fā)明實施例提供的公共安全終端接入公共安全基站進行鑒權(quán)認(rèn)證的流程示意圖一；

圖10是本發(fā)明實施例提供的公共安全終端接入公共安全基站進行鑒權(quán)認(rèn)證的流程示意圖二。

具體實施方式

下面結(jié)合附圖和具體實施例對本發(fā)明的技術(shù)方案進一步詳細(xì)闡述。

圖2為本發(fā)明實施例提供的一種接入認(rèn)證方法的流程示意圖；所述接入認(rèn)證方法應(yīng)用于基站側(cè)，如圖2所示，該接入認(rèn)證方法主要包括以下步驟：

步驟201：當(dāng)公共安全基站能夠與核心網(wǎng)連接時，接收由核心網(wǎng)下發(fā)的為公共安全終端分配的安全向量。

具體地，每組安全向量至少包括：

隨機數(shù)、認(rèn)證令牌、期望響應(yīng)值、中間密鑰。

本實施例中，公共安全基站有兩種工作模式，一種是正常模式，一種是公共安全模式；其中，當(dāng)公共安全基站能夠與核心網(wǎng)連接時，公共安全基站啟動正常模式；當(dāng)公共安全基站與核心網(wǎng)斷開連接時，公共安全基站啟動公共安全模式。

步驟202：當(dāng)公共安全基站與核心網(wǎng)斷開連接時，公共安全基站使用所述安全向量與公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證，可以包括：

若所述安全向量為多組時，所述公共安全基站優(yōu)先選擇未被使用的一組安全向量與所述公共安全終端進行相互認(rèn)證。

具體地，所述公共安全基站使用所述安全向量與公共安全終端進行相互認(rèn)證，可以包括：

公共安全終端向公共安全基站發(fā)送公共安全業(yè)務(wù)請求；

公共安全基站使用所存儲的安全向量對所述公共安全終端進行鑒權(quán)認(rèn)證；如果鑒權(quán)認(rèn)證通過，向公共安全終端發(fā)送公共安全業(yè)務(wù)響應(yīng)消息。

上述方案中，優(yōu)選地，所述方法還可以包括：

接收到核心網(wǎng)下發(fā)的安全向量更新通知時，所述公共安全基站根據(jù)所述安全向量更新通知對所存儲的安全向量進行更新。

優(yōu)選地，接收核心網(wǎng)下發(fā)的安全向量更新通知，可以包括：

在公共安全終端通過公共安全基站重新接入核心網(wǎng)且核心網(wǎng)重新為所述公共安全終端分配安全向量時，接收核心網(wǎng)下發(fā)的安全向量更新通知。

也就是說，在公共安全終端重新接入正常模式下的公共安全基站時，公共安全基站將根據(jù)核心網(wǎng)重新為公共安全終端分配的安全向量更新所存儲的安全向量。

當(dāng)然，在公共安全基站處于與核心網(wǎng)連接狀態(tài)，且核心網(wǎng)已為公共安全終端分配安全向量時，若核心網(wǎng)更新安全向量，核心網(wǎng)仍將向公共安全基站下發(fā)安全向量更新通知，以便于公共安全基站根據(jù)所述安全向量更新通知及時對所存儲的安全向量進行更新。換句話說，在公共安全終端接入正常模式下的公共安全基站期間，公共安全基站隨著核心網(wǎng)對安全向量的更新來更新所存儲的安全向量。

本發(fā)明實施例所提供的接入認(rèn)證方法，公共安全終端在鑒權(quán)認(rèn)證過程中，被核心網(wǎng)確認(rèn)為公共安全終端后，核心網(wǎng)向公共安全基站下發(fā)公共安全終端安全向量，當(dāng)公共安全基站轉(zhuǎn)變公共安全模式，公共安全基站使用保存的安全向量與公共安全終端進行相互認(rèn)證；如此，在公共安全基站與核心網(wǎng)斷開連接時，也能快速實現(xiàn)孤立網(wǎng)絡(luò)的接入鑒權(quán)認(rèn)證，保證了應(yīng)急通信的可行性，也提升了鑒權(quán)的安全性和可靠性。

圖3為本發(fā)明實施例提供的另一種接入認(rèn)證方法的流程示意圖；所述接入認(rèn)證方法應(yīng)用于核心網(wǎng)側(cè)，如圖3所示，該接入認(rèn)證方法主要包括以下步驟：

步驟301：確認(rèn)公共安全終端，并為所述公共安全終端分配安全向量。

優(yōu)選地，所述確認(rèn)公共安全終端，可以包括：

根據(jù)用戶簽約信息確認(rèn)公共安全終端；

或者，根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

具體地，每組安全向量至少包括：

隨機數(shù)、認(rèn)證令牌、期望響應(yīng)值、中間密鑰。

步驟302：將所述安全向量下發(fā)至公共安全基站，以使當(dāng)所述公共安全基站與核心網(wǎng)斷開連接時，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證。

上述方案中，優(yōu)選地，所述方法還包括：

更新為公共安全終端分配的安全向量時，向公共安全基站下發(fā)安全向量更新通知，以使所述公共安全基站對所存儲的安全向量進行更新。

也就是說，在公共安全終端接入正常模式下的公共安全基站期間，核心網(wǎng)也可以根據(jù)實際情況更新安全向量。

優(yōu)選地，所述更新為公共安全終端分配的安全向量，可以包括：

當(dāng)檢測到所述公共安全終端通過所述公共安全基站重新接入核心網(wǎng)時，重新為公共安全終端分配安全向量。

也就是說，在公共安全終端重新接入正常模式下的公共安全基站時，核心網(wǎng)重新為公共安全終端分配安全向量。

優(yōu)選地，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證，可以包括：

若所述安全向量為多組時，所述公共安全基站優(yōu)先選擇未被使用的一組安全向量與所述公共安全終端進行相互認(rèn)證。

本發(fā)明實施例所提供的接入認(rèn)證方法，公共安全終端在鑒權(quán)認(rèn)證過程中，被核心網(wǎng)確認(rèn)為公共安全終端后，核心網(wǎng)向公共安全基站下發(fā)公共安全終端安全向量，以便于當(dāng)公共安全基站轉(zhuǎn)變公共安全模式時，公共安全基站使用保存的安全向量與公共安全終端進行相互認(rèn)證；如此，在公共安全基站與核心網(wǎng)斷開連接時，也能快速實現(xiàn)孤立網(wǎng)絡(luò)的接入鑒權(quán)認(rèn)證，保證了應(yīng)急通信的可行性， 也提升了鑒權(quán)的安全性和可靠性。

圖4為本發(fā)明實施例提供的又一種接入認(rèn)證方法的流程示意圖；所述接入認(rèn)證方法應(yīng)用于終端側(cè)，如圖4所示，該接入認(rèn)證方法主要包括以下步驟：

步驟401：公共安全終端通過公共安全基站向核心網(wǎng)請求為所述公共安全終端分配安全向量，以使所述公共安全基站接收并存儲所述核心網(wǎng)為所述公共安全終端分配的安全向量。

優(yōu)選地，所述公共安全終端通過公共安全基站向核心網(wǎng)請求為所述公共安全終端分配安全向量，可以包括：

公共安全終端向公共安全基站發(fā)送業(yè)務(wù)請求，以使所述公共安全基站將所述業(yè)務(wù)請求轉(zhuǎn)發(fā)至核心網(wǎng)；

其中，在所述業(yè)務(wù)請求中攜帶用戶簽約信息、或者攜帶用戶簽約信息和終端能力信息，以使核心網(wǎng)根據(jù)所述用戶簽約信息、或者根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

步驟402：當(dāng)公共安全基站與核心網(wǎng)斷開連接時，所述公共安全終端通過所述安全向量與公共安全基站進行相互認(rèn)證。

本發(fā)明實施例提供的一種接入認(rèn)證方法，終端通知核心網(wǎng)用戶簽約信息，或者通知核心網(wǎng)終端能力信息和用戶簽約信息，以便于核心網(wǎng)知曉該終端具有公共安全能力，并為其生成對應(yīng)的安全向量，將對應(yīng)的安全向量下發(fā)給公共安全基站，進而使當(dāng)公共安全基站轉(zhuǎn)變公共安全模式，公共安全基站使用保存的安全向量與公共安全終端進行相互認(rèn)證；如此，在公共安全基站與核心網(wǎng)斷開連接時，也能快速實現(xiàn)孤立網(wǎng)絡(luò)的接入鑒權(quán)認(rèn)證，保證了應(yīng)急通信的可行性，也提升了鑒權(quán)的安全性和可靠性。

圖5為本發(fā)明實施例提供的基站的組成結(jié)構(gòu)示意圖，如圖5所示，所述基站包括：

接收單元51，用于接收由核心網(wǎng)下發(fā)的為公共安全終端分配的安全向量；

存儲單元52，用于存儲所述安全向量；

第一認(rèn)證單元53，用于當(dāng)所述基站與核心網(wǎng)斷開連接時，使用所述安全向 量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述第一認(rèn)證單元53，具體用于：

若所述安全向量為多組時，優(yōu)先選擇未被使用的一組安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述接收單元51，還用于：

接收核心網(wǎng)下發(fā)的安全向量更新通知；

相應(yīng)的，所述基站還包括：

更新單元54，用于根據(jù)所述安全向量更新通知對所存儲的安全向量進行更新。

優(yōu)選地，所述接收單元51，具體還用于：

在公共安全終端通過所述基站重新接入核心網(wǎng)且核心網(wǎng)重新為所述公共安全終端分配安全向量時，接收核心網(wǎng)下發(fā)的安全向量更新通知。

本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，圖5所示的基站中的各單元的實現(xiàn)功能可參照前述數(shù)據(jù)接入認(rèn)證方法的相關(guān)描述而理解。

實際應(yīng)用中，所述接收單元51、存儲單元52、第一認(rèn)證單元53、更新單元54可由基站中的中央處理器(CPU，Central Processing Unit)、微處理器(MPU，Micro Processor Unit)、數(shù)字信號處理器(DSP，Digital Signal Processor)或現(xiàn)場可編程門陣列(FPGA，F(xiàn)ield Programmable Gate Array)等實現(xiàn)。

圖6為本發(fā)明實施例提供的網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)示意圖，如圖6所示，所述網(wǎng)絡(luò)設(shè)備包括：

確認(rèn)單元61，用于確認(rèn)公共安全終端；

分配單元62，用于為所述公共安全終端分配安全向量；

下發(fā)單元63，用于將所述安全向量下發(fā)至公共安全基站，以使當(dāng)所述公共安全基站與核心網(wǎng)斷開連接時，所述公共安全基站使用所述安全向量與所述公共安全終端進行相互認(rèn)證。

優(yōu)選地，所述確認(rèn)單元61，還用于：

根據(jù)用戶簽約信息確認(rèn)公共安全終端；

或者，根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

優(yōu)選地，所述分配單元62，還用于：更新為公共安全終端分配的安全向量；

所述下發(fā)單元63，還用于向公共安全基站下發(fā)安全向量更新通知，以使所述公共安全基站對所存儲的安全向量進行更新。

優(yōu)選地，所述分配單元62，還用于：

當(dāng)檢測到所述公共安全終端通過所述公共安全基站重新接入核心網(wǎng)時，重新為公共安全終端分配安全向量。

本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，圖6所示的網(wǎng)絡(luò)設(shè)備中的各單元的實現(xiàn)功能可參照前述數(shù)據(jù)接入認(rèn)證方法的相關(guān)描述而理解。

實際應(yīng)用中，所述確認(rèn)單元61、分配單元62、下發(fā)單元63可由網(wǎng)絡(luò)設(shè)備中的CPU、MPU、DSP或FPGA等實現(xiàn)。

圖7為本發(fā)明實施例提供的終端的組成結(jié)構(gòu)示意圖，如圖7所示，所述終端包括：

請求單元71，用于通過公共安全基站向核心網(wǎng)請求分配安全向量；

第二認(rèn)證單元72，用于當(dāng)公共安全基站與核心網(wǎng)斷開連接時，通過所述安全向量與公共安全基站進行相互認(rèn)證。

優(yōu)選地，所述請求單元71，還用于：

向公共安全基站發(fā)送業(yè)務(wù)請求，以使公共安全基站將所述業(yè)務(wù)請求轉(zhuǎn)發(fā)至核心網(wǎng)；

其中，在所述業(yè)務(wù)請求中攜帶用戶簽約信息、或者攜帶用戶簽約信息和終端能力信息，以使核心網(wǎng)根據(jù)所述用戶簽約信息、或者根據(jù)用戶簽約信息和終端能力信息確認(rèn)公共安全終端。

本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，圖7所示的終端中的各單元的實現(xiàn)功能可參照前述數(shù)據(jù)接入認(rèn)證方法的相關(guān)描述而理解。

實際應(yīng)用中，所述請求單元71、第二認(rèn)證單元72可由終端中的中央處理器CPU、MPU、DSP或FPGA等實現(xiàn)。

圖8為本發(fā)明實施例提供的接入認(rèn)證系統(tǒng)的組成結(jié)構(gòu)示意圖，如圖8所示， 所述系統(tǒng)包括：

公共安全終端81，用于通過公共安全基站向網(wǎng)絡(luò)設(shè)備83請求分配安全向量；

公共安全基站82，用于接收并存儲由網(wǎng)絡(luò)設(shè)備83下發(fā)的為公共安全終端81分配的安全向量；當(dāng)所述公共安全基站82與核心網(wǎng)斷開連接時，使用所述安全向量與所述公共安全終端81進行相互認(rèn)證；

網(wǎng)絡(luò)設(shè)備83，用于確認(rèn)公共安全終端81，并為所述公共安全終端81分配安全向量；將所述安全向量下發(fā)至公共安全基站82。

優(yōu)選地，所述網(wǎng)絡(luò)設(shè)備83，還用于：

更新為公共安全終端81分配的安全向量，并向公共安全基站82下發(fā)安全向量更新通知。

優(yōu)選地，所述公共安全基站82，還用于接收到安全向量更新通知時，對所存儲的安全向量進行更新。

具體地，所述公共安全終端的組成結(jié)構(gòu)示意圖可以如圖7所示；所述公共安全基站的組成結(jié)構(gòu)示意圖可以如圖5所示；所述網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)示意圖可以如圖6所示；在此不再贅述。

圖9是本發(fā)明實施例提供的公共安全終端接入公共安全基站進行鑒權(quán)認(rèn)證的流程示意圖一，如圖9所示，該流程主要包括以下步驟：

步驟901：公共安全終端向公共安全基站發(fā)送業(yè)務(wù)請求。

其中，所述業(yè)務(wù)請求中攜帶有終端能力信息，所述終端能力信息是用于表征該公共安全終端具有公共安全能力的信息。

這里，所述業(yè)務(wù)請求也可以是用戶接入請求，其中，所述用戶接入請求中也攜帶有終端能力信息。

步驟902：公共安全基站接收到業(yè)務(wù)請求后，向移動性管理實體轉(zhuǎn)發(fā)所述業(yè)務(wù)請求。

其中，所述業(yè)務(wù)請求中攜帶有終端能力信息。

這里，當(dāng)步驟901中，公共安全終端向公共安全基站發(fā)送的是用戶接入請 求時，公共安全基站接收到所述用戶接入請求后，向移動性管理實體轉(zhuǎn)發(fā)所述用戶接入請求；其中，所述用戶接入請求中也攜帶有終端能力信息。

步驟903：移動性管理實體向歸屬用戶數(shù)據(jù)服務(wù)器發(fā)送鑒權(quán)認(rèn)證請求。

其中，所述鑒權(quán)認(rèn)證請求中也攜帶終端能力信息。

步驟904：歸屬用戶數(shù)據(jù)服務(wù)器根據(jù)終端能力信息和用戶簽約信息確認(rèn)使用該公共安全終端。

具體地，歸屬用戶數(shù)據(jù)服務(wù)器根據(jù)終端能力信息和用戶簽約信息判斷發(fā)送業(yè)務(wù)請求(或用戶接入請求)的終端是否為公共安全終端，如果是，生成對應(yīng)的安全向量。這里，具體如何生成可參照現(xiàn)有技術(shù)中生成鑒權(quán)向量的方法，在此不再贅述。

由于公共安全基站具有部分EPC的功能，在需要建立應(yīng)急通信網(wǎng)絡(luò)的情況下，如果公共終端需要接入公共安全基站進行公共安全業(yè)務(wù)，則公共安全基站使用所述安全向量和公共安全終端進行相互認(rèn)證。

步驟905：歸屬用戶數(shù)據(jù)服務(wù)器向移動性管理實體發(fā)送鑒權(quán)認(rèn)證請求響應(yīng)消息。

其中，所述鑒權(quán)認(rèn)證請求響應(yīng)消息中攜帶一組或多組安全向量。

這里，每組安全向量至少包含：隨機數(shù)、認(rèn)證令牌、期望響應(yīng)值和中間密鑰。

當(dāng)所述安全向量為多組時，一部分可以標(biāo)識為用于公共安全模式下的安全向量，其余部分可以標(biāo)識為用于正常模式下的安全向量，此時，所述多組至少為2組。

步驟906：移動性管理實體根據(jù)網(wǎng)絡(luò)配置確定公共安全基站具有公共安全能力，向公共安全基站發(fā)送業(yè)務(wù)請求響應(yīng)消息。

這里，所述公共安全基站接收到鑒權(quán)認(rèn)證請求響應(yīng)消息時，保存所述鑒權(quán)認(rèn)證請求響應(yīng)消息中所攜帶的一組或者多組安全向量。

其中，所述業(yè)務(wù)請求響應(yīng)消息中攜帶一組或者多組安全向量，還攜帶IMSI，所述IMSI用于關(guān)聯(lián)安全向量。

步驟907：公共安全基站向公共安全終端發(fā)送業(yè)務(wù)請求響應(yīng)消息。

至此，公共安全終端完成了公共安全基站正常模式下的業(yè)務(wù)請求，歸屬用戶數(shù)據(jù)服務(wù)器在更新安全向量的同時，也會通過移動性管理實體告知公共安全基站更新所保存的安全向量。

這里，當(dāng)步驟902中公共安全終端向公共安全基站發(fā)起的是用戶接入請求時，公共安全基站和公共安全終端相互鑒權(quán)認(rèn)證成功后，公共安全基站向公共安全終端發(fā)送用戶接入請求響應(yīng)消息。

步驟908：公共安全基站與核心網(wǎng)網(wǎng)絡(luò)斷網(wǎng)。

在應(yīng)急場景下，比如地震、洪水等自然災(zāi)害下，由于公共安全基站與移動性管理實體等核心網(wǎng)之間的網(wǎng)絡(luò)連接斷開，在一段時間內(nèi)不能恢復(fù)核心網(wǎng)。

步驟909：公共安全基站啟動應(yīng)急模式，轉(zhuǎn)變到公共安全模式。

步驟910：公共安全基站向其所覆蓋的終端廣播相應(yīng)的公共安全網(wǎng)絡(luò)。

步驟911：公共安全終端偵測到公共安全網(wǎng)絡(luò)。

步驟912：公共安全終端向公共安全基站發(fā)起公共安全業(yè)務(wù)請求。

這里，所述公共安全業(yè)務(wù)請求也可以是附著公共安全網(wǎng)絡(luò)請求。

步驟913：公共安全基站使用所保存的安全向量和公共安全終端進行相互的鑒權(quán)認(rèn)證。

需要說明的是，如果公共安全基站保存的安全向量是多組的，則公共安全基站輪選其中一組與公共安全終端進行鑒權(quán)認(rèn)證。

例如，當(dāng)公共安全基站保存有5組安全向量時，假設(shè)所述5組安全向量用序列號表示為NO1、NO2、NO3、NO4、NO5，當(dāng)序列號為NO1的安全向量已被使用時，若再次進行鑒權(quán)認(rèn)證時，將從其他剩余的安全向量中選擇安全向量，以免避免因使用相同的安全向量而被盜用或泄密。

步驟914：公共安全基站和公共安全終端相互鑒權(quán)認(rèn)證成功后，公共安全基站向公共安全終端發(fā)送公共安全業(yè)務(wù)請求響應(yīng)消息。

這里，當(dāng)步驟912中公共安全終端向公共安全基站發(fā)起的是附著公共安全網(wǎng)絡(luò)請求時，公共安全基站和公共安全終端相互鑒權(quán)認(rèn)證成功后，公共安全基 站向公共安全終端發(fā)送附著公共安全網(wǎng)絡(luò)請求響應(yīng)消息。

步驟915：公共安全基站恢復(fù)網(wǎng)絡(luò)連接，關(guān)閉公共安全模式，并轉(zhuǎn)化為正常模式。

具體地，一段時間后，公共安全基站恢復(fù)網(wǎng)絡(luò)連接，將關(guān)閉公共安全模式，轉(zhuǎn)化為正常模式，并且向所服務(wù)的公共安全終端(這里，當(dāng)然也包括不具備公共安全能力的終端)廣播正常網(wǎng)絡(luò)標(biāo)識。

步驟916：公共安全終端向公共安全基站發(fā)起去附著公共安全網(wǎng)絡(luò)請求。

這里，所述去附著公共安全網(wǎng)絡(luò)也可以由公共安全基站主動發(fā)起。

例如，在公共安全終端關(guān)機，或者公共安全終端離開公共安全網(wǎng)絡(luò)一段時間(比如20小時或15天)等情況下，公共安全基站主動發(fā)起去附著公共安全網(wǎng)絡(luò)。

步驟917：公共安全終端通過公共安全基站的正常模式重新附著到核心網(wǎng)絡(luò)，核心網(wǎng)絡(luò)向公共安全基站下發(fā)新的安全向量，公共安全基站更新所存儲的安全向量。

圖10是本發(fā)明實施例提供的公共安全終端接入公共安全基站進行鑒權(quán)認(rèn)證的流程示意圖二，如圖10所示，該流程主要包括以下步驟：

步驟1001：公共安全終端向公共安全基站發(fā)送業(yè)務(wù)請求。

其中，所述業(yè)務(wù)請求中不攜帶終端能力信息。

這里，所述業(yè)務(wù)請求也可以是用戶接入請求，其中，所述用戶接入請求中也不攜帶終端能力信息。

步驟1002：公共安全基站接收到業(yè)務(wù)請求后，向移動性管理實體轉(zhuǎn)發(fā)所述業(yè)務(wù)請求。

這里，當(dāng)步驟1001中公共安全終端向公共安全基站發(fā)送的是用戶接入請求時，公共安全基站接收到所述用戶接入請求后，向移動性管理實體轉(zhuǎn)發(fā)所述用戶接入請求。

步驟1003：移動性管理實體向歸屬用戶數(shù)據(jù)服務(wù)器發(fā)送鑒權(quán)認(rèn)證請求。

步驟1004：歸屬用戶數(shù)據(jù)服務(wù)器根據(jù)用戶簽約信息確認(rèn)使用該公共安全終 端。

具體地，歸屬用戶數(shù)據(jù)服務(wù)器根據(jù)用戶簽約信息判斷發(fā)送業(yè)務(wù)請求(或用戶接入請求)的終端是否為公共安全終端，如果是，生成對應(yīng)的安全向量。

步驟1005：歸屬用戶數(shù)據(jù)服務(wù)器向移動性管理實體發(fā)送鑒權(quán)認(rèn)證請求響應(yīng)消息。

其中，所述鑒權(quán)認(rèn)證請求響應(yīng)消息中攜帶一組或多組安全向量。

這里，每組安全向量至少包含：隨機數(shù)、認(rèn)證令牌、期望響應(yīng)值和中間密鑰。

當(dāng)所述安全向量為多組時，一部分可以標(biāo)識為用于公共安全模式下的安全向量，其余部分可以標(biāo)識為用于正常模式下的安全向量，此時，所述多組至少為2組。

步驟1006：移動性管理實體根據(jù)網(wǎng)絡(luò)配置確定公共安全基站具有公共安全能力，向公共安全基站發(fā)送業(yè)務(wù)請求響應(yīng)消息。

這里，所述公共安全基站接收到鑒權(quán)認(rèn)證請求響應(yīng)消息時，保存所述鑒權(quán)認(rèn)證請求響應(yīng)消息中所攜帶的一組或者多組安全向量。

其中，所述業(yè)務(wù)請求響應(yīng)消息中攜帶一組或者多組安全向量，還攜帶IMSI，所述IMSI用于關(guān)聯(lián)安全向量。

步驟1007：公共安全基站向公共安全終端發(fā)送業(yè)務(wù)請求響應(yīng)消息。

至此，公共安全終端完成了公共安全基站正常模式下的業(yè)務(wù)請求，歸屬用戶數(shù)據(jù)服務(wù)器在更新安全向量的同時，也會通過移動性管理實體告知公共安全基站更新所保存的安全向量。

這里，當(dāng)步驟1002中公共安全終端向公共安全基站發(fā)起的是用戶接入請求時，公共安全基站和公共安全終端相互鑒權(quán)認(rèn)證成功后，公共安全基站向公共安全終端發(fā)送用戶接入請求響應(yīng)消息。

步驟1008：公共安全基站與核心網(wǎng)網(wǎng)絡(luò)斷網(wǎng)。

在應(yīng)急場景下，比如地震、洪水等自然災(zāi)害下，由于公共安全基站與移動性管理實體等核心網(wǎng)之間的網(wǎng)絡(luò)連接斷開，在一段時間內(nèi)不能恢復(fù)核心網(wǎng)。

步驟1009：公共安全基站啟動應(yīng)急模式，轉(zhuǎn)變到公共安全模式。

步驟1010：公共安全基站向其所覆蓋的終端廣播相應(yīng)的公共安全網(wǎng)絡(luò)。

步驟1011：公共安全終端偵測到公共安全網(wǎng)絡(luò)。

步驟1012：公共安全終端向公共安全基站發(fā)起公共安全業(yè)務(wù)請求。

這里，所述公共安全業(yè)務(wù)請求也可以是附著公共安全網(wǎng)絡(luò)請求。

步驟1013：公共安全基站使用所保存的安全向量和公共安全終端進行相互的鑒權(quán)認(rèn)證。

需要說明的是，如果公共安全基站保存的安全向量是多組的，則公共安全基站輪選其中一組與公共安全終端進行鑒權(quán)認(rèn)證。

例如，當(dāng)公共安全基站保存有5組安全向量時，假設(shè)所述5組安全向量用序列號表示為NO1、NO2、NO3、NO4、NO5，當(dāng)序列號為NO1的安全向量已被使用時，若再次進行鑒權(quán)認(rèn)證時，將從其他剩余的安全向量中選擇安全向量，以免避免因使用相同的安全向量而被盜用或泄密。

步驟1014：公共安全基站和公共安全終端相互鑒權(quán)認(rèn)證成功后，公共安全基站向公共安全終端發(fā)送公共安全業(yè)務(wù)請求響應(yīng)消息。

這里，當(dāng)步驟1012中公共安全終端向公共安全基站發(fā)起的是附著公共安全網(wǎng)絡(luò)請求時，公共安全基站和公共安全終端相互鑒權(quán)認(rèn)證成功后，公共安全基站向公共安全終端發(fā)送附著公共安全網(wǎng)絡(luò)請求響應(yīng)消息。

步驟1015：公共安全基站恢復(fù)網(wǎng)絡(luò)連接，關(guān)閉公共安全模式，并轉(zhuǎn)化為正常模式。

具體地，一段時間后，公共安全基站恢復(fù)網(wǎng)絡(luò)連接，將關(guān)閉公共安全模式，轉(zhuǎn)化為正常模式，并且向所服務(wù)的公共安全終端(這里，當(dāng)然也包括不具備公共安全能力的終端)廣播正常網(wǎng)絡(luò)標(biāo)識。

步驟1016：公共安全終端向公共安全基站發(fā)起去附著公共安全網(wǎng)絡(luò)請求。

這里，所述去附著公共安全網(wǎng)絡(luò)也可以由公共安全基站主動發(fā)起。

例如，在公共安全終端關(guān)機，或者公共安全終端離開公共安全網(wǎng)絡(luò)一段時間(比如5小時或2天)等情況下，公共安全基站主動發(fā)起去附著公共安全網(wǎng) 絡(luò)。

步驟1017：公共安全終端通過公共安全基站的正常模式重新附著到核心網(wǎng)絡(luò)，核心網(wǎng)絡(luò)向公共安全基站下發(fā)新的安全向量，公共安全基站更新所存儲的安全向量。

本發(fā)明實施例還記載了一種計算機存儲介質(zhì)，所述計算機存儲介質(zhì)中存儲有計算機可執(zhí)行指令，所述計算機可執(zhí)行指令用于執(zhí)行前述如圖2或圖3或圖4所示的接入認(rèn)證方法。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的設(shè)備和方法，可以通過其它的方式實現(xiàn)。以上所描述的設(shè)備實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，如：多個單元或組件可以結(jié)合，或可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設(shè)備或單元的間接耦合或通信連接，可以是電性的、機械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元，即可以位于一個地方，也可以分布到多個網(wǎng)絡(luò)單元上；可以根據(jù)實際的需要選擇其中的部分或全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各實施例中的各功能單元可以全部集成在一個處理單元中，也可以是各單元分別單獨作為一個單元，也可以兩個或兩個以上單元集成在一個單元中；上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用硬件加軟件功能單元的形式實現(xiàn)。

本領(lǐng)域普通技術(shù)人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成，前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質(zhì)包括：移動存儲設(shè)備、只讀存儲器(ROM，Read-Only Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

或者，本發(fā)明上述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明實施例的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質(zhì)包括：移動存儲設(shè)備、ROM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。