身份认证系统及方法与流程

本发明涉及身份认证技术领域，尤其涉及一种身份认证系统及方法。

背景技术

目前，一卡通平台的范围渗透到社会各个领域，并发挥日益重要的作用。除了包含门禁、考勤、证件、巡更、就餐、消费、健身、医疗、停车场、图书资料、会议签到、访客管理、电梯控制管理、办公设备管理、会所娱乐、物业交费等，还与其它智能化系统进行必要的集成和联动，如防盗报警、闭路监控、消防报警，甚至是楼宇自控系统等等。

但是，现有的一卡通平台采用的身份认证方案主要集中在感应和生物识别。前者以非接触式集成电路卡(Integrated Circuit Card，IC)为主，后者以指纹为主。实际使用过程中，非接触IC卡存在安全隐患，而指纹识别方式，涉及用户隐私的问题。

技术实现要素：

本发明实施例提供了一种身份认证系统及方法，能够基于运营商核心网进行身份认证，提高身份认证的安全性，缩短认证时间，优化用户体验。

第一方面，本发明实施例提供一种身份认证系统，该系统包括：基站，用于当用户设备(User Equipment，UE)进入预设范围时，与UE建立通信连接，获取UE的用户识别卡(Subscriber Identity Module，SIM)信息，并将基站身份标识(Identity Document，ID)和SIM卡信息发送至运营商核心网；运营商核心网，用于根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器；服务器，用于根据服务设备ID与用户ID确定UE在服务设备上的权限。

在第一方面的一些可实现方式中，基站包括传感器、处理器和天线，传感器与处理器连接，处理器与天线连接；传感器，用于当UE进入预设范围时，生成触发信号，并将触发信号发送至处理器；处理器，用于根据触发信号激活天线；天线，用于发射无线信号，无线信号用于与UE建立通信连接。

在第一方面的一些可实现方式中，基站还包括：天线约束模块，用于约束无线信号的发射方向和发射距离。

在第一方面的一些可实现方式中，运营商核心网具体用于：根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥对SIM卡进行认证。

在第一方面的一些可实现方式中，服务器具体用于：根据服务设备ID确定对应的服务设备；获取服务设备的权限信息；根据权限信息确定用户ID对应的权限。

第二方面，本发明实施例提供一种身份认证方法，应用于第一方面或者第一方面任一些可实现方式中所述的身份认证系统，该方法包括：当UE进入预设范围时，基站与UE建立通信连接，获取UE的SIM卡信息，并将基站ID和SIM卡信息发送至运营商核心网；运营商核心网根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器；服务器根据服务设备ID与用户ID确定UE在服务设备上的权限。

在第二方面的一些可实现方式中，当UE进入预设范围时，基站与UE建立通信连接，包括：当UE进入预设范围时，基站生成触发信号，并基于触发信号发射无线信号，基于无线信号与UE建立通信连接。

在第二方面的一些可实现方式中，该方法还包括：基站约束无线信号的发射方向和发射距离。

在第二方面的一些可实现方式中，运营商核心网根据SIM卡信息对SIM卡进行认证，包括：运营商核心网根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥对SIM卡进行认证。

在第二方面的一些可实现方式中，服务器根据服务设备ID与用户ID确定UE在服务设备上的权限，包括：服务器根据服务设备ID确定对应的服务设备；获取服务设备的权限信息；根据权限信息确定用户ID对应的权限。

本发明实施例提供的一种身份认证系统及方法，身份认证系统包括基站、运营商核心网、服务器，基站用于当UE进入预设范围时，与UE建立通信连接，获取UE的SIM卡信息，并将基站ID和SIM卡信息发送至运营商核心网，运营商核心网用于根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器，服务器用于根据服务设备ID与用户ID确定UE在服务设备上的权限。如此能够在UE进入预设范围时接入UE，并基于运营商核心网进行身份认证，从而提高身份认证的安全性，缩短认证时间，优化用户体验。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种身份认证系统的结构示意图；

图2是本发明实施例提供的一种基站的结构示意图；

图3是本发明实施例提供的一种身份认证方法的流程示意图；

图4是本发明实施例提供的另一种身份认证系统的结构示意图；

图5是本发明实施例提供的另一种身份认证方法的流程示意图；

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

目前，现有的一卡通平台采用的身份认证方案主要集中在感应和生物识别。前者以非接触式IC卡为主，后者以指纹为主。实际使用过程中，非接触IC卡存在安全隐患，而指纹识别方式，需要用户录入指纹信息，涉及用户隐私的问题，而且也不适合人流量大的场景。

针对于此，本发明实施例提供了一种身份认证系统及方法，身份认证系统包括基站、运营商核心网、服务器，基站用于当UE进入预设范围时，与UE建立通信连接，获取UE的SIM卡信息，并将基站ID和SIM卡信息发送至运营商核心网，运营商核心网用于根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器，服务器用于根据服务设备ID与用户ID确定UE在服务设备上的权限。如此能够在UE进入预设范围时接入UE，并基于运营商核心网进行身份认证，从而提高身份认证的安全性，缩短认证时间，优化用户体验。

下面结合附图对本发明实施例所提供的身份认证系统进行介绍。

图1是本发明实施例提供的一种身份认证系统的结构示意图。如图1所示，该身份认证系统100可以包括基站110、运营商核心网120、服务器130。

其中，基站110可以是微型基站，当UE进入预设范围时，基站110可以与UE建立通信连接，获取UE的SIM卡信息，并将基站ID和SIM卡信息发送至运营商核心网。

运营商核心网120可以根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器130。其中，运营商核心网120可以包括接入和移动管理功能(Access and Mobility Management Function，AMF)、鉴权服务功能(AuthenticationServer Function，AUSF)、统一数据管理(Unified Data Management，UDM)、网络开放功能(Network Exposure Function，NEF)等网元，基站ID与服务设备ID存在对应关系，用户ID可以是手机号码。

在一些实施例中，运营商核心网120的鉴权中心可以根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥和验证算法对SIM卡进行认证。可以理解，鉴权中心可以是AUSF网元。

服务器130可以根据服务设备ID与用户ID确定UE在服务设备上的权限。

在一些实施例中，服务器130可以根据服务设备ID确定对应的服务设备，获取服务设备的权限信息，根据权限信息确定用户ID对应的权限。当用户ID具有服务设备的权限时，服务器130向服务设备发送服务指令，从而服务设备可以提供相应的服务。作为一个示例，服务器130可以是一卡通平台，服务设备可以是门禁、考勤、消费等设备。

本发明实施例的身份认证系统，包括基站110、运营商核心网120、服务器130，基站110用于当UE进入预设范围时，与UE建立通信连接，获取UE的SIM卡信息，并将基站ID和SIM卡信息发送至运营商核心网120，运营商核心网120用于根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器130，服务器130用于根据服务设备ID与用户ID确定UE在服务设备上的权限。如此能够在UE进入预设范围时接入UE，并基于运营商核心网120进行身份认证，从而提高身份认证的安全性，缩短认证时间，优化用户体验。

图2是本发明实施例提供的一种基站的结构示意图，如图2所示，基站110可以包括传感器111、处理器112和天线113，其中，传感器111可以与处理器112连接，处理器112可以与天线113连接。

当UE进入预设范围时，传感器111可以生成触发信号，并将触发信号发送至处理器112。作为一个示例，传感器111可以在预设范围内检测UE是否到来，UE可以是移动的物联网设备。也可以是用户携带着UE，检测用户是否到来，从而可以确定UE进入预设范围或者离开预设范围。传感器111可以是光线传感器、动作传感器等等，例如，可以是红外传感器。处理器112可以根据触发信号激活天线113。天线113通常情况下处于休眠状态，当收到处理器112的触发信号时，天线113可以从休眠状态中激活，发射无线信号，其中，无线信号用于与UE建立通信连接，也就是说，将UE接入基站110。作为一个示例，天线113可以是射频天线。

此外，当UE离开预设范围时，传感器111可以生成关闭信号，并将关闭信号发送至处理器112。处理器112可以根据关闭信号控制天线113进入休眠状态，断开基站110与UE的连接。

在一些实施例中，基站110还可以包括天线约束模块114，用于约束无线信号的发射方向和发射距离。作为一个示例，天线113配有第五代移动通信技术(5th generation mobile networks，5G)毫米波波束成形控制设备，可以根据需要调整无线信号的发射方向，在天线113外部装有电磁屏蔽盒，对无线信号的发射距离进行约束，能够根据需要灵活调整天线的覆盖范围。作为一个示例，可以根据建筑物实际情况，设置天线113和传感器111覆盖范围。如此一来，可以灵活调整无线信号的覆盖区域，提升连接效率。

基于本发明实施例的身份认证系统，本发明实施例还提供了一种身份认证方法。图3是本发明实施例提供的一种身份认证方法的流程示意图，如图3所示，该身份认证方法300可以包括S310至S330。

S310，当UE进入预设范围时，基站与UE建立通信连接，获取UE的用户识别卡SIM卡信息，并将基站身份标识ID和SIM卡信息发送至运营商核心网。

具体地，当UE进入预设范围时，基站可以生成触发信号，并基于触发信号发射无线信号，基于无线信号与UE建立通信连接。作为一个示例，当UE进入预设范围时，基站的传感器可以生成触发信号，并将触发信号发送至基站的处理器，基站的处理器可以基于触发信号激活基站的天线，被激活的天线可以发射无线信号，将UE接入基站。

此外，基站可以约束无线信号的发射方向和发射距离。作为一个示例，基站的天线约束模块可以根据需要灵活调整无线信号的发射方向和发射距离。

S320，运营商核心网根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器。

具体地，运营商核心网可以根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥对SIM卡进行认证。作为一个示例，运营商核心网的鉴权中心可以根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥和验证算法对SIM卡进行认证。

S330，服务器根据服务设备ID与用户ID确定UE在服务设备上的权限。

具体地，服务器可以根据服务设备ID确定对应的服务设备，获取服务设备的权限信息，根据权限信息确定用户ID对应的权限。当用户ID具有服务设备的权限时，服务器可以向服务设备发送服务指令，从而服务设备可以提供相应的服务。

本发明实施例的身份认证方法，当UE进入预设范围时，基站与UE建立通信连接，获取UE的SIM卡信息，并将基站ID和SIM卡信息发送至运营商核心网，运营商核心网根据SIM卡信息对SIM卡进行认证，当SIM卡认证通过时，确定基站ID对应的服务设备ID，并将服务设备ID和SIM卡信息中的用户ID发送至服务器，服务器根据服务设备ID与用户ID确定UE在服务设备上的权限。如此能够在UE进入预设范围时接入UE，并基于运营商核心网进行身份认证，从而提高身份认证的安全性，缩短认证时间，优化用户体验。

图4是本发明实施例提供的另一种身份认证系统的结构示意图，如图4所示，以身份认证系统应用于门禁为例，对本发明实施例提供的身份认证系统进行说明，身份认证系统可以包括微基站，运营商核心网，一卡通平台。

其中，可以在门禁设备旁边部署微基站，微基站可以包括红外传感器、处理器和射频天线，其中，红外传感器与处理器连接，处理器与射频天线连接。红外传感器可以在预设范围内检测用户的红外信号，当检测到红外信号时，生成触发信号，并将触发信号发送至处理器，处理器可以基于触发信号激活射频天线，射频天线可以发射无线信号，将用户的UE接入基站。射频天线可以配有5G毫米波波束成形控制设备，在射频天线外部可以装有电磁屏蔽盒。

运营商核心网的AUSF网元可以根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥和验证算法对SIM卡进行认证。当SIM卡认证通过时，运营商核心网确定基站ID对应的门禁设备ID，并将门禁设备ID和SIM卡信息中的手机号码发送至一卡通平台。

一卡通平台可以根据门禁设备ID确定对应的门禁设备，获取门禁设备的权限信息，根据权限信息确定手机号码对应的权限。当手机号码具有门禁设备的权限时，一卡通平台可以向门禁设备发送服务指令，从而门禁设备可以为将门打开。

图5是本发明实施例提供的另一种身份认证方法的流程示意图，可应用于图4所示的实施例中的身份认证系统，如图5所示，该身份认证方法可以包括以下步骤：

步骤1、微基站的红外传感器检测到信号，通知微基站的处理器。

红外传感器可以在预设范围内检测用户的红外信号，当检测到红外信号时，可以生成触发信号，并将触发信号发送至处理器。

步骤2、微基站的处理器控制微基站的射频天线，结束休眠状态

处理器可以基于触发信号激活射频天线，然后射频天线可以发射无线信号。

步骤3、UE接收到无线信号，经过网络优化后接入微基站。

步骤4、UE接入运营商核心网，完成身份鉴权。

运营商核心网的AUSF网元可以根据SIM卡信息确定SIM卡密钥，基于SIM卡密钥和验证算法对SIM卡进行身份认证。

步骤5、运营商核心网转换数据并脱敏。当SIM卡认证通过时，运营商核心网可以转换基站ID为对应的门禁设备ID并进行数据脱敏。

步骤6、将门禁设备ID和手机号码发送至一卡通平台。

其中，手机号码来自SIM卡信息。

步骤7、一卡通平台检索该设备ID对应的门禁设备。

步骤8、检查手机号码是否拥有该门禁设备的权限。

可以获取门禁设备的权限信息，根据权限信息确定手机号码对应的权限。当手机号码具有门禁设备的权限时，执行步骤9，当手机号码不具有门禁设备的权限时，执行步骤10。

步骤9、门禁设备开门。

一卡通平台可以向门禁设备发送服务指令，从而门禁设备可以为将门打开。

步骤10、提示无权限。

在一些实施例中，在用户离开门禁范围后，由于丢失红外信号，红外传感器通知微基站的处理器，控制射频天线进入休眠模式，UE切换回运营商其他基站。

需要明确的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，为了简洁，不再赘述。本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，做出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(Application Specific Integrated Circuit，ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、只读存储器(Read-Only Memory，ROM)、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(Radio Frequency，RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。