一种接入方法及装置

一种接入方法及装置

　　技术领域

　　本发明涉及通信技术领域，具体涉及一种接入方法及装置。

　　背景技术

　　随着通信技术和终端技术的发展，用户提出了更多更丰富的业务需求。“一号多终端”即为运营商为满足用户需求而推出的一项新的通信业务，用户通过一号多终端业务，可将主卡终端中的主卡与附属智能设备等副卡终端中的副卡绑定，主卡与副卡共享同一个号码、话费及流量套餐，无论主叫或是被叫主卡终端与副卡终端对外均呈现同一号码。进一步地，对于部分用户而言，其不仅希望可以接入归属运营商网络以享受运营商提供的服务，还希望可以接入由微基站构成的微基站联盟，享受微基站联盟提供的个性化、定制化服务。现有的网络体系中，用户终端要接入任意一个网络，均需要与网络侧进行鉴权认证，并且只有在通过鉴权认证之后才可以接入该网络，从而享受网络提供的服务。同样的，用户终端要想接入微基站联盟，同样需要通过微基站联盟的鉴权认证。但是，对于“一号多终端”业务而言，接入场景更多，接入复杂度更高，如何将“一号多终端”业务的终端接入微基站联盟，同时保障微基站联盟和用户的安全性，成为本领域亟待解决的问题。

　　发明内容

　　为此，本发明提供一种接入方法及装置，以解决将“一号多终端”对应的终端接入微基站联盟，同时保障微基站联盟和用户的安全性的问题。

　　为了实现上述目的，本发明第一方面提供一种接入方法，应用于微基站管理服务器，包括：

　　对副卡终端发送的接入信息进行加密，获得第一加密消息；

　　获取所述副卡终端对应的用户属性信息，并根据所述用户属性信息生成授权接入条件；

　　对所述授权接入条件进行会话加密，获得第二加密消息；

　　根据所述第一加密消息和所述第二加密消息生成并发送验证请求至运营商，以供所述运营商基于所述接入信息与接入验证信息对所述副卡终端进行验证；其中，所述接入验证信息为所述运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息；

　　接收所述运营商发送的验证消息；

　　根据所述验证消息确定是否执行所述副卡终端的接入操作。

　　进一步地，所述接入信息是所述副卡终端通过移动交换网和微基站转发的信息。

　　进一步地，所述根据所述第一加密消息和所述第二加密消息生成所述验证请求之后，将所述验证请求发送至所述运营商之前，还包括：

　　使用所述微基站管理服务器的私钥对所述验证请求进行签名。

　　进一步地，所述验证消息是由所述运营商签名的消息；

　　所述接收所述运营商发送的验证消息之后，所述根据所述验证消息确定是否执行所述副卡终端的接入操作之前，还包括：

　　对所述验证消息的签名进行验证；

　　当所述验证消息的签名通过验证后，使用所述微基站管理服务器的私钥对所述验证消息进行解密，获得验证结果。

　　为了实现上述目的，本发明第二方面提供一种接入方法，应用于运营商，包括：

　　接收微基站管理服务器发送的副卡终端的验证请求；其中，所述验证请求包括第一加密消息和第二加密消息，所述第一加密消息为对接入信息进行加密获得的加密消息，所述第二加密消息为对授权接入条件进行会话加密获得的加密消息；

　　对所述第二加密消息进行属性解密，获得会话密钥；

　　利用所述会话密钥对所述第一加密消息进行解密，获得所述接入信息；

　　基于所述接入信息与接入验证信息对所述副卡终端进行验证，获得验证结果；其中，所述接入验证信息为所述运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息；

　　根据所述验证结果生成验证消息；

　　将所述验证消息发送至所述微基站管理服务器，以供所述微基站管理服务器根据所述验证消息确定是否执行所述副卡终端的接入操作。

　　进一步地，所述验证请求是由所述微基站管理服务器签名的消息；

　　所述接收微基站管理服务器发送的副卡终端的验证请求之后，所述对所述第二加密消息进行属性解密，获得会话密钥之前，还包括：

　　对所述验证请求的签名进行验证。

　　进一步地，所述基于所述接入信息与接入验证信息对所述副卡终端进行验证，获得验证结果，包括：

　　根据当前时间发布的随机数和预先存储的用户客服密码生成所述接入验证信息；

　　比较所述接入信息与所述接入验证信息是否一致；

　　根据所述接入信息与所述接入验证信息的比较结果，获得对应的所述验证结果。

　　进一步地，所述根据所述验证结果生成验证消息，包括：

　　使用所述运营商的公钥按照预先约定的算法对所述验证结果进行加密，获得所述验证消息。

　　为了实现上述目的，本发明第三方面提供一种接入装置，应用于微基站管理服务器，包括：

　　第一加密模块，用于对副卡终端发送的接入信息进行加密，获得第一加密消息；

　　获取模块，用于获取所述副卡终端对应的用户属性信息；

　　第一生成模块，用于根据所述用户属性信息生成授权接入条件；

　　第二加密模块，用于对所述授权接入条件进行会话加密，获得第二加密消息；

　　第二生成模块，用于根据所述第一加密消息和所述第二加密消息生成验证请求；

　　服务器发送模块，用于将所述验证请求发送至运营商，以供所述运营商基于所述接入信息与接入验证信息对所述副卡终端进行验证；其中，所述接入验证信息为所述运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息；

　　服务器接收模块，用于接收所述运营商发送的验证消息；

　　判断模块，用于根据所述验证消息确定是否执行所述副卡终端的接入操作。

　　为了实现上述目的，本发明第四方面提供一种接入装置，应用于运营商，包括：

　　运营商接收模块，用于接收微基站管理服务器发送的副卡终端的验证请求；其中，所述验证请求包括第一加密消息和第二加密消息；所述第一加密消息为对接入信息进行加密获得的加密消息，所述第二加密消息为对授权接入条件进行会话加密获得的加密消息；

　　第一解密模块，用于对所述第二加密消息进行属性解密，获得会话密钥；

　　第二解密模块，用于利用所述会话密钥对所述第一加密消息进行解密，获得所述接入信息；

　　验证模块，用于基于所述接入信息与接入验证信息对所述副卡终端进行验证，获得验证结果；其中，所述接入验证信息为所述运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息；

　　第三生成模块，用于根据所述验证结果生成验证消息；

　　运营商发送模块，用于将所述验证消息发送至所述微基站管理服务器，以供所述微基站管理服务器根据所述验证消息确定是否执行所述副卡终端的接入操作。

　　本发明具有如下优点：

　　本发明提供的接入方法，对副卡终端发送的接入信息进行加密，获得第一加密消息；获取副卡终端对应的用户属性信息，并根据用户属性信息生成授权接入条件；对授权接入条件进行会话加密，获得第二加密消息；根据第一加密消息和第二加密消息生成并发送验证请求至运营商，以供运营商基于接入信息与接入验证信息对副卡终端进行验证；其中，接入验证信息为运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息；接收运营商发送的验证消息；根据验证消息确定是否执行副卡终端的接入操作，可以将“一号多终端”对应的终端接入微基站联盟，同时还能保障微基站联盟和用户的安全性。

　　附图说明

　　附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。

　　图1为本发明第一实施例提供的一种接入方法的流程图；

　　图2为本发明第二实施例提供的一种接入方法的流程图；

　　图3为本发明第三实施例提供的一种接入方法的流程图；

　　图4为本发明第四实施例提供的一种接入方法的流程图；

　　图5为本发明第五实施例提供的一种接入方法的流程图；

　　图6为本发明第六实施例提供的一种接入装置的原理框图；

　　图7为本发明第七实施例提供的一种接入装置的原理框图。

　　在附图中：

　　601：第一加密模块602：获取模块

　　603：第一生成模块604：第二加密模块

　　605：第二生成模块606：服务器发送模块

　　607：服务器接收模块608：判断模块

　　701：运营商接收模块702：第一解密模块

　　703：第二解密模块704：验证模块

　　705：第三生成模块706：运营商发送模块

　　具体实施方式

　　以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

　　本发明提供的接入方法及装置，考虑到“一号多终端”业务中终端的接入场景较多，接入复杂度较高的问题，提出一种新的接入方法及装置，可以将“一号多终端”业务的终端安全地接入微基站联盟，同时还可以保障微基站联盟和用户的安全性。

　　图1是本发明第一实施例提供的一种接入方法的流程图，应用于微基站管理服务器。如图1所示，该接入方法可包括如下步骤：

　　步骤S101，对副卡终端发送的接入信息进行加密，获得第一加密消息。

　　其中，副卡终端是相对主卡终端而言的，主卡终端与副卡终端均为“一号多终端”业务下的终端。“一号多终端”业务允许用户在自己当前的手机号码账户和套餐下，添加一个或多个附属智能设备(如，智能手表等可穿戴设备)作为副卡终端，主卡终端(即手机终端)与副卡终端共用一个手机号码，当手机号码来电时两个终端同振，任意终端均可接听或拨出电话。

　　微基站联盟是由若干微基站和相应的管理系统组成的联盟，其可以为接入的用户提供定制化的服务。微基站管理服务器即为管理微基站联盟的服务器，与运营商的核心网系统相连，可以与运营商之间进行信息交互。副卡终端要接入微基站联盟享受微基站联盟提供的服务时，需要经过微基站联盟的验证。在本实施例中，由微基站管理服务器通过运营商来对副卡终端进行验证，并将通过验证的副卡终端接入微基站联盟。

　　在一个实施方式中，当副卡终端发现连接范围内存在可用微基站时，副卡终端通过现有的移动蜂窝网与微基站建立连接，并发起接入请求；其中，接入请求包括附卡终端标识、附卡终端对应的手机号码、附卡终端的用户属性信息等内容。当主卡终端接收到接入请求时，对接入请求的签名进行验证，当接入请求的签名通过验证后，主卡终端使用副卡终端的公钥，并按照预先约定的算法对接入信息进行加密，并使用主卡终端的私钥对加密后的接入信息进行签名，然后将签名后的接入信息进行广播；其中，接入信息为主卡终端根据运营商定期广播的随机数、随机数对应的时间戳和用户预设的用户客服密码按照预先约定的算法进行计算获得的加密信息。副卡终端接收主卡终端发送的接入信息后，首先对接入信息的签名进行验证，并在接入信息的签名通过验证后，使用副卡终端的私钥按照预先约定的算法对接入信息进行解密，获得解密的接入信息，然后副卡终端将解密的接入信息、附卡终端标识、附卡终端对应的手机号码等信息通过移动交换网发送至微基站，并由微基站将接入信息、附卡终端标识、附卡终端对应的手机号码等信息转发至微基站管理服务器。

　　微基站管理服务器接收副卡终端发送的接入信息以及附卡终端标识、附卡终端对应的手机号码等信息后，使用系统密钥对接入信息进行加密，获得第一加密消息。

　　需要说明的是，主卡终端生成接入信息使用的随机数为具有时间戳的随机数，该随机数具有时效性，因此，基于该随机数生成的接入信息也具有时效性。即便黑客截获接入信息，并使用正确的解密方法解密接入信息，但是，由于解密需要耗费一定时间，一旦超过预设时效，黑客仍然无法获取用户客服密码，从而可以保护微基站联盟和用户的信息安全。

　　步骤S102，获取副卡终端对应的用户属性信息，并根据用户属性信息生成授权接入条件。

　　用户属性信息是用于描述用户某些特性的信息。在本实施例中，用户属性信息侧重于描述用户是否具有合法接入身份等特性。在实际中，用户属性信息具有多种表现形式，如，使用用户属性证书来描述用户属性信息。

　　在一个实施方式中，在运营商的核心网系统设置用户属性，用户属性包括运营商归属属性和微基站接入属性，由对应的用户属性值进行描述，用户属性和用户属性值共同构成用户属性信息。其中，用户属性和用户属性值可以有多种描述方式，如，微基站接入属性可以通过设置相应的微基站接入许可标识进行描述，具体地，通过核心网系统的统一数据管理功能实体在副卡终端对应用户的签约数据中新增一条微基站接入许可标识，当微基站接入许可标识设置为“1”时，说明允许副卡终端对应的用户接入微基站联盟。

　　微基站管理服务器从运营商的服务器获取副卡终端对应的用户属性证书，从用户属性证书中获得用户属性信息，并根据用户属性信息生成对应的授权接入条件。

　　需要说明的是，只有用户具有真实合法的归属运营商且经过微基站联盟的接入授权之后，用户才可以接入微基站联盟。

　　步骤S103，对授权接入条件进行会话加密，获得第二加密消息。

　　在一个实施方式中，微基站管理服务器对授权接入条件使用会话密钥进行会话加密，获得第二加密消息。

　　步骤S104，根据第一加密消息和第二加密消息生成并发送验证请求至运营商，以供运营商基于接入信息与接入验证信息对副卡终端进行验证。

　　其中，接入验证信息为运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息。

　　在一个实施方式中，微基站管理服务器根据第一加密消息、第二加密消息以及副卡终端的号码标识、副卡终端标识、微基站标识等信息生成验证请求，并将验证请求发送至运营商。

　　运营商接收验证请求后，对验证请求中的第二加密消息进行属性解密，获得会话密钥，并使用会话密钥对第一加密消息进行解密，获得接入信息，然后使用接入信息和接入验证信息对副卡终端进行验证，获得验证结果，并根据验证结果生成验证消息，然后将验证消息发送至微基站管理服务器，微基站管理服务器接收验证消息后，根据验证消息的内容确定是否执行副卡终端的接入操作。具体地，当验证消息为副卡终端通过验证时，微基站管理服务器将副卡终端接入微基站联盟，当验证消息为副卡终端没有通过验证时，微基站管理服务器不执行副卡终端的接入操作。

　　步骤S105，接收运营商发送的验证消息。

　　其中，验证消息是运营商根据验证结果生成的消息。验证消息是否加密可以根据使用场景和安全等级要求进行设置，在一些不敏感的安全场景中，可以直接使用未加密的消息作为验证消息，在对安全要求较高的使用场景中，运营商需要对验证消息进行加密或者签名等操作之后再向微基站管理服务器发送验证消息，以增加信息传输的安全性。

　　在一个实施方式中，运营商获得验证结果之后，使用微基站的公钥按照预先约定的算法对验证结果进行加密，获得验证消息，并使用运营商的私钥对验证消息进行签名后发送至微基站管理服务器。微基站管理服务器接收运营商发送的验证消息。

　　需要说明的是，在一些实施方式中，运营商只有在副卡终端通过验证时向微基站管理服务器发送验证消息，以供微基站管理服务器根据验证消息执行后续的接入操作。

　　步骤S106，根据验证消息确定是否执行副卡终端的接入操作。

　　当验证消息的内容为副卡终端通过验证时，微基站管理服务器将副卡终端接入微基站联盟；当验证消息的内容为副卡终端未通过验证时，微基站管理服务器不执行副卡终端的接入操作。

　　在一个实施方式中，微基站管理服务器接收验证消息之后，获取验证消息中的内容，当验证消息内容为副卡终端通过验证时，微基站管理服务器允许副卡终端接入微基站联盟，并执行副卡终端的接入操作；当验证消息内容为副卡终端未通过验证时，微基站管理服务器不允许副卡终端接入微基站联盟，同时也不执行副卡终端的接入操作。

　　图2是本发明第二实施例提供的一种接入方法的流程图，应用于微基站管理服务器，与本发明第一实施例基本相同，区别之处在于：在生成验证请求之后，发送验证请求之前，对验证请求进行签名。如图2所示，该接入方法可包括如下步骤：

　　步骤S201，对副卡终端发送的接入信息进行加密，获得第一加密消息。

　　本实施例中的步骤S201与本发明第一实施例中步骤S101的内容相同，在此不再赘述。

　　步骤S202，获取副卡终端对应的用户属性信息，并根据用户属性信息生成授权接入条件。

　　本实施例中的步骤S202与本发明第一实施例中步骤S102的内容相同，在此不再赘述。

　　步骤S203，对授权接入条件进行会话加密，获得第二加密消息。

　　本实施例中的步骤S203与本发明第一实施例中步骤S103的内容相同，在此不再赘述。

　　步骤S204，根据第一加密消息和第二加密消息生成验证请求。

　　本实施例中的步骤S204与本发明第一实施例中步骤S104中生成验证请求的内容相同，在此不再赘述。

　　步骤S205，使用微基站管理服务器的私钥对验证请求进行签名。

　　对验证请求的签名为电子签名的一种，电子签名使用公钥加密领域的技术实现，可以用来确认信息发送方的身份。具体地，在区块链网络中，节点使用其私钥对信息进行签名形成电子签名，该电子签名可以作为签名者的身份证明，签名代表签名者对签名文件的认可和不可抵赖。通过对信息进行签名，可以保证信息的安全性，同时信息接收方根据签名可以明确地获知信息发送方，从而避免接收来源不明的信息。另外，基于公钥加密的电子签名，也使得接收方验证信息的签名时较为容易。

　　在一个实施方式中，微基站管理服务器根据第一加密消息和第二加密消息生成验证请求之后，使用微基站管理服务器的私钥对验证请求进行签名后，再将签名的验证请求发送至运营商。

　　步骤S206，将验证请求发送至运营商，以供运营商基于接入信息与接入验证信息对副卡终端进行验证。

　　本实施例中的步骤S206与本发明第一实施例中步骤S104中发送验证请求的内容相同，在此不再赘述。

　　步骤S207，接收运营商发送的验证消息。

　　本实施例中的步骤S207与本发明第一实施例中步骤S105的内容相同，在此不再赘述。

　　步骤S208，根据验证消息确定是否执行副卡终端的接入操作。

　　本实施例中的步骤S208与本发明第一实施例中步骤S106的内容相同，在此不再赘述。

　　图3是本发明第三实施例提供的一种接入方法的流程图，应用于微基站管理服务器，与本发明第一实施例基本相同，区别之处在于：对运营商发送的验证消息进行签名验证，并在验证消息通过签名验证后进一步对验证消息进行解密，以获得验证结果。如图3所示，该接入方法可包括如下步骤：

　　步骤S301，对副卡终端发送的接入信息进行加密，获得第一加密消息。

　　本实施例中的步骤S301与本发明第一实施例中步骤S101的内容相同，在此不再赘述。

　　步骤S302，获取副卡终端对应的用户属性信息，并根据用户属性信息生成授权接入条件。

　　本实施例中的步骤S302与本发明第一实施例中步骤S102的内容相同，在此不再赘述。

　　步骤S303，对授权接入条件进行会话加密，获得第二加密消息。

　　本实施例中的步骤S303与本发明第一实施例中步骤S103的内容相同，在此不再赘述。

　　步骤S304，根据第一加密消息和第二加密消息生成并发送验证请求至运营商，以供运营商基于接入信息与接入验证信息对副卡终端进行验证。

　　本实施例中的步骤S304与本发明第一实施例中步骤S104的内容相同，在此不再赘述。

　　步骤S305，接收运营商发送的验证消息。

　　本实施例中的步骤S305与本发明第一实施例中步骤S105的内容相同，在此不再赘述。

　　步骤S306，对验证消息的签名进行验证。

　　当验证消息为由运营商签名的消息时，微基站管理服务器接收验证消息之后，需要先对验证消息的签名进行验证，从而确保验证消息的发送方为真实有效的节点，同时也能确保验证消息本身是完整的。

　　在一个实施方式中，微基站管理服务器接收验证消息后，通过区块链账本获知运营商的公钥，并使用运营商的公钥对验证消息的签名进行验证。当验证消息的签名通过验证时，执行后续的步骤；当验证消息的签名未通过验证时，终止后续步骤。

　　步骤S307，当验证消息的签名通过验证后，使用微基站管理服务器的私钥对验证消息进行解密，获得验证结果。

　　在一些对安全要求较高的场景中，运营商发送的验证消息不仅经过运营商的签名，而且验证消息本身也是经过运营商加密的消息。因此，在验证消息的签名通过验证之后，微基站管理服务器还需要对验证消息进行解密，以获得验证结果，验证结果即验证消息中携带的信息，包括验证通过或验证未通过等内容。

　　在一个实施方式中，当验证消息的签名通过验证后，微基站管理服务器使用其私钥对验证消息进行解密，获得验证结果。其中，验证结果包括验证通过和验证不通过两种情况。

　　步骤S308，根据验证消息确定是否执行副卡终端的接入操作。

　　本实施例中的步骤S308与本发明第一实施例中步骤S106的内容相同，在此不再赘述。

　　图4是本发明第四实施例提供的一种接入方法的流程图，应用于运营商。如图4所示，该接入方法可包括如下步骤：

　　步骤S401，接收微基站管理服务器发送的副卡终端的验证请求。

　　其中，验证请求包括第一加密消息和第二加密消息，第一加密消息为对接入信息进行加密获得的加密消息，第二加密消息为对授权接入条件进行会话加密获得的加密消息。对于副卡终端而言，接入信息可以由副卡终端直接在本地生成，也可以接收由主卡终端生成并发送的接入信息。

　　在一个实施方式中，当副卡终端发现连接范围内存在可用微基站时，副卡终端通过现有的移动蜂窝网与微基站建立连接，并发起接入请求。当主卡终端接收到副卡终端的接入请求时，对接入请求的签名进行验证，当接入请求的签名通过验证后，主卡终端使用副卡终端的公钥，并按照预先约定的算法对接入信息进行加密，并使用主卡终端的私钥对加密后的接入信息进行签名，然后将签名后的接入信息进行广播；其中，接入信息为主卡终端根据运营商定期广播的随机数、随机数对应的时间戳和用户预设的用户客服密码按照预先约定的算法进行计算获得的加密信息。

　　副卡终端接收主卡终端发送的接入信息后，首先对接入信息的签名进行验证，并在接入信息的签名通过验证后，使用副卡终端的私钥按照预先约定的算法对接入信息进行解密，获得解密的接入信息，然后副卡终端将解密的接入信息、附卡终端标识、附卡终端对应的手机号码等信息通过移动交换网发送至微基站，并由微基站将接入信息、附卡终端标识、附卡终端对应的手机号码等信息转发至微基站管理服务器。

　　微基站管理服务器接收副卡终端发送的接入信息以及附卡终端标识、附卡终端对应的手机号码等信息后，使用系统密钥对接入信息进行加密，获得第一加密消息。

　　另外，微基站管理服务器从运营商的服务器中获取副卡终端对应的用户属性证书，从用户属性证书中获得用户属性信息，并根据用户属性信息生成对应的授权接入条件，对授权接入条件使用会话密钥进行会话加密，获得第二加密消息。

　　微基站管理服务器根据第一加密消息、第二加密消息以及副卡终端的号码标识、副卡终端标识、微基站标识等信息生成验证请求，并将验证请求发送至运营商。运营商接收微基站管理服务器发送的副卡终端的验证请求。

　　步骤S402，对第二加密消息进行属性解密，获得会话密钥。

　　在一个实施方式中，运营商使用属性密钥对第二加密消息进行属性解密，获得会话密钥。

　　步骤S403，利用会话密钥对第一加密消息进行解密，获得接入信息。

　　第一加密消息是对接入信息进行加密获得的加密消息，对第一加密消息进行解密之后，可以获得接入信息。

　　在一个实施方式中，运营商利用解密第二加密消息获得的会话密钥对第一加密消息进行解密，获得接入信息。

　　步骤S404，基于接入信息与接入验证信息对副卡终端进行验证，获得验证结果。

　　其中，接入验证信息为运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息。

　　在一个实施方式中，运营商根据当前时间发布的随机数和预先存储的用户客服密码生成接入验证信息，并比较接入信息与接入验证信息是否一致，根据接入信息与接入验证信息的比较结果，获得对应的验证结果。具体地，当接入信息与接入验证信息一致时，获得的验证结果为验证通过，当接入信息与接入验证信息不一致时，获得的验证结果为验证未通过。

　　步骤S405，根据验证结果生成验证消息。

　　运营商可以直接根据验证结果生成验证消息，也可以将验证结果进行加密后，生成加密的验证消息。

　　在一个实施方式中，运营商根据获得的验证结果，使用微基站的公钥并按照预先约定的算法生成对应的验证消息。

　　步骤S406，将验证消息发送至微基站管理服务器，以供微基站管理服务器根据验证消息确定是否执行副卡终端的接入操作。

　　在一个实施方式中，运营商使用运营商的私钥对生成的验证消息进行签名，并将签名后的验证消息发送至微基站管理服务器。微基站管理服务器接收验证消息后，获取验证消息中的内容(当验证消息为加密消息时，获取过程包括对验证消息的解密过程)，当验证消息内容为副卡终端通过验证时，微基站管理服务器允许副卡终端接入微基站联盟，并执行副卡终端的接入操作；当验证消息内容为副卡终端未通过验证时，微基站管理服务器不允许副卡终端接入微基站联盟，同时也不执行副卡终端的接入操作。

　　图5是本发明第五实施例提供的一种接入方法的流程图，应用于运营商，与本发明第四实施例基本相同，区别之处在于：对接收的验证请求进行签名验证。如图5所示，该接入方法可包括如下步骤：

　　步骤S501，接收微基站管理服务器发送的副卡终端的验证请求。

　　本实施例中的步骤S501与本发明第四实施例中步骤S401的内容相同，在此不再赘述。

　　步骤S502，对验证请求的签名进行验证。

　　当验证请求为由微基站管理服务器签名的消息时，运营商接收验证请求之后，需要先对验证请求的签名进行验证，从而确保验证请求的发送方为真实有效的节点，同时也能确保验证请求本身是完整的。

　　在一个实施方式中，运营商接收验证请求后，通过区块链账本查询到微基站管理服务器的公钥，并使用微基站管理服务器的公钥对验证请求的签名进行验证。当验证请求的签名通过验证时，执行后续的步骤；当验证请求的签名未通过验证时，终止后续步骤。

　　步骤S503，对第二加密消息进行属性解密，获得会话密钥。

　　本实施例中的步骤S503与本发明第四实施例中步骤S402的内容相同，在此不再赘述。

　　步骤S504，利用会话密钥对第一加密消息进行解密，获得接入信息。

　　本实施例中的步骤S504与本发明第四实施例中步骤S403的内容相同，在此不再赘述。

　　步骤S505，基于接入信息与接入验证信息对副卡终端进行验证，获得验证结果。

　　本实施例中的步骤S505与本发明第四实施例中步骤S404的内容相同，在此不再赘述。

　　步骤S506，根据验证结果生成验证消息。

　　本实施例中的步骤S506与本发明第四实施例中步骤S405的内容相同，在此不再赘述。

　　步骤S507，将验证消息发送至微基站管理服务器，以供微基站管理服务器根据验证消息确定是否执行副卡终端的接入操作。

　　本实施例中的步骤S507与本发明第四实施例中步骤S406的内容相同，在此不再赘述。

　　上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。

　　图6是本发明第六实施例提供的一种接入装置的原理框图，应用于微基站管理服务器。如图6所示，该接入装置包括：第一加密模块601、获取模块602、第一生成模块603、第二加密模块604、第二生成模块605、服务器发送模块606、服务器接收模块607和判断模块608。

　　第一加密模块601，用于对副卡终端发送的接入信息进行加密，获得第一加密消息。

　　副卡终端要接入微基站联盟享受微基站联盟提供的服务时，需要经过微基站联盟的验证。在本实施例中，由微基站管理服务器通过运营商来对副卡终端进行验证，并将通过验证的副卡终端接入微基站联盟。

　　在一个实施方式中，当副卡终端发现连接范围内存在可用微基站时，副卡终端通过现有的移动蜂窝网与微基站建立连接，并发起接入请求；其中，接入请求包括附卡终端标识、附卡终端对应的手机号码、附卡终端的用户属性信息等内容。当主卡终端接收到接入请求时，对接入请求的签名进行验证，当接入请求的签名通过验证后，主卡终端使用副卡终端的公钥，并按照预先约定的算法对接入信息进行加密，并使用主卡终端的私钥对加密后的接入信息进行签名，然后将签名后的接入信息进行广播；其中，接入信息为主卡终端根据运营商定期广播的随机数、随机数对应的时间戳和用户预设的用户客服密码按照预先约定的算法进行计算获得的加密信息。副卡终端接收主卡终端发送的接入信息后，首先对接入信息的签名进行验证，并在接入信息的签名通过验证后，使用副卡终端的私钥按照预先约定的算法对接入信息进行解密，获得解密的接入信息，然后副卡终端将解密的接入信息、附卡终端标识、附卡终端对应的手机号码等信息通过移动交换网发送至微基站，并由微基站将接入信息、附卡终端标识、附卡终端对应的手机号码等信息转发至微基站管理服务器。

　　微基站管理服务器接收副卡终端发送的接入信息以及附卡终端标识、附卡终端对应的手机号码等信息后，通过第一加密模块601使用系统密钥对接入信息进行加密，获得第一加密消息。

　　获取模块602，用于获取副卡终端对应的用户属性信息。

　　用户属性信息是用于描述用户某些特性的信息。

　　在一个实施方式中，在运营商的核心网系统设置用户属性，用户属性包括运营商归属属性和微基站接入属性，由对应的用户属性值进行描述，用户属性和用户属性值共同构成用户属性信息。微基站管理服务器通过获取模块602从运营商的服务器获取副卡终端对应的用户属性证书，并从用户属性证书中获得用户属性信息。

　　第一生成模块603，用于根据用户属性信息生成授权接入条件。

　　在一个实施方式中，微基站管理服务器通过第一生成模块603根据用户属性信息生成对应的授权接入条件。

　　第二加密模块604，用于对授权接入条件进行会话加密，获得第二加密消息。

　　在一个实施方式中，微基站管理服务器通过第二加密模块604对授权接入条件使用会话密钥进行会话加密，获得第二加密消息。

　　第二生成模块605，用于根据第一加密消息和第二加密消息生成验证请求。

　　在一个实施方式中，微基站管理服务器通过第二生成模块605根据第一加密消息、第二加密消息以及副卡终端的号码标识、副卡终端标识、微基站标识等信息生成验证请求。

　　服务器发送模块606，用于将验证请求发送至运营商，以供运营商基于接入信息与接入验证信息对副卡终端进行验证。

　　其中，接入验证信息为运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息。

　　在一个实施方式中，微基站管理服务器通过服务器发送模块606将验证请求发送至运营商。运营商接收验证请求后，对验证请求中的第二加密消息进行属性解密，获得会话密钥，并使用会话密钥对第一加密消息进行解密，获得接入信息，然后使用接入信息和接入验证信息对副卡终端进行验证，获得验证结果，并根据验证结果生成验证消息，然后将验证消息发送至微基站管理服务器。

　　服务器接收模块607，用于接收运营商发送的验证消息。

　　其中，验证消息是运营商根据验证结果生成的消息。

　　在一个实施方式中，运营商获得验证结果之后，使用微基站的公钥按照预先约定的算法对验证结果进行加密，获得验证消息，并使用运营商的私钥对验证消息进行签名后发送至微基站管理服务器。微基站管理服务器通过服务器接收模块607接收运营商发送的验证消息。

　　判断模块608，用于根据验证消息确定是否执行副卡终端的接入操作。

　　当验证消息的内容为副卡终端通过验证时，微基站管理服务器将副卡终端接入微基站联盟；当验证消息的内容为副卡终端未通过验证时，微基站管理服务器不执行副卡终端的接入操作。

　　在一个实施方式中，微基站管理服务器接收验证消息之后，获取验证消息中的内容，通过判断模块608确定是否执行副卡终端的接入操作。具体地，当验证消息内容为副卡终端通过验证时，微基站管理服务器允许副卡终端接入微基站联盟，并执行副卡终端的接入操作；当验证消息内容为副卡终端未通过验证时，微基站管理服务器不允许副卡终端接入微基站联盟，同时也不执行副卡终端的接入操作。

　　图7是本发明第七实施例提供的一种接入装置的原理框图，应用于运营商。如图7所示，该接入装置包括：运营商接收模块701、第一解密模块702、第二解密模块703、验证模块704、第三生成模块705和运营商发送模块706。

　　运营商接收模块701，用于接收微基站管理服务器发送的副卡终端的验证请求。

　　其中，验证请求包括第一加密消息和第二加密消息，第一加密消息为对接入信息进行加密获得的加密消息，第二加密消息为对授权接入条件进行会话加密获得的加密消息。对于副卡终端而言，接入信息可以由副卡终端直接在本地生成，也可以接收由主卡终端生成并发送的接入信息。

　　在一个实施方式中，当副卡终端发现连接范围内存在可用微基站时，副卡终端通过现有的移动蜂窝网与微基站建立连接，并发起接入请求。当主卡终端接收到副卡终端的接入请求时，将接入信息发送至副卡终端；其中，接入信息为主卡终端根据运营商定期广播的随机数、随机数对应的时间戳和用户预设的用户客服密码按照预先约定的算法进行计算获得的加密信息。

　　副卡终端接收主卡终端发送的接入信息后，基于接入信息、附卡终端标识、附卡终端对应的手机号码等信息通过移动交换网发送至微基站，并由微基站将接入信息、附卡终端标识、附卡终端对应的手机号码等信息转发至微基站管理服务器。

　　微基站管理服务器接收副卡终端发送的接入信息以及附卡终端标识、附卡终端对应的手机号码等信息后，使用系统密钥对接入信息进行加密，获得第一加密消息。另外，微基站管理服务器从运营商的服务器中获取副卡终端对应的用户属性证书，从用户属性证书中获得用户属性信息，并根据用户属性信息生成对应的授权接入条件，对授权接入条件使用会话密钥进行会话加密，获得第二加密消息。最后，微基站管理服务器根据第一加密消息、第二加密消息以及副卡终端的号码标识、副卡终端标识、微基站标识等信息生成验证请求，并将验证请求发送至运营商。运营商通过运营商接收模块701接收微基站管理服务器发送的副卡终端的验证请求。

　　第一解密模块702，用于对第二加密消息进行属性解密，获得会话密钥。

　　在一个实施方式中，运营商通过第一解密模块702使用属性密钥对第二加密消息进行属性解密，获得会话密钥。

　　第二解密模块703，用于利用会话密钥对第一加密消息进行解密，获得接入信息。

　　第一加密消息是对接入信息进行加密获得的加密消息，对第一加密消息进行解密之后，可以获得接入信息。

　　在一个实施方式中，运营商通过第二解密模块703利用解密第二加密消息获得的会话密钥对第一加密消息进行解密，获得接入信息。

　　验证模块704，用于基于接入信息与接入验证信息对副卡终端进行验证，获得验证结果。

　　其中，接入验证信息为运营商根据当前时间发布的随机数和预先存储的用户客服密码生成的信息。

　　在一个实施方式中，运营商根据当前时间发布的随机数和预先存储的用户客服密码生成接入验证信息，并通过验证模块704比较接入信息与接入验证信息是否一致，根据接入信息与接入验证信息的比较结果，获得对应的验证结果。具体地，当接入信息与接入验证信息一致时，获得的验证结果为验证通过，当接入信息与接入验证信息不一致时，获得的验证结果为验证未通过。

　　第三生成模块705，用于根据验证结果生成验证消息。

　　运营商可以直接根据验证结果生成验证消息，也可以将验证结果进行加密后，生成加密的验证消息。

　　在一个实施方式中，运营商通过第三生成模块705，根据验证结果，使用微基站的公钥并按照预先约定的算法生成对应的验证消息。

　　运营商发送模块706，用于将验证消息发送至微基站管理服务器，以供微基站管理服务器根据验证消息确定是否执行副卡终端的接入操作。

　　在一个实施方式中，运营商使用运营商的私钥对生成的验证消息进行签名，并将签名后的验证消息通过运营商发送模块706发送至微基站管理服务器。微基站管理服务器接收验证消息后，获取验证消息中的内容(当验证消息为加密消息时，获取过程包括对验证消息的解密过程)，当验证消息内容为副卡终端通过验证时，微基站管理服务器允许副卡终端接入微基站联盟，并执行副卡终端的接入操作；当验证消息内容为副卡终端未通过验证时，微基站管理服务器不允许副卡终端接入微基站联盟，同时也不执行副卡终端的接入操作。

　　值得一提的是，本实施方式中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本发明的创新部分，本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入，但这并不表明本实施方式中不存在其它的单元。

　　可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。