CN101990204A - 一种插卡终端业务访问的方法及装置 - Google Patents

Abstract

本发明实施例涉及通信技术领域，公开了一种插卡终端业务访问的方法，应用于包括插卡终端、鉴权代理服务器和业务平台的系统中，所述方法包括以下步骤：所述鉴权代理服务器接收所述插卡终端发送的接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；所述鉴权代理服务器提取所述明文IMSI和密文IMSI，根据本地密码对所述密文IMSI进行解密，将解密结果与所述明文IMSI比较，如果一致，则确认所述插卡终端完成接入鉴权；所述鉴权代理服务器将根据所述IMSI获得的所述插卡终端的MSISDN发送给所述插卡终端。本发明实施例中，实现了固定设备可以接入移动网络进行鉴权，对固定用户的使用业务可以基于SIM卡进行计费，并进行用户数据分析。

Description

一种插卡终端业务访问的方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种插卡终端业务访问的方法及装置。

背景技术

以固定接入访问业务平台的方式包括多种，例如，ADSL(AsymmetricalDigital Subscriber Line，非对称数字用户环路)等。根据ADSL设备的具体配置以及业务类型，可分为4种ADSL接入方式：专线方式、PPPoA(Point-to-Pointon ATM，基于ATM线路的点对点协议)、PPPoE(Point-to-Point on Ethernet，基于以太网的点对点协议)和路由方式。在专线方式中使用的是路由器，在PPPoA和PPPoE方式中使用的是BRAS(Broadband Remote Access Server，宽带接入服务器)，在路由方式中既可以使用路由器也可以使用宽带接入服务器。

其中，PPPoA方式中，PPP可以由用户端PC发起，也可以由ADSL-Modem发起，PPPoE方式的PPP由用户端PC发起。由于ATM网卡价格高等局限性，且没有以太网接入方式普及，因此用户通常采用以太网口接入方式。PPPoE方式中ADSL-Modem只需配置1483-Bridge，在ADSL-Modem和宽带接入服务器直接建立PVC(Permanent Virtual Channel，永久虚通道)连接，用户端PC可以通过10Base T以太网口和ADSL-Modem相连。PPPoE需在用户端PC上安装客户端软件，用户需要上网时，只要启动客户端软件，用户端PC将向宽带接入服务器发起PPP连接，宽带接入服务器在接收到PPP连接后，会向用户端PC发送类似于拨号上网的用户认证窗口，在用户端PC输入正确的账号和密码后，宽带接入服务器向用户端PC分配IP地址。

然而，现有技术中以固定接入方式访问业务平台时，其鉴权方式多采用用户名及密码方式，如果用户名及密码是比较长或复杂，例如，数字与字母混合，甚至其中有一些特殊符号，将导致输入操作复杂；另外，用户名或密码很容易被他人盗用，因此安全性较低。而且，通过固定网络接入到INTERNET中的终端，无法象移动终端一样通过接入基站进而访问移动网络中核心网的HLR(Home Location Register，归属位置寄存器)，发起GBA(Generic Bootstrapping Architecture，通用鉴权架构)流程，使用移动网络的鉴权功能。

发明内容

本发明实施例提供了一种插卡终端业务访问的方法及装置，使用户通过固定终端在移动网络完成鉴权，进而访问业务平台。

本发明实施例提供了一种插卡终端业务访问的方法，应用于通过固定网络访问移动网络的系统中，其中所述系统至少包括插卡终端、鉴权代理服务器和业务平台，所述方法包括以下步骤：

所述鉴权代理服务器接收所述插卡终端发送的接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

所述鉴权代理服务器提取所述明文IMSI和密文IMSI，根据本地密码对所述密文IMSI进行解密，将解密结果与所述明文IMSI比较，如果一致，则确认所述插卡终端完成接入鉴权；

所述鉴权代理服务器将根据所述IMSI获得的所述插卡终端的MSISDN发送给所述插卡终端。

其中，所述插卡终端完成接入鉴权之后还包括：

所述鉴权代理服务器接收所述插卡终端发送的GBA鉴权请求；

所述鉴权代理服务器向BSF转发所述GBA鉴权请求，BSF判断鉴权请求来自固定网络，从HLR获取对应插卡终端的MSISDN并进行运算，生成共享密钥，将生成所述共享密钥的相关参数反馈给鉴权代理服务器；

所述鉴权代理服务器将生成所述共享密钥的相关参数反馈给插卡终端，使所述插卡终端根据所述相关参数获得共享密钥。

其中，所述鉴权代理服务器接收所述插卡终端发送的GBA鉴权请求，之前还包括：

所述插卡终端向所述业务平台发送业务访问请求，所述业务平台判断所述插卡终端发送的信息是否包含了共享密钥，如果没有，则返回鉴权代理服务器地址，触发插卡终端发起GBA流程。

其中，之后还包括：

所述插卡终端通过固定网络发起业务访问，业务平台根据用户的插卡终端号码，确认插卡终端的身份、级别信息；

所述业务平台根据用户的身份、级别及共享密钥对用户进行鉴权；

当业务平台对用户鉴权成功后，所述业务平台将用户的相关信息同步给计费和经营分析系统。

其中，所述鉴权代理服务器接收所述插卡终端发送的接入鉴权请求，具体包括：

所述鉴权代理服务器直接接收所述插卡终端发送的接入鉴权请求；或

所述鉴权代理服务器接收其他接入网络转发的所述插卡终端发送的接入鉴权请求。

本发明实施例提供了一种鉴权代理服务器，该鉴权代理服务器应用于通过固定网终访问移动网络的系统中，其中所述网络至少包括一插卡终端，包括：

请求接收模块，用于接收所述插卡终端发送的接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

接入鉴权模块，与所述请求接收模块连接，用于提取所述明文IMSI和密文IMSI，根据本地密码对所述密文IMSI进行解密，将解密结果与所述明文IMSI比较，如果一致，则确认所述插卡终端完成接入鉴权；

发送模块，用于将根据所述IMSI获得的所述插卡终端的MSISDN发送给所述插卡终端。

还包括：

GBA鉴权模块，用于接收所述插卡终端发送的GBA鉴权请求，向BSF转发所述GBA鉴权请求，并将BSF返回的生成共享密钥的相关参数反馈给插卡终端，使所述插卡终端根据所述生成共享密钥的相关参数获得共享密钥。

本发明实施例提供了一种插卡终端，该鉴权代理服务器应用于通过固定网终访问移动网络的系统中，其中在所述固定网络和移动网络的边缘至少设置一鉴权代理服务器，包括：

鉴权请求发送模块，用于向所述鉴权代理服务器发送接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

鉴权信息接收模块，用于所述插卡终端完成接入鉴权后，接收所述鉴权代理服务器返回的插卡终端的MSISDN。

还包括：

共享密钥获取模块，与所述鉴权信息接收模块连接，用于向所述鉴权代理服务器发送GBA鉴权请求，并根据所述BSF返回的生成共享密钥的相关参数获得共享密钥

还包括：

业务访问模块，用于通过固定网络向业务平台发送业务访问请求，所述请求中携带插卡终端号码，确认插卡终端的身份、级别信息。

与现有技术相比，本发明实施例具有以下优点：

本发明实施例中，实现了固定设备可以接入移动网络进行鉴权，对固定用户的使用业务可以基于SIM卡进行计费，并进行用户数据分析。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中通过固定网络访问移动运营商的业务系统架构图；

图2是本发明实施例中插卡终端物理结构图；

图3是本发明实施例中插卡终端逻辑功能结构图；

图4是本发明实施例中一种鉴权代理服务器结构示意图；

图5是本发明实施例中固网插卡设备的登网鉴权流程图；

图6是本发明实施例中插卡终端和业务平台之间协商共享密流程图；

图7是本发明实施例中插卡终端根据协商的共享密钥对业务平台进行访问流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明实施例保护的范围。

本发明实施例提供了一种通过固定网络访问移动运营商的业务，系统架构如图1所示。其中，固定网络中包括具有USIM(User Service Identity Module，用户服务识别模块)或SIM(Subscriber Identity Module，客户识别模块)卡的固网设备。固网设备通过交换机连接到internet，internet通过鉴权代理服务器接入移动网络，完成固网设备的鉴权及业务访问。

其中，固网设备具备机卡接口，可以插入SIM卡，将此类固网设备称为插卡终端。插卡终端的物理结构如图2所示，主要功能集中于应用处理器，应用处理器具有机卡接口，用于连接SIM卡，机卡接口之间传输AT指令，SIM卡中的信息通过HTTP(HyperTextTransferProtocol，超文本传输协议)消息承载。插卡终端可以通过有线或无线方式与交换机相连，接入固定网络当中，当以无线方式与交换机连接时，具有无线通信模块，通过WIFI(WirelessFidelity，无线保真)接口进行无线通信，当以有线方式与交换机连接时，通过LAN(Local Area Network，本地局域网)接口用以太网方式通信。

移动网络中包括：

BSF(引导服务功能)，用于从HLR(Home Location Register，归属位置寄存器)获取鉴权元组，根据用户的鉴权元组信息实现对用户的鉴权，并生成共享密钥Ks。

HLR，用于保存移动用户的基本信息，例如移动用户的SIM的卡号、移动终端号码、签约信息等；并保存移动用户的动态信息，如移动用户的当前位置、移动用户是否已经关机等。

AUC(Authentication Center，鉴权中心)，用于管理与移动用户相关的鉴权信息，完成对移动用户的鉴权，存储移动用户的鉴权参数，并能根据MSC(Mobile Switch Center，移动交换中心)/VLR(Visit Location Register，访问位置寄存器)的请求产生、传送相应的鉴权参数。当GSM(Global System for Mobile Communications，全球移动通讯系统)用户漫游到CDMA(Code Division Multiple Access，码分多址)网络或CDMA用户漫游到GSM网络时，AUC提供相应的移动管理功能、语音呼叫业务/补充业务、短消息业务、数据业务，以及网络具有的所有基本功能和某些特殊功能。通常情况下，HLR与AUC设置在一起。

MSC，用于对位于服务区域中的移动用户进行控制、交换，也是蜂窝网与其它公用交换网或其它MSC之间的用户话务的自动接续设备。MSC具备网络接口、公共信令系统和计费等功能。GMSC(Gateway Mobile SwitchingCenter，网关移动交换中心)，用于固定电话用户拨打GSM网用户时，根据就近入网的原则，将该呼叫接续至最近的移动网。

VLR是一个数据库，存储对应MSC所管辖区域中MS(Mobile Station，移动台)的来话、去话呼叫所需检索的信息，例如用户号码、用户属性、用户所处位置区域的识别、向用户提供的服务等参数。

GGSN(Gateway GPRS Supporting Node，网关GPRS支持节点)，起网关作用，可以和多种不同的数据网络连接，如ISDN(Integrated Services DigitalNetwork，综合业务数字网)、PSPDN(Packet Switched Public Data Network，分组交换公用数据网)和LAN等。

SGSN(Service GPRS Supporting Node，服务GPRS支持节点)，用于记录移动用户的当前位置信息，并且在移动用户和GGSN之间完成移动分组数据的发送和接收。

由于现有技术中固定网络无法接入到移动网络的核心网中，因此，在固定网络和移动网络的边缘，设置了鉴权代理服务器，该鉴权代理服务器可以对插卡终端进行接入鉴权认证，并可以通过BSF与HLR相连，负责完成通过固定网络接入的GBA(Generic Bootstrapping Architecture，通用引导构架)鉴权流程。其中，以SIM卡作为用户身份的标识，当插卡终端访问移动运营商提供的业务时，作为统一的认证鉴权和计费标识。BOSS(业务操作支撑)和BASS(基本完成经营分析)系统可以通过业务平台获取用户SIM卡标识的相关订购和访问信息，从而对通过固定网络访问移动运营商业务的用户做经营分析，并对用户进行分级和分类。业务平台根据用户的级别和类型，可以为用户提供不同级别和类型的服务。

本发明实施例中的插卡终端，如图3所示，包括：

鉴权请求发送模块310，用于向所述鉴权代理服务器发送接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI(International MobileSubscriber Identity，国际移动用户识别码)和密文IMSI；

鉴权信息接收模块320，用于所述插卡终端完成接入鉴权后，接收所述鉴权代理服务器返回的插卡终端的MSISDN(Mobile Station international ISDNnumber，移动台国际ISDN号码)；

共享密钥获取模块330，与鉴权信息接收模块320连接，用于向所述鉴权代理服务器发送GBA鉴权请求，并根据所述BSF返回的生成共享密钥的相关参数获得共享密钥；

业务访问模块340，用于通过固定网络向业务平台发送业务访问请求，所述请求中携带插卡终端号码，确认插卡终端的身份、级别信息。

本发明实施例中的鉴权代理服务器，该鉴权代理服务器应用于通过固定网终访问移动网络的系统中，其中所述网络至少包括一插卡终端，鉴权代理服务器的结构如图4所示，包括：

请求接收模块410，用于接收所述插卡终端发送的接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

接入鉴权模块420，与请求接收模块410连接，用于提取所述明文IMSI和密文IMSI，根据本地密码对所述密文IMSI进行解密，将解密结果与所述明文IMSI比较，如果一致，则确认所述插卡终端完成接入鉴权；

发送模块430，用于将根据所述IMSI获得的所述插卡终端的MSISDN发送给所述插卡终端。

GBA鉴权模块440，用于接收所述插卡终端发送的GBA鉴权请求，向BSF转发所述GBA鉴权请求，并将BSF返回的生成共享密钥的相关参数反馈给插卡终端，使所述插卡终端根据所述生成共享密钥的相关参数获得共享密钥。

本发明实施例实现的固定设备通过固定网络接入移动网络进行鉴权方法，并对固定用户的使用业务基于IMSI卡进行计费和进行用户数据分析。主要包括三个过程：

一，插卡终端接入移动网络中的鉴权代理服务器时的鉴权过程；

二，对于完成对移动网络中的鉴权代理服务器进行接入鉴权的插卡终端，进一步通过鉴权代理服务器发起GBA流程，在插卡终端和业务平台之间协商共享密钥；

三，插卡终端完成GBA流程后，根据协商的共享密钥访问业务平台。

具体地，插卡终端通过固定网络接入移动网络中的鉴权代理服务器的鉴权流程如图5所示，包括以下步骤：

步骤501，插卡终端向接入网络运营商鉴权服务器发送接入鉴权请求，该请求中携带IMSI的明文和对该IMSI做哈希运算的结果(即根据本地加密算法生成密文IMSI)；

由于插卡终端位于固定网络中，没有直接到达移动网络中鉴权代理服务器的接口，而可能具有到达其他接入网络鉴权服务器(联通或电信)的接口，因此，可以通过其他接入网络鉴权服务器向移动网络中的鉴权代理服务器进行接入鉴权；当然，如果在插卡终端与移动网络中的鉴权代理服务器设置了连接接口，则插卡终端可以直接向移动网络中的鉴权代理服务器进行接入鉴权。

IMSI共有15位，其结构如下：MCC+MNC+MIN；

其中，MCC(Mobile Country Code，移动国家码)，共3位，中国为460；

MNC(Mobile Network Code，移动网络码)，共2位，例如：联通CDMA系统使用03，联通一个典型的IMSI号码为460030912121001；

MIN共有10位，其结构如下：09+M0M1M2M3+ABCD。

步骤502，其他接入网络运营商的鉴权服务器接收插卡终端发送的接入鉴权请求，获取该请求中的明文IMSI，根据该明文IMSI发现该插卡终端是中国移动用户；

步骤503，其他运营商的鉴权服务器向移动网络中的鉴权代理服务器转发该接入鉴权请求；

步骤504，移动网络的鉴权代理服务器接收到该接入鉴权请求后，将所述明文IMSI和密文IMSI都提取出来并保存，然后根据本地存储的密码对密文IMSI进行解密，并将解密后的IMSI与明文IMSI比较，如果相同，则说明通过接入鉴权；移动网络中鉴权代理服务器存储的密码与插卡终端的密码同步。

步骤505，入网鉴权成功，移动网络的鉴权代理服务器向插卡终端返回终端的插卡终端号码MSISDN。其中，MSISDN是在公用交换电话网编号计划中唯一地识别移动电话地鉴约号码，其结构为：MSISDN＝CC+NDC+SN；其中：CC是国家码，即在国际长途电话通信网中地号码，中国为86；长度为2位；NDC是移动服务访问码，长度为3位；目前移动为134-139、150、157、158、159，其中157为TD号码，其余的为GSM号码；联通为130-132、156；电信为133、153；SN是用户号码，长度为8位；编码格式为H0H1H2H3ABCD；H0 H1 H2 H3为HLR，即原籍位置寄存器号码；H0 H1 H2由集团公司分配，H3由省公司分配；ABCD为移动用户号码。

对于完成对移动网络中的鉴权代理服务器进行接入鉴权的插卡终端，可以通过固定网络发起的GBA流程，在插卡终端和业务平台之间协商共享密钥，如图6所示，包括以下步骤：

步骤601，插卡终端向业务平台发送业务访问请求；

步骤602，业务平台判断该插卡终端发送的业务访问请求是否包含了鉴权密钥，如果没有，则返回鉴权代理服务器地址，触发插卡终端发起GBA流程，获得鉴权密钥；如果业务访问请求中包含了鉴权密钥，则可以直接与业务平台进行业务访问。

步骤603，插卡终端根据获得的鉴权代理服务器地址向鉴权代理服务器发起GBA鉴权请求；

步骤604，鉴权代理服务器接收该GBA鉴权请求后，确定该插卡终端已完成接入鉴权，则向BSF转发鉴权请求；如果没有完成接入鉴权，则利用图4过程进行接入鉴权；

步骤605，BSF接收到鉴权代理服务器转发的GBA鉴权请求后，判断鉴权请求来自固定网络(由于该插卡终端已完成到鉴权代理服务器的接入鉴权，鉴权代理服务器记录有该插卡终端位于固定网络，并将该信息加入鉴权请求发送到BSF，使BSF获知该鉴权请求来自固定网络)，向HLR/AUC请求认证向量；

具体地，HLR/AUC首先产生一个随机数RAND，然后基于该RAND和插卡终端的根密钥Ki根据A3算法计算出应返回的认证响应SRES，并基于RAND和插卡终端的根密钥Ki用A8算法计算出后续用于加密的密钥Kc，当然，HLR/AUC也可能产生多组这样的认证向量。HLR/AUC将一个或多个(RAND，SRES，Ks)三元组返回给BSF。当然，也可以采用鉴权五元组代替了三元组，5个参数分别是RAND、期望响应(SRES)、加密密钥(CK)、完整性密钥(IK)、鉴权令牌(AUTN)。与GSM相比，增加了IK和AUTN两个参数，其中完整性密钥提供了接入链路信令数据的完整性保护，鉴权令牌增强了用户对网络侧合法性的鉴权。

步骤606，BSF将运算后的(RAND，SRES，Ks)三元组反馈给鉴权代理服务器；

步骤607，鉴权代理服务器将(RAND，SRES，Ks)三元组反馈给插卡终端；

步骤608，插卡终端根据(RAND，SRES，Ks)三元组及本地保存的根密钥Ki，用A8算法计算生成共享密钥Ks，BSF同时将生成的共享密钥Ks发给业务平台。插卡终端和业务平台间的鉴权和数据传输可以根据Ks来完成。

插卡设备完成GBA流程后，可以根据协商的共享密钥对业务平台进行访问，具体流程如图7所示，包括以下步骤：

步骤701，插卡终端通过固定网络向业务平台发起业务访问，业务平台根据用户的插卡终端号码，确认用户的身份、级别等信息；

步骤702，业务平台根据用户的身份、级别及共享密钥等信息对用户进行鉴权，此鉴权为现有技术，不在赘述；

步骤703，当业务平台对用户鉴权成功后，业务平台将用户的相关信息同步给计费和经营分析系统；其中，计费和经营分析系统包括：

计费系统，指处理计费数据采集和批价两个过程的系统。计费数据采集工作包括从电信基础网络(如交换机、网关等)上收集有关的原始基础数据和信息，进行相应的差错检验，格式转换等预处理，生成的结果只记录了用户使用网络的情况(如通话)，并不体现应向用户收取的费用；而批价的动作则是根据既定的规则，对用户使用网络的情况计算费用。

结算系统，包括两种情况：一种称为漫游结算，另一种称为互联结算。当互联结算发生在两个甚至多个网络之间时，称为网间结算；结算的流程本身比较复杂，再加上数据量很大，出现得比较晚，使结算系统逐渐区别于传统的计费系统，成为业务运营支撑系统相对独立的组成部分。

营业系统，通常完成受理和处理用户的业务请求；

帐务系统，将用户使用电信网络的情况汇总形成帐单，支持灵活，多途径的收费功能，满足客户个性化的帐单及其详细话单，并支持多样化的帐单分发方式；提供强大灵活的客户信用度的管理，完善恶意消费控制和欺诈控制；对市场变化做出迅速反映，方便地支持新品牌、新的资费套餐及其新的服务手段的推出。

客户服务系统，保证为客户提供快速方便的服务；并保证在未来新业务开放的情况下，能及时提供相应的功能保证。

决策支持系统，通过动态、有选择性地采集和更新数据源的有效信息及企业处部相关信息，进行智能化地分析、处理、预测、模拟等，最终向各级决策管理者或专业人员提供及时、科学、有效的分析报告，做好信息、智力支持工作。

经营分析系统，通过与其它业务系统的有机结合，有效利用业务支撑系统和服务、财务、网络等系统产生的大量基础数据，运用数据仓库、联机分析处理、数据挖掘等先进技术，并通过预定义报表、即席查询等功能，实现对经营情况的分析和监控。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明序号仅仅为了描述，不代表实施例的优劣。

以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (10)

1.一种插卡终端业务访问的方法，应用于通过固定网络访问移动网络的系统中，其中所述系统至少包括插卡终端、鉴权代理服务器和业务平台，其特征在于，所述方法包括以下步骤：

所述鉴权代理服务器接收所述插卡终端发送的接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

所述鉴权代理服务器提取所述明文IMSI和密文IMSI，根据本地密码对所述密文IMSI进行解密，将解密结果与所述明文IMSI比较，如果一致，则确认所述插卡终端完成接入鉴权；

所述鉴权代理服务器将根据所述IMSI获得的所述插卡终端的MSISDN发送给所述插卡终端。

2.如权利要求1所述的方法，其特征在于，所述插卡终端完成接入鉴权之后还包括：

所述鉴权代理服务器接收所述插卡终端发送的通用引导构架GBA鉴权请求；

所述鉴权代理服务器向引导服务功能BSF转发所述GBA鉴权请求，所述BSF判断所述鉴权请求来自固定网络，从归属位置寄存器HLR获取对应插卡终端的移动台国际ISDN号码MSISDN并进行运算，生成共享密钥，将生成所述共享密钥的相关参数反馈给鉴权代理服务器；

所述鉴权代理服务器将生成所述共享密钥的相关参数反馈给插卡终端，使所述插卡终端根据所述相关参数获得共享密钥。

3.如权利要求2所述的方法，其特征在于，所述鉴权代理服务器接收所述插卡终端发送的GBA鉴权请求，之前还包括：

所述插卡终端向所述业务平台发送业务访问请求，所述业务平台判断所述插卡终端发送的信息是否包含了共享密钥，如果没有，则返回鉴权代理服务器地址，触发插卡终端发起GBA流程。

4.如权利要求1所述的方法，其特征在于，所这插卡终端完成GBA鉴权请求之后还包括：

所述插卡终端通过固定网络发起业务访问，业务平台根据用户的插卡终端号码，确认插卡终端的身份、级别信息；

所述业务平台根据用户的身份、级别及共享密钥对用户进行鉴权；

当业务平台对用户鉴权成功后，所述业务平台将用户的相关信息同步给计费和经营分析系统。

5.如权利要求1所述的方法，其特征在于，所述鉴权代理服务器接收所述插卡终端发送的接入鉴权请求，具体包括：

所述鉴权代理服务器直接接收所述插卡终端发送的接入鉴权请求；或

所述鉴权代理服务器接收其他接入网络转发的所述插卡终端发送的接入鉴权请求。

6.一种鉴权代理服务器，该鉴权代理服务器应用于通过固定网终访问移动网络的系统中，其中所述网络至少包括一插卡终端，其特征在于，包括：

请求接收模块，用于接收所述插卡终端发送的接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

接入鉴权模块，与所述请求接收模块连接，用于提取所述明文IMSI和密文IMSI，根据本地密码对所述密文IMSI进行解密，将解密结果与所述明文IMSI比较，如果一致，则确认所述插卡终端完成接入鉴权；

发送模块，用于将根据所述IMSI获得的所述插卡终端的MSISDN发送给所述插卡终端。

7.如权利要求6所述的鉴权代理服务器，其特征在于，还包括：

GBA鉴权模块，用于接收所述插卡终端发送的GBA鉴权请求，向BSF转发所述GBA鉴权请求，并将BSF返回的生成共享密钥的相关参数反馈给插卡终端，使所述插卡终端根据所述生成共享密钥的相关参数获得共享密钥。

8.一种插卡终端，该鉴权代理服务器应用于通过固定网终访问移动网络的系统中，其中在所述固定网络和移动网络的边缘至少设置一鉴权代理服务器，其特征在于，包括：

鉴权请求发送模块，用于向所述鉴权代理服务器发送接入鉴权请求，所述鉴权请求中携带所述插卡终端的明文IMSI和密文IMSI；

鉴权信息接收模块，用于所述插卡终端完成接入鉴权后，接收所述鉴权代理服务器返回的插卡终端的移动台国际ISDN号码MSISDN。

9.如权利要求8所述的插卡终端，其特征在于，还包括：

共享密钥获取模块，与所述鉴权信息接收模块连接，用于向所述鉴权代理服务器发送GBA鉴权请求，并根据所述BSF返回的生成共享密钥的相关参数获得共享密钥

10.如权利要求8所述的插卡终端，其特征在于，还包括：

业务访问模块，用于通过固定网络向业务平台发送业务访问请求，所述请求中携带插卡终端号码，确认插卡终端的身份、级别信息。

Images