Lte電力無線專網的二次身份認證系統的制作方法
【專利摘要】本實用新型涉及一種LTE電力無線專網的二次身份認證系統����,包括與終端通信的基站��,用戶歸屬服務器,與所述基站通信的移動管理實體和系統架構演進網關�,以及對所述終端進行二次認證的二次認證網關;所述二次認證網關通過通信接口與所述系統架構演進網關進行數據連接��;所述移動管理實體分別連接至所述用戶歸屬服務器和所述系統架構網關�。本實用新型在終端接入LTE電力無線專網時通過二次認證網關對終端進行二次認證,有效提高了LTE電力無線專網的安全性能���,并且能滿足對實時性要求很高的LTE電力無線專網應用。
【專利說明】
LTE電力無線專網的二次身份認證系統
技術領域
[0001]本實用新型涉及無線專網通信安全領域�����,特別是涉及一種LTE電力無線專網的二次身份認證系統�。
【背景技術】
[0002]作為3GPP組織在其標準文檔中建議的認證與密鑰協商方案,EPS-AKA(EvolvedPacket System-Authenticat1n and Key Agreement)是LTE網絡安全的核心及基礎�����。EPS-AKA是從3G網絡中的3G-AKA方案演化而來����,延續了以往認證方案的“挑戰/響應”流程,通過LTE用戶終端(UE����,User End)與網絡之間的相互認證過程��,完成會話密鑰的協商,為后續的通信做好加密工作���,提供通信的安全保障。
[0003]然而����,在LTE電力無線專網的應用中�����,EPS-AKA方案中仍然存在如下嚴重的安全漏洞:
[0004](I)在UE初次與MME(Mobility Management Entity���,移動管理實體)進行通信時�����,或當MME無法從UE的S-TMSI(臨時身份標識)中找到對應的IMSI (Internat1nal MobileSubscriber Identificat1n Number,國際移動用戶識別碼)時�����,網絡會要求UE發送IMSI。由于IMSI是以明文形式在無線信道中進行傳輸,就可能會被攻擊者截獲,所以很容易就把頂SI泄漏給攻擊者��,這樣用戶很容易就被追蹤或遭受偽基站攻擊��,進而引發UE被定位和追蹤的危險����,甚至可能導致因用戶身份信息被竊取而引發的非法網絡主動攻擊�����、拒絕服務攻擊等危險事件���;
[0005](2)HSS(Home Subscriber Server�,歸屬簽約用戶服務器)與MME之間傳遞的關鍵信息如SNID(服務網絡身份標識)����、AV(認證向量組)未受到保護。明文傳輸的SNID、AV很可能會被竊聽和截獲�����,其中所包含的標識信息等重要數據會成為攻擊者下一步攻擊的基礎�;
[0006](3)由于LTE采用的是對稱加密體制�,密鑰的傳輸和分配會隨著網絡中的設備增加而變得復雜,安全性也難以得到維護��,無法滿足下一代網絡對高可靠性和靈活性的要求。
[0007]目前針對上述安全隱患����,LTE電力無線專網的應用��,部分采用了端到端的信息加密的安全增強方案,即通過在終端側引入加密卡、網絡側引入加密設備����,通過專網私有算法����,對業務數據進行安全加密處理�����,實現LTE傳輸的安全性�����,但存在以下缺點:
[0008](I)每一個業務數據包都需要經過終端和網絡的加密和解密處理,將明顯增加傳輸時延,無法適用于對實時性要求很高的應用場景����;
[0009](2)所有的業務數據都需要經過保密設備加解密處理�����,保密設備容易成為網絡的瓶頸;
[0010](3)端到端的信息加密方案只是針對業務數據加密����,并未解決LTE無線專網的安全接入問題,即仿冒終端還是可以接入LTE網絡����,接入后還是能夠對網絡設備產生攻擊威脅��,譬如攻擊保設備;
[0011](4)端到端的業務信息加密存在多種實現方案����,對終端需要進行硬軟件改造�,對核心網也可能存在改造的工作量���,不具備通用性�����,推廣性差����。一旦加密方案和算法公開��,又會面臨與3GPP安全架構同樣的破解風險�。
【實用新型內容】
[0012]基于此���,為解決現有技術中的問題����,本實用新型提供一種LTE電力無線專網的二次身份認證系統,提高LTE電力無線專網的安全性能�����。
[0013]為實現上述目的���,本實用新型實施例采用以下技術方案:
[0014]一種LTE電力無線專網的二次身份認證系統�,包括與終端通信的基站����,用戶歸屬服務器,與所述基站通信的移動管理實體和系統架構演進網關,以及對所述終端進行二次認證的二次認證網關����;
[0015]所述二次認證網關通過通信接口與所述系統架構演進網關進行數據連接����;
[0016]所述移動管理實體分別連接至所述用戶歸屬服務器和所述系統架構網關。
[0017]本實用新型提供的LTE電力無線專網的二次身份認證系統��,針對EPS-AKA存在的安全隱患以及已有解決方案的不足�����,在終端接入LTE電力無線專網時通過二次認證網關對終端進行二次認證�,有效提高了 LTE電力無線專網的安全性能��,并且能滿足對實時性要求很高的LTE電力無線專網應用���。另外��,本實用新型提供的LTE電力無線專網的二次身份認證系統與現有技術中端到端的信息加密方案沒有任何沖突,可聯合部署����。本實施例中的LTE電力無線專網的二次身份認證系統沒有改變現有LTE體系架構���,不用對基站���、核心網設備做大規模改造工作,因而具備通用性,推廣性較高。
【附圖說明】
[0018]圖1是本實用新型中LTE電力無線專網的二次身份認證系統在一個實施例中的架構圖����;
[0019]圖2是本實用新型實施例中LTE電力無線專網的二次身份認證系統執行聯合身份認證方法的流程示意圖�;
[0020]圖3為本實用新型實施例中聯合身份認證成功時的時序圖��;
[0021 ]圖4為本實用新型實施例中聯合身份認證失敗時的時序圖��;
[0022]圖5為本實用新型實施例中聯合身份認證算法的在線更新流程示意圖;
[0023]圖6為本實用新型實施例中二次認證網關根據聯合身份認證參數對終端進行二次認證的流程示意圖。
【具體實施方式】
[0024]下面將結合較佳實施例及附圖對本實用新型的內容作進一步詳細描述����。顯然�,下文所描述的實施例僅用于解釋本實用新型���,而非對本實用新型的限定�����?���;诒緦嵱眯滦椭械膶嵤├?����,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例�,都屬于本實用新型保護的范圍�����。應當說明的是,為了便于描述��,附圖中僅示出了與本實用新型相關的部分而非全部內容�����。
[0025]圖1是本實用新型中LTE電力無線專網的二次身份認證系統在一個實施例中的架構圖����。參照圖1所示����,本實施例中的LTE電力無線專網的二次身份認證系統,包括與終端10通信的基站20�����,用戶歸屬服務器30,與基站20通信的移動管理實體40和系統架構演進網關50�,以及對終端10進行二次認證的二次認證網關60�����。二次認證網關60通過通信接口與系統架構演進網關50進行數據連接;移動管理實體40分別連接至用戶歸屬服務器30和系統架構網關50 ο
[0026]在一種可選的實施方式中,二次認證網關60可通過Radius(RemoteAuthenticat1n Dial In User Service���,遠程用戶撥號認證服務)接口與系統架構演進網關50相連。
[0027]可選的,本實施例中的LTE電力無線專網的二次身份認證系統還包括轉發裝置70和電力主站系統80,系統架構演進網關50通過轉發裝置70接入電力主站系統80�。
[0028]可選的��,基站20通過Sl-C接口與移動管理實體40連接。
[0029]可選的,基站20通過Sl-U接口與系統架構演進網關50連接�。
[0030]可選的���,用戶歸屬服務器30通過S6a接口與移動管理實體40連接�。
[0031]本實施例中的LTE電力無線專網的二次身份認證系統可以對終端10的身份進行二次認證�。下面對本實施中的LTE電力無線專網的二次身份認證系統的工作原理進行說明。
[0032]圖2是本實施例中LTE電力無線專網的二次身份認證系統執行聯合身份認證方法的流程示意圖,��。如圖2所示��,本實施例中的LTE電力無線專網的二次身份認證系統的處理過程包括:
[0033]步驟S110,移動管理實體獲取終端發起的入網附著請求���,所述入網附著請求中包括所述終端的聯合身份認證參數;
[0034]在終端10需要訪問電力主站系統時���,需要接入LTE電力無線專網,因此發起入網附著請求(Attach Request)��,基站20將該入網附著請求發送給移動管理實體40�����,該入網附著請求中包含終端10的聯合身份認證參數�����,該聯合身份認證參數用于對該終端10進行二次認證。
[0035]在一種可選的實施方式中����,終端10在發起入網附著請求前���,通過調用聯合身份認證算法獲得聯合身份認證參數��。其中,聯合身份認證算法可由二次認證網關60提供和管理��,可選的����,二次認證網關60通過聯合身份認證算法接口與終端10連接。
[0036]二次認證網關60支持針對不同的終端類型���、廠家和操作系統的聯合身份認證算法的管理與下載功能���,同時還支持聯合身份認證算法的更新���。聯合身份認證算法包含了終端身份信息(包括國際移動設備身份碼ME1�����、國際移動用戶識別碼頂S1�����、集成電路手機序列號ICCID以及用戶終端MAC地址、業務終端ID號等終端身份信息)的組合選擇和加密功能,相應的�,通過聯合身份認證算法獲得的聯合身份認證參數由終端身份信息組成��,如何組成以及如何在網絡上傳輸都進行了加密處理,以保證數據傳輸的安全性。
[0037]由于未下載聯合身份認證算法的終端10將無法接入LTE電力無線專網��,終端10必須正確配置聯合身份認證算法才能正常接入LTE電力無線專網����。在終端10首次接入LTE電力無線專網時����,即終端10首次發送入網附著請求時��,有以下兩種方式初始化配置聯合身份認證算法:
[0038](I)采用終端出廠預配置
[0039]終端10出廠前預先配置有聯合身份認證算法�����,該預先配置的聯合身份認證算法即為默認的聯合身份認證算法,終端10在首次接入LTE電力無線專網時�,調用該預先配置的聯合身份認證算法獲得聯合身份認證參數����。預先配置的聯合身份認證算法可只提取終端10的國際移動用戶識別碼MSI和國際移動設備身份碼IMEI這兩個終端身份信息����,并以明文的方式進行初始的二次認證�����,即預先配置的聯合身份認證算法不對終端身份信息進行加密���。在終端10首次接入LTE電力無線專網后立刻啟動聯合身份認證算法的更新流程�,在二次認證網關60中獲取更加安全的聯合身份認證算法�����。
[0040](2) 二次認證網關60提供終端初次的聯合身份認證算法離線下載功能
[0041]二次認證網關60通過接口向終端推送聯合身份認證算法�����,終端10離線下載二次認證網關60提供的聯合身份認證算法,同樣,在終端10首次接入LTE電力無線專網后立刻啟動聯合身份認證算法的更新流程���,在二次認證網關60中獲取更加安全的聯合身份認證算法。
[0042]步驟S120,在對所述終端10的鑒權認證通過后,向二次認證網關60發送訪問請求;所述訪問請求中包括所述聯合身份認證參數���;
[0043]移動管理實體40獲取終端10發送的Attach Request后,發起終端10雙向鑒權認證以及安全加密流程Authenticat1n/Security。參照圖3所示的聯合身份認證成功時序圖��,MME發起UE����、HSS雙向鑒權認證,至于具體的鑒權認證過程可參照現有技術,此處不予贅述���。
[0044]在鑒權認證通過后���,向二次認證網關60發送訪問請求Access-Request ��;訪問請求中包括所述聯合身份認證參數�����。在一種可選的實施方式中,參照圖3所示�,向二次認證網關60發送訪問請求的過程包括:
[0045]移動管理實體40向系統架構演進網關50發送創建會話請求Create Sess1nRequest��,創建會話請求中包含數據承載建立請求以及終端10的聯合身份認證參數。然后系統架構演進網關50接收Create Sess1n Request�����,獲得終端10的身份認證參數��,并根據終端10的身份認證參數生成Access-Request�����,將Access-Request發送給二次認證網關60。
[0046]步驟S130�,接收所述二次認證網關60根據所述聯合身份認證參數對所述終端10進行二次認證的結果;若所述二次認證的結果為認證通過���,則進入步驟S140;若所述二次認證的結果為認證失敗�,則進入步驟S150;
[0047]二次認證網關60根據終端上傳的聯合身份認證參數對終端進行二次認證�,參照圖3所示�,若認證通過��,二次認證網關60回復Access-Accept;若認證失敗��,則參照圖4示出的聯合身份認證失敗時序圖,二次認證網關60回復Access-Re ject��。
[0048]步驟S140����,向基站和所述終端發送入網成功信息以及承載信息����;
[0049]參照圖3所示,二次認證通過后�����,系統架構演進網關50完成數據面承載的建立�����,回復Create Sess1n Response給移動管理實體40,Create Sess1n Response中包含承載信息�;移動管理實體40向基站20發送Initial Context Setup Request/Attach Accept�,通知基站20和終端10入網成功信息以及承載信息,之后的流程與3GPP中的描述一致�����,最終終端10成功接入LTE電力無線專網���,此后終端10通過轉發裝置70可訪問電力主站系統80�。
[0050]步驟S150,向所述終端發送入網失敗信息�����。
[0051]參照圖4所示�����,系統架構演進網關50通知移動管理實體40承載建立失敗�,移動管理實體40向終端10發送入網失敗信息��。
[0052 ]本實施例中提供的LTE電力無線專網的二次身份認證系統,針對EPS-AKA存在的安全隱患以及已有解決方案的不足,在終端10接入LTE電力無線專網時通過二次認證網關60對終端進行二次認證�,有效提高了 LTE電力無線專網的安全性能��,并且能滿足對實時性要求很高的LTE電力無線專網應用。另外,本實施例中提供的技術方案與現有技術中端到端的信息加密方案沒有任何沖突,可聯合部署���。本實施例中的技術方案沒有改變現有LTE體系架構,不用對基站、核心網設備做大規模改造工作��,因而具備通用性�,推廣性較高。同時,本實施例中提供的技術方案支持對多種終端身份信息(如業務終端ID號��、MAC地址等)的聯合認證���,支持對終端身份信息的加密處理����,而且這種加密算法完全支持由LTE電力無線專網獨立開發與管理,進一步增強了專網的安全性。
[0053]在一種可選的實施方式中,本實施例中的LTE電力無線專網的二次身份認證系統還提供聯合身份認證算法的在線更新功能。參照圖5所示,在終端10接入LTE電力無線專網后�,通過已建立的數據通路向二次認證網關60發送認證算法版本查詢請求Vers1n-Query�����,二次認證網關60接收該認證算法版本查詢請求Vers1n-Query后,檢查聯合身份認證算法的版本信息,并向終端10反饋查詢結果Vers1n-Query-Ack。
[0054]終端10接收二次認證網關60根據認證算法版本查詢請求Vers1n-Query反饋的查詢結果Vers1n-Query-Ack��,若終端10根據Vers1n-Query-Ack判定發現新版本的聯合身份認證算法�����,則從二次認證網關60下載新版本的聯合身份認證算法���,然后加載新版本的聯合身份認證算法���,并向二次認證網關60發送版本更新信息Vers1n-Notify����。二次認證網關60根據終端10發送的版本更新信息Vers1n-Notify記錄與終端10相對應的聯合身份認證算法的版本信息�����,并可向終端10反饋Vers1n-Notify-Ack��,通知終端10已更新相應的聯合身份認證算法的版本信息。若終端10根據查詢結果判定未發現新版本的聯合身份認證算法,則二次認證網關60仍保持原有的與終端10相對應的聯合身份認證算法的版本信息�����。
[0055]在聯合身份認證算法的在線更新過程中�,如果Vers1n-Notify發生錯誤或丟失,就會存在終端1和二次認證網關60間的聯合身份認證算法失步,在終端1和二次認證網關60失步時���,終端10使用新的聯合身份認證算法和聯合身份認證參數入網,而二次認證網關60記錄的還是舊的聯合身份認證算法,會導致二次認證失敗。針對這種風險,在本實施例中二次認證網關60還支持聯合身份認證算法的同步功能���,二次認證網關60在二次認證失敗后嘗試使用該終端10即將更新的聯合身份認證算法再做一次認證,如果認證通過,則記錄下終端10最新的聯合身份認證算法的版本信息����,保證與終端10同步��。具體的,在一種可選的實施方式中��,參照圖6所示�����,二次認證網關60根據聯合身份認證參數對終端10進行二次認證的過程包括:
[0056]在接收訪問請求后�,二次認證網關60根據已記錄的與終端10相對應的聯合身份認證算法的版本信息確定所述終端10當前使用的聯合身份認證算法���。然后二次認證網關60根據聯合身份認證參數以及終端10當前使用的聯合身份認證算法對終端10進行二次認證��。若認證通過,則回復AccessAccept;若認證失敗����,則二次認證網關60檢查是否有新版本的聯合身份認證算法發布����,若是�����,則使用新版本的聯合身份認證算法以及聯合身份認證參數對所述終端10進行認證;若否��,則回復Access Reject。當二次認證網關60使用新版本的聯合身份認證算法以及聯合身份認證參數對終端I O進行認證且認證通過時���,則回復AccessAccept,且更新與終端10相對應的聯合身份認證算法的版本信息;若仍未通過認證���,則回復Access Reject。通過以上過程���,避免了因終端10和二次認證網關60間的聯合身份認證算法失步時而導致的誤判,有效提高了 LTE電力無線專網的可靠性�����。
[0057]以上所述實施例的各技術特征可以進行任意的組合�����,為使描述簡潔���,未對上述實施例中的各個技術特征所有可能的組合都進行描述,然而�,只要這些技術特征的組合不存在矛盾�,都應當認為是本說明書記載的范圍�。
[0058]以上所述實施例僅表達了本實用新型的幾種實施方式,其描述較為具體和詳細,但并不能因此而理解為對實用新型專利范圍的限制�����。應當指出的是,對于本領域的普通技術人員來說�,在不脫離本實用新型構思的前提下�,還可以做出若干變形和改進�����,這些都屬于本實用新型的保護范圍��。因此,本實用新型專利的保護范圍應以所附權利要求為準��。
【主權項】
1.一種LTE電力無線專網的二次身份認證系統�,其特征在于,包括與終端通信的基站�����,用戶歸屬服務器���,與所述基站通信的移動管理實體和系統架構演進網關����,以及對所述終端進行二次認證的二次認證網關; 所述二次認證網關通過通信接口與所述系統架構演進網關進行數據連接��; 所述移動管理實體分別連接至所述用戶歸屬服務器和所述系統架構網關���。2.根據權利要求1所述的LTE電力無線專網的二次身份認證系統����,其特征在于�����,所述通信接口為Radius接口��。3.根據權利要求1所述的LTE電力無線專網的二次身份認證系統,其特征在于,所述二次認證網關通過聯合身份認證算法接口與所述終端連接。4.根據權利要求1所述的LTE電力無線專網的二次身份認證系統,其特征在于,所述基站通過Sl-C接口與所述移動管理實體連接。5.根據權利要求4所述的LTE電力無線專網的二次身份認證系統�����,其特征在于�,所述基站通過Sl-U接口與所述系統架構演進網關連接。6.根據權利要求1所述的LTE電力無線專網的二次身份認證系統,其特征在于�����,所述用戶歸屬服務器通過S6a接口與所述移動管理實體連接�����。7.根據權利要求1所述的LTE電力無線專網的二次身份認證系統���,其特征在于��,還包括轉發裝置和電力主站系統,所述系統架構演進網關通過所述轉發裝置接入所述電力主站系統。
【文檔編號】H04W12/08GK205693897SQ201620562992
【公開日】2016年11月16日
【申請日】2016年6月8日 公開號201620562992.1, CN 201620562992, CN 205693897 U, CN 205693897U, CN-U-205693897, CN201620562992, CN201620562992.1, CN205693897 U, CN205693897U
【發明人】陳立明, 董旭柱, 謝雄威, 吳爭榮, 黃曉勝, 劉志文, 陶凱, 俞小勇, 周昌盛, 曹疊, 高奇, 羅建華, 鐘靖濃
【申請人】中國南方電網有限責任公司電網技術研究中心, 中國電子科技集團公司第七研究所, 南方電網科學研究院有限責任公司, 廣西電網有限責任公司電力科學研究院, 廣西電網有限責任公司南寧供電局