本实用新型专利技术涉及一种LTE电力无线专网的二次身份认证系统,包括与终端通信的基站,用户归属服务器,与所述基站通信的移动管理实体和系统架构演进网关,以及对所述终端进行二次认证的二次认证网关;所述二次认证网关通过通信接口与所述系统架构演进网关进行数据连接;所述移动管理实体分别连接至所述用户归属服务器和所述系统架构网关。本实用新型专利技术在终端接入LTE电力无线专网时通过二次认证网关对终端进行二次认证,有效提高了LTE电力无线专网的安全性能,并且能满足对实时性要求很高的LTE电力无线专网应用。
【技术实现步骤摘要】
本技术涉及无线专网通信安全领域,特别是涉及一种LTE电力无线专网的二次身份认证系统。
技术介绍
作为3GPP组织在其标准文档中建议的认证与密钥协商方案,EPS-AKA(Evolved Packet System-Authentication and Key Agreement)是LTE网络安全的核心及基础。EPS-AKA是从3G网络中的3G-AKA方案演化而来,延续了以往认证方案的“挑战/响应”流程,通过LTE用户终端(UE,User End)与网络之间的相互认证过程,完成会话密钥的协商,为后续的通信做好加密工作,提供通信的安全保障。然而,在LTE电力无线专网的应用中,EPS-AKA方案中仍然存在如下严重的安全漏洞:(1)在UE初次与MME(Mobility Management Entity,移动管理实体)进行通信时,或当MME无法从UE的S-TMSI(临时身份标识)中找到对应的IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)时,网络会要求UE发送IMSI。由于IMSI是以明文形式在无线信道中进行传输,就可能会被攻击者截获,所以很容易就把IMSI泄漏给攻击者,这样用户很容易就被追踪或遭受伪基站攻击,进而引发UE被定位和追踪的危险,甚至可能导致因用户身份信息被窃取而引发的非法网络主动攻击、拒绝服务攻击等危险事件;(2)HSS(Home Subscriber Server,归属签约用户服务器)与MME之间传递的关键信息如SNID(服务网络身份标识)、AV(认证向量组)未受到保护。明文传输的SNID、AV很可能会被窃听和截获,其中所包含的标识信息等重要数据会成为攻击者下一步攻击的基础;(3)由于LTE采用的是对称加密体制,密钥的传输和分配会随着网络中的设备增加而变得复杂,安全性也难以得到维护,无法满足下一代网络对高可靠性和灵活性的要求。目前针对上述安全隐患,LTE电力无线专网的应用,部分采用了端到端的信息加密的安全增强方案,即通过在终端侧引入加密卡、网络侧引入加密设备,通过专网私有算法,对业务数据进行安全加密处理,实现LTE传输的安全性,但存在以下缺点:(1)每一个业务数据包都需要经过终端和网络的加密和解密处理,将明显增加传输时延,无法适用于对实时性要求很高的应用场景;(2)所有的业务数据都需要经过保密设备加解密处理,保密设备容易成为网络的瓶颈;(3)端到端的信息加密方案只是针对业务数据加密,并未解决LTE无线专网的安全接入问题,即仿冒终端还是可以接入LTE网络,接入后还是能够对网络设备产生攻击威胁,譬如攻击保密设备;(4)端到端的业务信息加密存在多种实现方案,对终端需要进行硬软件改造,对核心网也可能存在改造的工作量,不具备通用性,推广性差。一旦加密方案和算法公开,又会面临与3GPP安全架构同样的破解风险。
技术实现思路
基于此,为解决现有技术中的问题,本技术提供一种LTE电力无线专网的二次身份认证系统,提高LTE电力无线专网的安全性能。为实现上述目的,本技术实施例采用以下技术方案:一种LTE电力无线专网的二次身份认证系统,包括与终端通信的基站,用户归属服务器,与所述基站通信的移动管理实体和系统架构演进网关,以及对所述终端进行二次认证的二次认证网关;所述二次认证网关通过通信接口与所述系统架构演进网关进行数据连接;所述移动管理实体分别连接至所述用户归属服务器和所述系统架构网关。本技术提供的LTE电力无线专网的二次身份认证系统,针对EPS-AKA存在的安全隐患以及已有解决方案的不足,在终端接入LTE电力无线专网时通过二次认证网关对终端进行二次认证,有效提高了LTE电力无线专网的安全性能,并且能满足对实时性要求很高的LTE电力无线专网应用。另外,本技术提供的LTE电力无线专网的二次身份认证系统与现有技术中端到端的信息加密方案没有任何冲突,可联合部署。本实施例中的LTE电力无线专网的二次身份认证系统没有改变现有LTE体系架构,不用对基站、核心网设备做大规模改造工作,因而具备通用性,推广性较高。附图说明图1是本技术中LTE电力无线专网的二次身份认证系统在一个实施例中的架构图;图2是本技术实施例中LTE电力无线专网的二次身份认证系统执行联合身份认证方法的流程示意图;图3为本技术实施例中联合身份认证成功时的时序图;图4为本技术实施例中联合身份认证失败时的时序图;图5为本技术实施例中联合身份认证算法的在线更新流程示意图;图6为本技术实施例中二次认证网关根据联合身份认证参数对终端进行二次认证的流程示意图。具体实施方式下面将结合较佳实施例及附图对本技术的内容作进一步详细描述。显然,下文所描述的实施例仅用于解释本技术,而非对本技术的限定。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。应当说明的是,为了便于描述,附图中仅示出了与本技术相关的部分而非全部内容。图1是本技术中LTE电力无线专网的二次身份认证系统在一个实施例中的架构图。参照图1所示,本实施例中的LTE电力无线专网的二次身份认证系统,包括与终端10通信的基站20,用户归属服务器30,与基站20通信的移动管理实体40和系统架构演进网关50,以及对终端10进行二次认证的二次认证网关60。二次认证网关60通过通信接口与系统架构演进网关50进行数据连接;移动管理实体40分别连接至用户归属服务器30和系统架构网关50。在一种可选的实施方式中,二次认证网关60可通过Radius(Remote Authentication Dial In User Service,远程用户拨号认证服务)接口与系统架构演进网关50相连。可选的,本实施例中的LTE电力无线专网的二次身份认证系统还包括转发装置70和电力主站系统80,系统架构演进网关50通过转发装置70接入电力主站系统80。可选的,基站20通过S1-C接口与移动管理实体40连接。可选的,基站20通过S1-U接口与系统架构演进网关50连接。可选的,用户归属服务器30通过S6a接口与移动管理实体40连接。本实施例中的LTE电力无线专网的二次身份认证系统可以对终端10的身份进行二次认证。下面对本实施中的LTE电力无线专网的二次身份认证系统的工作原理进行说明。图2是本实施例中LTE电力无线专网的二次身份认证系统执行联合身份认证方法的流程示意图,。如图2所示,本实施例中的LTE电力无线专网的二次身份认证系统的处理过程包括:步骤S110,移动管理实体获取终端发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数;在终端10需要访问电力主站系统时,需要接入LTE电力无线专网,因此发起入网附着请求(Attach Request),基站20将该入网附着请求发送给移动管理实体40,该入网附着请求中包含终端10的联合身份认证参数,该联合身份认证参数用于对该终端10进行二次认证。在一种可选的实施方式中,终端10在发起入网附着请求前,通过调用联合身份认证算法获得联合身份认证参数。其中,联合身份认证算法可由二次本文档来自技高网...
【技术保护点】
一种LTE电力无线专网的二次身份认证系统,其特征在于,包括与终端通信的基站,用户归属服务器,与所述基站通信的移动管理实体和系统架构演进网关,以及对所述终端进行二次认证的二次认证网关;所述二次认证网关通过通信接口与所述系统架构演进网关进行数据连接;所述移动管理实体分别连接至所述用户归属服务器和所述系统架构网关。
【技术特征摘要】
1.一种LTE电力无线专网的二次身份认证系统,其特征在于,包括与终端通信的基站,用户归属服务器,与所述基站通信的移动管理实体和系统架构演进网关,以及对所述终端进行二次认证的二次认证网关;所述二次认证网关通过通信接口与所述系统架构演进网关进行数据连接;所述移动管理实体分别连接至所述用户归属服务器和所述系统架构网关。2.根据权利要求1所述的LTE电力无线专网的二次身份认证系统,其特征在于,所述通信接口为Radius接口。3.根据权利要求1所述的LTE电力无线专网的二次身份认证系统,其特征在于,所述二次认证网关通过联合身份认证算法接口与所述终端...
【专利技术属性】
技术研发人员:陈立明,董旭柱,谢雄威,吴争荣,黄晓胜,刘志文,陶凯,俞小勇,周昌盛,曹叠,高奇,罗建华,钟靖浓,
申请(专利权)人:中国南方电网有限责任公司电网技术研究中心,中国电子科技集团公司第七研究所,南方电网科学研究院有限责任公司,广西电网有限责任公司电力科学研究院,广西电网有限责任公司南宁供电局,
类型:新型
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。