一种应用于工业通信和业务的多级联合身份认证方法技术

工业通信网是集传输、交换、终端为一体的有多个环节构成的复杂系统，工业通信网中存在部分工业终端设备部分通过电信公网接入，一部分部分通过工业私网接入业务主站，一部分通过混合组网接入业务主站，且工业私网接入具有多级接入的特点，本发明专利技术提出了构建电信认证在工业私网的认证方法，构建多级的工业私网认证方法，结合电信公网认证信息和工业私网认证方法构建应用于工业通信和业务的多级联合身份认证方法。

【技术实现步骤摘要】
一种应用于工业通信和业务的多级联合身份认证方法
本专利技术涉及工业通信和业务领域，特别是指工业通信和业务中的身份认证方法。
技术介绍
工业通信网是集传输、交换、终端为一体的有多个环节构成的复杂系统，工业业务复杂，相互独立，互不兼容，且工业通信网地域广大、通信设备种类数量繁多。工业通信网组网复杂，实际工业通信网中存在有非IP网络和IP网络，也同时存在电信公网和工业私网。由于工业通信设备数量繁多，分布广泛的特点，如图1所示，一部分工业终端设备部分通过电信公网接入①，一部分部分通过工业私网接入业务主站②，一部分通过混合组网接入业务主站③。在现有的电信公网中，有完善的身份认证体系。用户的身份认证信息存储在SIM卡和网络中的HLR中，移动终端接入电信公网时，公网会根据SIM卡的注册信息对移动终端进行鉴权和认证。例如在GPRS网络中，国际移动用户识别码IMSI是SIM卡在HLR注册的实际身份，在空口传输中，则采用用户临时身份标识TMSI替代IMSI，保护IMSI不被轻易获取，同时采用鉴权三元组在位置更新，数据传输等条件下对用户身份进行鉴权。工业通信网租用电信公网传输数据时，电信公网配给工业通信网的SIM卡成为工业通信网的私有设备，其SIM卡的认证信息不仅应通过电信公网认证，也应当通过工业私网认证。电信公网的认证是通用认证，而工业私网认证是企业级私网认证。工业通信网是复杂组网，工业通信网具有多层组网的特点，如图2所示，工业终端设备通常不直接与主站连接，工业终端设备通过多级接入点逐层接入，最终于主站建立连接。例如工业终端设备A通过二级接入点和一级接入点两级接入最终和业务主站建立连接①，工业终端设备B通过一级接入点和业务主站建立连接②。在多级连接的网络背景下，需要建立多级的认证体系，保证工业终端设备安全接入，现有网络缺乏适用于多级网络的身份认证机制。在工业业务同时承载在电信公网和电力私网的情况下，工业终端设备既属于工业私网设备，也属于电信公网用户，在拥有双重身份的情况下同时需要工业私网和电信公网的联合认证，来确保业务终端设备的合法接入。
技术实现思路
本专利技术解决的技术问题是：构建电信认证在工业私网的认证方法，构建多级的工业私网认证方法，结合电信公网认证信息和工业私网认证方法构建应用于工业通信和业务的多级联合身份认证方法。构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法。工业通信网从电信公网购买应用于工业终端设备上的身份卡时，同时从电信公网获得身份认证信息，利用这些身份认证信息在业务主站侧构建电信公网认证服务器；工业终端设备通过电信公网与业务主站建立连接之前，首先向业务主站侧的公网认证服务器认证，如果公网认证服务器认证失败，则不允许这个工业终端设备接入业务主站，如果认证成功，则进行下一步操作。构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法。多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器，工业终端设备每接入一级，就需要通过本级的认证。工业私网认证服务器包含有所有工业终端设备的所有认证信息，工业私网认证服务器包含工业终端设备的所有认证信息；中间节点的认证服务器的认证信息是由工业私网认证服务器根据该区域内的工业终端设备将该部分认证信息发放给中间节点认证服务器，中间节点认证服务器只包含本区域工业终端设备的认证信息。工业私网认证构建认证虚拟卡，其认证信息包括设备ID信息和用户登录口令两部分，设备ID信息标识了工业终端设备的合法性，设备ID信息是静态认证信息，用户登录口令标识了工业终端设备使用者的合法性，用户登录口令是动态认证信息。在构建电信认证在工业私网的认证方法和构建多级的工业私网认证方法的基础上，本专利技术提出构建应用于工业通信和业务的多级联合身份认证方法。联合身份认证是指工业终端设备的认证需要通过电信认证在工业私网的认证和工业私网认证双重认证，仅有通过双重认证的工业终端设备才能够接入业务主站，其中一个认证失败，将被认为是非法接入，不能接入业务主站。附图说明图1工业通信网结构图图2工业通信网多层结构示意图图3电力终端设备电力私网认证网络通道图图4电力终端设备电力私网认证功能实现图图5电力私网多层认证结构示意图图6电力通信网多级联合身份认证结构图具体实施方式构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法。工业通信网从电信公网购买应用于工业终端设备上的身份卡时，同时从电信公网获得身份认证信息，利用这些身份认证信息在业务主站侧构建电信公网认证服务器；工业终端设备通过电信公网与业务主站建立连接之前，首先向业务主站侧的公网认证服务器认证，如果公网认证服务器认证失败，则不允许这个工业终端设备接入业务主站，如果认证成功，则进行下一步操作。在电力通信网中，如图3所示，当电力终端设备可以通过电力私网接入电力主站，电力终端设备在电信公网入网前，先通过电力私网向电力主站侧的公网认证服务器认证，如果认证失败，则告知电力终端设备不允许与电信公网建立连接，如果认证成功，则进行下一步操作①；当电力终端设备无法通过电力私网与电力主站侧建立连接时，电力终端设备先通过电信公网入网，使电力终端设备能够与主站侧通信，然后向电力主站侧的公网认证服务器认证，如果公网认证服务器认证失败，则告知电力终端设备断开电信公网的连接，如果认证成功，则进行下一步操作②。在电力通信网中，电力终端设备向电力私网认证的实现方法为：如图4所示，在SIM卡前端加入前端处理模块，前端处理模块是SIM卡的前端信息处理器，SIM卡向网络发送数据信息或认证信息等通信数据时，先经过前端处理模块。前端处理模块读取SIM卡中的身份认证信息，执行与电力主站侧公网认证服务器的认证过程和网络选择逻辑处理，并控制SIM能否接入电信公网和和接入电力主站。构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法。多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器，工业终端设备每接入一级，就需要通过本级的认证。在电力通信网中，如图5所示，认证体系包括电力私网认证服务器和中间节点的认证服务器，电力终端设备A与主站之间的连接通过了一级接入点和二级接入点两级接入，如果电力终端设备A仅和二级接入点通信，则需要通过二级接入点的身份认证①；如果电力终端设备A要和主站通信，则需要通过二级接入点认证①，一级接入点认证②和电力主站侧认证③。电力终端设备B和主站之间的连接通过了一级接入点，其与电力主站的通信认证包括一级接入点认证④和电力主站侧认证⑤。工业私网认证服务器包含有所有工业终端设备的所有认证信息，工业私网认证服务器包含工业终端设备的所有认证信息；中间节点的认证服务器的认证信息是由工业私网认证服务器根据该区域内的工业终端设备将该部分认证信息发放给中间节点认证服务器，中间节点认证服务器只包含本区域工业终端设备的认证信息。工业私网认证构建认证虚拟卡，其认证信息包括设备ID信息和用户登录口令两部分，设备ID信息标识了工业终端设备的合法性，设备ID信息是静态认证信息，用户登录口令标识了工业终端设备使用者的合法性，用户登录口令是动态认证信息。在构建电信认证在工业本文档来自技高网...

【技术保护点】
一种应用于工业通信和业务的多级联合身份认证方法，其特征在于：A.构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法；工业通信网从电信公网购买应用于工业终端设备上的身份卡时，同时从电信公网获得身份认证信息，利用这些身份认证信息在业务主站侧构建电信公网认证服务器；工业终端设备通过电信公网与业务主站建立连接之前，首先向业务主站侧的公网认证服务器认证，如果公网认证服务器认证失败，则不允许这个工业终端设备接入业务主站，如果认证成功，则进行下一步操作；B.构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法；多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器，工业终端设备每接入一级，就需要通过本级的认证；C.联合身份认证是指工业终端设备的认证需要通过电信认证在工业私网的认证和工业私网认证双重认证，仅有通过双重认证的工业终端设备才能够接入业务主站，其中一个认证失败，将被认为是非法接入，不能接入业务主站。

【技术特征摘要】
1.一种应用于工业通信和业务的多级联合身份认证方法，其特征在于：A.构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法；工业通信网从电信公网购买应用于工业终端设备上的身份卡时，同时从电信公网获得身份认证信息，利用这些身份认证信息在业务主站侧构建电信公网认证服务器；工业终端设备通过电信公网与业务主站建立连接之前，首先向业务主站侧的公网认证服务器认证，如果公网认证服务器认证失败，则不允许这个工业终端设备接入业务主站，如果认证成功，则进行下一步操作；B.构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法；多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器，工业终端设备每接入一级，就需要通过本级的认证；C.联合身份认证是指工业终端设备的认证需要通过电信认证在工业私网的认证和工业私网认证双重认证，仅有通过双重认证的工业终端设备才能够接入业务主站，其中一个认证失败，将被认为是非法接入，不能接入业务主站。2.根据权利要求1所述的一种应用于工业通信和业务的多级联合身份认证方法，其特征在于：在电力通信中，所述电信认证在电力私网认证的过程为，当电力终端设备可以通过电力私网接入电力主站，电力终端设备在电信公网入网前，先通过电力私网向电力主站侧的公网认证服务器认证，如果认证失败，则告知电力终端设备不允许与电信公网建立连接，如果认证成功，则进行下一步操作；当电力终端设备无法通过电力私网与电力主站侧建立连接时，电力终端设备先通过电信公网入网，使电力终端设备能够与主站侧通信，然后向电力主站侧的公网认证服务器认证，如果公网认证服务器认证失败，则告知电力终端设备断开电信公网的连接，如果认证成功，则进行下一步操作。3.根据权利要求1所述的一种应用于工业通信和业务的多级联合身份认证方法，其特征在于：在电力通信中，所述电信认证在电力私网认证的电力终端设备实现方法为，在SIM卡前端加入前端处理模块，前端处理模块是SIM卡的前端信息处理器，SIM卡向网络发送数据信息或认证信息等通信数据时，先经过前端处理模块；前端处理模块读取SIM卡中的身份认...

【专利技术属性】
技术研发人员：吴绍琪，任海军，邱小平，冯东，唐军，
申请(专利权)人：重庆小目科技有限责任公司，
类型：发明
国别省市：重庆,50