一种适用于电力无线专网核心网的安全防护性能测评方法技术

本发明专利技术公开了一种适用于电力无线专网核心网的安全防护性能测评方法，首先，构建核心网安全防护性能测评系统，包括终端、若干个基站、交换机、一台安全加密网关、核心网、网管服务器、网管客户端、安全接入平台；其次，执行S1接口数据传输安全防护测试；执行HSS鉴权服务器拒绝服务攻击测试；执行核心网安全可控性测试；执行无线专网网管系统安全测试。采用本发明专利技术方法可以针对电力无线专网核心网存在的安全风险进行全面评测，有效防止恶意主机对无线专网核心网的攻击行为，强化电力无线专网核心网的安全健壮性。

【技术实现步骤摘要】
一种适用于电力无线专网核心网的安全防护性能测评方法
本专利技术涉及一种适用于电力无线专网核心网的安全防护性能测评方法，属于电力通信网信息安全防护测评

技术介绍
LTE核心网主要工作是将移动终端以分组方式连接到外部分组数据网络。核心网主要网元包括基站，MME、HSS、S-GW、P-GW(PDNGateway,PDN网关)以及PCRF(PolicyandChargingRulesFunction,策略和计费规则功能)。基站为终端提供了空口连接，MME相当于核心网的管理者，负责所有内部事务(内部切换)和外部事务(跨系统互联)，HSS存储了LTE网络中用户所有与业务相关的签约数据，提供用户签约信息管理和用户位置管理。S-GW和P-GW承担核心网的网关功能。核心网安全关系到无线专网承载业务的核心安全，然而核心网面临多种安全风险。在LTE中，MME/S-GW(SignalingGateway，服务网关)通过S1接口与LTE基站（eNB）互连实现LTE控制信令和业务数据的传输，S1信令应确保采用适当的加密算法进行安全防护，NAS信令可依据运营商的选择采用安全防护或不采用。当运营商未在S1接口上采取加密措施时，使得传输的配自、用采等业务数据发生泄露，威胁终端通信接入网的安全性。HSS鉴权服务器生成身份认证响应需要大量的计算量，HSS服务器可能缺少DoS攻击的防御能力，攻击者能够在UE节点上通过MME向HSS发送大量IMSI请求，HSS根据请求中随机数生成验证响应以回应MME请求，从而造成HSS消耗大量计算量，同时MME消耗大量内存等待HSS的消息回应，造成DoS攻击，造成新节点无法连接。恶意攻击者通过破坏物理防护措施或利用管理漏洞非法接入核心网，或通过非法控制基站进而向核心网实施网络攻击，利用核心网漏洞获取核心网权限，以便于非法获取、伪造、篡改业务数据，或下行方向攻击业务终端。恶意攻击者通过破坏物理防护措施或利用管理漏洞，进一步利用软件系统漏洞、弱口令、策略配置不当，导致电力无线专网网管系统被非法获取权限，进而造成敏感信息泄露、配置信息被篡改等风险。
技术实现思路
本专利技术所要解决的技术问题是克服现有技术的缺陷，提供一种适用于电力无线专网核心网的安全防护性能测评方法，通过对在电力公司机房内部部署的核心网设备开展安全防护性能测试，可以有效防范来自外部的多种安全威胁，提高电力无线专网的安全防护能力。为解决上述技术问题，本专利技术提供一种适用于电力无线专网核心网的安全防护性能测评方法，包括以下步骤：1）构建核心网安全防护性能测评系统，包括终端、若干个基站、交换机、一台安全加密网关、核心网、网管服务器、网管客户端和安全接入平台；其中，终端与基站相连，基站与交换机相连，交换机与安全加密网关相连，安全加密网关与核心网相连，网管服务器和网管客户端都与交换机连接，交换机与安全接入平台相连，安全接入平台接入信息内网；所述核心网安全防护性能测评系统的各设备间的通信过程为：1-1）终端将Uu口数据通过空口发送给与之相连的基站；Uu口控制面已具备加密和完整性保护，Uu口用户面具备加密保护，而Uu口用户面的完整性保护由应用层协议实现；1-2）基站将从Uu口收到的数据通过S1接口经S5700交换机上传至安全加密网关；采用证书认证的IPSec保护该段链路上的S1接口数据；1-3）安全加密网关将从S1接口接收到的数据终结IPSec保护后发送至主核心网；1-4）主核心网将来自S1接口的数据通过SGi接口，经S5700交换机发送至安全接入平台；1-5）安全接入平台将业务数据流终结安全保护后，送往信息内网直至业务主站；2）执行S1接口数据传输安全防护测试，测试LTES1接口分别针对AS和NAS是否开启加密机制保护；3）执行HSS鉴权服务器拒绝服务攻击测试，令终端连续不断向HSS发送IMSI连接请求，测试HSS服务器和MME服务器的负载和内存变化；4）执行核心网安全可控性测试，查看核心网是否只开放提供服务的端口，是否关闭其他所有不需要的端口；查看核心网是否实现对已接收报文进行内容审计过滤及流量控制，收到的报文是否进行合法性校验；如有校验机制，校验参数是否包含报文的源地址、源端口号、目的地址、目的端口号、报文协议类型；查看是否部署网络设备管理系统，网络中设备信息同网管系统备案信息是否一致，是否存在未备案服务接入核心网；5）执行无线专网网管系统安全测试，测试内容包括查看无线专网网管系统，是否启用用户身份认证措施，是否存在用户及用户角色配置管理；是否实现用户配置管理实现授权功能，是否基于用户、角色、操作命令设置不同的操作权限；网管系统是否通过HTTPS进行访问；是否配置关于密码长度、密码更新周期要求等密码策略，如密码需要数字与大小写字母混合，是否实现3个月后强制用户更换密码，网管后台密码是否以密文形式存储；是否实现对所有用户操作记录日志、系统运维日志、系统安全日志进行记录，是否记录用户的IP、操作内容、操作时间以及相应结果。前述的核心网包括主核心网和备核心网，在主核心网故障时，才启用备核心网。前述的步骤1）构建核心网安全防护性能测评系统，还在业务层增加了终端安全加密芯片与安全接入平台之间的端到端安全认证、加密保护机制。前述的步骤2）执行S1接口数据传输安全防护测试，采用步骤1）所构建的核心网安全防护性能测评系统中的网管服务器、网管客户端、核心网、基站、安全加密网关和终端，各设备按步骤1）连接并通信，此外，还需配置USIM卡1张及网络设备登记信息台帐，USIM卡配置到终端中，具体操作步骤如下：4-1）.登陆专网网管系统查看AS和NAS加密机制是否开启，并截取S1接口GTP数据包，针对终端与基站不同的通信交互场景，查看AS和NAS传输数据是否已进行加密；所述GTP数据包是指GPRS通过隧道协议处理后的数据包；4-2）.打开网管客户端，输入用户名/密码，登陆；选择“网元批量配置”；4-3）.在“根节点”下勾选“主核心网”，在“命令输入栏”输入：LSTS1USRSECPARA，查询S1模式用户安全配置；4-4）.在“根节点”下勾选“eNodeB”的基站，在“命令输入栏”输入如下信息：d1、LSTENODEBCIPHERCAP，用于查询eNodeB加密算法优先级配置，验证eNB是否支持AES、SNOW3G、祖冲之加密算法；d2、LSTENODEBINTEGRITYCAP，用于查询eNodeB完整性保护算法优先级，验证eNB是否支持AES、SNOW3G、祖冲之完整性保护算法；4-5）.将测试笔记本连入安全加密网关和BBU之间，通过Wireshark截取S1接口数据包，分析数据包帧结构。前述的步骤3）执行HSS鉴权服务器拒绝服务攻击测试，采用步骤1）所构建的核心网安全防护性能测评系统中的网管服务器，网管客户端，核心网，基站，安全加密网关和1000台终端，各设备按步骤1）进行连接并通信，1100台终端均与基站连接，此外，还需要网络设备登记信息台帐，具体操作步骤如下：5-1）.1100台终端通过基站连接到EPC的HSS上，登陆网管客户端；5-2）.每个10秒执行以下命令，分别查看EPC的CPU、内存占用率，DSPCPUUSAGE:CN=0,SRN=0,SN=3;DSPM本文档来自技高网...

【技术保护点】
一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，包括以下步骤：1）构建核心网安全防护性能测评系统，包括终端、若干个基站、交换机、一台安全加密网关、核心网、网管服务器、网管客户端和安全接入平台；其中，终端与基站相连，基站与交换机相连，交换机与安全加密网关相连，安全加密网关与核心网相连，网管服务器和网管客户端都与交换机连接，交换机与安全接入平台相连，安全接入平台接入信息内网；所述核心网安全防护性能测评系统的各设备间的通信过程为：1‑1）终端将Uu口数据通过空口发送给与之相连的基站；Uu口控制面已具备加密和完整性保护，Uu口用户面具备加密保护，而Uu口用户面的完整性保护由应用层协议实现；1‑2）基站将从Uu口收到的数据通过S1接口经S5700交换机上传至安全加密网关；采用证书认证的IPSec保护该段链路上的S1接口数据；1‑3）安全加密网关将从S1接口接收到的数据终结IPSec保护后发送至主核心网；1‑4）主核心网将来自S1接口的数据通过SGi接口，经S5700交换机发送至安全接入平台；1‑5）安全接入平台将业务数据流终结安全保护后，送往信息内网直至业务主站；2）执行S1接口数据传输安全防护测试，测试LTES1接口分别针对AS和NAS是否开启加密机制保护；3）执行HSS鉴权服务器拒绝服务攻击测试，令终端连续不断向HSS发送IMSI连接请求，测试HSS服务器和MME服务器的负载和内存变化；4）执行核心网安全可控性测试，查看核心网是否只开放提供服务的端口，是否关闭其他所有不需要的端口；查看核心网是否实现对已接收报文进行内容审计过滤及流量控制，收到的报文是否进行合法性校验；如有校验机制，校验参数是否包含报文的源地址、源端口号、目的地址、目的端口号、报文协议类型；查看是否部署网络设备管理系统，网络中设备信息同网管系统备案信息是否一致，是否存在未备案服务接入核心网；5）执行无线专网网管系统安全测试，测试内容包括查看无线专网网管系统，是否启用用户身份认证措施，是否存在用户及用户角色配置管理；是否实现用户配置管理实现授权功能，是否基于用户、角色、操作命令设置不同的操作权限；网管系统是否通过HTTPS进行访问；是否配置关于密码长度、密码更新周期要求等密码策略，如密码需要数字与大小写字母混合，是否实现3个月后强制用户更换密码，网管后台密码是否以密文形式存储；是否实现对所有用户操作记录日志、系统运维日志、系统安全日志进行记录，是否记录用户的IP、操作内容、操作时间以及相应结果。...

【技术特征摘要】
1.一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，包括以下步骤：1）构建核心网安全防护性能测评系统，包括终端、若干个基站、交换机、一台安全加密网关、核心网、网管服务器、网管客户端和安全接入平台；其中，终端与基站相连，基站与交换机相连，交换机与安全加密网关相连，安全加密网关与核心网相连，网管服务器和网管客户端都与交换机连接，交换机与安全接入平台相连，安全接入平台接入信息内网；所述核心网安全防护性能测评系统的各设备间的通信过程为：1-1）终端将Uu口数据通过空口发送给与之相连的基站；Uu口控制面已具备加密和完整性保护，Uu口用户面具备加密保护，而Uu口用户面的完整性保护由应用层协议实现；1-2）基站将从Uu口收到的数据通过S1接口经S5700交换机上传至安全加密网关；采用证书认证的IPSec保护该段链路上的S1接口数据；1-3）安全加密网关将从S1接口接收到的数据终结IPSec保护后发送至主核心网；1-4）主核心网将来自S1接口的数据通过SGi接口，经S5700交换机发送至安全接入平台；1-5）安全接入平台将业务数据流终结安全保护后，送往信息内网直至业务主站；2）执行S1接口数据传输安全防护测试，测试LTES1接口分别针对AS和NAS是否开启加密机制保护；3）执行HSS鉴权服务器拒绝服务攻击测试，令终端连续不断向HSS发送IMSI连接请求，测试HSS服务器和MME服务器的负载和内存变化；4）执行核心网安全可控性测试，查看核心网是否只开放提供服务的端口，是否关闭其他所有不需要的端口；查看核心网是否实现对已接收报文进行内容审计过滤及流量控制，收到的报文是否进行合法性校验；如有校验机制，校验参数是否包含报文的源地址、源端口号、目的地址、目的端口号、报文协议类型；查看是否部署网络设备管理系统，网络中设备信息同网管系统备案信息是否一致，是否存在未备案服务接入核心网；5）执行无线专网网管系统安全测试，测试内容包括查看无线专网网管系统，是否启用用户身份认证措施，是否存在用户及用户角色配置管理；是否实现用户配置管理实现授权功能，是否基于用户、角色、操作命令设置不同的操作权限；网管系统是否通过HTTPS进行访问；是否配置关于密码长度、密码更新周期要求等密码策略，如密码需要数字与大小写字母混合，是否实现3个月后强制用户更换密码，网管后台密码是否以密文形式存储；是否实现对所有用户操作记录日志、系统运维日志、系统安全日志进行记录，是否记录用户的IP、操作内容、操作时间以及相应结果。2.根据权利要求1所述的一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，所述核心网包括主核心网和备核心网，在主核心网故障时，才启用备核心网。3.根据权利要求1所述的一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，所述步骤1）构建核心网安全防护性能测评系统，还在业务层增加了终端安全加密芯片与安全接入平台之间的端到端安全认证、加密保护机制。4.根据权利要求1所述的一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，所述步骤2）执行S1接口数据传输安全防护测试，采用步骤1）所构建的核心网安全防护性能测评系统中的网管服务器、网管客户端、核心网、基站、安全加密网关和终端，各设备按步骤1）连接并通信，此外，还需配置USIM卡1张及网络设备登记信息台帐，USIM卡配置到终端中，具体操作步骤如下：4-1）.登陆专网网管系统查看AS和NAS加密机制是否开启，并截取S1接口GTP数据包，针对终端与基站不同的通信交互场景，查看AS和NAS传输数据...

【专利技术属性】
技术研发人员：朱道华，王梓莹，郭雅娟，许海清，王小波，薄斌，李岩，周超，韦磊，黄伟，郭静，姜海涛，陈锦铭，李斌，王黎明，
申请(专利权)人：国网江苏省电力公司电力科学研究院，国家电网公司，江苏省电力试验研究院有限公司，
类型：发明
国别省市：江苏,32