一种能支持国际漫游的广域移动通信安全专网构建方法技术

本发明专利技术公开了一种能支持国际漫游的广域移动通信安全专网构建方法，将运营商公网分为接入网和核心网，把国内外运营商已有的核心网均定义为安全专网的核心网拜访域；由行业自建或行业与运营商联合建立自建核心网，根据移动用户接入位置所在地的不同，分为非漫游场景和漫游场景；在非漫游场景下，移动用户都在本地，均通过自建核心网所在地的基站进行本地接入，将自建核心网定义为安全专网的完整核心网；在漫游场景下，移动用户不在本地，均通过运营商已有的基站进行接入，将自建核心网定义为安全专网的核心网归属域。本发明专利技术可解决传统方式构建的专网无法同时兼顾安全性和广域覆盖性的问题，满足行业投入成本较小、运营商接受度较高等要求。高等要求。高等要求。

【技术实现步骤摘要】
一种能支持国际漫游的广域移动通信安全专网构建方法


[0001]本专利技术涉及移动通信系统
，尤其涉及一种能支持国际漫 游的广域移动通信安全专网构建方法。

技术介绍

[0002]移动通信系统自身的安全性主要依托3GPP的原生安全能力。5G 的原生安全能力的重点防护对象主要是空口，包括空口信令的安全防 护以及空口业务的安全防护，但其防护相关的安全机制所使用的参数 主要来源于核心网。
[0003][0004]基于移动通信系统构建的安全专网，有三种传统方式：
[0005]第一种是行业用户自建独立的基站和核心网；
[0006]第二种是行业用户自建独立的核心网，复用运营商公网的基站；
[0007]第三种是行业用户复用运营商公网的基站和核心网。
[0008]无论哪种方式自建专网，均存在各自的优势和劣势。下面对上述 三种传统专网构建方式进行具体分析。
[0009]第一种方式，用户根据自身安全性及覆盖性需求自建独立基站和 核心网，基站和核心网均可进行定制改造。优势在于基站和核心网可 通过定制方式嵌入第三方增强的安全能力，从而实现很高的安全性， 网络规模有限因此成本也较小。具体而言，基站可通过定制频点阻挡 大多数用户的接入，同时可通过定制空口算法，实现高于3GPP安全 能力的效果；核心网通过定制可实现用户签约信息自主管理、对接入 认证进行安全增强，实现高于3GPP安全能力的效果。但是劣势在于 整个网络的规模较小，覆盖性较弱，无法解决广域覆盖问题。若要增 大覆盖性，则需要行业用户投入巨额资金，用于大面积建设承载网和 基站。
[0010]第二种方式，用户自建独立核心网，复用运营商公网基站，以非 漫游架构实现本地覆盖或广域覆盖，实施层面上依赖于国内运营商在 接入网配置上的配合。优势在于核心网可定制，从而实现较高的安全 性，网络规模视接入的基站而定，最大可实现国内全覆盖，只自建核 心网因此成本中等。具体而言，基站复用本国运营商公网的基站，因 此频点为标准频点并且空口的安全性完全等同于3GPP安全能力；核 心网通过定制可实现用户签约信息自主管理、对接入认证进行安全增 强，实现高于3GPP安全能力的效果。但是劣势在于无法获得国外运 营商在接入网配置方面的配合，因此网络规模最多只能够覆盖国内， 无法解决国际漫游问题。
[0011]第三种方式，用户复用运营商公网的基站和核心网，根据安全性 需求在外围叠加用户面安全增强措施。优势在于标准化程度最高，可 依托运营商的国际漫游实现全球覆盖，同时由于直接使用公网资源， 因此成本较小。但是劣势在于安全性较低，由于基站、核心网均复用 运营商公网，因此整体的安全性完全等同于3GPP的安全能力。具体 而言，用户签约信息由运营商与普通公众用户混在一起进行管理；只 能够解决用户面安全增强，控制
面的安全性完全等同于3GPP安全能 力，由于接入认证采用AES国外算法，存在后门风险；用户身份在 空口和核心网容易被攻击者获情，导致用户身份容易被追踪被定位， 无法满足关键行业的安全需求。
[0012]为了解决上述问题，本专利技术提出一种能支持国际漫游的广域移动 通信安全专网构建方法，采用“商用移动通信网络+第三方安全增强 设施+自建核心网归属域”的方式构建广域移动通信专网，借鉴3GPP 标准中规定的移动通信系统非漫游架构和漫游架构，定义“自建核心 网归属域”的概念，通过在自建核心网归属域中嵌入第三方的安全增 强能力，形成控制面+用户面双重安全增强“能力根”，实现安全增强 能力向核心网拜访域以及接入网、基站等进行无感延伸，从而达到安 全增强能力直达末端的广域覆盖效果，特别是对国外运营商完全无感， 确保广域移动通信安全专网的持续性、灵活性和可扩展性，有效跟上 信息技术潮流，适应ICT融合趋势，并解决传统安全专网无法同时兼 顾广域覆盖、安全能力增强、建设运维投入较小、部署可实施性强等 要求的问题，能够广泛用于各种有安全需求的垂直行业应用，还能够 很好适应未来的发展和变化。

技术实现思路

[0013]为了解决上述问题，本专利技术提出一种能支持国际漫游的广域移动 通信安全专网构建方法，采用“商用移动通信网络+第三方安全增强 设施+自建核心网归属域”的方式构建广域移动通信专网，借鉴3GPP 标准中规定的移动通信系统非漫游架构和漫游架构，定义“自建核心 网归属域”的概念，通过在自建核心网归属域中嵌入第三方的安全增 强能力，形成控制面+用户面双重安全增强“能力根”，实现安全增强 能力向核心网拜访域以及接入网、基站等进行无感延伸，从而达到安 全增强能力直达末端的广域覆盖效果，特别是对国外运营商完全无感， 确保广域移动通信安全专网的持续性、灵活性和可扩展性，有效跟上 信息技术潮流，适应ICT融合趋势，并解决传统安全专网无法同时兼 顾广域覆盖、安全能力增强、建设运维投入较小、部署可实施性强等 要求的问题，能够广泛用于各种有安全需求的垂直行业应用，符合国 家新基建战略，还能够很好适应未来的发展和变化。
[0014]本专利技术采用的技术方案如下：
[0015]一种能支持国际漫游的广域移动通信安全专网构建方法，包括：
[0016]将运营商公网分为接入网和核心网，把国内外运营商已有的核心 网均定义为安全专网的核心网拜访域；
[0017]由行业自建或行业与运营商联合建立自建核心网，根据移动用户 接入位置所在地的不同，分为非漫游场景和漫游场景；
[0018]在所述非漫游场景下，移动用户都在本地，均通过所述自建核心 网所在地的基站进行本地接入，将所述自建核心网定义为安全专网的 完整核心网；在此场景下，没有所述核心网拜访域，所述自建核心网 与其所在地的本地接入网构成完整的移动通信安全专网，即局域性质 的安全专网；
[0019]在所述漫游场景下，移动用户不在本地，均通过运营商已有的基 站进行接入，将所述自建核心网定义为安全专网的核心网归属域；在 此场景下，所述自建核心网与运营商公网的核心网、接入网共同构成 完整的移动通信安全专网，即广域性质的安全专网。
[0020]进一步的，无论是所述非漫游场景还是所述漫游场景，均只需要 在所述自建核心
网中部署第三方安全功能单元或第三方安全功能库， 通过定制的核心网网元实现第三方安全增强能力的嵌入；所述定制的 核心网网元通过外部调用方式和/或内部调用方式调用第三方安全功 能，所述外部调用方式包括通过服务化接口调用部署在外部的所述第 三方安全功能单元，所述内部调用方式包括通过本地接口调用集成在 所述定制的核心网网元内部的所述第三方安全功能库。
[0021]进一步的，针对4G网络架构，接入网的所有功能单元和所述核 心网拜访域的所有功能单元均设置为标准网元，并复用运营商公网基 础设施；所述核心网归属域设置为所述自建核心网，只对所述核心网 归属域的网元HSS和PGW进行轻度定制，即通过外部调用方式和/ 或内部调用方式调用第三方安全功能，定制HSS调用控制面安全增 强功能，定制PGW调用用户面安全增强功能，从而实现控制面本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种能支持国际漫游的广域移动通信安全专网构建方法，其特征在于，包括：将运营商公网分为接入网和核心网，把国内外运营商已有的核心网均定义为安全专网的核心网拜访域；由行业自建或行业与运营商联合建立自建核心网，根据移动用户接入位置所在地的不同，分为非漫游场景和漫游场景；在所述非漫游场景下，移动用户都在本地，均通过所述自建核心网所在地的基站进行本地接入，将所述自建核心网定义为安全专网的完整核心网；在此场景下，没有所述核心网拜访域，所述自建核心网与其所在地的本地接入网构成完整的移动通信安全专网，即局域性质的安全专网；在所述漫游场景下，移动用户不在本地，均通过运营商已有的基站进行接入，将所述自建核心网定义为安全专网的核心网归属域；在此场景下，所述自建核心网与运营商公网的核心网、接入网共同构成完整的移动通信安全专网，即广域性质的安全专网。2.根据权利要求1所述的一种能支持国际漫游的广域移动通信安全专网构建方法，其特征在于，无论是所述非漫游场景还是所述漫游场景，均只需要在所述自建核心网中部署第三方安全功能单元或第三方安全功能库，通过定制的核心网网元实现第三方安全增强能力的嵌入；所述定制的核心网网元通过外部调用方式和/或内部调用方式调用第三方安全功能，所述外部调用方式包括通过服务化接口调用部署在外部的所述第三方安全功能单元，所述内部调用方式包括通过本地接口调用集成在所述定制的核心网网元内部的所述第三方安全功能库。3.根据权利要求2所述的一种能支持国际漫游的广域移动通信安全专网构建方法，其特征在于，针对4G网络架构，接入网的所有功能单元和所述核心网拜访域的所有功能单元均设置为标准网元，并复用运营商公网基础设施；所述核心网归属域设置为所述自建核心网，只对所述核心网归属域的网元HSS和PGW进行轻度定制，即通过外部调用方式和/或内部调用方式调用第三方安全功能，定制HSS调用控制面安全增强功能，定制PGW调用用户面安全增强功能，从而实现控制面安全和用户面安全增强功能的能力嵌入；在用户侧对用户终端进行定制实现安全增强USIM卡和安全模块的嵌入。4.根据权利要求3所述的一种能支持国际漫游的广域移动通信安全专网构建方法，其特征在于，所述接入网的所有功能单元包括2G基站GERAN、3G基站UTRAN和4G基站E
‑
UTRAN，所述核心网拜访域的所有功能单元包括4G核心网MME、4G核心网SGW和3G核心网网元SGSN。5.根据权利要求3所述的一种能支持国际漫游的广域移动通信安全专网构建方法，其特征在于，所述核心网归属域的网元HSS通过服务化Z1接口调用所述第三方安全功能单元的控制面安全增强功能，网元PGW通过服务化Z2接口调用所述第三方安全功能单元的用户面安全增强功能。6.根据权利要求3
‑
5任一项所述的一种能...

【专利技术属性】
技术研发人员：王俊，田永春，曾浩洋，金鸣，严大媛，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：