【技术实现步骤摘要】
本专利技术涉及通信,特别是指一种通信公网与通信专网的协作通信方法和系统。
技术介绍
1、无线通信公网作为电力无线应用的统一承载传送平台,其承载的业务应用具有多样性,无线通信公网由外部专线网络与公司网络组成,业务在不同区域网络上进行承载,不同网络段对安全性的防护需求各异。
2、应用于通信专网的通信终端,比如,应用于电力通信专网的电力终端接入运营商的无线通信公网后,数据通过运营商的无线网络、ip承载网传送到电力侧信息网络,电力公司无法控制、管理运营商的网络。从电力终端到运营商基站的无线通道,运营商提供通用加密服务,安全性不高,易被破解。从运营商的通信公网的基站到电力侧的通信专网网络,运营商能够提供的数据传送方式有gtp隧道、光纤专线、gre隧道、mpls-vpn等,这几种数据传送的方式都没有采用加密技术,没有解决用户数据完整性和保密性问题。
3、图1示出的是现有的lte网络的5g移动通信公网与电力通信专网的协作通信示意图;其中,较为常见的安全问题主要包括以下几个方面:第一,移动终端的硬件平台饱受威胁。当前,移动终端的硬件平台普遍缺乏验证机制与保护机制,以至于部分模块固件被不发入侵者肆意篡改,加之终端内部的通信接口未形成集聚完整性与机密性的保护机制,导致移动终端内传出的信息被黑客窃听,对其基本安全性造成极大威胁。第二,由于5g移动通信公网包含着许多种类,但操作系统的安全性却相对匮乏,因而出现了许多漏洞,而且这些漏洞具有公开性特征。第三,5g无线系统的移动终端具备支持多种无线应用的功能,例如电子邮件、电子商务等。
4、综上,现有技术的通信公网与通信专网的协作通信系统缺少可用性的安全保证措施,不足以保证业务在面对多种外部安全威胁的情况下的安全稳定运行的问题,目前尚未有有效的解决方案。
技术实现思路
1、有鉴于此,本专利技术的目的在于提出一种通信公网与通信专网的协作通信方法和系统,能够为通信专网的业务提供可用性的安全保证措施,保障专网业务的安全稳定运行。
2、基于上述目的,本专利技术提供一种通信公网与通信专网的协作通信系统,包括:设置于主站点的业务系统、设置于子站点的业务终端,以及设置于所述业务系统和业务终端之间的专网前置机和公网前置机;其中,
3、所述公网前置机,与所述业务终端通过通信公网的信道连接,用于为业务终端的用户提供接入、认证服务;
4、所述业务终端,用于在用户认证通过后,采集终端数据通过所述通信专网或公网向所述业务系统发送,以及执行所述业务系统通过所述通信专网发送的控制命令、参数设置指令;
5、所述专网前置机,与所述业务终端通过所述通信专网的信道连接,用于对所述控制命令和参数设置指令进行签名操作,对所述终端数据进行双向认证加密;
6、所述业务系统,用于根据所述业务终端发送的终端数据,向所述业务终端发送相应控制命令和参数设置指令,以提供业务服务。
7、较佳地,所述业务终端具体用于在数据管理安全的情况下采集终端数据或执行控制命令、参数设置指令;其中,所述数据管理安全包括数据分配安全、数据存储安全、数据匹配性验证安全;
8、其中,所述数据管理安全所管理的安全数据包括身份标识、密钥数据与安全算法;
9、其中,所述身份标识为用户标识号;
10、所述密钥数据包括如下至少之一:用户安全识别码、保护密钥、导出密钥;
11、所述安全算法包括如下至少之一:随机序列生成算法;sid序列码生成算法;用户鉴权算法;开户流程中用户信息的加密算法、uid和sid保护算法、空中接口业务流加密算法、空中接口消息字段加密算法。
12、较佳地,所述业务系统具体用于提供基于业务安全机制的业务服务,其中,所述业务安全机制包括业务认证、非法分组过滤、账号绑定、ip(internet protocol,互联网协议)地址/mac(medium/media access control,媒体访问控制)地址及业务终端设备三者的绑定、端到端的加密机制。
13、较佳地,所述业务认证用于保证业务终端的用户只能享用该用户已经开通了的相关业务;所述非法分组过滤用于阻止非法数据包流向网络;所述账号绑定用于限制用户账号在没有经过许可的其它业务终端上使用;所述ip地址/mac地址及业务终端设备三者的绑定用于防止用户通过改变ip地址或pc的mac地址的方式来拦截其它用户的信息,或者干扰交换机和路由器的正常工作。
14、较佳地,所述通信专网的信道与通信公网的信道为使用了接入安全机制的信道,其中,所述接入安全机制包括下行波束赋形、接入限制、设备鉴权、用户鉴权机制;
15、其中,所述下行波束赋形用于维持空中接口的通信安全;所述接入限制用于将特定网络用户限制在特定的网络中;所述设备鉴权用于排除非法用户;所述用户鉴权用于认证合法用户身份。
16、较佳地,所述系统还包括:
17、三元对等访问控制器,用于通过所述用户和所述通信专网/公网的基站的数字证书,保证所述业务终端和所述通信专网/公网双方的互信;
18、空口数据加密装置,用于在所述三元对等访问控制器保证所述业务终端和所述通信专网/公网的基站双方的互信后,通过基密钥衍生出单播会话密钥usk,usk用于支持移动状态下的加密功能。
19、较佳地,所述通信专网具体为电力通信专网;以及
20、所述业务服务具体为电力业务服务。
21、本专利技术还提供一种通信公网与通信专网的协作通信方法,包括:
22、设置于子站点的业务终端通过公网前置机进行接入、用户身份认证;其中,所述公网前置机与所述业务终端通过通信公网的信道连接,为业务终端的用户提供接入、认证服务;
23、所述业务终端在用户认证通过后,采集终端数据通过所述通信专网或公网向设置于主站点的业务系统发送;
24、所述业务系统根据所述业务终端发送的终端数据,向所述业务终端发送相应控制命令和参数设置指令,以提供业务服务;
25、所述业务终端执行所述业务系统通过所述通信专网发送的控制命令、参数设置指令;
26、其中,通过所述通信专网发送的控制命令、参数设置指令经由专网前置机进行签名操作,通过所述通信专网发送的终端数据经由专网前置机进行采用双向认证加密;其中,所述专网前置机与所述业务终端通过所述通信专网的信道连接。
27、本专利技术还提供一种计算机设备,所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现上述的通信公网与通信专网的协作通信方法的步骤。
28、本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以使所述至少一个处理器执行上述的通信公网本文档来自技高网...
【技术保护点】
1.一种通信公网与通信专网的协作通信系统,其特征在于,包括:设置于主站点的业务系统、设置于子站点的业务终端,以及设置于所述业务系统和业务终端之间的专网前置机和公网前置机;其中,
2.根据权利要求1所述的系统,其特征在于,
3.根据权利要求1所述的系统,其特征在于,
4.根据权利要求3所述的系统,其特征在于,所述业务认证用于保证业务终端的用户只能享用该用户已经开通了的相关业务;所述非法分组过滤用于阻止非法数据包流向网络;所述账号绑定用于限制用户账号在没有经过许可的其它业务终端上使用;所述IP地址/MAC地址及业务终端设备三者的绑定用于防止用户通过改变IP地址或PC的MAC地址的方式来拦截其它用户的信息,或者干扰交换机和路由器的正常工作。
5.根据权利要求1所述的系统,其特征在于,所述通信专网的信道与通信公网的信道为使用了接入安全机制的信道,其中,所述接入安全机制包括下行波束赋形、接入限制、设备鉴权、用户鉴权机制;
6.根据权利要求1所述的系统,其特征在于,还包括:
7.根据权利要求1所述的系统,其特征在于,所述
8.一种通信公网与通信专网的协作通信方法,其特征在于,包括:
9.一种计算机设备,所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时用于实现权利要求8所述的通信公网与通信专网的协作通信方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序可被至少一个处理器所执行,以使所述至少一个处理器执行权利要求8所述的通信公网与通信专网的协作通信方法的步骤。
...【技术特征摘要】
1.一种通信公网与通信专网的协作通信系统,其特征在于,包括:设置于主站点的业务系统、设置于子站点的业务终端,以及设置于所述业务系统和业务终端之间的专网前置机和公网前置机;其中,
2.根据权利要求1所述的系统,其特征在于,
3.根据权利要求1所述的系统,其特征在于,
4.根据权利要求3所述的系统,其特征在于,所述业务认证用于保证业务终端的用户只能享用该用户已经开通了的相关业务;所述非法分组过滤用于阻止非法数据包流向网络;所述账号绑定用于限制用户账号在没有经过许可的其它业务终端上使用;所述ip地址/mac地址及业务终端设备三者的绑定用于防止用户通过改变ip地址或pc的mac地址的方式来拦截其它用户的信息,或者干扰交换机和路由器的正常工作。
5.根据权利要求1所述的系统,其特征在于,所述通信专网的信道与通信公网的信道为使...
【专利技术属性】
技术研发人员:蒋梨花,
申请(专利权)人:北京中电飞华通信有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。