Lte電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)的制作方法
【專(zhuān)利摘要】本實(shí)用新型涉及一種LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)�����,包括與終端通信的基站�����,用戶(hù)歸屬服務(wù)器����,與所述基站通信的移動(dòng)管理實(shí)體和系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)��,以及對(duì)所述終端進(jìn)行二次認(rèn)證的二次認(rèn)證網(wǎng)關(guān)���;所述二次認(rèn)證網(wǎng)關(guān)通過(guò)通信接口與所述系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)進(jìn)行數(shù)據(jù)連接;所述移動(dòng)管理實(shí)體分別連接至所述用戶(hù)歸屬服務(wù)器和所述系統(tǒng)架構(gòu)網(wǎng)關(guān)�����。本實(shí)用新型在終端接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)時(shí)通過(guò)二次認(rèn)證網(wǎng)關(guān)對(duì)終端進(jìn)行二次認(rèn)證����,有效提高了LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的安全性能,并且能滿(mǎn)足對(duì)實(shí)時(shí)性要求很高的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)應(yīng)用��。
【專(zhuān)利說(shuō)明】
LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)
技術(shù)領(lǐng)域
[0001]本實(shí)用新型涉及無(wú)線(xiàn)專(zhuān)網(wǎng)通信安全領(lǐng)域��,特別是涉及一種LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)��。
【背景技術(shù)】
[0002]作為3GPP組織在其標(biāo)準(zhǔn)文檔中建議的認(rèn)證與密鑰協(xié)商方案�,EPS-AKA(EvolvedPacket System-Authenticat1n and Key Agreement)是LTE網(wǎng)絡(luò)安全的核心及基礎(chǔ)。EPS-AKA是從3G網(wǎng)絡(luò)中的3G-AKA方案演化而來(lái)���,延續(xù)了以往認(rèn)證方案的“挑戰(zhàn)/響應(yīng)”流程,通過(guò)LTE用戶(hù)終端(UE,User End)與網(wǎng)絡(luò)之間的相互認(rèn)證過(guò)程�����,完成會(huì)話(huà)密鑰的協(xié)商��,為后續(xù)的通信做好加密工作���,提供通信的安全保障�����。
[0003]然而���,在LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的應(yīng)用中,EPS-AKA方案中仍然存在如下嚴(yán)重的安全漏洞:
[0004](I)在UE初次與MME(Mobility Management Entity�����,移動(dòng)管理實(shí)體)進(jìn)行通信時(shí)�����,或當(dāng)MME無(wú)法從UE的S-TMSI(臨時(shí)身份標(biāo)識(shí))中找到對(duì)應(yīng)的IMSI (Internat1nal MobileSubscriber Identificat1n Number,國(guó)際移動(dòng)用戶(hù)識(shí)別碼)時(shí)�����,網(wǎng)絡(luò)會(huì)要求UE發(fā)送IMSI。由于IMSI是以明文形式在無(wú)線(xiàn)信道中進(jìn)行傳輸�,就可能會(huì)被攻擊者截獲,所以很容易就把頂SI泄漏給攻擊者�,這樣用戶(hù)很容易就被追蹤或遭受偽基站攻擊,進(jìn)而引發(fā)UE被定位和追蹤的危險(xiǎn)���,甚至可能導(dǎo)致因用戶(hù)身份信息被竊取而引發(fā)的非法網(wǎng)絡(luò)主動(dòng)攻擊�、拒絕服務(wù)攻擊等危險(xiǎn)事件����;
[0005](2)HSS(Home Subscriber Server,歸屬簽約用戶(hù)服務(wù)器)與MME之間傳遞的關(guān)鍵信息如SNID(服務(wù)網(wǎng)絡(luò)身份標(biāo)識(shí))����、AV(認(rèn)證向量組)未受到保護(hù)。明文傳輸?shù)腟NID�、AV很可能會(huì)被竊聽(tīng)和截獲,其中所包含的標(biāo)識(shí)信息等重要數(shù)據(jù)會(huì)成為攻擊者下一步攻擊的基礎(chǔ)���;
[0006](3)由于LTE采用的是對(duì)稱(chēng)加密體制����,密鑰的傳輸和分配會(huì)隨著網(wǎng)絡(luò)中的設(shè)備增加而變得復(fù)雜,安全性也難以得到維護(hù)�����,無(wú)法滿(mǎn)足下一代網(wǎng)絡(luò)對(duì)高可靠性和靈活性的要求�。
[0007]目前針對(duì)上述安全隱患�����,LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的應(yīng)用����,部分采用了端到端的信息加密的安全增強(qiáng)方案,即通過(guò)在終端側(cè)引入加密卡����、網(wǎng)絡(luò)側(cè)引入加密設(shè)備,通過(guò)專(zhuān)網(wǎng)私有算法��,對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行安全加密處理���,實(shí)現(xiàn)LTE傳輸?shù)陌踩?�,但存在以下缺點(diǎn):
[0008](I)每一個(gè)業(yè)務(wù)數(shù)據(jù)包都需要經(jīng)過(guò)終端和網(wǎng)絡(luò)的加密和解密處理��,將明顯增加傳輸時(shí)延�,無(wú)法適用于對(duì)實(shí)時(shí)性要求很高的應(yīng)用場(chǎng)景;
[0009](2)所有的業(yè)務(wù)數(shù)據(jù)都需要經(jīng)過(guò)保密設(shè)備加解密處理��,保密設(shè)備容易成為網(wǎng)絡(luò)的瓶頸�;
[0010](3)端到端的信息加密方案只是針對(duì)業(yè)務(wù)數(shù)據(jù)加密,并未解決LTE無(wú)線(xiàn)專(zhuān)網(wǎng)的安全接入問(wèn)題��,即仿冒終端還是可以接入LTE網(wǎng)絡(luò)�,接入后還是能夠?qū)W(wǎng)絡(luò)設(shè)備產(chǎn)生攻擊威脅,譬如攻擊保設(shè)備�;
[0011](4)端到端的業(yè)務(wù)信息加密存在多種實(shí)現(xiàn)方案,對(duì)終端需要進(jìn)行硬軟件改造�,對(duì)核心網(wǎng)也可能存在改造的工作量,不具備通用性����,推廣性差。一旦加密方案和算法公開(kāi)����,又會(huì)面臨與3GPP安全架構(gòu)同樣的破解風(fēng)險(xiǎn)。
【實(shí)用新型內(nèi)容】
[0012]基于此����,為解決現(xiàn)有技術(shù)中的問(wèn)題�����,本實(shí)用新型提供一種LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)�����,提高LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的安全性能。
[0013]為實(shí)現(xiàn)上述目的�����,本實(shí)用新型實(shí)施例采用以下技術(shù)方案:
[0014]一種LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)���,包括與終端通信的基站�,用戶(hù)歸屬服務(wù)器�,與所述基站通信的移動(dòng)管理實(shí)體和系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān),以及對(duì)所述終端進(jìn)行二次認(rèn)證的二次認(rèn)證網(wǎng)關(guān)���;
[0015]所述二次認(rèn)證網(wǎng)關(guān)通過(guò)通信接口與所述系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)進(jìn)行數(shù)據(jù)連接�;
[0016]所述移動(dòng)管理實(shí)體分別連接至所述用戶(hù)歸屬服務(wù)器和所述系統(tǒng)架構(gòu)網(wǎng)關(guān)�����。
[0017]本實(shí)用新型提供的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng),針對(duì)EPS-AKA存在的安全隱患以及已有解決方案的不足���,在終端接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)時(shí)通過(guò)二次認(rèn)證網(wǎng)關(guān)對(duì)終端進(jìn)行二次認(rèn)證����,有效提高了 LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的安全性能��,并且能滿(mǎn)足對(duì)實(shí)時(shí)性要求很高的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)應(yīng)用��。另外��,本實(shí)用新型提供的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)與現(xiàn)有技術(shù)中端到端的信息加密方案沒(méi)有任何沖突��,可聯(lián)合部署�。本實(shí)施例中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)沒(méi)有改變現(xiàn)有LTE體系架構(gòu),不用對(duì)基站����、核心網(wǎng)設(shè)備做大規(guī)模改造工作,因而具備通用性��,推廣性較高����。
【附圖說(shuō)明】
[0018]圖1是本實(shí)用新型中LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)在一個(gè)實(shí)施例中的架構(gòu)圖��;
[0019]圖2是本實(shí)用新型實(shí)施例中LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)執(zhí)行聯(lián)合身份認(rèn)證方法的流程示意圖�;
[0020]圖3為本實(shí)用新型實(shí)施例中聯(lián)合身份認(rèn)證成功時(shí)的時(shí)序圖���;
[0021 ]圖4為本實(shí)用新型實(shí)施例中聯(lián)合身份認(rèn)證失敗時(shí)的時(shí)序圖���;
[0022]圖5為本實(shí)用新型實(shí)施例中聯(lián)合身份認(rèn)證算法的在線(xiàn)更新流程示意圖;
[0023]圖6為本實(shí)用新型實(shí)施例中二次認(rèn)證網(wǎng)關(guān)根據(jù)聯(lián)合身份認(rèn)證參數(shù)對(duì)終端進(jìn)行二次認(rèn)證的流程示意圖��。
【具體實(shí)施方式】
[0024]下面將結(jié)合較佳實(shí)施例及附圖對(duì)本實(shí)用新型的內(nèi)容作進(jìn)一步詳細(xì)描述����。顯然�,下文所描述的實(shí)施例僅用于解釋本實(shí)用新型,而非對(duì)本實(shí)用新型的限定�。基于本實(shí)用新型中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本實(shí)用新型保護(hù)的范圍�。應(yīng)當(dāng)說(shuō)明的是,為了便于描述�����,附圖中僅示出了與本實(shí)用新型相關(guān)的部分而非全部?jī)?nèi)容�����。
[0025]圖1是本實(shí)用新型中LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)在一個(gè)實(shí)施例中的架構(gòu)圖�。參照?qǐng)D1所示,本實(shí)施例中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)�,包括與終端10通信的基站20,用戶(hù)歸屬服務(wù)器30��,與基站20通信的移動(dòng)管理實(shí)體40和系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50��,以及對(duì)終端10進(jìn)行二次認(rèn)證的二次認(rèn)證網(wǎng)關(guān)60���。二次認(rèn)證網(wǎng)關(guān)60通過(guò)通信接口與系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50進(jìn)行數(shù)據(jù)連接;移動(dòng)管理實(shí)體40分別連接至用戶(hù)歸屬服務(wù)器30和系統(tǒng)架構(gòu)網(wǎng)關(guān)50 ο
[0026]在一種可選的實(shí)施方式中�����,二次認(rèn)證網(wǎng)關(guān)60可通過(guò)Radius(RemoteAuthenticat1n Dial In User Service��,遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證服務(wù))接口與系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50相連�。
[0027]可選的,本實(shí)施例中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)還包括轉(zhuǎn)發(fā)裝置70和電力主站系統(tǒng)80���,系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50通過(guò)轉(zhuǎn)發(fā)裝置70接入電力主站系統(tǒng)80�����。
[0028]可選的����,基站20通過(guò)Sl-C接口與移動(dòng)管理實(shí)體40連接�。
[0029]可選的,基站20通過(guò)Sl-U接口與系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50連接�。
[0030]可選的,用戶(hù)歸屬服務(wù)器30通過(guò)S6a接口與移動(dòng)管理實(shí)體40連接��。
[0031]本實(shí)施例中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)可以對(duì)終端10的身份進(jìn)行二次認(rèn)證���。下面對(duì)本實(shí)施中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)的工作原理進(jìn)行說(shuō)明。
[0032]圖2是本實(shí)施例中LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)執(zhí)行聯(lián)合身份認(rèn)證方法的流程示意圖���,�。如圖2所示��,本實(shí)施例中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)的處理過(guò)程包括:
[0033]步驟S110,移動(dòng)管理實(shí)體獲取終端發(fā)起的入網(wǎng)附著請(qǐng)求����,所述入網(wǎng)附著請(qǐng)求中包括所述終端的聯(lián)合身份認(rèn)證參數(shù);
[0034]在終端10需要訪(fǎng)問(wèn)電力主站系統(tǒng)時(shí)��,需要接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)�����,因此發(fā)起入網(wǎng)附著請(qǐng)求(Attach Request)����,基站20將該入網(wǎng)附著請(qǐng)求發(fā)送給移動(dòng)管理實(shí)體40,該入網(wǎng)附著請(qǐng)求中包含終端10的聯(lián)合身份認(rèn)證參數(shù)��,該聯(lián)合身份認(rèn)證參數(shù)用于對(duì)該終端10進(jìn)行二次認(rèn)證���。
[0035]在一種可選的實(shí)施方式中���,終端10在發(fā)起入網(wǎng)附著請(qǐng)求前,通過(guò)調(diào)用聯(lián)合身份認(rèn)證算法獲得聯(lián)合身份認(rèn)證參數(shù)�。其中,聯(lián)合身份認(rèn)證算法可由二次認(rèn)證網(wǎng)關(guān)60提供和管理����,可選的�����,二次認(rèn)證網(wǎng)關(guān)60通過(guò)聯(lián)合身份認(rèn)證算法接口與終端10連接����。
[0036]二次認(rèn)證網(wǎng)關(guān)60支持針對(duì)不同的終端類(lèi)型�、廠(chǎng)家和操作系統(tǒng)的聯(lián)合身份認(rèn)證算法的管理與下載功能,同時(shí)還支持聯(lián)合身份認(rèn)證算法的更新�。聯(lián)合身份認(rèn)證算法包含了終端身份信息(包括國(guó)際移動(dòng)設(shè)備身份碼ME1、國(guó)際移動(dòng)用戶(hù)識(shí)別碼頂S1�����、集成電路手機(jī)序列號(hào)ICCID以及用戶(hù)終端MAC地址�、業(yè)務(wù)終端ID號(hào)等終端身份信息)的組合選擇和加密功能,相應(yīng)的��,通過(guò)聯(lián)合身份認(rèn)證算法獲得的聯(lián)合身份認(rèn)證參數(shù)由終端身份信息組成��,如何組成以及如何在網(wǎng)絡(luò)上傳輸都進(jìn)行了加密處理�,以保證數(shù)據(jù)傳輸?shù)陌踩浴?br>[0037]由于未下載聯(lián)合身份認(rèn)證算法的終端10將無(wú)法接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)���,終端10必須正確配置聯(lián)合身份認(rèn)證算法才能正常接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)�。在終端10首次接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)時(shí),即終端10首次發(fā)送入網(wǎng)附著請(qǐng)求時(shí)����,有以下兩種方式初始化配置聯(lián)合身份認(rèn)證算法:
[0038](I)采用終端出廠(chǎng)預(yù)配置
[0039]終端10出廠(chǎng)前預(yù)先配置有聯(lián)合身份認(rèn)證算法,該預(yù)先配置的聯(lián)合身份認(rèn)證算法即為默認(rèn)的聯(lián)合身份認(rèn)證算法��,終端10在首次接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)時(shí)����,調(diào)用該預(yù)先配置的聯(lián)合身份認(rèn)證算法獲得聯(lián)合身份認(rèn)證參數(shù)。預(yù)先配置的聯(lián)合身份認(rèn)證算法可只提取終端10的國(guó)際移動(dòng)用戶(hù)識(shí)別碼MSI和國(guó)際移動(dòng)設(shè)備身份碼IMEI這兩個(gè)終端身份信息���,并以明文的方式進(jìn)行初始的二次認(rèn)證���,即預(yù)先配置的聯(lián)合身份認(rèn)證算法不對(duì)終端身份信息進(jìn)行加密。在終端10首次接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)后立刻啟動(dòng)聯(lián)合身份認(rèn)證算法的更新流程����,在二次認(rèn)證網(wǎng)關(guān)60中獲取更加安全的聯(lián)合身份認(rèn)證算法。
[0040](2) 二次認(rèn)證網(wǎng)關(guān)60提供終端初次的聯(lián)合身份認(rèn)證算法離線(xiàn)下載功能
[0041]二次認(rèn)證網(wǎng)關(guān)60通過(guò)接口向終端推送聯(lián)合身份認(rèn)證算法����,終端10離線(xiàn)下載二次認(rèn)證網(wǎng)關(guān)60提供的聯(lián)合身份認(rèn)證算法���,同樣,在終端10首次接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)后立刻啟動(dòng)聯(lián)合身份認(rèn)證算法的更新流程��,在二次認(rèn)證網(wǎng)關(guān)60中獲取更加安全的聯(lián)合身份認(rèn)證算法���。
[0042]步驟S120����,在對(duì)所述終端10的鑒權(quán)認(rèn)證通過(guò)后�,向二次認(rèn)證網(wǎng)關(guān)60發(fā)送訪(fǎng)問(wèn)請(qǐng)求;所述訪(fǎng)問(wèn)請(qǐng)求中包括所述聯(lián)合身份認(rèn)證參數(shù)���;
[0043]移動(dòng)管理實(shí)體40獲取終端10發(fā)送的Attach Request后�����,發(fā)起終端10雙向鑒權(quán)認(rèn)證以及安全加密流程Authenticat1n/Security��。參照?qǐng)D3所示的聯(lián)合身份認(rèn)證成功時(shí)序圖�����,MME發(fā)起UE�、HSS雙向鑒權(quán)認(rèn)證��,至于具體的鑒權(quán)認(rèn)證過(guò)程可參照現(xiàn)有技術(shù)��,此處不予贅述�。
[0044]在鑒權(quán)認(rèn)證通過(guò)后,向二次認(rèn)證網(wǎng)關(guān)60發(fā)送訪(fǎng)問(wèn)請(qǐng)求Access-Request ���;訪(fǎng)問(wèn)請(qǐng)求中包括所述聯(lián)合身份認(rèn)證參數(shù)��。在一種可選的實(shí)施方式中��,參照?qǐng)D3所示�����,向二次認(rèn)證網(wǎng)關(guān)60發(fā)送訪(fǎng)問(wèn)請(qǐng)求的過(guò)程包括:
[0045]移動(dòng)管理實(shí)體40向系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50發(fā)送創(chuàng)建會(huì)話(huà)請(qǐng)求Create Sess1nRequest����,創(chuàng)建會(huì)話(huà)請(qǐng)求中包含數(shù)據(jù)承載建立請(qǐng)求以及終端10的聯(lián)合身份認(rèn)證參數(shù)���。然后系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50接收Create Sess1n Request���,獲得終端10的身份認(rèn)證參數(shù)����,并根據(jù)終端10的身份認(rèn)證參數(shù)生成Access-Request��,將Access-Request發(fā)送給二次認(rèn)證網(wǎng)關(guān)60���。
[0046]步驟S130����,接收所述二次認(rèn)證網(wǎng)關(guān)60根據(jù)所述聯(lián)合身份認(rèn)證參數(shù)對(duì)所述終端10進(jìn)行二次認(rèn)證的結(jié)果;若所述二次認(rèn)證的結(jié)果為認(rèn)證通過(guò)��,則進(jìn)入步驟S140;若所述二次認(rèn)證的結(jié)果為認(rèn)證失敗����,則進(jìn)入步驟S150;
[0047]二次認(rèn)證網(wǎng)關(guān)60根據(jù)終端上傳的聯(lián)合身份認(rèn)證參數(shù)對(duì)終端進(jìn)行二次認(rèn)證,參照?qǐng)D3所示����,若認(rèn)證通過(guò),二次認(rèn)證網(wǎng)關(guān)60回復(fù)Access-Accept;若認(rèn)證失敗�����,則參照?qǐng)D4示出的聯(lián)合身份認(rèn)證失敗時(shí)序圖,二次認(rèn)證網(wǎng)關(guān)60回復(fù)Access-Re ject����。
[0048]步驟S140,向基站和所述終端發(fā)送入網(wǎng)成功信息以及承載信息����;
[0049]參照?qǐng)D3所示�����,二次認(rèn)證通過(guò)后�,系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50完成數(shù)據(jù)面承載的建立,回復(fù)Create Sess1n Response給移動(dòng)管理實(shí)體40,Create Sess1n Response中包含承載信息��;移動(dòng)管理實(shí)體40向基站20發(fā)送Initial Context Setup Request/Attach Accept��,通知基站20和終端10入網(wǎng)成功信息以及承載信息��,之后的流程與3GPP中的描述一致�,最終終端10成功接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng),此后終端10通過(guò)轉(zhuǎn)發(fā)裝置70可訪(fǎng)問(wèn)電力主站系統(tǒng)80��。
[0050]步驟S150���,向所述終端發(fā)送入網(wǎng)失敗信息���。
[0051]參照?qǐng)D4所示��,系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)50通知移動(dòng)管理實(shí)體40承載建立失敗���,移動(dòng)管理實(shí)體40向終端10發(fā)送入網(wǎng)失敗信息。
[0052 ]本實(shí)施例中提供的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)����,針對(duì)EPS-AKA存在的安全隱患以及已有解決方案的不足,在終端10接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)時(shí)通過(guò)二次認(rèn)證網(wǎng)關(guān)60對(duì)終端進(jìn)行二次認(rèn)證���,有效提高了 LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的安全性能�,并且能滿(mǎn)足對(duì)實(shí)時(shí)性要求很高的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)應(yīng)用�。另外,本實(shí)施例中提供的技術(shù)方案與現(xiàn)有技術(shù)中端到端的信息加密方案沒(méi)有任何沖突�����,可聯(lián)合部署�。本實(shí)施例中的技術(shù)方案沒(méi)有改變現(xiàn)有LTE體系架構(gòu),不用對(duì)基站���、核心網(wǎng)設(shè)備做大規(guī)模改造工作��,因而具備通用性����,推廣性較高。同時(shí)��,本實(shí)施例中提供的技術(shù)方案支持對(duì)多種終端身份信息(如業(yè)務(wù)終端ID號(hào)�����、MAC地址等)的聯(lián)合認(rèn)證���,支持對(duì)終端身份信息的加密處理,而且這種加密算法完全支持由LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)獨(dú)立開(kāi)發(fā)與管理���,進(jìn)一步增強(qiáng)了專(zhuān)網(wǎng)的安全性�。
[0053]在一種可選的實(shí)施方式中��,本實(shí)施例中的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)還提供聯(lián)合身份認(rèn)證算法的在線(xiàn)更新功能����。參照?qǐng)D5所示���,在終端10接入LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)后,通過(guò)已建立的數(shù)據(jù)通路向二次認(rèn)證網(wǎng)關(guān)60發(fā)送認(rèn)證算法版本查詢(xún)請(qǐng)求Vers1n-Query��,二次認(rèn)證網(wǎng)關(guān)60接收該認(rèn)證算法版本查詢(xún)請(qǐng)求Vers1n-Query后���,檢查聯(lián)合身份認(rèn)證算法的版本信息�,并向終端10反饋查詢(xún)結(jié)果Vers1n-Query-Ack�。
[0054]終端10接收二次認(rèn)證網(wǎng)關(guān)60根據(jù)認(rèn)證算法版本查詢(xún)請(qǐng)求Vers1n-Query反饋的查詢(xún)結(jié)果Vers1n-Query-Ack,若終端10根據(jù)Vers1n-Query-Ack判定發(fā)現(xiàn)新版本的聯(lián)合身份認(rèn)證算法��,則從二次認(rèn)證網(wǎng)關(guān)60下載新版本的聯(lián)合身份認(rèn)證算法�,然后加載新版本的聯(lián)合身份認(rèn)證算法,并向二次認(rèn)證網(wǎng)關(guān)60發(fā)送版本更新信息Vers1n-Notify�����。二次認(rèn)證網(wǎng)關(guān)60根據(jù)終端10發(fā)送的版本更新信息Vers1n-Notify記錄與終端10相對(duì)應(yīng)的聯(lián)合身份認(rèn)證算法的版本信息��,并可向終端10反饋Vers1n-Notify-Ack�����,通知終端10已更新相應(yīng)的聯(lián)合身份認(rèn)證算法的版本信息����。若終端10根據(jù)查詢(xún)結(jié)果判定未發(fā)現(xiàn)新版本的聯(lián)合身份認(rèn)證算法����,則二次認(rèn)證網(wǎng)關(guān)60仍保持原有的與終端10相對(duì)應(yīng)的聯(lián)合身份認(rèn)證算法的版本信息�。
[0055]在聯(lián)合身份認(rèn)證算法的在線(xiàn)更新過(guò)程中,如果Vers1n-Notify發(fā)生錯(cuò)誤或丟失�����,就會(huì)存在終端1和二次認(rèn)證網(wǎng)關(guān)60間的聯(lián)合身份認(rèn)證算法失步���,在終端1和二次認(rèn)證網(wǎng)關(guān)60失步時(shí)����,終端10使用新的聯(lián)合身份認(rèn)證算法和聯(lián)合身份認(rèn)證參數(shù)入網(wǎng)���,而二次認(rèn)證網(wǎng)關(guān)60記錄的還是舊的聯(lián)合身份認(rèn)證算法,會(huì)導(dǎo)致二次認(rèn)證失敗�����。針對(duì)這種風(fēng)險(xiǎn)�,在本實(shí)施例中二次認(rèn)證網(wǎng)關(guān)60還支持聯(lián)合身份認(rèn)證算法的同步功能��,二次認(rèn)證網(wǎng)關(guān)60在二次認(rèn)證失敗后嘗試使用該終端10即將更新的聯(lián)合身份認(rèn)證算法再做一次認(rèn)證�,如果認(rèn)證通過(guò)����,則記錄下終端10最新的聯(lián)合身份認(rèn)證算法的版本信息,保證與終端10同步����。具體的,在一種可選的實(shí)施方式中�,參照?qǐng)D6所示,二次認(rèn)證網(wǎng)關(guān)60根據(jù)聯(lián)合身份認(rèn)證參數(shù)對(duì)終端10進(jìn)行二次認(rèn)證的過(guò)程包括:
[0056]在接收訪(fǎng)問(wèn)請(qǐng)求后���,二次認(rèn)證網(wǎng)關(guān)60根據(jù)已記錄的與終端10相對(duì)應(yīng)的聯(lián)合身份認(rèn)證算法的版本信息確定所述終端10當(dāng)前使用的聯(lián)合身份認(rèn)證算法���。然后二次認(rèn)證網(wǎng)關(guān)60根據(jù)聯(lián)合身份認(rèn)證參數(shù)以及終端10當(dāng)前使用的聯(lián)合身份認(rèn)證算法對(duì)終端10進(jìn)行二次認(rèn)證。若認(rèn)證通過(guò)�����,則回復(fù)AccessAccept;若認(rèn)證失敗���,則二次認(rèn)證網(wǎng)關(guān)60檢查是否有新版本的聯(lián)合身份認(rèn)證算法發(fā)布�,若是,則使用新版本的聯(lián)合身份認(rèn)證算法以及聯(lián)合身份認(rèn)證參數(shù)對(duì)所述終端10進(jìn)行認(rèn)證;若否�,則回復(fù)Access Reject。當(dāng)二次認(rèn)證網(wǎng)關(guān)60使用新版本的聯(lián)合身份認(rèn)證算法以及聯(lián)合身份認(rèn)證參數(shù)對(duì)終端I O進(jìn)行認(rèn)證且認(rèn)證通過(guò)時(shí)���,則回復(fù)AccessAccept�����,且更新與終端10相對(duì)應(yīng)的聯(lián)合身份認(rèn)證算法的版本信息;若仍未通過(guò)認(rèn)證�,則回復(fù)Access Reject�����。通過(guò)以上過(guò)程����,避免了因終端10和二次認(rèn)證網(wǎng)關(guān)60間的聯(lián)合身份認(rèn)證算法失步時(shí)而導(dǎo)致的誤判�,有效提高了 LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的可靠性。
[0057]以上所述實(shí)施例的各技術(shù)特征可以進(jìn)行任意的組合�����,為使描述簡(jiǎn)潔�����,未對(duì)上述實(shí)施例中的各個(gè)技術(shù)特征所有可能的組合都進(jìn)行描述,然而�,只要這些技術(shù)特征的組合不存在矛盾,都應(yīng)當(dāng)認(rèn)為是本說(shuō)明書(shū)記載的范圍��。
[0058]以上所述實(shí)施例僅表達(dá)了本實(shí)用新型的幾種實(shí)施方式�����,其描述較為具體和詳細(xì)�����,但并不能因此而理解為對(duì)實(shí)用新型專(zhuān)利范圍的限制�。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在不脫離本實(shí)用新型構(gòu)思的前提下,還可以做出若干變形和改進(jìn)����,這些都屬于本實(shí)用新型的保護(hù)范圍。因此,本實(shí)用新型專(zhuān)利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�����。
【主權(quán)項(xiàng)】
1.一種LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)���,其特征在于���,包括與終端通信的基站,用戶(hù)歸屬服務(wù)器��,與所述基站通信的移動(dòng)管理實(shí)體和系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)����,以及對(duì)所述終端進(jìn)行二次認(rèn)證的二次認(rèn)證網(wǎng)關(guān); 所述二次認(rèn)證網(wǎng)關(guān)通過(guò)通信接口與所述系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)進(jìn)行數(shù)據(jù)連接�����; 所述移動(dòng)管理實(shí)體分別連接至所述用戶(hù)歸屬服務(wù)器和所述系統(tǒng)架構(gòu)網(wǎng)關(guān)��。2.根據(jù)權(quán)利要求1所述的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)��,其特征在于����,所述通信接口為Radius接口。3.根據(jù)權(quán)利要求1所述的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)����,其特征在于,所述二次認(rèn)證網(wǎng)關(guān)通過(guò)聯(lián)合身份認(rèn)證算法接口與所述終端連接��。4.根據(jù)權(quán)利要求1所述的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)���,其特征在于���,所述基站通過(guò)Sl-C接口與所述移動(dòng)管理實(shí)體連接。5.根據(jù)權(quán)利要求4所述的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)����,其特征在于,所述基站通過(guò)Sl-U接口與所述系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)連接����。6.根據(jù)權(quán)利要求1所述的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng),其特征在于�,所述用戶(hù)歸屬服務(wù)器通過(guò)S6a接口與所述移動(dòng)管理實(shí)體連接。7.根據(jù)權(quán)利要求1所述的LTE電力無(wú)線(xiàn)專(zhuān)網(wǎng)的二次身份認(rèn)證系統(tǒng)���,其特征在于���,還包括轉(zhuǎn)發(fā)裝置和電力主站系統(tǒng)����,所述系統(tǒng)架構(gòu)演進(jìn)網(wǎng)關(guān)通過(guò)所述轉(zhuǎn)發(fā)裝置接入所述電力主站系統(tǒng)��。
【文檔編號(hào)】H04W12/08GK205693897SQ201620562992
【公開(kāi)日】2016年11月16日
【申請(qǐng)日】2016年6月8日 公開(kāi)號(hào)201620562992.1, CN 201620562992, CN 205693897 U, CN 205693897U, CN-U-205693897, CN201620562992, CN201620562992.1, CN205693897 U, CN205693897U
【發(fā)明人】陳立明, 董旭柱, 謝雄威, 吳爭(zhēng)榮, 黃曉勝, 劉志文, 陶凱, 俞小勇, 周昌盛, 曹疊, 高奇, 羅建華, 鐘靖濃
【申請(qǐng)人】中國(guó)南方電網(wǎng)有限責(zé)任公司電網(wǎng)技術(shù)研究中心, 中國(guó)電子科技集團(tuán)公司第七研究所, 南方電網(wǎng)科學(xué)研究院有限責(zé)任公司, 廣西電網(wǎng)有限責(zé)任公司電力科學(xué)研究院, 廣西電網(wǎng)有限責(zé)任公司南寧供電局