[0001] 本实用新型涉及无线专网通信安全领域，特别是涉及一种LTE电力无线专网的二次身份认证系统。

[0002] 作为3GPP组织在其标准文档中建议的认证与密钥协商方案，EPS-AKA(Evolved Packet System-Authentication and Key Agreement)是LTE网络安全的核心及基础。EPS-AKA是从3G网络中的3G-AKA方案演化而来，延续了以往认证方案的“挑战/响应”流程，通过LTE用户终端(UE，User End)与网络之间的相互认证过程，完成会话密钥的协商，为后续的通信做好加密工作，提供通信的安全保障。

[0003] 然而，在LTE电力无线专网的应用中，EPS-AKA方案中仍然存在如下严重的安全漏洞：

[0004] (1)在UE初次与MME(Mobility Management Entity，移动管理实体)进行通信时，或当MME无法从UE的S-TMSI(临时身份标识)中找到对应的IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)时，网络会要求UE发送IMSI。由于IMSI是以明文形式在无线信道中进行传输，就可能会被攻击者截获，所以很容易就把IMSI泄漏给攻击者，这样用户很容易就被追踪或遭受伪基站攻击，进而引发UE被定位和追踪的危险，甚至可能导致因用户身份信息被窃取而引发的非法网络主动攻击、拒绝服务攻击等危险事件；

[0005] (2)HSS(Home Subscriber Server，归属签约用户服务器)与MME之间传递的关键信息如SNID(服务网络身份标识)、AV(认证向量组)未受到保护。明文传输的SNID、AV很可能会被窃听和截获，其中所包含的标识信息等重要数据会成为攻击者下一步攻击的基础；

[0006] (3)由于LTE采用的是对称加密体制，密钥的传输和分配会随着网络中的设备增加而变得复杂，安全性也难以得到维护，无法满足下一代网络对高可靠性和灵活性的要求。

[0007] 目前针对上述安全隐患，LTE电力无线专网的应用，部分采用了端到端的信息加密的安全增强方案，即通过在终端侧引入加密卡、网络侧引入加密设备，通过专网私有算法，对业务数据进行安全加密处理，实现LTE传输的安全性，但存在以下缺点：

[0008] (1)每一个业务数据包都需要经过终端和网络的加密和解密处理，将明显增加传输时延，无法适用于对实时性要求很高的应用场景；

[0009] (2)所有的业务数据都需要经过保密设备加解密处理，保密设备容易成为网络的瓶颈；

[0010] (3)端到端的信息加密方案只是针对业务数据加密，并未解决LTE无线专网的安全接入问题，即仿冒终端还是可以接入LTE网络，接入后还是能够对网络设备产生攻击威胁，譬如攻击保密设备；

[0011] (4)端到端的业务信息加密存在多种实现方案，对终端需要进行硬软件改造，对核心网也可能存在改造的工作量，不具备通用性，推广性差。一旦加密方案和算法公开，又会面临与3GPP安全架构同样的破解风险。实用新型内容

[0012] 基于此，为解决现有技术中的问题，本实用新型提供一种LTE电力无线专网的二次身份认证系统，提高LTE电力无线专网的安全性能。

[0013] 为实现上述目的，本实用新型实施例采用以下技术方案：

[0014] 一种LTE电力无线专网的二次身份认证系统，包括与终端通信的基站，用户归属服务器，与所述基站通信的移动管理实体和系统架构演进网关，以及对所述终端进行二次认证的二次认证网关；

[0015] 所述二次认证网关通过通信接口与所述系统架构演进网关进行数据连接；

[0016] 所述移动管理实体分别连接至所述用户归属服务器和所述系统架构网关。

[0017] 本实用新型提供的LTE电力无线专网的二次身份认证系统，针对EPS-AKA存在的安全隐患以及已有解决方案的不足，在终端接入LTE电力无线专网时通过二次认证网关对终端进行二次认证，有效提高了LTE电力无线专网的安全性能，并且能满足对实时性要求很高的LTE电力无线专网应用。另外，本实用新型提供的LTE电力无线专网的二次身份认证系统与现有技术中端到端的信息加密方案没有任何冲突，可联合部署。本实施例中的LTE电力无线专网的二次身份认证系统没有改变现有LTE体系架构，不用对基站、核心网设备做大规模改造工作，因而具备通用性，推广性较高。

[0024] 下面将结合较佳实施例及附图对本实用新型的内容作进一步详细描述。显然，下文所描述的实施例仅用于解释本实用新型，而非对本实用新型的限定。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。应当说明的是，为了便于描述，附图中仅示出了与本实用新型相关的部分而非全部内容。

[0025] 图1是本实用新型中LTE电力无线专网的二次身份认证系统在一个实施例中的架构图。参照图1所示，本实施例中的LTE电力无线专网的二次身份认证系统，包括与终端10通信的基站20，用户归属服务器30，与基站20通信的移动管理实体40和系统架构演进网关50，以及对终端10进行二次认证的二次认证网关60。二次认证网关60通过通信接口与系统架构演进网关50进行数据连接；移动管理实体40分别连接至用户归属服务器30和系统架构网关50。

[0026] 在一种可选的实施方式中，二次认证网关60可通过Radius(Remote Authentication Dial In User Service，远程用户拨号认证服务)接口与系统架构演进网关50相连。

[0027] 可选的，本实施例中的LTE电力无线专网的二次身份认证系统还包括转发装置70和电力主站系统80，系统架构演进网关50通过转发装置70接入电力主站系统80。

[0028] 可选的，基站20通过S1-C接口与移动管理实体40连接。

[0029] 可选的，基站20通过S1-U接口与系统架构演进网关50连接。

[0030] 可选的，用户归属服务器30通过S6a接口与移动管理实体40连接。

[0031] 本实施例中的LTE电力无线专网的二次身份认证系统可以对终端10的身份进行二次认证。下面对本实施中的LTE电力无线专网的二次身份认证系统的工作原理进行说明。

[0032] 图2是本实施例中LTE电力无线专网的二次身份认证系统执行联合身份认证方法的流程示意图，。如图2所示，本实施例中的LTE电力无线专网的二次身份认证系统的处理过程包括：

[0033] 步骤S110，移动管理实体获取终端发起的入网附着请求，所述入网附着请求中包括所述终端的联合身份认证参数；

[0034] 在终端10需要访问电力主站系统时，需要接入LTE电力无线专网，因此发起入网附着请求(Attach Request)，基站20将该入网附着请求发送给移动管理实体40，该入网附着请求中包含终端10的联合身份认证参数，该联合身份认证参数用于对该终端10进行二次认证。

[0035] 在一种可选的实施方式中，终端10在发起入网附着请求前，通过调用联合身份认证算法获得联合身份认证参数。其中，联合身份认证算法可由二次认证网关60提供和管理，可选的，二次认证网关60通过联合身份认证算法接口与终端10连接。

[0036] 二次认证网关60支持针对不同的终端类型、厂家和操作系统的联合身份认证算法的管理与下载功能，同时还支持联合身份认证算法的更新。联合身份认证算法包含了终端身份信息(包括国际移动设备身份码IMEI、国际移动用户识别码IMSI、集成电路手机序列号ICCID以及用户终端MAC地址、业务终端ID号等终端身份信息)的组合选择和加密功能，相应的，通过联合身份认证算法获得的联合身份认证参数由终端身份信息组成，如何组成以及如何在网络上传输都进行了加密处理，以保证数据传输的安全性。

[0037] 由于未下载联合身份认证算法的终端10将无法接入LTE电力无线专网，终端10必须正确配置联合身份认证算法才能正常接入LTE电力无线专网。在终端10首次接入LTE电力无线专网时，即终端10首次发送入网附着请求时，有以下两种方式初始化配置联合身份认证算法：

[0038] (1)采用终端出厂预配置

[0039] 终端10出厂前预先配置有联合身份认证算法，该预先配置的联合身份认证算法即为默认的联合身份认证算法，终端10在首次接入LTE电力无线专网时，调用该预先配置的联合身份认证算法获得联合身份认证参数。预先配置的联合身份认证算法可只提取终端10的国际移动用户识别码IMSI和国际移动设备身份码IMEI这两个终端身份信息，并以明文的方式进行初始的二次认证，即预先配置的联合身份认证算法不对终端身份信息进行加密。在终端10首次接入LTE电力无线专网后立刻启动联合身份认证算法的更新流程，在二次认证网关60中获取更加安全的联合身份认证算法。

[0040] (2)二次认证网关60提供终端初次的联合身份认证算法离线下载功能[0041] 二次认证网关60通过接口向终端推送联合身份认证算法，终端10离线下载二次认证网关60提供的联合身份认证算法，同样，在终端10首次接入LTE电力无线专网后立刻启动联合身份认证算法的更新流程，在二次认证网关60中获取更加安全的联合身份认证算法。

[0042] 步骤S120，在对所述终端10的鉴权认证通过后，向二次认证网关60发送访问请求；所述访问请求中包括所述联合身份认证参数；

[0043] 移动管理实体40获取终端10发送的Attach Request后，发起终端10双向鉴权认证以及安全加密流程Authentication/Security。参照图3所示的联合身份认证成功时序图，MME发起UE、HSS双向鉴权认证，至于具体的鉴权认证过程可参照现有技术，此处不予赘述。

[0044] 在鉴权认证通过后，向二次认证网关60发送访问请求Access-Request；访问请求中包括所述联合身份认证参数。在一种可选的实施方式中，参照图3所示，向二次认证网关60发送访问请求的过程包括：

[0045] 移动管理实体40向系统架构演进网关50发送创建会话请求Create Session Request，创建会话请求中包含数据承载建立请求以及终端10的联合身份认证参数。然后系统架构演进网关50接收Create Session Request，获得终端10的身份认证参数，并根据终端10的身份认证参数生成Access-Request，将Access-Request发送给二次认证网关60。

[0046] 步骤S130，接收所述二次认证网关60根据所述联合身份认证参数对所述终端10进行二次认证的结果；若所述二次认证的结果为认证通过，则进入步骤S140；若所述二次认证的结果为认证失败，则进入步骤S150；

[0047] 二次认证网关60根据终端上传的联合身份认证参数对终端进行二次认证，参照图3所示，若认证通过，二次认证网关60回复Access-Accept；若认证失败，则参照图4示出的联合身份认证失败时序图，二次认证网关60回复Access-Reject。

[0048] 步骤S140，向基站和所述终端发送入网成功信息以及承载信息；

[0049] 参照图3所示，二次认证通过后，系统架构演进网关50完成数据面承载的建立，回复Create Session Response给移动管理实体40，Create Session Response中包含承载信息；移动管理实体40向基站20发送Initial Context Setup Request/Attach Accept，通知基站20和终端10入网成功信息以及承载信息，之后的流程与3GPP中的描述一致，最终终端10成功接入LTE电力无线专网，此后终端10通过转发装置70可访问电力主站系统80。

[0050] 步骤S150，向所述终端发送入网失败信息。

[0051] 参照图4所示，系统架构演进网关50通知移动管理实体40承载建立失败，移动管理实体40向终端10发送入网失败信息。

[0052] 本实施例中提供的LTE电力无线专网的二次身份认证系统，针对EPS-AKA存在的安全隐患以及已有解决方案的不足，在终端10接入LTE电力无线专网时通过二次认证网关60对终端进行二次认证，有效提高了LTE电力无线专网的安全性能，并且能满足对实时性要求很高的LTE电力无线专网应用。另外，本实施例中提供的技术方案与现有技术中端到端的信息加密方案没有任何冲突，可联合部署。本实施例中的技术方案没有改变现有LTE体系架构，不用对基站、核心网设备做大规模改造工作，因而具备通用性，推广性较高。同时，本实施例中提供的技术方案支持对多种终端身份信息(如业务终端ID号、MAC地址等)的联合认证，支持对终端身份信息的加密处理，而且这种加密算法完全支持由LTE电力无线专网独立开发与管理，进一步增强了专网的安全性。

[0053] 在一种可选的实施方式中，本实施例中的LTE电力无线专网的二次身份认证系统还提供联合身份认证算法的在线更新功能。参照图5所示，在终端10接入LTE电力无线专网后，通过已建立的数据通路向二次认证网关60发送认证算法版本查询请求Version-Query，二次认证网关60接收该认证算法版本查询请求Version-Query后，检查联合身份认证算法的版本信息，并向终端10反馈查询结果Version-Query-Ack。

[0054] 终端10接收二次认证网关60根据认证算法版本查询请求Version-Query反馈的查询结果Version-Query-Ack，若终端10根据Version-Query-Ack判定发现新版本的联合身份认证算法，则从二次认证网关60下载新版本的联合身份认证算法，然后加载新版本的联合身份认证算法，并向二次认证网关60发送版本更新信息Version-Notify。二次认证网关60根据终端10发送的版本更新信息Version-Notify记录与终端10相对应的联合身份认证算法的版本信息，并可向终端10反馈Version-Notify-Ack，通知终端10已更新相应的联合身份认证算法的版本信息。若终端10根据查询结果判定未发现新版本的联合身份认证算法，则二次认证网关60仍保持原有的与终端10相对应的联合身份认证算法的版本信息。

[0055] 在联合身份认证算法的在线更新过程中，如果Version-Notify发生错误或丢失，就会存在终端10和二次认证网关60间的联合身份认证算法失步，在终端10和二次认证网关60失步时，终端10使用新的联合身份认证算法和联合身份认证参数入网，而二次认证网关
60记录的还是旧的联合身份认证算法，会导致二次认证失败。针对这种风险，在本实施例中二次认证网关60还支持联合身份认证算法的同步功能，二次认证网关60在二次认证失败后尝试使用该终端10即将更新的联合身份认证算法再做一次认证，如果认证通过，则记录下终端10最新的联合身份认证算法的版本信息，保证与终端10同步。具体的，在一种可选的实施方式中，参照图6所示，二次认证网关60根据联合身份认证参数对终端10进行二次认证的过程包括：

[0056] 在接收访问请求后，二次认证网关60根据已记录的与终端10相对应的联合身份认证算法的版本信息确定所述终端10当前使用的联合身份认证算法。然后二次认证网关60根据联合身份认证参数以及终端10当前使用的联合身份认证算法对终端10进行二次认证。若认证通过，则回复AccessAccept；若认证失败，则二次认证网关60检查是否有新版本的联合身份认证算法发布，若是，则使用新版本的联合身份认证算法以及联合身份认证参数对所述终端10进行认证；若否，则回复Access Reject。当二次认证网关60使用新版本的联合身份认证算法以及联合身份认证参数对终端10进行认证且认证通过时，则回复AccessAccept，且更新与终端10相对应的联合身份认证算法的版本信息；若仍未通过认证，则回复Access Reject。通过以上过程，避免了因终端10和二次认证网关60间的联合身份认证算法失步时而导致的误判，有效提高了LTE电力无线专网的可靠性。

[0057] 以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

[0058] 以上所述实施例仅表达了本实用新型的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对实用新型专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本实用新型构思的前提下，还可以做出若干变形和改进，这些都属于本实用新型的保护范围。因此，本实用新型专利的保护范围应以所附权利要求为准。