配电通信无线专网的联合身份认证方法和系统的制作方法
【专利摘要】本发明涉及一种配电通信无线专网的联合身份认证方法和系统,该方法包括如下步骤:配电通信无线专网的核心网获取终端发起的入网附着请求,入网附着请求中包括终端的联合身份认证参数;核心网在对终端的鉴权认证通过后,向二次认证网关发送访问请求;核心网接收二次认证网关根据联合身份认证参数对终端进行二次认证的结果;若二次认证的结果为认证通过,则核心网向基站和终端发送入网成功信息以及承载信息;若二次认证的结果为认证失败,则核心网向终端发送入网失败信息。本发明在终端接入网络时进行二次认证,有效提高了配电通信无线专网的安全性能,并且能满足对实时性要求很高的配电通信无线专网应用。
【专利说明】
配电通信无线专网的联合身份认证方法和系统
技术领域
[0001]本发明涉及无线专网通信安全领域,特别是涉及一种配电通信无线专网的联合身份认证方法和系统。
【背景技术】
[0002]作为3GPP组织在其标准文档中建议的认证与密钥协商方案,EPS-AKA(EvolvedPacket System-Authenticat1n and Key Agreement)是LTE网络安全的核心及基础。EPS-AKA是从3G网络中的3G-AKA方案演化而来,延续了以往认证方案的“挑战/响应”流程,通过LTE用户终端(UE,User End)与网络之间的相互认证过程,完成会话密钥的协商,为后续的通信做好加密工作,提供通信的安全保障。
[0003]然而,在配电通信LTE无线专网的应用中,EPS-AKA方案中仍然存在如下严重的安全漏洞:
[0004](I)在UE初次与MME(Mobility Management Entity,移动管理实体)进行通信时,或当MME无法从UE的S-TMSI(临时身份标识)中找到对应的IMSI (Internat1nal MobileSubscriber Identificat1n Number,国际移动用户识别码)时,网络会要求UE发送IMSI。由于IMSI是以明文形式在无线信道中进行传输,就可能会被攻击者截获,所以很容易就把頂SI泄漏给攻击者,这样用户很容易就被追踪或遭受伪基站攻击,进而引发UE被定位和追踪的危险,甚至可能导致因用户身份信息被窃取而引发的非法网络主动攻击、拒绝服务攻击等危险事件;
[0005](2)HSS(Home Subscriber Server,归属签约用户服务器)与MME之间传递的关键信息如SNID(服务网络身份标识)、AV(认证向量组)未受到保护。明文传输的SNID、AV很可能会被窃听和截获,其中所包含的标识信息等重要数据会成为攻击者下一步攻击的基础;
[0006](3)由于LTE采用的是对称加密体制,密钥的传输和分配会随着网络中的设备增加而变得复杂,安全性也难以得到维护,无法满足下一代网络对高可靠性和灵活性的要求。
[0007]目前针对上述安全隐患,配电通信LTE无线专网的应用,部分采用了端到端的信息加密的安全增强方案,即通过在终端侧引入加密卡、网络侧引入加密设备,通过专网私有算法,对业务数据进行安全加密处理,实现LTE传输的安全性,但存在以下缺点:
[0008](I)每一个业务数据包都需要经过终端和网络的加密和解密处理,将明显增加传输时延,无法适用于对实时性要求很高的应用场景;
[0009](2)所有的业务数据都需要经过保密设备加解密处理,保密设备容易成为网络的瓶颈;
[0010](3)端到端的信息加密方案只是针对业务数据加密,并未解决LTE无线专网的安全接入问题,即仿冒终端还是可以接入LTE网络,接入后还是能够对网络设备产生攻击威胁,譬如攻击保设备;
[0011](4)端到端的业务信息加密存在多种实现方案,对终端需要进行硬软件改造,对核心网也可能存在改造的工作量,不具备通用性,推广性差。一旦加密方案和算法公开,又会面临与3GPP安全架构同样的破解风险。
【发明内容】
[0012]基于此,为解决现有技术中的问题,本发明提供一种配电通信无线专网的联合身份认证方法和系统,提高配电通信无线专网的安全性能。
[0013]为实现上述目的,本发明实施例采用以下技术方案:
[0014]一种配电通信无线专网的联合身份认证方法,包括如下步骤:
[0015]配电通信无线专网的核心网获取终端发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数;
[0016]所述核心网在对所述终端的鉴权认证通过后,向二次认证网关发送访问请求;所述访问请求中包括所述联合身份认证参数;
[0017]所述核心网接收所述二次认证网关根据所述联合身份认证参数对所述终端进行二次认证的结果;
[0018]若所述二次认证的结果为认证通过,则所述核心网向基站和所述终端发送入网成功信息以及承载信息;
[0019]若所述二次认证的结果为认证失败,则所述核心网向所述终端发送入网失败信息。
[0020]本发明实施例还提供一种配电通信无线专网的联合身份认证系统,包括二次认证网关、终端以及设置在配电通信无线专网的核心网中的处理系统;所述处理系统包括:
[0021]获取模块,用于获取终端发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数;
[0022]鉴权认证模块,用于对所述终端进行鉴权认证;
[0023]访问请求模块,用于在所述终端的鉴权认证通过后,向二次认证网关发送访问请求;所述访问请求中包括所述联合身份认证参数;
[0024]接收模块,用于接收所述二次认证网关根据所述联合身份认证参数对所述终端进行二次认证的结果;
[0025]第一通知模块,用于在所述二次认证的结果为认证通过时,向基站和所述终端发送入网成功信息以及承载信息。
[0026]第二通知模块,用于在所述二次认证的结果为认证失败时,向所述终端发送入网失败ig息。
[0027]本发明提供的配电通信无线专网的联合身份认证方法和系统,属于接入控制层面的安全增强技术方案,针对EPS-AKA存在的安全隐患以及已有解决方案的不足,在终端接入网络时进行二次认证,有效提高了配电通信无线专网的安全性能,并且能满足对实时性要求很高的配电通信无线专网应用。另外,本实施例中提供的技术方案与现有技术中端到端的信息加密方案没有任何冲突,可联合部署。本实施例中的技术方案没有改变现有LTE体系架构,不用对基站、核心网设备做大规模改造工作,只需要对终端进行简单的软件增强,因而具备通用性,推广性较高。同时,本实施例中提供的技术方案中,通过联合身份认证参数实现了对多种终端身份信息(如业务终端ID号、MAC地址等)的联合认证,支持对终端身份信息的加密处理,而且这种加密算法完全支持由专网独立开发与管理,进一步增强了配电通信无线专网的安全性。
【附图说明】
[0028]图1是本发明中的配电通信无线专网的架构图;
[0029]图2是本发明的配电通信无线专网的联合身份认证方法在一个实施例中的流程示意图;
[0030]图3为本发明实施例中联合身份认证成功时的时序图;
[0031 ]图4为本发明实施例中联合身份认证失败时的时序图;
[0032]图5为本发明实施例中联合身份认证算法的在线更新流程示意图;
[0033]图6为本发明实施例中二次认证网关根据联合身份认证参数对终端进行二次认证的流程示意图;
[0034]图7为本发明的配电通信无线专网的联合身份认证系统在一个实施例中的结构示意图。
【具体实施方式】
[0035]下面将结合较佳实施例及附图对本发明的内容作进一步详细描述。显然,下文所描述的实施例仅用于解释本发明,而非对本发明的限定。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。应当说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。
[0036]图1是本发明中的配电通信无线专网的架构图,在图1中,二次认证网关可通过Radius(Remote Authenticat1n Dial In User Service,远程用户拨号认证服务)接口与SAE-GW(系统架构演进网关)相连接。图2是本发明的配电通信无线专网的联合身份认证方法在一个实施例中的流程示意图,本实施例的方法可以由配电通信无线专网的核心网来执行。如图2所示,本实施例中的配电通信无线专网的联合身份认证方法包括以下步骤:
[0037]步骤S110,配电通信无线专网的核心网获取终端发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数;
[0038]在本实施例中,配电通信无线专网的核心网包括HSS、MME、SAE-GW等网元。在终端需要访问电力主站系统时,需要接入配电通信无线网,因此发起入网附着请求(AttachReque st ),基站将该入网附着请求发送给核心网,该入网附着请求中包含终端的联合身份认证参数,该联合身份认证参数用于对该终端进行二次认证。
[0039]在一种可选的实施方式中,终端在发起入网附着请求前,通过调用联合身份认证算法获得联合身份认证参数。其中,联合身份认证算法可由二次认证网关提供和管理,二次认证网关支持针对不同的终端类型、厂家和操作系统的联合身份认证算法的管理与下载功能,同时还支持联合身份认证算法的更新。联合身份认证算法包含了终端身份信息(包括国际移动设备身份码頂E1、国际移动用户识别码頂S1、集成电路手机序列号ICCID以及用户终端MAC地址、业务终端ID号等终端身份信息)的组合选择和加密功能,相应的,通过联合身份认证算法获得的联合身份认证参数由终端身份信息组成,如何组成以及如何在网络上传输都进行了加密处理,以保证数据传输的安全性。联合身份认证算法支持统一的接口,供终端调用。
[0040]由于未下载联合身份认证算法的终端将无法接入配电通信无线专网,终端必须正确配置联合身份认证算法才能正常接入配电通信无线专网。在终端首次接入配电通信无线专网时,即终端首次发送入网附着请求时,有以下两种方式初始化配置联合身份认证算法:
[0041](I)采用终端出厂预配置
[0042]终端出厂前预先配置有联合身份认证算法,该预先配置的联合身份认证算法即为默认的联合身份认证算法,终端在首次接入配电通信无线专网时,调用该预先配置的联合身份认证算法获得联合身份认证参数。预先配置的联合身份认证算法可只提取终端的国际移动用户识别码頂SI和国际移动设备身份码頂EI这两个终端身份信息,并以明文的方式进行初始的二次认证,即预先配置的联合身份认证算法不对终端身份信息进行加密。在终端首次接入配电通信无线专网后立刻启动联合身份认证算法的更新流程,在二次认证网关中获取更加安全的联合身份认证算法。
[0043](2) 二次认证网关提供终端初次的联合身份认证算法离线下载功能
[0044]二次认证网关通过接口向终端推送联合身份认证算法,终端离线下载二次认证网关提供的联合身份认证算法,同样,在终端首次接入配电通信无线专网后立刻启动联合身份认证算法的更新流程,在二次认证网关中获取更加安全的联合身份认证算法。
[0045]步骤S120,所述核心网在对所述终端的鉴权认证通过后,向二次认证网关发送访问请求;所述访问请求中包括所述联合身份认证参数;
[0046]核心网获取终端发送的AttachRequest后,发起终端双向鉴权认证以及安全加密流程Authenticat1n/Security。参照图3所示的联合身份认证成功时序图,MME发起UE、HSS双向鉴权认证,至于具体的鉴权认证过程可参照现有技术,此处不予赘述。
[0047]在鉴权认证通过后,核心网向二次认证网关发送访问请求Access-Request;访问请求中包括所述联合身份认证参数。
[0048]在一种可选的实施方式中,参照图3所示,核心网向二次认证网关发送访问请求的过程包括:
[0049]MME向SAE-GW(系统架构演进网关)关发送创建会话请求Create Sess1nRequest,创建会话请求中包含数据承载建立请求以及终端的联合身份认证参数。然后SAE-GW接收Create Sess1n Request,获得终端的身份认证参数,并根据终端的身份认证参数生成Access-Reques t,将Access-Request发送给二次认证网关。
[0050]步骤S130,所述核心网接收所述二次认证网关根据所述联合身份认证参数对所述终端进行二次认证的结果;若所述二次认证的结果为认证通过,则进入步骤S140;若所述二次认证的结果为认证失败,则进入步骤S150;
[0051]二次认证网关根据终端上传的联合身份认证参数对终端进行二次认证,并将二次认证结果反馈给核心网。参照图3所示,若认证通过,二次认证网关向核心网回复Access-Accept;若认证失败,则参照图4示出的联合身份认证失败时序图,二次认证网关向核心网回复 Access-Re ject ο
[0052]步骤S140,所述核心网向基站和所述终端发送入网成功信息以及承载信息;
[0053]在二次认证通过后,核心网向基站和终端发送入网成功信息以及承载信息,在一种可选的实施方式中,参照图3所示,二次认证通过后,SAE-GW完成数据面承载的建立,回复Create Sess1n Response给MME,Create Sess1n Response中包含承载信息;MME向基站发送Initial Context Setup Request/Attach Accept,通知基站和终端入网成功信息以及承载信息,之后的流程与3GPP中的描述一致,最终终端成功接入配电通信无线专网,此后终端可访问电力主站系统。
[0054]步骤S150,所述核心网向所述终端发送入网失败信息。
[0055]在二次认证失败后,核心网向终端发送入网失败信息。参照图4所示,SAE-GW通知MME承载建立失败,MME向终端发送入网失败信息。
[0056]本实施例中提供的配电通信无线专网的联合身份认证方法,属于接入控制层面的安全增强方案,针对EPS-AKA存在的安全隐患以及已有解决方案的不足,在LTE终端接入网络时进行二次认证,有效提高了配电通信无线专网的安全性能,并且能满足对实时性要求很高的配电通信无线专网应用。另外,本实施例中提供的技术方案与现有技术中端到端的信息加密方案没有任何冲突,可联合部署。本实施例中的技术方案没有改变现有LTE体系架构,不用对基站、核心网设备做大规模改造工作,只需要对终端进行简单的软件增强,因而具备通用性,推广性较高。同时,本实施例中提供的技术方案支持对多种终端身份信息(如业务终端ID号、MAC地址等)的联合认证,支持对终端身份信息的加密处理,而且这种加密算法完全支持由配电通信无线专网独立开发与管理,进一步增强了专网的安全性。
[0057]在一种可选的实施方式中,本实施例中的配电通信无线专网的联合身份认证方法,还提供联合身份认证算法的在线更新功能。参照图5所示,在终端接入配电通信无线专网后,通过已建立的数据通路向二次认证网关发送认证算法版本查询请求Vers1n-Query,二次认证网关接收该认证算法版本查询请求Vers1n-Query后,检查联合身份认证算法的版本信息,并向终端反馈查询结果Vers1n-Query-Ack。
[0058]终端接收二次认证网关根据认证算法版本查询请求Vers1n-Query反馈的查询结果Vers1n-Query-Ack,若终端根据Vers1n-Query-Ack判定发现新版本的联合身份认证算法,则从二次认证网关下载新版本的联合身份认证算法,然后加载新版本的联合身份认证算法,并向二次认证网关发送版本更新信息Vers1n-Notif y。二次认证网关根据终端发送的版本更新信息Vers1n-Notify记录与终端相对应的联合身份认证算法的版本信息,并可向终端反馈Vers1n-Notif y-Ack,通知终端已更新相应的联合身份认证算法的版本信息。若终端根据查询结果判定未发现新版本的联合身份认证算法,则二次认证网关仍保持原有的与终端相对应的联合身份认证算法的版本信息。
[0059]在联合身份认证算法的在线更新过程中,如果Vers1n-Notify发生错误或丢失,就会存在终端和二次认证网关间的联合身份认证算法失步,在终端和二次认证网关失步时,终端使用新的联合身份认证算法和联合身份认证参数入网,而二次认证网关记录的还是旧的联合身份认证算法,会导致二次认证失败。针对这种风险,在本实施例中二次认证网关还支持联合身份认证算法的同步功能,二次认证网关在二次认证失败后尝试使用该终端即将更新的联合身份认证算法再做一次认证,如果认证通过,则记录下终端最新的联合身份认证算法的版本信息,保证与终端同步。具体的,在一种可选的实施方式中,参照图6所示,二次认证网关根据联合身份认证参数对终端进行二次认证的过程包括:
[0060]在接收访问请求后,二次认证网关根据已记录的与终端相对应的联合身份认证算法的版本信息确定所述终端当前使用的联合身份认证算法。然后二次认证网关根据联合身份认证参数以及终端当前使用的联合身份认证算法对终端进行二次认证。若认证通过,则向核心网回复Access-Accept ;若认证失败,则二次认证网关并不直接向核心网回复,而是检查是否有新版本的联合身份认证算法发布,若是,则使用新版本的联合身份认证算法以及联合身份认证参数对所述终端进行认证;若否,则向核心网回复Access-Reject。当使用新版本的联合身份认证算法以及联合身份认证参数对终端进行认证且认证通过,则向核心网回复Access-Accept,且更新与终端相对应的联合身份认证算法的版本信息;若仍未通过认证,则向核心网回复Access-Re ject。通过以上过程,避免了因终端和二次认证网关间的联合身份认证算法失步时而导致的误判,有效提高了配电通信无线专网的可靠性。
[0061]需要说明的是,对于前述的各方法实施例,为了简便描述,将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。
[0062]根据上述本发明的配电通信无线专网的联合身份认证方法,本发明还提供一种配电通信无线专网的联合身份认证系统,下面结合附图及较佳实施例对本发明的配电通信无线专网的联合身份认证系统进行详细说明。
[0063]图7为本发明的配电通信无线专网的联合身份认证系统在一个实施例中的结构示意图。如图7所示,该实施例中的配电通信无线专网的联合身份认证系统,包括二次认证网关100、终端200以及设置在配电通信无线专网的核心网中的处理系统300。处理系统300包括:
[0064]获取模块31,用于获取终端200发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数;
[0065]鉴权认证模块32,用于对终端200进行鉴权认证;
[0066]访问请求模块33,用于在终端200的鉴权认证通过后,向二次认证网关100发送访问请求;所述访问请求中包括所述联合身份认证参数;
[0067]接收模块34,用于接收二次认证网关100根据所述联合身份认证参数对终端200进行二次认证的结果;
[0068]第一通知模块35,用于在二次认证的结果为认证通过时,向基站和终端200发送入网成功信息以及承载信息。
[0069]第二通知模块36,用于在二次认证的结果为认证失败时,向终端200发送入网失败
?目息O
[0070]在一种可选的实施方式中,访问请求模块33包括设置在所述核心网的移动管理实体MME中的创建会话请求发送模块,以及设置在所述核心网的系统架构演进网关SAE-GW中的创建会话请求接收模块和访问请求生成模块。创建会话请求发送模块用于向系统架构演进网关发送创建会话请求,创建会话请求中包含数据承载建立请求以及联合身份认证参数。创建会话请求接收模块用于接收创建会话请求,获得身份认证参数。访问请求生成模块用于根据身份认证参数生成访问请求,并将访问请求发送给二次认证网关100。
[0071 ]在一种可选的实施方式中,参照图7所示,终端200包括初始参数获取模块21,初始参数获取模块21离线下载二次认证网关100提供的联合身份认证算法,根据联合身份认证算法获得联合身份认证参数;或者初始参数获取模块21通过预先配置的联合身份认证算法获得联合身份认证参数。
[0072]在一种可选的实施方式中,仍参照图7所示,终端200还包括:
[0073]版本查询请求模块22,用于在终端200接入配电通信无线专网后,通过已建立的数据通路向所述二次认证网关100发送认证算法版本查询请求;
[0074]查询结果接收模块23,用于接收二次认证网关100根据认证算法版本查询请求反馈的查询结果;
[0075]下载模块24,用于在根据查询结果判定发现新版本的联合身份认证算法时,从二次认证网关100下载新版本的联合身份认证算法;
[0076]加载反馈模块25,用于加载新版本的联合身份认证算法,并向二次认证网关发送版本更新信息。二次认证网关100根据版本更新信息记录与终端200相对应的联合身份认证算法的版本ig息。
[0077]在一种可选的实施方式中,参照图7所示,二次认证网关100包括:
[0078]算法确定模块11,用于根据已记录的与终端200相对应的联合身份认证算法的版本信息确定终端200当前使用的联合身份认证算法;
[0079]认证模块12,用于根据联合身份认证参数以及终端200当前使用的联合身份认证算法对终端200进行二次认证;
[0080]检查模块13,用于在认证失败时,检查是否有新版本的联合身份认证算法发布;若是,则认证模块12使用新版本的联合身份认证算法以及联合身份认证参数对终端200进行二次认证;
[0081 ]信息更新模块14,用于在认证通过时,更新与终端200相对应的联合身份认证算法的版本信息。
[0082]上述配电通信无线专网的联合身份认证系统可执行本发明实施例所提供的配电通信无线专网的联合身份认证方法,具备执行方法相应的功能模块和有益效果。
[0083]以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0084]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种配电通信无线专网的联合身份认证方法,其特征在于,包括如下步骤: 配电通信无线专网的核心网获取终端发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数; 所述核心网在对所述终端的鉴权认证通过后,向二次认证网关发送访问请求;所述访问请求中包括所述联合身份认证参数; 所述核心网接收所述二次认证网关根据所述联合身份认证参数对所述终端进行二次认证的结果; 若所述二次认证的结果为认证通过,则所述核心网向基站和所述终端发送入网成功信息以及承载信息; 若所述二次认证的结果为认证失败,则所述核心网向所述终端发送入网失败信息。2.根据权利要求1所述的配电通信无线专网的联合身份认证方法,其特征在于,所述向二次认证网关发送访问请求的过程包括: 所述核心网中的移动管理实体向系统架构演进网关发送创建会话请求,所述创建会话请求中包含数据承载建立请求以及所述联合身份认证参数; 所述系统架构演进网关接收所述创建会话请求,获得所述身份认证参数; 所述系统架构演进网关根据所述身份认证参数生成所述访问请求,并将所述访问请求发送给所述二次认证网关。3.根据权利要求1所述的配电通信无线专网的联合身份认证方法,其特征在于,在所述终端首次发起所述入网附着请求时,通过以下方式获得所述联合身份认证参数: 所述终端离线下载所述二次认证网关提供的联合身份认证算法,根据所述联合身份认证算法获得所述联合身份认证参数; 或者所述终端通过预先配置的联合身份认证算法获得所述联合身份认证参数。4.根据权利要求3所述的配电通信无线专网的联合身份认证方法,其特征在于,还包括: 在所述终端接入所述配电通信无线专网后,通过已建立的数据通路向所述二次认证网关发送认证算法版本查询请求; 所述终端接收所述二次认证网关根据所述认证算法版本查询请求反馈的查询结果; 若所述终端根据所述查询结果判定发现新版本的所述联合身份认证算法,则从所述二次认证网关下载新版本的所述联合身份认证算法; 所述终端加载新版本的所述联合身份认证算法,并向所述二次认证网关发送版本更新信息;所述二次认证网关根据所述版本更新信息记录与所述终端相对应的联合身份认证算法的版本ig息。5.根据权利要求4所述的配电通信无线专网的联合身份认证方法,其特征在于,所述二次认证网关根据所述联合身份认证参数对所述终端进行二次认证的过程包括: 所述二次认证网关根据已记录的与所述终端相对应的联合身份认证算法的版本信息确定所述终端当前使用的联合身份认证算法; 所述二次认证网关根据所述联合身份认证参数以及所述终端当前使用的联合身份认证算法对所述终端进行二次认证; 若认证失败,则所述二次认证网关检查是否有新版本的所述联合身份认证算法发布; 若是,则所述二次认证网关使用新版本的所述联合身份认证算法以及所述联合身份认证参数对所述终端进行认证;若认证通过,则更新与所述终端相对应的联合身份认证算法的版本信息。6.—种配电通信无线专网的联合身份认证系统,其特征在于,包括二次认证网关、终端以及设置在配电通信无线专网的核心网中的处理系统;所述处理系统包括: 获取模块,用于获取终端发起的入网附着请求,所述入网附着请求中包括所述终端的联合身份认证参数; 鉴权认证模块,用于对所述终端进行鉴权认证; 访问请求模块,用于在所述终端的鉴权认证通过后,向二次认证网关发送访问请求;所述访问请求中包括所述联合身份认证参数; 接收模块,用于接收所述二次认证网关根据所述联合身份认证参数对所述终端进行二次认证的结果; 第一通知模块,用于在所述二次认证的结果为认证通过时,向基站和所述终端发送入网成功信息以及承载信息; 第二通知模块,用于在所述二次认证的结果为认证失败时,向所述终端发送入网失败?目息O7.根据权利要求6所述的配电通信无线专网的联合身份认证系统,其特征在于,所述访问请求模块包括设置在所述核心网的移动管理实体中的创建会话请求发送模块,以及设置在所述核心网的系统架构演进网关中的创建会话请求接收模块和访问请求生成模块; 所述创建会话请求发送模块用于向系统架构演进网关发送创建会话请求,所述创建会话请求中包含数据承载建立请求以及所述联合身份认证参数; 所述创建会话请求接收模块用于接收所述创建会话请求,获得所述身份认证参数;所述访问请求生成模块用于根据所述身份认证参数生成所述访问请求,并将所述访问请求发送给所述二次认证网关。8.根据权利要求6所述的配电通信无线专网的联合身份认证系统,其特征在于,所述终端包括初始参数获取模块: 所述初始参数获取模块离线下载所述二次认证网关提供的联合身份认证算法,根据所述联合身份认证算法获得所述联合身份认证参数; 或者所述初始参数获取模块通过预先配置的联合身份认证算法获得所述联合身份认证参数。9.根据权利要求8所述的配电通信无线专网的联合身份认证系统,其特征在于,所述终端还包括: 版本查询请求模块,用于在所述终端接入所述配电通信无线专网后,通过已建立的数据通路向所述二次认证网关发送认证算法版本查询请求; 查询结果接收模块,用于接收所述二次认证网关根据所述认证算法版本查询请求反馈的查询结果; 下载模块,用于在根据所述查询结果判定发现新版本的所述联合身份认证算法时,从所述二次认证网关下载新版本的所述联合身份认证算法; 加载反馈模块,用于加载新版本的所述联合身份认证算法,并向所述二次认证网关发送版本更新信息;所述二次认证网关根据所述版本更新信息记录与所述终端相对应的联合身份认证算法的版本信息。10.根据权利要求9所述的配电通信无线专网的联合身份认证系统,其特征在于,所述二次认证网关包括: 算法确定模块,用于根据已记录的与所述终端相对应的联合身份认证算法的版本信息确定所述终端当前使用的联合身份认证算法; 认证模块,用于根据所述联合身份认证参数以及所述终端当前使用的联合身份认证算法对所述终端进行二次认证; 检查模块,用于在认证失败时,检查是否有新版本的所述联合身份认证算法发布;若是,则所述认证模块使用新版本的所述联合身份认证算法以及所述联合身份认证参数对所述终端进行二次认证; 信息更新模块,用于在认证通过时,更新与所述终端相对应的联合身份认证算法的版本信息。
【文档编号】H04W12/08GK105873059SQ201610408013
【公开日】2016年8月17日
【申请日】2016年6月8日
【发明人】陈立明, 董旭柱, 谢雄威, 吴争荣, 黄晓胜, 刘志文, 陶凯, 俞小勇, 周昌盛, 曹叠, 高奇, 罗建华, 钟靖浓
【申请人】中国南方电网有限责任公司电网技术研究中心, 中国电子科技集团公司第七研究所, 南方电网科学研究院有限责任公司, 广西电网有限责任公司电力科学研究院, 广西电网有限责任公司南宁供电局