一种LTE系统安全通信方法及基于该方法的专用网络与流程

本发明涉及安全通信技术领域，特别是指一种LTE系统安全通信方法及基于该方法的专用网络。

背景技术：

LTE(Long Term Evolution，长期演进)是由3GPP(The 3rd Generation Partnership Project，第三代合作伙伴计划)组织制定的UMTS(Universal Mobile Telecommunications System，通用移动通信系统)技术标准的长期演进，于2004年12月在3GPP多伦多会议上正式立项并启动。LTE系统引入了OFDM(Orthogonal Frequency Division Multiplexing，正交频分复用)和MIMO(Multi-Input&Multi-Output，多输入多输出)等关键技术，显著增加了频谱效率和数据传输速率，并支持多种带宽分配：1.4MHz，3MHz，5MHz，10MHz，15MHz和20MHz等，且支持全球主流2G/3G频段和一些新增频段，因而频谱分配更加灵活，系统容量和覆盖也显著提升。LTE系统网络架构更加扁平化简单化，减少了网络节点和系统复杂度，从而减小了系统时延，也降低了网络部署和维护成本。

LTE系统包含两种网元，即EPC(Evolved Packet Core，演进分组核心网)和eNode B(Evolved Node B，演进接点B)。其中，EPC负责核心网部分，eNode B负责接入网部分。根据一般习惯，也可以将EPC称作核心网，将eNode B称作基站，而将接入LTE系统的用户设备(User Equipment，UE)称作终端。

LTE系统的安全性在设计时考虑的是民用需求，具体来说，用户设备开机后首先进行小区选择，然后接收系统信息并开始附着，这期间基站作为中转设施主要是作为用户设备与核心网之间的通信管道，并不起到对用户设备进行鉴权的作用。此时，如果用户设备为伪造的非法终端，则其只需要提供正确的SIM卡信息即可接入LTE核心网，而核心网只鉴定SIM卡的IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)信息，这就使核心网的安全鉴定存在被暴力破解的可能，因此现有技术中LTE系统的安全性较低。

技术实现要素：

有鉴于此，本发明的目的在于提出一种LTE系统安全通信方法及基于该方法的专用网络，本发明可以提前对终端进行安全验证，为核心网屏蔽非法终端，从而提高LTE系统无线通信的安全性水平。

基于上述目的，本发明提供如下技术方案：

一种LTE系统安全通信方法，该方法应用于LTE系统的基站上，其包含以下步骤：

与终端建立无线资源控制连接；

接收终端发来的连网请求信息；

对终端进行安全验证；

若安全验证通过，则将终端的连网请求信息发送给核心网，并在终端与核心网之间建立数据通道；若安全验证未通过，则拒绝将终端的连网请求信息发送给核心网。

具体地，上述安全验证的方式可以为：

获取终端的终端能力信息；

将终端能力信息与预设的安全信息进行匹配，若匹配成功则安全验证通过。

具体地，上述与终端建立无线资源控制连接的步骤可以包括以下分步骤：

接收终端发出的随机接入前导序列；

对随机接入前导序列做出响应；

接收终端的无线资源控制连接请求；

对终端进行无线资源控制连接设置。

具体地，上述在终端与核心网之间建立数据通道的方式可以为：

作为数据中转协助完成核心网对终端的鉴权；

接收核心网发来的初始环境设置请求；

向核心网发送终端能力信息指示消息；

与终端建立安全通信渠道；

重新配置与终端之间的无线资源控制连接；

向核心网发送初始环境建立响应。

具体地，上述在终端与核心网之间建立数据通道之后还包括：

监测终端的状态，若检测到终端停止活动，则向核心网发送终端环境释放请求。

具体地，连网请求信息可以包括附着请求和公用数据网连接请求。

具体地，上述安全信息可以包含预先设定的合法终端的终端能力信息。

具体地，上述安全信息可以以配置文件的形式存储于基站中。

一种基于LTE系统的专用网络，其包括LTE系统和作为终端接入LTE系统的专用设备，其中LTE系统包括LTE核心网和LTE基站，而LTE基站包含：

终端通信模块，用于与专用设备通信；

核心网通信模块，用于与核心网通信；

判定模块，用于判定专用设备的合法性，还用于为核心网屏蔽来自于非法终端的连网请求信息；

控制模块，用于建立并维护专用设备与核心网之间的通信管道。

具体地，判定模块可以包含记录有所有合法专用设备的终端能力信息的安全文件。

从上面所述可以看出，本发明提供的LTE系统安全通信方法及基于LTE系统的专用网络在传统的LTE基站上加设了安全验证环节，从而提高了整个LTE系统的安全性，避免了非法终端对核心网的冲击和暴力破解，使得基于LTE系统的专用网络成为可能，扩展了LTE系统的应用范围。并且，本发明对LTE系统的改进集中在基站上，这就保证了本发明与现有技术的兼容性，降低了本发明的实现成本和难度，并且使得对安全文件的维护和更新变得非常方便，因而安全规则可以更加灵活。总之，本发明对现有技术中的LTE系统的安全性做出了重要改进，具有良好的应用前景和可观的社会效益。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的方法流程图；

图2为本发明实施例的系统架构图；

图3为图2中基站的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明做进一步详细的说明。

本发明提供了一种LTE系统安全通信方法，该方法应用于LTE系统的基站上，其包含以下步骤：

与终端建立无线资源控制连接(Radio Resource Control Connection，RRC Connection)；

接收终端发来的连网请求信息；

对终端进行安全验证；

若安全验证通过，则将终端的连网请求信息发送给核心网，并在终端与核心网之间建立数据通道；若安全验证未通过，则拒绝将终端的连网请求信息发送给核心网。

具体地，上述安全验证的方式可以为：

获取终端的终端能力信息(User Equipment Capability Information，UE Capability Information)；

将终端能力信息与预设的安全信息进行匹配，若匹配成功则安全验证通过。

具体地，上述与终端建立无线资源控制连接的步骤可以包括以下分步骤：

接收终端发出的随机接入前导序列(Random Access Preamble)；

对随机接入前导序列做出响应；

接收终端的无线资源控制连接请求；

对终端进行无线资源控制连接设置。

具体地，上述在终端与核心网之间建立数据通道的方式可以为：

作为数据中转协助完成核心网对终端的鉴权，所谓“鉴权”即核心网对终端的IMSI信息进行鉴定；

接收核心网发来的初始环境设置请求(Initial Context Setup Request)；

向核心网发送终端能力信息指示消息(User Equipment Capability Information Indication，UE Capability Info Indication)；

与终端建立安全通信渠道，即设置安全模式(Security Mode)；

重新配置与终端之间的无线资源控制连接；

向核心网发送初始环境建立响应(Initial Context Setup Response)。

具体地，上述在终端与核心网之间建立数据通道之后还包括：

监测终端的状态，若检测到终端停止活动，则向核心网发送终端环境释放请求(User Equipment Context Release Request，UE Context Release Request)。

具体地，连网请求信息可以包括附着请求(Attach Request)和公用数据网(Public Data Network，PDN)连接请求。

具体地，上述安全信息可以包含预先设定的合法终端的终端能力信息。

具体地，上述安全信息可以以配置文件的形式存储于基站中。

本发明还提供了一种基于LTE系统的专用网络，其包括LTE系统和作为终端接入LTE系统的专用设备，其中LTE系统包括LTE核心网和LTE基站，而LTE基站包含：

终端通信模块，用于与专用设备通信；

核心网通信模块，用于与核心网通信；

判定模块，用于判定专用设备的合法性，还用于为核心网屏蔽来自于非法终端的连网请求信息；

控制模块，用于建立并维护专用设备与核心网之间的通信管道。

具体地，判定模块可以包含记录有所有合法专用设备的终端能力信息的安全文件。

作为一个实施例，如图1所示，该LTE系统安全通信方法主要包含如下步骤：

步骤101，接收终端发出的随机接入前导序列；

步骤102，对终端做出响应；

步骤103，接收终端发出的无线资源控制连接请求；

步骤104，向终端返回RRC连接设置；

步骤105，终端方面RRC连接设置完成，基站接收终端发来的附着请求和公用数据网连接请求；

步骤106～107，通过要求并读取终端的终端能力信息对终端的安全性进行验证，验证的具体方式是向终端请求其终端能力信息，将终端能力信息与预存在基站配置文件中的安全信息进行匹配，若匹配成功即表示该终端为基站的备案终端，则安全验证通过，继续进行后续步骤；否则拒绝对该终端进行响应，同时也不将该终端的任何信息传送给核心网，从而达到为核心网屏蔽不安全终端的目的；

步骤108，将终端的附着请求和PDN连接请求传递给核心网；

步骤109，在终端和核心网之间完成核心网对终端的鉴权；

步骤110，接收核心网的初始环境设置请求，该请求中包含核心网发出的激活默认承载环境请求(Activate Default Evolved Packet System Bearer Context Request，Activate Default EPS Bearer Context Request)，此时核心网已接受了终端的附着请求；

步骤111，将终端能力信息指示消息发送给核心网；

步骤112，与终端建立安全通信渠道；

步骤113，与终端完成RRC连接的重新配置；

步骤114，向核心网反馈初始环境设置响应；

步骤115，完成终端到核心网的附着和默认承载，建立数据通道；

步骤116，维护终端与核心网之间的上下行数据通道；

步骤117，判断终端是否停止活动，若是则释放终端环境(UE Context)，否则继续维护数据通道。

对于上述方法，本领域技术人员应当理解，一个完整的LTE通信过程从终端的开机开始通常包含小区选择、随机接入、附着、建立默认承载等等过程，其中附着和承载是终端接入核心网的实质性过程。本实施例是整个LTE通信过程中应用于基站的通信方法，其中，步骤101～102是终端随机接入基站的过程，步骤103～105是在终端和基站之间建立RRC连接，步骤106～107是本发明所提出的安全验证过程，步骤108～115是建立附着和默认承载的过程，至此，终端到基站的RRC通道和基站到核心网的NAS(Non-Access Stratum，非接入层)传输通道均已建立，也就是说终端到核心网的数据通道建立完成。

可以看到，该方法中基站起到了一种安全屏障的作用，它优先对终端的终端能力信息进行安全验证，从而避免非法终端的任何信息传入核心网中，大大增强了传统LTE系统的安全性。并且，将安全信息存储在基站上也有利于实现对安全信息的维护和更新，使得安全规则可以更加灵活。

作为基于LTE系统的专用网络的一个实施例，如图2和图3所示，其包含核心网201、基站202和专用设备203，其中基站202包含终端通信模块301、核心网通信模块302、判定模块303和控制模块304，判定模块303中存储有记载着专用设备203的能力信息的安全文件313。

该专用网络安全性高，其建构于现有的LTE系统之上，因此具有成本低廉、易于实现的特点。在实际使用中，只要在一定区域内设置载有安全文件的基站，或在现有基站中加载安全文件并增设安全判定过程，就可以快速实现本实施例的专用网络。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。