本發(fā)明涉及安全通信技術(shù)領(lǐng)域,特別是指一種LTE系統(tǒng)安全通信方法及基于該方法的專用網(wǎng)絡(luò)。
背景技術(shù):
LTE(Long Term Evolution,長期演進(jìn))是由3GPP(The 3rd Generation Partnership Project,第三代合作伙伴計劃)組織制定的UMTS(Universal Mobile Telecommunications System,通用移動通信系統(tǒng))技術(shù)標(biāo)準(zhǔn)的長期演進(jìn),于2004年12月在3GPP多倫多會議上正式立項并啟動。LTE系統(tǒng)引入了OFDM(Orthogonal Frequency Division Multiplexing,正交頻分復(fù)用)和MIMO(Multi-Input&Multi-Output,多輸入多輸出)等關(guān)鍵技術(shù),顯著增加了頻譜效率和數(shù)據(jù)傳輸速率,并支持多種帶寬分配:1.4MHz,3MHz,5MHz,10MHz,15MHz和20MHz等,且支持全球主流2G/3G頻段和一些新增頻段,因而頻譜分配更加靈活,系統(tǒng)容量和覆蓋也顯著提升。LTE系統(tǒng)網(wǎng)絡(luò)架構(gòu)更加扁平化簡單化,減少了網(wǎng)絡(luò)節(jié)點和系統(tǒng)復(fù)雜度,從而減小了系統(tǒng)時延,也降低了網(wǎng)絡(luò)部署和維護(hù)成本。
LTE系統(tǒng)包含兩種網(wǎng)元,即EPC(Evolved Packet Core,演進(jìn)分組核心網(wǎng))和eNode B(Evolved Node B,演進(jìn)接點B)。其中,EPC負(fù)責(zé)核心網(wǎng)部分,eNode B負(fù)責(zé)接入網(wǎng)部分。根據(jù)一般習(xí)慣,也可以將EPC稱作核心網(wǎng),將eNode B稱作基站,而將接入LTE系統(tǒng)的用戶設(shè)備(User Equipment,UE)稱作終端。
LTE系統(tǒng)的安全性在設(shè)計時考慮的是民用需求,具體來說,用戶設(shè)備開機(jī)后首先進(jìn)行小區(qū)選擇,然后接收系統(tǒng)信息并開始附著,這期間基站作為中轉(zhuǎn)設(shè)施主要是作為用戶設(shè)備與核心網(wǎng)之間的通信管道,并不起到對用戶設(shè)備進(jìn)行鑒權(quán)的作用。此時,如果用戶設(shè)備為偽造的非法終端,則其只需要提供正確的SIM卡信息即可接入LTE核心網(wǎng),而核心網(wǎng)只鑒定SIM卡的IMSI(International Mobile Subscriber Identification Number,國際移動用戶識別碼)信息,這就使核心網(wǎng)的安全鑒定存在被暴力破解的可能,因此現(xiàn)有技術(shù)中LTE系統(tǒng)的安全性較低。
技術(shù)實現(xiàn)要素:
有鑒于此,本發(fā)明的目的在于提出一種LTE系統(tǒng)安全通信方法及基于該方法的專用網(wǎng)絡(luò),本發(fā)明可以提前對終端進(jìn)行安全驗證,為核心網(wǎng)屏蔽非法終端,從而提高LTE系統(tǒng)無線通信的安全性水平。
基于上述目的,本發(fā)明提供如下技術(shù)方案:
一種LTE系統(tǒng)安全通信方法,該方法應(yīng)用于LTE系統(tǒng)的基站上,其包含以下步驟:
與終端建立無線資源控制連接;
接收終端發(fā)來的連網(wǎng)請求信息;
對終端進(jìn)行安全驗證;
若安全驗證通過,則將終端的連網(wǎng)請求信息發(fā)送給核心網(wǎng),并在終端與核心網(wǎng)之間建立數(shù)據(jù)通道;若安全驗證未通過,則拒絕將終端的連網(wǎng)請求信息發(fā)送給核心網(wǎng)。
具體地,上述安全驗證的方式可以為:
獲取終端的終端能力信息;
將終端能力信息與預(yù)設(shè)的安全信息進(jìn)行匹配,若匹配成功則安全驗證通過。
具體地,上述與終端建立無線資源控制連接的步驟可以包括以下分步驟:
接收終端發(fā)出的隨機(jī)接入前導(dǎo)序列;
對隨機(jī)接入前導(dǎo)序列做出響應(yīng);
接收終端的無線資源控制連接請求;
對終端進(jìn)行無線資源控制連接設(shè)置。
具體地,上述在終端與核心網(wǎng)之間建立數(shù)據(jù)通道的方式可以為:
作為數(shù)據(jù)中轉(zhuǎn)協(xié)助完成核心網(wǎng)對終端的鑒權(quán);
接收核心網(wǎng)發(fā)來的初始環(huán)境設(shè)置請求;
向核心網(wǎng)發(fā)送終端能力信息指示消息;
與終端建立安全通信渠道;
重新配置與終端之間的無線資源控制連接;
向核心網(wǎng)發(fā)送初始環(huán)境建立響應(yīng)。
具體地,上述在終端與核心網(wǎng)之間建立數(shù)據(jù)通道之后還包括:
監(jiān)測終端的狀態(tài),若檢測到終端停止活動,則向核心網(wǎng)發(fā)送終端環(huán)境釋放請求。
具體地,連網(wǎng)請求信息可以包括附著請求和公用數(shù)據(jù)網(wǎng)連接請求。
具體地,上述安全信息可以包含預(yù)先設(shè)定的合法終端的終端能力信息。
具體地,上述安全信息可以以配置文件的形式存儲于基站中。
一種基于LTE系統(tǒng)的專用網(wǎng)絡(luò),其包括LTE系統(tǒng)和作為終端接入LTE系統(tǒng)的專用設(shè)備,其中LTE系統(tǒng)包括LTE核心網(wǎng)和LTE基站,而LTE基站包含:
終端通信模塊,用于與專用設(shè)備通信;
核心網(wǎng)通信模塊,用于與核心網(wǎng)通信;
判定模塊,用于判定專用設(shè)備的合法性,還用于為核心網(wǎng)屏蔽來自于非法終端的連網(wǎng)請求信息;
控制模塊,用于建立并維護(hù)專用設(shè)備與核心網(wǎng)之間的通信管道。
具體地,判定模塊可以包含記錄有所有合法專用設(shè)備的終端能力信息的安全文件。
從上面所述可以看出,本發(fā)明提供的LTE系統(tǒng)安全通信方法及基于LTE系統(tǒng)的專用網(wǎng)絡(luò)在傳統(tǒng)的LTE基站上加設(shè)了安全驗證環(huán)節(jié),從而提高了整個LTE系統(tǒng)的安全性,避免了非法終端對核心網(wǎng)的沖擊和暴力破解,使得基于LTE系統(tǒng)的專用網(wǎng)絡(luò)成為可能,擴(kuò)展了LTE系統(tǒng)的應(yīng)用范圍。并且,本發(fā)明對LTE系統(tǒng)的改進(jìn)集中在基站上,這就保證了本發(fā)明與現(xiàn)有技術(shù)的兼容性,降低了本發(fā)明的實現(xiàn)成本和難度,并且使得對安全文件的維護(hù)和更新變得非常方便,因而安全規(guī)則可以更加靈活??傊?,本發(fā)明對現(xiàn)有技術(shù)中的LTE系統(tǒng)的安全性做出了重要改進(jìn),具有良好的應(yīng)用前景和可觀的社會效益。
附圖說明
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實施例的方法流程圖;
圖2為本發(fā)明實施例的系統(tǒng)架構(gòu)圖;
圖3為圖2中基站的結(jié)構(gòu)框圖。
具體實施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,以下結(jié)合具體實施例,并參照附圖,對本發(fā)明做進(jìn)一步詳細(xì)的說明。
本發(fā)明提供了一種LTE系統(tǒng)安全通信方法,該方法應(yīng)用于LTE系統(tǒng)的基站上,其包含以下步驟:
與終端建立無線資源控制連接(Radio Resource Control Connection,RRC Connection);
接收終端發(fā)來的連網(wǎng)請求信息;
對終端進(jìn)行安全驗證;
若安全驗證通過,則將終端的連網(wǎng)請求信息發(fā)送給核心網(wǎng),并在終端與核心網(wǎng)之間建立數(shù)據(jù)通道;若安全驗證未通過,則拒絕將終端的連網(wǎng)請求信息發(fā)送給核心網(wǎng)。
具體地,上述安全驗證的方式可以為:
獲取終端的終端能力信息(User Equipment Capability Information,UE Capability Information);
將終端能力信息與預(yù)設(shè)的安全信息進(jìn)行匹配,若匹配成功則安全驗證通過。
具體地,上述與終端建立無線資源控制連接的步驟可以包括以下分步驟:
接收終端發(fā)出的隨機(jī)接入前導(dǎo)序列(Random Access Preamble);
對隨機(jī)接入前導(dǎo)序列做出響應(yīng);
接收終端的無線資源控制連接請求;
對終端進(jìn)行無線資源控制連接設(shè)置。
具體地,上述在終端與核心網(wǎng)之間建立數(shù)據(jù)通道的方式可以為:
作為數(shù)據(jù)中轉(zhuǎn)協(xié)助完成核心網(wǎng)對終端的鑒權(quán),所謂“鑒權(quán)”即核心網(wǎng)對終端的IMSI信息進(jìn)行鑒定;
接收核心網(wǎng)發(fā)來的初始環(huán)境設(shè)置請求(Initial Context Setup Request);
向核心網(wǎng)發(fā)送終端能力信息指示消息(User Equipment Capability Information Indication,UE Capability Info Indication);
與終端建立安全通信渠道,即設(shè)置安全模式(Security Mode);
重新配置與終端之間的無線資源控制連接;
向核心網(wǎng)發(fā)送初始環(huán)境建立響應(yīng)(Initial Context Setup Response)。
具體地,上述在終端與核心網(wǎng)之間建立數(shù)據(jù)通道之后還包括:
監(jiān)測終端的狀態(tài),若檢測到終端停止活動,則向核心網(wǎng)發(fā)送終端環(huán)境釋放請求(User Equipment Context Release Request,UE Context Release Request)。
具體地,連網(wǎng)請求信息可以包括附著請求(Attach Request)和公用數(shù)據(jù)網(wǎng)(Public Data Network,PDN)連接請求。
具體地,上述安全信息可以包含預(yù)先設(shè)定的合法終端的終端能力信息。
具體地,上述安全信息可以以配置文件的形式存儲于基站中。
本發(fā)明還提供了一種基于LTE系統(tǒng)的專用網(wǎng)絡(luò),其包括LTE系統(tǒng)和作為終端接入LTE系統(tǒng)的專用設(shè)備,其中LTE系統(tǒng)包括LTE核心網(wǎng)和LTE基站,而LTE基站包含:
終端通信模塊,用于與專用設(shè)備通信;
核心網(wǎng)通信模塊,用于與核心網(wǎng)通信;
判定模塊,用于判定專用設(shè)備的合法性,還用于為核心網(wǎng)屏蔽來自于非法終端的連網(wǎng)請求信息;
控制模塊,用于建立并維護(hù)專用設(shè)備與核心網(wǎng)之間的通信管道。
具體地,判定模塊可以包含記錄有所有合法專用設(shè)備的終端能力信息的安全文件。
作為一個實施例,如圖1所示,該LTE系統(tǒng)安全通信方法主要包含如下步驟:
步驟101,接收終端發(fā)出的隨機(jī)接入前導(dǎo)序列;
步驟102,對終端做出響應(yīng);
步驟103,接收終端發(fā)出的無線資源控制連接請求;
步驟104,向終端返回RRC連接設(shè)置;
步驟105,終端方面RRC連接設(shè)置完成,基站接收終端發(fā)來的附著請求和公用數(shù)據(jù)網(wǎng)連接請求;
步驟106~107,通過要求并讀取終端的終端能力信息對終端的安全性進(jìn)行驗證,驗證的具體方式是向終端請求其終端能力信息,將終端能力信息與預(yù)存在基站配置文件中的安全信息進(jìn)行匹配,若匹配成功即表示該終端為基站的備案終端,則安全驗證通過,繼續(xù)進(jìn)行后續(xù)步驟;否則拒絕對該終端進(jìn)行響應(yīng),同時也不將該終端的任何信息傳送給核心網(wǎng),從而達(dá)到為核心網(wǎng)屏蔽不安全終端的目的;
步驟108,將終端的附著請求和PDN連接請求傳遞給核心網(wǎng);
步驟109,在終端和核心網(wǎng)之間完成核心網(wǎng)對終端的鑒權(quán);
步驟110,接收核心網(wǎng)的初始環(huán)境設(shè)置請求,該請求中包含核心網(wǎng)發(fā)出的激活默認(rèn)承載環(huán)境請求(Activate Default Evolved Packet System Bearer Context Request,Activate Default EPS Bearer Context Request),此時核心網(wǎng)已接受了終端的附著請求;
步驟111,將終端能力信息指示消息發(fā)送給核心網(wǎng);
步驟112,與終端建立安全通信渠道;
步驟113,與終端完成RRC連接的重新配置;
步驟114,向核心網(wǎng)反饋初始環(huán)境設(shè)置響應(yīng);
步驟115,完成終端到核心網(wǎng)的附著和默認(rèn)承載,建立數(shù)據(jù)通道;
步驟116,維護(hù)終端與核心網(wǎng)之間的上下行數(shù)據(jù)通道;
步驟117,判斷終端是否停止活動,若是則釋放終端環(huán)境(UE Context),否則繼續(xù)維護(hù)數(shù)據(jù)通道。
對于上述方法,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,一個完整的LTE通信過程從終端的開機(jī)開始通常包含小區(qū)選擇、隨機(jī)接入、附著、建立默認(rèn)承載等等過程,其中附著和承載是終端接入核心網(wǎng)的實質(zhì)性過程。本實施例是整個LTE通信過程中應(yīng)用于基站的通信方法,其中,步驟101~102是終端隨機(jī)接入基站的過程,步驟103~105是在終端和基站之間建立RRC連接,步驟106~107是本發(fā)明所提出的安全驗證過程,步驟108~115是建立附著和默認(rèn)承載的過程,至此,終端到基站的RRC通道和基站到核心網(wǎng)的NAS(Non-Access Stratum,非接入層)傳輸通道均已建立,也就是說終端到核心網(wǎng)的數(shù)據(jù)通道建立完成。
可以看到,該方法中基站起到了一種安全屏障的作用,它優(yōu)先對終端的終端能力信息進(jìn)行安全驗證,從而避免非法終端的任何信息傳入核心網(wǎng)中,大大增強(qiáng)了傳統(tǒng)LTE系統(tǒng)的安全性。并且,將安全信息存儲在基站上也有利于實現(xiàn)對安全信息的維護(hù)和更新,使得安全規(guī)則可以更加靈活。
作為基于LTE系統(tǒng)的專用網(wǎng)絡(luò)的一個實施例,如圖2和圖3所示,其包含核心網(wǎng)201、基站202和專用設(shè)備203,其中基站202包含終端通信模塊301、核心網(wǎng)通信模塊302、判定模塊303和控制模塊304,判定模塊303中存儲有記載著專用設(shè)備203的能力信息的安全文件313。
該專用網(wǎng)絡(luò)安全性高,其建構(gòu)于現(xiàn)有的LTE系統(tǒng)之上,因此具有成本低廉、易于實現(xiàn)的特點。在實際使用中,只要在一定區(qū)域內(nèi)設(shè)置載有安全文件的基站,或在現(xiàn)有基站中加載安全文件并增設(shè)安全判定過程,就可以快速實現(xiàn)本實施例的專用網(wǎng)絡(luò)。
所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:以上任何實施例的討論僅為示例性的,并非旨在暗示本公開的范圍(包括權(quán)利要求)被限于這些例子;在本發(fā)明的思路下,以上實施例或者不同實施例中的技術(shù)特征之間也可以進(jìn)行組合,步驟可以以任意順序?qū)崿F(xiàn),并存在如上所述的本發(fā)明的不同方面的許多其它變化,為了簡明它們沒有在細(xì)節(jié)中提供。
另外,為簡化說明和討論,并且為了不會使本發(fā)明難以理解,在所提供的附圖中可以示出或可以不示出與集成電路(IC)芯片和其它部件的公知的電源/接地連接。此外,可以以框圖的形式示出裝置,以便避免使本發(fā)明難以理解,并且這也考慮了以下事實,即關(guān)于這些框圖裝置的實施方式的細(xì)節(jié)是高度取決于將要實施本發(fā)明的平臺的(即,這些細(xì)節(jié)應(yīng)當(dāng)完全處于本領(lǐng)域技術(shù)人員的理解范圍內(nèi))。在闡述了具體細(xì)節(jié)(例如,電路)以描述本發(fā)明的示例性實施例的情況下,對本領(lǐng)域技術(shù)人員來說顯而易見的是,可以在沒有這些具體細(xì)節(jié)的情況下或者這些具體細(xì)節(jié)有變化的情況下實施本發(fā)明。因此,這些描述應(yīng)被認(rèn)為是說明性的而不是限制性的。
盡管已經(jīng)結(jié)合了本發(fā)明的具體實施例對本發(fā)明進(jìn)行了描述,但是根據(jù)前面的描述,這些實施例的很多替換、修改和變型對本領(lǐng)域普通技術(shù)人員來說將是顯而易見的。例如,其它存儲器架構(gòu)(例如,動態(tài)RAM(DRAM))可以使用所討論的實施例。
本發(fā)明的實施例旨在涵蓋落入所附權(quán)利要求的寬泛范圍之內(nèi)的所有這樣的替換、修改和變型。因此,凡在本發(fā)明的精神和原則之內(nèi),所做的任何省略、修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。