移动通信系统非蜂窝接入装置及接入方法与流程

1.本发明属于移动通信技术领域，尤其涉及移动通信系统非蜂窝接入装置及接入方法。


背景技术：

2.非蜂窝接入网和核心网，均依托于民用移动通信产业链资源，只能够进行轻度的定制增强；安全设备域和安全应用域均是承载垂直行业应用核心敏感信息的两个域，定制程度和安全防护要求均较高。非蜂窝接入网可以是卫星、wlan、无线电台或者是有线等各种异构接入手段。
3.从安全风险分析角度，具体分析如下：（1）ue（用户设备）-非蜂窝接入点，这一段是空中接口，完全依托wlan和卫星等技术体制自身，其安全性相对较弱，再者其空口开放性也导致其安全风险较大，因此3gpp将非蜂窝接入界定为不可信接入环境。
4.（2）非蜂窝接入点-n3iwf、n3iwf-核心网、核心网-安全应用，这几段是有线接口，安全风险小于空中接口，但由于其依托的是运营商的公共基础设施，管理权限和安全防护等级较低，因此也存在安全风险。
5.（3）安全应用内部，这一段属于行业用户内部专网，安全防护等级较高，安全风险相对较低。
6.而传统的安全防护措施在面向有较高安全需求的垂直行业应用时，仍然存在以下几个方面的不足。具体包括：（1）对移动终端有部署usim卡的配置要求，在面向无usim卡情况下的ue，通过wlan、卫星、电台或有线等接入情况下不适用；（2）ue与n3iwf之间建立的ike sa（因特网密钥交换的安全关联）和ipsec sa（互联网安全协议的安全关联），采用des、3des等国外算法进行加密，采用md5、sha-1等国外算法进行校验，存在较大的后门隐患，dh等密钥交换协议存在安全强度不够的、无法抗量子攻击等隐患，无法满足垂直行业或关键行业的安全需求；（3）ue与核心网之间的eap-aka双向认证采用aes作为唯一的认证算法，存在后门隐患，通常垂直行业或关键行业可通过替换aes为国产/专用认证算法，满足垂直行业或关键行业的安全需求。
7.移动通信系统的标准化程度较高，对产业链的依赖程度较高，因此无法对3gpp标准的协议和流程进行修改，也无法对核心网网元进行过多的定制。因此，在不改3gpp标准的协议和流程以及不大改核心网网元的前提下，如何同时兼顾移动终端无usim卡应用模式和针对移动通信系统在非蜂窝接入情况下进行安全增强，以满足垂直行业或关键行业的灵活使用需求和高强度安全需求，是迫切需要解决的问题。


技术实现要素：

8.本发明的目的在于，为克服现有技术缺陷，提供了移动通信系统非蜂窝接入装置及接入方法,在系统层面多层级的接入认证和业务安全加密防护，能够在不改3gpp标准的协议和流程，以及不大改网元功能的前提下，实现安全增强功能，以满足垂直行业或关键行业的灵活使用需求及高强度安全需求。
9.本发明目的通过下述技术方案来实现：一种移动通信系统非蜂窝接入装置，所述装置包括n3iwf模块、安全增强usim模块、控制面信令处理安全模块和用户面业务处理安全模块；其中，所述n3iwf模块提供标准n3iwf的功能和功能接口，所述功能接口包括安全增强usim模块接口、控制面信令处理安全模块接口和用户面业务处理安全模块接口；所述安全增强usim模块提供通信接入双向认证，所述安全增强usim模块的功能在控制面板信令处理安全模块以转换模式安全接入服务时生效，所述安全增强usim模块的安全增强功能在核心网udm支持安全增强时生效，本发明移动通信系统非蜂窝接入装置中的安全增强usim模块是为了使该装置既可以适用于有sim卡的移动终端，又可以适用于无sim卡的普通终端；所述控制面信令处理安全模块提供接入终端类型的判决，对于有sim卡的移动终端以中继模式提供安全接入服务，对于无sim卡的普通终端以转换模式提供安全接入服务，在中继模式下，双向接入认证由移动终端自身的安全增强usim卡与核心网安全增强udm完成基于国产/专用认证算法的接入认证安全增强；在转发模式下，双向接入认证由n3iwf的安全增强usim模块与核心网安全增强udm完成基于国产/专用认证算法的接入认证安全增强；所述用户面业务处理安全模块提供接入终端ue-n3iwf和n3iwf-安全网关的用户面ipsec通道的协商与建立。
10.另一方面，本发明还提供了一种移动通信系统非蜂窝接入方法，采用前述的接入装置，应用于有sim卡的移动终端，所述方法包括：所述移动终端接入非蜂窝接入点，并建立所述移动终端与所述非蜂窝接入点的ip通道，这一段安全性默认假设为不可信；所述移动终端与n3iwf模块建立ike sa安全关联；所述移动终端与n3iwf模块之间启动ipsec sa安全关联；所述移动终端通过自身的安全增强usim模块完成与核心网udm之间的双向接入认证，其中，移动终端自身的安全增强usim模块即sim卡；基于前一步骤的双向接入认证，所述移动终端经过n3iwf模块中继，与核心网完成安全协商过程，生成nas层的保护算法及密钥，此处的机密性和完整性保护遵循3gpp，采用商用体制；所述移动终端和n3iwf模块各自派生产生密钥k
n3iwf
，移动终端和n3iwf模块之间建立控制面ipsec sa安全关联，为后续的控制面入网附着过程提供安全防护；所述移动终端基于控制面ipsec通道，经过n3iwf中继，与核心网完成后续入网附着过程；n3iwf模块通过调用用户面业务处理安全模块分别与所述移动终端和安全网关之
间建立用户面ipsec sa，用于提供基于国产/专用算法和协议的并承载上层业务的ipsec通道，为后续的用户面业务传输过程提供底层承载的安全防护；基于ue-n3iwf、n3iwf与安全网关的用户面底层承载的ipsec通道，所述移动终端与安全网关之间建立端到端的业务安全加密隧道，实现基于国产/专用算法的、端到端业务加密防护。
11.进一步的，所述移动终端与n3iwf模块建立ike sa安全关联具体包括：n3iwf模块通过调用控制面信令处理安全模块为所述移动终端提供基于国产/专用算法和协议。
12.进一步的，所述移动终端与n3iwf模块之间启动ipsec sa安全关联具体包括：n3iwf模块根据ike_auth协议交换报文判断所述移动终端是否未携带auth信息及是否支持eap协议，若所述移动终端未携带auth信息及支持eap协议， n3iwf模块后续以中继模式为该移动终端提供接入服务。
13.进一步的，所述移动终端通过自身的安全增强usim模块完成与核心网udm之间的双向接入认证包括：无论核心网udm是否支持安全增强功能，n3iwf模块提供透明中继帮助所述移动终端与核心网udm完成通信接入双向认证过程。
14.另一方面，本发明还提供了一种移动通信系统非蜂窝接入方法，采用前述的接入装置，应用于无sim卡的普通终端，所述方法包括：所述普通终端接入非蜂窝接入点，并建立所述普通终端与所述非蜂窝接入点的ip通道，这一段安全性默认假设为不可信；所述普通终端与n3iwf模块之间建立ike sa安全关联；所述普通终端与n3iwf模块之间启动控制面的ipsec sa安全关联；n3iwf模块从所述普通终端获取身份信息，并在本地建立所述普通终端的身份映射关联关系，n3iwf模块通过安全增强usim模块完成与核心网udm之间的双向接入认证；n3iwf模块与核心网完成安全协商过程，生成nas的保护算法及密钥，此处的机密性和完整性保护遵循3gpp，采用商用体制；n3iwf模块与核心网完成后续入网附着过程；n3iwf模块通过调用用户面业务处理安全模块分别与所述普通终端和安全网关之间建立用户面ipsec sa，用于提供基于国产/专用算法和协议的并承载上层业务的ipsec通道，为后续的用户面业务传输过程提供底层承载的安全防护；所述普通终端与安全网关之间建立端到端的业务安全加密隧道，实现基于国产/专用算法的、端到端业务加密防护。
15.进一步的，所述普通终端与n3iwf模块之间建立ike sa安全关联具体包括：n3iwf模块通过调用控制面信令处理安全模块为所述普通终端提供基于国产/专用算法和协议。
16.进一步的，所述普通终端与n3iwf模块之间启动ipsec sa安全关联具体包括：n3iwf模块根据ike_auth协议交换报文判断所述普通终端是否未携带auth信息及是否支持eap协议，若所述普通终端携带有auth信息且不支持eap协议，n3iwf模块后续以转换模式为该普通终端提供接入服务。
interworking function）主体功能、安全增强usim模块、控制面信令处理安全模块、用户面业务处理安全模块，再配合系统中安全移动终端、安全增强udm（统一数据管理）、安全网关等其他安全增强功能实体，共同构成完整的移动通信安全专网系统，实现有sim卡和无sim卡移动终端的安全接入、移动终端与n3iwf的安全传输、移动终端与核心网的接入认证安全增强、移动终端与安全网关的端到端业务传输安全增强等多层次接入认证安全增强和业务安全传输，以满足垂直行业或关键行业的灵活使用需求和高强度安全需求。
26.其中，n3iwf主体功能提供标准n3iwf的功能及为了嵌入安全增强usim模块、控制面信令处理安全模块以及用户面业务处理安全模块相关的安全增强能力而开放的接口。
27.安全增强usim模块提供通信接入双向认证，安全增强usim模块的功能在控制面板信令处理安全模块以转换模式安全接入服务时生效，安全增强usim模块的安全增强功能在核心网udm支持安全增强时生效。与核心网udm（统一数据管理）配合使用，安全增强能力可选，视核心网udm（统一数据管理）是否支持安全增强能力而生效。若核心网udm（统一数据管理）具有安全增强能力，那么usim模块支持基于国产/专用认证算法的通信接入主认证安全增强；若核心网udm（统一数据管理）为标准udm（统一数据管理），则usim模块支持基于3gpp标准认证算法的通信接入主认证。
28.需要说明的是，当控制面信令处理安全模块以转换模式安全接入服务时，安全增强usim模块的功能才会生效。而当控制面信令处理安全模块以中继模式安全接入服务时，安全增强usim模块的功能不生效。当控制面信令处理安全模块以转换模式安全接入服务并且核心网udm支持安全增强时，安全增强usim模块的安全增强功能生效。当控制面信令处理安全模块以转换模式安全接入服务并且核心网udm不支持安全增强时，安全增强usim模块仅标准功能生效，而安全增强功能不生效。
29.控制面信令处理安全模块提供接入终端类型的判决，对于有sim卡的移动终端以中继模式提供后续安全接入服务，对于无sim卡的普通终端以转换模式提供后续安全接入服务；提供接入终端ue-n3iwf之间基于国产/专用密码算法及协议的控制面ipsec通道的协商与建立，为后续承载信令信息交互提供控制面的底层ipsec承载通道。在中继模式下，双向接入认证由移动终端自身的安全增强usim卡与核心网安全增强udm完成基于国产/专用认证算法的接入认证安全增强；在转发模式下，双向接入认证由n3iwf的安全增强usim模块与核心网安全增强udm完成基于国产/专用认证算法的接入认证安全增强。
30.用户面业务处理安全模块提供接入终端ue-n3iwf之间、n3iwf-安全网关之间基于国产/专用密码算法及协议的用户面ipsec通道的协商与建立，为后续承载上层业务提供用户面的底层ipsec承载通道。
31.本实施例提供的移动通信系统非蜂窝接入装置，既能够实现有sim卡和无sim卡移动终端的安全接入，又能够实现有usim卡和无usim卡与增强n3iwf之间的安全接入和安全传输，以及与核心网、数据网之间的安全接入和安全传输，最终在系统层面多层级的接入认证和业务安全加密防护，能够在不改3gpp标准的协议和流程，以及不大改网元功能的前提下，实现安全增强功能，以满足垂直行业或关键行业的灵活使用需求及高强度安全需求。
32.实施例2参照图2，如图2所示是本实施例将前述实施例提供的移动通信系统非蜂窝接入装置应用于有sim卡移动终端的接入场景的示意图。
33.图中，实线表示本发明所涉及的安全过程或功能实体，虚线表示传统的安全过程方法或功能实体。
34.本实施例提供的移动通信系统非蜂窝接入方法，应用于有sim卡移动终端接入的5g安全专网的场景，在本实施例中，使用该种移动通信非蜂窝接入的安全增强方法和装置相关的功能实体包括终端侧安全增强usim卡、安全模块、安全增强移动终端，非蜂窝接入点，n3iwf、安全模块（含控制面信令处理安全模块和用户面业务处理安全模块）、amf、安全增强udm（统一数据管理）等，应用侧安全网关和专用安全应用。
35.需要说明的是，n3iwf通过基于标准n3iwf进行轻度定制以支持安全增强功能，同时能够部署安全增强usim卡和安全模块。安全增强移动终端、非蜂窝接入点、amf、安全增强udm（统一数据管理）以及安全网关为系统配套的其余功能实体。
36.该方法具体包括以下步骤：s01：移动终端发起接入请求到非蜂窝接入点，请求与非蜂窝接入点建立通信连接。
37.s02：移动终端完成非蜂窝接入点接入后，与n3iwf进行ike sa的安全参数协商，并基于国产或专用算法及协议与n3iwf建立ike sa安全关联，n3iwf依托安全模块进行密码运算和协议处理；s03：移动终端向n3iwf发送ike_auth请求，只需要携带ue id，不携带认证素材；s04：n3iwf根据ike_auth请求判定该移动终端支持eap协议，后续以中继模式为该移动终端提供服务，并向移动终端返回ike_auth响应，指示其发起nas入网附着流程；s05：移动终端向n3iwf发送ike_auth请求，携带nas入网附着请求；s06：n3iwf将收到的ike_auth请求，转化为n2消息承载格式，向amf发起入网附着请求；s07：amf向udm（统一数据管理）发起鉴权向量请求，触发主认证安全过程；s08：核心网与安全增强移动终端之间进行eap-aka的主认证过程，移动终端依托安全增强usim卡，核心网依托安全增强udm（统一数据管理），实现基于国产/专用认证算法的接入认证安全增强；s09：完成双向接入认证后，amf获得k
seaf
派生密钥，触发与移动终端之间的smc过程，并通过n3iwf向移动终端发送security mode command（安全模式指令）；s10：移动终端通过n3iwf向amf响应security mode complete（安全模式完成）；s11：amf向n3iwf发送其派生密钥k
n3iwf
；s12：n3iwf向移动终端发送eap-success的ike_auth响应报文,至此，移动终端本地也派生出密钥k
n3iwf ；s13：移动终端和n3iwf各自基于密钥k
n3iwf
进行ike_auth交换，建立ipsec sa安全关联。移动终端基于国产/专用密码算法及协议与n3iwf之间建立起控制面ipsec加密隧道，至此，移动终端与n3iwf之间的后续信令交互均基于该控制面ipsec加密隧道进行承载；s14：amf完成后续入网附着流程，并向移动终端发送registration accept（注册完成）报文，至此，移动终端与5g移动通信系统建立起用户面业务通道；s15：n3iwf分别与移动终端和安全网关建立起基于国产/专用密码算法和协议的、用于承载上层业务的ipsec加密通道，为后续的用户面业务传输过程提供底层承载的安全
防护。
38.s16：移动终端与完全网关建立额外的、基于国产/专用算法及协议的端到端ipsec加密隧道，实现业务数据的端到端加密防护，至此，后续业务交互均基于此端到端加密隧道进行安全交互。
39.需要说明的是，在本场景中，s02~s08、s13、s15为本发明安全增强方法所涉及的安全过程，s09~s12、s14、s16为标准商用安全机制或传统安全增强机制。
40.本实施例提供的移动通信系统非蜂窝接入方法实现有sim卡移动终端的安全接入和有usim卡与增强n3iwf之间的安全接入和安全传输，，以及与核心网、数据网之间的安全接入和安全传输，最终在系统层面多层级的接入认证和业务安全加密防护，能够在不改3gpp标准的协议和流程，以及不大改网元功能的前提下，实现安全增强功能，以满足垂直行业或关键行业的灵活使用需求及高强度安全需求。
41.实施例3参照图3，如图3所示是本实施例将前述实施例提供的移动通信系统非蜂窝接入装置应用于无sim卡移动终端的接入场景的示意图。
42.图中，实线表示本发明所涉及的安全过程或功能实体，虚线表示传统的安全过程方法或功能实体。
43.本实施例提供的移动通信系统非蜂窝接入方法，应用于无sim卡普通终端接入的5g安全专网的场景，在本实施例中，使用该种移动通信非蜂窝接入的安全增强方法和装置相关的功能实体包括终端侧安全模块、安全增强普通终端，非蜂窝接入点，n3iwf、安全增强usim卡、安全模块（含控制面信令处理安全模块和用户面业务处理安全模块）、amf、安全增强udm（统一数据管理）等，应用侧安全网关和专用安全应用。
44.需要说明的是，n3iwf通过基于标准n3iwf进行轻度定制以支持安全增强功能，同时能够部署安全增强usim卡和安全模块。安全增强普通终端、非蜂窝接入点、amf、安全增强udm（统一数据管理）以及安全网关为系统配套的其余功能实体。
45.该方法具体包括以下步骤：s01：普通终端发起接入请求到非蜂窝接入点，请求与非蜂窝接入点建立通信连接。
46.s02：普通终端完成非蜂窝接入点接入后，与n3iwf进行ike sa的安全参数协商，并基于国产或专用算法及协议与n3iwf建立ike sa安全关联，n3iwf依托安全模块进行密码运算和协议处理；s03：普通终端向n3iwf发送ike_auth请求，携带认证素材；s04：n3iwf根据ike_auth请求判定该普通终端不支持eap协议，后续以转换模式为该普通终端提供服务，并向普通终端返回ike_auth响应，建立ipsec sa安全关联。n3iwf基于国产/专用密码算法及协议与普通终端之间建立起控制面ipsec加密隧道，至此，普通终端与n3iwf之间的后续信令交互均基于该控制面ipsec加密隧道进行承载；s05：n3iwf通过控制面ipsec加密隧道从ue获取必要的身份信息，在本地建立ue的身份映射关联关系，以n2消息格式，向amf发起入网附着请求；s06：amf向udm（统一数据管理）发起鉴权向量请求，触发主认证安全过程；s07：核心网与n3iwf（作为普通终端的主认证代理）之间进行eap-aka的主认证过
程，n3iwf依托其本地部署的安全增强usim卡，核心网归属域依托安全增强udm（统一数据管理），实现基于国产/专用认证算法的接入认证安全增强；s08：完成双向接入认证后，amf获得k
seaf
派生密钥，触发nas的smc过程，并向n3iwf发送security mode command；s09：n3iwf向amf响应security mode complete；s11：amf向n3iwf发送其派生密钥k
n3iwf
；s12：amf完成后续入网附着流程，并向n3iwf发送registration accept报文，至此，普通终端通过n3iwf与5g移动通信系统建立起用户面业务通道；s13：n3iwf分别与普通终端和安全网关建立起基于国产/专用密码算法和协议的、用于承载上层业务的ipsec加密通道，为后续的用户面业务传输过程提供底层承载的安全防护。
47.s14：普通终端与完全网关建立额外的、基于国产/专用算法及协议的端到端ipsec加密隧道，实现业务数据的端到端加密防护，至此，后续业务交互均基于此端到端加密隧道进行安全交互。
48.需要说明的是，在本场景中，s02~s13为本发明安全增强方法所涉及的安全过程，s14为标准商用安全机制或传统安全增强机制。
49.本实施例提供的移动通信系统非蜂窝接入方法能够实现无sim卡普通终端的安全接入，实现无usim卡与增强n3iwf之间的安全接入和安全传输，以及与核心网、数据网之间的安全接入和安全传输，最终在系统层面多层级的接入认证和业务安全加密防护，能够在不改3gpp标准的协议和流程，以及不大改网元功能的前提下，实现安全增强功能，以满足垂直行业或关键行业的灵活使用需求及高强度安全需求。
50.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。