CN107040495B - 一种应用于工业通信和业务的多级联合身份认证方法 - Google Patents
一种应用于工业通信和业务的多级联合身份认证方法 Download PDFInfo
- Publication number
- CN107040495B CN107040495B CN201610074367.7A CN201610074367A CN107040495B CN 107040495 B CN107040495 B CN 107040495B CN 201610074367 A CN201610074367 A CN 201610074367A CN 107040495 B CN107040495 B CN 107040495B
- Authority
- CN
- China
- Prior art keywords
- authentication
- power
- terminal equipment
- industrial
- power terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
工业通信网是集传输、交换、终端为一体的有多个环节构成的复杂系统,工业通信网中存在部分工业终端设备部分通过电信公网接入,一部分部分通过工业私网接入业务主站,一部分通过混合组网接入业务主站,且工业私网接入具有多级接入的特点,本发明提出了构建电信认证在工业私网的认证方法,构建多级的工业私网认证方法,结合电信公网认证信息和工业私网认证方法构建应用于工业通信和业务的多级联合身份认证方法。
Description
技术领域
本发明涉及工业通信和业务领域,特别是指工业通信和业务中的身份认证方法。
背景技术
工业通信网是集传输、交换、终端为一体的有多个环节构成的复杂系统,工业业务复杂,相互独立,互不兼容,且工业通信网地域广大、通信设备种类数量繁多。工业通信网组网复杂,实际工业通信网中存在有非IP网络和IP网络,也同时存在电信公网和工业私网。由于工业通信设备数量繁多,分布广泛的特点,如图1所示,一部分工业终端设备部分通过电信公网接入①,一部分部分通过工业私网接入业务主站②,一部分通过混合组网接入业务主站③。
在现有的电信公网中,有完善的身份认证体系。用户的身份认证信息存储在SIM卡和网络中的HLR中,移动终端接入电信公网时,公网会根据SIM卡的注册信息对移动终端进行鉴权和认证。例如在GPRS网络中,国际移动用户识别码IMSI是SIM卡在HLR注册的实际身份,在空口传输中,则采用用户临时身份标识TMSI替代IMSI,保护IMSI不被轻易获取,同时采用鉴权三元组在位置更新,数据传输等条件下对用户身份进行鉴权。工业通信网租用电信公网传输数据时,电信公网配给工业通信网的SIM卡成为工业通信网的私有设备,其SIM卡的认证信息不仅应通过电信公网认证,也应当通过工业私网认证。电信公网的认证是通用认证,而工业私网认证是企业级私网认证。
工业通信网是复杂组网,工业通信网具有多层组网的特点,如图2所示,工业终端设备通常不直接与主站连接,工业终端设备通过多级接入点逐层接入,最终于主站建立连接。例如工业终端设备A通过二级接入点和一级接入点两级接入最终和业务主站建立连接①,工业终端设备B通过一级接入点和业务主站建立连接②。在多级连接的网络背景下,需要建立多级的认证体系,保证工业终端设备安全接入,现有网络缺乏适用于多级网络的身份认证机制。
在工业业务同时承载在电信公网和电力私网的情况下,工业终端设备既属于工业私网设备,也属于电信公网用户,在拥有双重身份的情况下同时需要工业私网和电信公网的联合认证,来确保业务终端设备的合法接入。
发明内容
本发明解决的技术问题是:构建电信认证在工业私网的认证方法,构建多级的工业私网认证方法,结合电信公网认证信息和工业私网认证方法构建应用于工业通信和业务的多级联合身份认证方法。
构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法。工业通信网从电信公网购买应用于工业终端设备上的身份卡时,同时从电信公网获得身份认证信息,利用这些身份认证信息在业务主站侧构建电信公网认证服务器;工业终端设备通过电信公网与业务主站建立连接之前,首先向业务主站侧的公网认证服务器认证,如果公网认证服务器认证失败,则不允许这个工业终端设备接入业务主站,如果认证成功,则进行下一步操作。
构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法。多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器,工业终端设备每接入一级,就需要通过本级的认证。
工业私网认证服务器包含有所有工业终端设备的所有认证信息,工业私网认证服务器包含工业终端设备的所有认证信息;中间节点的认证服务器的认证信息是由工业私网认证服务器根据该区域内的工业终端设备将该部分认证信息发放给中间节点认证服务器,中间节点认证服务器只包含本区域工业终端设备的认证信息。
工业私网认证构建认证虚拟卡,其认证信息包括设备ID信息和用户登录口令两部分,设备ID信息标识了工业终端设备的合法性,设备ID信息是静态认证信息,用户登录口令标识了工业终端设备使用者的合法性,用户登录口令是动态认证信息。
在构建电信认证在工业私网的认证方法和构建多级的工业私网认证方法的基础上,本发明提出构建应用于工业通信和业务的多级联合身份认证方法。联合身份认证是指工业终端设备的认证需要通过电信认证在工业私网的认证和工业私网认证双重认证,仅有通过双重认证的工业终端设备才能够接入业务主站,其中一个认证失败,将被认为是非法接入,不能接入业务主站。
附图说明
图1工业通信网结构图
图2工业通信网多层结构示意图
图3电力终端设备电力私网认证网络通道图
图4电力终端设备电力私网认证功能实现图
图5电力私网多层认证结构示意图
图6电力通信网多级联合身份认证结构图
具体实施方式
构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法。工业通信网从电信公网购买应用于工业终端设备上的身份卡时,同时从电信公网获得身份认证信息,利用这些身份认证信息在业务主站侧构建电信公网认证服务器;工业终端设备通过电信公网与业务主站建立连接之前,首先向业务主站侧的公网认证服务器认证,如果公网认证服务器认证失败,则不允许这个工业终端设备接入业务主站,如果认证成功,则进行下一步操作。
在电力通信网中,如图3所示,当电力终端设备可以通过电力私网接入电力主站,电力终端设备在电信公网入网前,先通过电力私网向电力主站侧的公网认证服务器认证,如果认证失败,则告知电力终端设备不允许与电信公网建立连接,如果认证成功,则进行下一步操作①;当电力终端设备无法通过电力私网与电力主站侧建立连接时,电力终端设备先通过电信公网入网,使电力终端设备能够与主站侧通信,然后向电力主站侧的公网认证服务器认证,如果公网认证服务器认证失败,则告知电力终端设备断开电信公网的连接,如果认证成功,则进行下一步操作②。
在电力通信网中,电力终端设备向电力私网认证的实现方法为:如图4所示,在SIM卡前端加入前端处理模块,前端处理模块是SIM卡的前端信息处理器,SIM卡向网络发送数据信息或认证信息等通信数据时,先经过前端处理模块。前端处理模块读取SIM卡中的身份认证信息,执行与电力主站侧公网认证服务器的认证过程和网络选择逻辑处理,并控制SIM能否接入电信公网和和接入电力主站。
构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法。多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器,工业终端设备每接入一级,就需要通过本级的认证。
在电力通信网中,如图5所示,认证体系包括电力私网认证服务器和中间节点的认证服务器,电力终端设备A与主站之间的连接通过了一级接入点和二级接入点两级接入,如果电力终端设备A仅和二级接入点通信,则需要通过二级接入点的身份认证①;如果电力终端设备A要和主站通信,则需要通过二级接入点认证①,一级接入点认证②和电力主站侧认证③。电力终端设备B和主站之间的连接通过了一级接入点,其与电力主站的通信认证包括一级接入点认证④和电力主站侧认证⑤。
工业私网认证服务器包含有所有工业终端设备的所有认证信息,工业私网认证服务器包含工业终端设备的所有认证信息;中间节点的认证服务器的认证信息是由工业私网认证服务器根据该区域内的工业终端设备将该部分认证信息发放给中间节点认证服务器,中间节点认证服务器只包含本区域工业终端设备的认证信息。
工业私网认证构建认证虚拟卡,其认证信息包括设备ID信息和用户登录口令两部分,设备ID信息标识了工业终端设备的合法性,设备ID信息是静态认证信息,用户登录口令标识了工业终端设备使用者的合法性,用户登录口令是动态认证信息。
在构建电信认证在工业私网的认证方法和构建多级的工业私网认证方法的基础上,本发明提出构建应用于工业通信和业务的多级联合身份认证方法。联合身份认证是指工业终端设备的认证需要通过电信认证在工业私网的认证和工业私网认证双重认证,仅有通过双重认证的工业终端设备才能够接入业务主站,其中一个认证失败,将被认为是非法接入,不能接入业务主站。
在电力通信网中,如图6所示,当电力终端设备直接通过电信公网接入主站,则由电力主站侧对电力终端设备联合身份认证①;当电力终端设备先接入电信公网,后接入电力专网最后连接电力主站,则需要先经过电力私网的一级接入点认证②,然后接入电力主站侧,经过电力主站侧的联合身份认证③;当电力终端设备通过电力私网多级接入电力主站,则通过逐级认证,例如先通过二级接入点认证④,再通过一级接入点认证⑤,最后接入电力主站侧经过联合身份认证⑥。
Claims (5)
1.一种应用于工业通信和业务的多级联合身份认证方法,其特征在于:
A.构建应用于工业通信和业务的多级联合身份认证方法首先构建电信认证在工业私网的认证方法;工业通信网从电信公网购买应用于电力终端设备上的身份卡时,同时从电信公网获得身份认证信息,利用这些身份认证信息在业务主站侧构建电信公网认证服务器;电力终端设备通过电信公网与业务主站建立连接之前,首先向业务主站侧的公网认证服务器认证,如果公网认证服务器认证失败,则不允许这个电力终端设备接入业务主站,如果认证成功,则进行下一步操作;
B.构建应用于工业通信和业务的多级联合身份认证方法其次构建多级的工业私网认证方法;多级的工业私网认证方法是在工业通信网中间级的节点上添加认证服务器,电力终端设备每接入一级,就需要通过本级的认证;
C.联合身份认证是指电力终端设备的认证需要通过电信认证在工业私网的认证和电力私网认证双重认证,仅有通过双重认证的电力终端设备才能够接入业务主站,其中一个认证失败,将被认为是非法接入,不能接入业务主站;
在电力通信中,所述电力终端设备向电力私网认证的实现方法为,在SIM 卡前端加入前端处理模块,前端处理模块是SIM卡的前端信息处理器,SIM卡向网络发送数据信息或认证信息时,先经过前端处理模块;前端处理模块读取SIM卡中的身份认证信息,执行与电力主站侧公网认证服务器的认证过程和网络选择逻辑处理,并控制SIM 能否接入电信公网和接入电力主站;
在电力通信中,所述多级联合身份认证的实现方法为,当电力终端设备直接通过电信公网接入主站,则由电力主站侧对电力终端设备联合身份认证;当电力终端设备先接入电信公网,后接入电力私网最后连接电力主站,则先经过电力私网的一级接入点认证,然后接入电力主站侧,经过电力主站侧的联合身份认证;当电力终端设备通过电力私网多级接入电力主站,则通过逐级认证,先通过二级接入点认证,再通过一级接入点认证,最后接入电力主站侧经过联合身份认证。
2.根据权利要求1所述的一种应用于工业通信和业务的多级联合身份认证方法,其特征在于:在电力通信中,所述电信认证在工业私网认证的过程为,当电力终端设备可以通过电力私网接入电力主站,电力终端设备在电信公网入网前,先通过电力私网向电力主站侧的公网认证服务器认证,如果认证失败,则告知电力终端设备不允许与电信公网建立连接,如果认证成功,则进行下一步操作;当电力终端设备无法通过电力私网与电力主站侧建立连接时,电力终端设备先通过电信公网入网,使电力终端设备能够与主站侧通信,然后向电力主站侧的公网认证服务器认证,如果公网认证服务器认证失败,则告知电力终端设备断开电信公网的连接,如果认证成功,则进行下一步操作。
3.根据权利要求1所述的一种应用于工业通信和业务的多级联合身份认证方法,其特征在于:在电力通信中,所述多级的工业私网认证的实现方法为,认证体系包括电力私网认证服务器和中间节点的认证服务器,电力终端设备A与主站之间的连接通过了一级接入点和二级接入点两级接入,如果电力终端设备A仅和二级接入点通信,则需要通过二级接入点的身份认证;如果电力终端设备A要和主站通信,则需要通过二级接入点认证,一级接入点认证和电力主站侧认证;电力终端设备B和主站之间的连接通过了一级接入点,其与电力主站的通信认证包括一级接入点认证和电力主站侧认证。
4.根据权利要求3所述的一种应用于工业通信和业务的多级联合身份认证方法,其特征在于:在电力通信中,所述电力私网认证服务器包含有所有电力终端设备的所有认证信息,中间节点的认证服务器的认证信息是由电力私网认证服务器根据区域内的电力终端设备将部分认证信息发放给中间节点认证服务器,中间节点认证服务器只包含本区域电力终端设备的认证信息。
5.根据权利要求1所述的一种应用于工业通信和业务的多级联合身份认证方法,其特征在于:在电力通信中,所述多级的工业私网认证构建认证虚拟卡,其认证信息包括设备ID信息和用户登录口令两部分,设备ID信息标识了电力终端设备的合法性,设备ID信息是静态认证信息,用户登录口令标识了电力终端设备使用者的合法性,用户登录口令是动态认证信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610074367.7A CN107040495B (zh) | 2016-02-03 | 2016-02-03 | 一种应用于工业通信和业务的多级联合身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610074367.7A CN107040495B (zh) | 2016-02-03 | 2016-02-03 | 一种应用于工业通信和业务的多级联合身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107040495A CN107040495A (zh) | 2017-08-11 |
CN107040495B true CN107040495B (zh) | 2021-07-13 |
Family
ID=59532522
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610074367.7A Active CN107040495B (zh) | 2016-02-03 | 2016-02-03 | 一种应用于工业通信和业务的多级联合身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107040495B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561430A (zh) * | 2017-09-26 | 2019-04-02 | 大唐移动通信设备有限公司 | 一种公网用户接入专网的实现方法及设备 |
CN107682468A (zh) * | 2017-10-11 | 2018-02-09 | 四川省电科互联网加产业技术研究院有限公司 | 一种基于互联网的企业管理系统 |
CN107734585B (zh) * | 2017-11-07 | 2020-07-28 | 南方电网科学研究院有限责任公司 | 电力通信组网系统及控制方法 |
CN110417769A (zh) * | 2019-07-24 | 2019-11-05 | 孙洪亮 | 一种工业互联网平台多重身份认证方法 |
CN111083706B (zh) * | 2019-12-13 | 2020-09-22 | 夏侯淑琴 | 一种在网络接入中经由二次退避指定的电子设备及相应接入方法 |
CN114268487A (zh) * | 2021-12-20 | 2022-04-01 | 中国电信股份有限公司 | 基于工业标识节点的权限控制方法和装置 |
CN115150830B (zh) * | 2022-09-02 | 2022-11-29 | 北京首信科技股份有限公司 | 5g专网接入认证失败时保障终端公网访问的方法和系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707772A (zh) * | 2009-11-10 | 2010-05-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于nfc的身份识别方法及系统 |
CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
CN102195988A (zh) * | 2011-05-31 | 2011-09-21 | 中兴通讯股份有限公司 | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 |
CN105262653A (zh) * | 2015-09-16 | 2016-01-20 | 国家电网公司 | 安全接入平台 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101860524A (zh) * | 2009-04-07 | 2010-10-13 | 中华电信股份有限公司 | 网站使用者身份认证系统与方法 |
CN102437914B (zh) * | 2010-12-08 | 2013-12-04 | 袁永亮 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
KR101640209B1 (ko) * | 2012-01-20 | 2016-07-18 | 한국전자통신연구원 | 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법 |
-
2016
- 2016-02-03 CN CN201610074367.7A patent/CN107040495B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707772A (zh) * | 2009-11-10 | 2010-05-12 | 宇龙计算机通信科技(深圳)有限公司 | 一种基于nfc的身份识别方法及系统 |
CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
CN102195988A (zh) * | 2011-05-31 | 2011-09-21 | 中兴通讯股份有限公司 | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 |
CN105262653A (zh) * | 2015-09-16 | 2016-01-20 | 国家电网公司 | 安全接入平台 |
Also Published As
Publication number | Publication date |
---|---|
CN107040495A (zh) | 2017-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107040495B (zh) | 一种应用于工业通信和业务的多级联合身份认证方法 | |
US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
EP2215747B1 (en) | Method and devices for enhanced manageability in wireless data communication systems | |
CN104581875B (zh) | 微型基站接入方法和系统 | |
US11233817B2 (en) | Methods and apparatus for end device discovering another end device | |
US20160021532A1 (en) | Method for preventing fraud or misuse based on a risk scoring approach when using a service of a service provider, system for preventing fraud or misuse, and mobile communication network for preventing fraud or misuse | |
CN103052064B (zh) | 一种访问运营商自有业务的方法、设备及系统 | |
JP4504970B2 (ja) | 仮想無線ローカルエリアネットワーク | |
US10390226B1 (en) | Mobile identification method based on SIM card and device-related parameters | |
CN105827624A (zh) | 一种身份验证系统 | |
CN106792709A (zh) | 防范伪基站的方法、装置及终端 | |
CN106535148B (zh) | 用于实现移动终端一卡多号同时在线的系统及方法 | |
KR20110103461A (ko) | 피어투피어 네트워크의 네트워크 노드들의 인증을 위한 방법 및 시스템 | |
CN103414732A (zh) | 应用集成装置和应用集成处理方法 | |
CN107659935A (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
CN114070597A (zh) | 一种专网跨网认证方法及装置 | |
CN102149079B (zh) | 一种获取用户身份标识的方法、装置和系统 | |
CN106533884B (zh) | 一种报文传输方法、汇聚设备、交换机及vrrp系统 | |
CN101990218A (zh) | 用于家用基站的接入方法、装置、系统及aaa服务器 | |
EP1311136A1 (en) | Authentication in telecommunications networks | |
CN104052753B (zh) | 一种认证方法和设备 | |
CN103986692A (zh) | 基于无线接入点的数据转发方法及系统 | |
CN107454557A (zh) | 一种路由器连接方法及系统 | |
CN110312636B (zh) | 为电驱动的机动车充电的充电设备和运行充电设备的方法 | |
CN106357595A (zh) | 一种基于sim卡的加密方法和加密系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
DD01 | Delivery of document by public notice |
Addressee: The little order science and technology limited Company in Chongqing Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |