CN117119463A - 一种用于5g专网的cpe安全认证方法和系统 - Google Patents

Abstract

本发明公开了一种用于5G专网的CPE安全认证方法和系统，包括以下步骤：专网认证网关系统预先将合法的5GCPE的IMEI信息导入到白名单内，并对相关信息进行绑定；5GCPE插入5G专网签约SIM卡注册入网，经过SMF鉴权后，接入5G网络，完成一次鉴权，本发明通过5G专网认证网关对本企业专用的5GCPE进行机卡双重验证授权，带有防代理私接功能的5G专网认证网关，将核心网发送给认证网关二次鉴权的手机号，与企业内部身份、VXLAN网络标识VNI、5GCPE设备IMEI建立四元绑定关系，防止用户使用未经授权的5GCPE接入企业内网，同时，Wi‑Fi终端连接合法的5GCPE，被强制要求经过企业内网身份认证鉴权后才能访问企业内网，而不能使用5GCPE的SIM卡身份接入企业内网，能提高企业内网的安全性。

Description

一种用于5G专网的CPE安全认证方法和系统

技术领域

本发明属于5G专网的CPE安全认证技术领域，具体为一种用于5G专网的CPE安全认证方法和系统。

背景技术

5G专网是一种基于5G切片技术的专用网络，主要用于企业和机构内部的通信和数据传输，与传统的公共网络相比，5G专网具有更高的安全性、更高的可靠性、更低的延迟和更高的带宽，可以满足企业和机构对网络的高速、低延迟、高可靠性和高安全性的要求，局域网是使用5G网络切片技术创建的具有统一连接性、优化服务功能和在特定区域内保障通信安全的专用网络，为特定用户在组织、管理、生产、调度等环节提供专业通信服务。

CPE全称CustomerPremiseEquipment，Premise指的是“前端”，指的是在终端设备(如智能手机、平板、电脑等)的“前面”，作用是将移动网络信号(4G、5G等)或有线宽带信号，转换成本地信号，供终端设备使用。

在5G双域专网环境下，5GCPE终端作为一种将5G网络转化为Wi-Fi信号，供各种设备连接使用的设备，被广泛应用，使得各种非5G网络终端都可通过5GCPE设备接入5G专网，在面向个人用户的应用场景中，特别在企业、教育、政务场景，使用户可以在任意5G信号覆盖范围内，即可使自己的PC、平板电脑等非5G终端接入5G专网，安全访问内网资源。

然而，5GCPE设备由于自身产品定位和特性，使得5G专网的企业侧二次鉴权和安全认证系统无法有效识别接入5GCPE设备的Wi-Fi终端可信身份，使5GCPE设备成为5G专网潜在的安全漏洞。

5GCPE本质是一个NAT无线路由器，终端连接5GCPE的Wi-Fi信号后，向终端分配私网地址，然后经过地址转换(NAT)使用5GSIM卡从运营商获得的公网地址接入5G专网，由于NAT地址阻碍对Wi-Fi终端的识别和管控，企业侧所检测到的网络行为都被认为是5GCPE自身发出的，这时企业侧身份认证系统仅能对5GCPE自身SIM卡的手机号做可信接入的二次身份鉴权，无法对接入5GCPE的Wi-Fi终端进行行为识别、管理和身份认证，也无法对5GCPE自身进行可信验证。对于安全要求高的业务场景，如企业、金融等，都迫切需要上述安全校验措施以加固企业内网边界准入安全。

目前解决上述问题的解决方案，是在移动运营商核心网对CPE配置后路由来实现，具体原理是：

核心网配置CPE的IMSI号码和CPE下挂设备的网段地址后(此网段地址包含CPE通过DHCP功能分配的IP地址)，核心网生成CPE后路由转发表项，当核心网收到目的地址为CPE下挂设备的IP地址的报文后：

1、查找CPE后路由转发表项；

2、根据表项中的IMSI号码，用户面网元选择对应的GTP隧道封装原始报文；

3用户面网元将封装后的报文转发给基站；

4基站收到封装后的报文后，剥离报文的外层IP头得到原始IP报文；

5基站通过空中接口将原始报文转发给CPE；

6、CPE收到原始报文后，根据报文的目的IP地址将报文转发给下挂设备。

上述流程完成后，下挂设备即可访问企业内网，并由认证网关进行身份认证。

上述后路由实现方案有以下缺陷和不足：

1.虽然能实现企业侧认证网关对5GCPE的SIM卡进行二次身份鉴权，但无法对5GCPE自身进行可信验证；

2.该方案组网基于三层路由，阻碍了企业侧认证网关对下挂设备MAC地址的获取，无法实现对下挂设备的进一步安全识别和绑定策略；

3.配置过程效率低，需要在运营商侧人工添加CPE下挂设备的IP地址和IMSI；

4.配置过程与二次鉴权身份认证过程分离，不能基于二次鉴权身份认证的结果进行配置下发。

发明内容：

本发明的目的就在于为了解决上述问题而提供一种用于5G专网的CPE安全认证方法和系统，解决了背景技术中提到的问题。

为了解决上述问题，本发明提供了一种技术方案：

一种用于5G专网的CPE安全认证方法，包括以下步骤：

S1、专网认证网关系统预先将合法的5GCPE的IMEI信息导入到白名单内，并对相关信息进行绑定；

S2、5GCPE插入5G专网签约SIM卡注册入网，经过SMF鉴权后，接入5G网络，完成一次鉴权；

S3、SMF通过UPF向专网认证网关发起Radius二次鉴权请求，并通过专网认证网关完成对5GCPE的号卡本地身份二次鉴权；

S4、5GCPE检测与专网认证网关自动上传本地的IMEI、源IP信息给专网认证网关，专网认证网关在本地合法IMEI白名单进行验证IMEI是否合法，若合法，再检查CPE发送的源IP是否存在于专网认证网关的在线表中，若是，则向该IMEI信息对应CPE的手机号下发对应的VNI信息；

S5、5GCPE收到VNI信息后，启用本地的VXLAN功能，并将VXLAN的VNI配置成接收到的VNI，然后5GCPE则与专网认证网关建立了VXLAN隧道；

S6、Wi-Fi终端连接5GCPE的SSID，Wi-Fi终端发出DHCP请求，DHCP请求包通过VXLAN隧道传送到专网认证网关，专网认证网关回应DHCP地址请求，从地址池分配地址给Wi-Fi终端，Wi-Fi终端获得IP地址后，发出访问企业内网资源的http请求，专网认证网关检测终端IP未经过身份认证，则将Wi-Fi终端的http请求重定向到Web登录页；

S7、用户在Wi-Fi终端上的Web登录页上输入企业内身份信息，专网认证网关将上述身份信息封装成LDAP、Radius或HTTP等认证接口协议发送到对应的企业内网认证系统进行验证，验证通过后，则允许该Wi-Fi终端访问企业内网资源，并对其访问过程进行行为管理；

S8、对于没有与5G认证网关建立VXLAN隧道的5G终端，5G专网认证网关将启用防代理私接功能，不允许5G终端通过热点共享接入。

作为优选，所述步骤S1中的相关信息为：手机号、VNI信息和企业内身份信息。

作为优选，所述步骤S3中二次鉴权的方法为：

S31：专网认证网关先检查网关本地系统是否有此手机号，如果没有则将手机号封装成相应的LDAP、Radius或HTTP等认证接口，并将协议发送到企业内网认证平台进行验证；

S32：若专网认证网关本地有此手机号，则在本地进行验证，验证通过后，专网认证网关对该手机号和移动IP做上线处理，同时对该移动IP和企业内网IP做一对一映射：

S33：若验证不通过，该手机号和移动IP在专网认证网关上不做上线处理和地址映射处理。

作为优选，所述步骤S7中企业内身份信息包括：企业OA账号密码、统一身份系统账号密码或邮件系统账号密码等。

作为优选，所述步骤S7中的行为管理包括：访问时长、速率、端口过滤、访问审计等。

一种用于5G专网的CPE安全认证系统，包括5G核心网、Wi-Fi终端、5GCPE、UFP、专网认证网关和企业内网认证系统，所述5G核心网中包含SMF。

作为优选，所述5G核心网中的SMF用于建立并支撑各单元之间的通信功能；

所述Wi-Fi终端用于连接5GCPE的SSID，并发送发出DHCP请求；

所述UFP用于进行A/D转换、信令转换以及UNI功能的终接；

所述专网认证网关用于接收二次鉴权请求，并对5GCPE的号卡本地身份二次鉴权进行处理；

所述企业内网认证系统用于对企业内身份信息进行验证处理。

本发明的有益效果是：部署5G专网的企业，通过5G专网认证网关对本企业专用的5GCPE进行机卡双重验证授权，带有防代理私接功能的5G专网认证网关，将核心网发送给认证网关二次鉴权的手机号，与企业内部身份、VXLAN网络标识VNI、5GCPE设备IMEI建立四元绑定关系，防止用户使用未经授权的5GCPE接入企业内网，同时，Wi-Fi终端连接合法的5GCPE，被强制要求经过企业内网身份认证鉴权后才能访问企业内网，而不能使用5GCPE的SIM卡身份接入企业内网，能提高企业内网的安全性。

附图说明：

为了易于说明，本发明由下述的具体实施及附图作以详细描述。

图1是本发明系统流程示意图。

具体实施方式：

如图1所示，本具体实施方式采用以下技术方案：

实施例1：

一种用于5G专网的CPE安全认证方法，包括以下步骤：

S1、专网认证网关系统预先将合法的5GCPE的IMEI信息导入到白名单内，并对相关信息进行绑定；

S2、5GCPE插入5G专网签约SIM卡注册入网，经过SMF鉴权后，接入5G网络，完成一次鉴权；

S3、SMF通过UPF向专网认证网关发起Radius二次鉴权请求，并通过专网认证网关完成对5GCPE的号卡本地身份二次鉴权；

S4、5GCPE检测与专网认证网关自动上传本地的IMEI、源IP信息给专网认证网关，专网认证网关在本地合法IMEI白名单进行验证IMEI是否合法，若合法，再检查CPE发送的源IP是否存在于专网认证网关的在线表中，若是，则向该IMEI信息对应CPE的手机号下发对应的VNI信息；

S5、5GCPE收到VNI信息后，启用本地的VXLAN功能，并将VXLAN的VNI配置成接收到的VNI，然后5GCPE则与专网认证网关建立了VXLAN隧道；

S6、Wi-Fi终端连接5GCPE的SSID，Wi-Fi终端发出DHCP请求，DHCP请求包通过VXLAN隧道传送到专网认证网关，专网认证网关回应DHCP地址请求，从地址池分配地址给Wi-Fi终端，Wi-Fi终端获得IP地址后，发出访问企业内网资源的http请求，专网认证网关检测终端IP未经过身份认证，则将Wi-Fi终端的http请求重定向到Web登录页；

S7、用户在Wi-Fi终端上的Web登录页上输入企业内身份信息，专网认证网关将上述身份信息封装成LDAP、Radius或HTTP等认证接口协议发送到对应的企业内网认证系统进行验证，验证通过后，则允许该Wi-Fi终端访问企业内网资源，并对其访问过程进行行为管理；

S8、对于没有与5G认证网关建立VXLAN隧道的5G终端，5G专网认证网关将启用防代理私接功能，不允许5G终端通过热点共享接入。

实施例2：

所述步骤S1中的相关信息为：手机号、VNI信息和企业内身份信息；

所述步骤S3中二次鉴权的方法为：

S31：专网认证网关先检查网关本地系统是否有此手机号，如果没有则将手机号封装成相应的LDAP、Radius或HTTP等认证接口，并将协议发送到企业内网认证平台进行验证；

S32：若专网认证网关本地有此手机号，则在本地进行验证，验证通过后，专网认证网关对该手机号和移动IP做上线处理，同时对该移动IP和企业内网IP做一对一映射：

S33：若验证不通过，该手机号和移动IP在专网认证网关上不做上线处理和地址映射处理；

所述步骤S7中企业内身份信息包括：企业OA账号密码、统一身份系统账号密码或邮件系统账号密码等；

所述步骤S7中的行为管理包括：访问时长、速率、端口过滤、访问审计等。

实施例3：

一种用于5G专网的CPE安全认证系统，包括5G核心网、Wi-Fi终端、5GCPE、UFP、专网认证网关和企业内网认证系统，所述5G核心网中包含SMF。

所述5G核心网中的SMF用于建立并支撑各单元之间的通信功能；所述Wi-Fi终端用于连接5GCPE的SSID，并发送发出DHCP请求；所述UFP用于进行A/D转换、信令转换以及UNI功能的终接；所述专网认证网关用于接收二次鉴权请求，并对5GCPE的号卡本地身份二次鉴权进行处理；所述企业内网认证系统用于对企业内身份信息进行验证处理。

实施例4：

专网认证网关系统预先将合法的5GCPE的IMEI信息导入到白名单内，然后将手机号、VNI信息和企业内身份信息进行绑定；5GCPE插入5G专网签约SIM卡注册入网，经过SMF鉴权后，接入5G网络，完成一次鉴权；SMF通过UPF向专网认证网关发起Radius二次鉴权请求，专网认证网关先检查网关本地系统是否有此手机号，如果没有则将手机号封装成LDAP、Radius或HTTP等认证接口协议发送到企业内网认证平台进行验证，如果专网认证网关本地有此手机号，则在本地进行验证。验证通过后，专网认证网关对该手机号和移动IP做上线处理，同时对该移动IP和企业内网IP做一对一映射。如果验证不通过，该手机号和移动IP在专网认证网关上不做上线处理和地址映射处理。此过程完成对5GCPE的号卡本地身份二次鉴权；5GCPE检测与专网认证网关，自动上传本地的IMEI、源IP信息给专网认证网关，专网认证网关在本地合法IMEI白名单进行验证IMEI是否合法，如果合法，再检查CPE发送的源IP，是否存在于专网认证网关的在线表中，如果是，则向该IMEI信息对应CPE的手机号(已在线)下发对应的VNI信息；5GCPE收到VNI信息后，启用本地的VXLAN功能，并将VXLAN的VNI配置成接收到的VNI，然后5GCPE则与专网认证网关建立了VXLAN隧道；Wi-Fi终端连接5GCPE的SSID，Wi-Fi终端发出DHCP请求，DHCP请求包通过VXLAN隧道传送到专网认证网关，专网认证网关回应DHCP地址请求，从地址池分配地址给Wi-Fi终端，Wi-Fi终端获得IP地址后，发出访问企业内网资源的http请求，专网认证网关检测终端IP未经过身份认证，则将Wi-Fi终端的http请求重定向到Web登录页；用户在Wi-Fi终端上的Web登录页上输入企业内身份信息，如企业OA账号密码、统一身份系统账号密码或邮件系统账号密码等，专网认证网关将上述身份信息封装成LDAP、Radius或HTTP等认证接口协议发送到对应的企业内网认证系统进行验证，验证通过后，则允许该Wi-Fi终端访问企业内网资源，并对其访问过程进行行为管理，包括访问时长、速率、端口过滤、访问审计等。对于没有与5G认证网关建立VXLAN隧道的5G终端，5G专网认证网关将启用防代理私接功能，不允许5G终端通过热点共享接入。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种用于5G专网的CPE安全认证方法，其特征在于，包括以下步骤：

S1、专网认证网关系统预先将合法的5GCPE的IMEI信息导入到白名单内，并对相关信息进行绑定；

S2、5GCPE插入5G专网签约SIM卡注册入网，经过SMF鉴权后，接入5G网络，完成一次鉴权；

S3、SMF通过UPF向专网认证网关发起Radius二次鉴权请求，并通过专网认证网关完成对5GCPE的号卡本地身份二次鉴权；

S4、5GCPE检测与专网认证网关自动上传本地的IMEI、源IP信息给专网认证网关，专网认证网关在本地合法IMEI白名单进行验证IMEI是否合法，若合法，再检查CPE发送的源IP是否存在于专网认证网关的在线表中，若是，则向该IMEI信息对应CPE的手机号下发对应的VNI信息；

S5、5GCPE收到VNI信息后，启用本地的VXLAN功能，并将VXLAN的VNI配置成接收到的VNI，然后5GCPE则与专网认证网关建立了VXLAN隧道；

S6、Wi-Fi终端连接5GCPE的SSID，Wi-Fi终端发出DHCP请求，DHCP请求包通过VXLAN隧道传送到专网认证网关，专网认证网关回应DHCP地址请求，从地址池分配地址给Wi-Fi终端，Wi-Fi终端获得IP地址后，发出访问企业内网资源的http请求，专网认证网关检测终端IP未经过身份认证，则将Wi-Fi终端的http请求重定向到Web登录页；

S7、用户在Wi-Fi终端上的Web登录页上输入企业内身份信息，专网认证网关将上述身份信息封装成LDAP、Radius或HTTP等认证接口协议发送到对应的企业内网认证系统进行验证，验证通过后，则允许该Wi-Fi终端访问企业内网资源，并对其访问过程进行行为管理；

S8、对于没有与5G认证网关建立VXLAN隧道的5G终端，5G专网认证网关将启用防代理私接功能，不允许5G终端通过热点共享接入。

2.根据权利要求1所述的一种用于5G专网的CPE安全认证方法，其特征在于，所述步骤S1中的相关信息为：手机号、VNI信息和企业内身份信息。

3.根据权利要求1所述的一种用于5G专网的CPE安全认证方法，其特征在于，所述步骤S3中二次鉴权的方法为：

S31：专网认证网关先检查网关本地系统是否有此手机号，如果没有则将手机号封装成相应的LDAP、Radius或HTTP等认证接口，并将协议发送到企业内网认证平台进行验证；

S32：若专网认证网关本地有此手机号，则在本地进行验证，验证通过后，专网认证网关对该手机号和移动IP做上线处理，同时对该移动IP和企业内网IP做一对一映射：

S33：若验证不通过，该手机号和移动IP在专网认证网关上不做上线处理和地址映射处理。

4.根据权利要求1所述的一种用于5G专网的CPE安全认证方法，其特征在于，所述步骤S7中企业内身份信息包括：企业OA账号密码、统一身份系统账号密码或邮件系统账号密码等。

5.根据权利要求1所述的一种用于5G专网的CPE安全认证方法，其特征在于，所述步骤S7中的行为管理包括：访问时长、速率、端口过滤、访问审计等。

6.一种用于5G专网的CPE安全认证系统，其特征在于，包括5G核心网、Wi-Fi终端、5GCPE、UFP、专网认证网关和企业内网认证系统，所述5G核心网中包含SMF。

7.根据权利要求6所述的一种用于5G专网的CPE安全认证系统，其特征在于，所述5G核心网中的SMF用于建立并支撑各单元之间的通信功能；

所述Wi-Fi终端用于连接5GCPE的SSID，并发送发出DHCP请求；

所述UFP用于进行A/D转换、信令转换以及UNI功能的终接；

所述专网认证网关用于接收二次鉴权请求，并对5GCPE的号卡本地身份二次鉴权进行处理；

所述企业内网认证系统用于对企业内身份信息进行验证处理。