一种能支持国际漫游的广域移动通信安全专网构建方法

摘要

本发明公开了一种能支持国际漫游的广域移动通信安全专网构建方法，将运营商公网分为接入网和核心网，把国内外运营商已有的核心网均定义为安全专网的核心网拜访域；由行业自建或行业与运营商联合建立自建核心网，根据移动用户接入位置所在地的不同，分为非漫游场景和漫游场景；在非漫游场景下，移动用户都在本地，均通过自建核心网所在地的基站进行本地接入，将自建核心网定义为安全专网的完整核心网；在漫游场景下，移动用户不在本地，均通过运营商已有的基站进行接入，将自建核心网定义为安全专网的核心网归属域。本发明可解决传统方式构建的专网无法同时兼顾安全性和广域覆盖性的问题，满足行业投入成本较小、运营商接受度较高等要求。

说明书

技术领域

本发明涉及移动通信系统技术领域，尤其涉及一种能支持国际漫 游的广域移动通信安全专网构建方法。

背景技术

移动通信系统自身的安全性主要依托3GPP的原生安全能力。5G 的原生安全能力的重点防护对象主要是空口，包括空口信令的安全防 护以及空口业务的安全防护，但其防护相关的安全机制所使用的参数 主要来源于核心网。

基于移动通信系统构建的安全专网，有三种传统方式：

第一种是行业用户自建独立的基站和核心网；

第二种是行业用户自建独立的核心网，复用运营商公网的基站；

第三种是行业用户复用运营商公网的基站和核心网。

无论哪种方式自建专网，均存在各自的优势和劣势。下面对上述 三种传统专网构建方式进行具体分析。

第一种方式，用户根据自身安全性及覆盖性需求自建独立基站和 核心网，基站和核心网均可进行定制改造。优势在于基站和核心网可 通过定制方式嵌入第三方增强的安全能力，从而实现很高的安全性， 网络规模有限因此成本也较小。具体而言，基站可通过定制频点阻挡 大多数用户的接入，同时可通过定制空口算法，实现高于3GPP安全 能力的效果；核心网通过定制可实现用户签约信息自主管理、对接入 认证进行安全增强，实现高于3GPP安全能力的效果。但是劣势在于 整个网络的规模较小，覆盖性较弱，无法解决广域覆盖问题。若要增 大覆盖性，则需要行业用户投入巨额资金，用于大面积建设承载网和 基站。

第二种方式，用户自建独立核心网，复用运营商公网基站，以非 漫游架构实现本地覆盖或广域覆盖，实施层面上依赖于国内运营商在 接入网配置上的配合。优势在于核心网可定制，从而实现较高的安全 性，网络规模视接入的基站而定，最大可实现国内全覆盖，只自建核 心网因此成本中等。具体而言，基站复用本国运营商公网的基站，因 此频点为标准频点并且空口的安全性完全等同于3GPP安全能力；核 心网通过定制可实现用户签约信息自主管理、对接入认证进行安全增 强，实现高于3GPP安全能力的效果。但是劣势在于无法获得国外运 营商在接入网配置方面的配合，因此网络规模最多只能够覆盖国内， 无法解决国际漫游问题。

第三种方式，用户复用运营商公网的基站和核心网，根据安全性 需求在外围叠加用户面安全增强措施。优势在于标准化程度最高，可 依托运营商的国际漫游实现全球覆盖，同时由于直接使用公网资源， 因此成本较小。但是劣势在于安全性较低，由于基站、核心网均复用 运营商公网，因此整体的安全性完全等同于3GPP的安全能力。具体 而言，用户签约信息由运营商与普通公众用户混在一起进行管理；只 能够解决用户面安全增强，控制面的安全性完全等同于3GPP安全能 力，由于接入认证采用AES国外算法，存在后门风险；用户身份在 空口和核心网容易被攻击者获情，导致用户身份容易被追踪被定位， 无法满足关键行业的安全需求。

为了解决上述问题，本发明提出一种能支持国际漫游的广域移动 通信安全专网构建方法，采用“商用移动通信网络+第三方安全增强 设施+自建核心网归属域”的方式构建广域移动通信专网，借鉴3GPP 标准中规定的移动通信系统非漫游架构和漫游架构，定义“自建核心 网归属域”的概念，通过在自建核心网归属域中嵌入第三方的安全增 强能力，形成控制面+用户面双重安全增强“能力根”，实现安全增强 能力向核心网拜访域以及接入网、基站等进行无感延伸，从而达到安 全增强能力直达末端的广域覆盖效果，特别是对国外运营商完全无感， 确保广域移动通信安全专网的持续性、灵活性和可扩展性，有效跟上信息技术潮流，适应ICT融合趋势，并解决传统安全专网无法同时兼 顾广域覆盖、安全能力增强、建设运维投入较小、部署可实施性强等 要求的问题，能够广泛用于各种有安全需求的垂直行业应用，还能够 很好适应未来的发展和变化。

发明内容

为了解决上述问题，本发明提出一种能支持国际漫游的广域移动 通信安全专网构建方法，采用“商用移动通信网络+第三方安全增强 设施+自建核心网归属域”的方式构建广域移动通信专网，借鉴3GPP 标准中规定的移动通信系统非漫游架构和漫游架构，定义“自建核心 网归属域”的概念，通过在自建核心网归属域中嵌入第三方的安全增 强能力，形成控制面+用户面双重安全增强“能力根”，实现安全增强 能力向核心网拜访域以及接入网、基站等进行无感延伸，从而达到安 全增强能力直达末端的广域覆盖效果，特别是对国外运营商完全无感， 确保广域移动通信安全专网的持续性、灵活性和可扩展性，有效跟上信息技术潮流，适应ICT融合趋势，并解决传统安全专网无法同时兼 顾广域覆盖、安全能力增强、建设运维投入较小、部署可实施性强等 要求的问题，能够广泛用于各种有安全需求的垂直行业应用，符合国 家新基建战略，还能够很好适应未来的发展和变化。

本发明采用的技术方案如下：

一种能支持国际漫游的广域移动通信安全专网构建方法，包括：

将运营商公网分为接入网和核心网，把国内外运营商已有的核心 网均定义为安全专网的核心网拜访域；

由行业自建或行业与运营商联合建立自建核心网，根据移动用户 接入位置所在地的不同，分为非漫游场景和漫游场景；

在所述非漫游场景下，移动用户都在本地，均通过所述自建核心 网所在地的基站进行本地接入，将所述自建核心网定义为安全专网的 完整核心网；在此场景下，没有所述核心网拜访域，所述自建核心网 与其所在地的本地接入网构成完整的移动通信安全专网，即局域性质 的安全专网；

在所述漫游场景下，移动用户不在本地，均通过运营商已有的基 站进行接入，将所述自建核心网定义为安全专网的核心网归属域；在 此场景下，所述自建核心网与运营商公网的核心网、接入网共同构成 完整的移动通信安全专网，即广域性质的安全专网。

进一步的，无论是所述非漫游场景还是所述漫游场景，均只需要 在所述自建核心网中部署第三方安全功能单元或第三方安全功能库， 通过定制的核心网网元实现第三方安全增强能力的嵌入；所述定制的 核心网网元通过外部调用方式和/或内部调用方式调用第三方安全功 能，所述外部调用方式包括通过服务化接口调用部署在外部的所述第 三方安全功能单元，所述内部调用方式包括通过本地接口调用集成在 所述定制的核心网网元内部的所述第三方安全功能库。

进一步的，针对4G网络架构，接入网的所有功能单元和所述核 心网拜访域的所有功能单元均设置为标准网元，并复用运营商公网基 础设施；所述核心网归属域设置为所述自建核心网，只对所述核心网 归属域的网元HSS和PGW进行轻度定制，即通过外部调用方式和/ 或内部调用方式调用第三方安全功能，定制HSS调用控制面安全增 强功能，定制PGW调用用户面安全增强功能，从而实现控制面安全 和用户面安全增强功能的能力嵌入；在用户侧对用户终端进行定制实 现安全增强USIM卡和安全模块的嵌入。

进一步的，所述接入网的所有功能单元包括2G基站GERAN、 3G基站UTRAN和4G基站E-UTRAN，所述核心网拜访域的所有功 能单元包括4G核心网MME、4G核心网SGW和3G核心网网元SGSN。

进一步的，所述核心网归属域的网元HSS通过服务化Z1接口调 用所述第三方安全功能单元的控制面安全增强功能，网元PGW通过 服务化Z2接口调用所述第三方安全功能单元的用户面安全增强功能。

进一步的，用户侧的所述安全增强USIM卡与所述核心网归属域 的网元HSS、所述第三方安全功能单元进行配合，实现用户签约信息 自主管理、根密钥自主产生与管理、接入认证的安全增强和用户身份 的防追踪防定位；用户侧的所述安全模块与所述核心网归属域的网元 PGW、所述第三方安全功能单元进行配合，实现业务数据的端到端 加密防护。

进一步的，针对5G网络架构，接入网的所有功能单元和所述核 心网拜访域的所有功能单元均设置为标准网元，并复用运营商公网基 础设施；所述核心网归属域设置为所述自建核心网，只对所述核心网 归属域的网元UDM和h-UPF进行轻度定制，即通过外部调用方式和 /或内部调用方式调用第三方安全功能，定制UDM调用控制面安全增 强功能，定制h-PCF调用用户面安全增强功能，从而实现控制面安全 和用户面安全增强功能的能力嵌入；在用户侧对用户终端进行定制， 实现安全增强USIM卡和安全模块的嵌入。

进一步的，所述接入网的所有功能单元包括4G基站E-UTRAN、 5G NSA基站NR-RAN、5G SA基站NR-RAN，所述核心网拜访域的 所有功能单元包括4G核心网MME及SGW、5G核心网网元AMF 及v-SMF及v-UPF及v-PCF，所述核心网归属域的网元包括h-PCF、 h-SMF、h-UPF、AUSF和UDM。

进一步的，所述核心网归属域的网元UDM通过服务化Z1接口 调用所述第三方安全功能单元的控制面安全增强功能，网元h-UPF 通过服务化Z2接口调用所述第三方安全功能单元的用户面安全增强 功能。用户终端通过7816协议使用安全增强USIM卡501提供的控制面安全增强功能，通过Z

进一步的，用户侧的所述安全增强USIM卡与所述核心网归属域 的网元UDM、所述第三方安全功能单元进行配合，实现用户签约信 息自主管理、根密钥自主产生与管理、接入认证的安全增强和用户身 份的防追踪防定位；用户侧的所述安全模块与所述核心网归属域的网 元h-UPF、所述第三方安全功能单元进行配合，实现业务数据的端到 端加密防护。

本发明的有益效果在于：

本发明提供了一种能支持国际漫游的广域移动通信安全专网构 建方法，创造了基于移动通信系统构建具有控制面+用户面双重安全 增强能力的广域安全专网的方法，既确保能以较小代价在移动通信系 统中嵌入第三方的安全增强能力，形成全新的控制面+用户面的双重 安全增强能力，解决传统基于运营商公共基础设施构建的安全专网只 能够提供用户面安全增强能力而无法满足垂直行业安全需求的问题， 满足行业安全需求高、第三方安全能力嵌入不改变3GPP标准的流程 和协议的要求；又可充分利用移动运营商公共基础设施广域覆盖特性， 只需要自建核心网归属域就能够与运营商公共基础设施通过标准漫 游机制和接口配合起来，解决传统方式构建的专网无法同时兼顾安全 性和广域覆盖性的问题，满足行业投入成本较小、运营商接受度较高、 可实施性较好的要求。本发明通用性强、兼容性好，适用于以制造、 教育、交通等为代表的、有安全需求、业务应用方式灵活的垂直行业， 以电力、金融、医疗等为代表的、安全需求较高的关键行业以及以党 政、军警等为代表的、有专用安全保密要求的特殊行业。

附图说明

图1是本发明实施例1的非漫游场景安全专网概念示意图。

图2是本发明实施例1的漫游场景安全专网概念示意图。

图3是本发明实施例2的基于4G构建的广域安全专网示意图。

图4是本发明实施例3的基于5G构建的广域安全专网示意图。

附图标记：100-接入网，200-完整核心网，201-标准控制面网元， 202-专用控制面网元和安全功能，210-核心网拜访域，220-核心网归 属域，221-控制面安全增强，222-用户面安全增强，300-用户应用域， 301-专用应用，400-广域专网，501-安全增强USIM卡，502-安全模 块，600-安全隔离，700-MEC分流，800-边缘本地应用，900-移动运 营商公网，NPN-非公网络，PLMN-公共陆地移动网，DN-数据网络。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现说 明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用 以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发 明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领 域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施 例，都属于本发明保护的范围。

实施例1

针对传统移动通信安全专网构建方法无法同时满足广域覆盖和 安全能力增强两个需求的问题，即：基于运营商公网构建的安全专网 能够具有广域覆盖能力，但只能够提供用户面安全增强，存在控制面 安全风险而不被有安全需求的垂直行业所认可的问题；基于自建基础 设施构建的安全专网能够具有控制面+用户面安全增强能力，但需要 修改核心网网元导致难以在运营商公网中进行部署实施而无法具备 广域覆盖特性的问题。

本实施例提供了一种能支持国际漫游的广域移动通信安全专网 构建方法，将运营商公网分为接入网100和核心网，把国内外运营商 已有的核心网均定义为安全专网的核心网拜访域210；由行业自建或 行业与运营商联合建立自建核心网，根据移动用户接入位置所在地的 不同，分为非漫游场景和漫游场景，其中：

如图1所示，在非漫游场景下，移动用户都在本地，均通过自建 核心网所在地的基站进行本地接入，将自建核心网定义为安全专网的 完整核心网200；在此场景下，没有核心网拜访域210，自建核心网 与其所在地的本地接入网100构成完整的移动通信安全专网，即局域 性质的安全专网；

如图2所示，在漫游场景下，移动用户不在本地，均通过运营商 已有的基站进行接入，将自建核心网定义为安全专网的核心网归属域220；在此场景下，自建核心网与运营商公网的核心网、接入网100 共同构成完整的移动通信安全专网，即广域性质的安全专网。

无论是非漫游场景还是漫游场景，均只需要在自建核心网中部署 第三方安全功能单元或第三方安全功能库，通过定制的核心网网元实 现第三方安全增强能力的嵌入，形成控制面+用户面双重安全增强“能 力根”，实现安全增强能力向核心网拜访域210以及接入网100、基 站等进行无感延伸，最终延伸到用户终端，从而达到安全增强能力直 达末端的广域覆盖效果。特别地，在漫游场景下，拜访域运营商，特 别是国外运营商对归属域进行的安全增强完全无感。优选地，定制的 核心网网元通过外部调用方式和/或内部调用方式调用第三方安全功 能，外部调用方式包括通过服务化接口调用部署在外部的第三方安全功能单元，内部调用方式包括通过本地接口调用集成在定制的核心网 网元内部的第三方安全功能库。

本实施例的广域移动通信安全专网构建方法保持了现有移动运 营商公共基础设施已有的架构，由行业独立或与运营商联合建设核心 网归属域220，通过对核心网个别网元进行轻度定制，开放部分接口， 嵌入第三方的安全增强能力，形成具有安全增强能力的核心网网元， 原位替换已有的标准核心网网元，与其他的标准核心网归属域网元共 同形成具有安全增强能力的核心网归属域220，作为控制面+用户面 双重安全增强的“能力根”。再以利用标准3GPP的漫游机制和接口， 将安全增强的“能力根”的安全增强能力向核心网拜访域210及接入 网100延伸出去，最终形成一张广域移动通信安全专网。该方法既能 解决传统基于运营商公网构建安全专网存在控制面安全性不足而不 被有安全需求垂直行业认可的问题，又能够解决传统基于自建基础设 施构建安全专网存在投入巨大而无法满足广域覆盖能力的问题，还能 够解决对运营商拜访域及接入网100、特别是国外运营商无感，从而 极端情况下实现全球覆盖的问题。

实施例2

本实施例在实施例1的基础上：

本实施例以4G为例提供了一种能支持国际漫游的广域移动通信 安全专网构建方法。如图3所示为基于4G构建的广域安全专网，其 功能单元具体包括终端，接入网100的2G基站GERAN、3G基站 UTRAN、4G基站E-UTRAN，核心网拜访域210的4G核心网MME、 SGW和3G核心网网元SGSN，核心网归属域220的网元PCRF、HSS、 PGW，以及数据网络。

其中，接入网100的所有功能单元和核心网拜访域210的所有功 能单元均设置为标准网元，直接复用运营商公网基础设施，完全不做 修改和定制。核心网归属域220设置为自建核心网，只对核心网归属 域220的网元HSS和PGW进行轻度定制，即通过外部调用方式和/ 或内部调用方式调用第三方安全功能，定制HSS调用控制面安全增 强功能，定制PGW调用用户面安全增强功能，从而实现控制面安全 和用户面安全增强功能的能力嵌入。在用户侧对用户终端进行定制实 现安全增强USIM卡501和安全模块502的嵌入。优选地，核心网归属域220的网元HSS通过服务化Z1接口调用第三方安全功能单元的 控制面安全增强功能，网元PGW通过服务化Z2接口调用第三方安 全功能单元的用户面安全增强功能，用户终端通过7816协议使用安 全增强USIM卡501提供的控制面安全增强功能，通过Z

标准情况下，普通USIM卡与网络侧HSS完成接入认证，但在 本实施例中，用户侧的安全增强USIM卡501与核心网归属域220的 网元HSS、第三方安全功能单元进行配合，实现用户签约信息自主管 理、根密钥自主产生与管理、接入认证的安全增强和用户身份的防追踪防定位。优选地，在有控制面安全增强221的情况下，用户侧直接 定制了USIM卡，形成安全增强USIM卡501，其中根密钥、第三方 认证算法和用户身份防追踪防定位功能均直接加在安全增强USIM 卡501中。网络侧为了降低算法耦合性，则是在将根密钥、第三方认 证算法和用户身份防追踪防定位功能体现在第三方安全功能中，而 HSS只是开放接口，通过调用第三方安全功能实现安全增强能力，网 络侧实际上是定制HSS+第三方安全增强功能共同代替标准HSS。

此外，用户侧的安全模块502与核心网归属域220的网元PGW、 第三方安全功能单元进行配合，实现业务数据的端到端加密防护。优 选地，在有用户面安全增强222的情况下，用户侧直接部署安全模块 502，提供业务加密功能。网络侧为了降低算法耦合性，则是在将业 务加密功能体现在第三方安全功能中，而PGW只是开放接口，通过 调用第三方安全功能实现安全增强能力，网络侧实际上是定制PGW+ 第三方安全增强功能共同代替标准PGW。

实施例3

本实施例在实施例1的基础上：

本实施例以5G为例提供了一种能支持国际漫游的广域移动通信 安全专网构建方法。如图4所示为基于5G构建的广域安全专网，其 功能单元具体包括终端，接入网100的4G基站E-UTRAN、5G NSA 基站NR-RAN、5G SA基站NR-RAN，核心网拜访域210的4G核心 网MME、SGW和5G核心网网元AMF、v-SMF、v-UPF、v-PCF， 核心网归属域220的网元h-PCF、h-SMF、h-UPF、AUSF、UDM， 以及数据网络。需要说明的是，为了兼容4G接入，核心网归属域220 的网元UDM与4G的HSS合设，h-PCF与4G的PCRF合设，h-SMF 与4G的PGW-c(控制面部分)合设，h-UPF与4G的PGW-u(用户 面部分)合设。

其中，接入网100的所有功能单元和核心网拜访域210的所有功 能单元均设置为标准网元，直接复用运营商公网基础设施，完全不做 修改和定制。核心网归属域220设置为自建核心网，只对核心网归属 域220的网元UDM和h-UPF进行轻度定制，即通过外部调用方式和 /或内部调用方式调用第三方安全功能，定制UDM调用控制面安全增 强功能，定制h-PCF调用用户面安全增强功能，从而实现控制面安全 和用户面安全增强功能的能力嵌入；在用户侧对用户终端进行定制， 实现安全增强USIM卡501和安全模块502的嵌入。优选地，核心网 归属域220的网元UDM通过服务化Z1接口调用第三方安全功能单 元的控制面安全增强功能，网元h-UPF通过服务化Z2接口调用第三 方安全功能单元的用户面安全增强功能，用户终端通过7816协议使 用安全增强USIM卡501提供的控制面安全增强功能，通过Z

标准情况下，普通USIM卡与网络侧UDM完成接入认证，但在 本实施例中，用户侧的安全增强USIM卡501与核心网归属域220的 网元UDM、第三方安全功能单元进行配合，实现用户签约信息自主 管理、根密钥自主产生与管理、接入认证的安全增强和用户身份的防追踪防定位。在有控制面安全增强221的情况下，用户侧直接定制了USIM卡，形成安全增强USIM卡501，其中根密钥、第三方认证算 法和用户身份防追踪防定位功能均直接加在安全增强USIM卡501中。 网络侧为了降低算法耦合性，则是在将根密钥、第三方认证算法和用户身份防追踪防定位功能体现在第三方安全功能中，而UDM只是开 放接口，通过调用第三方安全功能实现安全增强能力，网络侧实际上 是定制UDM+第三方安全增强功能共同代替标准UDM。

此外，用户侧的安全模块502与核心网归属域220的网元h-UPF、 第三方安全功能单元进行配合，实现业务数据的端到端加密防护。在 有用户面安全增强222的情况下，用户侧直接部署安全模块502，提供 业务加密功能。网络侧为了降低算法耦合性，则是在将业务加密功能 体现在第三方安全功能中，而UPF只是开放接口，通过调用第三方安 全功能实现安全增强能力，网络侧实际上是定制UPF+第三方安全增 强功能共同代替标准UPF。

由上述实施例可以看出，采用“商用移动通信网络+第三方安全 增强设施+自建核心网归属域220”的方式构建广域移动通信专网， 既解决传统基于运营商公网构建安全专网存在控制面安全性不足而 不被有安全需求垂直行业认可的问题，又能够解决传统基于自建基础 设施构建安全专网存在投入巨大而无法满足广域覆盖能力的问题，还 能够解决对运营商拜访域及接入网100、特别是国外运营商无感，从 而极端情况下实现全球覆盖的问题。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限 于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各 种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述 教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动 和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的 保护范围内。