[发明专利]一种适用于电力无线专网核心网的安全防护性能测评方法

权利要求书

1.一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，包括以下步骤：

1)构建核心网安全防护性能测评系统，包括终端、若干个基站、交换机、一台安全加密网关、核心网、网管服务器、网管客户端和安全接入平台；其中，终端与基站相连，基站与交换机相连，交换机与安全加密网关相连，安全加密网关与核心网相连，网管服务器和网管客户端都与交换机连接，交换机与安全接入平台相连，安全接入平台接入信息内网；

所述核心网安全防护性能测评系统的各设备间的通信过程为：

1-1)终端将Uu口数据通过空口发送给与之相连的基站；Uu口控制面已具备加密和完整性保护，Uu口用户面具备加密保护，而Uu口用户面的完整性保护由应用层协议实现；

1-2)基站将从Uu口收到的数据通过S1接口经S5700交换机上传至安全加密网关；采用证书认证的IPSec保护该段链路上的S1接口数据；

1-3)安全加密网关将从S1接口接收到的数据终结IPSec保护后发送至主核心网；

1-4)主核心网将来自S1接口的数据通过SGi接口，经S5700交换机发送至安全接入平台；

1-5)安全接入平台将业务数据流终结安全保护后，送往信息内网直至业务主站；

2)执行S1接口数据传输安全防护测试，测试LTES1接口分别针对AS和NAS是否开启加密机制保护；

3)执行HSS鉴权服务器拒绝服务攻击测试，令终端连续不断向HSS发送IMSI连接请求，测试HSS服务器和MME服务器的负载和内存变化；

4)执行核心网安全可控性测试，查看核心网是否只开放提供服务的端口，是否关闭其他所有不需要的端口；查看核心网是否实现对已接收报文进行内容审计过滤及流量控制，收到的报文是否进行合法性校验；如有校验机制，校验参数是否包含报文的源地址、源端口号、目的地址、目的端口号、报文协议类型；查看是否部署网络设备管理系统，网络中设备信息同网管系统备案信息是否一致，是否存在未备案服务接入核心网；

5)执行无线专网网管系统安全测试，测试内容包括查看无线专网网管系统，是否启用用户身份认证措施，是否存在用户及用户角色配置管理；是否实现用户配置管理实现授权功能，是否基于用户、角色、操作命令设置不同的操作权限；网管系统是否通过HTTPS进行访问；是否配置关于密码长度、密码更新周期要求的密码策略，如密码需要数字与大小写字母混合，是否实现3个月后强制用户更换密码，网管后台密码是否以密文形式存储；是否实现对所有用户操作记录日志、系统运维日志、系统安全日志进行记录，是否记录用户的IP、操作内容、操作时间以及相应结果。

2.根据权利要求1所述的一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，所述核心网包括主核心网和备核心网，在主核心网故障时，才启用备核心网。

3.根据权利要求1所述的一种适用于电力无线专网核心网的安全防护性能测评方法，其特征在于，所述步骤1)构建核心网安全防护性能测评系统，还在业务层增加了终端安全加密芯片与安全接入平台之间的端到端安全认证、加密保护机制。