(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221010749 9.0 (22)申请日 2022.01.28 (71)申请人 国网江苏省电力有限公司南京供电 分公司 地址 210019 江苏省南京市 建邺区奥体大 街1号 申请人 中讯邮电咨询设计院有限公司 (72)发明人 王文帝　朱红　周冬旭　谢国涛　 王首媛　管立军　许洪华　钱欣　 余昊　 (74)专利代理 机构 北京智绘未来专利代理事务 所(普通合伙) 11689 专利代理师 张红莲 (51)Int.Cl. H04L 9/40(2022.01)H04W 12/03(2021.01) H04W 12/06(2021.01) H04W 12/37(2021.01) H04W 12/69(2021.01) H04W 12/76(2021.01) H04W 12/106(2021.01) H04W 12/041(2021.01) H04W 12/0431(2021.01) H04W 12/0433(2021.01) H04L 9/32(2006.01) H04L 41/0894(2022.01) H04L 41/5019(2022.01) (54)发明名称 基于网络切片和无证书公钥密码体系的系 统安全控制方法 (57)摘要 基于网络切片和无证书公钥密码体系的系 统安全控制方法， 包括： 建立CLA密钥管理中心、 安全与路由策略控制中心、 网络切片选择策略模 块和安全认证网关； 每个应用静态分组获得唯一 的CLA用户标识， 并生成网关CLA公私钥对； 安全 与路由策略控制中心对发送消息的应用进行动 态分组获得唯一映射关系， 网络切片选择策略模 块选择虚拟应用并将业务系统消息发送给安全 认证网关； 安全认证网关将通过身份认 证的业务 系统消息发送给对应的业务系统。 本发明利用物 联网应用中CLA的高效性， 实现业务数据和逻辑 链接安全性， 保障业务差异化信道资源， 实现灵 活高效的安全策略控制。 权利要求书3页 说明书11页 附图2页 CN 114650165 A 2022.06.21 CN 114650165 A 1.基于网络切片和无证书公钥密码体系的系统安全 控制方法， 其特 征在于， 所述方法包括： 步骤1， 系统建立； 系统包括： CLA密钥管理中心， 安全与路由策略控制中心， 网络切片选 择策略模块和安全认证网关； 步骤2， 应用系统客户端利用安全与路由策略控制中心和网络切片选择策略模块， 对应 用进行静态分组， 并使 得每个应用静态分组获得唯一的CLA用户标识， 其中， CLA用户标识为 虚拟应用的标识； 应用系统客户端再利用CLA密钥 管理中心和安全认证网关， 基于CLA用户 标识生成应用系统客户端的网关CLA公私钥对； 步骤3， 系统运行时， 应用系统客户端利用安全与路由策略控制中心对发送业务系统消 息的应用进行动态分组获得唯一的映射关系； 应用系统客户端再利用网络切片 选择策略模 块， 基于CLA用户标识， 选择对应的虚拟应用， 并利用所选的虚拟应用将业务系统消息发送 给安全认证网关； 步骤4， 安全认证网关对业务系统消息进行身份认证， 通过身份认证的业务系统消息发 送给对应的业 务系统。 2.根据权利要求1所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤2包括： 步骤2.1， 安全与路由策略控制中心向应用系统客户端的安全模块发送应用静态分组 配置信息； 根据应用静态分组配置信息， 安全模块将 应用分成多个应用组， 应用组的标识记 为IDAPP组； 步骤2.2， 网络切片选择策略模块向应用系统客户端的安全模块发送网络切片标识S ‑ NSSAI； 步骤2.3， 基于应用分组配置信息和网络切片标识， 由应用系统客户端的安全模块生成 虚拟应用， 虚拟应用的标识 记为ID虚拟APP； 步骤2.4， 基于虚拟应用标识ID虚拟APP， 由安全模块生成CLA用户标识IDCLA； 步骤2.5， 安全模块与 CLA密钥管理中心进行交互， 利用CLA用户标识IDCLA， 由CLA密钥管 理中心生成虚拟应用标识ID虚拟APP对应的公私钥对； 步骤2.6， CLA密钥管理中心与安全认证网关进行交互， ID虚拟APP对应的公私钥对经安全 认证网关的认证后， 得到网关CLA公私钥对。 3.根据权利要求2所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤2.2中， 网络切片标识S ‑NSSAI包括： 表征对应切片特征和业务期待的网络切片行 为标识SST， 区分相同S ST的多个切片标识S D。 4.根据权利要求2所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤2.3中， 虚拟应用的标识ID虚拟APP包括： 应用组的标识IDAPP组和网络切片标识S ‑ NSSAI。 5.根据权利要求2所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于，权　利　要　求　书 1/3 页 2 CN 114650165 A 2步骤2.4中， 安全 模块生成CLA用户标识IDCLA的方法包括： 1)以虚拟应用标识ID虚拟APP直接作为CLA用户标识IDCLA； 2)基于统一 规则， 在虚拟应用标识ID虚拟APP中加入特 征标识后， 生成CLA用户标识IDCLA。 6.根据权利要求2所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤3包括： 步骤3.1， 系统运行时， 应用向安全模块发送业务系统消息， 安全模型识别发送者的身 份IDAPP； 步骤3.2， 基于应用静态分组配置信 息和系统当前运行状态， 安全与路由策略控制中心 向安全模块发送应用动态分组配置信息； 根据应用动态分组配置信息， 安全模块在发送业 务系统消息的应用与应用组之间建立唯一映射关系， 即确定应用组标识IDAPP组； 步骤3.3， 安全与路由策略控制中心向安全模块发送应用组SLA参数， 安全模块根据应 用组网络切片参数和应用组标识IDAPP组， 确定网络切片标识S ‑NSSAI； 并且， 安全模块根据应 用组标识IDAPP组和网络切片标识S ‑NSSAI， 确定虚拟应用； 步骤3.4， 将应用发送的业务系统消息， 通过所确定的虚拟应用发送给网络切片选择策 略模块； 步骤3.5， 业务系 统消息从网络切片选择策略模块， 经由5G通信 网络， 发送至安全认证 网关； 步骤3.6， 安全认证网关对业务系统消息进行身份认证； 并将通过身份认证的业务系统 消息， 转发给对应的业 务系统。 7.根据权利要求6所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤3.4包括： 步骤3.4.1， 所确定的虚拟应用， 基于其标识ID虚拟APP对应的CLA私钥， 对业务系统消息进 行签名； 步骤3.4.2， 所确定的虚拟应用， 根据从安全策略控制中心获取的消息加密要求， 基于 消息接收者的公钥， 对业 务系统消息进行加密； 步骤3.4.3， 业 务系统消息签名和 加密后， 发送给网络切片选择 策略模块。 8.根据权利要求6所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤3.5中， 安全认证网关包括认证模块， 由认证模块对具备签名的业务系统消息进行 验签， 并对经 过加密的业 务系统消息进行解密。 9.根据权利要求6所述的基于网络切片和无证书公钥密码体系的系统安全控制方法， 其特征在于， 步骤3.6包括： 步骤3.6.1， 业 务系统消息无需身份认证， 则直接转发给对应的业 务系统； 步骤3.6.2， 业务系统消息仅 需要身份认证， 则基于CLA认证算法对业务系统消息进行 身份认证； 身份认证通过后， 转发给对应的业 务系统； 身份认证不 通过， 返回认证失败信息； 步骤3.6.2， 业务系 统消息需要身份认证， 且需要验证消息发送者的合法性， 则首先基权　利　要　求　书 2/3 页 3 CN 114650165 A 3