无线通道的防护方法与流程

本发明涉及无线网络安全领域，尤其涉及一种无线通道的防护方法。

背景技术：

随着电力系统信息化程度的提高，无线通信在电力系统种的应用越来越广泛。与有线通信不同，无线通信不需要把使用者束缚在固定的地方，就可以进行通讯，获取资源。然而这样的便利性也导致了安全性问题的出现，由于连接到通信网络不再需要传输线，通信数据包是通过电磁波传播的，很容易发生截取和窃听，并且在实际传输过程中很容易发生交叉通讯，由此提供一种无线通道的防护方法来保证数据可靠传输至关重要。数据安全性高，传输可靠，数据稳定性高，不易发生横向错乱。纵向截取，横向错乱

中国专利公告号cn103491531b，授权公告日：2016年7月6日，公开了一种在电力系统wimax无线通信网中使用量子密钥提高电力信息传输安全性的方法，该方法将量子密钥分配技术应用到电力系统wimax无线通信网，从而提升电力系统信息传输安全性，采用量子密钥分配网络与电力系统wimax无线通信网两网结合的方案，将无条件安全的量子密钥应用于电力系统wimax无线通信网中。在不修改wimax技术中ieee802.16协议的前提下对需要传输的数据使用量子密钥进行预加密，同时wimax无线网络中的加密技术对预加密生成的密文进行再次加密，对电力系统中的信息传输起到了双重保护的作用，在方便快捷的同时最大限度地提升电力系统无线通信的安全性。不足之处是：通过双重加密，电力系统种信息的纵向传输得到了双重保护，但由于并没有在横向上进行等效物理隔离，发生交叉通讯的可能性比较大。

技术实现要素：

本发明是为了克服现有技术中数据在无线通道传输过程中，纵向容易发生截取和窃听，横向容易发生交叉通讯的问题，提供了一种无线通道的防护方法，所述防护方法既能保证数据的纵向安全传输，又能隔断数据的横向交叉通讯。

本发明采用以下技术方案：一种无线通道的防护方法，用于保证无线通道中数据的安全传输，包括以下步骤：（1）横向物理隔离：根据230mhz频段离散频谱资源特点，对业务通信终端预设不同频率，通过25khz频点分组实现生产控制大区与管理信息大区的通信隔离，同时应用不同的核心网设备承载不同的电力业务，从物理上隔断交叉通信的可能性；（2）纵向鉴权认证：针对td-lte230系统设置接入层密钥、非接入层密钥和应用层密钥，各层密钥独立生成互不相同，将无线接入和核心网安全的相互影响最小化，同时终端、基站以及核心网等网元之间两两进行相互鉴权认证；（3）数据传输加密：数据传输采用祖冲之加密方式。数据在传输过程中，在网元之间传输需要两两相互鉴权认证，接入层密钥、非接入层密钥和应用层密钥都是独立生成并且互不相同的，数据攻击不易通过认证而从密钥中获取信息，保证了数据的纵向传输安全；并且生产控制大区与管理信息大区使用不同频段，不同的核心网设备对应不同的电力业务，数据在横向方向上发生交叉通讯的可能性较小；同时数据本身采用安全性更高的祖冲之加密方式，对数据本身的保护性更高。

作为一种优选方案，在所述横向物理隔离阶段，针对无线通信终端进行业务分组，签约在各自对应的核心网签约数据库中，数据采集的核心网和配电自动化的核心网只能针对各自的业务终端发送消息。在实现生产控制大区与管理信息大区之间通信隔离的基础上，将各自的通信终端业务分为数据采集终端和配电自动化终端，并在核心网签约数据库中进行签约，从而避免了从低保护等级向高保护等级发送指令的可能性

作为一种优选方案，在所述横向物理隔离阶段，针对不同的无线通信终端赋予不同的配置带宽和调度优先级。在不同的地域，由于对业务的需求和要求不同，不同的业务终端拥有不同的重要性，对不同的无线通讯终端配置不同的带宽和调度优先级，针对重要业务终端提供更快速更稳定的信息传递，能更好地满足地域需求，提高客户满意度。

作为一种优选方案，所述网元之间执行基于ip地址与内容的过滤，规避非授权网元的攻击。通过ip地址与内容的过滤，可将访问和被访问者限制在一个特定范围内，未被授权的网元发送的指令将被过滤掉，从而规避了非授权网元的攻击。

作为一种优选方案，所述祖冲之加密方式基于祖冲之算法进行加密，祖冲之算法在逻辑上采用三层结构设计，顶层为线性反馈移位寄存器，中间层为比特重组，底层为非线性函数f。祖冲之算法中的序列具有周期长、线性结构弱和比特符合率低的优点，因此祖冲之算法对二元域上的密码攻击方法具有天然的强抵抗能力，基于祖冲之算法对数据进行加密，数据本身安全性更高。

本发明的有益效果是，所述防护方法既能保证数据的纵向安全传输，又能隔断数据的横向交叉通讯；即便基站放置在易受攻击的位置也不会存在高风险；并且本发明能避免从低保护等级向高保护等级发送指令的可能性。

附图说明

图1是本发明最优实施例的流程图；

图2是本发明最优实施例中横向物理隔离框架的结构示意图。

具体实施方式

下面结合附图和具体实施方式对本发明做进一步的描述。

如图1和图2所示的实施例中的一种无线通道的防护方法，用于保证无线通道中数据的安全传输，包括以下步骤：（1）横向物理隔离：根据230mhz频段离散频谱资源特点，对业务通信终端预设不同频率，通过25khz频点分组实现生产控制大区与管理信息大区的通信隔离，同时应用不同的核心网设备承载不同的电力业务，从物理上隔断交叉通信的可能性；（2）纵向鉴权认证：针对td-lte230系统设置接入层密钥、非接入层密钥和应用层密钥，各层密钥独立生成互不相同，将无线接入和核心网安全的相互影响最小化，同时终端、基站以及核心网等网元之间两两进行相互鉴权认证；（3）数据传输加密：数据传输采用祖冲之加密方式。数据在传输过程中，在网元之间传输需要两两相互鉴权认证，接入层密钥、非接入层密钥和应用层密钥都是独立生成并且互不相同的，数据攻击不易通过认证而从密钥中获取信息，保证了数据的纵向传输安全；并且生产控制大区与管理信息大区使用不同频段，不同的核心网设备对应不同的电力业务，数据在横向方向上发生交叉通讯的可能性较小；同时数据本身采用安全性更高的祖冲之加密方式，对数据本身的保护性更高。

在所述横向物理隔离阶段，针对无线通信终端进行业务分组，签约在各自对应的核心网签约数据库中，数据采集的核心网和配电自动化的核心网只能针对各自的业务终端发送消息；并且针对不同的无线通信终端赋予不同的配置带宽和调度优先级。在实现生产控制大区与管理信息大区之间通信隔离的基础上，将各自的通信终端业务分为数据采集终端和配电自动化终端，并在核心网签约数据库中进行签约，从而避免了从低保护等级向高保护等级发送指令的可能性；在不同的地域，由于对业务的需求和要求不同，不同的业务终端拥有不同的重要性，对不同的无线通讯终端配置不同的带宽和调度优先级，针对重要业务终端提供更快速更稳定的信息传递，能更好地满足地域需求，提高客户满意度。

所述网元之间执行基于ip地址与内容的过滤，规避非授权网元的攻击；所述祖冲之加密方式基于祖冲之算法进行加密，祖冲之算法在逻辑上采用三层结构设计，顶层为线性反馈移位寄存器，中间层为比特重组，底层为非线性函数f。通过ip地址与内容的过滤，可将访问和被访问者限制在一个特定范围内，未被授权的网元发送的指令将被过滤掉，从而规避了非授权网元的攻击；祖冲之算法中的序列具有周期长、线性结构弱和比特符合率低的优点，因此祖冲之算法对二元域上的密码攻击方法具有天然的强抵抗能力，基于祖冲之算法对数据进行加密，数据本身安全性更高。