本发明涉及无线通信、信息安全领域,特别涉及一种lte电力专网安全防护系统。
背景技术:
随着我国工业化和信息化的深度融合以及快速发展,信息化正在和各个行业进行快速融合、渗透。工业控制系统面临的信息安全问题日益严重,数据资产已经成为企业中最重要的资产。安全是保证电力可靠、持续稳定的基础保障,为保证能源和基础设施行业控制系统的安全稳定运行,需要建立有针对性的安全防护体系。
依据发改委第14号令《电力监控系统安全防护规定》和能源局2015年36号文件《电力监控系统安全防护总体方案》对电力监控系统和电力通信网的安全进行了总体设计,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,对电力无线专网进行安全防护设计。避免电力通信受外界黑客和病毒的入侵,避免重大的安全隐患和重大的经济损失。14号令及36号文件分别针对无线公网、有线专网给出具体的安全接入防护政策,但是没有针对无线专网的具体措施,需要依据实际业务需求,进行设计和实现。
中国专利公开号cn106992984a,公开2017年4月1日,发明创造的名称为一种基于电力采集网的移动终端安全接入,该申请案公开了一种基于电力采集虚拟网的移动终端接入电力信息内网的方法,满足各种移动终端(平板电脑、pda、智能手机等)访问电力企业信息内网的安全接入需求,利用成熟的电力采集虚拟网,对电力网络信息内网的应用平台进行防护。其不足之处在于对于无线专网而言如此接入的安全性还有所不足。
技术实现要素:
本发明的一个目的在于解决上述现有技术存在的无线专网缺乏具体接入防护政策的问题,提供了一种lte电力专网安全防护系统。
本发明解决其技术问题所采用的技术方案是:一种lte电力专网安全防护系统,包括:第一安全接入模块;所述第一安全接入模块包括空口信令完整性保护单元、第一加密单元和第一解密单元;所述空口信令完整性保护单元用于保护终端与基站间空口信令的安全;所述第一加密单元和第一解密单元用于对终端与基站间所传输数据进行加解密,确保所有数据在传输过程中都是被加密的,必须通过第一解密单元才能获得数据信息,保护数据安全;第二安全接入模块;所述第二安全接入模块包括双向鉴权单元、非空口信令完整性保护单元、第二加密单元和第二解密单元;所述双向鉴权单元用于保护终端与核心网网络侧间的通信安全,终端通过双向鉴权单元向核心网发送入网验证请求,若通过验证则核心网通过双向鉴权单元向终端发送认证成功回复;所述非空口信令完整性保护单元用于保护终端与核心网网络侧间非空口信令安全;第二加密单元和第二解密单元用于对终端与核心网间所传输数据进行加解密,确保所有数据在传输过程中都是被加密的,必须通过第二解密单元才能获得数据信息,保护数据安全;所述第一加密单元和第二加密单元的密钥独立生成、互不相同;所述第一安全接入模块和第二安全接入模块均采用完整性保护和加密双重技术;以及第三安全接入模块;所述第三安全接入模块包括支持终端间的端对端加密模块,用于保障端对端安全。
本发明建立了一套针对无线专网的安全网络架构体系,满足重点行业物联网接入的安全要求,具有终端防复制特点,防攻击能力,具有重点行业物联网对外界威胁的防御、识别、解除攻击的能力,成为打造面向重点行业无线专网的安全护盾。
作为优选,经第一加密单元加密的数据包括一命令认证标志,所述命令认证标志为具有唯一性的时间戳;所述终端接收到来自基站数据时,如果该数据用于命令认证标志的时间戳与基站发送命令报文时的时间不一致,则表明该命令报文已经过期,终端将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与基站发送命令报文时的时间一致,则通过第一解密单元获得数据信息;所述基站接收到来自终端数据时,如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间不一致,则表明该命令报文已经过期,基站将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间一致,则通过第一解密单元获得数据信息。
作为优选,经第二加密单元加密的数据包括一命令认证标志,所述命令认证标志为具有唯一性的时间戳;所述终端接收到来自核心网数据时,如果该数据用于命令认证标志的时间戳与核心网发送命令报文时的时间不一致,则表明该命令报文已经过期,终端将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与核心网发送命令报文时的时间一致,则通过第二解密单元获得数据信息;所述核心网接收到来自终端数据时,如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间不一致,则表明该命令报文已经过期,核心网将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间一致,则通过第二解密单元获得数据信息。
作为优选,所述终端包括业务终端与通信终端,所述业务终端与通信终端之间进行mac地址绑定、imei和imsi绑定。
本发明中,通过mac、imei和imsi绑定实现一种空口上安全传输lte用户imsi的方法和系统,其目的在于在不改变lte网络架构和安全架构、对lte网络影响最小化的情况下,完全避免在空口上传输imsi泄漏被识别,同时还要适应不同基站和不同终端对imsi安全传输的不同支持能力。
作为优选,所述终端配置有用于确保通信安全鉴别的终端签约单元,终端经过终端签约单元进行终端签约后取得与核心网通信的权限。
作为优选,所述终端签约的信息包括imsi、qci、终端最大上行速率、终端最大下行速率、终端静态ip、主站ip、主站端口、频谱感知指示和所属业务区标识。
作为优选,所述第三安全接入模块采用多种安全技术和措施,保障端到端安全,具体包括:支持端到端密码设备,包括商密级sd加密卡、密钥分发中心以及中心站密码机,以实现端到端安全;采用专利密码同步技术,提供每一帧数据的网络同步计数码;终端加密状态可视化,提供图标指示加密状态;支持用户型第三方端到端密码设备。
本发明的实质性效果:本发明整体满足电网安全防护相关政策要求,采取多层次加密、鉴权及完整性保护措施,借助时间戳的唯一性对传输数据进行进一步加密,大大提升了电力无线专网的安全性和稳定性。
具体实施方式
下面通过具体实施例,对本发明的技术方案作进一步的具体说明。
一种lte电力专网安全防护系统,包括:第一安全接入模块、第二安全接入模块和第三安全接入模块。
第一安全接入模块包括空口信令完整性保护单元、第一加密单元和第一解密单元;空口信令完整性保护单元用于保护终端与基站间空口信令的安全;第一加密单元和第一解密单元用于对终端与基站间所传输数据进行加解密,确保所有数据在传输过程中都是被加密的,必须通过第一解密单元才能获得数据信息,保护数据安全。经第一加密单元加密的数据包括一命令认证标志,命令认证标志为具有唯一性的时间戳;终端接收到来自基站数据时,如果该数据用于命令认证标志的时间戳与基站发送命令报文时的时间不一致,则表明该命令报文已经过期,终端将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与基站发送命令报文时的时间一致,则通过第一解密单元获得数据信息;基站接收到来自终端数据时,如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间不一致,则表明该命令报文已经过期,基站将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间一致,则通过第一解密单元获得数据信息。
第二安全接入模块包括双向鉴权单元、非空口信令完整性保护单元、第二加密单元和第二解密单元;双向鉴权单元用于保护终端与核心网网络侧间的通信安全,终端通过双向鉴权单元向核心网发送入网验证请求,若通过验证则核心网通过双向鉴权单元向终端发送认证成功回复;非空口信令完整性保护单元用于保护终端与核心网网络侧间非空口信令安全;第二加密单元和第二解密单元用于对终端与核心网间所传输数据进行加解密,确保所有数据在传输过程中都是被加密的,必须通过第二解密单元才能获得数据信息,保护数据安全。经第二加密单元加密的数据包括一命令认证标志,命令认证标志为具有唯一性的时间戳;终端接收到来自核心网数据时,如果该数据用于命令认证标志的时间戳与核心网发送命令报文时的时间不一致,则表明该命令报文已经过期,终端将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与核心网发送命令报文时的时间一致,则通过第二解密单元获得数据信息;核心网接收到来自终端数据时,如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间不一致,则表明该命令报文已经过期,核心网将接收到的命令报文丢弃;如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间一致,则通过第二解密单元获得数据信息。
第三安全接入模块包括支持终端间的端对端加密模块,用于保障端对端安全。第三安全接入模块采用多种安全技术和措施,保障端到端安全,具体包括:支持端到端密码设备,包括商密级sd加密卡、密钥分发中心以及中心站密码机,以实现端到端安全;采用专利密码同步技术,提供每一帧数据的网络同步计数码;终端加密状态可视化,提供图标指示加密状态;支持用户型第三方端到端密码设备。
第一加密单元和第二加密单元的密钥独立生成、互不相同;第一安全接入模块和第二安全接入模块均采用完整性保护和加密双重技术。终端包括业务终端与通信终端,业务终端与通信终端之间进行mac地址绑定、imei和imsi绑定。通过mac、imei和imsi绑定实现一种空口上安全传输lte用户imsi的方法和系统,其目的在于在不改变lte网络架构和安全架构、对lte网络影响最小化的情况下,完全避免在空口上传输imsi泄漏被识别,同时还要适应不同基站和不同终端对imsi安全传输的不同支持能力。
终端配置有用于确保通信安全鉴别的终端签约单元,终端经过终端签约单元进行终端签约后取得与核心网通信的权限。终端签约的信息包括imsi、qci、终端最大上行速率、终端最大下行速率、终端静态ip、主站ip、主站端口、频谱感知指示和所属业务区标识。
需要说明的是,终端可指各种类型的装置,包括但不限于无线电话、蜂窝式电话、膝上计算机、多媒体无线装置、无线通信个人计算机卡、个人数字助理、外部或内部调制解调器等。终端可以为任何由无线信道和/或经由有线信道(例如,光纤或同轴电缆)与服务器通信的数据装置。终端可具有多种名称,例如移动台、移动装置、移动单元、移动电话、远程站、远程终端机、远程单元、用户装置、用户设备、手持式装置等。不同终端可并入一个系统中,终端可为移动的或固定的,且可分散遍及一个通信系统。
以上,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。