一种LTE电力专网安全防护方法与流程

本发明涉及无线通信、信息安全领域，特别涉及一种lte电力专网安全防护方法。

背景技术：

随着我国工业化和信息化的深度融合以及快速发展，信息化正在和各个行业进行快速融合、渗透。工业控制系统面临的信息安全问题日益严重，数据资产已经成为企业中最重要的资产。安全是保证电力可靠、持续稳定的基础保障，为保证能源和基础设施行业控制系统的安全稳定运行，需要建立有针对性的安全防护体系。

依据发改委第14号令《电力监控系统安全防护规定》和能源局2015年36号文件《电力监控系统安全防护总体方案》对电力监控系统和电力通信网的安全进行了总体设计，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，对电力无线专网进行安全防护设计。避免电力通信受外界黑客和病毒的入侵，避免重大的安全隐患和重大的经济损失。14号令及36号文件分别针对无线公网、有线专网给出具体的安全接入防护政策，但是没有针对无线专网的具体措施，需要依据实际业务需求，进行设计和实现。

中国专利公开号cn106992984a，公开2017年4月1日，发明创造的名称为一种基于电力采集网的移动终端安全接入，该申请案公开了一种基于电力采集虚拟网的移动终端接入电力信息内网的方法，满足各种移动终端（平板电脑、pda、智能手机等）访问电力企业信息内网的安全接入需求，利用成熟的电力采集虚拟网，对电力网络信息内网的应用平台进行防护。其不足之处在于对于无线专网而言如此接入的安全性还有所不足。

技术实现要素：

本发明的一个目的在于解决上述现有技术存在的无线专网缺乏具体接入防护政策的问题，提供了一种lte电力专网安全防护方法。

本发明解决其技术问题所采用的技术方案是：一种lte电力专网安全防护方法，采用三层安全加密，第一层为接入安全层，用于保护终端与基站间的空口信令和数据的安全，实现空口信令的完整性保护和加解密，以及数据的加解密；第二安全层用于保护终端与核心网间的aka过程和非空口信令的安全，实现双向鉴权和非空口信令的完整性保护和加解密；第三安全层用于终端间的端到端加密，利用网络透明信道传输实现用户业务数据的全程加密；

所述第一安全层和第二安全层的密钥独立生成、互不相同，两层均采用完整性保护和加密双重技术；所述第三安全层采用支持端到端密码设备，保障端到端安全。

本发明建立了一套针对无线专网的安全网络架构体系，实现业务层的横向物理隔离和应用层的逻辑隔离，纵向双向多层认证，层层加密，不留薄弱环节的特点，满足重点行业物联网接入的安全要求，具有终端防复制特点，防攻击能力，完全具有重点行业物联网对外界威胁的防御、识别、解除攻击的能力，成为打造面向重点行业无线专网的安全护盾。

进一步地，所述终端包括业务终端与通信终端，所述业务终端与通信终端之间进行mac地址绑定、imei和imsi绑定。

本发明中，通过mac、imei和imsi绑定实现一种空口上安全传输lte用户imsi的方法和系统，其目的在于在不改变lte网络架构和安全架构、对lte网络影响最小化的情况下，完全避免在空口上传输imsi泄漏被识别，同时还要适应不同基站和不同终端对imsi安全传输的不同支持能力。

进一步地，还设有通道层和业务层，所述通道层用于实现通信终端与核心网间的双向认证和加密；业务层用于实现业务终端与业务主站间安全接入区的双向认证和加密。

本发明中，两层认证方式确保行业物联网的接入安全。在通信终端至核心网、业务终端至业务主站间设置二层双向认证与加密，解决了因单层端到端双向认证带来的已破解的问题，非法用户即使通过其他途径模仿业务特性成功，但在核心网中双向认证未成功，核心网将对数据进行拦截，确保重点行业业务的安全。

进一步地，在核心网设备侧部署有若干用于承载不同业务的核心网设备或板卡，实现不同业务间的物理隔离；业务数据在基站与核心网之间通信采用ipsec加密传输。

进一步地，所述终端配置有用于确保通信安全鉴别的终端签约，终端经过终端签约后取得与核心网通信的权限。

进一步地，所述终端签约的信息包括imsi、qci、终端最大上行速率、终端最大下行速率、终端静态ip、主站ip、主站端口、频谱感知指示和所属业务区标识。

进一步地，所述核心网通过专线通道进入电力有线传输网，所述专线通道上配置不同sdh板块负载不同业务实现物理隔离，并通过apn或vpn根据不同业务配置不同vpn通道，实现业务之间逻辑隔离。

进一步地，所述终端采用esim方案，卡号信息固化在终端存芯片储卡内，包含接口模块、可控存储区、存储控制器和附加控制器；附加控制器根据建立fcp信息指令，以名称为索引建立目录fcp信息和文件fcp信息；根据待处理文件的名称获取其fcp信息，解析待处理文件的fcp信息获得安全条件及安全算法；根据权限验证指令判断是否满足安全条件，在确定满足安全条件时，利用安全算法对待处理文件包含的数据进行保护，获得安全保护后的数据，输出安全保护后的数据至存储控制器；确定不满足安全条件是，拒绝进行操作。

本发明中，采用esim方案能够提高无线专网及行业终端的安全性和灵活性。

进一步地，所述终端与基站之间采用空口完整性保护，基站对终端的无线频谱进行保护，避免干扰。建立开户数据库，记录详细的终端、基站、核心网信息，全部数据进行加密保护。终端向核心网发起入网验证请求；核心网对终端发送身份验证鉴权许可，向开户数据库进行终端身份验证，核实终端身份的合法性，合法终端侧核心网对终端进行认证成功回复。

本发明，设计上在通信终端至核心网、业务终端至业务主站间设置二层双向认证与加密，解决了因单层端到端双向认证带来的已破解的问题，非法用户即使通过其他途径模仿业务特性成功，但在核心网中双向认证未成功，核心网将对数据进行拦截，确保重点行业业务的安全。

本发明的实质性效果：本发明整体满足电网安全防护相关政策要求，空间实现无线频率的物理隔离，关键业务提供独立通道和优先级设计，由独立设备/板卡分开处理；网元间采取多层次加密、鉴权及完整性保护措施，大大提升了电力无线专网的安全性和稳定性。

附图说明

图1为本发明的一种三层加密系统示意图。

图2为本发明的一种终端安全设计示意图。

图3为本发明的一种系统端到端双向认证。

图4为本发明的一种无线空口认证示意图。

具体实施方式

下面通过具体实施例，并结合附图，对本发明的技术方案作进一步的具体说明。

一种lte电力专网安全防护方法，采用三层安全加密，如图1所示，第一层为接入安全层，用于保护终端与基站间的空口信令和数据的安全，实现空口信令的完整性保护和加解密，以及数据的加解密；第二安全层用于保护终端与核心网间的aka过程和非空口信令的安全，实现双向鉴权和非空口信令的完整性保护和加解密；第三安全层用于终端间的端到端加密，利用网络透明信道传输实现用户业务数据的全程加密；第一安全层和第二安全层的密钥独立生成、互不相同，两层均采用完整性保护和加密双重技术；第三安全层采用支持端到端密码设备，保障端到端安全。数据信息通过其他途径发生泄漏后，被非法用户获取，避免信息被识别，需要对数据信息加密。lte系统基于lte标准加密机制，采用三层安全加密体系，实现了鉴权、空口加密、nas信令加密和端到端加密，从而满足系统安全传输的需要。同时，系统支持双向认证与密钥协商机制，可有效避免非法用户接入lte系统。

电力无线专网的组成包括终端、基站、核心网设备、网管设备等，基站通过时域、频域分离实现业务物理隔离；电力传输网侧采用otn专线或公网vpn传输不同电力业务，基站侧、核心网侧和电力光传输网侧中都采有安全措施，在基站和核心网采用物理隔离，电力光传输网采用vpn隔离加密。

为确保通信安全，采用物理隔离方式是最为直接和最为有效的方式。在有线通信方式通常是物理传输载体上和物理存储上实现隔离。无线通信方式相对有线通信有其特有的传导载体-微波，因此在物理隔离上为在空间接口段，通过时域和频域分离方式实现不同业务使用不同的频点的物理隔离；不同业务指定不同的频点资源，实现业务物理隔离。同时采用不同时隙对资源进行调度分配，达到信息不被捕获。在无线基站中以不同的频率、时隙实现物理隔离，不同的传输单板分离不同业务使用独立的业务通道传输，保证了各独立业务个体间的安全。

终端包括业务终端与通信终端，业务终端和通信终端作为重点行业物联网无线接入网的前端设备，在系统网络中处于前哨位置，终端被复制将是非法用户首选的手段，在网络源头防止合法终端被窃取后，被黑客利用于攻击网络，因此本发明在业务终端与通信终端之间进行mac地址绑定、imei和imsi绑定，保证用户无法篡改，如图2所示。通过软件实现mac、imei和imsi绑定，实现一种空口上安全传输lte用户imsi的方法和系统，其目的在于在不改变lte网络架构和安全架构、对lte网络影响最小化的情况下，完全避免在空口上传输imsi泄漏被识别，同时还能适应不同基站和不同终端对imsi安全传输的不同支持能力。

如图3所示，还设有通道层和业务层，通道层用于实现通信终端与核心网间的双向认证和加密；业务层用于实现业务终端与业务主站间安全接入区的双向认证和加密。在通信终端至核心网、业务终端至业务主站间设置二层双向认证与加密，解决了因单层端到端双向认证带来的已破解的问题，非法用户即使通过其他途径模仿业务特性成功，但在核心网中双向认证未成功，核心网将对数据进行拦截，确保重点行业业务的安全。

核心网设备不仅承担着数据的处理同时也是信令发出处理的核心，作为无线专网的核心设备，处于无线专网数据接入和行业企业网的过度位置，面临的安全问题是也是最为核心的。为保证不同业务与功能的安全隔离，在核心网设备侧部署有若干用于承载不同业务的核心网设备或板卡，实现不同业务间的物理隔离；业务数据在基站与核心网之间通信采用ipsec加密传输。

终端配置有用于确保通信安全鉴别的终端签约，终端经过终端签约后取得与核心网通信的权限。终端签约系统是对签约信息的集中管理系统，实现对终端签约数据的管理，包括创建、删除、查询、修改终端签约数据功能。终端签约数据是指为终端配置允许的业务种类。终端签约的信息包括imsi、qci、终端最大上行速率、终端最大下行速率、终端静态ip、主站ip、主站端口、频谱感知指示和所属业务区标识。

核心网通过专线通道进入电力有线传输网，专线通道上配置不同sdh板块负载不同业务实现物理隔离，并通过apn或vpn根据不同业务配置不同vpn通道，实现业务之间逻辑隔离。核心网设备还具有对电力协议识别过滤的功能，基于硬件芯片的业务层数据安全加密对所有数据进行过滤识别，对电力09、103、104规约进行识别和认证，一旦发现非电力规约数据，将进行重点审查，发现可疑数据将对数据进行隔离处理。提前防御、识别非法入侵，避免不安全数据进入电力生产控制大区和管理信息大区，确保数据流的安全性，对存在威胁的数据进行截断处理，提升业务安全水平。

终端采用esim方案，卡号信息固化在终端存芯片储卡内，包含接口模块、可控存储区、存储控制器和附加控制器；附加控制器根据建立fcp信息指令，以名称为索引建立目录fcp信息和文件fcp信息；根据待处理文件的名称获取其fcp信息，解析待处理文件的fcp信息获得安全条件及安全算法；根据权限验证指令判断是否满足安全条件，在确定满足安全条件时，利用安全算法对待处理文件包含的数据进行保护，获得安全保护后的数据，输出安全保护后的数据至存储控制器；确定不满足安全条件，拒绝进行操作。

如图4所示，终端与基站之间采用空口完整性保护，基站对终端的无线频谱进行保护，避免干扰。建立开户数据库，记录详细的终端、基站、核心网信息，全部数据进行加密保护。终端向核心网发起入网验证请求；核心网对终端发送身份验证鉴权许可，向开户数据库进行终端身份验证，核实终端身份的合法性，合法终端侧核心网对终端进行认证成功回复。

需要说明的是，终端可指各种类型的装置，包括但不限于无线电话、蜂窝式电话、膝上计算机、多媒体无线装置、无线通信个人计算机卡、个人数字助理、外部或内部调制解调器等。终端可以为任何由无线信道和/或经由有线信道（例如，光纤或同轴电缆）与服务器通信的数据装置。终端可具有多种名称，例如移动台、移动装置、移动单元、移动电话、远程站、远程终端机、远程单元、用户装置、用户设备、手持式装置等。不同终端可并入一个系统中，终端可为移动的或固定的，且可分散遍及一个通信系统。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围情况下，都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的范围内。