[发明专利]一种LTE电力专网安全防护系统

权利要求书

1.一种LTE电力专网安全防护系统，其特征在于，包括：

第一安全接入模块；

所述第一安全接入模块包括空口信令完整性保护单元、第一加密单元和第一解密单元；所述空口信令完整性保护单元用于保护终端与基站间空口信令的安全；

所述第一加密单元和第一解密单元用于对终端与基站间所传输数据进行加解密，确保所有数据在传输过程中都是被加密的，必须通过第一解密单元才能获得数据信息，保护数据安全；

第二安全接入模块；

所述第二安全接入模块包括双向鉴权单元、非空口信令完整性保护单元、第二加密单元和第二解密单元；所述双向鉴权单元用于保护终端与核心网网络侧间的通信安全，终端通过双向鉴权单元向核心网发送入网验证请求，若通过验证则核心网通过双向鉴权单元向终端发送认证成功回复；所述非空口信令完整性保护单元用于保护终端与核心网间非空口信令安全；第二加密单元和第二解密单元用于对终端与核心网间所传输数据进行加解密，确保所有数据在传输过程中都是被加密的，必须通过第二解密单元才能获得数据信息，保护数据安全；

所述第一加密单元和第二加密单元的密钥独立生成、互不相同；

所述第一安全接入模块和第二安全接入模块均采用完整性保护和加密双重技术；以及

第三安全接入模块；

所述第三安全接入模块包括支持终端间的端对端加密模块，用于保障端对端安全。

2.如权利要求1所述的一种LTE电力专网安全防护系统，其特征在于，经第一加密单元加密的数据包括一命令认证标志，所述命令认证标志为具有唯一性的时间戳；

所述终端接收到来自基站数据时，如果该数据用于命令认证标志的时间戳与基站发送命令报文时的时间不一致，则表明该命令报文已经过期，终端将接收到的命令报文丢弃；如果该数据用于命令认证标志的时间戳与基站发送命令报文时的时间一致，则通过第一解密单元获得数据信息；

所述基站接收到来自终端数据时，如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间不一致，则表明该命令报文已经过期，基站将接收到的命令报文丢弃；如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间一致，则通过第一解密单元获得数据信息。

3.如权利要求1所述的一种LTE电力专网安全防护系统，其特征在于，经第二加密单元加密的数据包括一命令认证标志，所述命令认证标志为具有唯一性的时间戳；

所述终端接收到来自核心网数据时，如果该数据用于命令认证标志的时间戳与核心网发送命令报文时的时间不一致，则表明该命令报文已经过期，终端将接收到的命令报文丢弃；如果该数据用于命令认证标志的时间戳与核心网发送命令报文时的时间一致，则通过第二解密单元获得数据信息；所述核心网接收到来自终端数据时，如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间不一致，则表明该命令报文已经过期，核心网将接收到的命令报文丢弃；如果该数据用于命令认证标志的时间戳与终端发送命令报文时的时间一致，则通过第二解密单元获得数据信息。

4.如权利要求1所述的一种LTE电力专网安全防护系统，其特征在于，所述终端包括业务终端与通信终端，所述业务终端与通信终端之间进行MAC地址绑定、IMEI和IMSI绑定。

5.如权利要求2或3或4所述的一种LTE电力专网安全防护系统，其特征在于，所述终端配置有用于确保通信安全鉴别的终端签约单元，终端经过终端签约单元进行终端签约后取得与核心网通信的权限。

6.如权利要求5所述的一种LTE电力专网安全防护系统，其特征在于，所述终端签约的信息包括IMSI、QCI、终端最大上行速率、终端最大下行速率、终端静态IP、主站IP、主站端口、频谱感知指示和所属业务区标识。

7.如权利要求1所述的一种LTE电力专网安全防护系统，其特征在于，所述第三安全接入模块采用多种安全技术和措施，保障端到端安全，具体包括：支持端到端密码设备，包括商密级SD加密卡、密钥分发中心以及中心站密码机，以实现端到端安全；采用专利密码同步技术，提供每一帧数据的网络同步计数码；终端加密状态可视化，提供图标指示加密状态；支持用户型第三方端到端密码设备。