[发明专利]一种LTE电力专网安全防护方法

说明书

本发明涉及一种LTE电力专网安全防护方法，采用三层安全加密，第一层为接入安全层，用于保护终端与基站间的空口信令和数据的安全，实现空口信令的完整性保护和加解密，以及数据的加解密；第二安全层用于保护终端与核心网间的AKA过程和非空口信令的安全，实现双向鉴权和非空口信令的完整性保护和加解密；第三安全层用于终端间的端到端加密，利用网络透明信道传输实现用户业务数据的全程加密。本发明整体满足电网安全防护相关政策要求，空间实现无线频率的物理隔离，关键业务提供独立通道和优先级设计，由独立设备/板卡分开处理；网元间采取多层次加密、鉴权及完整性保护措施，大大提升了电力无线专网的安全性和稳定性。

技术领域

本发明涉及无线通信、信息安全领域，特别涉及一种LTE电力专网安全防护方法。

背景技术

随着我国工业化和信息化的深度融合以及快速发展，信息化正在和各个行业进行快速融合、渗透。工业控制系统面临的信息安全问题日益严重，数据资产已经成为企业中最重要的资产。安全是保证电力可靠、持续稳定的基础保障，为保证能源和基础设施行业控制系统的安全稳定运行，需要建立有针对性的安全防护体系。

依据发改委第14号令《电力监控系统安全防护规定》和能源局2015年36号文件《电力监控系统安全防护总体方案》对电力监控系统和电力通信网的安全进行了总体设计，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，对电力无线专网进行安全防护设计。避免电力通信受外界黑客和病毒的入侵，避免重大的安全隐患和重大的经济损失。14号令及36号文件分别针对无线公网、有线专网给出具体的安全接入防护政策，但是没有针对无线专网的具体措施，需要依据实际业务需求，进行设计和实现。

中国专利公开号CN 106992984A，公开2017年4月1日，发明创造的名称为一种基于电力采集网的移动终端安全接入，该申请案公开了一种基于电力采集虚拟网的移动终端接入电力信息内网的方法，满足各种移动终端（平板电脑、PDA、智能手机等）访问电力企业信息内网的安全接入需求，利用成熟的电力采集虚拟网，对电力网络信息内网的应用平台进行防护。其不足之处在于对于无线专网而言如此接入的安全性还有所不足。

发明内容

本发明的一个目的在于解决上述现有技术存在的无线专网缺乏具体接入防护政策的问题，提供了一种LTE电力专网安全防护方法。

本发明解决其技术问题所采用的技术方案是：一种LTE电力专网安全防护方法，采用三层安全加密，第一层为接入安全层，用于保护终端与基站间的空口信令和数据的安全，实现空口信令的完整性保护和加解密，以及数据的加解密；第二安全层用于保护终端与核心网间的AKA过程和非空口信令的安全，实现双向鉴权和非空口信令的完整性保护和加解密；第三安全层用于终端间的端到端加密，利用网络透明信道传输实现用户业务数据的全程加密；

所述第一安全层和第二安全层的密钥独立生成、互不相同，两层均采用完整性保护和加密双重技术；所述第三安全层采用支持端到端密码设备，保障端到端安全。

本发明建立了一套针对无线专网的安全网络架构体系，实现业务层的横向物理隔离和应用层的逻辑隔离，纵向双向多层认证，层层加密，不留薄弱环节的特点，满足重点行业物联网接入的安全要求，具有终端防复制特点，防攻击能力，完全具有重点行业物联网对外界威胁的防御、识别、解除攻击的能力，成为打造面向重点行业无线专网的安全护盾。

进一步地，所述终端包括业务终端与通信终端，所述业务终端与通信终端之间进行MAC地址绑定、IMEI和IMSI绑定。

本发明中，通过MAC、IMEI和IMSI绑定实现一种空口上安全传输LTE用户IMSI的方法和系统，其目的在于在不改变LTE网络架构和安全架构、对LTE网络影响最小化的情况下，完全避免在空口上传输IMSI泄漏被识别，同时还要适应不同基站和不同终端对IMSI安全传输的不同支持能力。