电力系统中基于无线LTE网络方式的安全接入

来源 :科技信息·中旬刊 | 被引量 : 0次 | 上传用户:sheishei
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘要:电力行业对无线专网的应用需求出发,分析基于 LTE 技术电力无线专网系统架构及其与无线公网的差异性,研究 LTE无线专网面临的安全风险和应对措施,结合电力无线技术政策,分析 LTE 无线专网的技术适用性,为电力无线通信网络建设提供参考。目前,电力行业在无线专网技术方面还存在标准规范不完善、频谱资源不统一、运维力量不足等问题,很大程度上制约了 LTE 无线专网技术的规模化应用。因此, LTE 技术在电力行业的应用,宜采取“租用为主、小规模试点”的策略稳步推进。
  关键词:电力无线专网; LTE; 安全防护; 端到端安全
  1.网络架构与公网差异性研究
  LTE 系统由通信终端、基站、核心网等三部分组成,核心网内根据其承担的通信功能不同又划分为移动管理实体、服务网关、分组数据网网关、归属签约服务器等多个设备。通信终端通过以太网口等形式与配用电业务终端连接,负责将来自业务终端的数据经空中接口协议逐层处理后发送往基站、将来自基站发往业务终端的数据经接收处理后提交给业务终端。通信终端内需插入全球用户识别卡(USIM),USIM 卡中存储用户的根密鑰、签约数据、用户的号码等信息。基站负责控制通信终端在空口的数据传输,给终端分配通信信道资源。核心网负责用户鉴权、终端与核心网间会话的管理、终端移动性管理等功能。终端与基站间通过 Uu 接口通信,基站与基站间通过 X2 接口建立传输链路。基站通过传输网 S1 接口与核心网连接。核心网由多个设备组成,设备间通过 S11、S6a、S5 等标准接口传送相关控制信令或数据。LTE 无线专网在工作频段、网络组织、设备功能和设备形态等方面,与公网存在一定差异性。
  2.LTE 无线专網安全风险分析
  ITU-T X. 800 协议和 ITU-T X. 805 协议定义了五类基本的安全威胁类型,分别为: 破坏信息及其他资源; 讹用或篡改信息; 盗窃或删除信息及其他资源; 泄露信息; 中断业务。LTE 无线专网由于网络及设备的专用,对上述威胁的安全性保障优于公网; 然而,电力及无线系统自身的特殊性使得 TD-LTE 无线专网依然面临着一些特有的安全风险。
  2. 1 无线信道的开放性和广播性
  区别于有线信道,无线信道自身的开放及广播特性,导致无线信号易被窃听、截获、篡改。
  2. 2 无线网络的共享特性
  区别于有线网络中不同安全等级业务组成不同的物理网络(如调度数据专网),无线网络中不同安全等级的业务共享一个物理网络,仅能通过逻辑区分,易导致不同业务终端串访。
  2. 3 无线终端的移动及开放特性
  区别于有线终端的固定及相对封闭,无线终端移动性较高,存在被盗窃、丢失的风险,易导致非法终端接入(终端威胁)或合法终端接入非法基站(伪基站风险)。
  3. LTE无线专网安全风险防范关键技术研究
  TD-LTE 无线专网面临的安全风险主要来自通信终端、空中接口、基站、核心网四个方面。通信终端风险主要表现为非法 USIM 卡接入和非法终端接入;空中接口风险是指空中无线电信号被截获、篡改;基站风险主要是通过伪基站诱骗用户接入,从而控制用户行为;核心网风险主要表现为通过访问网管窃取用户信息。TD-LTE 采用了用户身份安全、双向认证、加密和完整性保护等安全防护机制来提高网络的安全能力。
  3.1 用户身份安全
  TD-LTE 系统采用临时身份标识和加密永久身份标识两种机制来保护用户身份。临时身份标识指在空中接口尽可能使用一个频繁更新、临时分配的身份标识来代替永久身份标识,从而显著降低永久身份标识被空口截获的概率。加密永久身份标识指在空中接口尽可能对传送的身份标识进行加密。
  3.2 双向认证
  为了应对“非法 USIM 卡接入”、伪基站等安全风险,TD-LTE 无线网络采取双向认证方式,实现原理是在终端侧与核心网侧都保存一份与用户标识相关的密钥,在通信终端接入网络时都校验对方密钥来判断是否合法。通过网络对终端用户的认证,可以防止非法终端用户接入网络。
  4. LTE 无线专网安全风险应对措施
  4. 1 终端威胁安全防护
  引入静态 IP 地址分配,使核心网分配给全球用户识别卡 USIM 的 IP 地址与客户终端设备 CPE配置的 IP 地址绑定,同时关闭 CPE 的动态主机配置协议 DHCP,避免非法终端接入。
  4.2 业务安全防护措施
  电力业务安全防护措施针对不同大区的业务特点和安全防护要求,采用的业务安全措施也不尽相同。总体来说, 统一承载不同业务的通信网络应遵循如下安全防护措施。
  4.2.1业务主站侧安全防护
  不同大区业务系统间应采用物理隔离防护措施, 系统间需安装安全隔离装置。 业务系统主站前置机应采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施。接入网采用电力有线专网时, 其前置机应配置安全模块;当采用无线通信技术、电力企业数据网或公用数据网时,接入网与主站业务系统间需设立“安全接入区”,安全接入区由单向认证模块、 通信前置机及正反向隔离装置组成。
  4.2.2 业务子站及终端侧安全防护
  终端设备上可配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施, 防范冒充主站对终端进行攻击。为增加安全性,可配置具有双向认证加密能力的安全模块,实现主站和子站终端间的双向身份鉴别和数据加密。
  4.3空口数据窃听防护
  在无线终端及基站端部署加密算法,对终端与基站之间传输的控制信令与用户面数据的完整性和加密进行保护,防止数据被窃听/解密。   4.4 伪基站识别
  采用双向鉴权的方式,即终端与基站端建立连接时,不仅需要网络侧对终端鉴权确认其合法性,而且需要终端依据网络侧下发的数据信令的密钥口令来确认基站/网络的合法性,避免接入伪基站。
  5.LTE 无线专网端到端安全防护体系
  5. 1 防护体系架构
  “三域”分别为接入域、传输域、核心域;“三面”分别为用户平面、控制平面和管理平面;“三层”分别为设备层、网络层和业务层。针对不同域、面、层,采用相应的安全防护手段,构成完整的网络安全保护体系。
  5. 2 域安全防护机制
  5. 2. 1 接入域
  LTE 空口安全采用分層的安全机制,分为接入层(AS 层)安全和非接入层(NAS 层)安全,AS 层安全针对的是用户端 UE 和基站端eNB 之间的无线資源控制 RRC 信令和用户平面 UP数据,NAS 层安全针对的是 UE 和移动管理实体MME 之间的 NAS 信令。通过该分层安全机制,无线链路和核心网络均拥有独立的密钥。
  5. 2. 2 传输域
  LTE 无线专网的安全需求主要是保障 eNB与核心网设备之间的数据传输的安全,同时实现eNB 设备、LTE 核心网以及 LTE 传输网络三者之间的安全认证,防止对 eNB、LTE 核心网以及 LTE传输网络的非授权访问,
  6.结束语
  结合电力监控系统安全防护基本原则与配用电场景下的 LTE 无线专网架构,在分析了安全风险与防护方法的基础上, 提出了一套较为完整的针对电力LTE 无线接入专网的安全防护解决方案,重点解决涉及无线通信的安全接入、安全传输、终端自身安全以及身份认证、访问控制、数据过滤、统一监控与审计等六大类问题。在解决了面向多业务的 LTE 无线网络安全防护问题后,下一步研究方向为 LTE 无线专网所承载业务的 QoS 保障策略。
  参考文献:
  [1]龚钢军. 智能配用电通信网关键技术研究[D].华北电力大学(北京),2014.
  [2]薛佳妮. 智能配电网通信组网模式研究[D].华南理工大学,2014.
  [3]唐金锐. 电力线路在线巡视监测及故障精确定位的研究[D].华中科技大学,2014.
  [4]冯琳. 无线通信中互补序列的设计理论与应用研究[D].合肥工业大学,2014.
其他文献
摘要:本文主要针对污水处理厂提升泵存在的问题及改进技术展开了探讨,对存在的问题作了系统的分析,给出了一系列的改进技术,并阐述了实施的效果,以期能为有关方面的需要提供参考借鉴。  关键词:污水处理厂;提升泵;存在问题;改进技术  随着我国城市发展进程的加快,人们环保意识的提高,污水处理要求和排放标准日益严格。为了保证污水处理厂的稳定运行,我们必须要针对提升泵中存在的问题进行科学分析,并采取有效的技术
期刊
摘要:首先概述了高速公路机电工程施工技术与质量管理的重要性,其次分析机电工程施工技术与质量管理现状,并围绕现状不足提出了相应的改进策略,以期为机电施工管理提供参考依据。  关键词:高速公路;机电工程;施工技术;质量管理  引言  机电工程涉及面广,科学跨度大,专业特征明显,通用性较强。高速公路机电工程以满足于收费公路营运管理为主,具有系统较封闭、涉及专业多、施工工期短等特点,考验建设工程人员的实践
期刊
摘要:本文结合具体实例,从生产实际出发,从三个方面进行此次探讨:首先对自动化陶瓷生产线进行详细介绍,接着就着重对自动化陶瓷生产线过程中的标准化控制因素进行阐述,最后则就在此生产过程中设定标准化控制因素的意义进行说明。此文因结合许多理论性的资料,故有一定的理论意义,又因为是从生活中的实例出发,所以更具有普遍性的实践意义。  关键词:自动化;陶瓷生产线;标准化;控制因素  一、自动化陶瓷生产线概况  
期刊
摘要:为确保及时、准确的获取低空飞行器的运动参数和飞行动态,结合当前低空飞行服务和管控的基本需求,设计了基于雷达和光电红外等传感器进行协同监视的低空飞行保障与服务系统。充分发挥两类传感器的各自性能特点,给出了两类传感器协同探测的基本方案,设计了系统的组成、架构和基本运行机理,建立了两类传感器进行数据融合及联合跟踪的基本处理模型,在此基础上提出了了相关飞行服务保障模式,确保提供必要的低空飞行动态监视
期刊
摘要:经济的快速发展和人们对安全稳定的需求,为安防建设的发展提供了发展机遇,在现代安防领域中,专业技术不断朝高科技、高水平发展,而虚拟现实技术则是现代科技水平的集大成者,本文简要阐述了虚拟现实技术和现代安防的含义,并介绍了虚拟现实技术在现代安防领域中的应用。  关键词:虚拟现实技术;现代安防;应用  虚拟现实技术是采用以计算机技术为核心的现代高科技手段,生成形象逼真的视觉、听觉、触觉、嗅觉、味觉等
期刊
摘要:随着科学技术的不断进步,犯罪的手段也在向着技术化方面发展,为及时侦破犯罪案件,抓捕犯罪分子,应利用高科技手段来进行刑事侦查。本文将重点论述声像鉴定技术在刑事技术侦查中的作用。  关键词:声像鉴定;刑事技术侦查;作用分析  声像鉴定技术是为侦破犯罪案件而产生的一种新型侦查技术,利用犯罪分子留下的声音与影响资料,为刑侦人员提供宝贵线索,同时更为及早抓获犯罪分子提供有力的技术支持。  一、对监控视
期刊
摘要:户外燃气烤炉作为一种便捷式的烧烤设备,近几年受到了广大消费者的喜爱,但是由于燃气烤炉的某些特性,在实际使用过程中,普遍存在燃烧性能比较差、热效率比较低、污染物排放超标等安全隐患。本文对此展开探究,概述了户外燃气考虑的安全使用要求,并针对燃气燃烧污染物进行分析,最后对主要安全隐患进行层次分析,判断出户外燃气烤炉的主要危险因素在于烧烤人员的安全意识淡薄、燃气发生泄漏两个方面。  关键词:户外燃气
期刊
摘要:现代技术不断发展,为迎合电信息行业较高的信息传输需求,OTN技术普遍应用在电力信息通信传输中。OTN技术是一种现代化的信息传输技术,在促进经济发展过程中,符合人民群众对信息通信传输较高的要求。要求企业工作人员充分了解OTN技术在电力企业信息通信传输中的具体情况,搞好电力企业信息通信中OTN的各项工作,如,OTN的技术测试与组网等,紧随时代潮流,革新OTN技术,凸显信息通信傳输中OTN的技术职
期刊
摘要:近年来,随着人们生活水平日渐提升,对通信网络运行质量提出了更高要求。通信网络中,城域传送网在其中占据重要位置,但当前城域网多为传统的SDH/MSTP技术,由于分类传输业务有所差别,且各自承担维护责任,对于承载网并行维护存在一定不足,具体表现在业务分散、转换繁琐等,因此当前积极优化传送网络至关重要。而PTN、OTN技术能够有效弥补传统网络传输组网缺陷,且能够推动数据承载业务朝着智能化、IP化方
期刊
Abstract:Location data disclosure, which has three-level significant values for control and prevention of COVID-19, has achieved great success, while it triggers the internal tension between the publi
期刊