[发明专利]一种终端通信网的安全接入平台及其实现方法

权利要求书

1.一种终端通信网的安全接入平台，所述终端通信网包含主站层、传输层和接入层；所述主站层包含有管理信息大区和生产控制大区；其特征在于：所述安全接入平台包含：

-终端设备：终端设备产生业务应用数据且包含终端安全模块，通过终端安全模块对终端通信网的接入层的数据加解密；

所述终端安全模块使用安全通信协议与终端通信公共接入装置建立安全通道；终端安全模块通过与终端通信公共接入装置进行密钥交换算法、数据加密算法以及数据完整性检查算法的协商、客户端和服务端的双向认证以及确定会话密钥，建立安全通道，防止数据在传输过程中被窃听、篡改、破坏、插入重放攻击，保证数据传输的安全；

-终端通信公共接入装置：终端通信公共接入装置负责建立安全通道和对终端进行访问控制，保证接入传输的安全和内部被访问的应用系统的安全；

终端通信公共接入装置对所述的终端设备的身份进行身份认证；终端通信公共接入装置控制所述终端设备在连入内网的同时断开与公网的连接；所述的身份进行身份认证的认证方式大于两种；

-数据交换组件：作为业务数据解析的硬件设备，用于网络数据的解析和筛选工作；

-终端通信公共接入管理系统：对终端安全模块、终端通信公共接入装置、数据交换组件的状态进行统一监控，对业务通道策略进行配置管理。

2.如权利要求1所述的一种终端通信网的安全接入平台，其特征在于：所述终端设备设置在终端通信网的接入层；所述终端通信公共接入装置和数据交换组件设置在终端通信网的传输层和主站层之间；所述终端通信公共接入管理系统设置在主站层的管理信息大区内。

3.如权利要求1所述的一种终端通信网的安全接入平台，其特征在于：所述终端安全模块通过安全通信协议与终端通信公共接入装置建立双向加密隧道保障数据传输安全；终端通信公共接入装置以数字证书系统为基础对终端设备身份进行认证和接入仲裁；数据交换组件在主站层边界处通过安全通道实现以信息流为单位的数据内容解析；

终端通信公共接入管理系统包括终端注册信息管理、终端及安全设备运行监控管理和安全行为审计管理；终端通信公共接入管理系统通过与公共接入平台各模块的管理接口连接。

4.一种终端通信网的安全接入平台的实现方法，其特征在于：采用如权利要求1-3任一所述的安全接入平台执行如下步骤：

(1)终端通信公共接入装置通过总线通讯，将公共接入装置自身设备、接入服务和接入终端的基础信息存储至终端通信公共接入管理系统的数据库中；

(2)终端通信公共接入管理系统读取数据库中的内容，经过计算分析，通过网页形式展示公共接入平台的设备信息和接入情况；

(3)终端通信公共接入管理系统根据国网IMS提供的接口规范，读取数据库中的内容，汇总上报至IMS服务器；

(4)终端通信公共接入管理系统通过分析公共接入装置传入的相关参数，检查接入终端身份的合法性，保护接入终端不被仿冒。

5.如权利要求4所述的实现方法，其特征在于：所述步骤(3)中的IMS服务器为国家电网公司的IMS服务器。

6.如权利要求4所述的实现方法，其特征在于：终端设备接入至所述安全接入平台的流程如下：

S1：终端设备接入无线专网或者有线专网；

S2：专用通道建立成功；

S3：终端设备向终端通信公共接入装置提交终端证书，申请接入公共接入平台；

S4：终端通信公共接入装置验证终端证书，成功后，返回服务端证书；

S5：终端设备验证服务端证书；

S6：终端设备向终端通信公共接入装置请求验证终端身份；

S7：终端通信公共接入装置向终端通信公共管理系统转发申请；

S8：终端通信公共管理系统验证终端身份；

S9：终端通信公共管理系统向终端通信公共接入装置返回验证结果；

S10：身份验证成功后，终端通信公共接入装置向终端设备返回结果；

S11：终端设备根据验证结果，与终端通信公共接入装置进行密钥协商；

S12：终端设备与终端通信公共接入装置建立安全隧道；

S13：终端设备发送加密后的业务数据至终端通信公共接入装置；

S14：终端通信公共接入装置解密后，转发至数据交换组件；

S15：数据交换组件根据业务解析明文数据，符合业务检查条件的明文数据将发送至业务系统；

S16：业务系统返回明文数据至数据交换组件；

S17：数据交换组件根据业务解析明文数据，符合业务检查条件的明文数据将发送至终端通信公共接入装置；

S18：终端通信公共接入装置将明文数据加密后，返回至终端设备。