[发明专利]一种终端通信网的安全接入平台及其实现方法

说明书

本发明公开了一种终端通信网的安全接入平台及其实现方法，能够实现终端设备在终端通信网的安全可靠高效的接入；实现终端通信接入网跨区业务的统一安全接入。本发明公开的一种终端通信网的安全接入平台包含：终端设备：终端设备产生业务应用数据且包含终端安全模块，通过终端安全模块对终端通信网的接入层的数据加解密；终端通信公共接入装置：终端通信公共接入装置负责建立安全通道和对终端进行访问控制，保证接入传输的安全和内部被访问的应用系统的安全；数据交换组件：作为业务数据解析的硬件设备，用于网络数据的解析和筛选工作；终端通信公共接入管理系统：对终端安全模块、终端通信公共接入装置、数据交换组件的状态进行统一监控。

技术领域

本发明专利涉及一种针对电力终端通信接入网的安全防护及其实现方法，尤其涉及的是10kV接入网和0.4kV接入网下终端接入业务网络时的身份认证、加密及访问控制等安全加固的实现原理及方法。

背景技术

现有终端接入网防护技术如下：

终端通信接入网采用的主要技术包括EPON、工业以太网、电力线载波通信、无线通信等，由于EPON使用点到多点的树状拓扑结构，下行数据传输采用广播方式，存在窃听、假冒和拒绝服务等安全威胁。针对此类威胁，信息产业部颁发了“接入网技术要求—EPON系统互通性要求”要求采用三重搅动算法作EPON加密标准。

三重搅动的机制是对OLT的下行广播进行加密保护，不同的ONU具有不同的加密密钥，称为搅动键。搅动键是从ONU上行用户数据中提取出来的3个字节数据和3个字节随机产生数的异或相加的结果，三重搅动的实际密钥为长度为48比特，密钥总数为248比特，国内主流EPON设备商均具备三重搅动算法支持能力，该功能部署相对容易，不需要增加额外的硬件设备。

现有终端接入网防护技术的缺点如下：

三重搅动不能分开跨区业务数据，现网设备大部分不具备三重搅动功能，要具备三层搅动功能无法直接升级软件，需要更换设备。

现有的网络隔离技术如下：

对于EPON技术,不加安全模块肯定不能实现大区的隔离，EPON下行采用点到多点的物理拓扑结构，下行物理信号都能被其他ONU监听。

对于以太网技术，拓扑结构不论是星型或环形，链路两端都是点到点的结构，从物理层上，不存在EPON的监听风险，交换机除广播报文外，不会以广播方式发送到不相关的端口。

通道安全模块针对接入的数据进行加解密，并在加密的数据中添加安全区标识(或以整体规划的终端设备IP网络地址，或物理地址与IP地址的组合为安全区标识)，解密后依据安全区标识进行转发，可以在前述情况发生时保证不同安全区数据不通：

(1)无论VLAN配置怎样被篡改，终端数据经过加解密流程后不同安全区的数据对应的标识不会改变，合法的数据可以转发，非法的数据被屏蔽；

(2)非法数据接入通信网络的任何接口，无法通过解密流程产生正确的安全区标识，将被屏蔽；接入安全模块的不具备合法标识的非法数据没有正确的安全区标识，在经过加解密流程后被屏蔽；

对接入安全模块的非法模终端数据标识数据，可以通过预先的认证系统在接口进行屏蔽，认证策略包括基于地址与物理端口绑定的策略，安全区标识唯一性的策略等；

(3)非法数据即使包含合法VLAN标签，由于不具备合法安全区标识也将被屏蔽。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种终端通信网的安全接入平台及其实现方法，其能够实现终端设备在终端通信网的安全可靠高效的接入；实现终端通信接入网跨区业务的统一安全接入。

为了达到上述目的，本发明公开的一种终端通信网的安全接入平台采用以下技术方案予以实现：