TD-LTE电力专网安全性研究

◆李剑锋

（广东翰新科技有限公司 广东 519000）

TD-LTE电力专网安全性研究

◆李剑锋

（广东翰新科技有限公司 广东 519000）

在配网通信领域，目前主要的通信方式有光纤专网和3G/4G无线公网。由于在城区开挖管道和赔偿的难度和成本很高，以及3G/4G无线公网的安全性、稳定性和可靠性欠缺，造成配网通信的覆盖率比较低。TD-LTE电力专网的高带宽、可用性和灵活性使其成为了配网通信方式的有效补充。配电侧关系到千家万户的供电稳定和安全，研究TD-LTE电力专网的安全性，具有重要的意义。

TD-LTE;电力专网;安全性

0 前言

TD-LTE电力专网实现智能电网架构包括业务管理层、系统设备及传输层和终端接入层三部分。

各终端接入层通过无线空中接口与基站互联，基站通过电力系统光纤通信专网建立与业务管理层的联系。

1 TD-LTE的安全策略

LTE网络的安全分为5个域：网络接入安全，网络域安全，用户域安全，应用域安全和安全服务的可视性和可配置性。

1.1 网络接入安全

身份隐私性：无线终端可以采用LTE网络的临时身份标识（GUTI）机制来隐藏终端的永久身份标识，防止攻击者获取终端的永久身份，对终端进行跟踪。

鉴权：LTE网络采用EPS AKA鉴权机制，可以实现终端和网络侧的双向鉴权。支持LTE网络对终端的鉴权，保证LTE终端是电力公司授权的合法终端，只有合法终端才能接入电力专网网路。支持终端对LTE网络的鉴权,防止攻击者伪造成LTE网络哄骗合法终端接入网络,保证合法终端只会向合法网络上报数据。

传输安全：LTE网络的网络接入安全可以分为两层，AS层安全（UE和eNB之间）和NAS层安全（UE和MME之间）。其中AS层安全可以对空口上RRC信令提供完整性保护和机密性保护，对空口上数据提供机密性保护，从而保证空口上RRC信令以及数据的安全传递。NAS层安全可以对NAS信令提供整性保护和机密性保护，从而保证NAS信令的安全传递。LTE采用了安全性较高的AES（Advanced Encryption Standard）算法和SNOW 3G算法，其中AES算法采用的是128位块加密，SNOW 3G算法采用的128位流加密。

1.2 网络域安全

LTE中将网络域划分不同的安全域，使用NDS/IP的方式（IKE＋IPsec）保护网络域，不同的网络域之间通过安全网关（SEG）进行连接。

在同一个信任环境中部属的电力专网中各个节点，可以将安全集中在一个独立的设备（即信任域边界的SEG）上。NDS/IP安全机制可以采用基于预共享密钥和证书等的方式来建立IPsec安全通道，实现不同安全域之间的安全连接。

考虑到网络的攻击方法及手段的多样性，为了弥补防火墙的不足，LTE系统可以部署入侵检测系统IDS（Intrusion Detection System），实时监控网络资源，精确识别各种入侵攻击，并基于安全策略进行实时上报和处理，对网络安全提供动态防御和实时保护，减少入侵带来的损失。

1.3 用户域安全

LTE网络的用户域由终端设备和UICC卡组成，用户域安全可以保证合法的UICC卡插到合法的设备上，也可以保证只有授权的UICC卡可以插入到设备上，防止攻击者偷窃签约了特殊资费的UICC卡，并将他们插入其他设备进行其他业务。可以采用安全通道、PIN码配对等方式实现用户域安全。

1.4 应用域安全

LTE网络的应用域安全可以保证终端设备和网络侧应用服务器（例如，电网控制平台）之间端到端的安全保护，防止网络中间结点获取用户数据。可以采用GBA、GBA Push等安全机制。

1.5 安全服务的可视性和可配置性

电网可以为不同的用户提供不同等级的安全，或者这些安全机制对用户可视，用户可以根据自己的需求选择安全。

2 TD-LTE电力专网的安全性措施

2.1 二次安全防护

南方电网配电自动化系统安全防护方案中明确要求通过有效的加密措施保障通信过程的安全性，并禁止通过公网传输方式的配电网接入调度数据网。目前多数配网自动化系统数据采集方式仍采用101协议或104协议，为加强配网自动化等业务的安全可靠性，防止恶意攻击者对配电终端发起恶意遥控、遥迢命令，伪造终端发送虚假遥测、遥信信息，造成大规模停电，配电网安全防护在技术层面上应遵循配电终端和主站系统端到端的安全防护原则，采用双向认证和加密技术保证通信数据传输过程的机密性、完整性及真实性的保护，抵御外部人员对调度监控系统发起的恶意破坏和攻击，提高主站、子站及数据网络的安全防护强度。同时在管理方面应加强配电终端的物理防护，加强定期巡检，防止非技术因素造成的破坏。

根据南方电网配网自动化系统安全防护规定的要求，TD-LTE电力专网采用“网络隔离、身份认证、传输加密、权限受控”的措施来进行公网安全防护，具体如下：

（1）将配电自动化系统主站内网与传输配电数据的公网进行网络隔离。

（2）在通信通道建立的过程中进行基于调度数字证书的身份验证。

（3）所有通信数据采用密文传输，保证数据的机密性、完整性、不可否认性。

（4）对传输数据的相关权限可以根据策略进行控制。

图1 配网二次安全防护架构图

2.2 无线网络安全加强

电力无线网络的安全威胁主要来自于以下几个方面：电力信息业务及用户隐私的关键信息外泄; 非法电力控制信号下发; 外界因素导致的网络受损。

面对以上的网络安全威胁，需要为电力专网引入更先进的安全机制来规避风险，并配备足够周全的安全策略来应对风险。LTE制式中先进的安全机制，独特的双层安全架构和流程可以有效抵抗非法访问和网络攻击导致的数据外泄和非法电力信号传输。LTE的安全架构将安全系统分为四个平面：无线平面、传输平面、eNodeB设备平面和操作维护平面。

（1）无线平面安全

无线安全提供eNodeB和UE之间无线接口的机密性和完整性，通过无线平面安全机制保证无线安全，其中主要措施包括：无线加密、完整性保护以及密钥管理，以下分别进行说明。

无线加密：通过加密算法将明文数据转换为密文数据，保证数据不被泄露，对于LTE控制面数据（信令）和用户面数据都被将被加密保护。无线加密功能包括加密和解密两部分，而加密和解密两部分功能均在在PDCP层进行处理。

完整性保护：通过完整性算法以保证数据不被篡改，在LTE网络中只有控制面数据被完整性保护，在无线PDCP层处理。在完整性保护业务流程中，由RRC配置完整性保护算法和完整性保护密钥。完整性保护功能包括完整性保护和完整性验证，分别由发送方和接收方实现。

密钥管理：无线加密过程和完整性保护过程中，密钥是重要输入之一。加密和完整性保护共有三种密钥：RRC信令完整性保护密钥、RRC信令加密密钥和用户面数据加密密钥。为了保证正确加解密和验证完整性，UE和eNodeB侧的密钥需要保证一致。同时，为了确保密钥的安全，不能通过Uu接口直接发送密钥，而是在UE和eNodeB中分别派生。

（2）传输平面

由于电力专网的传输回传网络均利用现有电力内部的光纤环网，因此安全性完全依赖于电力光纤网络的安全机制保证。

（3）设备平面和操作维护平面

设备和操作维护安全的目标是提供设备和操作维护平面的安全，解除设备和操作维护通道所受到的威胁。设备安全提供了对设备本身的保护，主要包括物理安全，简单防火墙功能和安全环境。操作维护安全包括用户认证和访问控制，日志和安全告警，操作维护通道安全和系统安全。

3 结束语

TD-LTE网络从无线、传输以及设备和操作维护层面进行完整考虑，无论从协议健壮性或是设备可靠性上来分析，均较传统的无线通信技术在安全性技术上有了较大的提升，可满足电力专网的各种应用需求。