本發(fā)明涉及信息安全技術領域，特別是一種電力VoLTE業(yè)務的安全接入方法和裝置。

背景技術：

隨著智能電網(wǎng)建設的深入推進，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、下一代互聯(lián)網(wǎng)等信息通信新技術正加速應用到電網(wǎng)各環(huán)節(jié)，同時業(yè)務模式不斷創(chuàng)新、新興業(yè)務不斷涌現(xiàn)，而解決信息安全問題就顯得越來越迫切。能安全靈活的接入內網(wǎng)的無線通信技術對電網(wǎng)的信息化發(fā)展有重大意義。

早期，電力內網(wǎng)電話是采取程控電話專線的方式，隨著30年的發(fā)展，程控電話已經(jīng)逐漸淘汰，電力內網(wǎng)電話逐漸升級到IP多媒體語音電話系統(tǒng)，并部署在電力內網(wǎng)信息大區(qū)。目前的電力內網(wǎng)電話僅考慮基于有線方式的接入，不支持移動終端接入。隨著電力無線專網(wǎng)的建設深入，現(xiàn)在如何在電力LTE無線專網(wǎng)上安全接入IP語音，滿足工作時的安全性以及靈活性成為VoLTE發(fā)展的關鍵技術。

IMS業(yè)務使用UDP協(xié)議。目前電力IMS服務器部署在電力內網(wǎng)安全區(qū)，LTE終端部署在外部非安全區(qū)，IMS服務器和終端之間需要經(jīng)過安全接入平臺隔離，因為UDP協(xié)議屬于安全風險較高的通信協(xié)議，安全接入平臺不允許該協(xié)議穿過。

技術實現(xiàn)要素：

本發(fā)明的目的在于提供一種電力VoLTE業(yè)務的安全接入方法和裝置，將電力IMS網(wǎng)絡延伸至移動終端，為電力無線專網(wǎng)開展VoLTE業(yè)務提供通信和安全保障，提高現(xiàn)場工作的工作效率，提升電力系統(tǒng)信息化和辦公移動化發(fā)展水平。

實現(xiàn)本發(fā)明目的的技術解決方案為：一種電力VoLTE業(yè)務的安全接入方法，包括終端安全芯片和服務端，將基于UDP報文的VoLTE協(xié)議包接入信息內網(wǎng)，步驟如下：

步驟1，接入過程：向移動終端使用者的員工信息進行認證；

步驟2，翻譯過程：對基于UDP協(xié)議的IMS語音進行翻譯，以安全的TCP連接進行傳輸；

步驟3，通信過程：安全芯片與信息外網(wǎng)邊界部署的安全接入平臺通信。

進一步地，步驟1所述員工信息通過員工卡，由移動終端NFC獲取并傳遞給安全接入平臺，安全接入平臺對信息認證識別；只有員工信息通過移動終端和安全接入平臺雙重認證后，移動終端才能通過安全隧道與信息內網(wǎng)進行數(shù)據(jù)交互。

進一步地，步驟2所述對基于UDP協(xié)議的IMS語音進行翻譯，以安全的TCP連接進行傳輸，具體為：

在上行過程中，移動終端IMS客戶端產生的UDP報文將由移動終端附加的安全芯片翻譯為TCP協(xié)議，經(jīng)過安全接入過程后在主站側由安全接入網(wǎng)關還原成UDP報文并送往IMS服務端；在下行過程中，IMS服務端產生的UDP報文將由安全接入網(wǎng)關翻譯為TCP協(xié)議，經(jīng)過安全接入過程后在終端側由安全芯片還原成UDP報文并送往IMS客戶端。

進一步地，步驟3所述安全芯片與信息外網(wǎng)邊界部署的安全接入平臺通信，具體為：

所述安全芯片在其自身與安全接入平臺之間建立安全隧道，并對信息加密后，以TCP連接的方式從安全隧道傳遞信息給安全接入平臺。

一種電力VoLTE業(yè)務的安全接入裝置，包括電力VoLTE安全終端、電力VoLTE安全接入服務端和主站側設備，所述電力VoLTE安全終端包括IMS移動客戶端和安全接入平臺客戶端，電力VoLTE安全接入服務端包括安全接入平臺服務端，主站側設備為IMS服務器，IMS服務器通過TCP轉IMS UDP與安全接入平臺服務端連接，電力安全接入平臺服務端與安全接入平臺客戶端連接，安全接入平臺客戶端通過IMS UDP轉TCP與IMS移動客戶端連接；其中：

4G LTE終端與4G核心網(wǎng)之間采用雙向鑒權認證方法，安全接入平臺客戶端與安全接入平臺服務端之間采用基于采集網(wǎng)關標準協(xié)議的雙向認證方法，電力VoLTE安全終端和安全接入平臺服務端之間使用基于安全加密隧道的數(shù)據(jù)加密傳輸方法，使IMS業(yè)務通過電力無線專網(wǎng)延伸到LTE移動終端上。

進一步地，所述電力VoLTE安全終端包括外置電源接口、Micro USB接口、顯示屏、WIFI模塊、電源管理/功率控制模塊、HDMI接口、SIM卡、TF卡、4G模塊、CPU模塊、加密認證模塊和取卡口，TF卡為安全芯片，內置TCP-UDP翻譯模塊。

本發(fā)明與現(xiàn)有技術相比，其顯著優(yōu)點為：(1)通過研發(fā)專用無線通信終端并內置安全加密芯片，可以建立起通信安全隧道，從而實現(xiàn)與內網(wǎng)應用數(shù)據(jù)的交互；保障信息內網(wǎng)數(shù)據(jù)的安全性；(2)通過采用員工卡、加解密等技術，使身份識別更加方便靈活；(3)終端側僅操作屏幕和鍵盤，不對內網(wǎng)數(shù)據(jù)進行處理和存儲，最大程度上保證內網(wǎng)數(shù)據(jù)的安全。

附圖說明

圖1是本發(fā)明電力VoLTE業(yè)務的安全接入裝置的邏輯框圖。

圖2是本發(fā)明電力VoLTE業(yè)務的安全接入裝置中電力VoLTE安全終端硬件框圖。

圖3是本發(fā)明電力VoLTE業(yè)務的安全接入裝置的軟件功能視圖。

圖4是本發(fā)明安全VoLTE業(yè)務建立過程應用示例圖。

具體實施方式

目前電力IMS服務器部署在電力內網(wǎng)安全區(qū)，LTE終端部署在外部非安全區(qū)，IMS服務器和終端之間需要經(jīng)過安全接入平臺隔離，因為UDP協(xié)議屬于安全風險較高的通信協(xié)議，安全接入平臺不允許該協(xié)議穿過。

隨著LTE無線專網(wǎng)覆蓋變電站等設備和業(yè)務集中的生產場所日益普及，移動巡檢、智能可穿戴設備、常規(guī)辦公電話等業(yè)務的應用越來越需要LTE無線專網(wǎng)接入IMS語音通信。因此需要研究基于IMS和LTE技術的電力VoLTE技術，加強接入終端的安全管理。針對變電站內網(wǎng)工作現(xiàn)場延伸的需求，研究基于變電站內網(wǎng)工作現(xiàn)場的無線通信技術，加強接入終端的安全管理。在接入層面采用準入控制技術，對用戶標識、IP地址、MAC地址和端口進行綁定，確保入網(wǎng)用戶身份合法、主機標識和網(wǎng)絡標識真實可信；網(wǎng)絡層面采用準入準出控制，基于入網(wǎng)用戶的身份有效管控用戶的訪問權限、流量帶寬等，實現(xiàn)所有網(wǎng)絡接入的安全管控；傳輸層面采用TCP-UDP相互翻譯的方式，避免不安全的IMS語音包穿過電力信息安全網(wǎng)關。

本發(fā)明通過研發(fā)IMS協(xié)議翻譯裝置，將UDP協(xié)議預先翻譯為TCP協(xié)議再于網(wǎng)絡傳輸，避免了廠商設備變更或者電力系統(tǒng)安全接入變更的問題。

結合圖1～2，電力VoLTE業(yè)務的安全接入方法，包括終端安全芯片和服務端，將基于UDP報文的VoLTE協(xié)議包接入信息內網(wǎng)，步驟如下：

步驟1，接入過程：向移動終端使用者的員工信息進行認證；

步驟2，翻譯過程：對基于UDP協(xié)議的IMS語音進行翻譯，以安全的TCP連接進行傳輸；

步驟3，通信過程：安全芯片與信息外網(wǎng)邊界部署的安全接入平臺通信。

進一步地，步驟1所述員工信息通過員工卡，由移動終端NFC獲取并傳遞給安全接入平臺，安全接入平臺對信息認證識別；只有員工信息通過移動終端和安全接入平臺雙重認證后，移動終端才能通過安全隧道與信息內網(wǎng)進行數(shù)據(jù)交互。

進一步地，步驟2所述對基于UDP協(xié)議的IMS語音進行翻譯，以安全的TCP連接進行傳輸，具體為：

在上行過程中，移動終端IMS客戶端產生的UDP報文將由移動終端附加的安全芯片翻譯為TCP協(xié)議，經(jīng)過安全接入過程后在主站側由安全接入網(wǎng)關還原成UDP報文并送往IMS服務端；在下行過程中，IMS服務端產生的UDP報文將由安全接入網(wǎng)關翻譯為TCP協(xié)議，經(jīng)過安全接入過程后在終端側由安全芯片還原成UDP報文并送往IMS客戶端。

進一步地，步驟3所述安全芯片與信息外網(wǎng)邊界部署的安全接入平臺通信，具體為：

所述安全芯片在其自身與安全接入平臺之間建立安全隧道，并對信息加密后，以TCP連接的方式從安全隧道傳遞信息給安全接入平臺。

本發(fā)明電力VoLTE業(yè)務的安全接入裝置，包括電力VoLTE安全終端、電力VoLTE安全接入服務端和主站側設備，所述電力VoLTE安全終端包括IMS移動客戶端和安全接入平臺客戶端，電力VoLTE安全接入服務端包括安全接入平臺服務端，主站側設備為IMS服務器，IMS服務器通過TCP轉IMS UDP與安全接入平臺服務端連接，電力安全接入平臺服務端與安全接入平臺客戶端連接，安全接入平臺客戶端通過IMS UDP轉TCP與IMS移動客戶端連接；其中：

4G LTE終端與4G核心網(wǎng)之間采用雙向鑒權認證方法，安全接入平臺客戶端與安全接入平臺服務端之間采用基于采集網(wǎng)關標準協(xié)議的雙向認證方法，電力VoLTE安全終端和安全接入平臺服務端之間使用基于安全加密隧道的數(shù)據(jù)加密傳輸方法，使IMS業(yè)務通過電力無線專網(wǎng)延伸到LTE移動終端上。

進一步地，結合圖2，所述電力VoLTE安全終端包括外置電源接口1、Micro USB接口2、顯示屏3、WIFI模塊4、電源管理/功率控制模塊5、HDMI接口6、SIM卡7、TF卡8、4G模塊9、CPU模塊10、加密認證模塊11和取卡口12，TF卡8為安全芯片，內置TCP-UDP翻譯模塊。

本發(fā)明電力VoLTE業(yè)務的安全接入方法，技術路線如下：

(1)LTE核心網(wǎng)上行有線連接與電力安全接入平臺通信，下行通過LTE基站與移動終端通信。終端內置安全加密芯片，可建立安全隧道實現(xiàn)與內網(wǎng)數(shù)據(jù)的交互。

(2)移動終端身份認證機制。綜合利用員工卡(NFC近場通信)等手段實現(xiàn)員工身份的綜合認證，且身份認證方便靈活。

(3)安全接入平臺與IMS核心網(wǎng)之間增加TCP-UDP翻譯模塊，IMS核心網(wǎng)使用UDP協(xié)議，安全接入平臺使用TCP協(xié)議。

(4)移動終端安全接入芯片內置TCP-UDP翻譯模塊，移動終端經(jīng)過安全芯片之后使用TCP協(xié)議通信。

性能指標如下：

無線：掉話率，接通率，呼叫時延，上行吞吐率，下行吞吐率等

4G：覆蓋率，傳輸數(shù)率等

加密：符合國密算法標準，SM1，SM2

認證方式：員工卡識別，指紋識別，人臉識別等

電源：電壓范圍，負載穩(wěn)定度，溫度系數(shù)，紋波及噪聲，效率，過流過壓過熱保護等

本發(fā)明通過定制IMS協(xié)議翻譯裝置，將UDP協(xié)議預先翻譯為TCP協(xié)議再于網(wǎng)絡傳輸，避免了廠商設備變更或者電力系統(tǒng)安全接入變更的問題。通過本發(fā)明方法和裝置，可以將電力IMS網(wǎng)絡延伸至移動終端，為電力無線專網(wǎng)開展VoLTE業(yè)務提供通信和安全保障，提高現(xiàn)場工作的工作效率，提升電力系統(tǒng)信息化和辦公移動化發(fā)展水平。

實施例1

圖3是本實施例中電力VoLTE業(yè)務的安全接入裝置軟件功能視圖。視圖中羅列了本實施例所運用到的幾種核心技術，身份識別技術嚴格控制接入者的身份；安全隧道技術用于保護物聯(lián)網(wǎng)網(wǎng)關和信息內網(wǎng)通信安全與防止信息泄露；NFC近場通信技術用于員工卡在移動終端處登陸信息傳遞；TCP-UDP協(xié)議翻譯技術應用于IMS業(yè)務的UDP報文穿越傳統(tǒng)安全接入平臺；安全瀏覽器技術保護信息內網(wǎng)數(shù)據(jù)安全而WIFI安全加固技術則大大增強了WIFI的通信安全；加密技術(國密SM1，SM2)確保傳輸信息的保密性，不能被指定接收方以外的竊聽者知曉信息的真實含義。

本實施例中，4G LTE終端與4G核心網(wǎng)之間采用雙向鑒權認證方法。安全接入平臺客戶端與安全接入平臺服務端之間采用基于采集網(wǎng)關標準協(xié)議的雙向認證方法。安全接入終端和安全接入平臺服務端可選擇使用基于安全加密隧道的數(shù)據(jù)加密傳輸方法。通過本實施例可以使IMS業(yè)務通過電力無線專網(wǎng)安全延伸到LTE移動終端上。

在具體的移動終端與信息內網(wǎng)的通信應用中，本實施例通過對身份信息認證和加密，建立和安全接入平臺之間的安全隧道，建立移動智能終端和物聯(lián)網(wǎng)網(wǎng)關的可信連接，使變電站移動終端進行日常工作，最大程度上的保證了工作時的靈活性和內網(wǎng)信息的安全性。以一次VoLTE業(yè)務的建立過程為例，其具體應用實例如圖4所示。

綜上，本發(fā)明硬件加密和基于TCP連接的電力VoLTE語音安全接入方法和裝置，用以解決目前公網(wǎng)VoLTE技術在電力應用帶來的安全風險。本發(fā)明進行了以身份識別技術，IPSec安全隧道技術，SIP協(xié)議翻譯為關鍵技術的一系列無線通信以及信息安全技術的研發(fā)工作。終端員工安裝安全容器(安全瀏覽器或SDK方式)，利用員工卡，通過NFC近場通信方式身份認證接入電力VoLTE終端(內置安全接入模塊，如TF卡或安全芯片)，網(wǎng)絡層采用專用4G公?；パa，在信息內網(wǎng)邊界處部署符合國密算法要求的安全接入平臺，使移動終端安全靈活的接入內網(wǎng)進行工作。本發(fā)明解決了專網(wǎng)終端接入內網(wǎng)時，防護缺乏靈活性的問題，實現(xiàn)移動終端SIP語音接入信息內網(wǎng)時兼具安全性與靈活性的特點。