1 概述
1.1 背景
在互联网时代的发展下,现如今已经快速跨入了物联网时代。而物联网就是“物物相连的互联网”。物联网的核心和基础仍然是互联网,是通过互联网进行延伸和扩展后的网络,因此,网络安全防护的形势依然严峻异常。任何能够连接互联网的设备都潜藏着安全漏洞,而且随着物联网的设备增加,会造就大量的僵尸网络存在,以此为黑客攻击提供了便捷有利的条件。
运用和推广物联网技术,一方面能够将社会运行效率和经济运行效率显著提高,另一方面也会对公民隐私保护和信息安全提出严峻的挑战。所以,加强物联网网络安全防护势在必行,应该做到未雨绸缪、趋利避害,力争让物联网真正成为一个可信任、安全、开放的网络。
1.2 技术思路
- 在物联网感知设备端,提供物联网安全模块,将其串接在网络中,对物联网感知设备的数据进行加密,从源头保障数据安全;
- 在物联网管理平台的出入口出,配置物联网安全网关,提供物联网通信数据的加解密功能,并能够对物联网管理平台的网络进行安全防护;
- 在物联网管理平台的网络中,部署密钥管理系统,科学、安全地解决各类终端、各级系统之间的密钥产生与分发、身份认证等安全需求。
2 系统架构
物联网安全传输系统,主要由物联网安全模块、物联网安全网关和密钥管理服务器三部分组成。其主要组成结构如下图所示:
安全模块,串接在临近物联网感知设备的网络中,能够对感知设备的通信数据进行加密,并保护感知设备不收非法攻击的侵害,亦能防止感知设备被非法替换。
物联网安全网关,部署于物联网管理平台的网络边界处,对进出流量进行加密和解密,并可防止非法流量通过。
密钥管理服务器,部署于物联网管理平台的内部网络中,对安全网关和安全模块提供密钥管理功能,包括初始密钥的生成,密钥的分发、更新、归档,以及基于密钥的身份认证等功能。
3 功能与性能
3.1 主要功能
| 功能模块 | 功能描述 |
| 密码算法 | 支持国产标准SM2、SM3、SM4密码算法;
支持国际标准AES、SHA1、SHA2系列算法; 支持基于SM2、SM3算法的密钥管理与身份认证。 |
| 数据加密 | 采用国密标准协议格式进行数据的加密传输;
支持物联网业务数据、控制数据、管理数据的加密传输; 支持加密数据的抗重放攻击; 支持加密密钥的自动协商; 支持路由模式和透明模式两种接入模式。 |
| 攻击防护 | 具备硬件绑定功能,防止物联网感知设备和通信数据被非法替换;
仅允许已授权终端访问感知设备和物联网管理平台; 支持对不同终端的管理和访问权限进行控制; 支持包过滤功能,支持基于源IP地址、目标IP地址、源端口、目标端口、协议类型实现网络数据包过滤; 具备针对SYN FLOOD、PING FLOOD、TCP FLOOD、UDP FLOOD等攻击的防护功能。 |
| 身份认证 | 支持基于国密SM2、SM3算法的密钥管理与身份认证;
支持签名密钥和加密密钥的双密钥认证,提升系统整体安全性; 未经认证的摄像头、安全模块、安全网关,无法接入系统进行正常工作。 |
| 安全与易用性 | 支持NAT网络环境;
支持静态路由和策略路由; 支持多因素身份认证; 支持IP-MAC地址绑定; 系统具有基本的自防护功能,并采用安全增强的操作系统。 |
| 配置管理 | 支持Web界面管理和终端命令行管理;
支持多种时间同步方式; 支持常用命令调试工具; 支持系统资源监控; 支持系统升级、配置备份与还原、恢复出厂等功能。 |
| 日志管理 | 支持记录用户操作日志、系统日志和安全日志;
支持实时记录系统的用户状态与加密通信状态,并提供数据库查询方式; 支持SYSLOG日志格式,支持向日志服务器传送日志信息。 |
3.2 性能参数
安全模块的主要性能参数如下:
| 编号 | 型号 | 最高吞吐率 |
| 1 | M1010 | 15~20Mbps |
安全网关的主要性能参数如下:
| 编号 | 型号 | 最高吞吐率 |
| 1 | GW2010 | 100Mbps |
| 2 | GW2020 | 200Mbps |
| 3 | GW2040 | 400Mbps |
密钥管理服务器的主要性能参数如下:
| 编号 | 型号 | 支持的密钥对数量 |
| 1 | KMS3010 | 200 |
| 2 | KMS3020 | 500 |
3.3 其他参数
| 名称 | 安全模块 | 安全网关
密钥管理服务器 |
| 接口 | 2个100Mbps自适应以太网接口;
1个电源接口。 |
5个100/1000Mbps自适应以太网接口;
1个100/1000Mbps自适应以太网管理接口; 1个RJ45串口; 1个USB接口; 1个电源接口。 |
| 可靠性 | MTBF>2 万小时。 | MTBF>2 万小时。 |
| 电气特性 | 工作电压:5V±25%;
功耗:<8W。 |
工作电压:220V±25%、50HZ;
功耗:<80W。 |
| 环境参数 | 工作温度:-20℃~50℃;
存储温度:-30℃~60℃。 |
工作温度:-5℃~50℃;
存储温度:-15℃~60℃。 |
4 系统特点
(1)终端适应性强,部署灵活
支持各种不同的物联网感知、采集设备,提供轻量级的物联网安全模块,可采用透明方式轻松接入网络,部署简单、灵活。
(2)无感知加密传输,无需改变原有网络结构
物联网安全模块和安全网关,均支持透明方式接入网络,可对物联网通信数据进行无感知加密解密,且无需改变现有网络结构,即可实现对整个物联网系统的加密和安全防护。
(3)支持国密算法和国密标准,兼容国际算法
系统中的安全加密传输,支持国密的SM2、SM3、SM4等算法,并采用符合国密标准的身份认证、密钥管理、加密解决方案,保证整个系统的合规性和安全性。同时,兼容国际标准的AES、SHA1、SHA2等国际算法,能满足各种应用场景的不同需求。
5 典型应用
物联网安全传输系统,可用于视频监控网络、视频会议、交通信号控制等系统中。下面以视频监控系统为例,采用物联网安全传输系统,对视频监控网络的摄像机、视频管理中心和网络通信进行安全防护与加固。
物联网安全传输系统,一般需结合用户现有的视频监控网络情况进行部署。系统支持在同一局域网内、不同网络之间(类似互联网),采用透明模式和路由模式部署。不同网络环境中的常见部署方式如下:
- 透明模式部署
常见的视频监控网络结构如下图所示:
图中,视频服务器位于172.168.1.0/24网段,摄像机处于192.168.1.0/24网段,两个网段采用路由器连接。视频服务器和摄像机可以相互访问。
针对以上用户的网络拓扑情况,现提出采用透明模式部署的安全传输解决方案,其网络部署图如下图所示:
在该部署模式中,安全网关透明串接在视频管理中心路由器的左侧,需分配一个192.168.1.0/24网段的独立IP地址,用于设备管理、密钥管理和身份认证;安全模块透明串接在摄像头后的网络中,并需分配与摄像头相同网段的独立IP地址,该IP地址用于安全模块的设备管理、密钥管理和身份认证;在视频管理中心,还需要部署密钥管理服务器,用于视频安全系统的密钥管理与身份认证。
采用透明模式的适应性较强,不需要改变用户的现有网络结构,支持摄像机和视频服务器位于同一局域、不同网段的局域网或互联网,也支持NAT网络等多种网络环境,可对视频数据进行无感知加密解密,实现对整个视频系统的加密和安全防护。
- 路由模式部署
采用路由模式部署时,摄像机和视频服务器在不同的网段中,安全网关部署于两个网络的边界处。常见的路由模式部署结构,如下图所示:
图中,安全网关采用路由模式接入网络,具备网络路由器的功能,其左右两侧需要分配两个不同网段的IP地址,分别为192.168.1.0/24网段和172.16.1.0/24网段;密钥管理服务器位于视频管理中心的172.16.1.0/24网段中。
路由模式是一种比较简单、常见的部署模式,安全网关位于不同网段的网络边界处,替代了传统路由器的位置,在用户新建视频监控网络,或者原有视频监控网络就是路由模式时,部署较为方便。