一、 需求背景
目前部分船舶制造企业身处国防军工领域,出于安全保密原因,很多敏感区域不能有无线收发装置,推进无线网络建设相对滞后。信息网络未能完整覆盖船舶产品研制建造的全流程,在生产管理及决策方面缺乏来自现场的实时数据支撑,严重制约企业发展.船舶制造厂各类装设备多,组装模块数百万计,对船舶制造现场实时状态进行感知,获取船舶制造过程的分段建造计划执行状态,分段场地堆放、物流配送和设备资源利用等数据,将有效提高生产计划协调效率,提高生产力。实现现场实时感知,必须建设无线网络,无线网络的建设必然会带来网络安全问题,开放的通信环境使无线传输比有线通信更容易受到恶意攻击,包括被动窃听数据拦截和干扰合法传输,如何实现无线网络安全,将是重中之重。
二、 解决方案
如上图所示,在安全接入区部署网闸、综合安全接入网关,安全管理区部署远程安全管控系统、密钥管理系统,在终端区部署安全终端来实现可管控的无线安全接入解决方案。
其中,网闸、安全接入网关部署在安全接入区,远程安全管控系统、密钥管理系统以旁路方式部署在安全管理区,安全终端以主路方式部署在终端区。行业专用终端(如AGV小车等)通过网口(RJ45)、串口(RS485/232)等方式与安全终端连接,安全终端通过无线(支持802.11b/g/n、FDD-LTE\TD-LTE\WCDMA\GPRS、eLTE-5.8G等)、有线(RJ45)连接到现场网络,同时对于平板、PDA等设备部署安全终端APP。内外网之间采用物理隔离的网闸,安全终端通过基于国密算法的身份鉴别与密钥协商机制与安全接入网关之间建立安全通道,并将安全通道分享给与其连接的行业终端,行业终端与应用服务器之间的交互信息都经安全通道传输。
三、 方案特点
1、采用安全的加密算法
该方案采用国产商用密码算法SM1/SM4作为网络传输加密算法,其分组长度与密钥长度均为128bits。其中SM1为国产非公开算法,其算法实现过程由安全接入网关、安全终端的内置密码卡来实现,更安全。
2、可靠的密钥协商机制
该方案的密钥协商机制以国产非对称密码算法(SM2)为基础,在身份鉴别通过后,安全接入网关生成会话密钥,并利用安全终端的公钥加密会话密钥(基于非对称密码算法的特性,该会话密钥只有对应的安全终端才能解开)。并且安全接入网关采用灵活的密钥重协商机制,可根据安全需求对密钥重协商的策略进行设置,默认密钥重协商时间间隔不超过2小时。
3、远程安全管控
该方案中的设备可能部署在不同的物理位置,为了便于管理,提供远程安全管控系统,受控端(包括安全接入网关、安全终端)内的常驻进程会自动连接到远程安全管控系统接受管控。
4、设备监控内容
① 状态监控:包括该设备的当前运行状态监控,包括CPU\内存\存储\网络接口的连接情况等信息;
② 日志信息:包括管理日志、运行日志、网络连接日志,并可将日志统一上传至集中日志服务器;
5、设备控制内容
① 网络设置:物理、虚拟网卡的参数设置,包括IP地址、子网掩码、网关等信息设置;
② 安全连接设置:指定连接的网关地址等参数;