车联网信息安全方案.pdf

基于基于 SSX1019 芯片的物联网数据安全传输系统芯片的物联网数据安全传输系统 同方车联网信息加密传输技术介绍 某军区车辆管理控制系统某军区车辆管理控制系统 公网公网 （专用专用VPNVPN通道通道） 车载数据 数据控制平台 物联网 安全网关 车辆N 终端安全模块 GPRS 人员信息 车牌号信息 位置信息 车辆2 终端安全模块 GPRS 人员信息 车牌号信息 位置信息 车辆1 终端安全模块 GPRS 人员信息 车牌号信息 位置信息 行业数据现状行业数据现状 1. 明文传输 最初设计时，很多行业系统采集的数据是以明文形式传输。 2. 易截获 采用公网传输时，数据容易被截获甚至篡改。 3. 高成本硬件通道 部分行业为保证安全性，会架设专用的硬件传输通道，然而随着传输距离扩大、采集点 数量增多等因素，成本也会随之提高。 4. 软加密 采集数据使用软实现方式加密，易被攻击获取加密密钥，从而获取数据明文。 5. 原系统安全改造 很多现有采集设备已经在运行中，在按国家要求实施安全性改造时，有可能会重新设计 原有采集设备甚至整体设计方案。 6. 不熟悉安全性设计 各行业设计人员仅仅了解自己行业领域，通常对国家新要求的安全性传输设计了解甚少， 自己开发加入安全部分，可能会拉长整个设计周期、提升研发成本，甚至无法确定项目 是否能够顺利完成。 系统架构图系统架构图 公网公网（专用专用VPNVPN通道通道） 网卡接收发送 终端安全模块 无线或有线接入 客户端设备客户端设备 串口或网口接入 业务数据控制平台业务数据控制平台 物联网安全网关 网口接收发送 终端安全模块 无线或有线接入 客户端设备客户端设备 串口或网口接入 执行采集操作执行采集操作 密文 接收到采集命令接收到采集命令 获取数据信息获取数据信息 密文 发送采集数据发送采集数据 安 全 透 传 用 户 数 据 硬件设备硬件设备 1. 物联网安全网关 2. 终端安全模块 物联网安全网关物联网安全网关 功能概述： 解密待进入内网的数据；加密待发向外网的数据。 安全服务器 防火墙 公网公网（专用专用VPNVPN通道通道） 有线接入 业务数据控制平台 提供客户专用接收发 送数据的接口 物 联 网 带 隔 离 安 全 网 关 安全服务器 公网公网（专用专用VPNVPN通道通道） 有线接入 业务数据控制平台 提供客户专用接收发 送数据的接口 物 联 网 非 隔 离 安 全 网 关 物联网安全网关工作原理物联网安全网关工作原理 用于与终端安全模块建立安全信道， 解析终端安全模块传输过来的IPSEC的客户端设备客户端设备数据， 并将解析得到的数据分发给客户的业务数据控制平台业务数据控制平台上，也可将业务数据控制平台业务数据控制平台下发的 命令通过安全信道加密传输给指定的终端安全模块， 终端安全模块再将数据传送给客户端设客户端设 备备。 终端安全模块终端安全模块 功能概述： 解密来自于公网的数据；加密待发向公网的数据。 终端安全模块 GPRS 无线网络 客户端设备 串口接入 公网公网（专用专用VPNVPN通道通道） 终端安全模块 以太网 有线网络 客户端设备 串口或网口接入 公网公网（专用专用VPNVPN通道通道） 安全接入模块搭载 SSX1019 核心，支持以太网、GPRS 传输的安全接入模块；支持网口、串 口通信； 内部支持国密算法 SM1/SM2/SM3， 模块私钥存储在芯片 flash 内部， 受到芯片保护， 可以很好的保证客户端设备与业务数据控制平台之间的安全通讯。 接入物联网安全平台的要求接入物联网安全平台的要求 1. 业务数据控制平台 普通电脑即可接入物联网安全平台。通过物联网安全平台的网关解密接收客户端设备发 来的数据。 2. 客户端设备 客户端设备只要硬件上支持串口通信或是以太网通信，即可接入物联网安全平台，实现 数据透传。 物联网安全平台优势物联网安全平台优势 采用公网传输，与专用硬件传输通 道相比，成本低廉，信道后期维护、 变更灵活。 低成本架设低成本架设 采用国密认证的IPSEC VPN专用标 准，在公网上打造虚拟的安全传输 通道。 安全性保障安全性保障 客户端设备仅需支持串口或是以太 网通信即可通过软件调整实现安全 平台升级。 升级改动小升级改动小 对于客户来讲仅需将数据