华辰智通HINET智能网关采用的通讯架构为 OVER P2P架构,系统架构图如下:
OVER P2P是由华辰智通自主开发,结合了通讯的安全、专用以及P2P通讯反应速度快,数据传输高效等优势,是目前市面上最优秀的远程通讯方案之一。
通过通讯架构图可知,涉及网络安全性的地方主要有如下几点:
1、网关模块本身的数据安全性;
2、网关和云服务器之间的链接通道;
3、云服务器和监控中心之间的通信链路。
4、云服务器网络安全性;
网关模块本身的数据安全性说明:
HINET智能网关自带防火墙严防数据泄漏以及网络入侵,自带软硬件看门狗可上电自恢复,断线重连,标准配备16M ROM,网络掉线情况下可本地保存上百帧数据,上线自动续传。
HINET智能网关2013年正式上市进入市场,是国内最早的PLC远程通讯产品之一,经过3年多的市场检验、产品的不断优化升级,目前也是公认最安全可靠的远程产品之一。
网关和云服务器之间的链接通道、云服务器和监控中心之间的通信链路安全性说明:
网关与云服务器之间的链接以及云服务器和监控中心的通信链路采用的都是安全专用通道,通道内部数据流再采用RSA128位加密算法保证数据安全。
(Virtua Private Network),就是虚拟专用网技术。可以提供的功能: 防火墙功能、认证、加密、隧道化。 可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。技术原是路由器具有的重要技术之一,在交换机,防火墙设备或Wind ows 2000等软件里也都支持功能的核心就是利用公共网络建立虚拟私有专用网。
主要采用四项安全保证技术 :隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
(一) 隧道技术
隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是使用不同协议封装的数据包,隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。新的包头提供了路由信息,从而使新封装的数据包能够在隧道的两个端点之间通过公共互联网络进行路由传输E3J。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目地。
隧道所使用的传输网络可以是任何类型的公共互联网络,文中主要以目前普遍使用的Intemet为例进行说明。此外,在企业网络同样可以创建隧道。
隧道使用三种协议:
1、封装协议:信息传输时使用的协议(GRE、IPSec、L2F、PPTP和L2TP)。
2、承载协议:信息传输时使用的协议(帧中继、ATM和MPLS)。
3、乘客协议:传输原始数据的协议(GRE、IPSec、L2F、PPTP和L2TP)。
第二层隧道协议
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。
第三层隧道协议
IPSec是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。IPSec通过在IP协议中增加两个基于密码的安全机制一认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。
IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Intemet密钥交换(IKE)等协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为All和ESP提供密钥交换机制,在实际进行IP通信时,可以根据实际安全需求,同时使用AH和ESP协议选择使用其中的一种。AH和ESP都可以提供认证服务,AH提供的认证服务要强于ESP,但不对数据报文进行加密。
IPSec的安全服务是由通讯双方建立的安全联盟(SA)来提供的。SA为通讯提供了安全协议、模式、算法和应用于单向IP流的密钥等安全信息,这些信息由SAD管理提供。当IP报文流经IPSec设备时,系统对比安全策略库(SPD)中相应的安全策略,对IP报文进行不同的处理。处理方法一般有三种:丢弃、绕过和IPSec保护。如果选择了1PSec保护,根据SPD 和SAD的对应关系,找到相应的SA,进行指定的IPSec处理。
(二) 加解密技术
加密就是对信息重新进行编码,隐藏信息内容,使非法用户无法获得信息的真实内容。信息被称为明文。隐藏信息的过程称为加密。加密后出现的信息称为密文。由密文恢复原文的过程称为解密。密码算法就是用于加密和解密的数学函数。常见的加密算法有:
数据加密标准 (DES) 算法 :DES 是由 IBM 开发的一种算法,它使用 56 位密钥来确保高性能加密,DES 是一种对称密钥加密系统。
三重 DES (3DES) 算法:种较新的 DES 变体,该算法使用一个密钥加密,再用一个不同的密钥解密,最后用另一个密钥再加密一次。3DES 显著提高了加密的力度。
高级加密标准 (AES) :美国国家标准和技术研究所 (NIST) 采用 AES 来替代加密设备目前采用的 DES 加密。AES 提供比 DES 更高的安全性,在计算方面比 3DES 更有效率。AES 提供以下三种不同的密钥长度:128 位、192 位和 256 位。
Rivest、Shamir 与 Adleman (RSA) :一种非对称密钥加密系统,密钥长度为 512 位、768 位、1024 位或更长。
(三) 密钥管理技术
密钥管理技术的主要实现在公用数据网上安全地传递密钥而不被窃取。现行密钥管与ISAKMP/OAKLEY两种。SKIP主要是利用Difie—Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
(四) 身份认证技术
客户端请求进行通信时,必须通过隧道另一端的设备身份验证,才能认为通信路径是安全的,从而进行通过信。。有以下两种对等身份验证方法:
预共享密钥 (PSK) :一种在需要使用之前在使用某个安全通道的双方之间共享的密钥。PSK 使用对称密钥加密算法,它以手动方式输入到每个对等点中,用于验证对等点的身份。在每一端,PSK 都与其它信息合并以形成身份验证密钥。
RSA 特征码 :利用数字证书交换来验证对等点身份。本地设备取得哈希值并用其私钥将其加密,加密的哈希值(数字签名)附加在消息上,并转发到远程端。在远程端,使用本地端的公钥将加密的哈希值解密,如果解密的哈希值与重新计算得到的哈希值相同,则表明签名是真实的。
通道内部的数据是通过RSA加密算法加密进行打包传输,RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。因此通道安全等级非常高。即使被中途截获,也需要动用巨大的计算力量才有可能解密。因此数据在传输途中被监听的可能性几乎没有。
云服务器网络安全性说明:
云服务器的安全性主要是通过服务中心的硬件防火墙和软件防火墙来保证。同时,HINET智能网关的通信模式是 OVER P2P方式,在该通讯方式中,PLC所有数据不经过该云服务器转发,直接通过P2P的方式,从PLC端直接点对点传输至监控中心。云服务器对数据不做转发,对用户也不做监听。
因此,整个通信结构非常谨慎严密,极大地保证了数据的安全性。