基于IPSEC VPN安全網關的形變位置數據加密傳輸方案

1、方案應用背景

隨著北斗精準位置服務的成熟,很多的大型民生建筑設施采用衛星技術進行形變監測,形變位置數據的安全性也越來越受到客戶的關注,形變位置數據的竊取和篡改會給客戶和社會帶來很多負面影響,如何保證數據的安全性?目前的基于北斗高精度監測方案的應用模式:衛星天線獲取位置數據,通過專用電纜傳輸到衛星接收機,衛星接收機通過4G路由器傳輸到公有云數據解算中心進行精準位置數據解算,解算后再將數據通過廣域網傳輸到客戶的位置應用系統,如下圖:

衛星接收機到公有云數據解算中心、公用云數據解算中心到用戶應用系統,這兩段的數據傳輸目前都是通過明文進行傳輸,存在數據安全隱患,不法用戶可以通過IP層抓包以及socket監聽方式輕松獲取形變位置隱私數據,甚至篡改原始數據,造成監測系統誤報警。

2、方案最終目的

形變位置數據(原始衛星數據、解算后的位置數據)在接入廣域網的時候進行加密,整個傳輸過程通過密文進行傳輸,用戶不需要關心安全加密的技術細節,身份鑒別和信息加密過程始終是透明的,如下圖:

3、技術方案

利用IPSEC VPN安全網關在衛星接收機到公有云數據解算中心網絡和公用云數據解算中心到用戶應用系統網絡,建立IP保密系統,提供基于密碼技術的節點認證和隧道加密功能,保證傳輸網絡節點之間可靠認證,并在IP層對原始位置數據進行加解密,防止非法接入、非法竊聽和信息篡改,構造一個安全封閉的網絡,如下圖:

本方案中采用的是IPSEC VPN安全網關。具有高性價比、應用靈活等特點。

專用處理器:采用非INTEL指令系統的處理器,避免由于INTEL的指令系統存在安全漏洞或者后門指令帶來的風險。

定制系統:選用精簡的、安全的、固化的LINUX操作系統,除去了TCP/IP協議棧和其它不需要的系統服務,采用直接在鏈路層操作網卡,剝離出應用層數據。

自主防護:包括物理保護措施(保護開關、機箱鎖),開殼自動銷毀主密鑰和關鍵數據。

智能卡認證:操作設備必須通過智能卡或USB KEY身份認證。

高可靠性:提供冗余電源、專用算法芯片、FLASH芯片互備、硬件看門狗和自愈監控系統,具有故障聲光告警。

自適應:支持硬件旁路和自適應旁路方式,故障自動識別、路徑自動切換。

高網絡適應性:支持雙網口、透明接入,只需占用一個IP地址,不影響原有網絡拓撲結構、網絡設備設置,加密通道對局域網內的計算機透明。

模式靈活:支持雙入雙出,支持802.1Q VLAN Trunk、VLAN與隧道綁定,支持流量均衡網絡環境下的多機協同工作模式。

高性能:數據加解密速度達到線速要求,對網絡帶寬影響小。

4、方案測試效果

如下圖:是在未加密的網絡環境下,通過socket監聽截取的16進制原始位置數據:

通過IPSEC VPN加密后,截取加密后的原始位置數據,如下圖:

和女友说赚钱干嘛