互聯(lián)網(wǎng)已經(jīng)與現(xiàn)代生產(chǎn)和生活的方方面面深度融合，個(gè)人隱私、企業(yè)機(jī)密以及政府信息等大量敏感數(shù)據(jù)在網(wǎng)絡(luò)中頻繁傳輸，時(shí)刻面臨著越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。佰馬科技長(zhǎng)期耕耘物聯(lián)網(wǎng)通信安全領(lǐng)域，擁有豐富齊全的加密通信終端產(chǎn)品線，提供直接在工業(yè)網(wǎng)關(guān)/路由器與中心機(jī)房之間構(gòu)建IPsec加密通道的安全通信方案，為企事業(yè)單位敏感數(shù)據(jù)的跨網(wǎng)絡(luò)傳輸提供堅(jiān)實(shí)的安全保障。

佰馬IPsec國(guó)密通道傳輸方案介紹

在本方案中，下位機(jī)設(shè)備（諸如傳感器、控制器、PLC等）與佰馬BMG5000工業(yè)級(jí)5G網(wǎng)關(guān)、服務(wù)器與企業(yè)級(jí)路由器分別建立IPSec國(guó)密隧道，隧道協(xié)商的兩個(gè)階段均采用SM2/SM4+SM3國(guó)密算法組合；明文數(shù)據(jù)通過(guò)隧道傳輸時(shí)自動(dòng)轉(zhuǎn)為密文，到達(dá)終端后解密還原。

佰馬BMG5000工業(yè)5G網(wǎng)關(guān)，是工業(yè)物聯(lián)網(wǎng)應(yīng)用的核心。設(shè)備支持APN/VPDN數(shù)據(jù)安全傳輸，支持包括IPSec VPN、L2TP VPN、PPTP VPN、OPEN VPN，采用軟硬件雙重加密模式(選配)，強(qiáng)效預(yù)防數(shù)據(jù)竊取、通信干擾、惡意攻擊等安全問(wèn)題，保障5G物聯(lián)網(wǎng)系統(tǒng)通信安全穩(wěn)定。

佰馬旗下全系工業(yè)5G/4G網(wǎng)關(guān)、邊緣計(jì)算網(wǎng)關(guān)、工業(yè)路由器等產(chǎn)品，均支持選配軟件加密和軟硬件雙重加密。佰馬各型網(wǎng)關(guān)/路由器在體積大小、接口數(shù)量、算力性能、防護(hù)性等方面各有所長(zhǎng)，可精準(zhǔn)滿足制造、金融、電力、醫(yī)療、市政等領(lǐng)域的部署需求。

IPsec通道核心技術(shù)特性

1. 機(jī)密性：通過(guò)加密算法對(duì)原始數(shù)據(jù)明文轉(zhuǎn)換為密文，即使數(shù)據(jù)在傳輸過(guò)程中被截獲，攻擊者也無(wú)法解讀其內(nèi)容。

2. 完整性驗(yàn)證：加密算法為每個(gè)數(shù)據(jù)包生成校驗(yàn)值，若數(shù)據(jù)包在傳輸過(guò)程中被篡改，接收方驗(yàn)證會(huì)失敗，從而確保了數(shù)據(jù)的完整性和真實(shí)性。

3. 數(shù)據(jù)源認(rèn)證：在建立IPsec通道之初，通信雙方會(huì)進(jìn)行雙向身份認(rèn)證，從而抵御中間人攻擊和偽裝攻擊。

4. 抗重放攻擊：IPsec為每個(gè)數(shù)據(jù)包分配一個(gè)唯一的序列號(hào)，接收方會(huì)檢查序列號(hào)是否重復(fù)或超出范圍，從而防止攻擊者進(jìn)行惡意操作。

佰馬IPsec國(guó)密通道傳輸方案應(yīng)用優(yōu)勢(shì)

1. 端到端安全保障：本方案采用通道級(jí)加密，實(shí)現(xiàn)了從數(shù)據(jù)源頭（數(shù)采網(wǎng)關(guān)）到匯聚點(diǎn)（中心機(jī)房）的全程加密，覆蓋通信過(guò)程中全量的傳輸數(shù)據(jù)。明文數(shù)據(jù)通過(guò)數(shù)采網(wǎng)關(guān)加密成密文數(shù)據(jù)，穿越整個(gè)網(wǎng)絡(luò)直至中心機(jī)房才被解密，實(shí)現(xiàn)了真正意義上的端到端安全。

2. 對(duì)上層應(yīng)用透明：IPsec工作在網(wǎng)絡(luò)層（第三層），對(duì)傳輸層及以上的應(yīng)用層協(xié)議（如Modbus TCP/IP、OPC UA、HTTP等）完全透明。這意味著無(wú)需修改現(xiàn)有的工業(yè)數(shù)據(jù)采集軟件和中心數(shù)據(jù)處理平臺(tái)，即可無(wú)縫集成該安全方案，降低了部署復(fù)雜度和成本。

3. 高兼容性與靈活性：本方案不依賴特定物理鏈路，能夠運(yùn)行在互聯(lián)網(wǎng)、4G/5G無(wú)線網(wǎng)絡(luò)、專(zhuān)線等多種網(wǎng)絡(luò)基礎(chǔ)設(shè)施上。這對(duì)于分支機(jī)構(gòu)分散、需要利用公網(wǎng)進(jìn)行低成本組網(wǎng)的工業(yè)企業(yè)尤其有利，實(shí)現(xiàn)了安全性與網(wǎng)絡(luò)靈活性的統(tǒng)一。

4. 強(qiáng)大的可靠性：佰馬工業(yè)網(wǎng)關(guān)和工業(yè)路由器和均對(duì)IPsec有良好的硬件加速支持，能夠保證加密/解密過(guò)程對(duì)數(shù)據(jù)傳輸性能的影響降到最低。同時(shí)，IPsec支持故障切換和鏈路冗余，進(jìn)一步提升了通信鏈路的可靠性。

佰馬IPsec國(guó)密通道傳輸?shù)湫蛻?yīng)用場(chǎng)景

1. 跨地域工廠數(shù)據(jù)匯集：對(duì)于擁有多個(gè)生產(chǎn)基地、分廠或礦區(qū)的集團(tuán)企業(yè)，需要將各站點(diǎn)的生產(chǎn)數(shù)據(jù)實(shí)時(shí)匯集到總部數(shù)據(jù)中心。通過(guò)在各個(gè)分廠的數(shù)采網(wǎng)關(guān)和總部中心路由器之間建立IPsec通道，可以利用公網(wǎng)低成本、安全地構(gòu)建一個(gè)企業(yè)私有的“數(shù)據(jù)骨干網(wǎng)”。

2. 移動(dòng)設(shè)備與遠(yuǎn)程運(yùn)維接入：對(duì)于工程車(chē)輛等移動(dòng)資產(chǎn)，或需要技術(shù)人員進(jìn)行遠(yuǎn)程運(yùn)維的場(chǎng)景，可以通過(guò)車(chē)載網(wǎng)關(guān)與中心機(jī)房建立IPsec連接，實(shí)現(xiàn)數(shù)據(jù)遠(yuǎn)程采集和車(chē)輛遠(yuǎn)程管理。

3. 遠(yuǎn)程站點(diǎn)的安全互聯(lián)：在油氣管道、水利水務(wù)等行業(yè)中，有大量分散的遠(yuǎn)程終端單元（RTU）或PLC站點(diǎn)需要通過(guò)SCADA系統(tǒng)進(jìn)行監(jiān)控。在這些站點(diǎn)的通信網(wǎng)關(guān)與主控中心的路由器之間部署IPsec，可以有效保護(hù)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)免受網(wǎng)絡(luò)攻擊。

4.其他需要建立專(zhuān)用加密通道，實(shí)現(xiàn)所有傳輸數(shù)據(jù)統(tǒng)一加密的場(chǎng)景。諸如電力系統(tǒng)遠(yuǎn)程監(jiān)控、金融數(shù)據(jù)傳輸、政務(wù)內(nèi)網(wǎng)通信等。