一種基于網絡安全的船舶網絡架構及其內部部署改造方法

本發明涉及船舶網絡安全，尤其是涉及一種基于網絡安全的船舶網絡架構及其內部部署改造方法。

背景技術：

1、隨著現代化國際航運的發展和科學技術的不斷進步，遠洋航運場景對互聯網的需求與日俱增，船舶計算機網絡的規模也正在不斷擴大，越來越多的網絡設備在船舶環境得到了應用，比如路由器、交換機、服務器、網絡攝像機、智能家居設備等等，這些設備為船員的航海生活帶來了便利，但也對船舶的原始網絡架構帶來了極大的挑戰，甚至遠遠超出了其原始設計的承載能力，也在某種程度上給船舶的航行安全帶來了極大的風險和不安全因素。

2、目前，大多船舶網絡架構比較簡單，對外缺乏能夠阻止非法行跡的網絡安全防護能力，對內缺乏足以支撐海量數據的網絡信息交換能力，網絡整體承載能力較弱，內部管理也往往混亂無序，無法組織出一套靈活有效的船舶網絡應急機制，給網絡病毒入侵和網絡信息盜取等違法行為創造了極大的便利，嚴重影響船舶的航行安全。網絡安全改造是解決這些問題的一種低成本方式，能夠極大地改善船舶網絡的安全問題和內部維護管理問題，但就目前而言，缺乏一種高效、可靠、安全、穩定的方法來支撐船舶網絡安全改造的成功率。

3、由于遠洋數據通信的特殊性，船舶網絡安全改造存在如下困難：

4、(1)遠洋船舶的制造來源比較廣泛，船舶間內部物理空間具有不小差異，網絡設備的物理空間分布往往比較雜亂，航行船員更換頻率高，且無隨船計算機網絡技術人員，往往缺乏網絡部署的相關資料，網絡部署信息摸查難度大，難以進行梳理，缺乏一種可靠的指導方法來進行原始網絡信息的獲取。

5、(2)港口或船廠的地理位置較市區往往比較偏遠，特殊物資的供應往往得不到保障，且船舶的停靠周期也比較短，登船施工的流程也往往較為繁瑣，網絡改造所需的設備和耗材需要提前準備，對網絡安全改造工程師的應急處理能力也有一定的要求，也更需要一種高效穩定的指導方法來確保改造的按時保質完成。

6、(3)船舶網絡一般接入了ecdis(電子海圖顯示和信息系統)、vdr(航次數據黑匣子)、警報檢測及控制系統、能效管理系統以及其它船舶網絡子系統，這些系統往往由不同的供應商來提供服務，涉及的設備部署及配置無權限查看和修改，如若方法不當將會影響船舶子系統的正常運行，給船舶網絡帶來不可逆轉的損失。

技術實現思路

1、本發明的目的就是為了提供一種改善船舶網絡安全性的基于網絡安全的船舶網絡架構及其內部部署改造方法。

2、本發明的目的可以通過以下技術方案來實現：

3、一種基于網絡安全的船舶網絡架構，包括船舶網絡總防火墻和與其分別連接的船舶網絡外網不可信任區、船舶網絡內網可信任區和船舶網絡無線網隔離區，

4、所述船舶網絡外網不可信任區：包括船舶網絡總路由器和與其分別連接的船舶網絡出口設備和船舶網絡總服務器，所述船舶網絡總路由器還與所述船舶網絡總防火墻連接，用于通過所述船舶網絡總防火墻進行安全處理后放行至所述船舶網絡內網可信任區和船舶網絡無線網隔離區；

5、所述船舶網絡內網可信任區：包括船舶網絡核心交換機和與其依次連接的多個船舶網絡樓層交換機和多個船舶網絡有線接入系統，所述船舶網絡核心交換機還與所述船舶網絡總防火墻連接，用于進行安全處理和信息交換以阻止網絡非法攻擊和入侵行為；

6、所述船舶網絡無線網隔離區：包括船舶網絡無線區交換機和與其連接的多個無線接入點和船舶網絡無線接入系統，所述船舶網絡無線區交換機還與所述船舶網絡總防火墻連接。

7、進一步地，所述船舶網絡總防火墻和船舶網絡核心交換機作為關鍵節點設備，采用基于hmac的消息完整性校驗方法對傳輸的消息完整性進行驗證以及采用密鑰管理機制管理密鑰，以實現對所述關鍵節點設備進行管理。

8、進一步地，所述基于hmac的消息完整性校驗方法的步驟包括：

9、所述關鍵節點設備根據消息s1計算其哈希值ha(s1)[k]，再通過哈希驗證數組gver(s1)f0計算出ha(s1)[k]的hmac值hmac(ha(s1)[k],g(gver(s1)f0))，得到hb(s1)[k]＝g(ha(s1)[k],hmac(ha(s1)[k],g(gver(s1)f0)))，并將hb(s1)[k]發送給客戶端；

10、所述關鍵節點設備與客戶端交換哈希驗證數組gn-hu1-mu1[k]f0和哈希簽名密鑰gn-hu1[k]f1，并通過雙重認證機制來進行驗證，其中驗證成功的條件包括：

11、a.哈希簽名測試：ghu1[k](gn-hu1[k]fu1)＝gnfu1；

12、b.哈希驗證測試：gmu1[k](gver(u1)[k]fu0)＝gsign(u0)[k]fu0；

13、c.hmac測試：

14、其中，hb(s1)[k]為客戶端根據消息s1計算出的哈希值，gver(s1)為所述關鍵節點設備對消息s1哈希驗證的主函數，f0為所述關鍵節點設備哈希驗證的函數列，hu1為信息交互時的h方，mu1[k]為信息交互時的m方，f1為客戶端哈希驗證的函數列，ghu1[k]為h方的基于x的k個分區的哈希值轉換函數，k為私有哈希鏈長度，fu1為u1方哈希驗證的函數列，gn為基于公共哈希鏈固定長度的哈希值轉換函數，gmu1[k]為m方的基于x的k個分區的哈希值轉換函數，gver(u1)[k]為u1方哈希驗證的主函數，fu0為u0方哈希驗證的函數列，g(x)為應用于x的函數，[k]表示x的k個分區，n表示公共哈希鏈的固定長度，fux為用戶ux的私鑰，gn(x)表示被用于簽名的公鑰，n-hu1[k]表示簽名長度，表示hu1[k]經過gn-1(s)計算后的hmac值。

15、進一步地，所述密鑰管理機制包括：

16、1)多因素身份驗證：設置所述關鍵節點設備登陸密碼和硬件密鑰，以進行知識因素和所有權因素雙驗證，建立一個多層次的防御，阻止未經授權的用戶訪問關鍵節點設備；

17、2)進一步限定密鑰的使用范圍：在所述關鍵節點設備ssh配置中指定允許的ip地址，只允許特定的ip地址范圍的用戶使用密鑰登陸，并使用船舶網絡總防火墻安全策略，只允許特定ip地址范圍的流量訪問ssh端口；

18、3)加解密密鑰的審計與監控：定期審計所述船舶網絡總服務器的日志記錄、配置文件和密鑰管理情況，啟用所述船舶網絡總服務器的詳細日志記錄功能，監控所有ssh會話的活動和事件，包括密鑰認證的成功和失敗嘗試。

19、本發明還提供一種根據上述所述的基于網絡安全的船舶網絡架構的內部部署改造方法，包括以下步驟：

20、步驟1、原始船舶網絡架構摸查：采用基于dfs深度遍歷的船舶網絡架構摸查方法獲取包括網絡設備互聯信息、配置信息、邏輯分布、網絡資源利用情況在內的信息；

21、步驟2、原始船舶網絡資產探測：采用基于tcp/ip協議簇的船舶網絡資產探測方法，通過發送網絡協議請求報文，獲取包括船舶原始網絡設備物理分布、ip資源利用情況、mac地址、子網劃分情況、船舶原始網絡接入系統在內的信息；

22、步驟3、船舶網絡改造架構選定：根據原始船舶網絡架構中的網關設備是否具備調試條件，以確定船舶網絡改造架構部署方式，若具備，則確定為部署方式一，若不具備，則確定為部署方式二；

23、步驟4、船舶網絡架構改造部署：根據確定的所述船舶網絡改造架構部署方式進行具體部署，對船舶資源進行重新分配和安全綁定，并部署所述船舶網絡總防火墻和船舶網絡核心交換機；

24、步驟5、船舶現網網絡資產探測：對于改造部署后的現船舶網絡架構，采用基于tcp/ip協議簇的船舶網絡資產探測方法，通過發送網絡協議請求報文，獲取包括船舶原始網絡設備物理分布、ip資源利用情況、mac地址、子網劃分情況、船舶原始網絡接入系統在內的信息，并與步驟2中獲取的信息進行對比，根據差異判斷船舶網絡資產是否存在丟失情況，若丟失則根據先前的信息進行故障排查，直至船舶網絡資產全部入網，若不丟失則不做任何操作；

25、步驟6、現網測驗及終端故障排查：采用船舶網絡現網測驗方法，對所述現船舶網絡架構進行測驗，并對存在故障的終端進行問題排查；

26、步驟7、船舶網絡改造相關文檔編寫：繪制所述現船舶網絡架構的網絡拓撲圖及船舶網絡資產分布圖，編寫包括船舶網絡資源利用信息表、船舶網絡設備互聯信息表、船舶網絡運維管理指南及船舶網絡應急處理指南在內的相關文檔。

27、進一步地，步驟1中，所述原始船舶網絡架構摸查的步驟包括：

28、步驟1.1、采用dfs深度遍歷方法對原始船舶網絡架構進行遍歷，確定所述船舶網絡出口設備的物理位置；

29、步驟1.2、尋找所述船舶網絡出口設備的下聯設備，并對包括網絡設備互聯信息、網絡資源利用情況在內的信息進行記錄；

30、步驟1.3、根據當前位置尋找未記錄的下聯設備，若存在未記錄的下聯設備，則對包括網絡設備互聯信息、配置信息、邏輯分布、網絡資源利用情況在內的信息進行記錄，并返回步驟1.3，若不存在未記錄的下聯設備，則返回當前設備的上聯設備，并執行步驟1.4；

31、步驟1.4、判斷所述當前設備是否為船舶網絡出口設備，若是，則進入步驟1.5，否則執行步驟1.3；

32、步驟1.5、對獲取的船舶網絡信息進行整合與分類，繪制出船舶網絡架構拓撲圖，完成原始船舶網絡架構的摸查過程。

33、進一步地，步驟2中，所述原始船舶網絡資產探測的步驟包括：

34、步驟2.1、根據原始船舶網絡架構摸查結果鎖定待探測的ip地址段作為目標ip地址段；

35、步驟2.2、將探測設備接入所述目標ip地址段內網絡，將所述探測設備的網卡信息更改為與所述目標ip地址段同一網段，接入所述船舶網絡核心交換機或船舶網絡樓層交換機；

36、步驟2.3、接收網絡資產探測工具發送的arp協議和icmp協議請求，訪問目標設備tcp端口，探測出其包括ip地址、mac地址、設備名稱、共享文件夾、開放的端口、設備生產信息及在線狀態在內的信息，獲取局域網中的所有設備的ip位置區域，確定所有設備的在線狀態；

37、步驟2.4、對步驟2.3中探測出的信息進行記錄；

38、步驟2.5、根據步驟2.4中記錄的信息對所有設備的物理位置進行探測，并記錄探測出的所有設備的信息；

39、步驟2.6、將原始船舶網絡架構的摸查結果和資產探測結果進行整合，繪制出船舶網絡資產拓撲圖，完成原始船舶網絡架構的資產探測過程。

40、進一步地，步驟3中，所述部署方式一和部署方式二分別為：

41、部署方式一：所述船舶網絡總防火墻和船舶網絡核心交換機為三層部署方式，將所述船舶網絡內網可信任區網關改造至船舶網絡核心交換機，將所述船舶網絡無線網隔離區網關改造至船舶網絡總防火墻，將所述船舶網絡內網可信任區和船舶網絡無線網隔離區的網關放置在不同設備上，并根據原始船舶網絡資產探測結果對計算機資源進行分配，按照原始船舶網絡架構中的各個系統進行vlan和ip劃分，對在錄設備進行端口綁定和arp綁定，按不同設備的權限進行訪問控制策略的配置；

42、部署方式二：所述船舶網絡總防火墻和船舶網絡核心交換機為二層部署方式，在所述船舶網絡總防火墻上部署安全策略和安全防護手段，根據原始船舶網絡資產探測結果對計算機資源進行分配，并按照原始船舶網絡架構中的各個系統進行ip分配，在在錄設備進行端口綁定和arp綁定，按不同設備的權限進行訪問控制策略的配置。

43、進一步地，步驟4中，所述船舶網絡架構改造部署的步驟包括：

44、步驟4.1、對所述原始船舶網絡架構的網絡性能指標進行測試，判斷出原始船舶網絡架構中可能存在的風險點和故障點；

45、步驟4.2、根據確定的船舶網絡改造架構部署方式，優先部署船舶網絡總防火墻并臨時放通船舶網絡總防火墻安全策略；

46、步驟4.3、對部署船舶網絡總防火墻后的船舶網絡架構進行內網、外網連通性測試，若測試通過則進入步驟4.5，否則進入步驟4.4；

47、步驟4.4、對船舶網絡總防火墻進行配置查驗及修正；

48、步驟4.5、以管理員身份按照確定的船舶網絡改造架構部署方式部署船舶網絡核心交換機；

49、步驟4.6、將原始船舶網絡核心交換機的線路根據規劃移至步驟4.5中部署的船舶網絡核心交換機，并對涉及的終端進行網卡配置重寫；

50、步驟4.7、對部署船舶網絡總防火墻和船舶網絡核心交換機后的船舶網絡架構進行內網、外網連通性及訪問控制策略測試，若通過則進入步驟4.9，否則進入步驟4.8；

51、步驟4.8、對船舶網絡核心交換機進行配置查驗及修正，并對可能涉及的終端問題進行排查；

52、步驟4.9、對船舶網絡總防火墻進行包括訪問控制策略、安全策略、端口控制在內的安全功能配置；

53、步驟4.10、對配置的安全功能進行測試，若測試通過則完成部署，否則進入步驟4.11；

54、步驟4.11、依次對物理接線、船舶終端配置、船舶總核心交換機配置及船舶網絡總防火墻配置進行問題排查，再進行步驟4.10，直至完成部署。

55、進一步地，步驟6中，所述現網測驗及終端故障排查的步驟包括：

56、步驟6.1、內網連通性測試：基于所述現船舶網絡架構，使用內網終端設備向內網其他終端設備發送icmp協議請求報文，并觀測icmp協議響應報文的接收情況；

57、步驟6.2、外網連通性測試：使用外網終端設備向外網dns服務器發送icmp協議請求報文，并觀測icmp協議響應報文的接收情況；

58、步驟6.3、船舶網絡質量性能測試：進行包括船舶網絡速率和船舶網絡利用率在內的網絡質量性能測試；

59、步驟6.4、acl訪問控制策略命中測試：模擬包括船員網絡非法訪問船舶網絡加密資源、船員網絡非法訪問外部網絡在內的場景以進行acl訪問控制策略命中測試；

60、步驟6.5、安全策略命中測試：模擬包括外部網絡非法侵入船舶內部網絡、外部網絡非法訪問船舶網絡資源在內的高風險場景以進行安全策略命中測試；

61、步驟6.6、冗余機制測試：模擬船舶網絡總防火墻和船舶網絡核心交換機的雙機備份切換場景以進行冗余機制測試；

62、步驟6.7、船舶網絡應急策略測試：開啟船舶網絡應急策略，測試船舶網絡設備與外網的連通性；

63、步驟6.8、船舶網絡應急方案模擬：模擬船舶網絡總防火墻和船舶網絡核心交換機在設備單臺故障和雙機故障時的應急處理；

64、步驟6.9、備用通訊系統測試：模擬備用通訊系統的可用性和穩定性。

65、與現有技術相比，本發明具有以下有益效果：

66、(1)本發明的網絡結構分為船舶網絡外網不可信任區、船舶網絡內網可信任區和船舶網絡無線網隔離區，船舶網絡外網不可信任區為重點防護區域，通過船舶網絡總防火墻進行安全處理后才可放行至船舶網絡內網可信任區和船舶網絡無線網隔離區，以此來阻止外部網絡入侵等非法行跡，船舶網絡內網可信任區為該架構中安全等級最高的區域，其數據在到達終端之前，船舶網絡核心交換機可進行一些技術處理以來阻止內部信息盜取等非法行跡，對外能夠有效阻止網絡非法攻擊和入侵行為，對內能夠有效提供船舶網絡信息交換的能力，限制了外部和內部使用者的非法訪問及病毒散播，船舶網絡的安全性能夠得到極大的改善。

67、(2)本發明注重關鍵節點管理的安全性，在網絡結構中采取了多種密碼學技術結合的辦法，提出了一種基于hmac的消息完整性校驗方法，同時也提供了一種密鑰管理機制，提高密鑰管理的安全性和效率，加固了船舶網絡的整體安全性。

68、(3)本發明船舶網絡架構提升了船舶公司對網絡的管理權限，使船舶網絡的關鍵節點的安全性得到進一步提升，加強了船舶公司對網絡高風險行為的控制，能夠實現對船舶網絡資源進行合理化分配，能夠杜絕船員肆意更改網絡結構、盜取網絡資產等行跡。

69、(4)本發明在采用網絡架構摸查中采用dfs深度遍歷思想，能夠實現盡可能深地訪問每個節點且每個節點只訪問一次，直至訪問完所有節點，確保查找的完整性，以此達到快速準確產生目標拓撲圖的目的，且在網絡資產探測中采用tcp/ip協議簇，確保了網絡改造中獲取原始網絡信息的準確性，減少了因為方法失誤而導致的網絡問題暴增，從而導致船舶網絡改造失敗。

70、(5)本發明為網絡改造的按時保質完成提供了一種高效穩定的方法，在改造邏輯上優化了不必要的復雜工序，大大縮短了工程施工的整體周期，節省了船舶的靠港時間，節約了船舶網絡改造的成本，保證了船舶網絡改造的實施進度。