本發(fā)明涉及一種深海觀測安全可信組網系統(tǒng)，屬于海底觀測組網技術領域，特別適用于水下可信組網接入解決方案中。

背景技術：

海洋和國家安全與權益維護、人類生存與可持續(xù)發(fā)展、全球氣候變化、油氣與技術礦產等戰(zhàn)略性資源保障等全局性、重大性和長久性問題休戚相關。海洋資源的開發(fā)利用和海洋環(huán)境安全將成為世界各國經濟與科技競爭的焦點之一。海底觀測網絡作為海洋探測領域的一大重點分支，將各類觀測設備布設在重要海域，實現長期連續(xù)、實時原位、立體剖面的海洋觀測，對海洋軍事安全、資源開發(fā)、防災減災、科學研究等有重要支撐作用，是國家戰(zhàn)略基礎設施的重要組成部分。

海底觀測網絡技術起源于第二次世界大戰(zhàn)時，所使用的水下潛艇探測陣列技術。上世紀末，西方發(fā)達國家率先開展大規(guī)模海底觀測網技術研究，美、加、歐、日、俄等相繼建立了多個具有水下目標探測、地震海嘯監(jiān)測、海洋內波監(jiān)測等功能的海底觀測網。當前，我國海底觀測網研究、試驗和建設也進入了一個快速發(fā)展階段。

目前國內外已有海底觀測網的水下網絡多采用分層樹型網絡架構，水下網絡處于開放海域環(huán)境，核心設備海底主、次接駁盒均基于開放共享體系架構和開放接口設計，水下觀測設備組網接入無須安全認證，直接通過水下機器人進行水下濕插拔接駁，或通過auv進行無線接駁，獲得通訊授權。

這種開放共享式海底觀測網架構面臨最大的安全隱患是：難以防止敵方的水下機器人抵近勘測和接入，相比岸基網絡而言，更容易受到非法接入、病毒入侵、木馬植入、數據篡改等安全攻擊。

因此，非常有必要針對水下網絡安全防護、可信接入等問題，創(chuàng)新一種水下可信組網接入解決方式，特別是研究一種可信深海組網接駁設備及安全可信組網技術，制定安全可信的深海觀測組網接入標準和規(guī)范。

技術實現要素：

發(fā)明目的：本發(fā)明的目的是為了解決現有技術中的不足，提供一種終端安全可控、可信接入控制、網絡可信互連、觀測網態(tài)勢掌控的深海觀測安全可信組網系統(tǒng)。

技術方案：本發(fā)明所述的一種深海觀測安全可信組網系統(tǒng)，包括可信岸基局域網和可信水下局域網，所述的可信水下局域網包括可信傳感終端、可信組網接駁設備、可信接入鑒權設備和證書服務基礎設施，所述的可信岸基局域網包括岸基運行保障系統(tǒng)、可信接入鑒權設備和證書服務基礎設施，所述的可信傳感終端與可信組網接駁設備、可信組網接駁設備與可信接入鑒權設備之間分別通過可信網絡相互連接，所述的證書服務基礎設施對可信接入鑒權設備提供認證支持。

進一步的，所述的可信組網接駁設備包括主接駁盒和次接駁盒，可信組網接駁設備是整個水下網絡的安全基礎支撐，它通過設備間的認證鑒別、運行狀態(tài)可信驗證、管控信息完整性保護、協議安全防護，有效防止針對水下網絡設備的非法接駁和入侵。

進一步的，所述的主接駁盒負責各個次接駁盒的匯聚互連；次接駁盒具備在數據鏈路層實施基于端口的可信接入控制功能，它是各個傳感終端接入水下網絡的第一道關卡，用于根據終端上報的身份信息與安全狀態(tài)進行評估，對身份合法并且安全狀態(tài)良好的終端打開接入端口，否則禁止接入網絡，同時對水下組網接入設備的通訊信息及狀態(tài)進行可信處理，以防數據泄露。

進一步的，所述的可信傳感終端具備硬件可信根以及軟硬件環(huán)境安全檢查、運行控制、密碼服務功能，實現終端信任鏈建立和安全管控，并通過可信接駁盒與可信接入鑒權設備交互入網認證，解決終端上系統(tǒng)破壞、數據被篡改、病毒入侵、惡意軟件運行安全問題。

進一步的，所述的可信接入鑒權設備部署于岸基站，負責對水下傳感終端入網請求進行響應，驗證入網終端身份、特征信息和安全狀態(tài)。

進一步的，所述的可信接入鑒權設備基于認證和授權結果，結合可信交換機實施端口控制，確保只有“身份合法、狀態(tài)合規(guī)”的水下傳感終端才能接入觀測網，并能對水下入網終端在線狀態(tài)和非法終端接入行為進行實時監(jiān)控和綜合統(tǒng)計。

進一步的，所述的可信傳感終端包括應用層、操作系統(tǒng)層和硬件層，所述的應用層包括可信運行控制、可信網絡連接、安全基線評估、終端安全加固和安全狀態(tài)監(jiān)控；所述的操作系統(tǒng)層包括可信軟件棧和可信設備驅動；所述的硬件層包括可信bootloader和可信模塊/芯片。

進一步的，所述的可信組網接駁設備包括應用層、嵌入操作系統(tǒng)層和硬件層，所述的應用層包括可信網絡連接、可信管理控制、訪問限制、可信互連協議和協議攻擊防護；所述的嵌入操作系統(tǒng)層包括可信軟件棧、可信設備驅動和自主網絡協議棧；所述的硬件層包括可信模塊/芯片和硬件。

進一步的，所述的可信接入鑒權設備包括應用層、系統(tǒng)層和硬件層，所述的應用層包括終端身份注冊、準入策略管理、終端身份認證、入網權限判決、終端準入控制、終端入網統(tǒng)計、入網行為展現和入網行為查詢；所述的系統(tǒng)層包括可信軟件棧和可信設備驅動；所述的硬件層包括可信模塊/芯片、可信bios和硬件。

進一步的，所述的證書服務基礎設施包括認證服務和證書管理功能。

有益效果：本發(fā)明的有益效果如下：

1、本發(fā)明提出了一種水下可信局域網，搭建水下網絡相關安全防護體系架構，為水下局域網提供安全防護措施，從整體上解決水下網絡面臨的主要安全威脅；

2、本發(fā)明設計了一種水下可信傳感終端、可信接駁盒及可信岸基設備，國內外尚無同類技術研發(fā)和產品應用，具備重大技術創(chuàng)新和實用價值；

3、根據可信技術的相關標準，本發(fā)明針對水下網絡的水下樞紐節(jié)點的主接駁盒、水下中繼節(jié)點的次接駁盒的設備及水下網絡的安全防護問題，提出了水下可信接駁盒及水下可信局域網的整體解決方式。

附圖說明

圖1為本發(fā)明的深海觀測安全可信組網體系結構圖；

圖2為海底觀測組網結構示意圖。

具體實施方式

下面結合具體實施例和附圖對本發(fā)明的技術方案作進一步詳細說明。

如圖2所示的海底觀測組網結構示意圖，主要包括相互連接的主接駁盒樞紐節(jié)點和次接駁盒中繼節(jié)點，次接駁盒中繼節(jié)點連接有各個傳感器和水下接入點。

這種開放共享式海底觀測網架構面臨最大的安全隱患是：難以防止敵方的水下機器人抵近勘測和接入，相比岸基網絡而言，更容易受到非法接入、病毒入侵、木馬植入、數據篡改等安全攻擊。

如圖1所示，本發(fā)明提出的一種深海觀測安全可信組網系統(tǒng)，包括可信岸基局域網和可信水下局域網，所述的可信水下局域網包括可信傳感終端、可信組網接駁設備、可信接入鑒權設備和證書服務基礎設施，所述的可信岸基局域網包括岸基運行保障系統(tǒng)、可信接入鑒權設備（水下/岸基網共用）和證書服務基礎設施，所述的可信傳感終端與可信組網接駁設備、可信組網接駁設備與可信接入鑒權設備之間分別通過可信網絡相互連接，所述的證書服務基礎設施對可信接入鑒權設備提供認證支持。

其中，所述的可信組網接駁設備包括主接駁盒和次接駁盒，可信組網接駁設備是整個水下網絡的安全基礎支撐，它通過設備間的認證鑒別、運行狀態(tài)可信驗證、管控信息完整性保護、協議安全防護，有效防止針對水下網絡設備的非法接駁和入侵。

其中，所述的主接駁盒負責各個次接駁盒的匯聚互連；次接駁盒具備在數據鏈路層實施基于端口的可信接入控制功能，它是各個傳感終端接入水下網絡的第一道關卡，用于根據終端上報的身份信息與安全狀態(tài)進行評估，對身份合法并且安全狀態(tài)良好的終端打開接入端口，否則禁止接入網絡，同時對水下組網接入設備的通訊信息及狀態(tài)進行可信處理，以防數據泄露。

其中，所述的可信傳感終端具備硬件可信根以及軟硬件環(huán)境安全檢查、運行控制、密碼服務功能，實現終端信任鏈建立和安全管控，并通過可信接駁盒與可信接入鑒權設備交互入網認證，解決終端上系統(tǒng)破壞、數據被篡改、病毒入侵、惡意軟件運行安全問題。

其中，所述的可信接入鑒權設備部署于岸基站，負責對水下傳感終端入網請求進行響應，驗證入網終端身份、特征信息和安全狀態(tài)。

其中，所述的可信接入鑒權設備基于認證和授權結果，結合可信交換機實施端口控制，確保只有“身份合法、狀態(tài)合規(guī)”的水下傳感終端才能接入觀測網，并能對水下入網終端在線狀態(tài)和非法終端接入行為進行實時監(jiān)控和綜合統(tǒng)計。

其中各個模塊部分的結構組成如下：

可信傳感終端包括應用層、操作系統(tǒng)層和硬件層，所述的應用層包括可信運行控制、可信網絡連接、安全基線評估、終端安全加固和安全狀態(tài)監(jiān)控；所述的操作系統(tǒng)層包括可信軟件棧和可信設備驅動；所述的硬件層包括可信bootloader和可信模塊/芯片。

可信組網接駁設備包括應用層、嵌入操作系統(tǒng)層和硬件層，所述的應用層包括可信網絡連接、可信管理控制、訪問限制、可信互連協議和協議攻擊防護；所述的嵌入操作系統(tǒng)層包括可信軟件棧、可信設備驅動和自主網絡協議棧；所述的硬件層包括可信模塊/芯片和硬件。

可信接入鑒權設備包括應用層、系統(tǒng)層和硬件層，所述的應用層包括終端身份注冊、準入策略管理、終端身份認證、入網權限判決、終端準入控制、終端入網統(tǒng)計、入網行為展現和入網行為查詢；所述的系統(tǒng)層包括可信軟件棧和可信設備驅動；所述的硬件層包括可信模塊/芯片、可信bios和硬件。

證書服務基礎設施包括認證服務和證書管理功能。

本發(fā)明的目的是：

在水下觀測組網中，實現如下安全可信控制功能：

1、終端安全可控：防止系統(tǒng)破壞、采集數據被篡改、惡意程序運行等；

2、可信接入控制：防止身份非法或者安全狀態(tài)不合規(guī)的終端接入水下網；

3、網絡可信互連：防止非法或健康度不達標的網絡設備相互級聯進行通信；

4、觀測網態(tài)勢掌控：提供終端安全狀態(tài)、入網行為監(jiān)控和綜合統(tǒng)計展現。

以上所述，僅是本發(fā)明的較佳實施例而已，并非對本發(fā)明作任何形式上的限制，雖然本發(fā)明已以較佳實施例揭露如上，然而并非用以限定本發(fā)明，任何熟悉本專業(yè)的技術人員，在不脫離本發(fā)明技術方案范圍內，當可利用上述揭示的技術內容作出些許更動或修飾為等同變化的等效實施例，但凡是未脫離本發(fā)明技術方案的內容，依據本發(fā)明的技術實質對以上實施例所作的任何簡單修改、等同變化與修飾，均仍屬于本發(fā)明技術方案的范圍內。