《青鸟环宇VPN系列产品-技术白皮书v1.docx》由会员分享,可在线阅读,更多相关《青鸟环宇VPN系列产品-技术白皮书v1.docx(31页珍藏版)》请在三一办公上搜索。
1、青鸟环宇VPN系列产品 技术白皮书北京北大青鸟环宇科技股份有限公司2002年5月目 录第一章 企业网络系统信息安全问题11.1 企业(政府)网络系统典型架构及其安全现状11.2 企业网络面临的威胁及安全需求31.3 网络安全基本技术与VPN技术61.4 IPSec网络安全体系81.5 用SJW10 IP保密机构建VPN系统9第二章 青鸟环宇VPN设备SJW10 IP保密机122.1 SJW10 IP保密机技术说明122.1.1 硬件平台及主要功能122.1.2 软件系统及网络位置132.1.3 功能指标及配置说明142.2 SJW10 IP安全包技术说明172.2.1 概述172.2.2 系统
2、总体结构182.2.3 功能特点182.3 SJW10安全管理中心192.3.1 概述192.3.2 密钥管理方案21第三章 典型应用案例233.1 某省银行应用SJW10构建安全金融业务网233.2 某市银行应用SJW10构建安全银证联网系统253.3 某省环保局应用SJW10在Internet上构建安全数字环保网络27第一章 企业网络系统信息安全问题1.1 企业(政府)网络系统典型架构及其安全现状随着我国通信基础设施建设的飞速发展和互连网络技术的日趋完善,各行各业及政府各部门纷纷借助公共网络基础设施将分散在不同地域的相对封闭的信息系统联成一个整体,以加快信息的流动速度,提高企业的综合竞争力
3、,提升政府办公的工作效率。 就目前大部分网络应用而言,典型的企业(政府)网络结构一般都由一个总部(网络中心)、若干分支机构、数量不等的合作伙伴及移动远程(拨号)用户所组成。除远程用户外,其余各部分均为规模不等的局域网络系统。其中总部局域网络是整个网络系统的核心,为企业(政府)各类中心服务器所在地,同时也是网络管理中心。各部分之间的联接方式多种多样,包括远程拨号、专线、Internet等。从互联方式来看,则可分为三种模式:通过拨号远程访问企业网络,拨号又可分为通过电话网络拨入访问服务器和拨入网络服务提供商(如:ISP)两种方式;远程分支机构局域网通过专线或公共网络和总部局域网络连接;合作伙伴(客
4、户、供应商)局域网通过专线或公共网络和总部局域网连接;该典型结构如下页图1.1所示。在这个网络系统运行的既有传统的客户服务器模式的业务系统,也有基于Internet技术的WEB应用,或者两者兼有。随着Internet技术的日益成熟,WEB应用将逐步成为主流,而TCP/IP协议则是网络互连的唯一选择。现行的各类企业(政府)网络系统均有其特定的发展历史,一般而言, 在其网络系统建设过程中,主要侧重信息系统的稳定、正确运行。就网络信息系统安全而言,一般仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑
5、到了部分信息安全问题。应该说这在系统建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多的照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易就留下安全漏洞。总的来说,这些系统中的大部分远没有达到能和系统中信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御。总 部www服务器中心主机工作站网管中心访问服务器路由器DDN/FR/X.25/PSTN/Internet 路由器ISP / NSP合作伙伴工作台服务器移动用户拨号用户路由器分
6、支机构服务器工作台拨号/移动办公用户图 1.1 企业网络结构1.2 企业网络面临的威胁及安全需求对企业(政府)网络系统的安全威胁可以说多种多样,就攻击的对象及采用的手段来加以区分,可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,实施安全攻击的人员既可能是外部人员,也可能是内部人员。1.2.1 针对信息的攻击对处于传输和存储形态的信息实施非法攻击,其手段包括侦听破译、篡改报文、重发(或少发)报文、改变信息的传输顺序以及流量分析等,其攻击地点既可以在局域网内,也可以在广域网上。由于信息在局域网中多采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,攻击者
7、就可以对信息包进行分析,那么本广播域的信息传递过程都会暴露在攻击者面前。即使是采用交换方式的局网,由于信息的流动具有明显的集中性(如一个服务器对多个客户机),攻击者只要有机会接近信息的汇聚点(如交换机的服务器端口),即可对其实施攻击。对广域网而言,由于广域网通常是基于公共网络连接而成,因而在广域网上进行传输时信息就更可能受到各种各样的攻击,诸如:窃取、伪造、破坏等。任何一个有条件接触通信结点或信道的人都可以实施上述攻击,这种形式的“攻击”是相对比较容易成功的,只要使用现在很容易得到的“包检测”软件即可。随着网络侦听工具的隐蔽化和灵巧化,对信息攻击的可实施性正变得越来越容易实现。以前购置一套功能
8、强大的协议分析设备需花费十几万乃至几十万元,能掌握这些设备的人极为稀少。而现在,协议分析工具软件随处可得,有些免费软件的协议分析能力越来越强大,试用人员队伍十分庞大,一旦得到合适的机会,即使无心之人也可能抵挡不住好奇心而铤而走险,更何况蓄意犯罪之徒。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;他也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端的层出不穷,而未公开与之相比会数以倍计。1.2.2 针对系统的攻击利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到
9、非法访问直至控制系统的目的,并以此为跳板,继续攻击其它系统。此类攻击手段包括隐通道攻击、特络伊木马、口令猜测、缓冲区溢出等,早期的黑客多是利用这类攻击方法。随着基础系统软件安全功能和安全管理制度的不断完善,此类攻击的成功比例正在逐步减少,但由于当今黑客组织越来越严密,攻击技巧层出不穷,攻击工具传播迅速,因此在相当长时期内,仍是主要的威胁之一。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,这些软件在安装时的缺省配置往往更多的照顾方便性而忽略了安全性,如考虑不周很容易就留下安全漏洞,如果再考虑到某些软件供应商出于政治或经济目的,可能在系统中预留“后门”,因此必须要有有效
10、的技术手段加以预防。1.2.3 针对使用者的攻击这是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并在事后或嫁祸他人、或毁灭证据。此类攻击的特点是难以取证。1.2.4 针对资源的攻击以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击,如邮件炸弹、ping流攻击等。拒绝服务攻击的高级形式为分布式拒绝服务攻击(DDoS),即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。针对资源的攻击发起点通常来自互联网,其攻击对象多为各类网站。分布
11、式拒绝服务攻击通常都是经过精心策划,有组织的犯罪行为。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。1.2.5 企业的安全需求网络安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。机密性:确保信息不暴露给未授权的任何其它方实体或进程。完整性:只有授权的实体或进程才能修改数据,并且能够判别出数据是否已被篡改。 可用性:确保授权实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可审查性:对出现的网络安全问题提供调查的依据和手段。可控性:可以控制授权范围内的信息流
12、向及行为方式。 目前国内企业的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、网络访问控制、操作人员的身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。l 传输信息的安全总部和分支机构、合作伙伴之间的业务数据在网上传输时,有可能被截取、窃取、伪造、假冒、篡改,所以必须保证通信信道上的信息安全性。通信信息的安全性包括通信数据的机密性和完整性。通信数据的机密性可通过数据加密来实现,可防止传输信息被截取、偷看;通信数据的完整
13、性则依赖于MAC码(消息验证码)和数字签名来实现,可防止被假冒、篡改、重放等。l 节点身份认证是指在进行网上业务时,系统内各节点之间要互相验证对方的身份,以防假冒。节点身份认证对关键性的实时业务尤为重要,例如,对于金融储蓄业务,案犯可以利用PC机伪造储蓄网点,进行存钱操作,然后立即在合法的储蓄所取出现金。l 网络访问安全关键业务网络系统的各节点之间通常是通过跨地域的公共基础网络连接,需要有效地防止可能来自该基础网络的对系统主机和内部网络的非法访问和攻击。l 操作人员的身份认证和交易的不可抵赖性对操作人员身份的正确而有效的认证是实现不可抵赖的前提,交易的不可抵赖性是指防止对交易行为的抵赖和否认行
14、为,交易的不可抵赖通常通过数字签名来实现,重要的交易行为应该签名并实时验证。l 非法攻击事件的可追踪性对重要事件应具有详细的审计纪录,以便在发生攻击时提供确凿的追究证据,从而使系统具有强大的威慑力量和有效的取证手段。必须指出:网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。1.3 网络安全基本技术与VPN技术解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信
15、息、认证用户身份、抗否认等。密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护。数据加密过程是由各种加密算法来具体实施,按照收发双方密钥是否相同来分类,可以将这些加密算法分为对称密码算法和非对称密码算法(公钥算法)。 对称密钥密码算法的收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。最著名的对称密码算法为美国的DES算法及其各种变形。对称密码算法的
16、优点是有很强的保密强度和较快的运算速度,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。 非对称密钥(公钥)密码算法的收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥,这些特性使其成为实现数字签名的最佳选择。最著名也是应用最为广泛的公钥密码算法是RSA算法。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。密码技术用于网络安全通常有二种形式,即面向网络或面向应用服务。前者通常工作在网络协议栈的网络层或传输层,在网络层上实现的加密技术对于网络应用层的用户通常是透明的。面向应用服务的加密技术发生在业务
17、程序中,通常用于解决特定应用相关的安全问题,典型应用有用户身份验证、交易信息的签名验证和交易信息的加密等。虚拟专用网络(VPN:Virtual Private Network)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全地传递信息;另外,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全地连接进入企业网中。综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理
18、机制,在公用的网络基础设施上建立安全的虚拟专用网络系统,实现完整的集成化的企业范围VPN安全解决方案。对于现行的各种业务网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高、适应性差、无统一标准等缺陷,又避免了应用层端-端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其它安全和系统管理技术融
19、合等优势,成为目前和今后企业安全网络发展的趋势。 从应用上看虚拟专网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网;虚拟专用拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件: 保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。 保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。 保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
20、 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。目前建造虚拟专网依据的主要国际标准有IPSec、L2TP、PPTP、L2F等。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草,目前尚处于草案阶段。IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。目前,采用IPSec标准的VPN技术正在迅速走向成熟,而且它正处于兴盛期,因
21、此在构造VPN基础设施时应该首先考虑IPSec标准。 1.4 IPSec网络安全体系IPSec(IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一套协议标准,IPSec的结构文档RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上。IPSec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义,其中,封装安全载荷(ESP)机制为通信提供机密性、完整性
22、保护;验证头(AH)机制为通信提供完整性保护,这两种机制都能为通信提供抗重放攻击;IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。为了实现VPN通信的数据机密性和完整性,VPN产品大多使用IPSec协议的封装安全载荷(ESP)机制。ESP机制通过将整个IP包或IP包的数据部分封装到一个ESP载荷中,然后对此载荷进行相应的安全处理,如加密处理,鉴别处理等,实现对通信的机密性或/和完整性保护。ESP在封装载荷时有两
23、种封装模式:一是“隧道模式”,另一是“传输模式”。隧道模式将整个IP分组封装到ESP载荷中,传输模式是将IP的数据部分封装到ESP的载荷中。在传输模式中,IP头与上层协议头之间需插入一个特殊的IPSec头;而在隧道模式中,要保护的整个IP包都需封装到另一个IP数据包里,同时在外部与内部IP头之间插入一个IPSec头。IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商,由RFC2409文件描述的IKE协议是Oakley和安全密钥交换机制(SKEME)协议的一种混合,它综合了Oakley和SKEME的优点,使用了Internet安全关联与密钥管理协议(ISAKMP)的语言,形成
24、了自己独一无二的验证加密材料生成技术,以协商共享的安全策略。IKE通过两个阶段的协商来完成安全关联(SA)的建立,第一阶段,由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMP SA的安全关联;第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSec SA的协商。IKE在使用预共享密钥时,只能将预共享密钥建立在对方的IP地址之上,这是使用预共享密钥时一个已被公认的局限,解决这个问题的一个显而易见的办法是使用一种建立在公开密钥基础(PKI)上的签名/验证数据加密方法。公开密钥通常是从电子证书中取得,IKE允许证书的交换,也允
25、许从对方那里索取证书。目前使用最多也最为常见的公开密钥算法是RSA公开密钥算法。1.5 用SJW10 IP保密机构建VPN系统经国家商用密码主管部门认证的SJW10系列VPN产品,由SJW10 高/中/低3档IP保密机、SJW10 IP安全包和安全管理中心组成,利用SJW10系列VPN产品所构成的典型VPN解决方案如图1.2所示。在图1.2中,保密机为SJW10 IP保密机,具有高速网络传输数据加密/解密功能。保密机以网桥方式接入本地局域网,用于保护一个局网、或用于保护一台或几台服务器。保密机的安装和运行与应用软件和主机类型无关,安装灵活便利,即插即用。安全包是SJW10 IP安全包,是客户端
26、VPN产品,它可安装于各种客户端PC平台及移动设备平台,支持各种版本的Uinx / Linux操作系统及Microsoft Windows全线操作系统平台,用以保护单台主机设备,或保护以该主机为网关的办公室网络环境。SJW10 IP安全包由安装于上述操作系统上的软件包和硬件加密模块(加密卡、IC卡或USB加密棒)组成,它既可独立部署,构成一个松散灵活的安全广域网络,也可以与后端的各类IP保密机及安全管理中心平台配合使用,构成一个完整的企业级IP-VPN(IP虚拟专用网)解决方案。安全管理中心是SJW10 VPN环境中的管理机构,其主要功能包括:为整个VPN环境中的SJW10设备签发电子证书;远
27、程管理、配置VPN环境中的SJW10 IP保密机设备;接收SJW10 IP保密机的远程注册、上传日志并对日志进行分类管理。 由SJW10 IP保密机和安全包构建的VPN网络安全解决方案的主要特点是:1. 整体安全性:同时提供网络安全访问控制、数据传输加密、节点认证、用户认证及安全审计功能,同时为应用程序提供密码编程接口,和应用程序配合可实现对交易信息的签名、认证及存储加密等功能,可作为网络系统整体安全解决方案的基础框架。2. 健壮性:IP保密机内置定制安全操作系统,具有良好的自身安全性;3. 透明性:现有业务系统和网络结构无须做任何调整;4. 适应性:能很好适应各种网络结构和网络路由协议;5.
28、 标准化:与国际标准IPsec接轨;6. 可实施性:安装、维护简单快速,可随时进行而不影响正常业务;总 部主机保密机安全管理中心路由器广域网DDN / FR / X.25 / ISDN / Internet 主机路由器保密机工作站分支机构远程拨号Modem移动用户(安全包+USB密码设备)定点用户(安全包+密码设备)图1.2 VPN 安全整体解决方案第二章 青鸟环宇VPN设备SJW10 IP保密机2.1 SJW10 IP保密机技术说明2.1.1 硬件平台及主要功能SJW10 IP保密机是具有高可靠、高稳定性的网络安全设备,内置性能稳定、支持连续运转的工控标准硬件和经国家密码管理机构认证的密码模
29、块,含有2 5个10/100M自适应的以太网络接口,可方便地以网桥方式接入各种拓扑结构的以太网络线路之中。采用稳定可靠的电子存储设备作为系统的主存储介质,所有系统软件固化在DOC(DiskOnChip)芯片中,避免了由于易损坏的磁盘介质和读写磁盘时的机械操作给系统运行带来的稳定性隐患,采用加密存贮IC卡进行用户身份认证和电子证书的管理。保密机使用定制安全操作系统,操作系统的压缩镜像和系统配置文件存放在电子盘中,采用先进的内存文件系统技术,使系统运行时所有的文件操作都在内存中完成,既大大提高的运行效率,又避免频繁读写电子存储设备对其使用寿命造成的影响。用户可以通过串口或通过网络接口,利用Wind
30、ows风格的控制台界面对保密机进行本地或远程的设置和管理。IP保密机的主要安全功能包括:(1) IP报文加/解密功能,有选择地对流经保密机的IP报文实施应用透明加密解密操作并进行完整性认证;(2) VPN环境中的节点身份认证功能,防止非法设备假冒通讯;(3) 密码服务网络调用功能,为其它主机提供密码服务调用接口,包括分组加密/解密,公钥对生成,签名/验证,MAC生成/验证等;(4) 分布式密钥协商与预共享密钥共存,密钥管理便捷、适用;(5) 网络安全审计功能,记录网络传输情况、保密机的关键操作,以备查询、分析之用;(6) 保密机之间具有双机(或多机)互为备份的功能,互为备份的保密机之间能够实时
31、地进行密码同步,保证网络密码通讯的畅通;2.1.2 软件系统及网络位置保密机软件系统以定制安全操作系统为基础,整个密码机的软件系统可分为管理界面层、用户命令层、应用编程接口层和核心层(包括:网桥转发、协议分析和设备驱动)4个层次,其软件模块结构如图2.1所示。图 2.1 保密机软件模块结构保密机软件系统的核心是协议分析模块,它完成对网络数据包的协议解析,根据系统定义的各项安全策略对数据包进行相应的处理,即:根据加密规则对流经保密机的IP包进行密码处理;根据审计策略的定义对网络数据进行登记。一般情况下,在多个局网(内网)通过广域网络(外网)互联时,IP保密机用于保护各个局域网络,对出入局网的所有
32、信息实施密码保护和网络访问控制。此时,保密机以网桥方式接入在内部局网与外网路由器(广域网路由器)之间,如图2.2所示。主机安全管理中心路由器保密机交换机内部网络图2.2 IP保密机在网络中的位置实际上,保密机可以安放在以太网络线路的任何位置,用户需要保护哪一段网络,保密机就可以放置在这个网络的出口处,这个网络可能是由若干路由器连接的一个局部网络(如:建筑物内、园区内);也可能是由集线器(HUB/交换机)连接起来的几台主机;也可能是就是一台服务器。2.1.3 功能指标及配置说明1、 密码机制l IP数据加密/解密及报文认证保密机截获网络上流经本机的IP数据包,根据加密规则对其进行密码处理,在进行
33、报文加/解密的同时对报文数据进行消息认证码运算,对所传输的报文进行完整性认证。l 支持多种型号的加密卡,支持多种加密算法的混合使用为了满足用户对密码功能的需求,保密机同时支持多种型号的加密卡设备,支持多种加密算法的混合使用,对用户提供的新的加密模块可以做到加载即可用。l 为用户主机提供网络密码调用,用户可以通过调用SJW10 IP保密机提供的密码服务建立自己的安全应用系统。l 支持PKI机制的分布式密钥自动协商,同时支持预共享对称密钥管理。密钥管理是VPN系统中核心关键部分,PKI机制利用电子证书进行电子通信的签名、认证和加密传送,通过PKI机制用户可以把密钥管理分布到各个密码机上,使需要进行
34、密码通讯的双方自行协商出通讯加密密钥,极大地方便VPN系统的密钥管理。l 对称密码算法密钥长度为128位,非对称密码算法密钥长度为1024位。2、 安全机制l 网络节点认证保密机在进行密码通信前需要进行节点身份认证,身份认证基于安全管理中心签发的电子证书,只有当网络节点认证合法时,保密机才可以进行通信密钥的协商。l 网络数据审计保密机截获网络上流经本机的IP数据包,根据网络审计事件的定义,对网络数据进行审计,以备后查。3、 管理机制l 保密机支持集中式远程管理,网络安全管理员可以在安全管理中心对整个VPN环境中的密码设备进行及时的统一管理,既方便了密码机的管理工作,又提高了管理工作的效率。l
35、保密机进行身份认证所使用的电子证书可以由用户自行签发,也可能是由第三方权威机构签发,SJW10 IP保密机支持第三方CA机构签发的符合X.509标准的电子证书,支持第三方管理中心的远程管理。4、 网络适应性l 密码机采用网桥转发机制,原理如同交换机一样,能广泛适应各种以太网络结构,保密机的密码处理发生在IP层,与网络应用系统无关,保密机的接入与原网络物理和应用系统完全相容。l 保密机有2、3、4、5多个网络接口的配置形式,网络接入灵活、便捷,能适应各种网络拓扑结构,包括双路由器、双交换机交叉相连的网络冗余设计,支持各种先进的路由协议和网络管理协议。l 支持802.1Q和ISL封装的VLAN结构
36、随着安全意识的不断提增强,在局域网络内部划分“虚拟局域网络VLAN”已成为提高局域网内部安全性的常用手段。在内部网络划分了VLAN的网络系统中,将采用802.1Q或ISL协议封装VLAN协议,保密机支持上述专用网络协议确保网络畅通。l 支持动态IP接入方式在SJW10 IP客户端没有固定IP地址的应用环境中,客户端可通过拨号接入ISP/NSP获得动态IP地址,保密机支持动态IP客户端的安全隧道建立请求,当身份认证合法后,保密机将与客户端建立安全隧道进行密码通信,从而极大地增强了保密机的实用性。5、 应用可靠性l 无硬盘结构,系统性能更加稳定保密机系统在网络中与路由器和交换机协同工作,处于不停机
37、工作状态。SJW10 IP保密机通过采用可靠的硬件、关键部件冗余备份、以FLASH芯片作为存储设备等技术,使系统具有良好的可靠性。l 具有配置文件的备份、双机主从备份及多机互为备份功能保密机设计了各种备份功能,包括文件备份、机器主从备份和多机互为备份,以提高保密机系统运行的高可靠性和高稳定性。6、 硬件配置l 网络接口数量 25个10/100Mbps RJ-45以太网接口l CONSOLE口数量 1个RS-232串行口,速率38400bpsl 电气特性 180V260V/50Hz/250W机箱尺寸 1U/2U/4U标准机箱7、 技术指标l 适用通信环境 基于TCP/IP协议的网络环境l 明文通
38、信速率 100M bps / 10M bpsl 加密通信速率 20Mbps / 10Mbps / 5Mbpsl 环境条件 运行温度 060C相对湿度 5 95%l 平均无故障时间 30000小时l 系统保密性 国家密码管理委员会鉴定通过,国密证第0053号l 系统安全性 公安部测试通过,销售许可证号XKC330688、 人机界面l 提供本地串口和网络接口对保密机进行配置管理l 提供图形配置界面和命令行控制方式l 命令行方式符合UNIX命令风格l 图形界面符合Windows界面风格,如图2.3所示:图 2.3 保密机控制界面2.2 SJW10 IP安全包技术说明2.2.1 概述IP安全包由操作系
39、统外挂式软件包和硬件加密设备(加密卡、USB加密棒或智能IC卡加密设备)所组成。软件包分为应用软件和操作系统核心软件,核心软件是可嵌入相应操作系统核心的IP层垫片程序和加密设备驱动程序。IP安全包适用的操作系统范围为基于Intel平台各种版本的Unix、Linux及Windows9x/NT/2000,基本囊括了目前流行的客户端操作系统平台。IP安全包作为IP保密机的客户端密码设备,特别适用于需要建立安全通信隧道的移动办公用户,和布局分散且数量较多的网络端接系统(例如:银行的各个储蓄所)。2.2.2 系统总体结构适用于不同操作系统平台的IP安全包在总体结构上大同小异,现以Windows平台安全包
40、为例加以说明。整个系统分为四个程序部分:启动程序、管理程序、垫片程序、加解密程序。其中的垫片程序和加解密程序以核心态方式运行,它们在WINDOWS启动时被装载,而启动程序则在Windows初始化完毕之后被装载,由它来设置程序的一些初始化状态并启动整个系统的运行。管理程序只在需要改变系统设置,或是更改访问控制或密钥时才运行。它们的结构如图2.4所示:IP垫片Ndis访问控制数据加解密特殊IP&TCP端口表访问控制表二级密钥表网卡控制状态缺省控制模式网络密钥一级密钥sndkey.dat用户界面启动actrl.dat访问控制管理基本设置加解密程序Encrypt.vxd垫片程序Ndisshim.vxd
41、管理程序Nascman.exe启动程序Nascstar.exe密钥管理 图2.4:WINDOWS IP安全包2.2.3 功能特点IP安全包可以独立应用,也可作为下端与上端IP保密机配合使用,主要功能包括:l 在Win95/98/NT/2000及UNIX、Linux等系统上提供访问控制、身份认证和加密通信功能;l 支持多种加密算法的混合使用,可以方便地实现与用户自己的加密模块和密码管理模块的挂接;l 支持TCP/IP协议族,对其它协议可选支持;l 基于主机地址或子网地址的访问控制,防止数据的非授权访问;l 应用透明,使得网络中原有的各种应用程序无需改变就可以实现加密传输;l 与网络适配器无关,支
42、持各种局域网适配器(如:Intel网卡、3COM网卡,等)、广域网适配器(如:X25卡)和拨号网络适配器(如:RS-232接口、PPPoE逻辑卡,等);l 支持对配置多块网络适配器系统的灵活控制,用户可根据实际通信状况选定加密通信的网络设备;l 可以对特殊主机的某些TCP端口区别处理;l 界面美观、管理方便。2.3 SJW10安全管理中心2.3.1 概述SJW10安全管理中心是青鸟环宇SJW10 IP保密机系列产品的重要组成部分,它和SJW10 IP保密机、SJW10 IP安全包一起,构成一个完整的VPN产品体系。青鸟环宇SJW10 IP保密机的密钥管理体制采用了基于公开密钥密码体制(PKI)
43、体系结构的“集中认证,分布协商”的密钥管理方案,PKI体制要求证书和密钥在产生和分发过程中需要有一个“权威”机构对其进行合法性保证,这个权威机构称之为Certificate Authority(CA)。在利用SJW10 IP保密机构成的一个VPN网络应用环境中,由SJW10安全管理中心(SMC)完成简明的CA认证中心的功能。作为整个VPN产品系列的管理和控制中心,SMC的功能职责主要包括:n 证书管理SJW10 IP保密机和安全包在使用时必须拥有一个合法证书,用于通讯双方的节点认证和通讯密钥协商。SMC将起到一个内部CA中心的作用,接受认证申请、审查申请人的资格、生成并发放电子数字证书,完成证
44、书生成、发放、废弃、重用、查询等管理工作。n 保密机/安全包配置维护拥有同一个SMC签发的证书的所有保密机/安全包构成一个安全应用域,SMC对该应用域中所有保密机/安全包进行分类管理并对配置情况进行列表查询,负责接受各保密机/安全包的登记注册并对分布在各地的保密机实施远程配置、管理,保密机/安全包的最新配置信息可通过在线注册汇总到SMC中。n 保密机/安全包日志维护应用域中各保密机/安全包的审计日志可以本地存放,也可以通过网络汇集存放在该应用域的SMC中。当日志文件选择存放在SMC时,SMC可对这些日志实行集中管理。SMC签发的证书具有三种介质实体形式,分别为:IC卡片形式、USB棒形式和3吋
45、软盘形式。保密机获得自己的证书是通过读取存放证书的IC卡,证书读取成功后,保密机将证书保存在本机中,以后每次需要使用证书时,不用再读取IC卡,除非要更换新的证书。当一个机构网络中的保密机较多或者它的分支机构分布比较分散时,为了便于证书的管理,SMC不将由其生成的电子证书制作成证书实体,而是将证书文本导出,分发到下级部门或它的分支机构。各分支机构使用证书托管理中心接收由SMC签发的电子证书文本,并负责发布证书实体。这样,当存有证书的物理载体损坏时,不用到它上级部门的SMC去重新生成证书实体,只需在本地证书托管中心就可以重新生成,保证了证书可以快速、便捷地到达用户手中。安全管理中心软件的运行环境为
46、Windows NT或Windows 2000,其操作控制界面符合Windows风格,当用户启动安全管理中心后,可以方便地利用界面提供的功能进行工作,安全管理中心的控制界面如图2.5所示:图 2.5 安全管理中心控制界面2.3.2 密钥管理方案SJW10 IP保密机的密钥管理体制既采用了基于公共密钥PKI体系结构的“集中认证,分布协商”的密钥管理方案,同时支持传统的预共享对称密钥的密钥管理方案。SJW10密钥管理采用一级密钥、二级密钥和会话密钥三级密钥管理方式,一级密钥为非对称密钥,用于保护二级密钥的协商交换。一级密钥由安全管理中心负责生成,通过加密IC卡或USB棒发放并注入保密机。二级密钥用于加密传送会话密钥,需要通信的每对保密机(安全包)之间具有对称的二级密钥,二级密钥受一级密钥保护由保密机自行协商,或直接由安全管理员手工设置。会话密钥用于加密传送数据,系统为每个加密报文动态产生不同的会话密钥,并由二级密钥保护随IP包经网络传输。由于每个IP保密机(安全包)均具有不同的一级密钥和二级密钥,具有良好的密钥分割特性,因此当一个
