版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、青乌Dfi字JADE BIRD UNIVERSAL青鸟环宇VPN系列产品技术白皮书北京北大青鸟环宇科技股份有限公司2002年5月第一章 企业网络系统信息安全问题 11.1企业(政府)网络系统典型架构及其安全现状 11.2企业网络面临的威胁及安全需求 31.3网络安全基本技术与VPN技术 61.4 IPSec网络安全体系 81.5用SJW10P保密机构建 VPNS统 9第二章 青鸟环宇VPNS备 SJW10 IP保密机 122.1 SJW10IP保密机技术说明 122.1.1 硬件平台及主要功能 122.1.2软件系统及网络位置 132.1.3功能指标及配置说明 142.2 SJW10IP安全包
2、技术说明 172.2.1 概述 172.2.2系统总体结构 182.2.3功能特点 182.3 SJW1C安全管理中心 192.3.1 概述 192.3.2密钥管理方案 21第三章典型应用案例 233.1某省银行应用SJW1(构建安全金融业务网 233.2某市银行应用SJW1(构建安全银证联网系统 243.3某省环保局应用SJW1(在Interne上构建安全数字环保网络27第一章 企业网络系统信息安全问题1.1 企业(政府)网络系统典型架构及其安全现状随着我国通信基础设施建设的飞速发展和互连网络技术的日趋完善, 各行各 业及政府各部门纷纷借助公共网络基础设施将分散在不同地域的相对封闭的信 息系
3、统联成一个整体,以加快信息的流动速度, 提高企业的综合竞争力, 提升政 府办公的工作效率。就目前大部分网络应用而言,典型的企业(政府)网络结构一般都由一个总 部(网络中心)、若干分支机构、数量不等的合作伙伴及移动远程(拨号)用户 所组成。 除远程用户外, 其余各部分均为规模不等的局域网络系统。 其中总部局 域网络是整个网络系统的核心,为企业(政府)各类中心服务器所在地,同时也 是网络管理中心。各部分之间的联接方式多种多样,包括远程拨号、专线、 Internet 等。从互联方式来看,则可分为三种模式:通过拨号远程访问企业网络, 拨号又可分为通过电话网络拨入访问服务器和 拨入网络服务提供商(如:I
4、SP)两种方式;远程分支机构局域网通过专线或公共网络和总部局域网络连接; 合作伙伴(客户、供应商)局域网通过专线或公共网络和总部局域网连接; 该典型结构如下页图 1.1 所示。在这个网络系统运行的既有传统的客户服务器模式的业务系统,也有基于 Internet 技术的 WEB 应用,或者两者兼有。随着 Internet 技术的日益成熟, WEB 应用将逐步成为主流,而 TCP/IP 协议则是网络互连的唯一选择。现行的各类企业(政府)网络系统均有其特定的发展历史,一般而言, 在 其网络系统建设过程中,主要侧重信息系统的稳定、正确运行。 就网络信息系统 安全而言,一般仅利用了一些常规的安全防护措施,
5、 这些措施包括利用操作系统、 数据库系统自身的安全设施; 购买并部署商用的防火墙和防病毒产品等。 在应用 程序的设计中, 也仅考虑到了部分信息安全问题。 应该说这在系统建设初期的客 观环境下是可行的, 也是客观条件限制下的必然。 由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基 本的安全功能,而且在安装时的缺省配置往往更多的照顾了使用的方便性而忽略 了系统的安全性,如考虑不周很容易就留下安全漏洞。总的来说,这些系统中的大部分远没有达到能和系统中信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御。Eml服务器I中心工作站器WWW服
6、路由器访问服务器DDN/FR/X.25/PSTN/I nternetISP / NSP合作伙伴路由器工作台移动用户分支机构I拨号用户服务器工作台拨号/移动 办公用户总部中心主机路由器匸1图1.1 企业网络结构1.2 企业网络面临的威胁及安全需求对企业(政府)网络系统的安全威胁可以说多种多样,就攻击的对象及采用 的手段来加以区分,可分为针对信息的攻击、 针对系统的攻击、 针对使用者的攻 击以及针对系统资源的攻击等四类, 实施安全攻击的人员既可能是外部人员, 也 可能是内部人员。1.2.1 针对信息的攻击对处于传输和存储形态的信息实施非法攻击, 其手段包括侦听破译、 篡改报 文、重发(或少发)报文
7、、改变信息的传输顺序以及流量分析等,其攻击地点既 可以在局域网内,也可以在广域网上。由于信息在局域网中多采用广播方式, 因此,若在某个广播域中可以侦听到 所有的信息包, 攻击者就可以对信息包进行分析, 那么本广播域的信息传递过程 都会暴露在攻击者面前。 即使是采用交换方式的局网, 由于信息的流动具有明显 的集中性(如一个服务器对多个客户机) ,攻击者只要有机会接近信息的汇聚点 (如交换机的服务器端口) ,即可对其实施攻击。对广域网而言,由于广域网通 常是基于公共网络连接而成, 因而在广域网上进行传输时信息就更可能受到各种 各样的攻击,诸如:窃取、伪造、破坏等。任何一个有条件接触通信结点或信道
8、的人都可以实施上述攻击,这种形式的“攻击”是相对比较容易成功的,只要使 用现在很容易得到的“包检测”软件即可。随着网络侦听工具的隐蔽化和灵巧化, 对信息攻击的可实施性正变得越来越 容易实现。以前购置一套功能强大的协议分析设备需花费十几万乃至几十万元, 能掌握这些设备的人极为稀少。而现在, 协议分析工具软件随处可得, 有些免费 软件的协议分析能力越来越强大, 试用人员队伍十分庞大, 一旦得到合适的机会, 即使无心之人也可能抵挡不住好奇心而铤而走险,更何况蓄意犯罪之徒。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性, 攻击者可以不动声 色地窃取并利用信息,而无虑被发现;他也可以在积聚足够的信息后
9、骤起发难, 进行敲诈勒索。此类案件见诸报端的层出不穷,而未公开与之相比会数以倍计。1.2.2 针对系统的攻击利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管 理过程中的安全漏洞, 穿透或绕过安全设施的防护策略, 达到非法访问直至控制 系统的目的,并以此为跳板,继续攻击其它系统。 此类攻击手段包括隐通道攻击、 特络伊木马、口令猜测、缓冲区溢出等,早期的黑客多是利用这类攻击方法。随 着基础系统软件安全功能和安全管理制度的不断完善, 此类攻击的成功比例正在 逐步减少,但由于当今黑客组织越来越严密, 攻击技巧层出不穷, 攻击工具传播 迅速,因此在相当长时期内,仍是主要的威胁之一。由于我
10、国的网络信息系统中大量采用不是专为安全系统设计的基础软件和 支撑平台,这些软件在安装时的缺省配置往往更多的照顾方便性而忽略了安全 性,如考虑不周很容易就留下安全漏洞, 如果再考虑到某些软件供应商出于政治 或经济目的,可能在系统中预留“后门” ,因此必须要有有效的技术手段加以预 防。1.2.3 针对使用者的攻击这是一种看似困难却普遍存在的攻击途径, 攻击者多利用管理者和使用者安 全意识不强、管理制度松弛、 认证技术不严密的特点, 通过种种手段窃取系统权 限,通过合法程序来达到非法目的,并在事后或嫁祸他人、或毁灭证据。此类攻 击的特点是难以取证。1.2.4 针对资源的攻击以各种手段耗尽系统某一资源
11、, 使之丧失继续提供服务的能力, 因此又称为 拒绝服务类攻击,如邮件炸弹、 ping 流攻击等。拒绝服务攻击的高级形式为分 布式拒绝服务攻击 (DDoS), 即攻击者利用其所控制的成百上千个系统同时发起攻 击,迫使攻击对象瘫痪。针对资源的攻击发起点通常来自互联网, 其攻击对象多为各类网站。 分布式 拒绝服务攻击通常都是经过精心策划, 有组织的犯罪行为。 由于针对资源的攻击 利用的是现有的网络架构,尤其是In ternet以及TCP/IP协议的固有缺陷,因此 在网络的基础设施没有得到大的改进前,难以彻底解决。1.2.5 企业的安全需求网络安全包括五个基本要素: 机密性、完整性、可用性、可审查性和
12、可控性。机密性: 确保信息不暴露给未授权的任何其它方实体或进程。完整性: 只有授权的实体或进程才能修改数据, 并且能够判别出数据是否已 被篡改。可用性: 确保授权实体在需要时可访问数据, 即攻击者不能占用所有的资源 而阻碍授权者的工作。可审查性: 对出现的网络安全问题提供调查的依据和手段。 可控性: 可以控制授权范围内的信息流向及行为方式。 目前国内企业的网络信息系统应重点解决好网络内部的信息流动及操作层 面所面临的安全问题, 即总部和分支机构及合作伙伴之间在各个层次上的信息传 输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要 有:传输信息的安全、节点身份认证、网络访问控制
13、、操作人员的身份认证、交 易的不可抵赖性和对非法攻击事件的可追踪性。传输信息的安全 总部和分支机构、合作伙伴之间的业务数据在网上传输时, 有可能被截取、 窃取、伪造、假冒、篡改,所以必须保证通信信道上的信息安全性。通信 信息的安全性包括通信数据的机密性和完整性。 通信数据的机密性可通过 数据加密来实现, 可防止传输信息被截取、 偷看;通信数据的完整性则依 赖于MA(消息验证码)和数字签名来实现,可防止被假冒、篡改、重 放等。节点身份认证 是指在进行网上业务时, 系统内各节点之间要互相验证对方的身份, 以防 假冒。节点身份认证对关键性的实时业务尤为重要, 例如,对于金融储蓄 业务,案犯可以利用P
14、C机伪造储蓄网点,进行存钱操作,然后立即在合 法的储蓄所取出现金。网络访问安全 关键业务网络系统的各节点之间通常是通过跨地域的公共基础网络连接,需要有效地防止可能来自该基础网络的对系统主机和内部网络的非法访 问和攻击。操作人员的身份认证和交易的不可抵赖性 对操作人员身份的正确而有效的认证是实现不可抵赖的前提, 交易的不可 抵赖性是指防止对交易行为的抵赖和否认行为, 交易的不可抵赖通常通过 数字签名来实现,重要的交易行为应该签名并实时验证。非法攻击事件的可追踪性对重要事件应具有详细的审计纪录, 以便在发生攻击时提供确凿的追究证 据,从而使系统具有强大的威慑力量和有效的取证手段。必须指出: 网络信
15、息系统是由人参与的信息系统环境, 建立良好的安全组织 和管理是首要的安全需求, 也是一切安全技术手段得以有效发挥的基础。 企业需 要的是集组织、管理和技术为一体的完整的安全解决方案。1.3 网络安全基本技术与 VPN 技术解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术 和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。 密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。密码技术是实现网络安全的最有效的技术之一, 实际上, 数据加密作为一项 基本技术已经成为所有通信数据安全的基石。 在多数情况下, 数据加密是保证信 息机密性的唯一方法。 一个加密网络,
16、不但可以防止非授权用户的搭线窃听和入 网,而且也是对付恶意软件的有效方法, 这使得它能以较小的代价提供很强的安 全保护。数据加密过程是由各种加密算法来具体实施, 按照收发双方密钥是否相同来 分类,可以将这些加密算法分为对称密码算法和非对称密码算法(公钥算法) 。对称密钥密码算法的收信方和发信方使用相同的密钥, 即加密密钥和解密密 钥是相同或等价的。最著名的对称密码算法为美国的 DES 算法及其各种变形。 对称密码算法的优点是有很强的保密强度和较快的运算速度, 但其密钥必须通过 安全的途径传送。因此,其密钥管理成为系统安全的重要因素。非对称密钥 (公钥)密码算法的收信方和发信方使用的密钥互不相同
17、,而且 几乎不可能从加密密钥推导出解密密钥, 这些特性使其成为实现数字签名的最佳 选择。最著名也是应用最为广泛的公钥密码算法是RSA 算法。公钥密码的优点是可以适应网络的开放性要求, 且密钥管理问题也较为简单, 尤其可方便的实现 数字签名和验证。密码技术用于网络安全通常有二种形式, 即面向网络或面向应用服务。 前者 通常工作在网络协议栈的网络层或传输层, 在网络层上实现的加密技术对于网络 应用层的用户通常是透明的。 面向应用服务的加密技术发生在业务程序中, 通常 用于解决特定应用相关的安全问题, 典型应用有用户身份验证、 交易信息的签名 验证和交易信息的加密等。虚拟专用网络( VPN : Vi
18、rtual Private Network )技术就是在网络层通过数据 包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在 公共网络中建立起安全的“专用”网络。利用 VPN技术,企业只需要租用本地的 数据专线,连接上本地的公众信息网,各地的机构就可以互相安全地传递信息; 另外,企业还可以利用公众信息网的拨号接入设备, 让自己的用户拨号到公众信 息网上,就可以安全地连接进入企业网中。综合利用网络互联的隧道技术、 数据加密技术、网络访问控制技术,并通过 适当的密钥管理机制,在公用的网络基础设施上建立安全的虚拟专用网络系统, 实现完整的集成化的企业范围 VPN 安全解决方案。对于
19、现行的各种业务网络应 用系统,采用 VPN 技术可以在不影响现行业务系统正常运行的前提下,极大地 提高系统的安全性能,是一种较为理想的基础解决方案。当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、 传输协议依赖性高、适应性差、无统一标准等缺陷,又避免了应用层端 - 端加密 管理复杂、互通性差、安装和系统迁移困难等问题,使得 VPN 技术具有节省成 本、适应性好、标准化程度高、便于管理、易于与其它安全和系统管理技术融合 等优势,成为目前和今后企业安全网络发展的趋势。从应用上看虚拟专网可以分为虚拟企业
20、网和虚拟专用拨号网络( VPDN)。 虚拟企业网主要是使用专线上网的企业分部、 合作伙伴间的虚拟专网; 虚拟专用 拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。 虚拟专网的重点在于建立安全的数据通道, 构造这条安全通道的协议应该具备以 下条件:保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒( IP Spoofing )的能力。保证数据的完整性, 接收到的数据必须与发送时的一致, 要有抵抗不法分子 纂改数据的能力。保证通道的机密性, 提供强有力的加密手段, 必须使偷听者不能破解拦截到 的通道数据。提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施
21、和访问控制,具有抵抗黑客通过 VPN 通道攻击企业网络 的能力,并且可以对 VPN 通道进行访问控制。目前建造虚拟专网依据的主要国际标准有IPSec、L2TP、PPTP L2F等。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的 PPTP Cisco的L2F)进行起草,目前尚处于草案阶段。IPSec是由IETF正式定 制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。目前,采用IPSec标准的 VPN 技术正在迅速走向成熟,而且它正处于兴盛期,因此在构造 VPN 基础设施 时应该首先考虑
22、IPSec标准。1.4 IPSec 网络安全体系IPSec(IP Security) 是 IETF IPSec 工作组为了在 IP 层提供通信安全而制订 的一套协议标准,IPSec的结构文档RFC2401定义了 IPSec的基本结构,所有具 体的实施方案均建立在它的基础之上。IPSec包括安全协议部分和密钥协商部分, 安全协议部分定义了对通信的各种保护方式; 密钥协商部分定义了如何为安全协 议协商保护参数,以及如何对通信实体的身份进行鉴别。 IETF 的 IPSec 工作组 已经制定了 12个RFC对IPSec的方方面面都进行了定义,其中,封装安全载 荷(ESP机制为通信提供机密性、完整性保护
23、;验证头( AH机制为通信提供 完整性保护,这两种机制都能为通信提供抗重放攻击; IPSec 使用 Internet 密钥交换 (IKE) 协议实现安全协议的自动安全参数协商,可协商的安全参数包括数 据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式) 、 密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。为了实现VPN®信的数据机密性和完整性,VPN产品大多使用IPSec协议的 封装安全载荷(ESP机制。ESP机制通过将整个IP包或IP包的数据部分封装 到一个ESP载荷中,然后对此载荷进行相应的安全处理,如加密处理, 鉴别处理 等,实现对通信的机密性或/和完
24、整性保护。ESP在圭寸装载荷时有两种圭寸装模式: 一是“隧道模式”,另一是“传输模式”。隧道模式将整个IP分组封装到ESP载 荷中,传输模式是将IP的数据部分封装到ESP的载荷中。在传输模式中,IP头 与上层协议头之间需插入一个特殊的IPSec头;而在隧道模式中,要保护的整个 IP 包都需封装到另一个 IP 数据包里,同时在外部与内部 IP 头之间插入一个 IPSec 头。IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商, 由RFC2409文件描述的IKE协议是Oakley和安全密钥交换机制(SKEME协议的 一种混合,它综合了 Oakley和SKE M的优点,使用了 I
25、n ternet安全关联与密钥 管理协议(ISAKMP的语言,形成了自己独一无二的验证加密材料生成技术,以 协商共享的安全策略。IKE通过两个阶段的协商来完成安全关联(SA的建立, 第一阶段, 由 IKE 交换的发起方发起一个主模式交换或野蛮模式交换, 交换的结 果是建立一个名为ISAKMP SA的安全关联;第二阶段可由通信的任何一方发起 一个快捷模式的消息交换序列,完成用于保护通信数据的IPSec SA的协商。IKE 在使用预共享密钥时, 只能将预共享密钥建立在对方的 IP 地址之上, 这 是使用预共享密钥时一个已被公认的局限, 解决这个问题的一个显而易见的办法 是使用一种建立在公开密钥基础
26、( PKI 上的签名/验证数据加密方法。 公开密钥 通常是从电子证书中取得,IKE允许证书的交换,也允许从对方那里索取证书。 目前使用最多也最为常见的公开密钥算法是 RSA公开密钥算法。1.5 用 SJW10 IP 保密机构建 VPN 系统经国家商用密码主管部门认证的 SJW10系列VPN产品,由SJW10高/中/ 低3档IP保密机、SJW10 IP安全包和安全管理中心组成,利用SJW10系列VPN产品所构成的典型VPN解决方案如图1.2所示在图1.2中,保密机为SJW10 IP保密机,具有高速网络传输数据加密/解密 功能。保密机以网桥方式接入本地局域网, 用于保护一个局网、或用于保护一台 或
27、几台服务器。保密机的安装和运行与应用软件和主机类型无关,安装灵活便利, 即插即用。安全包是SJW10 IP安全包,是客户端VPN产品,它可安装于各种客户端PC平台及移动设备平台,支持各种版本的 Uinx /Linux操作系统及Microsoft Windows全线操作系统平台,用以保护单台主机设备,或保护以该主机为网关的 办公室网络环境。SJW10 IP安全包由安装于上述操作系统上的软件包和硬件加 密模块(加密卡、IC卡或USB加密棒)组成,它既可独立部署,构成一个松散 灵活的安全广域网络,也可以与后端的各类 IP保密机及安全管理中心平台配合 使用,构成一个完整的企业级IP-VPN( IP虚拟
28、专用网)解决方案。安全管理中心是SJW10 VPN环境中的管理机构,其主要功能包括:为整个 VPN环境中的SJW10设备签发电子证书;远程管理、配置VPN环境中的SJW10 IP保密机设备;接收SJW10 IP保密机的远程注册、上传日志并对日志进行分类 管理。由SJW10 IP保密机和安全包构建的VPN网络安全解决方案的主要特点是:1. 整体安全性:同时提供网络安全访问控制、数据传输加密、节点认证、用 户认证及安全审计功能,同时为应用程序提供密码编程接口,和应用程序 配合可实现对交易信息的签名、认证及存储加密等功能,可作为网络系统 整体安全解决方案的基础框架。2. 健壮性:IP保密机内置定制安
29、全操作系统,具有良好的自身安全性;3. 透明性:现有业务系统和网络结构无须做任何调整;4. 适应性:能很好适应各种网络结构和网络路由协议;5. 标准化:与国际标准IPsec接轨;6. 可实施性:安装、维护简单快速,可随时进行而不影响正常业务;主机路由器保密机/主机安全管理中心保密机路由器广域网分支机构移动用户(安全包+USB密码设备)工作站DDN / FR / X.25 / ISDN / InternetModem定点用户(安全包密码设备)远程拨号图1.2 VPN安全整体解决方案第二章 青鸟环宇 VPN设备 SJW10 IP保密机2.1 SJW10 IP保密机技术说明2.1.1硬件平台及主要功
30、能SJW10IP保密机是具有高可靠、高稳定性的网络安全设备,内置性能稳定、支持连续运转的工控标准硬件和经国家密码管理机构认证的密码模块,含有2 -5个10/100M自适应的以太网络接口,可方便地以网桥方式接入各种拓扑结构的 以太网络线路之中。采用稳定可靠的电子存储设备作为系统的主存储介质,所有系统软件固化在DOC(DiskOnChip)芯片中,避免了由于易损坏的磁盘介质和读写 磁盘时的机械操作给系统运行带来的稳定性隐患,采用加密存贮IC卡进行用户身份认证和电子证书的管理。保密机使用定制安全操作系统,操作系统的压缩镜像和系统配置文件存放在 电子盘中,采用先进的内存文件系统技术,使系统运行时所有的
31、文件操作都在内 存中完成,既大大提高的运行效率,又避免频繁读写电子存储设备对其使用寿命 造成的影响。用户可以通过串口或通过网络接口, 利用Windows风格的控制台界 面对保密机进行本地或远程的设置和管理。IP保密机的主要安全功能包括:(1) IP报文加/解密功能,有选择地对流经保密机的IP报文实施应用透 明加密解密操作并进行完整性认证;(2) VPN环境中的节点身份认证功能,防止非法设备假冒通讯;(3) 密码服务网络调用功能,为其它主机提供密码服务调用接口,包括 分组加密/解密,公钥对生成,签名/验证,MAC生成/验证等;(4) 分布式密钥协商与预共享密钥共存,密钥管理便捷、适用;(5) 网
32、络安全审计功能,记录网络传输情况、保密机的关键操作,以备 查询、分析之用;(6) 保密机之间具有双机(或多机)互为备份的功能,互为备份的保密机之间能够实时地进行密码同步,保证网络密码通讯的畅通;2.1.2软件系统及网络位置保密机软件系统以定制安全操作系统为基础,整个密码机的软件系统可分为 管理界面层、用户命令层、应用编程接口层和核心层(包括:网桥转发、协议分 析和设备驱动)4个层次,其软件模块结构如图2.1所示。图2.1保密机软件模块结构保密机软件系统的核心是协议分析模块,它完成对网络数据包的协议解析,根据系统定义的各项安全策略对数据包进行相应的处理,即:根据加密规则对流经保密机的IP包进行密
33、码处理;根据审计策略的定义对网络数据进行登记。oooo图2.2 IP保密机在网络中的位置般情况下,在多个局网(内网)通过广域网络(外网)互联时,IP保密机用于保护各个局域网络,对出入局网的所有信息实施密码保护和网络访问控制。此时,保密机以网桥方式接入在内部局网与外网路由器(广域网路由器)之间,如图2.2所示实际上,保密机可以安放在以太网络线路的任何位置, 用户需要保护哪一段网络,保密机就可以放置在这个网络的出口处, 这个网络可能是由若干路由器连接的一个局部网络(如:建筑物内、园区内);也可能是由集线器(HUB交换机)连接起来的几台主机;也可能是就是一台服务器2.1.3功能指标及配置说明1、密码
34、机制IP数据加密/解密及报文认证保密机截获网络上流经本机的IP数据包,根据加密规则对其进行密码处理,在进行报文加/解密的同时对报文数据进行消息认证码运算,对所传输的报文进行完整性认证。支持多种型号的加密卡,支持多种加密算法的混合使用为了满足用户对密码功能的需求,保密机同时支持多种型号的加密卡设备,支持多种加密算法的混合使用,对用户提供的新的加密模块可以做到加载即可用为用户主机提供网络密码调用,用户可以通过调用SJW10 IP保密机提供的密码服务内部网络路由器主机安全管理中心保密机交换机(匚7建立自己的安全应用系统支持PKI机制的分布式密钥自动协商,同时支持预共享对称密钥管理。密钥管理是 VPF
35、系统中核心关键部分,PKI机制利用电子证书进行电子通信的签名、认证和加密 传送,通过PKI机制用户可以把密钥管理分布到各个密码机上,使需要进行密码通 讯的双方自行协商出通讯加密密钥,极大地方便 VPNS统的密钥管理。 对称密码算法密钥长度为 128位,非对称密码算法密钥长度为 1024位。2、安全机制网络节点认证 保密机在进行密码通信前需要进行节点身份认证,身份认证基于安全管理中心签发 的电子证书,只有当网络节点认证合法时,保密机才可以进行通信密钥的协商。网络数据审计保密机截获网络上流经本机的IP数据包,根据网络审计事件的定义,对网络数据进 行审计,以备后查。3、管理机制保密机支持集中式远程管
36、理,网络安全管理员可以在安全管理中心对整个VPF环境中的密码设备进行及时的统一管理,既方便了密码机的管理工作,又提高了管理工 作的效率。保密机进行身份认证所使用的电子证书可以由用户自行签发,也可能是由第三方权 威机构签发,SJW10 IP保密机支持第三方CA机构签发的符合X.509标准的电子证书, 支持第三方管理中心的远程管理。4、网络适应性 密码机采用网桥转发机制,原理如同交换机一样,能广泛适应各种以太网络结构, 保密机的密码处理发生在IP层,与网络应用系统无关,保密机的接入与原网络物理 和应用系统完全相容。保密机有 2、 3、 4、 5多个网络接口的配置形式,网络接入灵活、便捷,能适应各种
37、 网络拓扑结构,包括双路由器、双交换机交叉相连的网络冗余设计,支持各种先进 的路由协议和网络管理协议。支持802.1Q和ISL封装的VLAN吉构随着安全意识的不断提增强,在局域网络内部划分“虚拟局域网络VLAN已成为提高局域网内部安全性的常用手段。在内部网络划分了VLAN勺网络系统中,将采用802.1Q或ISL协议封装VLANfc、议,保密机支持上述专用网络协议确保网络畅通。支持动态IP接入方式在SJW10 IP客户端没有固定IP地址的应用环境中,客户端可通过拨号接入ISP/NSP获得动态IP地址,保密机支持动态IP客户端的安全隧道建立请求,当身份认证合法 后,保密机将与客户端建立安全隧道进行
38、密码通信,从而极大地增强了保密机的实 用性。5、应用可靠性无硬盘结构,系统性能更加稳定保密机系统在网络中与路由器和交换机协同工作,处于不停机工作状态。SJW10 IP保密机通过采用可靠的硬件、关键部件冗余备份、以FLAS芯片作为存储设备等技术,使系统具有良好的可靠性。具有配置文件的备份、双机主从备份及多机互为备份功能保密机设计了各种备份功能,包括文件备份、机器主从备份和多机互为备份,以提 高保密机系统运行的高可靠性和高稳定性。6、硬件配置网络接口数量CONSOLE数量25个 10/100Mbps RJ-45 以太网接口电气特性180V260V/50Hz/250W1个RS-232串行口,速率 3
39、8400bps机箱尺寸7、技术指标适用通信环境明文通信速率加密通信速率 环境条件运行温度060 C相对湿度595%1U/2U/4U标准机箱基于TCP/IP协议的网络环境100M bps / 10M bps20Mbps / 10Mbps / 5Mbps平均无故障时间30000 小时系统保密性国家密码管理委员会鉴定通过,国密证第 0053号系统安全性公安部测试通过,销售许可证号XKC33068&人机界面提供本地串口和网络接口对保密机进行配置管理提供图形配置界面和命令行控制方式命令行方式符合UNIX命令风格图形界面符合WindowS界面风格,如图2.3所示:阳4施止也問:.量fc:i直:凰4
40、31丛JWIftWk|勰娜护亦品|日訥二咧代呻-本机旺韦信息斗机口: 1零机公钥Ic3 Id rr £8 bo 70 51 6H 05 ce 8e A2 71 el p5 ce 族 £ 蚯 3c 71 el 7dcc dd ef d4 fb厂启动色码机吋,*舉腔LI排作耳卡网珀通屈 娜役总注田卸存盘退MTUG退出重后侔密柏管浬地址图2.3保密机控制界面2.2 SJW10 IP安全包技术说明2.2.1概述IP安全包由操作系统外挂式软件包和硬件加密设备(加密卡、USB加密棒或智能IC卡加密设备)所组成。软件包分为应用软件和操作系统核心软件,核 心软件是可嵌入相应操作系统核心的I
41、P层垫片程序和加密设备驱动程序。IP安全包适用的操作系统范围为基于Intel平台各种版本的Unix、Linux及WindowS 9x/NT/2000 ,基本囊括了目前流行的客户端操作系统平台。IP安全 包作为IP保密机的客户端密码设备,特别适用于需要建立安全通信隧道的移动 办公用户,和布局分散且数量较多的网络端接系统(例如:银行的各个储蓄所)。2.2.2系统总体结构适用于不同操作系统平台的IP安全包在总体结构上大同小异,现以Windows 平台安全包为例加以说明。整个系统分为四个程序部分:启动程序、管理程序、垫片程序、加解密程序。 其中的垫片程序和加解密程序以核心态方式运行,它们在WINDOW
42、S动时被装载,而启动程序则在 Windows初始化完毕之后被装载,由它来设置程序的一些初 始化状态并启动整个系统的运行。管理程序只在需要改变系统设置,或是更改访问控制或密钥时才运行。它们的结构如图 2.4所示:图 2.4 : WINDOWS I安全包2.2.3功能特点IP安全包可以独立应用,也可作为下端与上端IP保密机配合使用,主要功能包括:在Win95/98/NT/2000及UNIX Linux等系统上提供访问控制、身份认证和加密通信功能;支持多种加密算法的混合使用,可以方便地实现与用户自己的加密模块和密码管理 模块的挂接;支持TCP/IP协议族,对其它协议可选支持;基于主机地址或子网地址的
43、访问控制,防止数据的非授权访问; 应用透明,使得网络中原有的各种应用程序无需改变就可以实现加密传输; 与网络适配器无关,支持各种局域网适配器(如:In tel网卡、3C0网卡,等)、广 域网适配器(如: X25卡)和拨号网络适配器(如:RS-232接口、PPPo逻辑卡,等); 支持对配置多块网络适配器系统的灵活控制,用户可根据实际通信状况选定加密通 信的网络设备;可以对特殊主机的某些TCP端 口区别处理; 界面美观、管理方便。2.3 SJW10 安全管理中心2.3.1 概述SJW1(安全管理中心是青鸟环宇 SJW10 IP保密机系列产品的重要组成部分, 它和SJW10 IP保密机、SJW10
44、IP安全包一起,构成一个完整的 VPN产品体系。青鸟环宇 SJW10 IP 保密机的密钥管理体制采用了基于公开密钥密码体制(PKI)体系结构的“集中认证,分布协商”的密钥管理方案, PKI体制要求证书 和密钥在产生和分发过程中需要有一个“权威” 机构对其进行合法性保证, 这个 权威机构称之为 Certificate Authority(CA) 。在利用 SJW10 IP 保密机构成的 一个VPN网络应用环境中,由SJW1(安全管理中心(SMC完成简明的CA认证中 心的功能。作为整个VPN产品系列的管理和控制中心,SMC勺功能职责主要包括: 证书管理SJW10P保密机和安全包在使用时必须拥有一个
45、合法证书,用于通讯双方的节点认 证和通讯密钥协商。SM将起到一个内部CA中心的作用,接受认证申请、审查申请人的 资格、 生成并发放电子数字证书, 完成证书生成、 发放、废弃、 重用、查询等管理工作。保密机/ 安全包配置维护拥有同一个SM签发的证书的所有保密机/安全包构成一个安全应用域,SM对该应 用域中所有保密机 /安全包进行分类管理并对配置情况进行列表查询,负责接受各保密 机/安全包的登记注册并对分布在各地的保密机实施远程配置、 管理, 保密机/安全包的 最新配置信息可通过在线注册汇总到SM中。保密机 /安全包日志维护应用域中各保密机 /安全包的审计日志可以本地存放,也可以通过网络汇集 存放
46、在该应用域的SMC中。当日志文件选择存放在 SMC寸,SMC可对这些日志实 行集中管理。SMC签发的证书具有三种介质实体形式,分别为:IC卡片形式、USB棒形式 和 3 吋软盘形式。保密机获得自己的证书是通过读取存放证书的 IC 卡,证书读 取成功后,保密机将证书保存在本机中, 以后每次需要使用证书时, 不用再读取 IC 卡,除非要更换新的证书。当一个机构网络中的保密机较多或者它的分支机构分布比较分散时,为了便 于证书的管理,SMC不将由其生成的电子证书制作成证书实体,而是将证书文本 导出,分发到下级部门或它的分支机构。 各分支机构使用证书托管理中心接收由 SMC签发的电子证书文本,并负责发布
47、证书实体。这样,当存有证书的物理载体 损坏时,不用到它上级部门的SMC去重新生成证书实体,只需在本地证书托管中 心就可以重新生成,保证了证书可以快速、便捷地到达用户手中。安全管理中心软件的运行环境为 Windows NT或Windows 2000,其操作控制 界面符合Windows风格,当用户启动安全管理中心后,可以方便地利用界面提供 的功能进行工作,安全管理中心的控制界面如图 2.5 所示:图2.5安全管理中心控制界面2.3.2密钥管理方案SJW10P保密机的密钥管理体制既采用了基于公共密钥 PKI体系结构的“集中认证, 分布协商”的密钥管理方案,同时支持传统的预共享对称密钥的密钥管理方案。
48、SJW1密钥管理采用一级密钥、二级密钥和会话密钥三级密钥管理方式,一级密钥 为非对称密钥,用于保护二级密钥的协商交换。一级密钥由安全管理中心负责生成,通 过加密IC卡或US棒发放并注入保密机。二级密钥用于加密传送会话密钥,需要通信的 每对保密机(安全包)之间具有对称的二级密钥,二级密钥受一级密钥保护由保密机自 行协商,或直接由安全管理员手工设置。会话密钥用于加密传送数据,系统为每个加密 报文动态产生不同的会话密钥,并由二级密钥保护随 IP包经网络传输。由于每个IP保密机(安全包)均具有不同的一级密钥和二级密钥,具有良好的密钥 分割特性,因此当一个保密机泄密时,只会影响该保密机相关的保密通信,而
49、不会危及 整个网络系统。分布式密钥管理方案特别适合于网络节点在位置和数量上均要求灵活多变 的业务网络系统,如电子商务、网上银行、网上报税等。SJW10系列VPN产品的分布式密钥管理方案以证书管理和认证为核心,采 用公开密钥密码体制,在网络 VPN应用环境中设立一个安全管理中心(SMC), 完成 CA 认证中心的基本功能。任何拥有同一个 SMC 签发的证书的保密机(安 全包),都会被网络中其它的密码机认为是可信任的;任意两台经认证合法的密 码机之间可以通过出示证书来相互确认身份, 然后通过非对称加密算法协商用于 网络数据加密的二级密钥。任何一台保密机(安全包)节点,只要获得安全管理 中心(SMC
50、)颁发的有效证书,即可加入到安全的业务网络系统中,从而为系统 中节点的灵活增减提供了方便的手段。本方案在设计上基于 PKI 的体系结构,其密钥协商遵从 IKE(Internet Key Exchange协议,在证书格式设计上则遵循ITU的X.509 V3标准所定义的证书格 式,所以本密钥管理方案具有较好的可扩展性。由于采用分布协商式的密钥管理模式, 使得密钥的更换显得尤为方便、 简洁 密钥的更换可以是定期的, 由网络安全管理员根据具体需要定期、 定时人工或自 动更换密钥; 也可以是不定期的, 在网络安全管理员认为必要时人工启动更换密 钥;还可以是开机更换方式,即:在每次开机时自动更换通信密钥,
51、这种方式一 般用在 IP 安全包建立安全通信隧道时。人工更换密钥的操作非常直观,在保密 机确认了网络安全管理员的身份后(输入正确的登录口令) ,只需选中控制面板 中的“启动密钥协商过程”并点击左边“启动”按钮,保密机将自动完成通讯密 钥的更换工作。第三章 典型应用案例3.1某省银行应用SJW10勾建安全金融业务网某省银行金融业务网络系统, 在进行了金融业务数据集中的网络改造后, 省 行和各地市行之间通过骨干网相连, 各地市行和业务网点通过当地电信部门的网 络系统相连,勾成了一个从省行经各地市至各业务网点的三级网络结勾。骨干网采用网络线路冗余技术,即:骨干网主线路由 DDN 专线网络和一个 宽带
52、广域网络组成, 两个网络物理分离, 另设有一条 PSTN 电话拨号线路作为骨 干网主线路的备份线路。解决这样一个全省金融业务联网的网络系统安全,该省行采用 SJW10 IP 保 密机作为省行局网和各地市行局网的网络安全设备,采用 SJW10 IP 安全包(包 含 IC 卡密码设备)作为全省范围内的网点安全设备,网络安全方案如下:在省行网络信息中心设立 “安全管理中心”负责管理全省范围内的 SJW10 IP 密码设备,管理内容包括:为全省范围内的 IP 保密机和 IP 安全包签发电子证书, 远程管理、配置 SJW10 IP 保密机;在各地市行信息中心设立“证书托管中心”负责将“安全管理中心”签发
53、的 本地 SJW10 IP 密码设备的电子证书制作成特定的证书卡;在省行和各地市行金融联网的局网出口处安装高档 SJW10 IP 保密机,由于 网络线路冗余设计,高档保密机的网络接口标准配置为 4 网口;省行以及各地市行的多台保密机之间互为备份, 线路和网络数据可以实时动 态的进行切换,保证银行金融业务的畅通;在各金融业务网点的主机中(运行 SCO UNIX)安装SJW10 IP安全包,用 于进行网点的身份认证和网络密码通讯。该省银行采用VPN技术,应用SJW10 IP保密机和安全包,在公共数据网上建立了一个的省金融业务网络安全平台。网络结勾如图 3.1 所示。省行安全管理中心中心交换机ip保密机4网口 IP保密机DDN PSTN宽带网DDN前台网点地市行1 柜台业务点+安全包地市行2 謬业务点+安全包巳1si图3.1某省行全省数据集中网络安全结构示意图3.2某市银行应用SJW10构建安全银证联
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 期中教导主任讲话稿6篇
- 进步发言稿范文400字(33篇)
- 酒店个人上半年工作总结7篇
- 高考地理二轮复习考前抢分专题识图技能专练图像二剖面示意图含答案
- 开学第一课安全教育课演讲稿(3篇)
- 销售月度总结
- 27.1 反比例函数 同步练习
- 上海2024-2025学年高三上学期期中考试英语试题(无答案)
- 内蒙古乌海市2024-2025学年高一上学期期中考试物理试题(无答案)
- 2025年高考物理复习之预测压轴题:动量定理及动量守恒(解析版)
- 《广东省高速公路管理条例》(修正)
- 服装成品质量验收标准
- 中国国电集团公司设备检修管理暂行办法
- DCS系统结构及各部分功能简介
- 竖井井架安装安全技术措施
- 无缝线路铺设与养护维修方法
- 高分子物理教案(Word)
- 新苏教版五年级上册科学全册教学课件(2022年春整理)
- 小学体育水平一《走与游戏》教学设计
- 秋日私语(完整精确版)克莱德曼(原版)钢琴双手简谱 钢琴谱
- 盐酸安全知识培训
评论
0/150
提交评论