青鸟环宇VPN系列产品技术白皮书v1

{产品管理产品规划}青鸟环宇VPN系列产品技术白皮书v1目录第一章企业网络系统信息安全问题11.1企业（政府）网络系统典型架构及其安全现状1精品文档放心下载1.2企业网络面临的威胁及安全需求31.3网络安全基本技术与VPN技术61.4IPSEC网络安全体系81.5用SJW10IP保密机构建VPN系统9谢谢阅读第二章青鸟环宇VPN设备SJW10IP保密机12感谢阅读2.1SJW10IP保密机技术说明122.1.1硬件平台及主要功能122.1.2软件系统及网络位置132.1.3功能指标及配置说明142.2SJW10IP安全包技术说明172.2.1概述172.2.2系统总体结构182.2.3功能特点182.3SJW10安全管理中心192.3.1概述192.3.2密钥管理方案21第三章典型应用案例233.1某省银行应用SJW10构建安全金融业务网23感谢阅读3.2某市银行应用SJW10构建安全银证联网系统25精品文档放心下载3.3某省环保局应用SJW10在INTERNET上构建安全数字环保网络27感谢阅读第一章企业网络系统信息安全问题1.1企业（政府）网络系统典型架构及其安全现状精品文档放心下载业及政府各部门纷纷借助公共网络基础设施将分散在不同地域的相对封闭的信精品文档放心下载精品文档放心下载府办公的工作效率。精品文档放心下载感谢阅读谢谢阅读感谢阅读是网络管理中心。各部分之间的联接方式多种多样，包括远程拨号、专线、感谢阅读Internet等。从互联方式来看，则可分为三种模式：谢谢阅读谢谢阅读拨入网络服务提供商（如：ISP）两种方式；远程分支机构局域网通过专线或公共网络和总部局域网络连接；感谢阅读合作伙伴（客户、供应商）局域网通过专线或公共网络和总部局域网连接；谢谢阅读该典型结构如下页图1.1所示。在这个网络系统运行的既有传统的客户服务器模式的业务系统，也有基于感谢阅读Internet技术的WEBInternetWEB谢谢阅读应用将逐步成为主流，而TCP/IP协议则是网络互连的唯一选择。谢谢阅读精品文档放心下载感谢阅读全而言，一般仅利用了一些常规的安全防护措施，这些措施包括利用操作系统、感谢阅读感谢阅读感谢阅读谢谢阅读感谢阅读精品文档放心下载精品文档放心下载谢谢阅读常规的攻击手段也无法抵御。DDN/FR/X.25/PSTN/Internet…精品文档放心下载拨号/移动1.2企业网络面临的威胁及安全需求办公用户感谢阅读谢谢阅读精品文档放心下载可能是内部人员。1.2.1针对信息的攻击感谢阅读谢谢阅读可以在局域网内，也可以在广域网上。精品文档放心下载精品文档放心下载精品文档放心下载谢谢阅读精品文档放心下载精品文档放心下载感谢阅读的人都可以实施上述攻击，这种形式的“攻击是相对比较容易成功的，只要使精品文档放心下载用现在很容易得到的“包检测”软件即可。谢谢阅读容易实现。以前购置一套功能强大的协议分析设备需花费十几万乃至几十万元，感谢阅读感谢阅读谢谢阅读即使无心之人也可能抵挡不住好奇心而铤而走险，更何况蓄意犯罪之徒。感谢阅读精品文档放心下载色地窃取并利用信息，而无虑被发现；他也可以在积聚足够的信息后骤起发难，感谢阅读进行敲诈勒索。此类案件见诸报端的层出不穷，而未公开与之相比会数以倍计。谢谢阅读1.2.2针对系统的攻击利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管感谢阅读精品文档放心下载精品文档放心下载谢谢阅读精品文档放心下载感谢阅读迅速，因此在相当长时期内，仍是主要的威胁之一。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和精品文档放心下载谢谢阅读感谢阅读济目的，可能在系统中预留“后门，因此必须要有有效的技术手段加以预防。谢谢阅读1.2.3针对使用者的攻击精品文档放心下载感谢阅读感谢阅读击的特点是难以取证。1.2.4针对资源的攻击谢谢阅读ping谢谢阅读式拒绝服务攻击(DDoS),即攻击者利用其所控制的成百上千个系统同时发起攻击，精品文档放心下载迫使攻击对象瘫痪。感谢阅读谢谢阅读Internet以及TCP/IP精品文档放心下载在网络的基础设施没有得到大的改进前，难以彻底解决。1.2.5企业的安全需求精品文档放心下载机密性：确保信息不暴露给未授权的任何其它方实体或进程。精品文档放心下载谢谢阅读被篡改。谢谢阅读而阻碍授权者的工作。可审查性：对出现的网络安全问题提供调查的依据和手段。感谢阅读可控性：可以控制授权范围内的信息流向及行为方式。目前国内企业的网络信息系统应重点解决好网络内部的信息流动及操作层谢谢阅读感谢阅读感谢阅读感谢阅读不可抵赖性和对非法攻击事件的可追踪性。传输信息的安全谢谢阅读感谢阅读谢谢阅读防止传输信息被截取、偷看；通信数据的完整性则依赖于MAC码（消息验证码）精品文档放心下载和数字签名来实现，可防止被假冒、篡改、重放等。节点身份认证是指在进行网上业务时，系统内各节点之间要互相验证对方的身份，以防假冒。感谢阅读精品文档放心下载以利用PC精品文档放心下载网络访问安全关键业务网络系统的各节点之间通常是通过跨地域的公共基础网络连接，谢谢阅读需要有效地防止可能来自该基础网络的对系统主机和内部网络的非法访问和攻精品文档放心下载击。操作人员的身份认证和交易的不可抵赖性感谢阅读谢谢阅读现，重要的交易行为应该签名并实时验证。非法攻击事件的可追踪性感谢阅读而使系统具有强大的威慑力量和有效的取证手段。谢谢阅读精品文档放心下载要的是集组织、管理和技术为一体的完整的安全解决方案。谢谢阅读1.3网络安全基本技术与VPN技术解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术精品文档放心下载和密码技术。网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。谢谢阅读密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。精品文档放心下载感谢阅读精品文档放心下载精品文档放心下载精品文档放心下载全保护。精品文档放心下载精品文档放心下载感谢阅读钥是相同或等价的。最著名的对称密码算法为美国的DES精品文档放心下载称密码算法的优点是有很强的保密强度和较快的运算速度，但其密钥必须通过精品文档放心下载安全的途径传送。因此，其密钥管理成为系统安全的重要因素。谢谢阅读感谢阅读感谢阅读选择。最著名也是应用最为广泛的公钥密码算法是RSA精品文档放心下载谢谢阅读字签名和验证。精品文档放心下载感谢阅读精品文档放心下载精品文档放心下载验证和交易信息的加密等。虚拟专用网络（VPN：VirtualPrivateNetwork精品文档放心下载包封装技术和密码技术，使数据包在公共网络中通过“加密管道传播，从而在感谢阅读公共网络中建立起安全的“专用网络。利用VPN技术，企业只需要租用本地的感谢阅读数据专线，连接上本地的公众信息网，各地的机构就可以互相安全地传递信息；谢谢阅读谢谢阅读息网上，就可以安全地连接进入企业网中。精品文档放心下载适当的密钥管理机制，在公用的网络基础设施上建立安全的虚拟专用网络系统，感谢阅读实现完整的集成化的企业范围VPN感谢阅读VPN技术可以在不影响现行业务系统正常运行的前提下，极大地提高精品文档放心下载系统的安全性能，是一种较为理想的基础解决方案。当今VPN技术中对数据包的加解密一般应用在网络层（对于TCP/IP网络，感谢阅读发生在IP感谢阅读传输协议依赖性高、适应性差、无统一标准等缺陷，又避免了应用层端-端加密谢谢阅读VPN技术具有节省成本、感谢阅读精品文档放心下载势，成为目前和今后企业安全网络发展的趋势。从应用上看虚拟专网可以分为虚拟企业网和虚拟专用拨号网络（VPDN精品文档放心下载感谢阅读号网络是指使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。精品文档放心下载谢谢阅读下条件：保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒精品文档放心下载（IPSpoofing）的能力。感谢阅读纂改数据的能力。感谢阅读的通道数据。提供动态密钥交换功能和集中安全管理服务。VPN通道攻击企业网络的感谢阅读能力，并且可以对VPN通道进行访问控制。目前建造虚拟专网依据的主要国际标准有IPSec、L2TP、PPTP、L2F等。其精品文档放心下载中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的精品文档放心下载PPTP、Cisco的L2F）进行起草，目前尚处于草案阶段。IPSec是由IETF正式定精品文档放心下载制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草精品文档放心下载L2TPIPSecIPSec标准的感谢阅读VPN技术正在迅速走向成熟，而且它正处于兴盛期，因此在构造VPN基础设施时精品文档放心下载应该首先考虑IPSec标准。1.4IPSec网络安全体系IPSec(IPSecurity)是IETFIPSec工作组为了在IP层提供通信安全而制订的一谢谢阅读套协议标准，IPSec的结构文档RFC2401定义了IPSec的基本结构，所有具体的精品文档放心下载实施方案均建立在它的基础之上。IPSec包括安全协议部分和密钥协商部分，安感谢阅读感谢阅读IETF的IPSec工作组已经感谢阅读制定了12个RFC，对IPSec的方方面面都进行了定义，其中，封装安全载荷感谢阅读（ESP）机制为通信提供机密性、完整性保护；验证头（AH）机制为通信提供完谢谢阅读IPSec使用Internet密钥交感谢阅读换(IKE)协议实现安全协议的自动安全参数协商，可协商的安全参数包括数据加精品文档放心下载精品文档放心下载的生存期等，这些安全参数的总体称之为安全关联（SA感谢阅读为了实现VPN通信的数据机密性和完整性，VPN产品大多使用IPSec协议的封装精品文档放心下载ESPESP机制通过将整个IP包或IP包的数据部分封装到一个谢谢阅读ESP载荷中，然后对此载荷进行相应的安全处理，如加密处理，鉴别处理等，实谢谢阅读现对通信的机密性或/和完整性保护。ESP在封装载荷时有两种封装模式：一是感谢阅读“隧道模式IP分组封装到ESP载荷中，谢谢阅读传输模式是将IP的数据部分封装到ESP的载荷中。在传输模式中，IP头与上层精品文档放心下载协议头之间需插入一个特殊的IPSec头；而在隧道模式中，要保护的整个IP包精品文档放心下载都需封装到另一个IPIP头之间插入一个IPSec头。感谢阅读IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商，由精品文档放心下载RFC2409文件描述的IKE协议是Oakley和安全密钥交换机制（SKEME）协议的一精品文档放心下载Oakley和SKEMEInternet安全关联与密钥管感谢阅读理协议（ISAKMP感谢阅读商共享的安全策略。IKE通过两个阶段的协商来完成安全关联（SA）的建立，第感谢阅读IKE交换的发起方发起一个主模式交换或野蛮模式交换，交换的结果感谢阅读是建立一个名为ISAKMPSA的安全关联；第二阶段可由通信的任何一方发起一个精品文档放心下载快捷模式的消息交换序列，完成用于保护通信数据的IPSecSA的协商。感谢阅读IKEIP感谢阅读谢谢阅读用一种建立在公开密钥基础（PKI/验证数据加密方法。公开密钥通常精品文档放心下载是从电子证书中取得，IKE允许证书的交换，也允许从对方那里索取证书。目前精品文档放心下载使用最多也最为常见的公开密钥算法是RSA公开密钥算法。感谢阅读1.5用SJW10IP保密机构建VPN系统经国家商用密码主管部门认证的SJW10系列VPNSJW10高/中/低3精品文档放心下载档IP保密机、SJW10IPSJW10系列VPN产品所谢谢阅读构成的典型VPN解决方案如图1.2所示。在图1.2中，保密机为SJW10IP保密机，具有高速网络传输数据加密/解密感谢阅读谢谢阅读精品文档放心下载即插即用。安全包是SJW10IP安全包，是客户端VPN产品，它可安装于各种客户端PC谢谢阅读平台及移动设备平台，支持各种版本的Uinx/Linux操作系统及精品文档放心下载MicrosoftWindows感谢阅读为网关的办公室网络环境。SJW10IP安全包由安装于上述操作系统上的软件包和感谢阅读IC卡或USB精品文档放心下载松散灵活的安全广域网络，也可以与后端的各类IP保密机及安全管理中心平台谢谢阅读配合使用，构成一个完整的企业级IP-VPN（IP虚拟专用网）解决方案。精品文档放心下载安全管理中心是SJW10VPNVPN感谢阅读环境中的SJW10VPN环境中的SJW10IP保密谢谢阅读机设备；接收SJW10IP保密机的远程注册、上传日志并对日志进行分类管理。感谢阅读由SJW10IP保密机和安全包构建的VPN网络安全解决方案的主要特点是：精品文档放心下载1.精品文档放心下载感谢阅读精品文档放心下载案的基础框架。2.健壮性：IP保密机内置定制安全操作系统，具有良好的自身安全性；感谢阅读3.透明性：现有业务系统和网络结构无须做任何调整；精品文档放心下载4.适应性：能很好适应各种网络结构和网络路由协议；精品文档放心下载5.标准化：与国际标准IPsec接轨；6.可实施性：安装、维护简单快速，可随时进行而不影响正常业务；感谢阅读总部广域网DDN/FR/X.25/ISDN/Internet…精品文档放心下载分支机构Modem保密机第二章青鸟环宇VPN设备SJW10IP保密机2.1SJW10IP保密机技术说明2.1.1硬件平台及主要功能SJW10IP保密机是具有高可靠、高稳定性的网络安全设备，内置性能稳定、支持谢谢阅读连续运转的工控标准硬件和经国家密码管理机构认证的密码模块，含有25个精品文档放心下载10/100M自适应的以太网络接口，可方便地以网桥方式接入各种拓扑结构的以太感谢阅读谢谢阅读软件固化在DOC（DiskOnChip）芯片中，避免了由于易损坏的磁盘介质和读写磁盘感谢阅读时的机械操作给系统运行带来的稳定性隐患，采用加密存贮IC卡进行用户身份感谢阅读认证和电子证书的管理。感谢阅读谢谢阅读感谢阅读Windows风格的控制台界面对精品文档放心下载保密机进行本地或远程的设置和管理。IP保密机的主要安全功能包括：（1）IP报文加/解密功能，有选择地对流经保密机的IP报文实施应用透明加感谢阅读密解密操作并进行完整性认证；（2）VPN环境中的节点身份认证功能，防止非法设备假冒通讯；谢谢阅读（3）感谢阅读密/解密，公钥对生成，签名/验证，MAC生成/验证等；谢谢阅读（4）分布式密钥协商与预共享密钥共存，密钥管理便捷、适用；谢谢阅读（5）网络安全审计功能，记录网络传输情况、保密机的关键操作，以备查询、感谢阅读分析之用；（6）保密机之间具有双机（或多机）互为备份的功能，互为备份的保密谢谢阅读机之间能够实时地进行密码同步，保证网络密码通讯的畅通；精品文档放心下载2.1.2软件系统及网络位置谢谢阅读感谢阅读设备驱动）4个层次，其软件模块结构如图2.1所示。谢谢阅读图2.1保密机软件模块结构谢谢阅读谢谢阅读密机的IP包进行密码处理；根据审计策略的定义对网络数据进行登记。谢谢阅读IP保密机谢谢阅读用于保护各个局域网络，对出入局网的所有信息实施密码保护和网络访问控制。谢谢阅读此时，保密机以网桥方式接入在内部局网与外网路由器（广域网路由器）之间，谢谢阅读如图2.2所示。图2.2IP保密机在网络中的位置谢谢阅读精品文档放心下载HUB/交换机）感谢阅读连接起来的几台主机；也可能是就是一台服务器。2.1.3功能指标及配置说明1、密码机制IP数据加密/解密及报文认证保密机截获网络上流经本机的IP数据包，根据加密规则对其进行密码处理，在谢谢阅读进行报文加/解密的同时对报文数据进行消息认证码运算，对所传输的报文进行感谢阅读完整性认证。支持多种型号的加密卡，支持多种加密算法的混合使用谢谢阅读感谢阅读多种加密算法的混合使用，对用户提供的新的加密模块可以做到加载即可用。谢谢阅读为用户主机提供网络密码调用，用户可以通过调用SJW10IP保密机提供的密精品文档放心下载码服务建立自己的安全应用系统。支持PKI机制的分布式密钥自动协商，同时支持预共享对称密钥管理。密钥谢谢阅读管理是VPN系统中核心关键部分，PKI机制利用电子证书进行电子通信的签名、精品文档放心下载PKI机制用户可以把密钥管理分布到各个密码机上，使需感谢阅读VPN系统的密钥管精品文档放心下载理。对称密码算法密钥长度为128位，非对称密码算法密钥长度为1024位。精品文档放心下载2、安全机制网络节点认证感谢阅读感谢阅读网络数据审计保密机截获网络上流经本机的IP数据包，根据网络审计事件的定义，对网络数谢谢阅读据进行审计，以备后查。3、管理机制保密机支持集中式远程管理，网络安全管理员可以在安全管理中心对整个精品文档放心下载VPN环境中的密码设备进行及时的统一管理，既方便了密码机的管理工作，又提谢谢阅读高了管理工作的效率。保密机进行身份认证所使用的电子证书可以由用户自行签发，也可能是由第精品文档放心下载三方权威机构签发，SJW10IP保密机支持第三方CA机构签发的符合X.509标准的谢谢阅读电子证书，支持第三方管理中心的远程管理。4、网络适应性密码机采用网桥转发机制，原理如同交换机一样，能广泛适应各种以太网络感谢阅读结构，保密机的密码处理发生在IP层，与网络应用系统无关，保密机的接入与谢谢阅读原网络物理和应用系统完全相容。保密机有2345精品文档放心下载感谢阅读各种先进的路由协议和网络管理协议。支持802.1Q和ISL封装的VLAN结构感谢阅读“虚拟局域网络VLAN”已成为精品文档放心下载提高局域网内部安全性的常用手段。在内部网络划分了VLAN的网络系统中，将感谢阅读采用802.1Q或ISL协议封装VLAN谢谢阅读畅通。支持动态IP接入方式在SJW10IP客户端没有固定IP地址的应用环境中，客户端可通过拨号接入感谢阅读ISP/NSP获得动态IP地址，保密机支持动态IP客户端的安全隧道建立请求，当感谢阅读谢谢阅读强了保密机的实用性。5、应用可靠性无硬盘结构，系统性能更加稳定SJW10IP感谢阅读FLASH芯片作为存储设备等谢谢阅读技术，使系统具有良好的可靠性。具有配置文件的备份、双机主从备份及多机互为备份功能感谢阅读谢谢阅读提高保密机系统运行的高可靠性和高稳定性。6、硬件配置网络接口数量25个10/100MbpsRJ-45以太网接口精品文档放心下载CONSOLE口数量1个RS-232串行口，速率38400bps精品文档放心下载电气特性180V~260V250W机箱尺寸1U4U标准机箱7、技术指标适用通信环境基于TCP/IP协议的网络环境明文通信速率100Mbps/10Mbps加密通信速率20Mbps/10Mbps/5Mbps感谢阅读环境条件运行温度060C相对湿度595%平均无故障时间30000小时系统保密性国家密码管理委员会鉴定通过，国密证第0053号精品文档放心下载系统安全性公安部测试通过，销售许可证号XKC33068谢谢阅读8、人机界面提供本地串口和网络接口对保密机进行配置管理提供图形配置界面和命令行控制方式命令行方式符合UNIX命令风格图形界面符合Windows界面风格，如图2.3所示：精品文档放心下载2.2SJW10IP安全包技术说明2.2.1概述IPUSB加密棒或精品文档放心下载智能IC卡加密设备）所组成。软件包分为应用软件和操作系统核心软件，核心谢谢阅读软件是可嵌入相应操作系统核心的IP层垫片程序和加密设备驱动程序。感谢阅读IP安全包适用的操作系统范围为基于Intel平台各种版本的Unix、Linux精品文档放心下载及，基本囊括了目前流行的客户端操作系统平台。IP安全包作精品文档放心下载为IP保密机的客户端密码设备，特别适用于需要建立安全通信隧道的移动办公谢谢阅读感谢阅读2.2.2系统总体结构适用于不同操作系统平台的IPWindows感谢阅读平台安全包为例加以说明。精品文档放心下载WINDOWS启动时被装载，精品文档放心下载而启动程序则在Windows精品文档放心下载精品文档放心下载制或密钥时才运行。它们的结构如图2.4所示：图2.4：WINDOWSIP安全包2.2.3功能特点IP安全包可以独立应用，也可作为下端与上端IP保密机配合使用，主要功精品文档放心下载能包括：在Win95NT/2000及UNIXLinux感谢阅读信功能；支持多种加密算法的混合使用，可以方便地实现与用户自己的加密模块和密精品文档放心下载码管理模块的挂接；支持TCP/IP协议族，对其它协议可选支持；基于主机地址或子网地址的访问控制，防止数据的非授权访问；精品文档放心下载应用透明，使得网络中原有的各种应用程序无需改变就可以实现加密传输；谢谢阅读与网络适配器无关，支持各种局域网适配器（如：Intel网卡、3COM网卡，谢谢阅读X25RS-232接口、PPPoE感谢阅读支持对配置多块网络适配器系统的灵活控制，用户可根据实际通信状况选定谢谢阅读加密通信的网络设备；可以对特殊主机的某些TCP端口区别处理；界面美观、管理方便。2.3SJW10安全管理中心2.3.1概述SJW10安全管理中心是青鸟环宇SJW10IP保密机系列产品的重要组成部分，它和谢谢阅读SJW10IP保密机、SJW10IP安全包一起，构成一个完整的VPN产品体系。精品文档放心下载青鸟环宇SJW10IP保密机的密钥管理体制采用了基于公开密钥密码体制（PKI感谢阅读系结构的“集中认证，分布协商”的密钥管理方案，PKI体制要求证书和密钥在谢谢阅读产生和分发过程中需要有一个“权威机构对其进行合法性保证，这个权威机构谢谢阅读称之为CertificateAuthority(CA)SJW10IP保密机构成的一个VPN网络感谢阅读应用环境中，由SJW10安全管理中心（SMC）完成简明的CA认证中心的功能。感谢阅读作为整个VPN产品系列的管理和控制中心，SMC的功能职责主要包括：谢谢阅读证书管理SJW10IP保密机和安全包在使用时必须拥有一个合法证书，用于通讯双方的节点谢谢阅读SMC将起到一个内部CA精品文档放心下载申请人的资格、生成并发放电子数字证书，完成证书生成、发放、废弃、重用、谢谢阅读查询等管理工作。保密机/安全包配置维护拥有同一个SMC签发的证书的所有保密机/安全包构成一个安全应用域，SMC对该感谢阅读应用域中所有保密机/安全包进行分类管理并对配置情况进行列表查询，负责接精品文档放心下载受各保密机/安全包的登记注册并对分布在各地的保密机实施远程配置、管理，精品文档放心下载保密机/安全包的最新配置信息可通过在线注册汇总到SMC中。精品文档放心下载保密机/安全包日志维护应用域中各保密机/安全包的审计日志可以本地存放，也可以通过网络汇集存放感谢阅读在该应用域的SMC中。当日志文件选择存放在SMC时，SMC可对这些日志实行集谢谢阅读中管理。SMC签发的证书具有三种介质实体形式，分别为：IC卡片形式、USB棒形式和3精品文档放心下载吋软盘形式。保密机获得自己的证书是通过读取存放证书的IC卡，证书读取成感谢阅读功后，保密机将证书保存在本机中，以后每次需要使用证书时，不用再读取IC精品文档放心下载卡，除非要更换新的证书。精品文档放心下载书的管理，SMC谢谢阅读SMC签精品文档放心下载感谢阅读不用到它上级部门的SMC感谢阅读重新生成，保证了证书可以快速、便捷地到达用户手中。安全管理中心软件的运行环境为WindowsNT或Windows2000，其操作控制界谢谢阅读面符合Windows感谢阅读功能进行工作，安全管理中心的控制界面如图2.5所示：谢谢阅读2.3.2密钥管理方案SJW10IP保密机的密钥管理体制既采用了基于公共密钥PKI体系结构的“集中认精品文档放心下载证，分布协商的密钥管理方案，同时支持传统的预共享对称密钥的密钥管理方谢谢阅读案。SJW10密钥管理采用一级密钥、二级密钥和会话密钥三级密钥管理方式，一级密谢谢阅读感谢阅读生成，通过加密IC卡或USB棒发放并注入保密机。二级密钥用于加密传送会话感谢阅读感谢阅读精品文档放心下载感谢阅读护随IP包经网络传输。由于每个IP保密机（安全包）均具有不同的一级密钥和二级密钥，具有良好的感谢阅读密钥分割特性，因此当一个保密机泄密时，只会影响该保密机相关的保密通信，精品文档放心下载而不会危及整个网络系统。分布式密钥管理方案特别适合于网络节点在位置和数量上均要求灵活多变精品文档放心下载的业务网络系统，如电子商务、网上银行、网上报税等。SJW10系列VPN产品的分布式密钥管理方案以证书管理和认证为核心，采用精品文档放心下载VPN应用环境中设立一个安全管理中心（SMC谢谢阅读CA认证中心的基本功能。任何拥有同一个SMC谢谢阅读谢谢阅读精品文档放心下载加密的二级密钥。任何一台保密机（安全包）节点，只要获得安全管理中心精品文档放心下载（SMC）颁发的有效证书，即可加入到安全的业务网络系统中，从而为系统中节感谢阅读点的灵活增减提供了方便的手段。本方案在设计上基于PKI的体系结构，其密钥协商遵从精品文档放心下载IKE(InternetKeyExchange)ITU的X.509V3标准谢谢阅读所定义的证书格式，所以本密钥管理方案具有较好的可扩展性。精品文档放心下载谢谢阅读谢谢阅读感谢阅读精品文档放心下载般用在IP安全包建立安全通信隧道时。人工更换密钥的操作非常直观，在保密感谢阅读感谢阅读中的“启动密钥协商过程并点击左边“启动按钮，保密机将自动完成通讯密精品文档放心下载钥的更换工作。第三章典型应用案例3.1某省银行应用SJW10构建安全金融业务网感谢阅读感谢阅读络系统相连，构成了一个从省行经各地市至各业务网点的三级网络结构。精品文档放心下载DDN专线网络和一个宽精品文档放心下载带广域网络组成，两个网络物理分离，另设有一条PSTN电话拨号线路作为骨干精品文档放心下载网主线路的备份线路。SJW10IP保密感谢阅读SJW10IPIC谢谢阅读卡密码设备）作为全省范围内的网点安全设备，网络安全方案如下：谢谢阅读在省行网络信息中心设立“安全管理中心”负责管理全省范围内的SJW10IP感谢阅读IP保密机和IP安全包签发电子证书，精品文档放心下载远程管理、配置SJW10IP保密机；在各地市行信息中心设立“证书托管中心负责将“安全管理中心签发的精品文档放心下载本地SJW10IP密码设备的电子证书制作成特定的证书卡；谢谢阅读在省行和各地市行金融联网的局网出口处安装高档SJW10IP感谢阅读络线路冗余设计，高档保密机的网络接口标准配置为4网口；精品文档放心下载感谢阅读态的进行切换，保证银行金融业务的畅通；在各金融业务网点的主机中（运行SCOUNIX）安装SJW10IP安全包，用于进精品文档放心下载行网点的身份认证和网络密码通讯。该省银行采用VPN