基于SM2的安全接入解決方案

1、基于sm2的安全接入解決方案一、 方案背景隨著internet技術(shù)的不斷發(fā)展，近幾年國內(nèi)企事業(yè)單位的信息化建設(shè)得到了快速發(fā)展，如網(wǎng)上辦公、電子政務(wù)、電子商務(wù)等應(yīng)用都得到了快速推進(jìn)和發(fā)展。越來越多的政府、企事業(yè)單位已經(jīng)依托互聯(lián)網(wǎng)組建了自己的網(wǎng)上辦公系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)，從而使內(nèi)部辦公人員、合作伙伴等通過網(wǎng)絡(luò)可以迅速地獲取信息，使得遠(yuǎn)程辦公和移動辦公模式得以實現(xiàn)。目前通過internet進(jìn)行安全接入和組網(wǎng)一般采用ipsec或ssl vpn技術(shù)，通過internet來組建了自己的私有網(wǎng)絡(luò)，實現(xiàn)了企業(yè)總部與分支機構(gòu)、合作伙伴以及移動用戶的安全互聯(lián)。但隨著密碼技術(shù)和計算技術(shù)的發(fā)展，1024位rsa公鑰密碼

2、算法正面臨日益嚴(yán)重的安全威脅，為保障重要經(jīng)濟系統(tǒng)密碼應(yīng)用的安全。國密局已于2011年3月下發(fā)了關(guān)于做好公鑰密碼算法升級工作的通知（國密局字201150號），對公鑰密碼算法升級的有關(guān)工作做出了具體安排。按通知的要求，自2011年7月1日起，新投入運行并使用公鑰密碼的信息系統(tǒng)，應(yīng)使用sm2算法；已投入運行的，應(yīng)盡快進(jìn)行系統(tǒng)升級，并使用sm2算法。因此，對于目前已經(jīng)廣泛應(yīng)用的vpn安全網(wǎng)關(guān)系統(tǒng)，也提出了新的升級改造要求，需要能提供基于sm2的全新vpn解決方案。由于現(xiàn)階段國內(nèi)vpn產(chǎn)品使用的公鑰密碼算法主要是rsa，新的解決方案要求使用sm2橢圓曲線算法來替換rsa公鑰密碼算法。sm2算法相比rsa

3、算法具有如下優(yōu)勢：簽名速度和密鑰對生成速度都遠(yuǎn)快于rsa；ecc算法的單位安全強度高于rsa算法，也就是說，要達(dá)到同樣的安全強度，ecc算法所需的密鑰長度遠(yuǎn)比rsa算法低；數(shù)據(jù)表明，ecc 256位（sm2采用的就是ecc 256位的一種）安全強度比rsa2048的還高，但運算速度要比rsa2048快的多。二、 安全需求分析根據(jù)政府、企事業(yè)單位等網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的需要，在實現(xiàn)總部與各級單位、分支機構(gòu)網(wǎng)絡(luò)安全互聯(lián)及移動辦公安全接入的同時，結(jié)合國家對相關(guān)網(wǎng)絡(luò)通信協(xié)議及加密算法的要求，其主要安全接入需求如下所述。1. 應(yīng)用系統(tǒng)的適應(yīng)性與安全性需求遠(yuǎn)程接入網(wǎng)絡(luò)需要承載的業(yè)務(wù)系統(tǒng)種類較多，且對于應(yīng)用系統(tǒng)

4、的實時性和可靠性有較高要求；網(wǎng)絡(luò)應(yīng)用需要基于b/s和c/s架構(gòu)，業(yè)務(wù)模式較復(fù)雜；遠(yuǎn)程接入移動辦公人員眾多，且需要能同時支持pc、pad、智能手機等多種終端接入。2. 網(wǎng)絡(luò)通信協(xié)議及加密算法的安全性需求對網(wǎng)絡(luò)數(shù)據(jù)及傳輸?shù)陌踩砸筝^高，數(shù)據(jù)加密的對稱密碼算法需使用國家密碼管理局規(guī)定的sm1或sm4加密算法；摘要算法需要使用sha1或sm3算法；用于證書認(rèn)證的非對稱密碼算法需采用國家商密sm2算法，且ca系統(tǒng)需要支持國密局sm2數(shù)字證書規(guī)范。通信協(xié)議需要符合國密局制定的國家技術(shù)標(biāo)準(zhǔn)，即符合ssl vpn技術(shù)規(guī)范和ipsec vpn技術(shù)規(guī)范3. 設(shè)備與用戶的管理與安全性需求對所有網(wǎng)關(guān)設(shè)備和遠(yuǎn)程接入用

5、戶采用統(tǒng)一、嚴(yán)格的身份認(rèn)證和集中管理；能實時監(jiān)控設(shè)備及用戶工作狀態(tài)，并進(jìn)行詳細(xì)日志記錄；整個遠(yuǎn)程接入系統(tǒng)安裝方便、快捷，便于維護(hù)和管理。三、 解決方案根據(jù)政府、企事業(yè)單位分支機構(gòu)網(wǎng)絡(luò)互聯(lián)及移動用戶安全接入的實際需求，我們采用專門的vpn密碼機產(chǎn)品提供基于sm2的vpn遠(yuǎn)程安全接入解決方案，解決其所面臨的遠(yuǎn)程安全接入、傳輸保密、用戶認(rèn)證、網(wǎng)絡(luò)安全防護(hù)、訪問控制等問題，具體解決方案及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下： 1、 在總部網(wǎng)絡(luò)中心部署高端ipsec/ssl vpn綜合安全網(wǎng)關(guān)，作為中心vpn密碼機安全接入網(wǎng)關(guān)。中心和分支vpn密碼機都內(nèi)置有硬件加密卡，支持sm1、sm2、sm3、sm4等國產(chǎn)加密算法，并

6、符合國密局vpn技術(shù)規(guī)范。同時，通過vpn綜合安全網(wǎng)關(guān)集成的防火墻功能可提供對內(nèi)網(wǎng)的訪問控制和網(wǎng)絡(luò)安全防護(hù)。2、 各分支機構(gòu)根據(jù)網(wǎng)絡(luò)規(guī)模部署相應(yīng)ipcec vpn安全網(wǎng)關(guān)，作為分支vpn密碼機安全接入網(wǎng)關(guān)。分支網(wǎng)關(guān)在連入互聯(lián)網(wǎng)的同時會自動向中心vpn安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證和vpn隧道協(xié)商。同時，分支網(wǎng)關(guān)還可以提供防火墻安全防護(hù)功能。3、 在總部部署ca服務(wù)器，用于為所有vpn網(wǎng)關(guān)和移動用戶頒發(fā)sm2算法的證書，采用證書方式對vpn設(shè)備和用戶進(jìn)行身份認(rèn)證，且ca符合國密局sm2數(shù)字證書規(guī)范。4、 移動辦公用戶在終端上安裝ipsec或ssl客戶端進(jìn)行安全接入，采用在usb key上寫入的sm2證書進(jìn)

7、行身份認(rèn)證，且usb key自帶加密芯片，支持sm1、sm2、sm3、sm4國產(chǎn)加密算法。四、 應(yīng)用案例某省電子政務(wù)外網(wǎng)為實現(xiàn)各級政務(wù)部門之間業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)貫通，需要為部分不具備專線接入政務(wù)外網(wǎng)的政務(wù)部門以及一些偏遠(yuǎn)地區(qū)提供安全接入。另一方面，眾多政務(wù)部門出差人員或移動辦公的人員也需要能方便的接入業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)上報。根據(jù)此電子政務(wù)外網(wǎng)的安全接入需求，我們在省級中心部署了高端sjj1209 ipsec/ssl vpn綜合安全網(wǎng)關(guān)，用于提供各級政務(wù)部門和移動辦公人員安全接入，在各級政務(wù)部門部署相應(yīng)中低端sjj1209 ipsec/ssl vpn綜合安全網(wǎng)關(guān)接入省中心。同時，在省中心部署安全策略管理中心，便于對所有設(shè)備和用戶進(jìn)行集中監(jiān)控、身份認(rèn)證和通訊策略管理。另外，為保證通訊和數(shù)據(jù)傳輸?shù)陌踩?，vpn安全網(wǎng)關(guān)及客戶端全部使用了sm1、sm2、sm3國產(chǎn)加密算法和國密vpn協(xié)議進(jìn)行身份認(rèn)證、加密和數(shù)據(jù)傳輸。通過采用基于sm1、sm2等國密算法的vpn安全接入解決方案，實現(xiàn)了某省電子政務(wù)外網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的