青鳥環(huán)宇vpn系列產(chǎn)品-技術(shù)白皮書v(2)

1、青烏Dfi字JADE BIRD UNIVERSAL青鳥環(huán)宇VPN系列產(chǎn)品技術(shù)白皮書北京北大青鳥環(huán)宇科技股份有限公司2002年5月第一章 企業(yè)網(wǎng)絡(luò)系統(tǒng)信息安全問題 11.1企業(yè)（政府）網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀 11.2企業(yè)網(wǎng)絡(luò)面臨的威脅及安全需求 31.3網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù) 61.4 IPSec網(wǎng)絡(luò)安全體系 81.5用SJW10P保密機(jī)構(gòu)建 VPNS統(tǒng) 9第二章 青鳥環(huán)宇VPNS備 SJW10 IP保密機(jī) 122.1 SJW10IP保密機(jī)技術(shù)說明 122.1.1 硬件平臺(tái)及主要功能 122.1.2軟件系統(tǒng)及網(wǎng)絡(luò)位置 132.1.3功能指標(biāo)及配置說明 142.2 SJW10IP安全包

2、技術(shù)說明 172.2.1 概述 172.2.2系統(tǒng)總體結(jié)構(gòu) 182.2.3功能特點(diǎn) 182.3 SJW1C安全管理中心 192.3.1 概述 192.3.2密鑰管理方案 21第三章典型應(yīng)用案例 233.1某省銀行應(yīng)用SJW1（構(gòu)建安全金融業(yè)務(wù)網(wǎng) 233.2某市銀行應(yīng)用SJW1（構(gòu)建安全銀證聯(lián)網(wǎng)系統(tǒng) 243.3某省環(huán)保局應(yīng)用SJW1（在Interne上構(gòu)建安全數(shù)字環(huán)保網(wǎng)絡(luò)27第一章 企業(yè)網(wǎng)絡(luò)系統(tǒng)信息安全問題1.1 企業(yè)（政府）網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀隨著我國通信基礎(chǔ)設(shè)施建設(shè)的飛速發(fā)展和互連網(wǎng)絡(luò)技術(shù)的日趨完善， 各行各 業(yè)及政府各部門紛紛借助公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施將分散在不同地域的相對(duì)封閉的信 息系

3、統(tǒng)聯(lián)成一個(gè)整體，以加快信息的流動(dòng)速度， 提高企業(yè)的綜合競爭力， 提升政 府辦公的工作效率。就目前大部分網(wǎng)絡(luò)應(yīng)用而言，典型的企業(yè)（政府）網(wǎng)絡(luò)結(jié)構(gòu)一般都由一個(gè)總 部（網(wǎng)絡(luò)中心）、若干分支機(jī)構(gòu)、數(shù)量不等的合作伙伴及移動(dòng)遠(yuǎn)程（撥號(hào)）用戶 所組成。 除遠(yuǎn)程用戶外， 其余各部分均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。 其中總部局 域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，為企業(yè)（政府）各類中心服務(wù)器所在地，同時(shí)也 是網(wǎng)絡(luò)管理中心。各部分之間的聯(lián)接方式多種多樣，包括遠(yuǎn)程撥號(hào)、專線、 Internet 等。從互聯(lián)方式來看，則可分為三種模式：通過撥號(hào)遠(yuǎn)程訪問企業(yè)網(wǎng)絡(luò)， 撥號(hào)又可分為通過電話網(wǎng)絡(luò)撥入訪問服務(wù)器和 撥入網(wǎng)絡(luò)服務(wù)提供商（如：I

4、SP）兩種方式；遠(yuǎn)程分支機(jī)構(gòu)局域網(wǎng)通過專線或公共網(wǎng)絡(luò)和總部局域網(wǎng)絡(luò)連接； 合作伙伴（客戶、供應(yīng)商）局域網(wǎng)通過專線或公共網(wǎng)絡(luò)和總部局域網(wǎng)連接； 該典型結(jié)構(gòu)如下頁圖 1.1 所示。在這個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的既有傳統(tǒng)的客戶服務(wù)器模式的業(yè)務(wù)系統(tǒng)，也有基于 Internet 技術(shù)的 WEB 應(yīng)用，或者兩者兼有。隨著 Internet 技術(shù)的日益成熟， WEB 應(yīng)用將逐步成為主流，而 TCP/IP 協(xié)議則是網(wǎng)絡(luò)互連的唯一選擇?，F(xiàn)行的各類企業(yè)（政府）網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史，一般而言， 在 其網(wǎng)絡(luò)系統(tǒng)建設(shè)過程中，主要側(cè)重信息系統(tǒng)的穩(wěn)定、正確運(yùn)行。 就網(wǎng)絡(luò)信息系統(tǒng) 安全而言，一般僅利用了一些常規(guī)的安全防護(hù)措施，

5、 這些措施包括利用操作系統(tǒng)、 數(shù)據(jù)庫系統(tǒng)自身的安全設(shè)施； 購買并部署商用的防火墻和防病毒產(chǎn)品等。 在應(yīng)用 程序的設(shè)計(jì)中， 也僅考慮到了部分信息安全問題。 應(yīng)該說這在系統(tǒng)建設(shè)初期的客 觀環(huán)境下是可行的， 也是客觀條件限制下的必然。 由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件，這些軟件通常僅具備一些基 本的安全功能，而且在安裝時(shí)的缺省配置往往更多的照顧了使用的方便性而忽略 了系統(tǒng)的安全性，如考慮不周很容易就留下安全漏洞?？偟膩碚f，這些系統(tǒng)中的大部分遠(yuǎn)沒有達(dá)到能和系統(tǒng)中信息的重要性相稱的安全級(jí)別，有的甚至對(duì)于一些常規(guī)的攻擊手段也無法抵御。Eml服務(wù)器I中心工作站器WWW服

6、路由器訪問服務(wù)器DDN/FR/X.25/PSTN/I nternetISP / NSP合作伙伴路由器工作臺(tái)移動(dòng)用戶分支機(jī)構(gòu)I撥號(hào)用戶服務(wù)器工作臺(tái)撥號(hào)/移動(dòng) 辦公用戶總部中心主機(jī)路由器匸1圖1.1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)1.2 企業(yè)網(wǎng)絡(luò)面臨的威脅及安全需求對(duì)企業(yè)（政府）網(wǎng)絡(luò)系統(tǒng)的安全威脅可以說多種多樣，就攻擊的對(duì)象及采用 的手段來加以區(qū)分，可分為針對(duì)信息的攻擊、 針對(duì)系統(tǒng)的攻擊、 針對(duì)使用者的攻 擊以及針對(duì)系統(tǒng)資源的攻擊等四類， 實(shí)施安全攻擊的人員既可能是外部人員， 也 可能是內(nèi)部人員。1.2.1 針對(duì)信息的攻擊對(duì)處于傳輸和存儲(chǔ)形態(tài)的信息實(shí)施非法攻擊， 其手段包括偵聽破譯、 篡改報(bào) 文、重發(fā)（或少發(fā)）報(bào)文

7、、改變信息的傳輸順序以及流量分析等，其攻擊地點(diǎn)既 可以在局域網(wǎng)內(nèi)，也可以在廣域網(wǎng)上。由于信息在局域網(wǎng)中多采用廣播方式， 因此，若在某個(gè)廣播域中可以偵聽到 所有的信息包， 攻擊者就可以對(duì)信息包進(jìn)行分析， 那么本廣播域的信息傳遞過程 都會(huì)暴露在攻擊者面前。 即使是采用交換方式的局網(wǎng)， 由于信息的流動(dòng)具有明顯 的集中性（如一個(gè)服務(wù)器對(duì)多個(gè)客戶機(jī)） ，攻擊者只要有機(jī)會(huì)接近信息的匯聚點(diǎn) （如交換機(jī)的服務(wù)器端口） ，即可對(duì)其實(shí)施攻擊。對(duì)廣域網(wǎng)而言，由于廣域網(wǎng)通 常是基于公共網(wǎng)絡(luò)連接而成， 因而在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息就更可能受到各種 各樣的攻擊，諸如：竊取、偽造、破壞等。任何一個(gè)有條件接觸通信結(jié)點(diǎn)或信道

8、的人都可以實(shí)施上述攻擊，這種形式的“攻擊”是相對(duì)比較容易成功的，只要使 用現(xiàn)在很容易得到的“包檢測”軟件即可。隨著網(wǎng)絡(luò)偵聽工具的隱蔽化和靈巧化， 對(duì)信息攻擊的可實(shí)施性正變得越來越 容易實(shí)現(xiàn)。以前購置一套功能強(qiáng)大的協(xié)議分析設(shè)備需花費(fèi)十幾萬乃至幾十萬元， 能掌握這些設(shè)備的人極為稀少。而現(xiàn)在， 協(xié)議分析工具軟件隨處可得， 有些免費(fèi) 軟件的協(xié)議分析能力越來越強(qiáng)大， 試用人員隊(duì)伍十分龐大， 一旦得到合適的機(jī)會(huì)， 即使無心之人也可能抵擋不住好奇心而鋌而走險(xiǎn)，更何況蓄意犯罪之徒。針對(duì)信息的攻擊手段的可怕之處在于其隱蔽性和突然性， 攻擊者可以不動(dòng)聲 色地竊取并利用信息，而無慮被發(fā)現(xiàn)；他也可以在積聚足夠的信息后

9、驟起發(fā)難， 進(jìn)行敲詐勒索。此類案件見諸報(bào)端的層出不窮，而未公開與之相比會(huì)數(shù)以倍計(jì)。1.2.2 針對(duì)系統(tǒng)的攻擊利用系統(tǒng)（包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng)）固有的或系統(tǒng)配置及管 理過程中的安全漏洞， 穿透或繞過安全設(shè)施的防護(hù)策略， 達(dá)到非法訪問直至控制 系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其它系統(tǒng)。 此類攻擊手段包括隱通道攻擊、 特絡(luò)伊木馬、口令猜測、緩沖區(qū)溢出等，早期的黑客多是利用這類攻擊方法。隨 著基礎(chǔ)系統(tǒng)軟件安全功能和安全管理制度的不斷完善， 此類攻擊的成功比例正在 逐步減少，但由于當(dāng)今黑客組織越來越嚴(yán)密， 攻擊技巧層出不窮， 攻擊工具傳播 迅速，因此在相當(dāng)長時(shí)期內(nèi)，仍是主要的威脅之一。由于我

10、國的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和 支撐平臺(tái)，這些軟件在安裝時(shí)的缺省配置往往更多的照顧方便性而忽略了安全 性，如考慮不周很容易就留下安全漏洞， 如果再考慮到某些軟件供應(yīng)商出于政治 或經(jīng)濟(jì)目的，可能在系統(tǒng)中預(yù)留“后門” ，因此必須要有有效的技術(shù)手段加以預(yù) 防。1.2.3 針對(duì)使用者的攻擊這是一種看似困難卻普遍存在的攻擊途徑， 攻擊者多利用管理者和使用者安 全意識(shí)不強(qiáng)、管理制度松弛、 認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn)， 通過種種手段竊取系統(tǒng)權(quán) 限，通過合法程序來達(dá)到非法目的，并在事后或嫁禍他人、或毀滅證據(jù)。此類攻 擊的特點(diǎn)是難以取證。1.2.4 針對(duì)資源的攻擊以各種手段耗盡系統(tǒng)某一資源

11、， 使之喪失繼續(xù)提供服務(wù)的能力， 因此又稱為 拒絕服務(wù)類攻擊，如郵件炸彈、 ping 流攻擊等。拒絕服務(wù)攻擊的高級(jí)形式為分 布式拒絕服務(wù)攻擊 (DDoS), 即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻 擊，迫使攻擊對(duì)象癱瘓。針對(duì)資源的攻擊發(fā)起點(diǎn)通常來自互聯(lián)網(wǎng)， 其攻擊對(duì)象多為各類網(wǎng)站。 分布式 拒絕服務(wù)攻擊通常都是經(jīng)過精心策劃， 有組織的犯罪行為。 由于針對(duì)資源的攻擊 利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，尤其是In ternet以及TCP/IP協(xié)議的固有缺陷，因此 在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒有得到大的改進(jìn)前，難以徹底解決。1.2.5 企業(yè)的安全需求網(wǎng)絡(luò)安全包括五個(gè)基本要素： 機(jī)密性、完整性、可用性、可審查性和

12、可控性。機(jī)密性： 確保信息不暴露給未授權(quán)的任何其它方實(shí)體或進(jìn)程。完整性： 只有授權(quán)的實(shí)體或進(jìn)程才能修改數(shù)據(jù)， 并且能夠判別出數(shù)據(jù)是否已 被篡改?？捎眯裕?確保授權(quán)實(shí)體在需要時(shí)可訪問數(shù)據(jù)， 即攻擊者不能占用所有的資源 而阻礙授權(quán)者的工作?？蓪彶樾裕?對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。 可控性： 可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 目前國內(nèi)企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層 面所面臨的安全問題， 即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳 輸安全和網(wǎng)絡(luò)訪問控制問題。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問題概括起來主要 有：傳輸信息的安全、節(jié)點(diǎn)身份認(rèn)證、網(wǎng)絡(luò)訪問控制

13、、操作人員的身份認(rèn)證、交 易的不可抵賴性和對(duì)非法攻擊事件的可追蹤性。傳輸信息的安全 總部和分支機(jī)構(gòu)、合作伙伴之間的業(yè)務(wù)數(shù)據(jù)在網(wǎng)上傳輸時(shí)， 有可能被截取、 竊取、偽造、假冒、篡改，所以必須保證通信信道上的信息安全性。通信 信息的安全性包括通信數(shù)據(jù)的機(jī)密性和完整性。 通信數(shù)據(jù)的機(jī)密性可通過 數(shù)據(jù)加密來實(shí)現(xiàn)， 可防止傳輸信息被截取、 偷看；通信數(shù)據(jù)的完整性則依 賴于MA（消息驗(yàn)證碼）和數(shù)字簽名來實(shí)現(xiàn)，可防止被假冒、篡改、重 放等。節(jié)點(diǎn)身份認(rèn)證 是指在進(jìn)行網(wǎng)上業(yè)務(wù)時(shí)， 系統(tǒng)內(nèi)各節(jié)點(diǎn)之間要互相驗(yàn)證對(duì)方的身份， 以防 假冒。節(jié)點(diǎn)身份認(rèn)證對(duì)關(guān)鍵性的實(shí)時(shí)業(yè)務(wù)尤為重要， 例如，對(duì)于金融儲(chǔ)蓄 業(yè)務(wù)，案犯可以利用P

14、C機(jī)偽造儲(chǔ)蓄網(wǎng)點(diǎn)，進(jìn)行存錢操作，然后立即在合 法的儲(chǔ)蓄所取出現(xiàn)金。網(wǎng)絡(luò)訪問安全 關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的各節(jié)點(diǎn)之間通常是通過跨地域的公共基礎(chǔ)網(wǎng)絡(luò)連接，需要有效地防止可能來自該基礎(chǔ)網(wǎng)絡(luò)的對(duì)系統(tǒng)主機(jī)和內(nèi)部網(wǎng)絡(luò)的非法訪 問和攻擊。操作人員的身份認(rèn)證和交易的不可抵賴性 對(duì)操作人員身份的正確而有效的認(rèn)證是實(shí)現(xiàn)不可抵賴的前提， 交易的不可 抵賴性是指防止對(duì)交易行為的抵賴和否認(rèn)行為， 交易的不可抵賴通常通過 數(shù)字簽名來實(shí)現(xiàn)，重要的交易行為應(yīng)該簽名并實(shí)時(shí)驗(yàn)證。非法攻擊事件的可追蹤性對(duì)重要事件應(yīng)具有詳細(xì)的審計(jì)紀(jì)錄， 以便在發(fā)生攻擊時(shí)提供確鑿的追究證 據(jù)，從而使系統(tǒng)具有強(qiáng)大的威懾力量和有效的取證手段。必須指出： 網(wǎng)絡(luò)信

15、息系統(tǒng)是由人參與的信息系統(tǒng)環(huán)境， 建立良好的安全組織 和管理是首要的安全需求， 也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。 企業(yè)需 要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。1.3 網(wǎng)絡(luò)安全基本技術(shù)與 VPN 技術(shù)解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問控制技術(shù) 和密碼技術(shù)。網(wǎng)絡(luò)訪問控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來攻擊。 密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶身份、抗否認(rèn)等。密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一， 實(shí)際上， 數(shù)據(jù)加密作為一項(xiàng) 基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。 在多數(shù)情況下， 數(shù)據(jù)加密是保證信 息機(jī)密性的唯一方法。 一個(gè)加密網(wǎng)絡(luò)，

16、不但可以防止非授權(quán)用戶的搭線竊聽和入 網(wǎng)，而且也是對(duì)付惡意軟件的有效方法， 這使得它能以較小的代價(jià)提供很強(qiáng)的安 全保護(hù)。數(shù)據(jù)加密過程是由各種加密算法來具體實(shí)施， 按照收發(fā)雙方密鑰是否相同來 分類，可以將這些加密算法分為對(duì)稱密碼算法和非對(duì)稱密碼算法（公鑰算法） 。對(duì)稱密鑰密碼算法的收信方和發(fā)信方使用相同的密鑰， 即加密密鑰和解密密 鑰是相同或等價(jià)的。最著名的對(duì)稱密碼算法為美國的 DES 算法及其各種變形。 對(duì)稱密碼算法的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度和較快的運(yùn)算速度， 但其密鑰必須通過 安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。非對(duì)稱密鑰 （公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同

17、，而且 幾乎不可能從加密密鑰推導(dǎo)出解密密鑰， 這些特性使其成為實(shí)現(xiàn)數(shù)字簽名的最佳 選擇。最著名也是應(yīng)用最為廣泛的公鑰密碼算法是RSA 算法。公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求， 且密鑰管理問題也較為簡單， 尤其可方便的實(shí)現(xiàn) 數(shù)字簽名和驗(yàn)證。密碼技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式， 即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。 前者 通常工作在網(wǎng)絡(luò)協(xié)議棧的網(wǎng)絡(luò)層或傳輸層， 在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò) 應(yīng)用層的用戶通常是透明的。 面向應(yīng)用服務(wù)的加密技術(shù)發(fā)生在業(yè)務(wù)程序中， 通常 用于解決特定應(yīng)用相關(guān)的安全問題， 典型應(yīng)用有用戶身份驗(yàn)證、 交易信息的簽名 驗(yàn)證和交易信息的加密等。虛擬專用網(wǎng)絡(luò)（ VPN ： Vi

18、rtual Private Network ）技術(shù)就是在網(wǎng)絡(luò)層通過數(shù)據(jù) 包封裝技術(shù)和密碼技術(shù)，使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過“加密管道”傳播，從而在 公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)。利用 VPN技術(shù)，企業(yè)只需要租用本地的 數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相安全地傳遞信息； 另外，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備， 讓自己的用戶撥號(hào)到公眾信 息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)、 數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)訪問控制技術(shù)，并通過 適當(dāng)?shù)拿荑€管理機(jī)制，在公用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專用網(wǎng)絡(luò)系統(tǒng)， 實(shí)現(xiàn)完整的集成化的企業(yè)范圍 VPN 安全解決方案。對(duì)于

19、現(xiàn)行的各種業(yè)務(wù)網(wǎng)絡(luò)應(yīng) 用系統(tǒng)，采用 VPN 技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下，極大地 提高系統(tǒng)的安全性能，是一種較為理想的基礎(chǔ)解決方案。當(dāng)今VPN技術(shù)中對(duì)數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層（對(duì)于TCP/IP網(wǎng)絡(luò)，發(fā)生在IP層），從而既克服了傳統(tǒng)的鏈（線）路加密技術(shù)對(duì)通訊方式、傳輸介質(zhì)、 傳輸協(xié)議依賴性高、適應(yīng)性差、無統(tǒng)一標(biāo)準(zhǔn)等缺陷，又避免了應(yīng)用層端 - 端加密 管理復(fù)雜、互通性差、安裝和系統(tǒng)遷移困難等問題，使得 VPN 技術(shù)具有節(jié)省成 本、適應(yīng)性好、標(biāo)準(zhǔn)化程度高、便于管理、易于與其它安全和系統(tǒng)管理技術(shù)融合 等優(yōu)勢，成為目前和今后企業(yè)安全網(wǎng)絡(luò)發(fā)展的趨勢。從應(yīng)用上看虛擬專網(wǎng)可以分為虛擬企業(yè)

20、網(wǎng)和虛擬專用撥號(hào)網(wǎng)絡(luò)（ VPDN）。 虛擬企業(yè)網(wǎng)主要是使用專線上網(wǎng)的企業(yè)分部、 合作伙伴間的虛擬專網(wǎng)； 虛擬專用 撥號(hào)網(wǎng)絡(luò)是指使用電話撥號(hào)（PPP撥號(hào)）上網(wǎng)的遠(yuǎn)程用戶與企業(yè)網(wǎng)間的虛擬專網(wǎng)。 虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道， 構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以 下條件：保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址假冒（ IP Spoofing ）的能力。保證數(shù)據(jù)的完整性， 接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致， 要有抵抗不法分子 纂改數(shù)據(jù)的能力。保證通道的機(jī)密性， 提供強(qiáng)有力的加密手段， 必須使偷聽者不能破解攔截到 的通道數(shù)據(jù)。提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。 提供安全防護(hù)措施

21、和訪問控制，具有抵抗黑客通過 VPN 通道攻擊企業(yè)網(wǎng)絡(luò) 的能力，并且可以對(duì) VPN 通道進(jìn)行訪問控制。目前建造虛擬專網(wǎng)依據(jù)的主要國際標(biāo)準(zhǔn)有IPSec、L2TP、PPTP L2F等。其中L2TP是虛擬專用撥號(hào)網(wǎng)絡(luò)協(xié)議，是IETF根據(jù)各廠家協(xié)議（包括微軟公司的 PPTP Cisco的L2F）進(jìn)行起草，目前尚處于草案階段。IPSec是由IETF正式定 制的開放性IP安全標(biāo)準(zhǔn)，是虛擬專網(wǎng)的基礎(chǔ)，已經(jīng)相當(dāng)成熟可靠。L2TP協(xié)議草案中也規(guī)定它（L2TP標(biāo)準(zhǔn)）必須以IPSec為安全基礎(chǔ)。目前，采用IPSec標(biāo)準(zhǔn)的 VPN 技術(shù)正在迅速走向成熟，而且它正處于興盛期，因此在構(gòu)造 VPN 基礎(chǔ)設(shè)施 時(shí)應(yīng)該首先考慮

22、IPSec標(biāo)準(zhǔn)。1.4 IPSec 網(wǎng)絡(luò)安全體系IPSec（IP Security） 是 IETF IPSec 工作組為了在 IP 層提供通信安全而制訂 的一套協(xié)議標(biāo)準(zhǔn)，IPSec的結(jié)構(gòu)文檔RFC2401定義了 IPSec的基本結(jié)構(gòu)，所有具 體的實(shí)施方案均建立在它的基礎(chǔ)之上。IPSec包括安全協(xié)議部分和密鑰協(xié)商部分， 安全協(xié)議部分定義了對(duì)通信的各種保護(hù)方式； 密鑰協(xié)商部分定義了如何為安全協(xié) 議協(xié)商保護(hù)參數(shù)，以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別。 IETF 的 IPSec 工作組 已經(jīng)制定了 12個(gè)RFC對(duì)IPSec的方方面面都進(jìn)行了定義，其中，封裝安全載 荷（ESP機(jī)制為通信提供機(jī)密性、完整性保護(hù)

23、；驗(yàn)證頭（ AH機(jī)制為通信提供 完整性保護(hù)，這兩種機(jī)制都能為通信提供抗重放攻擊； IPSec 使用 Internet 密鑰交換 （IKE） 協(xié)議實(shí)現(xiàn)安全協(xié)議的自動(dòng)安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù) 據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護(hù)模式（傳輸或隧道模式） 、 密鑰的生存期等，這些安全參數(shù)的總體稱之為安全關(guān)聯(lián)（SA）。為了實(shí)現(xiàn)VPN®信的數(shù)據(jù)機(jī)密性和完整性，VPN產(chǎn)品大多使用IPSec協(xié)議的 封裝安全載荷（ESP機(jī)制。ESP機(jī)制通過將整個(gè)IP包或IP包的數(shù)據(jù)部分封裝 到一個(gè)ESP載荷中，然后對(duì)此載荷進(jìn)行相應(yīng)的安全處理，如加密處理， 鑒別處理 等，實(shí)現(xiàn)對(duì)通信的機(jī)密性或/和完

24、整性保護(hù)。ESP在圭寸裝載荷時(shí)有兩種圭寸裝模式： 一是“隧道模式”，另一是“傳輸模式”。隧道模式將整個(gè)IP分組封裝到ESP載 荷中，傳輸模式是將IP的數(shù)據(jù)部分封裝到ESP的載荷中。在傳輸模式中，IP頭 與上層協(xié)議頭之間需插入一個(gè)特殊的IPSec頭；而在隧道模式中，要保護(hù)的整個(gè) IP 包都需封裝到另一個(gè) IP 數(shù)據(jù)包里，同時(shí)在外部與內(nèi)部 IP 頭之間插入一個(gè) IPSec 頭。IPSec協(xié)議族使用IKE密鑰交換協(xié)議來進(jìn)行密鑰以及其它安全參數(shù)的協(xié)商， 由RFC2409文件描述的IKE協(xié)議是Oakley和安全密鑰交換機(jī)制（SKEME協(xié)議的 一種混合，它綜合了 Oakley和SKE M的優(yōu)點(diǎn)，使用了 I

25、n ternet安全關(guān)聯(lián)與密鑰 管理協(xié)議（ISAKMP的語言，形成了自己獨(dú)一無二的驗(yàn)證加密材料生成技術(shù)，以 協(xié)商共享的安全策略。IKE通過兩個(gè)階段的協(xié)商來完成安全關(guān)聯(lián)（SA的建立， 第一階段， 由 IKE 交換的發(fā)起方發(fā)起一個(gè)主模式交換或野蠻模式交換， 交換的結(jié) 果是建立一個(gè)名為ISAKMP SA的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起 一個(gè)快捷模式的消息交換序列，完成用于保護(hù)通信數(shù)據(jù)的IPSec SA的協(xié)商。IKE 在使用預(yù)共享密鑰時(shí)， 只能將預(yù)共享密鑰建立在對(duì)方的 IP 地址之上， 這 是使用預(yù)共享密鑰時(shí)一個(gè)已被公認(rèn)的局限， 解決這個(gè)問題的一個(gè)顯而易見的辦法 是使用一種建立在公開密鑰基礎(chǔ)

26、（ PKI 上的簽名/驗(yàn)證數(shù)據(jù)加密方法。 公開密鑰 通常是從電子證書中取得，IKE允許證書的交換，也允許從對(duì)方那里索取證書。 目前使用最多也最為常見的公開密鑰算法是 RSA公開密鑰算法。1.5 用 SJW10 IP 保密機(jī)構(gòu)建 VPN 系統(tǒng)經(jīng)國家商用密碼主管部門認(rèn)證的 SJW10系列VPN產(chǎn)品，由SJW10高/中/ 低3檔IP保密機(jī)、SJW10 IP安全包和安全管理中心組成，利用SJW10系列VPN產(chǎn)品所構(gòu)成的典型VPN解決方案如圖1.2所示在圖1.2中，保密機(jī)為SJW10 IP保密機(jī)，具有高速網(wǎng)絡(luò)傳輸數(shù)據(jù)加密/解密 功能。保密機(jī)以網(wǎng)橋方式接入本地局域網(wǎng)， 用于保護(hù)一個(gè)局網(wǎng)、或用于保護(hù)一臺(tái) 或

27、幾臺(tái)服務(wù)器。保密機(jī)的安裝和運(yùn)行與應(yīng)用軟件和主機(jī)類型無關(guān)，安裝靈活便利， 即插即用。安全包是SJW10 IP安全包，是客戶端VPN產(chǎn)品，它可安裝于各種客戶端PC平臺(tái)及移動(dòng)設(shè)備平臺(tái)，支持各種版本的 Uinx /Linux操作系統(tǒng)及Microsoft Windows全線操作系統(tǒng)平臺(tái)，用以保護(hù)單臺(tái)主機(jī)設(shè)備，或保護(hù)以該主機(jī)為網(wǎng)關(guān)的 辦公室網(wǎng)絡(luò)環(huán)境。SJW10 IP安全包由安裝于上述操作系統(tǒng)上的軟件包和硬件加 密模塊（加密卡、IC卡或USB加密棒）組成，它既可獨(dú)立部署，構(gòu)成一個(gè)松散 靈活的安全廣域網(wǎng)絡(luò)，也可以與后端的各類 IP保密機(jī)及安全管理中心平臺(tái)配合 使用，構(gòu)成一個(gè)完整的企業(yè)級(jí)IP-VPN（ IP虛擬

28、專用網(wǎng)）解決方案。安全管理中心是SJW10 VPN環(huán)境中的管理機(jī)構(gòu)，其主要功能包括：為整個(gè) VPN環(huán)境中的SJW10設(shè)備簽發(fā)電子證書；遠(yuǎn)程管理、配置VPN環(huán)境中的SJW10 IP保密機(jī)設(shè)備；接收SJW10 IP保密機(jī)的遠(yuǎn)程注冊(cè)、上傳日志并對(duì)日志進(jìn)行分類 管理。由SJW10 IP保密機(jī)和安全包構(gòu)建的VPN網(wǎng)絡(luò)安全解決方案的主要特點(diǎn)是：1. 整體安全性：同時(shí)提供網(wǎng)絡(luò)安全訪問控制、數(shù)據(jù)傳輸加密、節(jié)點(diǎn)認(rèn)證、用 戶認(rèn)證及安全審計(jì)功能，同時(shí)為應(yīng)用程序提供密碼編程接口，和應(yīng)用程序 配合可實(shí)現(xiàn)對(duì)交易信息的簽名、認(rèn)證及存儲(chǔ)加密等功能，可作為網(wǎng)絡(luò)系統(tǒng) 整體安全解決方案的基礎(chǔ)框架。2. 健壯性：IP保密機(jī)內(nèi)置定制安

29、全操作系統(tǒng)，具有良好的自身安全性；3. 透明性：現(xiàn)有業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)無須做任何調(diào)整；4. 適應(yīng)性：能很好適應(yīng)各種網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由協(xié)議；5. 標(biāo)準(zhǔn)化：與國際標(biāo)準(zhǔn)IPsec接軌；6. 可實(shí)施性：安裝、維護(hù)簡單快速，可隨時(shí)進(jìn)行而不影響正常業(yè)務(wù)；主機(jī)路由器保密機(jī)/主機(jī)安全管理中心保密機(jī)路由器廣域網(wǎng)分支機(jī)構(gòu)移動(dòng)用戶（安全包+USB密碼設(shè)備）工作站DDN / FR / X.25 / ISDN / InternetModem定點(diǎn)用戶（安全包密碼設(shè)備）遠(yuǎn)程撥號(hào)圖1.2 VPN安全整體解決方案第二章 青鳥環(huán)宇 VPN設(shè)備 SJW10 IP保密機(jī)2.1 SJW10 IP保密機(jī)技術(shù)說明2.1.1硬件平臺(tái)及主要功

30、能SJW10IP保密機(jī)是具有高可靠、高穩(wěn)定性的網(wǎng)絡(luò)安全設(shè)備，內(nèi)置性能穩(wěn)定、支持連續(xù)運(yùn)轉(zhuǎn)的工控標(biāo)準(zhǔn)硬件和經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)證的密碼模塊，含有2 -5個(gè)10/100M自適應(yīng)的以太網(wǎng)絡(luò)接口，可方便地以網(wǎng)橋方式接入各種拓?fù)浣Y(jié)構(gòu)的 以太網(wǎng)絡(luò)線路之中。采用穩(wěn)定可靠的電子存儲(chǔ)設(shè)備作為系統(tǒng)的主存儲(chǔ)介質(zhì)，所有系統(tǒng)軟件固化在DOC(DiskOnChip)芯片中，避免了由于易損壞的磁盤介質(zhì)和讀寫 磁盤時(shí)的機(jī)械操作給系統(tǒng)運(yùn)行帶來的穩(wěn)定性隱患，采用加密存貯IC卡進(jìn)行用戶身份認(rèn)證和電子證書的管理。保密機(jī)使用定制安全操作系統(tǒng)，操作系統(tǒng)的壓縮鏡像和系統(tǒng)配置文件存放在 電子盤中，采用先進(jìn)的內(nèi)存文件系統(tǒng)技術(shù)，使系統(tǒng)運(yùn)行時(shí)所有的

31、文件操作都在內(nèi) 存中完成，既大大提高的運(yùn)行效率，又避免頻繁讀寫電子存儲(chǔ)設(shè)備對(duì)其使用壽命 造成的影響。用戶可以通過串口或通過網(wǎng)絡(luò)接口， 利用Windows風(fēng)格的控制臺(tái)界 面對(duì)保密機(jī)進(jìn)行本地或遠(yuǎn)程的設(shè)置和管理。IP保密機(jī)的主要安全功能包括：(1) IP報(bào)文加/解密功能，有選擇地對(duì)流經(jīng)保密機(jī)的IP報(bào)文實(shí)施應(yīng)用透 明加密解密操作并進(jìn)行完整性認(rèn)證；(2) VPN環(huán)境中的節(jié)點(diǎn)身份認(rèn)證功能，防止非法設(shè)備假冒通訊；(3) 密碼服務(wù)網(wǎng)絡(luò)調(diào)用功能，為其它主機(jī)提供密碼服務(wù)調(diào)用接口，包括 分組加密/解密，公鑰對(duì)生成，簽名/驗(yàn)證，MAC生成/驗(yàn)證等；(4) 分布式密鑰協(xié)商與預(yù)共享密鑰共存，密鑰管理便捷、適用；(5) 網(wǎng)

32、絡(luò)安全審計(jì)功能，記錄網(wǎng)絡(luò)傳輸情況、保密機(jī)的關(guān)鍵操作，以備 查詢、分析之用；(6) 保密機(jī)之間具有雙機(jī)(或多機(jī))互為備份的功能，互為備份的保密機(jī)之間能夠?qū)崟r(shí)地進(jìn)行密碼同步，保證網(wǎng)絡(luò)密碼通訊的暢通;2.1.2軟件系統(tǒng)及網(wǎng)絡(luò)位置保密機(jī)軟件系統(tǒng)以定制安全操作系統(tǒng)為基礎(chǔ)，整個(gè)密碼機(jī)的軟件系統(tǒng)可分為 管理界面層、用戶命令層、應(yīng)用編程接口層和核心層（包括：網(wǎng)橋轉(zhuǎn)發(fā)、協(xié)議分 析和設(shè)備驅(qū)動(dòng)）4個(gè)層次，其軟件模塊結(jié)構(gòu)如圖2.1所示。圖2.1保密機(jī)軟件模塊結(jié)構(gòu)保密機(jī)軟件系統(tǒng)的核心是協(xié)議分析模塊，它完成對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議解析，根據(jù)系統(tǒng)定義的各項(xiàng)安全策略對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理，即:根據(jù)加密規(guī)則對(duì)流經(jīng)保密機(jī)的IP包進(jìn)行密

33、碼處理；根據(jù)審計(jì)策略的定義對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行登記。oooo圖2.2 IP保密機(jī)在網(wǎng)絡(luò)中的位置般情況下，在多個(gè)局網(wǎng)（內(nèi)網(wǎng)）通過廣域網(wǎng)絡(luò)（外網(wǎng)）互聯(lián)時(shí)，IP保密機(jī)用于保護(hù)各個(gè)局域網(wǎng)絡(luò)，對(duì)出入局網(wǎng)的所有信息實(shí)施密碼保護(hù)和網(wǎng)絡(luò)訪問控制。此時(shí)，保密機(jī)以網(wǎng)橋方式接入在內(nèi)部局網(wǎng)與外網(wǎng)路由器（廣域網(wǎng)路由器）之間，如圖2.2所示實(shí)際上，保密機(jī)可以安放在以太網(wǎng)絡(luò)線路的任何位置， 用戶需要保護(hù)哪一段網(wǎng)絡(luò)，保密機(jī)就可以放置在這個(gè)網(wǎng)絡(luò)的出口處， 這個(gè)網(wǎng)絡(luò)可能是由若干路由器連接的一個(gè)局部網(wǎng)絡(luò)（如：建筑物內(nèi)、園區(qū)內(nèi)）；也可能是由集線器（HUB交換機(jī)）連接起來的幾臺(tái)主機(jī)；也可能是就是一臺(tái)服務(wù)器2.1.3功能指標(biāo)及配置說明1、密碼

34、機(jī)制IP數(shù)據(jù)加密/解密及報(bào)文認(rèn)證保密機(jī)截獲網(wǎng)絡(luò)上流經(jīng)本機(jī)的IP數(shù)據(jù)包，根據(jù)加密規(guī)則對(duì)其進(jìn)行密碼處理，在進(jìn)行報(bào)文加/解密的同時(shí)對(duì)報(bào)文數(shù)據(jù)進(jìn)行消息認(rèn)證碼運(yùn)算，對(duì)所傳輸?shù)膱?bào)文進(jìn)行完整性認(rèn)證。支持多種型號(hào)的加密卡，支持多種加密算法的混合使用為了滿足用戶對(duì)密碼功能的需求，保密機(jī)同時(shí)支持多種型號(hào)的加密卡設(shè)備，支持多種加密算法的混合使用，對(duì)用戶提供的新的加密模塊可以做到加載即可用為用戶主機(jī)提供網(wǎng)絡(luò)密碼調(diào)用，用戶可以通過調(diào)用SJW10 IP保密機(jī)提供的密碼服務(wù)內(nèi)部網(wǎng)絡(luò)路由器主機(jī)安全管理中心保密機(jī)交換機(jī)（匚7建立自己的安全應(yīng)用系統(tǒng)支持PKI機(jī)制的分布式密鑰自動(dòng)協(xié)商，同時(shí)支持預(yù)共享對(duì)稱密鑰管理。密鑰管理是 VPF

35、系統(tǒng)中核心關(guān)鍵部分，PKI機(jī)制利用電子證書進(jìn)行電子通信的簽名、認(rèn)證和加密 傳送，通過PKI機(jī)制用戶可以把密鑰管理分布到各個(gè)密碼機(jī)上，使需要進(jìn)行密碼通 訊的雙方自行協(xié)商出通訊加密密鑰，極大地方便 VPNS統(tǒng)的密鑰管理。 對(duì)稱密碼算法密鑰長度為 128位，非對(duì)稱密碼算法密鑰長度為 1024位。2、安全機(jī)制網(wǎng)絡(luò)節(jié)點(diǎn)認(rèn)證 保密機(jī)在進(jìn)行密碼通信前需要進(jìn)行節(jié)點(diǎn)身份認(rèn)證，身份認(rèn)證基于安全管理中心簽發(fā) 的電子證書，只有當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)認(rèn)證合法時(shí)，保密機(jī)才可以進(jìn)行通信密鑰的協(xié)商。網(wǎng)絡(luò)數(shù)據(jù)審計(jì)保密機(jī)截獲網(wǎng)絡(luò)上流經(jīng)本機(jī)的IP數(shù)據(jù)包，根據(jù)網(wǎng)絡(luò)審計(jì)事件的定義，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn) 行審計(jì)，以備后查。3、管理機(jī)制保密機(jī)支持集中式遠(yuǎn)程管

36、理，網(wǎng)絡(luò)安全管理員可以在安全管理中心對(duì)整個(gè)VPF環(huán)境中的密碼設(shè)備進(jìn)行及時(shí)的統(tǒng)一管理，既方便了密碼機(jī)的管理工作，又提高了管理工 作的效率。保密機(jī)進(jìn)行身份認(rèn)證所使用的電子證書可以由用戶自行簽發(fā)，也可能是由第三方權(quán) 威機(jī)構(gòu)簽發(fā)，SJW10 IP保密機(jī)支持第三方CA機(jī)構(gòu)簽發(fā)的符合X.509標(biāo)準(zhǔn)的電子證書， 支持第三方管理中心的遠(yuǎn)程管理。4、網(wǎng)絡(luò)適應(yīng)性 密碼機(jī)采用網(wǎng)橋轉(zhuǎn)發(fā)機(jī)制，原理如同交換機(jī)一樣，能廣泛適應(yīng)各種以太網(wǎng)絡(luò)結(jié)構(gòu)， 保密機(jī)的密碼處理發(fā)生在IP層，與網(wǎng)絡(luò)應(yīng)用系統(tǒng)無關(guān)，保密機(jī)的接入與原網(wǎng)絡(luò)物理 和應(yīng)用系統(tǒng)完全相容。保密機(jī)有 2、 3、 4、 5多個(gè)網(wǎng)絡(luò)接口的配置形式，網(wǎng)絡(luò)接入靈活、便捷，能適應(yīng)各種

37、 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，包括雙路由器、雙交換機(jī)交叉相連的網(wǎng)絡(luò)冗余設(shè)計(jì)，支持各種先進(jìn) 的路由協(xié)議和網(wǎng)絡(luò)管理協(xié)議。支持802.1Q和ISL封裝的VLAN吉構(gòu)隨著安全意識(shí)的不斷提增強(qiáng)，在局域網(wǎng)絡(luò)內(nèi)部劃分“虛擬局域網(wǎng)絡(luò)VLAN已成為提高局域網(wǎng)內(nèi)部安全性的常用手段。在內(nèi)部網(wǎng)絡(luò)劃分了VLAN勺網(wǎng)絡(luò)系統(tǒng)中，將采用802.1Q或ISL協(xié)議封裝VLANfc、議，保密機(jī)支持上述專用網(wǎng)絡(luò)協(xié)議確保網(wǎng)絡(luò)暢通。支持動(dòng)態(tài)IP接入方式在SJW10 IP客戶端沒有固定IP地址的應(yīng)用環(huán)境中，客戶端可通過撥號(hào)接入ISP/NSP獲得動(dòng)態(tài)IP地址，保密機(jī)支持動(dòng)態(tài)IP客戶端的安全隧道建立請(qǐng)求，當(dāng)身份認(rèn)證合法 后，保密機(jī)將與客戶端建立安全隧道進(jìn)行

38、密碼通信，從而極大地增強(qiáng)了保密機(jī)的實(shí) 用性。5、應(yīng)用可靠性無硬盤結(jié)構(gòu)，系統(tǒng)性能更加穩(wěn)定保密機(jī)系統(tǒng)在網(wǎng)絡(luò)中與路由器和交換機(jī)協(xié)同工作，處于不停機(jī)工作狀態(tài)。SJW10 IP保密機(jī)通過采用可靠的硬件、關(guān)鍵部件冗余備份、以FLAS芯片作為存儲(chǔ)設(shè)備等技術(shù)，使系統(tǒng)具有良好的可靠性。具有配置文件的備份、雙機(jī)主從備份及多機(jī)互為備份功能保密機(jī)設(shè)計(jì)了各種備份功能，包括文件備份、機(jī)器主從備份和多機(jī)互為備份，以提 高保密機(jī)系統(tǒng)運(yùn)行的高可靠性和高穩(wěn)定性。6、硬件配置網(wǎng)絡(luò)接口數(shù)量CONSOLE數(shù)量25個(gè) 10/100Mbps RJ-45 以太網(wǎng)接口電氣特性180V260V/50Hz/250W1個(gè)RS-232串行口，速率 3

39、8400bps機(jī)箱尺寸7、技術(shù)指標(biāo)適用通信環(huán)境明文通信速率加密通信速率 環(huán)境條件運(yùn)行溫度060 C相對(duì)濕度595%1U/2U/4U標(biāo)準(zhǔn)機(jī)箱基于TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境100M bps / 10M bps20Mbps / 10Mbps / 5Mbps平均無故障時(shí)間30000 小時(shí)系統(tǒng)保密性國家密碼管理委員會(huì)鑒定通過，國密證第 0053號(hào)系統(tǒng)安全性公安部測試通過，銷售許可證號(hào)XKC33068&人機(jī)界面提供本地串口和網(wǎng)絡(luò)接口對(duì)保密機(jī)進(jìn)行配置管理提供圖形配置界面和命令行控制方式命令行方式符合UNIX命令風(fēng)格圖形界面符合WindowS界面風(fēng)格，如圖2.3所示:陽4施止也問:.量fc：i直:凰4

40、31叢JWIftWk|勰娜護(hù)亦品|日訥二咧代呻-本機(jī)旺韋信息斗機(jī)口: 1零機(jī)公鑰Ic3 Id rr £8 bo 70 51 6H 05 ce 8e A2 71 el p5 ce 族 £ 蚯 3c 71 el 7dcc dd ef d4 fb廠啟動(dòng)色碼機(jī)吋，*舉腔LI排作耳卡網(wǎng)珀通屈 娜役總注田卸存盤退MTUG退出重后侔密柏管浬地址圖2.3保密機(jī)控制界面2.2 SJW10 IP安全包技術(shù)說明2.2.1概述IP安全包由操作系統(tǒng)外掛式軟件包和硬件加密設(shè)備（加密卡、USB加密棒或智能IC卡加密設(shè)備）所組成。軟件包分為應(yīng)用軟件和操作系統(tǒng)核心軟件，核 心軟件是可嵌入相應(yīng)操作系統(tǒng)核心的I

41、P層墊片程序和加密設(shè)備驅(qū)動(dòng)程序。IP安全包適用的操作系統(tǒng)范圍為基于Intel平臺(tái)各種版本的Unix、Linux及WindowS 9x/NT/2000 ,基本囊括了目前流行的客戶端操作系統(tǒng)平臺(tái)。IP安全 包作為IP保密機(jī)的客戶端密碼設(shè)備，特別適用于需要建立安全通信隧道的移動(dòng) 辦公用戶，和布局分散且數(shù)量較多的網(wǎng)絡(luò)端接系統(tǒng)（例如：銀行的各個(gè)儲(chǔ)蓄所）。2.2.2系統(tǒng)總體結(jié)構(gòu)適用于不同操作系統(tǒng)平臺(tái)的IP安全包在總體結(jié)構(gòu)上大同小異，現(xiàn)以Windows 平臺(tái)安全包為例加以說明。整個(gè)系統(tǒng)分為四個(gè)程序部分：啟動(dòng)程序、管理程序、墊片程序、加解密程序。 其中的墊片程序和加解密程序以核心態(tài)方式運(yùn)行，它們?cè)赪INDOW

42、S動(dòng)時(shí)被裝載，而啟動(dòng)程序則在 Windows初始化完畢之后被裝載，由它來設(shè)置程序的一些初 始化狀態(tài)并啟動(dòng)整個(gè)系統(tǒng)的運(yùn)行。管理程序只在需要改變系統(tǒng)設(shè)置，或是更改訪問控制或密鑰時(shí)才運(yùn)行。它們的結(jié)構(gòu)如圖 2.4所示：圖 2.4 : WINDOWS I安全包2.2.3功能特點(diǎn)IP安全包可以獨(dú)立應(yīng)用，也可作為下端與上端IP保密機(jī)配合使用，主要功能包括：在Win95/98/NT/2000及UNIX Linux等系統(tǒng)上提供訪問控制、身份認(rèn)證和加密通信功能；支持多種加密算法的混合使用，可以方便地實(shí)現(xiàn)與用戶自己的加密模塊和密碼管理 模塊的掛接；支持TCP/IP協(xié)議族，對(duì)其它協(xié)議可選支持；基于主機(jī)地址或子網(wǎng)地址的

43、訪問控制，防止數(shù)據(jù)的非授權(quán)訪問； 應(yīng)用透明，使得網(wǎng)絡(luò)中原有的各種應(yīng)用程序無需改變就可以實(shí)現(xiàn)加密傳輸； 與網(wǎng)絡(luò)適配器無關(guān)，支持各種局域網(wǎng)適配器（如：In tel網(wǎng)卡、3C0網(wǎng)卡，等）、廣 域網(wǎng)適配器（如: X25卡）和撥號(hào)網(wǎng)絡(luò)適配器（如：RS-232接口、PPPo邏輯卡，等）； 支持對(duì)配置多塊網(wǎng)絡(luò)適配器系統(tǒng)的靈活控制，用戶可根據(jù)實(shí)際通信狀況選定加密通 信的網(wǎng)絡(luò)設(shè)備；可以對(duì)特殊主機(jī)的某些TCP端 口區(qū)別處理； 界面美觀、管理方便。2.3 SJW10 安全管理中心2.3.1 概述SJW1（安全管理中心是青鳥環(huán)宇 SJW10 IP保密機(jī)系列產(chǎn)品的重要組成部分， 它和SJW10 IP保密機(jī)、SJW10

44、IP安全包一起，構(gòu)成一個(gè)完整的 VPN產(chǎn)品體系。青鳥環(huán)宇 SJW10 IP 保密機(jī)的密鑰管理體制采用了基于公開密鑰密碼體制（PKI）體系結(jié)構(gòu)的“集中認(rèn)證，分布協(xié)商”的密鑰管理方案， PKI體制要求證書 和密鑰在產(chǎn)生和分發(fā)過程中需要有一個(gè)“權(quán)威” 機(jī)構(gòu)對(duì)其進(jìn)行合法性保證， 這個(gè) 權(quán)威機(jī)構(gòu)稱之為 Certificate Authority（CA） 。在利用 SJW10 IP 保密機(jī)構(gòu)成的 一個(gè)VPN網(wǎng)絡(luò)應(yīng)用環(huán)境中，由SJW1（安全管理中心（SMC完成簡明的CA認(rèn)證中 心的功能。作為整個(gè)VPN產(chǎn)品系列的管理和控制中心，SMC勺功能職責(zé)主要包括： 證書管理SJW10P保密機(jī)和安全包在使用時(shí)必須擁有一個(gè)

45、合法證書，用于通訊雙方的節(jié)點(diǎn)認(rèn) 證和通訊密鑰協(xié)商。SM將起到一個(gè)內(nèi)部CA中心的作用，接受認(rèn)證申請(qǐng)、審查申請(qǐng)人的 資格、 生成并發(fā)放電子數(shù)字證書， 完成證書生成、 發(fā)放、廢棄、 重用、查詢等管理工作。保密機(jī)/ 安全包配置維護(hù)擁有同一個(gè)SM簽發(fā)的證書的所有保密機(jī)/安全包構(gòu)成一個(gè)安全應(yīng)用域，SM對(duì)該應(yīng) 用域中所有保密機(jī) /安全包進(jìn)行分類管理并對(duì)配置情況進(jìn)行列表查詢，負(fù)責(zé)接受各保密 機(jī)/安全包的登記注冊(cè)并對(duì)分布在各地的保密機(jī)實(shí)施遠(yuǎn)程配置、 管理， 保密機(jī)/安全包的 最新配置信息可通過在線注冊(cè)匯總到SM中。保密機(jī) /安全包日志維護(hù)應(yīng)用域中各保密機(jī) /安全包的審計(jì)日志可以本地存放，也可以通過網(wǎng)絡(luò)匯集 存放

46、在該應(yīng)用域的SMC中。當(dāng)日志文件選擇存放在 SMC寸，SMC可對(duì)這些日志實(shí) 行集中管理。SMC簽發(fā)的證書具有三種介質(zhì)實(shí)體形式，分別為：IC卡片形式、USB棒形式 和 3 吋軟盤形式。保密機(jī)獲得自己的證書是通過讀取存放證書的 IC 卡，證書讀 取成功后，保密機(jī)將證書保存在本機(jī)中， 以后每次需要使用證書時(shí)， 不用再讀取 IC 卡，除非要更換新的證書。當(dāng)一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)中的保密機(jī)較多或者它的分支機(jī)構(gòu)分布比較分散時(shí)，為了便 于證書的管理，SMC不將由其生成的電子證書制作成證書實(shí)體，而是將證書文本 導(dǎo)出，分發(fā)到下級(jí)部門或它的分支機(jī)構(gòu)。 各分支機(jī)構(gòu)使用證書托管理中心接收由 SMC簽發(fā)的電子證書文本，并負(fù)責(zé)發(fā)布

47、證書實(shí)體。這樣，當(dāng)存有證書的物理載體 損壞時(shí)，不用到它上級(jí)部門的SMC去重新生成證書實(shí)體，只需在本地證書托管中 心就可以重新生成，保證了證書可以快速、便捷地到達(dá)用戶手中。安全管理中心軟件的運(yùn)行環(huán)境為 Windows NT或Windows 2000,其操作控制 界面符合Windows風(fēng)格，當(dāng)用戶啟動(dòng)安全管理中心后，可以方便地利用界面提供 的功能進(jìn)行工作，安全管理中心的控制界面如圖 2.5 所示：圖2.5安全管理中心控制界面2.3.2密鑰管理方案SJW10P保密機(jī)的密鑰管理體制既采用了基于公共密鑰 PKI體系結(jié)構(gòu)的“集中認(rèn)證, 分布協(xié)商”的密鑰管理方案，同時(shí)支持傳統(tǒng)的預(yù)共享對(duì)稱密鑰的密鑰管理方案。

48、SJW1密鑰管理采用一級(jí)密鑰、二級(jí)密鑰和會(huì)話密鑰三級(jí)密鑰管理方式，一級(jí)密鑰 為非對(duì)稱密鑰，用于保護(hù)二級(jí)密鑰的協(xié)商交換。一級(jí)密鑰由安全管理中心負(fù)責(zé)生成，通 過加密IC卡或US棒發(fā)放并注入保密機(jī)。二級(jí)密鑰用于加密傳送會(huì)話密鑰，需要通信的 每對(duì)保密機(jī)（安全包）之間具有對(duì)稱的二級(jí)密鑰，二級(jí)密鑰受一級(jí)密鑰保護(hù)由保密機(jī)自 行協(xié)商，或直接由安全管理員手工設(shè)置。會(huì)話密鑰用于加密傳送數(shù)據(jù)，系統(tǒng)為每個(gè)加密 報(bào)文動(dòng)態(tài)產(chǎn)生不同的會(huì)話密鑰，并由二級(jí)密鑰保護(hù)隨 IP包經(jīng)網(wǎng)絡(luò)傳輸。由于每個(gè)IP保密機(jī)（安全包）均具有不同的一級(jí)密鑰和二級(jí)密鑰，具有良好的密鑰 分割特性，因此當(dāng)一個(gè)保密機(jī)泄密時(shí)，只會(huì)影響該保密機(jī)相關(guān)的保密通信，而

49、不會(huì)危及 整個(gè)網(wǎng)絡(luò)系統(tǒng)。分布式密鑰管理方案特別適合于網(wǎng)絡(luò)節(jié)點(diǎn)在位置和數(shù)量上均要求靈活多變 的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)，如電子商務(wù)、網(wǎng)上銀行、網(wǎng)上報(bào)稅等。SJW10系列VPN產(chǎn)品的分布式密鑰管理方案以證書管理和認(rèn)證為核心，采 用公開密鑰密碼體制，在網(wǎng)絡(luò) VPN應(yīng)用環(huán)境中設(shè)立一個(gè)安全管理中心（SMC）， 完成 CA 認(rèn)證中心的基本功能。任何擁有同一個(gè) SMC 簽發(fā)的證書的保密機(jī)（安 全包），都會(huì)被網(wǎng)絡(luò)中其它的密碼機(jī)認(rèn)為是可信任的；任意兩臺(tái)經(jīng)認(rèn)證合法的密 碼機(jī)之間可以通過出示證書來相互確認(rèn)身份， 然后通過非對(duì)稱加密算法協(xié)商用于 網(wǎng)絡(luò)數(shù)據(jù)加密的二級(jí)密鑰。任何一臺(tái)保密機(jī)（安全包）節(jié)點(diǎn)，只要獲得安全管理 中心（SMC

50、）頒發(fā)的有效證書，即可加入到安全的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中，從而為系統(tǒng) 中節(jié)點(diǎn)的靈活增減提供了方便的手段。本方案在設(shè)計(jì)上基于 PKI 的體系結(jié)構(gòu)，其密鑰協(xié)商遵從 IKE（Internet Key Exchange協(xié)議，在證書格式設(shè)計(jì)上則遵循ITU的X.509 V3標(biāo)準(zhǔn)所定義的證書格 式，所以本密鑰管理方案具有較好的可擴(kuò)展性。由于采用分布協(xié)商式的密鑰管理模式， 使得密鑰的更換顯得尤為方便、 簡潔 密鑰的更換可以是定期的， 由網(wǎng)絡(luò)安全管理員根據(jù)具體需要定期、 定時(shí)人工或自 動(dòng)更換密鑰； 也可以是不定期的， 在網(wǎng)絡(luò)安全管理員認(rèn)為必要時(shí)人工啟動(dòng)更換密 鑰；還可以是開機(jī)更換方式，即：在每次開機(jī)時(shí)自動(dòng)更換通信密鑰，

51、這種方式一 般用在 IP 安全包建立安全通信隧道時(shí)。人工更換密鑰的操作非常直觀，在保密 機(jī)確認(rèn)了網(wǎng)絡(luò)安全管理員的身份后（輸入正確的登錄口令） ，只需選中控制面板 中的“啟動(dòng)密鑰協(xié)商過程”并點(diǎn)擊左邊“啟動(dòng)”按鈕，保密機(jī)將自動(dòng)完成通訊密 鑰的更換工作。第三章 典型應(yīng)用案例3.1某省銀行應(yīng)用SJW10勾建安全金融業(yè)務(wù)網(wǎng)某省銀行金融業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)， 在進(jìn)行了金融業(yè)務(wù)數(shù)據(jù)集中的網(wǎng)絡(luò)改造后， 省 行和各地市行之間通過骨干網(wǎng)相連， 各地市行和業(yè)務(wù)網(wǎng)點(diǎn)通過當(dāng)?shù)仉娦挪块T的網(wǎng) 絡(luò)系統(tǒng)相連，勾成了一個(gè)從省行經(jīng)各地市至各業(yè)務(wù)網(wǎng)點(diǎn)的三級(jí)網(wǎng)絡(luò)結(jié)勾。骨干網(wǎng)采用網(wǎng)絡(luò)線路冗余技術(shù)，即：骨干網(wǎng)主線路由 DDN 專線網(wǎng)絡(luò)和一個(gè) 寬帶

52、廣域網(wǎng)絡(luò)組成， 兩個(gè)網(wǎng)絡(luò)物理分離， 另設(shè)有一條 PSTN 電話撥號(hào)線路作為骨 干網(wǎng)主線路的備份線路。解決這樣一個(gè)全省金融業(yè)務(wù)聯(lián)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)安全，該省行采用 SJW10 IP 保 密機(jī)作為省行局網(wǎng)和各地市行局網(wǎng)的網(wǎng)絡(luò)安全設(shè)備，采用 SJW10 IP 安全包（包 含 IC 卡密碼設(shè)備）作為全省范圍內(nèi)的網(wǎng)點(diǎn)安全設(shè)備，網(wǎng)絡(luò)安全方案如下：在省行網(wǎng)絡(luò)信息中心設(shè)立 “安全管理中心”負(fù)責(zé)管理全省范圍內(nèi)的 SJW10 IP 密碼設(shè)備，管理內(nèi)容包括：為全省范圍內(nèi)的 IP 保密機(jī)和 IP 安全包簽發(fā)電子證書， 遠(yuǎn)程管理、配置 SJW10 IP 保密機(jī)；在各地市行信息中心設(shè)立“證書托管中心”負(fù)責(zé)將“安全管理中心”簽發(fā)

53、的 本地 SJW10 IP 密碼設(shè)備的電子證書制作成特定的證書卡；在省行和各地市行金融聯(lián)網(wǎng)的局網(wǎng)出口處安裝高檔 SJW10 IP 保密機(jī)，由于 網(wǎng)絡(luò)線路冗余設(shè)計(jì)，高檔保密機(jī)的網(wǎng)絡(luò)接口標(biāo)準(zhǔn)配置為 4 網(wǎng)口；省行以及各地市行的多臺(tái)保密機(jī)之間互為備份， 線路和網(wǎng)絡(luò)數(shù)據(jù)可以實(shí)時(shí)動(dòng) 態(tài)的進(jìn)行切換，保證銀行金融業(yè)務(wù)的暢通；在各金融業(yè)務(wù)網(wǎng)點(diǎn)的主機(jī)中（運(yùn)行 SCO UNIX）安裝SJW10 IP安全包，用 于進(jìn)行網(wǎng)點(diǎn)的身份認(rèn)證和網(wǎng)絡(luò)密碼通訊。該省銀行采用VPN技術(shù)，應(yīng)用SJW10 IP保密機(jī)和安全包，在公共數(shù)據(jù)網(wǎng)上建立了一個(gè)的省金融業(yè)務(wù)網(wǎng)絡(luò)安全平臺(tái)。網(wǎng)絡(luò)結(jié)勾如圖 3.1 所示。省行安全管理中心中心交換機(jī)ip保密機(jī)4網(wǎng)口 IP保密機(jī)DDN PSTN寬帶網(wǎng)DDN前臺(tái)網(wǎng)點(diǎn)地市行1 柜臺(tái)業(yè)務(wù)點(diǎn)+安全包地市行2 謬業(yè)務(wù)點(diǎn)+安全包巳1si圖3.1某省行全省數(shù)據(jù)集中網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖3.2某市銀行應(yīng)用SJW10構(gòu)建安全銀證聯(lián)