基于sm2的安全接入解決方案

1、<p>　　基于SM2的安全接入解決方案</p><p><b>　　方案背景</b></p><p>　　隨著Internet技術(shù)的不斷發(fā)展，近幾年國內(nèi)企事業(yè)單位的信息化建設得到了快速發(fā)展，如網(wǎng)上辦公、電子政務、電子商務等應用都得到了快速推進和發(fā)展。越來越多的政府、企事業(yè)單位已經(jīng)依托互聯(lián)網(wǎng)組建了自己的網(wǎng)上辦公系統(tǒng)和業(yè)務應用系統(tǒng)，從而使內(nèi)部辦公人員、合作伙伴

2、等通過網(wǎng)絡可以迅速地獲取信息，使得遠程辦公和移動辦公模式得以實現(xiàn)。目前通過Internet進行安全接入和組網(wǎng)一般采用IPSEC或SSL VPN技術(shù)，通過Internet來組建了自己的私有網(wǎng)絡，實現(xiàn)了企業(yè)總部與分支機構(gòu)、合作伙伴以及移動用戶的安全互聯(lián)。</p><p>　　但隨著密碼技術(shù)和計算技術(shù)的發(fā)展，1024位RSA公鑰密碼算法正面臨日益嚴重的安全威脅，為保障重要經(jīng)濟系統(tǒng)密碼應用的安全。國密局已于2011年3月

3、下發(fā)了《關(guān)于做好公鑰密碼算法升級工作的通知》（國密局字[2011]50號），對公鑰密碼算法升級的有關(guān)工作做出了具體安排。按通知的要求，自2011年7月1日起，新投入運行并使用公鑰密碼的信息系統(tǒng)，應使用SM2算法；已投入運行的，應盡快進行系統(tǒng)升級，并使用SM2算法。</p><p>　　因此，對于目前已經(jīng)廣泛應用的VPN安全網(wǎng)關(guān)系統(tǒng)，也提出了新的升級改造要求，需要能提供基于SM2的全新VPN解決方案。由于現(xiàn)階段國內(nèi)

4、VPN產(chǎn)品使用的公鑰密碼算法主要是RSA，新的解決方案要求使用SM2橢圓曲線算法來替換RSA公鑰密碼算法。</p><p>　　SM2算法相比RSA算法具有如下優(yōu)勢：簽名速度和密鑰對生成速度都遠快于RSA；ECC算法的單位安全強度高于RSA算法，也就是說，要達到同樣的安全強度，ECC算法所需的密鑰長度遠比RSA算法低；數(shù)據(jù)表明，ECC 256位（SM2采用的就是ECC 256位的一種）安全強度比RSA2048的還

5、高，但運算速度要比RSA2048快的多。</p><p><b>　　安全需求分析</b></p><p>　　根據(jù)政府、企事業(yè)單位等網(wǎng)絡信息系統(tǒng)建設的需要，在實現(xiàn)總部與各級單位、分支機構(gòu)網(wǎng)絡安全互聯(lián)及移動辦公安全接入的同時，結(jié)合國家對相關(guān)網(wǎng)絡通信協(xié)議及加密算法的要求，其主要安全接入需求如下所述。</p><p>　　應用系統(tǒng)的適應性與安全性需

6、求</p><p>　　遠程接入網(wǎng)絡需要承載的業(yè)務系統(tǒng)種類較多，且對于應用系統(tǒng)的實時性和可靠性有較高要求；網(wǎng)絡應用需要基于B/S和C/S架構(gòu)，業(yè)務模式較復雜；遠程接入移動辦公人員眾多，且需要能同時支持PC、PAD、智能手機等多種終端接入。</p><p>　　網(wǎng)絡通信協(xié)議及加密算法的安全性需求</p><p>　　對網(wǎng)絡數(shù)據(jù)及傳輸?shù)陌踩砸筝^高，數(shù)據(jù)加密的對稱密碼

7、算法需使用國家密碼管理局規(guī)定的SM1或SM4加密算法；摘要算法需要使用SHA1或SM3算法；用于證書認證的非對稱密碼算法需采用國家商密SM2算法，且CA系統(tǒng)需要支持國密局《SM2數(shù)字證書規(guī)范》。</p><p>　　通信協(xié)議需要符合國密局制定的國家技術(shù)標準，即符合《SSL VPN技術(shù)規(guī)范》和《IPSEC VPN技術(shù)規(guī)范》</p><p>　　設備與用戶的管理與安全性需求</p>

8、<p>　　對所有網(wǎng)關(guān)設備和遠程接入用戶采用統(tǒng)一、嚴格的身份認證和集中管理；能實時監(jiān)控設備及用戶工作狀態(tài)，并進行詳細日志記錄；整個遠程接入系統(tǒng)安裝方便、快捷，便于維護和管理。</p><p><b>　　解決方案</b></p><p>　　根據(jù)政府、企事業(yè)單位分支機構(gòu)網(wǎng)絡互聯(lián)及移動用戶安全接入的實際需求，我們采用專門的VPN密碼機產(chǎn)品提供基于SM2的V

9、PN遠程安全接入解決方案，解決其所面臨的遠程安全接入、傳輸保密、用戶認證、網(wǎng)絡安全防護、訪問控制等問題，具體解決方案及網(wǎng)絡拓撲結(jié)構(gòu)圖如下： </p><p>　　在總部網(wǎng)絡中心部署高端IPSEC/SSL VPN綜合安全網(wǎng)關(guān)，作為中心VPN密碼機安全接入網(wǎng)關(guān)。中心和分支VPN密碼機都內(nèi)置有硬件加密卡，支持SM1、SM2、SM3、SM4等國產(chǎn)加密算法，并符合國密局VPN技術(shù)規(guī)范。同時，通過VPN綜合安全網(wǎng)關(guān)集成的防火

10、墻功能可提供對內(nèi)網(wǎng)的訪問控制和網(wǎng)絡安全防護。</p><p>　　各分支機構(gòu)根據(jù)網(wǎng)絡規(guī)模部署相應IPCEC VPN安全網(wǎng)關(guān)，作為分支VPN密碼機安全接入網(wǎng)關(guān)。分支網(wǎng)關(guān)在連入互聯(lián)網(wǎng)的同時會自動向中心VPN安全網(wǎng)關(guān)進行身份認證和VPN隧道協(xié)商。同時，分支網(wǎng)關(guān)還可以提供防火墻安全防護功能。</p><p>　　在總部部署CA服務器，用于為所有VPN網(wǎng)關(guān)和移動用戶頒發(fā)SM2算法的證書，采用證書方式

11、對VPN設備和用戶進行身份認證，且CA符合國密局《SM2數(shù)字證書規(guī)范》。</p><p>　　移動辦公用戶在終端上安裝IPSEC或SSL客戶端進行安全接入，采用在USB Key上寫入的SM2證書進行身份認證，且USB Key自帶加密芯片，支持SM1、SM2、SM3、SM4國產(chǎn)加密算法。</p><p><b>　　應用案例</b></p><p&g

12、t;　　某省電子政務外網(wǎng)為實現(xiàn)各級政務部門之間業(yè)務系統(tǒng)的網(wǎng)絡貫通，需要為部分不具備專線接入政務外網(wǎng)的政務部門以及一些偏遠地區(qū)提供安全接入。另一方面，眾多政務部門出差人員或移動辦公的人員也需要能方便的接入業(yè)務系統(tǒng)進行數(shù)據(jù)上報。</p><p>　　根據(jù)此電子政務外網(wǎng)的安全接入需求，我們在省級中心部署了高端SJJ1209 IPSEC/SSL VPN綜合安全網(wǎng)關(guān)，用于提供各級政務部門和移動辦公人員安全接入，在各級政務部

13、門部署相應中低端SJJ1209 IPSEC/SSL VPN綜合安全網(wǎng)關(guān)接入省中心。同時，在省中心部署安全策略管理中心，便于對所有設備和用戶進行集中監(jiān)控、身份認證和通訊策略管理。另外，為保證通訊和數(shù)據(jù)傳輸?shù)陌踩琕PN安全網(wǎng)關(guān)及客戶端全部使用了SM1、SM2、SM3國產(chǎn)加密算法和國密VPN協(xié)議進行身份認證、加密和數(shù)據(jù)傳輸。</p><p>　　通過采用基于SM1、SM2等國密算法的VPN安全接入解決方案，實現(xiàn)了某省

14、電子政務外網(wǎng)業(yè)務網(wǎng)絡系統(tǒng)的安全互聯(lián)和移動辦公用戶的安全接入，達到了理想的應用效果。</p><p><b>　　商用密碼產(chǎn)品清單</b></p><p>　　SJJ1209 IPSec/SSL VPN綜合安全網(wǎng)關(guān)</p><p>　　SJJ1221 高速VPN安全網(wǎng)關(guān)</p><p>　　SJK0801-B高性能64位P