基于sm2的安全接入解決方案

1、<p>　　基于SM2的安全接入解決方案</p><p><b>　　方案背景</b></p><p>　　隨著Internet技術(shù)的不斷發(fā)展，近幾年國(guó)內(nèi)企事業(yè)單位的信息化建設(shè)得到了快速發(fā)展，如網(wǎng)上辦公、電子政務(wù)、電子商務(wù)等應(yīng)用都得到了快速推進(jìn)和發(fā)展。越來越多的政府、企事業(yè)單位已經(jīng)依托互聯(lián)網(wǎng)組建了自己的網(wǎng)上辦公系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)，從而使內(nèi)部辦公人員、合作伙伴

2、等通過網(wǎng)絡(luò)可以迅速地獲取信息，使得遠(yuǎn)程辦公和移動(dòng)辦公模式得以實(shí)現(xiàn)。目前通過Internet進(jìn)行安全接入和組網(wǎng)一般采用IPSEC或SSL VPN技術(shù)，通過Internet來組建了自己的私有網(wǎng)絡(luò)，實(shí)現(xiàn)了企業(yè)總部與分支機(jī)構(gòu)、合作伙伴以及移動(dòng)用戶的安全互聯(lián)。</p><p>　　但隨著密碼技術(shù)和計(jì)算技術(shù)的發(fā)展，1024位RSA公鑰密碼算法正面臨日益嚴(yán)重的安全威脅，為保障重要經(jīng)濟(jì)系統(tǒng)密碼應(yīng)用的安全。國(guó)密局已于2011年3月

3、下發(fā)了《關(guān)于做好公鑰密碼算法升級(jí)工作的通知》（國(guó)密局字[2011]50號(hào)），對(duì)公鑰密碼算法升級(jí)的有關(guān)工作做出了具體安排。按通知的要求，自2011年7月1日起，新投入運(yùn)行并使用公鑰密碼的信息系統(tǒng)，應(yīng)使用SM2算法；已投入運(yùn)行的，應(yīng)盡快進(jìn)行系統(tǒng)升級(jí)，并使用SM2算法。</p><p>　　因此，對(duì)于目前已經(jīng)廣泛應(yīng)用的VPN安全網(wǎng)關(guān)系統(tǒng)，也提出了新的升級(jí)改造要求，需要能提供基于SM2的全新VPN解決方案。由于現(xiàn)階段國(guó)內(nèi)

4、VPN產(chǎn)品使用的公鑰密碼算法主要是RSA，新的解決方案要求使用SM2橢圓曲線算法來替換RSA公鑰密碼算法。</p><p>　　SM2算法相比RSA算法具有如下優(yōu)勢(shì)：簽名速度和密鑰對(duì)生成速度都遠(yuǎn)快于RSA；ECC算法的單位安全強(qiáng)度高于RSA算法，也就是說，要達(dá)到同樣的安全強(qiáng)度，ECC算法所需的密鑰長(zhǎng)度遠(yuǎn)比RSA算法低；數(shù)據(jù)表明，ECC 256位（SM2采用的就是ECC 256位的一種）安全強(qiáng)度比RSA2048的還

5、高，但運(yùn)算速度要比RSA2048快的多。</p><p><b>　　安全需求分析</b></p><p>　　根據(jù)政府、企事業(yè)單位等網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的需要，在實(shí)現(xiàn)總部與各級(jí)單位、分支機(jī)構(gòu)網(wǎng)絡(luò)安全互聯(lián)及移動(dòng)辦公安全接入的同時(shí)，結(jié)合國(guó)家對(duì)相關(guān)網(wǎng)絡(luò)通信協(xié)議及加密算法的要求，其主要安全接入需求如下所述。</p><p>　　應(yīng)用系統(tǒng)的適應(yīng)性與安全性需

6、求</p><p>　　遠(yuǎn)程接入網(wǎng)絡(luò)需要承載的業(yè)務(wù)系統(tǒng)種類較多，且對(duì)于應(yīng)用系統(tǒng)的實(shí)時(shí)性和可靠性有較高要求；網(wǎng)絡(luò)應(yīng)用需要基于B/S和C/S架構(gòu)，業(yè)務(wù)模式較復(fù)雜；遠(yuǎn)程接入移動(dòng)辦公人員眾多，且需要能同時(shí)支持PC、PAD、智能手機(jī)等多種終端接入。</p><p>　　網(wǎng)絡(luò)通信協(xié)議及加密算法的安全性需求</p><p>　　對(duì)網(wǎng)絡(luò)數(shù)據(jù)及傳輸?shù)陌踩砸筝^高，數(shù)據(jù)加密的對(duì)稱密碼

7、算法需使用國(guó)家密碼管理局規(guī)定的SM1或SM4加密算法；摘要算法需要使用SHA1或SM3算法；用于證書認(rèn)證的非對(duì)稱密碼算法需采用國(guó)家商密SM2算法，且CA系統(tǒng)需要支持國(guó)密局《SM2數(shù)字證書規(guī)范》。</p><p>　　通信協(xié)議需要符合國(guó)密局制定的國(guó)家技術(shù)標(biāo)準(zhǔn)，即符合《SSL VPN技術(shù)規(guī)范》和《IPSEC VPN技術(shù)規(guī)范》</p><p>　　設(shè)備與用戶的管理與安全性需求</p>

8、<p>　　對(duì)所有網(wǎng)關(guān)設(shè)備和遠(yuǎn)程接入用戶采用統(tǒng)一、嚴(yán)格的身份認(rèn)證和集中管理；能實(shí)時(shí)監(jiān)控設(shè)備及用戶工作狀態(tài)，并進(jìn)行詳細(xì)日志記錄；整個(gè)遠(yuǎn)程接入系統(tǒng)安裝方便、快捷，便于維護(hù)和管理。</p><p><b>　　解決方案</b></p><p>　　根據(jù)政府、企事業(yè)單位分支機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)及移動(dòng)用戶安全接入的實(shí)際需求，我們采用專門的VPN密碼機(jī)產(chǎn)品提供基于SM2的V

9、PN遠(yuǎn)程安全接入解決方案，解決其所面臨的遠(yuǎn)程安全接入、傳輸保密、用戶認(rèn)證、網(wǎng)絡(luò)安全防護(hù)、訪問控制等問題，具體解決方案及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下： </p><p>　　在總部網(wǎng)絡(luò)中心部署高端IPSEC/SSL VPN綜合安全網(wǎng)關(guān)，作為中心VPN密碼機(jī)安全接入網(wǎng)關(guān)。中心和分支VPN密碼機(jī)都內(nèi)置有硬件加密卡，支持SM1、SM2、SM3、SM4等國(guó)產(chǎn)加密算法，并符合國(guó)密局VPN技術(shù)規(guī)范。同時(shí)，通過VPN綜合安全網(wǎng)關(guān)集成的防火

10、墻功能可提供對(duì)內(nèi)網(wǎng)的訪問控制和網(wǎng)絡(luò)安全防護(hù)。</p><p>　　各分支機(jī)構(gòu)根據(jù)網(wǎng)絡(luò)規(guī)模部署相應(yīng)IPCEC VPN安全網(wǎng)關(guān)，作為分支VPN密碼機(jī)安全接入網(wǎng)關(guān)。分支網(wǎng)關(guān)在連入互聯(lián)網(wǎng)的同時(shí)會(huì)自動(dòng)向中心VPN安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證和VPN隧道協(xié)商。同時(shí)，分支網(wǎng)關(guān)還可以提供防火墻安全防護(hù)功能。</p><p>　　在總部部署CA服務(wù)器，用于為所有VPN網(wǎng)關(guān)和移動(dòng)用戶頒發(fā)SM2算法的證書，采用證書方式

11、對(duì)VPN設(shè)備和用戶進(jìn)行身份認(rèn)證，且CA符合國(guó)密局《SM2數(shù)字證書規(guī)范》。</p><p>　　移動(dòng)辦公用戶在終端上安裝IPSEC或SSL客戶端進(jìn)行安全接入，采用在USB Key上寫入的SM2證書進(jìn)行身份認(rèn)證，且USB Key自帶加密芯片，支持SM1、SM2、SM3、SM4國(guó)產(chǎn)加密算法。</p><p><b>　　應(yīng)用案例</b></p><p&g

12、t;　　某省電子政務(wù)外網(wǎng)為實(shí)現(xiàn)各級(jí)政務(wù)部門之間業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)貫通，需要為部分不具備專線接入政務(wù)外網(wǎng)的政務(wù)部門以及一些偏遠(yuǎn)地區(qū)提供安全接入。另一方面，眾多政務(wù)部門出差人員或移動(dòng)辦公的人員也需要能方便的接入業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)上報(bào)。</p><p>　　根據(jù)此電子政務(wù)外網(wǎng)的安全接入需求，我們?cè)谑〖?jí)中心部署了高端SJJ1209 IPSEC/SSL VPN綜合安全網(wǎng)關(guān)，用于提供各級(jí)政務(wù)部門和移動(dòng)辦公人員安全接入，在各級(jí)政務(wù)部

13、門部署相應(yīng)中低端SJJ1209 IPSEC/SSL VPN綜合安全網(wǎng)關(guān)接入省中心。同時(shí)，在省中心部署安全策略管理中心，便于對(duì)所有設(shè)備和用戶進(jìn)行集中監(jiān)控、身份認(rèn)證和通訊策略管理。另外，為保證通訊和數(shù)據(jù)傳輸?shù)陌踩?，VPN安全網(wǎng)關(guān)及客戶端全部使用了SM1、SM2、SM3國(guó)產(chǎn)加密算法和國(guó)密VPN協(xié)議進(jìn)行身份認(rèn)證、加密和數(shù)據(jù)傳輸。</p><p>　　通過采用基于SM1、SM2等國(guó)密算法的VPN安全接入解決方案，實(shí)現(xiàn)了某省

14、電子政務(wù)外網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全互聯(lián)和移動(dòng)辦公用戶的安全接入，達(dá)到了理想的應(yīng)用效果。</p><p><b>　　商用密碼產(chǎn)品清單</b></p><p>　　SJJ1209 IPSec/SSL VPN綜合安全網(wǎng)關(guān)</p><p>　　SJJ1221 高速VPN安全網(wǎng)關(guān)</p><p>　　SJK0801-B高性能64位P