基于sm2的安全接入解決方案

1、<p>　　基于SM2的安全接入解決方案</p><p><b>　　方案背景</b></p><p>　　隨著Internet技術(shù)的不斷發(fā)展，近幾年國內(nèi)企事業(yè)單位的信息化建設(shè)得到了快速發(fā)展，如網(wǎng)上辦公、電子政務(wù)、電子商務(wù)等應(yīng)用都得到了快速推進(jìn)和發(fā)展。越來越多的政府、企事業(yè)單位已經(jīng)依托互聯(lián)網(wǎng)組建了自己的網(wǎng)上辦公系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)，從而使內(nèi)部辦公人員、合作伙伴

2、等通過網(wǎng)絡(luò)可以迅速地獲取信息，使得遠(yuǎn)程辦公和移動辦公模式得以實(shí)現(xiàn)。目前通過Internet進(jìn)行安全接入和組網(wǎng)一般采用IPSEC或SSL VPN技術(shù)，通過Internet來組建了自己的私有網(wǎng)絡(luò)，實(shí)現(xiàn)了企業(yè)總部與分支機(jī)構(gòu)、合作伙伴以及移動用戶的安全互聯(lián)。</p><p>　　但隨著密碼技術(shù)和計(jì)算技術(shù)的發(fā)展，1024位RSA公鑰密碼算法正面臨日益嚴(yán)重的安全威脅，為保障重要經(jīng)濟(jì)系統(tǒng)密碼應(yīng)用的安全。國密局已于2011年3月

3、下發(fā)了《關(guān)于做好公鑰密碼算法升級工作的通知》（國密局字[2011]50號），對公鑰密碼算法升級的有關(guān)工作做出了具體安排。按通知的要求，自2011年7月1日起，新投入運(yùn)行并使用公鑰密碼的信息系統(tǒng)，應(yīng)使用SM2算法；已投入運(yùn)行的，應(yīng)盡快進(jìn)行系統(tǒng)升級，并使用SM2算法。</p><p>　　因此，對于目前已經(jīng)廣泛應(yīng)用的VPN安全網(wǎng)關(guān)系統(tǒng)，也提出了新的升級改造要求，需要能提供基于SM2的全新VPN解決方案。由于現(xiàn)階段國內(nèi)

4、VPN產(chǎn)品使用的公鑰密碼算法主要是RSA，新的解決方案要求使用SM2橢圓曲線算法來替換RSA公鑰密碼算法。</p><p>　　SM2算法相比RSA算法具有如下優(yōu)勢：簽名速度和密鑰對生成速度都遠(yuǎn)快于RSA；ECC算法的單位安全強(qiáng)度高于RSA算法，也就是說，要達(dá)到同樣的安全強(qiáng)度，ECC算法所需的密鑰長度遠(yuǎn)比RSA算法低；數(shù)據(jù)表明，ECC 256位（SM2采用的就是ECC 256位的一種）安全強(qiáng)度比RSA2048的還

5、高，但運(yùn)算速度要比RSA2048快的多。</p><p><b>　　安全需求分析</b></p><p>　　根據(jù)政府、企事業(yè)單位等網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的需要，在實(shí)現(xiàn)總部與各級單位、分支機(jī)構(gòu)網(wǎng)絡(luò)安全互聯(lián)及移動辦公安全接入的同時，結(jié)合國家對相關(guān)網(wǎng)絡(luò)通信協(xié)議及加密算法的要求，其主要安全接入需求如下所述。</p><p>　　應(yīng)用系統(tǒng)的適應(yīng)性與安全性需

6、求</p><p>　　遠(yuǎn)程接入網(wǎng)絡(luò)需要承載的業(yè)務(wù)系統(tǒng)種類較多，且對于應(yīng)用系統(tǒng)的實(shí)時性和可靠性有較高要求；網(wǎng)絡(luò)應(yīng)用需要基于B/S和C/S架構(gòu)，業(yè)務(wù)模式較復(fù)雜；遠(yuǎn)程接入移動辦公人員眾多，且需要能同時支持PC、PAD、智能手機(jī)等多種終端接入。</p><p>　　網(wǎng)絡(luò)通信協(xié)議及加密算法的安全性需求</p><p>　　對網(wǎng)絡(luò)數(shù)據(jù)及傳輸?shù)陌踩砸筝^高，數(shù)據(jù)加密的對稱密碼

7、算法需使用國家密碼管理局規(guī)定的SM1或SM4加密算法；摘要算法需要使用SHA1或SM3算法；用于證書認(rèn)證的非對稱密碼算法需采用國家商密SM2算法，且CA系統(tǒng)需要支持國密局《SM2數(shù)字證書規(guī)范》。</p><p>　　通信協(xié)議需要符合國密局制定的國家技術(shù)標(biāo)準(zhǔn)，即符合《SSL VPN技術(shù)規(guī)范》和《IPSEC VPN技術(shù)規(guī)范》</p><p>　　設(shè)備與用戶的管理與安全性需求</p>

8、<p>　　對所有網(wǎng)關(guān)設(shè)備和遠(yuǎn)程接入用戶采用統(tǒng)一、嚴(yán)格的身份認(rèn)證和集中管理；能實(shí)時監(jiān)控設(shè)備及用戶工作狀態(tài)，并進(jìn)行詳細(xì)日志記錄；整個遠(yuǎn)程接入系統(tǒng)安裝方便、快捷，便于維護(hù)和管理。</p><p><b>　　解決方案</b></p><p>　　根據(jù)政府、企事業(yè)單位分支機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)及移動用戶安全接入的實(shí)際需求，我們采用專門的VPN密碼機(jī)產(chǎn)品提供基于SM2的V

9、PN遠(yuǎn)程安全接入解決方案，解決其所面臨的遠(yuǎn)程安全接入、傳輸保密、用戶認(rèn)證、網(wǎng)絡(luò)安全防護(hù)、訪問控制等問題，具體解決方案及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如下： </p><p>　　在總部網(wǎng)絡(luò)中心部署高端IPSEC/SSL VPN綜合安全網(wǎng)關(guān)，作為中心VPN密碼機(jī)安全接入網(wǎng)關(guān)。中心和分支VPN密碼機(jī)都內(nèi)置有硬件加密卡，支持SM1、SM2、SM3、SM4等國產(chǎn)加密算法，并符合國密局VPN技術(shù)規(guī)范。同時，通過VPN綜合安全網(wǎng)關(guān)集成的防火

10、墻功能可提供對內(nèi)網(wǎng)的訪問控制和網(wǎng)絡(luò)安全防護(hù)。</p><p>　　各分支機(jī)構(gòu)根據(jù)網(wǎng)絡(luò)規(guī)模部署相應(yīng)IPCEC VPN安全網(wǎng)關(guān)，作為分支VPN密碼機(jī)安全接入網(wǎng)關(guān)。分支網(wǎng)關(guān)在連入互聯(lián)網(wǎng)的同時會自動向中心VPN安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證和VPN隧道協(xié)商。同時，分支網(wǎng)關(guān)還可以提供防火墻安全防護(hù)功能。</p><p>　　在總部部署CA服務(wù)器，用于為所有VPN網(wǎng)關(guān)和移動用戶頒發(fā)SM2算法的證書，采用證書方式

11、對VPN設(shè)備和用戶進(jìn)行身份認(rèn)證，且CA符合國密局《SM2數(shù)字證書規(guī)范》。</p><p>　　移動辦公用戶在終端上安裝IPSEC或SSL客戶端進(jìn)行安全接入，采用在USB Key上寫入的SM2證書進(jìn)行身份認(rèn)證，且USB Key自帶加密芯片，支持SM1、SM2、SM3、SM4國產(chǎn)加密算法。</p><p><b>　　應(yīng)用案例</b></p><p&g

12、t;　　某省電子政務(wù)外網(wǎng)為實(shí)現(xiàn)各級政務(wù)部門之間業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)貫通，需要為部分不具備專線接入政務(wù)外網(wǎng)的政務(wù)部門以及一些偏遠(yuǎn)地區(qū)提供安全接入。另一方面，眾多政務(wù)部門出差人員或移動辦公的人員也需要能方便的接入業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)上報(bào)。</p><p>　　根據(jù)此電子政務(wù)外網(wǎng)的安全接入需求，我們在省級中心部署了高端SJJ1209 IPSEC/SSL VPN綜合安全網(wǎng)關(guān)，用于提供各級政務(wù)部門和移動辦公人員安全接入，在各級政務(wù)部

13、門部署相應(yīng)中低端SJJ1209 IPSEC/SSL VPN綜合安全網(wǎng)關(guān)接入省中心。同時，在省中心部署安全策略管理中心，便于對所有設(shè)備和用戶進(jìn)行集中監(jiān)控、身份認(rèn)證和通訊策略管理。另外，為保證通訊和數(shù)據(jù)傳輸?shù)陌踩?，VPN安全網(wǎng)關(guān)及客戶端全部使用了SM1、SM2、SM3國產(chǎn)加密算法和國密VPN協(xié)議進(jìn)行身份認(rèn)證、加密和數(shù)據(jù)傳輸。</p><p>　　通過采用基于SM1、SM2等國密算法的VPN安全接入解決方案，實(shí)現(xiàn)了某省

14、電子政務(wù)外網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全互聯(lián)和移動辦公用戶的安全接入，達(dá)到了理想的應(yīng)用效果。</p><p><b>　　商用密碼產(chǎn)品清單</b></p><p>　　SJJ1209 IPSec/SSL VPN綜合安全網(wǎng)關(guān)</p><p>　　SJJ1221 高速VPN安全網(wǎng)關(guān)</p><p>　　SJK0801-B高性能64位P