青鳥環(huán)宇VPN系列產(chǎn)品技術(shù)白皮書掠北京北大青濟(jì)鳥環(huán)宇科技猶股份有限公墻司在2002年衡5月目錄TOC\o"1-3"\h\z嚴(yán)第一章企頌業(yè)網(wǎng)絡(luò)系統(tǒng)偷信息安全問爛題今屢1煩1.1滴企業(yè)（政污府）網(wǎng)絡(luò)系嗚統(tǒng)典型架構(gòu)芬及其安全現(xiàn)陣狀宮始1棟1.2凈企業(yè)網(wǎng)絡(luò)示面臨的威脅董及安全需求貝妨3和1.3銜網(wǎng)絡(luò)安全獨(dú)基本技術(shù)與嚼VPN棕技術(shù)穴探6狗1.4I寧PSec刊網(wǎng)絡(luò)安全體層系絲發(fā)8辟1.5賭用炭SJW10尊IP滲保密機(jī)構(gòu)建哄VPN丟系統(tǒng)球怕9嘗第二章秋青鳥環(huán)宇暗V確PN今設(shè)備桃SJW10宮IP太保密機(jī)亡晉12遠(yuǎn)2.1S洞JW10作IP粘保密機(jī)技術(shù)墊說明親沃12慈刷硬件平臺(tái)環(huán)及主要功能藍(lán)福12額姜軟件系統(tǒng)晴及網(wǎng)絡(luò)位置曲偽13摔杏功能指標(biāo)車及配置說明駱則14成2.2S潮JW10額IP援安全包技術(shù)差說明辜海17鏈縣概述拌拘17演潛系統(tǒng)總體齡結(jié)構(gòu)集原18舞惱功能特點(diǎn)寨廉18錫2.3S緩JW10掀安全管理中哈心卸般19準(zhǔn)北概述辦梁19碰版密鑰管理否方案砌驢21絞第三章典鑰型應(yīng)用案例攻諸23撥3.1捏某省銀行白應(yīng)用次SJW10穗構(gòu)建安全金染融業(yè)務(wù)網(wǎng)趁連23沒3.2勁某市銀行怎應(yīng)用倦SJW10兵構(gòu)建安全銀巨證聯(lián)網(wǎng)系統(tǒng)賀蠟25拾3.3尚某省環(huán)保棗局應(yīng)用疑SJW10勒在足Int舊e坑rnet丘上構(gòu)建安全蠟數(shù)字環(huán)保網(wǎng)割絡(luò)詞自27銜企業(yè)網(wǎng)絡(luò)系阿統(tǒng)信息安全寸問題伍企業(yè)（政府即）網(wǎng)絡(luò)系統(tǒng)質(zhì)典型架構(gòu)及泄其安全現(xiàn)狀譯隨著我國(guó)通沒信基礎(chǔ)設(shè)施著建設(shè)的飛速習(xí)發(fā)展和互連啞網(wǎng)絡(luò)技術(shù)的泰日趨完善，依各行各業(yè)及知政府各部門常紛紛借助公叼共網(wǎng)絡(luò)基礎(chǔ)疑設(shè)施將分散融在不同地域菌的相對(duì)封閉征的信息系統(tǒng)今聯(lián)成一個(gè)整俊體，以加快猾信息的流動(dòng)院速度，提高狀企業(yè)的綜合套競(jìng)爭(zhēng)力，提陸升政府辦公皇的工作效率仙。望就目前大部吹分網(wǎng)絡(luò)應(yīng)用群而言，典型諒的企業(yè)（政巴府）網(wǎng)絡(luò)結(jié)褲構(gòu)一般都由為一個(gè)總部（歡網(wǎng)絡(luò)中心）喘、若干分支點(diǎn)機(jī)構(gòu)、數(shù)量冷不等的合作慎伙伴及移動(dòng)竄遠(yuǎn)程（撥號(hào)壟）用戶所組熄成。除遠(yuǎn)程尾用戶外，其忠余各部分均居為規(guī)模不等乖的局域網(wǎng)絡(luò)來系統(tǒng)。其中紛總部局域網(wǎng)她絡(luò)是整個(gè)網(wǎng)都絡(luò)系統(tǒng)的核廟心，為企業(yè)染（政府）各拳類中心服務(wù)郵器所在地，蹲同時(shí)也是網(wǎng)宰絡(luò)管理中心收。各部分之嶼間的聯(lián)接方許式多種多樣里，包括遠(yuǎn)程肆撥號(hào)、專線雞、崗Inter酸net矮等。從互聯(lián)搶方式來看，慚則可分為三串種模式：射通過撥號(hào)遠(yuǎn)滴程訪問企業(yè)酸網(wǎng)絡(luò)，撥號(hào)機(jī)又可分為通使過網(wǎng)絡(luò)仁撥入訪問服鼠務(wù)器和撥入棒網(wǎng)絡(luò)服務(wù)提棒供商（如：按ISP）兩迷種方式；噴遠(yuǎn)程分支機(jī)舍構(gòu)局域網(wǎng)通個(gè)過專線或公蹈共網(wǎng)絡(luò)和總生部局域網(wǎng)絡(luò)發(fā)連接；嘉合作伙伴（畫客戶、供應(yīng)凡商）局域網(wǎng)稿通過專線或現(xiàn)公共網(wǎng)絡(luò)和倘總部局域網(wǎng)養(yǎng)連接；慢該典型結(jié)構(gòu)樹如下頁圖廟1捧.1所示。惹在這個(gè)網(wǎng)絡(luò)竭系統(tǒng)運(yùn)行的汽既有傳統(tǒng)的嚇客戶服務(wù)器位模式的業(yè)務(wù)研系統(tǒng)，也有介基于貢Inter梨net具技術(shù)的涌WEB艘應(yīng)用，或者顆兩者兼有。折隨著艷Inter作net是技術(shù)的日益資成熟，索WEB紫應(yīng)用將逐步棍成為主流，研而勢(shì)TCP/I矩P感協(xié)議則是網(wǎng)根絡(luò)互連的唯爐一選擇。丙現(xiàn)行的各類筆企業(yè)（政府北）網(wǎng)絡(luò)系統(tǒng)澆均有其特定辣的發(fā)展歷史寨，一般而言券，在其網(wǎng)貌絡(luò)系統(tǒng)建設(shè)虜過程中，主川要側(cè)重信息植系統(tǒng)的穩(wěn)定渾、正確運(yùn)行柜。就網(wǎng)絡(luò)信毯息系統(tǒng)安全欺而言，一般債僅利用了一湊些常規(guī)的安限全防護(hù)措施止，這些措施羊包括利用操鼻作系統(tǒng)、數(shù)瓜據(jù)庫系統(tǒng)自必身的安全設(shè)調(diào)施；購買并痛部署商用的廣防火墻和防丘病毒產(chǎn)品等統(tǒng)。在應(yīng)用程姜序的設(shè)計(jì)中腿，也僅考慮栗到了部分信秒息安全問題壓。應(yīng)該說這捧在系統(tǒng)建設(shè)糖初期的客觀惱環(huán)境下是可第行的，也是教客觀條件限妥制下的必然教。由于業(yè)務(wù)脅網(wǎng)絡(luò)系統(tǒng)中紅大量采用不您是專為安全拘系統(tǒng)設(shè)計(jì)的譜各種版本的意商用基礎(chǔ)軟呆件，這些軟掩件通常僅具攔備一些基本針的安全功能僑，而且在安付裝時(shí)的缺省淹配置往往更慘多的照顧了固使用的方便勾性而忽略了舌系統(tǒng)的安全賞性，如考慮折不周很容易歡就留下安全般漏洞?？偟难艁碚f，這些厭系統(tǒng)中的大右部分遠(yuǎn)沒有范達(dá)到能和系鴿統(tǒng)中信息的織重要性相稱莫的安全級(jí)別牲，有的甚至立對(duì)于一些常輸規(guī)的攻擊手讓段也無法抵將御?？偛縲ww服務(wù)器中心主機(jī)總部www服務(wù)器中心主機(jī)工作站網(wǎng)管中心工作站網(wǎng)管中心訪問服務(wù)器路由器訪問服務(wù)器路由器DDN/FR/X.25/PSTN/InternetDDN/FR/X.25/PSTN/Internet…路由器路由器ISP/NSPISP/NSP合作伙伴工作臺(tái)服務(wù)器合作伙伴工作臺(tái)服務(wù)器移動(dòng)用戶撥號(hào)用戶路由器移動(dòng)用戶撥號(hào)用戶路由器分支機(jī)構(gòu)分支機(jī)構(gòu)服務(wù)器工作臺(tái)服務(wù)器工作臺(tái)撥號(hào)/移動(dòng)撥號(hào)/移動(dòng)辦公用戶圖1.1企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)圖1.1企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)吧企業(yè)網(wǎng)絡(luò)面俱臨的威脅繼及安全需求惱對(duì)企業(yè)（政荷府）網(wǎng)絡(luò)系患統(tǒng)的安全威較脅可以說多廁種多樣，就創(chuàng)攻擊的對(duì)象綢及采用的手饑段來加以區(qū)醉分，可分為窗針對(duì)信息的澇攻擊、針對(duì)馳系統(tǒng)的攻擊系、針對(duì)使用爹者的攻擊以抄及針對(duì)系統(tǒng)條資源的攻擊扒等四類，實(shí)杠施安全攻擊套的人員既可繩能是外部人象員，也可能咬是內(nèi)部人員俗。價(jià)針對(duì)信息的柴攻擊胖對(duì)處于傳輸覽和存儲(chǔ)形態(tài)漢的信息實(shí)施赤非法攻擊，門其手段包括傻偵聽破譯、吵篡改報(bào)文、籮重發(fā)（或少棋發(fā)）報(bào)文、耗改變信息的串傳輸順序以開及流量分析香等，其攻擊原地點(diǎn)既可以初在局域網(wǎng)內(nèi)歸，也可以在吸廣域網(wǎng)上。蘭由于信息在綢局域網(wǎng)中多暖采用廣播方慶式，因此，話若在某個(gè)廣姻播域中可以般偵聽到所有扛的信息包，可攻擊者就可就以對(duì)信息包票進(jìn)行分析，橡那么本廣播裁域的信息傳怖遞過程都會(huì)敢暴露在攻擊阻者面前。即口使是采用交步換方式的局恨網(wǎng)，由于信聚息的流動(dòng)具扣有明顯的集唐中性（如一筍個(gè)服務(wù)器對(duì)第多個(gè)客戶機(jī)藏），攻擊者幕只要有機(jī)會(huì)膝接近信息的騾匯聚點(diǎn)（如篩交換機(jī)的服惑務(wù)器端口）她，即可對(duì)其揚(yáng)實(shí)施攻擊。來對(duì)廣域網(wǎng)而瞞言，由于廣慚域網(wǎng)通常是拒基于公共網(wǎng)瞇絡(luò)連接而成暮，因而在廣雹域網(wǎng)上進(jìn)行涼傳輸時(shí)信息不就更可能受峰到各種各樣得的攻擊，諸掩如：竊取、搜偽造、破壞年等。任何一拾個(gè)有條件接晃觸通信結(jié)點(diǎn)壓或信道的人騾都可以實(shí)施磁上述攻擊，室這種形式的扎“林攻擊滔”攝是相對(duì)比較默容易成功的耽，只要使用斥現(xiàn)在很容易沈得到的異“涉包檢測(cè)欲”掌軟件即可。多隨著網(wǎng)絡(luò)偵恒聽工具的隱填蔽化和靈巧褲化，對(duì)信息鋒攻擊的可實(shí)城施性正變得泥越來越容易擔(dān)實(shí)現(xiàn)。以前械購置一套功笨能強(qiáng)大的協(xié)侄議分析設(shè)備妹需花費(fèi)十幾泛萬乃至幾十妄萬元，能掌板握這些設(shè)備枯的人極為稀閘少。而現(xiàn)在縫，協(xié)議分析脂工具軟件隨立處可得，有奴些免費(fèi)軟件哪的協(xié)議分析叮能力越來越擊強(qiáng)大，試用斗人員隊(duì)伍十全分龐大，一橋旦得到合適衰的機(jī)會(huì)，即湯使無心之人過也可能抵擋有不住好奇心畫而鋌而走險(xiǎn)源，更何況蓄甩意犯罪之徒趣。斑針對(duì)信息的搭攻擊手段的忍可怕之處在顯于其隱蔽性岔和突然性，裂攻擊者可以茫不動(dòng)聲色地貿(mào)竊取并利用高信息，而無糟慮被發(fā)現(xiàn)；繩他也可以在旁積聚足夠的棍信息后驟起忙發(fā)難，進(jìn)行葛敲詐勒索。捕此類案件見名諸報(bào)端的層暖出不窮，而濾未公開與之唐相比會(huì)數(shù)以傍倍計(jì)。是針對(duì)系統(tǒng)的銹攻擊忠利用系統(tǒng)（光包括操作系聲統(tǒng)、支撐軟雷件及應(yīng)用系春統(tǒng)）固有的襯或系統(tǒng)配置顏及管翼理過程中的搶安全漏洞，幸穿透或繞過擠安全設(shè)施的晝防護(hù)策略，細(xì)達(dá)到非法訪孟問直至控制爪系統(tǒng)的目的院，并以此為盛跳板，繼續(xù)望攻擊其它系枯統(tǒng)。此類攻遮擊手段包括合隱通道攻擊及、特絡(luò)伊木泥馬、口令猜煮測(cè)、緩沖區(qū)神溢出等，早刮期的黑客多恢是利用這類浙攻擊方法。蝶隨著基礎(chǔ)系鎖統(tǒng)軟件安全丑功能和安全欲管理制度的乘不斷完善，椒此類攻擊的俊成功比例正警在逐步減少綁，但由于當(dāng)鼠今黑客組織卻越來越嚴(yán)密日，攻擊技巧豬層出不窮，威攻擊工具傳證播迅速，因紗此在相當(dāng)長(zhǎng)竊時(shí)期內(nèi)，仍壞是主要的威壞脅之一。予由于我國(guó)的虎網(wǎng)絡(luò)信息系舊統(tǒng)中大量采蕉用不是專為萬安全系統(tǒng)設(shè)池計(jì)的基礎(chǔ)軟鈔件和支撐平恥臺(tái)，這些軟晶件在安裝時(shí)災(zāi)的缺省配置閑往往更多的滿照顧方便性煮而忽略了安襪全性，如考裕慮不周很容御易就留下安秒全漏洞，如余果再考慮到雙某些軟件供質(zhì)應(yīng)商出于政萄治或經(jīng)濟(jì)目味的，可能在職系統(tǒng)中預(yù)留阻“插后門麥”誕，因此必須困要有有效的更技術(shù)手段加以以預(yù)防。館針對(duì)使用者療的攻擊副這是一種看端似困難卻普姐遍存在的攻娛擊途徑，攻愁擊者多利用栗管理者和使罷用者安全意陡識(shí)不強(qiáng)、管汽理制度松弛病、認(rèn)證技術(shù)詠不嚴(yán)密的特綠點(diǎn)，通過種壺種手段竊取螞系統(tǒng)權(quán)限，啦通過合法程效序來達(dá)到非艷法目的，并共在事后或嫁扣禍他人、或阿毀滅證據(jù)。唇此類攻擊的摩特點(diǎn)是難以速取證。浸針對(duì)資源的身攻擊哄以各種手段凈耗盡系統(tǒng)某償一資源，使墾之喪失繼續(xù)耳提供服務(wù)的筒能力，因此孝又稱為拒絕筑服務(wù)類攻擊挽，如郵件炸體彈、弄ping恰流攻擊等。停拒絕服務(wù)攻亭擊的高級(jí)形滾式為分布式尿拒絕服務(wù)攻啞擊拳(DDoS怖),證即攻擊者利板用其所控制芽的成百上千循個(gè)系統(tǒng)同時(shí)戲發(fā)起攻擊，村迫使攻擊對(duì)緒象癱瘓。窗針對(duì)資源的父攻擊發(fā)起點(diǎn)稠通常來自互典聯(lián)網(wǎng)，其攻企擊對(duì)象多為鴉各類網(wǎng)站。態(tài)分布式拒絕碗服務(wù)攻擊通生常都是經(jīng)過燭精心策劃，霞有組織的犯自罪行為。由移于針對(duì)資源肯的攻擊利用間的是現(xiàn)有的劣網(wǎng)絡(luò)架構(gòu)，螞尤其是儲(chǔ)Inter帖net廉以及鳴TCP/I益P招協(xié)議的固有含缺陷，因此浩在網(wǎng)絡(luò)的基阿礎(chǔ)設(shè)施沒有罷得到大的改沖進(jìn)前，難以綿徹底解決。推企業(yè)的安全槳需求棗網(wǎng)絡(luò)安全包鋒括五個(gè)基本母要素：機(jī)密捐性、完整性窯、可用性、隸可審查性和哈可控性。閱機(jī)密性：鳴確保信息不雹暴露給未授逝權(quán)的任何其屯它方實(shí)體或御進(jìn)程。減完整性：貪只有授權(quán)的沸實(shí)體或進(jìn)程砌才能修改數(shù)端據(jù)，并且能誼夠判別出數(shù)匆據(jù)是否已被垮篡改。謙棄可用性：貪確保授權(quán)實(shí)啟體在需要時(shí)頁可訪問數(shù)據(jù)死，即攻擊者尊不能占用所韻有的資源而膚阻礙授權(quán)者惜的工作。領(lǐng)可審查性：府對(duì)出現(xiàn)的網(wǎng)置絡(luò)安全問題扶提供調(diào)查的彩依據(jù)和手段鋪。暴可控性：廁可以控制授版權(quán)范圍內(nèi)的穿信息流向及后行為方式。振手目前國(guó)內(nèi)企弊業(yè)的網(wǎng)絡(luò)信堤息系統(tǒng)應(yīng)重饑點(diǎn)解決好網(wǎng)季絡(luò)內(nèi)部的信僅息流動(dòng)及操艘作層面所面紹臨的安全問漿題，即總部末和分支機(jī)構(gòu)良及合作伙伴兼之間在各個(gè)類層次上的信麥息傳輸安全剝和網(wǎng)絡(luò)訪問汽控制問題。繼網(wǎng)絡(luò)系統(tǒng)需物要解決的關(guān)陶鍵安全問題惕概括起來主層要有：傳輸扭信息的安全欣、節(jié)點(diǎn)身份司認(rèn)證、網(wǎng)絡(luò)址訪問控制、低操作人員的豬身份認(rèn)證、射交易的不可輔抵賴性和對(duì)盆非法攻擊事扮件的可追蹤龍性。惹傳輸信息的什安全魔總部和分支醒機(jī)構(gòu)、合作何伙伴之間的州業(yè)務(wù)數(shù)據(jù)在相網(wǎng)上傳輸時(shí)事，有可能被皮截取、竊取腹、偽造、假接冒、篡改，涌所以必須保余證通信信道睡上的信息安朱全性。通信辜信息的安全雞性包括通信集數(shù)據(jù)的機(jī)密后性和完整性睡。通信數(shù)據(jù)置的機(jī)密性可腥通過數(shù)據(jù)加昂密來實(shí)現(xiàn)，盤可防止傳輸機(jī)信息被截取撇、偷看；通侵信數(shù)據(jù)的完妹整性則依賴朵于眾MAC切碼（消息驗(yàn)淺證碼）和數(shù)餃字簽名來實(shí)過現(xiàn)，可防止股被假冒、篡會(huì)改、重放等娛。宋節(jié)點(diǎn)身份認(rèn)好證攤是指在進(jìn)行想網(wǎng)上業(yè)務(wù)時(shí)彎，系統(tǒng)內(nèi)各之節(jié)點(diǎn)之間要廉互相驗(yàn)證對(duì)臨方的身份，殼以防假冒。睡節(jié)點(diǎn)身份認(rèn)月證對(duì)關(guān)鍵性愈的實(shí)時(shí)業(yè)務(wù)違尤為重要，么例如，對(duì)于抽金融儲(chǔ)蓄業(yè)游務(wù)，案犯可閥以利用厭PC脊機(jī)偽造儲(chǔ)蓄托網(wǎng)點(diǎn)，進(jìn)行界存錢操作，種然后立即在喘合法的儲(chǔ)蓄喬所取出現(xiàn)金乒。此網(wǎng)絡(luò)訪問安償全盒關(guān)鍵業(yè)務(wù)網(wǎng)喬絡(luò)系統(tǒng)的各澇節(jié)點(diǎn)之間通規(guī)常是通過跨額地域的公共糞基礎(chǔ)網(wǎng)絡(luò)連訂接，悔需要有效地普防止可能來勢(shì)自該基礎(chǔ)網(wǎng)嶺絡(luò)的對(duì)系統(tǒng)符主機(jī)和內(nèi)部得網(wǎng)絡(luò)的非法曉訪問和攻擊乓。舒操作人員的淹身份認(rèn)證和蓋交易的不可將抵賴性祥對(duì)操作人員宏身份的正確錄而有效的認(rèn)虜證是實(shí)現(xiàn)不由可抵賴的前靈提，交易的啟不可抵賴性期是指防止對(duì)污交易行為的漢抵賴和否認(rèn)待行為，交易水的不可抵賴奉通常通過數(shù)泡字簽名來實(shí)草現(xiàn)，重要的塞交易行為應(yīng)嗓該簽名并實(shí)釣時(shí)驗(yàn)證。捧非法攻擊事睛件的可追蹤箏性刑對(duì)重要事件期應(yīng)具有詳細(xì)保的審計(jì)紀(jì)錄更，以便在發(fā)疲生攻擊時(shí)提漠供確鑿的追胞究證據(jù)，從英而使系統(tǒng)具全有強(qiáng)大的威氧懾力量和有擺效的取證手頓段。登必須指出：知網(wǎng)絡(luò)信息系泊統(tǒng)是由人參薪與的信息系這統(tǒng)環(huán)境，建誠(chéng)立良好的安姐全組織和管魯理是首要的薯安全需求，倡也是一切安酒全技術(shù)手段筆得以有效發(fā)寸揮的基礎(chǔ)。繪企業(yè)需要的往是集組織、剛管理和技術(shù)你為一體的完虜整的安全解貝決方案。揪網(wǎng)絡(luò)安全基貞本技術(shù)睡與賺VPN技術(shù)禿解決網(wǎng)絡(luò)信稅息系統(tǒng)安全討保密問題的誓兩項(xiàng)主要基腸礎(chǔ)技術(shù)為網(wǎng)代絡(luò)訪問控制猛技術(shù)和密碼位技術(shù)。網(wǎng)絡(luò)爭(zhēng)訪問控制技三術(shù)用于對(duì)系據(jù)統(tǒng)進(jìn)行安全霧保護(hù)，抵抗概各種外來攻死擊。密碼技鋪術(shù)用于加密北隱蔽傳輸信判息、認(rèn)證用評(píng)戶身份、抗云否認(rèn)等。鑼密碼技術(shù)是屋實(shí)現(xiàn)網(wǎng)絡(luò)安丟全的最有效帳的技術(shù)之一腔，實(shí)際上，間數(shù)據(jù)加密作惕為一項(xiàng)基本廚技術(shù)已經(jīng)成虹為所有通信陰數(shù)據(jù)安全的炭基石。在多用數(shù)情況下，搞數(shù)據(jù)加密是否保證信息機(jī)惡密性的唯一廉方法。一個(gè)郵加密網(wǎng)絡(luò)，瑞不但可以防燭止非授權(quán)用碗戶的搭線竊杠聽和入網(wǎng)，僚而且也是對(duì)芬付惡意軟件蔽的有效方法著，這使得它棉能以較小的矮代價(jià)提供很默強(qiáng)的安全保區(qū)護(hù)。虧數(shù)據(jù)加密過皺程是由各種扶加密算法來恐具體實(shí)施，華按照收發(fā)雙扁方密鑰是否勉相同來分類畢，可以將這量些加密算法加分為對(duì)稱密笑碼算法和非遼對(duì)稱密碼算獸法（公鑰算南法）。列嫌對(duì)稱密鑰密怖碼算法的收叢信方和發(fā)信從方使用相同繡的密鑰，即頸加密密鑰和貼解密密鑰是稻相同或等價(jià)曉的。最著名把的對(duì)稱密碼旱算法為美國(guó)董的秩DES健算法及其各集種變形。對(duì)怪稱密碼算法肆的優(yōu)點(diǎn)是有嗎很強(qiáng)的保密刮強(qiáng)度和較快鼻的運(yùn)算速度嗎，但其密鑰毛必須通過屋安全的途徑壟傳送。因此犯，其密鑰管惑理成為系統(tǒng)辜安全的重要腦因素。著逗非對(duì)稱密鑰訴（公鑰）密瀉碼算法的收協(xié)信方和發(fā)信速方使用的密惱鑰互不相同自，而且?guī)缀跄豢赡軓募訂蚊苊荑€推導(dǎo)巴出解密密鑰退，這些特性覺使其成為實(shí)趕現(xiàn)數(shù)字簽名睡的最佳選擇憤。最著名也修是應(yīng)用最為寺廣泛的公鑰座密碼算法是銜RSA友算法。公鑰鬧密碼的優(yōu)點(diǎn)棚是可以適應(yīng)垃網(wǎng)絡(luò)的開放通性要求，且曠密鑰管理問惜題也較為簡(jiǎn)先單，尤其可坐方便的實(shí)現(xiàn)倍數(shù)字簽名和頂驗(yàn)證。任密碼技術(shù)用秘于網(wǎng)絡(luò)安全汁通常有二種得形式，即面磁向網(wǎng)絡(luò)或面怎向應(yīng)用服務(wù)遇。前者通常勇工作在網(wǎng)絡(luò)攻協(xié)議棧的網(wǎng)纏絡(luò)層或傳輸掌層，在網(wǎng)絡(luò)旱層上實(shí)現(xiàn)的逼加密技術(shù)對(duì)欺于網(wǎng)絡(luò)應(yīng)用佳層的用戶通子常是透明的狀。面向應(yīng)用器服務(wù)的加密傷技術(shù)發(fā)生在燦業(yè)務(wù)程序中果，通常用于畏解決特定應(yīng)四用相關(guān)的安獅全問題，典蹦型應(yīng)用有用層戶身份驗(yàn)證谷、交易信息扔的簽名驗(yàn)證謀和交易信息帖的加密等。洞虛擬專用網(wǎng)侍絡(luò)（托VPN鞏：輕Virtu鹿alPr熟ivate沾Netw符ork粒）技術(shù)就是還在網(wǎng)絡(luò)層通董過數(shù)據(jù)包封有裝技術(shù)和密習(xí)碼技術(shù)，使步數(shù)據(jù)包在公青共網(wǎng)絡(luò)中通盼過淚“肚加密管道徑”散傳播，從而腸在公共網(wǎng)絡(luò)陽中建立起安曲全的捧“追專用兆”奔網(wǎng)絡(luò)。利用稅VPN技術(shù)殺，企業(yè)只需因要租用本地健的數(shù)據(jù)專線妹，連接上本煤地的公眾信皂息網(wǎng)，各地汗的機(jī)構(gòu)就可叢以互相安全棚地傳遞信息招；另外，企須業(yè)還可以利御用公眾信息刮網(wǎng)的撥號(hào)接浮入設(shè)備，讓飯自己的用戶毛撥號(hào)到公眾孫信息網(wǎng)上，區(qū)就可以安全役地連接進(jìn)入邊企業(yè)網(wǎng)中。羊綜合利用網(wǎng)旋絡(luò)互聯(lián)的隧然道技術(shù)、數(shù)專據(jù)加密技術(shù)賀、網(wǎng)絡(luò)訪問內(nèi)控制技術(shù)，駐并通過適當(dāng)欣的密鑰管理淺機(jī)制，在公繭用的網(wǎng)絡(luò)基淚礎(chǔ)設(shè)施上建采立安全的虛燒擬專用網(wǎng)絡(luò)斑系統(tǒng)，實(shí)現(xiàn)曠完整的集成撕化的企業(yè)范葡圍驢VPN酸安全解決方更案。對(duì)于現(xiàn)城行的各種業(yè)套務(wù)網(wǎng)絡(luò)應(yīng)用乳系統(tǒng)，采用帥VPN腿技術(shù)可以在哀不影響現(xiàn)行姜業(yè)務(wù)系統(tǒng)正冊(cè)常運(yùn)行的前喜提下，極大輪地提高系統(tǒng)拼的安全性能暴，是一種較包為理想的基適礎(chǔ)解決方案烈。式當(dāng)今渠VPN水技術(shù)中對(duì)數(shù)脹據(jù)包的加解傳密一般應(yīng)用拘在網(wǎng)絡(luò)層（映對(duì)于筐TCP/I沃P輕網(wǎng)絡(luò)，發(fā)生末在險(xiǎn)IP泡層），從而拳既克服了傳崗統(tǒng)的鏈（線碌）路加密技靠術(shù)對(duì)通訊方缸式、傳輸介朗質(zhì)、傳輸協(xié)狗議依賴性高熊、適應(yīng)性差顫、無統(tǒng)一標(biāo)說準(zhǔn)等缺陷，第又避免了應(yīng)裙用層端-端闊加密管理復(fù)泛雜、互通性陜差、安裝和碼系統(tǒng)遷移困剩難等問題，誘使得信VPN叛技術(shù)具有節(jié)篩省成本、適范應(yīng)性好、標(biāo)宰準(zhǔn)化程度高妻、便于管理低、易于與其鉆它安全和系顆統(tǒng)管理技術(shù)豎融合等優(yōu)勢(shì)摩，成為目前五和今后企業(yè)茶安全網(wǎng)絡(luò)發(fā)傘展的趨勢(shì)。催描從應(yīng)用上看枯虛擬專網(wǎng)可劇以分為虛擬僻企業(yè)網(wǎng)和虛櫻擬專用撥號(hào)潔網(wǎng)絡(luò)（閣VPDN葉）。虛擬企幫業(yè)網(wǎng)主要是融使用專線上淺網(wǎng)的企業(yè)分接部、合作伙泳伴間的虛擬蟻專網(wǎng)；虛擬改專用撥號(hào)網(wǎng)絲絡(luò)是指使用兵撥號(hào)（歸PPP元撥號(hào)巨）上網(wǎng)的遠(yuǎn)塞程用戶與企蕩業(yè)網(wǎng)間的虛反擬專網(wǎng)。虛果擬專網(wǎng)的重巷點(diǎn)在于建立刻安全的數(shù)據(jù)堵通道，構(gòu)造淘這條安全通鑰道的協(xié)議應(yīng)膏該具備以下攝條件：夏勝保證數(shù)據(jù)的為真實(shí)性，通導(dǎo)信主機(jī)必須填是經(jīng)過授權(quán)湯的，要有抵扯抗地址假冒干（館IPSp恨oofin虎g跳）的能力。賭茅保證數(shù)據(jù)的勇完整性，接叼收到的數(shù)據(jù)毛必須與發(fā)送打時(shí)的一致，府要有抵抗不殖法分子纂改禿數(shù)據(jù)的能力絞。乘貼保證通道的揮機(jī)密性，提帆供強(qiáng)有力的抖加密手段，泊必須使偷聽便者不能破解置攔截到的通汗道數(shù)據(jù)。駛舌提供動(dòng)態(tài)密饑鑰交換功能援和集中安全速管理服務(wù)。掉坐提供安全防亭護(hù)措施和訪猾問控制，具耐有抵抗黑客肯通過怎VPN勇通道攻擊企宋業(yè)網(wǎng)絡(luò)的能生力，并且可母以對(duì)類VPN恢通道進(jìn)行訪懇問控制。茂目前建造虛追擬專網(wǎng)依據(jù)菊的主要國(guó)際攤標(biāo)準(zhǔn)有侄IPSec鏟、L2TP固、PPTP副、徒L2F似等。其中斗L2TP霜是虛擬專用扁撥號(hào)網(wǎng)絡(luò)協(xié)凝議，是棒IETF肉根據(jù)各廠家財(cái)協(xié)議（包括印微軟公司的美PPTP宋、蛾Cisco很的唯L2F膠）進(jìn)行起草煩，目前尚處折于草案階段勿。哥IPSec觸是由油IETF題正式定制的腥開放性展IP憐安全標(biāo)準(zhǔn)，灣是虛擬專網(wǎng)察的基礎(chǔ)，已散經(jīng)相當(dāng)成熟返可靠。嚼L2TP需協(xié)議草案中惱也規(guī)定它（蒜L2TP幼標(biāo)準(zhǔn)）必須立以磚IPSec愉為安全基礎(chǔ)愿。目前，采佳用唱IPSec沫標(biāo)準(zhǔn)的手VPN覆技術(shù)正在迅逐速走向成熟更，而且它正家處于興盛期行，因此在構(gòu)拴造臨VPN圾基礎(chǔ)設(shè)施時(shí)佳應(yīng)該首先考餓慮滿IPSec嬌標(biāo)準(zhǔn)。剪虛IPSec統(tǒng)網(wǎng)絡(luò)安全體呀系輸IPSec播(IPS佳ecuri馬ty)是I幼ETFI趴PSec工摟作組為了在弓IP層提供積通信安全而遙制訂的一套太協(xié)議標(biāo)準(zhǔn)，收IPSec俗的結(jié)構(gòu)文檔擦RFC24魚01定義了褲IPSec捐的基本結(jié)構(gòu)姿，所有具體妻的實(shí)施方案項(xiàng)均建立在它關(guān)的基礎(chǔ)之上醬。IPSe盲c包括安全墓協(xié)議部分和鞠密鑰協(xié)商部解分，安全協(xié)攏議部分定義疏了對(duì)通信的困各種保護(hù)方礙式；密鑰協(xié)遣商部分定義依了如何為安昨全協(xié)議協(xié)商礦保護(hù)參數(shù)，扔以及如何對(duì)謠通信實(shí)體的是身份進(jìn)行鑒規(guī)別。IET尼F的IPS悠ec工作組久已經(jīng)制定了攪12個(gè)RF志C，對(duì)IP量Sec的方遍方面面都進(jìn)涌行了定義，害其中，封裝效安全載荷（射ESP）機(jī)巴制為通信提釋供機(jī)密性、臉完整性保護(hù)逢；驗(yàn)證頭（負(fù)AH）機(jī)制麥為通信提供漫完整性保護(hù)輩，這兩種機(jī)裙制都能為通板信提供抗重芳放攻擊；I迅PSec使棵用Inte殖rnet密游鑰交換(I掠KE)協(xié)議霧實(shí)現(xiàn)安全協(xié)搬議的自動(dòng)安延全參數(shù)協(xié)商艦，可協(xié)商的亡安全參數(shù)包溜括數(shù)據(jù)加密廟及鑒別算法吵、加密及鑒磨別的密鑰、秧通信的保護(hù)忽模式（傳輸曾或隧道模式安）、密鑰的堂生存期等，頂這些安全參考數(shù)的總體稱狠之為安全關(guān)臟聯(lián)（SA）午。鞭為了實(shí)現(xiàn)V罵PN通信的常數(shù)據(jù)機(jī)密性挨和完整性，匙VPN產(chǎn)品獻(xiàn)大多使用I嫌PSec協(xié)該議的封裝安王全載荷（E逼SP）機(jī)制種。ESP機(jī)獸制通過將整系個(gè)IP包或總IP包的數(shù)頭據(jù)部分封裝觀到一個(gè)ES孟P載荷中，閑然后對(duì)此載種荷進(jìn)行相應(yīng)介的安全處理姜，如加密處癢理，鑒別處窄理等，實(shí)現(xiàn)秩對(duì)通信的機(jī)比密性或/和債完整性保護(hù)展。ESP在仙封裝載荷時(shí)剪有兩種封裝抽模式：一是無“繭隧道模式鑰”膛，另一是揉“竄傳輸模式石”村。隧道模式帳將整個(gè)IP穗分組封裝到輪ESP載荷畝中，傳輸模褲式是將IP史的數(shù)據(jù)部分榮封裝到ES脂P的載荷中淋。在傳輸模翅式中，IP供頭與上層協(xié)鹽議頭之間需翅插入一個(gè)特取殊的IPS底ec頭；而懶在隧道模式屑中，要保護(hù)塔的整個(gè)IP拆包都需封裝聯(lián)到另一個(gè)I稍P數(shù)據(jù)包里踏，同時(shí)在外緩部與內(nèi)部I禿P頭之間插副入一個(gè)IP樓Sec頭。外IPSec膽協(xié)議族使用燕IKE密鑰本交換協(xié)議來蹈進(jìn)行密鑰以情及其它安全也參數(shù)的協(xié)商漁，由RFC漸2409文港件描述的I揪KE協(xié)議是痕Oakle知y和安全密恩鑰交換機(jī)制課（SKEM摧E）協(xié)議的購一種混合，海它綜合了O早akley嶼和SKEM特E的優(yōu)點(diǎn)，禽使用了In版terne遷t安全關(guān)聯(lián)鏡與密鑰管理誦協(xié)議（IS晝AKMP）傍的語言，形獸成了自己獨(dú)決一無二的驗(yàn)撇證加密材料榮生成技術(shù)，摘以協(xié)商共享毯的安全策略闖。IKE通者過兩個(gè)階段靈的協(xié)商來完兩成安全關(guān)聯(lián)蝶（SA）的液建立，第一著階段，由I噸KE交換的竟發(fā)起方發(fā)起齡一個(gè)主模式鍋交換或野蠻額模式交換，科交換的結(jié)果陳是建立一個(gè)寇名為ISA記KMP建SA的安全寒關(guān)聯(lián)；第二慮階段可由通共信的任何一酷方發(fā)起一個(gè)辛快捷模式的善消息交換序岔列，完成用忍于保護(hù)通信撕數(shù)據(jù)的IP重SecS晚A的協(xié)商?；蔍KE在使鴿用預(yù)共享密酬鑰時(shí)，只能米將預(yù)共享密殿鑰建立在對(duì)繪方的IP地喂址之上，這喝是使用預(yù)共耀享密鑰時(shí)一幫個(gè)已被公認(rèn)歸的局限，解掉決這個(gè)問題齊的一個(gè)顯而趙易見的辦法莫是使用一種海建立在公開脹密鑰基礎(chǔ)（齡PKI）上阻的簽名/驗(yàn)暈證數(shù)據(jù)加密舉方法。公開席密鑰通常是摔從電子證書修中取得，I酒KE允許證翻書的交換，趣也允許從對(duì)密方那里索取瘦證書。目前垂使用最多也步最為常見的膜公開密鑰算光法是RSA批公開密鑰算議法。癢用冠SJW10揚(yáng)IP保密盒機(jī)構(gòu)建于VPN精系統(tǒng)漁經(jīng)國(guó)家商用莫密碼主管部晃門認(rèn)證的唉SJW10頁系列守VPN逢產(chǎn)品，由輕SJW10生貧高飄/在中委/賠低3檔緣IP咸保密機(jī)、日SJW10袍跡IP塌安全包和安桐全管理中心如組成，利用掉SJW10同系列貴VPN訊產(chǎn)品所構(gòu)成尊的典型林VPN式解決方案如粗圖建1.2緩所示。酒在圖消1.2內(nèi)中，慈保密機(jī)晌為負(fù)SJW10拍IP保密暖機(jī)恨，具有高速溜網(wǎng)絡(luò)傳輸數(shù)滑據(jù)加密/解巡密功能。保及密機(jī)以網(wǎng)橋晌方式接入本啦地局域網(wǎng)，蛾用于保護(hù)一浮個(gè)局網(wǎng)、或勢(shì)用于保護(hù)一催臺(tái)或幾臺(tái)服圓務(wù)器。保密淹機(jī)的安裝和耕運(yùn)行與應(yīng)用封軟件和主機(jī)井類型無關(guān)，猛安裝靈活便磁利，即插即褲用。匹安全包底是罰SJW10爺IP陪安全包，是悄客戶端甲VPN惠產(chǎn)品，它可免安裝于各種煉客戶端曉PC輝平臺(tái)及移動(dòng)萌設(shè)備平臺(tái)，執(zhí)支持各種版越本的競(jìng)U妖inx宅/視Linux占操作系統(tǒng)及蓬Micro別soft期Windo必ws草全線操作系摘統(tǒng)平臺(tái)，用僻以保護(hù)單臺(tái)仇主機(jī)設(shè)備，截或保護(hù)以該棕主機(jī)為網(wǎng)關(guān)藏的辦公室網(wǎng)濕絡(luò)環(huán)境。擔(dān)SJW10冤IP屈安全包由安野裝于上述操允作系統(tǒng)上的堂軟件包和硬尿件加密模塊懶（加密卡、倦IC卡或U礙SB加密棒金）組成，它食既可獨(dú)立部診署，構(gòu)成一銳個(gè)松散靈活哈的安全廣域陰網(wǎng)絡(luò)，也可寫以與后端的塑各類IP保斃密機(jī)及安全羞管理中心平廈臺(tái)配合使用辣，構(gòu)成一個(gè)粒完整的企業(yè)故級(jí)蘭IP-VP神N（鄙IP嘴虛擬專用網(wǎng)涼）解決方案虛。妙安全管理中稼心場(chǎng)是蝕SJW10柄VPN極環(huán)境中的管送理機(jī)構(gòu)，其雕主要功能包局括：為整個(gè)演VPN襯環(huán)境中的劑SJW10司設(shè)備簽發(fā)電耗子證書；遠(yuǎn)語程管理、配上置機(jī)VPN餡環(huán)境中的守SJW10明IP振保密機(jī)設(shè)備楊；接收未SJW10鞠IP鵝保密機(jī)的遠(yuǎn)害程注冊(cè)、上瞞傳日志并對(duì)筆日志進(jìn)行分丙類管理。爛由面SJW10威IP保密確機(jī)和安全包護(hù)構(gòu)建的VP往N網(wǎng)絡(luò)安全躬解決方案的序主要特點(diǎn)是殲：社整體安全性歡：同時(shí)提供售網(wǎng)絡(luò)安全訪仗問控制、數(shù)瓜據(jù)傳輸加密夠、節(jié)點(diǎn)認(rèn)證相、用戶認(rèn)證扒及安全審計(jì)裁功能，同時(shí)耕為應(yīng)用程序令提供密碼編濟(jì)程接口，和落應(yīng)用程序配塵合可實(shí)現(xiàn)對(duì)喊交易信息的泥簽名、認(rèn)證奏及存儲(chǔ)加密吉等功能，可像作為網(wǎng)絡(luò)系虛統(tǒng)整體安全涌解決方案的竿基礎(chǔ)框架。虜健壯性：I班P保密機(jī)內(nèi)卡置定制安全若操作系統(tǒng)，膜具有良好的汁自身安全性墓；荷透明性：現(xiàn)務(wù)有業(yè)務(wù)系統(tǒng)史和網(wǎng)絡(luò)結(jié)構(gòu)抓無須做任何障調(diào)整；蒜適應(yīng)性：能治很好適應(yīng)各醫(yī)種網(wǎng)絡(luò)結(jié)構(gòu)績(jī)和網(wǎng)絡(luò)路由滾協(xié)議；歐標(biāo)準(zhǔn)化：與侍國(guó)際標(biāo)準(zhǔn)I悔P釋sec仙接軌；裳可實(shí)施性：怒安裝、維護(hù)勝簡(jiǎn)單快速，娘可隨時(shí)進(jìn)行撫而不影響正孤常業(yè)務(wù)；總部主機(jī)總部主機(jī)保密機(jī)保密機(jī)……路由器……路由器廣域網(wǎng)廣域網(wǎng)DDN/FR/X.25/ISDN/Internet…主機(jī)路由器主機(jī)路由器保密機(jī)工作站分支機(jī)構(gòu)遠(yuǎn)程撥號(hào)遠(yuǎn)程撥號(hào)ModemModem移動(dòng)用戶（安全包移動(dòng)用戶（安全包+USB密碼設(shè)備）定點(diǎn)用戶定點(diǎn)用戶（安全包+密碼設(shè)備）圖圖1.2VPN安全整體解決方案招青鳥環(huán)宇V淹PN設(shè)備侍SJW10梢IP保密種機(jī)鎮(zhèn)SJW10黨IP踐保密機(jī)技術(shù)奸說明固硬件平臺(tái)及暫主要功能旱SJW10弊IP灶保密機(jī)是具迎有高可靠、椅高穩(wěn)定性的粥網(wǎng)絡(luò)安全設(shè)例備，內(nèi)置柿性能穩(wěn)定、莊支持連續(xù)運(yùn)輔轉(zhuǎn)的工控標(biāo)串準(zhǔn)硬件和脊經(jīng)國(guó)家密碼菌管理機(jī)構(gòu)認(rèn)貢證的密碼模融塊，含有2椒奪5個(gè)10扯/100M衡自適應(yīng)的以館太網(wǎng)絡(luò)接口扒，?？煞奖愕匾圆【W(wǎng)橋方式接箭入各種拓?fù)淙附Y(jié)構(gòu)的以太財(cái)網(wǎng)絡(luò)線路之昆中崇。施采用穩(wěn)定可怖靠的電子存練儲(chǔ)設(shè)備作為久系統(tǒng)的主存匪儲(chǔ)介質(zhì)，所流有系統(tǒng)軟件袋固化在繡DOC（D急iskOn鍬Chip）客芯片中，避煤免了由于易蠢損壞的磁盤豆介質(zhì)和讀寫表磁盤時(shí)的機(jī)墳械操作給系努統(tǒng)運(yùn)行帶來齡的穩(wěn)定性隱避患顫，采用加密荒存貯IC卡絕進(jìn)行用戶身豆份認(rèn)證和電指子證書的管屬理。敲保密機(jī)使用壞定制安全操敏作系統(tǒng)，操絹?zhàn)飨到y(tǒng)的壓妹縮鏡像和系豎統(tǒng)配置文件脈存放在電子枕盤中，幻采用先進(jìn)的豆內(nèi)存文件系獵統(tǒng)技術(shù)，使續(xù)系統(tǒng)運(yùn)行時(shí)疑所有的文件躺操作都在內(nèi)侵存中完成，瞇既大大提高獵的運(yùn)行效率雁，又避免頻苦繁讀寫電子磁存儲(chǔ)設(shè)備對(duì)坐其使用壽命合造成的影響槐。真用戶可以通奔過串口或通兆過網(wǎng)絡(luò)接口貓，利用疲Windo粒ws仁風(fēng)格的控制釋臺(tái)界面對(duì)保義密機(jī)進(jìn)行本渴地或遠(yuǎn)程的雅設(shè)置和管理匠。紐IP如保密機(jī)的主光要安全功能寨包括：算IP寧報(bào)文加/解完密功能，有環(huán)選擇地對(duì)流式經(jīng)保密機(jī)的謹(jǐn)IP戰(zhàn)報(bào)文實(shí)施應(yīng)稿用透明加熱密解密操作材并進(jìn)行完整淋性認(rèn)證；肌VPN率環(huán)境中的節(jié)攻點(diǎn)身份認(rèn)證姻功能，防止貼非法設(shè)備假茫冒通訊；麗密碼服務(wù)網(wǎng)澇絡(luò)調(diào)用功能概，為其它主袍機(jī)提供密碼斷服務(wù)調(diào)用接作口，包括分過組加密/解卷密，公鑰對(duì)邀生成，簽名根/驗(yàn)證，判MAC右生成/驗(yàn)證蓄等；盼分布式密鑰瞧協(xié)商與預(yù)共昨享密鑰共存臣，密鑰管理聯(lián)便捷、適用坡；李網(wǎng)絡(luò)安全審煮計(jì)功能，記顆錄網(wǎng)絡(luò)傳輸造情況、保密塘機(jī)的關(guān)鍵操歪作，以備查土詢、分析之舞用；眨保密機(jī)之間皇具有雙機(jī)（執(zhí)或多機(jī)）互賽為備份的功也能，互為備桂份的保密堪機(jī)之間能夠領(lǐng)實(shí)時(shí)地進(jìn)行蔑密碼同步，本保證網(wǎng)絡(luò)密目碼通訊的暢緒通；拼軟件系統(tǒng)及糞網(wǎng)絡(luò)位置殺保密機(jī)軟件紀(jì)系統(tǒng)以定制讀安全操作系陵統(tǒng)為基礎(chǔ)，攻整個(gè)密碼機(jī)凈的軟件系統(tǒng)合可分為管理策界面層、用淹戶命令層、撈應(yīng)用編程接凡口層和核心擁層（包括：歲網(wǎng)橋轉(zhuǎn)發(fā)、葛協(xié)議分析和為設(shè)備驅(qū)動(dòng)）容4個(gè)層次，告其軟件模塊否結(jié)構(gòu)如圖脖2.1輔所示。幟圖2竊.1蛛保密機(jī)吳軟件模塊結(jié)祝構(gòu)隨保密機(jī)軟件姻系統(tǒng)的核心鮮是協(xié)議分析械模塊，它完終成對(duì)網(wǎng)絡(luò)數(shù)枯據(jù)包的協(xié)議做解析，根據(jù)何系統(tǒng)定義的昌各項(xiàng)安全策傾略對(duì)數(shù)據(jù)包康進(jìn)行相應(yīng)的改處理，即：蝦根據(jù)加密規(guī)剖則對(duì)流經(jīng)?？姑軝C(jī)的IP惜包進(jìn)行密碼址處理；根據(jù)懸審計(jì)策略的郵定義對(duì)網(wǎng)絡(luò)昨數(shù)據(jù)進(jìn)行登齊記。請(qǐng)一般情況下碎，在多個(gè)局枝網(wǎng)（內(nèi)網(wǎng)）市通過廣域網(wǎng)轟絡(luò)（外網(wǎng)）傭互聯(lián)時(shí)，必IP拾保密機(jī)用于剃保護(hù)各個(gè)局耽域網(wǎng)絡(luò)，對(duì)咳出入局網(wǎng)的腥所有信息實(shí)夢(mèng)施密碼保護(hù)管和網(wǎng)絡(luò)訪問柏控制。此時(shí)濫，保密機(jī)以窄網(wǎng)橋方式接驕入在內(nèi)部局予網(wǎng)與外網(wǎng)路時(shí)由器（廣域塌網(wǎng)路由器）域之間，如圖原2.2所示悅。主機(jī)主機(jī)路由器保密機(jī)交換機(jī)內(nèi)部網(wǎng)絡(luò)圈圖鋼2.法2IP保規(guī)密機(jī)在網(wǎng)絡(luò)緊中的位置浪實(shí)際上，保麥密機(jī)可以安冤放在以太網(wǎng)校絡(luò)線路的任繁何位置，用舞戶需要保護(hù)邪哪一段網(wǎng)絡(luò)期，保密機(jī)就?？梢苑胖迷谙夁@個(gè)網(wǎng)絡(luò)的鋒出口處，這裙個(gè)網(wǎng)絡(luò)可能恥是由若干路辨由器連接的寬一個(gè)局部網(wǎng)掘絡(luò)（如：建薪筑物內(nèi)、園肆區(qū)內(nèi)）；也班可能是由集鋸線器（HU瘋B/交換機(jī)賊）連接起來辮的幾臺(tái)主機(jī)輸；也可能是墾就是一臺(tái)服皮務(wù)器。欲功能指標(biāo)及勢(shì)配置說明密碼機(jī)制穩(wěn)IP數(shù)據(jù)加利密/解密及女報(bào)文認(rèn)證扣保密機(jī)截獲探網(wǎng)絡(luò)上流經(jīng)捐本機(jī)的IP灰數(shù)據(jù)包，根套據(jù)加密規(guī)則德對(duì)其進(jìn)行密梅碼處理，在僻進(jìn)行報(bào)文加灶/解密的同野時(shí)對(duì)報(bào)文數(shù)認(rèn)據(jù)進(jìn)行消息碧認(rèn)證碼運(yùn)算惠，對(duì)所傳輸蔬的報(bào)文進(jìn)行右完整性認(rèn)證潤(rùn)。瑞支持多種型娛號(hào)的加密卡搖，支持多種元加密算法的敢混合使用根為了滿足用互戶對(duì)密碼功今能的需求，致保密機(jī)誦同時(shí)支持多休種型號(hào)的加導(dǎo)密卡設(shè)備，蔬支持多種加葵密算法的混她合使用，對(duì)篇用戶提供的場(chǎng)新的加密?；髩K可以做到斬加載即可用臟。印為用戶主機(jī)革提供網(wǎng)絡(luò)密夜碼調(diào)用，用稿戶可以通過括調(diào)用程SJW10決IP折保密機(jī)提供驚的密碼服務(wù)瘦建立自己的紫安全應(yīng)用系匹統(tǒng)。穴支持急PKI獵機(jī)制的分布猾式福密鑰自動(dòng)協(xié)儲(chǔ)商誼，同時(shí)支持相預(yù)共享對(duì)稱寧密鑰管理。仗密鑰管理是德VPN白系統(tǒng)中核心包關(guān)鍵部分，宣PKI仙機(jī)制利用電耀子證書進(jìn)行宗電子通信的濃簽名、認(rèn)證提和加密傳送林，通過鍛PKI搬機(jī)制用戶可撐以把密鑰管家理分布到各偽個(gè)密碼機(jī)上盒，使需要進(jìn)藝行密碼通訊平的雙方自行獲協(xié)商出通訊價(jià)加密密鑰，虛極大地方便盞VPN派系統(tǒng)的密鑰疫管理。薯對(duì)稱密碼算弓法密鑰長(zhǎng)度脹為128位枯，非對(duì)稱密頌碼算法密鑰寶長(zhǎng)度為10伶24位。安全機(jī)制想網(wǎng)絡(luò)節(jié)點(diǎn)認(rèn)山證恩保密機(jī)在進(jìn)擋行密碼通信詢前需要進(jìn)行姨節(jié)點(diǎn)身份認(rèn)固證，身份認(rèn)放證基于安全扁管理中心簽殿發(fā)的電子證仍書，只有當(dāng)粥網(wǎng)絡(luò)節(jié)點(diǎn)認(rèn)究證合法時(shí)，意保密機(jī)才可蹈以進(jìn)行通信壓密鑰的協(xié)商感。認(rèn)網(wǎng)絡(luò)數(shù)據(jù)審秤計(jì)釀保密機(jī)截獲請(qǐng)網(wǎng)絡(luò)上流經(jīng)懼本機(jī)的IP駐數(shù)據(jù)包，根鮮據(jù)網(wǎng)絡(luò)審計(jì)枕事件的定義奧，對(duì)網(wǎng)絡(luò)數(shù)巡據(jù)進(jìn)行審計(jì)爐，以備后查圾。管理機(jī)制應(yīng)保密機(jī)支持蠢集中式遠(yuǎn)程聯(lián)管理，網(wǎng)絡(luò)脾安全管理員血可以在安全違管理中心對(duì)閃整個(gè)VPN港環(huán)境中的密劫碼設(shè)備進(jìn)行辰及時(shí)的統(tǒng)一洗管理，既方式便了密碼機(jī)糕的管理工作尤，又提高了叮管理工作的至效率。將保密機(jī)進(jìn)行魯身份認(rèn)證所濱使用的電子管證書可以由翁用戶自行簽嚇發(fā)，也可能娃是由第三方媽權(quán)威機(jī)構(gòu)簽迷發(fā)，僅SJW10喝IP蠶保密機(jī)支持腹第三方苦CA謝機(jī)構(gòu)簽發(fā)的扎符合X.5顛09標(biāo)準(zhǔn)的窩電子證書，費(fèi)支持第三方丟管理中心的茂遠(yuǎn)程管理。網(wǎng)絡(luò)適應(yīng)性釋密碼機(jī)采用奸網(wǎng)橋轉(zhuǎn)發(fā)機(jī)療制，原理如眠同交換機(jī)一孔樣，能廣泛御適應(yīng)各種以參太網(wǎng)絡(luò)結(jié)構(gòu)荷，保密機(jī)的囑密碼處理發(fā)隔生在IP層勉，與網(wǎng)絡(luò)應(yīng)插用系統(tǒng)無關(guān)赤，保密機(jī)的閉接入與原網(wǎng)王絡(luò)物理和應(yīng)步用系統(tǒng)完全襯相容。境保密機(jī)有2琴、3、4、各5多個(gè)網(wǎng)絡(luò)盟接口的配置塑形式，網(wǎng)絡(luò)洲接入靈活、末便捷，能適墾應(yīng)各種網(wǎng)絡(luò)腦拓?fù)浣Y(jié)構(gòu)，爽包括雙路由尋器、雙交換減機(jī)交叉相連孩的網(wǎng)絡(luò)冗余仗設(shè)計(jì)，支持爽各種先進(jìn)的辰路由協(xié)議和對(duì)網(wǎng)絡(luò)管理協(xié)趟議。膏支持哈802.1莖Q針和謎ISL悔封裝的爛VLAN聚結(jié)構(gòu)控隨著安全意補(bǔ)識(shí)的不斷提粉增強(qiáng)，在局怒域網(wǎng)絡(luò)內(nèi)部推劃分隸“植虛擬局域網(wǎng)稿絡(luò)VLAN劃”亮已成為提高穗局域網(wǎng)內(nèi)部沈安全性的常掘用手段。在撥內(nèi)部網(wǎng)絡(luò)劃牌分了VLA根N的網(wǎng)絡(luò)系惠統(tǒng)中，將采糖用802.銷1Q或IS撒L協(xié)議封裝島VLAN協(xié)蚊議，保密機(jī)皆支持上述專殼用網(wǎng)絡(luò)協(xié)議侍確保網(wǎng)絡(luò)暢霜通。冤支持動(dòng)態(tài)I購P接入方式盛在例SJW10皮IP否客戶端沒有剝固定IP地盯址的應(yīng)用環(huán)卻境中，客戶橋端可通過撥撐號(hào)接入索ISP/N禾SP獲得動(dòng)榴態(tài)IP地址貓，保密機(jī)支絲持動(dòng)態(tài)IP島客戶端的安尤全隧道建立杠請(qǐng)求，當(dāng)身薯份認(rèn)證合法詠后，保密機(jī)班將與客戶端乒建立安全隧貢道進(jìn)行密碼慎通信，從而楚極大地增強(qiáng)講了保密機(jī)的伙實(shí)用性。應(yīng)用可靠性箏無硬盤結(jié)構(gòu)忌，系統(tǒng)性能獅更加穩(wěn)定趁保密機(jī)系統(tǒng)菜在網(wǎng)絡(luò)中與朗路由器和交控?fù)Q機(jī)協(xié)同工尼作，處于不沙停機(jī)工作狀衛(wèi)態(tài)。鼻SJW10托IP肌保密機(jī)通過晌采用可靠的堆硬件、關(guān)鍵蜘部件冗余備裂份、以FL剖ASH芯片凍作為存儲(chǔ)設(shè)纏備等技術(shù)，慕使系統(tǒng)具有旬良好的可靠熱性。劃具有配置文閃件的備份、轉(zhuǎn)雙機(jī)主從備巴份及多機(jī)互鴉為備份功能巴保密機(jī)設(shè)計(jì)享了各種備份扁功能，包括伴文件備份、料機(jī)器主從備彎份和多機(jī)互潔為備份，以滲提高保密機(jī)醋系統(tǒng)運(yùn)行的香高可靠性和姑高穩(wěn)定性。硬件配置歐網(wǎng)絡(luò)接口數(shù)譽(yù)量自2共5個(gè)10/禾100Mb窗psRJ購-45皮以太網(wǎng)接口儲(chǔ)CONSO水LE口數(shù)量培寸1個(gè)橡RS-23涂2玩串行口，速匯率3840性0bps爭(zhēng)電氣特性憤嶼緞180V堤~等260V魯/度50Hz斬/洽250W臭機(jī)箱尺寸爸鵲美1U/2叫U/4U網(wǎng)標(biāo)準(zhǔn)機(jī)箱技術(shù)指標(biāo)際適用通信環(huán)資境恩基于番TCP/I拍P耀協(xié)議的網(wǎng)絡(luò)芬環(huán)境蟻明文通信速屬率漸于100M愉bps皮內(nèi)/基工10Mb竹ps躲加密通信速作率慘20贏M沉bps演鐮/致局10Mbp李s跪陣/夠5痛Mbps壩環(huán)境條件址敗巾運(yùn)行溫度盒比0饅60曠C釋相對(duì)濕度羅父5痰95%駁平均無故障庸時(shí)間麻300擴(kuò)00小時(shí)漁系統(tǒng)保密性汗過國(guó)桶家密碼管理賄委員會(huì)鑒定雞通過，國(guó)密練證第005滋3號(hào)炊系統(tǒng)安全性玩虎公請(qǐng)安部測(cè)試通善過，銷售許鴿可證號(hào)XK梢C3306警8人機(jī)界面鍋提供本地串問口和網(wǎng)絡(luò)接雅口對(duì)保密機(jī)蛙進(jìn)行配置管剪理佛提供圖形配雖置界面和命商令行控制方言式剛命令行方式滑符合UNI秤X命令風(fēng)格脂圖形界面符兵合Wind槐ows界面莊風(fēng)格，如圖波2.3所示饒：圖2.3保密機(jī)控制界面圖2.3保密機(jī)控制界面涂SJW10拴IP柔安全包技術(shù)荒說明概述杜IP日安全包由操評(píng)作系統(tǒng)外掛兄式軟件包和棗硬件加密設(shè)痛備（加密卡菠、繞USB俊加密棒或智除能嫩IC勢(shì)卡加密設(shè)備甲）所組成。鎮(zhèn)軟件包分為館應(yīng)用軟件和宮操作系統(tǒng)核眉心軟件，核膚心軟件是可離嵌入相應(yīng)操紡作系統(tǒng)核心貓的汽IP漁層墊片程序圣和加密設(shè)備論驅(qū)動(dòng)程序。吃IP斗安全包適用嶄的操作系統(tǒng)循范圍為基于讓Intel紋平臺(tái)各種版筍本的賴Unix觸、場(chǎng)Linux懸及弊Windo搏ws’9x若/NT/2姥000詢，基本囊括災(zāi)了目前流行以的客戶端操置作系統(tǒng)平臺(tái)割。IP安全孟包作為IP祖保密機(jī)的客疤戶端密碼設(shè)毒備，特別適娘用于需要建鐵立安全通信失隧道的移動(dòng)鎮(zhèn)辦公用戶，謎和布局分散源且數(shù)量較多中的網(wǎng)絡(luò)端接捎系統(tǒng)（例如蒸：銀行的各度個(gè)儲(chǔ)蓄所）框。葡系統(tǒng)總體結(jié)暑構(gòu)穗適用于不同谷操作系統(tǒng)平義臺(tái)的懶IP發(fā)安全包在總希體結(jié)構(gòu)上大籠同小異，現(xiàn)鐮以三Windo默ws競(jìng)平臺(tái)安全包亭為例加以說策明。田整個(gè)系統(tǒng)分緩為四個(gè)程序頌部分：?jiǎn)?dòng)柴程序、管理蛾程序、墊片劣程序、加解唇密程序。其涂中的墊片程死序和加解密構(gòu)程序以核心娃態(tài)方式運(yùn)行拾，它們?cè)跐齏INDO竊WS打啟動(dòng)時(shí)被裝予載，而啟動(dòng)膠程序則在凈Windo耍ws領(lǐng)初始化完畢鼓之后被裝載信，由它來設(shè)欺置程序的一礦些初始化狀腥態(tài)并啟動(dòng)整巾個(gè)系統(tǒng)的運(yùn)纏行。管理程感序只在需要寨改變系統(tǒng)設(shè)朗置，或是更別改訪問控制絹或密鑰時(shí)才稱運(yùn)行。它們士的結(jié)構(gòu)如圖扎2.4磚所示：IPIP墊片Ndis訪問控制數(shù)據(jù)加解密特殊IP&TCP端口表訪問控制表二級(jí)密鑰表網(wǎng)卡控制狀態(tài)缺省控制模式網(wǎng)絡(luò)密鑰一級(jí)密鑰sndkey.dat用戶界面啟動(dòng)actrl.dat基本設(shè)置加解密程序Encrypt.vxd墊片程序Ndisshim.vxd啟動(dòng)程序Nascstar.exe叼高鐵撞愧圖臣2.4糧：WIND迫OWS匆奧IP安全包功能特點(diǎn)管IP脊安全包可以笑獨(dú)立應(yīng)用，亭也可作為下服端與上端治IP走保密機(jī)配合赤使用，主要漲功能包括：樸在Win9堪5/98/飯NT/20汽00及UN類IX、Li蔽nux等系圾統(tǒng)上提供訪爺問控制、身齒份認(rèn)證和加咽密通信功能底；信支持多種加追密算法的混禾合使用，可脂以方便地實(shí)岡現(xiàn)與用戶自衫己的加密模籮塊和密碼管移理模塊的掛證接；固支持TCP尸/IP協(xié)議旗族，對(duì)其它母協(xié)議可選支護(hù)持；航基于主機(jī)地戲址或子網(wǎng)地旱址的訪問控蠟制，防止數(shù)吉據(jù)的非授權(quán)塑訪問；管應(yīng)用透明，背使得網(wǎng)絡(luò)中蚊原有的各種荒應(yīng)用程序無輔需改變就可墨以實(shí)現(xiàn)加密住傳輸；療與網(wǎng)絡(luò)適配睜器無關(guān)，支達(dá)持各種局域加網(wǎng)適配器（姓如：Int嬸el網(wǎng)卡、質(zhì)3COM網(wǎng)喇卡，等）、快廣域網(wǎng)適配蜜器（如：X雅25卡）和食撥號(hào)網(wǎng)絡(luò)適遍配器（如：弱RS-23孩2接口、P喚PPoE邏糕輯卡，等）財(cái)；劃支持對(duì)配置布多塊網(wǎng)絡(luò)適父配器系統(tǒng)的喚靈活控制，賞用戶可根據(jù)花實(shí)際通信狀稍況選定加密析通信的網(wǎng)絡(luò)襖設(shè)備；傅可以對(duì)特殊啞主機(jī)的某些義TCP林端口區(qū)別處感理；虛界面美觀、頑管理方便。剝SJW1塑0音安全管理中灣心概述露SJW10忙安全管理中支心是青鳥環(huán)對(duì)宇壓SJW10戶IP旨保密機(jī)系列躁產(chǎn)品的重要釋組成部分，帆它和收SJW10赴IP槐保密機(jī)、耳SJW10尊IP暴安全包一起匪，構(gòu)成一個(gè)勝完整的瓜VPN指產(chǎn)品體系。鄙青鳥環(huán)宇S阿JW10啊IP枕保密機(jī)的密僵鑰管理體制檔采用了基于柔公開密鑰密唉碼體制貪（六PKI）曲體系結(jié)構(gòu)的之“太集中認(rèn)證，出分布協(xié)商碑”兔的密鑰管理粥方案，自PKI體制塑要求證書和茄密鑰在產(chǎn)生智和分發(fā)過程校中需要有一貫個(gè)頸“遲權(quán)威也”獄機(jī)構(gòu)對(duì)其進(jìn)笛行合法性保譜證，這個(gè)權(quán)貍威機(jī)構(gòu)稱之妄為Cert貴ifica篇teAu免thori助ty(CA童)?；脑诶每蔛JW10止IP來保密機(jī)構(gòu)成礎(chǔ)的一個(gè)逐VPN引網(wǎng)絡(luò)應(yīng)用環(huán)剩境中，由辨SJW10傲安全管理中鼻心（SMC柄）完成簡(jiǎn)明涼的雀CA曬認(rèn)證中心的逃功能。鍛作為整個(gè)V績(jī)PN產(chǎn)品系糊列的管理和抱控制中心，施SMC把的功能職責(zé)謀主要包括：證書管理銅SJW10協(xié)IP偉保密機(jī)和安稼全包在使用為時(shí)必須擁有貌一個(gè)合法證休書，用于通構(gòu)訊雙方的節(jié)郵點(diǎn)認(rèn)證和通機(jī)訊密鑰協(xié)商茂。撤SMC呆將起到一個(gè)壓內(nèi)部稼CA勸中心的作用繁，接受認(rèn)證霧申請(qǐng)、審查雨申請(qǐng)人的資兵格、生成并棵發(fā)放電子數(shù)是字證書，完佩成證書生成投、發(fā)放、廢彎棄、重用、墻查詢等管理縮工作。憑保密機(jī)/安必全包配置維斗護(hù)呆擁有同一個(gè)示SMC娃簽發(fā)的證書搞的所有保密己機(jī)/安全包趁構(gòu)成一個(gè)安隸全應(yīng)用域，您SMC盡對(duì)該應(yīng)用域許中所有保密凍機(jī)/安全包狹進(jìn)行分類管斷理并對(duì)配置雨情況進(jìn)行列憲表查詢，負(fù)肯責(zé)接受各保乎密機(jī)/安全堅(jiān)包的登記注尿冊(cè)并對(duì)分布懲在各地的保誓密機(jī)實(shí)施遠(yuǎn)桑程配置、管算理，保密機(jī)侮/安全包的矛最新配置信舟息可通過在蜜線注冊(cè)匯總臟到蛾SMC寒中。帆保密機(jī)/安豬全包日志維婚護(hù)薯應(yīng)用域中各確保密機(jī)/安秩全包的審計(jì)造日志可以本稻地存放，也掘可以通過網(wǎng)勤絡(luò)匯集存放度在該應(yīng)用域枝的茶SMC沫中。當(dāng)日志甚文件選擇存亞放在艘SMC馬時(shí)，組SMC永可對(duì)這些日尤志實(shí)行集中糊管理。碧SMC謹(jǐn)簽發(fā)的證書膚具有三種介淋質(zhì)實(shí)體形式逼，分別為：痛IC爸卡片形式、聯(lián)USB拆棒形式和3民吋軟盤形式旱。保密機(jī)獲末得自己的證角書是通過讀回取存放證書們的年IC終卡，證書讀楚取成功后，撕保密機(jī)將證作書保存在本剛機(jī)中，以后各每次需要使形用證書時(shí)，伍不用再讀取羞IC闖卡，除非要曾更換新的證冠書。堵當(dāng)一個(gè)機(jī)構(gòu)鉤網(wǎng)絡(luò)中的保湖密機(jī)較多或群者它的分支敗機(jī)構(gòu)分布比籃較分散時(shí)，治為了便于證土?xí)墓芾?，凱SMC脾不將由其生佛成的電子證陸書制作成證裁書實(shí)體，而溜是將證書文府本導(dǎo)出，分下發(fā)到下級(jí)部份門或它的分迅支機(jī)構(gòu)。各殘分支機(jī)構(gòu)使侵用證書托管和理中心接收糧由學(xué)SMC啄簽發(fā)的電子妹證書文本，閉并負(fù)責(zé)發(fā)布叉證書實(shí)體。憲這樣，當(dāng)存盾有證書的物碰理載體損壞策時(shí)，不用到強(qiáng)它上級(jí)部門志的橡SMC貪去重新生成棍證書實(shí)體，拔只需在本地?zé)糇C書托管中硬心就可以重標(biāo)新生成，保薦證了證書可嫩以快速、便數(shù)捷地到達(dá)用披戶手中。獲安全管理中磁心軟件的運(yùn)齊行環(huán)境為響Windo股wsNT環(huán)或元Windo逐ws20糟00播，捉其操作控制于界面符合W誓indow羽s風(fēng)格，當(dāng)界用戶啟動(dòng)安買全管理中心盒后，可以方呆便地利用界勢(shì)面提供的功彎能進(jìn)行工作篇，安全管理胃中心的控制傻界面如圖2懷.5所示：追密鑰管理方糠案嘉SJW10幻IP然保密機(jī)的密振鑰管理體制莊既肉采用了基于理公共密鑰粉PKI材體系結(jié)構(gòu)的贏“秘集中認(rèn)證，甲分布協(xié)商壩”籮的密鑰管理歇方案，音同時(shí)支持傳堡統(tǒng)的預(yù)共享仇對(duì)稱密鑰的過密鑰管理方信案。粉SJW10慰密鑰管理采女用一級(jí)密鑰饞、二級(jí)密鑰國(guó)和會(huì)話密鑰疲三級(jí)密鑰管父理方式，一憶級(jí)密鑰為非諸對(duì)稱密鑰，術(shù)用于保護(hù)二邪級(jí)密鑰的協(xié)歸商交換。一度級(jí)密鑰由安乎全管理中心氧負(fù)責(zé)生成，附通過加密I豆C卡或US槳B棒發(fā)放并的注入保密機(jī)詠。二級(jí)密鑰于用于加密傳直送會(huì)話密鑰選，需要通信棉的每對(duì)保密藏機(jī)（安全包披）之間具有影對(duì)稱的二級(jí)肢密鑰，二級(jí)捷密鑰受一級(jí)發(fā)密鑰保護(hù)由臘保密機(jī)自行么協(xié)商，或直融接由安全管數(shù)理員手工設(shè)遵置。會(huì)話密司鑰用于加密收傳送數(shù)據(jù)，饑系統(tǒng)為每個(gè)跡加密報(bào)文動(dòng)錦態(tài)產(chǎn)生不同煮的會(huì)話密鑰蹈，并由二級(jí)耐密鑰保護(hù)隨艱IP包經(jīng)網(wǎng)嶺絡(luò)傳輸。概由于每個(gè)矮I(xiàn)P須保密機(jī)（安沸全包）均具瞧有不同的一壓級(jí)密鑰和二漂級(jí)密鑰，具耽有良好的密舞鑰分割特性庸，因此當(dāng)一輸個(gè)保密機(jī)泄闖密時(shí)，只會(huì)竿影響該保密午機(jī)相關(guān)的保搞密通信，而餓不會(huì)危及整何個(gè)網(wǎng)絡(luò)系統(tǒng)斥。薯分布式密鑰表管理方案特臥別適合于網(wǎng)拿絡(luò)節(jié)點(diǎn)在位薦置和數(shù)量上寄均要求靈活愚多變的業(yè)務(wù)新網(wǎng)絡(luò)系統(tǒng)，欣如電子商務(wù)盟、網(wǎng)上銀行信、網(wǎng)上報(bào)稅觸等。文SJW10剖系列階VPN促產(chǎn)品的分布閉式密鑰管理啦方案以證書壘管理和認(rèn)證榨為核心，采倡用公開密鑰紐密碼體制，斷在網(wǎng)絡(luò)頓VPN濤應(yīng)用環(huán)境中龍?jiān)O(shè)立一個(gè)安由全管理中心襪（SMC）穴，完成騎CA紗認(rèn)證中心的且基本功能。墊任何擁有同定一個(gè)程SMC搭簽發(fā)的證書綠的保密機(jī)（娃安全包），裕都會(huì)被網(wǎng)絡(luò)零中其它的密索碼機(jī)認(rèn)為是匯可信任的；績(jī)?nèi)我鈨膳_(tái)經(jīng)敗認(rèn)證合法的犁密碼機(jī)之間煮可以通過出臨示證書來相地互確認(rèn)身份稼，然后通過盼非對(duì)稱加密而算法協(xié)商用槳于網(wǎng)絡(luò)數(shù)據(jù)去加密的二級(jí)濁密鑰。任何在一臺(tái)保密機(jī)驕（安全包）年節(jié)點(diǎn)，只要森獲得安全管扭理中心降（SMC）毯頒發(fā)的有效陰證書，即可董加入到安全淋的業(yè)務(wù)網(wǎng)絡(luò)立系統(tǒng)中，從嫁而為系統(tǒng)中接節(jié)點(diǎn)的靈活帝增減提供了趁方便的手段伐。談本方案在設(shè)咳計(jì)上基于挖PKI躬的體系結(jié)構(gòu)刑，其密鑰協(xié)扣商遵從店IKE(I仇ntern初etKe知yExc使hange拉)糟協(xié)議，在證四書格式設(shè)計(jì)符上則遵循惜ITU腫的習(xí)X誼.株509V寨3乘標(biāo)準(zhǔn)所定義陪的證書格式壁，所以本密竟鑰管理方案設(shè)具有較好的蔽可擴(kuò)展性。斷由于采用分割布協(xié)商式的荷密鑰管理模矮式，使得密含鑰的更換顯突得尤為方便至、簡(jiǎn)潔。密福鑰的更換可源以是定期的旱，由網(wǎng)絡(luò)安精全管理員根殊據(jù)具體需要宿定期、定時(shí)汁人工或自動(dòng)賀更換密鑰；腎也可以是不莫定期的，在傍網(wǎng)絡(luò)安全管密理員認(rèn)為必君要時(shí)人工啟揮動(dòng)更換密鑰臟；還可以是察開機(jī)更換方講式，即：在濟(jì)每次開機(jī)時(shí)召自動(dòng)更換通布信密鑰，這賞種方式一般燙用在IP安鴨全包建立安濱全通信隧道壓時(shí)。人工更毯換密鑰的操舍作非常直觀捕，在保密機(jī)普確認(rèn)了網(wǎng)絡(luò)慎安全管理員耕的身份后（具輸入正確的挽登錄口令）辯，只需選中看控制面板中塵的斗“練啟動(dòng)密鑰協(xié)葡商過程捏”簡(jiǎn)并點(diǎn)擊左邊潔“嶺啟動(dòng)企”撈按鈕，保密近機(jī)將自動(dòng)完侍成通訊密鑰奪的更換工作駁。駱典型應(yīng)用案禍例商某省銀行應(yīng)啦用栽SJW10襪構(gòu)建安全金百融業(yè)務(wù)網(wǎng)慣某省銀行金輔融業(yè)務(wù)網(wǎng)絡(luò)宴系統(tǒng)，在進(jìn)導(dǎo)行了金融業(yè)壩務(wù)數(shù)據(jù)集中愛的網(wǎng)絡(luò)改造耍后，省行和條各地市行之費(fèi)間通過骨干繳網(wǎng)相連，各洋地市行和業(yè)釋務(wù)網(wǎng)點(diǎn)通過捷當(dāng)?shù)仉娦挪砍痖T的網(wǎng)絡(luò)系狠統(tǒng)相連，構(gòu)加成了一個(gè)從步省行經(jīng)各地助市至各業(yè)務(wù)柏網(wǎng)點(diǎn)的三級(jí)稅網(wǎng)絡(luò)結(jié)構(gòu)?？瞎歉删W(wǎng)采用評(píng)網(wǎng)絡(luò)線路冗宏余技術(shù)，即儲(chǔ)：骨干網(wǎng)主粉線路由及DDN網(wǎng)專線網(wǎng)絡(luò)和候一個(gè)寬帶廣章域網(wǎng)絡(luò)組成萍，兩個(gè)網(wǎng)絡(luò)躲物理分離，市另設(shè)有一條特PSTN酒撥號(hào)線屬路作為骨干洪網(wǎng)主線路的涉?zhèn)浞菥€路。息解決這樣一丸個(gè)全省金融臟業(yè)務(wù)聯(lián)網(wǎng)的夏網(wǎng)絡(luò)系統(tǒng)安秧全，該省行這采用叼SJW10瞞IP碗保密機(jī)作為丈省行局網(wǎng)和漆各地市行局壟網(wǎng)的網(wǎng)絡(luò)安亞全設(shè)備，采系用素SJW10匹IP濾安全包（包毫含IC卡密偷碼設(shè)備）作柱為全省范圍想內(nèi)的網(wǎng)點(diǎn)安脹全設(shè)備，網(wǎng)芝絡(luò)安全方案檢如下：昏在省行網(wǎng)絡(luò)珠信息中心設(shè)租立染“莫安全管理中寇心奶”稀負(fù)責(zé)管理全訪省范圍內(nèi)的躲SJW10玩IP洗密碼設(shè)備，俗管理內(nèi)容包賴?yán)ǎ簽槿》斗秶鷥?nèi)的I負(fù)P保密機(jī)和胡IP安全包塞簽發(fā)電子證顛書，遠(yuǎn)程管受理、配置羽SJW10撕IP軟保密機(jī)；閃在各地市行出信息中心設(shè)揚(yáng)立僚“軟證書托管中亮心急”饒負(fù)責(zé)將綠“對(duì)安全管理中打心頸”掩簽發(fā)的本地凡SJW10痕IP菜密碼設(shè)備的光電子證書制因作成特定的掉證書卡；椒在省行和各凡地市行金融趴聯(lián)網(wǎng)的局網(wǎng)風(fēng)出口處安裝愧高檔信SJW10點(diǎn)IP騰保密機(jī)，由擊于網(wǎng)絡(luò)線路姥冗余設(shè)計(jì)，省高檔保密機(jī)毒的網(wǎng)絡(luò)接口罵標(biāo)準(zhǔn)配置為暑4網(wǎng)口；襯省行以及各經(jīng)地市行的多寧臺(tái)保密機(jī)之浙間互為備份仿，線路和網(wǎng)售絡(luò)數(shù)據(jù)可以拒實(shí)時(shí)動(dòng)態(tài)的闊進(jìn)行切換，更保證銀行金瘋?cè)跇I(yè)務(wù)的暢嬌通；絹在各金融業(yè)曠務(wù)網(wǎng)點(diǎn)的主纏機(jī)中（運(yùn)行插SCOU獅NIX刷）安裝南SJW10猾I(xiàn)P綿安全包，用證于進(jìn)行網(wǎng)點(diǎn)捧的身份認(rèn)證僑和網(wǎng)絡(luò)密碼屋通訊。籍該省銀行采蝶用VPN技貓術(shù)，應(yīng)用宿SJW10疲IP弓保密機(jī)和安裳全包，在公決共數(shù)據(jù)網(wǎng)上室建立了一個(gè)遍的省金融業(yè)途務(wù)網(wǎng)絡(luò)安全翅平臺(tái)。誓網(wǎng)絡(luò)結(jié)構(gòu)如處圖3.1所邊示。省行省行中心交換機(jī)中心交換機(jī)IP保密機(jī)4網(wǎng)口IP保密機(jī)IP保密機(jī)4網(wǎng)口IP保密機(jī)DDN/PSTNDDN寬帶網(wǎng)DDN/PSTNDDN寬帶網(wǎng)前臺(tái)網(wǎng)點(diǎn)前臺(tái)網(wǎng)點(diǎn)地市行2柜臺(tái)業(yè)務(wù)點(diǎn)+安全包地市行1柜臺(tái)業(yè)務(wù)點(diǎn)地市行2柜臺(tái)業(yè)務(wù)點(diǎn)+安全包地市行1柜臺(tái)業(yè)務(wù)點(diǎn)+安全包代表處地市行證書托管中心地市行證書托管中心圖3.1某省行全省數(shù)據(jù)集中網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖圖3.1某省行全省數(shù)據(jù)集中網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖才某市銀行應(yīng)依用光SJW10滴構(gòu)