基于SM2的安全接入解决方案.doc

基于SM2的安全接入解决方案一、 方案背景随着Internet技术的不断发展，近几年国内企事业单位的信息化建设得到了快速发展，如网上办公、电子政务、电子商务等应用都得到了快速推进和发展。越来越多的政府、企事业单位已经依托互联网组建了自己的网上办公系统和业务应用系统，从而使内部办公人员、合作伙伴等通过网络可以迅速地获取信息，使得远程办公和移动办公模式得以实现。目前通过Internet进行安全接入和组网一般采用IPSEC或SSL VPN技术，通过Internet来组建了自己的私有网络，实现了企业总部与分支机构、合作伙伴以及移动用户的安全互联。但随着密码技术和计算技术的发展，1024位RSA公钥密码算法正面临日益严重的安全威胁，为保障重要经济系统密码应用的安全。国密局已于2011年3月下发了关于做好公钥密码算法升级工作的通知（国密局字201150号），对公钥密码算法升级的有关工作做出了具体安排。按通知的要求，自2011年7月1日起，新投入运行并使用公钥密码的信息系统，应使用SM2算法；已投入运行的，应尽快进行系统升级，并使用SM2算法。因此，对于目前已经广泛应用的VPN安全网关系统，也提出了新的升级改造要求，需要能提供基于SM2的全新VPN解决方案。由于现阶段国内VPN产品使用的公钥密码算法主要是RSA，新的解决方案要求使用SM2椭圆曲线算法来替换RSA公钥密码算法。SM2算法相比RSA算法具有如下优势：签名速度和密钥对生成速度都远快于RSA；ECC算法的单位安全强度高于RSA算法，也就是说，要达到同样的安全强度，ECC算法所需的密钥长度远比RSA算法低；数据表明，ECC 256位（SM2采用的就是ECC 256位的一种）安全强度比RSA2048的还高，但运算速度要比RSA2048快的多。二、 安全需求分析根据政府、企事业单位等网络信息系统建设的需要，在实现总部与各级单位、分支机构网络安全互联及移动办公安全接入的同时，结合国家对相关网络通信协议及加密算法的要求，其主要安全接入需求如下所述。1. 应用系统的适应性与安全性需求远程接入网络需要承载的业务系统种类较多，且对于应用系统的实时性和可靠性有较高要求；网络应用需要基于B/S和C/S架构，业务模式较复杂；远程接入移动办公人员众多，且需要能同时支持PC、PAD、智能手机等多种终端接入。2. 网络通信协议及加密算法的安全性需求对网络数据及传输的安全性要求较高，数据加密的对称密码算法需使用国家密码管理局规定的SM1或SM4加密算法；摘要算法需要使用SHA1或SM3算法；用于证书认证的非对称密码算法需采用国家商密SM2算法，且CA系统需要支持国密局SM2数字证书规范。通信协议需要符合国密局制定的国家技术标准，即符合SSL VPN技术规范和IPSEC VPN技术规范3. 设备与用户的管理与安全性需求对所有网关设备和远程接入用户采用统一、严格的身份认证和集中管理；能实时监控设备及用户工作状态，并进行详细日志记录；整个远程接入系统安装方便、快捷，便于维护和管理。三、 解决方案根据政府、企事业单位分支机构网络互联及移动用户安全接入的实际需求，我们采用专门的VPN密码机产品提供基于SM2的VPN远程安全接入解决方案，解决其所面临的远程安全接入、传输保密、用户认证、网络安全防护、访问控制等问题，具体解决方案及网络拓扑结构图如下： 1、 在总部网络中心部署高端IPSEC/SSL VPN综合安全网关，作为中心VPN密码机安全接入网关。中心和分支VPN密码机都内置有硬件加密卡，支持SM1、SM2、SM3、SM4等国产加密算法，并符合国密局VPN技术规范。同时，通过VPN综合安全网关集成的防火墙功能可提供对内网的访问控制和网络安全防护。2、 各分支机构根据网络规模部署相应IPCEC VPN安全网关，作为分支VPN密码机安全接入网关。分支网关在连入互联网的同时会自动向中心VPN安全网关进行身份认证和VPN隧道协商。同时，分支网关还可以提供防火墙安全防护功能。3、 在总部部署CA服务器，用于为所有VPN网关和移动用户颁发SM2算法的证书，采用证书方式对VPN设备和用户进行身份认证，且CA符合国密局SM2数字证书规范。4、 移动办公用户在终端上安装IPSEC或SSL客户端进行安全接入，采用在USB Key上写入的SM2证书进行身份认证，且USB Key自带加密芯片，支持SM1、SM2、SM3、SM4国产加密算法。四、 应用案例某省电子政务外网为实现各级政务部门之间业务系统的网络贯通，需要为部分不具备专线接入政务外网的政务部门以及一些偏远地区提供安全接入。另一方面，众多政务部门出差人员或移动办公的人员也需要能方便的接入业务系统进行数据上报。根据此电子政务外网的安全接入需求，我们在省级中心部署了高端SJJ1209 IPSEC/SSL VPN综合安全网关，用于提供各级政务部门和移动办公人员安全接入，在各级政务部门部署相应中低端SJJ1209 IPSEC/SSL VPN综合安全网关接入省中心。同时，在省中心部署安全策略管理中心，便于对所有设备和用户进行集中监控、身份认证和通讯策略管理。另外，为保证通讯和数据传输的安全，VPN安全网关及客户端全部使用了SM1、SM2、SM3国产加密算法和国密VPN协议进行身份认证、加密和数据传输。通过采用基于SM1、SM2等国密算法的VPN安全接入解决方案，实现了某省电子政务外网业务网络系统的安全互联和移动办公用户的安全接入，达到了理想的应用效果。五、 商用密码产品清单SJJ1209 IPSec/SSL VPN综合安全网关SJJ1221 高速VPN安全网关SJK0801-B高性能64位PCI加密卡 （北京天融信科技有限公司）