基于国密算法安全接入方案

1. 项目背景

近年来，“棱镜门”等一系列信息安全事件的曝光引起国家高度重视，2014年，中央网安全和信息化领导小组宣告成立，信息化安全也随之提升到国家战略安全的高度。由设备、软件的“后门”和漏洞造成的泄密事件已严重威胁到我国的国家安全，信息化安全作为保障国家安全的战略核心组成，实现产业发展的独立自主、安全可控、预防人为的“后门”与漏洞泄密势在必行。

随着信息技术的快速发展和IT技术的广泛应用，政企越来越多的依赖于IT技术来支撑业务生产的正常运转，核信息安全是国家安全的重要组成部分。随之产生大量的数据，在数据传输和使用的过程，缺乏必要的技术手段，使大量敏感信息的安全性无法得到有效保障。中国《网络安全法》、《国家密码法》等标准法规的发布，对敏感数据保护提出更高的要求。密码作为保障信息安全的核心技术，在信息完整性和保密性等方面发挥着关键性的作用，有效防止了敏感信息泄露和业务中断，对维护核信息安全传输具有重要的意义。

2. 需求分析

2.1. 现有典型网络拓扑

2.2. 现状分析

较早前建设的网络环境，以经济、实用为主，并没有充分考虑数据全安等情况，已经完全不能满足现阶段网络安全的安全标准，例如以下几点：

1) 项目未使用国家密码算法，不能满足安全防护等级要求；

2) 远程用户、远程终端设备只使用了最原始用户名+密码及设备口令验证，而敏感数据更是在互联网上“疯狂的裸奔”，需要更是；

3) 传统的VPN设备互联/接入只使用简单的口令认证，而数据传输仅仅支持国际加密算法，数据安全有很大的风险性；

2.3. 需求分析

1) 接入用户/设备实现统一身份认证和安全访问控制保护措施；

2) 网络数据传输需采用国家商用密码算法对数据传输进行加密防护；

3) 记录用户的访问行为，形成完整的审计记录；

3. 解决方案

3.1. 概述

本方案使用国家密码算法建设全新的整套网络安全体系，在总公司部署具备国密型号的安全接入网关、结合国密算法和认证体系，服务于分公司/办事处、远程办公司用户、远程自助终端、信息采集系统的数据安全传输，实现平台的网络安全接入认证及数据传输机密性、完整性保护。

3.2. 方案拓扑

图3-2

3.3. 部署说明

3.3.1. 拓扑说明

如图3-2所示：

1. 总公司部署：在公司内部网络部署安全接入平台设备，可集群、双机热备方式等多种方式部署；

2. 分公司、办事处部署：可按业务数据量的需求，部署网络安全平台接入（终端模式运行）或安全接入终端，使整个分公司与总部之间的全部业务数据国密加密传输；

3. 远程有线用户、自助终端接入：在原有终端、用户设备前加入安全接入终端硬件设备，与总公司安全接入平台建立SM9加密通道；

4. 移动用户接入：移动用户一般使用智能手机、PAD等智能硬件，在智能设备内部使用TF密码卡或外接智能密码钥匙实现安全接入总公司；

5. 总公司边界防护设备将安全接入平台的业务连接端口TCP3000映射，提供给各分公司/办事处、远程用户、自助终端访问；

3.4. 实现功能

3.4.1. 网络安全接入认证

通过SM9标识密码和数字证书，实现数据中心平台网络接入的安全认证。

接入过程中，接入端使用SM9私钥或数字证书，对安全接入平台产生的随机挑战值进行签名验签，认证客户端身份。认证过程无用户名密码传递，杜绝弱口令、字典攻击、暴力破解等风险。

示意图如下：

3.4.2. 网络传输安全保护

与安全接入平台认证通过后，各分公司、远程用户及移动用户安全接入终端与总公司的安全接入平台建立SM9国密VPN协议安全网络传输通道，中间传输数据均经过SM3、SM4算法加密，保障数据机密性和完整性。

用户端与服务端的网络传输安全保护示例如下图所示:

3.4.3. 访问控制

平台对接入成功的用户需要进行用户访问控制管理，主要用于用户成功连接认证成功后，基于用户的身份和实际应用的访问控制安全管理。方便管理员根据用户接入的身份不同，控制访问相应的应用层的服务，从而实现更加灵活、细致和安全的访问控制管理。

主要从以下两点来实现访问控制安全：

1、能基于标识，如手机号码，来对认证成功的用户和用户组实现基于应用层的访问控制安全管理；能精确细致的控制每个接入用户的访问权限。

2、能基于应用来实现访问控制安全管理。基于应用的访问控制安全管理具有控制用户访问特定的单一IP地址或者多个IP地址的功能，同时还能控制用户访问特定的IP地址单一端口或者某个范围内的端口。

3.4.4. 用户审计功能

平台能记录用户的接入访问行为，在必要的时候对用户的访问行为进行审计。

3.5. 关键技术说明

• SM9国密VPN安全传输

本方案使用了SM9国密VPN协议，来实现专用网络加密传输。SM9国密VPN支持国密算法SM3/SM4/SM9，利用TCP或UDP的传输机制，对链路协议、IP数据、TCP会话、UDP报文的保护后传递。采用多框架密钥交换协议和基于标识的密码技术，结合网络封包截获和代理技术，实现远程访问用户的身份认证和远程数据的加密传输，让访问者更安全地远程访问远程内部资源。

SM9国密VPN通过简单易用的方法实现信息远程连通，采用实现协议“变换”技术，完全隐藏报文特征、防止被防火墙基于报文格式特征拦截；采用密码技术对远程用户身份做强制认证，有效保证了远程访问和远程数据传输的可鉴别性和安全性，同时SM9国密VPN安全通道方案针对二层、三层、四层数据提出解决安全问题，无需分配IP，无需开放某个IP或者网段给对端，支持基于端口、协议等多种访问控制和完善的访问日志记录，具有更高的安全性和可管理性。

• IBC标识密码

标识密码技术（IBC，Identity-Based Cryptograph）最早由RSA发明之一Adi Shamir在提出，其核心理念就是采用通讯双方的唯一标识作为公钥，不再申请和分发数字证书，大大减轻密钥管理成本。

我国十分重视标识密码的算法实现和应用研究，2008年IBC标识算法正式获得国家密码管理局颁发的商密算法型号：SM9(商密九号算法)。经过近10年的优化、验证，我国于2016年正式对外公开SM9算法标准。2017年到2018年期间，SM9数字签名算法、加密算法、密钥协商算法均成为ISO/IEC国际标准，标志着我国密码算法能力已经取得重要突破，获得国际认可。

本方案采用SM9标准算法实现身份认证和密钥协商协议，同时支持SM2算法，支持IEEE的EC-SRP5口令认证和密钥协商协议，并结合国密SM3、SM4算法实现数据传输加密和一致性保护。所以该方案可以适应各种场景的对应密钥的管理要求。为了兼容原有历史遗留系统，方案也支持RSA算法、AD域用户认证等机制。

和传统VPN机制不同，本方案支持标识密码SM9来实现设备和设备、客户端到设备的身份鉴别。在基于标识的密码系统中，每个实体具有一个标识。该标识可以是任何有意义的字符串。但和传统公钥系统最大的不同是，在基于标识的系统中，实体的标识本身就用作实体的公开密钥，这样系统就不再依赖证书和证书管理系统，从而极大地简化了密码管理系统的复杂性。在具体应用系统中，用户可直接使唯一标识（例如中资机构员工身份证号、手机号、电子邮件地址、工号等）作为公钥，无需交换证书。系统的易用性和安全性得到完美的结合。采用SM9技术构建虚拟专用网络有两个突出优势：

a）完全杜绝身份认证和密钥协商协议过程中的证书替换攻击（因无证书交换），攻击人无法发起中间人攻击。

b）可以灵活地设置针对用户的访问策略控制，无需在标识、证书、安全策略间进行相互映射，管理方便。

3.6. 产品介绍

3.6.1. 网络安全接入平台

该产品具备国家密码管理局安全认证，成功应用于电子政务外网安全接入及企业外网安全平台建设。

产品优势和特点如下：

• 基于应用层细粒度的的访问控制

采用4W访问控制机制，可以控制接入端设备在安全通道中访问的资源。4W可以细粒度地控制移动设备的位置(WHERE)、在什么时间(WHEN)、由谁(WHO)、可以访问的资源(WHAT)。

1、安全接入平台可支持的访问控制包括：

2、允许接入的用户标识；

3、内网服务器的IP地址；

4、内网服务器的端口号；

5、传输报文的协议类型；

6、允许接入的时间范围；

7、允许客户端接收的数据量；

8、允许客户端发送的数据量；

此外，系统还会在日志中记录用户所访问的服务资源和传输报文的数据量大小，便于对系统安全问题进行分析和审计。

由各种规则可组成详细的访问策略。可根据用户的组织结构、访问的时间、访问的目的地址和端口、协议而组成不同的访问控制策略。

• 详细日志审计

安全接入平台可以把基于每个用户对其能访问的IP、端口进行设置，并有详细的日志记录，可精确记录到每个链接。包括终端用户的接入标识、接入时间、接入地址、连接数、发送数据量大小、接收数据量大小等等。同时提供基于用户和服务的信息检索功能，从而方便管理员了解应用使用情况。 通过检索数据，管理员可以知道哪些用户使用远程接入的时间最多、哪些用户登录次数最多、哪些用户传输的数据最大、哪些应用被使用得最多等信息。

• 支持海量用户

可以支持海量用户的并发接入，并支持冗余和叠加，可适应于大规模的用户同时接入的应用。单台设备可支持高达上万用户接入，并可通过堆叠实现无限扩容。

支持压缩算法，提升传输效率，支持应用加速。

简单易用，应用透明。

• 兼容性

安全接入平台的VPN连接，无需改变用户使用习惯，支持各种TCP/IP应用。支持多种使用动态端口的应用协议，如FTP, TFTP, Oracle, SQL server等。这些特性使得安全接入平台能够最大程度的满足客户的应用需求。

• 网络无关性

支持在应用层建立安全通道，可以避免防火墙引起的复杂设置。这使得客户端可以适应各种复杂的网络环境。无论是局域网、宽带拨号、移动互联网等各种上网方式均可自由连接。即使客户端在防火墙后面，也可轻松建立连接。

• 支持DNS透传

可以将服务器端的DNS服务透传到客户端。这在一些使用内网DNS解析的应用可以延展到远程接入端。

• 支持SIP等多媒体应用

可以透明实现SIP/H323等多媒体协议的传输。可以实现VOIP、视频等多媒体应用。而且传输协议通过优化，可以实现部分视频应用加速。

• 丰富的客户端支持

3.6.2. 安全接入终端

安全接入终端是一款利用4G、WIFI、有线等联网方式来建立加密通道进行连接服务器的安全设备。配置完成以后，开机即可使用。同时安全接入终端采用国密的SM9加密技术，使用国密SSLVPN协议来进行连接到服务器，可以方便访问服务器端能访问的各种网络资源。

3.7. 方案优势

3.7.1. 安全合规

产品合规：本方案选用的VPN及密码产品均具备国家密码管理局安全认证，具备商用密码产品型号证书。

算法合规：密码算法全部采用国密算法，包括SM3、SM4、SM9算法。

方案合规：本方案满足等保三级网络及数据安全标准要求，满足国密应用三级安全要求。

3.7.2. 海量并发支持

SM9国密VPN是下一代的传输层安全技术，多框架密钥交换协议和基于标识的数据加密技术，同时结合网络封包截获和代理技术，实现远程访问远程数据的加密传输，让访问者更安全地远程访问企业内部资源, 这种加密代理技术使用户不需要真正地连接到企业服务器就可以访问后台应用和服务。

通过优化的SM9国密VPN协议和SM9算法实现快速的密钥协商和身份鉴别，可以支持服务器端单机上万客户端的并发接入。

3.7.3. 高扩展性

本方案产品均支持集群分布式部署，可根据数据量、用户量、并发数等进行按需扩展。

支持多种终端、多种形式的网络安全接入，包括PC端、移动端、硬件智能终端等，支持安全组网和上下级间的纵向级联组网。利用本方案可以随时根据业务访问需求调整策略而无需动整体的网络架构，具有高可扩展性。