青鳥環(huán)宇VPN系列產(chǎn)品技術(shù)白皮書v

VPN產(chǎn)品京大青鳥環(huán)宇科技股份有限公司20025月錄一章企業(yè)網(wǎng)絡(luò)系統(tǒng)信息安全問題 1企業(yè)（政府）網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀 1企業(yè)網(wǎng)絡(luò)面臨的威脅及安全需求 2網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù) 6IPSEC網(wǎng)絡(luò)安全體系 8用SJW10IP保密機(jī)構(gòu)建VPN系統(tǒng) 10二章青鳥環(huán)宇VPN設(shè)備SJW10IP保密機(jī) SJW10IP保密機(jī)技術(shù)說明 硬件平臺及主要功能 軟件系統(tǒng)及網(wǎng)絡(luò)位置 功能指標(biāo)及配置說明 SJW10IP安全包技術(shù)說明 概述 系統(tǒng)總體結(jié)構(gòu) 功能特點(diǎn) SJW10安全管理中心 概述 密鑰管理方案 三章典型應(yīng)用案例 某省銀行應(yīng)用SJW10構(gòu)建安全金融業(yè)務(wù)網(wǎng) 23某市銀行應(yīng)用SJW10構(gòu)建安全銀證聯(lián)網(wǎng)系統(tǒng) 25某省環(huán)保局應(yīng)用SJW10在INTERNET上構(gòu)建安全數(shù)字環(huán)保網(wǎng)絡(luò) 1.1、若干支機(jī)、數(shù)量等伙伴移遠(yuǎn)程撥號遠(yuǎn)程等類Internet來看則可三：撥號遠(yuǎn)程撥號又可過電話撥入訪服撥入供商如：ISP兩；遠(yuǎn)程支機(jī)過線或；伙伴客、供商過線或；該如下頁圖示。這運(yùn)既有傳客有于InternetWEBInternet益熟WEB逐步主TCP/IP協(xié)議則唯選擇。有特定程、僅利些常防護(hù)措這些措包括利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)自身的安全設(shè)施；購買并部署商用的防火墻商用基礎(chǔ)軟件，這些軟件通常僅具備一些基本的安全功能，而且在安裝時(shí)的缺省配置往往更多的照顧了使用的方便性而忽略了系統(tǒng)的安全性，如考慮不周很容易就留下安全漏洞。說，這些系統(tǒng)中的大部分的攻也。部由中作務(wù)www器DDN/FR/PSTN/Internet…由ISP/務(wù)臺由移動(dòng)用務(wù)臺撥號/移動(dòng)圖結(jié)構(gòu)撥號用1.2網(wǎng)絡(luò)系統(tǒng)的安全說多種多，就針的系統(tǒng)的等，施安全的可能是部，也可能是部。針對信息的攻擊對處于傳輸和存儲形態(tài)的信息實(shí)施非法攻擊，其手段包括偵聽破譯、篡改報(bào)文、重發(fā)（或少發(fā)）報(bào)文、改變信息的傳輸順序以及流量分析等，其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi)，也可以在廣域網(wǎng)上。由于信息在局域網(wǎng)中多采用廣播方式，因此，若在某個(gè)廣播域中可以偵聽到所有的信息包，攻擊者就可以對信息包進(jìn)行分析，那么本廣播域的信息傳遞過程都會(huì)暴露在攻擊者面前。即使是采用交換方式的局網(wǎng)，由于（）（），域網(wǎng)上進(jìn)行傳輸信息就可到的攻擊，如、破等。一個(gè)有接通信點(diǎn)或信的都可以實(shí)施上攻擊，“軟即可。隨著網(wǎng)偵聽工具的隱蔽化和靈巧化，對信息攻擊的可實(shí)施性正變乃隨處可得，有些免費(fèi)軟的協(xié)議分析力越來越強(qiáng)大，試用員隊(duì)伍十分龐大，一旦得到合適的機(jī)會(huì)，即使無心之也可抵擋不住好奇心而鋌而走險(xiǎn)，況蓄意犯罪之徒。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性，攻擊者可以不動(dòng)聲色地并利用信息，而無慮被發(fā)現(xiàn)；他也可以在積聚足夠的信息之比會(huì)數(shù)以倍計(jì)。針對系統(tǒng)的攻擊利用系統(tǒng)（包括操作系統(tǒng)、支撐軟及應(yīng)用系統(tǒng)）固有的或系統(tǒng)配置及管理過程中的安全漏洞，穿透或繞過安全設(shè)施的防護(hù)策略，達(dá)到非法訪問直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其它系統(tǒng)。此類攻擊手段包攻擊、特伊木馬、口令猜測、緩沖區(qū)溢出等，早期的黑客多是利用這類攻擊方法。隨著基礎(chǔ)系統(tǒng)軟件安全功能和安全管理制度的不斷完善，此類攻擊的成功比例正在逐步減少，但由于當(dāng)今黑客組織越來越嚴(yán)密，攻擊技巧層出不窮，攻擊工具傳播迅速，因此在相當(dāng)長時(shí)期內(nèi)，仍是主要的威脅之一。忽略了安全性，如考慮不周很容易就留下安全漏洞，如果考慮些軟件出于的，能在系統(tǒng)中留“，因此要。用的攻擊這是一種看似困難卻普遍存在的攻擊途徑，攻擊多利用管理和使取證。資源的攻擊各種耗盡系統(tǒng)之喪失繼續(xù)提服務(wù)的能力，因此又稱為拒絕服務(wù)類攻擊，如郵件炸彈、ping流攻擊等。拒絕服務(wù)攻擊的高(DDoS),攻擊分布式拒絕服務(wù)攻擊通常都是過精心策劃，組織的犯罪行為。由于針資源的攻擊利用的是現(xiàn)的網(wǎng)絡(luò)架構(gòu)，尤其是 Internet及 TCP/IP協(xié)缺陷，因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒大的改進(jìn)前，難徹底解決。企業(yè)的安全需求網(wǎng)絡(luò)安全包括五個(gè)基本要素：機(jī)密性、完整性、用性、審查性和控性。機(jī)密性：確保信息不暴露給未授權(quán)的任何其它方實(shí)體進(jìn)程。完整性：只有授權(quán)的實(shí)體或進(jìn)程才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。可用性：確保授權(quán)實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式。要有：傳輸信息的安全、點(diǎn)、網(wǎng)絡(luò)訪問控制、操作的、的不可性和對攻擊的可性。傳輸信息的安全、、、、、通、偷看；信數(shù)據(jù)的完整性則依于 MAC碼（消息驗(yàn)碼）和數(shù)字簽名實(shí)現(xiàn)，可防止被、篡改、重放等。點(diǎn)是指在進(jìn)行網(wǎng)上業(yè)時(shí)，系統(tǒng)內(nèi)各點(diǎn)之間要互相驗(yàn)對方的，以防。點(diǎn)對關(guān)鍵性的實(shí)時(shí)業(yè)尤為重要，例如，對于金融儲蓄業(yè)，案犯可以利用 PC機(jī)儲蓄網(wǎng)點(diǎn)，進(jìn)行存錢操作，然后立即在合的儲蓄所出現(xiàn)金。網(wǎng)絡(luò)訪問安全關(guān)鍵業(yè)網(wǎng)絡(luò)系統(tǒng)的各點(diǎn)之間常是過跨地域的公共基礎(chǔ)網(wǎng)絡(luò)連接，需要有效地防止可能來自該基礎(chǔ)網(wǎng)絡(luò)的對系統(tǒng)主機(jī)和內(nèi)部網(wǎng)絡(luò)的非法訪問和攻擊。操作人員的身份認(rèn)證和交易的不可抵賴性對操作人員身份的正確而有效的認(rèn)證是實(shí)現(xiàn)不可抵賴的前提，交易的不可抵賴性是指防止對交易行為的抵賴和否認(rèn)行為，交易的不可抵賴通常通過數(shù)字簽名來實(shí)現(xiàn)，重要的交易行為應(yīng)該簽名并實(shí)時(shí)驗(yàn)證。非法攻擊事件的可追蹤性對重要事件應(yīng)具有詳細(xì)的審計(jì)紀(jì)錄，以便在發(fā)生攻擊時(shí)提供確鑿的追究證據(jù)，從而使系統(tǒng)具有強(qiáng)大的威懾力量和有效的取證手段。必須指出：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息系統(tǒng)環(huán)境，建立良好的安的基礎(chǔ)。需要的是組織、管理和為一的的安全。網(wǎng)絡(luò)安全基與 VPN控和。網(wǎng)絡(luò)訪問對系統(tǒng)行安全，抵是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的之一，實(shí)際上，數(shù)據(jù)加作為一已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)證信息機(jī)法。一個(gè)加網(wǎng)絡(luò)，不但可以防止非授權(quán)戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效法，這使以較小的代價(jià)提供很強(qiáng)的安全。數(shù)據(jù)加過程是由加算法來具實(shí)施，按照收發(fā)雙鑰是否相同來分類，可以將這些加算法分為對稱算法和非對稱算法（公鑰算法）。對稱鑰算法的收信和發(fā)信使相同的鑰，即加鑰和解密密鑰是相同或等價(jià)的。最著名的對稱密碼算法為美國的DES算法及其各種變形。對稱密碼算法的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度和較快的運(yùn)算速度，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。非對稱密鑰（公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰，這些特性使其成為實(shí)現(xiàn)數(shù)字簽名的最佳選擇。最著名也是應(yīng)用最為廣泛的公鑰密碼算法是 RSA算法。公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。務(wù)。前通常網(wǎng)絡(luò)的網(wǎng)絡(luò)或傳網(wǎng)絡(luò)實(shí)現(xiàn)的加，通常用于解應(yīng)用相的安全問題，應(yīng)用有用驗(yàn)證信的簽名驗(yàn)證和信的加密等。用網(wǎng)絡(luò)（VPNVirtualPrivateNetwor）技術(shù)是網(wǎng)絡(luò)層通過“道”傳播，從而公網(wǎng)絡(luò)建立起安全的“用”網(wǎng)絡(luò)。利用 VPN技術(shù)，企只需要租用本地的數(shù)線，連接本地的公眾信網(wǎng)，各地的機(jī)構(gòu)就可以互相安全地傳遞信；另外，企還可以利用公眾信網(wǎng)的撥號接入設(shè)備，讓自己的用撥號到公眾信網(wǎng)，可以安全地連接進(jìn)入企網(wǎng)。綜合利聯(lián)隧道訪控制當(dāng)機(jī)制基礎(chǔ)設(shè)施建立完整集化企VPN安全解案。對于現(xiàn)行的各種務(wù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，采VPN影響行正常行的前提下極大地提高系統(tǒng)的安全性能，是一種較為理想基礎(chǔ)決方案。當(dāng)今VPN一般（TCP/IP網(wǎng)絡(luò)，發(fā)IP，從而既克服了傳統(tǒng)的鏈（線）路加密技術(shù)對通訊方介質(zhì)依賴高適應(yīng)性差無一標(biāo)準(zhǔn)缺陷又避-、互通性差、安裝和系統(tǒng)遷移困難等問題，使得VPN性好、標(biāo)準(zhǔn)化程度高、便于、易于與其它安全和系統(tǒng)技術(shù)融合等優(yōu)勢，成為目前和今后企業(yè)安全網(wǎng)絡(luò)發(fā)展的趨勢。從上看虛擬專網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專撥號網(wǎng)絡(luò)VPD。虛擬企業(yè)網(wǎng)主要是使專線上網(wǎng)的企業(yè)分部、合作伙伴間的虛擬專網(wǎng)；虛擬專撥號網(wǎng)絡(luò)是指使電話撥號（PPP）上網(wǎng)的遠(yuǎn)程用戶與企業(yè)網(wǎng)間的虛擬專網(wǎng)。虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議該具備以下條件：保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是的，要有（IPSpoofing）的。保證數(shù)據(jù)的性，的數(shù)據(jù)必須與發(fā)的，要有分?jǐn)?shù)據(jù)的。保證通道的機(jī)性，有的，必須使聽者破解攔截的通道數(shù)據(jù)。和安全。安全防護(hù)措施和訪問控制，具有黑客通VPN通道攻擊企業(yè)網(wǎng)絡(luò)的，并且可以對 VPN通道進(jìn)行訪問控制。目前建造虛擬專網(wǎng)依據(jù)的主要國際標(biāo)準(zhǔn)有IPSec、L2TP、PPTP、L2F等。其中 L2TP是虛擬專撥號網(wǎng)絡(luò)協(xié)議，是IETF根據(jù)各廠家協(xié)議（包括微軟公司的PPTPCisco的L2F）進(jìn)行起草尚處草案階IPSec是由IETF正式定制的開放性IP安全標(biāo)準(zhǔn)，是虛擬專網(wǎng)的基礎(chǔ)，已相當(dāng)成熟可靠。L2TP協(xié)議草案中也規(guī)定它（L2TP標(biāo)準(zhǔn)）必須以IPSec為安全基礎(chǔ)。目前，采IPSec標(biāo)準(zhǔn)的VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期，因此在構(gòu)造VPN基礎(chǔ)設(shè)施該首先考慮 IPSec標(biāo)準(zhǔn)。IPSec體系IPSec(IPSecurityIETFIPSec作為IP通信安全而制訂的套協(xié)議標(biāo)準(zhǔn)，IPSec的結(jié)構(gòu)文檔 RFC2401定義IPSec的基本結(jié)構(gòu)，所有具體的實(shí)施方案均建立在它的基礎(chǔ)之上。IPSec包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對通信的各種保護(hù)方式；密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對通信實(shí)體的身份進(jìn)行鑒別。IETF的IPSec工作組已經(jīng)制定了12個(gè)RFC對IPSec的方方面面都進(jìn)行了定義，其中，封裝安全載荷（ESP）機(jī)制為通信提供機(jī)密性、完整性保護(hù)；驗(yàn)證頭（AH）機(jī)制為通信提供完整性保護(hù)，這兩種機(jī)制都能為通信提供抗重放攻擊；IPSec使用Internet密鑰交換(IKE)協(xié)議實(shí)現(xiàn)安全協(xié)議的自動(dòng)安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護(hù)模式（傳輸或隧道模式）、密鑰的生存期等，這些安全參數(shù)的總體稱之為安全關(guān)聯(lián)（SA）。為了實(shí)現(xiàn) VPN通信的數(shù)據(jù)機(jī)密性和完整性，VPN產(chǎn)品大多使用 IPSec協(xié)議的封裝安全載荷（P）機(jī)制。P機(jī)制通過將整個(gè) IP包或 IP包的數(shù)據(jù)部分封裝到個(gè) ESP載荷中，對載荷進(jìn)行的安全，如加密，鑒別等，實(shí)現(xiàn)對通信的機(jī)密性或/和完整性保護(hù)。ESP在封裝載荷有兩種封裝模式“隧道模式，“傳輸模式。隧道模式將整個(gè)IP分組封裝到 ESP載荷中，傳輸模式將IP的數(shù)據(jù)部分封裝到ESP的載荷中。在傳輸模式中，IP頭上協(xié)議頭之個(gè)的IPSec頭；在隧道模式中，保護(hù)的整個(gè) IP包都封裝到個(gè) IP數(shù)據(jù)包，在部部 IP頭之個(gè) IPSec頭。IPSec協(xié)議使用 IKE密鑰交換協(xié)議進(jìn)行密鑰以及其它安全參數(shù)的協(xié)商，RFC2409件描述的 IKE協(xié)議Oakley和安全密鑰交換機(jī)制（SKEME）協(xié)議的種混合，它綜合了 Oakley和SKEME的優(yōu)點(diǎn)，使用了Internet安全關(guān)聯(lián)與密鑰管理協(xié)議（ISAKMP）的語言，形成了自己獨(dú)一無二的驗(yàn)證加密材料生成技術(shù)，以協(xié)商共享的安全策略。IKE通過兩個(gè)階段的協(xié)商來完成安全關(guān)聯(lián)（SA）的建立，第一階段，由 IKE交換的發(fā)起方發(fā)起一個(gè)主模式交換或野蠻模式交換，交換的結(jié)果是建立一個(gè)名為 ISAKMPSA的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起一個(gè)快捷模式的消息交換序列，完成用于保護(hù)通信數(shù)據(jù)的 IPSecSA的協(xié)商。IKE在使用預(yù)共享密鑰時(shí)，只能將預(yù)共享密鑰建立在對方的IP地址之上，這是使用預(yù)共享密鑰時(shí)一個(gè)已被公認(rèn)的局限，解決這個(gè)問題的一個(gè)顯而易見的辦法是使用一種建立在公開密鑰基礎(chǔ)（PKI）上的簽名/驗(yàn)證數(shù)據(jù)IKE也RSA公開密鑰法。用 SJW10IP保密建 VPN商用密主管認(rèn)證的SJW10列VPN，由SJW10//3IP、SJW10IP用SJW10列VPN所成的典型VPN解決方案如圖所示。在圖中，保密為 SJW10IP保密，具有速網(wǎng)絡(luò)傳輸數(shù)據(jù)加密/解密功能。保密以網(wǎng)橋方式接入本地局域網(wǎng)，用于保護(hù)一個(gè)局網(wǎng)、或用于保護(hù)一臺或幾臺服務(wù)器。保密的安裝運(yùn)行與應(yīng)用軟件主類型無關(guān)，安裝靈活便，即插即用。安全是SJW10IP安全，是客戶端 VPN，它可安裝于各種客戶端PC平臺及移動(dòng)設(shè)備平臺，支持各種版本的 Uinx/Linux操作及MicrosoftWindows全線操作平臺，用以保護(hù)單臺主設(shè)備，或保護(hù)SJW10IP系主機(jī)部安全管理中……保密由廣域網(wǎng)DDN/FR/ /ISDN主機(jī)部安全管理中……保密由廣域網(wǎng)DDN/FR/ /ISDN由機(jī)遠(yuǎn) 程 撥保 密安全管理中心是SJW10VPNVPNSJW10設(shè)備簽發(fā)電子證書；遠(yuǎn)程管理、配置VPN保密機(jī)的遠(yuǎn)程注冊、上傳日志并對日志進(jìn)行分類管理。由SJW10IPVPN整體安全性：同時(shí)提供網(wǎng)絡(luò)安全訪問控制、數(shù)據(jù)傳輸加密、節(jié)點(diǎn)認(rèn)證、認(rèn)證及安全功能，同時(shí)為用程提供密程接，和應(yīng)用程配合可的簽、認(rèn)證及加密功能，可作為網(wǎng)絡(luò)統(tǒng)整體安全解決方案的。性：IP保密機(jī)置制安全統(tǒng)，的性：業(yè)統(tǒng)和網(wǎng)絡(luò)構(gòu)整；；：與IPsec；可性：安、，可時(shí)進(jìn)行業(yè)；ModemModemVPN解決方案+USBVPNSJW10IPSJW10IPSJW10IP、穩(wěn)定性的網(wǎng)絡(luò)安全，內(nèi)置性能穩(wěn)定、支持連續(xù)運(yùn)轉(zhuǎn)的工控標(biāo)準(zhǔn)和經(jīng)國家碼管理構(gòu)認(rèn)證的碼模塊，含2 5個(gè)10/100M自適應(yīng)的以太網(wǎng)絡(luò)接口，方便地以網(wǎng)橋方式接入各種拓?fù)浣Y(jié)構(gòu)的以太網(wǎng)絡(luò)線路之中。采用穩(wěn)定的電子存儲作為系統(tǒng)的存儲介質(zhì)，所系統(tǒng)軟固化在DOC（DiskOnChip）芯片中，避免了由于易損壞的磁盤介質(zhì)和讀寫磁盤時(shí)的械操作給系統(tǒng)運(yùn)行的穩(wěn)定性，采用存IC行用認(rèn)證和電子證的管理。用定安全操作系統(tǒng)，操作系統(tǒng)的和系統(tǒng)置件存在電子盤中，采用的內(nèi)存系統(tǒng)，系統(tǒng)運(yùn)行時(shí)所的文操作在內(nèi)存中，的運(yùn)行，避免讀寫電子存儲對其用壽命造的影響。用以通過串口或通過網(wǎng)絡(luò)接口，利用Windows的控行地的置和管理。IP的安全包括：IP報(bào)/解選擇地對流經(jīng)IP報(bào)實(shí)施應(yīng)用透解操作并行整性認(rèn)證；VPN中的認(rèn)證，安全中IP的位置保安全中IP的位置保網(wǎng)實(shí)際上?？梢园卜旁谝跃€路的任何位置戶需要保護(hù)交換路由、適安全審計(jì)記錄傳輸情況、保的關(guān)鍵操作以備查詢、析之保之間具有雙或多互備份的互備份的保密之間夠?qū)崟r(shí)地進(jìn)行同步保通訊的暢通；軟件系統(tǒng)及位置保軟件系統(tǒng)以定制安全操作系統(tǒng)基礎(chǔ)整個(gè)的軟件系統(tǒng)可界面層、戶命令層、應(yīng)編程層和核心層：橋轉(zhuǎn)發(fā)、議析和設(shè)備驅(qū)4個(gè)層軟件保軟件保軟件系統(tǒng)的核心議析的議析系統(tǒng)定的安全進(jìn)行應(yīng)的：保的IP進(jìn)行審計(jì)的定進(jìn)行記。情況在多個(gè)局內(nèi)通過廣域外互聯(lián)時(shí)IP保保個(gè)的有實(shí)保和網(wǎng)制時(shí)保以橋廣域路由器之間、園區(qū)；也集線HUB交換）起來幾臺主；也臺服務(wù)。功指標(biāo)及配說明1、碼制IP數(shù)據(jù)加/解及報(bào)文認(rèn)證截獲上流經(jīng)本IP數(shù)據(jù)包根據(jù)加規(guī)則對其進(jìn)行碼理，進(jìn)行報(bào)文加/解同時(shí)對報(bào)文數(shù)據(jù)進(jìn)行消息認(rèn)證碼運(yùn)算對所傳輸報(bào)文進(jìn)行完整性認(rèn)證。支持多種型號加卡支持多種加算法混合使用為了滿足用戶對碼功需求同時(shí)支持多種型號加卡設(shè)備，支持多種加算法混合使用對用戶提供新加模塊做加用。為用戶主提供碼用用戶用SJW10IP提供碼服務(wù)用。支持PKI制同時(shí)支持對理VPPK制用電子證書進(jìn)行電子信簽名、認(rèn)證加傳PKI制用戶理碼上使需進(jìn)行碼行加VPN理。對碼算法長度為128位非對碼算法長度為1024位。2、制IP3、制支持集式遠(yuǎn)程員整個(gè)VPN環(huán)境設(shè)及統(tǒng)一既方便了工作高了工作效率。所使用由用戶自也能是由第三方權(quán)威構(gòu)SJW10IP支持第三方CA構(gòu)符標(biāo)準(zhǔn)支持第三方遠(yuǎn)程4、適應(yīng)性采用橋轉(zhuǎn)制原如同交換一樣能廣泛適應(yīng)各構(gòu)IP應(yīng)用統(tǒng)原應(yīng)用統(tǒng)。2、3、4、5個(gè)式、便能適應(yīng)各構(gòu)由、交換交設(shè)支持各先由議議。支持ISL封裝VLAN構(gòu)“虛擬VLAN”已成為高性常用手段。了VLAN系統(tǒng)中將采用或ISL協(xié)議封裝VLAN協(xié)議保密機(jī)支持上述專用協(xié)議確保暢通。支持動(dòng)態(tài)IP接入方式SJW10IP客戶端沒有固定IP地址應(yīng)用環(huán)境中客戶端可通過撥號接入ISP/NSP獲得動(dòng)態(tài)IP地址保密機(jī)支持動(dòng)態(tài)IP客戶端隧道建立請求當(dāng)身份認(rèn)證合法后保密機(jī)將與客戶端建立隧道進(jìn)行密碼通信從而極大地了保密機(jī)實(shí)用性。5、應(yīng)用可靠性無硬盤結(jié)構(gòu)系統(tǒng)性能更加穩(wěn)定保密機(jī)系統(tǒng)中與路由器和交換機(jī)協(xié)同工作處于機(jī)工作態(tài)。SJW10IP保密機(jī)通過采用可靠硬、份、FLASH作為系統(tǒng)有可靠性。有份、機(jī)從份機(jī)為份能保密機(jī)了份能從份和機(jī)為份，高保密機(jī)系統(tǒng)運(yùn)行高可靠性和高穩(wěn)定性。6、硬接口數(shù)量 25個(gè)10/100MbpsRJ-45太接口CONSOLE口數(shù)量 1個(gè)RS-232串行口速率38400bps電氣特性 180V~260V/50Hz/250W機(jī)箱尺寸 1U/2U/4U標(biāo)準(zhǔn)機(jī)箱7、技術(shù)指標(biāo)適用通信環(huán)境 基于TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境明文通信速率 100Mbps/10Mbps加密通信速率 20Mbps/10Mbps/5Mbps環(huán)境條件 運(yùn)行溫度 060C相對濕度 5平均無故障時(shí)間 30000小時(shí)系統(tǒng)保密性系統(tǒng)安全性國家密碼管理委員會(huì)鑒定通過，國密證第0053號公安部測試通過，銷售許可證號XKC330688、人機(jī)界面提供本地串口和網(wǎng)絡(luò)接口對保密機(jī)進(jìn)行配置管理提供圖形配置界面和命令行控制方式命令行方式符合UNIX命令風(fēng)格圖形界面符合Windows界面風(fēng)格，如圖所示：圖 保密機(jī)控制界SJW10IP安全包技術(shù)說明概述IP（USB加IC）的IP備。IPIntelUnix、LinuxWindows’9x/NT/2000囊括了目前流客戶端IPIP。IPWindows、管理、墊片、解其中墊片解核心態(tài)方式運(yùn)它們WINDOWS時(shí)被裝載而則Windows由它來置一些初始化狀態(tài)并運(yùn)管理只改變置或是更改或時(shí)運(yùn)它們：

界面WINDOWS IP點(diǎn)

管理

管理IPIP

：

IP 管理

解0UNIXx

Ndis卡狀 鑰持種算法混方便地實(shí)自己模塊管理模塊掛；持TCP/IP協(xié)議族對其它協(xié)議選持；基地址或子地址防止據(jù)非授權(quán)透得中原有種無改變就實(shí)傳輸；Intel3COM、X2RS-23PPPo邏；TCPSJW10SJW10SJW10IPSJW10IPSJW10IPVPNSJW10IPII求證書在生發(fā)過程需有“權(quán)威”其進(jìn)行合法性證這權(quán)威CertificateAuthority(CA)在利用SJW10IPVPN應(yīng)境SJW10SM簡明CA認(rèn)證功能。作為VPNSMC功能職責(zé)括：證書IPSMCCA、、查詢等管理工/配置維護(hù)同SMC簽發(fā)所/構(gòu)成應(yīng)域SMC對該應(yīng)域所/進(jìn)行分類管理并對配置情況進(jìn)行列表查詢負(fù)責(zé)各/登記注冊并對分布各地實(shí)施遠(yuǎn)程配置、管理/最新配置信息可過線注冊匯總SMC/日志維護(hù)應(yīng)域各/審計(jì)日志可以本地存放也可以過網(wǎng)絡(luò)匯集存放該應(yīng)域SMC當(dāng)日志文件選擇存放SMCSMC可對日志實(shí)行集管理。SMC簽發(fā)實(shí)分IC、USB3過存放IC成存本以不再IC除非更換新當(dāng)構(gòu)網(wǎng)絡(luò)較多或者它分支構(gòu)分布比較分散了便管理SMC不由其生成電子制成實(shí)而文本導(dǎo)出分發(fā)下級門或它分支構(gòu)各分支構(gòu)托管理收由 SMC簽發(fā)電子文本并負(fù)責(zé)發(fā)布實(shí)這樣當(dāng)存物理載損壞不它上級門SMC去重新生成WindowsNTWindows2000WindowsSJW10IPPKI“集同時(shí)支持傳統(tǒng)預(yù)享對稱SJW10一級二級和會(huì)話三級式一協(xié)商交換一級由負(fù)責(zé)通過加IC卡USB棒發(fā)放并二級加傳會(huì)話通對對稱二級二級一級護(hù)由協(xié)商由會(huì)話加傳統(tǒng)加同會(huì)話并由二級護(hù)IP傳輸。由IP均同一級和二級良好分一時(shí)會(huì)通，會(huì)危及整統(tǒng)。分布式特別適節(jié)點(diǎn)位和量上均求靈統(tǒng)商。SJW10列VPN品分布式和認(rèn)核采用公開密鑰密碼體制，在網(wǎng)絡(luò) VPN應(yīng)用環(huán)境中設(shè)立一個(gè)安全管理中心（SMC），完成CA認(rèn)證中心的基本功能。任何擁有同一個(gè) SMC簽發(fā)的證書的保密機(jī)（安全包），都會(huì)被網(wǎng)絡(luò)中其它的密碼機(jī)認(rèn)為是可信任的；任意兩臺經(jīng)認(rèn)證合法的密碼機(jī)之間可以通過出示證書來相互確認(rèn)身份，然后通過非對稱加密算法協(xié)商用于網(wǎng)絡(luò)數(shù)據(jù)加密的二級密鑰。任何一臺保密機(jī)（安全包）節(jié)點(diǎn)，只要獲得安全管理中心（SMC）頒發(fā)的有效證書，即可加入到安全的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中，從而為系統(tǒng)中節(jié)點(diǎn)的靈活增減提供了方便的手段。PKIIKE(InternetKeyExchange)協(xié)議，在證書格設(shè)計(jì)上ITUV3，以本密鑰管理方案有的可。于采用協(xié)商的密鑰管理，得密鑰的得為方定密鑰；可以是的，在網(wǎng)絡(luò)安全管理認(rèn)為要密鑰；可以是開機(jī)方，即在開機(jī)時(shí)通信密鑰，方一用在 IP安