■ 文/滕征岑 孫忠偉 吳 強(qiáng) 杜海波

北京中油瑞飛信息技術(shù)有限責(zé)任公司

大中型跨國企業(yè)廣域網(wǎng)鏈路加密系統(tǒng)研究

■ 文/滕征岑 孫忠偉 吳 強(qiáng) 杜海波

北京中油瑞飛信息技術(shù)有限責(zé)任公司

1.大中型跨國企業(yè)組網(wǎng)接入主流技術(shù)

1.1.光纖：大中型跨國企業(yè)普遍采用的廣域網(wǎng)接入方式為IPLC和MPLS-VPN?？蓪?shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務(wù)通信，集合了公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活和高效，在廣域網(wǎng)上應(yīng)用廣泛。

1.2.衛(wèi)星：特點(diǎn)是通信范圍廣、可靠性高、鏈路開通簡便。在通信基礎(chǔ)設(shè)施薄弱或者有線網(wǎng)絡(luò)難以到達(dá)的地方，衛(wèi)星網(wǎng)絡(luò)方案常被用作有線網(wǎng)絡(luò)的延伸，有效解決了因地面環(huán)境復(fù)雜或分支機(jī)構(gòu)所在國通信設(shè)施薄弱或其他情況下的數(shù)據(jù)傳輸需求，是跨國企業(yè)組網(wǎng)中數(shù)據(jù)傳輸?shù)闹匾溌奉愋瓦x擇之一。

1.3.VPN：既保證網(wǎng)絡(luò)接入安全，價(jià)格又相對實(shí)惠，基于internet互聯(lián)網(wǎng)的VPN，主要有IPSec-VPN和SSLVPN。IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，是實(shí)現(xiàn)多專用網(wǎng)安全連接的最佳選項(xiàng)；而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接，用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。SSL VPN存在一定安全風(fēng)險(xiǎn)，因?yàn)橛脩艨蛇\(yùn)用公眾Internet站點(diǎn)接入；IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點(diǎn)接入，但能實(shí)現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問（見圖1）。

2.大中型跨國企業(yè)廣域網(wǎng)典型網(wǎng)絡(luò)架構(gòu)

海外網(wǎng)絡(luò)匯聚點(diǎn)設(shè)置遵循原則如下：

1）重要業(yè)務(wù)市場，其所在國家局勢較穩(wěn)定，可設(shè)置區(qū)域匯聚點(diǎn)；

2）臨近區(qū)域匯聚點(diǎn)，并有較多業(yè)務(wù)和分散分支機(jī)構(gòu)的國家或地區(qū)，可設(shè)置次級(jí)區(qū)域匯聚點(diǎn)。

分支機(jī)構(gòu)接入海外網(wǎng)絡(luò)匯聚點(diǎn)采用通訊鏈路類型的選取原則如下：

1）業(yè)務(wù)量大，人員數(shù)量多，且通信條件較發(fā)達(dá)的國家和地區(qū)，通訊以專線為主；

2）移動(dòng)性較強(qiáng)、離市區(qū)或匯聚點(diǎn)較遠(yuǎn)的地區(qū)，通訊以衛(wèi)星為主；

3）通信條件較發(fā)達(dá)的國家和地區(qū)，且業(yè)務(wù)量不是很大，機(jī)構(gòu)或個(gè)人相對分散，并有一定的安全性要求和數(shù)據(jù)回傳要求的，通訊以VPN方式為主。

如圖2所示，當(dāng)前業(yè)界普遍采用的廣域網(wǎng)通訊鏈路類型主要有：專線、衛(wèi)星和VPN等。無論是專線、衛(wèi)星還是VPN鏈路，都存在遠(yuǎn)距離傳輸、跨境國家多的特點(diǎn)，存在數(shù)據(jù)傳輸安全隱患。

3.廣域網(wǎng)鏈路加密系統(tǒng)面臨的主要問題和難點(diǎn)

1）加密系統(tǒng)要無縫嵌入企業(yè)網(wǎng)絡(luò)中，不能對原有通信體制、網(wǎng)絡(luò)規(guī)劃和使用方式造成影響；

2）不能破壞原有數(shù)據(jù)格式和協(xié)議內(nèi)容；

3）加解密過程不能降低用戶原有應(yīng)用系統(tǒng)的性能，特別是數(shù)據(jù)信息的傳輸效率；

4）在滿足企業(yè)需求的同時(shí)，確保加密系統(tǒng)的密鑰體制符合國家對商用密碼的技術(shù)規(guī)范要求。

基于以上問題和難點(diǎn)，廣域網(wǎng)鏈路加密系統(tǒng)的設(shè)計(jì)應(yīng)遵循以下原則：

1）安全性原則：既要考慮企業(yè)業(yè)務(wù)信息的機(jī)密性要求，還需考慮對系統(tǒng)的安全防護(hù)要求以及保密系統(tǒng)自身的安全防護(hù)要求，在現(xiàn)有的通信系統(tǒng)中建立一套完善的訪問控制、身份認(rèn)證、完整性驗(yàn)證、信息加密等安全防護(hù)機(jī)制；

2）先進(jìn)性原則：應(yīng)保持與國內(nèi)外最新密碼技術(shù)、硬件技術(shù)和軟件技術(shù)的同步，在安全體系結(jié)構(gòu)設(shè)計(jì)、產(chǎn)品集成、硬件驅(qū)動(dòng)、軟件優(yōu)化、網(wǎng)絡(luò)加速以及安全內(nèi)核等技術(shù)上均有獨(dú)到之處；

3）可靠性原則：加密系統(tǒng)的安全體系架構(gòu)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)、軟硬件集成等均應(yīng)按照可靠性的要求展開，嚴(yán)格方案設(shè)計(jì)、研制開發(fā)及產(chǎn)品生產(chǎn)過中的質(zhì)量控制措施，確保系統(tǒng)在性能指標(biāo)、操作運(yùn)行等各方面的工作穩(wěn)定性和可靠性；

4）可操作性原則：加密系統(tǒng)設(shè)計(jì)應(yīng)有良好的和便于操作的人機(jī)界面，并能提供功能完善的API 接口，確保其開發(fā)和使用都十分方便；

5）適用性原則：遵循國際/國內(nèi)相關(guān)衛(wèi)星通信的標(biāo)準(zhǔn)和協(xié)議，確保其具有規(guī)范性好，適用性強(qiáng)等特點(diǎn)，能與企業(yè)通信網(wǎng)絡(luò)應(yīng)用系統(tǒng)實(shí)現(xiàn)無縫連接；

6）高效性原則：在確保系統(tǒng)安全強(qiáng)度的情況下，盡可能加快加密系統(tǒng)的信息傳輸和處理速度，提高加解密效率；

7）規(guī)范性原則：嚴(yán)格遵守國家相關(guān)法規(guī)和標(biāo)準(zhǔn)規(guī)范要求，密碼模塊應(yīng)采用國家指定的類型。

4.廣域網(wǎng)鏈路加密系統(tǒng)模型設(shè)計(jì)

廣域網(wǎng)絡(luò)鏈路加密系統(tǒng)的設(shè)計(jì)應(yīng)滿足企業(yè)對加密系統(tǒng)的主要功能或性能需求，具體如下：

圖1 VPN網(wǎng)絡(luò)接入

圖2 大中型跨國企業(yè)海外網(wǎng)絡(luò)架構(gòu)

1）達(dá)到國家有關(guān)機(jī)構(gòu)對商用密碼算法的加密要求；

2）具有對企業(yè)通信系統(tǒng)傳輸?shù)母黝悩I(yè)務(wù)數(shù)據(jù)實(shí)施一體化的加密功能；

3）能夠適應(yīng)企業(yè)通信系統(tǒng)的多種網(wǎng)絡(luò)結(jié)構(gòu)、組網(wǎng)方式以及應(yīng)用模式的要求；

4）信息加解密能滿足系統(tǒng)對信息傳輸質(zhì)量的要求；

5）密鑰由密鑰管理中心集中統(tǒng)一管理等。

加密系統(tǒng)的設(shè)計(jì)包含硬件系統(tǒng)、軟件系統(tǒng)和密碼密鑰保障體系三大主要部分，硬件系統(tǒng)主要組成部分應(yīng)包括擁有良好性能的服務(wù)器物理機(jī)、專用密碼卡、網(wǎng)卡、身份卡讀寫器等主要部件；軟件系統(tǒng)主要組成部分應(yīng)包括安全定制的底層系統(tǒng)內(nèi)核、專用驅(qū)動(dòng)程序、密碼服務(wù)管理等功能模塊，能夠快速高效地完成通信系統(tǒng)前向鏈路業(yè)務(wù)數(shù)據(jù)信息的加密，以及反向鏈路業(yè)務(wù)數(shù)據(jù)信息的解密。

4.1. 密碼密鑰保障系統(tǒng)結(jié)構(gòu)

密碼密鑰保障系統(tǒng)是加密系統(tǒng)設(shè)計(jì)的核心部分，考慮了密碼在生成、存儲(chǔ)、遠(yuǎn)程分發(fā)過程中的合法性和保密性，設(shè)計(jì)出三層密鑰管理保障體系結(jié)構(gòu)。加密系統(tǒng)采用標(biāo)準(zhǔn)密碼算法配置（SM1、SM2、SM3算法）、工作密鑰端端配對、多級(jí)密鑰結(jié)構(gòu)的密碼密鑰保障體系。密鑰類型主要包括：

1）存儲(chǔ)保護(hù)密鑰：用于對其他各種密鑰和關(guān)鍵參數(shù)的存儲(chǔ)保護(hù)；

2）設(shè)備身份密鑰：用于本機(jī)身份認(rèn)證和對密鑰遠(yuǎn)程分發(fā)過程的密碼保護(hù)；

3）密鑰加密密鑰：用于對工作密鑰的加密保護(hù)；

4）工作密鑰：用于對用戶業(yè)務(wù)數(shù)據(jù)的密碼保護(hù)。

4.2. 密碼算法

設(shè)計(jì)采用對稱分組密碼算法、非對稱密碼算法和密碼雜湊算法，密碼運(yùn)算中使用的隨機(jī)數(shù)由物理噪聲源產(chǎn)生。其中：

1）對稱分組密碼算法采用SM1算法；

2）非對稱密碼算法采用SM2算法；

3）密碼雜湊算法采用SM3算法；

4）隨機(jī)數(shù)使用密碼卡獲取，充分保證產(chǎn)生的隨機(jī)數(shù)具有很好的隨機(jī)性。

加密系統(tǒng)所支持的密碼算法均設(shè)計(jì)有具備對密碼算法、軟硬件模塊的完整性、正確性等檢驗(yàn)的安全機(jī)制功能，確保密碼算法始終處于正確、安全的工作狀態(tài)中。并且加密系統(tǒng)所有產(chǎn)生的密鑰、認(rèn)證時(shí)的隨機(jī)參量、毀密時(shí)的填充數(shù)均將由密碼卡產(chǎn)生，確保了密碼算法的隨機(jī)性，排除了人為操作的可能。

4.3. 加密方式

充分調(diào)研大中型跨國企業(yè)的組網(wǎng)方式，提出“硬件加密”的加密方式，具體實(shí)現(xiàn)采用“凈荷加密”。其突出優(yōu)點(diǎn)是：

1）不僅能夠支持單播數(shù)據(jù)加解密的常規(guī)性加密需求，還能夠支持企業(yè)對組播數(shù)據(jù)的加解密需求，在實(shí)際應(yīng)用網(wǎng)絡(luò)環(huán)境中，組播是較為常見的網(wǎng)絡(luò)傳輸方式，比如組播視頻會(huì)議等；

2）支持多鏈路業(yè)務(wù)均衡加密，多條鏈路可靈活切換，多鏈路業(yè)務(wù)是大中型跨國企業(yè)常見的跨國組網(wǎng)方式且應(yīng)用較為普遍；

3）業(yè)內(nèi)常用的隧道加密設(shè)備只能成對出現(xiàn)，而在大中型跨國企業(yè)廣域網(wǎng)網(wǎng)絡(luò)環(huán)境中，數(shù)量繁多的分支機(jī)構(gòu)對加密系統(tǒng)的需求，要求任意兩個(gè)機(jī)構(gòu)之間都能夠通過靈活的策略配置功能，實(shí)現(xiàn)多臺(tái)加密設(shè)備串聯(lián)模式，這也是本加密系統(tǒng)采用“硬件加密”技術(shù)的一個(gè)創(chuàng)新點(diǎn)，能夠有效地解決上述問題。

4.4. 數(shù)據(jù)加密流程

本加密系統(tǒng)設(shè)計(jì)采用透明網(wǎng)橋的方式部署在企業(yè)通信網(wǎng)絡(luò)中，截獲網(wǎng)絡(luò)中傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)，然后對其進(jìn)行加解密，保證了數(shù)據(jù)的完整性要求。根據(jù)企業(yè)可能設(shè)定的需求，將業(yè)務(wù)數(shù)據(jù)的加解密設(shè)定成兩種方式：“凈荷加密方式”和不加密方式。其中，對數(shù)據(jù)包有效載荷部分進(jìn)行加密，稱作“凈荷加密”。

4.5. 加密系統(tǒng)安全防護(hù)機(jī)制

1）設(shè)計(jì)采用沒有給定區(qū)域地址劃分的密鑰管理配置方案，不同的業(yè)務(wù)信息路由使用不同的信息加解密密鑰，確保了全網(wǎng)信息加解密按不同路由進(jìn)行分割；每個(gè)區(qū)域節(jié)點(diǎn)只擁有與自己加解密信息相關(guān)聯(lián)的密鑰，加密系統(tǒng)中單個(gè)加密部分的安全威脅只影響與該加密部分相關(guān)聯(lián)的業(yè)務(wù)信息的安全，全網(wǎng)其他企業(yè)業(yè)務(wù)信息的安全不受影響；

2）采用集中的密鑰維護(hù)策略，密鑰管理安全可控。采用遠(yuǎn)程在線密鑰分發(fā)機(jī)制，密鑰配置靈活方便，可實(shí)現(xiàn)加密系統(tǒng)安全可靠的快速布置和調(diào)整；

3）具有遠(yuǎn)程遙控清除加密系統(tǒng)中密鑰和關(guān)鍵參數(shù)的能力，可在緊急情況下對加密系統(tǒng)任意部分實(shí)施有效隔離，確保整個(gè)通信系統(tǒng)的安全。X