安全网关

中安源可信网络安全平台（系统等级保护安全平台）

为保证内网业务系统数据访问、存储的安全性，实现对业务系统服务器、终端的密码安全保护，并使业务终端能够访问内网中的共享资源，中安网脉（北京）技术股份有限公司开发出了基于服务器安全防护的安全网关系统。

一.系统结构

系统主要由安全管理中心、安全网关、安全客户端组成，其中安全管理中心由密钥管理中心、密钥管理中心控制台组成。通过与内网认证中心结合，为安全网关、USB-KEY颁发数字证书，再由密钥管理中心为安全网关及USB-KEY下发数据加密密钥、安全规则及防护策略，使业务终端与安全网关建立VPN隧道以访问专网业务服务器。

图 基于安全网关的内网安全系统结构示意图

二.系统功能

1.数据安全

报文传输过程中，采用定期更新的会话密钥进行加密传输，中间拦截者无法对数据报文进行还原。

2.自身安全

通过身份认证、拒绝服务攻击、 IP过滤、在线升级等手段实现系统自身安全的防护。

3.数据备份

将安全网关中的数据（用户信息、资源信息、安全策略等）备份到其他服务器，当安全网关发生故障时可以及时将备份数据导入安全网关，方便维护。

4.集群功能

采用集群功能可以将多台独立的安全网关整合起来提供高性能服务，减少每台安全网关的负载，提高整个安全网关集群的性能。

5、日志审计

安全管理中心提供了非常丰富的日志功能，管理者可监视到异常流量、试图非法访问应用系统、异常登录等有效的分析信息，为综合分析提供依据。

日志内容有：

• 管理员操作日志
• 虚拟安全网络登录日志
• 应用服务访问日志
• 非授权访问日志日志
• 系统提供实时日志查看、告警日志查看、告警设置和历史日志审计。

三.设备功能

1.安全网关

安全网关为新型网络安全设备，主要用于解决局域网之间的网络通信的安全保密问题，保护机密数据在局域网上进行安全传输的网络安全设备。通过对IP数据包的加密实现网络之间的加密通信；通过其网络访问控制功能在保护的网络和外部网络之间建立保护屏障，控制对内部网络的访问以保证内部网络的安全。它在网络层(IP层)采用IPSEC标准对数据报进行加密处理。利用IPSEC封装技术，可以组建VPN，并且对数据包提供鉴别服务、数据的机密性、抗重播及有限的抗流量分析等多项功能。

设备功能

• 安全通道：不同节点之间可建立各自独立的安全通道，提高网络安全性。
• 密钥管理：由安全管理中心统一产生、分发密钥，并定时自动刷新。
• 集中管理：安全管理中心对全网设备进行集中统一管理和监控；
• 身份鉴别：采用基于授权智能卡的身份鉴别管理，以控制对加密系统的使用，并提供网络密码机之间的相互鉴别；
• 日志审计：密码机自动记录运行状态，完整的日志信息自动向管理中心汇总。
• 防火墙：提供基于包过滤的防火墙功能，支持网络访问控制，防止外部用户攻击。

性能指标

• 物理接口：1000Base-T，1000Base-X，LC接口、单/多模；SC接口、单/多模等接口方式；
• 通信协议：以太网，IEEE802.3，IEEE802.1q，IEEE802.1p，10BASE-T，100BASE-Tx；
• 加密速率：双向处理50～70Mbps；
• 电气指标：交流220V（+10%～-15%），50Hz（±3Hz）；
• 物理尺寸：2U机架式结构。

2、安全管理中心

安全管理中心是由密钥管理中心及密钥管理中心客户端组成，它是整个“基于VPN内网安全系统”的中心。密钥管理中心与安全网关、USB终端密码模块进行通信,实现对安全网关、USB终端密码模块的全面管理。密钥管理中心通过密钥管理协议统一管理整个密码机系统工作过程中的所有密钥,并且还提供对密码机工作过程中的访问控制规则、网络参数、网络流量、状态查询、日志审计等管理。
密钥管理中心与管理中心客户机采用C/S结构，用户界面友好，操作简单，使用方便。

性能指标

• 设备参数：512M内存、128M DOM盘，1个RS232串口，速率为9600bps；2个局域网接口，以太网卡的速率10/100M自适应。
• 密码强度：支持最大单独300个安全网关或单独4096 USB加密模块的密钥管理，终端用户并发接入能力为200~300个/分钟（在成功率为100%的情况下，每分钟并发成功接入用户的个数。该数值与平台有关系）。
• 环境条件：工作温度为0℃～40℃，存储温度为-20℃～55℃，相对湿度为20%～80%。

3、USB-KEY终端设备

终端设备采用USB Key或者USB 密码盒设备，能支持客户端上本地数据存储加密和VPN通信的密钥协商加密算法。目前对本地存储加密采取SCB2和扩散算法结合的方式来加速本地数据存储加密的速度。而对于VPN通信密钥协商算法采用SCB2完成。
USB Key或者USB 密码盒还存储用户的RSA私钥和用户证书，用来进行用户身份认证，认证流程请参考身份认证流程图。对于VPN的密钥协商则采用公钥列表方式来完成，用户的公钥列表集中存放在密钥管理中心。该用户的公钥列表，写入到用户设备中。
对于VPN的隧道加密，设计上是采用了国家密码主管部门批准的加密算法。

4、客户端软件

客户端软件包括USB Key或者密码盒的驱动，VPN客户端的驱动和客户端软件。客户端首先需要安装密码设备的驱动，然后通过WEB方式下载安装客户端软件。客户端使用USB Key或者USB 密码盒会有一个登录过程，需要用户输入密码。这个登录过程可以和VPN的登录合二为一，减少用户输入密码的次数，增加易用性。用户一旦登录，首先启用密码设备，然后读取用户信息和证书，开始基于用户证书的身份认证过程。如果身份认证成功，则开始进行VPN密钥协商（IKE），IKE采用公钥列表方式来建立IKE的会话密钥，采用SCB2来加密IKE的通信。