【文章內(nèi)容簡介】 ，然后對此載荷進行相應(yīng)的安全處理，如加密處理，鑒別處理等，實現(xiàn)對通信的機密性或/和完整性保護。ESP 在封裝載荷時有兩種封裝模式：一是“隧道模式” ，另一是“傳輸模式” 。隧道模式將整個 IP 分組封裝到ESP 載荷中，傳輸模式是將 IP 的數(shù)據(jù)部分封裝到 ESP 的載荷中。在傳輸模式中，IP 頭與上層協(xié)議頭之間需插入一個特殊的 IPSec 頭；而在隧道模式中，要保護的整個 IP 包都需封裝到另一個 IP 數(shù)據(jù)包里，同時在外部與內(nèi)部 IP 頭之間插入一個 IPSec 頭。IPSec 協(xié)議族使用 IKE 密鑰交換協(xié)議來進行密鑰以及其它安全參數(shù)的協(xié)商，由 RFC2409 文件描述的 IKE 協(xié)議是 Oakley 和安全密鑰交換機制（SKEME ）協(xié)議的一種混合，它綜合了 Oakley 和 SKEME 的優(yōu)點，使用了 Inter 安全關(guān)聯(lián)與密鑰管理協(xié)議（ISAKMP ）的語言，形成了自己獨一無二的驗證加密材料生成技術(shù)，以協(xié)商共享的安全策略。IKE 通過兩個階段的協(xié)商來完成安全關(guān)聯(lián)（SA）的建立，第一階段，由 IKE 交換的發(fā)起方發(fā)起一個主模式交換或野蠻模式交換，交換的結(jié)果是建立一個名為 ISAKMP SA 的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起一個快捷模式的消息交換序列，完成用于保護通信數(shù)據(jù)的IPSec SA 的協(xié)商。IKE 在使用預共享密鑰時，只能將預共享密鑰建立在對方的 IP 地址之上，這是使用預共享密鑰時一個已被公認的局限，解決這個問題的一個顯而易見的10 / 31辦法是使用一種建立在公開密鑰基礎(chǔ)（PKI）上的簽名/驗證數(shù)據(jù)加密方法。公開密鑰通常是從電子證書中取得，IKE 允許證書的交換，也允許從對方那里索取證書。目前使用最多也最為常見的公開密鑰算法是 RSA 公開密鑰算法。 用 SJW10 IP 保密機構(gòu)建 VPN 系統(tǒng)經(jīng)國家商用密碼主管部門認證的 SJW10 系列 VPN 產(chǎn)品，由 SJW10 高/中/低 3 檔 IP 保密機、SJW10 IP 安全包和安全管理中心組成，利用 SJW10 系列VPN 產(chǎn)品所構(gòu)成的典型 VPN 解決方案如圖 所示。在圖 中，保密機為 SJW10 IP 保密機，具有高速網(wǎng)絡(luò)傳輸數(shù)據(jù)加密/解密功能。保密機以網(wǎng)橋方式接入本地局域網(wǎng)，用于保護一個局網(wǎng)、或用于保護一臺或幾臺服務(wù)器。保密機的安裝和運行與應(yīng)用軟件和主機類型無關(guān)，安裝靈活便利，即插即用。安全包是 SJW10 IP 安全包，是客戶端 VPN 產(chǎn)品，它可安裝于各種客戶端PC 平臺及移動設(shè)備平臺，支持各種版本的 Uinx / Linux 操作系統(tǒng)及 Microsoft Windows 全線操作系統(tǒng)平臺，用以保護單臺主機設(shè)備，或保護以該主機為網(wǎng)關(guān)的辦公室網(wǎng)絡(luò)環(huán)境。SJW10 IP 安全包由安裝于上述操作系統(tǒng)上的軟件包和硬件加密模塊（加密卡、IC 卡或 USB 加密棒）組成，它既可獨立部署，構(gòu)成一個松散靈活的安全廣域網(wǎng)絡(luò)，也可以與后端的各類 IP 保密機及安全管理中心平臺配合使用，構(gòu)成一個完整的企業(yè)級 IPVPN（IP 虛擬專用網(wǎng)）解決方案。安全管理中心是 SJW10 VPN 環(huán)境中的管理機構(gòu)，其主要功能包括：為整個 VPN 環(huán)境中的 SJW10 設(shè)備簽發(fā)電子證書；遠程管理、配置 VPN 環(huán)境中的SJW10 IP 保密機設(shè)備；接收 SJW10 IP 保密機的遠程注冊、上傳日志并對日志進行分類管理。 由 SJW10 IP 保密機和安全包構(gòu)建的 VPN 網(wǎng)絡(luò)安全解決方案的主要特點是：1. 整體安全性：同時提供網(wǎng)絡(luò)安全訪問控制、數(shù)據(jù)傳輸加密、節(jié)點認證、用戶認證及安全審計功能，同時為應(yīng)用程序提供密碼編程接口，和應(yīng)用程序配合可實現(xiàn)對交易信息的簽名、認證及存儲加密等功能，可作為網(wǎng)絡(luò)系統(tǒng)整體安全解決方案的基礎(chǔ)框架。11 / 312. 健壯性：IP 保密機內(nèi)置定制安全操作系統(tǒng)，具有良好的自身安全性；3. 透明性：現(xiàn)有業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)無須做任何調(diào)整；4. 適應(yīng)性：能很好適應(yīng)各種網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由協(xié)議；5. 標準化：與國際標準 IPsec 接軌；6. 可實施性：安裝、維護簡單快速，可隨時進行而不影響正常業(yè)務(wù)；主機路由器保密機工作站分支機構(gòu)主機安全管理中心路由器保密機總 部……遠程撥號定點用戶（安全包 +密碼設(shè)備）移動用戶（安全包 +USB 密碼設(shè)備）Modem圖 VPN 安全整體解決方案廣域網(wǎng)DDN / FR / / ISDN / Inter …12 / 3113 / 31第二章 青鳥環(huán)宇 VPN 設(shè)備?SJW10 IP 保密機 SJW10 IP 保密機技術(shù)說明 硬件平臺及主要功能SJW10 IP 保密機是具有高可靠、高穩(wěn)定性的網(wǎng)絡(luò)安全設(shè)備，內(nèi)置性能穩(wěn)定、支持連續(xù)運轉(zhuǎn)的工控標準硬件和經(jīng)國家密碼管理機構(gòu)認證的密碼模塊，含有 2 ? 5 個 10/100M 自適應(yīng)的以太網(wǎng)絡(luò)接口，可方便地以網(wǎng)橋方式接入各種拓撲結(jié)構(gòu)的以太網(wǎng)絡(luò)線路之中。采用穩(wěn)定可靠的電子存儲設(shè)備作為系統(tǒng)的主存儲介質(zhì)，所有系統(tǒng)軟件固化在 DOC（DiskOnChip）芯片中，避免了由于易損壞的磁盤介質(zhì)和讀寫磁盤時的機械操作給系統(tǒng)運行帶來的穩(wěn)定性隱患，采用加密存貯 IC 卡進行用戶身份認證和電子證書的管理。保密機使用定制安全操作系統(tǒng)，操作系統(tǒng)的壓縮鏡像和系統(tǒng)配置文件存放在電子盤中，采用先進的內(nèi)存文件系統(tǒng)技術(shù)，使系統(tǒng)運行時所有的文件操作都在內(nèi)存中完成，既大大提高的運行效率，又避免頻繁讀寫電子存儲設(shè)備對其使用壽命造成的影響。用戶可以通過串口或通過網(wǎng)絡(luò)接口，利用 Windows 風格的控制臺界面對保密機進行本地或遠程的設(shè)置和管理。IP 保密機的主要安全功能包括：（1） IP 報文加/解密功能，有選擇地對流經(jīng)保密機的 IP 報文實施應(yīng)用透明加密解密操作并進行完整性認證；（2） VPN 環(huán)境中的節(jié)點身份認證功能，防止非法設(shè)備假冒通訊；（3） 密碼服務(wù)網(wǎng)絡(luò)調(diào)用功能，為其它主機提供密碼服務(wù)調(diào)用接口，包括分組加密/解密，公鑰對生成，簽名/驗證，MAC 生成/驗證等；（4） 分布式密鑰協(xié)商與預共享密鑰共存，密鑰管理便捷、適用；（5） 網(wǎng)絡(luò)安全審計功能，記錄網(wǎng)絡(luò)傳輸情況、保密機的關(guān)鍵操作，以備查詢、分析之用；（6） 保密機之間具有雙機（或多機）互為備份的功能，互為備份的保密14 / 31機之間能夠?qū)崟r地進行密碼同步，保證網(wǎng)絡(luò)密碼通訊的暢通； 軟件系統(tǒng)及網(wǎng)絡(luò)位置保密機軟件系統(tǒng)以定制安全操作系統(tǒng)為基礎(chǔ)，整個密碼機的軟件系統(tǒng)可分為管理界面層、用戶命令層、應(yīng)用編程接口層和核心層（包括：網(wǎng)橋轉(zhuǎn)發(fā)、協(xié)議分析和設(shè)備驅(qū)動）4 個層次，其軟件模塊結(jié)構(gòu)如圖 所示。圖 保密機軟件模塊結(jié)構(gòu)保密機軟件系統(tǒng)的核心是協(xié)議分析模塊，它完成對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議解析，根據(jù)系統(tǒng)定義的各項安全策略對數(shù)據(jù)包進行相應(yīng)的處理，即：根據(jù)加密規(guī)則對流經(jīng)保密機的 IP 包進行密碼處理；根據(jù)審計策略的定義對網(wǎng)絡(luò)數(shù)據(jù)進行登記。15 / 31一般情況下，在多個局網(wǎng)（內(nèi)網(wǎng)）通過廣域網(wǎng)絡(luò)（外網(wǎng)）互聯(lián)時，IP 保密機用于保護各個局域網(wǎng)絡(luò)，對出入局網(wǎng)的所有信息實施密碼保護和網(wǎng)絡(luò)訪問控制。此時，保密機以網(wǎng)橋方式接入在內(nèi)部局網(wǎng)與外網(wǎng)路由器（廣域網(wǎng)路由器）之間，如圖 所示。圖 IP 保密機在網(wǎng)絡(luò)中的位置實際上，保密機可以安放在以太網(wǎng)絡(luò)線路的任何位置，用戶需要保護哪一段網(wǎng)絡(luò)，保密機就可以放置在這個網(wǎng)絡(luò)的出口處，這個網(wǎng)絡(luò)可能是由若干路由器連接的一個局部網(wǎng)絡(luò)（如：建筑物內(nèi)、園區(qū)內(nèi)） ；也可能是由集線器（HUB/交換機）連接起來的幾臺主機；也可能是就是一臺服務(wù)器。 功能指標及配置說明密碼機制? IP數(shù)據(jù)加密/解密及報文認證保密機截獲網(wǎng)絡(luò)上流經(jīng)本機的IP數(shù)據(jù)包，根據(jù)加密規(guī)則對其進行密碼處理，在進行報文加/解密的同時對報文數(shù)據(jù)進行消息認證碼運算，對所傳輸?shù)膱笪倪M行完整性認證。? 支持多種型號的加密卡，支持多種加密算法的混合使用為了滿足用戶對密碼功能的需求，保密機同時支持多種型號的加密卡設(shè)備，支持多種加密算法的混合使用，對用戶提供的新的加密模塊可以做到加載即可用。? 為用戶主機提供網(wǎng)絡(luò)密碼調(diào)用，用戶可以通過調(diào)用SJW10 IP保密機提供的密碼服務(wù)建立自己的安全應(yīng)用系統(tǒng)。主機 安全管理中心路由器保密機交換機內(nèi)部網(wǎng)絡(luò)16 / 31? 支持PKI機制的分布式密鑰自動協(xié)商，同時支持預共享對稱密鑰管理。密鑰管理是VPN系統(tǒng)中核心關(guān)鍵部分，PKI機制利用電子證書進行電子通信的簽名、認證和加密傳送，通過PKI機制用戶可以把密鑰管理分布到各個密碼機上，使需要進行密碼通訊的雙方自行協(xié)商出通訊加密密鑰，極大地方便VPN系統(tǒng)的密鑰管理。? 對稱密碼算法密鑰長度為128位，非對稱密碼算法密鑰長度為1024位。安全機制? 網(wǎng)絡(luò)節(jié)點認證保密機在進行密碼通信前需要進行節(jié)點身份認證，身份認證基于安全管理中心簽發(fā)的電子證書，只有當網(wǎng)絡(luò)節(jié)點認證合法時，保密機才可以進行通信密鑰的協(xié)商。? 網(wǎng)絡(luò)數(shù)據(jù)審計保密機截獲網(wǎng)絡(luò)上流經(jīng)本