SJW77网络密码机培训资料.ppt

培训内容• • 电力专用纵向加密认证装置简介电力专用纵向加密认证装置简介 • • 装置安装及使用装置安装及使用 • • 装置实施拓扑演示装置实施拓扑演示 • • 常见问题及解决办法常见问题及解决办法 • • 运行维护运行维护电力专用纵向加密认证装置简介电力专用纵向加密认证装置简介一、设计目标一、设计目标 二、体系结构二、体系结构 三、功能指标三、功能指标一、设计目标一、设计目标• 装置满足二次系统安全防护要求：装置严格安装《电力系统专用纵向 加密认证装置技术规范 》设计 • 装置之间互连互通装置能与符合《电力系统专用纵向 加密认证装置技术规范 》的装置互通• 数据传输要求： 准确、及时、安全、保密二、体系结构三、功能指标规范要求– 安全隧道 数据包加密 – 设备和管理员身份认证 访问控制 – 本地软件升级 旁路自适应功能 – 硬旁路 网络地址借用特色功能– 开壳毁钥和手动毁钥 – 初始化物理保护开关 – 支持多种旁路：按键硬旁路、关机硬旁路、软旁路 – 支持使用链路备份的网络环境装置安装与使用一、本地管理软件本地管理软件通过串口对纵向加密装置进 行管理。

它包括装置初始化操作和装置本地配 置管理两部分本地管理程序启动时，将自动 检测装置当前的状态，以选择启动初始化程序 或本地管理程序本地管理配置软件安装在用户PC机上，与网络 密码机通过串口进行连接和通信，程序启动时 用户需要指定PC机的串口启动本地管理程序二、系统初始化二、系统初始化ØØ 证书概述证书概述ØØ 初始化流程初始化流程ØØ 初始化实例演示初始化实例演示１、证书概述１、证书概述纵向加密认证装置使用非对称算法进 行装置与管理中心之间认证、装置之间的 密钥协商和本地操作员的人机卡认证装置在初始化过程中调用非对称算法 生成公私钥对私钥存放在加密卡或操作 员卡中，公钥存放与证书请求文件中1.1、证书生成把生成的证书请求文件传入证书签发中心，通 过证书签发中心的审核，生成相应的数字证书1.２、证书分类纵向加密装置使用三种证书：本地操作员证书 操作员和纵向加密认证装置的人机卡认证 设备证书 用于装置之间认证和密钥协商一台装置只 能有一个设备证书 管理中心证书 管理中心对装置管理过程中的合法性验证2、初始化流程３.1 、产生本地操作员卡 加密认证装置在使用时必须对管理员进行身份认证系统 初始化时先要产生管理员卡和管理员证书请求，同时将证书请求 由证书签发中心签发，签发得到的本地操作员证书再导入加密装 置。

本地管理程序每次登录是都需通过此证书验证操作员的有效 合法性3、初始化实例演示３.2、导入本地操作员证书把证书签发中心签发的本地操作员证书导入到加密认证装 置中导入成功后，才能进入下一步操作 ３.3、验证本地操作员通过ＰＩＮ口令验证本地操作员对本地操作员卡的有效性及持卡操作员的身份进行验证 ３.4、生成设备证书请求纵向加密装置产生设备私钥，并导出设备证书请 求，又证书签发中心签发导入其他纵向加密装置3.5、导入管理中心证书将中心管理员的证书导入到加密装置中，需要指 定证书的拥有者是中心主管理员或者中心副管理员 以便纵向加密装置能被管理中心远程管理３.6、导入其他装置证书 纵向加密装置需要导入其它加密设备的证书，用 来进行密钥协商等操作 此操作可重复操作３.7、初始化完成初始化过程成功完成后，纵向加密装置将会对设 备的状态信号进行置位，并且启动本地管理界面对设备进行本地化管理配置 三、装置配置使用三、装置配置使用ØØ 系统配置系统配置ØØ 证书管理证书管理ØØ 隧道、规则管理隧道、规则管理1、系统配置系统管理部分分为网络设置、VLAN设 置、系统设置四部分1.1、网络设置• 网络地址：网络地址管理是对纵向加密装置的网络地 址进行配置和管理，包括纵向加密装置地址的显示和 配置，操作员可以修改加密装置的网络地址。

• 网络路由：网络路由的功能包括有网关、子网路由及 可访问主机路由的设置及网络路由的显示和删除• ARP表：用于查询加密装置的APR信息 1.2、VLAN设置 根据用户实际使用的网络结构，可能需要对纵向 加密装置进行VLAN设置加密装置的VLAN设置包括 VLAN的添加、修改及删除VLAN在添加时可以指定 VLAN的类型，包括指定地址范围、指定子网和指定接 口等形式 • 系统备份：对纵向加密装置的重要数据进行本地备份， 主要包括规则、隧道等信息 • 系统恢复：当系统毁钥或者重要数据丢失时，将备份的 数据恢复到设备中 • 系统毁钥：系统毁钥属于危险性操作，毁钥将会删除系 统所有重要数据，包括隧道、规则，系统保存的各种证 书、私钥等信息执行系统毁钥操作后，纵向加密装置 的至为未初始化态 • 系统重启：系统重启操作将使管理员能够通过管理界面 控制纵向加密装置重新启动1.3、系统设置 • 显示系统参数：显示装置当前重要的参数信息，包括密 钥使用的有效时间、密钥设定的最大加密包数、软旁路 模式及VLAN模式（TRUNK或非TRUNK），工作模式（有无 ip） • 设置系统参数：对装置重要参数进行设置。

2、证书管理认证管理是对有关用户及设备的合法 性及有效性的管理设置,是配置纵向加密 装置极为重要的部分包括证书和口令两 部分证书管理工作包括装载证书、配置证书、 卸载证书及导出证书申请 2.1、证书管理 • 装载证书：管理员可以通过此操作向纵向加密装置装 载设备及中心管理员证书操作过程中管理员可以同 时选择多个证书同时装载 • 配置证书：配置证书操作是指为证书绑定地址，每个 证书都有与之唯一匹配的地址信息绑定证书地址是 极为重要的 • 卸载证书：管理员可以选择证书进行卸载 • 导出证书申请：纵向加密装置产生设备公私钥对，私 钥存在于加密卡中，公钥以证书申请文件输出证书 申请经证书管理中心签发后生成装置的数字证书系 统初始化过程中，如果生成了设备证书请求，可以不 执行此操作2.2、口令管理 用户口令操作可以修改管理员的本地管理界面登录口令 3、隧道、规则管理隧道策略管理部分分为隧道设置、规 则设置、设备状态和隧道状态四部分3.1、隧道管理 隧道用于定义纵向加密装置通信双方的通信参数 ，并指定一条隧道号用于双方的通信，双方更细化的 通信方式由隧道规则定义其定义细节包括：隧道名 、隧道类型、目的地址、备用目的地址、旁路自适应 开关及隧道通信模式等。

隧道管理包括隧道的添加、 更改和删除等操作 • 添加：添加一条隧道并设定相关参数 • 更改：对指定的隧道的参数进行修改• 删除：先点击显示按钮，显示当前的隧道，再 用鼠标选择需要删除的隧道，按删除键将删除 指定的隧道3.2、规则管理 规则管理是对纵向加密装置的隧道进行详细的定 义，定义的细节包括有地址的设定、端口的设定以及 协议、规则、加密状态等的设定隧道安全规则是基 于隧道而定义的，所有规则定义必须指定相应的隧道 名管理设置选择包括规则的添加、更改及删除等添加：添加一条隧道规则定 更改：对规则的参数细节进行更改 删除：删除指定的规则3.3、隧道状态查询隧道的各种状态信息管理员也可以指定隧道，设 定刷新时间，动态的进行隧道状态的查询4、双机热备配置4.1、典型拓扑图以上拓扑图为双机热备的 典型通信网络部署图其 中省调采用两台SJW77网络 加密机部署保证正常的网 络通信，适应vrrp或者 hsrp的网络环境 加密机SJW77-1采用普通模 式接入网络，设置ip地址 为Virtual ip，加密机 SJW77-2采用地址借用模式 接入网络,借用加密机 SJW77-1的网络地址 (Virtual ip)。

4.2、关于双机热备的一些说明• 远端装置视本端两台加密机为同一台装置两 装置建立相同的隧道，加解密工作过程中不存 在主备关系，加密机在加解密过程遵从谁收到 包谁处理的原则 • SJW77启动时根据心跳口ip地址大小确定加密 机主备机，主机心跳口IP地址大且初始化为主 机，备机心跳口IP地址小且初始化为备机 • 本系统必须工作与心跳口连接正常的情况下， 所以对心跳口有检测报警机制当心跳口网线 断开时，本系统会在5秒之内探测到，并且发 出报警声4.3、配置界面• 单击主界面“系统管 理”下的“双机热备” 选项菜单进入双机热 备配置对话框 • 打开系统界面时，显 示的是当前加密机的 双机热备配置与运行 情况单击 主界面“系统管理”下的“双机热备 ”选项 菜单进 入双机热备 配置对话 框（图1-1） 打开系统界面时，显示的是当前加密机的双机热备 配置与运行情况某单位典型网络拓扑图常见问题及疑难解答 1、内外网口区分错误 在搭建网络时，很容易把纵向加密装置的内外网口区 分错误，这样会导致加密机无法正常的工作在安装纵向 加密装置时，一定注意纵向加密装置内网口接装置保护的 子网或者受保护的业务通信主机。

2、忘记证书配置地址在添加对端设备证书时，很容易忘记配置设备证书对应 的IP地址这样会导致加密机密钥协商不成功因此在添 加设备证书的时候一定要准确配置证书的地址3、密钥协商失败出现密钥协商失败的原因很多，一般情况有如下几种原 因：•网络没有连通这需要技术人员根据实际网络予以判断本地管理界面 提供了一个探测对方的功能，可以作为一个判断方法•没有配置对方证书管理员添加隧道的时候不是从下拉列表中选取的对 方装置地址，而是自己手动填写的地址如果发现某条隧道不能密钥协 商，是否为对方地址绑定了证书•加密卡出现异常，导致公私钥运算错误1、应确保设备的使用环境干净、干燥； 2、请勿剧烈振动、摇晃或用力敲打设备； 3、避免在过高或过低温度的环境下使用设备，避免设 备暴露在强烈日光下或湿度较高的环境中； 4、请保持设备远离强电磁场，远离水源及灰尘较多的 地方使用； ５、当设备出现故障时，应立即切断电源，停止使用 ；请勿私自拆开或维修；产品维护谢谢！。