纵向加密机设计原理.ppt

纵向加密装置原理培训教材中国电子科技集团公司第三十研究所 成都卫士通信息产业股份有限公司纵向加密装置设计目的设计目标 为了保证能够实现《二次系统总体方案》中要求的安全防护功能，满足二次系 统安全防护要求，为国家电力调度通信系统的纵向数据传输提供保密性和完整 性保障，并且能够保证和其他厂家的装置之间实现互连互通，以及装置的安全 性与可管理性 设计原则 整个系统在体系结构的设计上采用了分布式管理的思想，对系统中的装置实施 分布式的管理，装置之间采用公开密钥体制进行相互间身份认证，防止身份假 冒，主要设计原则如下： •安全性：即装置自身和装置所能提供的各项功能要有足够的安全性 •实用性：整个设计过程中本着面向市场，面向用户的原则，以设计合格的产品 为指导思想装置能够适应多种网络环境和网络业务，能够适应比较恶劣的工 作环境和长时间运行的要求 •易用性：在管理上尽量减少对用户的要求和工作量整个系统的可维护性和可 扩展性好，便于系统升级，能够适应网络环境的动态变化 •高性能：设备在加强电力调度系统的业务安全的同时，不能影响系统业务自身 的处理 装置设计原理•装置保护网络中的通信数据的机密性、完整性，并对网络访问 进行有效的身份认证。

•装置把整个用户网络划分为内部网络和外部网络 •对从外部网络到内部网络的通信首先，装置对外部用户的身 份进行验证，这个验证基于数据包的IP地址；然后，根据配置 的安全策略，丢弃没有通过身份认证的数据包，解密通信对方 进行了安全保护的数据包（加密、认证）；最后，对通过安全 处理的数据包转发给内部网络 •对于从内部网络到外部网络的通信，装置检查内部用户是否有 权限访问外部网络，如果没有权限，禁止其通信对于有权限 的用户，对网络通信进行安全保护（加密、认证），并通过外 部网络转发通信对方 •装置对访问自身的通信进行非常严格的保护，只有持有管理中 心发出的IC卡（代表管理员身份）才能访问装置，并对系统进 行安全策略、安全设置等操作 装置体系设计 系统主要的功能性模块由主处理模块、密钥协商模块、加 密报文模块、IP报文过滤模块、安全管理模块、双机备 份模块、设备监控模块等七大部分组成，系统主要功能 模块结构如下图所示•主处理模块功能 主处理模块是装置的核心处理部分它负责数据包的过滤、安全规则匹配 、数据包加解密、数据包封装、网络数据包接收和发送、内存管理、文件 系统管理等功能 •密钥协商模块功能 密钥协商模块主要负责装置之间数据密钥的协商，其过程包括：1）装置 身份认证部分；2）会话密钥交换部分。

并且支持双机备份工作模式下的 密钥协商 •加密报文模块功能 加密报文模块在处理数据包时,采用特定协议号进行封包处理，除了对原有 的数据包进行加密，还要在原数据包前面根据隧道封装一个新IP头 •IP报文过滤模块功能 装置利用IP报文过滤来实现安全策略的目地 装置对进出系统的所有数据包实施基于安全策略的检查，数据包的过滤检 查有入、转发和出三次检查根据安全规则的设置，对通过的IP数据包的 协议类型、协议选项、源/目的地址、源/目的端口等过滤条件判断，并做 相应的处理处理种类包括对数据包的允许、丢弃、加/解密三项所有处 理均在操作系统内核层进行 主要模块功能介绍• 安全管理模块功能 安全管理包括本地管理与远程管理 • 本地管理模块主要包括设备初始化、设备配置（包括管理员 认证、证书导入、IP地址配置、各种规则添加等），为用户 提供一个可视化的串口管理界面，能够让用户直观的配置装 置 • 远程管理模块主要接受管理中心的远程查询和管理(包括日 志查询、规则查询、设备状态查询、隧道管理、规则管理等 )，对处理结果进行加密并返回给管理中心 • 双机备份模块功能 双机备份模块实现了装置双机备份功能，通过装置及其相关 网络设备的冗余，增强网络接入环节的可靠性。

• 设备监控模块功能 状态监控模块主要负责监控装置内部各个进程的运行状况和 加密卡的工作状态，发现异常，立刻示警装置密码设计 •密码算法设计 装置使用对称加密算法、非对称算法、散列算法等密码算法 对称加密算法采用国家密码管理局批准使用的SSX06密码芯片，分组长度为128位，密钥长度 为128位，主要用于保护设备之间的通信数据加密它设计成专用的硬件加密卡，算法只能在 卡中完成数据加解密操作，它不会以任何形式存在于装置的内存中或其它可读写的存储介质 上 非对称算法用于数字签名和数字信封，采用标准RSA算法，密钥长度为1024位 散列算法用于数据完整性验证，采用目前广泛应用的标准MD5算法 •密钥管理设计 装置使用的密钥包括：设备密钥、会话密钥、通信密钥 为了提高密钥产生质量，降低密钥风险，装置采用了专用的硬件随机数生成器WNG-4物理噪 声源芯片 设备密钥为非对称密钥，配置在装置和装置管理系统中，用于设备的认证与会话密钥的协 商设备密钥由装置产生，其私钥保存在装置内，公钥经调度数字证书服务系统签名，以数 字证书的方式发布 会话密钥为对称密钥，用于装置之间的通信数据加密，会话密钥由设备在建立安全通道时 动态协商产生，拆除通道时失效；安全通道一旦建立以后，会话密钥主要有以下产生方式：1 ）人工协商：由管理员通过管理界面提供的密钥协商功能进行操作；2）自动协商：密钥协商 程序根据设置的协商时间定时自动协商，缺省为24个小时，用户可以通过管理界面修改；3） 开机协商：加密认证装置在启动时，初始化完所有的配置参数时自动启动密钥协商功能。

通信密钥为对称密钥，用于装置管理系统与设备之间管理数据通信加密，通信密钥一次一 密，通过数字信封随管理报文传输到每个与之连接的设备 • 认证安全设计 装置建立起以非对称密钥技术为基础的认证体系，认证操作方面 包括：装置认证安全、管理员认证安全、管理中心认证安全等 u 装置认证安全 装置之间建立安全隧道的过程中，会利用各自的私钥进行签名， 并在另一台装置进行验证，验证通过后方能建立安全连接，从而 保证通信双方身份有效性 u 管理员认证安全 在对装置进行操作时，会进行操作员、操作员卡和装置之间的人 、机、卡认证，认证通过后才能取得对设备的操作许可，从而保 证本地管理员身份有效性 u 管理中心认证安全 管理中心在对装置进行远程管理时，管理中心会发出有自己签名 的数据包，该数据包还包括一份由装置证书加密的数字信封，信 封内是通信密钥装置接收到该包后，一方面利用管理中心的证 书验证中心的有效性，另一方面利用自己的私钥打开数字信封获 取密钥这样就有效保证了管理中心与装置的身份有效性目的：通过密钥协商生成会话密钥为对称密钥，用于装置之间的通信数据加密，会话密钥由设备在建立安全通道时动态协商产生，拆除通道时失效； 密钥协商方式：•人工协商：由管理员通过管理界面提供的密钥协商功能进行操作；•自动协商：密钥协商程序根据设置的协商时间定时自动协商，缺省 为24个小时或者100000个数据包，用户可以通过管理界面修改。

•开机协商：加密认证装置在启动时，初始化完所有的配置参数时自动启动密钥协商功能 密钥协商设计密钥协商设计 密钥协商过程状态密钥协商过程状态– 初始状态，INIT纵向加密装置刚启动时，处于该状态– 已发出协商请求状态，REQU_SENT该状态表示装置已经向对方发出 协商请求包– 已发出响应包状态，RESP_SENT该状态表示装置已经收到对方的请 求包，并已向其发出响应包– 密钥协商成功状态，OPENED会话密钥协商完成，装置进入正常加密 通讯状态INITREQU_SENTRESP_SENTOPENED会话密钥协商具体过程会话密钥协商具体过程 密钥更新实现过程密钥更新实现过程• 为了保障电力监控数据和电力调度数据在网络上传输 的安全，重要信息不会被窃取和监听，保障调度通信 中心内部局域网网络结构以及内网主机地址不会在外 网被泄漏，加密认证装置在处理数据包时除了用国密 办批准的专用加密算法对原有的数据包进行加密，还 要在原有的数据包前面根据隧道封装一个新的IP头， 新IP头的源地址和目的地址均是隧道的起始地址和终 止地址，新IP头中的协议号改为为50（ESP）；为了 提高加密强度，增强密文抗攻击能力，通过变换IV来 实现一包一密，在每个数据包的old IP Header和new IP Header之间填充4个字节的IV，加密认证装置在加 解密数据之前首先利用MD5算法将IV扩充成16个字节 ，作为加密初始向量。

通信数据安全处理 • 包格式如下：装置启动流程装置网络处理流程谢谢。