■ 文/滕征岑 孙忠伟 吴 强 杜海波

北京中油瑞飞信息技术有限责任公司

大中型跨国企业广域网链路加密系统研究

■ 文/滕征岑 孙忠伟 吴 强 杜海波

北京中油瑞飞信息技术有限责任公司

1.大中型跨国企业组网接入主流技术

1.1.光纤：大中型跨国企业普遍采用的广域网接入方式为IPLC和MPLS-VPN。可实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，集合了公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活和高效，在广域网上应用广泛。

1.2.卫星：特点是通信范围广、可靠性高、链路开通简便。在通信基础设施薄弱或者有线网络难以到达的地方，卫星网络方案常被用作有线网络的延伸，有效解决了因地面环境复杂或分支机构所在国通信设施薄弱或其他情况下的数据传输需求，是跨国企业组网中数据传输的重要链路类型选择之一。

1.3.VPN：既保证网络接入安全，价格又相对实惠，基于internet互联网的VPN，主要有IPSec-VPN和SSLVPN。IPSec VPN提供完整的网络层连接功能，是实现多专用网安全连接的最佳选项；而SSL VPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险，因为用户可运用公众Internet站点接入；IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问（见图1）。

2.大中型跨国企业广域网典型网络架构

海外网络汇聚点设置遵循原则如下：

1）重要业务市场，其所在国家局势较稳定，可设置区域汇聚点；

2）临近区域汇聚点，并有较多业务和分散分支机构的国家或地区，可设置次级区域汇聚点。

分支机构接入海外网络汇聚点采用通讯链路类型的选取原则如下：

1）业务量大，人员数量多，且通信条件较发达的国家和地区，通讯以专线为主；

2）移动性较强、离市区或汇聚点较远的地区，通讯以卫星为主；

3）通信条件较发达的国家和地区，且业务量不是很大，机构或个人相对分散，并有一定的安全性要求和数据回传要求的，通讯以VPN方式为主。

如图2所示，当前业界普遍采用的广域网通讯链路类型主要有：专线、卫星和VPN等。无论是专线、卫星还是VPN链路，都存在远距离传输、跨境国家多的特点，存在数据传输安全隐患。

3.广域网链路加密系统面临的主要问题和难点

1）加密系统要无缝嵌入企业网络中，不能对原有通信体制、网络规划和使用方式造成影响；

2）不能破坏原有数据格式和协议内容；

3）加解密过程不能降低用户原有应用系统的性能，特别是数据信息的传输效率；

4）在满足企业需求的同时，确保加密系统的密钥体制符合国家对商用密码的技术规范要求。

基于以上问题和难点，广域网链路加密系统的设计应遵循以下原则：

1）安全性原则：既要考虑企业业务信息的机密性要求，还需考虑对系统的安全防护要求以及保密系统自身的安全防护要求，在现有的通信系统中建立一套完善的访问控制、身份认证、完整性验证、信息加密等安全防护机制；

2）先进性原则：应保持与国内外最新密码技术、硬件技术和软件技术的同步，在安全体系结构设计、产品集成、硬件驱动、软件优化、网络加速以及安全内核等技术上均有独到之处；

3）可靠性原则：加密系统的安全体系架构设计、硬件设计、软件设计、软硬件集成等均应按照可靠性的要求展开，严格方案设计、研制开发及产品生产过中的质量控制措施，确保系统在性能指标、操作运行等各方面的工作稳定性和可靠性；

4）可操作性原则：加密系统设计应有良好的和便于操作的人机界面，并能提供功能完善的API 接口，确保其开发和使用都十分方便；

5）适用性原则：遵循国际/国内相关卫星通信的标准和协议，确保其具有规范性好，适用性强等特点，能与企业通信网络应用系统实现无缝连接；

6）高效性原则：在确保系统安全强度的情况下，尽可能加快加密系统的信息传输和处理速度，提高加解密效率；

7）规范性原则：严格遵守国家相关法规和标准规范要求，密码模块应采用国家指定的类型。

4.广域网链路加密系统模型设计

广域网络链路加密系统的设计应满足企业对加密系统的主要功能或性能需求，具体如下：

图1 VPN网络接入

图2 大中型跨国企业海外网络架构

1）达到国家有关机构对商用密码算法的加密要求；

2）具有对企业通信系统传输的各类业务数据实施一体化的加密功能；

3）能够适应企业通信系统的多种网络结构、组网方式以及应用模式的要求；

4）信息加解密能满足系统对信息传输质量的要求；

5）密钥由密钥管理中心集中统一管理等。

加密系统的设计包含硬件系统、软件系统和密码密钥保障体系三大主要部分，硬件系统主要组成部分应包括拥有良好性能的服务器物理机、专用密码卡、网卡、身份卡读写器等主要部件；软件系统主要组成部分应包括安全定制的底层系统内核、专用驱动程序、密码服务管理等功能模块，能够快速高效地完成通信系统前向链路业务数据信息的加密，以及反向链路业务数据信息的解密。

4.1. 密码密钥保障系统结构

密码密钥保障系统是加密系统设计的核心部分，考虑了密码在生成、存储、远程分发过程中的合法性和保密性，设计出三层密钥管理保障体系结构。加密系统采用标准密码算法配置（SM1、SM2、SM3算法）、工作密钥端端配对、多级密钥结构的密码密钥保障体系。密钥类型主要包括：

1）存储保护密钥：用于对其他各种密钥和关键参数的存储保护；

2）设备身份密钥：用于本机身份认证和对密钥远程分发过程的密码保护；

3）密钥加密密钥：用于对工作密钥的加密保护；

4）工作密钥：用于对用户业务数据的密码保护。

4.2. 密码算法

设计采用对称分组密码算法、非对称密码算法和密码杂凑算法，密码运算中使用的随机数由物理噪声源产生。其中：

1）对称分组密码算法采用SM1算法；

2）非对称密码算法采用SM2算法；

3）密码杂凑算法采用SM3算法；

4）随机数使用密码卡获取，充分保证产生的随机数具有很好的随机性。

加密系统所支持的密码算法均设计有具备对密码算法、软硬件模块的完整性、正确性等检验的安全机制功能，确保密码算法始终处于正确、安全的工作状态中。并且加密系统所有产生的密钥、认证时的随机参量、毁密时的填充数均将由密码卡产生，确保了密码算法的随机性，排除了人为操作的可能。

4.3. 加密方式

充分调研大中型跨国企业的组网方式，提出“硬件加密”的加密方式，具体实现采用“净荷加密”。其突出优点是：

1）不仅能够支持单播数据加解密的常规性加密需求，还能够支持企业对组播数据的加解密需求，在实际应用网络环境中，组播是较为常见的网络传输方式，比如组播视频会议等；

2）支持多链路业务均衡加密，多条链路可灵活切换，多链路业务是大中型跨国企业常见的跨国组网方式且应用较为普遍；

3）业内常用的隧道加密设备只能成对出现，而在大中型跨国企业广域网网络环境中，数量繁多的分支机构对加密系统的需求，要求任意两个机构之间都能够通过灵活的策略配置功能，实现多台加密设备串联模式，这也是本加密系统采用“硬件加密”技术的一个创新点，能够有效地解决上述问题。

4.4. 数据加密流程

本加密系统设计采用透明网桥的方式部署在企业通信网络中，截获网络中传输的业务数据，然后对其进行加解密，保证了数据的完整性要求。根据企业可能设定的需求，将业务数据的加解密设定成两种方式：“净荷加密方式”和不加密方式。其中，对数据包有效载荷部分进行加密，称作“净荷加密”。

4.5. 加密系统安全防护机制

1）设计采用没有给定区域地址划分的密钥管理配置方案，不同的业务信息路由使用不同的信息加解密密钥，确保了全网信息加解密按不同路由进行分割；每个区域节点只拥有与自己加解密信息相关联的密钥，加密系统中单个加密部分的安全威胁只影响与该加密部分相关联的业务信息的安全，全网其他企业业务信息的安全不受影响；

2）采用集中的密钥维护策略，密钥管理安全可控。采用远程在线密钥分发机制，密钥配置灵活方便，可实现加密系统安全可靠的快速布置和调整；

3）具有远程遥控清除加密系统中密钥和关键参数的能力，可在紧急情况下对加密系统任意部分实施有效隔离，确保整个通信系统的安全。X