量子增强IPSec/SSL VPN综合安全网关(KDSVPN)
量子增强IPSec/SSL VPN综合安全网关(KDSVPN),严格遵循国家密码管理政策和相关设计规范,如GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0024-2014《SSL VPN技术规范》等,简化了在实际应用中的复杂配置,有效降低了在实际环境中安全服务的应用成本。适用于处理异地机构远程互联、大型网络中的小型专网搭建、专线改造及替换、行业专网延伸建设、节点之间(点到点、点到端、端到端)多种不同应用场景的高效安全互联,在政府、金融、运营商、能源、交通等领域具有广泛的用途。
1.产品介绍
量子增强IPSec/SSL VPN综合安全网关(KDSVPN),能够实时地为各类应用系统提供基于IPSec协议和SSL协议的数据安全传输服务,保证传输过程中数据的机密性、完整性、不可抵赖性,抗重放攻击以及有限信息流量的保护。支持 SM1,SM2,SM3,SM4 国密算法,满足国家密码管理政策和相关设计规范,提供基于 SM2 证书的身份鉴别,支持 SSL 握手协议和数据传输加密,ESP 协议封装安全报文、双向隧道建立、会话密钥重协商、NAT 穿越等安全功能;支持抗重放攻击、抗 DDos 攻击等;提供图形化安全管理界面,采用 SM2 数字证书、数字签名技术、角色访问控制实现对管理员的安全管理。通过建立 ESP 隧道,提供网络安全密码应用。产品支持扩展万兆网卡,实现性能提升。
2.标准规范
GM/T 0002—2012 SM4分组密码算法
GM/T 0003—2012 SM2椭圆曲线公钥密码算法
GM/T 0004—2012 SM3密码杂凑算法
GM/T 0005—2021随机性检测规范
GM/T 0009-2012 SM2密码算法使用规范
GM/T 0010-2012 SM2密码算法加密签名消息语法规范
GM/T 0016-2012 智能密码钥匙密码应用接口规范
GM/T 0018-2012 密码设备应用接口规范
GM/T 0028-2014 密码模块安全技术要求
GM/T 0022-2014《IPSec VPN技术规范》
GM/T 0024-2014《SSLVPN技术规范》
GM_T 0062-2018 密码产品随机数检测要求
《GB/T 15843.3-2008 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》
3.功能特点
量子增强IPSec/SSL VPN综合安全网关(KDSVPN)能够实时地为应用系统提供基于IPSec协议和SSL协议的数据安全传输服务,保证传输过程中数据的机密性、完整性、不可抵赖性,抗重放攻击以及有限信息流量的保护。科盾IPSec/SSL VPN综合安全网关支持国密标准算法,采用国产芯片实现SM4算法、SM2和SM3算法。IPSec/SSL VPN主要功能如下:
- 提供2路物理噪声源,产生符合GM/T0005规范要求的高质量随机数;
- 支持隧道工作模式和传输工作模式,支持IPv4协议;
- 具有密钥协商和交换功能,通过密钥协商产生工作密钥和会话密钥;
- 提供ESP协议封装安全报文、双向隧道建立、会话密钥重协商、NAT穿越等安全功能,支持安全策略、安全子网策略等的管理与决策;
- 提供SSL协议安全封装功能,具备基于用户和用户组的资源访问控制功能、基于IP地址和端口的网络访问控制、基于web资源URL访问控制等功能;
- 安全报文传输支持抗重放攻击、抗DDos攻击;
- 支持根据时间周期条件进行密钥更新,密钥更新周期可配置,IPSec协议工作密钥最大更新周期不大于24h,会话密钥最大更新不大于1h。SSL工作密钥最大更新周期不大于8h;
- 安全协议采用基于SM2数字证书的实体鉴别功能,能够保证鉴别的完整性和有效性;
- 具备密钥产生、导入、更新、加载、安全存储、备份、恢复、销毁等全生命周期管理功能;
- 具备系统紧急销毁密码机密钥并恢复出厂态功能;
- 支持双机热备功能;
- 运行状态监控功能,通过液晶屏、工作状态指示灯、告警状态指示灯实时显示密码机运行状态;
- 具备日志记录、查看和导出功能;
- 提供图形化安全管理界面,采用SM2数字证书、数字签名技术、角色访问控制实现对管理员的安全管理。
1.1. 基于量子密钥安全增强
量子增强IPSec/SSL VPN综合安全网关(KDSVPN)通过安全传输通道从量子增强密钥管理系统安全下载量子增强密钥,并存于密码设备中。在IPSEC/SSL VPN综合安全网关或与桌面型IPSecVPN安全网关之间与协商会话密钥后,使用量子密钥对会话密钥进行增强,通过量子密钥参与密码保护,增强数据加密的密码强度,提高密钥的鲜活性。
1.2. 设备管理功能
设备管理软件提供IPSec/SSL VPN综合安全网关管理功能,主要包括设备初始化软件、设备自检软件、配置管理软件、密钥应急销毁软件、智能密码钥匙API。
设备初始化软件提供密钥管理介质制作、服务端签名密钥对生成、服务端加密密钥对导入、签名证书及加密证书导入等功能。
设备自检软件提供国密算法正确性自检、随机数上电自检以及随机数周期自检功能。
配置管理提供管理员执行IPSec/SSL VPN综合安全网关配置管理功能的操作界面,包括网络配置、时间周期配置、证书配置、安全策略配置等安全配置给你;管理员日志操作、代理日志操作等日志审计管理功能。
密钥应急销毁管理软件提供应急情况下通过按压应急销毁按钮销毁密码资源算法板上所有密钥数据的功能。
智能密码钥匙API为密钥备份及恢复、设备开机等提供访问智能钥匙功能的接口。
除智能密码钥匙API外,设备管理软件所有功能模块均为公司自主研发。智能密码钥匙选用经过测评符合国密标准的成熟产品。
4.性能参数
|
序 号 |
参 数 |
说 明 |
|
1 |
设备大小 |
2U |
|
2 |
长´宽´高 |
525×480×90(毫米) |
|
3 |
重量 |
小于10Kg |
|
4 |
外壳结构 |
工业钢 |
|
5 |
额定工作电压 |
220V±10% ,50Hz±3 |
|
6 |
工作环境温度 |
0℃~40℃ |
|
7 |
工作环境相对湿度 |
30%~90% RH(40℃) |
|
8 |
电源 |
220V交流输入双电源 |
|
9 |
最大功率 |
65W |
|
10 |
具备密钥销毁物理按钮 |
5.产品部署
量子增强IPSec/SSL VPN综合安全网关(KDSVPN),可进行点对点组网,同时支持与桌面型IPSEC VPN安全网关一对多组网,降低成本,实现对应用的解耦,应用无需集成改造即可快速应用。配合密钥管理系统,实现量子密钥在传统密码设备中的应用,如下图所示:
量子增强IPSec/SSL VPN综合安全网关(KDSVPN)部署模式图
