1.产品简介

量子增强桌面型IPSec VPN安全网关（KDCVPN），符合《GM/T 0022-2014 IPSec VPN技术规范》等国家密码管理局颁发的商用密码标准规范，提供基于 SM2 证书的身份鉴别，支持ESP 协议封装安全报文、双向隧道建立、会话密钥重协商、NAT 穿越等安全功能；支持抗重放攻击、抗 DDos 攻击等；支持 SM1、SM4 分组密码算法及 SM2 非对称密码算法，提供图形化安全管理界面，采用 SM2 数字证书、数字签名技术、角色访问控制实现对管理员的安全管理。通过建立 ESP 隧道，提供网络安全密码应用。

2.标准规范

• GM/T 0002—2012 SM4分组密码算法
• GM/T 0003—2012 SM2椭圆曲线公钥密码算法
• GM/T 0004—2012 SM3密码杂凑算法
• GM/T 0005—2021随机性检测规范
• GM/T 0009-2012 SM2密码算法使用规范
• GM/T 0010-2012 SM2密码算法加密签名消息语法规范
• GM/T 0016-2012 智能密码钥匙密码应用接口规范
• GM/T 0018-2012 密码设备应用接口规范
• GM/T 0028-2014 密码模块安全技术要求
• GM/T 0022-2014《IPSec VPN技术规范》
• GM_T 0062-2018 密码产品随机数检测要求
• 《GB/T 15843.3-2008 信息技术 安全技术 实体鉴别 第3部分：采用数字签名技术的机制》

3.功能特点

产品内部集成CPU、密码运算芯片、物理噪声源芯片、网络接口、4G通信模块、SD存储卡等主要元器件，采用嵌入式操作系统，运行设备管理软件、IPSec协议处理软件、密码服务软件/固件。采用3个智能密码钥匙作为管理员身份认证介质。

• 提供2路物理噪声源，产生符合GM/T0005规范要求的高质量随机数；
• 支持隧道工作模式和传输工作模式，支持IPv4协议；
• 具有密钥协商和交换功能，通过密钥协商产生工作密钥和会话密钥；
• 提供ESP协议封装安全报文、双向隧道建立、会话密钥重协商、NAT穿越等安全功能，支持安全策略、安全子网策略等的管理与决策；
• 安全报文传输支持抗重放攻击、抗DDos攻击；
• 支持根据时间周期条件进行密钥更新，密钥更新周期可配置，工作密钥最大更新周期不大于24h，会话密钥最大更新不大于1h；
• 安全协议采用基于SM2数字证书的实体鉴别功能，能够保证鉴别的完整性和有效性；
• 具备密钥产生、导入、更新、加载、安全存储、备份、恢复、销毁等全生命周期管理功能；
• 具备系统紧急销毁密码机密钥并恢复出厂态功能；
• 运行状态监控功能，通过电源指示灯、告警状态指示灯、告警信息指示灯灯实时显示密码机运行状态；
• 具备日志记录、查看和导出功能；
• 提供图形化安全管理界面，采用SM2数字证书、数字签名技术、角色访问控制实现对管理员的安全管理。

3.1 基于量子密钥安全增强

量子增强桌面型IPSec VPN安全网关通过安全传输通道从科盾密钥管理系统安全下载量子增强密钥，并存于密码设备中。在桌面型IPSecVPN安全网关之间或与IPSEC/SSL VPN综合安全网关协商会话密钥后，使用量子密钥对会话密钥进行增强，通过量子密钥参与密码保护，增强数据加密的密码强度，提高密钥的鲜活性。

3.2 设备管理功能

设备管理软件提供量子增强桌面型IPSec VPN安全网关管理功能，主要包括设备初始化软件、设备自检软件、配置管理软件、管理员身份鉴别与权限控制。

4.产品部署

量子增强桌面型IPSec VPN安全网关（KDCVPN），可与IPSEC/SSL VPN综合安全网关进行一对多组网，构建加密链路，降低密码设备成本，实现对应用的解耦，应用无需集成改造即可快速应用，支持有线、无线多种网络，部署简便。配合密钥管理系统，实现量子密钥在传统密码设备中的应用，如下图所示:

量子增强桌面型IPSec VPN安全网关（KDCVPN）部署模式图