量子增强SSLVPN(KDSSLVPN)

量子增强SSLVPN(KDSSLVPN)适配龙芯平台、中标麒麟操作系统等国产自主可控软硬件平台。基于国家密码管理局颁布的国密标准规范研发,支持SM2、SM3、SM4国密标准密码算法,由SSLVPN网关和客户端软件组成,主要用于对用户访问受保护网络进行访问控制,支持密码可加载可更换、密钥在线管理等功能,提供客户端访问服务端IP数据加密的SSL通道,工作密钥量子增强,具备比较完善的自我防护机制。

分享

相关产品

 
 

1. 产品介绍
量子增强SSL VPN遵循《GM/T 0024-2014 SSL VPN技术规范》进行研制。采用SM2算法用于身份鉴别、数字签名、密钥交换等;采用SM4算法CBC模式,用于密钥交换数据和报文数据的加密保护;采用SM3算法用于对称密钥生成和完整性校验。
量子增强SSL VPN通过基于数字证书的身份认证访问控制措施,构建远程终端与企业内部应用服务器之间的安全加密通信网络,保证仅系统授权认证的用户能够访问内部应用,而对非授权用户的访问进行拦截阻断,从而极大的增强企业内部应用系统的安全性。
量子增强SSL VPN在客户端和服务器端协商的传输保密密钥的基础上,结合量子密钥管理系统下发的量子密钥,对数据保护密钥进行增强,将量子密钥应用到数据传输加密保护中,增强数据传输加密强度。

 

2、标准规范

(1)GM/T 0002—2012 SM4分组密码算法

(2)GM/T 0003—2012 SM2椭圆曲线公钥密码算法

(3)GM/T 0004—2012 SM3密码杂凑算法

(4)GM/T 0005—2021 随机性检测规范

(5)GM/T 0009-2012 SM2密码算法使用规范

(6)GM/T 0010-2012 SM2密码算法加密签名消息语法规范

(7)GM/T 0016-2012 智能密码钥匙密码应用接口规范

(8)GM/T 0024-2012  SSL VPN 技术规范

(9)GM/T 0028-2014 密码模块安全技术要求

(10)GM_T 0062-2018 密码产品随机数检测要求

(11)《GB/T 15843.3-2008 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》

 

3.产品特点
量子增强SSL VPN作为传输层安全防护主要产品,多家厂商提供了比较丰富的产品,与主流SSLVPN相比,本产品具有以下特点:

序号

系统特点

1

严格遵循GM/T0024-2012、GM/T0025标准进行研制

2

SSLVPN证书基于SM 密码算法的数字证书格式规范

3

支持URL级别访问控制

4

支持TCP静态端口访问控制

5

支持IPOverSSL的安全传输模式

6

接受量子增强安全服务平台的统一管理,管理代理与量子增强安全服务平台之间遵循GM/T0050、GM/T0051标准传输协议,并基于量子密钥对数据安全通道数据加密密钥进行密钥叠加,以增加数据安全传输通道的加密强度。

7

基于量子增强安全服务平台分发的量子密钥与协商密钥进行叠加运算,增强SSLVPN客户端与服务端的数据传输加密安全性。

SSLVPN客户端密码运算基于GM/T0016-2016标准规范开发,便于持有不同智能密码钥匙的SSLVPN客户端接入。

SSLVPN服务端采用web配置管理模式,管理员从内网口登录SSLVPN配置界面进行访问控制规则的配置。

10

SSLVPN客户端在与服务端握手协商后,自动从服务端获取可访问的资源信息并提供资源展示界面,方便客户端用户进行操作。

11

SSLVPN配置管理员采用基于角色的访问控制策略,提供系统管理员、操作员、审计员三权分立的管理模式,增加SSLVPN设备自身的安全性。

12

SSLVPN客户端体提供安全运行环境检测功能,确保安装了必要的安全软件及安全策略设置才可以启动SSLVPN客户端。

13

SSLVPN设备端提供密钥紧急销毁功能,通过控制面板销毁按钮可以销毁SSLVPN关键密钥数据,确保系统的使用安全。

 

3、主要功能
1)具备SSL VPN客户端和服务端基于SM2格式的证书认证和身份鉴别能力。
2)具备URL级别访问控制和数据传输加密能力。
3)具备TCP静态端口代理和数据传输加密能力。
4)具备基于虚拟网卡的网络访问控制和数据传输加密能力。
5)具备基于时间窗口的访问控制策略。
6)具备密钥全生命周期安全管理能力。
7)具备接受量子密钥管理中心量子密钥安全分发的能力。
8)具备利用量子密钥对协商密钥进行叠加运算增强数据保护密钥强度的能力。
9)具备与支持GM/T0024标准的SSL客户端互联互通的能力。
10)具备基于B/S架构的安全配置管理能力。
11)具备密钥紧急销毁能力。
12)具备客户端可访问资源额自动获取和展示能。


4、 主要性能
(1)业务能力
1)能支持至少2000个用户应用的并发访问连接,可扩展。
2)在实现传输层业务数据安全保护时,网络吞吐率能达到600Mbps。
3)支持WEB代理.TCP代理或IP隧道应用模式;
(2)系统运行可靠性指标
1)支持7*24服务。
2)MTBF: 大于2000小时。
3)MTTR:小于0.5小时。

 

5. 产品部署
5.1.部署模式
量子增强SSL VPN,实现对应用的解耦,应用无需集成改造即可快速应用,并支持Windows、Linux、Android等多种客户端部署应用模式,如下图所示:

5.2量子密钥安全增强
量子增强SSLVPN通过安全传输通道从量子增强安全服务平台安全下载量子增强密钥,并存于密码设备中。在SSLVPN客户端与SSLVPN服务端安全协商数据加密密钥后,双方通过量子增强密钥与协商密钥在密码设备中的运算,获得新的数据加密密钥,通过量子密钥参与密码保护,增强数据加密的密码强度。