第一章   客户需求分析

1.1  客户现状和需求

XX财政局作为政府机关，在不断的使用各种电子信息化来提升办公效率。在信息化的发展过程中，率先采用而来奥联的APNGW5000型号设备来进行IPSEC VPN网络的互联。在保证安全的基础上来，同时节约了办公成本。

随着信息化的发展，XX财政局有越来越多的移动办公需求。主要的需求有以下几点：

一、             在移动办公的过程中，因为所使用的登录电脑无法保证系统安全，所以要避免采用传统的用户名密码的登录方式，以保证用户身份不被泄露。

二、             随着3G线路的发展，用户终端不单是PC终端和笔记本，还需要使用智能手机登录，使用安全数据加密的方式连接到财政局内网。

三、             设备需要具有审计功能，能记录每个用户的访问时间和访问内容。

  根据客户的需求，我们建议客户采用奥联的远程接入设备RS8000。RS8000设备是基于NTLS协议开发的设备。NTLS，英文全称是Next generation Transport Layer Security，它是下一代的传输层安全技术，采用多框架密钥交换协议和基于标识的数据加密技术。使用NTLS的组网方式能充分满足客户所要求的安全加密、方便应用、灵活部署和简单维护的组网要求。

 

2.1  网络拓扑

     本方案网络拓扑如下图所示：

2.2        方案说明

2.2.1服务端部署

1)  RS8000设备统一接入平台以单臂的方式接单位总部内网的。这样就可以不改成来宾财政局现有的网络结构，只需要将RS8000的设备的远程接入端口映射到公网上即可。RS8000能直接大量的远程移动用户的接入，能充分满足来宾财政局现阶段和以后的远程接入的需求。

2)  各分支单位、移动办公用户、出差员工就可以用IBC Key通过公网和单位总部网关GW 5000NP的映射与内网的RS8000统一接入平台建立连接，形成一个虚拟局域网。

3)  RS8000统一接入平台可以针对不同标识的用户进行权限的控制，并且能记录每个用户的访问时间和访问内容用用于审计。

2.2.2 客户端布属

1、电脑+IBCkey的接入方式

用户可以使用奥联的IBCkey，插于连接互联网的电脑上，无需安装任何驱动和软件，便能直接接入来宾财政局内网的奥联统一接入认证服务器，从而建立安全的加密VPN隧道，保证整个财政数据传输的安全性。使用奥联的IBCkey还能防止电脑上的恶意木马和病毒窃取用户信息和密码，保证整个系统的安全性。只要任何连接互联网的电脑终端可以使用IBCKEY的方式来连接，大大增加了系统的灵活性和降低了系统的成本。如下图所示：

2、智能手机的接入方式

可以使用智能手机的方式接入奥联安全认证服务器。接入所需的私钥通过手机下载的方式，存储于手机中。移动的智能手机终端使用无线网络的方式接入奥联安全认证服务器，通过加密的VPN隧道方式服务器集群。目前可以支持的智能手机的操作系统有Windows Mobile和Android。

 

2.3        技术描述

2.3.1  IBC技术简介

IBC，Identity-Based Cryptograph的缩写，就是基于标识的密码体系。

IBC主要解决了在具体安全应用中PKI需要大量交换数字证书的问题，使安全应用更加易于部署和使用。IBC密码技术使用的是非对称密码体系，加密与解密使用两套不同的密钥，每个人的公钥就是他的身份标识，比如email地址，密钥管理简单，那么给别人发送加密的电子邮件就非常方便了。IBC允许用户选择具有唯一性的身份标识（如Email地址或手机号码）作为公钥，并通过可信的中央服务器接受到自己的私钥，在安全通信过程不采用数字证书的概念，而直接将安全方案与加密或验证方法联系起来。

IBC简化了管理。如果用PKI，拥有1000个用户的一家组织要创建及维护1000个证书。与这些证书相关的密钥要不断更新，旧密钥还要保存起来。持有证书的用户离开组织后，就要撤销相关证书。因此，撤销列表也要维护、发布及不断更新PKI的证书管理还会因为存档邮件而变得复杂。证书管理的最佳策略建议：最好每年撤销证书，为每个用户创建新证书。但现在许多公司需要把邮件保存一年，有些是因为证券交易委员会规定的，还有些是因为电子邮件通常作为诉讼的一部分被要求上交。如果你要将加密邮件保存三年，同样也得将相应的密钥保存三年。

相比之下，管理员使用IBC，只需要管理用来为每个员工创建公钥和私钥的主密码和一组公共参数。IBC用一组信息取代了一千个证书。这些信息结合每个用户的电子邮件地址，就可以创建惟一的密钥。如果对加密电子邮件进行解密，管理员只需要该用户的电子邮件地址、公共参数和主密码。

IBC的第二个改进就是能够发送加密信息给没有数字证书的接收方。这样一来，如果需要，企业可以与客户和合作伙伴进行安全通信。通过在智能卡、UKey上部署IBC，开发人员能够开发更安全、更适用、更具性价比的在线和离线企业通讯应用软件。这一技术适用的领域包括电子政府、电子和移动商务、安全文档的无线管理、访问控制、个人认证令牌等。

2.3.2 NTLS协议简介

NTLS，英文全称是Next generation Transport Layer Security，它是下一代的传输层安全技术，采用多框架密钥交换协议和基于标识的数据加密技术，同时结合网络封包截获和代理技术，实现远程访问用户的身份认证和远程数据的加密传输，让访问者更安全地远程访问企业内部资源, 这种加密代理技术使用户不需要真正地连接到企业服务器就可以访问后台应用和服务。NTLS是解决远程用户访问企业敏感数据最简单最安全的解决方案。与复杂的VPN技术相比，NTLS通过简单易用的方法实现信息远程连通，并且采用密码技术对远程用户身份做强制认证，有效保证了远程访问和远程数据传输的可鉴别性和安全性。

目前网络技术的发展和应用对远程接入提出了以下要求：

(1). 安全的通讯：要求保证数据传输的私密性和完整性。

(2). 动态连接：用户可以从任何地点发起连接，请求接入。

(3). 强制认证客户端的身份：拒绝接入没有任何有效身份标识的客户端。

(4). 接入客户端能支持多种平台：这包括多种操作系统（Windows、Liunx）、多种应用（B/S，C/S）和多种终端（个人电脑、智能手机，PDA）。

(5). 对用户访问权限进行有效地管理和控制：远程接入的用户可能是公司的高级经理，也可能是普通员工，还有可能是合作伙伴，对不同身份的人应该授予不同的访问权限，对越权的访问请求应该拒绝。

针对上述要求，NTLS采用了以下方法给予解决：

(1)采用NTLS加密协议建立远程连接。

NTLS可以灵活配置密钥交换和数据加密的协议，密钥交换协议可以支持SRP（基于口令），PKI（基于数字证书）和SM9（中国国家标准的IBC算法，基于USBKEY密钥）等各种身份认证和密钥协商算法，数据加密协议可以支持3DES，AES和SM1（中国国家标准的对称算法）等各种对称加密算法，根据政策规定和应用环境，这些算法可以灵活配置使用，能满足企事业单位和政府部门的各种安全保密需求。

(2)即装即用，配置简单

NTLS客户端软件安装过程非常简单，只需要配置服务器参数后即可使用。PC版本的NTLS客户端软件集成到NtlsKey中，用户只需随身携带NtlsKey，就可以在各种PC环境中随时安装，立即远程接入到NTLS服务器，实现对企业内部应用的远程访问。

(3)基于标识密码算法的UsbKey的强身份认证

NTLS作为远程安全接入解决方案，是把用户局域网络的边界延伸到Internet可以到的任何地方。那么接入的终端用户的安全性将可能影响到整个企业网络的安全性，因此强制认证用户的登录身份并做好登录认证密钥的保护，就是至关重要的。

    NTLS接入客户端必须具有自己的身份标识。身份标识可以是邮件地址或手机号码等能够定位并区分用户的特征字符串。对身份标识的认证并不是简单的匹配用户名和密码，而是基于安全可靠的标识认证密码算法。所以每个接入客户端都有自己的标识密钥。密钥保存在USB-Key中。USB-Key是一种结合U盘和智能芯片的智能卡。USB-Key对外提供了一组标准的接口，通过该接口只能获取标识信息，而不能导出标识对应的密钥。因而使用USB-Key可以很好地保护用户密钥的私密性。目前NTLS系统采用私钥访问口令+USB-Key的方式构成双因子认证。

(4)本地接入控制

传统的访问控制实现主要是在服务器端对用户身份进行授权，当用户接入时，根据用户的身份同时也在服务器端验证用户的权限。这种实现方案由于授权与验证都在服务器端执行，因此对服务器的负载较大。而NTLS采用了动态路由更新技术，将服务器端配置的权限模型推送到客户端本地，这样在客户接入时，直接由本地的客户端程序进行权限验证与数据转发，减轻了服务器端的负载，提高了整个系统的执行效率。

(5) 高细粒度的访问控制

与传统的VPN技术相比，NTLS可以具有更宽阔的粒度选择范围，这包括：源IP地址、目的IP地址、源端口号范围、目的端口号范围、协议类型、接入时间范围、接收数据量范围、发送数据量范围。因而可以更细致地限制用户所访问的网络资源。

2.4 产品介绍

随着信息化程度的不断提高， 用户内部管理系统也不断完善。通过OA系统、MIS系统、ERP系统、财务软件等等来进行办公已经是很多企业、行业、电信运营商等用户的日常工作。而这些系统往往在内网才能使用，在领导、员工出差、回家的时候就无法访问。同时，由于这些系统部分开发较早，未考虑到身份认证和数字签名的安全技术，所以就需要安全技术解决这一系列问题。

奥联科技经过多年研发，最新推出基于NTLS协议、IBC密码技术开发的新一代安全接入和身份认证产品。同时具备了SSL产品使用简单和IBC产品应用透明的优点，客户端使用IBCkey，即插即用，立刻完成部署。

奥联安全认证平台主要的功能有：

l  远程接入：使用IBCkey，无论在何时何地，立刻接入公司网络，无需安装任何软件；

l  身份认证：密码技术保证强身份认证，必须有KEY才能接入；

l  访问控制：基于应用的访问控制，如限制每个用户只能进行某一项操作，访问指定的IP或者端口；

l  通讯加密：身份认证采用SM9算法加密，数据传输支持多种加密算法。

 

客户端IBCkey介绍

 

产品形态	UBKEY无软无驱型
产品资质	获得国家密码局认定资质
存储容量	芯片64KB以上，外部存储4M以上
算法要求	内置SM1算法、内置SM9算法、RSA算法
设备类型	HID或USB Master Storage设备，要求硬件内置USB Key软件安装包，在Windows2000以上平台，第一次插入计算机可自动安装USB Key软件，如用户系统屏蔽了自动安装功能，要求可以手动运行USB Key内的安装包进行安装。
接入功能	内置VPN客户端程序，插入KEY自动运行、自动链接中心设备
应用支持	支持各种TCP/UDP应用
应用方式	插入KEY后直接使用内网资源，要求直接访问而无需通过门户页面跳转
RSA密钥对生成	USB Key内部硬件支持RSA密钥对生成算法，密钥对必须在智能卡芯片内部生成，私钥在任何时刻都不得以任何形式出现在芯片外部。
RSA密钥对生成时间	生成1024位RSA密钥对平均时间小于5秒
RSA签名时间	1024位RSA签名平均时间小于300毫秒
RSA密钥长度	硬件支持1024位RSA密钥对生成及签名算法
PIN码传输	PIN码必须经过加密才能在物理通道上传输，修改和验证PIN码时USB端口传输的数据不得出现PIN码明文。

 

 

 

2.5 方案特点

   该方案有以下几点特点：

一、安全性

该方案使用使用了NTLS协议作为远程接入方式，使用户在接入系统传输数据时，能充分保证数据在互联网传输的安全性，确保数据在互联网传输时不被窃取和被篡改。同时是用IBCKEY的技术，防止恶意木马和病毒对用户名和密码的窃取，保证了用户在接入时，整个系统的安全性和保密性。

二、便捷性

终端用户可以使用PC机+IBCkey的接入方式，也可以使用智能手机移动的接入方式。只需要管理按照每个客户的标示发放相应的私钥即可，所以整个系统管理十分的方便，管理员只需控制IBC密管中心的私钥的发放即可。

三、灵活性

终端用户不需要记录任何繁琐的IP地址和域名，只需要插入奥联的IBCKEY，点击运行远程接入软件即可安全接入系统。如果有新的用户需要方式系统，只需要管理员给该用户发放相应的私钥即可，可以灵活的扩展。同时用户接入也十分方便，可以使用有线网络，可以使用手机无线网络，只要能连接互联网的地方，都可以使用远程接入的方式连接。

四、高效性

    用户使用NTLS方式接入以后，奥联的安全认证平台应用透明，无论B/S还是C/S，乃至VOIP、视频均可直接使用。并且可以根据每个用户接入的标示，能控制用户相应的方式权限。而且加密算法延迟较小，保证数据高效稳定安全的传输。