1. 概述

本项目采用GDOI协议实现组密钥管理，研发高性能加密模组，在用户原有核心交换机产品基础上实现国密算法加密交换功能，满足企业用户应用环境、技术特点及安全需求，实现自主可控

2. 需求分析

大型企业核心网络以核心、汇聚、接入三层结构为主，在数据传输环节，从接入层到汇聚层到核心层之间虽采用了专线连接，但由于数据以明文方式传输，网络安全威胁来源广泛、形式复杂，一旦恶意人员能够访问到专线链路，数据可以被任意的截取、重组，还原出原始的数据信息，给企业构成严重威胁，危害国家关键基础设施安全。

 根据国家等级保护及行业安全政策的合规性要求，需要采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性以及数据的完整性；

 采用密码技术对通信双方进行身份认证，保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性；

 采用密钥管理系统实现对密钥的生成、存储、分发、导入、导出、使用、备份 、恢复、归档 、销毁等环节的集中管理和密钥策略制定，通过以上安全防护措施保障数据安全性。 

3. 方案架构

该项目核心加密组件由高速加密模块及GDOI密钥管理系统组成，主要采用国密标准的SM2、SM3以及SM4算法作为加密套件，高速加密模块采用可编程逻辑部件技术实现，双向加解密性高达40Gbps；GDOI密钥管理系统采用GDOI协议创建分组密钥管理模型，将业务加密密钥及加密策略采用集中分发模式进行管理。

3.1 技术架构

3.1.1 加密模块

整个加密模块分左右两个独立的通道，每个通道可以处理20Gbps的业务数据。每个通道提供独立的业务接口、管理接口和认证接口；同时两个通道共用一个配置接口。加密模块实物图如下：

加密模块的物理接口包括：业务物理接口、管理物理接口、用户身份认证USB接口、配置物理接口、数据处理单元、以太网PHY、数据缓存SRAM、安全芯片、扩展模块等接口，硬件接口设计如下图所示：

图 3 1 技术架构图

3.1.2 GDOI密钥管理系统

GDOI密钥管理系统基于RFC6407标准架构（管理和控制）和IPSec ESP标准封装（数据转发），采用组加密技术，通过简单高效的组秘钥管理机制支持任意节点间的加密通讯，具有大规模可扩展性，降低运维成本，不依赖隧道的加密技术，仅对报文内容加密，对加密节点之外的网络透明，不改变网络架构，适应已有拓扑。在标准框架内用国密算法替换通用加密算法，满足更高安全需求。

图 3 2 框架图

3.2 产品部署图

数据中心高速加密交换系统由配置在网管中心的 GDOI密钥管理系统和配置在广域网网关位置的加密交换机组成。其中，GDOI密钥管理系统为密钥管理系统和策略管理中心。加密交换机主要加解密数据，完成与GDOI密钥管理系统的身份认证、密钥协商、策略下发、密钥下发以及数据的协议解析、策略查询等功能。部署逻辑如下：

图 3 3 产品部署

3.3 主要功能

高速加密计算功能、用户访问权限控制、密钥管理功能、组策略处理、GDOI协议处理、日志采集与状态检测。

3.4 主要技术指标

3.4.1 数据中心高速加密交换系统（整体）

 支持算法。国密标准算法SM2、SM3、SM4；业务数据加密算法SM4，ESP隧道模式实现；存储保护加密算法SM4；密钥分发加密算法SM2、SM3和SM4。身份认证加密算法：SM2和SM3。

 性能。SM4加解密速率≤40Gbps；数据转发速率为16-64Gbps；SM2密钥对生成：≤59对/秒；SM3杂凑算法：≤40Gbps。

 接口。XAUI数据通道：4个，其中2个为加密通道、2个为解密通道，4个XAUI通道之间相互独立。每个XAUI接口总线带宽为12.5Gbps，可以提供10Gbps业务数据的传输。GE接口：2个，提供对加密模块的控制，例如下发TEK密钥，进行对称密钥数据计算等。USB口：2个，实现密钥注入功能。LBUS接口：1组，加密模块初始化阶段，对模组内FPGA、CPU等硬件大包进行加载。

 设备管理接口。千兆网口，用于交换机配置、网管接口、密管接口；串口，用于命令行Console接口、Console接口。

 组策略数：≥10000条，每个组的成员数： ≥1000个；密码设备数：≥256个；KMC生产存储保护密钥时间≤2，KMC生产公私钥对时间≤2ms。

3.4.2 GDOI密钥管理系统

 产品规格指标。支持接入设备最大数量2048台；支持最大分组数量1024个；单个分组最大支持1024个组成员；最大策略条数10240条；最大注册并发数200条；每秒新建连接数64条；密钥更新周期最小30分钟，最大24小时；支持SM2、SM3及SM4算法。

 工作条件。组策略数≥10000条，每个组的成员数≥1000个密码设备数≥256个，MC生产存储保护密钥时间≤2，KMC生产公私钥对时间≤2ms。

 工作环境。额定工作电压：220V±15%  50~60HZ；工作环境温度：0-40℃；工作环境相对湿度：10-95% 非凝结；存储环境温度：-10-40℃；存储环境相对湿度：10-95% 非凝结。

 可靠性指标：平均无故障时间：≥20000小时。

3.4.3 高速加密模组技术规格指标。

外形尺寸：240x167x20（长x宽x高）mm；性能指标：SM3，SM4运算速度40Gbps；签名150次/秒（256bit）；总线形式：XAUI，GE，Local Bus，USB；工作电源：+12V；工作温度：0－45摄氏度；湿度：<90％。

4. 方案特色

 应用理念创新设计。将交换设备与加密模块跨界融合，在用户原有核心交换机产品上实现基于国密算法的加解密功能。

 超高性能算法实现。高性能可编程逻辑器件（FPGA）实现了自主知识产权的高效加解密，双向加解密性能高达40Gbps。

 密码算法等效替换。实现GDOI协议国产化，国密算法替换原有国际算法，实现了商用密码在核心技术上的等效替换、平滑过渡。

 全新信任组成员密钥管理机制。采用高效的GDOI组密钥管理机制支持任意节点间的加密通讯，具有大规模可扩展性。 

 现有网络平滑接入。实现与现网设备的平滑接入，对原有的系统使用模式、组网方式不需做任何改变，保护已有投资，加密策略灵活定制，满足不同业务系统数据加密需求。

5. 适用领域

 数据机密性及完整性保护要求较高的场景；

 多个数据中心、数据中心内部不同机房之间的数据安全交换；

 其它有高速交换和加密交换需求的场合；

 高速加密模组原生支持华为的业务主板。

 定制主板，高速加密模组可定制应用。         

6. 应用案例

该方案目前已在某能源集团公司部署应用，在其信息系统中，一套有保障的网络基础设施是所有信息系统运行的基础。

目前本项目包括的高速加密模组、GDOI密钥管理系统等产品已在该能源集团公司广域网，即4个集团级数据中心、区域中心和部分二级单位的主干网络中部署，共涉及158个节点实施部署，包括其下属局级单位，高速加密模组直接插入现有核心交换设备中，无需网络结构变化，通过5元组的加密策略灵活适用各种业务应用，有力的保证骨干网络节点之间的数据传输加密，为该能源公司网络基础设施建立安全保障，发挥国产密码在保护能源行业网络与信息安全中的重要支撑作用，切实增强自主可控能力。

                                  北京数盾信息科技有限公司

                                   联系人：姜沛君       卢效伟

                                   电  话：15901299719  13601194778

                                           010-66008006  010-66008006