本实用新型属于信息安全技术领域,尤其涉及一种基于GDOI协议下安全管理及信息反馈系统管理系统。
背景技术:
全球互联网已经在人们的工作生活中不可或缺,但是网络的信息安全威胁却在逐年加剧。2013年网络安全领域著名的“棱镜门”事件中,现有的以交换机、路由器为核心的网络构架非常易于被监听。大量信息通过交换机和路由器泄漏,为所有网络使用者敲响了一个警钟。
对于全球范围的大规模企业或政府部门的互联网络,其往往采用如图1所示的网络拓扑结构。整个网络分为三层,其中集团环网平台由若干个数据中心组成,数据中心之间由多个10G网络组成环网,为全集团提供应用业务访问,数据汇总等服务;区域中心平台,由若干个区域中心组成,区域中心根据地域汇总各地区公司的数据,并提供通向集团环网的数据通道;地区公司平台,由各地地区公司局域网或城域网组成,承载各地公司的基础应用的网络接入。为了便于实现上述网络中各对象间的相互寻址和数据交换,现有标准的TCP/IP协议在信道上采取明文传输的方式,大量的数据在没有任何安全保护的情况下被传输;网络的路由选择机制使不同地域、国家之间在网络虚拟空间没有“国门”,传输数据可以被任意的截取、重组,并还原出原始的数据信息导致数据信息泄漏。更加危险的是,现在国内使用的大多数交换机和路由器都是国外品牌,即使国内品牌也多使用国外核心芯片设计完成,造成国内传输网络数据可能被国外机构监听。因此,为保证网络内信息的安全传递,在系统互联互通中,需要使用大量自主研发的网络交换设备、数据加密设备、密钥管理设备、安全管理设备等。其中,安全管理设备(安全管理中心)从全局上集中对加密设备及密钥管理设备进行管控,管理密钥管理设备及加密设备的配置信息,配置密钥管理设备及加密设备的组策略,查看密钥管理设备和加密设备的状态信息,并对出现问题的资产或加密设备和密钥管理设备及时发现,并进行报警和修正,以保证此外,互联网络中各种分布式计算、语音、视频等业务需要随时随地的在各分支机构间运行,传统意义上的Hub-Spoke、点对点的IPSec隧道解决方案不能满足用户的需求。GDOI(Group Domain of Interpretation)协议提出了密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP安全通信提供了可能。为此,开发GDOI协议下的大规模网络安全管理中心具有重要的理论与实际意义。
技术实现要素:
为了解决上述问题,本实用新型提供一种基于GDOI协议下安全管理及信息反馈系统,所述系统包括高速加密模组、密钥管理中心、密钥管理控制终端、安全管理中心和信息反馈管理中心;
进一步地,所述高速加密模组包括第一处理通道、第二处理通道和共用模块;
进一步地,所述共用模块包括控制中心单元、编辑集成单元、闪存单元和配置接口,所述第一处理通道和第二处理通道均还包括数据处理单元、数据缓存单元、验证单元、微控制单元和扩展单元;
进一步地,所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和集成管理模块,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元和身份钥匙管理单元,所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元,所述通信处理模块包括安管通信接口单元、GDOI协议处理单元和组播通信处理单元,所述管理模块包括密管中心管理单元和日志维护单元;
进一步地,所述密钥管理模块连接算法处理模块;
进一步地,所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台;
进一步地,所述安全管理中心包括资产管理模块和配置管理模块,所述资产管理模块包括资产信息采集单元、资产信息管理单元、责任人信息管理单元和资产拓扑管理单元,所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和加密设备状态监控单元;
进一步地,所述信息反馈管理中心包括状态监控模块、统计分析模块和系统管理模块,所述状态监控模块包括流量信息采集单元、流量统计分析单元、流量信息显示单元和异常流量报警单元,所述统计分析管理模块包括性能报警管理单元、故障报警管理单元、综合关联分析单元和安全风险报警单元,其中;
本实用新型的有益效果如下:
1)通过一种创新的加密模组架构,高速加密模组实现了高性能加密模组可支持40Gbps业务数据的加解密,功能划分清晰,业务处理性能优越并可为用户提供扩展的定制化功能;
2)通过密钥管理服务器和组成员(GM)的组加密部署模型,整网协商机制(Group SA),使用Group SA加解密节点间的流量,为任意节点IP提供了可安全通信;
3)可以对资产及其加密设备进行维护以及随时监控查看,支持NETSTREAM、SPAN、SNMP多种方式从路由器、交换机实时采集骨干网络链路流量,实时展示和监控全网网络流量状况,出现问题可以第一时间采取补救措施。
附图说明
图1为本实用新型全球范围内大规模互联网络的拓扑示意图。
具体实施方式
为了使本实用新型的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本实用新型进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本实用新型,并不用于限定本实用新型。相反,本实用新型涵盖任何由权利要求定义的在本实用新型的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本实用新型有更好的了解,在下文对本实用新型的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本实用新型。
下面结合附图和具体实施例对本实用新型作进一步说明,但不作为对本实用新型的限定。下面为本实用新型的举出最佳实施例:
如图所示,本实用新型提供一种基于GDOI协议下安全管理及信息反馈系统管理系统,所述系统包括资产管理模块、配置管理模块、状态监控模块、统计分析模块和系统管理模块。
所述加密模组包括第一处理通道、第二处理通道和共用模块,所述第一处理通道和第二处理通道分别独立处理加密业务,所述共用模块同时连接第一处理通道和第二处理通道,所述共用模块用于对第一处理通道和第二处理通道信息输入和控制处理。
所述第一处理通道和第二处理通道均设有独立的用户信息输入接口、管理信息输入接口和身份认证接口、数据处理单元、数据缓存单元、验证单元、微控制单元和扩展单元。
所述共用模块包括控制中心单元、编辑集成单元、闪存单元和配置接口,所述控制中心单元、编辑集成单元、闪存单元和配置接口依次连接,所述控制中心单元、编辑集成单元、闪存单元均与所述第一处理通道、第二处理通道连接。
所述控制中心单元用于处理通过管理信息输入接口接收到的管理人员配置操作命令,所述编辑集成单元用于将所述控制中心单元中所有操作命令通过逻辑编辑和数字集成转为数字信息,并通过编辑集成单元发送给数据处理单元,所述数据处理单元可以处理20Gbps的业务数据,所述闪存单元用于缓存通过控制中心单元接收到的来自验证单元和认证接口的密钥信息和验证信息。
所述控制中心单元通过数据处理单元连接用户信息输入接口,所述用户信息输入接口将用户的密钥信息发送给控制中心单元管理信息输入接口,所述身份认证接口连接控制中心单元,将管理人员和用户的身份验证信息发送给控制中心单元进行验证,所述管理信息输入接口、微控制单元、数据处理单元和控制中心单元依次连接,所述管理信息输入接口将管理人员的操作指令和验证信息发送给控制中心单元,如果验证成功后,所述微控制单元可直接输入管理人员操作命令,所述数据缓存单元连接控制中心单元,储存部分密钥信息和验证信息,所述扩展单元用于连接外接设备,所述数据处理单元包括分组对称密码运算和散列密码运算,所述分组密码运算通过SM4算法对数据加密,所述散列密码运算通过SM3算法对经过HASH运算加密的数据进行散列。所述验证单元用于提供数字签名和数字签名的验证。所述控制中心单元为微控制器ARM,所述编辑集成单元为CPLD,所述闪存单元为FLASH 128Mb存储器,所述数据处理单元为DPU,所述数据缓存单元为1MBSRAM 数据缓存,所述验证单元为安全芯片SSX1408、所述微控制单元为以太网PHY,所述扩展单元用于连接用户自定义加密设备。
所述密钥管理中心为2U高度的服务器设备,所述服务器设备包括X86架构主板、专用PCI-E密码卡、存储组件、网卡、身份卡驱动器、身份卡读写器和电源,所述密钥管理中心设置在X86架构主板上,并在该主板上配置有Usb-KEY,用于系统开机时的本机身份认证、数据存储的加密保护、以及全网密码设备的身份钥匙管理,所述密钥管理中心子连接密钥管理控制终端,所述密钥管理控制终端用于全网所用密码机身份卡的登记和离线状态下的密钥管理中心的身份公钥分发。
所述密钥管理中心包括设备管理模块、算法处理模块、密钥管理模块、通信处理模块、本地状态监控模块和管理模块。
所述设备管理模块用于完成全网密码设备的的管理、状态监控、组密码策略的维护工作,实现全网身份钥匙的管理,所述设备管理模块包括远程状态查询及监控单元、组策略处理单元、身份钥匙管理单元。
所述远程状态查询及监控单元用于收集并监控密码设备的运行状态,如有异常及时向设备管理模块汇报,所述设备管理模块对异常状态的密码设备进行维护和管理。所述组策略处理单元用于实现组策略信息的维护,支持对组策略的密码设备成员进行增加和删除操作,全网支持的最多组策略条目不超过10000条,每个组策略支持的成员不超过1000个。所述身份钥匙管理单元包括注密钥匙和认证钥匙,所述注密钥匙用于实现密码设备的关键参数的初装注入,所述认证钥匙用于实现密码设备启动时的本地身份认证功能。
所述算法处理模块通过SM2、SM3和SM4算法处理,所述算法处理模块通过SM2、SM3和SM4算法对密码设备进行密钥信息计算,支持同时最多200个密码设备的注册认证。
所述密钥管理模块包括噪声码处理单元、本地关键数据存储保护单元、会话加密密钥(SEK)管理单元、组策略密钥加密密钥(KEK)管理单元和组策略传输加密工作密钥(TEK)管理单元,所述噪声码处理单元用以获取物理噪声源的噪声数据,对获取的噪声数据进行随机性检测,保证现制密钥的随机性。所述本地关键数据存储保护单元通过身份钥匙管理单元的认证钥匙实现本地的身份认证功能,获取存储保护密钥,实现本地敏感信息的存储保护。所述会话加密密钥(SEK)管理单元通过与密码设备进行IKE交换,实现与全网密码设备之间SEK密钥的维护与管理,完成对KEK数据的传输保护。所述组策略密钥加密密钥(KEK)管理单元根据组策略状态维护全网KEK密钥的更新和管理,实现对TEK数据的传输保护。所述组策略传输加密工作密钥(TEK)管理单元根据组策略状态和密钥更新周期维护TEK密钥数据的管理,实现对组策略数据的传输保护。
所述算法处理模块连接密钥管理模块,通过SM2、SM3及SM4算法,实现本地关键数据的存储保护,全网会话加密密钥、组策略密钥加密密钥及组策略传输加密工作密钥的维护和管理。
所述通信处理模块包括安管通信接口单元、GDOI协议处理单元和组播通信处理单元,所述通信处理模块用以实现所述密钥管理模块与密钥管理控制终端的通信连接、所述设备管理模块与密钥管理控制终端的通信连接以及密钥管理模块与所述设备管理模块的通信连接,所述通信处理模块对外统一提供GDOI协议接口,密钥的分发采用GDOI协议实施。所述安管通信接口单元用于实现密钥管理模块与设备管理模块的通信协议解析与处理、组策略信息的收集、设备管理模块命令解析以及信息上报。所述GDOI协议处理单元用于实现密钥管理控制终端与密钥管理之间的通信连接,并根据GDOI协议完成对IKE SA,KEK SA和TEK SA的建立和维护。所述组播通信处理单元用以实现设备管理模块和密钥管理控制终端的通信连接,对TEK密钥进行组播分发。
所述本地状态监控模块用于收集各单元的运行状态,检查关键数据的完整性,异常状态触发报警。
所述管理模块包括密管中心管理单元和日志维护单元,所述密管中心管理单元基于WEB方式的管理维护功能,对密钥管理中心进行参数配置,运行管理,所述日志维护单元用于收集密钥管理中心中运行的各类操作信息、状态信息、维护信息,并形成日志记录,便于检索和查询。
所述密钥管理控制终端包括身份卡信息输入模块和公钥分发模块,所述密钥管理控制终端为密钥管理控制台。
所述安全管理中心包括资产管理模块和配置管理模块、系统管理模块,所述资产管理模块主要实现对信息资产的描述和定义,并结合组织的基本情况进行资产的分类和登记,资产管理是系统的核心之一,是开展其他一切安全运维管理工作的基础,所述资产管理模块包括资产信息采集单元、资产信息管理单元、责任人信息管理单元、资产拓扑管理单元,所述资产信息采集单元用于配合管理员完成资产数据的采集录入,以及资产模型的建立,包括自动采集方式和人员录入方式,所述资产信息管理单元用于协助管理员完成资产信息显示、根据不同属性实现资产查询、资产信息修改、资产删除管理工作,所述责任人信息管理单元用以对资产责任人信息进行建立、维护和管理工作,责任人主要指需要对资产负责的管理人员,所述资产拓扑管理单元用于完成资产网络拓扑图信息的采集建立、定期维护、资产拓扑图的实时展示、资产拓扑交互管理工作,所述配置管理模块用于对资产的功能配置和功能信息进行设定,所述配置管理模块协助网络管理员完成骨干加密通信网络的信息关键监控、加密网络关键设备的管理、关键密码参数(加密算法和参数)的维护、组密码策略的制定、下发、取消管理工作,所述配置管理模块包括组信息管理单元、组成员信息管理单元、组策略管理单元和密码设备状态监控单元,所述组信息管理单元用于协助管理员获取组加密网络中全体或者部分加密组参数的详细情况。所述组成员信息管理单元主要协助管理员以组成员的角度完成对应关键信息的获取和了解。所述组策略管理单元协助网络管理员利用安全管中心提供的接口,向组密钥服务器(KMC)下达组策略指令,KMC在执行组策略的同时将组策略指令下发给指定的组成员,从而使得密码系统根据网络管理员的指令完成密码系统组织结构或者密码参数更新任务。所述密码设备状态监控单元用于监控密钥管理中心KMC和组成员的运行状态,上述密钥管理中心KMC即为密钥管理设备,上述组成员为加密设备,所述加密设备为高速加密模组,所述加密模组可以直接嵌入到现有的核心交换机、路由器网络设备中,承担与密码相关的所有安全业务和功能,所述加密模组分左右两个独立的通道,每个通道可以处理20Gbps的业务数据。每个通道提供独立的业务接口、管理接口和认证接口;同时两个通道共用一个配置接口。加密模组完全自主研发。40G加密模组内部硬件分为三个部分:通道0数据处理部分,通道1数据处理部分,两通道共用功能部分。通道0/1数据处理部分由数据处理单元、以太网PHY、数据缓存SRAM、安全芯片和扩展模块组成;共用部分由CPLD、微控制器ARM和FLASH存储器组成。所述密钥管理设备为密钥管理中心,该中心由4个核心模块组成,分别为:设备管理管理模块、算法处理及密钥管理模块、通信处理模块及本地状态监控和管理模块。通过安全定制的Linux系统内核、专用驱动程序、密码服务及管理模块,实现对密码机的身份验证和入网控制管理,以及全网各类密钥的管理和在线动态分发功能。
信息反馈管理中心包括所述状态监控模块、统计分析模块和系统管理模块,所述状态监控模块通过精确高效的流量分析功能,帮助网络管理员实时掌控骨干网络中的各种通信流量及其规模大小,及时发现异常流量并进行定位,所述状态监控模块包括流量信息采集单元、流量统计分析单元、流量信息显示单元和异常流量报警单元,所述流量信息采集单元通过与业界各种主流的流标准对接,实现从网络设备中获取相关流信息数据,并进行一定的格式化处理,以供进一步统计分析使用。所述流量统计分析单元利用DFI统计分析方法,对采集到的分类数据进行深入分析检测。所述流量信息显示单元将流量统计分析单元的结果按照合理的显示方式呈现给网络管理员,协助网络管理员做好日常流量监控工作。包括各种周期、各种类型的图表。所述异常流量报警单元将流量统计分析过程中的可疑异常流量,利用合理的方式,报送网络管理员,以便网络管理员及时了解并采取处理措施。
所述统计分析模块连接所述状态监控模块,并根据状态监控模块返回的数据信息,进行安全统计分析,所述统计分析模块采集网络设备中与运行风险有关的安全事件,综合分析网络中可能存在安全运行风险,并进行报警,协助网络管理员完成设备运行风险的定位和排查,确保整个网络平稳运行。所述统计分析模块包括性能报警管理单元、故障报警管理单元、综合关联分析单元和安全风险报警单元。所述性能报警管理单元用于采集网络设备单元中与网络设备性能有关的异常事件,并提供给安全风险报警单元进行报警。所述故障报警管理单元用于采集网络设备单元中的网络设备故障事件,并提供给安全风险报警单元进行报警。所述综合关联分析单元利用SYSLOG、SNMP方式获取可疑风险事件,利用聚合引擎归并处理可疑风险事件,利用关联分析引擎综合分析可疑风险事件,并最终将分析结果通报给安全风险报警单元。所述安全风险报警单元主要对于性能报警管理单元、故障报警管理单元、综合关联分析单元所生成的安全风险提示和分析报告及时报警并通知相关网络管理员和责任人,以便及时排查风险,所述系统管理模块用于对管理员和管理员角色的信息进行监控,并对登录系统的操作进行日志留存。
以上所述的实施例,只是本实用新型较优选的具体实施方式的一种,本领域的技术人员在本实用新型技术方案范围内进行的通常变化和替换都应包含在本实用新型的保护范围内。