提到ip網路中的隧道技術,業界人士首先想到的是internet 協議安全性,即ipsec(internet protocol security,簡稱ipsec)協議。ipsec產生於2023年,是ietf(internet engineering task force,internet工程任務組)的ipsec小組建立的一組ip安全協議集。ipsec定義了在網際層使用的安全服務,基於端對端的安全模式,在源 ip 和目標 ip 位址之間建立信任和安全性,其功能包括資料加密、對網路單元的訪問控制、資料源位址驗證、資料完整性檢查和防止重放攻擊。在虛擬專用網路技術發展過程中,曾經被廣大網路裝置生廠商廣泛採用。儘管ipsec協議現在已經演進至第三版,但是在很大程度上,ipsec並未解決資訊在傳輸過程中面臨的種種安全問題。諸如身份合法性問題、加密演算法被破解、被疑暗藏後門,以及「心臟出血」漏洞等不時爆發。ipsec協議並沒能為虛擬專用網路技術提供足夠的安全保障。在這種背景下,一種基於三元對等架構設計思路的全新ip網路安全技術——tisec於2023年在西電捷通問世,並且正在引領ip網路安全可信技術的一場新趨勢。
ip網路安全可信技術tisec(trust of ip security,簡稱tisec)是多種技術的組合應用,隧道封裝、基於自主創新的tepa(tri-element peer architecture)技術體系的三元對等身份認證、可信計算等,可滿足ip網路資料傳輸過程中關於網路通訊節點身份認證、ip秘密性、ip完整性、ip抗重放、ip包混淆以及訪問控制等安全需求,為網路通訊節點之間ip資料通路提供安全保護。tisec技術及解決方案目前已經廣泛適用於傳統辦公虛擬專用網路(virtual private network,簡稱vpn)、工業物聯網資料安全傳輸,以及雲服務網路層安全應用等領域。某部委電子文件遠端審批專案便是其中之一。
tisec應用例項:某部委電子文件遠端審批專案
1、專案背景
某部委2023年上線的電子文件審批系統,讓整個審核流程從文件提交到審批通過,每一步都實現電子化和網路化,審核人員從此由紙件審批,進入無紙化「e時代」審批。然而,執行於該部委內網的這套電子審批系統,無法支援審核人員通過網際網路進行文件的遠端審批工作。相比之下,國外同行已經實現了文件的遠端審批工作,員工與審批伺服器進行資訊互動,只需要一根網線即可完成,遠端辦公帶來了更多的高效、便捷。在資料訪問及傳輸的安全性得到保證的前提下,為了提高辦公的便捷性和機動性,某部委決定採用tisec遠端審批系統。
2、tisec產品解決方案技術介紹
tisec產品解決方案將會帶來一種全新的遠端安全審批工作模式,審核人員通過計算機終端在強安全保障機制下實現了電子審批系統基於網際網路平台的無邊界擴充套件,保障審核人員能夠在家進行審查業務流程處理,並確保其使用過程中最大程度的暢通。
tisec產品為西電捷通公司自主創新的產品。該產品基於三元對等架構tepa並採用國家密碼管理局批准的sm1/scb2分組密碼演算法和ecc橢圓曲線密碼演算法,融合自主創新的資料封裝、ip漫遊及網路綜合管理等技術,實現了終端使用歸屬區域網預分配的ip位址,跨廣域網安全的接入歸屬網路以實現相關業務的需求,為使用者實現了區域網基於廣域網平台的無邊界擴充套件。
tisec產品中涵蓋了西電捷通擁有的多項創新技術,同時,tisec獲得了國際網際網路**成員管理局(iana)授權的tcp/udp專有埠號,這意味著tisec達成了符合國際慣例的開放性、互操作性和高可用性目標。
tisec以其獨有的安全協議以及顯著的部署及擴充套件優勢,可以應用於企事業單位erp、oa、mail、業務系統等,實現低成本,高安全、高效率的遠端及移動辦公,進而提高整個業務的運營和管理效率。
tisec應用典型拓撲如下圖1所示:
圖1 tisec應用典型拓撲圖
3、tisec產品方案實施
原有的業務系統的短板在於,只能滿足本地使用者在內網完成文件的審批,儘管實現了無紙化辦公,並在一定程度上提高了審批效率,但是其系統革新不夠徹底,仍然把員工限制在乙個固定的空間裡,一旦離開了內部區域網,審批工作將無法進行。其實,包括審批在內的各種系統執行效率還有非常大的提公升空間,tisec技術的出現恰好極大地拓展了審核人員的工作空間,在現有規範流程允許的情況下,把工作地點的選擇權交給了員工。通過在原有審批業務系統基礎上疊加tisec產品,從而實現審核人員在單位以外的其它地方辦公。tisec解決方案總體部署拓撲如下圖2所示:
圖2 tisec解決方案總體部署拓撲圖
tisec部署為單臂部署方式,即整個部署過程不改動區域網既有拓撲結構及配置資訊,根據遠端及移動終端維持ip位址預設應用及安全策略的要求,遠端終端要想接入內部網路,首先要通過身份認證,這個過程是雙向的,即內部網路要判定移動終端是否合法,移動終端也要判定網路是否合法,要符合合法使用者接入合法網路的條件;然後終端和tisec伺服器之間進行金鑰協商,協商出的金鑰用於使用者資料的加密;最後資料封裝,採用前一步協商出的金鑰對資料報的資料部分加密,等資料報到了對端,再使用相同的金鑰解密,資料的加解密採用國家密碼管理局頒布認可的密碼演算法,而且金鑰動態實時更新,以保證資料傳輸的安全性。tisec能最大程度的滿足各遠端接入使用者及分支機構資料傳輸高安全可靠性的要求。下圖3為方案實施後的業務訪問過程示意圖。
圖3 tisec業務訪問過程示意圖
4、tisec產品方案特點
(1)安全的遠端接入
遠端接入辦公模式順應了資訊化發展的趨勢,電子化辦公過程中無論使用者的物理位置在何處,其邏輯位置總是保持不變。通俗講就是將使用者原有的區域網進行無邊界擴充套件,即在世界任何乙個角落只要能夠接入網際網路平台就能夠接入使用者所屬的區域網,因此安全性就成為了衡量遠端接入系統優劣的重要指標。tisec產品具有以下明顯的安全優勢:
優勢一:協議安全
遠端安全電子審批系統採用三元對等架構tepa架構保證接入人員身份的合法性。tepa是西電捷通在國內外首次提出的一種終端與網路對等鑑別技術思想和框架方法,它既能有效阻止不符合安全條件的裝置及訪問進入網路,又能阻止裝置和訪問進入不符合安全條件的網路,實現「合法使用者接入合法網路」。
優勢二:證書儲存安全
遠端安全電子審批系統引入證書服務單元管理和驗證證書,系統頒發的使用者證書儲存於安全硬體key中,硬體裝置可以有效地避免惡意程式盜用竊取證書和使用者資訊。
審核人登入連線業務系統後,系統自動為使用者建立點對點加密隧道,進行業務訪問和資料傳輸,可有效防止業務資料被非法截獲。
優勢三:生物資訊識別安全
終端裝置可採用具有生物識別技術的usb裝置,將專利審核人員的個人指紋資訊作為啟用終端裝置的唯一憑證,即確保了終端裝置使用的唯一性,防止key丟失和登入資訊洩露可能帶來的安全風險,又保證了審核人員登陸系統的唯一性。
優勢四:工作方式安全
由於此次系統方案為緊耦合方式,僅為審核人員進行遠端登入電子審批系統使用,審核人員一旦在外網登陸電子審批系統,tisec伺服器將自動為審核人員啟用安全保護模式,即審核人員在遠端登入電子審批系統並工作的過程中,其用於工作的計算機裝置將切斷與其它網路的連線,為使用者建立虛擬內網工作環境,並且只能夠訪問被授權訪問的伺服器或資料庫,其許可權與該審核人員在內網辦公時完全相同,當退出登入後,客戶端會自動清除臨時資料。
(2)隧道技術
隧道技術是一種通過公眾資訊網路基礎設施在網路之間傳遞資料的技術。tisec技術採用ip隧道技術,對使用隧道傳遞的資料進行封裝,被封裝的資料在隧道的兩個端點伺服器和客戶端之間傳輸。傳輸過程採用國家密碼管理局審核批准的密碼演算法進行資料加密。
圖4 tisec之隧道技術模擬圖
(3)隧道集束及資料壓縮
對於資料傳輸量較大的鏈結,aipn將原有隧道拆分為多條並行處理的隧道,以此來提高資料的並行傳輸效率,提高隧道傳輸吞吐率,在此期間同時啟動高效率的資料壓縮演算法,提高單條隧道的傳輸效率,最終提公升資料總體的傳輸效率。
(4)多線路接入
國內網際網路接入環境由於各運營商之間互通的頻寬問題,導致跨運營商的網路傳輸效率非常低,嚴重影響遠端安全接入的應用效果。西電捷通創新的多線路接入技術,為使用者自動選擇最快的運營商鏈路進行接入,提高遠端移動安全接入效率。
圖5 tisec之多線路接入模擬圖
使用者的電子審批系統(e系統)與西電捷通公司開發的應用於遠端安全接入辦公領域的tisec產品進行整合,確保了審核人員在確保網路環境安全可靠的前提下,借助無處不在的網際網路,通過生物識別方式自動登入電子審批系統進行審查業務地順利進行。並且由此極大程度上簡化系統管理,擺脫了對審核人員物理位置的限定,方便了審核人員開展工作,快速提高其工作效率。
西電捷通 高效測試,從160小時中突圍
在測試工作中,為確保最終交付物質量,有時難免會遇到一些特殊的測試場景,比如160小時的測試總時長。在這樣超常規的測試場景中,如果繼續使用常規的測試方法,結果只會費時費力,導致測試效率下降。那麼,如何通過巧用高效測試工具,從160小時突圍,實現高效測試?筆者通過針對西電捷通產品的乙個測試例項,來闡述我...
訊號與系統 西電
訊號與系統 西電 貫穿全程要解決的3個問題 1 基本訊號與相應 2 訊號的分解 3 1.1.3 能量與功率訊號,積分和求和是乙個概念,和的連續化就叫做積分 積分的離散化叫做和 第二章,主要研究 線性時不變系統 2.1.2 微分方程模擬框圖,積分和微分是一類運算,積分是微分的逆運算 積分器最簡單的就是...
西電的ubuntu更新源
首先要備份原來的源列表 sudo cp etc apt sources.list etc apt sources.list backup再用編輯器開啟 sudo gedit etc apt source.list 用下面的源替換掉檔案中所有的內容,儲存編輯好的檔案 deb raring main m...