提到IP网络中的隧道技术,业界人士首先想到的是Internet 协议安全性,即IPSec(Internet Protocol Security,简称IPSec)协议。IPSec产生于1995年,是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务,基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。在虚拟专用网络技术发展过程中,曾经被广大网络设备生厂商广泛采用。尽管IPsec协议现在已经演进至第三版,但是在很大程度上,IPSec并未解决信息在传输过程中面临的种种安全问题。诸如身份合法性问题、加密算法被破解、被疑暗藏后门,以及“心脏出血”漏洞等不时爆发。IPSec协议并没能为虚拟专用网络技术提供足够的安全保障。在这种背景下,一种基于三元对等架构设计思路的全新IP网络安全技术——TISec于2008年在西电捷通问世,并且正在引领IP网络安全可信技术的一场新趋势。
IP网络安全可信技术TISec(Trust of IP Security,简称TISec)是多种技术的组合应用,隧道封装、基于自主创新的TePA(Tri-element Peer Architecture)技术体系的三元对等身份认证、可信计算等,可满足IP网络数据传输过程中关于网络通信节点身份认证、IP秘密性、IP完整性、IP抗重放、IP包混淆以及访问控制等安全需求,为网络通信节点之间IP数据通路提供安全保护。TISec技术及解决方案目前已经广泛适用于传统办公虚拟专用网络(Virtual Private Network,简称VPN)、工业物联网数据安全传输,以及云服务网络层安全应用等领域。某部委电子文档远程审批项目便是其中之一。
TISec应用实例:某部委电子文档远程审批项目
1、项目背景
某部委2010年上线的电子文档审批系统,让整个审核流程从文档提交到审批通过,每一步都实现电子化和网络化,审核人员从此由纸件审批,进入无纸化“E时代”审批。然而,运行于该部委内网的这套电子审批系统,无法支持审核人员通过互联网进行文档的远程审批工作。相比之下,国外同行已经实现了文档的远程审批工作,员工与审批服务器进行信息交互,只需要一根网线即可完成,远程办公带来了更多的高效、便捷。在数据访问及传输的安全性得到保证的前提下,为了提高办公的便捷性和机动性,某部委决定采用TISec远程审批系统。
2、TISec产品解决方案技术介绍
TISec产品解决方案将会带来一种全新的远程安全审批工作模式,审核人员通过计算机终端在强安全保障机制下实现了电子审批系统基于互联网平台的无边界扩展,保障审核人员能够在家进行审查业务流程处理,并确保其使用过程中最大程度的畅通。
TISec产品为西电捷通公司自主创新的产品。该产品基于三元对等架构TePA并采用国家密码管理局批准的SM1/SCB2分组密码算法和ECC椭圆曲线密码算法,融合自主创新的数据封装、IP漫游及网络综合管理等技术,实现了终端使用归属局域网预分配的IP地址,跨广域网安全的接入归属网络以实现相关业务的需求,为用户实现了局域网基于广域网平台的无边界扩展。
TISec产品中涵盖了西电捷通拥有的多项创新技术,同时,TISec获得了国际互联网代理成员管理局(风趣的自行车)授权的TCP/UDP专有端口号,这意味着TISec达成了符合国际惯例的开放性、互操作性和高可用性目标。
TISec以其独有的安全协议以及显著的部署及扩展优势,可以应用于企事业单位ERP、OA、Mail、业务系统等,实现低成本,高安全、高效率的远程及移动办公,进而提高整个业务的运营和管理效率。
TISec应用典型拓扑如下图1所示:
图1 TISec应用典型拓扑图
3、TISec产品方案实施
原有的业务系统的短板在于,只能满足本地用户在内网完成文档的审批,尽管实现了无纸化办公,并在一定程度上提高了审批效率,但是其系统革新不够彻底,仍然把员工限制在一个固定的空间里,一旦离开了内部局域网,审批工作将无法进行。其实,包括审批在内的各种系统运行效率还有非常大的提升空间,TISec技术的出现恰好极大地拓展了审核人员的工作空间,在现有规范流程允许的情况下,把工作地点的选择权交给了员工。通过在原有审批业务系统基础上叠加TISec产品,从而实现审核人员在单位以外的其它地方办公。TISec解决方案总体部署拓扑如下图2所示:
图2 TISec解决方案总体部署拓扑图
TISec部署为单臂部署方式,即整个部署过程不改动局域网既有拓扑结构及配置信息,根据远程及移动终端维持IP地址预设应用及安全策略的要求,远程终端要想接入内部网络,首先要通过身份认证,这个过程是双向的,即内部网络要判定移动终端是否合法,移动终端也要判定网络是否合法,要符合合法用户接入合法网络的条件;然后终端和TISec服务器之间进行密钥协商,协商出的密钥用于用户数据的加密;最后数据封装,采用前一步协商出的密钥对数据包的数据部分加密,等数据包到了对端,再使用相同的密钥解密,数据的加解密采用国家密码管理局颁布认可的密码算法,而且密钥动态实时更新,以保证数据传输的安全性。TISec能最大程度的满足各远程接入用户及分支机构数据传输高安全可靠性的要求。下图3为方案实施后的业务访问过程示意图。
图3 TISec业务访问过程示意图
4、TISec产品方案特点
(1)安全的远程接入
远程接入办公模式顺应了信息化发展的趋势,电子化办公过程中无论用户的物理位置在何处,其逻辑位置总是保持不变。通俗讲就是将用户原有的局域网进行无边界扩展,即在世界任何一个角落只要能够接入互联网平台就能够接入用户所属的局域网,因此安全性就成为了衡量远程接入系统优劣的重要指标。TISec产品具有以下明显的安全优势:
优势一:协议安全
远程安全电子审批系统采用三元对等架构TePA架构保证接入人员身份的合法性。TePA是西电捷通在国内外首次提出的一种终端与网络对等鉴别技术思想和框架方法,它既能有效阻止不符合安全条件的设备及访问进入网络,又能阻止设备和访问进入不符合安全条件的网络,实现“合法用户接入合法网络”。
优势二:证书存储安全
远程安全电子审批系统引入证书服务单元管理和验证证书,系统颁发的用户证书存储于安全硬件KEY中,硬件设备可以有效地避免恶意程序盗用窃取证书和用户信息。
审核人登录连接业务系统后,系统自动为用户建立点对点加密隧道,进行业务访问和数据传输,可有效防止业务数据被非法截获。
优势三:生物信息识别安全
终端设备可采用具有生物识别技术的USB设备,将专利审核人员的个人指纹信息作为启用终端设备的唯一凭证,即确保了终端设备使用的唯一性,防止KEY丢失和登录信息泄露可能带来的安全风险,又保证了审核人员登陆系统的唯一性。
优势四:工作方式安全
由于此次系统方案为紧耦合方式,仅为审核人员进行远程登录电子审批系统使用,审核人员一旦在外网登陆电子审批系统,TISec服务器将自动为审核人员启用安全保护模式,即审核人员在远程登录电子审批系统并工作的过程中,其用于工作的计算机设备将切断与其它网络的连接,为用户建立虚拟内网工作环境,并且只能够访问被授权访问的服务器或数据库,其权限与该审核人员在内网办公时完全相同,当退出登录后,客户端会自动清除临时数据。
(2)隧道技术
隧道技术是一种通过公众信息网络基础设施在网络之间传递数据的技术。TISec技术采用IP隧道技术,对使用隧道传递的数据进行封装,被封装的数据在隧道的两个端点服务器和客户端之间传输。传输过程采用国家密码管理局审核批准的密码算法进行数据加密。
图4 TISec之隧道技术模拟图
(3)隧道集束及数据压缩
对于数据传输量较大的链接,AIPN将原有隧道拆分为多条并行处理的隧道,以此来提高数据的并行传输效率,提高隧道传输吞吐率,在此期间同时启动高效率的数据压缩算法,提高单条隧道的传输效率,最终提升数据总体的传输效率。
(4)多线路接入
国内互联网接入环境由于各运营商之间互通的带宽问题,导致跨运营商的网络传输效率非常低,严重影响远程安全接入的应用效果。西电捷通创新的多线路接入技术,为用户自动选择最快的运营商链路进行接入,提高远程移动安全接入效率。
图5 TISec之多线路接入模拟图
用户的电子审批系统(E系统)与西电捷通公司开发的应用于远程安全接入办公领域的TISec产品进行整合,确保了审核人员在确保网络环境安全可靠的前提下,借助无处不在的互联网,通过生物识别方式自动登录电子审批系统进行审查业务地顺利进行。并且由此极大程度上简化系统管理,摆脱了对审核人员物理位置的限定,方便了审核人员开展工作,快速提高其工作效率。