一、产品介绍
量子VPN综合安全网关是渔翁信息独立自主研发的高性能量子密码专用设备,遵循国家密码管理局最新颁布的《GM/T0023-2023 IPSec VPN网关产品规范》《GM/T0025-2023 SSL VPN网关产品规范》《GM/T0026-2023 安全认证网关产品规范》最新标准。
产品内置高速量子密码模块,全面支持SM1、SM2、SM3、SM4密码算法,所有密码运算均由内置量子密码模块实现,为用户提供安全、高效的密码应用服务。
产品依托高性能基础软硬件平台,运用量子技术对国密标准的 IPSec与SSL安全传输协议进行创新性量子化改造,为客户打造前所未有的安全应用新体验,有效提升网络安全防护水平。
二、标准依据
产品遵循以下相关标准规范:
GM/T 0022-2023 《IPSec VPN技术规范》
GM/T 0023-2023 《IPSec VPN网关产品规范》
GM/T 0024-2023 《SSL VPN技术规范》
GM/T 0025-2023 《SSL VPN网关产品规范》
GM/T 0026-2023 《安全认证网关产品规范》
三、产品优势
1、全面国密算法支持
量子VPN综合安全网关全方位采用SM1/SM2/SM3/SM4国密算法实现IPSec、SSL协议。采用SM2国密证书实现对管理员用户的可信身份认证,确保设备运行安全。
2、QKD量子密钥深度融合
传统加密算法与QKD量子密钥相结合,实现数据传输的加密保护。即使攻击者拥有强大的计算资源,也难以在不被察觉的情况下窃取密钥,为数据传输提供了极高的安全性。
3、双网隔离安全架构
创新性实现量子密钥分发网络与传统数据通信网络的物理级隔离机制,通过独立的量子信道传输密钥、传统网络承载业务数据,避免密钥与业务数据的交叉风险。
4、多维高可用保障机制
设备集成硬件级 Bypass 功能与智能冗余策略,当量子VPN设备因故障、过载或维护导致性能下降时,Bypass 模块可在毫秒级时间内自动切换至物理直通模式,确保网络链路不中断;结合双机热备与负载均衡技术,形成“故障切换 - 流量分担 - 链路直通”的立体保障体系,最大限度提升业务连续性。
四、产品功能
1、安全管控鉴别机制
1.1、认证安全
产品采用“SM2国密数字证书+口令”的“双因子”认证方式实现管理员的可信身份认证。网关之间通过SM2国密数字证书实现双方设备互认和IPSec密钥协商。
产品支持自建CA中心,为用户提供轻量级CA证书制发和验证服务。同时支持第三方CA证书链导入功能。支持多证书链、多CRL列表导入。
用户数字证书安全存储在专用智能密码钥匙中,VPN网关自身数字证书安全存储在内置密码卡中,最大限度确保接入用户和网关设备的合法性。
1.2、传输安全
产品全面采用SM1/SM2/SM3/SM4国密算法,保障用户数据传输安全。基于IPSec协议和QKD的量子保密通信系统,在网关到网关、终端到网关等安全接入场景中,使用量子加密服务密钥,与IPSec密钥交换协议相结合,提供安全性更强的加密传输通道,抵御量子威胁。
1.3、管理权限安全
产品采用分级、分权管理策略,具备独立的安全管理员、系统管理员、审计管理员角色,不同管理员之间权限分离。
产品支持密钥安全备份、恢复,采用三/五门限机制确保密钥安全。
1.4、审计安全
独立的syslog日志中心,为管理员提供详尽的设备运行报告,提供网络优化的依据。独立的审计员权限,确保日志审计安全。
2、可靠运行监管机制
2.1、高可靠性硬件平台
产品采用高可靠性、工业级硬件平台,确保7×24小时不间断运行。
2.2断线重连,自动恢复
产品支持IPSec隧道自愈功能。当网络物理连接恢复正常后,IPSec隧道将在60秒内自动建立,迅速恢复系统可用性。
3、高速的接入访问体验
3.1、安全高效的密码运算服务
产品内置高性能量子密码模块,独立为量子VPN综合安全网关提供快速、高效的密码运算和密钥管理服务,满足高吞吐量的数据加解密需求。
3.2、更高的用户并发量与更快的连接建立速度
产品采用高性能量子密码模块提供密码运算服务,彻底释放主机CPU资源,为访问用户提供更高的数据并发和更快的连接建立体验。
3.3、快速的流压缩技术
产品采用快速流压缩算法,保证网络传输速度。
4、便捷的应用管理体验
4.1、基于Web的访问与管理服务
产品采用B/S管理架构,为用户提供Web访问管理服务。
4.2、安全方便的配置信息备份、恢复和升级服务
产品采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能,管理员可方便的对配置文件进行备份、恢复,同时管理员还可以在本地配置好远程网络,利用配置恢复功能在远程导入配置。
管理员可以通过web界面使用升级文件进行系统的升级。
4.3多业务应用登录服务
产品支持单点登录功能,对于支持单点登录技术的B/S和C/S应用,无需用户重复输入账号、密码,提升用户访问便利性。
5、灵活的端口组合应用
5.1、多个物理端口汇聚形成一个逻辑端口
产品支持将多个物理端口汇聚在一起,形成一个逻辑端口,以实现出/入流量吞吐量在各成员端口的负荷分担,交换机根据用户配置的端口负荷分担策略决定网络封包从哪个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时,就停止在此端口上发送封包,并根据负荷分担策略在剩下的链路中重新计算报文的发送端口,故障端口恢复后再次担任收发端口。
五、应用场景
1、宽带专线场景
1.1、用户面临什么问题
如何避免敏感数据在传输过程中泄露和被篡改?
金融、电力、轨道交通等领域拥有大量重要信息和敏感数据,通过自建或外购OTN专线结合量子密码技术可以有效的阻止在传输过程中敏感数据泄露及被篡改等数据安全问题。
如何利用量子技术解决“专线不专”的问题?
在传统OTN专线上,由于技术限制或管理疏漏,存在线路共享、路由重定向等风险,导致“专线不专”。量子加密的引入,通过物理层面上的绝对安全特性,减少了这些风险,确保了通信的私密性和专属性,使得数据在传输过程中不被未经授权的第三方访问或利用。
1.2、解决方案
量子专线终端间基于量子保密通信,形成机构间量子专线,降低专线抗量子计算改造成本。
量子密钥管理系统进行全网量子密钥的统一生成、管理、分发。
量子密钥分发支持通过5G专网(可选配电力专网通信模组)在线分发及离线分发的方式。
量子专线接入终端和汇聚网关将量子密钥、国密算法、抗量子算法和量子加密新机制与现有专线及组网相结合,实现数据传输过程中的机密性和完整性保护,有效抵御量子计算对ECC算法公私钥体系的攻击。
2、采油采气场景
2.1、用户面临什么问题
工控设备的存在安全风险:工控协议设计强调通信的实时性和可用性,协议设计缺乏安全机制存在安全风险。
量子设备的合规性问题:和量子结合的VPN、CPE、工业路由器等设备,是否具备商密要求的合规性?
无人值守设备的可监控性问题:对于无人值守的平台,对设备的稳定性、可监控性的要求更高,如何对设备进行远程的监控?
2.2、解决方案
量子+国密的安全防线:通过全栈量子化的国密实现体系,从工控设备的采集终端处实现了数据的加密采集,加密传输。
双链路,安全又合规:支持接入终端及汇聚网关在经典通信协议和量子通信协议中进行一键切换,合规又安全。
远程自动化控制:通过统一的集中管控平台,可以精确地掌握钻井平台的各项运行参数,并进行即时调整与控制,提高了工作效率和安全性。
开启量子安全时代:响应国家号召,使用量子化的技术,为能源安全保驾护航,引领行业迈向量子安全的新时代。
3、智慧城市场景
3.1、用户面临什么问题
数据安全风险:在数据采集、传输和存储过程中,视频数据容易被窃取、篡改或泄露,威胁到公民个人隐私、商业机密以及国家安全层面的数据安全;
网络安全风险:不同区域的摄像头均通过公网连接到视频监控平台,暴露在公网的硬件存在调试接口、可横向控制等安全缺陷,存在被破解劫持的风险;
控制设备安全风险:账号借用、远程操控、口令薄弱带来的公共安全被盗用的挑战。
3.2、解决方案
量子VPN综合安全网关将明码传输的视频进行量子加密,并通过量子通讯传输,杜绝了视频数据容易被窃取、篡改或泄露的风险;
通过量子加密辅以国密隧道,将前端设备与安全管理客户端互通节点做成单向特定应用传输,规避了节点被互联网劫持的网络安全风险。
