加密网关用户手册v111.docx
《加密网关用户手册v111.docx》由会员分享,可在线阅读,更多相关《加密网关用户手册v111.docx(34页珍藏版)》请在冰豆网上搜索。
加密网关用户手册v111
NetKeeper-2000加密认
证网关用户手册
2006年4月
一、产品介绍
电力专用加密认证网关安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。
NetKeeper-2000加密认证网关的硬件结构框图如下图所示,硬件系统基于RISC体系结构的嵌入式微处理器(MotorolaPowerPC),嵌入式主板集成四个以太网接口:
分别是内网口、外网口、双机热备接口、日志告警接口;配置串口用于对加密认证网关进行监控管理,支持采用专用智能IC卡接口进行身份验证,保证配置管理的安全性;电力专用密码卡单元(内嵌电力专用密码算法和RSA公私密钥算法)对网络通信数据进行加密与认证;双机接口支持加密认证网关的双机热备和链路冗余备份,避免重要数据的丢失;硬件看门狗时刻监控系统状态,保证加密认证网关稳定、可靠运行。
图1.1加密网关硬件结构框图
加密网关的的前面板图有8组指示灯,分别是电源指示灯(Power)、告警灯(Alarm)、加解密指示灯(EncryptStatus/Action)读写器指示灯(CRWStatus/Action)、内网网络接口指示灯(Eth0Status/Action)、外网网络接口指示灯(Eth1Status/Action)、双机热备接口指示灯(Eth2Status/Action)、日志接口指示灯(Eth3Status/Action)。
电源指示灯标识网关电源的工作状态,红灯亮表示电源模块工作正常;告警灯亮并伴有声音告警表示加密认证网关受到不明网络报文网络恶意攻击,管理员可以通过日志信息判断攻击的种类;加解密Status亮表示加密网关内置有电力专用数据密码卡,加解密Action灯闪烁表示密码卡正在加解密数据;智能读写器Status灯亮表示加密认证网关智能读写器插槽中有智能IC卡,智能读写器Action灯闪烁表示数据正在被读取。
四组网络接口Status灯亮表示网口与网络正确连接,网络接口Action灯闪烁表示网卡数据正在接收或发送。
加密网关的后面板图设计有双电源,有一个电源作为主电源供电,一个作为辅电源作备份,这种设计可以有效地提高电源工作的可靠性及延长整个系统的平均无故障工作时间,最右边是电源开关1,然后是电源插座1,电源开关2,电源插座2;Console口用来对加密网关进行监控;内网网口(Eth0)用来连接内网,外网网口(Eth1)用来连接外网外网,双机接口(Eth2)用于加密网关的双机热备份,日志接口指示灯(Eth3)用于加密网关的日志报警,也支持采用网络方式对加密网关进行配置管理。
二、产品分发与安装
NetKeeper-2000加密认证网关完整的产品分发包包括硬件和软件两大部分。
用户在使用本产品时,应先检查硬件产品是否具有NARI标志,外观是否有损坏现象。
如有以上现象,请勿使用并及时与本公司取得联系,处理相关事宜。
为了产品稳定、可靠的运行,请勿私自打开加密认证网关机箱。
加密认证网关随机带有一张配置软件安装光盘、一根网络配置线、一根串口配置线,用于在安装Windows2000/XP/NT/9x操作系统的计算机上配置加密网关。
安装完成后,启动配置管理软件,软件界面如图2.1所示。
图2.1加密网关配置软件
加密认证网关用于安全区I/II的广域网边界保护,部署对应用完全透明。
通过内网接口和外网接口,分别与内部局域网和外部广域网连接,为网关机之间的广域网通信提供具有认证、与加密功能的VPN,实现数据传输的机密性、完整性保护。
具体的配置管理请参见下节。
三、加密认证网关配置管理
3.1系统初始化
加密认证网关投入使用前,须首先进行设备的初始化操作,初始化操作的内容包括安装调度证书服务系统根证书、装置管理系统的设备证书、本装置的主备操作员证书、与本装置通信节点的设备证书以及本装置的设备私钥。
上述证书由调度证书服务系统生成并签名,存储在纵向加密认证网关中。
3.1.1通信初始化
1)将本地配置计算机地址设置为11.22.33.43,掩码为255.255.255.0,用随机附带的网络配置线(交叉线)连接到加密认证网关的配置接口(eth3)。
2)首次启动加密认证网关的配置软件,出现如下的软件主界面:
图3.1加密认证网关配置软件启动界面
3)软件系统会自动和加密网关服务程序建立连接,并提示成功或是失败消息。
配置软件进行5次重连操作,如果都失败,则程序自动退出,并提示用户检查网线连接或重新启动加密网关,如下图所示。
图3.2
4)成功连接后,系统会提示用户插入密钥管理卡。
插入密钥管理卡后,点击”确定”,则程序会自动检测当前加密网关是否已经创建过密钥管理卡,并进行相应的提示。
图3.3
如果是首次执行初始化操作,则需要创建密钥管理卡,系统将自动弹出初始化向导,引导用户一步步的进行设置,最后完成整个系统的初始化过程,在以后的系统维护中,也可以利用向导跳过某些步骤更新某些文件,下面介绍加密网关的初始化向导。
3.1.2初始化向导
初始化向导第一步主要提示用户需要进行的初始化步骤,主要如下图所示(以下过程结合电力二次系统实际情况进行描述):
1.生成密钥管理卡和装置密钥对,并对装置密钥进行保护、主备操作员卡两张,并制作导出证书请求文件。
2.导入调度CA根证书。
3.导入网省调的根证书(中级证书)。
4.导入装置管理系统证书。
5.导入与本装置通信的对端节点设备证书。
6.导入主操作员证书。
7.导入备份操作员证书。
以上的步骤,第1、2、6、7是初始化过程必须的操作,不可以略过,其他的操作步骤由用户根据现场实际情况进行选择。
图3.4初始化向导步骤
1)生成密钥管理卡和装置公私密钥对,以及操作员卡的公私密钥对。
如下图所示。
图3.5证书请求文件生成
点击硬件类型中的加密网关”生成密钥保护卡/装置密钥对”,创建密钥管理卡和网关公私密钥对,如图3.6所示。
网关系统自动用生成的密钥保护卡对设备密钥进行保护。
图3.6装置密钥对生成
成功创建密钥管理卡后,系统会提示是否成功的信息。
图3.7
2)制作加密网关设备证书请求文件。
点击“制作证书请求”按钮,则弹出填写设备证书请求的对话框,如下图所示:
图3.8
按照上述说明填写后,点击“生成证书请求”按钮,将生成的证书请求文件保存在本地安全存储介质中并提交给调度证书管理系统进行签发。
具体签发过程请参见3.2节证书申请。
图3.9
与此类似,“操作员卡(包括主、备操作员卡)密钥对生成”也是按照类似的步骤,先产生操作员卡密钥对,然后生成证书请求文件并提交调度证书服务系统签发。
3)导入调度CA的根证书。
这是后续对其他实体证书进行验证的基础,如图3.10所示,选择CA根证书并且导入,则系统会提示成功验证与否,如图3.11所示。
图3.10
图3.11
4)导入中级CA证书(网省调证书)。
图3.12导入中级证书
5)导入和本地加密网关通讯的对端设备证书。
图3.13 导入对端设备证书
6)导入主、备操作员证书,如下图所示。
图3.14 导入并验证主操作员证书
图3.15 导入并验证备操作员证书
导入全部证书后,配置管理系统会自动进行探测,如前所述。
先插入密钥管理卡,并进行登陆,系统会检查当前的初始化状态,判断装置是否正确初始化,并提示用户。
图3.16
如果提示不成功,则会自动查询加密网关的证书列表并载出,如下图所示。
背景显示为红色的即是未满足要求的字段项(注意:
针对用户的不同情况,装置初始化的必要条件是装置已经生成了密钥保护卡,生成了装置RSA密钥对,并导入验证通过了的调度CA系统根证书、主操作员证书和备操作员证书,其他条件不是必需的)。
图3.17加密认证网关证书管理列表
3.2证书申请
在加密认证网关初始化的过程中,需要将生成的加密网关证书请求文件和操作员卡证书请求文件提交给电力调度证书服务系统进行签发,生成网关设备证书和操作员卡设备证书。
具体流程如下所述。
加密网关和操作员卡在生成证书请求文件后,将证书请求文件以可存储介质形式拷贝到各级调度证书系统上(国调、网调、省调),并以系统”录入员”身份用UsbKey登陆证书系统;选择“导入证书请求信息”按钮,点击“导入”按钮,则将请求信息输入到证书系统,根据电力证书系统操作规范的流程,经由“审核员”审核,“签发员”签发出设备证书和操作员证书。
图3.18加密认证网关证书请求信息录入与制作
注:
在不具备调度证书系统的条件下,可以采用配套光盘里的专用证书工具签发证书。
具体使用请参考附录一《证书签发说明》
3.3安全管理
加密认证网关的安全管理包括人机卡认证、操作员卡口令修改、证书管理、远程监控等。
3.3.1人机卡认证
加密网关初始化完成后,需要插入密钥管理卡进行登陆管理。
图3.19
验证通过后,密钥管理卡将加密卡安全模块设置为可用状态,但此时使用权限还未放开,需要用户插入操作员卡,进行人机卡认证。
加密网关配置管理程序的主界面如图3.20所示。
用户首先插入操作员卡片,输入PIN码(初始PIN码为006702),验证登录用户的合法性(注意,操作员卡必须由电力调度数字证书服务系统签发,内含标识操作员身份的信息)。
只有成功登录后才能进行后续的隧道策略和规则配置,完成和对端的加密网关安全通讯设置。
(注意,为了系统安全起见,输错三次PIN码将强行退出,防止非法用户尝试口令,同时,智能卡安全机制保证输错3次PIN码将锁死卡片,使其失效,必须重新发卡)
图3.20人机卡登录验证
3.3.2操作员卡口令修改
密钥管理卡和操作员卡为了增强安全性,可以经常更换PIN码,点击”卡片管理”“修改密钥管理卡PIN”及“修改操作员卡PIN”,显示界面如下图所示:
图3.21人机卡口令修改
用户首先必须输入旧的PIN码,待验证通过后,方可修改成新的PIN码。
其中的人机认证流程和3.3.1节所述是一致的。
3.3.3证书管理
装置在初始化和正常工作状态下,用户均可对装置的证书列表进行查询,以便对当前合法的证书列表进行管理。
单击工具栏上的“证书管理”或者左侧导航栏中的“证书管理”“证书查询”,系统会询问是否要查询,确认之后,如果加密网关内有合法x.509证书文件存在,则会自动导出其文件列表,如下所示。
图3.22
证书文件列表导出后,加密网关配置管理程序会自动解析信息并且显示在当前证书管理界面上,如下图所示。
(表示当前加密网关已经配置了CA根证书,主、备操作员卡证书,已经基本完成了初始化,处于工作状态。
)
图3.23加密网关证书管理界面
选中目标证书,并点击“察看证书”按钮,则会显示证书详细信息,如下图所示。
同样,选中目标证书,并点击“删除证书”按钮,将删除对应证书。
图3.24加密网关证书信息查询
3.3.4远程监控
根据电力二次系统安全防护的规定和纵向加密认证装置的管理体制,加密认装网关支持远程集中监控管理。
装置管理系统(管理中心)为调度中心所辖的加密认证装置提供远程安全管理服务。
调度中心的加密装置及下属的加密装置由装置管理系统直接管理。
此时,装置管理系统(管理中心)与加密装置是网络上通信的实体。
装置管理系统通过经过认证加密的管理报文实现对纵向加密认证网关的监测。
具体的监控内容及装置管理系统的使用见《加密认证网关装置管理系统用户使用手册》
3.4安全策略配置
加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,为透明安全防护装置。
网关的内网接口连接内部局域网,外网
升级会员 