高端密码机用户使用手册.docx
- 文档编号:23558762
- 上传时间:2023-05-18
- 格式:DOCX
- 页数:65
- 大小:4.95MB
高端密码机用户使用手册.docx
《高端密码机用户使用手册.docx》由会员分享,可在线阅读,更多相关《高端密码机用户使用手册.docx(65页珍藏版)》请在冰豆网上搜索。
高端密码机用户使用手册
高端密码机
用户使用手册
二○○五年一月
修订页
编号
章节
名称
修订内容简述
修订
日期
修订前
版本号
修订后
版本号
修订人
批准人
1
初稿
2005-01-27
/
V1.0.0
黄海峰
目录
1.引言4
1.1专门术语4
2.运行环境5
3.1硬件5
3.2软件5
3.软件概述5
3.1管理员功能介绍6
3.2登陆密码机系统6
3.2.1HTTP方式7
3.2.2HTTPS方式7
3.3保存配置10
3.4退出系统11
4.安全管理员11
4.1系统安全设置13
4.1.1安全服务的管理13
4.2基本元素的管理14
4.2.1地址的管理14
4.2.2地址组的管理16
4.2.3时间段的管理17
4.2.4时间组的管理19
4.2.5用户的管理21
4.3安全通道元素的管理23
4.3.1IKE提议的管理23
4.3.2IPSEC提议的管理25
4.3.3密码机通道管理26
4.4安全通道的管理29
4.4.1安全通道管理29
4.5证书的管理30
4.5.1用户证书的管理31
4.5.2身份认证管理中心证书的管理34
4.5.3吊销列表的管理34
4.6包过滤设置34
4.6.1包过滤策略34
5.系统管理员36
5.1密码机管理36
5.1.1软件版本36
5.1.2系统时间设置37
5.1.3服务器设置37
5.1.4配置文件的管理43
5.1.5路由表设置45
5.1.6网卡设置46
5.1.7IP池48
5.2WEB管理50
5.2.1访问控制50
5.2.2端口设置52
5.2.3帐户管理52
6.系统审计员的管理54
6.1日志查看54
6.1.1通道管理日志54
6.1.2通道运行日志55
6.1.4包过滤日志55
6.1.4事件日志57
6.1.5设备日志57
6.2日志设置59
6.2.1日志控制59
6.3通道查看60
6.3.1通道状态60
1.引言
本手册将对信雅达高端密码机的基本操作进行详细介绍。
本手册的读者对象是所有使用信雅达高端密码机的管理员,包括系统管理员、安全管理员以及系统审计员。
1.1专门术语
●密钥管理
密钥管理是任何安全保密系统的重要部分,SJW56网络密码机系统按照标准IKE协议实现了密钥管理,并提供证书方式密钥交换模式。
当通过证书方式时,需要由身份认证管理中心发行的证书或者第三方发行的证书。
●IKE提议
又称为第一阶段提议,它指定了网络密码机之间的身份认证方式以及协商IKE会话密钥的算法等各项参数,是建立密码机通道的必要元素。
●IPSEC提议
又称为第二阶段提议,它指定了网络密码机之间建立安全通道的各项参数,如IPSec的传输方式、封装方式、加密算法、认证算法等都是通过它来决定的,是建立安全通道的必要元素。
●密码机通道
即IKE通道,它指两个密码机通过协商建立一个安全、验证过的通道,保护网络密码机之间第二阶段的协商消息。
●安全通道
又称为VPN通道,就是指再两个端点之间的数据流都由IPSec进行了数据加密认证保护的安全数据通道。
●本地保护网地址
本网络密码机端所保护的子网地址。
●目的保护网地址
对方网络密码机端所保护的子网地址。
●包过滤策略
由用户自行定义用来控制每个网络接口上进出数据流量的访问策略,通过检查通过的数据包中的IP地址和端口信息与访问策略进行匹配来过滤不允许的访问。
●SA(SecurityAssociation)
SA是IPSec中的一个重要概念,一个SA表示两个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用IPSec安全连接进行安全通信。
●身份认证管理中心(CertificateAuthority)
是被一个或者多个用户信任的主体(组织或者个人),它可以创建、分配和管理公钥证书。
●证书(Certificate)
是把公钥和个人、组织、系统或者实体绑定在一起的电子数据。
●公钥(PublicKey)
公钥密码系统中必须公开的密钥。
●私钥(PrivateKey)
公钥密码系统中必须秘密保密的密钥。
2.运行环境
3.1硬件
硬件平台:
ØStrongArmIXP1200230MHz
Ø8MFlash
Ø8MSRAM
Ø128MSDRAM
Ø100M/s采用国密芯片的加密卡
硬件接口:
Ø8个高速以太网接口
ØUSB、串口
3.2软件
操作系统:
ØSydOS嵌入式操作系统
3.软件概述
SJW56网络密码机主要通过WEB方式进行管理操作。
本文档将全面介绍密码机各部分功能的操作方法。
SJW56网络密码机系统中包含一个小型WEB服务器、一个签名过的JAVA的类包。
WEB服务器支持标准的HTTP以及SSL功能。
客户可通过WEB方式以HTTP或者HTTPS的方式来登录并管理密码机系统。
密码机系统的管理是三级管理模式。
管理员分级管理密码机,分别为:
系统管理员、安全管理员、系统审计员;另外,还有一个主要用于管理管理员的超级管理员,他可以增加、修改、删除系统管理员、安全管理员、系统审计员,当然,作为超级管理员,它还可以作为系统管理员来进行管理密码机。
通过WEB方式方便快捷的管理使得安全管理员可以以列表预定义元素方式便捷的建立安全通道、系统管理员可以快速的管理密码机系统、系统审计员可以智能的得到并分析日志。
3.1管理员功能介绍
根据用户操作的不同,我们把密码机的管理员分为安全管理员、系统管理员、系统审计员,并以此来管理各自的功能模块。
安全管理员的功能是管理密码机安全通道方面的设置,包括:
Ø预定义元素的管理
Ø安全通道元素
Ø安全通道管理
Ø证书管理
Ø包过滤设置
Ø系统安全设置
系统管理员的功能主要是管理密码机的系统级的相关服务和设置,包括:
Ø软件版本
Ø系统时间设置
Ø服务器设置
Ø配置文件管理
Ø路由表
Ø网卡设置
ØWEB访问的设置
ØWEB的端口设置
Ø帐户管理
系统审计员的功能主要是针对日志的处理,包括:
Ø日志记录条件的设置
Ø日志审计
Ø通道状态
3.2登陆密码机系统
密码机的管理操作都可以通过方便的WEB界面来进行。
密码机支持的登录方式有HTTP和HTTPS两种。
这两种方式的区别为HTTPS使用了SSL技术,它使得管理操作更加安全,但需要更多的资源要求;默认的访问方式是HTTP。
我们将运行浏览器来管理密码机的宿主机称为管理机,以下的示例中以IE浏览器为例子进行介绍。
注意:
1.密码机系统的默认设置有一个默认超级管理员sunyard密码sunyard,要对密码机进行其他的操作必须以超级管理员身份新建相应的用户才能进行操作。
2.默认的WEB服务器的端口为4500。
3.2.1HTTP方式
密码机的内置的WEB服务器可以采用标准的HTTP方式来和管理机交互信息,控制密码机的管理信息,为客户提供方便的管理。
以HTTP方式登录密码机只需要在IE浏览器地址栏中输入:
HTTP:
//x.x.x.x:
4500
并回车即可,其中x.x.x.x表示密码机的接口IP的地址,端口默认为4500。
接着出现密码机的用户验证提示框:
注意:
首先必须正确的配置这台管理机的网络设置,以便使它可以正确的访问到与密码机连接的接口(可以首先使用ping命令测试一下网络的连通性)。
在IE上设置了代理上网的管理机在访问密码机的时候最好先取消IE代理。
3.2.2HTTPS方式
密码机内置的WEB服务器还支持SSL,我们推荐采用HTTPS的方式来管理密码机。
当客户选择这种方式登录密码机的时候首先需要在管理机上安装一个数字证书。
如果没有用户数据证书,必须申请获得这个数字证书,在得到这个证书后双击会出现如下图证书导入向导:
点击下一步,如果不需要更改证书导入路径的话,接着点击下一步:
键入私钥的保护密码,同时选中下面两个选项,单击下一步:
选择证书存放的位置,可以使用默认选项,默认安装在个人证书中单击下一步,完成证书的导入后,会出现正在导入新的交换密钥的提示框,我们建议把安全级别设置为高。
点击设置安全级别设置级别为高,并单击下一步:
输入保护的密码;
注意:
必须要把这个密码保存在一个安全的地方,以后每次登录密码机之前都要求输入这个密码,如果遗忘密码,必须重新申请一个证书并导入。
点击“完成”后,就完成了证书的安装,单击“确定”后提示证书导入成功。
现在可以打开IE浏览器在地址栏中输入https:
//x.x.x.x:
4500并回车。
这时IE会提示您要访问的站点需要进行验证,请选择连接时使用的证书,选中刚才导入的证书,单击确定:
这时候出现正在用您的专用交换密钥签名数据,输入导入证书时设置的密码后单击确定:
3.3保存配置
对密码机的操作完成之后,必须点击页面上方的保存设置来把配置保存到FLASH中,因为在没保存前,当前界面上的配置只是存在于内存中,而FLASH并没有记录下当前配置。
3.4退出系统
点击页面上方的注销,系统操作员可以安全的结束和密码机的会话。
下面我们将分别根据安全管理员、(超级)系统管理员、系统审计员各自的管理内容来介绍如何操作管理本系统。
4.安全管理员
安全管理员的作用是配置和管理与加密安全模块紧密相关的内容。
他的最重要也是根本的任务就是管理安全通道。
在安全管理员所能管理操作的各功能界面中,“证书管理”、“基本元素管理”、“安全通道元素”都是用于安全通道管理的。
在系统安全设置中的安全服务设置用于调试检查网络环境。
包过滤设置是让一些不需要或者目前没条件加密保护的网络数据包明文通过。
下图是配置安全通道的各级组成:
配置的一般步骤如下:
准备:
推荐先确定网络拓扑,标定出各网络设备的地址,使得配置时候能明确安全通道的路由、地址。
1、如果处于调试阶段,可将系统安全设置设为停止安全服务,参见4.1。
2、配置基本元素:
a.配置基本元素中的地址,包括本地网关的地址、远程网关的地址、本地保护子网的地址、远程保护子网的地址,参见4.2.1,4.2.2;
b.配置时间(组),可选,参见4.2.3,4.2.4;
3、配置安全通道元素:
a.配置IKE提议,参见4.3.1;如果验证方法为证书方式,还需要在本密码机上存有本地证书、私钥和根身份认证管理中心证书,证书相关内容参见4.5.1;
b.配置IPSEC提议,参见4.3.2;
c.配置密码机通道,前提是已存在可使用的IKE提议和本地、远程密码机的地址,参见4.3.3。
4、配置安全通道:
前提是已存在可使用的密码机通道、本地、远程保护子网、IPSEC提议(组),参见4.4。
5、对于其他不受IPSEC保护,但由于某些原因需要明文通过密码机的数据包,可以通过“包过滤设置”来设置包过滤策略,参见4.6。
4.1系统安全设置
4.1.1安全服务的管理
系统安全设置主要用来设置密码机安全系统服务的启动和关闭。
当设置成停止安全服务时,仅使用密码机路由转发的功能。
在上点调试过程中发现网络问题时,可以方便快捷的确定是否是密码机出现故障。
4.2基本元素的管理
4.2.1地址的管理
地址元素是建立密码机通道和安全通道的基本元素。
地址元素的显示方式为表格的形式,一行一条记录并且分行分页显示,每条记录有三个处理方法:
修改、删除、查看。
当该元素被上层元素调用时它就不能被删除了,当一条安全通道建立时它调用的下层元素、次下层元素……最下层元素就即不能修改也不能删除了,只能被查看。
当地址元素较多时,可以采用分页显示,在“每页行”中选择后,浏览器即可自动分页显示。
注意:
本规则对所有元素都成立,说明其它元素时不再重复。
地址的添加
通过点击地址元素设置页面左下方的【新建地址】,可以定义新的地址元素。
在地址名称中输入标示这段地址的名称。
在IP地址和子网掩码栏中输入相应的IP地址和对应的掩码。
注意:
由于地址元素的标识符是名称,所以不能建立已存在的同名称的元素,地址名称可以是英文字母也可以是中文,可以包括下划线,对于IP地址和掩码的输入格式必须正确,否则会提示错误。
地址的修改
通过点击每个表格中对应地址元素的行右边的修改,可以修改已定义的地址元素。
地址的删除
通过点击每个表格中对应地址元素的行右边的删除,可以删除已定义的地址元素。
地址的查看
对于已经被安全通道调用并启用的元素对应的行右边将只有查看操作,点击后只能查看IP地址等信息而无法对它做修改。
4.2.2地址组的管理
所谓地址组,就是将一组的地址组成一个集合,提供给密码机通道使用。
地址组的引进主要是为建立不连续的IP地址或者地址段的集合。
地址组的添加
通过点击地址组表格左下方的【新建地址组】,可以定义一个新的地址组。
定义一个新建的地址组,只要从右边的地址元素的总集合里选取需要的地址元素。
点击“<<”按钮为添加所选的地址,点击“>>”按钮为删除所选的地址。
修改地址组
通过点击地址组表格对应行右边的【修改】,可以修改已经定义好的地址组元素。
修改一个地址组,只要从右边的地址元素的总集合里添加需要的地址元素或从左边已选择的地址元素里删除不需要的地址元素。
删除地址组
通过点击地址组表格对应行右边的【删除】,可以删除已经定义好的地址组元素。
地址组的查看
对于已经安全通道调用并启用的地址组元素,将只能进行查看操作,通过点击地址组表格对应行右边的【查看】,可以查看已经定义好的地址组元素。
4.2.3时间段的管理
时间段是用于控制安全通道工作时间的管理元素。
时间表里的时间元素包括起始时间和终止时间的一个时间段,它的最小单位为分钟。
时间段的添加
通过点击时间表页面左下方的【新建时间】,可以定义一个新的时间段:
其中“针对哪一天”指星期几,时间表元素是以一星期为一个周期的,其中特殊的选择项“每天”,如果每天的起始时间和终止时间都一样,那么这个特殊项就有用了,起始时间和终止时间用点和分钟来表示。
时间段的修改
通过点击时间表对应行右边的【修改】,可以修改已经定义好的时间元素。
时间段的删除
通过点击时间表对应行右边的【删除】,可以删除已经定义好的时间元素。
时间段的查看
对于已经被安全通道调用并启用的时间元素,将只能进行查看操作,通过点击时间表对应行右边的【查看】,可以查看已经定义好的时间元素。
4.2.4时间组的管理
时间组也就是时间元素的集合。
时间组的引进主要是为建立不连续的时间段的集合。
时间组的添加
通过点击时间组表格左下方的【新建时间组】,可以定义一个新的时间组。
定义一个新建的时间组时,从右边的可选时间元素的集合里选取需要的时间元素添加到左边的列中即可。
时间组的修改
通过点击时间组表格对应行右边的【修改】,可以修改已经定义好的时间组元素。
时间组的删除
通过点击时间组表格对应行右边的【删除】,可以删除已经定义好的时间组元素。
时间组的查看
对于已经被安全通道调用并启用的时间组元素,将只能进行查看操作,通过点击时间组表对应行右边的【查看】,可以查看已经定义好的时间组元素。
注意:
当使用时间(组)来管理安全通道的时候,需要将系统的时间正确的设置。
4.2.5用户的管理
“用户”是密码机对移动用户进行身份验证的本地数据库。
当移动用户数量小于50单位的时候,可以使用“用户”本地数据库来验证移动用户;如果超过这个限制,建议使用Radius服务器来进行验证工作。
用户的添加
通过点击用户表格左下方的【新建用户】,如上图输入用户名和密钥信息定义一个新的用户。
用户的修改
通过点击用户表表格对应行右边的【修改】,可以修改已定义好的用户。
用户的删除
通过点击用户表表格对应行右边的【删除】,可以删除已定义好的用户。
4.3安全通道元素的管理
4.3.1IKE提议的管理
IKE提议又称第一阶段提议,SJW56网络密码机采用IKE协议和远程密码机协商安全通道的各项参数,它是安全通道建立的必需参数。
IKE提议的添加
通过点击IKE提议表格左下方的【新建IKE提议】,可以定义一个新的IKE提议。
IKE验证方法支持预共享密钥、数字证书两种方式。
加密算法为国密算法,验证算法为国密算法。
IKE生命期默认是1天,也就是如果一条隧道建立时间超过1天,IKE就会自动重新协商,协商的策略有三种分别是不重新协商、以绝对时间为提前量来协商、以相对时间为提前量来协商,默认协商次数为3次。
注意:
我们不推荐客户修改IKE生命期和协商的默认参数。
IKE提议的修改
通过点击IKE提议表格对应行右边的【修改】,可以修改已经定义好的IKE提议。
IKE提议的删除
通过点击IKE提议表格对应行右边的【删除】,可以删除已经定义好的IKE提议。
IKE提议的查看
对于已经被安全通道调用并启用的IKE提议,将只能进行查看操作。
通过点击IKE提议表格对应行右边的【查看】,可以查看已经定义好的IKE提议。
4.3.2IPSEC提议的管理
IPSEC提议又称为第二阶段提议,它是建立安全通道的必需元素,安全通道的各个参数,譬如加密算法、认证算法都是通过它来决定的。
IPSEC提议的添加
通过点击IPSEC提议表格左下方的【新建IPSEC提议】,可以定义一个新的IPSEC提议。
选择PFS后,在第二阶段的协商中,IKE将重新和对端协商密钥而不使用第一阶段中协商出的密钥。
IPSEC的封装方式分为ESP和AH两种,其中ESP的加密算法为国密算法,验证算法为国密算法;AH的验证算法为国密算法。
出于高安全性方面的考虑,建议使用ESP来保护数据通信。
安全通道的生命期分为三种方式,分别是以时间为单位、以字节数为单位、以包数量为单位。
这个生命期是软生命期:
在这个生命期到了后,会重新协商一个安全通道来替代原有的生命期已到的安全通道。
由于安全通道需要连续的保护数据流,所以在更新安全通道的时候,需要提前协商好新的安全通道,重新协商策略就是指定这个提前量的。
注意:
客户在配置IPSEC提议的时候一般只需要设置验证方式,对于PFS的选项可以根据不同的安全需要做相应的选择,我们不推荐客户修改IPSEC生命期、重新协商策略的默认参数。
IPSEC提议的修改
通过点击IPSEC提议表格对应行右边的【修改】,可以修改已经定义好的IPSEC提议。
IPSEC提议的删除
通过点击IPSEC提议表格对应行右边的【删除】,可以删除已经定义好的IPSEC提议。
IPSEC提议的查看
对于已经被安全通道调用并启动的IPSEC提议,将只能进行查看操作,通过点击IPSEC提议表格对应行右边的【查看】,可以查看已经定义好的IPSEC提议。
4.3.3密码机通道管理
密码机通道即IKE通道,它是指两个密码机通过协商建立一个安全、验证过的通道,保护密码机之间的协商消息。
密码机通道的添加
通过点击密码机通道表格左下方的【新建密码机通道】,可以定义一个新的密码机通道。
各项说明如下:
1.本地密码机地址和远程密码机地址分别是源网络密码机的IP地址和目的网络密码机的IP地址(必须预先在地址元素中定义);
2.交换模式采用更为安全的主模式;
3.密码机通道的身份验证有两种方式,一种是PSK即口令方式,另一种是证书方式。
每种方式下,最多可以有4条IKE提议,它们的优先级分别从上到下、从左到右依次降低。
当密码机通道使用证书方式做验证的时候,必须选择本地和远程证书;
4.当使用PSK即口令方式验证密码机通道的时候,需要设定一个本地密码机和远程密码机之间的预共享密钥(PresharedSecretKey),以及远程密码机的ID。
每台密码机都有一个ID,它是在系统管理员设置的,参见5.1.3.1;
5.当使用证书方式验证密码机通道的时候,需要指定本方使用的证书、对方使用的证书;
注意:
在配置密码机通道的时候如果选择的IKE提议中使用了证书验证,则必须填写数字证书,数字证书中包含了ID信息,因此不必填写远程网关ID,而在使用预共享密钥的时候两端的网关ID格式必须一致,如果两端都使用默认的网关ID格式则不需要修改这个选项,否则必须修改。
密码机通道的修改
通过点击密码机通道表对应行右边的【修改】,可以修改已经定义好的密码机通道。
密码机通道的删除
通过点击密码机通道表对应行右边的【删除】,可以删除已经定义好的密码机通道。
密码机通道的查看
对于已经被安全通道调用并启动的密码机通道,将只能进行查看操作,通过点击密码机通道表对应行右边的【查看】,可以查看已经定义好的密码机通道。
4.4安全通道的管理
4.4.1安全通道管理
这里的安全通道指源保护子网和目的保护子网在两个安全网关间进行安全数据传输的虚拟通道。
在建立安全通道的时候,要确保双方配置的IKE提议、IPSEC提议中的算法等参数保持一致,否则可能造成安全通道不能成功的建立。
当某条安全通道建立成功后,此条安全通道的处理栏中的可操作项将由“【修改】、【删除】、【启动】”将改变成“【查看】、【停止】”。
安全通道的添加
通过点击安全通道表左下方的【新建安全通道】,可以定义一个新的安全通道。
1.源保护网地址是本密码机端所保护的子网地址,目的保护网地址是对方密码机端所保护的子网地址(这个地址由地址或者地址组元素定义);这两项设置要和对方密码机的设置相匹配;
2.密码机通道是要建立安全通道所用到的第一阶段的设置;
3.IPSEC提议是第二阶段两端交换的参数选项由安全通道元素中预先定义;
4.隧道的模式为隧道模式;
5.启动时间表是安全通道起作用的时间表。
注意:
配置安全通道的一般操作只需要设定需要保护的源和目的地址段,选定第一阶段IKE的协商和IPSEC提议的参数列表就可以了,对于网关对网关模式和主机对网关模式所使用的模式都为隧道模式。
安全通道的修改
通过点击安全通道表对应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高端 密码机 用户 使用手册