SJW07—A 增强型——电力专用纵向加密认证装置工程人员指南SJW07-A 增强型11 引言511 设备简介51.2 预期读者51.3 文档结构52 密码机的安装621 外观图622 前面板示意图62.3 后面板示意图624 密码机网线连接625 配置管理软件安装73 工作原理及名词解释931 典型应用拓扑932 双机互备93.3 安全证书机制1034 密钥体系1035 人机卡认证1036 远程管理103.7 设备状态说明1138 声光指示113.9 旁路模式开关114 本地配置124.1 初始配置流程124.2 生成设备证书请求1243 导出设备证书请求1344 导入根证书134.5 导入操作员证书144.6 导入管理中心证书1547 验证操作员口令1648 配置管理软件登录174.9 配置主菜单17410 智能卡初始化184.11 证书管理19导入证书19证书管理19删除证书20修改证书名称20412 隧道管理21添加隧道21删除隧道22查询隧道22重置隧道22绑定隧道22解绑隧道23修改隧道名称23设置隧道组234.13 策略管理24添加策略25查询策略25修改策略26删除策略264。
14 系统配置26网络配置26VLAN配置28设备状态29互备装置30杂项配置31安全管理33415 日志管理345 配置实例355.1 场景假定355.2 安装目标36AßàB 通信,交换机内侧式36案例分析36具体配置37装置A1上的配置工作37装置B1上的配置工作40AßàC 通信,交换机外侧式43案例分析43具体配置43装置A1上的配置工作43装置C1上的配置工作45典型交换机内侧式(甘肃、天津、新疆、青海)48非典型交换机内侧式(东北)496 工程实用5061 软件升级5061.1 阶段一5061.2 阶段二5163 阶段三5162 软件升级的另外一种方式5163 签发证书5263.1 工具安装536.32 签发证书步骤5364 /proc/ipsec详解566.4.1 ipsec说明566.4.2 ipsec参数说明576.5 日志文件说明5766 隧道状态说明586.7 状态异常6067.1 硬件故障606.72 密钥丢失6068 隧道组606.81 绑定/解绑616.8 隧道的工作模式及变换6169 调试626.91 初期ping通信测试626.92 密通测试63610 工程问题636。
10.1如何根据网络拓扑判断配置模式636.10.2 工程中配置的问题63610.3 调试工具、方法64附录 1661 引言1.1 设备简介SJW07—A 网络密码机(以下简称SJW07-A)用于实现在IP网络上的数据加密传输,用于商用密码领域通过SJW07—A可在公网(如Internet 或其他商业性网络)之上构造安全的VPN系统.SJW07-A主要应用于全国电力二次系统,基于全国电力调度数据网络构建安全VPN,为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护SJW07—A在电力系统中的专用称谓是“电力专用纵向加密认证装置(简称装置)”,除非做特别说明,本文不区分SJW07-A和装置1.2 预期读者本手册对SJW07-A的功能、使用方法及日常维护做了详细的介绍、并根据工程实例对装置的功能和用途作了进一步说明,读者可以根据预期读者是SJW07-A的使用和维护人员,请相关人员在使用或维护装置前认真阅读本手册.读者在进行密码机配置的前期首先要掌握以下几种知识:l 简单的linux 系统的操作,比如cp、mv、cd、ls、rm、cat、more等命令l 常用的网络命令ftp、telnet等l 简单的网络知识,比如路由、子网掩码、VLAN等概念。
l 简单路由器、交换机的配置.如何在路由器、交换机查看配置、抓包、ping等操作1.3 文档结构为了能够更快的了解本手册的内容,现将手册的基本结构介绍如下:第一章:引言简述SJW07-A网络密码机的适用领域及本手册的基本结构.第二章:安装介绍如何安装SJW07—A的软硬件第三章:工作原理及名词解释第三章:本地配置2 密码机的安装2.1 外观图2.2 前面板示意图图 Error! Bookmark not defined. SJW07—A前面板示意图2.3 后面板示意图图 1SJW07-A后面板示意图2.4 密码机网线连接装置通过10BaseT/100BaseTX RJ45以太网口与路由器、交换机或集线器等网络设备相连装置的外网口与外部网相连,内网口与内部网相连,心跳口用于双机互备将随机附带的非屏蔽五类直通/交叉网线一端连接到装置的外/内网口,另一端连接到路由器、交换机或集线器的以太网口 设置为双机互备的两台装置必须用随机附带非屏蔽五类交叉网线将心跳口连接起来2.5 配置管理软件安装操作员可以使用随机光盘中附带的配置管理软件在WINDOWS PC上对装置进行配置管理配置管理软件的安装步骤如下:首先执行随机光盘中的安装文件:加密机配置管理。
exe,弹出安装对话框,如图:点击下一步弹出选择安装目录对话框,如图:点击下一步弹出快捷方式对话框,如图:点击下一步弹出安装对话框,点击安装按钮,安装结束在桌面上会有一个配置终端的快捷方式,点击快捷方式即可进入配置终端软件.3 工作原理及名词解释3.1 典型应用拓扑上图为SJW07—A网络密码机的典型应用拓扑:每一个局域网根据具体情况可在由一到两台装置保护下,同其它局域网互联;从而使整个系统成为一个安全的VPN系统装置证书服务系统采用离线方式工作,不与广域网相连装置管理中心直接与各装置通信,实现对全系统装置的集中管理3.2 双机互备当局域网中配备两台SJW07—A网络密码机时,可将装置配置成双机互备.即当主装置发生故障时,能够快速将认证和加密传输处理工作切换至备装置中,保障通信连续性 推荐每个局域网中配备两台SJW07-A网络密码机,并把装置配置成双机互备,以提高系统可用性3.3 安全证书机制证书采用X.509格式,共有4类,分别为根证书、管理中心证书、对端装置设备证书(简称对机证书)、操作员证书装置证书服务系统采用离线方式工作,所有证书均由装置证书服务系统统一签发根证书:用于验证其它证书的有效性。
管理中心证书:用于与管理中心通信操作员证书:用于人机卡认证.对机证书:用于与其它装置同步工作密钥,与IP地址绑定3.4 密钥体系SJW07-A网络密码机采用三级密钥:主密钥、设备密钥、工作密钥主密钥:由装置硬件噪声源随机生成,存储在装置内部;又称保护密钥,负责加密保护装置中所有的密钥设备私钥:设备公私钥对由装置的密码模块产生,设备私钥被主密钥加密后存储在装置内部设备公钥以证书请求方式导出,由装置证书服务系统签发成设备证书并发布工作密钥:工作密钥由装置在工作时产生,不需要保存,动态更新.% 装置具有开壳毁钥功能,当装置检测机箱顶盖到被非法打开后,则立即销毁主密钥和设备密钥3.5 人机卡认证在登录进入装置配置界面时,会进行操作员口令、操作员卡和装置之间的交叉认证,认证通过后才能对装置进行配置3.6 远程管理装置安装管理中心证书后,装置管理中心可直接与装置通信,对其进行远程配置和监控远程管理中心是其他厂商开发的,一个地方可能有多个管理中心,多个管理中心在装置界定是根据管理中心的IP地址进行区别的.3.7 设备状态说明装置共有两种状态:初始态和工作态这两种状态在一定的条件下相互转换,状态转换时需要重新启动装置。
初始态:装置出厂时,默认为该状态处于初始态时需要用户通过配置终端做一些初始配置工作态:初始配置结束后,装置正常的工作状态3.8 声光指示装置在工作的过程中,通过前面板指示灯和蜂鸣器的不同组合实现声光指示正常情况下,显示装置的状态;当装置出现故障时,声光告警,提示用户装置状态表参见附录1.3.9 旁路模式开关旁路模式开关为按钮开关,有2种状态:旁路模式和工作模式.4 本地配置SJW07—A网络密码机采用图形化配置界面,具有友好、便捷等优点.在PC机上运行配置管理软件前,请用配置电缆连接PC和装置(参见“配置电缆连接”)软件正常运行后,会根据装置的当前状态,显示不同的用户界面具体见使用说明书4.1 初始配置流程当装置处在出厂态和初始态时,采用向导式初始化流程,方便用户完成装置的初始配置4.2 生成设备证书请求图 Error! Bookmark not defined.“生成设备证书请求”对话框装置处于出厂态时,运行配置管理软件,执行初始化向导第一步弹出“生成设备证书请求”对话框,如上图所示功能:随机生成主密钥、产生设备密钥,根据输入的证书信息生成设备证书请求操作:用户先填写证书信息,包括省、直辖市、组织、部门、名称和Email。
点击按钮“生成证书"提示:操作时间较长,大约需要等待10秒钟 填写证书信息时请注意,组织和部门都必须是大写的“GDD”4.3 导出设备证书请求产生证书请求后,点击按钮“下一步”,弹出“导出设备证书请求”对话框,如下图所示图 2“导出设备证书请求”对话框功能:将生成的证书请求以文件形式导出到PC机上操作:“选择”保存的文件名称,点击按钮“导出证书请求”导出证书请求成功后,提示重启装置,配置管理软件自动关闭提示:证书请求采用X.509格式,使用BASE-64编码4.4 导入根证书装置重新启动后,进入初始态,再次运行配置管理软件.第一步弹出“导入根证书”对话框,如下图所示.图 Error! Bookmark not defined.“导入根证书"对话框功能:将根证书导入装置中操作:选择证书名称和证书编码,点击按钮“导入证书"提示:导入前必须确认证书编码格式4.5 导入操作员证书导入根证书成功后,点击按钮“下一步",弹出“导入操作员证书”对话框,如下图所示图 3“导入操作员证书"对话框功能:将操作员证书导入装置中,使用根证书验证该证书的有效性操作:选择证书名称和证书编码,点击按钮“导入证书”4.6 导入管理中心证书操作员证书导入成功后,点击按钮“下一步”,弹出“导入管理中心证书"对话框,如下图所示。
图 Error! Bookmark not defined.“导入管理中心证书”对话框功能:将管理中心证书导入装置,并用根证书验证该证书的有效性操作:选择证书名称和证书编码,点击按钮“导入证书"管理中心证书是可选择安装的,如用户不安装该证书,可点击按钮“跳过”4.7 验证操作员口令图 4“验证操作员口令”对话框在“管理中心证书”对话框,点击按钮“下一步”或“跳过”,都会弹出“验证操作员口令”对话框,如上图所示功能:执行人机卡认证,对操作员口令、操作员。