背景介紹

隨著信息化發展的全面加速，網絡安全問題日益突出，網絡安全威脅來源廣泛、形式復雜。傳統網絡構架存在安全隱患，網絡上以明文方式傳輸的數據可以被任意的監聽、篡改。 這不但會造成重要信息的泄露，還會給企業日常生產與業務活動構成嚴重威脅。另一方面，國家對信息安全的合規性要求逐漸加強，關鍵基礎設施行業紛紛構建以密碼技術為支撐的“自主、 安全、可控”保障體系，從而有利保障國家安全和企業安全。

在企業核心網絡密碼應用方面，因傳統密碼產品存在技術瓶頸，性能無法滿足帶寬要求，大興企業核心網絡的接口帶寬非常高，受其高性能網絡吞吐的限制，常規的算法實現很難解決性能 上的問題。功能無法實現業務需求，隨著用戶業務多元化發展，分布式計算、電子郵件、文件傳輸、語音、視頻會議等業務需要時時在總部與分支機構間運行，重要數據需要進行加密傳輸， 傳統產品無法支持靈活的加密策略及組播加密等業務需求。傳統方式部署難度大、投資成本高(采購、實施、運維)，傳統意義的IPSec點對點的協商密鑰解決方案不能滿足大型復雜網絡部署 需求，涉及異地部署的成本會非常高。

需求分析

安全風險

大型企業在數據傳輸環節,雖采用了專線連接，但由于數據以明文方式傳輸，網絡安全威脅來源廣泛、形式復雜，數據存在泄露及篡改風險。

性能需求

大型企業核心網絡的接口帶寬非常高,需要滿足高性能網絡吞吐的要求，算法實現需要解決性能上的問題。

合規需求

根據國家等級保護及密碼應用安全政策的合規性要求，需要采用密碼技術保證通信過程中敏感信息數據字段或整個報文的機密性以及數據的完整性，通信雙方身份真實性及核心密 鑰集中管理需求;通信雙方身份真實性及核心密鑰集中管理需求。

功能需求

結合用戶實際應用場景，需要研發一款高性能加密模塊，可以直接嵌入到現有的核心交換機、路由器等通信設備中，實現重要數據的加密傳輸，加密傳輸方式需要支持靈活的加密策 略及組播加密等功能需求。

方案設計

方案設計通過在主干線路核心級交換機產品上嵌入高性能加密模塊，在交換機產品中實現基于商用密碼算法的加解密功能。同時根據網絡特點，采用GDOI組密鑰管理機制實現任 意節點間的加密通訊，實現數據中心間網絡數據傳輸加密需求，實現商用密碼技術與網絡產品深度融合。

方案中核心加密組件由高速加密模塊及GDOI密鑰管理系統組成，主要采用國密標準的SM2、SM3以及SM4算法作為加密套件，高速加密模塊采用可編程邏輯部件技術實現，雙向加解 密性能高達40Gbps;GDOI密鑰管理系統采用GDOI協議創建分組密鑰管理模型，將業務加密密鑰及加密策略采用集中分發模式進行管理，降低網絡加密的復雜度，有效提高網絡管理的工作效率。 該方案不依賴隧道的加密技術，僅對報文內容加密，對加密節點之外的網絡透明，不改變網絡架構，適應已有拓撲。部署邏輯示意圖如下:

方案特色

應用理念創新設計

產品設計及應用理念創新性較強，技術上突破傳統密碼產品的設計格局，將交換設備與加密模塊跨界融合，在用戶原有核心交換機產品上實現基于國密算法的加解密功能。

密碼算法等效特換

密碼算法等效替換，實現對GDOI協議的國產化，采用商用密碼算法替換原有國際算法，實現了商用密碼在核心技術上的等效替換。

超高性能算法實現

加密模塊采用高性能可編程邏輯器件，實現了自主知識產權的高效加解密，雙向加解密性能高達40Gbps，處于行業絕對領先地位。

現有網絡平滑接入

現有網絡平滑接入，對原有的系統使用模式、組網方式不需做任何改變，保護既有投資，加密策略靈活定制，滿足不同業務系統數據加密需求。