SJW07-A工程人员培训指南.doc

1、SJW07-A 增强型电力专用纵向加密认证装置工程人员指南SJW07-A 增强型 11 引言 .51.1 设备简介 .51.2 预期读者 .51.3 文档结构 .52 密码机的安装 .62.1 外观图 .62.2 前面板示意图 .62.3 后面板示意图 .62.4 密码机网线连接 .62.5 配置管理软件安装 .73 工作原理及名词解释 .93.1 典型应用拓扑 .93.2 双机互备 .93.3 安全证书机制 .103.4 密钥体系 .103.5 人机卡认证 .103.6 远程管理 .103.7 设备状态说明 .113.8 声光指示 .113.9 旁路模式开关 .114 本地配置 .124.1

2、 初始配置流程 .124.2 生成设备证书请求 .124.3 导出设备证书请求 .134.4 导入根证书 .134.5 导入操作员证书 .144.6 导入管理中心证书 .154.7 验证操作员口令 .164.8 配置管理软件登录 .174.9 配置主菜单 .174.10 智能卡初始化 .184.11 证书管理 .19导入证书 19证书管理 19删除证书 20修改证书名称 204.12 隧道管理 .21添加隧道 21删除隧道 22查询隧道 22重置隧道 22绑定隧道 22解绑隧道 23修改隧道名称 23设置隧道组 234.13 策略管理 .24添加策略 25查询策略 25修改策略 26删除策略

3、264.14 系统配置 .26网络配置 26VLAN 配置 28设备状态 29互备装置 30杂项配置 31安全管理 334.15 日志管理 .345 配置实例 .355.1 场景假定 .355.2 安装目标 .36AB 通信，交换机内侧式 36案例分析 36具体配置 37装置 A1 上的配置工作。 .37装置 B1 上的配置工作。 .40AC 通信，交换机外侧式 43案例分析 43具体配置 43装置 A1 上的配置工作 .43装置 C1 上的配置工作 .45典型交换机内侧式（甘肃、天津、新疆、青海） 48非典型交换机内侧式（东北） 496 工程实用 .506.1 软件升级 .506.1.1 阶

4、段一 506.1.2 阶段二 516.1.3 阶段三 516.2 软件升级的另外一种方式 .516.3 签发证书 .526.3.1 工具安装 536.3.2 签发证书步骤 536.4 /proc/ipsec 详解 .566.4.1 ipsec 说明 566.4.2 ipsec 参数说明 576.5 日志文件说明 576.6 隧道状态说明 586.7 状态异常 606.7.1 硬件故障 606.7.2 密钥丢失 606.8 隧道组 606.8.1 绑定/解绑 616.8 隧道的工作模式及变换 616.9 调试 626.9.1 初期 ping 通信测试 626.9.2 密通测试 636.10 工程

5、问题 636.10.1 如何根据网络拓扑判断配置模式 .636.10.2 工程中配置的问题 636.10.3 调试工具、方法 64附录 1661 引言1.1 设备简介SJW07-A 网络密码机（以下简称 SJW07-A）用于实现在 IP 网络上的数据加密传输，用于商用密码领域。通过 SJW07-A 可在公网（如 Internet 或其他商业性网络）之上构造安全的 VPN 系统。SJW07-A 主要应用于全国电力二次系统，基于全国电力调度数据网络构建安全 VPN，为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。SJW07-A 在电力系统中的专用称谓是“电力专

6、用纵向加密认证装置（简称装置） ”，除非做特别说明，本文不区分 SJW07-A 和装置。1.2 预期读者本手册对 SJW07-A 的功能、使用方法及日常维护做了详细的介绍、并根据工程实例对装置的功能和用途作了进一步说明，读者可以根据。预期读者是 SJW07-A 的使用和维护人员，请相关人员在使用或维护装置前认真阅读本手册。读者在进行密码机配置的前期首先要掌握以下几种知识： 简单的 linux 系统的操作，比如 cp、mv 、cd、ls、rm、cat、more 等命令 常用的网络命令 ftp、telnet 等 简单的网络知识，比如路由、子网掩码、VLAN 等概念。 简单路由器、交换机的配置。如何

7、在路由器、交换机查看配置、抓包、ping 等操作。1.3 文档结构为了能够更快的了解本手册的内容，现将手册的基本结构介绍如下：第一章：引言简述 SJW07-A 网络密码机的适用领域及本手册的基本结构。第二章：安装介绍如何安装 SJW07-A 的软硬件。第三章：工作原理及名词解释第三章：本地配置2 密码机的安装2.1 外观图2.2 前面板示意图智能 I C卡插槽智能 I C 卡指示灯告警指示灯加解密状态指示灯系统运行指示灯电源指示灯图 1 SJW07-A 前面板示意图2.3 后面板示意图机箱锁接地端子主备装置心跳网口第 1 路外网以太网口第 1 路内网以太网口旁路开关配置串口热备电源 1交流电源

8、插座热备电源 1电源开关热备电源 1指示灯热备电源 2交流电源插座热备电源2电源开关热备电源 2指示灯旁 路非 旁 路第 2 路外网以太网口电源报警开关第 2 路 n内网以太网口图 2 SJW07-A 后面板示意图2.4 密码机网线连接装置通过 10BaseT/100BaseTX RJ45 以太网口与路由器、交换机或集线器等网络设备相连。装置的外网口与外部网相连，内网口与内部网相连，心跳口用于双机互备。将随机附带的非屏蔽五类直通/交叉网线一端连接到装置的外/ 内网口，另一端连接到路由器、交换机或集线器的以太网口。 设置为双机互备的两台装置必须用随机附带非屏蔽五类交叉网线将心跳口连接起来。2.5

9、 配置管理软件安装操作员可以使用随机光盘中附带的配置管理软件在 WINDOWS PC 上对装置进行配置管理。配置管理软件的安装步骤如下：首先执行随机光盘中的安装文件：加密机配置管理.exe，弹出安装对话框，如图：点击下一步弹出选择安装目录对话框，如图：点击下一步弹出快捷方式对话框，如图：点击下一步弹出安装对话框，点击安装按钮，安装结束。在桌面上会有一个配置终端的快捷方式，点击快捷方式即可进入配置终端软件。3 工作原理及名词解释3.1 典型应用拓扑密码机管理中心证书服务系统局域网广域网局域网局域网上图为 SJW07-A 网络密码机的典型应用拓扑：每一个局域网根据具体情况可在由一到两台装置保护下，

10、同其它局域网互联；从而使整个系统成为一个安全的 VPN 系统。装置证书服务系统采用离线方式工作，不与广域网相连。装置管理中心直接与各装置通信，实现对全系统装置的集中管理。3.2 双机互备当局域网中配备两台 SJW07-A 网络密码机时，可将装置配置成双机互备。即当主装置发生故障时，能够快速将认证和加密传输处理工作切换至备装置中，保障通信连续性。 推荐每个局域网中配备两台 SJW07-A 网络密码机，并把装置配置成双机互备，以提高系统可用性。3.3 安全证书机制证书采用 X.509 格式，共有 4 类，分别为根证书、管理中心证书、对端装置设备证书（简称对机证书） 、操作员证书。装置证书服务系统采

11、用离线方式工作，所有证书均由装置证书服务系统统一签发。根证书：用于验证其它证书的有效性。管理中心证书：用于与管理中心通信。操作员证书：用于人机卡认证。对机证书：用于与其它装置同步工作密钥，与 IP 地址绑定。3.4 密钥体系SJW07-A 网络密码机采用三级密钥：主密钥、设备密钥、工作密钥。主密钥：由装置硬件噪声源随机生成，存储在装置内部；又称保护密钥，负责加密保护装置中所有的密钥。设备私钥：设备公私钥对由装置的密码模块产生，设备私钥被主密钥加密后存储在装置内部。设备公钥以证书请求方式导出，由装置证书服务系统签发成设备证书并发布。工作密钥：工作密钥由装置在工作时产生，不需要保存，动态更新。 装

12、置具有开壳毁钥功能，当装置检测机箱顶盖到被非法打开后，则立即销毁主密钥和设备密钥。3.5 人机卡认证在登录进入装置配置界面时，会进行操作员口令、操作员卡和装置之间的交叉认证，认证通过后才能对装置进行配置。3.6 远程管理装置安装管理中心证书后，装置管理中心可直接与装置通信，对其进行远程配置和监控。远程管理中心是其他厂商开发的，一个地方可能有多个管理中心，多个管理中心在装置界定是根据管理中心的 IP 地址进行区别的。3.7 设备状态说明装置共有两种状态：初始态和工作态。这两种状态在一定的条件下相互转换，状态转换时需要重新启动装置。初始态：装置出厂时，默认为该状态。处于初始态时需要用户通过配置终端

13、做一些初始配置。工作态：初始配置结束后，装置正常的工作状态。3.8 声光指示装置在工作的过程中，通过前面板指示灯和蜂鸣器的不同组合实现声光指示。正常情况下，显示装置的状态；当装置出现故障时，声光告警，提示用户。装置状态表参见附录 1。3.9 旁路模式开关旁路模式开关为按钮开关，有 2 种状态：旁路模式和工作模式。4 本地配置SJW07-A 网络密码机采用图形化配置界面，具有友好、便捷等优点。在 PC 机上运行配置管理软件前，请用配置电缆连接 PC 和装置（参见“ 配置电缆连接” ） 。软件正常运行后，会根据装置的当前状态，显示不同的用户界面。具体见使用说明书。4.1 初始配置流程当装置处在出厂

14、态和初始态时，采用向导式初始化流程，方便用户完成装置的初始配置。4.2 生成设备证书请求图 3“生成设备证书请求”对话框装置处于出厂态时，运行配置管理软件，执行初始化向导。第一步弹出“生成设备证书请求”对话框，如上图所示。功能：随机生成主密钥、产生设备密钥，根据输入的证书信息生成设备证书请求。操作：用户先填写证书信息，包括省、直辖市、组织、部门、名称和 Email。点击按钮“生成证书” 。提示：操作时间较长，大约需要等待 10 秒钟。 填写证书信息时请注意，组织和部门都必须是大写的“GDD”。4.3 导出设备证书请求产生证书请求后，点击按钮“下一步” ，弹出“导出设备证书请求”对话框，如下图所

15、示。图 4“导出设备证书请求”对话框功能：将生成的证书请求以文件形式导出到 PC 机上。操作：“选择”保存的文件名称，点击按钮“导出证书请求” 。导出证书请求成功后，提示重启装置，配置管理软件自动关闭。提示：证书请求采用 X.509 格式，使用 BASE-64 编码。4.4 导入根证书装置重新启动后，进入初始态，再次运行配置管理软件。第一步弹出“导入根证书”对话框，如下图所示。图 5“导入根证书”对话框功能：将根证书导入装置中。操作：选择证书名称和证书编码，点击按钮“导入证书” 。提示：导入前必须确认证书编码格式。4.5 导入操作员证书导入根证书成功后，点击按钮“下一步” ，弹出“导入操作员证

16、书”对话框，如下图所示。图 6“导入操作员证书”对话框功能：将操作员证书导入装置中，使用根证书验证该证书的有效性。操作：选择证书名称和证书编码，点击按钮“导入证书” 。4.6 导入管理中心证书操作员证书导入成功后，点击按钮“下一步” ，弹出“导入管理中心证书”对话框，如下图所示。图 7“导入管理中心证书”对话框功能：将管理中心证书导入装置，并用根证书验证该证书的有效性。操作：选择证书名称和证书编码，点击按钮“导入证书” 。管理中心证书是可选择安装的，如用户不安装该证书，可点击按钮“跳过” 。4.7 验证操作员口令图 8“验证操作员口令”对话框在“管理中心证书”对话框，点击按钮“下一步”或“跳过

17、” ，都会弹出“验证操作员口令”对话框，如上图所示。功能：执行人机卡认证，对操作员口令、操作员卡、操作员证书进行交叉认证。操作：插入操作员卡，输入口令，点击按钮“验证” 。验证通过后，重启装置，配置管理软件自动关闭。提示：操作员口令和操作员卡由管理中心下发。4.8 配置管理软件登录初始配置结束后，装置进入工作态。运行配置管理软件后运行后弹出登录对话框，如下图所示。图 9“登录”对话框功能：执行人机卡认证，对操作员口令、操作员卡、操作员证书进行交叉认证。操作：插入操作员卡，输入口令，点击按钮“验证” 。4.9 配置主菜单登录成功后，SJW07-A 网络装置配置管理主菜单，如下图所示。图 10 S

18、JW07-A 网络密码机配置管理主菜单主菜单展示了装置的参数列表和隧道状态，双击参数列表中的某个参数，可以进入相关参数的配置对话框。配置终端提供两个快捷键可以快速使用相应功能。F5：手工刷新参数列表。 （注：为了不影响软件运行速度当所有参数刷新被选中时，所有参数才全部进行刷新，如果不选只有必要参数才会进行刷新）F6：弹出命令行对话框。注：1、以上快捷键也可从菜单栏中操作的下拉框进行选择。2、状态栏中的日期、时间为装置中的日期和时间，时间大约 1 分钟更新一次。4.10 智能卡初始化在主菜单中选择“智能卡初始化” ，弹出操作员证书请求对话框，插入智能卡，填写证书信息，点击确定，生成操作员证书请求

19、。4.11 证书管理在主菜单中选择“证书管理” ，弹出证书管理对话框，共有两个选项卡：导入证书、证书管理。主要功能包括导入证书、查询证书列表、查询证书内容和删除证书。导入证书“导入证书”选项卡如下图所示。图 11“导入证书”选项卡功能：将各类证书导入到装置中，包括操作员证书、CA 证书、管理中心证书、对机证书、纵向认证设备证书。操作：选择证书类型、IP 地址、证书名称和证书编码，点击按钮“导入证书” 。提示：IP 地址只对“对机证书”有效，对其它类型证书无效。证书管理“证书管理”选项卡如下图所示。图 12“证书管理”选项卡功能：查询装置的证书列表和证书详细内容。操作：右侧“证书列表”自动更新；

20、在“证书列表”中选择证书名称后，点击按钮“查询证书内容” 。提示：双击证书名称，也可查询证书内容。删除证书功能：删除装置存储的证书，该操作集成在证书管理”选项卡中。操作：在“证书列表”中选择证书名称后，点击按钮“删除证书” 。提示：每次操作只能删除一个证书。用户只能删除“对机证书” ，其它类型的证书采用覆盖方式导入。修改证书名称功能：修改装置存储的证书的名称，该操作集成在证书管理”选项卡中。操作：在“证书列表”中选择证书名称后，点击按钮“修改证书名称” 。在弹出的对话框中输入一个合法的 IP 地址。提示：用户只能修改“对机证书”的名称。对机证书都是以对机的 IP 地址作为其名称的。4.12 隧

21、道管理在主菜单中选择“隧道管理” ，弹出隧道管理对话框。主要功能包括添加隧道、删除隧道、查询隧道、重置隧道、绑定隧道和解绑隧道，修改隧道名称，设定隧道组。隧道管理对话框如下图所示。图 13“隧道管理”对话框添加隧道功能：建立同远端装置通信的隧道，该功能集成在“隧道管理”对话框中。如果要启用隧道绑定 VLAN 的功能，必须在添加隧道之前设置好 VLAN，请参考“VLAN 配置” 。操作：在左侧“证书列表”中选择证书文件；如果要启用隧道绑定 VLAN 的功能，必须选中复选框“绑定 VLAN”，同时选定一个VLAN ID；最后，设置隧道工作模式，点击按钮“添加隧道” ，然后弹出添加隧道名称的对话框如

22、下图，填写隧道名称。提示：每次操作只能添加一条隧道。隧道添加成功后，在中间“隧道列表”中，显示隧道的相关信息。删除隧道功能：删除已建立的隧道，该功能集成在“隧道管理”对话框中。操作：在隧道列表中，选择隧道的 IP 地址，点击按钮“删除隧道” 。提示：每次操作只能删除一条隧道。查询隧道功能：查询装置中已有的隧道列表，该功能集成在“隧道管理”对话框中。操作：点击按钮“查询隧道” 。重置隧道功能：装置中对应的隧道将被重置，重新协商工作密钥；该功能集成在“隧道管理”对话框中。操作：在隧道列表中，选择隧道的 IP 地址，点击按钮“重置隧道” 。提示：每次操作只能重置一条隧道。绑定隧道功能：将两条隧道绑定

23、在一起，两条隧道所对应的证书不同，但策略相同，用于双机热备；该功能集成在“隧道管理”对话框中。操作：在隧道列表中，选择需要绑定的两条隧道，点击按钮“绑定隧道” 。解绑隧道功能：将两条已绑定的隧道解绑，解绑后两条隧道的策略仍然相同，用户需要重新配置。该功能集成在“隧道管理”对话框中。操作：在隧道列表中，选择绑定的任意一条隧道，点击按钮“解绑隧道” 。修改隧道名称功能：修改已有隧道的名称。操作：在隧道列表中，选择要修改的一个隧道，点击按钮“修改隧道名称” ，弹出对话框输入新的隧道名称。如图：设置隧道组功能：设置已有隧道的隧道组。操作：在隧道列表中，选择要修改的一个隧道或一组隧道，点击按钮“设定隧道

24、组” ，弹出隧道组维护对话框。如图：说明： 随机产生组 ID 一般为新生成一个隧道组使用。 设定组 ID 一般为修改隧道组 ID 使用。 取消组设定一般为删除隧道组使用4.13 策略管理在主菜单中选择“策略管理” ，弹出策略管理对话框。主要功能包括添加策略、删除策略、查询策略和修改策略。策略管理对话框如下图所示。图 14“策略管理”对话框添加策略功能：为选定的隧道配置策略，每条策略包括源地址（范围） 、目的地址（范围） 、方向、协议、工作模式、源端口（范围）和目的端口（范围） ；该功能集成在“策略管理”对话框中。操作：在左侧“隧道列表”选择隧道，输入策略信息，点击按钮“添加策略” 。查询策略功

25、能：查询选定隧道对应的所有策略，该功能集成在“策略管理”对话框中。操作：在“隧道列表”选择隧道，点击按钮“查询策略” 。修改策略功能：修改策略信息，该功能集成在“策略管理”对话框中。操作：在右侧“策略列表”选择策略号，修改策略信息；点击按钮“修改策略” 。删除策略功能：删除策略，该功能集成在“策略管理”对话框中。操作：在右侧“策略列表”选择策略号，点击按钮“删除策略” 。4.14 系统配置在主菜单中选择“系统配置” ，弹出系统配置对话框。主要功能包括网络配置、设备状态、互备装置、杂项配置和安全管理。网络配置“网络配置”选项卡如下图所示。图 15“网络配置”选项卡功能：配置网络相关的参数，包括

26、IP 地址、掩码、网关和路由。操作：选择启用框后，第 1 路和第 2 路的设置才可执行。填入 IP 地址和掩码，点击按钮“设置 IP 地址”可设置装置的 IP 地址；填入网关、选择路由类型，点击按钮“设置路由表” ，可设置装置路由表；填入网关、选择路由类型，点击按钮“删除路由表” ，可将该路由从装置路由表中删除。提示：“选项卡”下方的“路由表”显示当前装置的路由表信息。启用 NATIP 地址后，NATIP 地址设置才能生效。VLAN 配置在主窗口中，点击按钮“所属 VLAN”标签右侧的按钮“设置” ，弹出 VLAN 配置对话框。如下图所示：图 16 “VLAN 配置”对话框功能：配置 VLAN

27、 相关的参数，包括子网地址、子网掩码、外出（路由器）的 IP 地址和进入（交换机）的 IP 地址。操作：添加 VLAN。过程如下：选中复选框“启用 VLAN”；填写 VLAN ID；如果这个 VLAN ID 是用户所有 VLAN 中最小的那个 VLAN ID，请选中复选框“装置属于该 VLAN”；在“子网地址”里填入写一个 IP 地址，这个 IP 地址必须是分配给装置的 IP 地址；填入一个子网掩码；如果“网络配置”时选中了复选框“启用虚拟 IP 地址” ，就必须填写外出（路由器）的 IP 地址和进入（交换机）的 IP 地址。点击按钮“添加” ，完成一个 VLAN 的添加。重复上述过程添加所有 VLAN。删除 VLAN。过程如下：在下方的列表框中选中一个 VLAN，点击按钮“删除”就可以删除一个 VLAN。提示：复选框“装置属于该 VLAN”与最小的那个 VLAN ID 对应，必需且只需选中一次。选中启用 ARP 后，该 VLAN 会自动启用 ARP 代理。设备状态“设备状态”选项卡如下图所示。图 17“设备状态”选项卡功能：查询装置当前的各项状态。操作：点击按钮“查看设备状态” 。提示：在“选项卡”上方的“设备状态列表”将显示装置的各项信息互备装置“互备装置”选项卡如下图所示。图 18“互备装置”选项卡功能：查询和配置装置的双机互备参数；当装置处于互备状态时，才需要设置装置的