基于自主可控硬件邏輯的新型網(wǎng)絡(luò)加密系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

周濤，陳艷艷，王昊

（1. 中國(guó)電子學(xué)會(huì)，北京 100036；2. 鄭州中科集成電路與系統(tǒng)應(yīng)用研究院，河南鄭州 450001）

1 引言

如今人們?cè)谏a(chǎn)生活中對(duì)網(wǎng)絡(luò)及數(shù)據(jù)的依賴日漸加深，以網(wǎng)絡(luò)化、數(shù)字化、智能化為特征的產(chǎn)業(yè)轉(zhuǎn)型浪潮蓬勃興起；同時(shí)網(wǎng)絡(luò)空間環(huán)境日漸復(fù)雜，傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)與產(chǎn)品暴露出諸多與新環(huán)境不適應(yīng)的問題，越來越多的數(shù)據(jù)、資源暴露在安全措施不足的環(huán)境中。傳統(tǒng)邊界安全與數(shù)據(jù)安全的解決方式以IPSecVPN（Internet Protocal Security Virtual Private Networks）和SSLVPN（Secure Sockets Layer Virtual Private Networks）為主，但也帶來了部署麻煩、維護(hù)復(fù)雜、設(shè)備兼容性差、傳輸效率降低等問題。目前我國(guó)絕大多數(shù)網(wǎng)絡(luò)安全解決方案依然沿用或依賴國(guó)外技術(shù)標(biāo)準(zhǔn)體系與第三方軟硬件產(chǎn)品構(gòu)建而成，無法徹底擺脫安全風(fēng)險(xiǎn)，實(shí)現(xiàn)真正的國(guó)有自主可控。

本文提出基于國(guó)產(chǎn)密碼算法的網(wǎng)絡(luò)加固系統(tǒng)，以網(wǎng)絡(luò)安全為出發(fā)點(diǎn)，采取加密與隔離技術(shù)對(duì)網(wǎng)絡(luò)環(huán)境中的敏感數(shù)據(jù)加以保護(hù)；以國(guó)產(chǎn)嵌入式CPU和自主研發(fā)的核心專用芯片為硬件基礎(chǔ)，配合嵌入式軟件及上層管理系統(tǒng)軟硬結(jié)合設(shè)計(jì)，實(shí)現(xiàn)硬件級(jí)的接入管理與報(bào)文加密，上層管理系統(tǒng)實(shí)時(shí)獲取節(jié)點(diǎn)運(yùn)行狀態(tài)、安全狀態(tài)、報(bào)警信息和故障等信息，并具備遠(yuǎn)程配置功能，從而組成一套完整的安全加固系統(tǒng)。

2 研究背景與現(xiàn)狀

2.1 研究背景

黨的十八大報(bào)告指出，“建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系，推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用”，首次明確提出了信息安全保障體系的概念。在此嚴(yán)峻形勢(shì)下，國(guó)家要求加強(qiáng)信息安全防護(hù)工作，特別是信息安全產(chǎn)品必須做到自主可控，加大自主知識(shí)產(chǎn)權(quán)產(chǎn)品的研發(fā)力度，有計(jì)劃組織開展應(yīng)用軟件開發(fā)和信息安全技術(shù)攻關(guān)，逐步實(shí)現(xiàn)信息安全的自主可控。

黨的十九屆四中全會(huì)對(duì)建立健全互聯(lián)網(wǎng)安全、大數(shù)據(jù)、人工智能等的相關(guān)制度進(jìn)行了部署；黨的十九大報(bào)告中全面、系統(tǒng)、深刻地論述了堅(jiān)持總體國(guó)家安全觀的重要思想；2018年4月召開的全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議指出，要樹立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)。

黨的二十大報(bào)告明確提出加快建設(shè)制造強(qiáng)國(guó)、質(zhì)量強(qiáng)國(guó)、航天強(qiáng)國(guó)、交通強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字強(qiáng)國(guó)。2022年11月7日，國(guó)務(wù)院新聞辦公室發(fā)布了《攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體》白皮書，圍繞網(wǎng)絡(luò)空間發(fā)展、治理、安全、合作等方面提出了中國(guó)主張。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》的發(fā)布，使得網(wǎng)絡(luò)安全等級(jí)保護(hù)迎來了2.0時(shí)代，同時(shí)上升到法律高度。

2.2 國(guó)內(nèi)現(xiàn)狀

目前，我國(guó)通信網(wǎng)絡(luò)核心基礎(chǔ)設(shè)施、網(wǎng)絡(luò)核心設(shè)備、黨政軍機(jī)關(guān)信息系統(tǒng)、關(guān)系國(guó)計(jì)民生重要領(lǐng)域（如銀行、交通、商業(yè)、電力等）的信息系統(tǒng)大多基于國(guó)外基礎(chǔ)軟硬件，被滲透、被控制的安全風(fēng)險(xiǎn)較大，安全可控信息技術(shù)和產(chǎn)品的支撐能力嚴(yán)重不足，信息安全被動(dòng)、被控的不利局面沒有徹底改觀，網(wǎng)絡(luò)安全乃至國(guó)家安全面臨嚴(yán)重威脅。

我國(guó)相關(guān)信息安全企業(yè)通過整合海量安全大數(shù)據(jù)對(duì)APT（Advanced Persistent Threat）情報(bào)關(guān)聯(lián)溯源、分析研究，發(fā)現(xiàn)境外針對(duì)中國(guó)境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年APT組織及黑客團(tuán)伙利用0day漏洞針對(duì)我國(guó)境內(nèi)目標(biāo)發(fā)起的APT攻擊，至少影響了中國(guó)境內(nèi)超過萬臺(tái)電腦，攻擊范圍遍布國(guó)內(nèi)31個(gè)省級(jí)行政區(qū)。

2022年6月22日，西北工業(yè)大學(xué)發(fā)布公開聲明，稱該校遭受境外網(wǎng)絡(luò)攻擊，初步判明美國(guó)國(guó)家安全局（National Security Agency，NSA）下屬的特定入侵行動(dòng)辦公室（office of Tailored Access Operation，TAO）實(shí)施該行為。大學(xué)遭到嗅探的設(shè)備類型包括固定互聯(lián)網(wǎng)接入網(wǎng)設(shè)備、核心網(wǎng)設(shè)備等，也包括通信基礎(chǔ)設(shè)施運(yùn)營(yíng)企業(yè)的重要設(shè)備。不但如此，在近年里TAO利用其網(wǎng)絡(luò)攻擊武器平臺(tái)、0 day漏洞及其控制的網(wǎng)絡(luò)設(shè)備等對(duì)中國(guó)國(guó)內(nèi)網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬次的惡意網(wǎng)絡(luò)攻擊，竊取了超過140 GB高價(jià)值數(shù)據(jù)。

3 網(wǎng)絡(luò)加固系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)模型設(shè)計(jì)

本方案采用可編程芯片（Field Programmable Gate Array，F(xiàn)PGA）對(duì)訪問該遠(yuǎn)程終端的數(shù)據(jù)包進(jìn)行安全防護(hù)策略：對(duì)源和目的IP做白名單過濾，對(duì)應(yīng)用的協(xié)議做白名單過濾等，并具有監(jiān)控遠(yuǎn)程終端運(yùn)行狀況等功能。在不改變網(wǎng)絡(luò)配置環(huán)境的情況下，以透明方式串入線路中，完成加固和加密功能，避免網(wǎng)絡(luò)竊聽和非法入侵。基于上述模型設(shè)計(jì)，網(wǎng)絡(luò)加固系統(tǒng)包括硬件和軟件。

網(wǎng)絡(luò)加固系統(tǒng)硬件包括網(wǎng)絡(luò)加固設(shè)備和智能密碼鑰匙。本方案以自主知識(shí)產(chǎn)權(quán)國(guó)密型號(hào)的密碼芯片為核心，提供密碼算法、密碼運(yùn)算；使用國(guó)密檢測(cè)合格的智能密碼鑰匙為設(shè)備管理授權(quán)載體進(jìn)行訪問控制，同時(shí)提供身份識(shí)別及驗(yàn)證服務(wù)。

網(wǎng)絡(luò)加固系統(tǒng)軟件部分包括管理配置軟件和加固設(shè)備主控軟件。管理配置軟件主要用于對(duì)網(wǎng)絡(luò)加固設(shè)備的配置和界面化管理。加固設(shè)備主控軟件主要用于智能密碼鑰匙識(shí)別、數(shù)字證書驗(yàn)簽、遠(yuǎn)程管理接口、配置并啟動(dòng)FPGA可編程芯片內(nèi)的邏輯功能，提供密碼算法。

3.2 系統(tǒng)硬件組成

網(wǎng)絡(luò)加固設(shè)備硬件組成如圖1所示。

圖1 網(wǎng)絡(luò)加固設(shè)備硬件組成圖

網(wǎng)絡(luò)加固設(shè)備由電源、加固設(shè)備板卡組成，用于向普通網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)報(bào)文和解密轉(zhuǎn)發(fā)功能。加固設(shè)備板卡插件上，主要是通用CPU（國(guó)產(chǎn)密碼芯片）和通用FPGA可編程芯片配合來實(shí)現(xiàn)網(wǎng)絡(luò)報(bào)文加固、加解密、轉(zhuǎn)發(fā)等功能，密碼芯片用于提供密碼計(jì)算和密碼算法。主要芯片描述如下：

（1） 主控CPU

主控CPU為國(guó)密芯片，提供SM4密鑰生成、加解密，SM2密鑰生成、加解密、簽名驗(yàn)簽，SM3算法等的底層函數(shù)接口。同時(shí)負(fù)責(zé)智能密碼鑰匙識(shí)別、電子身份驗(yàn)證、遠(yuǎn)程管理接口、與FPGA可編程芯片通信、配置并啟動(dòng)FPGA可編程芯片的邏輯功能等。

（2） FPGA可編程芯片

FPGA可編程芯片，時(shí)鐘為25 M，主要負(fù)責(zé)雙mac端口通信、網(wǎng)絡(luò)報(bào)文重組及轉(zhuǎn)發(fā)等功能。

（3） 智能密碼鑰匙

智能密碼鑰匙具備國(guó)密產(chǎn)品型號(hào)的KEY，并采用PIN碼進(jìn)行保護(hù)，用于管理密鑰的安全保護(hù)及存儲(chǔ)，也是其管理設(shè)備的身份識(shí)別載體。

3.3 系統(tǒng)軟件組成

網(wǎng)絡(luò)加固系統(tǒng)軟件主要為網(wǎng)絡(luò)加固設(shè)備內(nèi)部軟件，運(yùn)行于網(wǎng)絡(luò)加固設(shè)備內(nèi)（即安全加密芯片和FPGA可編程芯片）。安全加密芯片內(nèi)的軟件功能包含智能密碼鑰匙驅(qū)動(dòng)、電子身份識(shí)別、遠(yuǎn)程管理服務(wù)、邏輯功能控制接口、密碼算法等；FPGA可編程芯片內(nèi)的軟件功能包含各物理接口模塊、UART（Universal Asynchronous Receiver/Transmitter）接口（FE0）/網(wǎng)絡(luò)接口MAC-0 （FE1）/網(wǎng)絡(luò)接口MAC-1（FE2）、雙向網(wǎng)絡(luò)轉(zhuǎn)發(fā)、過濾加固、加解密功能模塊等。網(wǎng)絡(luò)加固設(shè)備結(jié)構(gòu)組成如圖2所示。

圖2 網(wǎng)絡(luò)加固系統(tǒng)軟件組成

3.4 密鑰機(jī)制設(shè)計(jì)

網(wǎng)絡(luò)加固設(shè)備涉及的密鑰包括：設(shè)備密鑰、設(shè)備管理員密鑰、設(shè)備密鑰緩存?zhèn)浞菝荑€、應(yīng)用密鑰、設(shè)備密鑰存儲(chǔ)保護(hù)密鑰、授權(quán)信息存儲(chǔ)保護(hù)密鑰。密鑰的使用關(guān)系如圖3所示。

圖3 密鑰使用關(guān)系圖

設(shè)備管理員密鑰是非對(duì)稱密鑰，代表管理員的身份，同時(shí)用于認(rèn)證書和數(shù)字證書的保護(hù)傳輸，由智能密碼鑰匙管理平臺(tái)或數(shù)字證書系統(tǒng)管理。

應(yīng)用密鑰緩存?zhèn)浞菝荑€是對(duì)稱密鑰，用于對(duì)流經(jīng)網(wǎng)絡(luò)加固設(shè)備的網(wǎng)絡(luò)報(bào)文加解密處理，與入網(wǎng)設(shè)備ID/遠(yuǎn)程設(shè)備ID作為應(yīng)用信息，加密存儲(chǔ)于智能密碼鑰匙，加密方式為SM4，密鑰為應(yīng)用授權(quán)信息存儲(chǔ)保護(hù)密鑰（密碼安全芯片ID）。

設(shè)備密鑰是非對(duì)稱密鑰，其私鑰部分以密文的方式存儲(chǔ)于網(wǎng)絡(luò)加固設(shè)備內(nèi)，加密方式為SM4，密鑰為設(shè)備密鑰存儲(chǔ)保護(hù)密鑰。

應(yīng)用密鑰緩存?zhèn)浞菝荑€是對(duì)稱密鑰，為智能密碼鑰匙中應(yīng)用密鑰的備份，暫存于密碼安全芯片中，掉電丟失，用于對(duì)流經(jīng)網(wǎng)絡(luò)加固設(shè)備的網(wǎng)絡(luò)報(bào)文加解密處理。

授權(quán)信息存儲(chǔ)保護(hù)密鑰為對(duì)稱密鑰，其值是由智能密碼鑰匙中的根證書和數(shù)字證書，經(jīng)過設(shè)備密鑰按一定擴(kuò)展邏輯衍生獲得的，暫存于密碼安全芯片中，掉電丟失，用于對(duì)應(yīng)用信息、授權(quán)信息存儲(chǔ)保護(hù)，加解密方式為SM4。

設(shè)備密鑰存儲(chǔ)保護(hù)密鑰為對(duì)稱密鑰，其值是在設(shè)備初始化時(shí)產(chǎn)生，由密碼安全芯片的芯片內(nèi)部隨機(jī)模塊產(chǎn)生，存儲(chǔ)于密碼安全芯片中，用于對(duì)設(shè)備密鑰進(jìn)行存儲(chǔ)保護(hù)，加解密方式為SM4。

3.5 數(shù)據(jù)加密轉(zhuǎn)發(fā)機(jī)制

網(wǎng)絡(luò)數(shù)據(jù)加解密處理并轉(zhuǎn)發(fā)的機(jī)制是采用芯片技術(shù)（FPGA可編程芯片）對(duì)訪問該遠(yuǎn)程終端的數(shù)據(jù)包進(jìn)行安全防護(hù)策略：對(duì)源IP做白名單過濾，對(duì)應(yīng)用的協(xié)議做白名單過濾等，并具有監(jiān)控終端運(yùn)行狀況等功能；將需要轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)負(fù)載部分導(dǎo)入密碼安全芯片進(jìn)行加密（算法SM4），將獲得的密文在不改變網(wǎng)絡(luò)配置環(huán)境的情況下進(jìn)行重組轉(zhuǎn)發(fā)。

3.6 安全與管理機(jī)制

遠(yuǎn)程控制通信：網(wǎng)絡(luò)加固設(shè)備具有簡(jiǎn)單的telnet終端控制功能。可以通過簡(jiǎn)單管理命令，進(jìn)行白名單等安全策略設(shè)置，主要包括源MAC、目的MAC、源IP、目的IP、PORT等策略設(shè)置。

隱身防護(hù)：設(shè)備不改變網(wǎng)絡(luò)配置環(huán)境透明地串入線路中，沒有自己獨(dú)立的MAC/IP，從而避免了非法網(wǎng)絡(luò)設(shè)備對(duì)其的感知，做到隱身防護(hù)。設(shè)備對(duì)接入終端網(wǎng)絡(luò)設(shè)備進(jìn)行MAC、IP、PORT的自主學(xué)習(xí)和監(jiān)測(cè)，根據(jù)一定機(jī)制選擇某個(gè)接入終端網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)基本信息作為自身網(wǎng)絡(luò)信息，并且僅用于處理遠(yuǎn)程控制管理報(bào)文，杜絕其他協(xié)議訪問。

兼容PKI體系認(rèn)證：網(wǎng)絡(luò)加固設(shè)備兼容PKI體系認(rèn)證標(biāo)準(zhǔn)，通過識(shí)別智能密碼鑰匙，獲得用戶證書及設(shè)備應(yīng)用信息等數(shù)據(jù)，從而增加加固模塊自身的安全性。

3.7 原理與工作流實(shí)現(xiàn)

按照技術(shù)架構(gòu)，系統(tǒng)工作原理如下所示：

（1） 采用FPGA作為安全防護(hù)核心芯片對(duì)外控制CPU做安全防護(hù)和訪問控制；

（2） 外接密碼安全芯片與安全防護(hù)核心芯片（FPGA可編程芯片）相連，提供安全算法；

（3） 安全防護(hù)核心芯片（FPGA可編程芯片）對(duì)內(nèi)用FE0接口與控制CPU相連，用FE1接口與工控板（industrial control boards）相連；對(duì)外用FE2接口與外網(wǎng)相連；

（4） 對(duì)輸入的網(wǎng)絡(luò)報(bào)文數(shù)據(jù)，解析和封裝處理由安全防護(hù)核心芯片完成；加解密由密碼安全芯片完成，密鑰于智能密碼鑰匙中獲得；

（5） 安全防護(hù)核心芯片與控制CPU之間互相做看門狗電路。

網(wǎng)絡(luò)加固系統(tǒng)總體工作流程如圖4所示。

圖4 網(wǎng)絡(luò)加固系統(tǒng)總體工作流程圖

身份認(rèn)證流程如圖5所示。

網(wǎng)絡(luò)數(shù)據(jù)加密轉(zhuǎn)發(fā)流程如圖6所示：基于FPGA芯片設(shè)計(jì)網(wǎng)絡(luò)數(shù)據(jù)加解密轉(zhuǎn)發(fā)部分，擁有一個(gè)UART口和兩個(gè)MAC接口，其中MAC-0和MAC-1是主數(shù)據(jù)通路接口，UART口為配置接口。MAC-0和MAC-1的主數(shù)據(jù)通路設(shè)計(jì)基于更多的硬件邏輯電路實(shí)現(xiàn)，盡量減少CPU參與流程操作。

圖6 網(wǎng)絡(luò)數(shù)據(jù)加密轉(zhuǎn)發(fā)流程

其中報(bào)文解析過濾操作，白名單過濾功能針對(duì)以太網(wǎng)2-4層協(xié)議的地址或端口號(hào)進(jìn)行的過濾技術(shù)，可將訪問和被訪問的地址或端口號(hào)限制在一個(gè)特定范圍內(nèi)。

4 功能與性能分析

4.1 主要功能

智能學(xué)習(xí)功能：系統(tǒng)以純硬件的方式解析網(wǎng)絡(luò)報(bào)文，對(duì)報(bào)文的地址信息、協(xié)議類型、分片信息和報(bào)文長(zhǎng)度等參數(shù)進(jìn)行提取，將關(guān)鍵信息傳輸給CPU進(jìn)行智能學(xué)習(xí)，用于對(duì)接入狀態(tài)和流量特征的分析，上送到管理平臺(tái)。

隔離、過濾、抗攻擊和接入控制功能：由內(nèi)建硬件級(jí)白名單實(shí)現(xiàn)，在報(bào)文信息提取的同時(shí)，完成與白名單對(duì)比。白名單可對(duì)兩個(gè)傳輸方向進(jìn)行單獨(dú)配置，包括IP、mac、port、icmp、igmp等多種過濾參數(shù)。

報(bào)文加解密功能：由內(nèi)建硬件加密算法實(shí)現(xiàn)，在報(bào)文信息提取后準(zhǔn)確對(duì)報(bào)文中的負(fù)載區(qū)進(jìn)行硬件加解密處理，不影響報(bào)文頭部信息，在不改變報(bào)文長(zhǎng)度、報(bào)文協(xié)議的同時(shí)，完成對(duì)報(bào)文的加解密傳輸。

透明管理功能：透明管理通過特殊網(wǎng)管報(bào)文實(shí)現(xiàn)，網(wǎng)管報(bào)文由第四層私有協(xié)議組成，硬件以此特征協(xié)議判斷是否為網(wǎng)管報(bào)文，且只有判斷為網(wǎng)管報(bào)文的數(shù)據(jù)才會(huì)傳送給CPU處理，大大降低系統(tǒng)被偵測(cè)、攻擊的可能性。

4.2 性能分析

不同于傳統(tǒng)VPN解決方案，本文所述的網(wǎng)絡(luò)加固設(shè)備運(yùn)行于自有操控系統(tǒng)之上，報(bào)文加解密等處理無CPU參與，不存在計(jì)算機(jī)總線等物理瓶頸限制，其網(wǎng)絡(luò)安全服務(wù)性能可無限接近網(wǎng)絡(luò)帶寬限制。系統(tǒng)性能測(cè)試采用NuApps-2544-RM 自動(dòng)化測(cè)試套件進(jìn)行，測(cè)試內(nèi)容：吞吐率、延遲、丟包率，如圖7~10所示。

圖7 吞吐率測(cè)試結(jié)果

圖8 時(shí)延測(cè)試結(jié)果

圖9 10 min丟包率測(cè)試結(jié)果

圖10 96 h丟包率穩(wěn)定性測(cè)試

網(wǎng)絡(luò)加固設(shè)備在1 000 M/全雙工sm1加密傳輸模式下，使用NuApps-2544-RM測(cè)試儀，測(cè)試吞吐率、時(shí)延、丟包率以及背靠背結(jié)果如下。

（1） 吞吐率：在保證不丟包的情況下，對(duì)不同長(zhǎng)度的網(wǎng)絡(luò)包，設(shè)備最大轉(zhuǎn)發(fā)率為99.38%~99.75%。

（2） 網(wǎng)絡(luò)時(shí)延：在帶寬壓力98%情況下，安全加固設(shè)備最大網(wǎng)絡(luò)時(shí)延（CT）小于30 μm。

（3） 丟包率：在帶寬壓力98%情況下，安全加固設(shè)備可以保證丟包率為0，且通過長(zhǎng)時(shí)間（96 h）壓力測(cè)試保持穩(wěn)定。

4.3 與傳統(tǒng)方案比對(duì)

傳統(tǒng)網(wǎng)絡(luò)安全解決方案以VPN設(shè)備為例，下圖展示了傳統(tǒng)邊界設(shè)備被攻擊的場(chǎng)景與原理，如圖11所示。

圖11 傳統(tǒng)邊界設(shè)備被攻擊的場(chǎng)景與原理圖

攻擊者可以利用計(jì)算環(huán)境安全漏洞，直接攻擊傳統(tǒng)邊界設(shè)備的操作系統(tǒng)和第三方庫，從而使基于密碼的訪問控制系統(tǒng)形同虛設(shè)。

基于自主可控硬件邏輯的網(wǎng)絡(luò)安全加固方案如圖12所示。

圖12 基于自主可控硬件邏輯的網(wǎng)絡(luò)安全加固方案

整體架構(gòu)采用純電路安全控制邏輯，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行完整性的校驗(yàn)，不依賴操作系統(tǒng)及任何第三方庫，校驗(yàn)不過的任何數(shù)據(jù)幀全部丟棄（白名單思路）。

由于產(chǎn)品設(shè)計(jì)不同，0 day漏洞及其他環(huán)境軟件缺陷攻擊測(cè)試無可比性。利用DDos攻擊器進(jìn)行72 h洪水攻擊測(cè)試：

（1） 傳統(tǒng)VPN軟、硬件設(shè)備初期網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能下降劇烈，經(jīng)歷8~24 h不等時(shí)長(zhǎng)后設(shè)備全部宕機(jī)。

（2） 本方案設(shè)備測(cè)試開始后網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)性能亦下降嚴(yán)重，但72 h洪水攻擊測(cè)試期間始終保持在線正常工作狀態(tài)；攻擊停止后數(shù)據(jù)處理性能恢復(fù)正常值。

5 結(jié)束語

根據(jù)上述的架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)可以看出，本系統(tǒng)是一種綜合的網(wǎng)絡(luò)加固和網(wǎng)絡(luò)管理系統(tǒng)，以硬件方式對(duì)傳統(tǒng)網(wǎng)絡(luò)進(jìn)行隔離劃分、加密傳輸?shù)劝踩庸烫幚恚瑫r(shí)還擁有易于部署、延遲低等優(yōu)勢(shì)，最終以軟硬結(jié)合的方式完成網(wǎng)絡(luò)的安全提升，保護(hù)用戶網(wǎng)絡(luò)與數(shù)據(jù)安全。在順應(yīng)我國(guó)網(wǎng)絡(luò)空間與信息安全蓬勃發(fā)展的趨勢(shì)與導(dǎo)向上，該網(wǎng)絡(luò)加固系統(tǒng)方案更適用于國(guó)家安全可控產(chǎn)品的設(shè)計(jì)與改造。