科创中国

行业领域

电子信息技术

需求背景

现有的方法中，如方案1，包括使用国密算法SM2，SM4替换SSH协议中的对称加密和非对称加密算法，提升SSH协议在涉密网络中的安全，规避SSH协议在涉密网络中的安全风险；具体包括以下步骤：在SSH连接过程中，将密钥认证的算法替换为SM2国密算法，在客户端-服务器通信阶段，将对称加密算法替换为SM4国密算法，实现了支持国密算法的SSH协议。

但是此方案需要替换原有的SM2和SM4算法，实现过程复杂，实现门槛比较高，而且对设备性能的要求也比较高，更无法实现对白名单命令和参数的过滤。

方案2，其是通过将可信计算的远程证明与SSH协议的密钥交换这两个过程进行有机整合,实现了平台状态信息验证与会话密钥协商的紧密结合,在保证数据安全传输的前提下,加强了数据在通信端点的安全性。该方法要求服务器端和客户端都配有可信安全芯片,并且安装了度量模块和可信操作系统,能够对各自平台状态进行度量。基于该方案不但有效地防范了SSH协议中存在的利用安全通道与未知端点通信仍可能遭受各种攻击的安全威胁,同时有效地防范了重放攻击、假冒攻击和中间人攻击。

但是，该方案需要安装额外的可信安全芯片，成本高，同样面临着实现复杂，实现门槛比较高的问题，而且不能实现对白名单命令和参数的过滤。

需解决的主要技术难题

1.需要安装额外的可信安全芯片，成本高，同样面临着实现复杂，实现门槛比较高的问题，而且不能实现对白名单命令和参数的过滤。

2.需要替换原有的SM2和SM4算法，实现过程复杂，实现门槛比较高，而且对设备性能的要求也比较高，更无法实现对白名单命令和参数的过滤。

期望实现的主要技术目标

1.可在不增加网关额外计算负担和硬件成本的情况下大幅提高网关SSH命令执行的安全性。

2.能够有效加固SSH连接安全的SSH连接的安全加固方法及装置。

处理进度