基于國產(chǎn)密碼技術(shù)的應(yīng)用安全防護(hù)設(shè)計

張習(xí)發(fā)，曾 嶸

（紅云紅河煙草（集團(tuán)）有限責(zé)任公司, 云南 昆明 650231）

0 前言

經(jīng)過多年的信息化應(yīng)用建設(shè)，紅云紅河煙草集團(tuán)已有一定數(shù)量的基于業(yè)務(wù)運(yùn)行的應(yīng)用系統(tǒng)參與在集團(tuán)的生產(chǎn)過程中。與此同時，由于集團(tuán)內(nèi)信息系統(tǒng)越來越多，并且建設(shè)單位為不同卷煙廠、系統(tǒng)建設(shè)時期不同、開發(fā)商來源不一等諸多原因，信息系統(tǒng)的安全防護(hù)與運(yùn)維參差不齊，存在部分系統(tǒng)目前未使用相關(guān)密碼技術(shù)對應(yīng)用系統(tǒng)的身份鑒別、數(shù)據(jù)安全進(jìn)行防護(hù)，或使用存在安全問題或安全強(qiáng)度不足的密碼算法對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù)，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法。重要業(yè)務(wù)數(shù)據(jù)往往在傳輸與存儲過程中，均存在被竊取的風(fēng)險。應(yīng)用系統(tǒng)登錄認(rèn)證流程中，輸入賬號和靜態(tài)密碼后即可滿足簡單的登錄條件，提升生產(chǎn)過程中關(guān)于重要業(yè)務(wù)數(shù)據(jù)的安全引爆點(diǎn)。

因此，從根本上解決應(yīng)用系統(tǒng)在生產(chǎn)過程中的安全運(yùn)維風(fēng)險、安全身份認(rèn)證風(fēng)險以及對應(yīng)用系統(tǒng)的數(shù)據(jù)安全風(fēng)險，還存在以下問題尚待解決：

一是應(yīng)用系統(tǒng)的登錄認(rèn)證采用靜態(tài)口令的方式，安全壁壘較低，容易出現(xiàn)身份被竊取盜用的情況，會讓應(yīng)用系統(tǒng)直接丟失信息保護(hù)屏障，造成集團(tuán)數(shù)字資產(chǎn)造成無可估量的損失。

二是集團(tuán)內(nèi)目前存在數(shù)十個應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)內(nèi)的重要用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、權(quán)限數(shù)據(jù)、日志數(shù)據(jù)等未使用密碼技術(shù)對以上信息進(jìn)行安全防護(hù)。

三是應(yīng)用系統(tǒng)內(nèi)的重要業(yè)務(wù)數(shù)據(jù)通過明文形式存儲與傳輸、或通過非安全的密碼技術(shù)進(jìn)行加密存儲與傳輸。

1 相關(guān)技術(shù)簡介

1.1 數(shù)字證書

一個標(biāo)準(zhǔn)的數(shù)字證書認(rèn)證體系一般包括證書認(rèn)證機(jī)構(gòu)（Certificate Authority-CA），一個被信任的簽署公鑰證書及發(fā)布CRL的管理機(jī)構(gòu)。證書注冊機(jī)構(gòu)（Registration Authority-RA），一個接收證書申請單據(jù)、查驗申請者身份，頒發(fā)證書的管理機(jī)構(gòu)。密鑰管理中心（Key Management Center-KMC）主要負(fù)責(zé)密鑰的生成、分發(fā)、保存、備份、恢復(fù)、更新、歸檔等管理。

1.2 數(shù)字簽名

數(shù)字簽名是指數(shù)據(jù)文件中以電子格式形式所存在、所附用于提供簽名者身份的信息并標(biāo)識簽名者確認(rèn)文件中的數(shù)據(jù)。它的目的為以數(shù)字技術(shù)替代傳統(tǒng)的紙面簽名以及印章的功能，用來確認(rèn)本次業(yè)務(wù)過程中經(jīng)辦人的真實身份，保證數(shù)據(jù)的安全性、真實性和不可抵賴性。

1.3 國產(chǎn)商用密碼算法

1.3.1 SM2

SM2算法是國家密碼管理局編制的一種商用密碼非對稱算法，基于ECC算法。安全性與Nist Prime256相當(dāng)。相比較RSA公鑰算法，現(xiàn)有的SM2 256位密鑰相當(dāng)于RSA 3072位密鑰強(qiáng)度。2010年，國密局公開了SM2算法。

1.3.2 SM3

SM3算法是國家密碼管理局編制的一種商用密碼摘要算法，安全性與效率與SHA-256相當(dāng)。2010年，國密局公開了SM3算法。

1.3.3 SM4

SM4算法是國家密碼管理局推薦用于無線局域網(wǎng)的分組密碼算法，其分組長度和密鑰長度都是128比特。加密算法和密鑰擴(kuò)展算法都采用了32輪迭代結(jié)構(gòu)。

2 密碼安全體系設(shè)計

密碼應(yīng)用安全防護(hù)體系包括以下部分：CA數(shù)字證書系統(tǒng)、移動統(tǒng)一身份認(rèn)證系統(tǒng)、SSL應(yīng)用安全網(wǎng)關(guān)、數(shù)字簽名服務(wù)器、加密機(jī)、智能密碼鑰匙（USB Key）。采用成熟的密碼認(rèn)證技術(shù)，確保業(yè)務(wù)系統(tǒng)的安全性和可靠性。建立基于密碼算法的身份認(rèn)證，采用基于移動證書的二維碼登錄、傳統(tǒng)硬件載體數(shù)字證書認(rèn)證等方式進(jìn)行身份鑒別。采用SSL 應(yīng)用安全網(wǎng)關(guān)，對數(shù)據(jù)進(jìn)行傳輸安全防護(hù)。采用數(shù)字簽名服務(wù)器、加密機(jī)對數(shù)據(jù)在存儲過程中的機(jī)密性與完整性保護(hù)。

2.1 設(shè)計目標(biāo)

本次系統(tǒng)建設(shè)的目標(biāo)為：基于國密算法的密碼產(chǎn)品與技術(shù)標(biāo)準(zhǔn)，充分利用數(shù)字證書體系與應(yīng)用安全網(wǎng)關(guān)、簽名服務(wù)器等密碼設(shè)備對集團(tuán)內(nèi)的應(yīng)用系統(tǒng)進(jìn)行輕量化改造。以這些系統(tǒng)的業(yè)務(wù)與數(shù)據(jù)為組合，最終實現(xiàn)從身份鑒別、SSL訪問協(xié)議、系統(tǒng)內(nèi)部授權(quán)信息、訪問日志信息等方面，結(jié)合差異化的業(yè)務(wù)信息，實現(xiàn)密碼資源拉平，定性定量為業(yè)務(wù)系統(tǒng)提供快速響應(yīng)的密碼服務(wù)。通過系統(tǒng)與密碼服務(wù)對接，進(jìn)一步拉通密碼技術(shù)與業(yè)務(wù)數(shù)據(jù)的有機(jī)結(jié)合，為應(yīng)用系統(tǒng)以密碼技術(shù)安全防護(hù)的落地奠定堅實基礎(chǔ)。

2.2 密碼技術(shù)平臺設(shè)計

建設(shè)基于CA系統(tǒng)、移動統(tǒng)一身份認(rèn)證系統(tǒng)、SSL應(yīng)用安全網(wǎng)關(guān)、數(shù)字簽名服務(wù)器、加密機(jī)等基礎(chǔ)密碼支持產(chǎn)品實現(xiàn)身份鑒別服務(wù)、數(shù)據(jù)加密服務(wù)、權(quán)限授權(quán)管控服務(wù)、用戶操作認(rèn)證鑒別服務(wù)等，并通過扁平化的密碼組件集成、逐步精細(xì)化密碼服務(wù)功能，完善技術(shù)平臺的頂層設(shè)計和底層邏輯。

3 系統(tǒng)應(yīng)用中的安全設(shè)計

3.1 身份鑒別

3.1.1 智能密碼鑰匙簽名

在應(yīng)用系統(tǒng)登錄認(rèn)證時，依托內(nèi)置有登錄者證書的智能密碼鑰匙進(jìn)行登錄報文簽名。登錄者證書與系統(tǒng)存量人員信息一對一綁定配對。在進(jìn)行登錄系統(tǒng)時，需要鍵入用戶指定的智能密碼鑰匙設(shè)置的密碼。傳統(tǒng)的非安全簡單靜態(tài)口令的方式變更為硬件級別的電子數(shù)字簽名的身份認(rèn)證方式，能迅速拉升用戶身份鑒別的安全性閾值與可靠性支撐點(diǎn)。

3.1.2 移動簽名登錄認(rèn)證

以移動統(tǒng)一身份認(rèn)證平臺結(jié)合CA系統(tǒng)，實現(xiàn)移動客戶端內(nèi)的數(shù)字證書下載與存儲。移動客戶端采用（2,2）門限算法，對用戶密鑰進(jìn)行有效分割，以雙方協(xié)同安全簽名技術(shù)，對數(shù)據(jù)進(jìn)行區(qū)別于傳統(tǒng)密鑰的重構(gòu)設(shè)計作數(shù)字簽名。移動終端設(shè)備智能識別應(yīng)用系統(tǒng)登錄信息，對登錄信息（時間戳、標(biāo)識符等）內(nèi)容解析，并使用移動終端內(nèi)密鑰分量聯(lián)合服務(wù)端獲取最終協(xié)同電子簽名值，提交服務(wù)端實現(xiàn)登錄信息鑒別，在經(jīng)過服務(wù)器端授權(quán)后，成功登錄到信息系統(tǒng)進(jìn)行業(yè)務(wù)處理。

3.2 數(shù)據(jù)傳輸安全

通過應(yīng)用安全網(wǎng)關(guān)配置SM2/RSA雙證書，建立國密、國際算法SSL站點(diǎn)證書并存的SSL安全傳輸隧道，實現(xiàn)信息的傳遞，保證了數(shù)據(jù)在傳輸過程中的保密和不可篡改。應(yīng)用安全網(wǎng)關(guān)系統(tǒng)自動識別瀏覽器版本與所支持密碼算法協(xié)議，當(dāng)用戶使用支持國密算法的瀏覽器訪問時，采用國密算法SM2加密；使用其他不支持國密的瀏覽器訪問時，則自動采用RSA算法加密，自適應(yīng)兼容所有瀏覽器，就能有效解決瀏覽器兼容性問題。

3.3 數(shù)據(jù)存儲安全

較多應(yīng)用系統(tǒng)內(nèi)存儲著較為重要的數(shù)據(jù)信息，如用戶個人信息、煙草行業(yè)重要數(shù)據(jù)等，需使用對稱或非對稱國產(chǎn)商用密碼算法進(jìn)行加密。通過調(diào)用數(shù)字簽名服務(wù)器對相關(guān)重要數(shù)據(jù)進(jìn)行數(shù)字簽名，提供數(shù)據(jù)的完整性保護(hù)，防止數(shù)據(jù)被篡改；通過調(diào)用數(shù)據(jù)庫加密機(jī)或服務(wù)器加密機(jī)等對重要數(shù)據(jù)進(jìn)行基于國密SM4對稱算法的數(shù)據(jù)加密，保證數(shù)據(jù)在存儲過程中的機(jī)密性保護(hù)。

3.4 業(yè)務(wù)審計安全

基于數(shù)字簽名服務(wù)器或加密機(jī)為應(yīng)用系統(tǒng)內(nèi)部日志功能輸出密碼服務(wù)。對應(yīng)用系統(tǒng)內(nèi)日志記錄，如登錄系統(tǒng)時間、登錄用戶身份、重要操作信息、接入終端IP地址等進(jìn)行。使用消息校驗碼(MAC)或數(shù)字簽名實現(xiàn)完整性，保障信息系統(tǒng)日志數(shù)據(jù)在存儲過程中的完整性，實現(xiàn)日志的不可篡改。

4 結(jié)語

應(yīng)用系統(tǒng)中正確、合理、合規(guī)使用商用密碼算法，是對集團(tuán)信息系統(tǒng)數(shù)字資產(chǎn)的重要防護(hù)措施，以搭建密碼技術(shù)基礎(chǔ)服務(wù)平臺，通過密碼服務(wù)功能點(diǎn)對點(diǎn)支撐應(yīng)用、密碼產(chǎn)品同步建設(shè)、同步運(yùn)行、同步運(yùn)維的模式，為集團(tuán)內(nèi)應(yīng)用系統(tǒng)、數(shù)字資產(chǎn)提供全方位的密碼安全服務(wù)支持，為集團(tuán)應(yīng)用系統(tǒng)在生產(chǎn)過程中提供有效的密碼支撐平面，具有重要意義。

一是安全體系構(gòu)建。密碼技術(shù)在身份鑒別、機(jī)密性保護(hù)、完整性保護(hù)、抗抵賴等方面有著極為廣泛的應(yīng)用。作為新時代應(yīng)用與數(shù)據(jù)防護(hù)安全的需求，構(gòu)建以國產(chǎn)密碼為基礎(chǔ)的網(wǎng)絡(luò)空間安全體系已經(jīng)刻不容緩。

二是密評密改要求。2021年10月國家密碼管理局發(fā)布的《信息系統(tǒng)密碼應(yīng)用測評要求》等5項密碼應(yīng)用與安全性評估指導(dǎo)性文件正式實施，對于信息系統(tǒng)通過密碼應(yīng)用保障信息系統(tǒng)及相關(guān)信息安全作出了較為詳細(xì)的規(guī)定。