云環境下基于國密算法的密碼服務平臺建設思路探討

黃昌熙 鄭志永 孫雪冬 嚴志訊

摘要：數字化轉型不斷提速，企業信息系統加快遷移上云以節約資源和成本，云化環境更加復雜，云平臺和信息系統面臨非授權訪問、重要數據被竊取和篡改的風險，安全形勢嚴峻。隨著國產密碼算法的推廣，使用國產密碼技術保護云平臺和信息系統安全是重要的防護手段，本文分析國產密碼應用需求，提出云環境下基于國密算法的密碼服務平臺建設思路，通過調用密碼服務，有效保障業務安全運行。

關鍵詞：云計算;國密算法;云密碼服務中間件;服務調用

一、引言

隨著云計算、大數據、人工智能技術的蓬勃發展，企業逐步由傳統模式轉向采用信息技術提高生產和管理效率，核心系統加快云上部署，云環境的安全變得愈發重要，非法訪問、數據泄密的風險日益增加，云平臺和云上信息系統面臨著巨大的安全風險。商用密碼技術是保障企業信息系統安全的重要支撐手段，密碼技術在身份認證、信息傳輸、數據存儲等方面有著廣泛的使用場景。近年，我國在大力推進國產密碼算法應用，以擺脫對國外密碼技術的依賴。

二、國密算法與國外密碼算法對比

國密算法是指由國家密碼管理局認定和發布的國產密碼算法，已發布的商用國密算法包括橢圓曲線公鑰密碼算法SM2、密碼雜湊算法SM3、分組密碼算法SM4等[1]。密碼應用安全的核心是密碼算法，在未使用國密算法前，信息領域常用的國外密碼算法包括公鑰密碼算法RSA、密碼散列算法（密碼雜湊算法）SHA-256、分組密碼算法AES等，通過對比分析，國密算法在一些方面性能優于國外密碼算法。常用國密算法與國外密碼算法對比如表1所示。

三、云環境下國產密碼應用需求

在云計算環境下，租戶的信息系統部署在虛擬化的云資源池上，資源共享共用，通過虛擬化隔離、VLAN網絡劃分、安全組隔離等手段進行安全隔離。由于云環境下信息系統的多樣性和復雜性，除了使用傳統的網絡安全防護手段外，還需要使用國產密碼技術保障云平臺和信息系統安全。

（一）物理和環境安全

數據中心機房電子門禁系統需要對訪問人員進行身份鑒別，對訪問人員分發使用SM4算法的密鑰門禁卡，在人員訪問時使用SM4算法進行身份鑒別，使用HMAC-SM3技術保護電子門禁系統進出記錄和視頻記錄數據。

（二）網絡和通信安全

終端通過SSL VPN網關安全接入云計算環境，SSL VPN需要支持國密算法，在登錄VPN認證過程中采用國密算法的數字證書USBKEY配合商密安全瀏覽器構建虛擬專用通道，保證網絡和通信過程安全。

（三）設備和計算安全

在遠程管理云平臺設備或信息系統時，需要接入統一身份認證系統，防止非授權人員登錄和身份鑒別信息被非法竊取。云上的重要程序或文件在生成時，使用SM2數字簽名技術進行完整性保護，讀取程序和文件時進行驗簽，使用HMAC-SM3算法保護設備日志、資源訪問控制信息。

（四）應用和數據安全

為了保護核心應用和數據安全，通過調用密碼服務平臺簽名驗簽能力，使用基于SM2算法的數字簽名技術對用戶訪問控制列表進行完整性保護，并在用戶每次登錄或權限改變時對簽名值進行驗證。云平臺和信息系統的敏感數據、鑒別信息和用戶信息釆用SM4和HMAC-SM3算法對關鍵數據進行安全保護。

（五）管理和運行安全

建立國產密碼應用安全管理制度，包括密碼人員管理、密鑰管理、建設運行管理、應急處置等。建立標準化操作規程，各類操作過程記錄保存完整。設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位，按照制度規定定期開展人員考核，加強密鑰產生、分發、存儲和使用等環節的管理，定期開展密碼應用安全性評估和應急演練。

四、密碼服務平臺建設思路

（一）密碼服務平臺架構設計

密碼服務平臺總體架構由云環境密碼服務平臺和國產密碼應用兩部分組成。密碼服務平臺提供國產密碼服務，底層是密碼支撐系統，包括云服務器密碼機組成的密碼資源池，以及統一身份認證系統、數據存儲保護系統、密碼管理系統等軟硬件。密碼服務系統是將密碼支撐基礎資源進行能力封裝，以服務的形式統一對外提供服務。在云計算環境下，國產密碼應用包括了終端、網絡接入、云平臺及云上信息系統、云管理的安全密碼應用。云環境下密碼服務平臺架構如圖1所示。

（一）云環境下密碼服務和管理方案

云計算環境下，云平臺自身的密碼應用需要云管理平臺支持國密算法，再調用密碼服務平臺的能力實現云平臺的國密安全保護。云上信息系統在國密改造后，與密碼服務平臺通過標準接口對接，實現業務的安全保護。云環境下密碼服務平臺主要包括密碼支撐系統、密碼服務系統和密碼服務平臺管理。

1.密碼支撐系統。密碼支撐系統是密碼服務平臺的基礎軟硬件支撐，主要的支撐軟硬件包括云服務器密碼機、統一身份認證系統、數據存儲保護系統和密鑰管理系統等。

云服務器密碼機：使用虛擬化技術，一臺云服務器密碼機能夠按照實際業務需要生成多臺虛擬密碼機（VSM），多臺VSM 組成集群，每臺VSM均具有普通密碼機設備的密碼計算能力，各VSM之間實現安全隔離。多臺云服務器密碼機組成云密碼計算資源池，依托于云服務器密碼機彈性伸縮的服務能力，云密碼計算資源池可以最大限度利用密碼硬件資源，提升設備利用效率。

統一身份認證系統：統一身份認證系統依托電子認證基礎設施，提供統一的身份管理、身份認證、單點登錄和行為審計等服務，確保云上用戶身份的真實可靠。電子認證基礎設施是以國產密碼技術為基礎，為云上的用戶簽發數字證書USBKEY身份標識設備，用戶需要通過USBKEY完成身份鑒別后才能接入云平臺和訪問業務應用。

數據存儲保護系統：數據存儲保護包括了數據庫加密和文件加密安全保護。數據庫加密保護實現數據庫中的敏感數據加密存儲、應用訪問安全、安全審計等功能，有效防止明文存儲引起的數據泄密，防止繞開應用系統直接訪問數據庫。用戶可以選擇敏感數據進行加密以提高數據庫存儲訪問速度，兼顧了數據庫的運行效率和數據的安全保護。文件加密保護是調用密碼服務平臺能力對各類重要的文件，賦予用戶不同的權限，用戶在訪問加密文檔時需要接入密碼服務平臺進行認證，具備相應的權限才能正常查閱。

密鑰管理系統：密鑰管理在密碼服務中起著十分重要的作用，密鑰管理不當將會導致云平臺和信息系統失去密碼保護。密鑰管理包括對稱和非對稱密鑰的全生命周期管理[5]，如密鑰產生、分發、更新、撤消、恢復、歸檔等，密碼設備或密碼模塊為云平臺和應用系統生成密鑰，密鑰生成后在管理過程中需要采用身份鑒別、數據機密性、完整性安全保護，確保密鑰全生命周期安全管理。

其他軟硬件支撐：主要包括簽名驗簽服務器、時間戳服務器、電子簽章系統等，實現用戶電子簽名及驗證、有效時間戳、電子簽章等應用服務。

2.密碼服務系統。密碼服務系統將密碼支撐系統提供的密碼能力進行服務封裝，向云平臺和信息系統提供密碼計算服務、身份認證服務、密鑰管理服務、簽名驗簽服務、證書管理服務、數據加密服務和時間戳服務等。密碼服務系統包含云密碼服務中間件，將API接口封裝成支持多平臺和語言的SDK套件，提供統一的密碼服務調用接口，簡化了云上業務應用的開發對接。

3.密碼服務平臺管理。實現對密碼設備管理、密碼服務管理，對云服務器密碼機接入和使用進行管控，檢測密碼算法合規性和有效性，監控設備服務狀態，管理密碼服務申請、分配和使用、安全回收等。使用Restful API和Syslog方式采集密碼服務平臺的日志信息、業務執行信息、資源使用信息和性能信息等，進行數據清洗、數據轉換、數據歸并[6]，將格式化的數據通過數據關聯分析技術，生成對應規則下的告警數據。可視化展示的內容包括設平臺整體運行情況、服務情況、資產情況和風險情況等，有效支撐管理人員分析決策。

（二）密碼應用場景和服務能力調用

密碼服務平臺提供統一的密碼服務接口，業務接入密碼服務平臺有兩種方式，一是信息系統直接調用密碼服務平臺Restful API接口，二是信息系統集成密碼服務SDK，調用云密碼服務中間件的標準接口使用密碼服務，相比較而言第二種方式更便捷。常用的密碼應用場景包括用戶身份認證、數據傳輸保護、存儲安全加密等。

1.用戶身份認證。身份認證過程中需要調用密碼服務平臺能力，用戶發起登錄云上信息系統的請求，信息系統將登錄請求提交密碼服務平臺，平臺請求用戶身份認證，認證用戶身份合法后，用戶可以正常訪問業務。用戶身份認證流程如圖2所示。

2.數據傳輸保護。利用密碼服務平臺的數據加解密、簽名驗簽服務能力，保證重要數據傳輸的機密性、完整性和不可否認性，如兩個用戶之間發送即時消息，在消息發送端使用加密密鑰進行消息加密后再傳輸，在接收端使用解密密鑰進行消息解密。

3.存儲安全加密。對于云上敏感數據需要進行加密存儲，保證數據安全，如對文件加密，通過調用密碼服務平臺的加解密服務，使用SM4算法對文件進行對稱加密后存儲。

五、結束語

數字時代信息系統加速云化部署，傳統的安全防護手段不足以應對云環境復雜的非授權訪問、數據竊取和篡改等行為，國產密碼技術可以有效保護云平臺和信息系統安全，在云環境下建設基于國密算法的密碼服務平臺，云平臺和信息系統通過調用密碼服務能力，利用密碼技術進行數據保護，大幅降低安全風險。密碼服務和密碼應用離不開安全管理，需要健全密碼管理制度，在密鑰管理、日常操作、應急處置等方面建立標準化流程，定期開展密碼應用安全行評估和應急演練，保障業務安全穩定，支撐企業數字轉型發展。

作者單位：黃昌熙? ? 鄭志永? ? 孫雪冬? ? 嚴志訊? ? 華信咨詢設計研究院有限公司

參? 考? 文? 獻

[1]翁健 ， 黃欣沂 ， 何德彪 . 國產商用公鑰密碼專欄序言（中英文）[J] . 密碼學報 ，2021，8（4）：680-683.

[2]唐圣宇 ， 曾水生 ， 趙夢 ，等. 淺析對比國內外密碼學算法 [J]. 信息通信 ，2020（2）： 68-69.

[3]胡景秀 ， 楊陽 ， 熊璐 ， 等 . 國密算法分析與軟件性能研究 [J]. 信息網絡安全 ，2021，21（10）：8-16.

[4]何詩洋 ， 李暉 ， 李鳳華 . SM4算法的FPGA優化實現方法 [J]. 西安電子科技大學學報 ，2021，48（3）：155-162.

[5]劉磊 . 信息安全等級保護中的商用密碼技術綜述 [J] . 網絡安全技術與應用 ，2016（6）：49.

[6]王瑛 ， 張文科 ， 羅影 ， 等. 加密流量檢測與態勢預警平臺研究 [J]. 信息安全與通信保密 ，2020（2）：98-105.