云環(huán)境下基于國密算法的密碼服務(wù)平臺建設(shè)思路探討

黃昌熙 鄭志永 孫雪冬 嚴(yán)志訊

摘要：數(shù)字化轉(zhuǎn)型不斷提速，企業(yè)信息系統(tǒng)加快遷移上云以節(jié)約資源和成本，云化環(huán)境更加復(fù)雜，云平臺和信息系統(tǒng)面臨非授權(quán)訪問、重要數(shù)據(jù)被竊取和篡改的風(fēng)險，安全形勢嚴(yán)峻。隨著國產(chǎn)密碼算法的推廣，使用國產(chǎn)密碼技術(shù)保護云平臺和信息系統(tǒng)安全是重要的防護手段，本文分析國產(chǎn)密碼應(yīng)用需求，提出云環(huán)境下基于國密算法的密碼服務(wù)平臺建設(shè)思路，通過調(diào)用密碼服務(wù)，有效保障業(yè)務(wù)安全運行。

關(guān)鍵詞：云計算;國密算法;云密碼服務(wù)中間件;服務(wù)調(diào)用

一、引言

隨著云計算、大數(shù)據(jù)、人工智能技術(shù)的蓬勃發(fā)展，企業(yè)逐步由傳統(tǒng)模式轉(zhuǎn)向采用信息技術(shù)提高生產(chǎn)和管理效率，核心系統(tǒng)加快云上部署，云環(huán)境的安全變得愈發(fā)重要，非法訪問、數(shù)據(jù)泄密的風(fēng)險日益增加，云平臺和云上信息系統(tǒng)面臨著巨大的安全風(fēng)險。商用密碼技術(shù)是保障企業(yè)信息系統(tǒng)安全的重要支撐手段，密碼技術(shù)在身份認(rèn)證、信息傳輸、數(shù)據(jù)存儲等方面有著廣泛的使用場景。近年，我國在大力推進(jìn)國產(chǎn)密碼算法應(yīng)用，以擺脫對國外密碼技術(shù)的依賴。

二、國密算法與國外密碼算法對比

國密算法是指由國家密碼管理局認(rèn)定和發(fā)布的國產(chǎn)密碼算法，已發(fā)布的商用國密算法包括橢圓曲線公鑰密碼算法SM2、密碼雜湊算法SM3、分組密碼算法SM4等[1]。密碼應(yīng)用安全的核心是密碼算法，在未使用國密算法前，信息領(lǐng)域常用的國外密碼算法包括公鑰密碼算法RSA、密碼散列算法（密碼雜湊算法）SHA-256、分組密碼算法AES等，通過對比分析，國密算法在一些方面性能優(yōu)于國外密碼算法。常用國密算法與國外密碼算法對比如表1所示。

三、云環(huán)境下國產(chǎn)密碼應(yīng)用需求

在云計算環(huán)境下，租戶的信息系統(tǒng)部署在虛擬化的云資源池上，資源共享共用，通過虛擬化隔離、VLAN網(wǎng)絡(luò)劃分、安全組隔離等手段進(jìn)行安全隔離。由于云環(huán)境下信息系統(tǒng)的多樣性和復(fù)雜性，除了使用傳統(tǒng)的網(wǎng)絡(luò)安全防護手段外，還需要使用國產(chǎn)密碼技術(shù)保障云平臺和信息系統(tǒng)安全。

（一）物理和環(huán)境安全

數(shù)據(jù)中心機房電子門禁系統(tǒng)需要對訪問人員進(jìn)行身份鑒別，對訪問人員分發(fā)使用SM4算法的密鑰門禁卡，在人員訪問時使用SM4算法進(jìn)行身份鑒別，使用HMAC-SM3技術(shù)保護電子門禁系統(tǒng)進(jìn)出記錄和視頻記錄數(shù)據(jù)。

（二）網(wǎng)絡(luò)和通信安全

終端通過SSL VPN網(wǎng)關(guān)安全接入云計算環(huán)境，SSL VPN需要支持國密算法，在登錄VPN認(rèn)證過程中采用國密算法的數(shù)字證書USBKEY配合商密安全瀏覽器構(gòu)建虛擬專用通道，保證網(wǎng)絡(luò)和通信過程安全。

（三）設(shè)備和計算安全

在遠(yuǎn)程管理云平臺設(shè)備或信息系統(tǒng)時，需要接入統(tǒng)一身份認(rèn)證系統(tǒng)，防止非授權(quán)人員登錄和身份鑒別信息被非法竊取。云上的重要程序或文件在生成時，使用SM2數(shù)字簽名技術(shù)進(jìn)行完整性保護，讀取程序和文件時進(jìn)行驗簽，使用HMAC-SM3算法保護設(shè)備日志、資源訪問控制信息。

（四）應(yīng)用和數(shù)據(jù)安全

為了保護核心應(yīng)用和數(shù)據(jù)安全，通過調(diào)用密碼服務(wù)平臺簽名驗簽?zāi)芰Γ褂没赟M2算法的數(shù)字簽名技術(shù)對用戶訪問控制列表進(jìn)行完整性保護，并在用戶每次登錄或權(quán)限改變時對簽名值進(jìn)行驗證。云平臺和信息系統(tǒng)的敏感數(shù)據(jù)、鑒別信息和用戶信息釆用SM4和HMAC-SM3算法對關(guān)鍵數(shù)據(jù)進(jìn)行安全保護。

（五）管理和運行安全

建立國產(chǎn)密碼應(yīng)用安全管理制度，包括密碼人員管理、密鑰管理、建設(shè)運行管理、應(yīng)急處置等。建立標(biāo)準(zhǔn)化操作規(guī)程，各類操作過程記錄保存完整。設(shè)置密鑰管理員、密碼安全審計員、密碼操作員等關(guān)鍵安全崗位，按照制度規(guī)定定期開展人員考核，加強密鑰產(chǎn)生、分發(fā)、存儲和使用等環(huán)節(jié)的管理，定期開展密碼應(yīng)用安全性評估和應(yīng)急演練。

四、密碼服務(wù)平臺建設(shè)思路

（一）密碼服務(wù)平臺架構(gòu)設(shè)計

密碼服務(wù)平臺總體架構(gòu)由云環(huán)境密碼服務(wù)平臺和國產(chǎn)密碼應(yīng)用兩部分組成。密碼服務(wù)平臺提供國產(chǎn)密碼服務(wù)，底層是密碼支撐系統(tǒng)，包括云服務(wù)器密碼機組成的密碼資源池，以及統(tǒng)一身份認(rèn)證系統(tǒng)、數(shù)據(jù)存儲保護系統(tǒng)、密碼管理系統(tǒng)等軟硬件。密碼服務(wù)系統(tǒng)是將密碼支撐基礎(chǔ)資源進(jìn)行能力封裝，以服務(wù)的形式統(tǒng)一對外提供服務(wù)。在云計算環(huán)境下，國產(chǎn)密碼應(yīng)用包括了終端、網(wǎng)絡(luò)接入、云平臺及云上信息系統(tǒng)、云管理的安全密碼應(yīng)用。云環(huán)境下密碼服務(wù)平臺架構(gòu)如圖1所示。

（一）云環(huán)境下密碼服務(wù)和管理方案

云計算環(huán)境下，云平臺自身的密碼應(yīng)用需要云管理平臺支持國密算法，再調(diào)用密碼服務(wù)平臺的能力實現(xiàn)云平臺的國密安全保護。云上信息系統(tǒng)在國密改造后，與密碼服務(wù)平臺通過標(biāo)準(zhǔn)接口對接，實現(xiàn)業(yè)務(wù)的安全保護。云環(huán)境下密碼服務(wù)平臺主要包括密碼支撐系統(tǒng)、密碼服務(wù)系統(tǒng)和密碼服務(wù)平臺管理。

1.密碼支撐系統(tǒng)。密碼支撐系統(tǒng)是密碼服務(wù)平臺的基礎(chǔ)軟硬件支撐，主要的支撐軟硬件包括云服務(wù)器密碼機、統(tǒng)一身份認(rèn)證系統(tǒng)、數(shù)據(jù)存儲保護系統(tǒng)和密鑰管理系統(tǒng)等。

云服務(wù)器密碼機：使用虛擬化技術(shù)，一臺云服務(wù)器密碼機能夠按照實際業(yè)務(wù)需要生成多臺虛擬密碼機（VSM），多臺VSM 組成集群，每臺VSM均具有普通密碼機設(shè)備的密碼計算能力，各VSM之間實現(xiàn)安全隔離。多臺云服務(wù)器密碼機組成云密碼計算資源池，依托于云服務(wù)器密碼機彈性伸縮的服務(wù)能力，云密碼計算資源池可以最大限度利用密碼硬件資源，提升設(shè)備利用效率。

統(tǒng)一身份認(rèn)證系統(tǒng)：統(tǒng)一身份認(rèn)證系統(tǒng)依托電子認(rèn)證基礎(chǔ)設(shè)施，提供統(tǒng)一的身份管理、身份認(rèn)證、單點登錄和行為審計等服務(wù)，確保云上用戶身份的真實可靠。電子認(rèn)證基礎(chǔ)設(shè)施是以國產(chǎn)密碼技術(shù)為基礎(chǔ)，為云上的用戶簽發(fā)數(shù)字證書USBKEY身份標(biāo)識設(shè)備，用戶需要通過USBKEY完成身份鑒別后才能接入云平臺和訪問業(yè)務(wù)應(yīng)用。

數(shù)據(jù)存儲保護系統(tǒng)：數(shù)據(jù)存儲保護包括了數(shù)據(jù)庫加密和文件加密安全保護。數(shù)據(jù)庫加密保護實現(xiàn)數(shù)據(jù)庫中的敏感數(shù)據(jù)加密存儲、應(yīng)用訪問安全、安全審計等功能，有效防止明文存儲引起的數(shù)據(jù)泄密，防止繞開應(yīng)用系統(tǒng)直接訪問數(shù)據(jù)庫。用戶可以選擇敏感數(shù)據(jù)進(jìn)行加密以提高數(shù)據(jù)庫存儲訪問速度，兼顧了數(shù)據(jù)庫的運行效率和數(shù)據(jù)的安全保護。文件加密保護是調(diào)用密碼服務(wù)平臺能力對各類重要的文件，賦予用戶不同的權(quán)限，用戶在訪問加密文檔時需要接入密碼服務(wù)平臺進(jìn)行認(rèn)證，具備相應(yīng)的權(quán)限才能正常查閱。

密鑰管理系統(tǒng)：密鑰管理在密碼服務(wù)中起著十分重要的作用，密鑰管理不當(dāng)將會導(dǎo)致云平臺和信息系統(tǒng)失去密碼保護。密鑰管理包括對稱和非對稱密鑰的全生命周期管理[5]，如密鑰產(chǎn)生、分發(fā)、更新、撤消、恢復(fù)、歸檔等，密碼設(shè)備或密碼模塊為云平臺和應(yīng)用系統(tǒng)生成密鑰，密鑰生成后在管理過程中需要采用身份鑒別、數(shù)據(jù)機密性、完整性安全保護，確保密鑰全生命周期安全管理。

其他軟硬件支撐：主要包括簽名驗簽服務(wù)器、時間戳服務(wù)器、電子簽章系統(tǒng)等，實現(xiàn)用戶電子簽名及驗證、有效時間戳、電子簽章等應(yīng)用服務(wù)。

2.密碼服務(wù)系統(tǒng)。密碼服務(wù)系統(tǒng)將密碼支撐系統(tǒng)提供的密碼能力進(jìn)行服務(wù)封裝，向云平臺和信息系統(tǒng)提供密碼計算服務(wù)、身份認(rèn)證服務(wù)、密鑰管理服務(wù)、簽名驗簽服務(wù)、證書管理服務(wù)、數(shù)據(jù)加密服務(wù)和時間戳服務(wù)等。密碼服務(wù)系統(tǒng)包含云密碼服務(wù)中間件，將API接口封裝成支持多平臺和語言的SDK套件，提供統(tǒng)一的密碼服務(wù)調(diào)用接口，簡化了云上業(yè)務(wù)應(yīng)用的開發(fā)對接。

3.密碼服務(wù)平臺管理。實現(xiàn)對密碼設(shè)備管理、密碼服務(wù)管理，對云服務(wù)器密碼機接入和使用進(jìn)行管控，檢測密碼算法合規(guī)性和有效性，監(jiān)控設(shè)備服務(wù)狀態(tài)，管理密碼服務(wù)申請、分配和使用、安全回收等。使用Restful API和Syslog方式采集密碼服務(wù)平臺的日志信息、業(yè)務(wù)執(zhí)行信息、資源使用信息和性能信息等，進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)歸并[6]，將格式化的數(shù)據(jù)通過數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，生成對應(yīng)規(guī)則下的告警數(shù)據(jù)。可視化展示的內(nèi)容包括設(shè)平臺整體運行情況、服務(wù)情況、資產(chǎn)情況和風(fēng)險情況等，有效支撐管理人員分析決策。

（二）密碼應(yīng)用場景和服務(wù)能力調(diào)用

密碼服務(wù)平臺提供統(tǒng)一的密碼服務(wù)接口，業(yè)務(wù)接入密碼服務(wù)平臺有兩種方式，一是信息系統(tǒng)直接調(diào)用密碼服務(wù)平臺Restful API接口，二是信息系統(tǒng)集成密碼服務(wù)SDK，調(diào)用云密碼服務(wù)中間件的標(biāo)準(zhǔn)接口使用密碼服務(wù)，相比較而言第二種方式更便捷。常用的密碼應(yīng)用場景包括用戶身份認(rèn)證、數(shù)據(jù)傳輸保護、存儲安全加密等。

1.用戶身份認(rèn)證。身份認(rèn)證過程中需要調(diào)用密碼服務(wù)平臺能力，用戶發(fā)起登錄云上信息系統(tǒng)的請求，信息系統(tǒng)將登錄請求提交密碼服務(wù)平臺，平臺請求用戶身份認(rèn)證，認(rèn)證用戶身份合法后，用戶可以正常訪問業(yè)務(wù)。用戶身份認(rèn)證流程如圖2所示。

2.數(shù)據(jù)傳輸保護。利用密碼服務(wù)平臺的數(shù)據(jù)加解密、簽名驗簽服務(wù)能力，保證重要數(shù)據(jù)傳輸?shù)臋C密性、完整性和不可否認(rèn)性，如兩個用戶之間發(fā)送即時消息，在消息發(fā)送端使用加密密鑰進(jìn)行消息加密后再傳輸，在接收端使用解密密鑰進(jìn)行消息解密。

3.存儲安全加密。對于云上敏感數(shù)據(jù)需要進(jìn)行加密存儲，保證數(shù)據(jù)安全，如對文件加密，通過調(diào)用密碼服務(wù)平臺的加解密服務(wù)，使用SM4算法對文件進(jìn)行對稱加密后存儲。

五、結(jié)束語

數(shù)字時代信息系統(tǒng)加速云化部署，傳統(tǒng)的安全防護手段不足以應(yīng)對云環(huán)境復(fù)雜的非授權(quán)訪問、數(shù)據(jù)竊取和篡改等行為，國產(chǎn)密碼技術(shù)可以有效保護云平臺和信息系統(tǒng)安全，在云環(huán)境下建設(shè)基于國密算法的密碼服務(wù)平臺，云平臺和信息系統(tǒng)通過調(diào)用密碼服務(wù)能力，利用密碼技術(shù)進(jìn)行數(shù)據(jù)保護，大幅降低安全風(fēng)險。密碼服務(wù)和密碼應(yīng)用離不開安全管理，需要健全密碼管理制度，在密鑰管理、日常操作、應(yīng)急處置等方面建立標(biāo)準(zhǔn)化流程，定期開展密碼應(yīng)用安全行評估和應(yīng)急演練，保障業(yè)務(wù)安全穩(wěn)定，支撐企業(yè)數(shù)字轉(zhuǎn)型發(fā)展。

作者單位：黃昌熙? ? 鄭志永? ? 孫雪冬? ? 嚴(yán)志訊? ? 華信咨詢設(shè)計研究院有限公司

參? 考? 文? 獻(xiàn)

[1]翁健 ， 黃欣沂 ， 何德彪 . 國產(chǎn)商用公鑰密碼專欄序言（中英文）[J] . 密碼學(xué)報 ，2021，8（4）：680-683.

[2]唐圣宇 ， 曾水生 ， 趙夢 ，等. 淺析對比國內(nèi)外密碼學(xué)算法 [J]. 信息通信 ，2020（2）： 68-69.

[3]胡景秀 ， 楊陽 ， 熊璐 ， 等 . 國密算法分析與軟件性能研究 [J]. 信息網(wǎng)絡(luò)安全 ，2021，21（10）：8-16.

[4]何詩洋 ， 李暉 ， 李鳳華 . SM4算法的FPGA優(yōu)化實現(xiàn)方法 [J]. 西安電子科技大學(xué)學(xué)報 ，2021，48（3）：155-162.

[5]劉磊 . 信息安全等級保護中的商用密碼技術(shù)綜述 [J] . 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ，2016（6）：49.

[6]王瑛 ， 張文科 ， 羅影 ， 等. 加密流量檢測與態(tài)勢預(yù)警平臺研究 [J]. 信息安全與通信保密 ，2020（2）：98-105.