劉建兵 馬旭艷 楊 華 王振欣

1(北京北信源軟件股份有限公司 北京 100195) 2(中國石油東方地球物理勘探有限責(zé)任公司 河北保定 072750)

密碼技術(shù)是信息安全的核心和基礎(chǔ)支撐，是網(wǎng)絡(luò)免疫體系的基因，網(wǎng)絡(luò)及信息系統(tǒng)的安全離不開密碼的核心支撐.現(xiàn)今大量使用的國外密碼技術(shù)和產(chǎn)品安全風(fēng)險顯現(xiàn)，而強度更高的國密算法已經(jīng)成熟并實踐應(yīng)用，《中華人民共和國密碼法》[1]的頒布實施標志著國密技術(shù)進入大規(guī)模應(yīng)用階段.作為系列文章的第5篇，本文介紹了國密算法在主動網(wǎng)絡(luò)安全架構(gòu)中的運用實踐，以及由此帶來的安全和自主可控能力的提高.

1 國密算法是網(wǎng)絡(luò)安全自主可控基礎(chǔ)

1.1 密碼技術(shù)的安全地位

密碼技術(shù)是網(wǎng)絡(luò)與信息安全的核心基石技術(shù)[2]，保密性、完整性、不可抵賴性等核心的網(wǎng)絡(luò)安全特性都由密碼技術(shù)提供.整個網(wǎng)絡(luò)和信息系統(tǒng)運行過程中的人、機、物的身份標識、認證、行為審計、安全可信可控的互聯(lián)互通等，都需要依靠密碼技術(shù)進行支撐.

互聯(lián)網(wǎng)的發(fā)展促使各行各業(yè)普遍地將業(yè)務(wù)搬到互聯(lián)網(wǎng)上運行，以更大范圍提供業(yè)務(wù)服務(wù)[3].但缺少安全防護機制的網(wǎng)絡(luò)和信息系統(tǒng)，無法安全穩(wěn)定地提供安全服務(wù)，安全事件經(jīng)常發(fā)生，導(dǎo)致安全影響網(wǎng)絡(luò)使用和業(yè)務(wù)服務(wù)，甚至導(dǎo)致網(wǎng)絡(luò)不可用或毀掉業(yè)務(wù).密碼技術(shù)的應(yīng)用較好地解決了網(wǎng)絡(luò)和信息系統(tǒng)的安全問題，有力地支撐并促進了網(wǎng)絡(luò)和信息系統(tǒng)的應(yīng)用和發(fā)展.

當前信息技術(shù)環(huán)境的安全防護中，密碼技術(shù)是最核心、最關(guān)鍵、最有效的技術(shù)，也是使用最廣泛和深入的技術(shù)[4].網(wǎng)絡(luò)安全中的IPSEC VPN，SSL VPN等遠程訪問技術(shù)，其核心就是使用密碼技術(shù)確保了遠程通信的加密防護；SSH等遠程登錄協(xié)議，也是因為有了密碼技術(shù)的安全加密支撐才得以安全使用；加密郵件、https的Web應(yīng)用服務(wù)等，得益于密碼技術(shù)的支撐，可以安心使用；PKI數(shù)字證書的使用[5]，使得大量應(yīng)用的安全防護有了技術(shù)支撐和依托，例如系統(tǒng)的身份強認證、銀行USBKEY認證等.不僅傳統(tǒng)的IT技術(shù)依賴密碼技術(shù)的支撐，最新的大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動應(yīng)用、區(qū)塊鏈技術(shù)的安全防護都依仗密碼技術(shù)的支撐.

信息技術(shù)的運用，包括網(wǎng)絡(luò)服務(wù)的提供、信息系統(tǒng)業(yè)務(wù)服務(wù)的提供等，必須通過密碼技術(shù)的強力支撐才能真正實現(xiàn)大面積的推廣和安全應(yīng)用，脫離密碼技術(shù)安全支撐的信息技術(shù)服務(wù)的生命力將難以經(jīng)受起網(wǎng)絡(luò)安全威脅的考驗.密碼技術(shù)是網(wǎng)絡(luò)安全的免疫基因，其安全作用舉足輕重，核心地位不可取代.

1.2 國密算法對自主可控的作用

密碼技術(shù)是網(wǎng)絡(luò)安全的免疫基因，是安全防護的核心支撐技術(shù)，大量的信息技術(shù)服務(wù)依靠密碼技術(shù)的安全支撐.但遺憾的是，目前業(yè)界所使用的密碼技術(shù)、產(chǎn)品、算法等大都是國外的，國外密碼技術(shù)根深蒂固，占據(jù)了密碼技術(shù)市場的統(tǒng)治地位.與此同時，現(xiàn)今大量使用的國外密碼技術(shù)和產(chǎn)品被警示存在風(fēng)險.路透社曾報道，美國國安局(NSA)曾與海外加密技術(shù)公司RSA達成協(xié)議，要求在其移動鑒證產(chǎn)品廣泛使用的加密技術(shù)中放置后門(安全牛、《中國證券報》相繼報道過)[6].作為海外信息加密和安全認證領(lǐng)域的龍頭企業(yè)，RSA的客戶遍布國內(nèi)外大型企業(yè)，擁有全球70%的市場份額.在國內(nèi)，RSA的客戶更是遍布各行各業(yè)，據(jù)不完全統(tǒng)計，通信行業(yè)的3大運營商、國內(nèi)的大型通信設(shè)備企業(yè)和大型制造業(yè)企業(yè)以及大型銀行、部分交易所等均為其客戶.密碼技術(shù)被放置后門，意味著互聯(lián)網(wǎng)的安全和信任基礎(chǔ)遭到了破壞，依托于密碼支撐的應(yīng)用和服務(wù)的安全已經(jīng)無從談起，面對國際對抗日益嚴峻的環(huán)境，密碼后門的被利用帶來的破壞和損失難以估量.

密碼技術(shù)作為網(wǎng)絡(luò)安全的免疫基因，是網(wǎng)絡(luò)安全的基礎(chǔ)和根本，也是各國搶占網(wǎng)絡(luò)安全制高點的角逐領(lǐng)域.各發(fā)達國家高度重視密碼技術(shù)，極力占據(jù)密碼技術(shù)的制高點，從王小云教授攻破MD5算法后[7]，美國重要機構(gòu)立即停用MD5算法的事件就可看出，美國對密碼算法的自主掌控是多么的堅決.

我國高度重視網(wǎng)絡(luò)安全，也高度重視網(wǎng)絡(luò)安全的核心殺手锏技術(shù)，即密碼技術(shù)的自主研發(fā)和創(chuàng)新[8].密碼法、等級保護等國家法律和政策都要求網(wǎng)絡(luò)、信息系統(tǒng)、工控、物聯(lián)網(wǎng)等各重要領(lǐng)域需要使用國密技術(shù)進行防護，提升國密應(yīng)用水平，切實提高網(wǎng)絡(luò)安全防護能力.

我國密碼管理與研究組織也積極落實國家要求，在密碼研發(fā)領(lǐng)域大力推進，取得了重要成果.國家密碼管理局推出了我國自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密處理系列的國密算法，如SM2[9]，SM3[10]，SM4[11]等，從根本上擺脫我國對國外密碼技術(shù)的依賴，實現(xiàn)從密碼算法層面掌控核心的信息安全技術(shù).

國密算法強度、復(fù)雜度，性能等方面都與國外同類算法持平甚至優(yōu)于同類算法，具有算法安全等方面的優(yōu)越性[12]，如SM2算法和RSA算法都是公鑰密碼算法，SM2算法是一種更先進安全的算法，SM2性能更優(yōu)更安全，密碼復(fù)雜度高、處理速度快、機器性能消耗更小.隨著國密算法推廣的延伸，多個領(lǐng)域已經(jīng)開始使用國密算法替換國外算法，如金融領(lǐng)域已經(jīng)引入SM2，SM3，SM4等算法，逐步替換原有的RSA，ECC等國外算法[13].

密碼技術(shù)上擁有了自主可控的國密算法，就等于擁有網(wǎng)絡(luò)安全的中國免疫基因，可從網(wǎng)絡(luò)安全的基礎(chǔ)和根本層面擺脫國外的限制，對于我國網(wǎng)絡(luò)安全防護水平的提升具有舉足輕重的作用.密碼技術(shù)至關(guān)重要，國密算法更是網(wǎng)絡(luò)安全自主可控發(fā)展之主力支柱，網(wǎng)絡(luò)、信息系統(tǒng)等的安全防護使用國密算法進行安全支撐，是大勢所趨，責(zé)任所在，必須堅決把握和推廣使用國密技術(shù)，使得國密技術(shù)、國密算法逐步突破國外依賴和限制，進而全面突破，燎原全局.

2 主動安全網(wǎng)絡(luò)架構(gòu)的密碼學(xué)支撐

2.1 主動安全網(wǎng)絡(luò)架構(gòu)主要功能

主動安全網(wǎng)絡(luò)(active security network, ASN)架構(gòu)由包括IPK(identity public key)密鑰平臺、認證客戶端、邊界認證機、管理控制服務(wù)器等主要構(gòu)件組成，所有構(gòu)件相互配合，實現(xiàn)了終端安全認證與準入，全網(wǎng)終端、邊界認證機資產(chǎn)的統(tǒng)一管理，全網(wǎng)安全策略的集成、統(tǒng)一管理和執(zhí)行等安全防護功能，主動安全網(wǎng)絡(luò)架構(gòu)功能具體參見文獻[14].

2.2 主動安全網(wǎng)絡(luò)架構(gòu)密碼支撐

主動安全網(wǎng)絡(luò)架構(gòu)中存儲的終端以及邊界認證機的資產(chǎn)、認證、狀態(tài)、策略等重要信息，在認證客戶端、邊界認證機、管理控制服務(wù)器、第三方安全平臺之間進行流轉(zhuǎn)，需要使用國密技術(shù)，確保重要信息的安全流轉(zhuǎn)交互，杜絕報文被截獲破解進而影響架構(gòu)安全運行的情況發(fā)生.

主動安全網(wǎng)絡(luò)架構(gòu)運行在接入認證協(xié)議(access authentication protocal, AAP)、管理控制協(xié)議(management control protocal, MCP)、業(yè)務(wù)交互協(xié)議(business interaction protocal, BIP)、開放集成協(xié)議(open integration protocal, OIP)、信任互聯(lián)協(xié)議(trust interconnection protocal, TIP)5個協(xié)議之上，如圖1所示.以下分別介紹各個協(xié)議國密算法的安全應(yīng)用.

圖1 主動安全網(wǎng)絡(luò)架構(gòu)協(xié)議族

接入認證協(xié)議(AAP)[15]：該協(xié)議實現(xiàn)邊界認證機與認證客戶端交互，完成終端的認證準入.終端與邊界認證機之間的認證準入報文，使用國密技術(shù)加密傳輸，防止認證信息明文被捕獲破解，提高認證安全性.

管理控制協(xié)議(MCP)：該協(xié)議實現(xiàn)邊界認證機與第三方平臺到管理控制服務(wù)器進行認證注冊，并為后續(xù)業(yè)務(wù)信息建立通信隧道.為保證邊界認證機與第三方平臺到管理控制服務(wù)器的注冊認證安全性，需要使用國密算法，進行注冊認證報文的加解密防護；同時需要使用國密算法，為建立起來的通信隧道進行加密防護.

業(yè)務(wù)交互協(xié)議(BIP)和開放集成協(xié)議(OIP)：這2個協(xié)議運行在MCP協(xié)議建立起來的加密隧道中，可確保業(yè)務(wù)數(shù)據(jù)安全.

信任互聯(lián)協(xié)議(TIP)：該協(xié)議實現(xiàn)同一局域網(wǎng)的邊界認證機之間的認證和數(shù)據(jù)通信加密.為了防止非法設(shè)備接入局域網(wǎng)，局域網(wǎng)的邊界認證機需要進行安全認證，以杜絕非法設(shè)備接入；同時認證成功后邊界認證機之間的通信數(shù)據(jù)需要進行加密防護，確保重要業(yè)務(wù)數(shù)據(jù)不被監(jiān)聽獲取.

通過分析主動安全網(wǎng)絡(luò)架構(gòu)的5大協(xié)議，發(fā)現(xiàn)認證客戶端與邊界認證機的認證準入、邊界認證機和第三方平臺到管理控制服務(wù)器的認證準入以及業(yè)務(wù)交互、同一局域網(wǎng)邊界認證機之間的安全認證和數(shù)據(jù)通信等方面，都需要密碼技術(shù)進行安全支撐與防護，以解決非法設(shè)備杜絕接入、業(yè)務(wù)數(shù)據(jù)明文傳輸被監(jiān)聽獲取等安全問題，以實現(xiàn)整體架構(gòu)的安全.

3 基于物聯(lián)網(wǎng)的密鑰體制對ASN支撐

3.1 IPK標識公鑰技術(shù)

標識公鑰(IPK)體系屬于非對稱的公鑰密碼體系，基于成熟的標識公鑰密碼技術(shù)，實現(xiàn)了標識與密鑰的關(guān)聯(lián)[16].IPK與PKI不同的是，IPK體系中不需要第三方證書，而是將網(wǎng)絡(luò)中的設(shè)備、終端或系統(tǒng)的唯一標識作為演算并分發(fā)公/私鑰的因子，通過密鑰種子與因子進行數(shù)學(xué)計算，生成設(shè)備對應(yīng)的公鑰和私鑰，從而完成設(shè)備、終端或系統(tǒng)之間的身份認證與授權(quán).IPK支持ECDSA，SM2，SM4等算法，簽名和加密所產(chǎn)生的附加數(shù)據(jù)量小，運算少，使用高效.

IPK標識密鑰技術(shù)具有的特點非常貼合主動安全網(wǎng)絡(luò)架構(gòu)的密碼安全防護需要，具體如下：

1)實現(xiàn)了標識與密鑰的關(guān)聯(lián)，標識即終端設(shè)備的身份，標識唯一即終端設(shè)備身份唯一.密鑰技術(shù)唯一標識設(shè)備身份，為認證準入、策略下發(fā)奠定了基礎(chǔ)；

2)標識密鑰技術(shù)輕量級，使用所產(chǎn)生的數(shù)據(jù)運算少且高效，適合認證準入、注冊認證等安全防護功能的便捷高效實現(xiàn)；

3)IPK技術(shù)支持SM2，SM4，SM9等國密算法，可充分使用國密算法進行加解密防護，實現(xiàn)國密算法的落地，提高安全防護自主可控性.

由于IPK技術(shù)的特點與主動安全網(wǎng)絡(luò)架構(gòu)的防護需求有著極大的吻合性，主動安全網(wǎng)絡(luò)架構(gòu)中采用了IPK標識密鑰技術(shù)進行架構(gòu)的密碼支撐.

3.2 IPK機制對ASN的支撐

在主動網(wǎng)絡(luò)安全架構(gòu)中，搭建IPK密鑰分發(fā)平臺，實現(xiàn)基于IPK標識公鑰體制的密鑰的生產(chǎn)、分發(fā)、撤銷、存儲、備份和恢復(fù)等功能，為終端認證準入、報文加密等網(wǎng)絡(luò)安全防護功能提供密鑰支撐.

IPK密鑰平臺利用計算機、打印機、手機等入網(wǎng)終端，邊界認證機，管理控制服務(wù)器，第三方平臺的MAC生成的唯一標識CID(combination ID)為因子，通過密鑰種子與CID進行數(shù)學(xué)計算生成各自對應(yīng)的公鑰和私鑰，并相應(yīng)地導(dǎo)入至業(yè)務(wù)運行所需的設(shè)備或系統(tǒng)，如圖2所示.通過設(shè)備唯一的物理特征生成的唯一標識CID，可在認證過程、安全分析過程中快速查找并鎖定該設(shè)備.

圖2 主動安全網(wǎng)絡(luò)架構(gòu)密鑰生成與導(dǎo)入

IPK密鑰支撐平臺生成的公鑰和私鑰分發(fā)如下：終端私鑰導(dǎo)入認證客戶端軟件，邊界認證機和第三方平臺導(dǎo)入各自公鑰和私鑰，管理控制服務(wù)器導(dǎo)入服務(wù)器公鑰和私鑰、終端、邊界認證機和第三方平臺的公鑰.

密鑰準備工作完成后，5大協(xié)議通過密鑰，利用國密算法進行架構(gòu)運行的安全防護，具體如下：

接入認證協(xié)議(AAP)使用SM2算法，對邊界認證機和認證客戶端之間的認證報文進行公鑰加密和私鑰解密，進而保障認證安全.

管理控制(MCP)協(xié)議使用SM2算法，對邊界認證機和第三方平臺到管理控制服務(wù)器的認證注冊報文進行公鑰加密和私鑰解密，進而保障認證安全；通過公鑰加密對稱密鑰、私鑰解密對稱密鑰完成邊界認證機和第三方平臺到管理控制服務(wù)器對稱密鑰的安全傳輸，對稱密鑰通過SM4算法建立業(yè)務(wù)報文交互的加密隧道.

業(yè)務(wù)交互協(xié)議(BIP)和開放集成協(xié)議(OIP)運行在MCP協(xié)議建立的加密隧道上，通過對稱密鑰和SM4算法保護業(yè)務(wù)報文.

信任互聯(lián)(TIP)在局域網(wǎng)的邊界認證機之間使用SM2算法，通過公鑰加密對稱密鑰，私鑰解密對稱密鑰完成對稱密鑰的安全傳輸，邊界認證機之間的通信報文通過對稱密鑰和SM4算法進行加密保護.

主動安全網(wǎng)絡(luò)架構(gòu)在IPK密鑰平臺的密鑰支撐下，綜合使用國密對稱與非對稱算法，實現(xiàn)了設(shè)備或系統(tǒng)的安全注冊、認證和準入，以及重要業(yè)務(wù)報文的加密防護，使得主動安全網(wǎng)絡(luò)架構(gòu)有了網(wǎng)絡(luò)安全的中國免疫基因——國密技術(shù)的全面支撐，架構(gòu)整體運行有切實的安全保障.

4 以密碼支撐的ASN的安全特性

4.1 安全基因自主可控

主動安全網(wǎng)絡(luò)架構(gòu)采用IPK標識密鑰技術(shù)，使用國產(chǎn)商密算法進行整體架構(gòu)的密碼保護，顯著增強了架構(gòu)的安全強度.

主動安全網(wǎng)絡(luò)架構(gòu)從設(shè)計之初就將國密算法全面融合到架構(gòu)的各個過程環(huán)節(jié)，使產(chǎn)品從研發(fā)之始就具備了安全免疫系統(tǒng)的密碼基因，且密碼基因國產(chǎn)內(nèi)生、自主可控，可隨著主動安全網(wǎng)絡(luò)架構(gòu)的升級而同步進化.國密算法強度、復(fù)雜度、性能等方面持平或優(yōu)于國外同類算法，使得主動安全網(wǎng)絡(luò)架構(gòu)的密碼安全基因自主可控并先天優(yōu)秀，具有很強的安全差異化優(yōu)勢.

4.2 架構(gòu)運行安全可靠

主動安全網(wǎng)絡(luò)架構(gòu)各個過程、各個環(huán)節(jié)都使用了國密技術(shù)進行安全防護，國密算法貫穿于架構(gòu)的方方面面，使得架構(gòu)運行安全可靠.

終端與邊界認證機、邊界認證機與管理控制服務(wù)器、管理控制服務(wù)器與第三方平臺，每段都采用了國密技術(shù)進行防護.每段業(yè)務(wù)交互都根據(jù)安全需求和業(yè)務(wù)特點，選擇合適的加密算法，如采用SM2非對稱加密算法進行終端認證準入、邊界認證機和第三方平臺的注冊認證；使用SM4算法進行邊界認證機、第三方平臺與管理控制服務(wù)器的業(yè)務(wù)報文加密防護.架構(gòu)局部是分段防護，整體是全面防護，國密算法的使用切實為主動網(wǎng)絡(luò)安全架構(gòu)提供了全面的密碼防護機制，確保了架構(gòu)運行的安全性.

5 總 結(jié)

國密算法處于主動安全網(wǎng)絡(luò)架構(gòu)的安全核心地位，安全防護作用強勁而全面.主動安全網(wǎng)絡(luò)架構(gòu)全面采用國密技術(shù)，國密算法貫穿于架構(gòu)運行的各個過程、各個環(huán)節(jié)；對稱與非對稱加密技術(shù)根據(jù)業(yè)務(wù)特點靈活運用，有機融合，使得架構(gòu)先天安全免疫基因自主可控又質(zhì)地優(yōu)秀，有力地提升了架構(gòu)的安全強度，保障了架構(gòu)運行的安全可靠.