黃昌熙 鄭志永 孫雪冬 嚴(yán)志訊

摘要：數(shù)字化轉(zhuǎn)型不斷提速，企業(yè)信息系統(tǒng)加快遷移上云以節(jié)約資源和成本，云化環(huán)境更加復(fù)雜，云平臺(tái)和信息系統(tǒng)面臨非授權(quán)訪問、重要數(shù)據(jù)被竊取和篡改的風(fēng)險(xiǎn)，安全形勢(shì)嚴(yán)峻。隨著國產(chǎn)密碼算法的推廣，使用國產(chǎn)密碼技術(shù)保護(hù)云平臺(tái)和信息系統(tǒng)安全是重要的防護(hù)手段，本文分析國產(chǎn)密碼應(yīng)用需求，提出云環(huán)境下基于國密算法的密碼服務(wù)平臺(tái)建設(shè)思路，通過調(diào)用密碼服務(wù)，有效保障業(yè)務(wù)安全運(yùn)行。

關(guān)鍵詞：云計(jì)算;國密算法;云密碼服務(wù)中間件;服務(wù)調(diào)用

一、引言

隨著云計(jì)算、大數(shù)據(jù)、人工智能技術(shù)的蓬勃發(fā)展，企業(yè)逐步由傳統(tǒng)模式轉(zhuǎn)向采用信息技術(shù)提高生產(chǎn)和管理效率，核心系統(tǒng)加快云上部署，云環(huán)境的安全變得愈發(fā)重要，非法訪問、數(shù)據(jù)泄密的風(fēng)險(xiǎn)日益增加，云平臺(tái)和云上信息系統(tǒng)面臨著巨大的安全風(fēng)險(xiǎn)。商用密碼技術(shù)是保障企業(yè)信息系統(tǒng)安全的重要支撐手段，密碼技術(shù)在身份認(rèn)證、信息傳輸、數(shù)據(jù)存儲(chǔ)等方面有著廣泛的使用場(chǎng)景。近年，我國在大力推進(jìn)國產(chǎn)密碼算法應(yīng)用，以擺脫對(duì)國外密碼技術(shù)的依賴。

二、國密算法與國外密碼算法對(duì)比

國密算法是指由國家密碼管理局認(rèn)定和發(fā)布的國產(chǎn)密碼算法，已發(fā)布的商用國密算法包括橢圓曲線公鑰密碼算法SM2、密碼雜湊算法SM3、分組密碼算法SM4等[1]。密碼應(yīng)用安全的核心是密碼算法，在未使用國密算法前，信息領(lǐng)域常用的國外密碼算法包括公鑰密碼算法RSA、密碼散列算法（密碼雜湊算法）SHA-256、分組密碼算法AES等，通過對(duì)比分析，國密算法在一些方面性能優(yōu)于國外密碼算法。常用國密算法與國外密碼算法對(duì)比如表1所示。

三、云環(huán)境下國產(chǎn)密碼應(yīng)用需求

在云計(jì)算環(huán)境下，租戶的信息系統(tǒng)部署在虛擬化的云資源池上，資源共享共用，通過虛擬化隔離、VLAN網(wǎng)絡(luò)劃分、安全組隔離等手段進(jìn)行安全隔離。由于云環(huán)境下信息系統(tǒng)的多樣性和復(fù)雜性，除了使用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段外，還需要使用國產(chǎn)密碼技術(shù)保障云平臺(tái)和信息系統(tǒng)安全。

（一）物理和環(huán)境安全

數(shù)據(jù)中心機(jī)房電子門禁系統(tǒng)需要對(duì)訪問人員進(jìn)行身份鑒別，對(duì)訪問人員分發(fā)使用SM4算法的密鑰門禁卡，在人員訪問時(shí)使用SM4算法進(jìn)行身份鑒別，使用HMAC-SM3技術(shù)保護(hù)電子門禁系統(tǒng)進(jìn)出記錄和視頻記錄數(shù)據(jù)。

（二）網(wǎng)絡(luò)和通信安全

終端通過SSL VPN網(wǎng)關(guān)安全接入云計(jì)算環(huán)境，SSL VPN需要支持國密算法，在登錄VPN認(rèn)證過程中采用國密算法的數(shù)字證書USBKEY配合商密安全瀏覽器構(gòu)建虛擬專用通道，保證網(wǎng)絡(luò)和通信過程安全。

（三）設(shè)備和計(jì)算安全

在遠(yuǎn)程管理云平臺(tái)設(shè)備或信息系統(tǒng)時(shí)，需要接入統(tǒng)一身份認(rèn)證系統(tǒng)，防止非授權(quán)人員登錄和身份鑒別信息被非法竊取。云上的重要程序或文件在生成時(shí)，使用SM2數(shù)字簽名技術(shù)進(jìn)行完整性保護(hù)，讀取程序和文件時(shí)進(jìn)行驗(yàn)簽，使用HMAC-SM3算法保護(hù)設(shè)備日志、資源訪問控制信息。

（四）應(yīng)用和數(shù)據(jù)安全

為了保護(hù)核心應(yīng)用和數(shù)據(jù)安全，通過調(diào)用密碼服務(wù)平臺(tái)簽名驗(yàn)簽?zāi)芰?，使用基于SM2算法的數(shù)字簽名技術(shù)對(duì)用戶訪問控制列表進(jìn)行完整性保護(hù)，并在用戶每次登錄或權(quán)限改變時(shí)對(duì)簽名值進(jìn)行驗(yàn)證。云平臺(tái)和信息系統(tǒng)的敏感數(shù)據(jù)、鑒別信息和用戶信息釆用SM4和HMAC-SM3算法對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行安全保護(hù)。

（五）管理和運(yùn)行安全

建立國產(chǎn)密碼應(yīng)用安全管理制度，包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行管理、應(yīng)急處置等。建立標(biāo)準(zhǔn)化操作規(guī)程，各類操作過程記錄保存完整。設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位，按照制度規(guī)定定期開展人員考核，加強(qiáng)密鑰產(chǎn)生、分發(fā)、存儲(chǔ)和使用等環(huán)節(jié)的管理，定期開展密碼應(yīng)用安全性評(píng)估和應(yīng)急演練。

四、密碼服務(wù)平臺(tái)建設(shè)思路

（一）密碼服務(wù)平臺(tái)架構(gòu)設(shè)計(jì)

密碼服務(wù)平臺(tái)總體架構(gòu)由云環(huán)境密碼服務(wù)平臺(tái)和國產(chǎn)密碼應(yīng)用兩部分組成。密碼服務(wù)平臺(tái)提供國產(chǎn)密碼服務(wù)，底層是密碼支撐系統(tǒng)，包括云服務(wù)器密碼機(jī)組成的密碼資源池，以及統(tǒng)一身份認(rèn)證系統(tǒng)、數(shù)據(jù)存儲(chǔ)保護(hù)系統(tǒng)、密碼管理系統(tǒng)等軟硬件。密碼服務(wù)系統(tǒng)是將密碼支撐基礎(chǔ)資源進(jìn)行能力封裝，以服務(wù)的形式統(tǒng)一對(duì)外提供服務(wù)。在云計(jì)算環(huán)境下，國產(chǎn)密碼應(yīng)用包括了終端、網(wǎng)絡(luò)接入、云平臺(tái)及云上信息系統(tǒng)、云管理的安全密碼應(yīng)用。云環(huán)境下密碼服務(wù)平臺(tái)架構(gòu)如圖1所示。

（一）云環(huán)境下密碼服務(wù)和管理方案

云計(jì)算環(huán)境下，云平臺(tái)自身的密碼應(yīng)用需要云管理平臺(tái)支持國密算法，再調(diào)用密碼服務(wù)平臺(tái)的能力實(shí)現(xiàn)云平臺(tái)的國密安全保護(hù)。云上信息系統(tǒng)在國密改造后，與密碼服務(wù)平臺(tái)通過標(biāo)準(zhǔn)接口對(duì)接，實(shí)現(xiàn)業(yè)務(wù)的安全保護(hù)。云環(huán)境下密碼服務(wù)平臺(tái)主要包括密碼支撐系統(tǒng)、密碼服務(wù)系統(tǒng)和密碼服務(wù)平臺(tái)管理。

1.密碼支撐系統(tǒng)。密碼支撐系統(tǒng)是密碼服務(wù)平臺(tái)的基礎(chǔ)軟硬件支撐，主要的支撐軟硬件包括云服務(wù)器密碼機(jī)、統(tǒng)一身份認(rèn)證系統(tǒng)、數(shù)據(jù)存儲(chǔ)保護(hù)系統(tǒng)和密鑰管理系統(tǒng)等。

云服務(wù)器密碼機(jī)：使用虛擬化技術(shù)，一臺(tái)云服務(wù)器密碼機(jī)能夠按照實(shí)際業(yè)務(wù)需要生成多臺(tái)虛擬密碼機(jī)（VSM），多臺(tái)VSM 組成集群，每臺(tái)VSM均具有普通密碼機(jī)設(shè)備的密碼計(jì)算能力，各VSM之間實(shí)現(xiàn)安全隔離。多臺(tái)云服務(wù)器密碼機(jī)組成云密碼計(jì)算資源池，依托于云服務(wù)器密碼機(jī)彈性伸縮的服務(wù)能力，云密碼計(jì)算資源池可以最大限度利用密碼硬件資源，提升設(shè)備利用效率。

統(tǒng)一身份認(rèn)證系統(tǒng)：統(tǒng)一身份認(rèn)證系統(tǒng)依托電子認(rèn)證基礎(chǔ)設(shè)施，提供統(tǒng)一的身份管理、身份認(rèn)證、單點(diǎn)登錄和行為審計(jì)等服務(wù)，確保云上用戶身份的真實(shí)可靠。電子認(rèn)證基礎(chǔ)設(shè)施是以國產(chǎn)密碼技術(shù)為基礎(chǔ)，為云上的用戶簽發(fā)數(shù)字證書USBKEY身份標(biāo)識(shí)設(shè)備，用戶需要通過USBKEY完成身份鑒別后才能接入云平臺(tái)和訪問業(yè)務(wù)應(yīng)用。

數(shù)據(jù)存儲(chǔ)保護(hù)系統(tǒng)：數(shù)據(jù)存儲(chǔ)保護(hù)包括了數(shù)據(jù)庫加密和文件加密安全保護(hù)。數(shù)據(jù)庫加密保護(hù)實(shí)現(xiàn)數(shù)據(jù)庫中的敏感數(shù)據(jù)加密存儲(chǔ)、應(yīng)用訪問安全、安全審計(jì)等功能，有效防止明文存儲(chǔ)引起的數(shù)據(jù)泄密，防止繞開應(yīng)用系統(tǒng)直接訪問數(shù)據(jù)庫。用戶可以選擇敏感數(shù)據(jù)進(jìn)行加密以提高數(shù)據(jù)庫存儲(chǔ)訪問速度，兼顧了數(shù)據(jù)庫的運(yùn)行效率和數(shù)據(jù)的安全保護(hù)。文件加密保護(hù)是調(diào)用密碼服務(wù)平臺(tái)能力對(duì)各類重要的文件，賦予用戶不同的權(quán)限，用戶在訪問加密文檔時(shí)需要接入密碼服務(wù)平臺(tái)進(jìn)行認(rèn)證，具備相應(yīng)的權(quán)限才能正常查閱。

密鑰管理系統(tǒng)：密鑰管理在密碼服務(wù)中起著十分重要的作用，密鑰管理不當(dāng)將會(huì)導(dǎo)致云平臺(tái)和信息系統(tǒng)失去密碼保護(hù)。密鑰管理包括對(duì)稱和非對(duì)稱密鑰的全生命周期管理[5]，如密鑰產(chǎn)生、分發(fā)、更新、撤消、恢復(fù)、歸檔等，密碼設(shè)備或密碼模塊為云平臺(tái)和應(yīng)用系統(tǒng)生成密鑰，密鑰生成后在管理過程中需要采用身份鑒別、數(shù)據(jù)機(jī)密性、完整性安全保護(hù)，確保密鑰全生命周期安全管理。

其他軟硬件支撐：主要包括簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、電子簽章系統(tǒng)等，實(shí)現(xiàn)用戶電子簽名及驗(yàn)證、有效時(shí)間戳、電子簽章等應(yīng)用服務(wù)。

2.密碼服務(wù)系統(tǒng)。密碼服務(wù)系統(tǒng)將密碼支撐系統(tǒng)提供的密碼能力進(jìn)行服務(wù)封裝，向云平臺(tái)和信息系統(tǒng)提供密碼計(jì)算服務(wù)、身份認(rèn)證服務(wù)、密鑰管理服務(wù)、簽名驗(yàn)簽服務(wù)、證書管理服務(wù)、數(shù)據(jù)加密服務(wù)和時(shí)間戳服務(wù)等。密碼服務(wù)系統(tǒng)包含云密碼服務(wù)中間件，將API接口封裝成支持多平臺(tái)和語言的SDK套件，提供統(tǒng)一的密碼服務(wù)調(diào)用接口，簡化了云上業(yè)務(wù)應(yīng)用的開發(fā)對(duì)接。

3.密碼服務(wù)平臺(tái)管理。實(shí)現(xiàn)對(duì)密碼設(shè)備管理、密碼服務(wù)管理，對(duì)云服務(wù)器密碼機(jī)接入和使用進(jìn)行管控，檢測(cè)密碼算法合規(guī)性和有效性，監(jiān)控設(shè)備服務(wù)狀態(tài)，管理密碼服務(wù)申請(qǐng)、分配和使用、安全回收等。使用Restful API和Syslog方式采集密碼服務(wù)平臺(tái)的日志信息、業(yè)務(wù)執(zhí)行信息、資源使用信息和性能信息等，進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)歸并[6]，將格式化的數(shù)據(jù)通過數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，生成對(duì)應(yīng)規(guī)則下的告警數(shù)據(jù)?？梢暬故镜膬?nèi)容包括設(shè)平臺(tái)整體運(yùn)行情況、服務(wù)情況、資產(chǎn)情況和風(fēng)險(xiǎn)情況等，有效支撐管理人員分析決策。

（二）密碼應(yīng)用場(chǎng)景和服務(wù)能力調(diào)用

密碼服務(wù)平臺(tái)提供統(tǒng)一的密碼服務(wù)接口，業(yè)務(wù)接入密碼服務(wù)平臺(tái)有兩種方式，一是信息系統(tǒng)直接調(diào)用密碼服務(wù)平臺(tái)Restful API接口，二是信息系統(tǒng)集成密碼服務(wù)SDK，調(diào)用云密碼服務(wù)中間件的標(biāo)準(zhǔn)接口使用密碼服務(wù)，相比較而言第二種方式更便捷。常用的密碼應(yīng)用場(chǎng)景包括用戶身份認(rèn)證、數(shù)據(jù)傳輸保護(hù)、存儲(chǔ)安全加密等。

1.用戶身份認(rèn)證。身份認(rèn)證過程中需要調(diào)用密碼服務(wù)平臺(tái)能力，用戶發(fā)起登錄云上信息系統(tǒng)的請(qǐng)求，信息系統(tǒng)將登錄請(qǐng)求提交密碼服務(wù)平臺(tái)，平臺(tái)請(qǐng)求用戶身份認(rèn)證，認(rèn)證用戶身份合法后，用戶可以正常訪問業(yè)務(wù)。用戶身份認(rèn)證流程如圖2所示。

2.數(shù)據(jù)傳輸保護(hù)。利用密碼服務(wù)平臺(tái)的數(shù)據(jù)加解密、簽名驗(yàn)簽服務(wù)能力，保證重要數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性和不可否認(rèn)性，如兩個(gè)用戶之間發(fā)送即時(shí)消息，在消息發(fā)送端使用加密密鑰進(jìn)行消息加密后再傳輸，在接收端使用解密密鑰進(jìn)行消息解密。

3.存儲(chǔ)安全加密。對(duì)于云上敏感數(shù)據(jù)需要進(jìn)行加密存儲(chǔ)，保證數(shù)據(jù)安全，如對(duì)文件加密，通過調(diào)用密碼服務(wù)平臺(tái)的加解密服務(wù)，使用SM4算法對(duì)文件進(jìn)行對(duì)稱加密后存儲(chǔ)。

五、結(jié)束語

數(shù)字時(shí)代信息系統(tǒng)加速云化部署，傳統(tǒng)的安全防護(hù)手段不足以應(yīng)對(duì)云環(huán)境復(fù)雜的非授權(quán)訪問、數(shù)據(jù)竊取和篡改等行為，國產(chǎn)密碼技術(shù)可以有效保護(hù)云平臺(tái)和信息系統(tǒng)安全，在云環(huán)境下建設(shè)基于國密算法的密碼服務(wù)平臺(tái)，云平臺(tái)和信息系統(tǒng)通過調(diào)用密碼服務(wù)能力，利用密碼技術(shù)進(jìn)行數(shù)據(jù)保護(hù)，大幅降低安全風(fēng)險(xiǎn)。密碼服務(wù)和密碼應(yīng)用離不開安全管理，需要健全密碼管理制度，在密鑰管理、日常操作、應(yīng)急處置等方面建立標(biāo)準(zhǔn)化流程，定期開展密碼應(yīng)用安全行評(píng)估和應(yīng)急演練，保障業(yè)務(wù)安全穩(wěn)定，支撐企業(yè)數(shù)字轉(zhuǎn)型發(fā)展。

作者單位：黃昌熙? ? 鄭志永? ? 孫雪冬? ? 嚴(yán)志訊? ? 華信咨詢?cè)O(shè)計(jì)研究院有限公司

參? 考? 文? 獻(xiàn)

[1]翁健 ， 黃欣沂 ， 何德彪 . 國產(chǎn)商用公鑰密碼專欄序言（中英文）[J] . 密碼學(xué)報(bào) ，2021，8（4）：680-683.

[2]唐圣宇 ， 曾水生 ， 趙夢(mèng) ，等. 淺析對(duì)比國內(nèi)外密碼學(xué)算法 [J]. 信息通信 ，2020（2）： 68-69.

[3]胡景秀 ， 楊陽 ， 熊璐 ， 等 . 國密算法分析與軟件性能研究 [J]. 信息網(wǎng)絡(luò)安全 ，2021，21（10）：8-16.

[4]何詩洋 ， 李暉 ， 李鳳華 . SM4算法的FPGA優(yōu)化實(shí)現(xiàn)方法 [J]. 西安電子科技大學(xué)學(xué)報(bào) ，2021，48（3）：155-162.

[5]劉磊 . 信息安全等級(jí)保護(hù)中的商用密碼技術(shù)綜述 [J] . 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 ，2016（6）：49.

[6]王瑛 ， 張文科 ， 羅影 ， 等. 加密流量檢測(cè)與態(tài)勢(shì)預(yù)警平臺(tái)研究 [J]. 信息安全與通信保密 ，2020（2）：98-105.