陳翠云，呂 由，趙 祎，陳 盼

（公安部第一研究所，北京 100048）

商用密碼應(yīng)用安全性評估制度是國家信息安全領(lǐng)域的基本國策，由國家密碼管理局牽頭，經(jīng)過數(shù)年的探索和實(shí)踐，已形成一系列政策和標(biāo)準(zhǔn)體系，并于近幾年在全國范圍內(nèi)全面開展實(shí)施。與此同時(shí)，隨著云計(jì)算技術(shù)的不斷發(fā)展，云平臺已成為信息系統(tǒng)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施之一，并得到了廣泛應(yīng)用。

但由于云平臺自身的特殊性，在其密碼應(yīng)用測評過程中，會面臨密碼服務(wù)需求不清晰、測評點(diǎn)難以確定、涉及虛擬機(jī)遷移安全測評等特殊疑難問題，而商用密碼應(yīng)用安全性評估現(xiàn)有標(biāo)準(zhǔn)體系和指導(dǎo)文件主要還是針對于傳統(tǒng)單一的信息系統(tǒng)，對于云平臺的密碼應(yīng)用測評，尚處在研究和探索階段，缺乏具有針對性的指導(dǎo)意見。需參考GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》等現(xiàn)有標(biāo)準(zhǔn)，并針對其測評過程中可能存在的疑難問題，如云密碼服務(wù)需求、云密碼服務(wù)應(yīng)用測評點(diǎn)、云密碼服務(wù)應(yīng)用測評注意事項(xiàng)等進(jìn)行深入研究和探討。

1 云平臺密碼保障建設(shè)

如圖1 所示，云平臺和云上應(yīng)用運(yùn)營者不同，需界定兩者的責(zé)任和范圍。在云上密碼保障系統(tǒng)建設(shè)之前，需明確劃分為2 個層次：

圖1 云平臺和云上應(yīng)用責(zé)任和范圍Fig.1 Responsibilities and scope of cloud platforms and applications on the cloud

（1）云平臺密碼保障系統(tǒng)：針對云平臺自身密碼應(yīng)用的密碼保障系統(tǒng)的建設(shè)，該部分建設(shè)的責(zé)任主體為云平臺的運(yùn)營者。

（2）云上應(yīng)用密碼保障系統(tǒng)：針對云上應(yīng)用系統(tǒng)密碼應(yīng)用的密碼保障系統(tǒng)的建設(shè)，該部分建設(shè)的責(zé)任主體為云上應(yīng)用的運(yùn)營者。

其次，在云平臺密碼保障系統(tǒng)建設(shè)過程中，最重要的一點(diǎn)就是要梳理重要數(shù)據(jù)信息的流向和承載實(shí)體，明確其范圍和保護(hù)對象，如圖2 所示。

圖2 重要數(shù)據(jù)信息流向和承載實(shí)體Fig.2 Important data information flow and bearing entity

2 云密碼服務(wù)需求分析

云計(jì)算場景密碼應(yīng)用需求主要包括以下5 個方面：密碼資源池需求、統(tǒng)一密碼服務(wù)需求、密鑰隔離安全需求、身份鑒別需求、本地?cái)?shù)據(jù)安全需求。

2.1 密碼資源池需求

云平臺為租戶提供加解密、簽名驗(yàn)簽等云密碼服務(wù)，實(shí)際中不可能為每個租戶配置單獨(dú)的物理密碼產(chǎn)品。當(dāng)業(yè)務(wù)擴(kuò)展時(shí)通常需要添加或者升級新密碼設(shè)備，安全擴(kuò)容是需考慮的重要因素，尤其應(yīng)用頻繁變化時(shí)，依靠增加密碼設(shè)備的傳統(tǒng)擴(kuò)展方案難度較大，無法做到按需彈性擴(kuò)展。因此，云平臺需要池化的密碼資源，為租戶提供虛擬的密碼服務(wù)[1]。

2.2 統(tǒng)一密碼服務(wù)需求

云租戶業(yè)務(wù)應(yīng)用種類繁多，用戶量大，關(guān)鍵數(shù)據(jù)復(fù)雜多樣，安全機(jī)制不一致，為密碼應(yīng)用和管理帶來難度。需對云平臺上所有業(yè)務(wù)應(yīng)用提供統(tǒng)一的、多租戶的密碼服務(wù)能力，對各類密碼服務(wù)接口、服務(wù)訂購、應(yīng)用調(diào)用、平臺運(yùn)行等進(jìn)行統(tǒng)一管理，提供多租戶管理、密碼資源管理等。

2.3 密鑰隔離安全需求

云技術(shù)采用了虛化技術(shù)，融合了軟硬件資源，主機(jī)和網(wǎng)絡(luò)邊界相對于傳統(tǒng)系統(tǒng)變得模糊，風(fēng)險(xiǎn)不但來自南北流量，還來自東西流量，云上應(yīng)用安全風(fēng)險(xiǎn)也隨之增加，需對其提供密鑰安全管理功能，包括密鑰存儲、更新、遷移等，尤其云平臺和云租戶之間、云租戶與云租戶之間的密鑰需做安全隔離[2]。

2.4 身份鑒別需求

由于云計(jì)算泛在接入的特點(diǎn)，云平臺用戶終端數(shù)量巨大，形態(tài)多樣，不同安全級別的數(shù)據(jù)和服務(wù)充斥于云環(huán)境中，為保證云環(huán)境中數(shù)據(jù)安全性，云端服務(wù)應(yīng)對訪問者身份進(jìn)行鑒別，防止非授權(quán)訪問。

2.5 數(shù)據(jù)安全需求

云計(jì)算提供海量數(shù)據(jù)存儲與訪問，數(shù)據(jù)落地后在物理環(huán)境中的保護(hù)十分重要。需建立數(shù)據(jù)加密存儲和傳輸機(jī)制，保障數(shù)據(jù)存儲和傳輸安全。數(shù)據(jù)加密方案有塊存儲加密、對象存儲加密、數(shù)據(jù)庫加密、磁盤加密、文件加密等。

3 云密碼服務(wù)應(yīng)用測評點(diǎn)

3.1 網(wǎng)絡(luò)和通信層面測評

網(wǎng)絡(luò)和通信層面，在用戶和云平臺之間通信鏈路部署SSL VPN，實(shí)現(xiàn)基于密碼技術(shù)的身份鑒別、數(shù)據(jù)傳輸機(jī)密性和完整性保護(hù)；在云平臺機(jī)房和災(zāi)備機(jī)房之間部署IPSec VPN，保證通信數(shù)據(jù)的機(jī)密性和完整性。測評點(diǎn)設(shè)置如圖3 所示。

圖3 云平臺網(wǎng)絡(luò)和通信層面商用密碼應(yīng)用測評點(diǎn)Fig.3 Commercial password application evaluation sites at cloud platform network and communication level

測評需提供的支撐證明包括但不限于不同網(wǎng)絡(luò)通道的網(wǎng)絡(luò)抓包文件（協(xié)議分析）、VPN 網(wǎng)關(guān)配置截圖（算法和配置）、數(shù)字證書、產(chǎn)品商密認(rèn)證證書等。

3.2 設(shè)備和計(jì)算層面測評

設(shè)備和計(jì)算層面，在遠(yuǎn)程運(yùn)維通道部署SSL VPN，保證運(yùn)維用戶身份鑒別、數(shù)據(jù)傳輸機(jī)密性和完整性；部署國密堡壘機(jī)對設(shè)備進(jìn)行統(tǒng)一運(yùn)維；本地運(yùn)維用戶通過UKEY 身份鑒別后登錄設(shè)備，保證其身份真實(shí)性。測評點(diǎn)設(shè)置如圖4 所示。

圖4 云平臺設(shè)備和計(jì)算層面商用密碼應(yīng)用測評點(diǎn)Fig.4 Commercial password application evaluation sites at the cloud platform device and computing level

測評需提供的支撐證明包括但不限于遠(yuǎn)程管理通道的網(wǎng)絡(luò)抓包文件（協(xié)議分析）、堡壘機(jī)產(chǎn)品身份鑒別（算法和配置）、數(shù)字證書、產(chǎn)品商密認(rèn)證證書等。

3.3 應(yīng)用和數(shù)據(jù)層面測評

應(yīng)用和數(shù)據(jù)層面，對PC 終端管理員用戶采用UKEY+數(shù)字證書的方式實(shí)現(xiàn)身份鑒別，包括云平臺管理員和租戶的云計(jì)算資源管理員，測評點(diǎn)設(shè)置如圖5 所示。

圖5 云平臺應(yīng)用和數(shù)據(jù)安全層面商用密碼應(yīng)用測評點(diǎn)Fig.5 Cloud platform application and data security level commercial password application evaluation site

對于移動終端用戶，采用手機(jī)盾協(xié)同簽名的方式進(jìn)行身份鑒別。協(xié)同簽名依托于密鑰分割技術(shù)，將密鑰分割為客戶端密鑰分量與服務(wù)端密鑰分量2部分，二者各自獨(dú)立分開存儲，確保密鑰安全。簽名時(shí)，服務(wù)端和客戶端分別計(jì)算各自的簽名結(jié)果，服務(wù)端將中間結(jié)果傳送給客戶端，由客戶端完成數(shù)字簽名的合成，即服務(wù)端和客戶端協(xié)同進(jìn)行簽名操作。測評點(diǎn)設(shè)置如圖6 所示。

圖6 云平臺應(yīng)用和數(shù)據(jù)安全層面商用密碼應(yīng)用測評點(diǎn)Fig.6 Cloud platform application and data security level commercial password application evaluation points

應(yīng)用層面的數(shù)據(jù)安全防護(hù)，首先需要識別應(yīng)用和數(shù)據(jù)層面中的關(guān)鍵業(yè)務(wù)和重要數(shù)據(jù)，包括管理員用戶身份鑒別信息、平臺鏡像文件、租戶快照文件、租鏡像文件等敏感信息等，由租戶應(yīng)用系統(tǒng)調(diào)用密碼資源對數(shù)據(jù)進(jìn)行存儲機(jī)密性和完整性保護(hù)。測評點(diǎn)設(shè)置如圖7 所示。

圖7 云租戶應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲安全的商用密碼技術(shù)Fig.7 Cloud tenant applications and data security commercial cryptography for key data storage security

測評需要提供的支撐證明包括但不限于身份鑒別的實(shí)現(xiàn)過程證明、數(shù)據(jù)安全保護(hù)的實(shí)現(xiàn)證明（傳輸文件、數(shù)據(jù)庫等）、國密算法工具機(jī)密性/完整性保護(hù)計(jì)算結(jié)果驗(yàn)證截圖、數(shù)字證書、產(chǎn)品商密認(rèn)證證書等。

3.4 云密碼服務(wù)密鑰管理測評

密鑰管理也是密碼技應(yīng)用的重要內(nèi)容，密鑰的安全性是決定密碼系統(tǒng)安全性的關(guān)鍵因素，無論是密產(chǎn)品還是密碼應(yīng)用過程中必須管理和保護(hù)好密鑰。根據(jù)云服務(wù)商資源類型不同，云計(jì)算服務(wù)模式可分為基礎(chǔ)設(shè)施即服務(wù)（laaS）、平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）3 類，針對這3 類云服務(wù)模式給出了各種場景下密碼技術(shù)需求和密鑰管理需求[3]，如表1 所示。

表1 云服務(wù)不同模式下密碼技術(shù)及密鑰管理需求對照Tab.1 Comparison of cryptographic technology and key management requirements in different modes of cloud services

云計(jì)算環(huán)境下，云平臺及云租戶信息系統(tǒng)的密鑰體系應(yīng)根據(jù)密碼應(yīng)用需求在密碼方案中明確并實(shí)施落實(shí)。密評需針對密鑰全生命周期管理進(jìn)行考核。

云平臺自身重要環(huán)節(jié)的密鑰管理建議參考：

（1）加密密鑰應(yīng)在專門的密鑰生成系統(tǒng)中生成，密鑰數(shù)據(jù)必須密文存儲且與云平臺其他數(shù)據(jù)存儲分離，關(guān)鍵密鑰數(shù)據(jù)還應(yīng)存儲在安全介質(zhì)中；

（2）應(yīng)采用密鑰隔離手段，確保云平臺使用的密鑰和用戶使用的密鑰不在同一密鑰管理系統(tǒng)進(jìn)行管理；

（3）對于云平臺提供的密鑰管理服務(wù)，應(yīng)采用嚴(yán)格的鑒別機(jī)制，確保只有具備該服務(wù)權(quán)限的用戶才能對其密鑰管理系統(tǒng)進(jìn)行配置；

（4）應(yīng)確保用戶在云平臺中使用密鑰時(shí)，處于獨(dú)立安全環(huán)境中或用戶租用的密鑰管理系統(tǒng)中。

4 云密碼服務(wù)密評注意事項(xiàng)

4.1 應(yīng)用和數(shù)據(jù)層面測評對象確定

云平臺訪問對象包括云租戶、云平臺管理員、遠(yuǎn)程運(yùn)維人員3 類，其業(yè)務(wù)操作類型為業(yè)務(wù)訪問、虛擬資源管理和調(diào)度、設(shè)備運(yùn)維，由此可梳理出3 條云平臺業(yè)務(wù)信息流：租戶通過網(wǎng)絡(luò)訪問云資源區(qū)、云平臺管理員訪問云管平臺、遠(yuǎn)程運(yùn)維人員訪問安全管理區(qū)進(jìn)行設(shè)備運(yùn)維。涉及的重要數(shù)據(jù)包括鑒別數(shù)據(jù)、快照、鏡像數(shù)據(jù)、日志審計(jì)數(shù)據(jù)、關(guān)鍵配置數(shù)據(jù)等，根據(jù)重要數(shù)據(jù)信息流向，從機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性4 個方面，對以上各個環(huán)節(jié)進(jìn)行分析確定應(yīng)用和數(shù)據(jù)層面的測評對象。

4.2 密評支撐中完全評估和部分評估

云平臺為云上應(yīng)用提供了GB/T 39786-2021 中的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全，甚至于應(yīng)用和數(shù)據(jù)安全等層面在內(nèi)的密碼支撐。因此云上應(yīng)用部分的測評結(jié)論需依賴于云平臺的測評結(jié)果，如圖8 所示。

圖8 云平臺與云上應(yīng)用評估Fig.8 Cloud platform and cloud application evaluation

云上應(yīng)用密評時(shí)，應(yīng)重點(diǎn)關(guān)注應(yīng)用本身在各個安全層面的密碼應(yīng)用情況。對于被完全評估和被部分評估的支撐能力及測評結(jié)論需根據(jù)實(shí)際情況決定，具體情況可參考《商用密碼應(yīng)用安全性評估FAQ（第二版）》。

4.3 云平臺的密評責(zé)任和范圍

云平臺系統(tǒng)密碼應(yīng)用較為復(fù)雜，一般分為2 個層面，一是云平臺系統(tǒng)為滿足自身安全所采用的密碼技術(shù)；二是云租戶通過調(diào)用云平臺提供的密碼服務(wù)為自身業(yè)務(wù)應(yīng)用提供密碼保障。因此，對云上應(yīng)用進(jìn)行密評時(shí)，原則上需完成2 部分測評工作：

（1）對云平臺自身密碼應(yīng)用的測評，該部分測評責(zé)任主體為云平臺運(yùn)營者。

（2）對云上應(yīng)用系統(tǒng)密碼應(yīng)用的測評，該部分測評責(zé)任主體為云上應(yīng)用運(yùn)營者。

同時(shí)，原則上：

（1）云平臺通過密評后，云上應(yīng)用系統(tǒng)才能通過密評；

（2）云平臺的安全級別應(yīng)不低于云上應(yīng)用系統(tǒng)。

4.4 虛擬機(jī)遷移安全測評

云資源管理應(yīng)用虛擬機(jī)遷移保護(hù)，主要涉及到虛擬機(jī)資源在跨物理機(jī)遷移時(shí)，需保證虛擬資源遷移時(shí)的機(jī)密性和完整性，所以在宿主機(jī)內(nèi)部需配置硬件或者軟件密碼模塊，協(xié)助云平臺完成虛擬資源的安全遷移。測評時(shí)需考慮虛擬資源跨物理節(jié)點(diǎn)遷移時(shí)的機(jī)密性和完整性保護(hù)。

4.5 云平臺密評合規(guī)和實(shí)戰(zhàn)需綜合權(quán)衡

根據(jù)綜合性合規(guī)要求，需對密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)的合規(guī)性、有效性和正確性進(jìn)行考核，但在實(shí)戰(zhàn)層面，在考慮安全的同時(shí)，也要確保系統(tǒng)的易用性和穩(wěn)定性。比如云租戶公眾用戶層面，建議采用兼容傳輸加密。在通過定制PC 客戶端APP 實(shí)現(xiàn)國密SSL 加密通道的同時(shí)，兼容瀏覽器、第三方客戶端的國際算法SSL 加密通道，實(shí)現(xiàn)“國密”與“國際”雙標(biāo)支持。

5 結(jié)語

隨著云技術(shù)不斷發(fā)展，云計(jì)算應(yīng)用落地進(jìn)程加快，加速了數(shù)據(jù)的流通、匯聚、處理和挖掘，提升了生產(chǎn)效率，同時(shí)，云安全態(tài)勢日益嚴(yán)峻，急需升級安全解決方案，以應(yīng)對云環(huán)境安全威脅挑戰(zhàn)。本文對云密碼服務(wù)保障系統(tǒng)建設(shè)和測評進(jìn)行了研究，分析了云密碼服務(wù)的應(yīng)用需求，設(shè)計(jì)了云密碼服務(wù)應(yīng)用測評點(diǎn)，著重描述了云服務(wù)密鑰管理測評要求，最后提出了云密碼服務(wù)密評注意事項(xiàng)，為云平臺運(yùn)營者、云租戶開展商用密碼應(yīng)用和安全性評估提供參考和借鑒，助力商用密碼技術(shù)在云計(jì)算場景的應(yīng)用推廣，保障云計(jì)算安全。