◆李冠軍
(北京得安信息技術(shù)有限公司 北京 100032)
密碼服務(wù)平臺解決方案
◆李冠軍
(北京得安信息技術(shù)有限公司 北京 100032)
隨著安全問題越來越受到關(guān)注,越來越多的業(yè)務(wù)系統(tǒng)采用密碼技術(shù)來保障信息安全,本文分析了信息系統(tǒng)面臨的信息安全問題和解決方案,重點分析了如何在越來越復(fù)雜的信息系統(tǒng)中建立建設(shè)統(tǒng)一的密鑰管理、密碼運(yùn)算的解決方案,解決身份認(rèn)證、通信安全、數(shù)據(jù)安全等方面安全問題。
密碼服務(wù)平臺;信息系統(tǒng)安全等級保護(hù);商用密碼技術(shù);密碼設(shè)備
隨著信息技術(shù)的發(fā)展,人類步入信息化、網(wǎng)絡(luò)化的時代,促進(jìn)了社會的發(fā)展和進(jìn)步,給人們的工作、生活帶來了極大的便利,也使我們對信息系統(tǒng)的依賴性越來越強(qiáng),所以保障信息安全的重要性不言而喻。如何在既保證信息安全性的情況下,又實現(xiàn)業(yè)務(wù)系統(tǒng)的互聯(lián)互通和避免重復(fù)建設(shè)投資,這就需要我們在密碼設(shè)備管理和密鑰管理方面進(jìn)行相應(yīng)的設(shè)計和研究,保證安全性和節(jié)約性。
傳統(tǒng)的信息系統(tǒng),采用服務(wù)器密碼機(jī)、簽名驗簽服務(wù)器等作為身份認(rèn)證、密鑰存儲和密碼運(yùn)算的硬件設(shè)備,具有較高的安全性。但是,隨著信息系統(tǒng)的安全建設(shè)越來越多,同樣也面臨著對密碼基礎(chǔ)設(shè)施的重復(fù)開發(fā)、重復(fù)投資等問題;各個信息系統(tǒng)之間密鑰管理體系不同、安全標(biāo)準(zhǔn)不統(tǒng)一,阻礙信息化建設(shè)互聯(lián)互通等問題。
本文首先分析了信息系統(tǒng)的整體安全架構(gòu),然后重點分析了如何在越來越復(fù)雜的信息系統(tǒng)中建立建設(shè)統(tǒng)一的密鑰管理、密碼運(yùn)算的解決方案,解決身份認(rèn)證、通信安全、數(shù)據(jù)安全等方面安全問題。
根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》[1],信息系統(tǒng)的安全技術(shù)體系包括物理安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、主機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)備份/恢復(fù)安全等環(huán)節(jié)。密碼技術(shù)是實現(xiàn)身份認(rèn)證和數(shù)據(jù)安全的重要手段,因此可以采用信息系統(tǒng)安全等級保護(hù)的框架進(jìn)行密碼服務(wù)平臺的安全設(shè)計和實施。
密碼技術(shù)[2,3,4]是信息安全的核心技術(shù)之一,用于保護(hù)信息的保密性、完整性、鑒別性和不可抵賴性等。在移動互聯(lián)網(wǎng)和移動終端中,涉及到身份鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、抗抵賴等安全需求,應(yīng)采用加密算法、數(shù)字簽名、消息鑒別碼等密碼技術(shù)實現(xiàn)信息安全的保障要求。
在信息系統(tǒng)中需要建立統(tǒng)一、規(guī)范和高效的安全基礎(chǔ)設(shè)施-密管平臺。
提供靈活的密碼服務(wù)組件和接口,從根本上解決信息系統(tǒng)項目開發(fā)中密碼基礎(chǔ)設(shè)施的重復(fù)開發(fā)、重復(fù)投資等問題。
建立完善的密鑰管理體系,提供規(guī)范的密鑰管理基礎(chǔ)服務(wù),對信息系統(tǒng)中涉及的各類密鑰實現(xiàn)生命周期的全程管理,全面提升應(yīng)用系統(tǒng)的安全等級。
對密鑰管理和密碼運(yùn)算的開發(fā)接口實現(xiàn)統(tǒng)一封裝和定制,能夠支持應(yīng)用系統(tǒng)開發(fā)中對密鑰管理、信息加密、完整性校驗等功能的靈活調(diào)用,提供多操作系統(tǒng)、多密碼協(xié)議、多應(yīng)用層次的加密軟件包,平臺支持國內(nèi)主流安全廠商的密碼設(shè)備,屏蔽不同廠商的底層密碼實現(xiàn)細(xì)節(jié),提高應(yīng)用系統(tǒng)的開發(fā)效率和運(yùn)行維護(hù)效率。
2.1 支持國產(chǎn)密碼算法
密碼算法分為對稱密碼算法、非對稱密碼算法和密碼雜湊算法等。其中,對稱密碼算法分為分組密碼算法和序列密碼算法(流密碼)兩大類。在互聯(lián)網(wǎng)領(lǐng)域中,分組密碼算法用于網(wǎng)絡(luò)通信加密、存儲加密等功能;非對稱密碼算法用于密鑰協(xié)商、數(shù)字簽名、身份認(rèn)證等功能;密碼雜湊算法用于消息摘要計算、消息驗證碼等功能。
我國的分組密碼算法標(biāo)準(zhǔn)包括SM1算法、SM4算法;非對稱密碼算法包括SM2算法、SM9算法;密碼雜湊算法包括SM3算法。在安全基礎(chǔ)設(shè)施-密管平臺中,應(yīng)支持我國的密碼算法標(biāo)準(zhǔn),以及相應(yīng)的密碼接口和協(xié)議標(biāo)準(zhǔn)。
2.2 優(yōu)化密鑰管理流程
密管平臺通過密鑰管理流程再造,提高密鑰管理人員的操作效率,原來只能在各信息系統(tǒng)進(jìn)行密鑰管理操作,現(xiàn)在可以統(tǒng)一在密鑰管理系統(tǒng)后臺上進(jìn)行操作,簡單便捷,實現(xiàn)了密鑰管理操作的集中化、流程化、專業(yè)化,提高了人員操作效率。
2.3 統(tǒng)一的安全運(yùn)算標(biāo)準(zhǔn)
原有的信息系統(tǒng)各自的運(yùn)算標(biāo)準(zhǔn)不統(tǒng)一,在系統(tǒng)對接時浪費(fèi)大量時間進(jìn)行算法的聯(lián)調(diào)工作,而密管平臺可以讓信息系統(tǒng)對接時聯(lián)調(diào)工作變得簡單、高效。
2.4 密碼設(shè)備可以靈活替換
密管平臺屏蔽了密碼設(shè)備的技術(shù)實現(xiàn)細(xì)節(jié),可以調(diào)度各個密碼安全廠家的密碼設(shè)備,因此信息系統(tǒng)選擇硬件密碼設(shè)備擁有更大的自由度。
2.5 減少密碼設(shè)備投入
密管平臺可以為多個信息系統(tǒng)提供密碼運(yùn)算服務(wù)和密鑰管理服務(wù),采用平臺集中的方法能夠提供統(tǒng)一強(qiáng)度的密碼保護(hù),提高了密碼設(shè)備的利用效率,并且減少了重復(fù)投資,節(jié)約信息系統(tǒng)信息化的建設(shè)成本。
隨著信息技術(shù)的飛速發(fā)展,信息系統(tǒng)也越來越多樣化、復(fù)雜化。為了保證安全標(biāo)準(zhǔn)的統(tǒng)一,安全管理流程的一致,密鑰數(shù)據(jù)的集中管理,減少密碼設(shè)備的投入,建設(shè)統(tǒng)一的密管平臺已成為信息建設(shè)的趨勢。
[1]GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S].中國標(biāo)準(zhǔn)出版社,2008.
[2]GM/T 0002-2012.SM4分組密碼算法[S].中國標(biāo)準(zhǔn)出版社,2012.
[3]GM/T 0003-2012.SM2橢圓曲線公鑰密碼算法[S].中國標(biāo)準(zhǔn)出版社,2012.
[4]GM/T 0004-2012.SM3密碼雜湊算法[S].中國標(biāo)準(zhǔn)出版社,2012.