密碼服務(wù)平臺解決方案

◆李冠軍

（北京得安信息技術(shù)有限公司 北京 100032）

密碼服務(wù)平臺解決方案

◆李冠軍

（北京得安信息技術(shù)有限公司 北京 100032）

隨著安全問題越來越受到關(guān)注，越來越多的業(yè)務(wù)系統(tǒng)采用密碼技術(shù)來保障信息安全，本文分析了信息系統(tǒng)面臨的信息安全問題和解決方案，重點分析了如何在越來越復(fù)雜的信息系統(tǒng)中建立建設(shè)統(tǒng)一的密鑰管理、密碼運(yùn)算的解決方案，解決身份認(rèn)證、通信安全、數(shù)據(jù)安全等方面安全問題。

密碼服務(wù)平臺；信息系統(tǒng)安全等級保護(hù)；商用密碼技術(shù)；密碼設(shè)備

0 前言

隨著信息技術(shù)的發(fā)展，人類步入信息化、網(wǎng)絡(luò)化的時代，促進(jìn)了社會的發(fā)展和進(jìn)步，給人們的工作、生活帶來了極大的便利，也使我們對信息系統(tǒng)的依賴性越來越強(qiáng)，所以保障信息安全的重要性不言而喻。如何在既保證信息安全性的情況下，又實現(xiàn)業(yè)務(wù)系統(tǒng)的互聯(lián)互通和避免重復(fù)建設(shè)投資，這就需要我們在密碼設(shè)備管理和密鑰管理方面進(jìn)行相應(yīng)的設(shè)計和研究，保證安全性和節(jié)約性。

傳統(tǒng)的信息系統(tǒng)，采用服務(wù)器密碼機(jī)、簽名驗簽服務(wù)器等作為身份認(rèn)證、密鑰存儲和密碼運(yùn)算的硬件設(shè)備，具有較高的安全性。但是，隨著信息系統(tǒng)的安全建設(shè)越來越多，同樣也面臨著對密碼基礎(chǔ)設(shè)施的重復(fù)開發(fā)、重復(fù)投資等問題；各個信息系統(tǒng)之間密鑰管理體系不同、安全標(biāo)準(zhǔn)不統(tǒng)一，阻礙信息化建設(shè)互聯(lián)互通等問題。

本文首先分析了信息系統(tǒng)的整體安全架構(gòu)，然后重點分析了如何在越來越復(fù)雜的信息系統(tǒng)中建立建設(shè)統(tǒng)一的密鑰管理、密碼運(yùn)算的解決方案，解決身份認(rèn)證、通信安全、數(shù)據(jù)安全等方面安全問題。

1 信息系統(tǒng)的安全架構(gòu)

根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》[1]，信息系統(tǒng)的安全技術(shù)體系包括物理安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、主機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)備份/恢復(fù)安全等環(huán)節(jié)。密碼技術(shù)是實現(xiàn)身份認(rèn)證和數(shù)據(jù)安全的重要手段，因此可以采用信息系統(tǒng)安全等級保護(hù)的框架進(jìn)行密碼服務(wù)平臺的安全設(shè)計和實施。

密碼技術(shù)[2，3，4]是信息安全的核心技術(shù)之一，用于保護(hù)信息的保密性、完整性、鑒別性和不可抵賴性等。在移動互聯(lián)網(wǎng)和移動終端中，涉及到身份鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、抗抵賴等安全需求，應(yīng)采用加密算法、數(shù)字簽名、消息鑒別碼等密碼技術(shù)實現(xiàn)信息安全的保障要求。

2 密管平臺信息系統(tǒng)安全解決方案

在信息系統(tǒng)中需要建立統(tǒng)一、規(guī)范和高效的安全基礎(chǔ)設(shè)施-密管平臺。

提供靈活的密碼服務(wù)組件和接口，從根本上解決信息系統(tǒng)項目開發(fā)中密碼基礎(chǔ)設(shè)施的重復(fù)開發(fā)、重復(fù)投資等問題。

建立完善的密鑰管理體系，提供規(guī)范的密鑰管理基礎(chǔ)服務(wù)，對信息系統(tǒng)中涉及的各類密鑰實現(xiàn)生命周期的全程管理，全面提升應(yīng)用系統(tǒng)的安全等級。

對密鑰管理和密碼運(yùn)算的開發(fā)接口實現(xiàn)統(tǒng)一封裝和定制，能夠支持應(yīng)用系統(tǒng)開發(fā)中對密鑰管理、信息加密、完整性校驗等功能的靈活調(diào)用，提供多操作系統(tǒng)、多密碼協(xié)議、多應(yīng)用層次的加密軟件包，平臺支持國內(nèi)主流安全廠商的密碼設(shè)備，屏蔽不同廠商的底層密碼實現(xiàn)細(xì)節(jié)，提高應(yīng)用系統(tǒng)的開發(fā)效率和運(yùn)行維護(hù)效率。

2.1 支持國產(chǎn)密碼算法

密碼算法分為對稱密碼算法、非對稱密碼算法和密碼雜湊算法等。其中，對稱密碼算法分為分組密碼算法和序列密碼算法（流密碼）兩大類。在互聯(lián)網(wǎng)領(lǐng)域中，分組密碼算法用于網(wǎng)絡(luò)通信加密、存儲加密等功能；非對稱密碼算法用于密鑰協(xié)商、數(shù)字簽名、身份認(rèn)證等功能；密碼雜湊算法用于消息摘要計算、消息驗證碼等功能。

我國的分組密碼算法標(biāo)準(zhǔn)包括SM1算法、SM4算法；非對稱密碼算法包括SM2算法、SM9算法；密碼雜湊算法包括SM3算法。在安全基礎(chǔ)設(shè)施-密管平臺中，應(yīng)支持我國的密碼算法標(biāo)準(zhǔn)，以及相應(yīng)的密碼接口和協(xié)議標(biāo)準(zhǔn)。

2.2 優(yōu)化密鑰管理流程

密管平臺通過密鑰管理流程再造，提高密鑰管理人員的操作效率，原來只能在各信息系統(tǒng)進(jìn)行密鑰管理操作，現(xiàn)在可以統(tǒng)一在密鑰管理系統(tǒng)后臺上進(jìn)行操作，簡單便捷，實現(xiàn)了密鑰管理操作的集中化、流程化、專業(yè)化，提高了人員操作效率。

2.3 統(tǒng)一的安全運(yùn)算標(biāo)準(zhǔn)

原有的信息系統(tǒng)各自的運(yùn)算標(biāo)準(zhǔn)不統(tǒng)一，在系統(tǒng)對接時浪費(fèi)大量時間進(jìn)行算法的聯(lián)調(diào)工作，而密管平臺可以讓信息系統(tǒng)對接時聯(lián)調(diào)工作變得簡單、高效。

2.4 密碼設(shè)備可以靈活替換

密管平臺屏蔽了密碼設(shè)備的技術(shù)實現(xiàn)細(xì)節(jié)，可以調(diào)度各個密碼安全廠家的密碼設(shè)備，因此信息系統(tǒng)選擇硬件密碼設(shè)備擁有更大的自由度。

2.5 減少密碼設(shè)備投入

密管平臺可以為多個信息系統(tǒng)提供密碼運(yùn)算服務(wù)和密鑰管理服務(wù)，采用平臺集中的方法能夠提供統(tǒng)一強(qiáng)度的密碼保護(hù)，提高了密碼設(shè)備的利用效率，并且減少了重復(fù)投資，節(jié)約信息系統(tǒng)信息化的建設(shè)成本。

3 總結(jié)

隨著信息技術(shù)的飛速發(fā)展，信息系統(tǒng)也越來越多樣化、復(fù)雜化。為了保證安全標(biāo)準(zhǔn)的統(tǒng)一，安全管理流程的一致，密鑰數(shù)據(jù)的集中管理，減少密碼設(shè)備的投入，建設(shè)統(tǒng)一的密管平臺已成為信息建設(shè)的趨勢。

[1]GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S].中國標(biāo)準(zhǔn)出版社，2008.

[2]GM/T 0002-2012.SM4分組密碼算法[S].中國標(biāo)準(zhǔn)出版社，2012.

[3]GM/T 0003-2012.SM2橢圓曲線公鑰密碼算法[S].中國標(biāo)準(zhǔn)出版社，2012.

[4]GM/T 0004-2012.SM3密碼雜湊算法[S].中國標(biāo)準(zhǔn)出版社，2012.