某系統(tǒng)商用密碼應(yīng)用改造設(shè)計(jì)

任興 杜興華

摘要：為響應(yīng)國(guó)家商用密碼政策及密碼應(yīng)用推廣要求，按照商用密碼規(guī)劃試點(diǎn)要求，基于商用密碼應(yīng)用改造需求，設(shè)計(jì)密碼應(yīng)用方案，提供密碼支撐服務(wù)與密碼應(yīng)用服務(wù)。采用合規(guī)的密碼技術(shù)、模塊及產(chǎn)品，設(shè)計(jì)密碼支撐保障體系，并開展密碼應(yīng)用合規(guī)性評(píng)估。

關(guān)鍵詞：商用密碼;密碼技術(shù);合規(guī)性評(píng)估

中圖分類號(hào)：G642? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）15-0062-03

1 背景

2018年中辦國(guó)辦下發(fā)《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》廳字[2018]36號(hào)明確指出，在金融和重要領(lǐng)域等13個(gè)重點(diǎn)方向大力推進(jìn)密碼全面應(yīng)用。為響應(yīng)國(guó)家商用密碼政策及密碼應(yīng)用推廣要求，按照商用密碼規(guī)劃試點(diǎn)要求，對(duì)某系統(tǒng)進(jìn)行商用密碼改造工作，并最終開展密碼使用合規(guī)和安全性評(píng)估。

2 系統(tǒng)現(xiàn)狀分析

2.1 信息資源分析

系統(tǒng)后臺(tái)登陸方式為用戶名、密碼登錄，權(quán)限根據(jù)不同用戶組進(jìn)行分配，統(tǒng)一管理。主要涉及的信息資源是用于后臺(tái)用戶身份認(rèn)證的身份鑒別信息，支撐系統(tǒng)的系統(tǒng)基礎(chǔ)信息以及用于提供給公眾的發(fā)布信息。

2.2 密碼應(yīng)用現(xiàn)狀分析

某系統(tǒng)已經(jīng)通過等級(jí)保護(hù)三級(jí)測(cè)評(píng)，結(jié)合等級(jí)保護(hù)測(cè)評(píng)提出的整改建議，涉及密碼應(yīng)用的環(huán)節(jié)主要是后臺(tái)管理端，目前各類后臺(tái)角色使用HTTP方式登錄系統(tǒng)，在系統(tǒng)登錄時(shí)通過用戶名、口令和驗(yàn)證碼方式進(jìn)行身份鑒別，登錄頁面采用了瀏覽器JS通過MD5實(shí)現(xiàn)提交口令的客戶端加密傳輸。在內(nèi)容管理時(shí)，通過HTTP明文方式進(jìn)行傳輸。

3 商用密碼應(yīng)用改造需求

3.1 網(wǎng)絡(luò)和通信安全改造需求

管理員進(jìn)行某系統(tǒng)后臺(tái)管理操作時(shí)，未對(duì)管理數(shù)據(jù)進(jìn)行加密傳輸，需要對(duì)系統(tǒng)管理數(shù)據(jù)、鑒別信息等采用經(jīng)國(guó)家密碼主管部門認(rèn)可的密碼技術(shù)，保證其在通信過程中數(shù)據(jù)的私密性。

3.2 應(yīng)用系統(tǒng)改造需求

主要存在問題主要是某系統(tǒng)未采用兩種或兩種以上組合的鑒別技術(shù)，未對(duì)重要數(shù)據(jù)進(jìn)行加密傳輸，以及未采用密碼技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

4 商用密碼應(yīng)用改造設(shè)計(jì)

4.1 目標(biāo)

基于商用密碼應(yīng)用改造需求，設(shè)計(jì)某系統(tǒng)密碼應(yīng)用方案總體框架，提供密碼支撐服務(wù)方案與密碼應(yīng)用解決方案設(shè)計(jì);采用合規(guī)的密碼技術(shù)、模塊及產(chǎn)品，設(shè)計(jì)密碼支撐保障體系;建立基于商用密碼的合規(guī)有效的安全系統(tǒng)。

4.2 改造部署圖

在數(shù)據(jù)中心新增部署兩臺(tái)SSL VPN，做雙機(jī)熱備，提供管理終端到服務(wù)器的管理數(shù)據(jù)加密以及基于數(shù)字證書身份認(rèn)證;在應(yīng)用服務(wù)器上部署密碼管理服務(wù)平臺(tái)SDK，提供數(shù)據(jù)安全服務(wù)，為重要數(shù)據(jù)提供完整性、機(jī)密性保護(hù)。在管理終端部署USBKEY及客戶端軟件，完成身份鑒別及網(wǎng)絡(luò)接入認(rèn)證。

4.3 密碼支撐服務(wù)設(shè)計(jì)

基于商用密碼應(yīng)用改造需求進(jìn)行設(shè)計(jì)，框架分為密碼服務(wù)管理平臺(tái)和應(yīng)用層密碼應(yīng)用兩大部分。

密碼服務(wù)管理平臺(tái)為密碼供給方，可以同時(shí)為多個(gè)業(yè)務(wù)應(yīng)用提供密碼支撐服務(wù)，主要由密碼服務(wù)支撐系統(tǒng)、密碼服務(wù)系統(tǒng)和密碼設(shè)備與服務(wù)系統(tǒng)組成，將密碼能力服務(wù)化提供給應(yīng)用系統(tǒng)調(diào)用，簡(jiǎn)化應(yīng)用系統(tǒng)商用密碼改造工作量。

某系統(tǒng)作為應(yīng)用層密碼應(yīng)用，利用密碼管理服務(wù)平臺(tái)提供的密碼支撐服務(wù)，形成使用密碼技術(shù)保護(hù)的具體業(yè)務(wù)處理機(jī)制和流程，設(shè)計(jì)面向具體業(yè)務(wù)的密碼應(yīng)用解決方案，以滿足應(yīng)用和數(shù)據(jù)層面安全要求。

4.4 密碼應(yīng)用服務(wù)設(shè)計(jì)

4.4.1 密碼應(yīng)用架構(gòu)

系統(tǒng)后臺(tái)管理登錄，身份鑒別采用雙因素登錄認(rèn)證，管理終端上采用USBKey，通過SSL VPN進(jìn)行網(wǎng)絡(luò)接入身份鑒別，認(rèn)證通過后實(shí)現(xiàn)管理終端與某系統(tǒng)之間管理數(shù)據(jù)的傳輸加密保護(hù);通過密碼管理服務(wù)平臺(tái)提供的身份鑒別接口，完成管理員后臺(tái)身份鑒別;在服務(wù)器部署密碼管理服務(wù)平臺(tái)密碼服務(wù)SDK，進(jìn)行適配改造，通過密碼管理服務(wù)平臺(tái)數(shù)據(jù)安全策略，實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的存儲(chǔ)加密保護(hù)。

4.4.2 密鑰管理與使用

按照認(rèn)證原則及數(shù)據(jù)傳輸雙證書、一次一密原則，系統(tǒng)使用的密鑰總體劃分為用戶密鑰、平臺(tái)密鑰、通訊密鑰三種基本類型。

系統(tǒng)使用的密鑰包括：

1）管理終端：用戶密鑰、通訊密鑰;

2）應(yīng)用服務(wù)器：簽名密鑰、加密密鑰、通訊密鑰、CA簽名密鑰、CA加密密鑰。

4.4.3 證書管理與使用

采用雙證書管理原則，證書由自建CA簽發(fā)。系統(tǒng)在數(shù)據(jù)傳輸中采用簽名證書與加密證書的雙證書認(rèn)證安全體系，簽名證書用于數(shù)字簽名驗(yàn)證，加密證書用于密鑰協(xié)商。

證書包括管理終端的用戶證書 、系統(tǒng)的證書、密碼管理服務(wù)平臺(tái)的服務(wù)平臺(tái)證書。

4.4.4 密碼應(yīng)用關(guān)鍵流程設(shè)計(jì)

1）身份認(rèn)證流程

①將管理員證書通過離線導(dǎo)入方式導(dǎo)進(jìn)SSL VPN;

②當(dāng)后臺(tái)管理員訪問后臺(tái)時(shí)，首先提交身份認(rèn)證信息;

③SSL VPN根據(jù)管理員提交的身份認(rèn)證信息進(jìn)行身份認(rèn)證;

④將認(rèn)證結(jié)果返回至管理員客戶端;

⑤如認(rèn)證通過，則建立連接，對(duì)后臺(tái)進(jìn)行訪問;

⑥如認(rèn)證失敗，則無法建立連接，拒絕后臺(tái)進(jìn)行訪問。

2）簽名驗(yàn)簽流程

①管理員提交信息，調(diào)用密碼服務(wù)SDK對(duì)提交信息進(jìn)行摘要處理，得到消息摘要;

②密碼服務(wù)SDK使用管理員私鑰對(duì)摘要進(jìn)行加密，得到簽名;

③管理員將提交信息和簽名一起發(fā)送到服務(wù)器應(yīng)用服務(wù)器;

④應(yīng)用服務(wù)器使用獲取簽名中管理員公鑰，驗(yàn)證管理員證書有效性，解密簽名，得到摘要信息;

⑤應(yīng)用服務(wù)器根據(jù)提交信息生成摘要信息并對(duì)比接收到的消息摘要和計(jì)算出的消息摘要是否相同。

3）數(shù)據(jù)加密流程

數(shù)據(jù)加密分為數(shù)據(jù)庫存儲(chǔ)加密和應(yīng)用傳輸數(shù)據(jù)加密。

①數(shù)據(jù)庫加密流程

A.調(diào)用密碼服務(wù)系統(tǒng)的數(shù)據(jù)加密SDK接口，發(fā)起寫入數(shù)據(jù)操作;

B.數(shù)據(jù)加密SDK向密碼服務(wù)系統(tǒng)的API網(wǎng)關(guān)發(fā)起獲取數(shù)據(jù)密鑰請(qǐng)求;

C.API網(wǎng)關(guān)向密碼服務(wù)系統(tǒng)的身份認(rèn)證服務(wù)發(fā)出身份認(rèn)證請(qǐng)求，以便確認(rèn)發(fā)起該請(qǐng)求的用戶身份;

D.身份認(rèn)證服務(wù)根據(jù)相關(guān)信息確認(rèn)用戶身份有效性和確認(rèn)用戶權(quán)限后，返回結(jié)果;

E.API網(wǎng)關(guān)確認(rèn)用戶身份正確后，向密碼服務(wù)系統(tǒng)的密鑰管理服務(wù)發(fā)起獲取數(shù)據(jù)密鑰請(qǐng)求;

F.密鑰管理系統(tǒng)的密鑰管理服務(wù)獲取密鑰密文及屬性信息，完成待分發(fā)密鑰封裝，返回結(jié)果;

G.密碼服務(wù)系統(tǒng)的密鑰管理服務(wù)返回獲取數(shù)據(jù)密鑰請(qǐng)求結(jié)果;

H.API網(wǎng)關(guān)返回獲取數(shù)據(jù)密鑰請(qǐng)求結(jié)果;

I.數(shù)據(jù)加密SDK校驗(yàn)、解密數(shù)據(jù)密鑰封裝，提取出數(shù)據(jù)密鑰;

J.數(shù)據(jù)加密SDK向密碼服務(wù)系統(tǒng)的API網(wǎng)關(guān)發(fā)起獲取完整性校驗(yàn)密鑰請(qǐng)求;

K.API網(wǎng)關(guān)向密碼服務(wù)系統(tǒng)的身份認(rèn)證服務(wù)發(fā)出身份認(rèn)證請(qǐng)求，以便確認(rèn)發(fā)起該請(qǐng)求的用戶身份;

L.身份認(rèn)證服務(wù)根據(jù)相關(guān)信息確認(rèn)用戶身份有效性和確認(rèn)用戶權(quán)限后，返回結(jié)果;

M.API網(wǎng)關(guān)確認(rèn)用戶身份正確后，向密碼服務(wù)系統(tǒng)的密鑰管理服務(wù)發(fā)起獲取數(shù)據(jù)密鑰請(qǐng)求;

N.密鑰管理系統(tǒng)的密鑰管理服務(wù)獲取密鑰密文及屬性信息，完成待分發(fā)密鑰封裝，返回結(jié)果;

O.密碼服務(wù)系統(tǒng)的密鑰管理服務(wù)返回獲取數(shù)據(jù)密鑰請(qǐng)求結(jié)果;

P.API網(wǎng)關(guān)返回獲取完整性校驗(yàn)密鑰請(qǐng)求結(jié)果;

Q.數(shù)據(jù)加密SDK校驗(yàn)、解密完整性校驗(yàn)密鑰封裝，提取出完整性校驗(yàn)密鑰;

R.數(shù)據(jù)加密SDK使用數(shù)據(jù)加密密鑰和完整性校驗(yàn)密鑰完成數(shù)據(jù)加密，返回加密結(jié)果;

S.接收到寫入數(shù)據(jù)的結(jié)果。

②應(yīng)用數(shù)據(jù)加密流程

應(yīng)用加密通過密碼服務(wù)SDK調(diào)用密碼管理服務(wù)平臺(tái)基礎(chǔ)密碼服務(wù)接口采用數(shù)字信封方式實(shí)現(xiàn)，加密流程描述如下：

A.將需要提交數(shù)據(jù)作為參數(shù)，調(diào)用密碼服務(wù)SDK數(shù)字辛信封接口;

B.密碼服務(wù)SDK調(diào)用密碼管理服務(wù)平臺(tái)基礎(chǔ)密碼服務(wù)，生成數(shù)字信封，返回瀏覽器;

C.瀏覽器將數(shù)字信封發(fā)送至應(yīng)用服務(wù)器;

D.應(yīng)用服務(wù)器通過調(diào)用密碼服務(wù)SDK接口，解析數(shù)字信封，獲取明文數(shù)據(jù)，完成相應(yīng)業(yè)務(wù)處理。

5 結(jié)束語

通過對(duì)該系統(tǒng)的現(xiàn)狀以及密碼應(yīng)用現(xiàn)狀分析，得出該系統(tǒng)的商用密碼應(yīng)用改造需求。采用合規(guī)的密碼技術(shù)、模塊及產(chǎn)品構(gòu)建體系化的密碼支撐服務(wù)與密碼應(yīng)用服務(wù)，滿足商用密碼應(yīng)用合規(guī)性要求。合規(guī)性分析如下表所示。

參考文獻(xiàn)：

[1] 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[Z].GB/T 20984.

[2] 通用密碼服務(wù)接口規(guī)范[Z].GM/T 0019.

[3] 證書應(yīng)用綜合服務(wù)接口規(guī)范[Z].GM/T 0020.

[4] SSL VPN技術(shù)規(guī)范[Z].GM/T 0024.

[5] 信息系統(tǒng)密碼應(yīng)用基本要求[Z].GM/T 0054-2018

[6] 金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022 年）[Z].廳字[2018]36號(hào).

【通聯(lián)編輯：代影】