云服務(wù)設(shè)施密碼應(yīng)用及檢測關(guān)鍵技術(shù)研究

中國工業(yè)互聯(lián)網(wǎng)研究院優(yōu)秀科研成果系列展示關(guān)鍵技術(shù)研究2024年3月中國工業(yè)互聯(lián)網(wǎng)研究院中國工業(yè)互聯(lián)網(wǎng)研究院(一)云服務(wù)設(shè)施系統(tǒng)架構(gòu)租戶1租戶2租戶云云2云計(jì)算通過2機(jī)、存儲、網(wǎng)絡(luò)等資源集中起來形成共享的資源池，供云上租戶部署業(yè)務(wù)應(yīng)用3一、云服務(wù)設(shè)施密碼應(yīng)用背景(二)商用密碼相關(guān)法律法規(guī)政策·國家先后出臺一系列政策法規(guī)、標(biāo)準(zhǔn)規(guī)范推進(jìn)重要領(lǐng)域商用密碼應(yīng)用明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者作為第一責(zé)任人，應(yīng)使用商用密碼對關(guān)鍵信息或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估細(xì)化了關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用與安全性評估要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)在規(guī)劃、建設(shè)等必要階段進(jìn)行評估，投入運(yùn)行后，還應(yīng)當(dāng)定期開展評估《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求，壓實(shí)了網(wǎng)絡(luò)安全運(yùn)營者和主管部門有關(guān)密碼應(yīng)用和密碼安全的主體責(zé)任，為密碼管理部門開展網(wǎng)絡(luò)空間密碼保護(hù)工作，尤其是網(wǎng)絡(luò)安全檢查和安全審查等工作提供了法律依據(jù)4(二)商用密碼相關(guān)法律法規(guī)政策規(guī)范和促進(jìn)商用密碼技術(shù)應(yīng)用落地《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》提出全面加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全保障體系和能力建設(shè)，穩(wěn)妥有序推進(jìn)商用密碼應(yīng)用《5G應(yīng)用“揚(yáng)帆”行動計(jì)劃(2021-2023年)》提出在5G應(yīng)用中推廣碼應(yīng)用安全性評估2023年)》提出加快物聯(lián)網(wǎng)領(lǐng)域商用密碼技術(shù)和產(chǎn)品的應(yīng)用推廣，建設(shè)面向物聯(lián)網(wǎng)領(lǐng)域的密碼應(yīng)用檢測商用密碼安全性和應(yīng)用水平《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》5一、云服務(wù)設(shè)施密碼應(yīng)用背景CA■我國已形成完備的商用密碼算法體系2021《信息技術(shù)安全技術(shù)加密算法祖沖之算法(ZUC)ISO/IEC18033-4/AMD1《加密算法第4部分：序列算法-補(bǔ)篇1》SO/IEC14888-3/AMD1《帶附錄的數(shù)字簽名第3部分：基于離散對數(shù)的機(jī)制-補(bǔ)篇1》6(三)云服務(wù)設(shè)施密碼應(yīng)用基礎(chǔ)成較為完備的商用密碼產(chǎn)品體系序號1智能密碼鑰匙8安全電子簽章系統(tǒng)2智能IC卡9電子文件密碼應(yīng)用系統(tǒng)3功能密碼應(yīng)用互聯(lián)網(wǎng)終端4PCl-E/PCI密碼卡可信計(jì)算密碼支撐平臺云服務(wù)器密碼機(jī)5時(shí)間戳服務(wù)器對稱密鑰管理產(chǎn)品區(qū)塊鏈密碼模塊6安全門禁系統(tǒng)安全芯片隨機(jī)數(shù)發(fā)生器7安全認(rèn)證網(wǎng)關(guān)電子標(biāo)簽芯片安全瀏覽器密碼模塊中國工業(yè)互聯(lián)網(wǎng)研究院(一)總體架構(gòu)設(shè)計(jì)云服務(wù)設(shè)施通常需要建設(shè)和部署云服務(wù)設(shè)施通常需要建設(shè)和部署密碼基礎(chǔ)設(shè)施資源池和統(tǒng)一密碼服務(wù)平臺為云平臺和云上業(yè)務(wù)系統(tǒng)提供全面、統(tǒng)一的密碼服務(wù)能力和集中化密碼管控服務(wù)運(yùn)維管理密碼應(yīng)用運(yùn)維管理密碼應(yīng)用可信接入身份認(rèn)證傳輸安全授權(quán)管理網(wǎng)絡(luò)可信訪問控制身份認(rèn)證臺池云服務(wù)設(shè)施密碼應(yīng)用架構(gòu)權(quán)限控制數(shù)據(jù)傳輸保護(hù)密碼應(yīng)用終端密碼應(yīng)用用戶終端手機(jī)盾物理環(huán)境安全應(yīng)用數(shù)據(jù)安全數(shù)據(jù)加密服務(wù)身份認(rèn)證服務(wù)設(shè)備計(jì)算密鑰安全統(tǒng)一密碼服務(wù)API/SDK安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)通信密碼應(yīng)用簽名驗(yàn)簽系統(tǒng)密鑰管理系統(tǒng)證書認(rèn)證系統(tǒng)數(shù)據(jù)加密系統(tǒng)動態(tài)口令系統(tǒng)密碼資源管理密碼應(yīng)用監(jiān)測瀏覽器時(shí)間戳云平合底里云服務(wù)器密碼機(jī)數(shù)據(jù)二、數(shù)據(jù)(二)云密碼服務(wù)平臺關(guān)鍵技術(shù)中國工業(yè)互聯(lián)網(wǎng)研究院■云密碼服務(wù)平臺(統(tǒng)一密碼服務(wù)平臺)為云上業(yè)務(wù)提供統(tǒng)一、安全、可擴(kuò)展的密碼服務(wù)，為密碼設(shè)備提供集中化管理手段，通過統(tǒng)一引擎接口及調(diào)度策略實(shí)現(xiàn)密碼設(shè)備資源調(diào)度及統(tǒng)一服務(wù)的能力密碼應(yīng)用監(jiān)測子系統(tǒng);密銷使用!(密碼運(yùn)算：監(jiān)測密碼流量監(jiān)測加解密;簽名驗(yàn)盛：密碼應(yīng)用服務(wù)子系統(tǒng)數(shù)字信封：協(xié)同簽名服務(wù)接口服務(wù)接口密碼資源管理子系統(tǒng)密碼資源池組件、服務(wù)接口_(服務(wù)接口服務(wù)接口八服務(wù)接口加密解密服務(wù)時(shí)間戳服務(wù)網(wǎng)絡(luò)傳輸加密服務(wù)身份認(rèn)證服務(wù)簽名驗(yàn)簽服務(wù)系統(tǒng)密碼機(jī)服務(wù)器系統(tǒng)密碼機(jī)服務(wù)器服務(wù)器8認(rèn)證體系9(三)云平臺密碼應(yīng)用關(guān)鍵技術(shù)電電子門禁記錄數(shù)據(jù)存儲完整性、視頻監(jiān)控記錄數(shù)據(jù)存儲完整性：調(diào)用云服務(wù)器密碼機(jī)采用HMAC-SM3算法云平臺SSLVPN通道遠(yuǎn)程終端互聯(lián)網(wǎng)云密碼基礎(chǔ)設(shè)施區(qū)Ⅲ醒ⅢCA證書認(rèn)證系統(tǒng)O云密碼機(jī)身份鑒別a.在云平臺管理員用戶和云平臺之間的b.在云平臺所在機(jī)房和災(zāi)備機(jī)房之間遠(yuǎn)程運(yùn)維本地運(yùn)維中國工業(yè)互聯(lián)網(wǎng)研究院遠(yuǎn)程運(yùn)維本地運(yùn)維中國工業(yè)互聯(lián)網(wǎng)研究院(三)云平臺密碼應(yīng)用關(guān)鍵技術(shù)■設(shè)備與計(jì)算安全層面登錄堡壘機(jī)堡壘機(jī)登錄堡壘機(jī)堡壘機(jī)數(shù)據(jù)和日志防篡改SSL安全通道業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)和日志防篡改SSL安全通道業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫統(tǒng)設(shè)備鑫網(wǎng)絡(luò)設(shè)備存儲設(shè)備云密碼基礎(chǔ)設(shè)施區(qū)b.部署集成國產(chǎn)密碼能力的堡壘機(jī)，作為跳板機(jī)，對云平臺所有設(shè)備進(jìn)行統(tǒng)一運(yùn)維管理；國密堡壘機(jī)通過集成SSL模塊，支持使用國密TLS協(xié)議；將堡壘機(jī)鎖在單獨(dú)機(jī)柜中，由專人負(fù)責(zé)運(yùn)維管理c.使用SSH協(xié)議或RDP協(xié)議實(shí)現(xiàn)服務(wù)器、數(shù)據(jù)庫遠(yuǎn)程管理通道數(shù)據(jù)完整性、機(jī)密性保護(hù)PC用PC用戶時(shí)間戳系統(tǒng)手機(jī)盾系統(tǒng)數(shù)據(jù)加密系統(tǒng)簽名驗(yàn)簽系統(tǒng)云密碼機(jī)中國工業(yè)互聯(lián)網(wǎng)研究院(三)云平臺密碼應(yīng)用關(guān)鍵技術(shù)身份鑒別：管理員用戶應(yīng)用智能密碼鑰匙USBKEY(國密瀏覽器)簽名，后端調(diào)用簽名驗(yàn)簽服務(wù)器驗(yàn)簽●j重要數(shù)據(jù)傳輸機(jī)密性、完整性：(身份鑒別、敏感信息、鏡像文件)采用基于SM2算法的公鑰加密和密鑰協(xié)商技術(shù)、數(shù)字信封技術(shù)實(shí)現(xiàn)信源層面“端到端”加密涉及租戶業(yè)務(wù)的重要數(shù)據(jù)a.非結(jié)構(gòu)化小數(shù)據(jù)量：通過統(tǒng)一密碼服務(wù)平臺調(diào)用服務(wù)器密碼機(jī)(訪問控制信息完整性)統(tǒng)網(wǎng)關(guān)碼服務(wù)平臺云密碼資源池云密碼資源池云平臺二、研究任務(wù)及完成情況-云服務(wù)設(shè)施密碼應(yīng)用關(guān)鍵技術(shù)CAI中國工業(yè)互聯(lián)網(wǎng)研究院(四)云租戶密碼應(yīng)用關(guān)鍵技術(shù)■云平臺需要為云上租戶的業(yè)務(wù)應(yīng)用提供物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全(復(fù)用云平臺技術(shù)措施),甚至于應(yīng)用和數(shù)據(jù)安全等層面在內(nèi)的密碼支撐。■云上租戶業(yè)務(wù)應(yīng)用和數(shù)據(jù)安全層面技術(shù)：身份鑒別：身份鑒別：a.PC端采用USBKEYb.移動智能終端采用手機(jī)盾、協(xié)同簽名的技術(shù)方式·重要數(shù)據(jù)傳輸機(jī)密性、完整性a.在PC端通過智能密碼鑰匙加密,做數(shù)字信封，服務(wù)端通過密碼設(shè)備解密b.在客戶端和服務(wù)端部署傳輸透明加密系統(tǒng)，實(shí)現(xiàn)信源數(shù)據(jù)加密防護(hù)，服務(wù)端實(shí)現(xiàn)自動解密iOs移動用戶數(shù)據(jù)加密系統(tǒng)簽名驗(yàn)簽系統(tǒng)云密碼機(jī)時(shí)問堿系統(tǒng)手機(jī)盾系統(tǒng)云密碼服臺移動業(yè)務(wù)系統(tǒng)密碼資源池的正書認(rèn)證紫統(tǒng)用戶·重要數(shù)據(jù)存儲機(jī)密性、完整性：①業(yè)務(wù)層通用保護(hù)模式②數(shù)據(jù)庫透明保護(hù)模式———數(shù)據(jù)庫驅(qū)動模式是較優(yōu)的選擇③驅(qū)動/內(nèi)核層數(shù)據(jù)安全存儲④塊/簇層數(shù)據(jù)安全存儲方式(JAVA:JDBCC/C++:OCI、OCCI)三、云服務(wù)設(shè)施密碼檢測關(guān)鍵技術(shù)(一)商用密碼應(yīng)用安全性評估標(biāo)準(zhǔn)■隨著密評試點(diǎn)工作的深入，密評系列標(biāo)準(zhǔn)不斷完善■隨著密評試點(diǎn)工作的深入，密評系列標(biāo)準(zhǔn)不斷完善·國家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測評，為密評工作開展提供基礎(chǔ)性·密碼行業(yè)標(biāo)準(zhǔn)GM/T0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》、GM/T0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》、《商用密碼應(yīng)用安全性評估量化評估規(guī)則》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》規(guī)范了測評要求、測評過程、測評結(jié)果以及測評報(bào)告等內(nèi)容B中華人民共和國壓家標(biāo)準(zhǔn)言息文主壇術(shù)信息系流密碼應(yīng)月基本要求三三三、云服務(wù)設(shè)施密碼檢測關(guān)鍵技術(shù)ChinaAcademyofind(二)商用密碼應(yīng)用安全性評估程序測評方法*密碼應(yīng)用安全性評估程序·在系統(tǒng)規(guī)劃階段，網(wǎng)絡(luò)運(yùn)營者依據(jù)GB/T39786標(biāo)準(zhǔn)要求制定商用密碼應(yīng)用方案，自行或委托開展商用密碼應(yīng)用安全性評估，未通過密評的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)·在系統(tǒng)建設(shè)階段，網(wǎng)絡(luò)運(yùn)營者按照密評方案進(jìn)行實(shí)施，落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)。系統(tǒng)運(yùn)行前，自行或委托開展系統(tǒng)的商用密碼應(yīng)用安全性評估，未通過密評的，要及時(shí)完整整改·在系統(tǒng)運(yùn)行階段，網(wǎng)絡(luò)運(yùn)營者每年至少開展一次商用密碼安全性評估。系統(tǒng)發(fā)生特殊情況時(shí)，及時(shí)聯(lián)系密評機(jī)構(gòu)開展密評并依據(jù)評估結(jié)果進(jìn)行應(yīng)急處置。必要時(shí)，對密評方案進(jìn)行修訂，對系統(tǒng)進(jìn)行升級改造三、云服務(wù)設(shè)施密碼檢測關(guān)鍵技術(shù)■通過Wireshark工具抓取客戶端與SSLVPN之間的流量(點(diǎn)A)及云平臺與災(zāi)備平臺之間的流量(點(diǎn)B)VPN通道云平臺O通過Wireshark抓取客戶端與VPN間流量(點(diǎn)A)、V一或RDP協(xié)議及密碼套件協(xié)商結(jié)果一密碼設(shè)備15核查點(diǎn)：·簽名兩個數(shù)據(jù)包中的核查點(diǎn)：·簽名兩個數(shù)據(jù)包中的證書信息和簽名值、長度(轉(zhuǎn)碼)·調(diào)用數(shù)據(jù)包數(shù)據(jù)輸出長度·調(diào)用數(shù)據(jù)包密碼算法標(biāo)識·密碼機(jī)/密鑰表密碼算法截圖注三、云服務(wù)設(shè)施密碼檢測關(guān)鍵技術(shù)中國工業(yè)互聯(lián)網(wǎng)研究院(五)應(yīng)用與數(shù)據(jù)安全密碼檢測關(guān)鍵技術(shù)■云服務(wù)設(shè)施應(yīng)用與數(shù)據(jù)安全層面的測評對象為云平臺本身；身份鑒別測評指標(biāo)的測評對象為云平臺管理人員；重要數(shù)據(jù)傳輸、存儲機(jī)密性和完整性的測評對象為身份鑒別信息和個人敏感信息■通過Wireshark在客戶端抓取從客戶端到服務(wù)器的簽名數(shù)據(jù)包(點(diǎn)A