云服務(wù)設(shè)施密碼應(yīng)用及檢測(cè)關(guān)鍵技術(shù)研究

中國(guó)工業(yè)互聯(lián)網(wǎng)研究院優(yōu)秀科研成果系列展示關(guān)鍵技術(shù)研究2024年3月中國(guó)工業(yè)互聯(lián)網(wǎng)研究院中國(guó)工業(yè)互聯(lián)網(wǎng)研究院(一)云服務(wù)設(shè)施系統(tǒng)架構(gòu)租戶1租戶2租戶云云2云計(jì)算通過2機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等資源集中起來形成共享的資源池，供云上租戶部署業(yè)務(wù)應(yīng)用3一、云服務(wù)設(shè)施密碼應(yīng)用背景(二)商用密碼相關(guān)法律法規(guī)政策·國(guó)家先后出臺(tái)一系列政策法規(guī)、標(biāo)準(zhǔn)規(guī)范推進(jìn)重要領(lǐng)域商用密碼應(yīng)用明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者作為第一責(zé)任人，應(yīng)使用商用密碼對(duì)關(guān)鍵信息或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估細(xì)化了關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用與安全性評(píng)估要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)在規(guī)劃、建設(shè)等必要階段進(jìn)行評(píng)估，投入運(yùn)行后，還應(yīng)當(dāng)定期開展評(píng)估《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求，壓實(shí)了網(wǎng)絡(luò)安全運(yùn)營(yíng)者和主管部門有關(guān)密碼應(yīng)用和密碼安全的主體責(zé)任，為密碼管理部門開展網(wǎng)絡(luò)空間密碼保護(hù)工作，尤其是網(wǎng)絡(luò)安全檢查和安全審查等工作提供了法律依據(jù)4(二)商用密碼相關(guān)法律法規(guī)政策規(guī)范和促進(jìn)商用密碼技術(shù)應(yīng)用落地《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》提出全面加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全保障體系和能力建設(shè)，穩(wěn)妥有序推進(jìn)商用密碼應(yīng)用《5G應(yīng)用“揚(yáng)帆”行動(dòng)計(jì)劃(2021-2023年)》提出在5G應(yīng)用中推廣碼應(yīng)用安全性評(píng)估2023年)》提出加快物聯(lián)網(wǎng)領(lǐng)域商用密碼技術(shù)和產(chǎn)品的應(yīng)用推廣，建設(shè)面向物聯(lián)網(wǎng)領(lǐng)域的密碼應(yīng)用檢測(cè)商用密碼安全性和應(yīng)用水平《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》5一、云服務(wù)設(shè)施密碼應(yīng)用背景CA■我國(guó)已形成完備的商用密碼算法體系2021《信息技術(shù)安全技術(shù)加密算法祖沖之算法(ZUC)ISO/IEC18033-4/AMD1《加密算法第4部分：序列算法-補(bǔ)篇1》SO/IEC14888-3/AMD1《帶附錄的數(shù)字簽名第3部分：基于離散對(duì)數(shù)的機(jī)制-補(bǔ)篇1》6(三)云服務(wù)設(shè)施密碼應(yīng)用基礎(chǔ)成較為完備的商用密碼產(chǎn)品體系序號(hào)1智能密碼鑰匙8安全電子簽章系統(tǒng)2智能IC卡9電子文件密碼應(yīng)用系統(tǒng)3功能密碼應(yīng)用互聯(lián)網(wǎng)終端4PCl-E/PCI密碼卡可信計(jì)算密碼支撐平臺(tái)云服務(wù)器密碼機(jī)5時(shí)間戳服務(wù)器對(duì)稱密鑰管理產(chǎn)品區(qū)塊鏈密碼模塊6安全門禁系統(tǒng)安全芯片隨機(jī)數(shù)發(fā)生器7安全認(rèn)證網(wǎng)關(guān)電子標(biāo)簽芯片安全瀏覽器密碼模塊中國(guó)工業(yè)互聯(lián)網(wǎng)研究院(一)總體架構(gòu)設(shè)計(jì)云服務(wù)設(shè)施通常需要建設(shè)和部署云服務(wù)設(shè)施通常需要建設(shè)和部署密碼基礎(chǔ)設(shè)施資源池和統(tǒng)一密碼服務(wù)平臺(tái)為云平臺(tái)和云上業(yè)務(wù)系統(tǒng)提供全面、統(tǒng)一的密碼服務(wù)能力和集中化密碼管控服務(wù)運(yùn)維管理密碼應(yīng)用運(yùn)維管理密碼應(yīng)用可信接入身份認(rèn)證傳輸安全授權(quán)管理網(wǎng)絡(luò)可信訪問控制身份認(rèn)證臺(tái)池云服務(wù)設(shè)施密碼應(yīng)用架構(gòu)權(quán)限控制數(shù)據(jù)傳輸保護(hù)密碼應(yīng)用終端密碼應(yīng)用用戶終端手機(jī)盾物理環(huán)境安全應(yīng)用數(shù)據(jù)安全數(shù)據(jù)加密服務(wù)身份認(rèn)證服務(wù)設(shè)備計(jì)算密鑰安全統(tǒng)一密碼服務(wù)API/SDK安全通信網(wǎng)絡(luò)網(wǎng)絡(luò)通信密碼應(yīng)用簽名驗(yàn)簽系統(tǒng)密鑰管理系統(tǒng)證書認(rèn)證系統(tǒng)數(shù)據(jù)加密系統(tǒng)動(dòng)態(tài)口令系統(tǒng)密碼資源管理密碼應(yīng)用監(jiān)測(cè)瀏覽器時(shí)間戳云平合底里云服務(wù)器密碼機(jī)數(shù)據(jù)二、數(shù)據(jù)(二)云密碼服務(wù)平臺(tái)關(guān)鍵技術(shù)中國(guó)工業(yè)互聯(lián)網(wǎng)研究院■云密碼服務(wù)平臺(tái)(統(tǒng)一密碼服務(wù)平臺(tái))為云上業(yè)務(wù)提供統(tǒng)一、安全、可擴(kuò)展的密碼服務(wù)，為密碼設(shè)備提供集中化管理手段，通過統(tǒng)一引擎接口及調(diào)度策略實(shí)現(xiàn)密碼設(shè)備資源調(diào)度及統(tǒng)一服務(wù)的能力密碼應(yīng)用監(jiān)測(cè)子系統(tǒng);密銷使用!(密碼運(yùn)算：監(jiān)測(cè)密碼流量監(jiān)測(cè)加解密;簽名驗(yàn)盛：密碼應(yīng)用服務(wù)子系統(tǒng)數(shù)字信封：協(xié)同簽名服務(wù)接口服務(wù)接口密碼資源管理子系統(tǒng)密碼資源池組件、服務(wù)接口_(服務(wù)接口服務(wù)接口八服務(wù)接口加密解密服務(wù)時(shí)間戳服務(wù)網(wǎng)絡(luò)傳輸加密服務(wù)身份認(rèn)證服務(wù)簽名驗(yàn)簽服務(wù)系統(tǒng)密碼機(jī)服務(wù)器系統(tǒng)密碼機(jī)服務(wù)器服務(wù)器8認(rèn)證體系9(三)云平臺(tái)密碼應(yīng)用關(guān)鍵技術(shù)電電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性、視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)完整性：調(diào)用云服務(wù)器密碼機(jī)采用HMAC-SM3算法云平臺(tái)SSLVPN通道遠(yuǎn)程終端互聯(lián)網(wǎng)云密碼基礎(chǔ)設(shè)施區(qū)Ⅲ醒ⅢCA證書認(rèn)證系統(tǒng)O云密碼機(jī)身份鑒別a.在云平臺(tái)管理員用戶和云平臺(tái)之間的b.在云平臺(tái)所在機(jī)房和災(zāi)備機(jī)房之間遠(yuǎn)程運(yùn)維本地運(yùn)維中國(guó)工業(yè)互聯(lián)網(wǎng)研究院遠(yuǎn)程運(yùn)維本地運(yùn)維中國(guó)工業(yè)互聯(lián)網(wǎng)研究院(三)云平臺(tái)密碼應(yīng)用關(guān)鍵技術(shù)■設(shè)備與計(jì)算安全層面登錄堡壘機(jī)堡壘機(jī)登錄堡壘機(jī)堡壘機(jī)數(shù)據(jù)和日志防篡改SSL安全通道業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)和日志防篡改SSL安全通道業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫統(tǒng)設(shè)備鑫網(wǎng)絡(luò)設(shè)備存儲(chǔ)設(shè)備云密碼基礎(chǔ)設(shè)施區(qū)b.部署集成國(guó)產(chǎn)密碼能力的堡壘機(jī)，作為跳板機(jī)，對(duì)云平臺(tái)所有設(shè)備進(jìn)行統(tǒng)一運(yùn)維管理；國(guó)密堡壘機(jī)通過集成SSL模塊，支持使用國(guó)密TLS協(xié)議；將堡壘機(jī)鎖在單獨(dú)機(jī)柜中，由專人負(fù)責(zé)運(yùn)維管理c.使用SSH協(xié)議或RDP協(xié)議實(shí)現(xiàn)服務(wù)器、數(shù)據(jù)庫遠(yuǎn)程管理通道數(shù)據(jù)完整性、機(jī)密性保護(hù)PC用PC用戶時(shí)間戳系統(tǒng)手機(jī)盾系統(tǒng)數(shù)據(jù)加密系統(tǒng)簽名驗(yàn)簽系統(tǒng)云密碼機(jī)中國(guó)工業(yè)互聯(lián)網(wǎng)研究院(三)云平臺(tái)密碼應(yīng)用關(guān)鍵技術(shù)身份鑒別：管理員用戶應(yīng)用智能密碼鑰匙USBKEY(國(guó)密瀏覽器)簽名，后端調(diào)用簽名驗(yàn)簽服務(wù)器驗(yàn)簽●j重要數(shù)據(jù)傳輸機(jī)密性、完整性：(身份鑒別、敏感信息、鏡像文件)采用基于SM2算法的公鑰加密和密鑰協(xié)商技術(shù)、數(shù)字信封技術(shù)實(shí)現(xiàn)信源層面“端到端”加密涉及租戶業(yè)務(wù)的重要數(shù)據(jù)a.非結(jié)構(gòu)化小數(shù)據(jù)量：通過統(tǒng)一密碼服務(wù)平臺(tái)調(diào)用服務(wù)器密碼機(jī)(訪問控制信息完整性)統(tǒng)網(wǎng)關(guān)碼服務(wù)平臺(tái)云密碼資源池云密碼資源池云平臺(tái)二、研究任務(wù)及完成情況-云服務(wù)設(shè)施密碼應(yīng)用關(guān)鍵技術(shù)CAI中國(guó)工業(yè)互聯(lián)網(wǎng)研究院(四)云租戶密碼應(yīng)用關(guān)鍵技術(shù)■云平臺(tái)需要為云上租戶的業(yè)務(wù)應(yīng)用提供物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全(復(fù)用云平臺(tái)技術(shù)措施),甚至于應(yīng)用和數(shù)據(jù)安全等層面在內(nèi)的密碼支撐。■云上租戶業(yè)務(wù)應(yīng)用和數(shù)據(jù)安全層面技術(shù)：身份鑒別：身份鑒別：a.PC端采用USBKEYb.移動(dòng)智能終端采用手機(jī)盾、協(xié)同簽名的技術(shù)方式·重要數(shù)據(jù)傳輸機(jī)密性、完整性a.在PC端通過智能密碼鑰匙加密,做數(shù)字信封，服務(wù)端通過密碼設(shè)備解密b.在客戶端和服務(wù)端部署傳輸透明加密系統(tǒng)，實(shí)現(xiàn)信源數(shù)據(jù)加密防護(hù)，服務(wù)端實(shí)現(xiàn)自動(dòng)解密iOs移動(dòng)用戶數(shù)據(jù)加密系統(tǒng)簽名驗(yàn)簽系統(tǒng)云密碼機(jī)時(shí)問堿系統(tǒng)手機(jī)盾系統(tǒng)云密碼服臺(tái)移動(dòng)業(yè)務(wù)系統(tǒng)密碼資源池的正書認(rèn)證紫統(tǒng)用戶·重要數(shù)據(jù)存儲(chǔ)機(jī)密性、完整性：①業(yè)務(wù)層通用保護(hù)模式②數(shù)據(jù)庫透明保護(hù)模式———數(shù)據(jù)庫驅(qū)動(dòng)模式是較優(yōu)的選擇③驅(qū)動(dòng)/內(nèi)核層數(shù)據(jù)安全存儲(chǔ)④塊/簇層數(shù)據(jù)安全存儲(chǔ)方式(JAVA:JDBCC/C++:OCI、OCCI)三、云服務(wù)設(shè)施密碼檢測(cè)關(guān)鍵技術(shù)(一)商用密碼應(yīng)用安全性評(píng)估標(biāo)準(zhǔn)■隨著密評(píng)試點(diǎn)工作的深入，密評(píng)系列標(biāo)準(zhǔn)不斷完善■隨著密評(píng)試點(diǎn)工作的深入，密評(píng)系列標(biāo)準(zhǔn)不斷完善·國(guó)家標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》用于指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測(cè)評(píng)，為密評(píng)工作開展提供基礎(chǔ)性·密碼行業(yè)標(biāo)準(zhǔn)GM/T0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》、GM/T0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過程指南》、《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》規(guī)范了測(cè)評(píng)要求、測(cè)評(píng)過程、測(cè)評(píng)結(jié)果以及測(cè)評(píng)報(bào)告等內(nèi)容B中華人民共和國(guó)壓家標(biāo)準(zhǔn)言息文主壇術(shù)信息系流密碼應(yīng)月基本要求三三三、云服務(wù)設(shè)施密碼檢測(cè)關(guān)鍵技術(shù)ChinaAcademyofind(二)商用密碼應(yīng)用安全性評(píng)估程序測(cè)評(píng)方法*密碼應(yīng)用安全性評(píng)估程序·在系統(tǒng)規(guī)劃階段，網(wǎng)絡(luò)運(yùn)營(yíng)者依據(jù)GB/T39786標(biāo)準(zhǔn)要求制定商用密碼應(yīng)用方案，自行或委托開展商用密碼應(yīng)用安全性評(píng)估，未通過密評(píng)的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)·在系統(tǒng)建設(shè)階段，網(wǎng)絡(luò)運(yùn)營(yíng)者按照密評(píng)方案進(jìn)行實(shí)施，落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)。系統(tǒng)運(yùn)行前，自行或委托開展系統(tǒng)的商用密碼應(yīng)用安全性評(píng)估，未通過密評(píng)的，要及時(shí)完整整改·在系統(tǒng)運(yùn)行階段，網(wǎng)絡(luò)運(yùn)營(yíng)者每年至少開展一次商用密碼安全性評(píng)估。系統(tǒng)發(fā)生特殊情況時(shí)，及時(shí)聯(lián)系密評(píng)機(jī)構(gòu)開展密評(píng)并依據(jù)評(píng)估結(jié)果進(jìn)行應(yīng)急處置。必要時(shí)，對(duì)密評(píng)方案進(jìn)行修訂，對(duì)系統(tǒng)進(jìn)行升級(jí)改造三、云服務(wù)設(shè)施密碼檢測(cè)關(guān)鍵技術(shù)■通過Wireshark工具抓取客戶端與SSLVPN之間的流量(點(diǎn)A)及云平臺(tái)與災(zāi)備平臺(tái)之間的流量(點(diǎn)B)VPN通道云平臺(tái)O通過Wireshark抓取客戶端與VPN間流量(點(diǎn)A)、V一或RDP協(xié)議及密碼套件協(xié)商結(jié)果一密碼設(shè)備15核查點(diǎn)：·簽名兩個(gè)數(shù)據(jù)包中的核查點(diǎn)：·簽名兩個(gè)數(shù)據(jù)包中的證書信息和簽名值、長(zhǎng)度(轉(zhuǎn)碼)·調(diào)用數(shù)據(jù)包數(shù)據(jù)輸出長(zhǎng)度·調(diào)用數(shù)據(jù)包密碼算法標(biāo)識(shí)·密碼機(jī)/密鑰表密碼算法截圖注三、云服務(wù)設(shè)施密碼檢測(cè)關(guān)鍵技術(shù)中國(guó)工業(yè)互聯(lián)網(wǎng)研究院(五)應(yīng)用與數(shù)據(jù)安全密碼檢測(cè)關(guān)鍵技術(shù)■云服務(wù)設(shè)施應(yīng)用與數(shù)據(jù)安全層面的測(cè)評(píng)對(duì)象為云平臺(tái)本身；身份鑒別測(cè)評(píng)指標(biāo)的測(cè)評(píng)對(duì)象為云平臺(tái)管理人員；重要數(shù)據(jù)傳輸、存儲(chǔ)機(jī)密性和完整性的測(cè)評(píng)對(duì)象為身份鑒別信息和個(gè)人敏感信息■通過Wireshark在客戶端抓取從客戶端到服務(wù)器的簽名數(shù)據(jù)包(點(diǎn)A