從新基建安全看高速密碼技術(shù)應(yīng)用的發(fā)展

0引言戰(zhàn)爭的形式不止于兵戎相見這一種。網(wǎng)絡(luò)空間早已成為大國較量的另一重要戰(zhàn)場。2020年3月26日，中國國防部發(fā)言人任國強(qiáng)在回應(yīng)記者提問時表示：“長期以來，美國違反國際法和國際關(guān)系基本準(zhǔn)則，對外國政府、企業(yè)和個人實施大規(guī)模、有組織、無差別的網(wǎng)絡(luò)竊密、監(jiān)控和攻擊，是國際社會公認(rèn)的慣犯。從‘維基解密’‘斯諾登事件’‘瑞士加密機(jī)事件’到此次的360公司有關(guān)報告，事實一再證明，在網(wǎng)絡(luò)安全問題上，美方是全球最大的竊密者。我們再次強(qiáng)烈敦促美方立即停止對中方進(jìn)行網(wǎng)絡(luò)竊密和攻擊活動，還中國和世界一個和平、安全、開放、合作的網(wǎng)絡(luò)空間?！?018年12月，中央經(jīng)濟(jì)工作會議在北京舉行，重新定義了基礎(chǔ)設(shè)施建設(shè)。2020年3月，中共中央政治局常務(wù)委員會召開會議，強(qiáng)調(diào)“要加大公共衛(wèi)生服務(wù)、應(yīng)急物資保障領(lǐng)域投入，加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度”。2020年5月，《2020年國務(wù)院政府工作報告》提出，重點支持“兩新一重”建設(shè)。為了適應(yīng)新基建安全需求，建設(shè)密碼應(yīng)用支撐體系。本著基礎(chǔ)性、系統(tǒng)性、前瞻性的原則，積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用，以適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。1網(wǎng)絡(luò)空間安全威脅日益嚴(yán)峻2020年3月，中國網(wǎng)絡(luò)安全公司360宣布，通過該公司旗下“360安全大腦”的調(diào)查分析，發(fā)現(xiàn)美國中央情報局（CIA）的網(wǎng)絡(luò)攻擊組織“APT-C-39（APT，高級長期威脅）”對中國進(jìn)行了長達(dá)11年的網(wǎng)絡(luò)攻擊滲透。在此期間，中國航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個單位均遭到不同程度的攻擊。2017年，維基解密向全球披露了8716份來自美國中央情報局（CIA）網(wǎng)絡(luò)情報中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求。而這次的公布中，包含了核心武器文件——“Vault7（穹窿7）”。“360安全大腦”通過對泄漏的“Vault7（穹窿7）”網(wǎng)絡(luò)武器資料的研究，并對其深入分析和溯源，發(fā)現(xiàn)了與其關(guān)聯(lián)的一系列針對中國航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等長達(dá)十一年的定向攻擊活動。而這些攻擊活動最早可以追溯到2008年，并主要集中在北京、廣東、浙江等省市。而上述這些定向攻擊活動都?xì)w結(jié)于一個鮮少被外界曝光的涉美APT組織——“APT-C-39”。“APT-C-39”組織在針對中國航空航天與科研機(jī)構(gòu)的攻擊中，主要是圍繞這些機(jī)構(gòu)的系統(tǒng)開發(fā)人員來進(jìn)行定向打擊。而這些開發(fā)人員主要從事的是航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。這項攻擊不僅僅是針對中國國內(nèi)航空航天領(lǐng)域，同時還覆蓋百家海外及地區(qū)的商營航空公司。根據(jù)推測：該組織在過去長達(dá)十一年的滲透攻擊里，通過攻破或許早已掌握到了中國乃至國際航空的精密信息，甚至不排除已實時追蹤定位全球的航班實時動態(tài)、飛機(jī)飛行軌跡、乘客信息、貿(mào)易貨運(yùn)等相關(guān)情報。2密碼打造新基建的安全基石2020年4月20日，國家發(fā)改委首次明確了“新基建”的范圍，包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施三個方面。新型基礎(chǔ)設(shè)施是以新發(fā)展理念為引領(lǐng)；以技術(shù)創(chuàng)新為驅(qū)動；以信息網(wǎng)絡(luò)為基礎(chǔ)，面向高質(zhì)量發(fā)展需要，提供數(shù)字轉(zhuǎn)型、智能升級、融合創(chuàng)新等服務(wù)的基礎(chǔ)設(shè)施體系。在“新基建”的浪潮下，面對國內(nèi)外安全環(huán)境的深刻變化和日益嚴(yán)峻的安全形勢，以及在網(wǎng)絡(luò)安全領(lǐng)域加快構(gòu)建自主可控、安全可靠的信息技術(shù)體系的戰(zhàn)略目標(biāo)，我們要做的不僅僅是“新基建”的推進(jìn)和落地，更重要的是如何保障各類基礎(chǔ)設(shè)施體系，尤其是關(guān)乎國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施的高質(zhì)量建設(shè)：如何讓新型基礎(chǔ)設(shè)施運(yùn)營者理解、重視基礎(chǔ)設(shè)施所面臨的各種安全威脅，又如何去探索、正視“新基建”環(huán)境下新的安全挑戰(zhàn)。這是所有基礎(chǔ)設(shè)施運(yùn)營者及相關(guān)安全人員必須思考的問題，也是“新基建”高質(zhì)量發(fā)展的迫切需求。新型基礎(chǔ)設(shè)施建設(shè)，包括5G基站建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)等七大領(lǐng)域；新基建場景化的行業(yè)應(yīng)用，主要包括車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、企業(yè)上云、遠(yuǎn)程醫(yī)療、智慧城市、智慧醫(yī)療、智慧教育、智慧交通、智慧工廠、智能媒體、智能家居、服務(wù)機(jī)器人、移動設(shè)備/UAV、自動駕駛、新能源汽車、電力等能源行業(yè)。2020年，新冠肺炎疫情發(fā)生以來，包括人工智能在內(nèi)的“新基建”按下快進(jìn)鍵，服務(wù)機(jī)器人市場正迎來新的發(fā)展機(jī)遇。由此可見，新型基礎(chǔ)設(shè)施以網(wǎng)絡(luò)和數(shù)據(jù)為核心，本質(zhì)上是信息數(shù)字化的基礎(chǔ)設(shè)施。新基建的進(jìn)程提速，在促進(jìn)相關(guān)產(chǎn)品發(fā)展、提升競爭軟實力的同時，也為我國網(wǎng)絡(luò)信息安全帶來了全新的挑戰(zhàn)。新基建的“主動安全”需求，針對從端到云、從日志到流量、從設(shè)備到系統(tǒng)的數(shù)據(jù)范疇擴(kuò)大需求，針對集成情報、文本語義分析、機(jī)器學(xué)習(xí)的智能模型進(jìn)階需求，針對本地監(jiān)測、自定義規(guī)則響應(yīng)、開放生態(tài)環(huán)境的響應(yīng)能力升級需求，突出了從事后補(bǔ)救到安全前置，從局部分割到全面防護(hù)，從被動安全到主動安全的轉(zhuǎn)變。保障網(wǎng)絡(luò)空間的安全秩序，是新基建安全有序運(yùn)轉(zhuǎn)的關(guān)鍵環(huán)節(jié)，而密碼在構(gòu)建網(wǎng)絡(luò)空間信任、保障網(wǎng)絡(luò)空間秩序中提供核心技術(shù)和基礎(chǔ)支撐。密碼應(yīng)用與新基建的深度融合，構(gòu)筑成數(shù)字經(jīng)濟(jì)發(fā)展的“護(hù)城河”和“城墻”，使新基建具有“主動免疫力”，支撐國家經(jīng)濟(jì)增長。密碼與新基建的融合邏輯關(guān)系，如圖1所示。圖1密碼與新基建的邏輯關(guān)系綜上，新基建的密碼應(yīng)用業(yè)務(wù)發(fā)展領(lǐng)域，重點宜突出在與基礎(chǔ)設(shè)施的融合、與行業(yè)應(yīng)用的融合這兩個方面，真正落實到“主動發(fā)現(xiàn)、智能分析、提前預(yù)警、及時響應(yīng)”的能力要求上，把密碼打造成新基建的安全基石。3密碼與新基建的深度融合密碼應(yīng)用是數(shù)據(jù)安全從封閉走向共享開放的關(guān)鍵。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心資產(chǎn)，隨著我國數(shù)據(jù)安全法草案的公布，全面的數(shù)據(jù)安全保障能力是新一代網(wǎng)絡(luò)安全框架不可缺少的組成部分。在大數(shù)據(jù)安全防護(hù)和共享開放方面，密碼技術(shù)起到關(guān)鍵作用。主要包括：數(shù)據(jù)加密傳輸，如VPN網(wǎng)關(guān)、應(yīng)用層數(shù)據(jù)傳輸加密網(wǎng)關(guān)；數(shù)據(jù)存儲加密，如數(shù)據(jù)庫加密、文件加密；大數(shù)據(jù)密態(tài)分析，如關(guān)鍵字段加密、同態(tài)加密；數(shù)據(jù)共享與交換，如區(qū)塊鏈、多方計算等。密碼應(yīng)用是5G通信與IT網(wǎng)絡(luò)安全融合的關(guān)鍵。5G網(wǎng)絡(luò)運(yùn)行在IT化的基礎(chǔ)設(shè)施上，需要密碼技術(shù)保障基礎(chǔ)設(shè)施軟硬件平臺的安全可信以及虛擬機(jī)與容器的可信；面向行業(yè)的業(yè)務(wù)應(yīng)用，也需要基于密碼技術(shù)實現(xiàn)對數(shù)據(jù)和平臺訪問的持續(xù)認(rèn)證，實現(xiàn)對訪問行為的細(xì)粒度管控。密碼應(yīng)用打破工業(yè)互聯(lián)網(wǎng)信息孤島，實現(xiàn)遠(yuǎn)程安全協(xié)同。密碼技術(shù)的應(yīng)用可以有效的實現(xiàn)工業(yè)現(xiàn)場環(huán)境、低功耗模式等工業(yè)系統(tǒng)端級別設(shè)備與訪問用戶身份認(rèn)證，系統(tǒng)中不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)的傳輸認(rèn)證和傳輸加密，關(guān)鍵工藝參數(shù)等敏感數(shù)據(jù)的存儲安全需求；在橫向隔離的工業(yè)網(wǎng)絡(luò)中，基于密碼技術(shù)支撐實現(xiàn)安全的遠(yuǎn)程接入，包括終端接入、運(yùn)維接入等，打破信息孤島，實現(xiàn)遠(yuǎn)程協(xié)同的業(yè)務(wù)需要，推動工業(yè)互聯(lián)網(wǎng)信息交換。密碼應(yīng)用促進(jìn)新一代云基礎(chǔ)設(shè)施安全框架的整合。在云安全方面，面向云的密碼服務(wù)是一種新的安全功能交付模式，是云計算技術(shù)與身份認(rèn)證、授權(quán)訪問、傳輸加密、存儲加密等密碼技術(shù)的深度融合。如何實現(xiàn)密碼能力的虛擬化、資源化、服務(wù)化成為密碼發(fā)展的重要挑戰(zhàn)。在新一代網(wǎng)絡(luò)安全框架中，整合了面向政務(wù)云、行業(yè)云及公有云的密碼產(chǎn)品、密碼使用策略、密碼服務(wù)接口和服務(wù)流程，作為云基礎(chǔ)結(jié)構(gòu)安全的重要組件，密鑰管理系統(tǒng)、密碼服務(wù)系統(tǒng)、密碼設(shè)備管理系統(tǒng)將實現(xiàn)統(tǒng)一安全服務(wù)。為了適應(yīng)新基建安全需求，需要建設(shè)密碼應(yīng)用支撐體系（如圖2所示），構(gòu)建涵蓋硬件設(shè)備、軟件模塊、密碼系統(tǒng)、密碼應(yīng)用、密碼支撐、密碼測評、應(yīng)用創(chuàng)新等領(lǐng)域的密碼應(yīng)用技術(shù)體系，積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用，適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。圖2新基建的密碼應(yīng)用支撐體系4超高速密碼，全力為新基建護(hù)航密碼在新基建的融合應(yīng)用，急需超高速密碼技術(shù)的支撐。針對5G應(yīng)用、智慧城市等超大數(shù)據(jù)流量、超大用戶數(shù)量等復(fù)雜安全應(yīng)用場景，需要提供超高性能的加密速度，能滿足運(yùn)營商級別的網(wǎng)絡(luò)數(shù)據(jù)加密傳輸、超大容量數(shù)據(jù)安全存儲、超大規(guī)模AI大數(shù)據(jù)安全計算。超高速密碼技術(shù)產(chǎn)品，應(yīng)能通過向核心網(wǎng)絡(luò)設(shè)備提供多線程的異步高速密碼運(yùn)算服務(wù)，保證敏感數(shù)據(jù)的機(jī)密性、完整性和抗抵賴性；采用國家密碼標(biāo)準(zhǔn)SM2、SM3、SM4算法，滿足等級保護(hù)、密碼應(yīng)用測評的相關(guān)要求；產(chǎn)品設(shè)計符合國密局發(fā)布的《密碼模塊安全技術(shù)要求》等技術(shù)要求與規(guī)范。結(jié)合密碼在智能網(wǎng)聯(lián)汽車綜合業(yè)務(wù)中的應(yīng)用場景，智能網(wǎng)聯(lián)汽車系統(tǒng)在日常運(yùn)行和管理過程中，在用戶身份鑒別、設(shè)備身份鑒別、重要數(shù)據(jù)（訪問控制信息、日志記錄、車輛采集和控制信息等）的保密性和完整性保護(hù)方面，都需要采用密碼技術(shù)，重點在于解決人、車、云三者之間的通信如何防止信息泄露、篡改等安全問題，更突出的是解決海量用戶、車輛信息在云端快速處理的問題，急需超高速密碼技術(shù)產(chǎn)品。結(jié)合密碼在物聯(lián)網(wǎng)中的應(yīng)用場景，重點保護(hù)的是對分散設(shè)備信息進(jìn)行自動采集、數(shù)據(jù)管理、異常數(shù)據(jù)分析以及參數(shù)和控制指令下發(fā)的信息系統(tǒng)。為防范系統(tǒng)經(jīng)過網(wǎng)絡(luò)信道執(zhí)行數(shù)據(jù)采集、參數(shù)和控制指令下發(fā)操作時，通信雙方非授權(quán)主體的假冒，關(guān)鍵信息被截獲、篡改、重用等風(fēng)險，在主站和采集設(shè)備之間的身份鑒別，以及系統(tǒng)重要數(shù)據(jù)在傳輸和存儲過程均需要使用密碼進(jìn)行保密性和完整性保護(hù)。由于物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)的數(shù)據(jù)量巨大、響應(yīng)效率要求高，急需超高速密碼技術(shù)產(chǎn)品，尤其是5G-Iot應(yīng)用場景。5超高速密碼技術(shù)創(chuàng)新的探索2010年以來，國際上為了超大數(shù)據(jù)中心、電信級網(wǎng)絡(luò)干線的信息安全，不斷發(fā)展高速密碼技術(shù)，相對來說，我國起步稍晚。比如AES-XTS分組算法作業(yè)方式在加密存儲方向國際上已應(yīng)用了多年，而我國今年新修訂的分組密碼作業(yè)方式SM4-XTS才剛剛寫入國家標(biāo)準(zhǔn)。近年來，國內(nèi)商密行業(yè)在高速密碼技術(shù)上紛紛加大研究投入，逐漸形成了高速密碼芯片（硬件邏輯電路設(shè)計、專用密碼芯片、通用密碼芯片）、高速密碼模塊（集成式密碼模組、通用型密碼模組）、高性能密碼整機(jī)（CPU專用指令架構(gòu)、GPU指令加速架構(gòu)）等方向的高速密碼生態(tài)圈。北京數(shù)盾信息科技有限公司專注于國產(chǎn)密碼技術(shù)研究、密碼信息安全產(chǎn)品研發(fā)和信息安全整體解決方案，是首批獲得國家密碼管理局認(rèn)定的商用密碼資質(zhì)的單位。擁有雄厚的密碼技術(shù)研發(fā)實力和頂尖的專家團(tuán)隊，獲得雙高、雙軟企業(yè)認(rèn)證，擁有完全自主的知識產(chǎn)權(quán)，取得了10款商用密碼產(chǎn)品證書、12項專利技術(shù)、40項商標(biāo)、34項軟件著作權(quán)。數(shù)盾科技與國內(nèi)知名高校、科研機(jī)構(gòu)及行業(yè)領(lǐng)軍企業(yè)聯(lián)合成立10個研究院和實驗室，建立了加密技術(shù)和信息安全領(lǐng)域產(chǎn)、學(xué)、研一體的研發(fā)與創(chuàng)新體系。形成數(shù)據(jù)加密，國產(chǎn)自主可控，安全平臺等完整的產(chǎn)品體系。數(shù)盾科技一直致力于高速密碼技術(shù)的研究與運(yùn)用，借鑒國際上對高性能計算平臺的架構(gòu)設(shè)計思想、計算單元CPU多核多線程并行的理念，對標(biāo)最前沿的密碼模組技術(shù)架構(gòu)，創(chuàng)新形成了自主知識產(chǎn)權(quán)、具有國際先進(jìn)水平的高速密碼技術(shù)，特別在高速密碼硬件邏輯電路設(shè)計、超高速密碼模組研制上，取得了重大技術(shù)成果。2016年，數(shù)盾科技與華為就高速加密交換機(jī)的研制生產(chǎn)簽署合作框架協(xié)議，于2017年交付華為加密交換機(jī)專用的19.6Gbps網(wǎng)絡(luò)加密交換板（如圖3所示），從當(dāng)時的國密局官網(wǎng)信息、網(wǎng)絡(luò)資料對比看，遙遙領(lǐng)先當(dāng)時國內(nèi)外商密行業(yè)同類產(chǎn)品的最高加密性能2Gbps約十倍多。圖3網(wǎng)絡(luò)加密交換板/華為加密交換機(jī)2018年，數(shù)盾科技與新華三就高速加密路由器的研制生產(chǎn)簽署合作框架協(xié)議，于2019年聯(lián)調(diào)、迭代，2020年1月完成實測50Gbps的雙通道高速加密模組（如圖4所示），以國密局官網(wǎng)信息、網(wǎng)絡(luò)資料對比看，遙遙領(lǐng)先國內(nèi)外商密行業(yè)同類產(chǎn)品的最高加密性能7Gbps（極限加解密速率）約七倍多。2020年4月由新華三完成加密路由器的第一批次整機(jī)試生產(chǎn)，于2020年9月獲得雙通道高速加密模組密碼模塊的產(chǎn)品認(rèn)證證書（如圖5所示）。圖4雙通道高速加密模組/新華三路由器

圖5雙通道高速加密模組的產(chǎn)品認(rèn)證證書雙通道高速加密模組的硬件部分主要由FPGA、密管處理器、算法協(xié)處理器、SRAM、FLASH、噪聲源等組成，外帶智能密碼鑰匙參與密鑰管理；軟件部分，由應(yīng)用接口API模塊、協(xié)議接口模塊、加密模組驅(qū)動模塊、加密模組設(shè)備端主控固件等組成；采用自主設(shè)計的單板雙路并行架構(gòu)（相當(dāng)于高端服務(wù)器的雙CPU架構(gòu)），每一路均使用獨(dú)立、高性能的FPGA集成芯片（能實現(xiàn)比ASIC更高的性能），在每個FPGA中進(jìn)一步采用自主開發(fā)、優(yōu)化架構(gòu)的多路由、高并發(fā)的電路設(shè)計，單個FPGA的最新實現(xiàn)版本共有2個雙通道切換路由內(nèi)核、32個SM4密碼算法計算內(nèi)核（相當(dāng)于單CPU中的32個核）、32個SM3密碼算法計算內(nèi)核。關(guān)鍵技術(shù)點有三：一是國密算法SM3、SM4的硬件電路IP核的優(yōu)化（流水、性能、面積），二是FPGA內(nèi)密碼算法的高并發(fā)調(diào)度電路（切換路由內(nèi)核），三是單板雙路并行架構(gòu)的設(shè)計與硬件兼容性。為了能夠發(fā)揮FPGA芯片的計算性能，接口采用了異步的設(shè)計思想，用戶可以不斷向加密模組發(fā)送加解密指令或者雜湊指令，不需要等運(yùn)算結(jié)束再進(jìn)行下次操作，這樣可以最大化利用加密模組內(nèi)部的算法核心，使所有算法核心可以同時滿負(fù)荷工作，從而達(dá)到較高的加解密性能。每個算法核心處理一個算法請求（SM4加解密或者SM3雜湊），未對算法請求進(jìn)行拆分處理。每次調(diào)用接口會生成一個運(yùn)算請求放入任務(wù)隊列中，當(dāng)驅(qū)動程序的發(fā)送線程檢測到任務(wù)隊列中有運(yùn)算請求時，會根據(jù)不同的運(yùn)算類型組織數(shù)據(jù)格式，并找到當(dāng)前相對比較空閑的算法核，將其編號寫入?yún)f(xié)議頭中，然后驅(qū)動會啟動DMA，將數(shù)據(jù)發(fā)送到FPGA芯片中進(jìn)行處理。FPGA芯片接收到數(shù)據(jù)之后會對協(xié)議頭進(jìn)行解析，根據(jù)不同的算法標(biāo)識和算法核編號，將對應(yīng)的數(shù)據(jù)送到指定的算法核中進(jìn)行運(yùn)算。當(dāng)FPGA芯片完成相應(yīng)的運(yùn)算之后，會啟動DMA將運(yùn)算結(jié)果返回驅(qū)動程序。驅(qū)動程序的接收線程會不斷輪詢DMA完成標(biāo)志，如果DMA標(biāo)志置位表示有FPGA發(fā)送給驅(qū)動的數(shù)據(jù)，驅(qū)動程序接收FPGA傳遞回來的運(yùn)算結(jié)果拷貝到用戶指定的內(nèi)存區(qū)域，然后通知用戶。驅(qū)動程序內(nèi)部實現(xiàn)了負(fù)載均衡算法，可以保證每個算法核上運(yùn)行的任務(wù)數(shù)量大致相同，從而保證性能最大化。雙通道高速加密模組的非對稱密碼性能分析：高速加密模組的SM2加解密功能由主控MCU和SSX1303橢圓曲線密碼算法協(xié)處理器共同完成，SSX1303橢圓曲線密碼算法協(xié)處理器提供橢圓曲線運(yùn)算功能和SM3運(yùn)算功能，其他運(yùn)算過程由主控MCU完成。雙通道高速加密模組的對稱密碼性能分析：當(dāng)進(jìn)行SM3或SM4算法速率測試時，測試程序會循環(huán)調(diào)用SD_Encrypt、SD