中國工業(yè)互聯(lián)網(wǎng)研究院優(yōu)秀科研成果系列展示關鍵技術研究2024年3月中國工業(yè)互聯(lián)網(wǎng)研究院中國工業(yè)互聯(lián)網(wǎng)研究院(一)云服務設施系統(tǒng)架構租戶1租戶2租戶云云2云計算通過2機、存儲、網(wǎng)絡等資源集中起來形成共享的資源池，供云上租戶部署業(yè)務應用3一、云服務設施密碼應用背景(二)商用密碼相關法律法規(guī)政策·國家先后出臺一系列政策法規(guī)、標準規(guī)范推進重要領域商用密碼應用明確關鍵信息基礎設施運營者作為第一責任人，應使用商用密碼對關鍵信息或者委托商用密碼檢測機構開展商用密碼應用安全性評估細化了關鍵信息基礎設施商用密碼應用與安全性評估要求，明確關鍵信息基礎設施應在規(guī)劃、建設等必要階段進行評估，投入運行后，還應當定期開展評估《條例》明確了關鍵信息基礎設施的密碼應用要求，壓實了網(wǎng)絡安全運營者和主管部門有關密碼應用和密碼安全的主體責任，為密碼管理部門開展網(wǎng)絡空間密碼保護工作，尤其是網(wǎng)絡安全檢查和安全審查等工作提供了法律依據(jù)4(二)商用密碼相關法律法規(guī)政策規(guī)范和促進商用密碼技術應用落地《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》提出全面加強網(wǎng)絡和數(shù)據(jù)安全保障體系和能力建設，穩(wěn)妥有序推進商用密碼應用《5G應用“揚帆”行動計劃(2021-2023年)》提出在5G應用中推廣碼應用安全性評估2023年)》提出加快物聯(lián)網(wǎng)領域商用密碼技術和產(chǎn)品的應用推廣，建設面向物聯(lián)網(wǎng)領域的密碼應用檢測商用密碼安全性和應用水平《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》5一、云服務設施密碼應用背景CA■我國已形成完備的商用密碼算法體系2021《信息技術安全技術加密算法祖沖之算法(ZUC)ISO/IEC18033-4/AMD1《加密算法第4部分：序列算法-補篇1》SO/IEC14888-3/AMD1《帶附錄的數(shù)字簽名第3部分：基于離散對數(shù)的機制-補篇1》6(三)云服務設施密碼應用基礎成較為完備的商用密碼產(chǎn)品體系序號1智能密碼鑰匙8安全電子簽章系統(tǒng)2智能IC卡9電子文件密碼應用系統(tǒng)3功能密碼應用互聯(lián)網(wǎng)終端4PCl-E/PCI密碼卡可信計算密碼支撐平臺云服務器密碼機5時間戳服務器對稱密鑰管理產(chǎn)品區(qū)塊鏈密碼模塊6安全門禁系統(tǒng)安全芯片隨機數(shù)發(fā)生器7安全認證網(wǎng)關電子標簽芯片安全瀏覽器密碼模塊中國工業(yè)互聯(lián)網(wǎng)研究院(一)總體架構設計云服務設施通常需要建設和部署云服務設施通常需要建設和部署密碼基礎設施資源池和統(tǒng)一密碼服務平臺為云平臺和云上業(yè)務系統(tǒng)提供全面、統(tǒng)一的密碼服務能力和集中化密碼管控服務運維管理密碼應用運維管理密碼應用可信接入身份認證傳輸安全授權管理網(wǎng)絡可信訪問控制身份認證臺池云服務設施密碼應用架構權限控制數(shù)據(jù)傳輸保護密碼應用終端密碼應用用戶終端手機盾物理環(huán)境安全應用數(shù)據(jù)安全數(shù)據(jù)加密服務身份認證服務設備計算密鑰安全統(tǒng)一密碼服務API/SDK安全通信網(wǎng)絡網(wǎng)絡通信密碼應用簽名驗簽系統(tǒng)密鑰管理系統(tǒng)證書認證系統(tǒng)數(shù)據(jù)加密系統(tǒng)動態(tài)口令系統(tǒng)密碼資源管理密碼應用監(jiān)測瀏覽器時間戳云平合底里云服務器密碼機數(shù)據(jù)二、數(shù)據(jù)(二)云密碼服務平臺關鍵技術中國工業(yè)互聯(lián)網(wǎng)研究院■云密碼服務平臺(統(tǒng)一密碼服務平臺)為云上業(yè)務提供統(tǒng)一、安全、可擴展的密碼服務，為密碼設備提供集中化管理手段，通過統(tǒng)一引擎接口及調(diào)度策略實現(xiàn)密碼設備資源調(diào)度及統(tǒng)一服務的能力密碼應用監(jiān)測子系統(tǒng);密銷使用!(密碼運算：監(jiān)測密碼流量監(jiān)測加解密;簽名驗盛：密碼應用服務子系統(tǒng)數(shù)字信封：協(xié)同簽名服務接口服務接口密碼資源管理子系統(tǒng)密碼資源池組件、服務接口_(服務接口服務接口八服務接口加密解密服務時間戳服務網(wǎng)絡傳輸加密服務身份認證服務簽名驗簽服務系統(tǒng)密碼機服務器系統(tǒng)密碼機服務器服務器8認證體系9(三)云平臺密碼應用關鍵技術電電子門禁記錄數(shù)據(jù)存儲完整性、視頻監(jiān)控記錄數(shù)據(jù)存儲完整性：調(diào)用云服務器密碼機采用HMAC-SM3算法云平臺SSLVPN通道遠程終端互聯(lián)網(wǎng)云密碼基礎設施區(qū)Ⅲ醒ⅢCA證書認證系統(tǒng)O云密碼機身份鑒別a.在云平臺管理員用戶和云平臺之間的b.在云平臺所在機房和災備機房之間遠程運維本地運維中國工業(yè)互聯(lián)網(wǎng)研究院遠程運維本地運維中國工業(yè)互聯(lián)網(wǎng)研究院(三)云平臺密碼應用關鍵技術■設備與計算安全層面登錄堡壘機堡壘機登錄堡壘機堡壘機數(shù)據(jù)和日志防篡改SSL安全通道業(yè)務系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)和日志防篡改SSL安全通道業(yè)務系統(tǒng)數(shù)據(jù)庫統(tǒng)設備鑫網(wǎng)絡設備存儲設備云密碼基礎設施區(qū)b.部署集成國產(chǎn)密碼能力的堡壘機，作為跳板機，對云平臺所有設備進行統(tǒng)一運維管理；國密堡壘機通過集成SSL模塊，支持使用國密TLS協(xié)議；將堡壘機鎖在單獨機柜中，由專人負責運維管理c.使用SSH協(xié)議或RDP協(xié)議實現(xiàn)服務器、數(shù)據(jù)庫遠程管理通道數(shù)據(jù)完整性、機密性保護PC用PC用戶時間戳系統(tǒng)手機盾系統(tǒng)數(shù)據(jù)加密系統(tǒng)簽名驗簽系統(tǒng)云密碼機中國工業(yè)互聯(lián)網(wǎng)研究院(三)云平臺密碼應用關鍵技術身份鑒別：管理員用戶應用智能密碼鑰匙USBKEY(國密瀏覽器)簽名，后端調(diào)用簽名驗簽服務器驗簽●j重要數(shù)據(jù)傳輸機密性、完整性：(身份鑒別、敏感信息、鏡像文件)采用基于SM2算法的公鑰加密和密鑰協(xié)商技術、數(shù)字信封技術實現(xiàn)信源層面“端到端”加密涉及租戶業(yè)務的重要數(shù)據(jù)a.非結構化小數(shù)據(jù)量：通過統(tǒng)一密碼服務平臺調(diào)用服務器密碼機(訪問控制信息完整性)統(tǒng)網(wǎng)關碼服務平臺云密碼資源池云密碼資源池云平臺二、研究任務及完成情況-云服務設施密碼應用關鍵技術CAI中國工業(yè)互聯(lián)網(wǎng)研究院(四)云租戶密碼應用關鍵技術■云平臺需要為云上租戶的業(yè)務應用提供物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全(復用云平臺技術措施),甚至于應用和數(shù)據(jù)安全等層面在內(nèi)的密碼支撐。■云上租戶業(yè)務應用和數(shù)據(jù)安全層面技術：身份鑒別：身份鑒別：a.PC端采用USBKEYb.移動智能終端采用手機盾、協(xié)同簽名的技術方式·重要數(shù)據(jù)傳輸機密性、完整性a.在PC端通過智能密碼鑰匙加密,做數(shù)字信封，服務端通過密碼設備解密b.在客戶端和服務端部署傳輸透明加密系統(tǒng)，實現(xiàn)信源數(shù)據(jù)加密防護，服務端實現(xiàn)自動解密iOs移動用戶數(shù)據(jù)加密系統(tǒng)簽名驗簽系統(tǒng)云密碼機時問堿系統(tǒng)手機盾系統(tǒng)云密碼服臺移動業(yè)務系統(tǒng)密碼資源池的正書認證紫統(tǒng)用戶·重要數(shù)據(jù)存儲機密性、完整性：①業(yè)務層通用保護模式②數(shù)據(jù)庫透明保護模式———數(shù)據(jù)庫驅動模式是較優(yōu)的選擇③驅動/內(nèi)核層數(shù)據(jù)安全存儲④塊/簇層數(shù)據(jù)安全存儲方式(JAVA:JDBCC/C++:OCI、OCCI)三、云服務設施密碼檢測關鍵技術(一)商用密碼應用安全性評估標準■隨著密評試點工作的深入，密評系列標準不斷完善■隨著密評試點工作的深入，密評系列標準不斷完善·國家標準GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》用于指導、規(guī)范信息系統(tǒng)密碼應用的規(guī)劃、建設、運行及測評，為密評工作開展提供基礎性·密碼行業(yè)標準GM/T0115-2021《信息系統(tǒng)密碼應用測評要求》、GM/T0116-2021《信息系統(tǒng)密碼應用測評過程指南》、《商用密碼應用安全性評估量化評估規(guī)則》、《信息系統(tǒng)密碼應用高風險判定指引》規(guī)范了測評要求、測評過程、測評結果以及測評報告等內(nèi)容B中華人民共和國壓家標準言息文主壇術信息系流密碼應月基本要求三三三、云服務設施密碼檢測關鍵技術ChinaAcademyofind(二)商用密碼應用安全性評估程序測評方法*密碼應用安全性評估程序·在系統(tǒng)規(guī)劃階段，網(wǎng)絡運營者依據(jù)GB/T39786標準要求制定商用密碼應用方案，自行或委托開展商用密碼應用安全性評估，未通過密評的，不得作為商用密碼保障系統(tǒng)的建設依據(jù)·在系統(tǒng)建設階段，網(wǎng)絡運營者按照密評方案進行實施，落實商用密碼安全防護措施，建設商用密碼保障系統(tǒng)。系統(tǒng)運行前，自行或委托開展系統(tǒng)的商用密碼應用安全性評估，未通過密評的，要及時完整整改·在系統(tǒng)運行階段，網(wǎng)絡運營者每年至少開展一次商用密碼安全性評估。系統(tǒng)發(fā)生特殊情況時，及時聯(lián)系密評機構開展密評并依據(jù)評估結果進行應急處置。必要時，對密評方案進行修訂，對系統(tǒng)進行升級改造三、云服務設施密碼檢測關鍵技術■通過Wireshark工具抓取客戶端與SSLVPN之間的流量(點A)及云平臺與災備平臺之間的流量(點B)VPN通道云平臺O通過Wireshark抓取客戶端與VPN間流量(點A)、V一或RDP協(xié)議及密碼套件協(xié)商結果一密碼設備15核查點：·簽名兩個數(shù)據(jù)包中的核查點：·簽名兩個數(shù)據(jù)包中的證書信息和簽名值、長度(轉碼)·調(diào)用數(shù)據(jù)包數(shù)據(jù)輸出長度·調(diào)用數(shù)據(jù)包密碼算法標識·密碼機/密鑰表密碼算法截圖注三、云服務設施密碼檢測關鍵技術中國工業(yè)互聯(lián)網(wǎng)研究院(五)應用與數(shù)據(jù)安全密碼檢測關鍵技術■云服務設施應用與數(shù)據(jù)安全層面的測評對象為云平臺本身；身份鑒別測評指標的測評對象為云平臺管理人員；重要數(shù)據(jù)傳輸、存儲機密性和完整性的測評對象為身份鑒別信息和個人敏感信息■通過Wireshark在客戶端抓取從客戶端到服務器的簽名數(shù)據(jù)包(點A