云服务设施密码应用及检测关键技术研究

中国工业互联网研究院优秀科研成果系列展示关键技术研究2024年3月中国工业互联网研究院中国工业互联网研究院(一)云服务设施系统架构租户1租户2租户云云2云计算通过2机、存储、网络等资源集中起来形成共享的资源池，供云上租户部署业务应用3一、云服务设施密码应用背景(二)商用密码相关法律法规政策·国家先后出台一系列政策法规、标准规范推进重要领域商用密码应用明确关键信息基础设施运营者作为第一责任人，应使用商用密码对关键信息或者委托商用密码检测机构开展商用密码应用安全性评估细化了关键信息基础设施商用密码应用与安全性评估要求，明确关键信息基础设施应在规划、建设等必要阶段进行评估，投入运行后，还应当定期开展评估《条例》明确了关键信息基础设施的密码应用要求，压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任，为密码管理部门开展网络空间密码保护工作，尤其是网络安全检查和安全审查等工作提供了法律依据4(二)商用密码相关法律法规政策规范和促进商用密码技术应用落地《“十四五”信息通信行业发展规划》提出全面加强网络和数据安全保障体系和能力建设，稳妥有序推进商用密码应用《5G应用“扬帆”行动计划(2021-2023年)》提出在5G应用中推广码应用安全性评估2023年)》提出加快物联网领域商用密码技术和产品的应用推广，建设面向物联网领域的密码应用检测商用密码安全性和应用水平《加强工业互联网安全工作的指导意见》5一、云服务设施密码应用背景CA■我国已形成完备的商用密码算法体系2021《信息技术安全技术加密算法祖冲之算法(ZUC)ISO/IEC18033-4/AMD1《加密算法第4部分：序列算法-补篇1》SO/IEC14888-3/AMD1《带附录的数字签名第3部分：基于离散对数的机制-补篇1》6(三)云服务设施密码应用基础成较为完备的商用密码产品体系序号1智能密码钥匙8安全电子签章系统2智能IC卡9电子文件密码应用系统3功能密码应用互联网终端4PCl-E/PCI密码卡可信计算密码支撑平台云服务器密码机5时间戳服务器对称密钥管理产品区块链密码模块6安全门禁系统安全芯片随机数发生器7安全认证网关电子标签芯片安全浏览器密码模块中国工业互联网研究院(一)总体架构设计云服务设施通常需要建设和部署云服务设施通常需要建设和部署密码基础设施资源池和统一密码服务平台为云平台和云上业务系统提供全面、统一的密码服务能力和集中化密码管控服务运维管理密码应用运维管理密码应用可信接入身份认证传输安全授权管理网络可信访问控制身份认证台池云服务设施密码应用架构权限控制数据传输保护密码应用终端密码应用用户终端手机盾物理环境安全应用数据安全数据加密服务身份认证服务设备计算密钥安全统一密码服务API/SDK安全通信网络网络通信密码应用签名验签系统密钥管理系统证书认证系统数据加密系统动态口令系统密码资源管理密码应用监测浏览器时间戳云平合底里云服务器密码机数据二、数据(二)云密码服务平台关键技术中国工业互联网研究院■云密码服务平台(统一密码服务平台)为云上业务提供统一、安全、可扩展的密码服务，为密码设备提供集中化管理手段，通过统一引擎接口及调度策略实现密码设备资源调度及统一服务的能力密码应用监测子系统;密销使用!(密码运算：监测密码流量监测加解密;签名验盛：密码应用服务子系统数字信封：协同签名服务接口服务接口密码资源管理子系统密码资源池组件、服务接口_(服务接口服务接口八服务接口加密解密服务时间戳服务网络传输加密服务身份认证服务签名验签服务系统密码机服务器系统密码机服务器服务器8认证体系9(三)云平台密码应用关键技术电电子门禁记录数据存储完整性、视频监控记录数据存储完整性：调用云服务器密码机采用HMAC-SM3算法云平台SSLVPN通道远程终端互联网云密码基础设施区Ⅲ醒ⅢCA证书认证系统O云密码机身份鉴别a.在云平台管理员用户和云平台之间的b.在云平台所在机房和灾备机房之间远程运维本地运维中国工业互联网研究院远程运维本地运维中国工业互联网研究院(三)云平台密码应用关键技术■设备与计算安全层面登录堡垒机堡垒机登录堡垒机堡垒机数据和日志防篡改SSL安全通道业务系统数据库数据和日志防篡改SSL安全通道业务系统数据库统设备鑫网络设备存储设备云密码基础设施区b.部署集成国产密码能力的堡垒机，作为跳板机，对云平台所有设备进行统一运维管理；国密堡垒机通过集成SSL模块，支持使用国密TLS协议；将堡垒机锁在单独机柜中，由专人负责运维管理c.使用SSH协议或RDP协议实现服务器、数据库远程管理通道数据完整性、机密性保护PC用PC用户时间戳系统手机盾系统数据加密系统签名验签系统云密码机中国工业互联网研究院(三)云平台密码应用关键技术身份鉴别：管理员用户应用智能密码钥匙USBKEY(国密浏览器)签名，后端调用签名验签服务器验签●j重要数据传输机密性、完整性：(身份鉴别、敏感信息、镜像文件)采用基于SM2算法的公钥加密和密钥协商技术、数字信封技术实现信源层面“端到端”加密涉及租户业务的重要数据a.非结构化小数据量：通过统一密码服务平台调用服务器密码机(访问控制信息完整性)统网关码服务平台云密码资源池云密码资源池云平台二、研究任务及完成情况-云服务设施密码应用关键技术CAI中国工业互联网研究院(四)云租户密码应用关键技术■云平台需要为云上租户的业务应用提供物理和环境安全、网络和通信安全、设备和计算安全(复用云平台技术措施),甚至于应用和数据安全等层面在内的密码支撑。■云上租户业务应用和数据安全层面技术：身份鉴别：身份鉴别：a.PC端采用USBKEYb.移动智能终端采用手机盾、协同签名的技术方式·重要数据传输机密性、完整性a.在PC端通过智能密码钥匙加密,做数字信封，服务端通过密码设备解密b.在客户端和服务端部署传输透明加密系统，实现信源数据加密防护，服务端实现自动解密iOs移动用户数据加密系统签名验签系统云密码机时问碱系统手机盾系统云密码服台移动业务系统密码资源池的正书认证紫统用户·重要数据存储机密性、完整性：①业务层通用保护模式②数据库透明保护模式———数据库驱动模式是较优的选择③驱动/内核层数据安全存储④块/簇层数据安全存储方式(JAVA:JDBCC/C++:OCI、OCCI)三、云服务设施密码检测关键技术(一)商用密码应用安全性评估标准■随着密评试点工作的深入，密评系列标准不断完善■随着密评试点工作的深入，密评系列标准不断完善·国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》用于指导、规范信息系统密码应用的规划、建设、运行及测评，为密评工作开展提供基础性·密码行业标准GM/T0115-2021《信息系统密码应用测评要求》、GM/T0116-2021《信息系统密码应用测评过程指南》、《商用密码应用安全性评估量化评估规则》、《信息系统密码应用高风险判定指引》规范了测评要求、测评过程、测评结果以及测评报告等内容B中华人民共和国压家标准言息文主坛术信息系流密码应月基本要求三三三、云服务设施密码检测关键技术ChinaAcademyofind(二)商用密码应用安全性评估程序测评方法*密码应用安全性评估程序·在系统规划阶段，网络运营者依据GB/T39786标准要求制定商用密码应用方案，自行或委托开展商用密码应用安全性评估，未通过密评的，不得作为商用密码保障系统的建设依据·在系统建设阶段，网络运营者按照密评方案进行实施，落实商用密码安全防护措施，建设商用密码保障系统。系统运行前，自行或委托开展系统的商用密码应用安全性评估，未通过密评的，要及时完整整改·在系统运行阶段，网络运营者每年至少开展一次商用密码安全性评估。系统发生特殊情况时，及时联系密评机构开展密评并依据评估结果进行应急处置。必要时，对密评方案进行修订，对系统进行升级改造三、云服务设施密码检测关键技术■通过Wireshark工具抓取客户端与SSLVPN之间的流量(点A)及云平台与灾备平台之间的流量(点B)VPN通道云平台O通过Wireshark抓取客户端与VPN间流量(点A)、V一或RDP协议及密码套件协商结果一密码设备15核查点：·签名两个数据包中的核查点：·签名两个数据包中的证书信息和签名值、长度(转码)·调用数据包数据输出长度·调用数据包密码算法标识·密码机/密钥表密码算法截图注三、云服务设施密码检测关键技术中国工业互联网研究院(五)应用与数据安全密码检测关键技术■云服务设施应用与数据安全层面的测评对象为云平台本身；身份鉴别测评指标的测评对象为云平台管理人员；重要数据传输、存储机密性和完整性的测评对象为身份鉴别信息和个人敏感信息■通过Wireshark在客户端抓取从客户端到服务器的签名数据包(点A