从新基建安全看高速密码技术应用的发展

0引言战争的形式不止于兵戎相见这一种。网络空间早已成为大国较量的另一重要战场。2020年3月26日，中国国防部发言人任国强在回应记者提问时表示：“长期以来，美国违反国际法和国际关系基本准则，对外国政府、企业和个人实施大规模、有组织、无差别的网络窃密、监控和攻击，是国际社会公认的惯犯。从‘维基解密’‘斯诺登事件’‘瑞士加密机事件’到此次的360公司有关报告，事实一再证明，在网络安全问题上，美方是全球最大的窃密者。我们再次强烈敦促美方立即停止对中方进行网络窃密和攻击活动，还中国和世界一个和平、安全、开放、合作的网络空间。”2018年12月，中央经济工作会议在北京举行，重新定义了基础设施建设。2020年3月，中共中央政治局常务委员会召开会议，强调“要加大公共卫生服务、应急物资保障领域投入，加快5G网络、数据中心等新型基础设施建设进度”。2020年5月，《2020年国务院政府工作报告》提出，重点支持“两新一重”建设。为了适应新基建安全需求，建设密码应用支撑体系。本着基础性、系统性、前瞻性的原则，积极发展创新领域的新型密码应用，以适应新基建数字化转型与业务发展的需要。1网络空间安全威胁日益严峻2020年3月，中国网络安全公司360宣布，通过该公司旗下“360安全大脑”的调查分析，发现美国中央情报局（CIA）的网络攻击组织“APT-C-39（APT，高级长期威胁）”对中国进行了长达11年的网络攻击渗透。在此期间，中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。2017年，维基解密向全球披露了8716份来自美国中央情报局（CIA）网络情报中心的文件，其中包含涉密文件156份，涵盖了CIA黑客部队的攻击手法、目标、工具的技术规范和要求。而这次的公布中，包含了核心武器文件——“Vault7（穹窿7）”。“360安全大脑”通过对泄漏的“Vault7（穹窿7）”网络武器资料的研究，并对其深入分析和溯源，发现了与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动。而这些攻击活动最早可以追溯到2008年，并主要集中在北京、广东、浙江等省市。而上述这些定向攻击活动都归结于一个鲜少被外界曝光的涉美APT组织——“APT-C-39”。“APT-C-39”组织在针对中国航空航天与科研机构的攻击中，主要是围绕这些机构的系统开发人员来进行定向打击。而这些开发人员主要从事的是航空信息技术有关服务，如航班控制系统服务、货运信息服务、结算分销服务、乘客信息服务等。这项攻击不仅仅是针对中国国内航空航天领域，同时还覆盖百家海外及地区的商营航空公司。根据推测：该组织在过去长达十一年的渗透攻击里，通过攻破或许早已掌握到了中国乃至国际航空的精密信息，甚至不排除已实时追踪定位全球的航班实时动态、飞机飞行轨迹、乘客信息、贸易货运等相关情报。2密码打造新基建的安全基石2020年4月20日，国家发改委首次明确了“新基建”的范围，包括信息基础设施、融合基础设施、创新基础设施三个方面。新型基础设施是以新发展理念为引领；以技术创新为驱动；以信息网络为基础，面向高质量发展需要，提供数字转型、智能升级、融合创新等服务的基础设施体系。在“新基建”的浪潮下，面对国内外安全环境的深刻变化和日益严峻的安全形势，以及在网络安全领域加快构建自主可控、安全可靠的信息技术体系的战略目标，我们要做的不仅仅是“新基建”的推进和落地，更重要的是如何保障各类基础设施体系，尤其是关乎国家安全的关键信息基础设施的高质量建设：如何让新型基础设施运营者理解、重视基础设施所面临的各种安全威胁，又如何去探索、正视“新基建”环境下新的安全挑战。这是所有基础设施运营者及相关安全人员必须思考的问题，也是“新基建”高质量发展的迫切需求。新型基础设施建设，包括5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网等七大领域；新基建场景化的行业应用，主要包括车联网、物联网、企业上云、远程医疗、智慧城市、智慧医疗、智慧教育、智慧交通、智慧工厂、智能媒体、智能家居、服务机器人、移动设备/UAV、自动驾驶、新能源汽车、电力等能源行业。2020年，新冠肺炎疫情发生以来，包括人工智能在内的“新基建”按下快进键，服务机器人市场正迎来新的发展机遇。由此可见，新型基础设施以网络和数据为核心，本质上是信息数字化的基础设施。新基建的进程提速，在促进相关产品发展、提升竞争软实力的同时，也为我国网络信息安全带来了全新的挑战。新基建的“主动安全”需求，针对从端到云、从日志到流量、从设备到系统的数据范畴扩大需求，针对集成情报、文本语义分析、机器学习的智能模型进阶需求，针对本地监测、自定义规则响应、开放生态环境的响应能力升级需求，突出了从事后补救到安全前置，从局部分割到全面防护，从被动安全到主动安全的转变。保障网络空间的安全秩序，是新基建安全有序运转的关键环节，而密码在构建网络空间信任、保障网络空间秩序中提供核心技术和基础支撑。密码应用与新基建的深度融合，构筑成数字经济发展的“护城河”和“城墙”，使新基建具有“主动免疫力”，支撑国家经济增长。密码与新基建的融合逻辑关系，如图1所示。图1密码与新基建的逻辑关系综上，新基建的密码应用业务发展领域，重点宜突出在与基础设施的融合、与行业应用的融合这两个方面，真正落实到“主动发现、智能分析、提前预警、及时响应”的能力要求上，把密码打造成新基建的安全基石。3密码与新基建的深度融合密码应用是数据安全从封闭走向共享开放的关键。数据是数字经济的核心资产，随着我国数据安全法草案的公布，全面的数据安全保障能力是新一代网络安全框架不可缺少的组成部分。在大数据安全防护和共享开放方面，密码技术起到关键作用。主要包括：数据加密传输，如VPN网关、应用层数据传输加密网关；数据存储加密，如数据库加密、文件加密；大数据密态分析，如关键字段加密、同态加密；数据共享与交换，如区块链、多方计算等。密码应用是5G通信与IT网络安全融合的关键。5G网络运行在IT化的基础设施上，需要密码技术保障基础设施软硬件平台的安全可信以及虚拟机与容器的可信；面向行业的业务应用，也需要基于密码技术实现对数据和平台访问的持续认证，实现对访问行为的细粒度管控。密码应用打破工业互联网信息孤岛，实现远程安全协同。密码技术的应用可以有效的实现工业现场环境、低功耗模式等工业系统端级别设备与访问用户身份认证，系统中不同网络速率和连接要求的通信网络的传输认证和传输加密，关键工艺参数等敏感数据的存储安全需求；在横向隔离的工业网络中，基于密码技术支撑实现安全的远程接入，包括终端接入、运维接入等，打破信息孤岛，实现远程协同的业务需要，推动工业互联网信息交换。密码应用促进新一代云基础设施安全框架的整合。在云安全方面，面向云的密码服务是一种新的安全功能交付模式，是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。如何实现密码能力的虚拟化、资源化、服务化成为密码发展的重要挑战。在新一代网络安全框架中，整合了面向政务云、行业云及公有云的密码产品、密码使用策略、密码服务接口和服务流程，作为云基础结构安全的重要组件，密钥管理系统、密码服务系统、密码设备管理系统将实现统一安全服务。为了适应新基建安全需求，需要建设密码应用支撑体系（如图2所示），构建涵盖硬件设备、软件模块、密码系统、密码应用、密码支撑、密码测评、应用创新等领域的密码应用技术体系，积极发展创新领域的新型密码应用，适应新基建数字化转型与业务发展的需要。图2新基建的密码应用支撑体系4超高速密码，全力为新基建护航密码在新基建的融合应用，急需超高速密码技术的支撑。针对5G应用、智慧城市等超大数据流量、超大用户数量等复杂安全应用场景，需要提供超高性能的加密速度，能满足运营商级别的网络数据加密传输、超大容量数据安全存储、超大规模AI大数据安全计算。超高速密码技术产品，应能通过向核心网络设备提供多线程的异步高速密码运算服务，保证敏感数据的机密性、完整性和抗抵赖性；采用国家密码标准SM2、SM3、SM4算法，满足等级保护、密码应用测评的相关要求；产品设计符合国密局发布的《密码模块安全技术要求》等技术要求与规范。结合密码在智能网联汽车综合业务中的应用场景，智能网联汽车系统在日常运行和管理过程中，在用户身份鉴别、设备身份鉴别、重要数据（访问控制信息、日志记录、车辆采集和控制信息等）的保密性和完整性保护方面，都需要采用密码技术，重点在于解决人、车、云三者之间的通信如何防止信息泄露、篡改等安全问题，更突出的是解决海量用户、车辆信息在云端快速处理的问题，急需超高速密码技术产品。结合密码在物联网中的应用场景，重点保护的是对分散设备信息进行自动采集、数据管理、异常数据分析以及参数和控制指令下发的信息系统。为防范系统经过网络信道执行数据采集、参数和控制指令下发操作时，通信双方非授权主体的假冒，关键信息被截获、篡改、重用等风险，在主站和采集设备之间的身份鉴别，以及系统重要数据在传输和存储过程均需要使用密码进行保密性和完整性保护。由于物联网、工业物联网的数据量巨大、响应效率要求高，急需超高速密码技术产品，尤其是5G-Iot应用场景。5超高速密码技术创新的探索2010年以来，国际上为了超大数据中心、电信级网络干线的信息安全，不断发展高速密码技术，相对来说，我国起步稍晚。比如AES-XTS分组算法作业方式在加密存储方向国际上已应用了多年，而我国今年新修订的分组密码作业方式SM4-XTS才刚刚写入国家标准。近年来，国内商密行业在高速密码技术上纷纷加大研究投入，逐渐形成了高速密码芯片（硬件逻辑电路设计、专用密码芯片、通用密码芯片）、高速密码模块（集成式密码模组、通用型密码模组）、高性能密码整机（CPU专用指令架构、GPU指令加速架构）等方向的高速密码生态圈。北京数盾信息科技有限公司专注于国产密码技术研究、密码信息安全产品研发和信息安全整体解决方案，是首批获得国家密码管理局认定的商用密码资质的单位。拥有雄厚的密码技术研发实力和顶尖的专家团队，获得双高、双软企业认证，拥有完全自主的知识产权，取得了10款商用密码产品证书、12项专利技术、40项商标、34项软件著作权。数盾科技与国内知名高校、科研机构及行业领军企业联合成立10个研究院和实验室，建立了加密技术和信息安全领域产、学、研一体的研发与创新体系。形成数据加密，国产自主可控，安全平台等完整的产品体系。数盾科技一直致力于高速密码技术的研究与运用，借鉴国际上对高性能计算平台的架构设计思想、计算单元CPU多核多线程并行的理念，对标最前沿的密码模组技术架构，创新形成了自主知识产权、具有国际先进水平的高速密码技术，特别在高速密码硬件逻辑电路设计、超高速密码模组研制上，取得了重大技术成果。2016年，数盾科技与华为就高速加密交换机的研制生产签署合作框架协议，于2017年交付华为加密交换机专用的19.6Gbps网络加密交换板（如图3所示），从当时的国密局官网信息、网络资料对比看，遥遥领先当时国内外商密行业同类产品的最高加密性能2Gbps约十倍多。图3网络加密交换板/华为加密交换机2018年，数盾科技与新华三就高速加密路由器的研制生产签署合作框架协议，于2019年联调、迭代，2020年1月完成实测50Gbps的双通道高速加密模组（如图4所示），以国密局官网信息、网络资料对比看，遥遥领先国内外商密行业同类产品的最高加密性能7Gbps（极限加解密速率）约七倍多。2020年4月由新华三完成加密路由器的第一批次整机试生产，于2020年9月获得双通道高速加密模组密码模块的产品认证证书（如图5所示）。图4双通道高速加密模组/新华三路由器

图5双通道高速加密模组的产品认证证书双通道高速加密模组的硬件部分主要由FPGA、密管处理器、算法协处理器、SRAM、FLASH、噪声源等组成，外带智能密码钥匙参与密钥管理；软件部分，由应用接口API模块、协议接口模块、加密模组驱动模块、加密模组设备端主控固件等组成；采用自主设计的单板双路并行架构（相当于高端服务器的双CPU架构），每一路均使用独立、高性能的FPGA集成芯片（能实现比ASIC更高的性能），在每个FPGA中进一步采用自主开发、优化架构的多路由、高并发的电路设计，单个FPGA的最新实现版本共有2个双通道切换路由内核、32个SM4密码算法计算内核（相当于单CPU中的32个核）、32个SM3密码算法计算内核。关键技术点有三：一是国密算法SM3、SM4的硬件电路IP核的优化（流水、性能、面积），二是FPGA内密码算法的高并发调度电路（切换路由内核），三是单板双路并行架构的设计与硬件兼容性。为了能够发挥FPGA芯片的计算性能，接口采用了异步的设计思想，用户可以不断向加密模组发送加解密指令或者杂凑指令，不需要等运算结束再进行下次操作，这样可以最大化利用加密模组内部的算法核心，使所有算法核心可以同时满负荷工作，从而达到较高的加解密性能。每个算法核心处理一个算法请求（SM4加解密或者SM3杂凑），未对算法请求进行拆分处理。每次调用接口会生成一个运算请求放入任务队列中，当驱动程序的发送线程检测到任务队列中有运算请求时，会根据不同的运算类型组织数据格式，并找到当前相对比较空闲的算法核，将其编号写入协议头中，然后驱动会启动DMA，将数据发送到FPGA芯片中进行处理。FPGA芯片接收到数据之后会对协议头进行解析，根据不同的算法标识和算法核编号，将对应的数据送到指定的算法核中进行运算。当FPGA芯片完成相应的运算之后，会启动DMA将运算结果返回驱动程序。驱动程序的接收线程会不断轮询DMA完成标志，如果DMA标志置位表示有FPGA发送给驱动的数据，驱动程序接收FPGA传递回来的运算结果拷贝到用户指定的内存区域，然后通知用户。驱动程序内部实现了负载均衡算法，可以保证每个算法核上运行的任务数量大致相同，从而保证性能最大化。双通道高速加密模组的非对称密码性能分析：高速加密模组的SM2加解密功能由主控MCU和SSX1303椭圆曲线密码算法协处理器共同完成，SSX1303椭圆曲线密码算法协处理器提供椭圆曲线运算功能和SM3运算功能，其他运算过程由主控MCU完成。双通道高速加密模组的对称密码性能分析：当进行SM3或SM4算法速率测试时，测试程序会循环调用SD_Encrypt、SD