云环境下基于国密算法的密码服务平台建设思路探讨-《中国新通信》(2022年8期).docx

龙源版权所有 云环境下基于国密算法的密码服务平台建设思路探讨作者：黄昌熙 郑志永 孙雪冬 严志讯来源：《中国新通信》2022年第08期 摘要：数字化转型不断提速，企业信息系统加快迁移上云以节约资源和成本，云化环境更加复杂，云平台和信息系统面临非授权访问、重要数据被窃取和篡改的风险，安全形势严峻。随着国产密码算法的推广，使用国产密码技术保护云平台和信息系统安全是重要的防护手段，本文分析国产密码应用需求，提出云环境下基于国密算法的密码服务平台建设思路，通过调用密码服务，有效保障业务安全运行。 关键词：云计算;国密算法;云密码服务中间件;服务调用 一、引言 随着云计算、大数据、人工智能技术的蓬勃发展，企业逐步由传统模式转向采用信息技术提高生产和管理效率，核心系统加快云上部署，云环境的安全变得愈发重要，非法访问、数据泄密的风险日益增加，云平台和云上信息系统面临着巨大的安全风险。商用密码技术是保障企业信息系统安全的重要支撑手段，密码技术在身份认证、信息传输、数据存储等方面有着广泛的使用场景。近年，我国在大力推进国产密码算法应用，以摆脱对国外密码技术的依赖。 二、国密算法与国外密码算法对比 国密算法是指由国家密码管理局认定和发布的国产密码算法，已发布的商用国密算法包括椭圆曲线公钥密码算法SM2、密码杂凑算法SM3、分组密码算法SM4等[1]。密码应用安全的核心是密码算法，在未使用国密算法前，信息领域常用的国外密码算法包括公钥密码算法RSA、密码散列算法（密码杂凑算法）SHA-256、分组密码算法AES等，通过对比分析，国密算法在一些方面性能優于国外密码算法。常用国密算法与国外密码算法对比如表1所示。 三、云环境下国产密码应用需求 在云计算环境下，租户的信息系统部署在虚拟化的云资源池上，资源共享共用，通过虚拟化隔离、VLAN网络划分、安全组隔离等手段进行安全隔离。由于云环境下信息系统的多样性和复杂性，除了使用传统的网络安全防护手段外，还需要使用国产密码技术保障云平台和信息系统安全。 （一）物理和环境安全 数据中心机房电子门禁系统需要对访问人员进行身份鉴别，对访问人员分发使用SM4算法的密钥门禁卡，在人员访问时使用SM4算法进行身份鉴别，使用HMAC-SM3技术保护电子门禁系统进出记录和视频记录数据。 （二）网络和通信安全 终端通过SSL VPN网关安全接入云计算环境，SSL VPN需要支持国密算法，在登录VPN认证过程中采用国密算法的数字证书USBKEY配合商密安全浏览器构建虚拟专用通道，保证网络和通信过程安全。 （三）设备和计算安全 在远程管理云平台设备或信息系统时，需要接入统一身份认证系统，防止非授权人员登录和身份鉴别信息被非法窃取。云上的重要程序或文件在生成时，使用SM2数字签名技术进行完整性保护，读取程序和文件时进行验签，使用HMAC-SM3算法保护设备日志、资源访问控制信息。 （四）应用和数据安全 为了保护核心应用和数据安全，通过调用密码服务平台签名验签能力，使用基于SM2算法的数字签名技术对用户访问控制列表进行完整性保护，并在用户每次登录或权限改变时对签名值进行验证。云平台和信息系统的敏感数据、鉴别信息和用户信息釆用SM4和HMAC-SM3算法对关键数据进行安全保护。 （五）管理和运行安全 建立国产密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行管理、应急处置等。建立标准化操作规程，各类操作过程记录保存完整。设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位，按照制度规定定期开展人员考核，加强密钥产生、分发、存储和使用等环节的管理，定期开展密码应用安全性评估和应急演练。 四、密码服务平台建设思路 （一）密码服务平台架构设计 密码服务平台总体架构由云环境密码服务平台和国产密码应用两部分组成。密码服务平台提供国产密码服务，底层是密码支撑系统，包括云服务器密码机组成的密码资源池，以及统一身份认证系统、数据存储保护系统、密码管理系统等软硬件。密···试读结束