密碼服務平臺解決方案

◆李冠軍

（北京得安信息技術有限公司 北京 100032）

密碼服務平臺解決方案

◆李冠軍

（北京得安信息技術有限公司 北京 100032）

隨著安全問題越來越受到關注，越來越多的業務系統采用密碼技術來保障信息安全，本文分析了信息系統面臨的信息安全問題和解決方案，重點分析了如何在越來越復雜的信息系統中建立建設統一的密鑰管理、密碼運算的解決方案，解決身份認證、通信安全、數據安全等方面安全問題。

密碼服務平臺；信息系統安全等級保護；商用密碼技術；密碼設備

0 前言

隨著信息技術的發展，人類步入信息化、網絡化的時代，促進了社會的發展和進步，給人們的工作、生活帶來了極大的便利，也使我們對信息系統的依賴性越來越強，所以保障信息安全的重要性不言而喻。如何在既保證信息安全性的情況下，又實現業務系統的互聯互通和避免重復建設投資，這就需要我們在密碼設備管理和密鑰管理方面進行相應的設計和研究，保證安全性和節約性。

傳統的信息系統，采用服務器密碼機、簽名驗簽服務器等作為身份認證、密鑰存儲和密碼運算的硬件設備，具有較高的安全性。但是，隨著信息系統的安全建設越來越多，同樣也面臨著對密碼基礎設施的重復開發、重復投資等問題；各個信息系統之間密鑰管理體系不同、安全標準不統一，阻礙信息化建設互聯互通等問題。

本文首先分析了信息系統的整體安全架構，然后重點分析了如何在越來越復雜的信息系統中建立建設統一的密鑰管理、密碼運算的解決方案，解決身份認證、通信安全、數據安全等方面安全問題。

1 信息系統的安全架構

根據《信息系統安全等級保護基本要求》[1]，信息系統的安全技術體系包括物理安全、通信網絡安全、區域邊界安全、主機系統安全、應用系統安全和數據備份/恢復安全等環節。密碼技術是實現身份認證和數據安全的重要手段，因此可以采用信息系統安全等級保護的框架進行密碼服務平臺的安全設計和實施。

密碼技術[2，3，4]是信息安全的核心技術之一，用于保護信息的保密性、完整性、鑒別性和不可抵賴性等。在移動互聯網和移動終端中，涉及到身份鑒別、數據保密性、數據完整性、抗抵賴等安全需求，應采用加密算法、數字簽名、消息鑒別碼等密碼技術實現信息安全的保障要求。

2 密管平臺信息系統安全解決方案

在信息系統中需要建立統一、規范和高效的安全基礎設施-密管平臺。

提供靈活的密碼服務組件和接口，從根本上解決信息系統項目開發中密碼基礎設施的重復開發、重復投資等問題。

建立完善的密鑰管理體系，提供規范的密鑰管理基礎服務，對信息系統中涉及的各類密鑰實現生命周期的全程管理，全面提升應用系統的安全等級。

對密鑰管理和密碼運算的開發接口實現統一封裝和定制，能夠支持應用系統開發中對密鑰管理、信息加密、完整性校驗等功能的靈活調用，提供多操作系統、多密碼協議、多應用層次的加密軟件包，平臺支持國內主流安全廠商的密碼設備，屏蔽不同廠商的底層密碼實現細節，提高應用系統的開發效率和運行維護效率。

2.1 支持國產密碼算法

密碼算法分為對稱密碼算法、非對稱密碼算法和密碼雜湊算法等。其中，對稱密碼算法分為分組密碼算法和序列密碼算法（流密碼）兩大類。在互聯網領域中，分組密碼算法用于網絡通信加密、存儲加密等功能；非對稱密碼算法用于密鑰協商、數字簽名、身份認證等功能；密碼雜湊算法用于消息摘要計算、消息驗證碼等功能。

我國的分組密碼算法標準包括SM1算法、SM4算法；非對稱密碼算法包括SM2算法、SM9算法；密碼雜湊算法包括SM3算法。在安全基礎設施-密管平臺中，應支持我國的密碼算法標準，以及相應的密碼接口和協議標準。

2.2 優化密鑰管理流程

密管平臺通過密鑰管理流程再造，提高密鑰管理人員的操作效率，原來只能在各信息系統進行密鑰管理操作，現在可以統一在密鑰管理系統后臺上進行操作，簡單便捷，實現了密鑰管理操作的集中化、流程化、專業化，提高了人員操作效率。

2.3 統一的安全運算標準

原有的信息系統各自的運算標準不統一，在系統對接時浪費大量時間進行算法的聯調工作，而密管平臺可以讓信息系統對接時聯調工作變得簡單、高效。

2.4 密碼設備可以靈活替換

密管平臺屏蔽了密碼設備的技術實現細節，可以調度各個密碼安全廠家的密碼設備，因此信息系統選擇硬件密碼設備擁有更大的自由度。

2.5 減少密碼設備投入

密管平臺可以為多個信息系統提供密碼運算服務和密鑰管理服務，采用平臺集中的方法能夠提供統一強度的密碼保護，提高了密碼設備的利用效率，并且減少了重復投資，節約信息系統信息化的建設成本。

3 總結

隨著信息技術的飛速發展，信息系統也越來越多樣化、復雜化。為了保證安全標準的統一，安全管理流程的一致，密鑰數據的集中管理，減少密碼設備的投入，建設統一的密管平臺已成為信息建設的趨勢。

[1]GB/T 22239-2008.信息安全技術信息系統安全等級保護基本要求[S].中國標準出版社，2008.

[2]GM/T 0002-2012.SM4分組密碼算法[S].中國標準出版社，2012.

[3]GM/T 0003-2012.SM2橢圓曲線公鑰密碼算法[S].中國標準出版社，2012.

[4]GM/T 0004-2012.SM3密碼雜湊算法[S].中國標準出版社，2012.