校園信息系統(tǒng)國產(chǎn)密碼改進(jìn)方案探究

◆夏 奕

（湖北交通職業(yè)技術(shù)學(xué)院交通信息學(xué)院 湖北 430079）

長期以來，我國計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的密碼算法和加密體系等大部分都被國外產(chǎn)品壟斷，面臨極大的安全隱患。隨著信息化和網(wǎng)絡(luò)技術(shù)在國民生活和軍事領(lǐng)域大量普及和應(yīng)用，研制和應(yīng)用有自主知識(shí)產(chǎn)權(quán)的加密算法及網(wǎng)絡(luò)信息安全產(chǎn)品，增強(qiáng)國家網(wǎng)絡(luò)信息安全屏障也顯得日益重要[1]。

密碼體系是信息安全保障的核心，目前我國絕大部分行業(yè)信息系統(tǒng)長期沿用國外密碼算法，主要包括DES、3DES、AES、RSA、SHA-1、MD5等密碼算法[1]。國產(chǎn)密碼算法是我國自主研制、具有自主知識(shí)產(chǎn)權(quán)的一系列密碼算法體系，可對(duì)民用領(lǐng)域不涉及國家秘密但需保護(hù)的重要信息、行政及經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。隨著RSA預(yù)留后門、RSAl024算法風(fēng)險(xiǎn)等事件影響，國家密碼管理局要求，公鑰密碼算法要盡快全部替換為國產(chǎn)密碼算法體系。國內(nèi)教育、經(jīng)濟(jì)、行政等重要信息系統(tǒng)進(jìn)行國產(chǎn)密碼算法改造應(yīng)用已成為當(dāng)務(wù)之急，是增強(qiáng)我國網(wǎng)絡(luò)信息體系安全性的重要組成部分。

1 國產(chǎn)密碼應(yīng)用現(xiàn)狀

目前國家商用密碼管理辦公室制定了SSF33、SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法等一系列密碼標(biāo)準(zhǔn)[2]，應(yīng)用于各重要行業(yè)信息系統(tǒng)的安全認(rèn)證、網(wǎng)上銀行、數(shù)字簽名等領(lǐng)域。其中SSF33、SM1、SM4、SM7、祖沖之密碼是對(duì)稱算法[3]；SM2、SM9是非對(duì)稱算法；SM3是哈希算法[4，5]。目前已經(jīng)公布算法文本的包括SM2橢圓曲線公鑰密碼算法[6]、SM3密碼雜湊算法[7，8]、SM4分組密碼算法等[9]。

1.1 國產(chǎn)SM1算法

SM1算法是一種分組標(biāo)準(zhǔn)對(duì)稱算法，分組長度和密鑰長度都為128比特，算法安全保密強(qiáng)度及對(duì)應(yīng)的軟硬件性能實(shí)現(xiàn)與國外AES算法相當(dāng)[6]。該算法，算法以IP核的形式封裝[4]，已經(jīng)形成了芯片、智能IC卡、密碼鑰匙、加密卡、加密機(jī)等安全產(chǎn)品。廣泛應(yīng)用于電子商務(wù)、政務(wù)通、警務(wù)通及其他重要領(lǐng)域。

1.2 國產(chǎn)SM2橢圓曲線公鑰密碼算法

SM2橢圓曲線公鑰密碼算法是我國基于橢圓曲線理論實(shí)現(xiàn)自主設(shè)計(jì)的非對(duì)稱公鑰密碼算法，對(duì)國際ECC橢圓曲線算法進(jìn)行了優(yōu)化提升[7]。算法包括了SM2-1數(shù)字簽名算法，SM2-2密鑰交換協(xié)議，SM2-3公鑰加密算法。SM2加密強(qiáng)度為256位，算法的總體安全性和性能較ECC算法略有提升，與RSAl024相比具有明顯的安全性優(yōu)勢(shì)，是目前公鑰體制中對(duì)每比特所提供加密強(qiáng)度最高的一種算法[8]。

1.3 國產(chǎn)SM3算法

SM3是我國自主設(shè)計(jì)的一套密碼雜湊算法，算法的輸出長度為256比特，算法的安全性要略高于MD5算法和SHA-1算法[9]，該算法與非對(duì)稱算法組合能夠?qū)崿F(xiàn)數(shù)字簽名功能，被廣泛應(yīng)用于信息系統(tǒng)的數(shù)字簽名和驗(yàn)證、消息認(rèn)證碼的生成與驗(yàn)證以及隨機(jī)數(shù)的生成[10]。

1.4 國產(chǎn)SM4算法

SM4是自主設(shè)計(jì)的國產(chǎn)分組對(duì)稱密碼算法，SM4算法的密鑰長度、分組長度都是128比特，高于3DES算法，與AES算法具有相當(dāng)，該算法可用于數(shù)據(jù)的加密/解密運(yùn)算[11-13]。

2 校園信息化平臺(tái)國產(chǎn)密碼應(yīng)用現(xiàn)狀分析

目前，國內(nèi)大專院校的校園信息化平臺(tái)涉及密碼應(yīng)用體系的系統(tǒng)主要包括：校園一卡通系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生工作管理系統(tǒng)等。各應(yīng)用系統(tǒng)密碼技術(shù)應(yīng)用現(xiàn)狀分析如下：

2.1 校園一卡通系統(tǒng)

校園網(wǎng)一卡通系統(tǒng)密碼應(yīng)用情況如表1所示。

表1 校園一卡通系統(tǒng)密碼應(yīng)用技術(shù)分析

2.2 教務(wù)管理系統(tǒng)

教務(wù)管理系統(tǒng)密碼應(yīng)用情況如表2所示。

表2 教務(wù)管理系統(tǒng)密碼應(yīng)用技術(shù)分析

3.3.學(xué)生工作管理系統(tǒng)

學(xué)生工作管理系統(tǒng)密碼應(yīng)用情況如表3所示。

《魏書》卷八四《儒林傳序》，第 1842頁;同書卷五五《劉廞傳》，第1227頁;同書卷三六《李同軌傳》，第849頁。

表3 學(xué)生工作管理系統(tǒng)密碼應(yīng)用技術(shù)分析

分析發(fā)現(xiàn)常見的密碼應(yīng)用有用戶身份認(rèn)證、介質(zhì)加密、數(shù)據(jù)加密及數(shù)字簽名等場景，其中用于存儲(chǔ)用戶名、密碼的身份認(rèn)證模塊應(yīng)用最為廣泛。此外，眾多院校當(dāng)前使用的交換機(jī)網(wǎng)絡(luò)、網(wǎng)關(guān)等校園網(wǎng)絡(luò)的認(rèn)證管理系統(tǒng)目前普遍使用3DES、SHA-1、RSA等國際通用密碼算法體系及相關(guān)標(biāo)準(zhǔn)，國產(chǎn)密碼應(yīng)用比例很小。

3 校園網(wǎng)國產(chǎn)密碼改造實(shí)施方案

基于以上分析，校園信息化平臺(tái)涉及國產(chǎn)密碼改造的部分通常包括以下幾方面工作。

3.1 改造應(yīng)用信息系統(tǒng)

（1）客戶端。客戶端若使用USBKey作為證書介質(zhì)，應(yīng)需要更換證書，則應(yīng)考慮USBKey介質(zhì)的適配性，采用支持國密證書的USBKey產(chǎn)品供應(yīng)商。如果使用文件證書，則無須考慮介質(zhì)。

（2）密碼算法。若系統(tǒng)中采用了加密或者哈希算法，應(yīng)采用對(duì)應(yīng)的國產(chǎn)密碼算法替代對(duì)應(yīng)的國際算法，其對(duì)應(yīng)關(guān)系如表4所示。

表4 國產(chǎn)密碼算法與國際密碼算法的對(duì)應(yīng)關(guān)系

依據(jù)國產(chǎn)密碼算法與國際密碼算法的對(duì)應(yīng)關(guān)系，各應(yīng)用系統(tǒng)可采用以下改造方案，如表5所示。

表5 校園各應(yīng)用系統(tǒng)國產(chǎn)密碼應(yīng)用改造方案

驗(yàn)證 統(tǒng)、教務(wù)管理系統(tǒng)、一卡通管理平臺(tái)、門禁管理系統(tǒng)、考勤管理系統(tǒng)、電控管理系統(tǒng)使用時(shí)需進(jìn)行身份驗(yàn)證園統(tǒng)一身份認(rèn)證系統(tǒng)

其他密碼產(chǎn)品如簽名驗(yàn)簽服務(wù)器、密碼卡等，可按國家密碼管理局公布的產(chǎn)品目錄升級(jí)或替換。

3.2 試點(diǎn)系統(tǒng)改造方案

國產(chǎn)密碼應(yīng)用改造可采用試點(diǎn)先行、效果評(píng)估，然后全面推進(jìn)的工作思路。首先選取一個(gè)典型的應(yīng)用系統(tǒng)作為國產(chǎn)密碼應(yīng)用試點(diǎn)，對(duì)系統(tǒng)的密碼應(yīng)用情況摸底排查，確認(rèn)密碼系統(tǒng)的應(yīng)用規(guī)模、功能和采用的密碼技術(shù)，然后確定相應(yīng)的密碼改造方案，最后進(jìn)行國產(chǎn)密碼改造方案實(shí)施和應(yīng)用效果評(píng)估。

4.3.國產(chǎn)密碼改造方案應(yīng)用效果評(píng)估

國產(chǎn)密碼改造方案的應(yīng)用效果評(píng)估從以下三個(gè)方面進(jìn)行，首先是對(duì)改造后的國產(chǎn)密碼應(yīng)用方案的主要功能和性能進(jìn)行驗(yàn)證評(píng)估；然后從系統(tǒng)適用性和系統(tǒng)集成的角度驗(yàn)證國產(chǎn)密碼的系統(tǒng)適配性；最后進(jìn)行用戶體驗(yàn)調(diào)查和評(píng)估，檢驗(yàn)國產(chǎn)密碼方案的應(yīng)用效果。

4 結(jié)束語

本文主要結(jié)合國家對(duì)重要信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全自主可控的指導(dǎo)要求，綜合分析校園信息系統(tǒng)的安全密碼保障體系中應(yīng)用商用密碼體系和軟件產(chǎn)品的情況，以及國產(chǎn)密碼的相應(yīng)的產(chǎn)品特色和應(yīng)用支持能力，提出校園信息網(wǎng)絡(luò)的國產(chǎn)密碼改造方案和相應(yīng)的改造實(shí)施措施。