云密碼服務應用安全性評估分析與探討

陳翠云，呂 由，趙 祎，陳 盼

（公安部第一研究所，北京 100048）

商用密碼應用安全性評估制度是國家信息安全領域的基本國策，由國家密碼管理局牽頭，經過數年的探索和實踐，已形成一系列政策和標準體系，并于近幾年在全國范圍內全面開展實施。與此同時，隨著云計算技術的不斷發展，云平臺已成為信息系統數字化轉型的關鍵基礎設施之一，并得到了廣泛應用。

但由于云平臺自身的特殊性，在其密碼應用測評過程中，會面臨密碼服務需求不清晰、測評點難以確定、涉及虛擬機遷移安全測評等特殊疑難問題，而商用密碼應用安全性評估現有標準體系和指導文件主要還是針對于傳統單一的信息系統，對于云平臺的密碼應用測評，尚處在研究和探索階段，缺乏具有針對性的指導意見。需參考GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》等現有標準，并針對其測評過程中可能存在的疑難問題，如云密碼服務需求、云密碼服務應用測評點、云密碼服務應用測評注意事項等進行深入研究和探討。

1 云平臺密碼保障建設

如圖1 所示，云平臺和云上應用運營者不同，需界定兩者的責任和范圍。在云上密碼保障系統建設之前，需明確劃分為2 個層次：

圖1 云平臺和云上應用責任和范圍Fig.1 Responsibilities and scope of cloud platforms and applications on the cloud

（1）云平臺密碼保障系統：針對云平臺自身密碼應用的密碼保障系統的建設，該部分建設的責任主體為云平臺的運營者。

（2）云上應用密碼保障系統：針對云上應用系統密碼應用的密碼保障系統的建設，該部分建設的責任主體為云上應用的運營者。

其次，在云平臺密碼保障系統建設過程中，最重要的一點就是要梳理重要數據信息的流向和承載實體，明確其范圍和保護對象，如圖2 所示。

圖2 重要數據信息流向和承載實體Fig.2 Important data information flow and bearing entity

2 云密碼服務需求分析

云計算場景密碼應用需求主要包括以下5 個方面：密碼資源池需求、統一密碼服務需求、密鑰隔離安全需求、身份鑒別需求、本地數據安全需求。

2.1 密碼資源池需求

云平臺為租戶提供加解密、簽名驗簽等云密碼服務，實際中不可能為每個租戶配置單獨的物理密碼產品。當業務擴展時通常需要添加或者升級新密碼設備，安全擴容是需考慮的重要因素，尤其應用頻繁變化時，依靠增加密碼設備的傳統擴展方案難度較大，無法做到按需彈性擴展。因此，云平臺需要池化的密碼資源，為租戶提供虛擬的密碼服務[1]。

2.2 統一密碼服務需求

云租戶業務應用種類繁多，用戶量大，關鍵數據復雜多樣，安全機制不一致，為密碼應用和管理帶來難度。需對云平臺上所有業務應用提供統一的、多租戶的密碼服務能力，對各類密碼服務接口、服務訂購、應用調用、平臺運行等進行統一管理，提供多租戶管理、密碼資源管理等。

2.3 密鑰隔離安全需求

云技術采用了虛化技術，融合了軟硬件資源，主機和網絡邊界相對于傳統系統變得模糊，風險不但來自南北流量，還來自東西流量，云上應用安全風險也隨之增加，需對其提供密鑰安全管理功能，包括密鑰存儲、更新、遷移等，尤其云平臺和云租戶之間、云租戶與云租戶之間的密鑰需做安全隔離[2]。

2.4 身份鑒別需求

由于云計算泛在接入的特點，云平臺用戶終端數量巨大，形態多樣，不同安全級別的數據和服務充斥于云環境中，為保證云環境中數據安全性，云端服務應對訪問者身份進行鑒別，防止非授權訪問。

2.5 數據安全需求

云計算提供海量數據存儲與訪問，數據落地后在物理環境中的保護十分重要。需建立數據加密存儲和傳輸機制，保障數據存儲和傳輸安全。數據加密方案有塊存儲加密、對象存儲加密、數據庫加密、磁盤加密、文件加密等。

3 云密碼服務應用測評點

3.1 網絡和通信層面測評

網絡和通信層面，在用戶和云平臺之間通信鏈路部署SSL VPN，實現基于密碼技術的身份鑒別、數據傳輸機密性和完整性保護；在云平臺機房和災備機房之間部署IPSec VPN，保證通信數據的機密性和完整性。測評點設置如圖3 所示。

圖3 云平臺網絡和通信層面商用密碼應用測評點Fig.3 Commercial password application evaluation sites at cloud platform network and communication level

測評需提供的支撐證明包括但不限于不同網絡通道的網絡抓包文件（協議分析）、VPN 網關配置截圖（算法和配置）、數字證書、產品商密認證證書等。

3.2 設備和計算層面測評

設備和計算層面，在遠程運維通道部署SSL VPN，保證運維用戶身份鑒別、數據傳輸機密性和完整性；部署國密堡壘機對設備進行統一運維；本地運維用戶通過UKEY 身份鑒別后登錄設備，保證其身份真實性。測評點設置如圖4 所示。

圖4 云平臺設備和計算層面商用密碼應用測評點Fig.4 Commercial password application evaluation sites at the cloud platform device and computing level

測評需提供的支撐證明包括但不限于遠程管理通道的網絡抓包文件（協議分析）、堡壘機產品身份鑒別（算法和配置）、數字證書、產品商密認證證書等。

3.3 應用和數據層面測評

應用和數據層面，對PC 終端管理員用戶采用UKEY+數字證書的方式實現身份鑒別，包括云平臺管理員和租戶的云計算資源管理員，測評點設置如圖5 所示。

圖5 云平臺應用和數據安全層面商用密碼應用測評點Fig.5 Cloud platform application and data security level commercial password application evaluation site

對于移動終端用戶，采用手機盾協同簽名的方式進行身份鑒別。協同簽名依托于密鑰分割技術，將密鑰分割為客戶端密鑰分量與服務端密鑰分量2部分，二者各自獨立分開存儲，確保密鑰安全。簽名時，服務端和客戶端分別計算各自的簽名結果，服務端將中間結果傳送給客戶端，由客戶端完成數字簽名的合成，即服務端和客戶端協同進行簽名操作。測評點設置如圖6 所示。

圖6 云平臺應用和數據安全層面商用密碼應用測評點Fig.6 Cloud platform application and data security level commercial password application evaluation points

應用層面的數據安全防護，首先需要識別應用和數據層面中的關鍵業務和重要數據，包括管理員用戶身份鑒別信息、平臺鏡像文件、租戶快照文件、租鏡像文件等敏感信息等，由租戶應用系統調用密碼資源對數據進行存儲機密性和完整性保護。測評點設置如圖7 所示。

圖7 云租戶應用和數據安全層面重要數據存儲安全的商用密碼技術Fig.7 Cloud tenant applications and data security commercial cryptography for key data storage security

測評需要提供的支撐證明包括但不限于身份鑒別的實現過程證明、數據安全保護的實現證明（傳輸文件、數據庫等）、國密算法工具機密性/完整性保護計算結果驗證截圖、數字證書、產品商密認證證書等。

3.4 云密碼服務密鑰管理測評

密鑰管理也是密碼技應用的重要內容，密鑰的安全性是決定密碼系統安全性的關鍵因素，無論是密產品還是密碼應用過程中必須管理和保護好密鑰。根據云服務商資源類型不同，云計算服務模式可分為基礎設施即服務（laaS）、平臺即服務（PaaS）、軟件即服務（SaaS）3 類，針對這3 類云服務模式給出了各種場景下密碼技術需求和密鑰管理需求[3]，如表1 所示。

表1 云服務不同模式下密碼技術及密鑰管理需求對照Tab.1 Comparison of cryptographic technology and key management requirements in different modes of cloud services

云計算環境下，云平臺及云租戶信息系統的密鑰體系應根據密碼應用需求在密碼方案中明確并實施落實。密評需針對密鑰全生命周期管理進行考核。

云平臺自身重要環節的密鑰管理建議參考：

（1）加密密鑰應在專門的密鑰生成系統中生成，密鑰數據必須密文存儲且與云平臺其他數據存儲分離，關鍵密鑰數據還應存儲在安全介質中；

（2）應采用密鑰隔離手段，確保云平臺使用的密鑰和用戶使用的密鑰不在同一密鑰管理系統進行管理；

（3）對于云平臺提供的密鑰管理服務，應采用嚴格的鑒別機制，確保只有具備該服務權限的用戶才能對其密鑰管理系統進行配置；

（4）應確保用戶在云平臺中使用密鑰時，處于獨立安全環境中或用戶租用的密鑰管理系統中。

4 云密碼服務密評注意事項

4.1 應用和數據層面測評對象確定

云平臺訪問對象包括云租戶、云平臺管理員、遠程運維人員3 類，其業務操作類型為業務訪問、虛擬資源管理和調度、設備運維，由此可梳理出3 條云平臺業務信息流：租戶通過網絡訪問云資源區、云平臺管理員訪問云管平臺、遠程運維人員訪問安全管理區進行設備運維。涉及的重要數據包括鑒別數據、快照、鏡像數據、日志審計數據、關鍵配置數據等，根據重要數據信息流向，從機密性、完整性、真實性、不可否認性4 個方面，對以上各個環節進行分析確定應用和數據層面的測評對象。

4.2 密評支撐中完全評估和部分評估

云平臺為云上應用提供了GB/T 39786-2021 中的物理和環境安全、網絡和通信安全、設備和計算安全，甚至于應用和數據安全等層面在內的密碼支撐。因此云上應用部分的測評結論需依賴于云平臺的測評結果，如圖8 所示。

圖8 云平臺與云上應用評估Fig.8 Cloud platform and cloud application evaluation

云上應用密評時，應重點關注應用本身在各個安全層面的密碼應用情況。對于被完全評估和被部分評估的支撐能力及測評結論需根據實際情況決定，具體情況可參考《商用密碼應用安全性評估FAQ（第二版）》。

4.3 云平臺的密評責任和范圍

云平臺系統密碼應用較為復雜，一般分為2 個層面，一是云平臺系統為滿足自身安全所采用的密碼技術；二是云租戶通過調用云平臺提供的密碼服務為自身業務應用提供密碼保障。因此，對云上應用進行密評時，原則上需完成2 部分測評工作：

（1）對云平臺自身密碼應用的測評，該部分測評責任主體為云平臺運營者。

（2）對云上應用系統密碼應用的測評，該部分測評責任主體為云上應用運營者。

同時，原則上：

（1）云平臺通過密評后，云上應用系統才能通過密評；

（2）云平臺的安全級別應不低于云上應用系統。

4.4 虛擬機遷移安全測評

云資源管理應用虛擬機遷移保護，主要涉及到虛擬機資源在跨物理機遷移時，需保證虛擬資源遷移時的機密性和完整性，所以在宿主機內部需配置硬件或者軟件密碼模塊，協助云平臺完成虛擬資源的安全遷移。測評時需考慮虛擬資源跨物理節點遷移時的機密性和完整性保護。

4.5 云平臺密評合規和實戰需綜合權衡

根據綜合性合規要求，需對密碼算法、密碼技術、密碼產品、密碼服務的合規性、有效性和正確性進行考核，但在實戰層面，在考慮安全的同時，也要確保系統的易用性和穩定性。比如云租戶公眾用戶層面，建議采用兼容傳輸加密。在通過定制PC 客戶端APP 實現國密SSL 加密通道的同時，兼容瀏覽器、第三方客戶端的國際算法SSL 加密通道，實現“國密”與“國際”雙標支持。

5 結語

隨著云技術不斷發展，云計算應用落地進程加快，加速了數據的流通、匯聚、處理和挖掘，提升了生產效率，同時，云安全態勢日益嚴峻，急需升級安全解決方案，以應對云環境安全威脅挑戰。本文對云密碼服務保障系統建設和測評進行了研究，分析了云密碼服務的應用需求，設計了云密碼服務應用測評點，著重描述了云服務密鑰管理測評要求，最后提出了云密碼服務密評注意事項，為云平臺運營者、云租戶開展商用密碼應用和安全性評估提供參考和借鑒，助力商用密碼技術在云計算場景的應用推廣，保障云計算安全。