信息化觀察網(wǎng)

摘要

針對國家標準GB/T 39477—2020《信息安全技術政務信息共享數(shù)據(jù)安全技術要求》中涉及數(shù)據(jù)分級分類、數(shù)據(jù)跨域安全傳輸、數(shù)據(jù)訪問控制、數(shù)據(jù)脫敏和數(shù)據(jù)召回與阻斷等數(shù)據(jù)安全技術要求，提出密碼支撐體系設計方案，并就統(tǒng)一密碼支撐服務系統(tǒng)中應用的核心密碼技術，如IBC標識密碼技術、FPE保留格式加密、OPE次序保留加密、數(shù)據(jù)透明加解密及無介質密碼簽名運算等密碼技術進行介紹，并分析了上述密碼技術在政務數(shù)據(jù)共享交換場景下的實際應用價值和作用。

內容目錄：

0引言

1密碼技術需求分析

1.1按需分層分類的密碼服務

1.2數(shù)據(jù)跨域加解密

1.3靈活的加密策略

1.4數(shù)據(jù)脫敏仍可用

1.5兼容已有密碼設施

2政務共享密碼支撐體系設計

3密碼技術應用方案

3.1融合模式的密碼體制

3.2標準的密碼服務功能

3.3專用的密碼服務功能

4結語

0引言

伴隨著國家推進“數(shù)字化政府”轉型的信息化建設，國家和地方各級電子政務外網(wǎng)、政務云平臺、政務數(shù)據(jù)共享交換平臺等關鍵基礎設施陸續(xù)建成、貫通并投入使用。在此過程中，數(shù)據(jù)正在源源不斷、常態(tài)化、大量的聚集到政務數(shù)據(jù)共享交換平臺或通過共享平臺交換，必然對數(shù)據(jù)安全防護與數(shù)據(jù)安全治理提出新的要求。

密碼技術作為信息安全領域一項重要的數(shù)據(jù)防護核心技術，能有效解決信息的保密性、完整性以及真實性問題。GB/T 39786—2021《信息安全技術信息系統(tǒng)密碼應用基本要求》、信息安全等級保護2.0等標準都要求使用密碼技術為政務信息化建設提供安全可靠的底層安全技術支撐。

1密碼技術需求分析

隨著國家標準GB/T 39477—2020《信息安全技術政務信息共享數(shù)據(jù)安全技術要求》（以下簡稱標準）正式實施，標準在國內首次對政務信息共享中的數(shù)據(jù)安全提出了具體的技術要求。政務信息共享數(shù)據(jù)安全技術要求框架如圖1所示。

圖1政務信息共享數(shù)據(jù)安全技術要求框架

可見，在政務信息共享數(shù)據(jù)安全技術要求框架中包括的數(shù)據(jù)存儲加密、數(shù)據(jù)加密、安全傳輸、身份鑒別及操作抗抵賴、數(shù)據(jù)防泄漏等安全技術要求基本上可以通過現(xiàn)有的密碼技術和常規(guī)安全產(chǎn)品方案解決，這里不再贅述。同時，政務信息共享場景下還存在一些復雜的、獨特的數(shù)據(jù)安全技術要求，例如數(shù)據(jù)分級分類、數(shù)據(jù)跨域傳輸、數(shù)據(jù)訪問控制、數(shù)據(jù)脫敏、數(shù)據(jù)召回與阻斷等，都需要結合政務信息共享場景設計合適的密碼技術方案。

1.1按需分層分類的密碼服務

對數(shù)據(jù)進行安全分級分類是數(shù)據(jù)安全領域區(qū)別于傳統(tǒng)信息安全最重要的特征，目前我國的政務信息資源安全分級分類國家標準正在制定中，以下簡要介紹美國聯(lián)邦政府FIPS 199標準定義的信息分級方法及流程。

（1）政府信息分級流程：

信息系統(tǒng)業(yè)務部門將信息系統(tǒng)中包含的信息分類；

進行信息定級的專用人員（這類人員需經(jīng)過系統(tǒng)培訓）根據(jù)標準和規(guī)范對信息進行安全分類；

業(yè)務部門根據(jù)政府內部系統(tǒng)定級規(guī)則和行政令，形成信息安全級別；

根據(jù)給出信息的最高安全級別要求為信息系統(tǒng)進行定級。

（2）政府信息分級規(guī)則維護流程：

業(yè)務部門參考不同級別的安全基線和信息的安全要求，綜合形成信息系統(tǒng)的基線，報安全評估部門審批；

安全評估部門審批完成后形成安全防護基線，進行業(yè)務系統(tǒng)的安全體系建設、運行維護等。

參照美國政府FIPS 199信息和信息系統(tǒng)的安全分類標準的定義，數(shù)據(jù)分級分類需要達到三個安全目標，即機密性、完整性和可用性，從而實現(xiàn)防止信息非授權泄露、非授權修改或破壞及確保對信息的實時、可靠訪問和使用。基于以上分析，實現(xiàn)數(shù)據(jù)的分級分類應采用分層加密技術對共享交換數(shù)據(jù)進行處理，并根據(jù)確定數(shù)據(jù)分級的安全基線匹配加密策略。

1.2數(shù)據(jù)跨域加解密

政務信息共享交換平臺作為政務信息資源共享的樞紐部署在國家電子政務外網(wǎng)公共區(qū)，為國家各級政府和地方單位提供信息資源目錄匯集管理、信息資源共享交換、業(yè)務協(xié)同應用支撐等服務。政務信息共享交換平臺由國家、省級、地市級等多級數(shù)據(jù)共享交換平臺組成，各級共享交換平臺橫向對接所轄區(qū)域政務部門信息資源，縱向實現(xiàn)級聯(lián)，形成橫向聯(lián)通、縱向貫通的政務數(shù)據(jù)共享交換體系，如圖2所示。

圖2政務信息共享交換平臺數(shù)據(jù)共享交換體系

在政務數(shù)據(jù)共享交換過程中，對于經(jīng)過加密技術處理后的分級數(shù)據(jù)面臨跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務的安全傳輸問題，顯然對于密碼支撐系統(tǒng)的設計提出了嚴峻的挑戰(zhàn)。因此，需要考慮建設全國統(tǒng)一的面向政務信息共享交換平臺的密碼支撐體系，基于統(tǒng)一的密鑰管理策略解決共享交換數(shù)據(jù)的跨域安全傳輸問題。

1.3靈活的加密策略

“訪問控制”是標準中最重要的一項數(shù)據(jù)安全技術要求，在共享數(shù)據(jù)交換與共享數(shù)據(jù)使用的安全要求中都有詳細描述。需要指出的是，數(shù)據(jù)安全領域的訪問控制是以“數(shù)據(jù)”為中心，即需要從用戶訪問權限、數(shù)據(jù)訪問權限、數(shù)據(jù)有效性三個維度來處理數(shù)據(jù)的訪問控制問題。數(shù)據(jù)訪問控制的安全維度如圖3所示。

圖3數(shù)據(jù)訪問控制的安全維度

考慮到政務信息共享交換平臺中不斷更新和指數(shù)級增長的數(shù)據(jù)量，傳統(tǒng)信息安全系統(tǒng)中通過用戶權限管理實現(xiàn)用戶對特定數(shù)據(jù)的訪問授權，已不足以解決海量數(shù)據(jù)的訪問控制問題，需要充分利用現(xiàn)有云計算、微服務架構等新技術，并通過開發(fā)密碼算法層面的創(chuàng)新應用方法來實現(xiàn)數(shù)據(jù)的分級和受控訪問。例如構建可動態(tài)部署的密鑰管理子系統(tǒng)，以實現(xiàn)數(shù)據(jù)的安全分級和數(shù)據(jù)的限時受控訪問，在數(shù)據(jù)生命周期結束時通過移除對應的密鑰管理支撐子系統(tǒng)來阻斷數(shù)據(jù)的訪問等。

此外，數(shù)據(jù)召回與察覺數(shù)據(jù)泄露后執(zhí)行阻斷訪問也是政務信息共享場景中最具挑戰(zhàn)性的一項安全需求。通常情況下，當共享數(shù)據(jù)使用方獲得數(shù)據(jù)并取得數(shù)據(jù)使用權限后，一旦需要進行數(shù)據(jù)召回與訪問阻斷控制，就需要動態(tài)調配解密密鑰，避免接收方繞過控制系統(tǒng)對數(shù)據(jù)進行離線的非受控訪問。

1.4數(shù)據(jù)脫敏仍可用

數(shù)據(jù)脫敏通常是指對敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。在標準中要求“對敏感數(shù)據(jù)應建立數(shù)據(jù)脫敏安全策略，并按安全策略進行脫敏”“應能根據(jù)應用需要保留敏感數(shù)據(jù)原數(shù)據(jù)格式、屬性或關聯(lián)”。在實際應用中，脫敏安全策略包括替換、重排、截斷、掩碼、偏移取整等脫敏規(guī)則，而且脫敏后的數(shù)據(jù)不影響業(yè)務系統(tǒng)執(zhí)行存儲和查詢、統(tǒng)計等功能。

針對傳統(tǒng)的數(shù)據(jù)字段加密可能改變數(shù)據(jù)格式的情況，需要采用FPE保留格式加密和OPE次序保留加密等新技術同時實現(xiàn)數(shù)據(jù)的脫敏與加密，支持數(shù)據(jù)還原，并且數(shù)據(jù)在經(jīng)過安全處理后不影響數(shù)據(jù)的識別、關聯(lián)、搜索、計算等可用性。通過應用FPE、OPE等創(chuàng)新密碼技術可滿足數(shù)據(jù)脫敏與密文檢索等政務信息共享場景下的新需求。

1.5兼容已有密碼設施

政務信息共享交換平臺系統(tǒng)已經(jīng)過多年建設，基本形成了以數(shù)字證書系統(tǒng)為基礎的密碼支撐體系，為了滿足政務數(shù)據(jù)共享交換場景下的數(shù)據(jù)安全新需求，采用新的密碼技術手段和方法的同時，也需要充分考慮與已有密碼基礎設施的融合，在不影響現(xiàn)有業(yè)務應用的情況下構建持續(xù)改進的密碼安全技術支撐體系。

2政務共享密碼支撐體系設計

為支持國家、地方政務信息共享交換平臺系統(tǒng)基于標準要求的數(shù)據(jù)安全升級，滿足國家GB/T 39786—2021《信息系統(tǒng)密碼應用基本要求》的安全規(guī)范，符合信息安全等級保護2.0國家標準的安全要求。針對以上需求，提出面向政務信息共享交換平臺的密碼支撐體系設計方案，方案包括應用服務層、接口服務層和資源服務層，以及對應的功能服務與管理模塊。密碼支撐體系結構框架如圖4所示。

圖4密碼支撐體系結構框架與功能服務

面向政務信息共享交換應用，構建了統(tǒng)一密碼服務平臺。該平臺屬于信息化系統(tǒng)中臺（PaaS層），可為政務數(shù)據(jù)共享交換業(yè)務應用提供統(tǒng)一的密碼技術支撐服務。平臺上接政務數(shù)據(jù)共享交換業(yè)務應用，下聯(lián)密碼基礎設施，將密碼基礎設施統(tǒng)一管理并資源池化，對外提供統(tǒng)一服務接口和管理入口。平臺采用微服務架構設計并支持容器自動化部署，滿足政務數(shù)據(jù)共享交換中各類數(shù)據(jù)安全應用場景需求?；诮y(tǒng)一密碼服務平臺的密碼支撐體系主要構成包括：

（1）應用服務，提供統(tǒng)一用戶管理、應用管理、密碼策略配置和密鑰管理等功能模塊，并支持各級政府統(tǒng)建或自建的PKI/CA數(shù)字證書系統(tǒng)、IAM/IDP統(tǒng)一身份認證與身份管理系統(tǒng)。

（2）接口服務，提供統(tǒng)一密碼功能調用接口，如國密全算法加密/解密、簽名/驗簽、聯(lián)合簽名運算與證書管理、標識管理等，支持多種主流接入方式和身份認證協(xié)議，并可支持API/SDK客戶化定制。

（3）資源服務，提供統(tǒng)一的密碼設備資源管理、運維監(jiān)控和平臺系統(tǒng)管理等功能模塊，實現(xiàn)對平臺的整體運行配置、管理、監(jiān)控和審計等功能。

（4）密碼綜合管理，提供可視化的密碼應用情況綜合管理與監(jiān)測，可直觀展示當前系統(tǒng)中密碼功能執(zhí)行的整體情況，在不采集業(yè)務數(shù)據(jù)的情況下，可對系統(tǒng)中密碼應用的合規(guī)性、完備性進行監(jiān)測和預警。

同時，考慮到政務信息共享交換平臺縱向級聯(lián)的現(xiàn)實情況，平臺還支持分布式部署與集中管理，以支持構建全域統(tǒng)一的密鑰管理策略，實現(xiàn)政務數(shù)據(jù)的跨域交換與安全傳輸。

3密碼技術應用方案

為滿足政務信息共享場景下實現(xiàn)數(shù)據(jù)脫敏、數(shù)據(jù)訪問控制、數(shù)據(jù)跨域安全傳輸?shù)泉毺氐臄?shù)據(jù)安全需求，需要創(chuàng)新應用一些具有針對性的核心密碼技術，以解決政務數(shù)據(jù)共享交換過程中面臨的數(shù)據(jù)安全問題。提供標準密碼服務的同時，結合具體政務數(shù)據(jù)安全應用場景提供針對性的密碼技術應用服務。

3.1融合模式的密碼體制

基于身份標識的密碼系統(tǒng)（Identity-Based Cryptograph，IBC）是一種非對稱的公鑰密碼體系，其概念在1984年由Shamir提出，標識密碼系統(tǒng)與傳統(tǒng)公鑰密碼系統(tǒng)（Public Key Infrastructure，PKI）一樣，每個用戶有一對相關聯(lián)的公鑰和私鑰，IBC最主要的特點是系統(tǒng)中不需要生成和管理PKI體系中的公鑰證書，而是把用戶公開的標識如姓名、身份證號碼、IP地址、電子郵箱地址、手機號碼等作為公鑰，公鑰不需要額外生成和存儲，只需通過某種方式公開發(fā)布。用戶的私鑰由密鑰生成中心（Key Generate Center，KGC）根據(jù)IBC系統(tǒng)公共參數(shù)、主密鑰和用戶標識計算得出，私鑰由用戶秘密保存。用戶的公鑰由用戶的標識唯一確定，從而不再需要公正的第三方（例如CA中心）來保證用戶公鑰的真實性。

IBC標識密碼體系是從PKI公鑰密碼體系發(fā)展而來，簡化了管理機制和算法相關的交互流程，因為其標識即為公鑰、密鑰天然托管等特點，在政務數(shù)據(jù)共享交換場景中，可基于IBC標識密碼體系實現(xiàn)數(shù)據(jù)加密共享和靈活的解密策略控制，例如以數(shù)據(jù)接收者ID作為標識公鑰對數(shù)據(jù)進行加密，可以確保只有接收者具備解密能力；以時間作為標識公鑰對數(shù)據(jù)進行加密，可以實現(xiàn)數(shù)據(jù)基于有效使用時間的解密控制；以群組ID作為標識公鑰對數(shù)據(jù)進行加密，可以實現(xiàn)數(shù)據(jù)面向特定用戶群組的解密共享。同時通過設計一定的域公共參數(shù)隱藏策略，可實現(xiàn)數(shù)據(jù)的召回和由數(shù)據(jù)提供方觸發(fā)的數(shù)據(jù)阻斷訪問等。

政務信息共享密碼支撐體系融合了標識密碼和數(shù)字證書兩套密碼體系，通過統(tǒng)一密碼服務平臺，既兼容了原數(shù)字證書體系的身份認證、數(shù)字簽名等應用，又能基于標識密碼技術支持靈活的數(shù)據(jù)分級分類、數(shù)據(jù)脫敏、訪問控制等數(shù)據(jù)安全應用。

3.2標準的密碼服務功能

統(tǒng)一密碼服務平臺提供標準數(shù)字證書的申請、簽發(fā)，提供基于數(shù)字證書的身份認證、數(shù)字簽名、數(shù)據(jù)加密與解密等標準密碼服務功能。政務信息共享交換平臺系統(tǒng)能夠基于統(tǒng)一的密碼接口規(guī)范調用各項密碼資源，實現(xiàn)加密/解密、簽名/驗簽、密鑰產(chǎn)生及生命周期管理等基礎密碼功能。

3.3專用的密碼服務功能

（1）FPE格式保留加密。

在政務信息共享交換平臺系統(tǒng)中，對手機號碼、身份證號等涉及公民個人隱私的敏感數(shù)據(jù)進行加密極其必要，然而使用傳統(tǒng)加密技術通常會改變數(shù)據(jù)格式，使加密后的數(shù)據(jù)長度和數(shù)據(jù)類型發(fā)生變化，需要系統(tǒng)修改數(shù)據(jù)結構或重新設計應用程序來適應這種變化，成本非常高昂。格式保留加密（Format-Preserving Encryption，F(xiàn)PE）是最適合用于處理此類數(shù)據(jù)脫敏需求的密碼技術，它可將一種特定格式的明文加密成相同格式的密文，按密碼學術語描述，即在一個對稱密鑰k的控制之下，加密明文x成密文y，y具有和x相同的數(shù)據(jù)類型和長度。FPE格式保留加密技術可以在不需要更改數(shù)據(jù)類型或者應用程序的情況下完成對敏感信息的加密以實現(xiàn)數(shù)據(jù)脫敏處理，F(xiàn)PE具體效果如圖5所示。

圖5 FPE格式保留加密技術

（2）OPE次序保留加密。

數(shù)據(jù)庫經(jīng)過加密算法加密后會以密文的形式存在，數(shù)據(jù)的隱私因此受到加密算法的保護，然而在政務信息共享中特定的數(shù)據(jù)脫敏安全策略下，有可能為了保證數(shù)據(jù)的可用性，要求在不解密還原數(shù)據(jù)庫的前提下對密文進行有效的檢索查詢。

目前可搜索查詢的加密算法均只容許單一的精準匹配，換句話說，用戶的查詢請求只能匹配到某個具體密文，而對于更加復雜的查詢請求（如范圍查詢），以上算法都是無效的。而OPE次序保留加密技術（Order-Preserving Encryption，OPE）能夠解決此類問題，應用OPE技術后允許在密文數(shù)據(jù)庫上進行索引、排序和搜索操作，以滿足復雜數(shù)據(jù)脫敏安全策略的設計需求。OPE具體效果如圖6所示。

圖6 OPE次序保留加密技術

（3）ETL數(shù)據(jù)透明加解密。

ETL是指數(shù)據(jù)從來源端經(jīng)過抽?。‥xtract）、轉換（Transform）、加載（Load）至目的端的過程。目前常用的ETL工具包括Sqoop、Kettle、DataX等。通過開發(fā)與上述ETL工具相融合的加解密插件，在數(shù)據(jù)執(zhí)行抽取、加載時自動解密密文數(shù)據(jù)，轉換處理回寫時自動加密明文數(shù)據(jù)，從而實現(xiàn)數(shù)據(jù)在ETL數(shù)據(jù)處理過程中的透明加解密。數(shù)據(jù)在存儲介質上是密文數(shù)據(jù)，抽取、加載到內存時為明文數(shù)據(jù)，數(shù)據(jù)一旦離開ETL的自動解密環(huán)境則無法還原，從而在最大限度不改變應用系統(tǒng)的前提下，防止數(shù)據(jù)的非授權泄露。ETL數(shù)據(jù)透明加解密既支持結構化數(shù)據(jù)格式，也支持非結構化數(shù)據(jù)格式操作，因而極大拓展了該項目技術的適用性。

（4）UDF數(shù)據(jù)加解密。

UDF（User Defined Function，用戶自定義函數(shù)）數(shù)據(jù)加解密技術，即由政務大數(shù)據(jù)平臺的數(shù)據(jù)倉庫、數(shù)據(jù)集市系統(tǒng)通過UDF函數(shù)實現(xiàn)數(shù)據(jù)加解密處理。該方式相對于ETL或HDFS（分布式文件系統(tǒng)）數(shù)據(jù)透明加解密方案，需要數(shù)據(jù)共享交換平臺進行UDF函數(shù)的集成開發(fā)和部署，通過SQL語句觸發(fā)加解密操作，雖然開發(fā)和實施過程相對復雜，但支持細顆粒度的解密鑒權，安全性更高。可滿足多種復雜數(shù)據(jù)安全防護場景下的數(shù)據(jù)防泄露需求。

（5）無介質密碼簽名運算。

密鑰分片與聯(lián)合簽名運算的技術，可以實現(xiàn)密鑰在無安全存儲介質的情況下，依然能保證簽名過程中的敏感數(shù)據(jù)安全性和簽名結果的合法性。可提供一種方法簡單、安全的基于國密SM2/SM9算法實現(xiàn)的協(xié)同數(shù)字簽名應用方案，其原理是將算法私鑰分割為兩個部分，即第一分片子密鑰和第二分片子密鑰。第一分片子密鑰安全分發(fā)到共享數(shù)據(jù)使用方，第二分片子密鑰由聯(lián)合簽名服務器派生生成，保存在共享數(shù)據(jù)提供方或共享數(shù)據(jù)交換方。共享數(shù)據(jù)使用方使用獲得的第一分片子密鑰對消息進行簽名后，將簽名結果傳遞給聯(lián)合簽名服務器，聯(lián)合簽名服務器使用第二分片子密鑰對簽名結果變換后生成標識私鑰對消息的完整簽名，該完整簽名可以實現(xiàn)共享數(shù)據(jù)申請的不可否認和操作的不可抵賴。

考慮到政務信息共享交換場景下，各層級的數(shù)據(jù)交換頻繁發(fā)生，統(tǒng)一為全國接入共享交換平臺所有用戶安全分發(fā)授權訪問數(shù)據(jù)的密鑰硬件介質是不現(xiàn)實的，因此通過無介質密碼簽名運算技術，既解決了密鑰的安全分發(fā)與算法的安全運算，還可以實現(xiàn)政務信息共享場景下身份鑒別、過程追溯、數(shù)據(jù)處理溯源等數(shù)字簽名密碼技術的安全應用。

4結語

密碼技術是目前世界上公認的保障網(wǎng)絡與信息安全最有效、最可靠、最經(jīng)濟的關鍵核心技術。2020年1月1日起正式施行的《中華人民共和國密碼法》要求，“關鍵信息基礎設施必須依法使用商用密碼進行保護,并開展商用密碼應用安全性評估”。隨著國家深入推進和開展政務信息共享和標準的貫徹落實，數(shù)據(jù)安全中的密碼技術應用新需求還會不斷涌現(xiàn)，相應的技術規(guī)范、管理要求和解決方案也應該持續(xù)不斷地發(fā)展和更新。