信息化觀察網

密碼是國之重器，在保障網絡安全的各種手段和技術中，被公認是目前世界上公認的最有效、最可靠、最經濟的關鍵核心技術，它可以提供機密性、完整性、真實性、抗抵賴性、可控性等一系列重要安全服務和保障，在網絡安全防護中具有不可替代的重要作用。因此密碼技術與航天技術、核技術并列為國家安全的三大戰(zhàn)略武器。構建網絡空間安全保障體系、維護國家網絡空間安全，必須堅持總體國家安全觀，推動密碼全面規(guī)范應用，構建以密碼為基礎的網絡安全體系，實現從被動防御向主動免疫的戰(zhàn)略轉變。本期內容小編將分為3部分內容，整理關于密碼的概念、密碼產品分類、商用密碼應用的內容，使大家更加系統(tǒng)地認識密碼和了解密碼。

關于密碼

為了對密碼實施科學管理，確保密碼安全保密，充分發(fā)揮密碼在保護網絡與信息安全中的核心支撐作用，密碼法按照保護信息的不同，將密碼分為三類，分別是核心密碼、普通密碼和商用密碼。商用密碼是用于保護不屬于國家秘密的信息，公民、法人和其他組織都可以依法使用商用密碼。我們本文所講的密碼及應用也主要是商用密碼。

密碼

《密碼法》對密碼做了明確的定義，指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。

特定變換

指明密文在特定控制下所進行的轉換。

明文

指蘊含特定信息，且為人直接感知信息內容的數據，譬如一份報告、一本小說、一份材料等。

密文

指明文轉換后形成的，不可直接感知信息內容的數據。

密鑰

轉換的內在規(guī)律，就是密碼算法轉換的特定控制，稱為“密鑰”。

密碼算法

指描述密碼處理過程的一組運算規(guī)則或章程，一般是指基于復雜數學問題設計的一組運算。主要包括對稱密碼算法、非對稱密碼算法、密碼雜湊算法和隨機生成算法。

密碼技術

指利用物項實現加密保護或安全認證的方法或手段，包含密碼編碼、實現、協(xié)議、安全防護、分析破譯，以及密鑰產生、分發(fā)、傳遞、使用、銷毀等技術。典型的密碼技術包括密碼算法、密鑰管理和密碼協(xié)議。

密碼產品

指采用密碼技術加密保護或者安全認證為主要功能的設備與系統(tǒng)。

密碼服務

是指基于密碼專業(yè)技術、技能和設施，為他人提供集成、運營、監(jiān)理等密碼支持和保障的活動，是基于密碼技術和產品，實現密碼功能的行為。

密鑰管理

指根據安全策略，對密鑰的產生、分發(fā)、存儲、更新、歸檔、撤銷、備份、恢復和銷毀等全生命周期的管理。密鑰是密碼算法中控制密碼變換的關鍵參數，它相當于一把“鑰匙”。只有掌握了密鑰，密文才能被解密，恢復成原來的明文。

密碼協(xié)議

指兩個或兩個以上參與者使用密碼算法，為達到加密保護或安全認證目的而約定的交互原則。

密碼產品按功能分類：

密碼產品按產品形態(tài)分類：

產品應用

隨著商用密碼技術研發(fā)和成果轉化的有力支撐，商用密碼的應用領域不斷擴大，應用程度不斷加深，應用認可度不斷提升，在維護國家安全、促進經濟社會發(fā)展、保護公民、法人和其他組織合法權益方面發(fā)揮著越來越重要的作用。我國金融信息系統(tǒng)、第二代居民身份證管理系統(tǒng)、國家電力信息系統(tǒng)、社會保障信息系統(tǒng)、全國中小學學籍管理等系統(tǒng)中，都應用商用密碼技術構建了密碼保障體系。同時，商用密碼的廣泛應用也對高質量商用密碼技術、產品和服務提出了迫切需求。接下我們以國家密碼局霍煒、公安部網絡安全包畏懼郭啟全主編的《商用密碼應用與安全性評估》一書中介紹的8種商用密碼典型應用場景為案例，了解密碼應用方案和安全性評估的實施要求和關鍵點。

01、密鑰管理系統(tǒng)

密鑰管理系統(tǒng)實現了對業(yè)務系統(tǒng)中各種密鑰的全生命周期集中管理。密鑰管理系統(tǒng)密碼應用方案設計的重點是建立完善的密鑰管理體系，以滿足其他業(yè)務系統(tǒng)對于對稱密碼體制和非對稱密碼體制的密鑰服務需求。

在進行密碼應用安全性評估時，一方面需要關注密鑰管理系統(tǒng)自身的密鑰安全，另一方面需要關注為其他業(yè)務系統(tǒng)提供服務時所涉及的業(yè)務系統(tǒng)密鑰安全。

密鑰管理系統(tǒng)密碼應用部署如下圖所示（圖中的A、B、C為測試工具接入點）。該系統(tǒng)由KMC（密鑰管理中心，Key Management Center）和SKMC（密鑰管理分中心，Sub-KMC）兩部分組成，最上層的業(yè)務系統(tǒng)不在密鑰管理系統(tǒng)的邊界之內。

圖5-密鑰管理系統(tǒng)密碼應用部署圖

作為密鑰管理系統(tǒng)的核心區(qū)域，KMC為多個不同需求的SKMC提供對稱密鑰和非對稱密鑰對的管理服務，通過離線分發(fā)方式向SKMC下發(fā)密鑰。KMC不直接面向業(yè)務系統(tǒng)，而SKMC則直接面向業(yè)務系統(tǒng)提供密鑰管理服務。密鑰管理系統(tǒng)具有對稱密鑰管理和非對稱密鑰管理兩部分功能。

本系統(tǒng)包括的密碼產品、通用服務器、關鍵業(yè)務應用和關鍵數據分別如表6～表11所示。

表6-密鑰管理系統(tǒng)部署的密碼產品列表

表7-密鑰管理系統(tǒng)部署的通用服務器列表

表8-密鑰管理系統(tǒng)關鍵業(yè)務應用列表

表9-密鑰管理系統(tǒng)關鍵數據列表

密鑰管理系統(tǒng)的對稱密鑰及其功能如下表所示。

表10-密鑰管理系統(tǒng)對稱密鑰列表

密鑰管理系統(tǒng)中涉及的非對稱密鑰如下表所示。

表11-密鑰管理系統(tǒng)非對稱密鑰列表

密鑰管理系統(tǒng)的密碼應用工作流程如下圖所示：

圖12-密鑰管理系統(tǒng)的密碼應用工作流程

密鑰管理系統(tǒng)的密碼應用工作流程如下：

①KMC向SKMC離線分發(fā)密鑰：KMC利用離線方式通過智能IC卡將SKMC主密鑰和SKMC（加密）密鑰對從服務器密碼機分發(fā)到SKMC的服務器密碼機中。

②SKMC向業(yè)務應用系統(tǒng)離線分發(fā)密鑰：SKMC-I向業(yè)務應用系統(tǒng)I離線分發(fā)密鑰，SKMC-II向業(yè)務應用系統(tǒng)II和III離線分發(fā)密鑰。SKMC-I和SKMC-II都采用離線分發(fā)方式進行業(yè)務系統(tǒng)密鑰的分發(fā)，區(qū)別在于SKMC-II和業(yè)務系統(tǒng)之間傳遞的密鑰是業(yè)務系統(tǒng)密鑰加密密鑰或業(yè)務系統(tǒng)（加密）密鑰對，在步驟③中進行后續(xù)密鑰的安全傳輸。

③SKMC向業(yè)務應用系統(tǒng)離線分發(fā)密鑰：SKMC-II向業(yè)務應用系統(tǒng)II和III在線分發(fā)密鑰。利用步驟②中離線分發(fā)的業(yè)務系統(tǒng)密鑰加密密鑰或（加密）密鑰對，對后續(xù)密鑰進行加密分發(fā)。

02、身份鑒別系統(tǒng)

身份鑒別系統(tǒng)是面向業(yè)務網各應用系統(tǒng)平臺提供身份鑒別服務的系統(tǒng)，可對各類業(yè)務網中應用系統(tǒng)的用戶身份進行集中管理并實現身份鑒別和授權。身份鑒別系統(tǒng)的密碼應用，主要解決用戶身份真實性、單點登錄場景下鑒別協(xié)議的安全性、鑒別和授權過程中敏感數據（如憑證信息和用戶信息）傳輸和存儲的安全性等問題。

圖13-身份鑒別系統(tǒng)密碼應用部署圖

具體說明如下：

①在機房部署SSL VPN網關，用于安全通信鏈路的構建。

SSL VPN網關是身份鑒別服務器的外部訪問出口，確保通信安全。

②在機房部署身份鑒別服務器，調用服務器密碼機，完成身份鑒別協(xié)議邏輯的實現。

③在機房部署服務器密碼機，為身份鑒別服務器提供數字簽名、驗證簽名和數據加解密等密鑰管理和密碼運算服務。

身份鑒別系統(tǒng)的工作流程如下圖所示。

圖14-身份鑒別系統(tǒng)的工作流程

身份鑒別系統(tǒng)的密碼應用工作流程如下：

①用戶身份鑒別。用戶通過用戶名/口令和智能密碼鑰匙登錄身份鑒別系統(tǒng)；身份鑒別系統(tǒng)對用戶的身份進行鑒別，以確保用戶身份的真實性。

②生成Access Token。身份鑒別服務器根據應用系統(tǒng)的redirect_uri（回調地址）和用戶信息生成Access Token，并采用HMAC-SM3算法對其進行完整性保護。

③應用系統(tǒng)簽名。應用系統(tǒng)使用自己的簽名私鑰對Access Token進行簽名。

④Access Token合法性檢查。首先，身份鑒別服務器使用應用系統(tǒng)證書對應用系統(tǒng)簽名進行驗證，以鑒別應用系統(tǒng)的身份；然后，身份鑒別服務器對Access Token進行HMAC-SM3驗證，以確認Access Token的合法性；最后，檢查Access Token與應用系統(tǒng)是否匹配。

⑤應用系統(tǒng)關聯用戶賬戶。身份鑒別服務器通過SSL安全通信鏈路將請求的用戶信息返回給應用系統(tǒng)，應用系統(tǒng)根據用戶信息進行賬號關聯。

03、金融IC卡發(fā)卡系統(tǒng)和交易系統(tǒng)

金融IC卡系統(tǒng)是現代信息技術與金融服務的高度融合，通過發(fā)行采用芯片技術、符合金融行業(yè)標準、可兼具多重功能（如銀行卡、保障卡、管理卡等）的金融IC卡，從根本上提高銀行卡的安全性。

金融IC卡系統(tǒng)密碼應用主要解決卡片與發(fā)卡行之間的身份鑒別、持卡人的身份鑒別、交易數據的傳輸安全與存儲安全等方面的問題。

圖15-金融IC卡系統(tǒng)整體架構和部署情況

04、網上銀行系統(tǒng)

網上銀行系統(tǒng)是商業(yè)銀行等金融機構通過互聯網向其用戶提供各種金融服務的信息系統(tǒng)，是各銀行在互聯網中設立的虛擬柜臺，通過互聯網向客戶提供開戶、銷戶、查詢、對賬、行內轉賬、跨行轉賬、信貸、網上證券、投資理財等傳統(tǒng)服務項目，使客戶足不出戶就能夠安全、便捷地管理活期和定期存款、支票、信用卡及個人投資等。

網上銀行系統(tǒng)密碼應用的主要目的是解決網上銀行用戶身份鑒別、關鍵數據的保密性和完整性保護，以及交易行為的不可否認等安全問題。網上銀行系統(tǒng)可以通過個人計算機（PC）、移動終端等提供服務。

圖16-網上銀行系統(tǒng)密碼應用的整體架構

05、遠程移動支付服務業(yè)務系統(tǒng)

非金融機構支付服務是指非金融機構在收付款人之間作為中介機構提供部分或全部貨幣資金轉移的服務，包括網絡支付、預付卡發(fā)行與受理、銀行卡收單以及中國人民銀行確定的其他支付服務，其中網絡支付又包括移動支付、互聯網支付、固定電話支付等。

本案例以移動支付服務場景為例進行具體介紹，稱為“遠程移動支付服務業(yè)務系統(tǒng)”。用戶通過移動支付客戶端（如智能移動終端）訪問遠程移動支付服務業(yè)務系統(tǒng)，該系統(tǒng)為用戶提供移動支付、用戶資金轉移等服務。

該系統(tǒng)的密碼應用主要解決支付交易資金轉移相關的安全問題，密碼應用安全性方案設計和測評的重點是確保支付交易流程和交易重要數據的安全性。

圖17-遠程移動支付服務業(yè)務系統(tǒng)密碼應用的整體架構和部署情況

06、信息采集系統(tǒng)

信息采集系統(tǒng)是對分散設備信息進行自動采集、數據管理、異常數據分析以及參數和控制指令下發(fā)的信息系統(tǒng)，該類信息系統(tǒng)通常由主站系統(tǒng)、通信信道、集中/采集設備組成，其特點是點多面廣、數據并發(fā)量大，對實時性以及通信成功率要求高。

為防范系統(tǒng)經過公網信道執(zhí)行數據采集、參數和控制指令下發(fā)操作時，通信雙方非授權主體的假冒，關鍵信息被截獲、篡改、重用等風險，密碼應用方案設計和密碼應用安全性評估的重點在于主站和采集設備之間的身份鑒別，以及系統(tǒng)重要數據在傳輸和存儲過程中的保密性和完整性保護。

圖18-信息采集系統(tǒng)密碼應用整體架構和部署圖

07、智能網聯汽車共享租賃業(yè)務系統(tǒng)

智能網聯汽車共享租賃業(yè)務系統(tǒng)是商用密碼在車聯網領域的一個典型應用，在提升人車交互便利性的同時，也保證了安全性。租賃用戶可以通過移動終端App（本案例中簡稱App）完成車輛發(fā)現、選擇和信息采集等功能，同時用戶可以使用該App完成車輛開門、發(fā)動、熄火、鎖門等車輛控制動作。該系統(tǒng)主要包含人、車、云三個角色：第一個角色是人，人通過移動終端安裝App軟件，登錄車輛管理云平臺（Telematics Service Provider，TSP）獲取相應的服務功能，并通過藍牙和車進行通信；第二個角色是車，車通過車輛通信模塊（Telematics BOX，TBOX）實現車輛與TSP的遠程通信，并通過車內的藍牙通信模塊實現與App之間的無線通信；最后一個角色是云，即TSP負責集中管理所有網聯汽車的各類數據資源，并遠程控制網聯汽車。

密碼在該系統(tǒng)中主要用來解決共享租賃業(yè)務面臨的三個安全問題：①云對人如何進行安全的身份鑒別；②人對車如何進行無線安全控制，如開門、發(fā)動、熄火、鎖門等；③人、車、云三者之間的通信如何防止信息泄露。

圖19-智能網聯汽車共享租賃業(yè)務系統(tǒng)整體架構和部署情況

08、綜合網站群系統(tǒng)

綜合網站群系統(tǒng)是指上級機構主網站和其下屬部門子網站的集合系統(tǒng)，主站和子站構成一個整體，用戶可以以主站為門戶，方便獲得統(tǒng)一的信息服務。綜合網站群系統(tǒng)實現了多站點統(tǒng)一管理、權限統(tǒng)一分配、信息統(tǒng)一導航、信息統(tǒng)一檢索等功能，通過共享共用集群軟硬件資源，實現網站群集約化管理。

綜合網站群系統(tǒng)密碼應用主要解決各子站應用數據安全隔離、網站管理關鍵操作溯源及重要數據安全等問題。密碼應用方案設計和密碼應用安全性評估重點是網站群應用管理關鍵操作行為的不可否認和重要應用數據的保密性與完整性保護。

圖20-綜合網站群系統(tǒng)密碼應用部署圖

09、政務云系統(tǒng)

政務云系統(tǒng)是運用云計算技術，整合現有機房、計算、存儲、網絡、安全、應用支撐等資源，形成統(tǒng)一服務的綜合平臺，實現不同電子政務系統(tǒng)間的信息整合、共享、交換和政務工作協(xié)同。相比于傳統(tǒng)信息系統(tǒng)，政務云系統(tǒng)在安全方面面臨新的挑戰(zhàn)。一方面，政務云系統(tǒng)中主機邊界、網絡邊界模糊，風險不但來自南北流量（外部用戶與內部服務器之間的流量），同時也來自東西流量（內部服務器之間的流量）；另一方面，云系統(tǒng)承載多個單位的業(yè)務系統(tǒng)，各單位的業(yè)務系統(tǒng)可能需要密碼來支撐自身的業(yè)務服務。因此，政務云系統(tǒng)需要將密碼作為一種服務，為這些系統(tǒng)提供支撐。

本案例的政務云系統(tǒng)分為云平臺（含密碼服務）、身份鑒別平臺、云上應用三個功能模塊。在密碼應用方面，云身份鑒別平臺模塊直接調用身份鑒別平臺實現云平臺管理員、租戶和用戶的身份鑒別；云上應用中的密碼應用與傳統(tǒng)信息系統(tǒng)類似，只是需要調用云平臺中的密碼服務；而云平臺與傳統(tǒng)典型信息系統(tǒng)有較大差異。

圖21-政務云平臺密碼應用部署圖

數字經濟時代，信息網絡的抗爭和沖突將更加激烈，圍繞“信息控制權”的斗爭將成為國家生存與發(fā)展中能否取得主動的關鍵。密碼作為網絡信息安全的關鍵技術，在保護網絡信息安全中起著不可替代的作用。在一個個人信息像電子一樣飛速流動、無孔不入的世界里，我們的未來與密碼技術息息相關。

文章內容由國密應用研究院整理，轉載請注明。商密應用案例來自《商用密碼應用與安全性評估》。