◆李冠军
(北京得安信息技术有限公司 北京 100032)
密码服务平台解决方案
◆李冠军
(北京得安信息技术有限公司 北京 100032)
随着安全问题越来越受到关注,越来越多的业务系统采用密码技术来保障信息安全,本文分析了信息系统面临的信息安全问题和解决方案,重点分析了如何在越来越复杂的信息系统中建立建设统一的密钥管理、密码运算的解决方案,解决身份认证、通信安全、数据安全等方面安全问题。
密码服务平台;信息系统安全等级保护;商用密码技术;密码设备
随着信息技术的发展,人类步入信息化、网络化的时代,促进了社会的发展和进步,给人们的工作、生活带来了极大的便利,也使我们对信息系统的依赖性越来越强,所以保障信息安全的重要性不言而喻。如何在既保证信息安全性的情况下,又实现业务系统的互联互通和避免重复建设投资,这就需要我们在密码设备管理和密钥管理方面进行相应的设计和研究,保证安全性和节约性。
传统的信息系统,采用服务器密码机、签名验签服务器等作为身份认证、密钥存储和密码运算的硬件设备,具有较高的安全性。但是,随着信息系统的安全建设越来越多,同样也面临着对密码基础设施的重复开发、重复投资等问题;各个信息系统之间密钥管理体系不同、安全标准不统一,阻碍信息化建设互联互通等问题。
本文首先分析了信息系统的整体安全架构,然后重点分析了如何在越来越复杂的信息系统中建立建设统一的密钥管理、密码运算的解决方案,解决身份认证、通信安全、数据安全等方面安全问题。
根据《信息系统安全等级保护基本要求》[1],信息系统的安全技术体系包括物理安全、通信网络安全、区域边界安全、主机系统安全、应用系统安全和数据备份/恢复安全等环节。密码技术是实现身份认证和数据安全的重要手段,因此可以采用信息系统安全等级保护的框架进行密码服务平台的安全设计和实施。
密码技术[2,3,4]是信息安全的核心技术之一,用于保护信息的保密性、完整性、鉴别性和不可抵赖性等。在移动互联网和移动终端中,涉及到身份鉴别、数据保密性、数据完整性、抗抵赖等安全需求,应采用加密算法、数字签名、消息鉴别码等密码技术实现信息安全的保障要求。
在信息系统中需要建立统一、规范和高效的安全基础设施-密管平台。
提供灵活的密码服务组件和接口,从根本上解决信息系统项目开发中密码基础设施的重复开发、重复投资等问题。
建立完善的密钥管理体系,提供规范的密钥管理基础服务,对信息系统中涉及的各类密钥实现生命周期的全程管理,全面提升应用系统的安全等级。
对密钥管理和密码运算的开发接口实现统一封装和定制,能够支持应用系统开发中对密钥管理、信息加密、完整性校验等功能的灵活调用,提供多操作系统、多密码协议、多应用层次的加密软件包,平台支持国内主流安全厂商的密码设备,屏蔽不同厂商的底层密码实现细节,提高应用系统的开发效率和运行维护效率。
2.1 支持国产密码算法
密码算法分为对称密码算法、非对称密码算法和密码杂凑算法等。其中,对称密码算法分为分组密码算法和序列密码算法(流密码)两大类。在互联网领域中,分组密码算法用于网络通信加密、存储加密等功能;非对称密码算法用于密钥协商、数字签名、身份认证等功能;密码杂凑算法用于消息摘要计算、消息验证码等功能。
我国的分组密码算法标准包括SM1算法、SM4算法;非对称密码算法包括SM2算法、SM9算法;密码杂凑算法包括SM3算法。在安全基础设施-密管平台中,应支持我国的密码算法标准,以及相应的密码接口和协议标准。
2.2 优化密钥管理流程
密管平台通过密钥管理流程再造,提高密钥管理人员的操作效率,原来只能在各信息系统进行密钥管理操作,现在可以统一在密钥管理系统后台上进行操作,简单便捷,实现了密钥管理操作的集中化、流程化、专业化,提高了人员操作效率。
2.3 统一的安全运算标准
原有的信息系统各自的运算标准不统一,在系统对接时浪费大量时间进行算法的联调工作,而密管平台可以让信息系统对接时联调工作变得简单、高效。
2.4 密码设备可以灵活替换
密管平台屏蔽了密码设备的技术实现细节,可以调度各个密码安全厂家的密码设备,因此信息系统选择硬件密码设备拥有更大的自由度。
2.5 减少密码设备投入
密管平台可以为多个信息系统提供密码运算服务和密钥管理服务,采用平台集中的方法能够提供统一强度的密码保护,提高了密码设备的利用效率,并且减少了重复投资,节约信息系统信息化的建设成本。
随着信息技术的飞速发展,信息系统也越来越多样化、复杂化。为了保证安全标准的统一,安全管理流程的一致,密钥数据的集中管理,减少密码设备的投入,建设统一的密管平台已成为信息建设的趋势。
[1]GB/T 22239-2008.信息安全技术信息系统安全等级保护基本要求[S].中国标准出版社,2008.
[2]GM/T 0002-2012.SM4分组密码算法[S].中国标准出版社,2012.
[3]GM/T 0003-2012.SM2椭圆曲线公钥密码算法[S].中国标准出版社,2012.
[4]GM/T 0004-2012.SM3密码杂凑算法[S].中国标准出版社,2012.