基于密码技术的云安全服务体系

冯桂安 邱晨明 郭京妹

1.上海市大数据中心；2.中国人民解放军92145部队

密码应用安全性及防护体系是信息化建设的重要内容。当前等保2.0对网络数据的保密性、完整性以及可用性等具有较高要求，也提出了更高的评测标准。针对信息化建设安全可靠需求，本文研究了多业务场景模式下的密码防护，提出了基于密码技术的云安全服务体系，设计了云环境中密码应用架构和建设方案，为云服务环境中快速、灵活的密码服务奠定了良好基础。

随着《中华人民共和国网络安全法》、《中华人民共和国密码法》和《信息安全技术网络安全等级保护基本要求》即等保2.0的相继发布和正式实施，以及数字经济时代网络安全重要性越来越高，对网路数据的安全性要求也越来越高，包括数据的完整性、保密性以及可用性等[1]。在网络安全中，对数据安全的保护起到重要作用的是密码技术，通过密码技术的运用可以保障数据可信安全，防止数据泄密、篡改等问题，还能起到抗抵赖的作用。而在等保2.0中，对密码技术的应用提出了更好的要求，在涉及到密码相关条款的测评方面也提出了高标准的要求，期望通过严格的标准规范促进网络安全[2]。

在国密码法中，要求对关键基础设施的密码应用安全性进行评估，对一些密码产品、服务和保障系统等也要进行安全审查，进而保障国家安全[3]。在网络安全的相关标准规范中，也对各个阶段的密码应用提出了安全性评估要求。密码应用安全性评估成为必不可少的内容，受到了全社会的关注。

密码应用安全性评估包含许多方面，主要针对算法、协议以及设备等进行安全评估和检测，确保符合相关法规和标准要求。因此，在商用密码技术，以及采用商用密码产品和服务的信息系统建设中，对密码应用的安全评估不可或缺，密码应用的合规性、正确性和有效性也成为评估中主要关注的内容[4]。

随着密码法、等保2.0的发布，对于采用商用密码提出了强制性规定，对于采用商用密码技术的合理性防护也提出了要求[5]。近年来，云计算技术得到普遍应用，政务信息系统在公有云和私有云集聚。国密码法出台后，政务信息系统在云端更需要有完整的安全体系予以保障。同时，考虑到财政投入的合理性，为每一套应用系统配置独立的密码保障体系已不再适用。因此，基于现有业务环境，结合业务实际情况，构建一套合规的、精准化的、适用于多业务场景模式下的一套密码防护体系成为目前数字城市信息化建设的重要基础。

1 多业务场景下密码防护体系设计

1.1 密码应用统一合规性设计

在实际使用过程中，业务应用往往自带独立的密码体系，在面临等保2.0及密评过程中，面临着使用方面存在不合理/不合规等问题[6]，例如长时间采用某个对称密码进行运算，密码算法没有按照整体安全要求进行计算，这些问题由于密码技术自身的特殊性很难被察觉及发现，但是在实际使用过程中却可能被恶意使用造成失泄密的风险，在测评过程中也很容易被检测[7]。因此云平台可以考虑构建一个按照合规要求，满足密评标准的统一密码应用支撑服务，一方面避免各应用系统各自实现导致密码应用不合规或有遗漏；另一方面也可以统一密码服务的标准，降低密码技术对接的难度。主要包括以下内容：

（1）访问系统用户身份的真实性功能；

（2）系统存储数据的机密性功能；

（3）用户权限信息的真实性和完整性功能；

（4）系统日志的完整性功能；

（5）关键操作的不可否认性功能；

（6）文件数据的真实性和不可否认性功能；

（7）其他功能。

1.2 密码与云应用环境的适配

随着云计算的迅猛发展，政务领域越来越多的应用体系已经搬迁至政务云平台中，而《网络安全等级保护基本要求》中也分别提出了对于传统领域和云计算环境中的具体安全要求，因此从业务角度出发，密码技术在新的运算环境中如何贴合云计算的技术架构，在确保安全合规的前提下，实现密码服务支撑，是目前一个重要的诉求[8]。

1.2.1 面向租户/应用的密码应用能力

现有云计算中出现的云密码服务，在现有密码设备的基础上实现了分布式服务，为云租户及上层应用提供基础的密码服务，服务对象集中在IAAS/PAAS层[9]；但是从整体应用效果分析，现有云密码服务体系缺乏贯穿云计算平台的密码服务能力，对于SAAS层即面向业务应用的密码应用支撑能力相对欠缺，导致密码技术无法向上层应用直接提供安全服务，因此在云计算环境中，在实现底层密码计算能力已经云化的基础上，提供基于统一标准、统一服务流程的SAAS层密码应用支撑能力。

在传统领域，类似签名验签服务器、安全认证网关等设备，实际上都是面向一定应用场景的密码算法和密码协议结合的产品，它们到了云中必须实现软件功能与硬件模块的分离，硬件模块成为云密码资源服务的一部分，基于国家密码管理局统一的技术标准和接口，提供标准化的应用密码算力，软件功能被重构为虚拟机模板、或微服务模板，成为虚拟的设备。这些虚拟的设备具备部署快速、灵活，可以动态配置，易于水平扩展的特点，适合大并发、弹性部署的需求。

1.2.2 面向云平台的密码计算能力

出于安全性的考虑，在重要的应用系统中，密码运算、密钥管理要求使用硬件密码模块。由于在云服务器中部署硬件密码模块比较困难，现在一般采用单独部署云密码资源池的方案，云平台通过网络连接使用密码资源池的安全密码功能。密码资源池是密码硬件的集群，也使用云计算的硬件虚拟化技术，将密码硬件资源虚拟成各个相互独立的虚拟密码设备，通过密码资源调度系统进行密码资源的分配、管理和统一调度，并对外提供统一的按需分配、弹性扩展的密码功能服务。

1.3 具备整体密码监管能力

密码技术作为核心的安全防护手段，面向密码使用的最终主体进行源头管理，从密码应用系统，密码技术产品等方面实现资源的统一注册和管理；并对于密码应用过程中的实际效果和技术风险，采用量化数据，通过分析密码应用对象、密码应用质量等精准的实际数据，以此建立本单位/部门商用密码应用的台账机制；并且对于密码技术在实际应用过程中的问题、质量和效果，进行统一的研判，形成对密码应用效果有效的评估，确保使用密码技术的成果和风险及隐患实现总览，总体提升密码应用的效果，及时发现并处理可能在密评中出现的潜在问题。

2 面向多业务场景的密码服务体系构建思路

基于密码技术为根本，以《网络安全等级保护基本要求》为目标，充分遵循《信息系统密码应用基本要求》的相关要求，构建以密码技术为核心的密码服务支撑体系，整体设计采用“分层构建”的理念，结合业务体系的特点，融合密码应用的不同类别和多种场景，在保证性能的前提下，为业务应用提供统一安全加固服务。

以密码资源和基础设施为整体基础，基于现有的数字证书体系，使用国产密码设备，形成满足业务支撑能力的密码计算资源。

以密码基础服务为计算、处理及管理的中心，通过与密码资源的联动，实现密码计算资源的有效整合和分配，同时提供密钥服务/最底层的密码计算服务，形成密码服务的计算保障。

以密码通用服务为安全支撑核心，面向多用户、多应用，在密码基础服务的支撑下，提供统一的以应用体系为目标的密码通用服务支撑；根据业务场景，降低密码对接难度，扩大密码服务的范围，服务内容包括身份鉴别、访问控制、签名验证、数据加解密、电子签章、传输保护等。

以安全可靠应用服务为安全提升，提供多种独立运行的密码安全+应用服务，面向不同应用单位提供密码应用的增值服务。

以密码监督为抓手，进行密码服务的统一管理，实现密码资源的统一调用和动态分配；同时完成密码及应用的信息采集、汇总、台账、上报、合规监测等工作。

3 面向多业务场景的密码服务模型

3.1 整体架构

整体密码支撑体系框架包括密码基础设施、密码资源（计算）层、密码基础服务、密码通用服务、安全可靠应用、密码监管层、密码标准体系、相关政策及法律法规组成。

3.2 密码基础层

（1）基础设施层。密码基础设施相对独立的密码基础组件，包括电子认证基础设施、密钥管理基础设施。电子认证基础设施提供数字证书管理服务。密钥管理基础设施包括非对称密钥管理和对称密钥管理，提供密钥从产生、存储、传输、备份、更新等全生命周期的服务。

（2）密码资源层。密码资源（计算）层是提供数字签名/验证、加密/解密等密码运算功能的部件或产品，应当通过国家密码管理部门审查，获得商用密码产品型号证书。密码设备包括密码软/固件、密码芯片、密码板卡、密码整机等。针对云环境，采用密码资源池技术，在云平台环境下基于密码设备构建，物理密码设备被虚拟化成为虚拟密码设备，按需分配给租户使用，对外提供云密码服务。

（3）基础服务层。基于密码资源能力，实现密码基础服务和密钥管理，确保机密性、完整性、真实性及不可否认性等密码服务的供给，同时确保密钥在生成、使用、管理等过程中的合规安全。

3.3 密码应用层

密码技术支撑的安全防护措施按照等保2.0“一个中心，三重防护”体系框架，分为存储加密、传输加密、签名验证等密码基础服务和身份认证、访问控制、安全审计、时间戳等密码应用服务组成。基于密码技术，通过身份认证、访问控制、安全审计、时间戳、签名/验证等密码服务提供信任支撑，实现可信、可控、可管、可追溯；通过加密传输，实现端到端传输安全；通过数据加密存储，保证重要数据存储安全。

安全可靠应用，提供已与密码技术合规有效结合的，满足密评要求的安全可靠的业务办公系统，包括电子公文、安全邮件等业务应用。贯穿整个密码服务体系的管理中心，对设备和密码平台的使用均能进行管理，包括台账管理、合规分析、设备/服务状态、密钥管理、服务监管、注册/配置等功能。

3.4 密码标准体系层

政务领域所有涉及的密码芯片、设备、部件、软件和系统都应优先支持SM2/3/4密码算法。因此，在政务领域相关规范标准中，对密码部分有严格的要求，应采用国产加解密算法，以及符合国家相关密码标准规范要求，进而保障政务数据及应用的安全可靠。

政务应用所涉及的密码标准包括SM系列密码算法、算法使用规范等算法类标准，VPN密码机、智能密码钥匙等密码设备以及密码设备应用接口规范等产品类标准，以及电子文件、电子印章密码技术规范等密码应用类标准。

另外，在信息系统密码应用要求中，基于等级保护框架，在多个方面提出了密码技术应用要求，并且有不同级别要求标准，例如在物理环境、通信网络、区域边界、计算环境等方面，并明确了相应的密钥管理和安全管理要求，可用于指导不同安全等级的政务信息系统的建设和测评工作。

4 基于密码技术的云安全服务构建

4.1 总体架构

在云环境中采用资源服务模式面向云租户提供密码服务，在密码资源计算和服务能力方面与云管侧密码相对独立，在管理方面统一纳入密码密管中心进行统一管理，同时密码密管中心与密管中心对接，在网络资源、安全策略方面进行联动。

面向租户的云密码应用体系基于底层硬件合规的云服务器密码机和存储加密服务器实现底层的密码资源供给，上层的密码服务采用镜像方式提供，由用户自行选择，在本次项目中由于安全认证服务由其特性，改为用户自行选择，采用SAAS服务模式进行。

密管中心实现贯穿整个密码服务体系的管理中心，对设备和密码平台的使用均能进行管理，包括台账管理、合规分析、设备/服务状态、密钥管理、服务监管、注册/配置等功能。

4.2 核心要点

（1）密码资源虚拟化。虚拟密码机依托实体云服务器密码机实现，云服务器密码机（Cloud HSM）作为部署在IAAS层的云服务基础设施，针对不同的应用需求，按照需求资源自动调配，具有动态伸缩特征，涉及到加解密方面，也可以根据应用的需求进行调配。云服务中，也对加解密的动态伸缩有要求，一般体现在资源集群的按需伸缩，以及自动配置访问控制。可以通过相关智能决策的算法来确认集群与服务的需求紧张程度，这就需要统计一些相关的指标，比如硬件性能指标、加解密的服务次数等。当需求较为紧张时，通过管理程序，自动在集群中增加相关资源和服务。当需求降低时，也可以根据智能决策算法，自动降低资源和服务，同时云服务器密码机采用通过国家密码管理局认定的技术，在操作使用过程中确保各个VSM密钥的安全隔离性，同时又保证了密钥管理的独立。

（2）镜像服务设计。针对密码服务采用了镜像服务模式，该种模式遵循政务云密码建设指南要求，贴合云计算自身特性，形成独立的服务虚拟实体，确保每个租户使用的镜像服务是独立的密码资源，也确保调用底层租户自有的虚拟密码机进行密码计算，同时密码镜像模式面向业务应用提供独立的密码服务和定制服务，兼容现有密码应用模式。

4.3 服务模式

云密码应用服务模式可以实现三个统一，即密码设备的统一管理、密钥的统一管理、面向业务应用的密码统一服务，降低密码设备的整体运维工作量，提升密钥管理的安全性，降低应用系统对接密码技术的难度，促进云平台中的业务系统与密码服务集成整合的正确性和方便性。

云密码应用底层为资源层，基于密码基础服务模式和服务器密码机实现资源池提供密码算力，同时配置云安全认证网关实现虚拟化网关服务，配置云化签名验证服务器实现容器化签名验证服务，同时通过时间戳服务器、电子签章服务器、安全存储服务器的集群化，统一向上提供基础密码算力和应用密码算力。

虚拟加密机服务一方面面向应用系统/租户；另一方面同时也面向PAAS层的其他密码服务提供密钥服务和原生的密钥计算服务。

通用密码服务则是结合实际业务场景，通过统一封装镜像，提供符合密评要求，应用/租户可直接调用的应用密码技术，例如数字签名、电子签章、可信时间戳等，可以供应用系统方便调用。

管理中心实现对包括密码资源、基础密码服务、通用密码服务的管理，并面向租户提供合规分析等面向上层应用的密码服务监测。

4.4 服务类型

4.4.1 密码基础服务

（1）密钥托管服务。密钥托管服务主要是为密码通用应用层或业务对象提供所涉及的各种对称、非对称密钥的全生命周期管理，保证密钥的安全。

（2）密钥计算服务。密钥计算服务主要是基于密码资源（计算）层，封装统一的标准密码设备应用接口，对外提供基础密码运算服务具体包括以下4个方面：

1）真实性保护服务：提供基于密码特性的对象真实性运算，确保主体或资源的身份正是所声称的特性。可通过国产密码算法进行唯一标识认定，从而实现身份鉴别。

2）完整性保护服务：提供基于密码特性的完整性运算，确保数据没有遭受以非授权方式所作的篡改或破坏的性质。为了防止网络中攻击者对重要数据、程序、文件等信息未经授权的随意篡改或破坏，采用密码技术保护其完整性。

3）机密性保护服务：提供基于密码特性的机密性运算，采用密码技术对重要数据、敏感数据进行加密保护，包含重要数据、敏感数据的加密传输、加密存储等；保证信息不被泄露给非授权的个人、进程等实体的性质。

4）不可否认性保护服务：提供基于密码特性的不可抵赖性运算，确保一个已经发生的操作行为无法否认的性质，采用非对称密钥签名技术实现抗抵赖保护。

4.4.2 通用密码服务

（1）身份鉴别服务：提供基于统一证书体系下的证书认证和强身份鉴别机制，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性。

（2）传输保护服务：实现访问终端至业务平台之间的高强度链路加密保障，保证重要数据在传输过程中的完整性。保障传输中的重要数据、敏感信息或整个报文的完整性；实现重要数据、敏感信息或整个报文的加密传输。

（3）签名验证服务：实现访问主体对于关键行为操作、数据交换操作等进行签名及验证，以实现行为不可抵赖性，数据防篡改。

（4）电子签章服务：对于流转公文实现进行电子化印章服务，确保行文内容的完整性，发文对象的真实性验证。对内部流转与审批过程，通过电子化印章服务实现公文基于数字水印的可信签名，确保公文的真实性和唯一性，同时确保公文流转过程中的抗抵赖性。

（5）时间戳服务：实现基于可信时间的抗抵赖服务。时间戳服务通常配合签名验证服务或电子印章服务，在基于行为真实性和防抵赖、数据完整性和防篡改性的前提下，实现基于时间维度的真实性、防抵赖服务。

（6）安全存储服务：对于业务系统中重要数据实现存储过程中的完整性和机密性保护。通过数据加解密服务对重要数据、重要文件、敏感信息、重要用户信息、重要可执行程序进行加密存储和备份。

4.4.3 安全可靠应用

安全邮件系统通过使用国密算法、数字证书、智能密码钥匙、密码支撑服务等实现安全电子邮件功能。

通过使用智能密码钥匙和数字证书，调用通用密码服务中的身份鉴别服务，确保邮件发送方和接收方身份的真实性。

通过使用智能密码钥匙和数字证书，调用通用密码服务中的签名验证服务和密钥计算服务中的机密性保护服务，对邮件内容进行加密、签名，确保邮件内容的机密性与不可否认性。

在客户端和服务器端之间通用密码服务中的传输保护服务进行传输信道加密，确保邮件内容的机密性和完整性。

在服务器端通用密码服务中的安全存储服务，对邮件数据进行加密存储，确保敏感信息的机密性。

调用统一密码支撑服务的签名验签服务、时间戳服务等，对审计用户日志、流向日志、用户操作日志，确保日志信息的完整性和关键操作行为的不可否认性。

5 服务成效

通过基于密码技术的云安全服务体系构建，开展了对外服务，取得了良好成效。

（1）实现云管平台与云密码管理平台的“全融合”，通过“底座打通，云化服务”的方式，将密码服务转变成云平台内生的对外服务能力，能快速、灵活的满足各业务应用对接密码技术的需求；

（2）将密码服务作为云PAAS服务之一，按照“按需使用，弹性资源”原则，在云密码机基础上无需再追加其他硬件密码设备携机入网，就可实现密码资源快速部署和对云上各业务应用系统的全面覆盖；

（3）通过云密码管理底座，对整体密码资源进行统一分配、合理调度。一方面，在统一服务标准和接口的前提下，强化统一管理，实现密码服务的规范化使用、密码资源的集约化管理；另一方面，可清晰的划分各使用单位与云管理方之间关于密码应用的工作边界，确保密码应用工作有序、合理、通畅的在云上开展；

（4）同步建立密码应用监管体系，掌握密码的用量和覆盖面，建立密码应用的安全保障指数，了解密码使用的各项可监测实时数据等多个指标项，对密码技术在整体推进信创工作中起到的效果和作用进行直观分析、精准研判。

6 结语

本文针对等保2.0以及密码评测过程要求，结合政务信息系统在云计算环境中部署的工作环境，从集约建设和高效服务的角度，提出了基于密码技术的云安全服务体系，系统的讨论了密码防护体系设计以及密码服务体系构建思路。提出了面向多业务场景的密码服务模型，构建了基于密码技术的云安全服务架构，为云服务同步开展灵活快速的密码适配应用奠定了良好基础。

引用

[1]罗世雄,刘晓强,刘振宇.面向等保2.0标准的测评管理系统设计与实现[J].信息技术与标准化,2019(10):76-78.

[2]韦樑等.政务大数据平台等保2.0测评与实践[J].上海信息化,2021(6):19-23.

[3]何良生.密码是构建网络信任体系的基石[J].中国信息安全,2021(5):58-60.

[4]霍炜.商用密码应用体系建设与创新发展[J].信息安全研究,2020,6(11):958-965.

[5]谢宗尧,董坤祥,甄杰.国产商用密码算法的国际标准化及其对应关系[J].中国质量与标准导报,2021(5):20-23.

[6]吴小伟.“等保2.0”背景下政府部门网络信息安全防护技术探析[J].江苏科技信息,2021,38(32):39-41.

[7]童话,杨浩程,李怀义.做好等保2.0网络信息安全工作的一些思考[J].网络安全技术与应用,2021(1):167-168.

[8]牛淑佳.基于云计算的密码技术综述[J].电子技术与软件工程,2021(09):227-230.

[9]李向锋,傅大鹏,李敏.基于多技术融合的密码计算资源池研究[J].信息安全研究,2021,7(4):384-388.