云密码服务应用安全性评估分析与探讨

陈翠云，吕 由，赵 祎，陈 盼

（公安部第一研究所，北京 100048）

商用密码应用安全性评估制度是国家信息安全领域的基本国策，由国家密码管理局牵头，经过数年的探索和实践，已形成一系列政策和标准体系，并于近几年在全国范围内全面开展实施。与此同时，随着云计算技术的不断发展，云平台已成为信息系统数字化转型的关键基础设施之一，并得到了广泛应用。

但由于云平台自身的特殊性，在其密码应用测评过程中，会面临密码服务需求不清晰、测评点难以确定、涉及虚拟机迁移安全测评等特殊疑难问题，而商用密码应用安全性评估现有标准体系和指导文件主要还是针对于传统单一的信息系统，对于云平台的密码应用测评，尚处在研究和探索阶段，缺乏具有针对性的指导意见。需参考GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等现有标准，并针对其测评过程中可能存在的疑难问题，如云密码服务需求、云密码服务应用测评点、云密码服务应用测评注意事项等进行深入研究和探讨。

1 云平台密码保障建设

如图1 所示，云平台和云上应用运营者不同，需界定两者的责任和范围。在云上密码保障系统建设之前，需明确划分为2 个层次：

图1 云平台和云上应用责任和范围Fig.1 Responsibilities and scope of cloud platforms and applications on the cloud

（1）云平台密码保障系统：针对云平台自身密码应用的密码保障系统的建设，该部分建设的责任主体为云平台的运营者。

（2）云上应用密码保障系统：针对云上应用系统密码应用的密码保障系统的建设，该部分建设的责任主体为云上应用的运营者。

其次，在云平台密码保障系统建设过程中，最重要的一点就是要梳理重要数据信息的流向和承载实体，明确其范围和保护对象，如图2 所示。

图2 重要数据信息流向和承载实体Fig.2 Important data information flow and bearing entity

2 云密码服务需求分析

云计算场景密码应用需求主要包括以下5 个方面：密码资源池需求、统一密码服务需求、密钥隔离安全需求、身份鉴别需求、本地数据安全需求。

2.1 密码资源池需求

云平台为租户提供加解密、签名验签等云密码服务，实际中不可能为每个租户配置单独的物理密码产品。当业务扩展时通常需要添加或者升级新密码设备，安全扩容是需考虑的重要因素，尤其应用频繁变化时，依靠增加密码设备的传统扩展方案难度较大，无法做到按需弹性扩展。因此，云平台需要池化的密码资源，为租户提供虚拟的密码服务[1]。

2.2 统一密码服务需求

云租户业务应用种类繁多，用户量大，关键数据复杂多样，安全机制不一致，为密码应用和管理带来难度。需对云平台上所有业务应用提供统一的、多租户的密码服务能力，对各类密码服务接口、服务订购、应用调用、平台运行等进行统一管理，提供多租户管理、密码资源管理等。

2.3 密钥隔离安全需求

云技术采用了虚化技术，融合了软硬件资源，主机和网络边界相对于传统系统变得模糊，风险不但来自南北流量，还来自东西流量，云上应用安全风险也随之增加，需对其提供密钥安全管理功能，包括密钥存储、更新、迁移等，尤其云平台和云租户之间、云租户与云租户之间的密钥需做安全隔离[2]。

2.4 身份鉴别需求

由于云计算泛在接入的特点，云平台用户终端数量巨大，形态多样，不同安全级别的数据和服务充斥于云环境中，为保证云环境中数据安全性，云端服务应对访问者身份进行鉴别，防止非授权访问。

2.5 数据安全需求

云计算提供海量数据存储与访问，数据落地后在物理环境中的保护十分重要。需建立数据加密存储和传输机制，保障数据存储和传输安全。数据加密方案有块存储加密、对象存储加密、数据库加密、磁盘加密、文件加密等。

3 云密码服务应用测评点

3.1 网络和通信层面测评

网络和通信层面，在用户和云平台之间通信链路部署SSL VPN，实现基于密码技术的身份鉴别、数据传输机密性和完整性保护；在云平台机房和灾备机房之间部署IPSec VPN，保证通信数据的机密性和完整性。测评点设置如图3 所示。

图3 云平台网络和通信层面商用密码应用测评点Fig.3 Commercial password application evaluation sites at cloud platform network and communication level

测评需提供的支撑证明包括但不限于不同网络通道的网络抓包文件（协议分析）、VPN 网关配置截图（算法和配置）、数字证书、产品商密认证证书等。

3.2 设备和计算层面测评

设备和计算层面，在远程运维通道部署SSL VPN，保证运维用户身份鉴别、数据传输机密性和完整性；部署国密堡垒机对设备进行统一运维；本地运维用户通过UKEY 身份鉴别后登录设备，保证其身份真实性。测评点设置如图4 所示。

图4 云平台设备和计算层面商用密码应用测评点Fig.4 Commercial password application evaluation sites at the cloud platform device and computing level

测评需提供的支撑证明包括但不限于远程管理通道的网络抓包文件（协议分析）、堡垒机产品身份鉴别（算法和配置）、数字证书、产品商密认证证书等。

3.3 应用和数据层面测评

应用和数据层面，对PC 终端管理员用户采用UKEY+数字证书的方式实现身份鉴别，包括云平台管理员和租户的云计算资源管理员，测评点设置如图5 所示。

图5 云平台应用和数据安全层面商用密码应用测评点Fig.5 Cloud platform application and data security level commercial password application evaluation site

对于移动终端用户，采用手机盾协同签名的方式进行身份鉴别。协同签名依托于密钥分割技术，将密钥分割为客户端密钥分量与服务端密钥分量2部分，二者各自独立分开存储，确保密钥安全。签名时，服务端和客户端分别计算各自的签名结果，服务端将中间结果传送给客户端，由客户端完成数字签名的合成，即服务端和客户端协同进行签名操作。测评点设置如图6 所示。

图6 云平台应用和数据安全层面商用密码应用测评点Fig.6 Cloud platform application and data security level commercial password application evaluation points

应用层面的数据安全防护，首先需要识别应用和数据层面中的关键业务和重要数据，包括管理员用户身份鉴别信息、平台镜像文件、租户快照文件、租镜像文件等敏感信息等，由租户应用系统调用密码资源对数据进行存储机密性和完整性保护。测评点设置如图7 所示。

图7 云租户应用和数据安全层面重要数据存储安全的商用密码技术Fig.7 Cloud tenant applications and data security commercial cryptography for key data storage security

测评需要提供的支撑证明包括但不限于身份鉴别的实现过程证明、数据安全保护的实现证明（传输文件、数据库等）、国密算法工具机密性/完整性保护计算结果验证截图、数字证书、产品商密认证证书等。

3.4 云密码服务密钥管理测评

密钥管理也是密码技应用的重要内容，密钥的安全性是决定密码系统安全性的关键因素，无论是密产品还是密码应用过程中必须管理和保护好密钥。根据云服务商资源类型不同，云计算服务模式可分为基础设施即服务（laaS）、平台即服务（PaaS）、软件即服务（SaaS）3 类，针对这3 类云服务模式给出了各种场景下密码技术需求和密钥管理需求[3]，如表1 所示。

表1 云服务不同模式下密码技术及密钥管理需求对照Tab.1 Comparison of cryptographic technology and key management requirements in different modes of cloud services

云计算环境下，云平台及云租户信息系统的密钥体系应根据密码应用需求在密码方案中明确并实施落实。密评需针对密钥全生命周期管理进行考核。

云平台自身重要环节的密钥管理建议参考：

（1）加密密钥应在专门的密钥生成系统中生成，密钥数据必须密文存储且与云平台其他数据存储分离，关键密钥数据还应存储在安全介质中；

（2）应采用密钥隔离手段，确保云平台使用的密钥和用户使用的密钥不在同一密钥管理系统进行管理；

（3）对于云平台提供的密钥管理服务，应采用严格的鉴别机制，确保只有具备该服务权限的用户才能对其密钥管理系统进行配置；

（4）应确保用户在云平台中使用密钥时，处于独立安全环境中或用户租用的密钥管理系统中。

4 云密码服务密评注意事项

4.1 应用和数据层面测评对象确定

云平台访问对象包括云租户、云平台管理员、远程运维人员3 类，其业务操作类型为业务访问、虚拟资源管理和调度、设备运维，由此可梳理出3 条云平台业务信息流：租户通过网络访问云资源区、云平台管理员访问云管平台、远程运维人员访问安全管理区进行设备运维。涉及的重要数据包括鉴别数据、快照、镜像数据、日志审计数据、关键配置数据等，根据重要数据信息流向，从机密性、完整性、真实性、不可否认性4 个方面，对以上各个环节进行分析确定应用和数据层面的测评对象。

4.2 密评支撑中完全评估和部分评估

云平台为云上应用提供了GB/T 39786-2021 中的物理和环境安全、网络和通信安全、设备和计算安全，甚至于应用和数据安全等层面在内的密码支撑。因此云上应用部分的测评结论需依赖于云平台的测评结果，如图8 所示。

图8 云平台与云上应用评估Fig.8 Cloud platform and cloud application evaluation

云上应用密评时，应重点关注应用本身在各个安全层面的密码应用情况。对于被完全评估和被部分评估的支撑能力及测评结论需根据实际情况决定，具体情况可参考《商用密码应用安全性评估FAQ（第二版）》。

4.3 云平台的密评责任和范围

云平台系统密码应用较为复杂，一般分为2 个层面，一是云平台系统为满足自身安全所采用的密码技术；二是云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。因此，对云上应用进行密评时，原则上需完成2 部分测评工作：

（1）对云平台自身密码应用的测评，该部分测评责任主体为云平台运营者。

（2）对云上应用系统密码应用的测评，该部分测评责任主体为云上应用运营者。

同时，原则上：

（1）云平台通过密评后，云上应用系统才能通过密评；

（2）云平台的安全级别应不低于云上应用系统。

4.4 虚拟机迁移安全测评

云资源管理应用虚拟机迁移保护，主要涉及到虚拟机资源在跨物理机迁移时，需保证虚拟资源迁移时的机密性和完整性，所以在宿主机内部需配置硬件或者软件密码模块，协助云平台完成虚拟资源的安全迁移。测评时需考虑虚拟资源跨物理节点迁移时的机密性和完整性保护。

4.5 云平台密评合规和实战需综合权衡

根据综合性合规要求，需对密码算法、密码技术、密码产品、密码服务的合规性、有效性和正确性进行考核，但在实战层面，在考虑安全的同时，也要确保系统的易用性和稳定性。比如云租户公众用户层面，建议采用兼容传输加密。在通过定制PC 客户端APP 实现国密SSL 加密通道的同时，兼容浏览器、第三方客户端的国际算法SSL 加密通道，实现“国密”与“国际”双标支持。

5 结语

随着云技术不断发展，云计算应用落地进程加快，加速了数据的流通、汇聚、处理和挖掘，提升了生产效率，同时，云安全态势日益严峻，急需升级安全解决方案，以应对云环境安全威胁挑战。本文对云密码服务保障系统建设和测评进行了研究，分析了云密码服务的应用需求，设计了云密码服务应用测评点，着重描述了云服务密钥管理测评要求，最后提出了云密码服务密评注意事项，为云平台运营者、云租户开展商用密码应用和安全性评估提供参考和借鉴，助力商用密码技术在云计算场景的应用推广，保障云计算安全。