國產基礎軟硬件密碼技術融合研究與實踐
摘要
目前,國產基礎軟硬件生態體系趨于成熟和完善,推進信息技術應用創新與國產密碼融合應用,相關領域正進入難得的歷史機遇期。基于國產基礎軟硬件與密碼融合的基本思路,提出了通用處理器與密碼融合的思路以及內生密碼安全的構建方法,給出了基于安全模塊(Security Element,SE)的密碼融合應用的實現路徑,并分析了典型產品應用前景,以期促進信息技術應用創新與密碼安全保障能力同進步、共發展。
內容目錄:
1 國產基礎軟硬件密碼融合思路
1.1 通用處理器與密碼融合
1.2 全棧密碼鏈構筑密碼應用支撐體系
1.3 內生密碼助力信息系統安全合規
2 密碼融合應用實踐
2.1 安全 SE
2.1.1 密碼運算能力
2.1.2 可信計算能力
2.2 基于安全 SE 的密碼應用體系
2.1.1 密碼運算能力
2.1.2 可信計算能力
2.2 基于安全 SE 的密碼應用體系
2.2.1 操作系統密碼應用
2.2.2 應用系統密碼應用
2.3 基于安全 SE 的可信計算體系
3 典型產品應用
3.1 網絡安全與密碼設備
3.2 文件保險箱
3.3 網絡安全接入
4 結 語
2020 年 1 月 1 日起正式施行的《中華人民共和國密碼法》提出,密碼是國家重要戰略資源,是保障網絡與信息安全的核心技術和基礎支撐,并指出,法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估(簡稱“密評”)。密評與關鍵信息基礎設施安全檢測評估、網絡安全等級保護測評相銜接。2020 年起,我國信息技術應用創新(簡稱“信創”)產業進入大規模落地推廣階段,國產基礎軟硬件生態環境已經趨于完善,在相關政策與重大工程引導下,國產基礎軟硬件在關鍵信息基礎設施等領域正逐步推廣使用。在關鍵信息基礎設施領域,信息系統建設滿足等級保護和密評要求將成為強制性標準。因此,在國產基礎軟硬件中嵌入密碼是現階段實現密碼賦能信創安全的現實需求。
當前,國產基礎軟硬件正處于從“可用”向“好用”的升級階段,但通用處理器性能等部分核心關鍵技術水平與國際先進水平比較仍存在差距,算力資源仍十分寶貴,同時國產基礎軟硬件應用推廣過程中,從海外體系向國產信創體系遷移的成本仍是一項非常重要的考量因素。因此,在國產基礎軟硬件中嵌入密碼時,一方面應在提供滿足需求的密碼運算性能基礎上,盡量減少密碼運算對通用資源的消耗;另一方面應以盡量不增加遷移成本為目標,硬件上降低改造成本,軟件層面密碼應用接口應盡量貼近業務,降低應用對密碼嵌入的開發與使用門檻,以實現應用的順利遷移、低成本遷移,甚至是無縫遷移。
國產基礎軟硬件產業正處于整體推進的快速發展期 ,應把握產業發展的黃金時期,針對密碼應用進行體系化、同步化的設計部署,把密碼融入到國產基礎軟硬件的體系架構之中,構建高質量密碼供給體系,形成支持密碼應用的良好產業生態,使操作系統、通用處理器等基礎軟硬件產品都具備內生密碼能力,夯實構建我國網絡空間安全體系的基石。
本文基于國產基礎軟硬件與密碼融合的基本思路,提出通用處理器與密碼融合思路以及內生密碼安全的構建方法,給出基于安全模塊(Security Element,SE)的密碼融合應用的實現路徑,最后通過典型產品應用對其進行展望。
1 國產基礎軟硬件密碼融合思路
1.1 通用處理器與密碼融合
承載信息基礎設施的硬件平臺嵌入密碼的傳統方式是由通用處理器提供通用計算能力,由密碼模塊提供密碼運算能力,由可信密碼模塊(Trusted Cryptography Module,TCM)/ 可 信 平 臺 控 制 模 塊(Trusted Platform Control Module,TPCM)提供可信控制與可信密碼能力,即通用計算、密碼運算、可信計算能力相互分離,由不同的獨立物理部件提供不同的功能。
可以利用通用處理器融合密碼與可信技術,使通用處理器同時具備通用計算能力,以及芯片級的密碼運算、可信計算、安全存儲和真隨機數發生等能力。此時密碼內置于處理器中,依托處理器廣泛分布在終端、服務器、網絡設備、移動終端等基礎設施中,支撐基于密碼的數據加密、傳輸加密、身份認證等安全機制,形成安全處理器,提供泛在化的內生密碼功能。以通用處理器為基礎,操作系統、數據庫等上層系統均可使用其提供的密碼功能進行安全防護,無須加裝外掛式密碼模塊。
1.2 全棧密碼鏈構筑密碼應用支撐體系
基礎軟硬件對密碼應用的需求具有多層次、多樣化的特點,安全處理器提供硬件密碼芯片與基礎密碼能力,密碼軟件棧基于硬件密碼芯片提供層次化、標準化、場景化的密碼應用接口形態,構建全棧式的密碼應用支撐鏈條,實現密碼應用支撐的全覆蓋。
通過密碼軟件棧,位于不同層級、不同場景的應用及系統都能根據自身的密碼與安全需求,方便、靈活地使用處理器內生密碼,支撐實現基于密碼的各種安全機制。密碼應用支撐軟件棧結構如圖 1 所示。
圖 1 密碼應用支撐軟件棧
1.3 內生密碼助力信息系統安全合規
GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》(簡稱“等保 2.0”)等系列標準規范,對密碼、可信計算等技術應用提出了明確要求,并規定應使用國家密碼管理主管部門認證核準的密碼技術和產品,高安全系統應采用對應安全級別的硬件密碼模塊,安全測試報告應含密碼應用安全性測試相關內容,應基于可信根進行可信驗證等。國家密碼管理部門及密評機構以 GM/T0054—2018《信息系統密碼應用基本要求》為依據,開展密評 ,對信息系統中密碼使用的合規性、正確性和有效性進行評估,包括對密碼算法、協議、安全管理制度以及密碼設備要求進行評估。
通用處理器與密碼的融合,將使得處理器、操作系統等基礎設施自帶密碼與可信基因,具備符合主管部門安全性要求的硬件密碼模塊。以此為基礎,密碼應用與信息系統建設同步走的目標將具備天然的基礎實現條件,信息系統密碼保障體系的建設也將更高效、合規。同時,通用處理器內嵌密碼具有的高安全、高性能與低成本的特性,將使得在信息系統中嵌入國產密碼更易實施、易推廣,不僅助力實現所有關鍵環節合規嵌入國產密碼,而且能夠讓各環節正確、有效地使用密碼。
2 密碼融合應用實踐
2.1 安全 SE
安全 SE 是一種以知識產權(Intellectual Property,IP)核形態嵌入通用處理器的密碼協處理器,可與通用處理器進行芯片級一體化融合設計,使通用處理器具備高性能的密碼運算能力、安全可信計算能力與硬件級安全防護能力,為操作系統、上層應用及信息系統提供靈活的全新安全解決方案。安全SE 與通用處理器架構如圖 2 所示。
圖 2 安全 SE 與通用處理器架構
2.1.1 密碼運算能力
安全 SE 提供硬件級的密碼運算、安全存儲、密鑰管理和真隨機數發生功能,以此為基礎,為固件、操作系統、應用軟件和系統提供安全、合規的密碼支撐。
2.1.2 可信計算能力
安全 SE 提供主動度量、可信存儲、可信證明、SE 管理、可信服務與支撐等可信功能,可承載可信計算中 TCM 模塊角色。以安全 SE 為可信根,與可信基本輸入輸出系統(Basic Input Output System,BIOS)、可信軟件基等一起構成完整可信鏈,實現計算環境、通信網絡及區域邊界等安全可信。
2.2 基于安全 SE 的密碼應用體系
國產基礎軟硬件密碼應用需求主要包括操作系統、應用系統的密碼應用需求。如圖 3 所示基于安全 SE 硬件,以基礎軟件工具包(Software Development Kit,SDK)、通用密碼中間件以及基于安全 SE 的國密傳輸層安全協議(Security Element Secure Socket Layer,SeSSL)為核心,構建安全 SE 密碼應用支撐平臺,為上層應用提供密鑰管理、消息驗證、數據加密、簽名產生及驗證等密碼功能,提供符合多種接口標準及跨平臺的軟件包,以滿足不同業務的安全需求。操作系統、中間件、數據庫、瀏覽器以及其他類型的基礎軟件和應用系統,可根據自身應用的密碼和安全需求,選擇匹配開發包,方便、靈活地使用處理器的硬件密碼能力。
圖 3 基于安全 SE 的密碼應用體系
2.2.1 操作系統密碼應用
操作系統密碼應用需求包括兩個方面:一是為操作系統自身安全機制提供密碼;二是為上層應用提供可調用處理器內置硬件密碼功能的密碼服務。
針對操作系統自身安全,操作系統可通過調用基礎 SDK 提供的內核態密碼應用接口,實現身份鑒別、數據完整性與機密性、運行安全、網絡安全等安全保護機制。同時可將安全 SE 提供的密碼注冊到操作系統加密子系統中,通過操作系統加密框架支撐實現操作系統內部的互聯網安全協議(Internet ProtocolSecurity,IPSec)、磁盤加密等安全機制與應用。針 對 應 用 系 統 安 全, 操 作 系 統 可 集 成 基 礎SDK、通用密碼中間件、國密 SeSSL 等 SE 密碼應用開發包,使操作系統具備密碼服務功能,上層應用系統可通過操作系統提供的密碼服務接口使用處理器內置硬件密碼。通過將 SE 掛載到操作系統加密子系統,應用系統也可通過操作系統加密框架的方式使用安全 SE。
2.2.2 應用系統密碼應用
應用系統密碼應用需求主要包括中間件、數據庫、瀏覽器等基礎應用,以及電子簽章、網絡安全接入、文件保險箱等應用軟件的密碼應用需求。應用系統密碼應用需求呈現多樣化、場景化,以及與業務融合的特點。
針對數據庫安全,采用通用密碼中間件實現身份認證、存儲加密、程序完整性以及數據完整性保護;采用國密 SeSSL 提供的密碼運算與基于國密的傳輸層安全協議功能,實現客戶端與服務端之間的傳輸加密。針對中間件安全,采用國密 SeSSL 實現web 應用服務器、消息類中間件中安全通道的建立及保護;采用通用密碼中間件提供的 JAVA SDK 實現數據和文件本地存儲保護。針對各類應用軟件安全,通用密碼中間件提供密碼設備應用接口、智能密碼鑰匙應用接口、通用密碼應用接口、Java 加密擴展(Java Cryptography Extensions,JCE)等多種密碼應用接口,提供 C SDK、JAVA SDK、JAVAScript SDK、瀏覽器插件等多種形態開發包,并遵循多種密碼服務標準接口規范。通過使用通用密碼中間件,各類應用可結合業務特點實現基于密碼的安全保護,快速集成密碼,實現應用的平滑過渡。
2.3 基于安全 SE 的可信計算體系
基于安全 SE 的可信計算體系主要由安全 SE、可信密碼服務支撐接口、可信軟件基以及固件層基本信任基組成。安全 SE 為可信計算提供密碼服務、平臺控制、可信度量、可信存儲、可信認證等基礎功能。安全 SE 作為平臺的物理信任根,是可信信任鏈的起點,在平臺啟動時,安全 SE 先于 CPU 加電啟動,對 BIOS 實施主動度量并將信任鏈向下傳遞。可信密碼支撐接口基于安全 SE,提供固件層可信接口、內核層可信接口、應用層可信SDK,滿足 BIOS、可信軟件基及應用系統對可信密碼功能的需求。基于安全 SE 的可信計算體系如圖 4 所示。
圖 4 基于安全 SE 的可信計算體系
(1)可信 BIOS。開機時安全 SE 對固件實施主動度量,驗證固件完整性及可信性。通過固件層可信接口調用安全 SE 的可信計算功能,BIOS 保證自身重要程序及數據的完整性,固件層基本信任基對操作系統引導程序等進行可信度量,保障其完整性與可信性,度量完成后記錄度量日志和結果,并將信任鏈從硬件平臺傳遞至應用層。(2)可信軟件基。可信軟件基的基本信任基通過可信密碼接口對操作系統內核及關鍵文件和重要配置進行可信度量。主動度量機制通過內核層可信接口,對內核擴展模塊以及應用程序進行可信度量,驗證其完整性與可信性,度量完成后將信任鏈傳遞至應用層。(3)可信應用。應用系統可通過應用層可信SDK 使用安全 SE 的可信密碼能力,實現密鑰管理、密鑰協商、數據保護、密碼服務、敏感數據存儲、身份證明等可信應用。
3 典型產品應用
3.1 網絡安全與密碼設備
網絡安全與密碼設備通常包括 SSL VPN、IPSec VPN、防火墻、隔離交換、服務器密碼機、簽名驗證服務器、金融數據密碼機等。傳統模式下,網絡安全與密碼設備通常是采用硬件平臺加裝硬件密碼卡的方式,實現專用硬件基礎平臺。依托處理器內置的安全 SE,網絡安全與密碼設備不僅能獲得高性能的密碼運算能力、高安全的安全防護機制,而且具備低功耗、低成本、輕改造的優點。同時基于安全 SE 提供的可信計算功能,可保障設備自身的安全可信。
3.2 文件保險箱
文件保險箱為用戶提供重要文件的加密存儲,防止重要文件被非法訪問。用戶可通過文件保險箱創建虛擬的加密磁盤,對虛擬磁盤中的文件、數據進行加密保護。
基于安全 SE 提供的高性能密碼運算,用戶在加密磁盤中的文件操作速度快、體驗佳,與普通磁盤操作速率幾乎一致,而且具有不額外占用 CPU 資源的優點。基于安全 SE 的密鑰管理與安全存儲功能,文件保險箱可構建自身的多層密鑰體系,根密鑰通過安全存儲功能進行片內存儲,由安全 SE 提供硬件級的管理與保護,提高密鑰安全性。
3.3 網絡安全接入
網絡安全接入是安全認證網關的客戶端,與安全網關服務器之間建立虛擬安全通道,為用戶訪問內部資源提供身份認證與傳輸加密。通過安全 SE提供的國密 SeSSL 開發包,網絡安全接入客戶端可直接使用符合 OpenSSL 框架的國密算法和國密 SSL協議接口,極大減少國密嵌入的開發量與難度。
4 結 語
本文提出了國產基礎軟硬件與密碼融合的基本思路,給出了基于安全 SE 提供處理器芯片級密碼的密碼融合應用實現路徑,并分析了典型產品應用。隨著密碼法的頒布實施,以及等保 2.0、密評等對密碼提出新的要求,在信息系統設計、建設以及測評等各方面都將依照新政策新標準,對密碼使用的合規性、正確性和有效性進行評估。未來,國產基礎軟硬件與密碼融合將成為標準配置。以國產通用處理器融合密碼為抓手,從根本上開始提供密碼與可信能力,將密碼賦能至固件、操作系統及應用系統的各個層次,將是實現網絡安全與信息化建設的重要保障。
引用格式:周俊 . 國產基礎軟硬件密碼技術融合研究與實踐 [J]. 通信技術 ,2022,55(8):1044-1049.
