使用內生安全密碼應用架構有哪些作用

使用內生安全密碼應用架構有以下作用：

• 建立基于密碼技術的統一身份認證機制：建立以SM2算法PKI系統為基礎的統一認證體系，為企業用戶、業務應用和設備提供數字證書的生命周期管理、強身份認證和安全可控訪問，并以此為基礎為信息網提供完整的數字證書服務、綜合認證服務、安全審計服務和集中管理監控服務。統一身份認證體系的構建，將作為企業信息化網絡基礎認證設施，不僅可為應用系統提供集中強身份管理認證，還能夠為其他需要證書服務的應用和設備（如網絡加密模塊、SSL VPN、網絡密碼機等）提供數字證書的生命周期管理，并可依托模塊化認證架構，為身份安全及應用安全，以及5G、工業、物聯網等領域的應用奠定基礎。

• 建立面向大數據的數據存儲加密機制：數據是驅動網絡安全的核心要素，對數據的分析是確保網絡安全的主要方法。但隨著云計算的普及和業務系統中存儲著大量重要和敏感的數據，數據存儲的加密成為必選項。因此必須將業務系統中的用戶口令、重要數據、重要配置文件、敏感內容等信息進行加密存儲，同時采取磁盤加密、分布式加密、文件加密、關鍵字段加密等靈活的加密方法，并配合高性能的加解密工具，實現數據加密與分析的良好配合。

• 敏感數據的加密保護：應用系統中存在大量的重要信息，可以直接調用企業統一密碼服務管理平臺的加解密API，使用主密鑰直接加密或解密其中的敏感數據。也可以使用數字信封對數據進行加密保護，將主密鑰存放在統一密碼服務管理平臺中，只部署加密后的數據密鑰。僅在需要使用數據密鑰時，才調用統一密碼服務管理平臺獲取數據密鑰的明文，以在本地加解密業務數據。

• 口令存儲、傳輸加密保護：服務器端不允許存儲用戶的明文口令，客戶端一般調用密碼服務瀏覽器插件或App端的SDK，針對口令生成SM3摘要，然后通過安全通道傳輸到服務器端進行存儲。

• 建立對用戶透明的數據傳輸安全通道：用戶使用瀏覽器訪問應用的時候涉及重要和敏感數據的傳輸，這就需要對相應的數據進行保護。可以通過在終端用戶的電腦上安裝國密算法客戶端，該客戶端在終端與通道加密服務之間建立安全通道，通道加密服務轉發數據到應用，實現用戶訪問的安全傳輸。通道加密服務除認證服務端口外，每個應用有一個對外服務端口。在終端完成統一密碼服務平臺的配置后，用戶打開瀏覽器訪問地址即可——訪問方式和原來相同，沒有任何變化。

• 建立可信的日志完整性保護機制：根據等級保護要求，應用系統的操作日志、審計日志、告警日志等關鍵日志，需要進行完整性保護。企業可以通過調用統一密碼服務平臺的服務接口針對日志文件或者相關數據庫表生成消息認證碼（MAC），同時在驗證完整性時對權限列表的消息認證碼（MAC）進行驗證，以確定完整性是否被破壞。

回答所涉及的環境：聯想天逸510S、Windows 10。