以“安全護航 合規推動”為主題的 2022 SCIC 網絡安全合規創新峰會已圓滿落幕，受到與會領導、專家及業界同仁的熱切關注與討論。今天與大家分享的是來自嘉誠信息網絡安全事業部密碼總監宋濤《云環境下的商用密碼發展與應用》的專題演講！敬請收看！

嘉賓介紹

嘉誠信息密碼總監 宋濤

嘉賓簡介：資深密碼學專家，長期專注于密碼應用技術研究，在密碼測評、區塊鏈、5G安全及企業網絡安全等領域有著豐富的經驗，2019年任職中國石油網絡安全專家崗，2021年7月加入嘉誠信息，負責組建密碼測評團隊并主持蜂巢密碼實驗室工作。

●核心觀點●

01.商用密碼的發展

商用密碼技術作為實現網絡安全的核心技術，在網絡安全防護工作中發揮著重要的基礎支撐作用。

我國自1996年確立商用密碼發展戰略以來，堅持以黨管密碼為根本原則，持續加強商用密碼法規體系建設、商用密碼標準化體系建設、商用密碼科技創新、商用密碼產業發展和商用密碼應用推進等工作，積極構建以密碼技術為核心、多種技術交叉融合的網絡空間新安全體制。

在國家密碼管理局的領導下，經過二十多年的發展，商用密碼的政策法規體系不斷完善，頒布實施了《電子簽名法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》以及《關鍵信息基礎設施保護條例》等，新版的《商用密碼管理條例》也在修訂中。圍繞這些法律法規，商用密碼標準化建設也漸成體系。

國家密碼管理局發布的商用密碼相關的行業標準一百多項，涵蓋密碼基礎、設施、產品、應用、評測和應用支撐七個大類28子項，在研標準136項。2021年11月，SM2/3/4/9和ZUC密碼算法全部納入ISO/IEC標準體系，成為國際標準，為世界密碼行業發展提供了中國方案。同年10月，國家密碼管理局發布了GMT0115和0116，密碼應用測評標準體系基本完善，商用密碼合規、正確、有效使用有了標準依據。

我國商用密碼標準化建設已漸成體系。主要體現在如下三個方面：

1、密碼標準體系持續完善。2006年至今，國家密碼管理局陸續發布了ZUC、SM2、SM3、SM4、SM9等商用密碼算法。相關標準涵蓋七大類28個子類，統攬密碼國家標準、行業標準和團體標準，涵蓋密碼技術、產品、服務、測評、應用多個方面。截至2021年底已累計發布標準131項，在研標準136項，標準立項277項。

2、國際標準體系基本形成。2021年11月，SM9算法全體系納入ISO/IEC標準，至此，SM2、SM3、SM4、SM9和ZUC算法全部成為國際標準，為國際密碼學發展、豐富產業選擇和保障應用安全提供了中國方案。

3、建立健全密碼認證測評標準體系。以GB/T39786-2021《信息系統密碼應用基本要求》為核心的密碼應用安全性評估標準體系建立并完善，推動關鍵信息基礎設施、國家政務信息系統等重要網絡和信息系統的密碼合規、正確、有效應用。

我國商用密碼對網絡空間保障能力整體躍升。主要體現在如下三個方面：

1、更多企業進入商用密碼領域。2017年商用密碼產品銷售單位和生產單位分別為976家和737家。同年國務院取消“商用密碼產品生產單位審批”行政許可事項，鼓勵更多高科技企業參與商用密碼產品研發。2020年僅北京地區商密從業技術人員超過1.3萬人。

2、商用密碼檢測認證體系初步形成。近年來，我國共發布22類密碼產品認證目錄，發放商用密碼產品認證證書2700余張；1家產品認證機構，3家產品檢測機構和48家密碼測評機構。

3、商用密碼在各行業廣泛應用。商用密碼產業發展迅速，在金融領域，使用商密算法的銀行卡發放超過12億張，電力行業，支持商密的智能電表超過5億只，商用密碼為業務應用提供了保密性、完整性、可追溯等安全保護能力。

在云端，業務上云已成為大勢所趨，上云用數賦智的安全需要密碼的支撐。

02.云密碼服務的概念與應用

密碼技術是云安全的關鍵技術，原因是密碼解決了身份安全和數據安全兩個核心問題，通過云密碼服務為云平臺信任體系的建立和數據全生命周期保護提供了保障。商用密碼在云安全主動防御、縱深防御和精準防護三個層面上都發揮了重要作用，具備了密碼即服務的能力。

密碼技術可以與業務、數據緊密結合，在網絡的各個層級部署，實現信息數據的主動安全保護。密碼技術不僅提供身份認證、授權管理、全壽命周期數據加密保護，還為云上電子交易提供業務抗抵賴、數據防篡改、數據安全共享、隱私保護等功能，是鏈接信任與安全的紐帶。

云安全基礎架構繪制參考了云計算服務安全的相關標準，概括來講是“四縱三橫一關鍵”。

“四縱”是指四個安全層面：用戶層、區域邊界、云計算環境和安全管理層。

“三橫”是指云的IaaS、PaaS和SaaS層。

“一關鍵”是指安全資源中的密碼資源。之所以關鍵有兩層含義，一是密碼解決了云環境下身份安全和數據安全兩個核心安全問題，二是商用密碼找到了在當下云環境下大規模應用的道路：國內的大多數云是基于Open stack開源框架開發或二次開發的，云原生密碼能力是不足的，主要是國際通用密碼算法做支撐，在安全合規層面有缺陷，Openstack框架也缺少對商密算法及設備的配套支持，密碼硬件虛擬化技術的成熟解決了云環境下商密應用的難題，通過部署云密碼資源池可以實現云環境下商用密碼的大規模應用，為云平臺及租戶提供商用密碼支撐能力，近期機密計算、加密容器以及隱私計算等密碼領域非常熱門，為云環境下的商用密碼應用提供了更加廣闊的空間。

云密碼服務是一種全新的密碼能力交付模式：密碼即服務（CaaS），是云計算技術與身份認證、數據加密、數字簽名、時間戳等密碼技術的深度融合。

云密碼服務按照云計算技術架構的要求整合密碼產品、密碼使用策略、密碼服務接口和服務流程，將密碼系統設計、部署、運維、管理、計費等組合成一種服務，來滿足用戶的密碼應用需求。

云密碼服務具有統一管理、彈性擴展、易于合規、成本更低等特點。

云密碼服務一共可分成三類：資源即服務、功能即服務和業務即服務，其分別對應云服務的IaaS、PaaS和SaaS層。其核心服務是加密解密和簽名認證。

基于云架構下，安全邊界與管理模式都發生了很大的變化，網絡邊界改為VPC[5]、安全組方式，原有管理職責邊界改為遠程身份證明、遠程管理模式。

服務商向外提供的，是“密碼設備”或“密碼模塊”、密碼應用系統等基礎設施，所以這種交付模式也被稱為CIaaS（Cryptography Infrastructure as a Service，密碼基礎設施即服務），或CRaaS密碼資源即服務。

在云架構下，安全邊界與管理模式都有很大的變化，網絡邊界為VPC、安全組，管理模式變為遠程身份證明、遠程管理等，CaaS可在這個邊界以內為租戶提供各種密碼服務，彼此之間是獨立不相干的。

舉個例子，云簽名服務，左邊是簽名方和依賴方，中間是云簽名服務，最右邊是CA認證中心。云簽名服務有三種方式：客戶端簽名模式，即簽名密鑰在客戶端，協同簽名模式，即客戶端與云端各持部分簽名密鑰，服務端簽名模式：即簽名密鑰存放在云端。

03.云密碼服務架構

云密碼服務是將密碼軟硬件資源以密碼資源池的方式融入云計算平臺，通過調度密碼資源動態擴充密碼運算能力，實現密碼即服務，為云平臺及云租戶提供穩定、高效、可定制的密碼運算服務。

云密碼服務的技術框架包括了密碼資源池和終端、邊界、平臺密碼應用和密碼管理等內容，可概括為資源嵌入，服務內生。

資源嵌入是指密碼資源池成為為云計算資源的一部分，共同為云平臺及租戶提供計算服務，CRaaS、CFaaS和CBaaS等。

服務內生是指為了滿足國家合規安全的各項要求，云平臺及租戶都需要云內生的密碼能力，有了云密碼資源池，云平臺可以直接調用密碼資源的API接口來使用密碼服務，云租戶也不需要為業務系統單獨建設密碼基礎設施，通過云主機和VPC來保證云平臺提供的所有密碼服務活動都被限制在雙方授權范圍內，從租戶角度來看，這些密碼服務都是云平臺自身提供的，并不存在一個云密碼資源池的概念，雙方都借助云密碼服務實現了合規安全。

云密碼資源池是一個創新型產品，虛擬化技術云管理技術應用中密碼設備集群，把密碼設備轉變為云安全的基礎設施。

云密碼機是國密局批準的新型密碼產品，支持集群部署、虛擬密碼機動態創建和管理。云密碼資源池的硬件主要是分布式的云密碼機集群，由云服務器、物理密碼卡和虛擬資源構成云密碼機，密碼機集群具備了策略一致、管理統一和功能協同的密碼功能。

云密碼機的虛擬化技術主要有三種方式：

1、軟件虛擬化技術，優點是對于硬件要求低，缺點是服務器CPU開銷大，密碼板卡損耗也很大，板卡內部隔離性不好。

2、IO通道輔助虛擬化技術，整體性能優于軟件虛擬化技術，通常是基于英特爾的VT-d技術實現。

3、基于SR-IOV虛擬化技術，在PCI密碼板卡內部實現虛擬化，再通過虛擬機完成虛擬板卡的映射，其隔離性也是基于硬件保障的。云租戶只需要在VPC邊界內使用密碼服務或者將密碼資源切片映射為硬件安全模塊HSM。

值得注意的是，虛擬化會帶來性能的下降。例如物理網卡提供10G帶寬，利用虛擬化技術，在物理網卡上增加虛擬功能的芯片，不依賴于服務器，自身可實現網卡虛擬化，即將一個網卡虛擬成多個網卡設備，數據協議的拆包封包效率變化不大，但其中帶寬是共用的，因此傳輸的速率會下降。在實際密碼應用中需要考慮到這一點。

云密碼資源池的密鑰管理有密鑰隔離、遠程管理、密鑰托管和訪問控制四種方式。云租戶自行管理密鑰，云服務商集中管理密鑰，可通過密碼測評及云安全能力認證來評估和保證密鑰管理的安全性與合規性。

云密鑰的安全訪問技術有白盒密碼技術、軟件逆向工程防護技術、基于可信執行環境的安全技術和基于寄存器和緩存的密鑰安全技術等。

云密碼服務運營與管理首先要明確安全責任的劃分。對應于云的三層服務架構，CRaaS對應IaaS層，提供基礎服務，云密碼服務商承擔較少責任；用戶方需要自行建設部署密碼業務，全權負責密鑰生命周期安全并提供業務所有的安全配置，需承擔較大安全責任；CFaaS對應于PaaS層，CBaaS對應于SaaS層，云密碼服務商承擔較多責任，負責所有云密碼服務安全性。

關于云密碼服務的運營可以從三個維度來看，一是密碼服務需要滿足的安全合規要求；二是云密碼服務自身的質量要求，包括準確性、有效性、響應性、安全性和可靠性等；三是云平臺及云租戶密碼運維的能力要求，即用戶對密碼服務相關的設備、網絡、密鑰管理和應用數據進行必要審計、有限介入和全程管理三個層級的安全運維。

密碼服務的管理，即責任劃分問題遵循誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，由云管理者、云運營商和云租戶各自承擔相應責任，可以參考云計算開源產業聯盟2020年發布的《云計算安全責任共擔白皮書》里面的責任共擔模型。

04.機遇與挑戰

商用密碼是保護數據跨境傳輸安全的最佳途徑。

數據跨境傳輸，面臨著跨境數據內外部環境復雜，國內外監管要求差異巨大，數據安全復合型人才匱乏，以及法律、現實、技術、需求方面的多重挑戰。

境內的數據傳輸有風險評估、等級保護、密碼保護、關基保護和安全審查等法律法規來保障，而境外數據傳輸有GDPR、CPTPP、CBPR、APPI等條款來予以保護。

同時，在一帶一路、RCEP、中非經貿等經濟措施的有力刺激下，國家數據安全保護有法可循，也促進了我國商用密碼國際化和合規體系出海。

從密碼創新的角度來看，數據要素市場化帶來了新的安全問題，催生了新的密碼技術來解決。例如機密計算、機密容器以及隱私計算等等，如何更好的將商用密碼應用到這些新興技術中，為用戶提供更加高效、合規、安全的密碼服務，機遇與挑戰是并存的。

從時代發展的角度來看，我們正處于前所未有的大變革時代，信息全球化導致網絡空間主權爭奪加劇，攻防兩端的安全較量更加凸顯了密碼對網絡安全的核心支撐作用，十四五規劃實施、數字化轉型以及一帶一路中所面臨的已知的和未知的網絡安全問題都需要我們創造性地用密碼去解決。

密碼無止境，安全永遠在路上。望我們可以不忘初心，篤行致遠！