2020网信自主创新调研报告-商用密码
以下文章来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》
2020网信自主创新调研报告
专家委员
主 任:倪光南
副主任:严 明、霍 炜、胡伟武、窦 强
委 员(按拼音排序):曹 冬、陈晓桦、邓小四、杜 胜、杜跃进、冯燕春、冯裕才、郭守祥、韩乃平、胡红升、黄志刚、姜海舟、李 斌、李璐瑶、梁育刚、刘龙庚、刘闻欢、刘 毅、陆宝华、罗东平、潘凤岩、唐 彬、汤学军、田俊峰、肖新光、杨纪文、翟起滨、张焕国、张 强、张 彦、张宇翔、张岳公、赵 波、赵战生、郑静清、祝国邦
商用密码
01 商用密码取得快速高质量发展
商用密码已成为保障网络安全的核心技术和基础支撑,采用密码技术保护网络和信息安全、维护网络安全新秩序已成为各界的共识。“十三五”以来,在国家密码管理局的统筹领导下,商用密码领域积极贯彻信息技术自主创新基本策略,管理体系逐渐健全,创新成果不断涌现,密码技术融合应用方面取得长足进步,实现了快速和高质量发展。
制度和标准体系日趋健全
《中华人民共和国密码法》的施行从法律层面落实推进了商用密码在我国新时期的应用与发展,有力促进了商用密码技术进步、产业发展和规范应用。随着国家政务信息化建设进程的大力推进,以政务信息系统的密码保障建设为抓手已成为当下政务信息化发展的一个重要工作。2019 年 12 月发布的《国家政务信息化项目建设管理办法》(国办发〔2019〕57 号),从政务信息化建设的角度明确规定了密码应用要求。2020 年 9 月,为贯彻落实国家 政务信息系统中的密码应用要求,国家密码管理局向国家各部委和有关单位发送了《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》(国密局函〔2020〕119 号),同时中国密码学会密评 联委会制定了《政务信息系统密码应用与安全性评估工作指南》,这为在国家政务信息化项目中开展商用密码应用和安全性评估给出了具体指导意见和实施指南。
在商用密码标准体系建设方面,截至 2021 年 3 月 15 日, 累计发布密码国家标准 39 项,密码行业标准 115 项。国际标准化方面,自 2015 年 5 月起,我国陆续向 ISO 提出了将 SM2、SM3、SM4 和 SM9 算法纳入国际标准的提案。2017 年,SM2 和 SM9 数字签名算法正式成为 ISO/IEC 国际标准;2018 年,SM3 算法正式成为 ISO/IEC 国际标准;2020 年 4 月,ZUC 算法正式成为 ISO/IEC 国际标准;2021 年 3 月,SM9 标识加密算法正式成为 ISO/ IEC 国际标准。目前,SM4 对称密码算法已进入正式发布阶段,SM9 标识密码密钥交换协议已进入 FDIS 阶段。
融合创新成果不断涌现
商用密码与基础软硬件融合方面,龙芯、飞腾等 CPU 厂商一直致力于突破通用处理器与密码模块芯片级融合、密码 IP 核与 CPU 核片内高速总线互联等技术。目前,龙芯三号处理器已实现了内嵌密码模块,通过了国家商用密码产品二级密码模块认证;飞腾推出了安全处理器架构规范 PSPA,相继研制了多款集成商用密码加速引擎的安全处理器。元心科技实现了移动操作系统对软件国密算法库和硬件国密模块的同时支持,构建了一套完整的基于国密算法的移动操作系统安全体系架构。瀚高数据库已实现利用国密算法在数据加密、数据存储方面与数据库功能的深度结合,强化了密码技术对敏感数据的安全保护功能。
新兴密码技术、产品、服务交付模式方面,上下游厂商和集成商协同配合,打造了一批满足市场需求、用户体验良好、产品性能领先的商用密码产品和创新性的密码应用集成方案。网迅科技研发的专用以太网络控制器实现了芯片级的国密算法应用。清华沐创研发的可重构高性能安全芯片能够实现单芯片 SM4 最高性能 30Gbps。天融信、启明星辰等研制了基于国产硬件平台的网络加密机、综合安全网关等设备,可在 VPN 场景中支持双证书部署。三未信安研制了适用于云计算场景的云服务器密码机和云密钥管理系统,全面支持“飞腾 + 银河麒麟”、“龙芯 + 中标麒麟”、“鲲鹏 + 统信”,以及达梦数据库、中创中间件等国产化应用环境。北京数字认证股份有限公司研发了新型软件密码模块,可为应用系统提供高安全、可弹性扩展的密码运算服务,支撑更多云化场景下的密码运算服务。
密码技术与应用场景深度融合
过去五年,产学研用各界广泛开展合作,以密码保安全、以密码促安全,初步实现了密码技术与应用场景的深度融合。
车联网、云计算等新兴技术领域实现了密码基础设施的创新性应用。北京数字认证股份有限公司联合国内优势企业共同打造的基于商用密码的车联网信任体系,实现车联网场景下数据的可溯可查、真实可信,同时充分保障用户隐私。三未信安为代表的多家商用密码厂商陆续与云厂商合作,协助云厂商实现密码服务在公有云环境的落地,同时也在政务、金融等行业协助用户构建私有云 / 专有云环境中密码服务的规范化应用。
金融、能源、广电、交通、惠民等领域初步实现了商用密码产品与行业场景特点的融合应用。国内超过 80 余家金融保险机构在电子保单、电子投保等业务方面,基于商用密码技术实现了国密数字证书的全面应用,累计签发数字证书超过数亿;基于密码模块生产的智能电表超 5 亿只,用户卡发放超 1 亿张;采用密码技术的二代身份证和港澳台居民居住证共累计发行超过 19 亿张;机动车检验标志电子凭证覆盖超过 1.5 亿辆;第三代社会保障卡覆盖超过 4800 万户;近 2700 万台移动智能终端基于密码技术实现了数字版权保护;10 个省(区、市)已完成基于密码技术的政务云试点建设,覆盖服务用户超过 5000 万。此外,密码技术在交通、能源等基础设施的密码支撑体系已初具规模。
02 在密评制度和应用需求引领下谋求融合发展
密评制度对技术和产业发展起到促进作用
商用密码应用安全性评估(“密评”)是商用密码检测认证体系建设的重要组成部分,也是保证商用密码应用合规、正确、有效的重要手段。从商用密码产业角度看,密评制度的建立对于推动商用密码技术的创新发展,规范商用密码产业发展,促进商用密码服务能力、实施能力和方案集成能力的提升都有重要的现实意义。
经历了近几年的密评试点,2020 年开始实施的《中华人民共和国密码法》 首次正式提出“商用密码应用安全性评估”的要求。2020 年也是密评工作取得长足进步的一年:4月,系统介绍我国商用密码应用与安全性评估的著作《商用密码应用与安全性评估》由电子工业出版社出版发行;7 月,国家密码管理局正式公布了全国首批 24 家密评试点机构目录;9 月,经人员培训考核、实战模拟考核和远程现场评审等严格遴选过程,国家密码管理局认定了第二批试点密评机构共 36 家,进一步充实了密评队伍;12 月,为配合《信息系统密码应用基本要求》国标版本的实施,中国密码学会密评联委会组织制定了《信息系统密码应用测评要求》等 5 项指导性文件,并在国家密码管理局 官方网站发布。2021 年 3 月 9 日,GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》正式发布,将于 2021 年 10 月 1 日实施。
新兴技术领域对商用密码提出融合发展要求
(1)区块链领域
区块链技术与实体经济正在加速融合,应用规模也在进一步扩大。与区块链相关的安全问题主要缘于其信任机制的设计和维护,如果信任风险得不到有效控制,区块链技术的大规模应用将无从谈起。依托商用密码技术构建安全的区块链体系,是推动其广泛应用的关键所在。首先,保障区块链密钥体系的安全是最核心的任务;其次,依托安全认证机制做好上层智能合约和风险控制,是维系区块链系统全生命周期的重要措施;最后,鉴于合约账本的可公开特性,利用密码技术对上链数据进行必要的隐私保护,是解决隐私问题的有效途径。
(2)云计算领域
由于云环境与传统信息系统在应用场景方面存在显著的差异,传统密码产品和技术难以发挥其核心支撑能力。因此,面对云环境基础设施部署模式、服务支撑形式、持续运营方式等多方面需求,商用密码厂商需要探索适合于云化业务的新型密码技术架构和云密码服务模式,实现从实体密码机到虚拟密码机的转变,以及从本地密码服务到云平台综合密码服务的转变。
(3)物联网领域
物联网设备和通信实体往往运算能力和功率有限,因此需要更加轻量级的密码应用技术。与此同时,庞大的节点数量、丰富的设备种类,也对密码基础设施的处理性能提出了挑战,需要密码从业单位在处理规模化设备和实体接入能力方面有所创新。
(4)大数据领域
大数据加密普遍采用国外算法,鉴于加密方式的合规性要求、适用场景的多样性需求以及对大数据开源组件的可控力度不够等原因,迄今为止我国的商用密码算法在大数据加密方面未得到广泛的使用。首先,算法方面亟需 一系列合规的、高性能的安全密码模块与大数据开源体系框架实现广泛融合,为海量数据的加密保护提供基础支撑;其次,大数据环境下的权责体系复杂,亟需依托密码技术构建适用于各类相关场景的身份管理机制、数权管理和认定机制,为大数据环境提供一个高度灵活、广泛适用的信任保障体系。
(5)5G 领域
在5G网络广泛应用了SDN和NFV等关键技术后,网络边界越来越模糊。5G 领域的安全设备需要进一步满足轻量化、标识化、高负载、高弹性的应用需求,将多元化的安全功能、密码功能嵌入到 5G 通信环境的各类组件中。
03融合与生态将成为商用密码创新发展的重要路径
自主创新与融合发展相结合
坚持以自主可控为立足之本,稳步控制供应链安全风险。商用密码企业应及时、自主、有计划地对自身供应链安全进行评估,从设计、生产、原材料等各环节进行自主可控布局,确保在极端条件下能够保障可持续的研发能力和供货能力。同时,要努力在密码算法设计与分析评估技术、密码芯片设计技术、认证及密钥交换技术、密文计算与隐私保护技术、密码检测与应用安全性评估技术等方面突破技术瓶颈,最大限度地解决“卡脖子”问题。
顺应新兴技术的发展态势,用创新思维解决关键密码技术难题。紧跟信息技术前沿动态和国家政策导向,确立自主发展策略,开展密码技术与物联网、区块链、大数据等新技术和新业态的融合应用研究,有效完善以商用密码为中心的多边安全产业生态,推动高速密码技术与云计算、物联网、大数据、5G 等新兴技术空间中的融合应用。例如,重视布局云 - 管 - 边 - 端的密码应用生态链,将密码基础硬件应用于云平台底层设备、网络管道设备、边缘计 算设备和移动智能终端等,推动高速密码技术与新技术、新形态的融合;以应用需求为牵引,依托试点示范项目建设,通过技术创新、适配验证等手段,协助密码需求方构建以密码为基石的网络安全与信任体系;以密码融合安全,安全融合网络,网络融合智能为原则,持续发展高速密码技术,研发高速密码产品,建设高速密码应用技术支撑体系。
把握重点行业的应用需求,精准输出高质量的密码支撑能力。将用户需求和市场导向融入到自主创新的整个过程,特别是面向金融、能源、通信、交通、电子政务等关键信息基础设施的业务场景,着力打造与业务需求相契合的新型综合密码支撑体系,为客户提供一体化、融合化、服务化的密码支撑保障能力。
加强合作、分步实施促进商密生态建设
健康的商用密码产业生态建设需要需求方、供给方、监管方通力合作。作为密码需求方,要在相关政策引导下,逐步建立相对完备的密码知识,与密码供给方进行良好沟通。作为密码供给方,要以《信息系统密码应用基本要求》为主线,提升密码规划、实施、运行能力,同时开展服务能力创新,加强密码技术咨询、密码方案集成、密码安全运维、密码意识培训等新型密码服务,促进商密产业多样化发展和全覆盖发展。作为密码监管方,要明确和持续完善密码测评要求、测评方法、测评工具、监督检查规范等要点内容,引导供给方和需求方构建有效的商用密码防护体系。
在密码支撑系统的建设过程中,需要商用密码企业加强技术创新研究,使好用的、经济的、高效的密码技术逐步与业务需求相匹配。随着密码技术的发展和密码产品的成熟度不断提高,以及共性需求越来越多,密码与应用的深度融合会在更多行业领域取得新的成果。
以上文章来源于关键信息基础设施技术创新联盟《 2020 网信自主创新调研报告》,版权归属关键信息基础设施技术创新联盟所有,若涉转发侵权,请联系小编告知删除。