國(guó)密算法在主動(dòng)安全網(wǎng)絡(luò)架構(gòu)中的應(yīng)用

劉建兵 馬旭艷 楊 華 王振欣

1(北京北信源軟件股份有限公司 北京 100195) 2(中國(guó)石油東方地球物理勘探有限責(zé)任公司 河北保定 072750)

密碼技術(shù)是信息安全的核心和基礎(chǔ)支撐，是網(wǎng)絡(luò)免疫體系的基因，網(wǎng)絡(luò)及信息系統(tǒng)的安全離不開(kāi)密碼的核心支撐.現(xiàn)今大量使用的國(guó)外密碼技術(shù)和產(chǎn)品安全風(fēng)險(xiǎn)顯現(xiàn)，而強(qiáng)度更高的國(guó)密算法已經(jīng)成熟并實(shí)踐應(yīng)用，《中華人民共和國(guó)密碼法》[1]的頒布實(shí)施標(biāo)志著國(guó)密技術(shù)進(jìn)入大規(guī)模應(yīng)用階段.作為系列文章的第5篇，本文介紹了國(guó)密算法在主動(dòng)網(wǎng)絡(luò)安全架構(gòu)中的運(yùn)用實(shí)踐，以及由此帶來(lái)的安全和自主可控能力的提高.

1 國(guó)密算法是網(wǎng)絡(luò)安全自主可控基礎(chǔ)

1.1 密碼技術(shù)的安全地位

密碼技術(shù)是網(wǎng)絡(luò)與信息安全的核心基石技術(shù)[2]，保密性、完整性、不可抵賴性等核心的網(wǎng)絡(luò)安全特性都由密碼技術(shù)提供.整個(gè)網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行過(guò)程中的人、機(jī)、物的身份標(biāo)識(shí)、認(rèn)證、行為審計(jì)、安全可信可控的互聯(lián)互通等，都需要依靠密碼技術(shù)進(jìn)行支撐.

互聯(lián)網(wǎng)的發(fā)展促使各行各業(yè)普遍地將業(yè)務(wù)搬到互聯(lián)網(wǎng)上運(yùn)行，以更大范圍提供業(yè)務(wù)服務(wù)[3].但缺少安全防護(hù)機(jī)制的網(wǎng)絡(luò)和信息系統(tǒng)，無(wú)法安全穩(wěn)定地提供安全服務(wù)，安全事件經(jīng)常發(fā)生，導(dǎo)致安全影響網(wǎng)絡(luò)使用和業(yè)務(wù)服務(wù)，甚至導(dǎo)致網(wǎng)絡(luò)不可用或毀掉業(yè)務(wù).密碼技術(shù)的應(yīng)用較好地解決了網(wǎng)絡(luò)和信息系統(tǒng)的安全問(wèn)題，有力地支撐并促進(jìn)了網(wǎng)絡(luò)和信息系統(tǒng)的應(yīng)用和發(fā)展.

當(dāng)前信息技術(shù)環(huán)境的安全防護(hù)中，密碼技術(shù)是最核心、最關(guān)鍵、最有效的技術(shù)，也是使用最廣泛和深入的技術(shù)[4].網(wǎng)絡(luò)安全中的IPSEC VPN，SSL VPN等遠(yuǎn)程訪問(wèn)技術(shù)，其核心就是使用密碼技術(shù)確保了遠(yuǎn)程通信的加密防護(hù)；SSH等遠(yuǎn)程登錄協(xié)議，也是因?yàn)橛辛嗣艽a技術(shù)的安全加密支撐才得以安全使用；加密郵件、https的Web應(yīng)用服務(wù)等，得益于密碼技術(shù)的支撐，可以安心使用；PKI數(shù)字證書(shū)的使用[5]，使得大量應(yīng)用的安全防護(hù)有了技術(shù)支撐和依托，例如系統(tǒng)的身份強(qiáng)認(rèn)證、銀行USBKEY認(rèn)證等.不僅傳統(tǒng)的IT技術(shù)依賴密碼技術(shù)的支撐，最新的大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)應(yīng)用、區(qū)塊鏈技術(shù)的安全防護(hù)都依仗密碼技術(shù)的支撐.

信息技術(shù)的運(yùn)用，包括網(wǎng)絡(luò)服務(wù)的提供、信息系統(tǒng)業(yè)務(wù)服務(wù)的提供等，必須通過(guò)密碼技術(shù)的強(qiáng)力支撐才能真正實(shí)現(xiàn)大面積的推廣和安全應(yīng)用，脫離密碼技術(shù)安全支撐的信息技術(shù)服務(wù)的生命力將難以經(jīng)受起網(wǎng)絡(luò)安全威脅的考驗(yàn).密碼技術(shù)是網(wǎng)絡(luò)安全的免疫基因，其安全作用舉足輕重，核心地位不可取代.

1.2 國(guó)密算法對(duì)自主可控的作用

密碼技術(shù)是網(wǎng)絡(luò)安全的免疫基因，是安全防護(hù)的核心支撐技術(shù)，大量的信息技術(shù)服務(wù)依靠密碼技術(shù)的安全支撐.但遺憾的是，目前業(yè)界所使用的密碼技術(shù)、產(chǎn)品、算法等大都是國(guó)外的，國(guó)外密碼技術(shù)根深蒂固，占據(jù)了密碼技術(shù)市場(chǎng)的統(tǒng)治地位.與此同時(shí)，現(xiàn)今大量使用的國(guó)外密碼技術(shù)和產(chǎn)品被警示存在風(fēng)險(xiǎn).路透社曾報(bào)道，美國(guó)國(guó)安局(NSA)曾與海外加密技術(shù)公司RSA達(dá)成協(xié)議，要求在其移動(dòng)鑒證產(chǎn)品廣泛使用的加密技術(shù)中放置后門(安全牛、《中國(guó)證券報(bào)》相繼報(bào)道過(guò))[6].作為海外信息加密和安全認(rèn)證領(lǐng)域的龍頭企業(yè)，RSA的客戶遍布國(guó)內(nèi)外大型企業(yè)，擁有全球70%的市場(chǎng)份額.在國(guó)內(nèi)，RSA的客戶更是遍布各行各業(yè)，據(jù)不完全統(tǒng)計(jì)，通信行業(yè)的3大運(yùn)營(yíng)商、國(guó)內(nèi)的大型通信設(shè)備企業(yè)和大型制造業(yè)企業(yè)以及大型銀行、部分交易所等均為其客戶.密碼技術(shù)被放置后門，意味著互聯(lián)網(wǎng)的安全和信任基礎(chǔ)遭到了破壞，依托于密碼支撐的應(yīng)用和服務(wù)的安全已經(jīng)無(wú)從談起，面對(duì)國(guó)際對(duì)抗日益嚴(yán)峻的環(huán)境，密碼后門的被利用帶來(lái)的破壞和損失難以估量.

密碼技術(shù)作為網(wǎng)絡(luò)安全的免疫基因，是網(wǎng)絡(luò)安全的基礎(chǔ)和根本，也是各國(guó)搶占網(wǎng)絡(luò)安全制高點(diǎn)的角逐領(lǐng)域.各發(fā)達(dá)國(guó)家高度重視密碼技術(shù)，極力占據(jù)密碼技術(shù)的制高點(diǎn)，從王小云教授攻破MD5算法后[7]，美國(guó)重要機(jī)構(gòu)立即停用MD5算法的事件就可看出，美國(guó)對(duì)密碼算法的自主掌控是多么的堅(jiān)決.

我國(guó)高度重視網(wǎng)絡(luò)安全，也高度重視網(wǎng)絡(luò)安全的核心殺手锏技術(shù)，即密碼技術(shù)的自主研發(fā)和創(chuàng)新[8].密碼法、等級(jí)保護(hù)等國(guó)家法律和政策都要求網(wǎng)絡(luò)、信息系統(tǒng)、工控、物聯(lián)網(wǎng)等各重要領(lǐng)域需要使用國(guó)密技術(shù)進(jìn)行防護(hù)，提升國(guó)密應(yīng)用水平，切實(shí)提高網(wǎng)絡(luò)安全防護(hù)能力.

我國(guó)密碼管理與研究組織也積極落實(shí)國(guó)家要求，在密碼研發(fā)領(lǐng)域大力推進(jìn)，取得了重要成果.國(guó)家密碼管理局推出了我國(guó)自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密處理系列的國(guó)密算法，如SM2[9]，SM3[10]，SM4[11]等，從根本上擺脫我國(guó)對(duì)國(guó)外密碼技術(shù)的依賴，實(shí)現(xiàn)從密碼算法層面掌控核心的信息安全技術(shù).

國(guó)密算法強(qiáng)度、復(fù)雜度，性能等方面都與國(guó)外同類算法持平甚至優(yōu)于同類算法，具有算法安全等方面的優(yōu)越性[12]，如SM2算法和RSA算法都是公鑰密碼算法，SM2算法是一種更先進(jìn)安全的算法，SM2性能更優(yōu)更安全，密碼復(fù)雜度高、處理速度快、機(jī)器性能消耗更小.隨著國(guó)密算法推廣的延伸，多個(gè)領(lǐng)域已經(jīng)開(kāi)始使用國(guó)密算法替換國(guó)外算法，如金融領(lǐng)域已經(jīng)引入SM2，SM3，SM4等算法，逐步替換原有的RSA，ECC等國(guó)外算法[13].

密碼技術(shù)上擁有了自主可控的國(guó)密算法，就等于擁有網(wǎng)絡(luò)安全的中國(guó)免疫基因，可從網(wǎng)絡(luò)安全的基礎(chǔ)和根本層面擺脫國(guó)外的限制，對(duì)于我國(guó)網(wǎng)絡(luò)安全防護(hù)水平的提升具有舉足輕重的作用.密碼技術(shù)至關(guān)重要，國(guó)密算法更是網(wǎng)絡(luò)安全自主可控發(fā)展之主力支柱，網(wǎng)絡(luò)、信息系統(tǒng)等的安全防護(hù)使用國(guó)密算法進(jìn)行安全支撐，是大勢(shì)所趨，責(zé)任所在，必須堅(jiān)決把握和推廣使用國(guó)密技術(shù)，使得國(guó)密技術(shù)、國(guó)密算法逐步突破國(guó)外依賴和限制，進(jìn)而全面突破，燎原全局.

2 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的密碼學(xué)支撐

2.1 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)主要功能

主動(dòng)安全網(wǎng)絡(luò)(active security network, ASN)架構(gòu)由包括IPK(identity public key)密鑰平臺(tái)、認(rèn)證客戶端、邊界認(rèn)證機(jī)、管理控制服務(wù)器等主要構(gòu)件組成，所有構(gòu)件相互配合，實(shí)現(xiàn)了終端安全認(rèn)證與準(zhǔn)入，全網(wǎng)終端、邊界認(rèn)證機(jī)資產(chǎn)的統(tǒng)一管理，全網(wǎng)安全策略的集成、統(tǒng)一管理和執(zhí)行等安全防護(hù)功能，主動(dòng)安全網(wǎng)絡(luò)架構(gòu)功能具體參見(jiàn)文獻(xiàn)[14].

2.2 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)密碼支撐

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)中存儲(chǔ)的終端以及邊界認(rèn)證機(jī)的資產(chǎn)、認(rèn)證、狀態(tài)、策略等重要信息，在認(rèn)證客戶端、邊界認(rèn)證機(jī)、管理控制服務(wù)器、第三方安全平臺(tái)之間進(jìn)行流轉(zhuǎn)，需要使用國(guó)密技術(shù)，確保重要信息的安全流轉(zhuǎn)交互，杜絕報(bào)文被截獲破解進(jìn)而影響架構(gòu)安全運(yùn)行的情況發(fā)生.

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)運(yùn)行在接入認(rèn)證協(xié)議(access authentication protocal, AAP)、管理控制協(xié)議(management control protocal, MCP)、業(yè)務(wù)交互協(xié)議(business interaction protocal, BIP)、開(kāi)放集成協(xié)議(open integration protocal, OIP)、信任互聯(lián)協(xié)議(trust interconnection protocal, TIP)5個(gè)協(xié)議之上，如圖1所示.以下分別介紹各個(gè)協(xié)議國(guó)密算法的安全應(yīng)用.

圖1 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)協(xié)議族

接入認(rèn)證協(xié)議(AAP)[15]：該協(xié)議實(shí)現(xiàn)邊界認(rèn)證機(jī)與認(rèn)證客戶端交互，完成終端的認(rèn)證準(zhǔn)入.終端與邊界認(rèn)證機(jī)之間的認(rèn)證準(zhǔn)入報(bào)文，使用國(guó)密技術(shù)加密傳輸，防止認(rèn)證信息明文被捕獲破解，提高認(rèn)證安全性.

管理控制協(xié)議(MCP)：該協(xié)議實(shí)現(xiàn)邊界認(rèn)證機(jī)與第三方平臺(tái)到管理控制服務(wù)器進(jìn)行認(rèn)證注冊(cè)，并為后續(xù)業(yè)務(wù)信息建立通信隧道.為保證邊界認(rèn)證機(jī)與第三方平臺(tái)到管理控制服務(wù)器的注冊(cè)認(rèn)證安全性，需要使用國(guó)密算法，進(jìn)行注冊(cè)認(rèn)證報(bào)文的加解密防護(hù)；同時(shí)需要使用國(guó)密算法，為建立起來(lái)的通信隧道進(jìn)行加密防護(hù).

業(yè)務(wù)交互協(xié)議(BIP)和開(kāi)放集成協(xié)議(OIP)：這2個(gè)協(xié)議運(yùn)行在MCP協(xié)議建立起來(lái)的加密隧道中，可確保業(yè)務(wù)數(shù)據(jù)安全.

信任互聯(lián)協(xié)議(TIP)：該協(xié)議實(shí)現(xiàn)同一局域網(wǎng)的邊界認(rèn)證機(jī)之間的認(rèn)證和數(shù)據(jù)通信加密.為了防止非法設(shè)備接入局域網(wǎng)，局域網(wǎng)的邊界認(rèn)證機(jī)需要進(jìn)行安全認(rèn)證，以杜絕非法設(shè)備接入；同時(shí)認(rèn)證成功后邊界認(rèn)證機(jī)之間的通信數(shù)據(jù)需要進(jìn)行加密防護(hù)，確保重要業(yè)務(wù)數(shù)據(jù)不被監(jiān)聽(tīng)獲取.

通過(guò)分析主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的5大協(xié)議，發(fā)現(xiàn)認(rèn)證客戶端與邊界認(rèn)證機(jī)的認(rèn)證準(zhǔn)入、邊界認(rèn)證機(jī)和第三方平臺(tái)到管理控制服務(wù)器的認(rèn)證準(zhǔn)入以及業(yè)務(wù)交互、同一局域網(wǎng)邊界認(rèn)證機(jī)之間的安全認(rèn)證和數(shù)據(jù)通信等方面，都需要密碼技術(shù)進(jìn)行安全支撐與防護(hù)，以解決非法設(shè)備杜絕接入、業(yè)務(wù)數(shù)據(jù)明文傳輸被監(jiān)聽(tīng)獲取等安全問(wèn)題，以實(shí)現(xiàn)整體架構(gòu)的安全.

3 基于物聯(lián)網(wǎng)的密鑰體制對(duì)ASN支撐

3.1 IPK標(biāo)識(shí)公鑰技術(shù)

標(biāo)識(shí)公鑰(IPK)體系屬于非對(duì)稱的公鑰密碼體系，基于成熟的標(biāo)識(shí)公鑰密碼技術(shù)，實(shí)現(xiàn)了標(biāo)識(shí)與密鑰的關(guān)聯(lián)[16].IPK與PKI不同的是，IPK體系中不需要第三方證書(shū)，而是將網(wǎng)絡(luò)中的設(shè)備、終端或系統(tǒng)的唯一標(biāo)識(shí)作為演算并分發(fā)公/私鑰的因子，通過(guò)密鑰種子與因子進(jìn)行數(shù)學(xué)計(jì)算，生成設(shè)備對(duì)應(yīng)的公鑰和私鑰，從而完成設(shè)備、終端或系統(tǒng)之間的身份認(rèn)證與授權(quán).IPK支持ECDSA，SM2，SM4等算法，簽名和加密所產(chǎn)生的附加數(shù)據(jù)量小，運(yùn)算少，使用高效.

IPK標(biāo)識(shí)密鑰技術(shù)具有的特點(diǎn)非常貼合主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的密碼安全防護(hù)需要，具體如下：

1)實(shí)現(xiàn)了標(biāo)識(shí)與密鑰的關(guān)聯(lián)，標(biāo)識(shí)即終端設(shè)備的身份，標(biāo)識(shí)唯一即終端設(shè)備身份唯一.密鑰技術(shù)唯一標(biāo)識(shí)設(shè)備身份，為認(rèn)證準(zhǔn)入、策略下發(fā)奠定了基礎(chǔ)；

2)標(biāo)識(shí)密鑰技術(shù)輕量級(jí)，使用所產(chǎn)生的數(shù)據(jù)運(yùn)算少且高效，適合認(rèn)證準(zhǔn)入、注冊(cè)認(rèn)證等安全防護(hù)功能的便捷高效實(shí)現(xiàn)；

3)IPK技術(shù)支持SM2，SM4，SM9等國(guó)密算法，可充分使用國(guó)密算法進(jìn)行加解密防護(hù)，實(shí)現(xiàn)國(guó)密算法的落地，提高安全防護(hù)自主可控性.

由于IPK技術(shù)的特點(diǎn)與主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的防護(hù)需求有著極大的吻合性，主動(dòng)安全網(wǎng)絡(luò)架構(gòu)中采用了IPK標(biāo)識(shí)密鑰技術(shù)進(jìn)行架構(gòu)的密碼支撐.

3.2 IPK機(jī)制對(duì)ASN的支撐

在主動(dòng)網(wǎng)絡(luò)安全架構(gòu)中，搭建IPK密鑰分發(fā)平臺(tái)，實(shí)現(xiàn)基于IPK標(biāo)識(shí)公鑰體制的密鑰的生產(chǎn)、分發(fā)、撤銷、存儲(chǔ)、備份和恢復(fù)等功能，為終端認(rèn)證準(zhǔn)入、報(bào)文加密等網(wǎng)絡(luò)安全防護(hù)功能提供密鑰支撐.

IPK密鑰平臺(tái)利用計(jì)算機(jī)、打印機(jī)、手機(jī)等入網(wǎng)終端，邊界認(rèn)證機(jī)，管理控制服務(wù)器，第三方平臺(tái)的MAC生成的唯一標(biāo)識(shí)CID(combination ID)為因子，通過(guò)密鑰種子與CID進(jìn)行數(shù)學(xué)計(jì)算生成各自對(duì)應(yīng)的公鑰和私鑰，并相應(yīng)地導(dǎo)入至業(yè)務(wù)運(yùn)行所需的設(shè)備或系統(tǒng)，如圖2所示.通過(guò)設(shè)備唯一的物理特征生成的唯一標(biāo)識(shí)CID，可在認(rèn)證過(guò)程、安全分析過(guò)程中快速查找并鎖定該設(shè)備.

圖2 主動(dòng)安全網(wǎng)絡(luò)架構(gòu)密鑰生成與導(dǎo)入

IPK密鑰支撐平臺(tái)生成的公鑰和私鑰分發(fā)如下：終端私鑰導(dǎo)入認(rèn)證客戶端軟件，邊界認(rèn)證機(jī)和第三方平臺(tái)導(dǎo)入各自公鑰和私鑰，管理控制服務(wù)器導(dǎo)入服務(wù)器公鑰和私鑰、終端、邊界認(rèn)證機(jī)和第三方平臺(tái)的公鑰.

密鑰準(zhǔn)備工作完成后，5大協(xié)議通過(guò)密鑰，利用國(guó)密算法進(jìn)行架構(gòu)運(yùn)行的安全防護(hù)，具體如下：

接入認(rèn)證協(xié)議(AAP)使用SM2算法，對(duì)邊界認(rèn)證機(jī)和認(rèn)證客戶端之間的認(rèn)證報(bào)文進(jìn)行公鑰加密和私鑰解密，進(jìn)而保障認(rèn)證安全.

管理控制(MCP)協(xié)議使用SM2算法，對(duì)邊界認(rèn)證機(jī)和第三方平臺(tái)到管理控制服務(wù)器的認(rèn)證注冊(cè)報(bào)文進(jìn)行公鑰加密和私鑰解密，進(jìn)而保障認(rèn)證安全；通過(guò)公鑰加密對(duì)稱密鑰、私鑰解密對(duì)稱密鑰完成邊界認(rèn)證機(jī)和第三方平臺(tái)到管理控制服務(wù)器對(duì)稱密鑰的安全傳輸，對(duì)稱密鑰通過(guò)SM4算法建立業(yè)務(wù)報(bào)文交互的加密隧道.

業(yè)務(wù)交互協(xié)議(BIP)和開(kāi)放集成協(xié)議(OIP)運(yùn)行在MCP協(xié)議建立的加密隧道上，通過(guò)對(duì)稱密鑰和SM4算法保護(hù)業(yè)務(wù)報(bào)文.

信任互聯(lián)(TIP)在局域網(wǎng)的邊界認(rèn)證機(jī)之間使用SM2算法，通過(guò)公鑰加密對(duì)稱密鑰，私鑰解密對(duì)稱密鑰完成對(duì)稱密鑰的安全傳輸，邊界認(rèn)證機(jī)之間的通信報(bào)文通過(guò)對(duì)稱密鑰和SM4算法進(jìn)行加密保護(hù).

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)在IPK密鑰平臺(tái)的密鑰支撐下，綜合使用國(guó)密對(duì)稱與非對(duì)稱算法，實(shí)現(xiàn)了設(shè)備或系統(tǒng)的安全注冊(cè)、認(rèn)證和準(zhǔn)入，以及重要業(yè)務(wù)報(bào)文的加密防護(hù)，使得主動(dòng)安全網(wǎng)絡(luò)架構(gòu)有了網(wǎng)絡(luò)安全的中國(guó)免疫基因——國(guó)密技術(shù)的全面支撐，架構(gòu)整體運(yùn)行有切實(shí)的安全保障.

4 以密碼支撐的ASN的安全特性

4.1 安全基因自主可控

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)采用IPK標(biāo)識(shí)密鑰技術(shù)，使用國(guó)產(chǎn)商密算法進(jìn)行整體架構(gòu)的密碼保護(hù)，顯著增強(qiáng)了架構(gòu)的安全強(qiáng)度.

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)從設(shè)計(jì)之初就將國(guó)密算法全面融合到架構(gòu)的各個(gè)過(guò)程環(huán)節(jié)，使產(chǎn)品從研發(fā)之始就具備了安全免疫系統(tǒng)的密碼基因，且密碼基因國(guó)產(chǎn)內(nèi)生、自主可控，可隨著主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的升級(jí)而同步進(jìn)化.國(guó)密算法強(qiáng)度、復(fù)雜度、性能等方面持平或優(yōu)于國(guó)外同類算法，使得主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的密碼安全基因自主可控并先天優(yōu)秀，具有很強(qiáng)的安全差異化優(yōu)勢(shì).

4.2 架構(gòu)運(yùn)行安全可靠

主動(dòng)安全網(wǎng)絡(luò)架構(gòu)各個(gè)過(guò)程、各個(gè)環(huán)節(jié)都使用了國(guó)密技術(shù)進(jìn)行安全防護(hù)，國(guó)密算法貫穿于架構(gòu)的方方面面，使得架構(gòu)運(yùn)行安全可靠.

終端與邊界認(rèn)證機(jī)、邊界認(rèn)證機(jī)與管理控制服務(wù)器、管理控制服務(wù)器與第三方平臺(tái)，每段都采用了國(guó)密技術(shù)進(jìn)行防護(hù).每段業(yè)務(wù)交互都根據(jù)安全需求和業(yè)務(wù)特點(diǎn)，選擇合適的加密算法，如采用SM2非對(duì)稱加密算法進(jìn)行終端認(rèn)證準(zhǔn)入、邊界認(rèn)證機(jī)和第三方平臺(tái)的注冊(cè)認(rèn)證；使用SM4算法進(jìn)行邊界認(rèn)證機(jī)、第三方平臺(tái)與管理控制服務(wù)器的業(yè)務(wù)報(bào)文加密防護(hù).架構(gòu)局部是分段防護(hù)，整體是全面防護(hù)，國(guó)密算法的使用切實(shí)為主動(dòng)網(wǎng)絡(luò)安全架構(gòu)提供了全面的密碼防護(hù)機(jī)制，確保了架構(gòu)運(yùn)行的安全性.

5 總 結(jié)

國(guó)密算法處于主動(dòng)安全網(wǎng)絡(luò)架構(gòu)的安全核心地位，安全防護(hù)作用強(qiáng)勁而全面.主動(dòng)安全網(wǎng)絡(luò)架構(gòu)全面采用國(guó)密技術(shù)，國(guó)密算法貫穿于架構(gòu)運(yùn)行的各個(gè)過(guò)程、各個(gè)環(huán)節(jié)；對(duì)稱與非對(duì)稱加密技術(shù)根據(jù)業(yè)務(wù)特點(diǎn)靈活運(yùn)用，有機(jī)融合，使得架構(gòu)先天安全免疫基因自主可控又質(zhì)地優(yōu)秀，有力地提升了架構(gòu)的安全強(qiáng)度，保障了架構(gòu)運(yùn)行的安全可靠.