可信計算在國產(chǎn)商用密碼產(chǎn)品中的應(yīng)用

冒鵬鵬　劉暢　郭健

摘要：隨著我國對網(wǎng)絡(luò)安全越來越重視，密碼技術(shù)得到廣泛應(yīng)用，密碼產(chǎn)品也發(fā)展迅速，但密碼產(chǎn)品在應(yīng)用過程中仍存在著部分安全問題。文章以提升傳統(tǒng)的國產(chǎn)商用密碼產(chǎn)品的防御力、管理方法和服務(wù)水平為目的，通過具體問題具體分析的方式，理順了密碼產(chǎn)品存在的常見問題。通過在國產(chǎn)商用密碼產(chǎn)品中應(yīng)用可信計算，從而提高密碼產(chǎn)品的防御力，完善管理方法，提升服務(wù)水平，進而提高我國網(wǎng)絡(luò)環(huán)境的安全性，為國人構(gòu)建安全的網(wǎng)絡(luò)環(huán)境。

關(guān)鍵詞：可信計算；商用；密碼產(chǎn)品；安全需求

中圖分類號： TP393文獻標志碼：A0引言隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題頻頻出現(xiàn)，我國隨之也加大了對網(wǎng)絡(luò)安全和信息化工作的重視，以保護國家關(guān)鍵信息數(shù)據(jù)為目的，制定了網(wǎng)絡(luò)安全重點信息等級保護制度，開始將重心轉(zhuǎn)移至計算機防護體系，大力推進國家網(wǎng)絡(luò)安全主權(quán)的核心戰(zhàn)略技術(shù)的研發(fā)，強化計算機系統(tǒng)的防御力、免疫力和服務(wù)能力，解決系統(tǒng)中可能會出現(xiàn)的漏洞、病毒、木馬等未知和已知風(fēng)險，為國家和網(wǎng)絡(luò)的安全提供強有力的支撐和保障。

1國產(chǎn)商用密碼產(chǎn)品概述2020年1月1日，《中華人民共和國密碼法》（以下簡稱《密碼法》）正式頒布實施，這是中國密碼發(fā)展史上具有里程碑意義的事件。在《密碼法》中，商用密碼的定義如下：“商用密碼用于保護非國家秘密的信息。公民、法人和其他組織可以依法使用商業(yè)密碼，保護網(wǎng)絡(luò)和信息安全?！鄙虡I(yè)密碼在網(wǎng)絡(luò)空間中隨處可見，在維護國家安全、促進經(jīng)濟社會發(fā)展、保護人民利益等方面具有重要作用。

商用密碼產(chǎn)品是指使用商用密碼技術(shù)實現(xiàn)加解密或安全認證操作的專用硬件和軟件。按照功能，我們將商業(yè)加密產(chǎn)品分為通信加密和非通信加密。通信加密產(chǎn)品包括電話密碼機、傳真密碼機、帶各種總線接口的密碼卡、計算機應(yīng)用層密碼機、計算機網(wǎng)絡(luò)層密碼機、計算機鏈路層密碼機等;非通信加密產(chǎn)品主要包括認證、存儲等密碼產(chǎn)品，如智能IC卡、智能密碼密鑰、各種防偽系統(tǒng)、數(shù)據(jù)庫加密系統(tǒng)等。

密碼產(chǎn)品可以保護計算機與通信系統(tǒng)的安全，對政府機關(guān)、事業(yè)單位、團體組織和個人而言都有一定的保護作用。在通常情況下，密碼產(chǎn)品中包含數(shù)字簽名的生成和驗證、加密和解密、密鑰生成、密鑰分發(fā)等一系列服務(wù)。但在設(shè)計與實現(xiàn)密碼產(chǎn)品的過程中出現(xiàn)錯誤或漏洞、密碼算法標準要求不一致等都可能會成為密碼產(chǎn)品的安全隱患。

密碼產(chǎn)品必須滿足安全要求、測試要求，并通過認證名單。首先，按照密碼模組的安全等級將密碼產(chǎn)品分為4個等級，各等級的密碼產(chǎn)品必須滿足密碼模組的規(guī)格要求。其次，密碼模組想要獲得安全等級認證，需要按照安全要求條文，使用適當?shù)臏y試程序和方法完成測試。再次，廠商在認證測試的過程中若遇到問題或爭議需要在有關(guān)部門的協(xié)調(diào)下推進工作。最后，安全模組的相關(guān)資料需要通過認證名單，并被記錄和公布認證結(jié)果。

2商用密碼產(chǎn)品存在的問題及分析2.1傳統(tǒng)商用密碼產(chǎn)品防御能力存在的問題隨著科技的進步，國產(chǎn)商用密碼產(chǎn)品得到了迅速的發(fā)展，不斷攻克了關(guān)鍵性技術(shù)的研發(fā)難題，提高了網(wǎng)絡(luò)的安全效益。在此過程中，需要完善的是國產(chǎn)商用密碼產(chǎn)品安全需求指標，規(guī)范國產(chǎn)商用密碼產(chǎn)品市場，解決安全因素的顧慮。傳統(tǒng)的國產(chǎn)商用密碼產(chǎn)品主打功能為掃描計算機漏洞，并針對漏洞進行補丁和修復(fù)處理，防御惡意行為，建立以特征庫為基礎(chǔ)的防御機制，但是卻存在“重視功能，忽略保障”的弊端，并沒有充分考慮到計算機體系結(jié)構(gòu)的安全因素，無法對內(nèi)存進行隔離和越界保護，密碼產(chǎn)品本身很容易受到外界的影響，易出現(xiàn)被篡改或旁路的風(fēng)險［1］。

2.2傳統(tǒng)商用密碼產(chǎn)品管理方法方面存在的問題隨著密碼產(chǎn)品的發(fā)展以及網(wǎng)絡(luò)的迅速普及，要求必須滿足高等級的安全需求，這一過程要求各產(chǎn)品之間能夠互聯(lián)互通，共同構(gòu)建完整的管理體系，但建立網(wǎng)絡(luò)后系統(tǒng)的運維效率和防御能力卻出現(xiàn)了漏洞，反而無法達到預(yù)期的安全管理防御的服務(wù)效果。

2.3傳統(tǒng)商用密碼產(chǎn)品服務(wù)方面存在的問題密碼產(chǎn)品可以保護計算機與通信系統(tǒng)的安全性，對政府機關(guān)、事業(yè)單位、團體組織和個人而言都有一定的保護作用。在通常情況下，密碼產(chǎn)品中包含數(shù)字簽字的生成和驗證、加密和解密、密鑰生成、密鑰分發(fā)等一系列服務(wù)。密碼產(chǎn)品在提供服務(wù)時，計算機主人的身份容易被偽造或者冒用，同時由于沒有行為記錄，活動主體可以否認自己實施過的操作行為，產(chǎn)品的準確性受到了用戶的質(zhì)疑。

3傳統(tǒng)商用密碼產(chǎn)品現(xiàn)有安全問題的解決思路和對策信息系統(tǒng)安全的基礎(chǔ)由硬件基礎(chǔ)設(shè)施的安全和操作系統(tǒng)的安全組成。目前，除了從硬件和軟件的底層開始采取安全措施、從整體上采取措施外，幾乎沒有其他措施可以有效地保證信息系統(tǒng)的安全。

大多數(shù)潛在的安全威脅來自計算機終端，所以必須加強計算機的安全。因此，大多數(shù)威脅因素都可以從終端來源進行控制。對于廣泛使用的個人計算機來說，需要通過對芯片、主板、BIOS、操作系統(tǒng)的研究增強計算機的安全性，這推動了可信計算的出現(xiàn)和發(fā)展。

可信計算的主要技術(shù)方法是在計算機系統(tǒng)中建立信任根，其信任由物理安全、技術(shù)安全和管理安全共同保證，然后建立信任鏈，從信任的根源開始到硬件平臺、操作系統(tǒng)以及應(yīng)用程序。先前執(zhí)行的代碼需要檢查即將執(zhí)行的下一個組件的完整性，通過信任后，該信任可以擴展到整個計算機系統(tǒng)。

針對目前商用密碼產(chǎn)品存在的問題，通過將可信計算技術(shù)與密碼技術(shù)相結(jié)合，從根本上提高安全性。我國可信計算起步較早，國家密碼管理局于2007年12月發(fā)布了《可信計算密碼支撐平臺功能與接口規(guī)范》，這是我國第一個可信計算行業(yè)標準，制定了支撐可信計算密碼應(yīng)用的機制、協(xié)議，接口的相關(guān)標準。同時，在《商用密碼產(chǎn)品認證目錄》第一批/第二批中，確認了包括如下可信計算密碼相關(guān)產(chǎn)品種類：可信計算密碼支撐平臺、可信密碼模塊和安全芯片。

4可信計算技術(shù)在國產(chǎn)商用密碼產(chǎn)品中的具體應(yīng)用4.1可信計算強化商用密碼產(chǎn)品的防御能力可信計算技術(shù)被應(yīng)用于密碼產(chǎn)品后出現(xiàn)了可信白名單技術(shù)、TCM模塊、可信度量、可信審計等4方面的防御技術(shù)。

可信白名單技術(shù)是指密碼產(chǎn)品中被納入可信白名單的內(nèi)部程序才能夠正常運行，其他不存在于白名單的程序?qū)⒈痪芙^執(zhí)行，可有效保護惡意程序篡改或竊取系統(tǒng)內(nèi)的信息。白名單不需要手動建立，在終端軟件安裝密碼產(chǎn)品之后會自動執(zhí)行程序，對系統(tǒng)進行全面管理形成白名單，并按照白名單管理系統(tǒng)程序。

TCM模塊是指以國產(chǎn)密碼算法為基礎(chǔ)的PCI-E密碼卡，其中包括高速數(shù)據(jù)加密、數(shù)字簽名以及驗證簽名等安全服務(wù)，可以在建設(shè)電子商務(wù)或電子政務(wù)時作為管理網(wǎng)絡(luò)系統(tǒng)的安全設(shè)備。TCM模塊中使用了雙體結(jié)構(gòu)，普通功能和普通密碼卡功能全部可以在TCM模塊中同時運行，開始運行后可以自動檢測國產(chǎn)密鑰卡中的SM1、SM2、SM3、SM4等系列算法，確保芯片和算法的正確性，建立可信的數(shù)據(jù)儲存空間。

可信度量是指采用可信計算動態(tài)計量手段，結(jié)合白名單提供的程序，對所有程序進行嚴格的管控。只有可信度量結(jié)果與預(yù)期值之間保持一致，白名單中的程序才能進一步運行。程序在運行時，會通過動態(tài)化可信度量管理對系統(tǒng)內(nèi)部的關(guān)鍵數(shù)據(jù)運行狀況進行實時度量，判斷系統(tǒng)程序和數(shù)據(jù)是否受到惡意程序、木馬、病毒等一系列因素的攻擊，若存在問題會及時發(fā)出警告。

可信審計是指程序運行過程中留下的所有印記會被可信審計所記錄，跟蹤管理可信安全管理中心和免疫節(jié)點平臺中的用戶和進程的行為，實時記錄追蹤，了解實際情況。除此之外，可信計算技術(shù)也會建立主動的防御機制，阻止未授權(quán)和不符合預(yù)期的程序執(zhí)行運行，無論是已知還是未知的惡意代碼都會在可信計算的防御機制下被主動防御，無需對病毒、木馬進行查殺，也無需補丁升級即可通過執(zhí)行程序可信度量，防御威脅，確保系統(tǒng)運行的安全性。

4.2可信計算完善商用密碼產(chǎn)品的管理方法可信商用密碼產(chǎn)品中包括可信連接，統(tǒng)一管理和分級管理3個部分的集群組網(wǎng)，來形成完善的控制網(wǎng)絡(luò)，對系統(tǒng)內(nèi)部的執(zhí)行情況、數(shù)據(jù)信息及是否存在已知或未知威脅進行統(tǒng)一的分析和處理［2］。

可信連接是指結(jié)合實際情況，利用可信連接技術(shù)，規(guī)定是否給節(jié)點和節(jié)點之間提供通信連接，有效控制非授權(quán)節(jié)點獲取訪問授權(quán)節(jié)點，可有效地控制接入，保證計算機系統(tǒng)的連接都在可信連接技術(shù)的控制下，處于可信狀態(tài)的同時保持互聯(lián)。

統(tǒng)一管理是指計算機內(nèi)部的系統(tǒng)中所包含的所有免疫節(jié)點都由可信計算進行統(tǒng)一管理、配置、儲存和分析，解決傳統(tǒng)商用密碼產(chǎn)品中分散管理存在的難以聯(lián)動，無法形成整體防御的弊端。

分級管理是指在統(tǒng)一管理的基礎(chǔ)上，對計算機分級分域的組網(wǎng)結(jié)構(gòu)進行分域管理，不同等級的安全管理平臺對每一級的區(qū)域都進行可信管理，上級可以根據(jù)需求任意調(diào)動下級審計信息和配置下級間的區(qū)域訪問，從而逐級形成分級管理的可信終端。

4.3可信計算提升商用密碼產(chǎn)品服務(wù)水平可信商用密碼產(chǎn)品對計算機提供的服務(wù)包括機械性服務(wù)、完整性服務(wù)、真實性服務(wù)和抗抵賴服務(wù)。

機械性服務(wù)是指為了防止數(shù)據(jù)在未授權(quán)的情況下被泄露，會對所管理的數(shù)據(jù)信息提供加密和解密服務(wù)。

完整性服務(wù)是指隨著系統(tǒng)的運行，會實時監(jiān)測數(shù)據(jù)的保存情況和程序的運行情況。若存在問題會及時提供通知信息，并實時記錄運行情況；若存在修改、遺失等一系列問題，也會提供恢復(fù)數(shù)據(jù)修改服務(wù)，同時防止在未授權(quán)的情況下數(shù)據(jù)和程序被惡意篡改。

真實性服務(wù)是指為了防止計算機主人的身份被偽造或者冒用，會通過檢索活動主體身份的方式標志和識別身份。

抗抵賴服務(wù)是指為了防止活動主體否認自己實施過的操作行為，會提供操作主體實施行為的證據(jù)。

隨著可信計算技術(shù)的發(fā)展，可信計算產(chǎn)品已逐步可以滿足國家、行業(yè)針對主機安全的政策法規(guī)和技術(shù)要求，提高了主機安全防護水平。可信計算產(chǎn)品可以提供可信計算密碼支撐平臺、可信密碼模塊和安全芯片等產(chǎn)品，同時實現(xiàn)密碼產(chǎn)品的服務(wù)能力，能夠?qū)崿F(xiàn)真實性、抗抵賴性等服務(wù)。

5結(jié)語密碼產(chǎn)品具有一定的敏感性，與國家政治和企業(yè)的命運有著密切的聯(lián)系。但由于發(fā)展問題，國內(nèi)的商用密碼產(chǎn)品各方面的技術(shù)發(fā)展還有較大的提升空間。同時，對國內(nèi)商用密碼產(chǎn)品的測評認證方面還需要進一步強化，提高國民的信息網(wǎng)絡(luò)安全意識，建立完善的商用密碼產(chǎn)品質(zhì)量檢測和認證機構(gòu)，進一步研究和借鑒國外商用密碼產(chǎn)品的研發(fā)技術(shù)和測評認證方法，為我國商用密碼產(chǎn)品的發(fā)展奠定理論和實踐基礎(chǔ)。不斷通過法制化、規(guī)范化、科學(xué)化，維護國家的信息安全，保證在可信商用密碼產(chǎn)品的保護下利用加密和數(shù)字簽字技術(shù)保護計算機主人信息的機密性、完整性和有效性，進一步完善防御機制，提高服務(wù)效能，創(chuàng)造一個安全、健康、可靠的網(wǎng)絡(luò)環(huán)境。

沈昌祥院士提出的可信計算體系已經(jīng)成為保衛(wèi)國家網(wǎng)絡(luò)空間主權(quán)的戰(zhàn)略核心技術(shù)，也是世界網(wǎng)絡(luò)空間斗爭的焦點［3］。在中國，可信計算的研究起步并不晚，而且取得了豐富而實質(zhì)性的成果。經(jīng)過幾年的奮斗，我國在全球可信計算領(lǐng)域處于領(lǐng)先地位。我們應(yīng)該抓住機遇，投身于可信計算的發(fā)展中，建立信息安全體系，以確保國家信息安全。

參考文獻

［1］鄧小四.商用密碼應(yīng)用實踐［J］.信息安全研究，2017（5）：76-78.

［2］張煥國，羅捷，金剛，等.可信計算研究進展［J］.武漢大學(xué)學(xué)報（理學(xué)版），2006（5）：13-15.

［3］王泉景.可信計算在國產(chǎn)商用密碼產(chǎn)品中的應(yīng)用［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（1）：40.

（編輯 李春燕）

Application of trusted computing in domestic commercial cryptographic productsMao? Pengpeng， Liu? Chang， Guo? Jian

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042，China）Abstract：? As our country pays more and more attention to network security， encryption technology has been widely used， and encryption products have also developed rapidly， but there are still some security problems in the application process of encryption products. This article is aimed at improving the defense， management methods and service level of traditional domestic commercial encryption products， and straightens out the common problems of encryption products through specific analysis of specific issues. Through the application of trusted computing in domestic commercial encryption products， the defense of encryption products can be improved， management methods can be improved， and service levels can be improved， thereby promoting the security of my country’s network environment and building a safe network environment for Chinese people.

Key words： trusted computing; commercial; cryptographic products; security requirements