云密碼服務(wù)應(yīng)用安全性評(píng)估分析與探討

陳翠云，呂 由，趙 祎，陳 盼

（公安部第一研究所，北京 100048）

商用密碼應(yīng)用安全性評(píng)估制度是國(guó)家信息安全領(lǐng)域的基本國(guó)策，由國(guó)家密碼管理局牽頭，經(jīng)過(guò)數(shù)年的探索和實(shí)踐，已形成一系列政策和標(biāo)準(zhǔn)體系，并于近幾年在全國(guó)范圍內(nèi)全面開展實(shí)施。與此同時(shí)，隨著云計(jì)算技術(shù)的不斷發(fā)展，云平臺(tái)已成為信息系統(tǒng)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施之一，并得到了廣泛應(yīng)用。

但由于云平臺(tái)自身的特殊性，在其密碼應(yīng)用測(cè)評(píng)過(guò)程中，會(huì)面臨密碼服務(wù)需求不清晰、測(cè)評(píng)點(diǎn)難以確定、涉及虛擬機(jī)遷移安全測(cè)評(píng)等特殊疑難問(wèn)題，而商用密碼應(yīng)用安全性評(píng)估現(xiàn)有標(biāo)準(zhǔn)體系和指導(dǎo)文件主要還是針對(duì)于傳統(tǒng)單一的信息系統(tǒng)，對(duì)于云平臺(tái)的密碼應(yīng)用測(cè)評(píng)，尚處在研究和探索階段，缺乏具有針對(duì)性的指導(dǎo)意見(jiàn)。需參考GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》等現(xiàn)有標(biāo)準(zhǔn)，并針對(duì)其測(cè)評(píng)過(guò)程中可能存在的疑難問(wèn)題，如云密碼服務(wù)需求、云密碼服務(wù)應(yīng)用測(cè)評(píng)點(diǎn)、云密碼服務(wù)應(yīng)用測(cè)評(píng)注意事項(xiàng)等進(jìn)行深入研究和探討。

1 云平臺(tái)密碼保障建設(shè)

如圖1 所示，云平臺(tái)和云上應(yīng)用運(yùn)營(yíng)者不同，需界定兩者的責(zé)任和范圍。在云上密碼保障系統(tǒng)建設(shè)之前，需明確劃分為2 個(gè)層次：

圖1 云平臺(tái)和云上應(yīng)用責(zé)任和范圍Fig.1 Responsibilities and scope of cloud platforms and applications on the cloud

（1）云平臺(tái)密碼保障系統(tǒng)：針對(duì)云平臺(tái)自身密碼應(yīng)用的密碼保障系統(tǒng)的建設(shè)，該部分建設(shè)的責(zé)任主體為云平臺(tái)的運(yùn)營(yíng)者。

（2）云上應(yīng)用密碼保障系統(tǒng)：針對(duì)云上應(yīng)用系統(tǒng)密碼應(yīng)用的密碼保障系統(tǒng)的建設(shè)，該部分建設(shè)的責(zé)任主體為云上應(yīng)用的運(yùn)營(yíng)者。

其次，在云平臺(tái)密碼保障系統(tǒng)建設(shè)過(guò)程中，最重要的一點(diǎn)就是要梳理重要數(shù)據(jù)信息的流向和承載實(shí)體，明確其范圍和保護(hù)對(duì)象，如圖2 所示。

圖2 重要數(shù)據(jù)信息流向和承載實(shí)體Fig.2 Important data information flow and bearing entity

2 云密碼服務(wù)需求分析

云計(jì)算場(chǎng)景密碼應(yīng)用需求主要包括以下5 個(gè)方面：密碼資源池需求、統(tǒng)一密碼服務(wù)需求、密鑰隔離安全需求、身份鑒別需求、本地?cái)?shù)據(jù)安全需求。

2.1 密碼資源池需求

云平臺(tái)為租戶提供加解密、簽名驗(yàn)簽等云密碼服務(wù)，實(shí)際中不可能為每個(gè)租戶配置單獨(dú)的物理密碼產(chǎn)品。當(dāng)業(yè)務(wù)擴(kuò)展時(shí)通常需要添加或者升級(jí)新密碼設(shè)備，安全擴(kuò)容是需考慮的重要因素，尤其應(yīng)用頻繁變化時(shí)，依靠增加密碼設(shè)備的傳統(tǒng)擴(kuò)展方案難度較大，無(wú)法做到按需彈性擴(kuò)展。因此，云平臺(tái)需要池化的密碼資源，為租戶提供虛擬的密碼服務(wù)[1]。

2.2 統(tǒng)一密碼服務(wù)需求

云租戶業(yè)務(wù)應(yīng)用種類繁多，用戶量大，關(guān)鍵數(shù)據(jù)復(fù)雜多樣，安全機(jī)制不一致，為密碼應(yīng)用和管理帶來(lái)難度。需對(duì)云平臺(tái)上所有業(yè)務(wù)應(yīng)用提供統(tǒng)一的、多租戶的密碼服務(wù)能力，對(duì)各類密碼服務(wù)接口、服務(wù)訂購(gòu)、應(yīng)用調(diào)用、平臺(tái)運(yùn)行等進(jìn)行統(tǒng)一管理，提供多租戶管理、密碼資源管理等。

2.3 密鑰隔離安全需求

云技術(shù)采用了虛化技術(shù)，融合了軟硬件資源，主機(jī)和網(wǎng)絡(luò)邊界相對(duì)于傳統(tǒng)系統(tǒng)變得模糊，風(fēng)險(xiǎn)不但來(lái)自南北流量，還來(lái)自東西流量，云上應(yīng)用安全風(fēng)險(xiǎn)也隨之增加，需對(duì)其提供密鑰安全管理功能，包括密鑰存儲(chǔ)、更新、遷移等，尤其云平臺(tái)和云租戶之間、云租戶與云租戶之間的密鑰需做安全隔離[2]。

2.4 身份鑒別需求

由于云計(jì)算泛在接入的特點(diǎn)，云平臺(tái)用戶終端數(shù)量巨大，形態(tài)多樣，不同安全級(jí)別的數(shù)據(jù)和服務(wù)充斥于云環(huán)境中，為保證云環(huán)境中數(shù)據(jù)安全性，云端服務(wù)應(yīng)對(duì)訪問(wèn)者身份進(jìn)行鑒別，防止非授權(quán)訪問(wèn)。

2.5 數(shù)據(jù)安全需求

云計(jì)算提供海量數(shù)據(jù)存儲(chǔ)與訪問(wèn)，數(shù)據(jù)落地后在物理環(huán)境中的保護(hù)十分重要。需建立數(shù)據(jù)加密存儲(chǔ)和傳輸機(jī)制，保障數(shù)據(jù)存儲(chǔ)和傳輸安全。數(shù)據(jù)加密方案有塊存儲(chǔ)加密、對(duì)象存儲(chǔ)加密、數(shù)據(jù)庫(kù)加密、磁盤加密、文件加密等。

3 云密碼服務(wù)應(yīng)用測(cè)評(píng)點(diǎn)

3.1 網(wǎng)絡(luò)和通信層面測(cè)評(píng)

網(wǎng)絡(luò)和通信層面，在用戶和云平臺(tái)之間通信鏈路部署SSL VPN，實(shí)現(xiàn)基于密碼技術(shù)的身份鑒別、數(shù)據(jù)傳輸機(jī)密性和完整性保護(hù)；在云平臺(tái)機(jī)房和災(zāi)備機(jī)房之間部署IPSec VPN，保證通信數(shù)據(jù)的機(jī)密性和完整性。測(cè)評(píng)點(diǎn)設(shè)置如圖3 所示。

圖3 云平臺(tái)網(wǎng)絡(luò)和通信層面商用密碼應(yīng)用測(cè)評(píng)點(diǎn)Fig.3 Commercial password application evaluation sites at cloud platform network and communication level

測(cè)評(píng)需提供的支撐證明包括但不限于不同網(wǎng)絡(luò)通道的網(wǎng)絡(luò)抓包文件（協(xié)議分析）、VPN 網(wǎng)關(guān)配置截圖（算法和配置）、數(shù)字證書、產(chǎn)品商密認(rèn)證證書等。

3.2 設(shè)備和計(jì)算層面測(cè)評(píng)

設(shè)備和計(jì)算層面，在遠(yuǎn)程運(yùn)維通道部署SSL VPN，保證運(yùn)維用戶身份鑒別、數(shù)據(jù)傳輸機(jī)密性和完整性；部署國(guó)密堡壘機(jī)對(duì)設(shè)備進(jìn)行統(tǒng)一運(yùn)維；本地運(yùn)維用戶通過(guò)UKEY 身份鑒別后登錄設(shè)備，保證其身份真實(shí)性。測(cè)評(píng)點(diǎn)設(shè)置如圖4 所示。

圖4 云平臺(tái)設(shè)備和計(jì)算層面商用密碼應(yīng)用測(cè)評(píng)點(diǎn)Fig.4 Commercial password application evaluation sites at the cloud platform device and computing level

測(cè)評(píng)需提供的支撐證明包括但不限于遠(yuǎn)程管理通道的網(wǎng)絡(luò)抓包文件（協(xié)議分析）、堡壘機(jī)產(chǎn)品身份鑒別（算法和配置）、數(shù)字證書、產(chǎn)品商密認(rèn)證證書等。

3.3 應(yīng)用和數(shù)據(jù)層面測(cè)評(píng)

應(yīng)用和數(shù)據(jù)層面，對(duì)PC 終端管理員用戶采用UKEY+數(shù)字證書的方式實(shí)現(xiàn)身份鑒別，包括云平臺(tái)管理員和租戶的云計(jì)算資源管理員，測(cè)評(píng)點(diǎn)設(shè)置如圖5 所示。

圖5 云平臺(tái)應(yīng)用和數(shù)據(jù)安全層面商用密碼應(yīng)用測(cè)評(píng)點(diǎn)Fig.5 Cloud platform application and data security level commercial password application evaluation site

對(duì)于移動(dòng)終端用戶，采用手機(jī)盾協(xié)同簽名的方式進(jìn)行身份鑒別。協(xié)同簽名依托于密鑰分割技術(shù)，將密鑰分割為客戶端密鑰分量與服務(wù)端密鑰分量2部分，二者各自獨(dú)立分開存儲(chǔ)，確保密鑰安全。簽名時(shí)，服務(wù)端和客戶端分別計(jì)算各自的簽名結(jié)果，服務(wù)端將中間結(jié)果傳送給客戶端，由客戶端完成數(shù)字簽名的合成，即服務(wù)端和客戶端協(xié)同進(jìn)行簽名操作。測(cè)評(píng)點(diǎn)設(shè)置如圖6 所示。

圖6 云平臺(tái)應(yīng)用和數(shù)據(jù)安全層面商用密碼應(yīng)用測(cè)評(píng)點(diǎn)Fig.6 Cloud platform application and data security level commercial password application evaluation points

應(yīng)用層面的數(shù)據(jù)安全防護(hù)，首先需要識(shí)別應(yīng)用和數(shù)據(jù)層面中的關(guān)鍵業(yè)務(wù)和重要數(shù)據(jù)，包括管理員用戶身份鑒別信息、平臺(tái)鏡像文件、租戶快照文件、租鏡像文件等敏感信息等，由租戶應(yīng)用系統(tǒng)調(diào)用密碼資源對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)機(jī)密性和完整性保護(hù)。測(cè)評(píng)點(diǎn)設(shè)置如圖7 所示。

圖7 云租戶應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲(chǔ)安全的商用密碼技術(shù)Fig.7 Cloud tenant applications and data security commercial cryptography for key data storage security

測(cè)評(píng)需要提供的支撐證明包括但不限于身份鑒別的實(shí)現(xiàn)過(guò)程證明、數(shù)據(jù)安全保護(hù)的實(shí)現(xiàn)證明（傳輸文件、數(shù)據(jù)庫(kù)等）、國(guó)密算法工具機(jī)密性/完整性保護(hù)計(jì)算結(jié)果驗(yàn)證截圖、數(shù)字證書、產(chǎn)品商密認(rèn)證證書等。

3.4 云密碼服務(wù)密鑰管理測(cè)評(píng)

密鑰管理也是密碼技應(yīng)用的重要內(nèi)容，密鑰的安全性是決定密碼系統(tǒng)安全性的關(guān)鍵因素，無(wú)論是密產(chǎn)品還是密碼應(yīng)用過(guò)程中必須管理和保護(hù)好密鑰。根據(jù)云服務(wù)商資源類型不同，云計(jì)算服務(wù)模式可分為基礎(chǔ)設(shè)施即服務(wù)（laaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）3 類，針對(duì)這3 類云服務(wù)模式給出了各種場(chǎng)景下密碼技術(shù)需求和密鑰管理需求[3]，如表1 所示。

表1 云服務(wù)不同模式下密碼技術(shù)及密鑰管理需求對(duì)照Tab.1 Comparison of cryptographic technology and key management requirements in different modes of cloud services

云計(jì)算環(huán)境下，云平臺(tái)及云租戶信息系統(tǒng)的密鑰體系應(yīng)根據(jù)密碼應(yīng)用需求在密碼方案中明確并實(shí)施落實(shí)。密評(píng)需針對(duì)密鑰全生命周期管理進(jìn)行考核。

云平臺(tái)自身重要環(huán)節(jié)的密鑰管理建議參考：

（1）加密密鑰應(yīng)在專門的密鑰生成系統(tǒng)中生成，密鑰數(shù)據(jù)必須密文存儲(chǔ)且與云平臺(tái)其他數(shù)據(jù)存儲(chǔ)分離，關(guān)鍵密鑰數(shù)據(jù)還應(yīng)存儲(chǔ)在安全介質(zhì)中；

（2）應(yīng)采用密鑰隔離手段，確保云平臺(tái)使用的密鑰和用戶使用的密鑰不在同一密鑰管理系統(tǒng)進(jìn)行管理；

（3）對(duì)于云平臺(tái)提供的密鑰管理服務(wù)，應(yīng)采用嚴(yán)格的鑒別機(jī)制，確保只有具備該服務(wù)權(quán)限的用戶才能對(duì)其密鑰管理系統(tǒng)進(jìn)行配置；

（4）應(yīng)確保用戶在云平臺(tái)中使用密鑰時(shí)，處于獨(dú)立安全環(huán)境中或用戶租用的密鑰管理系統(tǒng)中。

4 云密碼服務(wù)密評(píng)注意事項(xiàng)

4.1 應(yīng)用和數(shù)據(jù)層面測(cè)評(píng)對(duì)象確定

云平臺(tái)訪問(wèn)對(duì)象包括云租戶、云平臺(tái)管理員、遠(yuǎn)程運(yùn)維人員3 類，其業(yè)務(wù)操作類型為業(yè)務(wù)訪問(wèn)、虛擬資源管理和調(diào)度、設(shè)備運(yùn)維，由此可梳理出3 條云平臺(tái)業(yè)務(wù)信息流：租戶通過(guò)網(wǎng)絡(luò)訪問(wèn)云資源區(qū)、云平臺(tái)管理員訪問(wèn)云管平臺(tái)、遠(yuǎn)程運(yùn)維人員訪問(wèn)安全管理區(qū)進(jìn)行設(shè)備運(yùn)維。涉及的重要數(shù)據(jù)包括鑒別數(shù)據(jù)、快照、鏡像數(shù)據(jù)、日志審計(jì)數(shù)據(jù)、關(guān)鍵配置數(shù)據(jù)等，根據(jù)重要數(shù)據(jù)信息流向，從機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性4 個(gè)方面，對(duì)以上各個(gè)環(huán)節(jié)進(jìn)行分析確定應(yīng)用和數(shù)據(jù)層面的測(cè)評(píng)對(duì)象。

4.2 密評(píng)支撐中完全評(píng)估和部分評(píng)估

云平臺(tái)為云上應(yīng)用提供了GB/T 39786-2021 中的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全，甚至于應(yīng)用和數(shù)據(jù)安全等層面在內(nèi)的密碼支撐。因此云上應(yīng)用部分的測(cè)評(píng)結(jié)論需依賴于云平臺(tái)的測(cè)評(píng)結(jié)果，如圖8 所示。

圖8 云平臺(tái)與云上應(yīng)用評(píng)估Fig.8 Cloud platform and cloud application evaluation

云上應(yīng)用密評(píng)時(shí)，應(yīng)重點(diǎn)關(guān)注應(yīng)用本身在各個(gè)安全層面的密碼應(yīng)用情況。對(duì)于被完全評(píng)估和被部分評(píng)估的支撐能力及測(cè)評(píng)結(jié)論需根據(jù)實(shí)際情況決定，具體情況可參考《商用密碼應(yīng)用安全性評(píng)估FAQ（第二版）》。

4.3 云平臺(tái)的密評(píng)責(zé)任和范圍

云平臺(tái)系統(tǒng)密碼應(yīng)用較為復(fù)雜，一般分為2 個(gè)層面，一是云平臺(tái)系統(tǒng)為滿足自身安全所采用的密碼技術(shù)；二是云租戶通過(guò)調(diào)用云平臺(tái)提供的密碼服務(wù)為自身業(yè)務(wù)應(yīng)用提供密碼保障。因此，對(duì)云上應(yīng)用進(jìn)行密評(píng)時(shí)，原則上需完成2 部分測(cè)評(píng)工作：

（1）對(duì)云平臺(tái)自身密碼應(yīng)用的測(cè)評(píng)，該部分測(cè)評(píng)責(zé)任主體為云平臺(tái)運(yùn)營(yíng)者。

（2）對(duì)云上應(yīng)用系統(tǒng)密碼應(yīng)用的測(cè)評(píng)，該部分測(cè)評(píng)責(zé)任主體為云上應(yīng)用運(yùn)營(yíng)者。

同時(shí)，原則上：

（1）云平臺(tái)通過(guò)密評(píng)后，云上應(yīng)用系統(tǒng)才能通過(guò)密評(píng)；

（2）云平臺(tái)的安全級(jí)別應(yīng)不低于云上應(yīng)用系統(tǒng)。

4.4 虛擬機(jī)遷移安全測(cè)評(píng)

云資源管理應(yīng)用虛擬機(jī)遷移保護(hù)，主要涉及到虛擬機(jī)資源在跨物理機(jī)遷移時(shí)，需保證虛擬資源遷移時(shí)的機(jī)密性和完整性，所以在宿主機(jī)內(nèi)部需配置硬件或者軟件密碼模塊，協(xié)助云平臺(tái)完成虛擬資源的安全遷移。測(cè)評(píng)時(shí)需考慮虛擬資源跨物理節(jié)點(diǎn)遷移時(shí)的機(jī)密性和完整性保護(hù)。

4.5 云平臺(tái)密評(píng)合規(guī)和實(shí)戰(zhàn)需綜合權(quán)衡

根據(jù)綜合性合規(guī)要求，需對(duì)密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)的合規(guī)性、有效性和正確性進(jìn)行考核，但在實(shí)戰(zhàn)層面，在考慮安全的同時(shí)，也要確保系統(tǒng)的易用性和穩(wěn)定性。比如云租戶公眾用戶層面，建議采用兼容傳輸加密。在通過(guò)定制PC 客戶端APP 實(shí)現(xiàn)國(guó)密SSL 加密通道的同時(shí)，兼容瀏覽器、第三方客戶端的國(guó)際算法SSL 加密通道，實(shí)現(xiàn)“國(guó)密”與“國(guó)際”雙標(biāo)支持。

5 結(jié)語(yǔ)

隨著云技術(shù)不斷發(fā)展，云計(jì)算應(yīng)用落地進(jìn)程加快，加速了數(shù)據(jù)的流通、匯聚、處理和挖掘，提升了生產(chǎn)效率，同時(shí)，云安全態(tài)勢(shì)日益嚴(yán)峻，急需升級(jí)安全解決方案，以應(yīng)對(duì)云環(huán)境安全威脅挑戰(zhàn)。本文對(duì)云密碼服務(wù)保障系統(tǒng)建設(shè)和測(cè)評(píng)進(jìn)行了研究，分析了云密碼服務(wù)的應(yīng)用需求，設(shè)計(jì)了云密碼服務(wù)應(yīng)用測(cè)評(píng)點(diǎn)，著重描述了云服務(wù)密鑰管理測(cè)評(píng)要求，最后提出了云密碼服務(wù)密評(píng)注意事項(xiàng)，為云平臺(tái)運(yùn)營(yíng)者、云租戶開展商用密碼應(yīng)用和安全性評(píng)估提供參考和借鑒，助力商用密碼技術(shù)在云計(jì)算場(chǎng)景的應(yīng)用推廣，保障云計(jì)算安全。