1、标识密码技术在政务领域应用案例分享暨紫光云&北航杭研院密码改造解决方案联合发布顾成杰Gu Chengjie紫光云 安全技术专家The Speakers Job DescriptionCONTENTS目 录01.标识密码技术简介02.联合发布密码应用方案03.方案实践案例2022 WEST L AKE CYBERSECURIT YCONFERENCE01标识密码技术简介1.密码应用基本要求机密性不可否认性真实性完整性逃不掉利用密码签名技术，提供数据或者行为溯源服务，防抵赖看不懂利用密码加密技术，数据明文变密文，提供数据加密和脱敏服务，防泄露。进不来利用密码签名技术，提供网络上身份认证服务，防假冒

2、。改不了利用密码摘要技术，实现数据的一致性，防篡改2.我国商用密码体系为了保障信息系统安全，规范我国商用密码应用，国家商用密码管理办公室制定了一系列密码标准，包括 SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法等等。其中 SM1、SM4、SM7、祖冲之密码是对称算法;SM2、SM9 是非对称算法;SM3 是哈希算法。其中SM2、SM3、SM4、SM9已经公开。3.公钥体系发展背景PKI/CA体系标识密码体系1、组织机构相对固定的场景，分发证书相对简单2、比较适合点跟中心点认证的业务场景，无需点对点认证3、信任验证关键数据（LDAP、OCSP）易于获取的场景4、需要有

3、第三方公证，涉及法律效率的场景1、在传统证书和用户绑定需要线下验证，互联网应用无法面对面验证2、在加密场景，需要分发公钥，基于互联网应用安全分发3、海量用户中心点在线验证场景，中心点压力大4、基于数字证书的使用成本和管理成本问题4.标识密码技术简介为了解决传统PKI体系使用过程中的一些问题，由Shamir（RSA算法的发明者人之一）在1984 提出标识密码算法，该算法是使用用户唯一属性作为身份标识，实现用户身份与属性密钥对直接绑定的密码技术。后续由斯坦福大学的D.Boneh&Franklin用椭圆曲线双线性对理论证明可行，。Shamir（提出IBC算法)D.Boneh&Franklin（理论证

4、明IBC可行)5.两种公钥体系的比对SM9标识密码体系：可直接使用对方标识加密，接收人获得密文后再申请对应的私钥解密PKI/CA认证体系：需要复杂的、多个步骤的通讯过程，必须事先获得并验证对方公钥标识密码体系PKI/CA体系VS管理简化，适合海量用户易于加密，整体开销小n 可使用用户的唯一身份标识：如邮件地址、手机号码、身份证号码、IPv6地址、Handle码等直接作为公钥，省去了到第三方申请公钥过程，通过管理身份标识即可管理密钥。n 标识即公钥，无须提前获取证书。n 总体建设成本下降三分之二。标识密码适合新场景、新领域：移动互联网、大数据、云存储、物联网、智慧城市，是传统PKI体系的有效补充

5、KGC中心认证并申请对应标识的私钥2安全地分发的私钥Bob用私钥解密4Alice 用 加密CAAlice 用 拥有的证书中的公钥加密6Bob用私钥解密申请的证书1接收 的证书3Alice 验的证书5审核，并将证书和邮件地址关联2把 的证书发给Alice4SM9标识密码体系的优势6.我国标识密码标准化进程提出基于标识的密码技术20世纪80年代我国设计了基于标识的密码算法，发布型号SM920162000年进入理论研究的高峰期20062008IEEE进行标准化工作在欧洲、美国等较广泛应用发布行业标准SM9标识签名算法纳入ISO/IEC 发布国家标准SM9SM9是我国密码

6、标准SM9标识密码算法。它是一种基于椭圆曲线上双线性对构造的标识密码算法。是我国第一个全体系进ISO/ICE标准的非对称密码体系。技术背景应用背景SM9标识密码算法全体系进ISO/ICE标准202102联合发布密码应用方案1、政务信息安全共享密码应用方案2、移动政务密码应用方案3、政务信息系统密码改造方案1.密码应用总体框架软件密码模块智能密码钥匙密码能力服务系统密钥管理平台密码机安全接入系统身份认证系统协同签名系统安全通讯系统数据加密系统CA系统中间件安全存储系统国密算法政务应用场景密码支撑平台密码基础设施2.1政务信息共享平台密码应用框架以数据安全分级为基础，制定体系化的安全机制，保障各类

7、数据安全措施的持续运作以数据为核心保护要素，基于国家标准GB/T 39477-2020 信息安全技术政务信息共享数据安全技术要求标准的要求，实现共享全程的安全可信防护以等保2.0三级要求为基础，保障基础环境的安全2.2政务信息共享过程全程可控1)提供方用户登录前置业务系统导入数据时，SM9进行身份校验，并授权其对应的访问权限2)写入共享数据时SM9+SM4进行数据加密处理，可配套数据防泄漏的措施，防止用户产生数据泄露的行为3)对数据操作行为进行审计及日志记录上链，抗抵赖1)使用方用户登录前置业务系统导入数据时，SM9进行身份校验，并授权其对应的访问权限2)读取共享数据时进行数据解密处理（基于S

8、M9+SM4），可配套数据防泄漏的措施，防止用户产生数据泄露的行为3)对数据操作行为进行审计及日志记录上链，抗抵赖1)加密数据通过国密安全传输通道传递给中心节点，在中心节点支持对数据的审计、溯源的操作；2)运维用户登录共享交换平台对数据进行操作时，亦需要SM9进行身份校验及授权访问；3)在交换平台进行的高危操作需要进行授权审批及设置对应的安全策略进行风险预警；数据提供方数据使用方数据交换方3.1移动政务密码应用框架增强身份认证统一单点登录数据加密传输通话加密即时通讯加密安全沙箱权限分级管理推送数据防篡改政策规范安全管理签名验签系统密钥管理平台协同签名系统密码机（SM1/SM2/SM3/SM4/

9、SM9）统一密码服务平台密钥基础设施基础服务终端真实性机密性完整性抗赖性等级保护规范密码评测规范接口规范算法规范密钥设备规范密码模块规范管理制度应急处置建设运行人员管理安全通讯平台通话加密聊天加密文件加密本地文件加密政务应用市场应用防篡应用推送应用管理其它功能密码服务平台权限管理单点登录策略管理应用扩展安全接入准入控制安全管控通道加密路由控制其它功能RA集成账号系统CA集成Ldap集成3.2移动政务密码实现功能移动政务安全平台 综合应用国产SM9等密码算法，解决了移动办公中身份认证、通道加密、数据存储等一系列安全问题。集成了即时通讯、统一登录、资讯推送等功能，形成一套完整的移动安全办公解决方案

10、。移动政务安全办公沙箱隔离办公应用隔离，确保数据存储安全。单点登录统一身份认证加密通话、加密消息、文档加密。统一通道加密国密安全通讯协议，确保传输安全。移动办公资讯加密推送，指定接收人才能解密阅读应用商场内置应用市场，应用安全可靠，统一发布。移动通讯会议室预定、日程安排、文件发送、备忘录。资讯推送4.1政务信息系统密码应用基本要求GB/T39786-2021信息安全技术 信息系统密码应用基本要求密钥管理密码算法密码技术密码产品和服务密码应用技术要求密码应用管理要求物理和环境安全网络和通信安全设备和计算安全应用和数据安全管理制度人员管理建设运行应急响应通用要求4.2 政务信息系统密码应用框架综合

11、管理平台云计算基础设施 授权管理子系统政务信息系统门户网站OA系统信息共享平台公文流转视频会议加密即时通讯一体化平台日志管理子系统管理可视化子系统设备管理子系统政策要求与技术规范密码基础设施密钥管理系统密码能力中台数据加解密系统数据脱敏系统文件加解密系统单点登录系统统一安全接入平台数字签名/验签系统安全通道组件安全接入组件签名验签接口身份认证组件二维码防伪组件标识密码管理系统（SM9）数字证书系统（PKI）统一身份认证平台联合签名系统密码机池联合签名接口密码申请分发接口文件加解密接口集群调度中间件密码服务中间件密码服务接口字符串加解密接口数据脱敏接口智能终端密码模块组件（Android、iOS

12、）等级保护2.0GB39786标准密码法中办文件要求财政部要求国务院文件要求密标、安标5.解决方案优势特点1方案优势 严格按照GB/T39786的要求设计 密码能力平台实现密码资源、密码服务的管理，并面向应用系统供密码应用支撑。实施过程简单，实现统一管理、统一运维、统一监控。可裁剪性，满足不同客户的密码需求。3适配优势 支持X86、ARM指令集的适配，支持各种操作系统，包括信创 可灵活、快速适配各种网络环境 软件密码模块支持C、java、python、JS等多语言版本2算法优势 支持全系列的国密算法，包括SM2、SM3、SM4、SM9等 同时支持国际RSA、AES、DES、SHA等算法 支持F

13、PE、ECS等新算法5服务优势 新华三遍布全省和浙江总部的服务优势 北航杭研院专家对特定需求的定制研发优势 支持7*24在线和5*8的到场服务4产品优势 使用产品具有都商用密码产品型号证书 产品根据客户实际场景提供软件、硬件或者虚拟主机部署。提供移动端、PC端、服务器端的对应产品6性价比优势I7/E3的CPU、定制密码卡条件下：SM9密钥生成：110000次/秒 SM9加解密性能：40000次/秒（32字节）SM9签名验签性能：58000次/秒03方案实践案例1、某省政务信息共享平台国密应用案例2、某省政务移动办公系统国密应用案例3、某省综合评标专家库国密应用案例1.某省政务信息共享系统密码应

14、用1、用户通过基于国密的身份认证机制登录前置交换系统2、写入数据时实时采用国密对称密钥对数据进行加密（可仅对敏感数据加密）3、对对称密钥以国密进行加密，与数据一起进行交换到中心节点4、解密密钥并以使用方的公钥进行再次加密5、数据写入使用方前置节点7、使用私钥对数据进行解密，输出到业务系统6、使用方登录前置交换系统全程对数据加密（可选择全字段或敏感字段加密），有效确保数据传输过程安全采用对称及非对称密钥结合方式，降低对性能的影响1.某省政务信息共享系统密码应用2.某省移动政务安全框架短信网关APP服务APP服务政务外网服务器区城域网核心路由器中心政务外网区移动安全接入管控平台中心政务外网密钥基础设施中心政务外网接入管控区SM9VPN网关集群SM9VPN网关集群中心互联网区Internet沙箱终端+安全SDK中心联网出口防火墙交换机H3C负载器密管平台1密管平台8SM9密码技术实现身份认证、通道加密、点对点通讯加密3.某省评标专家库抽取系统（三级）密码应用信源信宿2022 WEST LAKE CYBERSECURITYCONFERENCE谢 谢THANK U