《中国移动研究院:白盒密码赋能算力网络“东数西存”(2023)(11页).pdf》由会员分享,可在线阅读,更多相关《中国移动研究院:白盒密码赋能算力网络“东数西存”(2023)(11页).pdf(11页珍藏版)》请在三个皮匠报告上搜索。
1、中国移动研究院安全所粟栗 中国移动积极构建“连接+算力+能力”的新型信息服务体系,将算力作为公司的发展战略。中国移动以“算力泛在、算网共生、智能编排、一体服务”为目标,将“ABCDNETS”深度融合。端算力边缘算力用户边缘算力A服务实例X端算力中心算力C服务实例X中心算力B服务实例X边缘算力请求服务X端算力NCDASETB网云数智安边端链 边缘算力A:网络时延最优 中心算力B:计算时延最优 中心算力C:网络+计算时延最优算力网络的安全风险可以从算网自身安全、算网业务流程安全两个维度进行分解。算网资源统一管理和编排调度可信算网服务统一交易和售卖网络连接的多层立体泛在算力纵向:贯穿算网三层架构,关
2、注可能破坏算网系统正常运行的风险传输过程数据和隐私泄露算力节点泄露数据、伪造计算结果算力节点不可用调度策略被篡改交易过程不可信横向:涵盖业务数据流程,关注可能损害业务数据安全的风险编排管理层运营服务层业务数据流基础设施层系统日志操作日志备份日志.需要大量存储资源海量日志视频数据需要大量存储资源密文数据用户侧 只能实现数据备份,无法在算力节点操作使用 主要的存储方式,可在算力节点执行数据计算安全传输通道用户侧原始数据安全网关加密数据密文分发为满足监管要求,运营商和IT行业大量日志数据需长期留存,外包存储(如东数西存)可充分利用闲散资源日志留存市政、工厂采集的大量多媒体数据,一般为温冷数据且数据量
3、大,外包存储可有效缓解存储压力业务数据留存用户在客户端加密数据后上传到算网节点存储方式一数据外包存储是算力网络的典型场景,在运营商和行业用户都有旺盛的需求外包存储的典型方式方式二数据上传到可信节点(如安全网关)加密后分发到各节点存储,需要使用时可在存储节点解密部分数据执行数据操作密钥通过配置文件或者数据库方式落盘在算力节点窃取密钥算力节点攻击者硬盘常见的两种密钥存储方式在算力网络中均存在风险:密钥通过配置文件或数据库方式落盘:外部攻击者或系统管理员较易通过数据导出或逆向分析等方式窃取密钥密钥由密管系统存储并分发:密钥不落盘,使用完成后即被销毁,但攻击者通过内存分析仍可能定位识别密钥。算力节点向
4、密管系统请求密钥,使用完毕后销毁算力节点密码管理系统攻击者硬盘内存窃取密钥白盒密码通过拆分、插入随机项、伪装等混淆技术,将密码算法在终端上的执行构造为一种新的实现方式,实现密钥隐藏,可以解决密钥在节点上易被窃取的问题。算法白盒化白盒转换标准算法白盒转换密钥密钥白盒化混淆表混淆表混淆表原始密钥和加解密过程经过混淆处理,攻击者无法通过内存攻击窃取密钥密钥?明文密文密钥?白盒密码使得密钥信息可充分隐藏,具有一定的安全性白盒密码技术作为软件定义安全,更新升级便捷和标准加密算法相比,白盒密码算法将消耗更多时间,但经改造可实现性能提升需改造基于传统服务架构,对密管系统和加解密软件升级,可使算力网络支持传统
5、加密算法和白盒加密算法。用户明文数据算网密码管理系统安全代理模块安全网关密文数据1、注册、下发证书、授权2、创建用户密钥,下发安全策略安全通道3、上传数据加解密组件安全通道4、执行数据加密6、使用白盒密钥,解密数据并使用5、分发白盒密钥传统密态存储白盒密态存储传统密钥白盒密钥算力节点西部省份:充分利用西部闲散算力资源基于白盒密码,算力节点加解密过程安全可控无需硬件支持降低成本密态存储保证存储过程安全东部省份:设置安全网关对外收数据执行标准加密,升级部分算力节点支持白盒加解密能力 外收数据在安全网关加密并分发到算力节点密存,如有数据使用需求,在算力节点用白盒密钥解密部分数据,操作结束重新加密存储
6、 将温冷数据传输到西部省份算力节点存储算网密码管理系统白盒密钥分发密钥管理商用密钥分发密码服务接入网骨干网城域网安全网关东部大区业务数据密文数据12东数西送标准加密密文存储业务数据省内传输网西部某省东部某省算力节点算力节点白盒密码白盒密码算力节点3订购简便支持商密全程可控用户通过简单勾选即可实现白盒密码的应用,保护数据安全性。密码服务类型:白盒加密密码算法:AESSM4SM2RSAITU 标准立项团标立项论文发表号手机号码实名制卡超级SIM卡支持商用密码算法数字证书有法律效用的电子签名产品介绍:基于运营商独有的可信账号体系,以号卡认证能力为核心,结合启明星辰安全网关能力,实现“号为人、卡为钥匙
7、、安全网关为新型锁芯”核心优势:高安全号卡认证、暴露面全面收敛、用户行为可追溯标杆案例:已在XX省政数局和XX市落地应用,将覆盖160万+公职人员产品介绍:以超级SIM卡为核心,打造分布式密码资源池提供密码算法支撑,进行统一调度和管理,通过标准化服务接口提供密码技术的安全集成与应用。核心优势:端侧安全身份认证、一站式“交钥匙”服务、统一硬件资源高效纳管、统一租户和权限管理标杆案例:助力xx省政务云系统43天完成国密改造,获86.97的密评最高分。基于号卡安全能力打造具有运营商特色的商用密码产品,构建自主可控的标准化行业解决方案,积极推动密码融入千行百业,助力国家安全体系和能力现代化。政务警务物联网金融.超级SIM安全网关超级SIM密码资源池中国移动展位编号:2BT26行业解决方案