关键应用系统的密码应用探索.pdf

《关键应用系统的密码应用探索.pdf》由会员分享，可在线阅读，更多相关《关键应用系统的密码应用探索.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、炼石网络创始人、CEO关键应用系统的密码应用探索网络安全法之后，密码法（征求意见稿）明确保护要求：第八条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算第十二条 关键信息基础设施应当依照法律、法规的规定和密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统密码法大力推动产业发展规范有了，加密机也有了，算法实现怎么优化？怎么用好密码算法套件？应用是数据的生产者、使用者和管理者。如果密码结合不到应用中，就没法提供有效的数据安全SM4(单线程)4.8 cycles/byte,4.8Gb/s 已申请PCT国际专利保护SM3(单线程)

2、8.5 cycles/byte,2.5Gb/sSM2(单线程)签名2.6万次/s 超过nistp256 5%我们在SM系列算法实现的优化成果0123456SM4某实现SM4 CipherSuite实现SM4实现速度对比(Gbps)*性能测试基于Intel E3处理器炼石CipherSuite密码套件SM4/SM3/SM2/SM9算法的安全、高速实现借鉴国际同类算法的软件优化技巧，并改进实施OpenSSL的EVP机制封装密码算法实现EVP机制统一了密码算法调用接口，易于使用软件实现与密码卡统一封装，可灵活按需适配OpenSSL的Engine机制在TLS实现中嵌入商密算法参考国密SSL VPN规范

3、避免对已有TLS实现的大量改动，保证安全分离算法套件的实现与调用，便于维护扩展定位：安全、高效、易用的密码套件，尤其结合SM系列算法。产品目标：作为内部组件，支撑CipherGateway实现密码能力。并进一步产品化，以支持密码法所推动的商用密码升级推广工作。炼石CG安全网关VPN电子支付.CipherSuite-API/业务封装层CipherSuite-CyptoCipherSuite-TLS密码芯片密码卡.OpenSSL EngineX86ARM炼石CipherSuite产品理念对应用开发者友好，降低应用开发者的使用密码门槛兼容X86/ARM架构，兼容Windows系列和Linux系列等S

4、M算法实现加解密、签名、验签等速度达到国际通用算法实现的同等水平屏蔽底层实现，开发者可以灵活选择底层硬件；面向业务层的封装基于CipherSuite-Engine和CipherSuite-TLS可以扩展适配不同的应用安全协议保证SM系列算法的工程化实现和使用的可靠安全 使用门槛低使用门槛低 性能高性能高 跨平台跨平台 分分层封装层封装 强化强化安全安全 易扩展易扩展我们理解的安全防护原则长时、全局密钥必须用硬件模块保护短时、过程密钥应优先使用硬件模块；但在环境、使用模式、处理能力等制约因素影响下不得不使用软件模块时，必须将充分的软件安全防护作为前提场景 终端短时过程密钥使用受条件限制不得不基于

5、软件模块实际安全防护能力依赖于终端安全软件 虚拟化长时密钥使用基于硬件模块具有可操作性资源调度漂移等原因不得不使用软件模块的情况，亟待有关部门给出细致安全指引 物联网设备需要考虑依托产业生态力量把长时密钥保护作为基础能力融入硬件平台 工控机短时密钥的数据加解密效率X86/ARM优化密码模块分级为多场景提供技术指引GM/T 0039-2015密码模块安全检测要求编制说明：“对于软件模块而言，对其不进行物理安全的安全要求评级，且不影响其最终的安全要求等级”自2016/05/17到2017年6月26日，已有多款密码模块产品获得密码模块产品型号：【二级】安全浏览器密码模块【二级】移动终端安全密码模块【

6、一级】2款安全浏览器密码模块【一级】安全输入法密码模块【一级】终端密码模块【一级】身份认证组件密码模块应用协议升级SM系列算法面临挑战OAuthJWTRADIUSLDAPRSA/ECDSAHMAC/SHA256AESSM2/SM3/SM4SM9/HMACSAML有技术规范暂缺技术指引大量已建应用系统升级挑战巨大在建和待建应用加密码已建应用加密码能力主要挑战：应用系统复杂，升级成本高，对业务有影响解决思路：？传统部署应用，服务方式提供的SaaS，企业复杂应用系统云化部署应用，新应用，大数据应用主要挑战：应用开发人员不熟悉密码调用；升级为SM系列密码的应用适配；解决思路：提供高效、易用的密码套件、