信创与密码应用论坛（北京）-钟博《基于国密算法的统一密码服务平台解决方案》（23页）.pdf

1、基于国密算法的统一密码服务平台解决方案钟博数盾科技副总工程师 CONTENTS目 录01.方案背景02.方案介绍03.关键技术及特色2022 WEST L AKE CYBERSECURIT YCONFERENCE01方案背景01.方案背景国家密集颁布法律法规，国家密集颁布法律法规，推广密码保护推广密码保护重要重要数据数据 第八条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算。第十二条 关键信息基础设施应当依照法律、法规的规定和密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统 第三十二条第三十二条 违反本法第十条、第十二

2、条规定使用密违反本法第十条、第十二条规定使用密码的，由密码管理部门责令改正或者停止违法行为，码的，由密码管理部门责令改正或者停止违法行为，给予警告给予警告;情节严重的，由有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。第四十条第四十条 违反本法规定，构成犯罪的，依法追究刑事责任。20182018年年3 3月月【法律威慑】密码法人大立法计划 国家推广密码应用，并明确数十个部委任务 财政配套密码应用专项资金20182018年年7 7月月1515日日【政策强推】两办36号文 第四十七条【非涉密网络密码保护】第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码

3、技术、产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后，方可上线运行，并在投入运行后，每年至少组织一次评估。20182018年年6 6月月【抓手增强】公安部网络安全等级保护条例 第五十三条 关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定20182018年年7 7月月【抓手增强】网信办关键信息基础设施安全保护条例 首批商用密码应用安全性测评机构资质下发，并针对甲方单位开展商用密码应用安全性评估试点工作。2018年底已达到27家密评单位。20182018年

4、年2 2月月【密码监管抓手】密评试点01.方案背景 密钥与初始向量写死在代码中的问题：不当算法，不当模式的问题：ECB模式1.密钥写死在代码中，随机性不足2.错误使用固定IV明文其他模式密码技术复杂性高密码技术复杂性高使用不当达不到安全效果使用不当达不到安全效果02方案介绍02.方案介绍 统一密码服务平台的设计思路以密码运算为基础、密码设备为支撑、密码服务为思想、资源集中化管理为手段，屏蔽后台密码设备的多样性、指令的复杂性，简化应用系统对密码设备调度的复杂性。为业务系统提供统一、安全、可扩展的密码服务；服务主要以密钥管理与密码运算为主，所有实现的功能可提供对外RESTful/SDK形式接口调用

5、函数方式进行集成，应用开发企业/人员能够快速完成密码技术与应用系统的结合，通过内置的各种加密运算方法等功能接口，快速提升应用系统的安全性。密码运算为基础密码设备为支撑密码服务为思想本系统主要用户分为两类：一、企业员工，通过B/S浏览器登录至本系统。二、企业统建/自建应用系统，通过SDK/API调用本系统的功能。统一密码服务平台设计思路统一密码服务平台设计思路02.方案介绍统一密码服务平台逻辑架构统一密码服务平台逻辑架构（1）密码应用层：为本系统的应用端，应用系统使用SDK/API访问系统的加解密、签名验签等密码服务，客户端浏览器为普通用户提供密码服务界面，为管理员提供本系统的管理界面（2）密码

6、服务层：为密码应用层提供系统的各种业务功能。统一密码服务接口提供统一的服务API；用户业务服务处理用户的密钥密码等业务逻辑，为统一密码服务接口提供业务支持；密码综合管理服务提供本系统的管理和数据同步功能（3）业务逻辑层：实现本系统所需的各种加解密和密钥变换等密码业务功能，提供密码业务运算服务（4）密码接口层：对上提供统一密码引擎接口，将本系统支持的各种密码功能统一封装；集成软算法库和管理下层加密机，统一进行调度管理（5）密码设备层：各种密码机集群，使用SDF接口为上层提供服务02.方案介绍高可用部署：系统采用三地四中心多节点分布式部署架构，实现同城和异地灾备；云化部署：不同数据中心采用云化模式