信息化觀察網(wǎng)

近年來(lái)，我國(guó)信息化發(fā)展迅速，企業(yè)為了提升業(yè)務(wù)效率，不僅將實(shí)體資產(chǎn)數(shù)字化，也將其業(yè)務(wù)流程信息化，伴隨而來(lái)的是數(shù)據(jù)資產(chǎn)的爆發(fā)式增長(zhǎng)；應(yīng)用系統(tǒng)間相互打通、共享、協(xié)同，數(shù)據(jù)作為數(shù)字化時(shí)代的新型生產(chǎn)要素，在企業(yè)各個(gè)應(yīng)用系統(tǒng)之間快速流轉(zhuǎn)，為企業(yè)帶來(lái)了巨大的利益，提升了工作效率。為了促進(jìn)商用密碼在系統(tǒng)中的應(yīng)用，國(guó)家密碼管理部門出臺(tái)了（GB/T 39786-2021）《信息安全技術(shù)信息系統(tǒng)密碼基本要求》，組織開展了信息系統(tǒng)商用密碼應(yīng)用安全性評(píng)估（以下簡(jiǎn)稱”密評(píng)”）工作。

當(dāng)前密評(píng)的應(yīng)用層占分值30分，比重大，較高程度的影響了評(píng)估的結(jié)果。針對(duì)此，本文將重點(diǎn)對(duì)“應(yīng)用和數(shù)據(jù)層面”各應(yīng)用系統(tǒng)間的數(shù)據(jù)加密策略進(jìn)行分析。

一、應(yīng)用層密碼加密技術(shù)策略

對(duì)稱加密技術(shù)策略。在應(yīng)用層數(shù)據(jù)加密、解密技術(shù)中，由于技術(shù)成熟、算法公開、計(jì)算量小、加密速度快、加密效率高等特點(diǎn)，對(duì)稱加密算法被廣泛應(yīng)用，常見的對(duì)稱加密密碼算法有SM4、AES等。通過(guò)對(duì)稱加密技術(shù)進(jìn)行數(shù)據(jù)加密的過(guò)程中，需借助同一個(gè)密鑰進(jìn)行數(shù)據(jù)的加密和解密處理。

方案一：該方案目前應(yīng)用范圍較廣，對(duì)稱密鑰為服務(wù)器密碼機(jī)生成的真隨機(jī)數(shù)且加密傳輸，密鑰加密密鑰由客戶端調(diào)用客戶端密碼模塊生成，僅涉及到公鑰的傳輸。

具體流程如下：

應(yīng)用系統(tǒng)客戶端調(diào)用客戶端密碼模塊生成非對(duì)稱密鑰，將私鑰內(nèi)置在應(yīng)用系統(tǒng)客戶端并存儲(chǔ)在客戶端密碼模塊中，將公鑰發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；

應(yīng)用系統(tǒng)服務(wù)端調(diào)用服務(wù)器密碼機(jī)生成真隨機(jī)數(shù)，即對(duì)稱算法密鑰，并通過(guò)非對(duì)稱算法公鑰加密發(fā)送給應(yīng)用系統(tǒng)客戶端；

應(yīng)用系統(tǒng)客戶端收到加密之后的密文數(shù)據(jù)之后，調(diào)用客戶端密碼模塊，對(duì)數(shù)據(jù)進(jìn)行解密，得到解密之后的對(duì)稱密鑰明文密鑰，并將該密鑰存儲(chǔ)在客戶端密碼模塊中；

應(yīng)用系統(tǒng)客戶端將待發(fā)送的明文數(shù)據(jù)通過(guò)密鑰和加密算法逐個(gè)加密后，將密文數(shù)據(jù)，發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；

應(yīng)用系統(tǒng)服務(wù)端收到加密后的密文數(shù)據(jù)后，結(jié)合解密算法并使用相同的密鑰進(jìn)行解密得到原始明文數(shù)據(jù)。

流程圖如下：

方案一：對(duì)稱加密流程圖

方案二：該方案目前應(yīng)用范圍較廣，對(duì)稱密鑰為客戶端密碼模塊生成的偽隨機(jī)數(shù)且加密傳輸，密鑰加密密鑰由應(yīng)用系統(tǒng)服務(wù)端調(diào)用服務(wù)器密碼機(jī)生成，僅涉及到公鑰的傳輸。

具體流程如下：

應(yīng)用系統(tǒng)服務(wù)端調(diào)用服務(wù)器密碼機(jī)生成非對(duì)稱密鑰，將私鑰內(nèi)置在服務(wù)器密碼機(jī)中，將公鑰發(fā)送給應(yīng)用系統(tǒng)客戶端；

應(yīng)用系統(tǒng)客戶端調(diào)用客戶端密碼模塊生成偽隨機(jī)數(shù)，即對(duì)稱算法密鑰，并通過(guò)非對(duì)稱算法公鑰加密發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；

應(yīng)用系統(tǒng)服務(wù)端收到加密之后的密文數(shù)據(jù)之后，調(diào)用服務(wù)器密碼機(jī)，對(duì)數(shù)據(jù)進(jìn)行解密，得到解密之后的對(duì)稱密鑰明文密鑰，并將該密鑰存儲(chǔ)在服務(wù)器密碼機(jī)中；

應(yīng)用系統(tǒng)客戶端將待發(fā)送的明文數(shù)據(jù)通過(guò)密鑰和加密算法逐個(gè)加密后，將密文數(shù)據(jù)，發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；

應(yīng)用系統(tǒng)服務(wù)端收到加密后的密文數(shù)據(jù)后，調(diào)用服務(wù)器密碼機(jī)進(jìn)行解密得到原始明文數(shù)據(jù)。

流程圖如下：

方案二：對(duì)稱加密流程圖

方案三：基于GM/T 0003.3-2012《SM2橢圓曲線公鑰密碼算法第3部分：密鑰交換協(xié)議》，客戶端與服務(wù)端進(jìn)行密鑰協(xié)商，協(xié)商后各自進(jìn)行存儲(chǔ)，用于業(yè)務(wù)數(shù)據(jù)的加解密。此處只給出大體流程，詳細(xì)步驟詳見密鑰交換協(xié)議規(guī)范。

具體流程如下：

應(yīng)用系統(tǒng)客戶端調(diào)用客戶端密碼模塊接口進(jìn)行橢圓曲線協(xié)商，將客戶端生成的臨時(shí)密鑰發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；應(yīng)用系統(tǒng)服務(wù)端進(jìn)行橢圓曲線協(xié)商運(yùn)算，計(jì)算出應(yīng)用系統(tǒng)服務(wù)端的臨時(shí)密鑰和哈希值，并發(fā)送給應(yīng)用系統(tǒng)客戶端；

應(yīng)用系統(tǒng)客戶端收到服務(wù)端的臨時(shí)密鑰和哈希值之后，進(jìn)行運(yùn)算，并生成新的哈希值發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；應(yīng)用系統(tǒng)服務(wù)端收到該值后進(jìn)行計(jì)算并對(duì)結(jié)果進(jìn)行比對(duì)，若一致，則返回密鑰確認(rèn)成功，后續(xù)使用該密鑰進(jìn)行數(shù)據(jù)加密；

應(yīng)用系統(tǒng)客戶端將待發(fā)送的明文數(shù)據(jù)通過(guò)調(diào)用客戶端密碼模塊進(jìn)行加密，將密文數(shù)據(jù)，發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；

應(yīng)用系統(tǒng)服務(wù)端收到加密后的密文數(shù)據(jù)后，調(diào)用服務(wù)器密碼機(jī)進(jìn)行解密得到原始明文數(shù)據(jù)。

流程圖如下：

方案三：對(duì)稱加密流程圖

非對(duì)稱加密技術(shù)策略。在應(yīng)用層數(shù)據(jù)加解密技術(shù)中，非對(duì)稱加密算法的加密和解密的過(guò)程是不對(duì)稱的，具有公私鑰對(duì)的概念，也就是有兩把密鑰，一把是公鑰，一把是私鑰，一對(duì)公私鑰有固定的生成方法，在加密的時(shí)候用公鑰去加密，解密時(shí)用私鑰解密。使用時(shí)可以由應(yīng)用系統(tǒng)服務(wù)端生成公私鑰對(duì)，然后將公鑰傳遞給應(yīng)用系統(tǒng)客戶端，由于網(wǎng)絡(luò)傳輸?shù)臑楣€（公鑰可以進(jìn)行公開無(wú)安全要求）不涉及私鑰在網(wǎng)絡(luò)中傳輸，無(wú)竊取風(fēng)險(xiǎn)。公鑰可以由私鑰推導(dǎo)出來(lái)，反過(guò)來(lái)卻無(wú)法通過(guò)公鑰推導(dǎo)出私鑰，常用的算法有SM2橢圓曲線公鑰密碼算法、RSA算法等。

方案四：雖然非對(duì)稱算法安全性高，但由于算法強(qiáng)度復(fù)雜，加解密花費(fèi)時(shí)間長(zhǎng)、速度慢等特點(diǎn)，一般用于加密密鑰，用于加密數(shù)據(jù)的應(yīng)用場(chǎng)景較少。

具體流程如下：

應(yīng)用系統(tǒng)客戶端向應(yīng)用系統(tǒng)服務(wù)端發(fā)起證書申請(qǐng)請(qǐng)求；應(yīng)用系統(tǒng)服務(wù)端收到證書申請(qǐng)請(qǐng)求后，調(diào)用服務(wù)器密碼機(jī)生成對(duì)應(yīng)的公私鑰對(duì)，私鑰存儲(chǔ)在服務(wù)器密碼機(jī)內(nèi)部，公鑰發(fā)送給應(yīng)用系統(tǒng)客戶端；

應(yīng)用系統(tǒng)客戶端收到公鑰后，使用該公鑰并結(jié)合相應(yīng)的非對(duì)稱算法將明文數(shù)據(jù)進(jìn)行加密并將加密后的密文數(shù)據(jù)發(fā)送給應(yīng)用系統(tǒng)服務(wù)端；

應(yīng)用系統(tǒng)服務(wù)端收到應(yīng)用系統(tǒng)客戶端發(fā)送過(guò)來(lái)的密文數(shù)據(jù)之后，調(diào)用服務(wù)器密碼機(jī)進(jìn)行解密，得到解密后的明文數(shù)據(jù)。

流程圖如下：

方案四：非對(duì)稱加密流程圖

二、鏈路層加密技術(shù)策略

為了提高數(shù)據(jù)的安全性，在數(shù)據(jù)加密技術(shù)中，鏈路層（數(shù)據(jù)鏈路層是OSI參考模型中的第二層，介于物理層和網(wǎng)絡(luò)層之間）加密技術(shù)是一種有效的防止鏈路層被劫持的技術(shù)。劫持是指黑客通過(guò)在用戶應(yīng)用系統(tǒng)客戶端和應(yīng)用系統(tǒng)服務(wù)端之間，植入惡意設(shè)備、第三方證書或通過(guò)系統(tǒng)存在的漏洞控制網(wǎng)絡(luò)設(shè)備的手段，從而監(jiān)聽或篡改用戶和服務(wù)器之間的數(shù)據(jù)，達(dá)到竊取用戶數(shù)據(jù)的目的。在經(jīng)過(guò)鏈路層數(shù)據(jù)加密后，數(shù)據(jù)在整個(gè)傳輸過(guò)程中，均為密文狀態(tài)，能有效的保證數(shù)據(jù)傳輸過(guò)程的安全性，常見的鏈路加密技術(shù)如HTTPS、SSL等。

三、總結(jié)

隨著數(shù)據(jù)加密技術(shù)的發(fā)展，以及《密碼法》、《數(shù)據(jù)安全法》等法律法規(guī)的出臺(tái)，數(shù)據(jù)安全問(wèn)題已經(jīng)得到了一定的緩解。但在具體的實(shí)踐過(guò)程中，仍存在較多的問(wèn)題需要探討，如：應(yīng)用系統(tǒng)客戶端到網(wǎng)關(guān)服務(wù)器之間鏈路層已加密處理，網(wǎng)關(guān)服務(wù)器到業(yè)務(wù)服務(wù)器為公司內(nèi)網(wǎng)環(huán)境該段鏈路是否有必要進(jìn)行加密，內(nèi)網(wǎng)環(huán)境相對(duì)安全。目前，根據(jù)商用密碼的規(guī)范，建議重要數(shù)據(jù)在內(nèi)網(wǎng)各系統(tǒng)之間流轉(zhuǎn)時(shí)，采用密碼加密技術(shù)保證安全。