密碼行業標準培訓小結

密碼行業培訓班

@北京

@2014.07.23~2014.07.26

 

概述

         本屆培訓是針對密碼管理局發佈的第三部分系列標準的培訓，這批標準是繼第一批算法系列，第二批算法技術使用相關序列之後的密碼應用產品方面的標準，包含了VPN,服務器密碼，電子簽章，射頻識別，門禁等業務的安全方面的規範。

         培訓的主題是金融領域的安全標準，包括了國家目前的宏觀動向等背景，也提出了金融領域的安全技術要求和具體技術方針，其中技術方針覆蓋了金融領域模式、信息通道，終端，服務後臺、管理等安全方面的主要方面。本次培訓涉及到的標準是在國家推行信息安全國產化的背景下產生的，目前主要用於金融領域作爲試點。

         培訓的收穫主要是在金融領域技術安全的內容能有一個系統的認識，在其涉及到的各個具體技術標準方面也有一定的知識收穫。

 

詳細內容

1、開班儀式---安曉龍

         a、密碼標準化重要性

         b、金融領域國家機構宏觀動向介紹

                  I）、金融領域爲國家推廣國產密碼的試點示範，實現和驗證點。

                  II）、發改委、人民銀行、工信部、銀監會、證監會、密碼管理局等在金融領域上目前的進展和工作。

         c、國家標準委員會對密碼標準的12字方針

         d、培訓班目的

                   I）、交流、學習、心得、經驗分享

                   II）、宣傳國產密碼，推廣

                   III）、標準人才培養

         e、期望

                   I）、希望各單位抓住機遇，開發出優尖產品，抗衡國外產品。

Tips：我的理解：未來的趨勢是金融領域信息產品的全面國產化，其他重大民生信息領域未來在政府管控調製下也將實現金融領域的國產產品化。爲此，我們公司申請的一些信息安全國家項目，偏向國內標準將能獲得國家相關機構的支持。

2、密標委相關情況介紹----安曉龍

         a、國際標準介紹 

                   I）、目前國家認可的國際標準化組織有三個，ISO、IEC、ITU

                  II）、國際組織，密碼標準集中在JTC，密碼應用標準集中在ISO/IEC

         b、介紹了密標委組成、任務、規章制度、進度、下一步計劃

         c、密標委標準定製的幾個原則：

                   I）、符合政策要求，技術與政策一致

                   II）、體現中國特色，本地化

                   III）、確保安全可靠

                   IV）、具有國家水準

                   V）、利於產業推廣

                   VI）、公開公正公平，吸收實力單位，採納廣泛意見

Tips：那麼哪些標準可以參考國外，哪些需要遵守國內標準呢？ISO、IEC的應用密碼標準還是可以參考國外的，但國內若也有類似標準，則需要優先參考國內標準。密碼標準則只能參考國內標準或者淡化要素。另外，產品級的創新估計也可以較容易的獲得政府推廣，或者政府訂單。

3、金融領域國產密碼應用推進密碼技術要求&服務器密碼機技術規範----劉平

         a、總體要求

                  I）、金融領域設計到密碼的芯片、設備、部件、軟件和系統都應該優先支持SM2/3/4

                   II）、金融業務標準規範中使用密碼的部分，應該引用國產密碼算法和密碼算法使用等密碼標準規範

         b、從密碼行業標準化角度闡述了金融系統各個部分將如何使用準備規範文檔

                   I）、算法：SM2 橢圓曲線公鑰算法、SM3密碼雜湊算法、SM4分組密碼算法

                   II）、算法使用規範：《SM2密碼使用規範》《分組密碼算法的工作模式》《SM2密碼算法加密簽名信息語法規範》

                   III）、終端模式：金融IC卡、網上銀行（基於證書和動態口令）

                   IV）、安全通道：VPN遵守國內標準SSL VPN，IPSec VPN技術規範和產品規範

                   V）、客戶端：智能密碼鑰匙、通用證書格式相關的接口規範。

                   VI）、服務端：通用密碼服務、證書接口規範、服務器密碼機，簽名驗籤服務器等規範

                   VII）、移動支付：技術要求，模式、參考的技術標準

                   VIII）、CA部分：《基於SM2密碼算法的數字證書格式規範》，《數字證書認證系統密碼協議規範》，《基於SM2算法的證書認證系統密碼及其相關安全技術規範》，統一國家根證書，雙證書模式。

                   IX）、安全芯片：《安全芯片密碼檢測準則》中的安全等級2級以上，需要支持：算法和密鑰與應用的隔離；符合檢測要求的隨機數和非對稱密鑰產生；敏感數據安全存儲和授權；抗探測攻擊；抗故障注入攻擊，抗邊信道攻擊。

Tips：我問了一個問題：怎麼看待單芯片方案如ARM提供的通用應用TEE環境在金融終端領域的使用？

         但可惜該老師對這方面不是很清楚，沒有準確回答我的提問，只有說應該要達到標準要求的安全，另外會場內的一個同仁（一個金融行業做方案的研發經理）述說了他的看法，“目前的可信計算技術仍然不是很成熟，不適合在金融領域使用。目前因爲終端沒有一個統一的標準，各個銀行本身目前更加傾向於使用類似支付寶的雲端體系，依賴於行爲分析，風險管理，適當的終端安全機制，而去掉終端的硬件化和強安全特性。目前，多個銀行在試點新的安全主要基於雲端的方案，在未來4、5年將可以看到效果。”

         隨着國家在抓緊推廣信息安全國產化道路，以及互聯網技術的發展，TEE技術在金融領域的使用個人持悲觀觀點，國內TEE的發展若不抓緊，很可能錯過金融領域的這次浪潮，從而在金融的安全技術上缺少影響力。

4、SSL VPN/IP Sec VPN技術規範，網關產品規範----羅俊

         a、更改了國際標準的通信協議，增加雙證書（加密證書和簽名證書）以及國產密碼支持。

         b、SSl VPN 基於TLS 1.1改造，IP Sec VPN基於IKE改造，但與國際標準不兼容。

         c、除了國產密碼外，支持2048位以上的RSA，但需要雙證書，支持SHA1。

Tips：會上有人問過與國際標準不兼容問題，得到的回答是，產品線與支持國際標準的產品是分開的，兼容的產品將需要密保局批准。我的理解，可能是技術響應政策故意不兼容的。

5、密碼模塊安全技術要求----高能

         a、從11個安全域和4個安全等級進行定義，每個安全域對應的等級要求進行描述，最後根據木桶原理彙總一個整體的安全等級。

         b、金融的安全芯片等級需要達到2級以上。

Tips：可以爲我們公司的《智能電視終端安全技術要求》提供文檔參考，尤其是等級的描述方面。

6、基於角色的授權管理和訪問控制技術規範----趙麗麗

         a、提出了一個終端密碼模塊的“中間件”技術，該技術框架可以兼容多個獨立的具體的訪問控制。

         b、技術基於公鑰機制

Tips：想法很好，能使得終端的訪問控制標準化。細節需要消化。

7、安全電子簽章密碼技術規範&簽名驗籤服務器技術規範----李述勝

         a、服務端內部的安全技術規範

8、射頻識別系統密碼應用技術要求&採用非接觸卡的門禁系統密碼應用技術指南----周建鎖

         a、安全協議可以參考，作爲類似方案的協議設計