文章學習:基於密碼協處理器的信息安全系統架構設計
摘要
闡述密碼技術的應用,這是保障數據安全的重要手段。密碼協處理器提供芯片級的密碼技術應用方案,相比傳統服務器密碼機的密碼硬件設備,具有性能與安全方面的優勢。爲了保障密碼計算和密鑰使用安全,需要設計一套基於密碼協處理器的密碼應用模型,並規劃密鑰的使用規則。基於密碼協處理器,探討一種新的密碼應用架構的設計,它更安全、更有效地提供密碼服務和管理密鑰,從而應用最新的密碼學技術,實現密碼協處理器的安全特性。
- 密碼協處理器:提供芯片級的密碼技術應用方案,與傳統服務器密碼機相比,性能和安全性更好。
- 本文基於密碼協處理器,設計一種新的密碼應用架構,更安全和有效的提供密碼服務和管理密鑰。
引言
密碼技術作爲網絡與信息安全保障的核心技術和基礎支撐,在身份鑑別、信息加密、安全隔離、完整性保護和操作抗抵賴等方面發揮着不可替代的作用。傳統的密碼應用通常通過專用的密碼設備(服務器密碼機、簽名驗籤服務等)來滿足特定的安全需求和性能需求。但隨着密碼應用的普及,在需要大量密碼計算的場景中,專用密碼設備在性能、成本等方面可能成爲業務發展瓶頸。因此,許多應用正在傾向於使用集成度更高的密碼解決方案,如密碼協處理器,來提供既安全又靈活的密碼學服務。
- 傳統密碼應用需要專用的密碼設備,通常一種設備提供一種服務,但未來需要集成度更高的密碼解決方案,例如密碼協處理器。
研究背景
密碼協處理器是一種專門設計的硬件芯片,用於執行密碼學相關的運算,如加密、解密、數字簽名和數字驗證等。這些芯片通常安全性能優良,能夠安全地存儲和管理密鑰,提供高效的密碼運算能力,並可防止對敏感信息的未經授權訪問。以下是幾個典型的密碼協處理器產品。
(1)IntelSGX。IntelSGX提供一種硬件保護的可信執行環境,用於執行加密和解密操作。這種環境獨立於操作系統,提供隔離的空間以保護敏感數據和密鑰免受外部攻擊和泄露,從而增強了密碼計算的安全性。IntelSGX實現了一種形式的密碼協處理器,可以安全地存儲和使用密鑰,以及執行密碼學運算。
(2)華爲鯤鵬TEE。華爲鯤鵬BoostKit機密計算是基於TrustZone技術的TEE方案,TrustZone是一種基於ARM標準架構進行的安全擴展,新引入了一個額外的可信執行環境(TrustedExecutionEnvironment,TEE),而原有的執行環境(RichExecutionEnvironment,REE)相對應TEE。這兩個環境從芯片架構上進行了隔離,TEE通過密碼協處理器提供可信密碼模塊。
(3)海光安全處理器。海光安全處理器實現可信根及TPCM的相關標準功能。國密硬件引擎密碼協處理器CCP爲安全處理器上密碼運算提供加速,實現高效國密運算。
- TEE(可信執行環境)通過密碼協處理器提供可信密碼模塊。
密碼協處理器在密碼應用中的特點
密碼協處理器的優勢在於其專爲密碼運算優化的性能、提高的安全性、易於集成和擴展以及更有效的機房空間利用。然而,其問題包括密鑰管理、分發和更新的複雜性以及在大規模環境中的部署和維護挑戰。
- 優勢
(1)性能提升:在處理大量密碼計算請求時,相比傳統的密碼機,由於密碼協處理器通常與主處理器緊密集成,數據在處理器之間的傳輸延遲可以顯著減小,從而提高整體的處理速度。
(2)安全性提升:密碼協處理器可以直接在服務器內,通過硬件對密鑰和敏感數據進行加密保護,相比傳統的密碼機,規避了數據在網絡傳輸過程中的安全性。
(3)投資優化:雖然包含密碼協處理器的CPU初始投資可能會高於傳統CPU,但從全局來看,相對傳統服務器密碼機,由於其高效的性能和低延遲,能夠處理更多的請求,使得單位處理成本降低。
(4)機房空間利用優化:由於密碼協處理器通常會內置在主處理器中,或者作爲插件與主處理器直接相連,其佔用的機房空間相對較小。相比於傳統的密碼機,這種緊湊的硬件設計可以更有效地利用有限的機房空間。
- 問題
儘管密碼協處理器在性能和安全性方面具有一定的優勢,但在密鑰管理模式與部署方面仍然存在一些問題。
(1)密鑰輪轉問題:密鑰需要定期更新以保持其安全性,但是更新過程可能會引入新的安全風險。例如,如果新的密鑰被破解或丟失,需要有一種安全的方式來回滾到舊的密鑰。此外,如何安全地進行密鑰更新,同時確保新的和舊的密鑰都可以用於解密老的數據。以上問題密碼協處理器一般不提供完善的方案。
(2)硬件故障和密鑰恢復問題:儘管密碼協處理器可以提供對密鑰的物理保護,但如果硬件發生故障,可能會導致密鑰丟失。一旦密鑰丟失,之前加密的所有數據都將無法恢復。因此,需要有一種安全的方式來備份和恢復密鑰。
(3)密鑰分發和同步問題:在分佈式系統中,如何安全地分發和同步密鑰是一個重要的問題。儘管密碼協處理器可以安全地存儲和處理密鑰,但如果無法支持分佈於多臺服務器中的多個密碼協處理器同步應用祕鑰,系統密碼應用的一致性就無法滿足;若同步密鑰過程中密鑰被截取,系統的安全性就會被破壞。
(4)規模化部署的挑戰:在大規模的雲環境或分佈式環境中,管理和維護大量的密碼協處理器和密鑰可能會帶來挑戰。例如,需要保證所有的密碼協處理器都有最新的安全更新,所有的密鑰都得到適當的管理和保護。
基於密碼協處理器的密碼應用架構設計
框架設計
設計基於安全處理器的密碼服務應用模式,利用密碼協處理器構建的安全執行環境,實現與操作系統無關的,面向應用系統的密碼應用架構。
框架由密碼應用管理系統、密碼套件、主機安全套件等部分組成,密碼服務需依賴外部基礎密碼支撐,密碼服務管理數據可上報至運行監控平臺。整套設計依賴可信執行環境和密碼協處理器,形成的可信的密碼服務架構。
- 密碼協處理器以固件形式提供密碼的安全計算,與CPU核心完全分開,實現與系統計算環境的隔離;
- 基於密碼協處理器實現密鑰管理模塊,爲服務器提供基於密鑰的加密計算能力和安全密鑰存儲服務。
- 服務器在擁有密碼協處理器之後,可以具備密碼計算的本地化的能力,減少網絡開銷。
各組成模塊
(1)服務器密碼應用管理系統。
- 統一配置、調度服務器密碼協處理器;
- 統一配置管理密碼套件;統一配置、管理應用資源和身份基準值;
- 對外獲取證書、密鑰等基礎密碼服務;
- 向監管系統上報密碼運行日誌。
(2)密碼套件。
- 在服務器安裝的密碼服務套件,將密碼協處理器提供的密碼服務封裝爲標準的通用與典型密碼服務接口便於應用調用;
- 對接服務器密碼應用管理系統,接受統一管理,上報管理數據;接受遠程密鑰調度,管理本地密碼協處理器密鑰的安全存儲。
(3)主機安全套件。
- 結合密碼技術和自學習技術,利用堡壘鎖、微隔離等技術,對應用系統和操作系統進行防護。
邏輯框架
(1)密碼應用管理系統
- 密碼套件從密碼應用管理系統拉取管理指令、獲取下發的應用密鑰;密碼應用管理系統從密碼套件接收上報的密碼運行數據,鑑定安全報告。
- 密碼應用管理系統作爲服務器的統一對外窗口,爲各類應用從密鑰管理系統獲取應用密鑰,從證書管理系統申請各類證書。
- 密碼應用管理系統分析密碼運行數據,生成密碼應用狀態,向主機安全套件安全參考。
(2)密碼套件
- 密碼套件封裝標準SDF接口,嚮應用系統提供各類密碼服務;
- 向密碼應用管理系統上傳的密碼運行數據和安全報告;
- 接受密碼應用管理系統指令管理安全處理器的安全密鑰存儲;代理密碼套件無法獨立完成的時間戳、電子簽章等典型密碼服務。
(3)服務器
- 通過密碼套件接受密碼應用管理系統管理,爲密碼套件提供安全的密碼計算能力和安全密鑰存儲。
(4)服務器安全套件
- 通過安全套件客戶端對服務器實現實時檢測,實現系統資產梳理,通過應用堡壘鎖、系統堡壘鎖、微隔離防火牆、主機隔離等方式保護操作系統和應用系統。
協處理器密鑰管理設計
本設計主要使用6類密鑰,其功能如下所述:
1、密鑰加密密鑰是一對非對稱密鑰,用以封裝加密密碼協處理器產生的各類密鑰,也可用來接收各類密鑰的導入。證書系統使用該密鑰爲密碼套件簽發密鑰加密證書。
2、密碼套件身份密鑰是一對非對稱密鑰,用以標識密碼套件身份。證書系統利用該密鑰爲密碼套件簽發用以做身份鑑別的簽名證書。
3、安全基準值簽發密鑰是一對非對稱密鑰,用以對密碼套件和應用系統安全基準值進行簽發與覈驗,該密鑰不可與身份密鑰混用。證書系統利用該密鑰爲密碼套件簽發用以簽發應用系統安全基準值。
4、應用非對稱密鑰是一組非對稱密鑰,包含應用簽名密鑰、應用非對稱加密密鑰、應用站密鑰,應用非對稱密鑰爲安裝在服務器上的應用服務。證書系統利用這些密鑰爲應用簽發證書。
- 應用簽名密鑰。應用簽名密鑰的主要的使用場景是用以對應用系統產生的數據進行完整性簽名,從而滿足商用密碼合規性要求中的數據完整性要求。
- 應用非對稱加密密鑰。應用非對稱加密密鑰的主要的使用場景是用以數字信封加密和信源加密,從而滿足商用密碼合規性要求中的數據完整性要求。
5、應用對稱加密密鑰是爲應用發放的主密鑰,主要用來保護工作密鑰。
6、工作密鑰是用來加密數據的密鑰,由應用對稱加密密鑰保護。
設計的創新性及先進性
密碼套件與服務器
(1)應用與服務高度集成。傳統密碼應用需調用外部密碼設備或服務,會消耗大量網絡資源,計算性能也受網絡穩定性的影響。使用密碼協處理器的服務器密碼計算不出設備,減少了網絡負載,充分利用硬件資源的計算性能。
(2)本地化的應用完整性校驗。在應用合規方面,對應用完整性校驗一致是個實現成本比較高的難點,本設計通過密碼套件與密碼應用管理系統聯動,在充分保障合規的同時,利用可信計算技術可實現應用完整性校驗。
(3)簡化密碼應用。密鑰套件在支持傳統SDF接口的同時,可提供對應用屏蔽密鑰使用與加密報文封裝細節的專用接口,從而降低應用接入的開發門檻。
統一密碼調度
本設計引入密碼調度機制,有效地解決了應用多服務器部署情況下,密碼計算負載和密鑰協同的問題。
密碼質量監管
應用系統通過密碼套件直接在下服務器上實現本地化的密碼服務,密碼套件可以完整記錄應用系統對密鑰的調用記錄,對數據加密的日誌,對數據簽名的日誌、SSL鏈路建立的日誌。
以上記錄與日誌彙總到密碼應用管理系統,可以讓系統具備全局的密碼應用數據視圖,方便本地管理,也可以將數據輸出到專門的安全態勢感知系統進行分析。
總結
隨着信息技術的快速發展,數據安全已經成爲一個至關重要的問題。其中,密碼技術的應用,是保障數據安全的重要手段。密碼協處理器爲應用提供芯片級的密碼技術應用方案,相比傳統的服務器密碼機等密碼硬件設備,具有性能與安全方面的優勢。爲保障密碼計算和密鑰使用安全,需要設計一套基於密碼協處理器的密碼應用模型,並規劃密鑰的使用。本文的目標是,基於密碼協處理器,設計一種新的密碼應用架構,以更安全、更有效地提供密碼服務和管理密鑰。該將會基於最新的密碼學技術,並充分利用密碼協處理器的特性。