◆王泉景

（北京得安信息技术有限公司 北京 100032）

可信计算在国产商用密码产品中的应用

◆王泉景

（北京得安信息技术有限公司 北京 100032）

可信密码安全产品融合现有的安全机制，依托可信计算关键技术，为现有系统提供可信支撑，打造可信计算应用环境。计算机信息系统通过可信计算支撑平台形成自免疫能力，以抵御未知恶意代码攻击。

可信计算; 密码技术; 商用密码产品

0 前言

2016年04月19日，习近平总书记在网络安全和信息化工作座谈会上指出 “保障互联网安全、国家安全，就必须突破核心技术这个难题”。在电子政务等领域，需要对国产商用密码产品，如服务器密码机、签名验签服务器、VPN网关机的自主可控、安全性具有更高的要求，对国产CPU、国产操作系统、可信计算等都有要求。

十三五期间，党中央、国务院加大了对网络安全的重视，并在《国民经济和社会发展第十三个五年规划纲要》中明确提出要进一步“完善重要信息系统等级保护制度”。我们将健全完善以保护国家关键信息基础设施安全为重点的信息安全等级保护制度。

沈昌祥院士提出的可信计算体系已经成为保卫国家网络空间主权的战略核心技术，也是世界网络空间斗争的焦点。

可信计算支撑平台以可信计算技术为基础，以GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》为依据，让操作系统具备了自免疫能力，让计算机有了自己的免疫“白细胞”。可信计算支撑平台实现了主动防御，有效解决了系统被未知漏洞、未知病毒、未知木马攻击而造成的风险，能够解Windows XP停止服务所带来的安全问题，达到等级保护三级以上安全需求，为等级保护四级结构化系统建设提供安全支撑和保障。

1 传统商用密码产品安全需求

传统商用密码产品使用的计算机体系结构在设计时“重功能，轻保障”，没有考虑安全因素，如系统任务难以隔离、内存无越界保护、自身安全机制容易被篡改和旁路等。

传统商用密码产品存在非法接管系统管理员权限等风险。

传统商用密码产品主要基于扫漏洞、打补丁和利用特征库识别恶意行为等被动防御机制，不能满足高等级的安全需要，特别是针对渗透攻击缺乏有效的防御手段，这直接导致了存在大量安全问题，如源配置可被篡改、恶意程序被植入执行、利用缓冲区（栈）溢出攻击等。

传统商用密码产品安全建设采用分散管理的方式，一方面各产品难以联动，不能构成整体防御，另一方面运维效率较低且缺乏预测能力。

2 商用密码产品应用可信技术

2.1 可信商用密码产品的防御

可信白名单技术:采用可信白名单的技术使商用密码产品的内部程序只有在白名单中才能运行，不在白名单的程序将拒绝执行。在终端软件安装时可自动采集本地执行程序形成白名单，以后需通过管理中心下发白名单策略。

TCM模块:采用支持国产密码算法的 PCI-E密码卡，提供高速的数据加解密、数字签名以及验证签名等安全服务，是电子商务、电子政务等网络安全建设中重要安全设备。使用了双体系结构，实现了可信功能和普通密码卡功能。该密码卡自身也是可信设备，在上电时会对密码卡中的国产SM1、SM2、SM3、SM4等系列算法及随机数芯片进行自检，以保证芯片和算法的正确性，同时提供了核心数据可信存储。

可信度量:使用可信静态度量手段，通过白名单方式对执行程序进行严格控制，只有在度量结果和预期值一致的前提下，该程序才允许运行。通过可信动态度量对系统运行时的关键数据、进程运行情况进行实时度量，判断系统是否受到攻击，并告警。

可信审计:可信审计能够记录、跟踪可信安全管理中心中系统管理员、安全管理员和安全审计员的行为，记录、跟踪免疫节点平台中用户、进程的行为。

免补丁升级，免病毒、木马查杀:采用可信计算主动防御机制，提供执行程序可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御，可以做到免补丁升级，免病毒、木马查杀。

2.2 可信商用密码产品的集群组网

可信连接:通过可信连接技术可以规定节点与节点之间是否可以建立通信连接，可以有效的控制非授权节点访问授权节点，实现对接入的有效控制。可信连接技术将单个计算机系统可信状态扩展到计算机互联系统。

统一管理:采用统一管理对系统中的所有免疫节点进行统一管理、统一配置，审计信息统一存储、统一分析。

分级管理:分级分域管理技术支持分级分域的组网架构，支持不同等级的安全管理平台，每级安全管理平台负责管理本级本区域的可信终端，上级可根据需要调用任何下级审计信息和配置下级之间的域访问。

2.3 可信商用密码产品提供的服务

机密性服务:通过加密和解密数据，防止数据的未授权泄漏;

完整性服务:通过检测、通知、记录和恢复数据修改，防止数据的未授权修改。

真实性服务:通过标识和鉴别活动主体的身份，防止身份的冒用和伪造。

抗抵赖服务:通过提供行为证据，防止活动主体否认其行为。

3 总结

商用密码产品采用可信计算主动防御机制、操作系统免疫平台、提供执行程序可信度量、阻止非授权及不符合预期的执行程序运行、实现对已知/未知恶意代码的主动防御技术、同时支持SM1、SM4分组密码算法、SM2椭圆曲线密码算法和SM3杂凑算法。可信商用密码产品能利用加密和数字签名技术保证用户在网上传递信息的机密性、完整性和有效性，从而创造一个安全的网络环境。

[1]GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求[S].中国标准出版社，2008.

[2]《信息安全等级保护管理办法》（公通字[2007]43号）[R].公安部，2007.

[3]郭启全.信息安全等级保护政策培训教程（2016版）[M].北京:电子工业出版社，2016.

[4]沈昌祥.用可信计算构筑网络安全[J].求是，2015.

[5]GM/T 0002-2012 《SM4分组密码算法》[S].中国标准出版社，2012.

[6]GM/T 0003-2012 《SM2椭圆曲线公钥密码算法》[S].中国标准出版社，2012.

[7]GM/T 0004-2012 《SM3密码杂凑算法》[S].中国标准出版社，2012.