沈智镔 ，张 潮 ，高剑峰 ，李正强 ，詹全忠

（1. 水利部信息中心，北京 100053；2. 长春吉大正元信息技术股份有限公司，吉林 长春 130012）

0 引言

随着智慧水利的深入推进，资源整合共享的实现突破[1]，水利信息化水平全面提升，大幅提高了水利行业的管理能力。与此同时，作为行业关键信息基础设施保护单位的水利行业屡次敲响信息安全警钟，一旦水利部门工业控制系统关键业务应用、重要业务数据遭到攻击破坏，发生重大安全事件，将导致水利基础设施瘫痪，造成灾难性后果，严重危害国家经济安全和公共利益。

密码作为信息安全防护的重要手段，在关键信息系统和基础网络防护中发挥着不可替代的重要作用。但传统密码应用模式存在密码管理及使用相对独立和分散，密码应用复杂的问题，导致密码应用不足，密码管理困难。随着《密码法》的正式发布，水利行业密码技术如何统筹管理、深入应用，满足水利信息化的要求成为水利行业密码应用的当务之急[2]。该问题的解决需要深入分析水利行业密码应用需求，全面整合和拓展水利行业现有的密码设备，建设密码基础设施，形成技术应用、管理支撑，确实发挥好密码技术的保底作用。

1 背景技术

1.1 SM2 算法

SM2 算法是国家密码管理局发布的椭圆曲线公钥密码算法，在我国商用密码体系中被用来替换RSA（Rivest-Shamir-Adleman）算法[3]。

1.2 SM9 算法

SM9 标识密码算法是一种基于双线性对的标识密码算法，可以把用户的身份标识生成用户的公、私密钥对，主要用于数字签名、加密，密钥交换，以及身份认证等[4]。

1.3 密码基础设施

密码基础设施对密钥和密码设备实现统一全生命周期的安全管理，为多个应用系统提供高速、可靠、可扩展的密码运算服务，有效地提高密码资源的利用率，降低了密钥管理和使用的风险。

1.4 统一密码服务

以密码运算为基础，密码设备为支撑，密码服务为思想，资源集中化管理为手段，屏蔽后台密码设备的多样性、指令的复杂性，实现业务系统的统一调用，为业务系统提供统一、安全、可扩展的密码服务，可为密码设备提供集中化的管理与维护，解决业务系统对密码设备调用及管理的混乱问题。

1.5 服务器密码机

服务器密码机是服务端的适用于公钥密码基础设施体制的密码设备，主要功能是提供加解密、数字/验证签名及密钥管理等高性能的基本安全服务。

1.6 金融数据密码机

金融数据密码机是通用密码设备，能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算，可以满足应用系统数据基于非对称、对称密码算法的加密/解密的要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。

1.7 标识密码机

标识密码机是密码设备，能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算，可以满足应用系统数据基于 SM9 标识密码算法的加密/解密、签名验证要求，保证传输信息的安全，同时提供安全、完善的密钥管理机制。

2 总体设计

水利部密码基础设施采用前瞻性的设计思路，整合水利部现有密码设备，以层次化、服务化、松耦合、可扩展的方式构建总体框架[5]，实现水利政务外网涉及的对称、非对称密钥的统一管理，以服务化的理念封装底层密码接口，为水利政务外网应用系统提供统一的身份认证、实体标识、签名和加密等服务，降低密码应用和运维的复杂度，提升密码整体管理效能[6]。

水利部密码基础设施建设体系架构设计示意图如图 1 所示。

图1 水利部密码基础设施框架示意图

2.1 密码服务资源层

密码服务资源层是水利部密码基础设施整体框架的核心和基础，主要由各类密码机和密码资源管理系统组成，其中密码机主要负责密钥的生成和存储，以及相关的密码运算，支持常见的非对称和对称密码运算，涵盖国内和国际通用的密码算法。本次建设主要包括服务器、金融数据密码机，以及支持 SM9 算法的标识密码机的建设。各类密码机可以根据算法的更新和性能提升的要求进行平滑扩容，密码机的增加和退出不影响水利部密码基础设施的统一运转，对于上层应用系统完全透明。

密码服务资源层需要部署密码资源管理系统，针对密码机资源进行统一调配、监控，同时针对密钥和底层密码运算进行统一管理，承担着密码服务资源层的管理和对密码服务支撑层提供服务的关键任务。

2.2 密码服务支撑层

密码服务支撑层属于水利部密码基础设施整体框架承上启下的关键层次，该层次基于密码服务资源层，结合应用相对固化、抽象的密码需求进行凝练和总结，构建各类密码服务支撑所需的产品和系统，为业务系统提供多元化且符合业务系统需要的密码服务，降低业务系统使用密码算法的复杂度。该层次可以根据业务系统的需求进行动态扩充，增加能够满足业务系统密码应用的需求类型产品，动态提升密码服务的种类、能力和水平。

密码服务支撑层主要包括以下系统和网关：

1）身份认证系统（PKI/CA），主要负责发放数字证书，借助数字证书技术实现实体的身份管理；

2）身份认证网关，主要基于密码算法实现用户身份认证；

3）多因子认证系统，主要与身份认证网关联动，在基于密码算法实现用户身份认证的基础上，提供基于其他技术手段的身份认证、单点登录服务，为业务系统提供多样化的身份认证服务；

4）数字签名系统，主要为业务系统提供关键数据及操作的抗抵赖服务；

5）电子印章系统，为业务系统提供电子印章服务，既满足关键数据的抗抵赖，又满足国内对于印章使用习惯的需求；

6）时间戳服务系统，为业务系统提供可信时间服务，满足业务对于时间敏感，需要保证时间可信的需求；

7）邮件加密系统，为邮件系统提供基于 SM9算法的加解密服务，保证邮件传输的安全性；

8）传输加密网关，为业务系统提供传输信道加密的服务，支持国内外主流密码算法；

9）基础密码服务系统，为业务提供相对底层的密码运算服务支撑，涵盖加密、解密、摘要、密钥管理等相关功能，支持对称、非对称等国际和国内密码算法，其中非对称密码算法需要支持 SM2 和SM9 系列算法。

2.3 密码服务接口层

密码服务接口层以密码服务资源层、支撑层为基础，以应用系统对于密码服务的需求为出发点，以 SOA（面向服务的架构）理念为指导，针对密码服务资源层和支撑层提供的密码服务进行高度抽象、归纳、总结，封装出各类接口，为上层应用系统提供统一的标识、认证、签验、加密等服务，减轻应用系统对于密码应用的负担，促进密码在水利部外网应用系统的使用。

密码服务接口层的制定需要考虑到水利部业务系统的实际需求，同时还需要遵循国家密码管理局发布的相关标准，对统一的标识、认证、签验、加密等服务分别进行细化，封装出满足业务需求的服务子接口，供业务系统进行多样化的密码服务集成调用。密码服务接口层可以动态增加接口，满足业务系统发展对于密码服务动态增加的需求。

2.4 密码服务监管体系

密码服务监管体系针对水利部密码服务基础设施框架对外提供密码服务使用的前期申请流程、密码业务的办理、密码服务基础设施框架子模块的状态监控、密码服务相关数据的统计汇总和展现等管理要求进行全面支撑，是密码服务基础设施后期运维的关键平台。

对于已经建设完成目前正在运行的对称和非对称密钥体系，本着“遵循实际、尊重事实”的原则，采用“流程统一、数据统一、分散服务”的方式进行处理。对于原来已经投入使用的对称密码服务体系，仍然维持原有的业务服务模式，只需要把密码相关数据汇总到密码服务监管体系，线下的业务办理流程整合到新建设的密码服务监管体系中，完成业务流程办理后，仍然由原来的密码服务体系提供服务。新的业务系统密码服务需求均统一由密码基础设施框架提供相关的服务。

密码服务监管体系支持级联方式进行部署，可以实现水利部机关、流域机构密码数据的全面汇总，全面展示水利部密码基础设施框架的运转情况，为密码相关的决策提供支撑。

2.5 网络安全体系

水利部密码基础设施框架的建设和部署，需要在水利部电子政务外网划分区域进行部署，网络安全防护需要借助于水利部外网现有的网络安全设备，遵守水利部政务外网统一的等级保护等安全规范和策略的要求。

2.6 标准

针对水利部密码基础设施框架的建设制定相关的标准，包括数字证书格式规范、密码基础设施密码服务接口标准、应用系统接口整合标准、密码资源密钥管理规范等，通过标准的牵引和固化作用，促进水利部外网密码算法应用工作的整体推进。

3 建设方案

水利部密码基础设施建设主要包括密码基础设施平台、密码服务中间件、邮件加密系统、电子数据可信验证系统等的建设。其中密码基础设施平台属于基础设施框架，可以直接或者通过密码服务中间件为上层业务系统提供密钥管理和密码服务；邮件加密和电子数据可信验证 2 个系统属于应用系统，需要的密码服务由密码基础设施平台提供。

3.1 密码基础设施平台建设

密码基础设施平台具有如下功能模块：

1）运维管理模块。运维管理模块作为设备资源提供者和所有者，具有设备创建、分配、监控的管理权限，负责对本级系统内的多种密码机设备进行统一管理，能够进行智能化资源分配，并可对下级密码基础设施平台进行监控、管理和分发密钥。包括配置管理、流水审计、报表管理、平台用户管理、系统状态监控、故障管理、可视化展示等功能。

2）基础密钥管理模块。负责基础密钥生命周期管理，具有密钥、密码服务用户等管理功能。

3）标识密码属性管理模块。具有标识注册、标识管理、私钥分发、私钥管理、参数管理、密钥查询统计、私钥导出和接口服务等功能。

4）密码资源接口管理模块。密码资源接口管理模块用于提供相应的密钥管理、密码服务，负责处理密码服务支撑层中每个模块发起的密码请求，包括密钥访问处理、密码运算等。密码资源接口可以针对各类密码机提供资源的动态分配，提升密码机的运行性能，同时保证密码机业务的可靠性。

5）基础密码服务模块。基础密码服务模块为业务提供相对底层的密码运算服务支撑。

6）分级管理模块。分级管理模块提供接口，支持对下级（流域、省级等）密码基础设施平台的监控、管理和分发密钥等功能，支持部、省、市、县四级部署模式。

3.2 密码服务中间件建设

基于密码基础设施平台的建设，开发密码服务中间件，提供接口满足底层密码设备接入和管理、应用系统本地数据加解密等需求，并可通过接口服务实现密钥、数据等加密密钥的更新，以及上级密码基础设施平台对密码服务中间件的业务监控。

3.3 邮件加密系统建设

在水利部开发部署邮件加密系统，实现电子邮件加密存储、传输。具体功能应包括邮件加密存储，业务网内邮件加密传输，业务网邮件外发加密。

3.4 电子数据可信验证系统建设

基于密码设施平台的建设，在水利部开发部署电子数据可信验证系统，满足水利部水利工程图纸等电子数据可信验证的需求，主要功能包括数据真实性凭证保障支撑和管理。主要实现以下 2 种验证：

1）在线验证。用户在线上传源数据，在填写单位、用户、数据名称等信息后，验证系统将源数据加密存储，生成并本地存储验证凭证，依据用户填写的信息生成文档目录，后期所有用户可根据文档目录查询、验证该数据的真实性。

2）离线验证。用户在线上传源数据，在填写单位、用户、数据名称等信息后，验证系统根据相关要素生成数字签名、二维码等凭证信息并加载入源数据中，后期用户可使用基于密码技术的电子数据可信验证客户端软件，通过比对数据和凭证信息离线验证数据真实性。

4 应用效果

通过建设部署密码基础设施，水利部机关大幅提升了密码服务保障能力，有力促进了密码技术的推广应用，高度优化了密码使用管理流程。具体应用效果如下：

1）全流程在线密码服务。采用在线申请、审核、分配密码资源和服务的方式，实现了密码服务全流程在线办理，有效提高了工作效率。

2）密码服务全景展示。采用可视化展示方式，将可用密码资源、资源调用趋势、设备状态，以及应用接入、接入单位情况等数据直观展示，为管理人员提供决策辅助。

3）水利应用一站式密码服务。全面支持关键信息基础设施在内的重要系统国产密码应用，对水利应用提供一站式加密服务，对密码资源进行统一监控调度管理，对密码失管失控等紧急状况进行一键处置。

4）与水利应用无缝集成。邮件加密网关与密码基础设施平台集成，实现水利部机关内部和外发邮件的加密传输、存储。

电子数据可信验证系统与密码基础设施平台集成，为水利行业的工程图纸等电子数据提供可信验证；全国河、湖长制管理信息平台接入密码集成平台后，对以前的 30 万名河长的公民个人信息进行加密存储，后续河长个人信息录入时即是密文；水利蓝信移动办公平台接入密码基础设施，对平台中的单位组织机构和用户等信息进行加密，避免被非法的应用或后台程序获取手机中的信息及消息；水利部统一用户管理系统集成密码基础设施后，对数据库中的个人信息字段进行数据加密存储，保障了用户的数据安全。

截至目前，水利部密码基础设施已为 100 余个应用系统（子系统）提供身份鉴别数据的存储加密服务，工作日平均每日提供基于 SM2 和 SM4 等算法的加解密服务 2 000 余万次，累计提供加解密服务 3 亿万次。

5 结语

水利部密码基础设施的建设形成了国产密码应用的一体化管理能力和面向服务的快速、集约、统一的支撑能力，为业务系统提供统一的密码服务，降低应用系统使用密码的复杂度，强化密码的统一管控力度，提升了密码管理、应用的整体效能，可以为其他部委提供密码管控、应用模式的参考和借鉴，可以在其他部委或大型中央管理企业进行推广，促进我国密码技术管理和应用水平的提高。

本项目中密码技术的应用集中在信息系统，三峡水利枢纽、南水北调工程等重要水利基础设施中存在大量需要密码技术保护的工控传感设备，传感设备存在身份确认、信息传输的保密性和完整性、控制指令的防篡改等安全需求，针对密码技术在工控领域的应用后续需要进一步深入研究，探索轻量级、标识等密码技术在水利工控领域的应用模式，进一步提升水利行业关键信息基础设施保密的水平。