霍炜.推动密码融合应用的研究与思考[J].信息网络安全,2020,20(10):1-5
文章目录
- 1 根本:推动密码与信息化产品的融合应用
- 密码与信息化产品研发工具的融合
- 密码与信息化产品的功能融合
- 信息产品的安全扩展为内嵌式密码功能创新实现提供了有力支撑
- 2. 关键:推动密码与信息化系统和网络融合应用
- 3 亮点:推动密码与信息化系统和网络融合模式创新
- 密码融合云计算
- 密码融合大数据
- 密码融合物联网
- 密码融合人工智能
- 密码融合区块链
- 密码融合零信任
- 密码融合可信计算
- 密码融合工业互联网
- 4 密码与信息化深度融合应用与创新发展的基本特征
1 根本:推动密码与信息化产品的融合应用
信息化产品,是网络空间构建的“细胞”,密码作为“安全基因”,融入信息化产品这个“细胞”,才能真正实现内生安全。
密码与信息化产品研发工具的融合
例如,Java、Python、Go等流行的软件设计语言都在支持库层面内置了对 RSA、ECC、AES 等国际密码算法以及 SSL 等密码协议的支持。
密码与信息化产品的功能融合
传统上往往使用独立于信息化产品之外的密码产品来实现“外挂式”密码功能,如智能密码钥匙、密码机等。但是很难适应数字经济多样化的密码需求,欠缺灵活性、扩展性,限制了密码技术应用模式,影响了用户的密码应用意愿,妨碍了密码应用普及。
将密码功能融入信息化产品的功能与业务流程,变“外挂”为内嵌,是国际上流行的的做法。Intel 在处理器中通过 AES-NI 指令集嵌入了对 AES 密码算法高性能实现的支持,ARM 也引入了 AES 加速指令,并且大部分 ARM SOC 芯片都包含功能丰富、架构完善的片内密码架构;Windows、iOS、Linux 等操作系统厂商都在操作系统中内置了密码模块并通过了 FIPS 140 认证;Android KeyStore 为所有上层Android APP 提供密码服务支撑。
国内 CPU、整机、操作系统、数据库等基础软硬件产品,以及工业控制系统、通讯设施中,缺乏内嵌的商用密码技术支持,成为密码应用的主要障碍。
信息产品的安全扩展为内嵌式密码功能创新实现提供了有力支撑
Intel 推出 SGX,允许应用创建 enclave,为数据运行打造一个安全的环境“小黑匣”,将合法软件对于加密密钥等敏感数据的操作封装在一个“小黑匣”中,使得恶意软件无法对这些数据进行访问,普通或特权用户都不能访问。
越来越多的芯片开始采用 “SubChip” 的方式,直接将密码模块做成芯片功能的一部分,实现深度结合。
2. 关键:推动密码与信息化系统和网络融合应用
信息化业务最终要由信息系统和信息网络承载。
一方面,密码与信息业务系统和网络的架构融合。将密码融入系统组件以及通信协议、存储协议、数据处理协议、业务交互协议,使基于密码的安全机制成为其内生要素和必选环节。
另一方面,密码与信息系统的服务融合。
3 亮点:推动密码与信息化系统和网络融合模式创新
信息技术发展不断推动密码科技创新,云计算推动密码算法设计理论进入全同态时代,物联网催生了轻量级密码的设计与发展,量子计算使得抗量子密码算法设计成为新方向。
密码融合云计算
密码融合云架构核心运算环境,提供通用底层密码服务,解决云资源隔离、虚拟化、多租户、数据存储共享监管等安全问题;;密码融合云终端、身份认证、访问控制,解决云接入安全、通信安全等问题;密码融合云上多元化业务,提供密码中间件服务,并广泛应用于云安全访问代理(CASB),赋能云上应用安全。
密码融合大数据
采用密码技术,加密存储数据库或文件系统,根据业务设定数据访问控制策略,结合用户身份解密和鉴权,防范数据泄露;采用同态加密、多方安全计算、零知识证明等技术,保证数据共享协同中的隐私安全;采用登陆认证、数据脱敏、密文检索等密码机制,保证数据访问安全。
密码融合大数据的技术本质是将基于密码解决的大数据安全问题转化为对密钥管理的安全问题。
密码融合物联网
密码融合物联网保障终端设备安全、数据传输存储使用安全、身份鉴别安全。使用密码可解决物联网感知节点、网关节点等海量设备鉴别安全、通信安全、设备管控安全等;轻量级密码在成本约束前提下,实现对资源受限物联网终端的防护;密码实现物联网终端设备自身敏感数据的安全防护,如控制参数、位置数据;密码签名验证可以实现固件包的合法性验证,避免供应链或网络中间人劫持。
密码融合人工智能
密码能够保障数据在采集、存储、传输、计算、销毁、备份等全生命周期的完整性和保密性,构建可靠的数据收集和使用环境,防止训练数据污染导致的人工智能决策失误;加强身份鉴别和检测,防止运行阶段数据操作异常导致的系统运行错误,防范开源学习框架安全风险导致的人工智能系统数据泄露;能够保证算法模型的机密性,防止模型被攻击窃取进行逆向还原。
密码融合区块链
网络由主体之间的信任,发展为各主体对链的信任和对链上内容的信任,而密码技术是建链的核心技术和基础。
区块链底层使用椭圆曲线、哈希等密码技术,实现分布式对等网络(P2P+密码)机密性、真实性、完整性、不可否认性和可追溯等安全需求。区块链技术发展还推动了环签名、属性签名、零知识证明、多方安全计算等密码技术发展。
密码融合零信任
零信任安全以身份为中心进行动态访问控制,以适应云计算、移动互联网、物联网等新技术带来的网络边界模糊化的问题,同时还能有效防止内网被渗透后的横向攻击。核心技术能力包括身份认证、加密通信、业务安全访问持续自适应风险与信任评估和动态访问控制。
密码融合可信计算
可信计算技术包括可信执行环境的隔离保护、安全存储、安全度量、安全证明和可信交互,其核心功能依托密码技术支撑。可信执行环境的隔离与重构需要基于密码的安全认证和分域加密;安全度量完全依赖杂凑算法和公钥密码实现;代码可信加载和运行保护是签名技术的主战场;计算过程的安全证明基于数字签名的多协作方安全状态可信传递;用户与可信执行环境之间的可信交互通道由密码构建。
密码融合工业互联网
4 密码与信息化深度融合应用与创新发展的基本特征