2024年4月19日发(作者：)

I

互联网+安全

nternet Security

云环境下基于国密算法的

密码服务平台建设思路探讨

文|黄昌熙 郑志永 孙雪冬 严志讯

摘要：数字化转型不断提速，企业信息系统加快迁移上云以节约资源和成本，云化环境更加复杂，云平台和信息系统

面临非授权访问、重要数据被窃取和篡改的风险，安全形势严峻。随着国产密码算法的推广，使用国产密码技术保护

云平台和信息系统安全是重要的防护手段，本文分析国产密码应用需求，提出云环境下基于国密算法的密码服务平台

建设思路，通过调用密码服务，有效保障业务安全运行。

关键词：云计算；国密算法；云密码服务中间件；服务调用

一、引言

随着云计算、大数据、人工智能技术的蓬勃发展，

企业逐步由传统模式转向采用信息技术提高生产和管

理效率，核心系统加快云上部署，云环境的安全变得

愈发重要，非法访问、数据泄密的风险日益增加，云

平台和云上信息系统面临着巨大的安全风险。商用密

码技术是保障企业信息系统安全的重要支撑手段，密

码技术在身份认证、信息传输、数据存储等方面有着

广泛的使用场景。近年，我国在大力推进国产密码算

法应用，以摆脱对国外密码技术的依赖。

二、国密算法与国外密码算法对比

国密算法是指由国家密码管理局认定和发布的

国产密码算法，已发布的商用国密算法包括椭圆曲线

公钥密码算法SM2、密码杂凑算法SM3、分组密码算

法SM4等

[1]

。密码应用安全的核心是密码算法，在未

使用国密算法前，信息领域常用的国外密码算法包括

公钥密码算法RSA、密码散列算法（密码杂凑算法）

SHA-256、分组密码算法AES等，通过对比分析，国

密算法在一些方面性能优于国外密码算法。常用国密

算法与国外密码算法对比如表1所示。

三、云环境下国产密码应用需求

在云计算环境下，租户的信息系统部署在虚拟

化的云资源池上，资源共享共用，通过虚拟化隔离、

序号

1

2

3

算法类型

公钥密码算法

密码杂凑算法

分组密码算法

国密算法国外算法

SM2

SM3

SM4

RSA

SHA-256

AES

VLAN网络划分、安全组隔离等手段进行安全隔离。

由于云环境下信息系统的多样性和复杂性，除了使用

传统的网络安全防护手段外，还需要使用国产密码技

术保障云平台和信息系统安全。

（一）物理和环境安全

数据中心机房电子门禁系统需要对访问人员进行

身份鉴别，对访问人员分发使用SM4算法的密钥门禁

卡，在人员访问时使用SM4算法进行身份鉴别，使用

HMAC-SM3技术保护电子门禁系统进出记录和视频记

录数据。

（二）网络和通信安全

终端通过SSL VPN网关安全接入云计算环境，

SSL VPN需要支持国密算法，在登录VPN认证过程中

采用国密算法的数字证书USBKEY配合商密安全浏览

器构建虚拟专用通道，保证网络和通信过程安全。

（三）设备和计算安全

在远程管理云平台设备或信息系统时，需要接入

统一身份认证系统，防止非授权人员登录和身份鉴别

信息被非法窃取。云上的重要程序或文件在生成时，

使用SM2数字签名技术进行完整性保护，读取程序和

文件时进行验签，使用HMAC-SM3算法保护设备日志、

资源访问控制信息。

（四）应用和数据安全

表1 常用国密算法与国外密码算法对比

说明

SM2密钥生成速度和加解密速度快于RSA，256位的SM2密码强度高于2048位RSA

[2]

SM3算法与SHA-256算法性能相近

[3]

，SM3算法的设计更加复杂

都具有较强的加密强度，SM4算法安全性强、效率高且易于硬件实现

[4]

黄昌熙（1983.12-），男，汉族，广东阳春，本科，工程师，研究方向：网络安全、信息系统；

郑志永（1985.02-），男，汉族，浙江乐清，本科，工程师，研究方向：传输接入、信息系统；

孙雪冬（1994.11-），男，汉族，内蒙古赤峰，本科，研究方向：网络安全、信息系统；

严志讯（1993.06-），男，汉族，浙江温州，硕士研究生，工程师，研究方向：信息系统。

110

I

互联网+安全

nternet Security

图1 云环境下密码服务平台架构

为了保护核心应用和数据安全，通过调用密码服

务平台签名验签能力，使用基于SM2算法的数字签名

技术对用户访问控制列表进行完整性保护，并在用户

每次登录或权限改变时对签名值进行验证。云平台和

信息系统的敏感数据、鉴别信息和用户信息

釆

用SM4

和HMAC-SM3算法对关键数据进行安全保护。

（五）管理和运行安全

建立国产密码应用安全管理制度，包括密码人员

管理、密钥管理、建设运行管理、应急处置等。建立

标准化操作规程，各类操作过程记录保存完整。设置

密钥管理员、密码安全审计员、密码操作员等关键安

全岗位，按照制度规定定期开展人员考核，加强密钥

产生、分发、存储和使用等环节的管理，定期开展密

码应用安全性评估和应急演练。

四、密码服务平台建设思路

（一）密码服务平台架构设计

密码服务平台总体架构由云环境密码服务平台和

国产密码应用两部分组成。密码服务平台提供国产密

码服务，底层是密码支撑系统，包括云服务器密码机

组成的密码资源池，以及统一身份认证系统、数据存

储保护系统、密码管理系统等软硬件。密码服务系统

是将密码支撑基础资源进行能力封装，以服务的形式

统一对外提供服务。在云计算环境下，国产密码应用

包括了终端、网络接入、云平台及云上信息系统、云

管理的安全密码应用。云环境下密码服务平台架构如

图1所示。

（一）云环境下密码服务和管理方案

云计算环境下，云平台自身的密码应用需要云管

理平台支持国密算法，再调用密码服务平台的能力实

现云平台的国密安全保护。云上信息系统在国密改造

后，与密码服务平台通过标准接口对接，实现业务的

安全保护。云环境下密码服务平台主要包括密码支撑

系统、密码服务系统和密码服务平台管理。

1.密码支撑系统。密码支撑系统是密码服务平台

的基础软硬件支撑，主要的支撑软硬件包括云服务器

密码机、统一身份认证系统、数据存储保护系统和密

钥管理系统等。

云服务器密码机：使用虚拟化技术，一台云服务

器密码机能够按照实际业务需要生成多台虚拟密码机

（VSM），多台VSM 组成集群，每台VSM均具有普

通密码机设备的密码计算能力，各VSM之间实现安全

隔离。多台云服务器密码机组成云密码计算资源池，

依托于云服务器密码机弹性伸缩的服务能力，云密码

计算资源池可以最大限度利用密码硬件资源，提升设

备利用效率。

统一身份认证系统：统一身份认证系统依托电子

认证基础设施，提供统一的身份管理、身份认证、单

点登录和行为审计等服务，确保云上用户身份的真实

可靠。电子认证基础设施是以国产密码技术为基础，

为云上的用户签发数字证书USBKEY身份标识设备，

用户需要通过USBKEY完成身份鉴别后才能接入云平

台和访问业务应用。

数据存储保护系统：数据存储保护包括了数据库

加密和文件加密安全保护。数据库加密保护实现数据

库中的敏感数据加密存储、应用访问安全、安全审计

等功能，有效防止明文存储引起的数据泄密，防止绕

开应用系统直接访问数据库。用户可以选择敏感数据

进行加密以提高数据库存储访问速度，兼顾了数据库

的运行效率和数据的安全保护。文件加密保护是调用

密码服务平台能力对各类重要的文件，赋予用户不同

111

I

互联网+安全

nternet Security

务情况、资产情况和风险情况等，

有效支撑管理人员分析决策。

（二）密码应用场景和服务

能力调用

密码服务平台提供统一的密

码服务接口，业务接入密码服务

平台有两种方式，一是信息系统

直接调用密码服务平台Restful

API接口，二是信息系统集成密

码服务SDK，调用云密码服务中

间件的标准接口使用密码服务，

相比较而言第二种方式更便捷。

常用的密码应用场景包括用户身份认证、数据传输保

护、存储安全加密等。

1.用户身份认证。身份认证过程中需要调用密码

服务平台能力，用户发起登录云上信息系统的请求，

信息系统将登录请求提交密码服务平台，平台请求用

户身份认证，认证用户身份合法后，用户可以正常访

问业务。用户身份认证流程如图2所示。

2.数据传输保护。利用密码服务平台的数据加解

密、签名验签服务能力，保证重要数据传输的机密性、

完整性和不可否认性，如两个用户之间发送即时消息，

在消息发送端使用加密密钥进行消息加密后再传输，

在接收端使用解密密钥进行消息解密。

3.存储安全加密。对于云上敏感数据需要进行加

密存储，保证数据安全，如对文件加密，通过调用密

码服务平台的加解密服务，使用SM4算法对文件进行

对称加密后存储。

五、结束语

数字时代信息系统加速云化部署，传统的安全防

护手段不足以应对云环境复杂的非授权访问、数据窃

取和篡改等行为，国产密码技术可以有效保护云平台

和信息系统安全，在云环境下建设基于国密算法的密

码服务平台，云平台和信息系统通过调用密码服务能

力，利用密码技术进行数据保护，大幅降低安全风险。

密码服务和密码应用离不开安全管理，需要健全密码

管理制度，在密钥管理、日常操作、应急处置等方面

建立标准化流程，定期开展密码应用安全行评估和应

急演练，保障业务安全稳定，支撑企业数字转型发展。

作者单位：黄昌熙 郑志永 孙雪冬 严志讯 华信

咨询设计研究院有限公司

图2 用户身份认证流程

的权限，用户在访问加密文档时需要接入密码服务平

台进行认证，具备相应的权限才能正常查阅。

密钥管理系统：密钥管理在密码服务中起着十分

重要的作用，密钥管理不当将会导致云平台和信息系

统失去密码保护。密钥管理包括对称和非对称密钥的

全生命周期管理

[5]

，如密钥产生、分发、更新、撤消、

恢复、归档等，密码设备或密码模块为云平台和应用

系统生成密钥，密钥生成后在管理过程中需要采用身

份鉴别、数据机密性、完整性安全保护，确保密钥全

生命周期安全管理。

其他软硬件支撑：主要包括签名验签服务器、时

间戳服务器、电子签章系统等，实现用户电子签名及

验证、有效时间戳、电子签章等应用服务。

2.密码服务系统。密码服务系统将密码支撑系统

提供的密码能力进行服务封装，向云平台和信息系统

提供密码计算服务、身份认证服务、密钥管理服务、

签名验签服务、证书管理服务、数据加密服务和时间

戳服务等。密码服务系统包含云密码服务中间件，将

API接口封装成支持多平台和语言的SDK套件，提供

统一的密码服务调用接口，简化了云上业务应用的开

发对接。

3.密码服务平台管理。实现对密码设备管理、密

码服务管理，对云服务器密码机接入和使用进行管控，

检测密码算法合规性和有效性，监控设备服务状态，

管理密码服务申请、分配和使用、安全回收等。使用

Restful API和Syslog方式采集密码服务平台的日志信

息、业务执行信息、资源使用信息和性能信息等，进

行数据清洗、数据转换、数据归并

[6]

，将格式化的数

据通过数据关联分析技术，生成对应规则下的告警数

据。可视化展示的内容包括设平台整体运行情况、服

参 考 文 献

[1]翁健 , 黄欣沂 , 何德彪 . 国产商用公钥密码专栏序言(中英文)[J] . 密码学报 ,2021,8(4):680-683.

[2]唐圣宇 , 曾水生 , 赵梦 ,等. 浅析对比国内外密码学算法 [J]. 信息通信 ,2020(2): 68-69.

[3]胡景秀 , 杨阳 , 熊璐 , 等 . 国密算法分析与软件性能研究 [J]. 信息网络安全 ,2021,21(10):8-16.

[4]何诗洋 , 李晖 , 李凤华 . SM4算法的FPGA优化实现方法 [J]. 西安电子科技大学学报 ,2021,48(3):155-162.

[5]刘磊 . 信息安全等级保护中的商用密码技术综述 [J] . 网络安全技术与应用 ,2016(6):49.

[6]王瑛 , 张文科 , 罗影 , 等. 加密流量检测与态势预警平台研究 [J]. 信息安全与通信保密 ,2020(2):98-105.

112