从新基建安全看高速密码技术应用的发展.docx

《从新基建安全看高速密码技术应用的发展.docx》由会员分享，可在线阅读，更多相关《从新基建安全看高速密码技术应用的发展.docx（14页珍藏版）》请在三一办公上搜索。

1、O引战争的形式不止于兵戎相见这一种。网络空间早已成为大国较量的另一重要战场.2020年3月26日，中国国防部发言人任国强在回应记者提问时表示：“长期以来，美国违反国际法和国际关系基本准则，对外国政府、企业和个人实施大规模、有组织、无差别的网络窃密、监控和攻击，是国际社会公认的惯犯“从维基解密斯诺登事件瑞士加密机事件,到此次的360公司有关报告，事实一再证明，在网络安全问题上，美方是全球最大的窃密者.我们再次强烈敦促美方立即停止对中方进行网络窃密和攻击活动，还中国和世界一个和平、安全、开放、合作的网络空间。”2018年12月，中央经济工作会议在北京举行，重新定义/基础设施建设.2020年3月，中

2、共中央政治局常务委员会召开会议，强调“要加大公共卫生服务、应急物资保障领域投入,加快5G网络、数据中心等新型基础设施建设进度”.2020年5月，2020年国务院政府工作报告提出，重点支持“两新一重”建设。为适应新基建安全需求，建设密码应用支掠体系。本着基础性、系统性、前瞰性的原则，积极发展创新领域的新型密码应用，以适应新基建数字化转型与业务发展的需要.网络空间安全威胁日益严峻2020年3月，中国网络安全公司360宣布,通过该公司旗b360安全大脑”的调查分析，发现美国中央情报局（CIA）的网络攻击组织APT-O39APT.高级长期威胁）”对中国进行了长达11年的网络攻击渗透。在此期间，中国航空

3、航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。2017年，维基解密向全球披露了8716份来自美国中央情报局（QA）网络情报中心的文件，其中包含涉密文件156份，涵盖/CIA黑客部队的攻击手法、目标、工具的技术规范和要求。而这次的公布中，包含了核心忒器文件一一41.Vau1.t7（穹鹿7）44360安全大脑”通过对泄漏的“Vau1.t7（穹集7）”网络武器资料的研窕，并对其深入分析和溯源，发现了与其关联的一系列针对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等长达十一年的定向攻击活动.而这些攻击活动最早可以追溯到2008年，并主要集中在北京、

4、广东、浙江等省市。而上述这些定向攻击活动都归结于一个鲜少被外界曝光的涉美APT组织一“APTC39”-APT-C-390组织在针对中国航空航天与科研机构的攻击中，主要是围绕这些机构的系统开发人员来进行定向打击.而这些开发人力主要从事的是航空信息技术有关服务，如肮班控制系统服务、货运信息服务、结算分箱服务、乘客信息服务等。这项攻击不仅仅是针时中国国内航空航天领域，同时还覆盖百家海外及地区的商营航空公司。根据推测：该组织在过去长达十一年的渗透攻击里，通过攻破或许早已掌握到中国乃至国际航空的精密信息，甚至不排除已实时追踪定位全球的航班实时动态、飞机飞行凯迹、乘客信息、贸易货运等相关情报。2密码打造新

5、基建的安全基石2020年4月20日，国家发改委首次明确了“新基建”的范围，包括信息基础设施、融合基珈设施,创新基础设施-：个方面,新型基础设施是以新发展理念为引领：以技术创新为驱动：以信息网络为基础，面向高质量发展需要，提供数字转型、智能升级、时合创新等服务的基础设施体系。在“新基建”的浪潮下，面对国内外安全环境的深刻变化和日益严峻的安全形势，以及在网络安全领域加快构建自主可控、安全可靠的信息技术体系的战略目标，我们要做的不仅仅是“新基建”的推进和落地，更重要的是如何保赭各类基础设施体系，尤其是关乎国家安全的关篌信息基础设施的高质量建设：如何让新型基础设施运营者理解,重视基珈设施所面临的各种安

6、全威胁.又如何去探索、正视“新基建”环境卜新的安全挑战。这是所有基础设施运营者及相关安全人员必须思考的问题，也是“新基建”而历珏发展的迫切需求“新型基础设施建设，包括5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电枇、大数据中心、人工智能、工业瓦联网等七大领域：新基建场景化的行业应用，主要包括车联网、物联网、企业上云、远程医疗、智慧城市、智段医疗、智然教育、智然交通、智念工厂、料能媒体、智能家居、服务机器人、移动设番/UAV、自动驾驶、新能源汽车、电力等能源行业。2020年，新冠肺炎疫情发生以来，包括人工智能在内的“新基建”按卜.快进描，服务机涔人市场正迎来新的发展机遇.由此可

7、见，新型基础设施以网络和数据为核心，本质上是信息数字化的基础设施。新基建的进程提速，在促进相关产品发展、提升竞争软实力的同时，也为我国网络信息安全带来了全新的挑战.新基建的“主动安全”需求，针对从端到云、从日志到潦量、从设备到系统的数据范畴扩大需求，针对集成情报、文本语义分析、机器学习的智能模型进阶需求，针对本地监测、自定义规则响应、开放生态环境的响应能力升级需求，突出了从事后补救到安全前置，从局部分割到全面防护，从被动安全到主动安全的转变，保障网络空间的安全秩序，是新基建安全有序运转的关键环节，而密码在构建网络空间信任、保障网络空间秩序中提供核心技术和基础支探。密码应用与新基建的深度融合，构

8、筑成数字经济发展的“护城河”和“城墙”，使新基建具有“主动免疫力”，支撑国家经济增长。密码与新基建的融合逻辑关系，如图1所示。数字基建行业基密码基础设施密码应用是支痔新基建内生安全榷架的石waswi讥阳戾行H空。调7!N*T炳七为核心的新翦i出设施/IDC图1密码与新基建的逻辑关系综上，新基建的密码应用业务发展领域，戊点宜突出在与基础设施的融合、与行业应用的淞介这两个方面，真正落实到“生动发现、智能分析、提前预警、及时响应”的能力要求上，把密码打造成新基建的安全基石。密码与新基建的深度融合密码应用是数据安全从封闭走向共享开放的关键。数据是数字经济的核心资产，随者我国数据安全法草案的公布，全面的

9、数据安全保障能力是新一代网络安全框架不可缺少的组成部分。在大数据安全防护和共享开放方面，密码技术起到关键作用.主要包括：数据加密传输,如VPN网关、应用层数据传输加密网关：数据存储加密，如数据库加密、文件加密：大数据密态分析，如关键字段加密、同态加密；数据共享与交换，如区块链.多方计算等。密码应用是SG通信与IT网络安全融合的关键,SG网络运行在IT化的基岫设施上，需要密码技术保障基础设施软硬件平台的安全可信以及虚拟机与容器的可信：面向行业的业务应用，也需耍基于密码技术实现对数据和平台访问的持续认证，实现对访问行为的细粒度管控。密吗应用打破工业互联网信息孤岛，实现远程安全协同。密码技术的应用可

10、以有效的实现工业现场环境、低功耗模式等工业系统湍级别设备与访问用户身份认证，系统中不同网络速率和连接要求的通信网络的传输认证和传输加密，关键工艺参数等敏感数据的存储安全需求：在横向隔离的工业网络中，基丁密码技术支撑实现安全的远程接入，包括终端接入、运维接入等，打破信息孤岛，次现远程协同的业务需要，推动工业互联网信息交换密码应用促进新一代云基础设施安全框架的整合0在云安全方面，面向云的密码服务是一种新的安全功能交付模式，是云计和技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合.如何实现密码能力的虚拟化、资源化、服务化成为常码发展的重要挑战。在新一代网络安全框架中，整合了面向政务云

11、、行业云及公有云的密码产品、密码使用策略、密码服务接口和服务流程，作为云基础结构安全的重要组件，密钥管理系统、密码服务系统、密码设备管理系统将实现统一安全服务“为了适应新基建安全需求，需要建设密码应用支撵体系（如图2所示），构建涵盖硬件设备、软件模块、密码系统、密码应用、密码支撑、密码测评、应用创新等领域的密码应用技术体系，积极发展创新领域的新型密码应用，适应新基建数字化转型与业务发展的需要。雷码应用支撑体系图2新基建的密码应用支拄体系超高速密码，全力为新基建护航密码在新基建的融合应用，急需超高速密码技术的支撑.针对5G应用、智念城市等超大数据流量、超大用户数量等复杂安全应用场景，需要提供超高

12、性能的加密速度，能满足运营商级别的网络数据加密传输,超大容量数据安全存储,超大规模A1.大数据安全计算。超高速物码技术产品，应能通过向核心网络设备提供多线程的异步高速密码运算服务,保证敏感数据的机密性、完整性和抗抵赖性:采用国家密码标准SM2、SM3、SM4算法，满足等级保护、密码应用测评的相关要求；产品设计符合国密局发布的密码模块安全技术要求等技术要求与规范。结合密码在智能网联汽车综合业务中的应用场景，智能网联汽车系统在日常运行和管理过程中，在用户身份鉴别、设备身份鉴别、重要数据（访问控制信息、日志记录、车辆采集和控制信息等）的保密性和完整性保护方面，都需要采用密码技术，重点在于解决人、车、

13、云三者之间的通信如何防止信息泄露、煞改等安全问题，更突出的是解决海量用户、车辆信息在云端快速处理的问题.急需超高速密码技术产品。结合密码在物联网中的应用场景，重点保护的是对分散设备信息进行自动采集、数据管理,异常数据分析以及参数和控制指令下发的信息系统.为防范系统经过网络信道执行数据采集、参数和控制指令卜发操作时，通信双方非授权主体的假冒，关键信息被截获、算改、重用等风险,在主站和采集设备之间的身份鉴别，以及系统重要数据在传输和存储过程均需要使用密码进行保定性和完推性保护。由丁物联网、工业物联网的数据量巨大、响应效率要求高，急需超1.速密码技术产品，尤其是5G-1.ot应用场景。5超i速密码技

14、术创新的探索2010年以来，国际上为了超大数据中心、电信级网络干线的信息安全，不断发展i速密码技术，相对来说，我国起步稍晚.比如AES-XTS分组算法作业方式在加物存储方向国际上已应用了多年，而我国今年新修订的分组密码作业方式SM4-XTS才刚刚写入国家标准“近年来，国内商密行业在离速密码技术上纷纷加大研究投入，逐渐形成了高速密码芯片（硬件逻辑电路设计、专用密码芯片、通用密码芯片）、高速密码模块（集成式密码模组、通用型密码模组）、高性能密码整机（CPU专用指令架构、GPU指令加速架构）等方向的高速密码生态圈。北京数盾信息科技有限公司专注国产密码技术研究、密码信息安全产品研发和信息安全整体解决方

15、案，是首批获得国家密码管理局认定的商用密码资质的雎位。拥有雄厚的密码技术研发实力和顶尖的专家团队，获得双高、双软企业认证，拥有完全自主的知识产权，取得了10款商用密码产品证书、12项专利技术、40项商标、34项软件著作权.数盾科技与国内知名高校、科研机构及行业领军企业联合成立10个研究院和实验室，建立了加密技术和信息安全领域产、学、研一体的研发与创新体系.形成数据加密，国产自主可控，安全平台等完整的产品体系。数盾科技一直致力于高速密码技术的研究与运用，借鉴国际上对高性能计算平台的架构设计思想,计竟单元CPU多核多线程并行的理念，刻标最前沿的密码模组技术架构，创新形成了自主知识产权、具有国际先进

16、水平的高速密码技术,特别在离速密码硬件逻辑电路设计、超高速密码模组研制上，取得/重大技术成果。2016年，数盾科技与华为就高速加物交换机的研制生产签署合作框架协议，于2017年交付华为加密交换机专用的19.6GbPS网络加密交换板（如图3所示），从当时的国福局官网信息、网络资料对比看，遥遥领先当时国内外商密行业同类产品的最高加密性能2Gbps约十倍多图3网络加密交换板/华为加密交换机2018年，数盾科技与新华；.就高速加密路由器的研制生产签署合作框架协议，于2019年联调、迭代，2020年1月完成实测50GbPS的双通道高速加密模组（如图4所示），以国密局官网信息、网络资料对比看，遥遥领先国内

17、外商密行业同类产品的域高加密性能7Gbps（极限加解密速率）约七倍多。2020年4月由新华：完成加密路由器的第一批次整机试生产，了2020年9月就得双通道高速加密模组密码模块的产品认证证书（如图5所示）。图I双通道而速加密模址/新华二路由器图5双通道高速加密模组的产品认证证的双通道高速加密模组的硬件部分主要由FPGA、密管处理器、算法协处理器、SRAM、F1.ASH、噪声源等组成，外带智能密码钥匙参与密钥管理：软件部分，由应用接口API模块、协议接口模块、加密模组驱动模块、加密模组设备端主控固件等组成：采用自主设计的单板双路并行架构（相当于高端服务器的双CPU架构）,每路均使用独立、高性能的F

18、PGA集成芯片（能实现比ASIC更高的性能），在每个FPGA中进一步采用自主开发、优化架构的多路由、1并发的电路设计,单个FPGA的最新实现版本共有2个双通道切换路由内核、32个SM4密码算法计算内核（相当于单CPU中的32个核）、32个SM3密码算法计算内核。关键技术点有三：一是国密鸵法SM3、SM4的硬件电路IP核的优化（流水、性能、面积），二是FPGA内密码算法的高并发调度电路（切换路由内核），三是单板双路并行架构的设计与硬件兼容性。为了能够发挥FPGA芯片的计算性能，接口采用了异步的设计思想，用户可以不断向加密模组发送加解密指令或者杂凑指令，不需要等运算结束再进行下次操作，这样可以最大

19、化利用加密模组内部的算法核心，使所有制法核心可以同时满负荷工作，从而达到较嬴的加解密性能,每个算法核心处理一个算法请求（SM4加解密或者SM3杂凑），未对算法请求进行拆分处理。每次调用接口会生成一个运算请求放入任务队列中，当邪动程序的发送线程检测到任务队列中有运算请求时，会根据不同的运算类型组织数据格式，并找到当前相对比较空闲的算法核，将其编号写入协议头中，然后驱动会启动DMA,将数据发送到FPGA芯片中进行处理“FPGA芯片接收到数据之后会对协议头进行解析，根据不同的算法标识和算法核编号，将对应的数据送到指定的算法核中进行运钵.当FPGA芯片完成相应的运算之后，会启动DMA将运算结果返同驱动

20、程序。即动程序的接收线程会不断轮询DMA完成标志，如果DMA标志置位表示有FPGA发送给驱动的数据，驱动程序接收FPGA传递回来的运算结果拷贝到用户指定的内存区域，然后通知用户。兴动程序内部实现了负载均衡算法，可以保证每个算法核上运行的任务数量大致相同，从而保证性能最大化.双通道高速加密模组的并对称密码性能分析：高速加密模组的SM2加解密功能由主控MCU和SSX1303椭园曲线密码彝法协处理器共同完成，SSX1303椭圆曲线密码算法协处理器提供椭圆曲线运和功能和SM3运和功能,其他运匏过程由主控MCU完成。双通道高速加密模组的对称密码性能分析：当进行SM3或SM4算法速率测试时，测试程序会循环

21、调用SD-EncryptBD-Decrypt或者SDJaSh接口50万次，每次的运算的数据长度为1472字节，在调用接口之前记录开始时间，在所有运算都结束的时候记录结束时间，然后根据总数据量和总处理时间计算出速率。件配Mms三tit于UHM由SS5m*2丽MimPC1.f3.OttACR颦号*or0-11Xv5SV34GMzSItaeGHi)AKR68,策岑2B3Mrn2*克牧堡ASUSP1C6-E/41t*tJoS651为咳26327542tMa;霸区以停矍*也表个:MA3*冗会一个歧WI-个充思嫉IrFMttW三nRftff*%e*Xi!on左境&田总收笈出之,育反方HM力7R9逑7不妥攵

22、宏，IhtZJfSJt!逢归Ki育队钟第S修W三Mtt灯导，,仗然景K“际式4U0W由今收黄内存Q只a不做内祥於反2S6Mob2SiT6MoeXiS不做由*牌贝24tte2S1MM25X3MM6MpbW197Msbt我不内存货只3S9WMM33MM369UMC436464Moe35632MDbSXift不做内刀馀典AB64MM松SOMM5C2M0UO236MDb5OJ7J*b图6极限速率测试结果从双通道高速加密模组的极限速率测试结果（如图6所示）中可以看出，单FPGA工作时，极限加解密速率稳定在25GbPS左右，增加内存拷贝或减少内存拷贝对性能影响不大：双FPGA并行工作时，增加一次发送内存拷

23、贝后性能从50Gbps卜降到36Gbps左右，说明双FPGA并行工作时，测试主板的总线竞争（含内存访问）己经成为性能的制约，该性能制约是主机造成的.6结论从9月13日的新闻断供倒计时，华为或包机从台湾运回所有觎较芯片！”，我们需要认识到，占领更高端的技术高地已是刻不容缓。现如今，密码已成为保障网络安全的核心技术和基础支撑，采用密码技术保护网络和信息安全，构建以密码为基石的网络安全与信任体系，维护网络安全新秩序已成为社会共识。网络空间安全离不开密码，新基建的安全更离不开超高速密码技术、产品的支撞.伴随着“新基建”的不断深化，需要重点保障的基础设施将大规模增加，网络安全问题、数据安全问题、生产安全问题以及芯片安全问题将持续成为国家和相关运营者必须关注的重点.因此，在推动“新基建”的同时，构建以密码为基础支探的“新基建”可信基行至关重要，迫在眉睫。作为国家商业密码行业的一员，让我们携起手来,通过战略布局、技术创新、人才培育，共同打造超高速密码生态圈，为新基建安全服务，为网络空间安全服务，为国家安全服务!