我们的技术圈 ,关注商业科技,国内创新技术交流与转化的平台
×

  会员登录

现在注册

第三方登录
                         
悦智网 > 成果展示 > 成果报道 >
基于国产密码,打造移动互联网密码服务
电子信息
2018-03-12 13:14
作者  林璟锵 郑昉昱 刘宗斌


QQ图片.jpg

━━ ━━ 

近年来,随着移动互联网的蓬勃发展,移动终端已成为企业开展网络业务、个人进行网络交流的主要载体,但移动终端由于自身安全防护的局限性,存在着不同程度的安全隐患,成为了移动互联网继续良性健康发展的掣肘。同时,相较于移动互联网的迅猛发展,与之配套的网络空间安全基础设施明显滞后,特别是作为网络空间安全核心支撑的密码服务支撑基础设施。因此,迫切需要进行移动互联网密码服务支撑基础设施的建设,为各类移动业务提供多级安全、部署灵活、方便易用的密码服务,实现对移动互联网网络空间的全面安全支撑。

目前来看,移动互联网密码服务支撑基础设施的建设存在几个突出问题。从作为安全核心的密码算法来看,目前在移动互联网内仍由国外密码算法占据着统治地位,密码算法国产自主化进程滞后;从具体密码服务部署和实施过程来看,由于受到移动终端资源、能源的限制,无法简单复用非移动终端相对成熟的已有密码技术;同时,移动终端软件生态环境恶劣,恶意软件遍布,软件生态的信任体系尚不健全,缺乏一体化的生态架构对软件的来源、版权、安全进行有效保障。

移动互联网密码服务支撑基础设施体系架构.jpg

“十三五”国家重点研发计划“网络空间安全”重点专项项目“基于国产密码算法的移动互联网密码服务支撑基础设施关键技术”旨在解决这些突出问题。该项目由中国科学院数据与通信保护研究教育中心牵头,联合北京数字认证股份有限公司、普华诚信信息技术有限公司、中国移动杭州研究院、卫士通信息产业股份有限公司等行业内科研实力领先的单位进行技术攻关。

━━ ━━ 

项目本着“服务架构先行,围绕核心数据,突出重点服务,开展典型应用”的研究思路,将国产密码算法有机整合到移动互联网中,构建融合移动互联网密钥管理与服务、移动终端密码计算、电子认证服务、密码云服务、终端软件生态体系安全等关键技术的密码服务支撑基础设施,面向亿级用户,服务于移动互联网产业发展和移动互联网网络空间安全建设。

移动互联网密码服务支撑基础设施

体系架构和密钥管理技术研究

设计科学的移动互联网密码服务支撑基础设施服务模型和体系架构,确立项目整体的设计和实现原则,即兼顾用户使用的便捷性和技术部署的灵活性,为各类移动互联网业务提供多级的、适度安全的、全面的密码服务,为其他各个项目提供理论支持,指导其他各个研究任务的设计和实施。

面向密钥在网络密钥管理系统的各个环节的安全问题,设计云/端协同的密钥管理与服务方案,在网络、终端不可信的环境下,保证密钥的全生命周期可证安全;采用分级思想,为不同环境下的移动终端提供多级安全的密钥管理方案。

面向密钥在安全防护、软硬件密码资源受限的移动终端上的管理和计算问题,设计密码模块、硬件特性、门限拆分算法等多层次防御结合的密钥安全防护体系,确保密钥在满足业务安全需求条件下的可证、适度安全;为不同软硬件密码资源的移动终端设计实现统一的密码计算软件栈框架,并且支持关键硬件资源和敏感数据的细粒度访问控制。

移动互联网电子认证服务技术研究

改变传统以人的身份作为证书签发的主体,结合行为发生时的实体、手写签名、环境等因子进行固化,形成一次性事件型证书凭证,实现基于行为的证书签发;依托云/端协作密码计算技术,在移动终端丢失和其他高风险的情况下,实施零延迟证书撤销,从源头上改变传统证书撤销存在延迟的问题。

改变传统数字证书一次颁发长期使用的静态部署方式,运用机器学习等方法动态构建风险识别模型,配合云/端协作密码计算技术,实施分等级的、受控的数字证书凭证使用服务,从根本上避免不安全的证书使用。

面向亿级规模终端的统一身份鉴别服务,基于国产密码算法,研究不同安全域身份凭证的兼容技术,构建多种鉴别协议连通总线,将移动终端作为统一身份安全凭证,实现与国际主流认证标准的兼容与互操作。

移动互联网密码云服务技术研究

在密码云服务底层架构上,一方面,将图形处理器(GPU)、Xeon Phi等高性能计算部件用于密码计算领域,为上层应用提供高性能密码计算;另一方面,通过密码设备虚拟化、应用虚拟化,为租户分配独立的密码设备,创建独立、可配置的密码云服务应用,实现租户密码资源的安全隔离、灵活分配。

在服务框架层面上,实现租户密码资源的可控使用和安全代管代理,由云端验证移动业务系统的安全性,并代理存储和使用租户的密码资源和敏感信息完成与移动业务系统的交互,在不降低安全性的前提下,高效地将存储、计算和通信负载迁移至云端。

就具体密码云服务而言,完成以下任务:结合高性能国产密码计算技术,参考国家密码行业相关标准,研制高性能时间戳和代理验证云服务原型系统;研制高性能高安全噪声源,搭建真随机数云服务原型系统;针对移动终端的特性进行算法适配,提升重加密的计算效率,完成高性能的代理加解密云服务原型系统。

移动终端软件生态体系安全技术研究

在总体的移动终端软件生态安全架构构建上,依托第三方可信CA对软件开发商进行身份认证,依托独立的版权服务机构实现软件代码在线确权和版权信息登记,依托应用市场实现软件安全验证,实现多链信任融合、一体化的移动终端软件生态体系架构。

特别地,针对移动终端软件的版权保护,基于数字版权唯一标识符技术,为软件配发唯一的身份标识,并植入加载至软件内部,实现软件版权信息与软件紧密绑定以及软件代码的在线确权,建立版权、安全相结合的移动终端软件版权保护体系。

在移动终端上,基于国产密码算法完成软件管理密码支撑技术,对预置在移动终端的根证书列表实现内核级的高安全访问控制,防止根证书被篡改;在移动终端开发生态信任链的全面安全验证工具,终端在应用安装时可获得可靠的开发商信息、版权信息和安全检测信息。

移动互联网密码服务示范应用

设计新型移动支付环境下密码服务解决方案,在移动智能终端的支付交易全链路加载基于国产密码算法的数字证书体系,依托密码服务支撑基础设施,构建包含移动终端、支付平台和支付链路的安全可信移动支付示范应用。

围绕保护企业敏感数据,构建包括企业移动终端密码管理与认证系统等在内的企业移动管理平台,完成移动终端管控策略与密钥保障体系的深度结合,为各类企业应用提供身份认证、终端及系统可信验证、网络安全接入、企业应用安全隔离和数据泄露防护等在内的全方位管控服务。

为保险业务受理双方提供面向移动终端的可证行为、时鉴时签的基于行为的一次性事件型证书的签发和应用服务,实现手写数字签名和电子签章技术,满足可靠的电子签名的要求,构建在线实时的保险人手写证书签名应用平台。

━━ ━━ 

项目基于国产密码算法,研究移动互联网密码服务支撑基础设施的服务模型和体系架构,以及电子认证、密码服务云、移动终端软件生态体系等基础设施重点服务,形成完整的产品链,为亿级移动终端提供密码服务支撑,形成五大原型系统,研制8款通过国家密码主管部门认证的移动互联网相关密码设备,将项目中涉及的关键技术形成30项专利,并完成8项国家或行业标准,为后续成果转换、应用推广以及移动互联网密码服务支撑基础设施规范建设提供有力支撑。

未来,项目还将面向新型移动支付、企业移动终端安全管控、保险移动展业等主流业务需求,利用移动互联网密码服务支撑基础设施解决实际业务系统中的具体问题,并解决关键技术在实际系统中的部署问题。项目预计为移动支付、企业移动终端安全管控、保险移动展业各类示范应用中的用户发放超过2亿张数字证书。 

致谢:感谢“十三五”国家重点研发计划“网络空间安全”重点专项项目“基于国产密码算法的移动互联网密码服务支撑基础设施关键技术”(项目编号:2017YFB0802100)的支持。 

作者:林璟锵、郑昉昱、刘宗斌(林璟锵,研究员,中国科学院数据与通信保护研究教育中心。郑昉昱,助理研究员,中国科学院数据与通信保护研究教育中心。刘宗斌,高级工程师,中国科学院数据与通信保护研究教育中心。)

0
分享
   相关成果报告
    友情链接申请链接    
科技纵览官网      阿里云      悦智官网      百度      360      腾讯      网易      凤凰网      新浪网      搜狐网      IEEE     
京ICP备15039501号-1

京公网安备 11010102002341号

本站由 提供计算与安全服务
关于
关于我们
商务合作
联系我们
订阅
RSS订阅
邮箱订阅
线下活动订阅

Copyright © 悦智网