基于密码协处理器的密码应用架构设计.pdf

1、责任编辑赵志远InformationSecurity信息安全基于密码协处理器的密码应用架构设计上海市公安局科技处苏嘉珺编者按：基于密码协处理器，设计了一种新的密码应用架构，更安全、更有效地提供密码服务和管理密钥。密码技术作为网络与信息安全保障的核心技术和基础支撑，在身份鉴别、信息加密、安全隔离、完整性保护和操作抗抵赖等方面发挥着不可替代的作用。传统密码应用依赖专用设备（服务器密码机、签名验签服务等）满足安全和性能需求，但在大规模密码计算场景下，其性能和成本可能限制业务发展。因此，许多应用开始转向具有更高集成度、更强安全性与灵活性的密码协处理器。密码协处理器是专为密码学运算（如加密、解密、签名和

2、验证等）而设计的安全硬件，可有效存储和管理密钥，提供高效密码计算，防止敏感信息的非授权访问。密码协处理器在密码应用中的优势与问题密码协处理器与主处理器紧密集成，可以降低传输延迟，提高性能，更有效地保护密钥和敏感数据。尽管初始投资可能较高，但高性能和低延迟特点可使单位处理成本下降，投资更优化。密码协处理器的紧设计更节约机房空间，优化空间利用。尽管密码协处理器在性能和安全方面表现优良，但在密钥管理和部署上仍存在问题。主要问题包括密钥轮换的安全性挑战，硬件故障可能引发的密钥丢失，分布式环境下密钥的安全分发和同步问题，以及大规模环境下管理和维护密钥及设备的复杂性。基于密码协处理器的密码应用架构设计1.

3、框架设计本文设计基于安全处理器的密码服务应用模式，利用密码协处理器构建的安全执行环境，实现与操作系统无关的、面向应用系统的密码应用架构。如图1所示，框架由密码应用管理系统、密码套件、主机安全套件等组成，密码服务需依赖外部基础密码支撑，密码服务管理数据可上报至运行监控平台。整套设计依赖可信执行环境和密码协处理器，形成可信的密码服务架构。密码协处理器以固件形式提供密码的安全计算，与CPU核心完全分开，实现与系统计算环境的隔离；基于密码协处理器实现密钥管理模块，为服务器提供基于密钥的加密计算能力和安全密钥存储服务。服务器在拥有密码协处理器之后，可以具备密码计算的本地化的能力，减少网络开销。各组成模块

4、简述如下。投稿信箱2023.10145InformationSecurity信息安全责任编辑赵志远（1）服务器密码应用管理系统。该子系统是一套用于提高安全性和效率的统一管理平台，统一负责配置和调度服务器中的密码协处理器，配置密钥管理和密码套件，以满足各类安全需求。统一的配置和管理能够确保服务器中的所有密码协处理器都按同一标准和策略进行操作，从而提高安全性和一致性。服务器密码应用管理系统还可以统一配置和管理应用资源和身份基准值，以控制对协处理器资源的访问和使用。系统向合规证书与密钥服务获取证书密钥，保障对称与非对称密钥安全。服务器密码应用管理系统还负责向监管系统上报密码运行日志，实施安全审计和合

5、规性检查。这些功能确保了系统安全性和透明性，及时发现和处理安全事件。（2）密码套件。密码套件与服务器的密码应用管理系统对接，接受统一管理并上报管理数据。所有密码协处理器和服务可以在统一的平台上进行管理和监控，大大提高了管理效率和系统可视性。此外，密码套件还可以接受远程密钥调度，负责管理本地密码协处理器密钥的安全存储。这为密钥的管理、更新、备份和恢复提供了一个安全且可控的环境，从而确保了系统的整体安全性。（3）主机安全套件。在应用系统和操作系统防护方面，可以采用诸如堡垒锁、微隔大数据监控平台监管数据离等技术进行加固。堡垒锁可以在应用服务器密码应用管理系统上报系统或操作系统的关键部分提供额外保密钥

6、管理系统密钥获取护，防止恶意软件或攻击者入侵。微隔离技术通过将系统各个部分隔离开来，确保即使一个部分受到攻击，其他部分仍能保持安全，防止攻击范围扩大，提高系统的整体安全性。服务密码应用管理系统基础密码应用管理密码支择密钥管理协处理器管理身份管理密钥调用管理套件身份管理密码应用日应用合规协处理器调用协处理器状态密码服务接入健康状态管理证书管理系统应用系统服务器密码套件安全管理组件服务组件服务器典型德码服务安全告密钥管理系统码协处理器图1基于密码协处理器的密码应用框架2.逻辑框架框架涉及各系统逻辑关系如图2 所示。（1）密码应用管理系统。密码套件从密码应用管理系统拉取管理指令，获取下发的应用密钥；

7、密码应用管理系统从密码套件接收上报的密码运行数据，鉴定安全报告。密码应用管理系统作为服务器的统一对外窗口，为各类应用从密钥管理系统获取应用密钥，从证书管理系统申请各类证书，通过分析密码运行数据，生成密码应用状态。（2）密码套件。密码套件封装标准SDF接口，向应用系统提供各类密码服务；向密码应用管理系统上传的密码运行数据和安全报告；接受密码应用管理系统指令管理安全处理器的安全密钥存储；代提供应用安全状态拉取管理指令、获取应用密钥上报运行数据、安全报告服务器密码套件证书管理系统证书获取一管理度量策路管理密钥典型密码服务服务代理密码套件管理设备配置通用密码服务操作系统设备管理接口密码业务接口主机安全

8、管理系统提供密码服务一应用系统提供密码算力提供密钥存储安全报告密码协处理器图2 逻辑框架应用系统管理应用身份管理资源分配主机安全套件客户端密钥业务接口代理应用主机防护安全代理应用验证系统防护系统验证一操作系统主机安全套件服务端运行监控平台2023.10投稿信箱责任编辑赵志远InformationSecurity信息安全理密码套件无法独立完成的时间戳、电子签章等典型密码服务。（3）服务器。通过密码套件接受密码应用管理系统管理，为密码套件提供安全的密码计算能力和安全密钥存储。（4）服务器安全套件。通过安全套件客户端，对服务器实现实时检测和系统资产梳理，通过应用堡垒锁、系统堡垒锁、微隔离防火墙、主机

9、隔离等方式，保护操作系统和应用系统。密码协处理器密钥管理设计本设计主要使用6 类密钥，其功能如下。1.密钥加密密钥是一对非对称密钥，用以封装加密密码协处理器产生的各类密钥，也可用来接收各类密钥的导入。证书系统使用该密钥为密码套件签发密钥加密证书。2.密码套件身份密钥是一对非对称密钥，用以标识密码套件身份。证书系统利用该密钥为密码套件签发用以作为身份鉴别的签名证书。3.安全基准值签发密钥是一对非对称密钥，用以对密码套件和应用系统安全基准值进行签发与校验，该密钥不可与身份密钥混用。证书系统利用该密钥为密码套件签发应用系统安全基准值。4.应用非对称密钥是一组非对称密钥，包含应用签名密钥、应用非对称加

10、密密钥和应用站密钥，为安装在服务器上的应用服务。证书系统利用这些密钥为应用签发证书。应用签名密钥主要对应用系统产生的数据进行完整性签名，以满足商用密码合规性要求中的数据完整性要求。应用非对称加密密钥主要用以数字信封加密和信源加密，以满足商用密码合规性要求中的数据完整性要求。5.应用对称加密密钥是为应用发放的主密钥，主要用来保护工作密钥。6.工作密钥是用来加密数据的密钥，由应用对称加密密钥保护。设计的创新性及先进性1.密码套件与服务器（1）应用与服务高度集成。传统密码应用需调用外部密码设备或服务，会消耗大量网络资源，计算性能也受网络稳定性的影响。使用密码协处理器的服务器密码计算不出设备，减少了网

11、络负载，充分利用硬件资源的计算性能。(2）本地化的应用完整性校验。在应用合规方面，对应用完整性校验一致是个实现成本比较高的难点。本设计通过密码套件与密码应用管理系统联动，在充分保障合规的同时，利用可信计算技术实现应用完整性校验。（3）简化密码应用。密钥套件在支持传统SDF接口的同时，可提供对应用屏蔽密钥使用与加密报文封装细节的专用接口，降低应用接入的开发门槛。2.统一密码调度本设计引入密码调度机制，有效解决了应用多服务器部署情况下密码计算负载和密钥协同的问题。3.密码质量监管应用系统通过密码套件直接在服务器实现本地化密码服务，密码套件可以完整记录应用系统对密钥的调用记录，包括数据加密的日志、数据签名的日志、SSL链路建立的日志。以上记录与日志汇总到密码应用管理系统，可以让系统具备全局的密码应用数据视图，方便本地管理，也可以将数据输出到专门的安全态势感知系统进行分析。N投稿信箱2023.10147