摘要:综合应用SM系列算法，为政务云平台自身及云平台租户提供PaaS层及IaaS层密码服务，包括数字证书签发服务、密钥管理服务、签名验签服务、数字信封服务、电子签章服务、动态密码服务、移动认证服务、加解密服务、SSL服务、时间戳服务、弱密码分析服务、密码应用态势感知服务等，给云平台客户提供全面的密码体系服务，适用于多业务场景，包括移动业务、物联网业务、传统PC业务等。

关键词：政务云、国密、PaaS层密码服务、IaaS层密码服务

1. 概述

1.1 背景

政务云用于承载各级政务部门公共服务、社会管理的业务信息和数据，并满足跨部门业务协同、数据交换与共享的需要，提供IaaS、PaaS和SaaS云计算服务。政务云以解决信息孤岛、资源整合难等问题为目的，提高信息中心资源利用率，简化业务系统建设步骤，实现政务系统的信息化整合。

2017年4月，工信部发布《云计算发展三年行动计划（2017－2019年）》（以下简称《行动计划》），具体的在多个方面提出要求，包括提升技术水平、增强产业能力、推动行业应用、保障网络安全、营造产业环境等，推动云计算健康快速发展。

中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》的通知中明确说明，密码是保障网络安全的核心技术和基础支撑，在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。

政务云平台作为关键基础设施，应遵从《信息系统密码应用基本要求》（GM/T 0054-2018）、《中华人民共和国密码法》相关规范要求，进行整体设计，保证信息系统的安全，解决数据存储、网络传输、身份认证、数据完整性等安全问题。

1.2 目标

政务云平台密码应用体系建设的设计目标是：依据国家相关法律、法规及技术标准，按照国家密码管理部门要求的统一技术方案和管理规定，结合政务云实际情况，建设统一管理、配置合理、安全可控、经济适用的密码应用平台，为用户提供集中化、虚拟化、透明化的密码应用服务，解决数据存储、网络传输、身份认证、数据完整性等安全问题。

政务云平台密码服务将以云密码服务池的方式进行整体规划和建设，提供全套的密码服务，包括加解密、签名验签、数字信封、HMAC、动态密码、SSL、时间戳、电子签章、数字证书、移动数字证书、移动认证等，支持SM2、SM3、SM4等密码算法。

1.3 依据

密码应用相关设计依据包括：密码领域重要法律法规、重要领域密码应用相关政策、商用密码相关标准、等保体系相关要求的密码应用部分，主要包含如下：

Ø  《云计算密码应用指南》（征求意见稿）；

Ø  《中华人民共和国网络安全法》；

Ø  《中华人民共和国密码法》；

Ø  《商用密码管理条例》；

Ø  《证书认证系统密码及其相关安全技术规范》；

Ø  《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》；

Ø  《电子认证业务规则规范》；

Ø  《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）;

Ø  《信息系统密码应用基本要求》（ GM/T 0054-2018 ）；

Ø  ……

2. 需求分析

政务云平台作为政务服务综合平台，承载着绝大多数政务系统，构建了政务云平台支撑体系，实现了统一建设、统一管理、统一服务，政务云平台整体架构分为物理资源层、资源抽象控制层、云服务层，每层各司其职，承载着政务云平台全部功能。

通常云平台底层采用OpenStack云计算管理平台，上层由各个云厂商提供封装的云系统。但无论从当前云平台本身的安全建设，还是为租户提供的安全服务而言，均偏向传统的网络安全。对于云平台自身及各业务系统的数据安全均未提供完善的解决方案，无法保证重要数据的安全防护性、完整性，身份信息的安全性，业务关键操作的抗抵赖性。

3. 方案架构

3.1 技术架构

根据政务云平台现有业务整体架构，符合政务云设计思路及未来可持续发展、可持续扩容理念，同时本着资源充分有效利用价值观进行整体设计云密码服务框架。

整体云密码服务将实现PaaS及IaaS层的密码资源对外服务能力，针对SaaS层应用将直接高度集成密码服务，以整体服务对外提供。最终实现基于PKI体系和动态密码体系的用户身份认证，在SM2、SM3、SM4的算法基础上，基于SSL技术、签名验签技术、电子签章技术、协同签名技术、MAC/HMAC技术等的实现通道加密、防篡改、抗抵赖、数据完整性等安全功能，为云端业务、PC端业务、移动端业务、物联网业务等提供安全防护。 整体密码应用框架如下图所示：

图 1应用框架

3.2 部署说明

部署架构整体设计符合行业信息化发展趋势，同时兼顾了当前业务系统密码应用需求。整体设计思路按照政务云平台整体框架进行设计，从密码物理资源层、密码资源抽象控制层、云密码服务层进行搭建。

密码物理资源层包括政务云密码服务平台所需要的基础支撑物理环境，包括计算资源、存储资源、网络资源等。

密码资源抽象控制层通过虚拟化技术，负责对底层密码硬件资源进行抽象，对底层密码硬件故障进行屏蔽，统一调度密码运算资源，并提供密码资源的统一部署和监控。

云密码服务层提供完整的laaS(Infrastructure as a service,基础设施即服务）、PaaS（Platform as a Service,平台即服务）密码服务，为政务云平台自身及云上业务提供密码服务。

3.3 主要功能IaaS（基础设施即服务）密码设计

IaaS层云密码服务平台的实现方式是在专用的密码物理服务器上运行密码虚拟化软件（hypervisor），通过在虚拟化软件上调用支持虚拟化技术的密码卡运行分布式密码服务。

图 2IaaS

支持的虚拟机：云密码服务平台支持配置和管理虚拟机上运行的多个虚拟应用，如SSL安全网关服务、SSL VPN服务、数字签名服务、动态密码服务、电子印章服务、移动接入服务等。

PaaS（平台即服务）密码设计

政务云平台云密码服务PaaS层将以微服务的方式对外提供密码服务；密码微服务是一种细粒度（Fine-Grain）的SOA。

PaaS层密码安全服务平台提供对称算法、非对称算法、摘要算法等密码算法的综合安全计算服务，保证客户业务数据的完整性、机密性和可用性。

Ø  基础密码计算安全服务

单个的密码计算安全服务，如密钥生成、计算摘要、MAC、HMAC、对称加密、对称解密、非对称加密、非对称解密、数字签名、数字签名验证等。

Ø  组合密码计算安全服务

Ø  场景密码计算安全服务

Ø  数字证书认证服务

Ø  动态口令认证服务

Ø  短信口令认证服务

Ø  生物识别认证服务

Ø  弱密码、弱口令分析服务

Ø  时间戳服务

Ø  电子签章服务

Ø  PaaS层安全数据态势感知服务

3.4 技术指标

计算资源虚拟化：云密码服务平台内置多核心CPU，可根据业务需求，自由选择预先定义的虚拟机配置模板，这些虚拟机配置模板已根据分析测试情况，预先设置了合理的CPU、内存、网络和密码设备的规格，用户无须担心如何合理配置相关资源。用户也可以完全根据业务需求自定义虚拟机的各种配置。

网络资源虚拟化：云密码服务平台支持网络资源虚拟化功能，配备的所有网卡均原生支持SR-IOV特性。

密码资源虚拟化：云密码服务平台支持密码资源虚拟化，可根据需要采取SR-IOV或普通IO虚拟化的方式与虚拟机相连，SR-IOV能够让虚拟机与物理的密码运算单元直接进行I/O操作，具有较高的性能。

资源隔离：每一个虚拟机创建完成后，都会绑定固定的资源，包括处理器（CPU）、内存、硬盘存储空间等。此外，每一个虚拟机还会独享网络资源（如：网卡端口）；独享密码硬件资源等。

高性能：云密码服务平台具有优异的数据包处理能力，完全摆脱由于数据包经过内核处理时带来的额外资源开销。

高可用性：支持应用级和平台级的高可用性部署。

可管理性：支持与OpenStack云管理平台的集成，利用OpenStack可直接管理云密码服务平台。

4. 方案特色

Ø  利于商密改造的全面推广

目前在政务体系中，大量的业务系统在向云端进行建设，通过统一建设密码服务平台，各个需要完成商用密码改造的厅局机构即可完成商用密码的改造工作，将极大的提高商用密码改造在全省范围内的推进。

Ø  统一标准，统一建设

当前《信息系统密码应用基本要求》正处于不断完善状态，通过在云端部署云密码服务平台作为统一的密码服务入口。在建立平台后，只需与国家最新标准保持同步即可完成所有接入机构的同步推进。

Ø  云化架构

不同于各类型密码机的“虚拟化”，云化密码服务平台具备与各类云厂商的云管理平台提供无缝对接，一方面，可将云密码平台所提供的各类的服务以租户的方式对外提供。另一方面，拥有云架构典型的弹性扩容特征具备无限的扩展性。

5. 适用领域

各类云服务提供商。

6. 产品清单

成都信安世纪科技有限公司

联系人：卢锐君

电    话：15308094400