高性能高安全的密码机研究
引用本文:高志权.高性能高安全的密码机研究[J].信息安全与通信保密,2019(11):28-35.
当今 , 网络空间安全的竞争越来越激烈 , 信息作为战略资源起着举足轻重的作用 , 密码技术及密码模块正是保护重要信息和数据安全的核心技术 。 目前 , 我国商用密码体系已经初步形成 , 但在推广应用中仍然存在很多挑战:一些信息系统仍然在使用国外的RSA、AES、SHA-1等密码算法;密码模块和密码产品的安全性不能适应网络安全等级保护、密码应用安全性评估等分级保护的要求 , 特别是缺少三级以上安全级别的密码模块;国产密码算法的实现性能不能满足云计算、大数据等高吞吐量、高并发等应用场景;密码资源的虚拟化技术不能满足云计算等虚拟化场景的应用需求 。 所以 , 高性能、高安全性的密码产品对我国的重要信息系统和关键信息基础设施的等级保护、密码应用安全性评估等工作至关重要 。 密码模块是为信息系统提供密码服务的核心部件 , 是信息安全的基础支撑 。 密码模块在为信息系统提供安全服务的同时 , 其自身的安全首先需要得到保证 。
内容目录:0 引 言
1 密码模块安全标准简介
1.1 FIPS 系列标准
1.2 ISO/IEC 19790 标准
1.3 GM/T 0028-2014《密码模块安全技术要求》
2 密码模块认证情况分析
2.1 FIPS 140-2 认证情况
2.2 国内密码模块认证情况
2.3 GM/T 0054 中对密码模块的安全要求
2.3.1 商用密码应用安全性评估
2.3.2 评估依据
3 密码模块认证实践
3.1 FIPS 认证
3.1.1 FIPS 认证流程
3.1.2 FIPS 140-2 Level
33.2 国内首款密码模块安全三级产品
3.2.1 安全三级密码卡
3.2.2 密码模块安全三级的意义
4 结 语
我国的密码模块安全技术标准 GM/T 0028-2014《密码模块安全技术要求》(以下简称 GM/T 0028)和GM/T 0039- 2015《密码模块安全检测要求》(以下简称 GM/ T 0039)分别于2014年和2015年发布 , 2017 年开始试点 , 目前已经在密码领域全面实施 , 并于2018 年颁布了国家标准——GB/ T 37092- 2018《信息安全技术密码模块安全要求》 。 GM/T 0054-2018《信息系统密码应用基本要求》(以下简称 GM/T 0054)规定了信息系统商用密码应用的基本要求 , 是信息系统的密码系统规划、系统建设、系统运行、安全性评估等工作的重要依据 。 该标准要求 , 等级保护第三级信息系统宜采用安全等级三级及以上的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理 。 本文对国内外密码模块的安全性认证标准、流程和难点进行了详细分析 , 并对 SJK1926 PCI-E 密码卡和 Sansec HSM 的认证实践和经验进行了论述 , 将为我国商用密码产品的自主可控、安全可靠起到支撑作用 。
0 1密码模块安全标准简介
1.1 FIPS 系列标准
国际上把密码产品区分不同等级 , 最早是在Federal Information Processing Standards(FIPS)即联邦信息处理标准中提出的 。 FIPS认证是由美国国家标准和技术研究所(NIST)和加拿大通信安全机构(CSE)联合开展的 , 被公众接受最为广泛的密码模块验证体系(CMVP) 。 FIPSPublication140-2是NIST所发布的针对密码模块的安全需求(Security requirements for cryptographic modules)标准 。 NIST于1988年10月在联邦标准1027号规定的基础上 , 加以改进形成了FIPS140号《密码模块的安全性要求》 。 FIPS140-1于1994年首次发布 , 1995年首个模块通过认证 。 FIPS系列标准每五年重新审核一次 , 以适应技术变化的要求 。 NIST于2001年正式发布了FIPS140-2 , 经过6个月生效期和6个月过渡期 , 至2002年完全取代了FIPS 140-1 。 图 1 FIPS 系列标准发布历程
文章插图
FIPS140-3 从2005年制定工作开始启动 , 其间NIST向全球科研机构、安全厂商等征集到上千条修改意和建议 , 在2013年发布草案 , 最终于2019年3月22日获得批准 。
1.2 ISO/IEC 19790 标准
ISO/IEC 19790:2012《密码模块安全要求》规定了在保护计算机和电信系统中的敏感信息时 , 对安全系统中使用的密码模块的安全要求 。 它是FIPS140-2 的演进 , 相当于FIPS140的国际标准版 。 国际上如日本、韩国、西班牙、土耳其等 , 这些国家的密码模块验证程序均以 ISO/IEC 19790 为基础 , 来制定适用于本国的标准 。 该标准目前尚无统一的认证机构 , 因为密码作为国家重要的战略资源 , 国际的标准被引入后 , 都会进行适当调整 , 例如密码算法的替换 。
1.3 GM/T 0028-2014《密码模块安全技术要求》
- 整形美容|双十一医美不良事件高发 热玛吉风险高 业内:医美职业打假人太少
- 华为|台积电、高通、华为、小米接连宣布!美科技界炸锅:怎么会这样!
- 设置|iPhone拍照小技巧:保留常用设置更高效
- 早报:高通骁龙888正式发布 嫦娥五号传回首张图片
- iphone12|菜鸟网络原副总裁被捕!此前多名高管被判刑
- 区企联企协|谋求更高质量的转型发展!区企联企协与区科技局成功举办科技考察对接活动
- 高配版|从4599元跌至3699元,256GB+65W,12GB旗舰加速退场
- 基建|深信服何朝曦:离开安全的“新基建”,就是在沙子上盖高楼
- 资本|2020年中国人工智能医疗行业发展现状分析 处于成长期且资本热度高
- 手机|用手机镜头展示丛林秘境,vivo S7带来的不止是高清