密码行业标准培训小结

密码行业培训班

@北京

@2014.07.23~2014.07.26

 

概述

         本届培训是针对密码管理局发布的第三部分系列标准的培训，这批标准是继第一批算法系列，第二批算法技术使用相关序列之后的密码应用产品方面的标准，包含了VPN,服务器密码，电子签章，射频识别，门禁等业务的安全方面的规范。

         培训的主题是金融领域的安全标准，包括了国家目前的宏观动向等背景，也提出了金融领域的安全技术要求和具体技术方针，其中技术方针覆盖了金融领域模式、信息通道，终端，服务后台、管理等安全方面的主要方面。本次培训涉及到的标准是在国家推行信息安全国产化的背景下产生的，目前主要用于金融领域作为试点。

         培训的收获主要是在金融领域技术安全的内容能有一个系统的认识，在其涉及到的各个具体技术标准方面也有一定的知识收获。

 

详细内容

1、开班仪式---安晓龙

         a、密码标准化重要性

         b、金融领域国家机构宏观动向介绍

                  I）、金融领域为国家推广国产密码的试点示范，实现和验证点。

                  II）、发改委、人民银行、工信部、银监会、证监会、密码管理局等在金融领域上目前的进展和工作。

         c、国家标准委员会对密码标准的12字方针

         d、培训班目的

                   I）、交流、学习、心得、经验分享

                   II）、宣传国产密码，推广

                   III）、标准人才培养

         e、期望

                   I）、希望各单位抓住机遇，开发出优尖产品，抗衡国外产品。

Tips：我的理解：未来的趋势是金融领域信息产品的全面国产化，其他重大民生信息领域未来在政府管控调制下也将实现金融领域的国产产品化。为此，我们公司申请的一些信息安全国家项目，偏向国内标准将能获得国家相关机构的支持。

2、密标委相关情况介绍----安晓龙

         a、国际标准介绍 

                   I）、目前国家认可的国际标准化组织有三个，ISO、IEC、ITU

                  II）、国际组织，密码标准集中在JTC，密码应用标准集中在ISO/IEC

         b、介绍了密标委组成、任务、规章制度、进度、下一步计划

         c、密标委标准定制的几个原则：

                   I）、符合政策要求，技术与政策一致

                   II）、体现中国特色，本地化

                   III）、确保安全可靠

                   IV）、具有国家水准

                   V）、利于产业推广

                   VI）、公开公正公平，吸收实力单位，采纳广泛意见

Tips：那么哪些标准可以参考国外，哪些需要遵守国内标准呢？ISO、IEC的应用密码标准还是可以参考国外的，但国内若也有类似标准，则需要优先参考国内标准。密码标准则只能参考国内标准或者淡化要素。另外，产品级的创新估计也可以较容易的获得政府推广，或者政府订单。

3、金融领域国产密码应用推进密码技术要求&服务器密码机技术规范----刘平

         a、总体要求

                  I）、金融领域设计到密码的芯片、设备、部件、软件和系统都应该优先支持SM2/3/4

                   II）、金融业务标准规范中使用密码的部分，应该引用国产密码算法和密码算法使用等密码标准规范

         b、从密码行业标准化角度阐述了金融系统各个部分将如何使用准备规范文档

                   I）、算法：SM2 椭圆曲线公钥算法、SM3密码杂凑算法、SM4分组密码算法

                   II）、算法使用规范：《SM2密码使用规范》《分组密码算法的工作模式》《SM2密码算法加密签名信息语法规范》

                   III）、终端模式：金融IC卡、网上银行（基于证书和动态口令）

                   IV）、安全通道：VPN遵守国内标准SSL VPN，IPSec VPN技术规范和产品规范

                   V）、客户端：智能密码钥匙、通用证书格式相关的接口规范。

                   VI）、服务端：通用密码服务、证书接口规范、服务器密码机，签名验签服务器等规范

                   VII）、移动支付：技术要求，模式、参考的技术标准

                   VIII）、CA部分：《基于SM2密码算法的数字证书格式规范》，《数字证书认证系统密码协议规范》，《基于SM2算法的证书认证系统密码及其相关安全技术规范》，统一国家根证书，双证书模式。

                   IX）、安全芯片：《安全芯片密码检测准则》中的安全等级2级以上，需要支持：算法和密钥与应用的隔离；符合检测要求的随机数和非对称密钥产生；敏感数据安全存储和授权；抗探测攻击；抗故障注入攻击，抗边信道攻击。

Tips：我问了一个问题：怎么看待单芯片方案如ARM提供的通用应用TEE环境在金融终端领域的使用？

         但可惜该老师对这方面不是很清楚，没有准确回答我的提问，只有说应该要达到标准要求的安全，另外会场内的一个同仁（一个金融行业做方案的研发经理）述说了他的看法，“目前的可信计算技术仍然不是很成熟，不适合在金融领域使用。目前因为终端没有一个统一的标准，各个银行本身目前更加倾向于使用类似支付宝的云端体系，依赖于行为分析，风险管理，适当的终端安全机制，而去掉终端的硬件化和强安全特性。目前，多个银行在试点新的安全主要基于云端的方案，在未来4、5年将可以看到效果。”

         随着国家在抓紧推广信息安全国产化道路，以及互联网技术的发展，TEE技术在金融领域的使用个人持悲观观点，国内TEE的发展若不抓紧，很可能错过金融领域的这次浪潮，从而在金融的安全技术上缺少影响力。

4、SSL VPN/IP Sec VPN技术规范，网关产品规范----罗俊

         a、更改了国际标准的通信协议，增加双证书（加密证书和签名证书）以及国产密码支持。

         b、SSl VPN 基于TLS 1.1改造，IP Sec VPN基于IKE改造，但与国际标准不兼容。

         c、除了国产密码外，支持2048位以上的RSA，但需要双证书，支持SHA1。

Tips：会上有人问过与国际标准不兼容问题，得到的回答是，产品线与支持国际标准的产品是分开的，兼容的产品将需要密保局批准。我的理解，可能是技术响应政策故意不兼容的。

5、密码模块安全技术要求----高能

         a、从11个安全域和4个安全等级进行定义，每个安全域对应的等级要求进行描述，最后根据木桶原理汇总一个整体的安全等级。

         b、金融的安全芯片等级需要达到2级以上。

Tips：可以为我们公司的《智能电视终端安全技术要求》提供文档参考，尤其是等级的描述方面。

6、基于角色的授权管理和访问控制技术规范----赵丽丽

         a、提出了一个终端密码模块的“中间件”技术，该技术框架可以兼容多个独立的具体的访问控制。

         b、技术基于公钥机制

Tips：想法很好，能使得终端的访问控制标准化。细节需要消化。

7、安全电子签章密码技术规范&签名验签服务器技术规范----李述胜

         a、服务端内部的安全技术规范

8、射频识别系统密码应用技术要求&采用非接触卡的门禁系统密码应用技术指南----周建锁

         a、安全协议可以参考，作为类似方案的协议设计