5G 网络在面向垂直行业时,呈现出业务系统云化、用户接入多样化、场景移动化、管理复杂化的特征,使得密码应用体系极其繁杂,密码产品数量、种类繁多,容易产生网络安全漏洞和隐患。此外,随着《密码法》等相关法律法规的颁布和实施,对信息系统密码应用提出了规范化要求和密评的规定,针对运营商行业,关基和等保三级以上系统需满足密评有关要求,然而,目前自身难以对密码应用体系的合规性和安全性进行评估。为了满足 5G 网络和行业用户在新时代、新场景下的安全需求,建立面向 5G 网络的商用密码服务基础设施,可以为系统和业务应用提供统一、集约的密码服务,同时满足5G面向行业用户在安全能力建设过程中的自主可控和安全合规需求。
5G 网络商用密码服务基础设施由 5G 商用密码资源池和5G网络商用密码服务平台两部分组成。5G 商用密码资源池提供统一的商用密码基础能力,由基础密码服务单元组成,包含云服务器密码机、签名验签服务器、时间戳服务器、SSL VPN 网关、IPSECVPN网关、数字证书认证系统等;5G 网络商用密码服务平台基于5G商用密码资源池通过统一的密码服务总线,对 5G MEC 平台及平台上的业务应用提供统一的商用密码服务,能够面向5G 网络数据加解密、安全接入、身份认证等场景提供商用密码服务能力。
5G MEC 与 5G 网络在结构深度绑定,5G网络密码应用包括5G 终端安全、网络接入安全、5G MEC 平台及业务安全、平台管理四部分。依托于 5G 网络商用密码服务基础设施,提供身份认证、数字签名、签名验证、数据加密、完整性保护等商用密码服务能力,从而实现身份认证、传输加密、存储加密等国产商用密码应用。
(1)密码服务总线 把密码调用接口进行业务级封装形成统一密码服务API和SDK,对云平台上所有业务应用提供统一的密码服务,提供多租户的密码服务能力。支持业务应用的鉴别和密码服务权限控制;支持密码服务接口调度,匹配到对应的密码服务资源;支持日志采集,记录调用密码服务的详细日志。 1)身份认证服务 提供基于数字证书和密码技术的身份认证接口类服务,支持手机扫码认证、USBKey 证书认证等。 2)数据加密服务 对存储到数据库中的个人敏感数据、隐私数据、重要数据进行加密、解密。 3)签名验签服务 提供数字签名、签名验证、证书验证等密码服务。支持数据签名与验证、支持文件签名与验证;支持证书有效期验证、CA根验证、CRL 验证等服务,支持证书/证书链的导入,支持多CA验证,为业务应用提供专用接口;支持 SM2/SM3/SM4 等商用密码算法。实现基于 SM2 算法的数字签名和验证功能, 支持对数据、文件制作数字签名,签名结构符合 PKCS#1/PKCS#7 标准;支持验证符合PKCS#1/PKCS#7 标准的签名结果,包括RAW签名/验签,Attached 签名/验签,Detached 签名/验签等多种签名验签方式。
4)完整性保护服务 面向重要数据在传输以及存储的完整性保护需求,结合数字证书、签名验签、云密码机提供完整性保护服务。提供基于消息鉴别码的完整性保护(HMAC-SM3)算法和基于数字签名的完整性保护(SM2-SM3)算法,支持数据完整性保护、文件完整性保护服务等。对外提供数据完整性保护接口协议,业务系统可以通过Restful 接口方式或 SDK 方式调用数据完整性保护服务。5)数字信封及密码运算服务 基于商用密码算法提供制作与解析数字信封、数据加密解密、数据摘要运算、数据签名、公钥加密、私钥解密等相关密码运算服务,为应用提供统一的密码调用方式,支持为云平台和云上业务系统提供基于数字信封的应用数据加密传输及基础密码运算服务。
(2)密码平台管理服务 实现对各类密码服务接口、服务订购、应用调用、应用认证、平台运行等的管理。支持租户信息管理及服务订购;支持租户密码资源配置与信息管理;支持系统管理员、安全管理员、安全审计员等的系统管理;支持密码资源状态监控、统计展示和告警管理。(3)租户密码管理服务 为租户提供密码资源与应用管理服务门户。支持租户密码资源查看与管理;支持租户应用配置管理与权限控制;支持密码服务配置管理与监测管控。 (4)密码资源管理服务 负责接入和管理密码资源池的所有硬件密码设备和软件密码产品。支持密码资源池和密码产品配置管理;支持密码镜像管理,实现密码产品虚拟镜像的制作和管理;支持与云平台对接,实现密码镜像启停;支持云服务器密码机资源管理,实现对多台云服务器密码机的配置管理和密码资源编排。
5G 网络安全是车联网系统中至关重要的部分,随着车联网的业务场景的不断丰富,信息篡改、隐私泄漏等问题层出不穷,给汽车的安全性带来极大的挑战。在车联网中,车辆与平台之间的认证、车与车之间的认证,车辆涉及数据交换问题,各智能设备实时进行的数据传输问题,都需要密码技术提供安全保障。密码算法作为安全领域的底层技术,在车联网安全防护技术架构中起着决定性作用。立足于此,基于 5G 网络“云网边端业”融合特点,以车联网基础设施车路+MEC+中心云为基础,构建车联网“云网边端业”一体化商用密码保障体系,提供身份鉴别、安全通道加密、数据加密等商用密码服务以及跨域互认,实现全方位的商用密码安全防护。在车辆网的场景中存在两类密码应用场景。
(1)云平台侧和端侧互联 在云平台侧和端侧互联场景中,存在中心云节点、边缘云节点、车侧系统、路侧系统等应用主体。通过构建密码云服务平台,实现云平台和云平台上业务系统对不同关键的重要数据、敏感信息、审计日志等重要的数据信息安全的机密性和完整性保护。端侧和云平台侧之间的通信过程采用基于数字证书的方式,通过构建端侧和云平台侧之间通信数据的机密性和完整性保护,建立基于商用密码技术的安全通道,解决端侧和云平台侧数据传输过程中安全不足等问题。中心云平台和边缘云平台之间通信过程,基于 GB/T 36968-2018《信息安全技术 IPSec VPN 技术规范》的 IPSec VPN,对进行数据备份的设备在通信前进行身份鉴别,并建立安全的数据备份传输通道,保障数据传输的机密性和完整性保护。
(2)端侧与端侧互联 车联网场景中最核心的是保护车侧系统和路侧系统在网络通信过程中的数据安全。在车侧系统与路侧系统间采用V2X证书为车侧系统和路侧系统签发所需的注册证书、假名证书和应用证书,实现基于商用密码技术的身份认证,建立安全通道链路,保障身份的真实性和数据传输过程中的机密性和完整性。基于工信部可信根证书列表和可信域证书列表验证响应通信双方的证书,实现跨信任域的身份认证。
面向管理面,5G 专网 MANO 实现了5G 专网的管理和编排,独立实现网络部署、更新和扩容等网络编排能力,在5G专网MANO管理中使用到密码的需求包括: (1)身份认证 对 MANO 应用人员和用户进行基于密码技术的身份鉴别,防止身份被假冒,保证 MANO 应用人员和用户身份真实性。(2)数据传输安全 基于密码技术建立安全的 MANO 管理数据安全传输通道,实现MANO 管理数据和指令的安全传输,防止被窃取和篡改。(3)日志安全存储 采用密码技术实现 MANO 管理日志完整性保护,防止被篡改。(4)重要数据存储安全 NFVO、VNFM、VIM 等各管理单元存储的管理数据、配置数据、工参数据采用明文存储,存在被窃取和篡改的风险,采用密码技术对存储的数据进行加密,防止被窃取和篡改。
(1)总体应用框架 针对 5G 专网 MANO 密码技术应用需求,提出的总体架构部署。(2)身份认证 在 MANO 应用客户端侧安装商用密码浏览器,为MANO用户分配智能密码钥匙(内置数字证书),基于数字证书技术实现MANO用户的身份识别。 MANO 各用户通过智能密码钥匙进行身份鉴别,智能密码钥匙内存放第三方 CA 颁发的个人数字证书。MANO 各管理网元对接签名验签服务器实现 MANO 用户人员身份的真实性进行鉴别。用户登录身份鉴别实现密码应用中,涉及的密钥为SM2签名算法公私钥,涉及的设备为智能密码钥匙和签名验签服务器,不存在私钥明文出现的情况。 (3)数据安全传输 5G 专网 MANO 服务端部署 SSL VPN 安全网关,和商用密码浏览器配合完成商用密码 SSL 安全通道的建立,所有的数据均在此通道内传输,实现 MANO 配置和管理数据传输的机密性和完整性保护,防止被窃取和篡改。 对从 PC 端传输到 MANO 应用系统的重要数据如管理数据、配置数据、工参数据等在安全浏览器、USB Key 和SSL VPN安全网关之间建立的安全传输通道中传输,通过符合要求的密码技术保障数据传输的机密性、完整性。
(4)日志完整性保护 在 MANO 各网元所在网络内部署服务器密码机、签名验签服务器等密码计算资源池,对 MANO 所产生的系统日志、管理日志、操作日志、业务日志等进行完整性保护。在 MANO 各管理单元部署国家密码管理部门认可的服务器密码机、签名验签服务器,使用 HMAC-SM3 在日志记录写入时进行完整性保护,并在读取和使用时进行验证其完整性。(5)数据存储安全 对 5G 专网 MANO 各管理单元(NFVO、VNFM、VIM等)所存储的管理数据、配置数据、工参数据等进行加密和完整性保护。对MANO 各管理单元存储在数据库中的敏感数据、业务数据等都可通过服务器密码机实现存储的机密性和完整性,防止恶意拖库、被篡改等风险事件发生。
