通信世界网消息(CWW)密码技术是网络安全的核心技术和基础支撑,是实现数据安全和网络安全的重要途径。近年来,在《中华人民共和国密码法》、《商用密码管理条例》等法律法规的指导下,我国商用密码事业的发展进入了快车道,应用广度和深度大幅提升,涌现出了一批兼具创新性与实用性的密码产品,终端密码安全模块就是其中的典型代表。
终端密码安全模块,手机里的“密码专家”
终端密码安全模块是为智能终端使用的,一系列包含于密码边界之中的硬件、软件、固件或其组合的集合,至少适用于一个经过广泛验证的密码算法、协议,实现一项或多项密码服务,如加密与解密、数字签名与验签、密钥管理等。
终端密码模块可以部署在智能终端中,如手机中的安全芯片、密码应用SDK;也可以存在于智能终端以外的环境中,如服务端的密码组件、独立Ukey等。密码终端模块应用于金融交易、加密通信、移动支付、移动办公、电子合同签署等诸多领域,解决身份认证、业务数据的完整性、防抵赖等问题。
简单的说,终端密码安全模块是住在手机、电脑、银行POS机、物联网设备等智能终端中的“密码专家家”,它可以是一个软件SDK、一块芯片,或者一个Ukey,负责将终端发送的信息、存储的数据翻译成“密文”,让移动终端上的应用更加安全地运行。
终端密码安全模块的核心功能
与部署在服务端的密码产品相比,终端密码安全模块的运行环境更加不可控,在具备加密解密能力的同时,还必须保障加解密过程的安全可控。因此,终端密码安全模块必须具备以下核心功能:
1. 信息加密和解密
终端密码安全模块需要使用一个或多个经过广泛验证的密码算法、协议,如国密算法、RSA算法、AES算法等,对智能终端的通信信息和存储信息进行加密和解密,将信息从明文转换为密文,以防止信息被非法泄露、破译和篡改。
2. 信息签名和验签
终端密码安全模块需要具备对信息进行数字签名、以及验证信息的数字签名的能力,以保证交换数据的完整性和不可抵赖性。发送方使用自己的私钥对信息进行签名,接收方使用发送方的公钥来验证签名,因为私钥只有发送方自己才有,从而保证了信息的完整性和不可抵赖性。
3. 密钥和证书管理
终端密码安全模块需要保证密钥在智能终端中的安全生成与存储。密钥分割技术是典型的保证密钥安全生成、存储的手段。这种技术将使用非对称密码算法生成的私钥拆分成两部分,分别存储在客户端和服务端,防止完整的私钥被窃取。白盒算法是在不安全运行环境下保护密钥的技术。通过将密钥与相应密码学算法混淆为查找表,使得分析,提取密钥变得极为困难,从而保证密钥本身与密钥使用的安全性。
4. 运行环境安全
终端密码安全模块应采用安全数据沙箱、独立进程保护等技术,在终端形成独立的软件数据防护区域,防止关键数据被重放,被篡改等问题。
终端密码安全模块的应用场景
终端密码安全模块可以以多种形式部署于,或运行于智能终端之上。随着数字化转型的持续深入、智能终端的快速普及,终端密码安全模块在金融、教育、税务、交通、工业制造等重要领域得到了广泛应用。线上金融业务、身份认证、加密存储是终端密码安全模块的典型应用场景。
1. 线上金融业务
在智能终端部署终端密码安全模块,使用密码技术保证终端和服务端之间的安全通信、终端信息的安全存储,使用密钥分割技术和白盒算法保证密钥的安全存储和使用,使用安全沙箱和独立进程保护技术保护关键数据,从而保证移动支付、转账汇款等线上金融业务的合法性、不可抵赖性。
2. 身份认证
利用密码算法和数字证书,将密钥与用户的身份标识信息(如名称、身份证号码、手机号、邮箱等)捆绑在一起,实现对用户身份的鉴别和验证,防止非法用户登录网络应用系统;将用户的身份信息加密存储,避免身份信息被窃取造成的身份冒用。
3. 加密存储
利用密码技术对电子邮件、文档等终端信息文件进行加密,防止非法用户或程序读取企业信息造成信息泄露,实现关键敏感数据本地化安全保存。
终端密码安全模块的应用实践
为推动国家关键基础设施安全建设,相关部门提出了推动国密算法应用实施、强化安全可控的要求。金融机构是应用国密算法的急先锋,利用终端密码安全模块对各个业务渠道进行国密改造,具备改造周期短、部署方式灵活的优势,是主流的国密改造方式之一。
芯盾时代终端密码安全模块(PMIT)采用自主研发的分割密钥技拆分私钥,分别存储在终端和服务端,避免完整私钥被窃取;采用白盒算法,采用分段加密、部分加密等方式,保护密钥和数字证书在白盒环境中的存储及运行过程安全;采用终端安全数据沙箱构建可信的运行环境,配合独立进程保护,在终端形成独立的软件数据防护区域,防止关键数据被窃取、被篡改;全面支持国密算法,满足信创合规需求。
某股份制商业银行采用芯盾时代终端密码安全模块(PMIT)对手机银行App进行改造,模块以SDK形式集成在手机银行之中。改造完成中,此银行的手机银行App全面支持国密算法,顺利完成国密改造,通过密码安全性评测。
随着我国商用密码体系的不断完善,密码科技创新和产业支撑能力的不断增强,终端密码安全模块将得到更广泛的应用,更好的保障网络安全和数据安全。密码技术将加速向数字经济社会的各领域渗透融合,在数字化转型与发展过程中发挥重要作用
