商用密碼在 5G 網(wǎng)絡(luò)中融合應(yīng)用的思路探討

密碼作為保障網(wǎng)絡(luò)安全最有效、最可靠最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)，在維護(hù)國家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益中發(fā)揮著越來越重要的作用。密碼作為國之重器，是網(wǎng)絡(luò)信息發(fā)展的安全基因，是保障網(wǎng)絡(luò)與數(shù)據(jù)安全的核心技術(shù)產(chǎn)業(yè)，也是推動我國數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展，構(gòu)建網(wǎng)絡(luò)強(qiáng)國的基礎(chǔ)支撐。隨著5G網(wǎng)絡(luò)的飛速發(fā)展與行業(yè)的不斷融合，以及行業(yè)數(shù)字化轉(zhuǎn)型的深度與廣度的發(fā)展，密碼技術(shù)應(yīng)用在5G網(wǎng)絡(luò)中的需求不斷攀升，密碼本身作為安全的重要內(nèi)核，在5G中的作用越來越凸顯，尤其近幾年來隨著國際環(huán)境的風(fēng)云變幻，我國自主可控能力需求進(jìn)一步提升，更加強(qiáng)調(diào)商用密碼的應(yīng)用，特別是重要基礎(chǔ)設(shè)施行業(yè)對商用密碼的應(yīng)用需求更加明確，紛紛把網(wǎng)絡(luò)建設(shè)與商用密碼應(yīng)用作為“三同步”的重要要求。此外，隨著國家一系列法律法規(guī)的出臺，《數(shù)據(jù)安全法》《個人信息保護(hù)法》《密碼法》《網(wǎng)絡(luò)安全法》和《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》等相繼實施，有力地指引并推動了商用密碼的應(yīng)用，不斷拓寬密碼在行業(yè)應(yīng)用的廣度與深度，更加凸顯商用密碼在促進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、數(shù)字產(chǎn)業(yè)化等方面的重要作用。為了更好地推進(jìn)5G網(wǎng)絡(luò)與垂直行業(yè)的融合，充分發(fā)揮商用密碼在5G網(wǎng)絡(luò)中的作用，同時賦能垂直行業(yè)發(fā)展，采用我國自主研發(fā)的商用密碼算法替代國際通用算法顯得至關(guān)重要，對提速垂直行業(yè)數(shù)智化進(jìn)程，構(gòu)建高質(zhì)量的數(shù)字經(jīng)濟(jì)，增強(qiáng)我國自主可控和網(wǎng)絡(luò)安全能力具有重要意義。但在實際執(zhí)行時，商用密碼的應(yīng)用面臨著一系列挑戰(zhàn)：一方面，5G網(wǎng)絡(luò)協(xié)議與商用密碼應(yīng)用協(xié)議的兼容性，物聯(lián)網(wǎng)終端的海量接入，車聯(lián)網(wǎng)高可靠、低時延的高要求，5G網(wǎng)絡(luò)對密碼的需求更加急迫且呈現(xiàn)定制化，輕量化、高效密碼算法成了5G網(wǎng)絡(luò)密碼應(yīng)用的關(guān)鍵指標(biāo)；另一方面，商用密碼產(chǎn)品與5G網(wǎng)絡(luò)設(shè)備的適配性，密碼相關(guān)網(wǎng)元改造的難易程度等都需要從長計議。此外，原有的密碼設(shè)備替換周期長，業(yè)界所使用的密碼技術(shù)、產(chǎn)品、算法等大都是國外的，占據(jù)了不可小覷的密碼技術(shù)市場份額，想在短期內(nèi)替換或者升級原有設(shè)備，使其支持商用密碼存在一定的難度。從市場動向來看，密碼廠商與5G設(shè)備廠商呈現(xiàn)并行發(fā)展，耦合性較弱，密碼廠商不了解5G網(wǎng)絡(luò)環(huán)境，更不要說如何用好密碼。設(shè)備廠商在密碼產(chǎn)品研發(fā)方面積累較少，經(jīng)驗沒有密碼廠商豐富，如密碼產(chǎn)品認(rèn)證測評有瓶頸，如何發(fā)力商用密碼在5G網(wǎng)絡(luò)中的應(yīng)用是5G網(wǎng)絡(luò)安全建設(shè)的重點，也是難點。促進(jìn)商用密碼在5G網(wǎng)絡(luò)中用得好，用得全，用得精，讓5G+商用密碼成為行業(yè)創(chuàng)新發(fā)展的助推器和執(zhí)牛耳者，這是一個值得認(rèn)真思考和探討的方向。為此，本文從商用密碼自身出發(fā)，結(jié)合行業(yè)需求，梳理密碼在5G網(wǎng)絡(luò)中的應(yīng)用現(xiàn)狀，立足國內(nèi)外標(biāo)準(zhǔn)發(fā)展趨勢，從3個方面探討商用密碼在5G網(wǎng)絡(luò)中的融合創(chuàng)新思路。1商用密碼應(yīng)用現(xiàn)狀移動通信網(wǎng)絡(luò)技術(shù)的發(fā)展離不開標(biāo)準(zhǔn)的指引，標(biāo)準(zhǔn)中規(guī)定了密碼應(yīng)用的方方面面，包括密碼算法、密鑰長度、密碼協(xié)議等。結(jié)合5G網(wǎng)絡(luò)發(fā)展現(xiàn)狀，在標(biāo)準(zhǔn)方面，3GPP里定義了一些有關(guān)5G網(wǎng)絡(luò)中密碼應(yīng)用的基本要求。5G網(wǎng)絡(luò)除了繼承4G網(wǎng)絡(luò)的信令完整性保護(hù)（必選使用）、信令面和用戶面數(shù)據(jù)機(jī)密性保護(hù)（可選使用），還增加了用戶面數(shù)據(jù)完整性保護(hù)（可選使用）的能力，在算法使用上無線側(cè)仍然使用AES、SNOW3G、ZUC，密鑰長度是128bit，ZUC算法的優(yōu)先級默認(rèn)不是最高。此外，用戶號碼隱私保護(hù)、密鑰的派發(fā)體系到認(rèn)證向量的生成，涉及的算法均是國際通用密碼算法。我國在標(biāo)準(zhǔn)上的努力從未停止，自主研發(fā)的一系列標(biāo)準(zhǔn)也在不斷地輸入到國際標(biāo)準(zhǔn)中，自2015年5月起，陸續(xù)向ISO提出了將SM2、SM3、SM4和SM9算法納入國際標(biāo)準(zhǔn)的提案。2017年，SM2和SM9數(shù)字簽名算法正式成為ISO/IEC國際標(biāo)準(zhǔn)；2018年，SM3算法正式成為ISO/IEC國際標(biāo)準(zhǔn)；2020年4月，ZUC算法正式成為ISO/IEC國際標(biāo)準(zhǔn)；2021年3月，SM9標(biāo)識加密算法正式成為ISO/IEC國際標(biāo)準(zhǔn)。2021年6月25日，我國SM4分組密碼算法由國際標(biāo)準(zhǔn)化組織ISO/IEC正式發(fā)布，成為ISO/IEC國際標(biāo)準(zhǔn)；2021年10月22日，我國SM9密鑰協(xié)商協(xié)議作為國際標(biāo)準(zhǔn)ISO/IEC11770-3，至此，SM9算法成為中國密碼技術(shù)領(lǐng)域首個全體系納入ISO/IEC標(biāo)準(zhǔn)的非對稱密碼算法。加快推動商用密碼算法標(biāo)準(zhǔn)在5G網(wǎng)絡(luò)中的應(yīng)用編制，有助于提升我國移動通信領(lǐng)域的自主可控能力建設(shè)，擴(kuò)大國際話語權(quán)。在商用密碼市場發(fā)展方面，近年來我國商用密碼行業(yè)規(guī)模不斷擴(kuò)大，整體呈上升趨勢。從1996年我國確立商用密碼發(fā)展戰(zhàn)略以來，經(jīng)過多年的發(fā)展，商用密碼管理體制和標(biāo)準(zhǔn)體系已逐漸健全，產(chǎn)品數(shù)量和市場規(guī)模保持較高速度增長，創(chuàng)新成果不斷涌現(xiàn)，密碼融合應(yīng)用方面取得長足進(jìn)步。我國商用密碼產(chǎn)品品類現(xiàn)已涵蓋從芯片、板卡、整機(jī)到系統(tǒng)的全產(chǎn)業(yè)鏈條，形成了較為完整的商用密碼產(chǎn)品供給體系。隨著商用密碼“放管服”改革的深入推進(jìn)，商用密碼的發(fā)展將進(jìn)一步加快，商用密碼產(chǎn)品創(chuàng)新成果不斷涌現(xiàn)。2020年在新冠肺炎疫情流行的客觀環(huán)境下，我國商用密碼產(chǎn)業(yè)仍取得高速發(fā)展，總體規(guī)模達(dá)到466億元，較2019年增長了33.14%。在政策環(huán)境與市場需求的共同作用下，商用密碼產(chǎn)業(yè)將迎來高速增長機(jī)遇，預(yù)計2023年商用密碼行業(yè)規(guī)模有望達(dá)到937.5億元。SM系列算法的成熟度不斷增強(qiáng)，加速了上、中、下游產(chǎn)業(yè)的全面融合和推廣應(yīng)用，商用密碼算法在加密強(qiáng)度和運算性能上都優(yōu)于同類國際通用算法。例如SM2算法抗攻擊能力優(yōu)于國際算法，性能相當(dāng)，但簽名長度更短；SM4算法密鑰擴(kuò)展和加密的資源重用硬件資源占用少，安全強(qiáng)度高；SM3算法能抵御差分分析且具有較強(qiáng)的擴(kuò)散性，實現(xiàn)面積和性能占優(yōu)。2融合創(chuàng)新的方向思路商用密碼與5G網(wǎng)絡(luò)的融合創(chuàng)新涉及方方面面，從終端、無線側(cè)、傳輸網(wǎng)、核心網(wǎng)、邊緣平臺到企業(yè)用戶側(cè)端到端的應(yīng)用分析，基于密碼的安全機(jī)制成為5G網(wǎng)絡(luò)的內(nèi)生要素和必選環(huán)節(jié)，引領(lǐng)信息領(lǐng)域關(guān)鍵核心技術(shù)的創(chuàng)新與突破，進(jìn)一步協(xié)同創(chuàng)新保障信息安全。行業(yè)應(yīng)用是5G網(wǎng)絡(luò)發(fā)展重要的出發(fā)點與落腳點，應(yīng)關(guān)注行業(yè)發(fā)展需求動態(tài)，增強(qiáng)5G網(wǎng)絡(luò)與行業(yè)應(yīng)用的黏性。為此，可探索商用密碼在5G專網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)、合規(guī)管理等方面的融合創(chuàng)新能力，設(shè)計基于國密的5G網(wǎng)絡(luò)體系架構(gòu)，構(gòu)建國密的數(shù)據(jù)安全保障能力，完善基于國密的5G安全管理機(jī)制等，建立一套由內(nèi)到外，由上及下的5G國密應(yīng)用體系，形成獨具特色的中國5G國密專用網(wǎng)絡(luò)，賦能千行百業(yè)，實現(xiàn)行業(yè)數(shù)字化轉(zhuǎn)型。整體的思路框架如圖1所示。圖15G網(wǎng)絡(luò)商用密碼應(yīng)用框架在圖1中，法律法規(guī)與標(biāo)準(zhǔn)是基礎(chǔ)，也是支撐與指引，立足現(xiàn)有法律法規(guī)和標(biāo)準(zhǔn)，建立基于商用密碼應(yīng)用的安全體系，研究終端、接入、核心網(wǎng)及應(yīng)用中涉及的各個密碼應(yīng)用關(guān)鍵技術(shù)，形成增強(qiáng)自身安全可控能力及對外安全賦能的迸發(fā)勢能。商用密碼合規(guī)管理與數(shù)據(jù)安全保障貫穿始終，緊密圍繞密碼4個特性，即機(jī)密性、完整性、認(rèn)證性和不可否認(rèn)性，建立商用密碼應(yīng)用的“四梁八柱”，達(dá)到商用密碼應(yīng)用的可管、可見、可靠、可用的安全目標(biāo)，實現(xiàn)商用密碼應(yīng)用的長足發(fā)展。2.1網(wǎng)絡(luò)安全保障網(wǎng)絡(luò)是基礎(chǔ)，密碼是能力。5G網(wǎng)絡(luò)的發(fā)展越來越向精細(xì)化邁進(jìn)，網(wǎng)絡(luò)安全越來越重要，密碼在護(hù)衛(wèi)網(wǎng)絡(luò)安全中發(fā)揮重要的作用，從無線側(cè)、傳輸網(wǎng)到核心網(wǎng)，密碼的影子隨處可見，密碼與網(wǎng)絡(luò)可結(jié)合的思路可參考以下方向來切入。終端安全至關(guān)重要，5G終端又大致分為兩類，一類是5G用戶終端，另一類是行業(yè)用戶終端。對終端來說，應(yīng)該具備對業(yè)務(wù)數(shù)據(jù)的加密能力，從源頭上保障業(yè)務(wù)數(shù)據(jù)的安全性，尤其是業(yè)務(wù)數(shù)據(jù)的機(jī)密性和完整性保護(hù)，防止業(yè)務(wù)信息被竊聽和篡改[2]。此外，重視終端接入認(rèn)證授權(quán)，接入是終端進(jìn)入網(wǎng)絡(luò)的第一道門檻，拒絕非法終端的接入和合法終端的非法授權(quán)，包括終端接入的主認(rèn)證和二次認(rèn)證。按照3GPP的標(biāo)準(zhǔn)流程來看，主認(rèn)證涉及認(rèn)證向量的生成和密鑰，與核心網(wǎng)網(wǎng)元統(tǒng)一數(shù)據(jù)管理（UnifiedDataManagement，UDM）、鑒權(quán)服務(wù)器功能（AuthenticationServerFunction，AUSF）等密切相關(guān)，為此，可使用SM系列算法替換相應(yīng)的國際算法，使用SM2來完成密鑰的生成，SM3替換密鑰導(dǎo)出函數(shù)（KeyDerivationFunction，KDF）的密鑰派生函數(shù)，SM4則替換AES實現(xiàn)對稱加密。此外，無線側(cè)可設(shè)置非接入控制（NonAccessStratum，NAS）和無線資源控制（RadioResourceControl，RRC）機(jī)密性與完整性保護(hù)算法優(yōu)先級，設(shè)置ZUC作為最高算法優(yōu)先級，保障無線側(cè)信令面和控制面基于國密的機(jī)密性和完整性保護(hù)。二次認(rèn)證是在主認(rèn)證后，基于企業(yè)自身需求建立的認(rèn)證，目前常見的認(rèn)證框架是可擴(kuò)展認(rèn)證協(xié)議[3]（ExtensibleAuthenticationProtocol，EAP），可建立基于國密的二次認(rèn)證框架，保障終端的安全接入。傳輸側(cè)可建立基于國密的IPSecVPN傳輸通道，構(gòu)建基于國密的證書分發(fā)模式和密鑰協(xié)商機(jī)制，高速的對稱密碼加密算法，使用符合密評要求的IPSec網(wǎng)關(guān)產(chǎn)品，保障各個網(wǎng)元或平臺的邊界網(wǎng)絡(luò)安全。核心網(wǎng)基于服務(wù)化架構(gòu)（Service-BasedArchitecture，SBA），按照3GPP標(biāo)準(zhǔn)，網(wǎng)元之間是基于開放的OAUth2.0TLS安全機(jī)制，TLS協(xié)議目前常見的是TLS1.2版本，TLS1.3版本以下均不支持國密算法套件，如需使用國密，則需要建立額外的國密算法機(jī)制，TLS1.3版本包含了國密算法套件（SM2、SM3）。此外，可建立基于應(yīng)用層的國密應(yīng)用，即端到端的國密TLS/SSL傳輸機(jī)制，通過配置應(yīng)用層的安全網(wǎng)關(guān)或者軟件化產(chǎn)品，實現(xiàn)終端到企業(yè)平臺的國密加密傳輸保障。2.2數(shù)據(jù)安全守護(hù)密碼是保障數(shù)據(jù)安全的內(nèi)核基因。在數(shù)字經(jīng)濟(jì)時代，保護(hù)數(shù)據(jù)安全要靠密碼，密碼技術(shù)決定著網(wǎng)絡(luò)與系統(tǒng)安全[4]。數(shù)據(jù)是重要的生產(chǎn)要素，伴隨5G網(wǎng)絡(luò)的海量終端接入，數(shù)據(jù)體量不斷擴(kuò)張，數(shù)據(jù)分類分級和敏感程度需求逐步細(xì)化，對數(shù)據(jù)全生命周期的安全守護(hù)策略越來越豐富，如靜止?fàn)顟B(tài)下的加密存儲，傳輸狀態(tài)下的防竊取、防篡改，處理過程中的匿名或者去標(biāo)識化等。無論使用什么樣的網(wǎng)絡(luò)安全策略，其核心思想均是為了保護(hù)數(shù)據(jù)安全，因此數(shù)據(jù)是一切防護(hù)的出發(fā)點和歸宿，使用細(xì)粒度化的方式能更好地維護(hù)數(shù)據(jù)安全，如文件級、磁盤級、字段級等。隨著國密算法優(yōu)化升級，SM系列算法在數(shù)據(jù)存儲、傳輸、處理等全生命周期中的應(yīng)用越來越廣泛，依托國產(chǎn)芯片，SM系列算法的性能不斷提升，如SM4算法相較AES，在數(shù)據(jù)加密方面表現(xiàn)較優(yōu)，有力地提升了數(shù)據(jù)的機(jī)密性、完整性和可用性。例如，數(shù)據(jù)來源的身份驗證采用SM2或SM9，機(jī)密性保護(hù)采用SM4，完整性驗證采用SM3，在數(shù)據(jù)生產(chǎn)、傳輸、處理、存儲等階段，使用一種或多種算法搭配，可實現(xiàn)數(shù)據(jù)全生命周期的安全防護(hù)。總之，數(shù)據(jù)在不同的狀態(tài)下對密碼的需求不一樣。以數(shù)據(jù)傳輸為例，數(shù)據(jù)的傳輸安全包括信源加密和信道加密，信源加密從數(shù)據(jù)自身出發(fā)，在發(fā)送前利用加密技術(shù)對數(shù)據(jù)進(jìn)行處理，到接收端再解密。在算法選擇上，大數(shù)據(jù)量多采用對稱加密算法，加密速度快，SM4算法使用較多；而信道加密則是通過建立一個安全的加密隧道來保障傳輸數(shù)據(jù)的安全，安全網(wǎng)關(guān)（VirtualPrivateNetwork，VPN）是常見的保護(hù)方式。從不同的網(wǎng)絡(luò)層看，有不同的加密協(xié)議，應(yīng)用層主要基于傳輸層安全性協(xié)議（TransportLayerSecurity，TLS）、安全外殼協(xié)議（SecureShell，SSH），網(wǎng)絡(luò)層則基于IPSec，簡單來說，VPN的方式包括網(wǎng)絡(luò)層的IPSecVPN和應(yīng)用層的TLSVPN，相應(yīng)的密碼算法涉及密鑰協(xié)商時用到的SM2、保障數(shù)據(jù)完整性時用到的SM3以及用于機(jī)密性保障的SM4。如前所述，每一個場景下算法的使用并不是單一的，需要結(jié)合多種算法來共同保障數(shù)據(jù)的安全可靠，所以具體使用需結(jié)合需求應(yīng)用場景?？傊?，商用密碼在5G網(wǎng)絡(luò)數(shù)據(jù)安全方面將大有可為，同時隨著量子密碼、白盒密碼、格密碼、隱私計算等新技術(shù)的發(fā)展，未來商用密碼在5G網(wǎng)絡(luò)中將勾勒出一幅數(shù)據(jù)藍(lán)圖。2.3安全合規(guī)管理安全合規(guī)管理在企業(yè)中的占比越來越大，《2021商用密碼創(chuàng)新應(yīng)用指南》指出，合規(guī)需求仍然是目前企業(yè)對商用密碼技術(shù)應(yīng)用的主要驅(qū)動力，統(tǒng)一密管、統(tǒng)一認(rèn)證等是企業(yè)用戶重點關(guān)注的商用密碼應(yīng)用訴求。密碼是安全合規(guī)管理的重要特征之一，構(gòu)建一個密碼安全合規(guī)管理體系能夠及時發(fā)現(xiàn)異常事件，進(jìn)行影響評估、合規(guī)評估、風(fēng)險評估，定期發(fā)現(xiàn)安全隱患。為此，亟須構(gòu)建以密碼管理合規(guī)為起點，堅持密碼管理問題為導(dǎo)向，構(gòu)建安全、可靠、完備的密碼管理體系。梳理5G網(wǎng)絡(luò)中密碼使用的合規(guī)情況，以《GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》《GB/T37092—2018信息安全技術(shù)密碼模塊安全要求》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》等為指引，采用自查和第三方審查相結(jié)合的方式，開展商用密碼應(yīng)用合規(guī)檢測，對不符合合規(guī)管理的系統(tǒng)、設(shè)備、平臺落實整改。加快加深商用密碼應(yīng)用與安全性評估檢測范圍，對網(wǎng)絡(luò)和信息系統(tǒng)是否采用了商用密碼技術(shù)、產(chǎn)品和服務(wù)進(jìn)行測評，對其密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估，規(guī)范密碼算法、密碼產(chǎn)品、密碼技術(shù)以及密碼服務(wù)使用。另外，密鑰管理是密碼應(yīng)用的重要方面，科克霍夫原則指出系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰。構(gòu)建5G密鑰管理體系架構(gòu)，保障密鑰全生命周期的安全管理，優(yōu)化密鑰管理流程，定期開展合規(guī)測評。此外，參考IPDRR能力框架模型，從識別、防護(hù)、檢測、響應(yīng)、恢復(fù)、反制6個方面[5]，建立5G網(wǎng)絡(luò)商用密碼安全合規(guī)框架，管理密碼安全風(fēng)險，形成檢測、整改、合規(guī)的閉環(huán)管理模式，筑牢5G網(wǎng)絡(luò)安全管理防護(hù)線。基于商用密碼的安全合規(guī)管理的框架如圖2所示。圖2基于商用密碼的安全合規(guī)管理的框架在圖2中，商用密碼的安全合規(guī)管理的基礎(chǔ)支撐包括3個方面，即國家及行業(yè)的安全合規(guī)要求、企業(yè)方面以及第三方安全合規(guī)管理借鑒。其中，國家及行業(yè)的安全合規(guī)要求是重中之重，包括法律法規(guī)、標(biāo)準(zhǔn)，如密碼法、密評、等保等；企業(yè)方面主要涉及企業(yè)針對自身的安全管理要求和企業(yè)標(biāo)準(zhǔn)；第三方安全合規(guī)管理借鑒包括一些成功模型（如IPDRR）和成功的管理模式等。在審查方式方面，主要包括自查和第三方審查，審查的內(nèi)容包括密碼算法、協(xié)議、密鑰管理、密碼產(chǎn)品和技術(shù)的使用、密碼服務(wù)等，主要檢查密碼應(yīng)用的合規(guī)檢測。至于審查采取的方式，需要結(jié)合企業(yè)自身的需求，如有的企業(yè)體系較為完善，財力、物力、人力等比較豐厚，可以二者結(jié)合使用。審查的目的是達(dá)到合規(guī)，因此，整個流程都會圍繞檢測、整改、合規(guī)3個主要方面。這個過程是螺旋式的、閉環(huán)的，需要不斷地操作，才能逐步提升企業(yè)的商用密碼應(yīng)用安全合規(guī)管理。其實這個架構(gòu)也適用于企業(yè)中其他的管理方向，密碼是其中一個。在整個過程中，人員安全監(jiān)管和風(fēng)險安全監(jiān)控是全流程參與，人員是必需的，也是必備的，風(fēng)險管理是企業(yè)的重要關(guān)注點，不能消除風(fēng)險，