3月23日至24日,首届工业和信息化领域商用密码应用峰会在杭州隆重举行。鼎链数科应邀参加峰会,并在峰会现场受颁“工业和信息化领域商用密码典型应用方案荣誉证书”。鼎链数科首席科学家李大为做了《面向区块链的密码应用解决方案》主题报告。据悉,工业和信息化部、国家密码管理局早前发布了《关于公布工业和信息化领域商用密码典型应用方案名单的通知》,经过主办方严格审查并组织专家综合评审,鼎链数科《面向区块链的密码应用解决方案》成功入选工业和信息化领域商用密码典型应用方案。▲ 首届工业和信息化领域商用密码应用峰会现场
▲ 鼎链数科售前总监冯勇上台受颁“工业和信息化领域商用密码典型应用方案荣誉证书”鼎链数科首席科学家李大为教授受邀参加首届工业和信息化领域商用密码应用峰会,并作《面向区块链的密码应用解决方案》主题报告。▲ 鼎链数科首席科学家李大为作《面向区块链的密码应用解决方案》汇报
区块链创新性地应用了密码学、对等网络、共识机制、智能合约等多种技术,其实质是基于密码学的分布式账本,密码是区块链的核心技术和基础支撑。国家市场监管总局、国家密码管理局于2022年7月发布《商用密码产品认证目录(第二批)》,将区块链密码模块纳入了认证范围,区块链产品和应用系统的密码管理将得到进一步的规范。本方案依据《GM/T 0111-2021区块链密码应用技术要求》和《GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》,针对区块链平台的密码应用合规性问题,提出了依托密码服务平台、设计区块链密码模块一体机、利用《区块链密码使用指南》推荐的新型密码协议三条技术路线;针对区块链应用系统的密码应用合规性问题,提出了基于“区块链+密码”双平台融合和基于区块链密码模块一体机两种区块链应用系统密码合规解决方案,方案适用于区块链平台、各个行业的区块链应用系统、BaaS平台和跨链服务系统,为电子政务、金融、国防、能源、医疗等领域的区块链应用系统提供安全可靠的密码支撑能力,推动区块链密码的创新应用。本解决方案在深圳市某区政务区块链基础平台和密码服务支撑平台建设项目中得到了成功应用,为区块链平台和业务系统的密码应用提供了示范,助力区块链在各领域的落地推广。解决的难点、堵点问题
本方案主要解决两个方面问题,一是解决区块链平台密码应用合规性,通过软硬一体化区块链密码节点机和区块链密码服务中台两种方式满足密评要求,基于密码组件实现构建可信身份、数据确权、助力隐私保护、赋能共识安全等关键技术,打造自主可控的国密高性能区块链平台;二是解决区块链应用系统的密码应用合规性,通过密码应用的同步规划、同步建设、同步运用,加强密码运用时的规范性,满足信息系统密码应用基本要求,助力区块链应用在各领域的落地推广。方案架构
1、总体架构
面向区块链的密码应用方案,通过区块链平台与密码服务平台、区块链密码模块以及新型密码协议的集成,构建出符合商用密码应用安全的区块链底层平台,以区块链BaaS平台和区块链跨链平台为中间能力层,向上为电子政务、金融、国防、能源、医疗等领域的各类应用系统提供商用密码服务支撑,满足商用密码与安全性评估(以下简称“密评”)要求,完成区块链密码应用合规的目标。
图1 方案架构图
2、实施路线
本方案围绕区块链密码应用合规性的两个方面问题,一是解决区块链平台密码应用合规性,如超级账本、以太坊、区块链BaaS平台等;二是解决区块链应用系统的密码应用合规性,解决为行业区块链应用系统如何通过密评的问题。实施路线包括基于“区块链+密码”双平台融合的密码应用和基于区块链密码模块一体机的密码应用。(1)基于“区块链+密码”双平台融合的密码应用
基于密码资源池的基础上,融合国密算法的底层区块链平台和集成多密码服务的密码服务中台助力区块链应用系统满足“密评”要求。(2)基于区块链密码模块一体机的密码应用
区块链密码模块一体机已获得商用密码产品认证证书,满足密码合规性要求,基于区块链密码模块一体机作为区块链节点构建的区块链业务系统仅需要保证区块链应用系统自身满足密评合规性要求即可。3、应用场景
某区创新性地构建了政务区块链基础平台和密码服务支撑平台等智慧城市基础设施,为上层政务服务、城市治理等区块链应用提供自主可控、密码合规的底层平台支撑。利用日志审计系统和密码服务中台系统提供的密码服务能力有效提升OA系统、统一门户、财政系统、档案管理系统、智慧水务系统、政务服务系统的安全防护能力,满足“密评”要求的同时,推动各政务区块链应用系统广泛使用商用密码,提高了政务服务可信协同和安全防护能力。具体架构如下图:
图2 某区政务区块链+密码双平台应用场景
方案特点
1、区块链密码模块一体机,“安全合规、开箱即用”
区块链密码模块一体机以自主代码、自主密码的区块链底层技术平台为依托,采用“区块链专用国密密码卡+国产CPU”进行整机国密认证,满足密钥物理安全,提供高性能国密算法支撑并集成多种新型密码协议,自主可控方面与飞腾、龙芯、鲲鹏硬件平台和麒麟、统信等操作系统全面适配,打造高安全、强隐私、高性能的国密区块链软硬一体化解决方案,满足《区块链密码应用技术要求》、《密码模块安全技术要求》等相关标准。鼎链的“区块链密码节点机密码模块”已通过国密认证并通过“区块链密码模块”的密码检测,获得商用密码产品认证证书。2、灵活可扩展的标准化区块链密码服务组件
针对市面上常见的区块链平台的商用密码应用安全性要求,采用可插拔和标准化的设计理念,通过对区块链所需密码服务进行抽象和总结,构建区块链密码服务组件,提供标准化的身份认证、数据加密、签名验签、哈希计算等区块链密码服务接口,支撑区块链平台及应用系统合规、安全、高效使用密码服务。
3、高性能的多租户区块链密码服务平台
针对分布式环境下的区块链网络多节点、多应用、多用户的密码应用需求,构建面向多租户的区块链密码服务平台,通过支持不同厂商、不同类型的密码硬件设备集成,屏蔽差异化密码接口,多租户间的密码应用隔离,为区块链平台及应用系统提供多类型的高性能专用密码服务能力,具备统一的资源分配和服务管理,增强弹性扩展、资源复用、可视化监控、多租户管理、信创兼容等功能。4、兼容异构链的BaaS平台及跨链服务的密码应用
针对Baas平台及跨链服务需要兼容多个异构链、构建多个分布式网络的复杂密码应用需求,运用区块链密码模块一体机及密码服务平台,获取证书认证、通信安全、数据加密等密码服务能力,设计一套高适配度的密码服务调用模式,支撑BaaS平台和跨链服务的商用密码应用。5、区块链中新型密码协议创新应用
创新性地将基于国家商用密码算法的环签名、盲签名、零知识证明等新型密码算法和密码协议融入到区块链底层技术平台,覆盖基于场景的密码应用新模式,推动新型密码算法和密码协议在区块链中的深度应用,增强区块链系统的安全性,从而实现区块链系统的可管可控。当前国内主流区块链大都在开源区块链底层平台上开发,比如以太坊、超级账本、Tendermint等,这些开源平台大都使用未经国家认可的密码算法,有些算法已经警示有安全风险;虽然是开源平台,但平台核心代码仍然掌握在开发者手中,随时有被“卡脖子”的风险。面对日益严峻的网络安全形势,必须立足自主密码技术,着力研发自主可控的区块链底层平台,更好保障区块链平台及应用系统的安全可靠,遵守国家有关信息化项目建设密码应用的法律法规要求,依法依规加强监管和指导,在规划、建设和运行阶段都要做到合法、合规、合标准,确保区块链密码应用正确的发展方向,本方案在深圳市某区先行先试,搭建了该区政务区块链平台和密码服务平台,以服务接口方式提供一系列标准化密码服务能力,在全区范围内提供统一的区块链底层平台,提供统一区块链服务和管理接口,形成了一套密码安全管理制度,一套区块链自主密码应用规范,规范了密码安全管理体系与机制,统一了区块链接口和服务标准,有效提升了政务数据整体安全防护能力,为面向区块链的密码应用提供解决方案和样板工程,为智慧城市密码和区块链建设提供宝贵的商用密码应用示范经验,具备很大的推广价值。鼎链数字科技(深圳)有限公司是一家以新型密码技术为核心支撑的密码服务及自主区块链基础设施和应用提供商,面向电子政务、金融、国防、能源、医疗等行业需求,提供密码服务、区块链、隐私计算等领域的密码产品、整体解决方案和项目实施交付能力,自主研制的区块链密码节点机密码模块已获得商用密码产品认证证书,以“密码+区块链”构建安全的数字经济新基础设施。
