楠木轩

国家密码技术团体标准正式亮相,通付盾深度参与标准制

由 戚国庆 发布于 科技

近日,以“聚合应变,内生安全”为主题的2020北京网络安全大会(BCS 2020)在京举行。在此期间,备受瞩目的国家密码技术团体标准——《移动智能终端密码应用团体标准》(以下简称标准)正式发布。作为标准编写者及落地的重要推动力量之一,在联盟的指导下,通付盾在标准制定期间,充分发挥了企业在技术标准推广使用中的主体作用,得到行业专家一致肯定。

随着移动互联网应用的普及,密码技术在通信保密、数据保密存储、数据签名、软件签名、身份认证等网络安全领域发挥着核心作用,传统PC网络密码技术的使用方式在移动互联网中面临许多新的问题。

为探索符合我国国情的移动互联网密码应用新模式、新技术,促进国产密码技术和相关产业健康发展,自2017年起,中关村网络安全与信息化产业联盟EMCG工作组根据《中华人民共和国标准化法》、《团体标准管理规定》,开始了移动智能终端密码应用团体标准的研究工作,通付盾作为移动安全企业代表受邀参与标准制定工作。

关于EMCG团体标准系列体系

移动智能终端密码的团体标准体系由四个标准组成——

第一个标准《移动智能终端密码模块》,它的作用是为移动智能终端密码技术实现提供研发技术规范。此标准于2019年8月23日正式发布;

第二个标准《移动智能终端密码技术政企应用指南》,它的作用是为政企单位提供移动智能密码系统建设和使用指南。此标准于2020年8月14日正式发布;

第三个标准《移动智能终端密码金融安全应用指南》,它作用是为用户和消费者使用移动金融系统提供密码系统建设和使用指南。目前此标准仍在筹备当中;

第四个标准《移动智能终端密码应用技术检测规范》,它的作用为第一个标准提供密码实现产品的检验方法和过程。此标准有望今年年底或者明年进行发布。

据了解,此次发布亮相的《移动智能终端密码技术政企应用指南》团体标准,在密码模块新形态、密钥保护新模式、高安全级密码模块实施方案等方面取得了多项突破,对国产密码的应用将起到示范与引领作用。此外,该项团体标准填补了移动终端软件密码模块技术标准的空白,标志着我国密码技术研究又向前迈出了重要一步。

通付盾深度参与标准制定工作

在《移动智能终端密码模块》标准制定过程中,通付盾主导了标准的第三部分--密钥加密服务端保护技术框架的编写工作,该部分工作内容可以帮助移动智能终端保护终端内的敏感数据,同时该标准通过了国家密码管理局密码模块的资质认证,可达到0028标准的密码模块二级。目前该技术框架已应用于通付盾实际产品和实际业务场景中,广泛服务政企、银行等客户。

在《移动智能终端密码技术政企应用指南》标准制定过程中,通付盾主导了用户证书登录标准的编写工作。用户证书登录是政企信息系统防范业务风险的第一道关卡,在几乎所有应用场景中均有所体现,但是由于早期应用缺乏统一的标准,安全性良莠不齐,因此,用户证书登录的标准建设,在政企的安全信息系统整体建设当中,担任了极其重要的环节。

通付盾安全专家朱旭光表示,此次通付盾参与的《移动智能终端密码技术政企应用指南》标准编写工作,是对《移动智能终端密码模块》框架的应用衍生,使移动智能终端密码系列更加更加完整、统一。编写方案充分考虑了CA系统兼容性问题,使得整体标准的合法性有所提升。

在技术实现方面,用户证书登录方案主要利用了公钥密码、数字签名不可篡改性,让用户和信息系统以互相交换签名数据,并以对方数据验签的方式鉴别对方的身份合法性,防止非法访问,保证了系统的真实可靠。此技术方案已在通付盾身份验证产品中得到广泛应用,在金融能源等行业已经积累了多个成功案例。

通付盾作为国内移动安全与国产密码领导厂商,近年来发力于互联网安全、云计算、大数据安全,参与诸多互联网安全,尤其是移动互联网安全的标准制定,如:《移动智能终端密码应用技术框架》、《移动互联基本要求指南》、《政务应用App安全要求和检测方法》、《移动互联应用程序(App)个人信息安全测评规范》等,在移动安全与标准制定方面积累了丰富经验。

此次团体标准的编制工作,体现了行业专家们对通付盾技术实力的尊重与肯定,加强自身对技术与资质(如信息安全产品测评EAL系列,商密系列,军工系列等)的梳理工作;同时帮助研发团队总结技术开发经验,对团队及企业产品技术提升带来巨大的促进作用。

当前我国开展密码标准制定的数量和范围还很不够,标准研究工作与国际水平还有差距,存在着资源浪费、检测方法落后、应用普及率不高等诸多问题。通付盾愿与更多机构、企业和个人展开多层次合作,为科学发展我国密码产业标准化营造良好的环境氛围,助力实现未来网络科技生态安全。