白盒密码赋能算力网络“东数西存”

中国移动研究院安全所 粟栗 •中国移动积极构建“连接+算力+能力”的新型信息服务体系，将算力作为公司的发展战略。 •中国移动以“算力泛在、算网共生、智能编排、一体服务”为目标，将“ABCDNETS”深度融合。 用户 请求服务X 边缘算力 服务实例X中心算力B •边缘算力A：网络时延最优 •中心算力B：计算时延最优 •中心算力C：网络+计算时延最优√ 端算力 端算力 服务实例X端算力 边缘算力A 服务实例X中心算力C 边缘算力 网云数智安边端链NCDASETB •算力网络的安全风险可以从算网自身安全、算网业务流程安全两个维度进行分解。 调度策略被篡改 交易过程不可 信 纵向：贯穿算网三层架构，关注可能破坏算网系统正常运 算力节点不可 用 行的风险业务 运营服务层编排管理层 可信算网服务统一交易和售卖算网资源统一管理和编排调度 网络连接的多层立体泛在算力 数据流基础设施层 传输过程数据和隐私泄露算力节点泄露数据、伪造计算结果 •横向：涵盖业务数据流程，关注可能损害业务数据安全的风险 数据外包存储是算力网络的典型场景，在运营商和行业用户都有旺盛的需求 日志留存 •为满足监管要求，运营商和IT行业大量日志数据需长期留存，外包存储（如东数西存）可充分利用闲散资源 业务数据留存 •市政、工厂采集的大量多媒体数据，一般为温冷数据且数据量大，外包存储可有效缓解存储压力 操作日志 备份日志系统日志 ...... 海量日志 需要大量存储资源 视频数据需要大量存储资源 外包存储的典型方式 方式一 •用户在客户端加密数据后上传到算网节点存储 方式二 •数据上传到可信节点（如安全网关）加密后分发到各节点存储，需要使用时可在存储节点解密部分数据执行数据操作 用户侧 密文数据 •只能实现数据备份，无法在算力节点操作使用 用户侧 原始数据安全传输通道 安全网关加密数据 密文分发 •主要的存储方式，可在算力节点执行数据计算 密码管理系统 窃取密钥 内存 硬盘 算力节点 攻击者 常见的两种密钥存储方式在算力网络中均存在风险： •密钥通过配置文件或数据库方式落盘：外部攻击者或系统管理员较易通过数据导出或逆向分析等方式窃取密钥 •密钥由密管系统存储并分发：密钥不落盘，使用完成后即被销毁，但攻击者通过内存分析仍可能定位识别密钥。 窃取密钥 攻击者 算力节点 硬盘 密钥通过配置文件或者数据库方式落盘在算力节点 算力节点向密管系统请求密钥，使用完毕后销毁 •白盒密码通过拆分、插入随机项、伪装等混淆技术，将密码算法在终端上的执行构造为一种新的实现方式，实现密钥隐藏，可以解决密钥在节点上易被窃取的问题。 明文密钥白盒化 白盒转换 密钥 白盒转换 混淆表 混淆表混淆表 密钥？密钥？ 原始密钥和加解密过程经过混淆处理，攻击者无法通过内存攻击窃取密钥 标准算法 算法白盒化 密文 •白盒密码使得密钥信息可充分隐藏，具有一 定的安全性 •白盒密码技术作为软件定义安全，更新升级便捷 •和标准加密算法相比，白盒密码算法将消耗更多时间，但经改造可实现性能提升 基于传统服务架构，对密管系统和加解密软件升级，可使算力网络支持传统加密算法和白盒加密算法。 4、执行数据加密 明文数据安全通道 密文数据安全通道 安全代理模块 传统密态存储 白盒密态存储 用户3、上传数据 安全网关 算力节点 加解密组件 1、注册、下发证书、授权 2、创建用户密钥，下发安全策略 5、分发白盒密钥 6、使用白盒密钥，解密数据并使用 算网密码管理系统 传统密钥白盒密钥 需改造 东部省份：• 西部省份：• • 将温冷数据传输到西部省份算力节点存储 设置安全网关对外收数据执行标准加密，升级部分算力节点支持白盒加解密能力 外收数据在安全网关加密并分发到算力节点密存，如有数据使用需求，在算力节点用白盒密钥解 密部分数据，操作结束重新加密存储 2标准加密1东数西送 接入网 城域网 省内传输网 骨干网密 文 数据 安全网关 业务数据 东部大区业务数据 白盒密码 算力节点 白盒密码 算力节点 算力节点 3密文存储 算网密码管理系统 密钥管理商用密钥分发 密码服务白盒密钥分发 密态存储保证存储过程安全基于白盒密码，算力节点加解密过程安全可控 西部某省东部某省 充分利用西部闲散算力资源 无需硬件支持降低成本 •用户通过简单勾选即可实现白盒密码的应用，保护数据安全性。 订购简便 支持商密 密码服务类型： 白盒加密 密码算法： 全程可控 AESSM4SM2RSA ITU标准立项团标立项论文发表 基于号卡安全能力打造具有运营商特色的商用密码产品，构建自主可控的标准化行业解决方案，积极推动密码融入千行百业，助力国家安全体系和能力现代化。 超级SIM安全网关 产品介绍：基于运营商独有的可信账号体系，以号卡认证能力为核心，结合启明 星辰安全网关能力，实现“号为人、卡为钥匙、安全网关为新型锁芯” 核心优势：高安全号卡认证、暴露面全面收敛、用户行为可追溯 标杆案例：已在XX省政数局和XX市落地应用，将覆盖160万+公职人员 行业解决方案 号 手机号码实名制 卡 超级SIM卡支持商用密码算法 数字证书 有法律效用的电子签名 超级SIM密码资源池 产品介绍：以超级SIM卡为核心，打造分布式密码资源池提供密码算法支撑，进行统一调度和管理，通过标准化服务接口提供密码技术的安全集成与应用。 核心优势：端侧安全身份认证、一站式“交钥匙”服务、统一硬件资源高效纳管、统一租户和权限管理 标杆案例：助力xx省政务云系统43天完成国密改造，获86.97的密评最高分。 中国移动展位编号：2BT26 政务 警务金融 物联网 ......