校园信息系统国产密码改进方案探究

◆夏 奕

（湖北交通职业技术学院交通信息学院 湖北 430079）

长期以来，我国计算机及网络系统的密码算法和加密体系等大部分都被国外产品垄断，面临极大的安全隐患。随着信息化和网络技术在国民生活和军事领域大量普及和应用，研制和应用有自主知识产权的加密算法及网络信息安全产品，增强国家网络信息安全屏障也显得日益重要[1]。

密码体系是信息安全保障的核心，目前我国绝大部分行业信息系统长期沿用国外密码算法，主要包括DES、3DES、AES、RSA、SHA-1、MD5等密码算法[1]。国产密码算法是我国自主研制、具有自主知识产权的一系列密码算法体系，可对民用领域不涉及国家秘密但需保护的重要信息、行政及经济信息等进行加密保护。随着RSA预留后门、RSAl024算法风险等事件影响，国家密码管理局要求，公钥密码算法要尽快全部替换为国产密码算法体系。国内教育、经济、行政等重要信息系统进行国产密码算法改造应用已成为当务之急，是增强我国网络信息体系安全性的重要组成部分。

1 国产密码应用现状

目前国家商用密码管理办公室制定了SSF33、SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法等一系列密码标准[2]，应用于各重要行业信息系统的安全认证、网上银行、数字签名等领域。其中SSF33、SM1、SM4、SM7、祖冲之密码是对称算法[3]；SM2、SM9是非对称算法；SM3是哈希算法[4，5]。目前已经公布算法文本的包括SM2椭圆曲线公钥密码算法[6]、SM3密码杂凑算法[7，8]、SM4分组密码算法等[9]。

1.1 国产SM1算法

SM1算法是一种分组标准对称算法，分组长度和密钥长度都为128比特，算法安全保密强度及对应的软硬件性能实现与国外AES算法相当[6]。该算法，算法以IP核的形式封装[4]，已经形成了芯片、智能IC卡、密码钥匙、加密卡、加密机等安全产品。广泛应用于电子商务、政务通、警务通及其他重要领域。

1.2 国产SM2椭圆曲线公钥密码算法

SM2椭圆曲线公钥密码算法是我国基于椭圆曲线理论实现自主设计的非对称公钥密码算法，对国际ECC椭圆曲线算法进行了优化提升[7]。算法包括了SM2-1数字签名算法，SM2-2密钥交换协议，SM2-3公钥加密算法。SM2加密强度为256位，算法的总体安全性和性能较ECC算法略有提升，与RSAl024相比具有明显的安全性优势，是目前公钥体制中对每比特所提供加密强度最高的一种算法[8]。

1.3 国产SM3算法

SM3是我国自主设计的一套密码杂凑算法，算法的输出长度为256比特，算法的安全性要略高于MD5算法和SHA-1算法[9]，该算法与非对称算法组合能够实现数字签名功能，被广泛应用于信息系统的数字签名和验证、消息认证码的生成与验证以及随机数的生成[10]。

1.4 国产SM4算法

SM4是自主设计的国产分组对称密码算法，SM4算法的密钥长度、分组长度都是128比特，高于3DES算法，与AES算法具有相当，该算法可用于数据的加密/解密运算[11-13]。

2 校园信息化平台国产密码应用现状分析

目前，国内大专院校的校园信息化平台涉及密码应用体系的系统主要包括：校园一卡通系统、教务管理系统、学生工作管理系统等。各应用系统密码技术应用现状分析如下：

2.1 校园一卡通系统

校园网一卡通系统密码应用情况如表1所示。

表1 校园一卡通系统密码应用技术分析

2.2 教务管理系统

教务管理系统密码应用情况如表2所示。

表2 教务管理系统密码应用技术分析

3.3.学生工作管理系统

学生工作管理系统密码应用情况如表3所示。

《魏书》卷八四《儒林传序》，第 1842页;同书卷五五《刘廞传》，第1227页;同书卷三六《李同轨传》，第849页。

表3 学生工作管理系统密码应用技术分析

分析发现常见的密码应用有用户身份认证、介质加密、数据加密及数字签名等场景，其中用于存储用户名、密码的身份认证模块应用最为广泛。此外，众多院校当前使用的交换机网络、网关等校园网络的认证管理系统目前普遍使用3DES、SHA-1、RSA等国际通用密码算法体系及相关标准，国产密码应用比例很小。

3 校园网国产密码改造实施方案

基于以上分析，校园信息化平台涉及国产密码改造的部分通常包括以下几方面工作。

3.1 改造应用信息系统

（1）客户端。客户端若使用USBKey作为证书介质，应需要更换证书，则应考虑USBKey介质的适配性，采用支持国密证书的USBKey产品供应商。如果使用文件证书，则无须考虑介质。

（2）密码算法。若系统中采用了加密或者哈希算法，应采用对应的国产密码算法替代对应的国际算法，其对应关系如表4所示。

表4 国产密码算法与国际密码算法的对应关系

依据国产密码算法与国际密码算法的对应关系，各应用系统可采用以下改造方案，如表5所示。

表5 校园各应用系统国产密码应用改造方案

验证 统、教务管理系统、一卡通管理平台、门禁管理系统、考勤管理系统、电控管理系统使用时需进行身份验证园统一身份认证系统

其他密码产品如签名验签服务器、密码卡等，可按国家密码管理局公布的产品目录升级或替换。

3.2 试点系统改造方案

国产密码应用改造可采用试点先行、效果评估，然后全面推进的工作思路。首先选取一个典型的应用系统作为国产密码应用试点，对系统的密码应用情况摸底排查，确认密码系统的应用规模、功能和采用的密码技术，然后确定相应的密码改造方案，最后进行国产密码改造方案实施和应用效果评估。

4.3.国产密码改造方案应用效果评估

国产密码改造方案的应用效果评估从以下三个方面进行，首先是对改造后的国产密码应用方案的主要功能和性能进行验证评估；然后从系统适用性和系统集成的角度验证国产密码的系统适配性；最后进行用户体验调查和评估，检验国产密码方案的应用效果。

4 结束语

本文主要结合国家对重要信息网络的网络安全自主可控的指导要求，综合分析校园信息系统的安全密码保障体系中应用商用密码体系和软件产品的情况，以及国产密码的相应的产品特色和应用支持能力，提出校园信息网络的国产密码改造方案和相应的改造实施措施。