白盒密码赋能算力网络“东数西存”

中国移动研究院安全所粟栗 •中国移动积极构建“连接+算力+能力”的新型信息服务体系，将算力作为公司的发展战略。 •中国移动以“算力泛在、算网共生、智能编排、一体服务”为目标，将“ABCDNETS”深度融合。 •边缘算力A：网络时延最优•中心算力B：计算时延最优•中心算力C：网络+计算时延最优√ •算力网络的安全风险可以从算网自身安全、算网业务流程安全两个维度进行分解。 可信算网服务统一交易和售卖 算网资源统一管理和编排调度 •横向：涵盖业务数据流程，关注可能损害业务数据安全的风险 数据外包存储是算力网络的典型场景，在运营商和行业用户都有旺盛的需求 日志留存 业务数据留存 •为满足监管要求，运营商和IT行业大量日志数据需长期留存，外包存储（如东数西存）可充分利用闲散资源 •市政、工厂采集的大量多媒体数据，一般为温冷数据且数据量大，外包存储可有效缓解存储压力 外包存储的典型方式 方式二 方式一 •数据上传到可信节点（如安全网关）加密后分发到各节点存储，需要使用时可在存储节点解密部分数据执行数据操作 •用户在客户端加密数据后上传到算网节点存储 常见的两种密钥存储方式在算力网络中均存在风险： •密钥通过配置文件或数据库方式落盘：外部攻击者或系统管理员较易通过数据导出或逆向分析等方式窃取密钥 •密钥由密管系统存储并分发：密钥不落盘，使用完成后即被销毁，但攻击者通过内存分析仍可能定位识别密钥。 密钥通过配置文件或者数据库方式落盘在算力节点 •白盒密码通过拆分、插入随机项、伪装等混淆技术，将密码算法在终端上的执行构造为一种新的实现方式，实现密钥隐藏，可以解决密钥在节点上易被窃取的问题。 基于传统服务架构，对密管系统和加解密软件升级，可使算力网络支持传统加密算法和白盒加密算法。 西部省份：•设置安全网关对外收数据执行标准加密，升级部分算力节点支持白盒加解密能力•外收数据在安全网关加密并分发到算力节点密存，如有数据使用需求，在算力节点用白盒密钥解密部分数据，操作结束重新加密存储 •用户通过简单勾选即可实现白盒密码的应用，保护数据安全性。 订购简便 支持商密 全程可控 基于号卡安全能力打造具有运营商特色的商用密码产品，构建自主可控的标准化行业解决方案，积极推动密码融入千行百业，助力国家安全体系和能力现代化。 超级SIM安全网关 行业解决方案 ü产品介绍：基于运营商独有的可信账号体系，以号卡认证能力为核心，结合启明星辰安全网关能力，实现“号为人、卡为钥匙、安全网关为新型锁芯”ü核心优势：高安全号卡认证、暴露面全面收敛、用户行为可追溯ü标杆案例：已在XX省政数局和XX市落地应用，将覆盖160万+公职人员 超级SIM密码资源池 金融 超级SIM卡支持商用密码算法 ü产品介绍：以超级SIM卡为核心，打造分布式密码资源池提供密码算法支撑，进行统一调度和管理，通过标准化服务接口提供密码技术的安全集成与应用。ü核心优势：端侧安全身份认证、一站式“交钥匙”服务、统一硬件资源高效纳管、统一租户和权限管理ü标杆案例：助力xx省政务云系统43天完成国密改造，获86.97的密评最高分。 中国移动展位编号：2BT26