工信领域数据安全典型案例丨多密码技术融合的数据加密保护实践典型案例

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法（试行）》和《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分挖掘工业和信息化领域数据安全防护典型经验做法，切实增强行业数据安全保障水平，工业和信息化部组织开展了2023年工业和信息化领域数据安全典型案例遴选工作。此次典型案例遴选，按照“以点带面、点面结合”原则，面向工业、电信和互联网领域，征集了数据安全基础共性、数据安全监测分析、数据安全整体设计实施等“四方向、十类型”数据安全典型案例，经过申报推荐、形式审查、专业初审、专家评审和网上公示，在全国300余项申报方案中挖掘出了72项行业广泛认可、企业应用效果良好的典型案例，为指导工信领域数据处理者提高数据安全防护能力，促进数据安全技术、产品和服务产业化应用提供了重要参考。

本期分享2023年工业和信息化领域数据安全基础共性方向—数据加密类典型案例：湖南移动、卓望数码《多密码技术融合的数据加密保护实践典型案例》。

相关链接：

案例概述

案例使用透明加密技术，实现系统免改造和数据机密性和完整性保护，采用SM4白盒加密技术和保留格式加密技术，实现海量数据加密性能损耗低至5%、改造成本压降95%。案例可至少支撑50亿条敏感数据流通保护性能，保障海量数据安全有序流通。

解决的问题

解决数据流转被窃取、篡改的问题。针对老旧系统、复杂业务改造难问题，提供2种数据透明加密技术，压降改造成本95%。针对海量数据保护场景，采用“透明加密技术+白盒密码技术+SM4-FPE保留格式加密”，综合形成兼顾安全和效率的海量数据加密方案，突破海量数据加密存在的密码设备性能瓶颈、存储开销巨大、密钥管理不安全等问题。

技术先进性

一是采用“低延迟密文模糊查询技术”，根据指定模糊查询条件对数据进行分片加密并计算CMAC值后组装存储，加密后模糊查询损耗控制在5%内，业务体验无感知。二是采用多种加密算法适配模式，使用SM4-FPE保留格式加密技术，加密后格式和长度不变，无需增加存储空间。三是使用数据高效编码技术，实现密文膨胀小于10%，适用于需要保持字段长度的场景。

行业与场景适用性

基于电信行业用户数量众多、范围广泛、数据规模庞大的特点，针对海量数据的安全保护、业务系统难以改造、数据安全流通、不受信任环境下的安全防护等多种复杂场景提出解决方案，为不安全环境下的数据加密和完整性保护提供兼顾安全和成本的SM4白盒密码方案，为数据流通创造安全的环境，促进数字经济安全有序发展。

一、企业简介

申报单位：中国移动通信集团湖南有限公司

中国移动湖南公司成立于1999年8月，聚焦“国之大者”，紧盯“省之大计”，主动融入和服务区域经济社会高质量发展，全面推进数智化转型，建成商用密码统一服务资源池，为内外系统提供基于商密的数据流转保护能力。

联合申报单位：卓望数码技术（深圳）有限公司

卓望公司成立于2000年6月，是中国移动控股子公司，在互联网、IT、ICT领域提供平台及应用开发、运营运维等服务。公司积累了80余项专利、200余项软件著作权，获得了信息系统建设和服务能力优秀级资质（CS4）等专业资质，通过了CMMI5级认证，获评国家高新技术企业。

二、案例背景

运营商系统承载的数据具有敏感度高、类型多样化、共享流转路径复杂等特点，在对数据进行存储、流转应用时极易遭遇各种内外部风险。对此，湖南移动前期已建设密码服务平台和服务器密码机，以接口的形式为移动内部的业务系统提供数据加解密能力。

三、解决方案

1、整体设计架构

案例以1套数据安全管理平台为管控中心、2种数据加密系统、6种关键技术为安全抓手，贯穿数据传输、存储、使用、共享环节构建免改造的数据加密防护体系。

2、建设内容

数据加密防护体系以数据安全管理平台、数据加密系统、多重关键技术、访问控制模块作为建设内容，其中：

1套“数据安全管理平台”与2022年部署的密码设备的对接，为2种数据加密系统提供密钥从生成、分发到销毁的全生命周期管理以及统一的安全策略管理和数据类型配置等能力。

2种数据加密系统（即数据库透明加密系统、文件透明加密系统）。面向结构化数据和非结构化数据提供透明的数据加密和完整性保护能力。

6种关键技术（即加密插件透明加密技术、代理网关透明加密技术、文件透明加密技术、白盒密码技术、保留格式加密技术、高效编码方法）。加密插件透明加密技术和加密代理网关透明加密技术实现多种数据库的免改造安全防护；文件透明加密技术实现文件（文本、图片、视频）等数据的免改造安全防护；白盒密码技术保护密钥使用安全；保留格式加密技术和高效编码加密方法减少加密后存储空间开销。细粒度的访问控制模块为数据流通和追溯提供便利。其中访问控制基于密钥做安全授权，保障不同部门和不同企业之间数据共享的安全。

3、解决方案及思路

采用数据透明加密技术提供系统免改造能力，面向海量数据采用白盒密码方案，实现数据流通的安全和效率。

措施一：对结构化数据库、非结构化文件使用透明加密，实现机密性、完整性保护。

措施二：基于SM4算法、混淆和密钥隐藏技术形成SM4白盒密码方案，解决本地加密密钥管理和使用安全性问题。

措施三：建立主密钥、密钥加密密钥、数据加密密钥三级安全管理体系。

措施四：建立密钥访问控制机制，对用户使用密钥进行授权透明解密。

4、功能特点

一是用户无感知、业务免改造。通过采用数据透明加密技术，无需对业务系统的运行机制或业务结构进行任何修改，即可实现对敏感的结构化数据和非结构化数据的加密和完整性保护。同时数据透明加密技术对业务使用是透明的，在用户体验上无感知。

二是高效密钥管理，兼顾效率和安全。基于安全的三级密钥管理机制，采用数据安全管理平台实现集中式的密钥管理，提升管理效率。具有完备的密钥轮换、密钥备份，恢复机制，密钥管理安全可靠。并为大数据平台构建了基于SM4白盒密码方案的密钥保护体系，确保本地存储的数据加密密钥安全。

三是全场景适配，满足多种应用需求。案例中采用数据库透明加密系统、文件透明加密系统兼容多种数据类型、数据库、多种开发语言、多种操作系统环境，满足不同业务系统，不同数据类型的数据加密和完整性保护需求。并且面向海量数据和不受信任环境提供了基于SM4算法的白盒方案兼顾安全和数据处理效率。

四是安全访问控制机制，促进数据流通。案例中采用了基于密钥的安全访问控制机制，访问者在授权密钥的访问权限后，可调用数据库透明加密系统完成数据的透明解密。这种密钥安全访问控制机制配合数据透明加解密能力，为数据的流通加上安全锁，促进数据安全有序地流通。

5、性能指标

（1）加密插件性能

数据库插入加密字段速率：23218.33条/秒；

数据库加密表解密查询速率：24,759条/秒；

损耗比例：数据加密和未加密前的插入、查询损耗比例控制在5%以下。

（2）加密代理网关性能

数据库插入加密字段速率：2623.20条/秒；

数据库加密表解密查询速率：23,670.25条/秒；

损耗比例：数据加密和未加密前的插入、查询损耗比例控制在6%以下。

四、成果及推广

一方面，案例基于国产商用密码算法，采用数据透明加密技术，对敏感数据进行透明加密和完整性保护，有效地杜绝了敏感数据泄露、被盗用和被篡改的风险。案例所采用的数据库加密/透明加密系统，均取得了国家商用密码产品检测中心颁发的商用密码产品认证证书。另一方面，案例使用的加密/透明加密系统既覆盖了数据存储、数据使用和数据共享等生命周期多个环节，保障数据安全有序流通，又同时面向了结构化数据和非结构化数据，进一步提升了系统覆盖应用场景的全面性。

案例基于电信行业数据特点，为内部业务系统和大数据平台提供免改造加密、海量数据加密的完整性保护实践，可为湖南省乃至全国各行各业在海量数据场景下数据安全防护提供一套可参考可实践的方案。

往期回顾

12.

13.

14.

15.

16.

17.

重点工作

数据安全共同体计划

（data security community）

“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施，推动数据开发利用和数据安全领域的技术推广和产业创新，致力于促进数据安全产业链各环节的交流与合作，推动数据安全政策、技术、人才多要素良性互动，构建数据安全产业生态共同体。