行業安全 行業安全 密碼産品 密碼産品
密碼産品

區塊鍊密碼應用解決方案

實際應用案例

區塊鍊誕生之初就和密碼學密不可分。本方案成功幫助某大型國企完成BAAS平台基礎架構建設,解決平台中各節點之間的身份認證,數據通訊加密等數據安全問題。并以國産算法全面替代區塊鍊架構中的密碼算法,在區塊鍊項目中實現國産密碼算法改造。

 

需求分析(業務痛點)

1.   BAAS平台采用Fabic架構,底層的BCCSP提供的密碼算法支持為軟算法,缺少對密鑰的和加解密計算環境的安全防護機制。

2.   BCCSP使用的RSA/Diffie-Hellman/ECDSA/ECDH等國際算法,在國内政企項目中使用時,會碰到未使用國密算法等不合規範的問題。

3.   雲化的BAAS平台是集群化分布式的平台,傳統的密碼服務資源不能滿足彈性擴展的應用需求。

4.   BAAS平台在執行敏感交易時,密鑰托管在平台上,存在責權不清的問題。

 

解決方案(框架及描述)

                                               1.png

圖 應用架構圖

1.   區塊鍊上的每一次交易過程都需要調用密碼服務資源,區塊鍊的安全性完全依賴于數字簽名技術的安全性,方案中密碼機提供區塊鍊簽名驗證的計算能力,可以說貫徹于區塊鍊的每一次交易中。

2.   方案采用可虛拟化部署的雲密碼服務器為基礎,劃分虛拟密碼機VSM為BAAS平台中的超級對等體提供服務,平台中的雲服務器密碼機的虛拟機隔離機制保證各超級對等體之間的數據隔離;或者可以采用傳統的密碼機搭建密碼資源池,為BAAS平台中的超級對等體提供服務,密碼資源池提供資源彈性伸縮和回收服務。

3.   每台密碼機(虛拟機或實體機)可同時支持國密算法和國際算法,保證BAAS平台密碼可同時提供國際算法和國密算法的支持。

4.   采用分離授權方式,将超級對等體的私鑰分割為2到3部分,其中一部分由移動端管理員授權管理。在BAAS平台調用密鑰完成區塊鍊交易時,需要管理員聯合簽名才能完成交易授權。

5.   部署雲管控平台,對密碼機資源進行管理,完成密碼資源的啟用、備份、挂起、銷毀等管理功能。采用N+1的策略保證密碼資源的高可用性。

 

應用效果(解決了哪些問題)

1.   解決了BAAS平台需要同時支持國際算法和國密算法的合規性問題。

2.   解決了雲化的BAAS平台需要可彈性擴展的密碼服務資源問題。

3.   解決了BAAS平台用戶在執行敏感交易操作時,需要人工授權幹預的問題,明确了責權關系。

 

配置清單(需要使用哪些産品)

産品名稱

産品型号

功能

手機雲盾認證系統

SHT1811

提供密鑰分割和聯合簽名功能,并提供用戶管理,系統接入管理,運行監控的附加功能。

企業級密鑰管理系統

SYT1401

提供系統中密鑰的生命周期管理、版本管理、權限管理等統一密鑰管理功能。

金融數據密碼機

SJJ1528

提供密鑰生成、密鑰管理、密碼運算服務功能。

:具體軟硬件産品數量和配置需要根據實際業務性能、部署要求和高可用要求來确定。

 

适用場景(可以推廣應用到哪些場景)

1.區塊鍊系統的硬件化支持和國密改造

區塊鍊是這幾年新興的技術,這項技術本身和密碼學算法密不可分。區塊鍊系統在部署時需要考慮使用硬件密碼計算能力做支撐,一方面增加密碼計算的安全性,一方面可提升密碼運算的運算效率。同時,這些年由于國際國内的一些大趨勢影響,國産化和國密改造也是勢在必行的工作,區塊鍊系統也不會例外。本方案可良好支持區塊鍊系統的國密改造工作,可雙算法并行,允許算法的逐漸過度是本方案的最大亮點。

 

2.區塊鍊系統的雲化部署

區塊鍊系統做為一種雲上的SAAS或PAAS服務部署是未來的趨勢。雲化部署必須使用可彈性拓展的密碼服務資源。本方案是目前較成熟的密碼服務資源雲化部署方案,可有效解決雲環境密碼資源的虛拟化和資源調度問題。

 

3.區塊鍊系統的分離授權

雲上區塊鍊系統的密碼資源和應用資源都是托管在雲服務器上,客戶使用時總有看不見摸不着的不确定感。尤其像密鑰這樣的重數據資源,托管的方式更讓客戶感覺不安全。分離授權的模式從密碼學原理和法律效力上都可以很明确的給客戶解釋清楚為什麼手機中分離的密鑰可以對重要區塊鍊交易進行人工控制,可以讓客戶明确重要交易的發生和走向。分離授權的模式可以在各種區塊鍊交易場景中推廣,可适用于各種需要人為授權的工作流程。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP備08012318号  技術支持博樂虎科技