行业安全 行业安全 密码产品 密码产品
密码产品

区块链密码应用解决方案

实际应用案例

区块链诞生之初就和密码学密不可分。本方案成功帮助某大型国企完成BAAS平台基础架构建设,解决平台中各节点之间的身份认证,数据通讯加密等数据安全问题。并以国产算法全面替代区块链架构中的密码算法,在区块链项目中实现国产密码算法改造。

 

需求分析(业务痛点)

1.   BAAS平台采用Fabic架构,底层的BCCSP提供的密码算法支持为软算法,缺少对密钥的和加解密计算环境的安全防护机制。

2.   BCCSP使用的RSA/Diffie-Hellman/ECDSA/ECDH等国际算法,在国内政企项目中使用时,会碰到未使用国密算法等不合规范的问题。

3.   云化的BAAS平台是集群化分布式的平台,传统的密码服务资源不能满足弹性扩展的应用需求。

4.   BAAS平台在执行敏感交易时,密钥托管在平台上,存在责权不清的问题。

 

解决方案(框架及描述)

                                               1.png

图 应用架构图

1.   区块链上的每一次交易过程都需要调用密码服务资源,区块链的安全性完全依赖于数字签名技术的安全性,方案中密码机提供区块链签名验证的计算能力,可以说贯彻于区块链的每一次交易中。

2.   方案采用可虚拟化部署的云密码服务器为基础,划分虚拟密码机VSM为BAAS平台中的超级对等体提供服务,平台中的云服务器密码机的虚拟机隔离机制保证各超级对等体之间的数据隔离;或者可以采用传统的密码机搭建密码资源池,为BAAS平台中的超级对等体提供服务,密码资源池提供资源弹性伸缩和回收服务。

3.   每台密码机(虚拟机或实体机)可同时支持国密算法和国际算法,保证BAAS平台密码可同时提供国际算法和国密算法的支持。

4.   采用分离授权方式,将超级对等体的私钥分割为2到3部分,其中一部分由移动端管理员授权管理。在BAAS平台调用密钥完成区块链交易时,需要管理员联合签名才能完成交易授权。

5.   部署云管控平台,对密码机资源进行管理,完成密码资源的启用、备份、挂起、销毁等管理功能。采用N+1的策略保证密码资源的高可用性。

 

应用效果(解决了哪些问题)

1.   解决了BAAS平台需要同时支持国际算法和国密算法的合规性问题。

2.   解决了云化的BAAS平台需要可弹性扩展的密码服务资源问题。

3.   解决了BAAS平台用户在执行敏感交易操作时,需要人工授权干预的问题,明确了责权关系。

 

配置清单(需要使用哪些产品)

产品名称

产品型号

功能

手机云盾认证系统

SHT1811

提供密钥分割和联合签名功能,并提供用户管理,系统接入管理,运行监控的附加功能。

企业级密钥管理系统

SYT1401

提供系统中密钥的生命周期管理、版本管理、权限管理等统一密钥管理功能。

金融数据密码机

SJJ1528

提供密钥生成、密钥管理、密码运算服务功能。

:具体软硬件产品数量和配置需要根据实际业务性能、部署要求和高可用要求来确定。

 

适用场景(可以推广应用到哪些场景)

1.区块链系统的硬件化支持和国密改造

区块链是这几年新兴的技术,这项技术本身和密码学算法密不可分。区块链系统在部署时需要考虑使用硬件密码计算能力做支撑,一方面增加密码计算的安全性,一方面可提升密码运算的运算效率。同时,这些年由于国际国内的一些大趋势影响,国产化和国密改造也是势在必行的工作,区块链系统也不会例外。本方案可良好支持区块链系统的国密改造工作,可双算法并行,允许算法的逐渐过度是本方案的最大亮点。

 

2.区块链系统的云化部署

区块链系统做为一种云上的SAAS或PAAS服务部署是未来的趋势。云化部署必须使用可弹性拓展的密码服务资源。本方案是目前较成熟的密码服务资源云化部署方案,可有效解决云环境密码资源的虚拟化和资源调度问题。

 

3.区块链系统的分离授权

云上区块链系统的密码资源和应用资源都是托管在云服务器上,客户使用时总有看不见摸不着的不确定感。尤其像密钥这样的重数据资源,托管的方式更让客户感觉不安全。分离授权的模式从密码学原理和法律效力上都可以很明确的给客户解释清楚为什么手机中分离的密钥可以对重要区块链交易进行人工控制,可以让客户明确重要交易的发生和走向。分离授权的模式可以在各种区块链交易场景中推广,可适用于各种需要人为授权的工作流程。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP备08012318号  技术支持博乐虎科技