欢迎来到北京理工大学校友网!
当前位置: 首页  >  校友风采  >  媒体理工人

白小勇、郭刚校友:中国自主密码技术的崛起之路 ——商用密码高性能技术创新

访问次数:   更新时间:2018-07-27   

文章来源:信息安全与通信保密  编辑:校友志愿者协会 李泽燕

7月17日,首届商用密码高性能技术创新发展论坛在京举行。作为一次密码行业的技术盛会,本次论坛贯穿了“密码技术作为保障网络与信息安全的核心技术,必须实现自主先进、安全可控”的主题。活动开始前,我校化学与化工学院2003届本科、软件学院2005届硕士校友,北京炼石网络技术有限公司CEO白小勇和软件学院2008级硕士校友、山东渔翁信息技术股份有限公司总裁郭刚接受了参会媒体的采访。

炼石网络CEO白小勇回答记者提问

记者:还是想听您谈一下商用密码的推广情况是怎样的?

白小勇:我认为接下来商用密码会迎来最好的发展机遇。当然,我们目前现状还是在大量使用着国外密码算法,比如RSA/AES/SHA256等。而我们现在要把密码升级替换为商用密码算法,比如SM2/SM3/SM4等,这些算法已经或正在成为国际标准,是中国自主研发的国际密码算法。在升级替换过程中,首先我们得承认,尤其是算法实现方面,目前我们还处在跟跑阶段,我们要从跟跑到并跑领跑,要分两个阶段,首先是从跟跑到并跑,要优先使用自主创新成果,将商用密码算法“等效替换”掉国外算法,确保实现平滑过渡,在用的过程中继续改进,然后达到领跑,最终实现密码技术的“先进替换”。目前,商用密码替换掉国外密码,性能问题是最大挑战。低效的密码算法实现,已经大幅滞后于信息技术的快速发展,而密码算法“降效替换”带来的性能制约直接影响客户业务效率,导致商用密码难以普及推广。

记者:您刚才提到性能的问题是一个很大的挑战。炼石在实现性能优化上做了哪些工作,有哪些重要的突破?

白小勇:炼石在商用密码的性能优化上,主要针对ARM和X86两大享受摩尔定律红利的平台。首先针对ARM平台,比如国产ARM架构和大量的移动端、物联网终端等,我们发现了基于Unbalanced Feistel的分组密码算法,比如SM4算法,可基于寄存器及SIMD等指令集实现,不仅安全,同时在性能上有望超越AES算法。其次,目前大量的云基础设施还是X86架构,在X86架构我们借助了AES-NI的指令集对SM4算法实现进行加速优化,通过这些优化实现了能够比肩相对应国外密码算法的性能指标。

今天论坛上我们现场也演示了在普通Intel i7处理器上把SM4加解密跑到40Gbps,同时也演示了全磁盘高性能加解密,从磁盘上读数据并且解密跑到20Gbps,目前仅达到20Gbps的原因是因为磁盘IO本身的读写瓶颈。

记者:性能获得突破后,炼石在密码的产品化、方案化方面,为商用密码的普及推广又做了哪些工作呢?

白小勇:谈到密码的产品化、方案化,其实是很有意思的话题,因为密码是基础能力,最终一定要给安全产品、以及广泛信息技术产品,以SDK方式提供能力。所以,我们提出一个观点,密码基础能力供应商应该再往前走一步,一方面提供业务封装层,降低开发人员的使用门槛,更加易用。另一方面,以场景化的解决方案形式交付密码能力,比如我们研发的CipherSuite密码套件(SJM1808密码算法软件模块),既有软件形态,可以用在一些受环境限制不得不使用软件的地方,比如移动端和虚拟机等。同时我们跟HSM结合,把软硬的各自优势结合起来,用在服务端、桌面端等场景。

因为密码技术是解决数据安全的核心技术,而数据会有这么三种形态:首先是传输态,在传输形态对应的就是VPN、ADC、SSL卸载等,其次是使用态,比如区块链中的密码应用,最后是存储态,包括冷存储和热存储。因此,一旦我们在密码算法的高性能方面获得突破后,炼石能够全线的把高性能的核心竞争力,以产品和解决方案的方式应用到丰富的业务领域中,目前已经帮助多个不同领域的用户完成了商用密码升级工作。 炼石与HSM厂商合作,打造了高性能密码卡、高性能密码机以及高性能云密码机等多款产品。同时,炼石为客户提供多种场景下的商用密码升级解决方案,包括:支持移动端、桌面端的高性能商用密码终端解决方案;支持服务器、虚拟机的高性能商用密码服务端解决方案;高性能商用密码冷存储、热存储,包含Hadoop大数据存储;高性能商用密码区块链;高性能商用密码VPN、高性能商用密码ADC。

记者:在商用密码实现性能优化上,有哪些创新的具体思路?

郭刚:在硬件这一块,国际、国内通常都是从三个方面去优化创新。第一,硬件架构要有一个突破。要紧紧跟踪国际最新硬件接口技术,按照国密标准和规范,重点研究国密标准在最新硬件接口的最优实现路径。第二,是算法优化。算法优化设计是密码硬件创新的另一个重要方向。算法优化创新的重点就在软算法的优化和硬件适配性优化设计。我们统计,通过算法优化通常可以提升系统性能在10%以上,可见算法优化技术的潜力巨大。第三,就是功能创新。在功能实现方面我们主要从两个方向,一是接口多样性,主要分软件接口、硬件接口、混合接口,渔翁最新MINI PCI-E3.0密码卡就是三合一多接口产品,应用场景广泛;二是易用性方面,主要是提高用户的体验。硬件的体验性,实际上还有很多提升的空间。硬件性能优化主要是从以上三个方面进行着手。

渔翁信息总裁郭刚回答记者提问

记者:对高性能密码硬件的实现,主要的挑战是什么?

郭刚:主要挑战还是要实现自主可控。我们知道,密码是网络安全的核心技术和基础支撑,是构建网络信任体系的重要基石,是国家的重要战略性资源。自主可控是其必然要求。但是由于起步晚、基础薄弱,我们在很多领域都与对手差距巨大,这是不争的事实。这就要处理好一个矛盾,就是我们得用普通的芯片做出一流的产品,否则都大数据时代了,我们硬件再穿越回到386、486时代那会是一种什么样的体验?将心比心,我们也无法接受,这就意味着既要实现自主可控最大化,也要保持高性能、高稳定性,自主可控又不能以牺牲性能为代价,这就是我们自主可控的现状。

记者:刚才您说到用普通的硬件完成一流的产品的过程,您觉得用普通的硬件产品然后完成咱们目前的现有的产品,有什么样的技术难度,它可实现的依据在哪里?有可实现的可能吗?

郭刚:可实现的难度是什么呢?就拿我们密码硬件常用的DSP、FPGA这两种通用芯片来说,至今被高通、赛灵思等国外厂商垄断,国内无论是数量还是质量都找不到满足要求的产品,有限的几家勉强可用的,我们试用的结果就是性能和稳定性大幅降低,不单单芯片本身的性能差,实际上最重要的是它的生态非常薄弱。开发一个芯片,各种各样的场景下怎么用这个芯片,怎么实现,还有各种各样的一些接口,这些东西实际上是非常薄弱的。  

记者:应用场景的限制?

郭刚:对,应用场景我们要搭建,要从头开始搭建。同时,还得利用现有的资源,最大程度发掘我们国产硬件的潜力,扬长避短,在创新上寻找突破口,这也是我们自主可控能够用普通的硬件做出一流产品来的一个途径。包括刚才说的算法优化创新等等,所以我们认为跟炼石的结合,我觉得应该是国产密码自主可控创新的一个缩影,也是一个比较理想的架构模式。

记者:在高速密码硬件创新方面都有哪些成果?

郭刚:渔翁产品一贯坚持的原则就是在“高稳定性、高安全性基础上实现最高性能”,20年来我们这一原则一以贯之,始终不渝。2006年我们就推出了国内第一款PCI-E密码,当时是填补了国内的空白,国产密码性能进入千兆时代,带动了加密机、签名验签服务器、VPN等进入高速时代。这次论坛我们也给大家展示了我们最新产品,目前国内最高水平的PCI-E 5.0密码卡,这个卡性能据我们了解,是在一般硬卡性能的5-6倍之上,目前还没有发现比我们这个性能再高的。下一步,我们准备在虚拟化这一块,在云这一块,明年我们准备推出自主可控、超高速的密码卡。

记者:会给我们带来什么样的惊喜吗?

郭刚:未来,我们决定在自主可控方面进行突破,渔翁信息自主可控系列产品正在按计划进行。目前,我觉得基础薄弱可能也是好事,因为以前我们思考问题都是围绕着国外现有的基础架构在进行思考,比如我们现在做手机上的应用实际上都是基于Android在做,Android实际上限制了我们的一些思路,一些创新。在这种情况下,我们的经验就是想抛开现有的这些硬件,我们现在是完全走自主可控的道路,沿着自主可控这么一个路线去创新。下一步我们将在虚拟化领域做一个最大突破,也就是云技术。大数据,包括下一步的区块链,虚拟化已成为一项很关键的技术。我们经过两年多的研究,探索出几条可以完全实现自主可控的途径,并且在性能上也有一定的突破。我们相信只要大家抱着必胜的信心,假以时日包括渔翁在内的国密厂商一定会不负国人期望! 

记者:2017年我们国家正式实施了《网络安全法》,其中有一条对密码有效使用进行了相应的规范。后期国家还发布了《密码法》征求意见稿,说明国家对于密码的应用其实是非常重视的。请白总给我们介绍一下,行业用户现在在对密码的使用方面,还有哪些问题?

白小勇:在有了高性能商用密码软硬件产品后,对于已经在使用的广泛存量应用系统如何添加密码安全能力,是个更严峻的挑战。改造应用系统成本极高,而使用Gartner推荐的CASB云访问安全代理技术正是能够帮助用户应对这一挑战的利器。炼石基于高性能商用密码技术打造了CASB产品:CipherGateway(SJJ1717业务数据代理加密网关),通过独有的委托式安全代理技术,可以在不改造应用系统的情况下,将数据安全乃至业务安全功能适配进业务流程中,使应用系统获得近乎于內建的安全能力。无论应用部署在云模式,还是私有模式,CASB都能为企业应用的业务级安全保驾护航。对密码技术来说,通过CASB这种模式解决了密码能力如何融入业务应用的问题,尤其是面对需要安全增强的遗留系统,以及客户难以二次开发的SaaS应用。

校友简介

白小勇,2003年在化学与化工学院获得学士学位,2005年在软件学院获得硕士学位,北京炼石网络技术有限公司创始人、首席执行官。曾任用友软件研发平台总监,先后负责ERP研发团队和开发平台团队。

郭刚,我校软件学院2008级硕士,山东渔翁信息技术股份有限公司创始人、总裁,人社部优秀中青年专家,国内密码硬件技术专家,国家密码科技进步奖获得者

来源:
分享到:
新浪微博
腾讯微博
开心网
人人网
豆瓣网
分享到: 微信 (备注:需要通过手机等移动终端设备进行分享)