1.1 引言/導(dǎo)讀

中國信息通信研究院作為工業(yè)和信息化部直屬科研事業(yè)單位，致力于工業(yè)互聯(lián)網(wǎng)領(lǐng)域技術(shù)研究工作，為我國工業(yè)互聯(lián)網(wǎng)發(fā)展提供技術(shù)保障。同時，我院于2020年正式成立密碼應(yīng)用推進(jìn)中心，推進(jìn)我國商用密碼基礎(chǔ)科研能力建設(shè)。我國目前在加快構(gòu)建工業(yè)和信息化領(lǐng)域完備的商用密碼應(yīng)用標(biāo)準(zhǔn)體系的同時，堅持創(chuàng)新驅(qū)動，圍繞制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略重點領(lǐng)域，積極推動新興技術(shù)與密碼技術(shù)深度融合和協(xié)同創(chuàng)新。

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系作為關(guān)鍵信息基礎(chǔ)設(shè)施，遵循我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》。隨著條例的正式發(fā)布，國家對密碼類安全產(chǎn)品的“安全可控”能力顯得尤為必要，國產(chǎn)密碼算法的驗證研究迫在眉睫。中國信息通信研究院將國產(chǎn)密碼算法融入到工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中，形成對應(yīng)用、推廣、迭代的研究方案，并積極開展基礎(chǔ)理論、創(chuàng)新模式、關(guān)鍵技術(shù)與標(biāo)準(zhǔn)、應(yīng)用試驗驗證等技術(shù)研究，提升標(biāo)識解析體系整體安全防護(hù)能力，切實保護(hù)工業(yè)互聯(lián)網(wǎng)信息數(shù)據(jù)安全，為我國工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護(hù)航。

1.2 關(guān)鍵詞

  商用/國產(chǎn)密碼算法、標(biāo)識解析服務(wù)、遞歸解析服務(wù)

1.3 測試床項目承接主體

1.3.1 發(fā)起公司和主要聯(lián)系人聯(lián)系方式

發(fā)起公司：中國信息通信研究院

聯(lián)系人：劉紅炎，13810863339，liuhongyan@caict.ac.cn

1.3.2 合作公司

     北京泰爾英福科技有限公司

   北京市熱力集團(tuán)有限公司

   江蘇中天科技集團(tuán)

1.4 測試床項目目標(biāo)

 國家高度重視工業(yè)互聯(lián)網(wǎng)安全工作，《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》（以下簡稱《指導(dǎo)意見》）中從設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺安全和數(shù)據(jù)安全五個維度開展安全體系建設(shè)，其中，“自主可控，安全可靠”成為工業(yè)互聯(lián)網(wǎng)發(fā)展的方向。目前，商用國產(chǎn)密碼算法行業(yè)仍處于起步階段，尚未形成密碼企業(yè)集群發(fā)展之勢，相對于國外商用密碼市場軟硬件產(chǎn)品分布較均衡，我國商用密碼市場較為分散。工業(yè)互聯(lián)網(wǎng)標(biāo)識解析作為我國工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施，將會面對越來越嚴(yán)峻的安全風(fēng)險。因此，亟需通過探索研究并制定技術(shù)方案，來驗證國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中的可行性。

基于工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系的密碼應(yīng)用測試床目標(biāo)是將國產(chǎn)密碼算法應(yīng)用在標(biāo)識解析體系中，驗證國產(chǎn)密碼算法在標(biāo)識注冊、標(biāo)識解析等應(yīng)用場景中的方案是否可行。通過對國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中的驗證研究，保證了標(biāo)識數(shù)據(jù)的安全可信和標(biāo)識服務(wù)身份合法可信，從而促成我國工業(yè)互聯(lián)網(wǎng)的安全平穩(wěn)發(fā)展。

1.5 測試床方案架構(gòu)

1.5.1 測試床應(yīng)用場景

本測試床基于國家工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系，使用國產(chǎn)密碼在標(biāo)識注冊、標(biāo)識解析和標(biāo)識數(shù)據(jù)同步的場景中進(jìn)行驗證。國家工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系由三層架構(gòu)組成，分別為國家頂級、二級和企業(yè)。另外，還提供公共遞歸服務(wù)，為用戶訪問提供統(tǒng)一入口。目前網(wǎng)絡(luò)標(biāo)識數(shù)據(jù)傳輸中，由于數(shù)據(jù)敏感度較高，為保障數(shù)據(jù)隱私性，所有在數(shù)據(jù)傳輸中使用了密碼機(jī)制，但是目前使用的是國際上通用的密碼體系，如RSA、DSA等公開密碼算法，其在效率和安全性方面存在問題，而且是非自主獨(dú)立可控的算法體系，因此需要能既保證數(shù)據(jù)安全可靠，又保證自主可控的解決方案。基于國產(chǎn)密碼算法的應(yīng)用能在保障數(shù)據(jù)可信使用的前提下，有效提高傳輸速率，提供用戶體驗，為保證我國工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系自主可控，安全可靠的建設(shè)奠定基石。

1.5.2 測試床架構(gòu)

本測試床是為了驗證國產(chǎn)密碼算法與標(biāo)識解析體系結(jié)合，以保證標(biāo)識解析數(shù)據(jù)可信且可靠。在AII總體架構(gòu)中屬于安全功能視圖中的保密性、完整性、隱私和數(shù)據(jù)保護(hù)部分內(nèi)容，即標(biāo)識數(shù)據(jù)在數(shù)據(jù)提供方安全自主可控制的范圍內(nèi)傳遞給使用方，并知曉數(shù)據(jù)安全情況，安全體系框架如下圖所示。

工業(yè)互聯(lián)網(wǎng)功能視圖安全體系框架

1.5.3 測試床方案

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系由三層架構(gòu)組成，分別為國家頂級、二級和企業(yè)，其中標(biāo)識公共遞歸解析應(yīng)用在標(biāo)識解析體系的全流程中。國家頂級包括國家級標(biāo)識的注冊和解析節(jié)點，數(shù)據(jù)同步節(jié)點，實現(xiàn)國家二級前綴的注冊、解析和數(shù)據(jù)同步功能。二級包括企業(yè)標(biāo)識前綴的注冊和解析節(jié)點，為企業(yè)提供標(biāo)識前綴的注冊和解析功能。企業(yè)包括企業(yè)節(jié)點的注冊和解析，為企業(yè)具體標(biāo)識提供注冊和解析功能，以上三層架構(gòu)和功能通過公共標(biāo)識遞歸節(jié)點提供公共查詢?nèi)肟冢瑢ν馓峁┕I(yè)互聯(lián)網(wǎng)標(biāo)識解析功能。

（1）標(biāo)識注冊解析系統(tǒng)

標(biāo)識注冊解析系統(tǒng)包括注冊系統(tǒng)和解析系統(tǒng)，注冊系統(tǒng)負(fù)責(zé)標(biāo)識數(shù)據(jù)寫入，解析系統(tǒng)輸出標(biāo)識數(shù)據(jù)查詢結(jié)果，標(biāo)識注冊系統(tǒng)主動向標(biāo)識解析系統(tǒng)做數(shù)據(jù)同步。注冊系統(tǒng)和解析系統(tǒng)共同協(xié)作，實現(xiàn)對機(jī)器、物品等進(jìn)行唯一性的定位和信息查詢，是實現(xiàn)全球供應(yīng)鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)精準(zhǔn)對接、產(chǎn)品全生命周期管理和智能化服務(wù)的前提和基礎(chǔ)。

標(biāo)識注冊解析系統(tǒng)

 如上圖所示，在標(biāo)識注冊解析系統(tǒng)中，工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系由國家頂級節(jié)點、二級節(jié)點和企業(yè)節(jié)點組成三層體系架構(gòu)組成。其中，國家頂級節(jié)點完成所有二級節(jié)點的標(biāo)識前綴分配和注冊，二級節(jié)點完成其下的所有企業(yè)節(jié)點接入功能。企業(yè)節(jié)點可以實現(xiàn)企業(yè)內(nèi)部標(biāo)識產(chǎn)品的注冊和解析，完成企業(yè)的實際需求。

國產(chǎn)密碼算法在標(biāo)識注冊解析系統(tǒng)的測試驗證，具體描述如下：

? 標(biāo)識國家頂級節(jié)點制作自簽名證書，在啟用可信解析的情況下，頂級節(jié)點給二級節(jié)點頒發(fā)證書，二級節(jié)點對企業(yè)節(jié)點進(jìn)行簽名。在各級標(biāo)識節(jié)點之間，使用國產(chǎn)密碼算法SM2、 SM3算法，采用數(shù)字證書可信驗證機(jī)制核驗節(jié)點身份，實現(xiàn)節(jié)點身份可信。

? 標(biāo)識權(quán)威注冊系統(tǒng)和解析系統(tǒng)之間，使用全信道來同步數(shù)據(jù)，安全信道使用SM2、SM3、SM4國產(chǎn)密碼算法進(jìn)行加密傳輸。

（2）遞歸標(biāo)識解析系統(tǒng)

公共遞歸節(jié)點是標(biāo)識解析體系中客戶端請求的第一環(huán)節(jié)，提供標(biāo)識解析的統(tǒng)一入口，通過分別向國家頂級節(jié)點、二級節(jié)點、企業(yè)節(jié)點進(jìn)行相應(yīng)解析請求，最終獲取標(biāo)識的詳細(xì)信息反饋給客戶端。

標(biāo)識遞歸解析系統(tǒng)

如上圖標(biāo)識遞歸解析系統(tǒng)所示：客戶端向遞歸發(fā)起請求，遞歸節(jié)點第一跳指向國家頂級節(jié)點，國家頂級節(jié)點接收到標(biāo)識請求后，根據(jù)前綴信息返回遞歸節(jié)點二級節(jié)點HS_SITE信息，遞歸節(jié)點繼續(xù)向二級節(jié)點HS_SITE站點發(fā)起標(biāo)識查詢，二級節(jié)點根據(jù)請求前綴返回企業(yè)節(jié)點的HS_SITE信息，遞歸節(jié)點繼續(xù)向企業(yè)節(jié)點HS_SITE站點發(fā)起標(biāo)識查詢，獲取到標(biāo)識解析最終結(jié)果，并將該結(jié)果返回至請求客戶端。在該環(huán)節(jié)中，為了保證數(shù)據(jù)可信，可靠的傳遞到客戶端。在整個解析過程中，驗證了國產(chǎn)密碼算法在全流程中實施的可行性，具體如下：

? 在遞歸節(jié)點向頂級、二級和企業(yè)查詢時，使用了SM2、SM3國產(chǎn)密碼算法來進(jìn)行簽名和驗證簽名，保證了消息的來源可信和內(nèi)容可信。

? 在遞歸解析的過程中，為了保證國家頂級、二級和企業(yè)節(jié)點身份可信，需要對其身份進(jìn)行驗證，并將驗證后的結(jié)果返回給客戶端。此環(huán)節(jié)使用了國產(chǎn)密碼SM2和SM3算法。

1.5.4 方案重點技術(shù)

目前，在工業(yè)互聯(lián)網(wǎng)標(biāo)識數(shù)據(jù)交互中，為了保證數(shù)據(jù)在網(wǎng)絡(luò)上安全可靠的傳輸，廣泛采用了比較成熟的國際標(biāo)準(zhǔn)密碼體系進(jìn)行安全防護(hù)，如DSA、RSA加解密算法。本測試床在現(xiàn)有的標(biāo)識解析技術(shù)基礎(chǔ)之上，使用國產(chǎn)密碼算法在標(biāo)識解析各個環(huán)節(jié)中進(jìn)行安全加固。國產(chǎn)密碼算法在安全性、簽名速度和存貯資源占用上，都明顯優(yōu)于國際標(biāo)準(zhǔn)算法。

? 安全性：基于ECC的SM2證書普遍采用256位密鑰長度，加密強(qiáng)度等同于3072位RSA證書，安全性遠(yuǎn)高于業(yè)界普遍采用的2048位RSA證書。

? 簽名速度：SM2在私鑰運(yùn)算上，速度遠(yuǎn)比RSA快得多。

? 存貯空間：SM2算法的密碼一般使用192-256位，RSA算法密碼一般需要使用2048-4096位。這意味著SM2算法的證書字節(jié)數(shù)更少，在高并發(fā)的情況下消耗資源更少，速度更快。

技術(shù)驗證如下表所示：

1.5.5 方案自主研發(fā)性、創(chuàng)新性及先進(jìn)性

本測試床方案是中國信息通信研究院基于工業(yè)互聯(lián)網(wǎng)標(biāo)識解析技術(shù)體系，將國產(chǎn)密碼算法應(yīng)用到工業(yè)互聯(lián)網(wǎng)標(biāo)識解析的研究驗證。測試床的實施方案經(jīng)過需求分析、關(guān)鍵技術(shù)驗證和可行性分析后得出。相關(guān)軟件系統(tǒng)由中國信息通信研究院自主研發(fā)，以上工作均體現(xiàn)了本測試床方案的自主研發(fā)性。

基于工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系，采用國產(chǎn)密碼算法加固了該體系安全性。同時，拓展到標(biāo)識解析應(yīng)用環(huán)節(jié)，安全指標(biāo)得到較大提升，完成了標(biāo)識網(wǎng)絡(luò)技術(shù)探索實踐，因此本測試床方案具有創(chuàng)新性和技術(shù)運(yùn)用的先進(jìn)性。

1.5.6   方案安全風(fēng)險控制

本測試床是基于國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中的一個測試驗證，在測試方案中使用了國產(chǎn)密碼算法來加固標(biāo)識數(shù)據(jù)的安全性。這樣，雖然比起國際通用算法DSA、RSA性能有所提高，但是加固安全確實影響服務(wù)器解析性能。為了防止DDOS攻擊，在傳輸層開啟了最大連接數(shù)，超過該數(shù)值，則鏈接關(guān)閉。而且還應(yīng)用LVS技術(shù)，實現(xiàn)負(fù)載均衡，提升高可靠，高可用性。在態(tài)勢網(wǎng)絡(luò)感知方面，使用了自主研發(fā)的標(biāo)識監(jiān)測系統(tǒng)，通過主動探測、被動探測等技術(shù)，實時對工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系的相關(guān)服務(wù)進(jìn)行監(jiān)控。對異常服務(wù)情況做到了實時監(jiān)控，報警并推送負(fù)責(zé)人，以便及時處理。

1.6 測試床實施部署

1.6.1 測試床實施規(guī)劃

1.6.2 測試床實施的技術(shù)支撐及保障措施

本測試床實施所需要的支撐保障，主要是由目標(biāo)主機(jī)提供適用于測試床部署的軟硬件環(huán)境及網(wǎng)絡(luò)通信環(huán)境，具體細(xì)節(jié)要求如下：

硬件環(huán)境：5臺服務(wù)器（ 32核 CPU， 128G 內(nèi)存，1T 硬盤）；

系統(tǒng)環(huán)境：CentOS 7.5及以上；

網(wǎng)卡：千兆網(wǎng)卡；

編譯環(huán)境：GCC4.8.5或以上，Eclipse 等。

1.6.3 測試床實施的自主可控性

基于國產(chǎn)密碼算法的工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系，從整個技術(shù)架構(gòu)到代碼實現(xiàn)，核心系統(tǒng)使用C/C++編程，G++編譯，完成研發(fā)并上線運(yùn)行。

綜上所述，基于工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系的密碼應(yīng)用測試床驗證方案從源碼、編譯、調(diào)試、測試，到實施部署試運(yùn)行，再到調(diào)整上線正式運(yùn)行的全生命周期都具備自主可控性。

1.7 測試床預(yù)期成果

1.7.1 測試床的預(yù)期可量化實施結(jié)果

輸出國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中的標(biāo)識權(quán)威解析服務(wù)、標(biāo)識注冊服務(wù)和標(biāo)識遞歸解析查詢服務(wù)等相關(guān)系統(tǒng)及軟件著作權(quán)。

1.7.2 測試床的商業(yè)價值、經(jīng)濟(jì)效益

本測試床構(gòu)建完成后，既驗證了國產(chǎn)密碼算法在保障工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系全流程安全方面的可行性，降低了工業(yè)互聯(lián)網(wǎng)標(biāo)識產(chǎn)業(yè)經(jīng)濟(jì)損失風(fēng)險，又帶動我國商業(yè)密碼產(chǎn)業(yè)規(guī)模發(fā)展，進(jìn)一步促進(jìn)國產(chǎn)密碼算法的推廣。

1.7.3 測試床的社會價值

密碼直接關(guān)系到國家政治安全、經(jīng)濟(jì)安全、國防安全和網(wǎng)絡(luò)安全，同時也關(guān)系到社會組織和公民個人的合法權(quán)益。將國產(chǎn)密碼算法應(yīng)用到工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中進(jìn)行測試驗證，對保障我國工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施的自主可控、安全可靠具有里程碑的意義。

1.7.4 測試床初步推廣應(yīng)用案例

本測試床項目在北京市熱力集團(tuán)有限公司和江蘇中天科技股份有限公司兩家企業(yè)間進(jìn)行探索應(yīng)用。兩家企業(yè)在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析國產(chǎn)密碼應(yīng)用方面有較強(qiáng)的需求，這也是測試床驗證的主要應(yīng)用案例。

北京熱力集團(tuán)嵌入式終端在標(biāo)識注冊及終端發(fā)起的標(biāo)識解析中使用國產(chǎn)加密算法；江蘇中天科技股份有限公司，在標(biāo)識解析應(yīng)該過程中使用國產(chǎn)加密算法，保障標(biāo)識注冊和解析數(shù)據(jù)可以安全可靠的傳輸。

1.8 測試床成果驗證

1.8.1 測試床成果驗證計劃

擬根據(jù)測試床在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系適用的生產(chǎn)環(huán)境內(nèi)，基于國產(chǎn)密碼算法的技術(shù)要點，通過對安全信道、可信解析和消息憑據(jù)，三個維度來驗證本測試床實際使用效果。

1.8.2 測試床成果驗證方案

在開發(fā)滿足本測試床的相關(guān)需求后，搭建一套完整的OTE環(huán)境，并測試標(biāo)識的注冊、解析流程，以便驗證國產(chǎn)密碼算法在該測試床中的應(yīng)用。

在標(biāo)識注冊系統(tǒng)中驗證國產(chǎn)密碼算法TLS、證書的頒發(fā)，用于評價數(shù)據(jù)的可信可靠傳輸，二級節(jié)點和企業(yè)節(jié)點的身份的授權(quán)認(rèn)證。

在標(biāo)識解析系統(tǒng)中來驗證基于國產(chǎn)密碼算法加固數(shù)據(jù)的完整性和不可篡改性，用于評價標(biāo)識數(shù)據(jù)的傳輸安全效果。

在標(biāo)識遞歸解析流程中，使用遞歸系統(tǒng)來驗證整改解析流程數(shù)據(jù)的真實可信，用于評價標(biāo)識 數(shù)據(jù)內(nèi)容可信，身份可信。

通過以上的整個流程的驗證測試，可以完全實現(xiàn)標(biāo)識注冊、標(biāo)識解析、標(biāo)識數(shù)據(jù)同步的各個環(huán)節(jié)自主可控，并驗證了工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系全流程自主可控。

1.9 與已存在AII測試床的關(guān)系

本測試床屬于工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，具有較高的研究、應(yīng)用和推廣價值。

1.10 測試床成果交付

1.10.1 測試床成果交付件

本測試床最后提供的交付件為一套基于國產(chǎn)密碼算法的工業(yè)互聯(lián)網(wǎng)標(biāo)識解析系統(tǒng)試驗證平臺，驗證的成功標(biāo)準(zhǔn)是可以把該平臺應(yīng)用到工業(yè)互聯(lián)相關(guān)的產(chǎn)業(yè)中，如北京熱力集團(tuán)嵌入式終端在標(biāo)識注冊及終端發(fā)起的標(biāo)識解析中應(yīng)用，預(yù)計要完成30萬熱計量表、室內(nèi)溫控設(shè)備終端上線應(yīng)用。可以實現(xiàn)對計量表、室內(nèi)溫控設(shè)備終端數(shù)據(jù)的全程監(jiān)控。

1.10.2 測試床可復(fù)制性

本測試床用可應(yīng)用在工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施建設(shè)中，如船舶、集裝箱、石化、食品、醫(yī)療器械等多個領(lǐng)域，未來更多的行業(yè)會逐步加入。其主要測試應(yīng)用場景為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的安全加固，實現(xiàn)標(biāo)識數(shù)據(jù)的可信可靠流轉(zhuǎn)。

1.10.3 測試床開放性

本測試床是對國產(chǎn)密碼算法在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中的一種測試驗證。與現(xiàn)有的企業(yè)內(nèi)部系統(tǒng)，如ERP、MES等完全獨(dú)立，沒有耦合性。可以在各企業(yè)部署并完成測試驗證，因此具有很高的開放性。

1.11 其他信息

1.11.1 測試床使用者

中國信息通信研究院負(fù)責(zé)具體代碼編寫、解決方案部署、后續(xù)運(yùn)營技術(shù)支持等工作。只有通過申請，且申請成功的二級節(jié)點和企業(yè)節(jié)點方可接入工業(yè)互聯(lián)網(wǎng)體系中，這些接入工業(yè)互聯(lián)網(wǎng)體系的企業(yè)方可進(jìn)行多場景的可信測試。

1.11.2 測試床知識產(chǎn)權(quán)說明

中國信息通信研究院對測試床的建設(shè)、運(yùn)營以及使用擁有軟件自主產(chǎn)權(quán)。

1.11.3 測試床運(yùn)營及訪問使用

本測試床將部署于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，由中國信息通信研究院運(yùn)營，并提供相關(guān)技術(shù)支持。對測試床的訪問使用需經(jīng)過申請同意，并通過付費(fèi)、知識產(chǎn)權(quán)共享等方式有條件使用。

1.11.4 測試床資金

測試床建設(shè)資金來源于發(fā)起方中國信息通信研究院。

1.11.5 測試床時間軸

1.11.6 附加信息

 該測試床的建設(shè)面向?qū)ο蠊I(yè)互聯(lián)網(wǎng)的多個行業(yè)，可逐步應(yīng)用到船舶、集裝箱、石化、食品、醫(yī)療器械等領(lǐng)域，為各行業(yè)數(shù)據(jù)流通共享提供全新的解決方案，充分促進(jìn)數(shù)據(jù)價值釋放。

1.12 測試床進(jìn)展

基于測試床的規(guī)劃，測試床項目分為前期調(diào)研，需求和可行性分析階段、產(chǎn)品設(shè)計和開發(fā)階段、聯(lián)調(diào)試運(yùn)行階段、正式上線驗收階段和宣傳推廣階段。目前已經(jīng)完成了需求、調(diào)研和可行性分析，產(chǎn)出了相關(guān)文檔。組織了多次產(chǎn)品的設(shè)計和研討，最終方案通過評審。現(xiàn)在進(jìn)入產(chǎn)品設(shè)計、開發(fā)和調(diào)試階段，2022年08月31日完成在標(biāo)識權(quán)威系統(tǒng)中使用基于國密算法TLS通信，實現(xiàn)標(biāo)識解析各環(huán)節(jié)在網(wǎng)絡(luò)中使用國產(chǎn)密碼進(jìn)行數(shù)據(jù)加密傳輸，后續(xù)按計劃進(jìn)行其他功能的開發(fā)。

1.12.1 需求調(diào)研和可行性分析

調(diào)研了國產(chǎn)密碼的發(fā)展歷程，對國際通用密碼算法與國產(chǎn)密碼算法進(jìn)行了對比，總結(jié)并分析了它們之間的優(yōu)缺點。并對國產(chǎn)密碼算法進(jìn)行了總結(jié)，結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系，找到適合當(dāng)前解析體系的算法，并分析其適合場景以及效率。

1.12.2 設(shè)計、開發(fā)和測試

由于密碼算法是一個基礎(chǔ)框架，需要依賴于某個具體的體系，才能發(fā)揮其作用。把國產(chǎn)密碼算法應(yīng)用到工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系中，是對該體系創(chuàng)新應(yīng)用。國產(chǎn)密碼體系的在標(biāo)識解析中的應(yīng)用，具體如下：

（1）基于國產(chǎn)密碼算法的安全加密傳輸功能框架

使用SM2、SM3和SM4算法，完成底層的TLS通信，通信信道建立后，雙方可以進(jìn)行加密通信，完成數(shù)據(jù)的加密傳輸，安全通道框圖如下：

安全通道功能框圖

如上圖所示，在標(biāo)識客戶端與標(biāo)識權(quán)威系統(tǒng)之間，進(jìn)行數(shù)據(jù)安全加密傳輸，使用國密TLS協(xié)議。保證客戶端與服務(wù)器之間數(shù)據(jù)，在傳輸過程中，使用了國密算法進(jìn)行加密，保證數(shù)據(jù)不被篡改。

目前基于國產(chǎn)密碼算法的TLS通信已經(jīng)在標(biāo)識權(quán)威和注冊解析系統(tǒng)中設(shè)計完畢，功能已經(jīng)調(diào)試完畢，可以完成標(biāo)識數(shù)據(jù)的安全加密通信傳輸。

（2）基于國產(chǎn)密碼算法的安全加密傳輸功能程序流程圖

基于國密算法TLS功能流程圖

如上圖所示，在基于國產(chǎn)密碼算法安全加密通信的標(biāo)識權(quán)威系統(tǒng)中，通過開關(guān)來配置是否開啟國密算法，同時也支持國際通用標(biāo)準(zhǔn)的算法。在設(shè)計時，考慮到兼容國密算法和國際標(biāo)準(zhǔn)算法。另外，基于國密算法的TLS通信時，使用了簽名證書和加密證書，只有正確的配置了雙證書才能完成通信。 

（3）測試結(jié)果

基于國密算法TLS通信測試結(jié)果圖

如上圖所示，基于國密算法TLS在標(biāo)識解析系統(tǒng)中的測試結(jié)果，從圖中可以看出，通信過程中使用了國密SM2證書，以完成底層通信協(xié)議的建立，之后通過協(xié)商的密碼進(jìn)行加密通信。