零信云密码服务 (ZT CaaS)

一、 密码是零信任安全的基石

什么是密码？《密码法》第二条有明确定义：“本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”这个定义非常清晰，密码就是用于信息加密和安全认证的技术、产品和服务。这里当然指的是国产密码和国产密码算法。而零信任原则是“永不信任、始终验证”，强调的就是要不断验证身份，这是密码的重要功能之一的“安全认证”，零信技术零信任安全解决方案不采用不安全的用户名/口令认证，而是采用密码技术，准确地说采用PKI数字证书技术来实现强身份认证，这是密码的一个重要核心应用。

密码的另一个更重要的核心应用就是“信息加密”，这是解决零信任安全的更重要的核心部分—数据安全，无论是美国国家标准研究院制定的《零信任架构》还是美国管理和预算办公室（OMB）发布了《美国联邦政府零信任战略》，都高度强调了密码/PKI的应用，强调了采用密码技术实现信息加密的重要性，包括https加密和邮件加密等，这同我国《密码法》的第二个核心应用要求高度一致。因为零信任安全的目的还是为了保护数据安全。

我们也可以解读《密码法》的核心也是零信任，必须采用国产密码实现身份认证，必须采用国产密码实现信息加密，必须采用国产密码来保证国家关键信息基础设施的安全。所以，零信技术的三大理念是：永不信任、始终验签和始终加密。全面采用国产密码实现始终验证签名和始终加密信息。

二、 零信云密码服务内容简介

零信云密码服务由零信技术零信任安全核心基础设施(简称：零信云密码基础设施)提供，零信云密码服务主要由用于身份认证的IA系统、用于签发数字证书的CA系统、用于证书透明管理的CT系统、用于管理密钥的KM系统、用于时间戳服务的TS系统、用于查询证书状态的CR系统、用于数字签名的DS系统和用于数据加密的DE系统等八大云端系统组成，这些云端系统保障了每个网络元素身份可信和每次连接加密，可靠地为零信任安全提供国密合规和全球信任的密码服务。

下图为零信技术提供的基于云密码服务的零信任安全技术实现示意图。零信任的五大安全目标是：网络中的个体身份可信、网络中的设备可信、网络中的流量加密、网络中的应用可信和网络中的数据加密，这五大目标都可以通过数字证书的数字签名和加密来实现。由此可见，密码技术就是零信任安全的底座技术。

网络中的每个元素都有可信身份，都由云密码服务为其颁发数字证书，用数字签名证明其身份可信，每次访问都会验证其数字身份(验签)。而为了保护数据本身，每个数据都会用证书加密，以密文方式存放在云端，用户验证身份合法获取后用其身份证书解密即可得到明文。至于什么身份才能访问什么数据，则由访问策略系统制定，由身份认证系统验证数字签名后按照访问策略允许访问相应的数据。用户拿到数据后也要验证数据身份和数据时间戳签名后才会用其私钥解密使用。而网络流量加密主要是采用SSL证书实现https加密、DNS加密和SMTP/IMAP加密，有效保障各种网络流量加密，保障零信任基础安全。

零信云密码服务全面支持国密算法SM2/SM3/SM4和国际算法RSA/ECC，用户可选采用SM2算法、RSA算法或ECC算法实现数字签名、加密和时间戳服务，确保业务所需的密码应用的全球信任和国密合规。用户可选支持双算法双SSL证书的自适应https加密服务，确保无论用户使用何种浏览器都能实现https加密。对于数字签名，用户可选双算法双数字签名服务，支持国密算法的软件系统验证国密签名，仅支持国际算法的软件系统验证RSA签名，配套的时间戳签名服务也会自动根据用户选择的签名算法自适应时间戳签名算法。双算法自适应解决方案能最大限度满足用户的通用兼容要求，同时满足全球信任和国密合规的密码应用需求。

三、 定制零信任安全中级根证书

为了采用零信任安全原则来保护各种信息系统安全，用户可选零信云密码服务来为各种系统全自动部署所需的各种数字证书，这些数字证书都是从零信中级根证书签发，对于对证书安全可控有更高要求的单位，推荐定制零信任安全专用中级根证书，夯实零信任安全的核心基础设施。主要有以下产品和服务：

1. 定制SSL证书中级根证书

零信第一原则是加密所有http流量，不信任明文传输的http网站系统。所有网站系统都必须部署SSL证书才能实现https加密，零信国密HTTPS加密自动化云服务让用户无需费力费时去申请SSL证书和安装SSL证书，也无需在服务器上安装一个ACME客户端软件，只需做两次CNAME域名解析即可自动申请和部署SSL证书到云WAF和CDN服务系统，全自动实现网站https加密和云WAF防护。这是一个采用公共零信SSL中级根证书来签发SSL证书的方案，对于重要的政府网站系统和云服务系统，推荐定制自己的SSL中级根证书来提升业务系统安全水平。推荐定制双算法双SSL中级根证书，一个是国密SM2 SSL中级根证书，用于签发国密SSL证书，满足国密合规的要求；一个是国际ECC SSL中级根证书，用于签发ECC SSL证书，满足全球信任的要求。

也就是说，基于零信任原则，所有网站和业务系统必须每次验证https加密连接，并且只信任自己的SSL中级根证书签发的SSL证书，可有效杜绝https中间人攻击。这个定制解决方案比每次验证特定的某张SSL证书要灵活得多，并且更加安全可控。

2. 定制电子邮件证书中级根证书

零信第二原则是加密所有电子邮件流量，不信任明文电子邮件。不仅Web邮件登录页需要部署SSL证书，SMTP和IMAP/POP3服务也都必须部署SSL证书，而且最关键的是要实现电子邮件的端到端加密，保障电子邮件发出后在途中和在云中的全程加密。零信技术邮件安全云服务让用户无需费力费时去申请电子邮件证书，无需事先交换公钥，无需自己管理密钥，无需更换邮件客户端软件，只需选购零信邮件安全云服务即可。这是一个共用零信电子邮件中级根证书来签发电子邮件证书的方案，对于重要的政务邮件和企业邮件，推荐定制自己的电子邮件中级根证书来提升邮件系统安全水平。推荐定制双算法双电子邮件中级根证书，一个是国密SM2电子邮件中级根证书，用于签发国密电子邮件证书，满足国密合规的要求，一个是国际RSA电子邮件中级根证书，用于签发RSA电子邮件证书，满足全球信任的要求。

也就是说，基于零信任原则，政务邮件通信和企业邮件通信每次都验证电子邮件的数字签名，只信任自己的邮件证书中级根证书签发的邮件证书的数字签名和加密，可有效杜绝假冒身份邮件，确保邮件安全。这个定制解决方案比每次验证特定的某张或某些邮件证书要灵活得多，并且更加安全可控。

3. 定制代码签名证书中级根证书

零信第三原则是数字签名所有软件代码，不信任无数字签名的软件代码。不仅所有Windows软件都需要数字签名，而且更重要的是所有OTA空中升级软件都必须有数字签名，零信应用安全云服务让用户无需费力费时去申请代码签名证书，无需等待快递USB key硬证书，无需自己管理密钥，只需选购零信应用安全云服务即可。这是一个采用公共零信代码签名中级根证书来签发代码签名证书用于云签名服务的方案，对于有各种重要的软件代码需要数字签名的单位(如操作系统厂商、安全系统研发厂商、各种大型智能设备制造商等)，推荐定制自己的代码签名中级根证书来提升代码签名服务的安全水平。推荐定制双算法双代码签名中级根证书，一个是国密SM2代码签名中级根证书，用于签发国密代码签名证书，满足国密合规的要求，一个是国际RSA代码签名中级根证书，用于签发RSA代码签名证书，满足全球信任的要求。

也就是说，基于零信任原则，操作系统厂商都必须每次验证安装和运行的代码的数字签名，只信任自己的代码签名中级根证书签发的代码签名证书签名的代码，确保操作系统安全。智能设备厂商所有设备的OTA空中升级软件每次都必须先验证下载的软件是否可信，是否有数字签名和是否是自己的代码签名中级根证书签发的代码签名证书签名的，只信任自己的代码签名中级根证书的代码签名证书的数字签名，能确保是正宗的升级软件包，而不是恶意攻击软件。这个定制解决方案比每次验证特定的某张代码签名证书要灵活得多，并且更加安全可控。

4. 定制电子文档证书中级根证书

零信第四原则是数字签名所有电子文档，不信任无数字签名的电子文档。无论是政务电子文档还是企业电子文档，都应该有数字签名来保证文档发布者身份真实可信，零信文档安全云服务让用户无需费力费时去申请文档签名证书，无需等待快递USB key硬证书，无需自己管理密钥，只需选购零信文档安全云服务即可。这是一个采用公共零信文档签名中级根证书来签发文档签名证书用于云签名服务的方案，对于有大量重要文档需要数字签名的政府单位和大企业(包括电子签名服务提供商)，推荐定制自己的文档签名中级根证书来提升文档签名服务的安全水平。推荐定制双算法双文档签名中级根证书，一个是国密SM2文档签名中级根证书，用于签发国密文档签名证书，满足国密合规的要求，一个是国际RSA文档签名中级根证书，用于签发RSA文档签名证书，满足全球信任的要求。

也就是说，基于零信任原则，政府和企业内部管理系统每次都验证各种文档的数字签名，只信任自己的文档签名中根证书签发的文档签名证书签名的文档，确保文档安全！同时告知用户也要查验文档是否有数字签名和是哪个中级根证书签发的文档签名证书实现的数字签名，只有这样才能不会被假冒文档上当受骗。这个定制解决方案比每次验证特定的某张文档签名证书要灵活得多，并且更加安全可控。

5. 定制物联网专用中级根证书

零信第五原则是只信任有可信数字身份的个体，不信任未认证身份的个体。对于物联网来讲，每个物联网设备都必须有一张可信身份证书(设备证书)，代表设备的唯一可信身份，用于设备与设备中间、人与设备之间的通信和数据交换。零信云CA服务和云KM服务为物联网设备自动下发密钥和自动签发设备证书，这张证书是从一个公共的零信物联网专用中级根证书签发，对于有大量物联网设备需要物联网设备证书的用户，推荐定制自己的物联网专用中级根证书来提升物联网设备的基础安全水平。推荐定制双算法双物联网专用中级根证书，一个是国密SM2物联网专用中级根证书，用于签发国密物联网专用证书，满足国密合规的要求，一个是国际ECC物联网专用中级根证书，用于签发ECC物联网专用证书，满足全球信任的要求。

也就是说，基于零信任原则，给每个物联网设备颁发一张物联网设备证书(身份证书或SSL证书)用于证明身份和加密通信，只信任自己的物联网专用中级根证书签发的物联网证书的设备发起的加密通信，确保物联网安全。这个定制解决方案比每次验证特定的某张或某类设备证书要灵活得多，并且更加安全可控。

四、 零信密码服务系统本地化部署

零信云密码服务由零信云密码基础设施提供，主要由用于身份认证的IA系统、用于签发数字证书的CA系统、用于证书透明管理的CT系统、用于管理密钥的KM系统、用于时间戳服务的TS系统、用于查询证书状态的CR系统、用于数字签名的DS系统和用于数据加密的DE系统等八大云端系统组成，这些云端系统保障了每个网络元素身份可信和每次连接加密，可靠地为零信任安全提供密码服务。

如果政府机构和大型企业有大量的系统需要自主可控的密码服务，可以按需选购并本地化部署零信云密码基础设施的各大子系统产品。这些系统不仅提供密码服务，同时能连接零信云密码服务自动获取业务所需的各种全球信任和国密合规的数字证书，实现业务系统所需的数字签名、加密和时间戳服务。

五、 零信云密码服务优势分析

零信技术创始人拥有十八年的国际CA运营建设经验，并且同国内和国际各大CA有非常好的合作关系，使得零信云密码服务能为各种云密码应用全自动配置全球信任和国密合规的数字证书用于数字签名和加密。而公司创始人对密码技术坚持十七年的不断深入研究和创新，保证了零信云密码服务的技术领先地位。