云密碼資源池應(yīng)用實踐

劉會議

摘要：云計算所具有的虛擬化、多租戶、彈性計算等特點對安全提出了更高的要求，傳統(tǒng)密碼設(shè)備的應(yīng)用模式在云計算環(huán)境中遭受了巨大的挑戰(zhàn)。云密碼資源池將密碼資源作為云環(huán)境中基礎(chǔ)資源，具備硬件虛擬化，密鑰隔離，彈性計算，遠(yuǎn)程管理和訪問控制等特點，經(jīng)實踐論證，云密碼資源池的應(yīng)用模式可以有效適用于云計算環(huán)境對密碼應(yīng)用的安全要求。

關(guān)鍵詞：云計算;密碼應(yīng)用;虛擬化

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2019）08-0171-02

0 引言

習(xí)總書記在中央網(wǎng)信領(lǐng)導(dǎo)小組成立時提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，給網(wǎng)絡(luò)安全工作確定了框架性的總基調(diào)，將信息安全提升到了國家安全的戰(zhàn)略層面。在國家信息化發(fā)展的進(jìn)程中，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)正在不斷帶來新的技術(shù)變革，新興技術(shù)在給經(jīng)濟(jì)發(fā)展帶來巨大持助的同時，也帶來了巨大的攻擊風(fēng)險，因此，密碼技術(shù)作為核心的保護(hù)手段變得至關(guān)重要。近幾年方興未艾的云計算技術(shù)，徹底顛覆了IT行業(yè)的面貌，云計算通過虛擬化技術(shù)打破原有的基礎(chǔ)設(shè)施壁壘，通過整合各種資源（計算資源，存儲資源，網(wǎng)絡(luò)資源等），將資源使用方式由原有獨享式變?yōu)楣蚕硎剑Y源可以根據(jù)實際業(yè)務(wù)情況進(jìn)行動態(tài)調(diào)整、隨需而變，最大限度的提高資源的利用率，實現(xiàn)資源的集約化管理與使用。傳統(tǒng)密碼設(shè)備如何適應(yīng)云計算這種新型的技術(shù)形態(tài)成為大家關(guān)注的焦點。

1 傳統(tǒng)密碼應(yīng)用模式

密碼作為信息安全中的核心基礎(chǔ)支撐技術(shù)，通過不同密碼技術(shù)的組合構(gòu)建演化出了較為完整的安全防護(hù)核心脈絡(luò)。在傳統(tǒng)密碼設(shè)備應(yīng)用模式中，如圖1所示，可以從幾個維度分析其應(yīng)用特點：從功能區(qū)分上分析，密碼設(shè)備作為特定的功能模塊提供標(biāo)準(zhǔn)的密碼運算服務(wù);從產(chǎn)品形態(tài)上分析，密碼設(shè)備以專用產(chǎn)品的形態(tài)部署在需要保障的地方，如業(yè)務(wù)機(jī)房或數(shù)據(jù)中心等;從部署模式上分析，采用專用的密碼設(shè)備與業(yè)務(wù)系統(tǒng)進(jìn)行背靠背直連方式部署，密碼設(shè)備提供的密碼運算功能被業(yè)務(wù)系統(tǒng)獨占;從網(wǎng)絡(luò)位置上看，其所屬的位置位于核心業(yè)務(wù)系統(tǒng)背后，僅對核心業(yè)務(wù)系統(tǒng)提供服務(wù)，因此傳統(tǒng)密碼設(shè)備不支持遠(yuǎn)程管理。

2 云環(huán)境中密碼應(yīng)用面臨的挑戰(zhàn)

云計算平臺由眾多分布式服務(wù)器和相應(yīng)的系統(tǒng)構(gòu)成，面臨資源隔離、數(shù)據(jù)共享、多租戶、虛擬化等帶來的安全問題，其中包括：需要應(yīng)用密碼技術(shù)建立用戶資源隔離機(jī)制，防止資源非授權(quán)訪問;需要建立數(shù)據(jù)加密存儲和傳輸機(jī)制，保障數(shù)據(jù)存儲和傳輸安全;需要建立統(tǒng)一身份認(rèn)證機(jī)制，應(yīng)對海量身份認(rèn)證問題;需要建立虛擬化安全機(jī)制，保障虛擬化安全等，這一系列安全需求，都需要安全可靠的密碼運算資源提供支撐。而傳統(tǒng)的密碼設(shè)備應(yīng)用模式已經(jīng)無法適應(yīng)云計算環(huán)境，主要包括如下幾方面：（1）虛擬化：云計算中的業(yè)務(wù)應(yīng)用系統(tǒng)主要采用資源虛擬化提供服務(wù)支撐，傳統(tǒng)背靠背直連方式的密碼設(shè)備部署模式已經(jīng)無法適用于云中虛擬化的應(yīng)用模式，所有的應(yīng)用調(diào)用都必須采用網(wǎng)絡(luò)調(diào)用的形式進(jìn)行調(diào)用，且需要保證不同的虛擬化業(yè)務(wù)資源配備隔離專用的密碼資源。（2）彈性計算：彈性計算是密碼服務(wù)的一個典型特征，在業(yè)務(wù)高峰到來的時候云計算環(huán)境可以快速擴(kuò)充較多的計算資源應(yīng)對業(yè)務(wù)高峰，業(yè)務(wù)高峰的出現(xiàn)同樣代表著對密碼運算資源的高峰需求，傳統(tǒng)的獨享式密碼應(yīng)用模式無法提供動態(tài)調(diào)整的密碼運算能力。（3）遠(yuǎn)程管理：云計算服務(wù)中一般支持多租戶能力，同時對租戶提供的密碼資源，租戶需要具備完整的密鑰管理權(quán)，包括密鑰的產(chǎn)生、分發(fā)、運算、更新以及銷毀等，安全的遠(yuǎn)程密鑰管理是密碼在云中應(yīng)用的基本要求，遠(yuǎn)程管理要求具備完備的身份認(rèn)證機(jī)制，而傳統(tǒng)密碼應(yīng)用對該能力存在明顯欠缺。

3 云環(huán)境中密碼應(yīng)用模式

為了充分適應(yīng)云計算環(huán)境中的安全需求，將密碼資源作為云中基礎(chǔ)資源構(gòu)造出適用于云環(huán)境的云密碼資源池是最佳的云中密碼應(yīng)用模式，云密碼資源池的能力需求，如圖2所示，需要重點考慮滿足如下幾點基本要求：（1）支持硬件虛擬化。硬件虛擬化是實現(xiàn)云密碼資源池的的關(guān)鍵核心技術(shù)之一，通過虛擬化技術(shù)可實現(xiàn)密碼設(shè)備資源的統(tǒng)一虛擬化和池化，虛擬密碼資源則作為云計算環(huán)境中的密碼資源提供單元。密碼卡作為眾多密碼設(shè)備的核心基礎(chǔ)密碼部件，支持硬件虛擬化的密碼卡可以自下而上提供云中全鏈路的硬件級密鑰保護(hù)，基于硬件隔離的密鑰保護(hù)可以有效服務(wù)于桌面虛擬化，服務(wù)器虛擬化等云計算應(yīng)用場景，保證各個虛擬業(yè)務(wù)單元獨享安全密碼服務(wù)，以SR-IOV硬件虛擬化技術(shù)為代表的密碼卡實現(xiàn)能夠提供最高安全等級的密鑰保護(hù)。（2）支持彈性計算。利用虛擬化技術(shù)可以將虛擬化密碼設(shè)備統(tǒng)一成為云密碼資源池，通過密碼資源調(diào)度系統(tǒng)根據(jù)業(yè)務(wù)壓力對密碼資源進(jìn)行動態(tài)的擴(kuò)展、分配、管理和統(tǒng)一調(diào)度，并對外提供統(tǒng)一的密碼服務(wù)，當(dāng)業(yè)務(wù)高峰到來時，可以利用彈性計算的特點，調(diào)度更多的密碼資源滿足業(yè)務(wù)需求，保證業(yè)務(wù)穩(wěn)定運行。（3）支持密鑰隔離。云中業(yè)務(wù)復(fù)雜多樣，根據(jù)不同的安全需求，云密碼資源池需要提供多種不同安全等級的密鑰隔離機(jī)制。其中基于硬件虛擬化技術(shù)實現(xiàn)的密鑰隔離能夠在云計算環(huán)境中提供最安全、可靠、合規(guī)的密鑰保護(hù)，基于硬件隔離的密鑰作為云中可信根可以為用戶或業(yè)務(wù)系統(tǒng)在云計算環(huán)境中構(gòu)造出獨享專屬的密碼資源。（4）支持遠(yuǎn)程管理。云密碼資源池的運維管理可根據(jù)實際需要與云服務(wù)商分配運維責(zé)任，并且用戶對密鑰的運維管理只能遠(yuǎn)程進(jìn)行。通常情況下，密碼硬件基礎(chǔ)設(shè)施和基礎(chǔ)網(wǎng)絡(luò)的運維管理由云密碼服務(wù)商或云計算服務(wù)提供商提供，用戶更關(guān)注密鑰管理、安全策略配置及安全審計等方面的運維管理。云密碼資源池的遠(yuǎn)程管理需使用PKI或其他身份認(rèn)證技術(shù)、SSL/TLS安全通信技術(shù)等保證遠(yuǎn)程管理的安全性。（5）支持訪問控制。云密碼資源池不同于傳統(tǒng)的密碼設(shè)備單一、可控的安全部署模式，其靈活性、遠(yuǎn)程性、遷移性都會帶來更高的風(fēng)險。訪問控制作為云密碼資源池提供的密碼服務(wù)中接入服務(wù)的關(guān)鍵一環(huán)，應(yīng)結(jié)合多種認(rèn)證模式基于角色、服務(wù)、身份的對云密碼服務(wù)進(jìn)行訪問授權(quán)控制，對于不同的業(yè)務(wù)服務(wù)模式，采取最合適的訪問控制機(jī)制，同時，借助訪問控制機(jī)制，為云中密碼服務(wù)的全鏈審計提供有效的技術(shù)支撐。

4 結(jié)語

為積極應(yīng)對解決云計算時代的安全問題，國家商用密碼管理局成立了云計算和大數(shù)據(jù)工作組，從云計算相關(guān)密碼標(biāo)準(zhǔn)、密碼技術(shù)、密碼應(yīng)用、密碼產(chǎn)業(yè)等多個角度體系化解決云計算時代的安全問題。以北京三未信安科技發(fā)展有限公司為代表的密碼安全服務(wù)廠商在云密碼資源池的應(yīng)用實踐中做出了卓有成效的探索，該公司以云服務(wù)器密碼機(jī)（商用密碼產(chǎn)品型號：SJJ1601）為基礎(chǔ)的云密碼資源池在上海政務(wù)云、電信天翼云中為云計算提供了可靠的密碼服務(wù)支撐，典型部署架構(gòu)如圖3所示。經(jīng)過實踐應(yīng)用，以具備虛擬化能力的密碼設(shè)備為基礎(chǔ)構(gòu)建貼合云計算需求的云密碼資源池是當(dāng)前密碼設(shè)備在云環(huán)境中的最佳應(yīng)用實踐。

參考文獻(xiàn)

[1] 何明，王海燚，沈軍.云數(shù)據(jù)中心密碼服務(wù)技術(shù)研究[J].廣東通信技術(shù)，2017（11）：34-36.

[2] 張晏，岑榮偉，沈宇超.云計算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用[J].信息安全研究，2016（06）：558-561.

[3] 田景成.云計算與密碼技術(shù)[J].信息安全與通信保密，2012（11）：132-134.

[4] 馮登國，張敏，張妍，徐震.云計算安全研究[J].軟件學(xué)報，2011（01）：71-83.

[5]容曉峰，李增欣，郭曉雷.密碼服務(wù)系統(tǒng)研究綜述[J].計算機(jī)安全，2010（03）：62-66.

Research on Key Technologies of Cryptographic Application in Cloud Computing

LIU? Hui-yi

（Beijing Sansec Technology Development Co.， Ltd.， Beijing? 100102）

Abstract：Featuring virtualization， multi-tenancy， elastic computing， etc.， cloud computing presents higher requirements for data security. The application of traditional crypto devices has been greatly challenged in the cloud computing. The cryptographic resource pool uses crypto resource as the basic resource in cloud， and has features of hardware virtualization， key separation， elastic computing， remote management and access control. It is demonstrated in practice that the application of cloud cryptographic resource pool is applicable for the cryptographic security requirements in cloud computing.

Key words：Cloud Computing;Cryptographic Technique;Hardware Virtualization