張 晏 岑榮偉 沈宇超 國(guó) 強(qiáng)

(國(guó)家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

?

云計(jì)算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用

張 晏 岑榮偉 沈宇超 國(guó) 強(qiáng)

(國(guó)家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

(zhangyan@cei.gov.cn)

在云計(jì)算環(huán)境下，密碼技術(shù)為信息系統(tǒng)和海量數(shù)據(jù)提供可靠的安全保障，各業(yè)務(wù)應(yīng)用系統(tǒng)迫切需要大容量、可靠的、云密碼服務(wù)系統(tǒng).提出云計(jì)算環(huán)境下一套完整的密碼應(yīng)用解決方案——密碼資源池系統(tǒng)，系統(tǒng)對(duì)云中密鑰和密碼設(shè)備實(shí)現(xiàn)統(tǒng)一全生命周期的安全管理，通過(guò)硬件虛擬化技術(shù)，為多個(gè)應(yīng)用系統(tǒng)提供高速、可靠、可擴(kuò)展的密碼運(yùn)算服務(wù)，有效地提高密碼資源的利用率，降低了密鑰管理和使用的風(fēng)險(xiǎn).

云計(jì)算；云安全；云密碼；密碼資源池系統(tǒng)；密鑰管理

隨著云計(jì)算技術(shù)的大力發(fā)展與普及，越來(lái)越多的傳統(tǒng)應(yīng)用開(kāi)始向云端遷移，借助云計(jì)算特有的高可靠性、可擴(kuò)展性、靈活性、低成本，實(shí)現(xiàn)數(shù)據(jù)集中管理及高效的資源利用[1].但是，應(yīng)用系統(tǒng)和數(shù)據(jù)向云端遷移的同時(shí)，也帶來(lái)許多新的問(wèn)題，信息安全問(wèn)題尤為突出[2].當(dāng)前，許多傳統(tǒng)應(yīng)用系統(tǒng)已通過(guò)集成密碼機(jī)等硬件密碼設(shè)備，為業(yè)務(wù)應(yīng)用提供信息安全保障[3]，但在云環(huán)境中使用密碼設(shè)備存在諸多問(wèn)題，傳統(tǒng)的密碼設(shè)備使用方式已經(jīng)不適合云環(huán)境，用戶(hù)密鑰的安全、密鑰的管理和設(shè)備維護(hù)更加困難.

本文提出云計(jì)算環(huán)境下一套完整的密碼應(yīng)用解決方案——密碼資源池系統(tǒng)，能夠?qū)γ荑€、設(shè)備進(jìn)行集中安全管理，能夠提供高效密碼運(yùn)算服務(wù)，支持密碼資源的虛擬化和多應(yīng)用共享，能對(duì)密碼資源進(jìn)行實(shí)時(shí)監(jiān)控、合理分配和負(fù)載均衡，具有可擴(kuò)展、高性能、低風(fēng)險(xiǎn)等特點(diǎn).

1 現(xiàn)狀及需求

云計(jì)算環(huán)境下，數(shù)據(jù)的安全主要依靠云中部署的密碼設(shè)備來(lái)保障.但由于國(guó)外密碼產(chǎn)品在國(guó)內(nèi)各行業(yè)的影響根深蒂固，而國(guó)產(chǎn)密碼算法起步較晚，與行業(yè)應(yīng)用結(jié)合過(guò)程中的兼容性問(wèn)題有待解決，配套體制需要健全，體系的標(biāo)準(zhǔn)化需要完善[4].云計(jì)算環(huán)境下，已有的密碼機(jī)使用存在問(wèn)題：加密機(jī)廠(chǎng)商種類(lèi)繁多，沒(méi)有統(tǒng)一的接口和指令標(biāo)準(zhǔn)，導(dǎo)致開(kāi)發(fā)和管理的復(fù)雜性高；業(yè)務(wù)系統(tǒng)獨(dú)占加密機(jī)，導(dǎo)致加密機(jī)重復(fù)投資，運(yùn)算資源浪費(fèi)，運(yùn)維管理困難；由于專(zhuān)業(yè)程度不同，對(duì)于加密機(jī)的使用方式存在一定的安全隱患；加密機(jī)基數(shù)的增大會(huì)造成設(shè)備管理分散，設(shè)備故障或升級(jí)難度幾何放大；密鑰管理和使用分散，用戶(hù)需要自己維護(hù)密鑰與密碼設(shè)備之間的關(guān)系，繁瑣且存在安全風(fēng)險(xiǎn).因此，設(shè)計(jì)和開(kāi)發(fā)適合云計(jì)算環(huán)境下的密碼資源管理和密鑰管理系統(tǒng)迫在眉睫.

2 密碼資源池系統(tǒng)

密碼資源池系統(tǒng)是遵循國(guó)家商用密碼應(yīng)用領(lǐng)域中的相關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行設(shè)計(jì)和開(kāi)發(fā)的，支持SM1,SM2等國(guó)密算法.

系統(tǒng)架構(gòu)如圖1所示，由密碼資源調(diào)度系統(tǒng)、密碼服務(wù)資源池、密碼服務(wù)代理3部分組成.3部分之間通過(guò)SSL協(xié)議進(jìn)行通信，保證了數(shù)據(jù)通路的安全.

圖1 密碼資源池的系統(tǒng)架構(gòu)

2.1 密碼資源調(diào)度

密碼資源調(diào)度系統(tǒng)實(shí)現(xiàn)對(duì)密碼資源的分配、管理及統(tǒng)一調(diào)度.區(qū)域內(nèi)分3個(gè)子系統(tǒng)，運(yùn)維管理子系統(tǒng)、用戶(hù)管理子系統(tǒng)及密鑰管理子系統(tǒng).

運(yùn)維管理子系統(tǒng)作為設(shè)備資源的提供者，具有創(chuàng)建設(shè)備、分配設(shè)備、設(shè)備監(jiān)控的統(tǒng)一管理權(quán)限.運(yùn)維管理子系統(tǒng)對(duì)設(shè)備進(jìn)行統(tǒng)一管理，能夠根據(jù)分配策略進(jìn)行智能化資源分配.分配的原則是避免相同用戶(hù)的虛擬設(shè)備劃分在同一臺(tái)機(jī)器上，從而提高整體設(shè)備運(yùn)行的容災(zāi)性能.系統(tǒng)管理員可以創(chuàng)建用戶(hù)，代填用戶(hù)需求，根據(jù)需求分配、同步設(shè)備給用戶(hù)，并擁有對(duì)設(shè)備的啟停控制權(quán).系統(tǒng)提供了故障管理和監(jiān)控功能，能夠及時(shí)通過(guò)短信、郵件方式通知系統(tǒng)管理員，以確保設(shè)備正常運(yùn)轉(zhuǎn).

用戶(hù)管理子系統(tǒng)是對(duì)用戶(hù)開(kāi)放的管理系統(tǒng)，分為權(quán)限管理、密鑰管理、密碼服務(wù)管理.用戶(hù)具有設(shè)備的使用權(quán)限，可在系統(tǒng)內(nèi)創(chuàng)建自己的人員體系架構(gòu)，完成對(duì)設(shè)備、密鑰和密碼服務(wù)的管理.

圖2 密碼資源池系統(tǒng)部署圖

密鑰管理子系統(tǒng)作為一個(gè)整體，統(tǒng)一對(duì)外提供密鑰管理服務(wù)，能夠?qū)γ荑€生成、分發(fā)、備份、恢復(fù)、銷(xiāo)毀、歸檔、注銷(xiāo)等進(jìn)行全生命周期管理.通過(guò)對(duì)密鑰的集中管理，有效地降低了密鑰管理的安全風(fēng)險(xiǎn).

2.2 密碼服務(wù)資源池

密碼服務(wù)資源池是密碼設(shè)備的集中存儲(chǔ)區(qū)域，由虛擬密碼機(jī)和統(tǒng)一管理接口組成.通過(guò)硬件虛擬化技術(shù)，將云中的密碼設(shè)備虛擬成各個(gè)相互獨(dú)立的虛擬密碼機(jī)，各虛擬密碼機(jī)配置人員管理、密鑰管理、密鑰查詢(xún)、備份恢復(fù)等密碼服務(wù)接口.每臺(tái)虛擬密碼機(jī)全面支持SM1,SM2,SM3,SM4等國(guó)產(chǎn)密碼算法，同時(shí)支持RSA,3DES,AES等國(guó)際通用算法，支持簽名驗(yàn)簽、密鑰分散、MAC計(jì)算、數(shù)據(jù)加解密、數(shù)字信封等各種運(yùn)算方式，算法安全強(qiáng)度高，滿(mǎn)足用戶(hù)不同的應(yīng)用需求.密碼服務(wù)資源池與上層對(duì)接時(shí)，支持JCE,PKCS#11,SDS等多種標(biāo)準(zhǔn)密碼應(yīng)用接口，將底層調(diào)用進(jìn)行抽象，屏蔽了不同型號(hào)密碼設(shè)備的接口調(diào)用，使得接口調(diào)用更加快捷方便.密碼資源調(diào)度模塊可通過(guò)調(diào)用接口完成對(duì)云中密碼設(shè)備資源的控制.

2.3 密碼服務(wù)代理

密碼服務(wù)代理是云租戶(hù)和密碼服務(wù)資源的傳輸紐帶，通過(guò)消息總線(xiàn)訪(fǎng)問(wèn)模式，支持多種通信方式，異步數(shù)據(jù)傳輸，大大提高了平臺(tái)的可靠性和安全性.密碼服務(wù)代理提供用戶(hù)的業(yè)務(wù)服務(wù)接口，用戶(hù)應(yīng)用通過(guò)此接口完成對(duì)密碼設(shè)備的數(shù)據(jù)訪(fǎng)問(wèn).用戶(hù)將需要掛載或者卸載的云密碼設(shè)備信息同步到負(fù)載均衡，由負(fù)載均衡統(tǒng)一管理.動(dòng)態(tài)調(diào)度最高可達(dá)127臺(tái)，進(jìn)行數(shù)據(jù)處理的吞吐效率系數(shù)不低于70%.每個(gè)服務(wù)器最大并發(fā)數(shù)不少于10 000.

3 密碼資源池的應(yīng)用場(chǎng)景

密碼資源池系統(tǒng)典型的部署方案如圖2所示，分為設(shè)備管理和密碼服務(wù)調(diào)用兩大部分.

3.1 設(shè)備管理

云密碼服務(wù)供應(yīng)商部署密碼資源池系統(tǒng)，為云租戶(hù)提供密碼資源服務(wù)平臺(tái).供應(yīng)商具有管理員權(quán)限，通過(guò)遠(yuǎn)程登錄方式，進(jìn)行云中密碼設(shè)備虛擬密碼化創(chuàng)建、密碼服務(wù)的啟停、密碼設(shè)備狀態(tài)監(jiān)控等操作.供應(yīng)商接收用戶(hù)租用云密碼服務(wù)請(qǐng)求，處理請(qǐng)求，進(jìn)行數(shù)據(jù)的推送任務(wù)，根據(jù)用戶(hù)的需求對(duì)密碼資源進(jìn)行合理分配和處理，通過(guò)負(fù)載均衡器，提高密碼服務(wù)的效率.當(dāng)云租戶(hù)數(shù)量增多或業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)增加，已有的密碼資源不能滿(mǎn)足需求時(shí)，云密碼服務(wù)提供商可以在密碼資源池中添加密碼設(shè)備，通過(guò)統(tǒng)一的管理接口與上層的密碼資源調(diào)度模塊對(duì)接，實(shí)現(xiàn)對(duì)密碼設(shè)備安全有效的管理，加大密碼服務(wù)容量，系統(tǒng)具有良好的可擴(kuò)展性.

3.2 密碼服務(wù)調(diào)用

用戶(hù)對(duì)云密碼資源的租用方式可分為2種：一是設(shè)備租用者，這類(lèi)用戶(hù)租用云密碼服務(wù)提供商的密碼設(shè)備，自己對(duì)設(shè)備進(jìn)行規(guī)劃、使用和管理；二是服務(wù)租用者，此類(lèi)用戶(hù)只租用密碼服務(wù)，不關(guān)注密碼設(shè)備管理，設(shè)備管理由運(yùn)營(yíng)商進(jìn)行維護(hù)和規(guī)劃，降低了密鑰管理的風(fēng)險(xiǎn).

對(duì)于設(shè)備租用者先構(gòu)建自己的權(quán)限人員體系，并對(duì)自己擁有的設(shè)備或者是提供給密碼服務(wù)租用者的設(shè)備進(jìn)行規(guī)劃，根據(jù)自己的業(yè)務(wù)或者密碼服務(wù)租用者需求進(jìn)行密鑰的創(chuàng)建、分配及其他管理操作，并對(duì)內(nèi)或者對(duì)外的應(yīng)用系統(tǒng)進(jìn)行密碼服務(wù).

對(duì)于服務(wù)租用者先申請(qǐng)密碼服務(wù)調(diào)用地址，得到密碼服務(wù)提供商的許可后，根據(jù)用戶(hù)業(yè)務(wù)應(yīng)用系統(tǒng)的需求，通過(guò)標(biāo)準(zhǔn)JCE接口對(duì)密碼服務(wù)進(jìn)行調(diào)用.

通過(guò)以上2種方式，從用戶(hù)看來(lái)，業(yè)務(wù)應(yīng)用系統(tǒng)與密碼應(yīng)用一一對(duì)應(yīng)，每個(gè)應(yīng)用系統(tǒng)由相互獨(dú)立、互不干擾的密碼機(jī)提供密碼資源服務(wù).

4 結(jié) 論

本文通過(guò)對(duì)云計(jì)算環(huán)境下密碼應(yīng)用所面臨的問(wèn)題進(jìn)行分析和研究，提出了一套密碼應(yīng)用解決方案.用戶(hù)既可以只租用云中的密碼機(jī)為業(yè)務(wù)應(yīng)用系統(tǒng)提供密碼服務(wù)，擺脫密鑰管理的困擾，也可以租用云中密碼機(jī)，自行管理、規(guī)劃、使用，具有高可用性、可擴(kuò)展性，有效提高了密碼資源在云計(jì)算環(huán)境下的管理和應(yīng)用.

[1]Armbrust B M, Fox A, Griffith R, et al. Above the clouds: A berkeley view of cloud computing[J]. Eecs Department University of California Berkeley, 2009, 53(4): 50-58

[2]馮登國(guó), 張敏, 張妍, 等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào), 2011, 22(1): 71-83

[3]容曉峰, 李增欣, 郭曉雷. 密碼服務(wù)系統(tǒng)研究綜述[J]. 計(jì)算機(jī)安全, 2010 (3): 62-66

[4]田景成. 云計(jì)算與密碼技術(shù)[J]. 信息安全與通信保密, 2012 (11): 132-134

張 晏

碩士，工程師，主要研究方向?yàn)樵拼鎯?chǔ)安全、移動(dòng)辦公安全.

zhangyan@cei.gov.cn

岑榮偉

博士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、電子認(rèn)證技術(shù).

cenrw@cei.gov.cn

沈宇超

博士，高級(jí)工程師，主要研究方向?yàn)榘踩c電子認(rèn)證技術(shù).

shenyc@cei.gov.cn

國(guó) 強(qiáng)

碩士，工程師，主要研究方向?yàn)樾畔踩?、電子認(rèn)證技術(shù).

guoqiang@cei.gov.cn

The Application of Cryptography Resource System in Cloud Computing

Zhang Yan, Cen Rongwei, Shen Yuchao, and Guo Qiang

(DepartmentofInformationandNetworkSecurity,StateInformationCenter,Beijing100045)

In cloud computing, we protect information system and huge amounts of data by the cryptographic techniques, each business application system needs large capacity and reliable cloud cryptographic service to protect information security and efficiently use cloud cryptography resources and effective key management. In this paper, we put forward a cryptography resource system to effectively manage cryptography resource in cloud computing environment. The system provides the whole life cycle of key and cryptographic device. Through hardware virtualization technology, the system can provide high speed, reliable, scalable cryptographic service for multiple application system. It effectively improves the utilization of cryptography resources and reduces the risk of the key management and application.

cloud computing; cloud security; cloud cryptography; cryptography resource system; key management

2016-05-29

電子政務(wù)云集成與應(yīng)用國(guó)家工程實(shí)驗(yàn)室項(xiàng)目

TP309