國產密碼技術在云計算環境下的應用是商用密碼技術推廣的主要方向,是云計算產業健康發展的基礎。在此我結合近期在云加密技術方面的研究、探索和思考,談一談自己的一些看法,不當之處歡迎大家指正。
?
1、云密碼應用技術體系的變化
?
在《信息安全技術 公鑰密碼基礎設施 應用技術體系框架規范》中,將公鑰密碼基礎設施應用技術體系框架分為密碼設備服務層、通用密碼服務層和典型密碼服務層。其中密碼設備服務層主要以專用密碼硬件為核心,保證密鑰的生命周期安全,是密碼應用的核心;典型密碼服務層和通用密碼服務層共同構成“密碼服務中間件”,中間件與基礎設施安全支撐平臺連接,共同支撐密碼應用。在實際應用中,典型密碼服務層也可單獨實現,例如身份認證服務器、簽名驗簽服務器、時間戳服務器等。
?
在云端密碼應用中,密鑰的生命周期安全仍然是整體安全性的核心。從目前技術發展情況來看,仍然需要以專用硬件密碼芯片和設備為基礎,兼顧考慮彈性計算、按需使用等云計算的特性。
?
云計算平臺作為公共服務平臺,為云端應用提供的是共性的服務產品。密碼產品要想真正在云端得到廣泛應用,必須與云管理平臺緊密結合,把密碼設備作為云平臺的基礎資源,由云平臺統一管理和分配。租戶只能使用分配給自己的資源,自行管理自己的密鑰,云平臺和其他租戶無法使用租戶的資源和密鑰。
?
?
如圖,在云上的物理密碼資源層是云平臺統一建設并負責運營管理的物理密碼設備,密碼設備服務層是運行在物理密碼資源之上的虛擬密碼設備。通用密碼服務層、典型密碼服務層、應用層所提供的密碼功能和接口保持不變,仍然可以遵循現有標準。密碼應用基礎設施(如CA、時間戳服務等)可以基于云平臺搭建,也可以使用現有的基礎設施系統,在基于云平臺搭建時,使用的也是密碼設備服務層提供的虛擬密碼設備。
?
2、密碼資源池是云端密碼應用的基礎
?
在實際建設中,一般由云平臺統一建設密碼資源池,涵蓋物理密碼資源層和密碼設備服務層的主要功能。根據實際需求的不同,也可把典型密碼服務層包含在密碼資源池的管理范圍中,這種情況下,租戶使用的是單獨部署的典型密碼服務,例如身份認證服務器、簽名驗簽服務器、時間戳服務器等。
?
1)根據服務對象規劃密碼資源池的功能、數量和規模
云上應用系統多種多樣,安全需求和防護級別不同,應當根據云上應用的分級分類方法,結合密碼應用需求特點,規劃密碼資源池的功能、數量和規模。
?
2)明確并嚴格限定密碼資源池的服務范圍
在傳統密碼應用中,一般要求密碼設備與應用通過專用網絡連接。在云環境下,這種要求很難實現。為了保證應用與密碼設備數據通訊安全,應限定密碼資源池的服務范圍,一般情況下最大為一個機房。對于在云上搭建的密碼應用基礎設施系統,該范圍還應當盡量縮小,比如限定在專用機柜中。
?
3)結合網絡安全技術做好邊界防護和訪問控制
用好密碼資源池離不開網絡安全技術的配合,對密碼資源池防護的核心是密碼資源的隔離和密碼資源對應用系統的訪問控制。各云平臺的網絡隔離技術實現方式不同,應當根據云平臺網絡技術的特點,結合密碼技術,共同實現對密碼資源池的保護,確保只有租戶能夠使用自己的密碼資源。
?
3、云端密碼產品和應用的發展
?
近年來,隨著云計算應用的普及,密碼產品廠商都增加了在云計算密碼技術和產品的研發投入,出現了多種專門針對云環境的密碼產品和應用,主要包括:
?
1)基于云密碼資源池提供云端硬件密碼設備租用服務?
云服務器密碼機是近兩年出現的新的密碼產品形態,它使用專用的密碼硬件提供安全的密鑰存儲和密碼運行環境,結合虛擬化技術,可以在同一個密碼設備中,提供多臺虛擬化密碼機。云平臺通過管控接口對云服務器密碼機和虛擬密碼機進行統一管理,為租戶分配計算資源,從而使得密碼機成為一種服務。阿里云和江南天安合作推出的云加密服務是國內第一個正式商用的密碼設備租用服務,其他公有云服務商也在積極的進行相關研究。
?
2)基于云端密鑰管理技術,為云端服務提供加密功能?
云端密鑰管理服務是近兩年新興的云端服務形式。最早是亞馬遜提供的KMS服務,租戶通過該服務可以方便的管理自己的各類加密密鑰,通過與對象存儲、塊存儲、關系數據庫等云端服務結合,可以實現密鑰的自動化管理。目前國內的主流云服務商如阿里云、華為云都已正式提供該服務。另外,針對安全性要求高的用戶,部分云服務商還提供了云下密鑰管理的解決方案。
?
3)基于協同簽名技術的手機Key產品?
智能密碼鑰匙作為個人端使用密碼設備,得到了廣泛的應用。隨著移動終端應用的普及,如何解決移動終端密碼應用成為新的課題。藍牙Key、音頻Key等專用硬件的產品形式因為兼容性、方便性等問題,推廣受到較大制約。SM2算法的特性支持多方協同簽名,可以把一部分密鑰放在手機上,通過指紋、口令等手段進行保護,另一部分密鑰放在云端,使用密碼機等專用設備保護,從而完美的解決了兼容性、方便性和安全性的問題,成為智能密碼鑰匙的替代產品。目前江南天安、創原天地、DCS中心等都在積極地推廣手機Key產品。
?
4)針對政務云的整體密碼應用解決方案?
政務云主要承載政府的各種系統,對安全性有著很高的要求。國家密碼管理局也把政務云密碼應用作為重點推廣方向,成立了云計算專項組,對政務云的密碼應用技術體系、密碼應用要求標準規范體系進行專項研究,目前已經取得了較大進展,相關技術體系和應用要求基本成型。可以預見,近兩年政務云密碼應用將獲得重大突破。
?
4、云端密碼應用的發展建議
?
1)應用與標準同步發展?
與前十年商用密碼發展不同,現在無論從客戶意識、政策環境、技術條件等方面都處于商用密碼推廣的最好時期。發展云端密碼,完全可以不必重復以往先百花齊放,再制定標準進行規范的老路,而是可以采用標準與技術、產品、應用同步,甚至可以在充分研究的基礎上先于市場發展,從而真正對市場發展發揮引導作用。
?
2)警惕以易用性為借口逐步突破安全底線
云計算受到市場歡迎的一個重要因素就是易用性。在使用密碼產品時,客戶和云平臺往往會參照其他云端服務,對密碼產品提出類似要求,很多時候會與產品的安全性產生沖突。作為密碼產品廠商在進行抉擇的時候,很可能會被市場綁架,從而逐步突破安全底線。如果我們的行業主管部門能夠將需要遵循的標準提前發布,明確安全底線,就能幫助密碼產品廠商、云平臺和客戶達成統一認識,從而規范市場的發展。
?
3)重視云端數據存儲安全
根據多個機構的統計,在用戶選擇云計算時的顧慮中,數據存儲安全排在第一位。隨著網絡安全法及配套法規的發布,用戶在數據安全方面的需求更加迫切。密碼技術在云端推廣好,就必須與云端的各種存儲服務緊密結合,解決好產品易用性和安全性的協調問題。這離不開密碼產品廠商與云平臺廠商的緊密配合,共同為用戶提供易用、安全、合規的產品和服務。
?
近年來,江南天安在云端加密技術不斷投入,已經形成了一系列成熟的產品,是國內云加密技術領跑者。在此,真誠希望與業界合作伙伴、主管部門、用戶合作,共同推進國產密碼技術在云端的應用,為互聯網+、大數據等新興產業的發展保駕護航。