云計算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用

張 晏 岑榮偉 沈宇超 國 強

(國家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

?

云計算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用

張 晏 岑榮偉 沈宇超 國 強

(國家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

(zhangyan@cei.gov.cn)

在云計算環(huán)境下，密碼技術(shù)為信息系統(tǒng)和海量數(shù)據(jù)提供可靠的安全保障，各業(yè)務(wù)應(yīng)用系統(tǒng)迫切需要大容量、可靠的、云密碼服務(wù)系統(tǒng).提出云計算環(huán)境下一套完整的密碼應(yīng)用解決方案——密碼資源池系統(tǒng)，系統(tǒng)對云中密鑰和密碼設(shè)備實現(xiàn)統(tǒng)一全生命周期的安全管理，通過硬件虛擬化技術(shù)，為多個應(yīng)用系統(tǒng)提供高速、可靠、可擴展的密碼運算服務(wù)，有效地提高密碼資源的利用率，降低了密鑰管理和使用的風險.

云計算；云安全；云密碼；密碼資源池系統(tǒng)；密鑰管理

隨著云計算技術(shù)的大力發(fā)展與普及，越來越多的傳統(tǒng)應(yīng)用開始向云端遷移，借助云計算特有的高可靠性、可擴展性、靈活性、低成本，實現(xiàn)數(shù)據(jù)集中管理及高效的資源利用[1].但是，應(yīng)用系統(tǒng)和數(shù)據(jù)向云端遷移的同時，也帶來許多新的問題，信息安全問題尤為突出[2].當前，許多傳統(tǒng)應(yīng)用系統(tǒng)已通過集成密碼機等硬件密碼設(shè)備，為業(yè)務(wù)應(yīng)用提供信息安全保障[3]，但在云環(huán)境中使用密碼設(shè)備存在諸多問題，傳統(tǒng)的密碼設(shè)備使用方式已經(jīng)不適合云環(huán)境，用戶密鑰的安全、密鑰的管理和設(shè)備維護更加困難.

本文提出云計算環(huán)境下一套完整的密碼應(yīng)用解決方案——密碼資源池系統(tǒng)，能夠?qū)γ荑€、設(shè)備進行集中安全管理，能夠提供高效密碼運算服務(wù)，支持密碼資源的虛擬化和多應(yīng)用共享，能對密碼資源進行實時監(jiān)控、合理分配和負載均衡，具有可擴展、高性能、低風險等特點.

1 現(xiàn)狀及需求

云計算環(huán)境下，數(shù)據(jù)的安全主要依靠云中部署的密碼設(shè)備來保障.但由于國外密碼產(chǎn)品在國內(nèi)各行業(yè)的影響根深蒂固，而國產(chǎn)密碼算法起步較晚，與行業(yè)應(yīng)用結(jié)合過程中的兼容性問題有待解決，配套體制需要健全，體系的標準化需要完善[4].云計算環(huán)境下，已有的密碼機使用存在問題：加密機廠商種類繁多，沒有統(tǒng)一的接口和指令標準，導致開發(fā)和管理的復雜性高；業(yè)務(wù)系統(tǒng)獨占加密機，導致加密機重復投資，運算資源浪費，運維管理困難；由于專業(yè)程度不同，對于加密機的使用方式存在一定的安全隱患；加密機基數(shù)的增大會造成設(shè)備管理分散，設(shè)備故障或升級難度幾何放大；密鑰管理和使用分散，用戶需要自己維護密鑰與密碼設(shè)備之間的關(guān)系，繁瑣且存在安全風險.因此，設(shè)計和開發(fā)適合云計算環(huán)境下的密碼資源管理和密鑰管理系統(tǒng)迫在眉睫.

2 密碼資源池系統(tǒng)

密碼資源池系統(tǒng)是遵循國家商用密碼應(yīng)用領(lǐng)域中的相關(guān)標準和規(guī)范進行設(shè)計和開發(fā)的，支持SM1,SM2等國密算法.

系統(tǒng)架構(gòu)如圖1所示，由密碼資源調(diào)度系統(tǒng)、密碼服務(wù)資源池、密碼服務(wù)代理3部分組成.3部分之間通過SSL協(xié)議進行通信，保證了數(shù)據(jù)通路的安全.

圖1 密碼資源池的系統(tǒng)架構(gòu)

2.1 密碼資源調(diào)度

密碼資源調(diào)度系統(tǒng)實現(xiàn)對密碼資源的分配、管理及統(tǒng)一調(diào)度.區(qū)域內(nèi)分3個子系統(tǒng)，運維管理子系統(tǒng)、用戶管理子系統(tǒng)及密鑰管理子系統(tǒng).

運維管理子系統(tǒng)作為設(shè)備資源的提供者，具有創(chuàng)建設(shè)備、分配設(shè)備、設(shè)備監(jiān)控的統(tǒng)一管理權(quán)限.運維管理子系統(tǒng)對設(shè)備進行統(tǒng)一管理，能夠根據(jù)分配策略進行智能化資源分配.分配的原則是避免相同用戶的虛擬設(shè)備劃分在同一臺機器上，從而提高整體設(shè)備運行的容災性能.系統(tǒng)管理員可以創(chuàng)建用戶，代填用戶需求，根據(jù)需求分配、同步設(shè)備給用戶，并擁有對設(shè)備的啟?？刂茩?quán).系統(tǒng)提供了故障管理和監(jiān)控功能，能夠及時通過短信、郵件方式通知系統(tǒng)管理員，以確保設(shè)備正常運轉(zhuǎn).

用戶管理子系統(tǒng)是對用戶開放的管理系統(tǒng)，分為權(quán)限管理、密鑰管理、密碼服務(wù)管理.用戶具有設(shè)備的使用權(quán)限，可在系統(tǒng)內(nèi)創(chuàng)建自己的人員體系架構(gòu)，完成對設(shè)備、密鑰和密碼服務(wù)的管理.

圖2 密碼資源池系統(tǒng)部署圖

密鑰管理子系統(tǒng)作為一個整體，統(tǒng)一對外提供密鑰管理服務(wù)，能夠?qū)γ荑€生成、分發(fā)、備份、恢復、銷毀、歸檔、注銷等進行全生命周期管理.通過對密鑰的集中管理，有效地降低了密鑰管理的安全風險.

2.2 密碼服務(wù)資源池

密碼服務(wù)資源池是密碼設(shè)備的集中存儲區(qū)域，由虛擬密碼機和統(tǒng)一管理接口組成.通過硬件虛擬化技術(shù)，將云中的密碼設(shè)備虛擬成各個相互獨立的虛擬密碼機，各虛擬密碼機配置人員管理、密鑰管理、密鑰查詢、備份恢復等密碼服務(wù)接口.每臺虛擬密碼機全面支持SM1,SM2,SM3,SM4等國產(chǎn)密碼算法，同時支持RSA,3DES,AES等國際通用算法，支持簽名驗簽、密鑰分散、MAC計算、數(shù)據(jù)加解密、數(shù)字信封等各種運算方式，算法安全強度高，滿足用戶不同的應(yīng)用需求.密碼服務(wù)資源池與上層對接時，支持JCE,PKCS#11,SDS等多種標準密碼應(yīng)用接口，將底層調(diào)用進行抽象，屏蔽了不同型號密碼設(shè)備的接口調(diào)用，使得接口調(diào)用更加快捷方便.密碼資源調(diào)度模塊可通過調(diào)用接口完成對云中密碼設(shè)備資源的控制.

2.3 密碼服務(wù)代理

密碼服務(wù)代理是云租戶和密碼服務(wù)資源的傳輸紐帶，通過消息總線訪問模式，支持多種通信方式，異步數(shù)據(jù)傳輸，大大提高了平臺的可靠性和安全性.密碼服務(wù)代理提供用戶的業(yè)務(wù)服務(wù)接口，用戶應(yīng)用通過此接口完成對密碼設(shè)備的數(shù)據(jù)訪問.用戶將需要掛載或者卸載的云密碼設(shè)備信息同步到負載均衡，由負載均衡統(tǒng)一管理.動態(tài)調(diào)度最高可達127臺，進行數(shù)據(jù)處理的吞吐效率系數(shù)不低于70%.每個服務(wù)器最大并發(fā)數(shù)不少于10 000.

3 密碼資源池的應(yīng)用場景

密碼資源池系統(tǒng)典型的部署方案如圖2所示，分為設(shè)備管理和密碼服務(wù)調(diào)用兩大部分.

3.1 設(shè)備管理

云密碼服務(wù)供應(yīng)商部署密碼資源池系統(tǒng)，為云租戶提供密碼資源服務(wù)平臺.供應(yīng)商具有管理員權(quán)限，通過遠程登錄方式，進行云中密碼設(shè)備虛擬密碼化創(chuàng)建、密碼服務(wù)的啟停、密碼設(shè)備狀態(tài)監(jiān)控等操作.供應(yīng)商接收用戶租用云密碼服務(wù)請求，處理請求，進行數(shù)據(jù)的推送任務(wù)，根據(jù)用戶的需求對密碼資源進行合理分配和處理，通過負載均衡器，提高密碼服務(wù)的效率.當云租戶數(shù)量增多或業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)增加，已有的密碼資源不能滿足需求時，云密碼服務(wù)提供商可以在密碼資源池中添加密碼設(shè)備，通過統(tǒng)一的管理接口與上層的密碼資源調(diào)度模塊對接，實現(xiàn)對密碼設(shè)備安全有效的管理，加大密碼服務(wù)容量，系統(tǒng)具有良好的可擴展性.

3.2 密碼服務(wù)調(diào)用

用戶對云密碼資源的租用方式可分為2種：一是設(shè)備租用者，這類用戶租用云密碼服務(wù)提供商的密碼設(shè)備，自己對設(shè)備進行規(guī)劃、使用和管理；二是服務(wù)租用者，此類用戶只租用密碼服務(wù)，不關(guān)注密碼設(shè)備管理，設(shè)備管理由運營商進行維護和規(guī)劃，降低了密鑰管理的風險.

對于設(shè)備租用者先構(gòu)建自己的權(quán)限人員體系，并對自己擁有的設(shè)備或者是提供給密碼服務(wù)租用者的設(shè)備進行規(guī)劃，根據(jù)自己的業(yè)務(wù)或者密碼服務(wù)租用者需求進行密鑰的創(chuàng)建、分配及其他管理操作，并對內(nèi)或者對外的應(yīng)用系統(tǒng)進行密碼服務(wù).

對于服務(wù)租用者先申請密碼服務(wù)調(diào)用地址，得到密碼服務(wù)提供商的許可后，根據(jù)用戶業(yè)務(wù)應(yīng)用系統(tǒng)的需求，通過標準JCE接口對密碼服務(wù)進行調(diào)用.

通過以上2種方式，從用戶看來，業(yè)務(wù)應(yīng)用系統(tǒng)與密碼應(yīng)用一一對應(yīng)，每個應(yīng)用系統(tǒng)由相互獨立、互不干擾的密碼機提供密碼資源服務(wù).

4 結(jié) 論

本文通過對云計算環(huán)境下密碼應(yīng)用所面臨的問題進行分析和研究，提出了一套密碼應(yīng)用解決方案.用戶既可以只租用云中的密碼機為業(yè)務(wù)應(yīng)用系統(tǒng)提供密碼服務(wù)，擺脫密鑰管理的困擾，也可以租用云中密碼機，自行管理、規(guī)劃、使用，具有高可用性、可擴展性，有效提高了密碼資源在云計算環(huán)境下的管理和應(yīng)用.

[1]Armbrust B M, Fox A, Griffith R, et al. Above the clouds: A berkeley view of cloud computing[J]. Eecs Department University of California Berkeley, 2009, 53(4): 50-58

[2]馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83

[3]容曉峰, 李增欣, 郭曉雷. 密碼服務(wù)系統(tǒng)研究綜述[J]. 計算機安全, 2010 (3): 62-66

[4]田景成. 云計算與密碼技術(shù)[J]. 信息安全與通信保密, 2012 (11): 132-134

張 晏

碩士，工程師，主要研究方向為云存儲安全、移動辦公安全.

zhangyan@cei.gov.cn

岑榮偉

博士，高級工程師，主要研究方向為網(wǎng)絡(luò)安全、電子認證技術(shù).

cenrw@cei.gov.cn

沈宇超

博士，高級工程師，主要研究方向為安全與電子認證技術(shù).

shenyc@cei.gov.cn

國 強

碩士，工程師，主要研究方向為信息安全、電子認證技術(shù).

guoqiang@cei.gov.cn

The Application of Cryptography Resource System in Cloud Computing

Zhang Yan, Cen Rongwei, Shen Yuchao, and Guo Qiang

(DepartmentofInformationandNetworkSecurity,StateInformationCenter,Beijing100045)

In cloud computing, we protect information system and huge amounts of data by the cryptographic techniques, each business application system needs large capacity and reliable cloud cryptographic service to protect information security and efficiently use cloud cryptography resources and effective key management. In this paper, we put forward a cryptography resource system to effectively manage cryptography resource in cloud computing environment. The system provides the whole life cycle of key and cryptographic device. Through hardware virtualization technology, the system can provide high speed, reliable, scalable cryptographic service for multiple application system. It effectively improves the utilization of cryptography resources and reduces the risk of the key management and application.

cloud computing; cloud security; cloud cryptography; cryptography resource system; key management

2016-05-29

電子政務(wù)云集成與應(yīng)用國家工程實驗室項目

TP309