云計算環(huán)境下密碼資源池系統(tǒng)的應用

張 晏 岑榮偉 沈宇超 國 強

(國家信息中心信息與網(wǎng)絡安全部 北京 100045)

?

云計算環(huán)境下密碼資源池系統(tǒng)的應用

張 晏 岑榮偉 沈宇超 國 強

(國家信息中心信息與網(wǎng)絡安全部 北京 100045)

(zhangyan@cei.gov.cn)

在云計算環(huán)境下，密碼技術為信息系統(tǒng)和海量數(shù)據(jù)提供可靠的安全保障，各業(yè)務應用系統(tǒng)迫切需要大容量、可靠的、云密碼服務系統(tǒng).提出云計算環(huán)境下一套完整的密碼應用解決方案——密碼資源池系統(tǒng)，系統(tǒng)對云中密鑰和密碼設備實現(xiàn)統(tǒng)一全生命周期的安全管理，通過硬件虛擬化技術，為多個應用系統(tǒng)提供高速、可靠、可擴展的密碼運算服務，有效地提高密碼資源的利用率，降低了密鑰管理和使用的風險.

云計算；云安全；云密碼；密碼資源池系統(tǒng)；密鑰管理

隨著云計算技術的大力發(fā)展與普及，越來越多的傳統(tǒng)應用開始向云端遷移，借助云計算特有的高可靠性、可擴展性、靈活性、低成本，實現(xiàn)數(shù)據(jù)集中管理及高效的資源利用[1].但是，應用系統(tǒng)和數(shù)據(jù)向云端遷移的同時，也帶來許多新的問題，信息安全問題尤為突出[2].當前，許多傳統(tǒng)應用系統(tǒng)已通過集成密碼機等硬件密碼設備，為業(yè)務應用提供信息安全保障[3]，但在云環(huán)境中使用密碼設備存在諸多問題，傳統(tǒng)的密碼設備使用方式已經不適合云環(huán)境，用戶密鑰的安全、密鑰的管理和設備維護更加困難.

本文提出云計算環(huán)境下一套完整的密碼應用解決方案——密碼資源池系統(tǒng)，能夠對密鑰、設備進行集中安全管理，能夠提供高效密碼運算服務，支持密碼資源的虛擬化和多應用共享，能對密碼資源進行實時監(jiān)控、合理分配和負載均衡，具有可擴展、高性能、低風險等特點.

1 現(xiàn)狀及需求

云計算環(huán)境下，數(shù)據(jù)的安全主要依靠云中部署的密碼設備來保障.但由于國外密碼產品在國內各行業(yè)的影響根深蒂固，而國產密碼算法起步較晚，與行業(yè)應用結合過程中的兼容性問題有待解決，配套體制需要健全，體系的標準化需要完善[4].云計算環(huán)境下，已有的密碼機使用存在問題：加密機廠商種類繁多，沒有統(tǒng)一的接口和指令標準，導致開發(fā)和管理的復雜性高；業(yè)務系統(tǒng)獨占加密機，導致加密機重復投資，運算資源浪費，運維管理困難；由于專業(yè)程度不同，對于加密機的使用方式存在一定的安全隱患；加密機基數(shù)的增大會造成設備管理分散，設備故障或升級難度幾何放大；密鑰管理和使用分散，用戶需要自己維護密鑰與密碼設備之間的關系，繁瑣且存在安全風險.因此，設計和開發(fā)適合云計算環(huán)境下的密碼資源管理和密鑰管理系統(tǒng)迫在眉睫.

2 密碼資源池系統(tǒng)

密碼資源池系統(tǒng)是遵循國家商用密碼應用領域中的相關標準和規(guī)范進行設計和開發(fā)的，支持SM1,SM2等國密算法.

系統(tǒng)架構如圖1所示，由密碼資源調度系統(tǒng)、密碼服務資源池、密碼服務代理3部分組成.3部分之間通過SSL協(xié)議進行通信，保證了數(shù)據(jù)通路的安全.

圖1 密碼資源池的系統(tǒng)架構

2.1 密碼資源調度

密碼資源調度系統(tǒng)實現(xiàn)對密碼資源的分配、管理及統(tǒng)一調度.區(qū)域內分3個子系統(tǒng)，運維管理子系統(tǒng)、用戶管理子系統(tǒng)及密鑰管理子系統(tǒng).

運維管理子系統(tǒng)作為設備資源的提供者，具有創(chuàng)建設備、分配設備、設備監(jiān)控的統(tǒng)一管理權限.運維管理子系統(tǒng)對設備進行統(tǒng)一管理，能夠根據(jù)分配策略進行智能化資源分配.分配的原則是避免相同用戶的虛擬設備劃分在同一臺機器上，從而提高整體設備運行的容災性能.系統(tǒng)管理員可以創(chuàng)建用戶，代填用戶需求，根據(jù)需求分配、同步設備給用戶，并擁有對設備的啟停控制權.系統(tǒng)提供了故障管理和監(jiān)控功能，能夠及時通過短信、郵件方式通知系統(tǒng)管理員，以確保設備正常運轉.

用戶管理子系統(tǒng)是對用戶開放的管理系統(tǒng)，分為權限管理、密鑰管理、密碼服務管理.用戶具有設備的使用權限，可在系統(tǒng)內創(chuàng)建自己的人員體系架構，完成對設備、密鑰和密碼服務的管理.

圖2 密碼資源池系統(tǒng)部署圖

密鑰管理子系統(tǒng)作為一個整體，統(tǒng)一對外提供密鑰管理服務，能夠對密鑰生成、分發(fā)、備份、恢復、銷毀、歸檔、注銷等進行全生命周期管理.通過對密鑰的集中管理，有效地降低了密鑰管理的安全風險.

2.2 密碼服務資源池

密碼服務資源池是密碼設備的集中存儲區(qū)域，由虛擬密碼機和統(tǒng)一管理接口組成.通過硬件虛擬化技術，將云中的密碼設備虛擬成各個相互獨立的虛擬密碼機，各虛擬密碼機配置人員管理、密鑰管理、密鑰查詢、備份恢復等密碼服務接口.每臺虛擬密碼機全面支持SM1,SM2,SM3,SM4等國產密碼算法，同時支持RSA,3DES,AES等國際通用算法，支持簽名驗簽、密鑰分散、MAC計算、數(shù)據(jù)加解密、數(shù)字信封等各種運算方式，算法安全強度高，滿足用戶不同的應用需求.密碼服務資源池與上層對接時，支持JCE,PKCS#11,SDS等多種標準密碼應用接口，將底層調用進行抽象，屏蔽了不同型號密碼設備的接口調用，使得接口調用更加快捷方便.密碼資源調度模塊可通過調用接口完成對云中密碼設備資源的控制.

2.3 密碼服務代理

密碼服務代理是云租戶和密碼服務資源的傳輸紐帶，通過消息總線訪問模式，支持多種通信方式，異步數(shù)據(jù)傳輸，大大提高了平臺的可靠性和安全性.密碼服務代理提供用戶的業(yè)務服務接口，用戶應用通過此接口完成對密碼設備的數(shù)據(jù)訪問.用戶將需要掛載或者卸載的云密碼設備信息同步到負載均衡，由負載均衡統(tǒng)一管理.動態(tài)調度最高可達127臺，進行數(shù)據(jù)處理的吞吐效率系數(shù)不低于70%.每個服務器最大并發(fā)數(shù)不少于10 000.

3 密碼資源池的應用場景

密碼資源池系統(tǒng)典型的部署方案如圖2所示，分為設備管理和密碼服務調用兩大部分.

3.1 設備管理

云密碼服務供應商部署密碼資源池系統(tǒng)，為云租戶提供密碼資源服務平臺.供應商具有管理員權限，通過遠程登錄方式，進行云中密碼設備虛擬密碼化創(chuàng)建、密碼服務的啟停、密碼設備狀態(tài)監(jiān)控等操作.供應商接收用戶租用云密碼服務請求，處理請求，進行數(shù)據(jù)的推送任務，根據(jù)用戶的需求對密碼資源進行合理分配和處理，通過負載均衡器，提高密碼服務的效率.當云租戶數(shù)量增多或業(yè)務應用系統(tǒng)數(shù)據(jù)增加，已有的密碼資源不能滿足需求時，云密碼服務提供商可以在密碼資源池中添加密碼設備，通過統(tǒng)一的管理接口與上層的密碼資源調度模塊對接，實現(xiàn)對密碼設備安全有效的管理，加大密碼服務容量，系統(tǒng)具有良好的可擴展性.

3.2 密碼服務調用

用戶對云密碼資源的租用方式可分為2種：一是設備租用者，這類用戶租用云密碼服務提供商的密碼設備，自己對設備進行規(guī)劃、使用和管理；二是服務租用者，此類用戶只租用密碼服務，不關注密碼設備管理，設備管理由運營商進行維護和規(guī)劃，降低了密鑰管理的風險.

對于設備租用者先構建自己的權限人員體系，并對自己擁有的設備或者是提供給密碼服務租用者的設備進行規(guī)劃，根據(jù)自己的業(yè)務或者密碼服務租用者需求進行密鑰的創(chuàng)建、分配及其他管理操作，并對內或者對外的應用系統(tǒng)進行密碼服務.

對于服務租用者先申請密碼服務調用地址，得到密碼服務提供商的許可后，根據(jù)用戶業(yè)務應用系統(tǒng)的需求，通過標準JCE接口對密碼服務進行調用.

通過以上2種方式，從用戶看來，業(yè)務應用系統(tǒng)與密碼應用一一對應，每個應用系統(tǒng)由相互獨立、互不干擾的密碼機提供密碼資源服務.

4 結 論

本文通過對云計算環(huán)境下密碼應用所面臨的問題進行分析和研究，提出了一套密碼應用解決方案.用戶既可以只租用云中的密碼機為業(yè)務應用系統(tǒng)提供密碼服務，擺脫密鑰管理的困擾，也可以租用云中密碼機，自行管理、規(guī)劃、使用，具有高可用性、可擴展性，有效提高了密碼資源在云計算環(huán)境下的管理和應用.

[1]Armbrust B M, Fox A, Griffith R, et al. Above the clouds: A berkeley view of cloud computing[J]. Eecs Department University of California Berkeley, 2009, 53(4): 50-58

[2]馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83

[3]容曉峰, 李增欣, 郭曉雷. 密碼服務系統(tǒng)研究綜述[J]. 計算機安全, 2010 (3): 62-66

[4]田景成. 云計算與密碼技術[J]. 信息安全與通信保密, 2012 (11): 132-134

張 晏

碩士，工程師，主要研究方向為云存儲安全、移動辦公安全.

zhangyan@cei.gov.cn

岑榮偉

博士，高級工程師，主要研究方向為網(wǎng)絡安全、電子認證技術.

cenrw@cei.gov.cn

沈宇超

博士，高級工程師，主要研究方向為安全與電子認證技術.

shenyc@cei.gov.cn

國 強

碩士，工程師，主要研究方向為信息安全、電子認證技術.

guoqiang@cei.gov.cn

The Application of Cryptography Resource System in Cloud Computing

Zhang Yan, Cen Rongwei, Shen Yuchao, and Guo Qiang

(DepartmentofInformationandNetworkSecurity,StateInformationCenter,Beijing100045)

In cloud computing, we protect information system and huge amounts of data by the cryptographic techniques, each business application system needs large capacity and reliable cloud cryptographic service to protect information security and efficiently use cloud cryptography resources and effective key management. In this paper, we put forward a cryptography resource system to effectively manage cryptography resource in cloud computing environment. The system provides the whole life cycle of key and cryptographic device. Through hardware virtualization technology, the system can provide high speed, reliable, scalable cryptographic service for multiple application system. It effectively improves the utilization of cryptography resources and reduces the risk of the key management and application.

cloud computing; cloud security; cloud cryptography; cryptography resource system; key management

2016-05-29

電子政務云集成與應用國家工程實驗室項目

TP309