電子認證服務在云環境下的應用研究

◆賈偉峰

（上海市數字證書認證中心有限公司 上海 200080）

電子認證服務在云環境下的應用研究

◆賈偉峰

（上海市數字證書認證中心有限公司 上海 200080）

本文針對云環境下的身份認證、數據加密、數字簽名、行為不可否認性等信息安全難題，研究云環境下的數字證書認證系統、統一身份認證服務、電子簽名服務、數據加密服務等，形成云環境下的電子認證服務解決方案，創新服務模式、業務模式和應用模式等，為業務應用提供完整、安全、可靠、可控的電子認證服務，為構建云環境下的電子認證進行先行探索。

電子認證；云計算；信息安全

0 引言

美國知名市場調研公司Gartner發布的名為《云計算安全風險評估》的研究報告中稱，雖然云計算行業具有廣闊的市場前景，但對于使用云服務的用戶來說，他們應該意識到，云計算服務中存在著七大潛在安全風險，即優先訪問權風險、管理權限風險、數據位風險、數據隔離風險、數據恢復風險、調查支持風險和長期生存性[1]。隨著云計算技術的廣泛應用，云計算的安全問題日益明顯，云安全問題成為云計算應用發展中最為重要的研究課題。而處于云安全面前的第一道門就是身份認證。因此，通過對權威的電子認證服務的研究，形成可信、可行、高效的云認證解決方案對保障云環境安全顯得尤為重要。

1 云環境下的數字證書認證系統

傳統的數字證書認證系統是將注冊審核管理功能、證書簽發管理功能、證書查詢驗證功能等分別部署在各自獨立的服務器、數據庫和網絡系統中，不能適應云環境的特性。為此，需要將原有的數字證書認證系統進行云計算化，為用戶提供數字證書的申請、審核、簽發、發布、更新、查詢、驗證等功能和服務，為電子政務和企業信息化提供身份認證、數據機密性完整性保護、不可抵賴性服務安全支撐。

云環境下的數字證書認證系統是借助云計算能力強、按需提供服務、高可靠性和IT基礎設施投入低等優點，按照SaaS的模式向個人用戶、機構用戶、設備用戶簽發RSA 1024/2048算法數字證書、SM2 算法數字證書，為用戶提供數字證書的申請、審核、簽發、發布、更新、查詢、驗證等功能和服務，為電子政務和企業信息化提供身份認證、數據機密性完整性保護、不可抵賴性服務安全支撐。云環境下的數字證書認證系統包括證書簽發系統（CA）、注冊審核管理系統CRA）、證書查詢與驗證系統（LDAP/OCSP）和密碼設備集群等，如圖1所示。

圖1 云環境下的數字證書認證系統

2 云環境下的統一身份認證服務

在信息安全體系中，身份認證能夠確認某一個用戶身份的合法性，為保證數據的安全性與機密性，身份認證過程是每個系統必備的一個環節，同時也是保障系統安全的一個重要措施，因此每個系統都會花費人力物力來對用戶進行身份認證，相當于每個系統都在做大量重復性的工作，對于企業或者系統來說是資源的浪費。鑒于身份認證是一個必需的操作，向用戶提供基于云計算的身份認證可解決資源浪費的問題。將身份認證做成一種靈活可配置的服務，需要將身份認證遷移到云上去，也就是說將身份認證做成一種SaaS產品。即云端的身份認證服務搭建企業身份認證所需要的網絡基礎設施以及軟件、硬件運作平臺，并且系統所有前期的實施、后期的維護等一系列工作都將由云端的身份認證服務系統提供，法人和自然人只要通過互聯網就可使用身份認證服務。

3 云環境下的數據加密服務

云存儲是由大量的物理存儲設備通過網絡集群和中間件構成，為用戶提供存儲服務。云存儲的典型結構包括存儲資源池、分布式文件系統、服務水平協議、服務接口等。云存儲架構是一個分層模型，自下向上分別是存儲層、管理層、應用層、訪問層。

云計算安全傳輸可采用雙重加密技術，既保證了用戶信息的安全、有效傳輸，又保證了密鑰的安全分配。同時使用消息鑒別技術保證了用戶數據的完整性，防止用戶數據被篡改[2]。

在加密過程中，首先使用隨機產生的對稱密鑰加密明文得到緊湊的密文，對稱加密算法具有安全性高、加密解密速度快的特點。然后使用收信者的公鑰將剛才使用的對稱密鑰加密封裝起來，然后得到的是密文的包裹，這一做法形象的稱為打包操作。然后系統會計算可以用于檢查這個包裹完整的消息摘要值，并且連同包裹一同發送給收信者。這種做法利用了對稱密鑰加密速度快的優點，同時又避免了對稱加密密鑰在傳輸過程中容易被竊取的缺點。

當解密時，收信者首先用哈希算法計算出包裹和密文的消息摘要，然后和發信者傳送過來的消息摘要進行對比，則就可以知道在傳輸過程中數據有沒有損壞，或者有沒有被中途攔截過。在完成消息摘要的對比后，用自己的私鑰解密對稱加密密鑰，再用對稱密鑰快速還原密文文件。

4 云環境下的電子簽名服務

基于云計算架構的數字簽名系統是利用云計算技術及理念，實現數字簽名安全資源的池化，從而形成統一的安全云服務資源池，為用戶提供按需安全服務，提升整體安全基礎能力及服務提供能力[3]。

構建基于云計算架構的數字簽名安全云服務平臺需要遵循以下原則：

（1）技術層面。平臺必須符合云計算的技術架構，使用云計算的相關技術，如虛擬化技術、分布式計算、SOA 技術等，從技術上實現安全服務的云化。

（2）管理層面。平臺也必須具備符合云計算架構的管理功能，包括資源的動態調度、業務的自動配置、服務狀態監控等方面，從管理上實現安全服務的云化。

（3）運行層面。平臺能夠實現快速部署，滿足用戶隨時訪問的安全請求，并能夠處理大并發安全請求、根據需要動態擴展服務能力、兼容各種業務應用等方面。

基于以上原則，結合以上的實現模型，云環境下的電子簽名服務平臺邏輯架構如圖2所示。

圖2 云環境下的電子簽名服務平臺邏輯架構

在平臺中部署數字簽名服務器、電子簽章服務器、時間戳服務器等多種安全支撐設備，提供多種安全能力；基于虛擬化技術封裝各種安全能力標準接口，屏蔽各種安全設備的差異性，將各種安全能力整合為資源池，如數字簽名服務資源池、電子簽章服務資源池、時間戳服務資源池等[4]。在平臺中實現數字簽名服務、電子簽章服務、可信時間戳服務等多種安全服務，并提供對外服務界面；支持安全服務接口和安全服務門戶兩種方式與上層應用進行交互，安全服務接口采用主流的WebService方式或傳統的API 方式；安全服務門戶是基于Web 方式提供服務。在平臺中實現對安全云服務的管理，包括業務管理、資源配置和監控審計等多方面管理功能，提供統一的管理界面，實現安全資源的動態調度、自動配置、集中監控、報表生成、審計追蹤等內容。平臺兼容各種應用場景，服務于各種業務應用對象，如電子商務應用、電子政務應用、企業內部應用、云環境應用以及其他各種形式的應用。

基于云計算架構的數字簽名服務的實現是通過整合各種安全設施資源，開放安全能力，形成數字簽名資源池，并通過網絡為IT 環境包括云環境的系統和數據，提供可彈性調度、按需訂購的數字簽名安全服務，提供數字簽名即服務的服務模式，最終實現數字簽名安全服務的“云化”。

5 云環境下的電子認證服務體系

通過對傳統環境下和云環境下的數字證書認證系統、統一身份認證服務、數據加密服務和電子簽名服務等對比，對電子認證服務的關鍵技術和產品進行分析、整合、集成和創新，突破云環境下電子認證服務共性支撐技術，創新云計算電子認證服務的管理模式和服務模式，最終形成一系列面向云計算的電子認證服務的核心產品和應用解決方案，為云環境下的電子政務、電子商務、社會公共服務和企業內部應用提供電子認證服務，實現云環境下用戶身份認證、授權管理和責任認定等功能。得出云環境下電子認證服務體系的總體邏輯架構如圖3所示。

圖3 云環境下的電子認證服務體系邏輯架構

云環境下的電子認證服務體系從邏輯架構上分為基礎設施層、平臺管理層和軟件服務層。基礎設施層提供服務器集群、存儲器集群、加密機集群和網絡設備集群，并在這些硬件設備的基礎上利用KVM、Xen、Docker等虛擬化技術提供虛擬計算服務、虛擬存儲服務、虛擬密碼服務和虛擬網絡服務等。基礎設施層之上是平臺管理層，提供監控審計、資源管理、安全通信、業務管理、配置管理、設備管理、數據同步、運維管理、自動化部署、性能管理、應用架構和權限管理等支撐平臺業務運營的管理功能[5]。通過平臺管理層的API接口向軟件服務層提供身份認證服務、數據加密服務、數字證書服務、用戶管理服務、數字簽名服務、電子印章服務、時間戳服務和密碼管理服務等支撐電子認證服務的基礎服務。最后面向頂層為電子政務、電子商務、企業內部應用和社會公共服務提供云環境下的電子認證服務。

6 結束語

本文結合云環境下存在的安全風險，分別就數據證書認證系統、統一身份認證服務、數據加密服務、電子簽名服務等方面提出電子認證服務在云環境下的應用可行性解決方案。

[1]李凌.云計算服務中數據安全的若干問題研究[D].合肥：中國科學技術大學，2013.

[2]樊超.云環境下基于標識的用戶身份認證技術研究[D].廣州：廣東工業大學，2014.

[3]徐祺，崔久強.云環境下的電子簽名服務研究[J].軟件，2016.

[4]段春樂.云計算的安全性及數據安全傳輸的研究[D].程度理工大學，2012.

[5]馮朝勝，秦志光，袁丁.云數據安全存儲技術[J].計算機學報，2015.