云計算環境下密碼資源池系統的應用

張 晏 岑榮偉 沈宇超 國 強

(國家信息中心信息與網絡安全部 北京 100045)

?

云計算環境下密碼資源池系統的應用

張 晏 岑榮偉 沈宇超 國 強

(國家信息中心信息與網絡安全部 北京 100045)

(zhangyan@cei.gov.cn)

在云計算環境下，密碼技術為信息系統和海量數據提供可靠的安全保障，各業務應用系統迫切需要大容量、可靠的、云密碼服務系統.提出云計算環境下一套完整的密碼應用解決方案——密碼資源池系統，系統對云中密鑰和密碼設備實現統一全生命周期的安全管理，通過硬件虛擬化技術，為多個應用系統提供高速、可靠、可擴展的密碼運算服務，有效地提高密碼資源的利用率，降低了密鑰管理和使用的風險.

云計算；云安全；云密碼；密碼資源池系統；密鑰管理

隨著云計算技術的大力發展與普及，越來越多的傳統應用開始向云端遷移，借助云計算特有的高可靠性、可擴展性、靈活性、低成本，實現數據集中管理及高效的資源利用[1].但是，應用系統和數據向云端遷移的同時，也帶來許多新的問題，信息安全問題尤為突出[2].當前，許多傳統應用系統已通過集成密碼機等硬件密碼設備，為業務應用提供信息安全保障[3]，但在云環境中使用密碼設備存在諸多問題，傳統的密碼設備使用方式已經不適合云環境，用戶密鑰的安全、密鑰的管理和設備維護更加困難.

本文提出云計算環境下一套完整的密碼應用解決方案——密碼資源池系統，能夠對密鑰、設備進行集中安全管理，能夠提供高效密碼運算服務，支持密碼資源的虛擬化和多應用共享，能對密碼資源進行實時監控、合理分配和負載均衡，具有可擴展、高性能、低風險等特點.

1 現狀及需求

云計算環境下，數據的安全主要依靠云中部署的密碼設備來保障.但由于國外密碼產品在國內各行業的影響根深蒂固，而國產密碼算法起步較晚，與行業應用結合過程中的兼容性問題有待解決，配套體制需要健全，體系的標準化需要完善[4].云計算環境下，已有的密碼機使用存在問題：加密機廠商種類繁多，沒有統一的接口和指令標準，導致開發和管理的復雜性高；業務系統獨占加密機，導致加密機重復投資，運算資源浪費，運維管理困難；由于專業程度不同，對于加密機的使用方式存在一定的安全隱患；加密機基數的增大會造成設備管理分散，設備故障或升級難度幾何放大；密鑰管理和使用分散，用戶需要自己維護密鑰與密碼設備之間的關系，繁瑣且存在安全風險.因此，設計和開發適合云計算環境下的密碼資源管理和密鑰管理系統迫在眉睫.

2 密碼資源池系統

密碼資源池系統是遵循國家商用密碼應用領域中的相關標準和規范進行設計和開發的，支持SM1,SM2等國密算法.

系統架構如圖1所示，由密碼資源調度系統、密碼服務資源池、密碼服務代理3部分組成.3部分之間通過SSL協議進行通信，保證了數據通路的安全.

圖1 密碼資源池的系統架構

2.1 密碼資源調度

密碼資源調度系統實現對密碼資源的分配、管理及統一調度.區域內分3個子系統，運維管理子系統、用戶管理子系統及密鑰管理子系統.

運維管理子系統作為設備資源的提供者，具有創建設備、分配設備、設備監控的統一管理權限.運維管理子系統對設備進行統一管理，能夠根據分配策略進行智能化資源分配.分配的原則是避免相同用戶的虛擬設備劃分在同一臺機器上，從而提高整體設備運行的容災性能.系統管理員可以創建用戶，代填用戶需求，根據需求分配、同步設備給用戶，并擁有對設備的啟停控制權.系統提供了故障管理和監控功能，能夠及時通過短信、郵件方式通知系統管理員，以確保設備正常運轉.

用戶管理子系統是對用戶開放的管理系統，分為權限管理、密鑰管理、密碼服務管理.用戶具有設備的使用權限，可在系統內創建自己的人員體系架構，完成對設備、密鑰和密碼服務的管理.

圖2 密碼資源池系統部署圖

密鑰管理子系統作為一個整體，統一對外提供密鑰管理服務，能夠對密鑰生成、分發、備份、恢復、銷毀、歸檔、注銷等進行全生命周期管理.通過對密鑰的集中管理，有效地降低了密鑰管理的安全風險.

2.2 密碼服務資源池

密碼服務資源池是密碼設備的集中存儲區域，由虛擬密碼機和統一管理接口組成.通過硬件虛擬化技術，將云中的密碼設備虛擬成各個相互獨立的虛擬密碼機，各虛擬密碼機配置人員管理、密鑰管理、密鑰查詢、備份恢復等密碼服務接口.每臺虛擬密碼機全面支持SM1,SM2,SM3,SM4等國產密碼算法，同時支持RSA,3DES,AES等國際通用算法，支持簽名驗簽、密鑰分散、MAC計算、數據加解密、數字信封等各種運算方式，算法安全強度高，滿足用戶不同的應用需求.密碼服務資源池與上層對接時，支持JCE,PKCS#11,SDS等多種標準密碼應用接口，將底層調用進行抽象，屏蔽了不同型號密碼設備的接口調用，使得接口調用更加快捷方便.密碼資源調度模塊可通過調用接口完成對云中密碼設備資源的控制.

2.3 密碼服務代理

密碼服務代理是云租戶和密碼服務資源的傳輸紐帶，通過消息總線訪問模式，支持多種通信方式，異步數據傳輸，大大提高了平臺的可靠性和安全性.密碼服務代理提供用戶的業務服務接口，用戶應用通過此接口完成對密碼設備的數據訪問.用戶將需要掛載或者卸載的云密碼設備信息同步到負載均衡，由負載均衡統一管理.動態調度最高可達127臺，進行數據處理的吞吐效率系數不低于70%.每個服務器最大并發數不少于10 000.

3 密碼資源池的應用場景

密碼資源池系統典型的部署方案如圖2所示，分為設備管理和密碼服務調用兩大部分.

3.1 設備管理

云密碼服務供應商部署密碼資源池系統，為云租戶提供密碼資源服務平臺.供應商具有管理員權限，通過遠程登錄方式，進行云中密碼設備虛擬密碼化創建、密碼服務的啟停、密碼設備狀態監控等操作.供應商接收用戶租用云密碼服務請求，處理請求，進行數據的推送任務，根據用戶的需求對密碼資源進行合理分配和處理，通過負載均衡器，提高密碼服務的效率.當云租戶數量增多或業務應用系統數據增加，已有的密碼資源不能滿足需求時，云密碼服務提供商可以在密碼資源池中添加密碼設備，通過統一的管理接口與上層的密碼資源調度模塊對接，實現對密碼設備安全有效的管理，加大密碼服務容量，系統具有良好的可擴展性.

3.2 密碼服務調用

用戶對云密碼資源的租用方式可分為2種：一是設備租用者，這類用戶租用云密碼服務提供商的密碼設備，自己對設備進行規劃、使用和管理；二是服務租用者，此類用戶只租用密碼服務，不關注密碼設備管理，設備管理由運營商進行維護和規劃，降低了密鑰管理的風險.

對于設備租用者先構建自己的權限人員體系，并對自己擁有的設備或者是提供給密碼服務租用者的設備進行規劃，根據自己的業務或者密碼服務租用者需求進行密鑰的創建、分配及其他管理操作，并對內或者對外的應用系統進行密碼服務.

對于服務租用者先申請密碼服務調用地址，得到密碼服務提供商的許可后，根據用戶業務應用系統的需求，通過標準JCE接口對密碼服務進行調用.

通過以上2種方式，從用戶看來，業務應用系統與密碼應用一一對應，每個應用系統由相互獨立、互不干擾的密碼機提供密碼資源服務.

4 結 論

本文通過對云計算環境下密碼應用所面臨的問題進行分析和研究，提出了一套密碼應用解決方案.用戶既可以只租用云中的密碼機為業務應用系統提供密碼服務，擺脫密鑰管理的困擾，也可以租用云中密碼機，自行管理、規劃、使用，具有高可用性、可擴展性，有效提高了密碼資源在云計算環境下的管理和應用.

[1]Armbrust B M, Fox A, Griffith R, et al. Above the clouds: A berkeley view of cloud computing[J]. Eecs Department University of California Berkeley, 2009, 53(4): 50-58

[2]馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83

[3]容曉峰, 李增欣, 郭曉雷. 密碼服務系統研究綜述[J]. 計算機安全, 2010 (3): 62-66

[4]田景成. 云計算與密碼技術[J]. 信息安全與通信保密, 2012 (11): 132-134

張 晏

碩士，工程師，主要研究方向為云存儲安全、移動辦公安全.

zhangyan@cei.gov.cn

岑榮偉

博士，高級工程師，主要研究方向為網絡安全、電子認證技術.

cenrw@cei.gov.cn

沈宇超

博士，高級工程師，主要研究方向為安全與電子認證技術.

shenyc@cei.gov.cn

國 強

碩士，工程師，主要研究方向為信息安全、電子認證技術.

guoqiang@cei.gov.cn

The Application of Cryptography Resource System in Cloud Computing

Zhang Yan, Cen Rongwei, Shen Yuchao, and Guo Qiang

(DepartmentofInformationandNetworkSecurity,StateInformationCenter,Beijing100045)

In cloud computing, we protect information system and huge amounts of data by the cryptographic techniques, each business application system needs large capacity and reliable cloud cryptographic service to protect information security and efficiently use cloud cryptography resources and effective key management. In this paper, we put forward a cryptography resource system to effectively manage cryptography resource in cloud computing environment. The system provides the whole life cycle of key and cryptographic device. Through hardware virtualization technology, the system can provide high speed, reliable, scalable cryptographic service for multiple application system. It effectively improves the utilization of cryptography resources and reduces the risk of the key management and application.

cloud computing; cloud security; cloud cryptography; cryptography resource system; key management

2016-05-29

電子政務云集成與應用國家工程實驗室項目

TP309