国产密码技术在云计算环境下的应用是商用密码技术推广的主要方向,是云计算产业健康发展的基础。在此我结合近期在云加密技术方面的研究、探索和思考,谈一谈自己的一些看法,不当之处欢迎大家指正。
1、云密码应用技术体系的变化
在《信息安全技术 公钥密码基础设施 应用技术体系框架规范》中,将公钥密码基础设施应用技术体系框架分为密码设备服务层、通用密码服务层和典型密码服务层。其中密码设备服务层主要以专用密码硬件为核心,保证密钥的生命周期安全,是密码应用的核心;典型密码服务层和通用密码服务层共同构成“密码服务中间件”,中间件与基础设施安全支撑平台连接,共同支撑密码应用。在实际应用中,典型密码服务层也可单独实现,例如身份认证服务器、签名验签服务器、时间戳服务器等。
在云端密码应用中,密钥的生命周期安全仍然是整体安全性的核心。从目前技术发展情况来看,仍然需要以专用硬件密码芯片和设备为基础,兼顾考虑弹性计算、按需使用等云计算的特性。
云计算平台作为公共服务平台,为云端应用提供的是共性的服务产品。密码产品要想真正在云端得到广泛应用,必须与云管理平台紧密结合,把密码设备作为云平台的基础资源,由云平台统一管理和分配。租户只能使用分配给自己的资源,自行管理自己的密钥,云平台和其他租户无法使用租户的资源和密钥。
如图,在云上的物理密码资源层是云平台统一建设并负责运营管理的物理密码设备,密码设备服务层是运行在物理密码资源之上的虚拟密码设备。通用密码服务层、典型密码服务层、应用层所提供的密码功能和接口保持不变,仍然可以遵循现有标准。密码应用基础设施(如CA、时间戳服务等)可以基于云平台搭建,也可以使用现有的基础设施系统,在基于云平台搭建时,使用的也是密码设备服务层提供的虚拟密码设备。
2、密码资源池是云端密码应用的基础
在实际建设中,一般由云平台统一建设密码资源池,涵盖物理密码资源层和密码设备服务层的主要功能。根据实际需求的不同,也可把典型密码服务层包含在密码资源池的管理范围中,这种情况下,租户使用的是单独部署的典型密码服务,例如身份认证服务器、签名验签服务器、时间戳服务器等。
1)根据服务对象规划密码资源池的功能、数量和规模
云上应用系统多种多样,安全需求和防护级别不同,应当根据云上应用的分级分类方法,结合密码应用需求特点,规划密码资源池的功能、数量和规模。
2)明确并严格限定密码资源池的服务范围
在传统密码应用中,一般要求密码设备与应用通过专用网络连接。在云环境下,这种要求很难实现。为了保证应用与密码设备数据通讯安全,应限定密码资源池的服务范围,一般情况下最大为一个机房。对于在云上搭建的密码应用基础设施系统,该范围还应当尽量缩小,比如限定在专用机柜中。
3)结合网络安全技术做好边界防护和访问控制
用好密码资源池离不开网络安全技术的配合,对密码资源池防护的核心是密码资源的隔离和密码资源对应用系统的访问控制。各云平台的网络隔离技术实现方式不同,应当根据云平台网络技术的特点,结合密码技术,共同实现对密码资源池的保护,确保只有租户能够使用自己的密码资源。
3、云端密码产品和应用的发展
近年来,随着云计算应用的普及,密码产品厂商都增加了在云计算密码技术和产品的研发投入,出现了多种专门针对云环境的密码产品和应用,主要包括:
1)基于云密码资源池提供云端硬件密码设备租用服务
云服务器密码机是近两年出现的新的密码产品形态,它使用专用的密码硬件提供安全的密钥存储和密码运行环境,结合虚拟化技术,可以在同一个密码设备中,提供多台虚拟化密码机。云平台通过管控接口对云服务器密码机和虚拟密码机进行统一管理,为租户分配计算资源,从而使得密码机成为一种服务。阿里云和江南天安合作推出的云加密服务是国内第一个正式商用的密码设备租用服务,其他公有云服务商也在积极的进行相关研究。
2)基于云端密钥管理技术,为云端服务提供加密功能
云端密钥管理服务是近两年新兴的云端服务形式。最早是亚马逊提供的KMS服务,租户通过该服务可以方便的管理自己的各类加密密钥,通过与对象存储、块存储、关系数据库等云端服务结合,可以实现密钥的自动化管理。目前国内的主流云服务商如阿里云、华为云都已正式提供该服务。另外,针对安全性要求高的用户,部分云服务商还提供了云下密钥管理的解决方案。
3)基于协同签名技术的手机Key产品
智能密码钥匙作为个人端使用密码设备,得到了广泛的应用。随着移动终端应用的普及,如何解决移动终端密码应用成为新的课题。蓝牙Key、音频Key等专用硬件的产品形式因为兼容性、方便性等问题,推广受到较大制约。SM2算法的特性支持多方协同签名,可以把一部分密钥放在手机上,通过指纹、口令等手段进行保护,另一部分密钥放在云端,使用密码机等专用设备保护,从而完美的解决了兼容性、方便性和安全性的问题,成为智能密码钥匙的替代产品。目前江南天安、创原天地、DCS中心等都在积极地推广手机Key产品。
4)针对政务云的整体密码应用解决方案
政务云主要承载政府的各种系统,对安全性有着很高的要求。国家密码管理局也把政务云密码应用作为重点推广方向,成立了云计算专项组,对政务云的密码应用技术体系、密码应用要求标准规范体系进行专项研究,目前已经取得了较大进展,相关技术体系和应用要求基本成型。可以预见,近两年政务云密码应用将获得重大突破。
4、云端密码应用的发展建议
1)应用与标准同步发展
与前十年商用密码发展不同,现在无论从客户意识、政策环境、技术条件等方面都处于商用密码推广的最好时期。发展云端密码,完全可以不必重复以往先百花齐放,再制定标准进行规范的老路,而是可以采用标准与技术、产品、应用同步,甚至可以在充分研究的基础上先于市场发展,从而真正对市场发展发挥引导作用。
2)警惕以易用性为借口逐步突破安全底线
云计算受到市场欢迎的一个重要因素就是易用性。在使用密码产品时,客户和云平台往往会参照其他云端服务,对密码产品提出类似要求,很多时候会与产品的安全性产生冲突。作为密码产品厂商在进行抉择的时候,很可能会被市场绑架,从而逐步突破安全底线。如果我们的行业主管部门能够将需要遵循的标准提前发布,明确安全底线,就能帮助密码产品厂商、云平台和客户达成统一认识,从而规范市场的发展。
3)重视云端数据存储安全
根据多个机构的统计,在用户选择云计算时的顾虑中,数据存储安全排在第一位。随着网络安全法及配套法规的发布,用户在数据安全方面的需求更加迫切。密码技术在云端推广好,就必须与云端的各种存储服务紧密结合,解决好产品易用性和安全性的协调问题。这离不开密码产品厂商与云平台厂商的紧密配合,共同为用户提供易用、安全、合规的产品和服务。
近年来,江南天安在云端加密技术不断投入,已经形成了一系列成熟的产品,是国内云加密技术领跑者。在此,真诚希望与业界合作伙伴、主管部门、用户合作,共同推进国产密码技术在云端的应用,为互联网+、大数据等新兴产业的发展保驾护航。