云密碼服務(wù)技術(shù)白皮書

VI II 1 1 2 4 5 6 6 9 14 18 18 19 24 27 31 35 35 37 41 42 44 44 45 47 48 48 49 51 55 57 58 62 64 70 731計(jì)算服務(wù)通常分為IaaS（InfrastructureasaService，基礎(chǔ)設(shè)施即服務(wù)）、PaaS正是在云計(jì)算發(fā)展形勢的推動下，2013年的美國RSA大會議上提出了2行了不斷的豐富和拓展，并發(fā)展出了加密即服務(wù)（EaaS）、密鑰管理即服務(wù)1.2密碼技術(shù)對云計(jì)算的重要性32013年提出了BeyondCorp模型，CSA（CloudSecu41.3云密碼服務(wù)的概念應(yīng)用需求。用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用”5用戶不需要掌握專業(yè)的密碼學(xué)知識即可安全的使用云密碼服務(wù)提供的密碼1.4云密碼服務(wù)的市場前景62.1云密碼服務(wù)應(yīng)用現(xiàn)狀云用戶提供密碼技術(shù)解決方案，如密碼資源池、云安全訪為了實(shí)現(xiàn)密鑰管理的互通性和方便性，OASIS組織制定了密鑰管理互聯(lián)協(xié)78于對電子文件的數(shù)字簽名，有些云簽名服務(wù)已經(jīng)能夠兼容主流的文檔格式加密的有效方式?？梢詫ASB想象為企業(yè)所有云端92.2云密碼服務(wù)標(biāo)準(zhǔn)化現(xiàn)狀密碼技術(shù)的成果不多，我們主要介紹比較有借鑒意義的美國的NIST（NIST是美國國家標(biāo)準(zhǔn)技術(shù)研究所的簡稱，它制定了一些有影響力的根據(jù)云服務(wù)商提供的資源類型不同，NIST會話密鑰的安全（建立安全會話保證雜湊值和驗(yàn)證結(jié)果證簽名私鑰的安全、會話密鑰安全會話與強(qiáng)鑒別技非對稱私鑰的安全、會話密安全會話與強(qiáng)鑒別技非對稱私鑰的安全、會話密非對稱私鑰的安全、會話密全非對稱私鑰的安全、會話密2017年2月發(fā)布KMIPV1.4，同期形成KMIPV2.0草案稿。K對復(fù)雜應(yīng)用環(huán)境中的密鑰管理。該標(biāo)準(zhǔn)主要面向③密鑰管理的建議。對密鑰管理的載體、方式，管理用戶密鑰的方式提出①密鑰管理要求。數(shù)據(jù)加密密鑰應(yīng)使用安全的方式生成；數(shù)據(jù)加密密鑰應(yīng)②密鑰管理部署建議。在云計(jì)算環(huán)境中，基于職責(zé)分離的安全原則，理想信安標(biāo)委，委員會編號為TC260以及密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委表2-2云密碼服務(wù)相關(guān)密碼行業(yè)標(biāo)準(zhǔn)技術(shù)規(guī)范或研究課題12規(guī)定了云平臺管理系統(tǒng)與云服務(wù)器密碼機(jī)3456主要針對云計(jì)算環(huán)境中身份鑒別服務(wù)進(jìn)行對云身份鑒別服務(wù)中密碼應(yīng)用相關(guān)的標(biāo)準(zhǔn)7簽名密碼標(biāo)準(zhǔn)化中面臨的一些關(guān)鍵問題和8標(biāo)準(zhǔn)提出了基于云的電子簽名服務(wù)密碼技2.3云密碼服務(wù)面臨的挑戰(zhàn)鑰匙的形態(tài)插在PC上、或以PCI-e接口的密碼卡的形態(tài)插在主機(jī)內(nèi)、或以網(wǎng)絡(luò)些新的密碼技術(shù)構(gòu)造完整的新型云密碼服務(wù)？怎樣提升這些技術(shù)所使用的密碼作為一種標(biāo)準(zhǔn)服務(wù)，云密碼服務(wù)應(yīng)提供足夠的靈活性各種應(yīng)用系統(tǒng)提供密碼服務(wù)。應(yīng)用系統(tǒng)可能通過不同的接服務(wù)，例如：本地化部署的應(yīng)用系統(tǒng)通過遠(yuǎn)程網(wǎng)絡(luò)訪問云內(nèi)網(wǎng)訪問。這些應(yīng)用系統(tǒng)對響應(yīng)時(shí)間、數(shù)據(jù)吞吐量、安和接口方式在計(jì)費(fèi)、運(yùn)營維護(hù)服務(wù)等方面存在差異化的要求。入方式、接口方式需要采用的安全接入技術(shù)也不同。在公有云中，應(yīng)用系統(tǒng)數(shù)量多，對密碼的功能需求復(fù)雜，3.1云密碼服務(wù)需求分析3.2云密碼服務(wù)分類運(yùn)行和管理體系運(yùn)行和管理體系密碼應(yīng)用密碼應(yīng)用云計(jì)算平臺其他云密碼服務(wù)證書管理服務(wù)密鑰管理服務(wù)隨機(jī)數(shù)服務(wù)證書管理服務(wù)密鑰管理服務(wù)隨機(jī)數(shù)服務(wù)密碼服務(wù)層密碼算法服務(wù)密碼算法服務(wù)密碼基礎(chǔ)設(shè)施密碼設(shè)施層密碼基礎(chǔ)設(shè)施密碼設(shè)施層密碼設(shè)備集群云密碼資源服務(wù)CRaaS數(shù)字證書管理是PKI應(yīng)用工程中身份認(rèn)證的把網(wǎng)絡(luò)實(shí)體在物理世界中的真實(shí)身份和數(shù)字世界中公鑰的綁定實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)體據(jù)加密密鑰使得云中的密鑰管理必須使用專門的云云密碼資源服務(wù)云密碼資源服務(wù)云計(jì)算平臺云計(jì)算平臺密碼應(yīng)用其他云密碼服務(wù)簽名驗(yàn)簽服務(wù)時(shí)間戳服務(wù)數(shù)據(jù)密鑰管理服務(wù)簽名驗(yàn)簽服務(wù)時(shí)間戳服務(wù)數(shù)據(jù)密鑰管理服務(wù)安全認(rèn)證服務(wù)安全認(rèn)證服務(wù)身份密鑰管理服務(wù)身份密鑰管理服務(wù)運(yùn)行和管理體系安全通信服務(wù)安全通信服務(wù)隨機(jī)數(shù)服務(wù)隨機(jī)數(shù)服務(wù)…………云密碼功能服務(wù)CFaaS密碼基礎(chǔ)設(shè)施密碼基礎(chǔ)設(shè)施安全認(rèn)證網(wǎng)關(guān)、VPN等設(shè)備，實(shí)際上都是面向一定應(yīng)用場景的密碼算法和密碼運(yùn)行和管理體系云密碼功能服務(wù)云密碼資源服務(wù)文檔共享服務(wù)電子合同服務(wù)加密存儲服務(wù)CASB服務(wù)……云密碼業(yè)務(wù)服務(wù)CBaaS運(yùn)行和管理體系云密碼功能服務(wù)云密碼資源服務(wù)文檔共享服務(wù)電子合同服務(wù)加密存儲服務(wù)CASB服務(wù)……云密碼業(yè)務(wù)服務(wù)CBaaS應(yīng)用應(yīng)用應(yīng)用業(yè)務(wù)應(yīng)用密碼基礎(chǔ)設(shè)施密碼基礎(chǔ)設(shè)施l3.3云密碼服務(wù)部署方式部署模式混合部署。例如一個(gè)電子合同服務(wù)，可以使用（1）中所描述的部署在云服務(wù)商環(huán)境中的電子合同流程服務(wù)，采用（2）中所描述的電子簽名服務(wù)、時(shí)3.4云密碼服務(wù)訪問方式密碼服務(wù)密碼服務(wù)協(xié)議云密碼機(jī)向外提供PKCS#11的接口，在國內(nèi)云密碼設(shè)備向外提供符合GB/T業(yè)務(wù)系統(tǒng)1K業(yè)務(wù)系統(tǒng)2K業(yè)務(wù)系統(tǒng)1K業(yè)務(wù)系統(tǒng)2K業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2代理用戶環(huán)境1業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2代理業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2代理用戶環(huán)境1業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2代理業(yè)務(wù)系統(tǒng)密碼服務(wù)密碼服務(wù)用戶環(huán)境2隨著SaaS服務(wù)的逐步成熟和對安全的更高要求，云訪問安全代理CASB業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2業(yè)務(wù)系統(tǒng)2云安全訪問代理（密碼服務(wù)）用戶環(huán)境1業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2業(yè)務(wù)系統(tǒng)1業(yè)務(wù)系統(tǒng)2云安全訪問代理（密碼服務(wù)）用戶環(huán)境2云密碼功能服務(wù)CFaaS云簽名、加解密、身份鑒別…云密碼功能服務(wù)CFaaS云簽名、加解密、身份鑒別…云密碼業(yè)務(wù)服務(wù)CBaaS云加密存儲服務(wù)、電子合同…3.5云密碼服務(wù)運(yùn)營與管理云密碼資源服務(wù)云密碼資源服務(wù)CRaaS云密碼資源池、數(shù)字證書、密鑰管理…安全責(zé)任用戶更多責(zé)任服務(wù)商更多責(zé)任用份用份云密碼服務(wù)的密碼基礎(chǔ)設(shè)施部分及采用的其他密碼產(chǎn)品必須是經(jīng)過國家密個(gè)個(gè)次4.1一些重要的密碼算法相關(guān)技術(shù)頸，甚至影響到密碼技術(shù)的使用。我國已經(jīng)標(biāo)準(zhǔn)化的常用的密碼算法有SM1、基于屬性加密可用于訪問授權(quán)服務(wù)，是保障云存儲安全的重要技術(shù)之一。代理重加密是允許一個(gè)擁有一些額外信息的半可信代理者把授權(quán)者公鑰下安全外包計(jì)算可以讓用戶將復(fù)雜的運(yùn)算安全的外包給運(yùn)算能力強(qiáng)的云服務(wù)4.2硬件虛擬化技術(shù)APPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPVT-dIOChannelVT-dIOChannelAPPAPPAPPAPPAPPAPPAPPAPPAPPVTVT-dIOChannelAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPP備可以包含多個(gè)PCI物理功能，或者包含共享設(shè)備內(nèi)資源的多個(gè)虛擬功能。在現(xiàn)的。虛擬機(jī)管理程序只要簡單地將虛擬功能映射到VM上就可APPAPPAPPAPPAPPAPP4.3云密鑰管理技術(shù)4.4云密碼服務(wù)安全訪問技術(shù)通信安全的協(xié)議主要有IPSec協(xié)議、SSL/TLS協(xié)議等。IPSec（2）軟件逆向工程防護(hù)技術(shù)：通過代碼混淆、增加冗余代碼等技術(shù)，實(shí)現(xiàn)鑰限定在寄存器和cache緩存中，防5.1云密碼服務(wù)應(yīng)用發(fā)展趨勢5.2云密碼服務(wù)技術(shù)發(fā)展趨勢5.3云密碼服務(wù)產(chǎn)業(yè)發(fā)展趨勢云計(jì)算與物聯(lián)網(wǎng)的發(fā)展催生出新的高速密碼模塊與密碼機(jī)產(chǎn)品。GM/T0028—2014《密碼模塊安全技術(shù)要求》賦予了密碼模塊更廣的概念，并規(guī)定了A.1云密碼資源池服務(wù)密碼服務(wù)資源池服務(wù)層是由密碼服務(wù)API及A.2CA云服務(wù)A.3云密鑰管理服務(wù)位/個(gè)人等用戶提供密鑰托管相關(guān)的支持活動，如密鑰托管服務(wù)、密鑰安全隔離隔離和訪問隔離，防止非法用戶/未授權(quán)用戶獲取和訪問密鑰。云密鑰管理服務(wù)KMS接口主密鑰KMS接口主密鑰A.4云電子簽名服務(wù)云電子簽名服務(wù)是指基于密碼基礎(chǔ)設(shè)施，為平臺服務(wù)商、密碼租用單位/個(gè)云電子簽名服務(wù)典型架構(gòu)由云簽名服務(wù)、簽名方和依賴方組成。CA認(rèn)證中簽名方指進(jìn)行電子簽名的主體。簽名方通常需要使用應(yīng)用程序?qū)﹄娫坪灻?wù)是基于云的電子簽名服務(wù)的最主要部分。云簽名服務(wù)通個(gè)人計(jì)算機(jī)、平板電腦、智能手機(jī)通常應(yīng)當(dāng)有硬件密碼設(shè)備可供使用。協(xié)同簽名模式用于向個(gè)人提供簽名服務(wù)的業(yè)務(wù)場景。尤其適用于面A.5云身份鑒別服務(wù)管理員認(rèn)證服務(wù)場景管理員認(rèn)證服務(wù)場景云應(yīng)用云應(yīng)用Saas、Paas、IaasAGENTAGENTRADIUSRADIUSSAMLSAMLAGENTAGENTRADIUSRADIUSSAMLSAMLAPIAPIVPNVPNVDI網(wǎng)站門戶LAN應(yīng)用賬戶的存儲、使用，還是SAML、openID等協(xié)議的使A.6云加密存儲服務(wù)務(wù)商、密碼租用單位/個(gè)人等用戶提供基于場景的數(shù)據(jù)加密支持活動，如敏感字?jǐn)?shù)據(jù)庫虛擬機(jī)oracle數(shù)據(jù)庫加/解密表空間密鑰列表密鑰加/解密數(shù)據(jù)主加密密鑰數(shù)據(jù)密鑰數(shù)據(jù)庫虛擬機(jī)oracle數(shù)據(jù)庫加/解密表空間密鑰列表密鑰加/解密數(shù)據(jù)主加密密鑰數(shù)據(jù)密鑰云密鑰管理服務(wù)云密鑰管理服務(wù)TDE加密主密鑰列加密表空間加密列加密應(yīng)用虛擬機(jī)磁盤讀/寫應(yīng)用明文磁盤加密密文A.7云電子合同服務(wù)名服務(wù),以及可信時(shí)間源服務(wù)，實(shí)現(xiàn)簽署人的數(shù)字證書的簽發(fā)，以及電子簽名數(shù)持對合同相關(guān)各方的網(wǎng)絡(luò)身份進(jìn)行核實(shí)驗(yàn)證，從而戶的網(wǎng)絡(luò)身份真實(shí)有效。從用戶類型上，身份識別現(xiàn)在證據(jù)產(chǎn)生源頭直接采集，確保證據(jù)的真實(shí)后立即固化和加密，通過安全傳輸通道直接發(fā)系統(tǒng)將接收到的電子證據(jù)采用先進(jìn)的國產(chǎn)密碼時(shí)間戳，采用分布式和多節(jié)點(diǎn)方式進(jìn)行保存，置，最終實(shí)現(xiàn)電子證據(jù)的長效和安全的存儲；保全系統(tǒng)鑒定客戶身份和所對應(yīng)權(quán)限后，提供A.8CASB數(shù)據(jù)加密服務(wù)技術(shù)以適配方式增強(qiáng)數(shù)據(jù)安全與業(yè)優(yōu)缺實(shí)施成本中，應(yīng)用免改造但需關(guān)鍵應(yīng)用安全代理（應(yīng)用云遷端的上行流量做預(yù)處理，對云服務(wù)端下載到用戶端的下行流量?可見性：目前SaaS和很多其他的公有云服務(wù)缺乏企業(yè)級的活動監(jiān)控，?合規(guī)性：企業(yè)IT系統(tǒng)往云上遷移后，仍然能滿足外部法律以及內(nèi)部標(biāo)?威脅防護(hù)：CASB可以提供云服務(wù)商基礎(chǔ)審計(jì)策略云密鑰管理服務(wù)審計(jì)策略云密鑰管理服務(wù)管理員云應(yīng)用系統(tǒng)CASBCASB數(shù)據(jù)加密插件數(shù)據(jù)CASB數(shù)據(jù)加密云服務(wù)管控平臺承諾用戶動態(tài)擴(kuò)展或縮減業(yè)務(wù)開展所需資源的時(shí)間異地容災(zāi)服務(wù)可用性《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》3能按照SLA在要求的時(shí)間內(nèi)及時(shí)響應(yīng)用戶的服務(wù)請求對服務(wù)提供機(jī)構(gòu)的互動溝通機(jī)制的建立與實(shí)施情況統(tǒng)計(jì)并比較得到有效處理的投訴數(shù)量和收到的投訴運(yùn)維事件響應(yīng)率及對于運(yùn)維事件按照不同的響應(yīng)級別要求在規(guī)定的時(shí)業(yè)務(wù)開通響應(yīng)及時(shí)性定制化服務(wù)響應(yīng)及用戶在申請定制化服務(wù)后可在規(guī)定的時(shí)間內(nèi)獲得服網(wǎng)絡(luò)隔離和訪問控制承諾在網(wǎng)絡(luò)中對不同用戶設(shè)置隔離區(qū)域并對訪問權(quán)提供安全審計(jì)相關(guān)功能并形成相應(yīng)的審計(jì)記錄和報(bào)表應(yīng)按照SLA