云計(jì)算終結(jié)傳統(tǒng)密碼體系?“密碼云”重塑密碼基礎(chǔ)設(shè)施

科技云報(bào)道
不難發(fā)現(xiàn),無論是哪種密碼上云的方式,在安全合規(guī)、可靈活擴(kuò)展、可中立運(yùn)營等方面都尚未做到兼顧。如何做到既符合對敏感密碼資源的保護(hù)要求,又充分實(shí)現(xiàn)云上密碼資源的按需配用、靈活擴(kuò)展、快速演進(jìn),成為云時(shí)代密碼應(yīng)用的挑戰(zhàn)。

過去十年,在云計(jì)算廣泛深入社會各個(gè)領(lǐng)域的同時(shí),安全也成為云計(jì)算領(lǐng)域亟待突破的重要問題。

尤其是作為網(wǎng)絡(luò)安全核心的密碼應(yīng)用,正在加速從幕后走向臺前。為此,以北京數(shù)字認(rèn)證股份有限公司(簡稱:數(shù)字認(rèn)證)為代表的密碼領(lǐng)域領(lǐng)先企業(yè),對密碼上云進(jìn)行了探索與實(shí)踐。

1、滯后的密碼上云建設(shè)

密碼與云的融合還在發(fā)展中,相關(guān)的標(biāo)準(zhǔn)規(guī)范也尚不完備。這種狀況下,國內(nèi)市場從具體需求的視角,出現(xiàn)了形態(tài)各異的密碼應(yīng)用實(shí)踐。

數(shù)字認(rèn)證首席科學(xué)家、研究院院長夏魯寧以三種密碼上云實(shí)踐為例,介紹了目前國內(nèi)常見的密碼上云方式及存在的問題:

| 純SaaS平臺密碼應(yīng)用實(shí)踐

即把電子合同等業(yè)務(wù)放在云計(jì)算的SaaS層提供。

由于缺乏硬件密碼資源的支持,密碼功能多以SaaS層的軟件方式來實(shí)現(xiàn),這導(dǎo)致對于密鑰等關(guān)鍵密碼參數(shù)的保護(hù)強(qiáng)度不夠,相當(dāng)多的案例都是在開放環(huán)境下進(jìn)行密碼計(jì)算和密鑰存儲,隨機(jī)數(shù)的熵和隨機(jī)性也得不到保障。雖然看起來做到了“云原生”,但關(guān)鍵安全參數(shù)的泄露風(fēng)險(xiǎn)頗大,整體安全風(fēng)險(xiǎn)不可忽視,也不符合國家、行業(yè)標(biāo)準(zhǔn)對密碼應(yīng)用的要求。

| 支持虛擬化的密碼設(shè)備實(shí)踐

即采用虛擬化技術(shù),在物理密碼機(jī)內(nèi)提供虛擬密碼機(jī)vHSM。

這種方式的優(yōu)勢在于密鑰等關(guān)鍵安全參數(shù)仍在密碼機(jī)物理邊界內(nèi),能夠依賴設(shè)備內(nèi)建安全體系來保護(hù)密碼計(jì)算、密鑰管理以及隨機(jī)數(shù)的安全。但缺點(diǎn)是可擴(kuò)展性差,能夠利用的最大計(jì)算和存儲資源受限于物理密碼機(jī)自身,資源分配的靈活性受限。

| 云密碼資源池實(shí)踐

即在多臺物理密碼設(shè)備的基礎(chǔ)上云化成密碼資源池,統(tǒng)一管理密碼資源集群,向應(yīng)用按需提供密碼資源服務(wù)。

這種方式能夠有效保證密碼應(yīng)用安全,是近年來云密碼應(yīng)用的巨大進(jìn)步。但現(xiàn)有的云密碼資源池實(shí)踐通用化程度不高,多為具體的云計(jì)算平臺定制,只能有效支持運(yùn)行在本平臺上的信息化應(yīng)用,在業(yè)務(wù)遷移、敏捷演進(jìn)等方面存在挑戰(zhàn)。

不難發(fā)現(xiàn),無論是哪種密碼上云的方式,在安全合規(guī)、可靈活擴(kuò)展、可中立運(yùn)營等方面都尚未做到兼顧。如何做到既符合對敏感密碼資源的保護(hù)要求,又充分實(shí)現(xiàn)云上密碼資源的按需配用、靈活擴(kuò)展、快速演進(jìn),成為云時(shí)代密碼應(yīng)用的挑戰(zhàn)。

2、“密碼云”重塑密碼基礎(chǔ)設(shè)施

在云化趨勢和政策合規(guī)性的雙重導(dǎo)向下,傳統(tǒng)的密碼技術(shù)正在向云密碼服務(wù)方向轉(zhuǎn)變,“密碼+云”的融合成為大勢所趨。

那么,密碼上云到底該如何做?是否存在既安全合規(guī),又充分利用云計(jì)算優(yōu)勢的密碼上云模式呢?

在夏魯寧院長看來,結(jié)合已有密碼上云的實(shí)踐經(jīng)驗(yàn),“融合、分層、解耦”將成為密碼上云的最佳實(shí)踐理念。

其中,“融合”是指以云的思想、架構(gòu)和技術(shù)來統(tǒng)籌管理密碼資源,做到密碼資源在合規(guī)安全的前提下,實(shí)現(xiàn)按需擴(kuò)展、可靈活配置。

“分層”是指在IaaS、PaaS、SaaS三個(gè)典型的云服務(wù)層面,為用戶分別提供密碼資源服務(wù)(CRaaS)、密碼功能服務(wù)(CFaaS)、密碼業(yè)務(wù)服務(wù)(CBaaS)。

“解耦”則是指上下層服務(wù)在統(tǒng)一標(biāo)準(zhǔn)、通用接口下,做到云密碼服務(wù)與具體平臺、具體信息化業(yè)務(wù)的解耦。

基于此,數(shù)字認(rèn)證創(chuàng)新推出了業(yè)界領(lǐng)先的“全棧、敏捷、安全”的密碼云,為用戶提供全新的密碼云服務(wù)體驗(yàn)。

| 全棧

數(shù)字認(rèn)證在密碼云服務(wù)的IaaS、PaaS、SaaS三個(gè)層面上提供層次完整、可解耦的密碼云服務(wù)解決方案,為用戶構(gòu)建一站式泛密碼服務(wù)平臺,支持公有云、私有云、混合云等多種交付形式。

| 敏捷

數(shù)字認(rèn)證的密碼云產(chǎn)品提供統(tǒng)一、標(biāo)準(zhǔn)的服務(wù)接口,屏蔽密碼資源的硬件差異,通過柔性重組隨需接入,把密碼資源變成可管可控的云資源,實(shí)時(shí)擴(kuò)展和敏捷管理。

| 安全

數(shù)字認(rèn)證嚴(yán)格遵照系列國家、行業(yè)標(biāo)準(zhǔn)對密碼應(yīng)用的要求,為用戶提供安全可靠、合法合規(guī)的密碼云服務(wù),包括運(yùn)維安全、技術(shù)安全、數(shù)據(jù)存儲安全、傳輸安全、數(shù)據(jù)安全隔離、數(shù)據(jù)所有權(quán)清晰、身份安全以及安全審計(jì)等方面。

據(jù)悉,數(shù)字認(rèn)證密碼云解決方案,已在能源、教育、醫(yī)療、政務(wù)等行業(yè)領(lǐng)域的多個(gè)大型企業(yè)成功落地實(shí)踐,為客戶提供電子合同SaaS業(yè)務(wù)、密碼功能統(tǒng)一供給、密碼資源統(tǒng)一管理等服務(wù),獲得了市場的廣泛認(rèn)可。

例如,某國內(nèi)100強(qiáng)企業(yè)在引入數(shù)字認(rèn)證密碼云后,建成一套符合行業(yè)密碼應(yīng)用要求的統(tǒng)一密碼資源服務(wù)體系。在上層業(yè)務(wù)系統(tǒng)和底層密碼設(shè)備之間,構(gòu)建了統(tǒng)一密碼服務(wù)平臺,實(shí)現(xiàn)了對多類密碼設(shè)備的集中管理,向上層屏蔽設(shè)備差異、統(tǒng)一提供密碼資源。在其之上,該企業(yè)還構(gòu)建了身份鑒別、電子簽名驗(yàn)簽、數(shù)據(jù)加解密等密碼功能服務(wù)。

目前,該企業(yè)通過“統(tǒng)一密碼服務(wù)平臺”接入的機(jī)構(gòu)、用戶、設(shè)備超過1億,一期密鑰需求高達(dá)5億對,成為企業(yè)在物聯(lián)網(wǎng)、密碼應(yīng)用以及人機(jī)交互場景下“最有效、最可靠、最經(jīng)濟(jì)”的信息安全基礎(chǔ)設(shè)施。

3、云時(shí)代的密碼安全建設(shè)趨勢

在新基建和信創(chuàng)的新機(jī)遇下,密碼產(chǎn)業(yè)已然蓄勢待發(fā)。但不可否認(rèn)的是,國內(nèi)云密碼服務(wù)市場仍處于萌芽期,還需經(jīng)歷較長時(shí)間的探索。

一方面,社會各界的密碼意識還不太到位,這導(dǎo)致對于密碼應(yīng)用并未真正站在整體、全局的視角規(guī)劃密碼應(yīng)用體系。

另一方面,完整的密碼云服務(wù)對服務(wù)提供商的要求較高,在機(jī)構(gòu)資質(zhì)、密碼技術(shù)能力、云服務(wù)運(yùn)營能力、行業(yè)經(jīng)驗(yàn)等方面都有著非常高的要求,數(shù)字認(rèn)證便是其中的佼佼者。

隨著云計(jì)算、物聯(lián)網(wǎng)等新興技術(shù)的不斷推進(jìn),夏魯寧院長認(rèn)為,未來的密碼安全建設(shè)還將出現(xiàn)四大趨勢:

| 軟件定義密碼

雖然目前國內(nèi)密碼市場仍以硬件為主,但隨著云計(jì)算的普及和國家對密碼管理思路的演進(jìn),密碼應(yīng)用必將在合規(guī)的前提下,走向更為靈活易用的軟件化。

|安全內(nèi)生

未來外掛式的單體密碼設(shè)備或?qū)⑾В艽a將走向與基礎(chǔ)軟硬件融合、與云融合、與信息化業(yè)務(wù)融合,包括密碼在內(nèi)的信息安全能力將成為信息化的內(nèi)生特性。

| 密碼服務(wù)多樣化

新技術(shù)的演進(jìn)將不斷推動密碼應(yīng)用的新場景和新產(chǎn)品涌現(xiàn),相應(yīng)的密碼技術(shù)服務(wù)也將從當(dāng)前以證書服務(wù)為主,拓展到多樣化的密碼服務(wù)。

例如,數(shù)字認(rèn)證在密碼云體系架構(gòu)之上,能夠廣泛提供證書認(rèn)證、身份鑒別、時(shí)間戳、云協(xié)同簽名等信任服務(wù)。

| 中立的第三方云密碼服務(wù)機(jī)構(gòu)出現(xiàn)

目前已有的密碼云實(shí)踐以私有云為主,用戶出于控制權(quán)、隱私保護(hù)等考慮,不易接受將所依賴的密碼服務(wù)托管在公有云上。

但從商業(yè)和法律的角度看,獨(dú)立第三方在涉及多方互動(例如:電子合同)的信息業(yè)務(wù)中,具有中立性的獨(dú)特優(yōu)勢。因此,正如當(dāng)前中立的證書服務(wù)機(jī)構(gòu)一樣,中立的云密碼服務(wù)機(jī)構(gòu)未來也很可能會出現(xiàn)。一旦中立的云密碼服務(wù)機(jī)構(gòu)被市場所接受,密碼產(chǎn)業(yè)將打開一個(gè)新的、廣闊的市場空間。

隨著《密碼法》的頒布和實(shí)施,未來密碼行業(yè)市場將更加規(guī)范,云密碼服務(wù)市場的競爭和精細(xì)化也將并行展開。以數(shù)字認(rèn)證“密碼云”為代表的密碼上云應(yīng)用探索與實(shí)踐,將進(jìn)一步推動國內(nèi)密碼產(chǎn)業(yè)的模式創(chuàng)新和產(chǎn)業(yè)升級,重塑云時(shí)代的密碼基礎(chǔ)設(shè)施。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論