云計(jì)算中密鑰管理關(guān)鍵技術(shù)研究

2019-11-14 08:17彭紅

軟件 2019年9期

摘 ?要：云計(jì)算環(huán)境相對(duì)于傳統(tǒng)的IT系統(tǒng)具有虛擬化、多用戶、分布式等新特征，現(xiàn)有密鑰管理體系架構(gòu)已無法滿足其需求。本文分析歸納了云計(jì)算中密鑰管理遇到的挑戰(zhàn)，提出了云計(jì)算中密碼管理關(guān)鍵技術(shù)應(yīng)用框架。針對(duì)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景，基于多年工作實(shí)踐給出了具體可行的云計(jì)算密鑰管理解決方案。

關(guān)鍵詞：?云計(jì)算;密鑰管理;互聯(lián)網(wǎng)應(yīng)用

中圖分類號(hào)：?TP393????文獻(xiàn)標(biāo)識(shí)碼：?A????DOI：10.3969/j.issn.1003-6970.2019.09.049

本文著錄格式：彭紅. 云計(jì)算中密鑰管理關(guān)鍵技術(shù)研究[J]. 軟件，2019，40（9）：212-215

Research on Critical Technologies for Key Management of Cloud Computing

PENG Hong

（Westone Information Industry INC.， Chengdu， Sichuan?610041）

【Abstract】： Compared with traditional IT systems， the cloud computing environment is characterized by virtualization as well as multi-user and distributed features. The existing key management architecture cant meet the need under cloud computing environment any longer. In this paper， the challenges encountered in key management of cloud computing are summarized and an application framework of key technologies of key management of cloud computing is proposed. In this way， a detailed and practical key management solution of cloud computing which can be applied in the Internet is provided based on years of work practice.

【Key words】： Cloud computing;?Key management; Internet application

0??引言

目前，安全是云計(jì)算在大規(guī)模推廣和部署過程中需要解決的首要問題，也是影響云計(jì)算規(guī)?；l(fā)展的關(guān)鍵要素。密碼技術(shù)作為保障安全的基石，在云計(jì)算安全中發(fā)揮著重要作用。云計(jì)算安全聯(lián)盟CSA列出的2017年“12大頂級(jí)云安全威脅”中，數(shù)據(jù)泄露、身份憑證和訪問管理不足排名前列^[1]。數(shù)據(jù)泄露、憑證被非授權(quán)使用通常是身份驗(yàn)證機(jī)制弱、密鑰管理松散所導(dǎo)致的結(jié)果。國際上一些機(jī)構(gòu)和標(biāo)準(zhǔn)組織已開展云計(jì)算中密鑰管理技術(shù)研究，OASIS出臺(tái)了云計(jì)算中的密鑰管理互操作協(xié)議，解決云端與密鑰管理系統(tǒng)之間的通信標(biāo)準(zhǔn)化問題，CSA發(fā)布的《云計(jì)算關(guān)鍵領(lǐng)域安全指南》也探討了云計(jì)算密鑰管理等難題。

傳統(tǒng)的密鑰管理技術(shù)已應(yīng)用多年，研究機(jī)構(gòu)亦出臺(tái)了一系列密鑰管理技術(shù)標(biāo)準(zhǔn)，但卻難以滿足云計(jì)算環(huán)境下對(duì)密鑰管理提出的新需求。云計(jì)算環(huán)境相對(duì)于傳統(tǒng)的IT系統(tǒng)具有虛擬化、多用戶、分布式等新特征^[2]，現(xiàn)有密鑰管理體系架構(gòu)已無法滿足其需求。此外，云計(jì)算根據(jù)應(yīng)用場(chǎng)景分為公有云、私有云和混合云，使用的云平臺(tái)和面向用戶場(chǎng)景各不相同，應(yīng)根據(jù)實(shí)際應(yīng)用場(chǎng)景研制相應(yīng)的云密鑰解決方案。本文分析了云計(jì)算中密鑰管理遇到的挑戰(zhàn)，梳理總結(jié)云計(jì)算中密碼管理關(guān)鍵技術(shù)，并針對(duì)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景給出了具體的密鑰管理解決方案。

1??需求分析

與傳統(tǒng)IT架構(gòu)相比，云計(jì)算的虛擬化以及動(dòng)態(tài)安全邊界等特性使得密碼技術(shù)應(yīng)用更為廣泛，對(duì)密鑰管理技術(shù)也帶來諸多新的挑戰(zhàn)^[3]。

1.1??密碼資源虛擬化帶來新的安全風(fēng)險(xiǎn)

虛擬化帶來的新風(fēng)險(xiǎn)主要表現(xiàn)在虛擬機(jī)的安全使用與訪問方面，虛擬機(jī)遷移過程中應(yīng)用程序、服務(wù)以及數(shù)據(jù)的完整性，密鑰的安全性保護(hù)等問題，需要加密、簽名等密碼技術(shù)的應(yīng)用作為支撐^[4]，其中對(duì)密鑰的安全管理尤為重要。

1.2??云環(huán)境中數(shù)據(jù)共享流動(dòng)帶來新的安全挑戰(zhàn)

云環(huán)境中用戶數(shù)據(jù)共享面臨的威脅主要來源于云服務(wù)提供商、惡意租戶。云服務(wù)提供商一般具有平臺(tái)的管理權(quán)限，能對(duì)運(yùn)行在平臺(tái)上的數(shù)據(jù)存儲(chǔ)和下載，存在越權(quán)訪問可能性，傳輸中的數(shù)據(jù)容易遭到偽裝成合法租戶的惡意截獲或篡改。此外，云服務(wù)提供商可在全球范圍內(nèi)動(dòng)態(tài)遷移虛擬機(jī)鏡像和數(shù)據(jù)，與虛擬機(jī)和數(shù)據(jù)相關(guān)聯(lián)的密鑰則存在泄漏的風(fēng)險(xiǎn)。

1.3海量用戶的身份鑒別與訪問控制成為新的安全挑戰(zhàn)

云服務(wù)模式下，用戶身份鑒別與訪問控制面臨新的挑戰(zhàn)，海量用戶的身份鑒別與授權(quán)，若采用密碼技術(shù)實(shí)現(xiàn)，則存在海量用戶密鑰生成、存儲(chǔ)和訪問管理等技術(shù)難題，如果密鑰保管或使用不當(dāng)將導(dǎo)致用戶數(shù)據(jù)的泄露。

綜上所述，為了解決云服務(wù)中面臨的虛擬化安全、數(shù)據(jù)存儲(chǔ)與訪問控制安全、應(yīng)用程序安全、用戶身份鑒別安全等，需要加密、簽名等密碼技術(shù)保障，而加密密鑰、簽名密鑰、證書密鑰等密鑰的安全產(chǎn)生、分發(fā)和存儲(chǔ)是急需解決問題。

2??云計(jì)算密鑰管理技術(shù)框架

云計(jì)算相對(duì)于傳統(tǒng)計(jì)算模式具有多租戶、虛擬化、按需服務(wù)等特點(diǎn)^[5]，使得傳統(tǒng)的密鑰管理系統(tǒng)無法直接應(yīng)用到云計(jì)算環(huán)境中。云計(jì)算環(huán)境中的密鑰管理系統(tǒng)主要需要解決以下問題^[6]：

（1）安全策略，包括信息管理策略、信息安全策略、物理安全策略、通信安全策略、密鑰安全策略、域安全策略等;

（2）密鑰及其相關(guān)元數(shù)據(jù)進(jìn)行定義與說明，包括密鑰類型、密鑰狀態(tài)及生命周期、密鑰管理相關(guān)功能（密鑰生成、密鑰使用、密鑰更新、密鑰歸檔、密鑰備份、密鑰恢復(fù)、密鑰安全存儲(chǔ)、密鑰安全傳輸、訪問控制等）;

（3）角色和權(quán)限，云密鑰管理系統(tǒng)應(yīng)對(duì)其相關(guān)角色和權(quán)限進(jìn)行說明，包括系統(tǒng)權(quán)限、系統(tǒng)管理員、審計(jì)管理員、密鑰擁有者、密鑰托管、密鑰恢復(fù)代理、操作員等;

（4）互操作性及可擴(kuò)展性，互操作性包括接口和協(xié)議、密鑰/數(shù)據(jù)格式、數(shù)據(jù)交換機(jī)制等;可擴(kuò)展性（包括支持多種密碼算法）。

如下圖所示，密鑰生成、密鑰分配、存儲(chǔ)保護(hù)、備份與恢復(fù)、密鑰更新、密鑰撤銷、訪問控制和互操作等環(huán)節(jié)會(huì)出現(xiàn)在云接入安全、交互安全和云數(shù)據(jù)安全的各個(gè)階段^[7]。

2.1 密鑰生成

在云計(jì)算環(huán)境中，用于數(shù)據(jù)加密的密鑰生成時(shí)一般要考慮密鑰的隨機(jī)性、密鑰強(qiáng)度和密鑰空間。為了滿足特定的安全要求，可選擇基于生物特征的密鑰生成或基于量子密碼系統(tǒng)生成密鑰，在層次化的云計(jì)算密鑰管理體制中，不同級(jí)別或不同類別的密鑰產(chǎn)生機(jī)制應(yīng)有所區(qū)別。

2.2 密鑰分配

密鑰分配是云密鑰管理中的最大問題之一。一般地，加密密鑰應(yīng)以密文方式傳輸且應(yīng)被安全存儲(chǔ)，可采用智能卡或HSM硬件設(shè)備進(jìn)行密鑰的安全存儲(chǔ)。在密鑰傳輸過程中，應(yīng)確保密鑰的機(jī)密性、完整性和可用性，采用基于安全隧道加密技術(shù)建立安全通信信道，如Https協(xié)議、IPsec VPN、SSL/TLS等，保障傳輸過程中的密鑰安全。在傳輸過程中，利用數(shù)字簽名等密碼技術(shù)提供完整性校驗(yàn)，防止密鑰被非法篡改。當(dāng)訪問云服務(wù)數(shù)據(jù)庫或某個(gè)應(yīng)用程序時(shí)，如果需要多個(gè)訪問密鑰，那么需要對(duì)每個(gè)密鑰的分發(fā)和使用進(jìn)行有效控制。

2.3 密鑰存儲(chǔ)保護(hù)

密鑰的安全存儲(chǔ)與保護(hù)已成為云服務(wù)提供商面臨的一個(gè)挑戰(zhàn)^[8]。鑒于密鑰存儲(chǔ)的物理安全，云用戶可以選擇將密鑰存儲(chǔ)在HSM中，或者其他的安全設(shè)施（如智能卡、TPM、安全令牌等）中，用戶數(shù)據(jù)加密的根密鑰應(yīng)存儲(chǔ)在安全硬件設(shè)備中。從密鑰所有者的角度考慮，密鑰可以存儲(chǔ)在與其被加密數(shù)據(jù)相同或不同的服務(wù)器上，或者委托數(shù)據(jù)擁有者或第三方密鑰管理服務(wù)提供方進(jìn)行存儲(chǔ)和管理。

2.4 密鑰備份與恢復(fù)

在云計(jì)算中，密鑰的備份和恢復(fù)通常使用秘密共享技術(shù)和密鑰托管技術(shù)。

2.5密鑰更新

密鑰更新應(yīng)不影響云計(jì)算服務(wù)的正常使用，密鑰注入必須在安全環(huán)境下進(jìn)行并避免外漏?，F(xiàn)用密鑰和新密鑰同時(shí)存在時(shí)應(yīng)處于同等的安全保護(hù)水平，更換下來的密鑰一般情況下應(yīng)避免再次使用。

2.6 密鑰撤銷

密鑰撤銷策略以及相關(guān)的機(jī)制對(duì)于所有的密鑰管理模型都是至關(guān)重要的。所有的云密鑰管理服務(wù)均需要支持密鑰撤銷機(jī)制，如當(dāng)企業(yè)員工離開企業(yè)或改變其工作職能時(shí)，密鑰管理服務(wù)應(yīng)當(dāng)撤銷或調(diào)整所有與該人員相關(guān)的密鑰訪問權(quán)限。

2.7密鑰的訪問控制

對(duì)于云加密服務(wù)中的加密密鑰的訪問需要進(jìn)行嚴(yán)格的控制，在云加密服務(wù)不可用時(shí)，云服務(wù)提供商處存儲(chǔ)的加密密鑰也應(yīng)當(dāng)不可用，以使被加密數(shù)據(jù)的安全訪問得到有效控制^[9]。密鑰只能被授權(quán)給合法用戶訪問，對(duì)于主密鑰可以通過采用密鑰拆分技術(shù)來提高密鑰訪問的安全性。

2.8密鑰管理互操作

加密系統(tǒng)的互操作性是實(shí)現(xiàn)云解決方案的一個(gè)重要考慮。由于在云計(jì)算環(huán)境中，用戶密鑰需求種類多，導(dǎo)致密鑰管理客戶端需要與多個(gè)密鑰管理服務(wù)器進(jìn)行通信。傳統(tǒng)的密鑰管理系統(tǒng)中，不同的密鑰管理服務(wù)器與用戶之間使用不同的密鑰管理協(xié)議，增加了用戶使用加密、認(rèn)證等操作的代價(jià)，同時(shí)提高了管理難度。因此，需要一個(gè)能夠協(xié)調(diào)不同服務(wù)和云之間的密鑰管理互操作協(xié)議。

3??互聯(lián)網(wǎng)應(yīng)用場(chǎng)景中云計(jì)算密鑰管理解決方案

3.1應(yīng)用背景

我國正在大力推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”，利用云計(jì)算、大數(shù)據(jù)技術(shù)構(gòu)建面向公眾提供服務(wù)的政務(wù)服務(wù)平臺(tái)。公眾用戶通過訪問政務(wù)平臺(tái)互聯(lián)網(wǎng)門戶登陸用戶業(yè)務(wù)系統(tǒng)，通過身份認(rèn)證、權(quán)限管理、訪問控制等安全措施，享受“一站式”政務(wù)服務(wù)。政務(wù)服務(wù)平臺(tái)多依托于互聯(lián)網(wǎng)，提供多種接入和認(rèn)證方式，服務(wù)用戶數(shù)眾多。在互聯(lián)網(wǎng)云服務(wù)的應(yīng)用場(chǎng)景下，云計(jì)算密碼應(yīng)用呈現(xiàn)其獨(dú)特需求：

3.1.1??云端不可信導(dǎo)致用戶需參與密鑰管理

在云計(jì)算環(huán)境中，云服務(wù)提供商面對(duì)大量用戶泛在接入需求，管理上可能存在諸多安全隱患，用戶也不愿意上傳敏感數(shù)據(jù)，云服務(wù)提供商也難以證明自己不會(huì)誤用和泄露這些數(shù)據(jù)^[10]。因此，用戶需要保管部分密鑰，而不是像傳統(tǒng)的方式將所有密鑰完全交由云服務(wù)提供商進(jìn)行托管。

3.1.2 ?密鑰數(shù)量大，需設(shè)計(jì)合理的密鑰生成、分發(fā)等機(jī)制

通過公開網(wǎng)絡(luò)將大量敏感信息（密鑰信息）從客戶手中傳遞到云服務(wù)提供商的過程中會(huì)存在諸多安全風(fēng)險(xiǎn)^[11]，例如：竊聽、釣魚，因此要設(shè)計(jì)分布式密鑰分發(fā)機(jī)制，

3.1.3 ?本地加密需求較多

傳統(tǒng)的通信加密方式中大量數(shù)據(jù)需要通過安全信道傳遞到服務(wù)端，加密后再返回給用戶，這種模式對(duì)用戶服務(wù)的性能影響很大。在分布式系統(tǒng)中，我們應(yīng)該盡可能的移動(dòng)計(jì)算而不是移動(dòng)數(shù)據(jù)，大量的移動(dòng)數(shù)據(jù)會(huì)帶來巨大的成本。因此，在互聯(lián)網(wǎng)+云服務(wù)模式中更多采用本地加密以減少云端壓力。

3.2解決思路

3.2.1 ?密鑰生成及分發(fā)機(jī)制

Step1：用戶A通過建立https通道訪問云服務(wù)商的互聯(lián)網(wǎng)門戶網(wǎng)站，提交身份信息，完成注冊(cè)與審核;云服務(wù)商將用戶信息同步至密鑰管理服務(wù)器（KMS）中。

Step2：用戶A與KMS之間使用HMAC-SHA1簽名認(rèn)證方案完成客戶端與KMS服務(wù)器之間身份認(rèn)證與訪問鑒權(quán)。

Step3：經(jīng)過安全協(xié)商，KMS產(chǎn)生用戶A的主密鑰，主密鑰存儲(chǔ)在密鑰服務(wù)器KMS中，用戶可以按照權(quán)限瀏覽其相關(guān)的主密鑰及加密密鑰記錄信息。

Step4：KMS使用主密鑰產(chǎn)生數(shù)據(jù)加密密鑰，即。加密密鑰密文存儲(chǔ)在云服務(wù)商不同地理區(qū)域的存儲(chǔ)服務(wù)器中，且使用存儲(chǔ)備份機(jī)制，用戶的加密密鑰與主密鑰之間關(guān)聯(lián)關(guān)系應(yīng)在KMS中進(jìn)行記錄。

出于安全性考慮，云服務(wù)商與KMS應(yīng)為不同服務(wù)機(jī)構(gòu)。云服務(wù)商主要存儲(chǔ)用戶信息，提供加密密鑰密文態(tài)存儲(chǔ)。

3.2.2??本地加解密應(yīng)用

為緩解云端加解密計(jì)算壓力，在互聯(lián)網(wǎng)應(yīng)用場(chǎng)景下，一般采用本地加解密方案，即用戶在KMS上通過主密鑰生成數(shù)據(jù)加密密鑰，數(shù)據(jù)加密密鑰通過SSL通道傳遞到用戶端，用戶端調(diào)用加密程序和數(shù)據(jù)加密密鑰完成數(shù)據(jù)加密過程，并將文件密文和加密密鑰密文上傳至云服務(wù)商部署在用戶所在區(qū)域的本地存儲(chǔ)設(shè)備進(jìn)行存儲(chǔ);解密時(shí)，根據(jù)用戶信息在KMS上查詢得到用戶主密鑰，利用主密鑰解密獲得用戶數(shù)據(jù)加密密鑰，并用數(shù)據(jù)加密密鑰在本地解密獲得文件明文。

4 ?結(jié)論

本文對(duì)云計(jì)算中的密鑰管理技術(shù)進(jìn)行梳理和總結(jié)，提出云計(jì)算密碼管理技術(shù)框架。針對(duì)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景，根據(jù)工作實(shí)踐提出了可行的云計(jì)算密鑰管理解決方案。本方案中密鑰產(chǎn)生、存儲(chǔ)與管理分屬不同機(jī)構(gòu)，用戶需要參與才能完成數(shù)據(jù)加解密過程，這也是與傳統(tǒng)密鑰管理方案不同的。后續(xù)研究將探討不同廠商和平臺(tái)之間密鑰管理互操作技術(shù)實(shí)現(xiàn)及標(biāo)準(zhǔn)化的問題，這也是阻礙密鑰管理技術(shù)應(yīng)用和推廣的主要障礙之一。

參考文獻(xiàn)