高志權(quán)

摘要：大數(shù)據(jù)、人工智能、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型網(wǎng)絡(luò)技術(shù)和產(chǎn)業(yè)的蓬勃發(fā)展，離不開云計(jì)算的支撐，隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，云計(jì)算逐漸走向平臺(tái)化、服務(wù)化，云密碼服務(wù)應(yīng)運(yùn)而生。這種全新的模式，使傳統(tǒng)的密碼應(yīng)用方式轉(zhuǎn)型為云密碼服務(wù)，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用”的方式使用密碼功能。密碼技術(shù)必須與時(shí)俱進(jìn)，適應(yīng)云計(jì)算的服務(wù)化需求，虛擬化技術(shù)、可信計(jì)算技術(shù)、微服務(wù)等技術(shù)為云密碼服務(wù)提供基礎(chǔ)支撐，密鑰隔離、遠(yuǎn)程管理、訪問控制等技術(shù)是云密碼服務(wù)的關(guān)鍵技術(shù)。

關(guān)鍵詞：云密碼服務(wù);密碼技術(shù);云計(jì)算

中圖分類號(hào)：TP315 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）09-0181-03

0 引言

信息技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，尤其是云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的飛速發(fā)展，促進(jìn)了業(yè)務(wù)的發(fā)展與變革。越來越多的業(yè)務(wù)，需要便捷、可靠、安全的密碼功能，來保障業(yè)務(wù)的安全性和合規(guī)性，同時(shí)，也要求密碼功能能夠按需使用、按使用量計(jì)費(fèi)。而傳統(tǒng)的以密碼設(shè)備、密碼系統(tǒng)為主的交付方式，已漸漸不能滿足業(yè)務(wù)的需要。在這種需求推動(dòng)下，云密碼服務(wù)的概念開始出現(xiàn)，云密碼服務(wù)是一種全新的密碼功能交付模式，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用”的方式使用密碼功能。

云密碼服務(wù)需要密碼技術(shù)及其他相關(guān)技術(shù)提供支撐，主要有當(dāng)前常用的密碼算法、密碼協(xié)議等成熟密碼技術(shù)，適應(yīng)新型應(yīng)用場(chǎng)景的同態(tài)加密、多方計(jì)算等新型密碼技術(shù)，滿足云化部署需要的虛擬化、微服務(wù)等云服務(wù)技術(shù)，以及密鑰隔離、遠(yuǎn)程管理等基于多種技術(shù)融合的云密碼關(guān)鍵技術(shù)。

1 新型密碼技術(shù)

新型密碼技術(shù)主要基于基礎(chǔ)密碼技術(shù)，探索具有更多特性的密碼技術(shù)，下面舉例介紹幾種新型密碼技術(shù)。

1.1 保留格式加密

保留格式加密（也稱作“保形加密”，format-preserving encryption，簡(jiǎn)稱FPE）是一類特殊的對(duì)稱加密機(jī)制，它最主要的特點(diǎn)就是保證密文的格式與加密前的明文格式完全相同。保留格式加密應(yīng)用于數(shù)據(jù)庫加密，即不需要改動(dòng)應(yīng)用系統(tǒng)，也不需要改動(dòng)數(shù)據(jù)庫結(jié)構(gòu)，此外保留格式加密可以用于數(shù)據(jù)的脫敏，并可通過調(diào)節(jié)加密的位數(shù)來實(shí)現(xiàn)不同的訪問控制粒度等。

為了更加直觀了解保留格式加密，我們比較保留格式加密與SM4加密之后的密文，如表1所示。

保留格式加密算法除了可以保證加密前后數(shù)據(jù)格式保持不變外，還具備加密前后數(shù)據(jù)長(zhǎng)度不變、格式不變等特點(diǎn)。

1.2 白盒密碼

傳統(tǒng)的密碼運(yùn)算都是假設(shè)終端設(shè)備是安全可靠的，如果這些設(shè)備處于一個(gè)不可信的執(zhí)行環(huán)境中，當(dāng)應(yīng)用程序使用密鑰進(jìn)行運(yùn)算的過程中，攻擊者通過監(jiān)控應(yīng)用程序的執(zhí)行，可以觀察到內(nèi)存的變化，則密鑰對(duì)攻擊者而言是直接可見的。

白盒加密技術(shù)主要解決不可信環(huán)境中的安全密碼運(yùn)算問題。白盒密碼技術(shù)提供充分的可見性來代替原有的黑盒密鑰運(yùn)算，在白盒環(huán)境下，攻擊者可以觀察到安全密碼的輸入、輸出、運(yùn)行和內(nèi)存變化等，可以自由的觀察動(dòng)態(tài)代碼的執(zhí)行，并且完全可見和改變內(nèi)部算法各個(gè)環(huán)節(jié)的輸入輸出（白盒密碼工作原理示意參照?qǐng)D1）。在這種完全透明的場(chǎng)景下，白盒加密技術(shù)仍然可以保護(hù)密鑰的安全性，攻擊者仍然無法獲取到密鑰。

1.3 同態(tài)加密

同態(tài)加密主要用于密文信息處理。同態(tài)加密是指對(duì)其加密數(shù)據(jù)進(jìn)行處理得到一個(gè)輸出，將此輸出進(jìn)行解密，其結(jié)果與用同一方法處理未加密原始數(shù)據(jù)得到的結(jié)果一致。

與普通加密算法只關(guān)注數(shù)據(jù)存儲(chǔ)安全不同，同態(tài)加密算法關(guān)注的是數(shù)據(jù)處理安全，提供對(duì)加密數(shù)據(jù)進(jìn)行加法和乘法處理的功能，使用同態(tài)加密算法，不持有解密私鑰的用戶也可以對(duì)加密數(shù)據(jù)進(jìn)行處理，處理過程不會(huì)泄露任何原始數(shù)據(jù)信息，同時(shí)，持有私鑰的用戶對(duì)處理過的數(shù)據(jù)進(jìn)行解密后，可得到正確的處理結(jié)果。

根據(jù)同態(tài)加密的使用場(chǎng)景，設(shè)計(jì)同態(tài)加密的技術(shù)方案如圖2所示。

1.4 基于屬性的加密

基于屬性的加密（attribute-based encryption，簡(jiǎn)稱ABE）可用于訪問授權(quán)服務(wù)，是保障云存儲(chǔ)安全的重要技術(shù)之一。ABE是基于身份的加密體制的進(jìn)一步演變，ABE可以構(gòu)造一個(gè)訪問控制結(jié)構(gòu)，該結(jié)構(gòu)保證了ABE的密文能夠被多個(gè)不同的用戶私鑰去解密。

1.5 開放授權(quán)

開放授權(quán)協(xié)議（OAuth）主要用于認(rèn)證授權(quán)服務(wù)。OAuth協(xié)議的出現(xiàn)解決了Web服務(wù)整合過程中出現(xiàn)的用戶、第三方應(yīng)用和服務(wù)提供方之間在認(rèn)證授權(quán)方面出現(xiàn)的問題。它為用戶在客戶端應(yīng)用上點(diǎn)擊“第三方”登錄時(shí)，能夠訪問存儲(chǔ)的受保護(hù)數(shù)據(jù)信息提供了認(rèn)證標(biāo)準(zhǔn)，與其他授權(quán)協(xié)議的區(qū)別是：OAuth能在不觸及用戶身份等敏感信息的情況下，允許客戶端應(yīng)用在授權(quán)范圍內(nèi)訪問該用戶托管在服務(wù)器上的保護(hù)數(shù)據(jù)。

2 云服務(wù)支撐技術(shù)

云服務(wù)支撐技術(shù)包括虛擬化技術(shù)、可信計(jì)算技術(shù)和微服務(wù)架構(gòu)等，主要用于實(shí)現(xiàn)云服務(wù)模式。

2.1 虛擬化技術(shù)

虛擬化技術(shù)可用于密碼資源虛擬化。虛擬化使用軟件的方法重新定義劃分IT資源，可以實(shí)現(xiàn)IT資源的動(dòng)態(tài)分配、靈活調(diào)度、跨域共享，提高IT資源利用率，使IT資源能夠真正成為基礎(chǔ)設(shè)施。虛擬化技術(shù)與密碼技術(shù)結(jié)合可以支撐構(gòu)建云密碼資源池，對(duì)用戶提供虛擬密碼機(jī)服務(wù)。

密碼卡是一種基礎(chǔ)密碼產(chǎn)品，是許多密碼產(chǎn)品的基礎(chǔ)密碼部件，密碼卡的虛擬化是密碼設(shè)備云化部署的一項(xiàng)基礎(chǔ)技術(shù)。圖3是一種基于SR-IOV硬件虛擬化技術(shù)的密碼卡實(shí)現(xiàn)，將一塊物理PCI-E密碼卡虛擬成多塊虛擬密碼卡，并分配給多個(gè)用戶使用，每個(gè)用戶有獨(dú)立的密鑰存儲(chǔ)空間和I/O通道，可實(shí)現(xiàn)密鑰安全隔離。

2.2 可信計(jì)算技術(shù)

可信計(jì)算技術(shù)可用于可信密碼服務(wù)?？尚庞?jì)算技術(shù)采取主動(dòng)防御的方式，以系統(tǒng)啟動(dòng)過程軟件加載的度量、啟動(dòng)后軟件的動(dòng)態(tài)度量、通信過程的遠(yuǎn)程證明等機(jī)制發(fā)現(xiàn)系統(tǒng)的安全問題，其基本原理是：以信任根為核心，把核心信任根模塊作為起點(diǎn)，采取基于可信平臺(tái)模塊的信任鏈傳遞技術(shù)，并依靠其提供的完整性度量和驗(yàn)證服務(wù)，按照計(jì)算機(jī)系統(tǒng)的啟動(dòng)運(yùn)行過程，一級(jí)驗(yàn)證一級(jí)，一級(jí)信任一級(jí)的方式，實(shí)現(xiàn)信任鏈的傳遞?？尚庞?jì)算技術(shù)應(yīng)用于密碼基礎(chǔ)設(shè)施，可以對(duì)外提供可信云密碼服務(wù)。

2.3 微服務(wù)架構(gòu)

微服務(wù)是一項(xiàng)在云中部署應(yīng)用和服務(wù)的新技術(shù)。微服務(wù)的基本思想在于圍繞著業(yè)務(wù)功能采用組件的方式來創(chuàng)建應(yīng)用，這些組建可獨(dú)立地進(jìn)行開發(fā)、管理和性能優(yōu)化。在分散的組件中使用微服務(wù)云架構(gòu)和平臺(tái)，使部署、管理和服務(wù)功能交付變得更加簡(jiǎn)單。顯然，云密碼服務(wù)也可以采取微服務(wù)架構(gòu)，充分利用微服務(wù)架構(gòu)優(yōu)勢(shì)，使云密碼服務(wù)部署、管理和交付變得更加簡(jiǎn)單。

3 云密碼關(guān)鍵技術(shù)

3.1 密鑰隔離

云密碼服務(wù)面向不同的安全等級(jí)要求，需要提供多層次的密鑰隔離機(jī)制。對(duì)于核心領(lǐng)域及關(guān)鍵行業(yè)需要提供高安全等級(jí)的密鑰隔離，建議直接采用云密碼資源池提供硬件密鑰隔離安全。對(duì)于常規(guī)業(yè)務(wù)應(yīng)用需提供基于主密鑰隔離的安全密鑰管理服務(wù)。對(duì)于多用戶的應(yīng)用場(chǎng)景，在以上密鑰隔離技術(shù)的基礎(chǔ)上供用戶級(jí)的密鑰隔離。自帶密鑰加密（Bring Your Own Encryption，BYOE）是一種云計(jì)算安全模型（參見圖4），允許云服務(wù)客戶使用自己的加密軟件并管理自己的加密密鑰。

3.2 遠(yuǎn)程管理

云密碼服務(wù)的運(yùn)維管理可根據(jù)實(shí)際需要與云密碼服務(wù)商分配運(yùn)維責(zé)任，并且用戶對(duì)云密碼服務(wù)的運(yùn)維管理只能遠(yuǎn)程進(jìn)行。通常情況下，建議密碼硬件基礎(chǔ)設(shè)施和基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理由云密碼服務(wù)商或云計(jì)算服務(wù)提供商提供，用戶更應(yīng)關(guān)注密鑰管理、安全策略配置及安全審計(jì)等方面的運(yùn)維管理。使用PKI或其他身份認(rèn)證技術(shù)、SSL/TLS安全通信技術(shù)等保證遠(yuǎn)程管理的安全性。密碼服務(wù)開通時(shí)，可由服務(wù)提供商設(shè)置初始管理員后，將身份認(rèn)證憑證（如智能密碼鑰匙等）交給用戶，用戶即可遠(yuǎn)程登錄到云密碼服務(wù)管理界面。

3.3 訪問控制

云密碼服務(wù)不同于傳統(tǒng)的密碼設(shè)備單一、可控的安全部署模式，其靈活性、遠(yuǎn)程性、遷移性都會(huì)帶來更高的風(fēng)險(xiǎn)。訪問控制作為云密碼服務(wù)中接入服務(wù)的關(guān)鍵一環(huán)，應(yīng)結(jié)合多種認(rèn)證模式基于角色、服務(wù)、身份的對(duì)云密碼服務(wù)進(jìn)行訪問授權(quán)控制，云密碼服務(wù)通過集成證書認(rèn)證、OAuth認(rèn)證、SMAL認(rèn)證、OpenID等認(rèn)證形態(tài)提供多種模式的訪問控制，對(duì)于不同的業(yè)務(wù)服務(wù)模式，采取最合適的訪問控制機(jī)制，可以極大的提高云密碼服務(wù)的安全性，同時(shí)，借助訪問控制機(jī)制，為云中密碼服務(wù)的全鏈審計(jì)提供的有效的技術(shù)支撐。

4 結(jié)語

云密碼服務(wù)不僅是一種新的商業(yè)模式，也給密碼技術(shù)提出新的需求和挑戰(zhàn)，甚至給密碼技術(shù)帶來新的發(fā)展方向。當(dāng)前云密碼服務(wù)正處于發(fā)展的初級(jí)階段，已經(jīng)有些云密碼技術(shù)已經(jīng)得到應(yīng)用實(shí)踐，很多新技術(shù)的研究和應(yīng)用還在探索中，并且隨著密碼技術(shù)與其他技術(shù)的深度融合也會(huì)衍生出更多適用于云計(jì)算環(huán)境的新型密碼技術(shù)。

Abstract：the rapid development of big data， artificial intelligence， mobile Internet， Internet of things and other new network technologies and industries is inseparable from the support of cloud computing. With the rapid development of social economy， cloud computing is gradually moving towards platform and service， and cloud cryptography service comes onto the stage. This new mode transforms the traditional cryptographic application mode into cloud cryptographic service. Instead of ‘buying/owning the cryptographic hardware or system and other cryptographic products， uses nowadays only need to pay for the services for cryptographic functions. Cryptography thus must keep up the pace and adapt to the service based cloud computing. Virtualization technology， trusted computing technology， micro service and other technologies lay the foundation for cloud cryptography services. Key isolation， remote management， access control and other technologies are key technologies of cloud cryptography services.

Key words：cloud cryptography service; Cryptography; cloud computing