1、 云密碼服務(wù)關(guān)鍵技術(shù)研究 高志權(quán)Summary：大數(shù)據(jù)、人工智能、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型網(wǎng)絡(luò)技術(shù)和產(chǎn)業(yè)的蓬勃發(fā)展，離不開云計算的支撐，隨著社會經(jīng)濟的快速發(fā)展，云計算逐漸走向平臺化、服務(wù)化，云密碼服務(wù)應(yīng)運而生。這種全新的模式，使傳統(tǒng)的密碼應(yīng)用方式轉(zhuǎn)型為云密碼服務(wù)，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用”的方式使用密碼功能。密碼技術(shù)必須與時俱進，適應(yīng)云計算的服務(wù)化需求，虛擬化技術(shù)、可信計算技術(shù)、微服務(wù)等技術(shù)為云密碼服務(wù)提供基礎(chǔ)支撐，密鑰隔離、遠程管理、訪問控制等技術(shù)是云密碼服務(wù)的關(guān)鍵技術(shù)。Key：云密碼服務(wù);密碼技術(shù);云計算：TP315 ：A ：1007-9416（2019）

2、09-0181-030 引言信息技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展，尤其是云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的飛速發(fā)展，促進了業(yè)務(wù)的發(fā)展與變革。越來越多的業(yè)務(wù)，需要便捷、可靠、安全的密碼功能，來保障業(yè)務(wù)的安全性和合規(guī)性，同時，也要求密碼功能能夠按需使用、按使用量計費。而傳統(tǒng)的以密碼設(shè)備、密碼系統(tǒng)為主的交付方式，已漸漸不能滿足業(yè)務(wù)的需要。在這種需求推動下，云密碼服務(wù)的概念開始出現(xiàn)，云密碼服務(wù)是一種全新的密碼功能交付模式，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用”的方式使用密碼功能。云密碼服務(wù)需要密碼技術(shù)及其他相關(guān)技術(shù)提供支撐，主要有當前常用的密碼算法、密碼協(xié)議等成熟密碼技術(shù)，適應(yīng)新型應(yīng)

3、用場景的同態(tài)加密、多方計算等新型密碼技術(shù)，滿足云化部署需要的虛擬化、微服務(wù)等云服務(wù)技術(shù)，以及密鑰隔離、遠程管理等基于多種技術(shù)融合的云密碼關(guān)鍵技術(shù)。1 新型密碼技術(shù)新型密碼技術(shù)主要基于基礎(chǔ)密碼技術(shù)，探索具有更多特性的密碼技術(shù)，下面舉例介紹幾種新型密碼技術(shù)。1.1 保留格式加密保留格式加密（也稱作“保形加密”，format-preserving encryption，簡稱FPE）是一類特殊的對稱加密機制，它最主要的特點就是保證密文的格式與加密前的明文格式完全相同。保留格式加密應(yīng)用于數(shù)據(jù)庫加密，即不需要改動應(yīng)用系統(tǒng)，也不需要改動數(shù)據(jù)庫結(jié)構(gòu)，此外保留格式加密可以用于數(shù)據(jù)的脫敏，并可通過調(diào)節(jié)加密的位數(shù)來

4、實現(xiàn)不同的訪問控制粒度等。為了更加直觀了解保留格式加密，我們比較保留格式加密與SM4加密之后的密文，如表1所示。保留格式加密算法除了可以保證加密前后數(shù)據(jù)格式保持不變外，還具備加密前后數(shù)據(jù)長度不變、格式不變等特點。1.2 白盒密碼傳統(tǒng)的密碼運算都是假設(shè)終端設(shè)備是安全可靠的，如果這些設(shè)備處于一個不可信的執(zhí)行環(huán)境中，當應(yīng)用程序使用密鑰進行運算的過程中，攻擊者通過監(jiān)控應(yīng)用程序的執(zhí)行，可以觀察到內(nèi)存的變化，則密鑰對攻擊者而言是直接可見的。白盒加密技術(shù)主要解決不可信環(huán)境中的安全密碼運算問題。白盒密碼技術(shù)提供充分的可見性來代替原有的黑盒密鑰運算，在白盒環(huán)境下，攻擊者可以觀察到安全密碼的輸入、輸出、運行和內(nèi)存

5、變化等，可以自由的觀察動態(tài)代碼的執(zhí)行，并且完全可見和改變內(nèi)部算法各個環(huán)節(jié)的輸入輸出（白盒密碼工作原理示意參照圖1）。在這種完全透明的場景下，白盒加密技術(shù)仍然可以保護密鑰的安全性，攻擊者仍然無法獲取到密鑰。1.3 同態(tài)加密同態(tài)加密主要用于密文信息處理。同態(tài)加密是指對其加密數(shù)據(jù)進行處理得到一個輸出，將此輸出進行解密，其結(jié)果與用同一方法處理未加密原始數(shù)據(jù)得到的結(jié)果一致。與普通加密算法只關(guān)注數(shù)據(jù)存儲安全不同，同態(tài)加密算法關(guān)注的是數(shù)據(jù)處理安全，提供對加密數(shù)據(jù)進行加法和乘法處理的功能，使用同態(tài)加密算法，不持有解密私鑰的用戶也可以對加密數(shù)據(jù)進行處理，處理過程不會泄露任何原始數(shù)據(jù)信息，同時，持有私鑰的用戶對處

6、理過的數(shù)據(jù)進行解密后，可得到正確的處理結(jié)果。根據(jù)同態(tài)加密的使用場景，設(shè)計同態(tài)加密的技術(shù)方案如圖2所示。1.4 基于屬性的加密基于屬性的加密（attribute-based encryption，簡稱ABE）可用于訪問授權(quán)服務(wù)，是保障云存儲安全的重要技術(shù)之一。ABE是基于身份的加密體制的進一步演變，ABE可以構(gòu)造一個訪問控制結(jié)構(gòu)，該結(jié)構(gòu)保證了ABE的密文能夠被多個不同的用戶私鑰去解密。1.5 開放授權(quán)開放授權(quán)協(xié)議（OAuth）主要用于認證授權(quán)服務(wù)。OAuth協(xié)議的出現(xiàn)解決了Web服務(wù)整合過程中出現(xiàn)的用戶、第三方應(yīng)用和服務(wù)提供方之間在認證授權(quán)方面出現(xiàn)的問題。它為用戶在客戶端應(yīng)用上點擊“第三方”登錄

7、時，能夠訪問存儲的受保護數(shù)據(jù)信息提供了認證標準，與其他授權(quán)協(xié)議的區(qū)別是：OAuth能在不觸及用戶身份等敏感信息的情況下，允許客戶端應(yīng)用在授權(quán)范圍內(nèi)訪問該用戶托管在服務(wù)器上的保護數(shù)據(jù)。2 云服務(wù)支撐技術(shù)云服務(wù)支撐技術(shù)包括虛擬化技術(shù)、可信計算技術(shù)和微服務(wù)架構(gòu)等，主要用于實現(xiàn)云服務(wù)模式。2.1 虛擬化技術(shù)虛擬化技術(shù)可用于密碼資源虛擬化。虛擬化使用軟件的方法重新定義劃分IT資源，可以實現(xiàn)IT資源的動態(tài)分配、靈活調(diào)度、跨域共享，提高IT資源利用率，使IT資源能夠真正成為基礎(chǔ)設(shè)施。虛擬化技術(shù)與密碼技術(shù)結(jié)合可以支撐構(gòu)建云密碼資源池，對用戶提供虛擬密碼機服務(wù)。密碼卡是一種基礎(chǔ)密碼產(chǎn)品，是許多密碼產(chǎn)品的基礎(chǔ)密碼

8、部件，密碼卡的虛擬化是密碼設(shè)備云化部署的一項基礎(chǔ)技術(shù)。圖3是一種基于SR-IOV硬件虛擬化技術(shù)的密碼卡實現(xiàn)，將一塊物理PCI-E密碼卡虛擬成多塊虛擬密碼卡，并分配給多個用戶使用，每個用戶有獨立的密鑰存儲空間和I/O通道，可實現(xiàn)密鑰安全隔離。2.2 可信計算技術(shù)可信計算技術(shù)可用于可信密碼服務(wù)?？尚庞嬎慵夹g(shù)采取主動防御的方式，以系統(tǒng)啟動過程軟件加載的度量、啟動后軟件的動態(tài)度量、通信過程的遠程證明等機制發(fā)現(xiàn)系統(tǒng)的安全問題，其基本原理是：以信任根為核心，把核心信任根模塊作為起點，采取基于可信平臺模塊的信任鏈傳遞技術(shù)，并依靠其提供的完整性度量和驗證服務(wù)，按照計算機系統(tǒng)的啟動運行過程，一級驗證一級，一級信

9、任一級的方式，實現(xiàn)信任鏈的傳遞?？尚庞嬎慵夹g(shù)應(yīng)用于密碼基礎(chǔ)設(shè)施，可以對外提供可信云密碼服務(wù)。2.3 微服務(wù)架構(gòu)微服務(wù)是一項在云中部署應(yīng)用和服務(wù)的新技術(shù)。微服務(wù)的基本思想在于圍繞著業(yè)務(wù)功能采用組件的方式來創(chuàng)建應(yīng)用，這些組建可獨立地進行開發(fā)、管理和性能優(yōu)化。在分散的組件中使用微服務(wù)云架構(gòu)和平臺，使部署、管理和服務(wù)功能交付變得更加簡單。顯然，云密碼服務(wù)也可以采取微服務(wù)架構(gòu)，充分利用微服務(wù)架構(gòu)優(yōu)勢，使云密碼服務(wù)部署、管理和交付變得更加簡單。3 云密碼關(guān)鍵技術(shù)3.1 密鑰隔離云密碼服務(wù)面向不同的安全等級要求，需要提供多層次的密鑰隔離機制。對于核心領(lǐng)域及關(guān)鍵行業(yè)需要提供高安全等級的密鑰隔離，建議直接采用云

10、密碼資源池提供硬件密鑰隔離安全。對于常規(guī)業(yè)務(wù)應(yīng)用需提供基于主密鑰隔離的安全密鑰管理服務(wù)。對于多用戶的應(yīng)用場景，在以上密鑰隔離技術(shù)的基礎(chǔ)上供用戶級的密鑰隔離。自帶密鑰加密（Bring Your Own Encryption，BYOE）是一種云計算安全模型（參見圖4），允許云服務(wù)客戶使用自己的加密軟件并管理自己的加密密鑰。3.2 遠程管理云密碼服務(wù)的運維管理可根據(jù)實際需要與云密碼服務(wù)商分配運維責任，并且用戶對云密碼服務(wù)的運維管理只能遠程進行。通常情況下，建議密碼硬件基礎(chǔ)設(shè)施和基礎(chǔ)網(wǎng)絡(luò)的運維管理由云密碼服務(wù)商或云計算服務(wù)提供商提供，用戶更應(yīng)關(guān)注密鑰管理、安全策略配置及安全審計等方面的運維管理。使用P

11、KI或其他身份認證技術(shù)、SSL/TLS安全通信技術(shù)等保證遠程管理的安全性。密碼服務(wù)開通時，可由服務(wù)提供商設(shè)置初始管理員后，將身份認證憑證（如智能密碼鑰匙等）交給用戶，用戶即可遠程登錄到云密碼服務(wù)管理界面。3.3 訪問控制云密碼服務(wù)不同于傳統(tǒng)的密碼設(shè)備單一、可控的安全部署模式，其靈活性、遠程性、遷移性都會帶來更高的風(fēng)險。訪問控制作為云密碼服務(wù)中接入服務(wù)的關(guān)鍵一環(huán)，應(yīng)結(jié)合多種認證模式基于角色、服務(wù)、身份的對云密碼服務(wù)進行訪問授權(quán)控制，云密碼服務(wù)通過集成證書認證、OAuth認證、SMAL認證、OpenID等認證形態(tài)提供多種模式的訪問控制，對于不同的業(yè)務(wù)服務(wù)模式，采取最合適的訪問控制機制，可以極大的提

12、高云密碼服務(wù)的安全性，同時，借助訪問控制機制，為云中密碼服務(wù)的全鏈審計提供的有效的技術(shù)支撐。4 結(jié)語云密碼服務(wù)不僅是一種新的商業(yè)模式，也給密碼技術(shù)提出新的需求和挑戰(zhàn)，甚至給密碼技術(shù)帶來新的發(fā)展方向。當前云密碼服務(wù)正處于發(fā)展的初級階段，已經(jīng)有些云密碼技術(shù)已經(jīng)得到應(yīng)用實踐，很多新技術(shù)的研究和應(yīng)用還在探索中，并且隨著密碼技術(shù)與其他技術(shù)的深度融合也會衍生出更多適用于云計算環(huán)境的新型密碼技術(shù)。Abstract：the rapid development of big data， artificial intelligence， mobile Internet， Internet of things an

13、d other new network technologies and industries is inseparable from the support of cloud computing. With the rapid development of social economy， cloud computing is gradually moving towards platform and service， and cloud cryptography service comes onto the stage. This new mode transforms the tradit

14、ional cryptographic application mode into cloud cryptographic service. Instead of buying/owning the cryptographic hardware or system and other cryptographic products， uses nowadays only need to pay for the services for cryptographic functions. Cryptography thus must keep up the pace and adapt to the service based cloud computing. Virtualization technology， trusted computing technology， micro service and other technologies lay the foundation fo