VI II 1 1 2 4 5 6 6 9 14 18 18 19 24 27 31 35 35 37 41 42 44 44 45 47 48 48 49 51 55 57 58 62 64 70 731計算服務通常分為IaaS（InfrastructureasaService，基礎設施即服務）、PaaS正是在云計算發展形勢的推動下，2013年的美國RSA大會議上提出了2行了不斷的豐富和拓展，并發展出了加密即服務（EaaS）、密鑰管理即服務1.2密碼技術對云計算的重要性32013年提出了BeyondCorp模型，CSA（CloudSecu41.3云密碼服務的概念應用需求。用戶不再“購買”密碼硬件或密碼系統等密碼產品，而是以“租用”5用戶不需要掌握專業的密碼學知識即可安全的使用云密碼服務提供的密碼1.4云密碼服務的市場前景62.1云密碼服務應用現狀云用戶提供密碼技術解決方案，如密碼資源池、云安全訪為了實現密鑰管理的互通性和方便性，OASIS組織制定了密鑰管理互聯協78于對電子文件的數字簽名，有些云簽名服務已經能夠兼容主流的文檔格式加密的有效方式。可以將CASB想象為企業所有云端92.2云密碼服務標準化現狀密碼技術的成果不多，我們主要介紹比較有借鑒意義的美國的NIST（NIST是美國國家標準技術研究所的簡稱，它制定了一些有影響力的根據云服務商提供的資源類型不同，NIST會話密鑰的安全（建立安全會話保證雜湊值和驗證結果證簽名私鑰的安全、會話密鑰安全會話與強鑒別技非對稱私鑰的安全、會話密安全會話與強鑒別技非對稱私鑰的安全、會話密非對稱私鑰的安全、會話密全非對稱私鑰的安全、會話密2017年2月發布KMIPV1.4，同期形成KMIPV2.0草案稿。K對復雜應用環境中的密鑰管理。該標準主要面向③密鑰管理的建議。對密鑰管理的載體、方式，管理用戶密鑰的方式提出①密鑰管理要求。數據加密密鑰應使用安全的方式生成；數據加密密鑰應②密鑰管理部署建議。在云計算環境中，基于職責分離的安全原則，理想信安標委，委員會編號為TC260以及密碼行業標準化技術委表2-2云密碼服務相關密碼行業標準技術規范或研究課題12規定了云平臺管理系統與云服務器密碼機3456主要針對云計算環境中身份鑒別服務進行對云身份鑒別服務中密碼應用相關的標準7簽名密碼標準化中面臨的一些關鍵問題和8標準提出了基于云的電子簽名服務密碼技2.3云密碼服務面臨的挑戰鑰匙的形態插在PC上、或以PCI-e接口的密碼卡的形態插在主機內、或以網絡些新的密碼技術構造完整的新型云密碼服務？怎樣提升這些技術所使用的密碼作為一種標準服務，云密碼服務應提供足夠的靈活性各種應用系統提供密碼服務。應用系統可能通過不同的接服務，例如：本地化部署的應用系統通過遠程網絡訪問云內網訪問。這些應用系統對響應時間、數據吞吐量、安和接口方式在計費、運營維護服務等方面存在差異化的要求。入方式、接口方式需要采用的安全接入技術也不同。在公有云中，應用系統數量多，對密碼的功能需求復雜，3.1云密碼服務需求分析3.2云密碼服務分類運行和管理體系運行和管理體系密碼應用密碼應用云計算平臺其他云密碼服務證書管理服務密鑰管理服務隨機數服務證書管理服務密鑰管理服務隨機數服務密碼服務層密碼算法服務密碼算法服務密碼基礎設施密碼設施層密碼基礎設施密碼設施層密碼設備集群云密碼資源服務CRaaS數字證書管理是PKI應用工程中身份認證的把網絡實體在物理世界中的真實身份和數字世界中公鑰的綁定實現了網絡實體據加密密鑰使得云中的密鑰管理必須使用專門的云云密碼資源服務云密碼資源服務云計算平臺云計算平臺密碼應用其他云密碼服務簽名驗簽服務時間戳服務數據密鑰管理服務簽名驗簽服務時間戳服務數據密鑰管理服務安全認證服務安全認證服務身份密鑰管理服務身份密鑰管理服務運行和管理體系安全通信服務安全通信服務隨機數服務隨機數服務…………云密碼功能服務CFaaS密碼基礎設施密碼基礎設施安全認證網關、VPN等設備，實際上都是面向一定應用場景的密碼算法和密碼運行和管理體系云密碼功能服務云密碼資源服務文檔共享服務電子合同服務加密存儲服務CASB服務……云密碼業務服務CBaaS運行和管理體系云密碼功能服務云密碼資源服務文檔共享服務電子合同服務加密存儲服務CASB服務……云密碼業務服務CBaaS應用應用應用業務應用密碼基礎設施密碼基礎設施l3.3云密碼服務部署方式部署模式混合部署。例如一個電子合同服務，可以使用（1）中所描述的部署在云服務商環境中的電子合同流程服務，采用（2）中所描述的電子簽名服務、時3.4云密碼服務訪問方式密碼服務密碼服務協議云密碼機向外提供PKCS#11的接口，在國內云密碼設備向外提供符合GB/T業務系統1K業務系統2K業務系統1K業務系統2K業務系統1業務系統2代理用戶環境1業務系統1業務系統2代理業務系統業務系統1業務系統2代理用戶環境1業務系統1業務系統2代理業務系統密碼服務密碼服務用戶環境2隨著SaaS服務的逐步成熟和對安全的更高要求，云訪問安全代理CASB業務系統1業務系統1業務系統2業務系統2云安全訪問代理（密碼服務）用戶環境1業務系統1業務系統2業務系統1業務系統2云安全訪問代理（密碼服務）用戶環境2云密碼功能服務CFaaS云簽名、加解密、身份鑒別…云密碼功能服務CFaaS云簽名、加解密、身份鑒別…云密碼業務服務CBaaS云加密存儲服務、電子合同…3.5云密碼服務運營與管理云密碼資源服務云密碼資源服務CRaaS云密碼資源池、數字證書、密鑰管理…安全責任用戶更多責任服務商更多責任用份用份云密碼服務的密碼基礎設施部分及采用的其他密碼產品必須是經過國家密個個次4.1一些重要的密碼算法相關技術頸，甚至影響到密碼技術的使用。我國已經標準化的常用的密碼算法有SM1、基于屬性加密可用于訪問授權服務，是保障云存儲安全的重要技術之一。代理重加密是允許一個擁有一些額外信息的半可信代理者把授權者公鑰下安全外包計算可以讓用戶將復雜的運算安全的外包給運算能力強的云服務4.2硬件虛擬化技術APPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPVT-dIOChannelVT-dIOChannelAPPAPPAPPAPPAPPAPPAPPAPPAPPVTVT-dIOChannelAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPPAPP備可以包含多個PCI物理功能，或者包含共享設備內資源的多個虛擬功能。在現的。虛擬機管理程序只要簡單地將虛擬功能映射到VM上就可APPAPPAPPAPPAPPAPP4.3云密鑰管理技術4.4云密碼服務安全訪問技術通信安全的協議主要有IPSec協議、SSL/TLS協議等。IPSec（2）軟件逆向工程防護技術：通過代碼混淆、增加冗余代碼等技術，實現鑰限定在寄存器和cache緩存中，防5.1云密碼服務應用發展趨勢5.2云密碼服務技術發展趨勢5.3云密碼服務產業發展趨勢云計算與物聯網的發展催生出新的高速密碼模塊與密碼機產品。GM/T0028—2014《密碼模塊安全技術要求》賦予了密碼模塊更廣的概念，并規定了A.1云密碼資源池服務密碼服務資源池服務層是由密碼服務API及A.2CA云服務A.3云密鑰管理服務位/個人等用戶提供密鑰托管相關的支持活動，如密鑰托管服務、密鑰安全隔離隔離和訪問隔離，防止非法用戶/未授權用戶獲取和訪問密鑰。云密鑰管理服務KMS接口主密鑰KMS接口主密鑰A.4云電子簽名服務云電子簽名服務是指基于密碼基礎設施，為平臺服務商、密碼租用單位/個云電子簽名服務典型架構由云簽名服務、簽名方和依賴方組成。CA認證中簽名方指進行電子簽名的主體。簽名方通常需要使用應用程序對電云簽名服務是基于云的電子簽名服務的最主要部分。云簽名服務通個人計算機、平板電腦、智能手機通常應當有硬件密碼設備可供使用。協同簽名模式用于向個人提供簽名服務的業務場景。尤其適用于面A.5云身份鑒別服務管理員認證服務場景管理員認證服務場景云應用云應用Saas、Paas、IaasAGENTAGENTRADIUSRADIUSSAMLSAMLAGENTAGENTRADIUSRADIUSSAMLSAMLAPIAPIVPNVPNVDI網站門戶LAN應用賬戶的存儲、使用，還是SAML、openID等協議的使A.6云加密存儲服務務商、密碼租用單位/個人等用戶提供基于場景的數據加密支持活動，如敏感字數據庫虛擬機oracle數據庫加/解密表空間密鑰列表密鑰加/解密數據主加密密鑰數據密鑰數據庫虛擬機oracle數據庫加/解密表空間密鑰列表密鑰加/解密數據主加密密鑰數據密鑰云密鑰管理服務云密鑰管理服務TDE加密主密鑰列加密表空間加密列加密應用虛擬機磁盤讀/寫應用明文磁盤加密密文A.7云電子合同服務名服務,以及可信時間源服務，實現簽署人的數字證書的簽發，以及電子簽名數持對合同相關各方的網絡身份進行核實驗證，從而戶的網絡身份真實有效。從用戶類型上，身份識別現在證據產生源頭直接采集，確保證據的真實后立即固化和加密，通過安全傳輸通道直接發系統將接收到的電子證據采用先進的國產密碼時間戳，采用分布式和多節點方式進行保存，置，最終實現電子證據的長效和安全的存儲；保全系統鑒定客戶身份和所對應權限后，提供A.8CASB數據加密服務技術以適配方式增強數據安全與業優缺實施成本中，應用免改造但需關鍵應用安全代理（應用云遷端的上行流量做預處理，對云服務端下載到用戶端的下行流量?可見性：目前SaaS和很多其他的公有云服務缺乏企業級的活動監控，?合規性：企業IT系統往云上遷移后，仍然能滿足外部法律以及內部標?威脅防護：CASB可以提供云服務商基礎審計策略云密鑰管理服務審計策略云密鑰管理服務管理員云應用系統CASBCASB數據加密插件數據CASB數據加密云服務管控平臺承諾用戶動態擴展或縮減業務開展所需資源的時間異地容災服務可用性《信息安全技術信息系統災難恢復規范》3能按照SLA在要求的時間內及時響應用戶的服務請求對服務提供機構的互動溝通機制的建立與實施情況統計并比較得到有效處理的投訴數量和收到的投訴運維事件響應率及對于運維事件按照不同的響應級別要求在規定的時業務開通響應及時性定制化服務響應及用戶在申請定制化服務后可在規定的時間內獲得服網絡隔離和訪問控制承諾在網絡中對不同用戶設置隔離區域并對訪問權提供安全審計相關功能并形成相應的審計記錄和報表應按照SLA