高志權

摘要：大數據、人工智能、移動互聯網、物聯網等新型網絡技術和產業(yè)的蓬勃發(fā)展，離不開云計算的支撐，隨著社會經濟的快速發(fā)展，云計算逐漸走向平臺化、服務化，云密碼服務應運而生。這種全新的模式，使傳統(tǒng)的密碼應用方式轉型為云密碼服務，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產品，而是以“租用”的方式使用密碼功能。密碼技術必須與時俱進，適應云計算的服務化需求，虛擬化技術、可信計算技術、微服務等技術為云密碼服務提供基礎支撐，密鑰隔離、遠程管理、訪問控制等技術是云密碼服務的關鍵技術。

關鍵詞：云密碼服務;密碼技術;云計算

中圖分類號：TP315 文獻標識碼：A 文章編號：1007-9416（2019）09-0181-03

0 引言

信息技術和互聯網的飛速發(fā)展，尤其是云計算、大數據、物聯網、人工智能等技術的飛速發(fā)展，促進了業(yè)務的發(fā)展與變革。越來越多的業(yè)務，需要便捷、可靠、安全的密碼功能，來保障業(yè)務的安全性和合規(guī)性，同時，也要求密碼功能能夠按需使用、按使用量計費。而傳統(tǒng)的以密碼設備、密碼系統(tǒng)為主的交付方式，已漸漸不能滿足業(yè)務的需要。在這種需求推動下，云密碼服務的概念開始出現，云密碼服務是一種全新的密碼功能交付模式，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產品，而是以“租用”的方式使用密碼功能。

云密碼服務需要密碼技術及其他相關技術提供支撐，主要有當前常用的密碼算法、密碼協(xié)議等成熟密碼技術，適應新型應用場景的同態(tài)加密、多方計算等新型密碼技術，滿足云化部署需要的虛擬化、微服務等云服務技術，以及密鑰隔離、遠程管理等基于多種技術融合的云密碼關鍵技術。

1 新型密碼技術

新型密碼技術主要基于基礎密碼技術，探索具有更多特性的密碼技術，下面舉例介紹幾種新型密碼技術。

1.1 保留格式加密

保留格式加密（也稱作“保形加密”，format-preserving encryption，簡稱FPE）是一類特殊的對稱加密機制，它最主要的特點就是保證密文的格式與加密前的明文格式完全相同。保留格式加密應用于數據庫加密，即不需要改動應用系統(tǒng)，也不需要改動數據庫結構，此外保留格式加密可以用于數據的脫敏，并可通過調節(jié)加密的位數來實現不同的訪問控制粒度等。

為了更加直觀了解保留格式加密，我們比較保留格式加密與SM4加密之后的密文，如表1所示。

保留格式加密算法除了可以保證加密前后數據格式保持不變外，還具備加密前后數據長度不變、格式不變等特點。

1.2 白盒密碼

傳統(tǒng)的密碼運算都是假設終端設備是安全可靠的，如果這些設備處于一個不可信的執(zhí)行環(huán)境中，當應用程序使用密鑰進行運算的過程中，攻擊者通過監(jiān)控應用程序的執(zhí)行，可以觀察到內存的變化，則密鑰對攻擊者而言是直接可見的。

白盒加密技術主要解決不可信環(huán)境中的安全密碼運算問題。白盒密碼技術提供充分的可見性來代替原有的黑盒密鑰運算，在白盒環(huán)境下，攻擊者可以觀察到安全密碼的輸入、輸出、運行和內存變化等，可以自由的觀察動態(tài)代碼的執(zhí)行，并且完全可見和改變內部算法各個環(huán)節(jié)的輸入輸出（白盒密碼工作原理示意參照圖1）。在這種完全透明的場景下，白盒加密技術仍然可以保護密鑰的安全性，攻擊者仍然無法獲取到密鑰。

1.3 同態(tài)加密

同態(tài)加密主要用于密文信息處理。同態(tài)加密是指對其加密數據進行處理得到一個輸出，將此輸出進行解密，其結果與用同一方法處理未加密原始數據得到的結果一致。

與普通加密算法只關注數據存儲安全不同，同態(tài)加密算法關注的是數據處理安全，提供對加密數據進行加法和乘法處理的功能，使用同態(tài)加密算法，不持有解密私鑰的用戶也可以對加密數據進行處理，處理過程不會泄露任何原始數據信息，同時，持有私鑰的用戶對處理過的數據進行解密后，可得到正確的處理結果。

根據同態(tài)加密的使用場景，設計同態(tài)加密的技術方案如圖2所示。

1.4 基于屬性的加密

基于屬性的加密（attribute-based encryption，簡稱ABE）可用于訪問授權服務，是保障云存儲安全的重要技術之一。ABE是基于身份的加密體制的進一步演變，ABE可以構造一個訪問控制結構，該結構保證了ABE的密文能夠被多個不同的用戶私鑰去解密。

1.5 開放授權

開放授權協(xié)議（OAuth）主要用于認證授權服務。OAuth協(xié)議的出現解決了Web服務整合過程中出現的用戶、第三方應用和服務提供方之間在認證授權方面出現的問題。它為用戶在客戶端應用上點擊“第三方”登錄時，能夠訪問存儲的受保護數據信息提供了認證標準，與其他授權協(xié)議的區(qū)別是：OAuth能在不觸及用戶身份等敏感信息的情況下，允許客戶端應用在授權范圍內訪問該用戶托管在服務器上的保護數據。

2 云服務支撐技術

云服務支撐技術包括虛擬化技術、可信計算技術和微服務架構等，主要用于實現云服務模式。

2.1 虛擬化技術

虛擬化技術可用于密碼資源虛擬化。虛擬化使用軟件的方法重新定義劃分IT資源，可以實現IT資源的動態(tài)分配、靈活調度、跨域共享，提高IT資源利用率，使IT資源能夠真正成為基礎設施。虛擬化技術與密碼技術結合可以支撐構建云密碼資源池，對用戶提供虛擬密碼機服務。

密碼卡是一種基礎密碼產品，是許多密碼產品的基礎密碼部件，密碼卡的虛擬化是密碼設備云化部署的一項基礎技術。圖3是一種基于SR-IOV硬件虛擬化技術的密碼卡實現，將一塊物理PCI-E密碼卡虛擬成多塊虛擬密碼卡，并分配給多個用戶使用，每個用戶有獨立的密鑰存儲空間和I/O通道，可實現密鑰安全隔離。

2.2 可信計算技術

可信計算技術可用于可信密碼服務。可信計算技術采取主動防御的方式，以系統(tǒng)啟動過程軟件加載的度量、啟動后軟件的動態(tài)度量、通信過程的遠程證明等機制發(fā)現系統(tǒng)的安全問題，其基本原理是：以信任根為核心，把核心信任根模塊作為起點，采取基于可信平臺模塊的信任鏈傳遞技術，并依靠其提供的完整性度量和驗證服務，按照計算機系統(tǒng)的啟動運行過程，一級驗證一級，一級信任一級的方式，實現信任鏈的傳遞?？尚庞嬎慵夹g應用于密碼基礎設施，可以對外提供可信云密碼服務。

2.3 微服務架構

微服務是一項在云中部署應用和服務的新技術。微服務的基本思想在于圍繞著業(yè)務功能采用組件的方式來創(chuàng)建應用，這些組建可獨立地進行開發(fā)、管理和性能優(yōu)化。在分散的組件中使用微服務云架構和平臺，使部署、管理和服務功能交付變得更加簡單。顯然，云密碼服務也可以采取微服務架構，充分利用微服務架構優(yōu)勢，使云密碼服務部署、管理和交付變得更加簡單。

3 云密碼關鍵技術

3.1 密鑰隔離

云密碼服務面向不同的安全等級要求，需要提供多層次的密鑰隔離機制。對于核心領域及關鍵行業(yè)需要提供高安全等級的密鑰隔離，建議直接采用云密碼資源池提供硬件密鑰隔離安全。對于常規(guī)業(yè)務應用需提供基于主密鑰隔離的安全密鑰管理服務。對于多用戶的應用場景，在以上密鑰隔離技術的基礎上供用戶級的密鑰隔離。自帶密鑰加密（Bring Your Own Encryption，BYOE）是一種云計算安全模型（參見圖4），允許云服務客戶使用自己的加密軟件并管理自己的加密密鑰。

3.2 遠程管理

云密碼服務的運維管理可根據實際需要與云密碼服務商分配運維責任，并且用戶對云密碼服務的運維管理只能遠程進行。通常情況下，建議密碼硬件基礎設施和基礎網絡的運維管理由云密碼服務商或云計算服務提供商提供，用戶更應關注密鑰管理、安全策略配置及安全審計等方面的運維管理。使用PKI或其他身份認證技術、SSL/TLS安全通信技術等保證遠程管理的安全性。密碼服務開通時，可由服務提供商設置初始管理員后，將身份認證憑證（如智能密碼鑰匙等）交給用戶，用戶即可遠程登錄到云密碼服務管理界面。

3.3 訪問控制

云密碼服務不同于傳統(tǒng)的密碼設備單一、可控的安全部署模式，其靈活性、遠程性、遷移性都會帶來更高的風險。訪問控制作為云密碼服務中接入服務的關鍵一環(huán)，應結合多種認證模式基于角色、服務、身份的對云密碼服務進行訪問授權控制，云密碼服務通過集成證書認證、OAuth認證、SMAL認證、OpenID等認證形態(tài)提供多種模式的訪問控制，對于不同的業(yè)務服務模式，采取最合適的訪問控制機制，可以極大的提高云密碼服務的安全性，同時，借助訪問控制機制，為云中密碼服務的全鏈審計提供的有效的技術支撐。

4 結語

云密碼服務不僅是一種新的商業(yè)模式，也給密碼技術提出新的需求和挑戰(zhàn)，甚至給密碼技術帶來新的發(fā)展方向。當前云密碼服務正處于發(fā)展的初級階段，已經有些云密碼技術已經得到應用實踐，很多新技術的研究和應用還在探索中，并且隨著密碼技術與其他技術的深度融合也會衍生出更多適用于云計算環(huán)境的新型密碼技術。

Abstract：the rapid development of big data， artificial intelligence， mobile Internet， Internet of things and other new network technologies and industries is inseparable from the support of cloud computing. With the rapid development of social economy， cloud computing is gradually moving towards platform and service， and cloud cryptography service comes onto the stage. This new mode transforms the traditional cryptographic application mode into cloud cryptographic service. Instead of ‘buying/owning the cryptographic hardware or system and other cryptographic products， uses nowadays only need to pay for the services for cryptographic functions. Cryptography thus must keep up the pace and adapt to the service based cloud computing. Virtualization technology， trusted computing technology， micro service and other technologies lay the foundation for cloud cryptography services. Key isolation， remote management， access control and other technologies are key technologies of cloud cryptography services.

Key words：cloud cryptography service; Cryptography; cloud computing