高性能密碼資源池關(guān)鍵技術(shù)研究

0引言近年來(lái)，隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的不斷發(fā)展，不同技術(shù)領(lǐng)域的邊界正逐漸被打破并相互融合，各種業(yè)務(wù)數(shù)據(jù)正在不斷地匯總聚合，數(shù)據(jù)時(shí)代正悄然來(lái)臨。隨著《網(wǎng)絡(luò)安全法》《密碼法》等法律法規(guī)的相繼出臺(tái)，標(biāo)志著我國(guó)密碼發(fā)展進(jìn)入有法可依的時(shí)代，為相關(guān)領(lǐng)域合規(guī)、正確和有效應(yīng)用密碼提供了法律依據(jù)。通過(guò)密碼技術(shù)產(chǎn)品和服務(wù)，來(lái)解決身份認(rèn)證、訪問(wèn)控制、安全傳輸、抗抵賴(lài)等問(wèn)題，為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全等提供保障。新型的技術(shù)架構(gòu)將計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、數(shù)據(jù)資源等資源進(jìn)行整合，資源使用方式由原有獨(dú)享式變?yōu)楣蚕硎?，資源可以根據(jù)實(shí)際業(yè)務(wù)情況進(jìn)行動(dòng)態(tài)調(diào)整、隨需而變，最大限度的提高資源的利用率，此時(shí)，對(duì)密碼應(yīng)用提出了高性能、高并發(fā)、高吞吐的高速應(yīng)用需求，國(guó)外云廠商通過(guò)提供云化HSM（HardwareSecurityModule）滿(mǎn)足該需求，如AWSCloudHSM，AzureDedeicatedHSM等，但該方案嚴(yán)重依賴(lài)于云自身架構(gòu)實(shí)現(xiàn)，國(guó)內(nèi)密碼廠商也在積極探索具備虛擬化能力的云服務(wù)器密碼機(jī)等設(shè)備類(lèi)產(chǎn)品，本方案中提出的高速密碼資源池作為密碼產(chǎn)品和應(yīng)用系統(tǒng)的有效銜接，實(shí)現(xiàn)技術(shù)、產(chǎn)品、應(yīng)用深度融合，提供密碼資源的高速調(diào)度，可以有效滿(mǎn)足新型業(yè)務(wù)場(chǎng)景的安全需求，促進(jìn)商用密碼產(chǎn)業(yè)的快速發(fā)展。本文重點(diǎn)研究了高速密碼運(yùn)算、節(jié)點(diǎn)虛擬化、彈性資源管理的高速密碼資源池，重點(diǎn)探討了高速密碼資源池在設(shè)計(jì)開(kāi)發(fā)過(guò)程中需要重點(diǎn)關(guān)注的密鑰安全管理、高性能、虛擬化管理、高彈性密碼服務(wù)等關(guān)鍵技術(shù)?？蓱?yīng)用于云計(jì)算、大數(shù)據(jù)、人工智能等高安全需求的領(lǐng)域。1新技術(shù)領(lǐng)域的高性能密碼安全需求當(dāng)前以物聯(lián)網(wǎng)、數(shù)據(jù)中心、云計(jì)算、區(qū)塊鏈應(yīng)用等為代表的新技術(shù)領(lǐng)域正在如火如荼地涌現(xiàn)在“新型數(shù)字基礎(chǔ)設(shè)施建設(shè)”的浪潮中，成為眾多傳統(tǒng)行業(yè)轉(zhuǎn)型升級(jí)的新動(dòng)力，不斷推動(dòng)社會(huì)發(fā)展進(jìn)入數(shù)字時(shí)代，隨著相關(guān)的法律要求和安全意識(shí)的增強(qiáng)，配套的密碼安全建設(shè)的需求也日益顯著。1.1物聯(lián)網(wǎng)領(lǐng)域5G技術(shù)、大數(shù)據(jù)等新技術(shù)正與物聯(lián)網(wǎng)相互交織，融為一體，物聯(lián)網(wǎng)所蘊(yùn)含的“萬(wàn)物互聯(lián)，物物相通”使得物聯(lián)網(wǎng)技術(shù)成為未來(lái)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步和科技創(chuàng)新最重要的基礎(chǔ)設(shè)施。據(jù)麥肯錫和IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)報(bào)告顯示，到2025年全球?qū)⒂?16億個(gè)物聯(lián)網(wǎng)設(shè)備，產(chǎn)生數(shù)據(jù)量達(dá)79.4ZB，每年將創(chuàng)造4萬(wàn)億到11萬(wàn)億美元的經(jīng)濟(jì)價(jià)值，但作為一種新技術(shù)，物聯(lián)網(wǎng)的行業(yè)標(biāo)準(zhǔn)、協(xié)議制定以及管理工作都還處于初級(jí)階段。物聯(lián)網(wǎng)龐大的設(shè)備基數(shù)帶來(lái)海量的信息傳輸與價(jià)值分析，從感知節(jié)點(diǎn)的身份識(shí)別到匯聚中心的數(shù)據(jù)保護(hù)，物聯(lián)網(wǎng)中心平臺(tái)都對(duì)其高性能密碼運(yùn)算提出了迫切需求，可以有效支撐海量設(shè)備身份認(rèn)證，高性能數(shù)據(jù)加解密等高性能密碼產(chǎn)品，將作為物聯(lián)網(wǎng)安全發(fā)展的核心引擎為物聯(lián)網(wǎng)的高速發(fā)展提供動(dòng)力。1.2數(shù)據(jù)中心領(lǐng)域數(shù)字經(jīng)濟(jì)已成為全球經(jīng)濟(jì)增長(zhǎng)的新引擎，正在深刻改變?nèi)祟?lèi)社會(huì)的生產(chǎn)和生活方式，數(shù)據(jù)中心承載著業(yè)務(wù)的數(shù)據(jù)，包括核心數(shù)據(jù)以及隱私數(shù)據(jù)，支撐著所有業(yè)務(wù)和運(yùn)營(yíng)，業(yè)務(wù)的核心樞紐。作為數(shù)據(jù)的匯聚中心，在關(guān)注平臺(tái)安全、網(wǎng)絡(luò)安全的基礎(chǔ)上，數(shù)據(jù)安全和隱私合規(guī)也逐漸引起全行業(yè)的重視。數(shù)據(jù)安全是指數(shù)據(jù)中心為支撐數(shù)據(jù)存儲(chǔ)、傳輸、處理等全生命周期過(guò)程提供的數(shù)據(jù)安全保護(hù)能力，如數(shù)據(jù)加密、數(shù)據(jù)隔離、訪問(wèn)控制、完整性校驗(yàn)等。隱私合規(guī)是指數(shù)據(jù)中心為保障數(shù)據(jù)存儲(chǔ)、移動(dòng)、再利用等過(guò)程中的合規(guī)提供的能力，如數(shù)據(jù)脫敏、違規(guī)分析、密文搜索同態(tài)加密等。數(shù)據(jù)中心的數(shù)據(jù)量正逐漸從PB級(jí)邁向EB級(jí)，高性能密碼運(yùn)算，尤其是數(shù)據(jù)的加解密吞吐成為最迫切的安全需求，可以有效提升整個(gè)數(shù)據(jù)中心數(shù)據(jù)安全防護(hù)的水平。1.3云計(jì)算領(lǐng)域云服務(wù)提供商將計(jì)算資源匯集到資源池中，通過(guò)多租戶(hù)模式共享給多個(gè)用戶(hù)，根據(jù)用戶(hù)的需求對(duì)不同的物理資源和虛擬資源進(jìn)行動(dòng)態(tài)分配，2018年，以IaaS、PaaS和SaaS為代表的全球公有云市場(chǎng)規(guī)模達(dá)到1363億美元，增速23.01％。未來(lái)幾年市場(chǎng)平均增長(zhǎng)率在20％左右，預(yù)計(jì)到2022年市場(chǎng)規(guī)模將超過(guò)2700億美元。目前越來(lái)越多的企業(yè)使用公共云和混合云部署，同時(shí)越來(lái)越多的敏感數(shù)據(jù)被存儲(chǔ)在云服務(wù)廠商的環(huán)境中，企業(yè)不斷積極尋求更好的方法保護(hù)他們?cè)谠浦械臄?shù)據(jù)，數(shù)據(jù)加密、安全傳輸、安全隔離成為用戶(hù)數(shù)據(jù)安全的重要技術(shù)手段，因此，企業(yè)用戶(hù)獨(dú)立管理掌控的密碼產(chǎn)品成為數(shù)據(jù)上云的重要安全手段，因此適用于云環(huán)境的具備高性能、虛擬化等能力的密碼產(chǎn)品是密碼云服務(wù)的重要產(chǎn)品形態(tài)。1.4區(qū)塊鏈領(lǐng)域區(qū)塊鏈?zhǔn)抢脡K鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)來(lái)驗(yàn)證和存儲(chǔ)數(shù)據(jù)，利用分布式節(jié)點(diǎn)共識(shí)算法來(lái)生成和更新數(shù)據(jù)、利用密碼技術(shù)來(lái)保證數(shù)據(jù)傳輸和訪問(wèn)的安全，其中涉及到分布式數(shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、密碼算法、智能合約等技術(shù)的新應(yīng)用模式，在新的技術(shù)革新和產(chǎn)業(yè)變革中起著重要作用。在所有的區(qū)塊鏈技術(shù)中都應(yīng)用大量的密碼技術(shù)來(lái)保證系統(tǒng)的安全性，區(qū)塊鏈中每個(gè)用戶(hù)都通過(guò)非對(duì)稱(chēng)密鑰進(jìn)行身份標(biāo)識(shí)，所有的業(yè)務(wù)操作都需要簽名驗(yàn)簽操作來(lái)完成，且節(jié)點(diǎn)通過(guò)驗(yàn)簽確保用戶(hù)的合法性，整個(gè)業(yè)務(wù)鏈對(duì)于驗(yàn)簽運(yùn)算的性能具有較高的需求；對(duì)于節(jié)點(diǎn)的合法性校驗(yàn)，應(yīng)用了大量高頻的哈希運(yùn)算，確保數(shù)據(jù)的完整性；與此同時(shí)，對(duì)于數(shù)據(jù)隱私保護(hù)的需求，同態(tài)加密、零知識(shí)證明和安全多方計(jì)算等高級(jí)密碼算法和協(xié)議，還可以為區(qū)塊鏈提供密文計(jì)算、密文檢索和分布式密鑰管理的能力，為區(qū)塊鏈更多場(chǎng)景提供安全保護(hù)。2高性能密碼資源池的設(shè)計(jì)目標(biāo)通過(guò)對(duì)物聯(lián)網(wǎng)領(lǐng)域、數(shù)據(jù)中心領(lǐng)域、云計(jì)算領(lǐng)域和區(qū)塊鏈領(lǐng)域等行業(yè)現(xiàn)狀的分析，各領(lǐng)域?qū)Ω甙踩?、高性能密碼運(yùn)算的需求日益迫切，同時(shí)，不同的應(yīng)用場(chǎng)景也潛在體現(xiàn)了本行業(yè)對(duì)密碼技術(shù)的特殊需求，而融合高效運(yùn)算、調(diào)度靈活的密碼資源池方案是有效應(yīng)對(duì)未來(lái)業(yè)務(wù)安全調(diào)度的高效密碼解決方案，通過(guò)對(duì)密碼資源池產(chǎn)品的綜合設(shè)計(jì)，產(chǎn)品需要滿(mǎn)足如下目標(biāo)。2.1高性能運(yùn)算當(dāng)前業(yè)務(wù)系統(tǒng)處理的數(shù)據(jù)容量設(shè)計(jì)已經(jīng)達(dá)到PB級(jí)甚至EB級(jí)，業(yè)務(wù)處理要求達(dá)到幾十萬(wàn)甚至上百萬(wàn)TPS，而為業(yè)務(wù)服務(wù)提供安全支撐的密碼運(yùn)算也必然提出高性能要求，才能最大限度的降低因附加的密碼運(yùn)算帶來(lái)性能損耗，從而避免密碼運(yùn)算成為業(yè)務(wù)處理的性能瓶頸。密碼資源池對(duì)高性能密碼運(yùn)算要求單節(jié)點(diǎn)具備非常突出的密碼運(yùn)算性能表現(xiàn)，同時(shí)為了滿(mǎn)足云化資源的要求，密碼運(yùn)算節(jié)點(diǎn)支持池化管理、彈性擴(kuò)容，經(jīng)過(guò)密碼運(yùn)算池化處理后能夠提供更為可觀的密碼支撐能力。2.2密鑰安全性密鑰安全是密碼安全體系的核心，在密碼資源池場(chǎng)景中，池化管理必然帶來(lái)密碼運(yùn)算節(jié)點(diǎn)之間密鑰的同步、遷移、銷(xiāo)毀等敏感業(yè)務(wù)操作，通過(guò)一套安全高效的密鑰管理機(jī)制，有效實(shí)現(xiàn)密鑰的全生命周期管理，從密鑰的種類(lèi)、用途、屬性、對(duì)象、等級(jí)等多個(gè)維度進(jìn)行應(yīng)用策略控制，借助硬件密碼設(shè)備作為可信密鑰流轉(zhuǎn)錨點(diǎn)，從而建立以密鑰為核心的高性能密碼資源池密鑰管理流轉(zhuǎn)體系，充分保證密鑰的安全性。2.3節(jié)點(diǎn)虛擬化云計(jì)算等應(yīng)用場(chǎng)景中主要采用資源虛擬化提供服務(wù)支撐，傳統(tǒng)應(yīng)用模式中單系統(tǒng)專(zhuān)用密碼設(shè)備已經(jīng)無(wú)法適用云中虛擬化的應(yīng)用需求，所有的應(yīng)用調(diào)用都必須采用網(wǎng)絡(luò)調(diào)用的形式進(jìn)行調(diào)用，而面對(duì)混合云等場(chǎng)景，需要保證不同的業(yè)務(wù)資源配備隔離專(zhuān)用的密碼資源，密碼資源的管理可以授權(quán)賦予給真正的業(yè)務(wù)用戶(hù)，基于硬件級(jí)的虛擬化密碼解決方案是密碼資源池的可以提供的最安全的技術(shù)方案。2.4彈性計(jì)算彈性計(jì)算是密碼資源池提供密碼服務(wù)的一個(gè)典型特征，在業(yè)務(wù)高峰到來(lái)時(shí)可以快速擴(kuò)充較多的計(jì)算資源應(yīng)對(duì)業(yè)務(wù)高峰，當(dāng)業(yè)務(wù)狀態(tài)恢復(fù)平穩(wěn)后，又可以動(dòng)態(tài)靈活的回收多余的密碼資源。密碼資源池通過(guò)“人工+智能”的多維資源預(yù)警機(jī)制，有效識(shí)別資源使用閾值，設(shè)計(jì)多種靈活的密碼運(yùn)算資源節(jié)點(diǎn)調(diào)度算法，通過(guò)多級(jí)、分層的調(diào)度模式實(shí)現(xiàn)資源的彈性分配，最大限度的提升密碼資源池中密碼計(jì)算資源的利用率。2.5遠(yuǎn)程管理云計(jì)算服務(wù)中一般支持多租戶(hù)能力，同時(shí)對(duì)租戶(hù)提供密碼資源，租戶(hù)需要具備完整的密鑰管理權(quán)，包括密鑰的產(chǎn)生、分發(fā)、運(yùn)算、更新以及銷(xiāo)毀等，安全的遠(yuǎn)程密鑰管理是密碼資源池應(yīng)用的基本要求，密碼資源池對(duì)于分配給用戶(hù)的特定密碼計(jì)算資源，用戶(hù)可實(shí)現(xiàn)獨(dú)立自主全面管理，在用戶(hù)遠(yuǎn)程管理過(guò)程中，提供多種用戶(hù)身份識(shí)別手段，最大限度的提升密碼資源池管理面的接入安全性，同時(shí)遠(yuǎn)程管理必將具備完備的操作審計(jì)機(jī)制，可以定期進(jìn)行風(fēng)險(xiǎn)評(píng)估與安全預(yù)警。3高性能密碼資源池關(guān)鍵技術(shù)為了充分滿(mǎn)足高性能密碼運(yùn)算的安全需求，將密碼資源作為基礎(chǔ)管理單元，構(gòu)造出更高性能的密碼資源池是最佳的高性能密碼應(yīng)用模式，密碼資源池應(yīng)用結(jié)構(gòu)如圖1所示，通過(guò)將密碼資源進(jìn)行整合，配合服務(wù)層調(diào)度管理程序?yàn)閼?yīng)用層提供高性能的密碼服務(wù)。圖1密碼資源池應(yīng)用架構(gòu)密碼資源池在實(shí)現(xiàn)過(guò)程中的關(guān)鍵技術(shù)主要包括如下幾點(diǎn)：3.1單節(jié)點(diǎn)高速密碼實(shí)現(xiàn)通過(guò)對(duì)稱(chēng)密碼算法、非對(duì)稱(chēng)密碼算法、密碼雜湊算法的高性能實(shí)現(xiàn)研究，優(yōu)化大整數(shù)運(yùn)算、多項(xiàng)式計(jì)算等算法，設(shè)計(jì)多核協(xié)同并行、多級(jí)流水線、脈動(dòng)陣列等硬件模塊，形成高性能密碼運(yùn)算IP核，通過(guò)對(duì)運(yùn)算調(diào)度的進(jìn)一步的優(yōu)化和調(diào)整，進(jìn)而在單臺(tái)密碼設(shè)備中獲得極高的密碼運(yùn)算性能，以高性能的單節(jié)點(diǎn)密碼運(yùn)算為基礎(chǔ)構(gòu)建的密碼資源池通過(guò)橫向擴(kuò)展，集群擴(kuò)充可以對(duì)外輸出更為客觀的密碼運(yùn)算，從而為數(shù)據(jù)中心、云計(jì)算等海量業(yè)務(wù)場(chǎng)景提供更為可靠的密碼支撐保障。3.2硬件虛擬化硬件虛擬化是實(shí)現(xiàn)密碼資源池的關(guān)鍵核心技術(shù)，通過(guò)虛擬化技術(shù)可實(shí)現(xiàn)密碼設(shè)備資源的虛擬化和虛擬節(jié)點(diǎn)池化管理。芯片、密碼卡作為眾多密碼設(shè)備的核心基礎(chǔ)密碼部件，支持硬件虛擬化能力可以自下而上提供云中全鏈路的硬件級(jí)密鑰保護(hù)，基于硬件隔離的密鑰保護(hù)可以有效服務(wù)于桌面虛擬化，服務(wù)器虛擬化等應(yīng)用場(chǎng)景，保證各個(gè)虛擬業(yè)務(wù)單元獨(dú)享安全密碼服務(wù)，以SR-IOV硬件虛擬化技術(shù)為代表的虛擬化技術(shù)實(shí)現(xiàn)能夠提供最高安全等級(jí)的虛擬化密鑰保護(hù)。3.3安全密鑰管理根據(jù)業(yè)務(wù)復(fù)雜多樣，不同的安全需求，密碼資源池需要提供多種不同安全等級(jí)的密鑰安全保護(hù)機(jī)制。密鑰管理采用三級(jí)密鑰安全模型，密鑰的安全性由密碼卡提供硬件保護(hù)，通過(guò)配合內(nèi)置的密鑰管理服務(wù)，共同提供密碼資源池中各應(yīng)用系統(tǒng)的密鑰管理，在統(tǒng)一的安全認(rèn)證授權(quán)策略的情況下，密鑰的遷移、備份、恢復(fù)等都可以得到有效的安全保證，同時(shí)提供多種密鑰備份恢復(fù)機(jī)制，可有效應(yīng)對(duì)各種遷移、災(zāi)備等復(fù)雜的密鑰應(yīng)用場(chǎng)景。3.4資源池化彈性調(diào)度對(duì)密碼資源池中的資源進(jìn)行池化管理，池化后的資源可以彈性伸縮、按需分配，獨(dú)立部署為密碼計(jì)算單元（應(yīng)用系統(tǒng)虛擬服務(wù)器）、密碼計(jì)算單元集群（應(yīng)用系統(tǒng)虛擬服務(wù)器集群）。密碼計(jì)算實(shí)體由密碼資源池管理平臺(tái)對(duì)其進(jìn)行申請(qǐng)、審批、創(chuàng)建、分配、監(jiān)控、回收等全生命周期的管理，通過(guò)“人工+智能”的自動(dòng)化彈性策略，有效設(shè)定資源使用閾值，靈活預(yù)警、自動(dòng)擴(kuò)充，可實(shí)現(xiàn)計(jì)算單元實(shí)體的自動(dòng)漂移，橫向擴(kuò)展的自動(dòng)化調(diào)度控制，充分保證密碼資源對(duì)業(yè)務(wù)資源的支撐能力。3.5密碼服務(wù)高可用性密碼資源池中各特定的密鑰產(chǎn)品通過(guò)虛擬化節(jié)點(diǎn)對(duì)外提供服務(wù)，在虛擬化層形成計(jì)算資源池和密碼資源池，為業(yè)務(wù)系統(tǒng)的虛擬機(jī)提供不同的服務(wù)質(zhì)量和能力，包括高可用（HighAvailability）、容錯(cuò)（FaultTolerant）、在線遷移（LiveMigration/vMotion）、資源動(dòng)態(tài)負(fù)載均衡（DistributedResourceScheduler）等特性。3.6遠(yuǎn)程管理密碼資源池的運(yùn)維管理可根據(jù)實(shí)際需要與服務(wù)商分配運(yùn)維責(zé)任，并且用戶(hù)對(duì)密鑰的運(yùn)維管理只能遠(yuǎn)程進(jìn)行。通常情況下，密碼硬件基礎(chǔ)設(shè)施和基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理由云密碼服務(wù)商或云計(jì)算服務(wù)提供商提供，用戶(hù)更關(guān)注密鑰管理、安全策略配置及安全審計(jì)等方面的運(yùn)維管理，密碼資源池的遠(yuǎn)程管理需使用PKI或其他身份認(rèn)證技術(shù)、SSL/TLS安全通信技術(shù)等保證遠(yuǎn)程管理的安全性。3.7訪問(wèn)控制密碼資源池不同于傳統(tǒng)的密碼設(shè)備單一、可控的安全部署模式，其靈活性、遠(yuǎn)程性、遷移性都會(huì)帶來(lái)更高的風(fēng)險(xiǎn)。訪問(wèn)控制作為密碼資源池提供的密碼服務(wù)中接入服務(wù)的關(guān)鍵一環(huán)，應(yīng)結(jié)合多種認(rèn)證模式基于角色、服務(wù)、身份對(duì)云密碼服務(wù)進(jìn)行訪問(wèn)授權(quán)控制，對(duì)于不同的業(yè)務(wù)服務(wù)模式，采取最合適的訪問(wèn)控制機(jī)制，同時(shí)，借助多種安全訪問(wèn)控制機(jī)制，為云中密碼服務(wù)的全鏈審計(jì)提供有效的技術(shù)支撐。3.8自定義密碼服務(wù)應(yīng)用密碼資源池通過(guò)提煉抽象的標(biāo)準(zhǔn)密碼服務(wù)模板，模板中提供安全的密碼服務(wù)支撐能力，同時(shí)，還提供了密碼資源池配套的池化管理能力，如網(wǎng)絡(luò)配置、VLAN配置、日志管理、密鑰管理、認(rèn)證授權(quán)、集群管理、負(fù)載均衡等，用戶(hù)可將自己的