高性能密碼資源池關(guān)鍵技術(shù)研究

0引言近年來，隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的不斷發(fā)展，不同技術(shù)領(lǐng)域的邊界正逐漸被打破并相互融合，各種業(yè)務(wù)數(shù)據(jù)正在不斷地匯總聚合，數(shù)據(jù)時代正悄然來臨。隨著《網(wǎng)絡(luò)安全法》《密碼法》等法律法規(guī)的相繼出臺，標志著我國密碼發(fā)展進入有法可依的時代，為相關(guān)領(lǐng)域合規(guī)、正確和有效應用密碼提供了法律依據(jù)。通過密碼技術(shù)產(chǎn)品和服務(wù)，來解決身份認證、訪問控制、安全傳輸、抗抵賴等問題，為數(shù)據(jù)安全、應用安全、網(wǎng)絡(luò)安全等提供保障。新型的技術(shù)架構(gòu)將計算資源、存儲資源、網(wǎng)絡(luò)資源、數(shù)據(jù)資源等資源進行整合，資源使用方式由原有獨享式變?yōu)楣蚕硎?，資源可以根據(jù)實際業(yè)務(wù)情況進行動態(tài)調(diào)整、隨需而變，最大限度的提高資源的利用率，此時，對密碼應用提出了高性能、高并發(fā)、高吞吐的高速應用需求，國外云廠商通過提供云化HSM（HardwareSecurityModule）滿足該需求，如AWSCloudHSM，AzureDedeicatedHSM等，但該方案嚴重依賴于云自身架構(gòu)實現(xiàn)，國內(nèi)密碼廠商也在積極探索具備虛擬化能力的云服務(wù)器密碼機等設(shè)備類產(chǎn)品，本方案中提出的高速密碼資源池作為密碼產(chǎn)品和應用系統(tǒng)的有效銜接，實現(xiàn)技術(shù)、產(chǎn)品、應用深度融合，提供密碼資源的高速調(diào)度，可以有效滿足新型業(yè)務(wù)場景的安全需求，促進商用密碼產(chǎn)業(yè)的快速發(fā)展。本文重點研究了高速密碼運算、節(jié)點虛擬化、彈性資源管理的高速密碼資源池，重點探討了高速密碼資源池在設(shè)計開發(fā)過程中需要重點關(guān)注的密鑰安全管理、高性能、虛擬化管理、高彈性密碼服務(wù)等關(guān)鍵技術(shù)?？蓱糜谠朴嬎恪⒋髷?shù)據(jù)、人工智能等高安全需求的領(lǐng)域。1新技術(shù)領(lǐng)域的高性能密碼安全需求當前以物聯(lián)網(wǎng)、數(shù)據(jù)中心、云計算、區(qū)塊鏈應用等為代表的新技術(shù)領(lǐng)域正在如火如荼地涌現(xiàn)在“新型數(shù)字基礎(chǔ)設(shè)施建設(shè)”的浪潮中，成為眾多傳統(tǒng)行業(yè)轉(zhuǎn)型升級的新動力，不斷推動社會發(fā)展進入數(shù)字時代，隨著相關(guān)的法律要求和安全意識的增強，配套的密碼安全建設(shè)的需求也日益顯著。1.1物聯(lián)網(wǎng)領(lǐng)域5G技術(shù)、大數(shù)據(jù)等新技術(shù)正與物聯(lián)網(wǎng)相互交織，融為一體，物聯(lián)網(wǎng)所蘊含的“萬物互聯(lián)，物物相通”使得物聯(lián)網(wǎng)技術(shù)成為未來經(jīng)濟發(fā)展、社會進步和科技創(chuàng)新最重要的基礎(chǔ)設(shè)施。據(jù)麥肯錫和IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)報告顯示，到2025年全球?qū)⒂?16億個物聯(lián)網(wǎng)設(shè)備，產(chǎn)生數(shù)據(jù)量達79.4ZB，每年將創(chuàng)造4萬億到11萬億美元的經(jīng)濟價值，但作為一種新技術(shù)，物聯(lián)網(wǎng)的行業(yè)標準、協(xié)議制定以及管理工作都還處于初級階段。物聯(lián)網(wǎng)龐大的設(shè)備基數(shù)帶來海量的信息傳輸與價值分析，從感知節(jié)點的身份識別到匯聚中心的數(shù)據(jù)保護，物聯(lián)網(wǎng)中心平臺都對其高性能密碼運算提出了迫切需求，可以有效支撐海量設(shè)備身份認證，高性能數(shù)據(jù)加解密等高性能密碼產(chǎn)品，將作為物聯(lián)網(wǎng)安全發(fā)展的核心引擎為物聯(lián)網(wǎng)的高速發(fā)展提供動力。1.2數(shù)據(jù)中心領(lǐng)域數(shù)字經(jīng)濟已成為全球經(jīng)濟增長的新引擎，正在深刻改變?nèi)祟惿鐣纳a(chǎn)和生活方式，數(shù)據(jù)中心承載著業(yè)務(wù)的數(shù)據(jù)，包括核心數(shù)據(jù)以及隱私數(shù)據(jù)，支撐著所有業(yè)務(wù)和運營，業(yè)務(wù)的核心樞紐。作為數(shù)據(jù)的匯聚中心，在關(guān)注平臺安全、網(wǎng)絡(luò)安全的基礎(chǔ)上，數(shù)據(jù)安全和隱私合規(guī)也逐漸引起全行業(yè)的重視。數(shù)據(jù)安全是指數(shù)據(jù)中心為支撐數(shù)據(jù)存儲、傳輸、處理等全生命周期過程提供的數(shù)據(jù)安全保護能力，如數(shù)據(jù)加密、數(shù)據(jù)隔離、訪問控制、完整性校驗等。隱私合規(guī)是指數(shù)據(jù)中心為保障數(shù)據(jù)存儲、移動、再利用等過程中的合規(guī)提供的能力，如數(shù)據(jù)脫敏、違規(guī)分析、密文搜索同態(tài)加密等。數(shù)據(jù)中心的數(shù)據(jù)量正逐漸從PB級邁向EB級，高性能密碼運算，尤其是數(shù)據(jù)的加解密吞吐成為最迫切的安全需求，可以有效提升整個數(shù)據(jù)中心數(shù)據(jù)安全防護的水平。1.3云計算領(lǐng)域云服務(wù)提供商將計算資源匯集到資源池中，通過多租戶模式共享給多個用戶，根據(jù)用戶的需求對不同的物理資源和虛擬資源進行動態(tài)分配，2018年，以IaaS、PaaS和SaaS為代表的全球公有云市場規(guī)模達到1363億美元，增速23.01％。未來幾年市場平均增長率在20％左右，預計到2022年市場規(guī)模將超過2700億美元。目前越來越多的企業(yè)使用公共云和混合云部署，同時越來越多的敏感數(shù)據(jù)被存儲在云服務(wù)廠商的環(huán)境中，企業(yè)不斷積極尋求更好的方法保護他們在云中的數(shù)據(jù)，數(shù)據(jù)加密、安全傳輸、安全隔離成為用戶數(shù)據(jù)安全的重要技術(shù)手段，因此，企業(yè)用戶獨立管理掌控的密碼產(chǎn)品成為數(shù)據(jù)上云的重要安全手段，因此適用于云環(huán)境的具備高性能、虛擬化等能力的密碼產(chǎn)品是密碼云服務(wù)的重要產(chǎn)品形態(tài)。1.4區(qū)塊鏈領(lǐng)域區(qū)塊鏈是利用塊鏈式數(shù)據(jù)結(jié)構(gòu)來驗證和存儲數(shù)據(jù)，利用分布式節(jié)點共識算法來生成和更新數(shù)據(jù)、利用密碼技術(shù)來保證數(shù)據(jù)傳輸和訪問的安全，其中涉及到分布式數(shù)據(jù)存儲、點對點傳輸、共識機制、密碼算法、智能合約等技術(shù)的新應用模式，在新的技術(shù)革新和產(chǎn)業(yè)變革中起著重要作用。在所有的區(qū)塊鏈技術(shù)中都應用大量的密碼技術(shù)來保證系統(tǒng)的安全性，區(qū)塊鏈中每個用戶都通過非對稱密鑰進行身份標識，所有的業(yè)務(wù)操作都需要簽名驗簽操作來完成，且節(jié)點通過驗簽確保用戶的合法性，整個業(yè)務(wù)鏈對于驗簽運算的性能具有較高的需求；對于節(jié)點的合法性校驗，應用了大量高頻的哈希運算，確保數(shù)據(jù)的完整性；與此同時，對于數(shù)據(jù)隱私保護的需求，同態(tài)加密、零知識證明和安全多方計算等高級密碼算法和協(xié)議，還可以為區(qū)塊鏈提供密文計算、密文檢索和分布式密鑰管理的能力，為區(qū)塊鏈更多場景提供安全保護。2高性能密碼資源池的設(shè)計目標通過對物聯(lián)網(wǎng)領(lǐng)域、數(shù)據(jù)中心領(lǐng)域、云計算領(lǐng)域和區(qū)塊鏈領(lǐng)域等行業(yè)現(xiàn)狀的分析，各領(lǐng)域?qū)Ω甙踩?、高性能密碼運算的需求日益迫切，同時，不同的應用場景也潛在體現(xiàn)了本行業(yè)對密碼技術(shù)的特殊需求，而融合高效運算、調(diào)度靈活的密碼資源池方案是有效應對未來業(yè)務(wù)安全調(diào)度的高效密碼解決方案，通過對密碼資源池產(chǎn)品的綜合設(shè)計，產(chǎn)品需要滿足如下目標。2.1高性能運算當前業(yè)務(wù)系統(tǒng)處理的數(shù)據(jù)容量設(shè)計已經(jīng)達到PB級甚至EB級，業(yè)務(wù)處理要求達到幾十萬甚至上百萬TPS，而為業(yè)務(wù)服務(wù)提供安全支撐的密碼運算也必然提出高性能要求，才能最大限度的降低因附加的密碼運算帶來性能損耗，從而避免密碼運算成為業(yè)務(wù)處理的性能瓶頸。密碼資源池對高性能密碼運算要求單節(jié)點具備非常突出的密碼運算性能表現(xiàn)，同時為了滿足云化資源的要求，密碼運算節(jié)點支持池化管理、彈性擴容，經(jīng)過密碼運算池化處理后能夠提供更為可觀的密碼支撐能力。2.2密鑰安全性密鑰安全是密碼安全體系的核心，在密碼資源池場景中，池化管理必然帶來密碼運算節(jié)點之間密鑰的同步、遷移、銷毀等敏感業(yè)務(wù)操作，通過一套安全高效的密鑰管理機制，有效實現(xiàn)密鑰的全生命周期管理，從密鑰的種類、用途、屬性、對象、等級等多個維度進行應用策略控制，借助硬件密碼設(shè)備作為可信密鑰流轉(zhuǎn)錨點，從而建立以密鑰為核心的高性能密碼資源池密鑰管理流轉(zhuǎn)體系，充分保證密鑰的安全性。2.3節(jié)點虛擬化云計算等應用場景中主要采用資源虛擬化提供服務(wù)支撐，傳統(tǒng)應用模式中單系統(tǒng)專用密碼設(shè)備已經(jīng)無法適用云中虛擬化的應用需求，所有的應用調(diào)用都必須采用網(wǎng)絡(luò)調(diào)用的形式進行調(diào)用，而面對混合云等場景，需要保證不同的業(yè)務(wù)資源配備隔離專用的密碼資源，密碼資源的管理可以授權(quán)賦予給真正的業(yè)務(wù)用戶，基于硬件級的虛擬化密碼解決方案是密碼資源池的可以提供的最安全的技術(shù)方案。2.4彈性計算彈性計算是密碼資源池提供密碼服務(wù)的一個典型特征，在業(yè)務(wù)高峰到來時可以快速擴充較多的計算資源應對業(yè)務(wù)高峰，當業(yè)務(wù)狀態(tài)恢復平穩(wěn)后，又可以動態(tài)靈活的回收多余的密碼資源。密碼資源池通過“人工+智能”的多維資源預警機制，有效識別資源使用閾值，設(shè)計多種靈活的密碼運算資源節(jié)點調(diào)度算法，通過多級、分層的調(diào)度模式實現(xiàn)資源的彈性分配，最大限度的提升密碼資源池中密碼計算資源的利用率。2.5遠程管理云計算服務(wù)中一般支持多租戶能力，同時對租戶提供密碼資源，租戶需要具備完整的密鑰管理權(quán)，包括密鑰的產(chǎn)生、分發(fā)、運算、更新以及銷毀等，安全的遠程密鑰管理是密碼資源池應用的基本要求，密碼資源池對于分配給用戶的特定密碼計算資源，用戶可實現(xiàn)獨立自主全面管理，在用戶遠程管理過程中，提供多種用戶身份識別手段，最大限度的提升密碼資源池管理面的接入安全性，同時遠程管理必將具備完備的操作審計機制，可以定期進行風險評估與安全預警。3高性能密碼資源池關(guān)鍵技術(shù)為了充分滿足高性能密碼運算的安全需求，將密碼資源作為基礎(chǔ)管理單元，構(gòu)造出更高性能的密碼資源池是最佳的高性能密碼應用模式，密碼資源池應用結(jié)構(gòu)如圖1所示，通過將密碼資源進行整合，配合服務(wù)層調(diào)度管理程序為應用層提供高性能的密碼服務(wù)。圖1密碼資源池應用架構(gòu)密碼資源池在實現(xiàn)過程中的關(guān)鍵技術(shù)主要包括如下幾點：3.1單節(jié)點高速密碼實現(xiàn)通過對稱密碼算法、非對稱密碼算法、密碼雜湊算法的高性能實現(xiàn)研究，優(yōu)化大整數(shù)運算、多項式計算等算法，設(shè)計多核協(xié)同并行、多級流水線、脈動陣列等硬件模塊，形成高性能密碼運算IP核，通過對運算調(diào)度的進一步的優(yōu)化和調(diào)整，進而在單臺密碼設(shè)備中獲得極高的密碼運算性能，以高性能的單節(jié)點密碼運算為基礎(chǔ)構(gòu)建的密碼資源池通過橫向擴展，集群擴充可以對外輸出更為客觀的密碼運算，從而為數(shù)據(jù)中心、云計算等海量業(yè)務(wù)場景提供更為可靠的密碼支撐保障。3.2硬件虛擬化硬件虛擬化是實現(xiàn)密碼資源池的關(guān)鍵核心技術(shù)，通過虛擬化技術(shù)可實現(xiàn)密碼設(shè)備資源的虛擬化和虛擬節(jié)點池化管理。芯片、密碼卡作為眾多密碼設(shè)備的核心基礎(chǔ)密碼部件，支持硬件虛擬化能力可以自下而上提供云中全鏈路的硬件級密鑰保護，基于硬件隔離的密鑰保護可以有效服務(wù)于桌面虛擬化，服務(wù)器虛擬化等應用場景，保證各個虛擬業(yè)務(wù)單元獨享安全密碼服務(wù)，以SR-IOV硬件虛擬化技術(shù)為代表的虛擬化技術(shù)實現(xiàn)能夠提供最高安全等級的虛擬化密鑰保護。3.3安全密鑰管理根據(jù)業(yè)務(wù)復雜多樣，不同的安全需求，密碼資源池需要提供多種不同安全等級的密鑰安全保護機制。密鑰管理采用三級密鑰安全模型，密鑰的安全性由密碼卡提供硬件保護，通過配合內(nèi)置的密鑰管理服務(wù)，共同提供密碼資源池中各應用系統(tǒng)的密鑰管理，在統(tǒng)一的安全認證授權(quán)策略的情況下，密鑰的遷移、備份、恢復等都可以得到有效的安全保證，同時提供多種密鑰備份恢復機制，可有效應對各種遷移、災備等復雜的密鑰應用場景。3.4資源池化彈性調(diào)度對密碼資源池中的資源進行池化管理，池化后的資源可以彈性伸縮、按需分配，獨立部署為密碼計算單元（應用系統(tǒng)虛擬服務(wù)器）、密碼計算單元集群（應用系統(tǒng)虛擬服務(wù)器集群）。密碼計算實體由密碼資源池管理平臺對其進行申請、審批、創(chuàng)建、分配、監(jiān)控、回收等全生命周期的管理，通過“人工+智能”的自動化彈性策略，有效設(shè)定資源使用閾值，靈活預警、自動擴充，可實現(xiàn)計算單元實體的自動漂移，橫向擴展的自動化調(diào)度控制，充分保證密碼資源對業(yè)務(wù)資源的支撐能力。3.5密碼服務(wù)高可用性密碼資源池中各特定的密鑰產(chǎn)品通過虛擬化節(jié)點對外提供服務(wù)，在虛擬化層形成計算資源池和密碼資源池，為業(yè)務(wù)系統(tǒng)的虛擬機提供不同的服務(wù)質(zhì)量和能力，包括高可用（HighAvailability）、容錯（FaultTolerant）、在線遷移（LiveMigration/vMotion）、資源動態(tài)負載均衡（DistributedResourceScheduler）等特性。3.6遠程管理密碼資源池的運維管理可根據(jù)實際需要與服務(wù)商分配運維責任，并且用戶對密鑰的運維管理只能遠程進行。通常情況下，密碼硬件基礎(chǔ)設(shè)施和基礎(chǔ)網(wǎng)絡(luò)的運維管理由云密碼服務(wù)商或云計算服務(wù)提供商提供，用戶更關(guān)注密鑰管理、安全策略配置及安全審計等方面的運維管理，密碼資源池的遠程管理需使用PKI或其他身份認證技術(shù)、SSL/TLS安全通信技術(shù)等保證遠程管理的安全性。3.7訪問控制密碼資源池不同于傳統(tǒng)的密碼設(shè)備單一、可控的安全部署模式，其靈活性、遠程性、遷移性都會帶來更高的風險。訪問控制作為密碼資源池提供的密碼服務(wù)中接入服務(wù)的關(guān)鍵一環(huán)，應結(jié)合多種認證模式基于角色、服務(wù)、身份對云密碼服務(wù)進行訪問授權(quán)控制，對于不同的業(yè)務(wù)服務(wù)模式，采取最合適的訪問控制機制，同時，借助多種安全訪問控制機制，為云中密碼服務(wù)的全鏈審計提供有效的技術(shù)支撐。3.8自定義密碼服務(wù)應用密碼資源池通過提煉抽象的標準密碼服務(wù)模板，模板中提供安全的密碼服務(wù)支撐能力，同時，還提供了密碼資源池配套的池化管理能力，如網(wǎng)絡(luò)配置、VLAN配置、日志管理、密鑰管理、認證授權(quán)、集群管理、負載均衡等，用戶可將自己的