云计算时代，“密码云”重塑密码基础设施.docx

PAGE 1 PAGE 1

云计算时代，“密码云”重塑密码基础设施 过去十年，在云计算广泛深入社会各个领域的同时，安全也成为云计算领域亟待突破的重要问题。尤其是作为网络安全核心的密码应用，正在加速从幕后走向台前。 过去十年，在云计算广泛深入社会各个领域的同时，安全也成为云计算领域亟待突破的重要问题。尤其是作为网络安全核心的密码应用，正在加速从幕后走向台前。为此，以北京数字认证股份有限公司(简称：数字认证)为代表的密码领域领先企业，对密码上云进行了探索与实践。 1滞后的密码上云建设 密码与云的融合还在发展中，相关的标准规范也尚不完备。这种状况下，国内市场从详细需求的视角，出现了形态各异的密码应用实践。数字认证首席科学家、研究院院长夏鲁宁以三种密码上云实践为例，介绍了目前国内常见的密码上云方式及存在的问题： 纯SaaS平台密码应用实践 即把电子合同等业务放在云计算的SaaS层供应。由于缺乏硬件密码资源的支持，密码功能多以SaaS层的软件方式来实现，这导致对于密钥等关键密码参数的保护强度不够，相当多的案例都是在开放环境下进行密码计算和密钥存储，随机数的熵和随机性也得不到保障。虽然看起来做到了“云原生”，但关键安全参数的泄露风险颇大，整体安全风险不可忽视，也不符合国家、行业标准对密码应用的要求。 支持虚拟化的密码设备实践 即采用虚拟化技术，在物理密码机内供应虚拟密码机vHSM。这种方式的优势在于密钥等关键安全参数仍在密码机物理边界内，能够依靠设备内建安全体系来保护密码计算、密钥管理以及随机数的安全。但缺点是可扩展性差，能够利用的最大计算和存储资源受限于物理密码机自身，资源安排的敏捷性受限。 云密码资源池实践 即在多台物理密码设备的基础上云化成密码资源池，统一管理密码资源集群，向应用按需供应密码资源服务。这种方式能够有效保证密码应用安全，是近年来云密码应用的巨大进步。但现有的云密码资