基于云计算的高速加密解决方案.docx
- 文档编号:9808788
- 上传时间:2023-05-21
- 格式:DOCX
- 页数:8
- 大小:40.18KB
基于云计算的高速加密解决方案.docx
《基于云计算的高速加密解决方案.docx》由会员分享,可在线阅读,更多相关《基于云计算的高速加密解决方案.docx(8页珍藏版)》请在冰点文库上搜索。
基于云计算的高速加密解决方案
资料编码:
基于云计算的高速加密解决方案
文档版本
V1.0-01
发布日期
第1章需求分析
强大的数据处理和资源共享能力使云计算不断升温,2011年起云计算在中国开始全面落地。
云计算产业的迅速发展既是机遇,又带来了信息安全方面的挑战。
虽然许多用户期望充分利用云计算,但数据安全仍然是需要操心的首要问题。
然而,借助众多云解决方案,有望实现并享用云端的有效数据保护和强加密。
。
1.1云计算环境面临的安全问题
当前的IT已经突破了三个边界:
(1)突破了应用的边界。
因为云计算及IT的变化,使得应用开发的难度降低,应用越来越多。
(2)服务的边界发生变化。
企业所需的任何服务都可以通过第三方来提供,而云计算让服务的提供方式变得更加便捷,使得企业的边界不断拓展。
(3)内部IT资产的概念变得更加模糊。
现在很多基础设施并非企业所拥有,企业真正拥有的是信息和数据。
应用、服务和资产边界的变化,削弱了IT主管对安全产品的控制力,暴露出了越来越多的安全隐患。
云计算应用安全涉及服务可用性、数据机密性和完整性、对物理安全的控制、对恶意攻击及法律法规风险的防范等诸多方面。
云计算应用安全是云计算各类应用健康和可持续发展的基础和保障,必须与云应用同步设计、实施和运营,安全问题能否有效解决是云计算发展的关键所在。
目前云服务所面临的安全风险主要在以下4个方面:
(1)采用数据“云”端存储技术时,云终端可以通过物理硬件防止数据从终端泄露,但由于数据以明文存储在终端,依然无法解决文档的授权管理,即如何防止员工查看非授权文件,内部失密风险仍然存在。
(2)云面临多种终端访问需求,如PC、笔记本、Pad、智能手机等。
保证终端身份的合法性与文档存储在设备内的安全性是一个重大挑战。
(3)云建设依赖于云服务商的服务能力与技术可靠性,但疑问在于如何保障数据在云端的安全存储,如何保证存储在云端的数据不被运营商“监守自盗”。
(4)法律和合规性风险。
因为云端(服务器)所在的地域不同,使用期间可能面临的法律风险也会大不相同。
虽然网络无边界,但用于进行云计算业务的服务器毕竟真实的处于法律的管辖之下,因此,对于云计算的不当应用,将可能带来极其严重的法律风险和侵权风险。
这些风险中,最令人担忧的是数据安全无法得到保护,比如可能面临的风险包括黑客从云提供商处盗取数据,通过云端以缺乏安全防护的方式分享敏感数据,以及无法按照政策法规的要求恢复云数据等。
1.2高性能云密码系统在云计算中的必要性
云计算技术的飞速发展,电子政务等大型公共服务信息系统的建设与广泛应用,对信息安全提出了更高的要求。
云计算的安全问题关系到云计算的发展和推广进程。
云计算安全要求保障数据的机密性、完整性和可用性,确保服务提供商提供可靠、高效和抗抵赖的数据服务。
目前,针对云计算的安全问题,学术界陆续提出了一些以密码学为基础的新技术、新思想。
云计算安全几乎每个方面都与密码技术相关,需要用密码来加密不同用户的数据,需要用密码来保证通信安全,需要用密码算法来验证用户的身份。
因此,密码技术是云计算安全的基础。
由于云计算中存在高速数据加解密运算需求,为了适应当前云计算环境下安全应用多样化、功能复杂化和系统较为庞大的特点,将安全密码服务整合到云安全应用中去,是当前行之有效的安全解决方案。
云密码服务不仅为用户简化了密码模块的设计与实现,也使得密码技术的使用更集中、规范,也更易于管理。
云加密技术的安全服务,是将基本密码算法运算、资源管理以及密钥管理机制结合起来,提供密码服务,包括加解密、签名、签名验证、数字信封等,并且系统自身具有较高的完整性、可靠性和安全性。
从功能及结构上分析,云密码服务所有云计算虚拟机均含有加密功能,密码功能执行单元完成基本密码操作,安全API封装密码操作和内部的密钥管理机制,给云应用提供统一而安全的密码功能调用接口,密码资源管理模块实施对密码执行单元的管理、调度、系统整体安全机制的管理功能。
第2章系统介绍
2.1系统简介
面向云计算的高性能密码系统是一个基于云计算的云密码服务平台,以高速密码服务器为基础,向用户提供随取随用的个性化密码、认证、VPN等服务的云加密平台。
2.2系统组成
云端高性能密码系统者适用于数据处理量大的大中型云计算中心,多台可以组成云计算加密集群。
高性能云加密系统架构
高性能云加密系统分为基础硬件层、逻辑层、应用层:
密码服务器上硬件层都配备有密码模块,密码模块是整个系统的核心关键组件,直接决定了所支持的密码服务的种类、质量、处理性能等。
密码模块是安装在云平台的HOS中,属于资源层的需要被调配的硬件加密资源提供者,在资源层可以根据业务需求同时插入多块密码卡并发。
逻辑控制层是对资源层的资源进行统一调配管理的资源管理者,由逻辑控制层将密码模块的硬件资源如基址信息、中断信息虚拟到应用层的VM虚拟机中。
应用层提供虚拟机,可以根据不同的应用安装多个虚拟机。
虚拟机中安装有各种密码相关的应用程序,如IPsecVPN加密机,认证服务、密码服务等等。
这些与密码相关的应用APP,通过安装在虚拟机中的密码卡驱动,通过虚拟资源,经由逻辑控制的统一管理调度,实现了密码卡的相关调用。
云端高性能密码系统依靠云计算管理平台在状态同步的基础上实现设备间的任务迁移。
状态同步使密码连接的当前状态存储在多台云端高性能密码服务器中,当云计算管理平台发现某台密码服务器故障时,将从备份有故障机当前状态的多台云端高性能密码服务器中选择合适的来取代故障机器,实现任务的透明迁移。
综上,云端高性能密码服务器实现了设备内的任务调度和迁移,以及设备间的状态备份,这些功能和密码服务前置机的设备间任务调度/迁移结合在一起,实现了整个云端密码服务的虚拟化。
第3章产品特性:
3.1云平台
3.1.1统一的硬件平台
本系统基于X86架构的通用服务器构建,而不是像传统的安全设备那样需要绑定在专有的硬件设备上。
例如,传统的加密、VPN功能都是绑定在专门的硬件设备出售的。
3.1.2统一的运维门户
本系统提供了统一的运维门户,对业务配置及审核提供了统一的管理平台,极大的简化了产品的运维难度及复杂度。
通过此统一门户,可以进行应用的一键自动化部署,极大的简化了业务上线的流程。
通过系统提供的自助门户,用户可以随时订购自己需要的密码、认证到等应用,构建自己网络的防护方案,并可以随时对应用进行配置以及启停操作。
3.1.3多租户隔离
系统对不同的租户做了逻辑隔离,租户各自的操作互不影响,包括基础资源的使用以及应用软件的使用。
3.1.4应用自动化部署
通过云平台以及虚拟化的云加密应用模板,可以随时随地的进行云加密应用的部署及应用。
云平台可以根据需求随时部署应用软件,仅需一步配置,一个按钮,几十秒,即可部署一个加密设备,而不需再像传统加密设备的部署那样需要花费数天甚至数周的时间了。
3.1.5资源可弹性伸缩,灵活调度
基于云的特征,系统的计算处理等资源可以随时进行调整。
通过统一的运维管理及自助平台,可以随时对应用进行操作和配置,合理的分配系统的资源利用,构建自己的加密实施方案。
3.1.6应用可扩展
系统基于目前最受欢迎的开源平台Openstack,对外提供了开放的北向API接口,可以随时扩展上层应用的业务能力及业务范围。
同时,Openstack本身也是一个开源项目,可以兼容其它云平台和应用组件,极大的提高了系统的可持续发展能力。
3.1.7成本低廉
长期来看,统一的硬件标准必然会给企业极大的降低硬件采购及维护成本。
对于运维人员来说,单一的硬件标准,很大程度上降低了后期的运维难度以及运维人员本身的学习成本。
且使用云平台后,资源的共享以及按需分配使得系统的资源利用率大为提高,降低了硬件采购成本以及配套的电力、制冷等设施的投入。
3.2云加密功能
系统提供了对加密功能虚拟化应用的支持,在此基础上,我司开发了多款虚拟网络安全应用,通过不同服务的不同组合,可以为用户提供全方位的及网络安全服务。
用户可以自由选购,自由搭配,构建属于用户自己的专有网络安全定制方案。
除了以下介绍的加密服务外,我司还提供了其他的虚拟网络功能应用,例如IPS、防火墙、WAF、宽带加速,游戏加速,邮件防护等等。
3.2.1云认证
在云加密的基础之上,在应用层虚拟机中安装有签名认证服务应用,该应用的基础密码服务由云加密卡实现,在虚拟机中直接实现证书解析、证书验证、加密运算、签名验签等基本数据安全操作。
其认证过程、用户体验、运行模式与实体机完全一致。
3.2.2云加密机
在云加密的基础之上,在虚拟机中安装IPsecVPN的内核模块,该模块在虚拟机的内核直接调用云密码卡,实现对IP包数据的封装、加密、签名、验证等等安全操作,遵循国家IPsecVPN密码机的技术标准,实现了隧道安全加密。
第4章方案优势
描述
优势
收益
基于云架构的统一管理平台。
●基于通用硬件设备即可构建系统资源池。
●统一的运维管理平台。
●资源统一调度,可以随时调整资源分配。
●硬件设备标准化采购,无厂家封闭风险,硬件采购成本降低,周期短。
●服务器运维规范统一,运维人员学习成本降低,风险更易于管控,问题处理难度降低,响应效率提升。
●提高资源利用率。
基于标准架构的虚拟云加密功能应用。
●软硬件解耦。
●应用灵活可扩展。
●业务范围可拓展。
●摆脱了硬件的绑架,软件的部署及使用变得更加灵活。
●同时,软件的升级变得更加容易,使得加密功能的能力能够更加快速的提供,以应对不断增长的网络威胁。
●通过统一运维管理平台,可快速部署加密应用,与位置无关,大大的提高了业务部署以及升级维护的效率,同时也降低了业务上线、业务更新的周期,能够更加快速的应对日益增长的网络安全需求。
●基于开放的API,以及标准的虚拟应用开发规范,可快速开发其他功能的业务应用,使得系统的价值能够持续化的提升。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 计算 高速 加密 解决方案