@CI
2年前 提问
1个回答

密码资源池使用的关键技术有哪些

在下炳尚
2年前

密码资源池在实现过程中的关键技术主要包括如下几点:

  • 单节点高速密码实现

    通过对称密码算法、非对称密码算法、密码杂凑算法的高性能实现研究,优化大整数运算、多项式计算等算法,设计多核协同并行、多级流水线、脉动阵列等硬件模块,形成高性能密码运算IP核,通过对运算调度的进一步的优化和调整,进而在单台密码设备中获得极高的密码运算性能,以高性能的单节点密码运算为基础构建的密码资源池通过横向扩展,集群扩充可以对外输出更为客观的密码运算,从而为数据中心、云计算等海量业务场景提供更为可靠的密码支撑保障。

  • 硬件虚拟化

    硬件虚拟化是实现密码资源池的关键核心技术,通过虚拟化技术可实现密码设备资源的虚拟化和虚拟节点池化管理。芯片、密码卡作为众多密码设备的核心基础密码部件,支持硬件虚拟化能力可以自下而上提供云中全链路的硬件级密钥保护,基于硬件隔离的密钥保护可以有效服务于桌面虚拟化,服务器虚拟化等应用场景,保证各个虚拟业务单元独享安全密码服务,以SR-IOV硬件虚拟化技术为代表的虚拟化技术实现能够提供最高安全等级的虚拟化密钥保护。

  • 安全密钥管理

    根据业务复杂多样,不同的安全需求,密码资源池需要提供多种不同安全等级的密钥安全保护机制。密钥管理采用三级密钥安全模型,密钥的安全性由密码卡提供硬件保护,通过配合内置的密钥管理服务,共同提供密码资源池中各应用系统的密钥管理,在统一的安全认证授权策略的情况下,密钥的迁移、备份、恢复等都可以得到有效的安全保证,同时提供多种密钥备份恢复机制,可有效应对各种迁移、灾备等复杂的密钥应用场景。

  • 资源池化弹性调度

    对密码资源池中的资源进行池化管理,池化后的资源可以弹性伸缩、按需分配,独立部署为密码计算单元(应用系统虚拟服务器)、密码计算单元集群(应用系统虚拟服务器集群)。密码计算实体由密码资源池管理平台对其进行申请、审批、创建、分配、监控、回收等全生命周期的管理,通过“人工+智能”的自动化弹性策略,有效设定资源使用阈值,灵活预警、自动扩充,可实现计算单元实体的自动漂移,横向扩展的自动化调度控制,充分保证密码资源对业务资源的支撑能力。

  • 密码服务高可用性

    密码资源池中各特定的密钥产品通过虚拟化节点对外提供服务,在虚拟化层形成计算资源池和密码资源池,为业务系统的虚拟机提供不同的服务质量和能力,包括高可用(High Availability)、容错(Fault Tolerant)、在线迁移(Live Migration/vMotion)、资源动态负载均衡(Distributed Resource Scheduler)等特性。

  • 远程管理

    密码资源池的运维管理可根据实际需要与服务商分配运维责任,并且用户对密钥的运维管理只能远程进行。通常情况下,密码硬件基础设施和基础网络的运维管理由云密码服务商或云计算服务提供商提供,用户更关注密钥管理、安全策略配置及安全审计等方面的运维管理,密码资源池的远程管理需使用PKI或其他身份认证技术、SSL/TLS安全通信技术等保证远程管理的安全性。

  • 访问控制

    密码资源池不同于传统的密码设备单一、可控的安全部署模式,其灵活性、远程性、迁移性都会带来更高的风险。访问控制作为密码资源池提供的密码服务中接入服务的关键一环,应结合多种认证模式基于角色、服务、身份对云密码服务进行访问授权控制,对于不同的业务服务模式,采取最合适的访问控制机制,同时,借助多种安全访问控制机制,为云中密码服务的全链审计提供有效的技术支撑。

  • 自定义密码服务应用

    密码资源池通过提炼抽象的标准密码服务模板,模板中提供安全的密码服务支撑能力,同时,还提供了密码资源池配套的池化管理能力,如网络配置、VLAN配置、日志管理、密钥管理、认证授权、集群管理、负载均衡等,用户可将自己的核心服务定义为标准密码应用模板,可轻松地将应用及其所有依赖项封装定制模板中,团队可以更加轻松地开发和管理应用,进而创造业务价值。