北京市商用密码协会2019年9月发布《云密码服务技术白皮书(2019)》,在文中介绍了云密码相关技术和最新发展情况。关于云密码服务安全访问技术,文中给出了在云环境下使用软密码模块的方案。文中附录给出了多个应用系统的改造方案。
定义
云密码是云计算密码的简称。在现有环境下,云密码是以云计算技术架构的要求,提供密码服务的应用。广义条件下,独立统一的密码服务也可以被称作云密码。
标准现状
国密和国标,并没有发布相关标准。
- 云服务器密码机技术规范(送审稿)
- 云服务器密码机管理接口规范(送审稿)
- 云计算密码应用技术体系框架研究
- 云计算密码应用指南(征求意见稿)
- 云密码资源池技术标准研究
- 云身份鉴别服务密码标准体系研究
- 基于云计算的电子签名服务密码标准体系研究
- 基于云的电子签名服务技术要求(送审稿)
云密码的分类
云密码资源服务、云密码功能服务、云密码业务服务。最下层对应实体的密码设备,可抽象成密码基础设施层。
密码业务服务层,依靠云密码资源服务、云密码功能服务支撑
部署方式
- 部署在云计算服务提供商的环境中
- 部署在云密码服务提供商的环境中
- 混合方式部署。通常情况下,需要定制组件完成特定功能。
访问方式
- 协议方式。云密码通过暴露API方式开放能力。
- 接口库方式。SDK方式,将接口能力封装。
- 代理方式。通过代理服务,hook数据通信和身份认证。 在使用代理方式集成时,代理通常是一个单独的密码产品。
协议运行之前,使用者需要通过密码访问提供商提供的机制进行注册,以获得访问的凭据,然后在协议中,使用此凭据访问,在协议请求报文中要求包含客户端身份认证、数据完整性保护等机制。服务收到请求后,会进行一系列身份认证、访问控制、状态判断等等,判断无误后向客户端返回密码功能处理结果或执行所请求的操作。
云密码服务安全访问技术
1.链路安全,建议使用国密ssl。
2.通信实体的身份认证。密码运算和密钥安全,物理终端使用硬件密码模块,如pc上使用USBKEY,在服务器上使用密码卡。但在云中的服务器或一些手机终端上无法增加硬件密码模块,不得不使用软件密码模块。