導(dǎo)語

“鯤密”密碼算力平臺與云邊協(xié)同環(huán)境具有更高適配度。而且平臺所擁有的內(nèi)生、分布式、敏捷、高效等卓越特質(zhì),也使得它成為云時代加速數(shù)字化發(fā)展的創(chuàng)新利器。

數(shù)字經(jīng)濟時代,密碼無處不在。從大眾生活中的電子交易、智能電表,到商業(yè)活動中的電子證照、電子合同、納稅繳費等,背后都有密碼技術(shù)的保駕護航。隨著云計算、大數(shù)據(jù)、5G、物聯(lián)網(wǎng)等技術(shù)的快速演進,作為網(wǎng)絡(luò)安全核心技術(shù)和基礎(chǔ)支撐的密碼技術(shù)也隨之變化。

日前,北京數(shù)字認證股份有限公司(簡稱:數(shù)字認證)聯(lián)合華為,依托密碼核心技術(shù)和產(chǎn)品,創(chuàng)新發(fā)布新一代基于機密計算架構(gòu)的“鯤密”密碼算力平臺,即分布式、內(nèi)生的新型密碼算力解決方案。這是數(shù)字認證繼2022年推出密碼云服務(wù)之后的再次創(chuàng)新,可以為邊緣計算、隱私計算、云密碼服務(wù)、數(shù)據(jù)安全、密碼合規(guī)改造等場景提供創(chuàng)新的密碼解決方案。

數(shù)字認證總經(jīng)理林雪焰和華為鯤鵬計算業(yè)務(wù)副總裁邱磊聯(lián)合發(fā)布“鯤密”平臺

云上新安全需要新密碼

隨著國際競爭格局變化和攻防武器的國家化升級,傳統(tǒng)以VPN、防火墻、IDS、反病毒等為代表的“攻防為中心”的網(wǎng)絡(luò)安全策略發(fā)生了巨大變化。網(wǎng)絡(luò)安全開始向“以數(shù)據(jù)為中心”轉(zhuǎn)變,包括對核心數(shù)據(jù)進行加密保護、安全認證、數(shù)據(jù)脫敏、隱私計算等,密碼作為數(shù)據(jù)安全的核心技術(shù),其支撐作用更加凸顯。尤其是隨著新基建的推進,以及企業(yè)數(shù)字化轉(zhuǎn)型進程加快,我國云計算進入惠普發(fā)展期,邊緣計算需求激增,數(shù)據(jù)處理向邊端擴散,云、邊、端一體化趨勢驅(qū)動著算力架構(gòu)的持續(xù)演進,云計算開始從中心化架構(gòu)向分布式架構(gòu)擴展。中國信通院聯(lián)合發(fā)布的《云邊端一體化發(fā)展報告(2022)》的內(nèi)容顯示:云邊協(xié)同的分布式云正成為未來云計算的演進形態(tài)。2022年我國計劃使用邊緣計算的企業(yè)占比達到44.23%。Gartner同時預(yù)測,2025年超過75%的數(shù)據(jù)將在邊緣側(cè)處理。

隨著云邊協(xié)同計算的興起,傳統(tǒng)外掛式的密碼設(shè)備(key、IC卡或加密機)在資源利用、設(shè)備管理、可擴展性等方面面臨挑戰(zhàn),難以適應(yīng)對分布式密碼算力的需求。分布式云計算架構(gòu)的發(fā)展對密碼供給提出更高要求:如密碼算力需要功能、性能上的彈性支撐;需要業(yè)務(wù)伴生的密碼算力彌合安全縫隙;以及可根據(jù)業(yè)務(wù)要求敏捷地實現(xiàn)密碼策略等的合規(guī)管控。

解讀“鯤密”四大特性

為了賦能云業(yè)務(wù)發(fā)展,數(shù)字認證聯(lián)合華為創(chuàng)新發(fā)布新一代密碼算力解決方案:分布式、內(nèi)生的“鯤密”密碼算力平臺,該平臺基于國產(chǎn)信創(chuàng)CPU(鯤鵬芯片)構(gòu)建的可信執(zhí)行環(huán)境(TEE),在可信執(zhí)行環(huán)境中提供可軟件定義的密碼算力,相關(guān)軟件密碼模塊產(chǎn)品已經(jīng)獲得商密產(chǎn)品認證證書(二級),也就是說,能提供一個具有安全計算環(huán)境的密碼算力。

數(shù)字認證總經(jīng)理林雪焰現(xiàn)場解讀“鯤密”平臺

“鯤密”密碼算力平臺發(fā)展了集中式的云密碼算力供給模式,與云邊協(xié)同環(huán)境具有更高適配度。而且平臺所擁有的內(nèi)生、分布式、敏捷、高效等卓越特質(zhì),也使得它成為云時代加速數(shù)字化發(fā)展的創(chuàng)新利器。

1內(nèi)生

內(nèi)生,即“鯤密”的密碼算力內(nèi)生于芯片可信執(zhí)行環(huán)境中,密鑰管理、密碼運算全部在承載業(yè)務(wù)應(yīng)用的同一個服務(wù)器上完成。基于可信執(zhí)行環(huán)境的安全隔離,可達到與外掛的硬件密碼機相當?shù)陌踩珡姸取４送?“軟件定義”的特點使得“鯤密”平臺能靈活地擴展各類SDK和API接口,匹配多元化的密碼應(yīng)用需求,提供柔性的密碼供給能力,也可將密碼算力穿透到虛擬化計算環(huán)境中,讓虛擬機也能夠擁有合規(guī)的密碼算力。

2分布式

分布式,即“鯤密”平臺的密鑰管理、密碼應(yīng)用策略管理可以集中在云上,而密碼算力分散部署在業(yè)務(wù)應(yīng)用所在的邊緣側(cè)。采用“用、管”分離方式,可以支撐大規(guī)模分布式的密碼計算,確保密碼策略集中管控,算力隨需優(yōu)化調(diào)度;同時,密碼計算更貼近業(yè)務(wù)應(yīng)用,使數(shù)據(jù)不用長距離跑腿。一方面減少了通信開銷,另一方面也減輕了遠程安全通信所帶來的額外安全成本。

鯤密平臺非常適用于大型信息基礎(chǔ)設(shè)施,如果其中50%至80%的服務(wù)器同步部署內(nèi)生密碼模塊,就可以形成策略統(tǒng)一、算力分散的分布式密碼算力平臺,無須外掛幾百臺密碼設(shè)備。

3敏捷

敏捷,即“鯤密”平臺具有“軟件定義密碼”的特點,可以實現(xiàn)密碼能力敏捷、靈活地隨需演進。也就是說,密碼能力可以靈活匹配業(yè)務(wù)需求,靈活適配各種復(fù)雜計算環(huán)境,實現(xiàn)產(chǎn)品的敏捷部署;還可以便捷升級,使得新的密碼算法、協(xié)議得到快速的部署。

因為“鯤密”密碼算力是以軟件形式出現(xiàn)在可信執(zhí)行環(huán)境,在統(tǒng)一的密碼策略管控之下,它可以實現(xiàn)敏捷密鑰生命周期管理,包括密鑰的按需下發(fā)、更新和銷毀;可以通過軟件升級快速實現(xiàn)任何計算邏輯,如按需的快速部署電子簽章、多方安全計算協(xié)議、同態(tài)密碼算法等。而傳統(tǒng)的外掛式密碼設(shè)備,做到這種統(tǒng)一的管理和變更非常困難。

4高效

高效,即“鯤密”平臺具有高性能密碼算力。在實際測試中,在48核鯤鵬920CPU上,使用12個核,SM2簽名效率即可達到23萬TPS,不亞于現(xiàn)有的高端密碼機。該平臺還能做到合規(guī)密碼應(yīng)用的快速交付,憑借云端協(xié)同計算體系中既有的內(nèi)生密碼算力,建立在這之上的業(yè)務(wù)應(yīng)用只需正確使用密碼功能,在大多數(shù)情況下即可符合密碼應(yīng)用合規(guī)要求。

“鯤密”賦能創(chuàng)新應(yīng)用場景

數(shù)字認證的“鯤密”密碼算力解決方案可以有效應(yīng)用在邊緣計算、隱私計算、云密碼服務(wù)、數(shù)據(jù)安全、密碼合規(guī)改造等場景,尤其是在金融領(lǐng)域的密碼應(yīng)用中具有豐富的創(chuàng)新空間。以銀行等金融機構(gòu)經(jīng)常面臨的一個場景SSL流量卸載為例。SSL流量卸載,就是把SSL傳輸?shù)拿芪臄?shù)據(jù)卸載下來變成明文數(shù)據(jù),傳統(tǒng)SSL流量卸載經(jīng)常需要首先將流量通過鏈路負載均衡分配到多個SSL網(wǎng)關(guān),卸載后的數(shù)據(jù)再通過Web負載均衡分配到多個Web服務(wù)器。而采用 “鯤密”密碼算力平臺,可以將SSL卸載、Web負載均衡集中部署在同一個設(shè)備上,實現(xiàn)軟件化SSL卸載,大大提高SSL卸載的效率,降低路徑消耗。另外一個比較典型的場景就是云原生環(huán)境的密碼算力供給。采用容器化、虛擬化的云計算架構(gòu)時,當SaaS層應(yīng)用需要密碼算力,往往需要專門的安全通道連到外掛式密碼設(shè)備或密碼云服務(wù)。而采用新型“鯤密”密碼算力架構(gòu),可以實現(xiàn)云平臺的密碼算力直接穿透到虛擬機或容器,真正做到云原生的合規(guī)密碼算力供給,高效滿足政務(wù)云、私有云、混合云等多種云環(huán)境下的密碼應(yīng)用需求。此外,在密態(tài)數(shù)據(jù)庫、隱私計算等場景下,“鯤密”平臺也大有可為。可以預(yù)見,隨著新的信息技術(shù)架構(gòu)的快速迭代,新型“鯤密”密碼算力解決方案未來在政務(wù)、衛(wèi)生、金融、能源、企業(yè)、教育等領(lǐng)域會獲得廣泛的應(yīng)用。數(shù)字認證作為以密碼技術(shù)為創(chuàng)新驅(qū)動的網(wǎng)絡(luò)安全服務(wù)商,也將迎來巨大的發(fā)展機遇和前景。

 

關(guān)鍵詞：