freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

专访数字认证夏鲁宁:密码+云,解锁更多安全服务模式
2022-01-18 19:54:34

2021年,中国网络安全行业迎来了新机遇,以更加蓬勃的力量快速生长,呈现欣欣向荣的趋势。同时,WitAwards 2021中国网络安全行业年度评选活动也诞生了一大批富有影响力的网络安全代表,引领着网安行业快速前行。

WitAwards 2021年度评选入围项目接近200个,竞争激烈是历届WitAwards年度评选之最,观众投票数量突破10万。如今,WitAwards 2021中国网络安全行业年度评活动已落下帷幕,八大奖项已有归属。

其中,“数字认证密码云服务平台”斩获了“WitAwards 2021中国网络安全行业年度热门安全产品与服务奖”。

密码是网络安全的核心技术和基础支撑,是解决网络安全问题最经济、最有效的手段,在数字经济中发挥着不可替代的关键作用。2020年1月1日,《密码法》正式施行。作为国内密码领域首部综合性、基础性法律,《密码法》的颁布实施备受关注,为国内定义密码、规范密码、管理密码提供了明确的法律依据。

随着大数据、人工智能、移动互联网、物联网等新兴信息技术蓬勃发展,密码应用的场景日益多样,传统的密码产品难以适应当下快节奏的市场环境,给用户单位带来困扰。

密码云服务平台应运而生。这是一种新的密码能力交付模式,基于云计算技术与架构,面向用户提供IaaS、PaaS以及SaaS等不同层面的密码服务,很好实现了密码能力按需供给和物理资源有效利用。

换句话说,当传统的密码技术和热门的“云”相遇在一起,密码技术将焕发更强大的活力,给企业带来更多的优势。为了进一步了解密码云服务平台,FreeBuf特邀数字认证研究院院长夏鲁宁进行专访。

夏鲁宁,工学博士,正高级工程师,现任北京数字认证股份有限公司研究院院长,中国科学院大学数据保护研究中心副主任,密码行业标准化技术委员会委员。长期从事密码应用相关科研工作,曾获得密码科技进步二等奖、中国电子学会科技进步二等奖等奖项。

密码是在数字世界实现安全认证和加密保护的技术

密码自其诞生的那天起,对信息进行加密保护,就是其本职工作,加密和破解的斗争几乎贯穿了人类整个文明史。而随着网络和信息社会的发展,网络实体、数据和行为的可信成为良好网络秩序的前提,密码的安全认证能力重要性凸显。

在现实世界中,我们有身份证、档案等证明材料来证明身份真实,也可以用DNA技术进行验证。然而在虚拟世界中,每个人都顶着无数个虚拟身份,最可靠的证明方法就是基于密码技术的身份鉴别。

夏鲁宁表示,这是一种安全有效的方法,在社会各行业都被广泛应用。比如手机连接基站、乘坐公交刷卡、在ATM机办理业务,都有基于密码的身份鉴别机制作用其中。

密码技术在企业同样应用广泛。

数据显示,2019年,全球商用密码市场规模达到了25041.5百万美元,预计2026年将达到86406.3百万美元,年复合增长率(CAGR)为18.79%。

我国商用密码行业市场规模快速增长,2012-2020年的市场规模从88.6亿元增至466亿元,年复合增长率达30%。

随着《密码法》等各类法律、法规的陆续实施,以及密码应用安全性评估制度走向成熟,企业面临着更明确的密码应用合规要求,进一步促进了密码技术在企业的大规模应用。

其中,密码相关政策的推动固然功不可没,但是密码技术本身对于企业的安全保障作用才是根本。

采访中,夏鲁宁分享了一个例子。

十几年前,医疗卫生领域无纸化开始试点。由于医疗活动涉及人身安全,电子诊单的完整性成为重要问题,一旦发生医疗纠纷,必须有法律上认可的证据来证明电子诊单的完整性,即证明电子诊单确为诊疗期间所产生,且未曾被事后篡改。

根据《电子签名法》,电子签名和手写签名具备同等的法律效力,因而采用电子签名解决电子诊单的完整性问题成为内在需求。基于公钥密码的数字签名技术,是当前唯一符合《电子签名法》所定义的“可靠电子签名”所有特征的技术,近年来,越来越多的医疗卫生机构都已经广泛使用了电子签名技术。

这仅仅是密码技术应用的一个案例,类似的企业案例还有很多。在政策和需求的双重驱动下,密码技术在企业中的应用比想象中的更加广泛,在保障信息网络、信息系统以及业务数据的真实性、机密性、完整性、不可否认性等方面有着不可或缺的作用。

在夏鲁宁看来,密码更像是一种基础设施,是信息化发展的安全基因,数字化时代的来临进一步加速了密码技术在企业中的应用,是企业构建网络安全防护体系不可或缺的底层技术支撑。

换言之,几乎每个企业都存在着大量的密码产品、密码服务,它们以碎片化的形式散落在企业的各个角落之中。

密码和云服务碰撞在一起

长久以来,密码因其在化解安全问题时的高效性、便捷性和经济性,以及在处理数据机密性保护、真实性鉴别等方面的独特优势,在网络安全领域中有着极高的地位。

随着互联网和信息化技术的发展,密码技术在企业中的应用日渐增多,繁杂的密码产品、设备为企业带来运维的负担。同时,为各个应用单独配置密码设备造成的密码资源分配不均衡,不仅导致了企业效率下降,也浪费着大量的密码资源,因此一种更加集约化、敏捷化的密码使用方式成为企业的诉求。

云计算的出现让这种诉求成为可能,密码技术和云服务的奇妙相遇让密码技术重新焕发出了全新的活力。密码云服务平台由此诞生,并真正实现了企业密码资源和功能的灵活调配、使用。

“密码资源就像是自来水和煤气一样,当用户某天中午想要做一顿大餐,自来水和煤气可源源不断的供应;当企业业务出现最高峰时,密码资源必须要有足够的支撑,而当业务量趋于平稳时,密码资源可按需使用、付费。”

这也是数字认证打造密码云服务平台的初衷。夏鲁宁表示,“功能可按需选择,性能可按需伸缩”是密码云服务平台的核心优势。它不是一个产品的概念,更像是一个操作台,可为企业提供全栈式的便捷密码服务,无需再为每个应用单独采购密码硬件设备。

毫无疑问,将传统的各种密码服务打包上云,突破了密码设备物理限制,通过IaaS、PaaS、SaaS三层云服务架构,密码云服务平台给企业带来了更加灵活的密码服务模式。

例如在IaaS层,密码云服务平台可为企业提供虚拟的密码资源,从而不再需要单独购买机器,也大大缓解了机房空间的紧张。就如同企业租用云主机一样,企业可以租用一个虚拟的密码机,其效果和物理密码机别无二致。

而在 PaaS层,它更像是一个密码服务中台,所有的密码功能和服务全部集中在这里,企业直接通过远程调用的方式即可获取。

和前两层相比,在SaaS层,密码服务将会和企业业务绑定的更加紧密,其功能和业务耦合性更强。SaaS化的部署方式进一步释放了密码服务的活力,可实现按需使用,动态分配,提升密码资源的利用率。

除了提升效率外,夏鲁宁表示,密码云服务平台还可以有效降低密码资源的浪费。

一方面,传统密码设备的服务能力是以企业业务的预估峰值为标准,但实际情况企业业务并非时刻都保持在峰值,而是一条上下变动的曲线,因此必定会有大量闲置时间。

另一方面,一旦某个应用发生意料之外的尖峰业务负荷,又可能出现密码资源不足,企业就不得不继续向该系统内增加密码资源,供需之间的不平衡极大地增加了企业的负担。

密码云服务平台则可以有效解决这一弊端,依托云的统一管理、集中运维,可以将散落在企业各个角落的密码资源集中在一起,如同负载均衡一样将碎片化的密码资源和时间有机利用起来。这是密码和云服务碰撞在一起带来的奇妙效果,是单个密码产品无法比拟的优势。

而针对很多企业关心的密码安全性问题,夏鲁宁专门对此进行解释,密码云服务平台以物理密码资源为底座,采用云架构和虚拟化技术,虚拟出VPC专用的密码机(vHSM)等,而实际的密码运算和密钥管理始终发生在物理密码设备边界内,每个云租户的密码资源是可靠隔离的,因此其安全性可以得到保证。

披荆斩棘,众人捧薪

时至今日,企业数据上云已不是什么新鲜事,但要把密码能力上云同时还要确保安全合规,是一件颇有挑战性的事情。

回顾数字认证密码云服务平台的研发历程,夏鲁宁也是颇有感慨。彼时全行业虽然存在一些探索,但尚未有全栈密码上云的成熟案例,故而只能摸着石头过河,其中的辛酸和困难不言而喻。

当时面临最大的问题是,如何适配和标准化?

和服务器、系统、架构有标准化认知不同的是,密码设备虽说也有标准,但是各个厂商出于各种需求,几乎总有细节上的不同。

而密码云服务平台研发的初衷就是为了将所有密码设备统一管理,首要考虑的就是如何适配多型密码设备。这个问题不解决,集中、统一管理就是一句空话。为了解决这一问题,数字认证耗费了大量的时间和精力,实现了和主流的密码设备的适配,但还有部分产品尚未做到兼容。

同时,由于每家厂商的设备都有各自的技术特点,使得密码资源按需调配不易实现。再加上不同租户之间的隔离需求,进一步增加了整个密钥管理体系设计的难度。

怎么办呢?面对这些难点,夏鲁宁提出了解决方案:既然缺乏标准,那就从我们开始去探索标准。恰如一群拓荒者版披荆斩棘,勇往直前,开辟前行的道路。于是,他们定义了一种抽象的资源绑定流程,构建了一套得以运行的逻辑。

经过长时间的实践和修订,数字认证渐渐摸索出行之有效的方法,密码上云最终成为了现实。但这仅仅是一个新的起点,夏鲁宁表示,未来信息化技术日新月异,市场需求变化日益剧烈,唯有不断适应、不断优化才能不被淘汰。

因此,他也希望和业界同行一起做好密码云服务。密码产业的发展不可能独木行舟,只有邀众人捧薪,聚行业力量,让整个行业共同发展才是真正有益的。

“密码服务认证”就是夏鲁宁认为的抓手之一。

目前对于密码产品的认证机制已经较为完善,但是以在线服务方式提供密码能力的认证却尚未形成,具体的认证制度依旧还需要探讨。

2020年,夏鲁宁受国家密码管理部门委托对密码服务认证进行研究并给出建议,关于密码服务认证体系的建设已经在酝酿之中。未来,随着密码服务的进一步发展,认证体系终将会提上议程,而完善的认证体系也将促进密码服务更好地发展。

结语

随着新一代信息技术不断加速创新,人工智能等各类新兴技术的融合发展,未来世界数字化的趋势已十分明显。

夏鲁宁表示,目前数字经济已经是我国经济的重要组成部分,随着时间的延长,数字经济所占比重将进一步增加。

而密码技术必将是数字世界中最经济、最广泛的安全认证和加密保护方式。那时,密码技术和云服务必定会进一步交融在一起,孕育出更加奇妙的结果,重构密码技术使用的方式,为企业的发展降本增效,为数字经济的发展添砖加瓦。

本文作者:, 转载请注明来自FreeBuf.COM

# 云安全 # 网络安全 # 密码技术 # 密码云服务平台
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑