安全标识认证

网际空间可信标识认证

        认证技术的作用相当于将现实世界中的“身份证”、“户口本”、“车牌照”、“条形码”等管理手段延伸到网络空间,从而为构建信息化、网络化条件下的和谐社会提供技术基础。构建信息安全主动管理,要由三大系统作为支撑:认证系统、能力系统、执法系统。而认证系统又由可信计算、可信连接、可信应用三个部分组成。

        随着十几年来信息安全技术的不断发展,目前国、外现行的认证技术有三种:一是基于公共密钥基础设施(PKI)技术实现的认证系统;二是基于标识(IBE)算法实现的认证系统;三是自主知识产权的基于组合公钥(IPK)算法实现的认证系统。PKI密钥的特点是分散生成,集中保存。IBE的特点是集中生成,集中保存。IPK的特点是集中生成,分散保存。IPK技术集中生成利于管理密钥、控制密钥;分散保存利于密钥安全,节约资源。

        目前市场上流行的主流认证技术还是PKI技术,由于受到技术条件的限制,其应用规模有十分有限。PKI的基础是证书链和信任链。证书链是证明关系,是可传递的。信任链则不可传递。

        IPK标识公钥技术无需第三方认证、不需要在线数据库支持等关键技术问题。IPK技术使用组合公钥算法,以椭圆曲线算法为基础,利用组合方法,有效地解决了规模的问题。IPK可以用小芯片解决传输问题,实现即插即用。

可信云安全服务体系

        可信云安全服务体系由一系列云安全服务构成,根据其所属层次的不同,可以分为可信云基础设施服务、云安全基础服务以及云安全应用服务3类。

        可信云基础设施服务:为上层云应用提供安全的数据存储、计算等IT 资源服务,是整个云计算体系安全的基石。这里,安全性包含两个层面的含义

        其一是抵挡来自外部黑客的安全攻击的能力。

        其二是证明自己无法破坏用户数据与应用的能力。

        一方面,云平台应分析传统计算平台面临的安全问题,采取全面严密的安全措施。例如,在物理层考虑厂房安全;在存储层考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等;在网络层应当考虑拒绝服务攻击、DNS 安全、网络可达性、数据传输机密性等;在系统层则应涵盖虚拟机安全、补丁管理、系统用户身份管理等安全问题;在数据层包括数据库安全、数据的隐私性与访问控制、数据备份与清洁等;而应用层应考虑程序完整性检验与漏洞管理等。

        另一方面,云平台应向用户证明自己具备某种程度的数据隐私保护能力。例如,存储服务中证明用户数据以密态形式保存,计算服务中证明用户代码运行在受保护的内存中,等等。 由于用户安全需求方面存在着差异,云平台应具备提供不同安全等级的云基础设施服务的能力。

云端整体防护系统