面向数据中心安全的密码保障体系研究

内容目录：

1 数据中心安全需求

2 数据安全保障基础技术

2.1 数据加密

2.2 电子认证

2.3 信任服务体系

2.4 数据安全共享体系

3 数据中心密码保障

3.1 数据中心密码保障体系

3.2 数据中心密码保障系统

3.3 基于密码的数据安全保障流程

4 结 语

在 IT 技术迅猛发展的背景下，云数据中心正在逐步替代传统数据服务，为信息系统提供基础数据支撑。当前数据中心建设面临诸多安全问题，在一定程度上制约了数据中心的发展和运用，降低了其应用价值。具体而言，数据中心在安全方面主要面临着以下几类问题：首先，数据中心的建设大多采用云和虚拟化技术，据此构建的虚拟网络安全域隔离和安全防护比物理网络更难。虚拟网络的出现导致网络边界具有模糊化的特点，其隔离和防护需要更加精细化，且对可靠性的要求也更高。因此，虚拟网络的安全防护成为数据中心需要解决的首要问题。其次，针对虚拟网络中的用户和应用系统管理问题，数据中心采用集中方式为其提供数据服务，但其面向的用户群体不再属于某一组织或单位，因此无法为其预先分配账号和管理权限，需要根据其使用场景进行动态管理和按需配置；此外，用户数量和承载的应用业务系统也更多，其管理复杂度和难度呈指数级增加。最后，数据中心提供数据服务的方式为自动化按需提供，数据自身的安全管控显得尤为重要。数据提供者和数据使用者之间在数据中心实现数据交换，这个过程的安全管理和控制完全依赖数据中心，数据中心需要确保数据在发布、存储、共享和使用过程中的安全性。

面对数据中心网络虚拟化导致的网络和系统边界呈现出的动态化特征，需要研究针对虚拟化场景的安全系统，以抵御网络中的各种安全威胁。面对数据中心处理海量数据和各类应用、用户时复杂的管理过程，需要研究不同类型数据的差异化安全管理需求，并建立模型进行体系化设计，解决数据中心实现数据资源集中管理带来的困难 。针对数据安全层面的研究目前已有很多，但面向数据中心安全需求的体系化保障策略和思路目前仍相对匮乏。数据中心面临的安全问题不仅仅局限于数据管理层面，还包括网络通信、边界控制、数据交换、数据存储等各方面的安全威胁。因此，有必要基于系统化思维，体系化设计和规划数据中心的安全保障策略，以满足数据中心的安全需求。

本文针对数据中心的安全保障体系建设需求，基于密码技术提出其保障体系、保障框架，设计数据安全密码保障流程，为数据中心实现网络保护、边界控制、数据交换管控和数据存储保护等提供技术体系和解决思路。

数据中心主要通过数据资源共享机制为各用户提供数据资源服务，数据资源在共享利用的各阶段，数据安全防护的需求各有不同。数据共享过程可以分为数据准备、数据交换和数据使用 3 个阶段。依据数据资源特征，其各阶段安全需求如图 1 所示。

图 1　数据共享安全需求

数据准备阶段，应按照数据特点进行分类分级，并实现按需保护；对分类分级的数据增加其安全标记，实现数据资源的标签化管理；按照自身对数据的控制需求，明确数据权限，通过数据模型实现权限策略化管理；基于数据资源目录机制，发布数据资源信息，通过标签、策略及相关安全控制机制，实现数据资源信息的按需索引、按策略管控。数据准备阶段需要解决安全存储问题，采用数据加密存储、密文计算等手段确保数据存储和使用的安全性。

数据交换阶段，应针对数据提供方和数据使用方，按策略实现数据资源的交换与管控；针对具有安全管控要求的数据资源，应通过安全代理的方式进行交换与控制，并在交换过程中实现标签和策略确认及验证，对数据资源使用方的交换行为进行记录；在交换过程中，数据资源信息应实现全程监管和控制，包括其交换路径、交换方式等。数据的交换行为、策略验证、安全审计等应基于密码技术和数字签名机制，确保策略信息完整，操作行为不可否认。

数据使用阶段，数据资源使用方应对数据的使用策略和承担的责任进行确认，明确数据资源相关安全要求；需要再次共享的数据可以再次授权，以变更数据资源的安全策略。数据使用过程中，对数据相关共享路径进行溯源，确保责权明晰；在数据利用过程中，严格按照权限策略进行细粒度访问控制。共享使用阶段，基于数字签名、杂凑等密码技术实现访问控制和责任认定，以保障数据共享使用阶段的数据安全可控。

针对数据服务需求，数据中心应围绕数据资源构建涵盖准备阶段、交换阶段和使用阶段完整的数据共享服务机制，并通过云和虚拟化技术实现数据交换平台；数据交换平台作为数据中心承载数据的核心和关键单元，其安全方案和采用的安全技术尤为重要。因此，数据中心应在云和虚拟网络系统中，建立基于密码技术的安全保障体系，实现数据中心的整体安全保障能力。以密码技术为核心的数据中心安全保障能力主要由数据加密、电子认证、信任服务和共享交换控制等基础技术实现。

2.1　数据加密

密码技术是确保数据机密性、完整性和操作抗抵赖等要求的核心技术。数据中心在通信、存储和交换等过程中，其数据保护均需要依赖数据加密技术。

数据加密使用的密码分为对称密码、非对称密码和消息杂凑等类型。对称密码主要用于数据的机密性保护，包括加密和解密操作，确保数据不被非法窃取和识别。非对称密码主要用于数据完整性保护和密钥保护，包括数字签名、签名验证和数字信封等。消息杂凑算法可利用任意长度的文件或数据计算得到具有固定长度的散列值，以便于保证文件的完整性。密态计算可对密文数据进行指定操作，其操作结果与对应密文解密后的明文数据执行相同操作时得到的结果相同。密态计算可确保数据在不解密的前提下被合法有效地使用，有效防止非授权用户对数据进行窃取和利用，弥补了加密数据在云数据中心难以被利用的不足。密态计算包括同态加密、多方安全计算等，在数据的隐私保护和密文查询、密文搜索等应用场景中具有较好的应用前景 。通过综合采用数据加密和密文计算等数据保护手段，可有效确保各类数据在共享交换过程中的安全性。

数据加密是实现数据中心安全保障体系的关键，通过网络层加密、应用层加密、存储加密保护和访问控制等技术，对数据实现多层次、多维度安全保障。数据加密应采用国密算法，确保算法本身安全可靠。

2.2　电子认证

电子认证为网络或数据中心场景下实体身份鉴别、访问控制和数字签名等提供基础技术。一般情况下，参与数据共享的各方可以称之为网络实体。网络实体需要系统生成公私钥对KeyPair(pk,sk)，其中，pk 为公开密钥，可用于申请数字证书；sk 为私有密钥，可用于数字签名和完整性保护等密码运算。电子认证通过数字证书系统实现，其工作原理如图 2 所示。

图 2　数字证书系统工作原理

数字证书系统包括以下步骤：

（1）证书申请。证书申请者将申请提交到电子认证办理机构，申请信息包括申请者身份信息、证书用途和证书期限等。

（2）信息录入。电子认证办理机构对申请者的信息进行受理，录入后建立申请者信息表并预告进展情况。

（3）信息确认。电子认证办理机构对申请者提交的申请信息进行确认，对材料信息的准确性和是否满足证书申请相关要求进行核实。

（4）申请审核。电子认证办理人员将申请信息录入到证书注册系统，证书注册系统进行注册审核，审核申请和录入信息的一致性、准确性和符合性。

（5）证书签发申请。证书注册系统将审核通过的注册信息提交给证书签发系统，申请签发证书。

（6）证书密钥申请。证书签发系统依据提交的证书申请，向密钥管理系统申请证书密钥，并按照证书密钥策略对密钥提供托管。

（7）证书在线发布。证书密钥申请得到的密钥一般包括签名密钥对和加密密钥对两个密钥对；但通常情况下也可以只有加密密钥对。只有一个密钥对时，签名密钥一般由申请者自己产生，确保密钥的唯一性和私有性。得到密钥对后，依据证书签发策略和申请者信息签发并发布数字证书。数字证书发布到证书目录服务后，可通过轻量型目录访问协议（Lightweight Directory Access Protocol，LDAP）和在线证书状态协议（Online Certificate Status Protocol，OCSP）提供证书在线下载、在线证书状态查询等相关服务。

（8）证书签发响应。证书发布成功后，证书签发系统对证书签发申请进行响应，将签发的证书和密钥封装后返回给证书注册系统。

（9）证书下载制证。证书注册系统的办理人员将签发的证书和密钥下载后写入 USB Key等介质中，完成证书介质制作，并将制作好的证书在电子认证机构进行登记，明确发放记录。

（10）证书领取。证书申请者领取证书，得到承载了证书、密钥的载体。

（11）证书应用。证书申请者在数据资源共享业务中，使用数字证书实现实体身份鉴别、数据完整性保护、数据机密性保护、行为抗抵赖等功能。

数字证书将数据提供方、数据使用方身份基于密码技术实现绑定并统一管理，为数据中心提供数据服务时，利用数字证书和密码技术实现数据机密性和完整性保护、身份鉴别、访问控制、安全审计等安全保障功能。基于数字证书可以有效解决数据中心用户身份管理难的问题，实现安全可靠的用户认证和权限控制。数字证书签发应采用国密算法，确保算法本身安全可靠。

2.3　信任服务体系

信任服务体系利用数字证书为云和数据中心的个人、组织单位、设备和应用系统等提供基础安全支撑功能，实现网络实体身份真实可信、操作行为可信、流程可信和行为责任可审计等，确保云和数据中心在数据共享和交换过程中的安全性。

信任服务体系将基础的密码运算和数字证书转化为用户管理、身份鉴别、访问控制、安全审计、责任分析、数据机密性和完整性保护等功能与服务，通过接口的形式供云和数据中心以及其承载的信息系统调用，实现所需的安全保障功能。信任服务体系的功能架构如图 3 所示。

图 3 　信任服务体系的功能架构

信任服务体系可为应用系统提供安全高效的中间平台。数字证书系统为信任服务体系提供基础安全功能，包括电子认证服务和签发数字证书，支撑信任服务体系构建包含管理层、功能层、服务层和接口层等安全功能体系。管理层实现用户身份和应用资源统一管理；功能层基于管理层相关信息资源实现授权、认证、审计和监管等功能；服务层面向云、数据中心和业务应用系统提供各类安全支撑服务，包括实体身份认证、实体权限鉴别、跨域可信身份验证、时间戳、电子签章等；接口层通过统一的安全应用中间件对外提供调用接口，便于安全功能集成和应用。

2.4　数据安全共享体系

数据安全共享体系为数据共享提供安全保障机制。安全共享体系基于数据信息目录、共享数据模型、数据安全共享交换平台实现数据安全共享和受控交换；通过对接隔离交换系统，还可实现数据跨网、跨域的安全交换。数据安全共享交换体系结构如图 4 所示。

图 4　数据安全共享体系结构

数据共享安全体系基于数据提供方管控、数据共享平台、数据使用方管控 3 个维度，利用数据加密、数字签名、信任服务等安全基础技术和数据管控机制，实现数据抓取和存储、传输和交换、获取和使用等过程的安全控制，其核心内容包括数据共享建模、数据安全标签、数据共享平台等部分。

（1）数据共享建模。将数据共享和数据交换解耦，基于数据模型形成规范化、语义化的数据共享机制，规范建模后的数据可通过数据资源目录体系实现统一发布。数据提供方可提供标准化、规范化的数据，使用方可以通过订阅等机制满足自身的数据需求。

（2）数据安全标签。根据建模后的规范数据的属性进行安全标记，将不同类型、不同等级的数据按照安全管理所需流程进行控制，并设置安全管控策略。在数据资源提取、发布、交换、使用、存储、销毁等过程中，可基于数据安全标签和安全管控策略，保障数据的安全性。

（3）数据共享平台。实现数据在提供方与使用方之间的安全共享。数据应该在安全受控、规范统一的系统架构下进行共享和使用，以保障数据提供者合规发布、数据使用者合法使用。共享平台通过制定规则、提供安全机制，并依据安全管控策略和安全标签对数据共享过程实施监管，对数据跨层级、跨系统、跨领域交换提供隔离交换等措施。

基于数据共享体系，对库表、文件、应用服务等形式的数据先进行元数据分析和数据抓取，将需要共享的数据集中存储，并进行规范建模；完成建模后的数据按照分级分类要求，进行集中存储和统一管控，以便于开展数据共享服务。数据中心通过建立数据安全共享交换平台，为数据使用者提供统一的查询和检索入口，对所有数据执行安全操作，基于数据集中存储、按需授权、安全认证和加密保护等机制建立安全共享体系，达到数据安全共享交换的目的。

3.1　数据中心密码保障体系

针对数据中心的安全保障需求及数据在各阶段所面临的安全需求，利用密码技术在保障通信和数据安全方面所起到的作用，结合数据加密、电子认证、信任服务、数据共享安全体系等基础技术体系，建立包含数据发布、数据存储、数据使用全过程数据安全保护的密码保障机制，为数据中心建立全面安全保障体系提供有力支撑。基于密码技术建立的数据中心密码保障体系如图 5 所示。

图 5　数据中心密码保障体系

数据中心密码保障体系包含标准体系、技术体系、服务体系 3 个方面。

标准体系支撑技术体系、服务体系运行，是提供服务能力的基础，标准体系包括技术标准、建设指南、服务规范、运维标准、管理标准等内容。

技术体系为数据中心在物理安全、网络安全、边界防护、存储安全、应用安全等不同层次提供安全保障。物理安全为承载数据的物理设施提供安全基础。网络安全涵盖基础通信网络、链路安全保障、网络加密防护等措施，密码技术能够为数据在传输、交换过程中的稳定性、可靠性、安全性、保密性提供有效保障。边界防护主要为数据中心提供安全管控措施，提供防火墙、安全认证、访问控制等功能，使服务网络边界安全受控。存储安全为数据存储提供安全保障机制，为存储数据逻辑处理、查询和搜索等提供有效的安全保障，是数据中心安全的核心。数据存储安全分别为数据中心提供存储保护逻辑、数据服务保护机制和数据备份保护手段。应用安全主要为数据有效应用提供安全保障措施，其分为身份认证、传输保护、权限鉴别等方面。其中，身份认证提供数据获取和应用过程中的可信身份管理、身份鉴别、单点登录、可信身份跨域同步等，确保合法用户或网络实体获取和使用数据；传输保护是采用信源保护措施，以保障数据在获取、使用过程中的机密性、完整性、可用性和操作行为抗抵赖等得到有效保护；权限鉴别能够为数据合法使用提供安全保障，通过对数据归属权、使用权、服务权、交易权等进行统一管控，明确数据的运用情况及去向，保障数据在全生命周期中的可管可查状态。

服务体系包括资质要求、运维服务、运行监管及法规制度等，确保数据中心健康运行，为数据服务和数据有效运用提供基础保障。

3.2　数据中心密码保障系统

结合数据中心安全保障体系，典型数据中心密码保障系统包括密码基础设施、密码服务、密 码 应 用、IP 安 全 虚 拟 专 网（Internet Protocol Security Virtual Private Network，IPSEC VPN）、密码组件等，保障系统架构如图 6 所示。

图 6　数据中心密码保障系统架构

（1）密码基础设施。密码基础设施利用密码服务器提供密码运算，通过密码服务池、密码管理基础设施、证书管理基础系统、标识管理基础设施等为数据中心提供密码管理、密钥管理、证书管理、数据标识管理等基础服务。

（2）密码服务。密码服务是在密码基础设施功能的基础上通过密码服务池、策略管理中心、信任管理中心等，为数据中心承载的应用和用户提供配置管理、身份管理、权限管理、安全审计等服务。

（3）密码应用。密码应用建立在密码基础设施和密码服务基础上，包括应用密码服务和信任服务，通过对外接口为数据中心提供数据加密解密、数字签名验证、身份认证、权限鉴别等密码服务。

（4）IPSEC VPN。IPSEC VPN 具 备 网 络 通信加密功能，为数据中心的重要数据网络传输通信提供加密服务，确保数据传输网络的通信安全。

（5）密码组件。密码组件可以部署在由访问数据中心提供的数据服务计算机或移动网络终端上，为其提供身份认证、数据加密解密、数字签名验证、网络层加密、安全审计等服务。

数据中心可以依据管理要求分为重要数据、一般数据和公开数据等不同的区域，分别提供数据共享服务。不同数据服务区之间为面向外部的固定或移动终端提供数据共享服务时，可依赖密码技术实现网络通信保护、边界防护、应用数据加密等安全保障功能。

3.3　基于密码的数据安全保障流程

数据中心在实现数据准备、数据共享和数据使用的过程中，其与密码保障功能各部分之间的基本流程如图 7 所示。

图 7　数据安全密码保障流程

（1）数据准备。数据产生后，数据中心利用基础设施提供的数据标识管理系统对数据进行统一标识，通过分类分级管理机制，对数据实施存储保护，并安全存储。安全存储依赖基础设施提供密码密钥管理，通过应用密码服务对数据实施应用加密保护，信任服务通过安全审计功能对数据准备操作过程进行责任审计。

（2）数据共享。数据共享包括服务请求和服务响应阶段。数据服务请求者先在密码基础设施中申请数字证书和密钥，信任服务管理中心基于请求者数字证书和数据标识为其分配相关权限和安全策略。数据服务响应时，数据中心依赖数字证书、信任权限策略对请求者身份和权限进行鉴别和验证，依据数据安全管控策略对共享数据实施安全保护后，将数据共享给身份可信且拥有权限的用户。数据在共享交换和通信过程中，依赖安全策略对重要数据实施传输加密保护和通信过程保护，确保数据资源安全受控。数据共享过程中，信任服务通过安全审计功能对数据共享过程进行责任审计。

（3）数据使用。通过数据中心进行数据查询、统计、分析等，获取相关结果。数据使用者先通过基础设施申请数字证书和密钥，由信任服务管理中心为其分配相关权限和安全策略。数据中心依据其身份和权限策略开放数据访问和使用权限，并提供相关计算结果。当用户需要下载或输出计算结果时，数据中心需要基于安全策略对数据实施加密或签名等保护措施，按需实施网络层加密保护，确保数据可信和网络通信的安全。数据使用结束，信任服务的安全审计功能对数据使用过程进行责任审计。

数据化发展在给人们带来极大便利的同时，信息、数据安全问题的发生也严重影响着国家和个人利益。在我国大力推进电子政务和企业数字化转型后，实体经济和数字经济的联系将越来越紧密。由此而带来的数据安全、企业及个人隐私数据保护问题将显得尤为重要。从狭隘的范围看，数据安全涉及个人、企业、单位的利益；从宏观的层面看，数据安全关系国计民生、国防军事、科技工业等国家利益。为此，大力发展数据中心，构建完善的基于密码的数据安全保障体系，将是一项长期的任务。

面向数据服务的密码技术和密码保障体系研究，还有很多亟待解决的技术难题。随着云计算、数据中心时代的推进，传统密码技术在满足高效、安全、可靠的数据服务需求时，面临很多挑战；如何将密码技术与数据安全保护需求进一步融合，提出更加简洁高效的数据中心密码保障方案是进一步研究的重点。