日前,北京数字认证股份有限公司(简称:数字认证)联合华为,依托密码核心技术和产品,创新发布新一代基于机密计算架构的“鲲密”密码算力平台,即分布式、内生的新型密码算力解决方案。这是数字认证继2022年推出密码云服务之后的再次创新,可以为边缘计算、隐私计算、云密码服务、数据安全、密码合规改造等场景提供创新的密码解决方案。
数字认证总经理林雪焰和华为鲲鹏计算业务副总裁邱磊联合发布“鲲密”平台
云上新安全需要新密码
随着国际竞争格局变化和攻防武器的国家化升级,传统以VPN、防火墙、IDS、反病毒等为代表的“攻防为中心”的网络安全策略发生了巨大变化。网络安全开始向“以数据为中心”转变,包括对核心数据进行加密保护、安全认证、数据脱敏、隐私计算等,密码作为数据安全的核心技术,其支撑作用更加凸显。
尤其是随着新基建的推进,以及企业数字化转型进程加快,我国云计算进入惠普发展期,边缘计算需求激增,数据处理向边端扩散,云、边、端一体化趋势驱动着算力架构的持续演进,云计算开始从中心化架构向分布式架构扩展。中国信通院联合发布的《云边端一体化发展报告(2022)》的内容显示:云边协同的分布式云正成为未来云计算的演进形态。2022年我国计划使用边缘计算的企业占比达到44.23%。Gartner同时预测,2025年超过75%的数据将在边缘侧处理。
随着云边协同计算的兴起,传统外挂式的密码设备(key、IC卡或加密机)在资源利用、设备管理、可扩展性等方面面临挑战,难以适应对分布式密码算力的需求。分布式云计算架构的发展对密码供给提出更高要求:如密码算力需要功能、性能上的弹性支撑;需要业务伴生的密码算力弥合安全缝隙;以及可根据业务要求敏捷地实现密码策略等的合规管控。
解读“鲲密”四大特性
为了赋能云业务发展,数字认证联合华为创新发布新一代密码算力解决方案:分布式、内生的“鲲密”密码算力平台,该平台基于国产信创CPU(鲲鹏芯片)构建的可信执行环境(TEE),在可信执行环境中提供可软件定义的密码算力,相关软件密码模块产品已经获得商密产品认证证书(二级),也就是说,能提供一个具有安全计算环境的密码算力。
数字认证总经理林雪焰现场解读“鲲密”平台
“鲲密”密码算力平台发展了集中式的云密码算力供给模式,与云边协同环境具有更高适配度。而且,平台所拥有的内生、分布式、敏捷、高效等卓越特质,也使得它成为云时代加速数字化发展的创新利器。
内生,即“鲲密”的密码算力内生于芯片可信执行环境中,密钥管理、密码运算全部在承载业务应用的同一个服务器上完成。基于可信执行环境的安全隔离,可达到与外挂的硬件密码机相当的安全强度。此外,“软件定义”的特点使得“鲲密”平台能灵活地扩展各类SDK和API接口,匹配多元化的密码应用需求,提供柔性的密码供给能力,也可将密码算力穿透到虚拟化计算环境中,让虚拟机也能够拥有合规的密码算力。
分布式,即“鲲密”平台的密钥管理、密码应用策略管理可以集中在云上,而密码算力分散部署在业务应用所在的边缘侧。采用“用、管”分离方式,可以支撑大规模分布式的密码计算,确保密码策略集中管控,算力随需优化调度;同时,密码计算更贴近业务应用,使数据不用长距离跑腿。一方面减少了通信开销,另一方面也减轻了远程安全通信所带来的额外安全成本。
鲲密平台非常适用于大型信息基础设施,如果其中50%至80%的服务器同步部署内生密码模块,就可以形成策略统一、算力分散的分布式密码算力平台,无须外挂几百台密码设备。
敏捷,即“鲲密”平台具有“软件定义密码”的特点,可以实现密码能力敏捷、灵活地随需演进。也就是说,密码能力可以灵活匹配业务需求,灵活适配各种复杂计算环境,实现产品的敏捷部署;还可以便捷升级,使得新的密码算法、协议得到快速的部署。
因为“鲲密”密码算力是以软件形式出现在可信执行环境,在统一的密码策略管控之下,它可以实现敏捷密钥生命周期管理,包括密钥的按需下发、更新和销毁;可以通过软件升级快速实现任何计算逻辑,如按需的快速部署电子签章、多方安全计算协议、同态密码算法等。而传统的外挂式密码设备,做到这种统一的管理和变更非常困难。
高效,即“鲲密”平台具有高性能密码算力。在实际测试中,在48核鲲鹏920CPU上,使用12个核,SM2签名效率即可达到23万TPS,不亚于现有的高端密码机。该平台还能做到合规密码应用的快速交付,凭借云端协同计算体系中既有的内生密码算力,建立在这之上的业务应用只需正确使用密码功能,在大多数情况下即可符合密码应用合规要求。
“鲲密”赋能创新应用场景
数字认证的“鲲密”密码算力解决方案可以有效应用在边缘计算、隐私计算、云密码服务、数据安全、密码合规改造等场景,尤其是在金融领域的密码应用中具有丰富的创新空间。
以银行等金融机构经常面临的一个场景SSL流量卸载为例。SSL流量卸载,就是把SSL传输的密文数据卸载下来变成明文数据,传统SSL流量卸载经常需要首先将流量通过链路负载均衡分配到多个SSL网关,卸载后的数据再通过Web负载均衡分配到多个Web服务器。而采用 “鲲密”密码算力平台,可以将SSL卸载、Web负载均衡集中部署在同一个设备上,实现软件化SSL卸载,大大提高SSL卸载的效率,降低路径消耗。
另外一个比较典型的场景就是云原生环境的密码算力供给。采用容器化、虚拟化的云计算架构时,当SaaS层应用需要密码算力,往往需要专门的安全通道连到外挂式密码设备或密码云服务。而采用新型“鲲密”密码算力架构,可以实现云平台的密码算力直接穿透到虚拟机或容器,真正做到云原生的合规密码算力供给,高效满足政务云、私有云、混合云等多种云环境下的密码应用需求。
此外,在密态数据库、隐私计算等场景下,“鲲密”平台也大有可为。可以预见,随着新的信息技术架构的快速迭代,新型“鲲密”密码算力解决方案未来在政务、卫生、金融、能源、企业、教育等领域会获得广泛的应用。数字认证作为以密码技术为创新驱动的网络安全服务商,也将迎来巨大的发展机遇和前景。