云環(huán)境內(nèi)的密鑰管理風險指南目 次1 范圍 12 引用文件 13 術語和定義 13.1 術語 14 云計算概述 34.1 云計算的主要特征 34.2 服務模式 35 密鑰管理概述 45.1 密鑰類型 45.2 密鑰狀態(tài) 45.3 密鑰管理功能 55.4 密鑰管理的通用安全要求 66 云服務下的密鑰管理風險 76.1 IaaS 云服務中密鑰管理風險 76.2 PaaS 云服務中的密鑰管理風險 106.3 SaaS 云服務中的密鑰管理風險 12云環(huán)境內(nèi)的密鑰管理風險指南1 范圍本標準描述了云環(huán)境內(nèi)的不同服務模式下的密鑰管理內(nèi)容及風險本標準適用于為云計算安全防護提供參考指引2 引用文件下列文件對于本文件的應用是必不可少的凡是注日期的引用文件，僅所注日期的版本適用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件GB/T 5271.8-2001 信息系統(tǒng) 詞匯 第 8 部分：安全GB/T 25069-2010 信息安全技術術語GB/T 31167-2014 信息安全技術 云計算服務安全指南 GB/T 31168-2014 信息安全技術 云計算服務安全能力要求 GB/T 31915-2015 信息安全技術 彈性計算應用接口GB/T 32400-2015 信息技術 安全技術 云計算 概述和詞匯GM/Z 0001-2013 密碼術語3 術語和定義3.1 術語3.1.1 云計算 cloud computing通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理的模式。

3.1.2 云計算服務 cloud computing service使用定義的接口，借助云計算提供一種或多種資源的能力3.1.3 云計算環(huán)境 could computing environment云計算平臺及客戶在云計算平臺上部署的軟件及相關組件的集合133.1.4 云服務商 cloud service provider云計算服務的供應方3.1.5 云服務客戶 cloud service customer為使用云計算服務同云服務商建立業(yè)務關系的參與方3.1.6 虛擬化 virtualization一種資源管理技術，將處理器、存儲、和網(wǎng)絡等計算機物理資源予以抽象、轉(zhuǎn)換后以軟件形態(tài)呈現(xiàn)出來，以簡化管理并提高物理設備的資源利用率3.1.7 客戶操作系統(tǒng) guest OG運行在虛擬機中，供用戶直接使用的操作系統(tǒng)3.1.8 虛擬機監(jiān)視器 hypervisor一種虛擬資源的管理軟件，協(xié)調(diào)多個客戶操作系統(tǒng)對宿主機硬件資源的訪問，并在各虛擬機之間施加防護3.1.9 虛擬機 virtual ma×hine通過虛擬化技術整合、抽象和隔離的，具有完整硬件系統(tǒng)功能的計算機3.1.10 虛擬機鏡像 virtual ma×hine image虛擬機對應的文件系統(tǒng)鏡像，包括操作系統(tǒng)及虛擬機運行需要的軟件。

3.1.11 虛擬機模板 virtual ma×hine template配置虛擬機所需的元數(shù)據(jù)集合，包括CPU 數(shù)量、內(nèi)存大小和磁盤大小等3.1.12 密碼 ×ipher按約定規(guī)則，為隱藏消息原形而生成的一組具有隨機性的特定符號3.1.13 密碼算法 cryptographic algorithm描述密碼處理過程的運算規(guī)則3.1.14 密鑰 key控制密碼算法運算的關鍵參數(shù)或信息3.1.15 加密 encipherment/encryption對數(shù)據(jù)進行密碼變換以產(chǎn)生密文的過程3.1.16 解密 decipherment/decryption加密過程對應的逆過程3.1.17 密鑰管理 key management根據(jù)安全策略，對密鑰的產(chǎn)生、分發(fā)、存儲、更新、歸檔、撤銷、備份、恢復和銷毀等密鑰全生命周期的管理3.1.18 密鑰管理系統(tǒng) key management system實現(xiàn)密鑰管理功能的系統(tǒng)3.2 縮略語a) API Application Programming Interface,應用程序編程接口b) MAC Message Authentication Code,消息驗證碼 4 云計算概述云計算是一種提供方便的、快捷的、按需網(wǎng)絡訪問可配置的資源共享池的模型，提供快速的資源交付和釋放。

4.1 云計算的主要特征a) 按需自助服務在不需或較少云服務商的人員參與情況下，客戶能根據(jù)需要獲得所需計算資源，如自主確定資源占用的時間和數(shù)量等b) 泛在接入客戶通過標準接入機制，利用計算機、移動電話、平板等各種終端通過網(wǎng)絡隨時隨地使用服務c) 資源池化云服務商將資源（如：計算資源、存儲資源、網(wǎng)絡資源等）提供給多個客戶試用這些物理的、虛擬的資源根據(jù)客戶的需求進行動態(tài)分配或重新分配d) 快速伸縮性客戶可以根據(jù)需要快速、靈活、方便地獲取和釋放計算資源e) 服務可計量云計算按照多種計量方式自動控制或量化資源，計量對象可以是存儲空間、計算能力、網(wǎng)絡帶寬或賬戶數(shù)4.2 服務模式根據(jù)云服務商提供的資源類型的不同，云計算你的服務模式主要可分為三類：a) 基礎設施即服務（IaaS）：IaaS 服務向用戶提供處理、存儲、網(wǎng)絡以及其它基礎計算資源的能力用戶可以在其上運行任意軟件，包括操作系統(tǒng)和應用程序用戶的操作系統(tǒng)和應用程序可以遷移到云提供商的硬件，這些硬件有可能取代公司的數(shù)據(jù)中心基礎設施用戶無需管理或者控制底層的云基礎設施，但是可以控制操作系統(tǒng)、存儲設備、已部署的應用程序，并可受限控制所選的網(wǎng)絡組件b) 平臺即服務（PaaS）：用戶使用提供商支持的開發(fā)語言和工具，開發(fā)出應用程序，發(fā)布到云基礎架構上。

用戶無需管理或控制底層的云基礎設施，包括網(wǎng)絡、服務器、操作系統(tǒng)或存儲設備，但是能控制已部署的應用程序，并可能控制應用程序運行環(huán)境配置PaaS 允許云消費者創(chuàng)建自己的云應用從根本上來說，云提供商提供一個虛擬化環(huán)境和一套工具，以便創(chuàng)建新的 Web 應用程序云提供商還配備硬件、操作系統(tǒng)和常用的系統(tǒng)軟件和應用程序，如 DBMS，Web 服務器等c) 軟件即服務（SaaS）：用戶使用提供商所提供的運行在云基礎設施上的應用的能力這些應用可以借助不同終端設備通過一個瘦客戶機端口進行訪問用戶無需管理或控制底層的云基礎設施，包括網(wǎng)絡、服務器、操作系統(tǒng)、存儲設備，甚至是單個應用程序的功能，但是可能控制受限的用戶指定的應用程序配置5 密鑰管理概述5.1 密鑰類型加密密鑰分為兩大類：a) 對稱密鑰；b) 非對稱密鑰5.1.1 對稱密鑰對稱密鑰也被稱為秘密密鑰，因為在進行加解密操作或者生成完整值和驗證完整性時，需要提供相同的密鑰，其應用包括：a) 利用對稱加密算法進行加解密；b) 利用消息驗證碼或一種加密的操作模式來提供數(shù)據(jù)完整性5.1.2 非對稱密鑰非對稱密鑰用于非對稱加密認證、數(shù)字簽名或密鑰建立非對稱密鑰也稱作公鑰/私鑰對。

私鑰由密鑰對的持有者秘密保管，并且應該受到全程保護；而公鑰可以公布于眾，由可信賴方使用公鑰完成協(xié)議，或者與使用私鑰的操作相反5.2 密鑰狀態(tài)密鑰狀態(tài)指密鑰管理實現(xiàn)可能經(jīng)歷部分狀態(tài)a) 生成對稱密鑰或公鑰/私鑰對按需生成b) 激活當對稱密鑰或私鑰需要使用時被激活當公鑰可用或到達其元數(shù)據(jù)所標識的日期時被激活c) 去活當對稱密鑰或私鑰不再需要對數(shù)據(jù)進行加密保護時被去活密鑰在去活以后可能被銷毀或歸檔公鑰無需去活，它可能在指定日期后過期，也可能被掛起或者吊銷d) 掛起密鑰可能因不同原因而被掛起，比如密鑰處于未知狀態(tài)或密鑰持有者暫時離開以公鑰為例，與其關聯(lián)的私鑰被掛起的消息將通知給可信賴方e) 過期密鑰可能在其加密周期結束后過期以公鑰為例，其過期日期標識在相關的元數(shù)據(jù)中f) 銷毀當密鑰不再需要時被銷毀g) 歸檔當密鑰不再需要正常使用時可能被歸檔，但在密鑰有效期之后可能還需要使用以秘密密鑰或私鑰為例，密鑰需要解密歸檔數(shù)據(jù)以公鑰為例，密鑰需要驗證歸檔后的簽署文件h) 吊銷密鑰吊銷時，需要將密鑰吊銷信息安全地發(fā)送給可信賴方雖然吊銷這個概念是明確地針對公鑰而言，但是吊銷也適用于相應的私鑰吊銷信息被安全地發(fā)送給可信賴方。

5.3 密鑰管理功能一些重要的密鑰管理功能描述如下：a) 生成密鑰生成高質(zhì)量的密鑰對于安全是至關重要的用于加密算法的密鑰應該在已授權的加密模塊中生成b) 生成域參數(shù)基于離散對數(shù)的算法需要事先生成域參數(shù)，然后使用該參數(shù)來生成密鑰域參數(shù)應該在已授權的加密模塊中生成c) 綁定密鑰和元數(shù)據(jù)密鑰可能具有關聯(lián)的數(shù)據(jù)，比如使用時間段、使用限制、域參數(shù)以及安全服務，諸如來源認證、完整性和隱私保護該功能保證了密鑰與正確的元數(shù)據(jù)關聯(lián)d) 綁定密鑰到個體實現(xiàn)綁定后，持有密鑰的個體或其它實體的標識符被認為是密鑰元數(shù)據(jù)的一部分e) 激活密鑰該功能將密鑰轉(zhuǎn)換為激活狀態(tài)，它通常與密鑰生成一起完成f) 去活密鑰當密鑰不再需要用于加密保護時被去活例如，當某個密鑰已過期或被其它密鑰替換時，該密鑰將被去活g) 備份密鑰當密鑰意外損壞或不可用時，為了重建該密鑰，其持有者、密鑰管理設施或第三方將備份該密鑰當私鑰或秘密密鑰由密鑰管理設施或第三方備份時，該功能也被稱為密鑰托管h) 恢復密鑰該功能與密鑰備份功能互補當密鑰因某種原因不可用且授權方需要此密鑰時，調(diào)用該功能密鑰備份和恢復通常適用于對稱密鑰和私鑰i) 修改元數(shù)據(jù)當密鑰綁定的元數(shù)據(jù)需要更改時，調(diào)用該功能。

更新公鑰證書（例如：更改公鑰的有效期）是該功能的一個實例j) 更新密鑰該功能使用新的密鑰來替換現(xiàn)有密鑰一般情況下，現(xiàn)有密鑰（將被替換的密鑰）扮演了身份驗證和授權的替代角色k) 掛起密鑰此功能用于暫時停止某個密鑰的使用這類似于可逆吊銷如果密鑰處于待定狀態(tài)或密鑰持有者希望暫停使用密鑰，可能需要調(diào)用該功能對于秘密密鑰而言，可以通過對密鑰去活來完成掛起操作對于公鑰和相應的私鑰而言，一般是通過使用公鑰掛起通知來完成掛起操作l) 復位密鑰一旦某個掛起的密鑰的安全狀態(tài)確定后，該密鑰被復位/恢復對于秘密密鑰而言，通過激活方式來恢復密鑰對于公鑰和相應的私鑰而言，通常利用吊銷通知來恢復密鑰在吊銷通知中，已吊銷的公鑰條目被刪除，暗示該密鑰恢復為有效m) 吊銷密鑰該功能用于通知可信賴方停止使用公鑰吊銷的原因很多，包括相應的私鑰被攻破，密鑰持有者停止使用相應的私鑰n) 歸檔密鑰該功能用于長期存儲已去活的、已過期的和/或已攻破的密鑰o) 銷毀密鑰當密鑰不再使用時被銷毀5.4 密鑰管理的通用安全要求通用密鑰管理安全要求如下：a) 執(zhí)行密鑰管理功能的相關各方的身份及其操作權限應進行正確的驗證b) 所有的密鑰管理命令及其相關數(shù)據(jù)要求免受欺騙，即：來源認證先于執(zhí)行密鑰管理命令。

c) 所有的密鑰管理命令及其相關數(shù)據(jù)要求不被發(fā)現(xiàn)、免受未經(jīng)授權的修改，即提供完整性保護d) 秘密密鑰和私鑰免受未經(jīng)授權的披露e) 所有的密鑰和元數(shù)據(jù)要求免受欺騙，即：來源認證先于訪問密鑰和元數(shù)據(jù)f) 所有的密鑰和元數(shù)據(jù)要求不被發(fā)現(xiàn)、免受未經(jīng)授權的修改，即提供完整性保護6 云服務下的密鑰管理風險云計算擁有不同的服務模式，不同云服務模式的不同構成特征決定了這種云服務模式下所使用的加密操作，從而進一步?jīng)Q定了。