云環(huán)境內(nèi)的密碼應(yīng)用指南目次1 范圍 12 引用文件 13 術(shù)語和定義 13.1 術(shù)語 13.2 縮略語 24 云計算概述 34.1 云計算的主要特征 34.2 服務(wù)模式 35 云環(huán)境內(nèi)的密碼應(yīng)用 45.1 概述 45.2 IaaS 服務(wù)模式下的密碼應(yīng)用 45.3 PaaS 服務(wù)模式下的密碼應(yīng)用 75.4 SaaS 服務(wù)模式下的密碼應(yīng)用 7I云環(huán)境內(nèi)的密碼應(yīng)用指南1 范圍本標(biāo)準(zhǔn)描述了云環(huán)境內(nèi)的密碼應(yīng)用場景本標(biāo)準(zhǔn)適用于為云計算安全防護(hù)提供參考指引2 引用文件下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件，僅所注日期的版本適用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件GB/T 5271.8-2001 信息系統(tǒng) 詞匯 第 8 部分：安全GB/T 25069-2010 信息安全技術(shù)術(shù)語GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南 GB/T 31168-2014 信息安全技術(shù) 云計算服務(wù)安全能力要求 GB/T 31915-2015 信息安全技術(shù) 彈性計算應(yīng)用接口GB/T 32400-2015 信息技術(shù) 安全技術(shù) 云計算 概述和詞匯GM/Z 0001-2013 密碼術(shù)語3 術(shù)語和定義3.1 術(shù)語3.1.1 云計算 cloud computing通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理的模式。

3.1.2 云計算服務(wù) cloud computing service使用定義的接口，借助云計算提供一種或多種資源的能力3.1.3 云計算環(huán)境 could computing environment云計算平臺及客戶在云計算平臺上部署的軟件及相關(guān)組件的集合83.1.4 云服務(wù)商 cloud service provider云計算服務(wù)的供應(yīng)方3.1.5 云服務(wù)客戶 cloud service customer為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方3.1.6 虛擬化 virtualization一種資源管理技術(shù)，將處理器、存儲、和網(wǎng)絡(luò)等計算機(jī)物理資源予以抽象、轉(zhuǎn)換后以軟件形態(tài)呈現(xiàn)出來，以簡化管理并提高物理設(shè)備的資源利用率3.1.7 虛擬機(jī)監(jiān)視器 hypervisor一種虛擬資源的管理軟件，協(xié)調(diào)多個客戶操作系統(tǒng)對宿主機(jī)硬件資源的訪問，并在各虛擬機(jī)之間施加防護(hù)3.1.8 虛擬機(jī) virtual machine通過虛擬化技術(shù)整合、抽象和隔離的，具有完整硬件系統(tǒng)功能的計算機(jī)3.1.9 虛擬機(jī)鏡像virtual machine image虛擬機(jī)對應(yīng)的文件系統(tǒng)鏡像，包括操作系統(tǒng)及虛擬機(jī)運(yùn)行需要的軟件。

3.1.10 虛擬機(jī)模板 virtual machine template配置虛擬機(jī)所需的元數(shù)據(jù)集合，包括CPU 數(shù)量、內(nèi)存大小和磁盤大小等注：虛擬機(jī)模板用于方便地生成虛擬機(jī)3.1.11 密碼 cipher按約定規(guī)則，為隱藏消息原形而生成的一組具有隨機(jī)性的特定符號3.1.12 密碼算法 cryptographic algorithm描述密碼處理過程的運(yùn)算規(guī)則3.1.13 密鑰 key控制密碼算法運(yùn)算的關(guān)鍵參數(shù)或信息3.1.14 加密 encipherment/encryption對數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過程3.1.15 解密 decipherment/decryption加密過程對應(yīng)的逆過程3.2 縮略語a) API Application Programming Interface,應(yīng)用程序編程接口b) MAC Message Authentication Code,消息驗證碼 4 云計算概述云計算是一種提供方便的、快捷的、按需網(wǎng)絡(luò)訪問可配置的資源共享池的模型，提供快速的資源交付和釋放4.1 云計算的主要特征a) 按需自助服務(wù)在不需或較少云服務(wù)商的人員參與情況下，客戶能根據(jù)需要獲得所需計算資源，如自主確定資源占用的時間和數(shù)量等。

b) 泛在接入客戶通過標(biāo)準(zhǔn)接入機(jī)制，利用計算機(jī)、移動電話、平板等各種終端通過網(wǎng)絡(luò)隨時隨地使用服務(wù)c) 資源池化云服務(wù)商將資源（如：計算資源、存儲資源、網(wǎng)絡(luò)資源等）提供給多個客戶試用這些物理的、虛擬的資源根據(jù)客戶的需求進(jìn)行動態(tài)分配或重新分配d) 快速伸縮性客戶可以根據(jù)需要快速、靈活、方便地獲取和釋放計算資源e) 服務(wù)可計量云計算按照多種計量方式自動控制或量化資源，計量對象可以是存儲空間、計算能力、網(wǎng)絡(luò)帶寬或賬戶數(shù)4.2 服務(wù)模式根據(jù)云服務(wù)商提供的資源類型的不同，云計算你的服務(wù)模式主要可分為三類：a) 基礎(chǔ)設(shè)施即服務(wù)（IaaS）：IaaS 服務(wù)向用戶提供處理、存儲、網(wǎng)絡(luò)以及其它基礎(chǔ)計算資源的能力用戶可以在其上運(yùn)行任意軟件，包括操作系統(tǒng)和應(yīng)用程序用戶的操作系統(tǒng)和應(yīng)用程序可以遷移到云提供商的硬件，這些硬件有可能取代公司的數(shù)據(jù)中心基礎(chǔ)設(shè)施用戶無需管理或者控制底層的云基礎(chǔ)設(shè)施，但是可以控制操作系統(tǒng)、存儲設(shè)備、已部署的應(yīng)用程序，并可受限控制所選的網(wǎng)絡(luò)組件b) 平臺即服務(wù)（PaaS）：用戶使用提供商支持的開發(fā)語言和工具，開發(fā)出應(yīng)用程序，發(fā)布到云基礎(chǔ)架構(gòu)上用戶無需管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲設(shè)備，但是能控制已部署的應(yīng)用程序，并可能控制應(yīng)用程序運(yùn)行環(huán)境配置。

PaaS 允許云消費(fèi)者創(chuàng)建自己的云應(yīng)用從根本上來說，云提供商提供一個虛擬化環(huán)境和一套工具，以便創(chuàng)建新的 Web 應(yīng)用程序云提供商還配備硬件、操作系統(tǒng)和常用的系統(tǒng)軟件和應(yīng)用程序，如 DBMS，Web 服務(wù)器等c) 軟件即服務(wù)（SaaS）：用戶使用提供商所提供的運(yùn)行在云基礎(chǔ)設(shè)施上的應(yīng)用的能力這些應(yīng)用可以借助不同終端設(shè)備通過一個瘦客戶機(jī)端口進(jìn)行訪問用戶無需管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲設(shè)備，甚至是單個應(yīng)用程序的功能，但是可能控制受限的用戶指定的應(yīng)用程序配置5 云環(huán)境內(nèi)的密碼應(yīng)用5.1 概述加密是保障云環(huán)境內(nèi)資源及服務(wù)安全的重要手段之一不同云服務(wù)模式所使用的加密操作集取決于構(gòu)成云服務(wù)的服務(wù)特征基于核心的服務(wù)特征決定了不同與云服務(wù)模式下的安全能力要求，并由此得出不同云服務(wù)模式下的密碼應(yīng)用場景5.2 IaaS 服務(wù)模式下的密碼應(yīng)用5.2.1 概述IaaS 云虛擬機(jī)整個生命周期中的操作包括虛擬機(jī)模板生產(chǎn)、虛擬機(jī)啟動、關(guān)閉、刪除等虛擬機(jī)的租用操作包括提取由 IaaS 云提供商所預(yù)先建立的虛擬機(jī)鏡像，啟動虛擬機(jī)，并進(jìn)行后續(xù)的生命周期操作，如停止、暫停、重新啟動、刪除為保證虛擬機(jī)安全，在這一過程中，密碼技術(shù)可用于：a) 驗證云提供商預(yù)定義的虛擬機(jī)鏡像模板完整性。

b) 對云用戶發(fā)送給云提供商的 Hypervisor 環(huán)境里的虛擬機(jī)管理接口的 API 調(diào)用進(jìn)行驗證c) 當(dāng)在虛擬機(jī)實例上執(zhí)行管理操作時保護(hù)通信安全5.2.2 虛擬機(jī)鏡像模板完整性防護(hù)可從兩方面將密碼技術(shù)應(yīng)用于保護(hù)虛擬機(jī)鏡像模板安全：a) 對虛擬機(jī)模板進(jìn)行數(shù)字簽名;b) 使用消息認(rèn)證碼認(rèn)證虛擬機(jī)模板或使用密碼散列函數(shù)實現(xiàn)完整性驗證5.2.2.1 數(shù)字簽名方法云提供商對虛擬機(jī)鏡像模板進(jìn)行數(shù)字簽名的步驟包括：a) 由云服務(wù)商生成一對公鑰和私鑰b) 在完成虛擬機(jī)模板的創(chuàng)建時云服務(wù)商就使用其私鑰對虛擬機(jī)模板進(jìn)行數(shù)字簽名，并將公鑰交給云用戶c) 云用戶提取虛擬機(jī)模板時使用云服務(wù)商的公鑰來驗證的虛擬機(jī)模板數(shù)字簽名5.2.2.2 消息認(rèn)證方法使用消息認(rèn)證方法認(rèn)證虛擬機(jī)鏡像模板完整性的過程包括：a) 由云服務(wù)商生成一對公鑰和私鑰，云服務(wù)商保有私鑰，而云用戶使用云服務(wù)商的公鑰b) 在認(rèn)證時，云服務(wù)商使用加密函數(shù)和私鑰計算出一個消息認(rèn)證碼，然后將虛擬機(jī)模板和消息認(rèn)證碼一同發(fā)送給云用戶c) 云用戶使用虛擬機(jī)模板、云服務(wù)商公鑰和加密函數(shù)進(jìn)行運(yùn)算，得到另一個消息驗證碼d) 通過比較計算出的驗證碼與從云服務(wù)商處接收到的驗證碼是否一致，可驗證虛擬機(jī)鏡像模板是否被篡改。

5.2.3 虛擬機(jī)接口調(diào)用安全I(xiàn)aaS 云用戶通過訪問hypervisor 的管理接口來實現(xiàn)虛擬機(jī)的啟動操作及其后續(xù)的生命周期操作為防止虛擬機(jī)管理接口的外部調(diào)用，可以從以下兩方面應(yīng)用密碼技術(shù)進(jìn)行保護(hù)：a) 對虛擬機(jī)管理接口的API 調(diào)用進(jìn)行簽名其主要過程為：1) 云用戶需要生成一對公/私鑰對，用于API 調(diào)用的簽名；2) 受信任的機(jī)構(gòu)簽署的公鑰證書，把公鑰與云用戶身份進(jìn)行綁定；3) 收到 API 調(diào)用請求以后，虛擬機(jī)管理接口利用云用戶的公鑰證書驗證云用戶發(fā)送給虛擬機(jī)實例的系統(tǒng)調(diào)用數(shù)字簽名b) 利用 SSH 或 TLS 在云用戶和虛擬機(jī)管理接口之間建立一個安全的會話，并依托此安全會話來實現(xiàn)API 的安全調(diào)用5.2.4 虛擬機(jī)管理操作的安全通信為了確保云用戶和虛擬機(jī)實例之間的安全交互，可使用非對稱密鑰對或基于密碼的客戶端進(jìn)行身份認(rèn)證，防止非授權(quán)的訪問和破壞非對稱密鑰的身份驗證技術(shù)要求：a) 云用戶生成一對公/私鑰；b) 把公鑰與虛擬機(jī)實例中的用戶賬戶進(jìn)行關(guān)聯(lián)；c) 虛擬機(jī)把公鑰添加到虛擬機(jī)實例的授權(quán)密鑰文件中，用以識別一個云用戶是否為相應(yīng)私鑰的所有者5.2.5 虛擬機(jī)上的應(yīng)用安全基于密碼的虛擬機(jī)應(yīng)用安全防護(hù)主要包括：a) 保護(hù)應(yīng)用的配置安全。

b) 保護(hù)保護(hù)應(yīng)用與用戶的通信安全5.2.5.1 應(yīng)用配置安全應(yīng)用配置管理由應(yīng)用級管理員負(fù)責(zé)，其需要應(yīng)用級管理員與通過虛擬機(jī)實例建立安全的會話可通過 SSH 技術(shù)和密鑰技術(shù)來實現(xiàn)安全會話的創(chuàng)建虛擬機(jī)將公鑰添加到協(xié)議(FTP,SCP)中或添加到控制臺命令支持的SSH 登錄實例的授權(quán)密鑰文件中，虛擬機(jī)在 SSH 登陸時實現(xiàn)驗證，從而實現(xiàn)虛擬機(jī)實例對應(yīng)用管理員的進(jìn)行身份驗證5.2.5.2 應(yīng)用與用戶的通信安全應(yīng)用程序用戶可以通過創(chuàng)建安全會話和強(qiáng)身份認(rèn)證機(jī)制與這些應(yīng)用程序安全地交互所采用的最常見的技術(shù)是傳輸層安全（TLS）協(xié)議TLS 讓服務(wù)實例和客戶端可以使用一種加密方式進(jìn)行相互認(rèn)證，并為加解密和生成消息認(rèn)證碼創(chuàng)建安全會話密鑰5.2.6 IaaS 云服務(wù)中的數(shù)據(jù)安全各種類別的 IaaS 云用戶需要數(shù)據(jù)存儲服務(wù)數(shù)據(jù)存儲服務(wù)需要覆蓋各種靜態(tài)數(shù)據(jù)和應(yīng)用程序數(shù)據(jù)靜態(tài)數(shù)據(jù)包含應(yīng)用程序源代碼、應(yīng)用程序的索引數(shù)據(jù)、存檔數(shù)據(jù)和日志應(yīng)用程序數(shù)據(jù)包含應(yīng)用程序產(chǎn)生和使用的數(shù)據(jù)應(yīng)用程序數(shù)據(jù)由結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)交替組成保護(hù) IaaS 云服務(wù)中的數(shù)據(jù)安全，即是要實現(xiàn)：a) 安全地存儲應(yīng)用程序的靜態(tài)支撐數(shù)據(jù)；b) 安全地存儲結(jié)構(gòu)化應(yīng)用程序數(shù)據(jù)；c) 安全地存儲非結(jié)構(gòu)化的應(yīng)用程序數(shù)據(jù)。

5.2.6.1 應(yīng)用程序靜態(tài)數(shù)據(jù)的安全存儲應(yīng)用程序靜態(tài)支撐數(shù)據(jù)包括應(yīng)用程序的源代碼、應(yīng)用程序使用的參考數(shù)據(jù)、虛擬機(jī)鏡像、歸檔數(shù)據(jù)以及日志等為保護(hù)上述數(shù)據(jù)的數(shù)據(jù)安全，可在云用戶處進(jìn)行加密后再進(jìn)行存儲5.2.6.2 結(jié)構(gòu)化數(shù)據(jù)的安全存儲為了存儲虛擬機(jī)實例上運(yùn)行的應(yīng)用程序生成的結(jié)構(gòu)化數(shù)據(jù)，IaaS 云用戶可使用云服務(wù)商的數(shù)據(jù)庫服務(wù)，并通過對數(shù)據(jù)庫管理系統(tǒng)實例進(jìn)行加密以滿足其業(yè)務(wù)和安全需求，包括：a) 透明/外部加密透明數(shù)據(jù)加密可以使用數(shù)據(jù)庫管理系統(tǒng)的本地加密功能，也可以使用第三方的加密工具透明數(shù)據(jù)加密是 I/O 級別煩人加密，只在寫入磁盤前才對數(shù)據(jù)加密整個數(shù)據(jù)庫由單個數(shù)據(jù)庫加密密鑰所保護(hù)b) 數(shù)據(jù)庫級加密或用戶級加密用戶級加密。