高志权 三未信安 副总经理 基于密码技术的 云数据全生命周期保护 北京三未信安科技发展有限公司 成立于2008年8月 注册资金2000万元人民币 总部位于北京，在济南设有研发中心 商用密码产品生产定点单位 商用密码产品销售许可单位 信安标委成员单位 密码行业标准化技术委员会成员单位 现有员工130余人，其中博士6人，硕士20余人，研发人员占50%以上 与山东大学计算机学院共建了联合实验室，产、学、研合作，联合实验室有博、硕士十多人 云数据的安全问题 边界安全防 护思想不能 适应云环境 攻击手段日 益多样化、 差异化 封、堵、查、 杀的被动防 御是防不胜 防的 云中管理员 拥有更大的 权利 云计算面临的技术挑战 缺少安全 根基 大数据、 高并发的 性能需求 国家对自 主可控的 要求 合规性和 数据隐私 密 码 技 术 的 优 势 密码技术是有系统理论基础 的技术 密码技术是主动的安全技术 密码技术可在各个层面实施 密码技术和数据的处理紧密 结合，符合纵深保护策略 密码？Password？Cryptographic！ 密码已死？Passwords Are Dead！ 对称加密？非对称密码？AES，DES，RSA，DSA，ECC，ECDSA， SM2/3/4，SHA，MD5，DH，MAC，HMAC，ECB，CBC，CFB，OFB，XTR ，CTR… PKI？数字证书？数字签名？SSL/TLS？HTTPS? Diffie和Hellman为什么获图灵奖？ 机密性 完整性 • 数据加密 • HASH • 消息鉴别码MAC 身份鉴别 不可否认性 •数字证书 • 数字签名 • 《电子签名法》 密码算法 芯片 随机数生 成器 密码处理 器芯片 密码算法 软件 密码处理 器软件 密码模块 密码机 密码处理 器板卡 密码系统 密码 加速 密钥 保护 随机数 安全 新场景 基础设施 • 性价比 • 可靠性 • 易用性 • 方案多样化 • 高性能 • 远程管理 • 虚拟化 密码技术在云中不是没有用处，而是遇到各种限制和瓶颈 形态？ 性能？？ 应用场景？？？ 云计算 大数据 移动互联网 物联网 远程数据中心 • • • • • • • Hardware Security Modules Key Management Data Center Encryption Virtual Machine Security Application Security High Speed Network Encryption Professional Data Protection Services SaaS 云认证 云存储 云安全接入 云数据库加密 云环境加固 云密码服务 CaaS 云加密 云签名 云密钥托管 安全消息总线 时间戳服务 随机数服务 IaaS 云密码卡 云密码机 云密码平台 云密钥 管理 Internet 用户管理终端 应用云平台 防火墙 安全通道 密码云平台 防火墙 密钥中心 管理中心 消息总线 VSM VSM VSM 硬件密码模块 VSM VSM CA 管理VSM的密钥流转 VSM 管 理 VM 管 理 云中心管理VSM 的运行状态 VSM VSM VSM VSM VSM VM VM VM VM VM VSM直接部署在云 中心的VM上 密码卡为每个VSM提 供的虚拟密钥空间 密码卡 Server 云中心实体服务器  云密码服务模式：云密码机架构适合当前虚拟化和云环境下应用系统对密码服务及设备管理的需求。  密码机虚拟化：每台物理密码机可运行多个VSM虚拟密码机，每个VSM可对应用独立提供密码服务，并且各个VSM之间密钥 完全隔离。  集中设备管理：统一的管理中心进行设备管理和监控，与用户密钥管理权限分离，保证用户密钥应用安全。  安全远程密钥管理：密钥管理由用户远程自行操作，满足认证权限的用户才能进行对应的密钥管理操作。  丰富的应用支持：可兼容传统密码应用接口，满足传统应用迁入虚拟化及云环境后对密码服务的需求。  白名单与网络隔离机制：VSM支持网络隔离，白名单外的主机访问VSM将被拒绝。  安全的业务调用：应用主机到VSM之间的业务调用采用加密通道，保护用户应用数据经过中间网络环节时的安全。 加密云存储 加密RDS服务 加密文件服务 安全Https 云认证服务 安全接入 SIP视频加密服务 三未信安 KMS AWS中国 华为云 阿里 京东云 青云 Ucloud 1、密钥生命周期管理 2、为PKI体系提供密钥管理 3、RACAL、PBOC 等金融密钥体系提供密钥管理 4、支持标准KMIP协议，云中协同密钥管理 5、在云密码机之上加入更细致强大的密钥管理功能 6、立即可用的密钥管理服务 7、支持虚拟化部署 • KMIP标准让加密变得更易于配 置和管理 • 这种配置管理能力可以由密钥的 使用者进行灵活的定制 • 随着加密技术在云端的应用越来 越广泛，这种灵活性将变得越来 越重要 数据 采集 数据 使用 数据 安全 数据 存储 数据 传输       云存储本地化 掌控密钥 高速加密 自动精简配置/按需分配空间 完整性保护/去重 快照/数据保护 关联 挂载点密钥 设备密钥 KMC 下发 用户认证密钥 数 字 信 封 加密 挂载点密钥 提交 下载 设备密钥 密码卡 挂载点密钥 加密/解密 文件密钥 网关服务 文件