“鯤密”上市，數字認證創新密碼供給新模式

導語

“鯤密”密碼算力平臺與云邊協同環境具有更高適配度。而且平臺所擁有的內生、分布式、敏捷、高效等卓越特質,也使得它成為云時代加速數字化發展的創新利器。

數字經濟時代,密碼無處不在。從大眾生活中的電子交易、智能電表,到商業活動中的電子證照、電子合同、納稅繳費等,背后都有密碼技術的保駕護航。隨著云計算、大數據、5G、物聯網等技術的快速演進,作為網絡安全核心技術和基礎支撐的密碼技術也隨之變化。

日前,北京數字認證股份有限公司(簡稱:數字認證)聯合華為,依托密碼核心技術和產品,創新發布新一代基于機密計算架構的“鯤密”密碼算力平臺,即分布式、內生的新型密碼算力解決方案。這是數字認證繼2022年推出密碼云服務之后的再次創新,可以為邊緣計算、隱私計算、云密碼服務、數據安全、密碼合規改造等場景提供創新的密碼解決方案。

數字認證總經理林雪焰和華為鯤鵬計算業務副總裁邱磊聯合發布“鯤密”平臺

云上新安全需要新密碼

隨著國際競爭格局變化和攻防武器的國家化升級,傳統以VPN、防火墻、IDS、反病毒等為代表的“攻防為中心”的網絡安全策略發生了巨大變化。網絡安全開始向“以數據為中心”轉變,包括對核心數據進行加密保護、安全認證、數據脫敏、隱私計算等,密碼作為數據安全的核心技術,其支撐作用更加凸顯。尤其是隨著新基建的推進,以及企業數字化轉型進程加快,我國云計算進入惠普發展期,邊緣計算需求激增,數據處理向邊端擴散,云、邊、端一體化趨勢驅動著算力架構的持續演進,云計算開始從中心化架構向分布式架構擴展。中國信通院聯合發布的《云邊端一體化發展報告(2022)》的內容顯示:云邊協同的分布式云正成為未來云計算的演進形態。2022年我國計劃使用邊緣計算的企業占比達到44.23%。Gartner同時預測,2025年超過75%的數據將在邊緣側處理。

隨著云邊協同計算的興起,傳統外掛式的密碼設備(key、IC卡或加密機)在資源利用、設備管理、可擴展性等方面面臨挑戰,難以適應對分布式密碼算力的需求。分布式云計算架構的發展對密碼供給提出更高要求:如密碼算力需要功能、性能上的彈性支撐;需要業務伴生的密碼算力彌合安全縫隙;以及可根據業務要求敏捷地實現密碼策略等的合規管控。

解讀“鯤密”四大特性

為了賦能云業務發展,數字認證聯合華為創新發布新一代密碼算力解決方案:分布式、內生的“鯤密”密碼算力平臺,該平臺基于國產信創CPU(鯤鵬芯片)構建的可信執行環境(TEE),在可信執行環境中提供可軟件定義的密碼算力,相關軟件密碼模塊產品已經獲得商密產品認證證書(二級),也就是說,能提供一個具有安全計算環境的密碼算力。

數字認證總經理林雪焰現場解讀“鯤密”平臺

“鯤密”密碼算力平臺發展了集中式的云密碼算力供給模式,與云邊協同環境具有更高適配度。而且平臺所擁有的內生、分布式、敏捷、高效等卓越特質,也使得它成為云時代加速數字化發展的創新利器。

1內生

內生,即“鯤密”的密碼算力內生于芯片可信執行環境中,密鑰管理、密碼運算全部在承載業務應用的同一個服務器上完成。基于可信執行環境的安全隔離,可達到與外掛的硬件密碼機相當的安全強度。此外,“軟件定義”的特點使得“鯤密”平臺能靈活地擴展各類SDK和API接口,匹配多元化的密碼應用需求,提供柔性的密碼供給能力,也可將密碼算力穿透到虛擬化計算環境中,讓虛擬機也能夠擁有合規的密碼算力。

2分布式

分布式,即“鯤密”平臺的密鑰管理、密碼應用策略管理可以集中在云上,而密碼算力分散部署在業務應用所在的邊緣側。采用“用、管”分離方式,可以支撐大規模分布式的密碼計算,確保密碼策略集中管控,算力隨需優化調度;同時,密碼計算更貼近業務應用,使數據不用長距離跑腿。一方面減少了通信開銷,另一方面也減輕了遠程安全通信所帶來的額外安全成本。

鯤密平臺非常適用于大型信息基礎設施,如果其中50%至80%的服務器同步部署內生密碼模塊,就可以形成策略統一、算力分散的分布式密碼算力平臺,無須外掛幾百臺密碼設備。

3敏捷

敏捷,即“鯤密”平臺具有“軟件定義密碼”的特點,可以實現密碼能力敏捷、靈活地隨需演進。也就是說,密碼能力可以靈活匹配業務需求,靈活適配各種復雜計算環境,實現產品的敏捷部署;還可以便捷升級,使得新的密碼算法、協議得到快速的部署。

因為“鯤密”密碼算力是以軟件形式出現在可信執行環境,在統一的密碼策略管控之下,它可以實現敏捷密鑰生命周期管理,包括密鑰的按需下發、更新和銷毀;可以通過軟件升級快速實現任何計算邏輯,如按需的快速部署電子簽章、多方安全計算協議、同態密碼算法等。而傳統的外掛式密碼設備,做到這種統一的管理和變更非常困難。

4高效

高效,即“鯤密”平臺具有高性能密碼算力。在實際測試中,在48核鯤鵬920CPU上,使用12個核,SM2簽名效率即可達到23萬TPS,不亞于現有的高端密碼機。該平臺還能做到合規密碼應用的快速交付,憑借云端協同計算體系中既有的內生密碼算力,建立在這之上的業務應用只需正確使用密碼功能,在大多數情況下即可符合密碼應用合規要求。

“鯤密”賦能創新應用場景

數字認證的“鯤密”密碼算力解決方案可以有效應用在邊緣計算、隱私計算、云密碼服務、數據安全、密碼合規改造等場景,尤其是在金融領域的密碼應用中具有豐富的創新空間。以銀行等金融機構經常面臨的一個場景SSL流量卸載為例。SSL流量卸載,就是把SSL傳輸的密文數據卸載下來變成明文數據,傳統SSL流量卸載經常需要首先將流量通過鏈路負載均衡分配到多個SSL網關,卸載后的數據再通過Web負載均衡分配到多個Web服務器。而采用 “鯤密”密碼算力平臺,可以將SSL卸載、Web負載均衡集中部署在同一個設備上,實現軟件化SSL卸載,大大提高SSL卸載的效率,降低路徑消耗。另外一個比較典型的場景就是云原生環境的密碼算力供給。采用容器化、虛擬化的云計算架構時,當SaaS層應用需要密碼算力,往往需要專門的安全通道連到外掛式密碼設備或密碼云服務。而采用新型“鯤密”密碼算力架構,可以實現云平臺的密碼算力直接穿透到虛擬機或容器,真正做到云原生的合規密碼算力供給,高效滿足政務云、私有云、混合云等多種云環境下的密碼應用需求。此外,在密態數據庫、隱私計算等場景下,“鯤密”平臺也大有可為。可以預見,隨著新的信息技術架構的快速迭代,新型“鯤密”密碼算力解決方案未來在政務、衛生、金融、能源、企業、教育等領域會獲得廣泛的應用。數字認證作為以密碼技術為創新驅動的網絡安全服務商,也將迎來巨大的發展機遇和前景。

 

關鍵詞：