基于云計算架構的數字簽名系統設計

引言

    云計算經過幾年的醞釀和發展，時至今日已成為當前業界乃至全社會關注的焦點和熱點，云計算時代被業界廣泛認為是繼PC和互聯網之后的第三次rI、浪潮。云計算自身具備的高性能、低成本、高可靠性等特點能極大地提高n1資源的利用率，云計算技術也成為新一代信息技術變革和業務應用模式變革的核心，核心應用正從傳統的rr架構向云計算架構轉變 。將云計算技術及理念應用于安全領域已成為各個安全廠商積極研究的課題，通過對安全設施資源進行云化，形成安全能力資源池，并通過網絡為rr環境提供可彈性調度、按需訂購的安全服務，實現安全即服務的模式。

1 傳統的數字簽名系統架構

    隨著信息技術的飛速發展以及信息化建設的逐步深入，隨之而來的信息安全問題日益加劇。現代密碼學已成為解決信息安全問題的技術核心，數字簽名是現代密碼學的主要研究內容之一。數字簽名技術在身份識別和認證、數據完整勝、抗抵賴等方面具有其他技術無法替代的作用，已經頒布實施的《中華人民共和國電子簽名法》(以下簡稱《電子簽名法》為數字簽名技術的應用提供了法律依據。基于以上原因，以數字簽名技術為核心的安全系統在電子商務和電子政務等領域有著極廣泛的應用。

    傳統的數字簽名安全系統大多數基于C／S的IT架構，由數字簽名服務器和數字簽名客戶端兩部分組成，為業務應用及客戶端程序提供數字簽名、數字信封、可視電子簽章、可信時間戳等安全支撐服務，系統框架如圖1所示。

圖1傳統數字簽名安全系統框架

    數字簽名客戶端SDK以軟件形態提供，支持嵌入B／S或C／S系統中；數字簽名服務端以硬件形態提供，內部由數字簽名服務、電子簽章服務、時間戳服務3個獨立服務組成。在應用環境中涉及很多的關鍵性業務操作和敏感信息的傳送時，業務應用可以通過SDK安全中間件調用數字簽名服務、時間戳服務，實現對數據的完整性驗證、防篡改以及抗抵賴等安全保護，通過電子簽章服務實現可視化的展現。數字簽名安全系統在電子商務和電子政務等領域有著極廣泛的應用，但隨著應用業務數及業務量迅速發展，傳統的數字簽名系統也暴露出諸多不足，具體表現在以下幾個方面：

    1)建設成本高。性能擴充多采用負載或集群的模式實現，需要部署大量的安全設備。安全設備的不斷增加不僅帶來能耗的增加，同時也增加了管理成本，且安全資源不支持動態擴容。

    2)維護成本高。存在與業務應用之間緊耦合、對計算環境依賴性較強、應用接人限制條件較多等問題，導致安全系統的正常運維需要專業人才，為此，業務單位需培養大量的人員投入此項工作。

    3)安全資源利用率低。由于缺乏對安全資源的動態調配與管理能力，導致安全資源利用率較低。

2 數字簽名系統應用云計算技術的意義

    云計算經過幾年的醞釀和發展，逐漸得到業界的認可和推崇。作為一種全新的技術模式，云計算已經成為新一代信息技術變革和業務應用模式變革的核心，云計算的價值主要在于能夠提供平衡資源的高效、可靠且不間斷的服務。云計算架構區別于傳統IT架構主要有5個關鍵特征，分別是按需自服務、寬帶接人、虛擬化的資源池、快速的彈性架構以及可計量的服務。將云計算應用于安全領域已成為各個安全廠商積極研究的課題，安全資源的“云化” 發展已成必然趨勢。結合云計算架構的特征，在數字簽名系統中應用云計算技術的價值主要體現在以下方面：

    1)減少安全設施的建設投入。為滿足企業不同部門、不同業務的應用需求，基于傳統架構的數字簽名系統需要部署大量的安全產品。基于云計算技術可以將安全設施資源進行云化，形成“數字簽名資源池”，按照用戶的需求，通過安全資源調度將不同的物理安全資源動態分配給多個用戶使用。用戶無需關心安全資源設施的確切物理位置，虛擬“池”化的安全資源可以為企業的不同部門提供數字簽名服務，大大降低了安全產品的建設投資。

    2)安全以服務形態提供，提高系統的兼容能力。基于SAAS技術架構實現數字簽名即服務的模式，服務能力通過網絡提供，支持各種標準的接人手段，包括各種B／S、C／S以及其他傳統的業務應用或基于云架構的各種服務；兼容各種終端設備(如PC、手機、PAD等)及計算環境。只要網絡可達，任何終端、任何應用可以隨時獲取數字簽名服務。

    3)安全服務按需使用，提高安全資源的利用率。數字簽名資源池通過動態資源調度為用戶提供安全服務，可以根據需要自動配置安全計算能力，降低冗余，實現數字簽名服務的可彈性調度，通過整合和共享安全硬件設備供應來實現投資利用率最大化。

    4)安全服務動態擴展，按需訂購。數字簽名服務根據業務需要可以快速、彈性地擴展，通過增加安全設施即可增強安全服務能力，并能夠實現快速擴容、快速上線，用戶可以根據需要部署安全基礎設施，并且理論上用戶可以無限制提供安全服務能力。

    5)安全服務自動監控，降低維護成本。云計算模式下，用戶可以對安全服務動態監控，控制優化安全服務的資源使用，實現安全資源的隨需分配和自動增長。并可以按照需要生成報表，方便對安全資源進行評估分析，顯著降低系統的維護成本。

3 云架構數字簽名系統的實現思路

    基于云計算架構的數字簽名系統是利用云計算技術及理念，實現數字簽名安全資源的池化，從而形成統一的安全云服務資源池，為用戶提供按需安全服務，提升整體安全基礎能力及服務提供能力。以下從構建實現模型、實現數字簽名云服務平臺等方面闡述技術實現思路。

    3．1 構建實現模型

    結合云計算架構的關鍵特征，設計的云架構數字簽名服務實現模型框架由3個層次組成，分別是資源層、管理中間件層和服務層 。實現模型框架如圖2所示。

圖2 云架構數字簽名系統實現模型

    各層次的主要內容及關系具體如下：

    1)資源層。資源層為最底層，為上層或者用戶準備其所需要的計算和存儲資源，它由物理資源層以及虛擬化資源層兩部分構成。物理資源層是通過部署安全產品或設備實現，如數字簽名服務器、電子簽章服務器和時間戳服務器等安全設備。虛擬資源池層是可以理解為物理資源的虛擬化整合層，通過虛擬化技術將物理資源層中同類型的資源整合為資源池，如數字簽名服務資源池、電子簽章服務資源池、時間戳服務資源池等。安全資源都可被量化到資源池中，并被動態分配和動態調整，無需重啟系統即可完成資源調配，是實現可伸縮服務的基礎。

    2)管理中間層。管理中間層承上啟下，處于資源層與服務層之間，負責對云計算的安全設施資源進行管理，并通過調度實現對安全資源的動態分配，使安全資源能夠高效、安全、可靠地被調用，是整個數字簽名云服務的核心層。它由資源配置、業務管理和監控審計等功能組成。

    3)服務層。服務層為最上層，面向最終用戶，主要用于以友好的方式提供用戶所需要的內容和服務。它由服務接口、注冊、查找、訪問等功能組成。

    3．2 實現數字簽名云服務平臺

    構建基于云計算架構的數字簽名安全云服務平臺需要遵循以下原則：

    1)技術層面。平臺必須符合云計算的技術架構，使用云計算的相關技術，如虛擬化技術、分布式計算、SOA技術等，從技術上實現安全服務的云化。

    2)管理層面。平臺也必須具備符合云計算架構的管理功能，包括資源的動態調度、業務的自動配置、服務狀態監控等方面，從管理上實現安全服務的云化。

    3)運行層面。平臺能夠實現快速部署，滿足用戶隨時訪問的安全請求，并能夠處理大并發安全請求、根據需要動態擴展服務能力、兼容各種業務應用等方面。

    基于以上原則，結合以上的實現模型，數字簽名云服務平臺邏輯結構如圖3所示。

圖3 數字簽名云服務平臺邏輯結構

    在平臺中部署數字簽名服務器、電子簽章服務器、時間戳服務器等多種安全支撐設備，提供多種安全能力；基于虛擬化技術封裝各種安全能力標準接口，屏蔽各種安全設備的差異性，將各種安全能力整合為資源池，如數字簽名服務資源池、電子簽章服務資源池、時間戳服務資源池等。在平臺中實現數字簽名服務、電子簽章服務、可信時間戳服務等多種安全服務，并提供對外服務界面；支持安全服務接口和安全服務門戶兩種方式與上層應用進行交互，安全服務接口采用主流的WebService方式或傳統的API方式；安全服務門戶是基于Web方式提供服務。在平臺中實現對安全云服務的管理，包括業務管理、資源配置和監控審計等多方面管理功能，提供統一的管理界面，實現安全資源的動態調度、自動配置、集中監控、報表生成、審計追蹤等內容。平臺兼容各種應用場景，服務于各種業務應用對象，如電子商務應用、電子政務應用、企業內部應用、云環境應用以及其他各種形式的應用。

    綜上所述，基于云計算架構的數字簽名服務的實現是通過整合各種安全設施資源，開放安全能力，形成數字簽名資源池，并通過網絡為IT環境包括云環境的系統和數據，提供可彈性調度、按需訂購的數字簽名安全服務，提供數字簽名即服務的服務模式，最終實現數字簽名安全服務的“云化” 。

    3．3 數字簽名云服務平臺的特點

    云計算是一種全新的技術模式，其實質是把大量的技術資源組成一個可分配和回收的計算資源池，用于動態創建高度虛擬化的資源供用戶使用。基于云計算架構的數字簽名云服務平臺通過整合、共享和動態的安全設備資源，為用戶提供按需分配、動態擴展的數字簽名安全服務，對安全設備資源的可伸縮擴展和安全服務連續性提供支持 。數字簽名云服務平臺具備以下特點：①安全服務可以隨時獲取；② 安全服務可以按需彈性擴展；③ 安全服務可以隨需分配、高效使用；④安全服務可以遠程管理、動態監控、優化使用；⑤ 安全設備資源可以動態再部署、快速上線。

4 結語

    云計算是一種全新的技術模式，其實質是把大量的技術資源組成一個可分配和回收的計算資源池，用于動態創建高度虛擬化的資源供用戶使用 。基于云計算架構的數字簽名云服務平臺通過整合、共享和動態的安全設備資源，為用戶提供按需分配、動態擴展的數字簽名安全服務，對安全設備資源的可伸縮擴展和對安全服務連續性提供支持，有利于降低企業安全設施資源的投資成本和維護成本，增強安全服務的可靠能力以及實現安全設施資源的利用最大化。有理由相信，安全資源的“云化”發展已成必然趨勢。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：基于云計算架構的數字簽名系統設計

本文網址：http://m.hanmeixuan.com/html/consultation/1083979316.html