基于密码技术的云安全服务商

新闻中心

当前位置:首页 > 新闻中心 > 行业动态

云中数据加密需要多高的性能?

来源:原创 | 浏览:0 | 时间:2015-10-16 15:54:45

一、云计算时代的数据安全问题

信息技术的架构,在1980年之前,是主机-终端的模式。1980年之后,转变到客户机-服务器模式。也许还有一个阶段可以叫做浏览器-服务器模式,但从大的框架来看,这应该算是属于客户机-服务器架构的一个特例。

现在,又在进行一个架构性的转变,“云计算”。

美国国家标准与技术研究院(NIST)定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。

可以说,云计算的一个本质特征是“按需付费”,把计算资源变成象水电一样的资源。这就象以前用水是每家自己打一口井,而现在是用自开水一样。

这种变化带来了高度的灵活性,用户既不需自己购买计算设备,也不用操心计算设备位于哪里,只管使用就可以了。但是,正是因为这种高度的灵活性,也带来了安全方面的挑战。

云计算和用水用电的区别在于,用水用电的时候,只是取来用就好,不用拿什么东西出去,你不需要担心因为用电而把冰箱、电视机弄丢了。而云计算不同,是需要把数据送出去进行处理或存储的。当涉及到敏感数据的时候,就成为一个很重要的问题了。比如公司的财务数据,个人的通讯录、隐私照片,这类信息如果送到云上不知道位于什么地方的机器进行处理,如果被别人读取到怎么办?如果被篡改了怎么办?在未知的地方留下拷贝怎么办?

这就是云计算需要解决的安全挑战。

二、基于密码技术的解决方案

传统的安全技术,如防火墙,入侵检测,防病毒防木马软件,这一类技术在解决传统网络架构的安全问题时是有效的,但面对云计算中新产生的问题,就难以解决了。我们需要不同的思路来解决新的问题。

密码技术是信息安全中一项重要的技术。这里的“密码”并非指“口令”,而是指以数论等学科为基础的,“数据加密”、“数字签名”、“身份认证”等技术。

密码技术虽然不象防火墙、防病毒技术那么广为人知,但是在很多关键应用中起着不可替代的作用。比如现在很普及的网络银行,在我们通过网络进行支付的时候,在后台就是密码技术在保护着我们资金的安全。

对于前面提到的,数据存到云上导致不可控的问题,通过密码技术来进行加密,是一个较为可行的解决方案。

当要处理的数据从用户发送到云时,通过加密的数据传输通道来进行,这样消除在传输通道上进行窃听或篡改的安全威胁。当数据送达云服务器后,数据的存储是在加密后进行。也就是说,数据一旦落到硬盘上,就变成密文了。而加密的密钥掌握在用户手中,没有密钥,即使窃取了数据,也只会看到一堆乱码。再配合“三员分立”等措施,避免管理员“监守自盗”的问题,从而构造完整的数据安全保护体系。

三、基于硬件的加密

对数据的加密,可以通过软件方式来实现,也可以通过硬件方式来实现。软件方式实现的长处是较为简单,成本较低。软件方式的短处是会消耗CPU的计算资源,降低CPU对主要业务的处理能力。但这不是最主要的问题。最主要,也是严重的问题是,软件方式实现,其安全性较低。

原因在于,软件方式实现时,对加密来说最为关键的密钥会出现在服务器内存中。在这种状况下,一旦系统出现漏洞被黑客侵入,密钥就会被访问到,那么所有的加密保护都失效了,都会被破解。

而硬件方式实现,数据的加密会在专用的硬件模块中进行。密钥保存在硬件模块中,从硬件层面保证密钥不会出现在主机内存中。只能是明文数据进入硬件模块,完成加密后送出密文,或者反之,送入密文,送出明文。

在这种架构下,即使主机被入侵,最多只能暂时冒充用户调用硬件模块进行加解密操作,而无法盗走密钥,大大降低了损害程度。

在不久前出现的OpenSSL的HeartBleed漏洞,就是软件加密在出现漏洞后密钥被盗的一个例子。如果是采用硬件实现加密,就不会受到该漏洞的影响。事实上,北京三未信安科技发展有限公司的硬件密码卡早已支持OpenSSL,可以替换其中的软件加密模块。

四、云中的数据加密需要多高的性能?

由于云计算环境的高速传输、海量数据的特点,需要很高性能的加密硬件来支持。普通的硬件加密模块是无法满足其性能要求的。

以现在主流的SATA接口硬盘为例:

SATA1.0传输速率为1.5Gbps

SATA2.0传输速率为3Gbps

SATA3.0传输速率为6Gbps

以上传输性能,对机械硬盘而言,是绰绰有余了。但是对高性能的固态(SSD)硬盘,近年来也成为了瓶颈。因此,最新的SATA Express标准,达到了12Gbps的传输速率。

现在国内成熟的加密卡,国密对称算法性能在数百兆的水平。面对SATA的传输性能,差距太大。以至于,存储数据的加密虽然是个很好的思路,但由于加密性能不够而不可行。

针对这个问题,三未信安公司也在加密硬件方面做了大量工作,实现了高速密码算法和高速PCIE传输的有机结合。现在已推出国内最快的国密算法加密产品,加密性能可以达到14Gbps的性能(从主机端测试),略高于SATA Express的性能,完全可以支持云计算中存储加密的需求。