2024云密碼應(yīng)用指南

云環(huán)境內(nèi)的密碼應(yīng)用指南目次范 引用文 術(shù)語和定 術(shù) 縮略 云計算概 云計算的主要特 服務(wù)模 云環(huán)境內(nèi)的密碼應(yīng) 概 IaaS服務(wù)模式下的密碼應(yīng) PaaS服務(wù)模式下的密碼應(yīng) SaaS服務(wù)模式下的密碼應(yīng) 云環(huán)境內(nèi)的密碼應(yīng)用指南GB/T5271.8-20018GB/T25069-2010GB/T31167-2014信息安全技術(shù)云計算服務(wù)安全指南GB/T31168-2014GB/T31915-2015信息安全技術(shù)彈性計算應(yīng)用接口GB/T32400-2015GM/Z0001-2013云計算cloud通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理cloudservicecloudservice虛擬化虛擬機(jī)監(jiān)視器一種虛擬資源的管理軟件，協(xié)調(diào)多個客戶操作系統(tǒng)對宿主機(jī)硬件資源的訪問，并虛擬機(jī)鏡像virtualmachine配置虛擬機(jī)所需的元數(shù)據(jù)集合，包括CPU密鑰加密解密 4云計算概述按需自助服務(wù)。在不需或較少云服務(wù)商的人員參與情況下，客戶能根據(jù)需要獲個客戶試用。這些物理的、虛擬的資源根據(jù)客戶的需求進(jìn)行動態(tài)分配或重新分服務(wù)可計量。云計算按照多種計量方式自動控制或量化資源，計量對象可以是（IaaS：IaaS戶的操作系統(tǒng)和應(yīng)用程序可以遷移到云提供商的硬件，這些硬件有可能取代公司的數(shù)據(jù)中心基礎(chǔ)設(shè)施。用戶無需管理或者控制底層的云基礎(chǔ)設(shè)施，但是可以（PaaS運行環(huán)境配置。PaaS允許云消費者創(chuàng)建自己的云應(yīng)用。從根本上來說，云提供（SaaS力。這些應(yīng)用可以借助不同終端設(shè)備通過一個瘦客戶機(jī)端口進(jìn)行訪問。用戶無IaaSIaaSHypervisorAPI調(diào)用進(jìn)在完成虛擬機(jī)模板的創(chuàng)建時云服務(wù)商就使用其私鑰對虛擬機(jī)模板進(jìn)行數(shù)字簽名，由云服務(wù)商生成一對公鑰和私鑰，云服務(wù)商保有私鑰，而云用戶使用云服務(wù)商在認(rèn)證時，云服務(wù)商使用加密函數(shù)和私鑰計算出一個消息認(rèn)證碼，然后將虛擬云用戶使用虛擬機(jī)模板、云服務(wù)商公鑰和加密函數(shù)進(jìn)行運算，得到另一個消息通過比較計算出的驗證碼與從云服務(wù)商處接收到的驗證碼是否一致，可驗證虛IaaS云用戶通過訪問hypervisor的管理接口來實現(xiàn)虛擬機(jī)的啟動操作及其后續(xù)的生對虛擬機(jī)管理接口的API云用戶需要生成一對公/私鑰對，用于APISSHTLS此安全會話來實現(xiàn)API的安全調(diào)用。SSH技術(shù)和密鑰技術(shù)來實現(xiàn)安全會話的創(chuàng)建。虛擬機(jī)將公鑰添加到協(xié)議(FTP,SCP)中或添加到控制臺命令支持的SSH登錄實例的應(yīng)用程序用戶可以通過創(chuàng)建安全會話和強(qiáng)身份認(rèn)證機(jī)制與這些應(yīng)用程序安全地交互。所采用的最常見的技術(shù)是傳輸層安全（TLS）協(xié)議。TLS讓服務(wù)實例和客戶端可以IaaSIaaS云用戶需要數(shù)據(jù)存儲服務(wù)。數(shù)據(jù)存儲服務(wù)需要覆蓋各種靜態(tài)數(shù)據(jù)IaaS為了存儲虛擬機(jī)實例上運行的應(yīng)用程序生成的結(jié)構(gòu)化數(shù)據(jù)，IaaS云用戶可使用云服務(wù)商的數(shù)據(jù)庫服務(wù)，并通過對數(shù)據(jù)庫管理系統(tǒng)實例進(jìn)行加密以滿足其業(yè)務(wù)和安全需求，數(shù)據(jù)庫級加密或用戶級加密。用戶級加密又稱為數(shù)據(jù)庫級加密。用戶能夠選擇進(jìn)行加密。對于不同的數(shù)據(jù)庫對象，數(shù)據(jù)庫級加密或用戶級加密需要使用不同PaaSPaaS云服務(wù)為用戶提供計算平臺和必要的應(yīng)用程序開發(fā)工具來開發(fā)和部署應(yīng)用程PaaS云服務(wù)的安全，可應(yīng)用于以下兩個場景：PaaS平臺在與部署的應(yīng)用程序和/PaaS云服務(wù)時能夠保證應(yīng)用程序靜態(tài)數(shù)據(jù)和處理/生成的動態(tài)數(shù)據(jù)得到安PaaSPaaS平臺與部署的應(yīng)用程序和/或開發(fā)工具實例進(jìn)行通信時能建立安全的交SSL/TLSPaaSPaaS云平臺之間的安全通信。PaaS為使應(yīng)用程序靜態(tài)數(shù)據(jù)和處理/生成的動態(tài)數(shù)據(jù)能夠得到安全的存儲，可采用文件SaaSSaaS云服務(wù)提供了對云提供商托管的應(yīng)用程序的訪問功能。SaaS云服務(wù)中的密碼SaaS云用戶通過創(chuàng)建安全會話和強(qiáng)身份認(rèn)證機(jī)制與應(yīng)用程序安全地交互，并根SaaS云用戶的數(shù)據(jù)存儲在云提供商處，且與其他租戶共享資源環(huán)境。為防止數(shù)據(jù)泄露，SaaS用戶需以加密形式存儲應(yīng)用程序生成/處理的數(shù)據(jù)。SaaSSaaS如果數(shù)據(jù)庫的所有字段都需要加密，考慮到加密操作的規(guī)模性，則可由云提供如果每位云用戶都只需要對一部分字段進(jìn)行選擇性加密，由于各個用戶選擇的SaaS云服務(wù)商提供的。為了高效地加密