分布式按需提供密码服务调用方案

随着云计算和大数据时代的到来,在去中心、大规模、高度动态的环境下,数据传输的安全与身份权限的合法性认证越来越受到关注,由此引入了各种类型业务应用对不同种类密码服务的需求。基于此种需求,对分布式网络环境下的多业务差异化密码服务调度方法进行研究。首先,提出一种基于熵权法的差异化密码服务评价方法;然后,利用Gossip协议,同步分布式节点间的负载信息;接着,结合前馈神经网络的负载预测,提出一种多业务差异化密码服务调度方案;最后,通过对比测试与分析,结果表明方案在保证密码服务高效调度的同时具有较强的扩展性与上限。

云环境下协同作业的密码服务优化调度算法

针对云环境下密码按需服务中多个计算作业协同服务的需求,提出了多密码作业协同服务的调度算法,能够充分应对密码算法种类多、并发需求高、作业随机交叉和作业负载瞬时激增等云环境下的新挑战。考虑每个密码计算作业之间的依赖关系、密码作业的完成时间需求以及密码计算单元的最大算力,以最小化能耗、迁移成本和瞬时激增负载的适应度为优化目标,将多密码作业协同服务调度问题建模为多目标优化的作业流调度问题,并提出“选择-排序”两阶段调度算法,在选择阶段,采用改进NSGA-III算法为密码计算作业选择合适的计算单元,在排序阶段,根据作业紧迫程度决定执行顺序。仿真结果表明,所提调度算法在能耗、迁移成本和对瞬时激增的作业负载的适应度方面优于传统调度算法。

云密码服务应用安全性评估分析与探讨

由于云平台自身特殊性,在云平台密码应用测评过程中,会面临密码服务需求不清晰、测评点难以确定、涉及虚拟机迁移安全测评等疑难问题。针对上述问题,该文通过对云平台密码保障建设系统的架构和保护对象进行梳理,对云密码服务资源池、统一密码服务、密钥隔离安全服务等各层面需求进行分析,明确云密码服务各层面常见测评点,并重点对云平台应用和数据层面测评对象确定、云平台密评责任和范围划分、虚拟机迁移安全测评等相关问题进行研究和探讨,为云平台密码应用测评实践提供参考借鉴和理论指导,以协助密评人员解决云平台密码应用测评过程中相关疑难问题。

基于云密码服务的虚拟资源池混合调度方法

云计算作为当前时代一种以弹性服务为核心的高效计算新式服务,如何高效保护云计算安全一直是研究的重点。在云计算环境下合理使用密码服务是解决云计算安全的重要途径,通过对现有密码服务资源调度方案进行分析,设计了一种新的基于云密码服务的虚拟资源池混合调度方法,使得密码资源调度符合密码服务高性能、高资源利用率的需求。仿真结果表明设计的混合调度方法相比传统调度方案在性能和资源利用率方面有较大提升。

密码服务系统研究综述

密码服务系统是将基本密码算法运算功能、密码资源管理功能以及密钥管理机制综合起来,面向上层安全应用提供密码安全服务的计算机系统。其中,安全服务是在已有密码设备功能或密码软件包功能的基础上面向上层安全应用进行了高度抽象、概括和集成的结果。从工程应用的角度对密码服务系统实现过程中的体系结构、密码算法、密钥管理及其相关硬件的研究进展进行了综述,分析了使用密码设备组建密码服务系统的方法、需求,基于安全应用的需求,结合对前人工作和市场现有产品的分析,指出了现有密码服务系统的设计与工程化实现中需要进一步研究的方面和问题。

基于ISSM的密码服务系统虚拟化性能建模

针对密码服务系统虚拟化结构复杂导致性能建模难度大的问题,提出了一种基于交互随机子模型(Interactive Stochastic Sub-Models,ISSMs)的性能建模方法,将任务执行过程划分为主机预处理和运算单元执行两个阶段,并基于排队论分别建立了两个子模型。在此基础上对密码服务系统虚拟化性能模型的有效性进行了验证。结果表明,所建模型能够定量分析任务的到达速率、主机配置与密码卡配置对系统性能的影响,该模型同时也有助于指导云计算环境下密码服务系统虚拟化部署方案的设计。

高性能密码服务系统体系结构设计

随着大型电子商务和电子政务系统中客户数量的增多,主机端密码系统的性能成为提供安全服务限制因素,针对该问题提出了一种基于高性能、可编程密码模块硬件的密码服务系统体系结构。通过设计统一设备API(ApplicationProgramInterface)接口和在模块内的芯片之间实现并行密码运算,该方法可以实现系统密码运算的高性能。该系统已在IBMServices345服务器和密码模块硬件上实现。通过对1024位RSA签名性能与并行密码模块数目间的关系进行测试分析,结果显示,基于该体系结构实现的密码服务系统是高性能的和可扩展的。

高性能密码服务器的并行数据处理

随着大型电子商务和电子政务系统中客户数量的增多,主机端密码系统的性能成为提供安全服务的限制因素。提出了一种基于可编程密码模块的密码服务器体系结构。通过在模块中使用密码算法代理抽象密码芯片运算资源,管理机可以调度系统计算资源支持多模块内多密码芯片间的并行密码运算。在IBMService345和SJW系列PCI密码卡上,设计实现了基于算法代理间并行运算的高性能密码服务器。测试结果显示:用20个SSX04模幂运算芯片间并行签名(1024 bitRSA)速率达到1100次/s;用10个对称密码算法芯片并行加密(ECB模式),系统吞吐率达到312.6Mbps。

基于服务架构的密码服务系统认证方案研究

传统密码服务系统呈"烟囱式"结构,造成了不同部门之间加密通信困难,信息资源难以共享,不适应信息化条件下的应用协作要求。文章提出了一种面向服务架构的密码服务系统,实现了互联互通互操作,同时提出了一种认证方案,实现用户与服务系统的双向认证,增强了系统安全性,提高了协议效率。现有PKI系统公钥证书验证的效率低,建立域间信任路径过程复杂、路径有效性验证效率低且信任路径过长,甚至可能出现回路等问题,导致跨域认证效率低。文章提出基于XKMS的域间信任建立方法,省去域间信任路径的建立和验证两个过程,构建起任意两个IDP之间的直接信任关系,减少信任路径构建的复杂性及其长度,在保留PKI系统优势的同时,简化了系统交互过程,提高跨域认证效率。文章通过与现有方案对比,表明本文方案的认证效率得到一定程度的提高。

基于抽象服务的密码服务组合模型设计与实现

传统的密码服务与应用系统的紧耦合,不能满足新的业务需求,同时严重制约了密码服务的发展。为了提高密码服务质量和扩展其应用范围,根据密码服务的特点,对其进行抽象归类,构建抽象服务。并在此基础上结合面向服务的体系架构,利用BPEL和Pi演算的转换,设计了可以动态调度和智能优化的密码服务组合模型。该模型不但可以实现业务流程的图形化编排,而且可以对流程进行形式化分析和正确性检测。最后给出了原型系统的设计思想和实现方法。

并行密码服务器的密钥同步管理协议

针对并行密码服务器在安全模块之间实现密钥同步时面临的系统内部安全问题,建立密码服务系统密钥同步管理的安全模型,从工程化角度对安全模块间密钥同步协议进行设计与实现,包括密码服务器密钥同步初始化协议、同步主密钥的生成与管理协议、密钥初始化环境建立协议、新HSM的密钥同步协议4个子协议,给出协议的安全性分析。

面向SOA的密码服务安全框架研究

SOA环境下用户管理的分布性、业务协作的动态性、以及服务的开放性给密码服务带来了极大的安全挑战。文章建立了一种安全框架,该框架定义了完整的安全服务集合和接口,可满足密码服务安全接入、访问控制、安全共享的特殊要求,为面向SOA的密码服务提供了安全保障。

基于多引擎并发的密码服务软件架构

密码服务软件为安全应用系统提供随机数、对称加密、非对称加密、数字签名验签、摘要运算、消息验证码运算等密码服务。高性能并发是密码服务软件要解决的关键问题,本文针对这一问题,利用多线程并发、无锁队列、多包处理机制对比研究,提出了一种基于多引擎并行处理的软件架构。实验结果表明多引擎并行处理的架构设计可以大幅度提高密码服务软件的数据处理性能。

多任务密码服务系统设计与实现

在当前的安全体系架构中,大多数密码服务均由密码服务中间件保障,其共同特点是功能性强但安全性不高。针对上述问题指出了一种解决思路,将密码运行与密钥管理下移至安全的硬件设备内。ISO/IEC 7816标准是当前智能卡的国际标准,其中7816-8描述与安全相关的行业间命令。文章在结构上改进一个以ISO/IEC 7816-8为设计蓝本的密码服务系统,加入一个中间层,称之为运行环境,设计了运行环境的结构;设计完善了管理安全环境命令;制定了密码服务多任务运行调度策略,实现了任务间的动态切换,得到了一个多任务密码服务系统。

密码服务器系统安全体系结构分析与研究

针对大型密码服务系统性能扩充和功能扩展的应用需求,从易用性、安全性、可扩展性方面分析了CDSA、CCA、Cryptoki和Cryptlib等密码安全体系结构及其安全API的特点.设计了密码集群系统的安全体系结构与安全API接口.对原型系统进行了实验和测试.使用20块SSX04芯片并行签名,可以实现1100次/s的系统总体签名（1024bits）速度.使用10块对称算法芯片并行加密（ECB模式）,可以实现312.6 Mbps的对称加密速度.表明该体系结构具有较好的扩展性.

云密码服务中密钥保护体系设计

为解决云服务在用户隐私、数据保护等安全方面的问题,云密码服务应运而生。面对云服务中用户数量多、需求差异大等特点,云密码服务一般提供海量密钥。如何在云密码服务中结合虚拟密码机设计有效的密钥保护体系成为云密码服务中关键的问题。本文结合虚拟密码机之间的独立、隔离特性,设计以虚拟密码机中密钥库为核心的密钥保护体系。在该体系中,从虚拟密码机、云密码服务两个层面将海量密钥实现分层逐级保护,同时,对密钥的远程管理需求,设计基于密码技术的身份认证且建立安全通信通道。

密码服务提供程序在安全数字化档案管理系统中的应用研究

高效率数字化档案管理和信息流通是现代企业运营的关键,然而,档案信息安全性如果没有保障,将使企业蒙受重大损失.研究结合某企业的数字档案管理系统的工程过程,在剖析Windows的安全体系结构的基础上,构造基于密码服务程序实现信息安全的解决方案,设计于采用数字证书平台建立安全凭证的保密通信群机制,提出实施CSP本地化工程来打造自主知识产权的可信密码服务计算环境的策略.

密码服务API通用可组合框架

密码服务API是各类信息系统获取密码服务的入口,为信息系统的密钥协商、信息加密和身份认证等提供密码算法的调用与处理,当前攻击者针对API设计缺陷或漏洞,绕过系统安全策略或者非正常调用密码处理过程,从而达到欺骗密码服务系统,获取密码系统内部的密码资源或秘密信息.本文通过研究密码服务API功能函数组合应用的安全性证明问题,提出了密码服务API的通用可组合框架,旨在通过形式化分析方法对密码服务API的安全性进行验证.在通用可组合安全框架下,添加了支持密码服务API全局状态的记录、读取和操作,提出了密码服务API通用可组合安全框架.对理想模型下、现实模型下和混合模型下的密码服务API执行过程进行了形式化描述,通过基础定理的证明验证了在API通用可组合框架下,以API基础功能为基础,验证复杂API安全性是可行的.

基于密码服务平台的USB Key身份认证方案

为解决传统身份认证技术在密码服务平台认证系统中应用存在的安全问题,提出一种基于该密码服务平台的USB Key身份认证方案。用户终端向密码服务平台获取密码服务时,可以更好地保护用户终端和密码服务平台的数据安全并提高身份认证过程的安全性。该方案主要由两部分构成:提出一种基于USB Key且适用于密码服务平台的远程登录模型;针对该模型给出一种安全的认证登录协议。经过安全性分析,该协议和模型能有效抵御密码服务平台的内部和外部攻击、重放攻击以及中间人攻击等风险。

通用高性能密码服务系统模型

互联网行业的飞速发展,使安全传输成为关注的焦点,单一密码机的性能已经不能满足日益增长的安全服务需求.提出了一种通用的高性能密码服务系统模型,通过统一的服务接口设计和相应的密码服务资源调度算法,实现不同密码机密码服务资源的统一管理.经测试,基于该模型实现的密码服务系统能够很好地满足互联网应用安全传输的安全服务需求.