引言

    云計算經過幾年的醞釀和發(fā)展，時至今日已成為當前業(yè)界乃至全社會關注的焦點和熱點，云計算時代被業(yè)界廣泛認為是繼PC和互聯(lián)網之后的第三次rI、浪潮。云計算自身具備的高性能、低成本、高可靠性等特點能極大地提高n1資源的利用率，云計算技術也成為新一代信息技術變革和業(yè)務應用模式變革的核心，核心應用正從傳統(tǒng)的rr架構向云計算架構轉變 。將云計算技術及理念應用于安全領域已成為各個安全廠商積極研究的課題，通過對安全設施資源進行云化，形成安全能力資源池，并通過網絡為rr環(huán)境提供可彈性調度、按需訂購的安全服務，實現(xiàn)安全即服務的模式。

1 傳統(tǒng)的數(shù)字簽名系統(tǒng)架構

    隨著信息技術的飛速發(fā)展以及信息化建設的逐步深入，隨之而來的信息安全問題日益加劇�，F(xiàn)代密碼學已成為解決信息安全問題的技術核心，數(shù)字簽名是現(xiàn)代密碼學的主要研究內容之一。數(shù)字簽名技術在身份識別和認證、數(shù)據完整勝、抗抵賴等方面具有其他技術無法替代的作用，已經頒布實施的《中華人民共和國電子簽名法》(以下簡稱《電子簽名法》為數(shù)字簽名技術的應用提供了法律依據�；�于以上原因，以數(shù)字簽名技術為核心的安全系統(tǒng)在電子商務和電子政務等領域有著極廣泛的應用。

    傳統(tǒng)的數(shù)字簽名安全系統(tǒng)大多數(shù)基于C／S的IT架構，由數(shù)字簽名服務器和數(shù)字簽名客戶端兩部分組成，為業(yè)務應用及客戶端程序提供數(shù)字簽名、數(shù)字信封、可視電子簽章、可信時間戳等安全支撐服務，系統(tǒng)框架如圖1所示。

圖1傳統(tǒng)數(shù)字簽名安全系統(tǒng)框架

    數(shù)字簽名客戶端SDK以軟件形態(tài)提供，支持嵌入B／S或C／S系統(tǒng)中；數(shù)字簽名服務端以硬件形態(tài)提供，內部由數(shù)字簽名服務、電子簽章服務、時間戳服務3個獨立服務組成。在應用環(huán)境中涉及很多的關鍵性業(yè)務操作和敏感信息的傳送時，業(yè)務應用可以通過SDK安全中間件調用數(shù)字簽名服務、時間戳服務，實現(xiàn)對數(shù)據的完整性驗證、防篡改以及抗抵賴等安全保護，通過電子簽章服務實現(xiàn)可視化的展現(xiàn)。數(shù)字簽名安全系統(tǒng)在電子商務和電子政務等領域有著極廣泛的應用，但隨著應用業(yè)務數(shù)及業(yè)務量迅速發(fā)展，傳統(tǒng)的數(shù)字簽名系統(tǒng)也暴露出諸多不足，具體表現(xiàn)在以下幾個方面：

    1)建設成本高。性能擴充多采用負載或集群的模式實現(xiàn)，需要部署大量的安全設備。安全設備的不斷增加不僅帶來能耗的增加，同時也增加了管理成本，且安全資源不支持動態(tài)擴容。

    2)維護成本高。存在與業(yè)務應用之間緊耦合、對計算環(huán)境依賴性較強、應用接人限制條件較多等問題，導致安全系統(tǒng)的正常運維需要專業(yè)人才，為此，業(yè)務單位需培養(yǎng)大量的人員投入此項工作。

    3)安全資源利用率低。由于缺乏對安全資源的動態(tài)調配與管理能力，導致安全資源利用率較低。

2 數(shù)字簽名系統(tǒng)應用云計算技術的意義

    云計算經過幾年的醞釀和發(fā)展，逐漸得到業(yè)界的認可和推崇。作為一種全新的技術模式，云計算已經成為新一代信息技術變革和業(yè)務應用模式變革的核心，云計算的價值主要在于能夠提供平衡資源的高效、可靠且不間斷的服務。云計算架構區(qū)別于傳統(tǒng)IT架構主要有5個關鍵特征，分別是按需自服務、寬帶接人、虛擬化的資源池、快速的彈性架構以及可計量的服務。將云計算應用于安全領域已成為各個安全廠商積極研究的課題，安全資源的“云化” 發(fā)展已成必然趨勢。結合云計算架構的特征，在數(shù)字簽名系統(tǒng)中應用云計算技術的價值主要體現(xiàn)在以下方面：

    1)減少安全設施的建設投入。為滿足企業(yè)不同部門、不同業(yè)務的應用需求，基于傳統(tǒng)架構的數(shù)字簽名系統(tǒng)需要部署大量的安全產品�；�于云計算技術可以將安全設施資源進行云化，形成“數(shù)字簽名資源池”，按照用戶的需求，通過安全資源調度將不同的物理安全資源動態(tài)分配給多個用戶使用。用戶無需關心安全資源設施的確切物理位置，虛擬“池”化的安全資源可以為企業(yè)的不同部門提供數(shù)字簽名服務，大大降低了安全產品的建設投資。

    2)安全以服務形態(tài)提供，提高系統(tǒng)的兼容能力。基于SAAS技術架構實現(xiàn)數(shù)字簽名即服務的模式，服務能力通過網絡提供，支持各種標準的接人手段，包括各種B／S、C／S以及其他傳統(tǒng)的業(yè)務應用或基于云架構的各種服務；兼容各種終端設備(如PC、手機、PAD等)及計算環(huán)境。只要網絡可達，任何終端、任何應用可以隨時獲取數(shù)字簽名服務。

    3)安全服務按需使用，提高安全資源的利用率。數(shù)字簽名資源池通過動態(tài)資源調度為用戶提供安全服務，可以根據需要自動配置安全計算能力，降低冗余，實現(xiàn)數(shù)字簽名服務的可彈性調度，通過整合和共享安全硬件設備供應來實現(xiàn)投資利用率最大化。

    4)安全服務動態(tài)擴展，按需訂購。數(shù)字簽名服務根據業(yè)務需要可以快速、彈性地擴展，通過增加安全設施即可增強安全服務能力，并能夠實現(xiàn)快速擴容、快速上線，用戶可以根據需要部署安全基礎設施，并且理論上用戶可以無限制提供安全服務能力。

    5)安全服務自動監(jiān)控，降低維護成本。云計算模式下，用戶可以對安全服務動態(tài)監(jiān)控，控制優(yōu)化安全服務的資源使用，實現(xiàn)安全資源的隨需分配和自動增長。并可以按照需要生成報表，方便對安全資源進行評估分析，顯著降低系統(tǒng)的維護成本。

3 云架構數(shù)字簽名系統(tǒng)的實現(xiàn)思路

    基于云計算架構的數(shù)字簽名系統(tǒng)是利用云計算技術及理念，實現(xiàn)數(shù)字簽名安全資源的池化，從而形成統(tǒng)一的安全云服務資源池，為用戶提供按需安全服務，提升整體安全基礎能力及服務提供能力。以下從構建實現(xiàn)模型、實現(xiàn)數(shù)字簽名云服務平臺等方面闡述技術實現(xiàn)思路。

    3．1 構建實現(xiàn)模型

    結合云計算架構的關鍵特征，設計的云架構數(shù)字簽名服務實現(xiàn)模型框架由3個層次組成，分別是資源層、管理中間件層和服務層 。實現(xiàn)模型框架如圖2所示。

圖2 云架構數(shù)字簽名系統(tǒng)實現(xiàn)模型

    各層次的主要內容及關系具體如下：

    1)資源層。資源層為最底層，為上層或者用戶準備其所需要的計算和存儲資源，它由物理資源層以及虛擬化資源層兩部分構成。物理資源層是通過部署安全產品或設備實現(xiàn)，如數(shù)字簽名服務器、電子簽章服務器和時間戳服務器等安全設備。虛擬資源池層是可以理解為物理資源的虛擬化整合層，通過虛擬化技術將物理資源層中同類型的資源整合為資源池，如數(shù)字簽名服務資源池、電子簽章服務資源池、時間戳服務資源池等。安全資源都可被量化到資源池中，并被動態(tài)分配和動態(tài)調整，無需重啟系統(tǒng)即可完成資源調配，是實現(xiàn)可伸縮服務的基礎。

    2)管理中間層。管理中間層承上啟下，處于資源層與服務層之間，負責對云計算的安全設施資源進行管理，并通過調度實現(xiàn)對安全資源的動態(tài)分配，使安全資源能夠高效、安全、可靠地被調用，是整個數(shù)字簽名云服務的核心層。它由資源配置、業(yè)務管理和監(jiān)控審計等功能組成。

    3)服務層。服務層為最上層，面向最終用戶，主要用于以友好的方式提供用戶所需要的內容和服務。它由服務接口、注冊、查找、訪問等功能組成。

    3．2 實現(xiàn)數(shù)字簽名云服務平臺

    構建基于云計算架構的數(shù)字簽名安全云服務平臺需要遵循以下原則：

    1)技術層面。平臺必須符合云計算的技術架構，使用云計算的相關技術，如虛擬化技術、分布式計算、SOA技術等，從技術上實現(xiàn)安全服務的云化。

    2)管理層面。平臺也必須具備符合云計算架構的管理功能，包括資源的動態(tài)調度、業(yè)務的自動配置、服務狀態(tài)監(jiān)控等方面，從管理上實現(xiàn)安全服務的云化。

    3)運行層面。平臺能夠實現(xiàn)快速部署，滿足用戶隨時訪問的安全請求，并能夠處理大并發(fā)安全請求、根據需要動態(tài)擴展服務能力、兼容各種業(yè)務應用等方面。

    基于以上原則，結合以上的實現(xiàn)模型，數(shù)字簽名云服務平臺邏輯結構如圖3所示。

圖3 數(shù)字簽名云服務平臺邏輯結構

    在平臺中部署數(shù)字簽名服務器、電子簽章服務器、時間戳服務器等多種安全支撐設備，提供多種安全能力；基于虛擬化技術封裝各種安全能力標準接口，屏蔽各種安全設備的差異性，將各種安全能力整合為資源池，如數(shù)字簽名服務資源池、電子簽章服務資源池、時間戳服務資源池等。在平臺中實現(xiàn)數(shù)字簽名服務、電子簽章服務、可信時間戳服務等多種安全服務，并提供對外服務界面；支持安全服務接口和安全服務門戶兩種方式與上層應用進行交互，安全服務接口采用主流的WebService方式或傳統(tǒng)的API方式；安全服務門戶是基于Web方式提供服務。在平臺中實現(xiàn)對安全云服務的管理，包括業(yè)務管理、資源配置和監(jiān)控審計等多方面管理功能，提供統(tǒng)一的管理界面，實現(xiàn)安全資源的動態(tài)調度、自動配置、集中監(jiān)控、報表生成、審計追蹤等內容。平臺兼容各種應用場景，服務于各種業(yè)務應用對象，如電子商務應用、電子政務應用、企業(yè)內部應用、云環(huán)境應用以及其他各種形式的應用。

    綜上所述，基于云計算架構的數(shù)字簽名服務的實現(xiàn)是通過整合各種安全設施資源，開放安全能力，形成數(shù)字簽名資源池，并通過網絡為IT環(huán)境包括云環(huán)境的系統(tǒng)和數(shù)據，提供可彈性調度、按需訂購的數(shù)字簽名安全服務，提供數(shù)字簽名即服務的服務模式，最終實現(xiàn)數(shù)字簽名安全服務的“云化” 。

    3．3 數(shù)字簽名云服務平臺的特點

    云計算是一種全新的技術模式，其實質是把大量的技術資源組成一個可分配和回收的計算資源池，用于動態(tài)創(chuàng)建高度虛擬化的資源供用戶使用�；�于云計算架構的數(shù)字簽名云服務平臺通過整合、共享和動態(tài)的安全設備資源，為用戶提供按需分配、動態(tài)擴展的數(shù)字簽名安全服務，對安全設備資源的可伸縮擴展和安全服務連續(xù)性提供支持 。數(shù)字簽名云服務平臺具備以下特點：①安全服務可以隨時獲��；② 安全服務可以按需彈性擴展；③ 安全服務可以隨需分配、高效使用；④安全服務可以遠程管理、動態(tài)監(jiān)控、優(yōu)化使用；⑤ 安全設備資源可以動態(tài)再部署、快速上線。

4 結語

    云計算是一種全新的技術模式，其實質是把大量的技術資源組成一個可分配和回收的計算資源池，用于動態(tài)創(chuàng)建高度虛擬化的資源供用戶使用 �；�于云計算架構的數(shù)字簽名云服務平臺通過整合、共享和動態(tài)的安全設備資源，為用戶提供按需分配、動態(tài)擴展的數(shù)字簽名安全服務，對安全設備資源的可伸縮擴展和對安全服務連續(xù)性提供支持，有利于降低企業(yè)安全設施資源的投資成本和維護成本，增強安全服務的可靠能力以及實現(xiàn)安全設施資源的利用最大化。有理由相信，安全資源的“云化”發(fā)展已成必然趨勢。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：基于云計算架構的數(shù)字簽名系統(tǒng)設計

本文網址：http://www.vmgcyvh.cn/html/consultation/1083979316.html