基于云计算架构的数字签名系统设计

引言

    云计算经过几年的酝酿和发展，时至今日已成为当前业界乃至全社会关注的焦点和热点，云计算时代被业界广泛认为是继PC和互联网之后的第三次rI、浪潮。云计算自身具备的高性能、低成本、高可靠性等特点能极大地提高n1资源的利用率，云计算技术也成为新一代信息技术变革和业务应用模式变革的核心，核心应用正从传统的rr架构向云计算架构转变 。将云计算技术及理念应用于安全领域已成为各个安全厂商积极研究的课题，通过对安全设施资源进行云化，形成安全能力资源池，并通过网络为rr环境提供可弹性调度、按需订购的安全服务，实现安全即服务的模式。

1 传统的数字签名系统架构

    随着信息技术的飞速发展以及信息化建设的逐步深入，随之而来的信息安全问题日益加剧。现代密码学已成为解决信息安全问题的技术核心，数字签名是现代密码学的主要研究内容之一。数字签名技术在身份识别和认证、数据完整胜、抗抵赖等方面具有其他技术无法替代的作用，已经颁布实施的《中华人民共和国电子签名法》(以下简称《电子签名法》为数字签名技术的应用提供了法律依据。基于以上原因，以数字签名技术为核心的安全系统在电子商务和电子政务等领域有着极广泛的应用。

    传统的数字签名安全系统大多数基于C／S的IT架构，由数字签名服务器和数字签名客户端两部分组成，为业务应用及客户端程序提供数字签名、数字信封、可视电子签章、可信时间戳等安全支撑服务，系统框架如图1所示。

图1传统数字签名安全系统框架

    数字签名客户端SDK以软件形态提供，支持嵌入B／S或C／S系统中；数字签名服务端以硬件形态提供，内部由数字签名服务、电子签章服务、时间戳服务3个独立服务组成。在应用环境中涉及很多的关键性业务操作和敏感信息的传送时，业务应用可以通过SDK安全中间件调用数字签名服务、时间戳服务，实现对数据的完整性验证、防篡改以及抗抵赖等安全保护，通过电子签章服务实现可视化的展现。数字签名安全系统在电子商务和电子政务等领域有着极广泛的应用，但随着应用业务数及业务量迅速发展，传统的数字签名系统也暴露出诸多不足，具体表现在以下几个方面：

    1)建设成本高。性能扩充多采用负载或集群的模式实现，需要部署大量的安全设备。安全设备的不断增加不仅带来能耗的增加，同时也增加了管理成本，且安全资源不支持动态扩容。

    2)维护成本高。存在与业务应用之间紧耦合、对计算环境依赖性较强、应用接人限制条件较多等问题，导致安全系统的正常运维需要专业人才，为此，业务单位需培养大量的人员投入此项工作。

    3)安全资源利用率低。由于缺乏对安全资源的动态调配与管理能力，导致安全资源利用率较低。

2 数字签名系统应用云计算技术的意义

    云计算经过几年的酝酿和发展，逐渐得到业界的认可和推崇。作为一种全新的技术模式，云计算已经成为新一代信息技术变革和业务应用模式变革的核心，云计算的价值主要在于能够提供平衡资源的高效、可靠且不间断的服务。云计算架构区别于传统IT架构主要有5个关键特征，分别是按需自服务、宽带接人、虚拟化的资源池、快速的弹性架构以及可计量的服务。将云计算应用于安全领域已成为各个安全厂商积极研究的课题，安全资源的“云化” 发展已成必然趋势。结合云计算架构的特征，在数字签名系统中应用云计算技术的价值主要体现在以下方面：

    1)减少安全设施的建设投入。为满足企业不同部门、不同业务的应用需求，基于传统架构的数字签名系统需要部署大量的安全产品。基于云计算技术可以将安全设施资源进行云化，形成“数字签名资源池”，按照用户的需求，通过安全资源调度将不同的物理安全资源动态分配给多个用户使用。用户无需关心安全资源设施的确切物理位置，虚拟“池”化的安全资源可以为企业的不同部门提供数字签名服务，大大降低了安全产品的建设投资。

    2)安全以服务形态提供，提高系统的兼容能力。基于SAAS技术架构实现数字签名即服务的模式，服务能力通过网络提供，支持各种标准的接人手段，包括各种B／S、C／S以及其他传统的业务应用或基于云架构的各种服务；兼容各种终端设备(如PC、手机、PAD等)及计算环境。只要网络可达，任何终端、任何应用可以随时获取数字签名服务。

    3)安全服务按需使用，提高安全资源的利用率。数字签名资源池通过动态资源调度为用户提供安全服务，可以根据需要自动配置安全计算能力，降低冗余，实现数字签名服务的可弹性调度，通过整合和共享安全硬件设备供应来实现投资利用率最大化。

    4)安全服务动态扩展，按需订购。数字签名服务根据业务需要可以快速、弹性地扩展，通过增加安全设施即可增强安全服务能力，并能够实现快速扩容、快速上线，用户可以根据需要部署安全基础设施，并且理论上用户可以无限制提供安全服务能力。

    5)安全服务自动监控，降低维护成本。云计算模式下，用户可以对安全服务动态监控，控制优化安全服务的资源使用，实现安全资源的随需分配和自动增长。并可以按照需要生成报表，方便对安全资源进行评估分析，显著降低系统的维护成本。

3 云架构数字签名系统的实现思路

    基于云计算架构的数字签名系统是利用云计算技术及理念，实现数字签名安全资源的池化，从而形成统一的安全云服务资源池，为用户提供按需安全服务，提升整体安全基础能力及服务提供能力。以下从构建实现模型、实现数字签名云服务平台等方面阐述技术实现思路。

    3．1 构建实现模型

    结合云计算架构的关键特征，设计的云架构数字签名服务实现模型框架由3个层次组成，分别是资源层、管理中间件层和服务层 。实现模型框架如图2所示。

图2 云架构数字签名系统实现模型

    各层次的主要内容及关系具体如下：

    1)资源层。资源层为最底层，为上层或者用户准备其所需要的计算和存储资源，它由物理资源层以及虚拟化资源层两部分构成。物理资源层是通过部署安全产品或设备实现，如数字签名服务器、电子签章服务器和时间戳服务器等安全设备。虚拟资源池层是可以理解为物理资源的虚拟化整合层，通过虚拟化技术将物理资源层中同类型的资源整合为资源池，如数字签名服务资源池、电子签章服务资源池、时间戳服务资源池等。安全资源都可被量化到资源池中，并被动态分配和动态调整，无需重启系统即可完成资源调配，是实现可伸缩服务的基础。

    2)管理中间层。管理中间层承上启下，处于资源层与服务层之间，负责对云计算的安全设施资源进行管理，并通过调度实现对安全资源的动态分配，使安全资源能够高效、安全、可靠地被调用，是整个数字签名云服务的核心层。它由资源配置、业务管理和监控审计等功能组成。

    3)服务层。服务层为最上层，面向最终用户，主要用于以友好的方式提供用户所需要的内容和服务。它由服务接口、注册、查找、访问等功能组成。

    3．2 实现数字签名云服务平台

    构建基于云计算架构的数字签名安全云服务平台需要遵循以下原则：

    1)技术层面。平台必须符合云计算的技术架构，使用云计算的相关技术，如虚拟化技术、分布式计算、SOA技术等，从技术上实现安全服务的云化。

    2)管理层面。平台也必须具备符合云计算架构的管理功能，包括资源的动态调度、业务的自动配置、服务状态监控等方面，从管理上实现安全服务的云化。

    3)运行层面。平台能够实现快速部署，满足用户随时访问的安全请求，并能够处理大并发安全请求、根据需要动态扩展服务能力、兼容各种业务应用等方面。

    基于以上原则，结合以上的实现模型，数字签名云服务平台逻辑结构如图3所示。

图3 数字签名云服务平台逻辑结构

    在平台中部署数字签名服务器、电子签章服务器、时间戳服务器等多种安全支撑设备，提供多种安全能力；基于虚拟化技术封装各种安全能力标准接口，屏蔽各种安全设备的差异性，将各种安全能力整合为资源池，如数字签名服务资源池、电子签章服务资源池、时间戳服务资源池等。在平台中实现数字签名服务、电子签章服务、可信时间戳服务等多种安全服务，并提供对外服务界面；支持安全服务接口和安全服务门户两种方式与上层应用进行交互，安全服务接口采用主流的WebService方式或传统的API方式；安全服务门户是基于Web方式提供服务。在平台中实现对安全云服务的管理，包括业务管理、资源配置和监控审计等多方面管理功能，提供统一的管理界面，实现安全资源的动态调度、自动配置、集中监控、报表生成、审计追踪等内容。平台兼容各种应用场景，服务于各种业务应用对象，如电子商务应用、电子政务应用、企业内部应用、云环境应用以及其他各种形式的应用。

    综上所述，基于云计算架构的数字签名服务的实现是通过整合各种安全设施资源，开放安全能力，形成数字签名资源池，并通过网络为IT环境包括云环境的系统和数据，提供可弹性调度、按需订购的数字签名安全服务，提供数字签名即服务的服务模式，最终实现数字签名安全服务的“云化” 。

    3．3 数字签名云服务平台的特点

    云计算是一种全新的技术模式，其实质是把大量的技术资源组成一个可分配和回收的计算资源池，用于动态创建高度虚拟化的资源供用户使用。基于云计算架构的数字签名云服务平台通过整合、共享和动态的安全设备资源，为用户提供按需分配、动态扩展的数字签名安全服务，对安全设备资源的可伸缩扩展和安全服务连续性提供支持 。数字签名云服务平台具备以下特点：①安全服务可以随时获取；② 安全服务可以按需弹性扩展；③ 安全服务可以随需分配、高效使用；④安全服务可以远程管理、动态监控、优化使用；⑤ 安全设备资源可以动态再部署、快速上线。

4 结语

    云计算是一种全新的技术模式，其实质是把大量的技术资源组成一个可分配和回收的计算资源池，用于动态创建高度虚拟化的资源供用户使用 。基于云计算架构的数字签名云服务平台通过整合、共享和动态的安全设备资源，为用户提供按需分配、动态扩展的数字签名安全服务，对安全设备资源的可伸缩扩展和对安全服务连续性提供支持，有利于降低企业安全设施资源的投资成本和维护成本，增强安全服务的可靠能力以及实现安全设施资源的利用最大化。有理由相信，安全资源的“云化”发展已成必然趋势。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：基于云计算架构的数字签名系统设计

本文网址：http://www.toberp.com/html/consultation/1083979316.html