前言
为深入贯彻落实《密码法》,推动商用密码技术在工业和信息化行业领域的融合应用,工业和信息化部密码应用研究中心组织开展了“首届全国商用密码应用优秀案例征集”工作,并评审选出15项优秀案例。
同时,为持久发挥本次活动的产业促进效能,现开展“首届全国商用密码应用优秀案例详解”系列宣传,宣传活动将对获评案例进行逐项解析,便于广大从业者参考学习。
本期宣传为第1期,内容为:移动云国产商用密码规模化应用。
1
Part.1
案例综述
(一)案例背景
过去十年是云计算突飞猛进的十年,全球云计算市场规模增长数倍,我国云计算市场从最初的十几亿增长到现在的千亿规模,云计算政策环境日趋完善,云计算技术不断发展成熟,云计算安全愈发受到重视。
(二)案例简介
本案例根据《密码法》、《网络安全法》、《个人信息保护法》等法律法规要求,结合云平台自身特色,对商用密码产品在信息系统、云计算平台方面应用的安全性、合规性,以及云计算平台类的关键信息基础设施和租户关键应用系统等开展商用密码应用对标,并针对性提出安全解决方案。移动云是中国移动面向政府机构、企业组织和个人开发者推出的基于云计算技术、采用互联网模式、提供基础资源、平台能力、软件应用等服务的公有云平台。通过商用密码的应用,保证了云平台密码算法、密码设备、密码协议、密钥管理等方面的合规性,确保了云计算平台网络安全服务的自主可控性和安全性。本案例分两方面建设:一是通过对标GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等相关标准,积极完善平台自身的密码防护管理手段和技术手段,尤其是对于重要业务系统开展商用密码替换国际算法的改造工作。二是在上述对标、改造工作基础上,统筹规划密码服务建设,向云平台业务应用系统提供快速、合规、安全的密码应用服务。
目前本案例成果已为POS收单、互联网支付、预付费卡支付、P2P,电子病历、电子发票、电子合同、电子保单等业务及应用提供密码安全服务。
2
Part.2
行业挑战
尽管云计算有着降低成本、提高生产力、加快中小企业创新和产品进入市场的速度、给用户带来更高的业务灵活性等诸多优势,但云计算的安全性问题也相伴随行。根据 IDC 等研究机构的调研显示,在阻碍中国行业用户上云、用云的因素中,缺乏安全的信任度是其中的重要原因之一。用户信息滥用、隐私泄露等潜在安全风险是政府部门、企业和各类组织机构在选择云计算服务和应用部署云平台的主要阻力。
云计算安全的核心目标是数据安全和隐私保护,密码技术是实现数据安全保护的关键基础技术,合理运用密码技术是提高云计算应用安全、增强云计算使用者使用信息的重要手段。
3
Part.3
项目实施情况
(一)总体技术架构图及介绍
总体架构参考OSI七层网络模型思想,自下而上,传递密码基础服务能力的基础上,结合云平台自身特点及密码应用基本要求,使平台基础业务模块能够高效、集约化地调用密码功能。总体架构既体现出密码服务的技术特点,又兼顾了相应的密钥管理和安全管理规范。
图1.1 总体技术架构图
(1)基础支撑层
基础支撑层主要包含云服务器密码机资源池、CA证书认证中心等密码基础设施。其中,云服务器密码机资源池是平台最基础、最关键的资源服务,承担了密码安全重中之重的部分就是密钥的管理和使用,CA认证中心能够安全地解决身份认证、信任管理的问题,安全认证网关可满足通信过程中的信道加密需求。另外,还部署和应用了包括密码芯片、密码模块、密码整机和密码系统类相关产品,集成了密码资源层所需的各类型密码设备,提供电子认证、密钥管理、密码应用等基础功能,由密码资源层统一管理和分配使用。
(2)密码资源层
包含密码资源池和密码资源管理,提供统一的密码设备服务,为云平台租户提供虚拟密码设备和产品的租用服务。
(3)密码服务层
将基础支撑层和密码资源层设备和服务抽象化,通过统一接入平台向云平台、终端、网络接入、监控管理等提供各类型密码安全服务,包含通用密码服务、密钥服务、典型密码应用服务等,承载了业务需要,向云平台用户按需提供弹性的密码服务。以密码服务统一接入平台的中间件形式提供服务,提高各业务应用资源调用密码服务的便捷,也易于进行管理。
(二)应用场景架构图及讲解
密码服务应用场景中使用虚拟密码机密码运算能力,通过标准API接口为业务应用提供加密/解密、签名/验签、杂凑运算、消息鉴别码的产生和验证等通用密码服务。
图1.2应用场景架构图
将密码服务器资源池化,通过虚拟化技术虚拟密码机,实现集中化、透明化、集约化的管理;虚拟密码机提供弹性、按需的服务能力,实现统一密码资源池组内的高可用;通过虚拟机实现算力服务,通过接口封装,提供统一接口能力,实现与物理密码服务器相同接口能力。譬如POS收单、互联网支付、预付费卡支付、P2P等各类第三方支付业务在强监管要求范围内必须采取密码设备保证系统安全性,满足监管合规要求;支付数据在传输、存储过程中需保证完整性、保密性、支付身份的认证、支付过程的不可否认性等,保障业务安全。
图1.3 金融支付应用场景
4
Part.4
实施效果
(一)核心技术自主可控,助力新基建
(1)云平台由众多分布式服务器和其上运行的应用构成,面临资源隔离、数据存储、数据共享、多租户、虚拟化等带来的安全问题。
(2)运用商用密码算法和技术建立用户资源隔离机制、数据加密存储和传输机制、统一身份认证机制和虚拟化安全机制,助力国家数字基础设施建设。
(二)创造良好云计算生态,维护云原生安全
(1)为云计算相关法律及标准制定提供借鉴;优化、规范基础设施架构;支持数据开放,构造开源的生态环境;建设优质服务体系,提升用户体验。
(三)发挥云计算规模化优势,降低用户商密改造成本
(1)商密在云计算平台的规模化应用,将充分发挥云平台计算资源管理和技术优势。
(2)协助政府和企业用户快速搭建基于商密基础设施的安全计算环境,快速集成密码计算资源,减少企业投入,降低用户技术门槛和使用成本。
(四)实践效果显著,方案可用可推广
(1)整合改造密码支撑资源,建设合规云上密码服务系统,相关方法和技术高可用、易推广。
(2)通过专业商用密码测评机构的测评,《移动云密钥管理系统》已符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》第三等级要求,获测评单位的高度评价。
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我的代码目前看起来像这样numbers=[1,2,3,4,5]defpop_threepop=[]3.times{pop有没有办法在一行中完成pop_three方法中的内容?我基本上想做类似numbers.slice(0,3)的事情,但要删除切片中的数组项。嗯...嗯,我想我刚刚意识到我可以试试slice! 最佳答案 是numbers.pop(3)或者numbers.shift(3)如果你想要另一边。 关于ruby-多次弹出/移动ruby数组,我们在StackOverflow上找到一
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
我是一个Rails初学者,但我想从我的RailsView(html.haml文件)中查看Ruby变量的内容。我试图在ruby中打印出变量(认为它会在终端中出现),但没有得到任何结果。有什么建议吗?我知道Rails调试器,但更喜欢使用inspect来打印我的变量。 最佳答案 您可以在View中使用puts方法将信息输出到服务器控制台。您应该能够在View中的任何位置使用Haml执行以下操作:-puts@my_variable.inspect 关于ruby-on-rails-如何在我的R
当我在我的Rails应用程序根目录中运行rakedoc:app时,API文档是使用/doc/README_FOR_APP作为主页生成的。我想向该文件添加.rdoc扩展名,以便它在GitHub上正确呈现。更好的是,我想将它移动到应用程序根目录(/README.rdoc)。有没有办法通过修改包含的rake/rdoctask任务在我的Rakefile中执行此操作?是否有某个地方可以查找可以修改的主页文件的名称?还是我必须编写一个新的Rake任务?额外的问题:Rails应用程序的两个单独文件/README和/doc/README_FOR_APP背后的逻辑是什么?为什么不只有一个?
是否可以在应用程序中包含的gem代码中知道应用程序的Rails文件系统根目录?这是gem来源的示例:moduleMyGemdefself.included(base)putsRails.root#returnnilendendActionController::Base.send:include,MyGem谢谢,抱歉我的英语不好 最佳答案 我发现解决类似问题的解决方案是使用railtie初始化程序包含我的模块。所以,在你的/lib/mygem/railtie.rbmoduleMyGemclassRailtie使用此代码,您的模块将在
无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD
导读:随着叮咚买菜业务的发展,不同的业务场景对数据分析提出了不同的需求,他们希望引入一款实时OLAP数据库,构建一个灵活的多维实时查询和分析的平台,统一数据的接入和查询方案,解决各业务线对数据高效实时查询和精细化运营的需求。经过调研选型,最终引入ApacheDoris作为最终的OLAP分析引擎,Doris作为核心的OLAP引擎支持复杂地分析操作、提供多维的数据视图,在叮咚买菜数十个业务场景中广泛应用。作者|叮咚买菜资深数据工程师韩青叮咚买菜创立于2017年5月,是一家专注美好食物的创业公司。叮咚买菜专注吃的事业,为满足更多人“想吃什么”而努力,通过美好食材的供应、美好滋味的开发以及美食品牌的孵
