隨着雲計算技術的大力开展與普及,越來越多的傳統應用開始向雲端遷移,利用雲計算特有的高可靠性、高伸縮性,可實現數據集中管理及資源的高效利用。但是,向雲端遷移時的信息安全問題甚為突出。當前,很多傳統應用系統藉助集成密碼機等硬件設備來保障業務應用的信息安全。但在雲環境中用密碼設備有諸多問題,如傳統的密碼設備利用方式不符合雲環境、不能確保用戶密鑰安全、設備運維保護更加困難等。

雲服務器密碼機用密鑰管理和設備管理分離的理念,實現了雲服務商管理員只維護設備、客戶自行管理密鑰的工作模式。雲服務器密碼機用密碼機集群與虛擬化技術的結合來延伸密碼運算的能力,將密碼運算能力,並藉助集中的密鑰管理及配套的安全策略保障密鑰整個生命周期的安全。

與其他雲計算部署模式相比,公有雲的客戶範圍最廣,客戶共享資源帶來的安全問題更突出。加密是保護客戶放在公有雲上的數據的有效手段,當公有雲資源規模大、客戶多時應考慮用雲服務密碼機给予海量的密鑰管理功能。

顺利获得雲服務密碼機的虛擬化功能,在一台雲服務密碼機上可實現16~64台虛擬密碼機，每一台虛擬密碼機可給一個客戶给予密碼服務。每個虛擬密碼機的授權文件可安裝到部署在客戶系統內的安全代理服務系統中,作為雲端虛擬密碼機進行身份認證的憑據。

用戶要獲取虛擬密碼機上的密鑰,需用安全代理服務系統實現密鑰導出。針對密鑰的保護有兩個方面,一是密鑰加密的導出,二是保護密鑰的傳輸鏈路。密鑰在導出時可用對稱密鑰加密,也可用非對稱密鑰加密,對於在公網上傳輸的密鑰數據,更適宜用非對稱密鑰加密。

密鑰傳輸鏈路是顺利获得安全代理與保護密鑰進行保護的。密鑰傳輸鏈路的密鑰協商機制應符合國家相關標準的要求,每次建立連結時進行協商,協商成功後,在連結存續期內保護此密鑰有效。