聚焦金融安全痛点,打造云原生密码服务新范式
随着金融机构一云多芯改造深化,业务系统逐步向专有云分布式架构及容器化、微服务化转型。传统密码服务依赖外置密码设备,存在网络延迟高、明文暴露风险大、硬件成本攀升等问题,难以满足金融行业降本增效与安全合规的双重需求。
阿里云与四川农商银行联合推出的解决方案,基于阿里云飞天企业版平台底座,打通了“CPU 内生安全能力-物理机-ECS-ACK”的加解密数据链路,提供了分布式密码计算新模型:
- 全链路通畅的专有云分布式架构:自底向上打通四层架构加解密数据链路体系,实现CPU内生安全能力云上拓展,架构方案具备普适性,支持继承云环境丰富开放生态;
- SWRS专利算法灵活管理vCCP资源:通过自主研发并获得专利授权的管理分配机制,实现准确、灵活、高效的vCCP资源管理及对应 ECS生命周期管理;
- CCP加解密协处理器虚拟机调用:支持物理CCP透传至ECS,实现芯片内置密码协处理器面向云上应用场景的灵活调用,开启密码计算实例新范式,具有颠覆当前传统加解密技术的潜力;
技术突破与价值落地
该联合解决方案攻克三大核心难题:
- 数据路径:自底向上攻克了从CPU内生安全能力到云产品到客户应用系统的加解密数据链路难题;
- 资源管理:自主设计实现vCCP资源分配管理算法,解决了硬件直通虚拟机弹性伸缩的效率与管理成本问题;
- 模型验证:首次证明了CPU内生安全能力接入云上客户系统的理论可行性,并给出具备广泛普适性的模型实现,节省外置密码设备建设成本;
目前,方案已在四川农商银行采购管理系统成功落地,支撑应用程序安全加密等场景,首次证明了基于CPU的内生性的密码计算方案相对于金融云上生态的适应性,也首次为基于多芯内生安全能力的分布式密码计算便利接入客户系统提供了普遍共识的模型实现。
本方案不仅为四川农商银行业务系统逐步摆脱传统密码技术方案弊端提供技术基础,也为金融业的一云多芯降本增效数字化转型提供了新方案标杆。
此次合作验证了云原生架构与芯片内生安全技术的深度融合潜力。阿里云将持续联合产业伙伴,推动安全可控的云基础设施在金融、政务等关键领域规模化应用,为数字经济高质量发展筑牢安全基石。
