3)安全基礎設施

為了保證數據的機密性，云服務提供商除了需要提供可靠的密鑰管理方案外，還需向用戶提供如下安全基礎設施：CA認證中心、簽名服務器、安全網關、加密文件系統、硬件USB Key做強認證。

①簽名服務

CA中心為每個用戶簽發證書（保存在USB Key內），同時管理用戶證書。用戶獲取證書后即可通過簽名服務進行強認證完成身份驗證，杜絕用戶因密碼泄露導致身份被仿冒，進而防止敏感數據泄露。

簽名服務可以訪問CA認證體系中的加密機實現簽名、驗證簽名功能。加密機可以提供高強度的RSA公私鑰算法支持，也能提供各種對稱算法支持，如AES、3DES算法。

②安全網關

安全網關是安全操作的屏障，它與USB Key配合對所有登錄用戶進行強認證，將非法用戶拒之門外。遠程客戶端可以與安全網關建立安全的傳輸通道，把用戶的私有數據安全地傳送到云計算環境中。

安全網關主要功能包括：用戶身份認證、安全文件傳輸、密碼服務和安全審計。

③遠程終端

用戶遠程終端采用USB Key作為用戶身份識別。當用戶要使用云資源時，首先在安全網關上認證。

終端要實現安全傳輸客戶端功能，集成FTP等文件傳輸協議，并支持斷點續傳功能。

④加密文件系統

加密文件系統組件在指定的云計算應用節點通過與用戶進行密鑰交換得到文件加密密鑰，采用這個密鑰完成數據加解密，將解密數據用于計算，運算完成后將加密結果數據保存到本地磁盤或者遠程文件服務器。用戶數據無論是在Internet傳輸，還是在機群內部傳輸均是高強度加密的密文，能有效防止泄密的發生。

軟件實現的文件加密算法在I/O輕負載時可以滿足要求，但是I/O操作頻繁，軟件算法會成為性能瓶頸。因此，加密文件系統將支持訪問硬件加密卡提供的密碼算法服務，完成加解密運算。

每個用戶可以有自己的加密目錄，如果在共享文件服務器上，各個用戶的加密信息是私有隔離的。也可以把文件設置成多個用戶共享，有權限的用戶都可以打開加密過的文件進行訪問。