3)安全基础设施

为了保证数据的机密性，云服务提供商除了需要提供可靠的密钥管理方案外，还需向用户提供如下安全基础设施：CA认证中心、签名服务器、安全网关、加密文件系统、硬件USB Key做强认证。

①签名服务

CA中心为每个用户签发证书（保存在USB Key内），同时管理用户证书。用户获取证书后即可通过签名服务进行强认证完成身份验证，杜绝用户因密码泄露导致身份被仿冒，进而防止敏感数据泄露。

签名服务可以访问CA认证体系中的加密机实现签名、验证签名功能。加密机可以提供高强度的RSA公私钥算法支持，也能提供各种对称算法支持，如AES、3DES算法。

②安全网关

安全网关是安全操作的屏障，它与USB Key配合对所有登录用户进行强认证，将非法用户拒之门外。远程客户端可以与安全网关建立安全的传输通道，把用户的私有数据安全地传送到云计算环境中。

安全网关主要功能包括：用户身份认证、安全文件传输、密码服务和安全审计。

③远程终端

用户远程终端采用USB Key作为用户身份识别。当用户要使用云资源时，首先在安全网关上认证。

终端要实现安全传输客户端功能，集成FTP等文件传输协议，并支持断点续传功能。

④加密文件系统

加密文件系统组件在指定的云计算应用节点通过与用户进行密钥交换得到文件加密密钥，采用这个密钥完成数据加解密，将解密数据用于计算，运算完成后将加密结果数据保存到本地磁盘或者远程文件服务器。用户数据无论是在Internet传输，还是在机群内部传输均是高强度加密的密文，能有效防止泄密的发生。

软件实现的文件加密算法在I/O轻负载时可以满足要求，但是I/O操作频繁，软件算法会成为性能瓶颈。因此，加密文件系统将支持访问硬件加密卡提供的密码算法服务，完成加解密运算。

每个用户可以有自己的加密目录，如果在共享文件服务器上，各个用户的加密信息是私有隔离的。也可以把文件设置成多个用户共享，有权限的用户都可以打开加密过的文件进行访问。