我今天主要講的是云計(jì)算和大數(shù)據(jù)時(shí)代的信息安全。實(shí)際上云計(jì)算和大數(shù)據(jù)方面的信息安全比較廣泛，因?yàn)樾畔踩珷砍兜胶芏喾矫?，包括系統(tǒng)漏洞，計(jì)算機(jī)的安全、以及數(shù)據(jù)安全等等。在這里我主要講信息安全當(dāng)中和密碼技術(shù)相關(guān)的數(shù)字安全問題。

　　我主要講的是以下幾個(gè)方面：第一，云計(jì)算和大數(shù)據(jù)的安全需求。第二，高性能、高可靠性的密碼解決方案。第三，關(guān)于非結(jié)構(gòu)化的搜索加密的問題。第四，云計(jì)算當(dāng)中虛擬化環(huán)境受到的攻擊。

　　大數(shù)據(jù)信息安全需求

　　首先，看一下云計(jì)算和大數(shù)據(jù)在信息安全方面的需求。現(xiàn)在，云計(jì)算和大數(shù)據(jù)主要特點(diǎn)，一方面是，超大規(guī)模。包括計(jì)算能力、存儲(chǔ)、用戶等等。另一方面是，資源共享。包括計(jì)算資源，存儲(chǔ)資源，網(wǎng)絡(luò)資源。

　　在資源共享的同時(shí)，用戶之間的隱私如何保護(hù)、多個(gè)虛擬機(jī)之間如何兼容，以及它們彼此之間數(shù)據(jù)的隔離性和安全性等問題，都是我們要思考的。云計(jì)算和大數(shù)據(jù)帶來了一種海量數(shù)據(jù)的處理，特別是半結(jié)構(gòu)化或者非結(jié)構(gòu)化數(shù)據(jù)的處理。這是云計(jì)算和大數(shù)據(jù)帶來的信息安全的需求。

　　密碼解決方案

　　在信息安全領(lǐng)域密碼技術(shù)是解決信息安全的技術(shù)之一，而且應(yīng)該說是作為數(shù)據(jù)保密的一個(gè)最核心的技術(shù)。密碼技術(shù)可以實(shí)現(xiàn)一個(gè)數(shù)據(jù)的保密加密，也可以實(shí)現(xiàn)身份的辨別。密碼技術(shù)在信息領(lǐng)域提供了一些安全服務(wù)。現(xiàn)在，在云計(jì)算和大數(shù)據(jù)方面，包括安全多方計(jì)算，不經(jīng)意傳輸，全同態(tài)緊密，代理重加密等，都成了密碼專家研究的方向。數(shù)據(jù)庫(kù)加密的問題，真正在實(shí)際當(dāng)中使用，還是一些密碼的使用技術(shù)，包括如何高性能實(shí)現(xiàn)密碼運(yùn)算。原來大家以為密碼是數(shù)學(xué)家的問題，密碼算法的安全性是一個(gè)數(shù)學(xué)證明，但最近十幾年以來，工具越來越多，實(shí)際上我們?yōu)榱斯テ埔粋€(gè)密碼算法，或者把數(shù)據(jù)解密，不一定要攻擊密碼算法，也可采用一些旁敲側(cè)擊的算法來進(jìn)行。

　　在密碼算法的基礎(chǔ)上，我們要知道云計(jì)算和大數(shù)據(jù)與以前的信息系統(tǒng)相比，就是計(jì)算能力的提升，在這種情況下，在云計(jì)算的平臺(tái)上部署一個(gè)密碼算法或密碼系統(tǒng)，就需要非常高的處理能力。比如說，關(guān)于大數(shù)據(jù)的加密，我們可以實(shí)現(xiàn)10Gbps的數(shù)據(jù)加減速度。SM2可以達(dá)到幾萬次每秒，這種高性能的運(yùn)算能力，可以實(shí)現(xiàn)云計(jì)算和大數(shù)據(jù)后端的海量數(shù)據(jù)的加密，以及多用戶的并行密碼運(yùn)算處理能力。

　　我們認(rèn)為數(shù)據(jù)的安全，首先是存儲(chǔ)的安全，另外還有一個(gè)數(shù)據(jù)安全傳輸?shù)母拍?。我們可以?shí)現(xiàn)大數(shù)據(jù)，海量數(shù)據(jù)TB級(jí)的大數(shù)據(jù)文件的傳輸。

　　從2004年開始，我們?cè)陂_發(fā)云安全密碼平臺(tái)，我們開發(fā)這個(gè)平臺(tái)實(shí)際的需求，是來自于金融、銀行領(lǐng)域后端的一個(gè)密碼算法的梳理能力的需求?，F(xiàn)在這樣一個(gè)平臺(tái)，我們已經(jīng)在中國(guó)建設(shè)銀行、中國(guó)郵政儲(chǔ)蓄銀行，進(jìn)行了全面的推廣。大家現(xiàn)在有建設(shè)銀行的卡和賬戶，實(shí)際上后端的處理、后端對(duì)銀行卡身份信息的驗(yàn)證、以及后端取款、交易，都是調(diào)用我們的密碼設(shè)定來實(shí)現(xiàn)數(shù)據(jù)安全的。我們這個(gè)平臺(tái)主要就是把大數(shù)據(jù)量的密碼設(shè)備融合在一個(gè)平臺(tái)當(dāng)中，實(shí)現(xiàn)一個(gè)高速的密碼識(shí)別能力，以及密鑰的統(tǒng)一管理。在這里它可以有密碼卡、密碼機(jī)，還可以部署一個(gè)CBN的系統(tǒng)，單點(diǎn)登錄等等。它的客戶端可以實(shí)現(xiàn)桌面的安全、桌面的加密、文件的安全傳輸，包括智能鑰匙等等，這個(gè)平臺(tái)上不但在銀行里可以使用，它還可以在保險(xiǎn)、大型企業(yè)、醫(yī)療等行業(yè)和領(lǐng)域中使用，這個(gè)是我們比較成熟，也是推廣度較大的云安全密碼服務(wù)。

　　非結(jié)構(gòu)化的搜索加密

　　我們公司在比較前沿的云計(jì)算和大數(shù)據(jù)方面做了一些研究工作。這些技術(shù)和工作，有的我們已經(jīng)形成了產(chǎn)品，有的還是作為一個(gè)技術(shù)來引領(lǐng)。

　　第一部分，關(guān)于在云存儲(chǔ)中的非結(jié)構(gòu)化數(shù)據(jù)的加密。這些年以來，隨著社交網(wǎng)絡(luò)，各個(gè)行業(yè)信息化的發(fā)展，很多數(shù)據(jù)由原來單純的數(shù)據(jù)表格的形式，變成了非結(jié)構(gòu)化的數(shù)據(jù)和非結(jié)構(gòu)化大文件的數(shù)據(jù)，這個(gè)時(shí)候，加密就成了一個(gè)問題。

　　另外，隨著云計(jì)算的發(fā)展，我們現(xiàn)在很多用戶，不管是個(gè)人用戶還是企業(yè)用戶，都在建立云的存儲(chǔ)平臺(tái)，包括各種網(wǎng)盤，如360網(wǎng)盤或者百度網(wǎng)盤，大家都把自己的照片，把自己的文件存在網(wǎng)盤當(dāng)中。在這種情況下，怎么保證遠(yuǎn)端云存儲(chǔ)的安全，這是我們公司一直研究的問題。一種情況是，你放上去以后安全性是不可控的，完全是云服務(wù)廠商給你提供。他可以加密，也可以不加密，這個(gè)你是控制不了的。

　　你把一個(gè)加密文件存在遠(yuǎn)端之后，你怎么獲??？你在云端存儲(chǔ)數(shù)據(jù)的時(shí)候，你可能存儲(chǔ)了海量的數(shù)據(jù)，有一天我想獲得其中一部分?jǐn)?shù)據(jù)，這是一個(gè)解鎖的問題。一個(gè)辦法是，從云端把所有的數(shù)據(jù)全部下載下來，然后把數(shù)據(jù)全部解密，解密之后我得到想要的那部分，但是這種效率非常低。另一個(gè)辦法是，需要把所有的文件都要下載下來，還要完成一個(gè)加密，這個(gè)對(duì)存儲(chǔ)，對(duì)計(jì)算能力都具有非常大的挑戰(zhàn)，效率非常低。

　　現(xiàn)在，云存儲(chǔ)方面可搜索的加密，是我們?cè)谧龅囊恍┟艽a的體制。我把很多的文件存在遠(yuǎn)端的云端，當(dāng)我想得到某一個(gè)文件的時(shí)候，我可以進(jìn)行搜索。

　　自主研發(fā)的重要性

　　現(xiàn)在，云計(jì)算非常大的一個(gè)特點(diǎn)就是虛擬化。一臺(tái)服務(wù)器上可以有多個(gè)虛擬機(jī)，多個(gè)用戶共享一臺(tái)服務(wù)器中相同的CPU資源，相同的硬件設(shè)備。在這種情況下，雖然是云的操作系統(tǒng)，也給每個(gè)用戶界定了不同的時(shí)間，或者一個(gè)氛圍，但實(shí)際上它仍然存在一些攻擊的問題。

　　從1949年密碼學(xué)成為一個(gè)學(xué)科以來，對(duì)密碼算法的攻擊始終有一批數(shù)學(xué)家在做相關(guān)研究。不過，從1997年以后，有一些密碼學(xué)家開始提出一些涉及到攻擊的問題，密碼算法不再是單純的數(shù)學(xué)問題，而是一個(gè)信息系統(tǒng)的問題。信息系統(tǒng)比如說要想攻擊一個(gè)密碼算法，要想獲取用戶密鑰，我不需要從數(shù)學(xué)方法分析，可以通過信息系統(tǒng)進(jìn)行分析。在運(yùn)算的過程中，可以通過電磁輻射，通過用戶CPU消耗的電量，通過聲音，甚至通過加密的解密時(shí)間，包括一些熱量等等，都可以獲取。

　　比如說，有個(gè)用戶建立一個(gè)虛擬機(jī)，攻擊者也是一個(gè)虛擬機(jī)，攻擊者和虛擬機(jī)通過編寫一些程序，可以獲取在相同的服務(wù)器上運(yùn)行的其他虛擬機(jī)的密鑰。所以現(xiàn)在云計(jì)算環(huán)境當(dāng)中，受攻擊的可能性是非常大的?，F(xiàn)在，國(guó)內(nèi)的云計(jì)算產(chǎn)品，大部分還是采用了國(guó)際上的開源代碼。在這種情況下，它受攻擊的可能性非常大。只有能夠自主開發(fā)云計(jì)算虛擬化的產(chǎn)品，才能保證能夠抵抗攻擊。

　　國(guó)內(nèi)也好，國(guó)際也好，采用了很多SL協(xié)議的代碼，這是開源代碼，一旦暴露出問題，大家誰都不能幸免。所以只有具備自主開發(fā)能力，才能保證信息安全。

　　（根據(jù)孔凡玉在第七屆中國(guó)信息主管年會(huì)上的演講內(nèi)容整理而成）

　　山東得安信息技術(shù)有限公司技術(shù)總監(jiān) 孔凡玉

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……