2010年，当云计算以迅猛势头发展的同时，云计算应用安全也越来越成为业界关注的重点。

 

国际信息系统审计与控制协会（ISACA）进行的一项调查显示，约45%的IT专业人员受访时表示，云计算所涉及的风险已高于任何利益。在接受调查的逾1800名IT专业人员中，只有10%的受访者计划在关键性IT服务领域使用云计算，15%的受访者计划在低风险服务领域使用云计算，26%的受访者根本不打算试水云计算。

 

由此可见，安全性已成为用户选择云计算应用时首要考虑的因素。

 

在天威诚信高级副总裁李延昭看来，云计算的信任危机归根结蒂是虚拟世界与现实世界中的身份对应问题。虽然未来云计算还将面临许多未知的风险，但就目前阶段而言，云计算安全的基本问题是要以客户为中心实现所有数据的加密与保存。

 

 

李延昭认为，虚拟世界中最大的问题是如何将虚拟身份与实体身份绑定。在现实世界中，对于一个素未谋面的人，我们可以根据声音、指纹、虹膜等固定的生理特征对他进行确认，而在虚拟世界中，因为一切都虚拟化了，很难找到一个好的方法让虚拟世界中的对象与现实世界中的主体一一对应，因此容易产生信任危机，并进而引发一系列问题。

 

“在云计算服务过程中，信任危机容易导致三大安全问题：身份问题、隐私问题和信息安全问题。”李延昭说。

 

由于身份难以确认，用户常常容易产生这样的疑问：谁在为我提供服务？他可靠吗？是否有人冒用我的身份使用服务？如何找到我需要的人或应用，并与其安全通信？而在涉及敏感及隐私数据时，用户则会产生这样的担心：我的数据存储在云里到底安不安全？这些数据是不是只有我一个人能够看到？此外，信息安全也是一个重要问题，例如在数据传输过程中信息是否安全，数据完整性是否能够得到保障，能否信任看到的计算结果等等。

 

为了解决这些问题，李延昭认为，最重要的是要建立一个诚信体系，而诚信体系中最关键的是3个问题是技术体系、行为和规则管理评价体系以及法律法规。

 

 

国际云安全联盟与惠普公司曾经总结了云计算的7种安全风险，包括数据丢失/泄露，共享技术漏洞，账户、服务和通信劫持，不安全的应用程序接口等等。

 

李延昭则认为，由于目前云计算应用尚未大规模展开及深入，云计算究竟会面临哪些安全风险还无法全面认知。但可以肯定的一点是，就目前这个阶段而言，基本的问题是要以客户为中心实现所有数据的加密与保存。

 

谈及云安全诚信体系的技术路径，李延昭表示比较偏重于公钥基础设施（PKI）这一体系。PKI技术目前被认为是信息安全技术的核心，它能够为所有网络应用提供加密和数字签名等密钥和证书管理。

 

在现实世界里，为了确认自己的身份，我们要签字盖章，出示身份证、护照，寄信的时候要写好姓名、盖章，再把它封死寄出去。实际上，用PKI的方法，在虚拟世界里传递信息的过程就像现实中寄信一样，同样要在传输信息之前先做电子签名，然后将它加密，再发给对方，在这期间，服务提供商的责任如同邮差，只能传递这封信，却不能拆开，而信的内容只有信息的接收方才能够解密。在李延昭看来，PKI技术是将虚拟世界对应到现实世界最好的技术方法。

 

PKI实现对应关系的最基础方式是使用数字证书。2005年4月1日起施行的《电子签名法》规定，电子签名需要由依法设立的第三方安全认证机构（CA）提供认证服务。成立于2000年的天威诚信就是工信部批准的第一家全国性电子认证机构。目前在我国普遍使用的是基于PKI的数字签名技术，而PKI签名的核心元素就是由CA签发的数字证书。

 

与身份证一样，数字证书中包含着个人使用者真实的身份信息，经过严格验证的签证程序后，CA会以颁发数字证书的形式将虚拟世界中的个体与物理世界中的对象进行绑定，其实质就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。在李延昭看来，具有权威性的认证机构就是虚拟世界的信任原点。

 

不过，李延昭坦言，PKI技术的部署和使用成本都很高，这决定了它只能是一种高端应用，从而对其使用范围造成了限制。在目前网络应用越来越普及和深入的情况下，急需一种易应用、安全性高的技术对数据信息进行加密和保存，在这一背景下，他们提出了IBE技术。

 

IBE是一种基于身份或标识的加密技术。它最大的特点是，当一个人需要向对方发送加密信息（如加密电子邮件）时，无需事先获得对方的数字证书，只需知道对方的标识（如邮箱地址、手机号码）就可实现对数据的加密，这就有效克服了数字证书在信息传送加密方面存在的缺点。

 

不过，李延昭告诉《科学时报》记者，通过IBE技术实现数字签名是存在局限性的，因为它不满足电子签名法规定的有效电子签名的要件，即电子签名制作数据由签名人掌握和控制。

 

与IBE相比，PKI的优势在于其有不可抵赖性。例如，假如使用者的邮箱被黑客控制和掌握的话，IBE的加密作用就会失效，加密的数据内容也会为黑客了解。而如果拥有数字证书，就好像将东西保管进仓库一样，除了存放者自己，别人都无法打开。

 

“安全性和易用性永远是一对矛盾。”李延昭说。正因为此，PKI和IBE才能形成一种互补。当数据需要以一种低成本、便捷的方式加密传输的时候，可以使用IBE技术；如果传输的加密信息需要具有抗抵赖性的时候，则仍然需要应用PKI技术。

 

 

随着互联网应用的日益深入，网上信息的安全性也变得越来越重要。李延昭认为，当网民信息保护意识越来越强的时候，数据信息加密产品就会成为继防病毒软件之后第二个人手必备的东西。

 

李延昭毫不讳言，目前妨碍数据加密技术推广的主要原因一是易用性，二是成本因素。

 

李延昭向记者透露，现在天威诚信正在与一些科研院所和高校展开合作，就IBE技术展开深入研究。“研究主要有两个层面，一是重点关键技术的突破，另一个则是关键性应用的研究。”李延昭认为，只有找到了消费者对数据加密需求最迫切的应用，才能真正地撬动市场，并将之发展壮大。

 

如果说IBE技术的推出解决了易用性问题，而成本则只能依靠应用规模来降低。李延昭认为：“成本是跟用量相关的，一个好的技术如果用的人少，那它的成本肯定会高，反之，随着用户量逐渐地加大，它的成本会越来越低。”

 

但是，关键在于用户的需求量何时才能真正启动。“我觉得网银就是一个已经启动的需求点。”李延昭说。现在中国许多网银用户都会用U盾，甚至淘宝的使用者也会用支付盾，未来这个需求会越来越大。“届时，我们这样的公司就会变成一个非常大众化的公司，而不再是一个神秘的安全公司。”

 

《科学时报》 (2010-12-30 A1 要闻)