雲計算
雲計算在硬體和作業系統的基礎設施之上,形成包括管理軟體、虛擬化組件和雲計算管理系統等的系統和管理平台,在其上提供各種虛擬機,形成具體的雲計算使用服務,並實現對計算資源的動態分配。相應的,根據其資源所在的層次,雲計算服務可分為IaaS基礎設施即服務,PAAS平台即服務,SaaS軟體即服務等三類。
潛在的危險性
在享受雲計算提供的便利的同時,雲計算帶來的安全隱患也不容忽視。參與雲計算的用戶本身不具備安全保護,主要依靠雲計算提供的安全。然而, 當前的雲計算服務基礎架構是由獨立的運營機構提供的。首先,用戶的信息安全依賴於提供商的商業信用與管理機制;其次,從技術層面來講,服務商在共享和存儲技術上存在的自身漏洞可能導致信息的泄漏和丟失;再次,雲計算是一個開放的平台,涉及多個組織與個人,任何環節的漏洞都會引起信息安全隱患。另外,惡意組織或個人對雲計算平台的攻擊防不勝防會形成嚴重的安全問題。
密雲計算
雲計算是IaaS 、PaaS、 SaaS的組合,與之對應,應當從基礎架構、服務平台、套用軟體三方面考慮來形成安全的雲計算。除了從組織管理和系統完善上著手,對信息的加密是實現雲計算信息安全的有效手段。傳統上對信息加密往往是對數據等單個環節上進行,缺乏整體考慮。
密雲計算是一種新型的安全雲計算架構,從系統層次上提供對信息安全保護的同時,也能夠讓用戶方便準確的獲得共享服務。通俗來講,密雲保護了個體與外界的所有聯繫,既保護了個人隱私又保證了信息的暢通。
密雲的實現建立在QuantumDirect Key體系基礎上。Quantum Direct Key(QDK)是一套先進的非對稱離線密鑰機制。在該機制中,所有實體根據其ID獲得公私密鑰對,其中,私鑰僅由實體保存,而公鑰可通過與私鑰一起發布的個體的公鑰生成器產生。在這一體系中,公鑰的獲得由個體根據相關的ID離線產生,不依賴於第三方的管理。這樣,避免了相關的漏洞和流量擁塞。
在密雲體系中,所有的實體均以分配的私鑰為認證加密的標識。具體來講,從構建雲計算的基礎架構的各單元到形成雲平台的各個環節,以及實現具體雲服務的虛擬化硬體功能,都有各自的密鑰。在完成各自功能和實現信息的互動時,均用各自的公私鑰加密與認證。不但如此,在雲計算的結構基礎設施上所產生的各種事件也分配唯一的密鑰,可以實現對事件本身的簽名認證。通過這樣的方式,密雲體系從結構上保證了信息及互動的安全性與可信性。
當前的雲計算實現是以功能套用為中心考慮的,雲計算的各個結構首先考慮的是基礎功能的實現。而在QDK基礎上的密雲計算體系,則要求對雲計算的各個環節從設計上就要以密鑰和信息安全為中心展開。而密雲則是由具有QDK認證簽名的功能單元構成的有機整體。密雲除了對數據加密這一基本功能外,還具有與信息安全相關的多種功能。比如,在信息傳輸中,各信道用自己的密鑰對傳輸數據簽名,接收端可以通過對簽名的驗證來防止信道劫持。另一方面,通過對偽造數據各個環節數字簽名的分解可以確定雲計算具體環節的信息安全漏洞。
密雲計算並不僅是信息技術的進步,也是一種邏輯關係的革新。在密雲中,系統內部不允許非系統內的數據在雲端進行存儲和傳遞。私鑰與離線公鑰的獲取,在信息交換過程起到了識別認證作用,從而建立了信任關係,數據的識別依賴於互相信任或者相互需要的邏輯關係,而邏輯關係的構建則取決於雲端客戶的本身。
密雲計算的意義
密雲計算建立了一種新的資源共享框架,使個體在便捷清晰地獲得雲計算資源的同時,實現了對隱私的保護。通過該機制,首先保證了雲計算套用中信息在各個環節的安全與完整;其次,通過對簽名信息的分析,可實現對獲取數據的溯源,從而實現雲計算的管理;更重要的是,個體可以以其QDK密鑰為中心,實現對其相關信息的獲取。
在現有的雲服務架構下,個人隱私是一種奢望。正如Facebook創始人Mark.Zuckerberg所宣稱‘the Age of Privacy Is Over’。然而,密雲計算的建立可以解決當前雲計算服務中數據共享與個人隱私安全的不可兼得的矛盾,為信息共享技術的發展開闢了全新的前景。
