雲端計算的雲資料安全與加密技術

雲端計算、大資料等資訊科技正在深刻改變著人們的思維、生產、生活和學習方式，並延深進入人們的日常生活。

伴隨著社交媒體、電商、健康醫療、智慧交通、電信運營、金融和智慧城市等各行業各領域的大資料的產生，大資料分析技術和應用研究使大資料呈現出不可限量的經濟社會價值和科學研究意義，引起了國內外學術界和產業界的研究熱潮，對此各國政府也高度重視並不斷上升為國家戰略高度。

資料資訊在很多環節暴露出的大資料安全問題日益突出，成為了制約大資料應用發展的瓶頸。

今兒想聊聊雲安全的雲資料安全，畢竟雲端計算技術的發展導致大資料在收集、儲存、共享、使用等過程面臨的安全威脅愈演愈烈，大資料洩露的企業個人隱私資訊給使用者帶來了巨大的損失。

加密和金鑰管理

加密根本不是一項新技術，但在過去，加密的資料儲存在伺服器上，而伺服器擺放在公司內部，公司直接控制著它們。

由於如今許多流行的業務應用程式託管在雲端，企業主管們要麼需要依賴合同條文來保護資產，選擇一家讓客戶可以先加密資料，然後傳送到雲端以便儲存或處理的雲服務提供商，要麼與軟體即服務 (SaaS) 提供商合作，由對方管理其企業資料的加密和解密工作。

客戶端加密方式

其實在客戶端主要做的是資料的可見性，主要的安全問題還是放在服務端，畢竟所有的資料都是在服務端，服務端收到資料還會進行校驗，還要看是否是重放攻擊等 ;

而客戶端要做的無非防止反編譯和傳輸資料加密。

一般的都會做傳輸資料加密，有的公司 app 不存在敏感資訊，就只用 post get 方式。

之前的加密是用的 DES 和 RSA 加密方式，先生成一個 DESKey 然後用 RSA 公鑰加密 DESKey ，然後用 DESKey 加密資料，最後將加密後的資料和加密後的 DESKey 一同傳輸到後臺 ;

後臺先用 RSA 私鑰解密 DESKey ，然後用解密後的 DESKey 解密資料。

這是整個加解密過程，但是因為後臺解密速度達不到要求 ( 後臺解密壓力太大，因為 RSA 解密太耗時，客戶端可能沒什麼感覺 ) ，所以進行了改進：

先和服務端交換 DESKey( 先將加密後的 DESKey 傳輸到後臺 ) ，返回交換成功後，再將用 DESKey 加密的資料傳輸到後臺。這樣做服務端可以用傳輸間隙進行解密，適當的緩解服務端壓力。  

雲服務端加密方式

內容感知加密和保格式加密是雲端計算的常用加密方法：

內容感知加密：在資料防洩露中使用，內容感知軟體理解資料或格式，並基於策略設定加密，如在使用 email 將一個信用卡卡號傳送給執法部門時會自動加密 ; 

保格式加密：

加密一個訊息後產生的結果仍像一個輸入的訊息，如一個 16 位信用卡卡號加密後仍是一個 16 位的數字，一個電話號碼加密後仍像一個電話號碼，一個英文單詞加密後仍像一個英語單詞 .

雲服務端加密服務是雲上的加密解決方案。服務底層使用經國家密碼管理局檢測認證的硬體密碼機，透過虛擬化技術，幫助使用者滿足資料安全方面的監管合規要求，保護雲上業務資料的隱私性要求。藉助加密服務，使用者能夠對金鑰進行安全可靠的管理，也能使用多種加密演算法來對資料進行可靠的加解密運算。

雲密碼機服務

雲伺服器密碼機是硬體密碼機，採用虛擬化技術，在一臺密碼機中按需生成多臺虛擬密碼機 ( 以下簡稱 VSM) ，每臺 VSM 對外提供與普通伺服器密碼機一致的金鑰管理和密碼運算服務 ( 支援 SM1/SM2/SM3/SM4 演算法 ) 。同時，雲伺服器密碼機採用安全隔離技術，保障各 VSM 之間金鑰的安全隔離。

金鑰管理服務

現有的雲服務提供商可以提供基礎加密金鑰方案來保護基於雲的應用開發和服務，或者他們將這些保護措施都交由他們的使用者決定。當雲服務提供商向支援健壯金鑰管理的方案發展時，需要做更多工作來克服採用的障礙。

資料加密（儲存 & 傳輸）

加密技術就是用來保護資料在儲存和傳輸 ( 鏈路加密技術 ) 過程中的安全性，對做儲存的技術人員來說，平常遇到的加密方案和技術主要是儲存後端支援加密，如加密盤或儲存加密。

但加密技術從資料加密位置一般分為應用層加密 ( 如備份軟體，資料庫 ) ，閘道器層加密 ( 如加密伺服器，加密交換機等 ) ，儲存系統加密和加密硬碟技術。

相容性最好的當屬應用層加密技術 ( 很多辦公軟體都是這種加密實現方式 ) ，因為這種加密方案在儲存、網路層是無感知的。

個人認為應用層加密技術意義和實用價值更大些，可以保證資料端到端的安全性，而不是隻在儲存側或磁碟上資料是安全加密的。