云計算的安全性的難題,有解還是無解?
對于Google來說,如果希望AppEngine能夠獲得商業上的巨大成功,吸引更多用戶,尤其是企業用戶,最大的挑戰在于,如何保障客戶的數據和私有程序的安全。
舉個例子,譬如Google想勸說某家銀行,用不著銀行自己建數據中心,把銀行的數據存到Google的云計算平臺,每月給Google一筆數據托管費即可。銀行很可能會問兩個問題,
1. 如何防范Google員工偷窺銀行的數據?
2. 銀行有投資業務,所以銀行自己開發了一套軟件,用于評估投資風險和收益。如何防范Google員工偷窺這些軟件的代碼?
Google當然會派律師去游說,指天畫地地發毒誓,說如果出現Google偷窺數據及代碼的情況,根據雙方合同,Google必將受到法律嚴懲,等等。
但是銀行還是不放心,作案取證本來就麻煩,如果Google再做點手腳遮掩,很可能查無實據。即便能找到實據,一個案子辦下來,時間也得拖很長。
這個問題,困擾的不是Google一家,而是所有負責數據托管的公司面臨的共同問題。所以,現在只有兩類公司,敢把數據托管給他人。一種是中小企業,他們或許會覺得自己在競爭對手眼里不那么重要,對手不至于甘冒風險去刺探自己的機密。另一種是數據本身機密性不高的公司,譬如新浪網,天涯社區等等,他們的數據內容本來就是公開的。
所以,如果Google打算吸引重量級企業用戶來使用云計算平臺,最好的辦法是從技術上想出路,保證做到,即便Google挖空心思想偷窺,也看不到。
1. 有人問,為何不用VPN技術呢?
VPN(Virtual Private Network)虛擬私網,解決的是在如何通過公共網絡,遠程訪問企業內部私網的問題,譬如在家處理公司業務,需要把自家的電腦,通過公共網絡,接入到公司內部網絡中去。所以,VPN解決的問題主要在于,保證家里電腦和公司電腦傳輸數據時,數據通過公網時的安全。
經常在北京街頭看到振遠護衛的押運車,以及持槍的押運員,負責運輸現鈔,有人戲稱他們是振遠鏢局。鏢局的任務之一是,把現鈔從銀行押運到各個ATM 自動取錢機,中途通過公共馬路。現鈔安全到達目的地,鏢局的任務圓滿完成。但是,如果有誰把ATM取錢機撬開了,鏢局不負責任。
類似的道理,客戶可以通過VPN把數據安全地傳輸到Google云計算平臺,但是VPN不能阻止Google的內部員工偷窺存放在Google機器上的數據。
2. 還有人建議,可以給數據加密。
客戶在上傳數據到Google云計算平臺前,先用私鑰(private key)給數據加密,這樣存儲在Google云計算平臺的數據,是加了密的數據。Google員工即便打開了文件,看到的也不過是一堆亂碼。當客戶授權給他的同事看數據時,給同事一份公鑰(public key)。同事用這個公鑰解碼,然后就能讀到真實的內容了。
德國人的鑰匙很有意思,辦公室的鑰匙,同時可以打開大樓的門,以及公司的門,但是不能打開隔壁辦公室的門。隔壁辦公室的鑰匙,也可以打開大樓的門,以及公司的門。所以,德國人的鑰匙和鎖,是有層次的。
公鑰也可以這么設計,一個部門的公鑰,不僅可以解密本部門的文件,而且可以解密公司內部公開的文件,但是不能解密其它部門的文件。實現這樣有層次的公鑰并不難,一個簡單的辦法是把整個公鑰分成幾段,第一段負責公司內部公開的文件,第二段負責某特定部門的文件等等。
這個辦法猛一聽起來似乎可行,但是仔細想想卻不然。它有四個缺陷,a. 不能給程序加密,b. 不能搜索加了密的數據,c. 不能給數據庫文件加密,d. 公司員工離職后,有可能會造成私鑰和公鑰的外泄。
3. 程序如何加密。
按照前一段的思路,平時給程序加密,只有當運行程序前,才解密。程序運行結束后,再度加密,同時銷毀解密了的程序。但是這個辦法不可行。
解密和加密,是相當耗用CPU的,同時占用時間也比較長。如果實施平時加密,用時解密的措施,用戶等待時間會相當長。更嚴重的是,通常一段程序不能解決所有問題,一段程序往往會調用其它程序,其它程序又調用另外程序。如果平時把所有程序加密,用時再逐個解密,整個流程將占用很長時間,這將嚴重影響用戶的體驗。
現實中通行的辦法是給程序變形,學名叫Obfuscation。道理很簡單,把程序中的變量名稱轉換掉,同時切割整個程序,并且重新排序,以便混淆耳目。變了型的程序依然可以運行。
正常的編譯過程,是把人類可讀的源代碼(譬如用Java寫的程序),翻譯成機器代碼(譬如Java bytecode)。而反編譯是把機器代碼,逆向翻譯成人類可讀的源代碼。雖然Obfuscation不能從根本上阻止反編譯,但是卻增加了這個工作的難度。
雖然有難度,但是重賞之下必有勇夫。譬如,如果能盜竊銀行密碼,肯定會有人不辭勞苦地反編譯。
4. 加密與搜索。
“Greatness is never a given, it must be earned”,這句話怎么翻譯?在Google或者百度里搜一搜這句話,一定會發現這是奧巴馬總統就職演說中的一句。有人翻譯成,“偉大不是憑空而來的,而是贏得的”。意思當然不錯,但是覺得不如原句有氣勢,不如翻譯成,“坐等等不來偉大,偉大必定來自于努力”。
Google和百度是如何搜索到這話出自奧巴馬的演講呢?道理說穿了并不復雜。
首先,Google和百度建一個索引,學名叫倒排索引(inverted index)。倒排索引中記錄了每個單詞出現在哪些文章中,而且記錄了在這些文章中的什么位置出現過。
其次,當用戶搜索“Greatness is never a given”,搜索引擎通過倒排索引,查找“greatness”在哪些文章中出現過,查找“never”在哪些文章中出現過,等等。然后把眾多的搜索結果合并起來,看看哪些文章中不僅出現過“greatness”,還出現過“never”,“given”等等。
如果把奧巴馬原文加了密,不僅每個詞都變成了亂碼,而且詞與詞之間的空格消失了,甚至連詞序也可能被打亂。這樣一來,就沒有辦法按照通常的做法構建倒排索引。
怎么辦?思路有三條。
a. 把加密算法和構建倒排索引的算法通盤考慮,重新設計一套一體化的算法。
這個思路能夠一攬子解決我們面臨的所有問題,但是設計這套算法的難度很高。目前還沒有人能夠想出有效的算法。
b. 客戶自己動手建倒排索引,然后把索引加密,上傳到云計算平臺。
但是構建倒排索引是一件計算量很大的工作,如果客戶能夠自己構建倒排索引,那么就沒有必要使用云計算平臺。理由是,云計算平臺的賣點是方便客戶處理繁重的數據計算。如果云計算平臺不能幫助客戶構建他們專用的倒排索引,那么云計算的賣點就大大失色。
更嚴重的問題是,在使用索引的時候,必須先解密。如果解密了的索引被Google員工偷看了,那么加密就失去意義了。原因是,索引中透露了正文中出現過那些詞,以及這些詞出現的位置。通過索引中的這些信息,可以復制原文的。即便不能一字不漏的全文復制,也能復制得八九不離十。
所以,這個思路不可行。
c. 在云計算平臺中分離出一部份作為密室,專供企業用戶存放保密級別很高的數據,以及運行保密級別很高的程序。
信息安全的法則是分離分離再分離。給每個企業用戶分配一部份機器作為密室。這些機器的Root權限掌握在企業用戶手里。Google的員工只能監控密室中的機器的CPU,RAM和IO的使用情況,但是他們沒有權限進入機器,查看文件,運行程序。
這個辦法雖然技術含量不高,但是比較容易實現。缺點是容易造成資源浪費。因為如果給每個客戶單獨開密室,即使密室里的機器空閑,別人也沒法用。
5. 加密與數據庫。
數據庫最多只能對字段逐個加密,譬如“greatness”變成“@#¥%”。但是不能整句整段地加密,否則數據庫的索引,B+ tree,就沒法構建。
所以,對數據庫的系統管理員,無法實施高級別的加密。
6. 私鑰和公鑰的外泄。
公司員工離職后,很可能復制一份公司的公鑰和在職期間自己使用的私鑰帶走。如果沿用前面所述,用私鑰加密,用公鑰解密的辦法,員工離開公司后,仍然能閱讀公司的文件,甚至篡改當年自己在職期間起草的文件。
所以,最妥善的辦法是不讓員工直接接觸公司密鑰。從這個原則出發,作者也好,讀者也好,都沒有密鑰。作者要加密,讀者要解密,讓他們把文件發給密鑰中心,由密鑰中心統一負責加密和解密。
另外,即便由密鑰中心負責保管密鑰,如果長期使用同一套密鑰,還是不安全。所以,密鑰中心定期更換密鑰,分批給文件重新加密。
這個辦法可行,但是比較笨拙,因為,a. 密鑰中心成為瓶頸,b. 給舊文件重新加密是負擔很重的工作。
為Google計,目前能做的,似乎是明確云計算的定位。
1. 鎖定目標客戶,這些客戶有一個共性,就是對內容和程序的安全性不敏感。
比如各種門戶網站,論壇,B2C網上商店,政務和各種公共事業的網站,以及中小型企業等等。這部分用戶數量不少,市場相當廣闊。
2. 提供特色服務,尤其是海量數據處理。
云計算平臺類似于巨型計算機。客戶利用云計算平臺,處理自己的計算中心很難完成的海量數據處理。例如:電腦動畫制作,天氣預報等等。
3. 根據不同的保密等級,做分級處理。
實際上一個企業的重要秘密信息是不多的,機密文件存放在企業自己的機房里。其它不需要保密的文件,托管到云計算平臺。這個市場也是很大的。
