應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

云計(jì)算的云數(shù)據(jù)安全與加密技術(shù)

2018-11-07 11:18 阿里云棲社區(qū)

導(dǎo)讀:今兒想聊聊云安全的云數(shù)據(jù)安全,畢竟云計(jì)算技術(shù)的發(fā)展導(dǎo)致大數(shù)據(jù)在收集、存儲(chǔ)、共享、使用等過(guò)程面臨的安全威脅愈演愈烈,大數(shù)據(jù)泄露的企業(yè)個(gè)人隱私信息給用戶帶來(lái)了巨大的損失。

云計(jì)算、大數(shù)據(jù)等信息技術(shù)正在深刻改變著人們的思維、生產(chǎn)、生活和學(xué)習(xí)方式,并延深進(jìn)入人們的日常生活。

伴隨著社交媒體、電商、健康醫(yī)療、智能交通、電信運(yùn)營(yíng)、金融和智慧城市等各行業(yè)各領(lǐng)域的大數(shù)據(jù)的產(chǎn)生,大數(shù)據(jù)分析技術(shù)和應(yīng)用研究使大數(shù)據(jù)呈現(xiàn)出不可限量的經(jīng)濟(jì)社會(huì)價(jià)值和科學(xué)研究意義,引起了國(guó)內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界的研究熱潮,對(duì)此各國(guó)政府也高度重視并不斷上升為國(guó)家戰(zhàn)略高度。

數(shù)據(jù)信息在很多環(huán)節(jié)暴露出的大數(shù)據(jù)安全問(wèn)題日益突出,成為了制約大數(shù)據(jù)應(yīng)用發(fā)展的瓶頸。

今兒想聊聊云安全的云數(shù)據(jù)安全,畢竟云計(jì)算技術(shù)的發(fā)展導(dǎo)致大數(shù)據(jù)在收集、存儲(chǔ)、共享、使用等過(guò)程面臨的安全威脅愈演愈烈,大數(shù)據(jù)泄露的企業(yè)個(gè)人隱私信息給用戶帶來(lái)了巨大的損失。


云計(jì)算的云數(shù)據(jù)安全與加密技術(shù)

加密和密鑰管理

加密根本不是一項(xiàng)新技術(shù),但在過(guò)去,加密的數(shù)據(jù)存儲(chǔ)在服務(wù)器上,而服務(wù)器擺放在公司內(nèi)部,公司直接控制著它們。

由于如今許多流行的業(yè)務(wù)應(yīng)用程序托管在云端,企業(yè)主管們要么需要依賴合同條文來(lái)保護(hù)資產(chǎn),選擇一家讓客戶可以先加密數(shù)據(jù),然后發(fā)送到云端以便存儲(chǔ)或處理的云服務(wù)提供商,要么與軟件即服務(wù)(SaaS)提供商合作,由對(duì)方管理其企業(yè)數(shù)據(jù)的加密和解密工作。

客戶端加密方式

其實(shí)在客戶端主要做的是數(shù)據(jù)的可見(jiàn)性,主要的安全問(wèn)題還是放在服務(wù)端,畢竟所有的數(shù)據(jù)都是在服務(wù)端,服務(wù)端收到數(shù)據(jù)還會(huì)進(jìn)行校驗(yàn),還要看是否是重放攻擊等;

而客戶端要做的無(wú)非防止反編譯和傳輸數(shù)據(jù)加密。

一般的都會(huì)做傳輸數(shù)據(jù)加密,有的公司app不存在敏感信息,就只用post get方式。

之前的加密是用的DES和RSA加密方式,先生成一個(gè)DESKey然后用RSA公鑰加密DESKey,然后用DESKey加密數(shù)據(jù),最后將加密后的數(shù)據(jù)和加密后的DESKey一同傳輸?shù)胶笈_(tái);

后臺(tái)先用RSA私鑰解密DESKey,然后用解密后的DESKey解密數(shù)據(jù)。

這是整個(gè)加解密過(guò)程,但是因?yàn)楹笈_(tái)解密速度達(dá)不到要求(后臺(tái)解密壓力太大,因?yàn)镽SA解密太耗時(shí),客戶端可能沒(méi)什么感覺(jué)),所以進(jìn)行了改進(jìn):

先和服務(wù)端交換DESKey(先將加密后的DESKey傳輸?shù)胶笈_(tái)),返回交換成功后,再將用DESKey加密的數(shù)據(jù)傳輸?shù)胶笈_(tái)。這樣做服務(wù)端可以用傳輸間隙進(jìn)行解密,適當(dāng)?shù)木徑夥?wù)端壓力。

云服務(wù)端加密方式

內(nèi)容感知加密和保格式加密是云計(jì)算的常用加密方法:

內(nèi)容感知加密:在數(shù)據(jù)防泄露中使用,內(nèi)容感知軟件理解數(shù)據(jù)或格式,并基于策略設(shè)置加密,如在使用email將一個(gè)信用卡卡號(hào)發(fā)送給執(zhí)法部門(mén)時(shí)會(huì)自動(dòng)加密;

保格式加密:

加密一個(gè)消息后產(chǎn)生的結(jié)果仍像一個(gè)輸入的消息,如一個(gè)16位信用卡卡號(hào)加密后仍是一個(gè)16位的數(shù)字,一個(gè)電話號(hào)碼加密后仍像一個(gè)電話號(hào)碼,一個(gè)英文單詞加密后仍像一個(gè)英語(yǔ)單詞.

云服務(wù)端加密服務(wù)是云上的加密解決方案。服務(wù)底層使用經(jīng)國(guó)家密碼管理局檢測(cè)認(rèn)證的硬件密碼機(jī),通過(guò)虛擬化技術(shù),幫助用戶滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求,保護(hù)云上業(yè)務(wù)數(shù)據(jù)的隱私性要求。借助加密服務(wù),用戶能夠?qū)γ荑€進(jìn)行安全可靠的管理,也能使用多種加密算法來(lái)對(duì)數(shù)據(jù)進(jìn)行可靠的加解密運(yùn)算。


云計(jì)算的云數(shù)據(jù)安全與加密技術(shù)

云密碼機(jī)服務(wù)

云服務(wù)器密碼機(jī)是硬件密碼機(jī),采用虛擬化技術(shù),在一臺(tái)密碼機(jī)中按需生成多臺(tái)虛擬密碼機(jī)(以下簡(jiǎn)稱VSM),每臺(tái)VSM對(duì)外提供與普通服務(wù)器密碼機(jī)一致的密鑰管理和密碼運(yùn)算服務(wù)(支持SM1/SM2/SM3/SM4算法)。同時(shí),云服務(wù)器密碼機(jī)采用安全隔離技術(shù),保障各VSM之間密鑰的安全隔離。

密鑰管理服務(wù)

現(xiàn)有的云服務(wù)提供商可以提供基礎(chǔ)加密密鑰方案來(lái)保護(hù)基于云的應(yīng)用開(kāi)發(fā)和服務(wù),或者他們將這些保護(hù)措施都交由他們的用戶決定。當(dāng)云服務(wù)提供商向支持健壯密鑰管理的方案發(fā)展時(shí),需要做更多工作來(lái)克服采用的障礙。

數(shù)據(jù)加密(存儲(chǔ)&傳輸)

加密技術(shù)就是用來(lái)保護(hù)數(shù)據(jù)在存儲(chǔ)和傳輸(鏈路加密技術(shù))過(guò)程中的安全性,對(duì)做存儲(chǔ)的技術(shù)人員來(lái)說(shuō),平常遇到的加密方案和技術(shù)主要是存儲(chǔ)后端支持加密,如加密盤(pán)或存儲(chǔ)加密。

但加密技術(shù)從數(shù)據(jù)加密位置一般分為應(yīng)用層加密(如備份軟件,數(shù)據(jù)庫(kù)),網(wǎng)關(guān)層加密(如加密服務(wù)器,加密交換機(jī)等),存儲(chǔ)系統(tǒng)加密和加密硬盤(pán)技術(shù)。

兼容性最好的當(dāng)屬應(yīng)用層加密技術(shù)(很多辦公軟件都是這種加密實(shí)現(xiàn)方式),因?yàn)檫@種加密方案在存儲(chǔ)、網(wǎng)絡(luò)層是無(wú)感知的。

個(gè)人認(rèn)為應(yīng)用層加密技術(shù)意義和實(shí)用價(jià)值更大些,可以保證數(shù)據(jù)端到端的安全性,而不是只在存儲(chǔ)側(cè)或磁盤(pán)上數(shù)據(jù)是安全加密的。


云計(jì)算的云數(shù)據(jù)安全與加密技術(shù)