谈云计算安全问题：有解还是无解？

　　对于Google来说，如果希望AppEngine能够获得商业上的巨大成功，吸引更多用户，尤其是企业用户，最大的挑战在于，如何保障客户的数据和私有程序的安全。

　　举个例子，譬如Google想劝说某家银行，用不着银行自己建数据中心，把银行的数据存到 Google的云计算平台，每月给Google一笔数据托管费即可。银行很可能会问两个问题：

　　1.如何防范Google员工偷窥银行的数据?

　　2.银行有投资业务，所以银行自己开发了一套软件，用于评估投资风险和收益。如何防范 Google员工偷窥这些软件的代码?

　　Google当然会派律师去游说，指天画地地发毒誓，说如果出现Google偷窥数据及代码的情况，根据双方合同，Google必将受到法律严惩，等等。

　　但是银行还是不放心，作案取证本来就麻烦，如果Google再做点手脚遮掩，很可能查无实据。即便能找到实据，一个案子办下来，时间也得拖很长。

　　这个问题，困扰的不是Google一家，而是所有负责数据托管的公司面临的共同问题。所以，现在只有两类公司，敢把数据托管给他人。一种是中小企业，他们或许会觉得自己在竞争对手眼里不那么重要，对手不至于甘冒风险去刺探自己的机密。另一种是数据本身机密性不高的公司，譬如新浪网，天涯社区等等，他们的数据内容本来就是公开的。

　　所以，如果Google打算吸引重量级企业用户来使用云计算平台，最好的办法是从技术上想出路，保证做到，即便Google挖空心思想偷窥，也看不到。

　　1.有人问，为何不用VPN技术呢?

　　VPN(Virtual Private Network)虚拟私网，解决的是在如何通过公共网络，远程访问企业内部私网的问题，譬如在家处理公司业务，需要把自家的电脑，通过公共网络，接入到公司内部网络中去。所以，VPN解决的问题主要在于，保证家里电脑和公司电脑传输数据时，数据通过公网时的安全。

　　经常在北京街头看到振远护卫的押运车，以及持枪的押运员，负责运输现钞，有人戏称他们是振远镖局。镖局的任务之一是，把现钞从银行押运到各个ATM自动取钱机，中途通过公共马路。现钞安全到达目的地，镖局的任务圆满完成。但是，如果有谁把ATM 取钱机撬开了，镖局不负责任。

　　类似的道理，客户可以通过VPN把数据安全地传输到Google云计算平台，但是VPN不能阻止Google的内部员工偷窥存放在Google机器上的数据。

　　2.还有人建议，可以给数据加密

　　客户在上传数据到Google云计算平台前，先用私钥(private key)给数据加密，这样存储在Google云计算平台的数据，是加了密的数据。Google员工即便打开了文件，看到的也不过是一堆乱码。当客户授权给他的同事看数据时，给同事一份公钥(public key)。同事用这个公钥解码，然后就能读到真实的内容了。

　　德国人的钥匙很有意思，办公室的钥匙，同时可以打开大楼的门，以及公司的门，但是不能打开隔壁办公室的门。隔壁办公室的钥匙，也可以打开大楼的门，以及公司的门。所以，德国人的钥匙和锁，是有层次的。

　　公钥也可以这么设计，一个部门的公钥，不仅可以解密本部门的文件，而且可以解密公司内部公开的文件，但是不能解密其它部门的文件。实现这样有层次的公钥并不难，一个简单的办法是把整个公钥分成几段，第一段负责公司内部公开的文件，第二段负责某特定部门的文件等等。

　　这个办法猛一听起来似乎可行，但是仔细想想却不然。它有四个缺陷，a.不能给程序加密，b. 不能搜索加了密的数据，c.不能给数据库文件加密，d.公司员工离职后，有可能会造成私钥和公钥的外泄。

　　3.程序如何加密

　　按照前一段的思路，平时给程序加密，只有当运行程序前，才解密。程序运行结束后，再度加密，同时销毁解密了的程序。但是这个办法不可行。

　　解密和加密，是相当耗用CPU的，同时占用时间也比较长。如果实施平时加密，用时解密的措施，用户等待时间会相当长。更严重的是，通常一段程序不能解决所有问题，一段程序往往会调用其它程序，其它程序又调用另外程序。如果平时把所有程序加密，用时再逐个解密，整个流程将占用很长时间，这将严重影响用户的体验。

　　现实中通行的办法是给程序变形，学名叫Obfuscation。道理很简单，把程序中的变量名称转换掉，同时切割整个程序，并且重新排序，以便混淆耳目。变了型的程序依然可以运行。

　　正常的编译过程，是把人类可读的源代码(譬如用Java写的程序)，翻译成机器代码(譬如 Java bytecode)。而反编译是把机器代码，逆向翻译成人类可读的源代码。虽然Obfuscation不能从根本上阻止反编译，但是却增加了这个工作的难度。

　　虽然有难度，但是重赏之下必有勇夫。譬如，如果能盗窃银行密码，肯定会有人不辞劳苦地反编译。