中科大資訊處理中心主任俞能海：「三步走」策略 解決雲安全問題

中科大資訊處理中心主任俞能海

CSDN：本次雲計算大會已經是第四屆了，一年來國內外雲計算領域分別有哪些主要的進展和變化？

俞能海：幾年來，一直關注雲計算的發展動向，特別是近一年來，我深刻體會到雲計算是一次資訊技術的重大變革，簡略從三方面談一下感受。

雲計算理念深入人心。 雲計算已成為各國新一代資訊技術的競爭焦點之一， 在《2012年中國政府工作報告》中指出「雲計算試點示範工作步伐加快」，對雲計算發展表示了明確肯定；此外，全國多個省、市、自治區制定了地方雲計算發展規劃，並紛紛籌建雲計算中心， 如北京「祥雲」、深圳「鯤雲」、杭州「西湖雲」、無錫「雲谷」、廣州「天雲」等；工業界結合各行業的需求特點分別提出與之相適應的行業雲，如教育雲、醫療雲、金融雲、交通雲等。 縱觀以上變化，不難發現雲計算的理念已深入人心。

雲計算的理論和技術得到普遍關注。 雲計算「以計算為核心、以應用為導向」特徵明顯，其相應研究分工也日益明確，目前已經形成「雲計算中基礎理論問題高校和科研機構承擔攻關，架構應用層面則是以企業為主導」的格局。 其中，近年來，美國國家自然基金（NFS）、中國國家自然基金以及「十二五」國家科技計畫等對雲計算中基礎理論的研究給予大力支援。 工業界中微軟、Google、IBM、Amazon等不斷加大在架構應用層的研發力度，這些都為雲計算的持續繁榮發展提供了堅實技術支撐。

產業鏈整合日顯雲計算魅力。 以「Facebook十億美元並購Instagram」案例說起，2010年Instagram以幾十萬起家，租用Amazon雲計算平臺，短短兩年團隊13人書寫新時代創業佳話，此案例詮釋了雲平臺實現「輕」創業！ 在眾多行業的資訊整合，以及行業雲的興起，雲計算都擔任著「幕後英雄」的角色。

CSDN：本次大會的主題是雲計算落地，你認為現在雲落地主要面臨的問題是什麼？ 應該怎樣解決？

俞能海：我所理解的「雲計算落地」是指雲計算能真正地服務于使用者的現實需求，而不僅僅停留在口頭上。 我認為「雲落地」的瓶頸問題是雲安全。 以雲渲染平臺為例說明一下。 對於新興的動漫產業公司而言，動漫設計是其核心競爭力，然後要實現3D渲染則需要大量計算資源，如果動漫公司自己建立伺服器集群，無疑這個非核心的業務佔用公司的大量的投資，不利於資金的快速回籠， 協力廠商雲渲染平臺的出現可望為動漫渲染提供互利雙贏的解決方案，但問題是將動漫設計方案交給雲渲染平臺，如何保證公司核心智慧財產權的安全性。 這涉及到技術層面和非技術層面的問題。

總體而言，雲安全包括三個層面的問題。

● 雲計算信任管理層面：信任機制風險，即法律保障體系不完善，缺乏公正的協力廠商管理約束；

● 資料存儲層面：雲資料存儲安全，即使用者資料機密性、完整性及訪問認證等能否得到保證；

● 網路平臺服務層面：可信雲計算與虛擬雲平臺安全，即計算可信性、虛擬機器安全、雲網路防護等。

如何解決雲安全問題？ 我認為可以採用「三步走」策略：

第一步，建立信任機制，規範管理流程。 解決雲計算安全問題，技術是手段，管理才是根本，雲安全保障依賴「三分技術，七分管理」；增強協力廠商管理的公正力，建立完善的雲計算平臺的安全等級診斷與評測框架，定期公佈各雲計算平臺的安全性能。

第二步，加強雲安全研究，體驗雲安全。 雲安全技術研發可以說是雲計算領域中永恆的話題，攻擊與安全關係是「魔高一尺，道高一丈」，安全具有相對性，讓使用者體驗到雲安全，如建立雲安全平臺，在世界範圍內公開懸賞攻擊，以提高使用者對雲安全的信心等。

第三步，研發豐富雲產品，享受雲服務。 雲計算在各行業都是處於幕後角色，缺乏在終端與使用者直接接觸，且體現「雲」特點的產品少。 應加強產品的研發，讓使用者切身體會到有「雲」無「雲」體驗差距。

CSDN：請介紹一下您在雲計算領域的從業經歷。 主要做了哪些工作？

俞能海：自2009年開始，我們團隊就一直關注雲計算安全的需求，開展雲安全的研究工作，所帶領的團隊圍繞雲計算環境下遠端資料完整性和認證技術做了以下幾方面的工作：

（1）在雲計算環境下，使用者將自己的圖片、文檔等長期存儲到雲端伺服器，在本地刪除這些檔。 為了保護使用者資料在雲端的完整性，需要設計遠端資料完整性驗證協定，使使用者能夠隨時隨地對資料進行驗證。 已有的協定在資料動態更新、公開驗證和使用者隱私保護方面不能很好地滿足使用者的需求。 我們針對這些使用者需求，使用數論中的同態RSA驗證標識設計了一個新的資料完整性驗證協定，完備支援了資料動態更新和公開驗證，並保護使用者隱私不被侵犯。 該工作的論文已發表在IEEE Transactions on Knowledge and Data Engineering期刊上。

（2）在無線網路中，傳統的安全機制基於計算假設，而這些假設有可能是不正確。 可怕的是，這些雜湊函數早已在世界各地的電腦和通訊服務中廣為利用，因此針對其所進行的破解將是災難性的。 如果消除加密工具對於計算假設的依賴，意義將非常重大。 針對這一缺陷，我們提出了問題——在無線網路中，能否構建無計算假設的安全系統？ 我們對這一問題給出了肯定的答案，並從基於無線通道特徵的不經意傳輸協議開始進行構建。 分析了所構建的不經意傳輸協議的效率和安全性。 基於所提出的不經意傳輸協議，進一步構建了私密通信方法和隱私保護的口令認證方法。 團隊的工作發表在INFOCOM2011電腦通信領域的頂級會議。

（3）針對已有遠端身份認證方案存在的缺陷和安全性漏洞，提出了新的身份認證方案。 認證方案結合使用智慧卡、口令和電子票據，既能夠為使用者和伺服器提供雙向身份認證，也能通過電子票據的發放解決了限制使用者訪問次數的問題。 例如對於數位媒體的訪問，每張票據限定訪問一部影片，票據過期需要重新購買。 所提出的方案適用于雲計算環境、電子商務領域、數位版權管理系統等，具有很強的實用性。

作為一名科研工作者，致力於培養國家亟需人才，在雲計算安全方向，已培養畢業博士2名、碩士3名。 目前，針對雲計算安全的新需求，整合我們團隊已發表在TKDE、INFOCOM等國際一流期刊會議上的15篇文章，凝練研究方向。

本年度和未來一段時間擬從以下幾個方面開展工作：（1）雲環境下代理重加密的接入控制模型研究；（2）面向雲存儲安全的密文域資訊檢索模型；（3）基於密文域雲資料著色機制研究；（4）面向雲計算平臺的安全等級診斷與評測框架研究。

CSDN：您所在領域在雲計算研發和應用的現狀如何？ 競爭的焦點在哪裡？

俞能海：不管在學術界還是工業界，雲計算都掀起了熱潮，但雲計算的研發與應用仍需深入思考與落實，有待進一步挖掘與展現。

雲體驗與雲安全是未來的競爭焦點。 所謂雲體驗是指基於雲計算的產品為使用者提供的特有體驗，目前，市場上很多傳統產品名字上加個「雲」就搖身變成雲產品，讓使用者一頭霧水。 應加強產品的研發，讓使用者切身能體會到有「雲」無「雲」體驗差距。 此外，如何落實落地雲？ 安全是雲計算落地的瓶頸，嚴重制約雲計算的產品的推廣與普及，雲安全不應只寫在標籤上，雲安全更應是做在產品中。

CSDN：針對今年的雲計算大會上，您最關注哪些方面的內容？ 有哪些期望？

俞能海：本次大會我主要關注雲計算未來發展政策導向、雲安全的最新研究進展、能體現「雲」特色的產品三個方面的內容。