近日，由长风开放标准平台软件联盟主办、中国科学院软件研究所协办的2011云计算安全技术国际研讨会，在京召开。会上来自行业内的专家、学者、用户等就云计算安全等话题进行了讨论。

以下是来自新加坡信息通信研究院密码与安全部主任鲍丰精彩发言

什么是安全?能够抵抗各种各样的攻击。谈安全必须谈攻击。密码算法安全性分析即进行密码破译，现代的密码分析就是找密钥。安全协议也是基于攻击来说的，攻击形式包括中间人和合谋攻击。网络安全设计也要基于攻击设想，例如比较常见的银行网站的钓鱼攻击。系统安全也要针对各种不同的攻击来考量，寻找漏洞，漏洞与攻击就像是鸡与蛋的关系。因此研究安全也要从攻击上着手。

▲新加坡信息通信研究院密码与安全部主任鲍丰

因此，攻击是检验安全的唯一标准。就云安全中的云攻击来讲，离开了攻击谈安全也不能落到实处。但是，云攻击比较少，因为云安全是个范畴很大的概念，在初始阶段没有人真正完全把云计算理解透彻，今后的应用涉及的东西还有很多。

云的应用是很关键的问题，安全需求在应用中才能得到体现，当应用环境确定时，才能确定安全解决方案，否则只是纸上谈兵。而且，安全是无法保证百分之百的。从纯粹计算和网络模式角度来说，云计算是旧瓶装新酒，只是在特殊架构下有新的应用。

从密码学角度，为云计算安全设想的课题有四个。

第一，云计算是异地信息处理和存储，但是为了安全，将信息数据等存储到云上要加密。最好的设想是，将数据加密后放到云上，处理时不需要把所有数据调回解密，可以直接在云上进行用密文解密处理，将在本地计算机上的工作在云上仍然能够进行，但是目前无法实现。这个课题的研究可能要花费大量的时间才能完成，并且实现真正的应用是非常困难的。

第二，云数据加密后的授权问题。基于用户的身份、级别、特殊属性等得到的数据不同，因此需要基于属性的加密。针对每个用户，将解密的P分成两部分，提供给个人密钥，由于密钥无法收回和改变，部分解密可以防止泄露信息。

第三，具有隐私保护的数据商品销售。有些国家特别是欧洲非常重视隐私问题。假设在网上书店买书不想让书商知道你的购买书籍，书商把所有的数字书加密放到云上，加密过程和加密次序的改变会帮助用户实现保护隐私的功能。

第四，数字版权的保护。主要涉及数据使用权的控制，在云环境下数据的拷贝、编辑等问题还需深入研究。