对于云计算的未来和安全问题，我们已经做过很多探讨，但是了解越深入、心存的问题也就越多，云计算的发展过程中是否给作为基础的密码学带来了挑战，传统的密码学又如何迅速地满足和适应云计算中安全的需求，关于云计算中的密码学标准建立情况如何?记者带着诸多疑问采访了中科院国家重点实验室副主任荆继武教授。他既是密码学的专家，又在多年的研究中注重密码学在安全中的应用问题，他对安全领域问题的评论从来都是冷峻、直率、深刻，荆继武教授对于云计算和密码相关问题的看法相信能让读者耳目一新。

“云”的安全问题是密码的应用问题

云计算究竟面临怎样的挑战和机遇?这个问题是学术、产业、媒体都相当关注的，对于云计算面临的挑战和机遇，每位研究者都会或多或少地从自己的角度提出不同的观点。荆继武教授表示，要了解云计算面临的安全问题，就要先知道云计算的特点是什么。荆继武教授曾经在多个场合谈过云计算发展的安全问题，他认为，云计算最大的特点就是集中——云计算的专业化带来了业务集中。云计算是信息领域的专业化，其特点和导致的结果就是信息的高度集中，这样一来，信息的集中处理和存储、传输，都会带来安全的问题。所以，信息的保密就变成了所有人都很关注的问题，用户关心自己的信息在云服务提供商那里处理、存储，会不会有问题?云服务提供商关注客户信息传输、储存中如果发生泄漏，自己的信誉受损。这些问题的出现也就预示着加密要在其中发挥更大的作用——这就是云计算给密码学带来的机遇。

但是，这同时也给密码学带来了很多的挑战，过去的密码是在通信时使用的，加密者同时就是解密者，但在云计算模式下，传统的密码是否能支持大量数据集中加密同时集中解密的处理，密钥管理和加密怎么做，由谁来加解密，云服务提供商如何对密文进行处理，这里面就出现了对于密码学的很多挑战。“我们的密码学能不能支持加了密后，继续支持这么大范围的加密和集中的处理和存储，能不能管理好这些密钥，确保只有合法的用户可以解开，别人解不开，这些都是云计算模式下密码学面临的新挑战。”

荆继武教授表示，很多人用一个词——云计算的产生将对密码学提出“前所未有”的挑战，这是不对的，密码学是一门独立的学科，它的发展有着自己的规律。科学本身有两种推动力：一种是应用驱动的，另外一种是研究者的兴趣驱动。密码学的发展和整个信息技术的发展一样，是同步向前的，两者并非从属发展关系，一个新的IT模式也不可能对另外一个基础学科产生颠覆性的影响。

在IT领域，出现过很多昙花一现的新名词，而随着时间的流逝和实践的筛选，有很多都无疾而终，云计算是否也会像一波翻滚着泡沫的浪潮，渐渐退散?荆继武教授很肯定地表示，不论在学术界还是产业界，都会有些概念是“炒”出来的，这些想法都失败了。“但我坚信云计算不会失败，一定是未来的大势所趋。”荆继武教授表示，云计算的特点代表着整个信息产业的发展方向，信息处理的发展方向是社会分工，越分越细，社会分工是一种对能源的积累和节约，而且集中管理更专业，更省钱，维护率更好，这是整个社会的进步。云计算其中一个特点就是资源共享池，在技术上最大的特点是虚拟化，计算、存储资源按需使用，按照使用付钱，将一个物理的概念变成了一个逻辑的概念，又同时满足了需求，节约了费用，这一定是未来的方向。

但是，云计算从提出之日起就一直伴随着安全性的质疑，这是否说明现有的密码学还没有办法支撑云计算的要求?荆继武教授表示，“不是这样的，可以说，现有的密码学在很大程度上完全可以支撑云计算的发展要求。”但荆继武教授也表示，云计算中信息的存储、模式带来量的问题，由此可能会带来一些安全方面的质变，包括加密以后对于信息本身的处理，比如对海量加密信息的搜索，这些问题需要密码学来解决，而暂时还没有解决。目前，云计算的发展给密码学提供了一些新的研究方向，很多密码学研究者也逐步开始关注云计算中的密码应用问题，但这并不是说原有的密码研究已经过时，而是意味着云计算中还有很多没有解决的安全问题，而这些都依赖于我们如何将密码更实际地应用到其中去。

云计算的发展就像社会发展到一定阶段会产生的社会分工一样，云计算也是一种社会分工，自给自足的农业社会不会出现食品问题，但工业化时代，集中的、大范围的食品供应就有了食品安全问题。云计算也是一样，把自己的信息、文件、研究成果储存在云服务提供商那里，也就有了安全问题，甚至出现了类似版权保护的问题，这都涉及到密码和加密。云计算也是一个集中的、大范围的信息交流过程，需要把信息的储存、调用做好，又要保证安全，这都需要密码学的参与，现在这方面的研究也已经很多，比如同态加密，等等。

关于云计算中的密码标准

跟社会其他资源一样，云计算本身代表的是信息服务的工业化，所以如同食品安全、生产安全问题不断，但是工业化是历史进程不可逆转的潮流一样，荆继武教授认为安全也不可能成为云计算发展的障碍，集约化的信息服务能更加高效，而且成本更低，社会分工带来的好处远远大于安全，云计算是未来信息服务的主要模式。

荆继武教授表示，在云计算中，安全问题的解决并不是单纯依靠技术就能解决的。不论对于云计算的厂商和用户，大家必须有一个基本的共识——信用化的体系是云计算商业模式的基础。荆继武教授表示，没有信任，云计算就不能发展，只有讲信用的公司才能成为云服务提供商，就会有越来越多的用户信任他，这是一个互相影响的过程。云计算本身的发展就更像是一个推动者，可以推动我们整个信用体制的改革。

云计算的发展使得信息的服务和传输、计算都发生了变革，这些变革产生了很多的安全问题，比如，版权保护的问题、信息保障的问题、存储安全的问题，这其中，密码学作为一个工具，作为一个基础和支撑，是大有可为的。但荆继武教授表示，密码学也仅仅是一个工具，不能代替云计算，因为人类要用的是云计算带来的很多应用，密码学在其中只是一个保障。

荆继武教授给记者举了一个例子，比如网上的视频和一些不当的言论，可以用密码学的手段进行跟踪、定位，或者是实名制、身份管理。云上的用户可能随便就是几亿的数量级，怎么做几亿用户的身份管理，如果靠身份认证，可能根本不能保证安全，这就需要用到密码学的强认证，这样，云计算带来的安全问题都可以通过密码的参与得到解决。

其实云计算已经在国内开始了落地建设，而对于密码学是否有相关的标准可以支撑云计算的发展的问题，荆继武教授表示可以从两个角度去理解它。第一，云计算密码应用的标准还没有建立，这种提法本身是有问题的。这是因为首先云计算的标准就没有建立，所以，作为支撑它的密码学也就没有标准。第二，云计算在发展中有很多模式。而对于各种模式，都已经有很多的密码标准可以支持它。比如，身份管理就有用通用的密码标准可以支持其安全。所以，即使云计算没有标准，也有一些密码标准支持云计算的发展和安全，我国有SM2、SM3、SM4，等等，这些标准的算法都可以支撑很多云计算里面的安全需求。所以，从这个角度出发，密码学界完全有可以作为支持云计算中大部分安全工作需求的标准算法。

当然，如果云计算对密码学提出了更多特殊的需求，并要求新的密码算法，密码学界也会积极回应。但目前，这个特殊的需求没有提出，或者说对于云计算的发展还没有那么重要。

避免过度“云”计算

云计算是IT发展的方向，这一点无可争议，但在云计算的发展过程中，荆继武教授认为，我们也不能过度地曲解和没有限制地滥用这个概念。这点对于学术界和产业界都相当重要。荆继武教授表示，现在大家都在讨论云计算，但把云计算精髓理解透彻的不多。目前很多概念还是虚无缥缈甚至是错误的，比如汽车、城市、健康等体系都冠以“云”的名头，其实这都不是云。云计算特点是面向全球，网络延伸到哪里，云计算服务就可以到哪里，这样的云服务其实才真正是未来的发展目标。

而在学术界，甚至也有可能出现这样的追风，国外的密码学界其实也并没有专门的对云计算中的密码做一个热点的研究，而是更加注重在原来密码研究的成果上向云计算和云服务的应用问题转变。密码学研究是一个基础研究，实际上它跟云计算应用的距离还很远，不能拿来就随便用。比如一个做计算机硬盘的，硬是要说成“云”硬盘，做手机的要起个名字叫“云”手机，这只能说是一种伴随科技发展的“怪像”。应当明确的一点是，科学研究中，我们不应当把完全不同的两个概念混为一谈，搞出什么“云”数学、“云”化学、“云”密码来，真正要研究云计算中的密码问题，首先要知道云计算的特点、云计算安全的需求，然后抽象成一个理论问题，比如同态密码的问题，这才是真正理解了云计算和密码学的关系。

荆继武教授还给记者透露了目前的研究重点：首先是研究在云计算模式下，云计算的基本架构和云计算的基本特色，这其中主要是利用虚拟化技术实现计算资源的按需供给，另外是云计算的集中化带来的信息存储和使用中敏感的安全问题，通过研究云计算模式的特点，思考密码在云计算环境中的应用问题。

最近，荆继武教授的一个工作重点就是研究在私有云环境下，保证云里的信息不外露。现在，企业对于私有云的建设中带来了信息的共享问题、信息的隐私以及协作所带来的信息的分享，这就要求构造新的密码应用体系。荆继武教授在做一些研究工作。比如在云存储方面，研究基于文件系统的加密，这样既可以保证信息不被人拿走，管理员无法看见内容，又保证了信息可控制地进行流通。另外，包括加密网关，以及通讯加密也在做。荆继武教授认为，目前云计算中大量的应用都是以虚拟终端的方式，这并不是算法的问题，而是如何用加密来保证整个过程的安全，是要用密码的应用去配合云的虚拟化的技术，而这其中用到的密码还是传统密码学的成果。最重要的是如何把它应用到云计算中来。

荆继武教授表示，对于密码学研究者来说，首先，要有自己对于研究方向的判断力，要有所创新，给产业界的实现提供更多理论创新方面的可能性。其次，云计算厂商也会在实践中提出具体的需求，而这些都要求密码学研究者既要懂密码，又要懂云计算，更要着眼于应用。

2012年3月8日，政协十一届四次会议收到提案，建议把云计算作为战略性新兴产业，将其培养成新的产业增长点，促进就业和增加经济活力。云计算是互联网和超级计算能力的结合，是一种通过网络以便捷、按需形式从共享性的计算资源池(包括网络、服务器、存储、应用和服务)中获取服务的业务模式，今后将成为像水、电、煤气一样，成为生活和工作中不可或缺的重要组成部分。云计算有着迫切的需求和巨大的市场潜力。正是如此，云计算不仅需要加强技术的研究，还应该重视核心人才的培养，鼓励高校、科研院所和软件企业的合作，并在政策、资金、项目等方面大力支持，推动云计算产业的发展。荆继武教授给记者介绍，目前国内关于云计算项目的支持力度其实不小，比如科技部制定的《中国云科技发展“十二五”专项规划》已经获得了国务院批准，提供了大量的资金支持和推进我国云计算的研究和发展，其中也都关注了安全问题。国家密码管理局成立了云计算密码应用体系研究的专项组，学术界的一些学者也都很关注云计算中涉及到安全和密码应用的问题。可以说，云计算的发展必须要关注安全问题，而安全问题的解决离不开密码学的支撑。荆继武教授希望不论是政府还是产业，还有研究者们都能够更加务实、更加关注云计算本身的安全性，而云计算也将给密码学带来更加广阔的应用空间。

(责任编辑：)