阿勒泰信息港

当前位置:

书生云如何打造数据安全的铜墙铁壁

2019/05/14 来源:阿勒泰信息港

导读

你采用我的服务,即便我就是CIA(美国中央情报局)的特工,都没有机会窃取你的任何资料。你可以随便找专家来验证,觉得我的系统有这个安全性,你就

你采用我的服务,即便我就是CIA(美国中央情报局)的特工,都没有机会窃取你的任何资料。你可以随便找专家来验证,觉得我的系统有这个安全性,你就来采购。

当年王东临凭借这样一番话,拿下了全部中国政府加国企的电子公文市场。直到如今,政务的下达,公文的传输都是通过他发明的这套系统在进行。

现在他勇于给自己的安全云拍胸脯,也正是因为他具有常年防护CIA级别对抗的政务系统技术基础。

书生集团 董事长兼CEO 王东临

作为中国早一批科技天才,王东临这个名字,昔日在中关村可谓是无人不晓。

他15岁婉拒了华中工学院少年班的Offer,而这个Offer成就了另外一位名人李一男。

24岁时根据PDF的UI,一个人开发出相似功能软件,并在连公司都没有注册的情况下卖给中国农业银行总行。

他的第二个客户是中行总行,第三个客户是农发行总行,第四个是人行总行,第五个是国务院办公厅。

他发明了电子印章和电子公文,改变了中国的政令转达方式。

他凭借文档库国际标准成为了个国际软件标准的拥有者。

然而,身负数字化技术、知识英雄等等无数光环的王东临和他成立于1996年的书生公司,还是随着传统软件领域的变迁和没落而一度淡出了国人的视野。

我花了两年时间潜心研究文档库之间的接口。但是没想到,当我拿着高技术含量的软件走出国门的时候,发现世道变了。基于云存储的文档分享替代了传统的文档库分享,文档库接口人家根本不care了。

不是我不明白,这世界变化快。那时王东临的感受或许如同手捧一个精致的珐琅座钟,却发现满街人都戴手表。故事讲到现在,似乎在不可避免地走向悲剧。然而事实证明,担心一个天才没落似乎有些过剩。

真正的技术高手不是做了很多年比他人懂得多,而是从来没做过的领域新进去后很快就比别人做得好。

面对雷锋,王东临分享了这句他引以为傲的个人名言。2011年开始,他的书生集团全面转向做个人云存储,在全球发展了一千万免费用户。而在2014年,业务扩大到了企业云存储。当时懂得不多,基本是一群没有做过云的人来从头构建云存储,所以不受主流影响。到后来,反而发现我们的构架比主流的有一定的优越性。王东临轻描淡写,透出知识英豪的桀骜。他特别强调,书生集团是中国具有国家涉密资质的互联企业。因为有数据安全的底子,所以书生云的安全性在他眼中是毋庸置疑的招牌。

为了详解安全技术细节,这个技术狂人向雷锋展现了一幅波澜壮阔的密码疑云。

如何正确地守卫一个秘密

我们的私人文档,可以看作是秘密。

一个秘密,理论上只有他的具有者知道,而具有者可以选择让信使把秘密装进鸡毛信带给目标人,这样就完成了秘密的传递。云存储,就是这样的一个信使。但是不幸的是,这封鸡毛信有无数种泄漏的方式,世间一切秘密泄露的悲欢离合的故事,也往往都产生在信使身上。

王东临告诉雷锋,目前云安全主要采取两个措施:

1、络安全防护用以防止黑客从云服务商的服务器上盗取私密资料

2、规章管控用以防止云服务商内部人员利用自己的权限盗取私密资料

然而,这两类措施即便再严密,从实践上来看都越来越难保证资料的安全。从全球黑客和安全体系越来越难分胜负的战争中看,黑客成功入侵一个服务器,已经成为了概率不低的事件。而内部人员由于利益诱惑而盗取资料的事情,也是活久见的。

如果要避免秘密泄露,不能依托打死我都不说的守口如瓶的方式,而是要依托就算我说出来,你也不明白的模式。而要做到这一点,就要使出绝招对文档本身进行加密。这就会用到密文这一历史悠久但是屡试不爽的加密方式。黑客拿到的资料并不是铭文的,而是需要绞尽脑汁破解的达芬奇密码。

(英格玛机)

有关密码,的故事莫过于在二战中德国发明的英格玛机,这个臭名昭著的密码箱把德军明文的电报变成天书一般的密码进行传输。而即使是世界上伟大的密码学家计算机之父图灵,依托小宇宙爆发设计出了密码破译机,在全英国的科学家的协助下尚且需要小说般的机缘巧合和数年时间才破译了德军密码。而密码学经过几十年的发展,破译一个精心构建的密码体系已成为了极端困难的一件事。王东临为雷锋计算了一个以现有技术破解密文所需要的时间,大致已经超过了地球余下的寿命。

一个文件,会以连亲妈都不认识的姿态被存储在云端,即使是云存储服务商自己也没法破译文档的内容,因为只有文档的拥有者掌握着解谜的工具:秘钥。这就是王东临豪言即使自己是CIA特工,也没有办法盗取用户信息的原因。再这样的态势下,看守好秘钥,成为了用户的职责。

看管一个钥匙,一定比看管你所有的财产容易很多。

王东临如此解释道。

今年在美国举办的的DefCon黑客大会上,王东临特地组织了一场活动,在交出管理员账户和密码的情况下,悬赏十万美金,寻觅可以破译书生云上存储密文的黑客。结果自然是没有人提交破译答案。王东临说,其实我的目的很简单,就是让还在犹豫的客户看到我们的实力。

还有更多的安全难题

但是保守秘密这件事,远比想象起来艰辛。围绕着密文的任何一个疏漏,都可能致使满盘皆输。王东临为雷锋讲述了四个明显的困难。

1、几毫秒的时间窗口

在公众眼里,Https中的那个s(SSL),就是安全的象征。但是在我的眼里这是有缝的安全。因为这类安全协议在传输到本地之后,会有一个先解密再加密的过程。在解密到加密之间几毫秒的过程中,信息就有可能被入侵者窃取。

为了封堵这几毫秒的时间窗口,王东临的技术团队开发出了无缝加密的技术。用他的话说,无缝钢管的工艺难度明显要高于拼接钢管。

(小贴士:想了解Https好在哪里的童鞋,请翻阅雷锋文章:HTTP必死:Google是怎么考虑安全的?)

2、戴着假面如何去重

由于数据被加密,就像带上了假面参加舞会。本来两个相同的文件在舞会上会选择完全不同的面具,所以如何识别重复的文件是一个亘古难题。行业内普遍认为:去重以后才能加密,加密之后无法去重。

不过根据王东临的介绍,这个问题也被他很好地解决了。密文去重是书生云引以为傲的专利技术之一。王东临告知雷锋,具体的去重机制很难讲清楚,不过由于已经申请了专利,这项技术的实现方法实际上已公开,可以通过公然渠道查到相干的资料。

3、没有备用钥匙怎么办

王东临把云存储服务器比作一个写字楼,的写字楼物业会要求进驻的公司在保安处放一把钥匙,以备紧急情况使用。然而这样一来,贿赂保安就成为了盗取信息的一条捷径。而王东临经常说的一句话就是:我不信任任何人,包括我自己。所以书生云存储索性不在物业处留钥匙。只有用户自己掌握秘钥。在紧急情况下会通过传送阵的方式将信息单向传送出来。

四、全文检索并不容易

凡是安全性,必定要对易用性进行一些牺牲。而全文检索方面就是书生云做出的牺牲。王东临说,由于加密方案的缘由,书生云不支持某些全文检索的方式,而且是某些主流的检索方式。就像一个大厦的地下停车场,我的设计在入口处有一根柱子,所以我的通道必须要增加一个拐弯。不过总体来说这类妥协是可以接受的。

不过,这个技术出身的CEO告诉雷锋,随着密码学的进展,全文检索是有可能实现的。在密码学领域,一样有一些技术,目前因为还不成熟,致使成本过高、耗时太长。不过历史证明基础科学和应用技术的进步是会解决很多问题的。

为何要保守一个秘密

对于书生来说,虽然是一家将近2十年的企业,但在云存储行业还算是新人。王东临坦率地说,虽然品牌知名度方面还是不如华为。但在技术和成本上都很有信心。在2014年360投资书生云之后,取消了自己的企业云存储团队,转而将企业云业务全部输送到书生云,也可以看出书生云的独特之处。

我们是一家地地道道的中国公司,不过有很多美国企业都在用我的技术。看到很多企业都在引进国外先进技术,我们却做相反的事情,还是很自满的。有一家日本上市企业在美国寻求新技术,结果把我们在美国的公司当成了地道的美国公司,把技术引回了日本。我猜如果他们一开始就知道我们是一家中国企业,恐怕都不会理会我们。

曾经有企业寻求和书生云合作,企业老板向王东临描写了一个盈利模式:平台之上的用户信息,我们各自拿去去卖钱,收益一定不菲。听过以后,王东临惊讶得半晌说不出话。这也让王东临重新思考自己的使命。这个梦想用技术改变世界的书生由此决定死磕出一个安全的云存储系统。

至于为什么要守旧他人的秘密,这在王东临心中也许是个根本不需要回答的问题。

白带多吃什么有用
白带多平时注意什么
白带粘稠有异味怎么办
标签