一、利用云计算加密来保护数据安全

实施云计算加密的原因，除了加密数据（无论是进还是出云计算）的常见原因外，还有两个主要的原因：

1. 云计算是由API而不是物理访问来管理。因此，如果有人获得了对管理平台的管理级访问权，那么他们就可以很容易地复制和移动大量的数据，而这一点在传统基础设施中是根本无法实现的。所需的仅仅是一个并不强壮的管理系统以便于窃取你的整个基于云计算的数据中心。

2. 即便是私有云计算，它也是具有多租户特点的。加密技术可以让你的数据与其他用户（甚至是管理员）保持安全的距离。它允许你使用一个更加开放的共享基础设施，同时还能够保护你自己的数据，当然前提是你必须操作正确。

考虑到这些原因，那么就让我们来看看两种IaaS存储方法，以及应当如何对它们进行加密以实现IaaS安全性。

二、对象存储的原理

首先是对象存储，例如Amazon S3 或OpenStack Swift。对象存储是一个文件/对象库。可以把它想象成一个文件服务器或硬盘驱动器。虽然，你可以配置大部分的对象存储系统并对它们所存储的所有数据进行加密，但是这种方式的作用是片面的，它只能防止驱动器丢失，而不是保护你的文件免受外人的访问。

为了在一个共享库中保护你的文件，你需要使用一个我称之为“虚拟私有存储”的架构。就如同虚拟私有网络（VPN）允许我们加密私有数据并使用公共网络一样，虚拟私有存储允许我们在公共存储设备中保护私有数据。

其原理是相当简单的：在你把你的数据发送至云计算之前，对其进行加密。根据你的实际工作情况，这一步操作可以在你用于访问对象存储的代理/应用程序中自动执行。例如，我使用Dropbox (它在S3中存储文件），通过把敏感文件存放于存储在服务中的加密卷标来对它们进行保护。只有我自己有密钥，因此我的数据是安全的。

三、卷标存储的两种方法

当在云计算中运行长期计算实例时，你就会用到卷标存储系统。它们模拟成一个普通的硬件卷标，然后我们使用类似的技术对其进行数据加密。

第一种方法就是数据加密与你的实例相关的卷标。你的实例并没有被数据加密（对于引导卷标来说，其情况更为复杂），但是你的敏感数据存储在与实例相关的加密卷标中。有很多工具支持这一功能，它们甚至不需要针对云计算做任何特殊的改动。为了实现进一步的安全性，你可以把你的密钥存储在你的实例之外（对不起，鉴于篇幅有限，这一问题我将在今后的文章中具体介绍）。

另一个方法是使用特殊的数据加密代理，它位于计算实例和存储卷标或用于文件服务器的第二实例之间。当你有一堆实例连接至相同的存储或需要模拟出比实例中由工具支持的存储更多的类型时，这种方式就有用武之地了。这些代理一般都是成熟的商品，基本上就是在你的云计算环境中运行的虚拟设备。

最后，对于私有云计算或混合云计算，你可以使用外部管理加密工具，它们有可能是物理硬件。此外，这些成熟商品对于利用现有的数据加密投资或更为复杂的部属都是有用的。

小知识之IaaS：IaaS（Infrastructure as a Service），即基础设施即服务。消费者通过Internet 可以从完善的计算机基础设施获得服务，这类服务称为基础设施即服务（Infrastructure as a Service，IaaS）。基于 Internet 的服务（如存储和数据库）是 IaaS的一部分。

四、云存储数据加密与检索的探讨

这几种算法可以快速地检索出所需信息，但不适用于大规模数据的检索。在云存储中，检索时相关的文档较多，对其进行相关排序是解决问题的所在，这几种算法均不能解决其问题。全同态数据加密提供可以对密文进行操作的加密算法。而且通过全同态数据加密，一方面可以保证密文信息不被统计分析，另一方面可以对加密信息进行加法和乘法运算，同时保持其对应明文的顺序。

五、云存储应用中的加密存储技术

云存储应用中，高性能的存储安全技术，是网络环境下存储应用的根本保证，已成为当前网络存储领域的热点研究对象。云存储应用中的存储安全包括认证服务、数据加密存储、安全管理、安全日志、审计等。访问控制服务实现用户身份认证、授权，防止非法访问和越权访问。主要功能包括：用户只能对管理员或文件所有者授权的许可文件进行被许可的操作；管理员只能进行必要的管理操作，如用户管理、数据备份、热点对象迁移，而不能访问用户加密了的个人数据。