基于國産密碼的分布式架構：公共服務的安全與優化新政策

網絡安全、資料安全是當下網際網路環境中十分重要的命題，那麼在雲計算場景下，我們要如何保證資料安全？在本篇文章裡，作者便介紹了雲計算資料安全的解題思路、資料分布式存儲等方式或方案的可行性，一起來看看吧。

前言

自70年代人們通過電話線連接配接區域網路開始，網絡安全的威脅就随之誕生了。彼時，即便是在IBM的DES加密協定、McAfee的防毒軟體、Avast的VPN服務等強大的安全系統保護下，網絡犯罪的行為仍不斷演變，以至于今天的勒索軟體、惡意軟體以及資料非法濫用等，對個人、企業和政府帶來了各種風險隐患，甚至巨大經濟損失。

展現在企業财稅管理層面，涉稅資料作為全新生産要素，不僅是稅務機關的征管資源，也是助力企業數字化轉型的重要驅動力，其安全性、隐私性和産權管理等，是資料交換共享、價值挖掘的必要前提。尤其是在“數電票”時代，雖然納稅人可以享受更便利的涉稅服務，但同時也面臨着資料安全流轉和自主可控的挑戰。

根據相關政策趨勢，稅局可能會指定第三方電子發票服務平台為納稅人提供“數電票”基礎和相關增值服務，他們通過雲服務平台為大量納稅人提供服務，進而加速“數電票”的推廣。但是，一個納稅人因收票業務往往會使用多個平台，如此讓本身就分散化、多地部署的雲平台，又因業務資料的不集中、不受控等，再加上第三方平台本身的監管成本很高，導緻這種服務模式下的涉稅資料安全性管控非常困難。

一、雲計算架構的利與弊

縱觀軟體架構的發展曆程，最開始是桌面軟體，後來發展為C/S（用戶端/伺服器端）架構，雖然它的兩層結構具有安全的存取模式、響應速度快、擅長處理大量資料等優勢，但是因系統維護、更新的成本高昂，難以進一步的資料拓展，更難與其他系統互動，故此通用性較差，僅适用于小型的區域網路。

随着網際網路高速發展，C/S架構已無法滿足全球網絡的開放、互聯、共享的新要求，于是就改進為B/S模式，即浏覽器/伺服器結構。即便B/S架構的具有零用戶端、低成本、分布式強、開發簡單、維護友善等諸多優勢，但仍然無法完全替代C/S架構，尤其是在響應速度和圖形計算方面，往往花費很大的成本和努力，也難以達到C/S架構的效果。

随着服務端計算和處理的資料越來越多，作為B/S架構的進一步改進和延伸，雲計算架構通過IaaS基礎設施服務、PaaS平台服務、SaaS軟體服務，為不同的租戶提供按量付費的靈活性方案。盡管雲計算架構的優勢更加顯著，比如價格低廉、部署快捷、擴充性強、功能豐富、操作友善、開箱即用等，但仍然無法遮掩異構系統的資料互聯互通（雲服務商之間存在資料壁壘，擴充閱讀：《“商業協同協定”加速SaaS滅亡》）、資料濫用（利用使用者資料産生的收益是雲服務商的收入來源之一，擴充閱讀：《Web3在企業服務的應用》）、資料加密等方面的不足。

那麼，除了多平台資料壁壘和使用者資料主權喪失的弊端外，雲計算架構的資料安全保護又存在怎樣的難題呢？

二、雲計算資料安全的解題思路

随着軟體架構的進化和更新，資料安全的概念也在資訊化和數字化的高速發展中發生了變化，其大緻可分為三個階段：從早期的資料庫和檔案系統安全，到資料生命周期的安全，以及現在我們常談的資料基礎設施和數字化業務流程的資料安全（資料采集、傳輸、存儲、使用、交換、銷毀等全周期的保護）。

是以，作為目前數字化業務發展的主要載體，雲計算下的資料安全變得尤為重要。因為它的資料分散在不同的機器和儲存設備中，包括伺服器、個人電腦以及無線傳感器網絡和智能手機等移動裝置，其資料安全比傳統資訊系統更為複雜。

雲計算的資料安全首要問題是資料隐私、資料保護、資料可用性、安全傳輸[1]，這些環節無一不依賴密碼算法和密碼協定等網絡信任體系來建構基礎，并基于密碼的保密性、完整性、認證性和可用性等基礎功能，實作資料所有權、使用權，讓資料安全可靠、自主可控地流轉。

但是在實踐中，由于雲租戶對密碼應用的需求多樣化，采購密碼服務的意識不足，導緻營運商對密碼資源的投入積極性不高，尤其是面臨分散化、多地化部署的情況，各節點建設各自的商用密碼管理系統，不僅重複建設造成資金、人員和裝置的嚴重浪費，也造成了認證上無法實作互聯互通。

總體來說，雲計算場景應用商用密碼的兩大特點[2]：一是密碼支撐能力不足，主要展現為專業裝置和技術人員專業能力方面，使其發展不均衡，商用密碼的效用沒有發揮出來，更不用說未來擴增的業務量支撐力了；二是傳統的密碼基礎設施技術架構體系難以支撐新業務快速發展，亟需要建構一種新模式下的密碼雲服務架構，為雲平台所有業務系統提供多租戶的密碼服務。

為此，我們提出了一種資料分布式存儲和應用的方式，通過建立一個由各類密碼裝置和基礎密碼服務單元組成（包括雲伺服器密碼機、簽名驗簽伺服器、CA認證系統、資料加密系統、密鑰管理系統等，以支撐虛拟化的密碼原始服務能力）的統一基礎密碼計算服務中心（下文簡稱：中心），一是避免各個雲服務平台的重複建設，彌補參差不齊的資料安全基礎設施，二是建立租戶和雲服務提供商之外的第三方監管機制，既能提供可見性來保障資料的完整性，也一定程度監督雲服務商對租戶資料的濫用，避免現在普遍存在的監守自盜現狀。

三、分布式方案的可行性

無論以上描述的現狀，還是目前普遍存在的雲服務商對租戶資料監守自盜的現象，導緻租戶愈加不信任雲提供商，而雲服務商也幾乎不可能消除潛在的内部威脅，是以使用者直接将他們的敏感資料直接存儲在雲上是非常危險的。即便是在加密措施下，雲服務商仍面臨密鑰管理問題，無法支援查詢、并行修改、細粒度授權等複雜需求。

此時，有人提出了“同态加密”體系[3]，即保證密文代數運算結果與加密後的明文運算結果一緻，整個過程不需要解密資料。理論上，該技術确實可以解決雲端資料與資料操作的機密性問題，但是該加密系統涉及計算非常複雜，儲存成本也非常高，離真正的應用還很遙遠。

不過，資料的分布式存儲卻是雲計算的一種很有前途的方案。為保護資料和確定完整性，将資料分成幾部分，通過資料塊的加密後單獨存儲在多個雲或雲資料庫中，以此增強針對不同類型攻擊的安全性。[5]

該研究成果與雲服務的分布式方案的理念如出一轍。不管是刻意将資料分成多個部分來實作最大的安全性，還是因業務需求造成的資料分散在多個雲服務平台，這些資料塊都将經過加密生成密文進行流轉和存儲，而密鑰存儲、調用、更新、遷移等服務都由中心的密鑰管理系統處理。如此，隻有使用者才真正擁有資料的各項權利，雲服務平台隻會在授權的情況下才能使用，并且是不可見的。

在此方案中，你會發現一個關鍵點：建設和管理中心的角色必須是有公信力的、權威性的、不涉及利益沖突的監管機構，或者是其唯一授權機關。展現在電子發票的雲服務平台，自然是國家稅務總局本身或者唯一授權了。

四、電子發票服務平台的實踐

前言中已經大緻介紹了“數電票”時期将仍可能會繼續采用第三方電子發票服務平台的模式，為納稅人提供發票的基礎和增值服務。顯然，所有第三方平台都建設各自的商用密碼管理系統是不現實的，從監管和推廣的角度看，怎麼取得使用者信任第三方平台，不會對隐私資料的濫用，是亟待解決的問題。為此，國家稅務總局在指定一些第三方服務平台的同時，也不得不委派相關部門管理監督。

由此，在完全不改動現有系統的基礎上，建議稅局指定一個超級第三方為統一基礎密碼計算服務中心，為各個平台提供統一的密碼服務（比如封裝API、可信身份認證、密鑰管理、資料加密、資料分析等），通過全生命周期的加密方式，讓第三方平台無法碰資料，同時也擔任使用者和第三方平台之外的監管機制，以确定誰可以使用或者誰更改了資料，保障資料的隐私性和完整性。最重要的是，在安全的基礎上，中心可以提供更多“數電票”的基礎設施，能夠加快“數電票”的推廣，并且建構了一個開放的應用生态，進而為納稅人提供更好的稅收服務。

當然，資料安全治理體系僅靠技術支撐是無法實作的，中心還需要健全的安全管理體系，以及成熟的安全營運體系[5]。如此就要求這個中心要推動建立資料安全的标準，以此規範流通在各方、不同業務場景的資料，進而避免敏感資料的洩露。同時也要依據相關法律，界定資料權屬問題，讓資料有序且可控地流轉。

不得不承認，在目前的複雜環境下，隻有背靠一個超級公信力的“中心”，才能做到去中心化。該方案本質就是通過分布式建構一個去中心化的第三方電子發票服務平台體系，并提供統一的基礎密碼計算服務，有效降低雲服務的安全設施投入成本和規範雲服務商的資料利用，進而建立服務商與消費者的信任關系，讓更多資料和資訊傳輸到雲上，以實作可信的資料共享、促進資料資源高效利用。

參考文獻：

1. 孫雲川 張俊生 熊永平 朱光宇 雲計算中的資料安全和隐私

2. 彭浩楠 唐明環 查奇文 王偉忠 王聰 雲計算場景商用密碼應用研究

3. Gentry C. A fully homomorphic encryption scheme [Ph.D. thesis] 2009 Stanford University

4.Pagano F., Pagano D. Using in-memory encrypted databases on the cloud Proceedings of the 1st IEEE International Workshop on Securing Services on the Cloud (IWSSC ’11) September 2011 30 -37

5.雷蕾. 資料安全現狀與發展趨勢研究[J]. 資訊通信技術與政策, 2022,48(10):69-74.

本文由 @不見悲秋客 原創釋出于人人都是産品經理，未經作者許可，禁止轉載。

題圖來自Unsplash，基于CC0協定。

該文觀點僅代表作者本人，人人都是産品經理平台僅提供資訊存儲空間服務。