论文部分内容阅读
近年来,“云计算”和由此派生出来的“云储存”、“云服务”,成为计算机和互联网领域的“热词”。越来越多的人和企业倾向于将自己的数据储存在“云端”,也就是位于远方的云储存服务商提供的空间里,以节约自行购置储存体的花费。但当我们将自己的几乎一切都托付给云储存的时候,我们是否应该仔细想一想:这样的保存方式,是否真的能保证数据的安全?
答案其实是不容乐观的。当我们为手机或者其他移动上网终端安装上云储存服务商的客户端,并通过这个软件访问自己储存的数据的时候,客户端实际上发挥着将手机与云储存服务器“同步”的功能。也就是说,在客户端连通云储存服务器的一瞬间,它就会首先把用户储存的所有数据做成体量极小的“摘要”,再下载到手机上,以便用户下一次访问能更快地载入。
举例而言,一个人在某个网盘里储存了100张图片,每张图片的体积大约是10M。想要把它们瞬间下载到手机里当然不可能,但当这个人通过客户端访问网盘的时候,客户端就会迅速生成100张图片的略缩图,并且复制到手机上。即使此时断开链接,这些体积极小的略缩图也会被存在手机里,让客户端可以“记得”它们,不必每一次连上服务器都重新搜索。
正是这样的“同步”机制,给云储存服务带来了安全隐忧。因为,即使用户没有通过客户端下载存在云端的任何数据,手机也可以“知道”用户存在那里的一切。甚至,当用户删除云端里的某些数据的时候,手机依然会保留与之对应的“摘要”信息。
当别有用心的人,比如骇客得到这些“摘要”信息的时候,他们不仅有可能由此得知手机用户存在云端的数据都有哪些,从而让破解和窃取数据的工作更为有的放矢;甚至,对于那些已经被用户从云端删除的数据,骇客也有办法通过“摘要”寻回。更值得警惕的是,骇客完全有可能通过客户端自动生成的“摘要”,得知云储存服务器里的数据存放模式,并设法绕过安全措施,得到一些更为珍贵的数据,比如属于大型企业的机密资料。
那么,骇客或者其他觊觎珍贵数据的人,如何得到别人存在手机上的“摘要”信息呢?购买内存数据没有清空的旧手机或者贼赃是一种可能的途径,但他们显然还有更为“现代化”的解决方案。我们知道,大多数人都会为手机和其他移动上网终端安装各种应用程序,而这些程序往往会与它们各自的服务器进行着数据交换。于是,一些含有恶意代码的应用程序很可能会做这样一项工作:在数据交换的时候,也会把云储存客户端的“摘要”信息一起“卷包会”。
解决云储存服务背后的安全隐忧,有赖于云计算领域与移动终端应用开发者的深度合作。目前,云储存服务本身与对应的客户端的开发者,往往是完全不同的团队,而且前者属于云计算领域,后者又需要遵循安卓或者苹果iOS系统的技术标准,这就很容易导致客户端的开发出现漏洞。而如果云储存服务和客户端都由同一个团队开发,就有助于避免这样的问题。
另一方面,保障云端数据的安全,也有赖于用户自己的安全意识。苹果公司设备使用的iOS系统,会对应用程序做一些检测,以阻止含有恶意代码的软件被装进移动终端里。但事实上,大多数中国苹果用户都会对自己的设备进行“越狱”,以便安装更多有趣的应用程序。安卓系统由于开放源代码的缘故,常常被厂家出于自身利益“深度定制”,而且安卓应用程序允许开发者“自签名”,这都带来了更多的安全隐患。可以说,如果苹果用户不把自己的设备“越狱”,安卓用户在安装应用程序时注意甄别其安全性,那么我们面临的安全隐忧就会减少很多。
答案其实是不容乐观的。当我们为手机或者其他移动上网终端安装上云储存服务商的客户端,并通过这个软件访问自己储存的数据的时候,客户端实际上发挥着将手机与云储存服务器“同步”的功能。也就是说,在客户端连通云储存服务器的一瞬间,它就会首先把用户储存的所有数据做成体量极小的“摘要”,再下载到手机上,以便用户下一次访问能更快地载入。
举例而言,一个人在某个网盘里储存了100张图片,每张图片的体积大约是10M。想要把它们瞬间下载到手机里当然不可能,但当这个人通过客户端访问网盘的时候,客户端就会迅速生成100张图片的略缩图,并且复制到手机上。即使此时断开链接,这些体积极小的略缩图也会被存在手机里,让客户端可以“记得”它们,不必每一次连上服务器都重新搜索。
正是这样的“同步”机制,给云储存服务带来了安全隐忧。因为,即使用户没有通过客户端下载存在云端的任何数据,手机也可以“知道”用户存在那里的一切。甚至,当用户删除云端里的某些数据的时候,手机依然会保留与之对应的“摘要”信息。
当别有用心的人,比如骇客得到这些“摘要”信息的时候,他们不仅有可能由此得知手机用户存在云端的数据都有哪些,从而让破解和窃取数据的工作更为有的放矢;甚至,对于那些已经被用户从云端删除的数据,骇客也有办法通过“摘要”寻回。更值得警惕的是,骇客完全有可能通过客户端自动生成的“摘要”,得知云储存服务器里的数据存放模式,并设法绕过安全措施,得到一些更为珍贵的数据,比如属于大型企业的机密资料。
那么,骇客或者其他觊觎珍贵数据的人,如何得到别人存在手机上的“摘要”信息呢?购买内存数据没有清空的旧手机或者贼赃是一种可能的途径,但他们显然还有更为“现代化”的解决方案。我们知道,大多数人都会为手机和其他移动上网终端安装各种应用程序,而这些程序往往会与它们各自的服务器进行着数据交换。于是,一些含有恶意代码的应用程序很可能会做这样一项工作:在数据交换的时候,也会把云储存客户端的“摘要”信息一起“卷包会”。
解决云储存服务背后的安全隐忧,有赖于云计算领域与移动终端应用开发者的深度合作。目前,云储存服务本身与对应的客户端的开发者,往往是完全不同的团队,而且前者属于云计算领域,后者又需要遵循安卓或者苹果iOS系统的技术标准,这就很容易导致客户端的开发出现漏洞。而如果云储存服务和客户端都由同一个团队开发,就有助于避免这样的问题。
另一方面,保障云端数据的安全,也有赖于用户自己的安全意识。苹果公司设备使用的iOS系统,会对应用程序做一些检测,以阻止含有恶意代码的软件被装进移动终端里。但事实上,大多数中国苹果用户都会对自己的设备进行“越狱”,以便安装更多有趣的应用程序。安卓系统由于开放源代码的缘故,常常被厂家出于自身利益“深度定制”,而且安卓应用程序允许开发者“自签名”,这都带来了更多的安全隐患。可以说,如果苹果用户不把自己的设备“越狱”,安卓用户在安装应用程序时注意甄别其安全性,那么我们面临的安全隐忧就会减少很多。