淺談電子商務中云計算的安全及關鍵技術

浙江財經學院信息學院 劉庚

近年來，在網絡技術的不斷進步下，電子商務也隨之興起。作為一種新型的基于互聯網的在線商務模式，毫無疑問的是其發展迫使傳統的商品交易手段逐漸改變，隨之而來的是基于網絡平臺的商品交易模式。電子商務支付在云計算環境下的順利進行，首先要保障網絡交易環境的安全以及電子商務交易載體的安全性，其中包括兩個方面：網絡安全和用戶終端安全。“云計算”這個概念最早是由Google公司于2007年提出的，這個概念一經面世就引起了巨大轟動，云計算的誕生是信息技術的一次革命，它在計算以及存儲方面都有了新的突破。云計算主要是為用戶提供一種公用性質的信息服務，這項服務主要是通過利用一些基礎設備，將一些軟、硬件資源組織在一起來為用戶服務。云計算融合了計算技術以及網絡技術，這其中包括了分布式計算、網格計算、虛擬化、效用計算以及并行計算。這項技術可以根據用戶多樣化的需要來改變計算資源，其實施將資源的浪費降到了最低，因此在企業和用戶中受到了青睞。現代電子商務的發展在云計算即付即用的服務及分布式的網絡計算環境下，在服務模式、產業鏈結構及技術架構方面將會產生一些新的變化。云計算的應用不僅給電子商務網站的發展帶來機遇，也使電子商務企業網址的市場份額面臨被搶奪的風險。同時，由于云計算還處于發展階段，其安全性和穩定性將成為未來電子商務運營商面臨的巨大挑戰。

1 云計算的概念

現在世界各地對“云計算”這個概念還沒有一個統一的標準，但是大多數人都采用這樣的定義來詮釋這個概念：云計算是一種計算模式，該模式的大規模是根據經濟驅動而確立的，這種模式的使用可以實現一些比較虛擬的、不具體的、可管理以及可擴展的動態存儲與計算，外部用戶所訪問的數據都是通過互聯網中的資源池而得到的。從該概念中可以看到云計算主要包括以下幾個特點：

(1)規模大。分布式計算模式下的云計算是依靠經濟驅動而形成的計算模式，這種模式的首要特點就是規模巨大，云計算的大規模是為了給用戶提供更加優質的服務，這其中就包括給用戶提供的服務要快速、安全以及經濟。

(2)虛擬化。用戶得到的各種云服務都是虛擬化的，而這些虛擬化的服務都是基于云計算把不同功能進行封裝后而得到的服務實體，用戶可以在世界各地通過相應的云端服務來實現訪問數據、軟件操作等內容，而對這項服務是如何實現以及服務器在什么位置這些問題是不必考慮的。

(3)穩定性。云服務市場發展的狀況如何直接影響到了云計算的前景，而云服務市場的發展情況更多是取決于該項技術是否穩定、可靠，所以只有保障云計算的服務的穩定性才能從根本上保證云計算服務的未來發展情況。

(4)可擴展性。用戶數量以及用戶使用數據的規模會隨著云計算技術的發展而增多，這也就要求云計算必須要有強大的擴展能力來保證更多的用戶使用該項技術。

(5)資源優化分配。云計算需要對網絡資源進行優化配置來滿足不同用戶的不同需求，通過對人們使用的資源進行監控或者控制，進而以報表的形式傳遞給提供商，讓其進行分析后再將資源合理的提供給用戶。

2 云計算的發展和研究現狀

現在國外組建了像Info World cloud-computing，NIST，Open Cloud Consortium等專門研究云計算的機構，國內也紛紛地組建自己的云計算組織，如中國電子學會云計算委員會和中國云計算聯盟社區等。另外IT屆也介入了云計算的研究當中，其中就有Amazon，IBM，Sales force，微軟和Google等知名公司，他們投入了大量的人力和物力，開發出自己的云計算平臺。

云計算發展迅猛的同時，也在其應用中體現出它的不足，安全問題的頻頻出現，抑制了它快速的發展。微軟商務辦公在線套件在2010年12月發生了數據泄露事件，就是因為微軟在歐美和亞洲的一個數據中心忽略了安全設置，將BPOS中的離線地址薄提供給了非授權用戶，導致地址薄上的殘留信息被竊取。與此同時，谷歌在2011年3月，有15萬Gmail用戶的郵件和聊天記錄被刪除，更為嚴重的是竟然有的賬戶被重置，這種大面積的數據泄露，估計占到用戶的0.08%。同樣不可幸免，索尼公司數據泄露，導致1億用戶受影響，他們的信用卡、銀行密碼等都被竊取。涉及的地域范圍之廣達57個國家和地區，影響到7700萬用戶的信息安全，其中就有1000多萬用戶的信用卡賬號。索尼提供的“Qriocity”服務也有2500萬用戶的信息被竊取。這樣使人們對云計算的信息安全保障失去了信心，阻礙其發展。云計算是一把雙刃劍，既是機遇又是挑戰。想要抓住這次機遇首先要解決其安全的隱患才行。這既需要政府的監督，又需要技術上的提升，才能使得云計算受到重用。

3 電子商務中云計算服務的安全風險評估

云計算能很好的促進IT設施和用戶間的融合，獲得良好的認可，獲得收益，但是其天然的信息安全漏洞也很突出，所以企業要想使云計算得到很好的利用，必須注意規避風險。

(1)云計算中物理的安全防備模糊。企業和其他公司在云中可能要競爭計算資源，企業是無法得知自己數據的存儲區域的，只能依靠供應商的提供。

(2)對于黑客和不安全用戶的侵擾。企業的數據放在了任何用戶都可以訪問的云中，數據的竊取會很方便，可以將全球的任意地域企業運用虛擬機融合在同一個服務器上，導致數據中心的硬件防護和物理隔離的弱化，容易產生相互間的攻擊。

(3)對于密鑰的安全系數。數據在云中傳輸需要加密，這個密鑰由誰掌管至關重要，企業當然希望運用SSL來加密數據，云中的數據存儲同樣也需要進行加密。

(4)云存儲要有很好的兼容性。若一個云服務商的服務不足以滿足要求，需要將其轉移到另一服務商，這就涉及云服務的兼容性問題。就像Amazon的S3不能被IBM的藍云應用一樣。

(5)云計算應用的安全性質。企業如果應用SaaS產品，那么就確定它對傳統軟件的挑戰，就如SaaS服務商提供一個以Web為基礎的客戶關系管理產品，由于采用了不成熟的混合技術，會導致不可預知的安全漏洞問題一樣。

(6)對于云日志的監測和管理。越來越多的任務轉移到云中，云的服務商需要保留相關的日志，這種日志是內部的信息，不一定都能夠被企業訪問到，所以對其監測和管理會比較麻煩。

(7)對于災難性癱瘓的恢復功能。企業的不關鍵的任務下線，企業仍可能繼續運行，一旦關鍵任務下線，就可能導致系統運行錯誤。

(8)法律規定的安全風險。關于數據保存的法律規定是，國家不允許將本國的數據存儲到其他國家，不允許數據混雜在共享服務之中。例如銀監會就規定要將客戶數據存儲在本國的數據庫中。云就打破了這種國界限制，使信息的隔離、隱私和安全不受控制，有可能會違背法律規定。

4 構建電子商務中云計算安全框架關鍵技術

4.1 安全系數高的接入認證

因為使用云計算服務的用戶數量比較龐大，就需要對訪問云服務數據的用戶身份信息進行驗證以此來保障數據的安全性，同時還要定時地對用戶的訪問列表進行更新與維護。現在常用的一些驗證用戶身份的方式包括：利用用戶名和密碼的密碼認證方式、利用視網膜或者是指紋的生物驗證以及通過密保卡或者是U盾形式的實物認證。

4.2 可信訪問控制

在關于訪問數據對象問題上，傳統模式中主要是利用用戶的訪問控制策略來進行訪問控制的，但是云計算中無法知道服務商是否按規定進行實施，因此就需要對傳統方式進行變革，目前訪問控制方法中使用比較廣泛的是密碼學方法，該方法主要包括：根據屬性來進行加密的密鑰算法、密文規則；將訪問控制數寫入到用戶密文或者是用戶密鑰的方法；利用代理而得到的多重加密方法以及通過層次密鑰生成和分配策略而進行的訪問控制。

4.3 安全審計

用戶將自己的私人數據以及計算都放到了云端，這就使得用戶對自己的信息失去了控制權，所以提供商在數據安全方面一定要嚴格把控，訪問數據時要先對訪問者進行安全審計，安全策略要嚴格執行，針對云計算中的安全審計問題， RyanK LK等人利用策略的模式創建了TrustCloud框架，而保證云的公有化和私有化，數據的安全、透明和可信方面主要是采用CloudAudit項目。

4.4 數據隱私保護

從數據存入云端開始到數據被清除為止，都要對數據進行保護，防止他人進行篡改和竊取。一種隱私保護系統——airavat——由Roy等人提出，該系統在云中數據生成或者是計算時結合了差分隱私保護以及集中信息控制(DIFC)方法，以此來保證一些沒有經過授權的信息被他人所竊取或者篡改，而且該系統還可以對計算結果自動接觸密碼，這就使得用戶在云端存儲自己隱私信息上更加的安全。

通過對現有的隱私管理模式進行分析后，Munts-Mulero 等人分析了利用數據預處理、圖匿名以及K匿名等運用到大規模的上傳數據中的方案。Rankova 等人提出了一種新的訪問模式，用戶之間可以相互搜索自己需要的信息而進行訪問，而其他內容用戶是不可訪問的，這就從很大程度上保證了數據的安全性。

4.5 虛擬化安全

在物理資源進行分配和管理上采用虛擬化手法來進行云計算管理，使得用戶之間沒有交叉，產生隔離，保證了安全性。虛擬化安全主要涉及虛擬網絡安全、虛擬機安全和Hypervisor的安全，所以保證云計算的安全就是要保證虛擬化安全。sHype架構最早是由IBM公司提出的，該架構是一種安全的Hypervisor,在進行信息交流以及在不同的虛擬機中進行互相通信時主要是利用的強制訪問控制技術，這項技術可以在已經進行隔離機制的情況下去訪問一些共享的資源信息。

5 結語

電子商務下云計算服務的交易安全和保密問題成為用戶的困惑，而如何保障其安全性和保密性，正是新型電子商務發展應該解決的問題。隨著云計算技術的不斷發展，各大IT公司都推出了自己的計算產品，越來越多的用戶加入到了云計算的使用行列當中。然而云計算在發展的過程中仍然面臨著很多問題，仍有技術需要解決，這當中最為重要的就是安全問題，本文對云計算安全問題及其關鍵技術進行系統地分析，得出只有把關鍵技術做好，才能滿足現今人們對計算和存儲的高要求的結論。隨著云計算安全性的不斷完善，相信未來電子商務發展將會更加豐富。

[1] 呂志泉,張敏,馮登國.云存儲密文訪問控制方案[J].計算機科學與探索,2011(05).

[2] 蓋玲.基于云計算的安全服務研究[J].電信科學,2011(6)．

[3] 林果園,賀珊.一種云計算環境下的安全模型[J].電信科學,2010(9).