云計算若干安全問題的研究

朱變　任國恒

摘 要：隨著云計算的快速發展，更多的企業和個人依賴于云技術實現他們的存儲和計算需求。云計算的安全問題一直是當前研究者關注的重點問題。論文首先介紹云計算的體系結構及其特點。然后針對云計算體系結構中的安全問題作重點詳細分析。

關鍵詞：云計算；云安全；云架構

中圖分類號：TP391 文獻標識號：A 文章編號：2095-2163（2014）02-

Research on Security Issues of Cloud Computing

ZHU Bian， REN Guoheng

（School of Computer Science and Technology， Zhoukou Normal University， Zhoukou Henan 466001， China）

Abstract： With the rapid development of cloud computing， more and more companies and individuals rely on cloud technology to achieve their storage and computational requirements. The security problem of cloud computing is always the key problem in the current focus. This thesis first introduces the system structure and the characteristics of cloud computing. Then the paper also presents detailed analysis on the cloud computing security architecture .

Keywords： Cloud Computing； Cloud Security； Cloud Architecture

0 引 言

隨著互聯網技術的發展和普及，網絡用戶和網絡數據量不斷增長，這對系統處理數據的能力提出了更高的要求。而且，網絡資源的需求和利用出現了不均衡的狀態，某些用戶在應用時需要大量的網絡資源，而大量的網絡資源卻處于閑置而沒有得到有效利用。因此，在網絡資源急需整合和優化的環境下，云計算應運而生。

2007年，Google首次提出云計算概念，到目前為止引發了普遍而熱烈的關注，并為全球的IT技術帶來一場新的變革。云計算[1]至今還未獲得統一定義，不同的組織從不同的角度給出了相應定義，現在最為通用的對云計算的定義可表述為：分布式計算、網格計算、并行計算等相關技術共同作用發展的一種新的計算模型。借助這種計算模式，用戶通過網絡以按需、易擴展的方式來獲得所需要的資源和服務。在這種計算模式下，用戶的數據不再存儲于本地計算機中，而是保存在云計算的服務器端。由于用戶不再具有對數據的掌控能力，于是增加用戶對數據的擔心。美國Gartner公司對云計算的安全問題[2-4]進行了總結，可將其分類為用戶的訪問安全、法規遵守安全、數據位置的確定安全、數據的存儲安全、數據的恢復安全等。而且由于云計算具有按需服務，效用付費的優點，云計算與傳統網絡的安全問題在解決辦法上也必然有所不同。另外，若使云計算實現更快更好的發展，其安全問題也必須盡快獲得解決，如此方可推動云計算進入大規模的實質性應用階段。

1 云計算體系結構

目前，越來越多的云服務提供商根據自身的優勢制定各種云服務解決方案。雖然這些方案的技術架構[5]各不相同，但卻有相同的三個層次，分別是：基礎管理層、平臺層與應用層。其架構模型如圖1所示。由圖1可見，最底層是基礎管理層，主要解決計算資源的共享問題；中間層是應用接口層，主要解決服務的提供方式；最上層是訪問層，主要用于提供云計算的具體應用。

圖1 云計算體系結構模型

Fig..1 Architecture model of cloud computing

在此，對云計算體系結構模型中三個層次的功能分析如下：

首先是基礎管理層IaaS （Infrastruct as a Service，基礎設施即服務）。該層為上層應用提供各種物理設備，如網絡設備、存儲設備等。這些基礎設施通過虛擬化技術形成資源池，并對池中的計算能力、存儲能力和網絡能力進行管理。用戶通過網絡以按需付費的方式使用資源池中的資源。

其次是中間接口層PaaS （Platform as a Service，平臺即服務）。該層位于基礎層之上，是云計算體系結構的核心層，其應用主要是為應用程序開發而提供的一種服務。該服務借助于網絡將軟件的開發、測試及運行環境部署于云端，由此而大大提高軟件開發的效率。

最后是應用層SaaS（Software as a Service，軟件即服務）。這是用戶與服務的交互界面。用戶可以根據需要租用相關的服務，而無需購買相應的軟硬件及配備有關的軟件維護人員。

2 云計算安全分析

云計算是傳統計算機技術、網格技術及并行計算技術相結合的產物，可為全球的用戶提供安全可靠的資源和服務。云安全[6-10]問題是決定云計算發展前景的關鍵性因素，針對云計算的體系結構而言，云安全主要包括以下幾個方面：身份和訪問安全、數據安全、網絡和存儲器安全及物理安全等。下面將逐一地進行闡述與分析。

2.1身份和訪問安全

身份和訪問安全是云計算服務端阻止非法用戶進行訪問的有效手段。身份認證與授權對訪問者身份合法性的檢查是對訪問者身份的真實認證，阻止非法用戶訪問云服務商提供的資源。在認證方面，云服務的安全問題有未授權訪問以及惡意使用等等。惡意用戶采用一種非法手段來獲取云服務端不允許訪問的資源和服務。為了解決此類安全問題，采用系統的身份認證和授權是理想可行的方法。這種控制方式必須在用戶訪問資源的生命周期內進行，授權手段是身份認證的前提，通過要求云服務提供商對訪問資源的用戶設置訪問控制權限，并且為加強安全性和便于管理應優選集中授權方式。身份認證的認證強度不能太弱，其方式主要有密碼和持證兩種。在早期用得最多的就是身份認證方式，目前用于認證用戶身份的方法主要有以下幾種：基于口令的認證、基于智能卡的認證、基于生物特征的認證、基于數字證書的認證方式等。

2.2數據安全

數據安全是指用戶數據存儲于云端的安全性，這也是用戶最為關注的安全問題。概括來說，數據安全指數據的保密性、完整性、可用性、真實性、授權認證和不可抵賴性。用戶通過網絡將本地的重要數據存放到云服務端，用戶若要操作云端數據就必須登錄到云端。因此，云服務提供商應采取相應的安全措施，防止用戶數據的泄露和丟失，常規措施主要有SSL、PPTP或VPN等等。需要指出的是，云端的數據即使采用了加密算法，也不能保證數據的絕對安全。Gartner認為，該類數據的安全性最佳解決方案就是將自己的數據與其它用戶的數據相互隔離。而且為了使云端能夠存儲更大的數據量以及承載更多的用戶量，就需要采用密碼技術和密鑰管理技術，該類技術通常具有高效性、易管理性、易使用性、易擴展性等重要特點。

2.3網絡、存儲和服務器安全

云計算需要為用戶提供安全可靠的數據存儲和網絡服務，這種贊新服務模式將增加用戶對數據的擔憂。云計算中數據集的存儲方式雖然可為用戶節省資源，但卻也帶來了一定的安全隱患，其主要表現為惡意用戶的非法竊取、非法攻擊、非法修改與破壞等，并且安全問題主要是在云服務提供端發生，因此主要的應對措施可以分為人員管理、存儲的安全措施及云服務提供商的監管和審計三個方面。

網絡隔離技術可以較好地解決此類安全問題，因其可為數據傳輸和數據交換提供安全性保障，同時也是目前確保網絡安全的關鍵手段，對防范數據丟失、非法入侵、篡改數據等方面均能取得良好效果。未來的應用前景也必將極為廣闊，但是隨著網絡安全威脅因素的日益復雜，隔離技術也需要不斷地更新和改進，由此而提升網絡的安全強度。

2.4物理安全

云計算技術表現為虛擬化、分布式和動態擴展技術的結合，其中最重要的就是虛擬化技術。虛擬化技術是一種調配計算資源的方法。該方法可將應用系統的不同層面—硬件、軟件、數據、網絡、存儲等—一一隔離開來，這樣就打破了數據中心、服務器、存儲、網絡、數據和應用中的物理設備之間的劃分，由此而實現了架構動態化、管理集中化和資源虛擬化。虛擬機監控器（Virtual Machine Monitor，VMM），它又稱為監管程序（Hypervisor），是虛擬化技術的核心部分。通過在計算機系統上添加一個虛擬機監控程序軟件對計算機系統進行虛擬化。同時，虛擬化安全也是云計算平臺安全的最基本要求。虛擬化安全是云計算需要考慮的特有安全威脅之一，其主要安全問題則集中表現為虛擬化軟件的安全和客戶端或虛擬服務器的安全[11]。針對虛擬化安全問題，可以采取一定的安全措施。這些措施分別是：虛擬鏡像文件的加密存儲和完整性檢查、VM的隔離和加固、VM訪問控制、虛擬化脆弱性檢查、VM進程監控、VM的安全遷移等。

3 結束語

在云計算環境下，安全問題是使用云服務的用戶和云服務提供商關注的焦點，其中自然也包括云計算的安全立法問題。對云計算服務提供商而言，如何在最大程度上降低云計算系統安全威脅、提高服務連續性、保障用戶信息安全是其業務能否取得成功的關鍵。對用戶來說，如何才能相信云服務提供商能保證云中數據的安全可是云計算推廣與普及中必須解決的首要問題。

參考文獻：

[1] 吳吉義，沈千里，章劍林，等.云計算：從云安全到可信云[J].計算機研究與開發，2011， 48（11）：229-233.

[2] 馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報，2011，22（1）：71-83.

[3] 周紫熙，葉建偉. 云計算環境中的數據安全評估技術量化研究[J]. 智能計算機與應用， 2012，4（2）：40-43.

[4] 楊健，汪海航，王劍，等.云計算安全問題研究綜述[J].小型微型計算機系統，2012， 33（3）：472-475.

[5] 羅軍舟，金嘉暉，宋愛波，等.云計算：體系架構與關鍵技術[J]. 通信學報，2011，32（7）：3-5.

[6] 房晶，吳昊，白松林.云計算安全研究綜述[J].電子科學，2011：38-41.

[7] 黃秀麗.基于云計算的若干安全問題研究[D]。南京：南京郵電大學，2010：1-3.

[8] 吳遙，趙勇.可信云計算平臺中外部信任實體的安全性研究[J].計算機仿真，2012，29（6）：156-159.

[9] 毛劍，李坤，徐先棟.云計算環境下隱私保護方案[J].清華大學學報（自然科學版），2011， 51（10）：1357-1362.

[10] 張逢喆，陳進，陳海波.云計算中的數據隱私性保護與自我銷毀[J].計算機研究與發展，2011，48（7）：1155-1167.