淺析加密的云計算安全技術(shù)

趙海軍　任錦

【摘 要】云計算作為一個動態(tài)可擴(kuò)展的資源服務(wù)在互聯(lián)網(wǎng)上，經(jīng)濟(jì)效益的主要驅(qū)動力為云，因為它承諾削減股本支出和運(yùn)營支出。為了讓這成為現(xiàn)實，其中最重要的是安全和信任問題，因為用戶的數(shù)據(jù)已經(jīng)被釋放到云，從而離開數(shù)據(jù)所有者的保護(hù)范圍。對比傳統(tǒng)的解決方案，云計算移動應(yīng)用軟件和數(shù)據(jù)庫到大型數(shù)據(jù)中心，其中的數(shù)據(jù)和服務(wù)的管理可能不完全值得信賴。這種獨(dú)特的屬性，帶來了許多新的安全挑戰(zhàn)，這些挑戰(zhàn)都沒有得到很好的解決。存放和使用的數(shù)據(jù)都應(yīng)該加密并安全發(fā)送，加密技術(shù)的應(yīng)用值得深入探討。

【關(guān)鍵詞】云計算；加密技術(shù)；網(wǎng)絡(luò)安全

計算用于服務(wù)領(lǐng)域比如傳統(tǒng)的水費(fèi)、電費(fèi)和氣費(fèi)的定制和交付業(yè)務(wù)，大多依賴于計算模式，如集群計算網(wǎng)格計算和云計算。云計算作為一種實用工具可以吸引大量的信息技術(shù)服務(wù)運(yùn)營商關(guān)注。這種創(chuàng)意會極大降低資本支出以及運(yùn)營成本。由于這種潛在的能力，云計算是一個發(fā)展最快的IT行業(yè)領(lǐng)域。云計算是定義為應(yīng)用程序的交付作為服務(wù)，通過互聯(lián)網(wǎng)使用該服務(wù)的軟件和硬件設(shè)備。硬件和軟件部分構(gòu)成云計算被普遍稱為公共云是服務(wù)在收費(fèi)前提下提供使用的方式；自帶工具下計算。在另一方面私有云是對一般公眾有使用限制，為專一的客戶提供數(shù)據(jù)訪問。計算機(jī)世界走向轉(zhuǎn)型開發(fā)的軟件提供一個龐大的群體服務(wù)。而針對個人電腦，業(yè)務(wù)應(yīng)用能力是由云提供通過網(wǎng)絡(luò)訪問的計算服務(wù)，為客戶服務(wù)。云計算技術(shù)可提供所有IT功能和顯著降低的前期成本計算其可提供對應(yīng)的公司。世界各地的供應(yīng)商尤其是亞馬遜，谷歌，國際企業(yè)管理（IBM）和微軟已經(jīng)推出了云計算數(shù)據(jù)中心。云計算結(jié)合的IT的融合效率和業(yè)務(wù)敏捷性與實時響應(yīng)對用戶的要求。在對口云計算前提下廣泛探討了計算模式，包括集群計算和網(wǎng)格計算。網(wǎng)格計算使資源共享與靈感地理上分散的資源之間從電力網(wǎng)格準(zhǔn)。集群計算包括并行和相互連接的網(wǎng)絡(luò)的組電腦工作作為單一的集成的計算資源。隨著云計算的三大核心技術(shù)的演變?nèi)缣摂M化，多租戶和Web服務(wù)急速涌現(xiàn)。虛擬化隱藏該物理一個計算平臺，多租戶的特性，允許應(yīng)用軟件服務(wù)多個客戶。

Web服務(wù)提供了一個軟件系統(tǒng)，旨在支持可互操作的機(jī)器通過網(wǎng)絡(luò)實現(xiàn)人機(jī)交互。在云計算中的利益相關(guān)者是完全不同的，傳統(tǒng)的計算涉及消費(fèi)者，供應(yīng)商，推動者和監(jiān)管者。為了減少資本支出和運(yùn)營支出，還有一些挑戰(zhàn)需要解決。在這些安全和信任問題中，因為用戶數(shù)據(jù)必須被釋放到云，從而離開數(shù)據(jù)所有者的保護(hù)范圍。根據(jù)國際數(shù)據(jù)公司（IDC）的統(tǒng)計安全性是排在第一位的，它也是云計算的最大挑戰(zhàn)。經(jīng)驗表明，襲擊可能永遠(yuǎn)無法完全防止或偵測的準(zhǔn)確和及時。云安全聯(lián)盟是一個非營利性組織，形成推廣使用的最佳實踐是提供云計算領(lǐng)域的安全保障。隨著越來越多的關(guān)于個人和公司的信息被放置在云，擔(dān)憂也開始大面積出現(xiàn)。本文討論了安全問題，以及云服務(wù)提供商的挑戰(zhàn)云工程和一些解決方案以減輕他們遇到的壓力。它需要某種形式的標(biāo)準(zhǔn)化（例如信息技術(shù)基礎(chǔ)設(shè)施庫ITIL，開虛擬化格式（OVF）），使市場能正常發(fā)展和茁壯成長。標(biāo)準(zhǔn)應(yīng)該讓運(yùn)用云互操作和相互溝通的供應(yīng)商提供云服務(wù)。它還強(qiáng)烈建議OVF標(biāo)準(zhǔn)與平臺是無關(guān)的，開放的，安全的。便攜，高效和可擴(kuò)展的格式為包裝和要在虛擬機(jī)上運(yùn)行的軟件分發(fā)。對于保護(hù)數(shù)據(jù)隱私，敏感數(shù)據(jù)必須被加密之前進(jìn)行外包，這使得數(shù)據(jù)的有效利用率非常具有挑戰(zhàn)性。為了維護(hù)云計算的安全，我們要考慮一些問題及其解決方案。應(yīng)該有一些標(biāo)準(zhǔn)和協(xié)議，讓云互操作和相互溝通存在于無論哪個供應(yīng)商提供的云服務(wù)中。一些加密方法被引入，使我們可以存儲的數(shù)據(jù)更牢固。安全性也是一個IT主管要嚴(yán)重關(guān)切的。缺乏標(biāo)準(zhǔn)特別是國際組織的標(biāo)準(zhǔn)的云服務(wù)，可能會降低其被接受程度。

云計算是普遍的自然采用虛擬化，面向服務(wù)的體系結(jié)構(gòu)和有效計算。抽象再也不需要的專業(yè)知識，或控制權(quán)，該技術(shù)基礎(chǔ)設(shè)施“云”會支持他們。云計算服務(wù)的相對安全性是一個可能會延緩其采用而有爭議的問題。問題中禁止采用云計算的到期部分，企業(yè)和公共部門的外部管理的安全基于服務(wù)。組織已經(jīng)漸漸形成，主要用以提供標(biāo)準(zhǔn)在云計算服務(wù)中。組織尤其是云安全聯(lián)盟是一個形成推廣并使用云計算的最佳的非營利組織；對于云內(nèi)提供安全措施來保證計算。我們面臨的安全問題主要有：

1）傳統(tǒng)的安全性

這些問題涉及到計算機(jī)和網(wǎng)絡(luò)，侵入或?qū)⒁蔀榭赡埽蛑辽俟敉ㄟ^遷移到云更容易。云服務(wù)提供商應(yīng)對這些問題通過爭辯說，他們的保安措施和過程比其他的一般的公司更加成熟和完善。云服務(wù)提供商的漏洞可能是平臺級的，諸如SQL注入或腳本漏洞，釣魚或其他一個新的攻擊向量。云計算用戶必須保護(hù)用于連接和交互的基礎(chǔ)設(shè)施與云，在許多情況下任務(wù)復(fù)雜化云為外防火墻。企業(yè)認(rèn)證和授權(quán)框架不自然地延伸到云。在虛擬機(jī)管理程序或虛擬機(jī)的潛在漏洞使用云供應(yīng)商的技術(shù)是在一個潛在的多租戶架構(gòu)問題。調(diào)查不當(dāng)?shù)美蚍欠ɑ顒涌赡軙谠朴嬎愫芾щy，因為日志記錄和數(shù)據(jù)為多個客戶服務(wù)，可以在同一地點(diǎn)也可能跨越一個不斷變化的集合在地理上分散的主機(jī)和數(shù)據(jù)中心。解決辦法是建立標(biāo)準(zhǔn)承諾支持調(diào)查的具體形式。

2）可用性

這些問題集中在關(guān)鍵應(yīng)用程序和數(shù)據(jù)是可用的。云廣為宣傳的事件里中斷事件包括Gmail的（在2008年10月中旬某一天停電），亞馬遜S3（超過七小時的停機(jī)時間在2008年7月20日）。如遇傳統(tǒng)的安全問題，云服務(wù)提供商爭辯他們的可用性，云用戶數(shù)據(jù)中心服務(wù)器是正常的。云服務(wù)被認(rèn)為是為了提供更高的可用性，但也許有更多的單點(diǎn)故障和攻擊。如何保證計算完整性是另一個需要解決的問題。

3）第三方數(shù)據(jù)控制

被留置的數(shù)據(jù)和應(yīng)用程序在法律層面是復(fù)雜的，不能很好地解釋。當(dāng)?shù)谌弑４鏀?shù)據(jù)時也有一個潛在問題，缺乏控制和透明度。云計算的優(yōu)點(diǎn)是，云計算可以實現(xiàn)獨(dú)立的計算，但在現(xiàn)實中需遵從相應(yīng)的透明度到云中。受信任的第三方可以被依賴于：（1）保密等級；（2）服務(wù)端和客戶端身份驗證；（3）建立安全的數(shù)據(jù)的結(jié)構(gòu)域；（4）加密分離；（5）證據(jù)授權(quán)。

4）保密性高，低電平

在云網(wǎng)絡(luò)中數(shù)據(jù)修改和數(shù)據(jù)中斷的威脅是嚴(yán)重的問題。公鑰基礎(chǔ)設(shè)施（PKI）啟用SSL的IPSec進(jìn)行安全連接。提供IPSec保密性和真實性，而SSL協(xié)議生成端到端加密和加密的通信客戶端和服務(wù)器之間的通道。通信是用戶和主機(jī)之間的，而且是從主機(jī)到主機(jī)的保護(hù)。IPSec是與任何應(yīng)用程序兼容，需要IPSec客戶端，而SSL被內(nèi)建到每一個瀏覽器。

5）服務(wù)器和客戶端身份驗證

認(rèn)證機(jī)構(gòu)所需要的物理認(rèn)證基礎(chǔ)有設(shè)施服務(wù)器，虛擬服務(wù)器，環(huán)境和用戶網(wǎng)絡(luò)設(shè)備。認(rèn)證機(jī)構(gòu)要建立必要的在所有物理和虛擬層面實體強(qiáng)大的憑據(jù)云。

云計算顯然是當(dāng)今最受關(guān)注的一個誘人的技術(shù)領(lǐng)域，由于其成本效率和靈活性。云中有不同的架構(gòu)基礎(chǔ)上提供的服務(wù)。該數(shù)據(jù)存儲到集中的位置，稱為數(shù)據(jù)中心。它存儲大量的數(shù)據(jù)，以及處理某處服務(wù)器上的數(shù)據(jù)。因此，客戶端必須信任供應(yīng)商的可用性以及數(shù)據(jù)的安全性。

【參考文獻(xiàn)】

[1]劉鵬.云計算[M].北京：電子工業(yè)出版社，2011.

[2]張德豐.云計算實戰(zhàn)[M].北京：清華大學(xué)出版社，2012.

[3]許守東.云計算技術(shù)應(yīng)用與實踐[M].北京：中國鐵道出版社，2013.

[責(zé)任編輯：楊玉潔]