□文/ 林 敏 龔讓聲

（泉州信息職業(yè)技術(shù)學(xué)院 福建·泉州）

云計(jì)算是一個(gè)IT 平臺(tái)，也是一個(gè)新的企業(yè)業(yè)務(wù)模式，云計(jì)算技術(shù)是并行計(jì)算技術(shù)、軟件技術(shù)、網(wǎng)絡(luò)技術(shù)發(fā)展的必然結(jié)果。云計(jì)算是一種動(dòng)態(tài)的易擴(kuò)張的且通常是通過互聯(lián)網(wǎng)提供虛擬化資源的計(jì)算方式，用戶不需要了解云計(jì)算的內(nèi)部細(xì)節(jié)，只需要通過與瀏覽器交互便可以得到自己想要的信息。當(dāng)前，很多國際大公司都推出了自己的“云計(jì)劃”，云計(jì)算的概念越來越流行。

一、云計(jì)算的概念

云計(jì)算是一個(gè)熱度很高的新名詞，通俗的理解是，云計(jì)算是指IT 基礎(chǔ)設(shè)施的交付和使用模式，指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需資源（硬件、平臺(tái)、軟件）。云計(jì)算的“云”就是存在于互聯(lián)網(wǎng)上的服務(wù)器集群上的資源，它包括硬件資源（服務(wù)器、存儲(chǔ)器、CPU 等）和軟件資源（如應(yīng)用軟件、集成開發(fā)環(huán)境等），本地計(jì)算機(jī)只需要通過互聯(lián)網(wǎng)發(fā)送一個(gè)需求信息，遠(yuǎn)端就會(huì)有成千上萬的計(jì)算機(jī)為你提供需要的資源并將結(jié)果返回到本地計(jì)算機(jī)，這樣，本地計(jì)算機(jī)幾乎不需要做什么，所有的處理都在云計(jì)算提供商所提供的計(jì)算機(jī)群來完成。

二、云計(jì)算的體系架構(gòu)

云計(jì)算是一個(gè)強(qiáng)大的“云”網(wǎng)絡(luò)，承載著眾多并發(fā)的網(wǎng)格計(jì)算和服務(wù)，然后利用虛擬化技術(shù)擴(kuò)展到每臺(tái)服務(wù)器，將各自的資源整合起來提供超級(jí)計(jì)算和儲(chǔ)存能力。（圖1）

云客戶端：云客戶端是用戶通過請(qǐng)求來獲取服務(wù)的界面，這里就是云的入口，用戶可以通過瀏覽器像常規(guī)一樣經(jīng)過注冊(cè)、登錄等取得服務(wù)和管理相關(guān)信息。打開實(shí)例與本地操作一樣。

服務(wù)節(jié)點(diǎn)：該節(jié)點(diǎn)是用戶操作的集合，用戶根據(jù)自己的權(quán)限選擇相應(yīng)的服務(wù)，對(duì)服務(wù)可以在權(quán)限內(nèi)進(jìn)行各種操作。

管理系統(tǒng)和部署工具：提供管理和服務(wù)，管理用戶并對(duì)用戶授權(quán)、認(rèn)證登錄進(jìn)行管理，以及管理可用的計(jì)算資源和服務(wù)，接受用戶發(fā)送請(qǐng)求，根據(jù)用戶請(qǐng)求轉(zhuǎn)發(fā)到相應(yīng)應(yīng)用程序，調(diào)度資源和自動(dòng)部署資源和應(yīng)用，動(dòng)態(tài)部署、配置和回收資源。

監(jiān)控：監(jiān)控和計(jì)算系統(tǒng)的資源使用情況，并迅速做出反應(yīng)，完成節(jié)點(diǎn)同步部署，負(fù)載均衡和資源監(jiān)控，確保資源能分配給合適的用戶。

服務(wù)集群：虛擬的或物理的服務(wù)器，由管理系統(tǒng)管理，負(fù)責(zé)高并發(fā)量的請(qǐng)求處理、大運(yùn)算量的計(jì)算處理，用戶web 應(yīng)用服務(wù)，云數(shù)據(jù)存儲(chǔ)時(shí)采用相應(yīng)的數(shù)據(jù)切割算法用并行方式上傳和下載大容量數(shù)據(jù)。

三、傳統(tǒng)安全和云計(jì)算安全比較

從云計(jì)算體系架構(gòu)可以看出，云計(jì)算的運(yùn)營和傳統(tǒng)IT 網(wǎng)絡(luò)是不同的。由于云計(jì)算最初是在企業(yè)內(nèi)部網(wǎng)絡(luò)運(yùn)行的，并不對(duì)外開放，在設(shè)計(jì)之初沒有太多考慮安全性問題，從而導(dǎo)致了現(xiàn)在云計(jì)算安全的一系列問題。首先，傳統(tǒng)的IT 系統(tǒng)是封閉的，存在于企業(yè)內(nèi)部，對(duì)外暴露的只是網(wǎng)頁服務(wù)器、郵件服務(wù)器等少數(shù)接口，因此只需要在出口設(shè)置防火墻、訪問控制等安全措施，就可以解決大部分安全問題。但在云環(huán)境下，云暴露在公開的網(wǎng)絡(luò)中，任何一個(gè)節(jié)點(diǎn)及它們的網(wǎng)絡(luò)都可能受到攻擊，因此安全模式需要從“拒敵于國門之外”改變?yōu)椤叭窠员⑻幪幾鲬?zhàn)”；其次，相對(duì)于傳統(tǒng)的計(jì)算模式將信息保存在自己可控制的環(huán)境中，在云計(jì)算環(huán)境下，信息保存在云中，數(shù)據(jù)擁有和管理分離，怎樣做好數(shù)據(jù)的隔離和保密將是一個(gè)很大的問題；再次，在云環(huán)境下，用戶的服務(wù)系統(tǒng)更新和升級(jí)大多數(shù)是由用戶在遠(yuǎn)程執(zhí)行的，而不是采取傳統(tǒng)（在本地按版本更新）的方式，每一次升級(jí)都可能帶來潛在的安全問題和對(duì)原有安全策略的挑戰(zhàn)。

另外，云計(jì)算環(huán)境相比之前的技術(shù)，大量運(yùn)用虛擬化技術(shù)，怎樣解決虛擬化方面的安全又是云計(jì)算安全與傳統(tǒng)安全的又一重大區(qū)別。

除了技術(shù)方面，還有一個(gè)比較重大的問題，傳統(tǒng)的安全技術(shù)已經(jīng)出現(xiàn)多年，標(biāo)準(zhǔn)、法律、法規(guī)都相對(duì)成熟，而現(xiàn)在的云計(jì)算安全缺少標(biāo)準(zhǔn)，而且政策法規(guī)也不健全，再加上云計(jì)算自身的特點(diǎn)，數(shù)據(jù)可以存儲(chǔ)在世界的任何一個(gè)角落，當(dāng)出現(xiàn)問題時(shí)，國家政策的不同也是云計(jì)算安全的一個(gè)重大挑戰(zhàn)。

四、云計(jì)算安全核心技術(shù)的研究

云計(jì)算安全核心技術(shù)包括用戶認(rèn)證與授權(quán)技術(shù)、數(shù)據(jù)安全技術(shù)、虛擬化安全技術(shù)三個(gè)方面。

1、用戶認(rèn)證與授權(quán)。用戶認(rèn)證與授權(quán)旨在授權(quán)合法用戶進(jìn)入系統(tǒng)和訪問數(shù)據(jù)，同時(shí)保護(hù)這些數(shù)據(jù)免受非授權(quán)用戶的訪問。傳統(tǒng)的認(rèn)證技術(shù)有安全口令S/K、令牌口令、數(shù)字簽名、單點(diǎn)登錄認(rèn)證、資源認(rèn)證等，可使用Kerberos、DCE 和Secureshell 等目前比較成熟的分布式安全技術(shù)。云計(jì)算的用戶認(rèn)證與授權(quán)措施需要具備如下的能力：

（1）身份管理：在用戶身份生命周期中，有效管理用戶身份和訪問資源的權(quán)限是非常關(guān)鍵的。用戶生命周期管理包括，用戶自注冊(cè)、自管理和自動(dòng)化的用戶ID部署服務(wù)；用戶身份控制，包括訪問和權(quán)限控制、單點(diǎn)登錄和審計(jì)。

（2）訪問授權(quán)：訪問授權(quán)應(yīng)該在用戶生命周期內(nèi)提供及時(shí)的訪問，從而加強(qiáng)安全和保護(hù)IT 資源。一般情況下，訪問管理應(yīng)該提供以下功能（在云系統(tǒng)中，可參考Bel1.1aPadula 模型和Biba 模型設(shè)計(jì)適用于云系統(tǒng)的訪問機(jī)制）。

（3）管理分布式環(huán)境下的用戶，包括能夠?yàn)橛脩襞渲靡粋€(gè)或多個(gè)角色。

（4）多因素認(rèn)證。通過USBkey、用戶指紋、用戶口令等多種方式對(duì)用戶身份進(jìn)行認(rèn)證，并進(jìn)行多級(jí)精細(xì)化的授權(quán)。

（5）提供執(zhí)行口令和個(gè)人信息變更的Web 自助接口。

（6）基于LDAP 的統(tǒng)一身份認(rèn)證完成將分散的用戶和權(quán)限資源進(jìn)行統(tǒng)一、集中的管理，實(shí)現(xiàn)用戶單點(diǎn)登錄就可以訪問多個(gè)系統(tǒng)。

現(xiàn)在已知的身份和訪問安全解決方案有三種：歐洲隱私和身份管理、IE7 的Windows CardSpace、OpenID。這里重點(diǎn)介紹一下OpenID。這是一個(gè)分散的認(rèn)證協(xié)議，可以幫助用戶管理多個(gè)數(shù)字身份，更好地對(duì)分享他們的PII 進(jìn)行控制。一個(gè)用戶必須記住一個(gè)用戶名和密碼——一個(gè)OpenID，用這個(gè)登錄到網(wǎng)絡(luò)中，和可信第三方進(jìn)行交換，指定一個(gè)特定的OpenID用于認(rèn)證。而用戶事先向OpenID 供應(yīng)商注冊(cè)了一個(gè)OpenID。它被稱為“釣魚天堂”，因?yàn)樗鼘?duì)釣魚攻擊是敏感的。

2、數(shù)據(jù)安全技術(shù)。研究云計(jì)算數(shù)據(jù)安全技術(shù)可從以下幾個(gè)方面進(jìn)行考慮：

（1）數(shù)據(jù)傳輸安全：通常情況下，企業(yè)數(shù)據(jù)中心保存有大量的企業(yè)私密數(shù)據(jù)，這些數(shù)據(jù)往往代表了企業(yè)的核心競(jìng)爭(zhēng)力，如企業(yè)的客戶信息、財(cái)務(wù)信息、關(guān)鍵業(yè)務(wù)流程，等等。在云計(jì)算模式下，企業(yè)將數(shù)據(jù)通過網(wǎng)絡(luò)傳遞到云計(jì)算服務(wù)商進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問題：一是如何確保企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中嚴(yán)格加密不被竊?。欢侨绾伪ＷC云計(jì)算服務(wù)商在得到數(shù)據(jù)時(shí)不將企業(yè)絕密數(shù)據(jù)泄露出去；三是在云計(jì)算服務(wù)商處存儲(chǔ)時(shí)，如何保證訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪問，并保證企業(yè)在任何時(shí)候都可以安全訪問到自身的數(shù)據(jù)。

（2）數(shù)據(jù)存儲(chǔ)安全：企業(yè)的數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云計(jì)算模式下，云計(jì)算服務(wù)商在高度整合的大容量存儲(chǔ)空間上，開辟出一部分存儲(chǔ)空間提供給企業(yè)使用。但客戶并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上，甚至根本不了解這臺(tái)服務(wù)器放置在哪個(gè)國家；云計(jì)算服務(wù)商在存儲(chǔ)資源所在國是否會(huì)存在信息安全等問題，能否確保企業(yè)數(shù)據(jù)不被泄露；同時(shí)，在這種數(shù)據(jù)存儲(chǔ)資源共享的環(huán)境下，即使采用了加密方式，云計(jì)算服務(wù)商是否能夠保證數(shù)據(jù)之間的有限隔離；另外，即使企業(yè)用戶了解數(shù)據(jù)存放的服務(wù)器的準(zhǔn)確位置，也必須要求服務(wù)商作出承諾，對(duì)所托管數(shù)據(jù)進(jìn)行備份，以防止出現(xiàn)重大事故時(shí)，企業(yè)用戶的數(shù)據(jù)無法得到恢復(fù)。在云計(jì)算環(huán)境中，數(shù)據(jù)殘留更有可能會(huì)無意泄露敏感信息，因此云服務(wù)提供商應(yīng)能向云用戶保證其鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他云用戶前得到完全清除。云服務(wù)提供商應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他云用戶前得到完全清除。

（3）數(shù)據(jù)審計(jì)安全：企業(yè)進(jìn)行內(nèi)部數(shù)據(jù)管理時(shí)，為了保證數(shù)據(jù)的準(zhǔn)確性往往會(huì)引入第三方認(rèn)證機(jī)構(gòu)進(jìn)行審計(jì)或認(rèn)證。但在云計(jì)算環(huán)境下，云計(jì)算服務(wù)商如何在確保不對(duì)其他企業(yè)的數(shù)據(jù)計(jì)算帶來風(fēng)險(xiǎn)的同時(shí)，又提供必要的信息支持，以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性審計(jì)，實(shí)現(xiàn)企業(yè)的合規(guī)性要求。另外，企業(yè)對(duì)云計(jì)算服務(wù)商的可持續(xù)性發(fā)展進(jìn)行認(rèn)證過程中，如何確保云計(jì)算服務(wù)商既能提供有效的數(shù)據(jù)，又不損害其他已有客戶的利益，使企業(yè)能夠選擇一家可以長期存在的、有技術(shù)實(shí)力的云計(jì)算服務(wù)商進(jìn)行業(yè)務(wù)交付，也是安全方面的潛在風(fēng)險(xiǎn)。

（4）數(shù)據(jù)殘留安全：數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲(chǔ)介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。在云計(jì)算環(huán)境中，數(shù)據(jù)殘留更有可能會(huì)無意泄露敏感信息，因此云服務(wù)提供商應(yīng)通過銷毀加密數(shù)據(jù)相關(guān)介質(zhì)、存儲(chǔ)介質(zhì)銷毀、磁盤擦拭、內(nèi)容發(fā)現(xiàn)等技術(shù)和方法來保證數(shù)據(jù)的完整清除。

3、虛擬化安全技術(shù)。從云計(jì)算平臺(tái)的角度來看，最基本的單元是虛擬機(jī)，虛擬機(jī)安全是云計(jì)算平臺(tái)安全的最基本要求。虛擬化安全是云計(jì)算需要考慮的特有安全威脅之一。虛擬化技術(shù)是將底層的硬件，包括服務(wù)器、存儲(chǔ)與網(wǎng)絡(luò)設(shè)備全面虛擬化，在虛擬化技術(shù)上，通過建立一個(gè)隨需而選的資源共享、分配、管控平臺(tái)，可根據(jù)上層數(shù)據(jù)和業(yè)務(wù)形態(tài)的不同需求，搭配出各種互相隔離的應(yīng)用，形成一個(gè)服務(wù)導(dǎo)向的、可伸縮的IT 基礎(chǔ)架構(gòu)，為用戶提供出租IT 基礎(chǔ)設(shè)施資源形式的云計(jì)算服務(wù)。

虛擬化安全包括虛擬機(jī)間信息流控制、虛擬機(jī)監(jiān)控、虛擬機(jī)可信平臺(tái)、虛擬機(jī)隔離、虛擬網(wǎng)絡(luò)接入控制等。綜合起來可以歸結(jié)為兩個(gè)方面：一是虛擬化軟件的安全；二是客戶端或虛擬服務(wù)器的安全。

（1）虛擬化軟件安全：該軟件層直接部署于裸機(jī)上，能夠提供創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器等功能，如操作系統(tǒng)級(jí)虛擬化、半虛擬化（硬件和Xen、VMware 的結(jié)合）或基于硬件的虛擬化云服務(wù)提供商應(yīng)建立必要的安全控制措施，限制對(duì)于Hypervisor 和其他形式的虛擬化層次的物理和邏輯訪問控制。在IaaS 服務(wù)中，用戶不能接入虛擬化軟件層，該層由云服務(wù)提供商操作和管理。

（2）虛擬服務(wù)器的安全：虛擬服務(wù)器或客戶端面臨許多主機(jī)安全威脅，包括接入和管理主機(jī)的密鑰被盜、攻擊未打補(bǔ)丁、在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽、劫持未采取合適安全措施的賬戶等，需要采取以下措施。選擇具有TPM（可信計(jì)算平臺(tái)）安全模塊的虛擬服務(wù)器；安裝時(shí)為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤分區(qū)，以便進(jìn)行邏輯隔離；每臺(tái)虛擬服務(wù)器應(yīng)通過VLAN和不同IP 網(wǎng)段的方式進(jìn)行邏輯隔離，對(duì)需要通信的虛擬服務(wù)器間通過VPN進(jìn)行網(wǎng)絡(luò)連接；進(jìn)行有計(jì)劃的備份，包括完整、增量或差量備份方式。

五、云計(jì)算時(shí)代的安全解決方案

當(dāng)我們進(jìn)入云計(jì)算時(shí)代，對(duì)機(jī)器的控制和權(quán)限從企業(yè)慢慢走到服務(wù)商時(shí)，則我們的所有數(shù)據(jù)都必須在云提供商的數(shù)據(jù)中心里。此時(shí)，系統(tǒng)變成不可控，資料變成可控，這便是在云中最大的兩個(gè)變化，也是云和傳統(tǒng)最大的變化。虛擬技術(shù)是云計(jì)算的核心技術(shù)，我們的數(shù)據(jù)資料都是運(yùn)行在數(shù)據(jù)中心的虛擬機(jī)上，但是虛擬機(jī)和虛擬機(jī)之間會(huì)互相攻擊，這就使得我們的系統(tǒng)變成了不可控；另一個(gè)安全問題是數(shù)據(jù)的隱私性。一個(gè)現(xiàn)象是，當(dāng)我們把數(shù)據(jù)放到互聯(lián)網(wǎng)上時(shí)，除了我們自己能夠看到外，服務(wù)商也能夠看到，因?yàn)槲覀兊臄?shù)據(jù)是被保存在服務(wù)商的數(shù)據(jù)中心里，使得我們的系統(tǒng)變成了不可控。虛擬機(jī)有一個(gè)現(xiàn)象叫做“跑出去”，就是說虛擬機(jī)會(huì)跑動(dòng)，這就使得我們的資料變成了不可控。例如，現(xiàn)在要設(shè)計(jì)資料中心，傳統(tǒng)的方法是買一個(gè)最好的防火墻把資料中心圍住，機(jī)器都在里面；但是在云計(jì)算時(shí)代，我們的資料都在虛擬機(jī)里，虛擬機(jī)會(huì)跑動(dòng)，此時(shí)，防火墻就沒有作用了，當(dāng)然我們的資料也就變成了不可控。

另外一個(gè)現(xiàn)象是，一旦我們把數(shù)據(jù)放到互聯(lián)網(wǎng)上時(shí)，服務(wù)商會(huì)把數(shù)據(jù)作好幾個(gè)備份，數(shù)據(jù)的備份歸服務(wù)商管理，所以數(shù)據(jù)銷毀變得不可能。

防止虛擬機(jī)之間相互攻擊的解決方案是，在每個(gè)虛擬機(jī)里都做一些防火墻和IDS 把防范措施做到虛擬機(jī)里，讓它跟著虛擬機(jī)跑動(dòng)，并且把虛擬機(jī)里的資料進(jìn)行加密和解密；為虛擬環(huán)境的隔離做有效區(qū)分，監(jiān)控虛擬機(jī)的狀態(tài)。數(shù)據(jù)的隱私性解決方案是，需要建立服務(wù)商和用戶之間的信任，通過建立相應(yīng)的法規(guī)來保護(hù)用戶數(shù)據(jù)的隱私性。

[1]《虛擬化與云計(jì)算》小組.虛擬化與云計(jì)算.北京：電子工業(yè)出版社，2009.

[2]張偉欽.云計(jì)算時(shí)代的新安全挑戰(zhàn)[R].第二屆中國云計(jì)算大會(huì)，2010.

[3]朱近之.云計(jì)算及物聯(lián)網(wǎng)在智慧城市中的運(yùn)用[R].第二屆中國云計(jì)算大會(huì)，2010.