譚 天，袁 嵩，肖 潔

(武漢科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北武漢 430065)

云計(jì)算安全問題研究

譚 天，袁 嵩，肖 潔

(武漢科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，湖北武漢 430065)

根據(jù)ENISA提出的云計(jì)算安全問題，參考目前主要的云計(jì)算提供商對(duì)于云計(jì)算安全問題的解決方法，引入SOA架構(gòu)理念，將云計(jì)算的安全問題細(xì)分為物理資源層安全、資源抽象與控制層安全、資源架構(gòu)層安全、開發(fā)平臺(tái)層安全以及應(yīng)用服務(wù)層安全五個(gè)架構(gòu)層次，并且根據(jù)數(shù)據(jù)資源的私密性將云進(jìn)行安全評(píng)級(jí)，分為重要性高、敏感度高的“私有云”與資源較不敏感的“公有云”兩個(gè)部分。針對(duì)不同的架構(gòu)層次提出了相應(yīng)的安全保障方法與建議，并根據(jù)“公有云”與“私有云”在數(shù)據(jù)重要性上的差異提出了多種保障方法以滿足不同客戶對(duì)于各種數(shù)據(jù)的不同需求。最后針對(duì)云計(jì)算處理大數(shù)據(jù)過程中的安全問題，分析了在架構(gòu)層次上解決具體云計(jì)算應(yīng)用問題的可行性并提出了解決思路，以期達(dá)到“安全即服務(wù)”的目的。

云計(jì)算;私有云;公有云;云安全;大數(shù)據(jù)

0 引言

云計(jì)算是一種基于信息網(wǎng)絡(luò)，以服務(wù)的方式動(dòng)態(tài)、彈性、按需提供信息技術(shù)資源的計(jì)算模式和服務(wù)模式。“云計(jì)算”的思想早在1961就由麻省理工學(xué)院的計(jì)算機(jī)專家約翰麥卡錫所預(yù)言，在2006年正式由谷歌公司提出“云計(jì)算”術(shù)語，開啟了云計(jì)算研究和實(shí)踐的序幕。隨后，在各大知名IT企業(yè)的推動(dòng)下，云計(jì)算迅速?gòu)囊粋€(gè)技術(shù)概念演變成技術(shù)革命。云計(jì)算簡(jiǎn)化了服務(wù)交付過程，降低了服務(wù)和運(yùn)營(yíng)成本，它以整合、挖掘、管理和高效利用兩極化發(fā)展的單級(jí)整體和多級(jí)整體硬件系統(tǒng)資源為目標(biāo)，通過Internet以服務(wù)的方式提供動(dòng)態(tài)可伸縮的虛擬化［1］資源。

隨著云計(jì)算越來越被政府、商業(yè)、產(chǎn)業(yè)界所重視，保障云計(jì)算的安全性變得越來越重要。據(jù)美國(guó)市場(chǎng)研究公司Gartner的調(diào)查，有超過70%的公司表示近期不愿意接受云計(jì)算，主要是擔(dān)心云計(jì)算存在的數(shù)據(jù)安全性問題［2］。而近期發(fā)生的美國(guó)蘋果公司ICloud泄露門更是讓用戶對(duì)云計(jì)算安全問題產(chǎn)生擔(dān)憂?？梢?，安全問題已成為“云計(jì)算”時(shí)代最需要破解的難題［3］。

1 云計(jì)算及其安全問題分析

云計(jì)算是一種新的IT服務(wù)模式，包括基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service，IaaS)、平臺(tái)即服務(wù)(Platform as a Service，PaaS)、軟件即服務(wù)(Software as a Service，SaaS)和數(shù)據(jù)即服務(wù)(Database as a Service，DaaS)等［4］。近期，為實(shí)現(xiàn)計(jì)算資源本地化，像 Microsoft、IBM等公司提供的服務(wù)器集裝箱租賃服務(wù)也可以被認(rèn)為是一種新的服務(wù)模式，稱之為硬件即服務(wù)(Hardware as a Service，HaaS)［5］。上述服務(wù)可看作四個(gè)層次，其功能和物理基礎(chǔ)設(shè)施的支撐關(guān)系如圖1所示。

據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology，NIST)給出的定義，云計(jì)算有如下特征:服務(wù)按需自助化、設(shè)備訪問多元化、資源池共享化、部署靈活化、服務(wù)可被測(cè)量化。正是這些特征使得其安全性難以保證。由于云計(jì)算的資源化、設(shè)備訪問多元化，導(dǎo)致了在云平臺(tái)上的各類云應(yīng)用沒有固定不變的基礎(chǔ)設(shè)施，也無法設(shè)立固定的安全邊界，這給保護(hù)用戶隱私帶來了很大挑戰(zhàn);多方資源可能保存在同一項(xiàng)云計(jì)算中，當(dāng)資源所有者存在利益沖突時(shí)，難以部署統(tǒng)一化安全防護(hù)措施;由于云計(jì)算需要面對(duì)大數(shù)據(jù)，所以需要云計(jì)算的安全措施能夠在大數(shù)據(jù)的條件下保持高效。

云計(jì)算安全架構(gòu)如圖2所示。

2 云計(jì)算安全現(xiàn)狀

2.1 云計(jì)算面臨的安全風(fēng)險(xiǎn)

歐洲網(wǎng)絡(luò)與信息安全局(ENISA)在2009年發(fā)布了《云計(jì)算:好處、風(fēng)險(xiǎn)及信息安全建議》［6］，指出了云計(jì)算可能帶來的好處并提出安全仍是云計(jì)算應(yīng)用面臨的首要問題。該建議認(rèn)為云計(jì)算面臨八大重要的安全風(fēng)險(xiǎn)，分別是:

(1)用戶喪失對(duì)部分安全信息的管理、控制權(quán);

(2)用戶難以將存儲(chǔ)在云計(jì)算提供商的數(shù)據(jù)進(jìn)行遷移;

(3)在多租戶共享云計(jì)算資源的情況下，不同租戶間的數(shù)據(jù)難以進(jìn)行隔離，故容易混淆;

(4)云計(jì)算提供商若不配合用戶、政府或第三方監(jiān)管機(jī)構(gòu)將難以對(duì)提供商的行為進(jìn)行監(jiān)管;

(5)用戶難以知曉云計(jì)算提供商如何對(duì)數(shù)據(jù)進(jìn)行處理;

(6)云計(jì)算提供商可能不按用戶要求對(duì)數(shù)據(jù)進(jìn)行操作;

(7)來自云服務(wù)提供商內(nèi)部的惡意行為可能對(duì)用戶造成較大損失;

(8)用戶數(shù)據(jù)在借助互聯(lián)網(wǎng)進(jìn)行傳輸時(shí)易被竊取或修改。

數(shù)據(jù)的安全問題往往會(huì)給用戶和企業(yè)帶來巨大的利益損失。2010年底，Microsoft的Hotmail出現(xiàn)了數(shù)據(jù)庫(kù)腳本錯(cuò)誤，17 000個(gè)真實(shí)賬號(hào)因此被刪除，Microsoft花了一周時(shí)間才將這些賬號(hào)完全恢復(fù);2011年4月21日，Amazon公司在北弗吉尼亞州的云計(jì)算中心宕機(jī)，致使Amazon云服務(wù)中斷持續(xù)了近4天，造成多項(xiàng)依靠云計(jì)算中心的服務(wù)停止工作;2012年7月，云存儲(chǔ)服務(wù)商Dropbox確認(rèn)，在當(dāng)月來自第三方站點(diǎn)的黑客獲取了部分用戶的用戶名和密碼，侵襲了他們的Dropbox賬戶，發(fā)布不良信息［7］。云計(jì)算在為用戶帶來便捷的同時(shí)也使得用戶面臨一定的風(fēng)險(xiǎn)。

2.2 主要云計(jì)算提供商的安全機(jī)制

面對(duì)云計(jì)算存在的諸多安全隱患，為了提高云計(jì)算的可靠性與安全性，Amazon、IBM、Microsoft等云服務(wù)商提供了一套安全機(jī)制與策略。Amazon是云計(jì)算最早的推行者之一，早在2006年8月就發(fā)布了彈性計(jì)算云受限版本(EC2)。EC2可以使用戶無需建立自己的云計(jì)算平臺(tái)就能簡(jiǎn)便地創(chuàng)建、啟動(dòng)和供應(yīng)虛擬實(shí)例［8］。在EC2中，Amazon提供了一系列的安全機(jī)制:

(1)安全組:在EC2中運(yùn)行的所有實(shí)例都在一個(gè)安全組中，用戶可以自定義安全組的防火墻規(guī)則，也可以授予或限制訪問權(quán)限，并且可以控制安全組中運(yùn)行的所有實(shí)例訪問用戶數(shù)據(jù)的權(quán)限。

(2)安全密鑰對(duì):在啟動(dòng)實(shí)例時(shí)，用戶必須提供安全密鑰對(duì)才可登錄控制臺(tái)進(jìn)行操作。

IBM也于2007年11月推出了“Blue Cloud”計(jì)劃，旨在為用戶提供更好的安全保障。“Blue Cloud”計(jì)劃結(jié)合IBM軟硬件以及服務(wù)技術(shù)、開放標(biāo)準(zhǔn)與源代碼以期滿足客戶的安全需求。

3 SOA架構(gòu)理念

不同用戶的業(yè)務(wù)具有差異性，對(duì)于安全措施的需求也不盡相同。因此，單純地設(shè)置統(tǒng)一的安全配置不僅會(huì)造成資源的浪費(fèi)，同時(shí)也難以滿足不同用戶的需求。以SOA(Service Oriented Architecture)架構(gòu)理念為參考，在云計(jì)算原有的基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)、軟件即服務(wù)和數(shù)據(jù)即服務(wù)的架構(gòu)體系下，加入安全即服務(wù)(Security as a Service，SaaS)。提供定制化的安全架構(gòu)體系則可以在滿足不同用戶需求的同時(shí)減少資源浪費(fèi)。在安全即服務(wù)的架構(gòu)下，接口是采用中立的方式進(jìn)行定義的，它獨(dú)立于實(shí)現(xiàn)服務(wù)的硬件平臺(tái)、操作系統(tǒng)和編程語言，其安全架構(gòu)如圖3所示。這使得不同云計(jì)算提供商的安全服務(wù)可以輕松整合，同時(shí)也充分給予了用戶選擇不同安全服務(wù)的空間，從而增進(jìn)了用戶與云計(jì)算提供商間的相互信任。

4 不同架構(gòu)層次下云安全問題的解決方案

根據(jù)用戶對(duì)于數(shù)據(jù)敏感度的不同，可將云計(jì)算分為“公有云”與“私有云”兩部分:“公有云”中存儲(chǔ)的數(shù)據(jù)敏感度較低，而“私有云”中存儲(chǔ)的數(shù)據(jù)敏感度較高?；赟OA架構(gòu)理念，云安全問題可細(xì)分為物理資源層安全、資源抽象與控制層安全、資源架構(gòu)層安全、開發(fā)平臺(tái)層安全、應(yīng)用服務(wù)層安全，針對(duì)不同架構(gòu)層面的安全應(yīng)有不同的保障方式。

4.1 物理資源層安全

在物理資源層面臨的主要問題有硬件故障、電源故障、火災(zāi)等。由于“私有云”更為重要也更為敏感，云計(jì)算提供商需要提供“私有化服務(wù)”:提供特定的服務(wù)器群存儲(chǔ)資源;全天候監(jiān)控服務(wù)器的工作狀況;在SOA架構(gòu)下由中立機(jī)構(gòu)定義接口，通過聯(lián)合身份認(rèn)證保證資源的安全。對(duì)于“公有云”來說，由于資源的敏感度較低，云計(jì)算提供商可將資源利用閑散服務(wù)器組進(jìn)行分散、重復(fù)存儲(chǔ)，并定義中立接口進(jìn)行與用戶的交互，在保證基本安全的同時(shí)降低運(yùn)營(yíng)成本。

4.2 資源抽象與控制層安全

虛擬化是云計(jì)算的重要標(biāo)志，也是其最重要的技術(shù)之一。虛擬化在給予云計(jì)算服務(wù)按需自助化、設(shè)備訪問多元化、資源池共享化、部署靈活化、服務(wù)可被測(cè)量化等優(yōu)點(diǎn)的同時(shí)，也帶來了諸如虛擬機(jī)逃逸、遠(yuǎn)程管理缺陷、虛擬機(jī)通信等問題。為保證用戶隱私，增加云計(jì)算的安全性，可采取聯(lián)合身份認(rèn)證、統(tǒng)一端口管理等方法，在中立平臺(tái)下進(jìn)行數(shù)據(jù)交互，云計(jì)算提供商與用戶共同監(jiān)督中立平臺(tái)的運(yùn)行。其具體操作為:由中立機(jī)構(gòu)制作一款隨機(jī)碼產(chǎn)生軟件并提供端口，由云計(jì)算提供商與用戶使用端口制作同步認(rèn)證軟件同步隨機(jī)碼算法，用戶將隨機(jī)碼發(fā)送至中立機(jī)構(gòu)，再由中立機(jī)構(gòu)對(duì)云計(jì)算提供商所產(chǎn)生的隨機(jī)碼進(jìn)行比對(duì)，從而使得多個(gè)云計(jì)算提供商與多個(gè)用戶間的資源可以通過同一個(gè)中立機(jī)構(gòu)進(jìn)行校對(duì)。該認(rèn)證過程如圖4所示。在聯(lián)合身份認(rèn)證時(shí)，由于進(jìn)行的是隨機(jī)碼多次比對(duì)，所以可以保證服務(wù)提供商無法獲得用戶的訪問記錄，從而防止用戶隱私泄露。

4.3 資源架構(gòu)層安全

在資源架構(gòu)層面主要的問題有數(shù)據(jù)完整性保持、減少冗余備份、計(jì)費(fèi)機(jī)制等。采用數(shù)字簽名技術(shù)［9］對(duì)數(shù)據(jù)進(jìn)行加密可以防止黑客在用戶與云平臺(tái)之間進(jìn)行信息傳輸時(shí)對(duì)數(shù)據(jù)進(jìn)行篡改，從而保證數(shù)據(jù)的準(zhǔn)確性與完整性。其方法主要為:客戶端將用戶的數(shù)據(jù)使用Hash算法進(jìn)行加密處理，再用客戶端私鑰進(jìn)行簽名，通過公共端口將數(shù)據(jù)上傳至云計(jì)算服務(wù)器。當(dāng)用戶需要下載數(shù)據(jù)時(shí)，通過聯(lián)合認(rèn)證獲取云端數(shù)據(jù)，再通過Hash算法解密、對(duì)比標(biāo)簽，從而保證數(shù)據(jù)的保密性與完整性，也避免了云計(jì)算提供商篡改用戶數(shù)據(jù)。

4.4 開發(fā)平臺(tái)層安全

該層需要為應(yīng)用程序開發(fā)者提供開發(fā)、運(yùn)行、測(cè)試環(huán)境，提供數(shù)據(jù)庫(kù)、界面等支持，也需要防范開發(fā)者竊取用戶的機(jī)密。云計(jì)算提供商可以為開發(fā)者提供公共的端口，并對(duì)端口的權(quán)限予以控制，保證開發(fā)者在適當(dāng)?shù)臋?quán)限內(nèi)開發(fā)程序。軟件測(cè)試可以采用“灰盒”測(cè)試［10］的方法，即將“白盒”測(cè)試(靜態(tài)分析)與“黑盒”測(cè)試(動(dòng)態(tài)分析)結(jié)合起來，使得開發(fā)者可以對(duì)現(xiàn)有問題進(jìn)行排序并優(yōu)先解決影響最大的問題。在“灰盒”測(cè)試的過程中，當(dāng)通過動(dòng)態(tài)分析確認(rèn)了漏洞，可以通過靜態(tài)工具對(duì)代碼塊或代碼行進(jìn)行追溯，查找到問題代碼。這不但便于開發(fā)團(tuán)隊(duì)間的交流，也利于安全測(cè)試專家對(duì)開發(fā)者提供更有針對(duì)性的指導(dǎo)，從而加快軟件的創(chuàng)作進(jìn)度，提高效率。

4.5 應(yīng)用服務(wù)層安全

云計(jì)算提供商通過互聯(lián)網(wǎng)向用戶提供軟件服務(wù)，而數(shù)據(jù)在互聯(lián)網(wǎng)中進(jìn)行傳輸時(shí)容易被竊取或丟失，從而導(dǎo)致云計(jì)算在應(yīng)用服務(wù)層的安全存在問題，例如，如何進(jìn)行安全單點(diǎn)登錄，如何進(jìn)行數(shù)據(jù)隱私保護(hù)，如何防止竊聽，如何保障數(shù)據(jù)完整性，等等。目前主流的認(rèn)證技術(shù)有動(dòng)態(tài)口令、數(shù)字簽名、單點(diǎn)登錄認(rèn)證，用戶可以基于Kerberos等較為成熟的安全技術(shù)使用DES技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，通過DCB技術(shù)保證數(shù)據(jù)在進(jìn)行網(wǎng)絡(luò)傳輸過程中的完整性，從而在保證數(shù)據(jù)完整的前提下對(duì)數(shù)據(jù)進(jìn)行加密。

5 云計(jì)算處理大數(shù)據(jù)的安全問題

5.1 大數(shù)據(jù)的特征

近年來，物聯(lián)網(wǎng)、互聯(lián)網(wǎng)發(fā)展迅猛，IT技術(shù)日新月異，數(shù)據(jù)量不斷增長(zhǎng)。海量的數(shù)據(jù)在為各行各業(yè)帶來寶貴機(jī)遇的同時(shí)也為其帶來了新的挑戰(zhàn)。不同行業(yè)對(duì)于大數(shù)據(jù)有不同的定義［11］。一般意義上，大數(shù)據(jù)是指在一定時(shí)間內(nèi)用常規(guī)機(jī)器和軟硬件工具對(duì)其進(jìn)行感知、獲取、管理、處理和服務(wù)的數(shù)據(jù)集合。網(wǎng)絡(luò)大數(shù)據(jù)是指“人、機(jī)、物”三元世界在網(wǎng)絡(luò)空間(Cyberspace)中彼此交互與融合所產(chǎn)生并在互聯(lián)網(wǎng)上可獲得的大數(shù)據(jù)，簡(jiǎn)稱“網(wǎng)絡(luò)數(shù)據(jù)”［12］。IBM將大數(shù)據(jù)的特點(diǎn)進(jìn)行了總結(jié)，提出了3V定義:即大量化(Volume)、快速化(Velocity)以及多樣化(Variety)［13］。而國(guó)際數(shù)據(jù)公司(International Data Company，IDC)還認(rèn)為大數(shù)據(jù)中蘊(yùn)藏大量?jī)r(jià)值，因此在3V的基礎(chǔ)上提出了4V概念，即在3V概念中增加了價(jià)值(Value)作為第4V。

隨著寬帶互聯(lián)網(wǎng)介入技術(shù)與智能移動(dòng)終端的高速普及，網(wǎng)絡(luò)空間中數(shù)據(jù)的體量不斷增長(zhǎng)，網(wǎng)絡(luò)大數(shù)據(jù)已經(jīng)需要用EB(260B)和ZB(270B)等單位來記數(shù)。據(jù)IDC的研究報(bào)告稱:未來十年全球大數(shù)據(jù)將增加50倍，管理數(shù)據(jù)倉(cāng)庫(kù)的服務(wù)器數(shù)量需增加10倍才能迎合50倍的大數(shù)據(jù)增長(zhǎng)［14］。

大數(shù)據(jù)不但體量驚人，結(jié)構(gòu)也十分復(fù)雜，既包括結(jié)構(gòu)化數(shù)據(jù)，也包括非結(jié)構(gòu)化數(shù)據(jù)與半結(jié)構(gòu)化數(shù)據(jù)。隨著現(xiàn)代互聯(lián)網(wǎng)的不斷發(fā)展，個(gè)人終端流量快速增長(zhǎng)，在數(shù)據(jù)層面反映出非結(jié)構(gòu)化數(shù)據(jù)大幅增長(zhǎng)的特點(diǎn)。由于網(wǎng)絡(luò)大數(shù)據(jù)具有突發(fā)涌現(xiàn)、集中爆發(fā)、無規(guī)律等特點(diǎn)，所以難以進(jìn)行有效的預(yù)測(cè)或評(píng)估。

5.2 利用云計(jì)算處理網(wǎng)絡(luò)大數(shù)據(jù)

大數(shù)據(jù)時(shí)代伴隨著云技術(shù)的發(fā)展而來，如何在云環(huán)境下進(jìn)行安全、有效、準(zhǔn)確的大數(shù)據(jù)處理是人們研究的熱點(diǎn)。由于網(wǎng)絡(luò)大數(shù)據(jù)體量巨大、呈現(xiàn)出非結(jié)構(gòu)化特點(diǎn)且噪聲較大、分布面較廣，且網(wǎng)絡(luò)大數(shù)據(jù)的搜索、分類過程復(fù)雜，存儲(chǔ)所需容量大，企業(yè)或機(jī)構(gòu)獲得網(wǎng)絡(luò)大數(shù)據(jù)中有價(jià)值的數(shù)據(jù)難度較大、過程復(fù)雜，有價(jià)值數(shù)據(jù)存儲(chǔ)密度低，于是急需一種方式解決大數(shù)據(jù)的處理問題。云計(jì)算具有服務(wù)按需自助化、設(shè)備訪問多元化、資源池共享化、部署靈活化、服務(wù)可被測(cè)量化的特點(diǎn)，云服務(wù)提供商可以將網(wǎng)絡(luò)大數(shù)據(jù)進(jìn)行集中存儲(chǔ)并進(jìn)行集中處理，將數(shù)據(jù)進(jìn)行分類，提高搜索效率。當(dāng)用戶需要某部分特定數(shù)據(jù)時(shí)，云服務(wù)提供商可以快速查詢出該類數(shù)據(jù)并將其發(fā)送給用戶，發(fā)揮云計(jì)算服務(wù)按需自助化、部署靈活化、服務(wù)可被測(cè)量化的特點(diǎn)，在節(jié)省存儲(chǔ)空間的同時(shí)提高數(shù)據(jù)搜索的速率。不同云服務(wù)商間可以通過資源池共享來降低存儲(chǔ)成本和對(duì)數(shù)據(jù)的處理難度，其主要過程如圖5所示。

5.3 大數(shù)據(jù)處理中的安全問題

云計(jì)算不但可以很好地減小大數(shù)據(jù)中的“噪音”，還能夠減少大數(shù)據(jù)的存儲(chǔ)和處理成本，從而幫助企業(yè)或政府更好更快地獲取所需信息。但由于大數(shù)據(jù)規(guī)模巨大且結(jié)構(gòu)復(fù)雜，數(shù)據(jù)安全邊界難以確定，且難以確保數(shù)據(jù)本身的安全性，導(dǎo)致存儲(chǔ)過程中的數(shù)據(jù)安全難以保障。其次，在云服務(wù)提供商與用戶進(jìn)行交互的過程中，用戶的隱私難以得到保護(hù)，且目前數(shù)據(jù)主要通過網(wǎng)絡(luò)進(jìn)行傳播，在此過程中數(shù)據(jù)也易被竊取或修改。

5.4 通過架構(gòu)層解決大數(shù)據(jù)處理中的安全問題

針對(duì)利用云計(jì)算處理大數(shù)據(jù)面臨的安全問題，基于SOA架構(gòu)理念，參考不同架構(gòu)層次下的云安全問題的解決方案，文中提出通過架構(gòu)層次解決大數(shù)據(jù)處理中安全問題的構(gòu)想:通過第三方機(jī)構(gòu)搭建云服務(wù)提供商與用戶間交互的橋梁，由第三方機(jī)構(gòu)定義統(tǒng)一接口，并將用戶需求進(jìn)行處理，對(duì)用戶編號(hào)進(jìn)行二次加密編碼用于數(shù)據(jù)傳輸時(shí)的對(duì)接，然后消除用戶指向信息，僅保留操作需求，并將需求發(fā)送至云服務(wù)提供商，由云服務(wù)提供商進(jìn)行數(shù)據(jù)處理并發(fā)回對(duì)接碼，由第三方機(jī)構(gòu)與用戶進(jìn)行對(duì)接，從而實(shí)現(xiàn)數(shù)據(jù)的輸送。在此過程中，由于云服務(wù)提供商無法獲得用戶的具體需求，從而可以防止云服務(wù)提供商獲取用戶隱私，也避免了惡意操作者獲得某一用戶的需求。在云服務(wù)商收集大數(shù)據(jù)時(shí)，應(yīng)先將已處理數(shù)據(jù)與未處理數(shù)據(jù)進(jìn)行隔離操作，并在處理數(shù)據(jù)時(shí)注意對(duì)數(shù)據(jù)的查毒操作，防止惡意代碼流入云服務(wù)商存儲(chǔ)的數(shù)據(jù)集而被惡意利用。在網(wǎng)絡(luò)傳輸過程中，可以用SSL等加密協(xié)議進(jìn)行數(shù)據(jù)加密，從而保證在數(shù)據(jù)傳輸過程中的安全性。

6 結(jié)束語

云計(jì)算憑借其以服務(wù)方式的動(dòng)態(tài)、彈性、按需提供信息技術(shù)資源的計(jì)算模式和服務(wù)模式等優(yōu)點(diǎn)迅速崛起，在數(shù)據(jù)存儲(chǔ)與大數(shù)據(jù)處理等方面發(fā)揮了重要作用，但隨著云計(jì)算的不斷發(fā)展，其所存在的問題也逐漸凸顯，其中云計(jì)算安全問題已成為制約云計(jì)算發(fā)展的主要因素。文中在分析現(xiàn)有云計(jì)算服務(wù)特性的基礎(chǔ)上，對(duì)云計(jì)算安全問題進(jìn)行了分析，并引入了SOA架構(gòu)中對(duì)于公共中立接口的理念，提出了對(duì)不同架構(gòu)下云安全問題的解決方案;分析了云計(jì)算在大數(shù)據(jù)處理中可發(fā)揮的作用，基于不同架構(gòu)下云計(jì)算問題的解決方案提出了解決云計(jì)算在大數(shù)據(jù)處理過程中安全問題的解決思路，以期保證云計(jì)算服務(wù)按需自助化、設(shè)備訪問多元化、資源池共享化、部署靈活化、服務(wù)可被測(cè)量化等優(yōu)點(diǎn)的同時(shí)解決云計(jì)算在安全邊界不明、數(shù)據(jù)易被竊取的問題。

［1］ 崔澤永，趙會(huì)群.基于KVM的虛擬化研究及應(yīng)用［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2011，21(6):108-111.

［2］ 馮登國(guó)，張 敏，張 妍，等.云計(jì)算安全研究［J］.軟件學(xué)報(bào)，2011，22(1):71-83.

［3］ 李曉飛.基于云計(jì)算技術(shù)的大數(shù)據(jù)處理系統(tǒng)的研究［J］.長(zhǎng)春工程學(xué)院學(xué)報(bào):自然科學(xué)版，2014，15(1):116-118.

［4］ 周銘川.云計(jì)算環(huán)境下的商業(yè)秘密保護(hù)［J］.暨南學(xué)報(bào):哲學(xué)社會(huì)科學(xué)版，2014，36(1):43-53.

［5］ 林 闖，蘇文博，孟 坤，等.云計(jì)算安全:架構(gòu)、機(jī)制與模型評(píng)價(jià)［J］.計(jì)算機(jī)學(xué)報(bào)，2013，36(9):1765-1784.

［6］ ENISA.Cloud computing:benefits，risks and recommendations for information security［EB/OL］.2009.https://www.enisa. europa.eu/events/speak/cloud.jpg/view.

［7］ 洪漢舒，孫知信.基于云計(jì)算的大數(shù)據(jù)存儲(chǔ)安全的研究［J］.南京郵電大學(xué)學(xué)報(bào):自然科學(xué)版，2014，34(4):26-32.

［8］ 閆曉麗.云計(jì)算安全問題［J］.信息安全與技術(shù)，2014，5 (3):3-5.

［9］ 侯 佩，寇雅楠，黃利斌.混合加密體制在數(shù)字簽名中的應(yīng)用［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32(6):1942-1945.

［10］徐霄峰.灰盒測(cè)試模型的應(yīng)用與研究［J］.電子制作，2013 (5):55-56.

［11］張 引，陳 敏，廖小飛.大數(shù)據(jù)應(yīng)用的現(xiàn)狀與展望［J］.計(jì)算機(jī)研究與發(fā)展，2013，50(S):216-233.

［12］李國(guó)杰，程學(xué)旗.大數(shù)據(jù)研究:未來科技及經(jīng)濟(jì)社會(huì)發(fā)展的重大戰(zhàn)略領(lǐng)域—大數(shù)據(jù)的研究現(xiàn)狀與科學(xué)思考［J］.中國(guó)科學(xué)院院刊，2012，27(6):647-657.

［13］王元卓，靳小龍，程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù):現(xiàn)狀與展望［J］.計(jì)算機(jī)學(xué)報(bào)，2013，36(6):1125-1138.

［14］陶雪嬌，胡曉峰，劉 洋.大數(shù)據(jù)研究綜述［J］.系統(tǒng)仿真學(xué)報(bào)，2013，25(S):142-146.

Research on Security Issues of Cloud Computing

TAN Tian，YUAN Song，XIAO Jie
(College of Computer Science and Technology，Wuhan University of Science and Technology，Wuhan 430065，China)

According to the cloud computing security issues raised by ENISA，referring to the solutions of the current main cloud computing providers，introducing the concept of SOA，the cloud computing security issues are subdivided into five architecture layers which consist of physical resource layer security，resource abstraction and control layer security，resource architecture layer security，development platform layer security and application service layer security.According to the privacy of data resources，the clouds are divided into two security levels，more important and high sensitive“private cloud”and less sensitive“public cloud”.Aiming at the different architecture layer，corresponding security methods and suggestions are put forward.According to the differences in data importance between“public clouds”and“private clouds”，many kinds of protection methods are proposed to meet the different needs of different customers for a variety of data.Finally，in allusion to the cloud computing security issues in processing big data，the feasibility of solving specific cloud computing application problems at architecture layers is analyzed and the solving idea is put forward，in order to achieve the goal of“security as a service”.

cloud computing;private cloud;public cloud;cloud security;big data

TP309

A

1673-629X(2016)09-0124-05

10.3969/j.issn.1673-629X.2016.09.028

2015-11-10

2016-03-10< class="emphasis_bold">網(wǎng)絡(luò)出版時(shí)間

時(shí)間:2016-06-22

湖北省高等學(xué)校2014年省級(jí)大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目(201410488037)

譚 天(1995-)，男，研究方向?yàn)檐浖こ?袁 嵩，博士，副教授，研究方向?yàn)橹悄苡?jì)算。

http://www.cnki.net/kcms/detail/61.1450.TP.20160622.0845.052.html