劉超 孫福權(quán) 程勖

摘要：針對物流企業(yè)建立服務平臺成本高、負擔頻繁的系統(tǒng)維護和升級，對技術人員要求越來越高等問題，擬采用云計算的無限擴展和共享基礎架構(gòu)的思想，搭建基于云計算的物流服務平臺。該文給出了基于云計算的物流服務平臺的基本框架，并對該框架的安全性進行研究，提出了平臺的安全框架；該框架的實現(xiàn)可有效減少企業(yè)在建立服務平臺中的投入，保證了服務平臺中的數(shù)據(jù)安全，提高了企業(yè)的競爭力。

關鍵詞：云計算;物流服務平臺;安全框架;數(shù)據(jù)安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)09-2007-04

Security Research On Cloud-based Logistics Service Platform

LIU Chao1,2,SUN Fu-quan2,CHENG Xu2

(1.School of Information Science and Technology，Dalian Maritime University，Dalian 116026，China; 2.Neusoft Institute of Information, Dalian 116023,China)

Abstract: In order to solve problems that high cost of establishing logistics service platform, frequent system maintenance and upgrades, and increasingly demanding higher technical of people. we used the idea of infinite expansion of cloud computing and shared infrastructure technology to build logistics service platform based on cloud computing. This paper described the basic framework of logistics service platform based on cloud computing. and proposed a security framework by a research on the security of the framework.. Implementation of the framework can be effective in reducing the cost of establishing an service platform and ensure the data security, which will improve the competitiveness of enterprises.

Key words: cloud computing; logistics service platform; security framework; data security

隨著信息技術的不斷發(fā)展，物流企業(yè)的信息化水平不斷提高，目前在運輸技術、配送技術、裝卸搬運技術、自動化倉儲技術、庫存控制技術和包裝技術等方面形成了以信息技術為支撐的現(xiàn)代化物流裝備技術格局。在物流信息化過程中，雖然已經(jīng)取得了一定的成績，但也存在一些問題，特別是傳統(tǒng)的物流服務平臺的搭建需要企業(yè)大量的人力和物力的投入，并且軟件間相對獨立，數(shù)據(jù)難以共享，不能與企業(yè)信息系統(tǒng)的快速成長和服務的多元化要求相匹配。

近年來提出的基于物聯(lián)網(wǎng)和基于云計算的物流信息技術，可以有效解決物流企業(yè)存在的問題。因此在這個背景下，很多物流企業(yè)運用云計算模式來構(gòu)建公共物流服務平臺。

云計算的使用給許多行業(yè)特別是物流企業(yè)帶來了新的機遇，但由于云計算自身的原因及網(wǎng)絡安全缺陷，致使物流服務平臺存在安全隱患。云計算在物流服務平臺應用中的安全問題已成為制約云計算物流服務平臺發(fā)展的瓶頸。因此，提出云計算物流服務平臺的安全框架、采取合適的安全策略保證數(shù)據(jù)的安全顯得非常迫切。

1云計算物流服務平臺的框架設計

近年來，雅虎、谷歌等公司都在大力開發(fā)云計算的相關技術[1]。云計算是虛擬化、基礎設施即服務、平臺即服務、軟件服務和效用計算等概念混合演進的結(jié)果。它將帶來工作方式和商業(yè)模式的根本性改變。通過云計算，用戶可以通過手機、計算機等設備，利用網(wǎng)絡獲得所需硬件、軟件資源，方便、快捷地獲取自己所需要的服務。從用戶的角度看來，“云”中的資源是可以無限擴展的，并且可以隨時購買和使用。

1.1企業(yè)在云計算環(huán)境中搭建物流服務平臺的優(yōu)勢

云計算服務平臺實際是一個功能強大的云網(wǎng)絡，連接大量并發(fā)的網(wǎng)格計算和服務，可利用虛擬化技術擴展每一個服務器的能力，將各自的資源通過云計算平臺結(jié)合起來，提供超級計算和存儲能力。

云計算服務提供商可利用虛擬化技術將硬件、軟件和平臺等資源集成起來，可在短時間內(nèi)幫助物流企業(yè)搭建適合的物流服務平臺，企業(yè)用戶只需根據(jù)使用的資源數(shù)量進行付費，平臺資源的維護工作則由云計算服務提供商完成，因此可以減少搭建平臺的人員和設備的投入，并大大降低物流企業(yè)搭建公共服務平臺的成本。

云計算可以幫助企業(yè)隨時隨地方便快捷地進行日常的商業(yè)活動。用戶可以利用手機、計算機等設備通過網(wǎng)絡在任何時間任何地點進行商品的庫存、運輸?shù)葮I(yè)務活動。企業(yè)員工甚至可以將任務帶回家完成。

云計算可以幫助企業(yè)實現(xiàn)信息資源的共享。各個物流企業(yè)可以利用云計算所提供的強大協(xié)同工作能力實現(xiàn)物流信息資源的共享[2]。云計算平臺可以根據(jù)物流企業(yè)的需求動態(tài)伸縮，將多個物流企業(yè)信息化的資源共享，減少建設單個物流服務平臺的時間和資金。

1.2云計算物流服務平臺框架設計研究

現(xiàn)有的物流企業(yè)都有自己的信息系統(tǒng)，不可能一次性的切換到云計算服務模式下，是一個循序漸近的過程。因此，根據(jù)現(xiàn)有的情況，并結(jié)合云計算、SaaS和SOA等技術，企業(yè)可采用如圖1所示的物流服務平臺的基本框架。

圖1物流服務平臺的基本框架

1)物理資源池

物理資源池包括網(wǎng)絡、存儲設備、服務器等硬件資源，這些分布式的資源通過網(wǎng)絡虛擬化連接到一起，共同構(gòu)建云計算物流服務平臺。

2)基礎設施服務

其服務方式為在網(wǎng)絡上提供虛擬存儲，客戶根據(jù)實際存儲容量支付費用，將內(nèi)存、存儲和計算機能力形成虛擬資源池作為計量服務提供給客戶。

3)平臺即服務

在該層次，對物流企業(yè)提供開發(fā)環(huán)境、服務器平臺等服務，物流企業(yè)可在此平臺上定制開發(fā)自己的應用程序，并且可以通過互聯(lián)網(wǎng)傳遞給其他用戶。

4)軟件即服務SaaS

平臺服務提供商將應用軟件統(tǒng)一部署在服務器上，用戶根據(jù)需求通過網(wǎng)絡向服務提供商訂購應用軟件服務，服務提供商根據(jù)用戶定制軟件的數(shù)量、時間等因素收費。在本層次可提供貨物跟蹤、庫存管理、物流監(jiān)控和智能配送等服務。

2基于云計算的物流服務平臺安全問題

在傳統(tǒng)的物流服務平臺中，服務提供商只提供架構(gòu)和網(wǎng)絡，其余的設備均由物流企業(yè)自行提供，包括服務器、防火墻、軟件和存儲設備等。企業(yè)所有的物理設備和軟件系統(tǒng)有完全的控制權(quán)，對于系統(tǒng)的安全性和可靠性在技術上都可以根據(jù)自身需要進行定制。但在云計算環(huán)境下，云計算是基于SOA的提供公共計算的網(wǎng)格計算平臺，把軟件、計算能力、存儲能力作為個服務提供大眾使用，同時收取相關的使用費。這是計算機世界思維巨大轉(zhuǎn)變，將會影響未來發(fā)展的重大創(chuàng)新，但存在一定的安全隱患。

2.1云計算物流服務平臺的安全隱患

云計算的特點導致現(xiàn)有的安全技術不可能完全解決其帶來的安全問題，具體如下：

1)傳統(tǒng)的安全域的劃分無效；傳統(tǒng)模式可通過物理上和邏輯上的安全域定義，可以清楚地定義邊界和保護設備用戶，但在云計算平臺中由于任務分割和分布式處理而無法實現(xiàn)。

2）對數(shù)據(jù)進行訪問時需要進行權(quán)限控制。用戶應該能夠控制誰能訪問自己的數(shù)據(jù)。每次對數(shù)據(jù)進行訪問時需要進行用戶認證與授權(quán)，并對用戶的訪問情況進行審查。

3）用戶數(shù)據(jù)在存儲上的安全性。云計算物流服務平臺要求物流企業(yè)將商業(yè)信息存儲在云服務器中，物流企業(yè)失去了對敏感信息的監(jiān)管權(quán)，因此，如何保證企業(yè)敏感數(shù)據(jù)的安全性成為該平臺急需解決的問題。

4）用戶數(shù)據(jù)在運行和傳輸時的安全性。用戶數(shù)據(jù)在運行（數(shù)據(jù)加載到運行時系統(tǒng)內(nèi)存）和傳輸（包括在云計算中心內(nèi)部網(wǎng)絡以及互聯(lián)網(wǎng)上的傳輸）時不會被他人查看或更改。

5）數(shù)據(jù)的遷移性。當所使用的云提供商因為倒閉需要更換云提供商時，能否將企業(yè)現(xiàn)有的數(shù)據(jù)安全、完整的遷移到其他云提供商。

6）數(shù)據(jù)的完整性。需要保證數(shù)據(jù)在任何時候都保持不變，不會隨著時間的變化而發(fā)生損壞。

由于云計算物流服務平臺的復雜性、用戶的動態(tài)性和不確定性[3]，云計算平臺中數(shù)據(jù)安全性問題是制約平臺發(fā)展的關鍵因素。因此，必須采取一定的策略來保證云計算環(huán)境下服務器間的通信安全、對用戶的訪問權(quán)限進行有效控制、實現(xiàn)數(shù)據(jù)的完整存儲和安全傳輸，保證云計算物流服務平臺在復雜環(huán)境下可靠、安全的運行。

2.2云計算物流服務平臺的安全策略要求

為了解決上述安全隱患，基于云計算的物流服務平臺應具備以下安全措施：

1)在云計算物流服務平臺中劃分多等級安全域，每級安全域增設全局與局部映射關系，不同安全域之間的交互操作需經(jīng)過身份驗證；

2)保證通信安全：通信過程中采用SSL、VPN、PPTP等安全方式保證在物理資源池與云計算平臺、用戶與云計算平臺之間的通信安全；

3)多種授權(quán)方式：針對不同的平臺用戶，通過權(quán)限和角色的映射機制來提供多種授權(quán)方式，保證云計算平臺數(shù)據(jù)的訪問安全；

4)認證需求：提供完整單點登陸認證，代理、協(xié)同認證、資源認證，不同安全域之間認證等復雜方式，滿足用戶動態(tài)性要求[4]；

5)云端數(shù)據(jù)的安全保證：為提高數(shù)據(jù)的安全性，將數(shù)據(jù)進行分類，對不同安全等級的數(shù)據(jù)提供多等級的加密算法，根據(jù)數(shù)據(jù)的安全等級提供不同的保護措施。

3基于云計算的物流服務平臺安全框架

基于云計算的物流服務平臺采用統(tǒng)一管理的系統(tǒng)資源為客戶提供各種資源服務[5]，每個客戶在屬于自己的虛擬資源下運行相關程序。用戶可以控制這些虛擬資源的安全策略，而服務提供商需要確保這些虛擬資源之間是通過一定技術手段相互隔離的，如圖2所示。

圖2虛擬資源隔離示意圖

基礎安全服務和架構(gòu)定義包含了物流企業(yè)安全框架中的三個核心的基礎技術架構(gòu)和相關服務：用戶認證和授權(quán)、云平臺應用安全和云平臺通信安全，分別從云計算物流服務平臺的三個層次進行安全控制。如圖3所示。

圖3基于云計算物流服務平臺的安全框架

以云計算物流服務平臺的信息安全框架為基礎，按照云計算物流服務平臺的安全策略要求，可以對照表1進行框架的具體實現(xiàn)。

表1物流服務平臺云安全框架實現(xiàn)對照表

1）身份認證與授權(quán)。通過系統(tǒng)的認證和授權(quán)使得合法用戶進入系統(tǒng)并訪問數(shù)據(jù)，保證資源免受非授權(quán)用戶的訪問。通過集中化的身份訪問管理，云計算的使用客戶能以一種基于標準的方法保護那些影響生產(chǎn)效率的資產(chǎn)和信息，并且使企業(yè)能夠滿足安全需要，降低成本，提高效率和避免風險。

2）云平臺應用安全。確保基于云計算物流服務平臺的應用安全的措施主要包括兩點：數(shù)據(jù)隔離與加密和分級安全控制。云計算物流服務平臺存儲客戶數(shù)據(jù)可采用兩種方式實現(xiàn)：提供統(tǒng)一共享的存儲設備，或者提供單獨的存儲設備。共享的存儲設備可通過存儲映射等功能確保數(shù)據(jù)的隔離性；單獨的存儲設備從物理層面隔離保護了客戶的重要數(shù)據(jù)。

云計算物流服務平臺中的數(shù)據(jù)加密采用如下形式：首先在用戶端實用用戶密鑰對數(shù)據(jù)加密，然后上傳至云計算環(huán)境中，再使用時再進行解密，這樣可有效避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。數(shù)據(jù)加密可采用對稱加密、公鑰加密等比較成熟的算法[6]。

分級安全控制是用來規(guī)范服務提供商的一種方式，使得用戶數(shù)據(jù)不至于通過提供商的某一個人就能獲取，從而提升服務運維的安全性。

3）云平臺通信安全的主要措施主要為網(wǎng)絡隔離[7]?？梢允褂肰LAN、VPN、HTTPS/SSL等技術保證網(wǎng)絡的安全性和隔離性，提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

為了確保云服務器端數(shù)據(jù)的安全性，基于云計算的物流服務平臺必須具備數(shù)據(jù)備份、恢復功能。此外，用戶可以選擇多個云計算服務提供商，選擇不同地點的數(shù)據(jù)中心提供的服務，這樣可保證自身業(yè)務不受云端服務提供商的限制。

4結(jié)束語

基于云計算物流服務平臺框架在實現(xiàn)企業(yè)數(shù)據(jù)共享的前提下，不需要物流企業(yè)購買物理設備，只需按照企業(yè)需求租用服務，可以減少物流企業(yè)在建立物流服務平臺中的資金和人員的投入，降低企業(yè)成本。云計算物流服務平臺的安全框架分別從用戶認證和授權(quán)、云平臺應用安全和云平臺通信安全三個層次進行安全控制，可以有效地保證物流企業(yè)數(shù)據(jù)的安全，達到了物流企業(yè)對基于云計算物流服務平臺的安全策略要求。但是僅從技術角度出發(fā)探索解決基于云計算的物流服務平臺的安全問題是不夠的，需要信息安全學術界、產(chǎn)業(yè)界以及政府相關部門的共同努力才能實現(xiàn)。

參考文獻：

[1]陳全,鄧倩妮.云計算及其關鍵技術[J].計算機應用,2009,29(9):2562.

[2]俞華峰.基于云計算的物流信息平臺的構(gòu)建[J].科技信息,2010,1:443.

[3]馮登國,張敏,張妍,徐震.云計算安全研究[J].軟件學報,2011,22(1):71.

[4]郭樂深,張乃靖,尚晉剛.云計算環(huán)境安全框架[J].博士之窗,2009,(7):62.

[5]朱近之.Smart Cloud Computing[M].北京:電子工業(yè)出版社,2010:227.

[6]李虹,李昊.可信云安全的關機技術與實現(xiàn)[M].北京:人民郵電出版社,2010:110.

[7]John Rittinghouse, James Ransome.“Cloud Computing：Implementation，Management，and Security”[Ml，Boca Raton: CRC Press, 2009 March.

[8] Jay Heiser,Mark Nicolett. Assessing the Security Risks of Cloud Computing[EB/OL].[3 June 2008 J].http://www.gartner.corn/DisplayDocumentid=685308.