摘要：云計(jì)算已經(jīng)急劇的改變了我們關(guān)于基礎(chǔ)架構(gòu)、軟件發(fā)行和開發(fā)模型的一些已有觀點(diǎn)。它的出現(xiàn)是革命性的進(jìn)步，因?yàn)樗狭司W(wǎng)格計(jì)算中的一些元素、效用計(jì)算、以及自主計(jì)算。隨著云計(jì)算的普及，由于一些未知的威脅隨之引入，信息安全就越來越重要了。該文通過識別獨(dú)特的安全要求來評估云安全，并提出一種可行的解決辦法，也就是引入可信的第三方機(jī)構(gòu)來確保云環(huán)境中的安全特性，來消除這些潛在的威脅。

關(guān)鍵詞： 云計(jì)算；云壞境；可信第三方；計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）04-0740-03

The Analysis of Cloud Computing Safety

XIAO Wei， ZHANG Mei

（Guizhou University of Finance and Economics， Guiyang 550004， China）

Abstract： The cloud computing has drastically altered everyone’s perception of infrastructure architectures， software delivery and development models. The emergence of cloud computing is an evolutionary progress， for the cloud computing integrates the elements from grid computing， utility computing and autonomic computing. However， with the popularity of cloud computing， due to some unknown threat introduced， information security is increasingly important. This article evaluated the cloud security by the identification of some unique safety requirements， and proposed a feasible solution， which is by the introduction of the trusted third party to ensure the safety features in the cloud environment， to eliminate the potential threats.

Key words： cloud computing； cloud environment； the trusted third party； computer network； computer safety

云計(jì)算是一個(gè)革新的信息系統(tǒng)架構(gòu)，該架構(gòu)應(yīng)用越來越廣泛，它要求我們重新理解一些傳統(tǒng)的計(jì)算機(jī)相關(guān)概念。

隨著云計(jì)算的普及，它所產(chǎn)生的安全問題受到越來越多的關(guān)注。傳統(tǒng)的一些防御機(jī)制已經(jīng)失效，需要引入新的安全措施。最近幾年，云服務(wù)出現(xiàn)了很多安全事故。比如，谷歌在2009年三月份泄露了大量的文檔；微軟的Azure平臺宕機(jī)22小時(shí)；2011的四月份，亞馬遜的EC2服務(wù)崩潰，影響甚大。從這些例子我們可以發(fā)現(xiàn)，云計(jì)算由于其多租戶的特性，發(fā)生安全事故會造成嚴(yán)重的影響。所以，解決云計(jì)算的安全問題就顯得尤為重要[15-16]。

1 云計(jì)算安全性

1.1 信任[6]

云環(huán)境中的信任很大程度上依賴于所選的部署模型，因?yàn)閿?shù)據(jù)和應(yīng)用的管理是外包的或則委托的，所以他們并不被擁有者嚴(yán)格控制。傳統(tǒng)架構(gòu)中，信任是通過有效的安全規(guī)則來強(qiáng)制實(shí)施的。公有云和社區(qū)云中，控制權(quán)被委托給了擁有基礎(chǔ)設(shè)施的組織。當(dāng)部署一個(gè)公有云的時(shí)候，基礎(chǔ)設(shè)施擁有者的控制權(quán)被削弱，這樣是為了強(qiáng)制實(shí)施有效的安全政策，從而讓危險(xiǎn)降低。這就引入了一系列和威脅，因?yàn)樵品?wù)基礎(chǔ)設(shè)備提供商是否值得信任關(guān)系到整個(gè)云中數(shù)據(jù)的安全。私有云的基礎(chǔ)設(shè)施被一個(gè)私有組織承諾來管理和操作，這不會引入一些額外的安全問題，因?yàn)榛A(chǔ)設(shè)施擁有者同時(shí)也是數(shù)據(jù)和流程負(fù)責(zé)人。

最重要的是，云環(huán)境使得邊界安全的觀點(diǎn)不再適用。在一個(gè)云計(jì)算模型中，什么人在什么地方獲取什么樣的數(shù)據(jù)這些都很難被確切定位，傳統(tǒng)的基于劃分邊界來保證整個(gè)架構(gòu)安全的方法也很難在云計(jì)算中實(shí)施。

本文提出了一個(gè)方法，就是在處理涉及到特別安全漏洞的時(shí)候，在云環(huán)境中通過信任和密碼學(xué)保證數(shù)據(jù)的機(jī)密性、完整性以及通訊的可靠性，因此我們要引入一個(gè)可信的第三方。對于第三方信任的概念，代表了客戶對于特殊操作、和該第三方道德素質(zhì)的信任，同時(shí)也是對于其安全系數(shù)的認(rèn)可?？蛻粢?yàn)槠涮峁┝私灰字械陌踩С侄湃芜@個(gè)第三方。在信息系統(tǒng)中的這個(gè)被信任的第三方的作用就是提供終端對終端的安全服務(wù)，這些安全服務(wù)是可擴(kuò)展的，它們基于一些標(biāo)準(zhǔn)，而且適用于不同的部分、地理位置和專業(yè)領(lǐng)域。引入一個(gè)可靠的第三方能夠降低傳統(tǒng)安全邊界的丟失。實(shí)質(zhì)上，它是一個(gè)被委派的信任機(jī)構(gòu)，它有責(zé)任解決多層次分布式環(huán)境中的一些安全問題。

1.2 安全標(biāo)準(zhǔn)

實(shí)質(zhì)上，維護(hù)一個(gè)信息系統(tǒng)的安全涉及到識別特定的威脅和挑戰(zhàn)，這些安全問題需要通過采取合適的對策來解決。云計(jì)算因?yàn)樗募軜?gòu)設(shè)計(jì)和特點(diǎn)展現(xiàn)了一些安全優(yōu)勢，這些優(yōu)勢包括安全、數(shù)據(jù)和程序段的分割，冗余和高可用性的綜合。由于其基礎(chǔ)設(shè)施單一的特點(diǎn)，許多傳統(tǒng)的危機(jī)被有效的解決，同時(shí)一些不同的安全挑戰(zhàn)被引入。云計(jì)算的一些獨(dú)特特性要求我們對于可用性和可靠性、數(shù)據(jù)集成、恢復(fù)，以及隱私和審記等諸多方面的評估[20]。

一般來說，安全問題是與機(jī)密性、完整性和可用性這些重要方面相關(guān)的；這使得它們稱為在設(shè)計(jì)安全系統(tǒng)時(shí)的一些基本構(gòu)造模塊。安全性的這幾個(gè)重要方面，應(yīng)用于三個(gè)資產(chǎn)大類，也就是數(shù)據(jù)、軟件和硬件資源，這些必須要得到很好的保護(hù)。云架構(gòu)提出了獨(dú)特的安全挑戰(zhàn)，我們需要對這些挑戰(zhàn)加以詳細(xì)考慮。要保證云計(jì)算的安全，需要讓數(shù)據(jù)有以下特性：保密性，完整性，可用性。保密性是指只有授權(quán)的組織或系統(tǒng)能夠訪問數(shù)據(jù)，同時(shí)能保證一個(gè)人的個(gè)人信息不被隨便公開；完整性是指資源只能通過授權(quán)的組織或通過授權(quán)的方式來修改和引用數(shù)據(jù)、軟件和硬件；可用性是指一個(gè)系統(tǒng)的資源在一個(gè)被授權(quán)的實(shí)體需要的時(shí)候能夠進(jìn)入并使用，它是指數(shù)據(jù)，軟件同時(shí)也包括硬件在被授權(quán)用戶需要的時(shí)候是可用的。

2 可信任的第三方

我們認(rèn)為在云中雇傭一個(gè)被信任的第三方服務(wù)，將導(dǎo)致必要的信任等級的建立，這會提供保密性、完整性和數(shù)據(jù)通訊可靠性的完美解決方案。引入一個(gè)被信任的第三方能夠特異性地解決傳統(tǒng)安全邊界丟失的問題，這是通過產(chǎn)生信任的安全域來達(dá)到的。就像Castell所說的，“一個(gè)被信任的第三方對于電子交易來說是一個(gè)重要的傳送商業(yè)機(jī)密的組織，這是通過商業(yè)和技術(shù)安全特性來達(dá)到的。它提供技術(shù)和法律上可靠的方法來執(zhí)行、幫助、產(chǎn)生獨(dú)立的對于電子交易的公斷證據(jù)。它的服務(wù)被通過技術(shù)，法律，金融和結(jié)構(gòu)方法提供和簽署?！盵21]

這種基礎(chǔ)架構(gòu)是用以下方法來保證其系統(tǒng)的安全性的：數(shù)字證書的發(fā)布和讓這些證書正確地匹配?？尚诺牡谌椒?wù)不僅由技術(shù)，還要通過法律，金融，和結(jié)構(gòu)手段來提供和維護(hù)[21-22]。這種通過信任鏈（通常叫做授權(quán)路徑）來進(jìn)行操作上的鏈接，是為了提供一個(gè)形成公鑰基礎(chǔ)結(jié)構(gòu)的概念的信任網(wǎng)。可信的第三方基于這樣幾個(gè)方面：

2.1 加密

保證數(shù)據(jù)在網(wǎng)絡(luò)中安全地流通是一個(gè)非常難也高度復(fù)雜的問題，特別是當(dāng)數(shù)據(jù)修改和數(shù)據(jù)解密的威脅日益增加的時(shí)候。云環(huán)境增加了這種復(fù)雜性，因?yàn)樗粌H僅需要保護(hù)指向云的通訊安全，還有云主機(jī)之間的通訊安全，因?yàn)樗鼈內(nèi)狈鹘y(tǒng)的物理連接，所以選擇有效的安全的加密方法顯得非常重要。幸運(yùn)的是，PKI讓我們在為安全通訊部署IPSec[10]和SSL成為可能。實(shí)際中我們是選擇前者還是后者取決于我們多樣性的需求，前者和所有應(yīng)用都兼容，但是卻需要專門的客戶端來加密，而后者卻存在于所有的瀏覽器里面，不需要單獨(dú)在終端安裝客戶端。因?yàn)楹芏嘣品?wù)是通過瀏覽器實(shí)現(xiàn)的，所以相比之下，SSL有著更多的優(yōu)勢。另外，對于主機(jī)——主機(jī)通訊而言，由于IPSec支持壓縮功能，而使之成為更有效率的選擇。該文建議，對于主機(jī)——主機(jī)之間的通訊使用IPSec加密，而對于客戶端——主機(jī)之間的通訊則使用SSL。

2.2 服務(wù)器和客戶認(rèn)證

在一個(gè)云環(huán)境中，我們需要一個(gè)證書機(jī)構(gòu)，它可以驗(yàn)證參與進(jìn)來的實(shí)體，這些認(rèn)證包括驗(yàn)證物理基礎(chǔ)設(shè)施服務(wù)器，虛擬服務(wù)器，環(huán)境用戶和網(wǎng)絡(luò)設(shè)備。PKI認(rèn)證機(jī)構(gòu)中心負(fù)責(zé)在信任的網(wǎng)格中注冊信息的時(shí)候產(chǎn)生這些需要的證書。換句話說，一個(gè)認(rèn)證機(jī)構(gòu)為所有的包含在云中的物理和虛擬實(shí)體建立必要的憑證，因此而建立一個(gè)有明確邊界的安全域。否則一個(gè)云中的實(shí)體的邊界將非常模糊。

因?yàn)樵频钠占埃恳粋€(gè)服務(wù)都需要認(rèn)證，如果不對認(rèn)證機(jī)制做修改，那么，繁雜的認(rèn)證過程和密碼維護(hù)會是非常令人頭疼的問題。我們需要一個(gè)單一認(rèn)證機(jī)制，這個(gè)過程可以通過Shibboleth[11]這個(gè)軟件來提供?？紤]到云中不同部分之間的通訊，我們需要一個(gè)可通用的標(biāo)準(zhǔn)來進(jìn)行它們之間數(shù)據(jù)的認(rèn)證和驗(yàn)證，通常，我們使用SAML，它是一個(gè)基于XML的標(biāo)準(zhǔn)。上述軟件對于SAML支持地很好。

2.3 生成安全域

通過引入聯(lián)合，加上PKI和Ldap技術(shù)，會把我們引入一個(gè)相關(guān)實(shí)體之間的有效信任關(guān)系。聯(lián)合是一組合法的實(shí)體共享一個(gè)一致同意的政策和規(guī)則集，這些規(guī)則和政策用來約束在線資源的使用[25]。聯(lián)合提供了一個(gè)結(jié)構(gòu)和合法框架，這個(gè)框架使得不同組織之間的認(rèn)證和授權(quán)成為可能。云架構(gòu)可以被部署到不同的安全域（一個(gè)應(yīng)用或則應(yīng)用集，它們信任一個(gè)共同的，用來認(rèn)證、授權(quán)或則會話管理的安全符號）中，這些域使得聯(lián)合云形成。聯(lián)合云是一些子云的集合，這些云能夠互相操作，比如通過定義好的接口來交換數(shù)據(jù)和計(jì)算資源。根據(jù)基本的聯(lián)合原則，在一個(gè)云聯(lián)合中，每個(gè)單一的云保持其獨(dú)立性，但是能夠與其它聯(lián)合的云通過標(biāo)準(zhǔn)接口互相操作。一個(gè)聯(lián)合提供結(jié)構(gòu)和法律框架來使得不同組織之間的認(rèn)證和授權(quán)成為可能。

2.4 數(shù)據(jù)的加密分離

云環(huán)境框架中的個(gè)人數(shù)據(jù)和/或敏感數(shù)據(jù)的保護(hù)，成為了成功部署SaS和AaS模型的一個(gè)決定性的因素。加密隔離的過程中，計(jì)算和數(shù)據(jù)通過這種方式隱藏以至于它們對于局外人來講是無形的[26]。加密和完整性，還有數(shù)據(jù)的私密性都能夠通過加密來保護(hù)。利用對稱和非對稱加密（通常稱作混合加密）能夠提供對稱加密的效率同時(shí)保持非對稱加密的安全。

2.5 基于證書的授權(quán)

云環(huán)境是一個(gè)虛擬的網(wǎng)絡(luò)，它由幾個(gè)獨(dú)立的域組成。在云環(huán)境中，資源提供者和用戶之間的關(guān)系更加特別，而且是動(dòng)態(tài)的，他們不是在同一個(gè)安全域中，所以識別用戶常常依靠其特點(diǎn)或則性質(zhì)，而不是先前定義好的身份。這樣，傳統(tǒng)的基于身份的訪問控制模型對它無效，訪問決策需要通過用戶的特性去決定[27]。通過PKI頒發(fā)的證書能夠用于網(wǎng)絡(luò)環(huán)境下的用戶訪問控制。一個(gè)例子就是擴(kuò)展的X.509證書的應(yīng)用，該證書攜帶了用戶的角色信息。這些證書都是通過證書授權(quán)機(jī)構(gòu)頒發(fā)的，它們在全球網(wǎng)絡(luò)環(huán)境中扮演者可信的第三方角色[15]。屬性證書包含了屬性值配對以及它應(yīng)用于誰。它們由屬性管理機(jī)構(gòu)簽發(fā)，這些授權(quán)的屬性已經(jīng)在一個(gè)用戶環(huán)境證書里面制定了。基于屬性的訪問控制，是基于請求者、資源和環(huán)境的屬性來做出訪問控制決策的，它們提供了靈活性和可擴(kuò)展性，這對于包括云在內(nèi)的大尺度分布式系統(tǒng)是非常重要的。

3 結(jié)論

不可避免的，云計(jì)算將會支持過剩的信息系統(tǒng)，因?yàn)樗膬?yōu)點(diǎn)比缺點(diǎn)要多。云計(jì)算提供了部署架構(gòu)，該架構(gòu)能夠解決傳統(tǒng)IS公認(rèn)的缺點(diǎn)，同時(shí)它的動(dòng)態(tài)特點(diǎn)也會讓傳統(tǒng)方法失效。該文中，我們確定了云環(huán)境中一般的設(shè)計(jì)原則，這些原則源于我們控制缺點(diǎn)和威脅的需求。為了做到這些，我們使用了軟件工程和信息系統(tǒng)設(shè)計(jì)方法。云環(huán)境中的安全需要我們有一個(gè)系統(tǒng)的觀點(diǎn)，從這個(gè)觀點(diǎn)來看，安全將建立在信任之上，安全的責(zé)任轉(zhuǎn)移到信任的第三方。綜合PKI，LDAP和SSO能夠解決云計(jì)算中與完整性、機(jī)密性、可靠性以及數(shù)據(jù)和通訊可用性相關(guān)的大部分公認(rèn)的威脅。這個(gè)解決辦法呈現(xiàn)了水平層面的服務(wù)，這種服務(wù)對于所有相關(guān)的實(shí)體都是可用的，它通過云聯(lián)合實(shí)現(xiàn)了一個(gè)安全的網(wǎng)格，在這個(gè)網(wǎng)格中維持著一些很重要的信任關(guān)系。

參考文獻(xiàn)：

[1] 劉鵬.云計(jì)算[M]. 2版.北京：電子工業(yè)出版社，2011.

[2] 張為民.云計(jì)算深刻改變未來[M]. 北京：科學(xué)出版社，2009.

[3] 付智慧.云計(jì)算實(shí)施存在的問題[J].電腦知識與技術(shù)，2009（32）.

[4] 郭春梅，畢學(xué)堯，楊帆.云計(jì)算安全技術(shù)研究與趨勢[J].信息網(wǎng)絡(luò)安全，2010（4）.

[5] 鐘晨暉.云計(jì)算的主要特征及應(yīng)用[J].軟件導(dǎo)刊，2009（10）.

[6] 林兆驥，付雄，王汝傳，韓志杰.云計(jì)算安全關(guān)鍵問題研究[J].信息化研究，2011（2）.

[7] 何明，鄭翔，賴海光，姜峰.云計(jì)算技術(shù)發(fā)展及應(yīng)用探討[J].電信科學(xué)，2010（5）.

[8] 陳曉玲.淺談云計(jì)算[J]. 科技信息，2010（32）.

[9] 韓金華.云計(jì)算綜述[J]. 企業(yè)技術(shù)開發(fā)， 2010（15）.

[10] 鄭牡丹. 云計(jì)算理論初探[J]. 硅谷， 2011（12）.

[11] 趙治斌.淺述云計(jì)算[J]. 科技信息，2010（24）.

[12] 陳曉玲.淺談云計(jì)算[J]. 科技信息， 2010（32）.

[13] 蔣林濤.對云計(jì)算中若干問題的思考[J].電信科學(xué)，2011（3）.

[14] 程國江.云計(jì)算簡介及應(yīng)用前景[J].中國新技術(shù)新產(chǎn)品，2011（8）.

[15] Dikaiakos M D， Katsaros D， Mehra P， et al. Cloud Computing： Distributed Internet Computing for IT and Scientific Research[C]. IEEE Internet Comput，2009，13： 10–13.

[16] Amazon Web Services. Amazon Virtual private Cloud[EB/OL]. http：//aws.amazon.com/vpc/.

[17] Merrill Lynch.The cloud wars： $100+ billion at stake[Z].2008.

[18] Reese G.Cloud Application Architectures： Building Applications and Infrastructure in the Cloud[C]. TheoryinPractice，O’ReillyMedia，2009.

[19] Rajkumar B，Yeo C，Venugopal S，et al. Cloud computing and emerging IT platforms： vision， hype， and reality for delivering computing as the 5th utility[J].Future Generation Computer Systems，2009，25（6）.

[20] Nagarajan A， Varadharajan V.Dynamic trust enhanced security model for trusted platform based[C]. Future Generation Computer Systems ，2010.

[21] Gartner. Assessing the security risks of cloud computing[Z].Gartner，2008.

[22] Castell S.Code of practice and management guidelines for trusted thirdparty services[R].INFOSEC Project Report S2101/02，1993.

[23] Commission of the European Community. Green paper on the security of Information systems， ver. 4.2.1[S].1994.

[24] Alshamsi A，Saito T. A technical comparison of IPSec and SSL[Z].Cryptology ，2004.

[25] Internet 2， Shibboleth [EB/OL].（2007）[2010-10-11].http：//shibboleth.internet2.edu/.

[26] UK Federation Information Centre，UK federation information centre[Z].2007.

[27] Pfleeger C P， Pfleeger S L.Security in Computing[M].PrenticeHall， 2002.