單強

聊城市茌平區(qū)職業(yè)教育中心學(xué)校，山東聊城，252100

0 引言

云計算技術(shù)是一個全新的計算技術(shù)模型，主要是以業(yè)務(wù)外包、網(wǎng)絡(luò)資源租賃和應(yīng)用托管為核心內(nèi)容的計算機技術(shù)。通過云計算技術(shù)，將計算任務(wù)分布于由計算機網(wǎng)絡(luò)所構(gòu)建的資源架構(gòu)中，使用者就能夠得到相關(guān)的資訊業(yè)務(wù)、運算服務(wù)。而云計算服務(wù)實際上也反映了信息技術(shù)產(chǎn)業(yè)的服務(wù)宗旨，為利用互聯(lián)網(wǎng)訪問其他業(yè)務(wù)網(wǎng)絡(luò)資源、進行信息共享提供了很大的方便。但是，這種集中式數(shù)據(jù)儲存系統(tǒng)固然方便，但也會對應(yīng)用安全構(gòu)成巨大威脅。所以，深入分析計算機云計算的安全服務(wù)體系結(jié)構(gòu)是十分必要的。為增強云計算業(yè)務(wù)的穩(wěn)定性，本文就云計算技術(shù)的安全傳輸體系與安全框架進行了闡述。

1 云計算的本質(zhì)及安全問題分析

1.1 云計算的本質(zhì)

云計算的本質(zhì)其實是一種服務(wù)模式的改變。云計算的應(yīng)用質(zhì)量直接關(guān)系著云計算服務(wù)是否被商業(yè)應(yīng)用和市場認(rèn)可，也決定著服務(wù)中安全措施的重要性。而且，通過云計算技術(shù)，企業(yè)不但能使用自身的程序為個人和企業(yè)服務(wù)，還可以按照自身的需求特點委托其他企業(yè)為企業(yè)研發(fā)相應(yīng)的應(yīng)用軟件。最后，云計算技術(shù)企業(yè)不受時間和空間的約束，這是最先進的服務(wù)模式。

1.2 云計算安全問題

云計算安全問題有很多種類型，主要包括以下方面。①關(guān)于云計算服務(wù)提供者的安全。其中的安全性問題，主要來源于使用者賬號、數(shù)據(jù)的安全性以及是否出現(xiàn)了信息泄漏問題，由云計算服務(wù)提供者處理。②云計算的安全問題主要來源于使用者在獲得云計算服務(wù)過程中的應(yīng)用安全性。這方面的安全重點是針對用戶存放在云端的最主要資料和財務(wù)數(shù)據(jù)的安全性。解決方案則是通過相關(guān)安全措施，隱藏在保險柜內(nèi)，經(jīng)加密后再存放于云端，不依靠服務(wù)提供商的擔(dān)保。③個人賬戶安全性管理也是云計算安全問題的一個突出方面。個人用戶必須充分重視并維護自身賬戶的安全性，以防止不法分子在使用云服務(wù)之后盜取個人賬戶，減少后續(xù)損失[1]。

2 云計算建設(shè)下的突出研究領(lǐng)域分析

2.1 云基礎(chǔ)設(shè)施業(yè)務(wù)

云基礎(chǔ)設(shè)施業(yè)務(wù)的問題主要涉及云計算存儲、運算、網(wǎng)絡(luò)安全等。云基礎(chǔ)設(shè)施業(yè)務(wù)的安全能夠很大程度地提高云計算上層業(yè)務(wù)的穩(wěn)定性。經(jīng)驗研究也證明，在云端所提供的安全性服務(wù)是不被作為入侵目標(biāo)的關(guān)鍵安全保證。所以，未來云計算技術(shù)的研發(fā)重心必須轉(zhuǎn)向云端本身的安全，而相關(guān)的解決方案，還可從容災(zāi)備份、設(shè)置監(jiān)控體系等方面著手。

2.2 云環(huán)境的可信控制

云環(huán)境的可信管理重點是保障云環(huán)境數(shù)據(jù)的安全以及消費者隱私安全問題。其可通過建立可信的信息訪問控制平臺來實現(xiàn)，即其可提高云端計算資源的集中化與可視化，進而提高信息服務(wù)的保障效果。而且，基于云環(huán)境的業(yè)務(wù)模式特點以及云數(shù)據(jù)處理中物理位置的不確定性，用戶無法更好地調(diào)查和判斷云的安全性。所以，通過云平臺可信管理能夠最大程度地實現(xiàn)對數(shù)據(jù)存儲的管理功能與信任，從而最大程度地提升了云的安全服務(wù)的有效性[2]。

2.3 云傳輸安全管理

云傳輸安全管理是指用戶將數(shù)據(jù)交由云端進行管理，從而使云端成為一個集中的安全站點，利用傳輸方式進行多樣化的不受限制的操作。據(jù)調(diào)查，微軟曾出現(xiàn)用戶郵件信息延遲發(fā)生的紕漏，其主要原因就是在云數(shù)據(jù)傳輸?shù)陌踩夹g(shù)上出現(xiàn)了一些漏洞，所以建立和完善寬帶數(shù)據(jù)傳輸系統(tǒng)與云的配套基礎(chǔ)設(shè)施，是保證中國云計算業(yè)務(wù)蓬勃發(fā)展的基礎(chǔ)。

2.4 云安全應(yīng)用服務(wù)

云安全服務(wù)問題主要反映在云安全服務(wù)的特點上，這就要求服務(wù)提供者與應(yīng)用者間要多進行溝通和合作。而用戶對復(fù)雜的安全性要求，極大地影響了云應(yīng)用的安全性和防病毒管理。因此，80%的IT從業(yè)者擔(dān)心有人惡意竊取客戶數(shù)據(jù)、軟件供應(yīng)和黑客盜竊，尤其是共享信息的不安全性。綜上所述，云安全問題一直是云計算技術(shù)中令人擔(dān)憂的問題，不斷完善和強化云安全系統(tǒng)將是一個迫切而重大的問題[3]。

3 云計算環(huán)境下的數(shù)據(jù)存儲體系結(jié)構(gòu)

3.1 數(shù)據(jù)中心

數(shù)據(jù)中心以開放標(biāo)準(zhǔn)和高服務(wù)質(zhì)量為基石，以網(wǎng)絡(luò)為中樞，提供安全、高速、簡單的數(shù)據(jù)儲存業(yè)務(wù)和網(wǎng)絡(luò)運算業(yè)務(wù)，將互聯(lián)網(wǎng)云上的所有計算機組成了多個功能強大的數(shù)據(jù)中心和計算中心。虛擬化數(shù)據(jù)中心是指構(gòu)建一種可運行、可控的云計算服務(wù)網(wǎng)絡(luò)平臺，使用虛擬化技術(shù)把基礎(chǔ)設(shè)施資源和設(shè)備封裝起來，成為用戶能夠靈活應(yīng)用的業(yè)務(wù)。具體來說，即為租賃的客戶提供標(biāo)準(zhǔn)化服務(wù)，如存儲、服務(wù)器、使用、開發(fā)平臺等資源，并提供全新的數(shù)據(jù)中心增值業(yè)務(wù)，以增加服務(wù)價值和贏利能力。應(yīng)用層的業(yè)務(wù)模塊分為互聯(lián)網(wǎng)業(yè)務(wù)（Mashup、網(wǎng)絡(luò)聚合應(yīng)用）和軟件業(yè)務(wù)。網(wǎng)絡(luò)服務(wù)者利用API，把云計算等彈性數(shù)據(jù)中心的大數(shù)據(jù)資源應(yīng)用到自身的應(yīng)用中，從而形成了新的Mashup服務(wù)，如Google Maps ADP工資管理流程、美國郵電業(yè)務(wù)傳統(tǒng)信用卡處理業(yè)務(wù)等平臺調(diào)用業(yè)務(wù)。SaaS應(yīng)用統(tǒng)一部署到云計算彈性數(shù)據(jù)中心服務(wù)器上，客戶可按照實際需求向云計算彈性數(shù)據(jù)中心租賃所需要的服務(wù)，并按照租賃業(yè)務(wù)的種類和時間繳納服務(wù)費，從而通過網(wǎng)絡(luò)獲得最高服務(wù)質(zhì)量。云計算彈性數(shù)據(jù)中心主要負(fù)責(zé)應(yīng)用軟件的更新與保護。

3.2 服務(wù)水平協(xié)議

服務(wù)級別協(xié)定（SLA）是現(xiàn)行云環(huán)境條件中信息服務(wù)方間必要的協(xié)定。在這方面，SLA是云信息能力和產(chǎn)品質(zhì)量的法定保證。除此之外，SAL還包括量化服務(wù)補償制度，即需要在每個SLA中精確界定服務(wù)質(zhì)量等級，否則雙方將無法就SLA中將以何種質(zhì)量衡量什么樣的服務(wù)質(zhì)量以及性能準(zhǔn)則而達成協(xié)議。因此規(guī)范SLA，至少應(yīng)當(dāng)涵蓋如下三方面內(nèi)容：服務(wù)的質(zhì)量等級目標(biāo)、默認(rèn)處理方法以及規(guī)則例外。

3.3 云服務(wù)接口

API是云計劃模式的另一個功能，通過程序接口將授權(quán)使用者自動選擇,并編程以控制計算服務(wù)和資源?；谠朴嬎惴?wù)交付模式（SPI），應(yīng)用程序編程接口可以用不同的形式描述，從單純的URL操作到更高級程序模式，例如SOA就采取了這樣的結(jié)構(gòu)。同時應(yīng)用程序編程接口還可以發(fā)揮云計算技術(shù)的潛能，從而在當(dāng)前IT管理程序和實踐環(huán)境中，解決了云計算服務(wù)的復(fù)雜性問題。

4 自主可控云安全體系的構(gòu)建

主動控制的云安全管理體系構(gòu)建，必須從云安全綜合防御系統(tǒng)、云環(huán)境的可信管理平臺系統(tǒng)、可信鏈路傳輸平臺系統(tǒng)以及云安全管理綜合防護系統(tǒng)的構(gòu)建開始。因此，建立一個整體的云安全防護系統(tǒng)就必須調(diào)整云安全防護系統(tǒng)的部署方式，并實現(xiàn)云安全基礎(chǔ)設(shè)施服務(wù)。另外，還必須針對用戶的個性化要求加以配置，實現(xiàn)各種安全服務(wù)引擎在數(shù)據(jù)中心的最高性能。同時，還需要兼顧在云環(huán)境中保存的大數(shù)據(jù)的可持續(xù)性、基礎(chǔ)設(shè)施和硬件設(shè)備的穩(wěn)定性以及系統(tǒng)軟件的完整性，盡最大努力地實現(xiàn)數(shù)據(jù)聚合過程中的基本安全保障功能；云環(huán)境可信平臺系統(tǒng)，可以通過用戶對云環(huán)境安全性的認(rèn)識和可驗證性來實現(xiàn)，以大數(shù)據(jù)流程為節(jié)點，實現(xiàn)大數(shù)據(jù)在儲存、傳遞和處理中的可靠性，從而提高用戶對云環(huán)境安全性的信任；可信新聞鏈路交付平臺系統(tǒng)，主要是用來提高云計算安全業(yè)務(wù)體系的新聞可靠性，以保障應(yīng)用服務(wù)。其中，可信訪問問題是在認(rèn)證用戶相關(guān)申請和連接云運算資源時出現(xiàn)的可信問題，并最終完成了云計算能力的安全性保障；最后，云安全管理防御體系將能夠加固安全，并保護主機、互聯(lián)網(wǎng)和應(yīng)用層的安全性。云安全管理防護系統(tǒng)還包含了云安全監(jiān)測平臺、云安全響應(yīng)平臺以及云安全恢復(fù)策略。上述三級云信息安全管理防護體系能夠深入解析安全威脅，增強預(yù)警風(fēng)險，協(xié)調(diào)安全性信息反饋，實施阻斷與修復(fù)。云信息安全管理防御體系以可信的鏈接平臺體系為內(nèi)核，透過對用戶身份驗證、數(shù)據(jù)加密、授權(quán)管控等多層次的安全控制，形成了云信息安全管理防御系統(tǒng)的總體架構(gòu)。

4.1 應(yīng)用的安全服務(wù)需求

為實現(xiàn)云計算安全服務(wù)架構(gòu)，應(yīng)當(dāng)考慮應(yīng)用的安全服務(wù)需求。根據(jù)分層保護理念，應(yīng)用式信息安全咨詢服務(wù)的功能大致分為：身份認(rèn)證、使用限制、信息安全審核、數(shù)據(jù)信息完整度、信息安全與保密、軟件容錯性和資源管理[4]。

4.2 云計算環(huán)境下的身份認(rèn)證和訪問控制

基于傳統(tǒng)識別技術(shù)應(yīng)用的單因素識別或多因素識別是基于多因素提供合理的識別服務(wù)。簡而言之，最常見的方法就是：靜態(tài)密鑰驗證、動態(tài)密鑰驗證和數(shù)字證書認(rèn)證。在這些機制中，服務(wù)器通常由應(yīng)用程序或（統(tǒng)一）身份驗證服務(wù)進行身份驗證，并提交給訪問控制管理。云計算環(huán)境下的身份認(rèn)證和訪問控制應(yīng)用模式與傳統(tǒng)信息系統(tǒng)環(huán)境下的應(yīng)用模式有以下不同。

4.2.1 身份鑒別實體多樣化

在云計算環(huán)境中，身份認(rèn)證的實體不僅僅是用戶，身份認(rèn)證的角色不僅僅是應(yīng)用授權(quán)。具體而言，在云計算環(huán)境中，需要識別的信息資源包括任何軟件信息資源，即用戶、終端、物聯(lián)網(wǎng)識別、SaaS、虛擬機（VM）、虛擬子網(wǎng)（VLAN）/安全組等。盡管需要用戶授權(quán)，但實際上，虛擬機或虛擬子網(wǎng)/安全組的身份驗證也將應(yīng)用于數(shù)據(jù)資源保護、數(shù)據(jù)隔離和（虛擬化）網(wǎng)絡(luò)邊界保護等安全要求。

4.2.2 跨域身份驗證和權(quán)限轉(zhuǎn)移

由于虛擬化環(huán)境的存在，安全域的分配在最初的建設(shè)中沒有定義，且不是不變的，而是一種隨時可調(diào)整的動態(tài)管理機制。因此，在這樣的環(huán)境下，身份識別和身份認(rèn)證的安全措施需要支持隨時可能發(fā)生的安全域調(diào)整，即支持跨域認(rèn)證和權(quán)限轉(zhuǎn)移的能力。

4.2.3 身份識別監(jiān)測和審計

在大多數(shù)傳統(tǒng)信息系統(tǒng)中，身份認(rèn)證的監(jiān)控和審核不是以特殊的方式構(gòu)建的，也不是由應(yīng)用程序本身完成的，缺乏對記錄的完整性、粒度和安全性管理。云計算對這一部分提出了很高的要求。信息環(huán)境下的實體識別記錄是完善多種安全機制的重要保證[5]。

4.3 數(shù)據(jù)安全傳輸系統(tǒng)

云計算的數(shù)據(jù)安全傳輸系統(tǒng)，主要包含四個部分。①客戶端，在該端口上，通過主要調(diào)用的交互界面發(fā)出相關(guān)申請業(yè)務(wù)，控制服務(wù)中心接受和管理業(yè)務(wù)申請，通過存儲在云中的業(yè)務(wù)信息獲得相應(yīng)數(shù)據(jù)，并把得到的數(shù)據(jù)反饋給客戶端。②交換界面，主要交換用戶數(shù)字資料的格式，具備用戶驗證、使用授權(quán)管理等功能。③控制中心，主要負(fù)責(zé)和管理用戶的個人信息數(shù)據(jù)，并將其保存到中心計算機的數(shù)據(jù)管理池中。④云，負(fù)責(zé)保護用戶的操作及數(shù)據(jù)。

5 云計算安全架構(gòu)

5.1 可信根安全架構(gòu)

可信根用來維護云計算使用主體的信任，為云計算技術(shù)創(chuàng)造一個安全的環(huán)境，這也是現(xiàn)代云計算技術(shù)架構(gòu)設(shè)計的出發(fā)點?？尚鸥軌蚍乐箶?shù)據(jù)計算與傳播過程中的安全危險，及時發(fā)現(xiàn)并處置不可信事項，這也是云計算安全架構(gòu)設(shè)計的終極目的。在可信根的設(shè)計中，首先要對提供商在功能與時間上的權(quán)限進行限制，一旦發(fā)現(xiàn)提供商的操作超出權(quán)限就會立刻被限制。同時，在確保安全性的前提下，各個主體的使用權(quán)都可能發(fā)生變化，最典型的代表就是可信平臺模塊的安全架構(gòu)。

5.2 隔離安全體系結(jié)構(gòu)

為確保應(yīng)用數(shù)據(jù)的安全與保密性，應(yīng)用在數(shù)據(jù)操作過程中都必須在獨立的環(huán)境中運行，以保護應(yīng)用信息安全，并減少應(yīng)用間的相互影響，這也是云計算安全框架建設(shè)時必須考慮的問題。目前，隔離安全體系結(jié)構(gòu)主要設(shè)計在軟件隔離和硬件隔離兩個階段，其主要目的是為使用者創(chuàng)造安全隔離的云計算鏈接[6]。

5.3 安全服務(wù)架構(gòu)

針對用戶的業(yè)務(wù)差異制定了不同的保護措施，而統(tǒng)一設(shè)置安全配置不但會耗費大量資源，而且也無法適應(yīng)不同用戶的要求。所以，在計算機云計算架構(gòu)的建筑設(shè)計中，必須借助SOA概念為應(yīng)用提供安全服務(wù)，在計算機云計算架構(gòu)的建筑設(shè)計中必須引入安全服務(wù)的基本概念，為應(yīng)用定制不同的安全服務(wù)方案，而這一架構(gòu)的設(shè)計也引起了業(yè)內(nèi)的普遍關(guān)注與重視。

5.4 可管控的安全架構(gòu)

在可信根安全性構(gòu)架的設(shè)計中，云端運算的安全性問題一般是依靠可信運算的結(jié)果來解決的，而由于這個結(jié)構(gòu)在設(shè)計上往往有著嚴(yán)苛的硬件需求，甚至違反了有關(guān)云計算技術(shù)經(jīng)濟性和開放性的規(guī)定，從而不能充分發(fā)揮已有資源。隔離云端運算結(jié)構(gòu)主要目的是為每個用戶創(chuàng)造一種安全可靠、封閉式的云計算環(huán)境，并為用戶提供量身定做的信息安全咨詢服務(wù)。但是，由于這個結(jié)構(gòu)的設(shè)計將不可避免地造成資源利用率的不足、用戶雙方無法協(xié)同和管理成本增加，因此盡管SOA結(jié)構(gòu)的設(shè)計中充分考慮了應(yīng)用要求的不同，提出了云計算技術(shù)安全性架構(gòu)設(shè)計方法，為用戶提出了相應(yīng)的安全服務(wù)，卻沒有具體的辦法來獲取服務(wù)提供者與用戶雙方的安全服務(wù)。所以，可控安全框架的設(shè)計正是在以上三點的基礎(chǔ)上，再綜合三種構(gòu)架的優(yōu)點，進而設(shè)計出的一種高度可控的、可測試的計算機虛擬化安全框架。

6 結(jié)語

伴隨著互聯(lián)網(wǎng)時代的到來，云計算技術(shù)也獲得了發(fā)展。數(shù)據(jù)儲存與傳輸?shù)陌踩珕栴}受到了人們的廣泛重視。在云計算傳輸過程中，為提高數(shù)據(jù)信息的安全性，人們專門設(shè)計了計算機云計算的安全框架，從而形成了安全可靠的云計算環(huán)境。在本文中，筆者從云計算的概念及相關(guān)應(yīng)用入手，闡述了云計算安全服務(wù)的重要性，并進一步對云計算安全服務(wù)架構(gòu)做出探究，希望能為我國云計算服務(wù)的發(fā)展做出貢獻。