关于云计算安全分析

摘要：云计算已经急剧的改变了我们关于基础架构、软件发行和开发模型的一些已有观点。它的出现是革命性的进步，因为它整合了网格计算中的一些元素、效用计算、以及自主计算。随着云计算的普及，由于一些未知的威胁随之引入，信息安全就越来越重要了。该文通过识别独特的安全要求来评估云安全，并提出一种可行的解决办法，也就是引入可信的第三方机构来确保云环境中的安全特性，来消除这些潜在的威胁。

关键词： 云计算；云坏境；可信第三方；计算机网络；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）04-0740-03

The Analysis of Cloud Computing Safety

XIAO Wei， ZHANG Mei

（Guizhou University of Finance and Economics， Guiyang 550004， China）

Abstract： The cloud computing has drastically altered everyone’s perception of infrastructure architectures， software delivery and development models. The emergence of cloud computing is an evolutionary progress， for the cloud computing integrates the elements from grid computing， utility computing and autonomic computing. However， with the popularity of cloud computing， due to some unknown threat introduced， information security is increasingly important. This article evaluated the cloud security by the identification of some unique safety requirements， and proposed a feasible solution， which is by the introduction of the trusted third party to ensure the safety features in the cloud environment， to eliminate the potential threats.

Key words： cloud computing； cloud environment； the trusted third party； computer network； computer safety

云计算是一个革新的信息系统架构，该架构应用越来越广泛，它要求我们重新理解一些传统的计算机相关概念。

随着云计算的普及，它所产生的安全问题受到越来越多的关注。传统的一些防御机制已经失效，需要引入新的安全措施。最近几年，云服务出现了很多安全事故。比如，谷歌在2009年三月份泄露了大量的文档；微软的Azure平台宕机22小时；2011的四月份，亚马逊的EC2服务崩溃，影响甚大。从这些例子我们可以发现，云计算由于其多租户的特性，发生安全事故会造成严重的影响。所以，解决云计算的安全问题就显得尤为重要[15-16]。

1 云计算安全性

1.1 信任[6]

云环境中的信任很大程度上依赖于所选的部署模型，因为数据和应用的管理是外包的或则委托的，所以他们并不被拥有者严格控制。传统架构中，信任是通过有效的安全规则来强制实施的。公有云和社区云中，控制权被委托给了拥有基础设施的组织。当部署一个公有云的时候，基础设施拥有者的控制权被削弱，这样是为了强制实施有效的安全政策，从而让危险降低。这就引入了一系列和威胁，因为云服务基础设备提供商是否值得信任关系到整个云中数据的安全。私有云的基础设施被一个私有组织承诺来管理和操作，这不会引入一些额外的安全问题，因为基础设施拥有者同时也是数据和流程负责人。

最重要的是，云环境使得边界安全的观点不再适用。在一个云计算模型中，什么人在什么地方获取什么样的数据这些都很难被确切定位，传统的基于划分边界来保证整个架构安全的方法也很难在云计算中实施。

本文提出了一个方法，就是在处理涉及到特别安全漏洞的时候，在云环境中通过信任和密码学保证数据的机密性、完整性以及通讯的可靠性，因此我们要引入一个可信的第三方。对于第三方信任的概念，代表了客户对于特殊操作、和该第三方道德素质的信任，同时也是对于其安全系数的认可。客户因为其提供了交易中的安全支持而信任这个第三方。在信息系统中的这个被信任的第三方的作用就是提供终端对终端的安全服务，这些安全服务是可扩展的，它们基于一些标准，而且适用于不同的部分、地理位置和专业领域。引入一个可靠的第三方能够降低传统安全边界的丢失。实质上，它是一个被委派的信任机构，它有责任解决多层次分布式环境中的一些安全问题。

1.2 安全标准

实质上，维护一个信息系统的安全涉及到识别特定的威胁和挑战，这些安全问题需要通过采取合适的对策来解决。云计算因为它的架构设计和特点展现了一些安全优势，这些优势包括安全、数据和程序段的分割，冗余和高可用性的综合。由于其基础设施单一的特点，许多传统的危机被有效的解决，同时一些不同的安全挑战被引入。云计算的一些独特特性要求我们对于可用性和可靠性、数据集成、恢复，以及隐私和审记等诸多方面的评估[20]。

一般来说，安全问题是与机密性、完整性和可用性这些重要方面相关的；这使得它们称为在设计安全系统时的一些基本构造模块。安全性的这几个重要方面，应用于三个资产大类，也就是数据、软件和硬件资源，这些必须要得到很好的保护。云架构提出了独特的安全挑战，我们需要对这些挑战加以详细考虑。要保证云计算的安全，需要让数据有以下特性：保密性，完整性，可用性。保密性是指只有授权的组织或系统能够访问数据，同时能保证一个人的个人信息不被随便公开；完整性是指资源只能通过授权的组织或通过授权的方式来修改和引用数据、软件和硬件；可用性是指一个系统的资源在一个被授权的实体需要的时候能够进入并使用，它是指数据，软件同时也包括硬件在被授权用户需要的时候是可用的。

2 可信任的第三方

我们认为在云中雇佣一个被信任的第三方服务，将导致必要的信任等级的建立，这会提供保密性、完整性和数据通讯可靠性的完美解决方案。引入一个被信任的第三方能够特异性地解决传统安全边界丢失的问题，这是通过产生信任的安全域来达到的。就像Castell所说的，“一个被信任的第三方对于电子交易来说是一个重要的传送商业机密的组织，这是通过商业和技术安全特性来达到的。它提供技术和法律上可靠的方法来执行、帮助、产生独立的对于电子交易的公断证据。它的服务被通过技术，法律，金融和结构方法提供和签署。”[21]

这种基础架构是用以下方法来保证其系统的安全性的：数字证书的和让这些证书正确地匹配。可信的第三方服务不仅由技术，还要通过法律，金融，和结构手段来提供和维护[21-22]。这种通过信任链（通常叫做授权路径）来进行操作上的链接，是为了提供一个形成公钥基础结构的概念的信任网。可信的第三方基于这样几个方面：

2.1 加密

保证数据在网络中安全地流通是一个非常难也高度复杂的问题，特别是当数据修改和数据解密的威胁日益增加的时候。云环境增加了这种复杂性，因为它不仅仅需要保护指向云的通讯安全，还有云主机之间的通讯安全，因为它们缺乏传统的物理连接，所以选择有效的安全的加密方法显得非常重要。幸运的是，PKI让我们在为安全通讯部署IPSec[10]和SSL成为可能。实际中我们是选择前者还是后者取决于我们多样性的需求，前者和所有应用都兼容，但是却需要专门的客户端来加密，而后者却存在于所有的浏览器里面，不需要单独在终端安装客户端。因为很多云服务是通过浏览器实现的，所以相比之下，SSL有着更多的优势。另外，对于主机——主机通讯而言，由于IPSec支持压缩功能，而使之成为更有效率的选择。该文建议，对于主机——主机之间的通讯使用IPSec加密，而对于客户端——主机之间的通讯则使用SSL。

2.2 服务器和客户认证

在一个云环境中，我们需要一个证书机构，它可以验证参与进来的实体，这些认证包括验证物理基础设施服务器，虚拟服务器，环境用户和网络设备。PKI认证机构中心负责在信任的网格中注册信息的时候产生这些需要的证书。换句话说，一个认证机构为所有的包含在云中的物理和虚拟实体建立必要的凭证，因此而建立一个有明确边界的安全域。否则一个云中的实体的边界将非常模糊。

因为云的普及，每一个服务都需要认证，如果不对认证机制做修改，那么，繁杂的认证过程和密码维护会是非常令人头疼的问题。我们需要一个单一认证机制，这个过程可以通过Shibboleth[11]这个软件来提供。考虑到云中不同部分之间的通讯，我们需要一个可通用的标准来进行它们之间数据的认证和验证，通常，我们使用SAML，它是一个基于XML的标准。上述软件对于SAML支持地很好。

2.3 生成安全域

通过引合，加上PKI和Ldap技术，会把我们引入一个相关实体之间的有效信任关系。联合是一组合法的实体共享一个一致同意的政策和规则集，这些规则和政策用来约束在线资源的使用[25]。联合提供了一个结构和合法框架，这个框架使得不同组织之间的认证和授权成为可能。云架构可以被部署到不同的安全域（一个应用或则应用集，它们信任一个共同的，用来认证、授权或则会话管理的安全符号）中，这些域使得联合云形成。联合云是一些子云的集合，这些云能够互相操作，比如通过定义好的接口来交换数据和计算资源。根据基本的联合原则，在一个云联合中，每个单一的云保持其独立性，但是能够与其它联合的云通过标准接口互相操作。一个联合提供结构和法律框架来使得不同组织之间的认证和授权成为可能。

2.4 数据的加密分离

云环境框架中的个人数据和/或敏感数据的保护，成为了成功部署SaS和AaS模型的一个决定性的因素。加密隔离的过程中，计算和数据通过这种方式隐藏以至于它们对于局外人来讲是无形的[26]。加密和完整性，还有数据的私密性都能够通过加密来保护。利用对称和非对称加密（通常称作混合加密）能够提供对称加密的效率同时保持非对称加密的安全。

2.5 基于证书的授权

云环境是一个虚拟的网络，它由几个独立的域组成。在云环境中，资源提供者和用户之间的关系更加特别，而且是动态的，他们不是在同一个安全域中，所以识别用户常常依靠其特点或则性质，而不是先前定义好的身份。这样，传统的基于身份的访问控制模型对它无效，访问决策需要通过用户的特性去决定[27]。通过PKI颁发的证书能够用于网络环境下的用户访问控制。一个例子就是扩展的X.509证书的应用，该证书携带了用户的角色信息。这些证书都是通过证书授权机构颁发的，它们在全球网络环境中扮演者可信的第三方角色[15]。属性证书包含了属性值配对以及它应用于谁。它们由属性管理机构签发，这些授权的属性已经在一个用户环境证书里面制定了。基于属性的访问控制，是基于请求者、资源和环境的属性来做出访问控制决策的，它们提供了灵活性和可扩展性，这对于包括云在内的大尺度分布式系统是非常重要的。

3 结论

不可避免的，云计算将会支持过剩的信息系统，因为它的优点比缺点要多。云计算提供了部署架构，该架构能够解决传统IS公认的缺点，同时它的动态特点也会让传统方法失效。该文中，我们确定了云环境中一般的设计原则，这些原则源于我们控制缺点和威胁的需求。为了做到这些，我们使用了软件工程和信息系统设计方法。云环境中的安全需要我们有一个系统的观点，从这个观点来看，安全将建立在信任之上，安全的责任转移到信任的第三方。综合PKI，LDAP和SSO能够解决云计算中与完整性、机密性、可靠性以及数据和通讯可用性相关的大部分公认的威胁。这个解决办法呈现了水平层面的服务，这种服务对于所有相关的实体都是可用的，它通过云联合实现了一个安全的网格，在这个网格中维持着一些很重要的信任关系。

参考文献：

[1] 刘鹏.云计算[M]. 2版.北京：电子工业出版社，2011.

[2] 张为民.云计算深刻改变未来[M]. 北京：科学出版社，2009.

[3] 付智慧.云计算实施存在的问题[J].电脑知识与技术，2009（32）.

[4] 郭春梅，毕学尧，杨帆.云计算安全技术研究与趋势[J].信息网络安全，2010（4）.

[5] 钟晨晖.云计算的主要特征及应用[J].软件导刊，2009（10）.

[6] 林兆骥，付雄，王汝传，韩志杰.云计算安全关键问题研究[J].信息化研究，2011（2）.

[7] 何明，郑翔，赖海光，姜峰.云计算技术发展及应用探讨[J].电信科学，2010（5）.

[8] 陈晓玲.浅谈云计算[J]. 科技信息，2010（32）.

[9] 韩金华.云计算综述[J]. 企业技术开发， 2010（15）.

[10] 郑牡丹. 云计算理论初探[J]. 硅谷， 2011（12）.

[11] 赵治斌.浅述云计算[J]. 科技信息，2010（24）.

[12] 陈晓玲.浅谈云计算[J]. 科技信息， 2010（32）.

[13] 蒋林涛.对云计算中若干问题的思考[J].电信科学，2011（3）.

[14] 程国江.云计算简介及应用前景[J].中国新技术新产品，2011（8）.

[15] Dikaiakos M D， Katsaros D， Mehra P， et al. Cloud Computing： Distributed Internet Computing for IT and Scientific Research[C]. IEEE Internet Comput，2009，13： 10–13.

[16] Amazon Web Services. Amazon Virtual private Cloud[EB/OL]. http：///vpc/.

[17] Merrill Lynch.The cloud wars： $100+ billion at stake[Z].2008.

[18] Reese G.Cloud Application Architectures： Building Applications and Infrastructure in the Cloud[C]. TheoryinPractice，O’ReillyMedia，2009.

[19] Rajkumar B，Yeo C，Venugopal S，et al. Cloud computing and emerging IT platforms： vision， hype， and reality for delivering computing as the 5th utility[J].Future Generation Computer Systems，2009，25（6）.

[20] Nagarajan A， Varadharajan V.Dynamic trust enhanced security model for trusted platform based[C]. Future Generation Computer Systems ，2010.

[21] Gartner. Assessing the security risks of cloud computing[Z].Gartner，2008.

[22] Castell S.Code of practice and management guidelines for trusted thirdparty services[R].INFOSEC Project Report S2101/02，1993.

[23] Commission of the European Community. Green paper on the security of Information systems， ver. 4.2.1[S].1994.

[24] Alshamsi A，Saito T. A technical comparison of IPSec and SSL[Z].Cryptology ，2004.

[25] Internet 2， Shibboleth [EB/OL].（2007）[2010-10-11].http：//shibboleth.internet2.edu/.

[26] UK Federation Information Centre，UK federation information centre[Z].2007.

[27] Pfleeger C P， Pfleeger S L.Security in Computing[M].PrenticeHall， 2002.