面向云计算的数据安全保护关键技术分析

摘 要 将软件、硬件等IT资源通过服务的形式提供给网络用户的技术称为云计算。在服务模式下，用户只需要将应用、数据等保存至云端，方便了用户对数据、应用的使用。但是由于云服务是透明的，用户对数据的控制不强，服务商可信性也难以评估，所以，在云计算环境下，数据的安全性是用户担心的主要问题。文章主要针对云计算中数据的安全保护技术进行分析。

关键词 云计算；数据；安全保护；技术

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）07-0066-01

根据用户的服务请求，云计算对数据实施相关操作，所以用户与云端之间的身份认证时确保数据安全的基础。由于云用户数量庞大，对用户身份的合理、安全、高效的确认称为服务商遇到的难题。在用户身份得到确认以后，即可对云提供的数据及计算服务进行应用。虽然云服务商的技术与维护水平较高，但是仍然对数据发生的意外损坏难以避免。从本质上来说，云计算中的安全问题其实就是服务方与数据所有方之间的信任管理问题，云服务商与用户之间需要一种数据约束，通过技术与信誉共同促进数据的安全。

1 云计算概述

所谓云计算，其实是一个发展中的概念，对云计算也存在多种解释，尚无一个确定的定义。整体而言，云计算是一种将虚拟化的资源通过网络以服务的形式提供给用户的计算模式，用户对云计算只有使用的权利，没有管理的权利。云计算主要的特点包含：1）宽带接入。将软件、硬件等资源通过网络以服务形式提供给用户。2）动态服务模式。按照用户需求对云中的资源进行配置与扩展，使资源更具扩展性，提高了资源的利用率。3）虚拟化共享资源。资源在云中以共享的形式存在，实现虚拟化共享。4）按照需求控制资源使用。用户在对云中的资源进行使用时，按照实际使用量付费，不需要对其它空闲资源付费。云计算在部署方式上包含私有云、社区云、公有云及混合云的形式。常用的形式为私有云与公有云之间的关系，如图1所示。

图1 几种云计算的部署

2 云计算面临的数据安全威胁

因为云计算系统规模比较大，包含诸多用户的隐私数据，切具有复杂性与开放性，其安全性方面也面临着前所未有的挑战。其安全威胁主要表现在以下几个方面：1）数据泄露和丢失。在云计算中，对数据的安全控制能力并不高，缺乏安全管理机制，容易造成数据泄露，不管是国家重要数据，还是个人隐私数据，一旦泄露或丢失，都会造成严重后果。2）共享技术漏洞。由于云计算是一个数据共享中心，共享的程度越高，受到攻击的点也就越多。3）身份认证机制薄弱。云中集中了大量的应用、数据及资源，如果身份认证机制安全性不高，入侵者很容易就能获取用户账号，并登陆用户虚拟机，实施破坏。4）供应商可靠性难以评估。可靠的服务供应商是避免信息被窃取的有效保证，但是对供应商的可靠性评估存在一定难度。5）应用程序接口不安全。由于云计算应用程序是一个复杂的系统，难以保证其安全性，部分接口或许已经被攻击程序占据，一旦用户从该接口进入，就会引发安全问题。6）云计算的错误运行。在技术应用方面，或许黑客比技术人员的进步更快，通过非法身份进入后实施破坏。7）未知风险。由于云计算服务是透明的，用户只能在Web前端交互界面进行使用，对供应商采用的平台或安全机制完全不了解，对其是否履行服务协议也难以确认。以上七个方面是根据云计算自身的特点引发的安全威胁。

3 云计算数据安全保护技术

3.1 身份认证技术

云计算中，存在不同服务供应商，用户的选择余地非常大，在多种服务形式面前，用户很有可能出现遗忘或混淆。为了提供良好的用户体验，在云计算认证中，提供了单点登录、联合身份认证、PKI等认证技术。1）单点登录。是将身份信息安全的传递给云服务的能力。允许将本地身份信息管理系统提供其他系统认证，用户只需要使用一次注册和登录，不需要对每一个云服务都注册与登录，有效的减轻了用户的负担。典型的单点登录协议OpenID，是谷歌云服务商提供的单点登录技术。2）联合身份认证。是对不同的服务商身份信息库之间建立关联。用户在使用时登录一次，即可对多个云平台进行访问，省去了多个云平台登录的麻烦。该技术是在单点登录技术基础上实现的。

3.2 静态存储数据保护技术

存储服务是云提供的一种服务形式，是一种基础存储形式，在分布式与虚拟化计算域存储技术上，将多个存储介质进行整合后形成大的存储资源池，将数据分配、硬件配置等向用户屏蔽掉。用户对存储资源进行租用，并能进行远程访问。在存储中，数据以静态方式存储，数据的机密性、隐私性、安全性、完整性等都是用户关注的安全问题，同时也是云存储安全技术重点研究的内容。一般采取对用户数据进行加密的方式保证数据的保密性；在数据隐私性方面，云服务商除了检索结果外，对其他的数据内容无法获取，保证不能通过对数据内容进行分析获取用户的隐私。用户需要与服务商签订协议，一旦出现数据泄露或损坏，可以对问题进行问责。

3.3 动态数据隔离保护技术

对动态数据进行保护主要采用密文处理技术。首先，隔离机制，采用沙箱机制对云应用进行隔离，通过先知系统中应用程序的权限，降低环境对数据的干扰与破坏。其次，访问控制模型机制。云计算系统中，访问控制是基本安全机制之一，通过权限管理实现对数据资源的保护，防止非授权访问。由于云计算系统具有异构性、开放性及动态性，在保护数据过程中，需要考虑不同的安全策略、参与者及使用模式等。

4 可信云计算保护技术

在云计算环境中，融入可信计算技术，服务商通过可以信赖的方式为用户提供云服务，这样用户与云服务商之间就会建立起信任关系。当前，这也是云计算安全领域中的一个重要研究方向。可信计算组织的目的是在计算与通信系统中使用硬件安全模块条件下的可信计算平台。从一个初始可信根出发，通过信息的扩展信任边界保证系统的可信。可信计算平台的构建如图2所示。由于云计算是在虚拟环境下完成的，那么虚拟环境的安全是可信计算平台安全的基础，提高虚拟环境的可信性主要从以下几方面进行：1）虚拟机监控器安全设计。2）虚拟机监控器保护机制。3）虚拟化环境软件隔离机制。

图2 可信计算平台信任链构建图

5 结束语

本文主要从云计算认证方案，静态、动态数据保护技术及可信云计算平台构建几个方面对云计算数据安全保护技术进行分析。为了提高云计算数据的安全性，还需要根据网络信息技术的发展，不断完善各种安全保护技术。

参考文献

[1]房秉毅，张云勇，徐雷，蓝天.云计算应用模式下移动互联网安全分析[J].电信技术，2011（10）.