面向云計算的數(shù)據(jù)安全保護關(guān)鍵技術(shù)分析

吳永堂

摘 要 將軟件、硬件等IT資源通過服務的形式提供給網(wǎng)絡用戶的技術(shù)稱為云計算。在服務模式下，用戶只需要將應用、數(shù)據(jù)等保存至云端，方便了用戶對數(shù)據(jù)、應用的使用。但是由于云服務是透明的，用戶對數(shù)據(jù)的控制不強，服務商可信性也難以評估，所以，在云計算環(huán)境下，數(shù)據(jù)的安全性是用戶擔心的主要問題。文章主要針對云計算中數(shù)據(jù)的安全保護技術(shù)進行分析。

關(guān)鍵詞 云計算；數(shù)據(jù)；安全保護；技術(shù)

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）07-0066-01

根據(jù)用戶的服務請求，云計算對數(shù)據(jù)實施相關(guān)操作，所以用戶與云端之間的身份認證時確保數(shù)據(jù)安全的基礎(chǔ)。由于云用戶數(shù)量龐大，對用戶身份的合理、安全、高效的確認稱為服務商遇到的難題。在用戶身份得到確認以后，即可對云提供的數(shù)據(jù)及計算服務進行應用。雖然云服務商的技術(shù)與維護水平較高，但是仍然對數(shù)據(jù)發(fā)生的意外損壞難以避免。從本質(zhì)上來說，云計算中的安全問題其實就是服務方與數(shù)據(jù)所有方之間的信任管理問題，云服務商與用戶之間需要一種數(shù)據(jù)約束，通過技術(shù)與信譽共同促進數(shù)據(jù)的安全。

1 云計算概述

所謂云計算，其實是一個發(fā)展中的概念，對云計算也存在多種解釋，尚無一個確定的定義。整體而言，云計算是一種將虛擬化的資源通過網(wǎng)絡以服務的形式提供給用戶的計算模式，用戶對云計算只有使用的權(quán)利，沒有管理的權(quán)利。云計算主要的特點包含：1）寬帶接入。將軟件、硬件等資源通過網(wǎng)絡以服務形式提供給用戶。2）動態(tài)服務模式。按照用戶需求對云中的資源進行配置與擴展，使資源更具擴展性，提高了資源的利用率。3）虛擬化共享資源。資源在云中以共享的形式存在，實現(xiàn)虛擬化共享。4）按照需求控制資源使用。用戶在對云中的資源進行使用時，按照實際使用量付費，不需要對其它空閑資源付費。云計算在部署方式上包含私有云、社區(qū)云、公有云及混合云的形式。常用的形式為私有云與公有云之間的關(guān)系，如圖1所示。

圖1 幾種云計算的部署

2 云計算面臨的數(shù)據(jù)安全威脅

因為云計算系統(tǒng)規(guī)模比較大，包含諸多用戶的隱私數(shù)據(jù)，切具有復雜性與開放性，其安全性方面也面臨著前所未有的挑戰(zhàn)。其安全威脅主要表現(xiàn)在以下幾個方面：1）數(shù)據(jù)泄露和丟失。在云計算中，對數(shù)據(jù)的安全控制能力并不高，缺乏安全管理機制，容易造成數(shù)據(jù)泄露，不管是國家重要數(shù)據(jù)，還是個人隱私數(shù)據(jù)，一旦泄露或丟失，都會造成嚴重后果。2）共享技術(shù)漏洞。由于云計算是一個數(shù)據(jù)共享中心，共享的程度越高，受到攻擊的點也就越多。3）身份認證機制薄弱。云中集中了大量的應用、數(shù)據(jù)及資源，如果身份認證機制安全性不高，入侵者很容易就能獲取用戶賬號，并登陸用戶虛擬機，實施破壞。4）供應商可靠性難以評估?？煽康姆展淌潜苊庑畔⒈桓`取的有效保證，但是對供應商的可靠性評估存在一定難度。5）應用程序接口不安全。由于云計算應用程序是一個復雜的系統(tǒng)，難以保證其安全性，部分接口或許已經(jīng)被攻擊程序占據(jù)，一旦用戶從該接口進入，就會引發(fā)安全問題。6）云計算的錯誤運行。在技術(shù)應用方面，或許黑客比技術(shù)人員的進步更快，通過非法身份進入后實施破壞。7）未知風險。由于云計算服務是透明的，用戶只能在Web前端交互界面進行使用，對供應商采用的平臺或安全機制完全不了解，對其是否履行服務協(xié)議也難以確認。以上七個方面是根據(jù)云計算自身的特點引發(fā)的安全威脅。

3 云計算數(shù)據(jù)安全保護技術(shù)

3.1 身份認證技術(shù)

云計算中，存在不同服務供應商，用戶的選擇余地非常大，在多種服務形式面前，用戶很有可能出現(xiàn)遺忘或混淆。為了提供良好的用戶體驗，在云計算認證中，提供了單點登錄、聯(lián)合身份認證、PKI等認證技術(shù)。1）單點登錄。是將身份信息安全的傳遞給云服務的能力。允許將本地身份信息管理系統(tǒng)提供其他系統(tǒng)認證，用戶只需要使用一次注冊和登錄，不需要對每一個云服務都注冊與登錄，有效的減輕了用戶的負擔。典型的單點登錄協(xié)議OpenID，是谷歌云服務商提供的單點登錄技術(shù)。2）聯(lián)合身份認證。是對不同的服務商身份信息庫之間建立關(guān)聯(lián)。用戶在使用時登錄一次，即可對多個云平臺進行訪問，省去了多個云平臺登錄的麻煩。該技術(shù)是在單點登錄技術(shù)基礎(chǔ)上實現(xiàn)的。

3.2 靜態(tài)存儲數(shù)據(jù)保護技術(shù)

存儲服務是云提供的一種服務形式，是一種基礎(chǔ)存儲形式，在分布式與虛擬化計算域存儲技術(shù)上，將多個存儲介質(zhì)進行整合后形成大的存儲資源池，將數(shù)據(jù)分配、硬件配置等向用戶屏蔽掉。用戶對存儲資源進行租用，并能進行遠程訪問。在存儲中，數(shù)據(jù)以靜態(tài)方式存儲，數(shù)據(jù)的機密性、隱私性、安全性、完整性等都是用戶關(guān)注的安全問題，同時也是云存儲安全技術(shù)重點研究的內(nèi)容。一般采取對用戶數(shù)據(jù)進行加密的方式保證數(shù)據(jù)的保密性；在數(shù)據(jù)隱私性方面，云服務商除了檢索結(jié)果外，對其他的數(shù)據(jù)內(nèi)容無法獲取，保證不能通過對數(shù)據(jù)內(nèi)容進行分析獲取用戶的隱私。用戶需要與服務商簽訂協(xié)議，一旦出現(xiàn)數(shù)據(jù)泄露或損壞，可以對問題進行問責。

3.3 動態(tài)數(shù)據(jù)隔離保護技術(shù)

對動態(tài)數(shù)據(jù)進行保護主要采用密文處理技術(shù)。首先，隔離機制，采用沙箱機制對云應用進行隔離，通過先知系統(tǒng)中應用程序的權(quán)限，降低環(huán)境對數(shù)據(jù)的干擾與破壞。其次，訪問控制模型機制。云計算系統(tǒng)中，訪問控制是基本安全機制之一，通過權(quán)限管理實現(xiàn)對數(shù)據(jù)資源的保護，防止非授權(quán)訪問。由于云計算系統(tǒng)具有異構(gòu)性、開放性及動態(tài)性，在保護數(shù)據(jù)過程中，需要考慮不同的安全策略、參與者及使用模式等。

4 可信云計算保護技術(shù)

在云計算環(huán)境中，融入可信計算技術(shù)，服務商通過可以信賴的方式為用戶提供云服務，這樣用戶與云服務商之間就會建立起信任關(guān)系。當前，這也是云計算安全領(lǐng)域中的一個重要研究方向?？尚庞嬎憬M織的目的是在計算與通信系統(tǒng)中使用硬件安全模塊條件下的可信計算平臺。從一個初始可信根出發(fā)，通過信息的擴展信任邊界保證系統(tǒng)的可信。可信計算平臺的構(gòu)建如圖2所示。由于云計算是在虛擬環(huán)境下完成的，那么虛擬環(huán)境的安全是可信計算平臺安全的基礎(chǔ)，提高虛擬環(huán)境的可信性主要從以下幾方面進行：1）虛擬機監(jiān)控器安全設計。2）虛擬機監(jiān)控器保護機制。3）虛擬化環(huán)境軟件隔離機制。

圖2 可信計算平臺信任鏈構(gòu)建圖

5 結(jié)束語

本文主要從云計算認證方案，靜態(tài)、動態(tài)數(shù)據(jù)保護技術(shù)及可信云計算平臺構(gòu)建幾個方面對云計算數(shù)據(jù)安全保護技術(shù)進行分析。為了提高云計算數(shù)據(jù)的安全性，還需要根據(jù)網(wǎng)絡信息技術(shù)的發(fā)展，不斷完善各種安全保護技術(shù)。

參考文獻

[1]房秉毅，張云勇，徐雷，藍天.云計算應用模式下移動互聯(lián)網(wǎng)安全分析[J].電信技術(shù)，2011（10）.endprint