云計算平臺中數(shù)據(jù)安全關鍵技術研究

劉其琛++貴穎祺

摘要：教學資源云平臺是在云計算服務模式下，用戶將教學信息資源托管至云端，并委托云計算平臺對數(shù)據(jù)進行計算和管理，雖然云計算平臺具有強大的安全技術實力和周密的安全部署，但仍無法完全避免數(shù)據(jù)遭受侵入和破壞的可能，該文重點研究了云計算平臺中數(shù)據(jù)保護、可信云計算等關鍵技術，為云計算平臺中數(shù)據(jù)的存儲、計算等安全保護機制提供可信的執(zhí)行環(huán)境。

關鍵詞：云計算平臺；數(shù)據(jù)安全；研究

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1009-3044（2017）30-0006-02

1 云計算平臺概述

1.1 云計算定義

云計算這一概念首先是在2006年由Google首席執(zhí)行官埃里克·施密特（Eric Schmidt）在搜索引擎大會上提出。云計算與傳統(tǒng)概念區(qū)別在于，它是將數(shù)據(jù)、運算等分布在大量的分布式計算機上，而不是本地服務器或遠程服務器中。企業(yè)用戶也可以將數(shù)據(jù)中心托管到云端，這樣企業(yè)能夠隨時將資源切換到需要的程序應用上，用戶也可以根據(jù)自身需求訪問存儲系統(tǒng)或計算機，極大地提高了系統(tǒng)和資源的利用效率。云計算還在不斷的發(fā)展中，其概念也存在多樣化，美國國家標準與技術研究院 NIST 給出的定義是[1]：云是一種由一群互聯(lián)的虛擬化計算機組成的并行分布式系統(tǒng)，基于服務提供者和消費者間的服務契約動態(tài)提供統(tǒng)一的計算資源。經過十來年的快速發(fā)展，云計算迅速普及并為信息技術和社會發(fā)展起到了強大的推動作用。

1.2 云計算核心技術

云計算擁有空間大、計算快等特點，其最終目的是將服務、計算和應用作為共享資源向用戶提供，用戶可以根據(jù)需求獲取信息資源。相比傳統(tǒng)信息系統(tǒng)，云計算的實現(xiàn)與三大核心技術應用有密切關系。一是資源分布式存儲和管理技術。分布式存儲技術[2]保證了對數(shù)據(jù)的高伸縮性和高可用性，一方面通過備份存儲的方式來保證數(shù)據(jù)的高可靠性，另一方面，具備對超大數(shù)據(jù)量的分析和處理能力，以同時滿足大量用戶需求，確保高吞吐率和高傳輸率。二是虛擬化技術。虛擬化技術是對云計算資源進行整合和協(xié)調調度，涵蓋整個架構系統(tǒng)，其優(yōu)勢在于把所有硬件、軟件和數(shù)據(jù)隔離開來，實現(xiàn)整體架構的動態(tài)化，以便資源集中管理，提高運行效率。三是并行編程技術。用戶可以通過編程更加方便地使用云平臺資源，并發(fā)處理、數(shù)據(jù)分布、負載均衡等都被抽象到函數(shù)庫中，通過統(tǒng)一接口分布執(zhí)行，可以處理海量數(shù)據(jù)。

1.3 云計算的安全現(xiàn)狀

云計算系統(tǒng)規(guī)模大，信息資源豐富，用戶根據(jù)權限可隨時獲取和存儲，相比傳統(tǒng)模式有著很多的好處。但同時云計算平臺具有更強的開放性和更多的復雜性，也是被攻擊的重點對象，幾乎時時刻刻受到來自外部系統(tǒng)的惡意攻擊，對數(shù)據(jù)的存儲、管理和訪問都存在極大的安全隱患。為了增強云計算的安全統(tǒng)一，2009年，成立了云安全聯(lián)盟（Cloud Security Alliance，CSA），CSA是一個非盈利性組織，其宗旨是“促進云計算安全技術的最佳實踐應用，并提供云計算的使用培訓，幫助保護其他形式的計算”[3]。CSA在成立之后針對體系結構安全、認證和訪問管理、數(shù)據(jù)中心安全、密鑰管理等重點方面進行了論證，并結合實際制定了相關規(guī)范和標準，提出了一些切實可行的解決方案。但在安全方面仍面臨著嚴峻的形勢，一是認證體系仍需完善。用戶將自己最重要的數(shù)據(jù)資源交給云服務商管理，雖然具有使用權限，但沒有最高管理權限，入侵者通過非法操作可以篡改用戶權限和相關信息等。二是數(shù)據(jù)丟失、損壞或泄露的風險存在。用戶或企業(yè)都希望保存在云平臺的數(shù)據(jù)是安全的，其中不乏一些用戶重要信息資料和企業(yè)機密數(shù)據(jù)，這些信息也是黑客最青睞的資源，無論是存儲還是傳輸，都有可能受到攻擊和竊取，一旦數(shù)據(jù)泄露將給用戶帶來不可估量的損失。

2 可信云計算平臺系統(tǒng)安全策略研究

2.1 靜態(tài)數(shù)據(jù)可信存儲

靜態(tài)數(shù)據(jù)在云平臺中以安全存儲為主要目的，云服務商為用戶提供安全、便捷和海量的存儲空間。但同時，云平臺的安全是相對的，如果云服務商的可信賴度不易評估，致使有些數(shù)據(jù)無法正確處理，用戶則需要建立一種可驗證的可信云存儲機制，即一種支持數(shù)據(jù)完整性驗證和動態(tài)更新的方案，使用戶能實時了解云計算平臺信息和數(shù)據(jù)狀態(tài)，若當數(shù)據(jù)受到損壞并程度不嚴重時，能及時取回或還原云端數(shù)據(jù)，確保數(shù)據(jù)安全。根據(jù)云端遠程數(shù)據(jù)完整性驗證需求，建立一種支持數(shù)據(jù)完整性驗證、實時動態(tài)更新的多副本驗證方案，其基本原理是先將數(shù)據(jù)副本文件擴展，然后分發(fā)到和存儲器中，再在相關應答協(xié)議下取回部分數(shù)據(jù)，從而確定驗證方式，判斷云端數(shù)據(jù)是否完整和安全存儲。

2.2 動態(tài)數(shù)據(jù)安全保護

在云計算平臺中，往往一個公共服務進程會同時響應不同用戶的需求，處理各自的信息和數(shù)據(jù)，如果惡意用戶攻擊應用程序漏洞或隱患，就可以肆意竊取、更改其他用戶的權限，篡改或破壞其信息，嚴重影響數(shù)據(jù)安全。基于分散信息流控制思路，為防止由于Saa S應用安全漏洞，導致云平臺用戶數(shù)據(jù)或信息被其他惡意用戶攻擊、非法操作或泄露，對信息或數(shù)據(jù)進行細粒度的標記和追蹤，并通過信息流策略有效控制數(shù)據(jù)流向。分散信息流控制（DIFC）具有用戶自主制定策略，分散授權和容易被監(jiān)測等優(yōu)點，首先建立基于系統(tǒng)命題的分散信息流控制模型，并進一步驗證改模型的安全性和可靠性，然后針對Saa S安全漏洞及攻擊威脅，建立和完善基于DIFC模型的動態(tài)數(shù)據(jù)安全保護體系。該系統(tǒng)可實現(xiàn)對數(shù)據(jù)對象的細粒度標識、記錄和追蹤，在操作系統(tǒng)層面上實現(xiàn)對Saa S應用的支撐，確保進程內部對不同用戶信息和數(shù)據(jù)的隔離與保護。

2.3 可信云計算平臺系統(tǒng)研究

在云計算環(huán)境下，用戶將信息、數(shù)據(jù)和計算托管至云平臺，在享受共享資源的同時也失去了對云端的最高控制權，難以建立用戶對云服務商的完全信任。唯有建立可信云計算平臺才能解決這個問題?？尚旁朴嬎闫脚_是通過一套可信的安全技術，使用戶對遠端的云環(huán)境進行安全監(jiān)理與確認，從而提高用戶對云平臺的信任度[4]。首先，系統(tǒng)對平臺信任鏈傳遞進行形式化建模和安全證明，在信任鏈安全模型的基礎上設計了信任鏈傳遞機制。然后，信任鏈以TPCM為可信根，順序執(zhí)行和加載可信度量，一直將信任傳遞至虛擬機系統(tǒng)，并延伸至相關應用程序，并對可執(zhí)行程序代碼進行度量，在程序運行過程中對已度量過的代碼提供隔離保護，為用戶虛擬機開啟提供了可信的執(zhí)行環(huán)境。在這個基礎上，系統(tǒng)允許用戶將虛擬機鏡像與可信平臺的完整性綁定在一起，建立了用戶對云計算平臺的信任。

3 可信云計算平臺研究展望

對于靜態(tài)數(shù)據(jù)保護除了數(shù)據(jù)的可取回性、信息的完整性驗證及數(shù)據(jù)泄露等問題外，還有數(shù)據(jù)隱私性、機密性的保護等方面要進一步的探索、研究和實踐，以建設更加全面和實用的可信存儲方案。對于動態(tài)數(shù)據(jù)安全保護機制，除了應對共享漏洞和外包服務模式帶來的數(shù)據(jù)安全隱患和威脅，還需制定切實可行的機制，構建可信云計算平臺，建立安全可靠的數(shù)據(jù)執(zhí)行環(huán)境，為云計算平臺中的靜態(tài)和動態(tài)數(shù)據(jù)提供安全保護機制和存儲、計算方案。

參考文獻：

[1] Mell P and Grance T. The NIST Definition of Cloud Computing[R/OL]. （2010-02-11）. http：//c src. ni st. gov/groups/SNS/cloud-computing/cloud-def-v 15.doc.

[2] 江曉慶，楊磊，何斌斌.未來新型計算模式——云計算[J].計算機與數(shù)學工程，2009， 37（10）：5-8.

[3] 周明. 云計算中的數(shù)據(jù)安全相關問題研究[D]. 南京： 南京郵電大學， 2013： 5-6.

[4] 劉婷婷. 面向云計算的數(shù)據(jù)安全保護關鍵技術研究[D].鄭州： 信息工程大學， 2013： 87-88.endprint