云計算網(wǎng)絡(luò)安全現(xiàn)狀與思考

摘要：在信息時代發(fā)展過程中，云計算作為一種新的信息技術(shù)能夠有效提升資源利用率，逐步成為信息時代的主流，隨著云計算的發(fā)展可信云計算以及云計算安全的問題也逐步凸顯。在實際應(yīng)用過程中，可信云計算技術(shù)與安全云計算技術(shù)二者，可獨自為用戶提供服務(wù)，又可進行有效組合，構(gòu)成云計算網(wǎng)絡(luò)安全技術(shù)，以此提升云計算的安全性?；诖吮疚膹脑朴嬎阒謱υ朴嬎憔W(wǎng)絡(luò)安全典型技術(shù)與問題進行探究，并提出云計算網(wǎng)絡(luò)的安全應(yīng)用策略，旨在為日后相關(guān)人員的研究提供參考。

關(guān)鍵詞：云計算技術(shù)；網(wǎng)絡(luò)運行安全；網(wǎng)絡(luò)發(fā)展

隨著信息時代的到來，近幾十年信息技術(shù)不斷發(fā)展，致使人類社會已經(jīng)逐漸在互聯(lián)網(wǎng)的影響中，互聯(lián)網(wǎng)不斷發(fā)展和優(yōu)化，形成云計算。而在云計算運轉(zhuǎn)過程中，主要安全問題仍是影響其運轉(zhuǎn)安全性的首要問題，相關(guān)人員應(yīng)對企業(yè)進行研究運用相關(guān)方式進行優(yōu)化，以此提升網(wǎng)絡(luò)發(fā)展的安全性和穩(wěn)固性。

一、云計算概述

云計算這個理念最初是由美國國家標準化技術(shù)研究所（NIST）提出的，概念認為云計算本質(zhì)上是一種新的資源使用模式，即網(wǎng)絡(luò)、服務(wù)、應(yīng)用等可以被配置的計算資源，并且這種數(shù)據(jù)資源能夠迅速地合理配置，而且能夠用很小的代價或者僅需要通過云服務(wù)提供商完成少量的操作，就能夠完成大數(shù)據(jù)的發(fā)布[1]。從理論上也不難發(fā)現(xiàn)，虛擬化正是由于把巨大的運算任務(wù)轉(zhuǎn)移到由大型運算群集和更大型的數(shù)據(jù)中心所組成的運算資源池中，使運行管理系統(tǒng)能夠按需提供資金，得到所用的儲存、運算以及其他各種業(yè)務(wù)，同時借助互聯(lián)網(wǎng)把這些計算資源按需求租用給消費者。但云計算的出現(xiàn)，帶來了可信云計算和云計算安全問題。目前大多數(shù)可信計算方法基于當?shù)赜嬎銠C可信度的計算。然而，在云計算時代，云交互的核心是人才，而人才則是核心的信任來源，因此，傳統(tǒng)的信任計算方法已經(jīng)無法應(yīng)用，可信云計算是取代了基于人類的可靠性計算的一條全新的技術(shù)途徑。另外，目前大多數(shù)的反病毒程序的可信計算目標是本地的信任根。但是，在云交互過程中，惡意的使用者和黑客都會襲擊他們的資料中心。所以，云計算的安全性應(yīng)當更多地將注意力轉(zhuǎn)向識別可信的和非可信的，并且基于可信的用戶身份驗證對潛在的惡意攻擊。

二、云計算網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹

（一）密文檢索與處理

當資料轉(zhuǎn)換為加密文本時，會失去很多其他屬性，這就是造成大部分資料解析法失敗的原因。①以安全性指標為基礎(chǔ)的方式，為密文的關(guān)鍵字創(chuàng)建一個安全的指標，可以對索引的關(guān)鍵字進行搜索。②一種以密碼方式進行加密的方式，對密碼文本中的各個字進行比較，確定有沒有關(guān)鍵字，并對其產(chǎn)生的頻率進行計數(shù)。本文重點討論了保密同態(tài)密碼的實現(xiàn)方法。盡管在學(xué)者們的不懈探索和實踐中，密碼文本的搜索和數(shù)據(jù)的整理已經(jīng)有了很大的進展，但是這個技術(shù)的實現(xiàn)，仍然任重而道遠。

（二）可信訪問控制

在云模型中，利用非常規(guī)的存取方式實現(xiàn)對數(shù)據(jù)的存取，即可信訪問控制問題，具體可應(yīng)用以下幾種方式進行可信訪問控制：①存取控制的加密技術(shù)，主要內(nèi)容有：采用分層密鑰產(chǎn)生和分發(fā)機制實現(xiàn)存取控制；使用基于特征的密碼算法（例如，KP-ABE是以KP-ABE為基礎(chǔ)的密鑰法則），或者是以CP-ABE為基礎(chǔ)的密碼規(guī)則；采用 Agent再密碼算法；將存取控制樹的方式隱藏到使用者的密碼或密碼中。②取消授權(quán)，其中最基礎(chǔ)的一種方法是設(shè)定密鑰的無效時刻，然后通過驗證中心定期對密鑰進行修改；或者通過對其進行完善，提出了一種基于用戶獨特 ID和非門型的網(wǎng)絡(luò)安全訪問許可清單，從而可以對特定的使用者進行訪問。然而，該技術(shù)還面臨著一些問題，例如：有限授權(quán)、授權(quán)限制等。

（三）數(shù)據(jù)存在與可使用性驗證

因為大量信息可能產(chǎn)生的巨大通信風(fēng)險，使用者往往不能夠在大量信息下載后再求證其真實性[3]。因此，云系統(tǒng)就需要在取回很少信息的前提下，采用一種高信息驗證技術(shù)或概率分析方式，用較高置信風(fēng)險確定了遠部信息的安全性。代表性的方式主要有：①面向使用者個人認證的信息可檢索的認證（POR）方式。②開放可檢驗的數(shù)據(jù)持有證明（PDP）方式。③PDI（provable data integrity）方式，這個方式是對傳統(tǒng)POR方式的進一步完善，它大大改善和增加了傳統(tǒng)POR方式的信息處理速度和認證的范圍，并可以實現(xiàn)開放認證。④其他方式，新的樹結(jié)構(gòu) MAC樹算法，以及一種以代寫為基礎(chǔ)的新算法，采用 BLS同態(tài)性和 RS錯誤校正編碼等。

（四）數(shù)據(jù)隱私保護

云中的數(shù)據(jù)隱私保護貫穿每個數(shù)據(jù)的整個生命周期，目前的解決方法有：①安全保密體系 airavat。該方案結(jié)合了信息流量管理（DIFC）和差分隱私技術(shù)，實現(xiàn)了云計算的數(shù)據(jù)產(chǎn)生和運算，從而有效地避免了在 map reduce運算時未經(jīng)許可的個人隱私信息外泄，并且能夠?qū)崿F(xiàn)對算法的自動解密。②在資料儲存與利用方面，存在一種以客戶為核心的保密機制，用以協(xié)助使用者在云端儲存及利用機密資訊。③一種名為“匿名”的搜索引擎，它能讓用戶在進行信息檢索的過程中，獲得自己想要的信息，而不是被人知道的信息，也不會在檢索過程中被發(fā)現(xiàn)。④其他的隱私權(quán)處理技術(shù)有 K匿名、圖匿名和資料預(yù)置等。

（五）虛擬安全技術(shù)

虛擬化信息技術(shù)是實現(xiàn)云計算技術(shù)的關(guān)鍵科學(xué)技術(shù)，而運用了虛擬化信息技術(shù)的云計算平臺中的云架構(gòu)提供者，需要給其用戶帶來信息安全和隔離保障。其最主要的思路是：①在 Grid系統(tǒng)中采用虛擬技術(shù)來實施獨立的執(zhí)行程序。②利用兩種可識別的高速緩存級可察覺的內(nèi)核指派和高速緩存分區(qū)的頁面著色來進行效能和安全性的分離。當將那些對 VM產(chǎn)生作用的高速緩存界面進行分離時，它們會被有效地結(jié)合到 RM的范例云計算體系結(jié)構(gòu)中。另外，每個鏡像檔案都與一個用戶程序相匹配，并且要求能夠被安全地分享。該方案能夠?qū)D像進行訪問控制、來源跟蹤、過濾、掃描等功能，能夠?qū)`反安全的問題進行有效的探測和修正。但與此同時，必須關(guān)注虛擬化中圖像文檔的安全性問題，因為每一份圖像文檔都相當于一臺客戶應(yīng)用，因此需要具備的高安全性，并需要可以安全共享的關(guān)系。其所提出的圖像文檔管理系統(tǒng)完成了對圖像文檔的瀏覽監(jiān)控、來源追溯、自動過濾和掃描檢查等工作，由此檢測數(shù)據(jù)的安全性。

（六）云資源訪問控制

在云計算的背景下，各云系統(tǒng)具有各自的安全性特點，各安全領(lǐng)域都對本地資源用戶和資源的安全性負責。在用戶跨區(qū)訪問資源時，需要在網(wǎng)際邊緣進行驗證，以查明所有接入的使用者的統(tǒng)一身份驗證。對于多領(lǐng)域的資源存取，每個領(lǐng)域都有各自的安全控制政策，在進行資源分享與維護時，需要建立一個共同的、雙方都認可的公共安全控制機制。目前最主流的方法包括：①采用強制訪問控制框架策略的戰(zhàn)略組合架構(gòu)，把兩個安全管理格組成了一種全新的格框架。戰(zhàn)略組合的過程中必須提高新戰(zhàn)略的穩(wěn)定性，新的戰(zhàn)略組合方法也一定不會違反各個區(qū)域原來的拜訪管理策略。②拜訪管理策略的發(fā)生代數(shù)，采用聚合論的組合運算符和組合網(wǎng)絡(luò)安全戰(zhàn)略。③根據(jù)授權(quán)關(guān)系變化的戰(zhàn)略生成代數(shù)結(jié)構(gòu)。④一個多信任域的RBAC戰(zhàn)略生成戰(zhàn)略，著重于處理新生成的戰(zhàn)略和各區(qū)域內(nèi)原有戰(zhàn)略的一致性問題。

三、云計算網(wǎng)絡(luò)安全的應(yīng)用策略

（一）可信電子政務(wù)云技術(shù)

可信基于電子政府云計算的構(gòu)建，構(gòu)建了基于云計算的信任云的安全技術(shù)。根據(jù)現(xiàn)有的電子政府中心的功能特征，可以將其劃分為數(shù)據(jù)中心、區(qū)域災(zāi)難備份中心和區(qū)域級的超級計算機幾種類型。其建設(shè)內(nèi)容包括：數(shù)據(jù)存儲與處理、區(qū)域災(zāi)難備份中心、區(qū)域超級計算中心等。根據(jù)云業(yè)務(wù)數(shù)據(jù)中心的功能要求，提出了一個面向全國范圍內(nèi)的統(tǒng)一的數(shù)據(jù)中心，即將地區(qū)的超級計算機系統(tǒng)轉(zhuǎn)變?yōu)樵贫说墓芾硐到y(tǒng)，將數(shù)據(jù)的存儲和處理轉(zhuǎn)換為云端的業(yè)務(wù)，并將其作為一個完整的系統(tǒng)。

本文的研究內(nèi)容包括電子政務(wù)云平臺管理系統(tǒng)和電子政務(wù)云服務(wù)數(shù)據(jù)中心。

1.電子政務(wù)云平臺管理系統(tǒng)

目前地區(qū)超強計算核心的主要發(fā)展正是以互聯(lián)網(wǎng)為中樞的云計算模式。所以，為了改變地區(qū)超強計算核心的電子政府云信息管理網(wǎng)絡(luò)平臺，使其在高度的密集使用環(huán)境條件下正常工作，對基本互聯(lián)網(wǎng)應(yīng)用服務(wù)有著較為嚴苛的使用條件。

2.電子政務(wù)云服務(wù)數(shù)據(jù)中心

①可信計算網(wǎng)絡(luò)設(shè)備建設(shè)，可信計算系統(tǒng)維護使用過程的合規(guī)性和數(shù)據(jù)的統(tǒng)一性，讓使用者可以根據(jù)法律規(guī)定管理和訪問的控制方式進行使用。要做到什么樣身份層次的用戶可以進行與其資格條件相符合的存取行為，只要操作方式是正確的，則整套信息系統(tǒng)的存取流程便是安全可靠的，從而形成安全可信的應(yīng)用環(huán)境。②安全界限裝置和它的共用服務(wù)器、安全界限裝置（如安全網(wǎng)關(guān)等）對共用服務(wù)資源進行安全防護，并具備身份驗證和安全審核的能力，使共用服務(wù)器（如數(shù)據(jù)庫服務(wù)器、網(wǎng)絡(luò)服務(wù)器、郵件服務(wù)器等）與不法存取方進行分離，以避免未獲許可的使用者（如不受信任的終端）的不可預(yù)見的存取。通過這種方式，共用服務(wù)器無需進行煩瑣的存取管理，減少了服務(wù)器在服務(wù)被拒絕時的負擔。③由保密管理、口令處理、口令處理等組成的行政中心。實現(xiàn)上述終端、邊界和通信的高效保證，要求對授權(quán)管理和安全管理中心和受信任的組態(tài)口令管理系統(tǒng)提供技術(shù)支撐。④安全域和全程 IPSec，在安全性領(lǐng)域，通過 IPSec的全過程可以保證整個系統(tǒng)的通信的安全性和保密性。IPSec是運行在系統(tǒng)中的，它能保證從源向目標的通信全過程。保證傳送線路的可靠性，保證資料的保密及一致性，防止非法入侵。⑤一種對共用的服務(wù)進行了直接存取的裝置，也就是一種安全的隔離裝置。該安全隔離裝置保證了不受信任的非法存取的終端不能僅經(jīng)由一個程序安全性的邊緣裝置來直接地存取共用的業(yè)務(wù)資源。在IT系統(tǒng)方面，為了保證數(shù)據(jù)中心的可靠度，必須保證其基本結(jié)構(gòu)的規(guī)范化和兼容，避免在未來的變化給 IT系統(tǒng)造

（二）可信電子商務(wù)技術(shù)

1.現(xiàn)行 Electronics技術(shù)的優(yōu)勢和劣勢

淘寶和阿里巴巴都是以支付寶為基礎(chǔ)的中國最好的網(wǎng)絡(luò)平臺。而支付寶，則是依托于阿里巴巴的企業(yè)信用，才能建立起支付寶的云計算和客戶服務(wù)體系。這個程序的基礎(chǔ)架構(gòu)包括阿里旺旺、淘寶旺旺等用戶端，盡管阿里巴巴公司電商云優(yōu)勢突出，但還存在可完善之處。舉例來說，從支付寶的安全方面考慮，支付寶安全技術(shù)的最大好處就是將安全保護的重心放到支付的過程上面，從而有效地避免了運營商對操作流程中所承擔的巨大風(fēng)險。其不足之處是采用的密碼學(xué)方法，較難管理支付寶的賬號。而且口令太簡單易被人猜破，口令較復(fù)雜記住比較麻煩。記在筆記本上，也易被人偷窺。如果泄漏用戶的信息，用戶賬號的信息將會被盜用。

2.可信云網(wǎng)絡(luò)安全計算技術(shù)

利用信任的云計算技術(shù)對支付寶用戶端和支付寶的管理系統(tǒng)進行了改進，并對該系統(tǒng)的應(yīng)用進行了改進，從而有效地解決了支付寶用戶的口令問題，具體為：①設(shè)置可信云服務(wù)器和技術(shù)平臺，在原阿里旺旺服務(wù)器的高新技術(shù)基礎(chǔ)上添加了可信模式識別高新技術(shù)、可信密碼學(xué)高新技術(shù)、可信融合的高新技術(shù)。同時，在支付寶的云管理方法基礎(chǔ)上進行了相應(yīng)更新。

②用戶登錄到網(wǎng)絡(luò)管理平臺上的信任云客戶端。通過對登錄賬號和口令的確認，系統(tǒng)發(fā)送用戶信任的云端憑證，并授權(quán)其進行支付寶登錄和付款鑒權(quán)，這種方式是在原系統(tǒng)的基礎(chǔ)上，增加了一個可信的生物信息識別和一個信任的證書簽名，以保證支付寶的安全性，即便是被第三方偷盜，也不會傷害到系統(tǒng)的安全性。

3.可信云網(wǎng)絡(luò)安全計算技術(shù)

解決的基本步驟如下：

實施可信任的云端使用者，目前所有電腦，包括上網(wǎng)本、筆記本電腦、臺式機，都配備了攝像頭和麥克風(fēng)。通過使用這種裝置，阿里旺旺客戶機可以通過可信的云技術(shù)如可信的圖像識別技術(shù)、可信密碼技術(shù)來對支付寶現(xiàn)有的云進行升級。實施受信任的云使用者方證書，基于支付寶現(xiàn)有的憑證，實施了基于信任的云使用者的身份證明技術(shù)，其中包含了信任登記和信任驗證技術(shù)，使得支付寶的云端使用者證明變成了受信任的云端使用者證明，其具備了基于信任的證書和基于信任的生物信息特性的雙重身份認證。

實施信任云計算平臺的過程，基于支付寶云計算平臺的工作過程，完成了基于客戶方的信任證書和云計算服務(wù)的可信證書的驗證。①授權(quán)用戶方驗證受信任的憑證；②支付寶的身份驗證在云端管理系統(tǒng)中的應(yīng)用；③支付寶的云化管理系統(tǒng)的初始驗證流程；④驗證支付寶云托管系統(tǒng)的收款和轉(zhuǎn)賬；⑤反復(fù)重復(fù)①、②、③步驟。

4.可信云網(wǎng)絡(luò)安全計算技術(shù)

可信云安全技術(shù)是基于支付寶的傳統(tǒng)安全方案，加入基于信任的云計算技術(shù)，從而保持了支付寶安全系統(tǒng)的優(yōu)勢。①不擔心標識口令泄漏，因為添加了受信任云計算管理平臺指令受信任的云計算使用者方來進行憑證受信任的簽字和對公共密鑰的授權(quán)的信息資訊特性的恢復(fù)和鑒別，也就是對可信的融合進行了雙重技術(shù)的認證。使用者即使是暴露了自己的身份，他人也無法冒充兩種技術(shù)進行認證，使得支付寶云端使用者的口令更加難以操作。②易于操作?？梢詫⑹褂谜叩乃饺嗣荑€保存或儲存于終端內(nèi)存，或者可以在本機或移至其他的使用者終端。使用者專用密鑰被用來恢復(fù)由憑證公開密鑰所含的受信任的生物資訊特性，所述特性可以作為鑒別目標的標識模板，以便能夠利用所述信任的圖案來進行鑒別。

四、結(jié)束語

總而言之，在信息時代發(fā)展過程中，云計算網(wǎng)絡(luò)安全問題不可忽視，增強安全防御，提高其安全性，對于人們生活生產(chǎn)而言具有至關(guān)重要的作用。在現(xiàn)今網(wǎng)絡(luò)中，網(wǎng)絡(luò)環(huán)境無法達到絕對安全，其在實際運轉(zhuǎn)過程中面臨著一定的挑戰(zhàn)和威脅，因此相關(guān)人員應(yīng)對其安全威脅和挑戰(zhàn)給予認真研究并分析云計算網(wǎng)絡(luò)安全問題，運用針對性措施對問題進行解決，從而優(yōu)化安全管理，創(chuàng)新安全防御新路徑，以此為云計算網(wǎng)絡(luò)進一步安全運用，供優(yōu)越的環(huán)境和有利的條件。

作者單位：于博 長春市德普信息技術(shù)有限公司

參" 考" 文" 獻

[1]楊帥，許志廣，李麗梅，等.云計算技術(shù)在計算機安全存儲中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2022，40（07）：212-214.

[2]劉雯雯.基于云計算環(huán)境下的計算機網(wǎng)絡(luò)安全存儲系統(tǒng)的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù)，2022，18（12）：38-40.

[3]姜春雪.云計算技術(shù)在計算機網(wǎng)絡(luò)安全存儲中的應(yīng)用研究[J].電子元器件與信息技術(shù)，2022，6（04）：168-170.

于博（1979.03-），男，漢族，吉林長春，研究生，研究方向：網(wǎng)絡(luò)安全、信息安全、網(wǎng)絡(luò)安全法相關(guān)、國家網(wǎng)絡(luò)安全相關(guān)標準。