導語：云計算安全技術系統(tǒng)建構一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

本文作者：劉建偉、邱修峰、劉建華單位：北京航空航天大學

2010年3月云安全聯(lián)盟的研究報告《云計算主要安全威脅》[3]指出云計算服務的主要威脅主要包括：云計算服務的濫用和惡意使用、不安全的接口和應用程序編程接口(APIs)、惡意的內部攻擊者、共享技術的弱點、數(shù)據(jù)丟失與泄露和賬號與服務劫持等。微軟公司的《WindowsAzure安全筆記》[4]從審計與日志、認證、授權、部署管理、通信、加密、異常管理、輸入與數(shù)據(jù)驗證和敏感數(shù)據(jù)這9個方面分別論述了云計算服務的主要安全威脅。加州大學伯克利分校的研究人員在文獻[5]中認為云計算中安全方面的威脅主要有：可用性以及業(yè)務連續(xù)性、數(shù)據(jù)鎖定、數(shù)據(jù)的機密性和相關審計、大規(guī)模分布式系統(tǒng)的漏洞和相關性能的不可預知性等等。在文獻[6-8]中指出云計算中最重要的安全風險主要有：違反服務等級協(xié)議，云服務商提供足夠風險評估的能力，隱私數(shù)據(jù)的保護，虛擬化有關的風險，合約風險等。目前，云計算安全問題已得到越來越多的關注。著名的信息安全國際會議RSA2010將云計算安全列為焦點問題，通信學會理事會(CCS)從2009年起專門設置了一個關于云計算安全的研討會。許多企業(yè)組織、研究團體及標準化組織都已啟動了相關研究，安全廠商也已在研究和開發(fā)各類安全云計算產品[9]。

云計算服務模式下的移動互聯(lián)網(wǎng)是一種復雜的、面臨各種安全威脅的系統(tǒng)，因此必須研究和設計移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術來抵抗和防御這些安全威脅，云計算安全體系結構是其研究基礎和依據(jù)。許多研究人員和來自移動互聯(lián)網(wǎng)相關領域的企業(yè)對如何設計和開發(fā)云計算安全技術體系架構均展開了相關研究。微軟云計算平臺WindowsAzure是微軟于2008年在微軟開發(fā)者大會上的全新的云計算平臺，它基于平臺即服務(PaaS)的思想，向開發(fā)人員提供了一個在線的基于Windows系列產品的開發(fā)、儲存和服務代管等服務的環(huán)境。微軟公司的《WindowsAzure安全筆記》[4]從改進Web應用安全的角度出發(fā)提出了一個基于應用安全、網(wǎng)絡安全和主機安全概念化安全區(qū)域的云計算安全架構。其中應用安全關注應用審計與日志、認證、授權、應用部署管理、加密、異常管理、參數(shù)配置、敏感數(shù)據(jù)、會話管理和驗證等問題；網(wǎng)絡安全保障路由器、防火墻和交換機等的安全；主機安全所需要關注的相關問題則包括補丁和更新、服務、協(xié)議、記賬、文件與目錄、共享、端口、注冊登記和審計與日志等。

Bell實驗室的研究人員在文獻[10]中提出一種支持資源無縫集成至企業(yè)內部網(wǎng)的云計算安全體系架構VSITE，在保持資源的隔離性和安全性的同時允許云服務提供商拓展資源為多個企業(yè)提供服務。云計算服務商提供的資源對企業(yè)來說就像是內部資源，VSITE通過使用VPN、為不同的企業(yè)分配不同的VLAN以及運用MAC地址對企業(yè)進行身份編碼等技術手段來達到這個目標。VSITE體系架構由云服務中心、目錄服務器、云數(shù)據(jù)中心以及監(jiān)控中心等相關的實體組成，其監(jiān)控中心設計了安全機制以防止企業(yè)與企業(yè)之間的相互攻擊。VSITE具有可擴充性安全性以及高效性。亞馬遜彈性計算云(AmazonEC2)是一個Web服務，它提供可調整的云計算能力。文獻[11]中指出AmazonEC2使用了一個多級的安全體系架構包括主機的操作系統(tǒng)、操作系統(tǒng)的虛擬實例/客戶操作系統(tǒng)、防火墻和簽名的API調用等層次，目標是保護云端的數(shù)據(jù)不被未授權的系統(tǒng)和用戶攔截，使得AmazonEC2實例盡可能安全而又不會犧牲客戶按需配置的彈性。從服務模型的角度，云安全聯(lián)盟(CSA)提出了基于3種基本云服務的層次性及其依賴關系的安全參考模型[6]，并實現(xiàn)了從云服務模型到安全控制模型的映射。該模型的重要特點是供應商所在的等級越低，云服務用戶所要承擔的安全能力和管理職責就越多。

從安全協(xié)同的角度，JerichoForum從數(shù)據(jù)的物理位置、云相關技術和服務的所有關系狀態(tài)、應用資源和服務時的邊界狀態(tài)、云服務的運行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計算形態(tài)[12]。不同的云計算形態(tài)具有不同的協(xié)同性、靈活性及其安全風險特征。云服務用戶則需要根據(jù)自身的不同業(yè)務和安全協(xié)同需求選擇最為合適的相關云計算形態(tài)。上述云安全體系結構雖然考慮了云計算平臺中主機系統(tǒng)層、網(wǎng)絡層以及Web應用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構沒有結合移動互聯(lián)網(wǎng)環(huán)境來研究云計算安全體系構建及相關技術。

移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構的設計目標有以下6個方面：確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護確保云計算平臺虛擬化運行環(huán)境的安全依據(jù)不同的安全需求，提供定制化的安全服務對運行態(tài)的云計算平臺進行風險評估和安全監(jiān)管確保云計算基礎設施安全、構建可信的云服務保障用戶私有數(shù)據(jù)的完整性和機密性的基礎

結合上述設計目標，考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運營方式和用戶安全需求的多樣性，文章設計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構（如圖1所示），它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點。與云計算架構中的軟件即服務(SaaS)、PaaS和基礎設施即服務(IaaS)3個層次相應，文章首先設計了云安全應用服務資源群，包括隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內容安全服務等云安全應用服務。針對云計算虛擬化的特點文章還設計了云安全基礎服務資源群包括虛擬機安全隔離、虛擬機安全監(jiān)控、虛擬機安全遷移和虛擬機安全鏡像等云安全基礎服務，運用虛擬技術跨越了不同系統(tǒng)平臺（如不同的操作系統(tǒng)）。同時移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構中也包含云安全基礎設施。由于用戶安全需求方面存在著差異，云平臺應具備提供不同安全等級的云基礎設施服務的能力。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構中的云安全基礎設施的建設則可以參考移動通信網(wǎng)絡和互聯(lián)網(wǎng)絡中云安全基礎設施已有的相關建設經(jīng)驗。移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術體系架構還包含一個統(tǒng)一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權認證、防火墻、反病毒、安全日志、預警機制和審計管理等子系統(tǒng)。云安全管理平臺縱貫云安全應用服務、云安全平臺服務和云安全基礎設施服務所有層次，對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運維安全情況進行了跨安全域、跨安全級別的一系列綜合管理。體系架構考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應用服務接口，并提供手機多媒體服務、手機電子郵件、手機支付、網(wǎng)頁瀏覽和移動搜索等服務，同時還可以提供隱私數(shù)據(jù)保護、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預警和內容安全等用戶可以直接定制的安全服務。

同時，體系架構還考慮了整個系統(tǒng)參照云安全標準及測評體系的合規(guī)性檢查。云服務商提供的應用軟件在部署前必須由第三方可信測評機構系統(tǒng)地測試和評估，以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風險并設立其信任等級，云應用服務提供商不可自行設定服務的信任等級，云用戶就可能預先避免因定制未經(jīng)第三方可信測評機構評估的安全云應用服務而帶來的損失。云應用服務安全等級的測試和評估也給云服務提供商帶來準入規(guī)范，迫使云服務提供商提高云服務的服務質量以及安全意識。

對用戶而言，多用戶私有資源的遠程集中式管理與計算環(huán)境的開放性之間構成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機密性要求其應用環(huán)境相對固定和穩(wěn)定，而計算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅。可以說，云服務提供商與用戶之間的信任問題是云計算能否推廣的關鍵，而數(shù)據(jù)的安全和隱私保護是云計算安全中極其重要的問題。解決該問題的關鍵技術涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗證、多租戶環(huán)境下的隱私保護方法等。

云計算平臺要統(tǒng)一調度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運行環(huán)境的安全是云計算安全的關鍵。在此安全體系之下，結合虛擬化技術，平臺必須提供虛擬機安全監(jiān)控、虛擬機安全遷移、虛擬機安全隔離以及虛擬機安全鏡像等核心基礎服務。各種服務模式的虛擬機都存在隔離問題引起的安全風險，這包括：內存的越界訪問，不同安全域的虛擬機控制和管理，虛擬機之間的協(xié)同工作的權限控制等。如果云計算平臺無法實現(xiàn)不同（也可能相同）云用戶租用的不同虛擬機之間的有效隔離，那么云服務商則會無法說服云用戶相信自己提供的服務是非常安全的。用戶定制的各種云服務由虛擬機中運行相關軟件來實現(xiàn)，因此存在虛擬機中運行的相關軟件是否按用戶需求運行的風險問題，例如運行的環(huán)境的安全級別是否符合需求和運行的流程是否異常等；虛擬機運行的預警機制與安全審計問題包括安全策略管理、系統(tǒng)日志管理和審計策略管理等。

云計算模式下的移動互聯(lián)網(wǎng)是一種多源、異構服務共存的環(huán)境。與此同時，依據(jù)多租戶的不同安全需求，滿足不同等級的差異化云安全服務應以訪問控制為手段，進行安全服務定制以及安全自適應。為了支撐移動互聯(lián)網(wǎng)環(huán)境下云計算的安全準入，云計算安全體系同樣需要針對運行態(tài)云計算平臺的風險評估方法、安全測評方法以及支持第三方的安全審計等。移動互聯(lián)網(wǎng)上的云計算安全監(jiān)管體系一方面負責對移動互聯(lián)網(wǎng)的內容安全監(jiān)管和針對基于云計算的安全攻擊的預警與防護；另一方面還負責對云服務提供商對云服務安全性的相關保障措施和執(zhí)行情況進行審計。

在滿足移動互聯(lián)網(wǎng)多種接入方式、多種企業(yè)運營方式和不同參與者不同的安全需求的基礎上，文章結合云計算技術，根據(jù)SeaaS的思想，設計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術體系架構。整個體系架構提供給用戶云服務的安全級別可以適用用戶需求的差異化，還可以無縫融合不同的操作系統(tǒng)和異構的網(wǎng)絡體系，給不同接入方式終端用戶帶來統(tǒng)一的操作模式。