面向云計算的數據安全保護關鍵技術分析

吳永堂

摘 要 將軟件、硬件等IT資源通過服務的形式提供給網絡用戶的技術稱為云計算。在服務模式下，用戶只需要將應用、數據等保存至云端，方便了用戶對數據、應用的使用。但是由于云服務是透明的，用戶對數據的控制不強，服務商可信性也難以評估，所以，在云計算環境下，數據的安全性是用戶擔心的主要問題。文章主要針對云計算中數據的安全保護技術進行分析。

關鍵詞 云計算；數據；安全保護；技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）07-0066-01

根據用戶的服務請求，云計算對數據實施相關操作，所以用戶與云端之間的身份認證時確保數據安全的基礎。由于云用戶數量龐大，對用戶身份的合理、安全、高效的確認稱為服務商遇到的難題。在用戶身份得到確認以后，即可對云提供的數據及計算服務進行應用。雖然云服務商的技術與維護水平較高，但是仍然對數據發生的意外損壞難以避免。從本質上來說，云計算中的安全問題其實就是服務方與數據所有方之間的信任管理問題，云服務商與用戶之間需要一種數據約束，通過技術與信譽共同促進數據的安全。

1 云計算概述

所謂云計算，其實是一個發展中的概念，對云計算也存在多種解釋，尚無一個確定的定義。整體而言，云計算是一種將虛擬化的資源通過網絡以服務的形式提供給用戶的計算模式，用戶對云計算只有使用的權利，沒有管理的權利。云計算主要的特點包含：1）寬帶接入。將軟件、硬件等資源通過網絡以服務形式提供給用戶。2）動態服務模式。按照用戶需求對云中的資源進行配置與擴展，使資源更具擴展性，提高了資源的利用率。3）虛擬化共享資源。資源在云中以共享的形式存在，實現虛擬化共享。4）按照需求控制資源使用。用戶在對云中的資源進行使用時，按照實際使用量付費，不需要對其它空閑資源付費。云計算在部署方式上包含私有云、社區云、公有云及混合云的形式。常用的形式為私有云與公有云之間的關系，如圖1所示。

圖1 幾種云計算的部署

2 云計算面臨的數據安全威脅

因為云計算系統規模比較大，包含諸多用戶的隱私數據，切具有復雜性與開放性，其安全性方面也面臨著前所未有的挑戰。其安全威脅主要表現在以下幾個方面：1）數據泄露和丟失。在云計算中，對數據的安全控制能力并不高，缺乏安全管理機制，容易造成數據泄露，不管是國家重要數據，還是個人隱私數據，一旦泄露或丟失，都會造成嚴重后果。2）共享技術漏洞。由于云計算是一個數據共享中心，共享的程度越高，受到攻擊的點也就越多。3）身份認證機制薄弱。云中集中了大量的應用、數據及資源，如果身份認證機制安全性不高，入侵者很容易就能獲取用戶賬號，并登陸用戶虛擬機，實施破壞。4）供應商可靠性難以評估。可靠的服務供應商是避免信息被竊取的有效保證，但是對供應商的可靠性評估存在一定難度。5）應用程序接口不安全。由于云計算應用程序是一個復雜的系統，難以保證其安全性，部分接口或許已經被攻擊程序占據，一旦用戶從該接口進入，就會引發安全問題。6）云計算的錯誤運行。在技術應用方面，或許黑客比技術人員的進步更快，通過非法身份進入后實施破壞。7）未知風險。由于云計算服務是透明的，用戶只能在Web前端交互界面進行使用，對供應商采用的平臺或安全機制完全不了解，對其是否履行服務協議也難以確認。以上七個方面是根據云計算自身的特點引發的安全威脅。

3 云計算數據安全保護技術

3.1 身份認證技術

云計算中，存在不同服務供應商，用戶的選擇余地非常大，在多種服務形式面前，用戶很有可能出現遺忘或混淆。為了提供良好的用戶體驗，在云計算認證中，提供了單點登錄、聯合身份認證、PKI等認證技術。1）單點登錄。是將身份信息安全的傳遞給云服務的能力。允許將本地身份信息管理系統提供其他系統認證，用戶只需要使用一次注冊和登錄，不需要對每一個云服務都注冊與登錄，有效的減輕了用戶的負擔。典型的單點登錄協議OpenID，是谷歌云服務商提供的單點登錄技術。2）聯合身份認證。是對不同的服務商身份信息庫之間建立關聯。用戶在使用時登錄一次，即可對多個云平臺進行訪問，省去了多個云平臺登錄的麻煩。該技術是在單點登錄技術基礎上實現的。

3.2 靜態存儲數據保護技術

存儲服務是云提供的一種服務形式，是一種基礎存儲形式，在分布式與虛擬化計算域存儲技術上，將多個存儲介質進行整合后形成大的存儲資源池，將數據分配、硬件配置等向用戶屏蔽掉。用戶對存儲資源進行租用，并能進行遠程訪問。在存儲中，數據以靜態方式存儲，數據的機密性、隱私性、安全性、完整性等都是用戶關注的安全問題，同時也是云存儲安全技術重點研究的內容。一般采取對用戶數據進行加密的方式保證數據的保密性；在數據隱私性方面，云服務商除了檢索結果外，對其他的數據內容無法獲取，保證不能通過對數據內容進行分析獲取用戶的隱私。用戶需要與服務商簽訂協議，一旦出現數據泄露或損壞，可以對問題進行問責。

3.3 動態數據隔離保護技術

對動態數據進行保護主要采用密文處理技術。首先，隔離機制，采用沙箱機制對云應用進行隔離，通過先知系統中應用程序的權限，降低環境對數據的干擾與破壞。其次，訪問控制模型機制。云計算系統中，訪問控制是基本安全機制之一，通過權限管理實現對數據資源的保護，防止非授權訪問。由于云計算系統具有異構性、開放性及動態性，在保護數據過程中，需要考慮不同的安全策略、參與者及使用模式等。

4 可信云計算保護技術

在云計算環境中，融入可信計算技術，服務商通過可以信賴的方式為用戶提供云服務，這樣用戶與云服務商之間就會建立起信任關系。當前，這也是云計算安全領域中的一個重要研究方向。可信計算組織的目的是在計算與通信系統中使用硬件安全模塊條件下的可信計算平臺。從一個初始可信根出發，通過信息的擴展信任邊界保證系統的可信。可信計算平臺的構建如圖2所示。由于云計算是在虛擬環境下完成的，那么虛擬環境的安全是可信計算平臺安全的基礎，提高虛擬環境的可信性主要從以下幾方面進行：1）虛擬機監控器安全設計。2）虛擬機監控器保護機制。3）虛擬化環境軟件隔離機制。

圖2 可信計算平臺信任鏈構建圖

5 結束語

本文主要從云計算認證方案，靜態、動態數據保護技術及可信云計算平臺構建幾個方面對云計算數據安全保護技術進行分析。為了提高云計算數據的安全性，還需要根據網絡信息技術的發展，不斷完善各種安全保護技術。

參考文獻

[1]房秉毅，張云勇，徐雷，藍天.云計算應用模式下移動互聯網安全分析[J].電信技術，2011（10）.endprint