云計算安全的發展現狀和趨勢述評

王 操

（上海社會科學院信息研究所 上海 200235）

0 引言

自從云計算概念被提出以來，其研究和技術開發就一直受到了廣泛的關注，許多國際廠商分別推出自己的云計算解決方案。與此同時，云計算的各種安全問題也逐漸暴露出來，成為目前阻礙云計算發展的最大阻力。

1 云計算概述

在信息與通信技術領域，云是網絡、互聯網的一種比喻說法。在計算機網絡拓撲圖中，云往往被用來表示電信網、互聯網和底層基礎設施的抽象。2006年8月9日，Google首席執行官埃里克·施密特（Eric Schmidt）在搜索引擎大會（SES San Jose 2006）上首次提出了“云計算”（Cloud Computing）的概念。

1.1 云計算產生的背景

從本質上講，云計算是網格計算、分布式處理、并行處理和虛擬化技術等多種技術混合演進的結果。網格計算的出現最初是為了解決科學計算問題，其關注點是通過服務器集群，將大型任務拆分為多個小型任務在服務器上并行運行。網格計算的發展有十幾年的歷史，是云計算模型的前身。但是，網格計算缺少商業化的實現，其計算能力、設備開銷、資源閑置等問題使得它難以大規模的應用，而云計算正是從商業化角度提出了上述技術實現的思路。

正因為云計算是商業引導的應用理念，而不是純理論研究和技術演進的產物，因此，一開始有關云計算的定義沒有統一的標準，不同的企業和個人對云計算的理解不盡相同，各IT廠商推出了各自不同的云計算方案和服務。但是，各廠商的云計算架構基本都涵蓋了虛擬化、大規模并行編程和分布式數據存儲系統等關鍵技術。

1.2 云計算的基本概念

目前，得到業界最廣泛認可的云計算的定義是2011由美國國家標準和技術研究院（NIST）提出的：云計算是一種通過網絡以便捷、按需的形式從共享的可配置的計算資源池（這些資源包括網絡、服務器、存儲、應用和服務）中獲取服務的業務模式。云計算業務資源應該支持通過簡潔的管理或交互過程快速地部署和釋放。

圖1 云計算體系架構

云計算具有三種典型的交付模式：1）軟件即服務（SaaS），提供給用戶以服務的方式使用應用程序的能力；2）平臺即服務（PaaS），提供給用戶在云基礎設施之上部署和使用開發環境的能力；3）基礎設施即服務（IaaS），提供給用戶以服務的方式使用處理器、存儲、網絡以及其它基礎性計算資源的能力。云計算體系架構如圖1所示，其中核心服務層中的SaaS及PaaS均是以IaaS為基礎的，所以IaaS的安全決定著整個云平臺的安全。

2 云計算環境下的安全

由于云計算源于網絡運營商的商業運作，缺乏嚴謹的理論基礎，因此在其發展過程中，幾乎所有的大型云計算推廣廠商的云計算平臺都出現了各種各樣的故障，引發業界對云計算安全的討論和研究。

2.1 云計算安全的基本概念

目前，與云計算相關的安全問題被統稱為云安全，這一概念包含兩個方面的含義。第一是云計算本身的安全保護，通常稱為云計算安全，主要是針對云計算自身存在的安全隱患，研究相應的安全防護措施和解決方案，如云計算安全體系架構、云計算應用服務安全、云計算環境的數據保護等，云計算安全是云計算健康可持續發展的重要前提。第二是使用云的形式提供和交付安全，也即云計算技術在信息安全領域的具體應用，也稱為安全云計算，主要利用云計算架構，采用云服務模式，實現安全的服務化或者統一安全監控管理。我國企業從云計算在病毒防范領域應用的角度提出了我國企業的“云安全”概念，這一概念可以理解為安全云計算的一種應用類型，如基于云計算的防病毒技術（如瑞星的云查殺模式）、木馬檢測技術（如360的云安全系統）等。

本文主要探討云計算本身的安全保護，即云計算安全問題。

2.2 云計算安全的主要特征

由于云計算資源虛擬化、服務化的特有屬性，與傳統安全相比，云計算安全具有一些新的特征：

（1）傳統的安全邊界消失。在傳統安全中，IT系統是封閉的，對外暴露的只是網頁服務器、郵件服務器等少數接口，通過在物理上和邏輯上劃分安全域，可以清楚的定義邊界，如設置防火墻、網段、訪問控制等安全措施。但在云環境下，云暴露在公開的網絡中，任何一個節點及它們的網絡都可能受到攻擊，而且云計算采用虛擬化技術以及多租戶模式，傳統的物理邊界被打破，基于物理安全邊界的防護機制難以在云計算環境中得到有效的應用。

（2）動態性。在云計算環境中，用戶的數量和分類不同，變化頻率高，具有動態性和移動性強的特點，其安全防護也需要進行相應的動態調整。另外，在云環境下，用戶的服務系統更新和升級大多數是由用戶在遠程執行的，而不是采取傳統（在本地按版本更新）的方式，每一次升級都可能帶來潛在的安全問題和對原有安全策略的挑戰。

（3）服務安全保障。云計算采用服務的交互模式，涉及服務的設計、開發和交付，需要對服務的全生命周期進行保障，確保服務的可用性和機密性。另外，在云計算模式下，服務提供商的權利巨大，用戶的權利可能難以保證，為了確保和維護兩者之間平衡，需要有第三方監管和審計。

（4）數據安全保護。在云計算中數據不在當地存儲，而是保存在云中，數據擁有和管理分離，數據的隔離、數據加密、數據完整性保護、數據恢復等數據安全保護手段對于數據的私密性和安全性更加重要。

（5）技術標準和政策法規缺失。傳統的安全技術已經出現多年，標準、法律、法規都相對成熟，而現在的云計算安全缺少標準，而且政策法規也不健全，再加上云計算自身的特點，數據可以存儲在世界的任何一個角落，當出現問題時，國家政策的不同也是云計算安全的一個重大挑戰。

3 云計算安全的研究進展

目前，對云計算安全的理論研究滯后于實踐應用，但已得到越來越多學術界的關注。信息安全國際會議RSA2010將云計算安全列為焦點問題，許多企業組織、研究團體及標準化組織都啟動了相關研究。

3.1 云計算安全的體系架構

（1）CSA的云計算安全架構

由于云計算基礎設施的抽象化，缺少可視化以及集成各種通用安全控制的能力。針對這個問題，CSA從云服務模型角度提出了一個云計算安全架構，該安全架構描述了三種基本云服務的層次性及其依賴關系，并實現了從云服務模型到安全控制和合規模型的映射，如圖2所示。該安全架構的關鍵特點是：供應商所在的等級越低，云服務用戶所要承擔的安全能力和管理職責就越多。

圖2 CSA提出的云模型、安全控制和合規模型的映射

（2）基于云計算服務模型的云計算安全框架

目前比較獲得認可的云計算安全模型就是基于云計算服務模型構建的，如圖3所示。此模型中，云服務提供商所在的層次越低，云用戶自己所要承擔的安全管理職責就越多。

1）IaaS層安全：IaaS 層安全主要包括物理安全、主機安全、網絡安全、虛擬化安全、接口安全，以及數據安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業務連續性等。2）PaaS層安全：PaaS層的安全主要包括接口安全、運行安全以及數據安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業務連續性等。3）SaaS層安全：SaaS層的安全主要是應用安全，當然也包括數據安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業務連續性等。

（3）其他云安全框架

歐洲網絡和信息安全研究所（European Network and Information Security Agency，ENISA）針對云計算環境中的安全問題提出一個云計算信息安全保障框架。IBM基于其企業信息安全框架從用戶認證與授權、流程管理、多級權限控制、數據隔離和保護、網絡和存儲隔離、物理安全等層面提出了一種云計算安全框架。思科提出一個云數據中心安全框架，對云數據中心的威脅模型以及減少安全風險的措施進行描述，強調在架構的每一層實現相應措施的重要性。

3.2 云計算安全的關鍵技術

（1）身份認證

在云計算身份認證方面，Bertino等人提出了一個可互操作的多因子認證方案，適用于多域云計算環境，但在認證過程中需要進行多次指數運算。相比之下，Hao等人提出的基于票據的可計數雙因子認證方案在認證過程中僅僅使用哈希函數和異或運算，使得用戶和服務器的計算代價大大降低。Hao等人的方案支持雙向認證，并且智能卡的使用能夠方便的支持“隨用隨付費”設計。

（2）訪問控制

Popa等人提出了多租客云中的網絡訪問控制問題，認為在云基礎設施中，虛擬機監督程序控制了消息傳輸的兩個端點，因此訪問需要在虛擬機監督程序處強制實施訪問控制策略。其訪問控制策略包括租客隔離、租客間通信、租客間公平共享服務和費率限制等。Hao等人提出了將網絡訪問控制策略存儲在一個中心服務器處，在轉發元件（即增強型的二層交換機）中強制施行這些策略。

（3）安全審計

在云計算環境中，用戶對自己的數據和計算都失去控制，因此需要對用戶和提供商的行為進行審計，確保安全策略的正確執行，以及保持組織自身的合規性。文獻中Ryan K L Ko 等人提出Trust Cloud框架來解決云計算環境中的安全審計問題。文獻陳和王等人提出一個CSIRO原型系統，對部署于云計算環境中的服務進行審計。

（4）虛擬化安全

云計算利用虛擬化技術實現物理資源的動態管理與部署，為多用戶提供隔離的計算環境。Azab等人提出了HyperSentry，通過安全硬件設計的方法來增強虛擬機監督程序的完整性。方法是在虛擬機監督程序中增加一個完整性度量代理，其與硬件中的基線板管理控制器進行通信，基線板管理控制器進一步通過一個智能平臺管理接口與遠端的驗證方進行通信。

（5）數據保護

保證數據的機密性、可用性、完整性、不可抵賴性是云計算安全重點要解決的問題。文獻提出了一種完全同態加密機制。文獻利用基于環和組簽名的加密方法實現用戶數據的匿名存儲。文獻中Roy等人將集中信息流控制和差分隱私保護技術融入云中的數據生成與計算階段，提出了一種隱私保護系統Airavat。

（6）可信云計算

為了保證在云基礎設施中數據和計算的完整性提出了可信云計算的概念。Dai等人基于虛擬的動態信任根測量（Dynamic Root of Trust for Mea surement），提出了一個云計算可信執行環境。

（7）問責

對云服務器的行為建立問責機制，可顯著提高云計算平臺的可信度。Wang和Zhou提出了一個云計算數據庫問責方案，在每個用戶和云服務器之間放置一個可信封裝器，能夠截取用戶對云服務器的請求和得到的響應，根據這些數據提取問責服務所需要的信息，發送給外在的問責服務。Haeberlen等人]提出并實現了可問責虛擬機，不僅能夠在虛擬機中執行一個虛擬計算機系統，而且能夠記錄不可抵賴的信息，使得問責者對于軟件行為的問責成為可能。可問責虛擬機的引入能夠對未經修改的二進制鏡像提供問責，而且不需要任何可信硬件。

4 云計算安全的解決方案

圖3 云計算安全模型

除了學術界，產業界對云計算的安全問題非常重視，并為云計算服務和平臺開發了若干安全機制，各類云計算安全產品與方案不斷涌現。

（1）微軟

微軟的云計算平臺叫做Windows Azure。在Azure上，微軟通過采用強化底層安全技術性能、使用所提出的Sydney安全機制，以及在硬件層面上提升訪問權限安全等系列技術措施為用戶提供一個可信任的云，從私密性、數據刪除、完整性、可用性和可靠性五個方面保證云安全。

（2）谷歌

在2010年，為使其安全措施、政策及涉及到谷歌應用程序套件的技術更透明，谷歌發布了一份白皮書，向當前和潛在的云計算客戶保證強大而廣泛的安全基礎。此外，谷歌在云計算平臺上還創建了一個特殊門戶，供使用應用程序的用戶了解其隱私政策和安全問題。谷歌的云計算平臺上主要從三個部分著手保障云安全。

（3）亞馬遜

亞馬遜是互聯網上最大的在線零售商，但是同時也為獨立開發人員以及開發商提供云計算服務平臺。亞馬遜是最早提供遠程云計算平臺服務的公司，他們的云計算平臺稱為彈性計算云（Elastic ComputeCloud，EC2）。亞馬遜從主機系統的操作系統、虛擬實例操作系統、防火墻以及API 呼叫多個層次為EC2提供安全，目的就是防止亞馬遜EC2中的數據被未經認可的系統或用戶攔截，并在不犧牲用戶要求的配置靈活性的基礎上提供最大限度的安全保障。

（4）其它解決方案

Sun公司發布開源的云計算安全工具可為Amazon的EC2、S3以及虛擬私有云平臺提供安全保護。Yahoo的開源云計算平臺Hadoop也推出安全版本，引入kerberos安全認證技術，對共享敏感數據的用戶加以認證與訪問控制，阻止非法用戶對Hadoop clusters的非授權訪問。McAfee公司發布了一個基于云的電子郵件網關McAfeeSaaS Email Security & Archiving Suite，能完成實時監控和分析傳入的郵件流量，同時可以隱藏關鍵的郵件傳輸網關。EMC、Intel、Vmware 等公司聯合宣布了一個“可信云體系架構”的合作項目，并提出了一個概念證明系統。

5 云計算安全發展趨勢展望

目前，與云計算安全相關的研究仍處于起步階段，許多問題仍待探索。就目前的發展現狀來看，可以預測的幾個發展趨勢如下：

（1）目前，關于云計算安全的總體框架尚無業界統一的認識，未來需要一個強有力的組織機構或者組織機構的聯合，對云計算安全的總體技術體系和管理體系制定統一的標準規范，云計算才能更快、更安全地發展。

（2）云計算安全的理論研究嚴重滯后于應用發展，云計算安全的總體框架未能在理論上達成統一認識，行業領域不同企業給出不同的理解和解決方案。因此，加強理論與實際相結合的研究也是一個重要發展方向。

（3）云計算安全的研究建立在云計算本身的發展水平之上，目前工業界云計算產品已經使用的安全策略只能針對現有的安全攻擊技術進行保護，而隨著云計算的發展，新的安全問題必然產生新的安全防護需求，因此目前尚未解決好的理論問題和未來云計算發展過程中產生的新的安全問題都有待進一步深入研究。例如，目前因為缺少密文域上的運算（例如高效的支持加密的搜索等）應用，大部分用戶的信息內容在云端還是以明文方式存放。因此支持密文域上操作，實現密文的搜索、重復數據刪除、數據持有性證明等功能是一個重要的研究方向。另外，目前許多研究成果尚處于理論階段（例如可信云計算等），因此加強云計算安全理論研究成果的產業化應用也將是一個重要發展方向。

（4）我國云計算的發展以市場為主導，但政府的力量不容忽視，如數據安全、數據保護、服務安全等更多地涉及政府層面。因此，加大政府應對策略的研究力度，加強這方面的政策法規研究，將有利于為政府更好地發揮引導作用提供理論依據。

[1]維基百科. 云計算. 維基百科 [DB/OL].

http：//zh.wikipedia.org/wiki/%E9%9B %B2%E7%AB%AF%E9%81%8B%E7%AE%97，2014-09-25.

[2]Mell P，Grance T. The NIST Definition of Cloud Computing[R].National Institute of Standards and Technology，Information Technology Laboratory，2009

[3]羅軍舟. 云計算：體系架構與關鍵技術[J]. 通信學報.2011.

[4]Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing V3.0[R]. The Cloud Security Appliance.2011.

[5]Bertino E，Paci F，et al. Privacy preserving digital identity management for cloud computing[A]. Bulletin of the IEEE Computer Society Technical Committee on Data Engineering[C].New York：IEEE Press.20090.

[6]Hao Z，Zhong S，Yu N H. A time bound ticket-based mutual authentication scheme for cloud computing[J]. International Journal of Computers，Communications & Control，2011，6（2）：227-235

[7]L Popa，M Yu，et al. Cloud police：taking access control out of the network[A]. Hotnets’10. ACM 2010[C]. New York：ACM，2010.

[8]F Hao，TV Lakshman，S Mukherjee，and HY Song. Secure cloud computing with a virtualized network infrastructure[A]. The 2nd USENIX Conference on Hot Topics in Cloud Computing[C].Boston，Massachusetts.2010.

[9]Ryan K L Ko，Peter Jagadpramana，Miranda Mowbray，et al. Trust Cloud：A Framework for Accountability and Trust in Cloud Computing[EB/OL].

http：//www.hpl.hp.com/techreports/ 2011/HPL-2011-38.pdf，2011-06-22/2014-10-11.

[10]S.Chen and C.Wang. Accountability as a Service for the Cloud：From Concept to Implementation with BPEL[C]. Proc. 6th IEEE World Congress on Services（SERVICES-1），IEEE，2010：91-98.

[11]Azab A M，Ning P，et al. HyperSentry：enabling stealthy in context measurement of hypervisor integrity[A]. Proceedings of the 17th ACM Conference on Computer and Communica tions Security[C]. New York：ACM Press，2010：38- 49

[12]Centry C. A Fully Homorphic Encryption Scheme[D]. Stanford University，California，September 2009.

[13]Jensen M，S S，Schwenk J. Towards an Anonymous Access Control and Accountability Scheme for Cloud Computing[C]. The 3rdInternational Conference on Cloud Computing. Miami，Florida，USA，2010：540-541.

[14]Roy I，Ramadan HE，Setty STV，et al. Airavat：Security and privacy for MapReduce[C]. In：Castro M.eds. Proc. of the 7th Usenix Symp. on Networked Systems Design and Implementation.San Jose：USENIX Association，2010：297-312.

[15]Dai W，Jin H，et al. TEE：a virtual DRTM based execution environment for secure cloud-end computing[A]. CCS 10Proceedings of the 17th ACM conference on Computer and communications security[C]. New York：ACM Press，2010：663-665

[16]Wang C，Zhou Y. A collaborative monitoring mechanism for making a multitenant platform accountable[A]. HotCloud 10 Proceedings of the 2nd USENIX conference on Hot topics in cloud computing[C]. Berkeley：USENIX Association Press，2010：18-18

[17]Haeberlen A，Aditya P，et al. Accountable virtual machines[A].Proceedings of the 9th USENIX conference on Operat ing systems design and implementation[C]. Berkeley：USENIX Association Press，2010：1-16.