面向未來的云安全服務技術架構與應用研究

藍 婷

（中國電信股份有限公司廣東分公司，廣東 廣州 510062）

引言

隨著計算機信息技術和智能終端應用技術的不斷普及，智能終端本身所具備的開放性、靈活性和高效率性等優勢促進了各產業的發展，但是也使得智能終端面臨著諸多安全問題。智能化系統在應用過程中，往往面臨惡意軟件控制智能終端后臺、竊聽用戶關鍵信息、安全防護被破壞等問題，進而影響智能終端正常運行，使計算機網絡信息系統不能正常工作。另一方面，隨著企業、政府機構管理平臺等對計算機網絡信息系統的大規模應用，若計算機網絡安全問題頻繁出現，將對企業經濟效益或者政府公共平臺的社會效益造成不可估量的影響。

近年來，智能終端頻頻發生網絡安全問題，雖然很多企業推出各種安全應用軟件，實現對病毒的查殺、垃圾的清理以及騷擾的實時攔截等，同時也有專家和學者實現對智能終端的數據的遠程備份和安全管理等，雖然在不同程度上可以智能終端提供一定的安全保護，但是缺乏必要的后臺安全解決方案。通常來說，在移動應用中會針對移動業務進行必要的安全防護，建立一定的安全管理平臺，但是往往缺乏與設備終端有效的結合，具有一定的局限性，造成安全防護層次不齊，不同程度存在安全隱患。對此，文中對面向未來的云安全服務技術架構進行優化，并對其應用進行相關分析。

一、云計算與云安全

通常情況下，根據現行的云計算標準定義SPI模型，可將云計算服務模型分為云基礎設施作為服務、云平臺作為服務和云軟件作為服務等三大層次，理解云計算服務模型之間的層次關系，是了解搭建云安全服務架構模式的基礎。在SPI的架構層次中，云基礎設施作為服務處于最低層，能夠提供整個云計算所必需的數據信息的存儲、處理等相關功能；而云平臺作為服務層次，能夠建立在云基礎設施作為服務層次基礎之上，為終端客戶提供相應的平臺功能服務；云軟件作為服務又進一步，以云平臺作為服務為基礎支撐提供更高級的應用層級服務。三種不同層次的服務模式，能夠通過其功能性、可擴展性、兼容性及以相互并包等優勢，使得終端客戶能夠根據其自身的相關業務特點和業務需求選擇適合的云計算服務模式，滿足自身的各類需要[1]。

從安全角度出發，云安全服務是云計算服務平臺及服務供應商和云共同用戶共同的安全責任，不同的云計算服務模式意味著需要不同的安全責任劃分和安全內容界定。因此，云安全服務架構模式的關鍵特點就與云服務提供商所在的層級相掛鉤，云服務提供商所在的層級越低，云服務安全用戶所需要的安全管理職責就越大。當然，云安全管理并不是指云計算的安全管理過程，而是指安全廠商針對云計算的整個過程推出的安全管理服務，在整個云安全管理服務過程中，云安全作為云計算理念在安全領域的重要體現，能夠通過互聯網信息數據的支撐，將用戶和其他任意殺毒軟件等平臺緊密連接起來，從而組成龐大的惡性軟件的監測系統，查找網絡結構中的不合法、不合規之處，從而為構建共享的高度安全的網絡機制奠定基礎。

二、云安全服務的關鍵技術

隨著云計算逐漸發展，成為業界熱門技術，是當前信息技術變革的核心，由于其具有簡單易用性，可以大幅度降低運營成本，這就更好地為人類謀福利。云計算資源是高度共享的資源和分配，云計算服務平臺更多地作為一個整體的獨立系統而體現出其高度共享性，往往是以某一固定數量的資源或者某一既定的解決方案，為客戶提供相對應的互聯網服務，在整個服務的提供和業務流程的擴展過程中較為固定。隨著互聯網信息技術的不斷發展及基于市場需求的服務架構模式的不斷改變，云服務理念進一步擴充，逐漸形成了基于網絡安全設備的高度共享和互聯網應用之間的客服服務體系。因此，如何通過發布資源和搜索資源就需要開展大量工作才能夠獲得運營服務過程，也就是說，安全服務的重點進一步落實在相關資源和任務的獲取以及接口功能匹配、流程定義和服務質量等的智能化匹配、自動化組合過程中。該類云安全服務往往缺乏較為有效的解決手段，同時，由于現階段云安全技術并不能夠很好地解決網絡資源信息共享過程中安全設備的動態共享和智能分配等諸多問題，也不能夠解決終端客戶的物理設備智能嵌入等問題，這就使得云服務的相關推廣受到了較大限制[2]。

目前，云安全服務推廣設計的關鍵技術可分為安全模式體系架構相關標準和規范、云端化服務、云服務綜合管理技術三大部分內容，以云服務綜合管理技術為例，云服務綜合管理技術主要研究和支持云服務運營商相關舉措，通過終端服務網絡體系的不斷完善和優化進行數據信息和發布，對終端網絡體系架構的組合和管理進行高效率的資源調度，從而完成一系列綜合操作過程。此過程主要包括了提供資源端的相關服務的接入管理、統一定義和統一接口管理、認證管理等，也包括了高效的動態化過程控制、云服務組件以及存儲等，還包括了高效能的自動化匹配和自動搜索服務、動態匹配技術等。建立的云安全管理具有以下特點：一是可以滿足統一的云端的管理，所有使用的用戶可以利用云端實現對智能終端的保護，在一定程度上可以有效降低成本，同時，可以實現快速的推廣，便于迭代等；二是，不僅可以為智能終端提供一定的安全防護，也能為移動用戶提供必要的安全保障，并提供安全可靠的技術保障；三是，相關密保密鑰均符合國家標準和規范。

三、整體架構分析

面向未來的云安全服務技術架構，是基于云計算平臺在現有的綜合網絡信息管理設備和管理系統的基礎上，實現高效統一的云管理服務，從而實現云管理服務的統一，也能夠實現高效率的統一管理。在此過程中，可利用數據結構證明方式、虛擬網絡計算審計方式和密鑰管理框架模式、安全高效的認證管理協議等控制手段接入，最大限度保護終端客戶的隱私和數據安全，從而消除終端使用客戶對于云計算平臺和安全服務平臺的疑慮，保證云安全計算平臺后臺的穩定運行[3]。

通常情況下，云安全服務技術架構平臺主要包括云基礎設施作為服務層、云平臺作為服務層和與軟件作為服務層三個層級。其中，云基礎設施作為服務層，主要是提供云計算機網絡信息系統基礎運行存儲資源、計算資源和數據處理資源，通過開源性的云計算基礎設施平臺架構和云基礎設施層，實現硬件資源的虛擬化和數據信息的高效率處理，以虛擬計算機系統為基礎單元，對參數信息進行高效率的分配、調度和管理，在此過程中，云計算虛擬基礎設施層能夠借助其虛擬的基礎設施資源，實現基礎設施資源的網絡化交付。在云計算平臺作為服務層應用設計中，該層級以云基礎設施作為服務層為基礎內容，通過服務接口的設計實現基礎功能設計，構造網絡安全管理應用平臺。在此過程中，基于開源的云計算應用平臺能夠提供分布式儲存和并行計算等支持，為各類型的創新軟件和APP服務等提供技術支撐，包括對海量數據信息進行存儲管理及對安全數據信息進行采集和分析。最后，以云平臺作為服務層和云計算基礎設施為基礎架構起來的云軟件作為服務層，能夠以網絡端服務接口為中介，通過網絡服務的形式提供各類型直接面向終端用戶和面向市場應用的軟件服務，包括網站的風險評估、安全防護、防火墻、審計等諸多內容，圖1即為云計算安全平臺架構應用示意。

圖1 云計算安全平臺架構應用示意

四、功能設計

云安全服務技術架構，主要是通過云服務方式提供多種面向終端客戶和市場需求的服務，包括用戶管理、資源管理以及密鑰管理、終端設備的安全管理等內容。以終端設備的應用和安全管理為例，云安全管理平臺的基礎設施層能夠提供整個管理信息系統所需要的存儲資源和計算資源，進而通過云計算系列虛擬架構系統所構建的基礎設施層實現硬件資源的虛擬化過程，以虛擬的計算機網絡信息系統為基礎單位，對相關資源進行高效的分配、調度和管理，整個過程中能夠借助基礎設施資源的高效率虛化和應用，實現對架構資源的網絡化交互，圖2即為某應用體系管理示意圖。

圖2 某應用體系管理示意圖

在此過程中，終端用戶安全系統管理作為整個云服務架構模式管理的重中之重，主要針對終端用戶面臨的多種多樣惡意程序、惡意病毒甚至是木馬軟件等諸多信息泄漏風險，提供相應的安全管理工具和系統管理，以軟件對病毒進行查殺、開展病毒檢查及為終端系統提供補丁和漏洞修復等內容，且可設置安裝包、管理程序、過濾等多樣化方式實現云計算平臺整個運行過程中的邊界終端防御，從而架構起完善的防御機制，實現對木馬病毒、惡意代碼的防御和閉環管控[4]。

五、重難點分析

在建立云安全服務技術架構模式的過程中，其難點主要包括跨終端的云安全服務技術、數據自適應安全加密傳輸技術、自組織的多級復合身份認證技術以及智能分級防御引擎技術四大部分內容。以數據自適應安全加密傳輸技術為例，由于智能終端在較為開放的網絡市場環境中使用，其安全保護依舊是困擾信息安全的重要內容。目前，能夠實現智能終端設備在端到端的數據信息傳輸過程中的加密技術是有效保障數據自適應安全的重要方法，采取隧道模式和其他代理模式的自動適應機制，能夠保障在同一平臺支撐下不同用戶、不同群體之間數據信息傳輸的安全性，從而根據設備各自的數據情況，選擇相應的安全監管模式。在此過程中，數據自適應安全加密傳輸技術主要包括了解密算法、密鑰管理機制以及自組織的多級復合身份認證等類型。以自組織的多級復合身份認證技術為例，為了最大限度地保證終端移動客戶所連接設備的合法性和安全性，在固定某一網絡甚至或不固定某一網絡支撐但具備統一支持的認證框架結構體系下，在特定情況下通過使用非交互式的計算對稱密鑰，能夠盡可能地減少網絡信息系統中數據信息傳輸中的鏈路開銷，通過一次性的證明算法確保數據傳遞方和數據接收方之間認證的合法性，從而保證數據的安全高效率傳遞。在此過程中，能夠通過移動設備的身份識別、使用者的身份匹配及應用使用者身份的多級復合等身份認證，以確保云計算安全平臺的身份安全認證功能，通常以sm1和sm2作為其基礎算法。在安全技術管理平臺的應用過程中，為了確保遠程接入設備遠程接入的移動設備的合法性和安全性，使同一個賬號在不同的安全場景使用和不同需求下，提供不同強度的接入身份認證，一般采用用戶名加口令的認證方式，或者是認證證書加碼的認證方式[5]。

結語

本文在面向未來的理念指導下，通過對安全云模式、體系架構、相關標準及規范云端化技術云服務綜合管理技術等云安全服務關鍵技術的分析，結合云安全服務技術架構的整體分析和功能設計，詳細探究了云安全服務技術架構中的用戶管理、終端系統安全管理、數據加密管理、設備管理等內容，指出該方案搭建應用中的難點，并提出相應的優化措施，以促進利用云模式更好地實現終端和移動應用的安全管理和服務，為后期的智能終端安全管理方面提供安全、低成本的保障，同時也為智能終端和移動終端的安全問題提出建設性的思路。