云計算網絡安全現狀與思考

摘要：在信息時代發展過程中，云計算作為一種新的信息技術能夠有效提升資源利用率，逐步成為信息時代的主流，隨著云計算的發展可信云計算以及云計算安全的問題也逐步凸顯。在實際應用過程中，可信云計算技術與安全云計算技術二者，可獨自為用戶提供服務，又可進行有效組合，構成云計算網絡安全技術，以此提升云計算的安全性。基于此本文從云計算著手對云計算網絡安全典型技術與問題進行探究，并提出云計算網絡的安全應用策略，旨在為日后相關人員的研究提供參考。

關鍵詞：云計算技術；網絡運行安全；網絡發展

隨著信息時代的到來，近幾十年信息技術不斷發展，致使人類社會已經逐漸在互聯網的影響中，互聯網不斷發展和優化，形成云計算。而在云計算運轉過程中，主要安全問題仍是影響其運轉安全性的首要問題，相關人員應對企業進行研究運用相關方式進行優化，以此提升網絡發展的安全性和穩固性。

一、云計算概述

云計算這個理念最初是由美國國家標準化技術研究所（NIST）提出的，概念認為云計算本質上是一種新的資源使用模式，即網絡、服務、應用等可以被配置的計算資源，并且這種數據資源能夠迅速地合理配置，而且能夠用很小的代價或者僅需要通過云服務提供商完成少量的操作，就能夠完成大數據的發布[1]。從理論上也不難發現，虛擬化正是由于把巨大的運算任務轉移到由大型運算群集和更大型的數據中心所組成的運算資源池中，使運行管理系統能夠按需提供資金，得到所用的儲存、運算以及其他各種業務，同時借助互聯網把這些計算資源按需求租用給消費者。但云計算的出現，帶來了可信云計算和云計算安全問題。目前大多數可信計算方法基于當地計算機可信度的計算。然而，在云計算時代，云交互的核心是人才，而人才則是核心的信任來源，因此，傳統的信任計算方法已經無法應用，可信云計算是取代了基于人類的可靠性計算的一條全新的技術途徑。另外，目前大多數的反病毒程序的可信計算目標是本地的信任根。但是，在云交互過程中，惡意的使用者和黑客都會襲擊他們的資料中心。所以，云計算的安全性應當更多地將注意力轉向識別可信的和非可信的，并且基于可信的用戶身份驗證對潛在的惡意攻擊。

二、云計算網絡安全相關技術介紹

（一）密文檢索與處理

當資料轉換為加密文本時，會失去很多其他屬性，這就是造成大部分資料解析法失敗的原因。①以安全性指標為基礎的方式，為密文的關鍵字創建一個安全的指標，可以對索引的關鍵字進行搜索。②一種以密碼方式進行加密的方式，對密碼文本中的各個字進行比較，確定有沒有關鍵字，并對其產生的頻率進行計數。本文重點討論了保密同態密碼的實現方法。盡管在學者們的不懈探索和實踐中，密碼文本的搜索和數據的整理已經有了很大的進展，但是這個技術的實現，仍然任重而道遠。

（二）可信訪問控制

在云模型中，利用非常規的存取方式實現對數據的存取，即可信訪問控制問題，具體可應用以下幾種方式進行可信訪問控制：①存取控制的加密技術，主要內容有：采用分層密鑰產生和分發機制實現存取控制；使用基于特征的密碼算法（例如，KP-ABE是以KP-ABE為基礎的密鑰法則），或者是以CP-ABE為基礎的密碼規則；采用 Agent再密碼算法；將存取控制樹的方式隱藏到使用者的密碼或密碼中。②取消授權，其中最基礎的一種方法是設定密鑰的無效時刻，然后通過驗證中心定期對密鑰進行修改；或者通過對其進行完善，提出了一種基于用戶獨特 ID和非門型的網絡安全訪問許可清單，從而可以對特定的使用者進行訪問。然而，該技術還面臨著一些問題，例如：有限授權、授權限制等。

（三）數據存在與可使用性驗證

因為大量信息可能產生的巨大通信風險，使用者往往不能夠在大量信息下載后再求證其真實性[3]。因此，云系統就需要在取回很少信息的前提下，采用一種高信息驗證技術或概率分析方式，用較高置信風險確定了遠部信息的安全性。代表性的方式主要有：①面向使用者個人認證的信息可檢索的認證（POR）方式。②開放可檢驗的數據持有證明（PDP）方式。③PDI（provable data integrity）方式，這個方式是對傳統POR方式的進一步完善，它大大改善和增加了傳統POR方式的信息處理速度和認證的范圍，并可以實現開放認證。④其他方式，新的樹結構 MAC樹算法，以及一種以代寫為基礎的新算法，采用 BLS同態性和 RS錯誤校正編碼等。

（四）數據隱私保護

云中的數據隱私保護貫穿每個數據的整個生命周期，目前的解決方法有：①安全保密體系 airavat。該方案結合了信息流量管理（DIFC）和差分隱私技術，實現了云計算的數據產生和運算，從而有效地避免了在 map reduce運算時未經許可的個人隱私信息外泄，并且能夠實現對算法的自動解密。②在資料儲存與利用方面，存在一種以客戶為核心的保密機制，用以協助使用者在云端儲存及利用機密資訊。③一種名為“匿名”的搜索引擎，它能讓用戶在進行信息檢索的過程中，獲得自己想要的信息，而不是被人知道的信息，也不會在檢索過程中被發現。④其他的隱私權處理技術有 K匿名、圖匿名和資料預置等。

（五）虛擬安全技術

虛擬化信息技術是實現云計算技術的關鍵科學技術，而運用了虛擬化信息技術的云計算平臺中的云架構提供者，需要給其用戶帶來信息安全和隔離保障。其最主要的思路是：①在 Grid系統中采用虛擬技術來實施獨立的執行程序。②利用兩種可識別的高速緩存級可察覺的內核指派和高速緩存分區的頁面著色來進行效能和安全性的分離。當將那些對 VM產生作用的高速緩存界面進行分離時，它們會被有效地結合到 RM的范例云計算體系結構中。另外，每個鏡像檔案都與一個用戶程序相匹配，并且要求能夠被安全地分享。該方案能夠對圖像進行訪問控制、來源跟蹤、過濾、掃描等功能，能夠對違反安全的問題進行有效的探測和修正。但與此同時，必須關注虛擬化中圖像文檔的安全性問題，因為每一份圖像文檔都相當于一臺客戶應用，因此需要具備的高安全性，并需要可以安全共享的關系。其所提出的圖像文檔管理系統完成了對圖像文檔的瀏覽監控、來源追溯、自動過濾和掃描檢查等工作，由此檢測數據的安全性。

（六）云資源訪問控制

在云計算的背景下，各云系統具有各自的安全性特點，各安全領域都對本地資源用戶和資源的安全性負責。在用戶跨區訪問資源時，需要在網際邊緣進行驗證，以查明所有接入的使用者的統一身份驗證。對于多領域的資源存取，每個領域都有各自的安全控制政策，在進行資源分享與維護時，需要建立一個共同的、雙方都認可的公共安全控制機制。目前最主流的方法包括：①采用強制訪問控制框架策略的戰略組合架構，把兩個安全管理格組成了一種全新的格框架。戰略組合的過程中必須提高新戰略的穩定性，新的戰略組合方法也一定不會違反各個區域原來的拜訪管理策略。②拜訪管理策略的發生代數，采用聚合論的組合運算符和組合網絡安全戰略。③根據授權關系變化的戰略生成代數結構。④一個多信任域的RBAC戰略生成戰略，著重于處理新生成的戰略和各區域內原有戰略的一致性問題。

三、云計算網絡安全的應用策略

（一）可信電子政務云技術

可信基于電子政府云計算的構建，構建了基于云計算的信任云的安全技術。根據現有的電子政府中心的功能特征，可以將其劃分為數據中心、區域災難備份中心和區域級的超級計算機幾種類型。其建設內容包括：數據存儲與處理、區域災難備份中心、區域超級計算中心等。根據云業務數據中心的功能要求，提出了一個面向全國范圍內的統一的數據中心，即將地區的超級計算機系統轉變為云端的管理系統，將數據的存儲和處理轉換為云端的業務，并將其作為一個完整的系統。

本文的研究內容包括電子政務云平臺管理系統和電子政務云服務數據中心。

1.電子政務云平臺管理系統

目前地區超強計算核心的主要發展正是以互聯網為中樞的云計算模式。所以，為了改變地區超強計算核心的電子政府云信息管理網絡平臺，使其在高度的密集使用環境條件下正常工作，對基本互聯網應用服務有著較為嚴苛的使用條件。

2.電子政務云服務數據中心

①可信計算網絡設備建設，可信計算系統維護使用過程的合規性和數據的統一性，讓使用者可以根據法律規定管理和訪問的控制方式進行使用。要做到什么樣身份層次的用戶可以進行與其資格條件相符合的存取行為，只要操作方式是正確的，則整套信息系統的存取流程便是安全可靠的，從而形成安全可信的應用環境。②安全界限裝置和它的共用服務器、安全界限裝置（如安全網關等）對共用服務資源進行安全防護，并具備身份驗證和安全審核的能力，使共用服務器（如數據庫服務器、網絡服務器、郵件服務器等）與不法存取方進行分離，以避免未獲許可的使用者（如不受信任的終端）的不可預見的存取。通過這種方式，共用服務器無需進行煩瑣的存取管理，減少了服務器在服務被拒絕時的負擔。③由保密管理、口令處理、口令處理等組成的行政中心。實現上述終端、邊界和通信的高效保證，要求對授權管理和安全管理中心和受信任的組態口令管理系統提供技術支撐。④安全域和全程 IPSec，在安全性領域，通過 IPSec的全過程可以保證整個系統的通信的安全性和保密性。IPSec是運行在系統中的，它能保證從源向目標的通信全過程。保證傳送線路的可靠性，保證資料的保密及一致性，防止非法入侵。⑤一種對共用的服務進行了直接存取的裝置，也就是一種安全的隔離裝置。該安全隔離裝置保證了不受信任的非法存取的終端不能僅經由一個程序安全性的邊緣裝置來直接地存取共用的業務資源。在IT系統方面，為了保證數據中心的可靠度，必須保證其基本結構的規范化和兼容，避免在未來的變化給 IT系統造

（二）可信電子商務技術

1.現行 Electronics技術的優勢和劣勢

淘寶和阿里巴巴都是以支付寶為基礎的中國最好的網絡平臺。而支付寶，則是依托于阿里巴巴的企業信用，才能建立起支付寶的云計算和客戶服務體系。這個程序的基礎架構包括阿里旺旺、淘寶旺旺等用戶端，盡管阿里巴巴公司電商云優勢突出，但還存在可完善之處。舉例來說，從支付寶的安全方面考慮，支付寶安全技術的最大好處就是將安全保護的重心放到支付的過程上面，從而有效地避免了運營商對操作流程中所承擔的巨大風險。其不足之處是采用的密碼學方法，較難管理支付寶的賬號。而且口令太簡單易被人猜破，口令較復雜記住比較麻煩。記在筆記本上，也易被人偷窺。如果泄漏用戶的信息，用戶賬號的信息將會被盜用。

2.可信云網絡安全計算技術

利用信任的云計算技術對支付寶用戶端和支付寶的管理系統進行了改進，并對該系統的應用進行了改進，從而有效地解決了支付寶用戶的口令問題，具體為：①設置可信云服務器和技術平臺，在原阿里旺旺服務器的高新技術基礎上添加了可信模式識別高新技術、可信密碼學高新技術、可信融合的高新技術。同時，在支付寶的云管理方法基礎上進行了相應更新。

②用戶登錄到網絡管理平臺上的信任云客戶端。通過對登錄賬號和口令的確認，系統發送用戶信任的云端憑證，并授權其進行支付寶登錄和付款鑒權，這種方式是在原系統的基礎上，增加了一個可信的生物信息識別和一個信任的證書簽名，以保證支付寶的安全性，即便是被第三方偷盜，也不會傷害到系統的安全性。

3.可信云網絡安全計算技術

解決的基本步驟如下：

實施可信任的云端使用者，目前所有電腦，包括上網本、筆記本電腦、臺式機，都配備了攝像頭和麥克風。通過使用這種裝置，阿里旺旺客戶機可以通過可信的云技術如可信的圖像識別技術、可信密碼技術來對支付寶現有的云進行升級。實施受信任的云使用者方證書，基于支付寶現有的憑證，實施了基于信任的云使用者的身份證明技術，其中包含了信任登記和信任驗證技術，使得支付寶的云端使用者證明變成了受信任的云端使用者證明，其具備了基于信任的證書和基于信任的生物信息特性的雙重身份認證。

實施信任云計算平臺的過程，基于支付寶云計算平臺的工作過程，完成了基于客戶方的信任證書和云計算服務的可信證書的驗證。①授權用戶方驗證受信任的憑證；②支付寶的身份驗證在云端管理系統中的應用；③支付寶的云化管理系統的初始驗證流程；④驗證支付寶云托管系統的收款和轉賬；⑤反復重復①、②、③步驟。

4.可信云網絡安全計算技術

可信云安全技術是基于支付寶的傳統安全方案，加入基于信任的云計算技術，從而保持了支付寶安全系統的優勢。①不擔心標識口令泄漏，因為添加了受信任云計算管理平臺指令受信任的云計算使用者方來進行憑證受信任的簽字和對公共密鑰的授權的信息資訊特性的恢復和鑒別，也就是對可信的融合進行了雙重技術的認證。使用者即使是暴露了自己的身份，他人也無法冒充兩種技術進行認證，使得支付寶云端使用者的口令更加難以操作。②易于操作。可以將使用者的私人密鑰保存或儲存于終端內存，或者可以在本機或移至其他的使用者終端。使用者專用密鑰被用來恢復由憑證公開密鑰所含的受信任的生物資訊特性，所述特性可以作為鑒別目標的標識模板，以便能夠利用所述信任的圖案來進行鑒別。

四、結束語

總而言之，在信息時代發展過程中，云計算網絡安全問題不可忽視，增強安全防御，提高其安全性，對于人們生活生產而言具有至關重要的作用。在現今網絡中，網絡環境無法達到絕對安全，其在實際運轉過程中面臨著一定的挑戰和威脅，因此相關人員應對其安全威脅和挑戰給予認真研究并分析云計算網絡安全問題，運用針對性措施對問題進行解決，從而優化安全管理，創新安全防御新路徑，以此為云計算網絡進一步安全運用，供優越的環境和有利的條件。

作者單位：于博 長春市德普信息技術有限公司

參" 考" 文" 獻

[1]楊帥，許志廣，李麗梅，等.云計算技術在計算機安全存儲中的應用[J].數字技術與應用，2022，40（07）：212-214.

[2]劉雯雯.基于云計算環境下的計算機網絡安全存儲系統的設計與實現[J].電腦知識與技術，2022，18（12）：38-40.

[3]姜春雪.云計算技術在計算機網絡安全存儲中的應用研究[J].電子元器件與信息技術，2022，6（04）：168-170.

于博（1979.03-），男，漢族，吉林長春，研究生，研究方向：網絡安全、信息安全、網絡安全法相關、國家網絡安全相關標準。