云计算安全体系研究

吴耀辉

[摘要]云计算是信息技术领域发生的重大变革，这种变革为信息安全领域带来了巨大冲击。本文对云计算的安全需求进行了比较详细的总结和分析，指出云计算不仅在机密性、完整性、服务有效性等传统安全基本需求上赋予了新的内涵，而且增加了可靠性、身份认证、可移植性、合规性、可追责性、虚拟机及终端安全等方面新的安全需求。最后在对安全需求分析的基础上，提出了云计算的安全体系框架，为云计算的安全保障和研究提供了参考依据

[关键词]云计算；机密性；数据完整性；身份认证；可靠性；可移植性；合规性；可追责性；体系结构

[中图分类号]TP309 [文献标识码]A [文章编号]1672-5158（2013）05-0001-02

1 引言

云计算具有快速伸缩（Rapid elasticity）、按需自助服务（On-de mand self-service）、无所不在的网络访问（Broad network access）、资源池（Resource pooling）、服务可度量（Measured service）等独特优势，对于企业用户而言可显著降低计算和存储的维护成本；对个人用户而言通过将信息的存储和计算放在云端，降低了自身存储和计算资源有限所带来的很多约束。云计算提供商以自己强大的经济和技术实力，在法律法规的约束下保障云计算的高度可靠性。云计算高速发展，但安全问题却日益突出。据有关调查，70%以上受访企业认为近期不采用云计算的首要原因在于存在数据安全性与隐私n生的忧虑。文章对云计算安全面临的挑战进行研究，对安全需求进行深入探讨，最后提出云计算的安全体系结构。

2 挑战与风险

云计算是信息技术领域发生的重大变革，这种变革为信息安全领域带来了巨大挑战：（1）在云平台中运行的各类云应用没有固定不变的基础设施，没有固定不变的安全边界，难以实现用户数据安全与隐私保护；（2）云服务所涉及的资源由多个管理者所有，存在利益冲突，无法统一规划部署安全防护措施；（3）云平台中数据与计算高度集中，安全措施必须满足海量信息处理的需求。

云安全联盟与惠普公司共同在对29加企业、技术供应商和咨询公司的调查结果进行研究分析后，共同列出了云计算面临的数据丢失/遗漏、共享技术漏洞、供应商可靠n生不易评估、身份认证机制薄弱、不安全的应用程序接口、不正确的使用、对供应商的未知安全的安全七宗罪。国际著名IT咨询研究机构Gartner早在2008年就在文中描述了云计算存在的7大安全风险；ENISA（欧洲网络与信息安全局）在其发布的《云计算安全风险评估》中也提到了云计算安全所面临的7大关键性问题；

3 云计算的安全需求

3.1可靠性

云计算通过整合分散的、甚至是闲置的资源来提供服务，这种分散的、闲置的资源可能不是稳定“在线”的，所以，要求云计算系统要具有较强的数据容错和单个计算节点故障恢复措施来保障服务的高可用可靠性。云计算是以互联网为基础的，而互连网是脆弱和不可靠的。系统的高可靠性是云计算系统设计时的基本要求。Goog～电子邮件服务中断、微软云计算平台window s A zu re运作中断、亚马逊的“简单存储服务”（simpleStorage Service，s3）中断等问题都可归结为是由于云计算系统可靠性设计的不足而发生的。除了对设备、资源云系统可靠性考虑外，对可靠性需求的另外一个方面是提供商在选用员工时对员工背景的调查，选用可靠的员工。

3.2保密性

用户数据和应用程序都在第三方云提供商提供的基础平台中运行，云服务提供商可能随意处置用户的数据与代码，容易造成用户数据的泄露和丢失；服务提供商还可以通过数据挖掘及推理分析等技术发现用户的使用习惯，用户与其他用户之间存在的交易关系等私密信息，造成用户隐私泄露；在云端，应用程序要对处于加密状态的数据进行处理，应用程序需要首先解密数据，然后再完成运算，但是加密的方式又带来了运算上的开销，提高性能要求需要服务器能够在密文上面直接进行操作。在最理想的情况下，服务器在密文上的任何操作都能够直接对应到明文上的相应操作，这种加密方法称为完全同态加密。在完全同态加密不能高效实现的情况下，利用同态函数的特性保护隐私，研究基于密文的操作是云计算实现保密性的一个很重要的需求。

3.3数据完整性

完整性指系统内信息在存储或传输过程中不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等以造成破环和丢失的特性。云计算安全完整性需求主要包括云用户存储在云中的静态数据的存储，在存取过程中需要完成的完整性检测要求，以及应用程序在处理数据时，在从存储介质中存取数据，在对数据流中数据包的完整性检测校验。

3.4服务有效性

在云计算中，可能由于各种原因导致的用户在需要时不能得到云服务商提供的及时有效服务。如云虚拟机因漏洞或系统更新等而导致的进程崩溃、宕机；攻击者破坏了用户应用程序的完整性使得用户程序部分或全部不能正常运行；由于虚拟机控制权丢失而致使用户失去对主机/月艮务器的控制和使用权，云内部或用户接人端受到黑客攻击导致大面积的DDoS/DoS；如此等等，这些都要求云服务提供商要预备各种应急灾备措施和设备保障，对数据，平时要为用户做好灾备考虑，要有足够的实力，为用户提供可供选择的备用带宽、存储及计算资源。

3.5可控性

计算机既是解放的技术，又是控制的技术。云计算就犹如一台更加庞大的和“泛在”的超级计算机，所以，在云计算中的控制也显得更为重要，云计算改变了互联网时代依靠防火墙在物理上保护一个“安全域”的安全防护的模式已不存在，对每个云用户的应用程序进程、数据隐私的访问及控制依赖用户的身份，所以，要实现云计算的控制，首先做好用户的身份管理，身份管理主要涉及身份的供应、注销以及身份认证过程。在云环境下，实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务。其次，云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型（女口基于角色的访问控制、基于属性的访问控制模型以及强制/自主访问控制模型等）和各种授权策略语言标准（如XACML，SAML等）扩展后移植入云环境。此外，鉴于云中各企业组织提供的资源服务兼容性和可组台性的日益提高，组合授权问题也是云访问控制服务安全框架需要考虑的重要问题。

3.6虚拟安全

虚拟化是云计算的重大技术特征。虚拟安全包括虚拟环境下，虚拟主机、虚拟通道、虚拟网络连接设备的安全。虚拟安全主要包括虚拟机自身安全、虚拟机之间的安全、Hypervisor与虚拟机之间的安全、虚拟机镜像安全、虚拟环境中的权限控制与认证安全、虚拟机迁移安全、桌面虚拟化安全等。云计算多个虚拟设备（主机或网络互连构件）可能会别绑定到相同的物理资源上，可能导致信息泄露或数据的覆盖。要防lkhypervisor被入侵从而控制虚拟机资源；虚拟机和Hypervisor通信时，要防止可能包含敏感信息如特权账号的用户名和口令被嗅探窃取；要防止应用程序绕过底层，利用宿主机进行某些攻击或破坏活动。

3.7可移植性（portability）

数据“锁入”（LOCK IN）是指在云计算中当一个云计算服务提供商因种种原因不能够为用户提供服务，用户需要将其数据信息以及应用从一个云服务提供商迁移到另外的云服务提供商提供的云平台上进行存储、部署时，不同云平台间没有统一标准的配置、运行环境接口，而使云用户遭受损失。可移植性是指将数据或应用程序从一个提供商搬移到另一个提供商，或将它全部搬移到本地的能力。目前还不能提供统一的工具、规程、标准数据格式或服务接口来保证数据、应用程序和服务的可移植性；原数据、数据的备份和日志、访问记录的冗余拷贝，以及其他任何可能因法律或合规性原因而导致的信息、数据能否被完整迁移。

3.8合规性

不同的国家对信息系统建设、管理的相关规定、立法不同，许多国家或地区都有严格的隐私法，禁止将某些数据存储在本国或本地区外的物理机器上，对违反这些法律的机构通常将进行严厉处罚。云服务提供商要对用户数据的存储及应用的发布、运行范围进行审查或限定，以满足法律法规、处罚条例以及其他的法案的要求。同时，云计算大大提升了计算的效率和能力，也给非法行为带来了便利，如利用云计算资源破译口令和系统密码；云平台对资源的动态伸缩性管理和资源共享模式意味着云服务平台拥有庞大的网络资源、计算资源和用户身份资源，如果这些资源被黑客或内部人员非法利用，用于组织类似DDoS、僵尸木马类的大规模攻击。所以，云计算在使用用途上，也必须严格审定其使用的正当合法性。

3.9可追责性

在云计算中，数据和应用程序属于用户，然而，数据的存储和应用程序的运行场所并不属其所有者用户所管辖和控制的区域，但是当出现数据的保密性、完整性、有效性遭遇破坏或用户隐私遭受到不法侵害，违反云用户与云提供商事先的服务等级约定或其他法律法规时，在用户和云计算提供商之间可进行相应的责任追查。在云计算这种新的电子空间环境下，这种可追责性需要一定的环境保障，这种环境保障主要表现在有法可依、可电子取证、可审计三个方面。

3.10终端安全

云平台中数据与计算高度集中，用户接人呈现时间，地点的不确定性和访问终端类型多样化的特点，终端是攻击的起源和人口，所以，云计算要为云用户所安全利用，就必须包括终端安全，终端安全需求具体包括接口适配需求、身份安全和终端运行环境安全需求等。

4 安全体系总体结构

依照以上云计算安全需求，参考云计算定义，本章提出了面向架构的云计算安全服务模型，在此基础上，又给出了云计算安全体系。

3.1面向架构的云计算安全模型

图1是云计算安全参考模型。可以看出，云计算安全模型是一种多层次的安全保障体系，安全服务是多方位和多层次的，我们把该模型作为云计算安全技术体系设计的基础。

3.2面向服务的云计算安全体系

根据云计算安全参考模型设计的云计算安全体系结构如图2。

（1）基础设施安全服务

基础设施安全服务为上层云应用提供安全的数据存储、计算等资源服务，保护业务连续性和数据的隐私性是其主要安全目标。基础设施层面主要考虑的安全要素包括：物理安全 物理防护、网络可靠、备用设施等；存储安全一存储加密和完整性，数据备份、灾难恢复等；虚拟化安全Hypervisor加固、镜像加密、虚拟机隔离等；系统安全——则应涵盖虚拟机的管理和安全；网络安全——FW/IPS/IDS、拒绝服务攻击、程序漏洞、网络监控等。

（2）基础平台安全服务

基础平台云安全服务是支撑云应用、满足用户安全目标的重要手段，其中比较典型的几类安全服务包括：云用户身份管理服务，主要涉及用户身份认证、管理，还包括云环境下的身份联合管理、单点登录等问题；云授权服务，研究适合云环境中的访问控制模型和授权策略，提高各企业，组织资源管理的可靠性、兼容性和扩展性；云审计服务，满足用户安全管理与审计的需要，可信地提供包括操作系统，数据库管理系统和网路设备等重要资源的日志和记录；云密码服务，除提供最典型的加、解密服务外，云密码服务还包括秘钥管理与分发，证书管理等安全服务。

（3）应用安全服务

云安全应用服务是根据用户的需求，提供信息安全服务和应用安全服务。信息安全服务包括内容过滤与杀毒应用、内容安全云服务，应用安全服务包括DDOS攻击防护云服务、安全事件监控与预警云服务、接人安全、终端安全等服务。

（4）云计算安全管理服务

云提供商需要提供透明的安全管理服务，建立信任度。云计算在很大程度上取决于它的许多组件的安全，包括通用的计算组件，如部署的应用程序、虚拟机监视器、客户虚拟机、数据存储和次要的中间件之外，也包括了一些管理功能组件，如用于自行配置资源、资源计量、限额管理、数据备份和恢复等管理组件。因此，对一个安全的云计算解决方案的操作和维护，强大的管理措施是必不可少的。对用于建立和维护信息系统资源的保密性、完整性、可用性的安全策略的管理、对主机和网络的配置及关键文件的管理和监控、对系统中有关安全的所有活动的记录和审查、防止恶意用户攻击的漏洞和补丁管理等管理措施都是必不可少的。

（5）云计算安全基础设施服务

为了弥补网络控制的丢失以及加强风险保障，云提供商将提供安全基础设施服务。主要包括证书、密钥的管理、身份管理、访问控制管理等。

5 结束语

云计算这一信息技术的新模式，目前已经在广泛应用，但还没有进入到关键应用的实质性大规模运用阶段，究其原因，正在于它的安全性问题。目前工业界云计算产品已经使用的安全策略只能针对现有的安全攻击技术进行保护，而对云计算中新产生的安全问题还能没有更多考虑。我们对云安全的需求做以总结和归纳，提出云计算安全的总体结构，旨在为云计算安全方面的研究做一个好的铺垫和帮助。云计算作为一个新兴的产业发展非常迅速，我们期待着其中的安全问题能够早日被完善解决并在实际产品中得以应用。

参考文献

[1] NIST.The NIST Definition of Cloud Computing.Special Publication 800-1 45.2011

[2]刘鹏.云计算（第二版）.北京：电子工业出版社，2011

[5]周洪波.云计算——技术、应用、标准和商业模式.北京：电子工业出版社，2011

[4]冯登国等.云计算安全研究.软件学报2011，22（1）：71—83