毛乾任　徐唐　劉勁松

摘 要： 對(duì)現(xiàn)有個(gè)人云計(jì)算服務(wù)模式和安全需求進(jìn)行了分析；從用戶信息安全、數(shù)據(jù)安全、個(gè)人云服務(wù)的自身穩(wěn)定性及可靠性三個(gè)方面入手，結(jié)合網(wǎng)絡(luò)虛擬化等網(wǎng)絡(luò)安全技術(shù)、Iaas/Paas核心架構(gòu)安全技術(shù)和個(gè)人云安全管理技術(shù)，設(shè)計(jì)并整合了一種可以實(shí)施的個(gè)人云安全架構(gòu)；針對(duì)個(gè)人云終端用戶，根據(jù)虛擬資源化管理和個(gè)人云服務(wù)的要求，為當(dāng)前個(gè)人云計(jì)算發(fā)展提供了一種安全技術(shù)支持。

關(guān)鍵詞： 個(gè)人云計(jì)算； 云服務(wù)； 個(gè)人云安全架構(gòu)； 個(gè)人云安全技術(shù)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2013）09-17-03

0 引言

個(gè)人云計(jì)算安全事件近年來(lái)頻頻出現(xiàn)，如：谷歌泄露個(gè)人隱私事件，盛大云數(shù)據(jù)丟失事件，2011年韓國(guó)三大門(mén)戶網(wǎng)站之一Nate和社交網(wǎng)絡(luò)“賽我網(wǎng)”遭到黑客攻擊，致使3500萬(wàn)用戶信息泄露事件等，都嚴(yán)重侵犯了用戶的合法權(quán)益。這些個(gè)人云不安全事件促使了社會(huì)各方面對(duì)個(gè)人云計(jì)算安全保護(hù)的強(qiáng)烈需求。安全性、穩(wěn)定性和低成本是個(gè)人云計(jì)算的主要特點(diǎn)和發(fā)展重心。

1 個(gè)人云計(jì)算定義

個(gè)人云由服務(wù)器、終端、應(yīng)用程序和個(gè)人信息組成。個(gè)人信息存儲(chǔ)在服務(wù)器上，運(yùn)行在那里的Web應(yīng)用程序進(jìn)行計(jì)算，通過(guò)網(wǎng)絡(luò)接口提供服務(wù)給終端，終端通過(guò)Web瀏覽器等客戶端軟件訪問(wèn)個(gè)人云服務(wù)[1]。

2 個(gè)人云服務(wù)安全威脅

目前個(gè)人云服務(wù)的安全問(wèn)題主要分為用戶身份信息的安全，用戶隱私信息的安全，用戶上傳數(shù)據(jù)的安全和云服務(wù)的自身穩(wěn)定及可靠性。云安全威脅主要可以概括為以下六種[2]。

⑴ 內(nèi)部員工濫用數(shù)據(jù)和服務(wù)，有權(quán)限的云計(jì)算服務(wù)商的內(nèi)部人員在接觸和處理內(nèi)部數(shù)據(jù)的過(guò)程中，有濫用數(shù)據(jù)的可能性。

⑵ 數(shù)據(jù)泄露和丟失，主要有ACL（訪問(wèn)控制列表，Access Control List）不充分或者密鑰的丟失，導(dǎo)致數(shù)據(jù)毀壞和外泄。

⑶ 不安全的網(wǎng)絡(luò)程序接口或API（應(yīng)用程序接口，Application Program Interface），云計(jì)算應(yīng)用在開(kāi)發(fā)和運(yùn)行過(guò)程中的測(cè)試時(shí)，對(duì)網(wǎng)絡(luò)接口和API接口來(lái)說(shuō)不大成熟，會(huì)帶來(lái)一定不安全隱患。

⑷ 平臺(tái)服務(wù)中的權(quán)限弱點(diǎn)，平臺(tái)服務(wù)中的消息列隊(duì)，NoSQL（非關(guān)系數(shù)據(jù)庫(kù)），Blog服務(wù)等的權(quán)限弱點(diǎn)會(huì)破壞數(shù)據(jù)的保密性。

⑸ 虛擬機(jī)隔離能力弱點(diǎn)使資源的虛擬化和共享使服務(wù)安全性降低。云計(jì)算基礎(chǔ)設(shè)施及服務(wù)廠商在安全隔離多用戶架構(gòu)時(shí)就會(huì)同步產(chǎn)生不安全隱患。

⑹ 賬戶或服務(wù)劫持，在云環(huán)境中，攻擊者如果控制了用戶賬戶的證書(shū)，就可以竊聽(tīng)用戶的活動(dòng)、交易，把數(shù)據(jù)變?yōu)閭卧斓男畔?，將賬戶引到非法網(wǎng)站或發(fā)送惡意軟件。甚至造成隱私信息泄露等事件。

3 個(gè)人云計(jì)算安全架構(gòu)

針對(duì)上文所提到的個(gè)人云計(jì)算面臨的威脅，在個(gè)人云計(jì)算服務(wù)基礎(chǔ)上，構(gòu)建了個(gè)人云計(jì)算安全框架。并從終端個(gè)人用戶、應(yīng)用層服務(wù)、網(wǎng)絡(luò)層服務(wù)和云平臺(tái)及設(shè)施服務(wù)入手，提出安全架構(gòu)與策略。如圖1所示。

⑴ 終端用戶安全與監(jiān)控，用戶可以使用由終端用戶服務(wù)商提供的多重認(rèn)證，個(gè)人用戶通過(guò)第三方授權(quán)認(rèn)證[3]，然后由終端用戶服務(wù)門(mén)戶發(fā)出服務(wù)令牌。加入服務(wù)門(mén)戶網(wǎng)站后，用戶可以購(gòu)買(mǎi)和使用由單獨(dú)的服務(wù)提供商或服務(wù)供應(yīng)商提供的云服務(wù)。終端用戶服務(wù)商，是由服務(wù)配置、訪問(wèn)控制、審計(jì)和安全控制等構(gòu)成，提供使用云服務(wù)管理和配置的安全訪問(wèn)控制。安全控制則實(shí)現(xiàn)了使用者權(quán)限分配，識(shí)別，認(rèn)證和授權(quán)和密鑰管理。

⑵ 應(yīng)用層服務(wù)安全的保證，通過(guò)服務(wù)配置、服務(wù)網(wǎng)關(guān)、服務(wù)代理和服務(wù)監(jiān)控，服務(wù)配置中的管理者可以使用通信協(xié)議和開(kāi)放的API（應(yīng)用程序接口，Application Programming Interface）在管理和初始化虛擬資源獲得許可時(shí)，可以通過(guò)用戶認(rèn)證發(fā)出單點(diǎn)登錄訪問(wèn)令牌，接著訪問(wèn)控制組件并通過(guò)安全策略和認(rèn)證，將客戶的相關(guān)信息與其他終端用戶、服務(wù)門(mén)戶實(shí)現(xiàn)云數(shù)據(jù)共享，用戶可以無(wú)限制地使用服務(wù)供應(yīng)商提供的服務(wù)。

⑶ 網(wǎng)絡(luò)層安全的保證，在個(gè)人云數(shù)據(jù)中心邊界部署抗DoS攻擊設(shè)備和虛擬防火墻設(shè)備，并通過(guò)虛擬防火墻設(shè)置不同的安全訪問(wèn)策略；引入VLAN技術(shù)，實(shí)現(xiàn)虛擬化網(wǎng)絡(luò)數(shù)據(jù)鏈路層隔離，使虛擬網(wǎng)絡(luò)成功對(duì)外通信，同時(shí)將虛擬主機(jī)網(wǎng)絡(luò)管理的范圍從服務(wù)器內(nèi)部轉(zhuǎn)移到網(wǎng)絡(luò)設(shè)備，解決虛擬化主機(jī)的安全隔離和安全監(jiān)控問(wèn)題。

⑷ 個(gè)人云服務(wù)提供商的安全保障，主要基于IaaS/PaaS（基礎(chǔ)設(shè)施及服務(wù)/平臺(tái)及服務(wù)）兩個(gè)層面，個(gè)人云服務(wù)提供商應(yīng)該提供對(duì)DoS防護(hù)以及對(duì)由移動(dòng)用戶或者PC發(fā)起的會(huì)話的保密性與完整性進(jìn)行安全控制。因此，對(duì)個(gè)人云服務(wù)提供商的安全控制可以使用SAML（安全斷言標(biāo)記語(yǔ)言，Security Assertion Markup Language）標(biāo)準(zhǔn)對(duì)服務(wù)提供商進(jìn)行安全身份認(rèn)證；通過(guò)云策略管理服務(wù)決定終端用戶可以訪問(wèn)哪些資源；還應(yīng)該提供對(duì)用戶資料的保護(hù)，可以通過(guò)特定的API完成對(duì)用戶資料存儲(chǔ)，認(rèn)證服務(wù)日志與審計(jì)服務(wù)記錄云上的事件，并采用云審計(jì)協(xié)議審計(jì)和云計(jì)量服務(wù)跟蹤云資源的使用。

4 個(gè)人云安全實(shí)現(xiàn)技術(shù)

針對(duì)安全即服務(wù)設(shè)計(jì)架構(gòu)，個(gè)人云上的應(yīng)用部署包括了多種服務(wù)的編排，其中包括負(fù)載均衡、網(wǎng)絡(luò)QoS等服務(wù)的自動(dòng)化。從IaaS/PaaS的云安全防火墻策略、虛擬化管理涉及的安全模式，以及個(gè)人云應(yīng)用層的網(wǎng)絡(luò)連接加密、虛擬機(jī)系統(tǒng)配置、帳戶權(quán)限及日志配置入手。把安全控制嵌入到個(gè)人云服務(wù)中，重要技術(shù)如圖2所示。

⑴ 漏洞掃描，主要通過(guò)兩種方法檢測(cè)目標(biāo)主機(jī)是否存在漏洞：

① 端口掃描，在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；

② 通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，模擬攻擊成功則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。那么通過(guò)基于漏洞數(shù)據(jù)庫(kù)的漏洞掃描技術(shù)，可以對(duì)PC上的應(yīng)用漏洞及時(shí)進(jìn)行修復(fù)，避免攻擊者獲取root權(quán)限而獲取用戶信息。

⑵ 虛擬化技術(shù)下的安全防護(hù)，虛擬化云技術(shù)是虛擬化平臺(tái)將服務(wù)器虛擬為多個(gè)性能可配的虛擬機(jī)（VM），對(duì)整個(gè)集群系統(tǒng)中所有VM進(jìn)行監(jiān)控和管理，可提供多租戶云服務(wù)的能力，但是由于基礎(chǔ)設(shè)施采用了VM，所以其系統(tǒng)間的隔離存在安全隱患，解決措施：

① 開(kāi)源虛擬化平臺(tái)（XEN）通過(guò)自己的訪問(wèn)控制模塊（ACM），根據(jù)用戶定義的策略判斷，對(duì)虛擬機(jī)的資源進(jìn)行控制，XEN適用于BSD、Linux、Solaris及其他開(kāi)源操作系統(tǒng)，由于運(yùn)行后無(wú)法改動(dòng)，XEN不適合對(duì)像Windows這些專有的操作系統(tǒng)進(jìn)行虛擬化處理；

② XEN可信計(jì)算構(gòu)建信任鏈來(lái)防御攻擊，處理需要安全保護(hù)下的在線服務(wù)和敏感數(shù)據(jù)的訪問(wèn)；

③ 在數(shù)據(jù)庫(kù)和應(yīng)用層之間設(shè)置防火墻，隔離虛擬機(jī)保證虛擬環(huán)境；

④ 每臺(tái)虛擬服務(wù)器應(yīng)該通過(guò)不同的IP和VLAN（虛擬局域網(wǎng)，Virtual Local Area Network）來(lái)實(shí)現(xiàn)邏輯隔離，虛擬機(jī)之間通過(guò)VPN（虛擬私人網(wǎng)絡(luò)，Virtual Private Network）進(jìn)行網(wǎng)絡(luò)連接；

⑤ 使用TPM（可信賴平臺(tái)模塊，Trusted Platform Module）保證虛擬服務(wù)器安全，TPM可以用來(lái)檢測(cè)用戶密碼，在發(fā)現(xiàn)密碼及用戶的Hash序列不匹配時(shí)，就不允許啟動(dòng)虛擬服務(wù)器。

⑶ API自動(dòng)化防護(hù)，在SOAP（簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議，Simple Object Access Protocol）和REST（表示性狀態(tài)轉(zhuǎn)移，Representational State Transfer）即（REST/SOAP）Web技術(shù)支持下API應(yīng)用程序接口進(jìn)行自動(dòng)化防護(hù)、防火墻策略、配置強(qiáng)化以及應(yīng)用部署的訪問(wèn)控制來(lái)提高API防護(hù)能力。

⑷ 不依賴IP地址的認(rèn)證服務(wù)[4]，采用證書(shū)（自簽名或者來(lái)自于可信的CA證書(shū)）完成像生成/簽發(fā)證書(shū)、生成/簽發(fā)證書(shū)撤銷(xiāo)列表（CRL）、發(fā)布證書(shū)和CRL到目錄服務(wù)器、維護(hù)證書(shū)數(shù)據(jù)庫(kù)和審計(jì)日志庫(kù)等安全服務(wù)，從而保證終端用戶才能閱讀信息和確認(rèn)信息發(fā)送者的身份，并且信息在傳遞過(guò)程中不會(huì)被篡改，實(shí)現(xiàn)部署在云上的服務(wù)之間安全連接。

⑸ 日志記錄和持續(xù)監(jiān)視，集中式記錄所有安全事件的日志，創(chuàng)建端到端的事務(wù)視圖，對(duì)于安全事故事件審計(jì)跟蹤，讓取證工程師可用以調(diào)研和發(fā)現(xiàn)數(shù)據(jù)是如何被濫用的。通過(guò)云審計(jì)對(duì)個(gè)人云數(shù)據(jù)安全性進(jìn)行監(jiān)視以執(zhí)行安全事件關(guān)聯(lián)。

⑹ 加密掩蓋敏感數(shù)據(jù)[5]，通過(guò)MD5算法（Message-Digest Algorithm 5，信息-摘要算法）對(duì)用戶密碼加密和使用像MYSQL的Web應(yīng)用程序，把密碼或者其他敏感數(shù)據(jù)保存在應(yīng)用程序里，MYSQL通過(guò)加密函數(shù)實(shí)現(xiàn)雙向加密和單項(xiàng)加密，保護(hù)數(shù)據(jù)庫(kù)和敏感信息。

⑺ 掛馬檢測(cè)，通常使用特征匹配來(lái)加強(qiáng)對(duì)病毒的特征記錄，或者檢測(cè)木馬端口，因?yàn)樾率侥抉R都加入了控制端口的功能，所以禁用端口的方式可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)和Web應(yīng)用的各個(gè)頁(yè)面進(jìn)行掛馬檢測(cè)，挖掘隱藏木馬。

5 結(jié)束語(yǔ)

本文結(jié)合網(wǎng)絡(luò)虛擬化，VPN等網(wǎng)絡(luò)安全技術(shù)，IaaS/PaaS核心架構(gòu)安全技術(shù)和個(gè)人云安全管理技術(shù)，設(shè)計(jì)和整合了一種可以實(shí)施的個(gè)人云安全架構(gòu)，在分析云計(jì)算特征和面臨安全威脅的同時(shí)，從技術(shù)角度為云計(jì)算的安全提供支持。個(gè)人安全技術(shù)的瓶頸是虛擬化的安全構(gòu)建，關(guān)鍵是保證個(gè)人云用戶的數(shù)據(jù)完整性和安全性。本文不足之處：部分技術(shù)支持尚無(wú)法通過(guò)實(shí)驗(yàn)進(jìn)行驗(yàn)證；為了實(shí)現(xiàn)個(gè)人云計(jì)算的安全目標(biāo)，還需在個(gè)人云計(jì)算平臺(tái)和服務(wù)上繼續(xù)深入研究關(guān)鍵安全技術(shù)。目前國(guó)內(nèi)個(gè)人云計(jì)算的網(wǎng)絡(luò)傳輸速率和安全性能方面還有很多提升空間，國(guó)內(nèi)企業(yè)對(duì)個(gè)人云計(jì)算的開(kāi)發(fā)僅僅處于導(dǎo)入期，其特點(diǎn)是免費(fèi)以及分散[6]，網(wǎng)絡(luò)接入的發(fā)展和個(gè)人云計(jì)算數(shù)據(jù)安全性發(fā)展將與個(gè)人云計(jì)算的發(fā)展相輔相成。

參考文獻(xiàn)：

[1]個(gè)人云計(jì)算安全解析[EB/OL].http：//www.techcn.com/index.php？doc-view-155505.html，2011-11-16.

[2] Cloud Security Alliance. The Notorious Nine： Cloud Computing Top Threats in 2013[EB/OL].2013-2-25. http：//www.cloudsecurityalliance.org/

[3] 薛凱，劉朝，楊樹(shù)國(guó).云計(jì)算安全框架的研[J].電腦與電信，2010.28（4）：23-25

[4] Point of view： Security and Cloud computing white paper，November 2009.

[5] Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing V2.1[EB/OL].2011-10-2. https：//cloudsecurityalliance.org/research/security-guidance

[6] 中國(guó)通信學(xué)會(huì)，中興通訊學(xué)院.對(duì)話云計(jì)算[M].北京人民郵電出版社，2012.