摘 要： 云計算作為一種新興的計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)，近幾年飛速發(fā)展，主要IT企業(yè)如Google，Microsoft，IBM，Amazon等紛紛推出其云計算解決方案，學(xué)術(shù)界也不斷對云計算平臺進(jìn)行深入研究，取得了大量研究成果和實用技術(shù)，但是安全問題始終困擾著云計算的發(fā)展。這里主要討論的是云安全的問題，借助企業(yè)私有云平臺，開展云安全研究，重點在于研究如何結(jié)合企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全措施補充提高云平臺安全性和可靠性，包括身份認(rèn)證、訪問控制、數(shù)據(jù)存儲和入侵檢測等方面的。提出了切合實際的云安全方案，形成滿足企業(yè)安全需求的安全體系，實現(xiàn)安全和經(jīng)濟(jì)效益的雙贏。

關(guān)鍵詞： 云安全； 身份認(rèn)證； 訪問控制； 數(shù)據(jù)存儲安全； 入侵檢測

中圖分類號： TN911?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2014）02?0088?03

0 引 言

云計算是一種以互聯(lián)網(wǎng)為基礎(chǔ)的新興計算機(jī)應(yīng)用技術(shù)，它融合了分布式計算、效用計算、并行計算、網(wǎng)格計算、網(wǎng)絡(luò)存儲、虛擬化等傳統(tǒng)計算機(jī)和網(wǎng)絡(luò)技術(shù)，形成了一整套新的標(biāo)準(zhǔn)和模式，“云計算”概念也迅速運用到生產(chǎn)環(huán)境中，各種“云計算”的應(yīng)服務(wù)范圍正日漸擴(kuò)大，影響力也無可估量。通俗的講，云計算就是讓你把所有數(shù)據(jù)處理任務(wù)都交給網(wǎng)絡(luò)來進(jìn)行，由企業(yè)級數(shù)據(jù)中心負(fù)責(zé)處理客戶電腦上的數(shù)據(jù)任務(wù)，這樣就可以通過一個數(shù)據(jù)中心向使用多種不同設(shè)備的用戶提供數(shù)據(jù)服務(wù)，從而為個人用戶節(jié)省硬件資源[1]。本文介紹的云平臺安全措施主要是面向VMware系列云計算平臺的。

1 云安全簡介

當(dāng)前，典型的企業(yè)私有云計算平臺拓?fù)浣Y(jié)構(gòu)如圖1所示。

云計算方興未艾，針對云計算平臺的安全性研究也在不斷進(jìn)行，盡管云計算存在安全問題，但它仍然給信息安全帶來了機(jī)遇。在云計算方式下，數(shù)據(jù)是集中存儲的，這樣至少給數(shù)據(jù)安全帶來了兩個好處：

（1） 降低了數(shù)據(jù)被盜、被破壞和外泄的可能。這也是云計算服務(wù)商討論最多的一個優(yōu)點。只要用戶能夠接入Internet，就能根據(jù)需要隨時進(jìn)行訪問，根本就用不著自己隨身攜帶，也用不著自己去維護(hù)或維修。

（2） 能夠更容易地對數(shù)據(jù)進(jìn)行安全監(jiān)測。數(shù)據(jù)集中存儲在一個或若干個數(shù)據(jù)中心，數(shù)據(jù)中心的管理者可以對數(shù)據(jù)進(jìn)行統(tǒng)一管理，負(fù)責(zé)資源的分配、負(fù)載的均衡、軟件的部署、安全的控制，并能更可靠地進(jìn)行數(shù)據(jù)安全的實時監(jiān)測以及數(shù)據(jù)的及時備份和恢復(fù)。

雖然云計算本身為安全做出了貢獻(xiàn)，但是由于云計算的復(fù)雜性、用戶的動態(tài)性[2]等特點，安全問題仍是云計算發(fā)展所面臨的巨大挑戰(zhàn)，如何確保云計算環(huán)境不同主體之間相互鑒別、信任和各個主體問通信機(jī)密性和完整性，計算的可用性和機(jī)密性[3]，使云計算環(huán)境可以適用不

同性質(zhì)的安全要求，都是急需解決的問題。

2 基于企業(yè)云平臺的云安全研究

隨著企業(yè)信息化的發(fā)展，生產(chǎn)和辦公場所對于移動辦公有著迫切的需求，例如移動文件瀏覽和批閱等一些現(xiàn)實需求。同時企業(yè)業(yè)務(wù)發(fā)展需要依托先進(jìn)的信息化平臺來進(jìn)行有力支撐，高性能計算集群、三維可視化圖形工作站、海量的數(shù)據(jù)存儲設(shè)備以及功能各異的專業(yè)應(yīng)用軟件可以為更加精準(zhǔn)、更加高效的綜合決策提供堅實的技術(shù)保障，上述的企業(yè)需求需要一個全新的服務(wù)平臺進(jìn)行支持，云計算就是這樣一個全新的平臺，它使得服務(wù)的交付模式向云端轉(zhuǎn)移，所有用戶都可以獲得低成本、高性能、快速配置和海量云計算服務(wù)支持。然而，安全問題始終是云平臺正常投入使用所面臨的最大問題和隱患，服務(wù)安全、數(shù)據(jù)安全、個人隱私等安全問題都要求必須根據(jù)企業(yè)實際業(yè)務(wù)，建立一套完整的云平臺安全保障體系，并基于經(jīng)濟(jì)因素的考慮要盡量將企業(yè)原有安全基礎(chǔ)設(shè)施與云平臺進(jìn)行很好的融合，同時對云平臺性能與安全這對矛盾體進(jìn)行分析研究，找到最佳平衡點，使得云平臺更加安全可靠[4]。圖2顯示了一個完整的云安全體系架構(gòu)，覆蓋了物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層，采取了盡可能多的安全措施來保障企業(yè)私有云平臺的安全運行，但是如何發(fā)揮各個安全手段的作用，避免相互之間的矛盾；如何在保障安全的條件下，盡可能減少系統(tǒng)用于安全監(jiān)控的開銷是需要著重解決的問題。本文介紹的企業(yè)主要采用的安全措施有ukey認(rèn)證、訪問控制、數(shù)據(jù)加密和入侵檢測等手段。

2.1 ukey統(tǒng)一身份認(rèn)證安全措施

面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，普通的網(wǎng)絡(luò)接入認(rèn)證已經(jīng)不能滿足安全需要，難以確定用戶身份，保證數(shù)據(jù)的隱私性，而ukey是用來進(jìn)行一些特殊業(yè)務(wù)的準(zhǔn)入認(rèn)證[5]。利用ukey認(rèn)證作為云平臺的安全接入認(rèn)證不僅能夠提高云平臺的安全性，也能夠使ukey發(fā)揮最大效能，充分利用ukey高可靠性的特點實現(xiàn)對云計算資源的保護(hù)，防止無授權(quán)用戶的非法操作[6]。SSL VPN[7]是基于SSL協(xié)議采用虛擬專用網(wǎng)的方式為遠(yuǎn)程用戶提供的一種安全通信服務(wù)，采用ukey認(rèn)證與SSL VPN技術(shù)相結(jié)合，能夠大幅度提高云平臺的安全。

2.2 云平臺的安全管理、控制、審計等安全管理問題的研究和解決

云安全管理平臺搭建在云計算環(huán)境基礎(chǔ)框架上，主要通過Vmware軟件所具有的的功能配合其他一些安全管理策略統(tǒng)一進(jìn)行管理控制。

2.2.1 訪問控制策略

云安全管理平臺根據(jù)資源的不同分別定義不同的訪問策略，對資源進(jìn)行服務(wù)控制，企業(yè)中用戶數(shù)據(jù)的級別和敏感程度也有所不同，重要和敏感數(shù)據(jù)需要更深層的保護(hù)，因此需要針對這些數(shù)據(jù)和文件專門制定訪問控制策略，通過ukey來進(jìn)行身份識別，根據(jù)不同的身份及所屬類別來限制用戶的訪問權(quán)限和所能使用的計算機(jī)資源和網(wǎng)絡(luò)資源，保證合法用戶正常訪問，并防止非法訪問。

2.2.2 數(shù)據(jù)存儲安全策略

企業(yè)數(shù)據(jù)始終受到著各種各樣的威脅，存儲服務(wù)本身也是不可信任的，因此數(shù)據(jù)加密成了解決問題的首選。目前基于如DES等的對稱加密算法因其加解密速度較快被廣泛應(yīng)用，非對稱加密體系如RSA算法則具備更高的強度，因此采用動態(tài)生成DES密鑰并結(jié)合RSA公鑰加密的方法可以充分發(fā)揮兩者的優(yōu)點，找到性能和強度的平衡點[8]。

處理開始前，云端加密程序從公鑰庫獲取接收數(shù)據(jù)的用戶對應(yīng)的RSA公鑰。加密開始時，由一個DES密鑰生成器隨機(jī)生成一個DES密鑰，并依照算法選取數(shù)值N，從源數(shù)據(jù)讀取N字節(jié)并由該隨機(jī)DES密鑰加密為長度為M字節(jié)的密文。與此同時，將該DES密鑰由接收端的RSA公鑰加密為一段密文，同N字節(jié)源數(shù)據(jù)加密后的密文，并附上該兩者的長度，一同作為一個數(shù)據(jù)包保存于云端，如圖3所示?？蛻舳死^續(xù)工作，重新生成隨機(jī)DES密鑰和隨機(jī)數(shù)N，重復(fù)上述過程，發(fā)送第二個直至最后一個數(shù)據(jù)包，完成整個加密工作。

解密過程剛開始是數(shù)據(jù)接收端讀入前兩個32 b，通過RSA解密，分別取得加密的DES密鑰長度（設(shè)為L1）和加密的數(shù)據(jù)長度（L2），順次讀取數(shù)據(jù)包中其后的L1和L2字節(jié)數(shù)據(jù)，用接收端的RSA私鑰將前者翻譯成明文，得到一個DES密鑰，而后者則由該DES密鑰解密，解密后的明文追加到待保存的目標(biāo)數(shù)據(jù)中。這樣就完成了一個數(shù)據(jù)包的解密，如圖4所示。重復(fù)上述過程，直至完成所有數(shù)據(jù)包的解密，得到加密前的原始數(shù)據(jù)[9]。

2.3 云計算平臺入侵檢測

云平臺數(shù)據(jù)更加集中，更易受到攻擊和入侵的威脅，而使用傳統(tǒng)的特征庫判別法的殺毒軟件已無法有效地確保云平臺的安全，因此入侵檢測和防御就顯得更加重要，十分有必要對云計算平臺中的網(wǎng)絡(luò)、框架和數(shù)據(jù)等各種威脅進(jìn)行全方位實時主動監(jiān)控、檢測和防御[10]。

傳統(tǒng)入侵檢測防護(hù)技術(shù)大多是一種被動防御的系統(tǒng)，很難滿足當(dāng)前網(wǎng)絡(luò)攻防的新形勢。這里采用主動防御與傳統(tǒng)被動防御相結(jié)合的方式，摸索這種入侵檢測系統(tǒng)與云計算平臺的結(jié)合，采用改進(jìn)的apriori算法[11]，利用一個層次順序搜索的循環(huán)方法來完成頻繁項集的挖掘工作，提高挖掘速度，迅速發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否被入侵的跡象。當(dāng)查詢的行為是合法的，系統(tǒng)返回一個完整和正確的解釋，當(dāng)查詢的行為是誤操作或惡意行為的特征，解釋將和具體事件和發(fā)生事件的節(jié)點關(guān)聯(lián)起來，通過節(jié)點行為（也就是指狀態(tài)變化或某些節(jié)點上的信息傳遞）來判定行為是否合法或是發(fā)生錯誤，并采取必要的處理措施。

3 結(jié) 語

云計算作為一種新的模式給企業(yè)信息化發(fā)展帶來了巨大的變革，是IT行業(yè)的一個發(fā)展趨勢。其提高了網(wǎng)絡(luò)工作效率，節(jié)約了企業(yè)成本和資源，應(yīng)用前景非常廣，但是安全問題仍然是阻礙企業(yè)全面部署云平臺的最大障礙。雖然本文提出了一些云安全防御策略，但還不成熟，因此今后還要在此基礎(chǔ)上在如何有效控制訪問權(quán)限和整體安全管理機(jī)制，如何對數(shù)據(jù)進(jìn)一步劃分等級，實時安全操作和監(jiān)控，如何更有效地管控外部攻擊威脅帶來的風(fēng)險等方面深入開展研究，更有效地提高云計算平臺安全，為云計算在企業(yè)中的廣泛應(yīng)用提供更安全的保障。

參考文獻(xiàn)

[1] 林曉鵬.云計算及其關(guān)鍵技術(shù)問題[J].現(xiàn)代電子技術(shù)，2013，36（12）：67?70.

[2] 劉宇濤，夏虞斌，陳海波.基于體系結(jié)構(gòu)擴(kuò)展的云計算安全增強研究[J].集成技術(shù)，2012（1）：30?33.

[3] 白妙青.云計算技術(shù)在廣播電視網(wǎng)中的應(yīng)用[J].現(xiàn)代電子技術(shù)，2013，36（11）：142?144.

[4] 馬杰，羅東芳.云計算安全防范技術(shù)[J].電腦開發(fā)與應(yīng)用，2013（6）：76?78.

[5] 田燕，張新剛，梁晶晶，等.基于身份認(rèn)證和訪問控制的云安全管理平臺[J].測控技術(shù)，2013，32（2）：97?99.

[6] 趙建.視覺零知識身份認(rèn)證的研究[J].現(xiàn)代電子技術(shù)，2013，36（13）：100?101.

[7] 劉東霖.SSL VPN技術(shù)研究及仿真分析[J].現(xiàn)代電子技術(shù)， 2013，36（13）：102?104.

[8] 馬曉昊.基于云計算的安全數(shù)據(jù)存儲服務(wù)的研究與實現(xiàn)[D].上海：同濟(jì)大學(xué)，2008.

[9] 譚武征.云安全存儲解決方案[J].信息安全與通信保密，2012（11）：147?149.

[10] 耿琳瑩，張要鵬，魯智勇，等.不可直接測量的網(wǎng)絡(luò)攻擊效能評估技術(shù)研究[J].現(xiàn)代電子技術(shù)，2013，36（10）：62?66.

[11] 陳真.云計算平臺入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[D].廈門：廈門大學(xué)，2012.