劉強(qiáng)

【摘 要】 計(jì)算機(jī)技術(shù)的不斷發(fā)展使云計(jì)算技術(shù)應(yīng)運(yùn)而生，作為近年最有代表性的網(wǎng)絡(luò)計(jì)算技術(shù)，其普及范圍越來(lái)越廣，尤其是更多的人將計(jì)算、存儲(chǔ)資源選擇在云端中，但是伴隨而來(lái)的是一些網(wǎng)絡(luò)安全隱患，對(duì)此只有將可信計(jì)算技術(shù)與云計(jì)算相結(jié)合才能保障網(wǎng)絡(luò)安全，主要采取的方式是設(shè)計(jì)安全協(xié)議使云計(jì)算環(huán)境處于穩(wěn)定當(dāng)中。本文正是由此開(kāi)展探討，旨在強(qiáng)化云計(jì)算環(huán)境的安全、穩(wěn)定，并為今后相關(guān)工作提供參考建議。

【關(guān)鍵詞】 云計(jì)算 可信平臺(tái) 設(shè)計(jì)

云計(jì)算技術(shù)的基礎(chǔ)是虛擬化技術(shù)，其計(jì)算不處于本地計(jì)算機(jī)以及遠(yuǎn)程服務(wù)器中，而是分布在眾多的分布式計(jì)算機(jī)上，用戶能夠通過(guò)自身需要，選擇適當(dāng)?shù)挠?jì)算機(jī)或者存儲(chǔ)系統(tǒng)。使用云計(jì)算模式能大大節(jié)約計(jì)算成本，僅需向云計(jì)算服務(wù)商支付一定的費(fèi)用就可以避免購(gòu)買(mǎi)復(fù)雜的軟、硬件，通過(guò)互聯(lián)網(wǎng)能夠?qū)崿F(xiàn)存儲(chǔ)以及計(jì)算。但是，在此過(guò)程中出現(xiàn)了一系列問(wèn)題，例如用戶資料外泄等安全事故，同時(shí)竊聽(tīng)、干擾、篡改等安全隱患普遍存在，由此可以看出云計(jì)算的發(fā)展首先就要解決這些安全風(fēng)險(xiǎn)問(wèn)題。為了解決以上安全問(wèn)題，可信計(jì)算TCG技術(shù)被提出，利用密碼機(jī)制建立信任鏈，從而從根本上解決安全問(wèn)題。

1 可信平臺(tái)模塊的概念

可信平臺(tái)主要是由CPU、I/O、非易失性儲(chǔ)存器等部分組成，計(jì)算機(jī)對(duì)于嵌入式可信終端開(kāi)展度量，而后記錄度量信息，除了可信平臺(tái)對(duì)于平臺(tái)完整性度量的度量和報(bào)告外，還具備加密以及用戶身份的認(rèn)證。密碼生成器是可信平臺(tái)模塊中的重要組成部分，同時(shí)密碼生成器是由加密算法引擎、HMAC引擎、隨機(jī)數(shù)生成器等部分組成。首先由HMAC引擎生成隨機(jī)密碼，然后由HMAC引擎根絕實(shí)現(xiàn)數(shù)據(jù)以及命令流出現(xiàn)錯(cuò)誤時(shí)的傳輸情況來(lái)確認(rèn)數(shù)據(jù)的準(zhǔn)確性。

2 建立可信平臺(tái)的必要性

當(dāng)前計(jì)算模式已經(jīng)從大型計(jì)算機(jī)處理轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)分布式處理，并在此基礎(chǔ)上發(fā)展為以需求分配的云計(jì)算模式，對(duì)于用戶來(lái)說(shuō)，云計(jì)算就是一種滿足自身需求的服務(wù)，能夠讓用戶在使用虛擬資源的時(shí)候不受時(shí)間、空間的限制，同時(shí)能夠快速的處理計(jì)算問(wèn)題。但是云計(jì)算技術(shù)畢竟剛被提及，目前還處在發(fā)展階段，所以不可避免的出現(xiàn)了眾多安全問(wèn)題。云計(jì)算中的數(shù)據(jù)是處在云端當(dāng)中，因此對(duì)數(shù)據(jù)難以實(shí)現(xiàn)完全的控制，所以服務(wù)商必須采取強(qiáng)有力的安全措施來(lái)保障系統(tǒng)安全，云計(jì)算安全問(wèn)題基本能夠概括為以下方面：訪問(wèn)控制、攻擊檢測(cè)、完整性、物理技術(shù)防范、多個(gè)子因素、恢復(fù)、實(shí)施、隱私機(jī)密性、不可否認(rèn)性、安全審計(jì)。由此可見(jiàn)云計(jì)算安全工作具有全面性和復(fù)雜性，必須盡快解決。

3 云計(jì)算環(huán)境下存在的安全挑戰(zhàn)

首先是使用云計(jì)算技術(shù)的企業(yè)，應(yīng)該注意自身業(yè)務(wù)的安全性，強(qiáng)化風(fēng)險(xiǎn)管理意識(shí)。其次是身份與認(rèn)證管理，云計(jì)算的目的是為了使各個(gè)服務(wù)商之間保持良好的合作關(guān)系，所以應(yīng)該根據(jù)服務(wù)商之間的差異做好身份與認(rèn)證管理，特別是與外國(guó)企業(yè)開(kāi)展合作的時(shí)候。然后是服務(wù)與終端的完整性，安全性是云計(jì)算的生命線，因此對(duì)于云計(jì)算服務(wù)的拓展應(yīng)該從安全性、兼容性、完整性出發(fā)，將終端的完整性作為重點(diǎn)的工作目標(biāo)。最后是信息保護(hù)方面，信息保護(hù)應(yīng)該建立事前、事中、事后全面的信息反饋機(jī)制。然后通過(guò)不同時(shí)間段的信息采取相應(yīng)的措施進(jìn)行保護(hù)。

4 可信接入安全技術(shù)分析

雖然在云計(jì)算環(huán)境當(dāng)中用戶能夠?qū)?shù)據(jù)資料存放在服務(wù)商的平臺(tái)上，便于訪問(wèn)，但是這種網(wǎng)絡(luò)形式具有開(kāi)放性以及復(fù)雜性，對(duì)于云計(jì)算的安全保障提出了更高的要求。從長(zhǎng)遠(yuǎn)來(lái)看只有解決了云計(jì)算的安全問(wèn)題，才能保障云計(jì)算技術(shù)健康發(fā)展。對(duì)于云計(jì)算的可信接入也是計(jì)算機(jī)技術(shù)主要的研究目標(biāo)?？v觀當(dāng)前對(duì)于云計(jì)算環(huán)境的安全防護(hù)措施主要從兩方面入手：第一，在傳統(tǒng)軟件當(dāng)中設(shè)置防火墻；第二，更換硬件設(shè)備以達(dá)到安全防護(hù)的目的，但是最為有效的依然是可信計(jì)算技術(shù)，其核心理念就是將改變傳統(tǒng)被動(dòng)的防御模式，而采用積極主動(dòng)的防護(hù)模式?？尚庞?jì)算技術(shù)的定義為：將可信作為系統(tǒng)運(yùn)轉(zhuǎn)的原則，將數(shù)據(jù)信息的通信控制在安全范圍內(nèi)。其計(jì)算模型的原始架構(gòu)是在私人平臺(tái)上增加隱身和信任功能，同時(shí)可信計(jì)算模型滿足分布式環(huán)境下云計(jì)算的安全需求，因此具備可行性。以往的安全接入方式包括微軟的網(wǎng)絡(luò)接入保護(hù)NAP、TCG的可信網(wǎng)絡(luò)連接技術(shù)TNC以及思科網(wǎng)絡(luò)準(zhǔn)入技術(shù)NAC。NAP平臺(tái)的特點(diǎn)是能夠以校驗(yàn)的方式分析接入網(wǎng)絡(luò)的安全性，對(duì)不符合標(biāo)準(zhǔn)的用戶設(shè)置權(quán)限；TNC基于可信計(jì)算技術(shù)將TPM的可信度量以及可信報(bào)告融入到網(wǎng)絡(luò)連接系統(tǒng)的建設(shè)當(dāng)中，從而能夠控制網(wǎng)絡(luò)訪問(wèn)；NAC能夠在系統(tǒng)接入網(wǎng)絡(luò)之前，就對(duì)系統(tǒng)的安全級(jí)別給予評(píng)價(jià)，隔離安全性不穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)并且設(shè)置訪問(wèn)權(quán)限。由于云計(jì)算本身的技術(shù)難度較高，所以其風(fēng)險(xiǎn)也存在復(fù)雜性，僅依靠軟件難以實(shí)現(xiàn)有效控制。因此有必要利用硬件芯片以及可信計(jì)算的技術(shù)支撐，然后建立TCB保護(hù)用戶以及基礎(chǔ)設(shè)施等，不僅要進(jìn)行完整性度量，還要以云計(jì)算對(duì)身份以及軟件進(jìn)行可行性證明。

5 云計(jì)算的數(shù)據(jù)安全研究

數(shù)據(jù)安全是云計(jì)算系統(tǒng)安全保障的核心內(nèi)容，不管是何種云計(jì)算服務(wù)，都要首先保護(hù)數(shù)據(jù)，避免數(shù)據(jù)出現(xiàn)流失和被竊。對(duì)于數(shù)據(jù)安全保障的方法主要有以下幾點(diǎn)：第一，數(shù)據(jù)的傳輸要采取加密的方式，尤其是公共云的情況下，雖然非安全的傳輸協(xié)議難以保障數(shù)據(jù)的完整，但是能夠使數(shù)據(jù)具有保密性，當(dāng)數(shù)據(jù)不處于加密狀態(tài)時(shí)，就容易發(fā)生流失和泄露；第二，由于云計(jì)算應(yīng)用數(shù)據(jù)與用戶數(shù)據(jù)存儲(chǔ)在一起，用戶沒(méi)有專(zhuān)用的數(shù)據(jù)平臺(tái)，因此就容易當(dāng)混合數(shù)據(jù)被訪問(wèn)時(shí)，用戶的數(shù)據(jù)就會(huì)被竊，尤其是PaaS以及SaaS，把關(guān)鍵的數(shù)據(jù)信息存儲(chǔ)在公共云之外，能夠有效避免數(shù)據(jù)泄露，如果存儲(chǔ)到公共云中，則要提前做好加密措施，以區(qū)分關(guān)鍵信息與其他用戶信息；第三，云計(jì)算的儲(chǔ)存具有恢復(fù)的功能，當(dāng)用戶刪除數(shù)據(jù)后，如果被他人恢復(fù)，同樣會(huì)造成數(shù)據(jù)泄露，因此服務(wù)商要保證用戶擦除數(shù)據(jù)之后不會(huì)有殘留數(shù)據(jù)。同時(shí)還有服務(wù)商向用戶提供的系統(tǒng)文件、數(shù)據(jù)庫(kù)記錄等，都要保證不會(huì)被他人恢復(fù)盜取信息。

6 結(jié)語(yǔ)

綜上所述，本文首先研究了當(dāng)下云計(jì)算環(huán)境下的安全隱患，然后引申出建立可信平臺(tái)的必要性，即將可信計(jì)算技術(shù)與云計(jì)算有機(jī)結(jié)合。另外安全協(xié)議是網(wǎng)絡(luò)安全的基本保障，總的得來(lái)說(shuō)將可信計(jì)算技術(shù)融入云計(jì)算當(dāng)中，能夠較大程度提高云計(jì)算下的系統(tǒng)安全和穩(wěn)定。

參考文獻(xiàn)

[1]耿姝，劉鑫，劉榮軍，方連眾，陳剛.基于全同態(tài)加密的云計(jì)算安全方案的研究[J].中國(guó)新通信，2014（1）.

[2]朱憲超.淺析云計(jì)算中的信息安全[J].科技風(fēng)，2013（23）.

[3]李建禮，夏紅.云計(jì)算環(huán)境下個(gè)人信息管理的思考[J].農(nóng)業(yè)圖書(shū)情報(bào)學(xué)刊，2013（12）.

[4]吳景生.試論云計(jì)算時(shí)代的移動(dòng)互聯(lián)網(wǎng)產(chǎn)品設(shè)計(jì)策略[J].黑龍江科技信息，2013（30）.

[5]余靜.云計(jì)算安全風(fēng)險(xiǎn)及防護(hù)體系研究[J].消費(fèi)電子，2013（20）.endprint