摘 要：隨著人們對信息量的需求越來越多，信息技術(shù)得到了飛速發(fā)展。云計(jì)算作為新崛起的網(wǎng)絡(luò)技術(shù)，成為人們熱切關(guān)注與研究的對象，隨之，云計(jì)算的安全問題也非常嚴(yán)肅。本文主要介紹可信計(jì)算技術(shù)在云計(jì)算安全中的應(yīng)用與可信計(jì)算技術(shù)對于實(shí)現(xiàn)云安全的意義。

關(guān)鍵詞：可信計(jì)算技術(shù)；云計(jì)算；安全

中圖分類號：TP307

隨著云時(shí)代的到來，虛擬、動態(tài)、異構(gòu)環(huán)境出現(xiàn)，即云計(jì)算技術(shù)的出現(xiàn)，傳統(tǒng)方案無法適應(yīng)這樣的新環(huán)境。我國信息化方面專家表示，當(dāng)前云安全的發(fā)展跟不上云計(jì)算與大數(shù)據(jù)的發(fā)展，阻礙了網(wǎng)絡(luò)信息安全工作的實(shí)現(xiàn)。

1 云計(jì)算安全分析

1.1 云計(jì)算。云指的是網(wǎng)絡(luò)和互聯(lián)網(wǎng)，云計(jì)算提供的易擴(kuò)展動態(tài)資源往往都是虛擬化資源，該項(xiàng)技術(shù)中相關(guān)服務(wù)的增加與使用皆是基于互聯(lián)網(wǎng)所進(jìn)行與實(shí)現(xiàn)的。目前，由美國國家標(biāo)準(zhǔn)定義的云計(jì)算是一種提供便捷網(wǎng)絡(luò)訪問并使用量付費(fèi)的模式。云計(jì)算具有超大規(guī)模、虛擬化、可靠性高、擴(kuò)展性強(qiáng)、按需服務(wù)與廉價(jià)的特點(diǎn)，但同時(shí)也存在著潛在危險(xiǎn)。

1.2 云計(jì)算安全分析。部分研究學(xué)者指出，云計(jì)算是一套整合多種應(yīng)用技術(shù)的解決方案。相關(guān)的單一技術(shù)由于受各種各樣現(xiàn)實(shí)環(huán)境的限制，無法得到大規(guī)模使用，在一定程度上阻礙了其市場發(fā)展。影響云計(jì)算服務(wù)市場發(fā)展的因素主要有三個(gè)：服務(wù)安全性、穩(wěn)定性和性能表現(xiàn)。其中影響客戶選擇云計(jì)算的最主要因素就是服務(wù)的安全性。目前，云計(jì)算技術(shù)存在的主要安全問題表現(xiàn)為虛擬化安全問題、數(shù)據(jù)集中后的安全問題、云平臺可用性安全問題、云平臺遭受攻擊的問題、法律風(fēng)險(xiǎn)等。

造成信息安全的根源問題主要有系統(tǒng)不分執(zhí)行“態(tài)”、pc機(jī)體系結(jié)構(gòu)簡化等，上述因素都會使操作系統(tǒng)難以建立真正的安全機(jī)制（TCB），從而導(dǎo)致資源配置可以被篡改、利用緩沖棧溢出攻擊、惡意程序被植入執(zhí)行等一系列問題。TCB是指：數(shù)據(jù)加密、訪問控制、身份認(rèn)證、安全管理等。根據(jù)信息TCB要求，得出了終端和網(wǎng)絡(luò)安全技術(shù)，但目前，信息安全技術(shù)本容易被旁路，仍存在很大問題。

2 可信計(jì)算技術(shù)

在空前繁榮的信息時(shí)代里，信息安全問題非常多見，在日常工作中時(shí)常發(fā)生，信息設(shè)備、數(shù)據(jù)、內(nèi)容與行為成為信息安全防護(hù)的主要對象。可信計(jì)算又稱為可信計(jì)算平臺，受硬件安全模塊支持，廣泛使用于計(jì)算和通信系統(tǒng)?？尚庞?jì)算是指在相關(guān)硬件支持的基礎(chǔ)上，建立計(jì)算資源點(diǎn)和可信保護(hù)結(jié)點(diǎn)并行結(jié)構(gòu)，從加電到執(zhí)行構(gòu)建了一條完整的信任鏈?？尚庞?jì)算在不被干擾、可測控全程的環(huán)境下，進(jìn)行計(jì)算，具有身份識別、保密存儲等特點(diǎn)。

2.1 可信計(jì)算平臺的構(gòu)建。（1）可信平臺模塊，TPM是一個(gè)小型SoC芯片系統(tǒng)，含有密碼計(jì)算與存儲部件，它屬于物理可信，在云計(jì)算中需要被虛擬化，它的主要體系結(jié)構(gòu)如圖1。（2）可信存儲。TCG使用的是自加密驅(qū)動器，其可信存儲規(guī)范實(shí)現(xiàn)了全磁盤加密，且使企業(yè)處理敏感數(shù)據(jù)的加密過程工序減少。由于TPM加密是建立在硬件基礎(chǔ)上的，實(shí)現(xiàn)了可信存儲的自加密與認(rèn)證的功能。（3）可信網(wǎng)絡(luò)連接?？尚啪W(wǎng)絡(luò)連接（Trust Network Connect）是一種工業(yè)標(biāo)準(zhǔn)架構(gòu)，可提供網(wǎng)絡(luò)安全及安全訪問。在TNC標(biāo)準(zhǔn)下，管理員能通過用戶身份和設(shè)備狀況對網(wǎng)絡(luò)訪問與運(yùn)行情況進(jìn)行監(jiān)視與控制，發(fā)生問題時(shí)可立即作出反應(yīng)并加以解決。

圖1 TPM體系結(jié)構(gòu)

2.2 意義。華科大計(jì)算機(jī)學(xué)院教授曾指出：“在云系統(tǒng)安全構(gòu)建上，需要分析云系統(tǒng)動態(tài)復(fù)雜性特征，研究面向海量實(shí)體復(fù)雜信任關(guān)系的信任模型、信任基、信任度量和判斷等?！边@一說法中的云計(jì)算安全主要是指體系結(jié)構(gòu)、操作行為、資源配置、用戶數(shù)據(jù)存儲等的整體可信。

目前，網(wǎng)絡(luò)信息系統(tǒng)最基本的安全基礎(chǔ)便是系統(tǒng)的源頭，針對源頭處的安全問題（如芯片、BIOS、操作系統(tǒng)、主板等）采取綜合措施，才能有效提高信息系統(tǒng)的安全性?？尚庞?jì)算系統(tǒng)的安全技術(shù)因包含了五個(gè)關(guān)鍵點(diǎn)：簽注秘鑰（Endorsement key）、安全輸入輸出（Secure input and output）、儲存器屏蔽（Memory curtaining）、密封儲存（Sealed storage）、遠(yuǎn)程認(rèn)證（Remote attestation）。上述5個(gè)關(guān)鍵點(diǎn)的有效實(shí)現(xiàn)，使可信計(jì)算技術(shù)不僅滿足了網(wǎng)絡(luò)信息安全技術(shù)對體系結(jié)構(gòu)、行為、資源配置、用戶數(shù)據(jù)存儲等的可信標(biāo)準(zhǔn)，也提高了系統(tǒng)源頭的可信度。

可信計(jì)算技術(shù)構(gòu)建信任鏈的意義可以從兩個(gè)方面來講：第一，就安全技術(shù)而言，可信計(jì)算從單機(jī)到虛擬化與分布式結(jié)算的轉(zhuǎn)變，對控制云數(shù)據(jù)中心具有積極作用，在處理數(shù)據(jù)、運(yùn)行操作過程中，有效保證了系統(tǒng)的完整性、安全性和可用性；第二，從管理措施方面看，云主機(jī)采用的白名單機(jī)制安全系統(tǒng)，通過一級測量一級，一級信任一級的準(zhǔn)入制度，有效控制計(jì)算管理，進(jìn)一步保障其安全性。

3 可信計(jì)算在云安全中的應(yīng)用

可信計(jì)算實(shí)現(xiàn)了從傳統(tǒng)封堵查殺到主動防御的轉(zhuǎn)變，現(xiàn)已在云計(jì)算安全中得到了廣泛應(yīng)用。如對數(shù)字版權(quán)的管理、身份盜用保護(hù)、在線游戲作弊防護(hù)、病毒間諜軟件的阻止、保護(hù)生物識別身份驗(yàn)證數(shù)據(jù)、核查遠(yuǎn)程網(wǎng)絡(luò)的計(jì)算結(jié)果等。（1）基于TPM的認(rèn)證。在云計(jì)算環(huán)境下， 擁有大量實(shí)體用戶認(rèn)證信息，進(jìn)行訪問控制的主要基礎(chǔ)就是對這些信息進(jìn)行安全認(rèn)證。例如：云及其數(shù)據(jù)可以對加入到云的用戶、資源信息與實(shí)體進(jìn)行訪問，這些實(shí)體需要對云計(jì)算系統(tǒng)提供身份證明。可信計(jì)算平臺可提供一個(gè)專用的主密鑰，保護(hù)儲存在云系統(tǒng)中的其他信息，將硬件證書儲存在TPM中。在云計(jì)算安全中，可信計(jì)算技術(shù)起到了關(guān)鍵作用。（2）基于角色訪問控制。在云計(jì)算系統(tǒng)中，訪問云服務(wù)的大量用戶都有獨(dú)特的目標(biāo)和行為，建立一個(gè)分類訪問控制準(zhǔn)則，有利于簡化訪問控制模型。分類訪問控制的主要原理是：首先讓用戶先注冊進(jìn)入分類，采用可信計(jì)算平臺的安全機(jī)制，保護(hù)注冊信息的安全，使用戶隱私得到安全保障。用戶通過可信計(jì)算平臺登錄獲取權(quán)威證書，遠(yuǎn)程通話信息可得到密鑰保護(hù)。（3）基于TPM數(shù)據(jù)安全。用TPM產(chǎn)生的密鑰對云存儲的重要數(shù)據(jù)進(jìn)行加密，并將該密鑰保存到TPM中，加大這些密鑰的攻擊難度。加密技術(shù)也可用來保護(hù)傳輸中的數(shù)據(jù)安全性與完整性，用戶在訪問云中數(shù)據(jù)或應(yīng)用程序前，需先進(jìn)行TPM認(rèn)證。（4）用戶行為追蹤。每個(gè)用戶在云計(jì)算系統(tǒng)中都有一個(gè)對應(yīng)完整的身份信息，因此，對用戶行為進(jìn)行追蹤時(shí)，應(yīng)采用不同機(jī)制。在可信計(jì)算平臺上，該機(jī)制會將通過密鑰證明的用戶信息傳送到BIOS與TPM中，使用戶信息無處遁形。（5）可信技術(shù)對虛擬化安全支持。多租戶在云服務(wù)模型中能在不同環(huán)境中增強(qiáng)、隔離和監(jiān)管策略驅(qū)動安全。例如：不同商業(yè)組織之間需共享基礎(chǔ)設(shè)施，使用戶在公共云服務(wù)中得到更好體驗(yàn)?？尚庞?jì)算平臺能改進(jìn)虛擬機(jī)監(jiān)視器并安全分離虛擬網(wǎng)絡(luò)，在硬件超級用戶基礎(chǔ)上，TPM能夠提供完整驗(yàn)證。

4 結(jié)束語

我國缺乏安全可靠、可控制的云數(shù)據(jù)中心，在現(xiàn)階段的發(fā)展環(huán)境下亟需強(qiáng)化自主可控的云安全?？尚庞?jì)算技術(shù)的應(yīng)用，對整個(gè)云數(shù)據(jù)中心安全產(chǎn)業(yè)鏈發(fā)展具有積極的推動作用。

參考文獻(xiàn)：

[1]徐輝.試論可信計(jì)算技術(shù)在云計(jì)算安全中的應(yīng)用[J].佳木斯教育學(xué)院學(xué)報(bào)，2014（06）：436+438.

[2]楊健，汪海航，王劍，俞定國.云計(jì)算安全問題研究綜述[J].小型微型計(jì)算機(jī)系統(tǒng)，2012（03）：472-479.

作者簡介：范翔（1977.03-），男，江蘇淮安，本科，初職稱級，研究方向：計(jì)算機(jī)。

作者單位：江蘇省淮陰商業(yè)學(xué)校，江蘇淮安 223003