0 引言

蘋(píng)果iCloud在云服務(wù)中具有代表性，但隨著其爆出的漏洞問(wèn)題不僅使iCloud的安全性備受爭(zhēng)議，更引來(lái)了用戶(hù)對(duì)云服務(wù)安全性的思考。

本文以蘋(píng)果iCloud為例，通過(guò)對(duì)艷照門(mén)事件引申的云服務(wù)安全性問(wèn)題進(jìn)行探討，結(jié)合云的安全性現(xiàn)狀及目前云安全的關(guān)鍵技術(shù)，提出在云端服務(wù)的安全體系創(chuàng)新性地進(jìn)行安全區(qū)域劃分，并以此來(lái)探討更好的云端服務(wù)安全性防范策略。

1 “云”的相關(guān)概述

1.1 iCloud 的應(yīng)用及云服務(wù)安全現(xiàn)狀

1.1.1 iCloud的應(yīng)用

iCloud的重點(diǎn)放在對(duì)用戶(hù)數(shù)據(jù)的存儲(chǔ)并在用戶(hù)的所有設(shè)備（iphone，itouch，mac及 pc）上保持同步的更新上。此外iCloud還有自動(dòng)同步的功能。

1.1.2 云服務(wù)安全現(xiàn)狀

由于云供應(yīng)商沒(méi)把安全性放在首位，導(dǎo)致時(shí)有用戶(hù)信息被泄露，原因主要有兩點(diǎn)：

（1）移動(dòng)設(shè)備增多，防護(hù)加難。移動(dòng)設(shè)備在運(yùn)用云服務(wù)時(shí)需與第三方進(jìn)行同步連接，若第三方在設(shè)計(jì)上出現(xiàn)差錯(cuò)，將很有可能會(huì)導(dǎo)致你的信息被竊，這使得對(duì)云服務(wù)的安全防護(hù)不斷加難。

（2）無(wú)健全的監(jiān)管機(jī)制。云服務(wù)具有隨時(shí)隨地、數(shù)據(jù)資源所有權(quán)、管理權(quán)和使用權(quán)分離，及各平臺(tái)間不具備互操作性等特點(diǎn)。所以，標(biāo)準(zhǔn)規(guī)范和安全管理成為云計(jì)算推廣中的最大挑戰(zhàn)。

1.2 iCloud的安全技術(shù)

iCloud鑰匙鏈采用了公開(kāi)密鑰中的橢圓曲線(xiàn)算法、AES-256等加密算法，用戶(hù)在發(fā)送數(shù)據(jù)至互聯(lián)網(wǎng)前已被加密，只有對(duì)應(yīng)的私鑰才能對(duì) iCloud端的數(shù)據(jù)解密。另外，整個(gè)通信過(guò)程也是在標(biāo)準(zhǔn)協(xié)議的條件下才能完成，這兩點(diǎn)都有效保證了 iCloud服務(wù)的安全性。

2 由icloud引申的云服務(wù)安全問(wèn)題

云環(huán)境中，大多數(shù)情況出現(xiàn)泄密是因技術(shù)和人為因素。

iCloud事件中賬號(hào)被盜有兩種可能：

一是攻擊者利用“撞庫(kù)”（攻擊者入侵安全性差的網(wǎng)站，竊取用戶(hù)注冊(cè)郵箱和密碼后，在iCloud上多次嘗試登錄）進(jìn)行盜號(hào)；

二是設(shè)備或網(wǎng)絡(luò)環(huán)境存在漏洞，攻擊者用釣魚(yú)WiFi盜取賬號(hào)和密碼。

以下對(duì)這兩種可能具體分析出背后隱藏的威脅。

2.1 數(shù)據(jù)無(wú)法徹底銷(xiāo)毀

蘋(píng)果用戶(hù)只要啟動(dòng) iCloud，其終端設(shè)備中的相片等便會(huì)自動(dòng)同步存儲(chǔ)在 iCloud中，就算你在手機(jī)中刪除，備份仍存于 iCloud中，這也是艷照門(mén)事件的主因。

云環(huán)境中，當(dāng)用戶(hù)發(fā)出數(shù)據(jù)刪除請(qǐng)求后，可能因本地?cái)?shù)據(jù)不同步，或因云端自身的合法或非法的原因?qū)е略葡到y(tǒng)不能徹底刪除用戶(hù)數(shù)據(jù)，就有可能造成其他用戶(hù)通過(guò)殘留數(shù)據(jù)獲取用戶(hù)隱私。

此外，虛擬機(jī)若從一個(gè)物理主機(jī)遷至另一主機(jī)后，原主機(jī)硬盤(pán)上仍留有虛擬化操作系統(tǒng)的痕跡，即使將文件從硬盤(pán)上刪除或格式化，攻擊者仍能通過(guò)恢復(fù)技術(shù)從該主機(jī)硬盤(pán)上獲取有用信息。

2.2 web應(yīng)用技術(shù)存在漏洞

當(dāng)前web應(yīng)用程序主要漏洞是 SQL注入（SQLI）、交叉站點(diǎn)腳本（XSS）和分布式拒絕服務(wù)攻擊（DDOS攻擊）。

SQL注入試圖通過(guò)在SQL語(yǔ)句中夾帶惡意數(shù)據(jù)進(jìn)而未經(jīng)授權(quán)就能對(duì)后端數(shù)據(jù)庫(kù)的 Web應(yīng)用程序訪(fǎng)問(wèn)。

跨站腳本（XSS）攻擊是指在Web應(yīng)用程序中，攻擊者試圖注入惡意腳本到看起來(lái)是可信網(wǎng)站的網(wǎng)頁(yè)中。當(dāng)訪(fǎng)問(wèn)受攻擊的輸出或頁(yè)面時(shí)，瀏覽器就會(huì)執(zhí)行代碼，代碼可劫持用戶(hù)的會(huì)話(huà)cookie，它可能包含用戶(hù)名，密碼等。

分布式拒絕服務(wù)攻擊（DDoS攻擊）使一個(gè)機(jī)器或網(wǎng)絡(luò)資源不可用于其預(yù)期的用戶(hù)，因此致使服務(wù)器癱瘓而無(wú)法提供服務(wù)、信息損失及數(shù)據(jù)損壞等。

2.3 應(yīng)用層訪(fǎng)問(wèn)控制機(jī)制不完善

主要表現(xiàn)在用戶(hù)的非法訪(fǎng)問(wèn)導(dǎo)致的數(shù)據(jù)泄露，這可來(lái)自外部或內(nèi)部攻擊。

外部攻擊是指不能通過(guò)安全認(rèn)證的用戶(hù)非法進(jìn)入系統(tǒng)，造成用戶(hù)數(shù)據(jù)被破壞或泄密。在蘋(píng)果系統(tǒng)中有個(gè)“查找我的iPhone”服務(wù)，此應(yīng)用程序存在的安全漏洞允許黑客不斷嘗試密碼，最終找到正確的密碼后便能訪(fǎng)問(wèn)該用戶(hù)iCloud賬戶(hù)。

內(nèi)部攻擊是指具有一定身份的授權(quán)用戶(hù)非法訪(fǎng)問(wèn)其未授權(quán)資源，從而造成用戶(hù)數(shù)據(jù)丟失。

3 從iCloud事件中思考如何保障云端服務(wù)安全性

在整個(gè)云端服務(wù)的業(yè)務(wù)系統(tǒng)內(nèi)的用戶(hù)都是動(dòng)態(tài)地在系統(tǒng)內(nèi)來(lái)回，無(wú)明顯邊界，若對(duì)云服務(wù)進(jìn)行安全區(qū)域劃分并面向每個(gè)區(qū)域塊有針對(duì)性的策略，一旦出現(xiàn)問(wèn)題時(shí)就能快速識(shí)別是哪塊區(qū)域出現(xiàn)漏洞并采取策略。于是本文提出了的一個(gè)新的云端服務(wù)安全區(qū)域劃分體系，如圖1，下面是具體的保障措施。

圖1 云端服務(wù)安全區(qū)域塊體系

3.1 使用鏡像加密技術(shù)

該技術(shù)用在生產(chǎn)服務(wù)云內(nèi)，是指在傳輸前先對(duì)敏感數(shù)據(jù)進(jìn)行鏡像處理，在壓縮的同時(shí)對(duì)文件加密。這不但可避免部分敏感文件在傳輸過(guò)程中被丟或部分殘留在物理機(jī)上，且可保證就算是殘留在操作系統(tǒng)中的鏡像文件被竊，里面關(guān)于用戶(hù)的隱私數(shù)據(jù)也無(wú)法讀出。

使用鏡像文件加密技術(shù)時(shí)，無(wú)論用戶(hù)A發(fā)布或用戶(hù)B訪(fǎng)問(wèn)鏡像文件都要經(jīng)鏡像文件庫(kù)的訪(fǎng)問(wèn)機(jī)制才能保存與發(fā)布信息，而鏡像文件庫(kù)會(huì)即時(shí)對(duì)涉及到用戶(hù)隱私的信息進(jìn)行刪除，即某用戶(hù)在訪(fǎng)問(wèn)文件時(shí)能獲取的只是部分鏡像。

3.2 建立加密、控制到審計(jì)的三重防護(hù)架構(gòu)

圖1中讓基礎(chǔ)網(wǎng)絡(luò)層、虛擬化服務(wù)層和數(shù)據(jù)存儲(chǔ)層時(shí)刻都處在安全運(yùn)維中心的管理下，同時(shí)在各層間建立加密、控制到審計(jì)的三重防護(hù)架構(gòu)。

3.2.1 建立安全訪(fǎng)問(wèn)控制機(jī)制

Amazon S3在云端服務(wù)平臺(tái)上被廣泛應(yīng)用，在這種方式下被授權(quán)的用戶(hù)和應(yīng)用才有權(quán)對(duì)數(shù)據(jù)文件進(jìn)行訪(fǎng)問(wèn)，但其最大缺點(diǎn)還是控制列表數(shù)量的限定。為此通過(guò)結(jié)合對(duì)訪(fǎng)問(wèn)信息加密及參考數(shù)據(jù)安全訪(fǎng)問(wèn)機(jī)制，設(shè)計(jì)出用戶(hù)在離線(xiàn)和在線(xiàn)情況下能便利、安全地使用云服務(wù)的數(shù)據(jù)訪(fǎng)問(wèn)控制機(jī)制。

第一種數(shù)據(jù)訪(fǎng)問(wèn)控制機(jī)制是指只有在用戶(hù)在線(xiàn)時(shí)應(yīng)用才能訪(fǎng)問(wèn)用戶(hù)空間下的非特定目錄或文件，它不受訪(fǎng)問(wèn)控制列表的訪(fǎng)問(wèn)權(quán)限限制。方案：在數(shù)據(jù)文件或目錄訪(fǎng)問(wèn)權(quán)限的生命周期很短的條件下，應(yīng)用層請(qǐng)求訪(fǎng)問(wèn)用戶(hù)存儲(chǔ)在云服務(wù)端的某數(shù)據(jù)文件或目錄時(shí)，則被授予這種短期的一兩分鐘內(nèi)的臨時(shí)權(quán)限，。

第二種數(shù)據(jù)訪(fǎng)問(wèn)控制機(jī)制是指在用戶(hù)離線(xiàn)的情況下，為應(yīng)用訪(fǎng)問(wèn)用戶(hù)空間下特定目錄，與第一種的區(qū)別：不是臨時(shí)訪(fǎng)問(wèn)授權(quán)，且整個(gè)訪(fǎng)問(wèn)權(quán)限時(shí)間延長(zhǎng)至用戶(hù)不再需用該應(yīng)用為止；在非在線(xiàn)情況下，用戶(hù)對(duì)應(yīng)用進(jìn)行訂購(gòu)時(shí)需訪(fǎng)問(wèn)控制列表。

3.2.2 加強(qiáng)身份和數(shù)據(jù)審計(jì)

首先須對(duì)內(nèi)部人員實(shí)施嚴(yán)格的身份管理、安全認(rèn)證與訪(fǎng)問(wèn)權(quán)限控制。對(duì)普通用戶(hù)的身份審計(jì)主要是在新用戶(hù)加入和退出時(shí)，需用多重的身份驗(yàn)證措施，最后給用戶(hù)分配合適的權(quán)限，同時(shí)供應(yīng)商也要在緊密的時(shí)間間隔內(nèi)刪除過(guò)時(shí)用戶(hù)，以防用戶(hù)信息被泄露。

數(shù)據(jù)審計(jì)主要是先對(duì)敏感數(shù)據(jù)經(jīng)分級(jí)處理，按敏感數(shù)據(jù)的重要性對(duì)其加密，實(shí)時(shí)監(jiān)控其在云中所處的位置、狀態(tài)，再對(duì)敏感數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的各種行為進(jìn)行日志收集和審計(jì)分析，并對(duì)可疑記錄溯源分析，嚴(yán)防內(nèi)部人員將用戶(hù)數(shù)據(jù)泄露。

3.2.3 數(shù)據(jù)傳輸與存儲(chǔ)云端安全策略

方法主要備兩個(gè)密鑰，一個(gè)讓用戶(hù)持有，稱(chēng)主密鑰 K，另一個(gè)讓虛擬密鑰管理（virtual key management，VKM）服務(wù)持有，由虛擬密鑰管理按用戶(hù)數(shù)據(jù)及生成規(guī)則形成服務(wù)器配對(duì)密鑰。VKM服務(wù)會(huì)在數(shù)據(jù)被加密前，請(qǐng)求用戶(hù)主密鑰根據(jù)主密鑰 K與服務(wù)器配對(duì)密鑰 k按工作原理中的安全算法 B，產(chǎn)生新數(shù)據(jù)加密密鑰 K’并對(duì)存儲(chǔ)數(shù)據(jù)加密存儲(chǔ)，其數(shù)學(xué)式表達(dá)為：E（K，k）=K’ EK’=CM

從服務(wù)商來(lái)看，若其無(wú)用戶(hù)提供的主密鑰也沒(méi)法對(duì)數(shù)據(jù)解密，其密鑰關(guān)系如圖2：

圖2 分離密鑰關(guān)系

以上兩密鑰被用戶(hù)和 VKM 持有時(shí)安全，若要保護(hù)用戶(hù)隱私，還需只有用戶(hù)才持有的主密鑰 K來(lái)對(duì)配對(duì)密鑰進(jìn)行加密，其數(shù)學(xué)式表達(dá)為：EK’（k）=CK

如圖2，內(nèi)部管理人員無(wú)法獲取加密后的密鑰，就算他以不合法的方式進(jìn)入服務(wù)器，并持有配對(duì)密鑰的存儲(chǔ)密文 CK，只有在獲取最終的加密密鑰時(shí)，才能讀取數(shù)據(jù)文件，但其中一個(gè)密鑰只有用戶(hù)持有，在內(nèi)部管理人員無(wú)法得知此密鑰的情況下，也就不能獲得由主密鑰 K加密過(guò)的服務(wù)器配對(duì)密鑰 k，連服務(wù)提供商都不能破解用戶(hù)存儲(chǔ)在云端的數(shù)據(jù)，那么對(duì)于攻擊者能竊取的也只能是些無(wú)用密文。

3.3 區(qū)域間的安全防護(hù)

在安全區(qū)域劃分體系下，當(dāng)用戶(hù)與云端交互時(shí)，還需對(duì)離開(kāi)區(qū)域塊的數(shù)據(jù)保護(hù)，方法如下。

（1）采用加密技術(shù)。它能保證數(shù)據(jù)在用戶(hù)端被發(fā)送出去后上傳到云端的整個(gè)過(guò)程中的安全防護(hù)。

（2）建立多層防御。用web應(yīng)用程序防火墻防護(hù)對(duì)外提供服務(wù)的HTTP及HTTPS網(wǎng)站，以防御SQL，XSS等的攻擊。采取 IDS或者 IPS在網(wǎng)絡(luò)層進(jìn)行防護(hù)和過(guò)濾惡意封包，也可用Vontu、Websense和Vericept檢測(cè)哪些數(shù)據(jù)離開(kāi)你網(wǎng)絡(luò)的同時(shí)，自動(dòng)攔截敏感數(shù)據(jù)；為有效阻擋特定來(lái)源的大量郵件，使用過(guò)濾外部病毒或釣魚(yú)郵件的閘道式防毒系統(tǒng)，并與一般電腦主機(jī)安裝的防毒軟件共同組成雙層防御機(jī)制，可提高防毒能力。

（3）通過(guò)虛擬網(wǎng)絡(luò)安全域隔離技術(shù)，按不同應(yīng)用及服務(wù)的安全等級(jí)劃分虛擬安全域，并對(duì)域進(jìn)行分級(jí)分域管理。同時(shí)嚴(yán)格控制安全域間、安全域內(nèi)不同虛擬機(jī)間的訪(fǎng)問(wèn)，限制外部及其對(duì)虛擬安全域內(nèi)部虛擬機(jī)發(fā)起的網(wǎng)絡(luò)攻擊。

4 總結(jié)

本文在 iCloud引申的問(wèn)題上將云服務(wù)安全區(qū)域進(jìn)行“物理”分塊，使安全隔離的需求降低，且各區(qū)域塊互不影響，在一定程度上提高了云服務(wù)的安全性。除云提供商做好云服務(wù)安全性外，用戶(hù)也須提高自我安全意識(shí)，如在使用云服務(wù)時(shí)盡量設(shè)置復(fù)雜密碼等。