顏　亭（商丘醫(yī)學(xué)高等?？茖W(xué)校,河南　商丘　476000）

云計(jì)算安全機(jī)制探析

顏亭
（商丘醫(yī)學(xué)高等?？茖W(xué)校,河南商丘476000）

摘要：隨著現(xiàn)代云計(jì)算服務(wù)的推行和使用，人們對(duì)云計(jì)算的安全性能提出了更高的要求。云計(jì)算在提高軟硬件資源利用率的同時(shí)，面臨著安全方面的巨大沖擊和挑戰(zhàn)。本文在對(duì)云計(jì)算面臨安全問題作出分析和論述的基礎(chǔ)上，就云計(jì)算安全機(jī)制的構(gòu)建措施進(jìn)行了探討，以期為租戶提供安全的使用環(huán)境。

關(guān)鍵詞：云計(jì)算安全；問題；安全機(jī)制

所謂的云計(jì)算是指一種基于網(wǎng)絡(luò)的計(jì)算方式，它實(shí)現(xiàn)了軟硬件資源和信息的共享，為人們提供了更優(yōu)質(zhì)的信息化生活。但是隨著云計(jì)算的發(fā)展，租戶面臨著越來越多的安全問題。有關(guān)云計(jì)算安全方面的研究受到了業(yè)界和社會(huì)大眾的廣泛關(guān)注。而云計(jì)算安全機(jī)制的構(gòu)建在不影響用戶體驗(yàn)的情況下，為租戶提供了更多的安全保障，是當(dāng)前云計(jì)算領(lǐng)域發(fā)展和研究的重點(diǎn)。

1　云計(jì)算面臨的安全問題

云計(jì)算運(yùn)行的目的是為用戶解決繁雜的硬件管護(hù)問題，實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)資源的整合、優(yōu)化，從而讓計(jì)算機(jī)為人們提供更加便捷、優(yōu)質(zhì)的服務(wù)。隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展，傳統(tǒng)的互聯(lián)網(wǎng)信息處理方式已不能完全滿足人們?nèi)諠u個(gè)性化的需求。而云計(jì)算的出現(xiàn)，不僅提升了網(wǎng)絡(luò)資源的利用率，還滿足了人們的這種個(gè)性化需求。但是，云計(jì)算使用的過程中，人們也面臨著更多的安全問題。具體而言，當(dāng)前云計(jì)算面臨的安全問題有多租戶資源共享產(chǎn)生的安全問題以及租戶身份信息認(rèn)證產(chǎn)生的安全問題等。云計(jì)算的共享系統(tǒng)實(shí)現(xiàn)了計(jì)算機(jī)軟硬件資源和信息整合，但共享系統(tǒng)同樣加速了安全風(fēng)險(xiǎn)的蔓延，為租戶的蓄意攻擊行為提供了便利條件，給租戶的信息安全帶來了安全隱患。租戶身份信息認(rèn)證主要由云計(jì)算提供商操作完成，這在一定程度上減低了租戶對(duì)信息處理過程的可控性，為了防止不法提供商借機(jī)竊取租戶信息，必須要構(gòu)建一套完善的云計(jì)算安全機(jī)制，以保證租戶的信息安全和合法權(quán)益。

2　云計(jì)算安全機(jī)制的構(gòu)建措施

作者結(jié)合上文對(duì)云計(jì)算安全問題的分析，結(jié)合云計(jì)算安全防護(hù)的評(píng)測(cè)、認(rèn)證、隔離等幾個(gè)階段，提出了以下幾種云計(jì)算安全機(jī)制構(gòu)建措施，以供參考。

2.1構(gòu)建云計(jì)算安全評(píng)測(cè)機(jī)制

安全評(píng)測(cè)是保證云計(jì)算安全的基礎(chǔ)環(huán)節(jié)，它可以有效地將云計(jì)算安全隱患扼殺于未然。隨著云計(jì)算運(yùn)行環(huán)境的復(fù)雜化，云計(jì)算安全評(píng)測(cè)遇到了前所未有的難度，相關(guān)方面的研究受到了業(yè)界的廣泛關(guān)注。目前，我們可采用的云計(jì)算安全評(píng)測(cè)方法主要有增量測(cè)試法、自動(dòng)化測(cè)試法以及基于Web的測(cè)試方法。增量測(cè)試法能夠通過有效的測(cè)試流程適當(dāng)降低云計(jì)算安全評(píng)測(cè)難度，因而被廣泛應(yīng)用。一般情況下，云計(jì)算安全增量測(cè)試包含了基于功能模塊的測(cè)試和基于測(cè)試范圍的測(cè)試。前者需要工作人員在確定評(píng)測(cè)模塊后，在線進(jìn)行持續(xù)驗(yàn)證和檢測(cè)，并通過獲取信息判定云計(jì)算的安全性，進(jìn)而采取有效的防護(hù)和修補(bǔ)措施，保證了云計(jì)算的不間斷運(yùn)行。后者主要是按照由小到大的順序，在確定小范圍內(nèi)用戶安全的基礎(chǔ)上，逐漸擴(kuò)大測(cè)試范圍。除此之外，自動(dòng)化檢測(cè)法和基于Web的測(cè)試法都各具特點(diǎn)，我們可以根據(jù)云計(jì)算安全檢測(cè)需求實(shí)際進(jìn)行選用。

2.2構(gòu)建云計(jì)算安全認(rèn)證機(jī)制

完善的云計(jì)算安全認(rèn)證機(jī)制可以有效避免服務(wù)劫持、服務(wù)濫用等云計(jì)算安全威脅，是云計(jì)算開放環(huán)境中最重要的安全防護(hù)方式之一。云計(jì)算安全認(rèn)證機(jī)制可分為兩種實(shí)施方式：一是，以服務(wù)為中心的安全認(rèn)證。以服務(wù)為中心的云計(jì)算安全認(rèn)證授權(quán)是通過設(shè)定相應(yīng)的認(rèn)證程序?qū)碛胁煌?wù)權(quán)限的身份進(jìn)行驗(yàn)證和授權(quán)，繼而達(dá)到安全防護(hù)目的機(jī)制，其工作機(jī)理是云計(jì)算提供商對(duì)發(fā)出服務(wù)請(qǐng)求的身份信息進(jìn)行確認(rèn)，當(dāng)確定該信息有實(shí)效時(shí)則給予完整的認(rèn)證和授權(quán)管理，否則需要建立有效的身份信息之后才可進(jìn)行服務(wù)申請(qǐng)；二是，以用戶為中心的安全認(rèn)證。在云計(jì)算運(yùn)行的環(huán)境中，租戶可能會(huì)定制分屬不同區(qū)域的服務(wù)，單憑以服務(wù)為中心的認(rèn)證勢(shì)必會(huì)復(fù)雜化認(rèn)證程序，這無疑影響了用戶的體驗(yàn)。因此，我們可以采用基于服務(wù)和用戶聯(lián)合認(rèn)證的方式，保證云計(jì)算安全的同時(shí)提升用戶的體驗(yàn)。在此過程中，云計(jì)算提供商需要將具有跨區(qū)域服務(wù)功能的云計(jì)算服務(wù)認(rèn)證權(quán)交給可信的第三方進(jìn)行管理，并確保每一位租戶身份信息和授權(quán)信息的唯一性，以免多重租戶信息給云計(jì)算安全帶來干擾。

2.3構(gòu)建云計(jì)算安全隔離機(jī)制

云計(jì)算安全隔離機(jī)制是通過用戶信息隔離，將租戶保護(hù)在一個(gè)相對(duì)封閉而安全的空間范圍內(nèi)，便于提供商管理的同時(shí)減少因租戶操作失誤或蓄意攻擊給整個(gè)云計(jì)算運(yùn)行系統(tǒng)帶來的安全風(fēng)險(xiǎn)。在此作者重點(diǎn)介紹云計(jì)算安全網(wǎng)絡(luò)隔離機(jī)制。隨著現(xiàn)代科學(xué)技術(shù)的發(fā)展，云計(jì)算安全逐漸在物理和邏輯兩個(gè)層面上實(shí)現(xiàn)了網(wǎng)絡(luò)隔離。其中，物理層面的網(wǎng)絡(luò)隔離需要借助一些特殊的網(wǎng)絡(luò)設(shè)備才得以實(shí)現(xiàn)，例如在具有虛擬化功能物理交換機(jī)的支持下，云計(jì)算不僅實(shí)現(xiàn)了通信隔離，還實(shí)現(xiàn)了訪問控制管理，為云計(jì)算提供了有效的安全保障。邏輯層的網(wǎng)絡(luò)隔離則針對(duì)各個(gè)網(wǎng)絡(luò)協(xié)議層給出了不同的安全隔離方案，對(duì)提升云計(jì)算安全同樣具有積極的作用。但是，以現(xiàn)有的網(wǎng)絡(luò)隔離技術(shù)來看，很少有涉及到針對(duì)租戶之間網(wǎng)絡(luò)攻擊方面的安全防護(hù)，因而我們需要進(jìn)一步加強(qiáng)云計(jì)算安全機(jī)制方面的研究。

總之，構(gòu)建完善的云計(jì)算安全機(jī)制是非常重要的。在以后的云計(jì)算應(yīng)用實(shí)踐中，我們應(yīng)該時(shí)刻關(guān)注云計(jì)算的動(dòng)態(tài)發(fā)展變化，及時(shí)分析、總結(jié)影響云計(jì)算安全的因素，并積極探索相應(yīng)的安全防護(hù)方案，不斷完善云計(jì)算安全機(jī)制，從而為廣大租戶提供安全的使用環(huán)境。

參考文獻(xiàn)：

[1]張逢喆,陳進(jìn),陳海波,臧斌宇.云計(jì)算中的數(shù)據(jù)隱私性保護(hù)與自我銷毀[J].計(jì)算機(jī)研究與發(fā)展,2011(07).

[2]馮登國,張敏,張妍,徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011(01).