舒 奎，肖 志 恒，耿 也，刘 超

（大连工业大学 信息科学与工程学院，辽宁 大连 116034）

0 引 言

云计算是信息系统中最热门的话题之一。云计算和计算资源、储存资源以及软件资源相联系，建造了一个时刻为远程用户服务的大规模虚拟资源库。云计算被视作是继因特网之后的IT 行业里的又一重要增长点。据IDC（互联网数据中心）预测，2015年云计算服务器收入将达94亿美元。另外，由于云计算遵循低碳经济和绿色计算理念，很可能成为未来网络的灵魂，因此得到许多国家的高度重视。

另一方面，云计算里存在很多问题。IDC2009年报告［1］中指出，服务的安全性、稳定性以及表现性是市场中的三大首要挑战。根据2009年11月美国福利斯特研究公司进行的调查结果显示，约51%搜索引擎营销者认为安全性和隐私性是拒绝云计算服务的两大主要原因。2009年，谷歌、微软、亚马逊以及其他提供云计算服务的公司遭受了重大挫折，导致数以千计的客户信息服务受到影响，此次事件更加重了人们对云计算行业安全问题的担忧。因此，安全问题是关系到云计算健康发展的重要因素。

本文分析了云计算目前面临的安全问题，提出一种云计算安全服务模式，分析了该模式中的核心技术，希望对云计算行业的发展有所帮助。

1 云计算中的安全问题

当云计算服务提供者建立了高度完整的云计算服务，用户的安全就应得到更好的保护。在此情况下，云计算中心的安全模式和传统网络安全理念之间的不同显而易见，总结起来有以下几方面：

1.1 虚拟安全

在云计算的代表性服务平台中，提供给用户的资源过于虚幻。根据实际需求，这些虚拟资源和物理资源是分开的。在云计算里，多租户是资源共享的，因此多个虚拟资源可能绑定到同一个物理资源。若云计算平台虚拟软件的现存安全性具有致命缺点，那么用户数据就会被其他用户所窃取。

1.2 安全边际损失

在传统安全问题中，安全隔离和接入控制之间有明确的网络界限。针对不同的安全区需要设定不同的安全策略。在云计算环境下，计算和储存资源高度整合，网络的基本建设相统一，安全设备之间的配置阻碍消失，这就意味着安全云计算中的安全配置将不再同于传统方式，需要找到新的配置模型［2］。

2 云计算安全模型

云用户的首要安全目标就是数据安全和隐私保护。要绝对禁止云服务提供者暴露或者出卖用户的隐私信息，绝对禁止收取并分析用户数据来挖掘用户隐私。例如，两个可能有合作关系的公司交换信息以分析潜在的客户和有效的盈利模式。数据安全和用户数据的隐私存在于创建，储存、使用、共享、存档、销毁这一循环过程中，而这些又与云服务提供者的各个阶段服务相联系［3］。

解决云计算安全最紧要的问题是要建立综合性的云计算安全模式，并运用云计算模式中的核心技术［4］。本论文提出一种云计算安全服务模式，如表1所示。该模式包含一系列的云安全服务，根据其不同的作用，云安全服务可分为4个层次，即虚拟平台、基础设施服务、基本服务和应用程序服务。

2.1 云端安全基本服务

云端安全基本服务属于PaaS，它是满足用户对安全性能追求的重要路径，有如下几种云端安全服务类型。

表1 云计算安全服务模型Tab.1 Cloud computing security service mode

2.1.1 云端用户身份验证管理服务

该服务包含用户身份的提供、认证、注销。在云端环境下，相关的认证和单点登录将支持云端的企业间的合作，使得用户之间身份信息和服务认证的共享变得更加简单，同时降低了重复认证的运作成本。

2.1.2 云端访问控制服务

要实现云端访问控制服务，主要解决如何将传统的访问模式，例如基于角色的访问控制模式、基于属性的访问控制模式、强制／独立的访问控制模式以及授权的言语标准（如XACML 和SAML）运用到云端环境中。

2.1.3 云端审计服务

在用户对漏洞的举报以及安全管理的条件下，云端服务的提供者需承担在安全事件中的责任。因此，实施第三方审计功能非常重要。

2.1.4 云端密码服务

云端密码服务不仅包括典型的加密／解密计算，还包括对核心以及认证的管理和分配服务。云端密码服务简化了密码模式的设置和应用，使密码的使用更集中、更标准化、更易于管理。

2.2 云计算安全基础设施服务

云计算基础设施服务能够将计算和安全储存相结合，它不仅阻止了黑客的恶意袭击，还能对用户数据和应用程序起到保护作用。

在云端基础设施平台，需采取全面的安全措施，例如物理层的访问控制系统；存储层的数据整合，数据加密，日志管理；灾难恢复和备份文件；网络层的DDos，DNS安全，网络的可用性；数据层的DB安全，访问数据的控制盒备份；以及应用层的整合测试和漏洞管理。

云端基础设施应向用户证明其能保护数据隐私。例如，在用户数据加密的情况下，其在内存中运行的程序受到保护。

对于建立安全可靠的云端基础设施服务，整合可信计算技术到云计算环境中很有用。桑托斯提出一种可信的被称作TCCP［4］的云计算平台，在此平台的基础上，IaaS服务者能够提供给用户为确保运行虚拟机机密性的封闭执行环境。另外，在开启虚拟机前，TCCP 准许用户检测IaaS服务者提供的服务是否安全。

2.3 云端安全虚拟化平台

虚拟化是云计算的核心技术，虚拟平台是云计算安全服务模型的基础［5］。虚拟平台能分散同一台机器的不同操作系统中的运行项目以避开资源冲突。另外，虚拟能改善底层硬件的使用情况，并根据项目需要动态分配空闲硬件。广义的虚拟分为基础设施虚拟、软件虚拟和系统虚拟。

2.3.1 基础设施虚拟

包含网络虚拟和存储虚拟［6］。网络虚拟整合了网络的硬件和软件，以提供虚拟网络连接给用户，典型代表有VLAN 和VPN 操作。存储虚拟指的是为物理存储设备提供一种虚拟逻辑观点，用户可以利用逻辑接口来整合和存储资源。虚拟所依托的存储设备和网络是存储虚拟的主要形式。

2.3.2 软件虚拟

是一种虚拟软件环境，包含了高水平语言虚拟和应用程序虚拟。应用程序虚拟将应用和运作系统相结合，为可执行应用程序和运行情况提供了一种虚拟运作环境。应用高水平语言虚拟可以解决不同计算机体系结构的项目转移问题，例如Java虚拟机。

2.3.3 虚拟系统

虚拟机是一种在远程环境里运行的电脑逻辑系统，包括操作系统和应用项目。虚拟系统技术将操作系统和物理电脑分开，在虚拟软件的物理电脑上可以运作多个虚拟机。

2.4 云端安全应用服务

传统的网络安全技术局限于防护能力、反应速度、系统范围等方面，很难满足日益复杂的安全要求。云计算提供的强大计算和储存能力使得安全事件搜集、错误分析和病毒防御以及其他方面的能力表现得到显著改进。云计算可以用于建立大规模集成的安全事件信息项目平台，加强了整个网络安全立场的把握能力。

另外，终端可以被分配去收集安全事件，上传到云端安全中心进行分析，这样将大大增加安全事件的收集和及时处理能力。

3 云计算安全服务模式的核心技术

云计算安全服务模式包含Haas、IaaS、PaaS和Saas。为确保该模式的可行性和数据安全，应用安全和网络边界安全需得到保护，本论文讨论了虚拟模式、用户身份验证方面的内容。

3.1 虚拟安全

在使用虚拟技术来保护云计算安全时，虚拟软件和虚拟服务器的安全性要得到保证。

实现虚拟安全，虚拟软件在留住远程的虚拟机多租户中是最重要的一层。在使用该软件的情况下，几个运用系统可在同一电脑上运行。因此，任何无身份验证的用户将被严格限制进入虚拟软件层。针对实现限制系统管理程序和其他虚拟形式的物理和逻辑性的登录控制，云计算服务提供者需采取必要的安全控制措施。

为防范各环境间的渗入泄漏情况，需将资源库和VISIO 活动目录树进行隔离，切断二者之间的所有链接。

控制资源库的登录口以确保只有可信的个人用户有资格登录。每个个人用户在登录资源库时需有指定账号，普通用户账号和用于登录VSO的账号名应该是不同的。

控制资源库登录的所有管理工具。只有可信个人用户准许进入资源库，例如物理服务器、系统管理程序、虚拟网络、共享储存和其他相关内容。

管理管理库的登录以及运行的虚拟机的虚拟化引擎。

控制对虚拟机文件的登录，保护文件的安全包含对虚拟机的保护。不管是在线还是离线，虚拟机文件必须得到严格管理和掌控。

实现最小安装主机以降低接口被侵袭的可能性。采用合适的安全工具。为了响应合理的安全政策，系统建设应包含所有的必需工具，例如系统管理工具，储存、检测工具等以及一些常用的安全设备。

分流网络流量。系统资源库的建立需包含用于数据管理的私人网络的流量和在线系统的迁移，流动和储存的流量

3.2 虚拟服务器安全的实现

由于虚拟服务器是以虚拟软件为基础的，因此物理服务器的安全和应用规则也适用于虚拟服务器。同时，虚拟服务器的属性也需考虑在内。

物理服务器TPM 模型的选择。当虚拟服务器启动时，TPM 安全模型会检测到用户的登录密码，如果该密码或者哈希序列错误，虚拟服务器将启动失败。

在安装虚拟服务器的时，每个虚拟服务器需安装到单独的硬盘分区，因此，每个虚拟服务器将被合理分开。

通过VLAN 和不同的IP分段将各个虚拟服务器合理分开。虚拟服务器间的交流需受到VPN 保护。

3.3 身份验证与授权

在云计算里，组织间的信任边界是动态的，不受IT 控制。云计算提供者管理该组织的网络和系统间的边界［7］。通常情况下，提供者可能是电子商务公司、供应链管理者，以及其他外包与合作的团队或合作伙伴。如果失去对信用的控制，已建立的管理模式将受到挑战。不合理的边界间的信用管理也会使云端服务得不到应用。为了弥补对信用的失控，加强对网络风险保证的控制以及解决身份验证和登录安全问题，身份验证与授权须被应用进来。

现行的验证与授权主要是通过签发数字认证获得。但它存在一定的缺点，例如，缺乏精确的在线商务性CA 验证；一个人可拥有几个认证，而所有的认证立足于同一个可信源等。普通的方法不能确保一人一认证，不能识别虚拟验证和实际验证之间的有效联系。能够登录的唯一方法是依靠密码，而密码的遗失对信息的安全性会产生很大影响。

建立电子验证（eID）服务平台能有效解决云端系统现存的安全问题。随着银行卡和SIN 卡的换代，用户加密的电子验证可储存到eID 的现代传媒载体（IC卡，Ukey等），用于身份管理和授权信用的管理。当用户通过电子认证终端访问网络应用时，实体认证协议将识别用户在所有应用上的身份认证。用户可通过隐私登录控制服务对配置属性进行披露。根据用户的策略和系统隐私策略，服务系统确定是否为应用系统产生授权属性的要求。

通过连接服务属性接口和信息服务接触接口，线上应用（电子商务，娱乐）完成了统一的实体识别、实体验证管理以及与平台相关的信息订阅。

图1 电子身份认证证书的处理流程服务平台Fig.1 The platform of eID certification service process

4 结 论

本文所提到的安全服务模式能够解决云计算现在所面临的安全问题。这种模式的实现不仅依靠技术，还要考虑标准化、监测化模式、法律法规以及其他方面和使云端服务的各个方面协同合作。

［1］比特网.2008－2009年中国IDC 业务市场研究年度报告［EB／OL］.（2009－03－25）［2013－03－10］.http：／／datacenter.chinabyte.com／203／8768703.shtml.

［2］刘晓乐.计算机云计算及其实现技术分析［J］.电子科技，2009，22（12）：100－102.

［3］汪来富，沈军，金华敏.商密云存储系统应用研究［J］.信息安全与通信保密，2010，26（6）：67－70.

［4］李连，朱爱红.云计算安全技术研究综述［J］.信息安全与技术，2013（5）：42－45.

［5］陈亚莎，赵勇，刘燕，等.高安全级信息系统中的特权控制机制及其模型研究［J］.山东大学学报：理学版，2011，46（9）：57－60.

［6］冯登国，张敏，张妍.云计算安全研究［J］.软件学报，2011，22（1）：71－83.

［7］洪澄，张敏，冯登国.AB－ACCS：一种云存储密文访问控制方法［J］.计算机研究与发展，2010，47（增刊1）：259－265.