江雪，何晓霞

云计算安全对策研究

江雪，何晓霞

云计算的安全问题是制约和影响云计算发展及应用的关键问题。从云计算的基本概念入手，介绍了云计算安全的发展现状和几种典型的云安全体系架构，结合3种云服务模式分析得出云计算安全目标，针对这些安全目标提出了相应的对策和思路，并且重点探讨了基于可信计算的云计算安全。

云计算；信息安全；安全体系架构；可信计算

0 引言

云计算利用网络将大量的计算资源、存储资源和软件资源整合在一起，形成大规模的共享虚拟 IT 资源池，打破传统针对本地用户的一对一服务模式，为远程计算机用户提供相应的 IT 服务，真正实现资源的按需分配。

随着云计算的发展，安全问题逐渐凸显出来，已经成为制约其发展的重要因素。据 IDC 报告，有超过 74% 的用户认为安全问题是限制云计算发展的主要问题。云计算安全问题得到产业界、学术界的广泛关注，很多企业机构、研究团体及标准化组织都展开了相应研究。

1 云计算安全概述

1.1 云计算的定义

美国国家标准技术研究院（NIST）将云计算定义为“一种无处不在的、便捷的且按需的对一个共享的可配置的计算资源进行网络访问的模式，它能够通过最少量的管理或与服务供应商的互动实现计算资源的迅速供给和释放[1]。

根据 NIST 的定义，云计算具有 5 个关键特征：1）按需自服务，用户在需要时自动配置计算能力；2）宽度接入，利用网络支持各种标准接入手段；3）虚拟化的资源池，按照用户需要，将物理和虚拟资源进行动态分配和管理；4）弹性架构、服务可以快速弹性地供应；5）可测量服务。

云计算具有 3种典型的服务模式：1）软件即服务（SaaS），提供给用户以服务的方式使用应用程序的能力；2）平台即服务（PaaS），提供给用户在云基础设施之上部署和使用开发环境的能力；3）基础设施即服务（IaaS），提供给用户以服务的方式使用处理器、存储、网络以及其它基础性计算资源的能力。

2.2 云计算安全研究现状

2.2.1 云计算安全标准研究现状

云安全联盟 CSA(Cloud Security Alliance)已完成《云计算面临的严重威胁》、《云控制矩阵》、《关键领域的云计算安全指南》等研究报告，并发布了云计算安全定义。这些报告强调了云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案。

国际电信联盟 ITU-TSG17 研究组会议于 2010 年 5 月在瑞士的日内瓦召开，成立云计算专项工作组。云计算安全是其中重要的研究课题，计划推出的标准包括《电信领域云计算安全指南》。

结构化信息标准促进组织(OASIS)将云计算看作是SOA 和网络管理模型的自然扩展。在标准化工作方面，OASIS 致力于在现有标准的基础上建立云计算模型、配置文件和扩展相关的标准。

近期，分布式管理任务组(Distributed Management Task Force，DMTF)也已启动了云标准孵化器过程。参与成员将关注通过开发云资源管理协议、数据包格式以及安全机制来促进云计算平台间标准化的交互，致力于开发一个云资源管理的信息规范集合。该组织的核心任务是扩展开放虚拟化格式(OVF)标准，使云计算环境中工作负载的部署及管理更为便捷。

2.2.2 云计算安全技术研究现状

在 IT 产业界，各类云计算安全产品与方案也不断涌现。EMC，Intel， Vmware 等公司联合宣布了一个“可信云体系架构”的合作项目，并提出了一个概念证明系统。微软为云计算平台 Azure 筹备代号为 Sydney 的安全计划，帮助企业用户在服务器和 Azure 云之间交换数据，以解决虚拟化、多租户环境中的安全性。开源云计算平台 Hadoop 也推出安全版本，引入 kerberos 安全认证技术，对共享商业敏感数据的用户加以认证与访问控制，阻止非法用户对Hadoop clusters 的非授权访问。Sun 公司发布开源的云计算安全工具可为 Amazon 的 EC2，S3 以及虚拟私有云平台提供安全保护。工具包括 OpenSolaris VPC 网关软件，能够帮助客户迅速和容易地创建一个通向 Amazon 虚拟私有云的多条安全的通信通道；为 Amazon EC2 设计的安全增强的VMIs，包括非可执行堆栈，加密交换和默认情况下启用审核等；云安全盒(cloud safety box)，使用类 Amazon S3 接口，自动地对内容进行压缩、加密和拆分，简化云中加密内容的管理等。

3 云安全体系架构

3.1 CSA 的云安全架构

CSA 从云服务模型角度提出了一个云计算安全架构，该安全架构描述了3种基本云服务的层次性及其依赖关系，并实现了从云服务模型到安全控制和合规模型的映射，如图1所示：

图1 云模型与安全控制模型

该安全架构的关键特点是：供应商所在的等级越低，云服务用户所要承担的安全能力和管理职责就越多[2]。

在 SaaS 环境中，由于位于云服务模式的最顶层，供应商承担最多的安全责任，在服务合同中对服务等级、隐私、合规性以及安全控制及其范围等进行明确；在 PaaS 中，供应商主要为平台自身提供安全保护，平台上应用的安全性及如何安全地开发这些应用则是客户的职责；在 IaaS 中，由于位于云服务模式的最低层，供应商主要提供低层基础设施和抽象层的安全保护，除此之外，其它安全职责主要由客户自己承担。

3.2 云立方体模型

从安全协同的角度，Jericho Forum 提出了云立方体模型[3]。云立方体模型很形象地归纳了现有云产品的各种排列组合，提出了用以区分云从一种形态转换到另外一种形态的4种维度（物理位置、所有关系、边界状态、运行管理者），以及各种组成的供应配置方式，以便理解云计算影响安全策略的方式。不同的云计算形态具有不同的协同性、灵活性及其安全风险特征。云服务用户需要根据自身的业务和安全协同需求选择最为合适的云计算形态。

3.3 可信云体系架构

VMWare、Intel 和 EMC 合作提出一种可信云体系架构。在基础设施上利用 Intel的可信执行技术(trusted execution technology)进行安全保障，为物理基础设施构建一个物理信任根，从信任根开始按照引导顺序对硬件配置、BIOS完整性、Hypervisor 完整性、虚拟机系统的完整性进行验证，实现平台的可信启动；在平台成功启动之后，利用 VMWare的虚拟隔离技术对虚拟环境进行安全保障，保护数据中心的安全区域以及虚拟机免受病毒和恶意软件的威胁；RSA Envision 对硬件层和虚拟层的安全数据进行收集，并进行统一的分析和管理。通过平台的可信启动、虚拟层的安全防护以及安全事件的统一管理，构建可信云计算环境。

3.4 其他安全体系架构

欧洲网络和信息安全研究所（European Network and Information Security Agency，ENISA）针对云计算环境中的安全问题提出一个云计算信息安全保障框架。

IBM 基于其企业信息安全框架从用户认证与授权、流程管理、多级权限控制、数据隔离和保护、网络和存储隔离、物理安全等层面提出了一种云计算安全框架。

思科提出一个云数据中心安全框架，对云数据中心的威胁模型以及减少安全风险的措施进行描述，强调在架构的每一层实现相应措施的重要性。

4 云计算安全目标

不同的云服务模式的安全关注侧重点不同，laaS 关注基础设施和虚拟化安全；PaaS 关注平台运行安全；SaaS 关注应用安全等。掌握云计算服务模型和技术特性，明确安全目标，是分析云计算安全的关键。基础设施安全需要保护 IaaS层即云基础架构的安全，包括一些网络设施、硬件、操作系统、计算资源等；平台安全保护 PaaS 层即云开发平台的安全，包括接口、中间件和平台应用软件等；应用软件安全保护 SaaS 层即云应用的安全，即保护网络上传输的数据和内容的安全，保护使用者身份的合法性和保障应用的可用性等。同时，终端安全防护保护使用云服务的最终用户的应用安全。为保障云计算的安全运行，安全管理、法律法规与监管是贯穿整个云计算服务从管理方面实施的安全控制，是支撑云计算实现安全目标的基础如图2所示：

图2 云计算安全目标

4.1 IaaS 服务模式的安全目标

基础设施为用户提供计算、存储、网络和其他基础计算资源的服务，用户可以使用云提供商提供的各种基础计算资源，在其上部署和运行任意的软件，而不用管理和控制底层基础设施，但将同时面临软件和硬件方面综合复杂的安全风险。

1)物理安全。云计算在物理安全上面临多种威胁，这些威胁通过破坏信息系统的完整性、可用性或保密性，造成服务中断或基础设施的毁灭性破坏。物理安全目标包括设备安全、环境安全、灾难备份和恢复、边界保护、设备管理等方面。

2)计算环境安全。如果承担核心计算能力的设备和系统缺乏安全技术、管理措施，将导致所处理数据的不安全。安全目标应包括：硬件设备需要安全措施，基础软件需要安全、可靠和可信，设备性能稳定，以及灾备恢复计划。

3)存储安全。数据高度集中、多租户、资源共享、分布式存储是云计算的技术特性，这些因素加大了数据保护的难度，增大了数据被滥用和受攻击的可能。因此，用户隐私和数据存储保护成为需要重点解决的安全问题。存储安全目标包括如下方面：a)采用适应云计算特点的数据加密和数据隔离技术防止数据泄露和窃取；b)采用访问控制等手段防止数据滥用和非授权使用；c)防止数据残留，以及多租户之间信息资源的有效隔离；d)多用户密钥管理，必须要求密钥隔离存储和加密保护；e)数据灾备与恢复。

4)虚拟化安全。虚拟化和弹性计算技术的采用，使得用户的安全边界模糊，传统的安全边界防护机制在云计算环境中难以奏效。虚拟化安全防范目标主要包括：a)虚拟系统软件安全。需要保护虚拟化软件环境，如 Hypervisor的完整性、可信性，阻止病毒、木马和漏洞；b)虚拟机隔离。需要采用包括加密、认证和访问控制等技术对虚拟机、应用程序和数据进行隔离；c)虚拟化网络和通信安全；d)虚拟机安全迁移等。

4.2 PaaS 服务模式的安全目标

PaaS 将基础设施类的服务升级抽象为可应用化的接口，为用户提供开发和部署平台，建立应用程序，安全目标包括：

1)在 API接口及中间件安全方面，要做到如下：

a)保证 API接口的安全。PaaS 服务的安全性依赖于 API的安全，如果 PaaS 提供商提供的 API及中间件具有漏洞、恶意代码或后门等风险，将给云计算 PaaS 资源和底层基础设施资源造成数据破坏或资源滥用的风险。

b)防止非法访问。PaaS 平台提供的 API 通常包含对用户敏感资源的访问或者对底层计算资源的调用，同时 PaaS平台也存在着不同用户的业务数据。因此，需要实施 API用户管理、身份认证管理及访问控制，防止非授权使用。

c)保证第三方插件安全。

d)保证 API软件的完整性。

2)保证服务可用性。云服务提供商必须保证服务质量和应急预案，当发生安全事件、系统故障时，能够快速恢复用户数据、保证服务连续性是主要的安全目标。

4.3 SaaS 服务模式的安全目标

应用软件服务安全目标如下：

1)数据安全。主要包括用户数据传输安全、用户隐私安全和数据库安全问题，如数据传输过程或缓存中的泄露、非法篡改、窃取以及病毒、数据库漏洞破坏等。因此，需要确保用户在使用云服务软件过程中的所有数据在云环境中传输和存储时候的安全。

2)内容安全。由于云计算环境的开放性，内容安全面临包括非授权使用、非法内容传播或篡改等威胁。内容安全目标主要是对有害信息资源内容实现可测、可控、可管。

3)应用安全。云计算应用安全主要是建立在身份认证和实现对资源的访问控制基础上。对提供大量应用的 SaaS 服务商来说，需要建立可信和可靠的认证管理系统和权限管理系统。

4.4 终端安全防护目标

用户采用浏览器来访问云中的 IaaS、PaaS 或 SaaS 服务，终端的安全性直接影响到云计算的服务安全。

1)终端浏览器安全。终端浏览器是用户与云交互的工具，浏览器安全漏洞可能使用户的密钥或口令泄露，为保护浏览器和终端系统的安全，重点需要解决终端安全防护问题，如反恶意软件、漏洞扫描、非法访问和抗攻击等。

2)用户身份认证安全。终端用户身份盗用风险主要表现在因木马、病毒而产生的用户登录云应用的密码遭遇非法窃取，或数据在通信传输过程中被非法复制、窃取等。

3)终端数据安全。终端用户的文件和数据需要加密保护以维护其私密性和完整性，是传送到云平台加密还是在终端自己加密以后再送至云平台存储，无论将加密点设在何处，都要考虑如何防止加密密钥、用户数据的泄露、数据安全共享和方便检索等问题。

4)终端运行环境安全。终端运行环境是指用户终端为保证云计算客户端程序正常运行必需的终端硬件及软件环境，它与传统终端一样面临的互联网接入风险。

5 云计算安全对策

5.1 对策一：安全隔离

虚拟化技术是实现云计算的关键核心技术，使用虚拟化技术的云计算平台必须为客户提供安全性和隔离保证。Santhanam 等人提出了基于虚拟机技术实现的 grid 环境下的隔离执行机[4]。Raj 等人提出了通过缓存层次可感知的核心分配，以及给予缓存划分的页染色的两种资源管理方法实现性能与安全隔离[5]。这些方法在隔离影响一个 VM 的缓存接口时是有效的，并整合到一个样例云架构的资源管理(RM)框架中。

5.2 对策二：访问控制

在云计算环境中，各个云应用属于不同的安全管理域，每个安全域都管理着本地的资源和用户。当用户跨域访问资源时，需在域边界设置认证服务，对访问共享资源的用户进行统一的身份认证管理。在跨多个域的资源访问中，各域有自己的访问控制策略，在进行资源共享和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略，因此，需要支持策略的合成。这个问题最早由 Mclean 在强制访问控制框架下提出，他提出了一个强制访问控制策略的合成框架，将两个安全格合成一个新的格结构。策略合成的同时还要保证新策略的安全性，新的合成策略必须不能违背各个域原来的访问控制策略。为此，Gong 提出了自治原则和安全原则[6]。Bonatti提出了一个访问控制策略合成代数，基于集合论使用合成运算符来合成安全策略[7]。Wijesekera 等人提出了基于授权状态变化的策略合成代数框架[8]。Agarwal 构造了语义 Web 服务的策略合成方案[9]。Shafiq 提出了一个多信任域 RBAC 策略合成策略，侧重于解决合成的策略与各域原有策略的一致性问题[10]。

5.3 对策三：数据验证

由于大规模数据所导致的巨大通信代价，用户不可能将数据下载后再验证其正确性。因此，云用户需在取回很少数据的情况下，通过某种知识证明协议或概率分析手段，以高置信概率判断远端数据是否完整。典型的工作包括：面向用户单独验证的数据可检索性证明(POR)[11]方法、公开可验证的数据持有证明(PDP)方法[12]。

NEC 实验室提出的 PDI(provable data integrity)[13]方法改进并提高了 POR 方法的处理速度以及验证对象规模，且能够支持公开验证。

其他典型的验证技术包括：Yun 等人提出的基于新的树形结构 MAC Tree 的方案[14]。

Schwarz 等人提出的基于代数签名的方法[15]Wang 等人提出的基于 BLS 同态签名和 RS 纠错码的方法[16]等。

5.4 对策四：数据隐私保护

云中数据隐私保护涉及数据生命周期的每一个阶段。Roy 等人将集中信息流控制(DIFC)和差分隐私保护技术融入云中的数据生成与计算阶段，提出了一种隐私保护系统airavat[17]，防止 map reduce 计算过程中非授权的隐私数据泄露出去，并支持对计算结果的自动除密。在数据存储和使用阶段，Mowbray 等人提出了一种基于客户端的隐私管理工具[18]，提供以用户为中心的信任模型，帮助用户控制自己的敏感信息在云端的存储和使用。Munts-Mulero 等人讨论了现有的隐私处理技术，包括 K 匿名、图匿名以及数据预处理等，作用于大规模待发布数据时所面临的问题和现有的一些解决方案[19]。Rankova 等人则在文献[20]中提出一种匿名数据搜索引擎，可以使得交互双方搜索对方的数据，获取自己所需要的部分，同时保证搜索询问的内容不被对方所知，搜索时与请求不相关的内容不会被获取。

5.5 对策五：安全管理

云计算环境的复杂性、海量数据和高度虚拟化动态性使得云计算安全管理更为复杂，带来了新的安全管理挑战，云计算服务商应该从系统安全、安全审计、安全运维几个方面加强安全管理。

1)系统安全管理。a)可用性管理，需要对云系统不同组件进行冗余配置，保证系统的高可用性以及在大负载量下的负载均衡；b)漏洞、补丁及配置管理，是维护云计算系统安全的基础手段；c)高效的入侵检测和事件响应；d)人员安全管理，需要采用基于权限的访问控制和细粒度的分权管理策略。

2)安全审计。云计算服务提供商应该为多租户用户提供审计管理，支持在云计算大数据量、模糊边界、复用资源环境下的取证。

3)安全运维。云计算的安全运维管理需要考虑云平台的基础设施、应用和业务的安全监控，以及部署入侵检测、灾难恢复，提供有效的安全事件处理及应急响应机制。

5.6 对策六：法律法规和监管

云计算作为一种新的 IT 服务模式，监管、法律、法规的建设相对滞后。从云计算的可持续发展来看，法律法规体系建设与技术体系和管理体系同等重要。

1)法律法规需求。目前，我国针对云计算安全法律法规有待完善。需要加强关注的有：责任法规（提供商、客户、终端用户安全责任的分配、鉴定）、取证法规、个人隐私数据保护法、电子签名法及电子合同法、跨地域法规（监控跨地域存储的资源)。

2)安全监管需求。安全监管应该关注以下方面：异常监管，云计算平台网络流量监控、攻击识别和响应；内容监管，对云计算环境下流通内容进行监管，防止非法信息的传播；运行监管；云安全系统测评标准；合规性监管。

6 基于可信计算的云计算安全

可信计算技术提供了一种方式来建立一个安全环境。可信计算不仅仅可以支持个人平台上的信任、隐私保护，也可以用于解决云计算的安全问题。

6.1 基于可信计算的云用户认证

用户认证是访问控制的基础。可信计算平台可以用来辅助处理云计算中的用户认证，它能够提供比用户名、口令更强的认证，包含一个专用的主密钥，对存储在云计算系统中的其他信息进行保护。硬件证书存储在 TPM 中保证安全性。

6.2 基于可信计算的云访问控制

云计算系统中，可以将用户进行分类并针对这些分类制定访问控制准则。用户需要注册进入一个或几个分类，获得代表其身份的信任状。为达到可信计算目标，用户应该来自可信计算平台，并采用该平台上的安全机制获取自身的隐私和安全。用户从基于 TPM 的可信计算平台登陆云计算系统，从证书权威处获取证书，与远程实体进行通信时，信息传送通过会话密钥得到保护。

6.3 基于可信计算的云数据安全

对于存储在云中的重要数据可以使用 TPM 产生的密钥进行加密。加密密钥存储在 TPM 中，使得针对这些密钥的攻击非常难于实施。对于传输中的数据，可以使用加密技术来确保数据的安全。认证和完整性保护可以确保数据不被修改。当需要访问云中的数据时，用户或应用程序首先需要进行基于 TPM 的认证。

6.4 基于可信计算的云虚拟化安全

可信计算技术提供对虚拟机监视器和虚拟网络分离安全性的改进。首先，TPM 能够提供基于硬件的超级用户和虚拟机监控器的完整性验证；其次，TNC 架构和标准能够提供强劲的网络分离和安全来为可信多租户服务。

6.5 基于可信计算的云安全管理

在可信计算平台上，用户身份通过个人密钥证明，并且该机制集成到 BIOS 和 TPM 等硬件中，用户很难隐瞒其身份信息。当用户登陆云计算系统时，其身份信息被记录和验证。将可信计算平台集成进云计算系统，参与者，包括用户和其他资源都会被云计算系统的追踪机制监视，可以支持安全审计、安全监管、安全取证等安全管理行为。

TNC 的 IF—MAP 架构支持不同安全系统，并且对突发事件和用户恶意行为提供实时通知。这个特性可以用于支持应急响应。

7 总结

当前，云计算的应用越来越广泛，如何构建安全的云计算环境已成为研究热点之一。本文介绍了云计算安全的研究现状和典型的云计算安全体系架构，结合云计算的服务模型分析了云计算安全目标，提出了安全隔离、访问控制、数据验证、数据隐私保护、安全管理、法律法规和监管等云计算安全对策，并且重点展望了基于可信计算的云计算安全。

[1] Mell P, Grance T. The NIST Definition of Cloud Computing. National Institute of Standards and Technology, [C]Information Technology Laboratory, 2009.

[2] Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. [C]The Cloud Security Appliance, 2011.

[3] FORUM J. Cloud cube model: selecting cloud formations for secure collaboration[EB/OL], http://www.opengroup.org/jericho/cloud_cube_model_v1 .0.pdf 2012,1,11

[4] Elangop S, Dusseauaetal A. Deploying virtual machines as sandboxes for the grid. USENIX Association Proceedings of the 2nd Workshop on Real, [C]Large Distributed Systems. San Francisco, USA, 2005: 7−12.

[5] Raj H, Nathuji R, Singh A, England P. Resource management for isolation enhanced cloud services. Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 77−84.

[6] Gong L, Qian XL. Computational issues in secure interoperation. [J]IEEE Transactions on Software and Engineering, 1996, 22(1): 43−52.

[7] Bonatti P, Vimercati SC, Samarati P. An algebra for composing access control policies. [J]ACM Transactions on Information and System Security, 2002, 5(1): 1−35.

[8] Wijesekera D, Jajodia S. A propositional policy algebra for access control. [J]ACM Transactions on Information and System Security, 2003,6(2):286−325.

[9] Agarwal S, Sprick B. Access control for semantic Web services. [C]Proceedings of the IEEE International Conference on Web Services. San Diego, USA, 2004: 770−773.

[10] Shafiq B, Joshi JBD, Bertino E, GhafoorA. Secure interoperation in a multidomain environment employing RBAC policies. [G] IEEE Transactions on Knowledge and Data Engineering, 2005,17(11): 1557−1577.

[11] Juels A, Kaliski B. Pors: Proofs of retrievability for large files. [C]Proceedings of the 2007 ACM Conference on Computer and Communications Security. Alexandria, USA, 2007: 584−597.

[12] Ateniese G, Burns R, Curtmola R. Provable data possession at untrusted stores. [G]Proceedings of the 2007 ACM Conference on Computer and Communications Security. Alexandria, USA, 2007: 598−609.

[13] Zeng K. Publicly verifiable remote data integrity. [C]Proceedings of the International Conference on Information and Communications Security. Birmingham, England, 2008: 419−434.

[14] Yun A, Shi C, Kim Y. On protecting integrity and confidentiality of cryptographic file system for outsourced storage. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 67−76.

[15] Schwarz T, Ethan SJ, Miller L. Store, forget, and check: Using algebraic signatures to check remotely administered storage. [C]Proceedings of the 26th IEEE International Conference on Distributed Computing Systems. Lisboa, Portugal, 2006: 12−12.

[16] Wang Q, Wang C, Li J, Ren K, Lou W. Enabling public verifiability and data dynamics for storage security in cloud computing. [C]Proceedings of the 14th European Symposium on Research in Computer Security . Saint Malo, France, 2009: 355−370.

[17] Roy I, Ramadan HE, Setty STV, Kilzer A, Shmatikov V, Witchel E. Airavat: Security and privacy for MapReduce. [C]Proceedings of the 7th Usenix Symposium on Networked Systems Design and Implementation. San Jose, USA, 2010: 297−312.

[18] Bowers KD, Juels A, Oprea A. Proofs of retrievability: Theory and implementation. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 43−54.

[19] Muntés-Mulero V, Nin J. Privacy and anonymization for very large datasets. [C]Proceedings of the ACM 18th International Conference on Information and Knowledge Management. New York, USA, 2009: 2117−2118.

[20] Raykova M, Vo B, Bellovin SM, Malkin T. Secure anonymous database search. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 115−126..

A Study of Countermeasure for Cloud Security

Jiang Xue1, He XiaoXia2
( Training center, The Third Research Institute of Ministry of Public Security, Shanghai 200031, China)

Cloud security is a key issue that restricts the development of cloud computing . This paper introduced basic concepts and related work in cloud security study, as well as several classic cloud security architecture. It analyzed three types of cloud service model and verified goals of cloud security. Corresponding countermeasures were put forward, and cloud security based on trusted computing was the high spot.

Cloud Computing; Information Security; Security Architecture; Trusted Computing

TP393

A

1007-757X(2014)02-0030-05

2014.01.16)

江 雪（1983-）女，公安部第三研究所，硕士，研究实习员，研究方向：信息安全，上海，200031何晓霞（1970-）女，公安部第三研究所，硕士，副研究员，研究方向：信息安全，上海，200031