杨勇

【摘要】随着互联网技术不断发展，云计算受到社会广泛关注，云计算的发展为移动互联网发展带来诸多便利。由于移动互联网与传统互联网相比，具有携带方便、鉴别简单等优点，在人们的生活中发挥着重要的作用，但是也存在着很多信息处理方面的问题，在此基础上，云计算应用到移动互联网中，将会对互联网发展带来威胁，基于此，在本文中对云计算模式下的移动互联网安全进行分析，提出一些提升移动互联网安全的对策。

【关键词】云计算应用 移动互联网 安全解析

云计算是互联网领域的一个新热点。云计算将计算过程从用户终端集中到“云端”，作为应用通过互联网提供给用户，计算过程通过分布式计算等技术由多台计算机共同完成，多台计算机组成的集合即所谓的“云”。用戶只关心应用的功能，而不关心应用的实现方式，应用的实现和维护只由其提供商完成，用户根据自己的需要选择相应的应用。

一、结合移动互联网和云计算的特点，可以看出，云计算是适合移动互联网应用的一种模式。首先，云计算将应用的“计算”从终端转移到服务器端。从而弱化了对移动终端设备的处理需求。其次，云计算降低了对网络的要求。最后由于终端不感知应用的具体实现，扩展应用变得更加容易，应用在强大的服务器端实现和部署，并以统一的方式（如通过浏览器）在终端实现与用户的交互。因此，云计算的大规模运算与存储资源集中共享的模式，给移动互联网的总体架构带来重大影响，使得移动互联网体系发生变化。

二、移动互联网应用架构下云计算安全风险与安全体系

引入云计算的移动互联网应用架构发生极大改变，可将其分为“端”、“管”、“云”3个层面。“端”指的是用户接入“云”的移动终端设备，可以是笔记本电脑、PDA或手机等能够完成信息交互的终端；“管”指的是信息传输的网络通道，主要指电信运营商提供的通信网络。通过对云计算应用模式下的移动互联网总体架构的分析以及对移动互联网安全风险问题的系统性研究，能够更准确地定义云计算应用模式下的移动互联网总体安全架构。根据在网络结构中部署位置的不同，可以将该总体安全架构分为3个部分：移动终端安全机制、网络安全机制和云端安全机制。

三、移动互联网的安全问题

云计算与移动互联网的结合，不仅仍要面临传统互联网技术以及移动通信网技术的双重安全风险威胁，而且将云计算中的安全风险引入移动互联网架构中。云计算及其服务的安全，尤其是云计算的虚拟化、多租户和动态性等为移动互联网引入了一系列新的安全问题，带来了一系列挑战，表现在数据安全、隐私保护、内容安全、运行环境安全、风险评估和安全监管等多个方面。

1、数据管理方式引发的安全问题。一方面，由于云计算模式下数据资产的所有权和管理权可能分离。客户将通过移动互联网对数据资产进行访问和使用，客户对数据资产安全的担忧成为重要的安全障碍。当用户或企业将所属的数据外包给云计算服务商或委托其运行所属的应用时，云计算服务商就获得了该数据或应用的优先访问权。另一方面，移动终端与用户的高黏合度导致数据的敏感度更高，信息泄露的危害更大。其永远在线的特性会招致更多的窃听和监视问题，其“个性化”容易引发涉及隐私，金融等的恶意代码攻击。

2、虚拟化运行引发的安全问题。在典型的云计算服务平台中，资源以虚拟、租用的模式提供给用户，这些虚拟资源根据实际运行所需与物理资源绑定。由于在云计算中是多租户共享资源，因此，多个虚拟资源很多情况下会被绑定到相同的物理资源上。若云平台中的虚拟化软件中存在安全漏洞，则用户的数据就会被其他用户访问。

3、服务模式引发的安全问题。云计算发展的趋势之一是IT服务专业化，即云服务商在对外提供服务的同时，自身也需要购买其他云服务商所提供的服务。因而用户所享用的云服务间接涉及多个服务提供商，多层转包极大地提高了问题的复杂性，进一步增加了安全风险。

4、风险评估方面的挑战。建立安全指导标准及其测评技术体系是实现移动互联网云计算安全的另一个重要支柱。云计算安全标准是度量云用户安全目标与云服务商安全服务能力的尺度。也是安全服务提供商构建安全服务的重要参考。基于标准的“安全服务品质协议”。可以依据科学的测评方法检测与评估，在出现安全事故时快速实现责任认定，避免产生责任时互相推诿。

5、安全监管方面的挑战。云计算在带来巨大好处的同时，也带来了巨大的破坏性。而网络空间又是继领土权、领空权、领海权、太空权之后的第五维国家主权，是任何主权国家必须自主掌控的重要资源。因此，应在发展云计算产业的同时大力发展云计算监控技术体系，牢牢掌握技术主动权，防止其被竞争对手控制与利用。与互联网监控管理体系相比，实现云计算监控管理必须解决以下3个问题。

（1）实现基于云计算的安全攻击的快速识别、预警与防护。如果黑客攻入了云客户的主机，使其成为向云服务提供商发动DDoS攻击的工具，那么如果按照云计算对计算资源的付费方式，即根据实际使用进行付费，受控客户将在不知情的情况下为黑客发起的资源连线支付巨额费用。不仅如此，与以往DDoS攻击相比，基于云的攻击更容易组织，破坏性更大。因此，需要及时识别与阻断这类攻击，防止重大的灾害性安全事件的发生。

（2）实现云计算内容监控。云的高度动态性增加了网络内容监管的难度。首先，云计算所具有的动态性特征使得建立或关闭一个网站服务较以往更加容易，成本代价更低。对内容的监管更加困难，内容监管时可能会涉及其他用户的隐私问题。其次，云服务提供商往往具有国际性的特点，数据存储平台也常跨越国界，将网络数据存储到云上可能会超出本地政府的监管范围或同属多地区、多国的管辖范围，而这些不同地域的监管法律和规则之间很有可能存在着严重的冲突，当出现安全问题时，难以给出公允的裁决。

（3）识别并防止基于云计算的密码类犯罪活动。云计算的出现使得组织实施密码破译更加容易，原来只有资金雄厚的大型组织才能实施的密码破解任务，在云计算平台的支持下，普通用户也可以轻松实现，严重威胁了各类密码产品的安全。在云计算环境下，如何防止单个用户或者多个合谋用户购得足够规模的计算能力来破解安全算法，也是云计算安全监管中有待解决的问题之一。

四、结束语

在通过分析上述云计算模式下移动互联网面临的安全威胁的基础上，建立云计算模式下移动互联网的安全保护体系和体系架构，研究多层次的云计算模式下移动互联网安全保障方法，提出相关安全技术标准与测评体系，解决移动终端安全、客户数据安全和隐私保护、虚拟化运行环境安全和风险评估及安全监管等问题，增强了云计算模式下移动互联网的机密性、完整性、可验证性和可用性，为基于云计算模式下的移动互联网业务发展提供了参考。