基于云计算的大数据安全需求

在大数据条件下，越来越多的信息存储在云端，越来越多的服务来自云端，基于公有云的网络信息交互环境带来了与传统条件下不同的安全需求。

（一）机密性

为了保护数据的隐私，数据在云端应该以密文形式存放，但是如果操作不能在密文上进行，那么用户的任何操作都要把涉及的数据密文发送回用户方解密之后再进行，将会严重降低效率，因此要以尽可能小的计算开销带来可靠的数据机密性。实现机密性的要求有以下几种况：一是为了保护用户行为信息的隐私，云服务器要保证用户匿名使用云资源和安全记录数据起源；：是在某些应用况下，服务器需要在用户数据上面进行运算，而运算结果也以密文形式返回给用户，因此需要使服务器能够在密文上面直接进行操作；三是信息检索是云计算中一个很常用的操作，因此支持搜索的加密是云安全的一个重要需求，但当前已有的支持搜索的加密只支持单关键字搜索，所以支持多关键字搜索、搜索结果排序和模糊搜索是云计算的另一需求方向。

（二）数据完整性

在基于云的存储服务，如Amazon简单存储服务S3、Amazon弹性块存储EBS，以及Nirvanix云存储服务中，必须要保证数据存储的完整性。在云存储条件下，因为可能面临软件失效或硬件损坏导致的数据丢失、云中其他用户的恶意损坏、服务商为经济利益擅自删除一些不常用数据等情况，用户无法完全相信云服务器会对自己的数据进行完整性保护，所以用户需要对其数据的完整性进行验证。这就需要系统提供远程数据完整性验证和数据恢复功能。

（三）访问控制

云计算中要阻止非法的用户对其他用户的资源和数据的访问，细粒度地控制合法用户的访问权限，因此云服务器需要对用户的访问行为进行有效的验证。其访问控制需求主要包括以下两个方面：一是网络访问控制，指云基础设施中主机之间互相访问的控制；二是数据访问控制，指云端存储的用户数据的访问控制。数据的访问控制中要保证对用户撤销操作、用户动态加入和用户操作可审计等要求的支持。

（四）身份认证(www.xing528.com)

云计算系统应建立统一、集中的认证和授权系统，以满足云计算多租户环境下复杂的用户权限策略管理和海量访问认证要求，提高云计算系统身份管理和认证的安全性。现有的身份认证技术主要包括三类：一是基于用户持有的秘密口令的认证，二是基于用户持有的硬件（如智能卡、U盾等）的认证，三是基于用户生物特征（如指纹）的认证。但是这些方法都是通过某一维度的特征来进行认证的，对重要的隐私信息和商业机密来讲安全性仍不够强。最新提出的层次化的身份认证在多个云之间实现层次化的身份管理，多因子身份认证从多重特征上对客户进行认证，都是身份认证技术的新需求。

（五）可信性

虚拟空间用户与云服务商之间在相互信任的基础上达成协议进行服务，可信性是云计算健康发展的基本保证，也是基本需求。具体包括服务商和用户的可信性两个方面。服务商可信是指其向其他服务商或者用户提供的服务必须是可信的，而不是恶意的；用户可信是指用户采用正常、合法的方式访问服务商提供的服务，用户的行为不会对服务商本身造成破坏。如何实现云计算的问责功能，通过记录操作信息等手段实现对恶意操作的追踪和问责；如何通过可信计算、安全启动、云端网关等技术手段构建可信的云计算平台，达到云计算的可信性都是可信性方面需要研究的问题。

（六）防火墙配置安全性

在基础设施云中的虚拟机需要进行通信，这些通信分为虚拟机之间的通信和虚拟机与外部的通信。通信的控制可以通过防火墙来实现，因此防火墙的配置安全性非常重要。如果防火墙配置出现问题，那么攻击者很可能利用一个未被正确配置的端口对虚拟机进行攻击。因此，在云计算中，需要设计对虚拟机防火墙配置安全性进行审查的算法。

（七）虚拟机安全性

虚拟机技术在构建云服务架构等方面广泛应用，但与此同时，虚拟机也面临着两方面的安全性，一方面是虚拟机监督程序的安全性，另一方面是虚拟机镜像的安全性。在以虚拟化为支撑技术的基础设施云中，虚拟机监督程序是每台物理机上的最高权限软件，因此其安全的重要性毋庸置疑。另外，在使用第三方发布的虚拟机镜像的况下，虚拟机镜像中是否包含恶意软件、盗版软件等，也是需要进行检测的。