云计算安全技术-云计算

云计算是当前发展十分迅速的新兴产业，具有广阔的发展前景，同时其面临的安全技术挑战也是前所未有的。目前，云计算所涉及的安全技术包括用户身份管理与访问控制、网络安全、数据安全、管理安全、虚拟化安全五个方面^[2]。

1）用户身份管理与访问控制

身份管理和访问企业应用程序的控制仍然是当今IT行业面临的最大挑战之一。虽然企业可以在没有良好的身份和访问管理策略的前提下利用若干云计算服务，但从长远来看，延伸企业身份管理服务到云计算是实现按需计算服务战略的先导。对于认证云计算中的用户和服务，除了基于风险的认证方法外，还需要注意简单性和易用性。

（1）用户身份管理

用户身份管理就是要对用户的身份采用相应的技术进行管理，这样用户每次要求访问资源的时候都要进行认证，可以增强安全性。典型的身份认证技术如下：

·口令认证

这是一种最为简单的认证技术。它的缺陷也很明显，一般情况下，用户所设计的口令都比较简单，容易被猜测。

·Kerberos认证协议。

Kerberos是基于可信赖第三方（Trusted Third Party，TTP）的认证协议。该协议实现集中的身份认证和密钥分配，通信保密性、完整性。但是该协议对时钟同步的要求挺高，并且它是针对对称密钥的设计，不适合大规模的应用环境。

·公开密钥体系结构PKI

PKI技术采用证书管理公钥，通过第三方的可信任机构CA把用户的公钥和用户的其他标识信息（如名称、E-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份。

·基于生物特征的身份认证

由于每个人具有唯一的生理特征，根据这些生理特征进行身份认证，典型的技术有指纹识别、虹膜识别、语音识别。

（2）访问控制

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。典型的访问控制技术如下：

·自主访问控制

自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入授权，包括在文件、文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问，并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略，通常可通过访问控制列表来限定针对客体可执行的操作。

·强制访问控制

强制访问控制（Mandatory Access Control，MAC）是系统强制主体服从访问控制策略，是由系统对用户所创建的对象，按照规定的规则控制用户权限及操作对象的访问。

·基于角色的访问控制

通过对角色的访问所进行的控制，是目前应用最为广泛的访问控制技术。它使权限与角色相关联，用户通过成为适当角色的成员而得到其角色的权限。它减小了授权管理的复杂性，降低管理开销，提高企业安全策略的灵活性。

2）网络安全

这里的网络安全技术是指在网络环境下识别和消除不安全因素的能力。云计算环境中存着在多种网络安全威胁问题，主要是拒绝服务攻击和中间人攻击两种攻击方式。正是因为存在这些网络问题，因此需要划分安全域^[3]，保证网络安全。如今市场上主要有以下两种划分安全域的技术：

（1）利用Hypervisor实现安全域划分

以VMware为代表的虚拟化厂家，在Hypervisor层或主机服务器的特定虚拟机部署和执行VLAN（Virtual Local Area Network，虚拟局域网）划分策略（图8-4）。该模式用VM将每个安全域划分成几个模块，然后存在逻辑关系的模块寄宿在物理主机上面，通过虚拟交换控制模块进行监控保障安全。

图8-4　利用Hypervisor实现安全域划分

（2）借助物理交换机实现虚拟安全域划分

Cisco、HP等交换机厂家将虚拟机的网络流量引出到传统网络设备（防火墙、交换机等），由物理交换机进行VLAN的划分（图8-5）。(www.xing528.com)

Cisco利用VN-TAG标记来唯一标识虚拟机，物理交换机根据这一标识来区分不同的虚拟机流量，并进行虚拟机安全策略的配置、管理。HP则通过修改“生成树协议”，并定义新的VLAN标记来标识虚拟机，进而使物理交换机通过这一标记实现对虚拟机的监控、管理。

3）数据安全

如云计算安全联盟白皮书所述，存储在云服务端的数据很可能被非可信的云计算服务提供商或非法用户窃取。因此，针对当前云计算中数据资源所面临的威胁，如何利用有效的安全加密机制来加强数据的安全性、防止数据泄露和加强隐私保护是云计算安全的一个关键问题。

图8-5　借助物理交换机实现虚拟安全域划分

（1）数据加密机制

相比于基于身份的加密体制，基于属性的加密体制从原理上较适合云计算环境下的针对多用户的数据共享问题，在很多应用场景下不再需要认证中心来管理和分发密钥，而且针对多访问用户，可以用他们的共有属性集来设计加密方案，实现了对用户解密密文的细粒度控制。

基于属性加密（Attribute based Encryption，ABE），又称模糊的基于身份的加密（Fuzzy Identity based Encryption），被看作最具前景的支持细粒度访问的加密原语。与以前的公钥加密方案，如RSA和基于身份的加密体制最大的不同点就是，ABE实现了一对多的加解密。不需要像身份加密一样，每次加密都必须知道接收者的身份信息，在ABE中它把身份标识看作一系列属性。当用户拥有的属性超过加密者所描述的预设门槛时，用户是可以解密的。但这种基于预设门槛的方案不具有通用性，因为在语义上无法表述一个普遍通用的情景。

目前基于属性的加密主要分为两大类：密文策略的属性加密（Ciphertext CP-ABE，Policy Attribute based Encryption）和密钥策略的属性加密（KP-ABE，Key Policy Attribute based Encryption）。

（2）基于代理重加密

代理重加密是密文间的一种密钥转换机制。在代理重加密中，一个半可信^[4]代理人通过代理授权人产生的转换密钥Rk把用授权人Alice的公钥Pa加密的密文转化为用被授权人Bob的公钥Pb加密的密文，在这个过程中，代理人得不到数据的明文信息，从而降低了数据泄露风险。而这两个密文所对应的明文是一样的，使Alice和Bob之间实现了数据共享。

在云计算中，云计算服务提供商作为代理人，用户A不能完全相信云计算服务提供商，因此将自己需要存储的数据在本地用自己的公钥Pa加密后再传送至云中存储，这样，云计算服务商就无法得到其数据的明文信息，而该数据只有用户A使用自己的私钥Sa才能解密。当用户A需要把该数据与用户B共享时，他可以根据自己的一些信息（如私钥）及用户B的公钥Pb计算一个转换密钥Rk，由云计算服务商使用转换密钥Rk，将针对用户A的密文重加密得到针对用户B的密文。这样，用户B可以很容易地从云中下载该密文数据，使用自己的私钥Sb即可解密，过程如图8-6所示。

图8-6　云计算中代理重加密的应用模式

这样，数据在云中的整个生命周期完全以密文形式存储，而云计算服务商也无法得知用户A和用户B的私钥，因此，云计算服务商无法获得数据明文。用户A无须对云计算服务商有很大程度的信任，就可以放心地将自己的数据存储在云中。

4）管理安全

（1）安全管理模型

不同的云计算服务提供模式创建了不同的安全管理边界，以及由运营商和用户共享责任的安全管理模型。比如对SaaS，主要由运营商担负安全管理责任；对PaaS，由运营商和用户共同分担安全管理责任；对IaaS，运营商仅负责网络、云平台等基础设备安全管理，而用户负责业务系统安全管理。面对不同的数据、应用、平台以及网络，用户和运营商各自承担的管理责任不同，从而得到更好的安全管理模型。

（2）安全管理标准

安全管理标准规定了安全管理边界的界定条件，运营商和用户联动方式等，从而实现云服务的可用性管理、漏洞管理、补丁管理、配置管理以及时间应急响应等。

5）虚拟化安全

虚拟化技术是实现云计算的关键核心技术，使用虚拟化技术的云计算平台上的云架构提供者可以向其客户提供安全性和隔离保证。虚拟化技术是将各种计算及存储资源充分整合和高效利用的关键技术。虚拟化是为某些对象创造的虚拟化（相对于真实）版本，比如操作系统、计算机系统、存储设备和网络资源等。

（1）安全运行

虚拟化技术是表示计算机资源的抽象方法，通过虚拟化可以用与访问抽象前资源一致的方法访问抽象后的资源，从而隐藏属性和操作之间的差异，并允许通过一种通用的方式来查看和维护资源，从而保证系统安全运行。

（2）安全隔离

虚拟化技术将应用程序以及数据，在不同的层次以不同的面貌加以展现，从而使得不同层次的使用者、开发及维持人员，能够方便地使用开发及维护存储的数据、应用于计算和管理的程序。采用云存储数据隔离加固技术和虚拟机隔离加固技术，可以使数据和服务端分别隔离，确保安全。

（3）安全监控

基于虚拟化技术，可以进行安全监控。虚拟机管理器自身具有更小的可信基和更好的隔离性的优势，基于虚拟机的安全监控都是利用虚拟机管理器隔离和保护特定的安全工具。从安全监控实现技术的角度来看，基于虚拟化的安全监控可以分为两类：内部监控和外部监控。