云计算安全关键技术研究.doc

云计算安全关键技术研究 摘 要随着网络时代的到来，网络应用也日益增多，如通信服务、信息服务、存储服务等等，在使用网络的同时，网络中信息数据的安全也受到了严重的威胁。由于这些网络应用已经受到了黑客或病毒的不断攻击和破坏，个人或企业为了加强网络安全，投入了大量的人力、物力。随着云计算技术的逐渐成熟，基于云计算的云安全也引入了网络安全中。本文分析了云计算安全关键技术。 关键词云计算；安全；关键技术； 中图分类号：S373 文献标识码：A 文章编号：1009-914X（2018）18-0297-01 云计算代表IT领域向服务化道路发展的趋势，是IT领域正在发生的深刻变革。但在使用云计算的同时，为实现用户信息资产安全与隐私保护带来极大的冲击与挑战。 1 云计算存在安全问题的原因 云计算之所以存在以上诸多与传统信息安全领域不同的安全问题，主要是与云计算自身的特点分不开的。云计算的自身特点导致了云计算存在诸多的安全隐患：一是区域划分：在云计算环境下，传统的通过物理和逻辑对安全区域进行划分的方式不再适用，无法通过区域边界来保障安全。二是访问权限：云计算的服务提供商在提供服务的同时，数据中心有能力对用户的数据文件进行访问。这种权限的设置是云计算的应用服务存在的最大安全隐患。三是服务质量：由于用户的数据文件存储在云计算服务提供商那里，用户的服务质量便受到通信网络、服务商设施等一系列问题的影响，进而导致服务的可用性和可靠性的降低。四是数据安全：云计算在数据传送和存储技术上仍存在诸如恶意篡改和意外丢失等安全风险。数据的完整性与保密性问题也就成为了困扰云计算从业人员的一个突出问题。 2 云计算安全关键技术 2.1 用户接入。云计算面临的网络环境极其复杂且用户众多，而普通的互联网接入远不能保证云计算平台用户的安全接入，同时也无法保证用户数据及身份的隐私性。为此，SSLVPN应运而生，其是一种基于SSL协议的安全通信服务，目的是通过虚拟专用网为远程用户服务。下面，笔者具体介绍SSLVPN的操作流程：首先，从客户端发出会话ID、压缩算法、客户端标示、客户端随机消息及客户端密码匹配算法等Client-Hello信息；其次，从服务器端发出与Sever-Hello消息有关的内容及由CA签名所认证的证书，而在无证书的情况下，服务器端会出现一对临时密钥，以交换密钥及借助Server-Key-Exchange消息传送临时公钥至客户端；第三，先从服务器端发出消息，用以检验客户端的证书，而后再发出消息，以结束问候；第四，客户端发出证书，并用公钥算；第五，消息经服务器端公钥加密后，先由客户端传至服务器端，再经私钥解密获得，然后客户端及服务器端分别使用、随机数算，最后再据此获得最终密钥及与展开Hash运算；第六，服务器端、客户端分别发出Finished消息，自此握手结束；第七，比较服务器端与客户端的Hash值，倘若不一致，判定Message无效，反之则有效；第八，开始通信。在用户浏览器中，缓存或用户不按正常程序退出连接，同样会引发安全隐患。为此，可将定时器设在客户端，用以对服务器端应答信号进行定时检测，即若未收到，判定连接已断开，需清除缓存及与服务器端断开连接。另外，为了保证用户接入环境的安全稳定性，注意控制数据库注入式攻击及DDOS攻击。 2.2 加密技术。为了保护数据的有效性、完整性及机密性，需运用到加密技术，其包括非对称、对称加密算法。其中，PKI是一种基于非对称加密算法的公钥基础设施，其在用户数据CIA保护中起到了重要的作用，且贯穿在云计算服务的全过程，具体应用包括：一是在用户接入中，运用数字证书技术及公开密钥体质，可保证信息传输的完整性、机密性；二是在访问控制时，基于密文访问控制机制可用密文访问控制属性来定义用户身份属性集合，即唯有访问控制属性与用户身份属性一致时，才可解密，同时基于秘密共享的HCRE算法可转移因变更访问控制策略而引起的重加密过程，并在云端执行，以简化权限管理；三是在提交与返回任务时，可建立隐私保护系统模型，即在计算任务过程，数据始终处在加密状态下，并在用户端自动完成计算结果解密。 2.3 虚拟化安全。在云计算中，虚拟化采用软件VMM等实现空闲硬件资源的整合与共享，从而实现IT资源的高效、灵活利用。虚拟化按资源的不同分成服务器、存储、桌面及应用程序虚拟化。据此，虚拟化安全的关键是采用何种访问控制权限来隔离不同的共享资源，并在虚拟机间对系统资源进行动态管理和分配，同时支持自动部署虚拟环境及提高其稳定性。其中，从隔离性来看，基于VT-x的VMCS的数据结构通过保存主机、虚拟机的状态参数，实现在VMM与虚拟机间切换操作，期间在虚拟机执行控制域内，用户可指定何种指令在执行时或何?N事件在发生时，虚拟机非根虚拟化操作条件下执行，以使VMM得到相应的控制权，据此虚拟机的隔离与性能问题可运用VT-x得以有效解决；从管理层面来看，要求对系统资源的利用实况进行实时监控，并动态均衡调度资源，同时允许异地冗余备份、快速恢复数据及实现系统、应用软件的定时升级，从而稳定虚拟系统。 2.4 访问控制。在云计算中，访问控制是根据用户身份认证，按用户身份、任务及文件属性等条件赋予用户相应的访问权限。在传统意义上，访问控制包括DAC、MAC及RBAC三种模式。其中，在DAC模式下，特权用户可通过ACL赋予普通用户访问权限，从而暴露了该模式具有在用户较多时难以有效管理及特权用户权力太过集中等缺点；MAC模式的管理非常严格且保密性较高，但不够灵活；RBAC模式先向不同的用户角色分配访问权限，然后再由用户承担系统内相应的角色，从而间接赋予其访问权限，可见该模式在用户访问管理上更具灵活性的特点。针对访问控制的问题，可采取一种集SPML、XACML及SAML标准协议为一体的IAM系统实现策略，其在理论上适应云计算访问控制的需求，且可增强云服务提供商的访问控制管理能力。 在未来的发展中，云计算的普及应用要求深入研究其安全技术，具体应在明