云计算安全
云计算是继计算机、互联网出现后信息领域又一次改革,云计算的应用使各个企业能够对先进信息技术进行更好更快的利用,能够降低企业前期的运营成本,将企业的可获利润最大化。但是云计算在给各行各业带来福利时,云计算安全事件也时有发生,由云计算问题引发的计算机网络安全信任危机也愈演愈烈。如2011年3月大约有15万Goolge Gmail用户的邮件和聊天记录被删除和恶意使用,部分用户账户信息被重置;2011年8月Microsoft和Amazon在欧洲的云计算网络大规模停机,多家网站被同时关闭,数小时后才恢复正常,这些云计算安全事故严重地影响了用户使用云服务的信心,据Morgan Stanley在2011年关于云计算的调查结果表明,将近80%的用户对云服务的安全性表示担忧。因此,在研究云计算的技术架构和面向社会服务模式的同时,也要从企业商业机密安全和网络用户私人信息安全角度,对云计算时代所面临的计算机网络安全威胁和相应的应对措施进行深刻的探讨和研究。
云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物,云是网络、互联网的一种比喻的说法,能提供资源的网络即可称为“云”,过去在图形中往往用云来作为互联网的一种抽象表示。云计算就是把所有的数据处理任务都交给计算机网络来处理,有功能超级强大的数据处理中心负责处理客户电脑上的一切数据任务,这样就可以通过一个数据中心同时向多个用户提供服务,从而节省了企业的硬件资源,与传统的互联网应用模式相比,云计算能够从各个方面确保服务的灵活性、高效性和精确性,能够为用户带来更完美的网络体验,能够为企业创造更多的利润。
随着全球信息化的步伐逐渐加快,计算机所需存储的数据和所需处理的数据也急剧增加,传统的互联网应用模式和计算机网络系统已不能满足社会飞快发展的需求。于是,在2007年,Goolge首次提出了云计算这个概念,这种新的网络应用模式使企业能够充分对数据资源进行研究,使得数据收集和数据处理能够在同一平台上进行,云计算的出现彻底打破了地域的概念,使得资源可以跨地域存储。但是,目前各个公司所开发和运营的云计算业务还不够成熟稳定,云计算的数据存储和处理对于用户而言,就像一个黑匣子,用户不知道自己的私人信息到底存储在哪里以及将以何种方式进行处理,而且,云计算的数据处理方式和效率相当不稳定,非常不可控,这对于数据私密性不强的用户而言算不上问题,但对那些数据私密性要求较高的用户来说,云计算频繁出现的安全问题,会给他们带来很多安全隐患和威胁。从目前云计算的发展情况来看,用户数据的安全、用户隐私的保护、数据的跨区域存储以及云计算本身的稳定性和高效性等诸多问题是影响云计算发展的重要阻碍,而且能不能保证用户的数据和隐私的安全,是用户是否选择云计算的重要前提条件。
云计算及其发展而来的云安全就是云计算服务方式的改变,目前,国际大型IT公司已经陆续建立起自己的云计算服务终端以及向外提供各种云计算服务业务,如2011年7月,“盛大云”平台正式开放公测;2011年10月,在阿里巴巴开发者大会上,阿里云计算正式发布旗下的云计算产品与服务;2012年初,华为cloud+个人云、HWcloud公有云服务开始测试等等,根据美国国家标准与计算机研究院的定义,当前的云计算服务体系架构可以分为3个层次:1)基础管理层,基础管理层主要是解决计算机资源的共享问题,主要可以分为集群系统、分布式文件系统、网络计算、并行计算等几个方面,它们可以将IT基础设施以服务的形式供用户自由使用,主要包含服务器、数据存储和网络等资源,如Amazon的弹性计算云、IBM的蓝云等。2)应用接口层,应用接口层主要是解决以何种方式对外提供服务,包含网络接入、用户验证、权限管理等几个方面,是一种由云计算服务商集中部署的应用系统,客户进行互联网访问的一种服务接口,如公用API接口、应用软件、Web service等。3)访问层,访问层是指云计算所提供的一些具体的应用,它将满足某种应用需求的平台以服务的形式提供给用户,如:个人空间服务、运营商空间租赁企事业单位或SMB实现数据备份、网络大容量在线存储等。
云计算的吸引力主要在于其拥有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等显著性的优点。然而任何以互联网为基础的应用都存在着一定的危险性,云计算也不例外,云计算的安全问题可以从传统安全问题和新出现的安全问题两大方面入手。
传统安全问题未能有效的解决
不安全的API。API(应用程序编程接口)的安全性是云计算保证用户数据安全的基本保障,通常云服务的安全性和处理数据的能力与API的安全性息息相关,云计算服务商需要提供大量的网络接口和API来整合上下游、寻找业务伙伴,甚至直接提供业务,所以这些API接口的设计必须能够防御意外和恶意企图的信息泄露行为,以确保用户认证、加密和访问控制的有效性。然而传统API 的性能并不理想,在针对网络接口和API上都还不够成熟,在一些通常运行于后台相对安全环境的功能被开放出来之后,就会给云计算服务带来新的安全威胁。
审计功能不完备。传统服务提供商需要对用户信息进行外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审计服务,而且,用户只需要提交自身原始数据,数据的运算过程全部由云计算服务器处理,最终结果也直接通过云计算服务器提供,用户无法参与数据运算过程也无法审计运算结果,使得原始数据提供者承担了更多的责任和义务,除此之外,使用云计算的用户对自己数据的完整性和安全性负有最终的责任。这种审计功能的不完备性,使得用户要蒙受更多的损失,严重影响了用户对使用云计算服务的信心。
非法用户的侵入。云计算在给用户带来快捷运算的同时,也给用户的信息安全带来威胁。黑客攻击、病毒传播、用户信息被盗等这些不法行为也同样可以发生在云平台上,而且云平台相比传统互联网服务具有更大的开放性和动态性,所以其影响范围也将远远高于传统互联网,当云计算平台受到黑客攻击时将对所有的云服务产生影响,并且黑客还可以利用云计算工具将攻击范围大大扩张。
云计算新出现的安全问题
业务定位模糊。云计算服务集成了互联网内容服务、数据存储、内容分发等业务,并扩大了经营范围。由于其庞大的服务范围和业务模式,所以根本无法简单的将云计算进行电信业务分类,就更谈不上与之相对应的业务服务体系和执行标准了。同时,当前云计算服务发展参差不齐,大到政府投资建设的、规模达数十亿的云计算中心,小到某一智能终端厂商开发的云计算软件商店,都没制定出相应的服务条例和管理规则,导致云计算服务行业没有一个统一的标准去执行,这也大大增加了云计算服务出现安全事件的可能性。
数据恢复难度大。云计算环境下,用户数据在众多“云”粒子终端运算,用户不知道数据存储的位置,在发生安全事故时,云服务商不能及时的告知用户他们所存储的数据遇到了怎样的情况,用户也就无法对所需运输的数据进行及时的处理。如:当用户的数据正在运算过程中,突然遭遇断电等突发事件,用户的数据将无法保证。由于数据存放地点不清楚,数据恢复更是无从谈起。而且也有可能被不法份子趁机盗取,给用户造成巨大损失。
复杂的合法规则性需求。云计算服务是面向全世界的一种计算机网络服务,每个国家都有权利制定相应的法律对云计算业务进行监督管理,而不同国家所制订和执行的法律之间,总会存在些许差异,这就对跨国运营的云计算提供商提出了比较大的挑战,使得云计算的跨国合作更加困难。
由于IT基础设施处在云计算服务提供商的控制之下,用户只能无条件信任服务提供商的安全机制以及服务提供商本身,所以当数据被外包到云时,数据将不安全。
针对云计算面临的这些安全问题,下面来了解一种决绝这些问题的方案:双云计算安全架构。
安全要求高的操作在设置阶段就被可信云执行,对性能要求高的操作在加密后放到不可信云上执行。在这一架构中,数据的机密性和可认证性可以通过对称加密以及消息认证来解决,比如:
Notation.x=AuthEnc(x)表示加密数据x的认证,x=DecVer(x)表示相应的校验和解密过程。目前最有效的安全计算是乱码电路Garbled Cricuits(GC),它是基于对称加密的,主要思想是:Constructor产生一个加密版本的函数f(以布尔电路展示),称之为乱码电路f。f分配的每个线路W两个随机挑选的乱码值W0、W1分别对应0和1.接着,对于f的每个门,Constructor以乱码表T的形式创建帮助信息,T允许通过输入的key只解密输出的key,乱码电路f由所有门的乱码表构成。然后,Evaluator通过使用乱码表逐个评估乱码门获得和输入x已经乱码电路f对于的乱码值。最后,Evaluator获得相应的乱码输出值y,再由Constructor把y解密成相应的明文输入y=f(x)。
安全云协议。这是一个在双云模型中的高效协议。为了达到数据的安全外包,协议被分为两个阶段:
设置阶段
用户提供外包数据D以及程序P,他们都被安全的存储在商业云,然后可信云开始重新加密D,得到乱码等价值D~以及程序P生产乱码电路C~。对P的改动需要重新生成乱码电路C~(B),对D的改动需要新生成乱码数据D~(a)。
设置阶段的4种案例:
(1)数据修改
无论什么时候用户提供了新的或者修改过的外包数据D(al),D都以形式D~=AuthEnc(D)存储在商业云(a2)。无论什么时候数据被修改,乱码数据D~都重新生成,所有预先计算的乱码电路C~从商业云里删除。
(2)程序修改
无论什么时候用户提供了新的或者修改过的程序P(b1),P都以形式P~=AuthEnc(P)存储在商业云(b2)。无论什么时候程序被修改,所有预先计算的乱码电路C~从商业云里删除。
(3)乱码数据
无论什么时候数据被修改,乱码数据D~需要被重新生成。可信云从不可信商业云请求安全存储的数据D~(a1),恢复数据D=DecVer(D~),生成相应的乱码数据D~=Garble(D)并存储在商业云(a2)。
(4)乱码程序
无论什么时候程序被修改,需要生成新的乱码电路C~。可信云从不可信商业云请求安全存储的程序P~(B1),恢复数据P=DecVer(P~),编译程序到布尔电路C=Compile(P),生成一个新的乱码电路C=Garble(C)并存储回商业云(B2)。
协议第二阶段
查询阶段:用户发起一个查询q,q被尽快地处理并返回r=P(q,D)输出到用户。
用户发起查询q,q被加密然后发送到商业云,商业云在数据被加密的状态计算乱码结果r~=C~(q~,D~)。最后可信云校验乱码结果的正确性并返回结果r到用户。无论什么时候用户发送一个查询q用来安全评估(c1),可信云把请求转换成等价乱码形式q~=Garble(q),随后被转发到商业云(c2),商业云通过预先计算的乱码电路并行计算相应的乱码响应r~=C~(q~,D~),被返回到可信云(c3)并验证结果的正确性r=Verify(r~),然后返回r=P(q,D)给用户。