劉念林 李汶隆

【 摘 要 】 論文面向信息安全領(lǐng)域，針對(duì)當(dāng)前智能終端云服務(wù)平臺(tái)面臨的四類(lèi)安全風(fēng)險(xiǎn)，結(jié)合云計(jì)算平臺(tái)的分層思想進(jìn)行了平臺(tái)安全框架設(shè)計(jì)。該框架的實(shí)現(xiàn)可有效保證了智能終端服務(wù)平臺(tái)中的數(shù)據(jù)安全，提高了企業(yè)的競(jìng)爭(zhēng)力。

【 關(guān)鍵詞 】 智能終端；云服務(wù)平臺(tái)；安全框架

【 中圖分類(lèi)號(hào) 】 TP393.08 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

【 Abstract 】 This paper is written for information security，In this paper， based on the information security field， in view of the four kinds of security risks faced by the current intelligent terminal cloud service platform， the platform security framework design is carried out based on the layered thought of cloud computing platform. The implementation of the framework can effectively guarantee the data security in the intelligent terminal service platform， which will improve the competitiveness of enterprises.

【 Keywords 】 intelligent terminal； cloud service platform； security framework

1 引言

隨著云計(jì)算技術(shù)的發(fā)展和智能終端的普及，為智能終端提供云服務(wù)成為云計(jì)算重要的應(yīng)用之一。

智能終端（例如智能手機(jī)）的普及使信息的傳遞和共享更加便捷，但也使智能終端用戶(hù)在使用互聯(lián)網(wǎng)過(guò)程中的信息更容易被竊取和篡改。由于無(wú)線(xiàn)通信的數(shù)據(jù)在空中傳播，數(shù)據(jù)的安全保護(hù)難度更大，智能終端數(shù)據(jù)的安全包括數(shù)據(jù)的機(jī)密性、完整性、可靠性，除此之外，安全服務(wù)還必須提供身份識(shí)別框架和接入控制框架、完成用戶(hù)的鑒別授權(quán)等內(nèi)容。

應(yīng)用云服務(wù)過(guò)程中，個(gè)人信息的安全性（包括完整性、機(jī)密性等）能否得到保障，已成為制約智能終端用戶(hù)應(yīng)用云服務(wù)的關(guān)鍵因素之一。因此，提出智能終端云服務(wù)平臺(tái)的安全框架、采取合適的安全策略保證數(shù)據(jù)的安全顯得非常迫切。

2 智能終端云服務(wù)平臺(tái)安全框架

本文結(jié)合當(dāng)前智能終端云服務(wù)平臺(tái)面臨的四類(lèi)安全風(fēng)險(xiǎn)，結(jié)合云計(jì)算平臺(tái)的分層思想進(jìn)行了安全架構(gòu)設(shè)計(jì)，具體設(shè)計(jì)如圖1所示。

2.1 終端統(tǒng)一認(rèn)證及授權(quán)

提供一系列全面的認(rèn)證、授權(quán)控制工具，對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)和使用進(jìn)行全方位多層次的許可、控制和管理，防止非法終端接入及限制合法終端對(duì)未授權(quán)資源的訪(fǎng)問(wèn)，實(shí)現(xiàn)的功能包括用戶(hù)注冊(cè)、用戶(hù)登錄、用戶(hù)授權(quán)、用戶(hù)審計(jì)等。

2.2 通信安全

智能終端云服務(wù)平臺(tái)通信安全的主要措施主要為網(wǎng)絡(luò)隔離。可以使用VLAN、VPN、HTTPS/SSL等技術(shù)保證網(wǎng)絡(luò)的安全性和隔離性，提高數(shù)據(jù)傳輸?shù)陌踩?。同時(shí)，采用業(yè)界成熟的TLS協(xié)議實(shí)現(xiàn)通信加密，保證智能終端與云服務(wù)平臺(tái)之間傳輸數(shù)據(jù)的機(jī)密性及完整性。

2.3 應(yīng)用隔離與限制

考慮到云服務(wù)平臺(tái)會(huì)部署多個(gè)應(yīng)用，為防止應(yīng)用間的相互攻擊及非法資源獲取，項(xiàng)目借助輕量級(jí)虛擬化技術(shù)，構(gòu)建以虛擬容器為執(zhí)行單位的相對(duì)孤立的環(huán)境。各應(yīng)用在虛擬容器內(nèi)部執(zhí)行請(qǐng)求的具體內(nèi)容，使得各虛擬容器間的應(yīng)用程序之間互不感知；不同虛擬容器間的應(yīng)用只能通過(guò)平臺(tái)提供的消息總線(xiàn)進(jìn)行通信，最大程度地保證了應(yīng)用程序的安全性。

此外，為避免各應(yīng)用過(guò)分占用資源導(dǎo)致系統(tǒng)資源枯竭的狀況，項(xiàng)目將進(jìn)一步引入基于容器的資源限制機(jī)制，從而確保應(yīng)用程序的可用性與安全性。

在實(shí)現(xiàn)中，系統(tǒng)將提供4個(gè)維度的隔離與限制：CPU、內(nèi)存、磁盤(pán)、網(wǎng)絡(luò)帶寬。

2.4 數(shù)據(jù)加密

為保證數(shù)據(jù)存儲(chǔ)安全，云服務(wù)平臺(tái)采用安全API機(jī)制來(lái)防止對(duì)用戶(hù)數(shù)據(jù)的非法竊取。當(dāng)SaaS層應(yīng)用需要對(duì)數(shù)據(jù)庫(kù)及文件系統(tǒng)進(jìn)行讀取時(shí)，會(huì)首先調(diào)用安全API，調(diào)用PaaS層的數(shù)據(jù)加/解密插件；數(shù)據(jù)加/解密插件依據(jù)約定的密鑰對(duì)從數(shù)據(jù)庫(kù)中讀取的數(shù)據(jù)解密處理后，將結(jié)果返回給安全API并轉(zhuǎn)發(fā)給SaaS層應(yīng)用作后續(xù)處理。

與此類(lèi)似，當(dāng)SaaS層應(yīng)用需要進(jìn)行數(shù)據(jù)存儲(chǔ)時(shí)，需要調(diào)用安全API由數(shù)據(jù)加/解密插件完成加密處理后，方可保存至數(shù)據(jù)庫(kù)或文件系統(tǒng)。

3 結(jié)束語(yǔ)

智能終端云服務(wù)平臺(tái)的安全框架分別從終端安全、通道安全和應(yīng)用安全和數(shù)據(jù)安全進(jìn)行安全控制，可以有效地保證智能終端與平臺(tái)之間數(shù)據(jù)的安全，達(dá)到了智能終端云服務(wù)平臺(tái)的安全策略要求。但是僅從技術(shù)角度出發(fā)探索解決智能終端云服務(wù)平臺(tái)的安全問(wèn)題是不夠的，需要信息安全學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門(mén)的共同努力才能實(shí)現(xiàn)。

參考文獻(xiàn)

[1] 潘娟.史德年等移動(dòng)互聯(lián)網(wǎng)形勢(shì)下智能終端安全研究[J].移動(dòng)通信，2012.

[2] 孫松兒.云計(jì)算環(huán)境下的安全建設(shè)思路[J].信息安全與技術(shù)，2010.

[3] 劉超.基于云計(jì)算的物流服務(wù)平臺(tái)的安全研究[J].電腦知識(shí)與技術(shù)，2012.

[4] 俞華峰.基于云計(jì)算的物流信息平臺(tái)的構(gòu)建[J].科技信息，2010.

[5] 韓韋.云計(jì)算安全隱患及其對(duì)策分析[J].信息安全與技術(shù)，2013（05）.

[6] 佘曉麗.安全通信開(kāi)發(fā)風(fēng)險(xiǎn)及措施探討[J].鐵路通信信號(hào)工程技術(shù)，2014（01）.

作者簡(jiǎn)介：

劉念林（1978-），男，漢族，安徽安慶人，碩士；主要研究方向和關(guān)注領(lǐng)域：云計(jì)算、大數(shù)據(jù)。