蔡曉麗
摘要:云計(jì)算通過(guò)因特網(wǎng)為用戶(hù)按需提供IT服務(wù),是一個(gè)經(jīng)濟(jì)、彈性可擴(kuò)展的平臺(tái)。它能提高移動(dòng)系統(tǒng)的計(jì)算、存儲(chǔ)能力,執(zhí)行密集型操作,解決移動(dòng)設(shè)備在電力、存儲(chǔ)、帶寬等方面的限制。移動(dòng)云中的敏感信息應(yīng)以安全的方式存儲(chǔ)和處理,以保護(hù)用戶(hù)隱私。目前移動(dòng)云計(jì)算在安全策略上仍存在大量漏洞和挑戰(zhàn),討論了這些問(wèn)題并介紹了可行的解決方案。
關(guān)鍵詞:移動(dòng)云;云安全;移動(dòng)云計(jì)算
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)25-0018-02
1 簡(jiǎn)介
1.1 移動(dòng)設(shè)備的局限性
關(guān)于移動(dòng)設(shè)備已成為人們生活中最有效、便捷的通訊工具[1]。然而,移動(dòng)設(shè)備在電池壽命、存儲(chǔ)容量和帶寬等多個(gè)方面的資源有限,嚴(yán)重阻礙了其服務(wù)質(zhì)量的提升[2]。另外,如今許多應(yīng)用都需要強(qiáng)大的計(jì)算能力,移動(dòng)設(shè)備在電池和結(jié)構(gòu)上的發(fā)展趨勢(shì)不是技術(shù)上暫時(shí)的不足,而是移動(dòng)性上固有的缺陷。近幾年來(lái),云計(jì)算被用于解決移動(dòng)計(jì)算中的這種內(nèi)在缺陷。
1.2 云計(jì)算
云計(jì)算是指將數(shù)據(jù)中心的硬件和軟件資源作為一項(xiàng)公共服務(wù),通過(guò)因特網(wǎng)提供給用戶(hù),所以又被稱(chēng)為“效用計(jì)算”、“按需計(jì)算”,人們按使用的服務(wù)付費(fèi)。企業(yè)租用云服務(wù)供應(yīng)商的IT服務(wù)來(lái)完成信息存儲(chǔ)或處理的任務(wù),能節(jié)約購(gòu)置服務(wù)器、軟件的費(fèi)用。這也可用于解決移動(dòng)計(jì)算的內(nèi)在問(wèn)題,讓云服務(wù)供應(yīng)商而非移動(dòng)設(shè)備本身來(lái)完成存儲(chǔ)和計(jì)算任務(wù),這種架構(gòu)稱(chēng)為“移動(dòng)云”。
1.3 移動(dòng)云安全
在云和移動(dòng)用戶(hù)間確保數(shù)據(jù)的可靠傳輸非常重要。數(shù)據(jù)可通過(guò)無(wú)線(xiàn)方式傳輸并存在一個(gè)云系統(tǒng)中,易受到篡改、未經(jīng)授權(quán)的信息披露以及重放攻擊。尤其是醫(yī)療健康數(shù)據(jù)、金融數(shù)據(jù)等敏感信息,在上傳至云端時(shí),用戶(hù)會(huì)遲疑,“移動(dòng)云安全嗎”?
2 移動(dòng)云架構(gòu)
移動(dòng)云中的實(shí)體包括云服務(wù)供應(yīng)商、移動(dòng)用戶(hù)和因特網(wǎng)服務(wù)供應(yīng)商。移動(dòng)云可以分成幾個(gè)層次。自底向上依次是云主干層、管理軟件層、軟件基礎(chǔ)設(shè)施層、平臺(tái)基礎(chǔ)設(shè)施層和應(yīng)用層。底層是云主干層,它由交換機(jī)和物理服務(wù)器構(gòu)成[3]。管理軟件層包含多種系統(tǒng)軟件,其中虛擬機(jī)管理程序允許用戶(hù)根據(jù)自己的需要,遠(yuǎn)程定制具有某些硬件特性和軟件棧的虛擬機(jī)。在遇到故障時(shí),虛擬機(jī)可以遷移到另一個(gè)服務(wù)器上,保持業(yè)務(wù)可用性。虛擬機(jī)還可以提高資源利用率,一個(gè)服務(wù)器上可以創(chuàng)建多個(gè)虛擬機(jī),每個(gè)虛擬機(jī)中運(yùn)行不同的操作系統(tǒng)和應(yīng)用軟件。軟件基礎(chǔ)設(shè)施層將網(wǎng)絡(luò)資源移交到上層,為傳輸IT服務(wù)打基礎(chǔ)。平臺(tái)基礎(chǔ)設(shè)施層提供了許多應(yīng)用編程接口,為開(kāi)發(fā)者創(chuàng)建開(kāi)發(fā)平臺(tái)。應(yīng)用層是最高層,允許用戶(hù)通過(guò)因特網(wǎng)訪(fǎng)問(wèn)和使用應(yīng)用程序。
3 云計(jì)算安全
為保障移動(dòng)云中的信息安全,需了解云計(jì)算特有的威脅和挑戰(zhàn)。因?yàn)樵朴?jì)算結(jié)構(gòu)設(shè)計(jì)和特點(diǎn),云計(jì)算展現(xiàn)了許多安全上的優(yōu)勢(shì),包括數(shù)據(jù)與處理隔離、冗余、安全集中化、高可用性等。移動(dòng)云計(jì)算存在的大量的安全挑戰(zhàn),有數(shù)據(jù)復(fù)制、有限可擴(kuò)展性、信任、可持性、隱私等[4]。一般而言,網(wǎng)絡(luò)安全主要是保證數(shù)據(jù)的機(jī)密性、完整性和可用性。需要保證安全的資產(chǎn)有三大類(lèi):軟件、硬件和數(shù)據(jù)。以下是云計(jì)算中主要的安全問(wèn)題。
(1)機(jī)密性和隱私。指僅僅授權(quán)給具有能力訪(fǎng)問(wèn)受保護(hù)的數(shù)據(jù)的組織或系統(tǒng)。加入云中的組織、設(shè)備和應(yīng)用數(shù)量的增長(zhǎng),導(dǎo)致了訪(fǎng)問(wèn)點(diǎn)數(shù)量的增長(zhǎng),從而使云中數(shù)據(jù)被破壞的可能性變大。
(2)多租戶(hù)。指云中資源(如內(nèi)存、程序、網(wǎng)絡(luò)和數(shù)據(jù))分享的特征。盡管用戶(hù)在虛擬層隔離,但硬件并非是獨(dú)立的。
(3)數(shù)據(jù)殘留。是數(shù)據(jù)以某種方式正常擦除或移動(dòng)后殘留的表現(xiàn)。
(4)完整性。是信息安全的一個(gè)關(guān)鍵方面。指僅有授權(quán)機(jī)構(gòu)或在授權(quán)方式下才能修改數(shù)據(jù)資產(chǎn)、軟件和硬件,保護(hù)數(shù)據(jù)防止未授權(quán)的刪除、修改或捏造。
(5)授權(quán)。是決定用戶(hù)擁有何種級(jí)別的訪(fǎng)問(wèn)授權(quán),以保證系統(tǒng)控制的資源的安全。因?yàn)樵骗h(huán)境中實(shí)體和訪(fǎng)問(wèn)點(diǎn)數(shù)量的增加,授權(quán)在確保僅有得到授權(quán)的實(shí)體才能與數(shù)據(jù)交互方面非常關(guān)鍵。
(6)可用性。指系統(tǒng)可使用,能夠被授權(quán)實(shí)體按需訪(fǎng)問(wèn)的屬性。系統(tǒng)可用性包含一個(gè)系統(tǒng)即使在權(quán)威出錯(cuò)的情況下仍能繼續(xù)操作的能力。
4 移動(dòng)云安全威脅的對(duì)策
移動(dòng)云安全基于云計(jì)算,其所有安全問(wèn)題源于資源上的局限性本質(zhì)。需要采用一種輕量級(jí)的安全架構(gòu),讓移動(dòng)設(shè)備以最小的通信和處理開(kāi)銷(xiāo)運(yùn)行,同時(shí)提供安全上的保障。安全的云應(yīng)用服務(wù)結(jié)合用戶(hù)提供密鑰管理、用戶(hù)管理、入侵檢測(cè)、按需加密、身份鑒別和授權(quán)等服務(wù)。在移動(dòng)設(shè)備和云之間建立一安全通信信道,移動(dòng)設(shè)備間采用安全路由協(xié)議。
5 現(xiàn)有的移動(dòng)云安全框架分析
不少學(xué)者針對(duì)移動(dòng)云提出了自己的見(jiàn)解,例如在存入云之間對(duì)數(shù)據(jù)加密。加密可以阻礙未授權(quán)的訪(fǎng)問(wèn),即使在存儲(chǔ)器受到破壞時(shí),云供應(yīng)商也不能訪(fǎng)問(wèn)該數(shù)據(jù)。采用身份基加密方法可用于獲得安全的數(shù)據(jù)服務(wù)。但加密不能解決所有問(wèn)題。在有些場(chǎng)合,云供應(yīng)商需要解密數(shù)據(jù)以對(duì)數(shù)據(jù)執(zhí)行操作。
一些學(xué)者提出采用信任的第三方進(jìn)行信任計(jì)算,建立必要的信任級(jí)別,保護(hù)數(shù)據(jù)的完整性、機(jī)密性和授權(quán)。在密碼學(xué)中,信任第三方(Trust Third Party, TTP)是一個(gè)實(shí)體,它在信息系統(tǒng)內(nèi)為兩組織間安全交互端對(duì)端的安全服務(wù),包括加密、解密和身份鑒別服務(wù)。
典型的移動(dòng)云安全框架中包括三個(gè)主要實(shí)體:移動(dòng)設(shè)備或客戶(hù)端、云服務(wù)提供商和信任第三方。前兩者都信任第三方。云服務(wù)提供商負(fù)責(zé)有效地管理、操作和分配云資源。信任第三方在遠(yuǎn)程云中配置、安裝防篡改協(xié)處理器。每個(gè)協(xié)處理器與多個(gè)登記的移動(dòng)用戶(hù)相關(guān),協(xié)處理器發(fā)布密鑰給移動(dòng)用戶(hù),并生成一個(gè)信息授權(quán)碼代表移動(dòng)用戶(hù)。也有學(xué)者提出將認(rèn)證機(jī)構(gòu)和遠(yuǎn)程通信模塊加入進(jìn)來(lái)。認(rèn)證機(jī)構(gòu)負(fù)責(zé)為移動(dòng)設(shè)備授權(quán),遠(yuǎn)程通信模塊生成并記錄移動(dòng)設(shè)備的密碼和相關(guān)信息以使用云服務(wù)。
在多媒體數(shù)據(jù)方面,有學(xué)者提出一種使用水印技術(shù)的身份認(rèn)證方法處理云中尺寸可擴(kuò)展的圖像[5],以及使用秘密分享方案處理多媒體數(shù)據(jù)。該方案將多媒體數(shù)據(jù)劃分為多塊,然后上傳至不同的云,在該狀態(tài)下,即使一朵云中的數(shù)據(jù)信息被披露了,所有信息仍然是保密的。
6 未來(lái)的工作和結(jié)論
移動(dòng)計(jì)算遷移至云端的原因是移動(dòng)設(shè)備在資源上的局限性。由于云本身被云服務(wù)供應(yīng)商所管理,所以云本身是不可信的。移動(dòng)云中最大的挑戰(zhàn)就是保護(hù)用戶(hù)和使用云資源時(shí)提供移動(dòng)應(yīng)用安全。為提供安全的移動(dòng)云環(huán)境,服務(wù)供應(yīng)商應(yīng)解決關(guān)于網(wǎng)絡(luò)安全、數(shù)據(jù)完整性、數(shù)據(jù)位置、身份認(rèn)證、授權(quán)等問(wèn)題和各種其他因素。通過(guò)文獻(xiàn)分析,了解學(xué)者們目前已提出的一些方案,提出了移動(dòng)云安全框架,建議采用加密技術(shù)、秘密分享、水印技術(shù)解決移動(dòng)云的安全挑戰(zhàn)。為了獲得安全的移動(dòng)云環(huán)境,需要繼續(xù)研究云安全威脅并相應(yīng)地解決。
參考文獻(xiàn):
[1] Niroshinie Fernando , Seng W Loke , Wenny Rahayu. Mobile cloud computing: A survey [J]. Future Generation Computer Systems ,June 2012.
[2] Dimitrios Zissis, Dimitrios Lekkas.Addressing cloud computing security issues[J]. Future Generation Computer Systems, 2012,28(3):583-592.
[3] Abdul Nasir Khana , M.L. Mat Kiaha, Samee U. Khanb, Saljad A Madanic.Towards secure mobile cloud computing: A survey[J]. Future Generation Computer Systems, August 2012.
[4] Cloud Security Alliance. Top threats to cloud computing, Cloud Security Alliance, 2010.
[5] Honggang Wang, Shaoen Wu, Min Chen, Huazhong ,Wei Wang.Secunty Protect Between Users and the Mobile Media Cloud[J]. IEEE Communications Magazine , 2014,52(3).