藍(lán) 婷

（中國電信股份有限公司廣東分公司，廣東 廣州 510062）

引言

隨著計算機(jī)信息技術(shù)和智能終端應(yīng)用技術(shù)的不斷普及，智能終端本身所具備的開放性、靈活性和高效率性等優(yōu)勢促進(jìn)了各產(chǎn)業(yè)的發(fā)展，但是也使得智能終端面臨著諸多安全問題。智能化系統(tǒng)在應(yīng)用過程中，往往面臨惡意軟件控制智能終端后臺、竊聽用戶關(guān)鍵信息、安全防護(hù)被破壞等問題，進(jìn)而影響智能終端正常運(yùn)行，使計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)不能正常工作。另一方面，隨著企業(yè)、政府機(jī)構(gòu)管理平臺等對計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的大規(guī)模應(yīng)用，若計算機(jī)網(wǎng)絡(luò)安全問題頻繁出現(xiàn)，將對企業(yè)經(jīng)濟(jì)效益或者政府公共平臺的社會效益造成不可估量的影響。

近年來，智能終端頻頻發(fā)生網(wǎng)絡(luò)安全問題，雖然很多企業(yè)推出各種安全應(yīng)用軟件，實(shí)現(xiàn)對病毒的查殺、垃圾的清理以及騷擾的實(shí)時攔截等，同時也有專家和學(xué)者實(shí)現(xiàn)對智能終端的數(shù)據(jù)的遠(yuǎn)程備份和安全管理等，雖然在不同程度上可以智能終端提供一定的安全保護(hù)，但是缺乏必要的后臺安全解決方案。通常來說，在移動應(yīng)用中會針對移動業(yè)務(wù)進(jìn)行必要的安全防護(hù)，建立一定的安全管理平臺，但是往往缺乏與設(shè)備終端有效的結(jié)合，具有一定的局限性，造成安全防護(hù)層次不齊，不同程度存在安全隱患。對此，文中對面向未來的云安全服務(wù)技術(shù)架構(gòu)進(jìn)行優(yōu)化，并對其應(yīng)用進(jìn)行相關(guān)分析。

一、云計算與云安全

通常情況下，根據(jù)現(xiàn)行的云計算標(biāo)準(zhǔn)定義SPI模型，可將云計算服務(wù)模型分為云基礎(chǔ)設(shè)施作為服務(wù)、云平臺作為服務(wù)和云軟件作為服務(wù)等三大層次，理解云計算服務(wù)模型之間的層次關(guān)系，是了解搭建云安全服務(wù)架構(gòu)模式的基礎(chǔ)。在SPI的架構(gòu)層次中，云基礎(chǔ)設(shè)施作為服務(wù)處于最低層，能夠提供整個云計算所必需的數(shù)據(jù)信息的存儲、處理等相關(guān)功能；而云平臺作為服務(wù)層次，能夠建立在云基礎(chǔ)設(shè)施作為服務(wù)層次基礎(chǔ)之上，為終端客戶提供相應(yīng)的平臺功能服務(wù)；云軟件作為服務(wù)又進(jìn)一步，以云平臺作為服務(wù)為基礎(chǔ)支撐提供更高級的應(yīng)用層級服務(wù)。三種不同層次的服務(wù)模式，能夠通過其功能性、可擴(kuò)展性、兼容性及以相互并包等優(yōu)勢，使得終端客戶能夠根據(jù)其自身的相關(guān)業(yè)務(wù)特點(diǎn)和業(yè)務(wù)需求選擇適合的云計算服務(wù)模式，滿足自身的各類需要[1]。

從安全角度出發(fā)，云安全服務(wù)是云計算服務(wù)平臺及服務(wù)供應(yīng)商和云共同用戶共同的安全責(zé)任，不同的云計算服務(wù)模式意味著需要不同的安全責(zé)任劃分和安全內(nèi)容界定。因此，云安全服務(wù)架構(gòu)模式的關(guān)鍵特點(diǎn)就與云服務(wù)提供商所在的層級相掛鉤，云服務(wù)提供商所在的層級越低，云服務(wù)安全用戶所需要的安全管理職責(zé)就越大。當(dāng)然，云安全管理并不是指云計算的安全管理過程，而是指安全廠商針對云計算的整個過程推出的安全管理服務(wù)，在整個云安全管理服務(wù)過程中，云安全作為云計算理念在安全領(lǐng)域的重要體現(xiàn)，能夠通過互聯(lián)網(wǎng)信息數(shù)據(jù)的支撐，將用戶和其他任意殺毒軟件等平臺緊密連接起來，從而組成龐大的惡性軟件的監(jiān)測系統(tǒng)，查找網(wǎng)絡(luò)結(jié)構(gòu)中的不合法、不合規(guī)之處，從而為構(gòu)建共享的高度安全的網(wǎng)絡(luò)機(jī)制奠定基礎(chǔ)。

二、云安全服務(wù)的關(guān)鍵技術(shù)

隨著云計算逐漸發(fā)展，成為業(yè)界熱門技術(shù)，是當(dāng)前信息技術(shù)變革的核心，由于其具有簡單易用性，可以大幅度降低運(yùn)營成本，這就更好地為人類謀福利。云計算資源是高度共享的資源和分配，云計算服務(wù)平臺更多地作為一個整體的獨(dú)立系統(tǒng)而體現(xiàn)出其高度共享性，往往是以某一固定數(shù)量的資源或者某一既定的解決方案，為客戶提供相對應(yīng)的互聯(lián)網(wǎng)服務(wù)，在整個服務(wù)的提供和業(yè)務(wù)流程的擴(kuò)展過程中較為固定。隨著互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展及基于市場需求的服務(wù)架構(gòu)模式的不斷改變，云服務(wù)理念進(jìn)一步擴(kuò)充，逐漸形成了基于網(wǎng)絡(luò)安全設(shè)備的高度共享和互聯(lián)網(wǎng)應(yīng)用之間的客服服務(wù)體系。因此，如何通過發(fā)布資源和搜索資源就需要開展大量工作才能夠獲得運(yùn)營服務(wù)過程，也就是說，安全服務(wù)的重點(diǎn)進(jìn)一步落實(shí)在相關(guān)資源和任務(wù)的獲取以及接口功能匹配、流程定義和服務(wù)質(zhì)量等的智能化匹配、自動化組合過程中。該類云安全服務(wù)往往缺乏較為有效的解決手段，同時，由于現(xiàn)階段云安全技術(shù)并不能夠很好地解決網(wǎng)絡(luò)資源信息共享過程中安全設(shè)備的動態(tài)共享和智能分配等諸多問題，也不能夠解決終端客戶的物理設(shè)備智能嵌入等問題，這就使得云服務(wù)的相關(guān)推廣受到了較大限制[2]。

目前，云安全服務(wù)推廣設(shè)計的關(guān)鍵技術(shù)可分為安全模式體系架構(gòu)相關(guān)標(biāo)準(zhǔn)和規(guī)范、云端化服務(wù)、云服務(wù)綜合管理技術(shù)三大部分內(nèi)容，以云服務(wù)綜合管理技術(shù)為例，云服務(wù)綜合管理技術(shù)主要研究和支持云服務(wù)運(yùn)營商相關(guān)舉措，通過終端服務(wù)網(wǎng)絡(luò)體系的不斷完善和優(yōu)化進(jìn)行數(shù)據(jù)信息和發(fā)布，對終端網(wǎng)絡(luò)體系架構(gòu)的組合和管理進(jìn)行高效率的資源調(diào)度，從而完成一系列綜合操作過程。此過程主要包括了提供資源端的相關(guān)服務(wù)的接入管理、統(tǒng)一定義和統(tǒng)一接口管理、認(rèn)證管理等，也包括了高效的動態(tài)化過程控制、云服務(wù)組件以及存儲等，還包括了高效能的自動化匹配和自動搜索服務(wù)、動態(tài)匹配技術(shù)等。建立的云安全管理具有以下特點(diǎn)：一是可以滿足統(tǒng)一的云端的管理，所有使用的用戶可以利用云端實(shí)現(xiàn)對智能終端的保護(hù)，在一定程度上可以有效降低成本，同時，可以實(shí)現(xiàn)快速的推廣，便于迭代等；二是，不僅可以為智能終端提供一定的安全防護(hù)，也能為移動用戶提供必要的安全保障，并提供安全可靠的技術(shù)保障；三是，相關(guān)密保密鑰均符合國家標(biāo)準(zhǔn)和規(guī)范。

三、整體架構(gòu)分析

面向未來的云安全服務(wù)技術(shù)架構(gòu)，是基于云計算平臺在現(xiàn)有的綜合網(wǎng)絡(luò)信息管理設(shè)備和管理系統(tǒng)的基礎(chǔ)上，實(shí)現(xiàn)高效統(tǒng)一的云管理服務(wù)，從而實(shí)現(xiàn)云管理服務(wù)的統(tǒng)一，也能夠?qū)崿F(xiàn)高效率的統(tǒng)一管理。在此過程中，可利用數(shù)據(jù)結(jié)構(gòu)證明方式、虛擬網(wǎng)絡(luò)計算審計方式和密鑰管理框架模式、安全高效的認(rèn)證管理協(xié)議等控制手段接入，最大限度保護(hù)終端客戶的隱私和數(shù)據(jù)安全，從而消除終端使用客戶對于云計算平臺和安全服務(wù)平臺的疑慮，保證云安全計算平臺后臺的穩(wěn)定運(yùn)行[3]。

通常情況下，云安全服務(wù)技術(shù)架構(gòu)平臺主要包括云基礎(chǔ)設(shè)施作為服務(wù)層、云平臺作為服務(wù)層和與軟件作為服務(wù)層三個層級。其中，云基礎(chǔ)設(shè)施作為服務(wù)層，主要是提供云計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)運(yùn)行存儲資源、計算資源和數(shù)據(jù)處理資源，通過開源性的云計算基礎(chǔ)設(shè)施平臺架構(gòu)和云基礎(chǔ)設(shè)施層，實(shí)現(xiàn)硬件資源的虛擬化和數(shù)據(jù)信息的高效率處理，以虛擬計算機(jī)系統(tǒng)為基礎(chǔ)單元，對參數(shù)信息進(jìn)行高效率的分配、調(diào)度和管理，在此過程中，云計算虛擬基礎(chǔ)設(shè)施層能夠借助其虛擬的基礎(chǔ)設(shè)施資源，實(shí)現(xiàn)基礎(chǔ)設(shè)施資源的網(wǎng)絡(luò)化交付。在云計算平臺作為服務(wù)層應(yīng)用設(shè)計中，該層級以云基礎(chǔ)設(shè)施作為服務(wù)層為基礎(chǔ)內(nèi)容，通過服務(wù)接口的設(shè)計實(shí)現(xiàn)基礎(chǔ)功能設(shè)計，構(gòu)造網(wǎng)絡(luò)安全管理應(yīng)用平臺。在此過程中，基于開源的云計算應(yīng)用平臺能夠提供分布式儲存和并行計算等支持，為各類型的創(chuàng)新軟件和APP服務(wù)等提供技術(shù)支撐，包括對海量數(shù)據(jù)信息進(jìn)行存儲管理及對安全數(shù)據(jù)信息進(jìn)行采集和分析。最后，以云平臺作為服務(wù)層和云計算基礎(chǔ)設(shè)施為基礎(chǔ)架構(gòu)起來的云軟件作為服務(wù)層，能夠以網(wǎng)絡(luò)端服務(wù)接口為中介，通過網(wǎng)絡(luò)服務(wù)的形式提供各類型直接面向終端用戶和面向市場應(yīng)用的軟件服務(wù)，包括網(wǎng)站的風(fēng)險評估、安全防護(hù)、防火墻、審計等諸多內(nèi)容，圖1即為云計算安全平臺架構(gòu)應(yīng)用示意。

圖1 云計算安全平臺架構(gòu)應(yīng)用示意

四、功能設(shè)計

云安全服務(wù)技術(shù)架構(gòu)，主要是通過云服務(wù)方式提供多種面向終端客戶和市場需求的服務(wù)，包括用戶管理、資源管理以及密鑰管理、終端設(shè)備的安全管理等內(nèi)容。以終端設(shè)備的應(yīng)用和安全管理為例，云安全管理平臺的基礎(chǔ)設(shè)施層能夠提供整個管理信息系統(tǒng)所需要的存儲資源和計算資源，進(jìn)而通過云計算系列虛擬架構(gòu)系統(tǒng)所構(gòu)建的基礎(chǔ)設(shè)施層實(shí)現(xiàn)硬件資源的虛擬化過程，以虛擬的計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)為基礎(chǔ)單位，對相關(guān)資源進(jìn)行高效的分配、調(diào)度和管理，整個過程中能夠借助基礎(chǔ)設(shè)施資源的高效率虛化和應(yīng)用，實(shí)現(xiàn)對架構(gòu)資源的網(wǎng)絡(luò)化交互，圖2即為某應(yīng)用體系管理示意圖。

圖2 某應(yīng)用體系管理示意圖

在此過程中，終端用戶安全系統(tǒng)管理作為整個云服務(wù)架構(gòu)模式管理的重中之重，主要針對終端用戶面臨的多種多樣惡意程序、惡意病毒甚至是木馬軟件等諸多信息泄漏風(fēng)險，提供相應(yīng)的安全管理工具和系統(tǒng)管理，以軟件對病毒進(jìn)行查殺、開展病毒檢查及為終端系統(tǒng)提供補(bǔ)丁和漏洞修復(fù)等內(nèi)容，且可設(shè)置安裝包、管理程序、過濾等多樣化方式實(shí)現(xiàn)云計算平臺整個運(yùn)行過程中的邊界終端防御，從而架構(gòu)起完善的防御機(jī)制，實(shí)現(xiàn)對木馬病毒、惡意代碼的防御和閉環(huán)管控[4]。

五、重難點(diǎn)分析

在建立云安全服務(wù)技術(shù)架構(gòu)模式的過程中，其難點(diǎn)主要包括跨終端的云安全服務(wù)技術(shù)、數(shù)據(jù)自適應(yīng)安全加密傳輸技術(shù)、自組織的多級復(fù)合身份認(rèn)證技術(shù)以及智能分級防御引擎技術(shù)四大部分內(nèi)容。以數(shù)據(jù)自適應(yīng)安全加密傳輸技術(shù)為例，由于智能終端在較為開放的網(wǎng)絡(luò)市場環(huán)境中使用，其安全保護(hù)依舊是困擾信息安全的重要內(nèi)容。目前，能夠?qū)崿F(xiàn)智能終端設(shè)備在端到端的數(shù)據(jù)信息傳輸過程中的加密技術(shù)是有效保障數(shù)據(jù)自適應(yīng)安全的重要方法，采取隧道模式和其他代理模式的自動適應(yīng)機(jī)制，能夠保障在同一平臺支撐下不同用戶、不同群體之間數(shù)據(jù)信息傳輸?shù)陌踩裕瑥亩鶕?jù)設(shè)備各自的數(shù)據(jù)情況，選擇相應(yīng)的安全監(jiān)管模式。在此過程中，數(shù)據(jù)自適應(yīng)安全加密傳輸技術(shù)主要包括了解密算法、密鑰管理機(jī)制以及自組織的多級復(fù)合身份認(rèn)證等類型。以自組織的多級復(fù)合身份認(rèn)證技術(shù)為例，為了最大限度地保證終端移動客戶所連接設(shè)備的合法性和安全性，在固定某一網(wǎng)絡(luò)甚至或不固定某一網(wǎng)絡(luò)支撐但具備統(tǒng)一支持的認(rèn)證框架結(jié)構(gòu)體系下，在特定情況下通過使用非交互式的計算對稱密鑰，能夠盡可能地減少網(wǎng)絡(luò)信息系統(tǒng)中數(shù)據(jù)信息傳輸中的鏈路開銷，通過一次性的證明算法確保數(shù)據(jù)傳遞方和數(shù)據(jù)接收方之間認(rèn)證的合法性，從而保證數(shù)據(jù)的安全高效率傳遞。在此過程中，能夠通過移動設(shè)備的身份識別、使用者的身份匹配及應(yīng)用使用者身份的多級復(fù)合等身份認(rèn)證，以確保云計算安全平臺的身份安全認(rèn)證功能，通常以sm1和sm2作為其基礎(chǔ)算法。在安全技術(shù)管理平臺的應(yīng)用過程中，為了確保遠(yuǎn)程接入設(shè)備遠(yuǎn)程接入的移動設(shè)備的合法性和安全性，使同一個賬號在不同的安全場景使用和不同需求下，提供不同強(qiáng)度的接入身份認(rèn)證，一般采用用戶名加口令的認(rèn)證方式，或者是認(rèn)證證書加碼的認(rèn)證方式[5]。

結(jié)語

本文在面向未來的理念指導(dǎo)下，通過對安全云模式、體系架構(gòu)、相關(guān)標(biāo)準(zhǔn)及規(guī)范云端化技術(shù)云服務(wù)綜合管理技術(shù)等云安全服務(wù)關(guān)鍵技術(shù)的分析，結(jié)合云安全服務(wù)技術(shù)架構(gòu)的整體分析和功能設(shè)計，詳細(xì)探究了云安全服務(wù)技術(shù)架構(gòu)中的用戶管理、終端系統(tǒng)安全管理、數(shù)據(jù)加密管理、設(shè)備管理等內(nèi)容，指出該方案搭建應(yīng)用中的難點(diǎn)，并提出相應(yīng)的優(yōu)化措施，以促進(jìn)利用云模式更好地實(shí)現(xiàn)終端和移動應(yīng)用的安全管理和服務(wù)，為后期的智能終端安全管理方面提供安全、低成本的保障，同時也為智能終端和移動終端的安全問題提出建設(shè)性的思路。