云计算的安全性研究

云计算的安全性研究

1云计算的安全性从技术发展的角度来看，云计算是分布式处理、并行处理和网格计算的发展和扩展，以及这些计算机科学概念的经济应用。它将计算任务分布在大量计算机构成的资源池上,使用户能够按需获取计算力、存储空间和信息服务。这种资源池称为“云”。“云”是一些可以自我维护和管理的虚拟计算资源,通常是一些大型服务器集群,包括计算服务器、存储服务器和宽带资源等。云计算将计算资源集中起来,并通过专门软件实现自动管理,无需人为参与。用户可以动态申请部分资源,支持各种应用程序的运转,无需为实现细节而烦恼,能够更加专注于自己的业务,有利于提高效率、降低成本和技术创新。云计算和传统服务相比,其相对低廉的价格和强大的处理能力,必然会吸引越来越多企业和个人用户。就我国而言,中小型企业众多,利用云计算来节约成本,是十分有意义的。而现阶段阻碍云计算发展的,或者说是用户对于云计算怀有的主要顾虑就在于其安全性。根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战,分别为服务安全性、稳定性和性能表现。2009年11月,ForresterResearch公司的调查结果显示,有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。由此可见,安全性是客户选择云计算应用时的重要考虑因素。要提高整体安全性,必须关注云计算从硬件架设、系统设计到软件使用和提供服务的整个过程,完善以上过程中任何一个环节的安全保障,都是增强云计算安全性的基础。本文从云计算的通信安全入手,针对的是云内部的数据传输安全问题,提出了一种云内部简单安全通信模型(SSCMIC),以增强从用户交互接口接受用户请求,到接口向用户返回数据之前这段云内部服务器之间数据通信的安全性。2云计算的现状云计算就是将计算任务分布在由大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务,这里各种资源往往是动态变化的,常常是通过互联网以一种服务的形式提供给用户,而用户并不需要清楚“云”中的具体技术架构。云计算的一般结构如图1所示。云计算包含两个方面的含义:一方面是底层构建的云计算平台基础设施,是用来构造上层应用程序的基础;另外一方面是构建在这个基础平台之上的云计算应用程序。云计算按照服务类型大致可以分为三类:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。简化的IaaS实现机制如图2所示。云计算自2007年第三季度被正式提出后,立即被众多IT巨头以前所未有的速度和规模推动发展,其中主要代表有Google的一套专属云计算平台、亚马逊的弹性云计算EC2和简单存储服务S3、IBM的蓝云计算平台和微软的WindowsAzure操作系统等。任何一项新的技术都是一把双刃剑。2009年2月24日,GoogleGmail邮箱爆发长达4小时全球性故障;2009年3月,Google不得不尴尬地承认了不小心泄露客户私人信息的事实;2009年3月17日,微软的云计算平台Azure停运约22个小时。一项研究调查了17个国家的500高级主管和IT经理,发现尽管可能获利,主管们信任现有内部专用应用系统甚于云系统,原因是担心数据安全受到威胁和失去对数据和系统的控制。美国Garnter咨询公司2009年发布的一份《云计算安全风险评估》称,虽然云计算产业具有巨大市场增长前景,但对于使用这项服务的企业用户来说,云计算服务存在着七大潜在安全风险:特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。对可信与安全的担心是云平台企业被完全接受的障碍。为了保护云系统,供应商必须首先保护虚拟数据中心资源,维护用户隐私,维护数据完整性。3云计算和云存储下的简单安全通信模型笔者认为,从用户交互接口接受用户请求,到接口向用户返回数据之前这段数据通信,都属于云内部的通信。提高云内部通信的安全性,对于整个云计算系统的安全,以及提供用户可信的计算环境都有很重要的意义。云计算与网格的不同点之一在于云计算中所有的服务器结点都可由统一的服务提供商来控制管理的,那么,服务提供商就有能力对所有的服务器都进行某一特殊配置,基于这一点,设计了一种适用于云内部通信的简单安全通信模型(SSC-MIC)。SSCMIC模型架构如图3所示。该模型不需要额外的硬件,只需要在云中的机器上运行一个KeySyn的进程来同步密钥,加密通信机制的可实施性强。在SSCMIC模型中,网络上传输的都将是经过加密的数据,通过选取强度高的加密算法,可以增强传输中的安全性,达到保护数据的目的。3.1密钥同步密钥流无论使用哪种云计算的服务模式(SaaS/PaaS/IaaS),数据安全都是重要的。云用户和云服务提供商都必须避免数据丢失和被窃,在使用公共云时,对于传输中的数据最大的威胁是不加密的通信机制。另一方面,对于速度的要求,使得非对称加密算法在大数据量传输的条件下并不可取。对称密码体制的加密密钥和解密密钥相同,或者虽然不相同,但是由其中的任意一个可以很容易地推导出另一个。对称密码体制具有很高的保密强度,可以达到经受较高级破译力量的分析和攻击。云服务提供商采用的统一控制机制可以保证密钥能够通过安全可靠的途径传递,因此,SSCMIC模型选择基于对称加密的机制。加密系统中,一次性密钥是很理想的状态,但鉴于云是大规模的分布式系统,各服务器之间通信显然是异步的,而为每一对服务器都涉及一个动态变更的密钥显然不可能,本文提出同步密钥流这个解决方案。同步密钥流中的密钥满足以下两个条件:(1)无规律性,这样能提高字典攻击的难度;(2)经常变更,变相减少明文样本,增加分析出密钥的难度,这样可以大大增加破解的难度,提高系统的安全性。在云中的所有服务器上都添加一个系统进程KeySyn进行密钥同步。自服务器运行伊始,启动密钥同步进程KeySyn。该进程保有一个向量r(Kp,Kn,Tc)以及可用标识V。每一个服务器的K0都是一样的,每经过ΔT的时间,KeySyn对Kn进行一次运算,并更新Kp和Tc。进程KeySyn的处理步骤如下伪代码所示:其中R(x)是一种不可逆运算,其反函数不可得,即如果y=R(x),在已知x的情况下很容易计算得到y,但已知y却无法得到x。哈希运算很满足这个条件,并且通过哈希运算得到的结果也是无规律性的,也使得密钥满足之前提出的第一个条件,因此可以考虑用哈希运算实现函数R(x)。同时在实施中,需要保证网络传输时延必须小于运算间隔,以到达在信息传递过程中,密钥最多发生一次变化的约束。事实上,在实际应用环境中,针对特定的应用服务群,完全不需要高频度地改变频率,因此可以设置ΔT>>max(T时延)。如此,向量r(Kp,Kn,Tc)即为动态同步密钥流的密钥载体,为通信过程提供加密解密所需的密钥信息。3.2kn加密方式当服务器C1要与服务器C2通信时,C1的通信进程p1判断可用标识V是否被锁,若没有则读取向量r(Kp,Kn,Tc)中的Kn,Tc。然后通信进程p1使用Kn加密信息(此处使用对称加密),并把Tc置于信息首两个字节D,明文传送。加密过程如图4所示。该过程用下面的伪代码表示:服务器C2接受到信息后,先判断可用标识V是否被锁,若未锁则读取自己的向量r(Kp,Kn,Tc),将Tc与信息中首两个字节进行对比。如果一致,则使用Kn解密后面的信息内容;如果Tc>D,则使用Kp解密消息。解密过程如图5所示。该过程用下面的伪代码表示:3.3u3000结论当遇到服务器故障停机或重启,KeySyn进程需要重新获得当前系统的r向量值。本文设计了两种方法:(1)KeySyn需要保有一个计数器值N,该数值用于记录当前的Kn值是由K0经过多少次R(x)运算得到的。服务器重启后,立即向云系统的管理服务器询问N值和Tc,由此得出完整的r(Kp,Kn,Tc)向量值。这种方法保证了r向量中的密钥不在网络中传播。3.4计算机病毒的加密速度对比加密通信可以提高数据的安全性,同时也会消耗一定的时间和资源,降低通信的效率。表1是在CPU为IntelP73502.0GHz,CPU数目设定为1,内存设定为512MB的Linux虚拟机上,测试得到的三种常用对称加密算法的加密速度。从表1中可以看出,DES算法加密速度平均为43MB/s,安全性更高的3DES和IDEA的速度都超过了15MB/s。测试使用的计算机配置低于普通服务器,云平台中使用的服务器将可以获得更高的速度。现有家庭宽带速度一般为4MB/s,局域网速度显示为100MB/s,但实际传输速率一般也不会高过10MB/s。所以,正常情况下,15MB/s的加密速度并不会对数据通信产生明显的制约影响。因此,本文提出的SSCMIC模型是有效的和可行的。4增强云计算服务的安全性云计算服务环境由云服务提供商统一管理,本文针对云内部的通信安全问题设计