云计算及其安全技术分析

云计算及其安全技术分析

云计算和云计算安全

云计算（cloud computing）是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网，后来也用来表示互联网和底层基础设施的抽象。狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。

云计算由于用户和资源的高度集中,面临着更多的问题，而安全问题首当其冲。在近几年来，随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素。Google, Microsoft，Amazon等公司的云计算服务均出现过重大故障，例如,2009 年3 月,Google 发生大批用户文件外泄事件,2009 年2 月和7 月,亚马逊的“简单存储服务(simple storage service,简称S3)”两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等等。

不断爆出的各种安全事故导致用户的信息服务受到影响，进一步加剧了业界对云计算安全的担忧。因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手研究云计算所涉及到的安全技术。

总体来说，云计算技术主要面临以下五个安全问题，如下图所示：

(1).    用户身份管理/访问控制

(2).    网络安全

(3).    数据安全

(4).    管理安全

(5).    虚拟化安全

云计算安全技术分析

用户身份管理与访问控制技术

1.1身份管理

用户身份管理就是要对用户的身份采用相应的技术进行管理，这样用户每次要求访问资源的时候都要进行认证，可以增强安全性。典型的身份认证技术如下：

(1).    口令认证

这是一种最为简单的认证技术。它的缺陷也很明显，一般情况下，用户所设计的口令都比较简单，容易被猜测。

(2).    Kerberos认证协议。

Kerberos是基于可信赖第三方（TrustedThird Party，TTP）的认证协议。该协议实现集中的身份认证和密钥分配，通信保密性、完整性。但是该协议对时钟同步的要求挺高，并且由于它是针对对称密钥的设计，不适合大规模的应用环境。

(3).    公开密钥体系结构PKI

PKI技术采用证书管理公钥，通过第三方的可信任机构CA把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet网上验证用户的身份。

(4).    基于生物特征的身份认证

由于每个人具有唯一的生理特征，我们根据这些生理特征进行身份认证，典型的技术有指纹识别，虹膜识别，语音识别。

1.2访问控制技术

访问控制（AccessControl）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。典型的访问控制技术如下：

(1).自主访问控制(DAC)

l  介绍：

自主访问控制（Discretionary Access Control，DAC）是一种接入控制服务，通过执行基于系统实体身份及其到系统资源的接入