云計算關鍵技術的探討

作者：時間：2013-11-15 來源：網(wǎng)絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

3．2 有關數(shù)據(jù)安全技術問題
3．2．1 數(shù)據(jù)傳輸技術
在網(wǎng)絡上進行數(shù)據(jù)傳輸，需要保證數(shù)據(jù)的保密性。如果數(shù)據(jù)的傳輸采用加密算法(SSL算法)，就很容易保證數(shù)據(jù)傳輸?shù)陌踩?br /> 另外，利用Internet傳輸數(shù)據(jù)，還應該保證數(shù)據(jù)的完整性。如果采用非安全傳輸協(xié)議，很容易做到保證數(shù)據(jù)的完整性。目前存在的問題是，采用加密數(shù)據(jù)和使用非安全傳輸協(xié)議也可以達到保密的目的，但是，怎樣更好的解決數(shù)據(jù)的完整性問題，有待于進一步的研究和探討。
特別要注意的是，在網(wǎng)絡上進行數(shù)據(jù)處理時，數(shù)據(jù)已經(jīng)由加密狀態(tài)變成解密狀態(tài)，此時如何保證數(shù)據(jù)的保密性，這也是云計算數(shù)據(jù)安全技術需要解決的問題。
3．2．2 密文的檢索技術
數(shù)據(jù)加密后失去了許多其他特性，導致大多數(shù)數(shù)據(jù)分析方法失效。密文檢索有兩種典型的方法：一種是基于安全索引的方法。這種方法是為密文關鍵詞建立安全索引，檢索查詢索引的關鍵詞是否存在；另一種是基于密文掃描的方法，這種方法是對密文中每個單詞進行比對，確認關鍵詞是否存在，以及統(tǒng)計其出現(xiàn)的次數(shù)。由于某些場景(如發(fā)送加密郵件)需要支持非屬主用戶的檢索，Boneh等人提出支持其他用戶公開檢索的方案。
密文處理研究主要集中在同態(tài)加密算法設計上。早在二十世紀八十年代，有人提出多種加法同態(tài)或乘法同態(tài)算法，但是由于被證明安全性存在缺陷，后續(xù)工作基本處于停頓狀態(tài)。而近期，IBM研究員Gentry利用“理想格(ideal lattice)“的數(shù)學對象構造隱私同態(tài)(privacy homomrphism)算法，或稱全同態(tài)加密，使人們可以充分地操作加密狀態(tài)的數(shù)據(jù)，在理論上取得了一定突破，使相關研究重新得到研究者的關注，但目前研究的結果與實用化仍存在一定的距離。
3．2．3 數(shù)據(jù)存儲技術
為了滿足云計算的分布式存儲方式、同時保證數(shù)據(jù)可靠性和高吞吐率以及高傳輸率的需求。目前各云計算提供商采用GFS或HDFS的數(shù)據(jù)存儲技術。
GFS是一個管理大型分布式數(shù)據(jù)密集型計算的可擴展的分布式文件系統(tǒng)。它使用廉價的商用硬件搭建系統(tǒng)并向大量用戶提供高性能的容錯服務。
GFS系統(tǒng)由一個Master和大量塊服務器構成。Master存放文件系統(tǒng)的所有元數(shù)據(jù)，包括名字空間、存取控制、文件分塊信息、文件塊的位置信息等。GFS把文件切分為64MB的塊進行存儲。
在GFS文件系統(tǒng)中，采用冗余存儲的方式來保證數(shù)據(jù)的可靠性。每份數(shù)據(jù)在系統(tǒng)中保存3個以上的備份。為了保證數(shù)據(jù)的一致性，對于數(shù)據(jù)的所有修改需要在所有的備份上進行，并用版本號的方式來確保所有備份處于一致的狀態(tài)。
由于客戶端不通過Master讀取數(shù)據(jù)，避免了Master成為系統(tǒng)瓶頸?？蛻舳藦腗aster獲取目標數(shù)據(jù)塊的位置信息后，直接和塊服務器交互進行讀操作。
GFS將寫操作控制信號和數(shù)據(jù)流分開，即客戶端在獲取Master的寫授權后，將數(shù)據(jù)傳輸給所有的數(shù)據(jù)副本，在所有的數(shù)據(jù)副本都收到修改的數(shù)據(jù)后，客戶端才發(fā)出寫請求控制信號。在所有的數(shù)據(jù)副本更新完數(shù)據(jù)后，由主副本向客戶端發(fā)出寫操作完成控制信號。目前，如何保證數(shù)據(jù)的高吞吐率以及高傳輸率還需要進一步的深入研究。
3．2．4 數(shù)據(jù)隔離技術
在云計算環(huán)境下，數(shù)據(jù)不再是存放在某個確定的物理節(jié)點上，而是由服務商動態(tài)提供存儲空間，這些空間有可能是現(xiàn)實的，也可能是虛擬的；可能分布在不同國家及區(qū)域。因此，需要對磁盤上的數(shù)據(jù)或數(shù)據(jù)庫中的數(shù)據(jù)進行加密(靜止的數(shù)據(jù))，這樣可以防止惡意的云服務提供商或惡意的鄰居“租用戶”對數(shù)據(jù)的破壞。靜止數(shù)據(jù)加密比較復雜，如果只需要簡單的存儲服務，用戶加密數(shù)據(jù)后發(fā)送密文到云數(shù)據(jù)存儲商那里即可。但是對于PaaS或者SaaS應用來說，數(shù)據(jù)的加密妨礙索引和搜索，還需要研究既適合加密義適合索引和搜索的一種算法。
3．2．5 清除數(shù)據(jù)殘留的技術
數(shù)據(jù)殘留是指數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)。依據(jù)這些物理表現(xiàn)，能夠使存儲介質(zhì)被擦除后的數(shù)據(jù)又被重新恢復起來。在云計算環(huán)境中，數(shù)據(jù)殘留有可能會無意間泄露敏感信息。因此云計算提供商應向云用戶保證其價息所在的存儲空間被釋放或再分配給其他云用戶前得到完全清除，目前需要研究一種能夠供云用戶對自己使用的空間得到完全清除的鑒定方法。
3．3 虛擬技術
虛擬技術是實現(xiàn)云計算的關鍵核心技術，正是虛擬技術才使得云計算提供商為其客戶有可能提供數(shù)據(jù)的安全性和數(shù)據(jù)的隔離。Santhan am等人提出了基于虛擬機技術實現(xiàn)的grid環(huán)境下的隔離執(zhí)行機。Raj等人提出了通過緩存層次可感知的核心分配，以及給予緩存劃分的頁染色的兩種資源管理方法實現(xiàn)性能與安全隔離。這些方法在隔離影響一個VM的緩存接口時是有效的，并整合到一個樣例云架構的資源管理(RM)框架中。Wei等人關注了虛擬機映像文件的安全問題，每一個映像文件對應一個客戶應用，它們必須具有高完整性，且需要可以安全共享的機制。Wei等人所提出的映像文件管理系統(tǒng)實現(xiàn)了映像文件的訪問控制、來源追蹤、過濾和掃描等，可以檢測和修復安全性違背問題。
在虛擬技術中，云計算提供商需要為客戶提供客戶端共享和主機共享，不法之徒有可能利用其漏洞對共享設備和文件進行破壞。當主機受到破壞，主機所管理的客戶端服務器有可能被攻克。另外當虛擬網(wǎng)絡受到破壞，那么客戶端也會受到損害。再者如果主機有問題，那么所有的虛擬機都會產(chǎn)生問題。所以，虛擬化技術也有一些需要解決的問題。
在云計算中，虛擬技術的應用有兩方面：一是虛擬化軟件；另一個虛擬服務器。
3．3．1 虛擬化軟件
該軟件層直接部署于裸機之上，提供能夠創(chuàng)建、運行和銷毀虛擬服務器的能力。實現(xiàn)虛擬化的方法有幾種，其通過不同層次的抽象來實現(xiàn)相同的結果，如操作系統(tǒng)級虛擬化、全虛擬化或半虛擬化。在IaaS云平臺中，云主機的客戶不必訪問此軟件層，由云計算提供商提供服務的。由于虛擬化軟件層是保證客戶的虛擬機在多租戶環(huán)境下相互隔離，實現(xiàn)了一臺計算機上安全地同時運行多個操作系統(tǒng)，所以必須嚴格
限制任何未經(jīng)授權的用戶訪問虛擬化軟件層。云計算提供商應建立必要的安全控制措施，限制對于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問控制。
虛擬化層的完整性和可用性對于保證基于虛擬技術構建的公有云的完整性和可用性是最重要，也是最關鍵的。一個有漏洞的虛擬化軟件會暴露所有的業(yè)務域給惡意的入侵者。
3．3．2 虛擬服務器
虛擬服務器位于虛擬化軟件之上。安裝虛擬服務器時，為每臺虛擬服務器分配一個獨立的硬盤分區(qū)，將各虛擬服務器之間從邏輯上隔離開來。在虛擬服務器系統(tǒng)安裝了基于主機的防火墻、殺毒軟件、IPS(IDS)以及日志記錄和恢復軟件，將它們相互隔離，并與其他安全防范措施一起構成多層防范體系。虛擬服務器選擇具有TPM安全模塊㈣的物理服務器，在啟動時檢測用戶密碼，如果發(fā)現(xiàn)密碼及用戶名的Hash序列不對，就不允許啟動此虛擬服務器。
每臺虛擬服務器之間是通過VLAN和不同的IP網(wǎng)段的方式進行邏輯隔離。對需要相互通信的虛擬服務器之間的網(wǎng)絡連接通過VPN的方式來進行。
利用各虛擬機當中的系統(tǒng)日志和防火墻日志，對虛擬服務器的運行狀態(tài)進行嚴密的監(jiān)控，是常用的而且是簡單易行的方法。

4 結束語
云計算是一種新興的計算模式。目前，云計算的應用還處于初步發(fā)展階段，要使云計算能夠更好的為廣大用戶服務，還需要進一步研究訪問控制、數(shù)據(jù)安全以及虛擬化技術方案，其中主要涉及的加密算法和網(wǎng)絡虛擬化技術，需要研究出既適合數(shù)據(jù)檢索、數(shù)據(jù)存儲，又適合數(shù)據(jù)傳輸、數(shù)據(jù)隔離的加密算法。隨著數(shù)據(jù)安全技術和虛擬化技術等的成熟，將為云計算的發(fā)展提供了良好的基礎架構保障。