云計算已經(jīng)急劇的改變了我們關(guān)于基礎架構、軟件發(fā)行和開(kāi)發(fā)模型的一些已有觀(guān)點(diǎn)。它的出現是革命性的進(jìn)步，因為它整合了網(wǎng)格計算中的一些元素、效用計算、以及自主計算。隨著(zhù)云計算的普及，由于一些未知的威脅隨之引入，信息安全就越來(lái)越重要了。

　　云計算是一個(gè)革新的信息系統架構，該架構應用越來(lái)越廣泛，它要求我們重新理解一些傳統的計算機相關(guān)概念。

　　隨著(zhù)云計算的普及，它所產(chǎn)生的安全問(wèn)題受到越來(lái)越多的關(guān)注。傳統的一些防御機制已經(jīng)失效，需要引入新的安全措施。最近幾年，云服務(wù)出現了很多安全事故。比如，谷歌在2009年三月份泄露了大量的文檔;微軟的Azure平臺宕機22小時(shí);2011的四月份，亞馬遜的EC2服務(wù)崩潰，影響甚大。從這些例子我們可以發(fā)現，云計算由于其多租戶(hù)的特性，發(fā)生安全事故會(huì )造成嚴重的影響。所以，解決云計算的安全問(wèn)題就顯得尤為重要。

　　1 云計算安全性

　　1.1 信任

　　云環(huán)境中的信任很大程度上依賴(lài)于所選的部署模型，因為數據和應用的管理是外包的或則委托的，所以他們并不被擁有者嚴格控制。傳統架構中，信任是通過(guò)有效的安全規則來(lái)強制實(shí)施的。公有云和社區云中，控制權被委托給了擁有基礎設施的組織。當部署一個(gè)公有云的時(shí)候，基礎設施擁有者的控制權被削弱，這樣是為了強制實(shí)施有效的安全政策，從而讓危險降低。這就引入了一系列和威脅，因為云服務(wù)基礎設備提供商是否值得信任關(guān)系到整個(gè)云中數據的安全。私有云的基礎設施被一個(gè)私有組織承諾來(lái)管理和操作，這不會(huì )引入一些額外的安全問(wèn)題，因為基礎設施擁有者同時(shí)也是數據和流程負責人。

　　最重要的是，云環(huán)境使得邊界安全的觀(guān)點(diǎn)不再適用。在一個(gè)云計算模型中，什么人在什么地方獲取什么樣的數據這些都很難被確切定位，傳統的基于劃分邊界來(lái)保證整個(gè)架構安全的方法也很難在云計算中實(shí)施。

　　本文提出了一個(gè)方法，就是在處理涉及到特別安全漏洞的時(shí)候，在云環(huán)境中通過(guò)信任和密碼學(xué)保證數據的機密性、完整性以及通訊的可靠性，因此我們要引入一個(gè)可信的第三方。對于第三方信任的概念，代表了客戶(hù)對于特殊操作、和該第三方道德素質(zhì)的信任，同時(shí)也是對于其安全系數的認可�？蛻�(hù)因為其提供了交易中的安全支持而信任這個(gè)第三方。在信息系統中的這個(gè)被信任的第三方的作用就是提供終端對終端的安全服務(wù)，這些安全服務(wù)是可擴展的，它們基于一些標準，而且適用于不同的部分、地理位置和專(zhuān)業(yè)領(lǐng)域。引入一個(gè)可靠的第三方能夠降低傳統安全邊界的丟失。實(shí)質(zhì)上，它是一個(gè)被委派的信任機構，它有責任解決多層次分布式環(huán)境中的一些安全問(wèn)題。

　　1.2 安全標準

　　實(shí)質(zhì)上，維護一個(gè)信息系統的安全涉及到識別特定的威脅和挑戰，這些安全問(wèn)題需要通過(guò)采取合適的對策來(lái)解決。云計算因為它的架構設計和特點(diǎn)展現了一些安全優(yōu)勢，這些優(yōu)勢包括安全、數據和程序段的分割，冗余和高可用性的綜合。由于其基礎設施單一的特點(diǎn)，許多傳統的危機被有效的解決，同時(shí)一些不同的安全挑戰被引入。云計算的一些獨特特性要求我們對于可用性和可靠性、數據集成、恢復，以及隱私和審記等諸多方面的評估[20]。 一般來(lái)說(shuō)，安全問(wèn)題是與機密性、完整性和可用性這些重要方面相關(guān)的;這使得它們稱(chēng)為在設計安全系統時(shí)的一些基本構造模塊。安全性的這幾個(gè)重要方面，應用于三個(gè)資產(chǎn)大類(lèi)，也就是數據、軟件和硬件資源，這些必須要得到很好的保護。云架構提出了獨特的安全挑戰，我們需要對這些挑戰加以詳細考慮。要保證云計算的安全，需要讓數據有以下特性：保密性，完整性，可用性。保密性是指只有授權的組織或系統能夠訪(fǎng)問(wèn)數據，同時(shí)能保證一個(gè)人的個(gè)人信息不被隨便公開(kāi);完整性是指資源只能通過(guò)授權的組織或通過(guò)授權的方式來(lái)修改和引用數據、軟件和硬件;可用性是指一個(gè)系統的資源在一個(gè)被授權的實(shí)體需要的時(shí)候能夠進(jìn)入并使用，它是指數據，軟件同時(shí)也包括硬件在被授權用戶(hù)需要的時(shí)候是可用的。

　　2 可信任的第三方

　　我們認為在云中雇傭一個(gè)被信任的第三方服務(wù)，將導致必要的信任等級的建立，這會(huì )提供保密性、完整性和數據通訊可靠性的完美解決方案。引入一個(gè)被信任的第三方能夠特異性地解決傳統安全邊界丟失的問(wèn)題，這是通過(guò)產(chǎn)生信任的安全域來(lái)達到的。就像Castell所說(shuō)的，“一個(gè)被信任的第三方對于電子交易來(lái)說(shuō)是一個(gè)重要的傳送商業(yè)機密的組織，這是通過(guò)商業(yè)和技術(shù)安全特性來(lái)達到的。它提供技術(shù)和法律上可靠的方法來(lái)執行、幫助、產(chǎn)生獨立的對于電子交易的公斷證據。它的服務(wù)被通過(guò)技術(shù)，法律，金融和結構方法提供和簽署�！�

　　這種基礎架構是用以下方法來(lái)保證其系統的安全性的：數字證書(shū)的發(fā)布和讓這些證書(shū)正確地匹配�？尚诺牡谌�方服務(wù)不僅由技術(shù)，還要通過(guò)法律，金融，和結構手段來(lái)提供和維護[21-22]。這種通過(guò)信任鏈(通常叫做授權路徑)來(lái)進(jìn)行操作上的鏈接，是為了提供一個(gè)形成公鑰基礎結構的概念的信任網(wǎng)�？尚诺牡谌�方基于這樣幾個(gè)方面：

　　2.1 加密

　　保證數據在網(wǎng)絡(luò )中安全地流通是一個(gè)非常難也高度復雜的問(wèn)題，特別是當數據修改和數據解密的威脅日益增加的時(shí)候。云環(huán)境增加了這種復雜性，因為它不僅僅需要保護指向云的通訊安全，還有云主機之間的通訊安全，因為它們缺乏傳統的物理連接，所以選擇有效的安全的加密方法顯得非常重要。幸運的是，PKI讓我們在為安全通訊部署IPSec[10]和SSL成為可能。實(shí)際中我們是選擇前者還是后者取決于我們多樣性的需求，前者和所有應用都兼容，但是卻需要專(zhuān)門(mén)的客戶(hù)端來(lái)加密，而后者卻存在于所有的瀏覽器里面，不需要單獨在終端安裝客戶(hù)端。因為很多云服務(wù)是通過(guò)瀏覽器實(shí)現的，所以相比之下，SSL有著(zhù)更多的優(yōu)勢。另外，對于主機——主機通訊而言，由于IPSec支持壓縮功能，而使之成為更有效率的選擇。該文建議，對于主機——主機之間的通訊使用IPSec加密，而對于客戶(hù)端——主機之間的通訊則使用SSL。

　　2.2 服務(wù)器和客戶(hù)認證

　　在一個(gè)云環(huán)境中，我們需要一個(gè)證書(shū)機構，它可以驗證參與進(jìn)來(lái)的實(shí)體，這些認證包括驗證物理基礎設施服務(wù)器，虛擬服務(wù)器，環(huán)境用戶(hù)和網(wǎng)絡(luò )設備。PKI認證機構中心負責在信任的網(wǎng)格中注冊信息的時(shí)候產(chǎn)生這些需要的證書(shū)。換句話(huà)說(shuō)，一個(gè)認證機構為所有的包含在云中的物理和虛擬實(shí)體建立必要的憑證，因此而建立一個(gè)有明確邊界的安全域。否則一個(gè)云中的實(shí)體的邊界將非常模糊。

　　因為云的普及，每一個(gè)服務(wù)都需要認證，如果不對認證機制做修改，那么，繁雜的認證過(guò)程和密碼維護會(huì )是非常令人頭疼的問(wèn)題。我們需要一個(gè)單一認證機制，這個(gè)過(guò)程可以通過(guò)Shibboleth[11]這個(gè)軟件來(lái)提供�？紤]到云中不同部分之間的通訊，我們需要一個(gè)可通用的標準來(lái)進(jìn)行它們之間數據的認證和驗證，通常，我們使用SAML，它是一個(gè)基于XML的標準。上述軟件對于SAML支持地很好。

　　2.3 生成安全域

　　通過(guò)引入聯(lián)合，加上PKI和Ldap技術(shù)，會(huì )把我們引入一個(gè)相關(guān)實(shí)體之間的有效信任關(guān)系。聯(lián)合是一組合法的實(shí)體共享一個(gè)一致同意的政策和規則集，這些規則和政策用來(lái)約束在線(xiàn)資源的使用[25]。聯(lián)合提供了一個(gè)結構和合法框架，這個(gè)框架使得不同組織之間的認證和授權成為可能。云架構可以被部署到不同的安全域(一個(gè)應用或則應用集，它們信任一個(gè)共同的，用來(lái)認證、授權或則會(huì )話(huà)管理的安全符號)中，這些域使得聯(lián)合云形成。聯(lián)合云是一些子云的集合，這些云能夠互相操作，比如通過(guò)定義好的接口來(lái)交換數據和計算資源。根據基本的聯(lián)合原則，在一個(gè)云聯(lián)合中，每個(gè)單一的云保持其獨立性，但是能夠與其它聯(lián)合的云通過(guò)標準接口互相操作。一個(gè)聯(lián)合提供結構和法律框架來(lái)使得不同組織之間的認證和授權成為可能。

　　2.4 數據的加密分離

　　云環(huán)境框架中的個(gè)人數據和/或敏感數據的保護，成為了成功部署SaS和AaS模型的一個(gè)決定性的因素。加密隔離的過(guò)程中，計算和數據通過(guò)這種方式隱藏以至于它們對于局外人來(lái)講是無(wú)形的[26]。加密和完整性，還有數據的私密性都能夠通過(guò)加密來(lái)保護。利用對稱(chēng)和非對稱(chēng)加密(通常稱(chēng)作混合加密)能夠提供對稱(chēng)加密的效率同時(shí)保持非對稱(chēng)加密的安全。

　　2.5 基于證書(shū)的授權

　　云環(huán)境是一個(gè)虛擬的網(wǎng)絡(luò )，它由幾個(gè)獨立的域組成。在云環(huán)境中，資源提供者和用戶(hù)之間的關(guān)系更加特別，而且是動(dòng)態(tài)的，他們不是在同一個(gè)安全域中，所以識別用戶(hù)常常依靠其特點(diǎn)或則性質(zhì)，而不是先前定義好的身份。這樣，傳統的基于身份的訪(fǎng)問(wèn)控制模型對它無(wú)效，訪(fǎng)問(wèn)決策需要通過(guò)用戶(hù)的特性去決定[27]。通過(guò)PKI頒發(fā)的證書(shū)能夠用于網(wǎng)絡(luò )環(huán)境下的用戶(hù)訪(fǎng)問(wèn)控制。一個(gè)例子就是擴展的X.509證書(shū)的應用，該證書(shū)攜帶了用戶(hù)的角色信息。這些證書(shū)都是通過(guò)證書(shū)授權機構頒發(fā)的，它們在全球網(wǎng)絡(luò )環(huán)境中扮演者可信的第三方角色[15]。屬性證書(shū)包含了屬性值配對以及它應用于誰(shuí)。它們由屬性管理機構簽發(fā)，這些授權的屬性已經(jīng)在一個(gè)用戶(hù)環(huán)境證書(shū)里面制定了�；�于屬性的訪(fǎng)問(wèn)控制，是基于請求者、資源和環(huán)境的屬性來(lái)做出訪(fǎng)問(wèn)控制決策的，它們提供了靈活性和可擴展性，這對于包括云在內的大尺度分布式系統是非常重要的。

　　不可避免的是，云計算將會(huì )支持過(guò)剩的信息系統，因為它的優(yōu)點(diǎn)比缺點(diǎn)要多。云計算提供了部署架構，該架構能夠解決傳統IS公認的缺點(diǎn)，同時(shí)它的動(dòng)態(tài)特點(diǎn)也會(huì )讓傳統方法失效。該文中，我們確定了云環(huán)境中一般的設計原則，這些原則源于我們控制缺點(diǎn)和威脅的需求。為了做到這些，我們使用了軟件工程和信息系統設計方法。云環(huán)境中的安全需要我們有一個(gè)系統的觀(guān)點(diǎn)，從這個(gè)觀(guān)點(diǎn)來(lái)看，安全將建立在信任之上，安全的責任轉移到信任的第三方。綜合PKI，LDAP和SSO能夠解決云計算中與完整性、機密性、可靠性以及數據和通訊可用性相關(guān)的大部分公認的威脅。這個(gè)解決辦法呈現了水平層面的服務(wù)，這種服務(wù)對于所有相關(guān)的實(shí)體都是可用的，它通過(guò)云聯(lián)合實(shí)現了一個(gè)安全的網(wǎng)格，在這個(gè)網(wǎng)格中維持著(zhù)一些很重要的信任關(guān)系。