云計算環(huán)境下的可信平臺的設計分析

劉強

【摘 要】 計算機技術的不斷發(fā)展使云計算技術應運而生，作為近年最有代表性的網(wǎng)絡計算技術，其普及范圍越來越廣，尤其是更多的人將計算、存儲資源選擇在云端中，但是伴隨而來的是一些網(wǎng)絡安全隱患，對此只有將可信計算技術與云計算相結合才能保障網(wǎng)絡安全，主要采取的方式是設計安全協(xié)議使云計算環(huán)境處于穩(wěn)定當中。本文正是由此開展探討，旨在強化云計算環(huán)境的安全、穩(wěn)定，并為今后相關工作提供參考建議。

【關鍵詞】 云計算 可信平臺 設計

云計算技術的基礎是虛擬化技術，其計算不處于本地計算機以及遠程服務器中，而是分布在眾多的分布式計算機上，用戶能夠通過自身需要，選擇適當?shù)挠嬎銠C或者存儲系統(tǒng)。使用云計算模式能大大節(jié)約計算成本，僅需向云計算服務商支付一定的費用就可以避免購買復雜的軟、硬件，通過互聯(lián)網(wǎng)能夠實現(xiàn)存儲以及計算。但是，在此過程中出現(xiàn)了一系列問題，例如用戶資料外泄等安全事故，同時竊聽、干擾、篡改等安全隱患普遍存在，由此可以看出云計算的發(fā)展首先就要解決這些安全風險問題。為了解決以上安全問題，可信計算TCG技術被提出，利用密碼機制建立信任鏈，從而從根本上解決安全問題。

1 可信平臺模塊的概念

可信平臺主要是由CPU、I/O、非易失性儲存器等部分組成，計算機對于嵌入式可信終端開展度量，而后記錄度量信息，除了可信平臺對于平臺完整性度量的度量和報告外，還具備加密以及用戶身份的認證。密碼生成器是可信平臺模塊中的重要組成部分，同時密碼生成器是由加密算法引擎、HMAC引擎、隨機數(shù)生成器等部分組成。首先由HMAC引擎生成隨機密碼，然后由HMAC引擎根絕實現(xiàn)數(shù)據(jù)以及命令流出現(xiàn)錯誤時的傳輸情況來確認數(shù)據(jù)的準確性。

2 建立可信平臺的必要性

當前計算模式已經從大型計算機處理轉變?yōu)榫W(wǎng)絡分布式處理，并在此基礎上發(fā)展為以需求分配的云計算模式，對于用戶來說，云計算就是一種滿足自身需求的服務，能夠讓用戶在使用虛擬資源的時候不受時間、空間的限制，同時能夠快速的處理計算問題。但是云計算技術畢竟剛被提及，目前還處在發(fā)展階段，所以不可避免的出現(xiàn)了眾多安全問題。云計算中的數(shù)據(jù)是處在云端當中，因此對數(shù)據(jù)難以實現(xiàn)完全的控制，所以服務商必須采取強有力的安全措施來保障系統(tǒng)安全，云計算安全問題基本能夠概括為以下方面：訪問控制、攻擊檢測、完整性、物理技術防范、多個子因素、恢復、實施、隱私機密性、不可否認性、安全審計。由此可見云計算安全工作具有全面性和復雜性，必須盡快解決。

3 云計算環(huán)境下存在的安全挑戰(zhàn)

首先是使用云計算技術的企業(yè)，應該注意自身業(yè)務的安全性，強化風險管理意識。其次是身份與認證管理，云計算的目的是為了使各個服務商之間保持良好的合作關系，所以應該根據(jù)服務商之間的差異做好身份與認證管理，特別是與外國企業(yè)開展合作的時候。然后是服務與終端的完整性，安全性是云計算的生命線，因此對于云計算服務的拓展應該從安全性、兼容性、完整性出發(fā)，將終端的完整性作為重點的工作目標。最后是信息保護方面，信息保護應該建立事前、事中、事后全面的信息反饋機制。然后通過不同時間段的信息采取相應的措施進行保護。

4 可信接入安全技術分析

雖然在云計算環(huán)境當中用戶能夠將數(shù)據(jù)資料存放在服務商的平臺上，便于訪問，但是這種網(wǎng)絡形式具有開放性以及復雜性，對于云計算的安全保障提出了更高的要求。從長遠來看只有解決了云計算的安全問題，才能保障云計算技術健康發(fā)展。對于云計算的可信接入也是計算機技術主要的研究目標?？v觀當前對于云計算環(huán)境的安全防護措施主要從兩方面入手：第一，在傳統(tǒng)軟件當中設置防火墻；第二，更換硬件設備以達到安全防護的目的，但是最為有效的依然是可信計算技術，其核心理念就是將改變傳統(tǒng)被動的防御模式，而采用積極主動的防護模式?？尚庞嬎慵夹g的定義為：將可信作為系統(tǒng)運轉的原則，將數(shù)據(jù)信息的通信控制在安全范圍內。其計算模型的原始架構是在私人平臺上增加隱身和信任功能，同時可信計算模型滿足分布式環(huán)境下云計算的安全需求，因此具備可行性。以往的安全接入方式包括微軟的網(wǎng)絡接入保護NAP、TCG的可信網(wǎng)絡連接技術TNC以及思科網(wǎng)絡準入技術NAC。NAP平臺的特點是能夠以校驗的方式分析接入網(wǎng)絡的安全性，對不符合標準的用戶設置權限；TNC基于可信計算技術將TPM的可信度量以及可信報告融入到網(wǎng)絡連接系統(tǒng)的建設當中，從而能夠控制網(wǎng)絡訪問；NAC能夠在系統(tǒng)接入網(wǎng)絡之前，就對系統(tǒng)的安全級別給予評價，隔離安全性不穩(wěn)定的網(wǎng)絡系統(tǒng)并且設置訪問權限。由于云計算本身的技術難度較高，所以其風險也存在復雜性，僅依靠軟件難以實現(xiàn)有效控制。因此有必要利用硬件芯片以及可信計算的技術支撐，然后建立TCB保護用戶以及基礎設施等，不僅要進行完整性度量，還要以云計算對身份以及軟件進行可行性證明。

5 云計算的數(shù)據(jù)安全研究

數(shù)據(jù)安全是云計算系統(tǒng)安全保障的核心內容，不管是何種云計算服務，都要首先保護數(shù)據(jù)，避免數(shù)據(jù)出現(xiàn)流失和被竊。對于數(shù)據(jù)安全保障的方法主要有以下幾點：第一，數(shù)據(jù)的傳輸要采取加密的方式，尤其是公共云的情況下，雖然非安全的傳輸協(xié)議難以保障數(shù)據(jù)的完整，但是能夠使數(shù)據(jù)具有保密性，當數(shù)據(jù)不處于加密狀態(tài)時，就容易發(fā)生流失和泄露；第二，由于云計算應用數(shù)據(jù)與用戶數(shù)據(jù)存儲在一起，用戶沒有專用的數(shù)據(jù)平臺，因此就容易當混合數(shù)據(jù)被訪問時，用戶的數(shù)據(jù)就會被竊，尤其是PaaS以及SaaS，把關鍵的數(shù)據(jù)信息存儲在公共云之外，能夠有效避免數(shù)據(jù)泄露，如果存儲到公共云中，則要提前做好加密措施，以區(qū)分關鍵信息與其他用戶信息；第三，云計算的儲存具有恢復的功能，當用戶刪除數(shù)據(jù)后，如果被他人恢復，同樣會造成數(shù)據(jù)泄露，因此服務商要保證用戶擦除數(shù)據(jù)之后不會有殘留數(shù)據(jù)。同時還有服務商向用戶提供的系統(tǒng)文件、數(shù)據(jù)庫記錄等，都要保證不會被他人恢復盜取信息。

6 結語

綜上所述，本文首先研究了當下云計算環(huán)境下的安全隱患，然后引申出建立可信平臺的必要性，即將可信計算技術與云計算有機結合。另外安全協(xié)議是網(wǎng)絡安全的基本保障，總的得來說將可信計算技術融入云計算當中，能夠較大程度提高云計算下的系統(tǒng)安全和穩(wěn)定。

參考文獻

[1]耿姝，劉鑫，劉榮軍，方連眾，陳剛.基于全同態(tài)加密的云計算安全方案的研究[J].中國新通信，2014（1）.

[2]朱憲超.淺析云計算中的信息安全[J].科技風，2013（23）.

[3]李建禮，夏紅.云計算環(huán)境下個人信息管理的思考[J].農業(yè)圖書情報學刊，2013（12）.

[4]吳景生.試論云計算時代的移動互聯(lián)網(wǎng)產品設計策略[J].黑龍江科技信息，2013（30）.

[5]余靜.云計算安全風險及防護體系研究[J].消費電子，2013（20）.endprint