引言

    云計算的商業前景巨大，許多與移動互聯網相關的企業都提供各種云計算服務。將云計算引進到移動互聯網，將會導致移動互聯網體系結構的一系列變化和產生許多新的安全問題，如跨域數據安全和隱私保護、虛擬運行環境的安全性和跨域安全的監控等。為了應對這些挑戰，研究相關的安全風險和設計一個云計算的安全架構將變得非常有必要，它可以為云計算在移動互聯網上的成功應用奠定基礎。

    在分析了當前云計算的安全風險和安全架構的基礎上，本文設計了一個移動互聯網上的具有多層次、彈性、跨平臺和統一用戶界面的云計算安全架構，它基于軟件即服務準則(SaaS)和移動互聯網的內部特征：如多接入模式，不同的經營企業和不同的用戶安全需求等。

1 相關工作

    移動互聯網上的云計算服務是一項復雜的系統工程，面臨著各種安全威脅，迫切需要研究和設計特定的技術抵抗和防御這些威脅。云計算安全架構是一個關鍵點，許多研究者和企業都對此進行了分析和開發了各種相關系統的安全框架。

    Windows Azure是微軟公司的以云計算為基礎的操作系統，Windows Azure主要作用是給開發者提供開發平臺，以便輔助開發可在數據中心、云服務器、Web和PC上運行的應用程序。云計算開發者可以用微軟全球數據中心的計算能力、儲存和網絡基礎服務。Azure平臺主要包含了以下組件：Windows Azure；Microsof／．Net服務，Microsoft SQL的數據庫服務；用于儲存、分享和同步文件的Live服務；針對商業的MicrosoftSharePoint和Microsofi Dynamics CRM服務。

圖1 移動互聯網上的云計算安全架構

    Amazon EC2(Elastic Compute Cloud)是一個讓用戶可以租用云電腦運行所需應用的系統。EC2借由提供web服務的方式讓用戶可以彈性地運行自己的Ama—zon機器鏡像文件，用戶將可以在這個虛擬機上運行任何自己想要的軟件或應用程序。

    云安全聯盟CSA于2609年在RSA大會上成立。然后。CSA很快獲得了業界的一致認可。現在，CSA與ISACA、OWASP等組織都建立了合作關系，許多國際上的領袖公司都成為了其會員。2009年12月17日，CSA還發布新版的《云安全指南》v2．1，這標志著云計算業界對于云計算及和安全保護認識的又一次重要升級。

    Jericho Forum首先提出了云立方體模型，它非常形象地描述了現有云產品的各種排列組合，他提出區分云從一種形態轉變成另一種形態的四種準則，維度。

    上文所闡述的云安全架構考慮到了現有云計算平臺中所有層的安全威脅(主機系統層，網絡層和網絡應用層等)，并制定一些總體性框架。

    但他們不能滿足移動互聯網的特殊應用需求。如何構建移動互聯網的云計算安全體系結構仍然是一個開放的問題。

2 移動互聯網上的云計算安全架構

    2．1設計目標

    基于安全服務準則，本文的安全架構的設計目標如下：

    ·確保移動互聯網上不同用戶的數據安全和隱私保護。

    ·確保虛擬化云計算平臺運行環境的安全。

    ·根據不同要求，提供量身定制的安全服務。

    ·實現云計算運行平臺上的風險評估和安全監控。

    ·確保云計算基礎設施的安全和構建可信任云服務。

    ·保障用戶私人數據的完整性和保密性的基礎。

    2.2安全架構設計

    在分析了當前云計算的安全風險和安全架構的基礎上、并考慮到移動互聯網的特征，本文所設計的多層次、彈性一、跨平臺和統一用戶界面的云計算安全架構如圖1所示。

    第一，該架構包含了一組云安全應用服務資源郎:隱私數據保護，密文數據查詢，數據完整性驗證，安全事件預警，內容安全服務。

    第二，為云計算的虛擬化設計了一組云安全平臺服務資源，由被隔離的虛擬機，虛擬機安全監測，虛擬機安全遷移和虛擬機安全鏡像所組成，并在不同平臺之間使用虛擬技術，如不同的操作系統。

    第三，根據不同用戶的不同安全要求，安全架構提供不同安全級別的云基礎設施。

    第四，一個統一的云安全管理平臺是為用戶管理、密鑰管理、授權、認證、防火墻、防病毒、安全記錄、預警和審計等而設計，它通過所有的層來發揮效果(云安全應用、云安全平臺和云安全基礎設施)，并實現整個系統的跨安全域的運行和維護的集中管理:包括不同的安全域和多個安全級別。

    第五，考慮到接入模式的多樣性(2G/3G/4G， WiFi和WiMAX等)，該安全架構提供統一的云安全應用服務接口，如手機多媒體服務、手機電子郵件、手機支付、網絡瀏覽器和移動搜索等，結合定制的安全服務即隱私數據保護、密文數據查詢、數據完整性驗證、安全事件預警和內容安全服務等。

    第六，本文所建議的架構包括與云安全標準一致的符合性檢查和受信第三方所提供評估法規。在云服務提供商的應用軟件部署之前，必須由第三方可信任評估機構對此進行測試和評估，以便評估在移動互聯網環境中的安全風險和確定信任級別，這樣云用戶才可避免不必要的損失。云服務安全級別的測試和評估可應用于市場準人，這就迫使云服務提供商提高服務質量和安全意識。

    2.3關鍵技術

    對于云用戶來說，存在遠程集中管理多用戶私人資源和開放的計算環境之間的尖銳矛盾。最基本的一點是，用戶資源的隱私性和信心要求應用程序是相對固定和穩定的，但是計算環境的開放使得隱私數據面臨著多方安全威脅。可以說，云服務提供商和客戶之間的信任是云計算可否被推廣的關鍵點，而且，數據安全和隱私保護是在云計算安全中非常重要。處理這些問題的主要技術與密文存儲和查詢、數據集成驗證和在多用戶環境中的隱私保護機制等方面相關。

    云計算平臺必須統一安排和部署計算資源，以實現硬件和虛擬資源的安全管理和訪問控制。因此，它是云計算安全的關鍵項目，可以確保虛擬化的運行環境的安全，它包含安全監控虛擬機、虛擬機遷移、虛擬機隔離和鏡像等。

    各種不同的服務模式，所有的VM由種族隔離造成的安全隱患，例如，內存越界訪問、在不同安全域的虛擬機控制管理和虛擬機之間的協同訪問控制等。

    某些類型的安全風險和運行在虛擬機上的程序是否符合用戶的需求有關，例如，運行環境的安全級別是否符合要求，運行流是否正常。預警和安全檢查功能包括:安全策略管理，系統日志管理和審計策略管理等。

    移動互聯網中的云計算是一種多源異構服務，并存的運行環境，同時實現安全的服務定制和安全自適應，以滿足多用戶的不同安全需求。

    為了支持在移動互聯網環境中云計算的安全訪問，云計算安全架構也需要云計算平臺運行時的風險評估和安全測試，并支持第三方的安全審計等。移動互聯網上的云計算安全監督體系負責安全監控移動互聯網的內容、在云計算基礎上的早期預警和防御攻擊，此外，負責保障措施的審計和實現云服務安全。

3 總結和展望

    本文設計了一個移動互聯網上的具有多層次、彈性、跨平臺和統一用戶界面的云計算安全架構。該架構為客戶提供的云服務安全級別可以適應各種用戶的不同需求。該架構可以依據實際需求而靈活得搭建和實施，它幾乎可以無縫地整合不同的操作系統和異構網絡，并為媒體終端用戶提供統一的操作模式。今后的工作是在細節上研究安全架構每一組成部分，詳細分析和設計相關的不同層次和模塊之間的接口，最終為驗證理論和積累實際經驗而設一個原型系統。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：移動互聯網中的云計算安全架構

本文網址：http://www.guhuozai8.cn/html/consultation/1083977006.html