背 景
随着云计算规模的不断扩大,云的安全问题也越来越受到人们的关注,云是一个开放平台,使得它容易受到不断演变的恶意攻击。其中存储数据的安全性、访问管理、数据利用率管理和信任是云计算的主要安全方面。
传统的分布式体系结构通过实施安全策略来维护信任。然而,在云部署模型中,数据和应用程序控制是通过委托进行的,因此对传统的策略实施方式带来了许多挑战。
提高云计算安全性的一个特别有效的方法是使用加密方法。由于计算效率和相关约束的限制,传统密码技术尚未在基于云的环境中被广泛使用。
在云计算中,数据确认和用户身份验证是相互关联的,保护用户帐户不被滥用是控制对基于云的资源(如对象、内存、设备和软件)访问的一个重要抓手。
云计算提供了组织形式的加密方案,该方案可提供高水平安全性,但它们需要高效的实用程序,需要冗长的计算;因此,需要通过提供软件安全解决方案以开展更高效和可扩展的业务。
加密身份验证解决方案有助于促进安全的资源利用。然而,根据云部署模型的不同,密钥管理(分配、分发和撤销)必须高效且可大规模管理。
挑战和问题
应用程序在云中存储和处理数据,用户访问数据的目的多种多样,如简单存储或分析(见图1)。由于云计算操作的可靠性取决于安全策略(访问控制、数据加密等)的实施,因此必须解决安全弱点和缺陷。
安全和保护隐私的云计算带来了技术、法律和管理方面的挑战。我们这里的重点是技术问题。安全性、确认性、完整性和可用性的主要方面必须在客户端连接和服务器端解决。这三者都在共享环境中运行,并且都是共享环境的一部分,因此必须将它们的安全性和隐私要求结合起来。云安全的重要性已经得到了广泛的认可,如云安全联盟(https://cloudsecurityalliance.org)。
云服务有三种基本模型:软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。尽管这些模型有很大的不同,但它们有许多与安全和隐私相关的问题。
图1 保护云以进行数据利用率管理
1、公共和私有云
云计算通过互联网访问资源。公共云由专门的服务提供商运营,并且在大多数情况下实现多租户环境。私有云由组织运行,服务不共享,它们作为单租户环境运行。在某些情况下,私有云由公共云服务扩展,从而创建混合云。
远程访问资源是云计算的一个基本部分,可以完全通过公共网络或(可能是虚拟的)私有网络进行连接。因为远程访问技术已经存在了一段时间,所以有许多解决方案可以保护传输中的数据。传输层安全(TLS)可以说是最流行的协议,它通过加密保护数据机密性,通过证书提供服务器端和客户端身份验证。TLS是从安全套接字层(SSL)协议发展而来,仍然提供向后兼容性,然而SSL版本已不被认为是完全安全的。
2、服务器可用性
由于技术的发展,主机已经提供了高可用性,网络已经成为瓶颈。繁忙网络中的数据交换可能很慢,而对网络的攻击(如拒绝服务(DoS)攻击)可能会阻止对重要资源的访问。在使用Web时,协议的无状态特性需要新的解决方案来保持所需的可用性级别。
3、多租户服务
与任何共享服务一样,租户之间并不是完全孤立的。许多云服务提供商提供不同级别的服务,并使用虚拟化来分离客户端,包括共享虚拟机或将虚拟机分配给单个用户。不过,一个用户的工作模式可能会影响同一服务的其他用户。例如过度使用或锁定资源是影响服务可用性并可能导致DoS攻击的常见问题。
云服务的最终用户在异构环境中工作,云服务提供商对其设置几乎没有影响。用户可以在几乎没有保护的网吧中使用这项服务,也可以在防火墙保护良好的环境中使用台式计算机。但是,一个用户的环境可能会影响服务器和其他用户。恶意软件可以通过服务器传播、感染应用程序,并转移到其他客户端。虚拟环境在虚拟机之间提供的保护比在机器内部提供的保护更多,但它们仍然不能确保完全隔离。
4、数据存储
用户的主要担忧之一是他们无法控制数据的位置或存储方式。用户所依赖的服务对他们来说是不透明的,关于服务器操作的任何信息都不会泄露。虽然这可以通过隐蔽性提高安全性,但也会破坏用户信任。
数据保留也是用户关心的问题。云服务提供商可能会将删除的数据保留在备份中,或者出于某些未发布的原因。例如,Facebook保留删除的数据,但将其从视图中删除。当服务终止时,同样的问题也适用。
5、访问控制
大多数云系统包括基本的访问控制。几乎每个系统都有特权用户,例如对用户数据具有无限制访问权限的系统管理员。当数据或流程通过云外包时,可能会将敏感数据或流程移交安全保管。在本地环境中,用户知道他们信任谁,但在云环境中,用户很少知道云服务器的位置、服务器端管理它的人员以及通常谁可以访问它。
内部威胁尤其令人担忧,因为此类攻击可能导致巨大的损失。恶意员工可能造成重大伤害,但即使是疏忽也可能通过允许外部攻击者获得内部特权而造成损害。云服务是犯罪分子极具吸引力的攻击目标,因为成功的攻击可以产生大量信息。攻击可以从不适当地访问信息到泄露或更改个人数据。隐私泄露本身可能造成损害,但发布或伪造个人信息可能造成更严重的损害。
6、身份保护
互联网传播的数据提供了关于人的有价值的信息。搜索关键词、银行卡使用情况和移动模式等等,可以用来从假定匿名的数据中识别和跟踪个人的信息;攻击者还可以利用此信息进行攻击。云服务提供商几乎可以不受限制地获得相同的数据。例如,一些云服务提供商的商业模式包括基于监控账户流量或存储在用户账户上的数据的定向广告。
通过分析用户,可以更容易地确定客户的兴趣,这有助于有针对性的推送广告和营销。数据挖掘通常是在客户明确同意或不同意的情况下,对云中存储的数据执行的。虽然如果执行得当,这可能不会侵犯客户的隐私,但这肯定是客户需要注意的一个方面。
解决办法与趋势
1、使用同态加密保护云
同态加密允许对加密数据(也称为密文)执行计算,从而生成加密结果,当解密时,加密结果与对原始数据(明文)执行的相同操作的结果相匹配。这对于将加密数据外包给云的应用程序来说是一个主要优势。
同态加密在许多应用中都很有吸引力,但它有一个严重的局限性:同态属性通常仅限于一个操作,通常是加法或乘法。同时具有加法和乘法同态特性的方法使我们更接近实际应用。Ronald Rivest和他的同事在1978年5以隐私同态的名义引入了完全同态加密的概念,但直到2009年Craig Gentry才提出了完全同态加密(FHE)方案。Gentry的方案允许对加密数据进行任意数量的加法和乘法运算,同时确保结果正确反映在解密数据中。
2、保护隐私的数据挖掘作为云服务
近十年来,人们对数据挖掘服务越来越感兴趣。缺乏数据存储、计算资源和专业知识的公司(数据所有者)将其数据存储在云中,并将挖掘任务外包给云服务提供商(服务器)。毫无疑问,数据挖掘为满足商业需求提供了宝贵的服务。然而,它也带来了严重的隐私问题,因为服务器可以访问公司数据,并可以从中了解商业秘密。
为了保护公司的数据隐私,同时使服务器能够对云中的数据进行关联规则挖掘,一个天真的解决方案是,数据所有者通过用唯一的数字替换项目(相同的项目被相同的数字替换,不同的项目被不同的数字替换),来隐藏其事务数据库中项目的含义。这种一对一的替代方法不会隐藏项目的频率。如果服务器有一些背景知识(例如,关于某些项目频率的信息),它可以重新识别它们,特别是最频繁的项目。
为了防止基于背景知识的攻击,WaiKit Wong和他的同事提出了一种一对n项映射,它可以不确定地转换事务,其基本思想是在事务数据库添加假项目。然而,虚假数据的制造降低了数据分析的准确性,并且所提出的方法有两个可以利用的弱点。首先,每个假冒商品被添加到每个交易中的概率相同,因此当交易数量较大时,假冒商品出现的频率相似。第二,伪造物品被添加到交易中,与已经存在的物品无关,因此,每个假冒商品都独立于所有其他商品。Ian Molloy及其同事对Wong及其同事的算法提出了一种基于频率分析的攻击,通过检测项目之间的低相关性,攻击可以删除独立添加的假项目,并且成功地重新识别了一些最频繁的项目。
3、分布式访问控制
分散管理是云部署模型的一个显著特征。访问控制执行的权力下放是可取的,在集中式解决方案中,对多个云域上的大量用户的访问控制必须处理维护大量复杂的授权规则。
4、可靠的凭证管理
健壮的身份验证在访问控制中至关重要:授权被授予经过身份验证的用户。其中一个重要方面是身份凭证的管理,联邦身份管理被认为是开放系统(如基于云的协作系统)的有效解决方案,其可靠的身份管理对于确保可靠的数据利用率管理至关重要。
总结与展望
大量数据托管在云中,云提供商必须向所有用户保证其真实性和完整性。验证多源数据的原点是一项挑战。当数据以高速承载(例如来自数百万传感器的数据)时,当大量用户需要更具可扩展性的解决方案时,随着时间的推移保持完整性将面临更大的挑战。对于这个问题,需要研究基于来源的解决方案和基于图形的大数据完整性验证模型。
最近,加密解决方案作为安全数据存储和访问控制的可行解决方案越来越受欢迎。一些加密技术在安全性、效率和可伸缩性方面具有吸引力,高级加密方案(如同态加密)以沉重的计算开销为代价确保了强大的安全性。未来,在云部署模型和应用于特定程序的需求方面,我们还需要就提高效率和可伸缩性开展更多的研究工作。
参考文献
Z. Tari, X. Yi, U. S. Premarathne, P. Bertok and I. Khalil, "Security and Privacy in Cloud Computing: Vision, Trends, and Challenges," in IEEE Cloud Computing, vol. 2, no. 2, pp. 30-38, Mar.-Apr. 2015, doi: 10.1109/MCC.2015.45.
