Hi:欢迎来到ManbetX官网     

所有论文科目分类

ManbetX官网 > 免费论文 > 计算机论文 > 互联网技术 >

浅析移动云计算领域的网络安全策略研究

作者:2016-12-24 16:39阅读:文章来源:未知
  1 云计算与移动云计算
  1.1 云计算
  云计算服务,最初是由Amazon公司推出的,其提供的Elastic Compute Cloud(EC2)服务,意在将Amazon的闲置计算机资源通过按需租赁的方式,提供给用户。用户方面,通过云平台则可以像使用电力、水力一般,使用计算资源。
  云计算是一种高度可扩展的计算方式,通过这种方式,可以把集中的网络、存储、硬件、应用及服务等计算资源,按需提供给用户。其模式主要包括:基础设施即服务(IaaS),提供服务器、存储、网络等IT基础资源,该层部署云平台的硬件设施,及其上的虚拟化应用平台即服务(PaaS),提供了软件的编程框架与环境,负责开发工具、中间件、数据库、调度与管理等任务;软件即服务(SaaS),提供在线应用程序服务,包括行业、业务及工具等相关应用。在云计算模式下,用户无需在购买某种硬件、系统及软件资源,所有的IT资源均能从供应商那里按需购买。
  1.2 移动云计算
  紧随移动互联网的发展与普及,云计算最大的转变将是云端从PC蔓延到掌上。这也意味着,人们共享信息的方式越来越倾向于更小、更便捷的智能手机、PAD等移动设备。但也正由于小,这些设备也存在着容量小、计算能力少、电池电力有限、与PC设备共享数据效果差等不足。于是,人们试图将云计算的优点也赋予到移动设备上,移动云计算由此诞生。
  移动云计算,是指通过移动网络以按需、可扩展的模式获取所需的网络、服务器、存储、应用和服务等IT资源,提供到移动设备的一种交付模式,是云计算和移动互联网相互融合的产物。是即云物联、云存储、云游戏后的又一云计算技术的重要分支。移动云计算的运用,可以解决移动掌上设备能力不足的问题,使其“富便携化”的效果,即把贫瘠的便携设备能力变得富足。
  移动云计算的生态架构可以分为三层:云层、管道和终端,即“云-管-端”,其架构,如图1所示。云层,是指提供基础设施、平台、应用等服务的一个云资源池,也就是广义上的云计算。管道,是指实现终端和云层之间信息传输的一条通信管道。若是公有云,这条管道是指通信运营商所提供的通信网络,若是私有云,则是指所属机构内部的通信网络或虚拟专网。终端,是指享有云服务的移动终端,可包括手机、平板电脑、车载电脑和无线POS机等具备信息交互功能的移动设备。
  2 移动云计算安全概述
  2.1 移动互联网安全问题
  2015中国反病毒大会,即第十四次全国计算机病毒和移动终端病毒疫情调查发布会上,发布了国家计算机病毒应急处理中心最新完成的一份调查报告。调查结果显示:移动终端的安全威胁和病毒感染率都呈现出了明显地上升的趋势:2014年,88.7%的被访者遭遇过网络安全事件,相比2013年增长了37.5%;移动终端的病毒感染比例占31.5%,与2013年相比增长了5.2%。此外,据《2015年上半年中国互联网移动安全报告》统计,2015年上半年手机病毒出现爆发式增长,病毒软件新增数量达到127.31万个,环比增长240%;全国用户累计感染量达到1.85亿人次,环比增长10%;Android安全形势持续严峻,新增Android病毒包数596.7万,同比增长1741%。
  其中,漏洞危害包括远程控制、系统破坏、隐私泄露、数据破坏、财产损失、盗版横行等多个方面。可见,移动云计算所面临的安全形势是非常严峻的。
  2.2 移动云计算安全的概念
  云计算技术是集分布式计算、网格计算、效用计算、虚拟化、负载均衡、多租户等多种技术相集合的产物。因此,云计算所面临的安全问题也更加严酷。云计算安全策略是集身份认证、访问控制、加密技术、传输安全、安全日志与审计、事件日志与安全审计等整体安全策略,及IaaS、PaaS、SaaS分层安全策略相结合的安全策略。
  移动云计算,是云计算的一个重要分支。因此,移动云计算安全策略是一套安全防护技术的集合,需要在继承云计算安全防护技术的同时,结合移动云中“终端”“管道”安全技术,并相互融合的一整套安全策略。
  3 移动云计算安全策略
  3.1 移动云计算云层安全
  移动云计算架构中的云层,实际上就是指得广义上的云计算。在这一层需要考虑的安全策略包括整体安全策略及IaaS、PaaS、SaaS各层的安全策略。
  3.1.1云层的整体安全策略
  身份认证与访问控制。身份认证是指在网络中对用户实体的身份进行确认,最常见的一种方式就是通过使用账号和密码来登录终端系统。访问控制是在身份认证的基础上,按照授权来对用户的访问加以约束,其主要是为了检测与防止越权访问,并对资源予以保护。云计算模式下的身份认证、访问控制是需要在传统技术上加以增强的:首先,采取自助、自管、自动化的方式对用户生命周期进行管理;第二,提供多用户、多服务的集中式访问控制,保证一致的安全策略;第三,使用多因素、密文口令等方式来验证用户身份;第四,基于轻量目录访问协议进行统一身份认证,且支持单点登录。加密与密钥管理。加密技术主要是用来隐藏需要传递的数据信息的技术,是保证云计算中信息安全的基础。经典的密码算法有两种:第一种是对称密钥体制,即加解密时采用相同密钥。第二种是非对称密码体制,即加解密时采用不同密钥,一般公钥用于加密,私钥用于解密。此外,还可通过私钥加密、公钥解密的方式实现数字签名,以验证信源的真实性。密钥管理的方法包括:密钥生成、密钥与身份的绑定、密钥分发、密钥维护和密钥的存储等。云计算环境中,用户应先对数据进行对称加密后,再传送到云端。当云端接收数据后,应使用增强的、组合的加密技术再对元数据进行加密,以保护用户信息。此外,云端还必须提供一个统一、弹性的密钥管理架构;并通过随机密钥、内存清洗、磁盘控制器密钥加密、避免从网络启动密码等措施,来保障云端密钥的有效管理。
  传输安全。在云环境中,边界是无形的、动态的,可以采用VPN(虚拟专用网络)技术和安全套接层协议(SSL),来保障云计算环境下的传输安全。VPN技术的过程为:先建立公网传输的链接;接着,将用户数据封装完毕;最后,再通过隧道进行传输。隧道支持二层封装协议(PPTP、L2F等),和三层封装协议(IPSec、GRE等)。其可以结合加解密认证、密钥交换及访问控制等技术,来确保数据传输安全性。SSL主要分为两层,第一层为SSL记录协议,提供数据加密、压缩、封装等功能,第二层是SSL握手协议,实现身份认证、密文磋商、密钥交换等行为。云环境中的传输接口可以采用SSL方式,而数据通信安全可以通过VPN和SSL结合起来使用。
  事件日志与安全审计。云计算的事件日志是主要用来记录云基础设施、平台环境及应用程序的所发生重要事件,事件日志可以分为三类:操作日志、云系统日志及安全日志,操作日志用以记录云系统中的用户、管理员、运维员的操作行为,云系统日志用以记录三层云的运行情况,安全日志则用以记录陌生账户多次尝试登录、正常用户的屡次异常行为等安全事件。安全审计则是通过对所关注的事件日志进行记录、跟踪及分析来实现的。在云计算多模式的情况下,需要对安全事件进行整合管理,以便及时地对安全事件进行响应。
  灾难备份与恢复。云环境需确保在遭遇天灾人祸时,仍可以提供持续的服务,数据信息也能被迅速的恢复过来。首先,应实现服务的迁移,即建立多个备用站点,以便主节点发生故障时的切换。此外,还应实现数据迁移,支持数据的多备份、异域备份和离线备份。
  3.1.2 云层的分层安全策略
  1) IaaS层安全
  物理安全,云环境中需要保障数据中心的机房环境、线路、电源等安全。主要可以采取安全体系、摄像监控、定时巡逻、预警监控、异常报警等措施。基础设施安全,云端的基础设施主要是由服务器、存储、网络等硬件设备构成,是保障云计算模式整体安全的基石。对于服务器安全方面,需要考虑设置主机防火墙、访问控制策略、基于主机的入侵检测防御,及异常行为监控等措施。在网络安全方面需要考虑设置网络防火墙、安全审计、恶意代码防范、基于网络的入侵检测防御等策略。对于存储设备方面应考虑设置备份服务器等。
  虚拟化安全,该层是通过虚拟化技术将物理基础设施映射为服务器虚拟化、存储虚拟化、网络虚拟化等虚拟资源。
  (1) 服务器虚拟化。服务器虚拟化就是将物理主机虚拟成一台或多台的虚拟机,实现硬件资源与虚拟资源的解耦,及多台虚拟机之间的隔离。在服务器虚拟化方面,VMM是一个核心部分,必须制定其自身严格的安全机制,需涉及的内容包括:采取用户认证制度,使用高难度口令,降低侵入威胁。采用最小化服务方案,严格控制各个虚拟机的接口,关闭空闲的服务端口。启动随机内存策略,使虚拟化内核、应用处于无法随机调度的内存地址中,避免遭受恶意代码攻击导致内存溢出。开启内核完整性检验,使用数字签名来确保数据来源的真实性,以确保虚拟化加载模块与应用的完整性。
  (2) 网络虚拟化。网络虚拟化一方面是指通过传统的VLAN或VPN等技术,来实现虚拟专用网络;另一方面是指对网卡、交换机、网络接口等网络设施进行的虚拟化,使用这种方式,就能够使虚拟机中的虚拟网卡,通过虚拟接口连接虚拟交换机上,虚拟交换机又可以通过物理的网卡接入到物理交换机上。这样一来,虚拟交换机就可以在虚拟服务器与实际网络之间形成无缝链接。网络虚拟层面的安全防护策略主要有:采用虚拟交换机,VLAN等虚拟架构容器划分逻辑分区、实行集中管理及边界防护,并设置防火墙策略。开启虚拟交换机的虚拟端口流量限制功能,并禁止虚拟机端口使用混杂模式。对虚拟网络进行监控、审计,以便及时发现异常。
  (3) 存储虚拟化。存储虚拟化是指在将磁盘、光盘、磁带等不同存储介质资源进行整合,打破多种不同存储实体之间互不兼容的局限,虚拟化为统一的逻辑存储池。值得注意的是,存储虚拟化和虚拟存储是两个概念,前者是指通过虚拟层,对不同种类存储资源的整合,使其使用便捷、易于管理,它并不能对存储能力和容量进行扩展;而后者则是指借用磁盘资源对内存容量进行扩展的一种方法。存储虚拟层需要采取的安全策略应涉及:采用磁盘锁,保障多个用户同一时间访问一个虚拟机。对数据存储采取备份策略,对用户存储在虚拟存储系统中的数据,使用多份备份,且分别放置在不同的物理位置上。采取设备冗余策略,当硬件设备发生故障时,可以保障存储虚拟容器使用其它设备进行挂接。需建立存储虚拟系统的灾备、容错机制,保障在发生误操作、节点失效、天灾等事件是的灾难恢复。
  2) PaaS层安全
  分布式文件系统的安全。分布式文件系统是通过计算机网络,连接各个分散的存储节点,并实现不同节点数据信息和存储空间的资源共享系统。分布式文件系统通常是由主节点、从节点组成的,主节点上存储的是文件系统的元数据。为确保数据的可用性,这些节点数据的副本都会被保存在不同的机架服务器上。在分布式文件系统中应构建的安全措施有:设置主备和辅备服务器对文件系统服务器进行备份,以应对文件硬件的宕机与故障;采用备份存储方式来确保数据可靠性,备份数据在系统中至少应有三份以上;应保证多用户并访问时,文件系统的承受能力,设置预警线,保障硬件设施的动态扩展及频繁增减;需要提供统一的、透明的界面供用户时候,还需要确保用户数据的独立性,并保证数据冲突时的恢复机制。
  3) SaaS层安全
  多租户安全。是一种实现多用户共同使用软件、系统的一种软件架构。在使用时,应采取物理或虚拟方式来实现隔离,以确保多租户的隐私安全。应用安全。要不间断地维护用户权限列表、访问Session等访问控制权限,另外还应,确保应用程序的服务器正常运行、访问通畅和安全性。
  3.1.3移动云计算管道安全
  移动云环境中的管道,是整个移动云计算架构中的中间环节。第一,移动终端设备各式各样,并存在多种的接入方式,如Wi-Fi、WiMax、GPRS、3G、4G等,因此,在接入移动设备时,应具备统一的应用服务接口。第二,还需采用阻塞点安全策略,在建立统一服务接口的同时,要设置一个通信窄道,如防火墙、安全网关等,以迫使攻击者使用这个窄道,达到对其实施控制与监视的目的。同时,在窄道的位置,还可以部署数据内容的过滤装置,对敏感信息进行发现及甄别,还应实现对HTTP、FTP、SMTP、POP3和即时通讯等各类网络协议内容的过滤功能。此外,在进行数据传输的过程中,应确保通过管道的数据包都是经过加密的,同时当数据包通过管道时,管道对各个用户的数据包可进行一次封装,每个数据包产生一个随机的密钥,而破解该密钥的方法只有云服务商才知晓,采用多重加密机制的组合,以防止遭受截获、中断、篡改、伪造等主动和被动攻击,确保传输管道的安全和通畅。
  3.1.4 移动云计算终端安全
  在移动终端设备的安全方面,首先,其安全防护的重点是移动设备的控制权限与系统权限。终端在成功接入移动云环境之前,必须采用身份强制识别,身份合法准入,非法阻止,校验口令也应采取隔时更新的安全策略,这样就可以有效防止账号被盗后的越权行为。其次,用户也不应随意安装陌生的移动应用程序。同时,移动云服务商还务必提供可靠的移动云安全应用软件,对用户的某些不安全的操作进行限制,实时地防范用户自身未发觉的一些危险行为,以及时监控终端设备使用的安全状况。第三,移动云安全软件还应融合P2P技术、网格计算、并发处理、病毒预判等多方技术手段,支持对其所有移动客户端中的应用软件行为进行异常检测,以获取木马、病毒及恶意程序的最新数据,并传送到云端实施分析与处理,再把安全解决方案分发到各个移动客户端,这样就能有效地保障终端的使用安全。
  4 结束语
  毋庸置疑,作为云计算和移动互联网两项技术的融合,移动云计算瞬间迸发出了闪耀的光芒。但紧随而来的还有一系列新的网络安全问题,为解决这些问题,必须结合现有多种安全技术的成功经验,贯彻“安全即服务”的理念,并集万家之力将其推向成熟化、系统化、标准化、规范化。
 

最近相关

最新更新

热门推荐

[音乐舞蹈]谈武术与舞蹈共同发展之路
自古以来就有舞蹈与武术同源近根的说法,但是至今为止,由于关于武术与舞蹈起源的问题一直缺乏可以证实的材料,众多学者也...[全文]
[近现代史]十八届六中全会公报在我市广大党员干部中引起强烈响应
10 月24 日至27 日,党的十八届六中全会在北京举行,全会审议通过《关于新形势下党内政治生活的若干准则》(以下简称《准...[全文]
[文学理论]浅析民间美术造型元素的现代审美
我国民间美术的发展历程已经延续了数千年之久,民间美术属于民间传统文化的重要构成部分之一,并备受社会各界的广泛支...[全文]
[文学理论]浅析普通高校公共艺术教育的课程体系研究
一、引言 公共艺术课程是为培养社会主义现代化建设所需要的高素质人才而设立的限定性选修课程,对于提高审美素养、培...[全文]
[文学理论]浅析应用型人才培养模式下的文学理论类课程教改探索
近年来,以二、三本院校为主的应用型本科教育普遍重视实践教学,强化应用型人才培养,将实践教学作为培养学生实践能力...[全文]
[文学理论]浅析散文翻译中的美学问题
散文的定义可从广义和狭义两方面来说,广义上讲,散文是一种与诗歌相对的文学体裁 ;从狭义上来说,是一种与诗歌、小说...[全文]
[文学理论]浅析色彩心理应用对品牌建设的重要性
0 前言 对于 CI 设计,有些人还不熟悉,事实上CI对企业品牌的塑造起到积极的推动作用。CI作为企业形象战略,有其不可低估...[全文]
[文学理论]浅析色彩艺术的心理效应研究
色彩在艺术家的手中,不仅是单纯的描绘与填充工具,而是表达艺术家内心世界的重要表现形式。这种心理的表达描述着人们...[全文]
[文学理论]边缘文化身份下的杜拉斯自传体小说研究
摘要 作为法国最具有争议的女作家玛格丽特杜拉斯,无法归类是杜拉斯最为明亮的一个标签,这一标签闪现出了杜拉斯的边...[全文]
[文学理论]浅析少数民族宗教艺术的社会美育系统
一、 少数民族宗教艺术的美学表现 (一) 少数民族宗教建筑的美学形式少数民族宗教建筑艺术的美学表现指宗教建筑的形体视...[全文]
[文学理论]浅析社会转型期传统民间美术的现代变迁
在我国恢弘、悠久的民族文化中,民间美术以其多姿多彩、种类繁多而占有重要的位置,是一切美术形式的源泉。中国民间美...[全文]
[文学理论]浅析生活用品在装置艺术中的运用
极简主义将传统艺术带进了死胡同,艺术家们开始探索艺术新的发展道路,干脆摈弃传统架上绘画的创作材料,直接以身边的...[全文]

热门标签