计网安全笔记.docx
《计网安全笔记.docx》由会员分享,可在线阅读,更多相关《计网安全笔记.docx(8页珍藏版)》请在冰豆网上搜索。
计网安全笔记
计算机网络安全技术
读书笔记
姓名:
冯玉平
学号:
1203210014
班级:
计研12
云计算环境下的访问控制的研究背景及概况
1、论文的研究背景以及意义
“云计算”的概念首次被提出在2006年8月9日一次搜索引擎大会上,一个叫EricSchmidt(谷歌的CEO)的人提出的。
自此之后学术界对云计算的理论研究也越来越多,各大企业也都在努力的对云计算进行实现,如今,云计算已经成为家喻户晓的概念,但是对于云计算,目前业界对其还没有一个清晰明确的定义。
云计算作为一个新兴的网络服务商业模式,是传统计算机技术以及各网络技术发展融合的产物,如:
分布式计算、效用计算、网络存储、网格计算和虚拟化技术等。
在某种意义上,云计算是对这些计算机科学技术概念的泛化和商业化。
但总的来说,在云计算的环境下,超大规模的计算资源和存储资源通过互联网被整合在一起,使用户不但可以像使用水电一样按需使用“云”中的各种资源,而且“云”中的各种资源可以随意扩展,随时获取。
云计算的优点
用户将可以大大地减少在软件以及硬件的维护和升级上的投入,未来所有数据及资源将会以托管的方式存储在“云”端服务器中,用户只需要根据自己的需求和个人爱好来定制相应的应用及服务资源,“云”端服务器可以根据用户的需求部署相应的服务资源及应用。
对于用户来说,用户不用关心他所需要的资源是存放在哪里,是如何部署的,当用户把自己的需求告诉给云之后,剩下的工作全部交付给“云”,由“云”来完成,并将结果返回给用户。
云计算的缺点
正是由于云计算带来的如此诸多的优越性,现在越来越多的用户开始使用云计算,而且还有许多用户正在打算使用云计算技术。
但是,也存在着大量的用户对云计算使用与否犹豫不决,其原因在于这些用户对云计算安全问题的担忧。
例如:
“云”端开放的API(应用接口)给非法访问提供了可能,而且由于用户对存放在“云”端的数据及资源的确切位置无法知晓,失去对这些资源的控制,数据的机密性和完整性会遭到巨大的威胁,一旦用户和企业的机密数据遭到泄露,将会给用户和企业造成巨大的损失。
Gartnerti]&司曾做过一项调查,结果显示70%以上的受访企业CTO表示近期不打算采用云计算,其主要原因在于对数据安全性和隐私性的担忧,而近来不断爆出的一些安全事故更加增加了人们对云计算的忧虑。
因此,云计算服务提供商必须采取可靠的安全措施来保证云计算服务的安全和可信。
解决方法
访问控制管理(AccessControlManagement)是组成信息安全体系不可或缺的重要部分,也是保证云计算服务安全的一个重要方面。
简单的来讲,访问控制的功能就是要防止非法的或者恶意的人或程序,访问那些受保护的网络资源,以及允许合法的人或程序访问那些受保护的资源和限制合法的用户对那些受保护资源进行非法操作。
虽然现有的一些安全技术可以通过集成的方法来解决云中大多的安全问题,但是,由于云中的资源是分布在世界各个角落的,并且云的动态性和可扩展性等特点,使得必须研究出适合云计算环境的访问控制管理模型,来确保云计算服务的安全。
1.1云计算现状
(1)各国政府部门对云计算的投入
美国政府部门越来越重视云计算在IT战略中所扮演的重要角色,正极力推行云计划;中国各个地方政府正在积极的建设各自的云计算基地,也计划培养出一批属于自己的企业,例如:
深圳计划到2015年时,培育出在国内年营业收入超过亿元具有影响力的10家云计算企业。
(2)各国企业对云计算的投入
谷歌在推出GoogleApps后,继而推出了AppEngine服务平台,这个服务平台可以让外部的一些开发者借助此平台开发一些新的Web应用,而这些Web应用所需要的网络服务由谷歌强大的云中心提供给用户;2007年8月,IBIV[在上海地区推出了“蓝云(BlueCloud)”计划[2];IBM将云计算作为其自身发展的重点业务,实现IBM自身的扩张,该计划由IBM和政府部门、高校以及互联网企业合作展开;2008年,微软公司推出Aziire[3]云服务平台,其依托于微软的数据中心;美国的Amazon公司推出弹性计算云服务(EC2,ElasticComputingCloud)[4];惠普公司联手英特尔、雅虎等>大公司推出云计算试验平台。
1.2云计算安全及现状
云计算安全主要分为两个方面的问题:
一是云计算本身所特有的安全问题,由于云计算环境下,云中的资源对用户来说是不可控的,用户不知道资源到底保存在哪里,所以用户对这种不可控的环境下,其能否提供更好的安全性,无法确定,均存在担忧情况。
二是在云计算时代,云中的资源均是通过开放的API接口访问,这种开放的接口均暴露在公共网络中,而传统IT是一个封闭的环境,保护这个封闭环境的安全可以通过采取对外部访问接口安装防火墙进行防护,在内部也可以通过安装杀毒软件进行保护,因此,在云时代,云的开放性改变了现有的安全保护模式。
云安全方面一些相关标准
在云安全方面,目前还没有形成一个统一的国际相关标准,但是有一些云计算安全标准组织已经获得业界的认可。
一是:
2009年,在RSA大会上,云安全联盟(CloudSecurityAlliance)宣布成立,该组织是一个非盈利性的标准组织,旨在使云计算安全技术得到最佳的实践及应用,并且提供相关的云计算使用指南。
二是:
2010年5月在日内瓦召开了国际电信联盟(ITU,InternationalTelecommunicationsUnion)研究组会议,会议上决定成立一个云计算专项研究工作组,计划推出《电信领域云"i十算安全指南》,将云计算作为安全领域里的一个重要研究课题,其目的在于建成一个“全球性生态系统”,使信息在各个系统之间能够安全的进行交换。
三是:
分布式管理任务组DMTF(DistributedManagementTaskForce)启动了云标准辉化器项目,旨在使云环境中的工作部署以及管理变得便捷。
该组织致力于云资源管理信息规范集合的开发,扩展开放式虚拟化格式规范(OVF)。
四是:
得到很多技术公司认可的组织还有开放云计算宣言OCM(OpenCloudManifesto),目前已经有300多家的单位参与该组织,其主要的成果是开放云计算宣言[6],该宣言阐述了云计算面临的挑战,包括治理和管理、安全、数据和应用互操作性及可移植性、计量和监控。
云计算的理念云计算的理念是打造一个开放的网络平台,用户按需所取,云中资源遍布世界各地,这就会使云计算涉及到一个国家的数据存储安全问题,属于法律法规方面。
1.3国内外访问控制研究现状
随着信息系统的不断发展,以及系统的广泛应用,学术界和业界一直将访问控制技术作为研究的热点问题。
访问控制是保护信息系统安全的关键技术之一。
在企业环境中,访问控制管理的策略一般分为三种:
自主访问控制(DAC)、强制访问控制(MAC)以及基于角色的访问控制(RBAC)。
自主访问控制通过定义一套规则,使安全主体可以通过这套规则来决定授权给哪些其他的主体,以及创建和删除安全客体。
强制访问控制主要是通过对主体和客体分别标记一个固定的安全属性,如:
安全级别、访问权限等。
当发生访问时,系统通过对安全属性进行检测以判断一个用户是否拥有权限访问。
由此可以看出,强制访问控制在安全保护上要优越于自主访问控制,可是,由于强制访问控制太强,存在缺陷,缺乏灵活性。
因此,出现了一种折中的访问方式,对自主访问控制和强制访问控制的进行了改进,被称为基于角色的访问控制(RBAC)。
这RBAC模型是在1992年时由美国国家标准与技术研究所(NIST,NationalInstituteofStandardsandTechnology)的RickKuhn和DavidFerraiolo[7-9]最早提出的。
与国外相比,国内对访问控制的研究显得较为落后,国内的研究主要是集中在模型的扩展和模型的应用两个方面。
2002年,认证访问控制C-RBAC模型[20]由聂伯敏等人提出,该模型通过引入证书的方法,提高分布式系统的安全性能,并把身份认证和访问控制结合到了一起。
2005年,谢东文等人提出一种基于策略的访问控制管理技术方案[21],该套方案针对的是企业的信息系统。
目前,大多对访问控制的研究是在基于传统访问控制的基础上,对传统访问控制加以扩展或改进,引进一些新的约束参数或者新的规则策略。
而云计算这一具有自身特殊性的环境下,目前针对这个特殊环境的访问控制研究还比较少,云计算的开放性,动态性与可扩展性,以及云中资源分布的不确定性等,都对访问控制管理技术提出了新的要求,因此,针对云计算的访问控制研究显得重要,其对云计算的发展具有关键作用。
2、云计算概况
自从云计算的概念被提出之后,云计算可谓是IT行业最热门的一个词汇,不仅各个企业在大力发展云计算,建设云计算基地,而且各国政府也大力支持云计算的发展,将云计算作为发展经济的一个手段。
云计算正在改变着人们的生活,对传统的IT产业带来巨大的发展潜力,是IT行业一场新的技术革命。
云计算的核心理念是:
在未来云时代,用户只需要通过一台可以连入网络的计算机就可以享受各个软硬件服务,用户所需要的一切资源均存储在云端的服务器中。
云用户所需服务均有云计算服务提供商通过网络向用户提供。
传统模式下,企业需要自己去部署属于自己的数据中心,而在云时代,企业数据中心的数据可以托管给云服务提供商,这样企业就能够减少对数据中心的维护,以降低财力与人力的投入,缩小企业的成本付出。
正是由于云计算所带来的诸多好处,云计算的发展前景巨大,具有无限的商业价值。
2.1云计算的概念
云计算发源于搜索引擎平台,是某些互联网公司为追求公司成本最低化而开发出的一种计算技术。
云计算是并行计算、分布式计算以及网格计算的融合和发展,也是虚拟化、效用计算和面向服务的架构等概念的混合演进的结果,从某种意义上来讲,云计算也是这些计算机科学概念的发展和商业上的实现。
2.1.2云计算核心理念
云计算核心理念是将网络上的计算资源连接起来,进行统一管理和调度,以更高的效率来完成计算,可以处理数以千万计的甚至是以亿计的数据信息,进而以最大的可能降低所需成本。
云中的资源在用户看来是无限扩展的,动态可伸缩的,随时按需获取。
2.1.3云计算优点
相较于传统计算,它更加增强了计算节点的协作、敏捷和扩展性。
2.2云计算的基本原理
云计算的基本原理是将分布在世界各个角落的计算节点和存储节点通过网络连接起来,进行统一调度,把需要的计算分布给这些分布式的节点。
企业能够根据自己的需求访问计算节点和存储节点,将资源安排到企业自己需要的应用上,使企业自己的数据中心不再是运行在本地计算节点或者是远程的服务器当中,而是像互联网一样的运行。
2.3云计算的特点
(1)云计算的数据中心提供了数据多副本冗余,同构方式的计算节点可以互相转换来保障云服务的可靠性。
(2)云计算使客户端成为瘦客户端,对客户端的设备要求也是最低的。
(3)云计算可以使不同设备间的数据与应用轻松的实现共享。
(3)云计算环境下,云中的应用不是特定的,各种类型的应用均可以在云中运行,而且并非是不同的应用必须得运行在不同的云中,也是可以在同一个云环境中运行的。
(5)云计算的计算节点可以随时动态的扩展,按需增长云计算的规模。
2.4逻辑架构云计算服务平台时,其中一个技术必不可少,那就是虚拟化技术,云计算采用虚拟化技术,对云端的服务器进行能力的扩展,使之成为一个超大规模的“云”网络,处理各种并发的计算和服务请求,提供超高效的计算能力和存储能力。
云计算的逻辑结构如图2-2所示。
2.4.1技术体系架构
云计算技术的出现与发展,改变了传统信息服务架构模式,主要包括三个服务模式:
基础设施即服务(IaaS),平台即服务(PaaS),软件即服务(SaaS)。
云计算通过这三种服务模式向用户提供超大规模的IT服务能力。
“云”端的资源是可以随意扩展的,用户可以随时获取,按使用付费。
云计算是众多服务的集合,其技术框架如图2-3所示。
2.5云计算的关键技术
(1)虚拟化技术:
虚拟化技术可以将单台计算机虚拟成多个不同的计算机,也可以将多台不同的计算机虚拟成一台计算机,用以提高资源设备的利用率,减少企业的成本。
(2)数据管理技术:
云计算环境下,大规模的信息数据存储在云端服务器中,多用户的参与以及大规模的访问请求,使云计算系统需要处理大规模的数据,向用户提高高效的服务。
(3)云计算平台管理技术:
在云计算时代,企业或者云计算服务提供商要将大量的分布式的物理资源进行集中管理,打造成一个超大规模的资源池,所以,云计算系统的资源规模非常庞大,一个云计算系统的物理服务器设备数量可能会高达数十万台,而且可能会分布在世界各个不同位置的数据中心。
(4)分布式资源管理技术:
云计算环境是一个分布式的、多节点并发执行的环境,云计算系统的服务状态正确与否,关键在于分布式资源管理系统是否良好。
2.6云计算面临的安全威胁
云计算服务是通过网络来进行数据的存储,将服务通过网络交付给用户,用户的信息数据存储在云端服务器中,这些数据信息用户对其不可控,用户面临着数据的安全性和隐私性等安全威胁。
美国的知名市场研究分析公司Gartner发布了一份研究报告,名称为“云计算安全风险评估”p7]。
该报告指出了云计算会使IT行业拥有着巨大的增长前景,但是云计算服务对于个人或者企业等使用者来说,面临着七大潜在的安全风险问题。
这七大风险分别为:
特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持以及长期生存性。
我所学讲的内容主要介绍了在云计算的环境下,对访问控制的研究背景以和对云计算的概况做个简要介绍。
对与研究课题相关的一些研究现状作出简要概括和讲述了云计算的概念,原理以及特点。
从逻辑与技术两个方面对云计算的结构作出说明,并分析了云计算当中的一些关键技术以及面临的一些安全威胁。