第頁(yè)共43頁(yè)第一章緒論1991年，物理學(xué)家伯納斯·李發(fā)明了互聯(lián)網(wǎng)并無(wú)償向公眾公開(kāi)，從而是網(wǎng)絡(luò)以前所未有的速度獲得了發(fā)展，世界因?yàn)榫W(wǎng)絡(luò)也發(fā)生了翻天覆地的變化。隨著科技的發(fā)展,分布式計(jì)算、網(wǎng)格計(jì)算、并行計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等技術(shù)地不斷涌現(xiàn)和發(fā)展。Google首席執(zhí)行官艾里克·施密特在2006年的搜索引擎大會(huì)上提出了云計(jì)算的概念。在Google、IBM、英特爾、惠普等公司的實(shí)施和推進(jìn)下,云計(jì)算的應(yīng)用和影響力越來(lái)越大，而作為新興戰(zhàn)略勝產(chǎn)業(yè)之一,云計(jì)算已納人到了我國(guó)“十二五”規(guī)劃之中。1.1云計(jì)算技術(shù)的概念及特點(diǎn)近幾年，云計(jì)算這一概念不斷地出現(xiàn)在各大報(bào)道之中，雖然許多人并不了解云計(jì)算的真正含義，但不置可否的是云計(jì)算技術(shù)已經(jīng)被應(yīng)用于社會(huì)生活的諸多領(lǐng)域中，并且在推動(dòng)信息產(chǎn)業(yè)發(fā)展方面發(fā)揮著巨大作用。云計(jì)算概念的涵義非常寬泛，它是一種基于互聯(lián)網(wǎng)的計(jì)算方式，人們可以利用這方式將共享的軟件資源、硬件資源、服務(wù)資源以及信息等按照一定的需求提供給計(jì)算機(jī)或者是其他設(shè)備，是傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。圖1.1云體系結(jié)構(gòu)示意圖其中，“云”是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種比喻的說(shuō)法，指能提供資源的網(wǎng)絡(luò)，過(guò)去在圖形中往往用“云”作為互聯(lián)網(wǎng)的一種抽象表示。簡(jiǎn)單來(lái)說(shuō)，云計(jì)算就是把所要用到的數(shù)據(jù)處理任務(wù)都交給計(jì)算機(jī)網(wǎng)絡(luò)來(lái)處理，用功能超級(jí)強(qiáng)大的數(shù)據(jù)處理中心負(fù)責(zé)處理客戶電腦上的一切數(shù)據(jù)任務(wù)，這樣就可以通過(guò)一個(gè)數(shù)據(jù)中心同時(shí)向多名用戶提供服務(wù)，從而節(jié)省了的硬件資源。云計(jì)算技術(shù)可以分為以下3個(gè)層次:IaaS(InfrastructureasaService)、SaaS(SoftwareasaService)、PaaS(PlatformasaService)[2]。其中，IaaS是基礎(chǔ)構(gòu)架即服務(wù),指用戶通過(guò)互聯(lián)網(wǎng)可以從計(jì)算機(jī)基礎(chǔ)設(shè)施中獲得相應(yīng)的服務(wù),服務(wù)商將多臺(tái)服務(wù)器組成龐大的基礎(chǔ)設(shè)施來(lái)提供服務(wù)，這將通過(guò)網(wǎng)格計(jì)算、集群和虛擬化等技術(shù)實(shí)現(xiàn)。SaaS是軟件即服務(wù)，通過(guò)互聯(lián)網(wǎng)把軟件作為一種服務(wù)提供提供給用戶，用戶無(wú)需單獨(dú)購(gòu)買想要的軟件,而是向服務(wù)商租用基于web的軟件,進(jìn)行軟件的使用。軟件作為一種服務(wù)來(lái)提供完整可直接使用的應(yīng)用程序,在平臺(tái)層以SOA方法為主,使用不用的體系應(yīng)用構(gòu)架,具體是用不同的技術(shù)實(shí)現(xiàn),表示在軟件應(yīng)用層使用SaaS模式。PaaS是平臺(tái)即服務(wù)，指將軟件研發(fā)的平臺(tái)作為一種服務(wù),提供給用戶可以訪問(wèn)的完整或部分應(yīng)用程序的開(kāi)發(fā)平臺(tái)。因此,可以說(shuō)PaaS也是SaaS模式的一種應(yīng)用。所以說(shuō),PaaS的出現(xiàn)可以加快SaaS模式的發(fā)展速度。PaaS是一種分布式的平臺(tái)服務(wù),服務(wù)商提供了開(kāi)發(fā)環(huán)境、開(kāi)發(fā)平臺(tái)以及硬件資源等給用戶使用,用戶在其平臺(tái)基礎(chǔ)上定制或者開(kāi)發(fā)自己想要的應(yīng)用程序并且可以通過(guò)“云網(wǎng)”傳遞給其他有意向使用的用戶。圖1.2云技術(shù)層次示意圖自上個(gè)世紀(jì)80年代始，專家們便為軟件、硬件系統(tǒng)的可擴(kuò)展性傷透了腦筋。多種多樣的硬件種類、軟件平臺(tái)，使得人們不得不進(jìn)行多系統(tǒng)之間的移植工作；而后，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和PC的發(fā)展，人們對(duì)本地計(jì)算機(jī)的處理速度和便攜性的要求也隨之提高。在諸多的解決的技術(shù)中，云計(jì)算仿佛是最有效、最理想化的一種技術(shù)。云計(jì)算技術(shù)的特點(diǎn)有如下幾點(diǎn)：（1）虛擬化。云計(jì)算是建立在互聯(lián)網(wǎng)的基礎(chǔ)上的，而互聯(lián)網(wǎng)本身即是一個(gè)虛擬的世界，因此云計(jì)算技術(shù)也是虛擬的。實(shí)際上，可以把云計(jì)算比喻成一個(gè)存在于網(wǎng)絡(luò)虛擬世界里的“資源庫(kù)”，用戶的所有的請(qǐng)求的來(lái)源都出自于這個(gè)“資源池”，而非一個(gè)個(gè)固定的實(shí)體。用戶僅僅使用計(jì)算機(jī)或者是手機(jī)，即可連接到“資源庫(kù)”，然后得到他們所需要的資源。（2）規(guī)?；?。云計(jì)算這個(gè)“資源庫(kù)”擁有著相當(dāng)大的規(guī)模，無(wú)論是Google、IBM、Yahoo，還是Microsoft，他們都擁有著各自強(qiáng)大的服務(wù)器，如果將這些服務(wù)器的數(shù)量累加起來(lái)，已經(jīng)可以達(dá)到了幾十萬(wàn)臺(tái)，其計(jì)算能力是超乎人想象的。（3）成本低。云計(jì)算技術(shù)擁有強(qiáng)大的容錯(cuò)措施，而且其節(jié)點(diǎn)的構(gòu)成的成本也是非常小的的。當(dāng)用戶使用計(jì)算機(jī)或者手機(jī)來(lái)獲取相應(yīng)的資源時(shí)，云計(jì)算系統(tǒng)就會(huì)將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)中的超級(jí)計(jì)算機(jī)集群中，隨后，超級(jí)計(jì)算機(jī)集群會(huì)對(duì)這些數(shù)據(jù)進(jìn)行處理，整個(gè)過(guò)程用戶僅需要支付少的服務(wù)費(fèi)，就能夠獲得相應(yīng)的服務(wù)。云計(jì)算技術(shù)的優(yōu)點(diǎn)有如下幾點(diǎn)：（1）信息的擴(kuò)展性。使用云計(jì)算技術(shù)的用戶群體日益龐大，使得云計(jì)算的服務(wù)量也在逐漸增大，這樣在云計(jì)算的過(guò)程中，用戶就會(huì)更方便地在數(shù)據(jù)庫(kù)中取得知識(shí)。倘若在某一環(huán)節(jié)出現(xiàn)了安全問(wèn)題，云計(jì)算系統(tǒng)可是會(huì)很容易地把這節(jié)點(diǎn)進(jìn)行隔離，然后迅速排除安全隱患，待問(wèn)題解決以后，再將這一節(jié)點(diǎn)的信息重新投入使用。(2)資源的共享性。云計(jì)算運(yùn)行的目的就是能夠達(dá)到資源的共享，同時(shí)這也是對(duì)用戶主要的貢獻(xiàn)之一。其可以不受地域的限制，即便用戶處于世界的某一個(gè)地點(diǎn)，只要有網(wǎng)絡(luò)覆蓋，都可以滿足用戶對(duì)云數(shù)據(jù)的需求。云計(jì)算系統(tǒng)的服務(wù)商也是擁有龐大的計(jì)算機(jī)服務(wù)器系統(tǒng)，他們可以通過(guò)網(wǎng)絡(luò)，建立一個(gè)大的平臺(tái)，然后使用戶的計(jì)算機(jī)或者手機(jī)在這個(gè)平臺(tái)中獲取所需的服務(wù)，這樣大大地增加了知識(shí)以及信息的共享性，同時(shí)也降低了服務(wù)商的運(yùn)營(yíng)成本，真正地做到了資源的優(yōu)化配置。（3）管理的靈活性。由于不同用戶存在著不同的需求，云計(jì)算技術(shù)可以解決用戶各種各樣不同要求的服務(wù)。云計(jì)算系統(tǒng)在為用戶提供服務(wù)之前，應(yīng)該首先了解用戶對(duì)哪一方面有所需求，在了解了這些情況以后，根據(jù)用戶的要求來(lái)制定服務(wù)計(jì)劃，為用戶提供所需的數(shù)據(jù)、配置相應(yīng)的能力和應(yīng)用。在增加或撤銷的一些應(yīng)用上，也可以讓用戶參與到云計(jì)算模式的管理和維護(hù)中來(lái)，從而了解用戶的需求，進(jìn)而滿足用戶需求。（4）較高的性價(jià)比。云計(jì)算雖然是一項(xiàng)新技術(shù)，處于高科技領(lǐng)域，但是卻并不需要高額的成本投入，而對(duì)用戶來(lái)說(shuō)，云計(jì)算系統(tǒng)也是十分經(jīng)濟(jì)的，因?yàn)榧炔恍枰獮樵朴?jì)算系統(tǒng)配置高端的設(shè)備，又不需要對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)的更新，唯一的需要是對(duì)云計(jì)算系統(tǒng)的服務(wù)商提出定制的需求，通過(guò)云計(jì)算服務(wù)商的專業(yè)人員對(duì)系統(tǒng)機(jī)型進(jìn)行維護(hù)，這樣也減少了用戶對(duì)云計(jì)算的投入，用最少的投入即能體驗(yàn)最優(yōu)質(zhì)的服務(wù)。（5）可靠的服務(wù)系統(tǒng)。云計(jì)算系統(tǒng)的服務(wù)商擁有非常龐大的計(jì)算機(jī)服務(wù)器系統(tǒng)，同時(shí)，數(shù)據(jù)以及信息的存儲(chǔ)和傳遞都是在一個(gè)虛擬網(wǎng)絡(luò)平臺(tái)上進(jìn)行的。計(jì)算機(jī)服務(wù)器可以做到分工明確，各司其職。如今，云計(jì)算系統(tǒng)已經(jīng)成為了一個(gè)可靠的、穩(wěn)定的體系，如果其中的某一個(gè)服務(wù)器存在安全問(wèn)題，備用的服務(wù)器會(huì)迅速投入到工作中來(lái)，來(lái)完成問(wèn)題服務(wù)器所進(jìn)行的任務(wù)。云計(jì)算技術(shù)與傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用模式相比，能夠從各個(gè)方面確保服務(wù)的靈活性、高效性和精確性，能夠?yàn)橛脩魩?lái)更完美的網(wǎng)絡(luò)體驗(yàn)，為企業(yè)創(chuàng)造更多的效益。圖1.3中國(guó)云計(jì)算服務(wù)市場(chǎng)規(guī)模預(yù)測(cè)圖1.2國(guó)內(nèi)外云計(jì)算技術(shù)的發(fā)展?fàn)顩r云計(jì)算可以說(shuō)是信息時(shí)代中生產(chǎn)工具的一次巨大的飛躍,就好像八十年代是個(gè)人電腦和局域網(wǎng)的時(shí)代,九十年代至今是互聯(lián)網(wǎng)的時(shí)代,而未來(lái)則很有可能是云計(jì)算的時(shí)代。現(xiàn)在雖然沒(méi)有準(zhǔn)確地對(duì)云計(jì)算進(jìn)行定義,但普遍認(rèn)為的云計(jì)算是通過(guò)互聯(lián)網(wǎng)提供按所需的、面向海量的數(shù)據(jù)處理和完成復(fù)雜計(jì)算的平臺(tái),是既不需要用戶了解云計(jì)算設(shè)備的核心技術(shù),也不需要用戶擁有較高專業(yè)水平,更不需要用戶對(duì)云設(shè)備進(jìn)行直接操作,而只需要直接使用即可。云計(jì)算的到來(lái),宣告了以設(shè)備為中心計(jì)算模式的終結(jié),取而代之的是以應(yīng)用互聯(lián)網(wǎng)為中心的新的計(jì)算模式。這種模式同時(shí)將改變現(xiàn)有的工作方式和商業(yè)信息服務(wù)模式等方面。這對(duì)各個(gè)企業(yè)來(lái)說(shuō),意味著巨大的商機(jī)與挑戰(zhàn),各大企業(yè)紛紛高調(diào)宣布“入云”、“建云”等行動(dòng)。2006年,亞馬遜提出簡(jiǎn)單存儲(chǔ)服務(wù)和彈性計(jì)算云,這標(biāo)志著云計(jì)算服務(wù)開(kāi)始走向成熟。2008年，IBM推出了“藍(lán)云計(jì)劃”,并提出了“共有云”、“私有云”等概念,2009年又發(fā)布了基于云端的協(xié)作平臺(tái),2011年，基于Power7指揮系統(tǒng)，WastonBox、CloudBox、MasonBox等三個(gè)寶盒構(gòu)建云基礎(chǔ)架構(gòu)。2010年，德國(guó)建立了目前來(lái)說(shuō)歐洲最大的一個(gè)云計(jì)算中心[5]。目前，云計(jì)算服務(wù)已經(jīng)被我國(guó)政府正式納入了采購(gòu)項(xiàng)目之中，這足以證明我國(guó)政府是支持云計(jì)算技術(shù)發(fā)展的。在我國(guó)，政府對(duì)IT行業(yè)所投入的資金數(shù)額是非常巨大的，而在這部分資金中，有相當(dāng)大的一部分已經(jīng)轉(zhuǎn)移到了云計(jì)算系統(tǒng)領(lǐng)域，我國(guó)政府之所以重視云計(jì)算技術(shù)，就是希望我國(guó)信息產(chǎn)業(yè)能夠迅速的發(fā)展，從而可以更好的為公共事業(yè)服務(wù)。從世界的范圍來(lái)看，各國(guó)政府扶持云計(jì)算技術(shù)發(fā)展已經(jīng)了成為一種趨勢(shì)，比如歐盟、美國(guó)、日本等地區(qū)與國(guó)家都投入了大量的資金，并制定了相關(guān)政策，用來(lái)增強(qiáng)公共云服務(wù)。與發(fā)達(dá)國(guó)家政府針對(duì)云計(jì)算所采取的政策相比較來(lái)說(shuō)，我國(guó)在云計(jì)算組織架構(gòu)、行業(yè)標(biāo)準(zhǔn)以及制度流程等方面還不夠完善，還需要加大建設(shè)力度。經(jīng)過(guò)了這幾年的發(fā)展，我國(guó)的云計(jì)算市場(chǎng)已經(jīng)逐步成型，越來(lái)越多的軟件公司、網(wǎng)絡(luò)企業(yè)以及市場(chǎng)調(diào)研公司已經(jīng)加入到了云計(jì)算技術(shù)的市場(chǎng)，并且從中獲得了一定的效益。云計(jì)算市場(chǎng)正在形成階段，我國(guó)政府并未過(guò)多地干預(yù)這一行業(yè)，而是希望通過(guò)適當(dāng)?shù)氖袌?chǎng)調(diào)控，使其健康發(fā)展。而隨著云計(jì)算市場(chǎng)規(guī)模逐步擴(kuò)大，云計(jì)算技術(shù)對(duì)于社會(huì)、經(jīng)濟(jì)的影響也必然加大，想要進(jìn)入云計(jì)算這一領(lǐng)域的企業(yè)也必將增多，面對(duì)這樣的市場(chǎng)狀況，我國(guó)政府必須加大對(duì)云計(jì)算領(lǐng)域的監(jiān)管力度，具體手段包括：對(duì)互聯(lián)網(wǎng)行業(yè)進(jìn)行分門別類；制定相應(yīng)的管理制度；健全云計(jì)算組織結(jié)構(gòu)；制定云計(jì)算行業(yè)準(zhǔn)則；完善其相關(guān)流程等等。另外，還要制止一些地方以發(fā)展云計(jì)算為理由，進(jìn)行固定資產(chǎn)投資以及圈地等不良做法。隨著云計(jì)算技術(shù)快速的發(fā)展，對(duì)計(jì)算機(jī)硬件設(shè)施的要求將會(huì)越來(lái)越高，同時(shí)，為了發(fā)展云計(jì)算系統(tǒng)，企業(yè)必將會(huì)增加對(duì)相關(guān)設(shè)備的定制量。有關(guān)數(shù)據(jù)顯示，定制云計(jì)算服務(wù)器已然占到了全球服務(wù)器總量的10%以上。這些設(shè)施定制數(shù)量的增加，并不意味著IT制造企業(yè)的利潤(rùn)會(huì)隨之增大，相反，可能會(huì)吸引其他行業(yè)的投資者進(jìn)入到這一行業(yè)。IT制造業(yè)面對(duì)這樣的情況，必須要加強(qiáng)其產(chǎn)品設(shè)計(jì)能力、壓縮生產(chǎn)成本、打造自身品牌，只有這樣，才能夠把握行業(yè)發(fā)展趨勢(shì)，實(shí)現(xiàn)長(zhǎng)遠(yuǎn)發(fā)展。其次，云計(jì)算的發(fā)展將會(huì)對(duì)IT行業(yè)商業(yè)模式產(chǎn)生重大的影響。傳統(tǒng)的IT行業(yè)的商業(yè)模式主要是以實(shí)體軟件、硬件產(chǎn)品為主，而隨著云計(jì)算技術(shù)的快速發(fā)展，這種商業(yè)模式將轉(zhuǎn)變?yōu)橄蛴脩籼峁┸浖⒂布?wù)，就是利用云計(jì)算，將用戶所需的應(yīng)用系統(tǒng)通過(guò)互聯(lián)網(wǎng)傳遞給用戶。Google公司就宣稱會(huì)在未來(lái)，利用云計(jì)算技術(shù)將所有軟件都能夠轉(zhuǎn)移到網(wǎng)絡(luò)中，然后利用服務(wù)來(lái)代替軟件，未來(lái)的云計(jì)算技術(shù)會(huì)以其強(qiáng)大的處理信息處理功能，幾乎能夠解決用戶所有問(wèn)題。如此說(shuō)來(lái)，云計(jì)算將會(huì)對(duì)IT行業(yè)的商業(yè)模式產(chǎn)生重大的影響，并轉(zhuǎn)變IT行業(yè)的經(jīng)營(yíng)理念與發(fā)展模式。如今，我國(guó)也正在緊緊跟著國(guó)際云計(jì)算發(fā)展的步伐,現(xiàn)已啟動(dòng)“商用云計(jì)算中心”、“中國(guó)云谷”、“祥云工程”等項(xiàng)目。云計(jì)算是一個(gè)趨勢(shì),真正的云計(jì)算時(shí)代,是可以去掉機(jī)子的硬盤存儲(chǔ),完全地利用網(wǎng)絡(luò)硬盤來(lái)儲(chǔ)存。這對(duì)于網(wǎng)絡(luò)帶寬的要求很高,國(guó)內(nèi)家庭網(wǎng)絡(luò)寬帶平均只有IM到2M,有的寬帶雖然宣稱能夠達(dá)到10M，但基于共享網(wǎng)絡(luò)技術(shù),使得寬帶傳輸并不是很穩(wěn)定,所以目前來(lái)說(shuō)很難達(dá)到真正的云計(jì)算時(shí)代。但像日本、韓國(guó)、新加坡等國(guó)家的網(wǎng)絡(luò)帶寬已經(jīng)達(dá)到獨(dú)享10M以上的帶寬網(wǎng)絡(luò)。實(shí)際上,云計(jì)算早就已經(jīng)出現(xiàn)在日常的生活中了,現(xiàn)在所常用的電子商務(wù)平臺(tái),如阿里巴巴、淘寶、易趣等網(wǎng)站。網(wǎng)店中的商品信息存儲(chǔ)在哪個(gè)城市、哪臺(tái)服務(wù)器里,賣主其實(shí)不必關(guān)心,只需在家賣貨就行了。再比如,視頻云計(jì)算是專門為廣播電視行業(yè)大批量的音頻、視頻處理而精心打造的基于平臺(tái)即服務(wù)和基礎(chǔ)設(shè)施即服務(wù)的架構(gòu)方式的云平臺(tái)。在將來(lái)，僅僅需要一臺(tái)手機(jī)或者別的移動(dòng)終端設(shè)備,就可以通過(guò)無(wú)線上網(wǎng)的方式連接到互聯(lián)網(wǎng),通過(guò)網(wǎng)絡(luò)得到所需的一切服務(wù),甚至包括只有超級(jí)計(jì)算機(jī)才能完成的艱巨任務(wù)。對(duì)于云計(jì)算的這些服務(wù)，用戶才是最終真正的使用者和受益者。就目前來(lái)說(shuō)，云計(jì)算的推廣所面臨最大問(wèn)題就是現(xiàn)今用戶的使用習(xí)慣。用戶已經(jīng)習(xí)慣了計(jì)算機(jī)的傳統(tǒng)使用模式,即軟件、硬件、網(wǎng)絡(luò)供應(yīng)商可以被看成是相互獨(dú)立的部門,這些相互獨(dú)立的部門之所以能夠統(tǒng)一協(xié)作是依靠了一些國(guó)際規(guī)定的統(tǒng)一標(biāo)準(zhǔn)。而云計(jì)算的發(fā)明和發(fā)展，無(wú)疑給這些部門的協(xié)作提出了一個(gè)更大的挑戰(zhàn),為了讓云計(jì)算能真正地普及到大眾的工作、生活和學(xué)習(xí),首先需要建立大量的國(guó)際標(biāo)準(zhǔn),協(xié)調(diào)軟件、硬件和網(wǎng)絡(luò)之間互聯(lián)關(guān)系,這些標(biāo)準(zhǔn)的制定難度可能要遠(yuǎn)遠(yuǎn)大于現(xiàn)在的協(xié)作標(biāo)準(zhǔn)。1.3研究目的與意義云計(jì)算技術(shù)作為一種嶄新的服務(wù)模式，其實(shí)質(zhì)是在分布式計(jì)算并行計(jì)算、網(wǎng)絡(luò)計(jì)算、等模式的發(fā)展基礎(chǔ)上，出現(xiàn)的一種新型的計(jì)算模型，是一種新型的共享基礎(chǔ)框架的模式。其所要面對(duì)的是超大規(guī)模的分布式環(huán)境，其核心是為用戶提供數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)服務(wù)，主要目的是解決近十年來(lái)互聯(lián)網(wǎng)因迅速發(fā)展所帶來(lái)的存儲(chǔ)困難、計(jì)算機(jī)資源大量消耗、硬件成本不斷提高以及數(shù)據(jù)中心空間日漸匱乏等問(wèn)題。由于云計(jì)算系統(tǒng)的規(guī)模巨大，承載了諸多用戶的隱私數(shù)據(jù)，以及前所未有的開(kāi)放性和復(fù)雜性，其安全問(wèn)題面臨比傳統(tǒng)信息系統(tǒng)更為嚴(yán)峻的挑戰(zhàn)，原始的互聯(lián)網(wǎng)系統(tǒng)與服務(wù)設(shè)計(jì)以及對(duì)策已經(jīng)不能解決云計(jì)算技術(shù)的種種問(wèn)題，而急需新的解決辦法來(lái)應(yīng)多諸多的網(wǎng)絡(luò)安全問(wèn)題，而網(wǎng)絡(luò)安全問(wèn)題會(huì)嚴(yán)重阻礙云計(jì)算技術(shù)的發(fā)展。本文針對(duì)云計(jì)算技術(shù)迅速發(fā)展所帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題和相應(yīng)的應(yīng)對(duì)措施，進(jìn)行深入的探討和研究。

第二章云計(jì)算技術(shù)中的網(wǎng)絡(luò)安全問(wèn)題2.1由Iaas、SaaS、PaaS引起的安全問(wèn)題云計(jì)算技術(shù)引發(fā)熱議的焦點(diǎn)在于其網(wǎng)絡(luò)安全問(wèn)題。云計(jì)算是一種共享性基礎(chǔ)架構(gòu)，其將數(shù)量龐大的計(jì)算機(jī)鏈接成資源庫(kù),將計(jì)算任務(wù)分布在資源庫(kù)上,使各種應(yīng)用系統(tǒng)能夠按需獲取計(jì)算能力。作為資源庫(kù)的“云”則必須具備自行維護(hù)和管理的能力,并且能夠?yàn)橛脩籼峁└鞣N類型的IT服務(wù),這些通常由云服務(wù)提供商提供。云服務(wù)提供商所提供的服務(wù)類型分三個(gè)層次:IaaS(基礎(chǔ)設(shè)施即服務(wù))、SaaS(軟件即服務(wù))、PaaS(平臺(tái)即服務(wù))。這三個(gè)層次都存在著各自不同的安全問(wèn)題。其中，IaaS的服務(wù)商利用服務(wù)器和自動(dòng)化,為用戶提供計(jì)算、存儲(chǔ)和帶寬等資源。用戶能夠自由構(gòu)建計(jì)算環(huán)境,能自行管理計(jì)算系統(tǒng)層次架構(gòu)(除最底層硬件)以及處理在云計(jì)算服務(wù)中遇到的安全問(wèn)題。常遇風(fēng)險(xiǎn)有:數(shù)據(jù)泄露,遠(yuǎn)程認(rèn)證,服務(wù)中斷,端到端的加密。作為中間層，PaaS針對(duì)的是服務(wù)商,是由服務(wù)商為用戶提供云計(jì)算的基礎(chǔ)架構(gòu),如服務(wù)器、防火墻和操作系統(tǒng)。PaaS中的安全問(wèn)題來(lái)自于系統(tǒng)本身和系統(tǒng)管理,主要可表現(xiàn)在應(yīng)用配置、保密插口層協(xié)議SSL、數(shù)據(jù)不安全許可等三方面。在云基礎(chǔ)架構(gòu)的默認(rèn)配置下,安全運(yùn)行應(yīng)用的概率為零,且在不同的操作系統(tǒng)中,需進(jìn)行不同的安全配置,如Windows,需要具備的是確保IIS、SQL和.net安全的能力。在Linux、Apache\MySQL、PHP環(huán)境中，使用的是通用配置LAMP。SSL是大多數(shù)云計(jì)算安全應(yīng)用的基礎(chǔ),這也成為了當(dāng)前黑客研究和攻擊的重點(diǎn)目標(biāo),必須采用切實(shí)有效的方法來(lái)緩解SSL攻擊。云計(jì)算中的數(shù)據(jù)可能遭遇非法訪問(wèn),如何確保用戶的真實(shí)可靠性以及訪問(wèn)決策是否授權(quán)成為了解決的重點(diǎn)問(wèn)題。最高層SaaS的服務(wù)模式是一類基于web客戶端的服務(wù)模式,許多的安全問(wèn)題都是不可預(yù)知以及不可控制的,完全依賴于提供商。其中，SaaS主要面臨的是服務(wù)器端、數(shù)據(jù)傳輸和客戶端這三大重要的安全問(wèn)題。從物理安全上來(lái)講,云計(jì)算是通過(guò)虛擬技術(shù),將資源進(jìn)行高度集中化的,允許單個(gè)服務(wù)器承載很多虛擬機(jī)器以及很多個(gè)客戶的數(shù)據(jù)資料。一旦服務(wù)器出現(xiàn)崩潰,將發(fā)生的災(zāi)難是不可預(yù)計(jì)的,因此硬件安全性是最首要的需要。在數(shù)據(jù)存儲(chǔ)方面,采用的存儲(chǔ)模式、保護(hù)模型以及備份模式等都是相當(dāng)重要的。當(dāng)服務(wù)器遇到攻擊時(shí),數(shù)據(jù)的恢復(fù)問(wèn)題,災(zāi)難應(yīng)對(duì)保障問(wèn)題,都是成為最為重要的問(wèn)題。在傳輸?shù)姆矫?互聯(lián)網(wǎng)是黑客攻擊和病毒破壞最為強(qiáng)烈的環(huán)節(jié),如何對(duì)數(shù)據(jù)進(jìn)行有效的加密,以保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的安全,成為一個(gè)重大的難題。現(xiàn)今，隨著云計(jì)算的普及,其安全性也越來(lái)越受到重視,只有謹(jǐn)慎地對(duì)待每一個(gè)可能出現(xiàn)的安全問(wèn)題，才能讓云計(jì)算技術(shù)得到長(zhǎng)遠(yuǎn)發(fā)展，為人類提供方便。2.2互聯(lián)網(wǎng)傳統(tǒng)的安全問(wèn)題可擴(kuò)展性、高可靠性、高傳輸率、軟件虛擬化技術(shù)和預(yù)算成本低等相關(guān)突出點(diǎn)、超強(qiáng)計(jì)算和存儲(chǔ)能力是云計(jì)算所擁有的主要優(yōu)點(diǎn)。但是一切以互聯(lián)網(wǎng)為基礎(chǔ)的應(yīng)用都伴隨著相當(dāng)程度的危險(xiǎn)性質(zhì)，云計(jì)算也包含在其中，云計(jì)算在其中安全方面的相關(guān)問(wèn)題、包含兩個(gè)方面?zhèn)鹘y(tǒng)安全問(wèn)題和最新出現(xiàn)的安全問(wèn)題。2.2.1API的不安全帶來(lái)的問(wèn)題API的安全性是云計(jì)算技術(shù)能夠保證用戶數(shù)據(jù)安全的基本保障，通常來(lái)講，云服務(wù)的安全性和處理數(shù)據(jù)的能力與API的安全性息息相關(guān)，云計(jì)算服務(wù)商需要提供大量的網(wǎng)絡(luò)接口和API來(lái)整合上下游、尋找業(yè)務(wù)伙伴，甚至是直接提供業(yè)務(wù)，所以這些API接口的設(shè)計(jì)必須能夠防御意外和惡意的信息泄露行為，以確保用戶認(rèn)證、加密和訪問(wèn)控制的安全性。然而傳統(tǒng)API的性能并不十分理想，在一些通常運(yùn)行于后臺(tái)相對(duì)安全環(huán)境的功能被開(kāi)放之后，就會(huì)給云計(jì)算服務(wù)帶來(lái)新的安全威脅[8]。2.2.2不完善的審計(jì)功能傳統(tǒng)的服務(wù)提供商需要對(duì)用戶信息進(jìn)行外部審計(jì)和安全認(rèn)證，但有些云計(jì)算提供商卻拒絕接受這樣的審計(jì)服務(wù)，而且，用戶只需要提交自身的原始數(shù)據(jù)，數(shù)據(jù)的運(yùn)算過(guò)程全部由云計(jì)算服務(wù)器處理，最終結(jié)果也直接通過(guò)云計(jì)算的服務(wù)器提供，用戶無(wú)法參與數(shù)據(jù)運(yùn)算過(guò)程也無(wú)法審計(jì)運(yùn)算的結(jié)果，這使得原始數(shù)據(jù)提供者承擔(dān)了更多的責(zé)任和義務(wù)。除此之外，使用云計(jì)算的用戶對(duì)自身數(shù)據(jù)的完整性和安全性負(fù)有最終的責(zé)任。這種審計(jì)功能的不完善性，使得用戶要承受更多的風(fēng)險(xiǎn)，嚴(yán)重影響了用戶對(duì)使用云計(jì)算服務(wù)的信心。2.2.3不法分子造成的入侵行為

云計(jì)算技術(shù)在給用戶帶來(lái)方便快捷的同時(shí)，也給用戶的信息安全帶來(lái)了威脅。病毒傳播、黑客攻擊、用戶信息被盜等這些不法行為也同樣可以發(fā)生在云計(jì)算平臺(tái)上，對(duì)于云平臺(tái)來(lái)說(shuō)，比傳統(tǒng)互聯(lián)網(wǎng)服務(wù)具有更大的開(kāi)放性和動(dòng)態(tài)性，所以其影響范圍也將遠(yuǎn)遠(yuǎn)高于傳統(tǒng)的互聯(lián)網(wǎng)，當(dāng)云計(jì)算平臺(tái)受到黑客攻擊時(shí)，會(huì)對(duì)所有的云服務(wù)產(chǎn)生影響，并且黑客還可以利用云計(jì)算工具將攻擊范圍擴(kuò)大。在一個(gè)云計(jì)算系統(tǒng)中，必定會(huì)存儲(chǔ)很多機(jī)密的資料和數(shù)據(jù)，而云計(jì)算系統(tǒng)的平臺(tái)是一個(gè)信息高速流動(dòng)，并且十分集中的一個(gè)虛擬區(qū)域，其用戶量十分龐大，這一系列情況都為數(shù)據(jù)庫(kù)的管理增添了難度。很多黑客正是針對(duì)云計(jì)算系統(tǒng)的這一軟肋，對(duì)服務(wù)器進(jìn)行攻擊，一旦非法入侵，對(duì)于客戶信息的安全性，乃至整個(gè)互聯(lián)網(wǎng)的穩(wěn)定都會(huì)造成很大的影響。這要求云計(jì)算要具備強(qiáng)大的防御能力[9]。2.3云計(jì)算引發(fā)的新的安全問(wèn)題2.3.1統(tǒng)一標(biāo)準(zhǔn)與規(guī)定云計(jì)算技術(shù)是面向全世界服務(wù)的一種計(jì)算機(jī)互聯(lián)網(wǎng)服務(wù)，每一個(gè)國(guó)家都有權(quán)利制定相應(yīng)的法律法規(guī)對(duì)云計(jì)算技術(shù)進(jìn)行監(jiān)督管理，而不同國(guó)家所制訂和執(zhí)行的法律，總會(huì)存在些或大或小的差異，這就對(duì)跨國(guó)運(yùn)營(yíng)的云計(jì)算技術(shù)提供商提出了巨大的挑戰(zhàn)，這使得云計(jì)算的跨國(guó)合作變得困難。對(duì)于云計(jì)算技術(shù)來(lái)說(shuō)，其運(yùn)行的最大目的就是保障數(shù)據(jù)庫(kù)中所有的資料能夠完整的、安全的進(jìn)行存儲(chǔ)和傳遞，來(lái)滿足用戶對(duì)資料的需求。另外，云計(jì)算服務(wù)系統(tǒng)一般都會(huì)涉及到一些類似于硬件和軟件的系統(tǒng)運(yùn)營(yíng)以及存儲(chǔ)工具，并且為用戶服務(wù)的過(guò)程中，會(huì)運(yùn)用到一些關(guān)于安全性和機(jī)密性的技術(shù)方法，這些都是云計(jì)算與傳統(tǒng)信息安全模式相通的地方。當(dāng)然，云計(jì)算技術(shù)的系統(tǒng)也在很多方面與信息安全模式存在著差異，云計(jì)算中的數(shù)據(jù)在一般情況下都是處于虛擬的狀態(tài)，這對(duì)云計(jì)算的管理和維護(hù)都提出了巨大的挑戰(zhàn)，并且在進(jìn)行轉(zhuǎn)變模式后很容易出現(xiàn)安全問(wèn)題隱患，這些都是云計(jì)算系統(tǒng)較傳統(tǒng)的信息系統(tǒng)的不足和缺陷。云計(jì)算模式是在最近幾年剛剛發(fā)展起來(lái)的，在很多地方都有值得研究和提高的地方。從在全世界的范圍來(lái)看，云計(jì)算在數(shù)據(jù)和服務(wù)上并沒(méi)有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行管理和約束。并且，云計(jì)算的服務(wù)商都有自己獨(dú)特的運(yùn)行方式，所以在服務(wù)的整體性上也存在著許多的不完善。這樣一來(lái)，就要求必須形成一個(gè)服務(wù)商和用戶都認(rèn)可的體系，來(lái)保護(hù)用戶信息，減小風(fēng)險(xiǎn)。云計(jì)算服務(wù)現(xiàn)已集合了數(shù)據(jù)存儲(chǔ)、互聯(lián)網(wǎng)服務(wù)、內(nèi)容分發(fā)等業(yè)務(wù)，并正在擴(kuò)大經(jīng)營(yíng)的范圍。由于其龐大的服務(wù)模式和業(yè)務(wù)范圍，所以根本無(wú)法簡(jiǎn)單的將云計(jì)算技術(shù)進(jìn)行電信業(yè)務(wù)分類，就更不能談及業(yè)務(wù)服務(wù)體系和執(zhí)行標(biāo)準(zhǔn)了。同時(shí)，目前云計(jì)算服務(wù)技術(shù)的發(fā)展參差不齊，都沒(méi)有制定出相應(yīng)的服務(wù)和管理規(guī)則，導(dǎo)致云計(jì)算服務(wù)行業(yè)沒(méi)有一個(gè)統(tǒng)一標(biāo)準(zhǔn)去執(zhí)行，這也大大增加了云計(jì)算服務(wù)出現(xiàn)安全問(wèn)題的可能性。

2.3.2信息的安全和數(shù)據(jù)的恢復(fù)云計(jì)算的實(shí)質(zhì)和關(guān)鍵是在系統(tǒng)中的數(shù)據(jù)，互聯(lián)網(wǎng)作為云計(jì)算和信息數(shù)據(jù)之間傳輸媒介，存在著諸多的安全問(wèn)題。例如，在進(jìn)行數(shù)據(jù)傳遞的過(guò)程中，稍有不慎就會(huì)將重要的數(shù)據(jù)信息泄露或丟失，這樣往往會(huì)造成不可彌補(bǔ)的損失。在信息存儲(chǔ)的過(guò)程中，安全問(wèn)題也不容忽視，云計(jì)算系統(tǒng)中，數(shù)據(jù)庫(kù)擁有強(qiáng)大的存儲(chǔ)功能和存儲(chǔ)空間，云計(jì)算系統(tǒng)應(yīng)該盡可能合理地優(yōu)化這一空間，使得由于不可抗力或者其他意外遭到丟失或者刪除的數(shù)據(jù)信息能夠得到備份和恢復(fù)，以挽回?fù)p失。在技術(shù)領(lǐng)域上，云計(jì)算是完全可以克服這一問(wèn)題的。避免在信息傳遞和存儲(chǔ)過(guò)程中的安全性問(wèn)題，并能夠保證所有云計(jì)算系統(tǒng)中提供的信息都是有益的和積極的，這已經(jīng)成為了云計(jì)算研究領(lǐng)域又一個(gè)需要解決的問(wèn)題[10]。在云計(jì)算的環(huán)境下，用戶數(shù)據(jù)在終端運(yùn)算，用戶不知道數(shù)據(jù)存儲(chǔ)的位置，在發(fā)生安全事故時(shí)，云服務(wù)商不能及時(shí)的告知用戶他們所存儲(chǔ)的數(shù)據(jù)遇到了怎樣的情況，用戶也就無(wú)法對(duì)所需運(yùn)輸?shù)臄?shù)據(jù)進(jìn)行及時(shí)的處理。例如：當(dāng)用戶的數(shù)據(jù)正在運(yùn)算過(guò)程中，突然遭遇斷電等突發(fā)事件，用戶的數(shù)據(jù)將無(wú)法得到保證。由于數(shù)據(jù)存放地點(diǎn)不清楚，數(shù)據(jù)恢復(fù)更是無(wú)從談起。而且有可能被不法份子盜取，這樣會(huì)給用戶造成巨大損失。2.3.3不成熟的技術(shù)層面云計(jì)算的最大的特點(diǎn)就是所有信息、數(shù)據(jù)和資料的形式都是虛擬的，而應(yīng)用的技術(shù)也是虛擬的，這種強(qiáng)大的虛擬特性，能夠很好地解決信息、數(shù)據(jù)和資料的延展性，很容易地實(shí)現(xiàn)拓寬信息的寬度和廣度，提高服務(wù)用戶的效率。但是，這種虛擬特性卻是一把雙刃劍，其在為用戶服務(wù)的過(guò)程中，也帶來(lái)了一定的安全問(wèn)題，一旦某一個(gè)虛擬的信息出現(xiàn)了問(wèn)題，這種危機(jī)將很快將延伸開(kāi)來(lái)，甚至?xí)绊懻麄€(gè)互聯(lián)網(wǎng)，給社會(huì)造成嚴(yán)重的損失。云計(jì)算技術(shù)，是一個(gè)需要持續(xù)運(yùn)行的服務(wù)平臺(tái)，這要保證向用戶提供信息、數(shù)據(jù)、資料的持續(xù)性，這一特性，對(duì)云計(jì)算的控制平臺(tái)提出了很高要求，必須要有超強(qiáng)的穩(wěn)定性能，保證數(shù)據(jù)處理、發(fā)布時(shí)間和精準(zhǔn)度。所以云計(jì)算技術(shù)的服務(wù)平臺(tái)必須是一個(gè)擁有強(qiáng)大的計(jì)算能力和持久性的平臺(tái)。對(duì)于云計(jì)算技術(shù)來(lái)說(shuō)，其運(yùn)行的最大目的就是能夠保障數(shù)據(jù)庫(kù)中所有資料安全、完整的存儲(chǔ)和傳遞，滿足用戶對(duì)資料的需求。另外，云計(jì)算系統(tǒng)一般都會(huì)涉及一些系統(tǒng)運(yùn)營(yíng)和存儲(chǔ)工具，會(huì)運(yùn)用一些關(guān)于安全性和機(jī)密性的技術(shù)方法，這些都是云計(jì)算與傳統(tǒng)信息安全模式相似的地方。當(dāng)然，云計(jì)算系統(tǒng)也在很多方面與信息安全模式存在著差異，計(jì)算云中的數(shù)據(jù)一般情況下都是虛擬狀態(tài)，這對(duì)云計(jì)算系統(tǒng)的管理和維護(hù)都提出了嚴(yán)峻的挑戰(zhàn)，并且在進(jìn)行轉(zhuǎn)變模式以后很容易會(huì)出現(xiàn)安全問(wèn)題，這些都是云計(jì)算系統(tǒng)較傳統(tǒng)的信息系統(tǒng)的一些不足和缺陷[11]。

第三章云計(jì)算技術(shù)層面怎么應(yīng)對(duì)網(wǎng)絡(luò)安全云計(jì)算在具有巨大商機(jī)的同時(shí)，也存在者諸多的安全風(fēng)險(xiǎn)，例如用戶數(shù)據(jù)的丟失和泄露、數(shù)據(jù)刪除的不徹底、、賬戶服務(wù)或通信的威脅、管理界面的損害、內(nèi)部威脅、不安全的API、云計(jì)算服務(wù)的惡意使用等眾多運(yùn)營(yíng)和使用的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可能會(huì)導(dǎo)致用戶數(shù)據(jù)保密性、可用性和完整性遭到嚴(yán)重的破壞。而最重要的是這些風(fēng)險(xiǎn)可能導(dǎo)致經(jīng)濟(jì)信息失控等嚴(yán)重的后果，因而可能直接危及國(guó)家的安全。3.1制度和標(biāo)準(zhǔn)統(tǒng)一經(jīng)過(guò)了多年的發(fā)展，云計(jì)算系統(tǒng)已經(jīng)成為了一個(gè)大眾、高效的信息傳播的平臺(tái)。但是云計(jì)算技術(shù)畢竟剛剛興起，在制度和標(biāo)準(zhǔn)的建立上需要更加具體、完善的保護(hù)。要對(duì)云計(jì)算系統(tǒng)的運(yùn)營(yíng)商和用戶進(jìn)行責(zé)任和義務(wù)的劃分。要基于云計(jì)算技術(shù)的發(fā)展模式和業(yè)務(wù)模式，盡快制定完善的法律法規(guī)和行業(yè)規(guī)范，使得云計(jì)算技術(shù)這一行業(yè)有統(tǒng)一的執(zhí)行標(biāo)準(zhǔn)和服務(wù)條例。例如：出臺(tái)相應(yīng)的數(shù)據(jù)保護(hù)法、建立云計(jì)算平臺(tái)網(wǎng)絡(luò)安全防護(hù)制度、建立應(yīng)急處置預(yù)案、明確云計(jì)算服務(wù)提供商管理責(zé)任、規(guī)范跨境云計(jì)算技術(shù)的經(jīng)營(yíng)模式，制定用戶使用日志留存規(guī)范等。云計(jì)算服務(wù)進(jìn)一步降低了互聯(lián)網(wǎng)業(yè)務(wù)的開(kāi)發(fā)和應(yīng)用門檻的同時(shí)，為信息創(chuàng)造了方便、快捷、廉價(jià)的傳播渠道，這不僅為用戶帶來(lái)了方便，也為企業(yè)帶來(lái)了效益。正因?yàn)槠淅娴尿?qū)動(dòng)，所以需配套建設(shè)有力的管控手段，以此來(lái)確保云計(jì)算服務(wù)行業(yè)的和諧。由于云計(jì)算服務(wù)范圍的廣泛性，使得對(duì)其的管理難度也很大。但是，我們可以將云計(jì)算服務(wù)按照使用對(duì)象、使用范圍以及業(yè)務(wù)模式等方面劃分為不同的安全等級(jí)要求，例如：根據(jù)使用對(duì)象可以劃分分為面向政府、企業(yè)和普通用戶的云服務(wù)；根據(jù)使用范圍可以劃分為私有云、公有云、混合云等，根據(jù)業(yè)務(wù)模式可以劃分為提供信息、數(shù)據(jù)、軟件和基礎(chǔ)設(shè)施資源的云服務(wù)等，并根據(jù)每個(gè)等級(jí)的特點(diǎn)和需求制定相應(yīng)的安全防護(hù)標(biāo)準(zhǔn)和等級(jí)保護(hù)制度?！盎旌显啤钡陌l(fā)展，將進(jìn)一步推動(dòng)云計(jì)算技術(shù)的發(fā)展。如今云計(jì)算技術(shù)已經(jīng)逐漸地推廣,眾多企業(yè)的信息數(shù)據(jù)將應(yīng)用虛擬化和自動(dòng)化,私有云和公共云的過(guò)渡與兼容而成為一種趨勢(shì)。創(chuàng)建可信可靠的“混合云”,提高安全措施,追求高效率是一種必然的發(fā)展趨勢(shì)。在將來(lái)，私有云將成為公共云服務(wù)系統(tǒng)的基石,加強(qiáng)IT數(shù)據(jù)中心和混合環(huán)境的控制,將成為“混合云”占領(lǐng)市場(chǎng)主導(dǎo)地位的動(dòng)力之一。除此之外，還可以建立誠(chéng)實(shí)可靠的第三方公共云服務(wù)平臺(tái)，如由企業(yè)提供的云服務(wù)平臺(tái)、由政府開(kāi)發(fā)的公共云服務(wù)平臺(tái)等等。經(jīng)過(guò)近幾年的發(fā)展，云計(jì)算技術(shù)在國(guó)內(nèi)外上都取得了可喜的成就，成為了廣大用戶可信任的一種服務(wù)模式。但是不管是在國(guó)內(nèi)還是國(guó)外，云計(jì)算技術(shù)上都沒(méi)有一個(gè)統(tǒng)一規(guī)范，在每一個(gè)服務(wù)上云計(jì)算都有自己獨(dú)特的一套手段，從而在信息數(shù)據(jù)的傳遞和共享方面不能融合，這使得廣大的云計(jì)算技術(shù)發(fā)展不集中，更不能形成合力。如果形成了一個(gè)統(tǒng)一標(biāo)準(zhǔn)，在應(yīng)用技術(shù)、方式方法上使得各服務(wù)商達(dá)到統(tǒng)一，這樣有利于整個(gè)云計(jì)算服務(wù)領(lǐng)域的高效發(fā)展。3.2實(shí)現(xiàn)用戶數(shù)據(jù)與信息的加密云計(jì)算服務(wù)的一般來(lái)說(shuō)是零星分散開(kāi)的，這就需要加強(qiáng)對(duì)數(shù)據(jù)訪問(wèn)的監(jiān)控。數(shù)據(jù)存在于網(wǎng)上和云技術(shù)提供的服務(wù)，用戶的授權(quán)限制的原因有可能訪問(wèn)不了用戶域也訪問(wèn)不了控制體系，所以也就沒(méi)有對(duì)用戶的一些關(guān)于隱私的數(shù)據(jù)得到很好的保護(hù)了。對(duì)于一些不良商販自賣自盜的行為，需要采取相應(yīng)的對(duì)策，其中最有效的是分級(jí)分權(quán)管理，不同的用戶擁有不同的權(quán)限，根據(jù)權(quán)限來(lái)訪問(wèn)對(duì)應(yīng)權(quán)限的數(shù)據(jù)，同時(shí)采取封裝策略，不透漏用戶數(shù)據(jù)具體的存儲(chǔ)位置，以此來(lái)保護(hù)數(shù)據(jù)的安全。對(duì)于云計(jì)算安全，防止外部人員盜取內(nèi)部數(shù)據(jù)是非常重要的，所以數(shù)據(jù)的隔離體系顯得尤為重要，其可以防止外來(lái)人員訪問(wèn)內(nèi)部資料。還可以采用加密技術(shù)來(lái)保證云計(jì)算的安全。在上傳前進(jìn)行秘鑰加密，上傳后再通過(guò)對(duì)應(yīng)的加密方式來(lái)解密，這樣就能保證在上傳過(guò)程中的安全性。至于加密的手段有很多，而且加密手段也很成熟。一般來(lái)說(shuō)，在數(shù)據(jù)加密的同時(shí)，大部分還會(huì)同時(shí)使用數(shù)據(jù)切分，就是把數(shù)據(jù)分成不同的部分分散存儲(chǔ)在不同區(qū)域的服務(wù)器上，這樣更能保證數(shù)據(jù)的安全性。如果想預(yù)防來(lái)自外面的攻擊那就需要通過(guò)完整的保護(hù)跟秘密的保駕護(hù)航，來(lái)保護(hù)存儲(chǔ)在硬盤中的數(shù)據(jù)不被剽竊，保護(hù)程序免于篡改。在這種情況下是無(wú)法區(qū)分訪問(wèn)是來(lái)自進(jìn)程內(nèi)或者是其他進(jìn)程：攻擊程序和受害程序運(yùn)行在同一個(gè)平臺(tái)上，另外還共同使用是個(gè)密碼加密程序（當(dāng)然也產(chǎn)生數(shù)據(jù)摘要）。這樣很明顯可以看出，安全終端不能僅僅只是抵御來(lái)自平臺(tái)之外的攻擊就可以實(shí)現(xiàn)的了。這么說(shuō)吧，有三個(gè)層次可以進(jìn)行進(jìn)程的隔離。如果存儲(chǔ)器在外部的話，進(jìn)程的不同，采取的措施也不同，來(lái)加密數(shù)據(jù)的秘要也不同，從而生成的加密摘要也不盡相同。假如進(jìn)程之間可以相互訪問(wèn)然而尼瑪可以互設(shè)不同，不僅在解密方面的話只會(huì)可能拿到錯(cuò)誤的信息，而且系統(tǒng)會(huì)在不能通過(guò)系統(tǒng)驗(yàn)證的情況下及時(shí)制止非法的訪問(wèn)。當(dāng)然還可以在硬件方面功夫使得軟件可以對(duì)密鑰，保護(hù)模式等進(jìn)行配置。數(shù)據(jù)的完整性顧名思義就是在長(zhǎng)時(shí)間內(nèi)，存儲(chǔ)在云端的數(shù)據(jù)是不會(huì)隨著時(shí)間的推移而改變的，也不會(huì)造成數(shù)據(jù)丟失什么的。在傳統(tǒng)意義上，如果想保證在云計(jì)算服務(wù)器里面的數(shù)據(jù)是安全的可以通過(guò)這幾個(gè)手段，第一通過(guò)拍照，備份是一種比較有效的措施，還有容災(zāi)等手段，數(shù)據(jù)備份的實(shí)現(xiàn)需要軟件硬件來(lái)支持，通過(guò)硬件備份就是再備用一個(gè)服務(wù)器，兩個(gè)服務(wù)器的數(shù)據(jù)相同，通過(guò)軟件備份就是用現(xiàn)有的企業(yè)的備份軟件來(lái)實(shí)現(xiàn)，可以按照用戶的需求來(lái)進(jìn)行操作包括在線備份，離線備份等，這樣對(duì)用戶的影響很少了。云計(jì)算的安全環(huán)境因?yàn)樘摂M記得加入而改變，但是也引起了很多前安全問(wèn)題。即便能夠解決，但是復(fù)出的代價(jià)未免過(guò)于昂貴（保護(hù)機(jī)制很復(fù)雜而且需要的安全工具和方法與主機(jī)使用的完全不同）。引入虛擬機(jī)引起的安全問(wèn)題包括以下內(nèi)容：攻擊打不了補(bǔ)丁，偵聽(tīng)是在脆弱的服務(wù)器端口進(jìn)行，安全措施差的賬戶可能會(huì)被綁架，密鑰（接入和管理主機(jī)）被盜。不過(guò)這樣也是可以的，為了解決這類問(wèn)題可以采取這樣的措施，通過(guò)選擇具有安全模塊的虛擬服務(wù)器來(lái)解決。此外，還需要為每一個(gè)服務(wù)器分一個(gè)獨(dú)立的硬盤分區(qū)，在進(jìn)行邏輯上隔離和進(jìn)行安裝的時(shí)候。如果要想實(shí)現(xiàn)虛擬服務(wù)器之間的隔離可以通功VLAN和不同的IP網(wǎng)來(lái)實(shí)現(xiàn)，他們之間的通訊可以通過(guò)VPN及有計(jì)劃的備份可以實(shí)現(xiàn)。3.3突破技術(shù)層面防范網(wǎng)絡(luò)安全問(wèn)題社會(huì)和人類的發(fā)展往往都是這樣，沒(méi)有人會(huì)知道未來(lái)會(huì)發(fā)生的事，云計(jì)算系統(tǒng)也一樣，不能抗拒的自然現(xiàn)象、一些硬件及軟件事故的發(fā)生，都會(huì)影響云計(jì)算的順利運(yùn)行，而作為服務(wù)商，必須要有風(fēng)險(xiǎn)意識(shí)，能夠做到未雨綢繆，在技術(shù)上給予更完善的保障，要形成一套比較完備的預(yù)備措施，一旦發(fā)生意外，將能夠立即對(duì)數(shù)據(jù)庫(kù)中的資料進(jìn)行備份和保護(hù)。在防范云計(jì)算在網(wǎng)絡(luò)上的風(fēng)險(xiǎn)，技術(shù)上的突破是必須要加強(qiáng)的。例如，SSL是大多數(shù)云計(jì)算安全應(yīng)用的基礎(chǔ)，但也可能成為一個(gè)主要的病毒傳播媒介，需要更多的監(jiān)控和管理。IaaS云服務(wù)商應(yīng)該保證這一物理架構(gòu)的安全性。一般來(lái)說(shuō)，只有經(jīng)過(guò)授權(quán)的員工才可以訪問(wèn)運(yùn)營(yíng)企業(yè)的硬件設(shè)備。IaaS提供商應(yīng)該及時(shí)對(duì)客戶的應(yīng)用數(shù)據(jù)進(jìn)行徹底的安全檢查，避免風(fēng)險(xiǎn)的發(fā)生，如執(zhí)行病毒程序等等。SaaS提供商則應(yīng)最大限度地確保提供給客戶的應(yīng)用程序和相關(guān)組件的安全性，用戶通常只需要負(fù)責(zé)操作層的安全功能，包括用戶的訪問(wèn)管理、身份驗(yàn)證等等。云計(jì)算技術(shù)的安全性實(shí)施措施可從服務(wù)端和客戶端兩個(gè)方面操作。作為服務(wù)端，安全性主要由服務(wù)的提供商來(lái)實(shí)現(xiàn),目前確保云中信息安全的方法主要有建立可信云、安全認(rèn)證、數(shù)據(jù)加密、法律和標(biāo)準(zhǔn)協(xié)議。如Google的SaaS提供的云服務(wù)就是具備比較專業(yè)規(guī)范的安全保證。數(shù)據(jù)的安全性和數(shù)據(jù)控制權(quán)是企業(yè)最關(guān)心的問(wèn)題之一,使用強(qiáng)加密和密鑰管理是云計(jì)算技術(shù)系統(tǒng)保護(hù)數(shù)據(jù)的一種核心機(jī)制。目前云中的機(jī)密數(shù)據(jù)必須通過(guò)合同責(zé)任、訪問(wèn)控制組、加密措施等進(jìn)行保護(hù)。密鑰管理可分為訪問(wèn)密鑰存儲(chǔ)、保護(hù)密鑰存儲(chǔ)、密鑰備份與恢復(fù)等。當(dāng)前有許多標(biāo)準(zhǔn)和指導(dǎo)方針對(duì)云中的密鑰管理適用,如OASIS密鑰管理協(xié)同協(xié)議(KMP),IEEE1619.3標(biāo)準(zhǔn)等[12]。通過(guò)在企業(yè)應(yīng)用程序中加入單點(diǎn)登錄SSO的認(rèn)證功能,采用強(qiáng)制用戶認(rèn)證、代理協(xié)同認(rèn)證、資源認(rèn)證、不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式。客戶端的安全性主要體現(xiàn)在網(wǎng)絡(luò)安全和用戶操作安全等方面。云計(jì)算的客戶端的網(wǎng)絡(luò)安全最直觀的體現(xiàn)是WEB應(yīng)用。WEB瀏覽器因開(kāi)放性和自身漏洞等原因,遭遇攻擊的頻率很高,因此成為計(jì)算中非常脆弱的環(huán)節(jié)之一。要保護(hù)用戶的證書和認(rèn)證密碼不被木馬盜竊,就必然要為其提供切實(shí)可行的深層次的防御技術(shù)。如趨勢(shì)科技推出主動(dòng)式服務(wù)TMHD,目前正研究的WEB應(yīng)用防火墻。作為云計(jì)算的用戶,進(jìn)行應(yīng)用云服務(wù)時(shí),應(yīng)該支持云安全技術(shù)的安全產(chǎn)品,這樣才能在基礎(chǔ)設(shè)施防御、端點(diǎn)安全、服務(wù)器和桌面取證與防御等方面,確保實(shí)時(shí)可靠的安全簽名升級(jí)與技術(shù)支持的服務(wù)。例如：保護(hù)云API密鑰的安全,就要求提供商提供多把密鑰,分開(kāi)存儲(chǔ)數(shù)據(jù)并做到備份數(shù)據(jù)。增強(qiáng)端點(diǎn)的可靠性,端點(diǎn)設(shè)備上要盡量少放數(shù)據(jù),防止數(shù)據(jù)丟失或者不能訪問(wèn),并確保備份數(shù)據(jù)在存儲(chǔ)和轉(zhuǎn)移時(shí)受到切實(shí)嚴(yán)密的保護(hù)。推出深入的云安全防御措施。黑客對(duì)公共云基礎(chǔ)設(shè)施和公共云防御措施的理解熟悉必將為其攻擊公共云提供技術(shù)上的支持,能有效防止被云計(jì)算的驅(qū)逐。深入的云安全防御措施的推出將是勢(shì)在必行的,將通向公共云眾多的大門注入新的防御措施以便能夠及時(shí)的發(fā)現(xiàn)所有可能發(fā)生的安全事件。關(guān)注云中數(shù)據(jù)安全性。云計(jì)算以迅猛之勢(shì)發(fā)展著,這必然引發(fā)云部署模型從單一模式走向綜合模式的優(yōu)化,各種公共云服務(wù)的綜合,又必然引發(fā)云中龐大數(shù)據(jù)管理與分析的技術(shù)的不斷更新,保護(hù)企業(yè)復(fù)合數(shù)據(jù)源的安全性和完整性是一個(gè)巨大的挑戰(zhàn)。同時(shí)，要注重隱私的精妙程序設(shè)置和云安全法則的制定出臺(tái)是云服務(wù)迫切期盼的云中應(yīng)用程序的開(kāi)發(fā)。CloudFoundry被提名為最佳開(kāi)發(fā)臺(tái),標(biāo)志著在云計(jì)算技術(shù)中開(kāi)發(fā)應(yīng)用軟件成為了一種新趨勢(shì)。對(duì)軟件行業(yè)來(lái)說(shuō),云計(jì)算真正為研發(fā)業(yè)務(wù)和研發(fā)管理提供了一個(gè)面向服務(wù)的、統(tǒng)一的、動(dòng)態(tài)規(guī)劃的平臺(tái),并從根本上消除了開(kāi)發(fā)的諸多局限性。3.4云計(jì)算網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)--入侵檢測(cè)和安全傳輸研究本文以上幾個(gè)小結(jié)提到了云計(jì)算作為一門新興的技術(shù)所存在的問(wèn)題和運(yùn)用理論知識(shí)如何解決進(jìn)行了闡述，僅有理論的知識(shí)還遠(yuǎn)遠(yuǎn)不夠，要在實(shí)際通信傳輸過(guò)程中解決此類問(wèn)題還需要在技術(shù)實(shí)踐方面進(jìn)行驗(yàn)證，而在以上所提到的安全問(wèn)題中，兩塊內(nèi)容不可不談，也是安全問(wèn)題的重中之重，一塊是云數(shù)據(jù)傳輸?shù)娜肭謾z測(cè)方方面，還有一個(gè)問(wèn)題就是關(guān)于怎么樣應(yīng)對(duì)安全傳輸?shù)膯?wèn)題，接下來(lái)本文就運(yùn)用網(wǎng)絡(luò)安全方面的知識(shí)結(jié)合云計(jì)算的安全理論，將這兩塊內(nèi)容結(jié)合起來(lái)探討研究。

第四章云計(jì)算入侵檢測(cè)要保證云計(jì)算在傳輸過(guò)程中的安全性能，除了以上幾個(gè)問(wèn)題之外，還有一個(gè)急需解決的問(wèn)題就是怎么樣應(yīng)對(duì)網(wǎng)絡(luò)入侵方面的問(wèn)題，其中包括云計(jì)算網(wǎng)絡(luò)傳輸過(guò)程中數(shù)據(jù)攜帶的的病毒，蠕蟲(chóng)，木馬等等，所以需要對(duì)云計(jì)算網(wǎng)絡(luò)傳輸進(jìn)行入侵檢測(cè)，但是傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)算法，對(duì)現(xiàn)在高流量大數(shù)據(jù)的監(jiān)測(cè)是力不從心的，所以在云計(jì)算時(shí)代對(duì)于入侵檢測(cè)算法的改進(jìn)是迫不及待的，接下來(lái)就云計(jì)算網(wǎng)絡(luò)入侵檢測(cè)的問(wèn)題展開(kāi)研究探討。4.1云計(jì)算入侵檢測(cè)系統(tǒng)簡(jiǎn)介云計(jì)算中入侵監(jiān)測(cè)系統(tǒng)的定義為（IntrusionDetecnSystem，簡(jiǎn)稱ⅢS）：監(jiān)視和分析在云計(jì)算網(wǎng)絡(luò)渠道中傳輸?shù)臄?shù)據(jù)和信息，從而發(fā)現(xiàn)來(lái)自云計(jì)算外部和內(nèi)部的異常。云計(jì)算檢測(cè)系統(tǒng)的具體實(shí)施解決方法是這樣的，假設(shè)是系統(tǒng)是存在問(wèn)題的，也就是不安全的，但是入侵行為的存在是能被檢測(cè)到的，通過(guò)監(jiān)測(cè)分析系統(tǒng)和用戶的行為。所以IIIs的主要作用是檢測(cè)并提交異常行為，發(fā)現(xiàn)入侵，其包括以下幾個(gè)方面。圖4.1入侵檢測(cè)系統(tǒng)分析圖(1)監(jiān)視、分析云數(shù)據(jù)端用戶及系統(tǒng)活動(dòng)；(2)檢臺(tái)系統(tǒng)配置及存在的漏洞：(3)評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；(4)識(shí)別己知的攻擊行為；(5)統(tǒng)計(jì)分析異常行為；(6)管理操作系統(tǒng)的日志．并識(shí)別違反用戶安全策略的行為4.2云計(jì)算網(wǎng)絡(luò)入侵檢測(cè)的分類網(wǎng)絡(luò)入侵檢測(cè)主要分為兩大類，這是根據(jù)數(shù)據(jù)來(lái)源的不同分類的，一種是主機(jī)型另外一種是網(wǎng)絡(luò)型和主機(jī)型，主機(jī)型主要是以日志作為參考，除此之外也可以通過(guò)方式比如那些從主機(jī)收集的信息進(jìn)行分析在進(jìn)行檢測(cè)。另一類是網(wǎng)絡(luò)型，其數(shù)據(jù)源有別于主機(jī)型，其采樣依據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。通常的做法是將網(wǎng)卡設(shè)置一下，當(dāng)云計(jì)算網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候?qū)魅氡揪W(wǎng)斷的數(shù)據(jù)包進(jìn)行抓包分析進(jìn)行判斷再進(jìn)行防范。4.3云計(jì)算網(wǎng)絡(luò)安全入侵檢測(cè)傳統(tǒng)的互聯(lián)網(wǎng)入侵檢測(cè)技術(shù)在算法上難以解決現(xiàn)在云技術(shù)時(shí)代的要求，原有的入侵技術(shù)在算法上簡(jiǎn)單的使用BM單模式匹配，其速度已經(jīng)滿足不了現(xiàn)有的網(wǎng)絡(luò)需求，所以在云技術(shù)時(shí)代的背景下新的檢測(cè)模式發(fā)揮著巨大的作用。4.3.1應(yīng)用于云計(jì)算傳輸?shù)哪Ｊ狡ヅ錂z測(cè)技術(shù)云傳輸模式匹配是基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。具有分析速度快、誤報(bào)率低等優(yōu)點(diǎn)。模式匹配檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)上的每個(gè)數(shù)據(jù)包的具體分析過(guò)程如下：(1)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較；(2)如果比較結(jié)果相同，則說(shuō)明檢測(cè)到一個(gè)可能的攻擊，輸出事件結(jié)果：(3)如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包下一個(gè)位置重新開(kāi)始比較：(4)直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束；(5)對(duì)于每一個(gè)攻擊特征，重復(fù)(1)至(3)開(kāi)始的比較：(6)直到每一個(gè)攻擊特征匹配完畢，則數(shù)據(jù)包的匹配分析完畢。圖4.2模式匹配檢測(cè)流程圖云計(jì)算檢測(cè)模塊涉及到許許多多字符，字節(jié)，或者字符串的匹配，所以匹配算法的優(yōu)劣性對(duì)系統(tǒng)檢測(cè)的性能是最為直接的體現(xiàn)。云計(jì)算監(jiān)測(cè)系統(tǒng)中的匹配算法常用到的有這兩種，一種是KMP算法，另外一種是BM算法。這兩個(gè)算法在惡劣的條件下均需要消耗呈線性的搜索時(shí)間，但是相對(duì)來(lái)說(shuō)BM算法較為先進(jìn)，其次數(shù)更加少，所以，BM經(jīng)常被首選為云計(jì)算用于檢測(cè)。這兩種云計(jì)算檢測(cè)算法都采用定長(zhǎng)順序存儲(chǔ)結(jié)構(gòu)，可以寫出不依賴于其他串操作的基本匹配算法。云計(jì)算模式匹配算法的基本思想是：從云端數(shù)據(jù)包主串S的第pos個(gè)字符起和模式的第一個(gè)字符比較之，若相等，則繼續(xù)逐個(gè)比較后續(xù)字符；否則從云數(shù)據(jù)流主串的下一個(gè)字符起再重新和模式的字符比較之。依次類推，直至模式T中的每個(gè)字符依次和主串S中的一個(gè)連續(xù)的字符序列相等，則匹配成功，函數(shù)值為和模式T中的第一個(gè)字符相等的字符在主串S中的序號(hào)，否則稱匹配不成功，函數(shù)值為零。其具體的檢測(cè)算法為圖4.3檢測(cè)算法但是模式匹配的算法在云計(jì)算安全方面還有值得改進(jìn)的地方使其速度更快在匹配模式的進(jìn)一步改進(jìn)過(guò)程中產(chǎn)生了KMP算法。4.3.2KMP算法在云計(jì)算中的應(yīng)用KMP算法是D．E．Knuth與V．RPratt和J．HMorris同時(shí)研究出的，因此人們稱其為克努特一莫里斯一普拉特操作(簡(jiǎn)稱為KMP算法)此算法可以在O(n+m)的時(shí)間數(shù)量級(jí)上完成模式匹配。因?yàn)槠渌俣瓤斓忍匦员粦?yīng)用于云技術(shù)中，常用來(lái)解決云端數(shù)據(jù)傳輸過(guò)程中的檢測(cè)數(shù)據(jù)流的作用。其特點(diǎn)為：每當(dāng)一趟匹配過(guò)程中出現(xiàn)字符比較不等時(shí)，不需回溯指針，而是利Hj已經(jīng)得到的“部分匹配”的結(jié)果將模式向右“滑動(dòng)”盡可能遠(yuǎn)的一段距離后，繼續(xù)進(jìn)行比較。算法的基本思想是，云計(jì)算傳輸數(shù)據(jù)主串不動(dòng)，云傳輸模式串移動(dòng)，對(duì)于云傳輸模式串P(P1P2P3Pm)和云傳輸數(shù)據(jù)主串S(S1S2S3Sm,n>m)，(1)若P=S，則繼續(xù)往前匹配比較，檢查P和S。(2)若P≠S,則考慮下列兩種情況：①j=1，則執(zhí)行s。。和P的匹iELt較，相當(dāng)于移動(dòng)主串到下一個(gè)位置重新與模式串匹配：②若1<j<-m，將模式串向右移動(dòng)到Next[j]，即使j=Next[j]，再次比較P，和S，；(3)重復(fù)上述過(guò)程直到j(luò)>m，說(shuō)明匹配成功，或者i>n-m+l說(shuō)明匹配失敗。K歸算法的核心是構(gòu)造next函數(shù)。計(jì)算next函數(shù)的代碼如下：voidget_next(SStringT,intnext[])

{i=1;next[1]=0;j=0;

while(i<T[0])

{

if(j==0||T[i]==T[j])

{++i;++j;next[i]=j}

elsej=next[j];

}

}

voidget_nextval(SStringT,intnextavl[])

{

i=1;nextavl[1]=0;j=0;

while(i<T[0])

{

if(j==0||T[i]=T[j])

{

++i;++j;

if(T[i]!=T[j])

nextavl[i]=j;

elsenextval[i]=nextval[j];

}

elsej=nextval[j];

}

}具體流程圖操作如下將以上主要函數(shù)加以主函數(shù)寫出完整的C語(yǔ)言代碼，在VisualC++6.0中運(yùn)行。本操作的流程圖如下所示：圖4.4算法檢測(cè)流程圖當(dāng)KMP算法應(yīng)用于云計(jì)算中時(shí)，當(dāng)有數(shù)據(jù)在云端客戶端進(jìn)行傳輸?shù)臅r(shí)候，云端數(shù)據(jù)流首先提供一個(gè)主串，主串的作用相當(dāng)于模板，當(dāng)有數(shù)據(jù)流在用戶和云端進(jìn)行傳輸時(shí)，叫這個(gè)為模式串，此時(shí)就需要將主串和模式串進(jìn)行比較，具體流程如下先有云數(shù)據(jù)傳輸主串S當(dāng)作模板數(shù)據(jù)在傳輸中為模式串t將主串和模式串進(jìn)行比對(duì)如果S中含有T，輸出位置如果沒(méi)有，則輸出不含有圖4.5KMP算法檢測(cè)流程圖經(jīng)過(guò)這樣的比對(duì)可以將兩組數(shù)據(jù)對(duì)照確保傳輸途中的數(shù)據(jù)完整性4.3.3BM算法的云傳輸檢測(cè)BM算法是Boyer和Moore提出的，其和KMP算法類似，都是主串位置不動(dòng)，將模式串沿著主串向右移動(dòng)。BM算法最大的特點(diǎn)是引入了自右向左的模式串匹配技術(shù)，其基本原理是：在正文串中每隔一定距離(最大為模式串的長(zhǎng)度)取出一個(gè)字符，通過(guò)字符位置表確定該字符是否在模式串中出現(xiàn)，若出現(xiàn)則進(jìn)一步確定在模式串哪個(gè)位置出現(xiàn)，由此決定進(jìn)一步的匹配或移動(dòng)，否則直接跳過(guò)這一段的匹配。移動(dòng)Shift[1?{z)]是BM算法運(yùn)行的基礎(chǔ)，z中的字符ch通過(guò)index(ch)函數(shù)映射到Shift數(shù)組的一個(gè)下標(biāo)序號(hào)，slIiRl【index(ch)】記錄字符ch在模式串中最右出現(xiàn)的位置序號(hào)，沒(méi)有在模式串中出現(xiàn)的字符其對(duì)應(yīng)項(xiàng)的值記為0。如字符集為26個(gè)英文字母，模式串a(chǎn)ba．那么Shiftl[index(a)]=3，Shifll[index(b)]=2，Shiftl[index(c)3=o。在模式串中出現(xiàn)兩個(gè)a，S11iftl[index(a)】表示最右邊a的位置，因而ShiftI[index(a)]=3而不是1。Shiftl數(shù)組在匹配之前先求出。__BM算法的匹配思想大致如下：模式串由右端開(kāi)始進(jìn)行匹配，當(dāng)模式串中的字符與對(duì)應(yīng)的正文串字符ch不匹配(該字符ch被稱為失敗字符)時(shí)，由Shiftl數(shù)組杳出該失敗字符ch在模式串中最右出現(xiàn)的位置ShiftI[index(oh)]，若Shiftl[index(ch)】>o，產(chǎn)生一個(gè)右向移動(dòng)(令Shift[index(ch)]表示m—Shifll[index(ch)]，m為模式串長(zhǎng))，移動(dòng)后正文中的字符ch正好與模式串中的字符ch位置相對(duì)應(yīng)，然后重復(fù)開(kāi)始的動(dòng)作，從右向左回溯匹配模式串；若ShiftI『index(ch)]=O，表示ch不在模式串出現(xiàn)，正文串當(dāng)前位置向右移動(dòng)m(模式串長(zhǎng)度)，然后重復(fù)開(kāi)始的動(dòng)作，從右向左回溯匹配模式串。以s_”exampleoftheBoyerMoorealgorithm“，P=”algorithm”為例：algorithm(-Pattern876543210(--Shifl[index(ch)]=m-Shiffl[index(ch)]首先比較的是主串中的?O’和模式串中的”m”，如圖3．1所示。圖4.6主串和模式串比較示意圖比較不等，查看模式串可知，”o”出現(xiàn)在模式串中，Shift[index(o)]值為5，因此將模式串向右移動(dòng)5個(gè)位置，繼續(xù)比較?e‘和“m”，如圖3．2所示。圖4.7主串和模式串比較示意圖比較不等，同時(shí)發(fā)現(xiàn)”e¨不出現(xiàn)在模式串中，模式串向右移動(dòng)9個(gè)位置(模式串長(zhǎng)度)因此將整個(gè)模式串向右移動(dòng)到?et的下一個(gè)位置繼續(xù)比較。如圖3．3所示。圖4.8主串和模式串比較示意圖依次比較下去然后比較相等圖3.4所示圖4.9主串和模式串比較示意圖BM算法的CreateShift函數(shù)如下所示：voidCreate_Shift(char+P，intshift[]){for(int}o；i<MAxcHAR：i++)／／MAXCHAP,為Σ中字符的個(gè)數(shù)shift[i]=stden(P)；for(i=strlen(P)-1；i_0；i一)if(shifi(P[i])一strlen(P))shift[P[i]]=strlen(P)-i-1；}BM在云計(jì)算中的實(shí)現(xiàn)需要做一些改進(jìn)，以應(yīng)對(duì)更加龐大數(shù)據(jù)，高速度的云時(shí)代，其中具體實(shí)現(xiàn)過(guò)程如下，云端數(shù)據(jù)主串的位置是保持不動(dòng)的，與KMP不同的是云傳輸數(shù)據(jù)模式串在從右向左移動(dòng)來(lái)查找處傳中相似的字符，從主串中取一定距離的長(zhǎng)度字符串進(jìn)行模式串的匹配，如果出現(xiàn)則記錄位置否則跳過(guò)這一段的匹配。云計(jì)算中BM算法的實(shí)現(xiàn)示意圖，如下圖BM算法的實(shí)現(xiàn)示意圖，如下圖圖4.10BM算法的實(shí)現(xiàn)示意圖云計(jì)算BM算法實(shí)現(xiàn)具體流程圖的實(shí)現(xiàn)跟KMP算法相差不多具體見(jiàn)下圖圖4.11云計(jì)算BM算法實(shí)現(xiàn)具體流程圖4.3.4云計(jì)算應(yīng)用中兩種算法的分析比較綜上所述，KMP算法提取了字符串中字符之間的序列關(guān)系作為啟發(fā)式信息，根據(jù)模式字符串中相同子串的位置關(guān)系確定匹配失敗時(shí)移位的步長(zhǎng)；BM算法提取了模式字符串中字符的位置信息作為啟發(fā)函值，但該算法最突出的優(yōu)點(diǎn)在于將模式字符串的滑動(dòng)方向和模式中字符的匹配方向置為相反的方向，這樣就極大提高了匹配的速度，一般情況下，BM算法要比KMP算法快3-5倍。在當(dāng)前的入侵檢測(cè)系統(tǒng)中，BM檢測(cè)算法在基于模式匹配的網(wǎng)絡(luò)級(jí)入侵檢測(cè)中得到了廣泛的應(yīng)用，但是這種檢測(cè)算法在高速網(wǎng)絡(luò)中并不能很好的完成檢測(cè)任務(wù)，隨著網(wǎng)絡(luò)傳輸速度的快速發(fā)展，使用BM的檢測(cè)算法將成為影響檢測(cè)速度的瓶頸。究其原因，這計(jì)種檢測(cè)算法的啟發(fā)函數(shù)是針對(duì)單模式匹配設(shè)計(jì)的，無(wú)法同時(shí)對(duì)多個(gè)模式進(jìn)行匹配，速度難以提高。目前，入侵檢測(cè)系統(tǒng)中使用的數(shù)據(jù)包有效載荷攻擊檢測(cè)算法難以滿足網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的需要：首先，網(wǎng)絡(luò)級(jí)入侵檢測(cè)系統(tǒng)必須對(duì)所有經(jīng)過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測(cè)，但是由于數(shù)據(jù)包有效載荷攻擊檢測(cè)的速度過(guò)慢總是產(chǎn)生不必要的延遲，為了網(wǎng)絡(luò)的安全，就必須減緩網(wǎng)絡(luò)的傳輸速度，這就嚴(yán)重影響到了網(wǎng)絡(luò)的性能；其次，為了最大程度保證網(wǎng)絡(luò)的性能，必須精簡(jiǎn)不必要的檢測(cè)，使得在設(shè)計(jì)網(wǎng)絡(luò)入侵檢測(cè)規(guī)則庫(kù)時(shí)，檢測(cè)的規(guī)則不能設(shè)計(jì)太多，這樣就會(huì)造成規(guī)則庫(kù)內(nèi)容不完善，進(jìn)而造成檢測(cè)過(guò)程中的漏檢和誤槍，影響了檢測(cè)的效率和網(wǎng)絡(luò)的安全。這樣的矛盾是入侵檢測(cè)系統(tǒng)難以避免的，沒(méi)有哪個(gè)入侵檢測(cè)系統(tǒng)能夠做到?jīng)]有誤報(bào)和漏報(bào)，畢竟攻擊手段在不斷更新，規(guī)則庫(kù)的更新畢竟無(wú)法及時(shí)更新。設(shè)計(jì)者所能做到的只能是盡可能的減少誤報(bào)和漏報(bào)，在此基礎(chǔ)上做到使網(wǎng)絡(luò)入侵檢測(cè)速度盡可能的提高。因此，設(shè)計(jì)新的有效載荷攻擊檢測(cè)算法，解決高速網(wǎng)絡(luò)中檢測(cè)速度延遲過(guò)大的問(wèn)題，是符合當(dāng)前入侵檢測(cè)快速發(fā)展要求的研究方向。

第五章云計(jì)算的安全傳輸這一章的主要內(nèi)容來(lái)源于網(wǎng)絡(luò)加密方面的知識(shí)，關(guān)于在信息安全原理和技術(shù)方面的自己的一些相關(guān)理解和知識(shí)，運(yùn)用于解決云計(jì)算在傳輸方面提供一些自己的思路和想法，其中主要著重點(diǎn)在于IPSec協(xié)議方面和公鑰基礎(chǔ)設(shè)施PKI這塊，在云計(jì)算日益流行的今天用于解決加密和傳輸這塊的內(nèi)容也是問(wèn)題百出，上一章講到檢測(cè)算法，這一章主要為解決安全傳輸方面尋找方法。5.1IPSec協(xié)議在云計(jì)算傳輸中的應(yīng)用5.1.1IPSec協(xié)議介紹IPSec（InternetProtocolSecurity）是安全聯(lián)網(wǎng)的長(zhǎng)期方向。其通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與Internet的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解IPSec保護(hù)的計(jì)算機(jī)。在Windows2000、WindowsXP和WindowsServer2003家族中，IPSec提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)），Extranet以及漫游客戶端之間的通信。就算云技術(shù)再厲害傳輸速度快再快，容量再多，服務(wù)再到位，也是最基本的通過(guò)網(wǎng)絡(luò)來(lái)傳輸?shù)?，而TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層就是IP層面，IP作為作為網(wǎng)絡(luò)層協(xié)議，他的安全保證著上層各種應(yīng)用服務(wù)，所以IP安全在整個(gè)云計(jì)算傳輸中的分量是重中之重的，其中IPSec是一組安全協(xié)議，其體系結(jié)構(gòu)見(jiàn)下圖。圖5.1IPSec安全體系結(jié)構(gòu)圖5.1.2IPSec協(xié)議在云計(jì)算的應(yīng)用設(shè)計(jì)本文所實(shí)現(xiàn)的設(shè)計(jì)思路是這樣的，首先設(shè)計(jì)四個(gè)用戶，兩個(gè)用戶組，一個(gè)云端機(jī)構(gòu)，要想想實(shí)現(xiàn)的是，四個(gè)用戶即兩個(gè)用戶組與云端進(jìn)行加密通信，加密利用3DES加密保證能夠安全通信。具體實(shí)現(xiàn)圖如下圖5.2設(shè)計(jì)思路示意圖圖5.3設(shè)計(jì)思路示意圖對(duì)用戶1邊界路由的設(shè)計(jì)概述將用戶1訪問(wèn)云平臺(tái)的信息進(jìn)行加密，通過(guò)配置密鑰交換策略、加密算法，認(rèn)證方法。cryptoisakmppolicy10encr3deshashmd5authenticationpre-sharecryptoisakmpkey123addresscryptoipsectransform-setset1esp-3des加密圖的配置cryptomapmap110ipsec-isakmpsetpeersettransform-setset1matchaddress111隧道的配置interfaceTunnel0ipaddresstunnelsourceSerial1/0tunneldestinationtunnelmodegreip用戶2的邊界路由概述將用戶2訪問(wèn)云平臺(tái)的信息進(jìn)行加密，通過(guò)配置密鑰交換策略、加密算法，認(rèn)證方法。cryptoisakmppolicy20encr3deshashmd5authenticationpre-sharecryptoisakmpkey123addresscryptoipsectransform-setset1esp-3des加密圖的配置cryptomapmap110ipsec-isakmpsetpeersettransform-setset2matchaddress112隧道的配置interfaceTunnel0ipaddresstunnelsourceSerial1/0tunneldestinationtunnelmodegreip對(duì)云計(jì)算平臺(tái)邊界路由的關(guān)鍵配置cryptoisakmppolicy10encr3deshashmd5authenticationpre-sharecryptoisakmppolicy20encr3deshashmd5authenticationpre-sharecryptoisakmpkey123addresscryptoisakmpkey123addresscryptoipsectransform-setset1esp-3descryptoipsectransform-setset2esp-3descryptomapmap110ipsec-isakmpsetpeersettransform-setset1matchaddress111cryptomapmap120ipsec-isakmpsetpeersettransform-setset2matchaddress112interfaceTunnel0ipaddresstunnelsourceSerial1/0tunneldestinationtunnelmodegreipinterfaceTunnel1ipaddresstunnelsourceSerial1/0tunneldestinationtunnelmodegreip測(cè)試用戶1訪問(wèn)云計(jì)算平臺(tái)圖5.4用戶1訪問(wèn)云計(jì)算平臺(tái)示意圖通過(guò)GRE封裝圖5.5GRE封裝圖在隧道中采用的加密算法圖5.6加密算法示意圖用戶2訪問(wèn)云計(jì)算平臺(tái)圖5.7用戶2訪問(wèn)云計(jì)算平臺(tái)示意圖通過(guò)GRE封裝圖5.8GRE封裝示意圖在隧道中采用的加密算法圖5.9加密算法示意圖云平臺(tái)向用戶提供服務(wù)圖5.10云平臺(tái)提供服務(wù)示意圖同樣也采用gre封裝，采用3des加密圖5.11封裝加密示意圖圖5.12云平臺(tái)提供服務(wù)示意圖現(xiàn)在對(duì)該設(shè)計(jì)進(jìn)行說(shuō)明：兩個(gè)用戶分別通過(guò)互聯(lián)網(wǎng)對(duì)云計(jì)算平臺(tái)進(jìn)行加密訪問(wèn)，具體的實(shí)現(xiàn)驗(yàn)證如下圖5.2公鑰基礎(chǔ)設(shè)施PKI應(yīng)用于云計(jì)算5.2.1公鑰基礎(chǔ)設(shè)施PKI的介紹PKI是一組在分布式計(jì)算系統(tǒng)中利用公鑰技術(shù)和 X.509證書所提供的安全服務(wù)，其出現(xiàn)能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明的提高加密、數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理。PKI的2主要作用也是其特別之處就是用一套軟硬件結(jié)合的系統(tǒng)和安全策略的集合，其提供了一整套的安全機(jī)制，在通信過(guò)程中雖然不知道對(duì)方的身份或分布的很廣的情況下，一切以證書為基礎(chǔ)，再進(jìn)行通信交易。其系統(tǒng)的具體組成如下圖；圖5.13PKI系統(tǒng)組成示意圖5.2.2PKI在云計(jì)算中的應(yīng)用框架設(shè)計(jì)根據(jù)PKI的組成結(jié)構(gòu)和云計(jì)算平臺(tái)的構(gòu)架，再通過(guò)向老師請(qǐng)教通過(guò)老師細(xì)心教導(dǎo)，結(jié)合自身所學(xué)和網(wǎng)上知識(shí)本文將這兩個(gè)部分設(shè)計(jì)到了一起，在設(shè)計(jì)之初，考慮的是怎么樣才能將云中的大量數(shù)據(jù)認(rèn)證和安全傳輸?shù)男枨髮⑦@兩部分怎么樣完美融合，現(xiàn)在將設(shè)計(jì)圖見(jiàn)圖中可能會(huì)問(wèn)這樣設(shè)計(jì)的理由有什么其中本文的設(shè)計(jì)思路是這樣的，首先要做的就是把云計(jì)算中的平臺(tái)服務(wù)目錄和PKI中的RA整合到一個(gè)服務(wù)器中，這樣做的目的有以下幾個(gè)（1）首先呢這樣做可以很快的響應(yīng)用戶要求；而且方便了云服務(wù)中用戶的身份和信息的認(rèn)證（2）在此服務(wù)器中可以存儲(chǔ)和管理用戶委派的代理證書，通過(guò)這個(gè)證書呢，就代表用戶有權(quán)訪問(wèn)和使用云服務(wù)了（3）因?yàn)镃A是可以離線操作的，將其和云數(shù)據(jù)獨(dú)立開(kāi)來(lái)，從中很大程度上避免了來(lái)自云中的威脅，這樣也保證了CA的安全，（4）CA的分開(kāi)會(huì)造成其不能完成對(duì)證書申請(qǐng)進(jìn)行身份審核的工作，沒(méi)關(guān)系這個(gè)工作由RA來(lái)接替，這樣也進(jìn)一步減輕了CA的負(fù)擔(dān)（5）設(shè)計(jì)的這個(gè)系統(tǒng)框架主要還是一云計(jì)算為主體，PKI保證云的安全傳輸，這樣就保證了云服務(wù)供應(yīng)商的優(yōu)勢(shì)地位，提高了聲譽(yù)和信任圖5.14PKI應(yīng)用于云計(jì)算的系統(tǒng)架構(gòu)圖5.2.3PKI應(yīng)用于云計(jì)算的系統(tǒng)框架圖解釋現(xiàn)在對(duì)所設(shè)計(jì)的系統(tǒng)架構(gòu)圖進(jìn)行解釋說(shuō)明：1)根CA是PKI系統(tǒng)最權(quán)威的認(rèn)證中心，是CA與用戶建立信任關(guān)系的基礎(chǔ)和信任的起點(diǎn)，負(fù)責(zé)管理子CA、制定根策略等。依靠根CA之間的交叉認(rèn)證實(shí)現(xiàn)了信任的傳遞，擴(kuò)大了PKI安全域范圍，有效滿足了分布式系統(tǒng)的安全需求；子CA負(fù)責(zé)管理RA，定期發(fā)布CRL，向用戶和云服務(wù)提供商簽發(fā)、撤銷和更新證書；2）RA對(duì)提交證書申請(qǐng)的用戶身份進(jìn)行審核，審核通過(guò)后，向子CA提交證書申請(qǐng)；充當(dāng)安全代理；LDAP/OCSP服務(wù)器向外界提供用戶身份和證書狀態(tài)信息查詢功能。PKI在選定服務(wù)目錄作為其RA之前，必須對(duì)云服務(wù)提供商進(jìn)行嚴(yán)格審查，要注意的問(wèn)題有：1）對(duì)服務(wù)商進(jìn)行安全性測(cè)試；2）PKI策略與云服務(wù)商規(guī)章有無(wú)沖突之處；3）PKI和云服務(wù)商的權(quán)限與職責(zé)劃分是否科學(xué)明確，這一點(diǎn)非常重要；4）服務(wù)商是否能長(zhǎng)期平穩(wěn)發(fā)展。完成審查后，PKI向云服務(wù)商頒發(fā)CA簽發(fā)的證書。用戶（可以是個(gè)人、系統(tǒng)和應(yīng)用）使用服務(wù)商提供的云客戶端API，通過(guò)Web瀏覽器創(chuàng)建賬戶，進(jìn)行云計(jì)算服務(wù)的注冊(cè)，注冊(cè)功能在服務(wù)目錄（即RA）上實(shí)現(xiàn)。RA審核用戶的信息是否具有獲得證書的權(quán)利，當(dāng)用戶通過(guò)RA的審核后，RA將用戶的信息以安全的途徑傳給CA，CA利用自己私