[[127302]]

由于互聯(lián)網(wǎng)的急速發(fā)展，存儲、計算機能量消耗，數(shù)據(jù)急劇增長，成本也隨之升高，原始的互聯(lián)網(wǎng)系統(tǒng)與服務(wù)設(shè)計已經(jīng)不能解決上述種種問題，互聯(lián)網(wǎng)急需新的解決方案。2007年一個稱為“云計算”的概念***被Google提出，這是一個美麗的網(wǎng)絡(luò)應(yīng)用模式。隨后，這一IT技術(shù)風(fēng)暴席卷了整個IT界，為全球IT界帶來了一場全新的變革。

云計算是在分布式計算(Distributed Computing)、網(wǎng)格計算(Grid Computing)、并行計算(Parallel Computing)等發(fā)展的基礎(chǔ)上提出的一種新型計算模型，是一種新興的共享基礎(chǔ)框架的方法，它面對的是超大規(guī)模的分布式環(huán)境，核心是提供數(shù)據(jù)存儲和網(wǎng)絡(luò)服務(wù)。例如，Google投資建立了全球***的數(shù)據(jù)中心，提供的云服務(wù)有：Google Apps、Google Dos等。Google Apps為用戶提供了類似office的文字、電子表格功能，還有電子郵件、IM、日歷、網(wǎng)頁創(chuàng)建等服務(wù)，可以實現(xiàn)協(xié)同辦公。Google Docs是Google出品的一套在線辦公軟件?？梢蕴幚砗退阉魑臋n、表格、幻燈片，并可以通過網(wǎng)絡(luò)和他人分享，有g(shù)oogle的帳號就能使用。

由于云計算不同于現(xiàn)有的以桌面為核心的數(shù)據(jù)處理和應(yīng)用服務(wù)都在本地計算機中完成的使用習(xí)慣，而是把這些都轉(zhuǎn)移到“云”中，它將改變我們獲取信息，分享內(nèi)容和相互溝通的方式，于是，隨之產(chǎn)生的是客戶的重要數(shù)據(jù)和應(yīng)用服務(wù)在云中的安全問題。當(dāng)所有的計算行為和數(shù)據(jù)存儲都散布在聚散無形虛無縹緲的云中的時候，人們將會普遍感到失控的恐慌，并毫無例外地產(chǎn)生云是否會破壞他們的隱私進(jìn)而損害他們的權(quán)益的質(zhì)疑。

云服務(wù)模型

目前人們熟知的云服務(wù)模型分為三種， IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）和SaaS（Software as a Service）。三種云服務(wù)模型的安全防護在方法和責(zé)任上都有所不同：

SaaS為云提供商提出了***的安全要求，使得他們需要建立從頂層應(yīng)用到底層硬件的整體防護體系以確保服務(wù)的安全，從而承擔(dān)了絕大部分安全責(zé)任，但是這也限制了用戶的自由發(fā)揮；

相反的，IaaS給予了用戶足夠的自由度構(gòu)建自己所需的計算環(huán)境進(jìn)而開發(fā)或部署所需的應(yīng)用，但是它也要求用戶必須自行管理計算系統(tǒng)層次架構(gòu)中除底層硬件以外的所有層次，而提供商只需考慮硬件層的安全問題；

PaaS位于其它兩種服務(wù)模型之間，既需要服務(wù)提供商提供基本的安全防護，又需要用戶針對實際需求進(jìn)行有差異的安全配置，才能構(gòu)成完備的防護體系，但這也使得提供商和用戶之間的責(zé)任邊界變得模糊。

那么云計算到底存在著哪些安全問題呢？

首先，在技術(shù)方面，按照Google的理念，如果云計算得以實現(xiàn)的話，那么未來人們在本地硬盤上幾乎不保存數(shù)據(jù)，所有的數(shù)據(jù)都在“云”里，一旦發(fā)生由于技術(shù)方面的因素導(dǎo)致的服務(wù)中斷，那么用戶只能束手無策。

其次，"云"對外部來講其實是不透明的。當(dāng)計算服務(wù)是由一系列的服務(wù)商來提供(即計算服務(wù)可能被依次外包)時,每一家接受外包的服務(wù)商基本上是以不可見的方式為上一家服務(wù)商提供計算處理或數(shù)據(jù)存儲的服務(wù), 這樣,每家服務(wù)商使用的技術(shù)其實是不可控的, 甚至有可能某家服務(wù)商會以用戶未知的方式越權(quán)訪問用戶數(shù)據(jù)。

基于PKI技術(shù)的應(yīng)用產(chǎn)品——數(shù)字證書，是一種應(yīng)對云計算安全與可信的重要手段。我們都知道PKI技術(shù)是互聯(lián)網(wǎng)安全與可信的基礎(chǔ)設(shè)施，通過數(shù)字證書(公鑰和私鑰，加密算法和摘要算法)、證書頒發(fā)機構(gòu)(CA機構(gòu))、證書鏈(受信任的根證書頒發(fā)機構(gòu)-中級根證書頒發(fā)機構(gòu)-用戶證書)、證書管理(申請、頒發(fā)、吊銷、重新頒發(fā)、續(xù)期)等幾大原素，實現(xiàn)各種網(wǎng)絡(luò)應(yīng)用中的安全加密和可信認(rèn)證問題。

利用PKI技術(shù)應(yīng)對云計算中安全問題：

• 服務(wù)器端部署SSL證書來實現(xiàn)傳輸通道加密，確保機密數(shù)據(jù)傳輸安全；同時，服務(wù)器上機密數(shù)據(jù)用證書加密存儲，解密后在https下瀏覽；
• 各種代碼(PC代碼和移動 APP代碼)都要有數(shù)字簽名，來保證代碼的真實可信身份和防止代碼被惡意篡改；
• 所有電子郵件都必須有數(shù)字簽名來確保郵件的真實身份，含有機密信息的電子郵件都必須用證書加密發(fā)送；
• 所有機密文件都必須轉(zhuǎn)換成PDF格式并用證書加密！
• 所有網(wǎng)上提交的材料都必須有數(shù)字簽名，確保網(wǎng)上辦事的法律效力和不可抵賴。
• 所有聯(lián)網(wǎng)設(shè)備都一個可信計算證書，用于證明設(shè)備可信身份和加密各種數(shù)據(jù)與各種通信。

應(yīng)對措施中所涉及的數(shù)字證書，***找本國注冊的CA機構(gòu)，總部或資產(chǎn)在本國，且有較大規(guī)模，具有長久的存續(xù)能力。只有這樣，才能保證其尊重本國法律，受法律保護，長久提供穩(wěn)定、可靠、安全的數(shù)字證書服務(wù)，例如在中國必須是拿到工信部CA牌照的CA機構(gòu)（如沃通CA）。

博文出處：http://my.oschina.net/kmg/blog/372983