云计算安全问题初探.docVIP

云计算安全问题初探 　　摘 要：本文通过对AmazonDynamo基础存储架构以及独特的EC2架构的分析认为，部分云计算安全问题正在得到缓解。但是，总体而言，云计算来自内外两个方面的安全问题仍然严峻，需要我们投入更多的精力予以面对。 　　关键词：云计算；AmazonDynamo；EC2；云安全 　　中图分类号：TP311 　　自2003年美国国家科学基金会投资830万美元支持的“网格虚拟化和云计算VGrADS”项目正式启动了云计算的研发序幕，十年间，云计算在全球各个领域取得了长足的发展，但是其安全问题却伴随着这种发展愈加凸显。在IDC（互联网数据中心）的一次关于“用户认为云计算模式的调整和问题是什么”的调查中，安全性以74.6%位居榜首，由此可见“安全性”已经成为了云计算发展必须面对的头号难题。事实上，业界针对云计算安全性问题的研究从未停止，也取得了令人瞩目的成就，其中，Amazon就是其中较为典型的代表。但事实却依然表明，即便先进如Amazon，仍然也无法摆脱安全性问题的困扰。 　　1 含义 　　有关云计算，到目前为止，业界仍然没有一个公认的有关云计算的定义。一个比较通用的解释认为云计算包括三种含义。一种云的含义，指的是软件即服务（Softwareasaservice，简称SaaS），即可以在线访问的软件应用，销售力网、谷歌应用（Google Apps）以及百会（Zoho）就提供这样的服务。云还有一个含义，指的是基础设施即服务（Infrastructureasaservice，简称IaaS），即向用户出租服务器，按时间计费，AmazonEC2就提供这样的服务。云的另外一个含义，指的是平带即服务（Pl at form asaservice，简称PaaS），即提供工具，让用户建造在宿主云中运行的软件。这些含义在技术圈子里非常通用，已经明确写入美国国家标准技术研究所（National Institute of Standardsand Technology，简称NIST）的标准性文件。一般认为，云计算是一种分布式并行计算系统，由一组通过各种网络技术相互连接的虚拟化的计算资源组成，通过用户和服务商预先制定的服务协议，作为一个动态的计算资源实体来提供各种服务。简单的说，云计算平台可以通过网络，利用分布式并行计算系统和虚拟化等技术为用户构建一个专用的可以近乎于无限扩展的资源池，为用户提供按需自助的、可计量的存储与计算服务，并具有可以随时根据用户需求对资源进行快速和弹性的提供与释放的能力。在云平台中，终端用户与服务器是对等关系，服务器可以根据客户端的实际需求而提供更为准确、个性化的服务。 　　基于上述设计思想，Amazon逐步推出了其领先世界的云服务架构。早在2006年3月，Amazon就发布了简单存储服务（Simple Storage Service，S3），这种存储服务按照每个月类似租金的形式进行服务付费，同时用户还需要为相应的网络流量进行付费。亚马逊网络服务平台使用REST（Representational State Transfer）和简单对象访问协议（SOAP）等标准接口，用户可以通过这些接口访问到相应的存储服务。2007年7月，Amazon推出了简单队列服务（Simple Queue Service，SQS），这项服务使托管主机可以存储计算机之间发送的消息。通过这一项服务，应用程序编写人员可以在分布式程序之间进行数据传递，而无须考虑消息丢失的问题。在开放了上述的服务接口之后，Amazon进一步在此基础上开发了弹性计算云（Elastic Compute Cloud，EC2）系统，并且开放给外部开发人员使用。此后，经过多年的发展与完善，Amazon将其旗下的云服务进行了进一步整合，初步形成了包括弹性计算云（EC2）、简单存储服务（S3）、简单数据库服务（Simple DB）、简单队列服务（SQS）、弹性Map Reduce服务、内容推送服务（Cloud Front）、电子商务服务（Dev Pay）以及灵活支付服务FPS在内的较为全面的云服务体系，其中EC2是Amazon云计算计划的核心。 　　2 Amazon Dynamo与EC2 　　经过多年发展，Amazon已经开发出一套颇为实用的云平台来支撑其各种云服务。Amazon平台所依赖的基础存储架构名为Dynamo，它也是Amazon云平台安全性保证的基础。Dynamo的实质是一款高可用的分布式Key-Value存储系统，其满足可伸缩性、可用性、可靠性。Dynamo主要解决了以下几个问题： 　　（1）数据均衡分布问题。Dynamo采用改进了的一致性哈希算法，它引入了虚拟节点的概念，每个物理节点分配到哈希环上多个位置（Token），这样即可根据机器性能给它