浙江财经学院信息学院 刘庚
近年来,在网络技术的不断进步下,电子商务也随之兴起。作为一种新型的基于互联网的在线商务模式,毫无疑问的是其发展迫使传统的商品交易手段逐渐改变,随之而来的是基于网络平台的商品交易模式。电子商务支付在云计算环境下的顺利进行,首先要保障网络交易环境的安全以及电子商务交易载体的安全性,其中包括两个方面:网络安全和用户终端安全。“云计算”这个概念最早是由Google公司于2007年提出的,这个概念一经面世就引起了巨大轰动,云计算的诞生是信息技术的一次革命,它在计算以及存储方面都有了新的突破。云计算主要是为用户提供一种公用性质的信息服务,这项服务主要是通过利用一些基础设备,将一些软、硬件资源组织在一起来为用户服务。云计算融合了计算技术以及网络技术,这其中包括了分布式计算、网格计算、虚拟化、效用计算以及并行计算。这项技术可以根据用户多样化的需要来改变计算资源,其实施将资源的浪费降到了最低,因此在企业和用户中受到了青睐。现代电子商务的发展在云计算即付即用的服务及分布式的网络计算环境下,在服务模式、产业链结构及技术架构方面将会产生一些新的变化。云计算的应用不仅给电子商务网站的发展带来机遇,也使电子商务企业网址的市场份额面临被抢夺的风险。同时,由于云计算还处于发展阶段,其安全性和稳定性将成为未来电子商务运营商面临的巨大挑战。
现在世界各地对“云计算”这个概念还没有一个统一的标准,但是大多数人都采用这样的定义来诠释这个概念:云计算是一种计算模式,该模式的大规模是根据经济驱动而确立的,这种模式的使用可以实现一些比较虚拟的、不具体的、可管理以及可扩展的动态存储与计算,外部用户所访问的数据都是通过互联网中的资源池而得到的。从该概念中可以看到云计算主要包括以下几个特点:
(1)规模大。分布式计算模式下的云计算是依靠经济驱动而形成的计算模式,这种模式的首要特点就是规模巨大,云计算的大规模是为了给用户提供更加优质的服务,这其中就包括给用户提供的服务要快速、安全以及经济。
(2)虚拟化。用户得到的各种云服务都是虚拟化的,而这些虚拟化的服务都是基于云计算把不同功能进行封装后而得到的服务实体,用户可以在世界各地通过相应的云端服务来实现访问数据、软件操作等内容,而对这项服务是如何实现以及服务器在什么位置这些问题是不必考虑的。
(3)稳定性。云服务市场发展的状况如何直接影响到了云计算的前景,而云服务市场的发展情况更多是取决于该项技术是否稳定、可靠,所以只有保障云计算的服务的稳定性才能从根本上保证云计算服务的未来发展情况。
(4)可扩展性。用户数量以及用户使用数据的规模会随着云计算技术的发展而增多,这也就要求云计算必须要有强大的扩展能力来保证更多的用户使用该项技术。
(5)资源优化分配。云计算需要对网络资源进行优化配置来满足不同用户的不同需求,通过对人们使用的资源进行监控或者控制,进而以报表的形式传递给提供商,让其进行分析后再将资源合理的提供给用户。
现在国外组建了像Info World cloud-computing,NIST,Open Cloud Consortium等专门研究云计算的机构,国内也纷纷地组建自己的云计算组织,如中国电子学会云计算委员会和中国云计算联盟社区等。另外IT届也介入了云计算的研究当中,其中就有Amazon,IBM,Sales force,微软和Google等知名公司,他们投入了大量的人力和物力,开发出自己的云计算平台。
云计算发展迅猛的同时,也在其应用中体现出它的不足,安全问题的频频出现,抑制了它快速的发展。微软商务办公在线套件在2010年12月发生了数据泄露事件,就是因为微软在欧美和亚洲的一个数据中心忽略了安全设置,将BPOS中的离线地址薄提供给了非授权用户,导致地址薄上的残留信息被窃取。与此同时,谷歌在2011年3月,有15万Gmail用户的邮件和聊天记录被删除,更为严重的是竟然有的账户被重置,这种大面积的数据泄露,估计占到用户的0.08%。同样不可幸免,索尼公司数据泄露,导致1亿用户受影响,他们的信用卡、银行密码等都被窃取。涉及的地域范围之广达57个国家和地区,影响到7700万用户的信息安全,其中就有1000多万用户的信用卡账号。索尼提供的“Qriocity”服务也有2500万用户的信息被窃取。这样使人们对云计算的信息安全保障失去了信心,阻碍其发展。云计算是一把双刃剑,既是机遇又是挑战。想要抓住这次机遇首先要解决其安全的隐患才行。这既需要政府的监督,又需要技术上的提升,才能使得云计算受到重用。
云计算能很好的促进IT设施和用户间的融合,获得良好的认可,获得收益,但是其天然的信息安全漏洞也很突出,所以企业要想使云计算得到很好的利用,必须注意规避风险。
(1)云计算中物理的安全防备模糊。企业和其他公司在云中可能要竞争计算资源,企业是无法得知自己数据的存储区域的,只能依靠供应商的提供。
(2)对于黑客和不安全用户的侵扰。企业的数据放在了任何用户都可以访问的云中,数据的窃取会很方便,可以将全球的任意地域企业运用虚拟机融合在同一个服务器上,导致数据中心的硬件防护和物理隔离的弱化,容易产生相互间的攻击。
(3)对于密钥的安全系数。数据在云中传输需要加密,这个密钥由谁掌管至关重要,企业当然希望运用SSL来加密数据,云中的数据存储同样也需要进行加密。
(4)云存储要有很好的兼容性。若一个云服务商的服务不足以满足要求,需要将其转移到另一服务商,这就涉及云服务的兼容性问题。就像Amazon的S3不能被IBM的蓝云应用一样。
(5)云计算应用的安全性质。企业如果应用SaaS产品,那么就确定它对传统软件的挑战,就如SaaS服务商提供一个以Web为基础的客户关系管理产品,由于采用了不成熟的混合技术,会导致不可预知的安全漏洞问题一样。
(6)对于云日志的监测和管理。越来越多的任务转移到云中,云的服务商需要保留相关的日志,这种日志是内部的信息,不一定都能够被企业访问到,所以对其监测和管理会比较麻烦。
(7)对于灾难性瘫痪的恢复功能。企业的不关键的任务下线,企业仍可能继续运行,一旦关键任务下线,就可能导致系统运行错误。
(8)法律规定的安全风险。关于数据保存的法律规定是,国家不允许将本国的数据存储到其他国家,不允许数据混杂在共享服务之中。例如银监会就规定要将客户数据存储在本国的数据库中。云就打破了这种国界限制,使信息的隔离、隐私和安全不受控制,有可能会违背法律规定。
因为使用云计算服务的用户数量比较庞大,就需要对访问云服务数据的用户身份信息进行验证以此来保障数据的安全性,同时还要定时地对用户的访问列表进行更新与维护。现在常用的一些验证用户身份的方式包括:利用用户名和密码的密码认证方式、利用视网膜或者是指纹的生物验证以及通过密保卡或者是U盾形式的实物认证。
在关于访问数据对象问题上,传统模式中主要是利用用户的访问控制策略来进行访问控制的,但是云计算中无法知道服务商是否按规定进行实施,因此就需要对传统方式进行变革,目前访问控制方法中使用比较广泛的是密码学方法,该方法主要包括:根据属性来进行加密的密钥算法、密文规则;将访问控制数写入到用户密文或者是用户密钥的方法;利用代理而得到的多重加密方法以及通过层次密钥生成和分配策略而进行的访问控制。
用户将自己的私人数据以及计算都放到了云端,这就使得用户对自己的信息失去了控制权,所以提供商在数据安全方面一定要严格把控,访问数据时要先对访问者进行安全审计,安全策略要严格执行,针对云计算中的安全审计问题, RyanK LK等人利用策略的模式创建了TrustCloud框架,而保证云的公有化和私有化,数据的安全、透明和可信方面主要是采用CloudAudit项目。
从数据存入云端开始到数据被清除为止,都要对数据进行保护,防止他人进行篡改和窃取。一种隐私保护系统——airavat——由Roy等人提出,该系统在云中数据生成或者是计算时结合了差分隐私保护以及集中信息控制(DIFC)方法,以此来保证一些没有经过授权的信息被他人所窃取或者篡改,而且该系统还可以对计算结果自动接触密码,这就使得用户在云端存储自己隐私信息上更加的安全。
通过对现有的隐私管理模式进行分析后,Munts-Mulero 等人分析了利用数据预处理、图匿名以及K匿名等运用到大规模的上传数据中的方案。Rankova 等人提出了一种新的访问模式,用户之间可以相互搜索自己需要的信息而进行访问,而其他内容用户是不可访问的,这就从很大程度上保证了数据的安全性。
在物理资源进行分配和管理上采用虚拟化手法来进行云计算管理,使得用户之间没有交叉,产生隔离,保证了安全性。虚拟化安全主要涉及虚拟网络安全、虚拟机安全和Hypervisor的安全,所以保证云计算的安全就是要保证虚拟化安全。sHype架构最早是由IBM公司提出的,该架构是一种安全的Hypervisor,在进行信息交流以及在不同的虚拟机中进行互相通信时主要是利用的强制访问控制技术,这项技术可以在已经进行隔离机制的情况下去访问一些共享的资源信息。
电子商务下云计算服务的交易安全和保密问题成为用户的困惑,而如何保障其安全性和保密性,正是新型电子商务发展应该解决的问题。随着云计算技术的不断发展,各大IT公司都推出了自己的计算产品,越来越多的用户加入到了云计算的使用行列当中。然而云计算在发展的过程中仍然面临着很多问题,仍有技术需要解决,这当中最为重要的就是安全问题,本文对云计算安全问题及其关键技术进行系统地分析,得出只有把关键技术做好,才能满足现今人们对计算和存储的高要求的结论。随着云计算安全性的不断完善,相信未来电子商务发展将会更加丰富。
[1] 吕志泉,张敏,冯登国.云存储密文访问控制方案[J].计算机科学与探索,2011(05).
[2] 盖玲.基于云计算的安全服务研究[J].电信科学,2011(6).
[3] 林果园,贺珊.一种云计算环境下的安全模型[J].电信科学,2010(9).