云計算信息安全解決方案圖 云計算云安全

“云管邊端”協(xié)同的邊緣計算安全防護解決方案

摘　要 邊緣計算是 5G 重要新技術(shù)能力，通過低延時、大流量、高性能服務促進新應用創(chuàng)新。邊緣計算能力的實施面臨物理、網(wǎng)絡、協(xié)議、應用、管理等多層面的威脅，急需新安全防護能力支撐。該解決方案利用機器學習、誘騙防御、UEBA 等技術(shù)，針對邊緣計算的業(yè)務和信令特點設計，結(jié)合“云管邊端”多層面的資源協(xié)同和防護處理，實現(xiàn)立體化的邊緣計算安全防護處理。

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都網(wǎng)站制作、成都網(wǎng)站建設、外貿(mào)營銷網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的承留網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

關鍵詞： 多接入移動邊緣計算；邊緣云；安全防護；機器學習；誘騙防御；用戶及實體行為分析

內(nèi)容目錄 ：

0　引 言

1　5G 及邊緣計算

2　邊緣計算面臨的風險

2.1　基礎設施層安全風險

2.2　電信服務層安全風險

2.3　終端應用層安全風險

2.4　管理面安全風險

2.5　租戶服務面安全風險

2.6　MEC 安全威脅總結(jié)

3　“云管邊端”安全防護技術(shù)

3.1　功能架構(gòu)

3.2　主要功能

4　“云管邊端”安全防護實踐

4.1　應用場景

5　結(jié) 　語

“云管邊端”協(xié)同的邊緣計算安全防護解決方案是恒安嘉新針對邊緣計算發(fā)展提出的全面安全解決方案。方案綜合考慮邊緣計算產(chǎn)業(yè)中用戶、租戶、運營者多方面的要求，通過多級代理、邊緣自治、編排能力，提供高安全性和輕量級的便捷服務。整體方案提供邊緣計算場景的專業(yè)防護；提供多種部署方式；在提供高性價比服務的同時為邊緣云計算輸送安全服務價值。

5G 是驅(qū)動創(chuàng)新互聯(lián)網(wǎng)發(fā)展的關鍵技術(shù)之一。5G 邊 緣 計 算（Multi-access Edge Computing， MEC）提供了強大的云網(wǎng)一體化基礎設施，促使應用服務向網(wǎng)絡邊緣遷移。MEC 的一大特點是同時連通企業(yè)內(nèi)網(wǎng)和運營商核心網(wǎng)，其安全性直接影響企業(yè)內(nèi)網(wǎng)安全以及運營商基礎設施安全。隨著邊緣計算在各行各業(yè)商用，MEC 和生產(chǎn)管理流程逐漸融合，安全問題將日益突出， 對于 MEC 的安全防護需求日益強烈 。

采用標準 X.805 模型，MEC 安全防護由 3 個邏輯層和 2 個平面組成。3 個邏輯層是基礎設施層（分為物理基礎設施子層、虛擬基礎設施子層）、電信服務層和終端應用層。2 個平面為租戶服務面和管理面?；诖朔謱觿澐肿R別得到如下 MEC 安全風險。

2.1　基礎設施層安全風險

與云計算基礎設施的安全威脅類似，攻擊者可通過近距離接觸硬件基礎設施，對其進行物理攻擊。攻擊者可非法訪問服務器的 I/O 接口， 獲得運營商用戶的敏感信息。攻擊者可篡改鏡像， 利用虛擬化軟件漏洞攻擊邊緣計算平臺（Multi- access Edge Computing Platform，MEP） 或者邊緣應用（APPlication，APP） 所在的虛擬機或容器， 從而實現(xiàn)對 MEP 平臺或者 APP 的攻擊。

2.2　電信服務層安全風險

存在病毒、木馬、蠕蟲攻擊。MEP 平臺和APP 等通信時，傳輸數(shù)據(jù)被攔截、篡改。攻擊者可通過惡意APP 對MEP 平臺發(fā)起非授權(quán)訪問， 導致用戶敏感數(shù)據(jù)泄露。當 MEC 以虛擬化的虛擬網(wǎng)絡功能（Virtual Network Function，VNF）或者容器方式部署時，VNF 及容器的安全威脅也會影響 APP。

2.3　終端應用層安全風險

APP 存在病毒、木馬、蠕蟲、釣魚攻擊。APP 和 MEP 平臺等通信時，傳輸數(shù)據(jù)被攔截、篡改。惡意用戶或惡意 APP 可非法訪問用戶APP，導致敏感數(shù)據(jù)泄露等。另外，在 APP 的生命周期中，它可能隨時被非法創(chuàng)建、刪除等。

2.4　管理面安全風險

MEC 的編排和管理網(wǎng)元（如 MAO/MEAO） 存在被木馬、病毒攻擊的可能性。MEAO 的相關接口上傳輸?shù)臄?shù)據(jù)被攔截和篡改等。攻擊者可通過大量惡意終端上的 APP，不斷地向用戶APP 生命周期管理節(jié)點發(fā)送請求，實現(xiàn) MEP 上的屬于該用戶終端 APP 的加載和終止，對 MEC 編排網(wǎng)元造成攻擊。

2.5　租戶服務面安全風險

對于存在的病毒、木馬、蠕蟲、釣魚攻擊， 攻擊者近距離接觸數(shù)據(jù)網(wǎng)關，獲取敏感數(shù)據(jù)或篡改數(shù)據(jù)網(wǎng)管配置，進一步攻擊核心網(wǎng)；用戶面網(wǎng)關與 MEP 平臺之間傳輸?shù)臄?shù)據(jù)被篡改、攔截等。

2.6　MEC 安全威脅總結(jié)

基于對上述風險的認識，可以看出：MEC跨越企業(yè)內(nèi)網(wǎng)、運營商服務域、運營商管理域等多個安全區(qū)域，應用了基于服務化接口的多類 5G 專用接口和通信協(xié)議，網(wǎng)絡中存在面向應用、通信網(wǎng)、數(shù)據(jù)網(wǎng)的多維度認證授權(quán)處理， 傳統(tǒng)的簡單 IDS、IPS、防火墻等防護方式很難滿足 MEC 安全防護的要求，需要新的具備縱深防御能力的專業(yè)性的解決方案處理。

3.1　功能架構(gòu)

“云管邊端”安全防護解決方案總體功能架構(gòu)如圖1 所示。解決方案利用機器學習、誘騙防御、UEBA 等技術(shù)，針對邊緣計算的業(yè)務和信令特點設計，結(jié)合“云管邊端”多層面的資源協(xié)同和防護處理，實現(xiàn)立體化的邊緣計算安全防護處理。解決方案由五個層面的功能組件實現(xiàn)，分別為可視化層、中心安全云業(yè)務層、邊緣安全編排層、安全能力系統(tǒng)層、數(shù)據(jù)采集層。

圖 1 MEC 安全防護解決方案功能架構(gòu)

在可視化層，產(chǎn)品通過 MEC 安全防護統(tǒng)一管理平臺提供安全資源管理、安全運維管理、安全運營管理、統(tǒng)一門戶、租戶門戶、安全態(tài)勢感知服務。在中心安全云業(yè)務層，產(chǎn)品通過MEC 安全云實現(xiàn)基礎數(shù)據(jù)資源統(tǒng)管、安全運算資源統(tǒng)管、安全能力編排。

邊緣安全能力層部署適應虛擬化基礎環(huán)境的虛擬機安全等服務能力，這些能力由 DDoS 攻擊防護系統(tǒng)、威脅感知檢測系統(tǒng)、威脅防護處理系統(tǒng)、虛擬防火墻系統(tǒng)、用戶監(jiān)控及審計系統(tǒng)、蜜網(wǎng)溯源服務系統(tǒng)、虛擬安全補丁服務系統(tǒng)、病毒僵木蠕釣魚查殺系統(tǒng)以及邊緣側(cè) 5G 核心安全防護系統(tǒng)。

邊緣安全編排層由安全微服務和引擎管理微服務構(gòu)成。數(shù)據(jù)采集層主要提供信令面和數(shù)據(jù)面的流量采集，并對采集到的信令面流量進行分發(fā)，對用戶面流量進行篩選和過濾。

3.2　主要功能

“云管邊端”安全防護解決方案提供如下八個方面的特色安全功能。

（1）基本安全

提供基礎的安全防護功能，包括防欺騙、ACL 訪問控制、賬號口令核驗、異常告警、日志安全處理等能力。

（2）通信安全

提供針對 MEC 網(wǎng)絡的通信安全防護能力， 包括防 MEC 信令風暴、防 DDoS、策略防篡改、流量鏡像處理、惡意報文檢測等能力。

（3）認證審計

提供針對 MEC 網(wǎng)絡的認證審計和用戶追溯安全防護能力，可以處理 5GC 核心網(wǎng)認證交互、邊緣應用和服務的認證交互、以及 5G 終端的認證交互，并可以進行必要的關聯(lián)性管理和分析。

（4）基礎設施安全

提供對 MEC 基礎設施的安全防護能力， 包括關鍵基礎設施識別，基礎設施完整性證實，邊緣節(jié)點身份標識與鑒別等。并可以提供Hypervisor 虛擬化基礎設施的安全防護處理，保障操作系統(tǒng)安全，保障網(wǎng)絡接入安全。

（5）應用安全

提供完善的 MEC 應用安全防護能力，包括APP 靜態(tài)行為掃描、廣譜特征掃描和沙箱動態(tài)掃描，保護 APP 和應用鏡像安全。

（6）數(shù)據(jù)安全

提供多個層面的 MEC 數(shù)據(jù)安全防護能力。在應用服務中提供桌面虛擬鏡像數(shù)據(jù)安全能力， 避免應用數(shù)據(jù)安全風險。在身份認證過程中， 結(jié)合 PKI 技術(shù)實施雙因子身份認證，保護認證信息安全。通過安全域管理和數(shù)據(jù)動態(tài)邊界加密處理，防范跨域數(shù)據(jù)安全風險。

（7）管理安全

提供完善的管理安全防護能力。包括安全策略下發(fā)安全防護，封堵反彈 Shell、可疑操作、系統(tǒng)漏洞、安全后門等常規(guī)管理安全處理，以及針對 MEC 管理的 N6 及 N9 接口分析及審計。實現(xiàn)對于管理風險的預警和風險提示。

（8）安全態(tài)勢感知

通過對資產(chǎn)、安全事件、威脅情報、流量進行全方位的分析和監(jiān)測，實現(xiàn)針對 MEC 網(wǎng)絡的安全態(tài)勢感知。

4.1　應用場景

“云管邊端”安全防護解決方案不僅為基礎電信企業(yè)提供 5G 場景下 MEC 基礎設施的安全保護能力和監(jiān)測 MEC 持續(xù)運營安全風險的工具，而且賦能基礎電信企業(yè)向 MEC 租用方提供安全保護增值服務，推動 5G 安全產(chǎn)業(yè)鏈上下游協(xié)同發(fā)展。整體解決方案支持私有邊緣云定制部署，邊緣云合作運營，安全服務租用等多種商業(yè)模式。

企業(yè)通過部署“云管邊端”安全防護解決方案，能夠有效實現(xiàn)將網(wǎng)絡安全能力從中心延伸到邊緣，實現(xiàn)業(yè)務快速網(wǎng)絡安全防護和處理，為 5G 多樣化的應用場景提供網(wǎng)絡安全防護。因此，企業(yè)更有信心利用 5G 部署安全的智能化生產(chǎn)、管理、調(diào)度系統(tǒng)，從而豐富工業(yè)互聯(lián)網(wǎng)應用，促進工業(yè)互聯(lián)網(wǎng)智能化發(fā)展 。

4.2　主要優(yōu)勢

“云管邊端”安全防護解決方案具備如下優(yōu)勢：

（1）專為邊緣計算環(huán)境打造，整體方案在分級架構(gòu)、安全編排、安全性能、協(xié)議分析等多方向優(yōu)化，提供 MEC 最佳防護方案。

（2）多種模式適應各類應用場景需求，企業(yè)可根據(jù)自身需求和特點靈活選擇?？梢赃x擇租用模式，無需專業(yè)技術(shù)人員即獲得最新 MEC 安全技術(shù)服務。也可以選擇定制模式，深度研發(fā)適配企業(yè)特性的安全防護處理。

（3）高效融合 MEC 各個層面的安全保護能力，降低綜合安全防護成本，支持多種收費模式，降低入門門檻，讓MEC 安全保護不留死角。

（4）創(chuàng)造安全服務價值，安全策略自動化以及與網(wǎng)絡和云服務能力的聯(lián)動，深度優(yōu)化MEC 安全運維管理，創(chuàng)造邊緣云服務安全價值。

本解決方案當前已在多個實際網(wǎng)絡中部署，實現(xiàn)對于智慧港口、智慧工廠、智慧醫(yī)療、工業(yè)互聯(lián)網(wǎng)等重要信息化應用資產(chǎn)的安全防護。例如，隨著 5G 網(wǎng)絡的發(fā)展，可以實施對于工業(yè)大型工程設備的 5G 遠程控制改造，實現(xiàn)遠程實時控制，完成高清視頻回傳，從而提升生產(chǎn)效率。但遠控過程中的各類網(wǎng)絡安全風險可能威脅到生產(chǎn)穩(wěn)定性，造成重大損失。通過本解決方案的實施，可以保障 5G 遠程控制改造實施，保護生產(chǎn)運行的高效運轉(zhuǎn)。

引用文本：張寶山,龐韶敏“. 云管邊端”協(xié)同的邊緣計算安全防護解決方案[J].信息安全與通信保密,2020(增刊1):44-48.

張寶山，碩士，高工，主要研究方向為核心網(wǎng)、邊緣計算、網(wǎng)絡功能虛擬化、物聯(lián)網(wǎng)、網(wǎng)絡安全等； 龐韶敏 ，碩士，高工，主要研究方向為核心網(wǎng)、邊緣計算、物聯(lián)網(wǎng)、網(wǎng)絡安全、主機安全等。 選自《信息安全與通信保密》2020年增刊1期（為便于排版，已省去原文參考文獻）

云計算時代安全綜述-秘鑰交換（上）

離上篇文章認證加密（下）發(fā)表已經(jīng)過去好久了，筆者一直在思考要不要繼續(xù)寫安全基礎類的文章，直到本周日晚上陪孩子看朗讀者節(jié)目的時候，特別是節(jié)目組邀請到了53歲的清華大學高等研究院楊振寧講座教授王小云，介紹了她在密碼學中的貢獻。孩子和家人在觀看節(jié)目的時候，對MD5是什么，為什么這么重要，特別是王教授談到基于MD5設計的國家加密標準已經(jīng)廣泛應用到銀行卡，社?？ǖ阮I域，讓加密這個古老但年輕的領域走入更多人的視野。

咱們前邊介紹的內(nèi)容主要圍繞對稱加密，從這篇文章開始，我們的焦點shift到非對稱加密算法上，非對稱加密也稱作是公鑰加密算法，整個算法有個非常關鍵的環(huán)節(jié)：秘鑰交換。秘鑰交換“人”如其名，解決的本質(zhì)問題是如何安全的交換秘鑰。咱們還是請出老朋友愛麗斯女王和鮑勃領主來說明一下。假設愛麗絲女王和鮑勃領主要安全的通信，那么愛麗斯女王和鮑勃領主就把各自的秘鑰發(fā)給對方。結(jié)果是通信的雙方都持有這個共享的秘鑰，這個共享的秘鑰就可以被用來后續(xù)信息安全的交互。

為了讓后續(xù)的討論更加接地氣，咱們假設愛麗斯女王和鮑勃領主從來都沒有見過面，那么我們該如何讓女王和領主安全的通信呢？這個問題也是秘鑰交換算法適用的最原始應用場景。為了確保女王和領主之間通信的隱私性，雙方需要一個共享的秘鑰，但是安全的溝通共享秘鑰并沒有想象中那么簡單。如果惡意攻擊者竊聽了女王和領主的電話通信，或者郵件通信（假設傳輸?shù)拿魑男畔ⅲ?，那么惡意攻擊者會竊取到女王和領主共享的秘鑰，后續(xù)雙方所有的通信內(nèi)容，都可以通過這個秘鑰來破解，女王和領主的所有私密通信不安全了，通信內(nèi)容已經(jīng)成為整個王國茶余飯后的談資。

如何解決這個問題呢？這是秘鑰交換算法要解決的核心問題，簡單來說，通過秘鑰交換算法，愛麗絲女王和鮑勃領主就可以安全的實現(xiàn)共享秘鑰交換，即便是有惡意攻擊者在監(jiān)聽所有的通信線路，也無法獲取雙方通向的秘鑰，女王和領主終于可以無憂無慮的八卦了。

秘鑰交換從通信雙方生成各自的秘鑰開始，通常情況下非對稱加密算法會生成兩個秘鑰：公鑰和私鑰（public key和private key）。接著通信的雙方分別把自己的公鑰發(fā)送給對方，公鑰的”公“在這里是公開的意思，這就意味著惡意攻擊者也可以獲得通信雙方生成的公鑰信息。接著女王和領主分別用收到的公鑰和自己持有的私鑰結(jié)合，結(jié)果就是共享的通信秘鑰。大家可以站在惡意攻擊者的角度看這個公鑰，由于惡意攻擊者沒有任何一方的私鑰，因此惡意攻擊者是無法獲取女王和領主通信用的”共享“秘鑰。關于共享秘鑰在女王和領主側(cè)產(chǎn)生的過程，如下圖所示：

了解了秘鑰交換算法的大致工作機制后，接著我們來看看秘鑰交換算法是如何解決愛麗斯女王和鮑勃領主安全通信問題。如上圖所展示的過程，女王和領主通過秘鑰交換算法確定了可以用作安全通信的秘鑰，這個秘鑰可以被用作認證加密的秘鑰，因此即便是MITM（中間人攻擊者）截獲了女王和領主通信的數(shù)據(jù)，但是由于沒有秘鑰，因此通信的內(nèi)容不會被破解，這樣女王和領主就可以安全的通信了，如下圖所示：

不過這里描述的內(nèi)容稍微不嚴謹，我們頂多只能把這種場景稱作passive MITM，大白話是說惡意攻擊者是被動的在進行監(jiān)聽，和active MITM的主要卻別是，active中間人會截獲秘鑰交換算法交換的數(shù)據(jù)，然后同時模擬通信雙方對端的角色。具體來說，中間人會actively來同時和女王以及領主進行秘鑰交換，通信雙方”以為“和對方對共享秘鑰達成了共識，但是本質(zhì)上女王和領主只是和中間人達成了共享秘鑰的共識。大家可以思考一下造成這種錯誤認知的原因是啥？

其實背后的原因不難理解，因為通信的雙方并沒有其他手段判斷收到的公鑰和通信的對端的持有關系，我們也稱作這種秘鑰交換為”unauthentiated“秘鑰交換，如下圖所示：

那么如何解決active MITM攻擊呢？相信大家能夠猜到authenticated key exchange，咱們先通過一個具體的業(yè)務場景來看看，為啥我們需要這種authenticated的模式。假設我們開發(fā)了一套提供時間信息的服務，服務被部署在阿里云上，我了預防時間數(shù)據(jù)被惡意攻擊者修改，因此我們使用MAC（message authentication code），如果大家對MAC沒有什么概念，請參考筆者前邊的文章。

MAC需要秘鑰來對數(shù)據(jù)進行機密性和完整性保護，因此我們在應用部署的時候，生成了一個秘鑰，然后這個秘鑰被以某種方式非法給所有的客戶端用戶，應用運行的非常穩(wěn)定，并且由于有秘鑰的存在，守法遵紀的所有客戶端都可以讀取到準確的時間。但是有個客戶學習了本篇文章后，發(fā)現(xiàn)這個秘鑰可以用來篡改數(shù)據(jù)，因此我們的網(wǎng)站受到大量客戶的投訴，說讀到的時間不準確，造成系統(tǒng)的業(yè)務運行和數(shù)據(jù)處理出現(xiàn)問題。

你讓架構(gòu)師趕緊處理，架構(gòu)師給出了每個用戶都生成獨享秘鑰的方案，雖然能夠止血，但是很快你會發(fā)現(xiàn)這種方案不可行，不可運維，隨著用戶數(shù)量激增，我們?nèi)绾闻渲煤凸芾磉@些秘鑰就變成了一個大問題，還別說定期更換。秘鑰交換算法在這里可以派上用場，我們要做的是在服務端生成秘鑰，然后為每個新用戶提供公鑰信息。由于用戶端知道服務端的公鑰信息，因此MITM攻擊就無法在中間雙向模擬，我們也稱這種模式為：authenticated key exchange。

我們繼續(xù)分析這個場景，中間人雖然說也可以和服務進行秘鑰交換，但是這個時候中間人和普通的客戶端就沒有差異了，因此也就無法執(zhí)行active MITM攻擊了。

隨著科技的發(fā)展，互聯(lián)網(wǎng)幾乎在我們生活中無孔不入，如何安全的在通信雙方之間確立秘鑰就變得極其重要。但是咱們前邊介紹的這種模式擴展性不強，因為客戶端需要提前預置服務端的公鑰，這在互聯(lián)網(wǎng)場景下尤其明顯。舉個例子，作為用戶，我們希望安全的和多個銀行網(wǎng)站，社保網(wǎng)站進行數(shù)據(jù)通信，如果需要手機，平板，臺式機都預置每個網(wǎng)站的公鑰信息才能安全的進行訪問，那么你可以考慮便利性會有多差，以及我們?nèi)绾伟踩脑L問新開發(fā)的網(wǎng)站？

因此讀者需要理解一個非常重要的點，秘鑰交換非常重要，但是有上邊介紹的擴展性問題，而這個問題的解決是靠數(shù)字簽名技術(shù)，數(shù)字簽名和秘鑰交換結(jié)合起來是我們后邊要介紹的SSL技術(shù)的基礎，要講清楚需要的篇幅會很長，因此咱們后續(xù)用專門的章節(jié)來介紹SSL原理。不過為了后續(xù)介紹的順暢性，咱們接下來聊幾個具體的秘鑰交換算法，以及背后的數(shù)學原理。

咱們先從筆者系列文章第一篇中提到的Diffie-Hellman秘鑰交換算法說起，Whitfield Diffie和Martin E. Hellman在1976年發(fā)表了一篇開創(chuàng)新的論文來介紹DH（Diffie-Hellman）秘鑰交換算法，論文中把這個算法稱作”New Direction in Cryptography“。這篇論文被冠以開創(chuàng)性的主要原因是論文兩個第一：第一個秘鑰交換算法以及第一次公開發(fā)表的公鑰加密算法（或者說非對稱加密算法）。

DH算法的數(shù)據(jù)原理是群論（group theory），這也是我們今天所接觸到的所有安全機制的基石。因為筆者并不是數(shù)學專業(yè)畢業(yè)，數(shù)學基礎也不是太牢固，因此一直猶豫要如何繼續(xù)在安全的角度繼續(xù)深入下去。為了讓這個算法更加容易被讀者理解，因此后邊的內(nèi)容會稍微涉及到一些數(shù)據(jù)基礎知識，相信有過高中數(shù)學知識的同學，應該都能看懂。

要介紹群論，首要問題是定義清楚什么是群（group）。筆者查閱了相關資料，群在數(shù)學領域中有如下兩個特征：

1，由一組元素組成

2，元素之間定義了特殊的二元運算符（比如?或者??）

基于上邊的定義，如果這組元素以及之上定義的二元操作符滿足某些屬性，那么我們就稱這些元素組成個group。對于DH算法來說，背后使用的group叫做multiplicative group：定義了乘法二元運算符的元素集合。讀者可能會問，那么這個multiplicative group具體滿足那些屬性呢？由于這部分的內(nèi)容較多，咱們來一一羅列介紹：

- Closure（閉包）。集合中的兩個元素通過定義的運算符計算后，結(jié)果也在集合中。舉個例子，比如我們有集合M，M中有元素a，b和c（c=a*b），那么這三個元素就符合closure屬性，集合上定義的運算符是乘法。

- Associativity（可結(jié)合性）。這個和中學數(shù)學中的結(jié)合性概念一致，你能理解數(shù)學公式a × (b × c) = (a × b) × c就行。

- Identity element（單位元素）。集合中包含單位元素，任何元素和單位元素經(jīng)過運算符計算后，元素的值不發(fā)生變化。比如我們有集合M，包含的元素（1，a，b，c....），那么1就是單位元素，因為1*a = a，a和單位元素1通過運算符計算后，結(jié)果不變。

- Inverse element（逆元素）。集合中的任何元素都存在逆元素，比如我們有集合元素a，那么這個元素的逆元素是1/a，元素a和逆元素通過運算符計算后，結(jié)果為1。

筆者必須承認由于我粗淺的數(shù)學知識，可能導致對上邊的這四個屬性的解釋讓大家更加迷惑了，因此準備了下邊這張圖，希望能對群具備的4個屬性有更加詳細的補充說明。

有了前邊關于群，群的屬性等信息的介紹，咱們接著來具體看看DH算法使用的group具體長啥樣。DH算法使用的群由正整數(shù)組成，并且大部分情況下組成群的元素為素數(shù)，比如這個群（1，2，3， ....，p-1)，這里的p一般取一個很大的素數(shù)，為了保證算法的安全性。

注：數(shù)學上對素數(shù)的定義就是只能被自己和1整除的數(shù)，比如2，3，5，7，11等等。素數(shù)在非對稱加密算法中有非常廣泛的應用。計算機專業(yè)的同學在大學期間應該寫過尋找和打印素數(shù)的程序，算法的核心就是按順序窮舉所有的數(shù)字，來判斷是否是素數(shù)，如果是就打印出來。不過從算法的角度來看，這樣窮舉的模式效率不高，因此業(yè)界也出現(xiàn)了很多高效的算法，很快就能找到比較大的素數(shù)。

DH算法使用的群除了元素是素數(shù)之外，另外一個屬性是模運算符，具體來說叫modular multiplication運算。咱們先從模運算開始，模運算和小學生的一些拔高數(shù)學題很類似，關注的是商和余數(shù)。比如我們設modulus為5，那么當數(shù)字大于5的時候，就會wrap around從1重新開始，比如數(shù)字6對5求模計算后，結(jié)果是1，7的結(jié)果是2，以此類推。對于求模計算最經(jīng)典的例子莫過于鐘表了，一天24個小時，因此當我們采用12小時計數(shù)的時候，13點又被成為下午1點，因為13 = 1*12 + 1（其中12為modulo）。

接著我們來看modular multiplication的定義，我們以6作例子，6 = 3 ?? 2， 如果modulo是5的話，我們知道6全等于（congruent to）1 modulo 5，因此我們的公式就可以寫成：

3 × 2 = 1 mod 5

從上邊的等式我們得出了一個非常重要的結(jié)論，當我們把mod 5去掉后，就得出3 × 2 = 1，那么3和2就互為逆元素。

最后我們來總結(jié)一下DH算法base的群的兩個特征：

- Commutative（交換律），群中兩個元素計算具備交換律，也就是ab=ba，通常我們把具備交換律的群成為Galois group

- Finite field（有限域），關于有限域的特征我們下邊詳細介紹

DH算法定義的group也被稱作為FFDH（Finite Field Diffie-Hellman），而subgroup指的是group的一個子集，我們對子集中的元素通過定義的運算符操作后，會到到另外一個subgroup。

關于群論中有個非常重要的概念是cyclic subgroup，大白話的意思是通過一個generator（或者base）不斷的和自己進行乘法運算，如下變的例子，generator 4可以了subgroup 1和4：

4 mod 5 = 4

4 × 4 mod 5 = 1

4 × 4 × 4 mod 5 = 4 (重新開始，這也是cylic subgroup的體現(xiàn))

4 × 4 × 4 × 4 mod 5 = 1

等等

當我們的modulus是素數(shù)，那么群中的每個元素都是一個generator，可以產(chǎn)生clylic subgroup，如下圖所示：

最后我們完整的總結(jié)一下群和DH定義的Galois群：

- group就是一組定義了二元操作的元素集合，并具備closure, associativity, identity element, inverse element屬性

- DH定義的群叫Galois group，組成群的元素是素數(shù)，并在群上定義了modular multiplication運算

- 在DH定義的群中，每個元素都是一個generator，重復和自己相乘后，產(chǎn)出subgroup

Groups是很多加密算法的基礎，筆者這是只是稍微的介紹了一點皮毛知識，如果讀者對這部分感興趣，可以查閱相關的材料。有了群的初步認識了，咱們下篇文章來介紹DH算法背后的工作原理，敬請期待！

云計算應用存在哪些問題，采取哪些安全防護措施

云計算存在的一些問題:

虛擬化安全問題：如果物理主機受到破壞，其所管理的虛擬服務器由于存在和物理主機的交流，有可能被攻克，若物理主機和虛擬機不交流，則可能存在虛擬機逃逸。如果物理主機上的虛擬網(wǎng)絡受到破壞，由于存在物理主機和虛擬機的交流，以及一臺虛擬機監(jiān)控另一臺虛擬機的場景，導致虛擬機也會受到損害。

2.數(shù)據(jù)集中的安全問題：用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡傳輸?shù)榷寂c云計算系統(tǒng)有關，包括如何有效存儲數(shù)據(jù)以避免數(shù)據(jù)丟失或損壞，如何對多租戶應用進行數(shù)據(jù)隔離，如何避免數(shù)據(jù)服務被阻塞等等。

3.云平臺可用性問題：用戶的數(shù)據(jù)和業(yè)務應用處于云平臺遭受攻擊的問題系統(tǒng)中，其業(yè)務流程將依賴于云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當發(fā)生系統(tǒng)故障時，如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。

4.云平臺遭受攻擊的問題：云計算平臺由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標，由此拒絕服務造成的后果和破壞性將會明顯超過傳統(tǒng)的企業(yè)網(wǎng)應用環(huán)境。

5.法律風險：云計算應用地域弱、信息流動性大，信息服務或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至是不同國家，在政府信息安全監(jiān)管等方面存在法律差異與糾紛;同時由于虛擬化等技術(shù)引起的用戶間物理界限模糊可能導致的司法取證問題也不容忽視

云計算的安全防護措施：

1基礎設施安全

基礎設施安全包括服務器系統(tǒng)安全、網(wǎng)絡管理系統(tǒng)安全、域名系統(tǒng)安全、網(wǎng)絡路由系統(tǒng)安全、局域網(wǎng)和VLAN配置等。主要的安全措施包括安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等?？紤]到云計算環(huán)境的業(yè)務持續(xù)性，設備的部署還須要考慮到高可靠性的支持，諸如雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass等特性，實現(xiàn)大流量匯聚情況下的基礎安全防護。

2數(shù)據(jù)安全

云數(shù)據(jù)安全包含的內(nèi)容遠遠不只是簡單的數(shù)據(jù)加密。數(shù)據(jù)安全的需求隨著三種服務模式，四種部署模式(公共云、私有云、社區(qū)云、混合云)以及對風險的承受能力而變化。滿足云數(shù)據(jù)安全的要求，需要應用現(xiàn)有的安全技術(shù)，并遵循健全的安全實踐，必須對各種防范措施進行全盤考慮，使其構(gòu)成一道彈性的屏障。主要安全措施包括對不同用戶數(shù)據(jù)進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術(shù)措施等，從而保障靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的保密性、完整性、可用性、真實性、授權(quán)、認證和不可抵賴性。

3虛擬化安全

虛擬化的安全包括兩方面的問題：一是虛擬技術(shù)本身的安全，二是虛擬化引入的新的安全問題。虛擬技術(shù)有許多種，最常用的是虛擬機(VM)技術(shù)，需考慮VM內(nèi)的進程保護，此外還有Hypervisor和其他管理模塊這些新的攻擊層面?？梢圆捎玫陌踩胧┯校禾摂M鏡像文件的加密存儲和完整性檢查、VM的隔離和加固、VM訪問控制、虛擬化脆弱性檢查、VM進程監(jiān)控、VM的安全遷移等。

4身份認證與訪問管理(IAM，IdentityandAccessManagement)

IAM是用來管理數(shù)字身份并控制數(shù)字身份如何訪問資源的方法、技術(shù)和策略，用于確保資源被安全訪問的業(yè)務流程和管理手段，從而實現(xiàn)對企業(yè)信息資產(chǎn)進行統(tǒng)一的身份認證、授權(quán)和身份數(shù)據(jù)集中化的管理與審計。IAM是保證云計算安全運行的關鍵所在。傳統(tǒng)的IAM管理范疇，例如自動化管理用戶賬號、用戶自助式服務、認證、訪問控制、單點登錄、職權(quán)分離、數(shù)據(jù)保護、特權(quán)用戶管理、數(shù)據(jù)防丟失保護措施與合規(guī)報告等，都與云計算的各種應用模式息息相關。

IAM并不是一個可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個由各種技術(shù)組件、過程和標準實踐組成的體系架構(gòu)。標準的企業(yè)級IAM體系架構(gòu)包含技術(shù)、服務和過程等幾個層面，其部署體系架構(gòu)的核心是目錄服務，目錄服務是機構(gòu)用戶群的身份、證書和用戶屬性的信息庫。

5應用安全

由于云環(huán)境的靈活性、開放性以及公眾可用性等特性，給應用安全帶來了很多挑戰(zhàn)。云計算的應用主要通過Web瀏覽器實現(xiàn)。因此，在云計算中，對于應用安全，尤其需要注意的是Web應用的安全。要保證SaaS的應用安全，就要在應用的設計開發(fā)之初，制定并遵循適合SaaS模式的安全開發(fā)生命周期規(guī)范和流程，從整體生命周期上去考慮應用安全。可以采用的防護措施有訪問控制、配置加固、部署應用層防火墻等。

云時代該如何掌控企業(yè)數(shù)據(jù)安全

　云時代該應該這樣掌控企業(yè)數(shù)據(jù)安全，在2016年的安全界盛會RSA 2016上DLP（Data Loss Prevention, 數(shù)據(jù)防泄密）成為企業(yè)用戶關注度最高的產(chǎn)品，大會的DLP分類廠商多達88家，從本次大會上，可以看到企業(yè)數(shù)據(jù)防泄露產(chǎn)品的一些發(fā)展趨勢。

DLP與網(wǎng)關功能整合

將DLP與網(wǎng)關類產(chǎn)品的傳統(tǒng)安全功能進行整合，實現(xiàn)從內(nèi)容層面的安全檢測和防御，比如將DLP功能加入Web網(wǎng)關、將DLP功能加入URL與反垃圾郵件網(wǎng)關等，代表廠商有Forcepoint、ClearSwift等。

基于終端加密與權(quán)限控制的DLP+

從數(shù)據(jù)泄露的源頭上對其進行封堵。在終端對文檔進行不同的訪問權(quán)限、操作權(quán)限和外發(fā)權(quán)限控制，并對發(fā)送者和接收者制定不同的權(quán)限策略。數(shù)據(jù)在外發(fā)的時候是加密的，只有被信任的接收者才能夠看到文件內(nèi)容或?qū)ξ募?zhí)行對應的操作。代表企業(yè)Vera、Fasoo。

針對特定應用的DLP

只針對特定應用（如Exchange、outlook、office365、SharePoint）或特定通道（Email Cloud Service）的DLP檢測。這類產(chǎn)品會在終端進行訪問、打印、拷貝等操作的權(quán)限控制，并針對文件類型、收發(fā)件人、以及文件內(nèi)容定義敏感信息檢測策略，實現(xiàn)固定終端和移動終端的DLP檢測。代表廠商有Messageawre、Mimecast等。

公有云環(huán)境下CASB成為重要方向

隨著國外（特別是美國）企業(yè)對SaaS（Office365、DropBox、Box、Facebook等云服務）的依賴程度日益增高，已經(jīng)將很多數(shù)據(jù)、業(yè)務遷移到云服務和云平臺上，企業(yè)員工對公有云環(huán)境的使用也會成為一個安全問題。數(shù)據(jù)泄露已經(jīng)成為云安全面臨的首要威脅，通過Office365、DropBox等云服務和云存儲上傳或共享文件時，都有可能帶來數(shù)據(jù)泄露的問題。CASB（Cloud Access Security Broker，云訪問安全代理）的方法是一種解決思路，實現(xiàn)在“任何時間、任何地點”保護企業(yè)數(shù)據(jù)不被泄露?；贑ASB的DLP實現(xiàn)可以分為兩種形式：

形式一：應對企業(yè)內(nèi)部DLP問題

保持原有DLP產(chǎn)品的軟硬件形態(tài)不變，在原有網(wǎng)關上增加對云服務和云應用的支持，可以部署在企業(yè)網(wǎng)的終端和邊界處。代表廠商Symantec、Intel Security（McAfee）、AvePoint等傳統(tǒng)DLP廠商。

形式二：應對企業(yè)員工移動辦公的DLP問題

CASB作為一種云服務，部署在企業(yè)員工使用的云平臺上，在云中為用戶提供單點登錄、訪問控制、行為監(jiān)控、數(shù)據(jù)防護、安全合規(guī)等服務。DLP是CASB要考慮的重要問題，也是產(chǎn)品落地的明確方向，CASB也在積極尋求與傳統(tǒng)DLP廠商的合作。對于DLP而言，相對于傳統(tǒng)邊界部署上方案，CASB的區(qū)別在于其結(jié)合了用戶、設備、內(nèi)容和應用這幾個維度，來理解數(shù)據(jù)是如何在云環(huán)境中被共享或被使用的，從而做出相應的策略配置?；贑ASB的DLP產(chǎn)品形態(tài)也從傳統(tǒng)的Network+Endpoint+Storage DLP變成了Cloud+Mobile DLP。代表廠商有Skyhigh、BlueCoat等。

云時代該如何掌控企業(yè)數(shù)據(jù)安全

數(shù)據(jù)是企業(yè)中最重要也是最需要保護的資產(chǎn)，因此數(shù)據(jù)安全也變得越來越重要。隨著公有云和BYOD技術(shù)的不斷發(fā)展，數(shù)據(jù)防泄密（Data Loss Prevention, DLP）作為數(shù)據(jù)安全領域最重要的技術(shù)產(chǎn)品，也面臨著“實現(xiàn)云中數(shù)據(jù)泄露防護”的挑戰(zhàn)。雖然目前國內(nèi)企業(yè)和個人用戶對云服務和應用的依賴還較小，但Cloud+Mobile的DLP將成為DLP產(chǎn)品的發(fā)展趨勢，國內(nèi)的DLP產(chǎn)品，也需要快速適應從on-premise到cloud-based的轉(zhuǎn)變。

數(shù)據(jù)防泄密系統(tǒng)：這是一套從源頭上保障數(shù)據(jù)安全和使用安全的軟件系統(tǒng)。包含了文件透明加解密、內(nèi)部文件流轉(zhuǎn)功能、密級管控、離線管理、文件外發(fā)管理、靈活的審批流程、工作模式切換、服務器白名單等功能。從根本上嚴防信息外泄，保障信息安全。

本文名稱：云計算信息安全解決方案圖 云計算云安全
當前路徑：http://m.jiaotiyi.com/article/doejdoh.html