云計算及其模式下的USBKEY產品初探

申請免費試用、咨詢電話：400-8352-114

最近幾年云計算迅速侵入各個技術中心的大腦，各大公司都在大力宣揚自己的云計算模型，谷歌（Google）、亞馬遜（Amazon）、IBM和微軟等信息技術產業(yè)的巨頭們，以前所未有的速度和規(guī)模在推動著云計算技術和產品的普及。不同級別的科技公司都在運用云計算實現(xiàn)自己定義的應用。一時間，云計算成為時下最流行的科技詞匯，成為高科技新的代名詞。云計算到底是什么，為什么會如此風靡和如此受科技人員的追捧。本文將對云計算做簡單介紹，并對云計算涉及到的安全性問題結合USBKEY產品做一點簡單探討。

云計算（Cloud Computing ）：是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網格計算(Grid Computing)的發(fā)展，或者說是這些計算機科學概念的商業(yè)實現(xiàn)。是指基于互聯(lián)網的超級計算模式--即把存儲于個人電腦、移動電話和其他設備上的大量信息和處理器資源集中在一起，協(xié)同工作。在極大規(guī)模上可擴展的信息技術能力向外部客戶作為服務來提供的一種計算方式。云計算是一種商業(yè)計算模型。它將計算任務分布到由大量計算機構成的資源池上，從而使用戶能夠根據需要獲取計算力、存儲空間和信息服務。

云計算服務類型

云計算按照服務類型大致可以分為IaaS（將基礎設施作為服務）、PaaS（將平臺作為服務）和SaaS（將軟件作為服務）這三類，如圖1所示。

圖1：云計算服務模型

IaaS將硬件設備等基礎資源封裝成服務供用戶使用，如亞馬遜網絡服務（Amazon Web Services，AWS）的彈性計算云和簡單存儲服務（Simple Storage Service，S3）。在IaaS環(huán)境中，用戶相當于在使用裸機和磁盤，雖然可以在其上運行Windows，或Linux，做許多事情，但用戶必須考慮如何讓多臺機器協(xié)同工作。亞馬遜云計算提供了在節(jié)點之間互通消息的接口簡單隊列服務（Simple Queue Service，SQS）。IaaS的最大優(yōu)勢在于允許用戶動態(tài)申請或釋放節(jié)點，按使用量計費。運行IaaS的服務器規(guī)模通常多達幾十萬臺，用戶幾乎可以認為能夠申請的資源是無限的。由于IaaS是供公眾共享的，因而資源使用率會較高。PaaS對資源的抽象層次更進了一步，它提供用戶應用程序的運行環(huán)境，典型的如谷歌應用引擎（Google App Engine）。微軟的云計算操作系統(tǒng)“Microsoft Windows Azure”也可大致歸入這一類。

PaaS自身負責資源的動態(tài)擴展和容錯管理，用戶應用程序不必過多考慮節(jié)點間的配合問題。但同時，用戶的自主權降低，必須使用特定的編程環(huán)境和遵照特定的編程模型。這有點像在高性能集群計算機里進行消息傳遞接口（Message Passing Interface，MPI）編程一樣，只適用于解決某些特定的計算問題。例如，“Google App Engine”只允許使用Python和Java語言，基于稱作Django的We b應用框架，以及調用“Google App Engine”SD （Software Development Kit，軟件開發(fā)工具）來開發(fā)在線應用服務。

SaaS的針對性更強，它將某些特定應用軟件功能封裝成服務，如Salesforce公司提供的在線客戶關系管理（Client Relationship Management，CRM）服務。SaaS既不像PaaS一樣提供計算或存儲資源類型的服務，也不像IaaS一樣提供運行用戶自定義應用程序的環(huán)境，而是只提供某些專門用途的服務。

云計算模型

IBM藍云

IBM 的“藍云(blue cloud)”計算平臺是由一個數據中心、IBM Tivoli 監(jiān)控軟件(Tivoli monitoring)、IBM DB2 數據庫、IBM Tivoli 部署管理軟件(Tivoli provisioning manager)、IBM WebSphere 應用服務器以及開源虛擬化軟件和一些開源信息處理軟件共同組成，如圖3 所示。“藍云”采用了Xen、PowerVM 虛擬技術和Hadoop 技術，以期幫助客戶構建云計算環(huán)境?！八{云”軟件平臺的特點主要體現(xiàn)在虛擬機以及所采用的大規(guī)模數據處理軟件Hadoop。該體系結構圖側重于云計算平臺的核心后端，未涉及用戶界面。由于該架構是完全基于IBM 公司的產品設計的，所以也可以理解為“藍云”產品架構。

圖二 IBM藍云

不同的廠家又提供了不同的解決方案，但目前還沒有一個統(tǒng)一的技術體系結構，因此對讀者了解云計算的原理構成了障礙。解放軍理工大學劉鵬教授構造了一個云計算體系結構（如圖3所示）。這個體系結構概括了不同解決方案的主要特征，每一種方案或許只實現(xiàn)了其中部分功能，或許也還有部分相對次要功能尚未概括進來。

圖三：云計算體系結構

云計算技術體系結構分為4層：物理資源層、資源池層、管理中間件層和面向服務架構（Service-Oriented Architecture，SOA）的構建層，如圖3所示。物理資源層包括計算機、存儲器、網絡設施、數據庫和軟件等；資源池層是將大量相同類型的資源構成同構或接近同構的資源池，如計算資源池和數據資源池等。構建資源池更多是物理資源的集成和管理工作，例如研究在一個標準集裝箱的空間如何裝下2000個服務器、解決散熱和故障節(jié)點替換以及降低能耗等問題；管理中間件負責對云計算的資源進行管理，并對眾多應用任務進行調度，使資源能夠高效、安全地為應用提供服務；面向服務架構的構建層將云計算能力封裝成標準的萬維網服務（Web Services），并納入到面向服務的架構體系進行管理和使用，包括服務注冊、查找、訪問和構建服務工作流等。管理中間件和資源池層是云計算技術的最關鍵部分，面向服務架構的構建層的功能更多地依靠外部設施提供。云計算的管理中間件負責資源管理、任務管理、用戶管理和安全管理等工作。資源管理負責讓應用均衡地使用云資源節(jié)點，檢測節(jié)點的故障并試圖將其恢復或屏蔽，以及對資源的使用情況進行監(jiān)視統(tǒng)計；任務管理負責執(zhí)行用戶或應用提交的任務，包括完成用戶任務映像（Image）的部署和管理、任務調度、任務執(zhí)行和任務生命期管理等等；用戶管理是實現(xiàn)云計算商業(yè)模式的一個必不可少的環(huán)節(jié)，包括提供用戶交互接口、管理和識別用戶身份、創(chuàng)建用戶程序的執(zhí)行環(huán)境、對用戶的使用進行計費等；安全管理保障云計算設施的整體安全，包括身份認證、訪問授權、綜合防護和安全審計等。

云計算的安全性談論

云計算模式是基于網頁應用的方式，核心功能是資源池向應用提供服務，如何保證提供服務的安全性，如何保證存在于云中數據的安全性，在以上介紹的系統(tǒng)架構中有專門一個部分為安全管理模塊。該模塊包括身份認證、訪問授權、綜合防護和安全審計等功能。

各個應用必須在本地終端通過Internet網絡將需要計算的數據發(fā)送到云計算的資源池，當計算結束返回計算結果到用戶時也必須經過網絡傳達。另外如何保證存儲在云上的數據不被非法獲取和篡改等都需要安全管理模塊的控制。USBKEY產品正是能夠保證數據在網絡上安全傳輸涉及而成的安全性產品。在云計算的背景下，KEY產品應該仍然有生命力。

目前USBKEY產品是以單個硬件設備并配以管理軟件工具為應用提供服務，也就是說如果用戶需要使用KEY產品做身份認證或數字簽名服務，勢必需要購買一套USBKEY設備（硬件和軟件），將軟件按裝到本地機器上才能進行使用。在云計算模式下，USBKEY設備的形態(tài)及使用方式都會隨著云計算的引入而發(fā)上變化。可能有兩個方面：第一將USBKEY的管理軟件做成一個服務，符合云計算的第三種服務模式及SaaS（將軟件作為服務），用戶無需再購買任何軟件產品，只需要將硬件KEY插到電腦中，硬件會自動尋找支持產品運行的軟件服務，并向云計算資源池申請管理工具的支持，完成應用工作。第二：可以將所有USBKEY產品做成一種服務實現(xiàn)第一種模式既IaaS（將基礎設施作為服務），所有硬件USBKEY及管理軟件都沒有了，而是將KEY產品作為一個服務進行提供，網絡交易中涉及到電子簽名或身份認證就向該基礎設施申請服務。第三：保留目前的產品形態(tài)，而將軟件做成一種管理平臺，不單單是管理KEY產品，而是能夠收集客戶在進行安全性交易時關心的內容，需要提供的相應服務進行收集，然后匯集到后臺提供客戶其他的服務。比如當客戶進行安全性較高的網上交易時，會擔心自己系統(tǒng)是否有病毒、PIN碼是否被截獲被篡改等，這時我們的管理工具會收集這些信息，然后啟動云殺毒等服務。

總結

本文對時下云計算做了簡單的介紹，并就KEY類產品在云計算背景下的應用做了簡單分析。尤其是對KEY產品以后形態(tài)或服務的發(fā)展想法并不是很成熟，只是作為拋磚引玉之用。