江雪，何曉霞

云計(jì)算安全對(duì)策研究

江雪，何曉霞

云計(jì)算的安全問(wèn)題是制約和影響云計(jì)算發(fā)展及應(yīng)用的關(guān)鍵問(wèn)題。從云計(jì)算的基本概念入手，介紹了云計(jì)算安全的發(fā)展現(xiàn)狀和幾種典型的云安全體系架構(gòu)，結(jié)合3種云服務(wù)模式分析得出云計(jì)算安全目標(biāo)，針對(duì)這些安全目標(biāo)提出了相應(yīng)的對(duì)策和思路，并且重點(diǎn)探討了基于可信計(jì)算的云計(jì)算安全。

云計(jì)算；信息安全；安全體系架構(gòu)；可信計(jì)算

0 引言

云計(jì)算利用網(wǎng)絡(luò)將大量的計(jì)算資源、存儲(chǔ)資源和軟件資源整合在一起，形成大規(guī)模的共享虛擬 IT 資源池，打破傳統(tǒng)針對(duì)本地用戶的一對(duì)一服務(wù)模式，為遠(yuǎn)程計(jì)算機(jī)用戶提供相應(yīng)的 IT 服務(wù)，真正實(shí)現(xiàn)資源的按需分配。

隨著云計(jì)算的發(fā)展，安全問(wèn)題逐漸凸顯出來(lái)，已經(jīng)成為制約其發(fā)展的重要因素。據(jù) IDC 報(bào)告，有超過(guò) 74% 的用戶認(rèn)為安全問(wèn)題是限制云計(jì)算發(fā)展的主要問(wèn)題。云計(jì)算安全問(wèn)題得到產(chǎn)業(yè)界、學(xué)術(shù)界的廣泛關(guān)注，很多企業(yè)機(jī)構(gòu)、研究團(tuán)體及標(biāo)準(zhǔn)化組織都展開(kāi)了相應(yīng)研究。

1 云計(jì)算安全概述

1.1 云計(jì)算的定義

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）將云計(jì)算定義為“一種無(wú)處不在的、便捷的且按需的對(duì)一個(gè)共享的可配置的計(jì)算資源進(jìn)行網(wǎng)絡(luò)訪問(wèn)的模式，它能夠通過(guò)最少量的管理或與服務(wù)供應(yīng)商的互動(dòng)實(shí)現(xiàn)計(jì)算資源的迅速供給和釋放[1]。

根據(jù) NIST 的定義，云計(jì)算具有 5 個(gè)關(guān)鍵特征：1）按需自服務(wù)，用戶在需要時(shí)自動(dòng)配置計(jì)算能力；2）寬度接入，利用網(wǎng)絡(luò)支持各種標(biāo)準(zhǔn)接入手段；3）虛擬化的資源池，按照用戶需要，將物理和虛擬資源進(jìn)行動(dòng)態(tài)分配和管理；4）彈性架構(gòu)、服務(wù)可以快速?gòu)椥缘毓?yīng)；5）可測(cè)量服務(wù)。

云計(jì)算具有 3種典型的服務(wù)模式：1）軟件即服務(wù)（SaaS），提供給用戶以服務(wù)的方式使用應(yīng)用程序的能力；2）平臺(tái)即服務(wù)（PaaS），提供給用戶在云基礎(chǔ)設(shè)施之上部署和使用開(kāi)發(fā)環(huán)境的能力；3）基礎(chǔ)設(shè)施即服務(wù)（IaaS），提供給用戶以服務(wù)的方式使用處理器、存儲(chǔ)、網(wǎng)絡(luò)以及其它基礎(chǔ)性計(jì)算資源的能力。

2.2 云計(jì)算安全研究現(xiàn)狀

2.2.1 云計(jì)算安全標(biāo)準(zhǔn)研究現(xiàn)狀

云安全聯(lián)盟 CSA(Cloud Security Alliance)已完成《云計(jì)算面臨的嚴(yán)重威脅》、《云控制矩陣》、《關(guān)鍵領(lǐng)域的云計(jì)算安全指南》等研究報(bào)告，并發(fā)布了云計(jì)算安全定義。這些報(bào)告強(qiáng)調(diào)了云計(jì)算安全的重要性、保證安全性應(yīng)當(dāng)考慮的問(wèn)題以及相應(yīng)的解決方案。

國(guó)際電信聯(lián)盟 ITU-TSG17 研究組會(huì)議于 2010 年 5 月在瑞士的日內(nèi)瓦召開(kāi)，成立云計(jì)算專項(xiàng)工作組。云計(jì)算安全是其中重要的研究課題，計(jì)劃推出的標(biāo)準(zhǔn)包括《電信領(lǐng)域云計(jì)算安全指南》。

結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)將云計(jì)算看作是SOA 和網(wǎng)絡(luò)管理模型的自然擴(kuò)展。在標(biāo)準(zhǔn)化工作方面，OASIS 致力于在現(xiàn)有標(biāo)準(zhǔn)的基礎(chǔ)上建立云計(jì)算模型、配置文件和擴(kuò)展相關(guān)的標(biāo)準(zhǔn)。

近期，分布式管理任務(wù)組(Distributed Management Task Force，DMTF)也已啟動(dòng)了云標(biāo)準(zhǔn)孵化器過(guò)程。參與成員將關(guān)注通過(guò)開(kāi)發(fā)云資源管理協(xié)議、數(shù)據(jù)包格式以及安全機(jī)制來(lái)促進(jìn)云計(jì)算平臺(tái)間標(biāo)準(zhǔn)化的交互，致力于開(kāi)發(fā)一個(gè)云資源管理的信息規(guī)范集合。該組織的核心任務(wù)是擴(kuò)展開(kāi)放虛擬化格式(OVF)標(biāo)準(zhǔn)，使云計(jì)算環(huán)境中工作負(fù)載的部署及管理更為便捷。

2.2.2 云計(jì)算安全技術(shù)研究現(xiàn)狀

在 IT 產(chǎn)業(yè)界，各類云計(jì)算安全產(chǎn)品與方案也不斷涌現(xiàn)。EMC，Intel， Vmware 等公司聯(lián)合宣布了一個(gè)“可信云體系架構(gòu)”的合作項(xiàng)目，并提出了一個(gè)概念證明系統(tǒng)。微軟為云計(jì)算平臺(tái) Azure 籌備代號(hào)為 Sydney 的安全計(jì)劃，幫助企業(yè)用戶在服務(wù)器和 Azure 云之間交換數(shù)據(jù)，以解決虛擬化、多租戶環(huán)境中的安全性。開(kāi)源云計(jì)算平臺(tái) Hadoop 也推出安全版本，引入 kerberos 安全認(rèn)證技術(shù)，對(duì)共享商業(yè)敏感數(shù)據(jù)的用戶加以認(rèn)證與訪問(wèn)控制，阻止非法用戶對(duì)Hadoop clusters 的非授權(quán)訪問(wèn)。Sun 公司發(fā)布開(kāi)源的云計(jì)算安全工具可為 Amazon 的 EC2，S3 以及虛擬私有云平臺(tái)提供安全保護(hù)。工具包括 OpenSolaris VPC 網(wǎng)關(guān)軟件，能夠幫助客戶迅速和容易地創(chuàng)建一個(gè)通向 Amazon 虛擬私有云的多條安全的通信通道；為 Amazon EC2 設(shè)計(jì)的安全增強(qiáng)的VMIs，包括非可執(zhí)行堆棧，加密交換和默認(rèn)情況下啟用審核等；云安全盒(cloud safety box)，使用類 Amazon S3 接口，自動(dòng)地對(duì)內(nèi)容進(jìn)行壓縮、加密和拆分，簡(jiǎn)化云中加密內(nèi)容的管理等。

3 云安全體系架構(gòu)

3.1 CSA 的云安全架構(gòu)

CSA 從云服務(wù)模型角度提出了一個(gè)云計(jì)算安全架構(gòu)，該安全架構(gòu)描述了3種基本云服務(wù)的層次性及其依賴關(guān)系，并實(shí)現(xiàn)了從云服務(wù)模型到安全控制和合規(guī)模型的映射，如圖1所示：

圖1 云模型與安全控制模型

該安全架構(gòu)的關(guān)鍵特點(diǎn)是：供應(yīng)商所在的等級(jí)越低，云服務(wù)用戶所要承擔(dān)的安全能力和管理職責(zé)就越多[2]。

在 SaaS 環(huán)境中，由于位于云服務(wù)模式的最頂層，供應(yīng)商承擔(dān)最多的安全責(zé)任，在服務(wù)合同中對(duì)服務(wù)等級(jí)、隱私、合規(guī)性以及安全控制及其范圍等進(jìn)行明確；在 PaaS 中，供應(yīng)商主要為平臺(tái)自身提供安全保護(hù)，平臺(tái)上應(yīng)用的安全性及如何安全地開(kāi)發(fā)這些應(yīng)用則是客戶的職責(zé)；在 IaaS 中，由于位于云服務(wù)模式的最低層，供應(yīng)商主要提供低層基礎(chǔ)設(shè)施和抽象層的安全保護(hù)，除此之外，其它安全職責(zé)主要由客戶自己承擔(dān)。

3.2 云立方體模型

從安全協(xié)同的角度，Jericho Forum 提出了云立方體模型[3]。云立方體模型很形象地歸納了現(xiàn)有云產(chǎn)品的各種排列組合，提出了用以區(qū)分云從一種形態(tài)轉(zhuǎn)換到另外一種形態(tài)的4種維度（物理位置、所有關(guān)系、邊界狀態(tài)、運(yùn)行管理者），以及各種組成的供應(yīng)配置方式，以便理解云計(jì)算影響安全策略的方式。不同的云計(jì)算形態(tài)具有不同的協(xié)同性、靈活性及其安全風(fēng)險(xiǎn)特征。云服務(wù)用戶需要根據(jù)自身的業(yè)務(wù)和安全協(xié)同需求選擇最為合適的云計(jì)算形態(tài)。

3.3 可信云體系架構(gòu)

VMWare、Intel 和 EMC 合作提出一種可信云體系架構(gòu)。在基礎(chǔ)設(shè)施上利用 Intel的可信執(zhí)行技術(shù)(trusted execution technology)進(jìn)行安全保障，為物理基礎(chǔ)設(shè)施構(gòu)建一個(gè)物理信任根，從信任根開(kāi)始按照引導(dǎo)順序?qū)τ布渲?、BIOS完整性、Hypervisor 完整性、虛擬機(jī)系統(tǒng)的完整性進(jìn)行驗(yàn)證，實(shí)現(xiàn)平臺(tái)的可信啟動(dòng)；在平臺(tái)成功啟動(dòng)之后，利用 VMWare的虛擬隔離技術(shù)對(duì)虛擬環(huán)境進(jìn)行安全保障，保護(hù)數(shù)據(jù)中心的安全區(qū)域以及虛擬機(jī)免受病毒和惡意軟件的威脅；RSA Envision 對(duì)硬件層和虛擬層的安全數(shù)據(jù)進(jìn)行收集，并進(jìn)行統(tǒng)一的分析和管理。通過(guò)平臺(tái)的可信啟動(dòng)、虛擬層的安全防護(hù)以及安全事件的統(tǒng)一管理，構(gòu)建可信云計(jì)算環(huán)境。

3.4 其他安全體系架構(gòu)

歐洲網(wǎng)絡(luò)和信息安全研究所（European Network and Information Security Agency，ENISA）針對(duì)云計(jì)算環(huán)境中的安全問(wèn)題提出一個(gè)云計(jì)算信息安全保障框架。

IBM 基于其企業(yè)信息安全框架從用戶認(rèn)證與授權(quán)、流程管理、多級(jí)權(quán)限控制、數(shù)據(jù)隔離和保護(hù)、網(wǎng)絡(luò)和存儲(chǔ)隔離、物理安全等層面提出了一種云計(jì)算安全框架。

思科提出一個(gè)云數(shù)據(jù)中心安全框架，對(duì)云數(shù)據(jù)中心的威脅模型以及減少安全風(fēng)險(xiǎn)的措施進(jìn)行描述，強(qiáng)調(diào)在架構(gòu)的每一層實(shí)現(xiàn)相應(yīng)措施的重要性。

4 云計(jì)算安全目標(biāo)

不同的云服務(wù)模式的安全關(guān)注側(cè)重點(diǎn)不同，laaS 關(guān)注基礎(chǔ)設(shè)施和虛擬化安全；PaaS 關(guān)注平臺(tái)運(yùn)行安全；SaaS 關(guān)注應(yīng)用安全等。掌握云計(jì)算服務(wù)模型和技術(shù)特性，明確安全目標(biāo)，是分析云計(jì)算安全的關(guān)鍵?；A(chǔ)設(shè)施安全需要保護(hù) IaaS層即云基礎(chǔ)架構(gòu)的安全，包括一些網(wǎng)絡(luò)設(shè)施、硬件、操作系統(tǒng)、計(jì)算資源等；平臺(tái)安全保護(hù) PaaS 層即云開(kāi)發(fā)平臺(tái)的安全，包括接口、中間件和平臺(tái)應(yīng)用軟件等；應(yīng)用軟件安全保護(hù) SaaS 層即云應(yīng)用的安全，即保護(hù)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和內(nèi)容的安全，保護(hù)使用者身份的合法性和保障應(yīng)用的可用性等。同時(shí)，終端安全防護(hù)保護(hù)使用云服務(wù)的最終用戶的應(yīng)用安全。為保障云計(jì)算的安全運(yùn)行，安全管理、法律法規(guī)與監(jiān)管是貫穿整個(gè)云計(jì)算服務(wù)從管理方面實(shí)施的安全控制，是支撐云計(jì)算實(shí)現(xiàn)安全目標(biāo)的基礎(chǔ)如圖2所示：

圖2 云計(jì)算安全目標(biāo)

4.1 IaaS 服務(wù)模式的安全目標(biāo)

基礎(chǔ)設(shè)施為用戶提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和其他基礎(chǔ)計(jì)算資源的服務(wù)，用戶可以使用云提供商提供的各種基礎(chǔ)計(jì)算資源，在其上部署和運(yùn)行任意的軟件，而不用管理和控制底層基礎(chǔ)設(shè)施，但將同時(shí)面臨軟件和硬件方面綜合復(fù)雜的安全風(fēng)險(xiǎn)。

1)物理安全。云計(jì)算在物理安全上面臨多種威脅，這些威脅通過(guò)破壞信息系統(tǒng)的完整性、可用性或保密性，造成服務(wù)中斷或基礎(chǔ)設(shè)施的毀滅性破壞。物理安全目標(biāo)包括設(shè)備安全、環(huán)境安全、災(zāi)難備份和恢復(fù)、邊界保護(hù)、設(shè)備管理等方面。

2)計(jì)算環(huán)境安全。如果承擔(dān)核心計(jì)算能力的設(shè)備和系統(tǒng)缺乏安全技術(shù)、管理措施，將導(dǎo)致所處理數(shù)據(jù)的不安全。安全目標(biāo)應(yīng)包括：硬件設(shè)備需要安全措施，基礎(chǔ)軟件需要安全、可靠和可信，設(shè)備性能穩(wěn)定，以及災(zāi)備恢復(fù)計(jì)劃。

3)存儲(chǔ)安全。數(shù)據(jù)高度集中、多租戶、資源共享、分布式存儲(chǔ)是云計(jì)算的技術(shù)特性，這些因素加大了數(shù)據(jù)保護(hù)的難度，增大了數(shù)據(jù)被濫用和受攻擊的可能。因此，用戶隱私和數(shù)據(jù)存儲(chǔ)保護(hù)成為需要重點(diǎn)解決的安全問(wèn)題。存儲(chǔ)安全目標(biāo)包括如下方面：a)采用適應(yīng)云計(jì)算特點(diǎn)的數(shù)據(jù)加密和數(shù)據(jù)隔離技術(shù)防止數(shù)據(jù)泄露和竊?。籦)采用訪問(wèn)控制等手段防止數(shù)據(jù)濫用和非授權(quán)使用；c)防止數(shù)據(jù)殘留，以及多租戶之間信息資源的有效隔離；d)多用戶密鑰管理，必須要求密鑰隔離存儲(chǔ)和加密保護(hù)；e)數(shù)據(jù)災(zāi)備與恢復(fù)。

4)虛擬化安全。虛擬化和彈性計(jì)算技術(shù)的采用，使得用戶的安全邊界模糊，傳統(tǒng)的安全邊界防護(hù)機(jī)制在云計(jì)算環(huán)境中難以奏效。虛擬化安全防范目標(biāo)主要包括：a)虛擬系統(tǒng)軟件安全。需要保護(hù)虛擬化軟件環(huán)境，如 Hypervisor的完整性、可信性，阻止病毒、木馬和漏洞；b)虛擬機(jī)隔離。需要采用包括加密、認(rèn)證和訪問(wèn)控制等技術(shù)對(duì)虛擬機(jī)、應(yīng)用程序和數(shù)據(jù)進(jìn)行隔離；c)虛擬化網(wǎng)絡(luò)和通信安全；d)虛擬機(jī)安全遷移等。

4.2 PaaS 服務(wù)模式的安全目標(biāo)

PaaS 將基礎(chǔ)設(shè)施類的服務(wù)升級(jí)抽象為可應(yīng)用化的接口，為用戶提供開(kāi)發(fā)和部署平臺(tái)，建立應(yīng)用程序，安全目標(biāo)包括：

1)在 API接口及中間件安全方面，要做到如下：

a)保證 API接口的安全。PaaS 服務(wù)的安全性依賴于 API的安全，如果 PaaS 提供商提供的 API及中間件具有漏洞、惡意代碼或后門等風(fēng)險(xiǎn)，將給云計(jì)算 PaaS 資源和底層基礎(chǔ)設(shè)施資源造成數(shù)據(jù)破壞或資源濫用的風(fēng)險(xiǎn)。

b)防止非法訪問(wèn)。PaaS 平臺(tái)提供的 API 通常包含對(duì)用戶敏感資源的訪問(wèn)或者對(duì)底層計(jì)算資源的調(diào)用，同時(shí) PaaS平臺(tái)也存在著不同用戶的業(yè)務(wù)數(shù)據(jù)。因此，需要實(shí)施 API用戶管理、身份認(rèn)證管理及訪問(wèn)控制，防止非授權(quán)使用。

c)保證第三方插件安全。

d)保證 API軟件的完整性。

2)保證服務(wù)可用性。云服務(wù)提供商必須保證服務(wù)質(zhì)量和應(yīng)急預(yù)案，當(dāng)發(fā)生安全事件、系統(tǒng)故障時(shí)，能夠快速恢復(fù)用戶數(shù)據(jù)、保證服務(wù)連續(xù)性是主要的安全目標(biāo)。

4.3 SaaS 服務(wù)模式的安全目標(biāo)

應(yīng)用軟件服務(wù)安全目標(biāo)如下：

1)數(shù)據(jù)安全。主要包括用戶數(shù)據(jù)傳輸安全、用戶隱私安全和數(shù)據(jù)庫(kù)安全問(wèn)題，如數(shù)據(jù)傳輸過(guò)程或緩存中的泄露、非法篡改、竊取以及病毒、數(shù)據(jù)庫(kù)漏洞破壞等。因此，需要確保用戶在使用云服務(wù)軟件過(guò)程中的所有數(shù)據(jù)在云環(huán)境中傳輸和存儲(chǔ)時(shí)候的安全。

2)內(nèi)容安全。由于云計(jì)算環(huán)境的開(kāi)放性，內(nèi)容安全面臨包括非授權(quán)使用、非法內(nèi)容傳播或篡改等威脅。內(nèi)容安全目標(biāo)主要是對(duì)有害信息資源內(nèi)容實(shí)現(xiàn)可測(cè)、可控、可管。

3)應(yīng)用安全。云計(jì)算應(yīng)用安全主要是建立在身份認(rèn)證和實(shí)現(xiàn)對(duì)資源的訪問(wèn)控制基礎(chǔ)上。對(duì)提供大量應(yīng)用的 SaaS 服務(wù)商來(lái)說(shuō)，需要建立可信和可靠的認(rèn)證管理系統(tǒng)和權(quán)限管理系統(tǒng)。

4.4 終端安全防護(hù)目標(biāo)

用戶采用瀏覽器來(lái)訪問(wèn)云中的 IaaS、PaaS 或 SaaS 服務(wù)，終端的安全性直接影響到云計(jì)算的服務(wù)安全。

1)終端瀏覽器安全。終端瀏覽器是用戶與云交互的工具，瀏覽器安全漏洞可能使用戶的密鑰或口令泄露，為保護(hù)瀏覽器和終端系統(tǒng)的安全，重點(diǎn)需要解決終端安全防護(hù)問(wèn)題，如反惡意軟件、漏洞掃描、非法訪問(wèn)和抗攻擊等。

2)用戶身份認(rèn)證安全。終端用戶身份盜用風(fēng)險(xiǎn)主要表現(xiàn)在因木馬、病毒而產(chǎn)生的用戶登錄云應(yīng)用的密碼遭遇非法竊取，或數(shù)據(jù)在通信傳輸過(guò)程中被非法復(fù)制、竊取等。

3)終端數(shù)據(jù)安全。終端用戶的文件和數(shù)據(jù)需要加密保護(hù)以維護(hù)其私密性和完整性，是傳送到云平臺(tái)加密還是在終端自己加密以后再送至云平臺(tái)存儲(chǔ)，無(wú)論將加密點(diǎn)設(shè)在何處，都要考慮如何防止加密密鑰、用戶數(shù)據(jù)的泄露、數(shù)據(jù)安全共享和方便檢索等問(wèn)題。

4)終端運(yùn)行環(huán)境安全。終端運(yùn)行環(huán)境是指用戶終端為保證云計(jì)算客戶端程序正常運(yùn)行必需的終端硬件及軟件環(huán)境，它與傳統(tǒng)終端一樣面臨的互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)。

5 云計(jì)算安全對(duì)策

5.1 對(duì)策一：安全隔離

虛擬化技術(shù)是實(shí)現(xiàn)云計(jì)算的關(guān)鍵核心技術(shù)，使用虛擬化技術(shù)的云計(jì)算平臺(tái)必須為客戶提供安全性和隔離保證。Santhanam 等人提出了基于虛擬機(jī)技術(shù)實(shí)現(xiàn)的 grid 環(huán)境下的隔離執(zhí)行機(jī)[4]。Raj 等人提出了通過(guò)緩存層次可感知的核心分配，以及給予緩存劃分的頁(yè)染色的兩種資源管理方法實(shí)現(xiàn)性能與安全隔離[5]。這些方法在隔離影響一個(gè) VM 的緩存接口時(shí)是有效的，并整合到一個(gè)樣例云架構(gòu)的資源管理(RM)框架中。

5.2 對(duì)策二：訪問(wèn)控制

在云計(jì)算環(huán)境中，各個(gè)云應(yīng)用屬于不同的安全管理域，每個(gè)安全域都管理著本地的資源和用戶。當(dāng)用戶跨域訪問(wèn)資源時(shí)，需在域邊界設(shè)置認(rèn)證服務(wù)，對(duì)訪問(wèn)共享資源的用戶進(jìn)行統(tǒng)一的身份認(rèn)證管理。在跨多個(gè)域的資源訪問(wèn)中，各域有自己的訪問(wèn)控制策略，在進(jìn)行資源共享和保護(hù)時(shí)必須對(duì)共享資源制定一個(gè)公共的、雙方都認(rèn)同的訪問(wèn)控制策略，因此，需要支持策略的合成。這個(gè)問(wèn)題最早由 Mclean 在強(qiáng)制訪問(wèn)控制框架下提出，他提出了一個(gè)強(qiáng)制訪問(wèn)控制策略的合成框架，將兩個(gè)安全格合成一個(gè)新的格結(jié)構(gòu)。策略合成的同時(shí)還要保證新策略的安全性，新的合成策略必須不能違背各個(gè)域原來(lái)的訪問(wèn)控制策略。為此，Gong 提出了自治原則和安全原則[6]。Bonatti提出了一個(gè)訪問(wèn)控制策略合成代數(shù)，基于集合論使用合成運(yùn)算符來(lái)合成安全策略[7]。Wijesekera 等人提出了基于授權(quán)狀態(tài)變化的策略合成代數(shù)框架[8]。Agarwal 構(gòu)造了語(yǔ)義 Web 服務(wù)的策略合成方案[9]。Shafiq 提出了一個(gè)多信任域 RBAC 策略合成策略，側(cè)重于解決合成的策略與各域原有策略的一致性問(wèn)題[10]。

5.3 對(duì)策三：數(shù)據(jù)驗(yàn)證

由于大規(guī)模數(shù)據(jù)所導(dǎo)致的巨大通信代價(jià)，用戶不可能將數(shù)據(jù)下載后再驗(yàn)證其正確性。因此，云用戶需在取回很少數(shù)據(jù)的情況下，通過(guò)某種知識(shí)證明協(xié)議或概率分析手段，以高置信概率判斷遠(yuǎn)端數(shù)據(jù)是否完整。典型的工作包括：面向用戶單獨(dú)驗(yàn)證的數(shù)據(jù)可檢索性證明(POR)[11]方法、公開(kāi)可驗(yàn)證的數(shù)據(jù)持有證明(PDP)方法[12]。

NEC 實(shí)驗(yàn)室提出的 PDI(provable data integrity)[13]方法改進(jìn)并提高了 POR 方法的處理速度以及驗(yàn)證對(duì)象規(guī)模，且能夠支持公開(kāi)驗(yàn)證。

其他典型的驗(yàn)證技術(shù)包括：Yun 等人提出的基于新的樹(shù)形結(jié)構(gòu) MAC Tree 的方案[14]。

Schwarz 等人提出的基于代數(shù)簽名的方法[15]Wang 等人提出的基于 BLS 同態(tài)簽名和 RS 糾錯(cuò)碼的方法[16]等。

5.4 對(duì)策四：數(shù)據(jù)隱私保護(hù)

云中數(shù)據(jù)隱私保護(hù)涉及數(shù)據(jù)生命周期的每一個(gè)階段。Roy 等人將集中信息流控制(DIFC)和差分隱私保護(hù)技術(shù)融入云中的數(shù)據(jù)生成與計(jì)算階段，提出了一種隱私保護(hù)系統(tǒng)airavat[17]，防止 map reduce 計(jì)算過(guò)程中非授權(quán)的隱私數(shù)據(jù)泄露出去，并支持對(duì)計(jì)算結(jié)果的自動(dòng)除密。在數(shù)據(jù)存儲(chǔ)和使用階段，Mowbray 等人提出了一種基于客戶端的隱私管理工具[18]，提供以用戶為中心的信任模型，幫助用戶控制自己的敏感信息在云端的存儲(chǔ)和使用。Munts-Mulero 等人討論了現(xiàn)有的隱私處理技術(shù)，包括 K 匿名、圖匿名以及數(shù)據(jù)預(yù)處理等，作用于大規(guī)模待發(fā)布數(shù)據(jù)時(shí)所面臨的問(wèn)題和現(xiàn)有的一些解決方案[19]。Rankova 等人則在文獻(xiàn)[20]中提出一種匿名數(shù)據(jù)搜索引擎，可以使得交互雙方搜索對(duì)方的數(shù)據(jù)，獲取自己所需要的部分，同時(shí)保證搜索詢問(wèn)的內(nèi)容不被對(duì)方所知，搜索時(shí)與請(qǐng)求不相關(guān)的內(nèi)容不會(huì)被獲取。

5.5 對(duì)策五：安全管理

云計(jì)算環(huán)境的復(fù)雜性、海量數(shù)據(jù)和高度虛擬化動(dòng)態(tài)性使得云計(jì)算安全管理更為復(fù)雜，帶來(lái)了新的安全管理挑戰(zhàn)，云計(jì)算服務(wù)商應(yīng)該從系統(tǒng)安全、安全審計(jì)、安全運(yùn)維幾個(gè)方面加強(qiáng)安全管理。

1)系統(tǒng)安全管理。a)可用性管理，需要對(duì)云系統(tǒng)不同組件進(jìn)行冗余配置，保證系統(tǒng)的高可用性以及在大負(fù)載量下的負(fù)載均衡；b)漏洞、補(bǔ)丁及配置管理，是維護(hù)云計(jì)算系統(tǒng)安全的基礎(chǔ)手段；c)高效的入侵檢測(cè)和事件響應(yīng)；d)人員安全管理，需要采用基于權(quán)限的訪問(wèn)控制和細(xì)粒度的分權(quán)管理策略。

2)安全審計(jì)。云計(jì)算服務(wù)提供商應(yīng)該為多租戶用戶提供審計(jì)管理，支持在云計(jì)算大數(shù)據(jù)量、模糊邊界、復(fù)用資源環(huán)境下的取證。

3)安全運(yùn)維。云計(jì)算的安全運(yùn)維管理需要考慮云平臺(tái)的基礎(chǔ)設(shè)施、應(yīng)用和業(yè)務(wù)的安全監(jiān)控，以及部署入侵檢測(cè)、災(zāi)難恢復(fù)，提供有效的安全事件處理及應(yīng)急響應(yīng)機(jī)制。

5.6 對(duì)策六：法律法規(guī)和監(jiān)管

云計(jì)算作為一種新的 IT 服務(wù)模式，監(jiān)管、法律、法規(guī)的建設(shè)相對(duì)滯后。從云計(jì)算的可持續(xù)發(fā)展來(lái)看，法律法規(guī)體系建設(shè)與技術(shù)體系和管理體系同等重要。

1)法律法規(guī)需求。目前，我國(guó)針對(duì)云計(jì)算安全法律法規(guī)有待完善。需要加強(qiáng)關(guān)注的有：責(zé)任法規(guī)（提供商、客戶、終端用戶安全責(zé)任的分配、鑒定）、取證法規(guī)、個(gè)人隱私數(shù)據(jù)保護(hù)法、電子簽名法及電子合同法、跨地域法規(guī)（監(jiān)控跨地域存儲(chǔ)的資源)。

2)安全監(jiān)管需求。安全監(jiān)管應(yīng)該關(guān)注以下方面：異常監(jiān)管，云計(jì)算平臺(tái)網(wǎng)絡(luò)流量監(jiān)控、攻擊識(shí)別和響應(yīng)；內(nèi)容監(jiān)管，對(duì)云計(jì)算環(huán)境下流通內(nèi)容進(jìn)行監(jiān)管，防止非法信息的傳播；運(yùn)行監(jiān)管；云安全系統(tǒng)測(cè)評(píng)標(biāo)準(zhǔn)；合規(guī)性監(jiān)管。

6 基于可信計(jì)算的云計(jì)算安全

可信計(jì)算技術(shù)提供了一種方式來(lái)建立一個(gè)安全環(huán)境?？尚庞?jì)算不僅僅可以支持個(gè)人平臺(tái)上的信任、隱私保護(hù)，也可以用于解決云計(jì)算的安全問(wèn)題。

6.1 基于可信計(jì)算的云用戶認(rèn)證

用戶認(rèn)證是訪問(wèn)控制的基礎(chǔ)?？尚庞?jì)算平臺(tái)可以用來(lái)輔助處理云計(jì)算中的用戶認(rèn)證，它能夠提供比用戶名、口令更強(qiáng)的認(rèn)證，包含一個(gè)專用的主密鑰，對(duì)存儲(chǔ)在云計(jì)算系統(tǒng)中的其他信息進(jìn)行保護(hù)。硬件證書(shū)存儲(chǔ)在 TPM 中保證安全性。

6.2 基于可信計(jì)算的云訪問(wèn)控制

云計(jì)算系統(tǒng)中，可以將用戶進(jìn)行分類并針對(duì)這些分類制定訪問(wèn)控制準(zhǔn)則。用戶需要注冊(cè)進(jìn)入一個(gè)或幾個(gè)分類，獲得代表其身份的信任狀。為達(dá)到可信計(jì)算目標(biāo)，用戶應(yīng)該來(lái)自可信計(jì)算平臺(tái)，并采用該平臺(tái)上的安全機(jī)制獲取自身的隱私和安全。用戶從基于 TPM 的可信計(jì)算平臺(tái)登陸云計(jì)算系統(tǒng)，從證書(shū)權(quán)威處獲取證書(shū)，與遠(yuǎn)程實(shí)體進(jìn)行通信時(shí)，信息傳送通過(guò)會(huì)話密鑰得到保護(hù)。

6.3 基于可信計(jì)算的云數(shù)據(jù)安全

對(duì)于存儲(chǔ)在云中的重要數(shù)據(jù)可以使用 TPM 產(chǎn)生的密鑰進(jìn)行加密。加密密鑰存儲(chǔ)在 TPM 中，使得針對(duì)這些密鑰的攻擊非常難于實(shí)施。對(duì)于傳輸中的數(shù)據(jù)，可以使用加密技術(shù)來(lái)確保數(shù)據(jù)的安全。認(rèn)證和完整性保護(hù)可以確保數(shù)據(jù)不被修改。當(dāng)需要訪問(wèn)云中的數(shù)據(jù)時(shí)，用戶或應(yīng)用程序首先需要進(jìn)行基于 TPM 的認(rèn)證。

6.4 基于可信計(jì)算的云虛擬化安全

可信計(jì)算技術(shù)提供對(duì)虛擬機(jī)監(jiān)視器和虛擬網(wǎng)絡(luò)分離安全性的改進(jìn)。首先，TPM 能夠提供基于硬件的超級(jí)用戶和虛擬機(jī)監(jiān)控器的完整性驗(yàn)證；其次，TNC 架構(gòu)和標(biāo)準(zhǔn)能夠提供強(qiáng)勁的網(wǎng)絡(luò)分離和安全來(lái)為可信多租戶服務(wù)。

6.5 基于可信計(jì)算的云安全管理

在可信計(jì)算平臺(tái)上，用戶身份通過(guò)個(gè)人密鑰證明，并且該機(jī)制集成到 BIOS 和 TPM 等硬件中，用戶很難隱瞞其身份信息。當(dāng)用戶登陸云計(jì)算系統(tǒng)時(shí)，其身份信息被記錄和驗(yàn)證。將可信計(jì)算平臺(tái)集成進(jìn)云計(jì)算系統(tǒng)，參與者，包括用戶和其他資源都會(huì)被云計(jì)算系統(tǒng)的追蹤機(jī)制監(jiān)視，可以支持安全審計(jì)、安全監(jiān)管、安全取證等安全管理行為。

TNC 的 IF—MAP 架構(gòu)支持不同安全系統(tǒng)，并且對(duì)突發(fā)事件和用戶惡意行為提供實(shí)時(shí)通知。這個(gè)特性可以用于支持應(yīng)急響應(yīng)。

7 總結(jié)

當(dāng)前，云計(jì)算的應(yīng)用越來(lái)越廣泛，如何構(gòu)建安全的云計(jì)算環(huán)境已成為研究熱點(diǎn)之一。本文介紹了云計(jì)算安全的研究現(xiàn)狀和典型的云計(jì)算安全體系架構(gòu)，結(jié)合云計(jì)算的服務(wù)模型分析了云計(jì)算安全目標(biāo)，提出了安全隔離、訪問(wèn)控制、數(shù)據(jù)驗(yàn)證、數(shù)據(jù)隱私保護(hù)、安全管理、法律法規(guī)和監(jiān)管等云計(jì)算安全對(duì)策，并且重點(diǎn)展望了基于可信計(jì)算的云計(jì)算安全。

[1] Mell P, Grance T. The NIST Definition of Cloud Computing. National Institute of Standards and Technology, [C]Information Technology Laboratory, 2009.

[2] Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. [C]The Cloud Security Appliance, 2011.

[3] FORUM J. Cloud cube model: selecting cloud formations for secure collaboration[EB/OL], http://www.opengroup.org/jericho/cloud_cube_model_v1 .0.pdf 2012,1,11

[4] Elangop S, Dusseauaetal A. Deploying virtual machines as sandboxes for the grid. USENIX Association Proceedings of the 2nd Workshop on Real, [C]Large Distributed Systems. San Francisco, USA, 2005: 7?12.

[5] Raj H, Nathuji R, Singh A, England P. Resource management for isolation enhanced cloud services. Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 77?84.

[6] Gong L, Qian XL. Computational issues in secure interoperation. [J]IEEE Transactions on Software and Engineering, 1996, 22(1): 43?52.

[7] Bonatti P, Vimercati SC, Samarati P. An algebra for composing access control policies. [J]ACM Transactions on Information and System Security, 2002, 5(1): 1?35.

[8] Wijesekera D, Jajodia S. A propositional policy algebra for access control. [J]ACM Transactions on Information and System Security, 2003,6(2):286?325.

[9] Agarwal S, Sprick B. Access control for semantic Web services. [C]Proceedings of the IEEE International Conference on Web Services. San Diego, USA, 2004: 770?773.

[10] Shafiq B, Joshi JBD, Bertino E, GhafoorA. Secure interoperation in a multidomain environment employing RBAC policies. [G] IEEE Transactions on Knowledge and Data Engineering, 2005,17(11): 1557?1577.

[11] Juels A, Kaliski B. Pors: Proofs of retrievability for large files. [C]Proceedings of the 2007 ACM Conference on Computer and Communications Security. Alexandria, USA, 2007: 584?597.

[12] Ateniese G, Burns R, Curtmola R. Provable data possession at untrusted stores. [G]Proceedings of the 2007 ACM Conference on Computer and Communications Security. Alexandria, USA, 2007: 598?609.

[13] Zeng K. Publicly verifiable remote data integrity. [C]Proceedings of the International Conference on Information and Communications Security. Birmingham, England, 2008: 419?434.

[14] Yun A, Shi C, Kim Y. On protecting integrity and confidentiality of cryptographic file system for outsourced storage. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 67?76.

[15] Schwarz T, Ethan SJ, Miller L. Store, forget, and check: Using algebraic signatures to check remotely administered storage. [C]Proceedings of the 26th IEEE International Conference on Distributed Computing Systems. Lisboa, Portugal, 2006: 12?12.

[16] Wang Q, Wang C, Li J, Ren K, Lou W. Enabling public verifiability and data dynamics for storage security in cloud computing. [C]Proceedings of the 14th European Symposium on Research in Computer Security . Saint Malo, France, 2009: 355?370.

[17] Roy I, Ramadan HE, Setty STV, Kilzer A, Shmatikov V, Witchel E. Airavat: Security and privacy for MapReduce. [C]Proceedings of the 7th Usenix Symposium on Networked Systems Design and Implementation. San Jose, USA, 2010: 297?312.

[18] Bowers KD, Juels A, Oprea A. Proofs of retrievability: Theory and implementation. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 43?54.

[19] Muntés-Mulero V, Nin J. Privacy and anonymization for very large datasets. [C]Proceedings of the ACM 18th International Conference on Information and Knowledge Management. New York, USA, 2009: 2117?2118.

[20] Raykova M, Vo B, Bellovin SM, Malkin T. Secure anonymous database search. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 115?126..

A Study of Countermeasure for Cloud Security

Jiang Xue1, He XiaoXia2
( Training center, The Third Research Institute of Ministry of Public Security, Shanghai 200031, China)

Cloud security is a key issue that restricts the development of cloud computing . This paper introduced basic concepts and related work in cloud security study, as well as several classic cloud security architecture. It analyzed three types of cloud service model and verified goals of cloud security. Corresponding countermeasures were put forward, and cloud security based on trusted computing was the high spot.

Cloud Computing; Information Security; Security Architecture; Trusted Computing

TP393

A

1007-757X(2014)02-0030-05

2014.01.16)

江 雪（1983-）女，公安部第三研究所，碩士，研究實(shí)習(xí)員，研究方向：信息安全，上海，200031何曉霞（1970-）女，公安部第三研究所，碩士，副研究員，研究方向：信息安全，上海，200031