周振吉 吳禮發(fā) 洪 征 李丙戌 鄭成輝

(解放軍理工大學(xué)指揮信息系統(tǒng)學(xué)院, 南京 210007)

云計算環(huán)境下基于信任的虛擬機(jī)可信證明模型

周振吉 吳禮發(fā) 洪 征 李丙戌 鄭成輝

(解放軍理工大學(xué)指揮信息系統(tǒng)學(xué)院, 南京 210007)

為了解決云計算環(huán)境下虛擬機(jī)可信證明存在可信證據(jù)來源不足和證明過程容易暴露節(jié)點隱私信息的缺陷,將信任管理與群簽名機(jī)制相結(jié)合,提出了一種基于信任的虛擬機(jī)可信證明模型,并給出了模型的結(jié)構(gòu)和虛擬機(jī)節(jié)點總體信任度的計算方法．首先,通過綜合直接信任度和反饋信任度,得到虛擬機(jī)節(jié)點的整體可信度,并據(jù)此識別出惡意的虛擬機(jī)節(jié)點;然后,采用基于群簽名的證據(jù)保護(hù)方法,通過檢驗虛擬機(jī)節(jié)點的簽名來考察其可信性,以保護(hù)節(jié)點隱私的同時降低節(jié)點遭受攻擊的可能性．實驗結(jié)果表明,該模型在虛擬機(jī)運(yùn)行過程中可以有效識別出惡意節(jié)點并保護(hù)節(jié)點的隱私信息．

云計算;信任管理;虛擬機(jī);群簽名

云計算在提供方便、易用和廉價IT服務(wù)的同時,也帶來了新的安全挑戰(zhàn)[1]．用戶在接受云服務(wù)提供商的一系列云基礎(chǔ)設(shè)施服務(wù)之前,不僅要關(guān)心如何降低數(shù)據(jù)存儲和處理的成本,還要綜合考慮托管數(shù)據(jù)的安全與隱私保護(hù)．

云基礎(chǔ)設(shè)施中,虛擬機(jī)被廣泛用作用戶資源和數(shù)據(jù)的載體,如何保證虛擬機(jī)的可信性成為實現(xiàn)云計算安全的關(guān)鍵．將可信計算與云基礎(chǔ)設(shè)施相融合,以可驗證的方式向用戶提供可信的虛擬機(jī)是一個可行的解決方案[2]．

可信證明是可信計算的核心機(jī)制之一[3],利用可信證明能夠驗證虛擬機(jī)是否可信,從而為云基礎(chǔ)設(shè)施環(huán)境中建立信任關(guān)系提供依據(jù)．研究者們根據(jù)可信計算組 (TCG) 遠(yuǎn)程證明框架[3]提出了多種虛擬機(jī)可信證明方案[4-9]．證明者向質(zhì)詢者匯報虛擬機(jī)平臺的身份和配置信息,質(zhì)詢者通過這些信息來驗證虛擬機(jī)節(jié)點的可信性．然而,這些證明方案并不適用于云計算環(huán)境,實施過程中存在證據(jù)信息不全和節(jié)點匿名性差等問題．云計算是一種多租戶的服務(wù)模式,單個用戶獲取的證明信息不足以反映整個虛擬機(jī)節(jié)點的可信性．因此,需要一種綜合其他用戶證據(jù)來驗證虛擬機(jī)節(jié)點可信性的方法．在現(xiàn)有云計算環(huán)境下的虛擬機(jī)可信證明模型中[4],用戶可以直接獲取虛擬機(jī)主機(jī)的完整性和配置信息,以證明虛擬機(jī)節(jié)點的可信性,但這種方式暴露了節(jié)點的特征信息,惡意用戶可以通過這些信息來實施有針對性的攻擊．因此,在證明過程中,需要一種保持節(jié)點匿名性的機(jī)制．

針對上述問題,本文提出了一種云計算環(huán)境下基于信任的虛擬機(jī)可信證明模型TBTAM．首先,借鑒信任管理的思想,提出了虛擬機(jī)節(jié)點直接信任度和反饋信任度的概念,用戶通過綜合直接信任度和反饋信任度來全面驗證虛擬機(jī)節(jié)點的可信性,有效識別出惡意的虛擬機(jī)節(jié)點．其次,提出了基于群簽名的證據(jù)保護(hù)方法,用戶通過檢驗虛擬機(jī)節(jié)點的簽名來驗證其可信性．該方法可以最大限度地保護(hù)節(jié)點的隱私,降低節(jié)點遭受攻擊的可能性．

1 基于信任的虛擬機(jī)可信證明模型

1.1 模型結(jié)構(gòu)

基于信任的虛擬機(jī)可信證明模型TBTAM如圖1所示．該模型中引入了一個可信證明代理,以收集虛擬機(jī)節(jié)點控制器 (NC) 的直接信任度和反饋信任度;綜合計算出節(jié)點的全局信任度,并據(jù)此對虛擬機(jī)節(jié)點進(jìn)行分組,從而隱藏了NC的敏感信息．

圖1 TBTAM模型的結(jié)構(gòu)

TBTAM模型包含3個參與交互的實體:可信證明代理、用戶和云服務(wù)提供商．主要功能組件包括可信證明代理中的節(jié)點監(jiān)控模塊、節(jié)點注冊模塊、信任度計算模塊、用戶反饋模塊、分組管理模塊以及云服務(wù)提供商中的虛擬機(jī)主機(jī)和可信度量模塊．當(dāng)一個虛擬機(jī)節(jié)點運(yùn)行后,虛擬機(jī)主機(jī)向可信證明代理發(fā)送注冊請求,以驗證虛擬機(jī)節(jié)點身份的可信度．如果虛擬機(jī)運(yùn)行過程中節(jié)點的可信狀態(tài)發(fā)生變化,則云服務(wù)提供商內(nèi)部的可信度量模塊向可信證明代理發(fā)送虛擬機(jī)狀態(tài)的可信度,這2個信任度構(gòu)成了節(jié)點的直接信任度．用戶在使用完虛擬機(jī)節(jié)點后向可信證明代理發(fā)送節(jié)點的反饋信任度．可信證明代理綜合這2個可信度得到總體信任度,并以此作為群簽名中對節(jié)點分組的依據(jù)．當(dāng)用戶需要使用一個虛擬機(jī)節(jié)點時,可信證明代理根據(jù)用戶需求返回節(jié)點的信任度簽名;用戶則可以使用對應(yīng)的群公鑰判斷節(jié)點所處的信任分組,從而保證節(jié)點信息的匿名性．

可信證明代理是TBTAM模型的主要部件,負(fù)責(zé)對提供云服務(wù)的虛擬機(jī)節(jié)點實施集中式可信證明．可信證明代理啟動后,分組管理模塊按照高、中、低3個信任等級分別生成3組群密鑰．其中,公鑰向用戶公開,用于群簽名認(rèn)證;私鑰由管理員保管,用于簽名打開．群組創(chuàng)建好后,可信代理便可實施虛擬機(jī)可信證明．當(dāng)節(jié)點關(guān)閉時,由分組管理模塊對相應(yīng)的節(jié)點密鑰進(jìn)行回收銷毀即可．可信證明代理主要包含以下5個子模塊:

1) 節(jié)點注冊模塊,即驗證虛擬機(jī)啟動過程中平臺的身份證書,以考察平臺身份的可信性．

2) 節(jié)點監(jiān)控模塊,即驗證虛擬機(jī)節(jié)點的完整性和運(yùn)行過程中平臺狀態(tài)的可信性．節(jié)點監(jiān)控模塊通常與云服務(wù)提供商內(nèi)部的可信度量模塊協(xié)同工作．

3) 用戶反饋模塊,即收集用戶對虛擬機(jī)節(jié)點的反饋信任度．云計算是一種多租戶的服務(wù)模式,同一虛擬機(jī)主機(jī)在運(yùn)行過程中可能會服務(wù)于多個用戶,不同用戶之間互相影響;用戶可以通過用戶反饋模塊收集其他用戶的反饋信息．

4) 信任度計算模塊,即綜合計算出節(jié)點的總體信任度．信任度計算模塊根據(jù)節(jié)點的直接信任度和反饋信任度,計算出虛擬機(jī)節(jié)點的總體信任度,作為虛擬機(jī)節(jié)點分組的依據(jù)．

5) 分組管理模塊,即負(fù)責(zé)管理虛擬機(jī)節(jié)點的信任度并對其進(jìn)行分組．分組管理模塊根據(jù)信任度計算模塊給出的信任度對節(jié)點進(jìn)行分組,從而提供給節(jié)點不同可信等級的服務(wù)．用戶可以根據(jù)自己的應(yīng)用需求,選擇具有不同可信度的虛擬機(jī)節(jié)點．

虛擬機(jī)節(jié)點加入云服務(wù)時,首先需要向可信證明代理發(fā)送注冊請求,更新節(jié)點的信任度,以獲得合法的身份及訪問密鑰．虛擬機(jī)節(jié)點運(yùn)行過程中,可信度量模塊可以檢測到虛擬機(jī)狀態(tài)變化,以驗證虛擬機(jī)狀態(tài)是否可信．虛擬機(jī)節(jié)點注冊成功后便可向用戶提供云服務(wù)．如果虛擬機(jī)的可信狀態(tài)發(fā)生了變化,那么訪問密鑰也必須更新．

1.2 信任度計算

云計算中虛擬機(jī)節(jié)點的總體信任度由虛擬機(jī)節(jié)點的直接信任度U、運(yùn)行完成后該用戶反饋的信任度C和其他用戶對該虛擬機(jī)節(jié)點的歷史反饋信任度H三個因素決定．令虛擬機(jī)節(jié)點直接信任度權(quán)重、用戶反饋信任度權(quán)重和其他用戶歷史反饋信任度權(quán)重分別為Wu,Wc,Wh,則虛擬機(jī)節(jié)點的總體信任度T1可表示為

T1=WuU+WcC+WhH

(1)

式中,U,C,H,Wu,Wc,Wh的取值范圍均為[0,1],且Wu+Wc+Wh=1．

虛擬機(jī)節(jié)點的歷史反饋信任度H是根據(jù)先前的歷史反饋計算得到的,距離現(xiàn)在越遠(yuǎn)的反饋對歷史反饋信任度的影響越?。僭O(shè)ωi(i=1,2,…,n) 為第i個歷史反饋信任度的權(quán)重,它是一個隨時間而變化的衰減函數(shù)．若Hi(i=1,2,…,n) 表示為第i個歷史反饋,則最終的虛擬機(jī)節(jié)點總體信任度可以表示為

T2=WuU+WcC+Wh∑Hiωi

(2)

2 實驗與分析

在TBTAM模型中,節(jié)點隱私信息的匿名性由群簽名保證[10-11]．下面對本文提出的TBTAM模型進(jìn)行仿真實驗,以驗證模型的有效性．

2.1 仿真環(huán)境

采用澳大利亞墨爾本大學(xué)開發(fā)的云計算仿真平臺CloudSim[12]開展仿真實驗,模擬實現(xiàn)了可信證明代理、可信度量模塊和證明算法庫,運(yùn)用BRITE軟件[13]模擬了服務(wù)拓?fù)浣Y(jié)構(gòu)．本文實驗中設(shè)置了2種虛擬機(jī)節(jié)點和3種用戶．

虛擬機(jī)節(jié)點包含以下2種類型:

1) 誠實的虛擬機(jī)節(jié)點N1．該節(jié)點遵守所宣稱的可信等級,誠實地向可信證明代理提供自己的直接可信度．

2) 惡意的虛擬機(jī)節(jié)點N2．該節(jié)點不遵守所宣稱的可信等級,虛假地向可信證明代理提供自己的直接可信度．

這2種類型的虛擬機(jī)節(jié)點開始信任度都設(shè)置為0.5．

用戶包含以下3種類型:

1) 誠實的用戶U1,主要用于給出虛擬機(jī)節(jié)點真實的可信度評價．

2) 惡意的用戶U2,主要用于給出虛擬機(jī)節(jié)點虛假的可信度評價．

3) 隨機(jī)的用戶U3,其對節(jié)點的評價存在不確定性,有時能給出客觀評價,有時則給出隨機(jī)評價．

當(dāng)一個虛擬機(jī)節(jié)點運(yùn)行結(jié)束后,用戶對其進(jìn)行評價,這個過程被稱為一次交互．實驗中虛擬機(jī)節(jié)點和用戶之間的交互情況設(shè)置如下:

1) 實驗的交互過程以輪為單位．一輪中每個用戶需與固定數(shù)目的虛擬機(jī)節(jié)點進(jìn)行交互;當(dāng)所有用戶都交互完畢時,一輪實驗結(jié)束,統(tǒng)計此輪中的交互情況,再進(jìn)行下一輪交互．

2)U1類用戶直接與高可信度節(jié)點進(jìn)行交互,對可信度為中的節(jié)點以一定的概率進(jìn)行交互,不與可信度為差的節(jié)點交互．

3)U2,U3類用戶以一定的概率與網(wǎng)絡(luò)中的各種虛擬機(jī)節(jié)點隨機(jī)交互,然后根據(jù)自己的類型給出相應(yīng)的評價．

2.2 結(jié)果分析

實驗中設(shè)置的虛擬機(jī)節(jié)點總數(shù)為5 000,用戶總數(shù)為3 000．虛擬機(jī)節(jié)點和用戶中各種類型所占比例如表1所示．

表1 虛擬機(jī)節(jié)點和用戶各種類型所占比例 %

實際網(wǎng)絡(luò)中,真實實體的比例大于惡意實體,因此表1中的設(shè)置是合理的．實驗共進(jìn)行了60輪,每輪中用戶與10個虛擬機(jī)節(jié)點進(jìn)行交互,每5輪結(jié)束后統(tǒng)計交互情況．

由圖2可知,隨著交互輪次的增加,參與交互的虛擬機(jī)節(jié)點數(shù)量也快速增大．因此,增加交互輪次可以提高識別惡意虛擬機(jī)節(jié)點的準(zhǔn)確性．

圖2 交互輪次隨參與交互虛擬機(jī)節(jié)點數(shù)的變化情況

為了體現(xiàn)TBTAM模型在識別惡意節(jié)點上的優(yōu)勢,本文將其與TCCP模型進(jìn)行比較．

由圖3可以看出,隨著交互輪次的增加,采用了信任反饋和獎懲機(jī)制的TBTAM模型中U1與惡意實體交互的次數(shù)不斷減少;而對于TCCP模型,由于沒有采取任何機(jī)制進(jìn)行識別和訪問控制,故U1訪問到惡意虛擬機(jī)節(jié)點的概率與惡意虛擬機(jī)在網(wǎng)絡(luò)中的分布情況類似．

圖3 交互輪次隨惡意虛擬機(jī)節(jié)點數(shù)的變化情況

由圖4可知,當(dāng)交互輪次較少時,虛擬機(jī)節(jié)點的可信度不高,接近于50%．隨著交互輪次的增加,誠實的虛擬機(jī)節(jié)點N1的平均可信度明顯增加,而惡意虛擬機(jī)節(jié)點N2的平均可信度則快速下降．這說明TBTAM模型能有效甄別惡意虛擬機(jī)節(jié)點和誠實虛擬機(jī)節(jié)點．

圖4 交互輪次隨虛擬機(jī)節(jié)點信任度的變化情況

綜上可知,TCCP模型只在系統(tǒng)啟動過程中驗證了虛擬機(jī)節(jié)點的可信性,無法檢測出運(yùn)行過程中惡意的節(jié)點;而TBTAM模型在交互過程中綜合了虛擬機(jī)的直接信任度和反饋信任度,采用信任反饋和獎懲機(jī)制,有效識別出惡意虛擬機(jī)節(jié)點,反映了節(jié)點的真實信任度．

3 結(jié)語

針對云計算虛擬機(jī)在可信證明方面的特點和需求,本文提出了一種基于信任的虛擬機(jī)可信證明模型TBTAM．用戶可以利用計算虛擬機(jī)的總體信任度來驗證虛擬機(jī)節(jié)點的可信性,有效識別出惡意虛擬機(jī)節(jié)點．模型使用群簽名對證據(jù)進(jìn)行保護(hù),以最大限度地保護(hù)節(jié)點的隱私,降低了節(jié)點遭受攻擊的可能性．仿真實驗結(jié)果證實了該模型的有效性．

References)

[1]馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學(xué)報, 2011, 22(1):71-83. Feng Dengguo, Zhang Min, Zhang Yan, et al. Study on cloud computing security[J].JournalofSoftware, 2011, 22(1):71-83. (in Chinese)

[2]黃瑛, 石文昌. 云基礎(chǔ)設(shè)施安全性研究綜述[J]. 計算機(jī)科學(xué), 2011, 38(7): 24-30,69. Huang Ying, Shi Wenchang. Survey of research on cloud infrastructure[J].ComputerScience, 2011, 38(7): 24-30,69. (in Chinese)

[3]Trusted Computing Group. TCG specification architecture overview, version 1.4 [EB/OL]. (2007-08)[2014-06-25]. http://www.trustedcomputinggroup.org/resources/tcg-architecture-overview-version-14/.

[4]Santos N, Gummadi K P, Rodrigues R. Towards trusted cloud computing[C]//Proceedingsof2009ConferenceonHotTopicsinCloudComputing. San Diego, CA, USA, 2009: 14-19.

[5]Krautheim F J. Private virtual infrastructure for cloud computing[C]//Proceedingsof2009WorkshoponHotTopicsinCloudComputing. San Diego, CA, USA, 2009: 1-5.

[6]Krautheim F J, Phatak D S, Sherman A T. Introducing the trusted virtual environment module: a new mechanism for rooting trust in cloud computing[C]//2010TrustandTrustworthyComputing. Berlin, Germany, 2010: 211-227.

[7]Schiffman J, Moyer T, Vijayakumar H, et al. Seeding clouds with trust anchors[C]//Proceedingsof2010ACMWorkshoponCloudComputingSecurityWorkshop. New York, USA, 2010: 43-46.

[8]Neisse R, Holling D, Pretschner A. Implementing trust in cloud infrastructures[C]//Proceedingsof2011IEEE/ACMInternationalSymposiumonCluster,CloudandGridComputing. Newport Beach, CA, USA, 2011: 524-533.

[9]Zhao Y, Cong P Y. On remote attestation based on trusted cloud computing[J].JournalofAppliedSciences, 2013, 13(22): 5092-5098.

[10]Ateniese G, Camenisch J, Joye M, et al. A practical and provably secure coalition-resistant group signature scheme[C]//The20thAnnualInternationalCryptologyConference. Santa Barbara, CA, USA, 2000: 255-270.

[11]陳澤文, 王繼林, 黃繼武, 等. ACJT群簽名方案中成員撤銷的高效實現(xiàn)[J]. 軟件學(xué)報, 2005, 16(1): 151-157. Chen Zewen, Wang Jilin, Huang Jiwu, et al. An efficient revocation algorithm in ACJT group signature[J].JournalofSoftware, 2005, 16(1): 151-157. (in Chinese)

[12]Calheiros R N, Ranjan R, Beloglazov A, et al. CloudSim: a toolkit for modeling and simulation of cloud computing environments and evaluation of resource provisioning algorithms[J].Software:PracticeandExperience, 2011, 41(1): 23-50.

[13]Medina A, Matta I, Byers J. BRITE: Boston University representative internet topology generator [EB/OL]. (2001-03)[2014-06-25]. http://www.cs.bu.edu/fac/matta/Research/BRITE/.

Trust based trustworthiness attestation model of virtual machines for cloud computing

Zhou Zhenji Wu Lifa Hong Zheng Li Bingxu Zheng Chenghui

(Institute of Command Information System, PLA University of Science and Technology, Nanjing 210007, China)

The trust evidence sources of cloud computing nodes are usually insufficient, and during the attestation process sensitive information of the involved nodes is easily exposed. To solve these problems, a trust-based trustworthiness attestation model (TBTAM) for virtual machine is presented by combining trust management and group signature scheme. The TBTAM architecture and the calculation method of the trustworthiness of virtual machine nodes are put forward. First, considering both direct trustworthiness and feedback trustworthiness, the trustworthiness of virtual machine nodes is comprehensively evaluated, and malicious nodes are identified. Then, by the group-signature-based method for proof protection, the trustworthiness of tenants is verified by validating the signatures of nodes, which protects the privacy of nodes and reduces the attack possibilities. The experimental results show that the model can effectively identify malicious nodes and protect privacy of virtual machine nodes during the running process.

cloud computing; trust management; virtual machine; group signature

2014-07-26. 作者簡介: 周振吉(1985—),男,博士生;吳禮發(fā) (聯(lián)系人),男,博士,教授,博士生導(dǎo)師,wulifa@vip.163.com.

江蘇省自然科學(xué)基金資助項目(BK2011115, BK20131069).

周振吉,吳禮發(fā),洪征,等.云計算環(huán)境下基于信任的虛擬機(jī)可信證明模型[J].東南大學(xué)學(xué)報:自然科學(xué)版,2015,45(1):31-35.

10.3969/j.issn.1001-0505.2015.01.006

TP393

A

1001-0505(2015)01-0031-05