米亮亮

（北京工業(yè)大學(xué)計算機(jī)學(xué)院 北京 100124）

0 引言

在21世紀(jì)，云計算成為當(dāng)前信息技術(shù)領(lǐng)域的焦點，云計算將大量的計算資源、存儲資源與軟件結(jié)合在一起，為用戶提供便利的、經(jīng)濟(jì)的、高效的資源與應(yīng)用。據(jù)IDC咨詢公司的預(yù)測，未來IT云服務(wù)上的支出將成大規(guī)模增長。隨著云計算在學(xué)術(shù)界和工業(yè)界的興起，同時也引入了一些安全問題，并隨著云計算的發(fā)展成為其普及的瓶頸。Gartner2009 年的調(diào)查結(jié)果顯示，大多數(shù)的企業(yè)CTO認(rèn)為云環(huán)境的安全問題是其不選擇云計算平臺的原因，如數(shù)據(jù)安全性和客戶隱私的保護(hù)。同時，近期Amazon、Google等云計算發(fā)起者不斷爆出的安全事故也加劇了人們的擔(dān)憂。

目前云計算安全問題已成為越來越多的關(guān)注，各個研究機(jī)構(gòu)以及安全企業(yè)組織已將列為焦點問題。本文通過分析當(dāng)前云計算的資源共享所帶來的安全問題，通過引入可信計算技術(shù)，對共享資源的使用和訪問進(jìn)行有效的控制，以達(dá)到消除或減少云平臺中通過共享資源而形成的安全隱患。

1 云計算的定義

當(dāng)前還沒有公認(rèn)的云計算的定義，但目前的從云計算發(fā)展?fàn)顩r來說，“云計算”這一術(shù)語泛指云計算服務(wù)、支撐計算服務(wù)運營的云計算平臺和云計算相關(guān)的技術(shù)[1]。云計算服務(wù)通常分為三個層次：IaaS基礎(chǔ)設(shè)施及服務(wù)層，PaaS平臺及服務(wù)層、SaaS軟件及服務(wù)層。它們分別為用戶提供基礎(chǔ)設(shè)施部署、應(yīng)用程序部署與管理服務(wù)和基于互聯(lián)網(wǎng)的應(yīng)用程序服務(wù)[2]。云計算平臺是指支撐云計算服務(wù)的基礎(chǔ)設(shè)施，簡單的說就是將大量的軟硬件和數(shù)據(jù)集成在一起，通過虛擬技術(shù)進(jìn)行整合并且通過資源分配等技術(shù)手段為多用戶提供獨立的、可擴(kuò)展的平臺資源。云計算相關(guān)技術(shù)是指保證云計算平臺高效運行的核心技術(shù)。如虛擬化技術(shù)、海量存儲、資源管理調(diào)度、以及安全隔離技術(shù)。

2 云計算的安全問題和相關(guān)技術(shù)

2.1 云計算的安全問題

云安全問題可以說是目前安全界研究設(shè)計的焦點，對于不同的角色其闡述的方式以及側(cè)重點也不同。對于用戶來說，云安全問題是指用戶的數(shù)據(jù)安全和隱私保護(hù)；對于云平臺來說，云計算所面臨的安全問題是數(shù)據(jù)的存儲安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)的訪問的合法性、用戶的身份認(rèn)證、用戶的惡意攻擊和協(xié)同泄密等等；對于云計算下虛擬技術(shù)來講，又可分為虛擬機(jī)隔離機(jī)制破壞、虛擬化特權(quán)竊取、虛擬機(jī)鏡像組件與遷移流程的攻擊和虛擬環(huán)境信息泄露等；

云計算平臺所面臨的安全問題遠(yuǎn)遠(yuǎn)地超過了單機(jī)系統(tǒng)，從對比的角度講，這些安全問題源于云計算的核心理念“資源共享使用”。云計算技術(shù)很好的將大量的資源整合并且提供給云客戶使用，但對于資源共享所造成的安全威脅卻沒有很好的解決。

2.2 隱蔽信道的研究

在云計算興起前，隱蔽信道是指惡意進(jìn)程通過合謀操作信息系統(tǒng)共享資源而實現(xiàn)的一種信息泄露，隱蔽通道分析的對象聚焦在操作系統(tǒng)上，側(cè)重于從形式化頂層規(guī)范、描述性頂層規(guī)范、系統(tǒng)參考手冊以及系統(tǒng)源代碼角度進(jìn)行標(biāo)識等。對于已被標(biāo)識的隱通道主要采取消除法、帶寬限定和審計法[3]。

在云環(huán)境中隱蔽通道問題顯得更加嚴(yán)重，云計算平臺中存在大規(guī)模的并行操作，精確的時鐘為時間隱蔽通道提供了媒介，大規(guī)模的共享資源也成為了隱蔽通道的主要載體[4]。再次由于隱私保護(hù)和商業(yè)規(guī)則云服務(wù)商無法記錄和監(jiān)控客戶執(zhí)行的操作，導(dǎo)致信息泄露、隱蔽通道等攻擊方式難以記錄和發(fā)現(xiàn)。目前已存在隱通道解決方案中，沒有根本上解決問題的合理方案[5]。

2.3 虛擬技術(shù)

虛擬化技術(shù)，在計算機(jī)方面通常指計算機(jī)元件在虛擬的基礎(chǔ)上而不是真實的基礎(chǔ)上運行，簡單的說就是使用某些程序?qū)τ嬎銠C(jī)資源進(jìn)行邏輯表示，使之不受物理器件的影響和限制，為用戶提供便利的查看、訪問及資源服務(wù)等。虛擬化技術(shù)是云計算的關(guān)鍵技術(shù)之一，雖然虛擬化技術(shù)的實現(xiàn)方式有所不同，但本質(zhì)上本質(zhì)是由虛擬機(jī)監(jiān)控器對底層資源進(jìn)行劃分和模擬，向上表現(xiàn)出多組虛擬計算資源，支持多個虛擬計算環(huán)境。

云計算環(huán)境中，通過應(yīng)用虛擬化技術(shù)將大量整合起來的資源分配給不同的用戶使用，使用戶獨立于具體的硬件設(shè)備，方便和簡化了用戶系統(tǒng)的設(shè)置，同時云環(huán)境中的虛擬技術(shù)為用戶間提供了良好的隔離機(jī)制，用于保護(hù)獨立的虛擬系統(tǒng)的安全。如 VMware、Hyper-V、Qemu、Xen等虛擬系統(tǒng)。

2.4 可信計算

可信計算是近十年來興起的一種新型安全機(jī)制，它以受到物理保護(hù)的可信根為基礎(chǔ)，通過構(gòu)建一個從可信根出發(fā)，一級驗證一級的可信鏈條來保證系統(tǒng)中元件的安全性[6]。通過可信計算技術(shù)，可以為用戶提供可信存儲、可信度量和可信報告等多種功能，保證用戶的數(shù)據(jù)安全，為用戶提供可信任的計算環(huán)境。

研究人員為了保證在云基礎(chǔ)設(shè)施中數(shù)據(jù)和計算的完整性提出了可信云計算的概念，可信云計算從引入可信的外在協(xié)調(diào)方開始，通過協(xié)調(diào)方對云端網(wǎng)絡(luò)中的節(jié)點進(jìn)行認(rèn)證，維護(hù)可信節(jié)點，并保證客戶虛擬機(jī)僅在可信節(jié)點上運行。每個經(jīng)協(xié)調(diào)方認(rèn)證的可信節(jié)點上都安裝有可信虛擬機(jī)監(jiān)測器[7]，其通過安裝可信平臺模塊芯片并執(zhí)行一個安全啟動過程來進(jìn)行安裝，能夠防止特權(quán)用戶對客戶的虛擬機(jī)進(jìn)行監(jiān)視或修改。

3 云共享存儲資源的安全問題解決方案

本節(jié)主要闡述關(guān)于云環(huán)境下共享存儲資源的安全問題，云環(huán)境下的隔離機(jī)制能夠很好的保證不同系統(tǒng)間的權(quán)限訪問，但在對于共享存儲資源的使用時，無法很好的確定使用用戶是否惡意的竊取他人信息。前節(jié)中提到了共享存儲隱通道問題，因存在的方案中大多治標(biāo)不治本，對于不同的系統(tǒng)以及云環(huán)境的特殊狀況很難形成有效的結(jié)果。因此本文同過引入可信計算技術(shù)，來解決該問題。

3.1 基于用戶身份的資源訪問

首先，在云環(huán)境所建立可信根結(jié)點中，添加一張關(guān)于用戶身份的轉(zhuǎn)換表TrID。如表1所示，該表用于用戶使用運資源是保護(hù)其隱秘性。

表1 用戶身份轉(zhuǎn)換表TrID

表的內(nèi)容是一個二元組，用戶真實身份 CID和由可信根產(chǎn)生的隨機(jī)碼RID，在每個云平臺中都在主服務(wù)器上保存這一表單，RID是由可信根生成隨機(jī)產(chǎn)生的（可信根生成RID時要檢測該隨機(jī)串在云環(huán)境中不存在，當(dāng)用戶關(guān)機(jī)后，刪除該RID），因此當(dāng)同一系統(tǒng)在不同階段使用云環(huán)境時，其對外的RID是不同的，并且該數(shù)值難以偽造，用戶獲得不了相應(yīng)的權(quán)限，因此在一定時間能保證其唯一性和不可更改性，這樣可以在一定程度上增強(qiáng)用戶的隱蔽性，減少惡意主機(jī)的對用戶信息的累積窺測。

在資源分配的系統(tǒng)中，我們在資源空閑表中添加一項UID，及記錄前一時刻資源被使用的用戶的RID。當(dāng)資源再次被分配時，我們要先將UID的值與當(dāng)前用戶的RID進(jìn)行比較。如果相同，則表示是同一個用戶在不同時間段使用該資源，不存在信息泄露的可能，則直接分配資源。如果不同，則要將資源清空初始化，這樣就避免了信息的泄露，

3.2 基于可信級別的資源訪問

由于 3.1節(jié)中的方法雖然提高了平臺的安全性，用戶的隱私保護(hù)，但同樣云平臺的主機(jī)需要一定的時間對資源清空初始化?？紤]到絕大多數(shù)的用戶是安全的，因此絕對隔離適合安全保密需求很高的用戶或者是企業(yè)。對于更多的大眾用戶，我們采用了基于可信級別的隔離保護(hù)。及在原有的資源分配表中添加可信等級項CL（Confidence level）。

可信等級CL由可信根確定，其產(chǎn)生于對用戶系統(tǒng)的可信度量值的劃分，大致可分為：不可信、臨界可信、可信等層次。目前的可信度量分為靜態(tài)度量與動態(tài)度量等，主要的是基于系統(tǒng)行為和狀態(tài)的度量。

系統(tǒng)將可信根對用戶系統(tǒng)行為度量值劃分為幾個不同的等級后。CL表示用戶可信值所處于的可信域，被保存在轉(zhuǎn)換表中，及將原有的二元組變成三元組（UID，CL，RID）如表2所示。

表2 轉(zhuǎn)換表TrID

資源空閑狀態(tài)CLed UID

圖1 資源分配示意圖

與3.1中不同的是，我們先比較CL與CLed的值，如圖1所示，當(dāng)前使用者的CL大于前一時刻使用者的CLed時，無需再比較直接分配資源；如果CL等于CLed的值，則將當(dāng)前用戶的RID與UID比較是否相同，相同則分配資源，如果不同，則初始化資源，在進(jìn)行分配；如果當(dāng)前用戶CL的值較小時，則直接重置資源。該方法檢少了對共享存儲資源的清空和初始化，并且通過云環(huán)境的可信根對用戶系統(tǒng)行為的度量值一項在一定程度上保護(hù)了用戶的隱私，及共享存儲資源的使用。

4 總結(jié)

云計算經(jīng)歷了十幾年的發(fā)展正在逐漸地走向成熟，并且未來社會對云計算的需求將會向如今社會對計算機(jī)的需求等同，對于云計算環(huán)境來說，用戶的數(shù)據(jù)安全和信息隱私是影響著云平臺是否可持續(xù)發(fā)展的重要因素。

本節(jié)從共享存儲資源的使用的控制策略出發(fā)，對共享存儲資源的使用進(jìn)行限制，從而解決關(guān)于共享存儲的隱通道攻擊。以往的解決方案都是通過監(jiān)控機(jī)制通過不同方式，對使用共享存儲資源者或者行為進(jìn)行分析，增大了原有問題的難度。雖然本文的方法可能會影響共享存儲資源的使用效率，但就像操作系統(tǒng)中對共享存儲資源建立的鎖機(jī)制一樣。如何能更好的擦除或者改變共享存儲資源中殘留的數(shù)據(jù)將會成為作者接下來研究的方向。

[1]劉瑋，王麗宏.云計算應(yīng)用及其安全問題研究[J].計算機(jī)研究與發(fā)展，2012，S2：186-191.

[2]羅軍舟，金嘉暉，宋愛波等.云計算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報，2011，32（7）.

[3]卿斯?jié)h.高安全等級安全操作系統(tǒng)的隱蔽通道分析[J].軟件學(xué)報，2004，15（12）.

[4]AVIRAMA，HUS，F(xiàn)ORDB，etal.Determ inating timing channels in compute clouds[A].Proceedings of the 2010 ACM Workshop on Cloud Computing Security Workshop[C].Chicago，Illinois，USA，2010.103-108.

[5]吳敬征，丁麗萍，王永吉.云計算環(huán)境下隱蔽信道關(guān)鍵問題研究[J].通信學(xué)報，2011，（9A）：184～203.

[6]沈昌祥，張煥國，王懷民等.可信計算的研究與發(fā)展[J].中國科學(xué)：信息科學(xué)，2010，02：139-166.

[7]Murray D G，M ilo s G，et al.Improving Xen security through disaggregation[A].VEE.08 Proceedings of the fourth ACM SIGPLAN/ SIGOPS international conference on Virtual execution environments[C].New York：ACM Press，2008.151- 160.