摘 要： 目前各國對于云環(huán)境中存在的安全隱患缺乏一個統(tǒng)一標準的解決方案與防控措施，在研究已有云安全隱患評估方法及模型的基礎(chǔ)上，提出了一個全生命周期云安全隱患分析模型——LCSAM，詳細分析了云計算潛在的安全隱患，構(gòu)建PaaS層安全策略模型，在已有研究基礎(chǔ)上提出了基于Kerberos的信任即服務(wù)框架，綜合利用云計算關(guān)鍵技術(shù)，組合多種開源軟件搭建了一套對于特定的環(huán)境進行快速、經(jīng)濟的分析并可用于云攻、云防、云測的云計算平臺系統(tǒng)，為LCSAM的驗證提供了實驗環(huán)境。最后，在此平臺上部署一些典型的應(yīng)用并針對此環(huán)境進行云安全隱患模擬仿真，實現(xiàn)了LCSAM模型的驗證。

關(guān)鍵詞： 云計算； 云安全； 隱患分析； 信任即服務(wù)； LCSAM

中圖分類號： TN911?34； TM417 文獻標識碼： A 文章編號： 1004?373X（2016）11?0042?04

Abstract： The various countries lack the solution and control measures with unified standard to overcome the security hidden danger existing in cloud environment. On the basis of the research of the available evaluation method and model for the cloud security hidden danger， a whole lifecycle cloud security?risk analysis model （LCSAM） is proposed. The potential security hidden danger of cloud computing is analyzed in detail. The security strategy model of PaaS layer was constructed. The framework of service as trust based on Kerberos is put forward based on the existing research. A set cloud computing platform system was established by comprehensively utilizing the key technologies of cloud computing and combining the various open source softwares， which can rapidly and economically analyze the specific environment， and apply to the cloud attack， cloud protection and cloud detection. This system provides an experimental environment to verify the LCSAM. Some typical applications are deployed on the platform to simulate the cloud security hidden danger. The LCSAM was verified.

Keywords： cloud computing； cloud security； hidden danger analysis； service as trust； LCSAM

0 引 言

如今云計算方興未艾，但真正部署一個云計算環(huán)境應(yīng)用于生產(chǎn)實踐費時費力，投入比較大，并且云計算環(huán)境存在諸多安全隱患和漏洞，極容易受到威脅和攻擊[1?2]。現(xiàn)在大多數(shù)的開源云計算平臺都只是針對其中一個層次上的開發(fā)應(yīng)用，那么將各個不同體系的開源云計算平臺進行整合，構(gòu)建具備完整三層體系的云平臺是很重要的[3]。

此外，利用此類構(gòu)建的云計算平臺可快速、經(jīng)濟的進行一些安全的模擬仿真，如傳統(tǒng)的攻防及安全測評等，所以說，整合篩選多種開源軟件構(gòu)建一個異構(gòu)的云計算平臺具有非常大的創(chuàng)新性和研究利用價值[4]。

1 云安全隱患分析模型

1.1 全生命周期云安全隱患分析模型的構(gòu)建

在云計算中，有效的安全管理和企業(yè)風(fēng)險控制是從良好開發(fā)的信息安全管理過程中得到的。良好的開發(fā)信息安全管理過程會使信息安全管理程序一直可依據(jù)業(yè)務(wù)伸縮、在組織內(nèi)可重復(fù)、可測量、可持續(xù)、可防御、可持續(xù)改進且具有成本效益。在參考分析了美國國家標準研究院發(fā)布的風(fēng)險管理框架及ENISA的云計算風(fēng)險評估方法的基礎(chǔ)上，結(jié)合已有的信息安全管理方法，提出了一種基于全生命周期的云安全隱患分析模型——LCSAM模型[5]，模型包括五個主要過程，如圖1所示。

LCSAM模型主要包括選型風(fēng)險評估、實驗室預(yù)評估、現(xiàn)場評估、運營過程評估、報廢評估五個關(guān)鍵過程。相對于其他云安全隱患分析評估模型來說，LCSAM模型更符合國內(nèi)的操作習(xí)慣，具有較好的實踐性[6]。

鑒于該模型的具體應(yīng)用情況，主要針對實驗室預(yù)評估過程進行相關(guān)驗證。驗證方案的主要思路如下：在實驗室預(yù)評估階段，綜合篩選多種開源軟件，組合搭建一套特有的云計算平臺，對各應(yīng)用層次平臺的軟件產(chǎn)品進行模擬評估和檢驗。那么，搭建一套對于特定的環(huán)境進行快速、經(jīng)濟的分析驗證的云計算平臺系統(tǒng)是驗證方案的關(guān)鍵所在。在部署構(gòu)建完成該系統(tǒng)后，即可對前面所述的LCSAM模型加以驗證，并在此平臺上部署一些典型的應(yīng)用并針對此環(huán)境進行云安全隱患的分析研究。具體驗證方案如圖2所示。

在圖2所述模型驗證方案中，對云計算平臺各層次相應(yīng)的產(chǎn)品需要進行對比選取，其考慮因素包括產(chǎn)品的開源性、性能穩(wěn)定性、安全性、兼容性等相關(guān)需要關(guān)注的影響因子。然后，構(gòu)建特定的云計算平臺，對每個層次上的應(yīng)用模擬現(xiàn)實產(chǎn)品的真實應(yīng)用場景，并對各層上需要關(guān)注的性能因子進行影響評估，驗證確定是否符合評估和檢驗標準。

1.2 PaaS層安全策略模型的構(gòu)建

云技術(shù)主要來自于一個隱藏內(nèi)部細節(jié)和實現(xiàn)的抽象層。抽象層主要采用的是虛擬化技術(shù)，能夠很好的使數(shù)據(jù)快速的遷移，同時平臺也具有很高的獨立性。目前許多云解決方案的研究者提供了一套具有一定安全級別服務(wù)的全局云環(huán)境，云計算中的虛擬化技術(shù)將允許用戶以一種完全透明的方式從一個平臺遷移到另一個平臺。實際上云平臺直接看起來是沒有交互操作的。如果存在兼容性問題，它一般僅限于數(shù)據(jù)互操作性和訪問層次。從一個平臺遷移到另一個平臺一般需要一次新的認證過程，其中涉及一個新的定義或安全概念定義的范式轉(zhuǎn)變、成本和技術(shù)支持相關(guān)的平臺。這其中的諸多限制因素限制了云技術(shù)的使用并且降低了原本應(yīng)有的高效性。為了構(gòu)建一個更加靈活富有彈性的云環(huán)境，一個更高的抽象層次是云安全服務(wù)所必需的。

在任何云環(huán)境需要交換彼此的平臺服務(wù)時，要確保云層之間取得QoS安全機制。已研究的云信任框架主要涉及云服務(wù)提供層，信任管理服務(wù)層，云服務(wù)消費層三個層次。

構(gòu)建基于Kerberos的云服務(wù)提供層、信任管理服務(wù)層及云服務(wù)消費層三層的信任即服務(wù)框架。

（1） 云服務(wù)消費層Client將獲得的TGT和請求的服務(wù)信息發(fā)送至KDC，此時KDC中的TGT（TicketGrantingService）將為Client和云服務(wù)提供層Service之間生成一個SessionKey用作Service對Client的身份鑒定。

（2） KDC將剛才的Ticket轉(zhuǎn)發(fā)給Client。因為這個Ticket是要給Service的，不能讓Client看到詳細信息，所以KDC用協(xié)議開始前KDC與Service之間的密鑰將Ticket加密后再發(fā)送給Client。

（3） 為了完成Ticket的傳遞，云服務(wù)消費層Client把之前得到的Ticket轉(zhuǎn)發(fā)到云服務(wù)提供層Service。由于前面的Client不知道KDC與Service之間的密鑰，所以它無法篡改Ticket中的信息。

（4） 此時，Service在收到Ticket后利用它和KDC之間的密鑰將Ticket中的信息解密出來，從而獲得SessionKey和服務(wù)名，用戶地址（IP），用戶名，有效期。

（5） 如果云服務(wù)提供層Service有返回結(jié)果，將其返回給云服務(wù)消費層Client。

2 平臺的構(gòu)建

2.1 關(guān)鍵技術(shù)分析

基于云計算模型以及模型驗證方案，本研究課題中模擬云計算平臺環(huán)境主要包括IaaS平臺、PaaS平臺、SaaS平臺的設(shè)計構(gòu)建，各層次平臺主要遴選目前較為流行的開源軟件進行部署搭建。

有的開源IaaS云平臺在分層上做得都比較好；從SOA/組件化/解耦這點上來看，OpenStack和Eucalyptus有優(yōu)勢；在框架和插件設(shè)計上，除Eucalyptus較差外，其他平臺均有很好的設(shè)計，OpenStack的開發(fā)平臺做得最好，CloudStack次之。綜合來看，目前OpenStack的設(shè)計是最好的，Eucalyptus和CloudStack次之。綜上所述，對于IaaS平臺搭建選擇OpenStack是比較好的。

在搭建的云計算平臺中對hadoop分布式計算平臺的測試，只需簡單地將待分析內(nèi)容提供給分布式計算系統(tǒng)作為輸入，就可以得到分布式計算后的結(jié)果。而對于應(yīng)用程序服務(wù)平臺CloudFoundry，主要部署發(fā)布已有的應(yīng)用程序，測試其運行效率和使用情況[7]。

依據(jù)云計算平臺的通用層次結(jié)構(gòu)劃分，建立一個多層次的云計算平臺系統(tǒng)。平臺依次由物理資源層、虛擬資源層、IaaS層、PaaS層、SaaS層和云安全攻擊與防護組成[8]。

2.2 平臺構(gòu)建過程

（1） 硬件設(shè)備搭建

系統(tǒng)共使用4臺戴爾R710服務(wù)器，每臺服務(wù)器共配備8核CPU，24 GB內(nèi)存，4 TB硬盤容量，配備一臺PC機，另外，環(huán)境中配有一臺交換機。

（2） 網(wǎng)絡(luò)環(huán)境

整個云環(huán)境部署在一個局域網(wǎng)絡(luò)內(nèi)，服務(wù)器網(wǎng)絡(luò)配置如下所示：

服務(wù)器一：控制節(jié)點，主機名iaas001，IP地址：192.168.0.50。

服務(wù)器二：計算節(jié)點，主機名iaas002，IP地址：192.168.0.100。

服務(wù)器三：計算節(jié)點，主機名iaas003，IP地址：192.168.0.150。

服務(wù)器四：物理資源虛擬化設(shè)備，安裝VMwareESXI，IP地址：192.168.0.200。

（3） 系統(tǒng)部署結(jié)構(gòu)

PC機客戶端的主要作用是對網(wǎng)內(nèi)服務(wù)器進行控制操作，如分布式密碼破解客戶端操作、DDoS客戶端操作等。物理資源虛擬化服務(wù)器主要安裝ESXI，并直接安裝Windows XP及Server 2003等系統(tǒng)虛擬機。在各虛擬機上部署應(yīng)用，如分布式密碼破解、虛擬交換機，虛擬IDS。計算節(jié)點和控制節(jié)點主要安裝OpenStack，并在OpensStack管理環(huán)境下啟動相應(yīng)鏡像實例，在啟動實例上進行hadoop分布式部署，在此平臺上，在各個啟動實例上部署傳統(tǒng)的應(yīng)用，如DDoS攻擊等。

（4） 系統(tǒng)物理結(jié)構(gòu)

該系統(tǒng)在XX中心真實的部署試運行，從圖3中可以看到4臺服務(wù)器整個的運行情況，顯示器中顯示的是IaaS層的OpenStack的管理界面。

（5） OpenStack的安裝配置

整個安裝過程采用離線源碼的方式安裝OpenStack的各部分組件。因涉及的操作安裝過程步驟較多，較為復(fù)雜，不在此贅述。

（6） hadoop的安裝配置

在系統(tǒng)環(huán)境中，采用5臺虛擬機實例部署hadoop的分布式環(huán)境，其實例啟動情況如圖3所示。關(guān)鍵安裝配置操作如下。

然后，需要為實例配置Java環(huán)境，將事先下載的JDK傳入實例，進行安裝配置即可。

下一步即進行hadoop的安裝，hadoop安裝包在相應(yīng)實例中進行解壓即可完成安裝，接下來對hadoop/conf文件夾下的各個配置文件進行相應(yīng)配置，主要配置文件包括masters，slaves，core?site.xml，hdfs?site.xml，mapred?site.xml。最后，配置完成后，確保各個節(jié)點之間的配置相同，即可進入hadoop/bin目錄，輸入hadoopnamenode?format命令格式化hadoop云計算系統(tǒng)，正常執(zhí)行后，輸入start?all.sh命令即可啟動hadoop服務(wù)。

（7） Nutch的安裝配置

首先，需要將下載好的安裝包解壓到node1節(jié)點實例中即可完成安裝，接下來只需對其相應(yīng)的文件進行配置即可正常使用nutch服務(wù)，在此環(huán)境中主要采用nutch的分布式抓取功能，在rutime/deply/bin/nutch下執(zhí)行分布式抓取命令，執(zhí)行chmod+xbin/nutch命令賦予執(zhí)行權(quán)限。

3 模型的驗證

利用已構(gòu)建完成的云計算平臺，進行安全隱患的模擬仿真，并依次對平臺各層次進行應(yīng)用的評估測試，以此實現(xiàn)LCSAM模型的驗證。根據(jù)云平臺搭建方案，選取開源軟件OpenStack作為平臺的IaaS層，那么在該層應(yīng)用中，主要針對此軟件的應(yīng)用進行入選模擬評估及檢驗。

3.1 評估驗證樣本及環(huán)境

評估驗證樣本：主要包括搭建環(huán)境中的PaaS模塊，主要由hadoop構(gòu)成。

評估驗證環(huán)境環(huán)境：主要采用的服務(wù)器為戴爾R710，24 GB內(nèi)存，配備5 TB硬盤容量，8核CPU，服務(wù)器數(shù)量為4臺。環(huán)境所采用的操作系統(tǒng)為Ubuntu。

3.2 功能驗證

對搭建安裝的各個功能模塊包括hadoop中兩個關(guān)鍵組件hdfs，mapreduce進行安裝測試驗證，采用手工方式逐項安裝測試，預(yù)期各個功能模塊功能安裝成功，服務(wù)均能正常啟動，主要包括數(shù)據(jù)存儲服務(wù)、數(shù)據(jù)計算處理服務(wù)等。

本測試仍采用黑盒測試方法，針對功能進行驗證。測試過程如下：

（1） 針對hdfs組件中的存儲功能進行測試驗證，存入本地的文件或文件夾到hdfs中，查看是否存儲成功；

（2） 啟動mapreduce任務(wù)，測試驗證能否正確執(zhí)行分布式計算處理任務(wù)，出現(xiàn)問題查看日志文件進行排查。

測試結(jié)果表明，系統(tǒng)正確實現(xiàn)了各個組件模塊的功能，并可通過Java自帶的jps命令查看各服務(wù)進程是否處于啟動狀態(tài)。

壓力驗證：測試結(jié)果表明在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，啟動50個任務(wù)，服務(wù)響應(yīng)正常，60個左右服務(wù)性能開始下降，與設(shè)定目標較為相符，在可接受范圍內(nèi)。

安全性驗證：對hadoop服務(wù)進行安全性測試，采用手工的方式進行測試，主要針對系統(tǒng)網(wǎng)絡(luò)安全及數(shù)據(jù)庫安全兩個方面測試，預(yù)期在現(xiàn)有安全措施及環(huán)境下無任何致命性缺陷或安全漏洞泄密，系統(tǒng)服務(wù)在自身可控范圍內(nèi)正常工作。通過測試，產(chǎn)品與預(yù)期相符，符合使用要求。

3.3 SaaS層應(yīng)用

（1） 云計算攻擊

在已構(gòu)建云環(huán)境中，啟動多臺虛擬機實例模擬DDoS攻擊，其實例設(shè)置如圖4所示。

利用實例進行模擬攻擊實驗有很好的效果，主要試驗過程如下所示。

首先，對DDoS的軟件進行測試，將其中的4臺虛擬實例攻擊機添加進入Autocrat DDoS Client軟件，然后，對4臺主機的狀態(tài)進行檢測，接下來，遠程登錄被測主機，查看其本地連接的數(shù)量，在攻擊軟件中點擊“開始攻擊”之后，本地連接數(shù)迅速增加，最后，在停止攻擊之后，本地連接數(shù)馬上下降，即流量迅速下降。

在云環(huán)境中，除了需要注意并預(yù)防這些傳統(tǒng)的攻擊手段之外，更要重點關(guān)注云計算環(huán)境帶來的特有的攻擊手段，如在云“多系統(tǒng)多用戶”的系統(tǒng)中，利用底層虛擬機漏洞進行虛擬入侵。

（2） 云計算防護

在已構(gòu)建的云計算環(huán)境中，利用云技術(shù)進行安全防護驗證，驗證示例如圖5所示。

圖中驗證測試主要是對相關(guān)的加密文檔進行密碼恢復(fù)破解，其中利用云環(huán)境中的多臺實例作為agent，進行分布式計算工作。通過在已有云計算環(huán)境中進行一系列防護驗證及對現(xiàn)有云安全現(xiàn)狀進行研究分析，認為下一步云計算安全防護可以主要從“快、全、多”三個方面著手考慮實施。其中“快”是指快速響應(yīng)的能力、快速規(guī)則升級能力、快速部署能力；“全”是指技術(shù)覆蓋能力、行業(yè)覆蓋能力、地理覆蓋能力；而“多”是指功能的多樣性，如正則匹配、統(tǒng)計分析、數(shù)據(jù)挖掘、快速搜索。

4 結(jié) 論

針對已有的云安全隱患評估方法，提出了一個基于全生命周期的云安全隱患分析模型——LCSAM模型，力求對云環(huán)境中存在的安全問題提出一種可行的解決方案，在本文中，也對模型中的實驗室預(yù)評估階段進行了實驗驗證，初步證明了該模型的有效性。

此外，在已有的信任即服務(wù)框架基礎(chǔ)上，研究提出了一個基于Kerberos的信任即服務(wù)框架實現(xiàn)，并對其加以理論驗證，該框架主要關(guān)注于PaaS層的安全策略以及云層之間數(shù)據(jù)的交換或平臺的遷移，用于解決云服務(wù)提供層和云服務(wù)消費層之間的安全信任問題。

參考文獻

[1] 房秉毅，張云勇，程瑩，等.云計算國內(nèi)外發(fā)展現(xiàn)狀分析[J].電信科學(xué)，2010（z1）：1?6.

[2] 秦中元，沈日勝，張群芳，等.虛擬機系統(tǒng)安全綜述[J].計算機應(yīng)用研究，2012，29（5）：1618?1622.

[3] 蔣萬春，湯立，陳震.虛擬化安全問題探析[J].信息網(wǎng)絡(luò)安全，2010（8）：83?86.

[4] 張秋江，王澎.云計算的安全問題探討[J].信息安全與通信保密，2011（5）：94?95.

[5] 馮登國，張敏，張妍，等.云計算安全研究[J].軟件學(xué)報，2011（1）：72?83.

[6] 王宇賓.基于CloudSim的作業(yè)調(diào)度算法評價模型設(shè)計與實現(xiàn)[J].現(xiàn)代電子技術(shù)，2015，38（14）：12?15.

[7] 薄明霞，陳軍，王渭清，等.淺談云計算的安全隱患及防護策略[J].信息安全與技術(shù)，2011（9）：62?64.