陳昊宇 涂山山 趙春曄 黃永峰

摘 要：云計(jì)算和分布式系統(tǒng)發(fā)展迅猛，云端的數(shù)據(jù)安全變得日趨重要。文中針對(duì)現(xiàn)有云安全框架進(jìn)行了分析，并通過(guò)對(duì)底層云數(shù)據(jù)隱私安全的相關(guān)技術(shù)進(jìn)行了比較，在Cloud Accountability Life Cycle模型的基礎(chǔ)上提出了可信任云框架；同時(shí)面對(duì)云端數(shù)據(jù)可能產(chǎn)生泄露的潛在威脅，指出在保證云安全的前提下，對(duì)云端可追溯數(shù)據(jù)進(jìn)行審計(jì)是一種非常有效的方法，并提出對(duì)系統(tǒng)內(nèi)核日志的采集與分析，是確保可追溯的一種可信且穩(wěn)定的云安全審計(jì)模式。最后通過(guò)對(duì)比不同基于檢測(cè)控制的數(shù)據(jù)安全審計(jì)機(jī)制，分析各自的優(yōu)勢(shì)與存在的問(wèn)題，并針對(duì)其中的不足進(jìn)行了有效改進(jìn)，對(duì)實(shí)現(xiàn)基于日志分析的云安全審計(jì)模式提供了可行性認(rèn)證。

關(guān)鍵詞：云安全審計(jì)；可追溯數(shù)據(jù)；可信任云框架；日志分析

中圖分類號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2016）06-0-05

0 引 言

云計(jì)算是當(dāng)今最熱門的應(yīng)用和研究領(lǐng)域，其特性要求公司和個(gè)人用戶將自己私有資源的一部分甚至全部控制權(quán)移交給云服務(wù)提供商，這勢(shì)必引起用戶對(duì)數(shù)據(jù)安全的擔(dān)憂。向用戶完整可信地提供其私有數(shù)據(jù)的被操作狀態(tài)，可以有效解決雙方的信任問(wèn)題。

針對(duì)以上潛在威脅，預(yù)防控制（Preventive Controls）被廣泛應(yīng)用（例如加密技術(shù)和基于ID分析的訪問(wèn)控制）。這些方案有效提高了云環(huán)境中數(shù)據(jù)的安全性，但依然無(wú)法直觀地為用戶提供云服務(wù)信任證明，因此很有必要采取措施來(lái)提升云服務(wù)提供商的透明度、監(jiān)管力度和可信度。歐洲網(wǎng)絡(luò)與信息安全委員會(huì)在云計(jì)算風(fēng)險(xiǎn)評(píng)估報(bào)告里指出，云計(jì)算中最具有風(fēng)險(xiǎn)的一種表現(xiàn)是“監(jiān)管缺失”[1]。因此提出了檢測(cè)控制（Detective Controls）方案， 而對(duì)云端數(shù)據(jù)進(jìn)行審計(jì)是檢測(cè)控制的一個(gè)重要體現(xiàn)。

盡管很多云服務(wù)提供商如亞馬遜[2]等認(rèn)識(shí)到了審計(jì)對(duì)提高用戶信任度的重要性，但依然沒(méi)有能力對(duì)發(fā)生在物理和虛擬服務(wù)器上的數(shù)據(jù)進(jìn)行審計(jì)。云計(jì)算研究小組（現(xiàn)云安全聯(lián)盟）意識(shí)到了這個(gè)問(wèn)題，并在《云計(jì)算面臨的最大威脅》中提出7大風(fēng)險(xiǎn)[3]，指出對(duì)文件被使用情況進(jìn)行追蹤，可有效降低云服務(wù)的信任風(fēng)險(xiǎn)，同時(shí)可自然運(yùn)用于云安全審計(jì)的研究。

HP云安全實(shí)驗(yàn)室在2010年提出“云計(jì)算的信任”這一概念，用以描述用戶對(duì)云環(huán)境的信任程度，并給出了影響云環(huán)境受信任度的因素。

（1）安全性[4，5]。使未授權(quán)用戶難以獲取越權(quán)信息的機(jī)制。

（2）隱私性[6，7]。防止個(gè)人信息泄露和丟失的保護(hù)措施。

（3）可信度[8，9]。勇于承擔(dān)達(dá)成共識(shí)及聲明的責(zé)任與義務(wù)。這一個(gè)因素也被很多組織所認(rèn)同，例如OECD， APEC， PIPEDA等。

（4）審計(jì)性 [10]。系統(tǒng)或者環(huán)境的審計(jì)難易程度與相關(guān)的記錄保存和系統(tǒng)是否能提供高效的審計(jì)手段有很大關(guān)系，弱審計(jì)性可能沒(méi)有完整記錄保存或者無(wú)法提供有效審計(jì)，而高審計(jì)性則相反，能夠檢測(cè)出違反相關(guān)政策的行為。

預(yù)防控制能夠防止違法行為的持續(xù)發(fā)生，而檢測(cè)控制則能識(shí)別出違法行為的出現(xiàn)和相關(guān)安全風(fēng)險(xiǎn)。檢測(cè)控制很好地彌補(bǔ)了預(yù)防性控制的不足，本文將預(yù)防性控制和檢測(cè)控制有機(jī)結(jié)合，基于CALC（Cloud Accountability Life Cycle，CALC）模型[11]構(gòu)建一個(gè)有效且可信任的云安全審計(jì)框架，并與現(xiàn)有的基于日志的云安全審計(jì)解決方案進(jìn)行分析對(duì)比。

1 可信任云安全審計(jì)框架

R.K.L Ko等人在2010年提出了CALC模型，指出了“可信云”的概念，本節(jié)將在CALC的基礎(chǔ)上提出新的可信云框架，并詳細(xì)論述框架間的邏輯關(guān)系和框架的組成元素。

1.1 CALC模型

云計(jì)算的發(fā)展給相關(guān)審計(jì)帶來(lái)了較高的復(fù)雜性。因此一個(gè)包含所有關(guān)鍵階段的流程就顯得特別重要，它可以簡(jiǎn)化很多復(fù)雜問(wèn)題，讓云安全審計(jì)的研究者們一目了然，并且可以幫助他們專注于某一階段進(jìn)行更深入的研究，CALC模型的目的正在于此。CALC理論模型如圖1所示。

1.1.1 政策制定

云服務(wù)提供商必須決定日志采集對(duì)象以及哪些事件需要被日志記錄，這里有四種比較重要的信息：

（1）事件數(shù)據(jù)：一系列活動(dòng)和相關(guān)信息；

（2）操作人員：發(fā)起操作事件（例如人或者網(wǎng)絡(luò)爬蟲）的對(duì)象；

（3）時(shí)間戳：事件發(fā)生的時(shí)間和日期；

（4）事件發(fā)生的物理和虛擬地址。

1.1.2 識(shí)別和追蹤

識(shí)別和追蹤階段的目的是識(shí)別云端的全部操作。審計(jì)工具對(duì)非法操作的識(shí)別和追蹤需要從底層系統(tǒng)的讀寫操作追蹤到分布在物理服務(wù)器上的虛擬端的高層工作流，同時(shí)包括云內(nèi)部網(wǎng)絡(luò)通信包 [12]。

1.1.3 記錄日志

以文件為中心的日志記錄需要在云端的虛擬和物理層進(jìn)行，同時(shí)需要考慮日志在云內(nèi)的有效時(shí)間、日志的存儲(chǔ)位置和其他相關(guān)因素。

1.1.4 日志的安全儲(chǔ)存

在日志采集結(jié)束后，我們需要保護(hù)日志的完整性，即防止未授權(quán)者非法獲取或篡改日志信息，并需要引入數(shù)據(jù)加密及合理的備份機(jī)制。

1.1.5 報(bào)告及重現(xiàn)

報(bào)告工具由以文件為中心的日志總結(jié)、審計(jì)線索的報(bào)告、文件的獲取記錄以及文件在云內(nèi)的運(yùn)行周期組成。所以報(bào)告可能包含多重因素，例如虛擬機(jī)和物理端的服務(wù)器歷史記錄，OS級(jí)別的文件讀寫等。

1.1.6 審計(jì)

審計(jì)員或者利益相關(guān)者對(duì)日志和報(bào)告進(jìn)行審計(jì)，對(duì)可能的非法行為進(jìn)行標(biāo)注。如果可以實(shí)現(xiàn)自動(dòng)化，審計(jì)的過(guò)程將具備“強(qiáng)制性”。自動(dòng)且強(qiáng)制執(zhí)行的審計(jì)對(duì)于大數(shù)據(jù)容量的云環(huán)境十分適用，也使檢測(cè)非法行為變得更為有效。

1.1.7 優(yōu)化和修正

存在于云端的問(wèn)題區(qū)域和安全漏洞在這一步被移除或者修正，相關(guān)控制和監(jiān)管得到進(jìn)一步提升。

1.2 可追溯云安全審計(jì)系統(tǒng)

針對(duì)整個(gè)云審計(jì)框架中的一個(gè)或幾個(gè)環(huán)節(jié)，也有很多研究者提出了不同的解決方案。本文提出“可追溯”的云安全審計(jì)概念，該可追溯系統(tǒng)可通過(guò)記錄系統(tǒng)中發(fā)生的行為（包括文件、網(wǎng)絡(luò)或程序內(nèi)部），清楚地描述出云環(huán)境中的數(shù)據(jù)狀態(tài)?！翱勺匪菪畔ⅰ眲t被描述為與實(shí)現(xiàn)數(shù)據(jù)追溯相關(guān)的日志、參數(shù)、網(wǎng)絡(luò)包等信息?？勺匪菹到y(tǒng)可根據(jù)面向的云環(huán)境不同來(lái)決定安全審計(jì)的數(shù)據(jù)內(nèi)容，即通過(guò)獲取確定時(shí)間下的用戶、數(shù)據(jù)和行為等信息，并以此作為該云安全審計(jì)系統(tǒng)的數(shù)據(jù)源。在本文中，定義可追溯信息為在數(shù)據(jù)的整個(gè)操作序列中能夠描述數(shù)據(jù)被操作的情況和來(lái)源信息。

1.3 可信任云構(gòu)架

CALC描述了一個(gè)完整的日志審計(jì)過(guò)程并且描述了每個(gè)階段，但CALC更多的關(guān)注于模型的理論完整性。而可實(shí)現(xiàn)的云數(shù)據(jù)安全審計(jì)系統(tǒng)需要基于CALC模型進(jìn)行細(xì)粒度構(gòu)建，使其具備可擴(kuò)展性以及可操作性。正是基于此目的，本方案根據(jù)Ryan K L Ko等人提出的信任云框架[13]，提出了基于可追溯信息的云數(shù)據(jù)隱私安全審計(jì)框架，如圖2所示。

這個(gè)框架主要有內(nèi)外兩個(gè)主體共五部分。外部由法律條款和策略兩部分組成；內(nèi)部由系統(tǒng)數(shù)據(jù)挖掘?qū)?、?shù)據(jù)儲(chǔ)存保護(hù)層、分析應(yīng)用層三部分組成。

1.3.1 法律政策

由于電子商務(wù)和云計(jì)算的發(fā)展，私人敏感數(shù)據(jù)的保護(hù)受到越來(lái)越多的重視，各國(guó)相關(guān)部門也意識(shí)到完善相關(guān)法律法規(guī)的必要性。相關(guān)法律涉及到數(shù)據(jù)的采集、處理、儲(chǔ)存和轉(zhuǎn)移等各種操作。毫無(wú)疑問(wèn)，這些法規(guī)對(duì)日志數(shù)據(jù)同樣適用，日志信息的敏感性也應(yīng)受到保護(hù)。

相關(guān)法律規(guī)定了數(shù)據(jù)采集的內(nèi)容、目的、時(shí)間、手段、授權(quán)和行為界面等關(guān)鍵性問(wèn)題。而任何組織和個(gè)人都必須在這些規(guī)定之下制定數(shù)據(jù)采集分析的策略。

1.3.2 云安全審計(jì)策略

為了實(shí)現(xiàn)基于日志采集的云安全審計(jì)，完整的實(shí)施策略是必要的。在框架的第一部分提到，法律法規(guī)約束了數(shù)據(jù)采集分析的行為，任何組織和個(gè)人在制定策略時(shí)都要充分考慮這些法律的約束。而這些約束通過(guò)策略又滲透進(jìn)日志審計(jì)系統(tǒng)的三個(gè)層面。每個(gè)組織和個(gè)人都可以在法律的約束下選擇自己需要的策略，比如采集哪些能采集的數(shù)據(jù)，在安全的前提下儲(chǔ)存數(shù)據(jù)的方法等。

1.3.3 系統(tǒng)數(shù)據(jù)挖掘?qū)?/p>

可追溯系統(tǒng)框架最底的抽象層是系統(tǒng)數(shù)據(jù)挖掘?qū)樱谶@一層我們需要知道在哪里能采集到有用的系統(tǒng)內(nèi)部數(shù)據(jù)，以幫助下一步的分析和審計(jì)，采集主要發(fā)生在以文件為中心的系統(tǒng)和云端內(nèi)部網(wǎng)絡(luò)中。

（1）文件系統(tǒng)

云計(jì)算技術(shù)讓人們不再把所有的注意力都放在公司內(nèi)的物理服務(wù)器上，而是將更多的注意力放在以文件為中心的系統(tǒng)上。日志數(shù)據(jù)的采集主要發(fā)生于此，在這里將記錄下任何人對(duì)文件的關(guān)鍵操作，例如打開、修改、關(guān)閉等。同時(shí)，可以從這些系統(tǒng)信息中獲取文件的虛擬和物理儲(chǔ)存地址、操作的人員以及時(shí)間等核心數(shù)據(jù)。

（2）云端內(nèi)部網(wǎng)絡(luò)

云數(shù)據(jù)系統(tǒng)的特性使得整個(gè)數(shù)據(jù)系統(tǒng)內(nèi)包含大量的網(wǎng)絡(luò)主機(jī)和主機(jī)間的網(wǎng)絡(luò)通信。這些網(wǎng)絡(luò)信息同樣包含了數(shù)據(jù)或文件的存儲(chǔ)、調(diào)用信息。因此采集和管理云環(huán)境內(nèi)的網(wǎng)絡(luò)信息也是十分必要的。

1.3.4 數(shù)據(jù)儲(chǔ)存和保護(hù)層

這一層將實(shí)現(xiàn)通過(guò)采集日志器采集底層數(shù)據(jù)，即文件系統(tǒng)和云端內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，并保證它們被安全地儲(chǔ)存和備份，本方案將重點(diǎn)討論并設(shè)計(jì)日志采集器的兩種重要屬性，即可追溯性和一致性：

（1）可追溯性要求

對(duì)于歷史記錄的追蹤可以使用戶掌握其擁有數(shù)據(jù)真實(shí)的操作情況?？勺匪菪畔⒈徽J(rèn)為是任何隱私和信任模型的基礎(chǔ)，所以提高云計(jì)算的可信度也依靠可追溯的信息。它可以幫助人們區(qū)別合法操作和非法操作。

（2）一致性要求

現(xiàn)在的云服務(wù)提供商幾乎很難保證數(shù)據(jù)一致性，對(duì)云計(jì)算服務(wù)來(lái)說(shuō)能夠迅速響應(yīng)、恢復(fù)原始狀態(tài)、恢復(fù)數(shù)據(jù)和有效備份都是很重要的。保證數(shù)據(jù)的一致性則能幫助云服務(wù)提供商實(shí)現(xiàn)這些功能。

1.3.5 分析應(yīng)用層

收集數(shù)據(jù)和儲(chǔ)存完成之后，在分析應(yīng)用層需要對(duì)其進(jìn)行分析以得到有效的數(shù)據(jù)。分析應(yīng)用層主要著眼于自動(dòng)審計(jì)、云端碎片審計(jì)和服務(wù)審計(jì)3個(gè)方面。

（1）自動(dòng)審計(jì)

基于云計(jì)算優(yōu)秀的計(jì)算能力，結(jié)合可信任云框架提供的對(duì)數(shù)據(jù)可靠性的保證，使自動(dòng)審計(jì)有較高的可行性，這對(duì)云計(jì)算應(yīng)用于金融和商業(yè)領(lǐng)域是先決條件。但是在高度虛擬化的環(huán)境下持續(xù)實(shí)現(xiàn)審計(jì)功能是一項(xiàng)很復(fù)雜的工程，不僅要審計(jì)商業(yè)金融的邏輯還要審計(jì)應(yīng)用軟件。

（2）云端碎片審計(jì)

云端內(nèi)部會(huì)有很多像碎片一樣的文件，這些文件的修復(fù)和更新都需要被審計(jì)，尤其是互相關(guān)聯(lián)的文件需要更嚴(yán)格的審計(jì)以確保數(shù)據(jù)的有效性。

（3）服務(wù)審計(jì)

云計(jì)算服務(wù)是一個(gè)以服務(wù)為導(dǎo)向的層級(jí)結(jié)構(gòu)，而且每個(gè)服務(wù)都很容易得到復(fù)制，于是多個(gè)服務(wù)的組合也有較高的可行性。當(dāng)每層的服務(wù)之間發(fā)生整合時(shí)，可信度就會(huì)變成一個(gè)未知數(shù)，所以對(duì)服務(wù)整合的審計(jì)也是必要的。

2 可追溯信息獲取與安全

對(duì)已有的研究成果進(jìn)行分析，可以發(fā)現(xiàn)基于可追溯信息的數(shù)據(jù)安全解決方案有良好的可行性。針對(duì)文件系統(tǒng)不同層面的可追溯信息分析方案，體現(xiàn)出了不同的特性。通過(guò)分析已有的方案和工具，可以有效地實(shí)現(xiàn)云數(shù)據(jù)的“可追溯性”。

2.1 可追溯信息獲取

本節(jié)討論可追溯信息聚焦于以文件為對(duì)象的系統(tǒng)操作、云內(nèi)部的網(wǎng)絡(luò)通信以及應(yīng)用層的程序執(zhí)行信息。

2.1.1 文件系統(tǒng)

Muniswamy-Reddy等人提出了PASS以及基于其的改進(jìn)方案PASSv2[14，15]。在PASS方案中，單一主機(jī)內(nèi)的可追溯信息通過(guò)攔截內(nèi)核級(jí)的系統(tǒng)命令獲取。在PASSv2中，可追溯信息的獲取被擴(kuò)展到系統(tǒng)層、應(yīng)用層、中間件層等其它層。PASS對(duì)系統(tǒng)內(nèi)核的依賴性強(qiáng)，需要緊密集成到底層系統(tǒng)的內(nèi)核。而在網(wǎng)絡(luò)層，PASS則沒(méi)有提供相應(yīng)的功能。

認(rèn)識(shí)到PASS方案對(duì)主機(jī)內(nèi)核的依賴，Macko等人采取不同的辦法[16]。他們通過(guò)修改Xen系統(tǒng)管理程序，收集來(lái)自客戶機(jī)的內(nèi)核級(jí)可追溯信息（例如在管理程序上運(yùn)行的虛擬機(jī)）?？勺匪菪畔⒌氖占峭ㄟ^(guò)放在DomU上的一個(gè)攔截器從Xen的syscall_enter_mechanism系統(tǒng)調(diào)用指令攔截而實(shí)現(xiàn)的。但這種解決方案依然是面向獨(dú)立主機(jī)的，無(wú)法獲取云中主機(jī)間發(fā)生的通信行為。Zhang等人在理論層面討論了保證可追溯信息完整性和機(jī)密性對(duì)于整個(gè)審計(jì)方案的重要性[17]。

和以上幾種方式不同，Ryan K L Ko等人根據(jù)以數(shù)據(jù)為中心的思想，提出了S2Logger[18]和 Flogger[19]。對(duì)于Flogger來(lái)說(shuō)，是記錄虛擬機(jī)和物理主機(jī)兩層的文件操作。因此，物理機(jī)與其各個(gè)虛擬機(jī)的文件操作都是相關(guān)聯(lián)的。S2Logger建立在Flogger的基礎(chǔ)之上，F(xiàn)logger只能獲取文件級(jí)的事件，S2Logger則可以對(duì)文件級(jí)和塊級(jí)進(jìn)行捕獲。S2Logger通過(guò)關(guān)聯(lián)不同主機(jī)在發(fā)送和接收文件時(shí)讀取和寫入事件，能夠跟蹤數(shù)據(jù)在云數(shù)據(jù)中心中不同主機(jī)間的傳輸。

2.1.2 云內(nèi)部網(wǎng)絡(luò)通信

在這一層，可追溯信息獲取工具主要記錄網(wǎng)絡(luò)事件和網(wǎng)絡(luò)節(jié)點(diǎn)間的信息。

BackTracker[20]是一種監(jiān)測(cè)網(wǎng)路協(xié)議層入侵的工具，并能夠追蹤網(wǎng)絡(luò)中入侵行為的源頭主機(jī)。雙向分布式BackTracker（BDB）通過(guò)建立因果圖，分析獨(dú)立主機(jī)的事件追蹤入侵。這種因果圖被加工成一個(gè)來(lái)源圖向分析者提供一個(gè)事件序列以描述入侵的路徑。BDB需要網(wǎng)絡(luò)內(nèi)每臺(tái)主機(jī)都支持BDB工具。無(wú)監(jiān)視的主機(jī)則不能被追蹤。同時(shí)，BDB也不能防止對(duì)可追溯記錄的篡改。

2.1.3 應(yīng)用層

Singh等人提出一個(gè)讓追蹤程序檢查、記錄和分析的平臺(tái)[21]。這種平臺(tái)建立在P2[22]——分布式的算法發(fā)展系統(tǒng)上。這種方案通過(guò)一個(gè)運(yùn)行在P2系統(tǒng)緩存上的追蹤器檢測(cè)和記錄。獲取的可追溯信息可以被一種查詢語(yǔ)言——OverLog查詢。這個(gè)平臺(tái)使程序員可以檢查和分析算法執(zhí)行錯(cuò)誤、安全漏洞和識(shí)別錯(cuò)誤。

Pip[23]提供給開發(fā)者一個(gè)注釋庫(kù)使得程序可以生成事件和定義資源。通過(guò)一種說(shuō)明性的語(yǔ)言，開發(fā)者可以描述他們應(yīng)用的期望。通過(guò)期望和程序執(zhí)行追蹤記錄，Pip中間件檢查并報(bào)告異常行為。

E-notebook[24]被設(shè)計(jì)用來(lái)支持共享數(shù)據(jù)中的信任和責(zé)任。中間件直接連接與儀器匹配的工具軟件并報(bào)告未加工數(shù)據(jù)上下文的生成，也報(bào)告資料庫(kù)的變化。這些來(lái)源報(bào)告是模型化的有向無(wú)環(huán)圖，并且有用戶數(shù)字簽名，以證明數(shù)據(jù)的擁有者。通過(guò)使用一個(gè)基于規(guī)則的信任管理語(yǔ)言，可以設(shè)置一個(gè)信任模型，用戶可以基于自己的經(jīng)驗(yàn)推薦其他用戶的信任等級(jí)。方案對(duì)于在應(yīng)用層檢查異常行為和追蹤、報(bào)告數(shù)據(jù)變化是有用的。但對(duì)于程序外部的行為則不能捕獲。所以，需要在多層進(jìn)行信息采集使得對(duì)發(fā)生的事情分析更完整。

2.2 可追溯信息的可靠性

為解決可追溯信息安全問(wèn)題，Zhou等人提出安全網(wǎng)絡(luò)來(lái)源（SNP）方案[25]，使用認(rèn)證器防止可追溯信息被篡改。通過(guò)一套涉及認(rèn)證器使用的認(rèn)證規(guī)則，在各自節(jié)點(diǎn)確認(rèn)發(fā)送和接收事件?？勺匪菪畔⒌囊恢滦酝ㄟ^(guò)比較不同節(jié)點(diǎn)的信息完成。從性能角度來(lái)說(shuō)，SNooPy只能鑒定出網(wǎng)絡(luò)中的錯(cuò)誤節(jié)點(diǎn)。SNP技術(shù)的原型——SNooPy被多種程序?qū)崿F(xiàn)。實(shí)驗(yàn)表明因?yàn)檎J(rèn)證器的接受、發(fā)送、驗(yàn)證和標(biāo)記，SNooPy產(chǎn)生大量的網(wǎng)絡(luò)通信和進(jìn)程裝載。

Lyle等人[26]提出可以應(yīng)用信任計(jì)算的技術(shù)來(lái)解決可追溯信息可靠性問(wèn)題。利用信任平臺(tái)模塊（TPM）來(lái)提供日志采集的可靠環(huán)境。但是使用這種技術(shù)最明顯的缺點(diǎn)就是運(yùn)行速度慢，因?yàn)樗粩嗟赜?jì)算哈希值和加密措施。

Rosenthal等人[27]提出應(yīng)用“可追溯圖”來(lái)管理可追溯信息的方案，當(dāng)圖中的任何節(jié)點(diǎn)遭到非法修改都需要迅速地將該點(diǎn)移出“可追溯圖”。

另外，Bonsai[28]也試圖利用電子簽名來(lái)更有效的實(shí)現(xiàn)可靠的可追溯信息儲(chǔ)存。

3 方案比較分析

3.1 可追溯信息獲取方案的對(duì)比

對(duì)以上各個(gè)層次的不同方案進(jìn)行對(duì)比，本文認(rèn)為從以下幾個(gè)方面評(píng)價(jià)可追溯信息獲取方案的優(yōu)劣較為準(zhǔn)確、全面。

（1）跨主機(jī)追蹤：在分布式系統(tǒng)里，獲取網(wǎng)絡(luò)內(nèi)不同主機(jī)的可追溯信息，能夠準(zhǔn)確描述系統(tǒng)中數(shù)據(jù)的狀態(tài)。

（2）低耦合性：可追溯信息獲取工具必須保證其在兩方面的通用性，一方面在不同應(yīng)用程序里可以不需要做改變就直接運(yùn)行，另一方面在不同的平臺(tái)上也能正常運(yùn)作。

（3）多級(jí)性：工具可以跨越系統(tǒng)的多個(gè)層次進(jìn)行信息獲取。確保通過(guò)分析可追溯信息即能得到數(shù)據(jù)在系統(tǒng)中的真實(shí)狀態(tài)。在分析數(shù)據(jù)安全威脅的手段和來(lái)源方面尤為重要。

（4）安全機(jī)制：工具該具有保護(hù)數(shù)據(jù)安全的相應(yīng)機(jī)制。

（5）分析界面：工具應(yīng)該具有友好的用戶界面用于展示相關(guān)的數(shù)據(jù)分析，或能夠向下提供良好的接口。

結(jié)合以上幾點(diǎn)，我們將現(xiàn)有的方案進(jìn)行了對(duì)比，具體如表1所列。

3.2 可追溯信息的安全機(jī)制

對(duì)于可追溯信息的安全機(jī)制，本文給出以下四個(gè)標(biāo)準(zhǔn)：

（1）保密性：由于可追溯信息的敏感性，記錄的保密性就顯的更為重要。要求任何未授權(quán)的人都無(wú)法查看信息。

（2）防篡改性：防篡改性意味著數(shù)據(jù)必須保持原始的一致性，不能受到任何篡改。如果被修改，必須有明顯記錄。

（3）穩(wěn)定性： 這一屬性要求保證管理者在任何時(shí)間段都能正確地獲得數(shù)據(jù)和分析。

（4）可靠性：這一屬性要求整個(gè)信息獲取過(guò)程是可信的。

結(jié)合以上幾點(diǎn)，我們將現(xiàn)有的方案進(jìn)行了對(duì)比，具體如表2所列。

4 結(jié) 語(yǔ)

本文首先從宏觀上闡述了云安全體系的整個(gè)框架，分析了目前云安全存在的問(wèn)題，并在CALC結(jié)構(gòu)基礎(chǔ)上提出了基于日志挖掘?qū)徲?jì)的可信任云框架，從框架的外部法律政策到內(nèi)部的數(shù)據(jù)采集、儲(chǔ)存以及分析3個(gè)層面逐一給出了抽象的概念和相應(yīng)的研究重點(diǎn)。然后，本文從技術(shù)層面討論了實(shí)現(xiàn)內(nèi)部的數(shù)據(jù)采集，儲(chǔ)存和采集模塊的相應(yīng)方案，通過(guò)分析現(xiàn)有的數(shù)據(jù)采集來(lái)分析系統(tǒng)優(yōu)缺點(diǎn)，提出可追溯云安全審計(jì)系統(tǒng)應(yīng)采取基于系統(tǒng)日志的挖掘分析手段。最后針對(duì)云隱私數(shù)據(jù)審計(jì)的安全性，結(jié)合政策設(shè)置和技術(shù)實(shí)現(xiàn)本文提出的可信任的云安全審計(jì)系統(tǒng)準(zhǔn)則，為接下來(lái)實(shí)現(xiàn)云數(shù)據(jù)安全審計(jì)的具體方案提供理論支持。

參考文獻(xiàn)

[1]林闖，蘇文博，孟坤，等.云計(jì)算安全：架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào)，2013，3（9）：1765-1784.

[2] N Sinha，L Khreisat.Cloud computing security， data， and performance issues[C].Wireless & Optical Communication Conference， 2014.

[3] Cloud Security Alliance.Top Threats to Cloud Computing， 2015[EB/OL]. https：//cloudsecurityalliance.org/topthreats.v.1.0.pdf

[4] J.Brodkin，Gartner：Seven cloud-computing security risks[Z]. Infoworld， 2008： 1-3.

[5] Shaozhang Niu，Shanshan Tu， Yongfeng Huang. An effective and secure access control system scheme in the cloud computing[J].Chinese Journal of Electronics， 2015，24（3）： 524-528.

[6] S. Pearson.Taking account of privacy when designing cloud computing services[C]. Proc. 2009 ICSE Workshop on Software Engineering Challenges of Cloud Computing，IEEE Computer Society， 2009： 44-52.

[7]馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲(chǔ)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)， 2015，38（1）：150-163.

[8] A. Haeberlen.A case for the accountable cloud[J].ACM SIGOPS Operating Systems Review，2010，44（2）：52-57.

[9]馮登國(guó)，張敏，張妍，等.云計(jì)算安全研究[J].軟件學(xué)報(bào)， 2011，22 （1）：71-83.

[10] Tuesheng Tan，Chao Wang.Trust Evaluation Based on User Behavior in Cloud Computing[J].Microelectronics and Computer， 2015，32（11）：147-151.

[11] R.K.L. Ko， B.S. Lee，S. Pearson.Towards Achieving Accountability， Auditability and Trust in Cloud Computing[C]. Proc. International workshop on Cloud Computing： Architecture， Algorithms and Applications （CloudComp2011）， Springer， 2011： 5.

[12] W. Zhou，M. Sherr，T. Tao，et al.Efficient querying and maintenance of network provenance at internet-scale[C].Proc. 2010 International Conference on Management of Data （SIGMOD 2010）， ACM， 2010： 615-626.

[13] Ryan K L Ko， Peter Jagadpramana， Miranda Mowbray， et al. TrustCloud： A Framework for Accountability and Trust in Cloud Computing[C]. 2nd IEEE Cloud Forum for Practitioners （IEEE ICFP 2011）， Washington DC， USA， July 7-8， 2011.

[14] M. N. Alpdemir，A. Mukherjee，N.W.Paton，et al.Contextualised Workflow Execution in my Grid[C].European Grid Conference Lecture Notes in Computer Science， 2005.

[15] K.-K.Muniswamy-Reddy，D.A.Holland，U.Braun，etal. Provenance-aware Storage Systems[C].Conference on USENIX06 Annual Tech-nical Conference （ATEC06）， 2006.

[16] P.Macko，M. Chiarini，M.Seltzer.Collecting Provenance via the Xen Hypervisor[C].USENIX Workshop on Theory and Practice of Prove-nance （TaPP11）， 2011.

[17] O. Q. Zhang，M. Kirchberg，R. K. L. Ko， et al. How to Track Your Data：The Case for Cloud Computing Provenance[C]. IEEE 3rd In-ternational Conference on Cloud Computing Technology and Science （CloudCom11）， 2011.

[18] C. H. Suen，R. K. L. Ko，Y. S. Tan， et al.S2Logger： End-to-End Data Tracking Mechanism for Cloud Data Provenance[C].The 12th IEEE International Conference on Trust， Security and Privacy in Computing and Communications （Trust-Com13）， 2013.

[19] R. K. L. Ko，P. Jagadpramana，B. S. Lee.Flogger：A File-centric Logger for Monitoring File Access and Transfers with Cloud Computing Environments[C].IEEE International Workshop on Security in e-Science and e-Research （ISSR11）， in conjunction with IEEE TrustCom11， 2011.

[20] S. T. King，P. M. Chen.Backtracking Intrusions[C].The 19th ACM Symposium on Operating Systems Principles （SOSP03）， 2003.

[21] A. Singh，P. Maniatis，T. Roscoe， et al.Using Queries for Distributed Monitoring and Forensics[C].The 1st ACM EuroSys European Conference on Computer Systems （SIGOPS06）， 2006.

[22] B. T. Loo，T. Condie，J. M.Hellerstein，et al.Implementing declarative overlays[C].The 20th ACM Symposium on Operating Systems principles （SOSP05）， 2005.

[23] P. Reynolds，C. Killian，J. L. Wiener，et al.Detecting the Unex-pected in Distributed Systems[C].The 3rd Symposium on Networked Systems Design and Implementation （NSDI06）， 2006.

[24] P. Ruth，D. Xu，B. Bhargava，et al.E-notebook Middleware for Accountability and Reputation Based Trust in Distributed Data Sharing Communities[C].The 2nd Intenational Conference on Trust Management. iTrust 04， 2004.

[25] W. Zhou，Q. Fei，A. Narayan， et al.Secure Network Provenance[C].The 23rd ACM Symposium on Operating Systems Principles （SOSP11）， 2011.

[26] J. Lyle，A. Martin.Trust Computing and Provenance： Better Together[C].The 2nd Conference on Theory and Practice of Provenance （TaPP10）， 2010.

[27] A.Rosenthal，L. Seligman，A.Chapman，et al.Scalable Access Controls for Lineage[C].First Workshop on Theory and Practice of Provenance （TAPP09）， 2009.

[28] A.Gehani and U.Lindqvist. Bonsai： Balanced Lineage Authentication[C].The 23rd Conference of Computer Security Applications （ACSAC07）， 2009.