陸月明，張志輝

（北京郵電大學(xué)信息與通信工程學(xué)院，北京 100876）

面向云服務(wù)信息安全評估的度量模型研究

陸月明，張志輝

（北京郵電大學(xué)信息與通信工程學(xué)院，北京 100876）

針對云服務(wù)信息安全缺乏度量準(zhǔn)則和度量不準(zhǔn)的問題，介紹了國內(nèi)外相關(guān)度量標(biāo)準(zhǔn)的研究現(xiàn)狀。針對可信云的信息安全度量需求，總結(jié)了基于可信根的度量模型的優(yōu)缺點(diǎn)，指出未來的方向是一個(gè)兼顧可拓展性、實(shí)時(shí)性、隱私保護(hù)好、易移植且開銷更小的云服務(wù)信息安全度量模型。

可信云服務(wù)；信息安全評估；度量模型；評估標(biāo)準(zhǔn)

1 引言

針對IT領(lǐng)域計(jì)算資源集約化、規(guī)?；蛯I(yè)化的需求，云計(jì)算（cloud computing）［1］的計(jì)算模式應(yīng)運(yùn)而生。云服務(wù)服務(wù)一方面不斷提高生產(chǎn)效率，但同時(shí)也暴露出各種不容小覷的信息安全問題，這已經(jīng)成為阻礙其發(fā)展的關(guān)鍵因素。要解決云服務(wù)信息安全問題，首先提出其信息安全檢測、度量、評估等模型或方法，形成良性反饋機(jī)制，促進(jìn)和提高云服務(wù)信息安全質(zhì)量。然而，云服務(wù)信息安全評估面臨諸多難題，由于沒有完備的評估標(biāo)準(zhǔn)和指標(biāo)，面臨信息安全評估不了和評估不準(zhǔn)的問題。

2 現(xiàn)有信息安全評估標(biāo)準(zhǔn)及面臨的挑戰(zhàn)

現(xiàn)有信息安全評估標(biāo)準(zhǔn)主要被信息產(chǎn)品或服務(wù)的用戶、開發(fā)者、第三方評估者、管理員等使用，涉及的信息產(chǎn)品和服務(wù)門類廣，部分還對特定產(chǎn)品給出信息安全評估標(biāo)準(zhǔn)。最常用的是信息技術(shù)安全性評估準(zhǔn)則（CC， common criteria），簡稱“通用準(zhǔn)則”。

通用準(zhǔn)則是確定適用于一切IT安全產(chǎn)品和系統(tǒng)的評估準(zhǔn)則，具有普適性和通用性。通用準(zhǔn)則只規(guī)定準(zhǔn)則，不涉及評估方法，評估方法的選擇留給其他的評估體制確定。通用準(zhǔn)則提出了3個(gè)重要概念，評估對象（TOE，target of evalua-tion）、保護(hù)輪廓（PP，protection profile）和安全目標(biāo)（ST，security target）。TOE包括作為評估主體的IT產(chǎn)品和系統(tǒng)以及相關(guān)文檔。PP和ST是用于描述待評估IT產(chǎn)品或系統(tǒng)的重要文檔。PP描述滿足特定需求且獨(dú)立于現(xiàn)實(shí)的一組安全要求，是目標(biāo)說明。ST描述依賴于現(xiàn)實(shí)的一組安全說明，是評估基礎(chǔ)。通用準(zhǔn)則由簡介與一般模型、安全功能要求、安全保證要求這3部分組成，將信息安全的三性（保密性、完整性和可用性）作為整個(gè)準(zhǔn)則的出發(fā)點(diǎn)。其中，安全功能要求提出了11個(gè)需要滿足安全要求的功能組件類［2］，包括密碼支持、用戶數(shù)據(jù)保護(hù)、私密性等。安全保證要求提出了9個(gè)需要安全保證的類別［3］，包括生命周期支持、脆弱性評定、指導(dǎo)性文檔等。安全功能要求和安全保證要求為云服務(wù)信息安全評估指標(biāo)的擬定提供了全面的依據(jù)。

2000年7月，美國NIST（National Institute of Standards and Technology）和CSSPAB（Computer System Security and Privacy Advisory Board）聯(lián)合舉辦了一個(gè)針對安全度量的討論會(huì)。該會(huì)議指出，通用準(zhǔn)則雖然在指導(dǎo)安全評估方面是個(gè)很好的標(biāo)準(zhǔn)，但在全面解決安全度量問題方面還有很多需要進(jìn)一步研究的內(nèi)容［4］，包括信息安全度量定義、信息系統(tǒng)的安全度量、針對特定安全威脅的安全度量、定性的安全度量、大規(guī)模網(wǎng)絡(luò)中的實(shí)時(shí)安全度量、安全度量和保證等級等之間的關(guān)系，從而使人們對安全保護(hù)能有一個(gè)更加深刻的理解。

3 云服務(wù)安全度量模型及指標(biāo)

2009年4月，RSA大會(huì)成立了云安全聯(lián)盟CSA（cloud security alliance），致力于云服務(wù)安全解決方案，發(fā)布了《云計(jì)算關(guān)鍵領(lǐng)域安全指南》［5］，從攻擊者角度歸納云服務(wù)可能有賬戶或服務(wù)劫持、數(shù)據(jù)丟失或泄露、不安全API、惡意內(nèi)部人員等風(fēng)險(xiǎn)。

3.1 云服務(wù)信息安全度量和評估框架

云服務(wù)信息安全可以從不同的角度確定其度量框架，這里只從評估者角度確定這種分布式系統(tǒng)或服務(wù)的信息安全度量框架。圖1給出了云服務(wù)信息安全度量和評估框架。該框架首先對云服務(wù)信息安全功能進(jìn)行形式化，分成不同的信息安全功能類和族，抽象出族中的組件和依賴關(guān)系，并確定功能元素。針對信息安全可測要求，提出功能元素的量化方法和指標(biāo)基準(zhǔn)，最終形成標(biāo)準(zhǔn)，提供給評估者，解決云服務(wù)信息安全評估中評估不了和評估不準(zhǔn)的問題。

在這個(gè)框架中，關(guān)鍵點(diǎn)在于信息安全度量模型能否全面形式化云服務(wù)的信息安全功能要求。模型形式化中的遺漏內(nèi)容，包括認(rèn)證等重要功能類，會(huì)導(dǎo)致信息安全上的缺陷。形式化中的錯(cuò)誤依賴關(guān)系，包括信任傳遞等重要功能內(nèi)容，會(huì)導(dǎo)致信息安全上存在后門。所以，云服務(wù)信息安全功能形式化是度量模型中的核心。

圖1 云服務(wù)信息安全度量和評估框架

由于云服務(wù)涉及計(jì)算資源、存儲(chǔ)資源、進(jìn)程等實(shí)體的信息安全，在云服務(wù)信息安全功能形式化中，對每個(gè)實(shí)體建立獨(dú)立的度量子模型，在實(shí)體之間建立信任和安全功能的傳遞，可以評估整個(gè)分布式系統(tǒng)的信息安全。

云服務(wù)信息安全功能形式化后，產(chǎn)生信息安全的度量指標(biāo)，包括加密、鑒別等，作為整個(gè)模型的輸出。測評者能夠?qū)@些度量指標(biāo)進(jìn)行基準(zhǔn)測試和量化，實(shí)現(xiàn)信息安全的可測量、可重復(fù)、可比較等。下面介紹幾種云服務(wù)信息安全形式化和具體的度量模型。

3.2 可信云服務(wù)信息安全形式化

可信是云服務(wù)中重要的信息安全功能類［6］，這里主要討論可信度量模型，其主要包括的內(nèi)容如下。

1） 身份驗(yàn)證與訪問控制

身份認(rèn)證是所有信息服務(wù)類產(chǎn)品均要面對的問題。身份認(rèn)證不僅是對云租戶的認(rèn)證，也是對云服務(wù)商的認(rèn)證，是一種雙向認(rèn)證機(jī)制。此外，租戶無法判斷云服務(wù)供應(yīng)商是否完全忠誠地執(zhí)行了其設(shè)定的操作，因此應(yīng)該對數(shù)據(jù)進(jìn)行訪問控制。

2） 物理完整性

物理完整性是指支撐云服務(wù)硬件的物理安全及環(huán)境安全。云服務(wù)供應(yīng)商應(yīng)該保證硬件被置于相對安全穩(wěn)定的環(huán)境，具有應(yīng)對自然災(zāi)害的能力。通常出于節(jié)約成本與安全的考慮，云服務(wù)硬件被安置在較偏遠(yuǎn)地區(qū)。另外，最終交付云租戶的服務(wù)不應(yīng)含有未授權(quán)的后門。

3） 數(shù)據(jù)完整性

云服務(wù)供應(yīng)商應(yīng)對租戶數(shù)據(jù)進(jìn)行完整性保護(hù)的首選措施是加密存儲(chǔ)，但這也帶來一系列問題。比如，加密存儲(chǔ)后如何對數(shù)據(jù)進(jìn)行快速檢索。為節(jié)省存儲(chǔ)空間，云服務(wù)供應(yīng)商會(huì)自動(dòng)刪除重復(fù)數(shù)據(jù)，加密后如何對數(shù)據(jù)去冗余化操作？當(dāng)某租戶合約期滿后，云服務(wù)供應(yīng)商會(huì)刪除其存儲(chǔ)在云上的數(shù)據(jù)，但這種數(shù)據(jù)刪除措施不一定是不可恢復(fù)的。當(dāng)下一位租戶訪問這塊存儲(chǔ)區(qū)域時(shí)，有可能會(huì)恢復(fù)該存儲(chǔ)區(qū)的數(shù)據(jù)，云服務(wù)商應(yīng)該采取適當(dāng)措施避免這種情形的發(fā)生。數(shù)據(jù)完整性保護(hù)還應(yīng)該解決的一個(gè)問題是數(shù)據(jù)存在性證明。存儲(chǔ)在云端的數(shù)據(jù)是海量的，用戶如何在有限帶寬下通過接收少量數(shù)據(jù)便可確認(rèn)其數(shù)據(jù)仍然是有效的？這也是需要解決的問題。

4） 容錯(cuò)性與容侵性

虛擬化技術(shù)是云服務(wù)的核心。云端存在很多租戶，云服務(wù)供應(yīng)商應(yīng)該保證各租戶之間是完全隔離的，避免不良租戶利用云服務(wù)漏洞對其他租戶實(shí)施攻擊。分布式拒絕服務(wù)（DDoS，distributed denial of service）是一種司空見慣的網(wǎng)絡(luò)攻擊模式，云服務(wù)如何抵御這些網(wǎng)絡(luò)攻擊？

3.3 基于可信根的鏈?zhǔn)蕉攘磕Ｐ?/p>

可信根是構(gòu)建可信系統(tǒng)的基礎(chǔ)模塊，可信計(jì)算組織（TCG， trusted computing group）將其劃分為可信度量根（RTM）、可信存儲(chǔ)根（RTS）、可信報(bào)告根（RTR）這3種基本類型，它們負(fù)責(zé)完成TCG的度量、存儲(chǔ)、報(bào)告機(jī)制。一般默認(rèn)這3個(gè)可信根都是絕對可信的。TCG給出的基于可信根的信任鏈參考模型如圖2所示。

圖2 基于可信根的信任鏈參考模型

文獻(xiàn)［7］給出了基于可信根的信任鏈傳遞和控制權(quán)轉(zhuǎn)移過程，如圖3所示。其中，可信平臺(tái)構(gòu)造模塊（TBB，trusted building blocks）是信任源，由軟件可信度量根核（CRTM，core root of trust for measurement）和硬件模塊TPM（trusted platform module）構(gòu)成。第1、3、5步進(jìn)行完整性度量，第2、4、6步轉(zhuǎn)交執(zhí)行權(quán)限。系統(tǒng)通電啟動(dòng)后，信任邊界最初僅限于信任度量根核CRTM，完整性度量從此處開始。沿著信任鏈目標(biāo)模塊被驗(yàn)證通過后，執(zhí)行權(quán)限被轉(zhuǎn)移到該模塊，同時(shí)信任邊界也被拓展到該模塊。在整個(gè)度量過程中，信任邊界逐級拓展到整個(gè)系統(tǒng)而不僅僅局限于信任度量根。

圖3 基于可信根的信任鏈傳遞和控制權(quán)轉(zhuǎn)移過程

TCG采用了一種迭代計(jì)算散列值的方式完整可信度量，并稱其為“擴(kuò)展”操作。即將平臺(tái)配置寄存器（PCR，platform configuration registers）中的可信度量值與新的可信度量值連接之后，再次計(jì)算散列值并將其作為新的完整性度量值存儲(chǔ)到寄存器中。這種迭代計(jì)算的“擴(kuò)展”操作，使PCR中所存儲(chǔ)的可信度量值不僅能夠反映當(dāng)前度量的軟件完整性，也能夠反映計(jì)算機(jī)系統(tǒng)的啟動(dòng)序列。當(dāng)應(yīng)用程序的完整性或計(jì)算機(jī)系統(tǒng)啟動(dòng)序列發(fā)生任何改變時(shí)，都將引起存儲(chǔ)到寄存器中的可信度量值產(chǎn)生相應(yīng)的變化。

綜上，TCG提出的基于可信根的鏈?zhǔn)蕉攘磕Ｐ蛯⒂布c軟件相結(jié)合，能夠有效地實(shí)現(xiàn)可信度量，且易實(shí)現(xiàn)。但由于需要硬件，一定程度上增加了度量成本。

3.4 可信靜態(tài)度量

2004年，IBM在文獻(xiàn)［8］中提出IMA（integrity measurement architecture）架構(gòu)，其度量的關(guān)注點(diǎn)是基于TCG的完整性度量思路，側(cè)重對各種軟件代碼和文件的完整性度量，度量時(shí)刻是在加載到內(nèi)存時(shí)進(jìn)行的，并通過TPM 來進(jìn)行保護(hù)。IMA度量機(jī)制主要由以下3個(gè)組件組成（如圖4所示）。

1） 度量組件

該組件決定運(yùn)行環(huán)境中的3W問題，即什么部件需要被度量、什么時(shí)候度量、如何安全存儲(chǔ)度量報(bào)告。度量方法采用SHA1計(jì)算散列值。

2） 完整性挑戰(zhàn)組件

圖4 IMA遠(yuǎn)程證明

該組件允許被授權(quán)的挑戰(zhàn)者（云租戶）發(fā)起完整性度量請求，準(zhǔn)確無誤地接收云計(jì)算平臺(tái)的度量報(bào)告，并證明其完整性。

3） 完整性驗(yàn)證組件

該組件不僅能夠證明反饋給挑戰(zhàn)者的度量報(bào)告是完整的、無篡改的、實(shí)時(shí)的，而且證明測量報(bào)告中記錄的云平臺(tái)運(yùn)行環(huán)境下的受信代碼和配置文件均是有效的。

圖4表明了該機(jī)制支持遠(yuǎn)程證明（remote attestation）的原理。度量代理初始化整個(gè)度量過程，并由它生成完整性度量報(bào)告，步驟a將完整性度量報(bào)告存入內(nèi)核的度量隊(duì)列里，步驟b將度量報(bào)告給TPM。完整性挑戰(zhàn)機(jī)制允許遠(yuǎn)程挑戰(zhàn)者發(fā)起完整性度量請求（步驟1）。證明系統(tǒng)接收到完整性證明請求后，向TPM可信平臺(tái)查詢保存在RSA簽名算法中私鑰簽名的PCR值，可信平臺(tái)將查詢結(jié)果反饋給證明系統(tǒng)（步驟2和步驟3）。隨后，內(nèi)核也將度量報(bào)告返回給證明系統(tǒng)（步驟4）。證明系統(tǒng)將度量報(bào)告及私鑰簽名一并發(fā)送給挑戰(zhàn)方（步驟5）。挑戰(zhàn)方利用度量報(bào)告重新計(jì)算PCR值，然后與獲得的PCR值比較，以此來證明平臺(tái)的完整性是否遭到破壞（步驟6）。

IMA是靜態(tài)加載時(shí)的度量，但不能準(zhǔn)確反映運(yùn)行時(shí)的動(dòng)態(tài)可變行為，易發(fā)生TOCTTOU（time of check to time of use）一致性問題，而且IMA度量是在程序加載到內(nèi)存時(shí)進(jìn)行的，導(dǎo)致系統(tǒng)運(yùn)行效率較低。對此，文獻(xiàn)［9］提出可信動(dòng)態(tài)度量模型，即PRIMA（policy-reduced integrity measurement architecture）信息流度量。PRIMA度量進(jìn)程間的信息流，從本質(zhì)上來說，PRIMA僅是IMA度量的改進(jìn)，仍然是靜態(tài)度量模型，并未解決TOXTTOU問題。

圖5 LKIM簡化框架

3.5 動(dòng)態(tài)完整性度量

靜態(tài)完整性度量一個(gè)顯而易見的缺點(diǎn)是軟件加載后便無法控制系統(tǒng)的完整性，這是因?yàn)樗窃谲浖虞d前進(jìn)行完整性度量。與之相對應(yīng)的是動(dòng)態(tài)完整性度量，它是指在任意時(shí)刻都可以在對正在運(yùn)行中的模塊進(jìn)行度量，在軟件運(yùn)行的整個(gè)生命周期內(nèi)都可以控制系統(tǒng)的完整性。

文獻(xiàn)［10］提出針對Linux 內(nèi)核的完整性監(jiān)視器（LKIM， Linux kernel integrity measurement）。該度量模型由度量對象、度量代理MA和決策體構(gòu)成。LKIM利用基于上下文檢測技術(shù)度量內(nèi)核組件，不僅可以詳細(xì)記錄內(nèi)核里與安全相關(guān)組件的狀態(tài)，而且可以擴(kuò)展到內(nèi)核外組件的度量。此外，LKMI不僅是在系統(tǒng)啟動(dòng)的時(shí)候度量，而且可以響應(yīng)來自IMS的度量請求和系統(tǒng)事件。度量數(shù)據(jù)以一種友好的方式存儲(chǔ)，以便IMS隨時(shí)查詢原始數(shù)據(jù)。在系統(tǒng)安全政策的保護(hù)下，IMS不僅自身可以使用度量數(shù)據(jù)，而且可以根據(jù)指定度量腳本的要求將度量數(shù)據(jù)在任意節(jié)點(diǎn)間轉(zhuǎn)移。

LKIM簡化后的框架如圖5所示。LKMI根據(jù)度量變量集合將度量程序分解為一系列獨(dú)立的度量單元，并獨(dú)立監(jiān)測它們。LKMI的一個(gè)缺陷是不好把握監(jiān)控粒度。如果度量單元?jiǎng)澐值奶?xì)致，將影響系統(tǒng)的性能，監(jiān)控起來也會(huì)很繁雜。反之，可能會(huì)無法捕捉到某些執(zhí)行結(jié)果。雖然LKMI度量模型是在Linux內(nèi)核下實(shí)現(xiàn)的，但其度量技術(shù)具有普適性，完全可以應(yīng)用于需要被度量的其他類型的操作系統(tǒng)或復(fù)雜軟件系統(tǒng)。

3.6 TOCTTOU問題

為了解決TOCTTOU問題，文獻(xiàn)［11］提出HIMA（hypervisor-based integrity measurement agent）。HIMA是基于Hypervisor的完整性度量代理，對用戶虛擬機(jī)進(jìn)行類似黑盒測試的綜合性度量，度量對象包括虛擬機(jī)內(nèi)核和用戶程序。即使是在用戶虛擬機(jī)內(nèi)核被盜用的情況下，HIMA不僅能保證用戶程序靜態(tài)完整性度量時(shí)的TOCTTOU一致性，也能保證度量程序的完整性。HIMA主要使用以下2種技術(shù)來解決度量時(shí)可能發(fā)生的TOCTTOU一致性問題。

1） 主動(dòng)監(jiān)控危險(xiǎn)的用戶事件

當(dāng)用戶創(chuàng)建新的線程或其他操作導(dǎo)致內(nèi)存配置改變時(shí)，通過對加載到內(nèi)存的代碼和數(shù)據(jù)段進(jìn)行散列計(jì)算來度量完整性。

2） 用戶內(nèi)存保護(hù)

確保對用戶任何程序的完整性度量不會(huì)被度量代理忽略。通過訪問權(quán)限限制來保護(hù)用戶內(nèi)存，并使用測試虛擬域內(nèi)存地址的散列方法來度量頁映射中發(fā)生的安全問題。

圖6 HIMA架構(gòu)（灰色區(qū)域?yàn)槌跏蓟湃谓M件）

HIMA構(gòu)架如圖6所示，HIMA將鉤子程序植入Hypervisor代碼，這樣便可以攔截用戶的以下操作：一些敏感服務(wù)器請求（如超級調(diào)用、VMExit指令）、系統(tǒng)調(diào)用、硬件中斷。為了方便遠(yuǎn)程證明，將生成的度量報(bào)告列表存儲(chǔ)在管理員虛擬機(jī)中。HIMA度量代理和TOE之間是完全隔離的，對于用戶虛擬機(jī)來說完全透明，可以被移植于任何虛擬機(jī)監(jiān)控平臺(tái)。雖然可以通過虛擬化技術(shù)實(shí)現(xiàn)隔離，但度量技術(shù)絕不能依托于任何一個(gè)可以通過入侵易受攻擊的客戶就能將其破壞的組件或鉤子程序。

文獻(xiàn)［11］僅僅關(guān)注用戶虛擬機(jī)靜態(tài)部分的度量，沒有考慮對動(dòng)態(tài)生成的代碼（如Java JIT編譯器在堆上生成的可執(zhí)行代碼）的度量。然而，對動(dòng)態(tài)數(shù)據(jù)完整性度量也是系統(tǒng)完整性度量的重要指標(biāo)。此外，HIMA僅僅是一個(gè)度量代理，需要依托于一個(gè)度量框架。

3.7 基于上下文語境的度量

在Hypervisor完整性度量方面，文獻(xiàn)［12］提出HyperSentry度量模型，這是一個(gè)隱密的基于上下文語境的完整性度量模型，通過設(shè)計(jì)安全硬件增強(qiáng)Hypervisor完整性。

事實(shí)上，HyperSentry并不關(guān)注于完整性度量本身，而是為完整性度量代理提供技術(shù)支持，使其能夠驗(yàn)證擁有最高權(quán)限軟件的完整性。HyperSentry并不是通過引入更高級權(quán)限的框架去度量擁有較高權(quán)限的軟件，而是通過強(qiáng)化已經(jīng)存在的硬件和提供固件支持的方式，引入一個(gè)與Hypervisor適當(dāng)隔離的軟件組件?；蛘哒f，HyperSentry依賴于可信計(jì)算基TCB和一些其他固件。HyperSentry度量模型由不受系統(tǒng)CPU控制的帶外信道觸發(fā)，即使系統(tǒng)屏蔽或重新規(guī)劃信道，HyperSentry仍能保持其隱密性。

HyperSentry架構(gòu)如圖7所示。HyperSentry由SMI（系統(tǒng)管理終端處理器）和內(nèi)置于虛擬機(jī)監(jiān)視器的度量代理組成。帶外信道（本文指IPMI）將BMC（基板管理控制器）與遠(yuǎn)程證明方建立通信，而度量代理通過SMI間接與BMC建立通信。HyperSentry通過帶外信道觸發(fā)隱密的完整性度量，使度量代理具有：1） 與虛擬機(jī)監(jiān)視器相同的背景環(huán)境；2） 完全受保護(hù)的執(zhí)行模式；3） 對其輸出的證明。實(shí)踐證明，HyperSentry是一種適用于真實(shí)系統(tǒng)的低開銷解決方案，但需要較大程度的硬件支持。

3.8 國內(nèi)相關(guān)模型

國內(nèi)對云服務(wù)可信度量的研究緊隨國際潮流，如火如荼，成果斐然。劉孜文等和馮登國等在文獻(xiàn)［13］與文獻(xiàn)［14］中提出基于可信計(jì)算的操作系統(tǒng)動(dòng)態(tài)度量架構(gòu)（DIMA），實(shí)現(xiàn)了對系統(tǒng)中活動(dòng)的進(jìn)程與模塊的細(xì)粒度度量，因此能有效解決TOCTTOU問題。林闖等在文獻(xiàn)［15］中總結(jié)了針對不同云安全指標(biāo)的形式化描述方法和不同類型的安全模型，并提出基于多隊(duì)列多服務(wù)器的云安全模型與評價(jià)思路。周振吉等在文獻(xiàn)［16］中提出一種虛擬機(jī)樹形可信度量模型，該模型利用系統(tǒng)調(diào)用截獲和虛擬機(jī)內(nèi)省技術(shù)構(gòu)建度量原型，有效降低了虛擬機(jī)可信度量的復(fù)雜度。

圖7 HyperSentry架構(gòu)（灰色區(qū)域?yàn)槭苄湃蔚慕M件）

4 結(jié)束語

本文度量模型基本解決度量中的一些難題，但一定程度上都有自己的缺陷。靜態(tài)度量實(shí)時(shí)性和隱私保護(hù)性較差，而實(shí)時(shí)度量以犧牲系統(tǒng)運(yùn)行性能為代價(jià)，基于內(nèi)存代碼監(jiān)控的動(dòng)態(tài)度量還存在控制監(jiān)控粒度的問題?；谡Z義的度量需要較強(qiáng)硬件的支持。度量模型也面臨自身安全的問題，只要可信度量根不被攻破，度量模型自身就是安全的。未來的研究方向是研究出兼顧可拓展性、實(shí)時(shí)性、隱私保護(hù)好、易移植且開銷更小的度量模型。

［1］ 陳康， 鄭緯民. 云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀［J］. 軟件學(xué)報(bào)， 2009，20（5）：1337-1348. CHEN K， ZHENG WM . Cloud computing：system instances and current research［J］. Journal of Software， 2009， 20（5）：1337-1348.

［2］ Common criteria for information technology security evaluation part 2： security functional requirement，version 2.2［S］.2004.

［3］ Common criteria for information technology security evaluation part 3： security assurance requirements； version 2.2［S］.2004.

［4］ NIELSEN F. Approaches to security metrics［C］//CSSPAB Workshop on Approaches to Measuring Security. c2000.

［5］ Cloud Security Alliance（CSA）. Security guidance for critical areas of focus in cloud computing V3.0［EB/OL］. https：//cloudsecurityalliance. org/guidance/csaguide.v3.0.pdf.

［6］ AVI?IENIS A， LAPRIE J C， RANDELL B， et al. Basic concepts and taxonomy of dependable and secure computing［J］. IEEE Transactions on Dependable & Secure Computing， 2004， 1（1）：11-33.

［7］ TCG Group. TCG specification architecture overview［J］. TCG Specification Revision， 2007， 1： 1-24.

［8］ SAILER R， ZHANG X， JAEGER T， et al. Design and implementa-tion of a TCG-based integrity measurement architecture［C］//Usenix Security Symposium. c2004：16-16.

［9］ JAEGER T， SAILER R， SHANKAR U. PRIMA： policy-reduced integrity measurement architecture［C］//The 11th ACM Symposium on Access Control Models and Technologies. c2006：19-28.

［10］ LOSCOCCO P A， WILSON P W， PENDERGRASS J A， et al. Linux kernel integrity measurement using contextual inspection［C］// ACM Workshop on Scalable Trusted Computing. c2007：21-29.

［11］ AZAB A M， NING P， SEZER E C， et al. HIMA： a hypervisor-based integrity measurement agent［C］// IEEE Computer Security Applications Conference. c2009：461-470.

［12］ AZAB A M， NING P， WANG Z， et al. HyperSentry： enabling stealthy in-context measurement of hypervisor integrity［C］//ACM Conference on Computer and Communications Security（CCS）. c2010：38-49.

［13］ 劉孜文， 馮登國. 基于可信計(jì)算的動(dòng)態(tài)完整性度量架構(gòu)［J］. 電子與信息學(xué)報(bào)， 2010， 32（4）：875-879. LIU Z W， FENG D G. TPM-based dynamic integrity measurement architecture［J］. Journal of Electronics and Information Technology，2010， 32（4）：875-879.

［14］ 馮登國， 秦宇， 汪丹，等. 可信計(jì)算技術(shù)研究［J］. 計(jì)算機(jī)研究與發(fā)展， 2011， 48（8）：1332-1349. FENG D G， QIN Y， WANG D， et al. Research on trusted computing technology［J］. Journal of Computer Research and Development，2011， 48（8）：1332-1349.

［15］ 林闖， 蘇文博， 孟坤，等. 云計(jì)算安全：架構(gòu)、機(jī)制與模型評價(jià)［J］.計(jì)算機(jī)學(xué)報(bào)， 2013， 36（9）：1765-1784. LIN C， SU W B， MENG K， et al. Cloud computing security： architecture， mechanism and modeling［J］. Chinese Journal of Computers，2013， 36（9）：1765-1784.

［16］ 周振吉， 吳禮發(fā)， 洪征，等. 云計(jì)算環(huán)境下的虛擬機(jī)可信度量模型［J］. 東南大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2014（1）：45-50. ZHOU Z J， WU L F， HONG Z， et al. Trustworthiness measurement model of virtual machine for cloud computing［J］. Journal of Southeast University（Natural Science Edition）， 2014（1）：45-50.

陸月明（1969-），男，江蘇蘇州人，北京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榉植际接?jì)算、信息安全。

張志輝（1991-），男，安徽桐城人，北京郵電大學(xué)碩士生，主要研究方向?yàn)榉植际接?jì)算與信息安全。

Research on metrics models for cloud services information security evaluation

LU Yue-ming， ZHANG Zhi-hui
（School of Information and Communication Engineering， Beijing University of Posts and Telecommunications， Beijing 100876， China）

Due to the lack of metric standards and the metric imprecise problems of cloud service information security， the research status of the relevant standards at home and abroad were introduced. As for the demand for information security measurement requirements of the trusted cloud， the advantages and disadvantages of metric models based on the trusted root were analyzed. At last， the future research direction which was to study a scalable combined， real-time， privacy protected， easy to transplant and less cost metrics model was pointed out.

trusted cloud services， information security assessment， metrics model， evaluation criteria

TP393

A

10.11959/j.issn.2096-109x.2016.00075

2016-05-23；

2016-06-28。通信作者：張志輝，solosseason@hotmail.com