劉川意，潘鶴中，2，梁露露，王國峰，2，方濱興，2，4

（1. 哈爾濱工業(yè)大學(xué)（深圳）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，廣東 深圳 518055；2. 北京郵電大學(xué)計(jì)算機(jī)學(xué)院，北京 100876；3. 中國信息安全測評中心，北京 100085；4. 東莞電子科技大學(xué)電子信息工程研究院，廣東 東莞 523000）

基于小云審大云的云平臺可信評測體系結(jié)構(gòu)與技術(shù)研究

劉川意1，潘鶴中1，2，梁露露3，王國峰1，2，方濱興1，2，4

（1. 哈爾濱工業(yè)大學(xué)（深圳）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，廣東 深圳 518055；2. 北京郵電大學(xué)計(jì)算機(jī)學(xué)院，北京 100876；3. 中國信息安全測評中心，北京 100085；4. 東莞電子科技大學(xué)電子信息工程研究院，廣東 東莞 523000）

提出一種“小云審大云”的云平臺可信評測架構(gòu)，通過引入獨(dú)立第三方對云平臺的可信性進(jìn)行動態(tài)、實(shí)時(shí)的遠(yuǎn)程可信數(shù)據(jù)收集、驗(yàn)證、審計(jì)和評價(jià)。采用數(shù)據(jù)流可視化、監(jiān)控與脫敏技術(shù)保障租戶數(shù)據(jù)權(quán)益，為租戶提供選擇可信云平臺的依據(jù)，為云平臺提供證明自身可信的憑據(jù)。并突破以下關(guān)鍵技術(shù)：1）基于獨(dú)立第三方的數(shù)據(jù)采集、行為接入、API代理；2）持續(xù)、實(shí)時(shí)的遠(yuǎn)程數(shù)據(jù)收集和數(shù)據(jù)分析；3）非強(qiáng)侵入式證據(jù)收集。

云計(jì)算；可信評測；權(quán)限管控；數(shù)據(jù)脫敏

本文實(shí)現(xiàn)了一個真實(shí)攻擊場景（適用于各主流虛擬化平臺，如OpenStack［3］、QEMU+KVM［4，5］、Xen［6］、vSphere［7］、Hyper-V［8］等）；租戶在云上的Linux虛擬機(jī)，其Root密碼是用戶自己設(shè)定的，以防止別人入侵。但云管理員可直接對Linux虛擬機(jī)磁盤文件進(jìn)行修改，從而繞過虛擬機(jī)登錄驗(yàn)證，掌握虛擬機(jī)的Root權(quán)限，如圖1所示，其主要步驟如下。

1） 云管理員登錄云平臺后，可查看虛擬機(jī)的詳細(xì)信息，其中包括作為虛擬機(jī)唯一標(biāo)識的云主機(jī)ID。

2） 云管理員登錄運(yùn)行該虛擬機(jī)的物理機(jī)，進(jìn)入虛擬機(jī)實(shí)例的存儲位置，在記錄下虛擬機(jī)ID號后，云管理員便可找到其對應(yīng)的云主機(jī)實(shí)例，并將其復(fù)制掛載到另一個服務(wù)器上。

3） 掛載成功后，云管理員可以找到掛載文件的用戶密碼（shadow）配置文件，進(jìn)一步找到用戶設(shè)置的虛擬機(jī)口令。編輯此文件，刪除對應(yīng)的登錄用戶名和密碼，繞過用戶云主機(jī)的登錄驗(yàn)證環(huán)節(jié)。

4） 刪除成功后，當(dāng)云管理員使用該掛載文件重新啟動這臺虛擬機(jī)時(shí)，便不再需要口令就可以直接進(jìn)入該虛擬機(jī)。進(jìn)入后，云管理員便可以查看、修改甚至惡意刪除虛擬機(jī)的任何數(shù)據(jù)。

云平臺或云管理員是否存在對租戶數(shù)據(jù)或權(quán)益的侵害行為，稱為云平臺的可信問題。

通過對主流云平臺體系結(jié)構(gòu)、權(quán)限管理、日志和審計(jì)等進(jìn)行系統(tǒng)梳理和分析，總結(jié)出影響云平臺可信性的安全風(fēng)險(xiǎn)主要有3個方面（如圖2所示）。

1） 云平臺體系結(jié)構(gòu)棧中存在安全風(fēng)險(xiǎn)

通常情況下，租戶訪問自己的虛擬機(jī) VM（virtual machine）的流程如下。首先通過網(wǎng)絡(luò)進(jìn)入云平臺網(wǎng)關(guān)節(jié)點(diǎn)，通過云平臺管理系統(tǒng)定位到虛擬機(jī)VM所在的物理服務(wù)器，然后經(jīng)由虛擬機(jī)管理器（VMM，virtual machine monitor）和虛擬交換機(jī)（virtual switch）將請求和數(shù)據(jù)發(fā)送給VM或截獲來自VM的事件和數(shù)據(jù)，最終VM中的操作系統(tǒng)和業(yè)務(wù)應(yīng)用程序?qū)ψ鈶舻臄?shù)據(jù)進(jìn)行處理。在上述整個流程中，若任意一個組件存在安全風(fēng)險(xiǎn)，用戶的隱私則存在被侵犯的可能，即存在不可信的因素。云平臺體系結(jié)構(gòu)棧中的安全風(fēng)險(xiǎn)，除了主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全這3種傳統(tǒng)的安全點(diǎn)以外，存在云平臺特有的安全風(fēng)險(xiǎn)。例如，由于虛擬化平臺自身存在安全漏洞導(dǎo)致攻擊者對客戶主機(jī)的非法侵入（圖2標(biāo)號1），由于虛擬化平臺中多租戶共享隔離機(jī)制缺陷導(dǎo)致某租戶以自身虛擬機(jī)為跳板對其他虛擬主機(jī)的非法侵入（圖2標(biāo)號2）等。

2） 云平臺管理權(quán)限劃分存在安全風(fēng)險(xiǎn)

云系統(tǒng)中租戶對虛擬機(jī)和數(shù)據(jù)的控制權(quán)缺失，并且對云平臺提供商的信任有限。云管理員有可能偷窺、泄露，甚至篡改用戶信息。數(shù)據(jù)中心基礎(chǔ)設(shè)施、云平臺管理系統(tǒng)、VMM等都會給云管理員以相應(yīng)的管理接口對云平臺的物理服務(wù)器和虛擬化組件進(jìn)行管理，通過這些管理接口，云管理員往往可以偷窺、泄露，甚至篡改用戶信息（圖2標(biāo)號3）。如云管理員可蓄意非法訪問未經(jīng)授權(quán)的數(shù)據(jù)信息，侵犯用戶隱私；云管理員可通過上傳被植入木馬或后門的虛擬機(jī)鏡像，誘導(dǎo)租戶使用。

圖1 一個真實(shí)的攻擊場景

圖2 導(dǎo)致云平臺不可信的主要風(fēng)險(xiǎn)

3） 云平臺收集的證據(jù)存在不可信的安全風(fēng)險(xiǎn)

在云平臺運(yùn)營的整個生命周期，很有可能發(fā)生諸如硬件或軟件錯誤、云平臺配置錯誤、云管理員操作不當(dāng)引起的人為錯誤等，這將給租戶和運(yùn)營商帶來昂貴的代價(jià)。然而，當(dāng)面臨審計(jì)、取證、問責(zé)時(shí)，云提供商為了逃避責(zé)任，可能故意刪除、修改日志（圖2標(biāo)號4），審計(jì)的日志并不是原始記錄信息，從而導(dǎo)致可信證據(jù)缺失。出現(xiàn)故障或發(fā)生安全事件時(shí)，若沒有足夠的可信證據(jù)，則無法據(jù)此進(jìn)行審計(jì)和問責(zé)。由此可見，云平臺無法自身證明其收集證據(jù)的可信性，租戶也很難取得證據(jù)證明云服務(wù)提供商證據(jù)的可信。

因此，對租戶而言，如何評測云平臺的可信性是一個極為重要和亟待解決的問題。

然而，傳統(tǒng)評測方法局限于“單次測評、單次有效”。無論是等保標(biāo)準(zhǔn)還是《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》均是符合性測評，查看云服務(wù)商是否滿足特定能力要求。測評結(jié)果對云平臺的當(dāng)前狀態(tài)負(fù)責(zé)，對云平臺后續(xù)的、持續(xù)的行為幾乎沒有約束。從本質(zhì)上來看，傳統(tǒng)測評大都假設(shè)云服務(wù)提供商可信，評測前提是假設(shè)云服務(wù)提供商收集證據(jù)可信。

針對上述問題和挑戰(zhàn)，本文提出一種“小云審大云”的云平臺可信評測架構(gòu)，解決思路是：在傳統(tǒng)安全評測手段基礎(chǔ)上，引入獨(dú)立第三方TTP（trusted third party），并由TTP對云平臺的可信性進(jìn)行動態(tài)、實(shí)時(shí)地遠(yuǎn)程可信數(shù)據(jù)收集、驗(yàn)證、審計(jì)和評價(jià)。可信評測可根據(jù)租戶的需求，由第三方發(fā)起，為租戶提供選擇可信云平臺的依據(jù)，為云平臺提供證明自身可信的憑據(jù)。因此，本文提出面向第三方的云平臺可信評測體系結(jié)構(gòu)與關(guān)鍵技術(shù)，主要針對云平臺下特有的可信問題，研究從第三方角度如何驗(yàn)證、審計(jì)和評測云平臺的可信性。本文主要突破了以下關(guān)鍵技術(shù)。

1） 引入獨(dú)立第三方作為云平臺與用戶、管理員的中間層，獨(dú)立采集和審計(jì)云平臺可信證據(jù)。

2） 通過持續(xù)的、實(shí)時(shí)的遠(yuǎn)程數(shù)據(jù)收集和數(shù)據(jù)分析，評測云平臺的可信性。

3） 非強(qiáng)侵入式證據(jù)收集，在不影響云平臺自身性能、不影響云服務(wù)原有功能、無需修改云平臺的前提下收集可信證據(jù)，記錄特權(quán)行為。

2 相關(guān)工作

本文從日志收集與分析、云平臺權(quán)限劃分與驗(yàn)證、數(shù)據(jù)監(jiān)控等方面綜述相關(guān)工作。

2.1 SIEM/SOC

日志收集與分析比較成熟的 SIEM（security incident and event management）/SOC（securityoperations center）系統(tǒng)模型，主要用來關(guān)聯(lián)并分析來自不同信息源的安全事件。

在學(xué)術(shù)研究上，Bhatt［9］等指出，SOC是一個安全運(yùn)營中心，用來監(jiān)控企業(yè)IT資產(chǎn)（包括IT網(wǎng)絡(luò)、外圍防護(hù)系統(tǒng)，如防火墻和入侵檢測系統(tǒng)、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫和用戶賬戶等）安全相關(guān)的事件。SOC主要包括 SIEM工具和 SA（security analyst）分析員。SIEM主要通過傳感設(shè)備和事件日志從不同來源收集事件，把不同事件記錄模式處理成標(biāo)準(zhǔn)化表示，存儲結(jié)果并利用規(guī)則庫分析安全相關(guān)的事件。通過分析事件信息發(fā)現(xiàn)網(wǎng)絡(luò)和企業(yè)周邊可能出現(xiàn)的惡意行為時(shí)觸發(fā)警報(bào)，由SA分析判斷警報(bào)屬于惡意事件還是正常行為。Bhatt等［9］總結(jié)出SOC/SIEM主要存在如下主要缺點(diǎn)及參考思路。1）SOC/SIEM成本較高，主要用來處理大量不同來源的事件，不適用于小規(guī)模網(wǎng)絡(luò)。2）由于數(shù)據(jù)量大，包含大量無用數(shù)據(jù)或噪音數(shù)據(jù)，需要解決存儲、查找、分析、可視化等問題。3）由于事件種類繁多，規(guī)則不好確定，若規(guī)則太具體，容易產(chǎn)生漏報(bào)；若規(guī)則太抽象，則容易產(chǎn)生大量誤報(bào)。另外規(guī)則庫需要及時(shí)學(xué)習(xí)和更新。4）與企業(yè)網(wǎng)絡(luò)運(yùn)營是隔離的，一些正常的操作，如配置、測試也有可能產(chǎn)生報(bào)警，帶來不必要的開銷。且如果事件源被入侵，SIEM則有可能收集到被惡意篡改的事件。Yen等［10］依據(jù)SIEM 技術(shù)提出一種基于日志分析的網(wǎng)絡(luò)異常行為框架 Beehive，主要通過大范圍收集和分析HTTP代理服務(wù)器日志，從日志中提取特征，然后使用聚類發(fā)現(xiàn)和確定主機(jī)異常行為，但需要大量的人工分析和評定工作。針對SIEM系統(tǒng)處理并關(guān)聯(lián)大量低質(zhì)量的事件產(chǎn)生的誤報(bào)問題，有人提出利用警報(bào)排序算法識別SA需要注意的高質(zhì)量的警報(bào)，如利用概率理論或證據(jù)理論［11，12］實(shí)現(xiàn)警報(bào)排序方案。

目前，業(yè)界已有相關(guān)的SIEM產(chǎn)品。根據(jù)2016年Gartner發(fā)布的SIEM市場分析報(bào)告［13］，攻擊檢測與響應(yīng)及合規(guī)管理是 SIEM 市場發(fā)展的驅(qū)動力。IBM QRadar［14］、Splunk［15］和LogRhythem［16］是SIEM供應(yīng)的重要廠商，其中，Splunk能提供SaaS服務(wù)模式，可以部署在公有或私有云中，但其使用成本較高，對使用者的要求較高。一些開源項(xiàng)目，如ELK［17］、OpenSOC［18］有進(jìn)一步發(fā)展空間，但對現(xiàn)有市場的影響較小。

2.2 云平臺權(quán)限劃分和驗(yàn)證

云平臺體系結(jié)構(gòu)棧中存在安全風(fēng)險(xiǎn)，云平臺中的惡意管理員或入侵攻擊者都可能對用戶隱私造成威脅。對此，相關(guān)研究針對云平臺資源或數(shù)據(jù)作權(quán)限劃分，或在特權(quán)層制定數(shù)據(jù)訪問驗(yàn)證策略，以提高云平臺的可信性，使特權(quán)管理員無法輕易竊取用戶隱私。

自服務(wù)云計(jì)算體系架構(gòu)（SSC）［19］修改了虛擬機(jī)管理的權(quán)限模型，將原有管理域劃分為無法管理用戶虛擬機(jī)的系統(tǒng)管理域和管理用戶虛擬機(jī)的用戶管理域，以防止惡意的云管理員竊取用戶虛擬機(jī)數(shù)據(jù)，并且為用戶使用虛擬機(jī)提供服務(wù)接口。這種方法依賴云平臺物理芯片，且需要修改VMM和用戶VM鏡像，通用性受到限制。

CloudVisor［20］在云平臺最高特權(quán)層，將虛擬機(jī)管理器置于非特權(quán)層，使用硬件輔助技術(shù)實(shí)施VMM與虛擬機(jī)之間的內(nèi)存隔離。CloudVisor仲裁VMM和虛擬機(jī)之間的數(shù)據(jù)交互，使VMM訪問不到虛擬機(jī)的隱私數(shù)據(jù)。傳統(tǒng)的虛擬化功能，如資源管理、VM 創(chuàng)建和銷毀、調(diào)度等仍然由VMM 完成。所有從客戶虛擬機(jī)的控制轉(zhuǎn)移首先由CloudVisor處理，由CloudVisor對相關(guān)數(shù)據(jù)做保護(hù)，然后轉(zhuǎn)移到VMM。同樣CloudVisor也需要借助物理芯片，其改變了云平臺權(quán)限邏輯，帶來一定的性能損失。

Overshadow［21］和Inktag［22］研究在虛擬機(jī)不可信的情況下保護(hù)用戶程序的安全性，通過VMM和用戶程序的協(xié)商保護(hù)用戶程序的隱私。Overshadow利用虛擬化陰影頁表技術(shù)，提供兩套陰影頁表，包括系統(tǒng)頁表和用戶程序頁表。當(dāng)系統(tǒng)要訪問用戶數(shù)據(jù)時(shí)使用系統(tǒng)頁表，訪問到加密的用戶內(nèi)存數(shù)據(jù)；當(dāng)用戶程序訪問數(shù)據(jù)時(shí)使用用戶陰影頁表，訪問到明文內(nèi)存視圖，防止用戶數(shù)據(jù)被惡意虛擬機(jī)用戶竊取。Overshadow使用單密鑰加密頁面，由VMM管理，密鑰一旦暴露則所有數(shù)據(jù)都會泄露；需要借助物理芯片，控制轉(zhuǎn)移需要頁表切換和加解密操作，使執(zhí)行性能降低。

Inktag提出半驗(yàn)證機(jī)制，利用不可信的操作系統(tǒng)幫助驗(yàn)證自己的行為。在修改一個進(jìn)程的頁表之前，操作系統(tǒng)必須首先執(zhí)行超級調(diào)用使頁表更新與高級應(yīng)用程序的請求相關(guān)聯(lián)，并且不可信的操作系統(tǒng)通知VMM頁表更新，顯著減少管理程序的復(fù)雜性。Inktag基于半虛擬化技術(shù)，需要借助物理芯片，并且需要修改用戶程序使其與VMM程序配合，通用性大大降低。

2.3 數(shù)據(jù)監(jiān)控

用戶對于云提供商是否能夠?qū)ζ鋽?shù)據(jù)提供隱私保障，云應(yīng)用程序是否按照預(yù)定的方式安全執(zhí)行是持懷疑態(tài)度的，通過對用戶數(shù)據(jù)加密的方式可提高云服務(wù)的可信性，可預(yù)防云管理員竊取數(shù)據(jù)隱私。對敏感數(shù)據(jù)在用戶端先加密再上傳到云服務(wù)商，用戶掌管解密密鑰，從而只有用戶自己擁有數(shù)據(jù)的訪問權(quán)，云服務(wù)商只能得到密文。用戶可控的加密已經(jīng)成為近期隱私保護(hù)研究的熱點(diǎn)。

第1種研究方案在應(yīng)用程序客戶端和用戶之間對數(shù)據(jù)加密，如 ShadowCrypt［23］作為瀏覽器擴(kuò)展程序運(yùn)行，在應(yīng)用程序訪問數(shù)據(jù)之前對數(shù)據(jù)加密。它使用安全隔離的JS和DOM操縱頁面的輸入，當(dāng)用戶輸入明文時(shí)使用密文替換明文交給應(yīng)用程序，當(dāng)檢測到應(yīng)用程序包含的密文數(shù)據(jù)時(shí)解密得到明文返回給用戶，從而應(yīng)用程序不能訪問明文，也不能破壞入侵隔離的JS和dom。ShadowCrypt不能加密非文本數(shù)據(jù)，不支持移動程序。Mimesis Aegis［24］在移動平臺提出隱私保護(hù)方案，通過處于應(yīng)用程序和用戶之間的7.5層加解密隱私數(shù)據(jù)，不僅提供很好的數(shù)據(jù)隔離性，而且保留原有的用戶體驗(yàn)。Mimesis Aegis適用于移動平臺，只能保護(hù)文本型數(shù)據(jù)。

第2種研究方案在應(yīng)用程序客戶端和應(yīng)用程序服務(wù)端之間對數(shù)據(jù)加密，如Mylar［25］是對Meteor JavaScript框架的擴(kuò)展，通過在應(yīng)用程序客戶端和應(yīng)用程序服務(wù)端之間對隱私數(shù)據(jù)加密來保證隱私性和安全性。Mylar主要針對開發(fā)者，需要開發(fā)者調(diào)用 API完成數(shù)據(jù)加密，應(yīng)用程序需要在Meteor JavaScript框架上開發(fā)，影響了向后兼容性。Virtru［26］對電子郵件加密預(yù)防網(wǎng)絡(luò)郵件供應(yīng)商，如Gmail偷窺用戶的數(shù)據(jù)。但Virtru數(shù)據(jù)保護(hù)方案只適用于幾家Webmail廠商，不能擴(kuò)展到其他網(wǎng)絡(luò)應(yīng)用程序和移動應(yīng)用程序。

第3種研究方案在應(yīng)用程序服務(wù)端和數(shù)據(jù)庫之間對數(shù)據(jù)加密，如CryptDB［27］在服務(wù)端程序和數(shù)據(jù)庫之間加密隱私數(shù)據(jù)，數(shù)據(jù)以密文形式存儲在數(shù)據(jù)庫中，這樣數(shù)據(jù)庫管理員無法竊取用戶的隱私。CryptDB使用數(shù)據(jù)庫代理保護(hù)用戶隱私，其位于應(yīng)用程序和數(shù)據(jù)庫之間，將密文查詢轉(zhuǎn)換為對密文的操作，同時(shí)對返回的密文結(jié)果解密返回給用戶。當(dāng)應(yīng)用程序客戶端或服務(wù)端存在惡意程序時(shí)無法保護(hù)用戶隱私。

3 體系結(jié)構(gòu)

評價(jià)云平臺的可信性需綜合考慮5大方面的可信要素，包括人員可信、治理可信、云操作系統(tǒng)可信、基礎(chǔ)設(shè)施可信、法規(guī)遵從可信。人員可信是指云服務(wù)商工作人員的錄用、篩選、離崗和管理需要遵從規(guī)定的流程和規(guī)范；治理可信是指云服務(wù)商需對云平臺進(jìn)行符合安全標(biāo)準(zhǔn)的配置、監(jiān)控、維護(hù)和管理；云操作系統(tǒng)可信是指云平臺上的虛擬機(jī)鏡像和模板應(yīng)受到防護(hù)，網(wǎng)絡(luò)資源需進(jìn)行邏輯隔離，系統(tǒng)權(quán)限需劃分；基礎(chǔ)設(shè)施可信是指云服務(wù)上的機(jī)房地理位置、硬件設(shè)施供應(yīng)鏈和機(jī)房監(jiān)控應(yīng)符合標(biāo)準(zhǔn)；法規(guī)遵從可信包括重要產(chǎn)品和系統(tǒng)的合規(guī)檢測、合同或協(xié)議中網(wǎng)絡(luò)安全管理要求的體現(xiàn)、可移植性標(biāo)準(zhǔn)的遵守和企業(yè)信譽(yù)的保證。

本文設(shè)計(jì)并實(shí)現(xiàn)的云平臺可信評測體系，綜合分析以上5大可信要素，為租戶提供選擇可信云平臺的依據(jù)，為云平臺提供證明自身可信的憑據(jù)，其體系架構(gòu)如圖3所示。

可信第三方（TTP）服務(wù)網(wǎng)關(guān)通過邏輯串聯(lián)、物理并聯(lián)的方式部署在被評測云平臺的前端，租戶及云管理員的特權(quán)操作需通過TTP網(wǎng)關(guān)接入云平臺。TTP網(wǎng)關(guān)按照功能劃分可分為“云平臺特權(quán)行為分析與審計(jì)”部分以及“數(shù)據(jù)流可視化、監(jiān)控與脫敏”部分。

“云平臺特權(quán)行為分析與審計(jì)”用于持續(xù)、實(shí)時(shí)地采集云管理員對云平臺的管理操作記錄，并基于云管理員操作的分級機(jī)制對危險(xiǎn)操作和越權(quán)操作進(jìn)行預(yù)警。該模塊實(shí)現(xiàn)了非強(qiáng)侵入式的證據(jù)收集，即在不修改云平臺原有功能、不影響云服務(wù)性能、無需云服務(wù)商配合的前提下，收集云管理員操作記錄?！霸破脚_特權(quán)行為分析與審計(jì)”部分面臨的主要挑戰(zhàn)在于如何收集云平臺管理行為和操作，并保證證據(jù)的可信性。

圖3 面向第三方的云平臺可信評測體系結(jié)構(gòu)

“數(shù)據(jù)流可視化、監(jiān)控與脫敏”部分分為 3個模塊?！皵?shù)據(jù)流可視化與監(jiān)控子模塊”截獲并分析用戶使用云服務(wù)時(shí)的上傳數(shù)據(jù)流，找到敏感數(shù)據(jù)位置，同時(shí)為大數(shù)據(jù)分析平臺提供可信性分析證據(jù)?！懊舾袛?shù)據(jù)脫敏子模塊”加密敏感數(shù)據(jù)，并將脫敏數(shù)據(jù)傳遞給云平臺。當(dāng)用戶下載云上數(shù)據(jù)時(shí)，“下載數(shù)據(jù)處理審核子模塊”會解密用戶敏感數(shù)據(jù)，并審核數(shù)據(jù)的完整性?！皵?shù)據(jù)流可視化、監(jiān)控與脫敏”部分的關(guān)鍵問題在于如何監(jiān)控?cái)?shù)據(jù)在租戶和云平臺之間的流動。

大數(shù)據(jù)分析平臺綜合了TTP服務(wù)網(wǎng)關(guān)采集的可信證據(jù)和云平臺自身提供的可信證據(jù)，對云平臺的可信性進(jìn)行全面系統(tǒng)的分析。大數(shù)據(jù)分析平臺分為4個子模塊。云平臺日志分析子模塊：收集并分析云服務(wù)商主動提供的虛擬機(jī)日志和網(wǎng)絡(luò)日志，評估云平臺的運(yùn)行狀況和可信等級。行為操作審計(jì)子模塊：對云管理員特權(quán)行為記錄進(jìn)行分析，及時(shí)發(fā)現(xiàn)云管理員的惡意行為，實(shí)現(xiàn)云平臺管理行為的監(jiān)控。數(shù)據(jù)分析與可視化子模塊：分析用戶上傳云平臺的數(shù)據(jù)，識別其中的敏感數(shù)據(jù)并對數(shù)據(jù)流進(jìn)行可視化的分析。其他可信證據(jù)分析子模塊：綜合云服務(wù)商提供的人員可信、基礎(chǔ)設(shè)施可信、法規(guī)遵從可信相應(yīng)證據(jù)清單，分析云平臺的可信性。云平臺日志分析子模塊、行為操作審計(jì)子模塊、數(shù)據(jù)分析與可視化子模塊的綜合評測結(jié)果對應(yīng)可信要素的云操作系統(tǒng)可信和治理可信。

4 云平臺特權(quán)行為分析和審計(jì)

云平臺特權(quán)行為分析與審計(jì)模塊主要針對兩類數(shù)據(jù)進(jìn)行評測：第一是可信第三方主動采集的云管理員特權(quán)行為數(shù)據(jù)，應(yīng)用到體系結(jié)構(gòu)中的云管理員特權(quán)行為記錄與管控模塊和行為操作分析與審計(jì)子模塊，4.1節(jié)主要介紹這一部分?jǐn)?shù)據(jù)的記錄與審計(jì)；第二是云平臺自身的日志數(shù)據(jù)，通常需要調(diào)用云平臺API或由云服務(wù)商提供，應(yīng)用到體系結(jié)構(gòu)中的云平臺日志分析子模塊，4.2節(jié)主要介紹這些數(shù)據(jù)的采集與分析。

4.1 云管理員特權(quán)行為記錄與審計(jì)

云管理員特權(quán)行為記錄與審計(jì)功能部署于可信第三方代理內(nèi)，如圖4所示。該模塊記錄云管理員對于云上物理機(jī)、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備或云本身的操作并進(jìn)行分析和預(yù)警處理。對于越權(quán)操作和危險(xiǎn)敏感操作，該模塊會給出相應(yīng)的處理（告警、申請動態(tài)符合或禁止命令）。

圖4 云管理員操作采集、記錄與審計(jì)

4.1.1 云管理員特權(quán)行為記錄

云管理員特權(quán)行為記錄具體細(xì)節(jié)和流程如下。

根據(jù)云管理員其具體職能的不同，可信第三方會預(yù)先為其劃分權(quán)限（即云管理員可執(zhí)行的操作、敏感操作和危險(xiǎn)操作，具體分為正常、告警、禁止、動態(tài)復(fù)核4個等級），云管理員的權(quán)限劃分和權(quán)限對應(yīng)的請求關(guān)鍵字（如vSphere云平臺的API、OpenStack云平臺的URL關(guān)鍵子串）保存在權(quán)限數(shù)據(jù)庫中。

云管理員通過客戶端（vSphere云平臺）或Web端（OpenStack云平臺）登錄時(shí)，可信第三方代理服務(wù)器將記錄其會話信息，包括用戶ID、登錄時(shí)間、操作的云平臺信息、IP地址等，并將其與token值對應(yīng)并存儲。

云管理員發(fā)出服務(wù)請求時(shí)，代理服務(wù)器解析請求XML中包含的API信息或URL中的關(guān)鍵子序列，并識別請求中的token值從而得知云管理員信息。代理服務(wù)器根據(jù)API信息或URL關(guān)鍵子序列查詢權(quán)限數(shù)據(jù)庫，找到對應(yīng)的操作危險(xiǎn)等級并進(jìn)行相應(yīng)處理。代理服務(wù)器將完整的云管理員請求過程記錄在“云管理員操作日志數(shù)據(jù)庫”中，從而完成了云管理員特權(quán)行為記錄的采集。

4.1.2 云管理員特權(quán)行為等級劃分、分析和審計(jì)

云管理員特權(quán)行為等級劃分：根據(jù)記錄中云管理員操作劃分的4個等級，行為操作審計(jì)子模塊進(jìn)行如下處理。

1） “正?！钡燃墸硎驹摬僮魇窃乒芾韱T權(quán)限內(nèi)操作，這類操作直接送交云平臺執(zhí)行。

2） “告警”等級，表示這類操作雖為操作云管理員權(quán)限內(nèi)操作，但包含敏感指令和信息。第三方將此類指令送交云平臺執(zhí)行的同時(shí)，將通知云管理員進(jìn)行敏感操作。

3） “禁止”等級，表示該類指令屬于危險(xiǎn)指令，第三方會截?cái)嘣撝噶畈⒕鎴?zhí)行操作的云管理員。

4） “動態(tài)復(fù)核”等級，表示該類指令不屬于該管理員權(quán)限范圍，但仍屬正常操作范疇?？尚诺谌酱韺ㄖ到y(tǒng)管理員對該云管理員操作進(jìn)行動態(tài)審核，審核通過后可送交云平臺執(zhí)行，反之拒絕操作并警告云管理員。

云管理員特權(quán)行為分析與審計(jì)：根據(jù)云管理員特權(quán)行為記錄，分析模塊可以檢查云管理員是否進(jìn)行了危險(xiǎn)操作，包括：1） 在云平臺上保存或安裝與業(yè)務(wù)無關(guān)的程序、工具、腳本；2） 對不屬于本管理員權(quán)限范圍內(nèi)的資源發(fā)起請求；3） 連續(xù)登錄失敗或輸入錯誤口令；4） 執(zhí)行了刪除虛擬機(jī)、創(chuàng)建系統(tǒng)賬號、配置訪問授權(quán)、執(zhí)行系統(tǒng)管理功能、審計(jì)系統(tǒng)事件或訪問事件日志等敏感特權(quán)命令；5） 對虛擬機(jī)模板文件或鏡像進(jìn)行了篡改；6） 某些操作造成了大規(guī)模的系統(tǒng)開銷或資源損耗等。分析模塊綜合考慮危險(xiǎn)操作出現(xiàn)的次數(shù)和頻率，同時(shí)解析云管理員上傳文件的內(nèi)容（是否含有惡意代碼和冗余信息），進(jìn)而評估云平臺的可信程度，為用戶提供可信依據(jù)。

4.2 云平臺可信日志采集與分析

4.2.1 可信日志采集

為深度驗(yàn)證云平臺的可信性，本文從以下幾個方面收集并整理云平臺日志信息。

1） 云平臺操作日志：是指用戶或云管理員操作云平臺時(shí)產(chǎn)生的系統(tǒng)日志，主要基于虛擬機(jī)或物理機(jī)本身的 syslog，獲取交換機(jī)和防火墻日志信息、apache服務(wù)器信息、Web logic、Windows和Linux系統(tǒng)日志等。

2） 云平臺配置信息：主要采集OpenStack和vSphere上的主機(jī)、云平臺、網(wǎng)絡(luò)設(shè)備、虛擬機(jī)實(shí)例、虛擬機(jī)鏡像、存儲設(shè)備等配置信息。配置收集器的具體采集內(nèi)容包括以下幾方面。①管理員權(quán)限配置：掃描云平臺自身的云管理員權(quán)限配置情況，生成權(quán)限劃分報(bào)告；②云平臺接口檢測：通過掃描云平臺控制節(jié)點(diǎn)的管理接口，給出被測云平臺開放了哪些接口（如訪問vSphere云平臺可通過 SSH、Direct Controll UI、ESXI Shell、vCenter Server等接口）；③防火墻和網(wǎng)絡(luò)配置信息。

3） 云平臺虛擬機(jī)運(yùn)行環(huán)境信息：獲取租戶虛擬機(jī)的內(nèi)存數(shù)據(jù)，并對這些數(shù)據(jù)結(jié)合虛擬機(jī)所安裝的操作系統(tǒng)和用戶程序，解析其結(jié)構(gòu)和語義，從而達(dá)到重構(gòu)出運(yùn)行環(huán)境狀態(tài)和系統(tǒng)數(shù)據(jù)，如虛擬機(jī)的CPU利用率、內(nèi)存利用率、進(jìn)程數(shù)、硬盤讀寫、I/O頻率等方面的可信證據(jù)。

4） 云平臺網(wǎng)絡(luò)信息：主要包括兩部分網(wǎng)絡(luò)信息：①基于SNMP，感知云主機(jī)的運(yùn)行狀態(tài)及云主機(jī)端口流量信息；②基于sFlow［28］和OVS（open vSwitch）技術(shù)［29］，獲取網(wǎng)絡(luò)的端口流量信息，包括端口發(fā)送量、端口接收量、分組丟失數(shù)、錯分組數(shù)等。

由于云平臺日志信息的采集部分依賴于云服務(wù)商自己提供數(shù)據(jù)或接口，因此驗(yàn)證評測證據(jù)的可信性和完整性尤為重要。本文將云平臺日志數(shù)據(jù)與可信第三方的“小云”數(shù)據(jù)進(jìn)行對比，甄別云平臺數(shù)據(jù)中人為篡改的痕跡，從而實(shí)現(xiàn)云平臺日志的可信性檢查。

4.2.2 可信日志分析

1） 云平臺操作審計(jì)。針對云平臺操作日志，審查內(nèi)容包括：①進(jìn)程審計(jì)，主要檢測用戶態(tài)下是否運(yùn)行了可疑或惡意程序；②模塊掃描，查看虛擬機(jī)運(yùn)行環(huán)境加載的內(nèi)核態(tài)驅(qū)動程序和動態(tài)鏈接庫；③文件審計(jì)，查看用戶環(huán)境在運(yùn)行時(shí)打開了哪些文件。綜合以上三者，分析用戶使用云平臺時(shí)，云平臺是否按照用戶意愿運(yùn)行，是否植入了不良文件和操作程序。

2） 云平臺配置審核。主要分析云平臺配置信息和網(wǎng)絡(luò)信息，根據(jù)系統(tǒng)設(shè)定的安全基線，進(jìn)行安全檢查，分析云平臺的安全狀況。①云平臺身份驗(yàn)證與用戶管理：包括系統(tǒng)與用戶密碼策略審查，對云平臺進(jìn)行嚴(yán)謹(jǐn)?shù)臋?quán)限劃分，如資源管理權(quán)限和用戶創(chuàng)建權(quán)限等。②云平臺安全配置審查：評估防火墻配置確保網(wǎng)絡(luò)安全，評估網(wǎng)絡(luò)隔離技術(shù)（如vlan、vxlan）確保虛擬機(jī)網(wǎng)絡(luò)隔離安全，檢測云平臺非必需端口提高云平臺安全可信。③加密與安全證書：核心組件通信是否啟動證書檢查。④云平臺上虛擬機(jī)安全配置：限制虛擬機(jī)操作系統(tǒng)復(fù)制到剪貼板的敏感數(shù)據(jù)，移除虛擬機(jī)上不必要的硬件設(shè)備。⑤檢測云平臺配置文件完整性。

3） 虛擬機(jī)監(jiān)控管理分析。針對虛擬機(jī)運(yùn)行環(huán)境信息對虛擬機(jī)的狀態(tài)進(jìn)行綜合性的分析與審計(jì)。首先，對存儲在數(shù)據(jù)庫中的狀態(tài)數(shù)據(jù)進(jìn)行去重歸處理，然后進(jìn)行分析審計(jì)：①對虛擬機(jī)物理資源如CPU、內(nèi)存、硬盤空間、I/O頻率的使用情況以時(shí)間為軸進(jìn)行可視化，對資源使用超過用戶指定安全閾值的進(jìn)行標(biāo)記；②分析虛擬機(jī)的內(nèi)核崩潰信息，如內(nèi)核崩潰的時(shí)間、導(dǎo)致崩潰的進(jìn)程和原因等。綜合分析，將以上的兩點(diǎn)結(jié)合云平臺操作日志，形成狀態(tài)異常七元組（進(jìn)程號、進(jìn)程啟動時(shí)間、進(jìn)程退出時(shí)間、指令（服務(wù)）、讀寫目錄、物理資源使用情況、內(nèi)核崩潰信息），并根據(jù)異常狀態(tài)產(chǎn)生原因?qū)ζ溥M(jìn)行分類，可分為操作系統(tǒng)級別異常、服務(wù)級別異常和應(yīng)用級別異常。

5 數(shù)據(jù)流可視化、監(jiān)控與脫敏

數(shù)據(jù)流可視化、監(jiān)控與脫敏通過分析、獲取和加密用戶的敏感數(shù)據(jù)，使其在組織內(nèi)部和任何公有云、私有云之間進(jìn)行自由穿梭，滿足在使用云應(yīng)用服務(wù)的過程中保障敏感數(shù)據(jù)的安全性和私密性，從而增強(qiáng)了云平臺的可信性。以下主要從云應(yīng)用服務(wù)數(shù)據(jù)流可視化、數(shù)據(jù)監(jiān)控與數(shù)據(jù)脫敏3個方面進(jìn)行闡述。

5.1 數(shù)據(jù)流可視化

數(shù)據(jù)流可視化的內(nèi)容包括用戶、數(shù)據(jù)、訪問設(shè)備、來源等。數(shù)據(jù)流可視化首先要能截獲用戶和云服務(wù)之間的應(yīng)用層數(shù)據(jù)流，如用戶通過瀏覽器訪問云應(yīng)用服務(wù)時(shí)，要能截獲并分析http、https等主流云應(yīng)用協(xié)議，對不同的應(yīng)用（主流的郵箱、網(wǎng)盤和在線SaaS等）進(jìn)行適配，獲取滿足不同需求的應(yīng)用層數(shù)據(jù)。

本文通過使用安全訪問代理的方式保護(hù)用戶的云應(yīng)用層數(shù)據(jù)。用戶訪問云應(yīng)用服務(wù)時(shí)需要經(jīng)過安全訪問代理，訪問代理截獲并過濾應(yīng)用層數(shù)據(jù)流，識別應(yīng)用層協(xié)議并對敏感數(shù)據(jù)進(jìn)行加密，之后再將用戶的訪問請求轉(zhuǎn)發(fā)給云應(yīng)用服務(wù)；云應(yīng)用服務(wù)回復(fù)內(nèi)容也首先交給訪問代理，由訪問代理識別密文并解密，經(jīng)過檢驗(yàn)與審計(jì)將結(jié)果返回給用戶，從而提供數(shù)據(jù)流可視化與監(jiān)控，保護(hù)用戶敏感數(shù)據(jù)，有效防止數(shù)據(jù)泄露。

5.2 數(shù)據(jù)監(jiān)控

數(shù)據(jù)監(jiān)控自動識別和解析不同云應(yīng)用服務(wù)的協(xié)議，通過語義分析和特征庫提取得到敏感數(shù)據(jù)內(nèi)容。協(xié)議識別和語義分析依據(jù)協(xié)議請求的URL等特征調(diào)用具體的協(xié)議處理邏輯做敏感數(shù)據(jù)的提取，具體的協(xié)議處理邏輯對內(nèi)容格式（如key-value、JSON、XML、multi-part等）進(jìn)行分析，找到用戶的關(guān)鍵數(shù)據(jù)內(nèi)容。

通過解析各種格式的數(shù)據(jù)流得到敏感數(shù)據(jù)的屬性和內(nèi)容，如郵件的主題和正文。每種協(xié)議有固定的數(shù)據(jù)格式，通過分析各種協(xié)議格式找到共同的處理函數(shù)抽象成工具庫，則具體的協(xié)議處理會調(diào)用相關(guān)工具庫，分析和提取敏感數(shù)據(jù)。如果適配新的應(yīng)用程序，只需要識別協(xié)議格式所屬的類別，并添加部分代碼調(diào)用相關(guān)工具庫即可識別并監(jiān)控新應(yīng)用程序的敏感數(shù)據(jù)。為了適配某一應(yīng)用程序協(xié)議的變化，對每一類應(yīng)用程序要維持一個特征庫，分析協(xié)議時(shí)根據(jù)特征庫獲得協(xié)議的敏感數(shù)據(jù)。這樣當(dāng)協(xié)議發(fā)生改變時(shí)，協(xié)議檢測邏輯可檢測到協(xié)議特征變化，更新特征庫，從而不需要改變具體協(xié)議處理邏輯自動適應(yīng)協(xié)議的變化。

數(shù)據(jù)監(jiān)控利用訪問代理可識別和分析不同協(xié)議的多種數(shù)據(jù)格式，如文本、文件、圖片、音視頻、應(yīng)用自定義的格式數(shù)據(jù)等，從而實(shí)時(shí)監(jiān)控敏感數(shù)據(jù)流動情況，防止數(shù)據(jù)泄露。

5.3 數(shù)據(jù)脫敏

本文實(shí)現(xiàn)數(shù)據(jù)脫敏的手段是對敏感數(shù)據(jù)加密保護(hù)用戶數(shù)據(jù)隱私。當(dāng)數(shù)據(jù)監(jiān)控獲取到云應(yīng)用協(xié)議的用戶敏感數(shù)據(jù)后，需要調(diào)用加密模塊對敏感數(shù)據(jù)加密。數(shù)據(jù)脫敏使用標(biāo)準(zhǔn)加密算法，且需要在密文前添加元數(shù)據(jù)記下密文和密鑰之間的對應(yīng)關(guān)系及密文的特征標(biāo)志。根據(jù)需要加密數(shù)據(jù)的長度從原協(xié)議數(shù)據(jù)流中取出敏感數(shù)據(jù)并加密，然后將密文置于原協(xié)議數(shù)據(jù)流相應(yīng)位置，從而不改變原有協(xié)議，對云應(yīng)用服務(wù)和用戶透明。加密采用分塊加密，屬于一個請求體的各數(shù)據(jù)塊擁有共同的元數(shù)據(jù)，包括密鑰標(biāo)志、特征數(shù)據(jù)等。同樣解密模塊首先匹配特征找到密文對應(yīng)位置，分析密文元數(shù)據(jù)，依據(jù)密鑰標(biāo)志找到對應(yīng)的密鑰，然后解密各塊恢復(fù)明文。以一個典型的應(yīng)用郵箱的附件加密為例，附件加密采用分塊加密并傳輸，每次對固定長度的數(shù)據(jù)塊進(jìn)行加密，直到加密完所有文件數(shù)據(jù)，最后在密文末尾添加結(jié)束標(biāo)志。解密也是逐塊解密，直到遇到結(jié)束標(biāo)志。加密或解密模塊為通用模塊，分析任何協(xié)議得到要加密的敏感數(shù)據(jù)后都可調(diào)用加密功能加密，同樣匹配到密文后需調(diào)用解密功能解密。數(shù)據(jù)脫敏在保護(hù)用戶隱私數(shù)據(jù)的同時(shí)，在不改變云服務(wù)接口和用戶使用習(xí)慣的情況下還要保持現(xiàn)有云應(yīng)用服務(wù)的功能，如密文搜索功能，即用戶能夠?qū)用芎蟮拿舾袛?shù)據(jù)進(jìn)行全功能搜索。實(shí)現(xiàn)思路為當(dāng)敏感數(shù)據(jù)加密后上傳到云應(yīng)用服務(wù)后云服務(wù)會返回密文標(biāo)識，訪問代理得到密文標(biāo)識后為敏感數(shù)據(jù)建立索引，這樣用戶搜索時(shí)，訪問代理提取到搜索的關(guān)鍵字并轉(zhuǎn)發(fā)給索引進(jìn)行搜索，得到相應(yīng)的密文標(biāo)識經(jīng)訪問代理返回給用戶，用戶使用密文標(biāo)識通過代理訪問云服務(wù)，云應(yīng)用服務(wù)返回相關(guān)密文經(jīng)由訪問代理解密并檢驗(yàn)，然后將明文結(jié)果返回給用戶，完成搜索功能。

如圖5所示，加密過程為：用戶訪問云應(yīng)用服務(wù)的請求首先到達(dá)訪問代理，經(jīng)過過濾進(jìn)行協(xié)議分析，提取特征調(diào)用具體的協(xié)議處理邏輯解析得到要加密的敏感數(shù)據(jù)，調(diào)用加密模塊加密，加密模塊首先產(chǎn)生加密密鑰，將密鑰和密鑰標(biāo)志存入數(shù)據(jù)庫，將密鑰標(biāo)志、特征字段作為元數(shù)據(jù)內(nèi)容附在密文頭，然后對數(shù)據(jù)加密，加密完成的密文及元數(shù)據(jù)放到原協(xié)議相應(yīng)位置。解密過程為：用戶請求數(shù)據(jù)，云應(yīng)用服務(wù)收到請求并回復(fù)，回復(fù)內(nèi)容首先到達(dá)訪問代理，經(jīng)過過濾進(jìn)行協(xié)議分析，提取特征調(diào)用具體的協(xié)議處理邏輯通過掃描匹配特征字段定位到要解密的密文，根據(jù)元數(shù)據(jù)密鑰標(biāo)志查詢數(shù)據(jù)庫獲得相應(yīng)的密鑰，解密數(shù)據(jù)得到明文放置到相應(yīng)位置。搜索過程為：用戶訪問云應(yīng)用服務(wù)的搜索請求到達(dá)訪問代理，經(jīng)過過濾進(jìn)行協(xié)議分析，提取特征調(diào)用具體的協(xié)議處理邏輯得到要搜索的關(guān)鍵字，用隨機(jī)串替換關(guān)鍵字發(fā)給服務(wù)器，服務(wù)器會返回空的結(jié)果列表；同時(shí)訪問代理使用關(guān)鍵字向索引發(fā)起搜索請求，索引返回搜索結(jié)果為相關(guān)數(shù)據(jù)對應(yīng)的密文標(biāo)識，訪問代理再用搜索結(jié)果替換服務(wù)器返回的結(jié)果列表，完成搜索過程。

6 結(jié)束語

租戶將數(shù)據(jù)與業(yè)務(wù)系統(tǒng)遷移到云上，客觀上平臺管理員具有偷窺和泄露租戶隱私的能力。為此本文提出面向第三方的云平臺可信評測體系結(jié)構(gòu)與關(guān)鍵技術(shù)，即“小云審大云”的云平臺可信評測架構(gòu)，主要針對云平臺特有的可信問題，研究從第三方角度如何驗(yàn)證、審計(jì)和評測云平臺的可信性。在傳統(tǒng)安全評測手段基礎(chǔ)上引入獨(dú)立第三方TTP，通過TTP對云平臺的可信性進(jìn)行動態(tài)、實(shí)時(shí)的遠(yuǎn)程可信數(shù)據(jù)收集、驗(yàn)證、審計(jì)和評價(jià)，并采用數(shù)據(jù)流可視化、監(jiān)控與脫敏技術(shù)保障租戶的數(shù)據(jù)權(quán)益。可信評測可根據(jù)租戶的需求，由第三方發(fā)起，為租戶提供選擇可信云平臺的依據(jù)，為云平臺提供證明自身可信的憑據(jù)。

在深入研究與系統(tǒng)評測的過程中，本文首先分析了云計(jì)算平臺面臨的安全風(fēng)險(xiǎn)，進(jìn)而通過限制云平臺訪問入口嚴(yán)格管控、記錄與審計(jì)云管理員特權(quán)行為和用戶操作，對云服務(wù)應(yīng)用層數(shù)據(jù)可視化、監(jiān)控與脫敏保護(hù)用戶的安全隱私，并收集與分析云平臺可信日志監(jiān)控云平臺配置與狀態(tài)，由日志分析模塊綜合分析多種數(shù)據(jù)對可疑事件產(chǎn)生告警。實(shí)施過程中主要遇到并突破了以下關(guān)鍵技術(shù)。

圖5 數(shù)據(jù)流可視化、監(jiān)控與脫敏

1） 引入獨(dú)立第三方作為云平臺與用戶、管理員的中間層，獨(dú)立采集和審計(jì)云平臺可信證據(jù)。

2） 通過持續(xù)的、實(shí)時(shí)的遠(yuǎn)程數(shù)據(jù)收集和數(shù)據(jù)分析，評測云平臺的可信性。

3） 非強(qiáng)侵入式證據(jù)收集，在不影響云平臺自身性能、不影響云服務(wù)原有功能、無需修改云平臺的前提下收集可信證據(jù)，記錄特權(quán)行為。

基于上述體系結(jié)構(gòu)的重要研究點(diǎn)和未來研究方向包括以下3個方面。

1） 進(jìn)一步融合多種數(shù)據(jù)，實(shí)現(xiàn)多源數(shù)據(jù)的綜合分析。在大數(shù)據(jù)分析平臺中，不同分析子模塊對不同來源和種類的數(shù)據(jù)進(jìn)行了獨(dú)立的分析，綜合這些分析結(jié)果為用戶提供選擇云平臺的可信性依據(jù)。進(jìn)一步的工作可以從可信證據(jù)之間的聯(lián)系入手，在某些分析子模塊中綜合考慮其他子模塊收集的可信證據(jù)，以提高可信性分析的全面性。

2） 云平臺日志真實(shí)性檢驗(yàn)。針對云服務(wù)商自主采集的數(shù)據(jù)和通過云平臺接口采集的數(shù)據(jù)，可以對比模擬情況下云平臺的運(yùn)行環(huán)境、結(jié)合機(jī)器學(xué)習(xí)算法驗(yàn)證數(shù)據(jù)的真實(shí)性和完整性。

3） 基于目前的數(shù)據(jù)流可視化、監(jiān)控與脫敏模塊，實(shí)現(xiàn)多種云服務(wù)應(yīng)用的適配。為實(shí)現(xiàn)數(shù)據(jù)流可視化、監(jiān)控與脫敏，TTP服務(wù)網(wǎng)關(guān)需截獲并自動分析http、https等主流云應(yīng)用協(xié)議，對不同的應(yīng)用進(jìn)行自動適配，獲取滿足不同需求的應(yīng)用層數(shù)據(jù)。

［1］ BOUCHé J， KAPPES M. Attacking the cloud from an insider perspective［C］//Internet Technologies and Applications （ITA）. 2015: 175-180.

［2］ ROCHA F， CORREIA M. Lucy in the sky without diamonds: Stealing confidential data in the cloud［C］//2011 IEEE/IFIP 41st International Conference on Dependable Systems and Networks Workshops （DSN-W）. 2011: 129-134.

［3］ ［EB/OL］.http://docs.openstack.org.

［4］ ［EB/OL］.http://www.qemu.org.

［5］ ［EB/OL］.http://www.linux-kvm.org/page/Main_Page.

［6］ ［EB/OL］.https://www.xenproject.org.

［7］ ［EB/OL］.http://www.vmware.com/cn/products/vsphere.html.

［8］ ［EB/OL］.http://hvreport.codeplex.com.

［9］ BHATT S， MANADHATA P K， ZOMLOT L. The operational role of security information and event management systems［J］. IEEE Security & Privacy， 2014， 12（5）: 35-41.

［10］ YEN T F， OPREA A， ONARLIOGLU K， et al. Beehive: large-scale log analysis for detecting suspicious activity in enterprise networks［C］ //The 29th Annual Computer Security Applications Conference. 2013: 199-208.

［11］ ZOMLOT L， SUNDARAMURTHY S C， LUO K， et al. Prioritizing intrusion analysis using dempster-shafer theory［C］//The 4th ACM Workshop on Security and Artificial Intelligence. 2011: 59-70.

［12］ ZHAI Y， NING P， IYER P， et al. Reasoning about complementary intrusion evidence［C］//The 20th Computer Security Applications. 2004: 39-48.

［13］ ［EB/OL］.https://www.gartner.com/doc/3406817？ref=SiteSearch&sthkw =Splunk&fnl=search&srcId=1-3478922254.

［14］ ［EB/OL］.http://www-01.ibm.com/software/.

［15］ ［EB/OL］.http://www.splunk.com/.

［16］ ［EB/OL］.https://logrhythm.com/.

［17］ ［EB/OL］.https://www.elastic.co/products.

［18］ ［EB/OL］.http://opensoc.github.io/.

［19］ BUTT S， LAGAR-CAVILLA H A， SRIVASTAVA A， et al. Self-service cloud computing［C］//The 2012 ACM Conference on Computer and Communications Security. 2012: 253-264.

［20］ ZHANG F， CHEN J， CHEN H， et al. CloudVisor: retrofitting protection of virtual machines in multi-tenant cloud with nested virtualization［C］//The 23rd ACM Symposium on Operating Systems Principles. 2011: 203-216.

［21］ CHEN X， GARFINKEL T， LEWIS E C， et al. Overshadow: a virtualization-based approach to retrofitting protection in commodity operating systems［C］//ACM Sigarch Computer Architecture News. 2008， 36（1）: 2-13.

［22］ HOFMANN O S， KIM S， DUNN A M， et al. Inktag: secure applications on an untrusted operating system［C］//ACM Sigarch Computer Architecture News. 2013， 41（1）: 265-278.

［23］ HE W， AKHAWE D， JAIN S， et al. Shadowcrypt: encrypted web applications for everyone［C］//The 2014 ACM Sigsac Conference on Computer and Communications Security. 2014: 1028-1039.

［24］ LAU B， CHUNG S， SONG C， et al. Mimesis aegis: a mimicry privacy shield——a system's approach to data privacy on public cloud［C］//The 23rd USENIX Security Symposium （USENIX Security 14）. 2014: 33-48.

［25］ POPA R A， STARK E， VALDEZ S， et al. Building Web applications on top of encrypted data using Mylar［C］//The 11th USENIX Symposium on Networked Systems Design and Implementation（NSDI 14）. 2014: 157-172.

［26］ ［EB/OL］http://www.virtru.com.

［27］ POPA R A， REDFIELD C， ZELDOVICH N， et al. CryptDB: protecting confidentiality with encrypted query processing［C］//The 12rd ACM Symposium on Operating Systems Principles. 2011: 85-100.

［28］ ［EB/OL］.http://www.sflow.org.

［29］ ［EB/OL］.http://openvswitch.org.

劉川意（1982-），男，四川樂山人，博士，哈爾濱工業(yè)大學(xué)（深圳）副教授，主要研究方向?yàn)樵朴?jì)算與云安全、大規(guī)模存儲系統(tǒng)、數(shù)據(jù)保護(hù)與數(shù)據(jù)安全。

潘鶴中（1991-），男，遼本本溪人，北京郵電大學(xué)博士生，主要研究方向?yàn)樵瓢踩?、信息安全?/p>

梁露露（1985-），男，湖北襄陽人，博士，中國信息安全測評中心副研究員，主要研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)安全、無線網(wǎng)絡(luò)安全。

王國峰（1988-），男，山東濟(jì)寧人，北京郵電大學(xué)博士生，主要研究方向?yàn)樵瓢踩⑿畔踩?、云安全技術(shù)、數(shù)據(jù)加密技術(shù)。

方濱興（1960-），男，江西萬年人，中國工程院院士，北京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榇髷?shù)據(jù)、計(jì)算機(jī)網(wǎng)絡(luò)和信息安全。

Cloud Trustworthiness Evaluation as a cloud service: architecture， key technologies and implementations

LIU Chuan-yi1， PAN He-zhong1，2， LIANG Lu-lu3， WANG Guo-feng1，2， FANG Bin-xing1，2，4

（1. School of Computer Science and Technology， Harbin Institute of Technology （Shenzhen）， Shenzhen 518055， China；2. School of Computer Science， Beijing University of Posts and Telecommunications， Beijing 100876， China；3. China Information Technology Security Evaluation Center， Beijing 100085， China；4. Dongguan University of Electronic Science and Technology Electronic and Information Engineering Institute， Dongguan 523000， China）

A "big clouds audited by a small cloud" scheme was proposed， by introducing an independent trusted third party （TTP） dealing with run-time data collection， verification， audit and evaluation remotely， in a continuous and data-driven model， compared with traditionally certification based audit. The TTP mainly adopts data flow visualization，data monitoring and encryption to protect the rights of users. It provides the basis for users to choose a trusted cloud platform and for cloud platform to prove own trusted credentials. In-depth study， the following key technologies were broken through: 1） the introduction of an independent trusted third party as an intermediate layer between cloud platform and users as well as administrators； 2） continuous， real-time remote data collection and data analysis； 3） strong non-intrusive evidence gathering.

cloud computing， trusted reviews， permissions control， data encryption

1 引言

在云計(jì)算模式下，租戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計(jì)算平臺上，失去了對這些數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的直接控制能力。另一方面，從體系結(jié)構(gòu)層次來看，租戶處于上層，并不能有效獲知和監(jiān)控云提供商的底層基礎(chǔ)設(shè)施和云操作系統(tǒng)。事實(shí)上，云管理員客觀上具備竊取用戶隱私數(shù)據(jù)的特權(quán)［1，2］。

s: The National High Technology Research Program of China （863 Program） （No.2015AA016001）， Production-Study-Research Cooperation Project in Guangdong Province （No.2016B090921001）， Innovation Project in Shandong Province （No.2014ZZCX03411）

TP311

A

10.11959/j.issn.2096-109x.2016.00102

2016-05-19；

2016-07-08。通信作者：劉川意，cy-liu04@mails.tsinghua.edu.cn

國家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016001）；廣東省產(chǎn)學(xué)研合作基金資助項(xiàng)目（No.2016B090921001）；山東省自主創(chuàng)新及成果轉(zhuǎn)化專項(xiàng)基金資助項(xiàng)目（No.2014ZZCX03411）