蘭宇琳

摘要：基于云計算相關(guān)概念及目前數(shù)字圖書館云安全問題分析，將可信計算技術(shù)應(yīng)用于數(shù)字圖書館云安全問題中，提出一種數(shù)字圖書館可信云安全機(jī)制，并闡述可信計算應(yīng)用中應(yīng)解決的關(guān)鍵問題及安全策略，構(gòu)建從底層到頂層的硬件可信云安全機(jī)制。

關(guān)鍵詞：云安全；數(shù)字圖書館；可信計算；可信云

DOIDOI：10.11907/rjdk.171158

中圖分類號：TP309

文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2017）006-0186-03

0 引言

云計算環(huán)境下數(shù)字圖書館安全問題受到廣泛關(guān)注，目前已取得一系列研究成果。程風(fēng)剛[1]指出云計算給數(shù)字圖書館帶來的安全威脅核心是數(shù)據(jù)，并從監(jiān)控、技術(shù)、制度、實施和評價等5個方面提出了防范策略；麥范金[2]從移動用戶的隱私保護(hù)問題出發(fā)，提出了以法律、社會規(guī)范、隱私感知、管理及處理體系為主的五維保護(hù)模型，并給出了相應(yīng)的體系結(jié)構(gòu)及業(yè)務(wù)流程描述；張海玉[3]提出從加強(qiáng)Web瀏覽器安全、虛擬安全技術(shù)、建立可信云、數(shù)據(jù)加密、身份認(rèn)證、建立安全評測體系及監(jiān)管體系等8個角度闡述了相應(yīng)的應(yīng)對策略；鄧勝利[4]探討了“云”圖書館在安全上的利弊，給出了數(shù)字資源安全存儲與管理、終端用戶機(jī)安全及云平臺服務(wù)安全的相應(yīng)策略。縱觀各家之談，云計算安全問題的解決需要法律、道德和技術(shù)三方面協(xié)作，方能完成，缺一不可，而技術(shù)是“王”。本文將可信計算的思想應(yīng)用于數(shù)字圖書館云安全管理中，分析可信云安全機(jī)制構(gòu)建應(yīng)解決的關(guān)鍵問題。

1 云計算及其安全問題

1.1 云計算

云計算[5]是一種模型，用戶可以便捷地從計算資源池中獲取所需資源，比如網(wǎng)絡(luò)、存儲及應(yīng)用等，而且資源能夠快速供給和釋放，使得資源管理和用戶與服務(wù)提供商之間交互的成本最低。云計算架構(gòu)主要包括4層：硬件層、基礎(chǔ)設(shè)施層、平臺層和應(yīng)用層，根據(jù)層次不同提供不同的服務(wù)，包括軟件即服務(wù)SaaS、平臺即服務(wù)PaaS和基礎(chǔ)設(shè)施即服務(wù)IaaS。SaaS提供專門的應(yīng)用服務(wù)，PaaS提供軟件開發(fā)框架及操作系統(tǒng)等平臺資源服務(wù)，將硬件層和基礎(chǔ)設(shè)施層提供的服務(wù)統(tǒng)稱為IaaS，提供基礎(chǔ)性資源，如虛擬機(jī)。云計算體系結(jié)構(gòu)如圖1所示。

云計算相較于傳統(tǒng)的計算模式，具有大規(guī)模、低成本、虛擬化、高動態(tài)性及高可靠性五大顯著特點。

1.2 數(shù)字圖書館云安全問題

數(shù)字圖書館云安全問題涉及兩個方面：傳統(tǒng)的網(wǎng)絡(luò)安全問題和云計算特有的安全問題。傳統(tǒng)的網(wǎng)絡(luò)安全問題包括物理安全、網(wǎng)絡(luò)各層次存在的安全威脅及數(shù)據(jù)、訪問安全等，而傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)發(fā)展已經(jīng)比較成熟[6]，此處不再詳細(xì)闡述。由于云計算及數(shù)字圖書館自身特點所帶來的安全問題，總結(jié)如表1所示。

（1）數(shù)據(jù)丟失或泄露問題。云環(huán)境下的數(shù)字圖書館改變了傳統(tǒng)圖書館的服務(wù)模式，用戶可以通過有線或無線的方式接入云圖書館中，查閱文字、圖片、音頻、視頻等多媒體內(nèi)容，這就意味著數(shù)據(jù)是云圖書館提供服務(wù)的核心。數(shù)字圖書館中的數(shù)據(jù)遷移到云中，云的存儲設(shè)備存在于不確定的區(qū)域，而網(wǎng)絡(luò)中租戶眾多，數(shù)據(jù)在遷移過程中，如果沒有采用相應(yīng)技術(shù)手段，核心數(shù)據(jù)可能被其他用戶竊取。另外，云平臺中使用的相關(guān)管理軟件，提供了訪問、認(rèn)證、授權(quán)及審計等多種功能，如果軟件本身存在安全漏洞，那平臺上的用戶數(shù)據(jù)勢必遭受影響，一旦被攻擊，云平臺就不再安全，用戶數(shù)據(jù)存在丟失及泄漏的可能。

（2）云平臺安全性。在數(shù)字圖書館云計算平臺中，任務(wù)和數(shù)據(jù)都交付給云平臺，利用云平臺提供的資源服務(wù)來完成用戶所需，這就將自身安全完全依托于云平臺。而云平臺同樣存在黑客攻擊、惡意的內(nèi)部工作人員、惡意用戶及技術(shù)漏洞等安全問題。

（3）虛擬化安全。虛擬化技術(shù)是云計算提供不同層次服務(wù)的重要手段。數(shù)字圖書館云平臺上的資源是通過虛擬化的方式租用給不同的租戶，而提供給不同租戶的虛擬資源可能出自于同一個物理地址。因此，不同的虛擬機(jī)可能訪問同一臺物理設(shè)備，如不能將兩個虛擬機(jī)隔離，用戶的機(jī)密數(shù)據(jù)就會被其他用戶窺探。另外，虛擬機(jī)回滾和遷移也會帶來新的安全問題。

（4）用戶個人權(quán)限及隱私保護(hù)。數(shù)字圖書館的使用者是獨立的個體，每個讀者都有自己的賬號，讀者通過云服務(wù)平臺享受數(shù)字圖書館提供的個性化服務(wù)，不同的身份享有不同的權(quán)限。數(shù)字圖書館必須保障不同讀者的使用權(quán)限及個人隱私，合理劃分普通讀者、圖書館管理員及云服務(wù)提供商的權(quán)限，防止用戶數(shù)據(jù)被惡意竊取和篡改。

除以上安全問題外，云計算還缺乏標(biāo)準(zhǔn)的安全評測體系及監(jiān)管體系。建立標(biāo)準(zhǔn)的云服務(wù)安全評測及監(jiān)管體系有助于客觀評價云服務(wù)供應(yīng)商的安全服務(wù)質(zhì)量，也為云服務(wù)供應(yīng)商提高自身服務(wù)質(zhì)量提供參考，不斷提高安全服務(wù)等級。

2 可信計算技術(shù)

計算機(jī)領(lǐng)域中“可信”的概念在不斷的形成和發(fā)展，本文采用可信計算組織（Trust Computer Group，TCG）的定義[7]：一個實體總是按照預(yù)期的目標(biāo)執(zhí)行，表明該實體是可信的。可信計算總的目標(biāo)就是保障系統(tǒng)的安全性，確保系統(tǒng)存儲安全、數(shù)據(jù)安全及平臺安全。保障系統(tǒng)安全必須確保從計算機(jī)的體系結(jié)構(gòu)、BIOS、芯片及主板等硬件底層到數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用程序都是可信的。這就需要構(gòu)建信任鏈，TCG引入了一個可信平臺模塊（Trust Platform Module，TPM）來實現(xiàn)此功能。將TPM嵌入到系統(tǒng)硬件中，從一個小的信任根開始，通過度量系統(tǒng)啟動過程中關(guān)鍵部件的信任值來判斷系統(tǒng)的可信性，而信任鏈也通過所反饋的信任值建立起來。計算機(jī)系統(tǒng)啟動過程中信任鏈的建立過程如圖2所示。

系統(tǒng)從按下電源鍵開始啟動，將BIOS引導(dǎo)塊作為可信測量根，用來計算新的完整性度量值，存儲在平臺配置寄存器（Platform Configure Register，PCR）中。將TPM作為可信根，首先對BIOS進(jìn)行度量，將度量值保存在PCR中，遞交系統(tǒng)控制權(quán)給BIOS，BIOS建立一個輸入輸出子系統(tǒng)并且初始化相應(yīng)硬件；接著BIOS度量將獲得控制權(quán)的硬件板卡BIOS，保存度量值，初始化完成后回收控制權(quán)；緊接著度量系統(tǒng)引導(dǎo)加載程序，并傳遞控制權(quán)，加載程序和系統(tǒng)內(nèi)核，并將控制權(quán)轉(zhuǎn)交給系統(tǒng)內(nèi)核；系統(tǒng)內(nèi)核加載安裝各種程序驅(qū)動和服務(wù)，度量調(diào)用應(yīng)用程序及網(wǎng)絡(luò)，至此，系統(tǒng)啟動完成。這樣從一個信任根，到建立一條信任鏈，一級度量一級，一級信任一級，建立一個從底層到頂層的可信機(jī)制，從而使得整個計算機(jī)系統(tǒng)是可信的，這就是可信計算的基本思想[8]，如圖3所示。

3 數(shù)字圖書館可信云安全機(jī)制

3.1 數(shù)字圖書館可信云安全機(jī)制構(gòu)建中的關(guān)鍵問題

數(shù)字圖書館云計算平臺用戶流量多，加上多層次的服務(wù)模式，使得目前的可信計算技術(shù)還無法在現(xiàn)實層面中完全滿足云計算動態(tài)多租戶執(zhí)行環(huán)境的需求。要想完全實現(xiàn)應(yīng)用，還需解決以下問題：

（1）云環(huán)境下的動態(tài)完整性度量問題。從上文對可信計算技術(shù)的概述可知，系統(tǒng)從一個小的信任根開始，通過啟動過程度量各部件的完整性從而構(gòu)建一條信任鏈，直至整個系統(tǒng)可信，而這針對的只是單一用戶且整個過程都是靜態(tài)的，保證的只是系統(tǒng)中各組件的可信。在云圖書館中，租戶眾多、動態(tài)性高，在系統(tǒng)運行過程中，一旦組件受到影響，整個信任鏈的傳遞就會受到破壞，此時系統(tǒng)的可信性值得懷疑。同時，由于采用了虛擬技術(shù)，在虛擬機(jī)可信環(huán)境的構(gòu)建過程中還必須防止被其它虛擬機(jī)影響。

（2）可信計算與虛擬機(jī)技術(shù)的沖突問題?？尚庞嬎銟?gòu)建的安全環(huán)境是不可逆轉(zhuǎn)的，而虛擬機(jī)卻具有回滾和快照的功能，這使得虛擬機(jī)可以從當(dāng)前的安全狀態(tài)回滾到一個不安全的狀態(tài)。目前，可信計算技術(shù)應(yīng)用的主要是單機(jī)模式，而在云計算環(huán)境下，往往是許多虛擬機(jī)同時協(xié)作完成某一任務(wù)，又或者多個租戶之間同時協(xié)作，虛擬機(jī)之間的信任關(guān)系又是相互獨立的，因而必須為云中的每個節(jié)點配置一個TPM，云中的用戶必須驗證每一個節(jié)點的安全性，使得用戶可窺探云內(nèi)部配置，因此必須為虛擬機(jī)組構(gòu)建一個可信的環(huán)境。

（3）云平臺遠(yuǎn)程證明問題。云環(huán)境是否可信，最終是由遠(yuǎn)程方通過驗證確定的。這種證明利用可信計算提供的完整性度量、報告技術(shù)，使用者將完整的度量報告提交給資源提供者，這對平臺進(jìn)行完整性請求、狀態(tài)傳遞、驗證及驗證響應(yīng)的整個過程稱之為遠(yuǎn)程證明[8]。目前，進(jìn)行遠(yuǎn)程證明的方法有很多，比如，直接匿名證明、二進(jìn)制遠(yuǎn)程證明等。而云環(huán)境中節(jié)點數(shù)目的不確定性、可遷移和不透明性，使得這些方法很難應(yīng)用。此外，云平臺的證明方案還必須同時實現(xiàn)節(jié)點的身份證明和完整性證明，平臺的配置狀況、身份權(quán)限必須保密。

3.2 安全策略

針對上述問題，專家學(xué)者從不同的側(cè)重點進(jìn)行了深入研究，并取得了一定的成果。綜合前人和自己的研究成果，提出以下安全策略：

（1）動態(tài)可信度量根?？尚沛湹慕⒁蕾囉诳尚哦攘扛鴶?shù)字圖書館云平臺的高動態(tài)特性，就需要一個動態(tài)可信度量根。動態(tài)可信度量是基于CPU指令的安全策略，可隨時根據(jù)需要啟動。工作原理是：通過對軟件執(zhí)行過程中的值及函數(shù)的調(diào)用、返回地址、系統(tǒng)內(nèi)存狀態(tài)、堆和棧的狀態(tài)等進(jìn)行動態(tài)監(jiān)控，實現(xiàn)動態(tài)度量。

（2）虛擬化的TPM。針對云環(huán)境中的虛擬機(jī)，設(shè)計虛擬化的TPM，稱之為vTPM。vTPM的功能是使每個虛擬機(jī)帶有一個實現(xiàn)TPM功能的平臺，以保證在虛擬機(jī)中可信環(huán)境的實現(xiàn)。vTPM不僅能夠讓虛擬機(jī)使用TPM的全部功能，而且能夠接受來自前端程序的調(diào)用來模擬TPM的功能，對于應(yīng)用程序而言，vTPM是透明的。數(shù)字圖書館云平臺安全的關(guān)鍵就是虛擬機(jī)的安全，云計算所提供的各種服務(wù)都是通過虛擬機(jī)來完成的，將可信技術(shù)與虛擬機(jī)技術(shù)相互協(xié)作、取長補(bǔ)短是問題解決的關(guān)鍵。

（3）混合的遠(yuǎn)程證明技術(shù)。數(shù)字圖書館可信云構(gòu)建中采用二進(jìn)制遠(yuǎn)程證明與基于屬性的遠(yuǎn)程證明相結(jié)合的策略。二進(jìn)制遠(yuǎn)程證明技術(shù)證明了虛擬機(jī)的安全性，而面對云平臺軟硬件配置不斷變化的情形，采用基于屬性的遠(yuǎn)程證明技術(shù)。此策略的優(yōu)點是不依賴于平臺的軟硬件配置，避免了暴漏平臺的軟硬件配置狀況而導(dǎo)致的隱私泄露。

目前，可信計算技術(shù)已成為保障云計算安全的最熱門技術(shù)，個人電腦、服務(wù)器中采用的可信計算技術(shù)已內(nèi)置了TPM模塊，從底層保障系統(tǒng)安全，可信云安全技術(shù)將越來越成熟?；谠频臄?shù)字圖書館，必定是未來圖書館發(fā)展趨勢，為用戶提供一個安全、可靠的平臺環(huán)境，從底層到頂層全方位地保障數(shù)字資源及用戶隱私，是下一步研究的方向。

參考文獻(xiàn)：

[1]程風(fēng)剛.基于云計算的數(shù)據(jù)安全風(fēng)險及防范策略[J].圖書館學(xué)研究，2014（2）：15-17.

[2]麥范金，張興旺，李晨暉.云圖書館中移動用戶隱私五維保護(hù)模型的構(gòu)建[J].情報理論與實踐，2014，37（4）：92-97.

[3]張海玉.云平臺下數(shù)字圖書館的安全策略研究[J].圖書館學(xué)研究，2013（3）：42-46.

[4]鄧勝利.基于云技術(shù)的數(shù)字圖書館學(xué)術(shù)資源安全探討[J].數(shù)字圖書館論壇，2015（10）：8-13.

[5]羅東俊.基于可信計算的云計算安全若干關(guān)鍵問題研究[D].廣州：華南理工大學(xué)，2014.

[6]常方舒.基于TPM聯(lián)盟的可信云平臺管理模型[M].保定：河北大學(xué)，2015.

[7]周驊.嵌入式系統(tǒng)可信計算的硬件安全機(jī)制研究[D].貴陽：貴州大學(xué)，2015.

[8]張少華.基于云平臺可信根關(guān)鍵技術(shù)的研究[M].北京：北京工業(yè)大學(xué)，2015.

（責(zé)任編輯：孫 娟）

英文摘要Abstract：This paper introduces the concept of cloud computing and analyzes the cloud computing security in digital library.Proposed a trusted cloud security mechanism which use the trusted computing technology in digital library.Analyzed the key technologies need to be solved in the trusted cloud security mechanism which constructing cloud security environment from bottom hardware to top applications.

英文關(guān)鍵詞Key Words： Cloud Security； Digital Library； Trusted Computing； Trusted Cloud