邵應(yīng)昭，丁躍利，張建華，張佳鵬，楊鵬飛，李劍橋

(1.中國空間技術(shù)研究院 西安分院，陜西 西安 710100；2.西安電子科技大學(xué)，陜西 西安 710071)

0 引 言

隨著信息技術(shù)和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，未來信息服務(wù)基礎(chǔ)設(shè)施將建設(shè)互聯(lián)互通的天地一體化信息網(wǎng)絡(luò)系統(tǒng)，具備向眾多用戶群體提供網(wǎng)絡(luò)化、差異化信息服務(wù)的能力。天基信息系統(tǒng)是國家信息化建設(shè)的重要基礎(chǔ)性設(shè)施，它通過運(yùn)行在外空間的星載資源實(shí)現(xiàn)信息的獲取、傳輸、處理及分發(fā)等功能，獲取全球范圍內(nèi)近實(shí)時(shí)的態(tài)勢(shì)感知情報(bào)[1]。天基信息系統(tǒng)作為未來信息服務(wù)基礎(chǔ)設(shè)施的重要組成系統(tǒng)，將基于嵌入式架構(gòu)構(gòu)建網(wǎng)絡(luò)化云平臺(tái)，以提高天基信息服務(wù)基礎(chǔ)設(shè)施的整體服務(wù)效能[2]。

安全防護(hù)保障為天地一體化信息網(wǎng)絡(luò)可靠運(yùn)行的關(guān)鍵支撐。有別于地面?zhèn)鹘y(tǒng)網(wǎng)絡(luò)，天地一體化信息網(wǎng)絡(luò)節(jié)點(diǎn)分布廣泛、體系結(jié)構(gòu)復(fù)雜、信道開放透明、拓?fù)鋭?dòng)態(tài)變化、大尺度傳輸鏈路以及面向全球提供服務(wù)保障的網(wǎng)絡(luò)特征，使其數(shù)據(jù)傳輸、信息服務(wù)等本身就更易受到來自外部的自然干擾和惡意攻擊，這對(duì)各方面的安全運(yùn)行能力提出了更高要求[3-4]。

天基信息系統(tǒng)基于天基網(wǎng)絡(luò)化云平臺(tái)構(gòu)建，云平臺(tái)面向各類用戶提供云計(jì)算、云存儲(chǔ)和數(shù)據(jù)庫檢索等服務(wù)，但超大規(guī)模天基用戶的共享資源應(yīng)用、計(jì)算環(huán)境的動(dòng)態(tài)復(fù)雜性、平臺(tái)資源的開放性等特性，使得天基網(wǎng)絡(luò)體系建設(shè)面臨信息安全諸多方面的全新挑戰(zhàn)。一方面，由于空間鏈路的開放性，懷有各種目的外部攻擊者非法入侵天基網(wǎng)絡(luò)系統(tǒng)來竊取或者破壞資源，一旦遭受攻擊，將發(fā)生不可估量的損失。另一方面，由于天基嵌入式云平臺(tái)資源高度共享，接入平臺(tái)的內(nèi)部好奇用戶期望獲取自身權(quán)限以外的隱私或保密數(shù)據(jù)，對(duì)用戶的隱私數(shù)據(jù)安全也會(huì)帶來一定的挑戰(zhàn)。

因此，在構(gòu)建天基網(wǎng)絡(luò)體系云平臺(tái)的同時(shí)，需構(gòu)建安全服務(wù)體系，面向廣大用戶的應(yīng)用服務(wù)需求，提供安全接入鑒權(quán)控制能力和分級(jí)權(quán)限安全控制能力，從信息安全角度屏蔽非法用戶接入、限制內(nèi)部好奇用戶的越權(quán)行為，并保證數(shù)據(jù)的真實(shí)性、機(jī)密性、完整性和不可否認(rèn)性。

1 云計(jì)算及安全技術(shù)發(fā)展概況

1.1 云計(jì)算技術(shù)發(fā)展概況

云計(jì)算是網(wǎng)格計(jì)算、并行計(jì)算、效用計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物[5]。相對(duì)傳統(tǒng)計(jì)算機(jī)系統(tǒng)，使用云計(jì)算具有以下優(yōu)勢(shì)[6]：

(1)資源共享，低成本：云計(jì)算組件通過網(wǎng)絡(luò)互聯(lián)，向用戶提供共享服務(wù)，降低成本。

(2)應(yīng)用安全：多用戶以受控方式獨(dú)立運(yùn)行在隔離的虛擬化環(huán)境下，可通過管控虛擬機(jī)的權(quán)限來提高應(yīng)用安全性。

(3)資源可伸縮：提供彈性的計(jì)算與存儲(chǔ)資源管理服務(wù)，以滿足用戶不同的資源需求。

(4)應(yīng)用快速部署：支持應(yīng)用動(dòng)態(tài)部署，快速啟動(dòng)計(jì)算任務(wù)。

云計(jì)算相關(guān)技術(shù)已成熟，其發(fā)展歷程大致如下[7]：

20世紀(jì)60年代，IBM首先推出虛擬化技術(shù)并應(yīng)用在其7044計(jì)算機(jī)系統(tǒng)，使得在同一臺(tái)物理主機(jī)可以同時(shí)運(yùn)行多個(gè)物理設(shè)備。之后IBM又開發(fā)了型號(hào)為Model 67的System/360主機(jī)進(jìn)行虛擬化應(yīng)用，通過虛擬機(jī)虛擬所有的硬件接口，直接運(yùn)行在底層硬件，使得系統(tǒng)可同時(shí)運(yùn)行多個(gè)虛擬設(shè)備。

1999年，VMware公司解決了X86硬件平臺(tái)的完全虛擬化問題，推出了X86平臺(tái)的虛擬機(jī)軟件，支持X86平臺(tái)上的所有客戶操作系統(tǒng)，虛擬化技術(shù)開始走向普通用戶。

2005年～2006年，Intel和AMD推出支持虛擬化技術(shù)的處理器和芯片組，實(shí)現(xiàn)了硬件輔助虛擬化技術(shù)。Amazon采用虛擬化技術(shù)提供云計(jì)算平臺(tái)，取得了商業(yè)上的成功。

2012年，美國風(fēng)河公司提出嵌入式云計(jì)算概念。

嵌入式云計(jì)算概念的提出，為天基云平臺(tái)構(gòu)建提供了可能。類似于地面計(jì)算由本地單節(jié)點(diǎn)計(jì)算發(fā)展到云計(jì)算，用戶計(jì)算機(jī)的配置要求大幅降低，整體系統(tǒng)計(jì)算效能大幅提高?？臻g計(jì)算體系由單星計(jì)算向云計(jì)算系統(tǒng)發(fā)展，將帶來天基計(jì)算模式的應(yīng)用轉(zhuǎn)變，可降低衛(wèi)星或終端用戶的處理資源要求，解決當(dāng)前衛(wèi)星系統(tǒng)資源利用效率低、共享能力弱的問題。

1.2 云計(jì)算安全發(fā)展現(xiàn)狀

云計(jì)算發(fā)展面臨許多關(guān)鍵性問題,而安全問題首當(dāng)其沖。并且隨著云計(jì)算的不斷普及,安全問題的重要性呈現(xiàn)逐步上升趨勢(shì),已成為制約其發(fā)展的重要因素。Gartner2009年的調(diào)查結(jié)果就已顯示,70%以上受訪企業(yè)的CTO認(rèn)為近期不采用云計(jì)算的首要原因在于存在數(shù)據(jù)安全性與隱私性的憂慮[8-10]。根據(jù)Gartner的調(diào)查報(bào)告，超過85%的用戶對(duì)云計(jì)算的安全性表示關(guān)注，用戶對(duì)安全性的關(guān)注程度超過系統(tǒng)可用性、系統(tǒng)性能等，安全性已成為用戶最為關(guān)注的方面[11-13]。

云計(jì)算系統(tǒng)不僅面臨著傳統(tǒng)信息系統(tǒng)(或軟件系統(tǒng)等)的安全問題，還面臨著由其運(yùn)營特點(diǎn)所產(chǎn)生的一些新的安全威脅[11]。云計(jì)算在安全方面必須解決好下列問題：多租戶高效、安全的資源共享；租戶角色信任關(guān)系保證；個(gè)性化、多層次的安全保障機(jī)制；以及效率、經(jīng)濟(jì)性與安全性兼顧的多屬性服務(wù)系統(tǒng)[14]。

現(xiàn)有的云計(jì)算安全架構(gòu)[15]主要分為三類：基于可信根的云計(jì)算安全架構(gòu)試圖通過可信計(jì)算的成果從根本上解決云計(jì)算的安全問題，但不利于對(duì)現(xiàn)有資源的繼承與利用?；诟綦x的云計(jì)算安全架構(gòu)旨在針對(duì)所有的租戶構(gòu)建封閉且安全的運(yùn)行環(huán)境，從而保證其定制服務(wù)的安全性，但其勢(shì)必增加租戶間協(xié)作的難度，引起管理成本的提高。安全即服務(wù)的架構(gòu)充分考慮到了租戶的個(gè)性化需求，提出以租戶服務(wù)要求為導(dǎo)向的云計(jì)算安全架構(gòu)，但是缺乏讓租戶和提供商及時(shí)且明晰地獲得各自安全需求的方法。

吸取上述架構(gòu)優(yōu)點(diǎn)，基于可信系統(tǒng)設(shè)計(jì)理念，文獻(xiàn)[15]提出了可管、可控、可度量的云計(jì)算安全架構(gòu)，如圖1所示，參考SLA(service-level agreement)確定系統(tǒng)的度量指標(biāo)體系，采用SOA(service oriented architecture)架構(gòu)充分滿足用戶的個(gè)性化需求，安全架構(gòu)根據(jù)用戶的差異化需求，分為SaaS(software as a service)、PaaS(platform as a service)、IaaS(infrastructure as a service)三個(gè)層面。

圖1 可管、可控、可度量的云計(jì)算安全架構(gòu)

該架構(gòu)的設(shè)計(jì)借鑒了安全即服務(wù)架構(gòu)思想，主要包括三個(gè)組成部分：云計(jì)算安全服務(wù)框架、云計(jì)算安全技術(shù)框架和云計(jì)算安全度量框架。安全服務(wù)框架主要用于實(shí)現(xiàn)租戶的定制化需求，是租戶安全目標(biāo)的集合；安全技術(shù)框架負(fù)責(zé)管理各種云計(jì)算安全機(jī)制，也是架構(gòu)安全方法的集合；安全度量框架提供系統(tǒng)的安全狀態(tài)分析，為租戶和提供商選取安全策略提供數(shù)據(jù)支撐[15]。

2 天基網(wǎng)絡(luò)化嵌入式云安全服務(wù)平臺(tái)構(gòu)建

天基網(wǎng)絡(luò)化嵌入式云安全服務(wù)平臺(tái)通過計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源的虛擬化，大幅提升資源利用效率、資源共享能力和應(yīng)用的安全性可靠性，向用戶提供無需關(guān)心硬件資源的應(yīng)用模式。

2.1 天基網(wǎng)絡(luò)化嵌入式云安全服務(wù)系統(tǒng)物理拓?fù)?/h3>

天基網(wǎng)絡(luò)化嵌入式云安全服務(wù)物理拓?fù)浼軜?gòu)如圖2所示，基于嵌入式資源虛擬化、嵌入式一致性協(xié)議及規(guī)范，可面向廣大用戶，實(shí)現(xiàn)天基資源的高效能共享。

在計(jì)算平臺(tái)領(lǐng)域，通常將計(jì)算平臺(tái)分為通用計(jì)算平臺(tái)和嵌入式計(jì)算平臺(tái)。通用計(jì)算平臺(tái)一般以X86等復(fù)雜指令集處理器為基礎(chǔ)，由于市場(chǎng)規(guī)模大，其CPU處理器、操作系統(tǒng)及相關(guān)標(biāo)準(zhǔn)組件相對(duì)成熟，在地面云系統(tǒng)中應(yīng)用廣泛，支持操作系統(tǒng)，可靈活擴(kuò)展外設(shè)，但功耗高、重量重、能效比低，常規(guī)散熱溫控環(huán)境在天基真空環(huán)境中無法提供，硬件、軟件針對(duì)天基應(yīng)用可靠性不足。嵌入式計(jì)算平臺(tái)通常以精簡(jiǎn)指令集處理器為基礎(chǔ)，廣泛應(yīng)用于可靠性、實(shí)時(shí)性要求高的領(lǐng)域，目前在軌的計(jì)算處理平臺(tái)均采用嵌入式架構(gòu)。

雖然地面云技術(shù)已相對(duì)成熟并得到很好應(yīng)用，但考慮天基應(yīng)用空間和資源受限、能耗比要求高、高可靠、抗輻射等因素，其硬件架構(gòu)、方案、相關(guān)技術(shù)并不能直接用于構(gòu)建天基云系統(tǒng)。結(jié)合云計(jì)算的技術(shù)優(yōu)勢(shì)研究及嵌入式云計(jì)算概念的提出，文中提出了嵌入式架構(gòu)的云計(jì)算服務(wù)系統(tǒng)，可滿足天基網(wǎng)絡(luò)化嵌入式云服務(wù)系統(tǒng)的特殊工程應(yīng)用環(huán)境要求。

天基網(wǎng)絡(luò)化嵌入式云服務(wù)平臺(tái)參考地面云計(jì)算技術(shù)構(gòu)建，經(jīng)移植、精簡(jiǎn)和定制開發(fā)，最終通過覆蓋全球的多顆綜合衛(wèi)星體構(gòu)成“天基云系統(tǒng)”。衛(wèi)星間通過高速星間鏈路互聯(lián)并進(jìn)行資源一致性管理，單顆衛(wèi)星作為“云平臺(tái)”，其上部署若干個(gè)綜合計(jì)算/存儲(chǔ)/網(wǎng)絡(luò)“云節(jié)點(diǎn)”，采用虛擬化等云計(jì)算技術(shù)實(shí)現(xiàn)天基計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源集中調(diào)度管理、資源隔離安全、按需供給和充分利用，降低資源閑置率，提高系統(tǒng)整體綜合服務(wù)效能。

天基網(wǎng)絡(luò)化嵌入式云服務(wù)平臺(tái)的構(gòu)建和擴(kuò)展需要一個(gè)循序漸進(jìn)、不斷完善的過程，系統(tǒng)框架、機(jī)制的設(shè)計(jì)不僅需要兼容現(xiàn)有天基分立系統(tǒng)和后續(xù)部署系統(tǒng)的資源異構(gòu)性，同時(shí)需要支持不同用戶的安全差異性和陸、海、空、天的多源異質(zhì)數(shù)據(jù)安全接入。

天基網(wǎng)絡(luò)化嵌入式云服務(wù)平臺(tái)與用戶的交互及使用流程具體如下：

(1)用戶通過星地接入控制鏈路訪問天基云系統(tǒng)；

(2)天基云系統(tǒng)門戶對(duì)用戶進(jìn)行身份認(rèn)證；

(3)用戶根據(jù)自身需求向云系統(tǒng)門戶提交計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源申請(qǐng)；

(4)天基云系統(tǒng)門戶根據(jù)用戶權(quán)限等級(jí)和資源調(diào)配情況，為用戶分配資源；

(5)用戶完成計(jì)算任務(wù)，向門戶提交資源釋放申請(qǐng)；

(6)門戶釋放資源，將其整合到可用資源池中。

2.2 天基分層式云安全軟件架構(gòu)

針對(duì)天基嵌入式云服務(wù)體系需要具備多用戶身份認(rèn)證、大數(shù)據(jù)安全接入控制、天基安全加密云存儲(chǔ)及安全檢索、計(jì)算權(quán)限安全控制等能力需求，在充分調(diào)研、研究地面通用云計(jì)算軟件層次架構(gòu)的基礎(chǔ)上，結(jié)合天基云系統(tǒng)與地面系統(tǒng)的差異，提出了如圖3所示的天基分層式云安全軟件架構(gòu)。

圖3 天基分層式云安全軟件架構(gòu)

可管、可控、可度量云計(jì)算的安全架構(gòu)基于地面云計(jì)算安全架構(gòu)的理論和技術(shù)研究成果，提出了結(jié)合當(dāng)前主流三類安全架構(gòu)優(yōu)勢(shì)的綜合架構(gòu)，可為各類云計(jì)算安全系統(tǒng)構(gòu)建提供參考。

天基分層式云安全軟件架構(gòu)面向天基云系統(tǒng)的應(yīng)用場(chǎng)景和特殊環(huán)境安全需求，借鑒可管、可控、可度量的架構(gòu)思路，其構(gòu)建的天基安全服務(wù)框架針對(duì)天基特殊環(huán)境及應(yīng)用場(chǎng)景下的SaaS、PaaS、IaaS三層具體云服務(wù)組件進(jìn)行設(shè)計(jì)。安全度量部分可實(shí)現(xiàn)天基分布式平臺(tái)數(shù)據(jù)和用戶數(shù)據(jù)的安全監(jiān)控，并進(jìn)行安全指標(biāo)和能力的量化分析，提供給天基用戶，可支持不同用戶選擇適合自身應(yīng)用場(chǎng)景的安全策略，最終實(shí)現(xiàn)天基云系統(tǒng)安全“可度量”。安全架構(gòu)支持對(duì)用戶、權(quán)限、時(shí)間、流程、系統(tǒng)變更等不同方面的動(dòng)態(tài)安全管理和控制，可實(shí)現(xiàn)天基云系統(tǒng)安全“可管”、“可控”。

天基分層式云安全軟件架構(gòu)基于天基環(huán)狀網(wǎng)絡(luò)物理實(shí)體實(shí)現(xiàn)部署運(yùn)行，將天基分布式基礎(chǔ)網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)資源通過標(biāo)準(zhǔn)萬兆網(wǎng)協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)化互聯(lián)，并實(shí)現(xiàn)資源的虛擬化和動(dòng)態(tài)管理控制，面向用戶應(yīng)用需求，實(shí)現(xiàn)天基基礎(chǔ)硬件資源的動(dòng)態(tài)管理和硬件架構(gòu)重構(gòu)。在滿足用戶資源使用、資源共享和應(yīng)用服務(wù)的同時(shí)，結(jié)合架構(gòu)中的安全管理、安全控制、和安全度量等安全策略，保障用戶過程安全和數(shù)據(jù)安全。

軟件架構(gòu)基于底層硬件資源可以分為基礎(chǔ)服務(wù)層(IaaS)、應(yīng)用支撐層(PaaS)和統(tǒng)一門戶層(SaaS)。在對(duì)地面云系統(tǒng)軟件架構(gòu)進(jìn)行裁剪的基礎(chǔ)上，增加三大部分組件，添加面向嵌入式硬件資源的輕量虛擬化引擎；添加安全服務(wù)、虛擬化安全管理、硬件安全三個(gè)層面構(gòu)建的安全服務(wù)體系；添加在軌處理、多源檢索、用戶權(quán)限管理等天基應(yīng)用相關(guān)組件。最終構(gòu)建的天基云系統(tǒng)軟件架構(gòu)向用戶提供SaaS和PaaS兩層服務(wù)，IaaS不對(duì)用戶開放，為用戶應(yīng)用提供虛擬化資源；每一層均涉及安全服務(wù)。IaaS基礎(chǔ)層分為虛擬化層和虛擬化管理平臺(tái)，虛擬化層運(yùn)行在操作系統(tǒng)之上，主要對(duì)異構(gòu)資源虛擬化，屏蔽底層差異性，構(gòu)建天基云系統(tǒng)的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源池，資源池邏輯統(tǒng)一，向上層提供服務(wù)。

天基云系統(tǒng)軟件架構(gòu)以TPM可信平臺(tái)模塊為可信根，可信虛擬機(jī)負(fù)責(zé)密鑰管理和分發(fā)任務(wù)，最大程度滿足可信計(jì)算關(guān)于防旁路、防篡改等基礎(chǔ)要求，為系統(tǒng)提供高級(jí)別安全保障。

應(yīng)用支撐層包括平臺(tái)通用應(yīng)用組件和領(lǐng)域通用組件兩個(gè)部分，平臺(tái)通用應(yīng)用組件包括身份認(rèn)證管理、權(quán)限控制、自動(dòng)化部署、加解密操作、監(jiān)控容錯(cuò)，身份認(rèn)證管理采用雙向用戶身份認(rèn)證，將授權(quán)合法用戶接入，屏蔽非法、無效用戶屏蔽；權(quán)限控制采用細(xì)粒度控制策略，將云平臺(tái)的資源和對(duì)資源訪問的權(quán)限細(xì)分，劃分不同的用戶組；自動(dòng)化部署為用戶的應(yīng)用提供運(yùn)行環(huán)境，支撐用戶的應(yīng)用動(dòng)態(tài)部署，用戶采用多種開發(fā)語言的應(yīng)用上傳到云平臺(tái)后，將會(huì)在底層啟動(dòng)相應(yīng)的虛擬機(jī)，虛擬機(jī)內(nèi)自動(dòng)安裝應(yīng)用所需的執(zhí)行運(yùn)行環(huán)境，應(yīng)用執(zhí)行完后，相應(yīng)虛擬機(jī)回收釋放資源。加解密操作一方面作為在進(jìn)行用戶增加等系統(tǒng)操作時(shí)產(chǎn)生所需的非對(duì)稱密鑰，為大數(shù)據(jù)的流加密提供對(duì)稱密鑰等，同時(shí)也提供給用戶使用，用戶可以自主調(diào)用加解密模塊在應(yīng)用內(nèi)實(shí)現(xiàn)相應(yīng)的加解密操作。

3 天基云系統(tǒng)應(yīng)用安全服務(wù)體系構(gòu)建

天基云系統(tǒng)應(yīng)用安全服務(wù)體系在天基分層式云安全軟件架構(gòu)中實(shí)現(xiàn)，作為操作系統(tǒng)的標(biāo)準(zhǔn)安全控制組件在天基云軟件上部署運(yùn)行，在嵌入式安全服務(wù)總體架構(gòu)下，基于虛擬化安全隔離等關(guān)鍵技術(shù)，實(shí)現(xiàn)天基資源的安全共享，并保證廣大用戶的接入、檢索和應(yīng)用安全。

3.1 天基應(yīng)用安全服務(wù)體系架構(gòu)

天基云系統(tǒng)應(yīng)用安全架構(gòu)如圖4所示，采用層次化的云安全策略，可為云系統(tǒng)用戶提供云數(shù)據(jù)安全存儲(chǔ)、隱私保護(hù)、可信云計(jì)算的服務(wù)。

圖4 天基安全服務(wù)體系架構(gòu)

云系統(tǒng)安全架構(gòu)可以分為云應(yīng)用、云服務(wù)和云基礎(chǔ)服務(wù)安全層，不同層引入了相應(yīng)的安全策略，在云基礎(chǔ)服務(wù)層包括基礎(chǔ)設(shè)備安全和虛擬機(jī)安全，基礎(chǔ)設(shè)備安全包括雙機(jī)冗余、負(fù)載均衡、可信技術(shù)和容侵容災(zāi)四個(gè)部分，體現(xiàn)在硬件平臺(tái)采用了雙主控板的方式協(xié)同處理大數(shù)據(jù)的接入，監(jiān)控系統(tǒng)監(jiān)控到單主控失效后，在秒級(jí)單位內(nèi)將大數(shù)據(jù)接入任務(wù)切換到備份主控，提供不間斷服務(wù)；在計(jì)算單元內(nèi)具有TPM可信平臺(tái)模塊，包括隨機(jī)數(shù)生成、SHA-1引擎、RSA引擎、非易失性存儲(chǔ)器等，以此為可信計(jì)算的信任根，負(fù)責(zé)保存具有訪問系統(tǒng)權(quán)限的用戶和系統(tǒng)自身的公鑰和私鑰，生成對(duì)象加密密鑰等；同時(shí)硬件層之上的操作系統(tǒng)的內(nèi)核和應(yīng)用也進(jìn)行了裁剪，去除不相關(guān)的模塊，降低底層因?yàn)檐浖┒吹纫蛩乇蝗肭值母怕?。?duì)虛擬機(jī)的安全采用了一系列的安全措施，首先限制虛擬機(jī)與外面的通信，對(duì)虛擬機(jī)設(shè)置防火墻，限制可以訪問虛擬機(jī)的端口和用戶，同時(shí)虛擬機(jī)間進(jìn)行隔離和監(jiān)控，實(shí)時(shí)監(jiān)控虛擬機(jī)的運(yùn)行狀態(tài)，防止虛擬機(jī)內(nèi)運(yùn)行的應(yīng)用惡意攻擊系統(tǒng)和其他正常虛擬機(jī)，最小化虛擬機(jī)內(nèi)應(yīng)用崩潰等對(duì)其他正常應(yīng)用的影響。同時(shí)通過權(quán)限控制策略限制不同虛擬機(jī)的可訪問資源，保護(hù)敏感數(shù)據(jù)不受非法操作。

在云服務(wù)層包括訪問控制、安全傳輸和安全云存儲(chǔ)三個(gè)部分，訪問控制主要針對(duì)用戶，細(xì)粒度劃分系統(tǒng)的資源訪問控制權(quán)限，將用戶劃分不同安全級(jí)別進(jìn)行資源的使用。安全傳輸包括采用流加密方式將百Gbps數(shù)據(jù)加密傳輸，其他用戶數(shù)據(jù)的傳輸采用非對(duì)稱加密傳輸，安全云存儲(chǔ)系統(tǒng)可以根據(jù)數(shù)據(jù)的安全等級(jí)采用不同加密算法對(duì)數(shù)據(jù)加密，同時(shí)利用TPM模塊將加密文件的密鑰存儲(chǔ)在本地磁盤。

云應(yīng)用層包括身份認(rèn)證、拒絕服務(wù)攻擊屏蔽等，衛(wèi)星接入天基云系統(tǒng)需要進(jìn)行身份認(rèn)證，認(rèn)證完成后即以單點(diǎn)登錄的方式登錄系統(tǒng)，隨后可以訪問系統(tǒng)內(nèi)所有授權(quán)的資源，同時(shí)用戶數(shù)據(jù)傳輸時(shí)采用數(shù)字簽名的方式防止未授權(quán)衛(wèi)星等發(fā)送偽造數(shù)據(jù)攻擊系統(tǒng)，采用了雙端口的方式屏蔽拒絕服務(wù)攻擊，用戶通過非受控端口與云系統(tǒng)進(jìn)行雙向身份認(rèn)證，在完成身份認(rèn)證后，計(jì)算平臺(tái)為成功認(rèn)證后的數(shù)據(jù)源分配一個(gè)特定的受控端口；之后，數(shù)據(jù)源可通過云系統(tǒng)的特定受控端口實(shí)現(xiàn)到云系統(tǒng)的安全接入。

3.2 面向應(yīng)用安全的天基嵌入式安全服務(wù)策略

天基網(wǎng)絡(luò)化嵌入式安全云服務(wù)體系的安全服務(wù)策略基于圖4所示的安全服務(wù)體系架構(gòu)，均在圖3所示的天基分層式云安全軟件應(yīng)用層實(shí)現(xiàn)，安全服務(wù)策略覆蓋用戶與天基云平臺(tái)的交互和操作全流程，針對(duì)不同的安全威脅，采用不同的安全服務(wù)策略。安全服務(wù)策略主要包含防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)四種安全機(jī)制，又可細(xì)分為七類安全措施，為各類用戶提供接入安全、應(yīng)用安全、計(jì)算安全、系統(tǒng)安全等安全服務(wù)。圖5所示為基于PDRR(protect、detect、response、recover)安全模型實(shí)現(xiàn)的天基云平臺(tái)安全服務(wù)策略。

圖5 天基嵌入式安全服務(wù)策略

安全服務(wù)體系參考PDRR標(biāo)準(zhǔn)安全體系模型，包含防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四部分，共七個(gè)層次。端口保護(hù)以防火墻為主，加密傳輸為輔，屏蔽非法請(qǐng)求；接入控制通過多級(jí)安全服務(wù)策略實(shí)現(xiàn)用戶安全接入認(rèn)證；檢測(cè)部分采用動(dòng)靜結(jié)合策略，首先提取應(yīng)用執(zhí)行體特征碼，與已知惡意程序匹配，清除惡意程序，并通過監(jiān)控程序發(fā)送警報(bào)，隨后在虛擬環(huán)境下觀察應(yīng)用調(diào)用系統(tǒng)API接口的動(dòng)態(tài)，判斷應(yīng)用合法性；響應(yīng)部分采用自定義訪問策略和資源隔離的手段，基于SELinux安全模塊定義適用于天基云平臺(tái)的安全策略，實(shí)時(shí)限制非法操作，同時(shí)利用虛擬化技術(shù)實(shí)現(xiàn)應(yīng)用間的邏輯隔離，切斷非法操作；最后的恢復(fù)部分采用動(dòng)態(tài)監(jiān)控容錯(cuò)技術(shù)，具體為硬件冗余、系統(tǒng)狀態(tài)監(jiān)控和軟件檢查點(diǎn)策略，提高系統(tǒng)遭受攻擊時(shí)的頑存性。

4 結(jié)束語

在充分調(diào)研云計(jì)算及安全系統(tǒng)發(fā)展歷程及相關(guān)關(guān)鍵技術(shù)發(fā)展的基礎(chǔ)上，結(jié)合天地一體化信息網(wǎng)絡(luò)系統(tǒng)對(duì)天基信息基礎(chǔ)設(shè)施提出的云計(jì)算及安全服務(wù)體系建設(shè)需求，提出了天基網(wǎng)絡(luò)化嵌入式云服務(wù)平臺(tái)構(gòu)建思路，以及基于嵌入式云服務(wù)體系的天基云系統(tǒng)應(yīng)用安全架構(gòu)，可提高天基云平臺(tái)資源利用效率，實(shí)現(xiàn)天基資源高效能共享，并有效解決海量多用戶接入、計(jì)算、存儲(chǔ)安全等問題，可為天基嵌入式云計(jì)算及安全服務(wù)體系構(gòu)建提供有效參考和借鑒。