梁 浩，陳福才，霍樹民

(國(guó)家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002)

0 引言

天地一體化信息網(wǎng)絡(luò)是國(guó)家面向2030的重大科技工程。隨著全球信息基礎(chǔ)設(shè)施的加速云化重構(gòu)，網(wǎng)云一體化的發(fā)展趨勢(shì)愈發(fā)明顯，云計(jì)算已經(jīng)成為天地一體化信息網(wǎng)絡(luò)提供應(yīng)用服務(wù)的主要承載形式。

地面信息港是整個(gè)天基網(wǎng)絡(luò)服務(wù)體系的核心，其通過分布式架構(gòu)實(shí)現(xiàn)資源云端匯聚，提供網(wǎng)絡(luò)與通信、定時(shí)導(dǎo)航授時(shí)增強(qiáng)、遙感與地理信息等數(shù)據(jù)服務(wù)，共同形成邏輯一體、功能分布的服務(wù)應(yīng)用支撐體系。云計(jì)算海量的存儲(chǔ)能力和超強(qiáng)的運(yùn)算能力，使得天地一體化網(wǎng)絡(luò)信息服務(wù)的領(lǐng)域和范疇更為豐富和多樣化，為隨時(shí)隨地的數(shù)據(jù)交互和個(gè)性化運(yùn)算服務(wù)提供強(qiáng)大的計(jì)算、存儲(chǔ)、傳送等數(shù)據(jù)處理能力支撐；同時(shí)天地融合、云網(wǎng)一體也突破了傳統(tǒng)地面網(wǎng)絡(luò)的互連互通，實(shí)現(xiàn)陸、海、空、天等不同維度虛/實(shí)空間的多維聯(lián)動(dòng)，不斷拓展網(wǎng)絡(luò)數(shù)據(jù)資源與信息共享服務(wù)的覆蓋廣度與深度。

然而，天地一體化信息網(wǎng)絡(luò)的異構(gòu)、開放和高度融合性，也為地面信息港尤其是云計(jì)算平臺(tái)的安全防護(hù)帶來了更為嚴(yán)峻的安全形勢(shì)。本文針對(duì)地面信息港云計(jì)算平臺(tái)的安全防護(hù)問題，通過梳理分析其面臨的安全威脅，從訪問控制、入侵檢測(cè)、錯(cuò)誤容忍、可信計(jì)算、動(dòng)態(tài)防護(hù)等方面，介紹目前安全防御技術(shù)的研究進(jìn)展，從防御效果的角度對(duì)相關(guān)技術(shù)進(jìn)行分析對(duì)比，最后對(duì)安全防御技術(shù)未來發(fā)展趨勢(shì)進(jìn)行展望。

1 安全威脅

針對(duì)云計(jì)算面臨的安全威脅，國(guó)內(nèi)外學(xué)者開展了多層次、多領(lǐng)域的分析與研究。尤其是作為空間信息的集散中心，地面信息港云計(jì)算基礎(chǔ)設(shè)施需要實(shí)現(xiàn)空間數(shù)據(jù)的實(shí)時(shí)接入、高效分發(fā)與按需處理數(shù)據(jù)，滿足多源、異構(gòu)空間服務(wù)應(yīng)用的動(dòng)態(tài)開放式集成，傳統(tǒng)的隔離與控制方式無法適應(yīng)動(dòng)態(tài)安全的防護(hù)需求；與此同時(shí)，天基網(wǎng)絡(luò)自身的開放性、廣域覆蓋等特點(diǎn)，進(jìn)一步放大了傳統(tǒng)地面信息港的攻擊面，不斷加劇云平臺(tái)所面臨的安全風(fēng)險(xiǎn)，主要表現(xiàn)在以下幾個(gè)方面。

1.1 異構(gòu)網(wǎng)絡(luò)融合互聯(lián)引入安全風(fēng)險(xiǎn)

天基網(wǎng)絡(luò)具有“廣域分布、高度暴露、組網(wǎng)動(dòng)態(tài)性、網(wǎng)絡(luò)異構(gòu)性、鏈路間歇性、通信能力受限、規(guī)模大范圍廣”等特點(diǎn)，傳統(tǒng)靜態(tài)地面網(wǎng)絡(luò)安全體系無法適用于空間網(wǎng)絡(luò)安全需求，加之網(wǎng)絡(luò)應(yīng)用非常敏感，極易成為網(wǎng)絡(luò)攻擊重點(diǎn)目標(biāo)，因此更加容易受到形形色色的網(wǎng)絡(luò)攻擊，包括跨網(wǎng)域傳播病毒木馬、借助廣域立體分布的接入點(diǎn)針對(duì)網(wǎng)絡(luò)瓶頸資源或關(guān)鍵節(jié)點(diǎn)發(fā)起致亂致癱攻擊、掃描探測(cè)多樣化設(shè)備或異構(gòu)互連中可能存在的漏洞實(shí)施非授權(quán)訪問、信息竊取、信息篡改等。天地一體化信息網(wǎng)絡(luò)在將天基網(wǎng)絡(luò)與地面網(wǎng)絡(luò)互聯(lián)融合的同時(shí)，也將各種網(wǎng)域(尤其是天基網(wǎng)絡(luò))的安全風(fēng)險(xiǎn)引入地面信息港云服務(wù)平臺(tái)并為跨網(wǎng)域復(fù)合攻擊創(chuàng)造了條件，安全形勢(shì)更為嚴(yán)峻。

1.2 漏洞后門普遍存在引發(fā)未知威脅

信息系統(tǒng)的設(shè)計(jì)鏈、生產(chǎn)鏈以及供應(yīng)鏈很長(zhǎng)，我國(guó)作為信息技術(shù)后進(jìn)國(guó)家，很難做到天地一體化信息網(wǎng)絡(luò)中各天基、地面網(wǎng)元軟硬件系統(tǒng)的自主可控，無法確保商業(yè)化軟硬構(gòu)件供應(yīng)鏈的可信性，即便是做到軟硬件的自主可控，以人類現(xiàn)有的科技能力也難以避免在軟硬件設(shè)計(jì)和實(shí)現(xiàn)過程中引入的缺陷。因而，漏洞和后門問題無論是從技術(shù)還是經(jīng)濟(jì)上都不可能徹底消除。同時(shí)在云環(huán)境中，信息產(chǎn)業(yè)全球化背景下網(wǎng)絡(luò)空間“攻易守難”基本態(tài)勢(shì)沒有改變，多租戶共模式使得軟硬件未知漏洞、后門所帶來的未知安全威脅被進(jìn)一步放大，特別當(dāng)云平臺(tái)采用同質(zhì)化的系統(tǒng)架構(gòu)和基礎(chǔ)設(shè)施時(shí)，基于漏洞和后門造成的部分組件損害會(huì)快速傳染整個(gè)系統(tǒng)，直到癱瘓。

1.3 資源虛擬云端匯聚帶來安全威脅

在云環(huán)境下，資源的虛擬化和開放共享等特點(diǎn)使得不同主機(jī)、用戶和業(yè)務(wù)的物理邊界變得模糊，基于邊界的傳統(tǒng)防御思路難以有效實(shí)施；其次，“堡壘更容易從內(nèi)部突破”，一旦進(jìn)入云數(shù)據(jù)中心的內(nèi)部，攻擊者或惡意用戶便可借助內(nèi)部網(wǎng)絡(luò)和虛擬層對(duì)其他節(jié)點(diǎn)發(fā)起攻擊，威脅更易傳播，加之IT基礎(chǔ)設(shè)施的同質(zhì)化，單一主機(jī)的脆弱性極易被放大；再次，云計(jì)算服務(wù)模式還滋生了新型的攻擊模式，如側(cè)信道攻擊、虛擬機(jī)同駐攻擊等。除基于邊界外，現(xiàn)有防護(hù)技術(shù)遵循“威脅感知、認(rèn)知決策、問題移除”“依賴于先驗(yàn)知識(shí)”的模式，難以有效應(yīng)對(duì)云環(huán)境下內(nèi)外部威脅。

2 研究進(jìn)展

圍繞云安全防護(hù)問題，國(guó)內(nèi)外學(xué)者開展了許多有益的探索和嘗試。從目前相關(guān)研究來看，大多基于傳統(tǒng)的防護(hù)思路與技術(shù)開展云環(huán)境下的應(yīng)用與改良；隨著網(wǎng)絡(luò)空間防御技術(shù)由被動(dòng)防御到主動(dòng)防御、從外掛堆砌到內(nèi)生融合防御的不斷演化，催生出以可信計(jì)算、移動(dòng)目標(biāo)防御及擬態(tài)防御等為代表的新型防御技術(shù)，為云環(huán)境下的安全防護(hù)提供新的途徑和思路。綜合目前云安全防護(hù)所采用的主要防御技術(shù)，本文重點(diǎn)從訪問控制、入侵檢測(cè)、錯(cuò)誤容忍、可信計(jì)算以及動(dòng)態(tài)防護(hù)等方面，對(duì)云計(jì)算安全問題的研究現(xiàn)狀進(jìn)行綜述與分析。

2.1 訪問控制

云環(huán)境下訪問控制主要是通過限制用戶對(duì)數(shù)據(jù)信息的訪問能力及范圍，保證信息資源不被非法使用和訪問。目前云計(jì)算環(huán)境下的訪問控制研究主要以時(shí)間、網(wǎng)絡(luò)、位置及權(quán)限等屬性要素，從不同的層面構(gòu)建訪問控制模型，如文獻(xiàn)[1]將云端存儲(chǔ)位置作為訪問控制要素，文獻(xiàn)[2]將用戶、環(huán)境、系統(tǒng)狀態(tài)之間的信任關(guān)系作為訪問控制要素等。數(shù)據(jù)加密技術(shù)在云端廣泛應(yīng)用，催生出基于角色加密[3]、基于屬性加密(Attribute-Based Encryption,ABE)[4]等機(jī)制的訪問控制模型，本質(zhì)上還是利用用戶、角色和權(quán)限之間的復(fù)雜關(guān)系作為要素約束，由于密鑰的產(chǎn)生、加密處理、解密運(yùn)算等操作完全依賴用戶自身，該類方案的資源和時(shí)間成本較高，同時(shí)也存在大量的秘鑰管理問題。如何降低用戶在數(shù)據(jù)創(chuàng)建與訪問時(shí)的運(yùn)算量成為研究的熱點(diǎn)，于是出現(xiàn)了代理重加密技術(shù)在云端訪問控制的應(yīng)用和融合，在滿足數(shù)據(jù)安全性需求的同時(shí)，逐步面向多樣化的訪問控制條件，分別出現(xiàn)了基于身份屬性、基于數(shù)字證書以及基于多樣化條件的代理重加密機(jī)制；為了進(jìn)一步減輕數(shù)據(jù)所有者的計(jì)算難度和訪問者密鑰管理量，文獻(xiàn)[5]利用云服務(wù)端的計(jì)算能力提出一種多要素代理重加密機(jī)制，實(shí)現(xiàn)復(fù)雜云環(huán)境下密文數(shù)據(jù)的多要素訪問控制管理問題。

此外，也有文獻(xiàn)從信任的角度，結(jié)合云訪問控制提出了基于信譽(yù)的安全訪問控制機(jī)制，依據(jù)訪問者的信譽(yù)值來控制用戶對(duì)數(shù)據(jù)的訪問和減少數(shù)據(jù)訪問的風(fēng)險(xiǎn)。這些改進(jìn)型的訪問控制只能保證對(duì)云中的用戶的訪問，卻無法檢測(cè)到用戶行為；如何考慮不同用戶和服務(wù)提供者的行為參數(shù)成為研究的重點(diǎn)，針對(duì)該問題文獻(xiàn)[6]在傳統(tǒng)機(jī)器學(xué)習(xí)的基礎(chǔ)上基于主觀的信任模型，提出應(yīng)用模糊方法來計(jì)算信任值和分類信任，并在Paas上進(jìn)行了開發(fā)和應(yīng)用。文獻(xiàn)[7]認(rèn)為訪問控制模型無法對(duì)隱蔽信息流進(jìn)行控制，基于不干涉模型提出了并發(fā)訪問和順序訪問共存的互不干擾方案,以降低云計(jì)算中用戶和虛擬機(jī)之間數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。文獻(xiàn)[8]針對(duì)分布式云計(jì)算數(shù)據(jù)訪問中的信令開銷問題，提出一種新的監(jiān)控方案，通過不同的安全措施降低數(shù)據(jù)交換的安全風(fēng)險(xiǎn)。

2.2 入侵檢測(cè)

入侵檢測(cè)是指通過設(shè)置安全策略來檢測(cè)各種攻擊行為的網(wǎng)絡(luò)入侵，確保己方數(shù)據(jù)的機(jī)密性、完整性及可用性，本質(zhì)上是一種邊界防護(hù)的思路。云計(jì)算環(huán)境下的入侵檢測(cè)根據(jù)代理部署位置和方式的不同，通?？梢苑譃榛谥鳈C(jī)代理、基于網(wǎng)絡(luò)監(jiān)控器、基于Hypervisor代理以及基于協(xié)作代理等[9]。

其中，基于主機(jī)代理的入侵檢測(cè)最為常見，通過配置和執(zhí)行虛擬機(jī)自身內(nèi)置的安全工具，利用系統(tǒng)核心組件分析器和報(bào)警器來訪問被監(jiān)控主機(jī)的所有文件系統(tǒng)。這方面的研究主要集中在如何提高云端入侵檢測(cè)的精度上，如通過聚類、馬爾科夫模型、遺傳算法以及支持向量機(jī)等方法來縮短入侵檢測(cè)時(shí)間，降低算法復(fù)雜度?；贖ypervisor代理的方式是將安全檢測(cè)工具部署在虛擬機(jī)管理層，通過對(duì)被監(jiān)測(cè)虛擬機(jī)中的異常信息進(jìn)行深度分析來發(fā)現(xiàn)入侵攻擊行為，常用的工具如Ether，Xen Access，Libvirt，VMsafe等?；贗DS的虛擬機(jī)自省技術(shù)是基于Hypervisor入侵檢測(cè)系統(tǒng)的一種典型[10]?；诰W(wǎng)絡(luò)監(jiān)控器的方式是指將入侵檢測(cè)系統(tǒng)部署在云平臺(tái)連接關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的交換機(jī)上，比如入口節(jié)點(diǎn)或用戶子網(wǎng)節(jié)點(diǎn)，通過過濾和監(jiān)測(cè)數(shù)據(jù)包的IP和包頭信息來檢測(cè)入侵活動(dòng)。由于監(jiān)測(cè)工具的關(guān)鍵網(wǎng)絡(luò)連接節(jié)點(diǎn)采用分布式部署，因此這種方式具有更強(qiáng)的攻擊檢測(cè)能力。采用這種方式比較著名的是Snort入侵檢測(cè)系統(tǒng)，文獻(xiàn)[11]通過在路由、交換機(jī)和網(wǎng)關(guān)部署監(jiān)控器來構(gòu)建分布式入侵檢測(cè)模型，實(shí)現(xiàn)對(duì)整個(gè)云平臺(tái)流量信息的監(jiān)控管理；文獻(xiàn)[12]將貝葉斯分類器和Snort相結(jié)合，以提高未知攻擊的檢測(cè)能力，但貝葉斯算法的應(yīng)用要求有比較嚴(yán)格的獨(dú)立性假設(shè)；文獻(xiàn)[13]基于前饋人工神經(jīng)網(wǎng)絡(luò)進(jìn)一步降低系統(tǒng)檢測(cè)誤檢率和漏報(bào)率?；趨f(xié)作代理的方式是指通過邏輯控制通道在虛擬機(jī)管理層部署協(xié)作代理，收集其他入侵檢測(cè)系統(tǒng)中的報(bào)警信息，綜合不同入侵檢測(cè)方式的優(yōu)勢(shì),以提高系統(tǒng)整體的攻擊檢測(cè)能力；如文獻(xiàn)[14]就是在協(xié)作代理的合作入侵檢測(cè)框架下，通過其他入侵檢測(cè)系統(tǒng)中收集的報(bào)警信息，依據(jù)少數(shù)服從多數(shù)的原則來檢測(cè)預(yù)警。文獻(xiàn)[15]融合機(jī)器學(xué)習(xí)在圖、超圖和自然語言方面的一些最新進(jìn)展，提出了一種深度聯(lián)合防御的方法來實(shí)現(xiàn)惡意軟件檢測(cè)和分析，并通過具有不同隱私要求的多個(gè)云協(xié)作防御案例驗(yàn)證方法的有效性。文獻(xiàn)[16]將抗體濃度原理與生物進(jìn)化思想相結(jié)合，提出一種Bio-PEPA的云服務(wù)安全自適應(yīng)目標(biāo)檢測(cè)算法，并模擬檢測(cè)了3種不同類型的安全風(fēng)險(xiǎn)，實(shí)驗(yàn)結(jié)果表明該算法具有良好的時(shí)間性能和較高的檢測(cè)命中率。文獻(xiàn)[17]討論了機(jī)器學(xué)習(xí)方法在云安全中的應(yīng)用，利用卷積神經(jīng)網(wǎng)絡(luò)等算法提供自動(dòng)響應(yīng)的方法來增強(qiáng)云環(huán)境中的安全性。

2.3 錯(cuò)誤容忍

云環(huán)境下軟件錯(cuò)誤容忍技術(shù)被廣泛應(yīng)用于提高系統(tǒng)的可靠性，通過采用多個(gè)功能等價(jià)組件來容忍組件故障。BFT-Cloud系統(tǒng)是將錯(cuò)誤容忍技術(shù)應(yīng)用于云計(jì)算系統(tǒng)的典型，云系統(tǒng)中存在多樣化的操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境和軟件應(yīng)用，大多數(shù)在云中發(fā)生的故障是相互獨(dú)立的，這就為拜占庭容錯(cuò)機(jī)制的云端應(yīng)用提供了先天條件。目前關(guān)于入侵云容忍的拜占庭系統(tǒng)研究主要集中在拜占庭容錯(cuò)協(xié)議上的優(yōu)化改進(jìn)。文獻(xiàn)[18]提出了一種名為BFT-MCDB的拜占庭容錯(cuò)模型，將拜占庭協(xié)議以及Shamir的秘密共享方法結(jié)合，以檢測(cè)多云計(jì)算環(huán)境中的拜占庭故障，并確保存儲(chǔ)在云中數(shù)據(jù)的安全性。文獻(xiàn)[19]在資源有限條件下通過主備份設(shè)置，提出一種資源有效的拜占庭容錯(cuò)機(jī)制；文獻(xiàn)[20]擴(kuò)展了BFT和Web服務(wù)技術(shù)，通過結(jié)構(gòu)化的方法以BFT中間件系統(tǒng)Thema的形式構(gòu)建拜占庭容錯(cuò)，滿足應(yīng)用程序開發(fā)人員對(duì)Web服務(wù)的多層次需求；基于類似的思路，文獻(xiàn)[21]提出了一種用于Web服務(wù)的拜占庭容錯(cuò)中間件框架BFT-WS，其通過標(biāo)準(zhǔn)的Web服務(wù)技術(shù)構(gòu)建拜占庭式容錯(cuò)服務(wù)；文獻(xiàn)[22]在拜占庭容錯(cuò)的基礎(chǔ)上提出一種執(zhí)行復(fù)制服務(wù)的協(xié)議，通過嚴(yán)格的故障隔離，永久性地實(shí)現(xiàn)了在長(zhǎng)時(shí)間運(yùn)行的線程中異步調(diào)用和處理遠(yuǎn)程請(qǐng)求的復(fù)制服務(wù)之間的交互。

此外，也有相關(guān)文獻(xiàn)基于移動(dòng)目標(biāo)防御從動(dòng)態(tài)變化的角度開展研究，使攻擊者難以獲得足夠的攻擊時(shí)間，進(jìn)一步提高錯(cuò)誤容忍的抗攻擊能力。如Bangalore等人提出的自清洗入侵容忍模型[23]、Huang等人提出的移動(dòng)攻擊面模型[24]以及Nguyen等人提出的移動(dòng)目標(biāo)防御自清洗入侵容忍方法[25]等。

2.4 可信計(jì)算

可信云計(jì)算嘗試建立一種以硬件安全芯片為信任根的可信云計(jì)算環(huán)境，以克服單純使用軟件的方法解決云安全問題存在的困難，成為云計(jì)算安全研究的重要方向之一。文獻(xiàn)[26]圍繞IaaS云服務(wù)的可信安全重點(diǎn)梳理和綜述了平臺(tái)體系架構(gòu)方面的研究；文獻(xiàn)[27]從保障云計(jì)算平臺(tái)可信的角度出發(fā)，介紹可信虛擬化、可信云平臺(tái)構(gòu)建及可信虛擬機(jī)等相關(guān)技術(shù)的研究進(jìn)展，下面圍繞可信云平臺(tái)的構(gòu)建重點(diǎn)展開介紹。

基于硬件隔離的可信云平臺(tái)，顧名思義是通過硬件隔離技術(shù)保證代碼的機(jī)密性和完整性，從而達(dá)到在不可信的環(huán)境中保證特定應(yīng)用可信的目的?；谠撍悸罚琁ntel和ARM分別提出了基于處理器的安全隔離方案。Intel在Skylake處理器是利用Intel SGX技術(shù)，通過將合法代碼和數(shù)據(jù)封裝在一個(gè)被稱作Enclave的容器來實(shí)現(xiàn)安全性的增強(qiáng)；針對(duì)SGX Enclaves必須依賴不可信的操作系統(tǒng)或Hypervisor來提供系統(tǒng)服務(wù)的問題，文獻(xiàn)[28]提出一種為SGX Enclaves提供可信系統(tǒng)服務(wù)的新方法，利用現(xiàn)有的Intel架構(gòu)特性，通過在系統(tǒng)管理模式內(nèi)部設(shè)計(jì)隔離的微內(nèi)核，以便安全地為Enclave提供關(guān)鍵的系統(tǒng)服務(wù)。與之對(duì)應(yīng)的ARM則是通過將SoC的硬件和軟件資源劃分為安全世界和非安全世界，構(gòu)建了一個(gè)安全框架TrustZone來抵御各種可能的攻擊。該框架被進(jìn)一步應(yīng)用到移動(dòng)云計(jì)算領(lǐng)域來構(gòu)建可信移動(dòng)終端，保護(hù)云服務(wù)客戶端及應(yīng)用在移動(dòng)終端上的安全，如文獻(xiàn)[29]通過TrustZone硬件隔離技術(shù)實(shí)現(xiàn)移動(dòng)終端密鑰與敏感數(shù)據(jù)的安全管理；文獻(xiàn)[30]利用TrustZone技術(shù)構(gòu)建可信組件來實(shí)現(xiàn)操作系統(tǒng)和其他應(yīng)用的相互隔離；此外，文獻(xiàn)[31]通過設(shè)計(jì)不同層次隔離機(jī)制的協(xié)作方案，實(shí)現(xiàn)了IaaS服務(wù)自動(dòng)化的資源隔離框架，完成對(duì)資源隔離的高效管理。

可信計(jì)算組織虛擬化工作組最早在云計(jì)算環(huán)境下提出了vTPM的概念，從而為云計(jì)算提供可信支撐。文獻(xiàn)[32]梳理了TPM在云計(jì)算環(huán)境中的應(yīng)用進(jìn)展，并重點(diǎn)關(guān)注TPM應(yīng)用的完整性度量評(píng)估；文獻(xiàn)[33]利用TPM/vTPM將云計(jì)算服務(wù)的安全職責(zé)進(jìn)行分離，提出的多租戶可信計(jì)算環(huán)境模型基于云提供商和用戶協(xié)作的方式保證云節(jié)點(diǎn)平臺(tái)的執(zhí)行環(huán)境可信；文獻(xiàn)[34]引入了一種基于主觀邏輯的輕量級(jí)信任管理算法——互信任，來提高互聯(lián)云中的信任，實(shí)驗(yàn)結(jié)果表明互信任能夠以較低的執(zhí)行時(shí)間和較高的可擴(kuò)展性生成準(zhǔn)確的信任信息。此外，在產(chǎn)業(yè)化方面，Intel還給出了Trusted Execution Technology以及Trusted Pool,Trusted Cloud的概念。

使用可信第三方的初衷是為了簡(jiǎn)化安全管理的過程，其主要思想是通過建立獨(dú)立于云提供商的第三方TC，為用戶提供執(zhí)行環(huán)境、云虛機(jī)資源以及云服務(wù)等可信狀態(tài)的監(jiān)測(cè)和控制。文獻(xiàn)[35]利用TPM和認(rèn)證加密技術(shù)解決數(shù)據(jù)在TPM聯(lián)盟內(nèi)節(jié)點(diǎn)間的可信傳輸問題。文獻(xiàn)[36]針對(duì)用戶方隱私、安全和信任問題，提出了一種IaaS云計(jì)算可信平臺(tái)的體系結(jié)構(gòu)設(shè)計(jì)，將TCG的TPM作為體系結(jié)構(gòu)的核心組件在消費(fèi)者端進(jìn)行部署和使用，通過檢查客戶平臺(tái)的完整性來提高對(duì)服務(wù)提供者的信任。此外，文獻(xiàn)[37]針對(duì)TPM資源受限問題提出了共享云密鑰方案、文獻(xiàn)[38]針對(duì)云數(shù)據(jù)中心動(dòng)態(tài)特性和租戶之間的通信問題提出了基于安全框架、文獻(xiàn)[39]針對(duì)操作系統(tǒng)內(nèi)核提出了虛擬化安全框架，這些研究都為云安全平臺(tái)的構(gòu)建提供了新的思路與方法。

2.5 動(dòng)態(tài)防護(hù)

動(dòng)態(tài)防護(hù)的思路是主動(dòng)采取多樣的、不斷變化的機(jī)制與策略，對(duì)云環(huán)境中軟件或者程序的某些屬性進(jìn)行變換，從而不斷改變系統(tǒng)的攻擊面來增加攻擊者的攻擊難度和代價(jià)，有效限制脆弱性暴露及被攻擊的機(jī)會(huì)。目前相關(guān)研究大多基于新型的動(dòng)態(tài)防御技術(shù)(如MTD、擬態(tài)防御[40])在云環(huán)境中的實(shí)現(xiàn)與應(yīng)用。

文獻(xiàn)[41]提出一種虛擬機(jī)動(dòng)態(tài)遷移策略；文獻(xiàn)[42]在操作系統(tǒng)多樣性的基礎(chǔ)上，提出了虛擬副本多樣化博弈策略，將博弈論方法與操作系統(tǒng)多樣性結(jié)合，并根據(jù)求解結(jié)果部署異構(gòu)虛擬集群，通過設(shè)置生命周期的方式動(dòng)態(tài)切換虛擬集群系統(tǒng)分布；文獻(xiàn)[43]通過多輪遷移獲得最大化的動(dòng)態(tài)防御效果；文獻(xiàn)[44]基于容器技術(shù)實(shí)現(xiàn)云平臺(tái)上容器服務(wù)快速高效的遷移，有效抵御邊界信息泄露攻擊，但該方法僅限于仿真實(shí)現(xiàn)，在實(shí)際環(huán)境中應(yīng)用部署效果仍需進(jìn)一步驗(yàn)證；在系統(tǒng)屬性動(dòng)態(tài)化方面，文獻(xiàn)[45]將受保護(hù)程序中敏感信息的函數(shù)或者基本塊進(jìn)行隨機(jī)化復(fù)制，提出利用動(dòng)態(tài)控制流隨機(jī)化的方法來防御基于Cache的側(cè)信道攻擊；文獻(xiàn)[46]提出每隔一定時(shí)間間隔對(duì)程序的內(nèi)存布局進(jìn)行隨機(jī)的動(dòng)態(tài)變化，這樣可以有效防止攻擊者根據(jù)輸出信息獲得相關(guān)有用信息；文獻(xiàn)[47]利用LLVM工具對(duì)程序中if語句進(jìn)行分析，然后標(biāo)記對(duì)其進(jìn)行的隨機(jī)化操作，提出動(dòng)態(tài)消除程序中的條件分支轉(zhuǎn)移來抵抗側(cè)信道攻擊。此外，還有相關(guān)文獻(xiàn)從云服務(wù)接口(如IP地址、端口號(hào)、MAC地址和域名等)動(dòng)態(tài)變化的角度開展研究，如文獻(xiàn)[48]提出IP地址、MAC地址和域名動(dòng)態(tài)化等，也有文獻(xiàn)從實(shí)際應(yīng)用的角度分析IP地址隨機(jī)化技術(shù)在實(shí)踐中是否足夠不可預(yù)測(cè)[49]。目前關(guān)于擬態(tài)防御在云中的研究相對(duì)較少，文獻(xiàn)[50]基于擬態(tài)DHR架構(gòu)構(gòu)建了并行任務(wù)執(zhí)行子空間的方法，設(shè)計(jì)了對(duì)并行任務(wù)執(zhí)行結(jié)果的綜合判決機(jī)制，提供對(duì)疑似未知攻擊的感知發(fā)現(xiàn)能力；基于判決結(jié)果或預(yù)定策略，研究了基于反饋控制的并行任務(wù)執(zhí)行子空間動(dòng)態(tài)重構(gòu)方案，通過有效阻斷攻擊鏈條，抵御基于未知漏洞/后門的攻擊。此外，文獻(xiàn)[51]提出擬態(tài)防御Markov博弈模型分析攻防狀態(tài)間的轉(zhuǎn)移關(guān)系以及安全可靠性度量方法；文獻(xiàn)[52]提出了軟件定義網(wǎng)絡(luò)操作系統(tǒng)擬態(tài)化方法；文獻(xiàn)[53]提出的擬態(tài)防御架構(gòu)設(shè)計(jì)等研究，都可以為云計(jì)算環(huán)境下的攻防安全研究提供借鑒。

3 對(duì)比分析

資源共享機(jī)制導(dǎo)致攻擊面擴(kuò)大，惡意攻擊者利用云服務(wù)、虛擬化軟件、云平臺(tái)、基礎(chǔ)設(shè)施等的漏洞和缺陷發(fā)起攻擊，攻擊路徑多樣且復(fù)雜；無處不在的“漏洞、后門”威脅、虛擬化導(dǎo)致物理邊界消失以及日漸豐富多樣的攻擊手段都給云安全防護(hù)帶來已知的風(fēng)險(xiǎn)和未知的威脅，形成來自于已知和未知的不確定攻擊效果和防御困境。云環(huán)境下的安全防護(hù)，歸根到底就是試圖將這種具有不確定攻擊效果的入侵行為確定化、可控化的過程?，F(xiàn)有相關(guān)研究盡管一定程度緩解了云環(huán)境安全防護(hù)問題，但并沒有從根本上徹底解決云環(huán)境下未知漏洞、后門威脅和非邊界防護(hù)難題，主要體現(xiàn)在：

① 傳統(tǒng)如訪問控制、入侵檢測(cè)、錯(cuò)誤容忍等防御技術(shù)均嚴(yán)重依賴攻擊者的攻擊特征或被攻擊目標(biāo)的安全缺陷等先驗(yàn)知識(shí)，本質(zhì)上基于先驗(yàn)知識(shí)的精確防護(hù)技術(shù)思想；對(duì)于“已知的未知”安全風(fēng)險(xiǎn)或者“未知的未知”安全威脅幾乎沒有防御能力，其僅僅是將不確定的攻擊效果轉(zhuǎn)變?yōu)橄闰?yàn)知識(shí)已知條件下特定攻擊的可控事件。

② 可信計(jì)算本質(zhì)上只是向用戶表明商家的行為會(huì)更全面地遵循TCG的安全規(guī)范[40]；其前提和核心是必須保證可信計(jì)算機(jī)，即信任根的安全可靠，在此先驗(yàn)知識(shí)條件下，對(duì)外部訪問進(jìn)行信任度量，層層構(gòu)建信任關(guān)系，從而確保整個(gè)系統(tǒng)的可信可控。因此從防御效果上來看，可信計(jì)算是將不確定的攻擊效果轉(zhuǎn)變?yōu)橄闰?yàn)知識(shí)已知條件下風(fēng)險(xiǎn)可控的可信事件。

③ MTD允許系統(tǒng)漏洞存在、但不允許對(duì)方利用，通過主動(dòng)采取多樣的、不斷變化的機(jī)制與策略，增加攻擊難度及必須付出的代價(jià)。但其存在的“防御間隙”[54]、ASLR被內(nèi)存管理部件“旁路”、利用CPU高速緩存的“側(cè)信道”效應(yīng)進(jìn)行繞過等問題；同時(shí)當(dāng)攻擊者成功入侵系統(tǒng)后，MTD也不具備檢測(cè)功能，即“防不防得住”也不自知。因此從防御效果來看，MTD是將不確定的攻擊效果轉(zhuǎn)變?yōu)椴灰蕾囅闰?yàn)知識(shí)的不確定性事件。

④ 擬態(tài)防御采用基于動(dòng)態(tài)異構(gòu)冗余的一體化架構(gòu)技術(shù)提供具有普適性的創(chuàng)新防御理論和方法，本質(zhì)上可視為一種基于架構(gòu)內(nèi)生的融合式主動(dòng)防護(hù)技術(shù)，其采用功能等價(jià)條件下的動(dòng)態(tài)異構(gòu)冗余構(gòu)造將來自于未知漏洞后門或病毒木馬等確定或不確定的威脅轉(zhuǎn)化為時(shí)空維度上出現(xiàn)多數(shù)或一致性錯(cuò)誤的概率問題，基于相對(duì)正確公理的相對(duì)多數(shù)結(jié)果作為錯(cuò)誤與否的判據(jù)，實(shí)現(xiàn)對(duì)不確定攻擊行為的感知和判別，具有對(duì)未知威脅的內(nèi)生感知和拒止能力。因此從防御效果來看，擬態(tài)防御是將不確定的攻擊效果轉(zhuǎn)變?yōu)椴灰蕾嚹繕?biāo)先驗(yàn)知識(shí)的概率可控的可靠事件。

4 未來發(fā)展趨勢(shì)

隨著未來基礎(chǔ)設(shè)施云化、云網(wǎng)一體的發(fā)展趨勢(shì)愈發(fā)明顯，網(wǎng)絡(luò)信息服務(wù)模式逐步從“端網(wǎng)服務(wù)器”向“端網(wǎng)云”模式轉(zhuǎn)變，云網(wǎng)深度融合帶來邊界防護(hù)新問題。一方面云計(jì)算環(huán)境下網(wǎng)絡(luò)資源虛擬化、集中管控的特點(diǎn)與多租戶共存的運(yùn)營(yíng)模式，使得傳統(tǒng)防護(hù)的物理邊界不斷消失，傳統(tǒng)基于邊界和邊界隔離的安全機(jī)制要么難以有效實(shí)施、要么安全防護(hù)效果不佳，存在易被旁路的風(fēng)險(xiǎn)；同時(shí)云環(huán)境下虛擬機(jī)計(jì)算資源與網(wǎng)絡(luò)資源是動(dòng)態(tài)創(chuàng)建的，固定的安全策略無法適應(yīng)這種動(dòng)態(tài)的虛擬化環(huán)境，傳統(tǒng)的隔離與控制方式無法適應(yīng)云環(huán)境下的動(dòng)態(tài)安全需求。另一方面，信息產(chǎn)業(yè)全球化背景下網(wǎng)絡(luò)空間“攻易守難”基本態(tài)勢(shì)沒有改變，軟硬件未知漏洞、后門所帶來的未知威脅依然是云計(jì)算面臨的最大安全挑戰(zhàn)；傳統(tǒng)以防火墻、加解密技術(shù)、沙箱、蜜罐和蜜網(wǎng)等為代表的邊界防御思路和技術(shù)大多以威脅特征和攻擊行為感知為前提，難以有效抵御利用軟硬件未知漏洞、后門等發(fā)起的不確定威脅，無法有效適應(yīng)用戶、網(wǎng)絡(luò)和業(yè)務(wù)的快速變化，實(shí)現(xiàn)網(wǎng)絡(luò)技術(shù)與安全的共生演進(jìn)。

云生態(tài)環(huán)境下虛擬化技術(shù)、共享資源、相對(duì)復(fù)雜的架構(gòu)和邏輯層次等特點(diǎn)，決定了安全設(shè)計(jì)必須聚焦于云平臺(tái)安全架構(gòu)上，自下而上管控每一個(gè)環(huán)節(jié)才可以保證整個(gè)框架的安全性。特別是新型網(wǎng)絡(luò)應(yīng)用及業(yè)務(wù)需求的不斷發(fā)展，傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)及云計(jì)算數(shù)據(jù)中心的安全防護(hù)手段無法適應(yīng)天地一體化信息網(wǎng)絡(luò)的發(fā)展需要。因此，從系統(tǒng)架構(gòu)層面發(fā)展“非基于邊界”“不依賴于先驗(yàn)知識(shí)”的內(nèi)生式安全防護(hù)技術(shù)，構(gòu)建新型地面信息港體系架構(gòu)，成為有望解決云環(huán)境下安全防護(hù)問題、滿足天地一體化信息網(wǎng)絡(luò)的業(yè)務(wù)發(fā)展和安全防護(hù)共生演進(jìn)需求的主要途徑和方向。

5 結(jié)束語

針對(duì)地面信息港云計(jì)算平臺(tái)的安全防護(hù)問題，梳理分析其面臨的安全威脅，綜述了訪問控制、入侵檢測(cè)、錯(cuò)誤容忍、可信計(jì)算及動(dòng)態(tài)防護(hù)等方面目前技術(shù)的發(fā)展現(xiàn)狀，并從防御效果的角度對(duì)相關(guān)技術(shù)進(jìn)行分析對(duì)比，最后對(duì)地面信息港云計(jì)算安全防御技術(shù)的未來發(fā)展趨勢(shì)進(jìn)行了總結(jié)展望，相關(guān)結(jié)論可為內(nèi)生安全的天地一體化網(wǎng)絡(luò)地面信息港建設(shè)提供思路和借鑒。