云計算密鑰管理框架研究*

孫 磊，戴紫珊，郭錦娣

（解放軍信息工程大學(xué)電子技術(shù)學(xué)院 鄭州 450004）

云計算密鑰管理框架研究*

孫 磊，戴紫珊，郭錦娣

（解放軍信息工程大學(xué)電子技術(shù)學(xué)院 鄭州 450004）

本文在分析云計算安全的基礎(chǔ)上，重點(diǎn)研究了云計算中的數(shù)據(jù)安全問題，提出了一個適合于云計算的密鑰管理框架，該框架面向各種云計算應(yīng)用，可以實(shí)現(xiàn)統(tǒng)一、標(biāo)準(zhǔn)的密鑰管理，同時該框架具有簡單和可擴(kuò)展的特點(diǎn)，最后介紹了該框架的基本工作原理和應(yīng)用分析。

云計算；密鑰管理；數(shù)據(jù)安全

* 國防裝備預(yù)先研究項目

1 引言

云計算源自于商業(yè)計算模型[1]。它將計算任務(wù)分布到由大量計算機(jī)構(gòu)成的資源池，從而使用戶能夠根據(jù)需要獲取計算能力、存儲空間和應(yīng)用服務(wù)?！霸朴嬎恪盵2]是目前IT領(lǐng)域最熱的技術(shù)概念，從亞馬遜[3]、谷歌的云計算推出，到“云計算”被看作是驅(qū)動下一代互聯(lián)網(wǎng)的技術(shù)應(yīng)用，該領(lǐng)域的研究風(fēng)起云涌。

“云”是一些可以自我維護(hù)和管理的虛擬計算資源，通常是服務(wù)集群，包括計算服務(wù)器、存儲服務(wù)器和網(wǎng)絡(luò)資源等。云計算將計算資源集中起來，并通過專門軟件實(shí)現(xiàn)自動管理。用戶可以動態(tài)申請部分資源來支持各種應(yīng)用程序的運(yùn)轉(zhuǎn)。這樣不僅使用戶能夠更加專注于自己的業(yè)務(wù)，也有利于提高效率、降低成本[4]。

美國高德納咨詢公司Gartner發(fā)布的 《云計算安全風(fēng)險評估》[5]稱，雖然云計算產(chǎn)業(yè)具有巨大市場增長前景，但對于使用這項服務(wù)的企業(yè)用戶來說，應(yīng)該意識到云計算服務(wù)存在七大潛在的安全風(fēng)險。

（1）優(yōu)先訪問權(quán)風(fēng)險

一般來說，企業(yè)數(shù)據(jù)都有其機(jī)密性。這些企業(yè)把數(shù)據(jù)交給云計算服務(wù)商后，具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是相應(yīng)企業(yè)，而是云計算服務(wù)商。如此一來，就不能排除企業(yè)數(shù)據(jù)被泄露的可能性。

（2）管理權(quán)限風(fēng)險

雖然企業(yè)用戶把數(shù)據(jù)交給云計算服務(wù)商托管，但數(shù)據(jù)安全及整合等事宜最終仍將由企業(yè)自身負(fù)責(zé)。傳統(tǒng)服務(wù)提供商一般會由外部機(jī)構(gòu)來進(jìn)行審計或安全認(rèn)證。如果云計算服務(wù)商拒絕這樣做，則意味著企業(yè)用戶無法對托管數(shù)據(jù)加以有效利用。

（3）數(shù)據(jù)處所風(fēng)險

當(dāng)企業(yè)用戶使用云計算服務(wù)時，他們并不清楚自己數(shù)據(jù)被放置在哪臺服務(wù)器上，甚至根本不了解這臺服務(wù)器放置在哪個國家。出于數(shù)據(jù)安全考慮，企業(yè)用戶在選擇使用云計算服務(wù)之前，應(yīng)事先向云計算服務(wù)商了解，這些服務(wù)商是否從屬于服務(wù)器放置地所在國的司法管轄。在這些國家展開調(diào)查時，云計算服務(wù)商是否有權(quán)拒絕提交所托管數(shù)據(jù)。

（4）數(shù)據(jù)隔離風(fēng)險

在云計算服務(wù)平臺中，大量企業(yè)用戶的數(shù)據(jù)處于共享環(huán)境下，即使采用數(shù)據(jù)加密方式，也不能保證做到萬無一失。

（5）數(shù)據(jù)恢復(fù)風(fēng)險

即使企業(yè)用戶了解自己數(shù)據(jù)被放置到哪臺服務(wù)器上，也得要求服務(wù)商作出承諾，必須對所托管數(shù)據(jù)進(jìn)行備份，以防止出現(xiàn)重大事故時，企業(yè)用戶的數(shù)據(jù)無法得到恢復(fù)。

（6）調(diào)查支持風(fēng)險

如果企業(yè)用戶只是想通過合法方式收集一些數(shù)據(jù)，云計算服務(wù)商也未必愿意提供，原因是云計算平臺涉及多家用戶的數(shù)據(jù)，在一些數(shù)據(jù)查詢過程中，可能會牽涉云計算服務(wù)商的數(shù)據(jù)中心。

（7）長期發(fā)展風(fēng)險

如果企業(yè)用戶選定了某家云計算服務(wù)商，最理想的狀態(tài)是：這家服務(wù)商能夠一直平穩(wěn)發(fā)展，而不會出現(xiàn)破產(chǎn)或被大型公司收購的現(xiàn)象。其理由很簡單：如果云計算服務(wù)商破產(chǎn)或被他人收購，企業(yè)用戶既有服務(wù)將被中斷或變得不穩(wěn)定。

由以上分析可以看出，云安全的主要問題都與數(shù)據(jù)的安全性有關(guān)，數(shù)據(jù)安全是云安全的基礎(chǔ)性問題，本文在分析云數(shù)據(jù)安全需要解決問題的基礎(chǔ)上，提出適于云計算數(shù)據(jù)安全的密鑰管理框架。

2 云計算數(shù)據(jù)安全

2.1 面臨的威脅

云計算分離了數(shù)據(jù)與基礎(chǔ)設(shè)施的關(guān)系，屏蔽了數(shù)據(jù)存儲、復(fù)制等底層操作的細(xì)節(jié)，但是帶來了隱患。在面向服務(wù)的云計算平臺上，用戶的數(shù)據(jù)很可能會不受控制地被服務(wù)提供商所訪問與泄露。

云計算的另一特點(diǎn)是多租戶的服務(wù)，這引起了許多安全和隱私問題，不僅影響到風(fēng)險管理做法，而且還影響到遵守法規(guī)、審計和電子證據(jù)等法律問題的評估。云計算中的數(shù)據(jù)存儲和應(yīng)用處理都是在企業(yè)網(wǎng)絡(luò)之外操作，數(shù)據(jù)安全是最關(guān)鍵的問題。云用戶希望他們的提供商為其加密數(shù)據(jù)，以確保無論數(shù)據(jù)物理上存儲在哪里都受到保護(hù)。同樣的，云提供商也需要保護(hù)其用戶的敏感數(shù)據(jù)。

強(qiáng)加密及密鑰管理是云計算系統(tǒng)需要用以保護(hù)數(shù)據(jù)的核心機(jī)制。加密提供了資源保護(hù)功能，同時密鑰管理也提供了對受保護(hù)資源的訪問控制。加密磁盤上的數(shù)據(jù)或生產(chǎn)數(shù)據(jù)庫中的數(shù)據(jù)很重要，可以用來防止惡意的云服務(wù)提供商、惡意的鄰居“租戶”及某些類型應(yīng)用的濫用。

2.2 數(shù)據(jù)加密模式

（1）用戶加密數(shù)據(jù)

對于只是想在云中存儲備份自己長期檔案的用戶，他們可以加密自己的數(shù)據(jù)，然后發(fā)送密文到云數(shù)據(jù)存儲商。這些客戶控制并保存密鑰，在自己需要的情況下解密數(shù)據(jù)。在IaaS環(huán)境中，使用多種提供商和第三方工具加密靜態(tài)數(shù)據(jù)很普遍。

目前，大多數(shù)該類解決方案是基于用戶的數(shù)字證書進(jìn)行認(rèn)證和加密，用戶可以使用數(shù)字證書向云管理系統(tǒng)進(jìn)行身份認(rèn)證，使用該對稱密鑰在本地加密云中存儲的數(shù)據(jù)，同時使用數(shù)字證書加密對稱密鑰，然后將加密后的數(shù)據(jù)傳到云中進(jìn)行存儲。當(dāng)用戶要獲取數(shù)據(jù)時，先將云中加密數(shù)據(jù)下載到本地，由用戶自己解密該數(shù)據(jù)。

該模式的優(yōu)點(diǎn)是：只有用戶可以解密云中的存儲數(shù)據(jù)，可以有效地保證數(shù)據(jù)的機(jī)密性。缺點(diǎn)是：用戶的客戶端需要較強(qiáng)的密碼運(yùn)算能力來實(shí)現(xiàn)加密功能，同時用戶數(shù)據(jù)的加密密鑰必須安全保管，一旦丟失，將無法恢復(fù)用戶數(shù)據(jù)。

該模式只適用于用戶自己生成的靜態(tài)數(shù)據(jù)加密，對于在IaaS、PaaS、SaaS下用戶在云中產(chǎn)生的動態(tài)數(shù)據(jù)無法使用該模式進(jìn)行加密。

（2）云計算管理系統(tǒng)加密數(shù)據(jù)

對于在云計算環(huán)境中產(chǎn)生的動態(tài)數(shù)據(jù)，只能由云計算管理系統(tǒng)進(jìn)行加密。雖然云提供商網(wǎng)絡(luò)可能比開放網(wǎng)絡(luò)安全，但是它們使用其特有的、由許多不同組成部分構(gòu)成的架構(gòu)，且由不同的組織共享云。因此，即便是在云提供商的網(wǎng)絡(luò)中，保護(hù)這些傳輸中的敏感數(shù)據(jù)和受監(jiān)管信息也是非常重要的。

在多租戶的云計算應(yīng)用模式下，用戶租用云計算系統(tǒng)計算能力，虛擬化技術(shù)使得一個用戶的應(yīng)用以不同層次與其他用戶的應(yīng)用共享物理資源，因此用戶在云計算環(huán)境中產(chǎn)生的數(shù)據(jù)不可避免地交由云計算環(huán)境進(jìn)行加密。

該模式相對于用戶加密數(shù)據(jù)來說，在云計算環(huán)境中應(yīng)用更為廣泛，同時也是云數(shù)據(jù)安全的基礎(chǔ)和關(guān)鍵。它的優(yōu)點(diǎn)是用戶不需要為不同的云應(yīng)用保管各種不同的密鑰，而是交由云計算環(huán)境統(tǒng)一管理，具有更高的安全性。缺點(diǎn)是用戶無法控制動態(tài)數(shù)據(jù)，一切依賴于云計算服務(wù)提供商，同時云計算管理系統(tǒng)需要提供一個統(tǒng)一、有效、可擴(kuò)展的云計算密鑰管理框架，用于為各類用戶提供各種類型密鑰的統(tǒng)一管理，實(shí)現(xiàn)各種密鑰操作。

下面針對云計算密鑰管理框架進(jìn)行探討。

3云計算密鑰管理框架

3.1 設(shè)計要求

在云計算應(yīng)用環(huán)境中，密鑰管理的對象具有以下特點(diǎn)。

（1）密鑰種類多

由于云中的應(yīng)用千差萬別，密碼應(yīng)用的需求也是多種多樣，因此需要支持對稱密碼、公鑰密碼等多種密碼體制和不同密碼算法。

（2）密鑰數(shù)據(jù)量大

每一個用戶在云中運(yùn)算可能需要多個密鑰實(shí)現(xiàn)數(shù)據(jù)加密存儲、加密傳輸?shù)榷喾N功能。而且密鑰管理系統(tǒng)面向的是云計算環(huán)境中的所有用戶和應(yīng)用，因此管理密鑰數(shù)據(jù)量將十分巨大。

（3）密鑰應(yīng)用環(huán)境復(fù)雜

由于云中應(yīng)用密碼進(jìn)行加密和認(rèn)證的應(yīng)用場景復(fù)雜，因此設(shè)計時必須充分考慮密鑰應(yīng)用客戶端具有屏蔽應(yīng)用環(huán)境的能力，通過密鑰管理協(xié)議解決密鑰使用和管理的復(fù)雜性。

3.2系統(tǒng)組成

基于以上云計算密鑰管理設(shè)計要求，云計算密鑰管理框架由云計算密鑰客戶端 （cloud computing key client，CKC）和云計算密鑰管理服務(wù)器 （cloud computing key management server，CKMS）兩部分組成，如圖 1所示。CKC是駐留在云計算服務(wù)器中的密碼服務(wù)客戶端，負(fù)責(zé)向該云計算服務(wù)器中的云計算應(yīng)用提供密鑰服務(wù)。CKC使用統(tǒng)一、標(biāo)準(zhǔn)的密鑰管理協(xié)議，向CKMS中申請密鑰產(chǎn)生、恢復(fù)、更新等管理服務(wù)，CKMS根據(jù)業(yè)務(wù)申請類型向?qū)ΨQ密碼管理服務(wù)器申請、恢復(fù)、更新相關(guān)密鑰，然后向CKC返回密鑰業(yè)務(wù)操作結(jié)果，也可以代理CKC向數(shù)字證書中心申請、撤銷、更新證書。

3.3 基本原理

（1）密鑰管理對象

密鑰管理對象是指密鑰管理協(xié)議操作的對象，見表1，對象的類型可以根據(jù)應(yīng)用進(jìn)行擴(kuò)充。

（2）密鑰管理操作

密鑰管理操作具體見表2。

（3）應(yīng)用舉例

下面以申請加密密鑰為例對本文提出的云計算密鑰管理框架進(jìn)行說明。

表1 密鑰管理對象

表2 密鑰管理操作

云計算服務(wù)器需要加密數(shù)據(jù)，如圖2所示，通過CKC向CKMS申請密鑰的過程如下：

·CKC生成密鑰請求包，發(fā)送給CKMS，數(shù)據(jù)包包括請求包頭部、操作類型、密鑰對象和標(biāo)識符；

·CKMS收到密鑰請求后，根據(jù)請求內(nèi)容，從對稱密碼服務(wù)器獲取對稱密鑰；

·CKMS生成密鑰回復(fù)包，發(fā)送給CKC，數(shù)據(jù)包包括回復(fù)包頭部、密鑰對象、標(biāo)識符和對稱密鑰；

上述CKC和CKMS之間的通信依賴于TLS或HTTPS等安全機(jī)制保證密鑰管理過程的機(jī)密性、完整性和可鑒別。

4 結(jié)束語

本文在分析云計算數(shù)據(jù)安全和數(shù)據(jù)加密模式的基礎(chǔ)上，提出了一種適用于云計算的密鑰管理框架，面向云計算環(huán)境中的數(shù)據(jù)安全需求，可以基于統(tǒng)一管理框架和機(jī)制提供全面、有效、可擴(kuò)展的云計算密鑰管理服務(wù)。本文對云計算密鑰管理框架進(jìn)行了原理性闡述，詳細(xì)的設(shè)計需要進(jìn)一步的研究。

1 Sims K．IBM introduces ready-to-use cloud computing collaboration services get clients started with cloud computing，http://www.ibm.com/press/us/en/pressrelease/22613.wss，2007

2 陳康，鄭緯民.云計算：系統(tǒng)實(shí)例與研究現(xiàn)狀.軟件學(xué)報，2009(5)：1337～1348

3 Amazon．Amazon elastic compute cloud (Amazon EC2)， http://aws.amazon.com/ec2/,2009

4 John Rittinghouse， James Ransome.Cloud computing：implementation，management，and security,March 2009

5 Heiser J，Nicolett M.Assessing the security risks of cloud computing， http://www.gartner. Om/DisplayDocument? id=685308，2008

Research on Key Management Framework of Cloud Computing

Sun Lei,Dai Zishan,Guo Jindi
(Institute of Electronic Technology,PLA Information Engineering University,Zhengzhou 450004,China)

Following the analysis of cloud computing security in the paper,in which is laid a strong emphasis on the study of data security.A key management framework of cloud computing is proposed,which provides consistent standard model.Furthermore,the mechanism of the framework is introduced and analyzed in the end.

cloud computing，key management，data security

2010－07－12）