可信計算技術(shù)在云計算安全中的應(yīng)用

李紅嬌，魏為民，田秀霞，孫超超

(上海電力學(xué)院 計算機科學(xué)與技術(shù)學(xué)院，上海 200090)

云計算是一種新的網(wǎng)絡(luò)服務(wù)模式，它將計算任務(wù)分布在由大量計算機構(gòu)成的資源池上，使用戶能夠按需獲取計算能力、存儲空間和信息服務(wù).云計算最基本的特征是在互聯(lián)網(wǎng)上將資源作為服務(wù)提供，包括應(yīng)用程序、計算能力、存儲容量、聯(lián)網(wǎng)、編程工具，甚至通信服務(wù)和協(xié)作工具等.國際商用機器公司(International Business Machines Corporation，IBM)、美國加州大學(xué)伯克利分校［1］、美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology，NIST)［2］均給出了云計算的定義.從服務(wù)層面看，云計算是一種新的商務(wù)模式，服務(wù)商利用虛擬化技術(shù)為用戶提供優(yōu)質(zhì)廉價的專業(yè)化、規(guī)?；男畔⒎?wù);在應(yīng)用層面，云計算是一種新的應(yīng)用，用戶就像用水用電般使用互聯(lián)網(wǎng)服務(wù)，像在銀行存錢一樣在網(wǎng)絡(luò)上存儲自己的信息.可以預(yù)見，云計算的發(fā)展會給網(wǎng)絡(luò)服務(wù)商、設(shè)備制造商帶來新的發(fā)展機遇，也將對人們的生活和工作方式產(chǎn)生巨大的影響.但隨著云計算的不斷普及，安全問題的重要性呈逐步上升趨勢，已成為制約其發(fā)展的重要因素［3］.

本文針對云計算安全需求，基于可信計算平臺的關(guān)鍵部件，探討可信計算技術(shù)對云計算安全的支持.

1 云計算安全

1.1 云計算安全需求

從目前云計算的發(fā)展來看，用戶數(shù)據(jù)的安全、隱私信息的保護、數(shù)據(jù)的異地存儲、云計算自身的穩(wěn)定性，以及云計算監(jiān)管方面的問題，直接關(guān)系到云計算業(yè)務(wù)被用戶接受的程度，進而成為影響云計算業(yè)務(wù)發(fā)展的最重要因素.

基于采用的云服務(wù)模型、運行模式及提供云服務(wù)的技術(shù)，與傳統(tǒng)信息系統(tǒng)安全解決方案相比，云計算可能面臨不同的風(fēng)險.在云計算環(huán)境中，多數(shù)安全問題起源于缺乏數(shù)據(jù)控制、缺乏信任(機制)、多租戶等［4］因素.

云計算安全聯(lián)盟(Cloud Security Alliance，CSA)給出了在云計算環(huán)境下需要關(guān)注的12種安全關(guān)鍵領(lǐng)域，即:治理和企業(yè)風(fēng)險管理;法律和電子證據(jù)發(fā)現(xiàn);合規(guī)性和審計;信息生命周期管理;可移植性和互操作性;傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù);數(shù)據(jù)中心運行;事件響應(yīng)、通告和補救;應(yīng)用安全;加密和密鑰管理;身份和訪問管理;虛擬化等.

1.2 虛擬動態(tài)異構(gòu)的計算環(huán)境需要

在云計算時代，一方面用戶享受服務(wù)帶來的便捷性，另一方面可能由于引入外包服務(wù)而帶來新的安全風(fēng)險.在云計算服務(wù)平臺上的秘密性、完整性、可用性、可靠性、可審計性、可控性，都是用戶需要擔(dān)心的問題.

(1)機密性 云計算資源中屬于不同屬主的信息應(yīng)該對可信客體開放.未授權(quán)的人或其他實體應(yīng)該被阻止訪問.

(2)服務(wù)的動態(tài)性 云計算系統(tǒng)應(yīng)該給用戶提供動態(tài)服務(wù)，該動態(tài)機制可使用戶方便地使用云計算環(huán)境中的服務(wù)和資源，因此安全也被看做動態(tài)服務(wù)之一.

(3)參與者之間的信任 參與者，包括用戶、本地公司以及分布式資源，應(yīng)該在實體之間構(gòu)建信任關(guān)系，這些參與者之間可能有相互操作.信任關(guān)系根據(jù)認證來建立.

(4)動態(tài)構(gòu)建信任域 在云計算系統(tǒng)中，需要動態(tài)組織參與者.例如，用戶和各種資源被用于解決不同的問題.參與者之間的關(guān)系也動態(tài)變化.因此，虛擬機監(jiān)視器需要動態(tài)構(gòu)建跨多個組織或系統(tǒng)的信任域，其核心問題是可信性問題.

云計算環(huán)境中的信任包括:體系結(jié)構(gòu)可信;行為可信;資源配置可信;用戶數(shù)據(jù)存儲可信.在云計算時代，以可信為基本條件，將為用戶提供更優(yōu)質(zhì)、更廉價、更全面的安全服務(wù)，充分體現(xiàn)云計算的服務(wù)聚合、大眾開放、低成本、高效率的特性.

2 可信計算平臺

2.1 可信計算概念

國際性的非盈利機構(gòu)可信計算工作組(Trusted Computing Group，TCG)對可信的定義為:可信是一種期望，在這種期望下設(shè)備按照特定目的以特定方式運轉(zhuǎn).

TCG針對不同的終端類型和平臺形式制訂了一系列完整性規(guī)范，例如個人電腦、服務(wù)器、移動電話、通信網(wǎng)絡(luò)、軟件等，這些規(guī)范所定義的可信平臺模塊(Trust Platform Module，TPM)通常以硬件的形式被嵌入各種計算終端，用于提供更可信的運算基礎(chǔ).

總體來看，可信計算平臺就是在整個計算設(shè)施中建立一個驗證體系，通過確保每個終端的安全性來提升整個計算機系統(tǒng)的安全性.因此，可信計算創(chuàng)建了一個安全的計算環(huán)境.

2.2 可信計算的關(guān)鍵部件

(1)可信平臺模塊 TPM是可信計算平臺的核心，其體系結(jié)構(gòu)如圖1所示.它是一個含有密碼運算部件和存儲部件的小型SoC芯片系統(tǒng)，由中央處理器、存儲器、密碼運算處理器、隨機數(shù)產(chǎn)生器和I/O等部件組成.完成可信度量的存儲、可信度量的報告、密鑰產(chǎn)生、加密與簽名、數(shù)據(jù)安全存儲等功能，以及系統(tǒng)啟動、用戶認證、系統(tǒng)監(jiān)控、加密簽名等安全信任功能.它是物理可信的.TPM僅在非虛擬化環(huán)境下工作，因此云服務(wù)中TPM需要被虛擬化.

圖1 TPM體系結(jié)構(gòu)

(2)可信存儲 TCG的可信存儲規(guī)范提供了一個可管理的、企業(yè)級的方法實現(xiàn)全磁盤加密，使用的驅(qū)動器是自加密驅(qū)動器，它簡化了企業(yè)處理敏感數(shù)據(jù)的加密過程，因為所有數(shù)據(jù)、應(yīng)用和驅(qū)動程序都在驅(qū)動器內(nèi)部加密，密鑰管理是整體設(shè)計的一部分.利用TPM實現(xiàn)基于硬件的加密，可信存儲通過自加密驅(qū)動實現(xiàn)加密和認證功能.

(3)可信網(wǎng)絡(luò)連接 可信網(wǎng)絡(luò)連接(Trust Network Connect，TNC)是提供網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全訪問的工業(yè)標(biāo)準(zhǔn)架構(gòu).根據(jù)TNC標(biāo)準(zhǔn)，管理員能夠根據(jù)用戶身份和設(shè)備狀況控制網(wǎng)絡(luò)訪問，監(jiān)視網(wǎng)絡(luò)運行狀況，一旦發(fā)生問題可以立即響應(yīng).目前，可信計算組已經(jīng)開發(fā)了針對云計算多租戶特點的IFMAP架構(gòu)，如圖2所示.它是傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備(如防火墻、入侵檢測、流量控制等)與可信網(wǎng)絡(luò)連接組件之間信息交互與共享的平臺.

圖2 IF-MAP架構(gòu)

3 基于可信計算技術(shù)的云計算安全

可信計算技術(shù)提供了一種方式來建立一個安全環(huán)境.可信計算模型的初始設(shè)計是在個人平臺上提供隱私和信任，而隨著網(wǎng)絡(luò)計算成為主流計算，可信計算模型也用來支持分布式環(huán)境下的云計算.因此，可以集成可信計算技術(shù)來解決云計算的安全問題［5，6］.

3.1 云計算環(huán)境中基于TPM的認證

用戶認證是訪問控制的主要基礎(chǔ).云計算環(huán)境中包括大量的實體，例如用戶以及不同來源的資源.不同的實體加入云，云及其所有的數(shù)據(jù)任何用戶都可以訪問.這些實體必須向云計算系統(tǒng)管理者證明其身份，因此在云計算環(huán)境中認證和訪問控制比以往更重要.可信計算平臺可以用來輔助處理云計算中的認證，它能夠提供比用戶名、口令更強的認證，包含一個專用的主密鑰，對存儲在云計算系統(tǒng)中的其他信息進行保護.硬件證書存儲在TPM中.因此，基于可信計算技術(shù)進行客戶機以及其他設(shè)備的認證，對確保云計算的安全非常關(guān)鍵.

3.2 云計算環(huán)境中基于角色的訪問控制

云計算系統(tǒng)中，會有大量用戶訪問云服務(wù)，而每個用戶都有自己的目標(biāo)和行為.為降低訪問控制模型的復(fù)雜性，可將用戶進行若干分類并對這些分類制定訪問控制準(zhǔn)則.用戶需要注冊進入一個或幾個分類，獲得代表其身份的信任狀.為達到可信計算目標(biāo)，用戶應(yīng)該來自可信計算平臺，并采用該平臺上的安全機制獲取自身的隱私和安全.用戶從基于TPM的可信計算平臺登陸云計算系統(tǒng)，從證書權(quán)威處獲取證書，當(dāng)希望同遠程實體進行通信時，其信息傳送通過會話密鑰得到保護.

3.3 云計算環(huán)境中基于TPM的數(shù)據(jù)安全

對于存儲在云中的重要數(shù)據(jù)可以使用TPM產(chǎn)生的密鑰進行加密.加密密鑰存儲在TPM中，使得針對這些密鑰的攻擊非常難于實施.對于傳輸中的數(shù)據(jù)，可以使用加密技術(shù)來確保數(shù)據(jù)的安全.認證和完整性保護可以確保數(shù)據(jù)不被修改.當(dāng)需要訪問云中的數(shù)據(jù)時，用戶或應(yīng)用程序首先需要進行基于TPM的認證.

3.4 云計算環(huán)境中的用戶行為追蹤

云計算系統(tǒng)中每個用戶都有關(guān)于其身份的完整信息，需要使用相應(yīng)的機制追蹤用戶行為.在可信計算平臺上，用戶身份通過個人密鑰證明，并且該機制集成到BIOS和TPM等硬件中，用戶很難隱瞞其身份信息.當(dāng)用戶登陸云計算系統(tǒng)時，其身份信息被記錄和驗證.云計算系統(tǒng)中的每個站點都會記錄訪問者的信息，如果可信計算平臺集成進云計算系統(tǒng)，參與者，包括用戶和其他資源都會被云計算系統(tǒng)的追蹤機制監(jiān)視.

3.5 可信計算對合規(guī)性的支持

云計算環(huán)境中，由于缺乏透明性，將數(shù)據(jù)搬到云端是令人擔(dān)憂的，而可信計算技術(shù)可以解決該問題.在云服務(wù)端安裝可信監(jiān)視器，實施訪問控制策略，并執(zhí)行監(jiān)視或?qū)徲嬙品?wù)器的操作.可信監(jiān)視器能夠向數(shù)據(jù)屬主提供合規(guī)性證明.為了產(chǎn)生合規(guī)性證明，監(jiān)視器代碼使用數(shù)字簽名，監(jiān)視器也產(chǎn)生合規(guī)性描述.數(shù)據(jù)屬主接收到合規(guī)性證明后，就能驗證監(jiān)視器代碼是否正確運行.

3.6 可信計算對虛擬化安全的支持

CSA將多租戶識別為云的一個重要元素.云服務(wù)模型中的“多租戶”意味著滿足不同客戶場景對策略驅(qū)動的安全增強、分段、隔離、監(jiān)管、服務(wù)水平，以及相應(yīng)的計費/返款等模型的不同需求.用戶可能會使用公共云服務(wù)提供商的服務(wù)產(chǎn)品或者是同一家組織內(nèi)部的云服務(wù)，例如不同的業(yè)務(wù)單元，屬于完全不同的商業(yè)組織，它們之間依然需要分享基礎(chǔ)設(shè)施.可信計算技術(shù)提供對虛擬機監(jiān)視器和虛擬網(wǎng)絡(luò)分離安全性的改進.首先，TPM能夠提供基于硬件的超級用戶和虛擬機監(jiān)控器的完整性驗證;其次，TNC架構(gòu)和標(biāo)準(zhǔn)能夠提供強勁的網(wǎng)絡(luò)分離和安全來為可信多租戶服務(wù).

3.7 可信計算對應(yīng)急響應(yīng)與云法律監(jiān)管的支持

作為對不可預(yù)期事件響應(yīng)的一部分，客戶需要規(guī)劃云提供商安全策略違反或者用戶的惡意行為.自動響應(yīng)或者自動通知是較好的解決方案.TNC的IF-MAP架構(gòu)支持不同安全系統(tǒng)及集成，并且對突發(fā)事件和用戶惡意行為提供實時通知.為了確認云服務(wù)商有很強的策略和實踐解決法律以及監(jiān)管問題，研究者需要考慮的問題包括數(shù)據(jù)安全、輸出、合規(guī)、審計、數(shù)據(jù)保留和銷毀，以及法律發(fā)現(xiàn).在數(shù)據(jù)保留和刪除方面，可信存儲和TPM對限制數(shù)據(jù)的訪問起重要作用.

4 結(jié)語

本文根據(jù)云計算的特點分析了云計算環(huán)境下的安全需求，基于可信計算平臺，擴展可信計算技術(shù)到云計算系統(tǒng)，基于可信計算技術(shù)輔助實現(xiàn)云計算系統(tǒng)的一些重要安全功能，如身份認證、數(shù)據(jù)安全、訪問控制、遠程證明、虛擬化安全、應(yīng)急響應(yīng)、用戶行為追蹤、法律監(jiān)管等，以實現(xiàn)可信云計算.下一步的工作是基于可信計算平臺開發(fā)可信云計算模型系統(tǒng)，以期為用戶提供靈活安全的服務(wù).

［1］ARMBRUSH Michael，ARMANDO Fox.Above the clouds:a berkley view of cloud computing［R］.EECS Department University of California Berkeley Tech Rep UCBEECS200928，2009:25.

［2］MELL Peter，GRANCE Timothy.NIST special publication 800 －145，the NIST definition of cloud computing［S］.Gaithersburg，MD:NIST，2011.

［3］馮登國，張敏，張妍，等.云計算安全研究［J］.軟件學(xué)報，2011，22(1):71-82.

［4］SINGH Amardeep，VERMA Monika.Attacks and security in cloud computing［J］.International Journal of Advanced Engineering ＆ Application，2011(1):300-302.

［5］SHEN Zhi-dong，LI Li，YAN Fei，et al.Cloud computing system based on trusted computing platform［C］//Proceedings of the International Conference on Intelligent Computation Technology and Automation，2010:942-945.

［6］AHAMED B Bazeer，MOHAMED S Syed Sabir.Implementation of trusted computing technologies in cloud computing［J］.International Journal of Research and Reviews in Information Sciences，2011(1):7-9.