云計算差異化安全技術研究*

李冬梅，尹式鈞，陳劍勇

（1.中興通訊股份有限公司技術戰(zhàn)略部 深圳 518057；2.深圳大學計算機與軟件學院 深圳 518060）

云計算差異化安全技術研究*

李冬梅1，尹式鈞2，陳劍勇2

（1.中興通訊股份有限公司技術戰(zhàn)略部 深圳 518057；2.深圳大學計算機與軟件學院 深圳 518060）

云計算的部署和應用可以明顯節(jié)約IT成本，促進業(yè)務的創(chuàng)新和發(fā)展，然而公有云將用戶數(shù)據(jù)和業(yè)務處理環(huán)節(jié)交由獨立第三方提供，使用戶數(shù)據(jù)和業(yè)務系統(tǒng)面臨更多的安全威脅，安全已經(jīng)成為云計算發(fā)展的主要瓶頸。本文根據(jù)用戶對云業(yè)務多樣化的安全需求，提出差異化安全技術框架，在滿足用戶安全要求的前提下，降低安全對云計算計算資源的消耗，從而促進云計算的應用。

云計算；安全；差異化安全

1 引言

云計算使內容提供商能夠快速地部署和擴展服務，并通過低成本、付費使用的模式獲利。與此同時，用戶能夠充分地體驗基于互聯(lián)網(wǎng)運算的彈性。云計算一般表現(xiàn)為軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）的形式。成功運營云計算的企業(yè)包括亞馬遜的EC2/S3、Google App和force.com等。

然而，由云計算提供的彈性和高效配置對安全提出更高要求[1]。用戶很難完全信任基于云計算的服務，因為云計算對數(shù)據(jù)的存儲和防護機制不能由用戶完全控制，所以會導致更多的安全風險。例如服務提供商將用戶已經(jīng)刪除的數(shù)據(jù)進行恢復，用于非法獲利或者將用戶的隱私信息非法賣給第三方等[2]。

當前的云安全研究仍然處于早期階段，還沒有一套通用的模式或技術出現(xiàn)。目前的一些研究方法包括隔離不同用戶的業(yè)務和數(shù)據(jù)，防止用戶間的安全風險互相滲透[2]；利用第三方審計平臺確保用戶數(shù)據(jù)的完整性[3,4]；研究基于數(shù)據(jù)屬性和語義的訪問控制機制[5,6]；采用多種安全策略來驗證和管理用戶的身份，從而保護數(shù)據(jù)不受未經(jīng)授權的用戶使用，例如針對訪問用戶數(shù)據(jù)和操作系統(tǒng)的事件，亞馬遜通過日志進行詳細審計[6]。

以上對云計算安全的研究，都是應對某一具體的安全威脅，并沒有在系統(tǒng)層面建立有效應對各種安全威脅的綜合解決方案。而且，這些針對特定安全威脅的技術并沒有反映云計算用戶對安全需求的動態(tài)變化。例如有些服務涉及公共信息，只需要基礎的安全。而一些重要的服務，如電子商務的交易過程，則需要有非常高的安全要求?？梢?，如果將傳統(tǒng)安全解決方案所追求的安全性越高越好的策略用于設計云計算安全解決方案，將明顯浪費云計算資源。

2 差異化安全需求

安全，本質意義上講是對風險的有效控制。信息安全技術只能降低風險發(fā)生的概率，而不能完全避免事件的發(fā)生。因此，若不考慮安全的實施成本，用戶對安全的需求是無止境的。從這個意義上講，如何在成本可控的前提下，盡量減少安全風險，成為近年來網(wǎng)絡安全解決方案發(fā)展的主要方向。差異化安全服務指系統(tǒng)為用戶提供個性化安全防護能力，滿足用戶多樣化的安全要求。差異化安全服務主要來源于以下安全需求[7,8]。

（1）業(yè)務日益豐富導致安全需求的多樣性

云計算將大規(guī)模的計算承載在云端運行，客戶終端可以通過輕量級的應用（如Web應用）來獲取相應的數(shù)據(jù)。隨著IT技術的進步和應用需求的擴展以及計算能力的不斷增加，建立在云端的業(yè)務將會趨向多樣化。

一方面，不同的業(yè)務有不同的安全需求，采用單一的安全機制無法適應業(yè)務多樣化的需求。比如對于朋友之間日常聊天的話音業(yè)務，傳輸?shù)男畔①Y產(chǎn)對第三方來講價值比較低，因此不需要有高等級的安全服務；但如果傳輸?shù)男畔⑹桥c金融業(yè)務相關的，如信用卡信息，就必須有高等級的安全服務來確保信息不被泄露。

另一方面，同一業(yè)務在不同場合以及面對不同使用者時，其業(yè)務的安全需求也可能不同。比如多媒體視頻業(yè)務，當用于視頻點播時，只需要低等級的安全防護；而用于商業(yè)目的的視頻會議，若傳輸?shù)男畔①Y產(chǎn)價值比較高，則需要高等級的安全防護。因此，從業(yè)務需求的角度分析，云計算需要從技術上提供機制，使具體的業(yè)務可以選擇合適等級和技術的安全防護，而選擇權既可以在終端，也可以在云端服務器，還可以是雙方的平等協(xié)商。

（2）只有分級的安全服務才能有效地利用資源

當服務商將業(yè)務搬到云計算平臺上時，安全需求的差異性就阻礙了業(yè)務的部署。如果統(tǒng)一應用高等級的安全服務（如加密全部數(shù)據(jù)），會嚴重制約計算資源的合理使用。對信息價值不大的業(yè)務使用高等級安全意味著計算資源的浪費，從這個意義上講，有必要根據(jù)信息資產(chǎn)價值的大小，適當進行分級處理。對于高安全需求的業(yè)務，采用較高級別的防護力度；對于低安全需求的業(yè)務，采用低級別的防護力度。從而能夠建立資源有償使用機制，有效利用資源。

（3）安全服務需要持續(xù)的投入

將應用服務遷移到云平臺是一個重要的發(fā)展趨勢。安全的網(wǎng)絡意味著網(wǎng)絡提供商需要更多的投資，并且安全是相對的，不存在絕對安全的網(wǎng)絡。安全防護力度和網(wǎng)絡提供商對網(wǎng)絡安全設施的投入多少緊密相關，這種投入至少包含網(wǎng)絡安全管理、安全設備、更多的帶寬消耗、計算資源消耗、對安全管理人員和用戶的安全培訓等費用。

將投入和產(chǎn)出聯(lián)系起來，形成可持續(xù)發(fā)展的價值鏈，是實現(xiàn)網(wǎng)絡安全良性發(fā)展的前提條件。因此客觀上需要有技術解決方案，提供將差異化安全服務轉化為增值服務的途徑，從而由運營商或服務商向用戶提供按需所取的安全服務，并根據(jù)服務的代價進行合理收費。安全一旦成為一種增值業(yè)務，用戶為高等級的安全服務支付費用，對低等級的安全服務免費或支付少量費用。這樣一來，運營商既能夠將安全的投入轉化為可盈利的業(yè)務，又滿足了用戶對安全的差異化需求。

（4）針對用戶簡單、高效的安全服務

安全服務內涵豐富，既包括基礎安全服務，如加密、認證、抗抵賴、完整性保護等；也包括應用安全服務，如在線殺毒、入侵檢測、安全預警、內容監(jiān)控等。除了防止信息被非法獲取外，還需要防范更廣泛的安全威脅，如病毒的攻擊、木馬程序對信息的非法收集、用戶欺騙等威脅，因此，安全解決方案越來越復雜。然而由于用戶需要簡單有效地使用各種業(yè)務，因此需要把復雜的安全服務以及相應的安全配置，盡量在網(wǎng)絡側解決，從而確保用戶在沒有安全專業(yè)知識的情況下，能夠享受到安全的各種業(yè)務。

3 安全域的劃分

業(yè)務數(shù)據(jù)流在云計算中一般處于傳輸、業(yè)務邏輯處理和存儲3種狀態(tài)中的一種。業(yè)務數(shù)據(jù)在一種狀態(tài)下所面臨的安全威脅基本相同，因此所需要的安全功能相同。為了便于安全中心通過安全策略控制云計算中的安全功能，筆者將云計算安全劃分為傳輸安全域、業(yè)務邏輯安全域和存儲安全域3個安全域，如圖1所示。存儲安全域和業(yè)務邏輯安全域通過傳輸安全域相互鏈接。安全中心控制每個安全域所屬安全功能的運行。安全中心承擔安全策略的管理功能，并通過安全策略驅動3個安全域所屬的安全功能對用戶業(yè)務數(shù)據(jù)實施差異化安全防護。

圖1 安全中心、安全域與用戶終端的相互關系

安全域劃分的優(yōu)點如下。

·同一個安全域面臨相似的安全威脅，這種劃分有利于每一個安全域專注解決本域的安全問題。

·盡管云計算解決方案有復雜的部署方式，但用戶數(shù)據(jù)可以歸結為由傳輸、業(yè)務邏輯處理和存儲3種狀態(tài)組成。這種功能域劃分方式有助于從邏輯層面設計出有效的安全架構。

·對云計算來說，傳輸、業(yè)務邏輯和存儲3大功能域并沒有必要由單一運營商提供，有可能分屬不同的運營商運營。部分功能域也有可能屬于私有云范疇，比如某集團企業(yè)，其傳輸用了電信運營商網(wǎng)絡，業(yè)務平臺用了第三方云服務提供商，而存儲則直接放在公司的內部網(wǎng)。由此可見，云計算這3大功能域，是可以相互分離的，因此安全域的劃分有必要以這3大功能域的劃分為邊界。

4 差異化安全框架

如圖2所示，在3層的安全框架中，接入層負責接收用戶指定的安全等級、接入網(wǎng)風險和服務類型3種輸入?yún)?shù)；策略層根據(jù)以上輸入?yún)?shù)，通過策略規(guī)則匹配，輸出安全功能參數(shù)，用于驅動每個安全域的安全功能；安全功能層的安全功能根據(jù)安全功能參數(shù)，保護特定的業(yè)務數(shù)據(jù)。

圖2 差異化安全框架

（1）輸入層

安全等級參數(shù)：安全等級一般由用戶提出，體現(xiàn)用戶對業(yè)務數(shù)據(jù)的安全要求。一般來講，業(yè)務數(shù)據(jù)價值越高，所需要的安全等級也越高。安全等級不同于安全強度，安全強度一般指安全功能對業(yè)務數(shù)據(jù)所能提供的防護力度。安全強度取決于安全等級和安全風險的綜合作用。

服務類型參數(shù)：由于不同的服務類型需要不同的安全功能組合，因此該體系結構在輸入層中包含了服務類型參數(shù)。例如，多媒體服務對時延比較敏感，一定程度上允許數(shù)據(jù)分組的丟失，無需完整的驗證。而文件傳輸服務則剛好相反，完整性的驗證是一項非常重要的保護機制。業(yè)務類型可以由云計算通過業(yè)務感知自動識別，無需用戶設定。

接入網(wǎng)風險參數(shù)：用戶可以通過3G、公共Wi-Fi或有線網(wǎng)絡接入云計算平臺，不同的接入網(wǎng)場景所面臨的安全風險不同。例如公共Wi-Fi接入風險較高，而在辦公場所通過有線寬帶接入，則面臨的風險較低。云計算可以通過用戶終端或接入網(wǎng)設備識別接入網(wǎng)場景，從而能自動評估其所面臨的風險，因此接入網(wǎng)參數(shù)無需用戶設置。在安全等級相同的條件下，接入網(wǎng)安全風險越高，所需要的安全強度也越大。

（2）策略層

每個安全域的安全策略相對獨立，各自接收來自輸入層的3種參數(shù)，通過策略的規(guī)則匹配，輸出安全功能參數(shù)。安全策略的主要作用是根據(jù)這些輸入?yún)?shù)，經(jīng)過策略匹配，輸出合適的安全功能參數(shù)。

（3）安全功能層

每個安全域都有一組特定的安全功能，接受來自策略層的安全功能參數(shù)的驅動，對業(yè)務數(shù)據(jù)實施安全防護。例如傳輸安全域中的IPSec、業(yè)務邏輯安全域中的Honeypot、數(shù)據(jù)存儲安全域中的加密/解密模塊等。有些安全功能同時存在于多個安全域，并有不同的專業(yè)術語。例如，入侵檢測在網(wǎng)絡安全域中是基于網(wǎng)絡的入侵檢測，而在業(yè)務邏輯安全域中是基于主機的入侵檢測。

業(yè)務數(shù)據(jù)通過特定標識（ID）在每個安全域中被識別，并獲得相應的安全防護。如圖3所示，在傳輸安全域中，業(yè)務數(shù)據(jù)的用戶ID和業(yè)務ID被安全功能模塊獲取，安全功能模塊由此確定該業(yè)務數(shù)據(jù)所需使用的安全功能參數(shù)，并對該業(yè)務數(shù)據(jù)實施相應的安全防護，如加密等。challenges in cloud computing environments.IEEE Computer Society,2010,8(6):24～31

圖3 傳輸安全域安全功能對數(shù)據(jù)的防護過程示意

1 Takabi H,Joshi J B D,Ahn G J.Security and privacy

2 Subashini S,Kavitha V.A Survey on security issues in service delivery models of cloud computing.Network and Computer Applications,2011,34(1):1～11

3 Wang C,Ren K,Lou W T,et al.Toward publicly auditable secure cloud data storage services.IEEE Network,2010,24(4):19～24

4 Wang Q,Wang C,Li J,et al.Enabling public auditability and data dynamics for storage security in cloud computing.IEEE Transactions on Parallel and Distributed Systems,2011,22(5):847～859

5 Hu L K,Yi S,Jia X Y.A semantics-based approach for cross domain access control.Internet Technology,2010,11(2):279～288

6 Pallis G.Cloud computing:the new frontier of internet computing.IEEE Internet Computing,2010,14(5):70～73

7 ITU-T Recommendation.ITU-T X.1123 Differentiated Security Service for Secure Mobile End-to-End Data Communication,2007

8 陳劍勇，騰志猛，劉利軍等.YD/T 2037-2009移動通信差異化安全服務,2009

李冬梅，女，中興通訊股份有限公司技術戰(zhàn)略部主任工程師，主要研究方向為網(wǎng)絡通信標準。

5 結束語

本文首先分析了差異化安全需求，并在此基礎上提出了差異化安全框架，該框架由輸入層、策略層和安全功能層3部分組成，并作用在云計算的傳輸安全域、業(yè)務邏輯安全域和存儲安全域。通過用戶標識和業(yè)務標識，使業(yè)務數(shù)據(jù)在云計算不同安全域中獲得差異化防護服務。該框架能夠滿足云計算差異化安全需求，有利于降低安全對云計算計算資源的消耗，促進云計算的應用。

Study on Differentiated Security Service Based on Cloud Computing

Li Dongmei1,Yin Shijun2,Chen Jianyong2
(1.Department of Technology Strategy,ZTE Corporation,Shenzhen 518057,China;2.Department of Computer Science and Technology,Shenzhen University,Shenzhen 518060,China)

Deployment and application of cloud computing can significantly save computing resource,and promote business innovation and development.However,if users’data is stored and processed in public cloud computing which is provided by an independent third party,more security threat will be faced than that of the traditional way.Security has become one of the most important obstacles for the development of cloud computing.Differentiated security architecture was proposed,according to the diversity of security requirements from different users.The consumption of computing resource from security service could be reduced and thus the development of cloud computing is benefited.

cloud computing，security，differentiated security

10.3969/j.issn.1000-0801.2013.03.012

*國家自然科學基金資助項目（No.61170283），深圳市基礎研究計劃基金資助項目（No.JC201005250045A）

尹式鈞，男，深圳大學計算機與軟件學院碩士研究生，主要研究方向為網(wǎng)絡與信息安全。

陳劍勇，男，深圳大學計算機與軟件學院教授，主要研究方向為網(wǎng)絡與信息安全。

2013-02-20）