云圖書館中“基礎設施即服務”模式的安全研究

關慶娟　楊燕梅　劉浩

摘要：云計算環(huán)境下的數(shù)字圖書館具有支持大量資源共享、具備強大計算能力等特點，但同時也因其支持多用戶共享資源而帶來了諸如存儲數(shù)據(jù)被還原篡改、信息隱私泄露、通信數(shù)據(jù)被竊聽等等安全問題。其中，以虛擬化技術為關鍵技術的“基礎設施即服務”（IaaS）模式亦如此。鑒于此，論文從服務提供商、租賃用戶、服務提供商和租賃用戶間供求關系的角度出發(fā)，探討了云圖書館服務架構中IaaS模式的資源共享安全問題，并提出了相應的安全策略。

關鍵詞：云圖書館；基礎設施即服務；虛擬化技術；安全策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）17-3991-03

Study on Security Strategy of IaaS in the Cloud Library

GUAN Qing-juan1，YANG Yan-mei1，LIU Hao2

（1.Library of Xinjiang Medical University， Urumqi 830011，China； 2.Medical College of Engineering and Technology，Xinjiang Medical University，Urumqi 830011，China）

Abstract： Digital library under the cloud computing environments has many features，such as resource sharing and powerful computing capabilities.However，because of sharing resources for many users， the security problems such as data tempering 、privacy leaking bring to the users.The“Infrastructure as a Service”（IaaS） model， which using the virtualization technology as the key technology， also has the security problems. Becouse of this reason， this paper discusses the security problem of the IaaS model in the cloud library architecture， thinking in terms of The service provider、rental user、relationship betwee n the service provider and rental user. Lastly， this paper presents the corresponding security strategies.

Key words：cloud library；IaaS；virtualized technology；security strategy

隨著云計算的提出，各個行業(yè)開始廣泛關注云計算在所屬領域中的應用。云計算作為一種將分布式計算、網(wǎng)格計算、并行計算結合起來的新IT資源提供模式，能將動態(tài)、可伸縮的計算資源以服務的方式通過Internet提供給用戶，具有資源共享量大、計算能力強等優(yōu)勢 [1]。云計算根據(jù)提供服務類別的不同，其架構可以分為基礎設施即服務IaaS、平臺即服務PaaS、軟件即服務SaaS等三層服務模式。其中，IaaS以虛擬化技術為關鍵技術，分為物理層、系統(tǒng)監(jiān)控層以及應用和虛擬機層等三層，為所有用戶動態(tài)地分配所需I/O、CPU、內存等資源，方便用戶通過租賃云計算平臺隨時隨地通過網(wǎng)絡獲得資源計算、數(shù)據(jù)傳輸和數(shù)據(jù)存儲等服務，實現(xiàn)多個云計算用戶的資源共建共享。由于其諸多特點，各高校開始關注云計算在數(shù)字圖書館中的應用研究，其中，IaaS作為云計算最基本的服務，其安全性和魯棒性無疑是云圖書館租賃用戶是否可以在確保信息隱私的前提下快速獲得云共享資源的關鍵因素，是云圖書館服務提供商確保產(chǎn)品質量的關鍵，是云圖書館訪問用戶在使用共享資源時確保個人信息隱私的關鍵。

1 云圖書館服務面臨的安全問題

云圖書館IaaS提供商要保證安全性，需要考慮云圖書館服務器端存儲和物理設備的安全、用戶端數(shù)據(jù)安全、服務器和用戶之間資源供求安全，從而使不同云圖書館租戶可以根據(jù)各館的安全需求實現(xiàn)數(shù)據(jù)存儲和資源利用的可用性、完整性、機密性、可控性和高效性。

1.1 服務端資源共享安全

1） 硬件設備的安全隱患

對于由云服務提供商來部署的服務器端而言，其物理設備供所有租賃IaaS平臺的云圖書館租賃用戶使用，若物理設備遭受惡意用戶的攻擊或者設備處于不符合硬件運行環(huán)境指標的機房中，將導致該服務器上所有租賃IaaS平臺的云圖書館中斷服務，影響云圖書館的可用性，受影響范圍將非常大。因此，物理設備的安全是云圖書館服務端提供IaaS的基本條件。

2） 存儲數(shù)據(jù)的安全隱患

云提供商通常將基礎設施服務租賃給多個云圖書館用戶使用，租戶在云服務器上存儲大量的電子資源、門戶系統(tǒng)、虛擬參考咨詢平臺、OPAC系統(tǒng)等數(shù)據(jù)信息，當租戶不再使用該平臺，云服務器管理中心對內存和硬盤等資源進行再分配時，可能出現(xiàn)無法徹底刪除數(shù)據(jù)的情況，導致租賃用戶存儲在云圖書館服務端上的殘留數(shù)據(jù)極有可能被下一個惡意租賃用戶還原，并被用于非法用途，為該用戶帶來直接或間接的經(jīng)濟損失。例如，具有版權保護的圖書館電子文獻資源和未開源的應用系統(tǒng)數(shù)據(jù)存儲在不安全服務器環(huán)境中時，惡意用戶通過還原關鍵數(shù)據(jù)占為己有，并用于商業(yè)目的，導致版權糾紛。此外，云圖書館租賃用戶在云服務器上存儲關鍵數(shù)據(jù)時以明文存儲的方式也容易被非法攻擊者通過網(wǎng)絡竊聽竊取數(shù)據(jù)，造成數(shù)據(jù)的泄露。endprint

3） 安全狀態(tài)不可控的隱患

云圖書館環(huán)境具有開放性、動態(tài)性等特點，若出現(xiàn)租賃用戶和黑客的惡意攻擊行為，將為服務提供商及時預防、排查和制止惡意行為帶來挑戰(zhàn)。云圖書館用戶隨時隨地可通過Internet進行數(shù)據(jù)存儲、訪問等操作，使得云圖書館服務器管理中心無法準確獲知非法用戶的數(shù)據(jù)操作位置；云圖書館服務供應商在服務器環(huán)境中采用虛擬化技術，即一臺虛擬服務器系統(tǒng)中同時存在多個租戶的應用系統(tǒng)，使得傳統(tǒng)的服務器安全措施不能完全適用于該環(huán)境，并且不便于監(jiān)控租戶的安全行為。因此，合理的環(huán)境安全監(jiān)控機制必不可少。同時，對于云圖書館服務提供商來說，需要考慮全面的安全評估體系，來保證租賃用戶在安全可信的環(huán)境下使用服務，而采用何種評估模型作為安全度量模型是云圖書館安全服務架構需要研究的內容。

1.2 用戶端資源共享安全

1） 數(shù)據(jù)和信息的安全隱患

為保證IaaS的可靠性，云圖書館租賃用戶在2個虛擬服務器之間進行在線遷移和異地備份操作，并通常以明文傳輸數(shù)據(jù)信息，這種傳輸方式可能導致的后果是，云圖書館惡意租戶竊取關鍵信息并搶占其他租戶資源；惡意租戶竊取關鍵信息并通過搶占大量資源致使其他租戶的服務不可用等。

2） 用戶身份信息和權限的安全隱患

在設計部署和運營維護云圖書館的過程中，無論服務提供商、云圖書館租賃用戶管理員還是一般訪問用戶，當用戶以遠程方式登錄云圖書館管理平臺時需要通過唯一的合法通行證進行登錄和身份認證，并針對不同用戶提供不同的權限。對于云圖書館服務提供商和云圖書館系統(tǒng)級管理人員，需要完成IaaS平臺的安全身份管理、認證和權限分配等操作，防止云圖書館服務提供商、非法攻擊者和非法用戶竊取基礎設施服務平臺的超級權限而進行非法操作；對于云圖書館的租賃用戶、一般讀者和非法攻擊者等系統(tǒng)訪問者，需要由服務提供商進行身份認證和操作權限的分配，只有授權用戶才能訪問云圖書館數(shù)據(jù)中心的硬件設備。

1.3 服務端和用戶端之間的資源供求安全

云圖書館有必要建立服務提供商和租賃用戶之間的安全供求關系。一方面，云圖書館服務提供商在云服務器管理中心根據(jù)租賃用戶的應用需求來提供功能集合，其操作處理過程對租賃用戶來說具有透明性，若服務提供商出現(xiàn)惡意竊取或篡改用戶隱私數(shù)據(jù)的情況，將直接威脅到用戶的隱私。另一方面，云圖書館允許租賃用戶上傳數(shù)據(jù)服務器端，可能為非法租賃用戶通過所屬虛擬機攻擊服務器內其他所有的虛擬機。同時，租賃用戶之間進行數(shù)據(jù)共享和傳輸過程中，可能出現(xiàn)非法攻擊者和非法用戶惡意篡改和泄露信息。例如，惡意租賃用戶使用側信道方法探測運行在同一物理服務器上其他租戶的隱私數(shù)據(jù)。

2 云圖書館安全策略

在云圖書館虛擬化IaaS安全架構的設計與構建中，鑒于各租賃用戶安全需求具有個性化和層次化等特性，服務提供商應具有租賃用戶按需選擇安全服務集合的功能，以采取不同的安全策略。

2.1 服務端資源共享安全策略

1） 建立物理隔離、存儲隔離和存儲安全機制

為保證云圖書館基礎設施服務模式物理設備的安全，采用物理隔離方式是一種有效途徑。針對因非法攻擊者造成的硬件設備受損和隱私數(shù)據(jù)被竊取等安全問題，物理隔離需要網(wǎng)絡設備的支持。在云圖書館虛擬服務器部署時，可通過物理交換機的虛擬化功能來實現(xiàn)通信隔離，例如使用基于OpenvSwitch和CiscoNexus 1000v的交換機。針對云圖書館服務器部署外部環(huán)境可能造成的安全問題，需要嚴格按照云服務器正常運行需求對機房環(huán)境進行控制，通過環(huán)境監(jiān)控系統(tǒng)實時保證隔離于高溫度、高濕度等外在環(huán)境。

云圖書館由于為多租戶提供云服務，租戶的所有數(shù)據(jù)混合存儲在存儲系統(tǒng)共享資源池中，為防止非法用戶竊取或者篡改租戶或者服務平臺的隱私數(shù)據(jù)，需要云圖書館IaaS模式的虛擬服務器和存儲服務器系統(tǒng)具備數(shù)據(jù)資源的存儲隔離功能。一方面，針對云圖書館各租戶的電子資源、應用系統(tǒng)等數(shù)據(jù)，可根據(jù)安全性進行分級，并將其分類存儲在不同的數(shù)據(jù)庫或者存儲介質中，來提高數(shù)據(jù)存儲的隔離性。另一方面，針對云圖館IaaS模式的虛擬服務器中存儲的關鍵數(shù)據(jù)，可對其進行部分加密存儲，當其他合法虛擬服務器管理者需要接收該數(shù)據(jù)時，可通過秘鑰解密數(shù)據(jù)完成數(shù)據(jù)傳送，以防止泄密。同時，對于云圖書館各租戶存儲的數(shù)據(jù)，可通過加密存儲服務器中磁盤上的數(shù)據(jù)或數(shù)據(jù)庫中的數(shù)據(jù)，來防止惡意的鄰居“租戶”及某些類型應用的濫用。

2） 建立服務器入侵檢測系統(tǒng)監(jiān)控分析機制

對于云服務器端的虛擬機系統(tǒng)而言，常見網(wǎng)絡安全攻擊包括：DDoS攻擊、惡意軟件注入攻擊、元數(shù)據(jù)欺騙攻擊和針對服務器的Dos攻擊等。為防止惡意云圖書館租賃用戶、黑客攻擊行為，便于服務提供商對租賃用戶行為進行管理，IaaS模式虛擬化服務器需要對服務器環(huán)境進行監(jiān)控和狀態(tài)分析。針對操作系統(tǒng)的行為，可通過事件操作進行監(jiān)控，例如通過跟蹤系統(tǒng)進程間的信息流，進行人侵檢測和病毒清除，或者利用跟蹤可疑來源數(shù)據(jù)導致的控制流變化進行檢測[4-5]。

3） 建立可度量的安全測評機制

為準確評估云圖書館服務器系統(tǒng)的安全狀態(tài)，可利用監(jiān)控機制統(tǒng)計租賃用戶當前狀態(tài)和歷史狀態(tài)，利用評價模型評估不同安全需求的用戶狀態(tài)是否安全，目前可度量安全測評機制在研究中。例如，清華大學提出的可信、可度量安全服務評估模型[3]。

2.2 服務端和用戶端資源供求安全策略

1） 建立用戶身份管理和訪問控制機制

針對用戶身份管理策略，一方面，云服務提供商在為云圖書館租戶方的管理員提供服務時，需要進行基礎設施服務平臺訪問的用戶身份管理、認證和權限分配，另一方面，云圖書館租賃方在為讀者或者各館的數(shù)字圖書館維護人員提供服務時，需要進行用戶身份認證和操作權限分配。針對訪問控制策略，IaaS平臺只有授權的員工才可以訪問云圖書館數(shù)據(jù)服務中心，完成電源冗余、網(wǎng)絡冗余、防火防盜、安全監(jiān)控和報警等操作。endprint

2） 建立安全事件審計機制

云圖書館用戶的數(shù)據(jù)不再被用戶本地擁有，需要有審計機制讓用戶知悉操作的數(shù)據(jù)是否被成功存儲或者處理，同時，從數(shù)據(jù)安全和網(wǎng)絡監(jiān)管的角度來看，也需要審計機制來遠程并公開數(shù)據(jù)的審計過程，具體可以通過對服務器虛擬機系統(tǒng)進行的創(chuàng)建、刪除、啟動、備份等常規(guī)操作、對訪問流量進行定期的日志留存操作，處理過程均以不泄漏用戶隱私為前提。

2.3 用戶端資源共享安全策略

1） 建立用戶身份聯(lián)合認證和訪問控制機制

在云環(huán)境下，實現(xiàn)身份聯(lián)合和單點登錄可以支持云圖書館中合作的各個圖書館之間更加方便地共享用戶身份信息和認證服務，并減少重復認證帶來的運行開銷。不同圖書館用戶進行局部訪問和共享資源時要求服務提供商具有信息保護權限，使用戶身份管理平臺允許用戶選擇身份信息進行認證，控制有效用戶訪問云圖書館資源。云圖書館通?？梢酝ㄟ^唯一的用戶名和密碼進行登錄，或者通過共享公共密碼（密鑰）利用身份ID號作為唯一的登陸入口，用戶在需要云圖書館資源時方可通過安全中心的認證。此外利用SLA安全探測機制識別出圖書館未認證用戶使用資源導致的信息泄露，可以及時處理泄露事故[6]。目前云計算服務平臺常用認證協(xié)議為安全套接字層認證協(xié)議SAP。

2） 建立數(shù)據(jù)加密機制

云圖書館服務提供商、租戶、訪問者等用戶在網(wǎng)絡中進行通信時，需利用數(shù)據(jù)加密技術加密通信鏈路上的數(shù)據(jù)，并支持多種加密方式。云圖書館租戶在部署服務架構時，可利用可信平臺模塊TPM2.0（Trusted Platform Module），該芯片已支持多種加密，依據(jù)可信計算組織TCG制定的標準實現(xiàn)。

3） 建立內外網(wǎng)絡隔離機制

內網(wǎng)與外網(wǎng)隔離，可通過設置防火墻系統(tǒng)進行隔離，保證內網(wǎng)安全。這種方式僅用于防止來自外網(wǎng)的惡意攻擊行為，例如DDoS攻擊等。

3 小結

云圖書館因其強大的計算能力和資源共享能力為數(shù)字圖書館帶來了新的發(fā)展前景，成為各個圖書館的資源集中地，為讀者提供全新的數(shù)字閱讀體驗。然而，云圖書館采用虛擬化技術的IaaS模式在帶來諸多優(yōu)勢的同時，但也因其復雜而獨特的平臺架構提高了多租戶共享IaaS資源的管理難度，并為云圖書館環(huán)境帶來了新的安全問題，例如服務器硬件安全、數(shù)據(jù)存儲和通信安全、用戶信息隱私安全和虛擬環(huán)境多租戶間網(wǎng)絡安全防御等。考慮到云圖書館中IaaS模式的安全性和魯棒性是應用云圖書館的服務提供商、租賃用戶和訪問用戶都需要考慮的關鍵因素，因此只有從各角度出發(fā)根據(jù)需求不斷完善IaaS共享資源安全機制，才能更好地為讀者提供個性化高質量的數(shù)字化服務，提高讀者滿意度。

參考文獻：

[1] 王文清，陳凌.CALLS數(shù)字圖書館云服務平臺模型[J].大學圖書館學報， 2009，27（4）： 13-32.

[2] 袁援，凌卉.云計算技術驅動下構建數(shù)字圖書館虛擬化環(huán)境的探討[J].情報理論與實踐，2010（12）：119-123.

[3] 林闖，蘇文博，等.云計算安全：架構、機制與模型評價[J].計算機學報，2013，36（9）：1765-1784.

[4] Kruegel C，Kirda E，Mutz D，et a1.Automating mimicry attacks using static binary analysis[J]. Proceedings of the 14th Conference on USENIX Security Symposium-Volume 14.Baltimore，Maryland，USA，2005：11-11.

[5] Hsu F，Chen H，Ristenpart T，et a1.Back to the future：A framework for automatic malware removal and system repair[J]. Proceedings of the 22nd Annual Computer Security Applications Conference（ACSAC06）.New Orleans，USA，2006：257-268.

[6] Avizienis A， Laprie J C， Randell B，et a1. Basic concepts and taxonomy of dependable and secure computing[J].IEEE Trans actions on Dependable and Secure Computing，2004，1（1）： 11-33.endprint