云计算 (cloud computing) 掀起了IT信息技术业的第三次浪潮, 将成为一种新的网络化IT服务模式。其目标旨在像供水电气等生活必须品一样, 向云端用户提供大规模的信息与计算资源, 为用户提供全面、方便、快捷的服务。
云计算的迅猛发展, 其安全问题越显突出, 已成为制约云计算发展领域最为突出的问题。云计算服务中心集成的基础设施即服务 (IaaS) 、平台即服务 (PaaS) 、软件即服务 (SaaS) 规模巨大, 其前所未有的开放性与复杂性, 将成为黑客攻击的重点。云客户的信息安全与隐私保护, 对云服务运营商提出了巨大的挑战。因此, 为用户提供一个安全可信的运行环境、防止云的内外攻击, 成为该领域最迫切的解决的问题。
本文的结构, 首先提出了云计算存在的安全风险, 接着引入了可信计算技术并阐明其内涵, 在此基础上构建了云用户安全模型。
由于云计算服务规模巨大, 其前所未有的开放性与复杂性, 对云服务运营商和管理者, 提出了严峻的考验。
首先, 云数据传输存在安全风险。用户数据在传输过程中, 虽然在租户与云管理中心的边界路由器上能采用VPN技术对数据进行加密、验证、身份确认等行为, 但对于众多普通的租户不可能在用户端去购置价格昂贵的路由器、防火墙设备, 传输存在安全风险。
其次, 云数据存储存在安全风险。云服务商从经济性和可用性出发, 对众多的云用户数据会采用多租户模式混合存储, 这种方式不能阻止非法用户对数据的访问, 外部的恶意攻击可能窃取用户信息与数据。
第三, 身份管理与访问控制存在安全风险。尽管云服务平台中用户可通过虚拟化技术来共享资源, 在虚拟化技术下, 用户非法取得虚拟机的权限, 能够进一步的威胁到物理服务器上的虚拟机。多租户共享云环境仍然是云安全的最大挑战。
另外, 云计算中多层服务模式引发的安全问题。不同的云服务提供商之间没有统一的安全协议, 使得服务在多层转包的过程中存在安全风险。
目前各云服务提供商为了实现云计算的安全, 通常会在网络层部署安全设备, 如网络中间件防火墙、防毒墙、包过滤、入侵检查系统等, 并将计算资源存储在区域网络 (SANs) 。但这些作法都停留在网络层, 即在Internet上传输这个过程。如果能在硬件芯片层就保证云计算的安全, 那么, 云计算的大规模应用将指日可待。而可信计算技术可以实现这个假设。
可信计算是信息安全领域中的一个重要概念, 其主要思想是在硬件平台植入安全芯片——可信平台模块 (RPM) 来提高终端系统的安全性。其基本思想是, 建立一个物理安全的信任根部件, 并基于该信任根建立一条认证和信任链, 如果能在云中植入一个信任根, 让计算机从BIOS到操作系统内核层, 再到云应用层都构建信任关系;以此为基础, 扩大到云中的网络, 建立相应的信任关系链。通过信任链的扩充, 就建立起可信云。这样, 可以从根本上解决云计算的安全问题。
可信计算平台是以可信平台模块 (TPM) 为根, 由TPM、CPU、操作系统、可信软件、应用软件、网络基础设备融为一体的完整体系结构。可信计算平台能够从硬件底层开始实现对用户身份地鉴别, 用户身份不再依赖操作系统, 而由可信计算技术支撑, 用户身份鉴别不会被旁路;底层部件对上层进行度量和认证, 从系统的启动开始对BIOS、操作系统的加载模块、操作系统都要被一一可信验证, 确保其不被篡改。
在可信计算体系中, 最核心的是可信芯片平台TPM。TPM是一个含有各种密码部件和存储部件的小型片上系统, 能够提供一系列密码处理功能, 如RSA加速器、算法引擎、随机数发生器以及存放密钥等功能。
在互联网构成的云计算平台中, 各种终端包含了PC、手机以及其它移动智能终端等, 其中手机以及其它移动智能终端等多为嵌入式系统。在这些智能终端中引入TPM, 由TPM芯片完成嵌入式终端信息安全的核心算法, 而由软件调用TPM的计算结果来实现相应的安全功能, 控制嵌入式终端从启动到运行的全过程。
嵌入式可信终端包括可信的硬件层、OS层和应用层, 这3个层次相互配合, 从而使得可信终端具备可靠的安全支持, 其中该架构的核心是TPM。可信终端架构如图1所示。
当前, 对用户的数据安全主要加密技术 (DES、3DES、AES等) 保证数据的隐私性, 用hash算法 (md5、sha1等) 对数据的完整性进行验证, 并在数据接收方对发送源进行身份确定。但是这只能保证数据包在互联网上传递的安全, 没有解决数据因内部因素产生的自身的安全问题, 因而不能真正起到保证用户的数据安全与身份隐私保护的作用。
我们在客户端底层硬件嵌入可信平台模块TPM, 并采用虚拟技术, 实现了多租户可信计算环境模型。在本模型中, 我们提出了“双信任链传递”的概念, 一条信任链是从可信根的启动到虚拟机的加载, 确保基础设施环境的可信;另一条信任链是从客户操作系统到应用, 确保虚拟机的可信。
在多租户可信计算环境下, 存在多个虚拟机共用一个TPM的情况, 这样造成了单TPM负荷过重。因此, 我们应用可信平台仿真器提供多个虚拟TPM, 为每一个虚拟机提供可信根, 解决了多个虚拟机共用一个TPM负荷过重问题, 并在每一个虚拟TPM中配置安全策略, 构建基于可信计算的云用户安全模型, 如图2所示。
本模型构建的主体思路:
(1) 以可信管理模块 (TPCM) 为可信根, 对硬件资源的BIOS、虚拟化平台进行可信验证, 保证底层启动的可信。通过TPCM仿真为每一个虚拟机提供虚拟的可信管理VTPCM, 并对每个虚拟机进行可信验证将信任传递到虚拟机。
(2) 当云用户需要申请云服务前, 向可信第三方提出申请, 可信第三方再向云服务商提出申请, 这样通过了中间代理, 云服务商并不知道最终云用户是谁, 从而实现云用户身份隐匿。
(3) 信任链的构建, 首先从物理可信根开始到硬件平台、虚拟机监视器、可信管理VTPCM、客户操作系统、应用程序构建信任链, 构建云基础设施的可信运行环境。并将执行控制权传递给引导扇区;其次, 引导扇区对虚拟机监视器进行完整性度量, 并将执行控制权传递给虚拟机监视器。VTPCM对虚拟机操作系统加载模块、操作系统、应用程序进行完整性度量, 就如终端系统一样, 如果上述所有的完整性度量结果是可信的, 就实现了从可信根到虚拟机的信任传递。
本文根据云用户所面临的安全风险, 构建了基于可信计算的云用户安全模型。本模型通过引入了可信计算技术, 为云计算的基础设施软硬件提供了可信的运行环境, 具有参考价值。对于云计算中虚拟机的管理问题有待进一步的研究。
摘要:云计算安全问题是制约云计算发展进程的重要因素, 可信计算使计算安全成为可能。本文以可信计算为支撑, 在可信终端架构的基础上, 结合其两条信任链传递的概念, 构建了从基础设施即服务-IaaS层到虚拟机PaaS层安全运行的云用户安全模型。
关键词:云计算,可信计算,安全模型
[1] 孙晶晶, 蔡勉, 赵阳.基于可信计算的云用户安全模型[J].计算机安全, 2012 (4) :19-24.
[2] 王海峰, 程广河, 郝惠娟, 王尚斌.云计算模式下可信平台设计[J].山东科学, 2010 (8) :99-102.
[3] 季一木, 康家邦, 潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全, 2012, (06) :6-8.
[4] 胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全, 2012, (07) :87-89.
推荐阅读:
基于Bowtie模型的机场安全风险分析06-30
CIMS环境下基于特征的产品模型09-30
基于行为因素的煤矿现代安全管理研究07-09
基于数值模拟的语言计算方法07-15
基于Matpower的电力系统潮流计算06-28
基于dm广告的研究06-01
基于任务驱动的翻转课堂教学实践研究10-24
混合式课例研究是基于对问题的研究06-03
