計算機新技術系列講座

云安全技術綜述史維峰教授西北大學信息科學與技術學院Email：swf@云安全技術綜述云計算簡介云計算（CloudComputing）是一種通過Internet以服務的方式提供動態(tài)可伸縮的虛擬化的資源計算模式。云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問，這些資源能夠被快速提供，就像用水和電一樣方便。云計算（CloudComputing）是網(wǎng)格計算（GridComputing）、（分布式計算）（DistributedComputing）、并行計算（ParallelComputing）、效用計算（UtilityComputing）、網(wǎng)絡存儲（NetworkStorageTechnologies）、虛擬化（Virtualization）、負載均衡（LoadBalance）等傳統(tǒng)計算機和網(wǎng)絡技術發(fā)展融合的產(chǎn)物。云安全技術綜述云計算歷程1983年，SunMicrosystems提出TheNetworkistheComputer。2006年3月，Amazon推出彈性計算云(ElasticComputeCloud

EC2）服務。2006年8月，Google首席執(zhí)行官EricSchmidt在搜索引擎大會上首次提出“云計算“（CloudComputing）的概念。2007年10月，Google與IBM開始在美國大學校園，包括卡內(nèi)基梅隆大學、麻省理工學院、斯坦福大學、加州大學柏克萊分校及馬里蘭大學等，推廣云計算的計劃。2008年2月，IBM宣布在中國無錫為中國的軟件公司建立全球第一個云計算中心（CloudComputingCenter）。云安全技術綜述云計算歷程2010年3月，Novell與云安全聯(lián)盟（CSA）共同宣布一項供應商中立計劃，名為“可信任云計算計劃（TrustedCloudInitiative）”。2010年7月，美國國家航空航天局NASA和包括Rackspace、AMD、Intel、戴爾等支持廠商共同宣布“OpenStack”開放源代碼計劃。2011年2月，思科系統(tǒng)正式加入OpenStack，重點研制OpenStack

所需的網(wǎng)絡服務。2010年開始，華為開展大規(guī)模云計算研究與開發(fā)，將其作為未來的重點方向之一。云安全技術綜述云計算架構(gòu)圖云計算包括以下幾個層次的服務：基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）。云安全技術綜述未來云計算服務分布層次云安全技術綜述云安全技術綜述云安全技術綜述云計算安全挑戰(zhàn)云計算將推動信息安全領域進行又一次重大的革新

信息安全技術發(fā)展階段圖云安全技術綜述這種變革為信息安全領域帶來的沖擊表現(xiàn)在以下幾個方面：在云平臺中運行的各類云應用，由于沒有固定不變的基礎設施，沒有固定不變的安全邊界，所以，難以實現(xiàn)用戶數(shù)據(jù)安全與隱私保護；云服務所涉及的資源由多個管理者所有，存在利益沖突，無法統(tǒng)一規(guī)劃部署安全防護措施；在云平臺中，數(shù)據(jù)與計算高度集中，所以，安全措施必須滿足海量信息處理需求。云安全技術綜述挑戰(zhàn)1：

建立以數(shù)據(jù)安全和隱私保護為主要目標的云安全技術框架要重點分析與解決云計算的服務計算模式、動態(tài)虛擬化管理方式以及多租戶共享運營模式對數(shù)據(jù)安全與隱私保護帶來的挑戰(zhàn)。體現(xiàn)在以下幾個方面：云計算服務計算模式所引發(fā)的安全問題云計算的動態(tài)虛擬化管理方式引發(fā)的安全問題云計算中多層服務模式引發(fā)的安全問題云安全技術綜述挑戰(zhàn)2：建立以安全目標驗證、安全服務等級測評為核心的云計算安全標準及其測評體系云計算安全標準要支持廣義的安全目標云計算安全標準要支持用戶描述其數(shù)據(jù)安全保護目標、指定其所屬資產(chǎn)安全保護的范圍和程度還應支持用戶、尤其是企業(yè)用戶的安全管理需求，如分析查看日志信息、搜集信息了解數(shù)據(jù)使用情況展開違法操作調(diào)查等。云安全技術綜述云計算安全標準應支持對靈活、復雜的云服務過程的安全評估。傳統(tǒng)意義上，對服務商能力的安全風險評估方式：通過全面識別和分析系統(tǒng)架構(gòu)下威脅和弱點及其對資產(chǎn)的潛在影響來確定其抵抗安全風險的能力和水平。在云計算環(huán)境下，服務方式將發(fā)生根本性的變化：云服務提供商可能租用其他服務商提供的基礎設施服務或購買多個服務商的軟件服務，根據(jù)系統(tǒng)狀況動態(tài)選用。云安全技術綜述挑戰(zhàn)3：建立可控的云計算安全監(jiān)管體系實現(xiàn)基于云計算的安全攻擊的快速識別、預警與防護在云計算環(huán)境下，如果黑客攻入了云客戶的主機，使其成為向云服務提供商發(fā)動DDoS

攻擊的一顆棋子，那么按照云計算對計算資源根據(jù)實際使用付費的方式，這一受控客戶將在并不知情的情況下，為黑客發(fā)起的資源連線償付巨額費用。與以往DDoS

攻擊相比，基于云的攻擊更容易組織，破壞性更大。云安全技術綜述實現(xiàn)云計算內(nèi)容的監(jiān)控云計算所具有的動態(tài)性特征使得建立或關閉一個網(wǎng)絡服務較之以往更加容易，成本代價更低。因此，很容易以打游擊的模式在網(wǎng)絡上遷移，使得追蹤管理難度加大，對內(nèi)容監(jiān)管更加困難。如果允許其檢查，必然涉及到其他用戶的隱私問題。另外，云服務提供商往往具有國際性的特點，數(shù)據(jù)存儲平臺也常跨越國界，將網(wǎng)絡數(shù)據(jù)存儲到云上可能會超出本地政府的監(jiān)管范圍，或者同屬多地區(qū)或多國的管轄范圍，而這些不同地域的監(jiān)管法律和規(guī)則之間很有可能存在著嚴重的沖突，當出現(xiàn)安全問題時，難以給出公允的裁決。云安全技術綜述Sun公司發(fā)布開源的云計算安全工具，可為Amazon的EC2，S3以及虛擬私有云平臺提供安全保護工具包括OpenSolarisVPC網(wǎng)關軟件，能夠幫助客戶迅速和容易地創(chuàng)建一個通向Amazon虛擬私有云的多條安全的通信通道；為AmazonEC2設計的安全增強的VMIs，包括非可執(zhí)行堆棧，加密交換和默認情況下啟用審核。云安全盒(Cloudsafetybox)使用類AmazonS3接口，自動對內(nèi)容進行壓縮、加密和拆分，簡化云中加密內(nèi)容的管理。微軟為云計算平臺Azure設計的Sydney的安全計劃幫助企業(yè)用戶在服務器和Azure云之間交換數(shù)據(jù)，以解決虛擬化、多租戶環(huán)境中的安全性。國內(nèi)外云計算安全技術現(xiàn)狀云安全技術綜述可信云體系架構(gòu)EMC，Intel，Vmware

等公司聯(lián)合宣布了一個“可信云體系架構(gòu)”的合作項目，提出了一個概念證明系統(tǒng)。該架構(gòu)采用Intel的可信執(zhí)行技術(TrustedExecutionTechnology)、VMware

的虛擬隔離技術、RSA的enVision

安全信息與事件管理平臺等技術相結(jié)合，以此構(gòu)建從下至上值得信賴的多租戶服務器集群。開源云計算平臺Hadoop安全版本引入Kerberos安全認證技術，對共享商業(yè)敏感數(shù)據(jù)的用戶加以認證與訪問控制，阻止非法用戶對HadoopClusters的非授權訪問。國內(nèi)外云計算安全技術現(xiàn)狀云安全技術綜述云安全架構(gòu)云安全技術綜述數(shù)據(jù)安全保護涉及用戶數(shù)據(jù)生命周期中創(chuàng)建、存儲、使用、共享、歸檔、銷毀等各個階段，

同時涉及到所有參與服務的各層次云服務提供商。隱私保護防止云服務商惡意泄露或出賣用戶隱私信息，或者對用戶數(shù)據(jù)進行搜集和分析，挖掘出用戶隱私數(shù)據(jù)。云用戶安全目標云安全技術綜述安全云基礎設施服務云基礎設施服務。為上層云應用提供安全的數(shù)據(jù)存儲、計算等IT資源服務，是整個云計算體系安全的基石。要求具有抵擋來自外部黑客的安全攻擊的能力。并能證明自己具有無法破壞用戶數(shù)據(jù)與應用的能力。云計算安全服務體系云安全技術綜述云安全基礎服務云安全基礎服務屬于云基礎軟件服務層，為各類云應用提供共性信息安全服務，是支撐云應用滿足用戶安全目標的重要手段。包括如下服務：云用戶身份管理服務云訪問控制服務云審計服務云密碼服務云計算安全服務體系云安全技術綜述云安全應用服務云安全應用服務與用戶的需求緊密結(jié)合。典型的例子，如DDOS攻擊防護云服務、Botnet

檢測與監(jiān)控云服務、云網(wǎng)頁過濾與殺毒應用、內(nèi)容安全云服務、安全事件監(jiān)控與預警云服務、云垃圾郵件過濾及防治等。云計算提供的超大規(guī)模計算能力與海量存儲能力，能在安全事件采集、關聯(lián)分析、病毒防范等方面實現(xiàn)性能的大幅提升，可用于構(gòu)建超大規(guī)模安全事件信息處理平臺，提升對全網(wǎng)安全態(tài)勢的把握能力。云計算安全服務體系云安全技術綜述云服務安全目標的定義、度量及其測評方法規(guī)范幫助云用戶清晰地表達其安全需求，并量化其所屬資產(chǎn)各安全屬性指標。清晰且無二義的安全目標是解決服務安全質(zhì)量爭議的基礎。云安全服務功能及其符合性測試方法規(guī)范定義基礎性的云安全服務，如云身份管理、云訪問控制、云審計以及云密碼服務等的主要功能與性能指標，便于使用者在選擇時對比分析。云服務安全等級劃分及測評規(guī)范通過云服務的安全等級劃分與評定，幫助用戶全面了解服務的可信程度，更加準確地選擇自己所需的服務。云計算安全支撐服務體系云安全技術綜述可信訪問控制在云計算模式下，如何通過非傳統(tǒng)訪問控制類手段實施數(shù)據(jù)對象的訪問控制是關鍵，這就是可信訪問控制問題。有如下的方法：基于密碼學方法實現(xiàn)訪問控制，包括：基于層次密鑰生成與分配策略實施訪問控制的方法；利用基于屬性的加密算法(如密鑰規(guī)則的基于屬性加密方案KP-ABE，或密文規(guī)則的基于屬性加密方案CP-ABE）；基于代理重加密的方法；在用戶密鑰或密文中嵌入訪問控制樹的方法等。云計算安全關鍵技術云安全技術綜述可信訪問控制權限撤銷。基于密碼類方案的一個重要問題是權限撤銷，一個基本方案是為密鑰設置失效時間，每隔一定時間，用戶從認證中心更新私鑰；或?qū)ζ浼右愿倪M，引入了一個在線的半可信第三方維護授權列表，基于用戶的唯一ID屬性及非門結(jié)構(gòu)，實現(xiàn)對特定用戶進行權限撤銷。尚存在的問題。在帶有時間或約束的授權、權限受限委托等方面仍存在許多有待解決的問題。云計算安全關鍵技術云安全技術綜述密文檢索與處理數(shù)據(jù)變成密文時喪失了許多其他特性，導致大多數(shù)數(shù)據(jù)分析方法失效。密文檢索有兩種典型的方法：基于安全索引的方法。通過為密文關鍵詞建立安全索引，檢索索引查詢關鍵詞是否存在。基于密文掃描的方法。通過對密文中每個單詞進行比對，確認關鍵詞是否存在，以及統(tǒng)計其出現(xiàn)的次數(shù)。云計算安全關鍵技術云安全技術綜述密文檢索與處理密文處理研究主要集中在秘密同態(tài)加密算法設計上。IBM研究員Gentry利用“理想格(Ideallattice)”的數(shù)學對象構(gòu)造隱私同態(tài)(Privacyhomomorphism)算法，也稱全同態(tài)加密，可以充分地操作加密狀態(tài)的數(shù)據(jù)，在理論上取得了一定突破。使相關研究重新得到研究者的關注，但目前與實用化仍有很長的距離。云計算安全關鍵技術云安全技術綜述數(shù)據(jù)存在與可使用性證明由于大規(guī)模數(shù)據(jù)所導致的巨大通信代價，用戶不可能將數(shù)據(jù)下載后再驗證其正確性。因此，云用戶需在取回很少數(shù)據(jù)的情況下，通過某種知識證明協(xié)議或概率分析手段，以高置信概率判斷遠端數(shù)據(jù)是否完整。典型的工作包括：面向用戶單獨驗證的數(shù)據(jù)可檢索性證明(POR)方法、公開可驗證的數(shù)據(jù)持有證明(PDP)方法。云計算安全關鍵技術云安全技術綜述數(shù)據(jù)存在與可使用性證明NEC實驗室提出的PDI(Provabledataintegrity)方法，改進并提高了POR方法的處理速度以及驗證對象規(guī)模，且能夠支持公開驗證。其他典型的驗證技術包括：基于新的樹形結(jié)構(gòu)MACTree的方案；

基于代數(shù)簽名的方法；基于BLS同態(tài)簽名和RS糾錯碼的方法等。云計算安全關鍵技術云安全技術綜述數(shù)據(jù)隱私保護云中數(shù)據(jù)隱私保護涉及數(shù)據(jù)生命周期的每一個階段。典型的工作包括：Roy等人將集中信息流控制(DIFC)和差分隱私保護技術融入云中的數(shù)據(jù)生成與計算階段，提出了一種隱私保護系統(tǒng)Airavat，防止Mapreduce計算過程中非授權的隱私數(shù)據(jù)泄露出去，并支持對計算結(jié)果的自動除密。差分隱私保護是誕生于2006年的一種數(shù)據(jù)隱私保護新方法，通過添加噪聲使數(shù)據(jù)失真，從而起到保護隱私的目的。

在數(shù)據(jù)存儲和使用階段，有研究者提出了一種基于客戶端的隱私管理工具，提供以用戶為中心的信任模型，幫助用戶控制自己的敏感信息在云端的存儲和使用。云計算安全關鍵技術云安全技術綜述數(shù)據(jù)隱私保護Munts-Mulero

等人討論了現(xiàn)有的隱私處理技術，包括K匿名、圖匿名以及數(shù)據(jù)預處理等，作用于大規(guī)模待發(fā)布數(shù)據(jù)時所面臨的問題和現(xiàn)有的一些解決方案很有效。K-匿名是數(shù)據(jù)發(fā)布時保護私有信息的一種重要方法。K-匿名技術是1998年由Samarati和Sweeney提出的,它要求發(fā)布的數(shù)據(jù)中存在一定數(shù)量(至少為K)的在準標識符上不可區(qū)分的記錄,使攻擊者不能判別出隱私信息所屬的具體個體,從而保護個人隱私。K-匿名通過參數(shù)K指定用戶可承受的最大信息泄露風險。K-匿名化在一定程度上保護了個人的隱私,但同時會降低數(shù)據(jù)的可用性。因此,K-匿名化的研究工作主要集中在保護私有信息的同時提高數(shù)據(jù)的可用性。Rankova

等人提出一種匿名數(shù)據(jù)搜索引擎，可以使得交互雙方搜索對方的數(shù)據(jù)，獲取自己所需要的部分，同時保證搜索詢問的內(nèi)容不被對方所知，搜索時與請求不相關的內(nèi)容不會被獲取。云計算安全關鍵技術云安全技術綜述虛擬安全技術虛擬技術是實現(xiàn)云計算的關鍵技術。使用虛擬技術的云架構(gòu)提供者必須向其客戶提供安全性和隔離保證。

典型的工作包括：Santhanam

等人提出了基于虛擬機技術實現(xiàn)的Grid

環(huán)境下的隔離執(zhí)行機。云計算安全關鍵技術云安全技術綜述虛擬安全技術Raj

等人提出了通過緩存層次可感知的核心分配，并給緩存劃分的頁染色的兩種資源管理方法實現(xiàn)性能與安全隔離。這些方法在隔離影響一個VM的緩存接口時是有效的，并整合到一個樣例云架構(gòu)的資源管理(RM)框架中。部分研究者還重點研究了虛擬機映像文件的安全問題。即對每一個映像文件對應一個客戶應用，它們必須具有高完整性，且可以安全共享的機制。所提出的映像文件管理系統(tǒng)實現(xiàn)了映像文件的訪問控制、來源追蹤、過濾和掃描等，可以檢測和修復安全性違背問題。云計算安全關鍵技術云安全技術綜述云資源訪問控制在云計算環(huán)境中，各個云應用屬于不同的安全管理域，每個安全域都管理著本地的資源和用戶。當用戶跨域訪問資源時，需在域邊界設置認證服務，對訪問共享資源的用戶進行統(tǒng)一的身份認證管理。在跨多個域的資源訪問中，各域有自己的訪問控制策略，在進行資源共享和保護時必須對共享資源制定一個公共的、雙方都認同的訪問控制策略，因此，需要支持策略的合成。云計算安全關鍵技術云安全技術綜述云資源訪問控制具體的方法有：Mclean在強制訪問控制框架下，提出了一個強制訪問控制策略的合成框架，并將兩個安全格合成一個新的格結(jié)構(gòu)。策略合成的同時還要保證新策略的安全性，

新的合成策略不能違背各個域原來的訪問控制策略。Gong提出了自治原則和安全原則。云計算安全關鍵技術云安全技術綜述云資源訪問控制Bonatti提出了一個訪問控制策略合成