基于第三方可信云的安全協(xié)同工作方案

□潘 定 陳婷婷

[暨南大學(xué) 廣州 510632]

引言

云計(jì)算的概念被提出來以后，引來了工業(yè)界、學(xué)術(shù)界和政府的關(guān)注，云計(jì)算也成為我國(guó)重點(diǎn)布局的戰(zhàn)略性新興產(chǎn)業(yè)領(lǐng)域。例如，2010年10月18日，國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部聯(lián)合印發(fā)《關(guān)于做好云計(jì)算服務(wù)創(chuàng)新發(fā)展試點(diǎn)示范工作的通知》，確定在北京、上海、深圳、杭州、無錫等5個(gè)城市先行開展云計(jì)算服務(wù)創(chuàng)新發(fā)展試點(diǎn)示范工作。近年各種云研究成果陸續(xù)出現(xiàn)以及云應(yīng)用不斷普及，例如，2006年，Amazon相繼推出在線存儲(chǔ)服務(wù)S3和彈性計(jì)算云EC2等云服務(wù)；2011年，浪潮集團(tuán)自主研發(fā)云海集裝箱數(shù)據(jù)中心正式發(fā)布等。云計(jì)算這種新型的計(jì)算和資源模式的優(yōu)勢(shì)愈加明顯，然而在享用云計(jì)算的便利的同時(shí)，云環(huán)境下的安全隱患及風(fēng)險(xiǎn)問題也不容忽視。近年來，隨著云計(jì)算服務(wù)的發(fā)展，各種安全事件層出不窮，例如：2009年4月，微軟Azure云計(jì)算平臺(tái)徹底崩潰，使相關(guān)用戶損失了大量的數(shù)據(jù)；2011年4-5月，索尼旗下PlayStation網(wǎng)站遭入侵，黑客竊取了索尼PS3和音樂、動(dòng)畫云服務(wù)網(wǎng)絡(luò)Qriocity用戶登錄的個(gè)人信息，波及57個(gè)國(guó)家和地區(qū)的上億人；2013年1月亞馬遜云計(jì)算服務(wù)中斷將近一個(gè)小時(shí)、Dropbox服務(wù)中斷約16個(gè)小時(shí)、Facebook網(wǎng)站中斷兩到三個(gè)小時(shí)。

隨著大量公共云和私有云的投入使用，不同云之間進(jìn)行頻繁的協(xié)同工作及數(shù)據(jù)交換，然而由于云環(huán)境的開放性和復(fù)雜性、云資源的集中性等帶來各種安全風(fēng)險(xiǎn)。國(guó)內(nèi)外的標(biāo)準(zhǔn)組織和專門機(jī)構(gòu)已經(jīng)開始云計(jì)算與安全標(biāo)準(zhǔn)的制定工作，IT產(chǎn)業(yè)的一些巨頭公司也在設(shè)計(jì)各種云計(jì)算安全產(chǎn)品與方案。

一、云計(jì)算安全的解決方案

對(duì)云計(jì)算進(jìn)行研究和部署的組織機(jī)構(gòu)，2010年據(jù)ITU-T的云計(jì)算焦點(diǎn)組（FG-Cloud）所給出的數(shù)據(jù)有27家之多。具體到云計(jì)算安全方面問題的研究，則主要是CSA（云計(jì)算安全聯(lián)盟）和ENISA（歐洲網(wǎng)絡(luò)和信息安全研究所）以及微軟等幾個(gè)組織和公司積極進(jìn)行研究和云計(jì)算安全方面的部署。學(xué)術(shù)界則從云計(jì)算安全的各個(gè)不同方面進(jìn)行了研究，如訪問控制、數(shù)據(jù)加密、安全通信和隱私保護(hù)等。

Takabi Hassan和Joshi James等提出一個(gè)安全云框架，對(duì)于云服務(wù)集成商和云服務(wù)提供商都構(gòu)建各自的安全管理模塊[1]。云服務(wù)集成商的安全管理包括認(rèn)證/身份管理模塊和基于信任的政策集合模塊。云服務(wù)提供商的安全管理包括認(rèn)證/身份管理模塊、訪問控制模塊和隱私/數(shù)據(jù)加密模塊。

Prashant Srivastava1和Satyam Singh等提出一系列積極對(duì)策來保證云計(jì)算的安全，并且設(shè)計(jì)了一個(gè)安全云架構(gòu)，即在私有云內(nèi)部構(gòu)建一個(gè)“安全云”，通過這個(gè)“安全云”與其他云進(jìn)行通信[2]。該“安全云”設(shè)置相應(yīng)的安全策略，包括監(jiān)控引擎和HIPS（基于主機(jī)的入侵防御系統(tǒng)）管理器來保證私有云內(nèi)部的安全，經(jīng)過“安全云”驗(yàn)證和授權(quán)的用戶才可能訪問私有云的資源。這兩個(gè)安全方案在一定程度上保障了云實(shí)體的安全，但由于經(jīng)過授權(quán)的用戶還是可以直接訪問云資源中心，因此云資源中心對(duì)于這些信任用戶而言是“可見”的，這就在某種程度上增加了云資源中心的安全風(fēng)險(xiǎn)。同時(shí)要求每個(gè)私有云或公有云都構(gòu)建自己的安全云，解決云間安全策略的沖突也為云環(huán)境的安全通信帶來另一個(gè)問題。

也有學(xué)者利用虛擬技術(shù)來設(shè)計(jì)安全方案。Frank John Krautheim提出一個(gè)新的實(shí)用云計(jì)算管理和安全模型PVI（私有虛擬基礎(chǔ)設(shè)施），PVI將云安全的責(zé)任分擔(dān)到用戶和服務(wù)商身上，數(shù)據(jù)中心由用戶和信息擁有者控制，云環(huán)境由服務(wù)商管理控制[3]。一個(gè)云Lcator Bot（LoBot）預(yù)先設(shè)置好云的安全屬性和數(shù)據(jù)中心。PVI和LoBot為企業(yè)提供維護(hù)和控制云信息的攻擊，提出一個(gè)云計(jì)算根信任信任的新機(jī)制。信任虛擬環(huán)境模型（TVEM）集成來自提供商和用戶的信任，在遠(yuǎn)程主機(jī)上構(gòu)建一個(gè)根信任，為云環(huán)境中各方建立一個(gè)信任關(guān)系。Jianxin Lia和Yanmin Zhub等提出一種安全協(xié)同服務(wù)PEACE-VO系統(tǒng)架構(gòu)，包括兩個(gè)虛擬組織管理和授權(quán)協(xié)議。利用VO來解決不同甚至有沖突的安全方案的組織之間的安全通信問題。并提出了一個(gè)完全分布式的算法來檢測(cè)不同組織潛在的安全方案沖突，不披露其組織的隱私保護(hù)政策，卻能夠阻擋惡意的內(nèi)部攻擊[4]。

Zissis Dimitrios和Lekkas Dimitrios提出引入一個(gè)可信的第三方，負(fù)責(zé)確保在云環(huán)境中的特定安全特性。通過服務(wù)器和客戶機(jī)的認(rèn)證，創(chuàng)建安全域，基于證書的認(rèn)證，結(jié)合PKI、SSO和LDAP進(jìn)行數(shù)據(jù)加密，以確保涉及的數(shù)據(jù)和通信的身份驗(yàn)證，完整性和保密[5]。該方案將云中所有實(shí)體都關(guān)聯(lián)起來，構(gòu)建一個(gè)可信的安全網(wǎng)?？尚诺谌椒桨冈谝欢ǔ潭壬蠝p輕每個(gè)云實(shí)體的工作負(fù)擔(dān)和安全風(fēng)險(xiǎn)。

二、自由的云協(xié)同工作存在的安全風(fēng)險(xiǎn)

由于大量私有云和公有云的應(yīng)用，跨云服務(wù)的實(shí)現(xiàn)和跨云數(shù)據(jù)的交換都需要不同云協(xié)同工作。目前云環(huán)境下的協(xié)同工作都是相關(guān)云實(shí)體之間的協(xié)同如圖1所示，即云A需要云B的資源，就直接向云A發(fā)出請(qǐng)求并與之直接通信。

圖1 自由的云協(xié)同工作環(huán)境

一般情況下每個(gè)云實(shí)體都有自己的一套安全保護(hù)方案，當(dāng)與其他云實(shí)體進(jìn)行協(xié)同工作時(shí)，云資源服務(wù)方都會(huì)根據(jù)自己的安全保護(hù)策略對(duì)云訪問用戶進(jìn)行身份認(rèn)證、訪問授權(quán)。在數(shù)據(jù)交換時(shí)，云資源服務(wù)方會(huì)根據(jù)云訪問用戶特性對(duì)交換數(shù)據(jù)進(jìn)行加密。自由的云協(xié)同工作環(huán)境帶來的安全隱患有：

1．云數(shù)據(jù)的泄露。由于允許可信用戶進(jìn)入云資源中心獲取數(shù)據(jù)，一旦偽可信用戶通過了身份認(rèn)證獲得訪問授權(quán)，那么云資源中心的數(shù)據(jù)就暴露了。例如：2011年7月，韓國(guó)三大門戶網(wǎng)站之一Nate和社交網(wǎng)站“賽我網(wǎng)”遭到黑客攻擊，3500萬用戶信息泄漏。

在數(shù)據(jù)交換方面，現(xiàn)有云環(huán)境并沒有為通信云間建立專用安全信道，都是基于公開網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行數(shù)據(jù)交換，而通信前資源云也只是對(duì)交換數(shù)據(jù)進(jìn)行一次簡(jiǎn)單加密。因此云數(shù)據(jù)在傳輸過程中容易造成丟失或被篡取。

2．云的不良使用。獲得授權(quán)的云用戶都可以使用云服務(wù)，這就給不良濫用提供了條件，網(wǎng)絡(luò)犯罪份子可以進(jìn)行攻擊和發(fā)送惡意軟件，例如：Amazon的簡(jiǎn)單存儲(chǔ)服務(wù)（簡(jiǎn)稱S3）在2009年先后被黑客攻擊、旁道攻擊和僵死網(wǎng)絡(luò)攻擊。

3．賬戶或服務(wù)劫持。每個(gè)云的安全政策都是基于自己的特性和需求設(shè)置的，由于云實(shí)體的差異，有些云實(shí)體的安全級(jí)別并不高。如果攻擊者控制了用戶賬戶的證書，那么他們可以為所欲為，竊聽用戶的活動(dòng)、交易，將數(shù)據(jù)變?yōu)閭卧斓男畔ⅲ瑢①~戶引到非法的網(wǎng)站。

基于第三方可信云的安全協(xié)同工作方案，即構(gòu)建一個(gè)第三方可信云，制定一套統(tǒng)一的嚴(yán)格的安全政策監(jiān)控云實(shí)體，特別是私有云的訪問控制和數(shù)據(jù)通信，不同云執(zhí)行其安全政策，就能夠大幅度減少各種安全隱患，降低安全風(fēng)險(xiǎn)。基于第三方可信云的云協(xié)同工作環(huán)境如圖2所示。

圖2 基于可信云的協(xié)調(diào)工作環(huán)境

三、第三方可信云的結(jié)構(gòu)及原理

第三方可信云主要包括三個(gè)模塊：（1）身份認(rèn)證。主要用于驗(yàn)證協(xié)同工作的云實(shí)體的身份，根據(jù)云資源中心預(yù)先設(shè)置的賬號(hào)級(jí)別對(duì)云訪問用戶進(jìn)行授權(quán)；（2）安全數(shù)據(jù)傳輸。主要用于發(fā)布密鑰，對(duì)云資源中心要交換的數(shù)據(jù)進(jìn)行加密并傳送給云訪問用戶；（3）監(jiān)控管理。通過審計(jì)日志記錄各個(gè)云用戶的訪問信息、數(shù)據(jù)交換信息等，為可信云的安全策略的不斷改善提供指導(dǎo)。其框架如圖3所示。

圖3 第三方可信云結(jié)構(gòu)

1．身份認(rèn)證模塊，主要包括IDaaS manager和ID center。ID center是協(xié)同工作的云實(shí)體的身份數(shù)據(jù)庫(kù)，所有進(jìn)行協(xié)同工作的私有云或公有云都要在第三方可信云中進(jìn)行注冊(cè)，其云身份相關(guān)信息存儲(chǔ)在這個(gè)云ID中心，這是對(duì)各個(gè)云訪問用戶進(jìn)行身份驗(yàn)證和訪問控制的基礎(chǔ)，是保證云間安全協(xié)同工作的前提條件。

IDaaS（Identity as a service，身份即服務(wù)），是基于SaaS（software as a service，軟件即服務(wù)）這種模式的，SaaS支持多種服務(wù)，如用戶配置、審計(jì)、密碼管理和用戶自服務(wù)等。采用IDaaS模式，云實(shí)體可以自動(dòng)化的設(shè)置訪問控制和授權(quán)標(biāo)準(zhǔn)。

用戶要獲得授權(quán)訪問，先在IDaaS manager進(jìn)行注冊(cè)申請(qǐng)，用戶向ID Provider提供相應(yīng)的身份信息ID Provider在審核過程中，需要到該用戶所在云驗(yàn)證身份，并結(jié)合用戶在云中的各種屬性（如職務(wù)等）進(jìn)行授權(quán)，用戶的安全訪問權(quán)限由所在云和第三方可信云共同設(shè)定的。當(dāng)用戶需要訪問其他云資源時(shí)云資源中心接收用戶請(qǐng)求后提交到IDaaS manager進(jìn)行身份驗(yàn)證，認(rèn)證通過后會(huì)獲得一個(gè)用戶公鑰，如圖4所示。

圖4 第三方可信云的授權(quán)及驗(yàn)證模式

2．?dāng)?shù)據(jù)加密及交換模塊。為保證數(shù)據(jù)傳輸過程的保密性和隱私保護(hù)，我們采用云資源中心加密和第三方可信云加密的雙重加密機(jī)制，該模塊主要包括Encrypt Manager和KDC（如圖5所示）。

圖5 基于第三方可信云的安全數(shù)據(jù)交換模式

KDC（Key Distribute Center，密鑰發(fā)布中心）是對(duì)云中用戶的密鑰集中管理和發(fā)布，信任用戶自己擁有私鑰，將公鑰交給第三方可信云進(jìn)行管理和發(fā)布。云資源中心利用訪問用戶的公鑰對(duì)用戶請(qǐng)求的數(shù)據(jù)進(jìn)行加密后傳送到第三方可信云，這樣數(shù)據(jù)對(duì)第三方可信云是不可見的，只有用戶利用自己的私鑰才能獲得真正的原始數(shù)據(jù)，這就起到了數(shù)據(jù)隱私保護(hù)的作用。

為了增加數(shù)據(jù)交換的安全性，第三方可信云對(duì)要傳送的加密數(shù)據(jù)還進(jìn)行二次加密，即利用Encrypt Manager進(jìn)行條件代理加密，可以采用預(yù)言機(jī)或者雙線性配對(duì)的手段來抑制敵手通過篡改原始挑戰(zhàn)密文進(jìn)行挑戰(zhàn)，因?yàn)檫@樣可以避免敵手欺騙密文轉(zhuǎn)化預(yù)言機(jī)從而或者與原始密文具有某種特定關(guān)系的新的轉(zhuǎn)化密文。

3．監(jiān)控管理模塊，主要包括Monitor Manager和Audit log（審計(jì)日志庫(kù)）。Monitor Manager（監(jiān)控管理器）主要負(fù)責(zé)監(jiān)管訪問用戶和數(shù)據(jù)交換，可以記錄用戶或者私有云的配置，日志文件的創(chuàng)建，反對(duì)修改和未經(jīng)授權(quán)的訪問、分析、匯總、關(guān)聯(lián)，可以根據(jù)惡意攻擊和偽信任用戶歷史自動(dòng)評(píng)估并生成審計(jì)報(bào)告。

基于第三方可信云的安全協(xié)調(diào)工作方案可以在很大程度上降低自由云環(huán)境下的各種安全風(fēng)險(xiǎn)：

（1）身份認(rèn)證方面的效率和安全性都有所提高。訪問用戶的身份交給可信第三方進(jìn)行統(tǒng)一的嚴(yán)格的安全規(guī)范進(jìn)行注冊(cè)和認(rèn)證，不僅減輕了私有云或公有云的審核工作負(fù)擔(dān)，而且云環(huán)境的統(tǒng)一認(rèn)證標(biāo)準(zhǔn)減少由于標(biāo)準(zhǔn)的差異性帶來的安全政策沖突問題，統(tǒng)一認(rèn)證標(biāo)準(zhǔn)同時(shí)受到各個(gè)云實(shí)體的監(jiān)督，減少偽信任用戶的可能性。

（2）減少數(shù)據(jù)泄露和云不良使用的隱患。由于第三方可信云的訪問控制機(jī)制，用戶對(duì)云資源中心的訪問必須經(jīng)過可信第三方的授權(quán)和監(jiān)控，用戶并不能之間從云資源中心直接獲取數(shù)據(jù)，這就避免了用戶獲取未授權(quán)數(shù)據(jù)的操作，減少了云不良使用的機(jī)會(huì)。第三方可信云對(duì)交換數(shù)據(jù)的二次條件代理加密，在數(shù)據(jù)隱私保護(hù)的基礎(chǔ)上增加了數(shù)據(jù)的保密性。

四、結(jié)束語(yǔ)

云計(jì)算屬于新興產(chǎn)業(yè)領(lǐng)域，越早研究和制定統(tǒng)一的云計(jì)算安全標(biāo)準(zhǔn)越有利于云應(yīng)用的普及和長(zhǎng)遠(yuǎn)發(fā)展。本文提出的基于第三方可信云的安全協(xié)同工作方案，是基于云計(jì)算的資源和服務(wù)集成這個(gè)屬性的。云計(jì)算安全的“集中服務(wù)與控制，分布監(jiān)督”這種模式是成本較低、效率較高的一種工作模式，每個(gè)云實(shí)體只需要按需付費(fèi)給第三方可信云就可以獲得高效的安全保障。然而，第三方可信云的安全責(zé)任會(huì)非常重大，建議最好由政府或者行業(yè)巨頭來構(gòu)建這個(gè)可信云，同時(shí)國(guó)家層面應(yīng)該及時(shí)制定相應(yīng)的法律法規(guī)政策。

[1]TAKABI H,JOSHI J,AHN G.Secure cloud towards a comprehensive security[A].International Computer Software and Applications Conference,2010:393-398.

[2]PRASHANT S,SATYAM S.An architecture based on proactive model for security in cloud computing[A].Recent Trends in Information Technology(ICRTIT) International Conference,2011:661–666.

[3]FRANK J.Buiding turst into utility cloud computing[D].Washington ：University of Maryland.2010.

[4]LI J X,HUAI J P,HU C M,ZHU Y M.A secure collaboration service for dynamic virtual organizations [J].Information Sciences:an International Journal,2010,180(17):3086-3107.

[5]ZISSIS D,LEKKAS D.Addressing cloud computing security issues[J].Future generation computer systems-the international journal of grid computing and escience.2012,28(3):583-592.

[6]CATTEDDU D.Cloud Computing:Benefit,risks and recommendations for information security[J].Web Application Security,2010(72):17-18.

[7]馮登國(guó),張敏,張妍,徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào).2011(22):71-83.

[8]VAQUERO L,RODERO M,MORAN D.Locking the sky a survey on IaaS cloud security[J].Computing,2011,91(1):93-118.

[9]SERAFINI L,TAMILIN A.DRAGO:Distributed Reasoning Architecture for the Semantic Web[C].LNCS3532.Proc of 2nd European Semantic Web Conf.Berlin:Springer-verlag,2005:361-376.

[10]FOSTER I,ZHAO Y,RAICU I.Cloud Computing and Grid Computing 360-Degree Compared[C].2008 Grid Computing Environments Workshop(GCE):Austin,Texas：November 16.Curran:IEEE,Feb 2009.

[11]HWANG K,ZOMAYA A,DONGARRA J.Distributed and Cloud Computing:From Parallel Processing to the Internet of Things[M].California:Morgan Kaufmann,2010.