云計算安全對策研究

江雪，何曉霞

云計算安全對策研究

江雪，何曉霞

云計算的安全問題是制約和影響云計算發(fā)展及應用的關(guān)鍵問題。從云計算的基本概念入手，介紹了云計算安全的發(fā)展現(xiàn)狀和幾種典型的云安全體系架構(gòu)，結(jié)合3種云服務(wù)模式分析得出云計算安全目標，針對這些安全目標提出了相應的對策和思路，并且重點探討了基于可信計算的云計算安全。

云計算；信息安全；安全體系架構(gòu)；可信計算

0 引言

云計算利用網(wǎng)絡(luò)將大量的計算資源、存儲資源和軟件資源整合在一起，形成大規(guī)模的共享虛擬 IT 資源池，打破傳統(tǒng)針對本地用戶的一對一服務(wù)模式，為遠程計算機用戶提供相應的 IT 服務(wù)，真正實現(xiàn)資源的按需分配。

隨著云計算的發(fā)展，安全問題逐漸凸顯出來，已經(jīng)成為制約其發(fā)展的重要因素。據(jù) IDC 報告，有超過 74% 的用戶認為安全問題是限制云計算發(fā)展的主要問題。云計算安全問題得到產(chǎn)業(yè)界、學術(shù)界的廣泛關(guān)注，很多企業(yè)機構(gòu)、研究團體及標準化組織都展開了相應研究。

1 云計算安全概述

1.1 云計算的定義

美國國家標準技術(shù)研究院（NIST）將云計算定義為“一種無處不在的、便捷的且按需的對一個共享的可配置的計算資源進行網(wǎng)絡(luò)訪問的模式，它能夠通過最少量的管理或與服務(wù)供應商的互動實現(xiàn)計算資源的迅速供給和釋放[1]。

根據(jù) NIST 的定義，云計算具有 5 個關(guān)鍵特征：1）按需自服務(wù)，用戶在需要時自動配置計算能力；2）寬度接入，利用網(wǎng)絡(luò)支持各種標準接入手段；3）虛擬化的資源池，按照用戶需要，將物理和虛擬資源進行動態(tài)分配和管理；4）彈性架構(gòu)、服務(wù)可以快速彈性地供應；5）可測量服務(wù)。

云計算具有 3種典型的服務(wù)模式：1）軟件即服務(wù)（SaaS），提供給用戶以服務(wù)的方式使用應用程序的能力；2）平臺即服務(wù)（PaaS），提供給用戶在云基礎(chǔ)設(shè)施之上部署和使用開發(fā)環(huán)境的能力；3）基礎(chǔ)設(shè)施即服務(wù)（IaaS），提供給用戶以服務(wù)的方式使用處理器、存儲、網(wǎng)絡(luò)以及其它基礎(chǔ)性計算資源的能力。

2.2 云計算安全研究現(xiàn)狀

2.2.1 云計算安全標準研究現(xiàn)狀

云安全聯(lián)盟 CSA(Cloud Security Alliance)已完成《云計算面臨的嚴重威脅》、《云控制矩陣》、《關(guān)鍵領(lǐng)域的云計算安全指南》等研究報告，并發(fā)布了云計算安全定義。這些報告強調(diào)了云計算安全的重要性、保證安全性應當考慮的問題以及相應的解決方案。

國際電信聯(lián)盟 ITU-TSG17 研究組會議于 2010 年 5 月在瑞士的日內(nèi)瓦召開，成立云計算專項工作組。云計算安全是其中重要的研究課題，計劃推出的標準包括《電信領(lǐng)域云計算安全指南》。

結(jié)構(gòu)化信息標準促進組織(OASIS)將云計算看作是SOA 和網(wǎng)絡(luò)管理模型的自然擴展。在標準化工作方面，OASIS 致力于在現(xiàn)有標準的基礎(chǔ)上建立云計算模型、配置文件和擴展相關(guān)的標準。

近期，分布式管理任務(wù)組(Distributed Management Task Force，DMTF)也已啟動了云標準孵化器過程。參與成員將關(guān)注通過開發(fā)云資源管理協(xié)議、數(shù)據(jù)包格式以及安全機制來促進云計算平臺間標準化的交互，致力于開發(fā)一個云資源管理的信息規(guī)范集合。該組織的核心任務(wù)是擴展開放虛擬化格式(OVF)標準，使云計算環(huán)境中工作負載的部署及管理更為便捷。

2.2.2 云計算安全技術(shù)研究現(xiàn)狀

在 IT 產(chǎn)業(yè)界，各類云計算安全產(chǎn)品與方案也不斷涌現(xiàn)。EMC，Intel， Vmware 等公司聯(lián)合宣布了一個“可信云體系架構(gòu)”的合作項目，并提出了一個概念證明系統(tǒng)。微軟為云計算平臺 Azure 籌備代號為 Sydney 的安全計劃，幫助企業(yè)用戶在服務(wù)器和 Azure 云之間交換數(shù)據(jù)，以解決虛擬化、多租戶環(huán)境中的安全性。開源云計算平臺 Hadoop 也推出安全版本，引入 kerberos 安全認證技術(shù)，對共享商業(yè)敏感數(shù)據(jù)的用戶加以認證與訪問控制，阻止非法用戶對Hadoop clusters 的非授權(quán)訪問。Sun 公司發(fā)布開源的云計算安全工具可為 Amazon 的 EC2，S3 以及虛擬私有云平臺提供安全保護。工具包括 OpenSolaris VPC 網(wǎng)關(guān)軟件，能夠幫助客戶迅速和容易地創(chuàng)建一個通向 Amazon 虛擬私有云的多條安全的通信通道；為 Amazon EC2 設(shè)計的安全增強的VMIs，包括非可執(zhí)行堆棧，加密交換和默認情況下啟用審核等；云安全盒(cloud safety box)，使用類 Amazon S3 接口，自動地對內(nèi)容進行壓縮、加密和拆分，簡化云中加密內(nèi)容的管理等。

3 云安全體系架構(gòu)

3.1 CSA 的云安全架構(gòu)

CSA 從云服務(wù)模型角度提出了一個云計算安全架構(gòu)，該安全架構(gòu)描述了3種基本云服務(wù)的層次性及其依賴關(guān)系，并實現(xiàn)了從云服務(wù)模型到安全控制和合規(guī)模型的映射，如圖1所示：

圖1 云模型與安全控制模型

該安全架構(gòu)的關(guān)鍵特點是：供應商所在的等級越低，云服務(wù)用戶所要承擔的安全能力和管理職責就越多[2]。

在 SaaS 環(huán)境中，由于位于云服務(wù)模式的最頂層，供應商承擔最多的安全責任，在服務(wù)合同中對服務(wù)等級、隱私、合規(guī)性以及安全控制及其范圍等進行明確；在 PaaS 中，供應商主要為平臺自身提供安全保護，平臺上應用的安全性及如何安全地開發(fā)這些應用則是客戶的職責；在 IaaS 中，由于位于云服務(wù)模式的最低層，供應商主要提供低層基礎(chǔ)設(shè)施和抽象層的安全保護，除此之外，其它安全職責主要由客戶自己承擔。

3.2 云立方體模型

從安全協(xié)同的角度，Jericho Forum 提出了云立方體模型[3]。云立方體模型很形象地歸納了現(xiàn)有云產(chǎn)品的各種排列組合，提出了用以區(qū)分云從一種形態(tài)轉(zhuǎn)換到另外一種形態(tài)的4種維度（物理位置、所有關(guān)系、邊界狀態(tài)、運行管理者），以及各種組成的供應配置方式，以便理解云計算影響安全策略的方式。不同的云計算形態(tài)具有不同的協(xié)同性、靈活性及其安全風險特征。云服務(wù)用戶需要根據(jù)自身的業(yè)務(wù)和安全協(xié)同需求選擇最為合適的云計算形態(tài)。

3.3 可信云體系架構(gòu)

VMWare、Intel 和 EMC 合作提出一種可信云體系架構(gòu)。在基礎(chǔ)設(shè)施上利用 Intel的可信執(zhí)行技術(shù)(trusted execution technology)進行安全保障，為物理基礎(chǔ)設(shè)施構(gòu)建一個物理信任根，從信任根開始按照引導順序?qū)τ布渲?、BIOS完整性、Hypervisor 完整性、虛擬機系統(tǒng)的完整性進行驗證，實現(xiàn)平臺的可信啟動；在平臺成功啟動之后，利用 VMWare的虛擬隔離技術(shù)對虛擬環(huán)境進行安全保障，保護數(shù)據(jù)中心的安全區(qū)域以及虛擬機免受病毒和惡意軟件的威脅；RSA Envision 對硬件層和虛擬層的安全數(shù)據(jù)進行收集，并進行統(tǒng)一的分析和管理。通過平臺的可信啟動、虛擬層的安全防護以及安全事件的統(tǒng)一管理，構(gòu)建可信云計算環(huán)境。

3.4 其他安全體系架構(gòu)

歐洲網(wǎng)絡(luò)和信息安全研究所（European Network and Information Security Agency，ENISA）針對云計算環(huán)境中的安全問題提出一個云計算信息安全保障框架。

IBM 基于其企業(yè)信息安全框架從用戶認證與授權(quán)、流程管理、多級權(quán)限控制、數(shù)據(jù)隔離和保護、網(wǎng)絡(luò)和存儲隔離、物理安全等層面提出了一種云計算安全框架。

思科提出一個云數(shù)據(jù)中心安全框架，對云數(shù)據(jù)中心的威脅模型以及減少安全風險的措施進行描述，強調(diào)在架構(gòu)的每一層實現(xiàn)相應措施的重要性。

4 云計算安全目標

不同的云服務(wù)模式的安全關(guān)注側(cè)重點不同，laaS 關(guān)注基礎(chǔ)設(shè)施和虛擬化安全；PaaS 關(guān)注平臺運行安全；SaaS 關(guān)注應用安全等。掌握云計算服務(wù)模型和技術(shù)特性，明確安全目標，是分析云計算安全的關(guān)鍵?；A(chǔ)設(shè)施安全需要保護 IaaS層即云基礎(chǔ)架構(gòu)的安全，包括一些網(wǎng)絡(luò)設(shè)施、硬件、操作系統(tǒng)、計算資源等；平臺安全保護 PaaS 層即云開發(fā)平臺的安全，包括接口、中間件和平臺應用軟件等；應用軟件安全保護 SaaS 層即云應用的安全，即保護網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和內(nèi)容的安全，保護使用者身份的合法性和保障應用的可用性等。同時，終端安全防護保護使用云服務(wù)的最終用戶的應用安全。為保障云計算的安全運行，安全管理、法律法規(guī)與監(jiān)管是貫穿整個云計算服務(wù)從管理方面實施的安全控制，是支撐云計算實現(xiàn)安全目標的基礎(chǔ)如圖2所示：

圖2 云計算安全目標

4.1 IaaS 服務(wù)模式的安全目標

基礎(chǔ)設(shè)施為用戶提供計算、存儲、網(wǎng)絡(luò)和其他基礎(chǔ)計算資源的服務(wù)，用戶可以使用云提供商提供的各種基礎(chǔ)計算資源，在其上部署和運行任意的軟件，而不用管理和控制底層基礎(chǔ)設(shè)施，但將同時面臨軟件和硬件方面綜合復雜的安全風險。

1)物理安全。云計算在物理安全上面臨多種威脅，這些威脅通過破壞信息系統(tǒng)的完整性、可用性或保密性，造成服務(wù)中斷或基礎(chǔ)設(shè)施的毀滅性破壞。物理安全目標包括設(shè)備安全、環(huán)境安全、災難備份和恢復、邊界保護、設(shè)備管理等方面。

2)計算環(huán)境安全。如果承擔核心計算能力的設(shè)備和系統(tǒng)缺乏安全技術(shù)、管理措施，將導致所處理數(shù)據(jù)的不安全。安全目標應包括：硬件設(shè)備需要安全措施，基礎(chǔ)軟件需要安全、可靠和可信，設(shè)備性能穩(wěn)定，以及災備恢復計劃。

3)存儲安全。數(shù)據(jù)高度集中、多租戶、資源共享、分布式存儲是云計算的技術(shù)特性，這些因素加大了數(shù)據(jù)保護的難度，增大了數(shù)據(jù)被濫用和受攻擊的可能。因此，用戶隱私和數(shù)據(jù)存儲保護成為需要重點解決的安全問題。存儲安全目標包括如下方面：a)采用適應云計算特點的數(shù)據(jù)加密和數(shù)據(jù)隔離技術(shù)防止數(shù)據(jù)泄露和竊?。籦)采用訪問控制等手段防止數(shù)據(jù)濫用和非授權(quán)使用；c)防止數(shù)據(jù)殘留，以及多租戶之間信息資源的有效隔離；d)多用戶密鑰管理，必須要求密鑰隔離存儲和加密保護；e)數(shù)據(jù)災備與恢復。

4)虛擬化安全。虛擬化和彈性計算技術(shù)的采用，使得用戶的安全邊界模糊，傳統(tǒng)的安全邊界防護機制在云計算環(huán)境中難以奏效。虛擬化安全防范目標主要包括：a)虛擬系統(tǒng)軟件安全。需要保護虛擬化軟件環(huán)境，如 Hypervisor的完整性、可信性，阻止病毒、木馬和漏洞；b)虛擬機隔離。需要采用包括加密、認證和訪問控制等技術(shù)對虛擬機、應用程序和數(shù)據(jù)進行隔離；c)虛擬化網(wǎng)絡(luò)和通信安全；d)虛擬機安全遷移等。

4.2 PaaS 服務(wù)模式的安全目標

PaaS 將基礎(chǔ)設(shè)施類的服務(wù)升級抽象為可應用化的接口，為用戶提供開發(fā)和部署平臺，建立應用程序，安全目標包括：

1)在 API接口及中間件安全方面，要做到如下：

a)保證 API接口的安全。PaaS 服務(wù)的安全性依賴于 API的安全，如果 PaaS 提供商提供的 API及中間件具有漏洞、惡意代碼或后門等風險，將給云計算 PaaS 資源和底層基礎(chǔ)設(shè)施資源造成數(shù)據(jù)破壞或資源濫用的風險。

b)防止非法訪問。PaaS 平臺提供的 API 通常包含對用戶敏感資源的訪問或者對底層計算資源的調(diào)用，同時 PaaS平臺也存在著不同用戶的業(yè)務(wù)數(shù)據(jù)。因此，需要實施 API用戶管理、身份認證管理及訪問控制，防止非授權(quán)使用。

c)保證第三方插件安全。

d)保證 API軟件的完整性。

2)保證服務(wù)可用性。云服務(wù)提供商必須保證服務(wù)質(zhì)量和應急預案，當發(fā)生安全事件、系統(tǒng)故障時，能夠快速恢復用戶數(shù)據(jù)、保證服務(wù)連續(xù)性是主要的安全目標。

4.3 SaaS 服務(wù)模式的安全目標

應用軟件服務(wù)安全目標如下：

1)數(shù)據(jù)安全。主要包括用戶數(shù)據(jù)傳輸安全、用戶隱私安全和數(shù)據(jù)庫安全問題，如數(shù)據(jù)傳輸過程或緩存中的泄露、非法篡改、竊取以及病毒、數(shù)據(jù)庫漏洞破壞等。因此，需要確保用戶在使用云服務(wù)軟件過程中的所有數(shù)據(jù)在云環(huán)境中傳輸和存儲時候的安全。

2)內(nèi)容安全。由于云計算環(huán)境的開放性，內(nèi)容安全面臨包括非授權(quán)使用、非法內(nèi)容傳播或篡改等威脅。內(nèi)容安全目標主要是對有害信息資源內(nèi)容實現(xiàn)可測、可控、可管。

3)應用安全。云計算應用安全主要是建立在身份認證和實現(xiàn)對資源的訪問控制基礎(chǔ)上。對提供大量應用的 SaaS 服務(wù)商來說，需要建立可信和可靠的認證管理系統(tǒng)和權(quán)限管理系統(tǒng)。

4.4 終端安全防護目標

用戶采用瀏覽器來訪問云中的 IaaS、PaaS 或 SaaS 服務(wù)，終端的安全性直接影響到云計算的服務(wù)安全。

1)終端瀏覽器安全。終端瀏覽器是用戶與云交互的工具，瀏覽器安全漏洞可能使用戶的密鑰或口令泄露，為保護瀏覽器和終端系統(tǒng)的安全，重點需要解決終端安全防護問題，如反惡意軟件、漏洞掃描、非法訪問和抗攻擊等。

2)用戶身份認證安全。終端用戶身份盜用風險主要表現(xiàn)在因木馬、病毒而產(chǎn)生的用戶登錄云應用的密碼遭遇非法竊取，或數(shù)據(jù)在通信傳輸過程中被非法復制、竊取等。

3)終端數(shù)據(jù)安全。終端用戶的文件和數(shù)據(jù)需要加密保護以維護其私密性和完整性，是傳送到云平臺加密還是在終端自己加密以后再送至云平臺存儲，無論將加密點設(shè)在何處，都要考慮如何防止加密密鑰、用戶數(shù)據(jù)的泄露、數(shù)據(jù)安全共享和方便檢索等問題。

4)終端運行環(huán)境安全。終端運行環(huán)境是指用戶終端為保證云計算客戶端程序正常運行必需的終端硬件及軟件環(huán)境，它與傳統(tǒng)終端一樣面臨的互聯(lián)網(wǎng)接入風險。

5 云計算安全對策

5.1 對策一：安全隔離

虛擬化技術(shù)是實現(xiàn)云計算的關(guān)鍵核心技術(shù)，使用虛擬化技術(shù)的云計算平臺必須為客戶提供安全性和隔離保證。Santhanam 等人提出了基于虛擬機技術(shù)實現(xiàn)的 grid 環(huán)境下的隔離執(zhí)行機[4]。Raj 等人提出了通過緩存層次可感知的核心分配，以及給予緩存劃分的頁染色的兩種資源管理方法實現(xiàn)性能與安全隔離[5]。這些方法在隔離影響一個 VM 的緩存接口時是有效的，并整合到一個樣例云架構(gòu)的資源管理(RM)框架中。

5.2 對策二：訪問控制

在云計算環(huán)境中，各個云應用屬于不同的安全管理域，每個安全域都管理著本地的資源和用戶。當用戶跨域訪問資源時，需在域邊界設(shè)置認證服務(wù)，對訪問共享資源的用戶進行統(tǒng)一的身份認證管理。在跨多個域的資源訪問中，各域有自己的訪問控制策略，在進行資源共享和保護時必須對共享資源制定一個公共的、雙方都認同的訪問控制策略，因此，需要支持策略的合成。這個問題最早由 Mclean 在強制訪問控制框架下提出，他提出了一個強制訪問控制策略的合成框架，將兩個安全格合成一個新的格結(jié)構(gòu)。策略合成的同時還要保證新策略的安全性，新的合成策略必須不能違背各個域原來的訪問控制策略。為此，Gong 提出了自治原則和安全原則[6]。Bonatti提出了一個訪問控制策略合成代數(shù)，基于集合論使用合成運算符來合成安全策略[7]。Wijesekera 等人提出了基于授權(quán)狀態(tài)變化的策略合成代數(shù)框架[8]。Agarwal 構(gòu)造了語義 Web 服務(wù)的策略合成方案[9]。Shafiq 提出了一個多信任域 RBAC 策略合成策略，側(cè)重于解決合成的策略與各域原有策略的一致性問題[10]。

5.3 對策三：數(shù)據(jù)驗證

由于大規(guī)模數(shù)據(jù)所導致的巨大通信代價，用戶不可能將數(shù)據(jù)下載后再驗證其正確性。因此，云用戶需在取回很少數(shù)據(jù)的情況下，通過某種知識證明協(xié)議或概率分析手段，以高置信概率判斷遠端數(shù)據(jù)是否完整。典型的工作包括：面向用戶單獨驗證的數(shù)據(jù)可檢索性證明(POR)[11]方法、公開可驗證的數(shù)據(jù)持有證明(PDP)方法[12]。

NEC 實驗室提出的 PDI(provable data integrity)[13]方法改進并提高了 POR 方法的處理速度以及驗證對象規(guī)模，且能夠支持公開驗證。

其他典型的驗證技術(shù)包括：Yun 等人提出的基于新的樹形結(jié)構(gòu) MAC Tree 的方案[14]。

Schwarz 等人提出的基于代數(shù)簽名的方法[15]Wang 等人提出的基于 BLS 同態(tài)簽名和 RS 糾錯碼的方法[16]等。

5.4 對策四：數(shù)據(jù)隱私保護

云中數(shù)據(jù)隱私保護涉及數(shù)據(jù)生命周期的每一個階段。Roy 等人將集中信息流控制(DIFC)和差分隱私保護技術(shù)融入云中的數(shù)據(jù)生成與計算階段，提出了一種隱私保護系統(tǒng)airavat[17]，防止 map reduce 計算過程中非授權(quán)的隱私數(shù)據(jù)泄露出去，并支持對計算結(jié)果的自動除密。在數(shù)據(jù)存儲和使用階段，Mowbray 等人提出了一種基于客戶端的隱私管理工具[18]，提供以用戶為中心的信任模型，幫助用戶控制自己的敏感信息在云端的存儲和使用。Munts-Mulero 等人討論了現(xiàn)有的隱私處理技術(shù)，包括 K 匿名、圖匿名以及數(shù)據(jù)預處理等，作用于大規(guī)模待發(fā)布數(shù)據(jù)時所面臨的問題和現(xiàn)有的一些解決方案[19]。Rankova 等人則在文獻[20]中提出一種匿名數(shù)據(jù)搜索引擎，可以使得交互雙方搜索對方的數(shù)據(jù)，獲取自己所需要的部分，同時保證搜索詢問的內(nèi)容不被對方所知，搜索時與請求不相關(guān)的內(nèi)容不會被獲取。

5.5 對策五：安全管理

云計算環(huán)境的復雜性、海量數(shù)據(jù)和高度虛擬化動態(tài)性使得云計算安全管理更為復雜，帶來了新的安全管理挑戰(zhàn)，云計算服務(wù)商應該從系統(tǒng)安全、安全審計、安全運維幾個方面加強安全管理。

1)系統(tǒng)安全管理。a)可用性管理，需要對云系統(tǒng)不同組件進行冗余配置，保證系統(tǒng)的高可用性以及在大負載量下的負載均衡；b)漏洞、補丁及配置管理，是維護云計算系統(tǒng)安全的基礎(chǔ)手段；c)高效的入侵檢測和事件響應；d)人員安全管理，需要采用基于權(quán)限的訪問控制和細粒度的分權(quán)管理策略。

2)安全審計。云計算服務(wù)提供商應該為多租戶用戶提供審計管理，支持在云計算大數(shù)據(jù)量、模糊邊界、復用資源環(huán)境下的取證。

3)安全運維。云計算的安全運維管理需要考慮云平臺的基礎(chǔ)設(shè)施、應用和業(yè)務(wù)的安全監(jiān)控，以及部署入侵檢測、災難恢復，提供有效的安全事件處理及應急響應機制。

5.6 對策六：法律法規(guī)和監(jiān)管

云計算作為一種新的 IT 服務(wù)模式，監(jiān)管、法律、法規(guī)的建設(shè)相對滯后。從云計算的可持續(xù)發(fā)展來看，法律法規(guī)體系建設(shè)與技術(shù)體系和管理體系同等重要。

1)法律法規(guī)需求。目前，我國針對云計算安全法律法規(guī)有待完善。需要加強關(guān)注的有：責任法規(guī)（提供商、客戶、終端用戶安全責任的分配、鑒定）、取證法規(guī)、個人隱私數(shù)據(jù)保護法、電子簽名法及電子合同法、跨地域法規(guī)（監(jiān)控跨地域存儲的資源)。

2)安全監(jiān)管需求。安全監(jiān)管應該關(guān)注以下方面：異常監(jiān)管，云計算平臺網(wǎng)絡(luò)流量監(jiān)控、攻擊識別和響應；內(nèi)容監(jiān)管，對云計算環(huán)境下流通內(nèi)容進行監(jiān)管，防止非法信息的傳播；運行監(jiān)管；云安全系統(tǒng)測評標準；合規(guī)性監(jiān)管。

6 基于可信計算的云計算安全

可信計算技術(shù)提供了一種方式來建立一個安全環(huán)境?？尚庞嬎悴粌H僅可以支持個人平臺上的信任、隱私保護，也可以用于解決云計算的安全問題。

6.1 基于可信計算的云用戶認證

用戶認證是訪問控制的基礎(chǔ)?？尚庞嬎闫脚_可以用來輔助處理云計算中的用戶認證，它能夠提供比用戶名、口令更強的認證，包含一個專用的主密鑰，對存儲在云計算系統(tǒng)中的其他信息進行保護。硬件證書存儲在 TPM 中保證安全性。

6.2 基于可信計算的云訪問控制

云計算系統(tǒng)中，可以將用戶進行分類并針對這些分類制定訪問控制準則。用戶需要注冊進入一個或幾個分類，獲得代表其身份的信任狀。為達到可信計算目標，用戶應該來自可信計算平臺，并采用該平臺上的安全機制獲取自身的隱私和安全。用戶從基于 TPM 的可信計算平臺登陸云計算系統(tǒng)，從證書權(quán)威處獲取證書，與遠程實體進行通信時，信息傳送通過會話密鑰得到保護。

6.3 基于可信計算的云數(shù)據(jù)安全

對于存儲在云中的重要數(shù)據(jù)可以使用 TPM 產(chǎn)生的密鑰進行加密。加密密鑰存儲在 TPM 中，使得針對這些密鑰的攻擊非常難于實施。對于傳輸中的數(shù)據(jù)，可以使用加密技術(shù)來確保數(shù)據(jù)的安全。認證和完整性保護可以確保數(shù)據(jù)不被修改。當需要訪問云中的數(shù)據(jù)時，用戶或應用程序首先需要進行基于 TPM 的認證。

6.4 基于可信計算的云虛擬化安全

可信計算技術(shù)提供對虛擬機監(jiān)視器和虛擬網(wǎng)絡(luò)分離安全性的改進。首先，TPM 能夠提供基于硬件的超級用戶和虛擬機監(jiān)控器的完整性驗證；其次，TNC 架構(gòu)和標準能夠提供強勁的網(wǎng)絡(luò)分離和安全來為可信多租戶服務(wù)。

6.5 基于可信計算的云安全管理

在可信計算平臺上，用戶身份通過個人密鑰證明，并且該機制集成到 BIOS 和 TPM 等硬件中，用戶很難隱瞞其身份信息。當用戶登陸云計算系統(tǒng)時，其身份信息被記錄和驗證。將可信計算平臺集成進云計算系統(tǒng)，參與者，包括用戶和其他資源都會被云計算系統(tǒng)的追蹤機制監(jiān)視，可以支持安全審計、安全監(jiān)管、安全取證等安全管理行為。

TNC 的 IF—MAP 架構(gòu)支持不同安全系統(tǒng)，并且對突發(fā)事件和用戶惡意行為提供實時通知。這個特性可以用于支持應急響應。

7 總結(jié)

當前，云計算的應用越來越廣泛，如何構(gòu)建安全的云計算環(huán)境已成為研究熱點之一。本文介紹了云計算安全的研究現(xiàn)狀和典型的云計算安全體系架構(gòu)，結(jié)合云計算的服務(wù)模型分析了云計算安全目標，提出了安全隔離、訪問控制、數(shù)據(jù)驗證、數(shù)據(jù)隱私保護、安全管理、法律法規(guī)和監(jiān)管等云計算安全對策，并且重點展望了基于可信計算的云計算安全。

[1] Mell P, Grance T. The NIST Definition of Cloud Computing. National Institute of Standards and Technology, [C]Information Technology Laboratory, 2009.

[2] Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. [C]The Cloud Security Appliance, 2011.

[3] FORUM J. Cloud cube model: selecting cloud formations for secure collaboration[EB/OL], http://www.opengroup.org/jericho/cloud_cube_model_v1 .0.pdf 2012,1,11

[4] Elangop S, Dusseauaetal A. Deploying virtual machines as sandboxes for the grid. USENIX Association Proceedings of the 2nd Workshop on Real, [C]Large Distributed Systems. San Francisco, USA, 2005: 7?12.

[5] Raj H, Nathuji R, Singh A, England P. Resource management for isolation enhanced cloud services. Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 77?84.

[6] Gong L, Qian XL. Computational issues in secure interoperation. [J]IEEE Transactions on Software and Engineering, 1996, 22(1): 43?52.

[7] Bonatti P, Vimercati SC, Samarati P. An algebra for composing access control policies. [J]ACM Transactions on Information and System Security, 2002, 5(1): 1?35.

[8] Wijesekera D, Jajodia S. A propositional policy algebra for access control. [J]ACM Transactions on Information and System Security, 2003,6(2):286?325.

[9] Agarwal S, Sprick B. Access control for semantic Web services. [C]Proceedings of the IEEE International Conference on Web Services. San Diego, USA, 2004: 770?773.

[10] Shafiq B, Joshi JBD, Bertino E, GhafoorA. Secure interoperation in a multidomain environment employing RBAC policies. [G] IEEE Transactions on Knowledge and Data Engineering, 2005,17(11): 1557?1577.

[11] Juels A, Kaliski B. Pors: Proofs of retrievability for large files. [C]Proceedings of the 2007 ACM Conference on Computer and Communications Security. Alexandria, USA, 2007: 584?597.

[12] Ateniese G, Burns R, Curtmola R. Provable data possession at untrusted stores. [G]Proceedings of the 2007 ACM Conference on Computer and Communications Security. Alexandria, USA, 2007: 598?609.

[13] Zeng K. Publicly verifiable remote data integrity. [C]Proceedings of the International Conference on Information and Communications Security. Birmingham, England, 2008: 419?434.

[14] Yun A, Shi C, Kim Y. On protecting integrity and confidentiality of cryptographic file system for outsourced storage. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 67?76.

[15] Schwarz T, Ethan SJ, Miller L. Store, forget, and check: Using algebraic signatures to check remotely administered storage. [C]Proceedings of the 26th IEEE International Conference on Distributed Computing Systems. Lisboa, Portugal, 2006: 12?12.

[16] Wang Q, Wang C, Li J, Ren K, Lou W. Enabling public verifiability and data dynamics for storage security in cloud computing. [C]Proceedings of the 14th European Symposium on Research in Computer Security . Saint Malo, France, 2009: 355?370.

[17] Roy I, Ramadan HE, Setty STV, Kilzer A, Shmatikov V, Witchel E. Airavat: Security and privacy for MapReduce. [C]Proceedings of the 7th Usenix Symposium on Networked Systems Design and Implementation. San Jose, USA, 2010: 297?312.

[18] Bowers KD, Juels A, Oprea A. Proofs of retrievability: Theory and implementation. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 43?54.

[19] Muntés-Mulero V, Nin J. Privacy and anonymization for very large datasets. [C]Proceedings of the ACM 18th International Conference on Information and Knowledge Management. New York, USA, 2009: 2117?2118.

[20] Raykova M, Vo B, Bellovin SM, Malkin T. Secure anonymous database search. [C]Proceedings of the 2009 ACM Workshop on Cloud Computing Security. New York, USA, 2009: 115?126..

A Study of Countermeasure for Cloud Security

Jiang Xue1, He XiaoXia2
( Training center, The Third Research Institute of Ministry of Public Security, Shanghai 200031, China)

Cloud security is a key issue that restricts the development of cloud computing . This paper introduced basic concepts and related work in cloud security study, as well as several classic cloud security architecture. It analyzed three types of cloud service model and verified goals of cloud security. Corresponding countermeasures were put forward, and cloud security based on trusted computing was the high spot.

Cloud Computing; Information Security; Security Architecture; Trusted Computing

TP393

A

1007-757X(2014)02-0030-05

2014.01.16)

江 雪（1983-）女，公安部第三研究所，碩士，研究實習員，研究方向：信息安全，上海，200031何曉霞（1970-）女，公安部第三研究所，碩士，副研究員，研究方向：信息安全，上海，200031