云計(jì)算環(huán)境下基于信任的虛擬機(jī)可信證明模型

周振吉 吳禮發(fā) 洪 征 李丙戌 鄭成輝

(解放軍理工大學(xué)指揮信息系統(tǒng)學(xué)院, 南京 210007)

云計(jì)算環(huán)境下基于信任的虛擬機(jī)可信證明模型

周振吉 吳禮發(fā) 洪 征 李丙戌 鄭成輝

(解放軍理工大學(xué)指揮信息系統(tǒng)學(xué)院, 南京 210007)

為了解決云計(jì)算環(huán)境下虛擬機(jī)可信證明存在可信證據(jù)來源不足和證明過程容易暴露節(jié)點(diǎn)隱私信息的缺陷,將信任管理與群簽名機(jī)制相結(jié)合,提出了一種基于信任的虛擬機(jī)可信證明模型,并給出了模型的結(jié)構(gòu)和虛擬機(jī)節(jié)點(diǎn)總體信任度的計(jì)算方法．首先,通過綜合直接信任度和反饋信任度,得到虛擬機(jī)節(jié)點(diǎn)的整體可信度,并據(jù)此識(shí)別出惡意的虛擬機(jī)節(jié)點(diǎn);然后,采用基于群簽名的證據(jù)保護(hù)方法,通過檢驗(yàn)虛擬機(jī)節(jié)點(diǎn)的簽名來考察其可信性,以保護(hù)節(jié)點(diǎn)隱私的同時(shí)降低節(jié)點(diǎn)遭受攻擊的可能性．實(shí)驗(yàn)結(jié)果表明,該模型在虛擬機(jī)運(yùn)行過程中可以有效識(shí)別出惡意節(jié)點(diǎn)并保護(hù)節(jié)點(diǎn)的隱私信息．

云計(jì)算;信任管理;虛擬機(jī);群簽名

云計(jì)算在提供方便、易用和廉價(jià)IT服務(wù)的同時(shí),也帶來了新的安全挑戰(zhàn)[1]．用戶在接受云服務(wù)提供商的一系列云基礎(chǔ)設(shè)施服務(wù)之前,不僅要關(guān)心如何降低數(shù)據(jù)存儲(chǔ)和處理的成本,還要綜合考慮托管數(shù)據(jù)的安全與隱私保護(hù)．

云基礎(chǔ)設(shè)施中,虛擬機(jī)被廣泛用作用戶資源和數(shù)據(jù)的載體,如何保證虛擬機(jī)的可信性成為實(shí)現(xiàn)云計(jì)算安全的關(guān)鍵．將可信計(jì)算與云基礎(chǔ)設(shè)施相融合,以可驗(yàn)證的方式向用戶提供可信的虛擬機(jī)是一個(gè)可行的解決方案[2]．

可信證明是可信計(jì)算的核心機(jī)制之一[3],利用可信證明能夠驗(yàn)證虛擬機(jī)是否可信,從而為云基礎(chǔ)設(shè)施環(huán)境中建立信任關(guān)系提供依據(jù)．研究者們根據(jù)可信計(jì)算組 (TCG) 遠(yuǎn)程證明框架[3]提出了多種虛擬機(jī)可信證明方案[4-9]．證明者向質(zhì)詢者匯報(bào)虛擬機(jī)平臺(tái)的身份和配置信息,質(zhì)詢者通過這些信息來驗(yàn)證虛擬機(jī)節(jié)點(diǎn)的可信性．然而,這些證明方案并不適用于云計(jì)算環(huán)境,實(shí)施過程中存在證據(jù)信息不全和節(jié)點(diǎn)匿名性差等問題．云計(jì)算是一種多租戶的服務(wù)模式,單個(gè)用戶獲取的證明信息不足以反映整個(gè)虛擬機(jī)節(jié)點(diǎn)的可信性．因此,需要一種綜合其他用戶證據(jù)來驗(yàn)證虛擬機(jī)節(jié)點(diǎn)可信性的方法．在現(xiàn)有云計(jì)算環(huán)境下的虛擬機(jī)可信證明模型中[4],用戶可以直接獲取虛擬機(jī)主機(jī)的完整性和配置信息,以證明虛擬機(jī)節(jié)點(diǎn)的可信性,但這種方式暴露了節(jié)點(diǎn)的特征信息,惡意用戶可以通過這些信息來實(shí)施有針對(duì)性的攻擊．因此,在證明過程中,需要一種保持節(jié)點(diǎn)匿名性的機(jī)制．

針對(duì)上述問題,本文提出了一種云計(jì)算環(huán)境下基于信任的虛擬機(jī)可信證明模型TBTAM．首先,借鑒信任管理的思想,提出了虛擬機(jī)節(jié)點(diǎn)直接信任度和反饋信任度的概念,用戶通過綜合直接信任度和反饋信任度來全面驗(yàn)證虛擬機(jī)節(jié)點(diǎn)的可信性,有效識(shí)別出惡意的虛擬機(jī)節(jié)點(diǎn)．其次,提出了基于群簽名的證據(jù)保護(hù)方法,用戶通過檢驗(yàn)虛擬機(jī)節(jié)點(diǎn)的簽名來驗(yàn)證其可信性．該方法可以最大限度地保護(hù)節(jié)點(diǎn)的隱私,降低節(jié)點(diǎn)遭受攻擊的可能性．

1 基于信任的虛擬機(jī)可信證明模型

1.1 模型結(jié)構(gòu)

基于信任的虛擬機(jī)可信證明模型TBTAM如圖1所示．該模型中引入了一個(gè)可信證明代理,以收集虛擬機(jī)節(jié)點(diǎn)控制器 (NC) 的直接信任度和反饋信任度;綜合計(jì)算出節(jié)點(diǎn)的全局信任度,并據(jù)此對(duì)虛擬機(jī)節(jié)點(diǎn)進(jìn)行分組,從而隱藏了NC的敏感信息．

圖1 TBTAM模型的結(jié)構(gòu)

TBTAM模型包含3個(gè)參與交互的實(shí)體:可信證明代理、用戶和云服務(wù)提供商．主要功能組件包括可信證明代理中的節(jié)點(diǎn)監(jiān)控模塊、節(jié)點(diǎn)注冊(cè)模塊、信任度計(jì)算模塊、用戶反饋模塊、分組管理模塊以及云服務(wù)提供商中的虛擬機(jī)主機(jī)和可信度量模塊．當(dāng)一個(gè)虛擬機(jī)節(jié)點(diǎn)運(yùn)行后,虛擬機(jī)主機(jī)向可信證明代理發(fā)送注冊(cè)請(qǐng)求,以驗(yàn)證虛擬機(jī)節(jié)點(diǎn)身份的可信度．如果虛擬機(jī)運(yùn)行過程中節(jié)點(diǎn)的可信狀態(tài)發(fā)生變化,則云服務(wù)提供商內(nèi)部的可信度量模塊向可信證明代理發(fā)送虛擬機(jī)狀態(tài)的可信度,這2個(gè)信任度構(gòu)成了節(jié)點(diǎn)的直接信任度．用戶在使用完虛擬機(jī)節(jié)點(diǎn)后向可信證明代理發(fā)送節(jié)點(diǎn)的反饋信任度．可信證明代理綜合這2個(gè)可信度得到總體信任度,并以此作為群簽名中對(duì)節(jié)點(diǎn)分組的依據(jù)．當(dāng)用戶需要使用一個(gè)虛擬機(jī)節(jié)點(diǎn)時(shí),可信證明代理根據(jù)用戶需求返回節(jié)點(diǎn)的信任度簽名;用戶則可以使用對(duì)應(yīng)的群公鑰判斷節(jié)點(diǎn)所處的信任分組,從而保證節(jié)點(diǎn)信息的匿名性．

可信證明代理是TBTAM模型的主要部件,負(fù)責(zé)對(duì)提供云服務(wù)的虛擬機(jī)節(jié)點(diǎn)實(shí)施集中式可信證明．可信證明代理啟動(dòng)后,分組管理模塊按照高、中、低3個(gè)信任等級(jí)分別生成3組群密鑰．其中,公鑰向用戶公開,用于群簽名認(rèn)證;私鑰由管理員保管,用于簽名打開．群組創(chuàng)建好后,可信代理便可實(shí)施虛擬機(jī)可信證明．當(dāng)節(jié)點(diǎn)關(guān)閉時(shí),由分組管理模塊對(duì)相應(yīng)的節(jié)點(diǎn)密鑰進(jìn)行回收銷毀即可．可信證明代理主要包含以下5個(gè)子模塊:

1) 節(jié)點(diǎn)注冊(cè)模塊,即驗(yàn)證虛擬機(jī)啟動(dòng)過程中平臺(tái)的身份證書,以考察平臺(tái)身份的可信性．

2) 節(jié)點(diǎn)監(jiān)控模塊,即驗(yàn)證虛擬機(jī)節(jié)點(diǎn)的完整性和運(yùn)行過程中平臺(tái)狀態(tài)的可信性．節(jié)點(diǎn)監(jiān)控模塊通常與云服務(wù)提供商內(nèi)部的可信度量模塊協(xié)同工作．

3) 用戶反饋模塊,即收集用戶對(duì)虛擬機(jī)節(jié)點(diǎn)的反饋信任度．云計(jì)算是一種多租戶的服務(wù)模式,同一虛擬機(jī)主機(jī)在運(yùn)行過程中可能會(huì)服務(wù)于多個(gè)用戶,不同用戶之間互相影響;用戶可以通過用戶反饋模塊收集其他用戶的反饋信息．

4) 信任度計(jì)算模塊,即綜合計(jì)算出節(jié)點(diǎn)的總體信任度．信任度計(jì)算模塊根據(jù)節(jié)點(diǎn)的直接信任度和反饋信任度,計(jì)算出虛擬機(jī)節(jié)點(diǎn)的總體信任度,作為虛擬機(jī)節(jié)點(diǎn)分組的依據(jù)．

5) 分組管理模塊,即負(fù)責(zé)管理虛擬機(jī)節(jié)點(diǎn)的信任度并對(duì)其進(jìn)行分組．分組管理模塊根據(jù)信任度計(jì)算模塊給出的信任度對(duì)節(jié)點(diǎn)進(jìn)行分組,從而提供給節(jié)點(diǎn)不同可信等級(jí)的服務(wù)．用戶可以根據(jù)自己的應(yīng)用需求,選擇具有不同可信度的虛擬機(jī)節(jié)點(diǎn)．

虛擬機(jī)節(jié)點(diǎn)加入云服務(wù)時(shí),首先需要向可信證明代理發(fā)送注冊(cè)請(qǐng)求,更新節(jié)點(diǎn)的信任度,以獲得合法的身份及訪問密鑰．虛擬機(jī)節(jié)點(diǎn)運(yùn)行過程中,可信度量模塊可以檢測(cè)到虛擬機(jī)狀態(tài)變化,以驗(yàn)證虛擬機(jī)狀態(tài)是否可信．虛擬機(jī)節(jié)點(diǎn)注冊(cè)成功后便可向用戶提供云服務(wù)．如果虛擬機(jī)的可信狀態(tài)發(fā)生了變化,那么訪問密鑰也必須更新．

1.2 信任度計(jì)算

云計(jì)算中虛擬機(jī)節(jié)點(diǎn)的總體信任度由虛擬機(jī)節(jié)點(diǎn)的直接信任度U、運(yùn)行完成后該用戶反饋的信任度C和其他用戶對(duì)該虛擬機(jī)節(jié)點(diǎn)的歷史反饋信任度H三個(gè)因素決定．令虛擬機(jī)節(jié)點(diǎn)直接信任度權(quán)重、用戶反饋信任度權(quán)重和其他用戶歷史反饋信任度權(quán)重分別為Wu,Wc,Wh,則虛擬機(jī)節(jié)點(diǎn)的總體信任度T1可表示為

T1=WuU+WcC+WhH

(1)

式中,U,C,H,Wu,Wc,Wh的取值范圍均為[0,1],且Wu+Wc+Wh=1．

虛擬機(jī)節(jié)點(diǎn)的歷史反饋信任度H是根據(jù)先前的歷史反饋計(jì)算得到的,距離現(xiàn)在越遠(yuǎn)的反饋對(duì)歷史反饋信任度的影響越小．假設(shè)ωi(i=1,2,…,n) 為第i個(gè)歷史反饋信任度的權(quán)重,它是一個(gè)隨時(shí)間而變化的衰減函數(shù)．若Hi(i=1,2,…,n) 表示為第i個(gè)歷史反饋,則最終的虛擬機(jī)節(jié)點(diǎn)總體信任度可以表示為

T2=WuU+WcC+Wh∑Hiωi

(2)

2 實(shí)驗(yàn)與分析

在TBTAM模型中,節(jié)點(diǎn)隱私信息的匿名性由群簽名保證[10-11]．下面對(duì)本文提出的TBTAM模型進(jìn)行仿真實(shí)驗(yàn),以驗(yàn)證模型的有效性．

2.1 仿真環(huán)境

采用澳大利亞墨爾本大學(xué)開發(fā)的云計(jì)算仿真平臺(tái)CloudSim[12]開展仿真實(shí)驗(yàn),模擬實(shí)現(xiàn)了可信證明代理、可信度量模塊和證明算法庫,運(yùn)用BRITE軟件[13]模擬了服務(wù)拓?fù)浣Y(jié)構(gòu)．本文實(shí)驗(yàn)中設(shè)置了2種虛擬機(jī)節(jié)點(diǎn)和3種用戶．

虛擬機(jī)節(jié)點(diǎn)包含以下2種類型:

1) 誠實(shí)的虛擬機(jī)節(jié)點(diǎn)N1．該節(jié)點(diǎn)遵守所宣稱的可信等級(jí),誠實(shí)地向可信證明代理提供自己的直接可信度．

2) 惡意的虛擬機(jī)節(jié)點(diǎn)N2．該節(jié)點(diǎn)不遵守所宣稱的可信等級(jí),虛假地向可信證明代理提供自己的直接可信度．

這2種類型的虛擬機(jī)節(jié)點(diǎn)開始信任度都設(shè)置為0.5．

用戶包含以下3種類型:

1) 誠實(shí)的用戶U1,主要用于給出虛擬機(jī)節(jié)點(diǎn)真實(shí)的可信度評(píng)價(jià)．

2) 惡意的用戶U2,主要用于給出虛擬機(jī)節(jié)點(diǎn)虛假的可信度評(píng)價(jià)．

3) 隨機(jī)的用戶U3,其對(duì)節(jié)點(diǎn)的評(píng)價(jià)存在不確定性,有時(shí)能給出客觀評(píng)價(jià),有時(shí)則給出隨機(jī)評(píng)價(jià)．

當(dāng)一個(gè)虛擬機(jī)節(jié)點(diǎn)運(yùn)行結(jié)束后,用戶對(duì)其進(jìn)行評(píng)價(jià),這個(gè)過程被稱為一次交互．實(shí)驗(yàn)中虛擬機(jī)節(jié)點(diǎn)和用戶之間的交互情況設(shè)置如下:

1) 實(shí)驗(yàn)的交互過程以輪為單位．一輪中每個(gè)用戶需與固定數(shù)目的虛擬機(jī)節(jié)點(diǎn)進(jìn)行交互;當(dāng)所有用戶都交互完畢時(shí),一輪實(shí)驗(yàn)結(jié)束,統(tǒng)計(jì)此輪中的交互情況,再進(jìn)行下一輪交互．

2)U1類用戶直接與高可信度節(jié)點(diǎn)進(jìn)行交互,對(duì)可信度為中的節(jié)點(diǎn)以一定的概率進(jìn)行交互,不與可信度為差的節(jié)點(diǎn)交互．

3)U2,U3類用戶以一定的概率與網(wǎng)絡(luò)中的各種虛擬機(jī)節(jié)點(diǎn)隨機(jī)交互,然后根據(jù)自己的類型給出相應(yīng)的評(píng)價(jià)．

2.2 結(jié)果分析

實(shí)驗(yàn)中設(shè)置的虛擬機(jī)節(jié)點(diǎn)總數(shù)為5 000,用戶總數(shù)為3 000．虛擬機(jī)節(jié)點(diǎn)和用戶中各種類型所占比例如表1所示．

表1 虛擬機(jī)節(jié)點(diǎn)和用戶各種類型所占比例 %

實(shí)際網(wǎng)絡(luò)中,真實(shí)實(shí)體的比例大于惡意實(shí)體,因此表1中的設(shè)置是合理的．實(shí)驗(yàn)共進(jìn)行了60輪,每輪中用戶與10個(gè)虛擬機(jī)節(jié)點(diǎn)進(jìn)行交互,每5輪結(jié)束后統(tǒng)計(jì)交互情況．

由圖2可知,隨著交互輪次的增加,參與交互的虛擬機(jī)節(jié)點(diǎn)數(shù)量也快速增大．因此,增加交互輪次可以提高識(shí)別惡意虛擬機(jī)節(jié)點(diǎn)的準(zhǔn)確性．

圖2 交互輪次隨參與交互虛擬機(jī)節(jié)點(diǎn)數(shù)的變化情況

為了體現(xiàn)TBTAM模型在識(shí)別惡意節(jié)點(diǎn)上的優(yōu)勢(shì),本文將其與TCCP模型進(jìn)行比較．

由圖3可以看出,隨著交互輪次的增加,采用了信任反饋和獎(jiǎng)懲機(jī)制的TBTAM模型中U1與惡意實(shí)體交互的次數(shù)不斷減少;而對(duì)于TCCP模型,由于沒有采取任何機(jī)制進(jìn)行識(shí)別和訪問控制,故U1訪問到惡意虛擬機(jī)節(jié)點(diǎn)的概率與惡意虛擬機(jī)在網(wǎng)絡(luò)中的分布情況類似．

圖3 交互輪次隨惡意虛擬機(jī)節(jié)點(diǎn)數(shù)的變化情況

由圖4可知,當(dāng)交互輪次較少時(shí),虛擬機(jī)節(jié)點(diǎn)的可信度不高,接近于50%．隨著交互輪次的增加,誠實(shí)的虛擬機(jī)節(jié)點(diǎn)N1的平均可信度明顯增加,而惡意虛擬機(jī)節(jié)點(diǎn)N2的平均可信度則快速下降．這說明TBTAM模型能有效甄別惡意虛擬機(jī)節(jié)點(diǎn)和誠實(shí)虛擬機(jī)節(jié)點(diǎn)．

圖4 交互輪次隨虛擬機(jī)節(jié)點(diǎn)信任度的變化情況

綜上可知,TCCP模型只在系統(tǒng)啟動(dòng)過程中驗(yàn)證了虛擬機(jī)節(jié)點(diǎn)的可信性,無法檢測(cè)出運(yùn)行過程中惡意的節(jié)點(diǎn);而TBTAM模型在交互過程中綜合了虛擬機(jī)的直接信任度和反饋信任度,采用信任反饋和獎(jiǎng)懲機(jī)制,有效識(shí)別出惡意虛擬機(jī)節(jié)點(diǎn),反映了節(jié)點(diǎn)的真實(shí)信任度．

3 結(jié)語

針對(duì)云計(jì)算虛擬機(jī)在可信證明方面的特點(diǎn)和需求,本文提出了一種基于信任的虛擬機(jī)可信證明模型TBTAM．用戶可以利用計(jì)算虛擬機(jī)的總體信任度來驗(yàn)證虛擬機(jī)節(jié)點(diǎn)的可信性,有效識(shí)別出惡意虛擬機(jī)節(jié)點(diǎn)．模型使用群簽名對(duì)證據(jù)進(jìn)行保護(hù),以最大限度地保護(hù)節(jié)點(diǎn)的隱私,降低了節(jié)點(diǎn)遭受攻擊的可能性．仿真實(shí)驗(yàn)結(jié)果證實(shí)了該模型的有效性．

References)

[1]馮登國(guó), 張敏, 張妍, 等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào), 2011, 22(1):71-83. Feng Dengguo, Zhang Min, Zhang Yan, et al. Study on cloud computing security[J].JournalofSoftware, 2011, 22(1):71-83. (in Chinese)

[2]黃瑛, 石文昌. 云基礎(chǔ)設(shè)施安全性研究綜述[J]. 計(jì)算機(jī)科學(xué), 2011, 38(7): 24-30,69. Huang Ying, Shi Wenchang. Survey of research on cloud infrastructure[J].ComputerScience, 2011, 38(7): 24-30,69. (in Chinese)

[3]Trusted Computing Group. TCG specification architecture overview, version 1.4 [EB/OL]. (2007-08)[2014-06-25]. http://www.trustedcomputinggroup.org/resources/tcg-architecture-overview-version-14/.

[4]Santos N, Gummadi K P, Rodrigues R. Towards trusted cloud computing[C]//Proceedingsof2009ConferenceonHotTopicsinCloudComputing. San Diego, CA, USA, 2009: 14-19.

[5]Krautheim F J. Private virtual infrastructure for cloud computing[C]//Proceedingsof2009WorkshoponHotTopicsinCloudComputing. San Diego, CA, USA, 2009: 1-5.

[6]Krautheim F J, Phatak D S, Sherman A T. Introducing the trusted virtual environment module: a new mechanism for rooting trust in cloud computing[C]//2010TrustandTrustworthyComputing. Berlin, Germany, 2010: 211-227.

[7]Schiffman J, Moyer T, Vijayakumar H, et al. Seeding clouds with trust anchors[C]//Proceedingsof2010ACMWorkshoponCloudComputingSecurityWorkshop. New York, USA, 2010: 43-46.

[8]Neisse R, Holling D, Pretschner A. Implementing trust in cloud infrastructures[C]//Proceedingsof2011IEEE/ACMInternationalSymposiumonCluster,CloudandGridComputing. Newport Beach, CA, USA, 2011: 524-533.

[9]Zhao Y, Cong P Y. On remote attestation based on trusted cloud computing[J].JournalofAppliedSciences, 2013, 13(22): 5092-5098.

[10]Ateniese G, Camenisch J, Joye M, et al. A practical and provably secure coalition-resistant group signature scheme[C]//The20thAnnualInternationalCryptologyConference. Santa Barbara, CA, USA, 2000: 255-270.

[11]陳澤文, 王繼林, 黃繼武, 等. ACJT群簽名方案中成員撤銷的高效實(shí)現(xiàn)[J]. 軟件學(xué)報(bào), 2005, 16(1): 151-157. Chen Zewen, Wang Jilin, Huang Jiwu, et al. An efficient revocation algorithm in ACJT group signature[J].JournalofSoftware, 2005, 16(1): 151-157. (in Chinese)

[12]Calheiros R N, Ranjan R, Beloglazov A, et al. CloudSim: a toolkit for modeling and simulation of cloud computing environments and evaluation of resource provisioning algorithms[J].Software:PracticeandExperience, 2011, 41(1): 23-50.

[13]Medina A, Matta I, Byers J. BRITE: Boston University representative internet topology generator [EB/OL]. (2001-03)[2014-06-25]. http://www.cs.bu.edu/fac/matta/Research/BRITE/.

Trust based trustworthiness attestation model of virtual machines for cloud computing

Zhou Zhenji Wu Lifa Hong Zheng Li Bingxu Zheng Chenghui

(Institute of Command Information System, PLA University of Science and Technology, Nanjing 210007, China)

The trust evidence sources of cloud computing nodes are usually insufficient, and during the attestation process sensitive information of the involved nodes is easily exposed. To solve these problems, a trust-based trustworthiness attestation model (TBTAM) for virtual machine is presented by combining trust management and group signature scheme. The TBTAM architecture and the calculation method of the trustworthiness of virtual machine nodes are put forward. First, considering both direct trustworthiness and feedback trustworthiness, the trustworthiness of virtual machine nodes is comprehensively evaluated, and malicious nodes are identified. Then, by the group-signature-based method for proof protection, the trustworthiness of tenants is verified by validating the signatures of nodes, which protects the privacy of nodes and reduces the attack possibilities. The experimental results show that the model can effectively identify malicious nodes and protect privacy of virtual machine nodes during the running process.

cloud computing; trust management; virtual machine; group signature

2014-07-26. 作者簡(jiǎn)介: 周振吉(1985—),男,博士生;吳禮發(fā) (聯(lián)系人),男,博士,教授,博士生導(dǎo)師,wulifa@vip.163.com.

江蘇省自然科學(xué)基金資助項(xiàng)目(BK2011115, BK20131069).

周振吉,吳禮發(fā),洪征,等.云計(jì)算環(huán)境下基于信任的虛擬機(jī)可信證明模型[J].東南大學(xué)學(xué)報(bào):自然科學(xué)版,2015,45(1):31-35.

10.3969/j.issn.1001-0505.2015.01.006

TP393

A

1001-0505(2015)01-0031-05