面向云服務(wù)信息安全評(píng)估的度量模型研究

陸月明，張志輝

（北京郵電大學(xué)信息與通信工程學(xué)院，北京 100876）

面向云服務(wù)信息安全評(píng)估的度量模型研究

陸月明，張志輝

（北京郵電大學(xué)信息與通信工程學(xué)院，北京 100876）

針對(duì)云服務(wù)信息安全缺乏度量準(zhǔn)則和度量不準(zhǔn)的問(wèn)題，介紹了國(guó)內(nèi)外相關(guān)度量標(biāo)準(zhǔn)的研究現(xiàn)狀。針對(duì)可信云的信息安全度量需求，總結(jié)了基于可信根的度量模型的優(yōu)缺點(diǎn)，指出未來(lái)的方向是一個(gè)兼顧可拓展性、實(shí)時(shí)性、隱私保護(hù)好、易移植且開(kāi)銷更小的云服務(wù)信息安全度量模型。

可信云服務(wù)；信息安全評(píng)估；度量模型；評(píng)估標(biāo)準(zhǔn)

1 引言

針對(duì)IT領(lǐng)域計(jì)算資源集約化、規(guī)?；蛯I(yè)化的需求，云計(jì)算（cloud computing）［1］的計(jì)算模式應(yīng)運(yùn)而生。云服務(wù)服務(wù)一方面不斷提高生產(chǎn)效率，但同時(shí)也暴露出各種不容小覷的信息安全問(wèn)題，這已經(jīng)成為阻礙其發(fā)展的關(guān)鍵因素。要解決云服務(wù)信息安全問(wèn)題，首先提出其信息安全檢測(cè)、度量、評(píng)估等模型或方法，形成良性反饋機(jī)制，促進(jìn)和提高云服務(wù)信息安全質(zhì)量。然而，云服務(wù)信息安全評(píng)估面臨諸多難題，由于沒(méi)有完備的評(píng)估標(biāo)準(zhǔn)和指標(biāo)，面臨信息安全評(píng)估不了和評(píng)估不準(zhǔn)的問(wèn)題。

2 現(xiàn)有信息安全評(píng)估標(biāo)準(zhǔn)及面臨的挑戰(zhàn)

現(xiàn)有信息安全評(píng)估標(biāo)準(zhǔn)主要被信息產(chǎn)品或服務(wù)的用戶、開(kāi)發(fā)者、第三方評(píng)估者、管理員等使用，涉及的信息產(chǎn)品和服務(wù)門(mén)類廣，部分還對(duì)特定產(chǎn)品給出信息安全評(píng)估標(biāo)準(zhǔn)。最常用的是信息技術(shù)安全性評(píng)估準(zhǔn)則（CC， common criteria），簡(jiǎn)稱“通用準(zhǔn)則”。

通用準(zhǔn)則是確定適用于一切IT安全產(chǎn)品和系統(tǒng)的評(píng)估準(zhǔn)則，具有普適性和通用性。通用準(zhǔn)則只規(guī)定準(zhǔn)則，不涉及評(píng)估方法，評(píng)估方法的選擇留給其他的評(píng)估體制確定。通用準(zhǔn)則提出了3個(gè)重要概念，評(píng)估對(duì)象（TOE，target of evalua-tion）、保護(hù)輪廓（PP，protection profile）和安全目標(biāo)（ST，security target）。TOE包括作為評(píng)估主體的IT產(chǎn)品和系統(tǒng)以及相關(guān)文檔。PP和ST是用于描述待評(píng)估IT產(chǎn)品或系統(tǒng)的重要文檔。PP描述滿足特定需求且獨(dú)立于現(xiàn)實(shí)的一組安全要求，是目標(biāo)說(shuō)明。ST描述依賴于現(xiàn)實(shí)的一組安全說(shuō)明，是評(píng)估基礎(chǔ)。通用準(zhǔn)則由簡(jiǎn)介與一般模型、安全功能要求、安全保證要求這3部分組成，將信息安全的三性（保密性、完整性和可用性）作為整個(gè)準(zhǔn)則的出發(fā)點(diǎn)。其中，安全功能要求提出了11個(gè)需要滿足安全要求的功能組件類［2］，包括密碼支持、用戶數(shù)據(jù)保護(hù)、私密性等。安全保證要求提出了9個(gè)需要安全保證的類別［3］，包括生命周期支持、脆弱性評(píng)定、指導(dǎo)性文檔等。安全功能要求和安全保證要求為云服務(wù)信息安全評(píng)估指標(biāo)的擬定提供了全面的依據(jù)。

2000年7月，美國(guó)NIST（National Institute of Standards and Technology）和CSSPAB（Computer System Security and Privacy Advisory Board）聯(lián)合舉辦了一個(gè)針對(duì)安全度量的討論會(huì)。該會(huì)議指出，通用準(zhǔn)則雖然在指導(dǎo)安全評(píng)估方面是個(gè)很好的標(biāo)準(zhǔn)，但在全面解決安全度量問(wèn)題方面還有很多需要進(jìn)一步研究的內(nèi)容［4］，包括信息安全度量定義、信息系統(tǒng)的安全度量、針對(duì)特定安全威脅的安全度量、定性的安全度量、大規(guī)模網(wǎng)絡(luò)中的實(shí)時(shí)安全度量、安全度量和保證等級(jí)等之間的關(guān)系，從而使人們對(duì)安全保護(hù)能有一個(gè)更加深刻的理解。

3 云服務(wù)安全度量模型及指標(biāo)

2009年4月，RSA大會(huì)成立了云安全聯(lián)盟CSA（cloud security alliance），致力于云服務(wù)安全解決方案，發(fā)布了《云計(jì)算關(guān)鍵領(lǐng)域安全指南》［5］，從攻擊者角度歸納云服務(wù)可能有賬戶或服務(wù)劫持、數(shù)據(jù)丟失或泄露、不安全API、惡意內(nèi)部人員等風(fēng)險(xiǎn)。

3.1 云服務(wù)信息安全度量和評(píng)估框架

云服務(wù)信息安全可以從不同的角度確定其度量框架，這里只從評(píng)估者角度確定這種分布式系統(tǒng)或服務(wù)的信息安全度量框架。圖1給出了云服務(wù)信息安全度量和評(píng)估框架。該框架首先對(duì)云服務(wù)信息安全功能進(jìn)行形式化，分成不同的信息安全功能類和族，抽象出族中的組件和依賴關(guān)系，并確定功能元素。針對(duì)信息安全可測(cè)要求，提出功能元素的量化方法和指標(biāo)基準(zhǔn)，最終形成標(biāo)準(zhǔn)，提供給評(píng)估者，解決云服務(wù)信息安全評(píng)估中評(píng)估不了和評(píng)估不準(zhǔn)的問(wèn)題。

在這個(gè)框架中，關(guān)鍵點(diǎn)在于信息安全度量模型能否全面形式化云服務(wù)的信息安全功能要求。模型形式化中的遺漏內(nèi)容，包括認(rèn)證等重要功能類，會(huì)導(dǎo)致信息安全上的缺陷。形式化中的錯(cuò)誤依賴關(guān)系，包括信任傳遞等重要功能內(nèi)容，會(huì)導(dǎo)致信息安全上存在后門(mén)。所以，云服務(wù)信息安全功能形式化是度量模型中的核心。

圖1 云服務(wù)信息安全度量和評(píng)估框架

由于云服務(wù)涉及計(jì)算資源、存儲(chǔ)資源、進(jìn)程等實(shí)體的信息安全，在云服務(wù)信息安全功能形式化中，對(duì)每個(gè)實(shí)體建立獨(dú)立的度量子模型，在實(shí)體之間建立信任和安全功能的傳遞，可以評(píng)估整個(gè)分布式系統(tǒng)的信息安全。

云服務(wù)信息安全功能形式化后，產(chǎn)生信息安全的度量指標(biāo)，包括加密、鑒別等，作為整個(gè)模型的輸出。測(cè)評(píng)者能夠?qū)@些度量指標(biāo)進(jìn)行基準(zhǔn)測(cè)試和量化，實(shí)現(xiàn)信息安全的可測(cè)量、可重復(fù)、可比較等。下面介紹幾種云服務(wù)信息安全形式化和具體的度量模型。

3.2 可信云服務(wù)信息安全形式化

可信是云服務(wù)中重要的信息安全功能類［6］，這里主要討論可信度量模型，其主要包括的內(nèi)容如下。

1） 身份驗(yàn)證與訪問(wèn)控制

身份認(rèn)證是所有信息服務(wù)類產(chǎn)品均要面對(duì)的問(wèn)題。身份認(rèn)證不僅是對(duì)云租戶的認(rèn)證，也是對(duì)云服務(wù)商的認(rèn)證，是一種雙向認(rèn)證機(jī)制。此外，租戶無(wú)法判斷云服務(wù)供應(yīng)商是否完全忠誠(chéng)地執(zhí)行了其設(shè)定的操作，因此應(yīng)該對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)控制。

2） 物理完整性

物理完整性是指支撐云服務(wù)硬件的物理安全及環(huán)境安全。云服務(wù)供應(yīng)商應(yīng)該保證硬件被置于相對(duì)安全穩(wěn)定的環(huán)境，具有應(yīng)對(duì)自然災(zāi)害的能力。通常出于節(jié)約成本與安全的考慮，云服務(wù)硬件被安置在較偏遠(yuǎn)地區(qū)。另外，最終交付云租戶的服務(wù)不應(yīng)含有未授權(quán)的后門(mén)。

3） 數(shù)據(jù)完整性

云服務(wù)供應(yīng)商應(yīng)對(duì)租戶數(shù)據(jù)進(jìn)行完整性保護(hù)的首選措施是加密存儲(chǔ)，但這也帶來(lái)一系列問(wèn)題。比如，加密存儲(chǔ)后如何對(duì)數(shù)據(jù)進(jìn)行快速檢索。為節(jié)省存儲(chǔ)空間，云服務(wù)供應(yīng)商會(huì)自動(dòng)刪除重復(fù)數(shù)據(jù)，加密后如何對(duì)數(shù)據(jù)去冗余化操作？當(dāng)某租戶合約期滿后，云服務(wù)供應(yīng)商會(huì)刪除其存儲(chǔ)在云上的數(shù)據(jù)，但這種數(shù)據(jù)刪除措施不一定是不可恢復(fù)的。當(dāng)下一位租戶訪問(wèn)這塊存儲(chǔ)區(qū)域時(shí)，有可能會(huì)恢復(fù)該存儲(chǔ)區(qū)的數(shù)據(jù)，云服務(wù)商應(yīng)該采取適當(dāng)措施避免這種情形的發(fā)生。數(shù)據(jù)完整性保護(hù)還應(yīng)該解決的一個(gè)問(wèn)題是數(shù)據(jù)存在性證明。存儲(chǔ)在云端的數(shù)據(jù)是海量的，用戶如何在有限帶寬下通過(guò)接收少量數(shù)據(jù)便可確認(rèn)其數(shù)據(jù)仍然是有效的？這也是需要解決的問(wèn)題。

4） 容錯(cuò)性與容侵性

虛擬化技術(shù)是云服務(wù)的核心。云端存在很多租戶，云服務(wù)供應(yīng)商應(yīng)該保證各租戶之間是完全隔離的，避免不良租戶利用云服務(wù)漏洞對(duì)其他租戶實(shí)施攻擊。分布式拒絕服務(wù)（DDoS，distributed denial of service）是一種司空見(jiàn)慣的網(wǎng)絡(luò)攻擊模式，云服務(wù)如何抵御這些網(wǎng)絡(luò)攻擊？

3.3 基于可信根的鏈?zhǔn)蕉攘磕Ｐ?/p>

可信根是構(gòu)建可信系統(tǒng)的基礎(chǔ)模塊，可信計(jì)算組織（TCG， trusted computing group）將其劃分為可信度量根（RTM）、可信存儲(chǔ)根（RTS）、可信報(bào)告根（RTR）這3種基本類型，它們負(fù)責(zé)完成TCG的度量、存儲(chǔ)、報(bào)告機(jī)制。一般默認(rèn)這3個(gè)可信根都是絕對(duì)可信的。TCG給出的基于可信根的信任鏈參考模型如圖2所示。

圖2 基于可信根的信任鏈參考模型

文獻(xiàn)［7］給出了基于可信根的信任鏈傳遞和控制權(quán)轉(zhuǎn)移過(guò)程，如圖3所示。其中，可信平臺(tái)構(gòu)造模塊（TBB，trusted building blocks）是信任源，由軟件可信度量根核（CRTM，core root of trust for measurement）和硬件模塊TPM（trusted platform module）構(gòu)成。第1、3、5步進(jìn)行完整性度量，第2、4、6步轉(zhuǎn)交執(zhí)行權(quán)限。系統(tǒng)通電啟動(dòng)后，信任邊界最初僅限于信任度量根核CRTM，完整性度量從此處開(kāi)始。沿著信任鏈目標(biāo)模塊被驗(yàn)證通過(guò)后，執(zhí)行權(quán)限被轉(zhuǎn)移到該模塊，同時(shí)信任邊界也被拓展到該模塊。在整個(gè)度量過(guò)程中，信任邊界逐級(jí)拓展到整個(gè)系統(tǒng)而不僅僅局限于信任度量根。

圖3 基于可信根的信任鏈傳遞和控制權(quán)轉(zhuǎn)移過(guò)程

TCG采用了一種迭代計(jì)算散列值的方式完整可信度量，并稱其為“擴(kuò)展”操作。即將平臺(tái)配置寄存器（PCR，platform configuration registers）中的可信度量值與新的可信度量值連接之后，再次計(jì)算散列值并將其作為新的完整性度量值存儲(chǔ)到寄存器中。這種迭代計(jì)算的“擴(kuò)展”操作，使PCR中所存儲(chǔ)的可信度量值不僅能夠反映當(dāng)前度量的軟件完整性，也能夠反映計(jì)算機(jī)系統(tǒng)的啟動(dòng)序列。當(dāng)應(yīng)用程序的完整性或計(jì)算機(jī)系統(tǒng)啟動(dòng)序列發(fā)生任何改變時(shí)，都將引起存儲(chǔ)到寄存器中的可信度量值產(chǎn)生相應(yīng)的變化。

綜上，TCG提出的基于可信根的鏈?zhǔn)蕉攘磕Ｐ蛯⒂布c軟件相結(jié)合，能夠有效地實(shí)現(xiàn)可信度量，且易實(shí)現(xiàn)。但由于需要硬件，一定程度上增加了度量成本。

3.4 可信靜態(tài)度量

2004年，IBM在文獻(xiàn)［8］中提出IMA（integrity measurement architecture）架構(gòu)，其度量的關(guān)注點(diǎn)是基于TCG的完整性度量思路，側(cè)重對(duì)各種軟件代碼和文件的完整性度量，度量時(shí)刻是在加載到內(nèi)存時(shí)進(jìn)行的，并通過(guò)TPM 來(lái)進(jìn)行保護(hù)。IMA度量機(jī)制主要由以下3個(gè)組件組成（如圖4所示）。

1） 度量組件

該組件決定運(yùn)行環(huán)境中的3W問(wèn)題，即什么部件需要被度量、什么時(shí)候度量、如何安全存儲(chǔ)度量報(bào)告。度量方法采用SHA1計(jì)算散列值。

2） 完整性挑戰(zhàn)組件

圖4 IMA遠(yuǎn)程證明

該組件允許被授權(quán)的挑戰(zhàn)者（云租戶）發(fā)起完整性度量請(qǐng)求，準(zhǔn)確無(wú)誤地接收云計(jì)算平臺(tái)的度量報(bào)告，并證明其完整性。

3） 完整性驗(yàn)證組件

該組件不僅能夠證明反饋給挑戰(zhàn)者的度量報(bào)告是完整的、無(wú)篡改的、實(shí)時(shí)的，而且證明測(cè)量報(bào)告中記錄的云平臺(tái)運(yùn)行環(huán)境下的受信代碼和配置文件均是有效的。

圖4表明了該機(jī)制支持遠(yuǎn)程證明（remote attestation）的原理。度量代理初始化整個(gè)度量過(guò)程，并由它生成完整性度量報(bào)告，步驟a將完整性度量報(bào)告存入內(nèi)核的度量隊(duì)列里，步驟b將度量報(bào)告給TPM。完整性挑戰(zhàn)機(jī)制允許遠(yuǎn)程挑戰(zhàn)者發(fā)起完整性度量請(qǐng)求（步驟1）。證明系統(tǒng)接收到完整性證明請(qǐng)求后，向TPM可信平臺(tái)查詢保存在RSA簽名算法中私鑰簽名的PCR值，可信平臺(tái)將查詢結(jié)果反饋給證明系統(tǒng)（步驟2和步驟3）。隨后，內(nèi)核也將度量報(bào)告返回給證明系統(tǒng)（步驟4）。證明系統(tǒng)將度量報(bào)告及私鑰簽名一并發(fā)送給挑戰(zhàn)方（步驟5）。挑戰(zhàn)方利用度量報(bào)告重新計(jì)算PCR值，然后與獲得的PCR值比較，以此來(lái)證明平臺(tái)的完整性是否遭到破壞（步驟6）。

IMA是靜態(tài)加載時(shí)的度量，但不能準(zhǔn)確反映運(yùn)行時(shí)的動(dòng)態(tài)可變行為，易發(fā)生TOCTTOU（time of check to time of use）一致性問(wèn)題，而且IMA度量是在程序加載到內(nèi)存時(shí)進(jìn)行的，導(dǎo)致系統(tǒng)運(yùn)行效率較低。對(duì)此，文獻(xiàn)［9］提出可信動(dòng)態(tài)度量模型，即PRIMA（policy-reduced integrity measurement architecture）信息流度量。PRIMA度量進(jìn)程間的信息流，從本質(zhì)上來(lái)說(shuō)，PRIMA僅是IMA度量的改進(jìn)，仍然是靜態(tài)度量模型，并未解決TOXTTOU問(wèn)題。

圖5 LKIM簡(jiǎn)化框架

3.5 動(dòng)態(tài)完整性度量

靜態(tài)完整性度量一個(gè)顯而易見(jiàn)的缺點(diǎn)是軟件加載后便無(wú)法控制系統(tǒng)的完整性，這是因?yàn)樗窃谲浖虞d前進(jìn)行完整性度量。與之相對(duì)應(yīng)的是動(dòng)態(tài)完整性度量，它是指在任意時(shí)刻都可以在對(duì)正在運(yùn)行中的模塊進(jìn)行度量，在軟件運(yùn)行的整個(gè)生命周期內(nèi)都可以控制系統(tǒng)的完整性。

文獻(xiàn)［10］提出針對(duì)Linux 內(nèi)核的完整性監(jiān)視器（LKIM， Linux kernel integrity measurement）。該度量模型由度量對(duì)象、度量代理MA和決策體構(gòu)成。LKIM利用基于上下文檢測(cè)技術(shù)度量?jī)?nèi)核組件，不僅可以詳細(xì)記錄內(nèi)核里與安全相關(guān)組件的狀態(tài)，而且可以擴(kuò)展到內(nèi)核外組件的度量。此外，LKMI不僅是在系統(tǒng)啟動(dòng)的時(shí)候度量，而且可以響應(yīng)來(lái)自IMS的度量請(qǐng)求和系統(tǒng)事件。度量數(shù)據(jù)以一種友好的方式存儲(chǔ)，以便IMS隨時(shí)查詢?cè)紨?shù)據(jù)。在系統(tǒng)安全政策的保護(hù)下，IMS不僅自身可以使用度量數(shù)據(jù)，而且可以根據(jù)指定度量腳本的要求將度量數(shù)據(jù)在任意節(jié)點(diǎn)間轉(zhuǎn)移。

LKIM簡(jiǎn)化后的框架如圖5所示。LKMI根據(jù)度量變量集合將度量程序分解為一系列獨(dú)立的度量單元，并獨(dú)立監(jiān)測(cè)它們。LKMI的一個(gè)缺陷是不好把握監(jiān)控粒度。如果度量單元?jiǎng)澐值奶?xì)致，將影響系統(tǒng)的性能，監(jiān)控起來(lái)也會(huì)很繁雜。反之，可能會(huì)無(wú)法捕捉到某些執(zhí)行結(jié)果。雖然LKMI度量模型是在Linux內(nèi)核下實(shí)現(xiàn)的，但其度量技術(shù)具有普適性，完全可以應(yīng)用于需要被度量的其他類型的操作系統(tǒng)或復(fù)雜軟件系統(tǒng)。

3.6 TOCTTOU問(wèn)題

為了解決TOCTTOU問(wèn)題，文獻(xiàn)［11］提出HIMA（hypervisor-based integrity measurement agent）。HIMA是基于Hypervisor的完整性度量代理，對(duì)用戶虛擬機(jī)進(jìn)行類似黑盒測(cè)試的綜合性度量，度量對(duì)象包括虛擬機(jī)內(nèi)核和用戶程序。即使是在用戶虛擬機(jī)內(nèi)核被盜用的情況下，HIMA不僅能保證用戶程序靜態(tài)完整性度量時(shí)的TOCTTOU一致性，也能保證度量程序的完整性。HIMA主要使用以下2種技術(shù)來(lái)解決度量時(shí)可能發(fā)生的TOCTTOU一致性問(wèn)題。

1） 主動(dòng)監(jiān)控危險(xiǎn)的用戶事件

當(dāng)用戶創(chuàng)建新的線程或其他操作導(dǎo)致內(nèi)存配置改變時(shí)，通過(guò)對(duì)加載到內(nèi)存的代碼和數(shù)據(jù)段進(jìn)行散列計(jì)算來(lái)度量完整性。

2） 用戶內(nèi)存保護(hù)

確保對(duì)用戶任何程序的完整性度量不會(huì)被度量代理忽略。通過(guò)訪問(wèn)權(quán)限限制來(lái)保護(hù)用戶內(nèi)存，并使用測(cè)試虛擬域內(nèi)存地址的散列方法來(lái)度量頁(yè)映射中發(fā)生的安全問(wèn)題。

圖6 HIMA架構(gòu)（灰色區(qū)域?yàn)槌跏蓟湃谓M件）

HIMA構(gòu)架如圖6所示，HIMA將鉤子程序植入Hypervisor代碼，這樣便可以攔截用戶的以下操作：一些敏感服務(wù)器請(qǐng)求（如超級(jí)調(diào)用、VMExit指令）、系統(tǒng)調(diào)用、硬件中斷。為了方便遠(yuǎn)程證明，將生成的度量報(bào)告列表存儲(chǔ)在管理員虛擬機(jī)中。HIMA度量代理和TOE之間是完全隔離的，對(duì)于用戶虛擬機(jī)來(lái)說(shuō)完全透明，可以被移植于任何虛擬機(jī)監(jiān)控平臺(tái)。雖然可以通過(guò)虛擬化技術(shù)實(shí)現(xiàn)隔離，但度量技術(shù)絕不能依托于任何一個(gè)可以通過(guò)入侵易受攻擊的客戶就能將其破壞的組件或鉤子程序。

文獻(xiàn)［11］僅僅關(guān)注用戶虛擬機(jī)靜態(tài)部分的度量，沒(méi)有考慮對(duì)動(dòng)態(tài)生成的代碼（如Java JIT編譯器在堆上生成的可執(zhí)行代碼）的度量。然而，對(duì)動(dòng)態(tài)數(shù)據(jù)完整性度量也是系統(tǒng)完整性度量的重要指標(biāo)。此外，HIMA僅僅是一個(gè)度量代理，需要依托于一個(gè)度量框架。

3.7 基于上下文語(yǔ)境的度量

在Hypervisor完整性度量方面，文獻(xiàn)［12］提出HyperSentry度量模型，這是一個(gè)隱密的基于上下文語(yǔ)境的完整性度量模型，通過(guò)設(shè)計(jì)安全硬件增強(qiáng)Hypervisor完整性。

事實(shí)上，HyperSentry并不關(guān)注于完整性度量本身，而是為完整性度量代理提供技術(shù)支持，使其能夠驗(yàn)證擁有最高權(quán)限軟件的完整性。HyperSentry并不是通過(guò)引入更高級(jí)權(quán)限的框架去度量擁有較高權(quán)限的軟件，而是通過(guò)強(qiáng)化已經(jīng)存在的硬件和提供固件支持的方式，引入一個(gè)與Hypervisor適當(dāng)隔離的軟件組件。或者說(shuō)，HyperSentry依賴于可信計(jì)算基TCB和一些其他固件。HyperSentry度量模型由不受系統(tǒng)CPU控制的帶外信道觸發(fā)，即使系統(tǒng)屏蔽或重新規(guī)劃信道，HyperSentry仍能保持其隱密性。

HyperSentry架構(gòu)如圖7所示。HyperSentry由SMI（系統(tǒng)管理終端處理器）和內(nèi)置于虛擬機(jī)監(jiān)視器的度量代理組成。帶外信道（本文指IPMI）將BMC（基板管理控制器）與遠(yuǎn)程證明方建立通信，而度量代理通過(guò)SMI間接與BMC建立通信。HyperSentry通過(guò)帶外信道觸發(fā)隱密的完整性度量，使度量代理具有：1） 與虛擬機(jī)監(jiān)視器相同的背景環(huán)境；2） 完全受保護(hù)的執(zhí)行模式；3） 對(duì)其輸出的證明。實(shí)踐證明，HyperSentry是一種適用于真實(shí)系統(tǒng)的低開(kāi)銷解決方案，但需要較大程度的硬件支持。

3.8 國(guó)內(nèi)相關(guān)模型

國(guó)內(nèi)對(duì)云服務(wù)可信度量的研究緊隨國(guó)際潮流，如火如荼，成果斐然。劉孜文等和馮登國(guó)等在文獻(xiàn)［13］與文獻(xiàn)［14］中提出基于可信計(jì)算的操作系統(tǒng)動(dòng)態(tài)度量架構(gòu)（DIMA），實(shí)現(xiàn)了對(duì)系統(tǒng)中活動(dòng)的進(jìn)程與模塊的細(xì)粒度度量，因此能有效解決TOCTTOU問(wèn)題。林闖等在文獻(xiàn)［15］中總結(jié)了針對(duì)不同云安全指標(biāo)的形式化描述方法和不同類型的安全模型，并提出基于多隊(duì)列多服務(wù)器的云安全模型與評(píng)價(jià)思路。周振吉等在文獻(xiàn)［16］中提出一種虛擬機(jī)樹(shù)形可信度量模型，該模型利用系統(tǒng)調(diào)用截獲和虛擬機(jī)內(nèi)省技術(shù)構(gòu)建度量原型，有效降低了虛擬機(jī)可信度量的復(fù)雜度。

圖7 HyperSentry架構(gòu)（灰色區(qū)域?yàn)槭苄湃蔚慕M件）

4 結(jié)束語(yǔ)

本文度量模型基本解決度量中的一些難題，但一定程度上都有自己的缺陷。靜態(tài)度量實(shí)時(shí)性和隱私保護(hù)性較差，而實(shí)時(shí)度量以犧牲系統(tǒng)運(yùn)行性能為代價(jià)，基于內(nèi)存代碼監(jiān)控的動(dòng)態(tài)度量還存在控制監(jiān)控粒度的問(wèn)題?；谡Z(yǔ)義的度量需要較強(qiáng)硬件的支持。度量模型也面臨自身安全的問(wèn)題，只要可信度量根不被攻破，度量模型自身就是安全的。未來(lái)的研究方向是研究出兼顧可拓展性、實(shí)時(shí)性、隱私保護(hù)好、易移植且開(kāi)銷更小的度量模型。

［1］ 陳康， 鄭緯民. 云計(jì)算：系統(tǒng)實(shí)例與研究現(xiàn)狀［J］. 軟件學(xué)報(bào)， 2009，20（5）：1337-1348. CHEN K， ZHENG WM . Cloud computing：system instances and current research［J］. Journal of Software， 2009， 20（5）：1337-1348.

［2］ Common criteria for information technology security evaluation part 2： security functional requirement，version 2.2［S］.2004.

［3］ Common criteria for information technology security evaluation part 3： security assurance requirements； version 2.2［S］.2004.

［4］ NIELSEN F. Approaches to security metrics［C］//CSSPAB Workshop on Approaches to Measuring Security. c2000.

［5］ Cloud Security Alliance（CSA）. Security guidance for critical areas of focus in cloud computing V3.0［EB/OL］. https：//cloudsecurityalliance. org/guidance/csaguide.v3.0.pdf.

［6］ AVI?IENIS A， LAPRIE J C， RANDELL B， et al. Basic concepts and taxonomy of dependable and secure computing［J］. IEEE Transactions on Dependable & Secure Computing， 2004， 1（1）：11-33.

［7］ TCG Group. TCG specification architecture overview［J］. TCG Specification Revision， 2007， 1： 1-24.

［8］ SAILER R， ZHANG X， JAEGER T， et al. Design and implementa-tion of a TCG-based integrity measurement architecture［C］//Usenix Security Symposium. c2004：16-16.

［9］ JAEGER T， SAILER R， SHANKAR U. PRIMA： policy-reduced integrity measurement architecture［C］//The 11th ACM Symposium on Access Control Models and Technologies. c2006：19-28.

［10］ LOSCOCCO P A， WILSON P W， PENDERGRASS J A， et al. Linux kernel integrity measurement using contextual inspection［C］// ACM Workshop on Scalable Trusted Computing. c2007：21-29.

［11］ AZAB A M， NING P， SEZER E C， et al. HIMA： a hypervisor-based integrity measurement agent［C］// IEEE Computer Security Applications Conference. c2009：461-470.

［12］ AZAB A M， NING P， WANG Z， et al. HyperSentry： enabling stealthy in-context measurement of hypervisor integrity［C］//ACM Conference on Computer and Communications Security（CCS）. c2010：38-49.

［13］ 劉孜文， 馮登國(guó). 基于可信計(jì)算的動(dòng)態(tài)完整性度量架構(gòu)［J］. 電子與信息學(xué)報(bào)， 2010， 32（4）：875-879. LIU Z W， FENG D G. TPM-based dynamic integrity measurement architecture［J］. Journal of Electronics and Information Technology，2010， 32（4）：875-879.

［14］ 馮登國(guó)， 秦宇， 汪丹，等. 可信計(jì)算技術(shù)研究［J］. 計(jì)算機(jī)研究與發(fā)展， 2011， 48（8）：1332-1349. FENG D G， QIN Y， WANG D， et al. Research on trusted computing technology［J］. Journal of Computer Research and Development，2011， 48（8）：1332-1349.

［15］ 林闖， 蘇文博， 孟坤，等. 云計(jì)算安全：架構(gòu)、機(jī)制與模型評(píng)價(jià)［J］.計(jì)算機(jī)學(xué)報(bào)， 2013， 36（9）：1765-1784. LIN C， SU W B， MENG K， et al. Cloud computing security： architecture， mechanism and modeling［J］. Chinese Journal of Computers，2013， 36（9）：1765-1784.

［16］ 周振吉， 吳禮發(fā)， 洪征，等. 云計(jì)算環(huán)境下的虛擬機(jī)可信度量模型［J］. 東南大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2014（1）：45-50. ZHOU Z J， WU L F， HONG Z， et al. Trustworthiness measurement model of virtual machine for cloud computing［J］. Journal of Southeast University（Natural Science Edition）， 2014（1）：45-50.

陸月明（1969-），男，江蘇蘇州人，北京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榉植际接?jì)算、信息安全。

張志輝（1991-），男，安徽桐城人，北京郵電大學(xué)碩士生，主要研究方向?yàn)榉植际接?jì)算與信息安全。

Research on metrics models for cloud services information security evaluation

LU Yue-ming， ZHANG Zhi-hui
（School of Information and Communication Engineering， Beijing University of Posts and Telecommunications， Beijing 100876， China）

Due to the lack of metric standards and the metric imprecise problems of cloud service information security， the research status of the relevant standards at home and abroad were introduced. As for the demand for information security measurement requirements of the trusted cloud， the advantages and disadvantages of metric models based on the trusted root were analyzed. At last， the future research direction which was to study a scalable combined， real-time， privacy protected， easy to transplant and less cost metrics model was pointed out.

trusted cloud services， information security assessment， metrics model， evaluation criteria

TP393

A

10.11959/j.issn.2096-109x.2016.00075

2016-05-23；

2016-06-28。通信作者：張志輝，solosseason@hotmail.com