基于小云審大云的云平臺(tái)可信評(píng)測(cè)體系結(jié)構(gòu)與技術(shù)研究

劉川意，潘鶴中，2，梁露露，王國(guó)峰，2，方濱興，2，4

（1. 哈爾濱工業(yè)大學(xué)（深圳）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，廣東 深圳 518055；2. 北京郵電大學(xué)計(jì)算機(jī)學(xué)院，北京 100876；3. 中國(guó)信息安全測(cè)評(píng)中心，北京 100085；4. 東莞電子科技大學(xué)電子信息工程研究院，廣東 東莞 523000）

基于小云審大云的云平臺(tái)可信評(píng)測(cè)體系結(jié)構(gòu)與技術(shù)研究

劉川意1，潘鶴中1，2，梁露露3，王國(guó)峰1，2，方濱興1，2，4

（1. 哈爾濱工業(yè)大學(xué)（深圳）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，廣東 深圳 518055；2. 北京郵電大學(xué)計(jì)算機(jī)學(xué)院，北京 100876；3. 中國(guó)信息安全測(cè)評(píng)中心，北京 100085；4. 東莞電子科技大學(xué)電子信息工程研究院，廣東 東莞 523000）

提出一種“小云審大云”的云平臺(tái)可信評(píng)測(cè)架構(gòu)，通過(guò)引入獨(dú)立第三方對(duì)云平臺(tái)的可信性進(jìn)行動(dòng)態(tài)、實(shí)時(shí)的遠(yuǎn)程可信數(shù)據(jù)收集、驗(yàn)證、審計(jì)和評(píng)價(jià)。采用數(shù)據(jù)流可視化、監(jiān)控與脫敏技術(shù)保障租戶數(shù)據(jù)權(quán)益，為租戶提供選擇可信云平臺(tái)的依據(jù)，為云平臺(tái)提供證明自身可信的憑據(jù)。并突破以下關(guān)鍵技術(shù)：1）基于獨(dú)立第三方的數(shù)據(jù)采集、行為接入、API代理；2）持續(xù)、實(shí)時(shí)的遠(yuǎn)程數(shù)據(jù)收集和數(shù)據(jù)分析；3）非強(qiáng)侵入式證據(jù)收集。

云計(jì)算；可信評(píng)測(cè)；權(quán)限管控；數(shù)據(jù)脫敏

本文實(shí)現(xiàn)了一個(gè)真實(shí)攻擊場(chǎng)景（適用于各主流虛擬化平臺(tái)，如OpenStack［3］、QEMU+KVM［4，5］、Xen［6］、vSphere［7］、Hyper-V［8］等）；租戶在云上的Linux虛擬機(jī)，其Root密碼是用戶自己設(shè)定的，以防止別人入侵。但云管理員可直接對(duì)Linux虛擬機(jī)磁盤文件進(jìn)行修改，從而繞過(guò)虛擬機(jī)登錄驗(yàn)證，掌握虛擬機(jī)的Root權(quán)限，如圖1所示，其主要步驟如下。

1） 云管理員登錄云平臺(tái)后，可查看虛擬機(jī)的詳細(xì)信息，其中包括作為虛擬機(jī)唯一標(biāo)識(shí)的云主機(jī)ID。

2） 云管理員登錄運(yùn)行該虛擬機(jī)的物理機(jī)，進(jìn)入虛擬機(jī)實(shí)例的存儲(chǔ)位置，在記錄下虛擬機(jī)ID號(hào)后，云管理員便可找到其對(duì)應(yīng)的云主機(jī)實(shí)例，并將其復(fù)制掛載到另一個(gè)服務(wù)器上。

3） 掛載成功后，云管理員可以找到掛載文件的用戶密碼（shadow）配置文件，進(jìn)一步找到用戶設(shè)置的虛擬機(jī)口令。編輯此文件，刪除對(duì)應(yīng)的登錄用戶名和密碼，繞過(guò)用戶云主機(jī)的登錄驗(yàn)證環(huán)節(jié)。

4） 刪除成功后，當(dāng)云管理員使用該掛載文件重新啟動(dòng)這臺(tái)虛擬機(jī)時(shí)，便不再需要口令就可以直接進(jìn)入該虛擬機(jī)。進(jìn)入后，云管理員便可以查看、修改甚至惡意刪除虛擬機(jī)的任何數(shù)據(jù)。

云平臺(tái)或云管理員是否存在對(duì)租戶數(shù)據(jù)或權(quán)益的侵害行為，稱為云平臺(tái)的可信問(wèn)題。

通過(guò)對(duì)主流云平臺(tái)體系結(jié)構(gòu)、權(quán)限管理、日志和審計(jì)等進(jìn)行系統(tǒng)梳理和分析，總結(jié)出影響云平臺(tái)可信性的安全風(fēng)險(xiǎn)主要有3個(gè)方面（如圖2所示）。

1） 云平臺(tái)體系結(jié)構(gòu)棧中存在安全風(fēng)險(xiǎn)

通常情況下，租戶訪問(wèn)自己的虛擬機(jī) VM（virtual machine）的流程如下。首先通過(guò)網(wǎng)絡(luò)進(jìn)入云平臺(tái)網(wǎng)關(guān)節(jié)點(diǎn)，通過(guò)云平臺(tái)管理系統(tǒng)定位到虛擬機(jī)VM所在的物理服務(wù)器，然后經(jīng)由虛擬機(jī)管理器（VMM，virtual machine monitor）和虛擬交換機(jī)（virtual switch）將請(qǐng)求和數(shù)據(jù)發(fā)送給VM或截獲來(lái)自VM的事件和數(shù)據(jù)，最終VM中的操作系統(tǒng)和業(yè)務(wù)應(yīng)用程序?qū)?duì)租戶的數(shù)據(jù)進(jìn)行處理。在上述整個(gè)流程中，若任意一個(gè)組件存在安全風(fēng)險(xiǎn)，用戶的隱私則存在被侵犯的可能，即存在不可信的因素。云平臺(tái)體系結(jié)構(gòu)棧中的安全風(fēng)險(xiǎn)，除了主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全這3種傳統(tǒng)的安全點(diǎn)以外，存在云平臺(tái)特有的安全風(fēng)險(xiǎn)。例如，由于虛擬化平臺(tái)自身存在安全漏洞導(dǎo)致攻擊者對(duì)客戶主機(jī)的非法侵入（圖2標(biāo)號(hào)1），由于虛擬化平臺(tái)中多租戶共享隔離機(jī)制缺陷導(dǎo)致某租戶以自身虛擬機(jī)為跳板對(duì)其他虛擬主機(jī)的非法侵入（圖2標(biāo)號(hào)2）等。

2） 云平臺(tái)管理權(quán)限劃分存在安全風(fēng)險(xiǎn)

云系統(tǒng)中租戶對(duì)虛擬機(jī)和數(shù)據(jù)的控制權(quán)缺失，并且對(duì)云平臺(tái)提供商的信任有限。云管理員有可能偷窺、泄露，甚至篡改用戶信息。數(shù)據(jù)中心基礎(chǔ)設(shè)施、云平臺(tái)管理系統(tǒng)、VMM等都會(huì)給云管理員以相應(yīng)的管理接口對(duì)云平臺(tái)的物理服務(wù)器和虛擬化組件進(jìn)行管理，通過(guò)這些管理接口，云管理員往往可以偷窺、泄露，甚至篡改用戶信息（圖2標(biāo)號(hào)3）。如云管理員可蓄意非法訪問(wèn)未經(jīng)授權(quán)的數(shù)據(jù)信息，侵犯用戶隱私；云管理員可通過(guò)上傳被植入木馬或后門的虛擬機(jī)鏡像，誘導(dǎo)租戶使用。

圖1 一個(gè)真實(shí)的攻擊場(chǎng)景

圖2 導(dǎo)致云平臺(tái)不可信的主要風(fēng)險(xiǎn)

3） 云平臺(tái)收集的證據(jù)存在不可信的安全風(fēng)險(xiǎn)

在云平臺(tái)運(yùn)營(yíng)的整個(gè)生命周期，很有可能發(fā)生諸如硬件或軟件錯(cuò)誤、云平臺(tái)配置錯(cuò)誤、云管理員操作不當(dāng)引起的人為錯(cuò)誤等，這將給租戶和運(yùn)營(yíng)商帶來(lái)昂貴的代價(jià)。然而，當(dāng)面臨審計(jì)、取證、問(wèn)責(zé)時(shí)，云提供商為了逃避責(zé)任，可能故意刪除、修改日志（圖2標(biāo)號(hào)4），審計(jì)的日志并不是原始記錄信息，從而導(dǎo)致可信證據(jù)缺失。出現(xiàn)故障或發(fā)生安全事件時(shí)，若沒有足夠的可信證據(jù)，則無(wú)法據(jù)此進(jìn)行審計(jì)和問(wèn)責(zé)。由此可見，云平臺(tái)無(wú)法自身證明其收集證據(jù)的可信性，租戶也很難取得證據(jù)證明云服務(wù)提供商證據(jù)的可信。

因此，對(duì)租戶而言，如何評(píng)測(cè)云平臺(tái)的可信性是一個(gè)極為重要和亟待解決的問(wèn)題。

然而，傳統(tǒng)評(píng)測(cè)方法局限于“單次測(cè)評(píng)、單次有效”。無(wú)論是等保標(biāo)準(zhǔn)還是《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》均是符合性測(cè)評(píng)，查看云服務(wù)商是否滿足特定能力要求。測(cè)評(píng)結(jié)果對(duì)云平臺(tái)的當(dāng)前狀態(tài)負(fù)責(zé)，對(duì)云平臺(tái)后續(xù)的、持續(xù)的行為幾乎沒有約束。從本質(zhì)上來(lái)看，傳統(tǒng)測(cè)評(píng)大都假設(shè)云服務(wù)提供商可信，評(píng)測(cè)前提是假設(shè)云服務(wù)提供商收集證據(jù)可信。

針對(duì)上述問(wèn)題和挑戰(zhàn)，本文提出一種“小云審大云”的云平臺(tái)可信評(píng)測(cè)架構(gòu)，解決思路是：在傳統(tǒng)安全評(píng)測(cè)手段基礎(chǔ)上，引入獨(dú)立第三方TTP（trusted third party），并由TTP對(duì)云平臺(tái)的可信性進(jìn)行動(dòng)態(tài)、實(shí)時(shí)地遠(yuǎn)程可信數(shù)據(jù)收集、驗(yàn)證、審計(jì)和評(píng)價(jià)?？尚旁u(píng)測(cè)可根據(jù)租戶的需求，由第三方發(fā)起，為租戶提供選擇可信云平臺(tái)的依據(jù)，為云平臺(tái)提供證明自身可信的憑據(jù)。因此，本文提出面向第三方的云平臺(tái)可信評(píng)測(cè)體系結(jié)構(gòu)與關(guān)鍵技術(shù)，主要針對(duì)云平臺(tái)下特有的可信問(wèn)題，研究從第三方角度如何驗(yàn)證、審計(jì)和評(píng)測(cè)云平臺(tái)的可信性。本文主要突破了以下關(guān)鍵技術(shù)。

1） 引入獨(dú)立第三方作為云平臺(tái)與用戶、管理員的中間層，獨(dú)立采集和審計(jì)云平臺(tái)可信證據(jù)。

2） 通過(guò)持續(xù)的、實(shí)時(shí)的遠(yuǎn)程數(shù)據(jù)收集和數(shù)據(jù)分析，評(píng)測(cè)云平臺(tái)的可信性。

3） 非強(qiáng)侵入式證據(jù)收集，在不影響云平臺(tái)自身性能、不影響云服務(wù)原有功能、無(wú)需修改云平臺(tái)的前提下收集可信證據(jù)，記錄特權(quán)行為。

2 相關(guān)工作

本文從日志收集與分析、云平臺(tái)權(quán)限劃分與驗(yàn)證、數(shù)據(jù)監(jiān)控等方面綜述相關(guān)工作。

2.1 SIEM/SOC

日志收集與分析比較成熟的 SIEM（security incident and event management）/SOC（securityoperations center）系統(tǒng)模型，主要用來(lái)關(guān)聯(lián)并分析來(lái)自不同信息源的安全事件。

在學(xué)術(shù)研究上，Bhatt［9］等指出，SOC是一個(gè)安全運(yùn)營(yíng)中心，用來(lái)監(jiān)控企業(yè)IT資產(chǎn)（包括IT網(wǎng)絡(luò)、外圍防護(hù)系統(tǒng)，如防火墻和入侵檢測(cè)系統(tǒng)、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫(kù)和用戶賬戶等）安全相關(guān)的事件。SOC主要包括 SIEM工具和 SA（security analyst）分析員。SIEM主要通過(guò)傳感設(shè)備和事件日志從不同來(lái)源收集事件，把不同事件記錄模式處理成標(biāo)準(zhǔn)化表示，存儲(chǔ)結(jié)果并利用規(guī)則庫(kù)分析安全相關(guān)的事件。通過(guò)分析事件信息發(fā)現(xiàn)網(wǎng)絡(luò)和企業(yè)周邊可能出現(xiàn)的惡意行為時(shí)觸發(fā)警報(bào)，由SA分析判斷警報(bào)屬于惡意事件還是正常行為。Bhatt等［9］總結(jié)出SOC/SIEM主要存在如下主要缺點(diǎn)及參考思路。1）SOC/SIEM成本較高，主要用來(lái)處理大量不同來(lái)源的事件，不適用于小規(guī)模網(wǎng)絡(luò)。2）由于數(shù)據(jù)量大，包含大量無(wú)用數(shù)據(jù)或噪音數(shù)據(jù)，需要解決存儲(chǔ)、查找、分析、可視化等問(wèn)題。3）由于事件種類繁多，規(guī)則不好確定，若規(guī)則太具體，容易產(chǎn)生漏報(bào)；若規(guī)則太抽象，則容易產(chǎn)生大量誤報(bào)。另外規(guī)則庫(kù)需要及時(shí)學(xué)習(xí)和更新。4）與企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)是隔離的，一些正常的操作，如配置、測(cè)試也有可能產(chǎn)生報(bào)警，帶來(lái)不必要的開銷。且如果事件源被入侵，SIEM則有可能收集到被惡意篡改的事件。Yen等［10］依據(jù)SIEM 技術(shù)提出一種基于日志分析的網(wǎng)絡(luò)異常行為框架 Beehive，主要通過(guò)大范圍收集和分析HTTP代理服務(wù)器日志，從日志中提取特征，然后使用聚類發(fā)現(xiàn)和確定主機(jī)異常行為，但需要大量的人工分析和評(píng)定工作。針對(duì)SIEM系統(tǒng)處理并關(guān)聯(lián)大量低質(zhì)量的事件產(chǎn)生的誤報(bào)問(wèn)題，有人提出利用警報(bào)排序算法識(shí)別SA需要注意的高質(zhì)量的警報(bào)，如利用概率理論或證據(jù)理論［11，12］實(shí)現(xiàn)警報(bào)排序方案。

目前，業(yè)界已有相關(guān)的SIEM產(chǎn)品。根據(jù)2016年Gartner發(fā)布的SIEM市場(chǎng)分析報(bào)告［13］，攻擊檢測(cè)與響應(yīng)及合規(guī)管理是 SIEM 市場(chǎng)發(fā)展的驅(qū)動(dòng)力。IBM QRadar［14］、Splunk［15］和LogRhythem［16］是SIEM供應(yīng)的重要廠商，其中，Splunk能提供SaaS服務(wù)模式，可以部署在公有或私有云中，但其使用成本較高，對(duì)使用者的要求較高。一些開源項(xiàng)目，如ELK［17］、OpenSOC［18］有進(jìn)一步發(fā)展空間，但對(duì)現(xiàn)有市場(chǎng)的影響較小。

2.2 云平臺(tái)權(quán)限劃分和驗(yàn)證

云平臺(tái)體系結(jié)構(gòu)棧中存在安全風(fēng)險(xiǎn)，云平臺(tái)中的惡意管理員或入侵攻擊者都可能對(duì)用戶隱私造成威脅。對(duì)此，相關(guān)研究針對(duì)云平臺(tái)資源或數(shù)據(jù)作權(quán)限劃分，或在特權(quán)層制定數(shù)據(jù)訪問(wèn)驗(yàn)證策略，以提高云平臺(tái)的可信性，使特權(quán)管理員無(wú)法輕易竊取用戶隱私。

自服務(wù)云計(jì)算體系架構(gòu)（SSC）［19］修改了虛擬機(jī)管理的權(quán)限模型，將原有管理域劃分為無(wú)法管理用戶虛擬機(jī)的系統(tǒng)管理域和管理用戶虛擬機(jī)的用戶管理域，以防止惡意的云管理員竊取用戶虛擬機(jī)數(shù)據(jù)，并且為用戶使用虛擬機(jī)提供服務(wù)接口。這種方法依賴云平臺(tái)物理芯片，且需要修改VMM和用戶VM鏡像，通用性受到限制。

CloudVisor［20］在云平臺(tái)最高特權(quán)層，將虛擬機(jī)管理器置于非特權(quán)層，使用硬件輔助技術(shù)實(shí)施VMM與虛擬機(jī)之間的內(nèi)存隔離。CloudVisor仲裁VMM和虛擬機(jī)之間的數(shù)據(jù)交互，使VMM訪問(wèn)不到虛擬機(jī)的隱私數(shù)據(jù)。傳統(tǒng)的虛擬化功能，如資源管理、VM 創(chuàng)建和銷毀、調(diào)度等仍然由VMM 完成。所有從客戶虛擬機(jī)的控制轉(zhuǎn)移首先由CloudVisor處理，由CloudVisor對(duì)相關(guān)數(shù)據(jù)做保護(hù)，然后轉(zhuǎn)移到VMM。同樣CloudVisor也需要借助物理芯片，其改變了云平臺(tái)權(quán)限邏輯，帶來(lái)一定的性能損失。

Overshadow［21］和Inktag［22］研究在虛擬機(jī)不可信的情況下保護(hù)用戶程序的安全性，通過(guò)VMM和用戶程序的協(xié)商保護(hù)用戶程序的隱私。Overshadow利用虛擬化陰影頁(yè)表技術(shù)，提供兩套陰影頁(yè)表，包括系統(tǒng)頁(yè)表和用戶程序頁(yè)表。當(dāng)系統(tǒng)要訪問(wèn)用戶數(shù)據(jù)時(shí)使用系統(tǒng)頁(yè)表，訪問(wèn)到加密的用戶內(nèi)存數(shù)據(jù)；當(dāng)用戶程序訪問(wèn)數(shù)據(jù)時(shí)使用用戶陰影頁(yè)表，訪問(wèn)到明文內(nèi)存視圖，防止用戶數(shù)據(jù)被惡意虛擬機(jī)用戶竊取。Overshadow使用單密鑰加密頁(yè)面，由VMM管理，密鑰一旦暴露則所有數(shù)據(jù)都會(huì)泄露；需要借助物理芯片，控制轉(zhuǎn)移需要頁(yè)表切換和加解密操作，使執(zhí)行性能降低。

Inktag提出半驗(yàn)證機(jī)制，利用不可信的操作系統(tǒng)幫助驗(yàn)證自己的行為。在修改一個(gè)進(jìn)程的頁(yè)表之前，操作系統(tǒng)必須首先執(zhí)行超級(jí)調(diào)用使頁(yè)表更新與高級(jí)應(yīng)用程序的請(qǐng)求相關(guān)聯(lián)，并且不可信的操作系統(tǒng)通知VMM頁(yè)表更新，顯著減少管理程序的復(fù)雜性。Inktag基于半虛擬化技術(shù)，需要借助物理芯片，并且需要修改用戶程序使其與VMM程序配合，通用性大大降低。

2.3 數(shù)據(jù)監(jiān)控

用戶對(duì)于云提供商是否能夠?qū)ζ鋽?shù)據(jù)提供隱私保障，云應(yīng)用程序是否按照預(yù)定的方式安全執(zhí)行是持懷疑態(tài)度的，通過(guò)對(duì)用戶數(shù)據(jù)加密的方式可提高云服務(wù)的可信性，可預(yù)防云管理員竊取數(shù)據(jù)隱私。對(duì)敏感數(shù)據(jù)在用戶端先加密再上傳到云服務(wù)商，用戶掌管解密密鑰，從而只有用戶自己擁有數(shù)據(jù)的訪問(wèn)權(quán)，云服務(wù)商只能得到密文。用戶可控的加密已經(jīng)成為近期隱私保護(hù)研究的熱點(diǎn)。

第1種研究方案在應(yīng)用程序客戶端和用戶之間對(duì)數(shù)據(jù)加密，如 ShadowCrypt［23］作為瀏覽器擴(kuò)展程序運(yùn)行，在應(yīng)用程序訪問(wèn)數(shù)據(jù)之前對(duì)數(shù)據(jù)加密。它使用安全隔離的JS和DOM操縱頁(yè)面的輸入，當(dāng)用戶輸入明文時(shí)使用密文替換明文交給應(yīng)用程序，當(dāng)檢測(cè)到應(yīng)用程序包含的密文數(shù)據(jù)時(shí)解密得到明文返回給用戶，從而應(yīng)用程序不能訪問(wèn)明文，也不能破壞入侵隔離的JS和dom。ShadowCrypt不能加密非文本數(shù)據(jù)，不支持移動(dòng)程序。Mimesis Aegis［24］在移動(dòng)平臺(tái)提出隱私保護(hù)方案，通過(guò)處于應(yīng)用程序和用戶之間的7.5層加解密隱私數(shù)據(jù)，不僅提供很好的數(shù)據(jù)隔離性，而且保留原有的用戶體驗(yàn)。Mimesis Aegis適用于移動(dòng)平臺(tái)，只能保護(hù)文本型數(shù)據(jù)。

第2種研究方案在應(yīng)用程序客戶端和應(yīng)用程序服務(wù)端之間對(duì)數(shù)據(jù)加密，如Mylar［25］是對(duì)Meteor JavaScript框架的擴(kuò)展，通過(guò)在應(yīng)用程序客戶端和應(yīng)用程序服務(wù)端之間對(duì)隱私數(shù)據(jù)加密來(lái)保證隱私性和安全性。Mylar主要針對(duì)開發(fā)者，需要開發(fā)者調(diào)用 API完成數(shù)據(jù)加密，應(yīng)用程序需要在Meteor JavaScript框架上開發(fā)，影響了向后兼容性。Virtru［26］對(duì)電子郵件加密預(yù)防網(wǎng)絡(luò)郵件供應(yīng)商，如Gmail偷窺用戶的數(shù)據(jù)。但Virtru數(shù)據(jù)保護(hù)方案只適用于幾家Webmail廠商，不能擴(kuò)展到其他網(wǎng)絡(luò)應(yīng)用程序和移動(dòng)應(yīng)用程序。

第3種研究方案在應(yīng)用程序服務(wù)端和數(shù)據(jù)庫(kù)之間對(duì)數(shù)據(jù)加密，如CryptDB［27］在服務(wù)端程序和數(shù)據(jù)庫(kù)之間加密隱私數(shù)據(jù)，數(shù)據(jù)以密文形式存儲(chǔ)在數(shù)據(jù)庫(kù)中，這樣數(shù)據(jù)庫(kù)管理員無(wú)法竊取用戶的隱私。CryptDB使用數(shù)據(jù)庫(kù)代理保護(hù)用戶隱私，其位于應(yīng)用程序和數(shù)據(jù)庫(kù)之間，將密文查詢轉(zhuǎn)換為對(duì)密文的操作，同時(shí)對(duì)返回的密文結(jié)果解密返回給用戶。當(dāng)應(yīng)用程序客戶端或服務(wù)端存在惡意程序時(shí)無(wú)法保護(hù)用戶隱私。

3 體系結(jié)構(gòu)

評(píng)價(jià)云平臺(tái)的可信性需綜合考慮5大方面的可信要素，包括人員可信、治理可信、云操作系統(tǒng)可信、基礎(chǔ)設(shè)施可信、法規(guī)遵從可信。人員可信是指云服務(wù)商工作人員的錄用、篩選、離崗和管理需要遵從規(guī)定的流程和規(guī)范；治理可信是指云服務(wù)商需對(duì)云平臺(tái)進(jìn)行符合安全標(biāo)準(zhǔn)的配置、監(jiān)控、維護(hù)和管理；云操作系統(tǒng)可信是指云平臺(tái)上的虛擬機(jī)鏡像和模板應(yīng)受到防護(hù)，網(wǎng)絡(luò)資源需進(jìn)行邏輯隔離，系統(tǒng)權(quán)限需劃分；基礎(chǔ)設(shè)施可信是指云服務(wù)上的機(jī)房地理位置、硬件設(shè)施供應(yīng)鏈和機(jī)房監(jiān)控應(yīng)符合標(biāo)準(zhǔn)；法規(guī)遵從可信包括重要產(chǎn)品和系統(tǒng)的合規(guī)檢測(cè)、合同或協(xié)議中網(wǎng)絡(luò)安全管理要求的體現(xiàn)、可移植性標(biāo)準(zhǔn)的遵守和企業(yè)信譽(yù)的保證。

本文設(shè)計(jì)并實(shí)現(xiàn)的云平臺(tái)可信評(píng)測(cè)體系，綜合分析以上5大可信要素，為租戶提供選擇可信云平臺(tái)的依據(jù)，為云平臺(tái)提供證明自身可信的憑據(jù)，其體系架構(gòu)如圖3所示。

可信第三方（TTP）服務(wù)網(wǎng)關(guān)通過(guò)邏輯串聯(lián)、物理并聯(lián)的方式部署在被評(píng)測(cè)云平臺(tái)的前端，租戶及云管理員的特權(quán)操作需通過(guò)TTP網(wǎng)關(guān)接入云平臺(tái)。TTP網(wǎng)關(guān)按照功能劃分可分為“云平臺(tái)特權(quán)行為分析與審計(jì)”部分以及“數(shù)據(jù)流可視化、監(jiān)控與脫敏”部分。

“云平臺(tái)特權(quán)行為分析與審計(jì)”用于持續(xù)、實(shí)時(shí)地采集云管理員對(duì)云平臺(tái)的管理操作記錄，并基于云管理員操作的分級(jí)機(jī)制對(duì)危險(xiǎn)操作和越權(quán)操作進(jìn)行預(yù)警。該模塊實(shí)現(xiàn)了非強(qiáng)侵入式的證據(jù)收集，即在不修改云平臺(tái)原有功能、不影響云服務(wù)性能、無(wú)需云服務(wù)商配合的前提下，收集云管理員操作記錄?！霸破脚_(tái)特權(quán)行為分析與審計(jì)”部分面臨的主要挑戰(zhàn)在于如何收集云平臺(tái)管理行為和操作，并保證證據(jù)的可信性。

圖3 面向第三方的云平臺(tái)可信評(píng)測(cè)體系結(jié)構(gòu)

“數(shù)據(jù)流可視化、監(jiān)控與脫敏”部分分為 3個(gè)模塊。“數(shù)據(jù)流可視化與監(jiān)控子模塊”截獲并分析用戶使用云服務(wù)時(shí)的上傳數(shù)據(jù)流，找到敏感數(shù)據(jù)位置，同時(shí)為大數(shù)據(jù)分析平臺(tái)提供可信性分析證據(jù)?！懊舾袛?shù)據(jù)脫敏子模塊”加密敏感數(shù)據(jù)，并將脫敏數(shù)據(jù)傳遞給云平臺(tái)。當(dāng)用戶下載云上數(shù)據(jù)時(shí)，“下載數(shù)據(jù)處理審核子模塊”會(huì)解密用戶敏感數(shù)據(jù)，并審核數(shù)據(jù)的完整性?！皵?shù)據(jù)流可視化、監(jiān)控與脫敏”部分的關(guān)鍵問(wèn)題在于如何監(jiān)控?cái)?shù)據(jù)在租戶和云平臺(tái)之間的流動(dòng)。

大數(shù)據(jù)分析平臺(tái)綜合了TTP服務(wù)網(wǎng)關(guān)采集的可信證據(jù)和云平臺(tái)自身提供的可信證據(jù)，對(duì)云平臺(tái)的可信性進(jìn)行全面系統(tǒng)的分析。大數(shù)據(jù)分析平臺(tái)分為4個(gè)子模塊。云平臺(tái)日志分析子模塊：收集并分析云服務(wù)商主動(dòng)提供的虛擬機(jī)日志和網(wǎng)絡(luò)日志，評(píng)估云平臺(tái)的運(yùn)行狀況和可信等級(jí)。行為操作審計(jì)子模塊：對(duì)云管理員特權(quán)行為記錄進(jìn)行分析，及時(shí)發(fā)現(xiàn)云管理員的惡意行為，實(shí)現(xiàn)云平臺(tái)管理行為的監(jiān)控。數(shù)據(jù)分析與可視化子模塊：分析用戶上傳云平臺(tái)的數(shù)據(jù)，識(shí)別其中的敏感數(shù)據(jù)并對(duì)數(shù)據(jù)流進(jìn)行可視化的分析。其他可信證據(jù)分析子模塊：綜合云服務(wù)商提供的人員可信、基礎(chǔ)設(shè)施可信、法規(guī)遵從可信相應(yīng)證據(jù)清單，分析云平臺(tái)的可信性。云平臺(tái)日志分析子模塊、行為操作審計(jì)子模塊、數(shù)據(jù)分析與可視化子模塊的綜合評(píng)測(cè)結(jié)果對(duì)應(yīng)可信要素的云操作系統(tǒng)可信和治理可信。

4 云平臺(tái)特權(quán)行為分析和審計(jì)

云平臺(tái)特權(quán)行為分析與審計(jì)模塊主要針對(duì)兩類數(shù)據(jù)進(jìn)行評(píng)測(cè)：第一是可信第三方主動(dòng)采集的云管理員特權(quán)行為數(shù)據(jù)，應(yīng)用到體系結(jié)構(gòu)中的云管理員特權(quán)行為記錄與管控模塊和行為操作分析與審計(jì)子模塊，4.1節(jié)主要介紹這一部分?jǐn)?shù)據(jù)的記錄與審計(jì)；第二是云平臺(tái)自身的日志數(shù)據(jù)，通常需要調(diào)用云平臺(tái)API或由云服務(wù)商提供，應(yīng)用到體系結(jié)構(gòu)中的云平臺(tái)日志分析子模塊，4.2節(jié)主要介紹這些數(shù)據(jù)的采集與分析。

4.1 云管理員特權(quán)行為記錄與審計(jì)

云管理員特權(quán)行為記錄與審計(jì)功能部署于可信第三方代理內(nèi)，如圖4所示。該模塊記錄云管理員對(duì)于云上物理機(jī)、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備或云本身的操作并進(jìn)行分析和預(yù)警處理。對(duì)于越權(quán)操作和危險(xiǎn)敏感操作，該模塊會(huì)給出相應(yīng)的處理（告警、申請(qǐng)動(dòng)態(tài)符合或禁止命令）。

圖4 云管理員操作采集、記錄與審計(jì)

4.1.1 云管理員特權(quán)行為記錄

云管理員特權(quán)行為記錄具體細(xì)節(jié)和流程如下。

根據(jù)云管理員其具體職能的不同，可信第三方會(huì)預(yù)先為其劃分權(quán)限（即云管理員可執(zhí)行的操作、敏感操作和危險(xiǎn)操作，具體分為正常、告警、禁止、動(dòng)態(tài)復(fù)核4個(gè)等級(jí)），云管理員的權(quán)限劃分和權(quán)限對(duì)應(yīng)的請(qǐng)求關(guān)鍵字（如vSphere云平臺(tái)的API、OpenStack云平臺(tái)的URL關(guān)鍵子串）保存在權(quán)限數(shù)據(jù)庫(kù)中。

云管理員通過(guò)客戶端（vSphere云平臺(tái)）或Web端（OpenStack云平臺(tái)）登錄時(shí)，可信第三方代理服務(wù)器將記錄其會(huì)話信息，包括用戶ID、登錄時(shí)間、操作的云平臺(tái)信息、IP地址等，并將其與token值對(duì)應(yīng)并存儲(chǔ)。

云管理員發(fā)出服務(wù)請(qǐng)求時(shí)，代理服務(wù)器解析請(qǐng)求XML中包含的API信息或URL中的關(guān)鍵子序列，并識(shí)別請(qǐng)求中的token值從而得知云管理員信息。代理服務(wù)器根據(jù)API信息或URL關(guān)鍵子序列查詢權(quán)限數(shù)據(jù)庫(kù)，找到對(duì)應(yīng)的操作危險(xiǎn)等級(jí)并進(jìn)行相應(yīng)處理。代理服務(wù)器將完整的云管理員請(qǐng)求過(guò)程記錄在“云管理員操作日志數(shù)據(jù)庫(kù)”中，從而完成了云管理員特權(quán)行為記錄的采集。

4.1.2 云管理員特權(quán)行為等級(jí)劃分、分析和審計(jì)

云管理員特權(quán)行為等級(jí)劃分：根據(jù)記錄中云管理員操作劃分的4個(gè)等級(jí)，行為操作審計(jì)子模塊進(jìn)行如下處理。

1） “正?！钡燃?jí)，表示該操作是云管理員權(quán)限內(nèi)操作，這類操作直接送交云平臺(tái)執(zhí)行。

2） “告警”等級(jí)，表示這類操作雖為操作云管理員權(quán)限內(nèi)操作，但包含敏感指令和信息。第三方將此類指令送交云平臺(tái)執(zhí)行的同時(shí)，將通知云管理員進(jìn)行敏感操作。

3） “禁止”等級(jí)，表示該類指令屬于危險(xiǎn)指令，第三方會(huì)截?cái)嘣撝噶畈⒕鎴?zhí)行操作的云管理員。

4） “動(dòng)態(tài)復(fù)核”等級(jí)，表示該類指令不屬于該管理員權(quán)限范圍，但仍屬正常操作范疇?？尚诺谌酱韺?huì)通知系統(tǒng)管理員對(duì)該云管理員操作進(jìn)行動(dòng)態(tài)審核，審核通過(guò)后可送交云平臺(tái)執(zhí)行，反之拒絕操作并警告云管理員。

云管理員特權(quán)行為分析與審計(jì)：根據(jù)云管理員特權(quán)行為記錄，分析模塊可以檢查云管理員是否進(jìn)行了危險(xiǎn)操作，包括：1） 在云平臺(tái)上保存或安裝與業(yè)務(wù)無(wú)關(guān)的程序、工具、腳本；2） 對(duì)不屬于本管理員權(quán)限范圍內(nèi)的資源發(fā)起請(qǐng)求；3） 連續(xù)登錄失敗或輸入錯(cuò)誤口令；4） 執(zhí)行了刪除虛擬機(jī)、創(chuàng)建系統(tǒng)賬號(hào)、配置訪問(wèn)授權(quán)、執(zhí)行系統(tǒng)管理功能、審計(jì)系統(tǒng)事件或訪問(wèn)事件日志等敏感特權(quán)命令；5） 對(duì)虛擬機(jī)模板文件或鏡像進(jìn)行了篡改；6） 某些操作造成了大規(guī)模的系統(tǒng)開銷或資源損耗等。分析模塊綜合考慮危險(xiǎn)操作出現(xiàn)的次數(shù)和頻率，同時(shí)解析云管理員上傳文件的內(nèi)容（是否含有惡意代碼和冗余信息），進(jìn)而評(píng)估云平臺(tái)的可信程度，為用戶提供可信依據(jù)。

4.2 云平臺(tái)可信日志采集與分析

4.2.1 可信日志采集

為深度驗(yàn)證云平臺(tái)的可信性，本文從以下幾個(gè)方面收集并整理云平臺(tái)日志信息。

1） 云平臺(tái)操作日志：是指用戶或云管理員操作云平臺(tái)時(shí)產(chǎn)生的系統(tǒng)日志，主要基于虛擬機(jī)或物理機(jī)本身的 syslog，獲取交換機(jī)和防火墻日志信息、apache服務(wù)器信息、Web logic、Windows和Linux系統(tǒng)日志等。

2） 云平臺(tái)配置信息：主要采集OpenStack和vSphere上的主機(jī)、云平臺(tái)、網(wǎng)絡(luò)設(shè)備、虛擬機(jī)實(shí)例、虛擬機(jī)鏡像、存儲(chǔ)設(shè)備等配置信息。配置收集器的具體采集內(nèi)容包括以下幾方面。①管理員權(quán)限配置：掃描云平臺(tái)自身的云管理員權(quán)限配置情況，生成權(quán)限劃分報(bào)告；②云平臺(tái)接口檢測(cè)：通過(guò)掃描云平臺(tái)控制節(jié)點(diǎn)的管理接口，給出被測(cè)云平臺(tái)開放了哪些接口（如訪問(wèn)vSphere云平臺(tái)可通過(guò) SSH、Direct Controll UI、ESXI Shell、vCenter Server等接口）；③防火墻和網(wǎng)絡(luò)配置信息。

3） 云平臺(tái)虛擬機(jī)運(yùn)行環(huán)境信息：獲取租戶虛擬機(jī)的內(nèi)存數(shù)據(jù)，并對(duì)這些數(shù)據(jù)結(jié)合虛擬機(jī)所安裝的操作系統(tǒng)和用戶程序，解析其結(jié)構(gòu)和語(yǔ)義，從而達(dá)到重構(gòu)出運(yùn)行環(huán)境狀態(tài)和系統(tǒng)數(shù)據(jù)，如虛擬機(jī)的CPU利用率、內(nèi)存利用率、進(jìn)程數(shù)、硬盤讀寫、I/O頻率等方面的可信證據(jù)。

4） 云平臺(tái)網(wǎng)絡(luò)信息：主要包括兩部分網(wǎng)絡(luò)信息：①基于SNMP，感知云主機(jī)的運(yùn)行狀態(tài)及云主機(jī)端口流量信息；②基于sFlow［28］和OVS（open vSwitch）技術(shù)［29］，獲取網(wǎng)絡(luò)的端口流量信息，包括端口發(fā)送量、端口接收量、分組丟失數(shù)、錯(cuò)分組數(shù)等。

由于云平臺(tái)日志信息的采集部分依賴于云服務(wù)商自己提供數(shù)據(jù)或接口，因此驗(yàn)證評(píng)測(cè)證據(jù)的可信性和完整性尤為重要。本文將云平臺(tái)日志數(shù)據(jù)與可信第三方的“小云”數(shù)據(jù)進(jìn)行對(duì)比，甄別云平臺(tái)數(shù)據(jù)中人為篡改的痕跡，從而實(shí)現(xiàn)云平臺(tái)日志的可信性檢查。

4.2.2 可信日志分析

1） 云平臺(tái)操作審計(jì)。針對(duì)云平臺(tái)操作日志，審查內(nèi)容包括：①進(jìn)程審計(jì)，主要檢測(cè)用戶態(tài)下是否運(yùn)行了可疑或惡意程序；②模塊掃描，查看虛擬機(jī)運(yùn)行環(huán)境加載的內(nèi)核態(tài)驅(qū)動(dòng)程序和動(dòng)態(tài)鏈接庫(kù)；③文件審計(jì)，查看用戶環(huán)境在運(yùn)行時(shí)打開了哪些文件。綜合以上三者，分析用戶使用云平臺(tái)時(shí)，云平臺(tái)是否按照用戶意愿運(yùn)行，是否植入了不良文件和操作程序。

2） 云平臺(tái)配置審核。主要分析云平臺(tái)配置信息和網(wǎng)絡(luò)信息，根據(jù)系統(tǒng)設(shè)定的安全基線，進(jìn)行安全檢查，分析云平臺(tái)的安全狀況。①云平臺(tái)身份驗(yàn)證與用戶管理：包括系統(tǒng)與用戶密碼策略審查，對(duì)云平臺(tái)進(jìn)行嚴(yán)謹(jǐn)?shù)臋?quán)限劃分，如資源管理權(quán)限和用戶創(chuàng)建權(quán)限等。②云平臺(tái)安全配置審查：評(píng)估防火墻配置確保網(wǎng)絡(luò)安全，評(píng)估網(wǎng)絡(luò)隔離技術(shù)（如vlan、vxlan）確保虛擬機(jī)網(wǎng)絡(luò)隔離安全，檢測(cè)云平臺(tái)非必需端口提高云平臺(tái)安全可信。③加密與安全證書：核心組件通信是否啟動(dòng)證書檢查。④云平臺(tái)上虛擬機(jī)安全配置：限制虛擬機(jī)操作系統(tǒng)復(fù)制到剪貼板的敏感數(shù)據(jù)，移除虛擬機(jī)上不必要的硬件設(shè)備。⑤檢測(cè)云平臺(tái)配置文件完整性。

3） 虛擬機(jī)監(jiān)控管理分析。針對(duì)虛擬機(jī)運(yùn)行環(huán)境信息對(duì)虛擬機(jī)的狀態(tài)進(jìn)行綜合性的分析與審計(jì)。首先，對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的狀態(tài)數(shù)據(jù)進(jìn)行去重歸處理，然后進(jìn)行分析審計(jì)：①對(duì)虛擬機(jī)物理資源如CPU、內(nèi)存、硬盤空間、I/O頻率的使用情況以時(shí)間為軸進(jìn)行可視化，對(duì)資源使用超過(guò)用戶指定安全閾值的進(jìn)行標(biāo)記；②分析虛擬機(jī)的內(nèi)核崩潰信息，如內(nèi)核崩潰的時(shí)間、導(dǎo)致崩潰的進(jìn)程和原因等。綜合分析，將以上的兩點(diǎn)結(jié)合云平臺(tái)操作日志，形成狀態(tài)異常七元組（進(jìn)程號(hào)、進(jìn)程啟動(dòng)時(shí)間、進(jìn)程退出時(shí)間、指令（服務(wù)）、讀寫目錄、物理資源使用情況、內(nèi)核崩潰信息），并根據(jù)異常狀態(tài)產(chǎn)生原因?qū)ζ溥M(jìn)行分類，可分為操作系統(tǒng)級(jí)別異常、服務(wù)級(jí)別異常和應(yīng)用級(jí)別異常。

5 數(shù)據(jù)流可視化、監(jiān)控與脫敏

數(shù)據(jù)流可視化、監(jiān)控與脫敏通過(guò)分析、獲取和加密用戶的敏感數(shù)據(jù)，使其在組織內(nèi)部和任何公有云、私有云之間進(jìn)行自由穿梭，滿足在使用云應(yīng)用服務(wù)的過(guò)程中保障敏感數(shù)據(jù)的安全性和私密性，從而增強(qiáng)了云平臺(tái)的可信性。以下主要從云應(yīng)用服務(wù)數(shù)據(jù)流可視化、數(shù)據(jù)監(jiān)控與數(shù)據(jù)脫敏3個(gè)方面進(jìn)行闡述。

5.1 數(shù)據(jù)流可視化

數(shù)據(jù)流可視化的內(nèi)容包括用戶、數(shù)據(jù)、訪問(wèn)設(shè)備、來(lái)源等。數(shù)據(jù)流可視化首先要能截獲用戶和云服務(wù)之間的應(yīng)用層數(shù)據(jù)流，如用戶通過(guò)瀏覽器訪問(wèn)云應(yīng)用服務(wù)時(shí)，要能截獲并分析http、https等主流云應(yīng)用協(xié)議，對(duì)不同的應(yīng)用（主流的郵箱、網(wǎng)盤和在線SaaS等）進(jìn)行適配，獲取滿足不同需求的應(yīng)用層數(shù)據(jù)。

本文通過(guò)使用安全訪問(wèn)代理的方式保護(hù)用戶的云應(yīng)用層數(shù)據(jù)。用戶訪問(wèn)云應(yīng)用服務(wù)時(shí)需要經(jīng)過(guò)安全訪問(wèn)代理，訪問(wèn)代理截獲并過(guò)濾應(yīng)用層數(shù)據(jù)流，識(shí)別應(yīng)用層協(xié)議并對(duì)敏感數(shù)據(jù)進(jìn)行加密，之后再將用戶的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給云應(yīng)用服務(wù)；云應(yīng)用服務(wù)回復(fù)內(nèi)容也首先交給訪問(wèn)代理，由訪問(wèn)代理識(shí)別密文并解密，經(jīng)過(guò)檢驗(yàn)與審計(jì)將結(jié)果返回給用戶，從而提供數(shù)據(jù)流可視化與監(jiān)控，保護(hù)用戶敏感數(shù)據(jù)，有效防止數(shù)據(jù)泄露。

5.2 數(shù)據(jù)監(jiān)控

數(shù)據(jù)監(jiān)控自動(dòng)識(shí)別和解析不同云應(yīng)用服務(wù)的協(xié)議，通過(guò)語(yǔ)義分析和特征庫(kù)提取得到敏感數(shù)據(jù)內(nèi)容。協(xié)議識(shí)別和語(yǔ)義分析依據(jù)協(xié)議請(qǐng)求的URL等特征調(diào)用具體的協(xié)議處理邏輯做敏感數(shù)據(jù)的提取，具體的協(xié)議處理邏輯對(duì)內(nèi)容格式（如key-value、JSON、XML、multi-part等）進(jìn)行分析，找到用戶的關(guān)鍵數(shù)據(jù)內(nèi)容。

通過(guò)解析各種格式的數(shù)據(jù)流得到敏感數(shù)據(jù)的屬性和內(nèi)容，如郵件的主題和正文。每種協(xié)議有固定的數(shù)據(jù)格式，通過(guò)分析各種協(xié)議格式找到共同的處理函數(shù)抽象成工具庫(kù)，則具體的協(xié)議處理會(huì)調(diào)用相關(guān)工具庫(kù)，分析和提取敏感數(shù)據(jù)。如果適配新的應(yīng)用程序，只需要識(shí)別協(xié)議格式所屬的類別，并添加部分代碼調(diào)用相關(guān)工具庫(kù)即可識(shí)別并監(jiān)控新應(yīng)用程序的敏感數(shù)據(jù)。為了適配某一應(yīng)用程序協(xié)議的變化，對(duì)每一類應(yīng)用程序要維持一個(gè)特征庫(kù)，分析協(xié)議時(shí)根據(jù)特征庫(kù)獲得協(xié)議的敏感數(shù)據(jù)。這樣當(dāng)協(xié)議發(fā)生改變時(shí)，協(xié)議檢測(cè)邏輯可檢測(cè)到協(xié)議特征變化，更新特征庫(kù)，從而不需要改變具體協(xié)議處理邏輯自動(dòng)適應(yīng)協(xié)議的變化。

數(shù)據(jù)監(jiān)控利用訪問(wèn)代理可識(shí)別和分析不同協(xié)議的多種數(shù)據(jù)格式，如文本、文件、圖片、音視頻、應(yīng)用自定義的格式數(shù)據(jù)等，從而實(shí)時(shí)監(jiān)控敏感數(shù)據(jù)流動(dòng)情況，防止數(shù)據(jù)泄露。

5.3 數(shù)據(jù)脫敏

本文實(shí)現(xiàn)數(shù)據(jù)脫敏的手段是對(duì)敏感數(shù)據(jù)加密保護(hù)用戶數(shù)據(jù)隱私。當(dāng)數(shù)據(jù)監(jiān)控獲取到云應(yīng)用協(xié)議的用戶敏感數(shù)據(jù)后，需要調(diào)用加密模塊對(duì)敏感數(shù)據(jù)加密。數(shù)據(jù)脫敏使用標(biāo)準(zhǔn)加密算法，且需要在密文前添加元數(shù)據(jù)記下密文和密鑰之間的對(duì)應(yīng)關(guān)系及密文的特征標(biāo)志。根據(jù)需要加密數(shù)據(jù)的長(zhǎng)度從原協(xié)議數(shù)據(jù)流中取出敏感數(shù)據(jù)并加密，然后將密文置于原協(xié)議數(shù)據(jù)流相應(yīng)位置，從而不改變?cè)袇f(xié)議，對(duì)云應(yīng)用服務(wù)和用戶透明。加密采用分塊加密，屬于一個(gè)請(qǐng)求體的各數(shù)據(jù)塊擁有共同的元數(shù)據(jù)，包括密鑰標(biāo)志、特征數(shù)據(jù)等。同樣解密模塊首先匹配特征找到密文對(duì)應(yīng)位置，分析密文元數(shù)據(jù)，依據(jù)密鑰標(biāo)志找到對(duì)應(yīng)的密鑰，然后解密各塊恢復(fù)明文。以一個(gè)典型的應(yīng)用郵箱的附件加密為例，附件加密采用分塊加密并傳輸，每次對(duì)固定長(zhǎng)度的數(shù)據(jù)塊進(jìn)行加密，直到加密完所有文件數(shù)據(jù)，最后在密文末尾添加結(jié)束標(biāo)志。解密也是逐塊解密，直到遇到結(jié)束標(biāo)志。加密或解密模塊為通用模塊，分析任何協(xié)議得到要加密的敏感數(shù)據(jù)后都可調(diào)用加密功能加密，同樣匹配到密文后需調(diào)用解密功能解密。數(shù)據(jù)脫敏在保護(hù)用戶隱私數(shù)據(jù)的同時(shí)，在不改變?cè)品?wù)接口和用戶使用習(xí)慣的情況下還要保持現(xiàn)有云應(yīng)用服務(wù)的功能，如密文搜索功能，即用戶能夠?qū)用芎蟮拿舾袛?shù)據(jù)進(jìn)行全功能搜索。實(shí)現(xiàn)思路為當(dāng)敏感數(shù)據(jù)加密后上傳到云應(yīng)用服務(wù)后云服務(wù)會(huì)返回密文標(biāo)識(shí)，訪問(wèn)代理得到密文標(biāo)識(shí)后為敏感數(shù)據(jù)建立索引，這樣用戶搜索時(shí)，訪問(wèn)代理提取到搜索的關(guān)鍵字并轉(zhuǎn)發(fā)給索引進(jìn)行搜索，得到相應(yīng)的密文標(biāo)識(shí)經(jīng)訪問(wèn)代理返回給用戶，用戶使用密文標(biāo)識(shí)通過(guò)代理訪問(wèn)云服務(wù)，云應(yīng)用服務(wù)返回相關(guān)密文經(jīng)由訪問(wèn)代理解密并檢驗(yàn)，然后將明文結(jié)果返回給用戶，完成搜索功能。

如圖5所示，加密過(guò)程為：用戶訪問(wèn)云應(yīng)用服務(wù)的請(qǐng)求首先到達(dá)訪問(wèn)代理，經(jīng)過(guò)過(guò)濾進(jìn)行協(xié)議分析，提取特征調(diào)用具體的協(xié)議處理邏輯解析得到要加密的敏感數(shù)據(jù)，調(diào)用加密模塊加密，加密模塊首先產(chǎn)生加密密鑰，將密鑰和密鑰標(biāo)志存入數(shù)據(jù)庫(kù)，將密鑰標(biāo)志、特征字段作為元數(shù)據(jù)內(nèi)容附在密文頭，然后對(duì)數(shù)據(jù)加密，加密完成的密文及元數(shù)據(jù)放到原協(xié)議相應(yīng)位置。解密過(guò)程為：用戶請(qǐng)求數(shù)據(jù)，云應(yīng)用服務(wù)收到請(qǐng)求并回復(fù)，回復(fù)內(nèi)容首先到達(dá)訪問(wèn)代理，經(jīng)過(guò)過(guò)濾進(jìn)行協(xié)議分析，提取特征調(diào)用具體的協(xié)議處理邏輯通過(guò)掃描匹配特征字段定位到要解密的密文，根據(jù)元數(shù)據(jù)密鑰標(biāo)志查詢數(shù)據(jù)庫(kù)獲得相應(yīng)的密鑰，解密數(shù)據(jù)得到明文放置到相應(yīng)位置。搜索過(guò)程為：用戶訪問(wèn)云應(yīng)用服務(wù)的搜索請(qǐng)求到達(dá)訪問(wèn)代理，經(jīng)過(guò)過(guò)濾進(jìn)行協(xié)議分析，提取特征調(diào)用具體的協(xié)議處理邏輯得到要搜索的關(guān)鍵字，用隨機(jī)串替換關(guān)鍵字發(fā)給服務(wù)器，服務(wù)器會(huì)返回空的結(jié)果列表；同時(shí)訪問(wèn)代理使用關(guān)鍵字向索引發(fā)起搜索請(qǐng)求，索引返回搜索結(jié)果為相關(guān)數(shù)據(jù)對(duì)應(yīng)的密文標(biāo)識(shí)，訪問(wèn)代理再用搜索結(jié)果替換服務(wù)器返回的結(jié)果列表，完成搜索過(guò)程。

6 結(jié)束語(yǔ)

租戶將數(shù)據(jù)與業(yè)務(wù)系統(tǒng)遷移到云上，客觀上平臺(tái)管理員具有偷窺和泄露租戶隱私的能力。為此本文提出面向第三方的云平臺(tái)可信評(píng)測(cè)體系結(jié)構(gòu)與關(guān)鍵技術(shù)，即“小云審大云”的云平臺(tái)可信評(píng)測(cè)架構(gòu)，主要針對(duì)云平臺(tái)特有的可信問(wèn)題，研究從第三方角度如何驗(yàn)證、審計(jì)和評(píng)測(cè)云平臺(tái)的可信性。在傳統(tǒng)安全評(píng)測(cè)手段基礎(chǔ)上引入獨(dú)立第三方TTP，通過(guò)TTP對(duì)云平臺(tái)的可信性進(jìn)行動(dòng)態(tài)、實(shí)時(shí)的遠(yuǎn)程可信數(shù)據(jù)收集、驗(yàn)證、審計(jì)和評(píng)價(jià)，并采用數(shù)據(jù)流可視化、監(jiān)控與脫敏技術(shù)保障租戶的數(shù)據(jù)權(quán)益?？尚旁u(píng)測(cè)可根據(jù)租戶的需求，由第三方發(fā)起，為租戶提供選擇可信云平臺(tái)的依據(jù)，為云平臺(tái)提供證明自身可信的憑據(jù)。

在深入研究與系統(tǒng)評(píng)測(cè)的過(guò)程中，本文首先分析了云計(jì)算平臺(tái)面臨的安全風(fēng)險(xiǎn)，進(jìn)而通過(guò)限制云平臺(tái)訪問(wèn)入口嚴(yán)格管控、記錄與審計(jì)云管理員特權(quán)行為和用戶操作，對(duì)云服務(wù)應(yīng)用層數(shù)據(jù)可視化、監(jiān)控與脫敏保護(hù)用戶的安全隱私，并收集與分析云平臺(tái)可信日志監(jiān)控云平臺(tái)配置與狀態(tài)，由日志分析模塊綜合分析多種數(shù)據(jù)對(duì)可疑事件產(chǎn)生告警。實(shí)施過(guò)程中主要遇到并突破了以下關(guān)鍵技術(shù)。

圖5 數(shù)據(jù)流可視化、監(jiān)控與脫敏

1） 引入獨(dú)立第三方作為云平臺(tái)與用戶、管理員的中間層，獨(dú)立采集和審計(jì)云平臺(tái)可信證據(jù)。

2） 通過(guò)持續(xù)的、實(shí)時(shí)的遠(yuǎn)程數(shù)據(jù)收集和數(shù)據(jù)分析，評(píng)測(cè)云平臺(tái)的可信性。

3） 非強(qiáng)侵入式證據(jù)收集，在不影響云平臺(tái)自身性能、不影響云服務(wù)原有功能、無(wú)需修改云平臺(tái)的前提下收集可信證據(jù)，記錄特權(quán)行為。

基于上述體系結(jié)構(gòu)的重要研究點(diǎn)和未來(lái)研究方向包括以下3個(gè)方面。

1） 進(jìn)一步融合多種數(shù)據(jù)，實(shí)現(xiàn)多源數(shù)據(jù)的綜合分析。在大數(shù)據(jù)分析平臺(tái)中，不同分析子模塊對(duì)不同來(lái)源和種類的數(shù)據(jù)進(jìn)行了獨(dú)立的分析，綜合這些分析結(jié)果為用戶提供選擇云平臺(tái)的可信性依據(jù)。進(jìn)一步的工作可以從可信證據(jù)之間的聯(lián)系入手，在某些分析子模塊中綜合考慮其他子模塊收集的可信證據(jù)，以提高可信性分析的全面性。

2） 云平臺(tái)日志真實(shí)性檢驗(yàn)。針對(duì)云服務(wù)商自主采集的數(shù)據(jù)和通過(guò)云平臺(tái)接口采集的數(shù)據(jù)，可以對(duì)比模擬情況下云平臺(tái)的運(yùn)行環(huán)境、結(jié)合機(jī)器學(xué)習(xí)算法驗(yàn)證數(shù)據(jù)的真實(shí)性和完整性。

3） 基于目前的數(shù)據(jù)流可視化、監(jiān)控與脫敏模塊，實(shí)現(xiàn)多種云服務(wù)應(yīng)用的適配。為實(shí)現(xiàn)數(shù)據(jù)流可視化、監(jiān)控與脫敏，TTP服務(wù)網(wǎng)關(guān)需截獲并自動(dòng)分析http、https等主流云應(yīng)用協(xié)議，對(duì)不同的應(yīng)用進(jìn)行自動(dòng)適配，獲取滿足不同需求的應(yīng)用層數(shù)據(jù)。

［1］ BOUCHé J， KAPPES M. Attacking the cloud from an insider perspective［C］//Internet Technologies and Applications （ITA）. 2015: 175-180.

［2］ ROCHA F， CORREIA M. Lucy in the sky without diamonds: Stealing confidential data in the cloud［C］//2011 IEEE/IFIP 41st International Conference on Dependable Systems and Networks Workshops （DSN-W）. 2011: 129-134.

［3］ ［EB/OL］.http://docs.openstack.org.

［4］ ［EB/OL］.http://www.qemu.org.

［5］ ［EB/OL］.http://www.linux-kvm.org/page/Main_Page.

［6］ ［EB/OL］.https://www.xenproject.org.

［7］ ［EB/OL］.http://www.vmware.com/cn/products/vsphere.html.

［8］ ［EB/OL］.http://hvreport.codeplex.com.

［9］ BHATT S， MANADHATA P K， ZOMLOT L. The operational role of security information and event management systems［J］. IEEE Security & Privacy， 2014， 12（5）: 35-41.

［10］ YEN T F， OPREA A， ONARLIOGLU K， et al. Beehive: large-scale log analysis for detecting suspicious activity in enterprise networks［C］ //The 29th Annual Computer Security Applications Conference. 2013: 199-208.

［11］ ZOMLOT L， SUNDARAMURTHY S C， LUO K， et al. Prioritizing intrusion analysis using dempster-shafer theory［C］//The 4th ACM Workshop on Security and Artificial Intelligence. 2011: 59-70.

［12］ ZHAI Y， NING P， IYER P， et al. Reasoning about complementary intrusion evidence［C］//The 20th Computer Security Applications. 2004: 39-48.

［13］ ［EB/OL］.https://www.gartner.com/doc/3406817？ref=SiteSearch&sthkw =Splunk&fnl=search&srcId=1-3478922254.

［14］ ［EB/OL］.http://www-01.ibm.com/software/.

［15］ ［EB/OL］.http://www.splunk.com/.

［16］ ［EB/OL］.https://logrhythm.com/.

［17］ ［EB/OL］.https://www.elastic.co/products.

［18］ ［EB/OL］.http://opensoc.github.io/.

［19］ BUTT S， LAGAR-CAVILLA H A， SRIVASTAVA A， et al. Self-service cloud computing［C］//The 2012 ACM Conference on Computer and Communications Security. 2012: 253-264.

［20］ ZHANG F， CHEN J， CHEN H， et al. CloudVisor: retrofitting protection of virtual machines in multi-tenant cloud with nested virtualization［C］//The 23rd ACM Symposium on Operating Systems Principles. 2011: 203-216.

［21］ CHEN X， GARFINKEL T， LEWIS E C， et al. Overshadow: a virtualization-based approach to retrofitting protection in commodity operating systems［C］//ACM Sigarch Computer Architecture News. 2008， 36（1）: 2-13.

［22］ HOFMANN O S， KIM S， DUNN A M， et al. Inktag: secure applications on an untrusted operating system［C］//ACM Sigarch Computer Architecture News. 2013， 41（1）: 265-278.

［23］ HE W， AKHAWE D， JAIN S， et al. Shadowcrypt: encrypted web applications for everyone［C］//The 2014 ACM Sigsac Conference on Computer and Communications Security. 2014: 1028-1039.

［24］ LAU B， CHUNG S， SONG C， et al. Mimesis aegis: a mimicry privacy shield——a system's approach to data privacy on public cloud［C］//The 23rd USENIX Security Symposium （USENIX Security 14）. 2014: 33-48.

［25］ POPA R A， STARK E， VALDEZ S， et al. Building Web applications on top of encrypted data using Mylar［C］//The 11th USENIX Symposium on Networked Systems Design and Implementation（NSDI 14）. 2014: 157-172.

［26］ ［EB/OL］http://www.virtru.com.

［27］ POPA R A， REDFIELD C， ZELDOVICH N， et al. CryptDB: protecting confidentiality with encrypted query processing［C］//The 12rd ACM Symposium on Operating Systems Principles. 2011: 85-100.

［28］ ［EB/OL］.http://www.sflow.org.

［29］ ［EB/OL］.http://openvswitch.org.

劉川意（1982-），男，四川樂山人，博士，哈爾濱工業(yè)大學(xué)（深圳）副教授，主要研究方向?yàn)樵朴?jì)算與云安全、大規(guī)模存儲(chǔ)系統(tǒng)、數(shù)據(jù)保護(hù)與數(shù)據(jù)安全。

潘鶴中（1991-），男，遼本本溪人，北京郵電大學(xué)博士生，主要研究方向?yàn)樵瓢踩?、信息安全?/p>

梁露露（1985-），男，湖北襄陽(yáng)人，博士，中國(guó)信息安全測(cè)評(píng)中心副研究員，主要研究方向?yàn)樵朴?jì)算與大數(shù)據(jù)安全、無(wú)線網(wǎng)絡(luò)安全。

王國(guó)峰（1988-），男，山東濟(jì)寧人，北京郵電大學(xué)博士生，主要研究方向?yàn)樵瓢踩?、信息安全、云安全技術(shù)、數(shù)據(jù)加密技術(shù)。

方濱興（1960-），男，江西萬(wàn)年人，中國(guó)工程院院士，北京郵電大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榇髷?shù)據(jù)、計(jì)算機(jī)網(wǎng)絡(luò)和信息安全。

Cloud Trustworthiness Evaluation as a cloud service: architecture， key technologies and implementations

LIU Chuan-yi1， PAN He-zhong1，2， LIANG Lu-lu3， WANG Guo-feng1，2， FANG Bin-xing1，2，4

（1. School of Computer Science and Technology， Harbin Institute of Technology （Shenzhen）， Shenzhen 518055， China；2. School of Computer Science， Beijing University of Posts and Telecommunications， Beijing 100876， China；3. China Information Technology Security Evaluation Center， Beijing 100085， China；4. Dongguan University of Electronic Science and Technology Electronic and Information Engineering Institute， Dongguan 523000， China）

A "big clouds audited by a small cloud" scheme was proposed， by introducing an independent trusted third party （TTP） dealing with run-time data collection， verification， audit and evaluation remotely， in a continuous and data-driven model， compared with traditionally certification based audit. The TTP mainly adopts data flow visualization，data monitoring and encryption to protect the rights of users. It provides the basis for users to choose a trusted cloud platform and for cloud platform to prove own trusted credentials. In-depth study， the following key technologies were broken through: 1） the introduction of an independent trusted third party as an intermediate layer between cloud platform and users as well as administrators； 2） continuous， real-time remote data collection and data analysis； 3） strong non-intrusive evidence gathering.

cloud computing， trusted reviews， permissions control， data encryption

1 引言

在云計(jì)算模式下，租戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計(jì)算平臺(tái)上，失去了對(duì)這些數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的直接控制能力。另一方面，從體系結(jié)構(gòu)層次來(lái)看，租戶處于上層，并不能有效獲知和監(jiān)控云提供商的底層基礎(chǔ)設(shè)施和云操作系統(tǒng)。事實(shí)上，云管理員客觀上具備竊取用戶隱私數(shù)據(jù)的特權(quán)［1，2］。

s: The National High Technology Research Program of China （863 Program） （No.2015AA016001）， Production-Study-Research Cooperation Project in Guangdong Province （No.2016B090921001）， Innovation Project in Shandong Province （No.2014ZZCX03411）

TP311

A

10.11959/j.issn.2096-109x.2016.00102

2016-05-19；

2016-07-08。通信作者：劉川意，cy-liu04@mails.tsinghua.edu.cn

國(guó)家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016001）；廣東省產(chǎn)學(xué)研合作基金資助項(xiàng)目（No.2016B090921001）；山東省自主創(chuàng)新及成果轉(zhuǎn)化專項(xiàng)基金資助項(xiàng)目（No.2014ZZCX03411）