2022年网络空间安全体系与关键技术_罗军舟 .pdf

《2022年网络空间安全体系与关键技术_罗军舟 .pdf》由会员分享，可在线阅读，更多相关《2022年网络空间安全体系与关键技术_罗军舟 .pdf（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息科学与技术若干前沿问题评述专刊中国科学:信息科学2016 年第 46卷第 8 期:939968SCIENTIASINICAInformationis引用格式:罗军舟,杨明,凌振,等.网络空间安全体系与关键技术.中国科学:信息科学,2016,46:939968,doi:10.1360/N112016-00090c?2016中国科学杂志社网络空间安全体系与关键技术罗军舟*,杨明,凌振,吴文甲,顾晓丹东南大学计算机科学与工程学院,南京 211189*通信作者.E-mail:收稿日期:20160409;接受日期:20160617国家自然科学基金(批准号:61320106007,61272054,6

2、1572130,61502100,61402104,61532013)资助项目摘要网络空间是一种包含互联网、通信网、物联网、工控网等信息基础设施,并由人机物相互作用而形成的动态虚拟空间.网络空间安全既涵盖包括人、机、物等实体在内的基础设施安全,也涉及到其中产生、处理、传输、存储的各种信息数据的安全.随着云计算、大数据、物联网、量子计算等新兴技术的迅猛发展,网络空间安全面临着一系列新的威胁和挑战.为此,本文首先提出了“四横一纵”的网络空间安全研究体系,涵盖物理层、系统层、网络层和数据层4个层面,以及贯穿于上述4个层面的安全基础理论研究.在此基础上,着重阐述了需要重点布局和优先发展的若干基础理论和

3、关键技术,主要包括以下6个研究领域:基于设备指纹、信道特征的硬件身份认证与安全通信,云计算环境下的虚拟化安全分析和防御技术,移动智能终端用户认证技术,网络环境下的电力工业控制系统安全技术,匿名通信和流量分析技术,新密码体制基础理论与数据安全机制.论文最后总结了网络空间安全研究领域未来的发展趋势.关键词网络空间安全设备指纹虚拟化安全持续认证工控系统安全匿名通信密码体制1引言经过半个多世纪的发展,以互联网为代表的计算机网络已经成为真正全球意义的信息共享与交互平台,深刻地改变了人类社会政治、经济、军事、日常工作和生活的各个方面.随着信息技术的持续变革推进,计算机网络已不再局限于传统的机与机的互联,而

4、是不断趋向于物与物的互联、人与人的互联,成为融合互联网、社会网络、移动互联网、物联网、工控网等在内的泛在网络.鉴于传统的“网络”概念无法涵盖其泛在性及战略意义,美国在2001年发布的保护信息系统的国家计划 中首次提出了“网络空间”(cyberspace)的表述,并在后续签署的国家安全54号总统令和国土安全23号总统令中对其进行了定义:“网络空间是连接各种信息技术基础设施的网络,包括互联网、各种电信网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器”.在国内,沈昌祥院士指出网络空间已经成为继陆、海、空、天之后的第5大主权领域空间,也是国际战略在军事领域的演进1).方滨兴院士1则提出:“

5、网络空间是所有由可对外交换信息的电磁设备作为载体,通过与人1)http:/ 1 页，共 30 页 -罗军舟等:网络空间安全体系与关键技术互动而形成的虚拟空间,包括互联网、通信网、广电网、物联网、社交网络、计算系统、通信系统、控制系统等”.虽然定义有所区别,但是研究人员普遍认可网络空间是一种包含互联网、通信网、物联网、工控网等信息基础设施,并由人机物相互作用而形成的动态虚拟空间.由于网络虚拟空间与物理世界呈现出不断融合、相互渗透的趋势,网络空间的安全性不仅关系到人们的日常工作生活,更对国家安全和国家发展具有重要的战略意义.2012年12月,欧洲网络与信息安全局发布 国家网络空间安全战略:制定和实

6、施的实践指南2),指出“网络空间安全尚没有统一的定义,与信息安全的概念存在重叠,后者主要关注保护特定系统或组织内的信息的安全,而网络空间安全则侧重于保护基础设施及关键信息基础设施(criticalinformationinfrastructure)所构成的网络”.而美国国家标准技术研究所在2014年发布的 增强关键基础设施网络空间安全框架3)对网络空间安全进行了定义,即“通过预防、检测和响应攻击,保护信息的过程”.综合上述定义,本文认为网络空间安全既涵盖包括人、机、物等实体在内的基础设施安全,也涉及到其中产生、处理、传输、存储的各种信息数据的安全.虽然网络空间安全已经得到普遍重视,但近年来一些

7、新的焦点问题相继显露,例如:“伪基站”导致的诈骗事件频频发生,暴露了通信领域对物理接入安全的忽视;云计算、大数据相关的新概念、新应用的不断出现,使个人数据隐私泄露问题日益凸显;计算和存储能力日益强大的移动智能终端承载了人们大量工作、生活相关的应用和数据,急需切实可用的安全防护机制;而互联网上匿名通信技术的滥用更是对网络监管、网络犯罪取证提出了严峻的挑战.在国家层面,危害网络空间安全的国际重大事件也是屡屡发生:2010年,伊朗核电站的工业控制计算机系统受到震网病毒(Stunxnet)攻击,导致核电站推迟发电;2013年,美国棱镜计划被曝光,表明自2007年起美国国家安全局(NSA)即开始实施绝密

8、的电子监听计划,通过直接进入美国网际网络公司的中心服务器挖掘数据、收集情报,涉及到海量的个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据.上述种种安全事件的发生,凸显了网络空间仍然面临着从物理安全、系统安全、网络安全到数据安全等各个层面的挑战,迫切需要进行全面而系统化的安全基础理论和技术研究.尤其是新型网络形态、新型计算基础理论和模式的出现,以及信息化和工业化的深度融合,给网络空间安全带来了新的威胁和挑战.美国国家科学技术委员会在发布的2016年联邦网络安全研究和发展战略计划网络与信息技术研发项目4)中指出,物联网、云计算、高性能计算、自治系统、移动设备等领域中存在的安全问题将是

9、新兴的研究热点.同样,鉴于网络空间安全所面临的严峻挑战,2014年2月我国成立了中央网络安全和信息化领导小组,大力推进网络空间安全建设.国务院学位委员会、教育部在2015年6月决定增设“网络空间安全”一级学科,并于2015年10月决定增设“网络空间安全”一级学科博士学位授权点.为了更好地布局和引导相关研究工作的开展,国家自然科学基金委员会信息科学部选定“网络空间安全的基础理论与关键技术”为“十三五”期间十五个优先发展研究领域之一.本文针对该优先研究领域涉及的各种安全理论和技术,从物理层、系统层、网络层、数据层以及贯穿其中的安全基础理论的角度,提出了“四横一纵”的网络空间安全研究体系,并重点阐述

10、了其中6个重要方向的研究现状和趋势,具体包括:涉及物理层接入安全和信道安全的基于设备指纹、信道特征的硬件身份认证与安全通信技术,涉及系统层安全的云计算环境下的虚拟化安全分析、防御技术和2)https:/www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-an-implementation-guide.3)http:/www.nist.gov/cyberframework/upload/cyber

11、security-framework-021214-?nal.pdf.4)https:/www.whitehouse.gov/sites/whitehouse.gov/?les/documents/2016FederalCybersecurityResearchand De-velopmentStratgeicPlan.pdf.940名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 30 页 -中国科学:信息科学第 46 卷第 8 期Data securityData privacy and anonymityMedia content securityInformation ag

12、gregation and propagation analysisNetwork securityWireless mobile network secure accessAnonymous communication and traffic analysisUser behavior analysisProtocol analysis and designSystem securitySystem vulnerability analysisMobile terminal securityUser authenticationMalware detectionCloud platform

13、securityVirtualization securityVirtual machine forensicsIndustrial control system securityPhysical securityHardware fingerprintHardware Trojan detectionDevice authenticationPhysical channel securityFundamental security theoriesCloud computingSearchable encryptionFully homomorphic encryptionInternet

14、of thingsLightweight cryptographyPost-quantum cryptographyLattice-based cryptographyQuantum cryptography图1(网络版彩图)安全研究层次体系及代表性研究方向Figure1(Coloronline)Hierarchicalsecurityarchitectureand representativeresearchareas移动智能终端用户认证技术,跨系统层、网络层的网络环境下的电力工业控制系统安全技术,网络层的匿名通信和流量分析技术,以及涉及数据层安全的新密码体制基础理论与数据安全机制.2网络空

15、间安全研究体系网络空间面临着从物理安全、系统安全、网络安全到数据安全等各个层面严峻的安全挑战,因此有必要建立系统化的网络空间安全研究体系,为相关研究工作提供框架性的指导,并最终为建设、完善国家网络空间安全保障体系提供理论基础支撑.为此,国内学者纷纷开始探讨网络空间安全的内涵并梳理其中涉及的研究领域,为构建网络空间安全研究体系提出了一些方案和建议.方滨兴院士1提出了网络空间安全的4层次模型,包括设备层的安全、系统层的安全、数据层的安全以及应用层的安全,同时列出了信息安全、信息保密、信息对抗、云的安全、大数据、物联网安全、移动安全、可信计算8个研究领域,并分析了这些领域在不同层面上面临的安全问题及

16、对应的安全技术.李晖等2则从学科人才培养的角度出发,分析了网络空间安全学科与相关一级学科的关系,并在此基础上提出了网络空间安全学科的3层知识体系,其中底层是网络空间安全基础理论,中间层包括物理安全、网络安全和系统安全,顶层是数据与信息安全.李建华等3指出网络空间安全是一门新兴的交叉学科,包括网络空间安全基础、密码学及应用、系统安全、网络安全、应用安全5个研究方向,其中安全基础为其他方向的研究提供理论、架构和方法学指导,密码学及应用为系统安全、网络安全和应用安全提供密码机制.在上述工作的基础上,本文更多是从网络空间定义及其所涉及的实体,而非网络本身的层次,着手进行网络空间安全研究体系的探讨.如前

17、所述,网络空间涉及到通过泛在网络连接在一起的人、计算机和各种物理设备,其核心要素是在网络空间中产生、处理、传输、存储的信息数据2.与之相对应,本文提出了如图1所示的“四横一纵”的层次化研究体系:由于网络空间由各种物理设备组成,物理层安全是网络空间安全的基础,具体研究工作包括硬件指纹、硬件木马检测、设备认证、物理信道安全等;物理设备的互联和通信需要相应系统的支持,因此物理层之上为系统层安全,主要关注系统脆弱性评估、移动终端安全(包括用户认证、恶意软件识别等)、云平台安全(包括虚拟化安全、虚拟机取证等)和工业控制系统安全;设备与设备之间的数据交换通过各类网络来进行,因此系统层之上为网络层安全,包括

18、无线移动网络接入安全、匿名通信和流量分析、网络用户行为分析、网络协议分析与设计等研究内容;网络空间中流动和存储的核心要素是信息数据,而这些信息数据也是人在网络空941名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 30 页 -罗军舟等:网络空间安全体系与关键技术间中的具体映射,因此该研究体系的最上层为数据层安全,涉及数据隐私和匿名、媒体内容安全、信息聚集和传播分析等方面的研究工作;而安全基础理论作为整个网络空间安全体系的基石,贯穿于4层结构,研究工作包括量子密码体制、后量子密码体制、面向物联网应用的轻量级密码算法和协议、云计算环境下支持密文统计分析的可搜索加密和全同态加密等方面的

19、理论与方法.5个方面的具体论述如下所述.1)物理层安全:主要研究针对各类硬件的恶意攻击和防御技术,以及硬件设备在网络空间中的安全接入技术.在恶意攻击和防御方面的主要研究热点有侧信道攻击、硬件木马检测方法和硬件信任基准等,在设备接入安全方面主要研究基于设备指纹的身份认证、信道及设备指纹的测量与特征提取等.此外,物理层安全还包括容灾技术、可信硬件、电子防护技术、干扰屏蔽技术等.2)系统层安全:包括系统软件安全、应用软件安全、体系结构安全等层面的研究内容,并渗透到云计算、移动互联网、物联网、工控系统、嵌入式系统、智能计算等多个应用领域,具体包括系统安全体系结构设计、系统脆弱性分析、软件的安全性分析,

20、智能终端的用户认证技术、恶意软件识别,云计算环境下虚拟化安全分析和取证等重要研究方向.同时,智能制造与工业4.0战略提出后,互联网与工业控制系统的融合已成为当前的主流趋势,而其中工控系统的安全问题也日益凸显.3)网络层安全:该层研究工作的主要目标是保证连接网络实体的中间网络自身的安全,涉及各类无线通信网络、计算机网络、物联网、工控网等网络的安全协议、网络对抗攻防、安全管理、取证与追踪等方面的理论和技术.随着智能终端技术的发展和移动互联网的普及,移动与无线网络安全接入显得尤为重要.而针对网络空间安全监管,需要在网络层发现、阻断用户恶意行为,重点研究高效、实用的匿名通信流量分析技术和网络用户行为分

21、析技术.4)数据层安全:数据层安全研究的主要目的是保证数据的机密性、完整性、不可否认性、匿名性等,其研究热点已渗透到社会计算、多媒体计算、电子取证、云存储等多个应用领域,具体包括数据隐私保护和匿名发布、数据的内在关联分析、网络环境下媒体内容安全、信息的聚集和传播分析、面向视频监控的内容分析、数据的访问控制等.5)安全基础理论和方法:安全基础理论与方法既包括数论、博弈论、信息论、控制论、可计算性理论等共性基础理论,也包括以密码学和访问控制为代表的安全领域特有的方法和技术手段.在云计算环境下,可搜索加密和全同态加密技术,可以在保证数据机密性的同时支持密文的统计分析,是云平台数据安全的一个重要研究方

22、向.在物联网应用中,传感设备普遍存在着计算能力弱、存储空间小、能耗有限的特点,不适宜应用传统密码算法,这就使得轻量级密码算法成为解决物联网感知安全的基础手段.同时,为抵抗量子计算机攻击,新兴的量子密码体制和后量子密码体制不可或缺.这些研究工作为网络空间安全提供了理论基础与技术支撑.简言之,物理层安全主要关注网络空间中硬件设备、物理资源的安全,系统层安全关注物理设备上承载的各类软件系统的安全,网络层安全则保证物理实体之间交互的安全,数据层安全是指网络空间中产生、处理、传输和存储的数据信息的安全.此外,还需要指出的是,网络空间安全研究体系中涉及到的研究领域非常多,图1仅是列举了一些具有代表性的热点

23、研究方向,而这些方向大部分也正是国家自然科学基金委“十三五”期间“网络空间安全的基础理论与关键技术”优先发展研究领域中所提及的内容,其中6个方面的关键技术或理论将在下一节展开介绍.3若干重要研究方向作为国家安全的重要组成部分,网络空间安全对国际政治、经济、军事等方面的影响日益凸显,迫942名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 30 页 -中国科学:信息科学第 46 卷第 8 期切需要对其进行全面而系统化的研究.然而,网络空间安全是一个覆盖面很广的综合性研究学科,具体涉及的研究领域非常多,本文仅对基于设备指纹、信道特征的硬件身份认证与安全通信,云计算环境下的虚拟化安全分析

24、和防御技术,移动智能终端用户认证技术,网络环境下的电力工业控制系统安全技术,匿名通信和流量分析技术,新密码体制基础理论与数据安全机制这6个重要方向的研究现状和趋势进行阐述.上述6个研究方向既是目前的研究热点,具有重要的理论意义和应用价值,又涵盖了网络空间安全研究体系的各个层面,具有足够的代表性和覆盖面:基于设备指纹、信道特征的硬件身份认证与安全通信技术主要涉及物理层的接入安全和信道安全;云计算环境下的虚拟化安全分析、防御技术和移动智能终端用户认证技术分别从不同应用领域的角度进行系统层安全的研究;而网络环境下的电力工业控制系统安全技术则跨越了系统层和网络层两个层次,用于保护智能电网的安全;匿名通

25、信和流量分析技术通过对匿名滥用的有效监管,保护网络层的安全;在数据层安全中,本文重点关注抗量子新型密码,以及适用于云计算和物联网领域数据安全保护的新型数据加密技术.3.1基于设备指纹、信道特征的硬件身份认证与安全通信(1)基于设备指纹的硬件身份认证与生物学中人的指纹可用于身份认证类似,在网络空间中接入的设备也具有其特有的“指纹”,可实现接入控制或者终端识别、追踪等目的.传统上,通常根据MAC地址、IP地址等信息来标识网络设备,但这些特征很容易被伪装、篡改,因此设备指纹认证技术主要是通过收集设备的各种隐性特征来实现对其硬件身份的唯一识别,如何选取识别精确度高、稳定性好的隐性特征是该研究领域的核心

26、问题.目前,设备指纹认证技术主要分为基于瞬态特征、基于调制信号和基于内部传感器3类.基于瞬态特征的设备指纹认证技术.基于瞬态特征的设备指纹认证技术是指利用无线电信号开/关的瞬态特征来实现对设备的识别4.其基本流程为:首先通过对瞬态信号的精确检测和隔离,消除信号中的干扰因素,然后抽取相关特征,最后利用特征数据实现设备匹配.Tekbas等5基于瞬态信号的振幅和相位变化值等特征研究环境因素对无线设备识别的影响.该项工作利用概率神经网络对设备指纹进行分类,通过对比实验发现了许多环境因素对设备识别有着显著的影响,如电压值、周围温度等.但是该工作必须在一个较大温差范围和电压变化范围内对设备指纹进行训练,才

27、能取得较高的识别率.Rasmussen等6针对超高频传感器设备,抽取瞬态信号的长度、振幅方差、载波信号峰值数、瞬态功率的标准化均值和最大值之间的差值以及离散小波变换系数等特征生成设备指纹向量,并结合Kalman滤波技术对设备指纹进行分类和识别,最终的实验结果取得了70%的识别率.然而这类设备指纹的鲁棒性较弱,当攻击者发送一个弱干扰信号时,设备指纹将会发生显著的变化,从而导致认证失败.Reising等7针对GSM设备指纹技术进行研究,他们从GSM-GMSK(globalsystem formobile-Gaussianminimumshift keying)突发信号中提取射频指纹,利用最大似然估

28、计和多重判别分析方法实现对设备的认证,最终取得了88%94%的识别准确率.基于调制信号的设备指纹认证技术.基于调制信号的设备指纹认证技术主要是从调制信号中抽取特征以生成设备指纹,从而对设备进行识别4.Brik等8利用无线网卡设备在制造工艺上的细微差异,抽取无线网络帧在调制域中的相关特征生成设备指纹,并借助机器学习算法实现了对设备的识别.他们在130多个无线网卡上进行实验,最终设备识别率高达99%.Gerdes等9发现不同厂商生产的有线网卡所产生的模拟信号是不同的,从而提出了基于模拟信号的终端设备识别技术,最多只需要25个数据帧就可以实现对终端设备的精确识别.但是他们只是对低速网卡(10 Mb)

29、进行了实验,同时也没有考虑环境因素和设备的老化问题.针对模拟信号和数字信号的差异,该研究团队还提出了一种943名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 30 页 -罗军舟等:网络空间安全体系与关键技术新的基于硬件信号特征的设备指纹认证技术,只需对一个物理帧进行特征抽取,就能实现网卡设备的识别10.Danev等11将基于调制信号的设备指纹识别技术运用到对RFID设备的识别中,并提出了多种方法实现设备指纹的提取.通过抽取调制后的波形特征和频谱主成分分析特征,利用最近邻算法和支持向量机分别对两类特征进行分类和识别,最终实现了低于5%的误报率.同时,该项工作还针对电子护照进行了真实

30、实验验证.基于内部传感器的设备指纹认证技术.基于内部传感器的设备指纹认证主要用于应用软件对智能终端的唯一性识别.其基本思想是针对相同的外部刺激,即使传感器属于相同品牌、相同型号,由于制造工艺上的细微差别也会使它们获得/产生不同的传感数据.Dey等12发现加速度传感器具有特殊的指纹,可提取加速度传感器在时域和频域方面的36个特征生成设备指纹,并利用Bagged决策树对指纹进行分类.通过在80个加速度传感器芯片、25台Android手机和2台Android平板电脑上进行实验,其准确率和召回率均高达96%.Bojinov等5)分别利用扬声器和麦克风的音频频率响应和加速度传感器的校准误差实现对设备的识

31、别,其中加速度传感器指纹的获取仅是利用运行在Web浏览器中的JavaScript脚本,而无需任何权限或用户干预.实验结果表明传感器指纹能够在数千台设备中实现唯一的识别,且冲突概率极低.Das等13利用Android手机的扬声器和麦克风的声学特征进行设备识别,但是该方法需要使用扬声器播放一些音乐,隐蔽性较差.而Zhou等14则根据扬声器对特殊频段音频的响应识别不同设备.上述基于音频信号的设备指纹识别技术的准确率均易受到环境噪声的影响,如何消除环境干扰有待进一步的研究.(2)基于无线信道特征的安全通信早在1949年,Shannon即指出只有实现“一次一密”才能达到绝对安全.由于无线信道具有快速时变

32、性,即在时间间隔大于信道相干时间的情况下,信道特征相互独立,因此可利用无线信道特征来生成高安全性、低计算复杂度的密钥,从而实现“一次一密”,保证通信的安全.Maurer15首先提出根据无线信道的互易性,利用通信双方的公共信道特征生成密钥.由于无线信道的空变性,窃听者无法获得完整的信道特征,因而无法生成和合法用户一致的密钥,从而保证了密钥的安全.由此可见,基于无线信道特征的安全通信的核心是密钥的生成.根据提取的信道特征的不同,基于信道特征的密钥生成方法主要分为3大类:基于接收信号强度(received signal strength,RSS)的密钥生成方法、基于信道相位(channelphase

33、)的密钥生成方法和基于其他信道特征的密钥生成方法.基于RSS的密钥生成方法.由于RSS参数容易获取,因此在密钥生成方法中得到了广泛的利用.Mathur等16利用采样值的平均值和标准差来量化RSS参数,从而提高了密钥一致率,但是牺牲了密钥的生成速率.Jana等17在此基础上提出了一种自适应的密钥生成机制,将RSS序列分组量化,并采用格雷码进行编码,以此提高密钥的生成速率,但是增加了密钥的不一致率.Patwari等18提出了HRUBE(high rate uncorrelatedbit extraction)机制,利用多天线系统,使用内插滤波法补偿通信双方信道测量误差,并采用KLT变换(Karhu

34、nen-Loevetransform)去除测量值之间的相关性,使得密钥生成速率和一致率均得到了提升.Liu等19利用RSS参数提出了一种协作密钥生成机制,实现了多设备通信的组密钥生成.虽然RSS参数容易获取,但信息较为粗略模糊,密钥生成速率较低.基于信道相位的密钥生成方法.由于现有的信号处理技术可对接收信号进行高速率的分解评估,因此基于信道相位的密钥生成方案可以高速率地生成密钥,与基于RSS的密钥生成方法相比,生成速率提高了至少一个数量级.但是相位信息容易遭受噪音等干扰,因而密钥的一致性较差.Yasukawa等20首先利用离散余弦变换对信道相位信息进行预处理,压缩冗余信息;在此基础上,实现信道

35、相位5)BojinovH,MichalevskyY,NakiblyG,et al.Mobiledevice identi?cationvia sensor?ngerprinting.arXiv:1408.1416.944名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 30 页 -中国科学:信息科学第 46 卷第 8 期信息的多级量化并附加奇偶校验,得到候选密钥集,降低了密钥的不一致率.Sayeed等21针对密钥协商后发现密钥不一致的问题,研究密钥重传机制,在重传时提高发射功率从而增加信噪比,提高密钥一致率.Wang等22则提出了一种在窄带多径衰落模型下利用信道相位信息生成密钥的方

36、法,可以支持高效的组密钥生成.基于其他信道特征的密钥生成方法.除了RSS和信道相位这两种常用的信道特征,还有一些基于其他信道特征的密钥生成方案,如信道状态信息(channelstate information,CSI)、信道脉冲响应(channelimpulseresponse,CIR)等.Liu等23提出一种基于CSI的密钥生成方法,从OFDM(orthogonalfrequencydivisionmultiplexing)的子载波中获取CSI生成密钥.由于CSI提供了细粒度的信道信息,降低了采样次数,从而提高了密钥生成速率.该方法还提出利用低密度奇偶校验码(low-density pari

37、ty-checkcode,LDPC)调和双方生成的密钥,提高密钥一致率.Chou等24通过估计CIR,获取细粒度的信道信息来生成密钥,提高密钥生成速率,但是这种算法对硬件和能量的需求更高.(3)存在问题和未来发展趋势基于设备指纹、信道特征的硬件身份认证与安全通信可以从以下3个方面开展进一步的工作:1)抗环境噪声干扰的设备指纹特征选取:基于设备指纹的硬件身份认证依赖于提取的瞬态信号特征、调制信号特征、内部传感器数据等信息,在实际应用中需要研究如何进一步去除环境中的噪声和干扰,以获得准确的设备指纹特征信息.2)基于偏好、设置等应用层信息的设备指纹:设备硬件指纹的研究集中在基于设备硬件差异的特征的提

38、取,而更上层的特征数据,如浏览器插件、配置、历史信息和应用软件用户偏好、设置等也可用于生成设备指纹,并且这类特征可以提高设备指纹识别的准确率.3)基于信道特征的一致性密钥的生成:对于基于信道特征的密钥生成方法,由于实际应用中上下行信道的不一致性、设备指纹以及测量中的误差等因素会造成信道特征提取的差异,导致通信双方生成的密钥存在着不一致性.因此,需要研究密钥生成速率和一致性之间的权衡,在保证密钥生成速率的同时,降低密钥的不一致率.3.2云计算环境下的虚拟化安全分析和防御技术当前,云计算技术已被广泛地应用于各个领域,包括城市管理、电子政务、园区服务、医疗卫生、教育、金融等.云计算平台利用虚拟化技术

39、共享计算资源,改变了原来的计算模式,提高了资源的利用率、灵活性和可用性,但由于相同硬件资源承载了更多的计算任务,其虚拟化技术自身的安全问题影响更为突出25.因此,亚马逊、谷歌、微软、IBM等国际大型IT公司均与著名大学合作,开展云计算环境安全的研究.同时,美国国防预研计划局、美国国家科学基金会也加强了对云安全相关项目的资助.本文主要针对云计算环境下的虚拟化安全分析和防御技术,从攻击和防御两个角度阐述现有的研究工作.(1)云计算环境下虚拟机攻击技术云计算环境下针对虚拟机(virtualmachine,VM)的攻击可分内部攻击和外部攻击两类.如图2所示,攻击者可以通过虚拟机攻击虚拟机监控器(vir

40、tualmachine manager,VMM),或者通过虚拟机管理工具攻击虚拟机监控器,从而实现对同一宿主机上的其他虚拟机的攻击.由于上述攻击是利用虚拟机内部漏洞发起,可归为内部攻击.此外,攻击者还可以通过在宿主机安装Rootkit软件,从而控制虚拟机监控器实现对整个虚拟机环境的攻击.由于此类攻击是利用宿主机的漏洞从虚拟机外部发起,称为外部攻击.a)虚拟机内部攻击虚拟化的目标之一是通过隔离机制来保证虚拟机的安全,而虚拟机内部攻击是破坏虚拟机的隔离945名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 30 页 -罗军舟等:网络空间安全体系与关键技术VMMGuestVMHost O

41、SHardwareAttackerInternal attackExternal attackManagement toolsManagement VM kernelAttacker performs an attack against target VM via VMMAttacker performs an attack against VMM from management tools or management VM kernel,and then attacks target VM via VMMAttacker performs an attack against VMM from

42、 Host OS,andthen attacks target VM via VMMGuestVMGuestVM图2(网络版彩图)云计算环境下虚拟机内部和外部攻击Figure2(Coloronline)Internalattackand externalattackagainstVMin cloud computingenvironment性,从而窃取同一物理主机中其他虚拟机用户的隐私和机密数据.现有内部攻击方面的研究主要围绕攻击的三个步骤展开,即虚拟机环境检测、虚拟机监控器识别以及破坏虚拟机的隔离性.虚拟机环境检测:虚拟化技术使得多个租户的虚拟机运行在一个独立的物理机上,要攻击云计算环境下的

43、虚拟机,首先需要检测当前系统是否运行在虚拟机监控器之上,从而判断目标机是否为虚拟机.Ferrie26提出两种方法来检测虚拟机环境:一是利用相同指令在物理机与虚拟机执行时长不同的特性进行判断,通常虚拟机环境下执行指令的时间较长;二是通过测算转译查找缓存(translationlookaside bu?ers,TLB)的存取时间来检测当前系统是否运行在虚拟机环境.例如,虚拟机敏感指令CUPID,若在虚拟环境中执行该指令,虚拟机监控器将把部分TLB的数据页面清空,导致这些数据页面访问未命中,从而降低了数据读取速度.利用这个特有现象,当测量到TLB中缓存数据页面的访问时间较长时,可判断CUPID指令是

44、由虚拟机监控器执行,从而断定当前运行在虚拟机环境中.这两种方法均依赖于特定指令在不同环境下执行效果不同,然而随着虚拟化技术的发展,其中某些指令的执行效果已没有区分度.虚拟机监控器识别:在攻击者确定目标主机运行在虚拟机环境中之后,将利用虚拟机监控器的特征或者漏洞来对虚拟机进行攻击.而针对不同的虚拟机监控器需采用不同的攻击方式,因此在攻击虚拟机之前,需识别当前云计算平台部署的虚拟机监控器的具体类型.有些特定的指令在虚拟机监控器和真实系统上的处理方式不同,例如某些指令会导致监控器异常而真实系统则可正常运行,反之亦946名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 30 页 -中国科学

45、:信息科学第 46 卷第 8 期然.利用这些特点,Ferrie对6种类型的虚拟机监控器进行了识别26.虚拟机隔离性破坏:虚拟机监控器保证了虚拟机之间的隔离性,但它本身也存在漏洞.当确定了虚拟机监控器的类型之后,攻击者可以通过该监控器的漏洞或者错误配置对虚拟机系统发起攻击.对虚拟机系统的攻击主要可以分为两种类型,一是针对宿主机或该主机上其他虚拟机的攻击,二是针对其他宿主机上虚拟机的攻击.?同一宿主机的虚拟机攻击.虚拟机监控器的主要目标就是保证租户虚拟机的隔离性,如租户虚拟机不能获取超过其权限的资源.然而,攻击者可利用错误的虚拟机配置或设计缺陷破坏这种隔离性,从而实现拒绝服务、系统挂起、虚拟机逃逸

46、等攻击.拒绝服务是指恶意虚拟机通过抢占宿主机的计算资源,使其他虚拟机无法运行.Wojtczuk6)提出攻击者可通过修改Xen的代码和数据结构,在虚拟机监控器或隐藏域内制造后门,利用该后门可控制虚拟机监控器和虚拟机.系统挂起是指攻击者通过精心设计的指令使虚拟机或虚拟机监控器挂起.例如,攻击者产生若干组随机指令序列并发送到不同类型的虚拟机监控器,这些指令序列可能导致其挂起7).虚拟机逃逸是攻击者利用监控器源代码设计的漏洞获取最高权限,并运行攻击者的恶意代码.例如,攻击者获取自身授权以外的内存访问权限,执行恶意读写操作,最终实现控制宿主机上其他虚拟机或虚拟机监控器的目的,目前存在针对Xen,VMWa

47、re8)和LinuxKVM9)的多种虚拟机逃逸攻击.?不同宿主机的虚拟机攻击.当攻击者控制了宿主物理机之后,可以进一步对云中其他宿主机上的虚拟机发起攻击,因此需要先确定目标虚拟机.由于云环境中多个虚拟机共宿在同一物理机上,Ristenpart等27提出一种隐蔽的方式来监控共宿虚拟机活动的方法,该方法通过周期性地向云中虚拟机发送虚拟机之间基本的通信命令,如查询CPU核数、存储容量等,并根据响应时间来判断哪些虚拟机是在同一物理机上,从而构建云环境中虚拟机的分布图.然而,该方法不能获取目标虚拟机行为相关的信息,如缓存使用情况等.b)虚拟机外部攻击在云计算环境中,由于虚拟机均部署在物理机上,攻击者可通

48、过宿主物理机的攻击实现对其虚拟机的控制,而这类攻击是从虚拟环境外部发起,因此称为外部攻击.此类方法主要基于虚拟机的隐匿技术攻击,攻击者利用处理器的硬件辅助虚拟化技术在目标机系统上安装Rootkit,通过控制虚拟机监控器来控制整个虚拟机环境.King等28提出在虚拟机运行过程中安装Rootkit,而Rutkowska10)则提出在虚拟机重启过程中安装Rootkit.(2)云计算环境下虚拟机防御技术针对上述攻击,现有的防御技术主要包括虚拟机安全监控、虚拟机隔离性保护和虚拟机监控器安全防护三个方面:通过虚拟机监控,发现对虚拟机系统的恶意攻击;通过虚拟机隔离保护,防止对虚拟机隔离性的攻击和破坏;利用虚

49、拟机监控器安全技术,抵御来自虚拟机监控器的攻击.a)虚拟机监控为实现虚拟机安全监控,研究者们分别针对内、外部攻击,提出了多种检测方法29 34,其中比较典型的有虚拟机自省技术和Rootkit检测技术.6)https:/ 08 WojtczukSubvertingthe XenHypervi-sor.pdf.7)http:/taviso.decsystem.org/virtsec.pdf.8)https:/ 11 ElhageVirtunoidSlides.pdf.10)https:/ 9 页，共 30 页 -罗军舟等:网络空间安全体系与关键技术虚拟机自省技术.虚拟机自省技术是指通过虚拟机监控器

50、访问虚拟机内存空间,这样就可以在外部检测虚拟机中的数据,并分析虚拟机的内容,发现内部攻击.根据分析结果,可报告虚拟机异常或自动进行响应29.Payne等30提出了一种虚拟机自省方法,通过将hook程序植入客户操作系统,获取客户操作系统相关的较为全面的信息;而Ibrahim等31则在没有获取客户操作系统相关信息的前提下,通过重构不断变化的内核数据结构实现对租户虚拟机内存的实时监控.上述方法虽然能保证虚拟机数据的安全,但依然可能会泄露用户的隐私.为了解决该问题,Yao等32研究并设计了一种基于加密的虚拟机自省系统,但是该系统依赖于应用层的加密机制,系统效率有所降低.Rootkit检测技术.由于外部