云计算安全研究.pdf

《云计算安全研究.pdf》由会员分享，可在线阅读，更多相关《云计算安全研究.pdf（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络出版时间：2010-11-26 16:37网络出版地址：http:/ 1000-9825,CODEN RUXUEW E-mail: Journal of Softwarehttp:/ doi:10.3724/SP.J.1001.2011.03958 Tel/Fax:+86-10-62562563?by Institute of Software,the Chinese Academy of Sciences.All rights reserved.云计算安全研究?冯登国,张 敏+,张 妍,徐 震(信息安全国家重点实验室中国科学院软件研究所,北京 100190)Study on Cloud

2、Computing SecurityFENG Deng-Guo,ZHANG Min+,ZHANG Yan,XU Zhen(State Key Laboratory of Information Security,Institute of Software,Chinese Academy of Sciences,Beijing 100190,China)+Corresponding author:E-mail: Feng DG,Zhang M,Zhang Y,Xu Z.Study on cloud computing security.Journal of Software,2011.http:

3、/ computing is the fundamental change happening in the field of Information Technology,which represents its trend towards the intensiveness,large scale and specialization.However,it brings about not only the convenience and the efficiency,but also the great challenges to the data security and privac

4、y protection.Currently security has been regarded as one of the greatest problems to be solved in the development of cloud computing.In this paper,we describes the great requirements in cloud computing security key technology,standard and the regulation etc.,and provides a cloud computing security f

5、ramework.We argue that the changes in the above aspects will finally result in a technical revolution in the information security area.Key words:cloud computing;cloud security framework;cloud security standard;cloud security service 摘要:云计算代表IT 领域向集约化、规模化与专业化道路发展的趋势,是 IT 领域正在发生的深刻变革.但它在提高使用效率的同时,为实现用

6、户信息资产安全与隐私保护带来极大的冲击与挑战.当前,安全成为云计算领域亟待突破的重要问题,其重要性与紧迫性已不容忽视.分析了云计算对信息安全领域技术、标准、监管等各方面带来的挑战;提出云计算安全参考框架及该框架下的主要研究内容;指出云计算的普及与应用是近年来信息安全领域的重大挑战与发展契机,将引发信息安全领域又一次重要技术变革.关键词:云计算;云安全技术框架;云安全标准;云安全服务中图法分类号:TP309文献标识码:A 云计算是当前信息技术领域的热门话题之一,是产业界、学术界、政府等各界均十分关注的焦点.它体现了“网络就是计算机”的思想,将大量计算资源、存储资源与软件资源链接在一起,形成巨大规

7、模的共享虚拟IT资源池,为远程计算机用户提供“召之即来,挥之即去”且似乎“能力无限”的 IT 服务.云计算以其便利、经济、高可扩展性等优势吸引了越来越多企业的目光,将其从 IT 基础设施管理与维护的沉重压力中解放出来,更专注于?Supported by the National High-Tech Research and Development Plan of China under Grant No.2007AA120404(国家高技术研究发展计划(863);the Chinese Academy of Sciences Knowledge Innovation Program under

8、 Grant No.YYYJ-1013(中国科学院知识创新工程项目)Received 2010-08-26;Accepted 2010-11-03 2 Journal of Software软件学报自身的核心业务发展.在 IT 产业界,云计算被普遍认为是继互联网经济繁荣以来的又一个重要IT 产业增长点,具有巨大市场增长前景.根据 IDC 咨询公司预测,未来 5 年中,IT 云服务上的支出将增长3倍,到 2012 年达到 420亿美元,占 IT 支出增长总量中25%.此外,由于云计算的发展理念符合当前低碳经济与绿色计算的总体趋势,并极有可能发展成为未来网络空间的神经系统,它也为世界各国政府所大力

9、倡导与推动.云计算代表了IT 领域迅速向集约化、规模化与专业化道路发展的趋势,有人形象地将云计算比喻成为当前信息领域正在发生的工业化革命.但当前,云计算发展面临许多关键性问题,安全问题首当其冲.并且随着云计算的不断普及,安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素.Gartner2009 年的调查结果显示,70%以上受访企业CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑.而近来亚马逊、谷歌等云计算发起者不断爆出各种安全事故更加剧了人们的担忧.例如,2009 年 3 月 Google 发生大批用户文件外泄事件,2009 年 2月和 7 月,亚马逊的“简单存储

10、服务(simple storage service,简称 S3)”两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等等.因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的各种安全问题.目前,云计算安全问题已得到越来越多的关注.著名的信息安全国际会议RSA2010 将云计算安全列为焦点问题,CCS 从 2009 年起专门设置了一个关于云计算安全的研讨会.许多企业组织、研究团体及标准化组织都启动了相关研究,安全厂商也在关注各类安全云计算产品.本文通过分析当前云计算所面临的安全问题以及云计算对信息安全领域带来的影响,提出

11、未来云计算安全技术框架及重要的科研方向,以期为我国未来云计算安全的科研、产业发展作出有益的探索.1 云计算发展趋势IT 资源服务化是云计算最重要的外部特征.目前,Amazon,Google,IBM,Microsoft,Sun等国际大型IT 公司已纷纷建立并对外提供各种云计算服务.根据美国国家标准与技术研究院(NIST)的定义,当前云计算服务可分为3 个层次,分别是:(1)“基础设施即服务(IaaS)”,如 Amazon 的弹性计算云(elastic compute cloud,简称 EC2)18、IBM 的蓝云(blue cloud)17以及 Sun的云基础设施平台(IAAS)18等;(2)“

12、平台即服务(PaaS)”,如 Google 的 Google App Engine 与微软的Azure 平台等;以及(3)“软件即服务(SaaS)”,如 Salesforce 公司的客户关系管理服务等.当前,各类云服务之间已开始呈现出整合趋势,越来越多的云应用服务商选择购买云基础设施服务而不是自己独立建设.例如:在云存储服务领域,成立于美国乔治亚州的Jungle Disk公司基于Amazon S3的云计算资源,通过友好的软件界面为用户提供在线存储和备份服务;在数据库领域,Oracle 公司利用Amazon 的基础设施提供 Oracle 数据库软件服务以及数据库备份服务;而 FanthomDB为

13、用户提供基于MySQL 的在线关系数据库系统服务,允许用户选择底层使用EC2 或 Rackspace基础设施服务,等等.可以预见,随着云计算标准的出台,以及各国的法律、隐私政策与监管政策差异等问题的协调解决,类似的案例会越来越多.对比其他领域(如制造业领域)的全球化经验可以得知,云计算将推动IT领域的产业细分:云服务商通过购买服务的方式减少对非核心业务的投入,从而强化自己核心领域的竞争优势.最终,各种类型的云服务商之间形成强强联合、协作共生关系,推动信息技术领域加速实现全球化,并最终形成真正意义上全球性的“云”.未来云计算将形成一个以云基础设施为核心、涵盖云基础软件与平台服务与云应用服务等多个

14、层次的巨型全球化IT 服务化网络,如图 1 所示.如果以人体作为比喻,那么处于核心层的云基础设施平台将是未来信息世界的神经中枢,其数量虽有限但规模庞大,具有互联网级的强大分析处理能力;云基础软件与平台服务层提供基础性、通用性服务,例如云操作系统、云数据管理、云搜索、云开发平台等,是这个巨人的骨骼与内脏;而外层云应用服务则包括与人们日常工作与生活相关的大量各类应用,例如电子邮件服务、云地图服务、云电子商务服务、云文档服务等等.这些丰富的应用构成这个巨型网络的血肉发肤.各个层次的服务之间既彼此独立又相冯登国等:云计算安全研究3 互依存,形成一个动态稳定结构.越靠近体系核心的服务,其在整个体系中权重

15、也就越大.因此,未来谁掌握了云计算的核心技术主动权以及核心云服务的控制权,谁就将在信息技术领域全球化竞争格局中处于优势地位.云基础设施服务层云基础软件服务层云操作系统服务云数据管理服务云搜索服务云开发平台服务其他基础服务云应用服务层云平台文档电子邮件视频论坛日历电子商务语音通话Fig.1 Hierarchical distribution of future cloud computing services(图中文字，提供英文译文)图 1 未来云计算服务分布层次图由于云计算代表未来信息技术领域的核心竞争力,当前世界各国政府都十分重视本国云计算的发展,力争在未来信息技术的制高点占据一席之地.例如

16、,2009年 9 月,美国总统奥巴马宣布将执行云计算政策,希望借助应用虚拟化来压缩美国政府的经济支出;韩国政府计划向云计算领域投资6 146 亿韩元(36 亿人民币),使韩国云计算市场的规模扩大为目前的4 倍;日本内务部和通信监管机构计划建立大规模云计算基础设施,以支持所有政府运作所需的资讯科技系统,提高政府运营效率并降低成本.在我国,继无锡之后,北京、上海等城市启动了云计算发展计划,电信、能源交通、电力等多个行业领域也在启动行业内部云计算中心建设.2 云计算安全挑战目前,关于云计算与安全之间的关系一直存在两种对立的说法:乐观的看法认为,采用云计算会增强安全性.持有这种观点的人认为,通过部署集

17、中的云计算中心,可以组织安全专家以及专业化安全服务队伍实现整个系统的安全管理,避免了现在由个人维护安全,由于不专业导致安全漏洞频出而被黑客利用的情况;然而更接近现实的一种观点是,集中管理的云计算中心将成为黑客攻击的重点目标.由于系统的巨大规模以及前所未有的开放性与复杂性,其安全性面临比以往更为严峻的考验.对于普通用户来说,其安全风险不是减少而是增大了.2.1 云计算将推动信息安全领域又一次重大革新信息安全领域的发展历程已多次证明,信息技术的重大变革将直接影响信息安全领域的发展进程.例如在计算机出现之前,信息安全学科以实现通信保密为主要目的,主要研究内容是密码学.自进入计算机时代,信息安全研究目

18、标扩展到计算机系统安全.信息安全学术界形成了以安全模型分析与验证为理论基础、以信息安全产品为主要构件、安全域建设为主要目标的安全防护体系思想;不仅涌现出安全操作系统、安全数据库管理系统、防火墙为代表的一大批信息安全产品,同时形成了相关的信息安全产品测评标准,以及基于安全标准的测评认证制度与市场准入制度,实现了信息安全产品的特殊监管.当信息技术快速步入网络时代,跨地域、跨管理域的协作不可避免,多个系统之间存在频繁交互或大规模数据流动,专一、严格的信息控制策略变得不合时宜,4 Journal of Software软件学报信息安全领域随即进入了立体防御、深度防御为核心思想的信息安全保障的时代.形成

19、了以预警、攻击防护、响应、恢复为主要特征的全生命周期安全管理,出现了大规模网络攻击与防护、互联网安全监管等各项新研究内容.安全管理也由信息安全产品测评发展到大规模信息系统的整体风险评估与等级保护等(如图 2 所示).Fig.2 Evolution of information security technology(图中文字提供英文译文)图 2 信息安全技术发展阶段图云计算以动态的服务计算为主要技术特征,以灵活的“服务合约”为核心商业特征,是信息技术领域正在发生的重大变革.这种变革为信息安全领域带来了巨大的冲击:(1)在云平台中运行的各类云应用没有固定不变的基础设施,没有固定不变的安全边界,难

20、以实现用户数据安全与隐私保护;(2)云服务所涉及的资源由多个管理者所有,存在利益冲突,无法统一规划部署安全防护措施;(3)云平台中数据与计算高度集中,安全措施必须满足海量信息处理需求.由于当前信息安全领域仍缺乏针对此类问题的充分研究,尚难为安全的云服务提供必要的理论技术与产品支撑,因此未来在信息安全学术界与产业界共同关注及推动下,信息安全领域将围绕云服务的“安全服务品质协议”的制定、交付验证、第三方检验等,逐渐发展形成一种新型技术体系与管理体系与之相适应,标志着信息安全领域一个新的时代的到来.从目前来看,实现云计算安全至少应解决关键技术、标准与法规建设与国家监督管理制度等3 个层次的挑战.下面

21、分别予以简要阐述.2.2 挑战 1:建立以数据安全与隐私保护为主要目标的云安全技术框架当前,云计算平台的各个层次如主机系统层、网络层以及WEB 应用层等都存在相应安全威胁,但这类通用安全问题在信息安全领域已经得到较为充分的研究,已具有比较成熟的产品.研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及多租户共享运营模式等对数据安全与隐私保护带来的挑战:(1)云计算服务计算模式所引发的安全问题.当用户或企业将所属的数据外包给云计算服务商,或者委托其运行所属的应用时,云计算服务商就获得了该数据或应用的优先访问权.事实证明,由于存在内部人员失职、黑客攻击及系统故障导致安全机制

22、失效等多种风险,云服务商没有充足的证据让用户确信其数据被正确地使用:例如用户数据没有被盗卖给其竞争对手、用户使用习惯隐私没有被记录或分析、用户数据被正确存储在其指定的国家或区域,且不需要的数据已经被彻底删除等等;(2)云计算的动态虚拟化管理方式引发的安全问题.在典型的云计算服务平台中,资源以虚拟、租用的模式提供给用户,这些虚拟资源根据实际运行所需与物理资源相绑定.由于在云计算中是多租户共享冯登国等:云计算安全研究5 资源,多个虚拟资源很可能会被绑定到相同的物理资源上.如果云平台中的虚拟化软件中存在安全漏洞,那么用户的数据就可能被其他用户访问.例如,2009 年 5 月,网络上曾经曝光VMwar

23、e 虚拟化软件的 Mac 版本中存在一个严重的安全漏洞.别有用心的人可以利用该漏洞通过Windows虚拟机在Mac 主机上执行恶意代码.因此,如果云计算平台无法实现用户数据与其他企业用户数据的有效隔离,用户不知道自己的邻居是谁、有何企图,那么云服务商就无法说服用户相信自己的数据是安全的;(3)云计算中多层服务模式引发的安全问题.前已提及,云计算发展的趋势之一是IT 服务专业化,即云服务商在对外提供服务的同时,自身也需要购买其他云服务商所提供的服务.因而用户所享用的云服务间接涉及多个服务提供商,多层转包无疑极大的提高了问题复杂性,进一步增加了安全风险.由于缺乏安全关键技术支持,当前的云平台服务商

24、多数选择采用商业手段回避上述问题.但长远来看,用户数据安全与隐私保护需求属于云计算产业发展无法回避的核心问题.其实,上述问题并不缺乏技术基础,如数据外包与服务外包安全、可信计算环境、虚拟机安全、秘密同态计算等各项技术多年来一直为学术界所关注.关键在于实现上述技术在云计算环境下的实用化,形成支撑未来云计算安全的关键技术体系,并最终为云用户提供具有安全保障的云服务.2.3 挑战 2:建立以安全目标验证、安全服务等级测评为核心的云计算安全标准及其测评体系建立安全指导标准及其测评技术体系是实现云计算安全的另一个重要支柱.云计算安全标准是度量云用户安全目标与云服务商安全服务能力的尺度,也是安全服务提供商

25、构建安全服务的重要参考.基于标准的“安全服务品质协议”,可依据科学的测评方法检测与评估,在出现安全事故时快速实现责任认定,避免产生责任推诿.建立云计算安全标准及其测评体系的挑战在于以下几点:?首先,云计算安全标准应支持更广义的安全目标.云计算安全标准不仅应支持用户描述其数据安全保护目标、指定其所属资产安全保护的范围与程度;更重要的是,应支持用户、尤其是企业用户的安全管理需求,如分析察看日志信息、搜集信息了解数据使用情况以及展开违法操作调查等.当前,这些信息的搜集可能会牵涉到云计算服务商的数据中心或涉及到其他用户的数据,带来一定安全隐患.当前,云计算商业运作模式仍不十分成熟,用户与云计算服务商之

26、间的责任与权限界定并不清晰,用户与云计算服务商就管理范围与权限上可能存在冲突,因此需要以标准形式将其确定下来,明确指出信息搜集的程度、范围手段等,防止影响其他用户的权益.不仅如此,上述安全目标还应是可测量、可验证的,便于在相关规范中规定上述安全目标的标准化测量验证方法;?其次,云计算安全标准应支持对灵活复杂的云服务过程的安全评估.传统意义上对服务商能力的安全风险评估方式是,通过全面识别和分析系统架构下威胁和弱点及其对资产的潜在影响确定其抵抗安全风险的能力水平,但在云计算环境下,云服务提供商可能租用其他服务商提供的基础设施服务或购买多个服务商的软件服务,根据系统状况动态选用.因此,标准应针对云计

27、算中动态性与多方参与的特点,提供相应的云服务安全能力计算与评估方法;同时,标准应支持云服务的安全水平等级化,便于用户直观理解与选择;?此外,云计算安全标准应规定云服务安全目标验证的方法与程序.由于用户自身缺乏举证能力,因此验证的核心是服务商提供正确执行的证据,如可信审计记录等.云计算安全标准应明确定义证据提取方法以及证据交付方法.2.4 挑战 3:建立可控的云计算安全监管体系科学技术是把双刃剑,云计算在为人们带来巨大好处的同时也带来巨大的破坏性能力.而网络空间又是继领土权、领空权、领海权、太空权之后的第五维国家主权,是任何主权国家必须自主掌控的重要资源.因此,应在发展云计算产业的同时大力发展云

28、计算监控技术体系,牢牢掌握技术主动权,防止其被竞争对手控制与利用.与互联网监控管理体系相比,实现云计算监控管理必须解决以下几个问题:(1)实现基于云计算的安全攻击的快速识别、预警与防护.如果黑客攻入了云客户的主机,使其成为自己6 Journal of Software软件学报向云服务提供商发动DDoS 攻击的一颗棋子,那么按照云计算对计算资源按实际使用的付费方式,这一受控客户将在并不知情的情况下为黑客发起的资源连线偿付巨额费用.不仅如此,与以往 DDoS 攻击相比,基于云的攻击更容易组织、破坏性更大.而一旦攻击的对象是大型云服务提供商,势必影响大批用户,所造成的损失就更难以估量.因此,需要及时

29、识别与阻断这类攻击,防止重大灾害性安全事件的发生;(2)实现云计算内容监控.云的高度动态性增加了网络内容监管难度.首先,云计算所具有的动态性特征使得建立或关闭一个网站服务较之以往更加容易,成本代价更低.因此,各种含有黄色内容或反动内容的网站将很容易以打游击的模式在网络上迁移,使得追踪管理难度加大,对内容监管更加困难.如果允许其检查,必然涉及到其他用户的隐私问题;其次,云服务提供商往往具有国际性的特点,数据存储平台也常跨越国界,将网络数据存储到云上可能会超出本地政府的监管范围,或者同属多地区或多国的管辖范围,而这些不同地域的监管法律和规则之间很有可能存在着严重的冲突,当出现安全问题时,难以给出公

30、允的裁决;(3)识别并防止基于云计算的密码类犯罪活动.云计算的出现使得组织实施密码破译更加容易,原来只有资金雄厚的大型组织才能实施的密码破解任务,在云计算平台的支持下普通用户也可以轻松实现,严重威胁各类密码产品的安全.在云计算环境下,如何防止单个用户或者多个合谋用户购得足够规模的计算能力来破解安全算法,也是云计算安全监管中有待解决的问题之一.3 云计算安全现状3.1 各国政府对云计算安全的关注云计算在美欧等国得到政府的大力支持和推广,云计算安全和风险问题也得到各国政府的广泛重视.2010年 11月,美国政府 CIO 委员会发布关于政府机构采用云计算的政府文件,阐述了云计算带来的挑战以及针对云计

31、算的安全防护,要求政府及各机构评估云计算相关的安全风险并与自己的安全需求进行比对分析.并指出,由政府授权机构对云计算服务商进行统一的风险评估和授权认定,可加速云计算的评估和采用并降低风险评估的费用.2010 年 3 月,参加欧洲议会讨论的欧洲各国网络法律专家和领导人呼吁制定一个关于数据保护的全球协议,以解决云计算的数据安全弱点.欧洲网络和信息安全局(ENISA)表示,将推动管理部门要求云计算提供商通知客户有关安全攻击状况.日本政府也启动了官民合作项目,组织信息技术企业与有关部门对于云计算的实际应用开展计算安全性测试,以提高日本使用云计算的安全水平,向中小企业普及云计算,并确保企业和个人数据的安

32、全性.在我国,2010 年 5 月,工信部副部长娄勤俭在第二届中国云计算大会上表示,我国应加强云计算信息安全研究,解决共性技术问题,保证云计算产业健康、可持续发展.3.2 国内外云计算安全标准组织及其进展国外已经有越来越多的标准组织开始着手制定云计算及安全标准,以求增强互操作性和安全性,减少重复投资或重新发明,如ITU-TSG17研究组15、结构化信息标准促进组织12与分布式管理任务组13等都启动了云计算标准工作.此外,专门成立的组织如计算安全联盟12也在云计算安全标准化方面取得了一定进展.下面我们对这些标准组织及其目前的研究进展展开介绍.3.2.1 云安全联盟云安全联盟CSA(cloud s

33、ecurity alliance)是在 2009 年的 RSA 大会上宣布成立的一个非盈利性组织,宗旨是“促进云计算安全技术的最佳实践应用,并提供云计算的使用培训,帮助保护其他形式的计算”.自成立后,CSA 迅速获得了业界的广泛认可,其企业成员涵盖了国际领先的电信运营商、IT 和网络设备厂商、网络安全厂商、云计算提供商等.冯登国等:云计算安全研究7 云计算安全联盟确定了云计算安全的15 个焦点领域并对每个领域给出了具体建议,并从中选取较为重要的若干领域着手标准制定,在制定过程中广泛咨询IT 人员的反馈意见,获取关于需求方案说明书的建议.云计算安全联盟确定的15 个云计算安全焦点领域分别是:信息

34、生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响(商业连续性、灾难恢复、物理安全)、体系结构.目前,云计算安全联盟已完成云计算面临的严重威胁、云控制矩阵、关键领域的云计算安全指南10等研究报告,并发布了云计算安全定义.这些报告从技术、操作、数据等多方面来强调云计算安全的重要性、保证安全性应当考虑的问题以及相应的解决方案,对形成云计算安全行业规范具有重要影响.3.2.2 其他相关标准组织动态2009 年底,国际标准化组织/国际电工委员会、第一联合技术

35、委员会(ISO/IEC,JTC1)正式通过成立分布应用平台服务分技术委员会(SC38)的决议,并明确规定SC38 下设云计算研究组.国际电信联盟ITU-TSG17 研究组会议于2010 年 5 月在瑞士日内瓦召开,决定成立云计算专项工作组,旨在达成一个“全球性生态系统”,确保各个系统之间安全地交换信息.工作组将评估当前的各项标准,将来会推出新的标准.云计算安全是其中重要的研究课题,计划推出的标准包括电信领域云计算安全指南.结构化信息标准促进组织(OASIS)将云计算看作是SOA和网络管理模型的自然扩展.在标准化工作方面,OASIS 致力于在现有标准的基础上建立云计算模型、配置文件和扩展相关的标

36、准.现有标准包括安全、访问和身份策略标准,如 OASIS SAML,XACML,SPML,WSSecurityPolicy等;内容、格式控制和数据导入/导出标准,如OASIS ODF,DITA,CMIS等;注册、储存和目录标准,如 OASIS ebXML,UDDI;以及 SOA 方法和模型、网络管理、服务质量和互操作性标准,如 OASIS SCA,SDO,SOA-RM和 BPEL 等.近期,分布式管理任务组(distributed management task force,简称 DMTF)也已启动了云标准孵化器过程.参与成员将关注通过开发云资源管理协议、数据包格式以及安全机制来促进云计算平台

37、间标准化的交互,致力于开发一个云资源管理的信息规范集合.该组织的核心任务是扩展开放虚拟化格式(OVF)标准,使云计算环境中工作负载的部署、管理更为便捷.3.3 国内外云计算安全技术现状在IT产业界,各类云计算安全产品与方案不断涌现.例如,Sun 公司发布开源的云计算安全工具可为Amazon 的 EC2,S3 以及虚拟私有云平台提供安全保护.工具包括OpenSolaris VPC 网关软件,帮助客户能够迅速和容易地创建一个通向Amazon 虚拟私有云的多条安全的通信通道;为 Amazon EC2设计的安全增强的VMIs,包括非可执行堆栈,加密交换和默认情况下启用审核等;云安全盒(cloud sa

38、fety box),使用类 Amazon S3 接口,自动对内容进行压缩、加密和拆分,简化云中加密内容的管理等.微软为云计算平台Azure 筹备代号为Sydney 的安全计划,帮助企业用户在服务器和Azure 云之间交换数据,以解决虚拟化、多租户环境中的安全性.EMC,Intel,Vmware等公司联合宣布了一个“可信云体系架构”的合作项目,并提出了一个概念证明系统.该项目采用Intel的可信执行技术(trusted execution technology)、Vmware 的虚拟隔离技术、RSA 的 enVision 安全信息与事件管理平台等技术相结合,构建从下至上值得信赖的多租户服务器集群

39、.开源云计算平台Hadoop 也推出安全版本,引入 kerberos 安全认证技术,对共享商业敏感数据的用户加以认证与访问控制,阻止非法用户对Hadoop clusters的非授权访问.4 云计算安全技术框架建议解决云计算安全问题的当务之急是,针对威胁建立综合性的云计算安全框架,并积极开展其中各个云安全关键技术研究.在本节中,我们抛砖引玉,提出一个参考性的云安全框架建议,如图3 所示.由于云计算安全监管技术与管理的特殊性,不属于本文讨论范围.该框架包括云计算安全服务体系与云计算安全标准及其测评体系两大部分,为实现云用户安全目标提供技术支撑.8 Journal of Software软件学报?/

40、?/?DDos?Fig.3 Cloud computing security framework(图中文字提供英文译文)图 3 云计算安全技术框架4.1 云用户安全目标云用户的首要安全目标是数据安全与隐私保护服务.主要防止云服务商恶意泄露或出卖用户隐私信息,或者对用户数据进行搜集和分析挖掘出用户隐私数据.例如,分析用户潜在有效的盈利模式,或者通过两个公司之间的信息交流推断他们之间可能有合作等.数据安全与隐私保护涉及用户数据生命周期中创建、存储、使用、共享、归档、销毁等各个阶段,同时涉及到所有参与服务的各层次云服务提供商.云用户的另一个重要需求是安全管理.即在不泄漏其他用户隐私且不涉及云服务商商

41、业机密的前提下,允许用户获取所需安全配置信息以及运行状态信息,并在某种程度允许用户部署实施专用安全管理软件.4.2 云计算安全服务体系云计算安全服务体系由一系列云安全服务构成,是实现云用户安全目标的重要技术手段.根据其所属层次不同,云安全服务可以进一步分为可信云基础设施服务、云安全基础服务以及云安全应用服务3 类.4.2.1 安全云基础设施服务云基础设施服务为上层云应用提供安全的数据存储、计算等IT 资源服务,是整个云计算体系安全的基石.这里,安全性包含两个层面的含义:其一是抵挡来自外部黑客的安全攻击的能力;其二是证明自己无法破坏用户数据与应用的能力.一方面,云平台应分析传统计算平台面临的安全

42、问题,采取全面严密的安全措施.例如,在物理层考虑厂房安全,在存储层考虑完整性和文件/日志管理、数据加密、备份、灾难恢复等,在网络层应当考虑拒绝服务攻击、DNS 安全、网络可达性、数据传输机密性等,系统层则应涵盖虚拟机安全、补丁管理、系统用户身份管理等安全问题,数据层包括数据库安全、数据的隐私性与访问控制、数据备份与清洁等,而应用层应考虑程序完整性检验与漏洞管理等;另一方面,云平台应向用户证明自己具备某种程度数据隐私保护能力.例如,存储服务中证明用户数据以密态形式保存,计算服务中证明用户代码运行在受保护的内存中等.由于用户安全需求存在的差异,云平台应具备提供不同安全等级的云基础设施服务的能力.冯

43、登国等:云计算安全研究9 4.2.2 云安全基础服务云安全基础服务属于云基础软件服务层,为各类云应用提供共性信息安全服务,是支撑云应用满足用户安全目标的重要手段.其中比较典型的几类云安全服务包括:(1)云用户身份管理服务.主要涉及身份的供应、注销以及身份认证过程.在云环境下,实现身份联合和单点登录可以支持云中合作企业之间更加方便地共享用户身份信息和认证服务,并减少重复认证带来的运行开销.但云身份联合管理过程应在保证用户数字身份隐私性的前提下进行.由于数字身份信息可能在多个组织间共享,其生命周期各个阶段的安全性管理更具有挑战性,而基于联合身份的认证过程在云计算环境下也具有更高的安全需求;(2)云

44、访问控制服务.云访问控制服务的实现依赖于如何妥善地将传统的访问控制模型(如基于角色的访问 控 制、基 于 属 性 的 访 问 控 制 模 型 以 及 强 制/自 主 访 问 控 制 模 型 等)和 各 种 授 权 策 略 语 言 标 准(如XACML,SAML等)扩展后移植入云环境.此外,鉴于云中各企业组织提供的资源服务兼容性和可组合性的日益提高,组合授权问题也是云访问控制服务安全框架需要考虑的重要问题;(3)云审计服务.由于用户缺乏安全管理与举证能力,要明确安全事故责任就要求服务商提供必要的支持.因此,由第三方实施的审计就显得更为重要.云审计服务必须提供满足审计事件列表的所有证据以及证据的可

45、信度说明.当然,若要该证据不会披露其他用户的信息,则需要特殊设计的数据取证方法.此外,云审计服务也是保证云服务商满足各种合规性要求的重要方式;(4)云密码服务.由于云用户中普遍存在数据加解密运算需求,云密码服务的出现也是十分自然的.除最典型的加解密算法服务外,密码运算中需要的密钥管理与分发、证书管理及分发等都可以基础类云安全服务的形式存在.云密码服务不仅为用户简化了密码模块的设计与实施,也使得密码技术的使用更集中规范,易于管理.4.2.3 云安全应用服务云安全应用服务与用户的需求紧密结合,种类繁多.典型的例子如DDOS 攻击防护云服务、Botnet 检测与监控云服务、云网页过滤与杀毒应用、内容

46、安全云服务、安全事件监控与预警云服务、云垃圾邮件过滤及防治等.传统网络安全技术在防御能力、响应速度、系统规模等方面存在限制,难以满足日益复杂的安全需求,而云计算优势可以极大地弥补上述不足:云计算提供的超大规模计算能力与海量存储能力,能在安全事件采集、关联分析、病毒防范等方面实现性能大幅提升,可用于构建超大规模安全事件信息处理平台,提升全网安全态势把握能力.此外,还可以通过海量终端的分布式处理能力进行安全事件采集,上传到云安全中心分析,极大地提高安全事件搜集与及时相应处理能力.4.3 云计算安全支撑服务体系云计算安全标准及其测评体系为云计算安全服务体系提供重要技术与管理支撑,其核心至少应覆盖以下

47、几方面内容:(1)云服务安全目标的定义、度量及其测评方法规范.帮助云用户清晰表达其安全需求,并量化其所属资产各安全属性指标.清晰无二义的安全目标是解决服务安全质量争议的基础.这些安全指标具应有可测量性,可通过指定测评机构或者第三方实验室测试评估.规范还应指定相应测评方法,通过具体操作步骤检验服务提供商对用户安全目标的满足程度.由于在云计算中存在多级服务委托关系,相关测评方法仍有待探索实现;(2)云安全服务功能及其符合性测试方法规范.该规范定义基础性的云安全服务,如云身份管理、云访问控制、云审计以及云密码服务等的主要功能与性能指标,便于使用者在选择时对比分析.该规范将起到与当前CC标准中的保护轮

48、廓(PP)与安全目标(ST)类似的作用.而判断某个服务商是否满足其所声称的安全功能标准需要通过安全测评,需要与之相配合的符合性测试方法与规范;(3)云服务安全等级划分及测评规范.该规范通过云服务的安全等级划分与评定,帮助用户全面了解服务的可信程度,更准确地选择自己所需的服务.尤其是底层的云基础设施服务以及云基础软件服务,其安全等级评定的意义尤为突出.同样,验证服务是否达到某安全等级需要相应的测评方法与标准化程序.10 Journal of Software软件学报5 云计算安全关键技术研究5.1 可信访问控制由于无法信赖服务商忠实实施用户定义的访问控制策略,所以在云计算模式下,研究者关心如何通

49、过非传统访问控制类手段实施数据对象的访问控制.其中得到关注最多的是基于密码学方法实现访问控制,包括:基于层次密钥生成与分配策略实施访问控制的方法30,31;利用基于属性的加密算法(如密钥规则的基于属性加密方案(KP-ABE)32,或密文规则的基于属性加密方案(CP-ABE)33),在用户密钥或密文中嵌入访问控制树的方法35-37,48;以及基于代理重加密34的方法等.基于密码类方案面临的一个重要问题是权限撤销,一个基本方案40是为密钥设置失效时间,每隔一定时间用户从认证中心更新私钥;文献 39对其改进引入一个在线的半可信第三方维护授权列表,文献 38 提出基于用户的唯一ID 属性及非门结构实现

50、对特定用户进行权限撤销.但目前,上述方法在带有时间或约束的授权、权限受限委托等方面仍存在许多有待解决的问题.5.2 密文检索与处理数据变成密文时丧失了许多其他特性,导致大多数数据分析方法失效.密文检索有两种典型方法:基于安全索引的方法22,47通过为密文关键词建立安全索引,检索索引查询关键词是否存在;基于密文扫描的方法21对密文中每个单词进行比对确认关键词是否存在,以及统计其出现的次数.由于某些场景(如发送加密邮件)需要支持非属主用户的检索,Boneh等人提出支持其他用户公开检索的方案23.密文处理研究主要集中在秘密同态加密算法设计.早在 20 世纪 80 年代,就有人提出多种加法同态或乘法同