計算機新技術系列講座

云安全技術綜述史維峰教授西北大學信息科學與技術學院Email：swf@云安全技術綜述云計算簡介云計算（CloudComputing）是一種通過Internet以服務的方式提供動態可伸縮的虛擬化的資源計算模式。云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，這些資源能夠被快速提供，就像用水和電一樣方便。云計算（CloudComputing）是網格計算（GridComputing）、（分布式計算）（DistributedComputing）、并行計算（ParallelComputing）、效用計算（UtilityComputing）、網絡存儲（NetworkStorageTechnologies）、虛擬化（Virtualization）、負載均衡（LoadBalance）等傳統計算機和網絡技術發展融合的產物。云安全技術綜述云計算歷程1983年，SunMicrosystems提出TheNetworkistheComputer。2006年3月，Amazon推出彈性計算云(ElasticComputeCloud

EC2）服務。2006年8月，Google首席執行官EricSchmidt在搜索引擎大會上首次提出“云計算“（CloudComputing）的概念。2007年10月，Google與IBM開始在美國大學校園，包括卡內基梅隆大學、麻省理工學院、斯坦福大學、加州大學柏克萊分校及馬里蘭大學等，推廣云計算的計劃。2008年2月，IBM宣布在中國無錫為中國的軟件公司建立全球第一個云計算中心（CloudComputingCenter）。云安全技術綜述云計算歷程2010年3月，Novell與云安全聯盟（CSA）共同宣布一項供應商中立計劃，名為“可信任云計算計劃（TrustedCloudInitiative）”。2010年7月，美國國家航空航天局NASA和包括Rackspace、AMD、Intel、戴爾等支持廠商共同宣布“OpenStack”開放源代碼計劃。2011年2月，思科系統正式加入OpenStack，重點研制OpenStack

所需的網絡服務。2010年開始，華為開展大規模云計算研究與開發，將其作為未來的重點方向之一。云安全技術綜述云計算架構圖云計算包括以下幾個層次的服務：基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）。云安全技術綜述未來云計算服務分布層次云安全技術綜述云安全技術綜述云安全技術綜述云計算安全挑戰云計算將推動信息安全領域進行又一次重大的革新

信息安全技術發展階段圖云安全技術綜述這種變革為信息安全領域帶來的沖擊表現在以下幾個方面：在云平臺中運行的各類云應用，由于沒有固定不變的基礎設施，沒有固定不變的安全邊界，所以，難以實現用戶數據安全與隱私保護；云服務所涉及的資源由多個管理者所有，存在利益沖突，無法統一規劃部署安全防護措施；在云平臺中，數據與計算高度集中，所以，安全措施必須滿足海量信息處理需求。云安全技術綜述挑戰1：

建立以數據安全和隱私保護為主要目標的云安全技術框架要重點分析與解決云計算的服務計算模式、動態虛擬化管理方式以及多租戶共享運營模式對數據安全與隱私保護帶來的挑戰。體現在以下幾個方面：云計算服務計算模式所引發的安全問題云計算的動態虛擬化管理方式引發的安全問題云計算中多層服務模式引發的安全問題云安全技術綜述挑戰2：建立以安全目標驗證、安全服務等級測評為核心的云計算安全標準及其測評體系云計算安全標準要支持廣義的安全目標云計算安全標準要支持用戶描述其數據安全保護目標、指定其所屬資產安全保護的范圍和程度還應支持用戶、尤其是企業用戶的安全管理需求，如分析查看日志信息、搜集信息了解數據使用情況展開違法操作調查等。云安全技術綜述云計算安全標準應支持對靈活、復雜的云服務過程的安全評估。傳統意義上，對服務商能力的安全風險評估方式：通過全面識別和分析系統架構下威脅和弱點及其對資產的潛在影響來確定其抵抗安全風險的能力和水平。在云計算環境下，服務方式將發生根本性的變化：云服務提供商可能租用其他服務商提供的基礎設施服務或購買多個服務商的軟件服務，根據系統狀況動態選用。云安全技術綜述挑戰3：建立可控的云計算安全監管體系實現基于云計算的安全攻擊的快速識別、預警與防護在云計算環境下，如果黑客攻入了云客戶的主機，使其成為向云服務提供商發動DDoS

攻擊的一顆棋子，那么按照云計算對計算資源根據實際使用付費的方式，這一受控客戶將在并不知情的情況下，為黑客發起的資源連線償付巨額費用。與以往DDoS

攻擊相比，基于云的攻擊更容易組織，破壞性更大。云安全技術綜述實現云計算內容的監控云計算所具有的動態性特征使得建立或關閉一個網絡服務較之以往更加容易，成本代價更低。因此，很容易以打游擊的模式在網絡上遷移，使得追蹤管理難度加大，對內容監管更加困難。如果允許其檢查，必然涉及到其他用戶的隱私問題。另外，云服務提供商往往具有國際性的特點，數據存儲平臺也?？缭絿?，將網絡數據存儲到云上可能會超出本地政府的監管范圍，或者同屬多地區或多國的管轄范圍，而這些不同地域的監管法律和規則之間很有可能存在著嚴重的沖突，當出現安全問題時，難以給出公允的裁決。云安全技術綜述Sun公司發布開源的云計算安全工具，可為Amazon的EC2，S3以及虛擬私有云平臺提供安全保護工具包括OpenSolarisVPC網關軟件，能夠幫助客戶迅速和容易地創建一個通向Amazon虛擬私有云的多條安全的通信通道；為AmazonEC2設計的安全增強的VMIs，包括非可執行堆棧，加密交換和默認情況下啟用審核。云安全盒(Cloudsafetybox)使用類AmazonS3接口，自動對內容進行壓縮、加密和拆分，簡化云中加密內容的管理。微軟為云計算平臺Azure設計的Sydney的安全計劃幫助企業用戶在服務器和Azure云之間交換數據，以解決虛擬化、多租戶環境中的安全性。國內外云計算安全技術現狀云安全技術綜述可信云體系架構EMC，Intel，Vmware

等公司聯合宣布了一個“可信云體系架構”的合作項目，提出了一個概念證明系統。該架構采用Intel的可信執行技術(TrustedExecutionTechnology)、VMware

的虛擬隔離技術、RSA的enVision

安全信息與事件管理平臺等技術相結合，以此構建從下至上值得信賴的多租戶服務器集群。開源云計算平臺Hadoop安全版本引入Kerberos安全認證技術，對共享商業敏感數據的用戶加以認證與訪問控制，阻止非法用戶對HadoopClusters的非授權訪問。國內外云計算安全技術現狀云安全技術綜述云安全架構云安全技術綜述數據安全保護涉及用戶數據生命周期中創建、存儲、使用、共享、歸檔、銷毀等各個階段，

同時涉及到所有參與服務的各層次云服務提供商。隱私保護防止云服務商惡意泄露或出賣用戶隱私信息，或者對用戶數據進行搜集和分析，挖掘出用戶隱私數據。云用戶安全目標云安全技術綜述安全云基礎設施服務云基礎設施服務。為上層云應用提供安全的數據存儲、計算等IT資源服務，是整個云計算體系安全的基石。要求具有抵擋來自外部黑客的安全攻擊的能力。并能證明自己具有無法破壞用戶數據與應用的能力。云計算安全服務體系云安全技術綜述云安全基礎服務云安全基礎服務屬于云基礎軟件服務層，為各類云應用提供共性信息安全服務，是支撐云應用滿足用戶安全目標的重要手段。包括如下服務：云用戶身份管理服務云訪問控制服務云審計服務云密碼服務云計算安全服務體系云安全技術綜述云安全應用服務云安全應用服務與用戶的需求緊密結合。典型的例子，如DDOS攻擊防護云服務、Botnet

檢測與監控云服務、云網頁過濾與殺毒應用、內容安全云服務、安全事件監控與預警云服務、云垃圾郵件過濾及防治等。云計算提供的超大規模計算能力與海量存儲能力，能在安全事件采集、關聯分析、病毒防范等方面實現性能的大幅提升，可用于構建超大規模安全事件信息處理平臺，提升對全網安全態勢的把握能力。云計算安全服務體系云安全技術綜述云服務安全目標的定義、度量及其測評方法規范幫助云用戶清晰地表達其安全需求，并量化其所屬資產各安全屬性指標。清晰且無二義的安全目標是解決服務安全質量爭議的基礎。云安全服務功能及其符合性測試方法規范定義基礎性的云安全服務，如云身份管理、云訪問控制、云審計以及云密碼服務等的主要功能與性能指標，便于使用者在選擇時對比分析。云服務安全等級劃分及測評規范通過云服務的安全等級劃分與評定，幫助用戶全面了解服務的可信程度，更加準確地選擇自己所需的服務。云計算安全支撐服務體系云安全技術綜述可信訪問控制在云計算模式下，如何通過非傳統訪問控制類手段實施數據對象的訪問控制是關鍵，這就是可信訪問控制問題。有如下的方法：基于密碼學方法實現訪問控制，包括：基于層次密鑰生成與分配策略實施訪問控制的方法；利用基于屬性的加密算法(如密鑰規則的基于屬性加密方案KP-ABE，或密文規則的基于屬性加密方案CP-ABE）；基于代理重加密的方法；在用戶密鑰或密文中嵌入訪問控制樹的方法等。云計算安全關鍵技術云安全技術綜述可信訪問控制權限撤銷?；诿艽a類方案的一個重要問題是權限撤銷，一個基本方案是為密鑰設置失效時間，每隔一定時間，用戶從認證中心更新私鑰；或對其加以改進，引入了一個在線的半可信第三方維護授權列表，基于用戶的唯一ID屬性及非門結構，實現對特定用戶進行權限撤銷。尚存在的問題。在帶有時間或約束的授權、權限受限委托等方面仍存在許多有待解決的問題。云計算安全關鍵技術云安全技術綜述密文檢索與處理數據變成密文時喪失了許多其他特性，導致大多數數據分析方法失效。密文檢索有兩種典型的方法：基于安全索引的方法。通過為密文關鍵詞建立安全索引，檢索索引查詢關鍵詞是否存在?；诿芪膾呙璧姆椒?。通過對密文中每個單詞進行比對，確認關鍵詞是否存在，以及統計其出現的次數。云計算安全關鍵技術云安全技術綜述密文檢索與處理密文處理研究主要集中在秘密同態加密算法設計上。IBM研究員Gentry利用“理想格(Ideallattice)”的數學對象構造隱私同態(Privacyhomomorphism)算法，也稱全同態加密，可以充分地操作加密狀態的數據，在理論上取得了一定突破。使相關研究重新得到研究者的關注，但目前與實用化仍有很長的距離。云計算安全關鍵技術云安全技術綜述數據存在與可使用性證明由于大規模數據所導致的巨大通信代價，用戶不可能將數據下載后再驗證其正確性。因此，云用戶需在取回很少數據的情況下，通過某種知識證明協議或概率分析手段，以高置信概率判斷遠端數據是否完整。典型的工作包括：面向用戶單獨驗證的數據可檢索性證明(POR)方法、公開可驗證的數據持有證明(PDP)方法。云計算安全關鍵技術云安全技術綜述數據存在與可使用性證明NEC實驗室提出的PDI(Provabledataintegrity)方法，改進并提高了POR方法的處理速度以及驗證對象規模，且能夠支持公開驗證。其他典型的驗證技術包括：基于新的樹形結構MACTree的方案；

基于代數簽名的方法；基于BLS同態簽名和RS糾錯碼的方法等。云計算安全關鍵技術云安全技術綜述數據隱私保護云中數據隱私保護涉及數據生命周期的每一個階段。典型的工作包括：Roy等人將集中信息流控制(DIFC)和差分隱私保護技術融入云中的數據生成與計算階段，提出了一種隱私保護系統Airavat，防止Mapreduce計算過程中非授權的隱私數據泄露出去，并支持對計算結果的自動除密。差分隱私保護是誕生于2006年的一種數據隱私保護新方法，通過添加噪聲使數據失真，從而起到保護隱私的目的。

在數據存儲和使用階段，有研究者提出了一種基于客戶端的隱私管理工具，提供以用戶為中心的信任模型，幫助用戶控制自己的敏感信息在云端的存儲和使用。云計算安全關鍵技術云安全技術綜述數據隱私保護Munts-Mulero

等人討論了現有的隱私處理技術，包括K匿名、圖匿名以及數據預處理等，作用于大規模待發布數據時所面臨的問題和現有的一些解決方案很有效。K-匿名是數據發布時保護私有信息的一種重要方法。K-匿名技術是1998年由Samarati和Sweeney提出的,它要求發布的數據中存在一定數量(至少為K)的在準標識符上不可區分的記錄,使攻擊者不能判別出隱私信息所屬的具體個體,從而保護個人隱私。K-匿名通過參數K指定用戶可承受的最大信息泄露風險。K-匿名化在一定程度上保護了個人的隱私,但同時會降低數據的可用性。因此,K-匿名化的研究工作主要集中在保護私有信息的同時提高數據的可用性。Rankova

等人提出一種匿名數據搜索引擎，可以使得交互雙方搜索對方的數據，獲取自己所需要的部分，同時保證搜索詢問的內容不被對方所知，搜索時與請求不相關的內容不會被獲取。云計算安全關鍵技術云安全技術綜述虛擬安全技術虛擬技術是實現云計算的關鍵技術。使用虛擬技術的云架構提供者必須向其客戶提供安全性和隔離保證。

典型的工作包括：Santhanam

等人提出了基于虛擬機技術實現的Grid

環境下的隔離執行機。云計算安全關鍵技術云安全技術綜述虛擬安全技術Raj

等人提出了通過緩存層次可感知的核心分配，并給緩存劃分的頁染色的兩種資源管理方法實現性能與安全隔離。這些方法在隔離影響一個VM的緩存接口時是有效的，并整合到一個樣例云架構的資源管理(RM)框架中。部分研究者還重點研究了虛擬機映像文件的安全問題。即對每一個映像文件對應一個客戶應用，它們必須具有高完整性，且可以安全共享的機制。所提出的映像文件管理系統實現了映像文件的訪問控制、來源追蹤、過濾和掃描等，可以檢測和修復安全性違背問題。云計算安全關鍵技術云安全技術綜述云資源訪問控制在云計算環境中，各個云應用屬于不同的安全管理域，每個安全域都管理著本地的資源和用戶。當用戶跨域訪問資源時，需在域邊界設置認證服務，對訪問共享資源的用戶進行統一的身份認證管理。在跨多個域的資源訪問中，各域有自己的訪問控制策略，在進行資源共享和保護時必須對共享資源制定一個公共的、雙方都認同的訪問控制策略，因此，需要支持策略的合成。云計算安全關鍵技術云安全技術綜述云資源訪問控制具體的方法有：Mclean在強制訪問控制框架下，提出了一個強制訪問控制策略的合成框架，并將兩個安全格合成一個新的格結構。策略合成的同時還要保證新策略的安全性，

新的合成策略不能違背各個域原來的訪問控制策略。Gong提出了自治原則和安全原則。云計算安全關鍵技術云安全技術綜述云資源訪問控制Bonatti提出了一個訪問控制策略合成