云內容的安全框架及其關鍵技術

薛一波 王大偉

中圖分類號：TN915.1文獻標志碼：A 文章編號：1009-6868 (2012) 04-0019-004

摘要：文章從云內容面臨的安全挑戰出發，針對云內容面臨的安全問題，提出云內容的安全模型。模型包括云內容管理安全、云內容訪問安全、云內容的健康性安全3個層次。在此模型基礎上，文章探討了云內容的安全框架及關鍵技術，包括云內容隔離安全保障技術、云內容存儲安全保障技術、數據加密存儲技術、密鑰管理技術、數據備份技術、數據銷毀技術、密碼認證技術、密鑰認證技術、用戶權限管理技術、篩子理論、加密協議識別技術、用戶訪問行為檢測技術等。

關鍵詞： 云計算；云內容；安全框架

Abstract:In this paper, we propose a model for securing cloud content. This model has three security levels: management security, access security, and condition of cloud content. We propose a security framework that includes isolated security, cloud storage security, encryption storage, private key management, disaster backup, data destruction, password and private key authentication, authority management, griddle method, encryption protocol identification, and access behavior detection.

Key words: cloud computing; cloud content; security framework

云計算通過將大規模的計算資源和存儲資源以可靠服務的形式提供給用戶，使其從繁重、復雜、易錯的計算機資源管理中解放出來，從而大幅降低信息化的復雜度[1]。自從云計算概念被提出以來，在產業界產生了巨大反響。Google、IBM、Amazon、Microsoft、Intel等國際產業巨頭紛紛投以財力和物力，積極跟進云計算的研究、應用和部署。同時，云計算也為信息產業的發展注入了一劑強心劑，已經成為學術界以及政府部門關注的焦點[2]。

云計算在帶來計算方式和商業模式變革的同時，也為數據內容領域的發展開辟了新的思路。用戶可將數據直接存儲于云計算平臺中，而無需搭建復雜、易錯的存儲系統。云計算平臺利用云存儲技術存儲用戶的海量數據，一方面可以節省整體的硬件成本;另一方面可提供靈活、可擴展的服務。由于云存儲所具有的透明性，用戶無需關心存儲邏輯，可以更加專注于業務本身，極大地提升了工作效率[3]。然而，將數據內容存儲于云計算平臺上也帶來很多安全隱患：一方面，對于企業和個人來說，數據的安全性是極為重要的，一旦重要數據被破壞、丟失或竊取，就會產生重大影響，造成難以彌補的損失，甚至要承擔法律責任[4]，所以數據安全已經成為企業和個人將數據遷移到云計算平臺的最大障礙之一；另一方面，不法分子也會利用云計算平臺肆意傳播盜版、色情、暴力和非法內容，這不僅會給云計算平臺帶來很大的安全隱患，還給云計算服務提供商帶來了連帶責任，同時對互聯網的凈化、社會的和諧、國家的穩定造成不良影響。因此，如何解決云計算平臺數據內容(即云內容)的這兩方面安全已迫在眉睫，已經成為影響云計算健康發展的重要障礙。

1 云內容面臨的安全挑戰

云計算平臺集中存儲了大量用戶的海量數據，這些海量數據面臨著很多安全隱患：

(1)外部惡意攻擊帶來的安全問題

云計算平臺是一個共有和開放資源，面向所有互聯網的用戶。云計算平臺面臨著更大的網絡安全威脅(如DOS攻擊、病毒、木馬等)，甚至引起黑客、競爭對手、牟利者的惡意攻擊，一旦遭到攻擊或破壞，將導致大量用戶數據的外泄，造成惡劣后果。因此，如何保證云內容的機密性、完整性、可用性、抗抵賴、可鑒別？如何提供有效的安全訪問、認證及檢測手段？如何確保云計算的安全接入？等等，這些問題是云內容面臨的首要安全挑戰。

(2)內部管理不善而導致的安全問題

利用云計算提供的彈性、低成本、高利用率和透明的存儲服務，用戶可以不用關心存儲設備的基本信息和所在場所，極大地提升了工作效率。然而，這種將數據內容集中存放的方式雖然能夠將資源動態地分配給需要資源的用戶，卻提升了數據內容管理的難度。在數據內容安全問題上，管理不善造成的數據損失、數據損毀，其發生率和影響度都遠遠超過外部入侵。如何管理大量用戶的海量數據內容是云內容面臨的另一個安全挑戰。

(3)云內容的“健康性”問題

云計算在給用戶帶來便捷服務的同時，也為不法分子提供了便利的環境。不法分子利用云計算平臺肆意傳播盜版、色情、暴力和非法內容，不僅對網絡的凈化、社會的和諧、國家的穩定造成不良影響，還給云計算服務提供商帶來連帶法律責任。為了解決這一問題，除了通過立法打擊這些違法和犯罪行為，還需要能夠快速、準確地對這些不良內容進行甄別和檢測，才能保障云計算平臺的“干凈”。因此，如何在不涉及用戶隱私的前提下，實現云內容的“健康”檢查不僅是云內容面臨的安全挑戰，更是確保云計算健康發展的重要保障。

在互聯網飛速發展的今天，“數據為王”、“內容為王”的理念已經深入到每一個企業、每一個IT人的骨髓，數據內容已經成為企業的重要戰略資源，云內容的安全不僅影響著企業和個人選擇云計算服務的意愿，還關系著云計算領域能否健康發展。

2 云內容安全模型

云計算不僅帶來了計算方式和商業模式上的變革，還向信息安全技術提出了新的要求。由于云計算所具有的虛擬化、集中存儲等特點，傳統的信息安全技術已不能滿足需求。特別是云內容的安全保護，已經成為目前業界的研究重點。雖然現有的云計算產品已經提供了一些安全服務，但是云內容仍面臨很多安全挑戰。基于此，我們提出一個云內容的安全模型，如圖1所示，以期更好地指導云內容安全技術的研究。

云內容安全模型包括3個層次：

(1)云內容管理安全

云內容管理安全包含兩個層次：云內容隔離安全和云內容存儲安全。

首先，云計算多采用動態分配的方法分配存儲資源，特別是在多重用戶架構下，所有用戶數據被共同保存在一個軟件實例內[5]。云計算平臺通常會利用數據隔離機制來保證各個用戶之間的數據不可見，然而不當的系統配置以及系統漏洞都可能造成云內容隔離的失敗。如何保障用戶數據的絕對隔離是云內容管理安全面臨的首要問題。

其次，由于云計算的開放性，云內容隨時面臨著不可知的安全問題。因此，為云內容提供存儲安全防護，例如安全備份、數據加密及審計等，也是云內容管理安全需要考慮的重要問題。

(2)云內容訪問安全

云計算向用戶提供了一個統一的接口，這個接口為用戶屏蔽了復雜的硬件設置，提供了透明服務。利用這個接口用戶可以更加方便地訪問、修改云內容。但是這個接口在給用戶帶來便利的同時，也為黑客或不法分子竊取用戶的云內容提供了方便。如何保障用戶對云內容的訪問安全是保障云內容安全的關鍵問題，直接影響著用戶選擇云計算服務的意愿。云內容訪問安全包括用戶認證和用戶鑒權。用戶認證是一種被動的防護機制，它通過認證用戶的登陸密碼、密鑰實現云內容的訪問安全防護。用戶鑒權是一種主動的防護機制，它通過甄別用戶的訪問行為，發現異常訪問，保護實現云內容的訪問安全防護。

(3)云內容的健康性安全

目前，很多云計算平臺都允許用戶在其上構建自定義業務，如超文本傳輸協議(HTTP)業務、虛擬專用網(VPN)業務等。利用這一優勢，用戶既可以快速地搭建自己的業務，又能節省硬件維護成本，有利于年輕人創業和應用創新。但是，這一優勢也會被越來越多的不法分子利用，他們利用云計算平臺肆意傳播盜版、色情、暴力和非法內容，既提高了傳播速度和效率，甚至牟取了暴利；又不需承擔責任(做了就跑或者頻繁變換身份等)，卻給云計算服務提供商帶來了不良后果和連帶責任。如何確保云內容的健康是云計算引發的一個新問題，只有保障云內容的健康性，才能使云計算健康、快速的發展。

3 云內容安全框架及關鍵

技術

為了保障云內容的完整性、機密性、可用性、抗抵賴和可鑒別，在云內容安全模型的基礎之上，我們提出了云內容的安全框架以及相應的關鍵技術，如圖2所示。

3.1 云內容管理安全

通常我們將云內容安全狹義化為由外部攻擊入侵帶來的安全問題，但實際上，由于內部管理不善而導致的云內容損失、損毀，其發生率和后果的嚴重程度都遠超外部攻擊。針對云內容在管理方面面臨的隔離安全和存儲安全問題，我們提出了云內容隔離安全保障技術以及云內容存儲安全保障技術。

3.1.1 云內容隔離安全保障技術

在多重用戶的背景下，數據隔離已經成為用戶選擇云計算服務首要考慮的問題。云內容隔離安全保障技術主要包含以下關鍵技術：

(1)數據隔離技術

隨著云計算技術的成熟，多重用戶已不再是新鮮的概念。目前已經有幾種相當成熟的架構用來幫助系統實現數據隔離：共享表架構、分離表架構以及分離數據庫架構。這3種架構各有優缺點，在超大型的云計算環境中，可以采用復合型的多重用戶架構，以平衡系統成本和性能。

(2)數據殘留清除技術

存儲介質被擦除后，數據能夠被重建，這些數據被稱為數據殘留。云計算平臺為用戶動態分配存儲空間，當用戶將云內容刪除只是清除文件指針，當這部分內容被重新分配，非授權用戶就可以通過一些系統功能恢復以前的信息，造成信息泄露。因此，為了實現用戶信息的絕對隔離，必須利用數據殘留清除技術，在用戶刪除云內容后將數據徹底刪除。

3.1.2 云內容存儲安全保障技術

對用戶來說，選擇云計算服務的首要問題是數據的安全。由于云計算的共有和開放性，云內容隨時面臨著不可知的威脅。云內容存儲安全保障技術正是為了應對這些威脅而設計的，即使云計算平臺被非法入侵，用戶的數據也可以免遭泄露。

(1)數據加密存儲技術

為了最大程度地保障用戶數據的機密性，可以對云內容進行加密存儲。數據加密存儲技術可以根據用戶的需要選擇不同的加密算法，例如當用戶數據量很大時，可以選擇AES、RC4加密算法；用戶需要高強度加密時，可以選擇3DES加密算法。而無論采用何種加密算法，對用戶來說都是透明的。

(2)密鑰管理技術

數據加密存儲技術為云內容提供了最堅實的保障，但也帶來了一個問題：密鑰管理。由于云計算平臺的用戶數量非常多，密鑰管理是一個極具挑戰的工作。如何管理好每個用戶的密鑰是云內容存儲安全保障技術的關鍵和核心。

(3)數據備份技術

數據備份是容災的基礎，是指為防止系統出現操作失誤或系統故障導致數據丟失，而將全部或部分數據從應用主機的硬盤或磁盤陣列復制到其他的存儲介質的過程。為了最大程度地保護云內容的存儲安全，數據備份勢在必行。

(4)數據銷毀技術

在某些情況下，數據泄露造成的影響比數據丟失更嚴重。在某些特殊的情況下，可以利用數據銷毀技術銷毀機密云內容，特別是用戶密鑰，這樣可以最大程度地減少損失，保障用戶的利益。

3.2 云內容訪問安全

云計算將計算模式從分布式轉變為集中式，用戶只要將數據內容遷移到云計算平臺，就可以享受到便利的計算服務。然而，這種轉變在帶來便利的同時，也帶來了風險。相比私有的存儲環境，黑客能夠更加容易地從云計算平臺上獲取用戶的機密數據。針對這一問題，云內容訪問安全將從用戶認證和用戶鑒權兩個角度出發保護云內容的訪問安全。

用戶認證是一種被動的防護技術，它通過安全訪問機制，例如身份認證、加密傳輸及訪問控制等，實現云內容訪問安全的保護。目前多數云計算平臺都提供用戶認證服務，但僅僅利用用戶認證仍無法有效抵御黑客的攻擊。用戶鑒權是一種主動防護技術，他通過甄別用戶的訪問行為判斷用戶是否合法，以保護云內容安全。

3.2.1 用戶認證

用戶認證是一種被動的云內容訪問安全保護技術。它包含以下關鍵技術：

(1)密碼認證技術

用戶輸入用戶名和密碼后，云計算平臺將其與數據庫對應項進行比較，實現對用戶的認證。密碼認證技術是最常用、最便捷的用戶認證技術，但其本身就存在安全隱患。例如，使用明文傳輸或存儲用戶名和密碼而被黑客竊取。因此，密碼認證技術需要和加密技術(例如，MD5加密技術)相配合，實現安全的用戶認證。

(2)密鑰認證技術

非對稱加密算法給“密鑰認證”提供了理論基礎。云計算平臺可以為每一個用戶分配一個私鑰，而使用公鑰對用戶的數據進行解密。由于僅僅擁有者本人知道私人密鑰，這種被處理過的報文就形成了一種電子簽名，從而確認了擁有密鑰對的用戶的身份。該技術的難點在于密鑰的管理。

(3)用戶權限管理技術

云計算平臺擁有大量的用戶，而每一個用戶所具有的權限均不相同。在用戶登錄后，為其賦予不同的權限，以訪問不同的資源是用戶權限管理技術所需解決的核心問題。該技術的研究可以使用沙漏模型。

3.2.2 用戶鑒權

面對復雜的網絡環境，僅靠用戶認證難以保障云內容的訪問安全。針對這一問題，我們提出了用戶鑒權技術，其關鍵技術包括：

(1)篩子理論

云計算用戶量非常大，而非授權訪問的用戶可能只占其中很小的比例。如何從大量用戶的訪問中尋找出少量的非法訪問，則需要一個機制將大部分正常訪問快速過濾掉。對此，我們提出了篩子理論，通過快速過濾大部分正常訪問連接，來提高云內容訪問安全檢測的效率。篩子理論的核心是一個用戶行為規則庫。通過長期觀察記錄合法用戶的簡單訪問特征(如訪問IP地址、訪問時間、訪問時長及訪問協議等)，篩子理論為每一個合法用戶建立訪問規則。如果某個用戶訪問連接違反了規則庫中的訪問規則，就輸入到用戶訪問行為檢測引擎中檢測，或直接攔截。

(2)加密協議識別技術

由于云計算平臺提供了多種加密傳輸的方式，因此要想實現對用戶行為的檢測就必須有效識別加密協議。對于一些公開的加密協議，可以使用基于關鍵字的加密協議識別技術進行識別。但對于那些不公開的私有加密協議，就需要使用基于機器學習的加密協議識別技術，利用目標協議在網絡中的傳輸行為特征，進行特定加密協議的識別。

(3)用戶訪問行為檢測技術

由于目的不同，黑客在訪問云內容時的行為與合法用戶可能有很大的區別，例如黑客可能會執行大量的拷貝命令轉移數據，而這些行為均會導致其訪問流量的異常。用戶訪問行為檢測技術將用戶訪問行為定義為用戶在訪問云內容時一系列動作的集合。通過分析這些動作的特點，提取大量的統計特征(獲取的數據大小、訪問的時長等)，并利用分類方法對這些統計特征進行建模，最終達到檢測用戶訪問行為的目的。行為檢測是目前非常流行的安全防護技術，其難點在于行為特征的抽取，以及分類方法的選擇。

3.3 云內容健康性檢查

在本文提出的安全框架中，云內容健康性檢查的主要目的是：檢測云內容是否合法？是否合規？是否包含盜版、色情、暴力和非法內容。其關鍵技術包括：

(1)基于關鍵字的內容檢測技術

該技術對數據內容進行關鍵字的過濾和檢測，既可以支持多個關鍵詞邏輯過濾操作，又可以根據關鍵詞權重、重復次數計算信息的可疑程度。然而，由于不同國家和地區的法律限制不同、云計算所具有的并發多連接以及高帶寬等特性、以及加密協議的廣泛應用，基于關鍵字的檢測技術的效果受到越來越嚴重的挑戰。

(2)基于統計特征的內容檢測技術

與基于關鍵字的內容檢測技術不同，該技術使用網絡流的統計特征實現云內容的檢測。與基于關鍵字的檢測方法類似，在檢測之前，需要抽取非法內容的統計特征，以訓練檢測模型。統計特征的提取將根據非法內容的特點逐一確定。例如，對于網頁類的非法內容，可以確定腳本文件大小、腳本中目標文件的大小及個數等統計特征作為非法內容的訓練樣本。檢測模型則可以根據統計特征的缺點，選擇多種機器學習方法，例如支持向量機(SVM)、決策樹等。由于該技術能夠在不對數據包進行深度檢測的前提下對云計算的服務內容進行審查，因此能夠有效應對加密協議帶來的挑戰。

(3)應用檢測技術

由于云計算平臺的開放性，不法分子可以在其上部署各種非法應用，以達到傳播非法內容的目的。而應用的檢測技術則可以達到檢測非法應用，從而阻止非法內容傳播的目的。由于傳播非法內容的應用多采用加密算法對內容進行加密，對這類應用的檢測越來越困難。應用檢測技術在基于統計的加密協議識別技術基礎上，具備多流協同檢測能力。

(4)證據留存技術

對檢測出的非法內容進行證據提取以及留存，能夠切實保護云計算服務提供商的合法權益。對于明文傳輸內容，證據留存技術通過采樣、截取，提取明文傳輸內容作為非法內容的證據；而對于密文傳輸內容，證據留存技術將在內容檢測技術的基礎之上，從傳輸內容中提取統計特征作為非法內容的證據。此外，證據留存技術還將通過人工審查和計算機自動審查相結合，一方面，提升內容審查的效率、精度，另一方面，簡化取證過程。

3.4 其他關鍵技術

云內容安全框架還包括以下關鍵技術：

(1)軟件安全檢測技術

軟件安全是指選擇的云計算產品、版本是否穩定安全？是否有漏洞？是否配置正確？軟件安全檢測技術結合安全配置檢測技術和漏洞掃描技術，實現云計算產品的漏洞掃描、安全配置核查，及時發現不當的配置以及嚴重的系統漏洞，保障云內容安全。

(2)虛擬化安全網關技術

在傳統的計算模式下，安全網關扮演著至關重要的作用，除了轉發數據包，還承擔著防火墻、入侵檢測等功能。由于共有和公開性，云計算平臺已經成為黑客攻擊的重點目標。在這種情況下，安全網關的部署就顯得更加重要。然而云計算的虛擬化技術給安全網關帶來了新的挑戰，設計虛擬化安全網關已經勢在必行。

4 結束語

目前，云內容的安全已經成為阻礙個人和企業將數據內容遷移至云環境的主要障礙。雖然目前主流的云計算產品均提供了相應的安全技術保障云內容的安全，但云內容仍然面臨著管理、訪問及健康性等安全隱患。本文針對目前云內容面臨的安全問題，以及當前安全技術的不足，嘗試提出云內容的安全框架及其關鍵技術，以達到拋磚引玉的目的。該安全框架能夠彌補現有安全技術的缺陷，保障云內容的安全。

5 參考文獻

[1] ARMBRUST M, FOX A, GRIFFITH R, et al. Above the clouds: A berkeley view of cloud computing [R]. EECS-2009. Berkeley, CA,USA:EECS Department, University of California, Berkeley, 2009.

[2] 陳康, 鄭緯民. 云計算：系統實例和研究現狀 [J]. 軟件學報, 2009, 20(5):1137-1148.

[3] BOSS G, MALLADI P, QUAN D, et al. Cloud computing [R]. White Paper. IBM, 2007.

[4] 馮登國, 張敏, 張妍, 等. 云計算安全研究 [J]. 軟件學報, 2011, 22(1):71-83.

[5] 張云勇, 陳清金, 潘松柏, 等. 云計算安全關鍵技術分析 [J]. 電信科學, 2010, 29(9):64-68.

收稿日期：2012-04-29

作者簡介

薛一波，中國科學院計算技術研究所博士畢業；現任清華大學信息技術研究院研究員、CPU&SOC中心副主任；目前主要研究方向為網絡與信息安全、云計算及云安全、計算機體系結構等；承擔課題40余項，發表論文100多篇，申請發明專利20余項。

王大偉，哈爾濱理工大學博士畢業；清華大學信息技術研究院助理研究員；主要從事網絡與信息安全領域的研究；已發表學術論文10余篇，其中SCI收錄2篇，EI收錄8篇。