云計(jì)算差異化安全技術(shù)研究*

李冬梅，尹式鈞，陳劍勇

（1.中興通訊股份有限公司技術(shù)戰(zhàn)略部 深圳 518057；2.深圳大學(xué)計(jì)算機(jī)與軟件學(xué)院 深圳 518060）

云計(jì)算差異化安全技術(shù)研究*

李冬梅1，尹式鈞2，陳劍勇2

（1.中興通訊股份有限公司技術(shù)戰(zhàn)略部 深圳 518057；2.深圳大學(xué)計(jì)算機(jī)與軟件學(xué)院 深圳 518060）

云計(jì)算的部署和應(yīng)用可以明顯節(jié)約IT成本，促進(jìn)業(yè)務(wù)的創(chuàng)新和發(fā)展，然而公有云將用戶數(shù)據(jù)和業(yè)務(wù)處理環(huán)節(jié)交由獨(dú)立第三方提供，使用戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)面臨更多的安全威脅，安全已經(jīng)成為云計(jì)算發(fā)展的主要瓶頸。本文根據(jù)用戶對(duì)云業(yè)務(wù)多樣化的安全需求，提出差異化安全技術(shù)框架，在滿足用戶安全要求的前提下，降低安全對(duì)云計(jì)算計(jì)算資源的消耗，從而促進(jìn)云計(jì)算的應(yīng)用。

云計(jì)算；安全；差異化安全

1 引言

云計(jì)算使內(nèi)容提供商能夠快速地部署和擴(kuò)展服務(wù)，并通過低成本、付費(fèi)使用的模式獲利。與此同時(shí)，用戶能夠充分地體驗(yàn)基于互聯(lián)網(wǎng)運(yùn)算的彈性。云計(jì)算一般表現(xiàn)為軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）的形式。成功運(yùn)營(yíng)云計(jì)算的企業(yè)包括亞馬遜的EC2/S3、Google App和force.com等。

然而，由云計(jì)算提供的彈性和高效配置對(duì)安全提出更高要求[1]。用戶很難完全信任基于云計(jì)算的服務(wù)，因?yàn)樵朴?jì)算對(duì)數(shù)據(jù)的存儲(chǔ)和防護(hù)機(jī)制不能由用戶完全控制，所以會(huì)導(dǎo)致更多的安全風(fēng)險(xiǎn)。例如服務(wù)提供商將用戶已經(jīng)刪除的數(shù)據(jù)進(jìn)行恢復(fù)，用于非法獲利或者將用戶的隱私信息非法賣給第三方等[2]。

當(dāng)前的云安全研究仍然處于早期階段，還沒有一套通用的模式或技術(shù)出現(xiàn)。目前的一些研究方法包括隔離不同用戶的業(yè)務(wù)和數(shù)據(jù)，防止用戶間的安全風(fēng)險(xiǎn)互相滲透[2]；利用第三方審計(jì)平臺(tái)確保用戶數(shù)據(jù)的完整性[3,4]；研究基于數(shù)據(jù)屬性和語(yǔ)義的訪問控制機(jī)制[5,6]；采用多種安全策略來(lái)驗(yàn)證和管理用戶的身份，從而保護(hù)數(shù)據(jù)不受未經(jīng)授權(quán)的用戶使用，例如針對(duì)訪問用戶數(shù)據(jù)和操作系統(tǒng)的事件，亞馬遜通過日志進(jìn)行詳細(xì)審計(jì)[6]。

以上對(duì)云計(jì)算安全的研究，都是應(yīng)對(duì)某一具體的安全威脅，并沒有在系統(tǒng)層面建立有效應(yīng)對(duì)各種安全威脅的綜合解決方案。而且，這些針對(duì)特定安全威脅的技術(shù)并沒有反映云計(jì)算用戶對(duì)安全需求的動(dòng)態(tài)變化。例如有些服務(wù)涉及公共信息，只需要基礎(chǔ)的安全。而一些重要的服務(wù)，如電子商務(wù)的交易過程，則需要有非常高的安全要求。可見，如果將傳統(tǒng)安全解決方案所追求的安全性越高越好的策略用于設(shè)計(jì)云計(jì)算安全解決方案，將明顯浪費(fèi)云計(jì)算資源。

2 差異化安全需求

安全，本質(zhì)意義上講是對(duì)風(fēng)險(xiǎn)的有效控制。信息安全技術(shù)只能降低風(fēng)險(xiǎn)發(fā)生的概率，而不能完全避免事件的發(fā)生。因此，若不考慮安全的實(shí)施成本，用戶對(duì)安全的需求是無(wú)止境的。從這個(gè)意義上講，如何在成本可控的前提下，盡量減少安全風(fēng)險(xiǎn)，成為近年來(lái)網(wǎng)絡(luò)安全解決方案發(fā)展的主要方向。差異化安全服務(wù)指系統(tǒng)為用戶提供個(gè)性化安全防護(hù)能力，滿足用戶多樣化的安全要求。差異化安全服務(wù)主要來(lái)源于以下安全需求[7,8]。

（1）業(yè)務(wù)日益豐富導(dǎo)致安全需求的多樣性

云計(jì)算將大規(guī)模的計(jì)算承載在云端運(yùn)行，客戶終端可以通過輕量級(jí)的應(yīng)用（如Web應(yīng)用）來(lái)獲取相應(yīng)的數(shù)據(jù)。隨著IT技術(shù)的進(jìn)步和應(yīng)用需求的擴(kuò)展以及計(jì)算能力的不斷增加，建立在云端的業(yè)務(wù)將會(huì)趨向多樣化。

一方面，不同的業(yè)務(wù)有不同的安全需求，采用單一的安全機(jī)制無(wú)法適應(yīng)業(yè)務(wù)多樣化的需求。比如對(duì)于朋友之間日常聊天的話音業(yè)務(wù)，傳輸?shù)男畔①Y產(chǎn)對(duì)第三方來(lái)講價(jià)值比較低，因此不需要有高等級(jí)的安全服務(wù)；但如果傳輸?shù)男畔⑹桥c金融業(yè)務(wù)相關(guān)的，如信用卡信息，就必須有高等級(jí)的安全服務(wù)來(lái)確保信息不被泄露。

另一方面，同一業(yè)務(wù)在不同場(chǎng)合以及面對(duì)不同使用者時(shí)，其業(yè)務(wù)的安全需求也可能不同。比如多媒體視頻業(yè)務(wù)，當(dāng)用于視頻點(diǎn)播時(shí)，只需要低等級(jí)的安全防護(hù)；而用于商業(yè)目的的視頻會(huì)議，若傳輸?shù)男畔①Y產(chǎn)價(jià)值比較高，則需要高等級(jí)的安全防護(hù)。因此，從業(yè)務(wù)需求的角度分析，云計(jì)算需要從技術(shù)上提供機(jī)制，使具體的業(yè)務(wù)可以選擇合適等級(jí)和技術(shù)的安全防護(hù)，而選擇權(quán)既可以在終端，也可以在云端服務(wù)器，還可以是雙方的平等協(xié)商。

（2）只有分級(jí)的安全服務(wù)才能有效地利用資源

當(dāng)服務(wù)商將業(yè)務(wù)搬到云計(jì)算平臺(tái)上時(shí)，安全需求的差異性就阻礙了業(yè)務(wù)的部署。如果統(tǒng)一應(yīng)用高等級(jí)的安全服務(wù)（如加密全部數(shù)據(jù)），會(huì)嚴(yán)重制約計(jì)算資源的合理使用。對(duì)信息價(jià)值不大的業(yè)務(wù)使用高等級(jí)安全意味著計(jì)算資源的浪費(fèi)，從這個(gè)意義上講，有必要根據(jù)信息資產(chǎn)價(jià)值的大小，適當(dāng)進(jìn)行分級(jí)處理。對(duì)于高安全需求的業(yè)務(wù)，采用較高級(jí)別的防護(hù)力度；對(duì)于低安全需求的業(yè)務(wù)，采用低級(jí)別的防護(hù)力度。從而能夠建立資源有償使用機(jī)制，有效利用資源。

（3）安全服務(wù)需要持續(xù)的投入

將應(yīng)用服務(wù)遷移到云平臺(tái)是一個(gè)重要的發(fā)展趨勢(shì)。安全的網(wǎng)絡(luò)意味著網(wǎng)絡(luò)提供商需要更多的投資，并且安全是相對(duì)的，不存在絕對(duì)安全的網(wǎng)絡(luò)。安全防護(hù)力度和網(wǎng)絡(luò)提供商對(duì)網(wǎng)絡(luò)安全設(shè)施的投入多少緊密相關(guān)，這種投入至少包含網(wǎng)絡(luò)安全管理、安全設(shè)備、更多的帶寬消耗、計(jì)算資源消耗、對(duì)安全管理人員和用戶的安全培訓(xùn)等費(fèi)用。

將投入和產(chǎn)出聯(lián)系起來(lái)，形成可持續(xù)發(fā)展的價(jià)值鏈，是實(shí)現(xiàn)網(wǎng)絡(luò)安全良性發(fā)展的前提條件。因此客觀上需要有技術(shù)解決方案，提供將差異化安全服務(wù)轉(zhuǎn)化為增值服務(wù)的途徑，從而由運(yùn)營(yíng)商或服務(wù)商向用戶提供按需所取的安全服務(wù)，并根據(jù)服務(wù)的代價(jià)進(jìn)行合理收費(fèi)。安全一旦成為一種增值業(yè)務(wù)，用戶為高等級(jí)的安全服務(wù)支付費(fèi)用，對(duì)低等級(jí)的安全服務(wù)免費(fèi)或支付少量費(fèi)用。這樣一來(lái)，運(yùn)營(yíng)商既能夠?qū)踩耐度朕D(zhuǎn)化為可盈利的業(yè)務(wù)，又滿足了用戶對(duì)安全的差異化需求。

（4）針對(duì)用戶簡(jiǎn)單、高效的安全服務(wù)

安全服務(wù)內(nèi)涵豐富，既包括基礎(chǔ)安全服務(wù)，如加密、認(rèn)證、抗抵賴、完整性保護(hù)等；也包括應(yīng)用安全服務(wù)，如在線殺毒、入侵檢測(cè)、安全預(yù)警、內(nèi)容監(jiān)控等。除了防止信息被非法獲取外，還需要防范更廣泛的安全威脅，如病毒的攻擊、木馬程序?qū)π畔⒌姆欠ㄊ占?、用戶欺騙等威脅，因此，安全解決方案越來(lái)越復(fù)雜。然而由于用戶需要簡(jiǎn)單有效地使用各種業(yè)務(wù)，因此需要把復(fù)雜的安全服務(wù)以及相應(yīng)的安全配置，盡量在網(wǎng)絡(luò)側(cè)解決，從而確保用戶在沒有安全專業(yè)知識(shí)的情況下，能夠享受到安全的各種業(yè)務(wù)。

3 安全域的劃分

業(yè)務(wù)數(shù)據(jù)流在云計(jì)算中一般處于傳輸、業(yè)務(wù)邏輯處理和存儲(chǔ)3種狀態(tài)中的一種。業(yè)務(wù)數(shù)據(jù)在一種狀態(tài)下所面臨的安全威脅基本相同，因此所需要的安全功能相同。為了便于安全中心通過安全策略控制云計(jì)算中的安全功能，筆者將云計(jì)算安全劃分為傳輸安全域、業(yè)務(wù)邏輯安全域和存儲(chǔ)安全域3個(gè)安全域，如圖1所示。存儲(chǔ)安全域和業(yè)務(wù)邏輯安全域通過傳輸安全域相互鏈接。安全中心控制每個(gè)安全域所屬安全功能的運(yùn)行。安全中心承擔(dān)安全策略的管理功能，并通過安全策略驅(qū)動(dòng)3個(gè)安全域所屬的安全功能對(duì)用戶業(yè)務(wù)數(shù)據(jù)實(shí)施差異化安全防護(hù)。

圖1 安全中心、安全域與用戶終端的相互關(guān)系

安全域劃分的優(yōu)點(diǎn)如下。

·同一個(gè)安全域面臨相似的安全威脅，這種劃分有利于每一個(gè)安全域?qū)Ｗ⒔鉀Q本域的安全問題。

·盡管云計(jì)算解決方案有復(fù)雜的部署方式，但用戶數(shù)據(jù)可以歸結(jié)為由傳輸、業(yè)務(wù)邏輯處理和存儲(chǔ)3種狀態(tài)組成。這種功能域劃分方式有助于從邏輯層面設(shè)計(jì)出有效的安全架構(gòu)。

·對(duì)云計(jì)算來(lái)說，傳輸、業(yè)務(wù)邏輯和存儲(chǔ)3大功能域并沒有必要由單一運(yùn)營(yíng)商提供，有可能分屬不同的運(yùn)營(yíng)商運(yùn)營(yíng)。部分功能域也有可能屬于私有云范疇，比如某集團(tuán)企業(yè)，其傳輸用了電信運(yùn)營(yíng)商網(wǎng)絡(luò)，業(yè)務(wù)平臺(tái)用了第三方云服務(wù)提供商，而存儲(chǔ)則直接放在公司的內(nèi)部網(wǎng)。由此可見，云計(jì)算這3大功能域，是可以相互分離的，因此安全域的劃分有必要以這3大功能域的劃分為邊界。

4 差異化安全框架

如圖2所示，在3層的安全框架中，接入層負(fù)責(zé)接收用戶指定的安全等級(jí)、接入網(wǎng)風(fēng)險(xiǎn)和服務(wù)類型3種輸入?yún)?shù)；策略層根據(jù)以上輸入?yún)?shù)，通過策略規(guī)則匹配，輸出安全功能參數(shù)，用于驅(qū)動(dòng)每個(gè)安全域的安全功能；安全功能層的安全功能根據(jù)安全功能參數(shù)，保護(hù)特定的業(yè)務(wù)數(shù)據(jù)。

圖2 差異化安全框架

（1）輸入層

安全等級(jí)參數(shù)：安全等級(jí)一般由用戶提出，體現(xiàn)用戶對(duì)業(yè)務(wù)數(shù)據(jù)的安全要求。一般來(lái)講，業(yè)務(wù)數(shù)據(jù)價(jià)值越高，所需要的安全等級(jí)也越高。安全等級(jí)不同于安全強(qiáng)度，安全強(qiáng)度一般指安全功能對(duì)業(yè)務(wù)數(shù)據(jù)所能提供的防護(hù)力度。安全強(qiáng)度取決于安全等級(jí)和安全風(fēng)險(xiǎn)的綜合作用。

服務(wù)類型參數(shù)：由于不同的服務(wù)類型需要不同的安全功能組合，因此該體系結(jié)構(gòu)在輸入層中包含了服務(wù)類型參數(shù)。例如，多媒體服務(wù)對(duì)時(shí)延比較敏感，一定程度上允許數(shù)據(jù)分組的丟失，無(wú)需完整的驗(yàn)證。而文件傳輸服務(wù)則剛好相反，完整性的驗(yàn)證是一項(xiàng)非常重要的保護(hù)機(jī)制。業(yè)務(wù)類型可以由云計(jì)算通過業(yè)務(wù)感知自動(dòng)識(shí)別，無(wú)需用戶設(shè)定。

接入網(wǎng)風(fēng)險(xiǎn)參數(shù)：用戶可以通過3G、公共Wi-Fi或有線網(wǎng)絡(luò)接入云計(jì)算平臺(tái)，不同的接入網(wǎng)場(chǎng)景所面臨的安全風(fēng)險(xiǎn)不同。例如公共Wi-Fi接入風(fēng)險(xiǎn)較高，而在辦公場(chǎng)所通過有線寬帶接入，則面臨的風(fēng)險(xiǎn)較低。云計(jì)算可以通過用戶終端或接入網(wǎng)設(shè)備識(shí)別接入網(wǎng)場(chǎng)景，從而能自動(dòng)評(píng)估其所面臨的風(fēng)險(xiǎn)，因此接入網(wǎng)參數(shù)無(wú)需用戶設(shè)置。在安全等級(jí)相同的條件下，接入網(wǎng)安全風(fēng)險(xiǎn)越高，所需要的安全強(qiáng)度也越大。

（2）策略層

每個(gè)安全域的安全策略相對(duì)獨(dú)立，各自接收來(lái)自輸入層的3種參數(shù)，通過策略的規(guī)則匹配，輸出安全功能參數(shù)。安全策略的主要作用是根據(jù)這些輸入?yún)?shù)，經(jīng)過策略匹配，輸出合適的安全功能參數(shù)。

（3）安全功能層

每個(gè)安全域都有一組特定的安全功能，接受來(lái)自策略層的安全功能參數(shù)的驅(qū)動(dòng)，對(duì)業(yè)務(wù)數(shù)據(jù)實(shí)施安全防護(hù)。例如傳輸安全域中的IPSec、業(yè)務(wù)邏輯安全域中的Honeypot、數(shù)據(jù)存儲(chǔ)安全域中的加密/解密模塊等。有些安全功能同時(shí)存在于多個(gè)安全域，并有不同的專業(yè)術(shù)語(yǔ)。例如，入侵檢測(cè)在網(wǎng)絡(luò)安全域中是基于網(wǎng)絡(luò)的入侵檢測(cè)，而在業(yè)務(wù)邏輯安全域中是基于主機(jī)的入侵檢測(cè)。

業(yè)務(wù)數(shù)據(jù)通過特定標(biāo)識(shí)（ID）在每個(gè)安全域中被識(shí)別，并獲得相應(yīng)的安全防護(hù)。如圖3所示，在傳輸安全域中，業(yè)務(wù)數(shù)據(jù)的用戶ID和業(yè)務(wù)ID被安全功能模塊獲取，安全功能模塊由此確定該業(yè)務(wù)數(shù)據(jù)所需使用的安全功能參數(shù)，并對(duì)該業(yè)務(wù)數(shù)據(jù)實(shí)施相應(yīng)的安全防護(hù)，如加密等。challenges in cloud computing environments.IEEE Computer Society,2010,8(6):24～31

圖3 傳輸安全域安全功能對(duì)數(shù)據(jù)的防護(hù)過程示意

1 Takabi H,Joshi J B D,Ahn G J.Security and privacy

2 Subashini S,Kavitha V.A Survey on security issues in service delivery models of cloud computing.Network and Computer Applications,2011,34(1):1～11

3 Wang C,Ren K,Lou W T,et al.Toward publicly auditable secure cloud data storage services.IEEE Network,2010,24(4):19～24

4 Wang Q,Wang C,Li J,et al.Enabling public auditability and data dynamics for storage security in cloud computing.IEEE Transactions on Parallel and Distributed Systems,2011,22(5):847～859

5 Hu L K,Yi S,Jia X Y.A semantics-based approach for cross domain access control.Internet Technology,2010,11(2):279～288

6 Pallis G.Cloud computing:the new frontier of internet computing.IEEE Internet Computing,2010,14(5):70～73

7 ITU-T Recommendation.ITU-T X.1123 Differentiated Security Service for Secure Mobile End-to-End Data Communication,2007

8 陳劍勇，騰志猛，劉利軍等.YD/T 2037-2009移動(dòng)通信差異化安全服務(wù),2009

李冬梅，女，中興通訊股份有限公司技術(shù)戰(zhàn)略部主任工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)通信標(biāo)準(zhǔn)。

5 結(jié)束語(yǔ)

本文首先分析了差異化安全需求，并在此基礎(chǔ)上提出了差異化安全框架，該框架由輸入層、策略層和安全功能層3部分組成，并作用在云計(jì)算的傳輸安全域、業(yè)務(wù)邏輯安全域和存儲(chǔ)安全域。通過用戶標(biāo)識(shí)和業(yè)務(wù)標(biāo)識(shí)，使業(yè)務(wù)數(shù)據(jù)在云計(jì)算不同安全域中獲得差異化防護(hù)服務(wù)。該框架能夠滿足云計(jì)算差異化安全需求，有利于降低安全對(duì)云計(jì)算計(jì)算資源的消耗，促進(jìn)云計(jì)算的應(yīng)用。

Study on Differentiated Security Service Based on Cloud Computing

Li Dongmei1,Yin Shijun2,Chen Jianyong2
(1.Department of Technology Strategy,ZTE Corporation,Shenzhen 518057,China;2.Department of Computer Science and Technology,Shenzhen University,Shenzhen 518060,China)

Deployment and application of cloud computing can significantly save computing resource,and promote business innovation and development.However,if users’data is stored and processed in public cloud computing which is provided by an independent third party,more security threat will be faced than that of the traditional way.Security has become one of the most important obstacles for the development of cloud computing.Differentiated security architecture was proposed,according to the diversity of security requirements from different users.The consumption of computing resource from security service could be reduced and thus the development of cloud computing is benefited.

cloud computing，security，differentiated security

10.3969/j.issn.1000-0801.2013.03.012

*國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61170283），深圳市基礎(chǔ)研究計(jì)劃基金資助項(xiàng)目（No.JC201005250045A）

尹式鈞，男，深圳大學(xué)計(jì)算機(jī)與軟件學(xué)院碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

陳劍勇，男，深圳大學(xué)計(jì)算機(jī)與軟件學(xué)院教授，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

2013-02-20）