基于第三方可信云的安全協同工作方案

□潘 定 陳婷婷

[暨南大學 廣州 510632]

引言

云計算的概念被提出來以后，引來了工業界、學術界和政府的關注，云計算也成為我國重點布局的戰略性新興產業領域。例如，2010年10月18日，國家發展和改革委員會、工業和信息化部聯合印發《關于做好云計算服務創新發展試點示范工作的通知》，確定在北京、上海、深圳、杭州、無錫等5個城市先行開展云計算服務創新發展試點示范工作。近年各種云研究成果陸續出現以及云應用不斷普及，例如，2006年，Amazon相繼推出在線存儲服務S3和彈性計算云EC2等云服務；2011年，浪潮集團自主研發云海集裝箱數據中心正式發布等。云計算這種新型的計算和資源模式的優勢愈加明顯，然而在享用云計算的便利的同時，云環境下的安全隱患及風險問題也不容忽視。近年來，隨著云計算服務的發展，各種安全事件層出不窮，例如：2009年4月，微軟Azure云計算平臺徹底崩潰，使相關用戶損失了大量的數據；2011年4-5月，索尼旗下PlayStation網站遭入侵，黑客竊取了索尼PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息，波及57個國家和地區的上億人；2013年1月亞馬遜云計算服務中斷將近一個小時、Dropbox服務中斷約16個小時、Facebook網站中斷兩到三個小時。

隨著大量公共云和私有云的投入使用，不同云之間進行頻繁的協同工作及數據交換，然而由于云環境的開放性和復雜性、云資源的集中性等帶來各種安全風險。國內外的標準組織和專門機構已經開始云計算與安全標準的制定工作，IT產業的一些巨頭公司也在設計各種云計算安全產品與方案。

一、云計算安全的解決方案

對云計算進行研究和部署的組織機構，2010年據ITU-T的云計算焦點組（FG-Cloud）所給出的數據有27家之多。具體到云計算安全方面問題的研究，則主要是CSA（云計算安全聯盟）和ENISA（歐洲網絡和信息安全研究所）以及微軟等幾個組織和公司積極進行研究和云計算安全方面的部署。學術界則從云計算安全的各個不同方面進行了研究，如訪問控制、數據加密、安全通信和隱私保護等。

Takabi Hassan和Joshi James等提出一個安全云框架，對于云服務集成商和云服務提供商都構建各自的安全管理模塊[1]。云服務集成商的安全管理包括認證/身份管理模塊和基于信任的政策集合模塊。云服務提供商的安全管理包括認證/身份管理模塊、訪問控制模塊和隱私/數據加密模塊。

Prashant Srivastava1和Satyam Singh等提出一系列積極對策來保證云計算的安全，并且設計了一個安全云架構，即在私有云內部構建一個“安全云”，通過這個“安全云”與其他云進行通信[2]。該“安全云”設置相應的安全策略，包括監控引擎和HIPS（基于主機的入侵防御系統）管理器來保證私有云內部的安全，經過“安全云”驗證和授權的用戶才可能訪問私有云的資源。這兩個安全方案在一定程度上保障了云實體的安全，但由于經過授權的用戶還是可以直接訪問云資源中心，因此云資源中心對于這些信任用戶而言是“可見”的，這就在某種程度上增加了云資源中心的安全風險。同時要求每個私有云或公有云都構建自己的安全云，解決云間安全策略的沖突也為云環境的安全通信帶來另一個問題。

也有學者利用虛擬技術來設計安全方案。Frank John Krautheim提出一個新的實用云計算管理和安全模型PVI（私有虛擬基礎設施），PVI將云安全的責任分擔到用戶和服務商身上，數據中心由用戶和信息擁有者控制，云環境由服務商管理控制[3]。一個云Lcator Bot（LoBot）預先設置好云的安全屬性和數據中心。PVI和LoBot為企業提供維護和控制云信息的攻擊，提出一個云計算根信任信任的新機制。信任虛擬環境模型（TVEM）集成來自提供商和用戶的信任，在遠程主機上構建一個根信任，為云環境中各方建立一個信任關系。Jianxin Lia和Yanmin Zhub等提出一種安全協同服務PEACE-VO系統架構，包括兩個虛擬組織管理和授權協議。利用VO來解決不同甚至有沖突的安全方案的組織之間的安全通信問題。并提出了一個完全分布式的算法來檢測不同組織潛在的安全方案沖突，不披露其組織的隱私保護政策，卻能夠阻擋惡意的內部攻擊[4]。

Zissis Dimitrios和Lekkas Dimitrios提出引入一個可信的第三方，負責確保在云環境中的特定安全特性。通過服務器和客戶機的認證，創建安全域，基于證書的認證，結合PKI、SSO和LDAP進行數據加密，以確保涉及的數據和通信的身份驗證，完整性和保密[5]。該方案將云中所有實體都關聯起來，構建一個可信的安全網。可信第三方方案在一定程度上減輕每個云實體的工作負擔和安全風險。

二、自由的云協同工作存在的安全風險

由于大量私有云和公有云的應用，跨云服務的實現和跨云數據的交換都需要不同云協同工作。目前云環境下的協同工作都是相關云實體之間的協同如圖1所示，即云A需要云B的資源，就直接向云A發出請求并與之直接通信。

圖1 自由的云協同工作環境

一般情況下每個云實體都有自己的一套安全保護方案，當與其他云實體進行協同工作時，云資源服務方都會根據自己的安全保護策略對云訪問用戶進行身份認證、訪問授權。在數據交換時，云資源服務方會根據云訪問用戶特性對交換數據進行加密。自由的云協同工作環境帶來的安全隱患有：

1．云數據的泄露。由于允許可信用戶進入云資源中心獲取數據，一旦偽可信用戶通過了身份認證獲得訪問授權，那么云資源中心的數據就暴露了。例如：2011年7月，韓國三大門戶網站之一Nate和社交網站“賽我網”遭到黑客攻擊，3500萬用戶信息泄漏。

在數據交換方面，現有云環境并沒有為通信云間建立專用安全信道，都是基于公開網絡基礎設施進行數據交換，而通信前資源云也只是對交換數據進行一次簡單加密。因此云數據在傳輸過程中容易造成丟失或被篡取。

2．云的不良使用。獲得授權的云用戶都可以使用云服務，這就給不良濫用提供了條件，網絡犯罪份子可以進行攻擊和發送惡意軟件，例如：Amazon的簡單存儲服務（簡稱S3）在2009年先后被黑客攻擊、旁道攻擊和僵死網絡攻擊。

3．賬戶或服務劫持。每個云的安全政策都是基于自己的特性和需求設置的，由于云實體的差異，有些云實體的安全級別并不高。如果攻擊者控制了用戶賬戶的證書，那么他們可以為所欲為，竊聽用戶的活動、交易，將數據變為偽造的信息，將賬戶引到非法的網站。

基于第三方可信云的安全協同工作方案，即構建一個第三方可信云，制定一套統一的嚴格的安全政策監控云實體，特別是私有云的訪問控制和數據通信，不同云執行其安全政策，就能夠大幅度減少各種安全隱患，降低安全風險。基于第三方可信云的云協同工作環境如圖2所示。

圖2 基于可信云的協調工作環境

三、第三方可信云的結構及原理

第三方可信云主要包括三個模塊：（1）身份認證。主要用于驗證協同工作的云實體的身份，根據云資源中心預先設置的賬號級別對云訪問用戶進行授權；（2）安全數據傳輸。主要用于發布密鑰，對云資源中心要交換的數據進行加密并傳送給云訪問用戶；（3）監控管理。通過審計日志記錄各個云用戶的訪問信息、數據交換信息等，為可信云的安全策略的不斷改善提供指導。其框架如圖3所示。

圖3 第三方可信云結構

1．身份認證模塊，主要包括IDaaS manager和ID center。ID center是協同工作的云實體的身份數據庫，所有進行協同工作的私有云或公有云都要在第三方可信云中進行注冊，其云身份相關信息存儲在這個云ID中心，這是對各個云訪問用戶進行身份驗證和訪問控制的基礎，是保證云間安全協同工作的前提條件。

IDaaS（Identity as a service，身份即服務），是基于SaaS（software as a service，軟件即服務）這種模式的，SaaS支持多種服務，如用戶配置、審計、密碼管理和用戶自服務等。采用IDaaS模式，云實體可以自動化的設置訪問控制和授權標準。

用戶要獲得授權訪問，先在IDaaS manager進行注冊申請，用戶向ID Provider提供相應的身份信息ID Provider在審核過程中，需要到該用戶所在云驗證身份，并結合用戶在云中的各種屬性（如職務等）進行授權，用戶的安全訪問權限由所在云和第三方可信云共同設定的。當用戶需要訪問其他云資源時云資源中心接收用戶請求后提交到IDaaS manager進行身份驗證，認證通過后會獲得一個用戶公鑰，如圖4所示。

圖4 第三方可信云的授權及驗證模式

2．數據加密及交換模塊。為保證數據傳輸過程的保密性和隱私保護，我們采用云資源中心加密和第三方可信云加密的雙重加密機制，該模塊主要包括Encrypt Manager和KDC（如圖5所示）。

圖5 基于第三方可信云的安全數據交換模式

KDC（Key Distribute Center，密鑰發布中心）是對云中用戶的密鑰集中管理和發布，信任用戶自己擁有私鑰，將公鑰交給第三方可信云進行管理和發布。云資源中心利用訪問用戶的公鑰對用戶請求的數據進行加密后傳送到第三方可信云，這樣數據對第三方可信云是不可見的，只有用戶利用自己的私鑰才能獲得真正的原始數據，這就起到了數據隱私保護的作用。

為了增加數據交換的安全性，第三方可信云對要傳送的加密數據還進行二次加密，即利用Encrypt Manager進行條件代理加密，可以采用預言機或者雙線性配對的手段來抑制敵手通過篡改原始挑戰密文進行挑戰，因為這樣可以避免敵手欺騙密文轉化預言機從而或者與原始密文具有某種特定關系的新的轉化密文。

3．監控管理模塊，主要包括Monitor Manager和Audit log（審計日志庫）。Monitor Manager（監控管理器）主要負責監管訪問用戶和數據交換，可以記錄用戶或者私有云的配置，日志文件的創建，反對修改和未經授權的訪問、分析、匯總、關聯，可以根據惡意攻擊和偽信任用戶歷史自動評估并生成審計報告。

基于第三方可信云的安全協調工作方案可以在很大程度上降低自由云環境下的各種安全風險：

（1）身份認證方面的效率和安全性都有所提高。訪問用戶的身份交給可信第三方進行統一的嚴格的安全規范進行注冊和認證，不僅減輕了私有云或公有云的審核工作負擔，而且云環境的統一認證標準減少由于標準的差異性帶來的安全政策沖突問題，統一認證標準同時受到各個云實體的監督，減少偽信任用戶的可能性。

（2）減少數據泄露和云不良使用的隱患。由于第三方可信云的訪問控制機制，用戶對云資源中心的訪問必須經過可信第三方的授權和監控，用戶并不能之間從云資源中心直接獲取數據，這就避免了用戶獲取未授權數據的操作，減少了云不良使用的機會。第三方可信云對交換數據的二次條件代理加密，在數據隱私保護的基礎上增加了數據的保密性。

四、結束語

云計算屬于新興產業領域，越早研究和制定統一的云計算安全標準越有利于云應用的普及和長遠發展。本文提出的基于第三方可信云的安全協同工作方案，是基于云計算的資源和服務集成這個屬性的。云計算安全的“集中服務與控制，分布監督”這種模式是成本較低、效率較高的一種工作模式，每個云實體只需要按需付費給第三方可信云就可以獲得高效的安全保障。然而，第三方可信云的安全責任會非常重大，建議最好由政府或者行業巨頭來構建這個可信云，同時國家層面應該及時制定相應的法律法規政策。

[1]TAKABI H,JOSHI J,AHN G.Secure cloud towards a comprehensive security[A].International Computer Software and Applications Conference,2010:393-398.

[2]PRASHANT S,SATYAM S.An architecture based on proactive model for security in cloud computing[A].Recent Trends in Information Technology(ICRTIT) International Conference,2011:661–666.

[3]FRANK J.Buiding turst into utility cloud computing[D].Washington ：University of Maryland.2010.

[4]LI J X,HUAI J P,HU C M,ZHU Y M.A secure collaboration service for dynamic virtual organizations [J].Information Sciences:an International Journal,2010,180(17):3086-3107.

[5]ZISSIS D,LEKKAS D.Addressing cloud computing security issues[J].Future generation computer systems-the international journal of grid computing and escience.2012,28(3):583-592.

[6]CATTEDDU D.Cloud Computing:Benefit,risks and recommendations for information security[J].Web Application Security,2010(72):17-18.

[7]馮登國,張敏,張妍,徐震.云計算安全研究[J].軟件學報.2011(22):71-83.

[8]VAQUERO L,RODERO M,MORAN D.Locking the sky a survey on IaaS cloud security[J].Computing,2011,91(1):93-118.

[9]SERAFINI L,TAMILIN A.DRAGO:Distributed Reasoning Architecture for the Semantic Web[C].LNCS3532.Proc of 2nd European Semantic Web Conf.Berlin:Springer-verlag,2005:361-376.

[10]FOSTER I,ZHAO Y,RAICU I.Cloud Computing and Grid Computing 360-Degree Compared[C].2008 Grid Computing Environments Workshop(GCE):Austin,Texas：November 16.Curran:IEEE,Feb 2009.

[11]HWANG K,ZOMAYA A,DONGARRA J.Distributed and Cloud Computing:From Parallel Processing to the Internet of Things[M].California:Morgan Kaufmann,2010.